安全快讯Top News

取钱要当心:新型 ATM 红外卡槽盗刷器已出现

据外媒 7 月 16 日报道,网络安全专家 Brian Krebs 近期发布一份报告,指出黑客利用红外插入式卡槽器针对美国俄克拉荷马城至少四家银行的 ATM 设备展开网络攻击活动。 插入式卡槽器是一款采用短距离红外通信技术的超薄微型设备,隐藏在 ATM 机卡槽内捕获信用卡数据并存储在嵌入式闪存中。该设备虽然构造简单,但主要通过天线将窃取的私人数据传输至隐藏在 ATM 机外部的微型摄像头中。 调查显示,这种设计可以帮助黑客减少维护成本。例如,可直接将设备留在 ATM 机插槽中更换电池。Krebs 表示,黑客近期对设备进行了优化处理,改用嵌入式电池并仅当用户将信用卡插入 ATM 机卡槽时才会开启窃取功能。 黑客还能将摄像头巧妙安置在隐蔽的地方,例如 ATM 机旁边的置物架或 ATM 机上方的安全镜中(部分 ATM 机允许合法放置安全镜,以便用户发现身后是否有人偷窥)但通常做法是在密码键盘上方或旁边装置针孔摄像头。 目前,美国俄克拉荷马城至少有四家银行的 ATM 机受到影响。安全研究人员建议广大用户在ATM 机输入密码时用手遮挡,以防偷窥。 原作者:Pierluigi Paganini,译者:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

安全报告:亚马逊 S3 存储服务器错误配置引发数据泄露

安全公司 Detectify 顾问 FransRosén 于 7 月 13 日发布一份报告,指出网络管理员经常忽略亚马逊( AWS )访问控制列表( ACL )规则,导致服务器因错误配置导致大量数据在线泄露。     Detectify 公司认为,尽管服务器配置错误的原因各不相同,但在 AWS S3 存储设置访问控制时,多数漏洞服务器均由常见问题导致。随后,研究人员通过一系列不同错误配置原因证实,由于服务器与目标系统 ACL 的配置极其薄弱,导致黑客可以随时操控、监视与破坏高端网站。 据悉,在该份安全报告中,Rosén 指出 AWS 服务器中存在一处关键漏洞,允许攻击者识别 S3 存储服务器的名称信息、利用 AWS 命令行工具跟踪 Amazon API。如果操作正确,攻击者便可访问 S3 列表并读取文件获取信息。此外,攻击者不仅可以将文件写入并上传至 S3 存储服务器中,还可更改用户访问权限。研究人员表示,由于 AWS S3 的访问控制列表配置错误,攻击者在获取访问权限后允许访问服务器敏感数据。 如果将访问控制设置为 “ AuthenticatedUsers ”,就意味着任何用户均拥有一套有效的 AWS 凭据,其基本由用户注册 AWS 账户获得。不过,用户在看到这个访问控制选项时可能会将身份验证与审核授权混淆。如果 S3 存储服务器配置错误,那么攻击者唯一需要的就是服务器名称信息。 Detectify 表示,识别服务器名称信息及其所属公司的操作极其简单,存在多种不同方法强制 S3 存储服务器显示,包括查看服务器 Amazon S3 的 HTTP 响应。Rosén 表示,他无法确定近期 Verizon 服务器泄露事件缘由是否遇到同样的错误配置问题。但他发现,目前共有 40 家公司在出现错误配置时遇到不同的访问控制问题。 日前,亚马逊发表声明指出这并非漏洞。虽然 AWS S3 服务器配置不正确,可能会导致泄漏数据,但他们无法防止用户操作无错误出现。目前,AWS 已提供一些工具,以便用户更改并锁定服务器访问权限。 原作者:Tom Spring,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

