各位Buffer早上好,今天是 2019 年 5 月 22 日星期三。今天的早餐铺内容主要有:大疆回应美国土安全部数据质疑,安全性经全球验证;John the Ripper 支持 FPGA 破解密码;谷歌:大多数黑客雇用服务都是假的;因海外收入流失:尼泊尔禁止境内用微信支付和支付宝;ACLU向亚马逊施加压力,要求投票禁止向政府出售面部识别软件。

1524406539-53754456.jpg

大疆回应美国土安全部数据质疑,安全性经全球验证

根据CNN报道的内容,美国国土安全部警告称,中国制造的无人机可以向制造商传输飞行数据,从而可能被政府部门获取。面对这种无端指控,大疆官方回应称,DJI大疆创新一直以来高度重视信息安全问题,我们技术的安全性已经在全球得到反复验证,其中也包括美国政府和美国领先企业的独立验证。当用户使用DJI大疆创新的无人机或其他技术产品时,所生产、存储和传输的数据都完全由用户掌握。[来源:FreeBuf]

John the Ripper 支持 FPGA 破解密码

流行的开源密码破解软件 John the Ripper 释出了 Ripper 1.9.0-jumbo-1。自 1.8.0-jumbo-1 发布以来新版本历经了 4.5 年的开发,包含了 6000+ commits,有两位华裔开发者贡献了超过 80 个 commits。新版一个备受期待的功能是支持 FPGA 破解密码。使用 FPGA 破解密码在多种情况下比使用 GPU破解性价比更高成本更低。FPGA 破解支持七种哈希函数 bcrypt、descrypt (包括 bigcrypt 扩展)、sha512crypt & Drupal7、sha256crypt、md5cryp(包括 Apache apr1 和 AIX smd5 ) & phpass,其中多种是首次实现 FPGA,测试结果显示有的强于 GPU 有点则弱于 GPU。[来源:Solidot]

谷歌:大多数黑客雇用服务都是假的

谷歌与加利福尼亚大学圣地亚哥分校的研究人员上周公布的研究显示, 大多数网上提供的黑客雇用服务都是诈骗或者无效的 。研究人员通过伪装成有所需求的买家,直接与 27 个提供黑客服务的买家接触,并要求他们针对所选择的 Gmail 账户进行攻击。

研究结果表明,在参与的 27 项黑客服务中,有 10 项从未回复过研究人员的请求,12 项做出了回复,但并没有真正尝试过发动攻击,只有 5 位黑客最终发起了针对测试 Gmail 帐户的攻击。在响应请求但没有发动攻击的 12 人中,有 9 人表示他们不再攻击 Gmail 帐户,而其他三人似乎是诈骗份子。[来源:OSChina]

因海外收入流失:尼泊尔禁止境内用微信支付和支付宝

据尼泊尔《喜马拉雅时报》(The Himalayan Times)网站报道,尼泊尔中央银行(Nepal Rastra Bank,NRB)今日宣布禁止在尼泊尔使用微信支付和支付宝,称因中国游客非法使用这些支付应用,该国正在流失海外收入。

大多数前往尼泊尔的中国游客都会使用微信支付和支付宝,在尼泊尔经营酒店、餐厅等业务的中国公民也时常使用这些支付应用。因而,当中国游客走进这些同胞在尼泊尔开的店铺时,他们会选择使用中国的支付应用来付款。这些中国的数字钱包并未在尼泊尔注册,这就意味着,尽管服务发生在尼泊尔,但支付实际则发生在中国。[来源:Sina]

ACLU向亚马逊施加压力,要求投票禁止向政府出售面部识别软件

针对亚马逊向美国执法部门出售面部识别技术的做法,美国公民自由联盟(American Civil Liberties Union)正在向亚马逊施加压力。在亚马逊年度股东大会召开前两天,该组织发出了一封公开信要求公司股东通过投票支持两项提案以禁止公司向政府出售Rekognition软件。

在公开信中写道:“如果股东不采取行动,亚马逊在消费者中形象可能会快速的从一家零售电商公司转换成为服务于政府的监管角色。”这两项提案要求该公司禁止将Rekognition出售给执法部门,并要求亚马逊将其用于研究警方的使用。[来源:cnBeta]

还有半年多的时间,Windows 7 就会终止支持(2020年1月14日),微软建议所有的个人、企业或者政府机构升级到Win 10。而韩国政府出于长期成本及安全性考虑,计划在Windows 7终止支持之前迁移到Linux系统上。

180105.png

根据韩国先驱报的消息,韩国内政部将开始在PC上测试运行Linux,如果没有安全性问题出现,Linux系统在政府内部将得到更广泛的引入,虽然不知道韩国政府测试了哪些Linux发行版,但更多人会持续关注的是最终会确定哪个版本。

