安全快讯Top News

为避免公开 Tor 漏洞利用源代码,FBI 竟再次放弃指控儿童色情嫌疑人

两个月里的第二次,为避免公开利用 Tor 漏洞的恶意程序源代码,FBI 放弃起诉另一名儿童色情嫌疑人。 2015 年,FBI 在扣押了运行在暗网的儿童色情网站 Playpen 服务器后,部署 NIT 恶意程序去发现 Tor 用户的真实身份,这些用户可能遍布全世界。美国司法部随后对一百多名美国公民提起了多项诉讼,指控他们持有儿童色情。但在一名儿童色情嫌疑人的辩护律师向法庭提出要求,寻求查看恶意程序的源代码,以了解 FBI 在识别用户身份时是否超出了其权限后,联邦检方放弃了起诉。 在最新这起案件中,联邦检方称披露源代码不是目前的选项。目前代表 FBI 的司法部仍然在起诉 135 名被指访问儿童色情网站的嫌疑人。 稿源:solidot 奇客;封面源自网络

水门事件翻版:特朗普发推称大选时曾遭奥巴马监听

特朗普在个人推特上连发四条推文称,在大选投票前,前总统奥巴马就已经监听了特朗普。特朗普称这就是水门事件的翻版。但奥巴马的一位发言人否认了特朗普的指控称,特朗普没有在推文中提供任何证据来支持他的说法,并强调“奥巴马总统和白宫官员从未发布命令监视过任何一个美国公民。” “太震惊了!我刚知道奥巴马竟然在我获胜前监听了特朗普大楼的电话。但是奥巴马什么也没有发现。这是麦卡锡主义!” “在位总统在大选前竟然窃听竞选对手,这合法吗?之前被法院推翻。真是太卑劣了!” “奥巴马在大选前窃听我的电话,我打赌,一个好律师就可以通过这个案子把他们告翻。” “奥巴马在大选前窃听我电话的行为真是太卑劣了。这是尼克松水门事件。坏家伙。” 本文由 ibtimes 和 cnBeta 翻译整理,封面来源于网络。

朝鲜使用先进工具监视公民的数字生活

路透社援引美国的一份报告《Compromising Connectivity》报道,朝鲜正使用先进工具监视公民的数字生活。朝鲜允许公民使用手机平板和访问本国网络,但自动审查没有被政府批准的内容,远程监视用户在设备上的行为。 朝鲜严密控制对外部信息的访问,韩国的电视剧和好莱坞电影通过线下的网络在人们之间交换和分享。为了对抗这种行为,朝鲜向其网络中的设备推送了强制性的更新,积极的寻找和删除非法的外国媒体文件。在朝鲜开发的红星(Red Star)操作系统中,软件扫描文档寻找不受欢迎的特定单词或短语,然后删除。生活在中朝边界的朝鲜居民秘密的使用中国的移动通信网络绕过国家控制,联络外界或访问外部信息。 稿源:solidot 奇客;封面源自网络  

