标签: 源代码

专家发现,包含我国在内的数百万的 .git 文件夹暴露在公众面前

网络新闻研究小组发现,近200万个包含重要项目信息的.git文件夹被暴露在公众面前。 Git是最流行的开源分布式版本控制系统(VCS),由Linus Torvalds在近20年前为Linux内核的开发而开发,其他内核开发者也为其最初的开发做出了贡献。它允许协调开发源代码的程序员之间的工作,并允许跟踪变化。 一个.git文件夹包含了项目的基本信息,如远程仓库地址、提交历史日志和其他基本元数据。让这些数据处于开放状态会导致漏洞和系统暴露。例如,Cybernews最近的另一项研究发现,美国的流媒体服务CarbonTV将一台服务器的源代码开放,危及用户安全和公司的声誉。由于对.git文件夹的访问控制不佳,导致源代码泄露。 Cybernews的研究人员对最常见的网络服务端口80和443进行了研究,发现有1,931,148个IP地址的实时服务器的.git文件夹结构可以被公众访问。 “让公众访问.git文件夹可能会导致源代码的暴露。从.git文件夹中获取部分或全部源代码所需的工具是免费的,而且是众所周知的,这可能会导致更多的内部泄露,或者让恶意行为者更容易进入系统,”Cybernews的研究员Martynas Vareikis说。 超过31%的公开曝光的.git文件夹位于美国,其次是中国(8%)和德国(6.5%)。 约有6.3%的暴露的.git配置文件在配置文件本身有其部署凭证。 上面的截图显示的是.git/config文件,凭证已被遮挡。 “凭证泄露的情况更糟糕。威胁者可以利用它们来查看/访问/拉动/推动所有存储库,为恶意行为者提供更多机会,如植入恶意广告、改变内容和信用卡盗刷。Vareikis警告说:”当你有完全的权限时,可能性是无穷的。 他说,开发者需要利用.gitignore文件,告诉Git在将项目提交到GitHub仓库时要忽略哪些文件。一般来说,提交任何敏感文件都不是一个好主意,即使是提交到私人仓库。 CyberNews专家注意到,让公开暴露的网络服务器通过IP访问仍然是一种常见的做法。  域名,如cybernews.com,是为了让用户记住并方便访问,但它们的功能是作为用一连串数字表示的IP地址的别名。由于专注于保护公众使用的主要域名地址,开发人员往往忘记为相应的IP地址设置相同的访问控制规则,这可能导致威胁者修改域名和配置访问规则等。     转自 E安全,原文链接:https://mp.weixin.qq.com/s/O99zr8fKsLnfHPB3sQSdBA 封面来源于网络,如有侵权请联系删除

英特尔确认 Alder Lake BIOS 源代码已泄露

据Bleeping Computer 10月9日消息,英特尔已向知名硬件网站Tom’s Hardware确认了其第十二代酷睿处理器Alder Lake 的UEFI BIOS 源代码已经泄露。 英特尔表示:“我们的专有 UEFI 代码似乎已被第三方泄露,但我们认为这不会暴露任何新的安全漏洞,因为我们不依赖混淆信息作为安全措施。此代码包含在我们的漏洞赏金计划“Project Circuit Breaker活动中,我们鼓励任何可能发现潜在漏洞的研究人员通过该计划与我们取得联系。我们正在与客户和安全研究社区联络,让他们了解事件情况。” 10月7日,名为“freak”的 Twitter 用户发布了据称是英特尔 Alder Lake 的 UEFI 固件源代码的链接,并声称该固件是由 4chan 提供。该链接指向名为“ICE_TEA_BIOS”的 GitHub 存储库,该存储库由名为“LCCFCASD”的用户上传。其描述称“来自 C970 项目的 BIOS 代码”,总大小 5.97 GB,包括源代码、私钥、日志和编译工具,最新的时间戳显示是 2022 年 9 月 30 日,可能是黑客或内部人员复制了数据。 泄露的 Alder Lake BIOS 源代码 BleepingComputer 被告知,所有源代码都是由 UEFI 系统固件开发公司 Insyde Software Corp 开发。但泄露的源代码还包含大量关于联想公司的引用内容,包括联想字符串服务、联想安全套件和联想云服务集成代码。 目前尚不清楚源代码是在网络攻击期间被盗还是被内部人员泄露。 尽管英特尔淡化了源代码泄漏的安全风险,但安全研究人员警告称,这些内容可以更容易地发现代码中的漏洞。硬件安全公司Hardened Vault认为,即使被泄露的OEM只部分用于生产中,攻击者及漏洞猎手也能从中找出破绽,比如Insyde解决方案漏洞,并能轻松进行逆向工程,这将长期增加用户的使用风险。 Positive Technologies 硬件研究员 Mark Ermolov 也警告称,泄露的内容包括一个用于保护英特尔 Boot Guard 平台的私有密钥KeyManifest,如果该私钥用于实际生产,攻击者可能会利用它来修改英特尔固件中的启动策略并绕过硬件安全性。 BleepingComputer 已联系英特尔、Insyde 和联想,询问有关泄漏以及私钥是否在生产中使用的相关问题。   转自 Freebuf,原文链接:https://www.freebuf.com/news/346409.html 封面来源于网络,如有侵权请联系删除

