安全快讯Top News

斯诺登曝光 NSA 澳洲秘密监控机构 Pine Gap:窃取境外国家军事系统情报、为美军提供监控支持

据外媒 8 月 20 日报道,前美国国家安全局(NSA)合同制员工爱德华·斯诺登(Edward Snowden)最新曝光的 NSA 文档揭露了美国在澳大利亚北部偏远小镇设立的一家秘密设施机构,以密切监测无线通信信号、协助美军展开军事行动。  调查显示,该文档来自斯诺登于 2013 年从 NSA 窃取的大量机密资料,介绍了美国政府全球监控计划的规模。美国知名新闻媒体 The Intercept 在线公布该机密文档详细内容,其中提及了这家代号为 “ Rainfall ”、正式名称为 “ Pine Gap 联合防务设施 ” 的秘密机构。 Pine Gap 位于爱丽丝泉城外,以支持美国与澳大利亚的国家安全为目标,部署了帮助美军特种部队与无人机设施定位目标的先进卫星技术,在核查军控与裁军协议并监督军事发展方面做出重大贡献。此外,Pine Gap 实际功能要比澳大利亚或美国政府公开承认的能力更为强大。 Pine Gap 使用的卫星 geosynchronous 位于地表上空逾 20,000 英里的轨道,其通过配备强大的监控地面无线通信信号(例如:移动设备、无线电与卫星上行链路发射与接收的信号)技术实现 “ 对地同步 ”。据透露,这些卫星除收集军事战略与战术、科学、政治、经济通信信号、密切关注目标国家导弹或武器测试外,还窃取境外国家军事数据系统情报、为美军提供监控支持。 此外,该设施机构不仅收集信号,还会对其进行分析,因为它几乎可以对地面至太空的导弹、高射炮或战斗机进行侦测、收集、记录、处理、分析与输出报告。据《悉尼先驱晨报》于 2013 年报道,Pine Gap 在一项颇具争议的美军无人机行动中扮演重要角色,导致数百名无辜平民伤亡。 五眼联盟成员内部分享秘密情报并不罕见,但在特朗普领导下,无人机与特种部队作战数量较以往翻一番,这在一定程度上放松了防止空袭造成平民伤亡的战场规则,尽管 Pine Gap 官员一再声辩将平民伤亡数量减少到最小程度属于高优先级。 原作者:Check Point,译者:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Check Point 安全报告:LinkedIn Messenger 存在多处高危漏洞,允许肆意传播恶意文件

