安全快讯Top News

长按回车 70 秒 Root Linux 系统,你信么?

不管你信不信,黑客只需按住“ Enter ”(回车)键约 70 秒就能轻松绕过 Linux 系统身份验证、获得 Root 权限、实现对加密 Linux 设备的完全控制。 Linux Unified Key Setup (LUKS,统一密钥设置) 是 Linux 下标准的设备加密格式,可用于不同的 Linux 版本、支持多用户/口令。 CVE-2016-4484 漏洞出于分区加密程序 Cryptsetup 通过 LUKS 标准加密硬盘驱动器的过程中 ,能够导致 Cryptsetup 解密过程失败,从而允许用户多次重试密码。更糟糕的是,如果用户已尝试 93 次密码或者直接按住“ Enter ”键约 70 秒,将会直接进入具有 root 权限的 shell 里面 (即能够 Root  initramfs shell)。 一旦获得目标 Linux 设备上的 root shell ,黑客可以复制、修改、破坏硬盘,或者连接网络窃取数据。如果设备使用基于云的 Linux 服务,黑客可远程利用此漏洞,而无需“物理访问”。这个安全漏洞不依赖于特定的系统或配置,在图书馆、自动取款机、机场设备、实验室等场景中最容易被利用。 解决方法 首先,在 LUKS 密码提示下按 Enter 键约 70 秒钟,直到 shell 出现,查看您的系统是否容易受到攻击。 1、如果容易受到攻击,您需要与您的 Linux 系统支持供应商联系,查询是否有补丁可用。 2、如果修补程序不可用,则可以通过修改 cryptroot 文件 访问 hmarco.org 可以查看更多细节。 稿源:本站翻译整理,封面来源:百度搜索

VMware 迅速发布补丁修复黑客大赛发现的虚拟机逃逸漏洞

VMware 紧急发布安全补丁修复了黑客大赛 PwnFest 上被发现的 VMware workstation 虚拟机逃逸漏洞 (CVE-2016-7461) 。 虽然官方没有公开报道该漏洞,但该漏洞是非常严重的,因为它允许攻击者通过虚拟机访问访问宿主主机并运行代码。发现漏洞的 Marvel Team 和韩国神童 Lokihardt 都获得了 15 万美金的奖金。 目前,VMware 是黑客大赛结束后最快修复漏洞的厂商,具体补丁已经在官方网站公布。 此图为“韩国神童” Lokihardt 展示“成果” 稿源:本站翻译整理,封面来源:百度搜索

Facebook 为确保用户账户安全,从黑市购入黑客泄露的密码

Facebook 首席安全官 Alex Stamos 在里斯本举行的 Web 峰会上透露,为全方位保护用户的安全,Facebook 主动在黑市网络上购买黑客出售的用户密码。该举措旨在保护那些不主动使用 Facebook 的安全功能保护自己的用户。 Alex Stamos 称密码重用是造成互联网上伤害的首要原因。Facebook 会将网上泄露的密码与用户密码进行交叉对比,这是一个计算量非常大的任务,但效果很明显,公司已经提醒了数百万用户密码设置脆弱、避免密码重用造成的危害。 Alex Stamos表示公司致力于保证用户安全,除了修复安全漏洞,还为用户提供双因素身份验证、使用算法来确定帐户活动是否存在欺诈行为、允许在朋友的帮助下验证找回帐户等多种安全措施。 稿源:本站翻译整理,封面来源:百度搜索

创宇资讯 2016-11-16

[创宇资讯] FBI 获得社交网络实时分析数据 [国际要闻] FBI 突破 Twitter “封锁”,获得社交网络实时分析数据 [黑客事件] 1、黑客 Kapustkiy 继续犯案,印度驻纽约大使馆和两所高校数据库被“拖库” 2、黑客盗取国际足球游戏《 FIFA 》巨额虚拟货币,获利近 1800 万美元 [推荐阅读] 1、安全公司曝光手机神秘固件,可将隐私数据秘密传回中国公司 2、Wi-Fi 信号的细微变化将会暴露用户敏感信息 知道创宇整理分享,详细内容请戳 hackernews.cc

FBI 突破 Twitter“封锁”,获得社交网络实时分析数据

上周,美国联邦调查局( FBI )宣布与 Twitter 数据业务分析公司 Dataminr 达成一项独家协议,获得 200 个许可证可访问 “高级告警工具”。该工具将为 FBI提供 Dataminr 的指示器和警告(I&W)功能,此外,Dataminr 还允许 FBI 使用可自定义的过滤器实时搜索完整的 Twitter 消息。 Twitter 拥有数据分析公司 Dataminr 5% 的股份,并授权它可访问全部实时 Twitter 消息。因而 Dataminr 拥有为任何人寻找非法活动的宝贵资源。但是,此前 Twitter 在开发者协议中却明确指出,禁止使用提供的数据来“ 调查、追踪或监视 Twitter 用户”。今年五月 Twitter 就曾禁止情报机构 CIA 通过 Dataminr 获得社交媒体活动中潜在的恐怖袭击和其他犯罪数据。这次,Dataminr 与 FBI 达成的协议似乎违反了 Twitter 的开发者协议。美国科技新闻网站 Verge 要求 Twitter 澄清 FBI 是否违反了相关开发商协议,目前,Twitter 还没有发表回应。 稿源:本站翻译整理,封面来源:百度搜索

