分类: 安全快讯

调查:85% 的 ATM 机可以在 15 分钟内通过网络被攻破

据外媒报道,由NCR、Diebold Nixdorf、GRGBanking生产和被银行使用的大部分ATM机被证实很容易被远程或本地潜在攻击者攻击,并且大部分的攻击所需时间不超过15分钟。来自Positive Technologies的分析显示,ATM机在从外围设备和网络安全不充足到系统/设备不当配置以及应用程序控制安全漏洞/配置错误等4种安全问题下极易受到影响。 据悉,在NCR、Diebold Nixdorf、GRGBanking制造的ATM机中约有85%都极易在潜在攻击者进入ATM网络15分钟后被攻破。 Positive Technologies公司表示,如果攻击者是银行或互联网供应商的雇员,他们可以通过远程发起攻击,而如果不是则需要攻击者亲自到场打开ATM机,拔掉以太网电缆并将恶意设备连接到调制解调器(或用这样的设备替换调制解调器)。 在进入ATM后,攻击者就可以使用针对ATM或运行在ATM上的服务的直接攻击或中间人攻击,之后他们就可以拦截和修改数据包以欺骗处理中心响应并控制被包围的设备。 大多数接受测试的ATM机在与处理中心交换的信息中不具备充分的数据保护,虽然它们都带有防火墙保护,但不幸的是它们的防火墙保护配置都很差。 Positive Technologies指出,在许多情况下,外围设备安全性不足的原因是外围设备和ATM操作系统之间缺乏认证。因此,犯罪分子能够利用遭恶意软件感染的ATM机访问这些设备或直接将他们自己的设备连接到分发器或读卡器上,之后,犯罪分子就可以窃取现金或拦截银行卡数据。   稿源:cnBeta,封面源自网络;    

下一代 HTTP 底层协议将弃用 TCP 协议 改用 QUIC 技术

新浪科技讯,据中国台湾地区iThome.com.tw报道,国际互联网工程任务组(Internet Engineering Task Force, IETF)将于近日商讨下一代HTTP底层协议,可能不再使用已经沿用多年的TCP协议,而有望改用以UDP协议发展出的QUIC技术,同时新一代HTTP将命名为HTTP/3。 目前,人们使用的HTTP (1.0、1.1及2)都是以TCP (Transmission Control Protocol)协议为基础实作出来。TCP作为一种传输控制协议,优点是安全、流量稳定、讲求封包的传输顺序,但缺点是效率低、连接耗时。为了提升数据在IP网络上的传输,Google提出了实验性网络层协议,称为QUIC。 QUIC并不使用TCP,而改用UDP (User Datagram Protocol)为底层,UDP虽然较不安全、可能有掉封包或封包后发先至的问题,但较简单、传输效率更高,能大幅减低延迟性。Google为QUIC提升安全性、并加入缓冲机制避免阻断服务攻击(DoS)。 虽然Google有意将QUIC提交到IETF,以便成为下一代网际网络规范,但IETF也提出了一个和Google QUIC分庭抗礼的QUIC。社区中称Google提出的QUIC为gQUIC,而IETF的为iQUIC。 另一方面,当IETF的QUIC工作小组将QUIC标准化时,它衍生出共两个协议,一个是网络传输协议,一个是HTTP层协议。网络传输层协议也可用于传输其他数据,不只为HTTP设定,但两者名称都使用了QUIC;而在iQUIC上传输的HTTP协议,长期以来就被称为HTTP-over-QUIC,或HTTP/QUIC。 为了解决种种混淆,让彼此之间更容易分别,IETF决定加以正名。HTTP工作小组暨QUIC工作小组主席Mark Nottingham倡议将HTTP-over-QUIC(HTTP/QUIC)重新命名为HTTP/3,并在上周举行的IETF HTTPBIS会议中提议,并且也广为接受。 Mozilla开发人员Daniel Stenberg日志列出了Nottigham在会中的简报,简报重申HTTP/3和之前协议之间的差异。HTTP/QUIC(HTTP/3)并非HTTP/1.1或HTTP/2的后代,也不是QUIC上的HTTP/2协议,因为它是在QUIC协议上新开发出的HTTP。下一代HTTP将是以QUIC为核心及网络传输协议的新协议。 Litespeed的工程师也宣布该公司和脸书已经完成HTTP/3实作的相容性测试。   稿源:新浪科技,封面源自网络;

