全球动态

1. 在勒索失败之后黑客公开窃取的 EA 游戏源代码

一个半月前,一群黑客利用 Slack 和社会工程技术从 EA 公司窃取到了 780GB 的游戏源代码,但在勒索失败之后黑客在地下论坛以及 BT 网站上公开了所窃取的游戏源代码。[

全球动态

1. 在勒索失败之后黑客公开窃取的 EA 游戏源代码

一个半月前,一群黑客利用 Slack 和社会工程技术从 EA 公司窃取到了 780GB 的游戏源代码,但在勒索失败之后黑客在地下论坛以及 BT 网站上公开了所窃取的游戏源代码。[

安全研究人员警告说,大量的Kubernetes集群正由于错误配置Argo Workflows实例从而导致很容易受到攻击。

Argo Workflows是一个开源的容器原生工作流引擎,主要用于协调Kubernetes上的并行工作,加快机器学习和大数据处理等计算密集型工作的处理速度,同时它也被用来简化一般的容器部署。同时,Kubernetes也是一个流行的容器编排引擎,可以用于管理云部署。

根据Intezer的分析,由于一些实例可以让用户通过仪表盘访问,不需要对外部用户进行身份验证,恶意软件运营商可以通过Argo将加密软件投放到云容器中。因此,这些配置错误的权限可以让攻击者在受害者的环境中运行具有攻击性的代码。

根据Intezer在周二发表的分析报告中称,在许多情况下,默认配置的权限使得任何用户都可以部署工作流程。在权限配置错误的情况下,攻击者有可能会访问一个开放的Argo仪表板,并进行他们的网络攻击。 

研究人员说,错误的配置还可能会暴露敏感信息,如代码、凭证和私人容器镜像的名称(可用于协助其他类型的攻击)。

Intezer通过对网络扫描,发现了大量的未受保护的实例,它们由包括技术、金融和物流行业在内的几个公司运营。

Intezer称:”我们目前已经确定了受感染的节点,由于涉及到数百个错误部署的容器,以后有可能会发生更大规模的攻击。在其中一个案例中,恶意代码在Docker Hub的一个暴露的集群上运行了九个月之后才被发现。”

实施攻击并不难。研究人员观察到包括Kannix和XMRig在内的很多流行的恶意软件被投放在Docker Hub等存储库的容器中,网络犯罪分子只需要通过Argo或其他途径将这些容器中的一个拉入Kubernetes就能完成攻击。例如,微软最近就调查了很多矿工通过运行机器学习工作流程的Kubeflow框架攻击Kubernetes的案例。 

研究人员说:"在Docker Hub中,发现仍然有许多攻击者可以使用的Monero选项。我们通过简单的搜索,发现至少有45个容器有数百万的下载量"。

如何检查Argo的错误配置

研究人员指出,查看权限是否配置正确的最简便的方法是尝试从企业环境外部使用未经认证的隐身浏览器来访问Argo工作流仪表板。

研究人员补充说,一个更有技术含量的检查方法是访问一个实例的API并检查状态代码。

根据分析,作为一个未认证的用户,向[your.instance:port]/api/v1/info发出一个HTTP GET请求,返回的HTTP状态代码为'401未授权',表明这个实例配置正确,而如果返回一个成功的状态代码为'200成功',则表明一个未经授权的用户能够访问该实例。

Intezer指出,管理员还可以在日志和工作流时间线中检查任何可疑的活动,任何运行时间过长的工作流程都可能表明有攻击活动。

研究人员指出:"即使你的集群部署在云Kubernetes服务上,如亚马逊网络服务(AWS)、EKS或Azure Kubernetes服务(AKS),但是共同责任模式规定,应该由云客户来负责他们部署的应用程序的所有必要的安全配置"。

错误的云端配置为网络攻击提供了媒介

错误的配置现在仍然困扰着云计算领域和各种组织。去年秋天的一项分析发现,6%的谷歌云镜像配置错误,并且向公共互联网开放,任何人都可以访问其中的内容。

有时这些失误会成为头条新闻。今年3月,Hobby Lobby公司被揭露将138GB的敏感信息放在一个向公众开放的cloud bucket中。这些信息包括客户姓名、部分支付卡细节、电话号码、物理和电子邮件地址。

根据云原生计算基金会(CNCF)2020年的一项调查,有91%的受访者正在使用Kubernetes,受访者表示,使用和部署容器的最大的困难是部署的复杂性和安全性。