韩国内政部表示,向Linux转型以及购买新电脑耗资将达到7800亿韩元(约45亿人民币),短期内成本可能会较高,但长期成本则会降低很多。

20190517000570_0.jpg

在测试阶段,韩国内政部将会重点测试系统是否可以在没有安全风险的私有网络设备上运行,以及对现有的网站和软件是否能够表现出良好的兼容性。

外媒推测,韩国政府与微软签订了批量许可协议,这样使得他们有资格获得额外三年的付费安全更新,也能够有充足的时间实施过度计划。

韩国政府计划迁移至Linux上,除了是基于长期成本的考虑之外,也是为了避免对单一操作系统的长期依赖,毕竟在华为事件发生之后,谷歌已经撤销了华为对安卓系统的使用权。而对于Windows系统,谁也无法保证未来美国会采取什么样的惊世举动。

munich-ditching-linux.jpg

韩国并不是第一个由此计划的国家,早在2003年,德国慕尼黑市政府宣布将14000台计算机迁移到Linux操作系统上,预计花费了3500万欧元。为此还基于Ubuntu Linux定制了LiMux发行版,然而在坚持了15年之后,在2017年慕尼黑市政府再次花费4930万欧元(约3.86亿人民币)将市政公共电脑全部切换到Windows 10。这其中的曲折,除了Linux维护费用之外,Linux软件生态不止困扰着个人用户,也困扰着试图将其作为日常使用的政府机构。

今时不同往日,相比十多年前,Linux或许已经更加成熟完善。韩国政府能否吸取慕尼黑的教训而为其他国家树立一个成功的案例,暂时不敢下定论,但探索路上依然是曲折的。

windows1.jpg

对于中美两国关系的风云变幻,我国也持续大力推荐国产操作系统项目。对于Windows操作系统的依赖,我国同样也有着安全性上的考虑,最终结果是——微软推出了Windows 10中国政府定制版。该版本能做到“政府数据不出镜、留在中国”,实现本地激活、补丁、更新和 升级。

在国产操作系统还未真正成熟之前,Windows 10 政府定制版或许是最合适解药。而在个人角度,笔者还是希望看到韩国“弃Win转Linux”成功,这很可能成为Linux蓬勃发展的新动力。

*本文作者:shidongqi,转载请注明来自FreeBuf.COM

各位Buffer早上好,今天是 2019 年 5 月 20 日星期一。今天的早餐铺内容主要有:Stack Overflow遭遇黑客攻击,目前没有证据表明数据被窃;FBI指控网络犯罪头目试图从全球44000台电脑中窃取1亿美元;韩国政府计划从 Windows 7 迁移到 Linux;IBM X-Force:自2015年以来 黑客攻击已下降95%;2016年TeamViewer曾被黑客组织入侵事件曝光。

1382539589470.jpeg

Stack Overflow遭遇黑客攻击,目前没有证据表明数据被窃

Stack Overflow是面向编程和开发相关话题的互联网最大IT技术问答网站。在其官网上发布的一则简短公告中表示,有黑客访问了公司的内部网络。Stack Overflow工程副总裁Mary Ferguson表示:“上周末,Stack Overflow遭到了网络攻击。”[来源:Stack Overflow]

FBI指控网络犯罪头目试图从全球44000台电脑中窃取1亿美元

美国联邦调查局(FBI)和全球执法合作伙伴周四上午称,一名策划了一项犯罪阴谋的网络黑客头目已被逮捕,该阴谋闯入了44000台电脑,可能窃取了数百万美元。欧洲警察组织和联邦调查局证实,亚历山大·科诺沃洛夫和他的同谋玛拉特·卡赞德吉因涉嫌参与所谓的Goznym犯罪网络而在格鲁吉亚受到起诉。

美国还公开了一项起诉,指控10名成员是科诺沃洛夫组建的网络罪犯队伍Goznym成员。,而卡赞德吉负责这项犯罪行动技术方面工作。Goznym犯罪组织的操作简单但非常成功,使用和Goznym同名的恶意软件入侵Windows PC,等待用户在浏览器中输入银行密码,然后将其抓取。然后他们会闯入用户的银行账户,试图将资金转移到自己的账户。他们试图窃取1亿美元,但还不清楚他们成功转移了多少资金。[来源:cnBeta]

韩国政府计划从 Windows 7 迁移到 Linux

由于 Windows 7 即将在明年初终止支持,韩国政府计划迁移到 Linux,内政部准备开始在 PC 上测试 Linux。如果没有出现安全问题, Linux 有望在政府内部得到更广泛的推广。韩国媒体报道称,迁移到 Linux 和购买新的 PC 预计将花费 7800 亿韩元,但采用 Linux 被认为有助于减少长期成本。报道没有提到具体的 Linux 发行版,只是表示政府希望不依赖于单一的操作系统。韩国内政部希望测试 Linux 是否能运行在私有网络设备上而不出现安全问题,是否能兼容为 Windows 构建的现有网站和软件。[来源:Solidot]

