19300001143928130311509350352.jpg

为了促进微博客信息服务健康有序发展,国家互联网信息办公室依据《中华人民共和国网络安全法》等相关法律法规制定了《微博客信息服务管理规定》。该规定共18条,包括微博客服务提供者主体责任、真实身份信息认证、分级分类管理、辟谣机制、行业自律、社会监督及行政管理等条款,于3月20日起施行。

维护微博客信息安全,建立健全辟谣机制

在微博客信息服务管理方面,该规定明令微博客服务提供者应当落实信息内容安全管理主体责任。包括建立健全各项管理制度,具有安全可控的技术保障和防范措施,配备与服务规模相适应的管理人员。制定平台服务规则,与微博客服务使用者签订服务协议,明确双方权利义务。按照“后台实名、前台自愿”原则,对使用者进行真实身份信息认证,并保障使用者个人信息安全等。

为维护网络新闻信息安全,该规定要求,向社会公众提供互联网新闻信息服务的,应当依法取得互联网新闻信息服务许可,并在许可范围内开展服务,禁止未经许可或超越许可范围开展互联网新闻信息服务活动。

在治理虚假信息方面,该规定强调,微博客服务提供者应当建立健全辟谣机制,发现微博客服务使用者发布、传播谣言或不实信息,应当主动采取辟谣措施,从根源上保证信息真实性;另一方面,将举报的权利赋予了全体网民,要求平台需要接受社会监督,设立便捷举报入口。

规定全文

相关阅读

15171070648911497.jpg

除此之外,今年1月,北京市网信办约谈新浪微博:热搜榜等版块暂时下线一周整改。

​​1月27日,国家互联网信息办公室指导北京市互联网信息办公室针对新浪微博对用户发布违法违规信息未尽到审查义务,持续传播炒作导向错误、低俗色情、民族歧视等违法违规有害信息的严重问题约谈该企业负责人,责令其立即自查自纠,全面深入整改。

根据网络安全法等规定,任何个人和组织使用网络应当遵守法律和公共秩序,尊重社会公德,不得有传播暴力、淫秽色情信息等行为。网络运营者不能以仅提供平台服务作为挡箭牌,需要尽到审查和监管义务,发现有发布或传输违规信息的,应立即停止传输该信息,采取消除影响等处置措施。

新浪微博负责人表示,将严格落实网信部门管理要求,对问题突出的热搜榜、热门话题榜、微博问答功能、热门微博榜明星和情感版块、广场头条栏目情感版块暂时下线一周进行整改。下线时间从2018年1月27日21时至2月3日21时。

来源:[正义网] [澎湃新闻] [人民网]

*本文作者:Vulture,转载请注明来自FreeBuf.COM

微信图片_20171222173627.jpg

在2017年全年的安全事件中,有一条贯穿始终的隐藏线索,这条线索在12月份达到顶峰并广受关注,它就是比特币。

时至今日再来谈比特币,大家想到的可能无非就是近一个月比特币价格的大起大伏,但实际上比特币在今年的安全事件中也扮演了相当重要的角色。

下图是Google Trends对于2017年全年Bitcoin关键字搜索量的统计,其中的这些小高峰,对应的是一场场安全事件。

TIM图片20171227183627.png

贯穿于各大安全事件的比特币

2017年5月 WannaCry爆发

Wana_Decrypt0r_screenshot.png

要说今年最大规模的黑客攻击事件,那就非WannaCry莫属了,这起发生于今年5月的攻击影响到超过150个国家上千家企业及公共组织,感染接近230000台计算机设备。甚至连英国的医院系统也受到重创。WannaCry阻止用户访问计算机或文件,要求用户需付费解锁。而解锁的唯一渠道就是支付价值300美元比特币的勒索金。

事实上,最近美国政府发表的公告表示,他们基于确凿的证据,和多重验证得到结论:朝鲜是WannaCry事件背后的主谋。朝鲜也能兑换比特币吗?别急,朝鲜和比特币的关系可能还真不单纯,我们在后文详细说。

2017年6月底 NotPetya肆虐欧洲

6月底,又一款勒索病毒NotPetya横空出世,据称起初是由于乌克兰的一款叫MEDoc会计软件的升级,这次攻击导致了美国,英国以及欧洲其他国家的港口关闭,超市无法收银,商务工作被迫通过纸和笔来完成。

