安全快讯Top News

证据显示:美国政府使用的恶意软件多年保持攻击力

兰德公司公布了最新报告,这份报告有助于揭示美国政府的恶意软件库,包括其所谓的“零日”漏洞库存数量和攻击力。“零日”漏洞即攻击电脑,智能手机和其他数字设备所使用的尚未公开的安全漏洞。该报告还提供了这些“零日”漏洞持久保持攻击力的证据。研究结果特别令人感兴趣,因为外界对美国政府使用“零日”漏洞细节所知甚少,官员长期以来拒绝公布“零日”漏洞数量和使用情况。 兰德的报告是基于所谓访问一个“零日”漏洞贩卖公司的数据库做出,这家公司在“灰色市场”上向政府和其他客户出售这些在“零日”漏洞,当天兰德研究人员看到的“零日”漏洞集合包包含大约 200 个“零日”漏洞,- 大约是一些专家认为美国政府拥有“零日”漏洞的数量。 兰德发现,这些漏洞的平均寿命为 6.9年,然后政府相关机构才会将每个目标的漏洞披露给软件制造商,或者在供应商升级代码之前,不经意地消除了安全漏洞。一些漏洞幸存下来的时间甚至比这更长。约 25% “零日”漏洞寿命为十年或更长。但是另外 25% 的“零日”漏洞在不到 18 个月就通过软件升级进行修补。 稿源:cnBeta,封面源自网络

MAC 地址随机化机制漏洞暴露真实 IP,iPhone、Google 设备皆中招

研究人员设计了一种新的攻击方法,可用于跟踪启用 MAC 地址随机化机制的移动设备。 MAC 地址是分配给设备网络接口的唯一硬编码和标识符,技术人员通常会通过 MAC 地址来跟踪用户。而 MAC 地址随机化使用广播随机 Wi-Fi MAC 地址,使得常人难以跟踪 MAC 地址。 美国海军学院的一组研究人员设计了一种新的攻击方法,可用于跟踪启用 MAC 地址随机化机制保护用户隐私的移动设备。研究人员称 96% 的 Android 设备使用的 MAC 地址随机化机制存在严重缺陷,设备在使用随机 MAC 地址时将发送无线帧与真实的全球 IP 地址。攻击者可以向 IEEE 802.11 协议客户端设备发送 RTS 请求帧,并分析其导出的全局 MAC 地址的 CTS 响应。一旦获得了全局 MAC 地址,攻击者就可以通过发送包含全局 MAC 的 RTS 帧来跟踪目标设备。 该专家组已成功测试了多个供应商存在该问题,包括 iPhone 5s、iPhone 6s、iPad Air、Google Pixel、LG Nexus 5X、LG G4和G5、摩托罗拉 Nexus 6 等。专家认为解决该问题的可行方法是制造商发布 802.11 芯片固件补丁升级。 原作者:Pierluigi Paganini,译者:M帅帅 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

已知漏洞隐患:数十万网站仍在使用老旧的 JavaScript 库

美国东北大学研究人员在对超过 13.3 万个网站进行分析后发现,竟然有超过 37% 的站点仍在使用至少包含一个已知公开漏洞的 JavaScript 库。研究人员早在 2014 年就意识到了这点 —— 加载过时的 JavaScript 库,存在被黑客利用的潜在安全隐患(比如 jQuery 和浏览器 AngularJS 框架)。他们在一篇新报告中指出,在适当的条件下,这些漏洞会变得极其危险,比如指向一个老旧的 jQuery 跨站脚本 bug(攻击者可借此向受害站点注入恶意脚本)。 研究人员们随机查看了 Alexa 排名前 7.5 万的站点(以及 7.5 万个随机 .com 域名),统计到了有 72 个不同的 JS 库版本 —— 87% 的 Alexa 站点(以及 46.5% 的 .com 站点)使用了其中一个。 研究发现,36.7% 的 jQuery、40.1% 的 Angular、86.6% 的 Handlebars、以及 87.3% 的 YUI 存有漏洞隐患;此外还有 9.7% 的站点包含 2 个(及 2 个以上的)漏洞库版本。 万幸的是,热门站点在这方面做得相对更好(用漏洞库的比例低很多),Top 100 Alexa 站点中只有 21% 躺枪。但遗憾的是,只有少量站点(2.8% 的 Alexa、1.6% 的 .com)可以通过免费补丁进行更新修复,因为大版本的跃迁(比如从 1.2.3 到 1.2.4)可能会无法向后兼容。 稿源:cnBeta;封面源自网络

