安全快讯Top News

俄罗斯监管机构下令 ISP 正式屏蔽社交平台 LinkedIn

据路透社 17 日报道,俄罗斯通信监管机构下令本周四开始正式执行法院裁决—— 屏蔽职场社交平台 LinkedIn (领英),这也是俄罗斯屏蔽的第一个大型社交平台。 去年 9 月由普京批准的数据保护法规定,存储俄罗斯公民个人资料的数据库必须存放于俄罗斯境内的服务器上。在俄罗斯有超过 600 万的注册用户的 LinkedIn ,由于违反数据保护法被官方告上法庭。通信监管机构发言人称将在 24 小时内屏蔽 LinkedIn ,Rostelcom、MTS 和 Vimpelcom 等俄罗斯 ISP 服务提供商已开始执行这一命令。克里姆林宫表示,这一决定是合法的,普京总统并未干预事态发展。 目前 LinkedIn 方面已请求与俄罗斯监管部门会面。 稿源:本站翻译整理, 封面:百度搜索

英国通过调查权力法案:ISP 无需法院命令可存储用户记录

2016年11月16日,英国上议院批准了“调查权力法案”的最终版本。这个最终版本别名为“窥探者宪章”。在它成为法律之前剩下的一步是女王签名。新法律意味着无需法院命令,ISP就必须存储更广泛的Internet连接记录(ICR)。 到目前为止,ISP在记录客户互联网活动之前,需要执法机构出示法院签发的相关命令,并且最多只能记录12个月时间。随着新法律引入,ISP将必须记录每个用户更广泛的数据,包括帐户详细信息,源和端口地址,目的地IP和端口地址以及时间和日期。另外,ISP互联网服务提供商可能被要求收集更多的数据,但只有通过法院签发的相关命令才能获得。 “调查权力法案”将展示斯诺登之前泄漏的国家监听权力和能力,同时与美国NSA等部门共享数据方面仍将缺乏隐私保护。议会也未能解决GCHQ和NSA技术整合的影响。 虽然议员们对此法案的负面影响无能为力,但预期明年欧盟法院的裁决可能意味着该法案的某些部分条款非法,需要修改。但是一旦根据此法案收集数据,将有许多实体能够访问这些数据,包括英国运输部,卫生部,HMRC,NHS,食品标准局和赌博委员会。此外,法律将允许执法部门攻击电子设备,并对提供安全通信软件的服务商施加法律压力,要求他们交出所需的通信数据。 但是,有一些人受到这项法律的保护,虽然不清楚执法部门如何将这些人的互联网流量加以标记。这些人包括议员,医生和律师,他们只有在英国首相签发命令,才能成为监听目标。另外,工会活动也不受此项法律制约。 稿源:cnBeta.com,封面:百度搜索

30 秒入侵锁屏电脑劫持网络流量、安装后门,黑客工具成本只需 5 美元

著名硬件黑客 Samy Kamka 发明了一种成本只有 5 美元的廉价黑客工具,但是该工具只需 30 秒就可轻易入侵被锁屏的 windows/Mac 电脑、劫持网络流量、安装网页式后门。 该黑客工具“ PoisonTap ”由一个运行 Node.js 代码的树莓派微型设备和 USB 适配器组成。值得一提的是,如果计算机的后台运行着浏览器应用,该工具在计算机锁屏时仍然有效。 PoisonTap 会通过 USB 端口冒充以太网连接 Windows 或 Mac 电脑,并作为一个低优先级的网络设备。此后,设备响应 DHCP 请求、提供 IP 地址,告诉系统整个 IPv4 地址空间是 PoisonTap 局域网的一部分。因此,PoisonTap 可在流量到达网关之前,拦截所有未加密的通信流量,并通过受害者的浏览器盗取 Alexa 排名前 100 万网站的 HTTP cookie ,从而劫持受害者的账户并绕过双因素验证(2FA)。黑客工具还允许攻击者在网站上安装安装基于 Web 的后门并建立 HTTP 通信。 Kamkar 指出他的工具还可以绕过其他安全机制。如同源策略(SOP)、X-Frame-Options HTTP response headers、HttpOnly cookies,、DNS pinning 以及跨域资源共享(CORS)。 Kamkar称可通过以下方法避免遭受攻击: ·设置你的电脑睡眠,而不是休眠,暂停计算机上的所有进程。 ·每次离开计算机时关闭所有 Web 浏览器。 ·耐心地清除浏览器缓存。 ·采用全磁盘加密的应用程序(如FileVault 2)结合“睡眠”模式。 ·直接禁用 USB端口。 稿源:本站翻译整理,封面来源:百度搜索

