FreeBuf早报,安全圈值得关注的每日大事件

【全球动态】

1.中国发布信息技术十大前沿热点问题,自动驾驶等入选[阅读原文]

在哈尔滨继续举行的2019年中国科协年会上获悉,年会信息科技论坛已发布信息技术领域十大前沿热点问题,年会上,中国科协信息科技学会联合体作为信息科技领域的高端智库,承办年会以“人工智能”为主题的信息科技论坛,并发布信息技术领域十大前沿热点问题,它们分别是:自然语言理解、规模量子计算机的软件基础研究、自动驾驶车控操作系统关键技术研究及市场化应用、非正交轴系三维激光测量仪器、基于头显示增强现实系统的应用技术、完美密码学随机数的产生、复杂电磁环境卫星抗干扰新技术、全天候实时高分辨成像与识别、人工智能与生物智能的融合问题、干涉光学成像技术。

2.美官方解释解禁华为一事,即将生效但有限制条件[阅读原文]

美国总统特朗普表示,允许美国公司继续卖产品给华为。特朗普表示,华为购买的产品是美国硅谷生产的很复杂的产品,这些美国公司很伟大,会带动就业,所以允许美国企业继续卖产品给华为。随后,美国家经济委员会主席拉里·库德洛在电视采访中更加详细地解释了解禁一事。他表示解禁即将生效,商务部将会为需要解禁的公司提供一些许可证。对于解禁范围,他强调华为仅可以购买“其它国家同样广泛销售的美国芯片产品”,否认这是“大赦”,表示国家安全仍然是最重要的考虑因素。

3.FDA警告黑客攻击风险,美敦力宣布召回MiniMed胰岛素泵[阅读原文]

美国食品和药物管理局(FDA)本周四发布公告,称美敦力(Medtronic)公司已经启动了关于MiniMed胰岛素泵的召回活动。据公司表示,部分MiniMed胰岛素泵存在一个无法修复的关键网络安全问题,从而能让黑客远程无线访问这些问题。目前召回的胰岛素泵此前曾在美国和国际市场上销售。黑客可能能够无线地改变使用泵输送给个人的设置和胰岛素的量。这样做可能会对使用者造成严重的危及生命的后果,包括患糖尿病酮症酸中毒的可能性。美国约有4,000名患者可能正在使用这些召回的泵。

4.谷歌自研Fuchsia系统网站上线,取代Android和Chrome OS[阅读原文]

目前,谷歌官方制作的Fuchsia OS开发者网站Fuchsia.dev悄然发布,推出这个网站主要是为了让开发者更好的参与到这个系统的开发中来,而谷歌也提供了搜索功能,让开发者可以搜索到任何的Fuchsia OS技术文档。 Fuchsia OS是一个类似于AOSP的开源项目,可以运行从智能家居设备、笔记本电脑到手机在内的各种设备。它也被认为是建立在谷歌开发的名为zircon的全新内核之上,而不是基于Android和Chrome操作系统基础的Linux内核。

5.美团因违规发布信息被太原警方约谈,责令1周内整改[阅读原文]

山西省太原市公安局昨日对外通报,6月26日,该局网安支队针对美团网站在太原地区经营过程中存在的为医疗诊所类用户提供信息发布服务时未要求其提供真实资质信息、部分店铺发布超范围经营信息和发布低俗信息等问题,对该网站进行了约谈。 太原警方要求美团网站负责人就本网站在经营过程中如何执行安全管理制度、防范网络安全风险进行汇报。民警向其通报了违法违规的问题事项,出示了相关网店页面截图和涉事诊所负责人提供的印证材料,指出未经审核发布诊所信息和发布超范围经营信息的行为,分别违反了《网络安全法》第二十一条及《计算机信息网络国际联网安全保护管理办法》第五条之有关规定,要求该网站在一周内全面整改,并书面向公安机关反馈整改情况。

6.Plustoken钱包被曝无法提现,用户超100万人涉案金额或高达200亿元[阅读原文]

近日,有“币圈第一资金盘”之称的Plustoken钱包被曝无法提现,消息称涉案金额或高达200亿元。Plustoken钱包以微信群为运营主体,主要盈利方式是提升自身账户登记,而提升的手段则是“拉人头”,只要拉到足够的人参与投资,就可以升级自身账户从而获得更多的返佣与分红。据知情人士爆料称,最高级账户一年分红不低于150万美元(约合人民币1030万元)。据报道,Plustoken用户早在2018年8月份就突破了100万人,并且该公司表示2019年会员数会突破1000万人,而目前已经有超过400名Plustoken用户反馈称无法提现。目前Plustoken官方没有发布任何公告来解释此次无法提现,而且官网也并未刊载任何创始人信息。此前Plustoken钱包曾因涉嫌传销被长沙警方查处。

