近日，有密码学专家提出了一个有关苹果 iPhone 智能机的一套理论。首先，即便有着定期推送的 iOS 补丁和增强保护措施，但执法机构仍可轻易闯入用户设备。其次，苹果公司日渐强大的加密技术，所能保护的数据量却少于以往。作为对 ACLU 诉请 FBI 揭示有关 iPhone 破解方式的回应，约翰·霍普金斯信息安全研究所助理教授 Matthew Green 于本周三通过 Twitter 发表了他的最新观点。 据悉，该理论基于 Matthew Green 带领的两名学生 Maximilian Zinkus 和 Tushar M. Jois 的相关研究。即执法机构无需攻破 iPhone 上最强大的加密算法，因为并非所有用户数据都受到这方面的保护。 Matthew Green 补充道，取证工具开发公司不再需要攻破苹果的安全加密区芯片（Secure Enclave Processor），毕竟这么做的难度非常高。 后来他和学生们想到了一个可行的方案，并且推测出了政府与执法机构是如何从锁定的 iPhone 中提取数据的。（详细的文章会在假日后公布） 据悉，iPhone 可处于首次解锁前的 BFU 模式、以及解锁后的 AFU 模式。最初打开设备电源并输入密码时，设备可进入 AFU 状态。 随着用户输入 Passcode，iPhone 也将同步导出保留在内存中、并用于加密文件的不同密钥集。当用户再次锁定其设备时，它也不会转入 BFU 模式、而是维持在 AFU 状态。 Matthew Green 指出，在用户再次解锁其设备前，只有一组加密密钥被从 iPhone 的内存中清除。 被清除的密钥集，正好属于解密特定保护级别的 iPhone 文件子集。而保留在内存中的其它密钥集，则可用于解密其它所有文件。 基于此，执法机构只需利用已知的软件漏洞来绕过 iOS 的锁屏保护措施，即可在后续解密大多数文件。加上以普通权限运行的代码，取证工具还可像合法应用程序那样访问数据。 尴尬的是，由苹果官方文档可知，最强的加密保护等级，似乎仅适用于邮件和应用启动数据。这样即便与 2012 年的同类情况进行比较，苹果在用户数据的安全保护上反而还倒退了。 最后，除了 iOS，Matthew Green 还指出了 Android 移动设备上存在的类似情况。这位密码学教授表示：“手机加密无法从根本上拦截别有用心的攻击者”。       （消息来源：cnBeta；封面来自网络）

本周二，欧洲刑警组织（Europol）宣布联合多国执法机构开展了 Operation Nova 活动，关闭了 Safe-Inet 在德国、荷兰、法国和美国境内的服务器，从而让网络犯罪分子更难掩盖他们的踪迹。据悉 Safe-Inet 是最受勒索软件和其他网络犯罪分子青睐的 VPN 服务，主要用于隐藏身份。 据欧洲刑警组织称，这项服务可以隐藏客户的 IP 地址，并在互联网上提供一定程度的匿名性。该服务已经在网络上活跃了十多年，它被犯罪分子用来进行勒索软件活动和从零售网站上窃取信用卡号码，以及其他攻击，如网络钓鱼活动和账户接管。         （消息及封面来源：cnBeta）

