安全快讯Top News

Metasploit 发布新开源工具,可用于渗透测试的弱点模拟服务

Metasploit 团队研发出一个新的工具可用于渗透测试的弱点模拟服务(GitHub),这个开源工具被称为 Metasploit 弱点服务模拟器。它为用户提供了一个(开源的)易受攻击的操作系统平台可以让安全专家使用数以千计的 Metasploit 模块模拟各种环境以测试服务可能存在的各种安全问题。 此前,Metasploit 发布过两个操作系统映像 Metasploitable2 和 Metasploitable3 ,这些系统运行非常耗时且模拟环境难以配置,使用起来十分不友好。然而新开发的 Metasploit 服务模拟器填补了这一空白。这是一个开源的框架,能够快速模拟出 100 多易受攻击的服务环境以达到渗透测试的目的。该套工具就像一个高性能的“蜜罐”,可以帮助用户更好的了解安全漏洞的细节。目前该工具适用于 Windows、Mac 或 Linux 系统,不过用户还需提前安装 Perl 。 原作者:Pierluigi Paganini,译者:M帅帅 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

联合国专家警告: 假新闻和压制言论同样危险

联合国以及一些区域性组织负责监督言论自由的专家在一份联合声明中对日益滋长的 “虚假新闻” 和一些政治性宣传表达担忧,同时对政府诋毁媒体的言论提出警告。 声明中强调了各国政府在培育言论自由方面的责任,并指出任何有关言论自由权的限制,如对暴力、歧视和敌意的仇恨和刺激性宣传的禁止举措都应与《国际法》一致。 联合国声明没有指向具体事件,但表达了对假新闻和政府借假新闻压制言论的担忧。它鼓励媒体和公民社会鉴别并增强意识,对蓄意捏造的虚假新闻、不实信息和政治性宣传保持警觉。声明同时也提醒说,政府诬蔑、诽谤甚至威胁媒体的言论,尤其是指责媒体带有隐蔽的政治意图等说法非常危险。联合声明称任何国家性屏蔽整个网站、IP 地址或网络协议的行为都是 “一项极端举措,唯有在依据法规且针对保护一项人权或其他合法公共权益的情况下方属合理”。 稿源:solidot奇客;封面源自网络

犯罪组织利用 SSH TCP 攻击入侵意大利网站窃取证书和信用卡

著名的恶意软件研究机构 MalwareMustDie 发现,一个网络犯罪团伙正在利用 SSH TCP direct forward 从世界各地的网站上盗取证书和信用卡号码。 攻击者通过对远程设备(服务器和 IoT )的弱 SSH 帐户执行自动或手动攻击,使用暴力破解帐户的凭据或密码,并利用 SSH 转发功能转发 TCP 协议( HTTP / HTTPS 或 SMTP )启动证书强制访问远程目标。 据 MMD 称,黑客通过入侵 PayPal、LinkedIn 等网站的电子邮件服务器获得了大量电子邮件( Gmail、Yahoo、AOL、Microsoft 、Mail.ru )并窃取凭据,此后,他们使用账户和密码对其他服务进行暴力攻击。 现在,MMD 准备分享犯罪团伙所针对的意大利网站的列表,涉及 140 个攻击目标,其中包括许多邮件服务器。如博洛尼亚大学、意大利电信公司、米兰大学、联合国粮农组织【列表详情见 MMD 博客】。 原作者:Pierluigi Paganini,译者:M帅帅 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

新 PowerShell 恶意软件利用 DNS 请求接收 C&C 命令,通信流量更隐蔽

思科安全研究人员发现一种可利用 PowerShell 脚本从 DNS 记录中提取 C&C 服务器命令的恶意软件。该恶意软件借助垃圾邮件传播并借用 McAfee 的名声利用武器化的 Word 文档感染用户。攻击过程中使用的恶意代码基于 Windows PowerShell 脚本,后门木马通过 DNS 域名服务与 C&C 基础设施实现通信。这种通过 DNS 流量进行的通信联系的方式将更加隐蔽。 攻击者利用社会工程学来欺骗受害者打开恶意 Word 文档。该文档内容显示“此文档受 McAfee 保护”,由于 McAfee 是一个十分知名的安全公司,这大大增加了受害者对该文件的信任并按照“ McAfee ”提示启用内容。当受害者打开文档时,恶意宏将启动 PowerShell 命令进行安装后门。此后恶意代码将执行 PowerShell 命令通过 DNS TXT 消息向 C&C 服务器发送请求并接收响应。 原作者:Pierluigi Paganini,译者:M帅帅 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

