安全快讯Top News

Raidforums 攻破 Cracked.to 黑客论坛网站 曝光其 32.1 万名成员数据

外媒报道称,近日 Raidforums 攻破了竞争对手 Cracked.to 的黑客论坛网站,并泄露了后者超过 32.1 万名成员的数据。之所以发起这场行动,或是因为一些受害者正在讨论如何破解《堡垒之夜》账户、销售软件漏洞、自己从事其他可能非法的活动。漏洞披露网站 Have I Been Pwned 报道称:Raidforums 在上周五转储暴露了 74 万 9161 个唯一的电子邮件地址。 除了电子邮件地址,Raidforums 还泄露了 Cracked.to 论坛用户的 IP 地址、私信、bcrypt 转储的哈希密码等数据,由网站论坛应用程序 myBB 所生成。 外媒指出,Cracked.to 自诩为一个提供破解教程、工具、组合、市场和更多恭喜的综合性论坛,而 Raidforums 旗下也存在许多类似主题的论坛。 外媒 ArsTechnica 概览了一遍 Raidforums 公布的 2.11 GB 文件,发现其中包含了近 39.7 万条私信,且大量涉及诸多黑客极力避免的细节内容。 详细内容包括用户名、电子邮件地址、求购记录、销售或支持的软件服务、以及针对人们视频游戏《堡垒之夜》账户的破解等。 除了一些笼统的信息,还有部分论坛用户提到了如何利用 CVE-2019-20250 这个在今年早些时候被发现的严重漏洞。其与 WinRAR 文件压缩程序有关,可在易受攻击的计算机上安装大量讨人厌的恶意软件。 外界猜测,Cracked.to 的大量访客,可能是通过暗网或其它隐匿 IP 地址的方式来访问该网站的。所以公布出来的用户名和邮件地址,也极有可能是匿名或伪造的。 即便如此,执法部门或竞争对手仍可借此来实施一定程度的打压。对于网站管理员来说,这起事件也算是向他们发出了一个警示,毕竟 Raidforums 声称是通过某漏洞利用来实现的“脱裤”。 几个月前,Cracked.to 管理员称其已将默认脆弱的 myBB 哈希密码转储,切换到了更加强大的解决方案。但在此事发生后,该网站已强烈要求用户变更密码。 此外,我们不排除 Raidforums 已经获得 Cracked.to 管理员密码、或向其它网站发起了类似攻击的可能性。   (稿源:cnBeta,封面源自网络。)

微软发布补丁:修复了远程桌面组件中存在的两个高危漏洞

在2019年8月的补丁星期二活动日中,面向Windows 10发布累积更新的同时微软还修复了存在于Remote Desktop Services组件中的两个漏洞,微软认为这些漏洞是“wormable”。和两年前的WannaCry攻击类似,无需用户进行任何输入的情况下在网络的电脑之间传播恶意软件,因此这些补丁是非常重要的。 CVE-2019-1181和CVE-2019-1182利用了和今年5月发布的Bluekeep相同漏洞,推荐用户尽快修复。Windows 7 SP1,Windows Server 2008 R2 SP1,Windows Server 2012,Windows 8.1,Windows Server 2012 R2和所有版本的Windows 10(包括服务器变体)都受到漏洞的影响。只有较旧版本的Windows(如Windows XP,Windows Server 2003和Windows Server 2008)才不受该漏洞影响。 虽然它们使远程桌面服务(RDS)易受攻击,但它们不会影响远程桌面协议(RDP)本身。为了缓解这两个漏洞,微软建议那些启用了网络级别身份验证(NLA)的人可以对漏洞进行部分防御: 在启用了网络级别身份验证(NLA)的受影响系统上进行了部分缓解。在安装该补丁之后可以缓解该漏洞引发的“wormable”恶意程序或者高级恶意程序威胁,因为NLA在触发漏洞之前需要进行身份验证。如果攻击者拥有可用于成功进行身份验证的有效凭据,受影响的系统仍然容易受到远程执行代码执行(RCE)的攻击。 微软建议公司立即安装修复补丁,可以从此处的Microsoft安全更新指南下载。微软指出,这些漏洞是公司内部工程师发现的,是企图加强RDS安全性的一部分。微软还指出,它还没有任何证据表明这些漏洞已经被任何恶意行为者利用。   (稿源:cnBeta,封面源自网络。)

