分类: 推荐阅读

Uber 研究员预测将出现针对汽车的拒绝服务攻击

在上周举行的 ARM TechCon 会 议上,Uber 的安全研究员 Charlie Miller 称汽车制造商尚未对黑客劫持行驶中的汽车的风险做好准备。 Miller 说,有两类对汽车的劫持,其一针对的是移动应用或音频系统,其二是汽车 的控制器局域网总线( CAN bus )。后一种危险更大,因为汽车的刹车、制动等关键控制都与 CAN bus 相关联。他认为将出现针对汽车的拒绝服务攻击。 Miller 和同行曾演示过对 CAN bus 的攻击。他发现,车载娱乐系统的 ARM 芯片虽然不直接连接到 CAN bus ,但却连接到 CAN bus 的关联芯片,而这个芯片可以被重新编程。他认为一个简单的解决方法是不要将两个芯片连接起来,但车主可能更感兴趣将这些功能都串联起来。 稿源:cnbeta,封面来源:百度搜索

杀软评测机构 AV-TEST 称搜索引擎结果充满了恶意链接

据外媒报道,国际知名安全软件评测机构 AV-TEST 发表的一项研究报告称恶意搜索引擎结果的数量一直在增多。据估计,今年恶意搜索引擎结果是 2013 年的 6 倍多。绝大多数网民盲目地相信搜索引擎提供的数据,事实上,搜索引擎结果中也包含大量恶意链接。 研究人员利用检测发现: 2015 年对 8000 万个网站检查发现:18280 个恶意网页、555 个谷歌警告 2016 年(截止到 8 月)对 81 万个网站检查发现:29632 个恶意网页、1337 个谷歌警告 稿源:本站翻译整理,封面来源:百度搜索

黑客利用 DSMx 协议漏洞可远程劫持任意无人机

据外媒报道,趋势科技安全研究员 Jonathan Andersson PacSec安全会议上展示了一个小型硬件设备 Icarus 。该设备可以劫持市面上主流的无人机,允许攻击者远程锁定所有者控制权并完全接管无人机设备。除了无人机,该工具有能力完全劫持各种无线电控制设备,包括直升机、汽车、船,只要其使用的无线传输控制协议是 DSMx 。由于 DSMx 协议 不加密 控制器与设备之间的配对密钥,攻击者可通过多次暴力攻击窃取密钥。一旦获得密钥、连接设备后,攻击者可以发送恶意数据包限制无人机原始所有者发送合法的控制命令、只接受来自攻击者的指令。 稿源:本站翻译整理,封面来源:百度搜索

Dyn 披露 DDoS 攻击细节:幕后是 10 万台的物联网设备僵尸网络

Dyn产品部门执行副总裁 Scott Hilton,在今日签发的一份声明中披露了一个基于大约 10 万台物联网设备,感染了Mirai恶意软件、并在攻击该公司事件中扮演了主要角色的僵尸网络。早在 10 月 22 日,该公司就已经发表了一份事件声明,但仅提及幕后涉及一个设备被感染了Mirai恶意软件的僵尸网络。在昨日的第二份声明中,Dyn给出了DDoS流量的初步分析结果。 Dyn 识别出了大约 10 万个向该公司发动恶意流量攻击的来源,而它们全都指向被 Mirai 恶意软件感染和控制的设备。Scott Hilton还深入剖析了本轮攻击的技术细节,称攻击者利用DNS TCP和UDP数据包发起了攻击。尽管手段并不成熟,但一开始就成功打破了Dyn的防护,并对其内部系统造成了严重破坏。 新声明还澄清了此前有争议的“数以千万计的IP地址”一说。由于本次攻击针对是针对该公司DNS服务发起的,Dyn很难分辨出合理的DNS请求和潮水般涌来的垃圾DNS数据。 Dyn表示,这也是该公司外包 DNS 服务失败得如此彻底的一个原因。本次攻击事件导致了很多使用 Dyn 来管理其 DNS 服务器的网站受到影响,比如Reddit、Imgur、Twitter、GitHub、Soundcloud、Spotify、以及Paypal。 递归服务器尝试刷新缓存,这带来了基于大量IP地址的10-20倍正常流量。当DNS流量发生堵塞时,合法重试会进一步加重流量。 恶意攻击似乎来自于某一个僵尸网络,重试封包提供了一个虚假的指向,我们现在知道它是某个明显更大的终端集合。 该公司并未披露本次攻击的确切规模,外界估计它可能大大超过了针对OVH的那次DDoS攻击。(峰值达到了1.1Tbps,这也是迄今所知最大的一次DDoS攻击) 最后,Dyn表示当前正在与执法机构携手,对本次攻击事件作刑事调查。 稿源:cnBeta.com,封面来源:百度搜索  

