分类: 国际动态

澳大利亚黑客在 Twitter 上发布苹果员工机密信息后被判缓刑

一名澳大利亚男子因从苹果公司的服务器中提取员工资料并在Twitter上发布,被判处5000澳元的罚款和18个月的观察期。据Bega地区新闻报道,24岁的Abe Crannaford周三在伊甸园当地法院出庭接受宣判,此前他在2月份对两项未经授权访问或修改受限数据的罪名表示认罪。 在2017年中和2018年初,Crannaford从这家总部位于美国的大型企业中提取了仅针对员工的受限信息。2018年1月,Crannaford在其Twitter账号上发布员工信息,并据称在GitHub上提供了该公司固件的链接,让这起黑客事件达到了高潮。 裁判官道格-迪克对他处以5000美元的罚款,然而他并没有对Crannaford进行判刑,而是给予他18个月的观察期,如果在观察期内违反了相关规定,将导致额外的5000美元罚款。 Crannaford的辩护律师Ines Chiumento辩称,苹果公司通过其赏金计划奖励寻找漏洞和bug的黑客,在某种意义上 促进了黑客的发展。检察官承认苹果公司存在悬赏计划,但称Crannaford多次入侵网站,并与他人共享受限数据,苹果公司的悬赏的概念与Crannaford的行为背道而驰。     (稿源:cnBeta,封面源自网络。)

五角大楼使用创企研发的 Mayhem 工具搜索软件 Bug

据《连线》(Wired)杂志报道,去年年底,互联网基础设施公司Cloudflare的安全工程师David Haynes发现自己正盯着一张奇怪的图像。“那纯粹是胡言乱语,”他说。“一大堆灰黑色的像素,由机器制造出来的。”他拒绝分享图片,称这将是一个安全风险。Haynes的谨慎是可以理解的。这张图片是由一个名为Mayhem的工具创建的,该工具可以探测软件以发现未知的安全漏洞,由卡内基梅隆大学的衍生创企ForAllSecure制作。 Haynes一直在Cloudflare软件上进行测试,该软件可以调整图片的大小以加快网站的速度,并向它提供了几张照片样本。Mayhem将它们变异成了一些不正常的的图片,通过触发一个不被注意到的bug,使照片处理软件崩溃,这个漏洞可能会给付费给Cloudflare以保持网站正常运行的客户带来问题。 此后,Cloudflare将Mayhem作为其安全工具的标准配置。美国空军、海军和陆军也使用了它。上个月,五角大楼授予ForAllSecure一份4500万美元的合同,让Mayhem在整个美军中推广使用。该部门有大量的Bug可供查找。2018年的一份政府报告发现,国防部在2012年至2017年期间测试的几乎所有武器系统都存在严重的软件漏洞。 Mayhem还不够精密,不足以完全取代人类漏洞查找员的工作,他们利用软件设计知识、代码阅读技巧、创造力和直觉来寻找漏洞。但ForAllSecure联合创始人兼CEO David Brumley表示,该工具可以帮助人类专家完成更多的工作。世界上的软件有更多的安全漏洞,专家们没有时间去发现,而每分钟都有更多的漏洞出现。“安全并不在于是否安全或不安全,而在于你的行动速度有多快。”Brumley说。 Mayhem起源于2016年在拉斯维加斯一家赌场举行的一场不寻常的黑客大赛。数以百计的人到场观看由五角大楼的研究机构Darpa主办的网络大挑战赛。但舞台上没有一个人,只有七台电脑服务器。每台服务器上都有一个机器人,它试图发现并利用其他服务器的漏洞,同时也发现并修补自己的漏洞。8个小时后,由Brumley所带领的卡内基梅隆大学安全实验室团队制作的 “Mayhem “获得了200万美元的最高奖项。 目前仍是卡内基梅隆大学教授的Brumley说,这段经历让他相信,他的实验室创造的东西在现实世界中可以派上用场。他抛开了团队的机器人的进攻能力,认为防御更重要,并着手将其商业化。“网络安全挑战赛( Cyber Grand Challenge)表明,完全自主安全是可能的。”他说。“计算机可以做得相当不错。” 以色列等国政府都提出了合同,但ForAllSecure与美国政府签约。它得到了国防创新部门的合同,这是五角大楼的一个小组,试图将新技术快速引入美军。ForAllSecure受到了挑战,通过寻找美军使用的军用变体商用客机的控制软件中的漏洞来证明Mayhem的能力。在几分钟内,这个自动黑客就发现了一个漏洞,该漏洞随后被飞机制造商验证并修复了。 Mayhem发现的其他漏洞还包括今年早些时候在数百万台网络设备中使用的OpenWRT软件中发现的一个漏洞。去年秋天,该公司的两名实习生从Netflix的漏洞赏金计划中获得了一笔奖金,因为他们利用Mayhem发现了软件中的一个漏洞,该软件可以让人们将视频从手机发送到电视上。 Brumley表示,汽车和航空航天公司对这个工具的兴趣特别浓厚。汽车和飞机对软件的依赖性越来越强,而这些软件需要多年的可靠运行,而且很少更新。 Mayhem只针对基于Linux操作系统的程序,发现漏洞的方式有两种,一种是随机的,另一种更有针对性。第一种称为模糊测试,它涉及到用随机生成的输入(如命令或照片)轰炸目标软件,并观察是否有触发可利用的漏洞。第二种被称为符号执行,涉及到创建一个目标软件的简化数学表示。可以对这个被简化的替身进行分析,以确定真实目标中的潜在弱点。 近几年来,模糊测试工具在计算机安全领域的应用越来越广泛。去年,谷歌发布了一个模糊测试工具,并表示已经在其Chrome浏览器中发现了16000多个Bug。但Cloudflare公司的Haynes表示,该技术在行业内仍未得到普遍使用,因为模糊测试工具通常需要对每个目标程序进行太多仔细的调整。他说,ForAllSecure精心打造的Mayhem更具适应性,让Cloudflare可以更常规地使用模糊测试。Haynes说,符号执行可以找到更复杂的Bug,之前主要是在研究实验室中使用。 亚利桑那州立大学教授Ruoyu Wang希望Mayhem只是计算机安全领域更自动化的未来的开始,但他说,这将需要bug查找机器人与人类进行更多的合作。 Mayhem表明,自动化可以做有用的工作,Wang说,但现有的自动寻找漏洞的机器人在复杂的互联网服务或软件包中不能起到多大的作用。最好的软件还远远不能像人类那样聪明到理解程序的意图和功能。Mayhem比任何人类更快地尝试很多不同的东西的能力都无法替代。“很多自动查找漏洞的难点问题,现在还远远没有解决。”Wang说。 Wang曾是一个名为Mechanical Phish的团队的一员,该团队在2016年Darpa锦标赛上获得了第三名。他现在正在从事该机构的一个名为CHESS的新研究项目,试图制造出更强大的Bug查找软件。“现在,最先进的自动化不知道什么时候会遇到障碍,”Wang说。“它应该意识到这一点,并向人类咨询。”   (稿源:cnBeta,封面源自网络。)

