分类: 安全快讯

CrowdStrike 发布 2019 网络安全威胁报告 黑客最快20分钟内得逞

CrowdStrike 刚刚发布了最新一期的全球网络安全威胁报告,指出在安全漏洞曝出之后,黑客最快可在不到 20 分钟的时间内展开行动。去年的时候,这家安全研究机构引入了“突破时间”的概念,特指首个节点设备遭到黑客入侵后,攻击者在网络中横向移动所需的时间。 CrowdStrike 表示,最新报告基于超过 3 万次企图入侵的数据。 CrowdStrike 衡量了各个地区的平均行动速度,发现在利益的驱使下,网络攻击者的行为,呈现出了一定的差异化。 以俄罗斯为例,CrowdStrike 发现那里的黑客是行动最快的。在最初攻击开始后的第 18 分钟,即可在网络中横向移动。 不过排名第二的组织,平均耗时已达 2 小时 20 分,最慢的更是接近 10 个小时。 2018 年开始的调查还显示,针对大型组织发动的勒索软件攻击、以及黑客之间展开的复杂合作,已经变得愈发常见。   (稿源:cnBeta,封面源自网络。)

知道创宇 2018 年度网络安全(云安全)态势报告

前言 2018年,网络安全领域暗流涌动,攻击趋势不断攀升,T级DDoS攻击多次爆发、数据泄露事件层出不穷、勒索软件大行其道。此外,随着我国互联网行业“出海”新浪潮的来临,海外业务的激增刺激了大量海外黑客势力加入到“分蛋糕”的队伍。 除攻击源增多外,被攻击的目标范围也不断扩大,越来越多的攻击出现在此前少见的、更为细分的行业领域。各行业网站都面临着更加严峻的安全考验。 本报告采样2018年知道创宇云防御平台的网络攻防数据,重点针对DDoS攻击和Web攻击数据对2018年网络攻击态势进行展示与分析。   一、DDoS攻击趋势分析 2018年,DDoS攻击峰值突破T级。行业内防御攻击的最高峰值已达1980Gbps ,同比增长高达200% 。 同时,新型反射型攻击的相继出现,预示着DDoS攻击问题的严峻与棘手。 随着两会、数博会的召开,DDoS攻击次数在5月份达到上半年最高峰。下半年,随着电商促销等活动的进行,攻击量达到全年的高峰。有趣的是,攻击者似乎也有双休,周末较工作日的攻击情况相对缓和。   二、DDoS攻击规模对比分析 2018年以来,不同规模的攻击均成倍增长,尤其是中型DDoS攻击(10-50Gbps)更是惊人地增长了293.44% ,而超大型攻击(600Gbps以上)的增长率也已达93.33% 。与之相反,可被利用发动攻击的资源数量较去年却有所减少,稳定性也在逐步降低。 以上数据愈发验证了攻击成本在逐步下降,攻击者只需利用极少的资源,即可发动流量巨大的DDoS攻击,产生强大的破坏力。   三、DDoS攻击类型分析(流量型攻击) 2018年,流量型攻击依旧是企业的梦魇。新型攻击手法,如IPMI反射、TCP反射攻击等相继出现并逐渐活跃。但传统攻击手段如SYN Flood依旧是黑客最青睐的手段。   四、受DDoS攻击地域分布 2018年,中国依旧是全球遭受DDoS攻击最严重的国家。 就全国范围来看,攻击仍然集中于互联网经济较为发达的地区,如广东、浙江、江苏等地。   五、受DDoS攻击行业分布 2018年,DDoS攻击依旧集中在游戏、金融和泛区块链等收入较高的互联网行业。此外,政府网站受攻击比例大幅上升。