苹果的面部识别技术使得用户解锁他们的 iPhone X,在给用户带来新技术体验的同时也不经让人忧虑:面部识别技术会被不法分子利用吗?

23B01251318C5DBFE3C53D6D85DD7F1C.jpg

将于11月3日发售的 iPhone X 旨在一系列的隐私保护措施下进行面部扫描解锁,其数据将只会被存储在用户手机里而非任何其他数据库。虽然许多品牌的设备都具备面部识别功能,但是将技术打包在一起且支持对手持电话进行三维扫描的,苹果当属第一。

苹果公司表示,通过脸部扫描解锁手机的方式可以为 iPhone X 用户提供更多便利与安全保障,比如,Face ID 中的“神经引擎(neural engine)”能够分辨出是否是照片及他欺骗性手段。

这项技术的普及会带来怎样的隐患?

尽管苹果提供了一系列保障措施,隐私专家仍然表示对面部识别功能的担忧,他们认为苹果如此推广面部识别的技术会让整个世界范围内对面部识别的应用变得越来越广泛。今后,将不只是苹果,政府的法律强制、市场营销人员或者其他目的的人都会应用这项技术(或其他尚未收到管制的工具)来搜集用户的隐私信息。

美国公民自由联盟政策分析师 Jay Stanley 表示:

苹果确实已经为隐私保护方面做了很多努力,但这并不仅仅关乎到 iPhone X。真正该担心的是面部识别功能会不会就此不知不觉侵入人类文化,变成一项被滥用的监视技术。

乔治敦大学的研究员在去年的一项研究中发现,接近一半的美国人在不知情的情况下,其个人信息包括面部识别数据被存储在 FBI 的数据库里。公民自由组织对FBI提起了诉讼,称他们使用包括了面部轮廓数据在内的“新一代”生物识别数据库,而这个监控行为有极高的错误率使得无辜的人躺枪。

Stanley 表示:

我们不希望巡逻的警员,身上带着含监控名单的人脸识别仪来扫描路人的身份。

负责 2016 年面部识别数据库研究的乔治敦大学法学院助理 Clare Garvie 表示认可苹果公司积极负责的态度,但实际效果之类就很难说了。

iPhoneX-Facial-Recognition.png

我觉得公众将会对此感到不安,并且面部识别技术的普及和广泛使用总有一天会让人们的生活变得更“有迹”可循,比如更容易被广告主、执法机构或其他个人追踪。

相应的,Garvie 的研究也表示发现执法部门的面部识别数据库中存在很严重的错误,将无辜的人误判为犯罪嫌疑人的可能性很大。

另一方面,她担心警方可以跟踪那些无罪但参与了示威活动的民众。在中国,诸如上海等其他城市最近已经开始部署面部识别方面的工作,用来识别抓捕那些违反道路规则的、有无赖行为的人。

这种大范围的使用可能会造成巨大的问题,我们必须考虑到最坏的情况。

根据苹果公司发布的安全白皮书中表示,公司系统使用30,000个红外点来创建存储在 “secure enclave” 中的数字图像。它表示,相较于 Touch ID 的设备解锁率(1:50k),任意一个人能够解锁设备的几率是 1:100k。

新法战争的前兆?

苹果的 Face ID 似乎染指到警察能否要求某人解锁设备的新法律战争。ACLU工作人员 Brett Max Kaufman 表示:

Face ID 的应用在合法性方面的问题会将企业推入深渊。(在智能手机上应用指纹识别进行身份验证是科技巨头接触到此类法律问题的根源所在。)

Kaufman 在他的博文中表示,如果嫌犯被迫解锁设备,法院将会采取宪法保障以防止不合理的搜查和自我归罪的情况出现。

美国法院通常裁定,由于“指纹密码证据”,放弃密码将会违反用户的权利;但是当生物识别被应用时,这种情况将会变得更加棘手。

而苹果公司似乎料到了这种情况,所以它允许用户两秒按两个键来要求输入密码,不过 Garvie 说法庭上可能更偏重 Face ID 的使用问题。不过无论这些担心如何,苹果似乎有广泛使用面部识别技术的意向。

