分类: 推荐阅读

GitHub 在其内部日志中记录了明文密码

近期,有一定数量的用户认为,GitHub 密码重置功能中存在 Bug,公司内部日志内的明文格式记录了用户的密码。该公司表示,明文密码只向少数可以访问这些日志的 GitHub 员工公开,没有其他 GitHub 用户看到用户的明文密码。 GitHub 说,通常情况下,密码是安全的,因为它们是用 bcrypt 算法散列的。该公司指责其内部日志中存在明文密码的错误。只有最近重置密码的用户才受到影响,受影响的用户数量预计很低。数十名用户分享了他们今天早些时候在 Twitter 上收到的 GitHub 电子邮件的图片。最初,用户认为这是一个大规模的网络钓鱼攻击。GitHub 表示,它在例行审计中发现了它的错误,并明确表示它的服务器没有被黑客入侵。 稿源:freebuf,封面源自网络;

研究人员发现大众、奥迪易受黑客远程攻击

一家荷兰网络安全公司发现,部署大众汽车集团部分车型的车载信息娱乐(IVI)系统容易受到远程黑客攻击。 Computest 的安全研究人员 Daan Keuper 和 Thijs Alkemade 表示,他们成功验证了他们的发现并利用大众 Golf GTE 和奥迪 A3 Sportback e-tron 车型(奥迪是大众汽车集团的品牌部分)的连锁店。利用汽车的WiFi连接来利用一个暴露的接口,并获得由电子产品供应商 Harman 制造的汽车 IVI。研究人员还可以访问 IVI 系统的根帐户,们允许他们访问其他汽车数据。在某些情况下,攻击者可以通过车载套件收听司机正在进行的谈话,打开和关闭麦克风,以及访问完整的地址簿和对话历史记录。 稿源:freebuf,封面源自网络;

用于崩溃多数最新 Windows 版本的 POC 代码已发布

近日,一名罗马尼亚硬件专家在 GitHub 上发布了能立即崩溃多数 Windows 版本的 POC 代码,即使计算机处于锁定状态也能在几秒钟内崩溃。据悉,该 PoC 利用了微软处理 NTFS 文件系统映像时存在的一个漏洞,该漏洞由 Bitdefender 公司的研究员 Marius Tivadar 发现。 NTFS 漏洞和 Windows autoplay 功能不完全兼容 该 POC 中包含了一个格式错误的 NTFS 映像,用户可以提取该映像并将其放在 U 盘中。当 Windows 计算机中插入了该U盘后,系统会在几秒内崩溃,导致死机蓝屏(BSOD)。 Tivadar 在详细说明该漏洞情况及其影响时指出,Windows autoplay 功能被默认激活。即使它被禁用,当文件被访问时,系统也会崩溃。例如,当 Windows Defender 扫描或使用其它工具打开 U 盘时就能够导致系统崩溃。 微软拒绝修复 其实 Tivadar 早在 2017 年 7 月就此问题与微软联系,但是微软拒绝将此问题归类为安全漏洞。微软降低了该漏洞的严重程度,因为他们认为利用漏洞需要物理访问或社交工程(指欺骗用户)。 不过 Tivadar 并不同意微软方面的解释。他指出,物理访问不一定是必需的,因为攻击者可以使用恶意软件远程部署 POC。 NTFS 漏洞也会导致锁定的 PC 崩溃 Tivadar 认为 NTFS 漏洞比微软认为的更危险,因为它也可以在 PC 锁定的情况下工作。Tivadar 表示操作系统不应该从插入端口的随机 U盘中读取数据。一般来说,当系统被锁定并且外部设备插入机器时,不应该加载驱动程序和执行代码。 完整 POC: 《 PoC for a NTFS crash that I discovered, in various Windows versions 》 消息来源:bleepingcomputer,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

PDF 文件可被用于盗取 Windows 凭证

CheckPoint 的研究人员近日发布报告称 PDF 文件可被恶意攻击者利用,在无需用户交互的情况下,只需打开文件就能窃取 Windows 凭证(NTLM 哈希)。PDF 的规范特征可以为GoToE 和 GoToR 远程加载内容。如果用户打开攻击者特制的 PDF 文档,就会自动向远程恶意 SMB 服务器发送请求。 由于所有的 SMB 请求都会 包含 NTLM 哈希用于认证,因此远程 SMB 服务器的日志中会记录相关哈希值,使用工具即可破解并获取密码。 专家表示,几乎所有 PDF 阅读器都可能受到这种攻击。FoxIT 尚未对此作出回应,而 Adobe 则表示不计划修复调整。微软则发布了 ADV170014 修复建议,指导用户关闭 Windows 操作系统中的 NTLM SSO 认证。 稿源:freebuf,封面源自网络;

如何从气隙 PC 中窃取冷存储设备上的加密货币钱包私钥?

