分类: 国际动态

黑客称可通过“合成点击”绕开 macOS 安全警报

8 月 13 日消息,据国外媒体报道,在拉斯维加斯周日举行的防御黑客大会(DefCon hacker conference)上,美国国家安全局前雇员、知名 Mac 电脑黑客帕特里克·沃德尔(Patrick Wardle)对苹果 macOS 操作系统进行安全攻击,其通过所谓的“合成点击”(synthetic click)让恶意软件轻而易举地通过了系统安全警报。 沃德尔认为,这种绕过 macOS 操作系统安全机制的方法或许能够窃取用户电脑中存在的联系人,甚至于进入操作系统内核,完全控制电脑。 据悉,操作系统常常通过让用户选择“允许”或“拒绝”程序访问敏感数据或功能,从而创建一个检查点,阻止恶意软件,同时让正常的应用程序通过。但沃德尔的方法能够帮助恶意软件渗透到计算机的安全层内。 作为 Digita 安全公司的一名安全研究员,沃德尔表示,“如果你有一种方法与系统发出的警报进行综合交互,你就拥有了一种可以绕开安全机制的强大方法。” 但是,沃德尔的合成点击方法绕过的弹窗提示对用户来说仍然可见,苹果 macOS 操作系统依旧会提示用户电脑上存在恶意软件。但沃德尔表示,恶意软件可以等待用户离开机器的时候再去触发并绕过弹窗提示。 沃德尔承认,他的“合成点击”攻击并不能直接侵入Mac操作系统内部或控制电脑。但在某些黑客手中,它们可能是一个危险的工具,让老练的攻击者从计算机中窃取更多数据或获得更深层控制。     稿源:网易科技,封面源自网络;

微软宣布面向决策者的“网络安全政策框架”白皮书

过去几年,网络攻击变得越来越普遍。除了传统的恶意团体,甚至还冒出了一些“更具背景”的幕后主使者的身影。在新形势下,这使得高层决策者难以通过制定法律来对抗这些威胁。而为了化解这一困境,微软刚刚发布了一份名为《网络安全政策框架》的白皮书。在长达 44 页的篇幅中,微软概述了决策者如何制定有效的政策、而无需经理不必要的障碍。 访问: 微软中国官方商城 – 首页 微软强调称,白皮书本身并不是一部完整的“网络安全法律”草案,反而更像是一份“伞状文件”,呈现了网络政策更加高级、抽象的一面。 具体说来,该文件侧重于以下方面: ● 国家级网络安全战略; ● 如何建立国家级网络机构; ● 如何制定和更新网络犯罪法案; ● 如何开发和更新关键基础设施的保护措施; ● 全球性网络安全战略。 微软表示,即便该公司已经与各国政策制定者合作多年,但本白皮书中的信息在其它地方并不易获得。 微软网络安全政策主管 Angela McKay 补充道: 鉴于技术的变化和创新是始终持续的,为应对网络安全所带来的影响,我司已经且将永远有更多的工作要做。 今天,我们很高兴将这一资源用于支持新一代的决策者们、并期待与其展开合作,以共同应对未来将面临的新挑战。 微软“网络安全政策框架白皮书”: 引用页 |(PDF)       稿源:cnBeta.COM,编译自:Neowin ,封面源自网络;