IBM X-Force:自2015年以来 黑客攻击已下降95%

近年来,威胁情报分析师发现黑客行动的数量已经大幅下降。来自 IBM X-Force 的新数据,也佐证了黑客攻击现象的彻底崩溃。在一份新报告中,IBM 指出:自 2015 年以来,由黑客组织活动引发的安全事件一直在下降。尽管在活动的顶峰时期,就有 35 起被公开报道的事件。

自那以后,黑客组织的活动事件便以稳定的速度下降。尽管还有零星持续的时间,但 2017 年仅报告了五起,2018 年报告了两起,今年头几个月更是只有零起。[来源:cnBeta]

2016年TeamViewer曾被黑客组织入侵事件曝光

TeamViewer日前证实,它是2016年秋季发现的网络攻击的受害者,但从未透露过。根据Der Spiegel的说法,那些入侵TeamViewer网络的黑客使用了Winnti。

“在2016年秋季,TeamViewer成为网络攻击的目标,”TeamViewer发言人通过电子邮件说道。“我们的系统及时发现了可疑活动,以防止任何重大损害。”TeamViewer的发言人声称当时正在进行调查,但没有发现任何被成功攻击并窃取信息的证据。[来源:BlackBird]

各位Buffer早上好,今天是 2019 年 5 月 15 日星期三。今天的早餐铺内容主要有:优衣库称日本购物网站46万账户遭黑客攻击;Facebook未来20年将受美国政府隐私保护监督;SQLite 再被曝 RCE 漏洞;俄罗斯在美国大肆散播5G影响人体健康的负面报道;LG U+ CEO:华为不会对5G基础设施构成安全威胁。

1382539589470.jpeg

优衣库称日本购物网站46万账户遭黑客攻击

亚洲最大的零售商迅销表示,黑客可能已经获取了旗下优衣库和GU品牌电子商务门户网站大约50万用户的个人信息。该公司周一发布声明称,黑客访问了在迅销的日本购物网站上注册的至少46万个账户。总部位于东京的迅销表示,可能已经获取了用户的个人信息、购买历史记录和部分信用卡号码。黑客攻击发生在4月23日至5月10日,公司仍在调查之中。

迅销称,此事件仅限于日本网站,是一次基于列表的攻击。当客户在多个网站上使用相同的用户名和密码组合时,可能会遭受此类攻击。该公司建议用户更改密码。[来源:Solidot]

Facebook未来20年将受美国政府隐私保护监督

路透社援引消息人士的说法称,社交媒体巨头Facebook即将与美国政府就隐私保护政策和行为达成协议,从而在未来20年的时间里受到监督。此前,Facebook由于涉嫌违反2011年达成的类似协议而受到调查,新协议将解决这项调查。

Facebook与FTC于2011年达成的协议还要求该公司在随后20年中向FTC报告其隐私保护行为。FTC一直在调查关于Facebook以不当方式与剑桥分析分享8700万用户信息的指控。调查重点是这样的数据共享和其他争议是否违反了2011年时达成的协议。[来源:cnBeta]

SQLite 再被曝 RCE 漏洞

思科 Talos 研究人员发现了一个 SQLite 释放后使用漏洞,从理论上来讲可导致攻击者在受影响设备上远程执行代码。Talos 在描述该漏洞 CVE-2019-5018 时表示,“它是存在于 Squlite3 3.26.0 中 window 函数功能的一个释放后使用漏洞。”

SQLite 实现 SQL 的 Windows 函数,而研究员 Cory Duplantis 发现 SQLite 处理函数的方式中包含复用已删除的分区。他指出,“分区删除后,在 exprListAppendList 中复用,从而导致释放后使用漏洞,继而引发拒绝服务。如果攻击者能够在释放后控制该内存,那么就有机会损坏更多的数据,可能造成代码执行后果。”Talos 团队发布详细说明了该漏洞的情况。修复方案较简单:将项目或产品更新至 SQLite 版本3.28,可从 SQLite 网站下载,并将修复方案推送给终端用户。[来源:CodeSafe]

俄罗斯在美国大肆散播5G影响人体健康的负面报道

援引纽约时报报道,俄罗斯利用电视台RT America大肆传播5G网络会导致健康问题的负面新闻报道,试图用这种阴谋论的方式来帮助缩小俄罗斯和美国在5G部署上的差距。

在纽约时报的报道中称,俄罗斯政府的主要宣传工具RT America 电视 台近期集中曝光了5G网络影响健康的报道数量。去年RT America就曾开展过一项关于5G健康影响的宣传活动,但当年的规模有所增加。目前已经有7个相关节目播出,援引了一些有问题的消息来源和科学报道。