同样地,NotPetya病毒也要求受害者们支付100比特币解锁文件。

事实上,大量的勒索软件收取赎金的方式都是比特币,一是因为各国的在线支付系统往往不统一,如果想做一款传播范围广泛的勒索软件,使用比特币作为收款渠道就可以保证大部分用户都可以找到相应渠道进行支付;二是因为比特币与生俱来的匿名性。

比特币是一个区块链支付系统,由于其采用密码技术来控制货币的生产和转移,而没有中央的发行机构并且不必经过第三方金融机构,因此比特币有特殊的隐秘性。

交易难以追溯,使得比特币成为了勒索病毒作者们一致的选择。可以说,勒索软件在今年的大爆发一定程度上也推广了比特币。

2017年7月 暗网黑市AlphaBay被查封

AlphaBay_shutdown_notice.png

在经历了丝绸之路、丝绸之路2.0相继遭到关闭的命运后,今年7月,被称为“新丝绸之路”的全球最大黑市 AlphaBay 也走上了“丝绸之路”的老路:服务器被 FBI 掌控,疑似管理员在狱中自杀。

比特币具有很强的匿名特性,而暗网由主要销售一些非法的物品,因此比特币一直是暗网的主要交易货币。但事实上由于比特币的应用极其广泛,AlphaBay的查封对比特币的价格并无太大影响,令人惊讶的是,比特币的价格不降反升。

2017年末 挖矿脚本与挖矿病毒

2017年年末,挖矿病毒变成了新的潮流,这类病毒会使用用户设备的CPU资源挖掘比特币,虽然单个用户无法在短时间内挖掘到比特币,但如果数量足够大,黑客还是有利可图的。因此,这类病毒往往通过一些传播量大的形式扩散。

比如12月19日,知名激活工具KMSpico被曝含有挖矿病毒。这是最热门的激活工具之一。KMSpico带有挖矿病毒“Trojan/Miner”。并且该工具的下载网站在各大搜索引擎中排名都相当靠前。根据火绒安全的阐述,在疑似KMSpico激活工具官网“http://kmspi.co”中下载该工具,电脑将被植入挖矿病毒“Trojan/Miner”,利用被入侵的电脑疯狂挖掘门罗币。

12月20日,Wordpress 站点遭遇大规模暴力破解攻击,攻击者试图获取管理员登录账号,安装门罗币挖矿程序。WordPress 安服公司 Wordfence 表示,每小时平均有 190000 个 WordPress 站点遭受暴力攻击,最高峰时每小时攻击达到 1400 万次。研究人员称,此前暗网上泄露的 14 亿明文账号密码可能加速了此次攻击。攻击者的主要目的是在这些网站中植入门罗币挖矿程序,目前为止,攻击者已经赚取价值至少 10 万美元的门罗币。

除此之外,各类网站也在有意无意地插入挖矿脚本。

9月,海盗湾网站在网页中插入加密货币挖矿脚本,通过嵌入加密货币挖矿程序,利用访问网站的用户计算机算力进行门罗币挖矿,这一举动引发大量用户不满。公司迅速弃用脚本,声称只是为了测试新的收益模式的短期行为,可以让网站放弃以广告为主的收入来源。公司称,“你可能注意到我们在测试门罗币挖矿脚本,这只是一次测试。我们真的想要放弃这些广告业务。但是我们还需要足够的网站运营资金。让我们看到你们对此作出什么评价。你是想看到广告呢,还是想浏览网站时候贡献一点你的周期?当然普通挖矿广告拦截就可以屏蔽挖矿”。

15138176807859.jpg

而12月16日,南方周末的网站主页也被曝出挂了加密货币的挖矿脚本,访问时CPU会被占满。 17日下午,南方周末发布了有关说明,称网站遭到入侵被黑客挂上挖矿脚本,现已查清漏洞,删除植入,用户可放心浏览使用网站。

在各种黑客攻击后,黑客也开始直面攻击比特币交易所。

今年韩国大型比特币交易所Youbit遭遇了两次大规模的安全漏洞,造成大量损失。遭到黑客攻击之后,Youbit的母公司Yapian立即申请破产。在一份官方声明中,优比特团队告诉其用户,在优比特交易所持有的75%的股份将可以获取并准备提取。但是,要索取其余的资金,公司表示,投资者将不得不等到最后解决破产程序。

