安全快讯Top News

瑞士 BPC 的银行支付系统 SmartVista 存在 SQL 注入漏洞

HackerNews.cc 10 月 12 日消息,安全公司 Rapid7 研究人员于今年 5 月发现瑞士 BPC 团队所创建的银行支付基础设施与管理系统 SmartVista 存在一处 SQL 注入漏洞,允许黑客侵入 SmartVista 前端的身份验证接口后窃取数据库敏感信息,其中包括用户账号与密码。不过,由于安全研究人员在上报该漏洞至 BPC 团队后至今尚未获得回应,因此他们于近期公开披露银行软件平台 SmartVista 易遭黑客 SQL 注入攻击。 美国 CERT 协调中心与瑞士证券交易委员会在漏洞公开披露后发布警示,宣称由于该攻击活动只能通过经身份验证的前端用户触发,因此攻击者可以通过该漏洞后入侵系统、窃取重要信息。 Rapid7 专家发现,对于访问 Transaction 接口的平台需要用户提供卡号、帐号,以及交易日期三个字段。然而,由于 SmartVista 前端缺乏输入验证,因此不会对交易模块中输入的卡号或帐号进行检测。不过,卡号仅接受确切的字段以便提供输出。如果事先并不知道卡号,攻击者也可通过该字段启动 布尔型 SQL 注入。但倘若提供了正确的注入语句(如’或’1’=’1)时,数据库将延迟五秒,从而产生一个基于时间的 SQL 注入向量。此外,攻击者还可利用该漏洞强制查询数据库,从而导致访问信息在线暴露。 目前,Rapid7 安全专家建议使用 SmartVista 的企业安全更新系统至最新版本,同时采用 Web 应用程序防火墙,以便保护平台免受 SQL 注入攻击。 原作者:Pierluigi Paganini,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

继数据泄露后 美国征信机构 Equifax 官网再遭黑客入侵

今年 5 月,美国三大信用评级机构之一 Equifax 出现了非常严重的数据泄露问题,导致 1.45 亿美国公民的身份信息被泄露。而就在近期,Equifax 网站再次被黑客入侵,用户访问该网站之后会下载包含恶意文件的 Adobe Flash 更新,而且更严重的是感染包含恶意的广告应用之后,经过测试 65 款防病毒应用中只有三款能够检测识别。 独立安全分析师 Randy Abrams 本周三尝试访问 Equifax 网站来确认他的信用评级,然而在敲入 hxxp//:centerbluray.info 域名 URL 之后反馈回来的内容竟然是这样的: 在访问该网站之后尝试欺骗用户点击安装被赛门铁克称为 Adware.Eorezo 的广告软件,而且在打开 Flash 下载之前会跳转至少四个域名。在点击后会下载名为 MediaDownloaderIron.exe 的文件,随后调用 65 款防病毒软件只有 Panda、Symantec 和 Webroot 三款检测出该文件为广告软件。 稿源:cnBeta,封面源自网络;