NSA发警告:俄黑客组织 Sandworm 渗入 MTA Exim 已有数月时间

据外媒报道,本周,美国安局(NSA)警告公众,俄罗斯军方网络行为者至少已经利用一个版本的电子邮件软件长达数月之久。据悉,这个受影响的邮件系统是用于基于Unix的系统的MTA软件–Exim mail。该软件默认安装在许多Linux发行版中。 虽然这个漏洞的原始补丁早在去年已经发布,但许多计算机在运行Exim时仍没有安装这个补丁。 据了解,漏洞代码为CVE-2019-10149,其允许远程攻击者在知道该漏洞的情况下执行他们选择的命令和代码。 根据NSA发布的文件,利用这一漏洞发起攻击的俄罗斯组织是Sandworm。他们认为这些俄罗斯网络行动者来自GRU特殊技术中心(GTsST) 74455小组。这些俄罗斯行为者被指通过利用该漏洞增加特权用户、禁用网络安全设置、执行额外的脚本来进一步利用网络,可以说几乎能够实现任何攻击者的梦想访问,而他们要利用的就是未打补丁的Exim MTA版本。 据了解,针对该漏洞的补丁是在几个月前发布的并且当时还有一份来自Exim开发人员的警告。现在,NSA确定他们也已经警告过公众。 随着这些信息的发布,NSA表示,他们将会在未来通过其Twitter账号@NSAcyber公布更多相关的网络安全产品发布和技术指导。     (稿源:cnBeta,封面源自网络。)

黑客组织”匿名者”放言揭露美警察罪行 攻击明州警局

6月1日消息,据国外媒体报道,当地时间上周六晚上,明尼阿波利斯警察局网站自开始有遭到黑客攻击的迹象。几天前,一段据称来自黑客组织“匿名者”(Anonymous)的视频表示,将对乔治·弗洛伊德(George Floyd)在被捕期间遭白人警察 “压颈”后死亡这一事件进行报复。 上周六美国各地城市的抗议者上街游行,反对警察针对黑人的暴力行为。明尼阿波利斯警察局和明尼阿波利斯市的网站暂时无法访问。 到周日上午,这些页面有时会要求访问者提交“验证码”,以验证它们不是机器人。这种工具被用来减缓黑客对网站的攻击。 明尼阿波利斯警察局和市政府的官员没有立即回复置评请求。5月28日,黑客组织“匿名者”在Facebook页面上发布了一段针对明尼阿波利斯警方的视频,在其中指责警方有“可怕的暴力和腐败记录”。 演讲者穿着连帽衫,戴着面具,在视频结尾说,“我们不信任你们这种腐败的组织来执行正义,所以我们将向世界揭露你们的许多罪行。”我们是一个团体。请拭目以待。” 上周末,这段视频在Facebook上被浏览了近230万次。在此期间,抗议者与美国警察执法部门以及国民警卫队发生冲突,暴力事件席卷整个美国。 一些示威活动演变成了骚乱。一些城市实行宵禁,警察有时用橡皮子弹和橡胶棒对付活动人士和报道抗议活动的记者。     (稿源:网易科技,封面源自网络。)