【安全事件】

1.AMD霄龙安全加密虚拟化曝漏洞:已修复[阅读原文]

今年初,Google的一位研究人员发现,AMD EPYC霄龙处理器内的安全加密虚拟化(SEV)中存在安全漏洞,能让攻击者获取安全密钥,进而访问原本被隔离的虚拟机。霄龙处理器的SEV功能可以让一个系统上的多个虚拟机彼此完全隔离,同时使用椭圆曲线算法,从硬件层面生成不同的加密密钥,确保每一个虚拟机都有自己独立的安全保护。为此,霄龙处理器内嵌了一个基于ARM Cortex内核的PSP平台安全处理器用于修复漏洞。直到6月25日,这个漏洞的细节才被公开,不过AMD已经完成了修复,霄龙用户升级固件即可。

2.酒店内藏偷拍摄像头引关注,消费者隐私如何保护?[阅读原文]

最近,针孔摄像头偷拍事件频发,涉及场所和范围也越来越广。试衣间、酒店、民宿、出租房等堪称“重灾区”,河南某酒店经理称 “八成酒店都有针孔摄像头”,一时间震惊公众,虽酒店方事后为不负责任言论道歉,但也引发不少网民担忧。那么出门在外住宿,你是否会检查房间内有无摄像头偷拍?

3.东芝西部数据晶圆厂遭遇意外停电,损失大量产能[外刊-阅读原文]

东芝存储器和西部数据披露它们在日本四日市联合运营的工厂于6月15日遭遇意外停电事故,目前生产设施部分停工,预计要到7月中旬才能恢复。13分钟的意外停电损坏了正在处理中的晶圆,也影响了设施和生产设备。西部数据估计,这次事故导致第三季度的NAND闪存晶圆供应减少6EB (exabytes),相当于该公司季度半数的供应量。东芝尚未披露此次事故对它的影响,预计损失可能高于6EB,原因是该工厂的产能更多供应了东芝。外界估计可能高达9EB。两家公司正在评估损失。

4.约会应用Jack’d因隐私问题被处以24万美元罚金[阅读原文]

纽约司法机构已经就约会应用Jack’d将客户隐私照片在网上保留至少一年之事下达了裁定:其母公司Online Badies将支付24万美元的罚金、并实时“全面的安全计划”,以防止未来发生类似的事件。Jack’d的安全漏洞首次报道于2019年2月。遗憾的是,尽管早在一年前就向该公司通报了相关漏洞,这款应用还是继续将用户私密照片上传了可被公开访问的亚马逊AWS存储服务器。 暴露的私密数据包括裸照和显示用户位置的图片,或导致用户面临勒索、或被逮捕的风险。不过在ArsTechnica曝光的当天,Jack’d已经修复了这个问题。

5.Excel曝出Power Query安全漏洞,1.2亿用户易受远程DDE攻击[阅读原文]

Mimecast威胁中心的安全研究人员,发现了微软Excel电子表格应用程序的一个新漏洞,或致1.2亿用户易受网络攻击。其指出,该安全漏洞意味着攻击者可以利用Excel的Power Query查询工具,在电子表格上启用远程动态数据交换(DDE),并控制有效负载。此外,Power Query还能够用于将恶意代码嵌入数据源并进行传播。Mimecast表示,Power Query提供了成熟而强大的功能,且可用于执行通常难以被检测到的攻击类型。

6.某安卓恐怖游戏窃取Google、Facebook的登录凭证和用户数据[外刊-阅读原文]

一款名为Scary Granny ZOMBYE Mod: The Horror Game 2019,且安装量超过五万的安卓平台游戏被发现存在恶意行为,该游戏能够窃取玩家的Google和Facebook的登录凭证,并且会在登录用户账户后窃取他们的数据。

7.Microsoft Team软件可用于下载和运行恶意程序包[外刊-阅读原文]

目前,在Microsoft Team的桌面应用程序中存在漏洞,其更新机制可导致外来攻击者下载和执行系统上的任意文件,并且同样的问题也会影响GitHub、WhatApp和UiPath软件。这些应用程序都依赖于开源Squirrel项目对项目安装、更新流程进行管理。研究人员发现,对易受攻击的程序使用update命令就可执行任意二进制文件。

8.亚马逊开放式数据存储站泄漏Netflix、福特以及TD银行数据[外刊-阅读原文]

以色列大数据管理网站Attunity所管理的亚马逊S3存储站被发现数据泄漏事件,包括Netflix、福特以及多伦多道明银行(TD)等众多500强企业等数据遭到泄漏。该网站拥有超过2000名客户,本次泄漏的数据多达1TB,虽然S3的数据总存储量还未知晓,但已泄漏的数据中包括了很多高度敏感的信息包括个人以及业务信息,例如邮件、账户密码、项目数据等。