“功亏一篑”:拼写错误揭露钓鱼邮件的虚假伪装

据外媒报道,探索博物馆最近遭遇鱼叉式网络钓鱼邮件攻击差一点“全军覆没”。 9 月 6 日,一员工收到一封电子邮件并访问了链接,之后出现了谷歌的登录页面,她没有检查 URL 就输入登录凭证,结局很显然:谷歌账号被盗。攻击者花费3天时间研究受害者账号中的邮件内容、联系人。 9 月 9 日,攻击者采取行动登录该员工 Gmail 帐户并执行三个操作。 1、删除联系人列表 2、重定向所有传入邮件到垃圾文件夹 3、向受害者同事发送鱼叉式钓鱼邮件 但是,其他员工发现了这份可疑邮件,不单单是出现假的谷歌登录页面,更重要的是博物馆的名字都拼写错误,这对员工来说是绝对不可能的事情。幸运的是,工作人员及时发现并发送全公司范围内的警报要求重置邮箱密码,因而没有遭受实质性损失。 稿源:本站翻译整理,封面来源:百度搜索

半个美国网络瘫痪让一家中国摄像头厂商负责?

美国当地时间 10 月 21 日,一场始于东部的大规模互联网瘫痪席卷了半个美国网络,包括推特、Spotify以及纽约时报等网站平台都受到黑客攻击。 尽管瘫痪事件的元凶尚未查明,但美国网站 KerbsonSecurity 认为被僵尸网络 Mirai 控制的“雄迈科技”和其他公司生产的模组是无法修复的,只能断网才能解决,应该在全球范围内召回,并对本次事件负责。 10 月 24 日雄迈在其官方微信上回应,首先指出相关网站的报道不实,之后对安全问题进行了解释。 大致为两个观点: 一、是大部分安全问题是因为用户不更改默认密码产生。 二、是针对嵌入式设备 telnet 的攻击,雄迈早在 2015 年 4 月份之前就对相关产品关闭了该端口,针对 2015 年 4 月份之前生产的产品,雄迈也已经提供了固件升级程序,若担心有风险可以通过升级解决。 黑客即使要攻击雄迈设备,也必须基于如下三个前提条件: 1、设备使用的是 2015 年 4 月份以前的固件程序; 2、设备用户名密码为默认; 3、设备直接暴露在公网(做了 DMZ 映射),没有防火墙。 以上任何一个条件不具备,雄迈设备都无法被攻击或者操控 雄迈表示,目前公司已宣布召回相关存在漏洞产品,并提醒用户及时更改默认密码。 稿源:cnBeta,封面来源:百度搜索