据外媒报道，美国根据金融犯罪执法局(FinCEN)拟议的新规，政府追踪比特币交易将可能会变得更加容易。虽然政府目前开放了15天的评论期，但加密货币交易所Coinbase和电子前沿基金会(EFF)对此表示不满，因为这段时间还包括了平安夜、圣诞节、新年前夜和元旦。 据了解，这个备受争议的私人钱包法规是在美国东部时间12月18日下午4点20分被提出。根据这项新规，如果交易者通过私人钱包进行的交易金额超过3000美元那么其必须证明其就是该钱包的所有者。如果想跟其他拥有私人钱包的人做生意那么则需要告诉交易所一些非常详细的个人信息。交易所随后会被要求存储所有这些记录并在要求时提供这些记录。此外，根据拟议的规例，如果交易者在一天内的交易总额超过10,000元，那么交易所亦须上报其个人资料。 这对于加密货币来说显然是一种天大的讽刺，这种货币诞生于一个由自由主义者、无政府主义者和乌托邦主义者组成的群体，它承诺将成为一种在不可信系统中进行绝对私密交易的方式。比特币–这个世界上最大的加密货币–在2008年金融危机之后出现并作为银行的替代品，但现在这些新规定将使得加密货币交易所的行为更像是银行。跟另一项关于国际交易的规则变化相一致，这可能意味着加密货币的疯狂时代已经结束–匿名交易将更难找到。 加密货币交易所可以很容易地从美元或其他货币转移到加密货币，反之亦然，这也意味着更多的人可以接触到加密货币。然而FinCEN现在的提议却让这些交易所和在其中运营的人工作量变多，同时还将削弱让加密货币闻名的匿名性。 EFF指出，这会带来一些具体的后果。首先，在私人钱包和由交易所服务托管的钱包之间的交易中匿名变得更加困难；其次，拟议中的立法还降低了拥有私人钱包的吸引力。不过第三个问题才是真正的麻烦：包括比特币在内的一些加密货币需公开记录所有交易。这意味着，如果交易者从交易所将比特币交易到自己的私人钱包中那么必须要发送一串关于该钱包的识别信息，然后美国政府可能会获得这些信息。EFF写道，这意味着“政府可能获得了超出规定范围的大量数据。” 因此，比特币–一种旨在确保匿名性的加密货币在这些规则下将完全被置于相反的境地。当然交易者可能可以通过某些方式绕过它们。 Coinbase首席法律顾问Paul Grewal于昨日在给FinCEN的回应中抱怨了对这一新规的评论时间–“FinCEN只给公众提供了15天的评论期，这还跨越了平安夜、圣诞节、新年前夜、新年且还处于全球大流行期间–这给评论只留了极少的实际工作日。” Coinbase认为相关部门应该提供60天的审查期–这是惯例。而美财政部之所以将审查期限缩短至15天是因为它认为重大的国家安全要务意味着必须加快行动。 无论是15天还是60天的期限，美财政部似乎在试图向任何可能成为密码朋克的人传递一个信息：你无法打败现有的金融世界–你能做的只有加入它。         （消息及封面来源：cnBeta；）

今年早些时候，我们观察到网络犯罪组织TeamTNT使用XMRig加密货币矿工攻击暴露的Docker API。TeamTNT使用窃取Amazon Web Services（AWS）secure shell（SSH）凭证和用于传播的自我复制行为开展攻击。 TeamTNT的最新攻击涉及到该组织自己的IRC（互联网中继聊天）bot。IRC bot被称为TNTbotinger，能够进行分布式拒绝服务（DDoS）。 需要注意的是，攻击者首先必须在初始目标机器上执行远程代码（RCE），然后才能成功地对系统发起攻击。攻击者可以通过利用错误配置问题、滥用未修补的漏洞、利用脆弱或重复使用的密码、密钥或泄漏的凭据等安全缺陷来执行RCE。 …… 更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/1436/         消息来源：trendmicro，封面来自网络，译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

12月22日，来自美国、德国、荷兰、瑞士、法国的执法机构，以及欧洲刑警组织的欧洲网络犯罪中心（EC3）宣布关闭Safe Inet。这是一种流行的虚拟专用网络（VPN）服务，曾用于协助犯罪活动。 犯罪活动所涉及的三个域名——insorg[.]org、safe inet[.]com和safe inet[.]net被关闭，其基础设施被查封，这是一项名为“Operation Nova”的联合调查的一部分。 欧洲刑警组织称Safe Inet是网络罪犯的“最爱”。 这些域名在协助勒索软件、网页掠夺、鱼叉式钓鱼和账户接管攻击方面发挥了核心作用。 这些服务支持俄语和英语，已经活跃了十多年，它为网站访问者提供“防弹托管服务”，对黑社会来说代价高昂。 截至12月1日，Pro订阅的费用在1.3美元/天到190美元/年之间，可以完全访问其整个服务器名单。 防弹托管（BPH）也被称为抗滥用服务，它不同于常规的web托管，因为它允许内容提供商更加方便地托管在这些服务器上的数据类型，从而更容易逃避执法。 根据网络安全公司Trend Micro今年10月的一项分析，防弹主机利用各种方式维持其翼下的犯罪活动，并能够在全球范围内战略性地分配资源，牢记地区法律和地理特征。众所周知，它们可以最大限度地减少有用的日志文件的数量，并且只能从匿名来源（例如Tor网络）访问系统。 “这种活动可能以借口回应受害者提出的投诉，将其客户数据从一个IP地址、服务器或国家转移到另一个，以帮助他们逃避检测。美国司法部（DoJ）表示没有日志可供执法部门审查。” 司法部补充，“BPH服务故意支持其客户的犯罪活动，并成为这些犯罪计划的共谋者。” 欧洲刑警组织还表示，他们在全球范围内发现了大约250家被犯罪分子监视的公司，攻击者利用安全的Inet基础设施发动潜在的勒索软件攻击。       消息及封面来源：The Hacker News ；译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