尤其在第三、四季度,政府、教育机构成为黑客重点攻击的对象。   6月高考季,有黑客对高考查分网站、志愿填报网站以及多个大学官网发动DDoS大流量攻击。 六、CC攻击趋势分析 2018年,抗D保共抵御来自超过1.6亿IP发起的5千多亿次攻击。   七、 Web应用攻击趋势分析 2018年,网站整体攻击趋势呈不断上涨的态势,平均每日攻击量超8亿次,同时伴有较大的波动。2018年8月份出现攻击高峰,峰值达到单日49亿余次   八、Web应用攻击手段分析 在过去的一年中,黑客常用的Web攻击手段超过9种,其中占比最大的两种为:扫描器和网站后门。   九、Web应用攻击源地分析(境内) 2018年,97% 的Web攻击发起地域源于境内,3% 来自境外。 据境内攻击数据显示,大部分攻击源地分布在一些国家中心城市所在区域,比如:北京、河南、陕西、上海等地。   十、Web应用攻击源地分析(境外) 数据显示, 3.26%的Web攻击发起地域源于境外,且总体呈现平稳上升的攻击态势,平均每日攻击量数千万次,并伴有多次大幅波动。大部分攻击来自美国、韩国及日本等,其中美国一直以来都是最大的境外攻击源头。 需特别注意的是,来自境外的攻击中,针对政府和金融网站发起的攻击次数远高于其他网站。 【安全专家提示:为维护政府的正面形象,及保障金融网站的重要资产,需要建立完善且牢固的网络安全体系来保证网站的安全稳定运行。】   十一、受Web应用攻击行业分析 2018年,政府组织是黑客攻击的主要目标,一些包含大量有价值的数据信息的网站,经常会被网络爬虫获取大量数据。 其次,金融理财、新闻媒体以及近两年来兴起的区块链金融也非常容易受到网络攻击。此外,我国的地下互联网也存在着各种各样的网络威胁以及商业竞争,只要在行业内稍有名气,网络攻击就会伴随而至。   十二、创宇聚焦——政府网站攻击态势 政府网站不仅是一个国家形象重要的展示窗口,伴随着在线政务的发展,政府网站所遭受的网络攻击压力越来越大。尤其在有突发性政治、军事等敏感事件期间,政府网站受到的攻击会有一个明显的增长。   十三、创宇聚焦—境外敌对势力 数据显示,来自境外的网络攻击逐年上升,威胁不可小觑。不仅存在“匿名者”、“反共黑客”等长期活跃在网络世界的组织,更有一些隐蔽的专业黑客组织对我国政府、军事、金融等行业网站进行长期渗透。 以某境外黑客组织为例: 平均每月有10 余个网站被攻击 被攻击过的网站中,75% 已经不能正常访问 被攻击过的网站中,政府网站占比最高26%   被攻击网站的地理分布   十四、创宇聚焦—创宇盾威胁情报 2018年,创宇盾威胁情报平台共发现2000 多个安全威胁,其中,78% 的安全漏洞都属于严重及高危的漏洞,安全形势较为严峻。   十五、2018年度安全态势总结 2018年整体网络攻击趋势不断上升,绝大部分攻击仍然来自国内,来自境外的攻击趋势同样上升明显,威胁不可小觑。 随着我国各项网络安全政策的推进和实施,进一步加强了我国的网络安全保障能力。《推进互联网协议第六版(IPv6)规模部署行动计划》的出台有力推动了我国网络基础设施的发展,但伴随而来的安全风险也对各个网络安全厂商提出了新的要求和挑战。 知道创宇将继续秉承“侠之大者,为国为民”的使命,继续为全国政府、企事业单位及互联网用户提供顶级网络安全防护。 *数据来源:知道创宇云防御平台  

