标签: 网络安全

97% 的网络安全公司在暗网上泄露了数据

安全公司ImmuniWeb在一份有关今年全球网络安全行业在暗网暴露数据的最新报告中,发现97%的领先的网络安全公司都发生了数据泄露或其他安全事件,而平均而言,每个网络安全公司会暴露4,000多个被盗凭证和其他敏感数据。 研究发现: 97%的公司在暗网上发生了数据泄露和其他安全事件。 共发现631512起经核实的安全事件,超过25%(或160529)属于高或严重风险级别事件,其中包含高度敏感的信息,例如明文凭证或PII,包括财务或类似数据。因此,平均每个网络安全公司有1586份被窃取的凭证和其他敏感数据被曝光。在ImmuniWeb的研究中还发现了超过100万个未经证实的事件(1027395),这里面只有159462个被认为是低风险的。 29%的被盗密码是弱密码。研究显示,29%的被盗密码很弱,只有不到8个字符,或者没有大写字母、数字或其他特殊字符。162家公司的约40名员工在不同的违规情况下重复使用相同的密码增加了网络犯罪分子重复使用密码攻击的风险。 色情网站和成人交友网站上使用了专业电子邮件,第三方违规行为占有很大比例,ImmuniWeb的研究发现,5121份证书从被黑客入侵的色情网站或成人交友网站上被窃取。 63%的网络安全公司的网站不符合PCI DSS要求,这意味着它们使用易受攻击或过时的软件(包括JS库和框架)或在阻止模式下没有Web应用程序防火墙(WAF)。 48%的网络安全公司的网站不符合GDPR要求。他们缺乏明显的隐私政策,当cookie包含PII或可追踪标识符时,缺少cookie免责声明。 91家公司存在可利用的网站安全漏洞,其中26%仍未修补。这一发现来自ImmuniWeb,指的是Open Bug Bounty项目中公开可用的数据。 这项研究是使用ImmuniWeb的免费在线域安全测试来进行的,该测试结合了专有的OSINT技术和机器学习,对暗网进行分类。398家领先的网络安全公司接受了测试。 美国的网络安全公司遭受的风险最高,严重,其次是英国和加拿大,再次是爱尔兰,日本,德国,以色列,捷克共和国,俄罗斯和斯洛伐克。 在接受测试的398家网络安全公司中,只有瑞士,葡萄牙和意大利的公司没有遭受任何高风险或重大风险事件,而比利时,葡萄牙和法国的公司经过验证的事件数量最少。 ImmuniWeb首席执行官兼创始人Ilia Kolochenko对这项研究发表了评论: “如今,网络犯罪分子通过针对可信赖的第三方而不是追逐最终受害者,努力实现利润最大化和被捕的风险最小化。例如,大型金融机构通常拥有强大的技术,法证和法律资源,可以及时发现并调查,经常成功地起诉大多数入侵者。 “相反,他们的第三方,从律师事务所到IT公司,通常缺乏对快速增长的针对性攻击和APT做出反应所需的内部专业知识和预算。最终,那些攻击者逍遥法外。在2020年,人们无需花费很多时间,而是找到几个不受保护的第三方,迅速破解最他们薄弱的环节。” “对于当今的任何网络安全和合规计划来说,数据,IT和数字资产的整体可见性和清单都是必不可少的。机器学习和AI等现代技术可以极大地简化和加速从异常检测到错误的大量繁重任务。但是,我们要通过不断监视深网、暗网以及Surface Web中无数的资源(包括公共代码存储库和粘贴网站),在不久的将来,这种环境可能会变得更加复杂。” 完整的研究结果可以在这里查看。     稿件与封面来源:The Hacker News,译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理, 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Verizon 透露量子网络试验 该技术将有助于保障网络安全

Verizon正在扩大对量子计算技术的测试,该运营认商为该技术可以帮助保障其网络安全。一个名为量子密钥分发的技术在华盛顿特区的试点项目获得了成功,因此Verizon它现在将在全美范围内进行测试。量子计算可以解决一些传统机器不可能解决的计算问题,最著名的就是能够破解传统的加密技术。但Verizon正在探索一种不同的方式,即使用量子计算保护那些加密的网络连接。 量子密钥分配一种比量子计算更成熟的技术,允许双方共享用于保护通信的加密密钥。这项技术的一个关键因素是能够检测是否有其他人也试图进入。Verizon首席产品创新官尼基•帕尔默(Nicki Palmer)说:“基于量子的技术可以加强当今和未来的数据安全。 Verizon的试验涉及在两个地点之间实时加密和传送视频流。量子密钥是在一个光纤网络上创建和交换的,Verizon表示,这种技术可以立即发现黑客,QKD网络利用光子的量子特性来获得密码密钥,以防止窃听。它还使用量子随机数发生器连续生成加密密钥。       (稿源:cnBeta,封面源自网络。)