纽约时报在报道中解释道,科学家们对这些说法提出质疑,称5G排放比前几代更加安全,因为更高的无线电频率,使数据传输速度更高,不能像低频无线电波那样容易穿透皮肤。 而在美国等西方国家大肆宣传5G不和谐论调的时候,俄罗斯总统普京却表示:“未来几年的挑战是组织普遍接入高速互联网,开始运营第五代通信系统。”[来源:cnBeta]

LG U+ CEO:华为不会对5G基础设施构成安全威胁

LG U+ CEO兼副董事长Ha Hyun-hwoi明确表示,该公司认为在其5G网络基础设施中使用华为设备不会构成任何安全威胁,驳斥了一些议员声称的在网络中使用华为设备会构成安全漏洞风险的观点。

LG U+目前正与华为合作建设5G基础设施。Ha Hyun-hwoi表示,华为已经在西班牙的一家国际认证机构申请了5G网络设备的安全认证。明年评估结果出来之后,公众就能了解到其设备的安全性。[来源:CCTIME]

各位Buffer早上好,今天是 2019 年 5 月 8 日星期三。今天的早餐铺内容主要有:NSA 黑客工具在泄露前已被 APT 组织使用;计算机科学家设计无法被黑的芯片;2019年5月Android安全补丁发布:共计修复30处漏洞;“QQ音乐”等锁屏勒索类恶意程序变种被曝光;国内首家5G安全协同创新中心成立。

breakfast-bowl-tomato-avocado-egg-1708p38.jpg

NSA 黑客工具在泄露前已被 APT 组织使用

自称 Shadow Brokers 的神秘黑客组织在 2017 年泄漏了 NSA 黑客工具,相关漏洞利用代码随后被用于发动了 WannaCry 和 NotPetya 勒索攻击。本周一,赛门铁克的研究人员披露,其中两个 NSA 黑客工具在 Shadow Brokers 泄漏前 14 个月就已被 APT 组织用于发动攻击。研究人员表示,他们不知道该黑客组织 Buckeye aka APT3、Gothic Panda、UPS Team 和 TG-0110 是如何获得这些工具的。研究人员猜测一种可能性是黑客逆向工程了 NSA 发动攻击后留下的代码。Buckeye 被认为来自中国。[来源:Solidot]

计算机科学家设计无法被黑的芯片

密歇根大学的计算机科学家设计出一种新的处理器架构,能主动抵御未来威胁,事实上让现有的 bug 和补丁安全模式过时。被称为 MORPHEUS 的芯片通过每秒 20 次加密和随机重编关键数据比特来阻止潜在的攻击,远快于人类黑客能做出反应的速度,比最快的电子黑客技术快数千倍。密歇根大学教授 Todd Austin 称,今天一个接一个消除 bug 的方法是一种失败的博弈,只要有新的代码,总会出现新的 bug 和安全漏洞。

通过使用 MORPHEUS,即使黑客发现了一个 bug,利用 bug 所需的信息会在 50 毫秒后消失。它可能是最接近不会被黑的安全系统。[来源:Solidot]

2019年5月Android安全补丁发布:共计修复30处漏洞

谷歌于今天发布了2019年5月的Android安全补丁,修复了最新发现的诸多重要安全漏洞以及各种Android组件中发现的其他问题。本月的Android安全补丁包含2019-05-01和2019-05-05两个安全级别,共计修复了30处漏洞,涉及Android Framework、Media framework、Android System、Kernel以及Nvidia、Broadcom和高通在内的诸多组件。[来源:cnBeta]

“QQ音乐”等锁屏勒索类恶意程序变种被曝光

国家互联网应急中心天津分中心称,通过自主监测和样本交换形式,盗号神器等40个锁屏勒索类恶意程序变种近日被发现。该类病毒通过对用户手机锁屏,勒索用户付费解锁,对用户财产安全造成严重威胁。上述程序变种包括QQ音乐、拉圈圈神器、盗号神器等。

国家互联网应急中心天津分中心安全专家介绍说,这些锁屏勒索类病毒恶意行为包括,强制将自身界面置顶,致使用户手机处于锁屏状态,无法正常使用。私自重置用户手机锁屏PIN密码,监测开机自启动广播,触发开机自启动广播后,便会启动锁屏代码。恶意程序预留联系方式,提示用户付费解锁。[来源:TechWeb]

国内首家5G安全协同创新中心成立

在C3安全峰会上,亚信安全与中国信息通信研究院联合中国移动、中国电信、中国联通、中国网安和北京邮电大学成立国内首家5G安全协同创新中心。该创新中心将以“产学研用协同创新”模式,面向5G安全共性关键技术、产品以及成果转化,搭建创新平台。

据悉,5G安全协同创新中心将在终端安全、接入网安全、核心网安全、服务/应用安全、通用安全这5个主要领域进行技术创新,在SDN控制器安全防护、NFV基础架构安全防护、边缘计算安全防护及云网安全运营管理4个主要方面进行重点研究。[来源:IT之家]