中国制 GSM 语音网关存在 Root 权限后门

近日,网络安全公司 Trustwave 发布了一份报告,称在一家名为 DBL Technology(得伯乐科技)的中国公司生产的 GoIP GSM 语音网关中发现了一个隐藏后门(…due to a vendor backdoor…)。该后门存在于设备的 Telnet 服务中,黑客可利用其身份验证机制上的漏洞获取具有 root 权限的 shell。事实上,这也不是国产设备第一次被发现留有后门,如之前我们报道过的锐嘉科与上海广升。 DBL Technology(得伯乐科技有限公司)是一家位于深圳的通讯设备生产商,主要产品包括 GSM 语音网关,IP 电话网关,企业级软交换等,多用于电话公司及 VoIP 服务商。 具体来讲,该系列网关在产品文档里向用户提供了两个可用于 Telnet 登录的帐号:“ctlcmd” 与 “limitsh”。这两个帐号提供有限的权限,且可由用户自行更改密码。然而这次的问题出在第三个帐号:“dblamd” 身上。据 Trustwave 分析,该帐号未被列入产品文档,可能仅用于测试阶段。“dbladm”具有 root 级别的权限,并应用了“挑战-响应”(challenge-response)身份验证技术。该验证方式会在用户申请登录后发送一个字符串(即 challenge 信息),然后用户根据自己的密钥或算法加密 challenge 信息再返还给服务器进行验证(即 response)。 但 Trustwave 的安全研究团队表示,该机制较容易被破解利用。负责向用户发送challenge 的代码就位于设备 ROM 中的 “sbin/login” 下,通过对这些代码的逆向分析,安全人员发现只要有 challenge 的值,黑客就可以计算出对应的 MD5 哈希值,做出 response,完成登录。而 challenge 完全可以通过一些自动脚本获取。一旦完成以上步骤,黑客就会拥有对设备的完全控制,可以监听流量,或利用其发起 DDoS 一类的攻击。 代码拆解后得到的结果 Trustwave 在去年 10 月 13 日向厂商报告了此问题,随后厂商在 12 月 22 日发布了固件更新版本。但是经过查证,更新后的设备依然存在同样的问题,只不过机制稍微复杂了一些。Trustwave 在报告中如此评论: “似乎 DBL Tek 的工程师并没有认识到问题的关键在于该认证机制上存在的缺陷,而不是它是否容易被逆向的问题。” 据称,目前受到影响的网关版本为:GoIP 1,4,8,16和32(Trustwave 开始只测试了 8 通道的 GoIP GSM 网关,但由于该系列其他型号具有同样的认证算法,据推测可能也受到影响。) 系列回顾 2016 年 2 月,Pen Test Partners 的研究人员发现中国厂商 MVPower生产的 DVR 中存在类似的隐藏后门; 同一周,Risk Based Security 发现中国厂商 RaySharp 生产的 DVR 中存在同样问题; 2013 年 11 月,浙江大华 DVR 设备被曝后门与认证绕过问题; 安卓设备方面,去年秋天上海 Adups Technology(广升信息技术有限公司)和 Ragentek Group(锐嘉科)安卓组件中的后门; 转载稿源:FreeBuf ,参考来源:bleepingcomputer,译者:FB 小编 cxt

安全专家发现 Uber 漏洞允许乘客坐车免单

据科技博客 TechCrunch 报道,美国一名安全专家早前发现了打车应用 Uber 上存在一处安全漏洞,不仅是这名安全专家本人,即使是发现了这一漏洞的任何用户,都可以在全球各地乘坐 Uber 后直接免单走人。不过,现 Uber 已经成功修复了这一漏洞。去年 8 月,电脑安全专家阿南德·普拉卡什(Anand Prakash)首先发现了这一漏洞,并通过 Uber 公司的“漏洞赏金”项目告知对方。 Uber 在获悉该情况后,立即组织安全专家普拉卡什等人在美国和印度两地对该漏洞展开测试。测试结果正如预期:利用该漏洞,普拉卡什成功在两地免费使用了 Uber 共乘服务。 此次公布的安全漏洞在去年 8 月份发现并及时得到修复,但普拉卡什直至本周才将其公之于众。“利用该漏洞,攻击者可以使用自己的 Uber 账户进行无限制的免费乘坐,”普拉卡什在一篇博客中描述该漏洞时表示。普拉卡什甚至发布了一小段视频,演示如何利用 Uber 漏洞进行免费坐乘。 Uber 公司一位发言人对此表示:“Uber 设置的‘漏洞赏金’项目,旨在与全球安全研究人员共同修复安全漏洞,即使这些漏洞没有直接影响到我们的客户。我们感谢阿南德的持续贡献,对他提交的卓越报告,我们乐于对其进行奖励。”在 Uber 的“漏洞赏金”项目排名中,普拉卡什排第 14 位。据悉,除 Uber 外,普拉卡什还经常向 Twitter、雅虎等其他公司提交漏洞报告。 点击了解更多 anandpraka.sh 稿源:cnBeta、凤凰网科技 节选;封面源自网络

Metasploit 发布新开源工具,可用于渗透测试的弱点模拟服务

Metasploit 团队研发出一个新的工具可用于渗透测试的弱点模拟服务(GitHub),这个开源工具被称为 Metasploit 弱点服务模拟器。它为用户提供了一个(开源的)易受攻击的操作系统平台可以让安全专家使用数以千计的 Metasploit 模块模拟各种环境以测试服务可能存在的各种安全问题。 此前,Metasploit 发布过两个操作系统映像 Metasploitable2 和 Metasploitable3 ,这些系统运行非常耗时且模拟环境难以配置,使用起来十分不友好。然而新开发的 Metasploit 服务模拟器填补了这一空白。这是一个开源的框架,能够快速模拟出 100 多易受攻击的服务环境以达到渗透测试的目的。该套工具就像一个高性能的“蜜罐”,可以帮助用户更好的了解安全漏洞的细节。目前该工具适用于 Windows、Mac 或 Linux 系统,不过用户还需提前安装 Perl 。 原作者:Pierluigi Paganini,译者:M帅帅 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

