分类: 推荐阅读

维基解密报告揭露 CIA 如何攻击 iPhone、Android 等手机和智能电视

维基解密近日公布了一份报告,详细说明了美国政府如何攻击我们许多人每天使用的设备,努力获得自己需要的情报。根据这份报告,CIA 可以攻击 iPhone、iPad、Android 设备、PC、路由器甚至智能电视,如果即使这份报告只有一小部分被证明是准确的,也会有一些严重的隐私和安全隐患。 这份报告证实了大多数人对美国政府绕过电脑软件和移动设备内置安全功能进行攻击的假设。例如,CIA 对运行 Windows、Mac OS、Linux 的电脑有许多“零日”漏洞可以利用。 CIA 已经开发了自动化的多平台恶意软件攻击和控制系统,包括针对 Windows、Mac OS X、Solaris、Linux 等操作系统,如 EDB的 HIVE 和相关的 “Cutthroat” 和 “Swindle” 工具。 该报告还详细介绍了 CIA 的技术,允许该机构使用安全社区都不知道的零日安全漏洞,渗透,侵扰和控制 Twitter 账户,无论是 Android 版本还是 iPhone 版本甚至三星智能电视都可以被 CIA 用来窃听谈话,无需特工在房间里。针对三星智能电视的攻击是与英国的 MI5 / BTSS 合作开发,这种攻击代号“哭泣的天使“,攻击之后将让目标电视置于“假关闭”模式,让所有者误认为电视在关机状态。在“假关闭”模式下,电视可以记录在房间里的人声对话,并通过互联网发送到一个隐蔽的 CIA 服务器。 维基解密的这份报告甚至暗示 CIA 正在开发可远程控制某些车辆软件的工具,并允许该机构导致车辆发生“事故”,这实际上是几乎检测不到的暗杀。 稿源:cnBeta;封面源自网络

消费者报告计划将网络安全和隐私保护纳入产品打分体系中

消费者报告(Consumer Reports)是一家在美国拥有极高公信力的非营利机构,主要对汽车、厨房电器等产品进行全方位的审查。本周一,该机构已经同数家外部机构进行合作,开发相应的标准来衡量产品是否容易被黑客入侵,以及衡量产品如何保护用户数据,将网络安全和隐私保护纳入到现有的产品打分体系中。 消费者报告将会逐步实施新的方法,从少量产品评估中开始测试。该机构的电子测试负责人 Maria Rerecich 在电话采访中表示:“这是一个非常复杂的领域,要达到这个目标需要对类目进行很多的细分。” Craigslist 的创始人 Craig Newmark 表示:“用户的网络安全和隐私对于每个人来说都是至关重要的,因此我们迫切需要这样具备公信力的衡量标准。” 稿源:cnBeta;封面源自网络

为避免公开 Tor 漏洞利用源代码,FBI 竟再次放弃指控儿童色情嫌疑人

两个月里的第二次,为避免公开利用 Tor 漏洞的恶意程序源代码,FBI 放弃起诉另一名儿童色情嫌疑人。 2015 年,FBI 在扣押了运行在暗网的儿童色情网站 Playpen 服务器后,部署 NIT 恶意程序去发现 Tor 用户的真实身份,这些用户可能遍布全世界。美国司法部随后对一百多名美国公民提起了多项诉讼,指控他们持有儿童色情。但在一名儿童色情嫌疑人的辩护律师向法庭提出要求,寻求查看恶意程序的源代码,以了解 FBI 在识别用户身份时是否超出了其权限后,联邦检方放弃了起诉。 在最新这起案件中,联邦检方称披露源代码不是目前的选项。目前代表 FBI 的司法部仍然在起诉 135 名被指访问儿童色情网站的嫌疑人。 稿源:solidot 奇客;封面源自网络

Metasploit 发布新开源工具,可用于渗透测试的弱点模拟服务

Metasploit 团队研发出一个新的工具可用于渗透测试的弱点模拟服务(GitHub),这个开源工具被称为 Metasploit 弱点服务模拟器。它为用户提供了一个(开源的)易受攻击的操作系统平台可以让安全专家使用数以千计的 Metasploit 模块模拟各种环境以测试服务可能存在的各种安全问题。 此前,Metasploit 发布过两个操作系统映像 Metasploitable2 和 Metasploitable3 ,这些系统运行非常耗时且模拟环境难以配置,使用起来十分不友好。然而新开发的 Metasploit 服务模拟器填补了这一空白。这是一个开源的框架,能够快速模拟出 100 多易受攻击的服务环境以达到渗透测试的目的。该套工具就像一个高性能的“蜜罐”,可以帮助用户更好的了解安全漏洞的细节。目前该工具适用于 Windows、Mac 或 Linux 系统,不过用户还需提前安装 Perl 。 原作者:Pierluigi Paganini,译者:M帅帅 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