各位Buffer早上好,今天是 2019 年 5 月 5 日星期日。今天的早餐铺内容主要有:戴尔软件漏洞允许远程劫持计算机;甲骨文软件 0day 漏洞正被攻击者利用安装勒索软件;Mozilla曝出大乌龙,证书过期导致全球Firefox用户无法使用扩展;警方查封全球第二大暗网黑市;日本正研发世界首个应对网络攻击的计算机病毒。

breakfast_01.jpg

戴尔软件漏洞允许远程劫持计算机

戴尔预装在计算机上的工具 Dell SupportAssist 被发现存在漏洞,会让笔记本电脑和 PC 暴露在远程攻击下,黑客可以利用存在漏洞的旧版本用管理员权限远程执行代码。戴尔已经释出了修复补丁,但除非用户立即更新软件否则他们会容易受到攻击。鉴于 SupportAssist 是预装的程序之一,这意味着会有大量用户受到影响。攻击依赖于引诱用户访问一个恶意网页,网页嵌入的 JavaScript 代码可以触发 SupportAssist 下载和运行代码。因为 SupportAssist 具有管理权限,攻击者将具有目标系统的完整访问权限。[来源:ZDnet]

甲骨文软件 0day 漏洞正被攻击者利用安装勒索软件

中国安全研究人员在去年 4 月 18 日披露了甲骨文刚刚修复的一个高危漏洞:Weblogic 反序列化漏洞(CVE-2018-2628)。安全研究人员是在去年 11 月将漏洞报告给了甲骨文,漏洞允许攻击者在未授权的情况下远程执行任意代码。漏洞影响 Weblogic 10.3.6.0、12.1.3.0、12.2.1.2 和 12.2.1.3。研究人员公开了漏洞细节,随后该漏洞观察到被攻击者利用挖掘数字货币,以及安装勒索软件,整个过程无需任何点击或互动。Cisco Talos 的研究人员报告,该漏洞至少从 4 月 21 日起就被活跃利用。攻击者被发现在尚未修复的计算机上安装一种新的勒索软件叫 Sodinokibi,除了加密重要的数据,该勒索软件还尝试毁掉备份,防止受害者简单利用备份恢复加密的数据。奇怪的是,攻击者随后还利用相同的漏洞安装了另一种勒索软件叫 GandCrab。[来源:Solidot]

Mozilla曝出大乌龙 证书过期导致全球Firefox用户无法使用扩展

5月4日早间,Mozilla和全球的Firefox用户开了个不大不小的玩笑,许多人一大早起来打开浏览器发现所有的扩展都无法使用,就连手机版也是如此。重装Firefox或者重装所有的插件都无济于事,在Bugzilla上提交的报告中我们了解到,这是由于Mozilla的官方证书没有及时续期所致。

Mozilla向来在管理证书的方式上与其它友商不太一样,更倾向于自行管理证书或者是自带一套证书系统,这样一来无论是线上服务,还是用户端都提供了更大的自由度,而一旦在管理证书上出现意外,就会导致今天这样尴尬的局面。[来源:cnBeta]

警方查封全球第二大暗网黑市

据外媒Techspot报道,近日警方已查封全球第二大暗网黑市。 德国当局领导的这项努力导致三名嫌疑人被捕,这是近两年调查的结果。警方还没收了超过55万欧元现金以及多辆车、电脑,数据存储和“ 6位数的加密货币比特币和门罗币”。另外两名嫌疑人在美国被捕,被描述为“销售致幻毒品最多的供应商”。

全球各地执法机构,包括美国司法部、联邦调查局、美国缉毒局、美国邮政检查局和美国国税局的协调努力,导致世界第二大暗网市场被查封和几名嫌疑人被逮捕。[来源:环球网]

日本正研发世界首个应对网络攻击的计算机病毒

日本目前正在开发一种有助于打击网络攻击的计算机病毒。这一发展使日本成为世界上第一个尝试研发应对网络攻击的病毒的国家和地区。

据消息人士称,日本研发部门希望恶意软件能够突破计算机系统,并起到阻止网络攻击的作用。但是该项目并非用于商业目的。日本政府澄清表示,发展这种病毒的目的是为了提高国家的防御能力。

如果一切顺利,应对网络攻击的新型计算机病毒将在2020年3月份成熟。[来源:IT之家]

在各国准备推出下一代电信设备之际,全球网络官员周四在布拉格讨论如何确保5G网络安全。俄罗斯、中国以及华为公司没有受到邀请,但是一些与会者表示并没有专门排斥哪一个国家。

美国一直试图限制盟友在建设5G网络时使用华为等中国电信设备制造商的技术,因为担心中国会利用华为开展间谍活动。华为否认了这些指控。

下载.jpeg

来自欧盟、北约,以及美国、德国、日本和澳大利亚等国的代表参加了在布拉格举行的会议。他们表示,全球合作是确保5G网络安全的关键,希望此次会议能够达成一份实践纲要,为各国协调安全和政策措施奠定基础。

