分类: 安全快讯

知道创宇推出国内首家 IPv4/IPv6 双栈云防御服务

11月20日消息,知名互联网安全公司知道创宇正式对外宣布,发布国内首个IPv4/IPv6双栈云防御服务。该服务的推出可以帮助企业极大的加快业务系统向IPv6升级的进程,从IPv4向IPv6的改造方案到IPv6业务系统安全防御上向企业提供了一站式的解决方案。   据了知道创宇云防御产品经理邓金城介绍,IPv4/IPv6双栈云防御服务只需要2分钟即可帮助客户做到业务系统支持IPv6并且可以有效防御黑客入侵、DDoS网络攻击,整个过程不需要客户业务系统做任何改造。     2017年11月26日,中共中央办公厅、国务院办公厅印发了《推进互联网协议第六版(IPv6)规模部署行动计划》,根据该计划要求,到2018年末,国内IPv6活跃用户数要达到2亿,国内用户量排名前50的商业网站及应用户、省部级以上政府和中央企业外网系统、IDC数据中心等均要完成IPv6支持。据阿里巴巴发布的公告,今年双11,天猫进行了国内首次IPv6大规模商用实战,IPv6在国内的普及势在必行。     而对企事业单位来说,各种系统往往承载着重要业务数据,系统改造升级慎之又慎,往往因为担心影响业务稳定而放弃升级,这还包括即使支持了IPv6但原有防火墙设备不支持IPv6,网站无疑陷入巨大安全风险中。然而国内的IPv6升级已经正式大规模开展,如何抢先一步,而不是IPv4用户向IPv6升级后,网站客户流失,成为一个两难的问题。知道创宇IPv4/IPv6双栈云防御服务的推出刚好可以解决这个燃眉之急。   详细了解创宇IPv4/IPv6双栈云防御服务:https://www.yunaq.com/ipv6/  

Firefox 新增预警功能,自动提醒用户网站有过数据泄露

Mozilla 近日宣布 Firefox Quantum 浏览器新增了一项新的安全功能,在用户访问以前存在数据泄露的网站时会自动显示来自 Firefox Monitor 的警告。 该功能旨在提醒用户可能存在的问题,并建议他们检查自己的电子邮件,看看是否有遭到泄露。 当出现警报时,用户可单击 Check Firefox Monitor 按钮转到 Firefox Monitor 站点,或单击 Dismiss 按钮关闭警报,也可以单击向下箭头选择 “never show Firefox Monitor alerts ” 以禁用此功能。 根据 Mozilla 的说法,该预警功能并非侵入性的,每个站点最多只出现一次,而且仅针对过去12个月内有出现过数据泄露事件的网站。 Firefox Monitor 是一项免费的隐私数据泄露通知服务。要使用它,只需访问 Firefox Monitor 网站并提交电子邮件地址即可。它通过和 “Have I Been Pwned” 中超过31亿个已确认出现安全问题的庞大数据库进行比对,在发现问题时及时提醒用户。   稿源:开源中国,封面源自网络;

研究发现了七个新的“幽灵”与“熔毁”安全漏洞 现有补丁或可抵御

针对 CPU 底层设计缺陷的“幽灵”(Spectre)和“熔毁”(Meltdown)漏洞,让科技界陷入了相当尴尬的境地。为了应对这类特殊的安全威胁,业界协同使出了空前的努力,并推出了相应的补丁 —— 即便可能造成性能上的一定损失。遗憾的是,后续又不断有新的变种曝光。本文要介绍的,就是由 9 人研究团队发现的 7 种新式攻击手段。 由概念演示代码可知,其中两种攻击利用了‘熔毁’漏洞: Melrdown-BR 可利用 AMD 与 Intel 处理器中的 x86 指令路径,而 Meltdown-PK 仅能绕过英特尔处理器上的内存保护密钥。 实际上,研究人员开发出了 8 种‘熔毁’漏洞攻击手段,但尚未让剩余的 6 种攻击手段发挥作用。 其余五个新漏洞都属于‘幽灵’变种,它们会影响 Intel、AMD、ARM 处理器。 其中有两个利用了分支目标缓冲区(Branch Target Buffer)、另三个则利用了模式历史表(Pattern History Table)。 研究人员已向各大芯片供应商通报了上述攻击,但收到的答复并不能让他们满意 —— 英特尔觉得没必要推送新的补丁、AMD 甚至不承认相关结果。 英特尔发表声明称,文章中纪录的漏洞,可通过部署现有的缓解措施来完全克服。 保护客户仍是我们的首要人物,在此要感谢格拉茨科技大学、imec-DistriNet、KU Leuven、以及威廉玛丽学院等团队正在进行的研究。 根据他们的研究,一些现有的补丁‘可能有用’,但不全然如此。 然而英特尔声称,他们的实验过程存在错误,在现实情境下无法成功实施攻击。 即便如此,研究人员还是决定忽略英特尔方面的说辞,在研究论文(PDF)中概述了如何修补上述漏洞。 【PS】“幽灵”漏洞打破了不同应用程序之间的隔离,即便是遵循最佳实践的无 bug 程序,其秘密亦有可能被泄露于攻击者面前。 尽管目前尚未有利用‘幽灵’或‘熔毁’漏洞发起的实际攻击报告,但我们还是推荐大家努力将设备保持在最新状态,以封堵这方面的隐患。 [编译自:TechSpot]     稿源:cnBeta.COM,封面源自网络;