Facebook安全政策负责人Nathaniel Gleicher告诉Axios，Facebook明年计划为那些想要采取额外措施保护自己账户的用户提供安全密钥的移动端支持。Facebook明年还将把Facebook Protect安全计划扩展到更多类型的账户。该计划将提供给记者、人权维护者和名人等弱势用户，也将提供给所在国即将举行重大选举的用户。 Facebook Protect包括额外的安全功能，比如双因素认证和对潜在黑客威胁的实时监控。到目前为止，它只在美国向政治家、政党官员、政府机构、选举工作人员以及任何拥有蓝色认证标志的Facebook页面、参与选举过程的人提供。安全密钥建议用于高知名度的账户，但将提供给任何想要安全密钥的Facebook账户持有人使用。 Facebook正在考虑向决策者等公众人物发送安全密钥。用户将能够从各种零售商那里亲自或在线购买密钥，然后将能够在Facebook上注册它们。但是。虽然硬件密钥是一种久经考验的安全控制手段 但它们也不是无懈可击的，它们可能会丢失或被盗。 正是因为这个原因，Gleicher建议拥有高知名度账户的用户同时使用Facebook Protect和安全密钥。Facebook认为其2016年最大的改进之一是，它阻止了不良行为者黑客入侵真实账户或创建假账户传播虚假信息。Facebook认为用户必须保护账户，因为每一个被泄露的资产除了给人们造成直接的伤害外，还可能成为不良行为者事后利用的工具，造成更大的伤害。 从数字上看。在2020年，Facebook估计，超过70%与美国大选密切相关的人开启了双因素认证。虽然Facebook提示许多用户，如州和选举官员、候选人和党派领导人注册该功能，但最终还是依靠与选举密切相关的工作人士选择加入该项目。除了这些安全保护措施，Facebook表示还将扩大对安全威胁的公开报告。Gleicher表示，公开披露不同的影响行动或黑客企图，有助于阻止和减缓不良行为者。         （消息及封面来源：cnBeta；）

去年，WhatsApp 发现并修补了一个据说被以色列情报机构 NSO Group 利用的漏洞。在某些情况下，受害者或许无法意识到他们已被间谍软件给盯上。几个月后，WhatsApp 方面开始向后者提起诉讼，以披露幕后都有哪些黑手。被告方一再对这些指控提出异议，并且试图以遵从政府指令为由申请法律上的豁免，但未能说服美国法院在今年早些时候撤销该案件。 最新消息是，由微软、谷歌、亚马逊、思科、Facebook、Twitter、VMware 在内的多家科技巨头和互联网协会组成的联盟，已经共同发声支持 WhatsApp，恳请法院驳回 NSO 的主张且不许其受到豁免。 报道指出，NSO Group 被指利用这款消息传递应用中的未公开漏洞入侵了至少 1400 台设备，受害者包括了某些新闻记者和活动人士。 NSO 开发并向政府兜售其 PegASUS 间谍软件的访问权限，从而使得某些客户能够瞄准并秘密入侵目标设备。受感染的设备可被用于追踪目标位置，窃听消息、呼叫，以及照片、文件等私密内容。 通常情况下，攻击是通过忽悠受害者打开恶意软件而得逞的。但某些情况下，NSO 也会利用 App 或手机中未公开的漏洞而静默感染目标设备。 在此之前，该公司因曝出向沙特、埃塞俄比亚、阿联酋等政府客户出售间谍软件而遭到猛烈批评。现在，由微软（及其子公司 LinkedIn 和 GitHub）代表的这一联盟，已经向法院方面施加了更大的压力。 其指出，间谍软件和相关工具的开发与交付不仅降低了普通人的安全感，也让整个世界冒着这些工具落入不当之手的风险之中。 微软客户安全与信任负责人 Tom Burt 在博客中表示，NSO 理应对自己构建的工具和相关漏洞利用而负责。其希望通过这场诉讼，帮助全球数字生态系统免受更加肆意的攻击。 截止发稿时，NSO Group 方面尚未就此事作出回应。         （消息及封面来源：cnBeta；）