HTTPS 证书有效期被提议缩短至 13 个月

由 Web 浏览器制造商、软件开发人员和安全证书颁发机构组成的行业团体 CA/Browser Forum,正在考虑将 HTTPS 证书的有效期从 27 个月缩短到 13 个月。 关于这样的提案,已经不是第一次提出。在 2017 年时,CA/Browser Forum 就否决了一项将证书有效期从 39 个月缩短至 13 个月的提案。 而早在一年前,证书的最长有效期已经从 39 个月降至 27 个月。 我们都知道,HTTPS 证书用于加密浏览器和站点之间的连接,帮助软件确定没有人篡改或窃听这些连接。 如果减少 TLS/SSL 证书有效的时间,网站必须更频繁地更新其证书。理论上,这样的证书有效期也有助于减少欺诈活动,如果是偷来的证书则很快会失效,被遗弃的网站也会更快地过期。这将迫使他们使用最新和最推荐的加密和散列证书,而不是使用不安全算法的老化证书。 不过,本周一时,DigiCert 的 Timothy Hollebeek 却反对将证书有效期缩短至 13 个月,他认为,缩短证书寿命确实带来的好处,但意味着要有更好的方法来确保证书是最新的和安全的,同时也存在一些麻烦,企业不得不每年续签一次付费证书,并且增加其成本。 换句话说,减少有效期可能会促使企业免费使用 Let’s Encrypt TLS/SSL,就不会向 Digicert 这样的机构支付费用。Let’s Encrypt 可以免费发放 90 天的 HTTPS 证书,使用提供的软件客户端来自动更新和部署证书,而由于几乎所有浏览器和操作系统都支持 Let’s Encrypt TLS/SSL 证书,导致该服务正给向 HTTPS 证书收费的证书颁发机构带来巨大压力。 Hollebeek 称: 将证书寿命迅速缩短到一年,甚至更少,对于许多依赖数字证书保护系统的公司来说,这将带来巨大的成本。这些费用不会换来更加安全的改进,并且这项提案对从事非法活动或冒充合法公司的非法分子不会有任何影响。最主要的一点是,减少证书寿命的任何好处都是属于理论性的,在短期内要付诸实际的话,产生的风险和成本也将难以预测。 该提案于今年早些时候在谷歌员工 Ryan Sleevi 的一次会议上提出,目前仍处于草案阶段,还没有关于何时进行表决的消息。   (稿源:开源中国,封面源自网络。)

FBI 准备监视 Facebook 和 Twitter 等社交平台对美国的潜在威胁

《华尔街日报》称,美国联邦调查局目前正计划从Twitter、Instagram和Facebook等社交平台开始积极收集数据,这些平台似乎也与各自的隐私政策相冲突。尤其是Facebook,作为与联邦贸易委员会达成协议的一部分,它必须遵守一些限制,这些限制与它收集和处理用户数据的方式有关。 联邦调查局正在向第三方供应商寻求社交媒体早期警报工具,以缓解多方面威胁。该技术解决方案将用于主动识别和反应性地监控对美国及其利益的威胁。该请求是在最近在德克萨斯州和俄亥俄州发生的枪击事件发生前几周提出的,供应商要在本月底之前提交提案。Twitter的一位发言人告诉《华尔街日报》,其隐私政策明确禁止任何实体出于监视目的使用用户数据,或以任何与用户对隐私合理期望不符的方式使用用户数据。 从请求的措辞来看,该机构只寻求收集公开的数据,并打算在尊重公民自由和隐私保护的同时收集这些数据。美国联邦调查局表示,它将从公众档案中收集姓名、图片和身份证,并将它们与其他来源的信息以及在社交互动中标记特定关键字的算法结合起来。 大型技术平台拥有大量用户数据,人工智能工具可以比人类更快地进行筛选,但算法威胁检测可能会导致大量误报。联邦调查局表示,警报将由专门的人员团队处理,他们也可以调整算法频率。   (稿源:cnBeta,封面源自网络。)

