俄罗斯黑客组织“数字革命”（Digital Revolution）近日宣布，成功入侵了一家俄罗斯联邦安全局 (FSB) 的外包商，并发现了后者关于入侵物联网设备的项目计划。本周该组织公布了12份有关于“Fronton”项目的技术文档、图表和代码片段。本周早些时候ZDNet和BBC Russia获取并详细阅读了这些文档，并邀请安全专家对这些报告截图进行了分析，基本上确认FSB外包商建设Fronton项目的可行性。 根据目前披露的12份Fronton技术文档，是由FSB内部部门No. 64829（也称之为FSB信息安全中心）采购的。而外包商则是InformInvestGroup CJSC，这家公司和俄罗斯政府内部建立着紧密的合作，并创建了物联网入侵工具。 根据BBC的报道，InformInvestGroup似乎已将该项目分包给了总部位于莫斯科的软件公司ODT（Oday）LLC，而后者在2019年4月遭到黑客组织Digital Revolution的入侵。 根据文件时间戳，该项目已经在2017年至2018年实施。该文档大量参考并从Mirai（一种物联网病毒，在2016年年底用于构建大型物联网僵尸网络）中汲取了灵感，用于向从ISP到核心互联网服务提供商的广泛目标发起毁灭性DDoS攻击。 这些文件建议建立一个类似的物联网僵尸网络，供FSB使用。根据规范，Fronton僵尸网络将能够对仍使用出厂默认登录名和常用用户名-密码组合的IoT设备进行密码字典攻击。密码攻击成功后，该设备将在僵尸网络中被奴役。   （稿源：cnBeta，封面源自网络。）

安全大厂卡巴斯基刚刚公布了两款危害 Android 设备的新型恶意软件，警告其可能控制用户的 Facebook 等社交媒体账户。受感染的机器会向攻击者敞开用户社交帐户的访问权限，并被广泛应用于垃圾邮件和网络钓鱼等活动。更糟糕的是，两款恶意软件会协同工作，并逐步对用户设备展开破坏。 第一款恶意软件会尝试在受感染的 Android 设备上取得 root 权限，使得网络犯罪分子能够提取 Facebook 的 cookie，并将之上传到受控服务器。 卡巴斯基指出，通常情况下，仅拥有账号 ID 是不足以控制用户账户的。网站已经采取了一些安全措施，以阻止可疑的登陆尝试。 第二款 Android 木马可在受感染的设备上设置代理服务器，使得攻击者能够绕过安全措施，从而实现对设备的几乎完全控制，以染指受害者的社交媒体账户。 庆幸的是，只有少数人受到 Cookiethief 的威胁。但估计过不了多久，类似的攻击方法会变得越来越普遍。 卡巴斯基恶意软件分析师 Igor Golovin 表示：通过结合这两种方法，攻击者可在不引起受害者明显怀疑的情况下达成对 cookie 信息的窃取和账户的控制。 尽管这是一个相对较新的威胁，迄今为止的受害者只有 1000 人左右，但这一数字仍可能进一步增长，尤其是网站很难检测到行为的异常。 尽管我们在日常的网页浏览过程中不怎么关注，但 cookie 信息其实无处不在。作为处理个人信息的一种方法，其旨在收集线上的有关数据。 最后，卡巴斯基建议用户应养成良好的习惯，始终通过受信任的来源下载应用、阻止第三方 cookie 访问并定期清除，以充分抵御此类攻击。   (稿源：cnBeta，封面源自网络。）