报告:43% 用户担心快递信息安全,代收成快递刚需

10 月 12 日消息,尼尔森和阿里研究院联合发布《 快递最后 100 米服务趋势报告》,显示快递代收已成消费者刚需,且持续增长。报告显示,近年来,快递年业务量增长迅速,2016 年全国快递 313 亿件,2020 年有望超过 700 亿件,但快递员增长并不匹配,快递最后 100 米面临巨大压力。 包裹越来越多的同时,签收也遇到越来越多问题:家里没人、藏在楼道里不安全/不方便,不希望别人知道家庭具体地址,快递上门次数太多,家里有老人或孩子需要休息等痛点让消费者寻求更方便收件方式。数据显示,其中 43% 的用户表示会担心上门签收个人信息不安全,且 55% 的用户因为家里没人/不在家,并不方便上门签收。 数据表明,目前 74% 的用户会使用代收服务,这已成为主要的快件签收方式之一。大部分用户表示体验良好,未来使用意愿强烈。其中,都市新人和小资白领最为青睐,不经常在家、不用在家等候、更自由掌控时间等是主要原因。在最后 100 米,目前仍然需要大量的人手和三轮车来完成繁重的作业。快递员平均每天要派送 150-200 件左右的包裹。百世快递杭州下沙萧山网点运营总监李田说,由此带来的压力反映在派送效率上,主要矛盾在于快递员和消费者时间不匹配。一件快递多次上门是家常便饭,迫切需要创新方式。 阿里研究院副院长杨健介绍, 2016 年快递业服务人次超过 600 亿,是各种干线交通工具客运服务人次总和的3倍。预计到 2020 年,这一数字将超过 1500 亿,有望超过全国城市公共交通服务人次的总和,成为服务人次最多的实体末端网络。 尼尔森专家认为,在代收服务专业化上,服务专业和运营专业是主要发展方向。通过建立统一化的服务标准形成行业规范,引入智能化技术提升代收服务效率,让更多消费者可以享受到代收服务的便利。同时,在代收服务内容丰富性上,个性化服务包括冷链生鲜、贵重物品代收,定时配送等是未来的需求方向。此外,利用代收点的便利位置,更多生活相关延伸性增值服务也将成为潜在发展机会。多层次的代收也正在解决这些难题。报告表明,社区消费者最认同代收服务的社会价值是可提高包裹派送效率,更安全、资源共享的感知则超过五成。 稿源:cnBeta、网易科技,封面源自网络;

俄总统新闻秘书:卡巴斯基实验室所受指责十分荒谬

据外媒 12 日报道,俄罗斯总统新闻秘书佩斯科夫表示,美国针对卡巴斯基实验室的指责十分荒谬,且毫无根据,俄方与此类活动毫无干系。《华尔街日报》此前援引多名消息人士的话报道,俄罗斯政府使用一款流行的杀毒软件来秘密扫描全球电脑,以获取美国政府文件及绝密消息,从而将该软件变成了一个间谍工具。 据悉,这款软件会定期扫描安装了该软件的电脑,以发现病毒和其他恶意软件。卡巴斯基实验室对卫星通讯社表示,已驳斥媒体的这一指责,并要求就此提供证据。佩斯科夫对媒体说:“ 这是荒谬的消息,俄罗斯与此没有任何干系。所有这些指责都是毫无根据的。” 相关阅读: 外媒:卡巴斯基涉嫌帮助俄罗斯国家黑客入侵美国 NSA 窃取机密信息 俄黑客被曝用卡巴斯基盗美国机密 反被以色列监控 俄罗斯政府承诺保护卡巴斯基实验室利益 稿源:cnBeta、中国新闻网,封面源自网络;

澳国防承包商逾 30G 资料遭黑客窃取,涉及 F35、P-8 等战机机密信息

HackerNews.cc 10 月 11 日消息,澳大利亚网络安全中心(ACSC)近期发布了一份《2017 ACSC 安全威胁报告》,指出澳大利亚国防承包商的 F-35 联合攻击战斗机、P-8 波塞冬海上巡逻机、C-130 运输机、联合直接攻击弹药(JDAM)智能炸弹组件,以及多艘海军舰艇等 30 GB 的敏感数据于早前遭黑客 “ Alf ” 窃取。 据悉,该起黑客事件最早可追溯至 2016 年 7 月。不过,澳大利亚信号理事会(ASD)的监管机构于同年 11 月才发现黑客侵入国家国防承包商网络系统,并持续访问一段时间后窃取大量敏感数据。负责该案件的 ASD 应急主管 Mitchell Clarke 表示,国家机密信息受国际武器条例(ITAR)的限制,而该系统是美国设计用来控制国防与军事相关技术出口的网络系统,因此被盗信息并非军事机密。 调查显示,由于受害公司所有与 IT 相关的权限均由工作人员轮流负责且管理时长为九个月,员工流动几率极高,因此容易导致公司内部信息的泄露。此外,知情人士透露,ASD 经调查发现黑客 “ Alf ” 访问系统内部文件极其容易,因为该公司 IT 系统存在一处安全漏洞,即所有服务器均使用默认管理员登录 ID 与密码,从而允许黑客轻松破解后访问系统内部域控制器、远程桌面服务器,并发送电子邮件以及其他敏感信息。 然而,研究人员还发现公司所有服务器上既没有设置 DMZ 区防护,也没有常规的漏洞修补方案,让人着实担忧。最后,Clarke 在报告中强调,各企业理应加强系统补丁修复、更改设备默认密码,以便保护企业网络安全、减少黑客事件发生。 附:《 2017 ACSC 安全威胁报告(PDF)》 原作者: Stilgherrian, 译者:青楚  本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