谷歌推出专门网站 帮助人们避免网上诈骗

谷歌周四公布了一个网站,旨在教人们如何发现和避免网上诈骗,因为在冠状病毒大流行的情况下,数字骗局达到了高潮。这家名为Scamspotter.org的网站试图向人们展示如何识别虚假的医疗检查、假的疫苗优惠或其他虚假的医疗信息。该网站还强调了某些典型的骗局模式,比如恋爱诈骗者要求目标人物给他们汇款或给他们买礼品卡。 谷歌与致力于帮助网络欺诈受害者的非营利组织“网络犯罪支持网络”(Cybercrime Support Network)合作推出了这一网站。该网站包括一个小测验,通过常见的诈骗场景,比如收到一条关于赢得夏威夷之旅的消息,通过这个小测验来测试用户反欺诈的能力。 谷歌表示,这项工作是在骗子们以 “惊人的速度 “利用了新冠疫情的情况下进行的。美国人因为COVID-19相关的骗局,已经损失了超过4000万美元。联邦贸易委员会预计,今年将因冠状病毒相关或其他方面的诈骗而损失的金额将超过20亿美元。 本月早些时候,美国联邦贸易委员会警告公众关于相关联系人追踪的短信诈骗,这些骗局要求提供个人信息,如社会安全号、银行账户或信用卡号码等。谷歌和苹果公司已经发布了自己的联络人追踪工具。 谷歌表示,该网站特别针对教育老年人,他们因为诈骗而损失的钱比其他年龄段人多得不成比例。该公司敦促年轻人与生活中的老年人分享网站上的防诈骗信息。     (稿源:cnBeta,封面源自网络。)

Clearview AI 因未经授权收集人像数据而遭到起诉

鉴于伊利诺伊州率先在美启用了有关生物特征测定的隐私保护法律,ACLU 已将未经授权收集人像数据的 Clearview AI 公司告上了法庭。据悉,Clearview AI 涉及在几个月的时间里,从互联网上收集了超过 30 亿张人脸照片。根据周四公布的消息,本次诉讼的共同发起者还包括伊利诺伊公共利益研究小组、以及芝加哥的反性剥削联盟。 《纽约时报》在今年 1 月揭开了 Clearview AI 的灰暗面,报道中详细介绍了该公司计划如何使用人脸识别技术,然而其庞大的数据库却来自 Instagram、YouTube、LinkedIn 等社交媒体平台的未经授权收集。 之所以在伊利诺伊州发起诉讼,是因为目前只有该州通过了《生物识别信息隐私法案》,要求企业必须在使用包括面部识别等个人生物特征信息前获得知书面授权。今年 1 月的时候,Facebook 就已经支付过 5.5 亿美元的和解赔偿金。 ACLU 在一份声明中称,Clearview AI 的所作所为,正是立法机构需要应对的隐私威胁,同时呼吁其它州迅速跟进制定类似的法律。 此外 BuzzFeed News 获得的资料显示,警方正在使用 Clearview AI 来识别性工作者,且该公司一直在向美国移民与海关执法局、以及沃尔玛等私营企业提供面部识别工具。 为了提起本次诉讼,ACLU 特地与 Edelson PC 律师事务所达成了合作,后者曾参与今年 1 月落定的针对社交媒体巨头 Facebook 的面部识别诉讼。 目前原告方正寻求伊利诺伊州的法院命令,以迫使 Clearview AI 删除未经同意手机的该州居民的照片、并停止收集新的照片,直到其行为符合《生物识别信息隐私法案》的要求为止。     (稿源:cnBeta,封面源自网络。)