即使退出应用,Shazam 也从不关闭你的麦克风

音乐搜索服务Shazam被发现在它自己被用户关闭的情况下也不关闭用户设备上的麦克风,它一直在后台监听麦克风传来的声音。Shazam支持Mac、PC和智能手机如Android,每月活跃用户超过1亿,安装在超过5亿设备上。安全研究员Patrick Wardle开发了一个软件 OverSight,设计在应用使用摄像头和麦克风时警告用户。他收到来自一位用户的电子邮件,称Shazam应用在关闭的情况下仍然在监听麦克风。他怀疑自己的软件可能发出了错误的警报,但在逆向工程 Shazam 应用分析其代码后他发现Shazam 从不停止监听。Shazam的副总裁James Pearson否认存在隐私问题,原因是除非用户激活应用它监听的音频信息不会进行处理,声称如果不持续监听麦克风应用将需要更长的时间初始化麦克风然后开始缓冲处理音频,这会导致更糟糕的用户体验。 稿源:solidot奇客,封面:百度搜索  

安全公司曝:iPhone 未获用户同意自动上传通话记录至 iCloud

一家俄罗斯安全公司 Elcomsoft 今天发布消息称,在用户没有选择备份的情况下,苹果仍会自动上传iPhone里的通话记录到iCloud。该公司CEO称,“上传是实时发生的,但有时也会在几个小时之内上传完成。”上传内容还包括FaceTime里的通话记录,以及如Skype和WhatsApp这样的第三方应用里的未接来电。该公司还称,用户可以通过关闭iCloud Drive来阻止上传,但这样可能使得手机里的一些其他应用无法正常使用。 苹果目前已经就此事做了回应,称用户的手机数据(iCloud备份数据)都使用了加密技术,只有通过用户的ID和密码才能访问。 这些数据可能会被提供给有授权的政府部门,但苹果称提供给政府部门的iCloud数据只包括email记录、短信、照片、文件、联系人、日历、书签和iOS设备备份数据。 苹果称FaceTime的通话记录只能保存30天,但Elcomsoft公司称苹果可以获取用户4个月之内的FaceTime通话记录。 苹果理论上可以提供iCloud终端加密,但这样可能会造成与美国情报和执法机构更大的冲突,因为他们现在已经在为不能攻破iOS系统手机而头疼。 稿源:新民网, 封面:百度搜索

创宇资讯 2016-11-17

[创宇资讯] Facebook CEO 扎克伯格账号再次被黑 [国际要闻] 曼哈顿DA:证据室还有近 400 台 iPhone 未被破解 [黑客事件] 扎克伯格 Pinterest 帐号再次被黑客组织“OurMine”入侵 [漏洞事件] 1、长按回车 70 秒 Root Linux 系统,你信么? 2、VMware 迅速发布补丁修复黑客大赛发现的虚拟机逃逸漏洞 [推荐阅读] Facebook 为确保用户账户安全,从黑市购入黑客泄露的密码 知道创宇整理分享,详细内容请戳 hackernews.cc