BN-WR683_NKBITC_G_20171220091838.jpg

据“华尔街日报”报道,熟悉正在进行的对优比特安全漏洞的调查的消息人士已经发现了一些迹象和历史证据,表明北韩国家资助的黑客可能参与并发起了黑客攻击。

有知情人士称,有明显迹象和历史证据表明,朝鲜就是首尔交易所Youbit遭黑客攻击的幕后主使。有趣的是在前阶段美国政府对于WannaCry病毒的报告中,朝鲜也被认为是幕后主使。华盛顿韩国经济研究所(Korea Economic Institute)高级主管Troy Stangarone称,朝鲜是最有可能利用网络攻击和比特币这类金融工具的国家。

事实上从动机上我们也不难理解把精力投在比特币上的原因。在研究核武器之后朝鲜需要大量资金,而在国际上,朝鲜又受到大规模制裁,如何通过无法追查的方法隐蔽地获得大量资金呢?比特币的匿名性和日益攀升的价格提供了完美的选择。

说了这么多,该不该买?

2017年年底,比特币经历了大起大落引起万众瞩目。今年11月中旬比特币的价格还维持在5800美元,随后一路攀升,一度在12月初达到20000美元,然后又下跌了几千美元。

TIM截图20171227182647.png

这样的起伏波动引起了大家的广泛讨论,有些人认为,比特币在11月中旬的攀升与民众把比特币作为感恩节礼物购买有关,而芝加哥期货交易所宣布上线比特币也在一定程度上对价格造成了影响。

关于比特币是不是存在泡沫,泡沫什么时候破裂,金融业、科技行业的专家们都发表过自己的看法。

马里兰大学商学教授 Brent Goldfarb 和 MIT 历史学家 William Deringer 称,比特币和他们研究过的泡沫有明显的相似之处。泡沫通常是由新技术驱动,比如上世纪末的互联网泡沫,或者是新的金融创新,比如导致 2008 年金融危机的金融工程学。

安全圈大佬余弦也在他的Telegram频道中表示比特币不合适长线投资。

evil.png

而雅虎联合创始人杨致远则表示,“就我个人而言,我相信数字货币如何能够在我们的社会中发挥作用。但是现在看来,它更多的是受到投资和获取回报的炒作的驱使,而不是用它作为交易货币。”

毫无疑问,比特币的特性,包括它的匿名性、不依赖第三方交易机构的特点是其独特的价值所在,而在前文所述的那些安全事件中,比特币的地位毋庸置疑。随着勒索软件的崛起和暗网市场的猖獗,比特币进一步攀升也不是不可能。于此同时我们也需要留意一些风险。最大的风险来源于政府,大量政府正在尝试对比特币进行管制,其中不乏一些比特币的重要市场,俄罗斯政府就曾表示过要全面禁用比特币;而韩国作为全球三个最大比特币交易所的所在地也在采取措施,虽然韩国禁止所有金融机构参与虚拟货币,但遏制不了投资者的疯狂投资,12月13日,韩国就加密货币问题召开紧急会议,打算进一步遏制比特币交易;作为一款绝佳的洗钱工具,比特币的出现考验的是各国的监管能力,在没有合适的监管手段之前,很多国家都可能采取消极的方法禁止比特币交易。

事到如今,谁也无法预测比特币近乎疯狂的走势,但本篇文章希望做的,是帮助大家认识比特币的现实价值和可能的风险,理性、清醒地看待投资。

*本文作者:vulture,转载请注明来自FreeBuf.COM

探索机器学习新模型,保障账户安全

账号安全往往是企业首先需要保障安全的数据之一,薅羊毛、账号泄露,背后的原因都是账号保护的缺失。

但如何保障账户安全往往是企业需要面临的难题,而随着攻击者的手段越来越高超,网站需要找到行之有效的方法保护账号安全,本篇文章就以Uber团队的账号安全建设为例,给大家讲讲如何用机器学习保障账号安全。