【优质文章】

1.Facebook+Libra能保护数十亿用户的数据安全吗?[阅读原文]

6月中旬,Facebook主导的区块链加密货币项目Libra的白皮书正式公布;并宣称其使命是“建立一套简单的、无国界的货币体系和为数十亿人服务的金融基础设施”。虽然Libra要2020年才能落地。但鉴于Facebook全球27亿用户的体量、普惠金融的潜力、首批成员的正规军背景,尤其是在与Facebook钱包Calibra整合后成为“全球性电子货币”的憧憬,使得币圈链圈大为提振。6月22日,比特币价格突破1万美元,仅仅5天后就突破1.3万美元。与此同时,各界对Libra项目的质疑也日益增加;其中最常被提及的一条是:“Facebook泄露过8,700万用户数据,怎么能相信Libra项目能保护数十亿人的数据安全?”

2.五眼联盟入侵俄罗斯搜索引擎Yandex,美国不予置评[阅读原文]

据路透社独家报道,俄罗斯最大搜索引擎公司Yandex在2018年10月和11月期间遭受Regin(五眼联盟)的恶意攻击,其攻击目标似乎想要搜寻能够解释Yandex认证用户账户方式的技术信息。这类信息可能有助于间谍机构假扮为Yandex用户,取得他们的私人讯息。五眼联盟,是英美协定下逐渐的情报分享机构,成员有美国、英国、新西兰、澳大利亚和加拿大,可见这几个国家无一例外都是以英语为母语的国家,可见其专门为英语国家提供情报共享。网传,在冷战时期,五眼联盟推出了梯队监视系统,它主要监视前苏联和XX的通信,现在则用来监视全球数十亿人的私人通信。

3.安全,5G全面商用前的“人生高考”[阅读原文]

4G改变生活,5G改变社会。5G具有高速率、大连接、高可靠、低时延等特性,可以面向万物智联提供服务,有望给整个社会带来深刻变革。而我国在5G技术方面的领先和商用提速,更为全球5G发展注入动力,有望赋能各行各业,带来移动互联网、产业互联网的繁荣。然而,历史告诫我们,每当计算能力和连接能力提升的时候,我们也扩大了威胁范围,那些隐藏其中的安全威胁也会随之而来,让人防不胜防。如何在5G网络商用前夕,占据安全主动性,显然成为运营商、安全厂商及相关设备厂商整合能力的一次大考。

4.企业安全体系架构分析:安全体系架构概述[阅读原文]

最近都在谈论安全体系架构,我也有一些观点想与诸位分享,主题围绕着如何搭建企业级安全体系架构来进行,本期重点是搭建安全体系架构的先决条件,全主题不以投入资金来定安全体系,安全体系架构不是安全设备的堆积,这一点是重点想要分享的。

FreeBuf早报,安全圈值得关注的每日大事件

【全球动态】

1.中国发布信息技术十大前沿热点问题,自动驾驶等入选[阅读原文]

在哈尔滨继续举行的2019年中国科协年会上获悉,年会信息科技论坛已发布信息技术领域十大前沿热点问题,年会上,中国科协信息科技学会联合体作为信息科技领域的高端智库,承办年会以“人工智能”为主题的信息科技论坛,并发布信息技术领域十大前沿热点问题,它们分别是:自然语言理解、规模量子计算机的软件基础研究、自动驾驶车控操作系统关键技术研究及市场化应用、非正交轴系三维激光测量仪器、基于头显示增强现实系统的应用技术、完美密码学随机数的产生、复杂电磁环境卫星抗干扰新技术、全天候实时高分辨成像与识别、人工智能与生物智能的融合问题、干涉光学成像技术。

2.美官方解释解禁华为一事,即将生效但有限制条件[阅读原文]

美国总统特朗普表示,允许美国公司继续卖产品给华为。特朗普表示,华为购买的产品是美国硅谷生产的很复杂的产品,这些美国公司很伟大,会带动就业,所以允许美国企业继续卖产品给华为。随后,美国家经济委员会主席拉里·库德洛在电视采访中更加详细地解释了解禁一事。他表示解禁即将生效,商务部将会为需要解禁的公司提供一些许可证。对于解禁范围,他强调华为仅可以购买“其它国家同样广泛销售的美国芯片产品”,否认这是“大赦”,表示国家安全仍然是最重要的考虑因素。

3.FDA警告黑客攻击风险,美敦力宣布召回MiniMed胰岛素泵[阅读原文]