第一份 Android 生态安全报告出炉:系统越新越安全

Google 公布了史上第一份 Android 生态系统安全报告(Android Ecosystem Security Transparency Report),这是一份季报,内容来自于 Google Play Protect 所检测到的“可能存在危险的应用程序”((Potentially Harmful Applications,PHA),内容显示 Google Play 下载的应用程序比其他渠道安全9倍。 之前,Google 会提供 Android 年度安全报告,其中包含Android 系统安全趋势、Google 提供的 Android 漏洞奖金,以及在 Android 上提供的保护机制等。而此次季度报告主要针对 PHA。 Android 内置的 Google Play Protect 平均每天扫面500亿的应用,当发现可能存在危险的应用时,就会对使用者提出警告,并允许使用者关闭或下载该程序。每季的季度报告都提供三项指标,分别是 PHA 的来源(Google Play 及非 Google Play),各种 Android 版本所包含的 PHA 比率,以及不同国家的 Android 系统的 PHA 比率。 Google 表示,从 Google 下载程序的 Android 设备,只有 0.09% 会识别到 PHA,今年前三季下降到了 0.08%;相比之下,从包含 Google Play 和第三方应用市场下载程序的设备,检测到 PHA 的比率高达 0.82%,不过,今年前三年也出现了下滑,数值到 0.68%。 Google 还表示,越新的 Android 系统检测到 PHA 的比率越低,如,棒棒糖(Lollipop,Android 5.0)检测到 PHA 的比率 > 棉花糖(Marshmallow,Android 6.0)> 牛轧糖(Nougat,Android 7.0)>奥利奥(Oreo, Android 8.0)> 最新的“派”(Pie,Android 9.0)。 Google 解释说,这是因为公司持续加强 Android 平台和 API,加上常规平台和程序更新,也限制了程序对机密信息的访问。此外,包括Nougat,Oreo 和 Pie都更能够承受权限扩展攻击,让过去尝试扩展权限以避免被删除的 PHA 无处遁形。 而在 Android 的前十大市场,至少安装一个 PHA 的装置百分比中,以印度,印尼及美国的比率最高。 完整的安全生态报告看这里。   稿源:开源中国,封面源自网络;

攻击预警 | 多家单位官网受到攻击,请提高警惕并做好安全措施

2018年11月以来,知道创宇404积极防御实验室在创宇盾网站舆情监测平台发现并确认,某带有强烈政治意图的境外组织对多个单位官网发起入侵攻击,包括政府、学校、事业单位和名企等。 经分析,该组织采取的主要攻击方式是,利用常见的Web漏洞攻击、通过弱口令登录后台发布信息等手段,对目标网站植入带有挑衅字样的黑页。 多名参与入侵的成员在国外社交平台Twitter发布了“战果”,如: ▼ ▼ ▼ ▼ ▼ ▼ 总结及安全建议 通过知道创宇安全大数据分析发现,近期该组织面对国内的攻击活动频繁,请各单位提高警惕,做好针对性的安全措施,如开启Web防火墙、强制更新重要入口账号密码、升级服务器操作系统的补丁等,并对加强自身网站的安全监控。

nginx 安全问题致使 1400 多万台服务器易遭受 DoS 攻击

据外媒报道,近日 nginx 被爆出存在安全问题,有可能会致使 1400 多万台服务器易遭受 DoS 攻击。而导致安全问题的漏洞存在于 HTTP/2 和 MP4 模块中。nginx Web 服务器于11月6日发布了新版本,用于修复影响 1.15.6, 1.14.1 之前版本的多个安全问题,被发现的安全问题有一种这样的情况 —— 允许潜在的攻击者触发拒绝服务(DoS)状态并访问敏感的信息。 “在 nginx HTTP/2 实现中发现了两个安全问题,这可能导致过多的内存消耗(CVE-2018-16843)和CPU使用率(CVE-2018-16844)”,详见 nginx 的安全建议。 此外,“如果在配置文件中使用”listen”指令的”http2″选项,则问题会影响使用 ngx_http_v2_module 编译的 nginx(默认情况下不编译)。” 为了利用上述两个问题,攻击者可以发送特制的 HTTP/2 请求,这将导致过多的CPU使用和内存使用,最终触发 DoS 状态。 所有运行未打上补丁的 nginx 服务器都容易受到 DoS 攻击。 第三个安全问题(CVE-2018-16845)会影响 MP4 模块,使得攻击者在恶意制作的 MP4 文件的帮助下,在 worker 进程中导致出现无限循环、崩溃或内存泄露状态。 最后一个安全问题仅影响运行使用 ngx_http_mp4_module 构建的 nginx 版本并在配置文件中启用 mp4 选项的服务器。 总的来说,HTTP/2 漏洞影响 1.9.5 和 1.15.5 之间的所有 nginx 版本,MP4 模块安全问题影响运行 nginx 1.0.7, 1.1.3 及更高版本的服务器。 为缓解这两个安全问题,服务器管理员必须将其 nginx 升级到 1.14.1 stable 或1.15.6 主线版本。 目前,Shodan 搜索显示超过 1400 万台服务器运行未包含修复补丁的 nginx 版本(更确切地说是 14,036,690 台),仅有 6992 台服务器打上了安全补丁。   稿源:开源中国,封面源自网络;