以色列本古里安大学研发团队负责人 Mordechai Guri 博士自展示了从气密电脑中窃取数据的各种方法后,现在又发布了一个名为“ BeatCoin ”的新研究 — 关于如何窃取安装在冷存储设备上的加密货币钱包私钥。 BeatCoin不是一种新的黑客技术,相反,这是一项实验,研究人员演示了所有以前发现的带外通信方式的方法,这些方法可以用来窃取在冷存储设备上的加密货币钱包私钥。 冷存储:将加密货币保护在完全脱机的设备上的钱包中称为冷存储。由于在线数字钱包存在不同的安全风险,因此有些人更喜欢将私钥保持在离线状态。 气隙电脑是那些与互联网、本地网络、蓝牙隔离的难以渗透的电脑,因此被认为是最安全的设备。 对于 BeatCoin 实验,Guri 博士在运行比特币钱包应用程序的气隙电脑上部署了恶意软件,然后逐个执行每个攻击媒介,并通过隐蔽通道将钱包密钥传输到附近的设备。 “在对抗攻击模式中,攻击者渗透到离线钱包,并试图使用恶意软件感染。恶意软件可以在钱包初始安装期间预先安装或推入,也能够当可移动介质(例如 USB 闪存驱动器)插入钱包的计算机中以签署交易时感染系统。在过去的十年中,这些攻击载体一再被证明是可行的”,论文[ PDF ]写道。 目前根据 Guri 测试,AirHopper、MOSQUITO 和超声波技术是将 256 位私钥传输到远程接收器的最快方式,而 Diskfiltration 和 Fansmitter 方法则需要数分钟时间。 Guri  分享了两个视频来进一步说明研究情况(展示视频 1, 展示视频 2): 第一个展示了从一台有气隙的计算机上泄漏私钥,这几乎不需要几秒钟就可以使用超声波将数据传输到附近的智能手机。在第二个视频中,研究人员使用 RadIoT 攻击将存储在 Raspberry Pi 设备上的私钥传输到附近的智能手机,这是一种通过无线电信号从气密物联网(IoT)和嵌入式设备中泄露数据的技术。 “嵌入式设备的各种总线和通用输入/输出(GPIO)引脚产生的无线电信号可以用二进制数据进行调制,在这种情况下,传输可以通过位于附近的 AM 或 FM 接收器设备。 在本月早些时候发布的最新研究报告中,Guri 的团队还展示了黑客如何利用 “通过电力线传播”的电流流动中的功率波动,从气隙计算机中隐藏高度敏感的数据。 消息来源:Thehackernews,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

微软:2017 年报告技术支持骗局超 15.3 万起 比去年增长 24%

近年来技术支持诈骗已经成为窃取用户个人信息的主要方式,除了传统的邮件、伪造的网站和各种错误警告之外,黑客还会利用各种恶意软件以及未经请求的电话方式来开展恶意活动。然而外媒 ZDNet 表示,这种情况在未来只会变得更加糟糕。 在刚刚过去的 2017 年,微软客户支付服务收到来自全球 183 个国家,总共超过 15.3 起关于技术支持诈骗的案件。Windows Defender 研究项目经理 Erik Wahlstrom 表示,案件数量比 2016 年多了 24%。 Wahlstrom 表示除了个人被窃取之外,在这些案件中还有15%的人会遭遇经济损失,平均损失在 200 美元至 400 美元之间。去年 12 月份,就有不少人被诈骗为伪装的安全软件支付 25 美元。同月,微软收到来自荷兰的技术支持诈骗,结果用户银行账户损失了 89000 欧元(约合 68.7 万人民币)。 稿源:cnBeta,封面源自网络。