Messenger 发音频安全吗?FB 承认曾转录用户音频

北京时间8月14日早间消息,知情人士透露称,Facebook付费聘请几百名外部承包商,让他们转录音频片段,这些音频来自使用Facebook服务的用户。 一位因为担心丢掉工作而不愿意透露姓名的知情人士称,这份工作让承包商感到不安,他们不知道音频是在哪里录制的,Facebook又是如何获取的,他们只负责转录。知情者还说,承包商会倾听Facebook用户的对话,有时里面包含低俗内容,至于为何要转录这些音频,他们不知道原因。 其它科技企业也曾有过同样的行为,后来因为遭受批评而终止,Facebook证实曾经转录过用户音频,但是项目已经终止。Facebook在声明中表示:“就像苹果谷歌一样,在一周多以前我们已经终止人工音频审核工作。”Facebook还说,受到影响的用户在Facebook Messenger App中自愿选择,允许Facebook转录音频。承包商负责检查,看看Facebook AI是否能正确解读信息内容,这些信息以匿名形式存在。 亚马逊、苹果等大型科技公司也曾收集音频片段,这些音频来自消费者使用的计算设备,收集音频之后,科技公司再请人核查,这种行为因为涉嫌侵犯隐私招来批评。 4月份,彭博社报道称亚马逊组建一个团队,里面有几千名员工,他们遍及全球,负责倾听Alexa音频,亚马逊这样做主要是想改进软件;苹果Siri、谷歌助手也组建相似的人力团队,核查音频。 事件曝光之后,苹果、谷歌终止项目,亚马逊则说用户拥有选择权,可以允许亚马逊核查音频,也可以禁止。 Facebook并没有告诉用户第三方将会核查他们的音频,正因如此,一些承包商觉得自己的工作不道德。 知情人士透露说,加州圣塔莫尼卡(Santa Monica)的TaskUs公司是Facebook的承包商,Facebook是TaskUs最大最重要的客户之一,TaskUs禁止员工公开谈论自己为谁工作,他们用代号代表客户。 Facebook还让TaskUs审核可能违反政策的内容。在TaskUs内部本来有一些团队从事选举筹备、政治广告筛选工作,但最近其中一些员工转移到新成立的转录团队。 之前Facebook曾说过,会自动处理用户提交的内容和通信信息,分析语境,看看里面有什么。但Facebook从没有说过会请人筛选审核内容。Facebook承认自己与第三方分享信息,但它没有提到过转录团队的存在,它只是说会有一些承包商、服务提供商支持Facebook工作,为Facebook分析产品使用情况。 Facebook聘请人力员工分析录音,说明AI识别单词、语音模式时存在限制。机器的识别能力的确在增强,但有时还是会碰到麻烦。从2015年开始,Messenger用户就可以将音频交给Facebook,让它转录。当时负责Messenger业务的高管大卫·马库斯(David Marcus)曾说:“我们想尽千方百计,力求让Messenger变得更实用。”   (稿源:新浪科技,封面源自网络。)

这款 MOD 能将特斯拉 Model S 变成移动的监控设备

为了能够让自动驾驶汽车根据路况做出自主决策,开发团队往往需要为其装备复杂的计算机大脑和丰富的传感器。上周末在拉斯维加斯举办的Defcon 27黑客大会上,安全研究人员Truman Kain通过研制的MOD将特斯拉Model S转换成为移动的监控设备。 这款MOD的组成基本上就是一台NVIDIA Jetson Xavier迷你电脑,通过汽车的USB端口进行连接,能够收集汽车周围看到的所有东西。利用Model S现有的Autopilot和哨兵模式(Sentry Mode),以及开源框架该MOD能够识别车辆型号,甚至能够收集和记录车牌信息。 或许很多人认为这个MOD并没有太大的杀伤力,不过安全研究专家Kain并不这么认为,他在Defcon 27黑客大会上现场演示了已经改装好的Model S,不仅能够识别车辆型号,识别重复出现的目标,标记看到对方所在的位置,从而了解更多有关车主的相关信息。   (稿源:cnBeta,封面源自网络。)

