分类: 国际动态

黑客瞄准巴西金融机构进行 DNS 劫持

据外媒 Securityaffairs 报道,黑客瞄准巴西 D-Link DSL 的调制解调路由器,将用户重定向到伪造的银行网站进行 DNS 劫持。 据 Radware 研究人员报道,通过这个手段,网络犯罪分子就会窃取银行账户的登录凭据。攻击者将指向网络设备的 DNS 设置更改为他们控制的 DNS 服务器,在此活动中,专家观察到黑客使用两个 DNS 服务器(69162.89185和1982 .50.222.136)。这两个 DNS 服务器解析 BANCO de BrasiL(www. bb.com.br)和 ITAUBANCOO(hostname www.itau.com.br)的逻辑地址,来伪造克隆。 “自 6 月 8 日以来,该研究中心一直在跟踪黑客针对巴西 DLink DSL 调制解调路由器的恶意活动。通过对 2015 年漏洞的追溯,恶意代理试图修改在巴西路由器居民中的DNS配置,通过恶意 DNS 服务器对所有 DNS 请求进行重定向。”据 Radware 发布分析。 黑客正在使用 2015 年的旧漏洞,它们可以在某些型号的 DLink DSL 设备上运行,并且只需要在线运行存在漏洞的路由器并更改其 DNS 设置。 专家强调,劫持是在没有任何用户交互的情况下进行的。 “用户对于变化是完全不知情的,从某种意义上来说,这种攻击是潜在的。劫持工作无需在用户浏览器中建立或更改 URL。用户可以使用任何浏览器及它的常规快捷方式,用户可手动输入 URL ,甚至可以从移动设备(如智能手机或苹果电脑)使用它。” 据 Radware 发布警告。 攻击者通过精心设计的网址和恶意广告进行网络钓鱼系列活动企图更改用户浏览器中的 DNS 配置。这种类型的攻击并不新鲜,黑客自 2014 年以来一直在使用类似的技术,2016 年,一个名为 RouterHunterBr 2.0 的漏洞开发工具在线发布并使用了相同的恶意网址,但 Radware 目前还没有发现此工具的滥用行为。 自 6 月 12 日起,Radware 多次记录了针对 D-Link DSL 路由器漏洞的感染攻击。         此活动中的恶意网址显示为: 自2015年2月以来,多个DSL路由器(主要为D-Link)的若干漏洞可在线提供: Shuttle Tech ADSL 调制解调器 – 路由器 915 WM / 未经身份验证的远程 DNS 更改 Exploit 代码:http://www.exploit-db.com/exploits/35995/ D-Link DSL-2740R / 未经认证的远程 DNS 更改 Exploit 代码:http://www.exploit-db.com/exploits/35917/ D-Link DSL-2640B未经身份验证的远程 DNS 更改 Exploit 代码:https://www.exploit-db.com/exploits/37237/ D-Link DSL-2780B DLink_1.01.14  – 未经身份验证的远程 DNS 更改 https://www.exploit-db.com/exploits/37237/ D-Link DSL-2730B AU_2.01  – 身份验证绕过 DNS 更改 https://www.exploit-db.com/exploits/37240/ D-Link DSL-526B ADSL2 + AU_2.01  – 未经身份验证的远程 DNS 更改 https://www.exploit-db.com/exploits/37241/ 一旦受害者访问虚假网站,他们会被要求提供银行信息,包括代理商号码,账号,手机号,手机卡、八位的 PIN 码和一个 CABB 号码。 Radware 向攻击所针对的金融机构报告了这些活动,目前钓鱼网站地址已被标记为不安全,虚假网站已下线。 “通过 http://www.whatsmydnsserver.com/ 等网站检查设备和路由器使用的DNS服务器是一种很便捷的方式。只有在过去两年未更新过的调制解调器和路由器才能被利用。更新将保护设备的所有者,并防止设备受到 DDoS 攻击或用于隐藏有针对性的攻击。” Radware 建议。     消息来源:Securityaffairs,编译:xiange,审核:吴烦恼; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

