安全快讯Top News

美国国土安全部:黑客在 2016 年总统大选入侵 21 个州的选举系统

Facebook 于本周早些时候宣布把俄罗斯机构于美国 2016 年总统大选期间在其平台上购买的广告内容移交给美国国会。据外媒报道,美国国土安全部(DHS)于 9 月 22 日向 21 个州发出通知,黑客在 2016 年入侵他们的选举系统。不过,没有一个系统涉及统计投票。 DHS 发言人 Scott McConnell  在一份声明中表示:“ 作为我们正在进行的信息共享工作的一部分,国土安全部告知了每个州的秘书长或其他首席选举官员有关我们知道的在 2016 年选举的任何潜在目标 ”。尽管有消息称,投票系统似乎没有受到影响,但这些通知引发外界对美国选举制度完整性的担忧。美国国土安全部在 2016 年总统大选期间继续调查安全漏洞。多个情报机构表示,俄罗斯政府试图通过黑客攻击美国选举团队的电子邮件等来影响选举。另外也有报道称俄罗斯黑客通过干扰美国大选来助力特朗普获胜。 据去年 9 月份的一篇报道,美国政府通知选举官员,黑客针对 20 多州的选举系统发起攻击,并成功入侵四个系统。McConnell 没有具体说明此次报道的黑客攻击是否与去年所报道的不同。亚利桑那州政府代表在一份声明中表示:“DHS 已经让我们知道,俄罗斯政府在 2016 年涉嫌攻击亚利桑那州的选民登记系统 ”。美联社还报道称,阿拉巴马州、科罗拉多州、伊利诺伊州、马里兰州、弗吉尼亚州、华盛顿州和威斯康辛州都是受到影响的州。 稿源:cnBeta,封面源自网络;

Equifax 因数据泄露推出安全服务域名疑似虚假钓鱼网站

据外媒报道,Equifax 对近期发生的客户数据泄露的反应完全是一个糟糕的行为。大约两周前,也就是数据泄露事件曝光那会儿,这家公司在其官推上发出了一个帮助客户注册身份盗窃保护服务并获取公司对 “ 网络安全事件 ” 最新处理消息的网站。然而,这个叫做 equifaxsecurity2017.com 的网站却让公民看着像是一个虚假钓鱼网站。 为了证明这点,开发者 Nick Sweeting 就创建了一个跟 Equifax 相类似的安全服务网站 securityequifax2017.com。可以看到,Sweeting 只是将 equifax 和 security 的顺序调换了一下。 虽然 Sweeting 这么做并没有什么恶意,但 Equifax 官方自己也被这个网站给愚弄了,可以看到,该公司在官推上甚至发出了让客户访问 securityequifax2017.com 的消息,并且不止一次。 Sweeting 告诉媒体,由于 Equifax 创建的这个网站非常容易被模仿,所以这对于该家公司来说是一件非常危险的事情。据了解,Sweeting 仅用了 20 分钟就克隆了该网站,他认为,网上肯定已经有了真正模仿该网站的钓鱼网站。 稿源:cnBeta,封面源自网络;

间谍软件 FinSpy 新变种借助多国互联网服务提供商(ISP)进行 MitM 攻击传播

HackerNews.cc  9 月 21 日消息,网络安全公司 ESET 研究人员近期发现至少两个国家的互联网服务提供商(ISP)涉嫌分发间谍软件 FinSpy 新变种。研究人员推测,攻击者极有可能通过控制 ISP 进行 MitM (中间人)攻击,以传播恶意软件 FinSpy 新变种,并试图将 WhatsApp、Skype、Avast、WinRAR、VLC Player 等应用软件的下载重定向至其他恶意链接。 FinSpy 是一款监控软件,由英国 Gamma 组织开发,并仅面向政府与执法机构出售,但隐私倡导者推测该软件也可能被售于专制政权机构。此外,FinSpy 不仅能够录制所有通信来电与短信消息,还可远程开启目标设备的摄像头、麦克风,以及实时定位与跟踪用户设备。 近期,研究人员通过监测间谍软件 FinSpy 在两个受影响国家中的地理分布分析,怀疑 FinSpy 可能不是通过本地网络,而是利用 ISP 进行 MitM 攻击传播。消息指出,此前维基解密泄露的文件曾透露,销售 FinFisher 间谍软件的公司提供过一个可在 ISP 级别安装的软件包,已知的两国受害者恰好都使用着同一个互联网服务提供商(ISP),但目前尚不清楚 ISP 是否主动参与其中。 以下图表详细显示了 FinSpy 新变种的感染机制: 研究人员表示,FinSpy 新变种在很大程度上得到了优化,即利用自定义代码虚拟化保护部分组件,从而使入侵目标设备时处于隐身状态以规避安全措施检测。此外,整个代码均具备反拆卸功能,致使研究人员的分析更加困难。经调查显示,这可能是 FinFisher 首次利用 ISP 分发恶意软件。然而,黑客除通过 ISP 开展 MitM 攻击外,还利用恶意软件此前的机制于其他五个国家进行分发。目前,ESET 在告知开发公司 Gamma 后立即也通知了受害国家,以避免将用户置于危险之中。 原作者:Catalin Cimpanu,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Joomla! LDAP 协议注入漏洞可使管理员登录凭证在线暴露(已修复)