NASA 宣布对公众开放 2017 年至 2018 年软件目录

据外媒报道,日前,NASA 宣布对公众开放其在 2017 年至 2018 年的软件目录。在这份目录中,人们可以找到涵盖 NASA 各任务和科研成果的类别和层面的代码。不过 NASA 表示当中会有一些代码存在限制查看的情况。但不管怎样,这是一次巨大、全面的开放。 据了解,该份目录由 NASA 的 Technology Transfer 项目组整理完成,而这成为 NASA 第三次对外开放如此多的信息。第一次发生在 2014 年 4 月。 用户接下来将可以下载或在线访问最近的软件目录。在里边,他们可以找到关于航空、NASA 行动、推进器、数据处理、数据储存、业务模式等相关的代码。先前公布的数据现在已经为大量企业和个人使用。 针对这次的软件目录开放,NASA Technology Transfer 项目负责人 Dan Lockney 表示: “软件已经成为 NASA 任务成功和科学发现的重要组成部分。实际上,在所有上报的 NASA 创新中,超 30% 都是软件。我们非常高兴向其他机构提供这些工具,并且我们非常期待看到它们得到全新的、创新的使用方式。” 稿源:cnBeta;封面源自网络

智能手机已成黑客攻击的首选目标

据法国法新社 3 月 2 日消息,专家警告称,载有银行数据、信用卡信息和个人地址等数据的智能手机俨然已经成为个人资料库,但这也使其成为网络罪犯的首选攻击目标。国际杀毒软件公司卡巴斯基实验室法国分公司的主管唐吉(Tanguy de Coatpont)在巴塞罗那召开的世界移动通信大会上表示: “哪里的信息有价值,哪里就有网络罪犯的身影。网络罪犯们意识到智能手机已经成为网上购物和支付的首选终端。” 报道称,勒索软件( Ransomware )也已经开始将智能手机作为目标。该软件是一种通过锁住计算机,使用户无法正常使用,并以此胁迫用户支付解锁费用的恶意软件。 专家们在世界移动通信大会上说,现在手机因为能够接触到其用户关键信息,也在受到攻击。英特尔安全事业部法国部门的负责人法比安•雷什( Fabien Rech )表示,网络罪犯的手段已经从用勒索软件攻击智能手机发展为利用窃取的手机银行用户登录凭据的木马病毒软件。他们利用盗窃得来的凭据就可以远程登录受害人的帐户,之后将钱转走。 雷什说:“我们看到越来越多的银行应用程序受到了攻击。” 根据斯洛伐克网络安全公司 ESET 的数据显示,去年全球针对手机银行应用程序的网络攻击频率增加了 17% 。 卡巴斯基实验室的负责人、俄罗斯网络安全专家尤金•卡斯佩尔斯基( Eugene Kaspersky )说,一些年轻网络犯罪分子更擅长利用智能手机。 他说:“我认为前代网络罪犯攻击的目标是个人电脑,而新一代的攻击对象则是智能手机”。 稿源:cnBeta;封面源自网络  