传统的保护账户安全的方法是对你的系统和分析员进行训练,让他们从正常的用户行为中找出异常行为,一旦能找出异常,就可以加以屏蔽。

但在实际操作中,识别异常登录往往非常困难,并且黑客可以使用钓鱼等手段获取到正常用户的密码信息用于登录,因此,工程师采用了多层防御保护这些账号。

本文以Uber团队建设账号保护系统的思路为例。这套保护系统包含传统的判断因素,包括速率限制,以及启发式特征规则,系统会应用机器学习模型。分析师能够部署规则快速响应特定攻击,相反,如果使用速率限制和机器学习,影响到的范围会更大。

在开始介绍之前,我们先介绍一下机器学习的种类,机器学习可以分成下面几种类别:

监督学习从给定的训练数据集中学习出一个函数,当新的数据到来时,可以根据这个函数预测结果。监督学习的训练集要求是包括输入和输出,也可以说是特征和目标。训练集中的目标是由人标注的。常见的监督学习算法包括回归分析和统计分类。

无监督学习与监督学习相比,训练集没有人为标注的结果。常见的无监督学习算法有聚类。

半监督学习介于监督学习与无监督学习之间。

增强学习通过观察来学习做成如何的动作。每个动作都会对环境有所影响,学习对象根据观察到的周围环境的反馈来做出判断。

而深度学习则是机器学习拉出的分支,它试图使用包含复杂结构或由多重非线性变换构成的多个处理层对数据进行高层抽象的算法。

机器学习模型

对于Uber来说,想要建造一个机器学习模型是个挑战,因为攻防双方在不断对抗,骗子会想尽办法更换攻击模式对付模型。

下面的是Uber制作的两个模型,用于识别可疑的登陆行为。一旦识别出异常,Uber就会让用户使用双因素认证验证身份。如果登陆行为特别可疑,还可以主动去进行一些操作保护用户,比如重置密码、通知用户等。

半监督模型

前文提到,机器学习的学习方法多种多样,有监督学习、无监督学习。而半监督学习(Semi-Supervised Learning,SSL)是模式识别和机器学习领域研究的重点问题,是监督学习与无监督学习相结合的一种学习方法。半监督学习使用大量的未标记数据,以及同时使用标记数据,来进行模式识别工作。当使用半监督学习时,将会要求尽量少的人员来从事工作。

探索机器学习新模型,保障账户安全

探索机器学习新模型,保障账户安全

检测异常登录的一种方法是检查攻击者登陆的特征,比如IP地址等。黑客的条件参差不齐,有些只会用到几个IP进行攻击,有些则会用到上万。常见的拥有那些IP的人是web host服务商,tor代理,或者是一些被病毒入侵的个人设备组成的僵尸网络(参考Mirai)。

这是Uber使用的基于IP地址的聚类模型,他们用到PCA降维到二维,使得数据更加方便可视。图片中的点都是IP地址。上下两张图显示的分别是2016年年中和2017年年终的登陆情况,这些聚类的特征其实已经很不同了,这是因为攻防对抗导致攻击者在一年时间里对登陆特征进行了改变。

Uber使用了半监督方法将可疑IP归类到一起。对于每个IP都会加上标签。随后根据算法区分好坏IP的效率对特征进行调整。

这里有一点需要注意,最好使用攻击者难以控制的特性,这样能够让模型更加准确。另外,Uber选用了10个影响较大的特征,然后使用DBSCAN聚类算法寻找IP聚类。

一旦机器学习模型返回聚类特征,分析人员就可以对每个聚类计算某些特定的指标,识别出这个聚类是好是坏。这样的话,其实分析员不需要实现对所有IP加上标签。如果有一些新的聚类中的标签不足以判断IP的好坏,Uber就会提示进行双因素认证,或者通过人工审核来判断。

无监督学习

半监督方法需要事先对样本加上标签,并且防御是被动的,必须等到攻击者发动进攻才可以进行防御。相比之下,无监督学习方法不需要进行标签,也就能够更主动地防御攻击。Uber只会使用正常用户的用户行为训练模型,然后把其他任何不一致的行为判断为异常。除非攻击者是发动针对性攻击(对于一般的攻击者而言这需要资金),否则他们不知道正常用户的用户行为,因此很难绕过检测模型。

比如,某个用户之前去过巴西,那他去印度的概率就不是特别大。安全团队建立了一个深度学习模型学习城市之间的关系。模型会把用户之前旅行过的地方和购买食物的订单作为输入数据,模型会预测下一次用户会去哪些地方。