工信部组织开展电信和互联网行业网络安全检查

新浪科技讯 8 月 13 日下午消息,工信部印发关于开展 2018 年电信和互联网行业网络安全检查工作的通知,以强化电信和互联网行业网络安全风险防范和责任落实,提升行业网络安全保障水平。 检查对象为依法获得电信主管部门许可的基础电信企业、互联网企业、域名注册管理和服务机构建设与运营的网络和系统。重点是电信和互联网行业网络基础设施、用户信息和网络数据收集、集中存储与处理的系统、企业门户网站和计费系统、域名系统、电子邮件系统、移动应用商店、移动应用程序及后台系统、公共云服务平台、公众无线局域网、公众视频监控摄像头等重点物联网平台、网约车信息服务平台、车联网信息服务平台等。 重点检查网络运行单位落实《中华人民共和国网络安全法》《通信网络安全防护管理办法》《电信和互联网用户个人信息保护规定》等法律法规情况,电信和互联网安全防护体系系列标准符合情况,可能存在的弱口令、中高危漏洞和其他网络安全风险隐患等。 以下为通知原文:        工业和信息化部办公厅关于开展2018年电信和互联网行业网络安全检查工作的通知 工信厅网安函〔2018〕261号 各省、自治区、直辖市通信管理局,中国电信集团有限公司、中国移动通信集团有限公司、中国联合网络通信集团有限公司、中国广播电视网络有限公司,互联网域名注册管理和服务机构,互联网企业,有关单位: 为深入贯彻习近平总书记在全国网络安全和信息化工作会议上的重要讲话精神,落实关键信息基础设施防护责任,提高电信和互联网行业网络安全防护水平,根据《中华人民共和国网络安全法》、《通信网络安全防护管理办法》(工业和信息化部令第 11 号)、《电信和互联网用户个人信息保护规定》(工业和信息化部令第 24 号),决定组织开展 2018 年电信和互联网行业网络安全检查工作。现将有关要求通知如下: 一、总体要求 紧紧围绕加快推进网络强国建设战略目标,深入学习领会习近平总书记关于网络安全的系列重要讲话精神,加快落实《中华人民共和国网络安全法》,坚持以查促建、以查促管、以查促防、以查促改,以防攻击、防病毒、防入侵、防篡改、防泄密为重点,加强网络安全检查,认清风险现状,排查漏洞隐患,通报检查结果,督促整改问题,强化电信和互联网行业网络安全风险防范和责任落实,全面提升行业网络安全保障水平,保障公共互联网安全、稳定运行。 二、检查重点 (一)重点检查对象。检查对象为依法获得电信主管部门许可的基础电信企业、互联网企业、域名注册管理和服务机构(以下统称网络运行单位)建设与运营的网络和系统。重点是电信和互联网行业网络基础设施、用户信息和网络数据收集、集中存储与处理的系统、企业门户网站和计费系统、域名系统、电子邮件系统、移动应用商店、移动应用程序及后台系统、公共云服务平台、公众无线局域网、公众视频监控摄像头等重点物联网平台、网约车信息服务平台、车联网信息服务平台等。 (二)重点检查内容。重点检查网络运行单位落实《中华人民共和国网络安全法》《通信网络安全防护管理办法》《电信和互联网用户个人信息保护规定》等法律法规情况,电信和互联网安全防护体系系列标准符合情况,可能存在的弱口令、中高危漏洞和其他网络安全风险隐患等(法律法规和标准依据详见附件)。 三、工作安排 (一)定级备案。各网络运行单位要按照《通信网络安全防护管理办法》的规定,在工业和信息化部“通信网络安全防护管理系统”(https://www.mii-aqfh.cn)对本单位所有正式上线运行的网络和系统进行定级备案或变更备案。 (二)自查整改。各网络运行单位要对照法律法规和本次检查重点,对本单位网络安全工作进行自查自纠,对自查发现的安全问题逐一做好记录,能立即整改的,要边查边改,无法立即整改的,要采取防范措施,制定整改计划,确保整改落实。2018 年 9 月 31 日前,基础电信企业集团公司、域名注册管理和服务机构应将本单位自查工作总结报告报部(网络安全管理局),基础电信企业省级公司和互联网公司形成自查工作总结报告报当地通信管理局。 (三)开展抽查。电信主管部门选取部分网络和系统,委托专业技术机构采取现场询问、查阅资料、现场检测、远程渗透、代码检测等方式进行检查。对省级基础电信企业和专业公司网络和系统的检查分别按照《 2018 年省级基础电信企业网络与信息安全工作考核要点与评分标准》《2018 年基础电信企业专业公司网络与信息安全工作考核要点与评分标准》进行量化评分,评分结果分别作为 2018 年省级基础电信企业和专业公司网络与信息安全责任考核依据。各地通信管理局除抽查省级基础电信企业外,至少抽查当地十家以上增值电信企业,将检查工作总结报告于 10 月 31 日前报部(网络安全管理局)。 四、工作要求 (一)加强领导,落实责任。各地电信主管部门、网络运行单位应严格落实工作责任制,精心组织制定工作方案,落实机构、队伍和工作经费,确保检查工作不走过场,确保检查发现的问题得到及时有效整改。发现问题的单位要举一反三,健全网络安全问题闭环管理机制,加强定期巡查、整改核验、考核问责,以检查为契机,不断完善电信和互联网行业网络安全保障体系。 (二)规范检查,严明纪律。各单位要规范检查方法和程序,避免检查工作影响网络和系统的正常运行,检查工作中发现重大问题应及时报我部。采用随机抽取检查对象、随机选派检查队伍的“双随机”方式安排实施检查。任何部门不得向被检查单位收取费用,不得要求被检查单位购买、使用指定的产品和服务。委托专业技术机构进行安全检查,要进行严格审查,签订保密承诺书,并明确专业技术机构及人员的安全责任。要严格遵守有关保密规定,检查结果除按规定报送外,不得提供给其他单位和个人。 (三)加强防范,及时整改。专业检测机构对检查发现的薄弱环节、安全漏洞和安全风险,要现场告知网络运行单位,并指导其防范整改。抽查发现的重大网络安全风险和隐患,电信主管部门可通过《网络安全问题整改通知书》等形式书面向网络运行单位通报,督促其限期整改。网络运行单位要对检查发现的薄弱环节和安全风险进行深入整改,对相关责任部门和责任人进行问责处理,并及时向电信主管部门报告问题整改和问责情况。 (四)强化协同,协调配合。各地通信管理局要强化与网信、公安等部门的协调沟通,按照网络安全工作责任制和中央网信办《关于加强和规范网络安全检查工作的通知》(中网办发文〔2015〕7号)要求,坚持跨部门、跨行业的网络安全检查应由当地网信部门统筹协调,其他部门对电信和互联网行业的网络安全检查应当会同电信主管部门进行,加强协同沟通,提倡开展联合检查,避免交叉重复,基础电信企业向非电信主管部门提供网络安全相关资料和数据的,应征得当地通信管理局同意,或由通信管理局统一协调提供。 特此通知。 工业和信息化部办公厅 2018 年 8 月 6 日         稿源:新浪科技,封面来源于网络;