科学家证明他们可在一克 DNA 中存储 215PB 数据

哥伦比亚大学的研究人员已经设法推动 DNA 数据存储的极限,并使令人兴奋的生物技术更接近成为现实。通过利用新技术,他们能够在 DNA 链中存储电影,操作系统和其他数据,并且无错误地检索这些数据。 在这个固态驱动器和 MicroSD 存储盛行的世界,磁带仍然是一些最常用和最重要的存储介质。这是因为存储大量数据,具有可靠性且不会使用大量的资源,仍然是计算机工程师的一个难题。然而,答案可能来自生活世界,即 DNA 存储。 资料图 多年来,科学家已经推理并且证明 DNA 可以用作数据存储介质,并且它具有一些显着的性质,使其成为理想的存储介质。现在,科学家已经设法在 DNA 当中存储比以往任何时候更多的数据,并且已经证明它可以被复制和检索几乎无限多次,具有零错误。 通过使用流式传输和在线压缩视频的数据技术,研究人员能够将 1.6 位数据包装到每个核苷酸中,接近理论极限的 1.8。这听起来不是很多,但科学家证明他们可以有效地在一克 DNA 当中存储 215PB 数据。 该技术还具有其他优点,如高可靠性,以及 DNA 将永远不会过时的事实,像其他技术一样,DNA 也可以储存数千年,之后仍然可以读取数据,但仍然有成本问题。使用这种技术存储和检索仅仅几兆字节的数据仍需要数千美元,因此我们不太可能在任何设备上看到 DNA 存储。然而,像谷歌和微软那样必须处理不可想象数据量的公司可能会发现 DNA 存储在经济上是可行的。 稿源:cnBeta;封面源自网络

亚马逊宕机原因查明:员工误操作致 AWS 云平台移除大量站点

几天前,亚马逊 Web 服务遭遇了一场部分停摆的尴尬,许多互联网站点都受这波故障的影响而离线。而根据亚马逊刚刚发布的详情报告,事情可能需要归咎于某个员工从 S3 子系统中,向一台远程服务器输入了一个“常规命令”。 不幸的是,员工输入了一个比预想的要大得多的数字。命令影响到了另外两个 S3 子系统上的服务器,而后者分管着全区的存储和元数据 —— 事情就此变得一发而不可收拾。 报告解释到: 一名 S3 团队的授权成员,用一个既定的脚本执行了一个命令。 他原本是想将(通过 S3 计费处理的)一小部分服务器从某个 S3 子系统中移除,却不慎输入了一个不正确的指令,结果移除了一大票比预期更大数量的服务器。 无意中删除的服务器位于两个其它 S3 子系统中,其中一个是索引子系统,管理者元数据和全区所有 S3 对象的定位信息。 稿源:cnBeta;封面源自网络

研究结果表明:市面流行的商业机器人易被黑客入侵

网络安全公司 IOActive 测试了 50 台机器人,包括软银机器人生产的 Pepper,以及 Rethink Robotics 的工业机器人 Baxter,结果发现了一些缺陷,黑客可以利用这些缺陷来操纵机器人的手臂和腿,或者控制麦克风和摄像头。 公司首席技术官塞萨尔 • 塞鲁多 (Cesar Cerrudo) 表示,他担心人们正将机器人接入互联网而完全没有考虑到网络安全问题。“一旦机器人开始进入千家万户和许多企业,对它们进行攻击的动机将大为增加,” 他说,“由于机器人可以在自己的环境中到处移动,特别是工业机器人,它们要使用很多电力,因此可以通过编程让它们实时地做出非常危险的动作。”虽然 IOActive 尚未发现机器人遭网络攻击的任何证据,但塞鲁多警告称,它们可能被用来造成身体伤害或让某些活动停止。 稿源:cnBeta;封面源自网络

旧版 vBulletin 漏洞被利用:黑客泄露 126 家论坛 82 万账号信息

由于旧版 vBulletin 存在的一个严重漏洞,这款被互联网论坛广泛使用的软件已被黑客利用、并泄露了来自 126 家论坛的 82 万账号。@ CrimeAgency 在 Twitter 上声称,黑客窃取了来自论坛管理员和注册用户的个人信息,并将之流到了某个地下黑客论坛上。公告平台 Hacked-DB 在扫描数据后证实了此事,而 Hack Read 的报道称,这轮攻击发生在 2017 年 1 -2 月间。 黑客成功窃取到了 81 万 9977 个用户账号,其中包含了电子邮件地址、哈希后的密码、以及 1681 个独立 IP 地址等私密信息。多数账号与 Gmail 有关联(超过 21.9 万个),其次是 Hotmail(12.1 万)和雅虎邮箱(10.8 万)。有报道称:在攻击 vBulletin 平台前不久不久前,黑客还曾利用过多个安全漏洞。虽然该问题已在最新版本的软件中得到了修复,但那些未及时升级的论坛仍然会躺在这一攻击之下。 想要检查那些网站使用了 vBulletin 是非常简单的,比如运行 Google Dorks,别有用心的攻击者可以轻松看到网络所使用的软件版本。完整影响列表请移步至 Pastebin 查看. 稿源:cnbeta,有删改,封面来源于网络