与《我的世界》相关的炸弹威胁恶作剧导致数百所学校撤离 两名涉事黑客遭指控

据外媒 The Verge 报道,近日一个与《我的世界》(Minecraft)相关的炸弹威胁恶作剧导致英国和美国数百所学校的学生撤离,而两名涉事黑客已被逮捕指控。 Timothy Dalton Vaughn和George Duke-Cohan,他们各自的黑客别名 “wantbyfeds” 和 “DigitalCrimes” ,在 2 月 8 日因黑客犯罪、阴谋和“涉及爆炸物的州际威胁” 被指控,指的是他们将众多炸弹威胁发送到不同的学校。 法院文件声称,Vaughn 和 Duke-Cohan 在一个名为 Apophis Squad 的黑客组织内行动,协调了一系列“炸弹和学校射击威胁,旨在引起对迫在眉睫的危险的恐惧,并导致两大洲数百所学校在很多场合关闭。“ 关于 Vaughn 和 Duke-Cohan 的行动的报道于 2018 年 3 月首次出现。他们向学校发送电子邮件,迫使撤离,但英国诺桑比亚警方的一份声明证实这是一个可追溯到美国的恶作剧。 该部门在 Twitter 上写道:“警方已经调查过这些电子邮件 – 这些电子邮件似乎来自美国 – 并且可以确认没有可行的威胁。” Sky News 随后报道称,这些电子邮件被“欺骗”,试图让 VeltPvP(一种流行的《我的世界》服务器)的域名暂停。检察官声称,Apophis Squad 也使用这些电子邮件,听起来威胁 Zonix,一个经常用于《我的世界》的客户,以及 VeltPvP。根据法庭文件,Vaughan 和 Duke-Cohen 使用 Discord 服务器和 IRC 房间与 Apophis Squad 的其他成员协调各个学校的电子邮件。 威胁是在几个月的时间内发出的,在法庭文件中提到了许多事件。Apophis Squad 将使用 Twitter 向想要放学一天的人发送黑客小组现金,并发送恶作剧电子邮件作为回应。2018 年 4 月 28 日,Duke-Cohen 根据 Apophis Squad Twitter 的推文发布了他们“计划在周一尽可能多地打击学校”的推文。       稿源:cnBeta.COM,封面源自网络;

日本政府计划“入侵”公民的物联网设备

据外媒 Zdnet 报道,日本政府上周五批准了一项法律修正案,允许政府工作人员“入侵”人们的物联网设备,作为前所未有的不安全物联网设备调查的一部分。该调查将由日本国家信息通信技术研究所(NICT)的员工在总务省的监督下进行。 这项计划是编制一个使用默认和易于猜测的密码的不安全设备列表,并将其交给当局和相关的互联网服务提供商,以便他们采取措施提醒消费者并保护设备。该调查计划于下个月启动,届时有关部门计划将测试超过 2 亿件物联网设备的密码安全性,从路由器和网络摄像头开始。人们家中和企业网络中的设备将进行相同的测试。 根据日本总务省的报告,针对物联网设备的攻击占 2016 年所有网络攻击的三分之二。为筹备 2020 年东京夏季奥运会,日本政府已着手实施这一计划。政府担心黑客可能会滥用物联网设备来发动针对奥运会 IT 基础设施的攻击。 管理物联网网络与智能手机网络不同,因为物联网流量的不同特征受到明显但可预测的峰值和低谷的影响。日本政府的这种担忧是事出有因的。2018 年年初在韩国举行的平昌冬奥会遭遇黑客攻击,外媒称这可能与俄罗斯黑客有关。黑客攻击了韩国政府和冬奥会主办单位使用的数百台电脑和网络,因为国际奥委会禁止数百名俄罗斯运动员参加比赛。 日本政府决定登录用户的物联网设备引发了日本的愤怒。许多人认为这是一个不必要的步骤,因为通过向所有用户发送安全警报可以实现相同的结果。但日本政府认为这无法保证使用默认或易于猜测的密码的用户会在收到通知后更改其密码。     稿源:cnBeta.COM,封面源自网络;