NASA 宣布对公众开放 2017 年至 2018 年软件目录

据外媒报道,日前,NASA 宣布对公众开放其在 2017 年至 2018 年的软件目录。在这份目录中,人们可以找到涵盖 NASA 各任务和科研成果的类别和层面的代码。不过 NASA 表示当中会有一些代码存在限制查看的情况。但不管怎样,这是一次巨大、全面的开放。 据了解,该份目录由 NASA 的 Technology Transfer 项目组整理完成,而这成为 NASA 第三次对外开放如此多的信息。第一次发生在 2014 年 4 月。 用户接下来将可以下载或在线访问最近的软件目录。在里边,他们可以找到关于航空、NASA 行动、推进器、数据处理、数据储存、业务模式等相关的代码。先前公布的数据现在已经为大量企业和个人使用。 针对这次的软件目录开放,NASA Technology Transfer 项目负责人 Dan Lockney 表示: “软件已经成为 NASA 任务成功和科学发现的重要组成部分。实际上,在所有上报的 NASA 创新中,超 30% 都是软件。我们非常高兴向其他机构提供这些工具,并且我们非常期待看到它们得到全新的、创新的使用方式。” 稿源:cnBeta;封面源自网络

智能手机已成黑客攻击的首选目标

据法国法新社 3 月 2 日消息,专家警告称,载有银行数据、信用卡信息和个人地址等数据的智能手机俨然已经成为个人资料库,但这也使其成为网络罪犯的首选攻击目标。国际杀毒软件公司卡巴斯基实验室法国分公司的主管唐吉(Tanguy de Coatpont)在巴塞罗那召开的世界移动通信大会上表示: “哪里的信息有价值,哪里就有网络罪犯的身影。网络罪犯们意识到智能手机已经成为网上购物和支付的首选终端。” 报道称,勒索软件( Ransomware )也已经开始将智能手机作为目标。该软件是一种通过锁住计算机,使用户无法正常使用,并以此胁迫用户支付解锁费用的恶意软件。 专家们在世界移动通信大会上说,现在手机因为能够接触到其用户关键信息,也在受到攻击。英特尔安全事业部法国部门的负责人法比安•雷什( Fabien Rech )表示,网络罪犯的手段已经从用勒索软件攻击智能手机发展为利用窃取的手机银行用户登录凭据的木马病毒软件。他们利用盗窃得来的凭据就可以远程登录受害人的帐户,之后将钱转走。 雷什说:“我们看到越来越多的银行应用程序受到了攻击。” 根据斯洛伐克网络安全公司 ESET 的数据显示,去年全球针对手机银行应用程序的网络攻击频率增加了 17% 。 卡巴斯基实验室的负责人、俄罗斯网络安全专家尤金•卡斯佩尔斯基( Eugene Kaspersky )说,一些年轻网络犯罪分子更擅长利用智能手机。 他说:“我认为前代网络罪犯攻击的目标是个人电脑,而新一代的攻击对象则是智能手机”。 稿源:cnBeta;封面源自网络  

美国副总统也陷“邮件门”?被爆曾用私人邮箱处理国土安全问题

美国政坛近来似乎与邮件脱不开关系。美国副总统迈克·彭斯去年还在抨击希拉里私邮公用,近日就有媒体披露他在担任印第安纳州长时,曾使用私人邮箱账号处理公务,其中不乏敏感和关乎国土安全的问题。 据《今日美国报》 3 月 2 日报道,媒体收到一批邮件,显示彭斯担任州长期间,使用个人  AOL  账户联系多位高级顾问,邮件内容涵盖州长住所的安全门、该州对全球反恐问题的反应等。网络安全专家称,彭斯的私人账号毕竟不如政府账号安全系数高,而彭斯此举使人担心,如此敏感的信息是否能得到充分保护、防止黑客攻击。据悉,去年夏天彭斯的个人账号就曾受到黑客攻击。 印第安纳州的法律没有禁止公职人员使用个人邮箱,但通常要求在个人邮件中讨论的公事必须作为公开记录的目的保存下来。 Pence 的发言人将任何副总统与希拉里克林顿进行对比的行为称为荒谬,表示 Pence 在担任州长时并不处理任何联邦机密信息。此外他指出彭斯使用的广为人知的邮件服务器,而希拉里却是在家中安装了一个私人服务器。 稿源:cnbeta,有删改,封面来源于网络