联合国专家警告: 假新闻和压制言论同样危险

联合国以及一些区域性组织负责监督言论自由的专家在一份联合声明中对日益滋长的 “虚假新闻” 和一些政治性宣传表达担忧,同时对政府诋毁媒体的言论提出警告。 声明中强调了各国政府在培育言论自由方面的责任,并指出任何有关言论自由权的限制,如对暴力、歧视和敌意的仇恨和刺激性宣传的禁止举措都应与《国际法》一致。 联合国声明没有指向具体事件,但表达了对假新闻和政府借假新闻压制言论的担忧。它鼓励媒体和公民社会鉴别并增强意识,对蓄意捏造的虚假新闻、不实信息和政治性宣传保持警觉。声明同时也提醒说,政府诬蔑、诽谤甚至威胁媒体的言论,尤其是指责媒体带有隐蔽的政治意图等说法非常危险。联合声明称任何国家性屏蔽整个网站、IP 地址或网络协议的行为都是 “一项极端举措,唯有在依据法规且针对保护一项人权或其他合法公共权益的情况下方属合理”。 稿源:solidot奇客;封面源自网络

犯罪组织利用 SSH TCP 攻击入侵意大利网站窃取证书和信用卡

著名的恶意软件研究机构 MalwareMustDie 发现,一个网络犯罪团伙正在利用 SSH TCP direct forward 从世界各地的网站上盗取证书和信用卡号码。 攻击者通过对远程设备(服务器和 IoT )的弱 SSH 帐户执行自动或手动攻击,使用暴力破解帐户的凭据或密码,并利用 SSH 转发功能转发 TCP 协议( HTTP / HTTPS 或 SMTP )启动证书强制访问远程目标。 据 MMD 称,黑客通过入侵 PayPal、LinkedIn 等网站的电子邮件服务器获得了大量电子邮件( Gmail、Yahoo、AOL、Microsoft 、Mail.ru )并窃取凭据,此后,他们使用账户和密码对其他服务进行暴力攻击。 现在,MMD 准备分享犯罪团伙所针对的意大利网站的列表,涉及 140 个攻击目标,其中包括许多邮件服务器。如博洛尼亚大学、意大利电信公司、米兰大学、联合国粮农组织【列表详情见 MMD 博客】。 原作者:Pierluigi Paganini,译者:M帅帅 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

新 PowerShell 恶意软件利用 DNS 请求接收 C&C 命令,通信流量更隐蔽

思科安全研究人员发现一种可利用 PowerShell 脚本从 DNS 记录中提取 C&C 服务器命令的恶意软件。该恶意软件借助垃圾邮件传播并借用 McAfee 的名声利用武器化的 Word 文档感染用户。攻击过程中使用的恶意代码基于 Windows PowerShell 脚本,后门木马通过 DNS 域名服务与 C&C 基础设施实现通信。这种通过 DNS 流量进行的通信联系的方式将更加隐蔽。 攻击者利用社会工程学来欺骗受害者打开恶意 Word 文档。该文档内容显示“此文档受 McAfee 保护”,由于 McAfee 是一个十分知名的安全公司,这大大增加了受害者对该文件的信任并按照“ McAfee ”提示启用内容。当受害者打开文档时,恶意宏将启动 PowerShell 命令进行安装后门。此后恶意代码将执行 PowerShell 命令通过 DNS TXT 消息向 C&C 服务器发送请求并接收响应。 原作者:Pierluigi Paganini,译者:M帅帅 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

NASA 宣布对公众开放 2017 年至 2018 年软件目录

据外媒报道,日前,NASA 宣布对公众开放其在 2017 年至 2018 年的软件目录。在这份目录中,人们可以找到涵盖 NASA 各任务和科研成果的类别和层面的代码。不过 NASA 表示当中会有一些代码存在限制查看的情况。但不管怎样,这是一次巨大、全面的开放。 据了解,该份目录由 NASA 的 Technology Transfer 项目组整理完成,而这成为 NASA 第三次对外开放如此多的信息。第一次发生在 2014 年 4 月。 用户接下来将可以下载或在线访问最近的软件目录。在里边,他们可以找到关于航空、NASA 行动、推进器、数据处理、数据储存、业务模式等相关的代码。先前公布的数据现在已经为大量企业和个人使用。 针对这次的软件目录开放,NASA Technology Transfer 项目负责人 Dan Lockney 表示: “软件已经成为 NASA 任务成功和科学发现的重要组成部分。实际上,在所有上报的 NASA 创新中,超 30% 都是软件。我们非常高兴向其他机构提供这些工具,并且我们非常期待看到它们得到全新的、创新的使用方式。” 稿源:cnBeta;封面源自网络