据外媒 9 月 21 日报道,网络安全公司 RIPS Technologies 研究人员发现全球知名内容管理系统 Joomla! 的登录页面存在一处高危漏洞(CVE-2017-14596),致使管理员登录凭证在线暴露。目前,受影响版本包括 Joomla! 1.5 — 3.7.5。 调查显示,当用户使用轻量级目录访问协议(LDAP)身份验证时,该漏洞将会影响 Joomla! 安装。此外,Joomla! 主要通过 TCP/IP 从插件管理器启用本机验证插件实现 LDAP 访问。然而,研究人员却发现,当启用 LDAP 认证插件时,攻击者可以尝试从登录页面逐个猜测管理员凭证,从而劫持账号信息。一旦成功登录,攻击者将接管 Joomla! 后台页面,并上传自定义插件,以获取 Web 服务器远程执行代码的扩展。 解决方法: ο 研究人员已在线发布漏洞概念验证( PoC ) ο Joomla! 于本周发布补丁修复程序,建议用户升级至最新版本 Joomla! 3.8。 原作者:Pierluigi Paganini,译者:青楚  本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

中国公司开发的 GO 输入法被指控监视用户敏感信息

据相关媒体报道,中国广州公司 GOMO Dev Team 开发的 GO 输入法被指控收集用户个人信息、下载危险的可执行代码。Google Play 统计显示,该输入法在全世界有超过 2 亿用户。 安全公司 Adguard 的研究人员发现,GO 输入法会向该公司的服务器报告用户的 Gmail 账号、语言、IMSI、位置、网络类型、屏幕大小、Android 版本、设备型号等。此外,GO 输入法还会从远程服务器上下载可执行代码,而它下载的一些插件被安全软件归类为广告程序。 GO 输入法所拥有的广泛权限意味着它下载的可执行代码会给用户带来严重的安全风险。记住它是一个输入法,你输入的信息都可能会被它记录下来。 稿源:solidot奇客,封面源自网络;

安全研究:手指模型的发展或将改进指纹识别技术

指纹识别几乎无所不在,但它们仍然是手机最大的安全漏洞。据外媒报道,科学家现在创造了一个更逼真手指模型,他们希望由此改进指纹识别技术。此前手指模型已经存在,但密歇根州立大学的研究人员最近创建了一种更高级的版本,可用于测试指纹扫描仪,并使其更难以被入侵。 一篇详细说明该过程的技术报告已提交 arXiv,而这篇论文还将在《 IEEE Transactions on Information Forensics and Security 》杂志上发表。 制造手指模型解锁手机并不难,其 CITER 研究人员就曾根据图像开发出 3D 打印模具;而在 2014 年的混沌电脑俱乐部(Chaos Computer Club)年度大会上,一位名为 Starbug 的安全研究人员也曾利用德国国防部长手部的高分辨率照片复制出拇指指纹。 此外,这项研究的作者 Anil Jain 长期致力于这些生物特征问题。去年,他所在的实验室用 3D 打印技术成功复制一名死者的指纹,从而帮助警方解锁手机。在这项新研究中,Jain 团队使用 3D 打印机为现实的手指模型创建了一个模具,而手指模型本身由不同类型的硅树脂和颜料制成。 在这项研究中,指纹读取器使用不同的方法。有些是利用光学扫描仪拍摄人们的指尖,看看它是否与存储的相匹配;有些使用皮肤电导率和电流创建图像,这些称为电容式扫描仪的设备可以创建更清晰的图像。另一种方法使用超声。其超声波脉冲照射在手指上,一些脉冲被吸收,一些返回到传感器。然后传感器使用机械应力检测人们指尖的细节。目前,实验室的新手指模型具有真正手指的光学、电学和机械性能。它们可用于测试光学与电容式传感器的准确度。 稿源:cnBeta,封面源自网络;

Facebook 表示将把俄罗斯购买的广告内容移交至美国国会

据外媒报道,Facebook 于本月初公开表示他们曾在美国 2016 年总统大选期间向与俄罗斯存有关联的账号销售过价值 10 万美元的广告。现在,这家公司决定向国会提供为其在 2015 年至 2017 年向俄罗斯组织 “ 互联网研究机构(IRA)” 销售过的广告。 Facebook 此前表示,这家俄罗斯机构在美国购买了 3000 多个针对美国政治、社会问题的广告。其中约有 470 个 Facebook Page 账号跟这些广告存有关联,并且看起来很有可能是俄罗斯方面在运营。据了解,俄罗斯购买的广告主要将精力放在传达出被放大的分裂社会和政治信息,包括枪支、种族、LGBT 以及移民等问题。Facebook 还曾指出,近 1/4 的广告都有地理定位性,并且它们大多数都不是直接针对美国总统选举。 近期,最新公布的声明指出,Facebook 透露他们将把这些广告移交给国会的调查人员。该家公司表示,在做出这个决定之前他们非常矛盾,一面是他们要保护好用户内容的政策,一面是投放的广告需是用户导向的内容。 稿源:cnBeta,封面源自网络;