调查:85% 的 ATM 机可以在 15 分钟内通过网络被攻破

据外媒报道,由NCR、Diebold Nixdorf、GRGBanking生产和被银行使用的大部分ATM机被证实很容易被远程或本地潜在攻击者攻击,并且大部分的攻击所需时间不超过15分钟。来自Positive Technologies的分析显示,ATM机在从外围设备和网络安全不充足到系统/设备不当配置以及应用程序控制安全漏洞/配置错误等4种安全问题下极易受到影响。 据悉,在NCR、Diebold Nixdorf、GRGBanking制造的ATM机中约有85%都极易在潜在攻击者进入ATM网络15分钟后被攻破。 Positive Technologies公司表示,如果攻击者是银行或互联网供应商的雇员,他们可以通过远程发起攻击,而如果不是则需要攻击者亲自到场打开ATM机,拔掉以太网电缆并将恶意设备连接到调制解调器(或用这样的设备替换调制解调器)。 在进入ATM后,攻击者就可以使用针对ATM或运行在ATM上的服务的直接攻击或中间人攻击,之后他们就可以拦截和修改数据包以欺骗处理中心响应并控制被包围的设备。 大多数接受测试的ATM机在与处理中心交换的信息中不具备充分的数据保护,虽然它们都带有防火墙保护,但不幸的是它们的防火墙保护配置都很差。 Positive Technologies指出,在许多情况下,外围设备安全性不足的原因是外围设备和ATM操作系统之间缺乏认证。因此,犯罪分子能够利用遭恶意软件感染的ATM机访问这些设备或直接将他们自己的设备连接到分发器或读卡器上,之后,犯罪分子就可以窃取现金或拦截银行卡数据。   稿源:cnBeta,封面源自网络;    

下一代 HTTP 底层协议将弃用 TCP 协议 改用 QUIC 技术

新浪科技讯,据中国台湾地区iThome.com.tw报道,国际互联网工程任务组(Internet Engineering Task Force, IETF)将于近日商讨下一代HTTP底层协议,可能不再使用已经沿用多年的TCP协议,而有望改用以UDP协议发展出的QUIC技术,同时新一代HTTP将命名为HTTP/3。 目前,人们使用的HTTP (1.0、1.1及2)都是以TCP (Transmission Control Protocol)协议为基础实作出来。TCP作为一种传输控制协议,优点是安全、流量稳定、讲求封包的传输顺序,但缺点是效率低、连接耗时。为了提升数据在IP网络上的传输,Google提出了实验性网络层协议,称为QUIC。 QUIC并不使用TCP,而改用UDP (User Datagram Protocol)为底层,UDP虽然较不安全、可能有掉封包或封包后发先至的问题,但较简单、传输效率更高,能大幅减低延迟性。Google为QUIC提升安全性、并加入缓冲机制避免阻断服务攻击(DoS)。 虽然Google有意将QUIC提交到IETF,以便成为下一代网际网络规范,但IETF也提出了一个和Google QUIC分庭抗礼的QUIC。社区中称Google提出的QUIC为gQUIC,而IETF的为iQUIC。 另一方面,当IETF的QUIC工作小组将QUIC标准化时,它衍生出共两个协议,一个是网络传输协议,一个是HTTP层协议。网络传输层协议也可用于传输其他数据,不只为HTTP设定,但两者名称都使用了QUIC;而在iQUIC上传输的HTTP协议,长期以来就被称为HTTP-over-QUIC,或HTTP/QUIC。 为了解决种种混淆,让彼此之间更容易分别,IETF决定加以正名。HTTP工作小组暨QUIC工作小组主席Mark Nottingham倡议将HTTP-over-QUIC(HTTP/QUIC)重新命名为HTTP/3,并在上周举行的IETF HTTPBIS会议中提议,并且也广为接受。 Mozilla开发人员Daniel Stenberg日志列出了Nottigham在会中的简报,简报重申HTTP/3和之前协议之间的差异。HTTP/QUIC(HTTP/3)并非HTTP/1.1或HTTP/2的后代,也不是QUIC上的HTTP/2协议,因为它是在QUIC协议上新开发出的HTTP。下一代HTTP将是以QUIC为核心及网络传输协议的新协议。 Litespeed的工程师也宣布该公司和脸书已经完成HTTP/3实作的相容性测试。   稿源:新浪科技,封面源自网络;