英特尔发布新技术,利用内置 GPU 扫描恶意程序

英特尔昨天在 RSA 2018 安全会议上发布了几项新技术,其中一项功能是把病毒扫描嵌入了一些英特尔 CPU 的集成图形处理器上。这项新技术的名称是英特尔加速内存扫描( Intel Accelerated Memory Scanning )。英特尔表示,这项新功能让杀毒引擎减少 CPU 利用率,为其他应用程序腾出资源,同时,使用嵌入式 GPU 还会节省电池寿命。 给杀软跑分 目前,所有安全软件都使用计算机的 CPU 来扫描本地文件系统中的恶意软件,但往往对系统资源消耗极大。 “英特尔测试系统跑分显示,CPU 利用率从 20% 下降到仅 2% ,”英特尔副总裁 Rick Echevarria 在新闻稿中提到。 Windows Defender 的商业版本 Microsoft Windows Defender Advanced Threat Protection (ATP),已经使用该功能。 其他英特尔安全功能 除了加速内存扫描外,英特尔还在昨天的 RSA 活动上推出了另外两项新技术。 一是英特尔高级平台遥测技术,这是一种将平台遥测与机器学习相结合的工具,可加快威胁检测。思科表示思科 Tetration 平台将部署这项新技术,该平台为全球数据中心提供安全保护。 二是 Intel Security Essentials,它是一系列可信根硬件安全功能的集合,部署在英特尔的 Core,Xeon 和 Atom 处理器系列中。 “这些功能是用于安全启动、硬件保护(用于数据,密钥和其他数字资产)、加速加密和开辟可信执行区的平台完整性技术,以在运行时保护应用程序,”Echevarria 说。 尽管没有透露任何其他细节,英特尔表示,Security Essentials 功能都是基于硬件的硅级安全功能,旨在让应用程序开发人员构建专注于安全的应用程序,以安全方式处理敏感数据。 稿源:freebuf,封面源自网络;

微软和其他第三方防病毒应用因为可能的威胁禁止 uTorrent 运行

由于可能会在微软桌面操作系统上产生威胁,Windows Defender 这个绑定到 Windows 8.1 和 Windows 10 的默认防病毒解决方案以及多个第三方安全产品已经开始阻止 BitTorrent 客户端 uTorrent。该应用程序被 Windows Defender,ESET的NOD32,Sophos 防病毒引擎和其他一些标记为可能不需要的软件(也称为可能不需要的应用程序或 PUA )。 卡巴斯基,Bitdefender,Avast和F-Secure 都声称 uTorrent 是干净的。 此时,目前还不知道是什么触发了该模块,但据信内置模块(如 Web Companion )可能是罪魁祸首,尽管母公司 BitTorrent 将这些安全警告描述为误报。 虽然这个警告可能是针对 uTorrent 捆绑在一起的软件,但 BitTorrent 表示,这个问题只影响其网站上托管的三个安装程序中的一个,这个安装程序通常只有 5% 的用户使用。这意味着少数系统得到了警告。 稿源:cnBeta,封面源自网络  

微软正式停止支持 Windows 10 一周年更新

在“周二更新补丁日”,微软今天宣布停止支持 Windows 10 version 1607,也就是 Windows 10一周年更新 14393 版本,包括 Windows 10 家庭版和 Windows 10 专业版用户。如果你还停留在 Win10 一周年更新上,那么此后将不会收到微软推送的月度安全补丁和更新等。 微软在一份关于 Windows 10 1607 版本周二更新补丁说明中表示: Windows 10 version 1607 将在 2018 年 4 月 10 日停止支持,运行 Windows 10 家庭版或专业版的设备将不会收到月度安全和质量更新,这些更新包含了对最新威胁的保护处理。要继续接收安全和质量更新,微软建议升级到最新版本的 Windows 10。 本次 Win10 一周年更新停止服务支持,家庭版和专业版用户受到直接影响,但 Windows 10 教育版将延长 6 个月的支持,也就是在 2018 年 10 月 9 日之前还会继续更新。今天 Windows 10 1511 企业版和教育版的额外支持服务也停止支持。 这是微软 Windows 即服务(WaaS)模型的一部分内容,该公司认为将进行频繁更新,但每个 Windows 大版本支持的周期会缩短,微软希望用户可以及时升级到最新的 Windows 10 系统版本,提供最新和最安全的服务。 稿源:新浪科技,封面源自网络;