一位外交界消息人士对路透社说,“这是试图把讨论扩大到一个应当由全体西方文明参与的平台。”这位消息人士说,会议主席有可能周五发布不具约束力的总结,以提供进一步讨论的原则。

另一位外交界消息人士对路透社说,布拉格会议得出的结论将是非正式性的,因为一些与会国没有准备好签署任何文件。

据路透社看到的一份文件草案显示,参会者正在讨论设置一些中国供应商难以满足的安全条件。“供应商产品的风险评估应考虑所有相关因素,包括适用的法律环境和供应商生态系统的其他方面,”草案说。

5G.jpg

全球5G部署在即,华为是该行业强有力的竞争者。荷兰、奥地利、比利时、捷克、法国、德国、希腊等国都准备今年拍卖5G牌照。

荷兰政府网络安全官员蒂莫•科斯特(Timo Koster)表示,任何全球措施都应符合欧盟委员会3月份发布的要求,共享5G网络安全风险数据。“我们需要在国家安全与我们拥有的经济利益之间找到平衡,”科斯特说。

华为对此次会议表示欢迎,称希望各国能以更科学的方式看待科技。华为全球安全和隐私长约翰·萨福克(John Suffolk)对记者表示:“我们完全支持基于事实和证据的国际标准和国际核查。”

*本文来源:VOAChinese,转载请注明原出处

各位Buffer早上好,今天是 2019 年 4 月 24 日星期三。今天的早餐铺内容主要有:全球大使馆遭 Excel 鱼叉式钓鱼攻击;全国首宗“爬虫”软件案在深审结;FTC发布报告呼吁民众警惕巴黎圣母院慈善骗子;美国宾夕法尼亚州近15万成瘾康复患者的个人信息遭到泄露;微软雇员呼吁公司抵制 GitHub 审查压力。

breadless-breakfast-ideas-rebecca-article-1024x793.jpeg

全球大使馆遭 Excel 鱼叉式钓鱼攻击

Check Point 公司的研究人员指出,全球大使馆正在遭受来自俄罗斯黑客发动的鱼叉式钓鱼攻击。这些邮件带有美国国务院标志以及“绝密”标签,诱骗受害者认为它们是合法的,但实际上却包含恶意 Excel 文件。这些文档能够利用木马版本的远程访问软件 TeamViewer 来控制受感染的计算机。

Check Point 威胁情报组经理 Lotem Finkelsteen 表示,黑客能访问“一切”,包括“数据库、个人数据、文档、网络、其它联网设备。他们具有访问受感染设备的完整权限”。[来源:CodeSafe]

FTC发布报告呼吁民众警惕巴黎圣母院慈善骗子

据外媒报道,当危机发生时,不管是在国内还是国外,人们都会想办法提供帮助,无论是捐赠、资助还是提供其他物资。上周巴黎圣母院发生大火,数小时后救援工作迅速展开。为此,美国联邦贸易委员会(FTC)于当地时间周一发布了一份关于警惕冒充筹款人和慈善机构骗子的报告。[来源:cnBeta]

美国宾夕法尼亚州近15万成瘾康复患者的个人信息遭到泄露

超过491万份记载成瘾康复患者的个人身份信息的文件被长期公开放置在网络上,这又是一起由于ElasticSearch存在未授权访问而导致的数据泄露事件,据发现者表示,整个数据泄露周期从2016年中期至2018年末。

Cloudflare的Trust and Safety总监Justin Paine在使用Shodan搜索暴露在互联网上的设备时发现了这个ElasticSearch,其中有大约两个索引的敏感数据,总大小为1.45GB。

Paine在发现了这一情况后,立马寻找其所有者,最后发现是位于宾夕法尼亚州Levittown的成瘾治疗中心。[来源:NOSEC]

微软雇员呼吁公司抵制 GitHub 审查压力

中国程序员在 GitHub 上发起的 996.ICU 项目引发了广泛关注,但也引发了遭遇审查的担忧。一群微软雇员在一封内部邮件中呼吁公司抵制潜在的审查压力。在标题为“微软和 GitHub 工人支持 996.ICU(图片)”的信函中,微软雇员鼓励微软和 GitHub 这两家相信平衡工作和生活的公司,保持 996.ICU 库不受审查和任何人都可以访问。微软雇员可能不知道,996.ICU 罕见的得到了中国官方媒体的支持。[来源:Solidot]