流行的商业社交网络 LinkedIn 已在全球 200 多个国家拥有超过 5 亿会员。无论您是一名经理想要扩大团队力量还是一名毕业实习生寻找求职机会,LinkedIn 都是扩展职业关系的首选之地。其中该网站最常被使用的平台 Messenger 允许用户轻松发送简历、传递学术研究并在线分享职位描述。 据外媒 8 月 18 日报道,Check Point 研究人员发现 LinkedIn Messenger 平台存在多处高危漏洞,能够允许攻击者肆意传播恶意软件。目前,为保护用户信息安全,LinkedIn 只允许用户通过 Messenger 平台发送的文件类型有: 文件:csv、xls、xlsx、doc、docx、ppt、pptx、pdf、txt; 图片:gif、jpeg、jpg、png; Check Point 研究人员在一次试验中发现,攻击者可以绕过 LinkedIn 安全防御限制,并将恶意软件附加至 Messenger 服务模块,以感染收件人的系统网络。最终 Check Point 确定四处安全漏洞并于今年 6 月 14 日通知 LinkedIn,LinkedIn 安全团队经检测研究后在 6 月 24 日提供了修复补丁。 ○ 漏洞 1:编写恶意 PowerShell 脚本 攻击者编写了一份恶意 Power Shell 脚本,并将其保存为 .pdf 格式后上传至 LinkedIn 的 CDN 服务器: 然后攻击者继续发送 .pdf 文件。与此同时,攻击者在此阶段控制文件名称(Name 参数)、文件格式(MediaType 参数)与文件扩展名。当受害者下载并打开文件时,将会当即执行 Payload 、感染受害者设备。 ○ 漏洞 2:更改注册表文件数据 REG 是可以在 Windows 注册表数据库中进行更改的文件类型。简而言之,注册表包含重要数据,如程序参数、动态窗口模块、安装/卸载程序列表等。REG 文件类型主要为高级用户设计,以便他们更容易地执行所有更改而不是手动应用。然而,攻击者就是通过制作一个包含恶意 PowerShell 脚本的 REG 文件,并将其伪装成 .pdf 格式后通过 LinkedIn 平台发送给目标受害者。当受害者打开文件并触发恶意软件后,攻击者即可控制用户设备。 ○ 漏洞 3:注入宏病毒代码 攻击者编写了一份嵌入宏病毒的恶意 XLSM 文件,允许绕过杀毒软件检查后成功上传至 LinkedIn 的 CDN 服务器并发送给受害者。当受害者打开恶意 XLSM文 件时,受害者设备将当即遭受感染。 ○ 漏洞 4:编写包含 OLE 的恶意文件(CVE 2017-0199) 攻击者通过编写包含外部对象的恶意文件 DOCX 后,上传至 LinkedIn 的 CDN 服务器并绕过杀毒软件发送给受害者。当受害者打开恶意 DOCX 文件时,WINWORD 会通过目标对象链接自动下载并运行 HTA 文件。一旦成功执行 HTA 文件,受害者设备将当即遭受恶意软件感染。(观看演示效果可点击此处) 原作者:Check Point,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

电子前哨基金会宣布 2017 先锋奖名单,告密者 Chelsea Manning 入选

电子前哨基金会(EFF)宣布,告密者 Chelsea Manning、Techdirt 创始人 Mike Masnick 和言论自由捍卫者 Annie Game 赢得了2017 年度的 EFF 的先锋奖,认可他们是扩大电子前哨自由和创新的先锋。 颁奖典礼将于 9 月 14 日举行。Chelsea Manning 是美国前陆军情报分析师,在伊拉克服役期间泄漏了美国数十万份机密战争文件和国务院外交密电。此前,她被判 35 年徒刑,今年 1 月离任的美国总统奥巴马减免了她的剩余刑期。Mike Masnick 是史翠珊效应的提出者,Annie Game 是 IFEX 全球公民自由和记者组织的执行董事,在十多年里致力于解救被关押的记者和捍卫被专制政府打击的在线活动人士。 稿源:solidot奇客,封面源自网络;

微软 Word 漏洞:黑客可利用链接自动更新安装恶意软件

根据外媒消息,SANS 互联网中心的一名自由安全顾问和 Handler 在微软 Word 中发现了一个非常有趣的漏洞,允许攻击者滥用 Word 程序自动更新链接的功能。这是一项默认启动的功能,当用户添加外部来源链接时,Word 就会自动更新这些链接而无任何提示。 安全顾问 Xavier Martens 在自己的博客文章中解释了这个漏洞:“感染载体文件可(’N_Order#xxxxx.docx with 5 random numbers)作为附件被接收,它具有把链接嵌入到另外一个文件的能力,这是一个试图利用漏洞( CVE 2017-0199) 的恶意 RTF 文件。” CVE 2017-0199 是一个高危漏洞,允许黑客在用户打开包含嵌入式的文档时下载并执行包含 PowerShell 命令的 Visual Basic 脚本。此外 FireEye 也观察到了 Office 文档利用 CVE 2017-0199 下载来自各个不同知名恶意软件家族的可执行恶意软件。 利用 CVE 2017-0199,Word 文件可访问恶意 RTF 文件,如果成功,它会自动下载一个 JavaScript 有效载荷,而链接的更新会在没有用户交互的情况下触发,它不会对用户发出操作提示警告。这似乎引起了恶意软件代理商的关注,除了 FireEye 发现 CVE 2017-0199 已经被利用之外,Trend Micro 也发现了这个问题。不过,用户如果在 4 月份的时候更新了 CVE 2017-0199 的补丁,可以免受这个攻击威胁。 稿源:威锋网,封面源自网络;