泄露的英特尔酷睿 Alder Lake BIOS 的 5.9GB 源代码被发布到 GitHub 上

之前我们报道过英特尔酷睿Alder Lake BIOS的源代码已在被完整地泄露了,未压缩版本的容量有5.9GB,它似乎可能是在主板供应商工作的人泄露的,也可能是一个PC品牌的制造伙伴意外泄露的。 一些Twitter用户似乎认为该代码源自4chan。昨天,它进被分享到了GitHub,在今天早些时候被撤下之前,有人查看了它的源代码日志,发现最初的提交日期是9月30日,作者被标记为LC Future Center的一名员工,这是一家可能生产笔记本电脑的公司,该代码现在依然可以从几个镜像中获得,并在互联网上被分享和讨论。 分析所有5.9GB的代码可能需要好几天时间,但有人已经发现了一些有趣的部分。显然,有多处提到了”功能标签测试”,进一步将泄漏与OEM厂商联系起来。其他部分据称提到了AMD的CPU,这表明代码在离开英特尔后被修改了。最令人震惊的是,一名研究人员发现了对未记录的MSR的明确引用,这可能构成重大的安全风险。 MSR(特定型号寄存器)是只有BIOS或操作系统等特权代码才能访问的特殊寄存器。供应商使用它们来切换CPU内的选项,如启用调试或性能监控的特殊模式,或某些类型的指令等功能。 一款CPU可能有数百个MSR,而英特尔和AMD只公布了其中一半到三分之二的文档。未记录的MSR通常与CPU制造商希望保密的选项有关。例如,研究人员发现AMD K8 CPU内的一个未记录的MSR是为了启用特权调试模式。MSR在安全方面也发挥着重要作用。英特尔和AMD都使用MSR选项来修补其CPU中在硬件缓解之前的Spectre漏洞。 安全研究人员已经表明,通过操纵未记录的MSR,有可能在现代CPU中创建新的攻击载体。这可能发生的情况非常复杂,不一定是现在正在发生的事情,但它仍然是一种可能性。应由英特尔来澄清情况和对其客户造成的风险。   转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1324985.htm 封面来源于网络,如有侵权请联系删除

基础架构配置不当致数十家企业资料库源码在互联网上裸奔

开发者兼逆向工程师 Tillie Kottmann 通过近期收集的资料发现:由于基础架构上的配置不当,来自科技、金融、零售、视频、电商、制造等行业的数十家企业的公开资料库的源代码已在网络上被曝光。公共存储库中的泄露代码,已波及微软、Adobe、联想、AMD、高通、摩托罗拉、海思(华为旗下)、联发科、GE 家电、任天堂、Roblox、迪士尼、江森自控等知名企业。 借助开发人员工具,Tillie Kottmann 收集到了上述各种泄露源码。即便有些被标记为“机密和专有”,还是可以在 GitLab 等代码托管和公共存储库平台上被大量找到。 专注于银行业威胁与欺诈事件研究的 Bank Security 指出,库中包含了来自 50 多家企业的源码。虽然不是所有文件夹都被曝光,但某些情况下还是泄露了敏感的凭据。 由 Kottmann 分享的截图可知,本次事件波及金融科技(Fiserv、Buczy Payments、Mercury Trade Finance Solutions),银行(Banca Nazionale del Lavoro),身份与访问管理(Pirean Access:One),以及游戏等行业。     (稿源:cnBeta,封面源自网络。)

