IEEE P1735 电子标准描述了加密电子设计知识产权（IP）的方法，以及如何管理 IP 的访问权限；规定了用于电子设备硬件与软件的加密设计知识产权方法和技术建议，以及互操作性模型的工具和流程，其中包括选择加密和编码算法以及加密密钥管理。与此同时，它还保护了电子设备硬件与软件免于逆向工程和 IP 盗窃。 研究人员表示，由于 IEEE P1735 电子标准允许不同制造厂商的代码在硬件组件中运行以及安全交互，意味着解密过程极其复杂。因此，几乎所有的供应商都采用 IEEE P1735 电子标准保护他们的知识产权。不过，佛罗里达大学的研究人员近期在审查 IEEE P1735 电子标准时发现多处漏洞，或将允许黑客绕过安全防御体系后以明文方式访问企业知识产权。以下是研究人员发现的主要漏洞列表： ο CVE-2017-13091：在 CBC 模式下，填充的错误指定允许使用 EDA 工具破解 oracle； ο CVE-2017-13092：HDL 语法的错误指定允许使用 EDA 工具作为破解 oracle； ο CVE-2017-13093：可修改任何加密的 IP 密码，以插入硬件木马； ο CVE-2017-13094：可修改加密密钥并在任何 IP 中插入硬件木马； ο CVE-2017-13095：可修改许可证的拒绝回应； ο CVE-2017-13096：可修改权限模块以摆脱或放松访问控制； ο CVE-2017-13097：可修改权限模块以解除或放松访问控制。 原作者：Pierluigi Paganini， 译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

HackerNews.cc 11 月 4 日消息，网络安全公司 We Are Segment 研究人员 Filippo Cavallarin 近期在 FireFox 浏览器中发现一处关键漏洞 TorMoil，能够导致用户真实 IP 地址在线泄漏。该漏洞最终也将影响 Tor 浏览器，因为 Tor 服务的隐私保护核心允许用户在线匿名使用 FireFox 浏览器访问网页。据称，Linux 和 MacOS 系统的 Tor 浏览器普遍受到影响。不过，目前 Tor Project 已将 Tor 浏览器升级至 7.0.9 版本进行补丁修复。 调查显示，TorMoil 漏洞是用户在 Firefox 浏览器中处理 “file://url” 链接时发现的。据悉，当用户点击以 file://url 为开头的链接后，系统会自动触发 TorMoil 漏洞。一旦受影响用户运行的是 MacOS 或 Linux 系统，它就会重定向至另一恶意网页，从而允许攻击者远程操作用户主机系统。目前，考虑到 Tor 用户的安全与隐私问题，其研究人员并未在线公布漏洞相关细节。 Tor Project 表示，虽然现在并没有证据表明该漏洞未被国家赞助的黑客或技术高超的网络犯罪分子利用，但由于暗网市场对于 Tor 的零日漏洞需求很大，因此 Tor 代理商 Zerodium 极其担心用户遭受网络攻击。另一方面，为了保护用户的隐私问题，Tor Project 近期发布 Tor 0.3.2.1-alpha 版本，集成了最新加密技术，其中还包括对于下一代 Tor 服务的支持。 原作者：Mohit Kumar，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒 Reddit 于 11 月 4 日报道，安全研究人员 Dexter Genius 近期发现黑客利用官方 Google Play 商店作为恶意软件存储仓库、部署冒牌 WhatsApp 应用。目前，已有超过 100 万的安卓用户下载使用。研究人员表示，这似乎又是谷歌自动检测系统失败的一次例证。 左边是冒牌的 WhatsApp 应用，右边是合法的 WhatsApp 应用 据悉，研究人员在对该款冒牌的恶意应用进行反编译后发现它是一个广告加载的包装器，其中包括了下载另一安卓应用程序包（apk）的代码。值得注意的是，第二款相关联的恶意应用试图隐藏自己，因此它不仅没有名称，而且还使用了一个空白的图标进行伪装。 调查显示，这个冒牌的应用似乎由合法的 WhatsApp 公司开发，但仔细观察后发现开发人员在名字的末尾添加了两个字节（0xC2 0xA0），使其最终形成一个隐藏空间。然而，最令人难以置信的是，该黑客所开发的这款应用竟能绕过谷歌安全检测感染超过一百万设备。 目前，该款冒牌应用已被谷歌官方应用商店删除。其相关人员透露，尽管 Google 已经付出很大的努力，但谷歌在其官方应用商店上部署的自动检测系统仍然无效。 原作者：Pierluigi Paganini， 译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