谷歌安全功能:关闭浏览器 JavaScript 将无法登陆谷歌

新浪科技讯 北京时间11月1日上午消息,谷歌今日推出了4个新的安全性功能,旨在提升谷歌帐号的安全程度。这4个更新是提升用户登陆谷歌帐号前后的受保护程度,另外这些更新也适用于用户受到黑客攻击后对帐号进行回复的情况。 谷歌表示,它们推出的第一个安全性功能可以在用户输入用户名和密码之前就对用户的帐号安全加强防护。未来,如果用户在浏览器中关闭JavaScript功能,谷歌将不再允许这些用户进行登录。谷歌会使用JavaScript在用户的登录页面上进行风险分析,如果JavaScript被禁用,会导致入侵者绕过风险分析。谷歌表示,只有大约0.01%的用户会受到这次更新的影响,一小部分用户会为了提升浏览器的性能而禁用JavaScript。 谷歌本次推出的第二个更新与Android恶意应用有关。谷歌计划调取该公司推出的安全扫描应用Google Play Protect的数据,该应用会对用户的手机进行扫描,并且发现手机中所安装的恶意软件,提醒用户进行卸载。 谷歌的第三个更新,是向用户展示他们此前曾经允许那些第三方应用和网站调用用户的帐号信息,提醒用户定期进行检查,对那些已经不再使用的第三方应用和网站进行取消授权操作。 谷歌的第四个更新针对的是用户帐号被入侵之后的恢复工作。这个更新能够帮助用户重新获得帐号的访问权,并且对已经被入侵的数据进行重新保护。另外,用户可以使用这个功能查看Google Pay帐号的消费情况,并且查看Gmail和Drive中是否被添加了新的文件。   稿源:新浪科技,封面源自网络;

用户从今天开始可以直接在 Google 产品中轻松控制个人隐私数据

谷歌产品管理,隐私和数据保护办公室主任Eric Miraglia发布了一篇博文,其中谈到了用户可以直接在Google产品中轻松控制数据。Eric Miraglia表示,谷歌一直致力于让用户更轻松地理解和控制数据,以便用户可以选择适合自己的隐私功能。   今年早些时候,谷歌推出了新的Google帐户体验,将用户的隐私和安全放在首位和中心位置,谷歌通过和更清晰的语言更新了谷歌的隐私政策,以更好地描述谷歌收集的信息,收集信息的原因以及用户如何控制它。   今天开始,谷歌会让用户更轻松地直接在每天使用的Google产品中控制数据。从搜索开始,用户现在可以查看和删除最近的搜索活动,快速访问Google帐户中最相关的隐私控制,并详细了解搜索如何处理用户的数据。 使用Google产品时,用户会生成有关用户的活动数据。对于搜索,此数据包括用户搜索的字词,与之交互的链接以及搜索时当前位置等其他信息。在今天之前,如果用户在Google上搜索并想要查看或管理这些数据,那么最好的方法就是访问用户的Google帐户。现在,谷歌将这些控件带给用户,从搜索中直接查看,用户可以查看或删除用户的搜索活动,并快速返回查找用户要搜索的内容。 谷歌还让用户快速访问Google帐户中用户搜索时最相关的隐私控制。例如,要控制用户在搜索时看到的广告,谷歌会授予用户访问广告设置的权限。此外,用户还可以访问自己的活动控件,以确定Google为用户的帐户保存哪些信息,并将其用于更快,更智能,更实用的搜索和其他Google服务。 谷歌今天在桌面和移动网络上为Google搜索推出这项改进,并在未来几周内将这个改进带给iOS和Android的Google应用。明年,谷歌将把它扩展到地图,然后是许多其他Google产品。直接从用户每天使用的Google产品访问相关且可操作的隐私控制,只是谷歌不断努力构建适合每个人隐私控制的一种方式。   稿源:cnBeta,封面源自网络;