Rovnix Bootkit 恶意软件相关活动分析

今年4月中旬,相关威胁监控系统检测到借助“世界银行与冠状病毒大流行有关的新倡议”的恶意软件,扩展名为 EXE 或 RAR, 在这些文件中有著名的 Rovnix bootkit。虽然利用冠状病毒这一话题进行传播的事情已屡见不鲜,但其使用UAC旁路工具进行了更新,且被用来提供一个与众不同的装载程序的实例却很少见。 这份名为《关于世界银行与冠状病毒pandemic.exe有关的新举措》的文件,是一份自解压的报告,其中列出了easymule.exe和1211.doc。 该文件确实包含有关世界银行一项新计划的信息,并且在元数据中引用了与该组织有关的真实个人作为作者。   … 更多内容请至Seebug Paper阅读全文:https://paper.seebug.org/1248/     消息来源:securelist,译者:dengdeng。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接  

任天堂泄露事件愈演愈烈 3DS 操作系统源代码泄露

任天堂泄露事件愈演愈烈,据Resetera网友爆料,目前3DS操作系统的完整源代码已经流传到了网上。这次的泄露虽然没有包含设计文档,不过包含了许多有趣的开发文件。比方说根据Log文件中的引用,NVIDIA看起来在2006年时就曾参与到了3DS的开发中,其他泄露的文件目录可以参见此处。 考虑到3DS目前仍未淘汰,同时NS操作系统也是基于3DS操作系统,此次泄露的影响恐怕更为严重。 除此之外,《宝可梦:珍珠/钻石》的源代码也泄露到了网上,不过此次泄露中没有出现新的宝可梦原型。     (稿源:GamerSky游民星空,封面源自网络。)