黑莓开源逆向工程工具 PE Tree,降低逆向复杂度

黑莓方面宣布推出一个新的开源工具“PE Tree”,旨在减少逆向工程恶意软件所需的时间和精力。该公司表示,PE Tree 使得逆向工程师可以使用 pefile 和 PyQt5 在树状视图中查看可移植可执行(Portable Executable,PE)文件,从而降低了从内存中转储和重建恶意软件的门槛,同时提供了社区可以建立的开源 PE 查看器代码库。 PE Tree 还与 HexRays 的IDA Pro 反编译器集成在一起,从而可以轻松导航 PE 结构,以及转储内存中的 PE 文件并执行导入重建, 在识别和阻止各种恶意软件方面至关重要。 该工具采用 Python 开发的,并支持Windows、Linux 和 Mac 操作系统。它可以作为独立应用程序或 IDAPython 插件安装和运行,从而使用户可以检查任何可执行的 Windows 文件并查看其组成。 图 1 独立应用程序 图 2 IDAPython 插件 使用 Ero Carrera 的 pefile 模块分析 PE 文件,然后再映射到树视图中。在那里,用户可以查看 headers 的摘要,包括 MZ header、DOS stub、Rich headers、数据目录等。 此外,左侧的“rainbow view”提供了 PE 文件结构的高级概述,并传达了每个区域的 offset/size/ratio。用户可以单击每个区域以跳至树状视图,或者单击鼠标右键以保存到文件或导出到 CyberChef。 黑莓研究运营副总裁埃里克·米拉姆(Eric Milam)称:“随着网络犯罪分子不断发展,网络安全社区需要在其武器库中使用新工具来捍卫和保护组织和人员。现在市场上已有超过 10 亿个恶意软件,而且这个数字还在以每年 1 亿个以上的数量持续增长。因此我们创建了此解决方案,以帮助网络安全社区进行这场斗争。” 更多详细内容可查看官方博客:https://blogs.blackberry.com/en/2020/08/blackberry-open-source-pe-tree-tool-for-malware-reverse-engineers 相关链接 PE Tree 的详细介绍:点击查看 PE Tree 的下载地址:点击下载   (稿源:开源中国,封面源自网络。)  

开发者为 Linux 添加了一系列 RISC-V UEFI 支持补丁

今年早些时候 Linux 中的 UEFI 代码已经进行过清理,随后一系列 RISC-V UEFI 支持的早期补丁被提出,形成了更为全面的补丁集,用于在 Linux 下启用 RISC-V 的 UEFI 支持。近日则又有开发者提交了一系列补丁,解决了大量问题的同时为 Linux 下支持 RISC-V UEFI 新增了一些新的能力。 开发者 Atish Patra 来自西部数据,他在上周四提交了 11 个补丁,根据他的介绍,补丁 1-6 是准备性修补程序,可修复一些通用的 efi 和 riscv 问题;补丁 7-9 增加了对 RISC-V 的 efi stub 支持,并已在四月份提交审核;补丁 10 重命名了 arm-init,以便可以在不同的代码中使用该基础;补丁 11 则为 RISC-V 添加了运行时服务。 总结起来,这一系列补丁的主要贡献在于: 添加了完整的 ioremap 支持。 添加了 efi 运行时服务支持。 修复了 mm 问题。 目前补丁已在 Qemu 上使用 U-Boot 中的 bootefi 命令进行了验证,在 RISC-V 32 位与 RISC-V 64 位上都通过测试。不过 RISC-V 上 EDK2 代码的某些问题仍在解决中,主要是 SPI 与网络驱动相关的问题。 这一系列补丁打在 Linux 内核 5.8-rc2 上,目前还处于 PR 状态,等待代码审核,如果解决了相关问题,并且最终被接受,那么在 Linux 5.8 发布的时候应该能够看到。     (稿源:开源中国,封面源自网络。)

Dubbo 反序列化漏洞,可导致远程代码执行

近日 Dubbo 官方报告了一个 Dubbo 远程代码执行问题(CVE-2020-1948),该问题由 Provider 反序列化漏洞引起。根据介绍,攻击者可以使用无法识别的服务名称或方法名称,并带上一些恶意参数有效载荷发送 RPC 请求。当恶意参数反序列化后,将执行一些恶意代码。 受影响的版本: 2.7.0 <= Dubbo Version <= 2.7.6 2.6.0 <= Dubbo Version <= 2.6.7 所有 2.5.x 版本(官方团队不再支持) 所有 Dubbo 版本都可以升级到 2.7.7 或更高版本,避免该漏洞:https://github.com/apache/dubbo/releases/tag/dubbo-2.7.7 详情查看邮件列表。     (稿源:开源中国,封面源自网络。)