英国情报机构召集各政党举行网络安全峰会,担忧俄罗斯干预选举

根据外媒周日报道,英国情报机构政府通信总部( GCHQ )召集了各英国政党举行了一场紧急首脑会议,会议的主题是俄罗斯很可能通过网络攻击干扰下届英国大选。该消息基于最近几个月里各国对克里姆林宫的一系列网络攻击指控。 泰晤士报援引英国安全部门的消息称,情报部门下一阶段将以保护英国政治制度的稳定为优先工作。GCHQ 正与各方举行一个“技术研讨会”,以帮助他们免受网络攻击影响。国家网络安全中心( NCSC )负责人 Ciaran Martin 已写信给主要政党领导人:你会从美国、德国和其他地方的网络攻击报道中意识到,英国政治制度很可能遭到敌对分子的网络攻击以破坏民主性。 原作者:Jen Offord,译者:M帅帅 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

互联网之父谈假新闻问题:令人愈发担忧

据外媒报道,近日,“互联网之父”蒂姆·伯纳斯·李 (Tim Berners-Lee) 在最新发表的一封公开信中谈了谈自己对眼下非常普遍的假新闻的看法。伯纳斯·李表示,这种情况令他愈发担忧。这并不是伯纳斯·李首次公开谈论由其在28年发明的互联网所存在的问题,先前他讨论过政府监控、网络言论自由以及关闭互联网等问题。 现在,最困扰他的 3 大互联网问题有: ① 人们开始失去了对个人数据的控制权; ② 在社交媒体平台和搜索引擎传播的错误信息和“假新闻”; ③ 网络政治广告,伯纳斯·李认为这一领域需要更高的透明度和理解。 伯纳斯·李在公开信中指出,假新闻就像是野草一样非常容易在网络的世界里生长。 “我们必须要通过鼓励像 Google、Facebook 等这些把关平台继续努力应对这一问题来抵制错误信息,与此同时还要避免决定何为‘真实’何为‘虚假’的机构产生。” 此外,这位互联网先锋者还呼吁这些平台能将它们的算法更加透明化,这样民众才能更好地明白网络新闻对作出重要决定时所带来的巨大影响。同时,伯纳斯·李还号召网友对这些网络公司、政府施压进而获得更加健康的网络新闻环境。 公开信全文查看,请戳这里。 稿源:cnBeta;封面源自网络  

新恶意软件 “ELF_IMEIJ” 利用 AVTech 监控产品收集网络数据

趋势科技发现了一个新的 Linux 恶意软件 ELF_IMEIJ ,该恶意软件针对监视技术公司 AVTech 的设备,并利用了一个 2016 年发现但尚未修复的 CGI 漏洞收集网络活动数据。 该漏洞由安全研究机构 Search-Lab 发现并于 2016 年 10 月报告给 AVTech ,但该漏洞至今还没有修复。这一新的 Linux 恶意软件会通过 39999 端口感染 AVTech 的云 IP 摄像机、CCTV 设备和网络录像机,并收集系统信息和网络活动数据,之后将执行恶意 shell 命令启动分布式拒绝服务( DDoS )攻击或终止自身。 下面是 ELF_IMEIJ.A 和 Mirai 恶意软件的对比 原作者:Pierluigi Paganini,译者:M帅帅 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

两家企业拥有的 38 部 Android 手机被预装了恶意程序

移动安全公司 Check Point Software Technologie 报告,两家企业拥有的 38 部 Android 手机被发现预装了恶意应用。报告中没有披露企业的名字,但可以确定的是恶意应用不是厂商提供的官方固件的一部分,而是在供应链的某一处加入进去的。其中六部手机的恶意程序拥有系统权限,被安装在 ROM 中,如果不刷机的话是无法移除掉的。 该公司的研究人员称,即使用户万分小心,也可能会在不知情下被恶意程序感染。大部分恶意应用主要是收集信息和展示广告,其中一个应用是勒索软件。这些 Android 手机属于众多品牌,包括三星和 LG 的多款手机,小米 4 和红米、中兴 x500、Oppo N3、vivo X6 plus、Nexus 5 和 5x、联想 S90 和 A850。研究人员称,他们并不清楚攻击者是否专门针对这两家公司,或者是更广泛的行动的一部分。 稿源:cnbeta,有删改,封面来源于网络