华尔街日报:Facebook隐私丑闻把苹果谷歌一块拖下水

近日,《华尔街日报》科技专栏作家克里斯托弗·米姆斯( Christopher Mims )周日撰文称,在用户隐私保护上,美国科技巨头过去几乎处于自由放任的监管环境中,自律意识淡薄,但是一切即将改变。虽然现在只有 Facebook 数据泄露丑闻被曝光,但是苹果、谷歌、亚马逊的“底子也不干净”,也会被一同纳入监管。 文章内容如下: 我们终于认识到了一个现实:我们不仅仅是 Facebook、谷歌等公司的“产品”。正如一位硅谷投资者所言,我们还是他们增长的助推剂。 至少,从我们的个人数据来讲是这样的。每周,我们似乎都能在美国和欧洲听到关于我们信息被盗、被泄露和利用的最新报道。同时,人们不断呼吁政府加强监管和消费者保护。 我们认识不够的是,苹果、亚马逊公司同时会受到多大程度的影响,不管是正面影响还是负面影响,因为他们必须与付费用户保持直接联系。(另一科技巨头微软公司在智能机革命过程中并未发挥重大影响力,也没有实现与其他公司类似的增长,但是也必须遵守未来出台的监管规定)。 过去 10 年,营收和市值的爆炸式增长足以令这四家公司傲视全球经济。但是,他们身处的自由放任的监管环境似乎真的即将结束。 Facebook 是导火索 Facebook 是造成科技巨头面临更严格监管的导火索:在政治圈里,公众人物的表态和近期调查显示,美国人突然对 Facebook 的“权力”感到更加担心。就在 6 个月前,这种担心还有些杞人忧天,但是现在却成了现实。密苏里州总检察长正要求 Facebook 披露哪些政治活动通过付费方式获得了用户个人数据,以及用户是否知道个人信息被分享。 在欧洲,严格的数据保护规定《通用数据保护条例》(GDPR)将在今年 5 月 25 日生效。《通用数据保护条例》加入了“有效而且具有劝诫作用”的罚款。根据违例程度的不同,包括不当处理个人数据,让儿童使用非适龄服务或查看不宜内容等,最高罚款可达到一家公司全球营收的 4%。按照 2017 年营收计算,Facebook 可能面临 16 亿美元罚款。 Facebook CEO 马克·扎克伯格( Mark Zuckerberg )近期表示,他的公司正在努力把《通用数据保护条例》适用范围扩大到每一名用户身上。他还表示,Facebook 等公司的自律必不可少,并支持对发布政治广告的互联网公司进行检查。在这一点上,Facebook 此前就已经承诺过。 苹果谷歌亚马逊受波及 谷歌的广告模式对数据的需求程度与 Facebook 不相上下,只是不收集我们的搜索历史和位置。谷歌旗下 YouTube 平台能够追踪用户的媒体喜好。自 2012 年以来,谷歌从其所有产品中收集我们的数据。 在与监管部门打交道上,谷歌更有经验。2013 年,谷歌与美国联邦贸易委员会就竞争争议达成和解。几个月来,谷歌一直在宣传他们在遵守《通用数据保护条例》上付出的努力。不过,和Facebook不同的是,谷歌并不打算把类似于《通用数据保护条例》的规定应用到所有国家,所以类似规定应该不会很快在美国实施。 亚马逊已经在运营一项年营收达到 28 亿美元的广告业务,通过收集数据投放目标广告。鉴于亚马逊的零售和广告生态系统几乎能够自给自足,所以它不必像对手那样对其许多行为展开大幅调整。不过,《通用数据保护条例》对亚马逊造成的负担目前还不清楚,这需要用户以及他们律师的检验。 “长期以来,亚马逊一直坚守在隐私和数据安全上的承诺。当《通用数据保护条例》生效后,我们致力于遵守它的规定,”亚马逊发言人称。 《通用数据保护条例》很可能会在短期内加强苹果在隐私保护上的声望。“苹果会发现,《通用数据保护条例》与他们的价值观十分契合,”Facebook 早期投资人罗杰·迈克内米(Roger McNamee)表示。 苹果 CEO蒂姆·库克(Tim Cook)称,他们从来不会在用户隐私上犯下和 Facebook 一样的错误。但是,库克的信心掩饰了一个事实:现在,绝大多数用户通过移动设备访问 Facebook。如果没有 iPhone 和其他 Android 手机,Facebook 甚至都不会存在。 苹果还为开发者获取有利可图的个人信息创造了机会。例如,iPhone 和 Android 手机的权限设置模糊,这就意味着我们距离让陌生人出售我们的位置数据只有一次点击。 尽管苹果在 App Store 中实施了隐私规定,要求开发者在获得不同寻常的丰富信息时需要获得用户的同意,但是它并不要求每一位开发者按照相同的严格标准保护隐私。 现在,Facebook 可能是被报道最多的公司,但是从长期来看,苹果、谷歌以及亚马逊很可能也会面临理直气壮的监管部门的审查。监管部门不仅会为企业如何处理用户数据制定新规,还会对直接收集数据的设备进行监管。 稿源:cnBeta、凤凰网科技,封面源自网络;