美国将设立网络战司令部,网络与陆海空一样成为战场

美联社昨日援引美国官员的消息称,经过了数月的延迟之后,美国政府现已决定设立独立的网络作战司令部,以提升美国对“伊斯兰国”( Islamic State )恐怖组织和其他敌对势力发动网络战的能力。根据美国政府的计划,当前的网络战司令部将与美国国家安全局( NSA )相分离,成为一个独立的作战司令部。目前该计划的细节内容仍在制定中,预计与未来数周正式公布。 其目的就是,给予美国网络战司令部更大的自主权,不再受 NSA 的限制。业内人士称,将网络战司令部升级为一个独立的作战司令部,意味着美国把网络空间视为与陆海空一样的战场,这同时也表明美国所遭受的来自其他国家、恐怖组织和黑客的网络威胁日益严峻。 美国国防部长阿什顿·卡特( Ashton Carter )去年 4 月曾表示,应该对网络司令部进行升级。他认为,在新的作战形势下,网络司令部的地位应该提高,在跨区域性新型威胁日益猖獗的今天,网络司令部在应对“伊斯兰国”恐怖组织中已经起到巨大作用。 虽然网络战司令部将成为一个独立的作战司令部,但要像其他司令部那样真正独立可能还需要一段时间。当前,网络战司令部严重依赖于 NSA 的技术、员工和设备。要想真正独立,具备作战指挥能力,还需要招聘和培养更多的网络专家。 当前的网络战司令部由奥巴马政府于 2009 年设立,是美国战略司令部下属的子部门,主要负责选拔实施网络战的人才,组织、培训和装备美军“网络战特种兵”。 根据最新计划,升级后的网络战司令部将由陆军少将威廉·梅维尔( William Mayville )领导。梅维尔是一名经验丰富的指挥官,参加过伊拉克和阿富汗战争。 稿源:cnBeta、新浪科技,封面源自网络

无惧数据泄露:IBM Z 大型机将带来全时端到端数据加密

国际商用机器公司近期宣布最新 IBM Z 大型机,它将加密技术运用到了从云服务到数据库等各个方面,能够对企业内的所有数据进行全时加密。据悉,IBM Z 每日可运行超过 120 亿起加密事务。加密是一项重要的安全特性,但此前因为其非常昂贵和耗费很多计算周期而未能普及。该公司指出,2016 年发生了 40 亿+条数据记录泄露,较 2015 年剧增了 556 % 。 过去 9 年时间里,共有 90 亿记录泄露,但其中仅有 4 % 经过了加密。尽管数据很是惊人、且有关方面施行了一波新的监管规定,但行业依然没有实现大规模的数据加密。在 150 个大客户的建议下,IBM Z 的出现,就是为了解决这个问题,它可以说是 15 年来的一次重大变革。 IDC 服务于计算平台事业部分析师 Peter Rutten 在一份声明中称:“IBM Z 是将加密设计延伸到无处不在的首个全方位解决方案,可以应对我们在过去 24 个月里见到过的各种漏洞和安全威胁”。为了处理加密算法,IBM Z 增加了 400% 的芯片。在此之前,企业只能选择性地在执行劳动密集型任务的某段时间内加密少量数据,而无惧数据泄露的 IBM Z 就是为了处理巨量数据而生。 IBM Z 符合欧盟最新的《通用数据保护条例》,与基于英特尔 x86 处理器的平台相比,它的数据加密速度快了 18 倍、同时成本仅为前者的 5% 。IBM 还宣布了采用 IBM Z 作为加密引擎的最新区块链云数据中心。该引擎能够全时加密与任意应用程序、云服务或数据库相关的所有数据。这意味着当数据从一个地方迁移至另一处时,将不再会被黑客们恶意攻击窃取。IBM Z 配备了业界最快速的微处理器、以及一套全新的可扩展系统架构。 与上一代(IBM z13)系统相比,其在传统工作负载下的性能提升 35%、Linux 性能更是提升了 50% 。由于当前基于 x86 环境的数据加密解决方案会极大地影响性能和用户体验,造成其在企业数据中心和云数据中心上普遍缺位。另一方面,企业想要符合监管规范的话,又太过麻烦和昂贵。正因如此,每天仅有约 2% 的企业数据被加密。作为对比,超过 80% 的移动设备数据都是被加密的。 稿源:cnBeta;封面源自网络