Intezer研究人员指出:"Kubernetes......是GitHub上最受欢迎的存储库之一,有超过10万个提交和超过3000个贡献者,每年使用Kubernetes的企业和他们部署的集群数量都在稳步增长。由于企业在使用容器和Kubernetes集群面临的这些安全性的挑战,攻击者很有可能会利用容器安全方面的漏洞,进行大范围的攻击"。

安全研究人员警告说,大量的Kubernetes集群正由于错误配置Argo Workflows实例从而导致很容易受到攻击。

Argo Workflows是一个开源的容器原生工作流引擎,主要用于协调Kubernetes上的并行工作,加快机器学习和大数据处理等计算密集型工作的处理速度,同时它也被用来简化一般的容器部署。同时,Kubernetes也是一个流行的容器编排引擎,可以用于管理云部署。

根据Intezer的分析,由于一些实例可以让用户通过仪表盘访问,不需要对外部用户进行身份验证,恶意软件运营商可以通过Argo将加密软件投放到云容器中。因此,这些配置错误的权限可以让攻击者在受害者的环境中运行具有攻击性的代码。

根据Intezer在周二发表的分析报告中称,在许多情况下,默认配置的权限使得任何用户都可以部署工作流程。在权限配置错误的情况下,攻击者有可能会访问一个开放的Argo仪表板,并进行他们的网络攻击。 

研究人员说,错误的配置还可能会暴露敏感信息,如代码、凭证和私人容器镜像的名称(可用于协助其他类型的攻击)。

Intezer通过对网络扫描,发现了大量的未受保护的实例,它们由包括技术、金融和物流行业在内的几个公司运营。

Intezer称:”我们目前已经确定了受感染的节点,由于涉及到数百个错误部署的容器,以后有可能会发生更大规模的攻击。在其中一个案例中,恶意代码在Docker Hub的一个暴露的集群上运行了九个月之后才被发现。”

实施攻击并不难。研究人员观察到包括Kannix和XMRig在内的很多流行的恶意软件被投放在Docker Hub等存储库的容器中,网络犯罪分子只需要通过Argo或其他途径将这些容器中的一个拉入Kubernetes就能完成攻击。例如,微软最近就调查了很多矿工通过运行机器学习工作流程的Kubeflow框架攻击Kubernetes的案例。 

研究人员说:"在Docker Hub中,发现仍然有许多攻击者可以使用的Monero选项。我们通过简单的搜索,发现至少有45个容器有数百万的下载量"。

如何检查Argo的错误配置

研究人员指出,查看权限是否配置正确的最简便的方法是尝试从企业环境外部使用未经认证的隐身浏览器来访问Argo工作流仪表板。

研究人员补充说,一个更有技术含量的检查方法是访问一个实例的API并检查状态代码。

根据分析,作为一个未认证的用户,向[your.instance:port]/api/v1/info发出一个HTTP GET请求,返回的HTTP状态代码为'401未授权',表明这个实例配置正确,而如果返回一个成功的状态代码为'200成功',则表明一个未经授权的用户能够访问该实例。

Intezer指出,管理员还可以在日志和工作流时间线中检查任何可疑的活动,任何运行时间过长的工作流程都可能表明有攻击活动。

研究人员指出:"即使你的集群部署在云Kubernetes服务上,如亚马逊网络服务(AWS)、EKS或Azure Kubernetes服务(AKS),但是共同责任模式规定,应该由云客户来负责他们部署的应用程序的所有必要的安全配置"。

错误的云端配置为网络攻击提供了媒介

错误的配置现在仍然困扰着云计算领域和各种组织。去年秋天的一项分析发现,6%的谷歌云镜像配置错误,并且向公共互联网开放,任何人都可以访问其中的内容。

有时这些失误会成为头条新闻。今年3月,Hobby Lobby公司被揭露将138GB的敏感信息放在一个向公众开放的cloud bucket中。这些信息包括客户姓名、部分支付卡细节、电话号码、物理和电子邮件地址。

根据云原生计算基金会(CNCF)2020年的一项调查,有91%的受访者正在使用Kubernetes,受访者表示,使用和部署容器的最大的困难是部署的复杂性和安全性。

Intezer研究人员指出:"Kubernetes......是GitHub上最受欢迎的存储库之一,有超过10万个提交和超过3000个贡献者,每年使用Kubernetes的企业和他们部署的集群数量都在稳步增长。由于企业在使用容器和Kubernetes集群面临的这些安全性的挑战,攻击者很有可能会利用容器安全方面的漏洞,进行大范围的攻击"。

前段时间,特斯拉刹车失灵等事件热度一直高居不下,引发网友持续讨论,但该事件始终没有结果。

事故责任是否归咎于自动驾驶我们暂且不论,但工信部的这一行动不禁让人产生一些联想。

6月21日,工信部再度出手智能汽车行业,发布《车联网(智能网联汽车)网络安全标准体系建设指南》,公开征求大众意见。该文件内容包括车联网网络安全标准体系框架、重点标准化领域及方向。

微信截图_20210701151131.png

工信部为何持续关注车联网?车联网未来发展会是什么样呢?

