安全快讯Top News

“薪水低、士气低落、不得人心”导致 NSA 人才流失加剧

《华盛顿邮报》报道,NSA 正以令人担忧的速度失去它的优秀人才。报道援引知情人士的消息称,自 2015 年以来,NSA 失去了数百名黑客、工程师和数据科学家。知情人士称这将严重影响到国家安全。一名前官员称,NSA 的部分团队失去了近一半的雇员。 结果是部分项目被砍掉或放慢进度。流失人才的原因被认为是 NSA 给的薪水无法与私企竞争,士气低迷以及不受欢迎的重组。 NSA 发言人表示,雇员担心的高流失率正促使 NSA 提高薪水,增加升职和工作机遇。 稿源:cnBeta、solidot, 封面源自网络;

Mozilla 因为 Bug 决定删除所有收集的崩溃报告

因为 Firefox 崩溃报告工具发现了一个 bug,Mozilla 决定删除所有收集的遥测数据。自 Firefox 52 发布起 Mozilla 收集了后台标签页的崩溃报告,但崩溃报告工具的 bug 让浏览器没有遵守用户的隐私设置,它会自动递交崩溃报告,最近发布的 Firefox 57.0.3 修改了这个 bug。 因为崩溃报告不是匿名的,为了保护用户的隐私,Mozilla 决定删除这一期间所有收集的崩溃报告。这将导致它失去九个月的遥测数据。 稿源:cnBeta、solidot, 封面源自网络;

前 NSA 黑客揭露如何将卡巴斯基杀软变成间谍工具

根据卡巴斯基的案例表明,安全软件可以被情报机构利用来作为一种强大的间谍工具。Digita Security 首席研究官  Patrick Wardle 和前 NSA 黑客通过颠覆卡巴斯基实验室杀毒软件并将其变成强大的机密文档搜索工具来证实了这一点。 Patrick Wardle 在接受纽约时报采访时说: “ 杀毒产品是对抗恶意代码的首选。“  然而,具有讽刺意味的是,这些产品与先进的网络间谍工具有许多共同之处。“从技术角度来看,如果一个反病毒制造商出于某种原因,比如被强迫、被黑客攻击等,是否可以创建一个标记机密文件的签名? 去年12月,美国总统特朗普 签署了一项法案,禁止在联邦机构使用卡巴斯基实验室产品和服务。根据 Edward J. Snowden 泄漏的一份绝密报告草案显示,NSA 至少自 2008 年就瞄准了杀毒软件(即 Checkpoint 和 Avast )以便于收集存储在目标机器上的敏感信息。 Wardle 对卡巴斯基实验室杀毒软件进行了逆向工程,以探究是否有可能将其用于情报目的。其目标是希望能够编写一个能够检测机密文件的签名。Wardle 发现代码非常复杂,与传统的防病毒软件不同的是,卡巴斯基的恶意软件签名很容易更新。研究人员认为这个功能可以调整自动扫描受害者的机器和窃取机密文件。 “ 现代反病毒产品是非常复杂的软件,卡巴斯基可能是最复杂的一个。因此,仅仅获得对其签名和扫描逻辑的合理理解是一项具有挑战性的任务。”卡巴斯基的反病毒引擎会定期检查并自动安装任何新的签名。当新的签名可用时,该签名将被卡巴斯基更新服务器的kav守护进程下载。 杀毒软件扫描可能被用于网络间谍活动 Wardle 称官员们通常会将最高机密文件与 “ TS / SCI ” ( “ 最高机密 / 敏感区域信息 ” )进行分类,Wardle  向卡巴斯基的杀毒程序添加了一条规则,用来标记任何包含 “ TS / SCI ” 的文档。为了测试新规则,研究人员在他的电脑上编辑了一个文件,其中包含小熊维尼儿童读物系列的文本,并添加了 “ TS / SC ” 标记。一旦文档被保存到他的机器上,卡巴斯基的防病毒软件就会标记并隔离该文档。 Wardle 测试的后续阶段是发现如何管理被标记的文档,但是反病毒软件将数据发送回公司通过进一步分析发现是正常的。 而卡巴斯基在一份声明中称 Wardle 的研究并不正确,因为卡巴斯基实验室不可能以特定的秘密方式向特定的用户提供特定的签名或更新,所有签名总是公开给所有用户使用而且更新是经过数字签名的,不可能进一步伪造。 但无论如何,Wardle 的研究表明,黑客厂商的平台可以使用杀毒软件作为搜索工具。 专家总结说 :“然而,任何反病毒公司内部的恶意或有意识的内部人士,如果能够策略性地部署这样的签名,那么在一个可能的情况下任何被强迫或愿意与如政府之类强大机构合作的反病毒公司都同样能够悄悄地利用他们的产品来检测和利用任何感兴趣的文件。” 。 详细报告内容见<All Your Docs Are Belong To Us> 消息来源:Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