Moor Insights & Strategy 的首席分析师Patrick Moorhead表示:

苹果现在所做的是用技术和技术普及带给人们带来方便和舒适,如果我是苹果用户,我将很乐意看到苹果为用户所努力的一切。 

同时 Garvie 也补充表示目前对于技术的使用暂时还有任何管制规定,所以所有对面部识别技术的讨论都相当有建设性 :

技术的发展和使用似乎是不可避免的,它未来或将成为每个人生活的组成部分。

*本文作者 securityweek 由 Hyde777 编译,转载请注明来自 FreeBuf.COM

今年5月, 哥伦比亚安全研究员 Juan Diego 向微软报告了一个漏洞,该漏洞可使得攻击者在无需任何用户交互的情况下随意窃取 Windows NTLM 密码哈希,允许与受害者网络直接连接的攻击者升级对附近系统的访问。Microsoft通过ADV170014安全顾问在本月的补丁周二修补了该漏洞,此次补丁仅适用于Windows 10和Windows Server 2016的用户。

timg.jpeg

事实上,这种攻击操作性强且不涉到较深层次的技术技能,攻击者只需要将特制的 Shell 命令文件 (SCF 文件) 放在可公开访问的 windows 文件夹中,然后该文件将由于安全问题而执行收集 NTLM 密码哈希, 并将其发送回攻击者的服务器;这样一来,攻击者可以轻松破解 NTLM 密码哈希并且随意访问受害者的计算机。今年5月, 哥伦比亚安全研究员 Juan Diego 向微软报告了黑客的入侵。

大家都知道微软 NTLM 体系结构有一些漏洞, 当pentester发动攻击的时候,第一件事情就是窃取哈希,这已经不新鲜了,而且大多时候这些技术需要用户介入来进行完整的攻击。不过此次的攻击黑客掌握全部主动权:SCF文件中的恶意命令就在黑客将共享文件夹中里SCF文件上传之后就已经开始运行了,并不需要等待用户查看文件内容,也就是说不需要用户交互就能完成攻击。除了已经被修复的windows 10 和服务器 2016,较旧版本的 windows 3.11 到 windows 10、台式机和服务器由于注册表修改与旧版本的 windows 防火墙不兼容问题依然容易被攻击。当然,我只测试了windows 7 和 windows 10,其他的就需要让微软自己来做了。

然而,并不是所有共享文件夹的计算机都属于易被攻击对象,由于Windows 限制漏洞范围的默认选项,黑客攻击对具有密码保护的共享文件夹的计算机就不起作用,不过介于大多情况下,许多 Windows 用户诸如企业环境,学校和其他公共网络中的用户通常会因为自身需求而共享无需密码的文件夹从而受到攻击。

 shared-folders-Windows.jpg

只不过,Juan Diego 表示他无法详细说明攻击的根本缘由,按理说,在过去已知的攻击中因需要触发漏洞而利用SCF文件,受害者应该拥有访问该文件夹的权限才对。

这种自动发生的攻击其根本原因对我来说依然是个谜,微软方面也对此守口如瓶。

显然,微软提供的补丁并没有真正修复关于SCF 文件的自动执行,Juan Diego 虽然无法给出解释根由但致力于修补一个存在二十年之久、且被称之为 pass-the-hash 的攻击, 它能自动共享 NTLM 哈希与服务器位于用户的外部网络;类似这样的问题在很多针对 Windows 的攻击中都有体现;比如,在今年春季, pass-the-hash 结合 Chrome 与 SCF文件来窃取用户凭据, 且在 2015、16年,pass-the-hash 攻击均有出现过。而Microsoft 提供的修补程序只能够防止攻击者诱使本地用户在本地网络外部的服务器上进行身份验证。