在上周举行的 RSA 安全会议上，微软工程师讲到，他们每月追踪到的 99.9％ 受感染帐户都没有启用多因素身份验证（MFA），而该解决方案可以阻止大多数自动帐户攻击。根据微软的数据，他们每天跟踪超过 300 亿次登录和超过 10 亿的月活用户。平均每个月约有 0.5％ 的账户被盗，在 2020 年 1 月，这一数字具体约为 120 万。 当企业账户被攻击时，情况将会更糟。微软表示，截至 2020 年 1 月，在这些高度敏感的帐户中，只有 11％ 启用了多因素身份验证（MFA）解决方案。 多数 Microsoft 帐户被黑客入侵的主要来源是密码喷洒（password spraying），攻击者通常会选择比较容易猜测的密码，挨个账户进行破解尝试，然后使用第二个密码依次尝试攻击，以此类推。 第二种主要的攻击方式是密码重放（password replays），也就是使用一套被泄露的数据，在另外一个平台尝试登入，如果用户在不同平台重复使用相同的账号密码就会中招。 微软身份和安全架构师 Lee Walker 指出，60％ 的用户会重复使用密码，最好不要这样混淆，企业和非企业环境中的账户也应区分开来。 述两类攻击基本都是针对较旧的身份验证协议进行的，例如 SMTP、IMAP、POP 等，主要原因是这些旧式身份验证协议不支持 MFA 解决方案，于是非常容易被黑客利用。 Walker 提醒那些使用旧式身份验证协议的组织，应当立即将其禁用。微软的数据显示，禁用了旧协议的租户，账户被入侵率下降了 67%。 此外，微软建议，每个组织都应优先考虑为用户帐户启用 MFA 解决方案，“这样可以阻止 99.9％ 的帐户被黑客入侵。”   （稿源：开源中国，封面源自网络。）

据外媒报道，仍有许多人在用着糟糕的密码，这是一个巨大的安全风险。很显然在这件事情上产品公司也有错，因为它们在其设备中使用了极容易被猜到的默认用户名和密码–而黑客们深谙这点。 作为一种网络攻击模式检测方式，来自安全公司F-Secure的研究人员在世界各国设置了一系列“蜜罐”诱饵服务器。黑客尝试使用的一些最流行密码出现在了许多最糟糕的密码列表中，像“12345”和“password”但“admin”被证明是最流行的。 许多黑客尝试使用的另一个密码则是“vivx”，这是中国大华公司DVR的默认密码。名单上的另外两个密码“1001chin”和“taZz@23495859”也是其他嵌入式设备的出厂默认密码，包括路由器。 据透露，99.9%的蜜罐流量来自机器人、恶意软件及其他工具。这些攻击可以来自任何联网设备，从传统的PC到智能手表乃至IoT牙刷。 大部分攻击来自美国，而最受欢迎的攻击目的地则是乌克兰，其次是中国、奥地利和美国。 值得注意的是，许多攻击者都会通过其他国家的代理展开攻击，这么做的目的当然是为了避开身份验证环节，所以这份表单的准确性还有待商榷。 当提到最受攻击的TCP端口时，SMB端口445则是当中最受欢迎的，其有5.26亿次点击量，这表明攻击者依旧热衷于使用SMB蠕虫和诸如欺骗机器人之类的攻击。Telnet以5.23亿次的点击量位居第二，这表明对IoT设备的攻击仍非常常见。 另外，该报告还提醒消费者更改设备的默认密码和出厂设置并遵守标准的安全防范措施比如说及时更新固件和补丁。另外，不要使用糟糕的密码。   （稿源：cnBeta，封面源自网络。）

Google Chrome浏览器提供了“相似网址”警告保护，以警告并使用户在访问包含与热门网站相似的URL的网站时及时离开。当发现用户访问包含风险的伪造相似地址的网站时，系统会弹出警告“您刚刚尝试访问的网站看起来是假的，攻击者有时通过对URL进行细微而难以看到的更改来模仿站点”。 Chrome最早从从v75版本开始启用的相关设置，而现在微软也已紧跟其后，Microsoft Edge的82版的Dev和Canary版本在默认情形下均已启用了此功能。 Edge在识别出风险后会建议用户访问相似或受欢迎的网站，而不是停留在当前页面上，因为攻击者可能会窃取用户的私人信息。 请注意，与将网站地址发送给Google的Chrome不同，新Edge将网站地址发送给Microsoft / Bing以在用户浏览器中查找并显示正确的网站。   (稿源：cnBeta，封面源自网络。）