安全研究人员已找到利用英特尔 Management Engine 漏洞的最新方法

网络安全公司 Positive Technologies 研究人员将于 12 月举行的欧洲 Black Hat 安全会议上报告针对英特尔 Management Engine 漏洞的利用。 自 2008 年起,英特尔处理器平台都内置了一个低功耗的子系统 Management Engine(ME),它包含了一个或多个处理器核心、内存、系统时钟、内部总线、保留的受保护内存、有自己的操作系统和程序、能访问系统主内存和网络。 ME 能完全访问和控制 PC,能启动和关闭电脑、读取打开的文件、检查所有运行的程序、跟踪按键和鼠标移动,甚至能捕捉屏幕截图,其功能可视为系统的 “上帝模式”。研究人员称,ME 运行了一个修改版的 MINIX 操作系统——就是与 Linus Torvalds 展开著名论战的荷兰 Vrije 大学教授 Andrew Tanenbaum 开发的微内核。 此外,研究人员还在 Intel ME v11+ 上发现了一处漏洞,允许攻击者在 ME 所在的平台控制单元运行未签名代码。主系统的用户可能察觉不到他们的计算机包含了一个无法清除的恶意程序。 稿源:solidot奇客,封面源自网络;

美国证券交易委员会(SEC)电脑系统发现严重漏洞,或被黑客利用从事内幕交易

据路透社近期获得的一份机密周报显示,截至 2017 年 1 月 23 日,美国国土安全部在美国证券交易委员会(以下简称 “ SEC ” )的电脑里发现了五个 “ 紧急 ” 的网络安全漏洞。这份报告引发了有关 2016 年一次网络攻击事件的最新问题,当时 SEC 的企业文件申报系统 “ EDGAR ” 被黑。 SEC 主席 Jay Clayton 在本周三披露信息称,该委员会在 2017 年 8 月得知黑客可能利用 2016 年的事件从事了非法内幕交易。美国国土安全部公布的这份 1 月检测报告显示,在上述事件发生时,SEC 的电脑里存在第四 “ 紧急 ” 的安全漏洞。目前还不清楚该部发现的这个漏洞是否与 SEC 披露的网络攻击事件之间存在直接联系。不过,该报告显示,尽管 SEC 称其在 2016 年黑客事件发生以后 “ 迅速 ” 打了补丁以修复其前述软件漏洞,但该委员会的电脑系统里还是存在多处漏洞。 此次黑客事件已在整个美国金融行业引发冲击,而征信巨头 Equifax 近期又刚刚披露,黑客已窃取逾 1.43 亿名美国人数据。SEC 发言人尚未就此置评。此外,美国国土安全部在对 SEC 的 114 台电脑和设备进行扫描后发现上述 “ 紧急 ” 漏洞,但尚不清楚这些漏洞是否仍可带来威胁。 在前奥巴马政府时期,这种扫描是每周进行一次的。曾在奥巴马当政期间担任联邦政府首席信息官、现在运营着自己的网络安全咨询公司的 Tony Scott 称:“ 我绝对认为应对任何像那样的紧急漏洞马上采取行动 ”。他还补充道:“ 这是 Equifax 被黑事件的根源。一个紧急漏洞在如此之长的时间里没被打上补丁,从而令黑客有机可乘。” 稿源:cnBeta,封面源自网络;

伊朗黑客组织 APT33 瞄准多国航空国防能源机构展开新一轮网络攻击活动

HackerNews.cc  9 月 20 日消息,美国网络安全公司 FireEye 研究人员近期发现伊朗黑客组织 APT33 似乎开始瞄准多国航空、国防与能源设施展开新一轮网络攻击活动。目前,受影响机构包括美国航空航天公司、沙特阿拉伯商业集团,以及韩国石油石化公司。 黑客组织 APT33 至少于 2013 年就已针对多国关键基础设施、能源与军事部门发起攻击,旨在收集情报、窃取商业机密信息。 调查显示,黑客组织 APT33 通过发送附带恶意链接的网络钓鱼邮件感染目标设备,其主要使用的恶意软件包括 DROPSHOT(病毒传播器)、SHAPESHIFT(恶意软件删除器)与 TURNEDUP(自定义后门)。有趣的是,虽然该组织仅仅利用 DROPSHOT 传播 TURNEDUP 后门,但他们却在攻击活动中发现多款 DROPSHOT 释放样本。此外,恶意软件 SHAPESHIFT 则主要用于擦除磁盘信息并删除文件记录的操作。 目前,FireEye 推测,APT 33 针对沙特阿拉伯与韩国等开展网络攻击活动似乎与伊朗政府机构 NASR 有所联系,因为近期他们部分商业机构处于竞争关系。不过伊朗并未作出任何置评。 原作者:Swati Khandelwal,译者:青楚  本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接