事实上,在 Diego  之前,早在今年3 月份德国研究员Stefan Kanthak 已经向微软报告;报告了类似的为题。

在我报告的6个问题里微软只公布和修复了2个,不得不说微软的效率真的很慢。

Stefan 表示其实有更多的方法能破解 pass-the-hash 攻击。相应的,Diego 也给出支持性回应表示正在研究相关破解方法。

当然,最好最直接的还是不要分享无需密码的文件。

*本文作者 securityaffarisbleepingcomputer,由 Hyde777 编译,转载请注明来自 FreeBuf.COM

黑客攻击了东南亚国家十几个电信公司的政府服务器和数据库,数百万名马来西亚人的个人资料遭失窃。

ml.jpeg

马来西亚的总人口数为3120万,而根据马电信供应商提供的数据显示,接近 4620 万个手机账户的资料遭到失窃,显然一人多号的情况很普遍。本周,马来西亚官方已确认黑客手中掌握近5000万的手机帐户记录,并发出警告表示,所有在马来西亚医务委员会、马来西亚医学协会、医学院、马来西亚房屋贷款申请机构、马来西亚牙科协会和马来西亚国家专家登记处的马居民个人资料均遭失窃。

数百万个电信账户遭偷窃,数千个私人医疗记录被出售

如今,马来西亚通信与多媒体委员会与 DiGi.Com 、Celcom Axiata 等其他十多个受威胁的电信公司正协助马来西亚警方调查,试图解决该安全漏洞。 显然,所有被盗的电信记录比如原账户主人的手机号码、SIM卡详细信息、设备序列号和家庭地址等对黑户或假身份的小偷或骗子很有用处,并且,此次的袭击黑客还窃取了约 8 万条的医疗记录进行贩卖,其中政府网站和类似 Jobstreet.com 等信息网站也被涉及。奇怪的是,似乎总有几个多人口数国家陷入数据安全漏洞的危机。比如上个月,南非有数百万人的私人资料被公布在网上;韩国的 IT 运营承包商窃取其用户的信用卡资料等等。

来自马来西亚新闻网站 lowyat.ne 首先报导了此次入侵,称这是在10月中旬发现的未知 scumbag 有试图窃取比特币行为;其他媒体如星报表示这样的事情早在2014年就已显露端倪。

*本文作者 theregister  由 Hyde777 编译,转载请注明来自 FreeBuf.COM

由于在多个帐户中重复使用相同且较简单的密码,全球约三分之一的大型公司 CEO 的工作邮箱账户和密码被盗,连带其家庭住址、公司机密、私人邮件内容等私密信息均遭到曝光。 

实际上,电子邮箱帐户对网络犯罪分子来说非常有吸引力,因为它通常都包含一些敏感信息。比如, 第65任美国国务卿科林·鲍威尔的Gmail帐号曾在2016年的总统竞选期间遭到攻击,在泄露出来的一封邮件里他写到:“这个死骗子(希拉里克林顿)连撒谎都不会”!研究人员推测,泄露的原因是因为鲍威尔在 Gmail 账户中用的是早先被盗的Dropbox帐户里的密码。不过正因为如此,美国民众知晓了鲍威尔的真实想法;再比如,商业电子邮件泄露 (BEC):如果一家企业的财务总监收到了一封来自 “CEO” 的转账指令邮件并进行操作,后果将不堪设想。

timg-3.jpeg

根据F-Secure(计算机及网络安全提供商)今天发布的一份报告(PDF)显示,研究人员针对所泄露的凭据数据库检测了200位CEO们的邮箱地址,指出,技术公司的易曝光指数从30%上升到63%。他们还发现,超过七成的 CEO 连接公司邮箱地址的最高级别服务器大都为LinkedIn、Dropbox和专业网站。

CEO_accounts_compromised.png

有八成的 CEO 向研究人员透露,泄露的不仅仅只是邮箱账户和密码泄露那么简单, 他们的个人信息包括家庭住址,出生日期和电话号码等等会以垃圾邮件列表的形式和公司营销数据库一起被曝光。

只有少于两成的 CEO 的邮箱账户相对安全

不过,有一种防泄露方法是使用私人帐户和个人电话号码来伪装成企业公司,但是 F-Secure 警告说,这个方法在杀毒链的后期阶段以及防御层面都有缺陷:

 当 CEO 使用私人邮箱、电话号码或家庭住址来注册企业相关服务时,很大程度上影响了企业的 IT、通信、知识产权、法律以及本应来自安全团队所提供的安全保护,也就是说 CEO 脱离了自己的企业与员工,处于一种未被保护状态。