谷歌违反通用数据保护条例遭法国当局罚款 5000 万欧元

新浪科技讯 北京时间1月22日凌晨消息,谷歌已因违反“通用数据保护条例”(GDPR)而被法国数据保护监管机构处以5000万欧元(约合5680万美元)罚款,这对马克斯·施雷姆斯(Max Schrems)旗下隐私集团NOYB来说是一场胜利。 法国国家互联网信息中心(以下简称“CNIL”)今日裁定,谷歌向用户提供了不充分的信息,在多个页面上分散提供信息,而且并未在广告个性化的问题上获得有效许可。 CNIL对NOYB和法国数字版权组织La Quadrature du Net提出的投诉作出了反应,称其已对通过Android设备开设谷歌账户的流程进行了调查。这个监管机构作出的结论是,谷歌在两个方面违反了“通用数据保护条例”:一是未满足透明度和信息相关要求,二是没有为其处理流程获得法律依据。 根据这项条例,违规公司可被处以最高2000万欧元或相当于年度营业额4%的罚款,而CNIL已经行使了这种新的权力,向谷歌开出了5000万欧元的罚单。 CNIL发表声明称,谷歌在信息披露的问题上缺乏透明度,并指出用户无法了解谷歌“大规模的、侵入性的”数据处理达到了什么样的程度。声明还称,即便是谷歌已经提供的信息,“对用户来说也是不易获得的”,原因是这些信息“过度分散于多个文件中”,需要用户经过五六个步骤才能访问。 “举例来说,就谷歌出于个性化目的或为了提供地理追踪服务而收集的数据而言,当用户想要获得有关这些数据的完整信息时,就会发生这种情况。”声明写道。 除此以外,CNIL还表示,用户“无法完全了解”谷歌对用户数据进行处理的程度。鉴于谷歌提供的服务多达20项,加之这些服务所涉及的用户数据十分庞大,因此CNIL将谷歌的数据处理描述为“大规模的、侵入性的”。CNIL还补充道:“谷歌对数据处理目的作出的描述过于笼统和模糊,而就谷歌为不同目的而处理的数据类别而言,情况也是如此。 ” 与此同时,用户也无法了解谷歌到底是将用户许可作为法律依据来根据“通用数据保护条例”处理数据,还是根据公司自身利益来处理数据。 根据CNIL作出的评估,谷歌为广告个性化而收集的用户许可是无效的,因为这种许可不是具体而明确的,而且用户也并未获得充分的通知。 CNIL表示:“有关广告个性化数据处理的信息被分散到了多个文件中,这就使得用户无法了解其程度如何。” 该机构承认,在用户创建帐户之后,可以对其进行一些修改,但同时指出“这并不意味着‘通用数据保护条例’受到了尊重”。相反的,CNIL指出,不仅用户修改数据的选项被隐藏在了“更多选项”(more options)按钮之下,而且广告个性化的选择是一个预先打勾的方框(这就违反了“通用数据保护条例”的规定,因为只有在用户明确作出肯定之后,许可才能被视为明确无误的)。 CNIL还指出,用户许可不够具体,因为谷歌要求用户必须完全同意隐私政策中的服务条款和数据处理条款,而非区分各种不同目的(如广告个性化或语音识别等)来同意各项条款。 这是一家公司因数据保护违规行为而被处以的最大一笔罚款,同时也是CNIL采取的第一次处罚行动。该机构称,这笔罚款“就其违规行为的严重程度来看是合理的”。CNIL指出:“此外,这些违规行为是持续违反‘通用数据保护条例’的行为,因为直到今天,我们还能看到这种行为。这不是一次性的、时间有限的违规行为。“ 在“通用数据保护条例”正式生效之后,到目前为止已经处以的罚款金额都要小得多:德国当局此前对一个聊天应用处以2万欧元(约合2.3万美元)罚款,奥地利当局针对CCTV被非法使用一事处以4800欧元(约合5460万美元)罚款,葡萄牙当局则已对一家亿元处以40万欧元(约合45万美元)罚款,原因是其允许员工非法获取数据。 NOYB董事长施雷姆斯对此表示欢迎。“像谷歌这样的大公司惯于‘以不同的方式解读法律’,而且往往只会在表面上修改自己的产品。”他说道。“当局应该明确表示,光是自称做到了合规是不够的,这一点很重要。” 谷歌尚未就此置评。   稿源:新浪科技,封面源自网络;