一个国际研究小组去年底在《Nature Communications》期刊上发表论文，描述了一种完美保密的新加密系统，声称能对抗未来的量子计算机。英特尔公司的加密专家 Rafael Misoczki 称，完美保密是加密学中最高等级的安全观念，一个加密系统如果能实现完美保密，那么不管对手的计算能力有多强它将仍然是安全的。 绝大多数实现完美保密的尝试都集中在开发量子密钥分发系统（QKD），但部署 QKD 系统需要企业和政府投入大量资金去建造新的量子通信线路。但研究人员描述的新完美保密加密方法是基于现有的光纤通信基础设施。它不是依赖于量子物理学，而是基于混沌光状态。 受人指纹的启发，研究人员在硅芯片表面使用反射纳米盘印上点状图案，芯片的图案表面充当了激光的迷宫，光波以随机方式穿过时会正在里面反弹。不管输入条件如何，进入图案的光会产生混沌运动。 利用这套系统 Alice 和 Bob 可以创造无法拦截和监听的一次性密钥，类似 QKD。但计算机科学家对此有不同看法，他们认为论文作者对加密学的看法有着明显错误，量子计算机并不能破解所有经典加密学方法，如 AES 只要增加密钥长度仍然能抵抗量子计算机。 在加密学中运用混沌理论早在 1989 年就有人提出过，但因为存在漏洞而没有流行起来。   （稿源：solidot，封面源自网络。）

苹果的安全专家Joe Vennix发现了一个漏洞（CVE-2019-18634），它允许非特权Linux和macOS用户以root身份运行命令。 此漏洞仅能在特殊配置下利用。 仅当“pwfeedback”选项已在sudo配置文件中启用时才能利用该漏洞。root的 pwfeedback 选项允许在用户输入密码时提供视觉反馈。 专家指出，即使用户不在用户文件中也可以触发此漏洞。 “无需获得 root 权限即可触发此漏洞，只需启用 pwfeedback 即可。” sudo 开发人员 Todd C. Miller 写道。 “在输入密码时，可以通过管道大量输入sudo进行复现。例如：” $ perl -e 'print(("A" x 100 . "\x{00}") x 50)' | sudo -S id Password: Segmentation fault 造成此漏洞的原因有两个： 从终端设备以外的其他设备读取时一般不会忽略pwfeedback选项。由于缺少终端，因此行擦除字符的版本始终为初始值0。 如果存在写错误，擦除星号行的代码将无法正确重置缓冲区位置，但是会重置剩余的缓冲区长度。这将导致getln（）函数写到缓冲区以外。” 如果启用了该选项，可以在用户配置文件中将“Defaults pwfeedback” 改为 “Defaults !pwfeedback” 。 sudo 维护人员发布了 root 的 1.8.31版本。 “虽然 sudo 的1.8.26到1.8.30版本中也有逻辑错误，但是由于1.8.26之后的版本对EOF处理进行了改动，所以无法利用漏洞。”Miller解释道。 在2019年10月，Vennix 发现了一个Sudo绕过问题，即使“sudo用户配置”不允许进行root访问，恶意用户或恶意程序仍然可以在目标Linux系统上以root用户身份执行任意命令。   消息来源：SecurityAffairs， 译者：r4938n，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

谷歌更新了iOS上的Google Smart Lock应用程序。用户现在可以使用iPhone作为物理2FA安全密钥登录Chrome中的Google第一方服务。设置完成后，尝试在笔记本电脑等设备上登录Google服务，就会在附近的iPhone上生成推送通知。然后，您需要解锁支持蓝牙的iPhone，并点击谷歌应用程序中的一个按钮进行身份验证，然后才能在笔记本电脑当中登录Google第一方服务。 双因素身份验证是保护在线帐户最重要步骤之一，它提供了标准用户名和密码之外的附加安全层。物理安全密钥比当今普遍使用的六位数代码安全得多，因为这些代码几乎可以像密码本身一样被截获。谷歌之前已经允许用户使用自己的Android手机作为一个物理安全密钥，现在谷歌在iOS上提供了这个功能，这意味着拥有智能手机的任何人现在都拥有安全密钥，而无需购买专用设备。 谷歌Smart Lock应用程序通过蓝牙工作，而不是通过互联网连接。这意味着用户手机必须靠近笔记本电脑才能进行身份验证，从而提供了另一层安全保护。但是，该应用程序本身并不需要任何生物特征认证，如果用户的手机已被解锁，理论上来说，附近的攻击者可以打开该应用程序并验证登录尝试。 据Google的一位加密货币专家说，新功能利用了iPhone处理器的Secure Enclave功能，该安全区用于安全存储设备的私钥。该功能最初是在iPhone 5S上引入的，Google表示，这项安全功能需要iOS 10或更高版本才能运行。Smart Lock应用程序的新功能意味着iPhone现在可以与谷歌的高级保护程序一起使用，该程序是谷歌对网络钓鱼或其他攻击的最强保护。   （稿源：cnBeta，封面源自网络。）  