第一份 Android 生态安全报告出炉:系统越新越安全

Google 公布了史上第一份 Android 生态系统安全报告(Android Ecosystem Security Transparency Report),这是一份季报,内容来自于 Google Play Protect 所检测到的“可能存在危险的应用程序”((Potentially Harmful Applications,PHA),内容显示 Google Play 下载的应用程序比其他渠道安全9倍。 之前,Google 会提供 Android 年度安全报告,其中包含Android 系统安全趋势、Google 提供的 Android 漏洞奖金,以及在 Android 上提供的保护机制等。而此次季度报告主要针对 PHA。 Android 内置的 Google Play Protect 平均每天扫面500亿的应用,当发现可能存在危险的应用时,就会对使用者提出警告,并允许使用者关闭或下载该程序。每季的季度报告都提供三项指标,分别是 PHA 的来源(Google Play 及非 Google Play),各种 Android 版本所包含的 PHA 比率,以及不同国家的 Android 系统的 PHA 比率。 Google 表示,从 Google 下载程序的 Android 设备,只有 0.09% 会识别到 PHA,今年前三季下降到了 0.08%;相比之下,从包含 Google Play 和第三方应用市场下载程序的设备,检测到 PHA 的比率高达 0.82%,不过,今年前三年也出现了下滑,数值到 0.68%。 Google 还表示,越新的 Android 系统检测到 PHA 的比率越低,如,棒棒糖(Lollipop,Android 5.0)检测到 PHA 的比率 > 棉花糖(Marshmallow,Android 6.0)> 牛轧糖(Nougat,Android 7.0)>奥利奥(Oreo, Android 8.0)> 最新的“派”(Pie,Android 9.0)。 Google 解释说,这是因为公司持续加强 Android 平台和 API,加上常规平台和程序更新,也限制了程序对机密信息的访问。此外,包括Nougat,Oreo 和 Pie都更能够承受权限扩展攻击,让过去尝试扩展权限以避免被删除的 PHA 无处遁形。 而在 Android 的前十大市场,至少安装一个 PHA 的装置百分比中,以印度,印尼及美国的比率最高。 完整的安全生态报告看这里。   稿源:开源中国,封面源自网络;

攻击预警 | 多家单位官网受到攻击,请提高警惕并做好安全措施

2018年11月以来,知道创宇404积极防御实验室在创宇盾网站舆情监测平台发现并确认,某带有强烈政治意图的境外组织对多个单位官网发起入侵攻击,包括政府、学校、事业单位和名企等。 经分析,该组织采取的主要攻击方式是,利用常见的Web漏洞攻击、通过弱口令登录后台发布信息等手段,对目标网站植入带有挑衅字样的黑页。 多名参与入侵的成员在国外社交平台Twitter发布了“战果”,如: ▼ ▼ ▼ ▼ ▼ ▼ 总结及安全建议 通过知道创宇安全大数据分析发现,近期该组织面对国内的攻击活动频繁,请各单位提高警惕,做好针对性的安全措施,如开启Web防火墙、强制更新重要入口账号密码、升级服务器操作系统的补丁等,并对加强自身网站的安全监控。

nginx 安全问题致使 1400 多万台服务器易遭受 DoS 攻击

据外媒报道,近日 nginx 被爆出存在安全问题,有可能会致使 1400 多万台服务器易遭受 DoS 攻击。而导致安全问题的漏洞存在于 HTTP/2 和 MP4 模块中。nginx Web 服务器于11月6日发布了新版本,用于修复影响 1.15.6, 1.14.1 之前版本的多个安全问题,被发现的安全问题有一种这样的情况 —— 允许潜在的攻击者触发拒绝服务(DoS)状态并访问敏感的信息。 “在 nginx HTTP/2 实现中发现了两个安全问题,这可能导致过多的内存消耗(CVE-2018-16843)和CPU使用率(CVE-2018-16844)”,详见 nginx 的安全建议。 此外,“如果在配置文件中使用”listen”指令的”http2″选项,则问题会影响使用 ngx_http_v2_module 编译的 nginx(默认情况下不编译)。” 为了利用上述两个问题,攻击者可以发送特制的 HTTP/2 请求,这将导致过多的CPU使用和内存使用,最终触发 DoS 状态。 所有运行未打上补丁的 nginx 服务器都容易受到 DoS 攻击。 第三个安全问题(CVE-2018-16845)会影响 MP4 模块,使得攻击者在恶意制作的 MP4 文件的帮助下,在 worker 进程中导致出现无限循环、崩溃或内存泄露状态。 最后一个安全问题仅影响运行使用 ngx_http_mp4_module 构建的 nginx 版本并在配置文件中启用 mp4 选项的服务器。 总的来说,HTTP/2 漏洞影响 1.9.5 和 1.15.5 之间的所有 nginx 版本,MP4 模块安全问题影响运行 nginx 1.0.7, 1.1.3 及更高版本的服务器。 为缓解这两个安全问题,服务器管理员必须将其 nginx 升级到 1.14.1 stable 或1.15.6 主线版本。 目前,Shodan 搜索显示超过 1400 万台服务器运行未包含修复补丁的 nginx 版本(更确切地说是 14,036,690 台),仅有 6992 台服务器打上了安全补丁。   稿源:开源中国,封面源自网络;