研究人员发现 iOS 12.1.2 新漏洞 新一代 iPhone 越狱有望

两位研究人员发现了 iOS 12.1.2 中的新安全漏洞,且其影响新一代的全系列 iPhone 机型,包括 iPhone XS / XS Max 和 iPhone XR 。Min Zheng 和 Xialong Bai 在 Twitter 上披露了他们的工作细节,演示可通过“面向端口编程”(POP)攻击,获得所有 2018 年发布的 iPhone XS Max 的 root 访问权限。 该攻击可绕过 iPhone XS Max 上的 PAC 系统,不过同样的事情也可以在 XS 和 XR 上完成。 在攻破了 PAC 系统之后,安全研究人员能够更加容易地 iOS 12.1.2 的越狱工具,不过这件事情不会很快发生。 近年来,越来越多的用户发现,给 iOS 越狱的好日子,已经接近尾声了。发现操作系统漏洞的安全研究人员,极少会选择将其公之于众。 在大多数情况下,研究人员会直接向苹果汇报安全漏洞,然后该公司会在下一次 iOS 更新中修复,以确保 iPhone 的安全机制不被轻易突破。 与此同时,寻求越狱的 iPhone 用户数量,也出现了大幅减少 —— 特别是考虑到流程的高度复杂性、以及操作相关的风险。 尽管越狱确实能带来一系列好处,打苹果公司显然在坚持打一场不计代价的安全攻防战。 即便如此,这些发现仍为其他研究人员研究 A12 仿生芯片中的潜在漏洞(寻找越狱的其它小道)指明了新的方向。 毕竟到目前为止,苹果尚未推出过一款牢不可破的 iPhone 。   稿源:cnBeta,封面源自网络;

为确保 SSD 数据安全 微软变更了 BitLocker 默认的硬件加密设置

去年 6 月,有安全研究人员指出,只需 100 美元的工具、并重新刷写固件,即可轻松绕过固态硬盘驱动器(SSD)的硬件加密。显然,这对用户的数据安全造成了极大的隐患。需要指出的是,该问题仅影响基于硬件的加密方式,而不影响基于软件的加密措施。在启用硬件加密的时候,Bitlocker“特别容易受到攻击”,因其依赖于 SSD 自身的加解密功能。 问题曝光指出,微软就建议用户切换到基于软件的加密方式。不过在最新的 Windows 10 19H1 编译版本中,该公司似乎已经默认切换到了软件加密。 Treo Alhonen 在 Twitter 上表示:“Windows 10 build 18317”的 BitLocker 组策略(GPO),已经默认放弃了基于硬件的 SSD 数据加密方式”。 “如果你尚未配置这项组策略,那么 BitLocker 将会采用基于软件的加密方式”。但在 Build 18317 之前,描述文字曾是“BitLocker 将默认采用基于硬件的加密”。 如果你非常关注开启 BitLocker 后的数据安全性,那么最好通过命令提示符(CMD)来检查是否启用了基于软件或硬件的数据加密。 方法是: (1)打开命令提示符(运行 cmd.exe),右键选择‘以管理员身份运行’。 (2)在用户权限控制(UAC)窗口中选择允许。 (3)输入 manage-bde.exe -status 命令。 (4)检查‘加密方法’下的‘硬件加密’设置。 如果结果中没有输出“硬件加密”的字样,那就表明驱动器在使用基于软件的加密。如果需要手动切换到后者,需要先解密驱动器、然后重新加密。 需要指出的是,该问题仅影响固态硬盘驱动器(SSD),普通机械硬盘(HDD)的用户无需担心。 不过随着 SSD 的普及率日渐提升,微软还是选择了尽快采取行动,以变更 Windows 10 BitLocker 功能的默认加密设置。   稿源:cnBeta,封面源自网络;

