标签: 瑞士

瑞士军队安全通信软件曝出大量严重漏洞

近日,苏黎世联邦理工学院研究人员在安全审计中发现瑞士军队使用的安全通信软件Threema存在大量严重漏洞,并且已经存在很长时间。 该大学的应用密码学小组本周发布了研究论文(链接在文末),详细介绍了Threema自主开发的密码协议中的七个严重漏洞。利用这些漏洞,不法分子将能克隆帐户并读取用户消息,窃取私钥和联系人,甚至出于勒索目的炮制有害资料。 Threema总部位于瑞士,数据中心位于阿尔卑斯山地区,自称是比WhatsApp(编者:已经被瑞士军队禁用)更安全的非美国加密通信产品的替代品。Threema没有Signal或Telegram流行,但是对于瑞士军队这样的客户来说,小众的Threema似乎更安全,因为流行消息应用往往无法避免海外政府的窥探。 Threema目前拥有超过1000万用户和7000名本地客户——包括德国总理奥拉夫舒尔茨。 Threema在博客文章中淡化了研究者发现的漏洞,声称这些漏洞是在Threema停用的协议中发现的。“虽然这些漏洞从理论上讲可能很有趣,但它们没有对现实世界产生任何重大影响”。 以下是Threema的声明: 去年,苏黎世联邦理工学院计算机科学系的一名学生撰写了关于Threema通信协议的硕士论文。该大学现已将他的作品作为论文/预印本发表。但是,该论文基于不再使用的旧协议。调查结果不适用于Threema当前的通信协议“Ibex”,或者已经得到解决。他们都没有对现实世界产生过任何重大影响。 披露Threema漏洞的三位研究人员——计算机科学教授Kenneth Paterson和博士生Matteo Scarlata与Kien Tuong Truong在一个关于Threema安全漏洞的网站上指出,他们最初是在2022年10月向Threema披露了他们的发现,后者同意研究者在1月9日公开披露。 Threema于2022年11月下旬发布了其Ibex协议,研究人员表示尚未审核这一在漏洞发现后发布的新协议。不过研究人员表示“相信所有漏洞都已通过Threema最近的补丁得到缓解”。 在给The Register的电子邮件中,Paterson指出,Threema声明中的所谓“旧协议”,其实就是ibex协议发布之前使用的协议。 他补充说,Threema的声明“极具误导性,这令人非常失望。” 虽然安全研究人员承认这些漏洞不再对Threema客户构成威胁,但他们的发现仍然凸显了评估“自主开发加密协议安全声明”的困难性。 “理想情况下,任何使用新型加密协议的应用程序都应该进行正式的安全分析(以安全证明的形式),以提供强大的安全保证,”研究者补充道:“这样的分析有助于降低类似Threema这样的软件中暗藏更严重漏洞的风险。”   转自 GoUpSec,原文链接:https://mp.weixin.qq.com/s/Ct1Coet0Fa5jZVO1fETNbg 封面来源于网络,如有侵权请联系删除

瑞士电子投票系统邀请黑客来寻找漏洞 总奖金达到 15 万美元

瑞士政府在本月晚些时候将测试基于互联网的电子投票系统。瑞士政府表示,在这次测试当中任何能找到系统Bug的人可以获得高达50000瑞士法郎(约合50000美元)的奖金。瑞士政府这次提供的总奖金达到150000瑞士法郎(约150000美元)。 想要参与测试的白帽黑客可以注册“公共入侵测试”(PIT)项目。瑞士邮政系统将在2月24日至3月24日之间进行一次选举测试,这是一次典型的瑞士联邦选举,在此期间,任何注册的白帽黑客都可以自由发现和报告漏洞。 瑞士政府计划在2019年10月前将其电子投票能力扩大到瑞士联邦所有26个州的三分之二。在过去的14年中,该国已经进行了300多次电子投票系统的试验,但现行规则将电子投票的数量限制在全民公投总数的10%和宪法修正案投票总数的30%。然而,电子投票扩张计划遭到了政客们的反对,他们声称目前的电子投票系统不安全,昂贵且容易被黑客入侵。 瑞士政府表示,对于操纵无法检测到的投票,奖金范围从30000至50000瑞士法郎(30000至50000美元)不等,如果审计员能够检测到操纵,奖金将降至20000瑞士法郎(20000美元)。这次测试当中,黑客最低可以获得100瑞士法郎(100美元)的奖金。 瑞士法律保证每个瑞士公民都有投票权,无论他们目前是否居住在该国。此前,海外公民一直在推动电子投票,他们认为邮寄选票的方式经常被延迟,让投票变得不可靠。投票行为在瑞士常见,瑞士的直接民主制度意味着,仅在过去两年就有十几次国家级投票。   稿源:cnBeta,封面源自网络;  