电子前沿基金会(EFF)周一发文称，从公民自由的角度来看，加密货币最重要的一个方面是它们可以为用户提供隐私保护。但EFF担心，美国政府越来越多地采取措施破坏加密货币交易的匿名性，并将传统银行系统的广泛金融监控导入加密货币。 上周五，美国财政部金融犯罪执法网络(FinCEN)宣布了一项拟议法规，该法规将要求货币服务企业（其中包括加密货币交易所等）收集使用自助加密货币钱包或国外交易所与其客户进行交易的人的身份数据。拟议的法规将要求他们保留这些数据，并在某些情况下（例如，当一天内的交易金额超过某个阈值时）将其交给政府。 该提案似乎旨在成为在本届总统任期结束前推动通过的午夜法规，因为其15天的评论期异常短暂，且恰逢假期。该法规的作者写道，需要这个短暂的评论期来应对这些技术对“美国国家利益的威胁”，但他们没有为这一说法提供事实依据。 虽然EFF仍在审查该提案，但有几个初步的担忧。首先，该法规将意味着在自己的钱包中存储加密货币的人（而不是使用专业服务）将实际上无法与在货币服务企业存储加密货币的人进行匿名交易。该法规很可能会扼杀使用自营钱包进行现金隐私交易的能力。 其次，对于一些加密货币，如比特币，交易数据–包括用户的比特币地址–会永久记录在公共区块链上。这意味着，如果知道与特定比特币地址相关联的用户的名字，就可以搜集人们使用该地址的所有比特币交易信息。因此，拟议的法规要求货币服务企业收集与钱包地址相关的识别信息，这意味着政府可能会获得大量的数据，而不仅仅是法规声称的覆盖范围。 第三，该法规可能会阻碍更广泛地采用自托管钱包和依赖它们的技术，或者至少使这些技术难以与交易所等中介机构整合。该法规使自托管钱包用户与拥有受该法规约束的服务提供的钱包的其他用户进行无缝互动的难度大大增加。根据拟议的规则，这些托管钱包服务将不得不收集在某些情况下与其客户进行交易的自助钱包用户的某些信息。这可能会使智能合约等某些自动交易变得复杂，或者在涉及分散式交易所的场景中难以实施。尽管名字很好听，但 “钱包 “并不仅仅是个人的货币存储：它们是个人和计算系统在不依赖机构的情况下持有和发放货币的一种方式。为这些类型的交易增加摩擦，破坏了该技术在让个人控制其财务方面的重要性。它还可能会扼杀创新者创建具有广泛合法用途的去中心化金融平台的能力。 第四，虽然拟议的规则旨在简单地将涉及现金交易的现有法规适用于加密货币，但它们忽视了这些数字金融工具的存在部分是为了提供与传统现金相同甚至可能更多的金融隐私和匿名性。在这方面，拟议的法规是美国政府将传统银行系统的金融监控扩展到加密货币的更大令人不安的趋势的一部分。这项提案是在司法部公布其加密货币执法框架两个月后提出的，该框架非常清楚地表明，司法部希望破坏加密货币用户匿名交易的能力。 框架指出，仅仅使用Zcash和Monero这样的隐私币就“表明可能的犯罪行为”。框架还表示，操作混乱的人使加密货币交易更难追踪，可能要承担洗钱的刑事责任。金融监管机构，就像美国国家安全局一样，显然怀疑任何试图保护自己金融隐私的人都在做一些非法的事情。 该框架还针对去中心化交易所。去中心化交易所通常是一种开源软件，允许人们在没有其他方参与的情况下直接相互交换加密货币。司法部表示，这些项目必须向FinCEN注册，并且必须 “收集和维护客户和交易数据”，否则将受到民事和刑事处罚。 今年其他令人关注的事态发展包括：第五巡回法院决定，执法部门不需要获得搜查令就可以从加密货币交易所获得金融交易数据，以及FinCEN提议将机构必须收集和存储交易数据的门槛从3000美元降至250美元（加密货币或法币），以履行 “Travel Rule “义务。 这些发展是对私人在线交易能力的攻击，并试图将传统银行系统的广泛金融监控扩展到加密货币。金融记录包含了人们个人生活、信仰和所属机构的敏感信息。尽管如此，法院和立法者还是允许对传统银行系统进行广泛的无证金融监控。的《银行保密法》要求银行保存财务记录，因为这些记录对调查很有用，1976年，最高法院（在U.S. v. Miller案中）允许政府在没有搜查令的情况下获取银行客户的数据。EFF对美国政府试图将这种监控扩大到包括加密货币交易感到担忧。 加密货币之所以重要，还因为它能抵御审查。许多传统的金融中介机构进行了任意的金融审查，切断了成年人社交网络、成年人书商和有争议的网站对金融机构的访问，即使这些服务没有违反法律。 美国监管机构最近的行动，包括这次新的规则制定建议，有可能破坏点对点技术提供的隐私和公民自由保护。该规则制定要求公众在2021年1月4日前提出意见。EFF希望公民自由团体和希望保护其金融隐私的个人能够提交反对这一规则提案的意见，尽管事实上，部分原因是这一突然的截止日期。       （消息来源：cnBeta；封面来源于网络）