打造更加安全的物联网:黑莓向智能家居设备制造商开放技术授权

近年来,智能家居设备已经变得日渐普及。但是安装专家们频频发出警告,物联网基础设施存在着巨大的安全隐患。好消息是,为了让物联网世界变得更加安全,曾经在智能手机领域叱咤多年的黑莓(BlackBerry),已决定向智能家居设备制造商们,开放自家的安全技术授权。在激烈的市场竞争下,消费者已经能够享受到包括灯泡、冰箱、电视等在内的“物美价廉”的智能产品。不过黑莓提供的付费安全技术(BlackBerry Secure),能够为你的体验加上一道“放心锁”。 随着黑莓逐渐远离智能手机制造这项“主营业务”,此举标志着该公司移动技术的一次重大转型。 黑莓高级副总裁、兼移动解决方案经理 Alex Thurber 在一份声明中称 ——  2019 将是消费者开始用钱包投票,寻找更高的安全性和数据隐私性的一年。 BlackBerry 的其中一项产品,是在制造时,为智能小工具嵌入微处理器的加密密钥 —— 如遭受黑客攻击,芯片会改变其密钥,并导致设备停止工作。 此外,黑莓还发布了一款软件,能够阻止未经批准的代码在设备上运行。2016 年的时候,全球曾爆发过针对物联网设备的 Mirai 攻击。 当时黑客将大量的联网设备(比如家用路由器和安防摄像头)纳入了僵尸网络,以便将一台重要的互联网服务器搞得宕机。不过黑莓的安全方案,有望阻止类似事件的再次发生。 此外,黑莓还为工厂或企业环境里的设备,提供了一套管理服务。其旨在让企业更加严格地控制存储在设备上的信息,制定允许设备通过 Wi-Fi 或蓝牙等协议进行通信的规则。 当然,黑莓并不是这方面的先行者。早在 4 月份的时候,微软就已经发布了 Azure Sphere 微芯片。 其允许企业在联网设备上部署安全芯片和软件,此外亚马逊和谷歌也提供了各自的解决方案(Android IoT / AWS IoT),以便为联网设备提供充分的防护。 不过,对于黑莓及其合作伙伴来说,目前正是一个不错的介入时机。 在经历了 2018 年的 Facebook 数据收集、谷歌隐私、以及前一年的大规模 Equifax 漏洞之后,消费者终将渴望寻求更加安全的替代品。 物联网市场分析机构 J. Gold Associates 负责人 Jack Gold 表示: 鉴于黑莓手机的‘安全性’已深深植入每个人的脑海,该公司显然可以顺水推舟,将这一标签打向物联网世界。   稿源:cnBeta,封面源自网络;

攻击预警 | 国内某婚庆业务相关网站数百万数据遭暴露

近日,创宇盾(Creation Shield, www.365cyd.com )网站安全舆情监测平台发现,国内某婚庆业务相关网站数百万数据因ElasticSearch服务配置不当完全暴露在公网上,目前已被国外安全研究人员公布在国外社交媒体上。 被公布的数据十分详细,包括身份证照片、电话号码、账号、密码、地址等。 安全提示:请相关业务网站管理人员及时检查网站服务配置,防止数据进一步泄露。相关业务消费者请及时修改账户密码,防止个人信息被恶意使用。知道创宇404积极防御实验室将密切跟进该事件。 了解业务安全舆情监测服务:https://www.yunaq.com/gpt/

卡巴斯基:明年将会出现盗用生物识别数据的攻击行动

新浪科技讯 12月27日下午消息,据台湾地区科技媒体iThome报道,俄罗斯安全企业卡巴斯基实验室(Kaspersky Lab)上个月公布了针对金融机构的2019年安全预测,指出明年将会出现首起盗用生物识别数据的攻击行动。 卡巴斯基指出,愈来愈多的金融机构开始支持生物识别系统,用来识别和认证用户。而到目前为止,已经发生了多起生物识别数据泄露的意外。这两个因素加在一起,让明年极有可能出现首例利用外泄的生物识别数据进行攻击的事件。 由于电子支付在印度、巴基斯坦、东南亚以及中欧等发展中国家日益普及,但这些国家金融组织的保护机制相对不成熟,因此在这些国家和地区可能会出现新的黑客集团。 而针对金融机构供应链的攻击也将延续到2019年,通常这些供应链上的软件供应链规模较小、安全措施也比较不足,黑客可能会借此渗透到供应链攻击汇款系统、银行及交易中心。 鉴于许多金融机构都缺乏实体的安全性以及对联网装置的控制,黑客只要利用联网装置就能入侵银行的内部网路。 研究人员建议金融卡的用户最好使用芯片金融卡,并设定双重认证,才不会成为黑客的头号目标;企业用的移动金融程序也有很大的机会成为黑客觊觎的对象;金融机构及企业的员工也将持续成为黑客的网络钓鱼目标以便进行诈骗行为。   稿源:新浪科技,封面源自网络;