美国食品和药物管理局(FDA)本周四发布公告,称美敦力(Medtronic)公司已经启动了关于MiniMed胰岛素泵的召回活动。据公司表示,部分MiniMed胰岛素泵存在一个无法修复的关键网络安全问题,从而能让黑客远程无线访问这些问题。目前召回的胰岛素泵此前曾在美国和国际市场上销售。黑客可能能够无线地改变使用泵输送给个人的设置和胰岛素的量。这样做可能会对使用者造成严重的危及生命的后果,包括患糖尿病酮症酸中毒的可能性。美国约有4,000名患者可能正在使用这些召回的泵。

4.谷歌自研Fuchsia系统网站上线,取代Android和Chrome OS[阅读原文]

目前,谷歌官方制作的Fuchsia OS开发者网站Fuchsia.dev悄然发布,推出这个网站主要是为了让开发者更好的参与到这个系统的开发中来,而谷歌也提供了搜索功能,让开发者可以搜索到任何的Fuchsia OS技术文档。 Fuchsia OS是一个类似于AOSP的开源项目,可以运行从智能家居设备、笔记本电脑到手机在内的各种设备。它也被认为是建立在谷歌开发的名为zircon的全新内核之上,而不是基于Android和Chrome操作系统基础的Linux内核。

5.美团因违规发布信息被太原警方约谈,责令1周内整改[阅读原文]

山西省太原市公安局昨日对外通报,6月26日,该局网安支队针对美团网站在太原地区经营过程中存在的为医疗诊所类用户提供信息发布服务时未要求其提供真实资质信息、部分店铺发布超范围经营信息和发布低俗信息等问题,对该网站进行了约谈。 太原警方要求美团网站负责人就本网站在经营过程中如何执行安全管理制度、防范网络安全风险进行汇报。民警向其通报了违法违规的问题事项,出示了相关网店页面截图和涉事诊所负责人提供的印证材料,指出未经审核发布诊所信息和发布超范围经营信息的行为,分别违反了《网络安全法》第二十一条及《计算机信息网络国际联网安全保护管理办法》第五条之有关规定,要求该网站在一周内全面整改,并书面向公安机关反馈整改情况。

6.Plustoken钱包被曝无法提现,用户超100万人涉案金额或高达200亿元[阅读原文]

近日,有“币圈第一资金盘”之称的Plustoken钱包被曝无法提现,消息称涉案金额或高达200亿元。Plustoken钱包以微信群为运营主体,主要盈利方式是提升自身账户登记,而提升的手段则是“拉人头”,只要拉到足够的人参与投资,就可以升级自身账户从而获得更多的返佣与分红。据知情人士爆料称,最高级账户一年分红不低于150万美元(约合人民币1030万元)。据报道,Plustoken用户早在2018年8月份就突破了100万人,并且该公司表示2019年会员数会突破1000万人,而目前已经有超过400名Plustoken用户反馈称无法提现。目前Plustoken官方没有发布任何公告来解释此次无法提现,而且官网也并未刊载任何创始人信息。此前Plustoken钱包曾因涉嫌传销被长沙警方查处。

【安全事件】

1.AMD霄龙安全加密虚拟化曝漏洞:已修复[阅读原文]

今年初,Google的一位研究人员发现,AMD EPYC霄龙处理器内的安全加密虚拟化(SEV)中存在安全漏洞,能让攻击者获取安全密钥,进而访问原本被隔离的虚拟机。霄龙处理器的SEV功能可以让一个系统上的多个虚拟机彼此完全隔离,同时使用椭圆曲线算法,从硬件层面生成不同的加密密钥,确保每一个虚拟机都有自己独立的安全保护。为此,霄龙处理器内嵌了一个基于ARM Cortex内核的PSP平台安全处理器用于修复漏洞。直到6月25日,这个漏洞的细节才被公开,不过AMD已经完成了修复,霄龙用户升级固件即可。

2.酒店内藏偷拍摄像头引关注,消费者隐私如何保护?[阅读原文]

最近,针孔摄像头偷拍事件频发,涉及场所和范围也越来越广。试衣间、酒店、民宿、出租房等堪称“重灾区”,河南某酒店经理称 “八成酒店都有针孔摄像头”,一时间震惊公众,虽酒店方事后为不负责任言论道歉,但也引发不少网民担忧。那么出门在外住宿,你是否会检查房间内有无摄像头偷拍?