phpMyAdmin 存在关键 CSRF 安全漏洞,4.7.7 之前版本均受影响

据外媒 1 月 2 日报道,印度安全研究人员 Ashutosh Barot 发现 phpMyAdmin 存在一个严重的 CSRF 安全漏洞——通过欺骗管理员点击链接来执行危险的数据库操作,比如删除记录、删除/截断表等。Barot 称 phpMyAdmin 4.7.7 之前的版本都受到该漏洞的影响,并且可能会泄露敏感数据。 CSRF :跨站点请求伪造漏洞(也称为 XSRF),可在(已通过身份验证的)目标在不知情的情况下以目标名义伪造请求然后发送到受攻击站点,从而在并未授权的情况下执行一些操作。 phpMyAdmin 的一个特性是使用 GET 请求,在数据库操作的 POST 请求之后,GET 请求必须受到保护以防止 CSRF 攻击。在实例演示中,攻击者使用 URL 发送 POST 请求可能会欺骗数据库管理员单击按钮,执行删除数据库。 但是要进行这种攻击并不简单,因为要利用 CSRF 攻击 URL ,所以攻击者很可能知道目标数据库以及数据表的具体名称。那么这些信息是如何泄露的呢? 根据上述猜想,Barot 对此进行研究发现若用户通过单击插入、删除等按钮来操作数据库,那么 URL 将包含数据库和表名称。 而 URL 又存储在不同的地方,比如浏览器历史记录,SIEM 日志,防火墙日志,ISP 日志等,因此 Barot 认为该漏洞很可能会导致敏感信息泄露。 目前,phpMyAdmin 已发布了 phpMyAdmin 4.7.7 版本来解决这个 CSRF 漏洞。 消息来源:thehackernews,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

英特尔芯片重大缺陷, 或迫使 Linux 和 Windows 重新设计内核

据北京时间 1 月 3 日早间消息,由于英特尔处理器存在一个底层设计缺陷,迫使 Linux 和 Windows 内核需要展开重大的重新设计,以便消除芯片层面的安全漏洞。程序员都在正在加紧检修开源 Linux 内核的虚拟内存系统。 与此同时,微软也可能在下周二的补丁中发布对 Windows 系统展开必要调整:这些改版已经在去年 11 月和 12 月提供给 Windows Insider 的测试者。 关键问题在于,Linux 和 Windows 系统的更新会对英特尔的产品性能产生冲击。虽然具体影响有待确定,但预计速度会放慢 5% 至 30%,具体要取决于任务类型和处理器模式。英特尔最近的芯片配备了 PCID 功能,可以降低性能受到的影响。 苹果 64 位 macOS 等其他系统也需要进行类似的更新——该问题存在于英特尔的 x86 硬件之中,似乎无法通过微码升级来解决。必须要在系统层面通过软件来解决,或者购买没有设计缺陷的新处理器。 英特尔芯片的漏洞细节尚未披露,最早有望于本月初公布,可能会选在下周二的微软补丁发布日。事实上,Linux 内核补丁已经对所有人开放,但源代码的评论内容经过修改,导致人们无法详细了解问题。 稿源:cnBeta、新浪科技, 封面源自网络;