黑客称可通过“合成点击”绕开 macOS 安全警报

8 月 13 日消息,据国外媒体报道,在拉斯维加斯周日举行的防御黑客大会(DefCon hacker conference)上,美国国家安全局前雇员、知名 Mac 电脑黑客帕特里克·沃德尔(Patrick Wardle)对苹果 macOS 操作系统进行安全攻击,其通过所谓的“合成点击”(synthetic click)让恶意软件轻而易举地通过了系统安全警报。 沃德尔认为,这种绕过 macOS 操作系统安全机制的方法或许能够窃取用户电脑中存在的联系人,甚至于进入操作系统内核,完全控制电脑。 据悉,操作系统常常通过让用户选择“允许”或“拒绝”程序访问敏感数据或功能,从而创建一个检查点,阻止恶意软件,同时让正常的应用程序通过。但沃德尔的方法能够帮助恶意软件渗透到计算机的安全层内。 作为 Digita 安全公司的一名安全研究员,沃德尔表示,“如果你有一种方法与系统发出的警报进行综合交互,你就拥有了一种可以绕开安全机制的强大方法。” 但是,沃德尔的合成点击方法绕过的弹窗提示对用户来说仍然可见,苹果 macOS 操作系统依旧会提示用户电脑上存在恶意软件。但沃德尔表示,恶意软件可以等待用户离开机器的时候再去触发并绕过弹窗提示。 沃德尔承认,他的“合成点击”攻击并不能直接侵入Mac操作系统内部或控制电脑。但在某些黑客手中,它们可能是一个危险的工具,让老练的攻击者从计算机中窃取更多数据或获得更深层控制。     稿源:网易科技,封面源自网络;