3.东芝西部数据晶圆厂遭遇意外停电,损失大量产能[外刊-阅读原文]

东芝存储器和西部数据披露它们在日本四日市联合运营的工厂于6月15日遭遇意外停电事故,目前生产设施部分停工,预计要到7月中旬才能恢复。13分钟的意外停电损坏了正在处理中的晶圆,也影响了设施和生产设备。西部数据估计,这次事故导致第三季度的NAND闪存晶圆供应减少6EB (exabytes),相当于该公司季度半数的供应量。东芝尚未披露此次事故对它的影响,预计损失可能高于6EB,原因是该工厂的产能更多供应了东芝。外界估计可能高达9EB。两家公司正在评估损失。

4.约会应用Jack’d因隐私问题被处以24万美元罚金[阅读原文]

纽约司法机构已经就约会应用Jack’d将客户隐私照片在网上保留至少一年之事下达了裁定:其母公司Online Badies将支付24万美元的罚金、并实时“全面的安全计划”,以防止未来发生类似的事件。Jack’d的安全漏洞首次报道于2019年2月。遗憾的是,尽管早在一年前就向该公司通报了相关漏洞,这款应用还是继续将用户私密照片上传了可被公开访问的亚马逊AWS存储服务器。 暴露的私密数据包括裸照和显示用户位置的图片,或导致用户面临勒索、或被逮捕的风险。不过在ArsTechnica曝光的当天,Jack’d已经修复了这个问题。

5.Excel曝出Power Query安全漏洞,1.2亿用户易受远程DDE攻击[阅读原文]

Mimecast威胁中心的安全研究人员,发现了微软Excel电子表格应用程序的一个新漏洞,或致1.2亿用户易受网络攻击。其指出,该安全漏洞意味着攻击者可以利用Excel的Power Query查询工具,在电子表格上启用远程动态数据交换(DDE),并控制有效负载。此外,Power Query还能够用于将恶意代码嵌入数据源并进行传播。Mimecast表示,Power Query提供了成熟而强大的功能,且可用于执行通常难以被检测到的攻击类型。

6.某安卓恐怖游戏窃取Google、Facebook的登录凭证和用户数据[外刊-阅读原文]

一款名为Scary Granny ZOMBYE Mod: The Horror Game 2019,且安装量超过五万的安卓平台游戏被发现存在恶意行为,该游戏能够窃取玩家的Google和Facebook的登录凭证,并且会在登录用户账户后窃取他们的数据。

7.Microsoft Team软件可用于下载和运行恶意程序包[外刊-阅读原文]

目前,在Microsoft Team的桌面应用程序中存在漏洞,其更新机制可导致外来攻击者下载和执行系统上的任意文件,并且同样的问题也会影响GitHub、WhatApp和UiPath软件。这些应用程序都依赖于开源Squirrel项目对项目安装、更新流程进行管理。研究人员发现,对易受攻击的程序使用update命令就可执行任意二进制文件。

8.亚马逊开放式数据存储站泄漏Netflix、福特以及TD银行数据[外刊-阅读原文]

以色列大数据管理网站Attunity所管理的亚马逊S3存储站被发现数据泄漏事件,包括Netflix、福特以及多伦多道明银行(TD)等众多500强企业等数据遭到泄漏。该网站拥有超过2000名客户,本次泄漏的数据多达1TB,虽然S3的数据总存储量还未知晓,但已泄漏的数据中包括了很多高度敏感的信息包括个人以及业务信息,例如邮件、账户密码、项目数据等。

【优质文章】

1.Facebook+Libra能保护数十亿用户的数据安全吗?[阅读原文]

6月中旬,Facebook主导的区块链加密货币项目Libra的白皮书正式公布;并宣称其使命是“建立一套简单的、无国界的货币体系和为数十亿人服务的金融基础设施”。虽然Libra要2020年才能落地。但鉴于Facebook全球27亿用户的体量、普惠金融的潜力、首批成员的正规军背景,尤其是在与Facebook钱包Calibra整合后成为“全球性电子货币”的憧憬,使得币圈链圈大为提振。6月22日,比特币价格突破1万美元,仅仅5天后就突破1.3万美元。与此同时,各界对Libra项目的质疑也日益增加;其中最常被提及的一条是:“Facebook泄露过8,700万用户数据,怎么能相信Libra项目能保护数十亿人的数据安全?”

2.五眼联盟入侵俄罗斯搜索引擎Yandex,美国不予置评[阅读原文]

据路透社独家报道,俄罗斯最大搜索引擎公司Yandex在2018年10月和11月期间遭受Regin(五眼联盟)的恶意攻击,其攻击目标似乎想要搜寻能够解释Yandex认证用户账户方式的技术信息。这类信息可能有助于间谍机构假扮为Yandex用户,取得他们的私人讯息。五眼联盟,是英美协定下逐渐的情报分享机构,成员有美国、英国、新西兰、澳大利亚和加拿大,可见这几个国家无一例外都是以英语为母语的国家,可见其专门为英语国家提供情报共享。网传,在冷战时期,五眼联盟推出了梯队监视系统,它主要监视前苏联和XX的通信,现在则用来监视全球数十亿人的私人通信。