家中音箱突然半夜高歌?别担心,它只是被黑了

据外媒 1 月 1 日报道,网络安全软件公司趋势科技证实一些型号的 Sonos 和 Bose 智能音箱存在安全漏洞,或可导致设备被劫持。相关研究人员称攻击者利用该漏洞进行简单的网络扫描,从而远程操控设备,例如播放诡异的音乐以及执行 Alexa 语音命令。虽只有小部分型号的音箱受到影响(其中包括 Sonos One 和 Bose SoundTouch ),但目前为止约有 2500 – 5000 台 Sonos 设备和 400- 500 台 Bose 设备已遭到攻击 。 据趋势科技研究人员介绍,攻击者通过扫描互联网寻找易受攻击的设备,一旦发现存有漏洞的音箱就立即使用 API 来引导其播放托管在特定 URL 上的音频文件。研究人员解释说有缺陷的音箱允许同一网络上的任何设备在未进行身份验证的情况下使用如 Spotify 或 Pandora 之类的应用程序的 API。攻击者利用该 API 可以播放任意 URL 的音频文件。此外,攻击者除了任意播放音乐,还制造了一些更加恐怖的攻击场景,比如通过语音助手设备控制门锁、空调和照明等智能家居的功能。 趋势科技称之所以会出现音箱被人侵的事件,其主要原因可能与这些音箱连接到一个错误配置的网络上有关。目前 Sonos 表示已发布安全补丁,解决了包括拒绝服务(DoS)错误在内的一些问题,但 Bose 方面仍然没有回应。 相关参考阅读: < The Need for Better Built-in Security in IoT Devices > 消息来源:Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

专家披露 IOHIDSystem macOS 内核任意读写漏洞 POC

据外媒 1 月 1 日报道,研究苹果 iOS 操作系统的安全人员 Siguza 公布了 macOS 中一个未被修复的 0day 的 POC 细节:攻击者可以利用该漏洞访问系统、执行任意代码以及获得 root 权限。该漏洞会影响 macOS 的所有版本,可能导致内核中出现任意读/写的问题,同时也使得黑客能够禁用系统完整性保护(SIP)和 Apple 移动文件完整性(AMFI)安全功能。 安全研究员 Siguza 在试图破解 iOS 内核漏洞时注意到 IOHIDFamily,这是一种为人机界面设备( HID )设计的内核扩展,比如触摸屏或按钮。 目前 Siguza 公布的开发和概念证明(POC)代码只适用于 macOS High Sierra 10.13.1 及更早版本,但研究人员认为可以将该代码调整到适用于苹果 12 月 6 日发布的最新版本 10.13.2 。 专家认为,至少从 2002 年起这个漏洞就已经存在,但是一些线索表明漏洞潜藏时间至少 10-15 年。 值得注意的是,有些研究人员认为公开 POC 会使 macOS 用户面临被攻击的风险, 但 Siguza 认为事实并非如此。 消息来源:SecurityWeek,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

朝鲜被指控窃取价值 2 万 5 千美元的加密货币

韩国金融安全研究所说,黑客正在挖掘加密货币来资助金正恩政权。彭博社援引韩国政府的分析报导,朝鲜黑客安达列尔( Andariel )今年夏天入侵韩国一家公司的服务器窃取 70 枚莫罗硬币。由 Mariah Carey 和 Fall Out Boy 等音乐人支持的这些电子货币价值总共为 25,000 美元( 18,440 英镑或 31,880 澳元)。 这个消息显示国际上对于朝鲜的制裁正在收紧,朝鲜转向加密货币作为政府资金来源。美国上个月指责朝鲜5月份在全球范围发动 WannaCry 网络攻击事件,瘫痪了超过 30 万台服务器,但是朝鲜否认有任何参与。袭击的受害者发现他们的电脑被锁定,必须支付比特币赎金才能解锁他们的文件。 比特币被朝鲜用作“经济武器”的潜力也被认为是韩国政府想要对加密货币进行打击的一个原因。这次曝光莫罗硬币是专为那些偏爱隐私的人而设计,因为比起比特币和以太坊这样的竞争对手来说,追踪莫罗硬币更加困难。据彭博社报道,韩国政府金融安全研究所所长郭永举(Kwak Kyoung-ju)表示,因为这个原因,莫罗硬币是一个更容易洗钱的货币。 稿源:cnBeta.com, 封面源自网络;