Cortana 被爆安全漏洞:可绕过 Windows 10 锁屏获取用户隐私

本周在拉斯维加斯举行的 Black Hat 会议上,来自 Kzen Networks 的安全研究人员 Amichai Shulman 和 Tal Be’ery 透露:可利用 Cortana 漏洞绕过 Windows 10 系统的安全保护。值得注意的是,该漏洞已经于今年 6 月份进行了修复。 访问: 微软中国官方商城 – 首页       完整幻灯片地址 访问这里 研究人员表示:“允许同已经锁定的设备进行交互是非常危险的架构决策,而且早些时候我们曝光了 Cortana 的 Voice of Esau (VoE) 漏洞。VoE 漏洞允许攻击者通过整合语音命令和网络欺诈来接管已经锁定的 Windows 10 设备,并向受害设备发送恶意负载”。 “在本次演示中,我们将展示发现的 ‘Open Sesame’ 漏洞,这是危险程度很高的 Cortana 漏洞,能够允许攻击者接管锁屏的设备,并执行任意代码。利用 ‘Open Sesame’ 漏洞攻击可以查看敏感文件(文本和媒体)、浏览任意网站,从网络下载和执行任意可执行文件,并且在某些情况下可以获得最高级别权限。而且更为糟糕的是,该漏洞并不涉及任何外部代码、也不涉及系统调用,因此防病毒和反恶意软件以及 IPS 不会检测到这样的攻击。”     稿源:cnBeta.COM,封面源自网络;

谷歌工程总监:用户不该操心网络安全 科技巨头需付出更多努力

在周三于拉斯维加斯举行的黑帽网络安全会议上,“谷歌安全公主”Parisa Tabriz 发表了主题演讲,期间讨论了与网络安装状况有关的问题。其主旨是,在线安全不应该是用户关注的重点所在,所以科技巨头们需要作出更多的努力。人们在日常生活中,一直被网络攻击的阴霾所笼罩,比如黑客会以电子邮件、信用卡、甚至政治为目标,由此带来了许多安全顾虑。 她在周二接受采访时称:所谓安全,应该是技术巨头们可以在网络上轻松保护每个人。 其为谷歌设立的终极目标是 —— 让安全成为第二天性,而不是你必须积极考虑实现的目标 —— 显然,这取决于互联网的“建筑师”们。 这趟旅程的重点是保障人们在 Web 上创建内容,但在默认设置下,他们中的绝大多数甚至根本不需要考虑这个问题。 虽然不知道何时会发生,但我认为事情正在朝着正确的方向去发展。 显然,Parisa Tabriz 想要避免制造让用户感到疲劳的“过多警告”。因为在频繁弹出警示信息的情况下,人们会开始变得相当麻木。 在过去四年时间里,谷歌发现了这一点,并且希望努力扭转该问题。值得庆幸的是,许多与 HTTPS 相关的安全指标,最终都会化解这个问题。 我们做了很多工作,使警告信息更易于理解、并了解对用户拥有的内容。作为一个普通人,你或许已经在过去两个月中留意到了一些变化。 比如,Chrome 地址栏前会显示一个绿色的锁状图标,并在旁边标注为‘安全’,以便告诉人们当前页面上的信息是值得信赖的。 不过 Parisa Tabriz 指出,谷歌最终还是决定摆脱它,因为该公司希望让安全性成为一个默认的事情,高亮的标签反而更显突兀。 于是在 7 月份的时候,Chrome 转而瞄准了哪些未使用 HTTPS 保护的网站,并在地址栏前显示‘不安全’。 不过,为了营造一个更加完全的互联网,所有科技巨头都必须投入其中 —— 而不仅仅依赖谷歌一个人的工作。 如果只有 Facebook 和谷歌在使用 HTTPS,那显然是不行的。即便访问的是个人博客网站,也必须让网友们相信,其阅读的是真正的内容,而没有被 ISP 给篡改。 好消息是,在 Let’s Encrypt 的倡议下,谷歌与 Mozilla 这两大浏览器厂商在合力推动 HTTPS 的采用。   稿源:cnBeta,封面源自网络;

美国土安全局官员透露手机存安全漏洞 数百万美国用户受影响

本周在拉斯维加斯召开的Black Hat峰会上,国土安全部官员Vincent Sritapan向新闻机构Fifth Domain透露:当前智能手机中存在安全漏洞。报道称该漏洞涉及美国四大通信运营商(Verizon,AT&T,T-Mobile和Sprint),数百万美国智能手机用户受到影响。 具体表现在黑客可以通过这些漏洞可以在用户不知情的情况下访问用户的电子邮件、短信等等。 Kryptowire是一家由美国国土安全部投资的移动安全公司,公司近期研究发现了这些漏洞。 Kryptowire创始人Angelos Stavrou在接受Fifth Domain采访时候表示:“可以在用户不知情的情况下对个人发起攻击。早在今年2月份就已经向设备厂商发送了通知,不过依然有部分制造商没有公开补丁进程,因此开发人员不确认设备制造商是否已经修复。”   稿源:cnBeta,封面源自网络;