捷克 Masaryk 大学的安全研究人员于今年 10 月中旬发现，德国半导体制造商英飞凌 Infineon 科技公司所采用的专用微控制器 TPM 存在一处高危漏洞 ROCA（CVE-2017-15361），允许攻击者进行因数分解攻击的同时，通过目标系统的公钥反向计算私有 RSA 加密密钥。该种攻击手段影响了公司 2012 年之前生产的所有加密智能卡、安全令牌以及其他安全硬件芯片等。 近期，IT 安全研究人员发现瑞士公司 Trub AG 为爱沙尼亚国民制造的电子身份证中所使用的加密芯片就受到此漏洞影响，因此该国认为此漏洞极有可能危及公民身份安全。随后，当局在接到风险通知后立即于本周四宣布，禁用国家发行的电子身份证的安全数字证书，以减少用户身份被盗风险。调查显示，该芯片漏洞或将危及逾 76 万爱沙尼亚国民电子身份证安全。 爱沙尼亚被认为是最具技术含量的欧洲国家。自 2005 年以来，该国最先使用电子投票，因此被称为 E-stonia。据悉，瑞士公司 Trub AG 自 2001 年以来一直为爱沙尼亚国民制造电子身份证，目前已发行 130 万张。爱沙尼亚总理 Juri Ratas 发表声明： “国家电子系统的运作是建立在信任的基础上，我们无法承担国民身份证所有者存在被盗的风险。因此国家将通过禁用电子证件的方法，确保公民身份安全 ” 。 目前，虽然并没有任何国民的电子身份发送盗窃事件，但警方和边防检查委员会，以及信息系统管理局的威胁评估表明，这种威胁极有可能变成现实。不过，好在国家警方在该漏洞曝光之后立即针对国民电子身份证系统进行升级，对此国民可以通过远程更新安全证书，或在爱沙尼亚警方和边防警卫服务站点进行更新。 原作者：Pierluigi Paganini，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

HackerNews.cc 11 月 3 日消息，思科 Talos 团队近期发现网络犯罪分子正利用搜索引擎优化（SEO）的关键字集合部署恶意链接，旨在传播银行木马 “ Zeus Panda （宙斯熊猫）” 后窃取用户财务凭证与其他敏感信息。据悉，黑客主要针对与金融相关的关键字集合进行重定向链接嵌入。目前，谷歌搜索引擎也未能幸免黑客攻击。  调查显示，启动此次攻击活动的载体似乎不像以往一样使用电子邮件为基础，而是通过特定的搜索关键字集合进行恶意部署。据称，黑客通过受攻击的 Web 服务器确保恶意搜索结果在搜索引擎中排名靠前，从而增加了被潜在受害者点击的可能。目前，安全专家已发现数百个恶意网页，其专门用来将受害者重定向至托管恶意 Word 文档的另一受感染网站。一旦用户点击该恶意文档，其系统将会自动下载并执行一个 PE32 可执行文件，从而通过银行木马 Zeus Panda 感染用户设备。 据称，相同的重定向系统和相关的基础设施已被黑客用于技术支持和杀毒软件攻击，以便分发 Zeus Panda。目前，搜索引擎的查询结果指向恶意网页，包括由黑客使用的 JavaScript 代码将用户重定向至其他中间站点，这将会执行另一页面的 HTTP GET 请求。此外，黑客为了改善感染过程，还实施了多阶段攻击部署。 值得注意的是，该恶意软件会自动检查系统语言，发现设备使用俄语、白俄罗斯语、哈萨克语或乌克兰语的键盘布局，则会暂停攻击。此外，安全专家还发现该恶意软件会造成大量异常调用，从而导致沙箱崩溃、阻止杀毒软件的检测与分析。安全专家表示，黑客还在试图寻找新攻击方式诱使用户运行恶意软件，而这些恶意软件可以通过各种有效负载感染潜在受害设备。对此，他们提醒用户在加强系统安全防御体系的同时，不要轻易点击未经检验的文件链接，从而有效规避黑客攻击活动。 