微软宣布面向决策者的“网络安全政策框架”白皮书

过去几年,网络攻击变得越来越普遍。除了传统的恶意团体,甚至还冒出了一些“更具背景”的幕后主使者的身影。在新形势下,这使得高层决策者难以通过制定法律来对抗这些威胁。而为了化解这一困境,微软刚刚发布了一份名为《网络安全政策框架》的白皮书。在长达 44 页的篇幅中,微软概述了决策者如何制定有效的政策、而无需经理不必要的障碍。 访问: 微软中国官方商城 – 首页 微软强调称,白皮书本身并不是一部完整的“网络安全法律”草案,反而更像是一份“伞状文件”,呈现了网络政策更加高级、抽象的一面。 具体说来,该文件侧重于以下方面: ● 国家级网络安全战略; ● 如何建立国家级网络机构; ● 如何制定和更新网络犯罪法案; ● 如何开发和更新关键基础设施的保护措施; ● 全球性网络安全战略。 微软表示,即便该公司已经与各国政策制定者合作多年,但本白皮书中的信息在其它地方并不易获得。 微软网络安全政策主管 Angela McKay 补充道: 鉴于技术的变化和创新是始终持续的,为应对网络安全所带来的影响,我司已经且将永远有更多的工作要做。 今天,我们很高兴将这一资源用于支持新一代的决策者们、并期待与其展开合作,以共同应对未来将面临的新挑战。 微软“网络安全政策框架白皮书”: 引用页 |(PDF)       稿源:cnBeta.COM,编译自:Neowin ,封面源自网络;

Cortana 被爆安全漏洞:可绕过 Windows 10 锁屏获取用户隐私

本周在拉斯维加斯举行的 Black Hat 会议上,来自 Kzen Networks 的安全研究人员 Amichai Shulman 和 Tal Be’ery 透露:可利用 Cortana 漏洞绕过 Windows 10 系统的安全保护。值得注意的是,该漏洞已经于今年 6 月份进行了修复。 访问: 微软中国官方商城 – 首页       完整幻灯片地址 访问这里 研究人员表示:“允许同已经锁定的设备进行交互是非常危险的架构决策,而且早些时候我们曝光了 Cortana 的 Voice of Esau (VoE) 漏洞。VoE 漏洞允许攻击者通过整合语音命令和网络欺诈来接管已经锁定的 Windows 10 设备,并向受害设备发送恶意负载”。 “在本次演示中,我们将展示发现的 ‘Open Sesame’ 漏洞,这是危险程度很高的 Cortana 漏洞,能够允许攻击者接管锁屏的设备,并执行任意代码。利用 ‘Open Sesame’ 漏洞攻击可以查看敏感文件(文本和媒体)、浏览任意网站,从网络下载和执行任意可执行文件,并且在某些情况下可以获得最高级别权限。而且更为糟糕的是,该漏洞并不涉及任何外部代码、也不涉及系统调用,因此防病毒和反恶意软件以及 IPS 不会检测到这样的攻击。”     稿源:cnBeta.COM,封面源自网络;