银行木马 Exobot 原作者愿出售源码,或致 Android 用户处境艰难

外媒 1 月 17 日消息,安全研究人员称一个先进的 Android 银行木马 Exobot 的源代码在知名的黑客论坛上出售给不同的人群后,Android 用户的处境将会变得更糟。 这个令人担忧的木马是一种 Android 恶意软件,最早出现在 2016 年 6 月的恶意软件攻击场景中。就像今天大部分专业编码的桌面或移动银行木马一样,Exobot 一直按月租用给客户。 虽然客户无法访问 Exobot 木马的源代码,但他们可以使用 Exobot 作者提供的配置面板来编译每个客户端自定义设置的恶意应用程序。然后,租借人必须分发这些应用程序给受害者。过去两年来,Exobot 一直是最活跃的 Android 移动木马之一(其中还包括 BankBot、GM Bot、Mazar Bot,以及 Red Alert)。 最初,一些安全公司把该木马称为 Marcher,但是最终还是以其作者的名字来称呼它。在 2016 年下半年,Exobot 初期带来的利润刺激了 Exobot 的作者创造了 Exobot v2。当木马在暗网、黑客论坛、XMPP 垃圾邮件,甚至在公共互联网上大肆宣传时,Bleeping Computer 覆盖了Exobot v2 的崛起。 根据记者过去与众多安全研究人员进行对话的证据,Exobot 似乎是一个有利可图的业务,被用于全球许多国家的用户。 Exobot 作者将银行木马出售 出乎意料的是,Exobot 的作者以 “ android ” 的通用假名进行了一项重大举措,虽然事后看来这可能会给未来的用户带来很多问题。就在近日Exobot 的作者决定关闭 Exobot 租赁计划,并将源代码出售给一小部分客户。 以下是 Exobot 的作者销售广告的两幅图片,由 SfyLabs 的移动安全研究员 Cengiz Han Sahin 提供。 安全人士 Sahin 称恶意软件领域的这种说法一般意味着以下两点之一: 要么是恶意行为者注意到执法部门或竞争对手反击市场份额的兴趣激增,要么是他的生意确实非常丰富,风险或者收入不再为利益所驱动。 公众担忧 Exobot 源码被公开 但是,尽管有这些原因,Exobot 的销售会对Android恶意软件的攻击场景产生深远的影响是毋庸置疑的,即使不是马上。 有记者过去曾经报道过很多这样的事件,根据这位记者的经验和 Sahin 的预测,源代码在网上泄露只是时间问题。这样的销售几乎从不保密,而且当 Exobot 的作者不提供买方需要的支持时,不满意的客户就会泄露源代码。例如在过去的十年里,有很多家庭桌面银行木马被泄露。 一旦泄露,Exobot 代码 将和 Slempo、BankBot 和、GM Bot Android 银行木马的命运相同,重新组织成数百个分支木马,从而降低进入移动恶意软件场景所需的成本和技术技能。 Exobot 的出售或衍生新型恶意软件活动 但是,在低技能的恶意行为者泄露 Exobot 版本之前,这个木马的新客户已经开始使用了。 安全人士 Sahin 表示:“ 在恶意行为者开始销售 Exobot 源代码之后,不到一个月,在奥地利,英国,荷兰和土耳其就发现了新的活动。土耳其是受这些活动影响最大的国家,共有 4400 多台设备牵涉其中。 这种恶意 Exobot 应用程序的增加是由于 Exobot 源代码的一些私人销售引起的。如果源代码泄漏, Exobot 攻击的规模可能会超出安全人士的想象,如同 BankBot 木马一样。据悉,BankBot 在 2016 年底在线泄露,其一直是通过 Google Play 商店传播的恶意应用程序的核心, 分散的 Android 操作系统市场、不及时交付补丁的移动运营商、以及谷歌的游戏商店团队似乎无法跟上恶意软件作者的步伐,这种种原因使得 Android 用户在移动恶意软件上处于严重的劣势。而唯一能保护大多数用户的方法就是移动杀毒解决方案和一些使用常识,例如拒绝从不受信任的来源安装应用程序、不安装需要不必要权限的游戏商店应用程序等。 消息来源:Bleeping Computer,翻译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

卡巴斯基推行 “全球透明度计划” 提交源代码备查以重建信任

担心卡巴斯基公司与俄罗斯政府有联系,卡巴斯基软件最近被美国政府封杀,禁止美国政府部门电脑安装卡巴斯基。卡巴斯基强烈否认美国政府的指控,并且现在宣布了一个新 “全球透明度计划”,力求赢得信任。 根据这项“全球透明度计划”,该公司将把当前和未来软件源代码提交给更广泛的信息安全社区和其他利益相关者进行审查,希望这种做法可以将自己与俄罗斯当局进行间谍活动切割。卡巴斯基尚未公布其代码将提交审查的各方,但表示将很快公布名单,指出他们拥有网络安全产品软件安全和测试方面的的强大能力。这些代码将于 2018 年第一季度开始审查。卡巴斯基实验室创始人尤金·卡巴斯基(Eugene Kaspersky)表示,该公司没有什么可隐藏的。 卡巴斯基推出的这个计划,旨在重新建立外界对公司、政府和公民之间关系的信任。卡巴斯基相信,通过这些行动,卡巴斯基将能够克服不信任,重新赢得信任。 稿源:cnBeta,封面源自网络;

赛门铁克 CEO 称检查源代码构成了不可接受的风险

赛门铁克 CEO Greg Clark 接受路透社采访时表示,该公司不再允许政府检查其软件的源代码,担心这会危及到其产品的安全。美国科技公司为了在俄罗斯和中国等国获得产品出售许可证而允许政府检查产品源代码。 赛门铁克也曾是其中一员,允许相关政府检查其软件的源代码。但随着国家支持的黑客攻击活动的增加,允许政府检查源代码增加了安全风险,可能会导致客户失去对其产品的信心。Clark 称,检查源代码构成了不可接受的风险。 稿源:solidot奇客,封面源自网络;