Apache Tomcat HTTP/2 DoS 漏洞 影响多个版本

Apache Tomcat 安全团队报告了一个 Tomcat HTTP/2 DoS 漏洞。 HTTP/2 请求的特制序列可能会在数秒内引发较高的 CPU 使用率,如果有足够数量的此类请求在并发 HTTP/2 连接上进行连接时,服务器可能无响应,即造成拒绝服务。 该漏洞严重等级定为“重大”(Important),编号 CVE-2020-11996。 受影响的软件版本包括: Apache Tomcat 10.0.0-M1 到 10.0.0-M5 Apache Tomcat 9.0.0.M1 到 9.0.35 Apache Tomcat 8.5.0 到 8.5.55 官方给出的缓解方法: 升级到 Apache Tomcat 10.0.0-M6 或更高版本 升级到 Apache Tomcat 9.0.36 或更高版本 升级到 Apache Tomcat 8.5.56 或更高版本 具体细节可以查看: http://tomcat.apache.org/security-10.html http://tomcat.apache.org/security-9.html http://tomcat.apache.org/security-8.html     (稿源:开源中国,封面源自网络。)

医疗设备应如何抵御黑客攻击

自2020年以来,网络攻击规模相比于去年,激增了300%。而像医院、药房、医疗设备供应商等关乎到每个人生命健康的机构,比以往任何时候,都要面临更大的安全隐患。 即使这系列的攻击,有时候不是直接针对某个医疗物联网设备(IoMT),但它也可以通过医院的内部网络,感染用于诊断和治疗患者的设备,如静脉泵、患者监控器、呼吸机和x光机。 正如美国医院协会(AHA)网络安全和风险高级顾问约翰·里吉(John Riggi)所说:“最坏的情况是,这些用于挽救生命的医疗设备,可能在被感染后直接无法使用。” 对医院而言,防止网络攻击和保护IoMT设备不受感染的最佳方法,是将最脆弱和最关键的设备,彼此隔离或保持虚拟距离,也就是所谓的网络分段。 医院可以采取以下实际步骤,来分段临床网络,减少攻击面,并保护患者免受网络攻击: 1.首先明确谁来负责 传统意义上,医疗设备安全一直是生物医学工程设备专家的责任。 然而,随着IoMT设备的日益普及和针对医疗保健的网络攻击的增加,医院信息科室的IT团队不得不在医疗设备安全方面投入更多的精力。因此,信息科室和生物医学工程研究团队之间需要紧密合作,为临床网络设计和实施安全有效的安全政策。 为确保医疗设备的安全,并将IT和生物医学团队进行跨部门整合,这时候就需要一个单独的、最终的IoMT网络安全政策决策者。一些大型机构,甚至增设医疗设备安全员(MDSO)的角色,直接负责整个医院整个临床网络中的医疗设备安全。 2.创建可靠的设备清单 如果没有对医院连接的医疗设备、设备上的配置文件、通信模式,有足够深入了解,就无法设置网络分割策略。 自动化库存工具,还必须能够在了解IoMT设备行为、临界性、脆弱性的情况下,对设备进行持续分析。 3.评估每种设备的风险 风险评分,应根据设备可能造成的危急程度和医疗影响来计算。风险评估应持续进行,并持续监控网络异常行为。为了评估风险,必须考虑以下因素: 与正常设备功能所需的外部服务器通信(即供应商通信) 设备需要存储和发送ePHI,以及用于什么目的? 设备使用模式 设备是否运行不支持的操作系统或有任何已知的漏洞?如果是,是用补丁,还是用网络分割方法来保护设备? 4. 实时关注监管指南和规则 如果医院不遵守联邦和州监管标准,将面临数百万美元的罚款。抛开金钱损失不谈,不遵守网络安全准则会使医疗设备面临风险,并可能危及患者的安全、商业诚信和医院的声誉。 涉及医疗保健和医疗设备的准则和条例定期更新。为了保持合规,医院必须密切关注州联邦机构发布的监管标准和更新,包括: 美国食品和药物管理局(FDA) 医疗设备信息共享和分析(MDISS)倡议 《健康保险可携性和问责法》(HIPAA) 5. 设计、验证和执行分段策略 分段策略用以减少攻击面,并阻止潜在威胁。网络分段还可以通过将流量限制到指定区域和减少网络负载,来帮助网络更顺畅地运行。 然而,在临床网络上执行任何分段策略之前,应测试其安全性和有效性。医院安全团队应始终验证分段策略,然后在网络上执行,以确保医疗服务和临床操作的连续性。     (稿源:雷锋网,封面源自网络。)