欧洲反勒索软件运动“拒缴赎金”初现成效,挽救 2500 人、赎金 130 万欧元

据外媒报道,2016 年 7 月 25 日,欧洲刑警组织,荷兰国家警察,英特尔安全和卡巴斯基实验室联合推动“拒缴赎金”( No More Ransom )运动。该运动获得欧洲司法与欧盟委员会的支持,唯一目的是帮助了勒索软件受害者了解各种勒索软件攻击信息、如何解密数据、保护设备免受勒索。在执法机构的努力下, 2500 人成功在没有支付赎金的情况下就解密了数据,这都归因于活动网站提供的解密工具。该活动已收到了不少好评,并又吸引了 13 多个国家的相关机构参与,包括英国,法国,意大利,爱尔兰。预计,未来将有更多机构参与其中,这项活动或将对勒索软件发展产生深远影响。 稿源:本站翻译整理,封面来源:百度搜索

iOS 应用程序比 Android 泄露更多的用户数据

据外媒报道,云安全服务商 Zscaler 分析了自家安全产品保护的设备发现,iOS 应用程序比 Android 应用程序泄露了用户更多的隐私信息。根据 Zscaler 对上季度 4500 万笔“交易”数据分析发现,大约 20 万起涉及应用泄露用户数据。 Zscaler 表示,它追踪了 2600 万起来自 iOS 设备(及 iOS 应用)事务,用户数据泄露的占比达到了 0.5%,即共有 13 万次操作。泄露的数据约有 72.3% 与用户的设备信息相关,27.5% 为地理位置坐标,仅有 0.2% 应用程序暴露 PII 数据。 iOS 用户普遍被人们认为 Android 更加安全,但事实上。 Zscaler 表示它追踪了 2000 万来自 Android 设备的事务,用户数据泄露的占比达到了 0.3%,只有 6 万次操作。泄露的数据中 58% 为设备元数据,39.3% 为地理位置坐标,3% 暴露 PII 数据。 稿源:本站翻译整理,封面来源:百度搜索

新骗局:不明人士寄来快递,到付 39 元千万别收

财神上门绝对是一桩喜事,不少人还会专门请财神到家里到店中供奉起来保佑自己发财。本月 14 日,重庆沙坪坝区的张老板接到快递送来的一尊财神,货到付款 39 元。让张老板尴尬的是,木头财神不仅做工粗糙,找不到卖家退款退货,快递也拒绝对此事负责。专家分析,货到付款卖财神针对的是民众不愿把财神拒之门外的心理,又把价格定在 39 元这个不算高的门槛上,让收货人往往不去追究。所以这个把戏能反复得逞。 查阅最近两个月的相关报道可以发现,全国各地数十个城市都有类似被“ 39 元快递”诈骗的报道。这些用来诈骗的包裹多以劣质洗发水为主,包裹内的物品价值只要几块钱,但货到付款的金额均为 39 元。 有民众认为,这些包裹可能出自同一伙人,这个骗局的伎俩就是利用到付的金额远远高于包裹货品的价值,从而赚取差价。针对此类现象,邮政工作人员表示,39 元货到付款的财神到和化妆品一样,都是不法商家在获取消费者个人信息后进行的一种新型骗局。 业内人士称,类似货到付款骗局中,一些快递公司扮演的角色较为灰色。物品寄件量大,快递公司有一定利益分成,往往睁只眼闭只眼送货上门。大多数消费者遇到类似情况,抱着自认倒霉的心理不声张。遇到较真扯皮的,快递公司就把责任推到发货人头上。 稿源:cnBeta.com,封面来源:百度搜索  

2016 年工业控制系统(ICS)网络安全会议即将在美国召开

据外媒报道,美国将在 10 月 24 – 27 日召开 2016 年工业控制系统( ICS ) 网络安全会议。主办方 SecurityWeek 邀请到美国国家安全局局长(NSA)兼美国网络司令部指挥官 海军上将迈克尔·罗杰斯担任主讲人。这是一场以工业控制系统领域为重点的规模最大、持续时间最长的网络安全会议,领域涉及能源、公用事业、化工、交通、制造、军事。会议讨论主题将涵盖工业控制系统各方面,包括 SCADA 系统、工厂控制系统、工程工作站、变电设备、编程逻辑控制器( PLC )等现场控制系统设备的保护。 稿源:本站翻译整理,封面来源:百度搜索