黑客 Kapustkiy 继续犯案,印度驻纽约大使馆和两所高校数据库被“拖库”

黑客 Kapustkiy (@ Kapustkiy) 最近再次行动,入侵了弗吉尼亚大学两个子域和威斯康星大学子域,以及印度驻纽约大使馆数据库。他此前入侵了巴拉圭驻台湾大使馆,在这之前他和同伙 Kasimierz(@ Kasimierz_)入侵了印度驻瑞士、马里、罗马尼亚、意大利、马拉维和利比亚大使馆。 印度驻纽约大使馆泄露的数据库含姓名、邮箱、手机,此外,黑客称还有一个包含7000项的表“Newyork_contact”包含地址信息、城市、邮编、电话号码因隐私考虑没有公布出来。 高校的数据库包括用户的个人信息,如姓名,登录名,密码,电话以及学生和员工等诸多信息。 Kapustkiy 称之所以泄露数据,是因为管理员忽略了他发的电子邮件警告,继续重申此举只为得到媒体关注、迫使更多管理员意识到网络安全的重要性。这次攻击很可能还是基于之前的 SQL 注入漏洞。 稿源:本站翻译整理,封面来源:百度搜索

黑客盗取国际足球游戏《 FIFA 》巨额虚拟货币,获利近 1800 万美元

美国一群黑客因涉嫌通信欺诈(wire fraud)被提起公诉。FBI确信,他们通过不法手段窃取了大量 EA (美国艺电公司)旗下《 FIFA 》(国际足联)系列的游戏币—“FIFA币”,涉案金额高达 1500 万美元到 1800 万美元( 1 亿到 1.2 亿人民币)之间,犯罪嫌疑人为 Anthony Clark 为首的黑客团伙 4 人。 在《 FIFA 》系列游戏中,FIFA 币可以用在 FUT 模式中购买球员、教练和足球、球场等各种道具。如果 FIFA 币不够用,玩家可以在游戏中内购,也能通过游戏内的比赛来获取。Anthony Clark 他们共同开发了一款自制工具,能够通过欺骗的手段从服务器获取大量游戏币,这类游戏货币大量流入中国和欧洲的黑市,在三方市场上销售换取现金。FBI 称自 2013 年 9 月 17 日,团伙已经通过该手段获得 1500 万美元到 1800 万美元之间的非法资金。 稿源:cnbeta.com,封面来源:百度搜索

安全公司曝光手机神秘固件,可将隐私数据秘密传回中国公司

Kryptowire 是由美国国防高级研究计划局 (DARPA) 和国土安全部 (DHS) 联合投资的公司,主要为美国国防、军事、情报机构提供移动应用程序的安全性分析、企业级移动设备安全解决方案等服务。 美国东部时间 11 月 15 日,Kryptowire 官网 发布公告 称,发现移动电话中的神秘固件可未经允许发送用户敏感数据。目前已确定几款 Android 设备装有这些固件,主要通过网络商城(如 亚马逊、百思买)销售,其中包括当下流行的低端手机 BLU R1 (亚马逊等各大商城有卖)。 这些设备将会积极传回用户个人信息,包括短信、联系人列表、通话记录、国际移动用户识别码(IMSI)和国际移动设备识别码(IMEI)等。固件能够针对用户短信远程匹配关键字,绕过 Android 权限模型、提权、执行远程命令,还能够进行远程重新编程。 Kryptowire 公司溯源发现该固件会周期性将收集到的信息多层次加密,通过安全的网络协议传回位于上海的服务器,调查显示服务器属于固件更新软件提供商——上海 AdUps (上海广升信息技术有限公司)。 更多详细分析情况请查阅 Kryptowire 官网公告。 **  BLU 产品公司约有 12 万手机受到影响,其余影响范围正在统计中。 稿源:本站翻译整理, 封面:百度搜索,图文无关。  

Wi-Fi 信号的细微变化将会暴露用户敏感信息

黑客可以通过观察用户点击智能手机时,对手机无线信号的干扰变化,窃取密码、PIN 码、按键等敏感信息。 听起来不太可能,但是来自上海交通大学等众多研究人员展示了一种新技术“风语者”( WindTalker ),使用一个流氓 WiFi 热点并分析无线电信号干扰,据称手部覆盖和手指运动会对多路径信号产生干扰,再通过读取信道状态信息( CSI )的波动,即可判断触摸屏上的手指运动。 它依赖于一种称为多天线、多输入多输出( MIMO )的技术,对 WiFi 路由器功能有很大的要求。 研究人员对多款手机进行支付宝交易实际测试,发现成功率达到 68.3% 。 稿源:本站翻译整理,封面来源:百度搜索

创宇资讯 2016-11-15

[创宇资讯]中国网络空间拟态防御技术取得重大突破 [国际要闻] 1、中国在网络空间拟态防御技术上取得重大突破 2、美国 FBI 承认可解锁绝大部分移动设备、访问用户隐私数据 3、俄罗斯调查微软 Windows 10 杀软垄断问题 [漏洞事件] 索尼 PSN 再遭黑客攻击,玩家账户被封、存款失窃 [恶意软件] 安全公司释出解密工具,可破勒索软件 CrySis [推荐阅读] 新型 DDoS 攻击“ BlackNurse ”:一台笔记本就能击垮大型服务器 知道创宇整理分享,详细内容请戳 hackernews.cc