美媒:卡塔尔断交危机因阿联酋派黑客散布谣言

英国路透社 7 月 17 日援引美国《 华盛顿邮报 》报道称,阿联酋 5 月时安排黑客攻击卡塔尔政府的社交媒体和新闻网站,散布虚假的卡塔尔国家领袖言论,导致卡塔尔 6 月遭到 4 个邻国断交。 卡塔尔国家领袖塔米姆·本·哈迈德·阿勒萨尼 5 月时,传出曾经称赞巴勒斯坦伊斯兰教军事组织 “ 哈玛斯 ”,并称伊朗是 “ 伊斯兰力量 ”,导致沙特阿拉伯、阿联酋、埃及和巴林在 6 月 5 日指控卡塔尔支持恐怖主义,并宣布和卡塔尔断绝外交和交通往来。卡塔尔虽然在 5 月底表示是黑客假装成阿勒萨尼发言,但是海湾国家不相信其说词。 报道称,美国情报官员上周获悉新资料显示,阿联酋高级官员在 5 月 23 日曾经讨论过这个黑客攻击,刚好就是假发言出现的前一天。《华盛顿邮报》引述美国官员表示,仍不确定是阿联酋政府自行发动这次黑客攻击,还是付钱请黑客代劳。 阿联酋大使 Yousef al-Otaiba 已否认这项指控,他在声明中强调卡塔尔的确是始作俑者,资助、支持和帮助极端组织如塔利班、哈玛斯等,而且还煽动暴力、鼓励民众激进化,破坏邻国的稳定。目前,美国国务院拒绝对此消息发表评论,美国联邦调查局之前就传出和卡塔尔联合调查黑客攻击的消息。 稿源:新浪科技、环球网;封面源自网络

澳大利亚希望科技公司解密犯罪嫌疑人信息

澳大利亚宣布了一项新法案,如果通过,将允许国家强制 Facebook 和 Google 等全球科技公司帮助警方解密极端分子和罪犯发送的用户信息。专家警示,弱化的加密可能会导致黑客获取信息。 新法律基于 “ 2016 年英国调查权力法案 ”,将于 11 月份之前被提交到澳大利亚议会审核,如果这项法律通过,这将使法院有能力迅速让科技技术公司解密相关信息。 澳大利亚总检察长表示,现在的通讯加密技术越来越复杂,让执法机构越来越无法找出恐怖分子、毒品贩运者和恋童癖罪犯。澳大利亚政府需要科技公司在这方面合作。技术公司有一个非常自由的文化,但在道义上他们应该同意政府解密用户内容的要求。否则,澳大利亚执法能力将面临史上最大降幅。 澳大利亚联邦警察局表示,过去几年,加密流量从 3% 增加到 55%,有组织犯罪调查(包括恐怖主义和恋童癖犯罪)案件当中 65% 涉及加密。 稿源:cnBeta;封面源自网络

美国国务院高级情报官员私人邮件账户遭黑客入侵

据外媒 7 月 15 日报道,美国国务院高级情报官员的私人 Gmail 帐号遭未知名黑客以 Jonnie Walker 的虚假身份侵入并被窃取大量重要资料。随后,黑客在线群发电子邮件,声称美国国务院高级官员的私人电子邮件帐户中包含一系列机密信息,其工作重点在俄罗斯地区。 目前,虽然美国国务院既不承认也不否认黑客所泄露邮件内容的真实性,但国务院发言人表示,他们非常清楚黑客组织经常攻击美国政府与企业领导人员的电子邮件帐户。而作为政策问题,他们暂不讨论黑客的具体意图。 出于安全原因,尚未公布该名情报官员身份,但外交政策报告中指出该官员主要为国务院情报与研究部门工作。消息显示,被黑客群发的电子邮件内容主要包括俄罗斯专家与该地区中央情报局官员、其他情报机构、主流媒体、非政府组织与国际基金会之间的密切通信。 原作者:India Ashok,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

