安全快讯Top News

FireEye 发布《 2017 年 M-Trends 安全报告:前沿视角》

安全公司 FireEye 周二发布了一份安全报告《 2017 年 M-Trends 报告:前沿视角》,该报告结合了去年的研究调查,侧重于攻击趋势、防御能力和新兴趋势对全球区域(美洲、亚太地区、欧洲、中东、非洲地区)进行分析。报告内容指出国家支持的黑客行动越来越复杂和频繁,值得注意的是:金融网络犯罪团伙的技术能力变得相当先进,业务范围开始面向全球化、国与国的活动界限已不再存在。金融攻击者开始针对目标采用定制化后门并不断优化攻击手段增加隐蔽性。 虽然网络攻击的数量和复杂性明显增加,但网络防御能力却进展缓慢。公司应加大对安全防护的投入,及时进行风险评估,保持积极的防御的态势。去年,金融网络犯罪团伙在全球各地肆虐,2016 年 2 月,黑客使用 SWIFT 的客户端冒充孟加拉国央行,向美联储发送转账指令并成功转移 8,100 万美元。此外,在亚洲地区不断有黑客利用 ATM 漏洞盗取巨额现金。 原作者:Jurgen Kutscher ,译者:M帅帅 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

美国空军被曝使用未加密硬盘致机密数据暴露

(原标题:美一中校被曝使用未加密硬盘致机密数据暴露在外) 据外媒报道,近日,MacKeeper Security Researchers 披露,美国空军一备份硬盘由于未得到任何的加密安全措施导致储存里面的上 GB 的文件完全暴露在外面。也就是说,任何网络用户都能访问这些文件。 在这些文件中储存着 4000 多名高阶军官的敏感个人资料,包括名字、家庭住址、军阶甚至社保号码。该硬盘下的另一个文件还列出了上百名军官的安全通关证级别,当中不乏一些拥有“顶级机密”级别的安全通关证。这将极可能是这些官员成为黑客的攻击对象。其他一些电子表格则存有大量该部门职工及其配偶的个人信息和其他敏感数据等。 MacKeeper 报告指出,这个不安全的硬盘属于一位中校。不过该机构安全调查员 Bob Dianchenko 已经通知当事人并做了安全处理。MacKeeper 安全研究员表示,最让他们感到震惊的是里边的一张公开调查电子表格,里边含有涉案人员的名字、军阶、住址以及详细的指控说明。其中一些指控源自歧视,还有一些部源自性骚扰或更严重行为。此外,还有一份文件包含了国防部信息系统对加密密匙恢复的指导信息。 目前还不清楚除了 MacKeeper Research Team 之外是否还有其他机构或个人访问过这一未加密的硬盘。 稿源:cnBeta,封面源自网络

2016 年约有 61% 的组织遭受勒索软件攻击

根据 CyberEdge 集团的“网络威胁防御报告”显示,2016 年大约有 61% 的组织遭受了勒索软件的攻击。在这些受感染者中,超过三分之一的公司通过向勒索者付费恢复了数据;54% 的公司拒绝缴纳赎金;13% 的公司永久失去了所有数据。 随着行业的发展,有利可图的恶意软件在当今时代越来越盛行。近期,有攻击者表示:仅仅在去年,他们利用恶意软件对各大公司进行入侵时,获取赎金高达 10 亿美元。 CyberEdge 的报告指出,越来越多的组织成为网络罪犯的牺牲品。从 2015 年的 70% 到 2016 年的 76% ,再到今年的 79% 。这些数字都得到了卡巴斯基实验室的证实并做出评估报告。报告中表明:在 2016 年全球有 1445434 个用户遭到 62 类加密勒索软件家族 54000 个变种的攻击。平均每隔 10 秒就有一个普通用户遭到勒索,每隔 40 秒就有一个组织或者企业成为攻击目标。 黑客们的惊人技术,早已攻破互联网巨头谷歌和雅虎的防护,并进行数据盗取,从而导致公司安全支出的激增。目前, CyberEdge的 研究人员认为:员工的低安全意识,导致组织更加容易受到攻击。 原作者: FRANCISCO MEMORIA,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