所以,要想保护好邮箱帐户和密码, F-Secure 的建议是使用合格的密码,比如无序的、字符数多的、更复杂的密码。还可以使用密码管理器来生成密码,但要特别注意一下无需访问设备的云端密码管理器;另外,避免通过登录第三方社交媒体的方式进行邮箱登录,因为一旦社交媒体帐户丢失了,其所关联的所有帐户也会相应丢失;最后,坚持使用多渠道身份验证,比如首选离线认证和基于硬件的口令认证,避免使用SMS密码。

密钥即密码。一般来说,服务提供商没有用明文存储密码,而且使用较长的、完全随机的密码字符(一般为32个字符)来设置密码,那么它就是相对安全的;但如果有一家情报机构的预算很足,这个机构理论上是可以破解 MD5 加密后的密码的。但是,如果服务商花很大的精力在密码保护这一块上,那么上面这种情况出现的几率就会大大减少。并且,即便是遇到“密码破解攻击”——即从被盗哈希中获取明文密码的情况下,通过增大计算量也就是“密钥延伸”的加密方式后,密码几乎都相对安全。比如,当服务商使用PBKDF2,scrypt,bcrypt或一些其他方案时,就可以通过迭代的方式把密码哈希验证次数提升到数百万次,包括一些相对简单的密码也很难被破解。

本文作者:securityweek,由 Hyde777 编译,转载请注明来自 FreeBuf.COM

卡巴斯基实验室:我们没啥可藏着掖着的!

近日,来自俄罗斯的杀毒软件公司卡巴斯基以“ 全透明计划 ” 高调宣布回归,该计划允许独立的第三方审查机构审查其软件源代码及内部流程。事实上,卡巴斯基此前曾被指控帮助俄罗斯政府派系黑客窃取美国国家安全局内部计算机中的分类文件。可以说这次的回归可以看成是为了赢回消费者和信息安全团队的信任所做采取的措施。

Kaspersky-Logo.jpg

早在本月初,《纽约时报》曾发布文章表示,以色列政府黑客于2015年就曾帮助卡巴斯基并一齐抓住了入侵美国政府网络的俄罗斯黑客,而美方一直质疑卡巴斯基公司和俄罗斯情报机构的关系,怀疑二者互相关联。

针对这一质疑,卡巴斯基于今年7月给出了 转交机密文件的源代码给美国政府审计 的回应。不过,这一回应并没有赢得美国国土安全部(DHS)的信任,他们还是全部卸载了政府电脑里所有来自卡方公司的杀毒软件。

另一方面,在卡巴斯基今天发布的一篇官方博文中,提出了下列四点改进计划:

从 2018 年第一季度始,卡巴斯基将提交其软件资源代码给国际认可的第三方独立审查机构,审查来源。

为确保解决方案和内部流程的完整性,卡巴斯基将针对其业务实践进行独立审查。

未来三年内建立三方透明制度中心:“使客户、政府机构、以及相关组织能够检查源代码,补丁程序代码和威胁检测规则”。

给予高达 10 万美元的漏洞奖励金额,鼓励用户查找和报告卡巴斯基产品中的漏洞。

“通过上面这些举措,相信我们一定能够与用户建立信任,兑现我们保护全世界任何一个国家和人民的网络信息安全的承诺。” 卡巴斯基的 CEO Eugene 这样说到。

1200x630.jpg

然而,来自 Cybereason 的信息安全研究员 Amit Serper 推特评论表示,之前的损害既然已经造成,即使现在再采取这些措施也未必有用。 Amit 推特原文翻译如下:

我认为代码审查绝对没有意义,因为所有来自俄罗斯的情报需求都将访问连接卡巴斯基安全网络。很显然卡巴斯基的数据库是个巨大的藏宝库,即使它公布全部的产品源代码也不会对已造成的损失起到半点儿弥补作用。