全国首宗“爬虫”软件案在深审结

深圳中级人民法院发布了2018年度深圳法院知识产权司法保护状况白皮书和2018年度深圳法院知识产权十大典型案例,其中包括了全国首宗“爬虫”软件案。

案情显示,自2015年11月起至2016年5月,元光公司为了提高其开发的智能公交APP“车来了”在中国市场的用户量及信息查询的准确度,利用网络爬虫技术大量获取了竞争对手谷米公司同类公交软件APP“酷米客”的实时公交信息数据。随后,把这些数据无偿使用于其“车来了”APP上,并对外提供给公众进行查询。谷米公司将元光公司诉至法院。

法院审理后认为,被告元光公司利用网络爬虫技术大量获取并且无偿使用原告谷米公司“酷米客”软件的实时公交信息数据的行为,实为一种“不劳而获”“食人而肥”的行为,具有非法占用他人无形财产权益,构成不正当竞争行为,应当承担相应的侵权责任。[来源:广州日报]

各位Buffer早上好,今天是 2019 年 4 月 22 日星期一。今天的早餐铺内容主要有:WannaCry救星承认开发、传播银行木马Kronos;美国天气频道遭勒索软件攻击,停止直播1个多小时;Mozilla Firefox 将默认启用点击跟踪;Facebook承认百万Ins账户信息内部泄露但尚未被滥用;法国政府发布它开发的端对端加密消息应用;欧盟通过提高在线平台公平性和透明度的新法规。

Avocado-Toast.jpg

WannaCry救星承认开发、传播银行木马Kronos

英国安全研究员 Marcus Hutchins,aka MalwareTech,2017 年因发现 WannaCry 的关闭开关阻止了该勒索软件的进一步传播而被视为一位安全领域的英雄,但他在当年前往美国参加安全会议 Black Hat 和 DEF CON 后准备在机场离境时遭到 FBI 逮捕,被控开发、传播和维护了银行木马 Kronos。本周 Hutchins 承认他开发了银行木马, 他对此表示遗憾,并愿意为错误承担责任,表示正将几年前误用的技能用于建设性目的。

根据认罪协议,Hutchins 承认了两项指控,检方放弃了另外八项指控,每一项指控的最大刑期是五年,最高罚款 25 万美元。他承认开发了银行木马 Kronos 和 UPAS-Kit,承认与同谋 Vinny、VinnyK 和 Aurora123 在网上宣传和销售这两种木马,时间发生在 2012 年 7 月到 2015 年 9 月之间,之后他改变了职业轨道成为了安全研究员。[来源:Solidot]

美国天气频道遭勒索软件攻击,停止直播1个多小时

根据《华尔街日报》的报道,The Weather Channel本周四遭遇勒索软件攻击,并暂时停止了一个直播节目的播出。此次攻击发生在美国东南部遭遇恶劣天气袭击之际,导致这家有线电视频道瘫痪了一个多小时。联邦调查局(FBI)表示,这是一次勒索软件攻击,该部门正在展开调查。

The Weather Channel在Twitter上表示:“在网络遭到恶意软件攻击之后,我们今天上午的直播出现了问题。”该频道同时表示,已经通过“备份机制”恢复了服务。“我们为给观众带来的不便表示道歉,我们正在努力解决这个问题。”[来源:SINA]

Mozilla Firefox 将默认启用点击跟踪

上周,Chrome、Safari、Opera 和 Microsoft Edge 的新版本被发现不再允许用户关闭“链接审计( hyperlink auditing)”的功能。链接审计是一项 HTML 标准,被用于跟踪网站链接的点击。它通过创建特定网页的 POST 请求,用户检查请求头文件就可以了解点击的源地址。目前只有 Brave 和 Firefox 这两个浏览器默认禁用链接审计。但本周 Mozilla 表示 Firefox 将默认启用点击跟踪。虽然部分用户认为这项功能对隐私构成的风险,但浏览器开发商认为它有助于改进性能。Mozilla 称它之所以没有启用链接审计是因为它的实现还没有完成。它认为禁用链接审计无助于改进隐私。Brave 则表示它会继续禁用链接审计。[来源:Solidot]

Facebook承认百万Ins账户信息内部泄露但尚未被滥用

据外媒最新消息,Facebook公司周四承认,数以百万计的Instagram用户密码在一个内部数据库中以可搜索的明文格式(即不加密方式)向员工公开。

Facebook表示,它将通知另外数百万密码被泄露的Instagram用户。该公司还表示,其内部调查确定,这些密码没有“被滥用或不正当地访问”。不过据称,数千名Facebook公司员工本来可以访问到这些密码,而且自3月份最初被报道以来,Facebook一直没有提供调查的最新信息。[来源:腾讯科技]

法国政府发布它开发的端对端加密消息应用

法国政府正式发布了它开发的替代 Telegram、WhatsApp 等的端对端加密消息应用 Tchap,支持 iOS 和 Android。Tchap 由法国数字部 DINSIC 开发,基于端对端加密、去中心化实时通讯系统 Matrix 的开源客户端 Riot。