近日，一名网络攻击者在黑客论坛发帖，免费公布了从 Ledger 窃取的电子邮件和邮寄地址。Ledger 是一家硬件加密货币钱包，用于存储、管理和销售加密货币。这些钱包中的资金使用 24 个字的恢复短语以及一个可选的秘密口令来保护所有者。 在今年 6 月 Ledger 网站被爆出现数据泄漏事件，利用安全漏洞允许攻击者访问用户的联系人信息。今天，一位威胁攻击者分享了一个存档，其中包括“All Emails (Subscription).txt” 和 “Ledger Orders (Buyers) only.txt”两个文本，包含数据泄漏期间被盗取的数据。 All Emails (Subscription).txt 包含了 1,075,382 名订阅 Ledger 通讯的人的电子邮件地址；而 Ledger Orders (Buyers) only.txt 包含了 272,853 名购买 Ledger 设备的人的姓名、邮寄地址和电话号码。 网络安全情报公司 Cyble 已经与 BleepingComputer 分享了这份泄露的文件，外媒随后已经与 Ledger 的所有者确认，数据是准确的。Ledger 在推特中进一步确认，这次数据转储很可能来自2020年6月的数据泄露事件。         （消息及封面来源：cnBeta）

据外媒ZDNet报道，随着SolarWinds供应链攻击事件后的取证证据慢慢被发掘出来，安全研究人员发现了第二个威胁行为体，它利用SolarWinds软件在企业和政府网络上植入恶意软件。关于这第二个威胁行为体的细节仍然很少，但安全研究人员认为这第二个实体与疑似俄罗斯政府支持的入侵SolarWinds的黑客组织没有关系，后者在Orion应用内植入恶意软件。 原始攻击中使用的恶意软件代号为Sunburst（或Solorigate），作为Orion应用的“booby-trapped”（诡雷代码）更新交付给SolarWinds客户。在受感染的网络上，恶意软件会ping其创建者，然后下载名为Teardrop的第二个阶段性后门木马，允许攻击者开始动手操作键盘会话，也就是所谓的人为操作攻击。 但在SolarWinds黑客事件公开披露后的头几天，最初的报告提到了两个第二阶段的有效载荷。来自Guidepoint、赛门铁克和Palo Alto Networks的报告详细介绍了攻击者如何同时植入一个名为Supernova的.NET web shell。 安全研究人员认为攻击者是利用Supernova webshell来下载、编译和执行一个恶意Powershell脚本（有人将其命名为CosmicGale）。 然而，在微软安全团队的后续分析中，现在已经澄清Supernova网页壳并不是原始攻击链的一部分。他们发现Supernova安装在SolarWinds上的公司需要将此次事件作为一个单独的攻击事件来处理。 根据微软安全分析师Nick Carr在GitHub上的一篇文章，Supernova webshell似乎被种植在SolarWinds Orion安装上，这些安装已经暴露在网上，并被利用类似于追踪为CVE-2019-8917的漏洞。 Supernova与Sunburst+Teardrop攻击链有关的困惑来自于，和Sunburst一样，Supernova也被伪装成了猎户座应用的DLL–Sunburst隐藏在SolarWinds.Orion.Core.BusinessLayer.dll文件内，Supernova则隐藏在App_Web_logoimagehandler.ashx.b6031896.dll内。 但在12月18日周五晚些时候发布的分析报告中，微软表示，与Sunburst DLL不同，Supernova DLL并没有使用合法的SolarWinds数字证书进行签名。 Supernova没有被签名这一事实被认为是攻击者极不正常的行为，在此之前，攻击者在操作上表现出了非常高的复杂性和对细节的关注。 这包括花几个月时间在SolarWinds的内部网络中不被发现，提前在Orion应用中添加虚拟缓冲区代码以掩饰日后添加恶意代码，并将他们的恶意代码伪装成SolarWinds开发人员自己编写的样子。 这些似乎都是太明显的错误，最初的攻击者不会这么做，因此，微软认为这个恶意软件与最初的SolarWinds供应链攻击无关。       （消息来源：cnBeta；封面来自网络）