综上所述,现在就看卡巴斯基公司采取的这一系列行动和种种措施能不能解除美国政府机构对它的信任危机了,否则它将被勒令把总部搬离俄罗斯。

*本文作者:hyde777,参考来源thehackernews,转载请注明来自FreeBuf.COM

在过去两周中 Freebuf 发布了多篇涉及 KRACK 加密攻击相关的的文章,如WPA2安全协议惊现高危漏洞,几乎涉及所有WiFi设备WPA2密钥重装攻击原理分析,然而历史总是惊人的相似,就在本周又有一起涉及加密领域的攻击被披露出来。来自宾夕法尼亚大学和约翰霍普金斯大学的研究员发现了一种名为 DUHK(Don’t Use Hard-code Keys) 的加密攻击,影响到飞塔、思科、 TechGuard 等多家应用 ANSI X9.31 RNG 标准的厂商产品。漏洞的主要成因在于该标准下的种子密钥是硬编码在设备中的。

DUHK.png

为什么会出现 DUHK 问题

DUHK(Don’t Use Hard-code Keys)攻击的字面意思是说“大家不要使用硬编码的密钥”(否则就会受到DUHK攻击的影响)。DUHK 攻击最终可以让攻击者获取到安全VPN连接、网络浏览会话的密钥,并读取到通过VPN连接和加密通信的各种内容。

这种攻击方法是否能够顺利实现取决于两个方面的条件:

第一,是设备上所使用的随机数生成算法

第二,设备制造商是否将“种子密钥”应用在随机数生成器的算法里

而 ANSI X 9.31RNG 标准此前一直是标准的加密标准,2016 年 1 月才被美国联邦政府从 FIPS(美国联邦信息处理标准)的伪随机数生成算法表上删除。在正常情况下,供应商设备在设备启动时或者在启动 ANSI X9.31算法之前就会生成用来生成随机数的“种子密钥”。就算供应商的产品已经经过了 FIPS 认证,但只要这个产品使用了该算法来生成随机数,且供应商在固件里留有硬编码式“种子密钥”,那么设备里就会留下后门并可能导致密钥被泄露。

gettyimages-478186903.jpg

如果产品被 FIPS 认证的时间晚于 2016 年 1 月,那么它相对来说就比较安全;但如果能够确认这个产品使用的是 X9.31 算法,那么即使是 FIPS 的认证也不能阻止设备被攻击。

所以,当用户的设备同时具备上述两种条件时,攻击者就能任意破解该设备的加密通信,比如通过 VPN 连接传递的通信、执行的登录凭据、支付信息、内网信息和私人企业数据等相关的加密 Web 会话。

这种攻击方法方法可操作性很高,黑客大概需要4分钟就可以恢复一次加密的连接。而实施攻击时黑客只需要对用户流量进行监测,并不需要用户进行交互,所以受害者很难发觉自己已经遭受了来自黑客的攻击。

受到DUHK影响的产品

美国宾夕法尼亚大学和约翰霍普金斯大学的研究员们通过研究发现了 DUHK 问题,并表示部分飞塔 FortiGate 设备容易受到 DUHK (CVE-2016-8492)攻击的影响。随后,研究人员与飞塔公司取得了联系,飞塔公司移除了 FortiOS 4.3.19 版本的硬编码式“种子密钥”,所以 FortiOS 5.x 不会受到此漏洞的影响。

专家表示,他们通过扫描发现在线暴露的旧版 Fortinet 4.x 设备的数量超过 23,000 台,但相当一部分设备即使是位于防火墙网络上其受到攻击的几率仍然很高,所以这个数据仍可能持续上升。

fortinet.jpg

而在25日他们发表的题为“针对应用传统RNG算法的试验攻击报告”的研究报告中显示,研究员们能够利用这种方法恢复全球各地使用了飞塔 FortiGate 设备的企业的加密密钥(比如防火墙)或者私人 VPN 网络。

研究团队表示,他们是通过逆向工程分析了 FortiGate 的固件映像后,找到了硬编码的种子密钥,并通过观察受影响设备的流量,使用“种子密钥”来暴力破解了加密数据,最后猜测到其他的加密参数。

研究小组在论文中列出了其他可能受到 DUHK 攻击影响的硬件和软件产品,具体列表如下:

FIPS-list.png

更多DUHK 加密攻击细节请点击这里

*参考来源:bleepingcomputerhackernews,由 Hyde777 编译,转载请注明来自 FreeBuf.COM