谷歌工程总监:用户不该操心网络安全 科技巨头需付出更多努力

在周三于拉斯维加斯举行的黑帽网络安全会议上,“谷歌安全公主”Parisa Tabriz 发表了主题演讲,期间讨论了与网络安装状况有关的问题。其主旨是,在线安全不应该是用户关注的重点所在,所以科技巨头们需要作出更多的努力。人们在日常生活中,一直被网络攻击的阴霾所笼罩,比如黑客会以电子邮件、信用卡、甚至政治为目标,由此带来了许多安全顾虑。 她在周二接受采访时称:所谓安全,应该是技术巨头们可以在网络上轻松保护每个人。 其为谷歌设立的终极目标是 —— 让安全成为第二天性,而不是你必须积极考虑实现的目标 —— 显然,这取决于互联网的“建筑师”们。 这趟旅程的重点是保障人们在 Web 上创建内容,但在默认设置下,他们中的绝大多数甚至根本不需要考虑这个问题。 虽然不知道何时会发生,但我认为事情正在朝着正确的方向去发展。 显然,Parisa Tabriz 想要避免制造让用户感到疲劳的“过多警告”。因为在频繁弹出警示信息的情况下,人们会开始变得相当麻木。 在过去四年时间里,谷歌发现了这一点,并且希望努力扭转该问题。值得庆幸的是,许多与 HTTPS 相关的安全指标,最终都会化解这个问题。 我们做了很多工作,使警告信息更易于理解、并了解对用户拥有的内容。作为一个普通人,你或许已经在过去两个月中留意到了一些变化。 比如,Chrome 地址栏前会显示一个绿色的锁状图标,并在旁边标注为‘安全’,以便告诉人们当前页面上的信息是值得信赖的。 不过 Parisa Tabriz 指出,谷歌最终还是决定摆脱它,因为该公司希望让安全性成为一个默认的事情,高亮的标签反而更显突兀。 于是在 7 月份的时候,Chrome 转而瞄准了哪些未使用 HTTPS 保护的网站,并在地址栏前显示‘不安全’。 不过,为了营造一个更加完全的互联网,所有科技巨头都必须投入其中 —— 而不仅仅依赖谷歌一个人的工作。 如果只有 Facebook 和谷歌在使用 HTTPS,那显然是不行的。即便访问的是个人博客网站,也必须让网友们相信,其阅读的是真正的内容,而没有被 ISP 给篡改。 好消息是,在 Let’s Encrypt 的倡议下,谷歌与 Mozilla 这两大浏览器厂商在合力推动 HTTPS 的采用。   稿源:cnBeta,封面源自网络;

美国土安全局官员透露手机存安全漏洞 数百万美国用户受影响

本周在拉斯维加斯召开的Black Hat峰会上,国土安全部官员Vincent Sritapan向新闻机构Fifth Domain透露:当前智能手机中存在安全漏洞。报道称该漏洞涉及美国四大通信运营商(Verizon,AT&T,T-Mobile和Sprint),数百万美国智能手机用户受到影响。 具体表现在黑客可以通过这些漏洞可以在用户不知情的情况下访问用户的电子邮件、短信等等。 Kryptowire是一家由美国国土安全部投资的移动安全公司,公司近期研究发现了这些漏洞。 Kryptowire创始人Angelos Stavrou在接受Fifth Domain采访时候表示:“可以在用户不知情的情况下对个人发起攻击。早在今年2月份就已经向设备厂商发送了通知,不过依然有部分制造商没有公开补丁进程,因此开发人员不确认设备制造商是否已经修复。”   稿源:cnBeta,封面源自网络;