首先抛出问题:车联网是什么?

车联网的概念可以追溯到20年前,通用汽车早在1996年就推出了“OnStar系统”,成为最早导入车联网功能的汽车制造商。

车联网顾名思义,就是将智能汽车、行人、智慧道路、指示灯等连在一起,来实现智能出行的目的。

车联网发展至今可大致分为三个阶段:

· 第一阶段通过2G\3G\4G等联网技术,主要实现定位导航、车载娱乐、远程管理和紧急救援等功能。

· 第二阶段运用DSRC和LTE-V两类技术,实现安全预警、高带宽业务、部分自动驾驶服务。

· 第三阶段使用先进的5G(C-V2X)联网方式,远程遥控驾驶、高密度车辆编队行使以及快速协同变道辅助等,利用5G网络低延时及高速率的优点,发展更智能的自动驾驶技术。

第二个问题:现实世界黑客到底可不可以入侵智能汽车?

虽然车联网依托全行业的高新技术,但仍存在安全风险。

行业数据安全管理制度尚未健全,平台对于漏洞的管理并不及时,安全监测预警也未完善,车联网的信息安全仍然任重道远。

不仅如此,从象牙塔走出的车联网已成为黑客的新目标。

IMG_1124.gif

还记得速度与激情8中的僵尸车吗?大反派查理兹·塞隆运用高科技,黑进了数百辆无人驾驶汽车,成群结队的僵尸车从天而降,场面超级震撼。

IMG_1125.gif

僵尸车在现实中也有理论基础,根据中汽数据有限公司发布的《2020车联网信息安全十大风险》,车联网不安全的生态接口、不安全的配置、不安全的加密方式都会给黑客可乘之机,致使黑客能够非法获取后台数据,并远程入侵服务器,最终达到控制车辆(僵尸车)的目的。

除此之外,黑客还可以利用不安全的车载通讯监听数据信息,干扰驾驶安全;利用第三方组件潜在的后门远程控制应用程序,造成敏感信息泄露。

黑客给车联网带来的风险也有实际案例佐证:

· 2018年3月,特斯拉被爆出其Amazon Web Service(AWS)云端服务器帐号遭到黑客入侵,致使敏感信息泄露,包括:遥测数据、地图信息及车辆维修记录等。有趣的是黑客的目的是将这些服务器变成挖矿机,用来执行加密虚拟货币挖矿恶意程序。

· 2018年1月,澳大利亚警方披露了一起GoGet数据服务器的攻击事件。GoGet是澳大利亚首家,也是规模最大的一家汽车共享服务公司,拥有注册会员人数超过9万名,旗下汽车数量超过2500辆。黑客攻击了GoGet的车辆预定系统,窃取了用户的个人信息,可能包括:姓名、家庭住址、电话号码、出生日期、驾驶执照详细信息、就业单位以及GoGet管理账户详细信息。同时黑客还利用他人账户计费来“免费”使用这些汽车,共涉及欺诈总费用为3423美元。

1.png

第三个问题:车联网未来发展将何去何从?

黑客对车联网行业造成的损失不计其数,但在智能网联的大趋势下,车联网的发展不会因为黑客的存在而停滞不前,奇安信、启明星辰、深信服、绿盟科技、安恒信息、天融信等网络安全公司也参与到车联网产业链中,布局行业安全防御体系。

未来的车联网的发展方向可能主要通过深挖漏洞,来达到汽车信息安全防护的目的。将基于攻防平衡原则的汽车信息安全评估和基于全生命周期的汽车信息安全咨询作为重点攻克难题,立足于大数据和威胁情报的汽车信息安全监控,来实现全方位网络连接,提升道路安全,改善交通效率和乘客舒适度。

前段时间,特斯拉刹车失灵等事件热度一直高居不下,引发网友持续讨论,但该事件始终没有结果。

事故责任是否归咎于自动驾驶我们暂且不论,但工信部的这一行动不禁让人产生一些联想。

6月21日,工信部再度出手智能汽车行业,发布《车联网(智能网联汽车)网络安全标准体系建设指南》,公开征求大众意见。该文件内容包括车联网网络安全标准体系框架、重点标准化领域及方向。

微信截图_20210701151131.png

工信部为何持续关注车联网?车联网未来发展会是什么样呢?