大华科技发布补丁修复摄像头后门漏洞,曾可远程访问用户凭证数据库

世界第二大安全摄像头和 DVR 设备制造商 大华科技 最近发布了一个软件更新,关闭了其产品存在的后门漏洞。该漏洞存在于处理身份验证的方式,并可被任何人利用绕过现有的登录防护措施直接以管理员身份控制系统。 这些设备都被设计为可通过浏览器访问的本地 Web 服务器控制器。一般情况下,用户登录服务器需要输入用户名和密码,但研究员 Bashis 发现他可以强制所有受影响的设备导出一份用户名和哈希值密码的数据库存入 Web 服务器,于是 Bashis 从容的复制用户名和密码登录设备。Bashis 在博客上详细介绍了该漏洞并将在未来一段时间发布 PoC 代码。 1、远程下载完整的用户凭据数据库 2、选择任何一个管理员账户,复制登录名和密码散列 3、使用它们远程登录大华设备 该公司目前正督促用户尽快下载并安装最新的固件更新。 以下是受影响的模型: DH-IPC-HDW23A0RN-ZS DH-IPC-HDBW23A0RN-ZS DH-IPC-HDBW13A0SN DH-IPC-HDW13A0SN DH-IPC-HFW13A0SN-W DH-IPC-HDBW13A0SN DH-IPC-HDW13A0SN DH-IPC-HFW13A0SN-W DHI-HCVR51A04HE-S3 DHI-HCVR51A08HE-S3 DHI-HCVR58A32S-S2 原作者:krebsonsecurity,译者:M帅帅 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

关注网络隐私,但九成网民不知如何捍卫自己的隐私

伴随着棱镜监控丑闻的曝光以及日益猖獗的数据窃取事件,消费者对于隐私和安全的关注度不断提高,然而根据 Mozilla 的最新调查结果显示,大部分用户并不知道如何去捍卫自己的隐私。在对 3 万网民的调查中,发现超过三分之一的用户并没有掌控他们的在线信息,只有三分之一的用户对“加密”一知半解。 Mozilla 在文章中写道:“我们在多个平台上使用重复的密码,我们使用已经过期停止支付的软件,我们愿意为了免费的团购券去交换我们的私人信息。如果这种粗心搬到物理世界,那么我们的钱包可能会被随意窃取。甚至于邻居都更了解你自己。调查结果显示 90%  的用户并不知道如何去捍卫自己的网络隐私,Mozilla 表示最佳的第一步就是确保所有的软件保持最新状态。此外,Mozilla 推荐消费者在使用 Firefox 或者其他浏览器上网的时候,使用隐私模式。 稿源:cnBeta;封面源自网络

科学家用人工智能技术优化量子计算机性能

人工智能和量子计算机都是当前科技界的热门领域,科学家也在尝试将两者结合应用。一个国际研究团队 13 日在英国《自然·物理学》期刊上报告说,他们利用人工智能技术对量子计算机和量子体系进行了有效学习和验证,这有助于解决中大规模量子计算机发展中的一些难题。 量子计算机是一类遵循量子力学规律进行高速数学和逻辑运算、存储及处理量子信息的物理装置。当前,谷歌、IBM、微软等科技公司都在这一领域投入大量资源进行研发。 然而,如何有效校准大规模量子计算机,以及如何验证量子计算机的计算结果,是一个困扰科研人员的难题。为此,英国布里斯托尔大学的研究人员与美国、荷兰的同行合作设计了一套方法来解决这一问题。 报告第一作者、布里斯托尔大学学者王剑威告诉新华社记者,通过借助人工智能技术,可以使量子计算机自动学习和仿真其他复杂的物理、化学量子体系,也可以实现对量子计算机的自校准评估。“人工智能使普通计算机和量子计算设备更好地交互,形成一个混合计算机运算体系,从而实现对量子计算机的操控和优化”。 报告介绍,这一新方法利用人工智能中的经典贝叶斯算法,有效实现对量子计算机的校准和验证,以及对未知量子体系的哈密顿量演化过程的学习和验证。这一技术突破将有效推动中大规模量子计算机的研发、制造和验证。 报告作者之一、微软“量子体系结构和计算研究小组”成员内森·维贝说,人工智能将在校准和验证大规模量子计算机中发挥关键作用,并对利用量子计算机来深入理解和控制复杂量子系统至关重要。 稿源:cnBeta、新华社,封面源自网络

世界头号黑客加盟克里姆林宫,助长网络间谍活动

根据 FIB 的报道,黑客 Evgeniy M Bogachev 一直在为 克里姆林宫 服务。Bogachev 的活动进一步推动了俄罗斯政府的间谍活动,他除了是世界上头号网络罪犯,还被指控了一长串罪行,其中包括盗窃国际银行数百万美元,编写并扩散臭名昭著的“GameOver Zeus (宙斯病毒)”。目前的 Bogachev 不仅能在俄罗斯公开生活,甚至还拥有豪华汽车和游艇。 乌干达内政部称,它曾帮助 FIB 跟踪  Bogachev ,并发现该网络犯罪分子一直受雇于 FSB (俄罗斯主要情报机构)的一个特别小组。《纽约时报》也曾报道:前 FIB 雇员表示某些黑客经常暗中和克里姆林宫联系,并接受俄罗斯情报部门的雇佣,直接或间接的参加网络间谍活动。 美国执法官员和网络安全公司 Fox-IT 认为俄罗斯政府对乌克兰和美国的军事情报信息很感兴趣, Bogachev 可能早已通过网络犯罪活动获得了一部分私密信息。俄罗斯当局声称,网络犯罪分子在地下论坛活动会受到监督,但这些黑客恰恰是由克里姆林宫进行招募。此前,FIB 和 FSB 领导机构联合调查,俄罗斯情报部门可能不会帮助逮捕网络犯罪分子。 2016 年 12 月,根据美国情报机构的结论,俄罗斯黑客干预了 2016 年总统的选举。而后,奥巴马政府宣布了对 Bogachev 及其他 5 个人进行制裁。目前,联邦调查局准备了 300 万美元的赏金,用于抓捕 Bogachev 。 原作者: India Ashok,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