未遵守欧盟 GDPR 美国超千家新闻网站在欧洲遭封杀

(原标题:More than 1,000 U.S. news sites are still unavailable in Europe, two months after GDPR took effect) 网易科技讯 8 月 8 日消息,据国外媒体报道,欧盟《一般数据保护条例》(GDPR)于今年 5 月 25 日生效之后,到目前为止仍然有超过 1000 家美国新闻网站在欧洲无法访问。 在 GDPR 生效两个多月后,包括 Tronc 旗下《洛杉矶时报》、《李氏企业》 Lee Enterprises 和 GateHouse Media 等数百家美国新闻网站在欧洲无法访问,这让许多前往欧洲的美国游客、商务旅行者、以及对美国新闻感兴趣的欧洲人感到沮丧。 5 月 25 日以来,许多社交媒体的帖子都抱怨说,美国某些新闻网站在欧洲无法访问。为此,一些人责怪欧盟。 GDPR 要求网站在收集个人信息之前获得用户的同意,解释收集什么数据以及收集的原因,并在有要求时要删除用户的信息。违反 GDPR 会被处以巨额罚款,罚款额度最高可达公司年收入的 4%。 网站拥有对接 GDPR 长达两年的准备时间。因到截至时间未能遵守 GDPR ,在美国 100 家最大的报纸媒体中,约有三分之一的网站在欧洲无法访问,这些网站包括“芝加哥论坛报”、“ 纽约每日新闻”、“达拉斯早报”、“每日新闻”和“弗吉尼亚导报”。 据跟踪这一问题的英国人约瑟夫.奥康纳(Joseph O’Connor)称,截至本周一,有超过 1000 家美国网站在欧洲无法访问。     稿源:网易科技 ,封面源自网络;

五角大楼发布最新禁令:禁止工作人员使用健身手环等设备

五角大楼发布最新禁令:禁止工作人员使用健身追踪器、智能手机的 GPS 功能,以及获得地理位置权限功能的约会  APP,以阻止泄露工作人员的地理位置信息。该禁令于上周五宣布,并由国防部副部长帕特里克·沙纳汉签署生效。在备忘录中写道:“该禁令立即生效。国防部工作人员在指定区域内禁止使用地理定位功能,禁止在政府配发、非政府配发的设备,应用和服务上使用该功能。” 五角大楼在今年 1 月份的调查中,发现 Strava 这款健身 APP 能够映射用户的健身习惯,而这极有可能会透露国防部在全球的安全位置。五角大楼发言人 Col. Rob Manning 在接受记者采访时候表示:“这项禁令可以确保我们不会便宜了敌人,确保不会展示我们军队确切位置。”虽然设备本身不会被禁用,但会有服务人员确保地理定位功能处于禁用状态。   稿源:cnBeta.COM,封面源自网络;

外媒:FCC 承认对网络攻击事件撒谎 以避免网络中立评论

据外媒 BGR 报道,去年美国联邦通信委员会(FCC)投票推翻了网络中立规则,此举是引发数百万人在发给 FCC 的评论中进行抗议。但随后美国联邦通信委员会的公众评论系统因技术故障而导致更多的人无法发表评论。美国联邦通信委员会曾对外宣称,这种技术故障是由于分布式拒绝服务(DDoS)攻击导致,这是一种常见的黑客攻击工具。 监察长办公室已对该问题进行了调查,并准备发布一份报告,该报告已提交给美国联邦通信委员会但尚未公开。然而美国联邦通信委员会的最新声明证实:“攻击”完全是假的。 关于报告的调查结果,我非常失望的是,美国联邦通信委员会的前首席信息官(被前任政府雇用并且不再在委员会工作),向我、我的办公室、美国国会和美国民众提供了有关此事件的不准确信息。” FCC 主席 Ajit Pai 在一份声明中表示。“这是完全不可接受的。我也很失望有些在前首席信息官手下工作的人显然要么不同意他提出的信息,要么对此有疑问,但却不愿意向我或我的办公室传达他们的担忧。” 民主党联邦通信委员会专员 Jessica Rosenworcel 更简洁地指出:“监察长报告告诉我们我们一直都知道的事情:联邦通信委员会声称在网络中立程序中其成为 DDoS 攻击的受害者的说法是虚假的。” “在 Ajit Pai 的领导下,联邦通信委员会破坏了自己的公众评论程序。从忽略使用被盗名称和地址发表的数以百万计的欺诈性评论到对未曾发生的 DDoS 攻击的彻头彻尾的谎言,该机构肆无忌惮地放弃了维护公众言论自由的责任,“倡导组织 Fight for the Future 在一份声明表示。“ Pai 试图责怪他的工作人员,但这发生在他的监管之下,他一再阻挠立法者和新闻界试图得到答案。”   稿源:cnBeta.COM,封面源自网络;