新型恶意软件 FormBook 瞄准美韩航空、国防与制造业展开网络钓鱼攻击

据外媒 10 月 10 日报道,网络安全公司 FireEye 研究人员近期发现一款新型恶意软件 FormBook,旨在针对美韩航空航天公司、国防承包商与部分制造企业展开网络钓鱼攻击。 FormBook 是一款用于窃取用户数据的恶意软件,其主要从 HTTP 会话中提取敏感数据、按键记录以及剪贴板内容。据悉,自 2016 年初以来,多数黑客论坛均出售了该恶意软件的 Windows 版本。此外,经调查显示,FormBook 还可以从命令与控制服务器上执行特殊命令,包括下载恶意软件并执行其他文件、启动进程、关闭并重新引导受感染系统以及窃取 cookie 会话与本地密码等。 图:附带恶意软件的电子邮件 然而,FormBook 还具备一个最 “有趣” 的功能–允许恶意代码将 Windows’ntdll.dll 模块从磁盘读入内存,并直接调用其导出功能,从而使用户连接模式与 API 监视机制无效。值得注意的是,研究人员还发现攻击者在侵入目标设备后可随机更改系统路径、文件名、文件扩展名与注册表项。 研究人员透露,攻击者主要通过包含恶意附件的电子邮件进行分发,其附件包括 PDF、DOC、XLS、ZIP、RAR、ACE 与 ISO 等存档形式。据悉,该电子邮件要求用户通过附件链接下载与打印附件。一旦用户点击,目标设备将立即部署恶意有效负载。目前,该恶意链接已在全球 36 个国家共获得 716 次访问。 图:受影响国家分布比例 不过,研究人员指出,恶意软件幕后黑手在访问目标系统控制面板后将其重要信息生成可执行文件,并作为专业服务出售,其每周价格为 29 美元至 299 美元不等。知情人士获悉,虽然 FormBook 的功能或分发机制不是独一无二的,但它相对易用、实惠的定价结构和开放的可用性,都成为不同技能水平网络犯罪分子的选择。目前,通过 FormBook 成功感染目标设备的网络犯罪活动,包括但不限于:身份盗用、网络钓鱼攻击、银行诈骗和敲诈勒索活动。 原作者:Hyacinth Mascarenhas,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

美陆军斥资 2500 万研发可在战场上使用的物联网

类似于亚马逊 Echo 的物联网设备日益受到家庭的青睐,而美军也尝试在战场上部署相似的技术,而且已经得到了美国诸多顶尖研究型大学的帮助。由美国陆军研究院投资,伊利诺伊大学厄巴纳香槟分校和美国五家大学牵头启动了 IoBT Research on Evolving Intelligent Goal-driven Networks (IoBT REIGN)项目,总投资超过 2500 万美元,希望为军队的武器提供预测战场分析和相关服务。 据悉,项目目标是为士兵提供 “额外感官”,以便于战士增强对战场情况的了解,并提供先进的风险评估。项目并不是在现有战斗用武器或者现有基础设施上装备可编程消费设备,而是士兵可以告诉设备他/她的意图,并通过机器人工智能和自主权接管来达到目标。IoBT 项目可以预测敌方部队的运动轨迹,防止伤亡事故以及高效分析效率,以及更好的利用战地资源。 稿源:cnBeta,封面源自网络;