原作者：Pierluigi Paganini，译者：青楚  本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒 11 月 2 日报道，卡巴斯基实验室研究人员近期发现黑客正利用一款恶意软件 CryptoShuffler 设法从众多流行的加密货币（例如：Bitcoin、ZCash、 Ethereum、 Monero）钱包中窃取用户资金。目前，该黑客已获得逾 15 万美元比特币。 调查显示，该恶意软件最早可追溯至 2016 年年初，并一直针对流行加密货币钱包展开攻击。虽然 CryptoShuffler 活跃状态于去年年底达到顶峰后出现下滑现象，但研究人员近期发现该恶意软件于今年 6 月就已开始试图在雷达监控下运行。知情人士透露，CryptoShuffler 在感染受害用户的计算机设备后，开始监控用户剪贴板记录。据称，该恶意软件仅用于替换用户比特币钱包的合法地址时拦截了货币的传输，从而窃取用户大量资金。 卡巴斯基实验室的恶意软件分析师 Sergey Yunakovsky 表示：“该恶意软件运行方案简单有效，既无需访问池、无需网络交互、也无需任何可疑的处理器负载，因此 CryptoShuffler 是一个完美的例证。” 原作者：India Ashok，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

HackerNews.cc 11 月 2 日消息，波兰研究人员 Wojciech 近期发现澳大利亚数据泄露，近 5 万名政府和私营企业员工的敏感信息在线曝光，其中包括用户姓名、身份证号码、密码、电话号码、地址、信用卡信息、员工工资等详细信息。据称，这些数据均由第三方承包商托管的亚马逊 AWS S3 存储器配置不当导致。 调查显示，这一事件严重影响了国家财政部（约 3,000 名员工）、澳大利亚选举委员会（1,470 名员工）、国家伤残保险机构，以及荷兰合作银行和金融服务公司 AMP 等重要机构。然而，AMP 受到此次入侵事件的影响最为严重，有超过 2.5 万名员工的数据记录公开暴露。 AMP 发言人证实：“公司员工的部分信息确实在第三方供应商不经意下在线泄露。目前，我们已经从该存储器中移除了所有数据。AMP 极其重视用户信息安全，并将针对第三方供应商处理数据的方式进行严格处理。但对于此次泄露事件的发生，我们深表歉意。不过，好在没有任何客户遭受网络钓鱼攻击。” 澳大利亚总理和内阁的发言人在接受采访时表示，一旦澳大利亚网络安全中心（ACSC）发现此类事件后，他们将会立即联系相关承包商并与他们合作，以确保用户信息安全。据报道，Wojciech 声称他于 10 月份就已向澳大利亚国防部和 AMP 公司发出警告，但只收到政府机构的回应。目前，尚不清楚黑客是否已在线访问这些数据，因此研究人员提醒用户提高自身网络安全意识，以防黑客鱼叉式网络钓鱼攻击活动。 △ HackerNews.cc 在此提醒国内使用 亚马逊 AWS S3 存储服务的企业及时自查，以避免发生数据泄露造成不可挽回的损失。 原作者：India Ashok，译者：青楚  本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

网络安全专家 Brian Krebs 于今年 7 月发布一份报告，指出黑客利用红外插入式卡槽器针对美国俄克拉荷马城至少四家银行的 ATM 设备展开网络攻击活动。据悉，插入式卡槽器是一款采用短距离红外通信技术的超薄微型设备，隐藏在 ATM 机卡槽内捕获信用卡数据并存储在嵌入式闪存中。虽然该设备构造简单，但主要通过天线将窃取的私人数据传输至隐藏在 ATM 机外部的微型摄像头中。 近期，加拿大安全专家发现黑客正利用一款名为 “Shimmers” 的升级版红外插入卡槽器开展新一轮攻击活动，旨在窃取目标用户基于芯片的信用卡和借记卡数据。 据悉，Coquitlam RCMP 经济犯罪部门的研究人员在一次例行的日常检查中发现一款测试卡正插在 ATM 机终端运行。随后，当他们将该终端打开时，看到 4 款超薄的塑料芯片，经检测发现均附带非法获取的信用卡或借记卡数据。研究人员表示，如果这些数据被成功窃取，其极有可能被用于伪造信用卡或借记卡后获取用户资金。 调查显示，Shimmers 已经被用来攻击位于零售商店和其他公共区域的 POS 设备，且都是通过存储在芯片背面磁条上的纯文本数据实现。