美国科技游说组织提出隐私保护框架:权衡企业利益

新浪科技讯 北京时间10月23日早间消息,美国华盛顿特区主要的科技行业游说团体“信息技术产业委员会”(ITI)周一提出一项保护在线用户隐私的立法框架。 基于欧洲和美国加州近期的新法规,美国联邦立法者也尝试推进隐私保护立法。与此同时,行业团体正试图影响这场讨论,并提出了指导方针供立法者参考。 ITI的成员包括谷歌和Facebook。该组织总裁迪恩·加菲尔德(Dean Garfield)表示,ITI提出的框架希望给美国和全球立法者提供参考,帮助他们权衡在线隐私保护方面的关切。 该框架建议,关于个人敏感数据被使用,用户应当有选择权,除非“根据适用法律或在其他允许的情况下”。敏感数据的定义是“个人数据,包括民族来源、政治派别、宗教或哲学信仰、工会成员状况、遗传数据、生物特征数据、健康数据、性取向、某些已知的少数族裔特征,以及精确的位置数据”。 不过,这种限制不适用于使用人工标识符、受到保护,或完全匿名的数据。加菲尔德表示,他希望这可以推动业界将匿名化的措施变成标准做法。 文件显示:“在合理情况下,个人应当对个人数据的使用情况有控制权。个人控制权,与其他利益相关方的权利和法律义务一致,包括获得、纠正、输出、删除、同意以及反对使用个人数据的权利。” 这份文件还提供了其他方面的指南,包括公司如何管理隐私风险,以及允许客户将他们的数据转移到其他平台上。   稿源:新浪科技,封面源自网络;

ARM 将与 Cybereason 合作 开发强调安全性的物联网芯片

新浪科技讯 10月22日下午消息,据中国台湾地区媒体报道,于2012年成立的网络安全厂商Cybereason近日宣布已与ARM达成策略联盟,计划把Cybereason的终端保护、侦测及回应能力嵌入ARM的Pelion IoT(物联网)平台。 Cybereason表示,未来该公司将在采用ARM Pelion平台的物联网装置上提供即时的AI威胁追踪能力与先进的行为分析,可望造福广大的物联网装置,不论它们是身处公用事业、能源、运输、物流或是联网建筑中,预计到2035年将能保护一万亿的物联网装置。 ARM IoT服务的总裁Dipesh Patel表示,物联网装置的爆炸性成长替黑客开启了全新的攻击面,借由Pelion的装置管理服务与Cybereason技术,将允许客户了解物联网(IoT)装置的通讯模式、行为与活动,以便在恶意行动一展开就阻止它们。 外界相信此一合作案的幕后推手为软银(SoftBank),Cybereason最早创立于以色列,2014年才将总部迁移到美国,而ARM则是一家英国公司,不过,软银在2016年以310亿美元收购了ARM,而Cybereason迄今对外募集的1895万美元的资金中,就有1600万美元来自软银。Cybereason也在新闻稿中表示,双方的结盟将可实现软银企图建立一个安全连网装置世界的愿景。   稿源:新浪科技,封面源自网络;  

亚马逊修复智能家居13个漏洞:防止黑客完全控制设备

新浪科技讯 北京时间10月22日早间消息,亚马逊近期修复了物联网操作系统FreeRTOS以及AWS连接模块的13个安全漏洞。这些漏洞可能导致入侵者破坏设备,泄露内存中的内容和远程运行代码,让攻击者获得设备完全的控制权。 如果没有修复,这些漏洞可能会造成严重影响。FreeRTOS,以及以安全为导向的类似产品SafeRTOS被广泛用在家庭内外的各种设备上,包括汽车、飞机和医疗设备。 根据FreeRTOS的开源协议,发现这些漏洞的Zimperium在漏洞披露的30天后才提供了技术细节。这将使相关厂商有机会去修复这些漏洞。 这类漏洞披露并不少见,但对亚马逊来说是相对较新的工作。一年前,即2017年11月,AWS接管了FreeRTOS的核心。这是对亚马逊问题应对能力的一次考验,而目前来看亚马逊似乎通过了考验。   稿源:新浪科技,封面源自网络;