谷歌安全功能:关闭浏览器 JavaScript 将无法登陆谷歌

新浪科技讯 北京时间11月1日上午消息,谷歌今日推出了4个新的安全性功能,旨在提升谷歌帐号的安全程度。这4个更新是提升用户登陆谷歌帐号前后的受保护程度,另外这些更新也适用于用户受到黑客攻击后对帐号进行回复的情况。 谷歌表示,它们推出的第一个安全性功能可以在用户输入用户名和密码之前就对用户的帐号安全加强防护。未来,如果用户在浏览器中关闭JavaScript功能,谷歌将不再允许这些用户进行登录。谷歌会使用JavaScript在用户的登录页面上进行风险分析,如果JavaScript被禁用,会导致入侵者绕过风险分析。谷歌表示,只有大约0.01%的用户会受到这次更新的影响,一小部分用户会为了提升浏览器的性能而禁用JavaScript。 谷歌本次推出的第二个更新与Android恶意应用有关。谷歌计划调取该公司推出的安全扫描应用Google Play Protect的数据,该应用会对用户的手机进行扫描,并且发现手机中所安装的恶意软件,提醒用户进行卸载。 谷歌的第三个更新,是向用户展示他们此前曾经允许那些第三方应用和网站调用用户的帐号信息,提醒用户定期进行检查,对那些已经不再使用的第三方应用和网站进行取消授权操作。 谷歌的第四个更新针对的是用户帐号被入侵之后的恢复工作。这个更新能够帮助用户重新获得帐号的访问权,并且对已经被入侵的数据进行重新保护。另外,用户可以使用这个功能查看Google Pay帐号的消费情况,并且查看Gmail和Drive中是否被添加了新的文件。   稿源:新浪科技,封面源自网络;

用户从今天开始可以直接在 Google 产品中轻松控制个人隐私数据

谷歌产品管理,隐私和数据保护办公室主任Eric Miraglia发布了一篇博文,其中谈到了用户可以直接在Google产品中轻松控制数据。Eric Miraglia表示,谷歌一直致力于让用户更轻松地理解和控制数据,以便用户可以选择适合自己的隐私功能。   今年早些时候,谷歌推出了新的Google帐户体验,将用户的隐私和安全放在首位和中心位置,谷歌通过和更清晰的语言更新了谷歌的隐私政策,以更好地描述谷歌收集的信息,收集信息的原因以及用户如何控制它。   今天开始,谷歌会让用户更轻松地直接在每天使用的Google产品中控制数据。从搜索开始,用户现在可以查看和删除最近的搜索活动,快速访问Google帐户中最相关的隐私控制,并详细了解搜索如何处理用户的数据。 使用Google产品时,用户会生成有关用户的活动数据。对于搜索,此数据包括用户搜索的字词,与之交互的链接以及搜索时当前位置等其他信息。在今天之前,如果用户在Google上搜索并想要查看或管理这些数据,那么最好的方法就是访问用户的Google帐户。现在,谷歌将这些控件带给用户,从搜索中直接查看,用户可以查看或删除用户的搜索活动,并快速返回查找用户要搜索的内容。 谷歌还让用户快速访问Google帐户中用户搜索时最相关的隐私控制。例如,要控制用户在搜索时看到的广告,谷歌会授予用户访问广告设置的权限。此外,用户还可以访问自己的活动控件,以确定Google为用户的帐户保存哪些信息,并将其用于更快,更智能,更实用的搜索和其他Google服务。 谷歌今天在桌面和移动网络上为Google搜索推出这项改进,并在未来几周内将这个改进带给iOS和Android的Google应用。明年,谷歌将把它扩展到地图,然后是许多其他Google产品。直接从用户每天使用的Google产品访问相关且可操作的隐私控制,只是谷歌不断努力构建适合每个人隐私控制的一种方式。   稿源:cnBeta,封面源自网络;