安全快讯Top News

[创宇资讯] 2016-10-25

[创宇资讯]美国正式起诉 LinkedIn 黑客 [国际要闻] 1、入侵Dropbox、LinkedIn,这名俄罗斯黑客被美国正式起诉 2、新西兰公司 Endace 帮助英国情报机构监视全球 [漏洞事件] 1、Valve Source 引擎存在漏洞,可入侵电脑执行任意代码、开启摄像头 2、语音信箱系统漏洞允许攻击者拦截验证码、获取信箱内容 [推荐阅读] 1、欧洲反勒索软件运动“拒缴赎金”初现成效,挽救 2500 人、赎金 130 万欧元 2、iOS 应用程序比 Android 泄露更多的用户数据 知道创宇整理分享,详细内容请戳 hackernews.cc

入侵Dropbox、LinkedIn,这名俄罗斯黑客被美国正式起诉

据外媒消息,美国当局近日正式起诉俄罗斯黑客 Nikulin ,现年 29 岁的 Nikulin 于今年 10 月 5 日 在捷克警方与 FBI 联合行动中被捕( YouTube 视频 ),曾在 2012 开始多次入侵多家知名互联网公司,就官方起诉书显示被入侵公司包括 Dropbox、Formspring和LinkedIn: ○ 2012 年 5 月至 7 月之间,入侵免费文件托管机构 Dropbox 窃取超过 6800 万用户数据;同伙曾在 9 月份以 $ 1200 价格在暗网出售数据,直到 10 月被泄露的 68680741 用户数据被全部公开。 ○ 2012 年 3 月入侵全球知名职场社交平台 LinkedIn,窃取超过 1.17 亿 会员详细资料 ○ 2012 年 6 月入侵美国第一大社交问答网站 Formspring FBI 调查员透露,Nikulin 至少有 3 名同伙帮忙处理、出售数据。俄罗斯黑客 Nikulin 将面临 5 项指控: ○ 3 项计算机入侵罪名 ○ 2 项故意传播信息、代码或损害受保护的计算机罪名 ○ 2 项严重的数据窃取罪名 ○ 1 项贩卖未经授权访问的设备罪名 ○ 1 项阴谋策划罪名 根据每项罪名的最高刑罚统计,Nikulin 或将面临 32 年监禁以及超过 1 亿美元最高罚款。据悉黑客 Nikulin 目前仍被关押在捷克共和国布拉格,美国联邦调查局正与捷克法院协商引渡美国事项。 稿源:本站翻译整理,封面来源:百度搜索

新西兰公司 Endace 帮助英国情报机构监视全球

鲜为人知的新西兰公司 Endace 开发了以古希腊神话中蛇发女妖美杜莎名字命名的系统,该系统的主要目的是高速收集海量互联网数据,它的主要客户是英国政府通讯总局 GCHQ,其它的政府机构和电信客户来自美国、以色列、丹麦、澳大利亚、加拿大、西班牙和印度。 The Intercept 根据通过 SecureDrop 获得的泄密文件报道,Endace的最大客户是 GCHQ。它的设备允许客户监视、拦截和捕捉100%的网络流量。根据泄漏的文件,GCHQ 向 Endace 采购了专为 FGA 构建的监视技术,FGA 代表“友好的政府机构(friendly government agency)”,被认为就是指GCHQ。2013 年的一份文档称,一个 FGA 拥有了一个知名聊天程序的加密密钥,想要解密该程序在一个大网络中24小时内发送的所有数据包,搜索专门的字符串“Domino’s Pizza”,因为有情报认为国际恐怖分子非常喜欢这种比萨饼。 稿源:solidot奇客,封面来源:百度搜索

Valve Source 引擎存漏洞,可入侵电脑执行任意代码、开启摄像头

美国知名 CTF 战队 Shellphish 成员 Amat Cama 在 GeekPwn2016 黑客大赛公布用于众多流行游戏的 Valve Source 游戏引擎存在漏洞,攻击者利用漏洞可以入侵玩家电脑。漏洞可能影响数以千万计的游戏玩家。 Source 引擎由 Valve 软件公司开发,广泛应用于多款主流游戏,如 CS、反恐精英、绝地要塞等。Amat 找到了 Source 游戏引擎可以任意代码执行的漏洞,破解过程中,Amat Cama 邀请了一位正在现场进行直播的美女游戏主播上台参与互动。就在美女主播开始操作游戏后不久,Amat 就在不接触对方设备,不知道对方账号信息的情况下,侵入了正在游戏的电脑,还通过电脑摄像头监控了美女主播的实时视频。 据悉,为了让全球的黑客粉丝可以实时观看现场动态, GeekPwn 上海站开启了全球直播模式。 稿源:中国科学网,封面来源:百度搜索