谷歌、微软还未从维基解密那里得到 CIA 网络攻击工具信息

外媒报道,自朱利安·阿桑奇承诺将对外公布 CIA 网络攻击工具已经过去几天。而据知情人士透露,截止到周六早上(美国时间),谷歌和微软都还没有从维基解密那里收到任何文件。 据了解,虽然谷歌官方没有对此事作出回应,但据两位消息人士披露,公司的安全部门未得到来自维基解密的联系。其中一位消息人士称,现在他们都开始怀疑这只是维基解密的一次公关活动,而不会采取进一步的实质性动作。 微软方面对此则做出了回应。该家公司的发言人指出,他们看到了阿桑奇发表的声明,但到目前为止维基解密还没有联系他们。另外,该名发言人还补充称,任何知道安全漏洞–无论是 CIA 掌握还是维基解密掌握的漏洞–的人最好将已知信息发送到 secure@microsoft.com 邮箱。 对此,维基解密还未作出回应。 稿源:cnBeta,封面源自网络

美国监管机构发布社交媒体监控工作新报告

美国国土安全部的监察长对外公开了关于监控社交媒体工作的最新报告,对最近开展的三项针对入境美国访客的社交媒体监控项目情况进行汇报,监察长在报告中评估了这些项目的准确度是否能够持续下去,该部门已经针对监控的准确度制订了若干准则,报告指出需要在未来提供更明确的监控目的。 其中一个项目包括,海关和移民服务机构使用由 DARPA 开发的一套“社交媒体监控平台”系统来手动监控入境访客,报告中的另一个项目指出,海关和移民执法机构配备了一套自动化监控工具,用来扫描非移民 Visa 签证入境者的社交媒体账号。此外今年夏天,美国海关开始要求入境访客填写一张可选表格提供社交账号,2 月份该要求扩展适用至中国访客。 对于社交媒体的监控和检查项目随着特朗普政府日渐激进的移民政策,受到越来越多的争议性批评。更加严格的手段可能会在未来部署,国土安全部秘书长 John Kelly 提出建议要求访客强制提供账户密码,近日自由民权组织发表了公开信,指责该政策为“对基本宪法权利的直接侵犯”。 稿源:cnBeta,封面源自网络

联合国隐私监督机构:大规模信息监控并非行之有效

据 IT 科技新闻网站 ZDNet 报道,CIA 监控事件爆发之际,联合国隐私监督机构发表的一份报告称,大规模信息监控对保护国家安全并非行之有效。在本周发表的一份报告中,联合国首位隐私监督人 Joseph Cannataci 教授说到,那些严重侵犯人们隐私权的法律对国家安全并没有什么作用,相反,大量收集通话记录和电子邮件等数据,存在“被敌对政府或黑客攻击”的风险。 Cannataci 教授将那些应对所谓伊斯兰威胁的法律称之为“形体政治学”,他的原话是“那些希望被看到对隐私安全有所作为的政治家们,通过立法将侵犯隐私合法化,却从来不考虑这些方法对恐怖主义是否真正有效。” 斯诺登泄密事件爆发之后,美国政府对民众信息监控出现一定程度的缓和。获得通过的《美国自由法案》将限制美国政府的大规模监控计划,然而其他国家却加大了监控计划。法国和德国在恐怖袭击之后赋予政府更大的监控权利,允许警察和情报机构监测互联网活动和通话记录。而且,去年年底,英国开放权利组织(Open Rights Group)主任吉姆•克洛克(Jim Killock)表示,英国在去年推出了“在民主制度中通过的最极端的监视法案”。 在最后的建议中,Cannataci 说,政府应该“积极探索”如何进行公平和规范的监督,同时引入友好的隐私监督保护措施。“人权是普遍的,网络法案应不仅保护隐私,而且要保护其他基本人权,”他补充说。 稿源:cnBeta、凤凰网科技,封面源自网络