另一方面，Shimmers 在信用卡芯片与 ATM 机上的芯片读取器之间存在一个夹层，使其可以在芯片上记录数据并由底层机器读取。 虽然此类攻击目前只在加拿大检测发现，但执法部门正警示全球的金融机构加强安全防御措施。此外，ATM 巨头 NCR 公司曾在一份警告中写道：“黑客攻击 ATM 设备是利用了一个原理，即部分金融机构没有实现 EMV 芯片卡标准，从而导致黑客在钻取漏洞后可以窃取用户大量资金。” 原作者：Pierluigi Paganini，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒报道，韩国国会的反对派议员 Kyeong Dae-soo 10 月 30 日透露，朝鲜黑客极有可能于去年 4 月入侵大宇造船和海洋工程公司（DSME）数据库后窃取了约 4 万份文件，其中包括韩国军事机密记录，以及国家各武器军舰蓝图。 路透社援引 Kyeong Dae-soo 声明报道，这一事件由韩国国防部发现，其调查人员在分析后几乎肯定朝鲜黑客就是 DSME 被黑事件的幕后黑手，因为此次所使用的攻击手法与过去朝鲜黑客发动的网络攻击极其相似。然而，大宇造船公司的发言人表示，公司正在确认 Kyeong 的讲话细节。 此外，朝鲜于本月早些时候还被指控窃取韩国大量军事机密，其中包括 “华盛顿-首尔” 的军事行动计划，目的是 “斩首” 金** 的独裁政权。上周，英国当局还指责朝鲜策划了一场今年早些时候席卷全球的勒索软件 WannaCry 攻击事件，不过，朝鲜政府目前否认这些指控。 原作者：India Ashok，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

HackerNews.cc 11 月 1 日消息，卡巴斯基实验室研究人员近期发现黑客组织 Silence 正采用网络犯罪团伙 Carbanak 的黑客技术瞄准俄罗斯、亚美尼亚与马来西亚等国至少 10 家银行展开攻击活动。据称，该组织在使用后门程序获取目标银行持久性访问权限后开始监控员工日常操作、窃取用户敏感信息。目前，该组织已从全球各银行窃取逾 10 亿美元资金。 调查显示，此类攻击活动最早可追溯至今年 9 月，其黑客在入侵银行系统访问内部网络后获取了银行职员的重要信息，以便通过肆意分发 .chm 恶意附件开展网络钓鱼攻击活动。 诱导邮件部分内容 卡巴斯基表示，鱼叉式网络钓鱼攻击活动仍然是感染目标系统最为流行的一种方式。并且，由于此次攻击活动主要是通过受损的基础设施分发 .chm 恶意附件。因此，该黑客手段似乎是一种非常有效的传播方式，至少目前在金融机构中是这样。另外，Silence 还利用合法的管理工具运行恶意程序，从而规避目标系统雷达监测。 据悉，研究人员发现该组织利用了一种微软专有的在线帮助格式 Microsoft Compiled HTML Help （CHM）分发恶意邮件，因为 CHM 具备交互性质，可以任意运行 JavaScript 代码。对此，受害用户一旦打开 CHM 附件后，将被嵌入包含 JavaScript 代码的 .htm 文件（“start.htm”），其目标是将受害者重定向至外部恶意链接，并在自动运行有效负载后执行下一阶段操作。 start.htm 嵌入文件的一部分 随后，C&C 服务器将解压并执行恶意软件 dropper 程序，其部分负载模块将会在删除记录后帮助攻击者继续监视目标银行系统。据称，负载模块中包括一款屏幕监视器，它采用了 Windows GDI 和 API 工具通过将所有收集的位图组合在一起，从而创建了受害者活动的伪视频流。 C＆C 服务器连接程序 虽然研究人员并未公布黑客组织 Silence 窃取信息的证据，但他们证实此类攻击仍在继续且普遍针对金融机构展开攻击。这是一个非常令人担忧的趋势，因为这是网络犯罪分子在攻击中取得成功的表现。目前，卡巴斯基实验室仍在继续监控此类攻击活动，并强烈建议各金融企业加强自身系统防御体系，以抵御黑客攻击活动。 附：卡巴斯基实验室原文报告《Silence – a new Trojan attacking financial organizations》 原作者： Pierluigi Paganini，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。