语音信箱系统漏洞允许攻击者拦截验证码、获取信箱内容

InTheCyber -情报 & 防护顾问(www.inthecyber.com)是攻防网络安全的领导者,其研发实验室发现一个新的危险漏洞可影响通信系统。 语音信箱来电显示欺诈是一种存在很久的漏洞,移动运营商会依据来电显示验证用户的身份允许其进入语言邮箱。攻击者可以伪造来电显示,冒充用户并获得语音信箱访问权。目前,意大利最大的两个移动运营商都遭受这种攻击。 当登录某些应用(如 Telegram、WhatsApp 和 Signal )时会请求发送一个验证码短信,如果不及时输入验证码,国外通信服务会通过自动调用功能重新发送验证码至语音信箱。 根据用户的语音信箱的配置,在以下几种情况中,验证码会被发送到语音信箱:用户不回应、用户不可及和用户被占用。第一种场景,攻击者可以在夜间利用受害者的帐户请求一个验证码。第二种场景,攻击者可以向用户发送多个静默短信( Silent-SMS ),判断电话是否断网离开通信网络,然后进行攻击。第三种场景,攻击者可以通过电话诈骗来保持电话占线。 除了,主叫来电显示欺诈,语音邮箱还可以通过 PIN 密码用其他设备登录。 如果你启用了重发未收到短信到语音信箱的通信业务,并且没有启用双因素身份验证,那么你很可能会受到这种欺诈攻击,导致账户被非法登录。 稿源:本站翻译整理,封面来源:百度搜索

欧洲反勒索软件运动“拒缴赎金”初现成效,挽救 2500 人、赎金 130 万欧元

据外媒报道,2016 年 7 月 25 日,欧洲刑警组织,荷兰国家警察,英特尔安全和卡巴斯基实验室联合推动“拒缴赎金”( No More Ransom )运动。该运动获得欧洲司法与欧盟委员会的支持,唯一目的是帮助了勒索软件受害者了解各种勒索软件攻击信息、如何解密数据、保护设备免受勒索。在执法机构的努力下, 2500 人成功在没有支付赎金的情况下就解密了数据,这都归因于活动网站提供的解密工具。该活动已收到了不少好评,并又吸引了 13 多个国家的相关机构参与,包括英国,法国,意大利,爱尔兰。预计,未来将有更多机构参与其中,这项活动或将对勒索软件发展产生深远影响。 稿源:本站翻译整理,封面来源:百度搜索

iOS 应用程序比 Android 泄露更多的用户数据

据外媒报道,云安全服务商 Zscaler 分析了自家安全产品保护的设备发现,iOS 应用程序比 Android 应用程序泄露了用户更多的隐私信息。根据 Zscaler 对上季度 4500 万笔“交易”数据分析发现,大约 20 万起涉及应用泄露用户数据。 Zscaler 表示,它追踪了 2600 万起来自 iOS 设备(及 iOS 应用)事务,用户数据泄露的占比达到了 0.5%,即共有 13 万次操作。泄露的数据约有 72.3% 与用户的设备信息相关,27.5% 为地理位置坐标,仅有 0.2% 应用程序暴露 PII 数据。 iOS 用户普遍被人们认为 Android 更加安全,但事实上。 Zscaler 表示它追踪了 2000 万来自 Android 设备的事务,用户数据泄露的占比达到了 0.3%,只有 6 万次操作。泄露的数据中 58% 为设备元数据,39.3% 为地理位置坐标,3% 暴露 PII 数据。 稿源:本站翻译整理,封面来源:百度搜索