首先抛出问题:车联网是什么?

车联网的概念可以追溯到20年前,通用汽车早在1996年就推出了“OnStar系统”,成为最早导入车联网功能的汽车制造商。

车联网顾名思义,就是将智能汽车、行人、智慧道路、指示灯等连在一起,来实现智能出行的目的。

车联网发展至今可大致分为三个阶段:

· 第一阶段通过2G\3G\4G等联网技术,主要实现定位导航、车载娱乐、远程管理和紧急救援等功能。

· 第二阶段运用DSRC和LTE-V两类技术,实现安全预警、高带宽业务、部分自动驾驶服务。

· 第三阶段使用先进的5G(C-V2X)联网方式,远程遥控驾驶、高密度车辆编队行使以及快速协同变道辅助等,利用5G网络低延时及高速率的优点,发展更智能的自动驾驶技术。

第二个问题:现实世界黑客到底可不可以入侵智能汽车?

虽然车联网依托全行业的高新技术,但仍存在安全风险。

行业数据安全管理制度尚未健全,平台对于漏洞的管理并不及时,安全监测预警也未完善,车联网的信息安全仍然任重道远。

不仅如此,从象牙塔走出的车联网已成为黑客的新目标。

IMG_1124.gif

还记得速度与激情8中的僵尸车吗?大反派查理兹·塞隆运用高科技,黑进了数百辆无人驾驶汽车,成群结队的僵尸车从天而降,场面超级震撼。

IMG_1125.gif

僵尸车在现实中也有理论基础,根据中汽数据有限公司发布的《2020车联网信息安全十大风险》,车联网不安全的生态接口、不安全的配置、不安全的加密方式都会给黑客可乘之机,致使黑客能够非法获取后台数据,并远程入侵服务器,最终达到控制车辆(僵尸车)的目的。

除此之外,黑客还可以利用不安全的车载通讯监听数据信息,干扰驾驶安全;利用第三方组件潜在的后门远程控制应用程序,造成敏感信息泄露。

黑客给车联网带来的风险也有实际案例佐证:

· 2018年3月,特斯拉被爆出其Amazon Web Service(AWS)云端服务器帐号遭到黑客入侵,致使敏感信息泄露,包括:遥测数据、地图信息及车辆维修记录等。有趣的是黑客的目的是将这些服务器变成挖矿机,用来执行加密虚拟货币挖矿恶意程序。

· 2018年1月,澳大利亚警方披露了一起GoGet数据服务器的攻击事件。GoGet是澳大利亚首家,也是规模最大的一家汽车共享服务公司,拥有注册会员人数超过9万名,旗下汽车数量超过2500辆。黑客攻击了GoGet的车辆预定系统,窃取了用户的个人信息,可能包括:姓名、家庭住址、电话号码、出生日期、驾驶执照详细信息、就业单位以及GoGet管理账户详细信息。同时黑客还利用他人账户计费来“免费”使用这些汽车,共涉及欺诈总费用为3423美元。

1.png

第三个问题:车联网未来发展将何去何从?

黑客对车联网行业造成的损失不计其数,但在智能网联的大趋势下,车联网的发展不会因为黑客的存在而停滞不前,奇安信、启明星辰、深信服、绿盟科技、安恒信息、天融信等网络安全公司也参与到车联网产业链中,布局行业安全防御体系。

未来的车联网的发展方向可能主要通过深挖漏洞,来达到汽车信息安全防护的目的。将基于攻防平衡原则的汽车信息安全评估和基于全生命周期的汽车信息安全咨询作为重点攻克难题,立足于大数据和威胁情报的汽车信息安全监控,来实现全方位网络连接,提升道路安全,改善交通效率和乘客舒适度。

1. 前言

在很多场景下,如果能够生成Java代码中方法之间的调用链,是很有帮助的,例如分析代码执行流程、代码审计/漏洞分析等。

IDEA提供了显示调用指定Java方法向上的完整调用链的功能,可以通过“Navigate -> Call Hierarchy”菜单(快捷键:Ctrl+Alt+H)使用;Eclipse也提供了相同的功能。但以上都需要针对每个方法进行

1. 前言

在很多场景下,如果能够生成Java代码中方法之间的调用链,是很有帮助的,例如分析代码执行流程、代码审计/漏洞分析等。

IDEA提供了显示调用指定Java方法向上的完整调用链的功能,可以通过“Navigate -> Call Hierarchy”菜单(快捷键:Ctrl+Alt+H)使用;Eclipse也提供了相同的功能。但以上都需要针对每个方法进行