3.安全,5G全面商用前的“人生高考”[阅读原文]

4G改变生活,5G改变社会。5G具有高速率、大连接、高可靠、低时延等特性,可以面向万物智联提供服务,有望给整个社会带来深刻变革。而我国在5G技术方面的领先和商用提速,更为全球5G发展注入动力,有望赋能各行各业,带来移动互联网、产业互联网的繁荣。然而,历史告诫我们,每当计算能力和连接能力提升的时候,我们也扩大了威胁范围,那些隐藏其中的安全威胁也会随之而来,让人防不胜防。如何在5G网络商用前夕,占据安全主动性,显然成为运营商、安全厂商及相关设备厂商整合能力的一次大考。

4.企业安全体系架构分析:安全体系架构概述[阅读原文]

最近都在谈论安全体系架构,我也有一些观点想与诸位分享,主题围绕着如何搭建企业级安全体系架构来进行,本期重点是搭建安全体系架构的先决条件,全主题不以投入资金来定安全体系,安全体系架构不是安全设备的堆积,这一点是重点想要分享的。

最近都在谈论安全体系架构,我也有一些观点想与诸位分享,主题围绕着如何搭建企业级安全体系架构来进行,本期重点是搭建安全体系架构的先决条件,全主题不以投入资金来定安全体系,安全体系架构不是安全设备的堆积,这一点是重点想要分享的。

一套好的安全架构离不开以下几点支撑:

1. 企业的重视

2. 业务的特性分析

3. 成本

4. 架构的高可用性+保密性+完整性分析

5. 专业的团队

逻辑图

其中谈到的企业重视是最重要的一点,它决定着架构的策略侧重点、投入的成本、团队的组建等等,如果企业高层不重视安全架构的设计,那么从战略角度来讲安全的投入也不会很大,同样安全团队的专业程度也不会很高,这是战略意义决定的。

一般设计架构都是按照业务需求和特性来设计的,这里举个例子,我需要一套HTTP对接的业务,那么相应安全需求就是购买HTTPS证书、WAF、抗DDOS等等,以及开发方向会选用什么开发架构,使用什么语言进行应用开发,要关注相关框架以及语言漏洞。如果我的业务仅需要FTP对接,那么上述WAF、HTTPS证书等就不需要涉及了,根据业务特性和需求来设计企业的安全架构也是一大重点。

之后是投入的成本,上图中我说投入成本与安全程度从某种意义上来讲是成正比的,但不是说没有投入成本的架构就一定是不安全的,这句话不太好理解,在这里重点解释一下,安全产品所带来的安全力度的确很大,这里就以WAF来举例,它可以代替我们阻断很多攻击,比如SQL注入,比如struts2、比如java反序列等等,它可以最大程度的保证HTTP层面的安全性,但是最强大的往往是自身,须知如果企业的开发架构完善,WAF便只是锦上添花的产品,很多开发架构都带有过滤、转义,这也是为什么基础攻击手段越来越不好使的原因之一。一套好的安全体系架构一定不是用钱堆出来的,这个概念大家要了解。

关于高可用性,这里一般分为网络的高可用和数据的高可用以及应用的高可用,网络高可用顾名思义,当一个网络接口down了,切换到另一个接口不影响正常访问,数据高可用应用高可用也是同理,高可用的设计是在一个架构设计的最初就必须要考虑的,这里包括系统架构、安全架构和开发架构,都需要考虑这个问题。

随着国家对于数据保密性要求越来越高,以及业务数据的私密性特点,保证数据的保密性需求也是越来越大,此处保密性架构设计也需要更全面的加密,包括软件加密、硬件加密、逻辑加密等等,国密算法的推行随着时间的发展也会越来越完善,在这里建议架构设计的时候推行国密算法兼容 RSA双重算法,保证国产化的同时保证业务的兼容性。

数据完整性一般体现在包校验上,防篡改的设计也是需要架构师着重费心的地方之一。

以上要有一支专业团队,包括密码学、应用安全、网络安全、系统安全等多个方面的人才组建的安全团队,需要彼此之间配合搭建一套完整的安全体系架构,管理制度也不能少,如此一套完善的安全体系架构就算是有了基础的建设能力,后篇会讲述具体架构设计以及落地。

首先从管理层面的角度来讲,要有健全的管理体制,一般由安全工程师负责日常安全巡检以及加固,包括日志巡检、物理巡检等等,由应急响应工程师来负责突发事件的安全补救,由安全研究员来负责安全资讯传递以及安全漏洞复现,由安全渗透工程师来负责对全网范围的公司财产进行渗透测试保证财产安全。由安全开发工程师来开发安全产品供同僚们使用。当然以上也可以由一人身兼众职。并且需要高层建立监督小组以及出台监管机制,监督各个岗位的安全负责人来完成日常工作,这保证了安全职责确实向下执行,建立工作奖惩机制,来保证各个岗位负责人的工作积极性。