美黑客为报复入侵俄外交部官网闹乌龙

本周,黑客组织 NewWorldHackers 承认与匿名者一同参与了 DDoS 攻击 Dyn DNS 事件,随后,美国臭名昭著的黑客 Jester 声称入侵篡改了俄罗斯外交部的官方网站 MID.ru。 黑客 Jester 利用俄外交部网站漏洞顺利入侵并在首页留下警告: “停止攻击美国!” “同志们,我们入侵俄罗斯外交部网站是要给你们带来以下重要信息,” “少来这一套,你可以摆布你周围的国家,但这里是美国,没有人会关注你们(的举动) ……” 黑客 Jester 还通过被黑网站给俄罗斯总统普京传递消息,指责普京在俄罗斯黑客最近网络攻击美国的事情上隐瞒真相。 Jester 选择攻击俄罗斯政府网站主要是为报复本周五发生的 Dyn 大规模的 DDoS 攻击事件,并表示 “现在(23 日)是莫斯科周末的凌晨 4 点,我想他们在周一之前是无法修复这个漏洞了”。 不过 Jester 恐怕得意不了多久,“莫斯科之声”广播电台 23 日报道,俄罗斯外交部发言人当天证实被篡改的只是弃用许久的外交部“旧站”,目前真正的外交部官网并未出被“攻破”。 稿源:本站翻译整理,封面来源:百度搜索

俄克里姆林宫疑开启屏蔽 GPS 系统装置,定位受极大影响

近日,俄罗斯民众反映,最近首都莫斯科的克里姆林宫附近 GPS 信号异常,不是导航无法定位,就是定位地点飘出去老远,这让出租、网约车等老司机们无可奈何。 俄罗斯著名搜索引擎 Yandex 的一位程序员 Grigory Bakunov 在研究后认为克里姆林宫内有屏蔽 GPS 的系统,政府安装该系统应该是出于国家安全考虑。不过目前普京总统的发言人 Dmitry Peskov 表示对此并不知情,但他承认自己驾车时也遭遇了这一现象。他说已经将该问题转给了保护普京的联邦安全局,但联邦安全局拒绝置评。 鉴于GPS系统源于美国,因此这款定位系统对于其他国家的安全可能会构成威胁。中国自己拥有独立的“北斗星”定位系统,在精度等方面都优于美国的GPS,因此今后有希望完全摆脱 GPS ,增加安全系数。 稿源:IT之家,封面来源:百度搜索

DirtyCow (脏牛漏洞)带给内核社区的反思

编号为 CVE-2016-5195 的漏洞在 Linux 内核社区修复完成后的故事并没有结束,72 小时内公开的可作非稳定漏洞利用的 PoC 已经有 9 个,如果是标准版本的内核,写 /proc/pid/mem,vDSO  (部分版本)以及常规 ptrace() 方法都可以直接利用, PaX/Grsecurity 内核对于这个 PoC 也难以防御,针对 ptrace/madvise 做 seccomp 的规则虽然可以减缓攻击进度,但带来性能开销的同时也不能一劳永逸的解决这个问题,如果没有 RBAC 的场景还是建议升级。 这个漏洞在自由软件世界是比较罕见的,对 GNU/Linux 服务器构成巨大威胁和风险的同时也成为了 Android root  恶意代码链条(包括root 一键工具)以及 IoT 入侵的强大助攻,Jonathan Corbet的文章 提到Linux内核社区对待安全的态度需要反思,这个严重漏洞的修复竟然是和cleanup的patch一起合并到主线的,即使是单独的提交也像往常一样并未提供更多的安全评估信息。 这种不提供公开漏洞信息的做法是在1990年代用于防御脚本小子获得更多信息,后来Linux基金会的”客户”们并没有提出改变的意见所以一直沿用至今,但2016年的互联网环境和1990年代有着很大的区别,即使没有公开的漏洞信息攻击者可以凭着对代码提交的理解也可以打造出相应的漏洞利用,或许在Linux内核自防护项目开始10个月后遇到了DirtyCow并不是件坏事,内核自防护项目尝试移植PaX/Grsecurity的一些特性终结掉Linus Torvlads的”A bug is bug“流派,而DirtyCow有望在生态上让Linux基金会的”客户”们向Linux内核社区施压,说不定会改变”security through obscurity“的格局,毕竟今天是一个更开放的年代,个体更注重安全。 稿源:cnBeta.com,封面来源:百度搜索