未遵守欧盟 GDPR 美国超千家新闻网站在欧洲遭封杀

(原标题:More than 1,000 U.S. news sites are still unavailable in Europe, two months after GDPR took effect) 网易科技讯 8 月 8 日消息,据国外媒体报道,欧盟《一般数据保护条例》(GDPR)于今年 5 月 25 日生效之后,到目前为止仍然有超过 1000 家美国新闻网站在欧洲无法访问。 在 GDPR 生效两个多月后,包括 Tronc 旗下《洛杉矶时报》、《李氏企业》 Lee Enterprises 和 GateHouse Media 等数百家美国新闻网站在欧洲无法访问,这让许多前往欧洲的美国游客、商务旅行者、以及对美国新闻感兴趣的欧洲人感到沮丧。 5 月 25 日以来,许多社交媒体的帖子都抱怨说,美国某些新闻网站在欧洲无法访问。为此,一些人责怪欧盟。 GDPR 要求网站在收集个人信息之前获得用户的同意,解释收集什么数据以及收集的原因,并在有要求时要删除用户的信息。违反 GDPR 会被处以巨额罚款,罚款额度最高可达公司年收入的 4%。 网站拥有对接 GDPR 长达两年的准备时间。因到截至时间未能遵守 GDPR ,在美国 100 家最大的报纸媒体中,约有三分之一的网站在欧洲无法访问,这些网站包括“芝加哥论坛报”、“ 纽约每日新闻”、“达拉斯早报”、“每日新闻”和“弗吉尼亚导报”。 据跟踪这一问题的英国人约瑟夫.奥康纳(Joseph O’Connor)称,截至本周一,有超过 1000 家美国网站在欧洲无法访问。     稿源:网易科技 ,封面源自网络;

五角大楼发布最新禁令:禁止工作人员使用健身手环等设备

五角大楼发布最新禁令:禁止工作人员使用健身追踪器、智能手机的 GPS 功能,以及获得地理位置权限功能的约会  APP,以阻止泄露工作人员的地理位置信息。该禁令于上周五宣布,并由国防部副部长帕特里克·沙纳汉签署生效。在备忘录中写道:“该禁令立即生效。国防部工作人员在指定区域内禁止使用地理定位功能,禁止在政府配发、非政府配发的设备,应用和服务上使用该功能。” 五角大楼在今年 1 月份的调查中,发现 Strava 这款健身 APP 能够映射用户的健身习惯,而这极有可能会透露国防部在全球的安全位置。五角大楼发言人 Col. Rob Manning 在接受记者采访时候表示:“这项禁令可以确保我们不会便宜了敌人,确保不会展示我们军队确切位置。”虽然设备本身不会被禁用,但会有服务人员确保地理定位功能处于禁用状态。   稿源:cnBeta.COM,封面源自网络;