为防受邮件漏洞影响 德国 BSI 敦促 iPhone 用户尽快安装安全更新

据外媒报道,德国联邦安全局(BSI)敦促iPhone用户尽快安装苹果发布的最新安全更新以解决邮件应用中存在的一个关键漏洞。据悉,这一安全漏洞由网络安全组织ZecOps发现,据信从3.1.3开始的所有版本的iOS操作系统都在受影响范围内。这意味着最新一代的iPhone也很容易受到攻击。 攻击者可以通过该漏洞访问用户邮件应用中的内容。 苹果已经在上周发布的iOS 13.5解决了这一漏洞,现在BSI希望每个人都尽快安装这个新版本。 BSI日前在更新的信息中写道:“苹果已经发布了iOS 12.4.7、iOS 13.5和iPadOS 13.5的安全更新,它们解决了所有受影响iOS版本的漏洞。由于漏洞的严重性,BSI建议立即将相应的安全更新应用于所有受影响的设备。iOS邮件应用在更新后可以再次使用。” 然而重要的是,尽管苹果承认存在这些问题,但这家公司表示,仅凭这些还不足具备访问邮件应用数据的能力。 据悉,想要安装iOS 13.5更新的用户可以前往设置>通用>软件更新,然后在安装完成后重启设备即可。     (稿源:cnBeta,封面源自网络。)

印度开源接触者跟踪应用 Aarogya Setu

印度政府在 Apache v2 许可证下开源了它的接触者跟踪应用 Aarogya Setu,源代码托管在 GitHub 上。印度政府是在四月初发布了 Aarogya Setu,不到两个月时间其安装量超过了 1.14 亿。印度政府首先公开的是 Android 版本的源代码,iOS 和 KaiOS(基于 Firefox OS)版本的源代码将在未来几周内释出。 印度电子和信息技术部部长 Ajay Prakash Sawhney 表示公开源代码允许其他人检查和寻找漏洞,政府将提供最高 1,325 美元的奖励给发现和报告漏洞的人。其它国家也在 GitHub 上释出了官方接触者跟踪应用的源代码,如澳大利亚。     (稿源:solidot,封面源自网络。)

因社交平台隐私问题 Twitter 和 WhatsApp 或面临欧洲制裁

Twitter以及Facebook旗下的WhatsApp又成了欧洲的攻击对象,围绕数据保护问题,欧洲很快就有可能会对美国科技巨头发起制裁。爱尔兰数据保护委员会称,针对Twitter数据泄露问题,5月22日确定一份草案,委员会呼吁欧盟其它国家在草案上签字同意。 委员会还说,在调查WhatsApp数据分享透明度时完成这份决定草案。按照要求,针对任何提出的制裁,Facebook服务必须发表评论,然后方便欧盟各国进行评估。 2018年5月,《通用数据保护条例》(General Data Protection Regulation,GDPR)正式生效,之后爱尔兰当局加大调查力度,但并没有给出最终决定。一些美国大型科技公司成为调查对象,包括Twitter、Facebook、谷歌、苹果,爱尔兰数据保护委员会是调查的主要倡导者。 如果发现企业严重违规,《通用数据保护条例》允许监管者处以年营收最高4%的罚款。法国监管机构之前曾向谷歌开出5000万欧元罚单,这是至今为止最大的数据保护罚单。 爱尔兰数据保护委员会还说,其它一些案件也取得进展,比如针对Facebook当地部门的尽职调查,委员会想知道Facebook是否为个人数据处理确立法律基础。     (稿源:新浪科技,封面源自网络。)

Wolf 恶意软件再次发起攻击

泰国Android设备用户正受到“ WolfRAT”的DenDroid升级版的攻击,目前,它主要针对如WhatsApp,Facebook Messenger和Line等社交软件。该升级版主要由臭名昭著的Wolf Research进行操作。其操作水平相当业余,主要进行代码重叠,开源项目复制粘贴,类的实例化,不稳定的程序打包和不安全的面板操作。 相关背景 思科Talos根据DenDroid恶意软件系列的泄漏发现了一种新的Android恶意软件,由于该恶意软件(其命令和控制(C2)基础结构)与Wolf Research之间的结构重合以及字符串的引用,因此我们将其命名为“ WolfRAT”。目前该开发团队似乎已经关闭,但黑客们还是非常活跃。 我们发现了一些针对泰国用户及其设备的攻击活动,部分C2服务器就在泰国。它的面板中有着泰文的JavaScript注释、域名还有泰式食品的引用,通过这些策略,诱使用户对这些面板进行访问,其过程并不复杂。 运作过程 该恶意软件模仿一些合法服务进程,如Google服务,GooglePlay或Flash更新。其操作主要是对于网络上大量的公共资源进行复制粘贴。 造成的后果 在被丹麦的威胁情报公司CSIS Group公开谴责之后,Wolf Research被关闭但成立了一个名为LokD的新组织,该组织致力于Android设备的安全保护。但由于设备的共享以及面板名被遗忘,我们认为该组织的黑客依然活跃而且还在进行开恶意软件的深层开发。此外,在C2面板上我们还发现了Wolf Research与另一个名为Coralco Tech的塞浦路斯组织之间存在潜在联系,而这个组织还在进行技术拦截研究。   …… 更多内容请至Seebug Paper阅读全文:https://paper.seebug.org/1216/     消息来源:talosintelligence, 译者:dengdeng。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接