特朗普新 FCC 主席允许 ISP 未经许可出售隐私数据

美国互联网服务提供商(ISP)现在可以在未经许可的情况下出售您的个人数据,用于营销或广告目的。 去年 10 月,美国联邦通信委员会( FCC )曾通过了一套关于 ISP 的隐私规则,限制 ISP 在未经同意的情况下与第三方共享您的在线数据,并要求 ISP 采取“合理措施”保护消费者的数据免受黑客攻击。但现在,FCC 暂停了该项隐私规则。原因在于唐纳德·特朗普总统新任命的 FCC 主席阿基特·帕伊( Ajit Pai )主张参考联邦贸易委员会( FTC)此前对数据交易制定的标准重新修改隐私规则,对所有网络公司都采用统一标准。换句话说,FCC 将暂停去年制定的隐私规则,由于联邦贸易委员会( FTC)永远不会“伤害” Google 和 Facebook 的广告业务模式,FCC 也将同意互联网服务提供商(ISP)无需用户许可即可使用、交易隐私数据。 此前,FCC 主席阿基特·帕伊( Ajit Pai ) 在 2017 年移动世界大会演讲期间还表示,网络中立是一个错误,FCC 现在将对此采用更加宽松的监管措施。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

勒索软件 Dharma 密钥“泄露”,用户可免费解密恢复文件

勒索软件 Dharma 的受害者现在可以免费获得解密密钥。周四上午卡巴斯基实验室的 Rakhni 解密工具添加了勒索软件 Dharma 的解密密钥。 据称,一个名为“ gektar ”的用户在 BleepingComputer.com 论坛上发布了一个 Pastebin 链接,其中包含该勒索软件的解密密钥。研究员对密钥进行分析发现钥匙是有效的,并将其纳入现有的解密工具。勒索软件 Dharma 是勒索软件 Crysis 的变种,最初出现在去年 11 月,受害者 C 盘下的文件被加密并以“ .dharma ”结尾。在某些情况下,文件名也会被更改为电子邮件地址“ @ india.com ” 。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

科学家证明他们可在一克 DNA 中存储 215PB 数据

哥伦比亚大学的研究人员已经设法推动 DNA 数据存储的极限,并使令人兴奋的生物技术更接近成为现实。通过利用新技术,他们能够在 DNA 链中存储电影,操作系统和其他数据,并且无错误地检索这些数据。 在这个固态驱动器和 MicroSD 存储盛行的世界,磁带仍然是一些最常用和最重要的存储介质。这是因为存储大量数据,具有可靠性且不会使用大量的资源,仍然是计算机工程师的一个难题。然而,答案可能来自生活世界,即 DNA 存储。 资料图 多年来,科学家已经推理并且证明 DNA 可以用作数据存储介质,并且它具有一些显着的性质,使其成为理想的存储介质。现在,科学家已经设法在 DNA 当中存储比以往任何时候更多的数据,并且已经证明它可以被复制和检索几乎无限多次,具有零错误。 通过使用流式传输和在线压缩视频的数据技术,研究人员能够将 1.6 位数据包装到每个核苷酸中,接近理论极限的 1.8。这听起来不是很多,但科学家证明他们可以有效地在一克 DNA 当中存储 215PB 数据。 该技术还具有其他优点,如高可靠性,以及 DNA 将永远不会过时的事实,像其他技术一样,DNA 也可以储存数千年,之后仍然可以读取数据,但仍然有成本问题。使用这种技术存储和检索仅仅几兆字节的数据仍需要数千美元,因此我们不太可能在任何设备上看到 DNA 存储。然而,像谷歌和微软那样必须处理不可想象数据量的公司可能会发现 DNA 存储在经济上是可行的。 稿源:cnBeta;封面源自网络