外媒:FCC 承认对网络攻击事件撒谎 以避免网络中立评论

据外媒 BGR 报道,去年美国联邦通信委员会(FCC)投票推翻了网络中立规则,此举是引发数百万人在发给 FCC 的评论中进行抗议。但随后美国联邦通信委员会的公众评论系统因技术故障而导致更多的人无法发表评论。美国联邦通信委员会曾对外宣称,这种技术故障是由于分布式拒绝服务(DDoS)攻击导致,这是一种常见的黑客攻击工具。 监察长办公室已对该问题进行了调查,并准备发布一份报告,该报告已提交给美国联邦通信委员会但尚未公开。然而美国联邦通信委员会的最新声明证实:“攻击”完全是假的。 关于报告的调查结果,我非常失望的是,美国联邦通信委员会的前首席信息官(被前任政府雇用并且不再在委员会工作),向我、我的办公室、美国国会和美国民众提供了有关此事件的不准确信息。” FCC 主席 Ajit Pai 在一份声明中表示。“这是完全不可接受的。我也很失望有些在前首席信息官手下工作的人显然要么不同意他提出的信息,要么对此有疑问,但却不愿意向我或我的办公室传达他们的担忧。” 民主党联邦通信委员会专员 Jessica Rosenworcel 更简洁地指出:“监察长报告告诉我们我们一直都知道的事情:联邦通信委员会声称在网络中立程序中其成为 DDoS 攻击的受害者的说法是虚假的。” “在 Ajit Pai 的领导下,联邦通信委员会破坏了自己的公众评论程序。从忽略使用被盗名称和地址发表的数以百万计的欺诈性评论到对未曾发生的 DDoS 攻击的彻头彻尾的谎言,该机构肆无忌惮地放弃了维护公众言论自由的责任,“倡导组织 Fight for the Future 在一份声明表示。“ Pai 试图责怪他的工作人员,但这发生在他的监管之下,他一再阻挠立法者和新闻界试图得到答案。”   稿源:cnBeta.COM,封面源自网络;

“匿名者”扬言攻击 QAnon 欲揭开阴谋论者“Q”的神秘面纱

据外媒报道,黑客活动群体“匿名者”刚刚在 YouTube 和 Twitter 上向 QAnon 发出了威胁,扬言在星期天攻击该“挺川”运动及其创建者。在 3 分钟的视频中,“匿名者”威胁攻破线上阴谋论 QAnon,因后者已从互联网越步至现实生活中 —— 其支持者甚至在佛罗里达州坦帕湾的集会上挥舞起了“Q”记号。“匿名者”担心,QAnon 的活动可能会对现实生活带来不利影响。 去年晚些时候,有人开始以“Q”的名义,在匿名看板上预告或点评重大事件。虽然无人知晓其幕后身份(有可能不止一个人在运营该账号),但其言论吸引了许多阴谋论爱好者的关注。 一位变声后的“匿名者”在视频中称,有人将会受到伤害,所以该团体呼吁大家一起采取行动。“匿名者”声称他们已经制定了计划,因其无法对人们被误导和利用一事做到袖手旁观。 对于这一威胁(#OpAQnon),QAnon 的 Twitter 账户并未立即作出回应。   稿源:cnBeta.COM,封面源自网络;

研究显示超过 56% 的加密货币犯罪发生在美国

国际网络安全公司 Group-IB 研究表明,自 2017 年以来,加密货币用户被入侵帐户的数量增加了 369% 。与 Hard Fork 共享的数据显示,所有受害者中有三分之一位于美国。前 19 名交易所中的每一个都受到了冲击,共有 720 个用户名和密码被盗。 数据显示,被盗密码事件比 1 月份的月平均值高出 689% ,黑客攻击率甚至反映了市场高位。 19 个交易所中至少有 5 个遭受攻击,导致加密货币损失 8000 万美元。报告称,50 个活跃的僵尸网络也在不断攻击用户,超过一半的恶意流量来自美国,而来自于荷兰的恶意流量则为 21.5% 。 僵尸网络正在被特洛伊木马提供给新成员,特洛伊木马是一种经常伪装成无害文件或程序的恶意软件。当它与之交互时,病毒会迫使机器成为被奴役计算机网络的一部分 – 或僵尸网络。通常,计算机贡献他们的计算能力来完成任务,但是最近,对巴西 MicroTik 路由器用户的零日攻击,让它们成为挖矿僵尸网络的一部分。 虽然该报告承认网络钓鱼攻击仍然普遍存在,但黑客攻击工具正变得越来越复杂,它指出,攻击模式类似于高科技银行抢劫的模式,使用修改后的软件来定位交易所,这些交易所根本没有为最坏的情况做好准备。用户和交易所都没有使用双因素身份验证(2FA)。更令人吃惊的是,在 720 个被入侵的帐户中,五分之一的人使用了短于八个字符的密码。     稿源:cnBeta.COM,封面源自网络;