FBI 警告私营部门禁用卡巴斯基安全软件

FBI 警告私营部门停止使用俄罗斯安全公司卡巴斯基的安全软件,声称它是国家安全的威胁。FBI 的目的是让美国企业尽可能快的从其系统中移除卡巴斯基。 据悉,FBI 优先警告能源行业以及使用工业控制系统和 SCADA 系统的企业。与此同时,俄罗斯也正努力移除美国科技公司如微软的操作系统。彭博商业周刊此前报道称,卡巴基斯与俄罗斯情报机构有着比它声称的更密切的合作关系。卡巴斯基则坚称它与该国政府没有任何不恰当的关系,它与政府合作主要是打击网络犯罪。 稿源:solidot奇客,封面源自网络;

黑客可利用音乐信号监听 18 厘米以内的智能设备

据外媒报道,一群学生黑客演示了如何使用音乐将智能设备变成监听仪器。这种技术将人耳听不到的声呐信号植入到智能手机或电视机播放的歌曲中,然后利用这些设备的麦克风或音箱来监听声呐信号的反射方式,从而跟踪附近人的一举一动。 华盛顿大学的研究团队 CovertBand 是这项技术的开发者。他们利用一台 42 英寸的夏普电视机在西雅图五个不同的家庭里分别进行了试验。他们发现,这种技术能够准确跟踪监听 18 厘米范围内多个人的一举一动,甚至能够区分他们的特定动作和姿势。这项技术还能够隔着墙壁监听人们的举动,但是准确率相对较低。此外,他们还通过演示证明,聆听音乐的人无法区分含有隐藏声呐信号的歌曲和不含有声呐信号的歌曲。 至于在智能设备中植入恶意代码,那就更简单了。近些年,智能设备不断涌现,它们已被证明很容易遭到黑客攻击,而智能手机就更容易遭到黑客攻击了。CovertBand 只需要一个音箱或麦克风就可以将智能电视机或智能手机变成监听器。 稿源:腾讯科技,封面源自网络;

Chrome 将会对 HTTP Web 表单显示不安全警告

Chrome 和 Firefox 主要浏览器开发商正致力推动 Web 的 HTTPS,逐渐采取措施对 HTTP 网页显示不安全警告。 据悉,Chrome 从 4 月开始对输入密码或信用卡号码的 HTTP 网页显示不安全警告。从今年 10 月开始,Chrom 62 将会增加两种不安全警告的显示情况:用户在 HTTP 页面输入数据,或者在隐身模式下浏览 HTTP 网页。Google 最终计划将所有 HTTP 网页标记为不安全。 稿源:solidot奇客,封面源自网络;