瑞士 BPC 的银行支付系统 SmartVista 存在 SQL 注入漏洞

HackerNews.cc 10 月 12 日消息,安全公司 Rapid7 研究人员于今年 5 月发现瑞士 BPC 团队所创建的银行支付基础设施与管理系统 SmartVista 存在一处 SQL 注入漏洞,允许黑客侵入 SmartVista 前端的身份验证接口后窃取数据库敏感信息,其中包括用户账号与密码。不过,由于安全研究人员在上报该漏洞至 BPC 团队后至今尚未获得回应,因此他们于近期公开披露银行软件平台 SmartVista 易遭黑客 SQL 注入攻击。 美国 CERT 协调中心与瑞士证券交易委员会在漏洞公开披露后发布警示,宣称由于该攻击活动只能通过经身份验证的前端用户触发,因此攻击者可以通过该漏洞后入侵系统、窃取重要信息。 Rapid7 专家发现,对于访问 Transaction 接口的平台需要用户提供卡号、帐号,以及交易日期三个字段。然而,由于 SmartVista 前端缺乏输入验证,因此不会对交易模块中输入的卡号或帐号进行检测。不过,卡号仅接受确切的字段以便提供输出。如果事先并不知道卡号,攻击者也可通过该字段启动 布尔型 SQL 注入。但倘若提供了正确的注入语句(如’或’1’=’1)时,数据库将延迟五秒,从而产生一个基于时间的 SQL 注入向量。此外,攻击者还可利用该漏洞强制查询数据库,从而导致访问信息在线暴露。 目前,Rapid7 安全专家建议使用 SmartVista 的企业安全更新系统至最新版本,同时采用 Web 应用程序防火墙,以便保护平台免受 SQL 注入攻击。 原作者:Pierluigi Paganini,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

银行木马 Retefe 新变种通过 “永恒之蓝” 肆意感染瑞士日本等多国银行网站

HackerNews.cc  9 月 23 日消息,网络安全公司 ProofPoint 研究人员近期发现黑客利用银行木马 Retefe 新变种通过 NSA 漏洞 EternalBlue(永恒之蓝,CVE-2017-0143)瞄准奥地利、瑞典、瑞士、日本等多国银行网站展开新一轮攻击活动。虽然该款木马并未达到诸如 Dridex 或 Zeus 等知名恶意软件的传播规模与影响范围,但它所针对的地区与实施方式却值得研究人员注意。 调查显示,与 Dridex 或其他依靠网络注入劫持银行在线业务的银行木马不同,Retefe 主要通过各种代理服务器(通常托管在 TOR 网络上)操控路由流量或目标银行系统。此外,研究人员还观察到攻击者使用附带嵌入式 Package Shell Objects 或 Object Linking、Embedding Objects 的恶意文档发布网络钓鱼邮件,以便感染更多银行系统。 一旦用户打开附件,该款木马就会自动触发执行 PowerShell 命令,旨在下载一份托管在远程服务器上的自解压缩存档。存档中包含了一个具有多条配置会话参数的 JavaScript 安装程序,根据研究人员的说法,其中一个参数(pseb:“pseb”)被添加执行 “永恒之蓝” 漏洞脚本。 研究人员推测,Retefe 新变种的幕后黑手或将通过 EternalBlue 漏洞进行更多针对性攻击活动。9 月 20 日,研究人员发现该恶意软件中的  “ pseb:”参数部分被 “ pslog:” 取代。然而,这部分模块只包含了 EternalBlue 记录功能。目前,虽然尚不清楚多少网站遭受攻击,但他们在发现此类攻击活动后立即通知各银行机构,并建议他们关闭 IDS 系统与防火墙的相关通信,从而预防网络钓鱼攻击活动。 原作者:Pierluigi Paganini, 译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

全球首例:瑞士私人银行获准提供比特币资产管理服务

据外媒报道,瑞士私人银行 “ 猎鹰 ” 向客户提供服务,帮助他们更好管理比特币资产。“ 猎鹰 ” 的富有客户将能够于 7 月 12 日通过现金储备储存和交易比特币。这一举措表明,即使是在缓慢变化的资产管理中,虚拟货币的吸引力也在增加。这些服务正与 2013 年成立的比特币经纪公司瑞信合作。 “ 猎鹰 ” 全球产品和服务主管 Arthur Vayloyan 说:“ 我们很自豪能成为瑞士私人银行领域第一个为我们的客户提供区块链资产管理的公司。猎鹰相信,进入这个新生市场的时机是正确的。我们坚信,这个新产品将满足我们客户的未来需求。” 作为声明的一部分,“ 猎鹰 ” 公司还透露,它已经在其苏黎世总部的大厅里安装了一个比特币 ATM 机,该 ATM 机将为公众使用。据报道,这次整合是在与瑞士金融市场监督管理局(FINMA)的讨论之后决定的。此外,该公司公开表示有意帮助推进区块链技术的采用,并支持一个名为 Crypto Valley Association 的行业协会。 近期消息透露,该公司打算推出一项数字身份服务,该服务将于今年秋天使用该技术。虚拟货币上个月创下了近 3000 美元的纪录,但自本周三以来已经下跌超过 20%,至 2375 美元,但它的价值较去年仍增长两倍多。 稿源:cnBeta,封面源自网络