德国开始执行反仇恨言论法

德国将开始执行一项法律,要求社交媒体网站迅速采取行动,消除仇恨言论,假新闻和非法材料。 不删除明显非法的网站可能面临高达 5000 万欧元( 4430 万英镑)的罚款。这项法律要求网站被告知存在违法内容之后在 24 小时之内采取的行动后。拥有 200 多万会员的社交网站和媒体网站将属于法律规定的范围。 Facebook,Twitter 和 YouTube 将成为法律的主要焦点,但它也可能被应用于 Reddit,Tumblr 和俄罗斯社交网络 VK。  Vimeo 和 Flickr 等其他网站也可能被纳入其覆盖的范围之中。 这项法律于 2017 年 6 月底获得通过,并于 10 月初正式生效。 多数社交网络直到 2017 年年底才准备好这项名为 NetzDG 法律的到来。 通过德国着名社交媒体公司,发生在几起引人注目的新闻和种族主义事件之后,德国司法部表示将在其网站上提供表格,公民可以使用该表格报告违反 NetzDG 或未被及时清除的内容。 除了迫使社交媒体公司迅速采取行动之外,NetzDG 还要求他们建立一个全面的投诉结构,以便员工可以迅速报告非法内容。 Twitter 最近更新了处理仇恨言论时遵循的准则,大多数材料将不得不在 24 小时内被删除,但将有一个星期来处理“复杂案件”。 据报道,Facebook 在德国招募了数百名员工处理关于 NetzDG 报告的内容,并更好地监控人们发布的内容。 德国的法律一直存在争议,有些人认为这可能会导致审查过头或者限制言论自由。 稿源:cnBeta,封面源自网络。

真相扑朔迷离?Lurk 黑客自称 WannaCry 实为俄罗斯开发

据外媒 12 月 30 日报道,Lurk 网络犯罪团伙的黑客 Konstantin Kozlovsky 承认在 FSB( 俄罗斯联邦安全局信息安全中心) 的要求下开发了 WannaCry 勒索软件和 DNC 黑客软件,并为其破解了美国民主党的服务器以及希拉里·克林顿的电子邮件服务器。根据 Kozlovsky 的供词显示, 2014 年雅虎服务器的入侵事件可能也与 FSB 有关。 Lurk 网络犯罪团伙因开发、维护和租用钓鱼漏洞开发工具包闻名。黑客团伙利用 Lurk 银行木马从俄罗斯金融机构窃取了约 4500 万美元资金,其成员于 2016 年被俄罗斯警方逮捕。 据俄罗斯网站 crimerussia.com 报道,黑客 Kozlovsky 称 Lurk 团伙开发的 WannaCry 勒索软件主要针对企业网络,能够通过感染大量的机器得到迅速传播,最终达到“一键”瘫痪目标网络能力的目的。黑客团伙还甚至计划利用 WannaCry 破解俄罗斯第三大钢铁生产企业——Novolipetsk钢铁公司网络,并试图干扰高炉运作。 知情人士透露,美国之前认为朝鲜是今年 5 月利用 WannaCry 进行网络攻击的幕后黑手,不过目前 Kozlovsky 表示 WannaCry 是为 FSB 开发的,并指认这些攻击行动是由 FSB 的 Dmitry Dokuchaev (被指控在 2014 年入侵雅虎服务器的两名俄罗斯情报官员之一)协调完成的。但此番言论也遭到了 Dmitry Dokuchaev  的否认。 真相依旧扑朔迷离,媒体对此事件感到奇怪的一点在于——Kozlovsky 目前还被俄罗斯当局监禁,却反而指控 FSB 的其他黑客? 消息来源:Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。