美国 NIST 提出新安全草案:首次将隐私权纳入国家核心范围

据外媒 18 日报道,美国国家标准技术研究所(NIST)近期提出新 IT 安全措施草案,其首次将隐私权纳入国家核心文本,并将安全领域扩大至物联网与智能家居技术。 该草案中的 “ 信息系统与组织的安全和隐私控制 ” 将成为美国执法的标准与指导方针,并作为更广泛行业的基准。因此,它可能对美国技术的使用与实施产生巨大影响。 据悉,该草案的前言参考今年早些时候发布的网络防御任务评估,即所有新设备与系统均对国家关键基础设施存在安全隐患的一说。报告还指出,针对美国关键基础设施的网络攻击超过安全漏洞威胁,美国在未来的十年中必须积极主动的采取系统性的网络防御措施。目前,NIST 试图做到这一点,并主动推出系统性方法。 现今,数百万用户掌握着强大的计算机设备,导致 NIST 的审查不得不考虑到公民隐私安全问题,因此隐私已成为该报告核心内容。报告指出,NIST 最终目标是使国家信息系统能够轻松抵御威胁,减少攻击破坏并使系统迅速恢复。值得注意的是,该报告部分内容此前仅影响美国联邦机构,但现今 NIST 已开始积极将其投放至私营企业并希望建立一个更完整的弹性网络。 除此之外,NIST 还提出一个特定的隐私计划和以隐私为重点的单独培训,其中包括两个广泛的附录,这些附录可以追踪文件中所有不同名称与编号的控件隐私要求和注意事项。 NIST 呼吁各组织机构: ○ 建立和维护一个全面的隐私计划 ○ 确保符合隐私要求并管理隐私风险 ○ 监督联邦法律、法规和变更政策 ○ 指派一名高级机构官员监督项目进程 ○ 确保隐私计划与其他项目之间的协调 总体而言,虽然文档篇幅较长且密集但它是网络规则的关键文档,将适用于成千上万不同 IT 系统、囊括对隐私与传统服务器设备的多项考虑。据悉,该草案的征求意见截止于 9 月 12 日,NIST 希望能在 10 月份发布最终草案并在年底之前正式推出。 原作者:Kieren McCarthy,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

黑客伪造合法加密货币交易平台 Bittrex,窃取用户登录凭据与账户资金

据外媒报道,安全专家近期发现黑客伪造美国合法加密货币交易平台 Bittrex,旨在窃取用户登录凭据与账户资金。 美国加密货币交易网站 Bittrex 于 2015 年正式推出,支持包括比特币在内的数百款加密货币交换。不过,它仅支持英文且尚无任何联盟计划。Bittrex 由专业人士操作,主要目标是赢得客户信赖,确保货币交易更加安全快速。 据悉,一名在线用户于 8 月 15 日首次发现自身 Bittrex 帐号遭黑客入侵,且被盗约 2000 美元。研究人员随后经调查发现,黑客模仿合法网站 Bittrex 创建虚假交易平台,甚至连登录页面都极其相似,以诱导受害者泄露自身登录凭据。不过,伪造的 Bittrex 网站存在微小差异。例如,该虚假网站域名为 Blttrex.com,它使用字母 “ l ” 取代 “ i ”。 一家提供 IP 地址信息的知名平台 who.is 向媒体透露,虚假的 Bittrex 网站由俄罗斯公民 Sergey Valerievich Kireev 注册,其网站收集的所有地址、电话号码、城市与邮政编码均可在 who.is 平台使用。另外,虽然该网站已处于离线状态,但尚不清楚是否被托管公司强制下线。目前,Bittrex 尚未对此进行回应。 原作者:India Ashok,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Secure Enclave 解密密钥曝光,苹果不予理睬

8 月 20 日消息,黑客 xerub 于近期发布 Secure Enclave Processor 固件 “ 解密密钥 ”。当时专家就已提醒过用户,接下来会有一场关于这个固件的 “ 解密密钥 ” 风波。用户大可放心,这个解密密钥不会影响到 Secure Enclave 安全。苹果方面好像也不会对此采取什么特别措施。 根据外媒的最新消息,某知情人士称苹果方面已经表示,保存在这一密码协处理器中的数据仍得到安全的保护,苹果不打算修复任何问题。该知情人士说:“ Secure Enclave 中有多个安全层,即使有固件解密密钥,那也无法访问数据保护类信息”。也就是说苹果非常自信,认为对 Secure Enclave 固件的分析不会影响到任何加密密钥、支付标记、指纹数据和其他安全保存在这个协处理器加密内存中的信息。 对此,黑客表示:“苹果的工作就是尽可能让 Secure Enclave 安全。这是一个持续不断的过程,不存在你可以说‘它现在是 100% 安全’的情况 ”。Secure Enclave 是独立于主处理器和整个系统的。它有自己的固件,独立更新,断绝与主处理器之间的一切联系。设备对 Secure Enclave 所做的事情是一无所知的。 稿源:cnBeta、威锋网,封面源自网络;