证据显示:美国政府使用的恶意软件多年保持攻击力

兰德公司公布了最新报告,这份报告有助于揭示美国政府的恶意软件库,包括其所谓的“零日”漏洞库存数量和攻击力。“零日”漏洞即攻击电脑,智能手机和其他数字设备所使用的尚未公开的安全漏洞。该报告还提供了这些“零日”漏洞持久保持攻击力的证据。研究结果特别令人感兴趣,因为外界对美国政府使用“零日”漏洞细节所知甚少,官员长期以来拒绝公布“零日”漏洞数量和使用情况。 兰德的报告是基于所谓访问一个“零日”漏洞贩卖公司的数据库做出,这家公司在“灰色市场”上向政府和其他客户出售这些在“零日”漏洞,当天兰德研究人员看到的“零日”漏洞集合包包含大约 200 个“零日”漏洞,- 大约是一些专家认为美国政府拥有“零日”漏洞的数量。 兰德发现,这些漏洞的平均寿命为 6.9年,然后政府相关机构才会将每个目标的漏洞披露给软件制造商,或者在供应商升级代码之前,不经意地消除了安全漏洞。一些漏洞幸存下来的时间甚至比这更长。约 25% “零日”漏洞寿命为十年或更长。但是另外 25% 的“零日”漏洞在不到 18 个月就通过软件升级进行修补。 稿源:cnBeta,封面源自网络

MAC 地址随机化机制漏洞暴露真实 IP,iPhone、Google 设备皆中招

研究人员设计了一种新的攻击方法,可用于跟踪启用 MAC 地址随机化机制的移动设备。 MAC 地址是分配给设备网络接口的唯一硬编码和标识符,技术人员通常会通过 MAC 地址来跟踪用户。而 MAC 地址随机化使用广播随机 Wi-Fi MAC 地址,使得常人难以跟踪 MAC 地址。 美国海军学院的一组研究人员设计了一种新的攻击方法,可用于跟踪启用 MAC 地址随机化机制保护用户隐私的移动设备。研究人员称 96% 的 Android 设备使用的 MAC 地址随机化机制存在严重缺陷,设备在使用随机 MAC 地址时将发送无线帧与真实的全球 IP 地址。攻击者可以向 IEEE 802.11 协议客户端设备发送 RTS 请求帧,并分析其导出的全局 MAC 地址的 CTS 响应。一旦获得了全局 MAC 地址,攻击者就可以通过发送包含全局 MAC 的 RTS 帧来跟踪目标设备。 该专家组已成功测试了多个供应商存在该问题,包括 iPhone 5s、iPhone 6s、iPad Air、Google Pixel、LG Nexus 5X、LG G4和G5、摩托罗拉 Nexus 6 等。专家认为解决该问题的可行方法是制造商发布 802.11 芯片固件补丁升级。 原作者:Pierluigi Paganini,译者:M帅帅 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

已知漏洞隐患:数十万网站仍在使用老旧的 JavaScript 库

美国东北大学研究人员在对超过 13.3 万个网站进行分析后发现,竟然有超过 37% 的站点仍在使用至少包含一个已知公开漏洞的 JavaScript 库。研究人员早在 2014 年就意识到了这点 —— 加载过时的 JavaScript 库,存在被黑客利用的潜在安全隐患(比如 jQuery 和浏览器 AngularJS 框架)。他们在一篇新报告中指出,在适当的条件下,这些漏洞会变得极其危险,比如指向一个老旧的 jQuery 跨站脚本 bug(攻击者可借此向受害站点注入恶意脚本)。 研究人员们随机查看了 Alexa 排名前 7.5 万的站点(以及 7.5 万个随机 .com 域名),统计到了有 72 个不同的 JS 库版本 —— 87% 的 Alexa 站点(以及 46.5% 的 .com 站点)使用了其中一个。 研究发现,36.7% 的 jQuery、40.1% 的 Angular、86.6% 的 Handlebars、以及 87.3% 的 YUI 存有漏洞隐患;此外还有 9.7% 的站点包含 2 个(及 2 个以上的)漏洞库版本。 万幸的是,热门站点在这方面做得相对更好(用漏洞库的比例低很多),Top 100 Alexa 站点中只有 21% 躺枪。但遗憾的是,只有少量站点(2.8% 的 Alexa、1.6% 的 .com)可以通过免费补丁进行更新修复,因为大版本的跃迁(比如从 1.2.3 到 1.2.4)可能会无法向后兼容。 稿源:cnBeta;封面源自网络