曼哈顿DA:证据室还有近 400 台 iPhone 未被破解

根据 Fortune 报告,纽约曼哈顿地区检察官办公室的证据室内还有 423 台没有破解的设备,所有的未破解设备都是运行着 iOS 8 或更新系统的苹果产品。在这 423 台设备中,iPhone 6 有166台,iPhone 6 Plus 有 66台,iPhone 6s 有53台,甚至还有一台没有破解的 iPhone 4s。同时,还有30台没有破解的 iPad,只是没有公布具体的型号。   在这些收缴的设备中,36%的设备来自于电子犯罪和身份盗用案件,24%设备来自毒品调查,还有一些来自于袭击、谋杀或性犯罪案件。 iOS 8、9 和10 默认开启了全盘加密,包括苹果在内的所有人都无法访问设备上储存的数据,只有机主的密码可以解锁设备。在拥有 Touch ID 的设备上,情况更复杂,虽然可以使用犯罪份子的指纹解锁,但时间非常有限,超过时间限制后,需要重新输入解锁密码。 纽约曼哈顿地区检察官 Cyrus Vance 一直公开批评苹果的加密策略,不过苹果却坚持人们有权力保证自己的隐私不被侵犯,强大的加密可以阻止黑客和有关当局获取自己设备上的数据,Vance 则表示这些只是苹果的市场营销手段,而且妨碍司法调查。 稿源:cnBeta.com,封面:百度搜索  

扎克伯格 Pinterest 帐号再次被黑客组织“OurMine”入侵

瞄准知名大佬推特帐号的黑客集团 OurMine 再次向 Facebook 现任首席执行官马克·扎克伯格下手了。本周二,OurMine 向外媒 CNET 发布邮件表示已经成功入侵扎克伯格的 Pinterest 帐号,并换上了“ Don’t worry, we are just testing your security ”(别担心,我们只是测试你是否安全)的标语和黑客集团的网站地址。 截至发稿至,这条代表被成功入侵的标语已经被移除。该黑客团队并未表明如何入侵扎克伯格的帐号,此前 OurMine 曾表示是通过 Pinterest 的漏洞但是并未提供具体的细节。 稿源:cnbeta.com,封面来源:百度搜索

长按回车 70 秒 Root Linux 系统,你信么?

不管你信不信,黑客只需按住“ Enter ”(回车)键约 70 秒就能轻松绕过 Linux 系统身份验证、获得 Root 权限、实现对加密 Linux 设备的完全控制。 Linux Unified Key Setup (LUKS,统一密钥设置) 是 Linux 下标准的设备加密格式,可用于不同的 Linux 版本、支持多用户/口令。 CVE-2016-4484 漏洞出于分区加密程序 Cryptsetup 通过 LUKS 标准加密硬盘驱动器的过程中 ,能够导致 Cryptsetup 解密过程失败,从而允许用户多次重试密码。更糟糕的是,如果用户已尝试 93 次密码或者直接按住“ Enter ”键约 70 秒,将会直接进入具有 root 权限的 shell 里面 (即能够 Root  initramfs shell)。 一旦获得目标 Linux 设备上的 root shell ,黑客可以复制、修改、破坏硬盘,或者连接网络窃取数据。如果设备使用基于云的 Linux 服务,黑客可远程利用此漏洞,而无需“物理访问”。这个安全漏洞不依赖于特定的系统或配置,在图书馆、自动取款机、机场设备、实验室等场景中最容易被利用。 解决方法 首先,在 LUKS 密码提示下按 Enter 键约 70 秒钟,直到 shell 出现,查看您的系统是否容易受到攻击。 1、如果容易受到攻击,您需要与您的 Linux 系统支持供应商联系,查询是否有补丁可用。 2、如果修补程序不可用,则可以通过修改 cryptroot 文件 访问 hmarco.org 可以查看更多细节。 稿源:本站翻译整理,封面来源:百度搜索

VMware 迅速发布补丁修复黑客大赛发现的虚拟机逃逸漏洞

VMware 紧急发布安全补丁修复了黑客大赛 PwnFest 上被发现的 VMware workstation 虚拟机逃逸漏洞 (CVE-2016-7461) 。 虽然官方没有公开报道该漏洞,但该漏洞是非常严重的,因为它允许攻击者通过虚拟机访问访问宿主主机并运行代码。发现漏洞的 Marvel Team 和韩国神童 Lokihardt 都获得了 15 万美金的奖金。 目前,VMware 是黑客大赛结束后最快修复漏洞的厂商,具体补丁已经在官方网站公布。 此图为“韩国神童” Lokihardt 展示“成果” 稿源:本站翻译整理,封面来源:百度搜索