这些看似合法的 iPhone Lightning 数据线将劫持您的电脑

被称为MG的安全研究人员在年度Def Con黑客大会上展示并且演示了他开发的iPhone Lightning数据线,这种恶意数据线内含额外的恶意组件,包括恶意硬件和恶意软件载荷,可以在受害者将数据线插入电脑时发动无线攻击。 MG表示,这条数据线看起来像一个合法产品,可以正常连接电脑和iOS设备,甚至被连接的电脑不会注意到差异。但是攻击者可以通过无线方式控制数据线进而控制受害者的电脑。MG在他自己的手机浏览器上键入恶意数据线的IP地址,并显示了一个选项列表,并且可以在连接的Mac上远程打开一个终端。从这里,黑客可以在受害者的电脑上运行各种工具。 这种恶意Lightning数据线带有各种有效负载,攻击者可以在受害者机器上运行的脚本和命令。黑客还可以远程“杀死”恶意Lightning数据线当中的植入物,以隐藏或者销毁攻击证据。MG目前以200美元的价格出售这些恶意恶意Lightning数据线。 MG表示,无线有效攻击距离达到300英尺,如果必要,黑客可以使用更强的天线进一步延伸攻击距离,如果该无线网络具有互联网连接,则攻击距离基本上变得无限制。现在MG希望批量生产这种数据线作为合法的安全工具。MG表示,这些数据线将从头开始制造,而不是改装苹果Lightning数据线。   (稿源:cnBeta,封面源自网络。)

英国:科技公司不删除有害视频 可能会被罚款

英国政府正计划向数字监管机构Ofcom提供新的临时权力,允许其向YouTube,Instagram或Facebook这样的高科技公司实施监管,如若这些公司未能及时删除儿童可能看到的有害内容,如色情和暴力,将面临罚款。根据计划,Ofcom将从2020年9月19日起获得这些权力。新的权力只是暂时的,直到“在线危害监管机构可以承担责任”。 《电讯报》报道,Ofcom将能够对不包括严格年龄检查或者,阻止儿童看到不当内容的父母控制功能失效的公司进行罚款,这些内容被描述为“损害他们的身体、心理或道德发展”。 ” 儿童安全慈善机构NSPCC和Ofcom都对新措施表示欢迎, NSPCC的儿童安全在线政策主管Andy Burrows说: “直播的直接性使得儿童更容易被滥用者强迫,他们可能会捕捉镜头,分享并将其用作勒索。该指令使英国政府有机会对其欧洲总部设在这里的科技公司采取强硬措施。至关重要的是,这是一个真正的机会,可以在即将出台的‘网络危害法案’生效之前就完成保护,如果他们将儿童置于危险境地,最终还是要对网站本身进行追究。” 与此同时,Ofcom认为这些规则是规范在线视频共享的“重要的第一步”,他们将与政府密切合作以提供保障。同时,Ofcom还支持更广泛的立法,以引入更多保护措施,包括一项措施,即公司对其用户负有“关注责任”。   (稿源:cnBeta,封面源自网络。)  