Tchap 也是开源的,源代码发布在 Github 上,任何感兴趣的机构可以部署自己的 Tchap 版本供内部使用。[来源:ZDNet]

欧盟通过提高在线平台公平性和透明度的新法规

近期,欧洲议会批准了《关于提高在线平台交易的公平性和透明度规则》,旨在为企业和交易者在使用在线平台时建立一个公平,可信和创新驱动的环境。该法规将来还必须得到欧盟理事会的正式批准,一旦获得批准,将在官方公报上公布12个月后生效。[来源:secrss]

网络安全世界,黑吃黑的情况并不少见。2017年,Shadow Brokers入侵了美国NSA下属黑客组织Equation Group,下载了大量工具在网上售卖,永恒之蓝工具包就是其中之一,这也直接导致了后来的 WannaCry 事件。

9c9234768f60d26f3517805052346571.jpg

近期,有匿名黑客开始泄露伊朗间谍组织APT 34(OilRig 或者 HelixKitten) 所使用的黑客工具,甚至还包括团队成员及受害者数据信息等等。虽然目前来看所泄露的工具并没有永恒之蓝如此复杂,但依然引发了大量安全研究者的持续关注。

从3月份开始,有人开始以“Lab Dookhtegan”这个名字在Telegram频道中分享这些数据,截止笔者发稿之时,已经有接近2500人密切关注该频道发布的内容。

WX20190419-171857@2x.png

显然,该匿名者试图让这些信息和黑客工具传播地更广泛,从4月份开始,以同样的ID创建了Twitter账号,同时发布几条动态让更多人关注其所泄露的信息。

在不断放出工具及黑客成员、受害者敏感信息的同时,发布者还不忘宣泄自己对伊朗政权的情绪:“我们在此曝光残忍无情的伊朗情报部攻击伊朗邻国所使用的网络工具(APT34/OILRIG),包括残酷的管理人员以及这些网络攻击的活动及目标信息。我们希望其他伊朗公民行动起来,揭露这个政权真正的丑恶嘴脸!”

WX20190419-171512@2x.png

截止目前,该匿名者已经放出了6款黑客工具:

1.Glimpse(基于PowerShell的的新版木马,Palo Alto Networks命名为BondUpdater)

2.PoisonFrog(旧版BondUpdater)

3.HyperShell(称之为TwoFace的Palo Alto Networks网络外壳)

4.HighShell(另一个Web shell)

5.Fox Panel(钓鱼工具包)

6.Webmask(DNS隧道,DNSpionage背后的主要工具)

PoisonFrog-Server-Side.png

研究人员还检查了两个Web shell,发现在HyperShell中一个名为“p”的cookie需要正确的密码才能获得访问权限。此外,Dookhtegan把所有最有意义的密码都改为了“Th!sNotForFAN”。

有安全专家证实,这些泄露的工具及信息确实跟APT 34组织有关联。Dookhtegan公布的信息还包括66个APT34组织受害者,主要是中东地区的政府机构和金融、能源等企业 ,这与之前所掌握关于APT 34组织的情况相符。

OilRigCCServer01.png

D4XtwAOWwAAZNI_.png

在关于受害者阿联酋总统事务部(mopa.ae)的信息中,还包括约900个用户名和密码以及80多个网络邮件访问凭证。迪拜媒体公司的文档中包括250多个凭证集。阿提哈德航空公司信息中包括1万个用户名和明文密码,且是通过Windows密码恢复工具的“高级版本”破解获取的。其它文件包括服务器信息、数据库转储以及Mimikatz后利用工具的输出数据。

WX20190419-174246@2x.png

上图所展示的内容是Dookhtegan 通过telegram 频道发布的所有内容,包括黑客工具、部分web shell及黑客成员资料等,并且还透露“我们有关于伊朗情报部及其管理人员罪行的更多秘密信息,我们将继续揭露他们。”

4月18日,Dookhtegan 放话称,此后每隔几天都将发布一名工作人员的真实信息或者情报部门的秘密。同时也附上了一名APT 34组织黑客成员照片,还包括姓名、电话。

WechatIMG103.jpeg

无疑,这次泄露事件对于APT 34组织来说,是一次沉重的打击。各大安全组织和机构也都在积极研究这些工具,以防未来受到同样手段的攻击,这也意味着APT 34将有必要对目前所使用的工具进行修改或者采用新的技术手段。同时,在近期也可能会出现其他黑客组织使用这些工具进行攻击活动,来伪装成APT 34组织。

而Dookhtegan通过Telegram还将泄露多少机密信息,势必会引发大量安全研究者及机构的持续关注。

目前所泄露所有内容打包下载地址:

https://s3-eu-west-1.amazonaws.com/malware-research.org/blogposts/apt34Leak/apt34leak.7z

解压密码:vJrqJeJo2n005FF*

*参考来源:Bleepingcomputer,作者shidongqi,转载请注明来自FreeBuf.COM