Windows 10 Version 2004 新 BUG:重复报告安全警报

上月发布的 Windows 10 May 2020(20H1/Version 2004)功能更新在安全方面引入了诸多改进,其中就包括阻止潜在不必要程序(PUP/PUA)的能力。微软表示 PUP 包括各种类型的系统软件捆绑、驱动程序和注册表优化器等。 不过近日 Version 2004 用户反馈,即使在 PUP 应用程序被清理之后,Windows Security 应用程序依然会触发警报。在 PUP 应用程序被移除或者允许在 Windows 10 上运行之后,Windows Security 在随后的扫描中依然会检测到旧项目,造成错误的检测循环。 一位用户指出:“我在进行常规扫描时,发现这些威胁被高亮显示为低级,而且 Defender 无法删除它们,导致一直显示。我同样使用了 Malwarebytes 进行扫描,但这边并没有显示出来。” 看来,Windows Defender 已经被默认为在Windows 10 Version 2004 中识别 PUP 为威胁。在 PUP 被删除后,Windows Defender 在随后的历史记录扫描中又将同一文件识别为威胁。 想要修复这个问题,你需要通过以下步骤删除PUPs历史信息: 1.打开 “文件资源管理器”。 2.导航到C:/程序数据/Microsoft/Windows Defender/Scans/History/Service。 3.在服务文件夹中,删除PUP相关文件。 4.重启Windows并在Windows安全应用中进行快速扫描。     (稿源:cnBeta,封面源自网络。)  

Rovnix Bootkit 恶意软件相关活动分析

今年4月中旬,相关威胁监控系统检测到借助“世界银行与冠状病毒大流行有关的新倡议”的恶意软件,扩展名为 EXE 或 RAR, 在这些文件中有著名的 Rovnix bootkit。虽然利用冠状病毒这一话题进行传播的事情已屡见不鲜,但其使用UAC旁路工具进行了更新,且被用来提供一个与众不同的装载程序的实例却很少见。 这份名为《关于世界银行与冠状病毒pandemic.exe有关的新举措》的文件,是一份自解压的报告,其中列出了easymule.exe和1211.doc。 该文件确实包含有关世界银行一项新计划的信息,并且在元数据中引用了与该组织有关的真实个人作为作者。   … 更多内容请至Seebug Paper阅读全文:https://paper.seebug.org/1248/     消息来源:securelist,译者:dengdeng。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接  

BlueLeaks 曝光了美国数百个警察部门内部文件 总容量接近 270 GB

上周,美国各地警察部门的数十万份潜在敏感文件在网上泄露。这个被称为 “BlueLeaks “并可在网上搜索的集合,源于德克萨斯州一家网页设计和托管公司的安全漏洞,该公司维护着一些州的执法数据共享门户。该集合总容量近270GB,是分布式拒绝秘密(DDoSecrets)的最新发布,DDoSecrets是维基解密的另一种选择。 DDoSecrets在Twitter上发文称,BlueLeaks档案索引了 来自200多个警察部门、融合中心和其他执法培训和支持资源的十年数据,在数十万份文件中,有警察和FBI的报告、公告、指南等。融合中心是由国家拥有和运营的实体,在州、地方、部落和地区、联邦和私营部门合作伙伴之间收集和传播执法和公共安全信息。KrebsOnSecurity获得了美国国家融合中心协会(NFCA)6月20日的内部分析,证实了泄露数据的有效性。NFCA提醒指出,泄露文件的日期实际上跨越了近24年,从1996年8月到2020年6月19日,文件包括姓名、电子邮件地址、电话号码、PDF文件、图像以及大量的文本、视频、CSV和ZIP文件。 此外,数据转储还包含电子邮件和相关附件,初步分析显示,其中一些文件包含高度敏感的信息,如ACH路由号码,国际银行账户号码(IBAN)和其他金融数据,以及个人身份信息(PII)和信息请求(RFI)和其他执法和政府机构报告中列出的嫌疑人的图像。NFCA表示,BlueLeaks公布的数据似乎是在总部位于休斯顿的网络开发公司Netsential发生安全漏洞后获取的。对此次泄密事件中包含的数据的初步分析表明,Netsential是美国多个融合中心、执法部门和其他政府机构使用的网络服务公司,是此次泄密事件的源头。 NFCA表示,各种网络威胁行为者,包括民族国家、黑客活动家和有经济动机的网络犯罪分子,可能会寻求利用此次泄密事件中暴露的数据,针对融合中心和相关机构及其人员进行各种网络攻击和活动。BlueLeaks数据集发布于6月19日,又称 “六月十九日”,是美国历史最悠久的结束奴隶制的全国性纪念活动。在广泛抗议乔治-弗洛伊德被明尼阿波利斯警察杀害事件后,今年的纪念日再次引起公众的兴趣。   (稿源:cnBeta,封面源自网络。)