安全研究人员称中兴 4G 热点可能成为黑客的温床

据外媒CNET报道,安全研究人员发现了一系列影响中兴通讯4G热点的漏洞,该公司还没有为所有受影响的设备提供修复。研究人员表示,安全漏洞可能让潜在的黑客将流量从热点重定向到其他恶意网站。 周六安全研究人员在拉斯维加斯举行的黑客大会Defcon上披露了这些漏洞。一位名为“Dave Null”的Pen Test Partners研究人员详细描述了中兴通讯的安全问题,以及他对该公司如何回应的担忧。 Null表示,漏洞很容易实现 – 攻击者只需要受害者使用中兴通讯的一个热点访问恶意网站。研究人员发现,热点模型会泄露设备的密码。 “所以你要求一把钥匙,它会返回价值,”Null在Defcon之前的一次采访中说道。“它几乎没有安全保障。” 一旦攻击者获得了热点的密码,就有很多选择可以进一步攻击。黑客可以开始记录一个人的网络活动,使用热点作为攻击与其连接的设备的方式,并将网络流量重定向到更多恶意网站。 例如,黑客可以将受害者从合法的银行网站重定向到虚假版本的页面,在那里他们可以输入财务信息而不知道他们的资料已被盗取。 中兴通讯在2月份发布了针对漏洞的安全通告,但仅针对其MF910和MF65 +产品。在其公告中,该公司没有发布修复补丁,称其在2017年9月停止了这两个4G热点,但确实修复了更新的MF920和MF65M2型号的漏洞。 目前这些已停产的型号仍然在该公司的网站上列出。 Null说道,这些漏洞可能适用于“MF”系列中更多的中兴通讯产品。他发现,由于它的许多设备共享相同的密码,除非它们被修复,否则它们会共享相同的漏洞。虽然中兴通讯认为MF910已经过时,但更新后的MF920型号存在同样的问题。Null询问了哪些其他热点会共享相同的密码,但中兴通讯拒绝提供这些信息。 “他们似乎并没有主动寻找对付漏洞,”Null说道。   (稿源:cnBeta,封面源自网络。)

因机器配置问题 黑客们难以在 Defcon 上查找原型投票机的漏洞

在近日于拉斯维加斯举办的 Defcon 安全会议上,DARPA 设立了一台价值 1000 万美元的投票机原型,并欢迎各路人员寻找该机器的安全漏洞。然而由于一个意外的错误,导致大家难以向它发起测试。据悉,原因不在于研发团队花了四个月时间去完善机器的安全功能,而是因为机器在安装过程中遇到了技术难题。 (题图 via Cnet / Alfred Ng) 政府承包商首席科学家 Joe Kiniry 表示:由于机器配置错误,导致急切的安全大会参与者们无法访问这台原型投票机的系统,更谈不上为它发现漏洞了。Galois 带来了五台机器,但每台都在设置过程中遇到了问题。 Voting Village 联合创始人 HarrisHursti 称:“他们似乎遇到了无数种不同的问题。不幸的是,当你想要推动技术发展的时候,总会发生一些这样或那样的问题”。 直到周日早上“投票村”开放,与会者才终于有机会寻找这几台投票机上的漏洞。Kiniry 表示,其团队能够解决三个问题,并在 Defcon 大会结束前搞定后两个。 作为自 2017 年以来的一个保留项目,“投票村”场地旨在鼓励人们对大选用的投票机发起找茬活动。由于一些机器相当过时,有些黑客团队甚至能够在几分钟内发现漏洞。 随着 2020 美总统大选即将开启,人们对于投票机的安全意识也日渐提升。今年 3 月份的时候,Galois 获得了 DARPA 的 1000 万美元奖金,以打造一套能够防止被黑客篡改的开源投票机。 其原型机支持人们通过触屏进行操作、打印出他们的选票、并将之插入验证机器,从而确保投票的结果安全有效。尴尬的是,为了确保安全,原型机将外部接口都取消掉了,导致黑客无法展开必要的测试。 一台机器无法连接到任何网络,另一台没有运行必备的测试套件,第三台机器甚至无法上线。Galois 一直在 Defcon 上努力设置机器,但其对于周日的情况感到相当乐观。 对于 Galois 来说,较晚的起步确实令人失望。不过 Kiniry 表示:“这是我们在这些机器上获得可靠性的第一天”。 据悉,为了打造这套原型装置,开发团队回溯了过去 20 年来的投票机 bug,然后遵从国防部相应的安全标准来构建。 为了尽可能地完善原型投票机,Galois 甚至故意包含了一些漏洞,以了解系统是如何防范的。最后,该团队已经做好了在 2020 年重返 Defcon 的准备。   (稿源:cnBeta,封面源自网络。)