Facebook于上周解决了一个安全漏洞，该漏洞暴露了主页管理员的帐户，并且被黑客利用于向若干个名人的主页发动在野攻击。 主页管理员的帐户是匿名的，除非页面所有者选择公开，但漏洞将会泄露管理员的帐户。 Facebook的“查看编辑历史”允许主页管理员查看所有相关的活动，包括修改过帖子的用户的用户名。黑客可能根据这个漏洞泄露修改者以及管理员的账号，并严重影响隐私。 在安全研究员警告后，Facebook迅速解决了该问题。 黑客攻击的页面列表包括 Donald Trump总统，街头艺术家Banksy，俄罗斯总统Vladimir Putin，前美国国务卿Hillary Clinton，加拿大总理Justin Trudeau，黑客组织匿名人士，气候活动家Greta Thunberg，以及说唱歌手Snoop Dogg等。 2018年2月，安全研究员Mohamed Baset 在Facebook上发现了一个类似漏洞。 Baset解释说，该漏洞属于“逻辑错误”：他之前曾在一个界面点赞了一篇帖子，之后他收到来自Facebook的邀请邮件，邀请链接就指向了这篇帖子所在的页面。研究人员分析了社交网络发送的电子邮件的源代码，发现其中包括页面管理员的姓名和其他信息。   消息来源：SecurityAffairs， 译者：r4938n，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

黑客正试图利用伊朗最近可能发动网络攻击的警告，来搜集Microsoft登录凭据进行网络欺诈。由于美国和伊朗之间关系日渐紧张，美国政府就伊朗可能会对重要基础设施发起网络攻击发出警告。在这样的局势下，一名攻击者谎称自己源于“Microsoft MSA”并发送了主题为“电子邮件用户受到伊朗网络攻击”的邮件，谎称微软服务器受到了来自伊朗的网络攻击来进行网络欺诈。 仿冒邮件还写到：为了应对这一攻击，微软会将邮件和数据锁定在服务器上以此保护用户免受伤害，若想要再次获得锁定用户的数据访问权，用户需要重新登录。 关于进行网络欺诈的电子邮件 据收到该钓鱼邮件的用户Michael Gillett说：他发现该邮件能够绕过Outlook的垃圾邮件过滤器，到达收件人的邮箱中。 以下是邮件内容 Cyber Attack 我们的服务器今天遭到伊朗政府的网络攻击，为了确保您的网络安全，我们不得不采取额外措施来保护您的帐户和个人数据。 一些电子邮件和文件可能会被锁定，为了您的账户安全，您需要再次登录账户。如果您在接收电子邮件时仍有问题，请耐心等待，我们的技术支持团队正在加紧处理，会尽快恢复数据。 Restore Data 如果收件人点击“还原数据”按钮，则会返回到仿冒的Microsoft登录页面，但从URL可以看到，这并不是一个合法的Microsoft站点。 伪造的Microsoft登录页面 如果用户输入登录凭证，用户信息将会被攻击者盗取被进行其他方面的网络攻击，而这些攻击可能包括：有针对性的网络欺诈、凭证填充攻击，数据盗窃。 因此，在这里提醒用户：当收到奇怪电子邮件，要求登录账户执行某项操作时，需要保持警惕，有问题可以联系网络或邮件账户管理员。此外，用户还要注意检查包含Microsoft登录表单在内的任何登录页面的URL，而合法的登录表单会在Microsoft.com、live.com和outlook.com域上进行公布。   消息来源：bleepingcomputer， 译者：dengdeng，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接