研究报告:恶意软件即服务为黑客提供更多网络犯罪平台

近年来,随着网络犯罪分子以组织化形式存在,黑客攻击手段已越来越多的被用于商业化发展。即网络犯罪分子可通过租用扩展黑客工具与技术(漏洞套件、勒索软件)构建威胁发动攻击,将其演变成大型企业攻击活动。调查显示,恶意软件即服务(MaaS)的普及滥用日益增加,为网络犯罪分子提供了包括勒索软件即服务(RaaS)、DDoS 即服务、网络钓鱼即服务等在内的一系列服务攻击模式。近期,两组研究人员发现两起类似服务攻击活动。 恶意软件 Ovidiy Stealer7 攻击活动 Proofpoint 安全研究人员发现恶意软件 Ovidiy Stealer7 在以俄语为主的暗网论坛中低至 7 美元出售,即便是技术小白也能轻松窃取目标设备信息。 Ovidiy Stealer 于今年 6 月开始在暗网销售,有开发团队定期更新。分析显示,该恶意软件目前具有多个版本,主要攻击包括英国、荷兰、印度与俄罗斯在内的用户设备。 研究人员发现,虽然恶意软件 Ovidiy Stealer7 单一可定制的版本价格低廉,但目标系统可执行文件仍然能够被攻击者加密并难以检测与分析。此外,恶意软件的窃取功能攻击多个应用程序与浏览器(包括 Google Chrome、Opera、FileZilla、Amigo、Kometa、Torch与Orbitum),不过网络犯罪分子也可购买仅在单个浏览器上运行的版本。目前,恶意软件正通过恶意电子邮件附件、下载恶意链接、虚假软件或各文件托管网站上的工具分发传播。 网络钓鱼攻击平台 Hackshit Netskope Threat 研究人员发现的另一种新 Phishing-as-a-Service(PhaaS)平台 Hackshit,为初学网络犯罪分子提供了低成本的 “ 自动化解决方案 ”,允许窃取用户登录凭据及其他敏感信息。 Hackshit 允许网络犯罪分子为多个目标站点(包括 Yahoo、Facebook与Google Gmail)生成独特网络钓鱼页面。 另外,Hackshit 还能够利用 Let’s Encrypt 颁发的 SSL 证书为 Web 服务器提供免费 SSL / TLS凭证,使假冒网站看起来更为逼真。 原作者:Swati Khandelwal,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

勒索软件 NemucodAES 与 Kovter 新变种通过垃圾邮件感染 Windows 设备

据外媒 7 月 14 日报道,网络安全协会 SANS Institute 研究人员近期发现攻击者利用垃圾邮件通过 .zip 附带的恶意 JavaScript 文件感染 Windows 设备。一旦受害者点击邮件,系统将自动下载并安装勒索软件 NemucodAES 与 Kovter。 NemucodAES 是 Nemucod 木马下载器的新变种,早于 2016 年就已用其传播勒索软件 Locky 与 TeslaCrypt。Kovter 则是一款感染后难以检测与移除的恶意软件,攻击者不仅可用于实施欺诈,还可窃取用户个人信息、下载其他恶意软件或访问目标系统设备。 调查显示,垃圾邮件将恶意 .zip 存档伪装成联合包裹服务通知,以诱导受害者点击查看。目标系统在感染勒索软件 NemucodAES 后解压出恶意 JavaScript 文件并发出 HTTP 请求,从而通过 RSA-2048 与 AES-128 算法加密系统文件。一旦受害者系统文件被攻击者加密,将被要求缴纳约 1,500 美元赎金。不过,由于恶意 JavaScript 文件极易检测识别,因此用户系统的安全软件将会自动筛选过滤,以防系统下载勒索软件。 Kovter 感染目标系统后将会加密端口 80、443 与 8080 上的各种 IP 流量。至于 Kovter 攻击活动,似乎仅限于检查并输出命令与控制流量,与其他恶意软件相关的典型欺诈流量相比截然不同。目前,研究人员尚不清楚攻击者的真正意图。 原作者:Tom Spring,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Google 二步认证方案将用手机提示取代短信

Google 准备修改它的二步认证方案,用移动设备上的提示取代一次性的短信代码。原因是 SS7 协议攻击允许攻击者控制用户的手机号码获取一次性短信代码。新的功能预计将从下周开始测试,Google 将邀请用户使用,用户可以选择拒绝继续用旧的认证方案。使用这项功能需要有一部联网的智能手机,苹果用户的手机需要安装 Google 搜索应用。每次用户尝试登录时,手机将会弹出提示要求用户批准,用户只需要点击一个按钮批准即可。 稿源:solidot奇客,封面源自网络