其中每个岗位又会细分为以下工作:

安全开发工程师开发安全产品,大致有:IPS/IDS、HIDS/HIPS、WAF、漏扫、代码审计、堡垒机、VPN、加解密系统、日志审计、数据库审计、防病毒、报警体系、监控体系等产品。

安全研究员主要熟知公司开发所用的架构,每个业务所用的框架和语言、包括接口、对接协议等都需要了解、关注相关漏洞,尤其是开源架构的使用,首先要确保架构本身的稳定性、安全性、保密性,综合评估可用性后再进行部署与使用。

安全工程师需要随时进行日志分析,最好能与开发进行沟通,实现自动日志分析的功能,这样会过滤大量日志,人工日志分析量会降低很多,提高效率。

安全渗透工程师需要熟知网络架构、应用架构、业务架构,做出相应重点的渗透测试,侧重点在于不影响业务,最好不产生垃圾数据。

应急响应工程师要随时随地观察系统是否出现异常情况,最好能与开发进行沟通,实现自动化监控报警,以降低工作量提升工作效率,并且提升准确率。

其实安全团队每一个人都应该是安全开发,不论是大到成熟的体系化产品开发还是小到一个安全脚本的开发,安全团队的每个人都能胜任,有这样的团队基本上安全无忧。

下一期正式介绍安全体系化架构的建设与落地实施——安全开发工程师篇。

底图.gif

*本文作者:煜阳yuyang,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。

一、前言

许多IT行业的安全研究人员都会遇到这样的情况,他们需要来自技术层面的OSINT(网络空间搜索引擎)数据[1]。也许他们是想调查目标所遭受的攻击面,进行被动侦察,或者想要测量攻击的整体威胁等级。例如去年出现的memcached DDoS 攻击,其放大率为10,000倍甚至更高。Shodan当天发布的第一份报告显示,大约有17,000个易受攻击的服务器在线,这很容易被防火墙列入黑名单。

很长一段时间, shodan.io一枝独秀。虽然它很棒并且被广泛使用,但我意识到其后台发生了很多过滤。我记得大约两三年前,曝出了一个针对Cisco产品的RCE漏洞——虽然Shodan的日点击量很高,但一周后,搜索结果几乎为空。 

随着OSINT变得越来越重要,分析师可利用的搜索引擎工具也更加丰富。这就是本文所探讨的内容:我将把Shodan与过去几年出现的两种新服务BinaryedgeZoomeye进行比较,这两项服务似乎已经准备好争夺OSINT工具的王冠。此外,我还将比较它们的功能和搜索结果量(虽然会省去价格部分)。 

我从以下几点进行比较:

l  定期的网上扫描功能

l  搜索、过滤和下载结果的Web界面

l  过滤选项

l  将结果集成到第三方工具的API 

关于我的比较结果,每个人的体会可能不同,但一切都是我最真实的反馈。

1.1 Shodan

Shodan在OSINT中几乎人尽皆知。它以标记和搜索各种不同设备(包括网络摄像头工业控制系统物联网设备)的能力而闻名。在那个“天呐!!物联网攻击!我们都死定了”的时代,它是“物联网搜索引擎”的首选。Shodan制定了全互联网OSINT数据的行业标准,并且你一定能在上面找到乐趣。 

Shodan的优点:

l  因 API和许多模块以及语言集成而便于开发;

l  许多东西可集成到其他软件系统中(例如:标签、保存的搜索结果等)。

Shodan的缺点:

l  缺乏对付费客户的人力支持;

l  偶尔的特定搜索结果被刻意屏蔽很烦人;

l  在界面中没有过滤proto:tcp/udp的选项(虽然有一个,但没有记录,至少我没有发现关于它的任何信息)。 

1.2 BinaryEdge和ZoomEye闪亮登场

BinaryEdge是一家瑞士公司,它进行全网范围内的扫描,并在博客上发布大量的结果、发现和报告(主要针对技术用户)。BinaryEdge对开放的mongodb/redis/memcache-databases的分析引起了我的注意,我大量引用过这些数据库。他们在开放平台方面迈出了巨大的一步,将其发展为一个具有广泛搜索、过滤和下载功能的OSINT工具,现在似乎能够与Shodan匹敌。

BinaryEdge 的优点:

l  更新新功能的速度快;

l  发表技术博客。

BinaryEdge的缺点:

l  当他们将服务运用到其他解决方案中时,例如对开放端口的IP进行批量检查时,API调用的价格十分昂贵。每天用 BinaryEdge 检查50,000个IP肯定不便宜。 