绕过美国制裁,俄罗斯企业照样购买微软软件

据路透社报道,虽然美国禁止本国企业与俄罗斯的国有机构商业往来,但是俄罗斯某些公司仍然设法购买微软软件。2014 年俄罗斯吞并克里米亚后,美国对俄罗斯实施制裁。但俄罗斯的国家采购数据库显示,国外政府和公司在应对美国制裁上仍有对策。 知情人士透露,由于一些用户利用微软出售流程的漏洞向其提供了虚构身份信息,因此路透社并无证据表明微软把产品直接出售给受到制裁的俄罗斯公司。对此微软发言人通过邮件回复路透社:“微软坚决致力于遵守法律要求,近几周我们已展开调查。我们在世界各地拥有有效的贸易合规流程,以确保合作伙伴符合所有规定(包括立即停止与合作伙伴的不合法销售),并采取强有力措施防止被禁止的用户获取以及使用我们的产品和服务。” 俄罗斯规定所有国有机构和公司必须在采购数据库上登记交易记录。涉及其中五笔交易的知情人向路透社确认,曾购买过微软软件。路透社对该数据库的调查发现,俄罗斯和克里米亚境内遭制裁的国有机构和公司购买微软产品的次数超过 5000 次,涉及金额大约 6000 万卢布(合103万美元)。虽然这一总额虽然相对不大,但这些软件对俄罗斯和克里米亚的许多公司和机构来说至关重要。数据库的记录也未包括私营公司,所以违背制裁购买微软产品的规模可能更大。 稿源:cnBeta、网易科技,封面源自网络 ;

微软 Outlook:加密电邮竟包含不受保护的副本

作为一款拥有巨量用户基数的邮件应用,Microsoft Outlook 被曝最近几月未能妥善地帮助用户投递加密邮件。据 SEC Consult 本周早些时候发布的报告,这个问题或与 Outlook 在发送时处理安全多用途邮件扩展(S/MIME)的加密 bug 有关。 S/MIME 是一个公钥加密标准,旨在发送和接收的全过程提供防护,即便两者之间的通道可能被别有用心的人把控,也能确保邮件内容的安全。S/MIME 的工作原理是借助接收者的公钥给邮件正文加花,后者则可以用私钥来解密信息。 据悉,通过 Outlook 漏洞发送出去的邮件包含一个 S/MIME 加密副本,以及未受保护的非加密邮件副本,从而最终允许攻击者可以访问任何一方邮箱、或者介入未加密的 “服务器-服务器” 连接,轻而易举地读取邮件内容。SEC Consult 指出:“该 bug 让 S/MIME 的加密保护彻底丧失”。 对于尚未知晓该问题的用户,还请回顾下 Outlook 应用程序中“已发送”文件夹里被标记为“已加密”的那些邮件。虽然微软已经在本周二的 “补丁星期二”(Patch Tuesday)那天进行了修复,但该公司并未向网络安全公司披露问题存续的时间。 不过,据 SEC Consult 所述,该问题至少从 5 月份持续至今。另外,在此期间(甚至更早些时候),你通过 Outlook 发送的 S/MIME 加密邮件都很有可能被第三方拦截并读取。 稿源:cnBeta,封面源自网络;

赛门铁克 CEO 称检查源代码构成了不可接受的风险

赛门铁克 CEO Greg Clark 接受路透社采访时表示,该公司不再允许政府检查其软件的源代码,担心这会危及到其产品的安全。美国科技公司为了在俄罗斯和中国等国获得产品出售许可证而允许政府检查产品源代码。 赛门铁克也曾是其中一员,允许相关政府检查其软件的源代码。但随着国家支持的黑客攻击活动的增加,允许政府检查源代码增加了安全风险,可能会导致客户失去对其产品的信心。Clark 称,检查源代码构成了不可接受的风险。 稿源:solidot奇客,封面源自网络;