Operation Emmental 幕后黑手再度潜入瑞士银行系统

据外媒 7 月 10 日报道,趋势科技( Trend Micro )研究人员近期发现黑客活动 Operation Emmental 幕后黑手利用 OSX/DoK 恶意软件新变种 OSX_DOK.C 针对瑞士银行系统展开新一轮攻击活动。 2014 年 7 月,趋势科技研究人员发布一份关于黑客活动 Operation Emmental 报告,指出攻击者绕过金融机构双重身份验证入侵瑞士银行账户、窃取客户私人敏感信息。OSX/DoK 允许黑客通过拦截授权操作短信令牌、更改域名系统设置诱导受害者访问虚假银行网站。 近期,研究人员发现黑客更新代码并通过电子邮件传播恶意软件 OSX/DoK 新变种 OSX_DOK.C。据悉,后者一旦感染 Mac 系统后将窃取管理权限并安装新 root 证书,拦截包括 SSL 加密流量在内的全部通信记录。 调查显示,仅当受害者外部 IP 地址位于瑞士时,OSX_DOK.C 才会劫持用户流量。被感染系统将重定向至虚假金融机构登录页面。此外,OSX_DOK.C 还具备其他复杂功能,如滥用证书与安全软件漏洞、影响苹果系统设备正常使用等。目前,OSX_DOK.C 正利用可执行文件压缩软件( UPX )漏洞包装木马以规避安全软件检测。 原作者: Pierluigi Paganini, 译者:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

90% 的智能电视能被恶意电视信号远程劫持

瑞士的安全研究员 Rafael Scheel 在一个安全会议上报告了针对智能电视的新型攻击方法,这种攻击方法允许一位恶意人士通过发送恶意的数字视频地面广播 ( DVB-T ) 信号远程控制设备,获得智能电视的 root 访问权限,然后可以为所欲为,包括发动 DDoS 攻击到监视电视用户。 这种攻击具有高度的危险性,因为攻击者可以在远程发动攻击,不需要电视用户的交互,可在后台运行,在电视被入侵后用户可能会毫不知情。攻击针对的是宽带混合型电视 ( Hybrid Broadcast Broadband TV )标准,今天出售的约 90% 的智能电视都支持这一标准。Scheel 称,任何人花费 $50-$150 就可以设立一个定制的 DVB-T 发射机,广播 DVB-T 信号。 稿源:Solidot奇客;封面源自网络

瑞士 CERT 破解僵尸网络域名生成算法、封禁大批顶级域名

瑞士政府计算机应急响应中心( GovCERT )成功分析出了僵尸网络 Tofsee 用于通信的 C&C 服务器的域名生成算法、并封锁了约 520 个瑞士域名,大大削弱了僵尸网络 Tofsee 的能力。 GovCERT 捕获了僵尸网络 Tofsee 的恶意软件样本,发现僵尸网络的域名是算法生成的,且约一半以上的站点使用瑞士顶级域名,剩下的使用 .biz 商业专用域名。这引起了当局极大的关注,经研究分析最终破解了域名生成算法的运算模式并推算出接下来 12 个月中可能会使用到的 520 多个瑞士顶级域名。 恶意软件 Tofsee DNS 查询查询截图 GovCERT 根据算法得出了一个域名黑名单,并通知瑞士域名注册中心将黑名单列表域名暂时封掉,僵尸网络在将来的一年内都无法使用这些域名发送命令。但僵尸网络还可以使用 .biz 域名进行通信,还无法彻底阻断僵尸网络间的通信联系。僵尸网络使用域名生成算法(DGAs)的“好处”在于:受影响设备只需根据算法得出下一次进行通信的域名地址,并在特定的时间访问由僵尸网络作者临时注册使用的域名接受信息即可,这大大减少了被发现的可能性。 虽然,GovCERT 的这次行动不会对垃圾邮件和恶意软件的扩散产生很大的影响,但是,这是一个国家 CERT 中心正确使用其职能的表现,有助于瑞士整治网络环境、减少恶意软件的来源。 稿源:本站翻译整理,封面来源:百度搜索