ZoomEye由中国的知道创宇404实验室开发,他们还运营着出色的Seebug漏洞平台,并进行了大量的安全研究。ZoomEye于两年前引起了我的注意,当时我用它来代替Shodan,那时他们的结果并不像Shodan那么详细。然而在今年,出现了许多有趣的RCE漏洞时,我再次使用ZoomEye,发现他们已经可以提供相当可靠的搜索结果。 

ZoomEye的优点:

l  进步迅速,飞跃巨大;

l  项目背后极好的人力支持。 

ZoomEye的缺点:

l  需要用手机号完成注册。

二、产品功能

纯OSINT任务的基本功能:

功能 SHODAN BINARYEDGE ZOOMEYE
免费 API  
付费 API
匿名用户访问  
免费账号
组合过滤
下载搜索结果 有延迟 迅速
结果的时效性 3-4天 几周内
触发扫描 -
ASN搜索    
漏洞关联  
支持度 不太好 优秀

搜索结果的截图如下。

Shodan:

image.png

BinaryEdge:

image.png

ZoomEye:

image.png

每种产品的优点:

共同点: 

l  能够搜索和过滤不仅仅是IP和端口的信息;

l  可以呈现并搜索扫描时收集到的全部标题和信息(如cookie、serverheaders、versions);

l  下载全部搜索结果。

Shodan:

l  界面简洁,良好的深入挖掘和聚合功能,显示部分标题信息;

l  搜索结果与漏洞的关联良好。

BinaryEdge:

l  在进行大规模研究时,可进行ASN搜索无疑是一个巨大的优势;

l  实用的图像搜索功能。 

ZoomEye: 

l  历史记录触手可得,且可以限制特定时间的搜索;

l  搜索结果与漏洞的关联十分出色。

一旦你习惯了每个操作界面,就会发现它们的运行非常符合逻辑,并且便于开发。

三、搜索结果

现在来看看有趣的部分:我检查了各种目标的搜索结果,比如漏洞相关服务和一般的服务/产品。

需要注意的是:

l  以下数据的有效日期截止到2019-06-09;

l  ZoomEye的搜索结果已被过滤,只包含2019-01-01以后的搜索结果。

3.1 漏洞相关服务

我挑选了今年曝出的一些不错的RCE漏洞,将它们按日期进行升序排序,链接到了包含漏洞详情的文章,并给出了CVE。

DATE VULN/CVE SHODAN BINARYEDGE ZOOMEYE
2019-03-20 Confluence RCE
 CVE-2019-3396
19.000 53.000

34.000
2019-03-21 Nexus Repository Manager RCE
CVE-2019-7238
5.500 200 9.100
2019-04-04 WebLogic RCE
CVE-2019-2725
2.000 84.000 40.000
2019-05-09 Typo3 RCE
CVE-2019-11832
8.100 11.000 15.000
2019-05-14 WindowsRDP RCE
CVE-2019-0708
2.600.000 [3] 10.000.000 7.000.000 

对比图表显示如下: 

image.png

结果不言而喻。

3.2 常规服务搜索结果

在第二步中,我搜索了一些服务并比较了这些数字。 

SERVICE SHODAN BINARYEDGE ZOOMEYE
Memcached 34.000 19.000 45.000
MongoDB 64.000 72.000 46.000
SNMP 2.100.000 0 2.200.000
BGP 700.000 0 700.000
Citrix Netscaler 26 72.000 48.000
Cisco Port 22 370.000 430.000 580.000 

对比图表显示如下:

image.png

如你所见:

l  BinaryEdge在UDP 服务上有盲点;

l  与每个端口的“原始”结果相比,Shodan仍然提供了良好的结果。 

四、结论

BinaryEdge和ZoomEye完全可以和Shodan相媲美。这三种服务虽有细微差别,但都为OSINT提供了有价值的扩展。它们之间没有明显的输赢之分,每项服务都有其优缺点,我喜欢市场上存在竞争。

五、其他

还有一些服务我没有对它们作比较,原因如下:

l  Censys.io:一个不错的服务,但价格太高,限制太多。如果你想以一个合理的价格搜索和下载一个30万的搜索结果时,你不会选择使用它。

l  在对OSINT进行全排名时,Hackertarget.comSecuritytrails.com也是非常有价值的工具,虽然它们提供了某些IP的结果,但是它们不能用于全网范围内的研究。

[1] – I speak mostly about data gathered by internet-wide scan 

[2] – How old observed results might be (based on observation, not measurements)

[3] The resultset for shodan-RDP is somewhat hidden, the tag for Terminalserver/RDP-Server is missing in the products-section.

文章来源:https://www.secjuice.com/new-kids-on-the-block/

译者注:原文存在部分编辑错误,译文已联系原作者并修正。