对于大型数据以及高维度的数据集,深度学习的效果要好得多。因此深度学习相比传统的机器学习更加适合解决这类问题。神经网络相比传统的机器学习拥有的参数更多,因此要想充分训练,就需要喂入更多的数据。除此之外,传统的机器学习很难处理长度不均的数据,而深度学习有循环神经网络层,例如LSTM(Long Short-Term Memory,长短期记忆网络),更擅长处理这些数据。

Uber团队从调查了代表城市的embedding,这是一个低维度映射,用城市之间的距离代表用户在城市之间旅行的可能性。如果仅仅使用经纬度的话,不能捕捉到用户在城市之间旅行的趋势。 团队将自然语言处理(NLP)中常用的word2vec算法应用于算法,以便通过经纬度以外的信息洞察城市间的关系。随后团队使用内部GPU基础架构,通过数亿个训练集训练该模型。

探索机器学习新模型,保障账户安全

探索机器学习新模型,保障账户安全

小结

本文介绍了使用半监督学习和无监督学习算法识别异常用户的方法。特别是无监督学习,具有更广的通用性,能够识别各种设备产生的异常用户。

但实际上保卫账户安全的斗争远远没有结束,在今年8月举办的2017腾讯安全国际技术峰会上,腾讯安全部总经理杨勇提到,黑产在此方面的技术投入也是极大的。黑产也在应用AI技术,他们甚至有应用神经网络的验证码识别系统,准确率能够达到惊人的95%,覆盖了市面上80%的验证码。这就需要互联网公司不断提升壁垒,跟上节奏,用最新的技术保障用户安全。

*参考来源:Uber Security,本文作者:Sphinx,转载请注明来自FreeBuf.COM

sex-robots-can-be-hacked-to-kill-you-1.jpg

性爱机器人会被入侵吗?入侵的后果是什么?

2015年,来自计算机和社会责任中心的Kathleen Richardson博士开启了一个项目,反对与机器人的电子性爱,并且警告可能会出现心理和社会问题。转眼间已经到了2017年9月,现在看来她的观点还是有点道理。

性爱机器人攻击的现实依据

迪肯大学的讲师兼网络安全研究员Nick Patterson称,性爱机器人如果被黑客动了手脚,可以把主人杀死。也就是说,如果黑客能够利用系统中的一些严重漏洞,就可以让攻击者把机器人变成杀手。

“黑客可以入侵机器人或机器设备,从而完全控制机器人,包括手臂、大腿,甚至是其他一些配件工具比如刀等,”而如果黑客能够入侵机器人,也就可以向机器人发送指令。

sex-robots-can-be-hacked-to-kill-you-3.jpg

这样的安全威胁往往被大家忽视,但确实值得警惕。实际上,要入侵机器人并不难,机器人也使用了我们手机和电脑中的操作系统,并且由于性爱机器人会连接互联网,安全性就进一步降低,入侵性爱机器人本质上就变得跟入侵物联网设备一样。

“黑客需要做的最后一件事就是控制那些机器人,之后他们就可以被操控做动作,这些动作可能是有危害性的。”

甚至有些时候高水平的黑客都不需要设备连接互联网。比如Vault 7之前泄露的文档中就包含在断网情况下入侵计算机的方法。

对机器的恐惧

之前伯克利大学的教授Stuart Russell说过,无人攻击机和机器人会让人类处于“无依无靠”的境地,Russell的观点同样也被霍金肯定。事实上有很多科学家和技术人员都对机器人和人工智能持恐惧态度,他们担心机器人具备意识后反叛人类。

相比机器人具备自我意识,当下更需要我们警惕的可能是机器人被人类攻击利用。今年3月IOActive的研究人员发现一些严重漏洞,可能让黑客甚至是国家黑客黑入机器人,利用他们杀人或者窃取军事机密。

*参考来源:HackRead,本文作者:vulture,转载请注明来自FreeBuf.COM

路由器是家庭网络的入口,在IoT浪潮下,路由器也起到了网络守护者的角色。正因为如此,这几年针对路由器的攻击也越来越多,本文就带大家细数这些年针对路由器的攻击。

无线协议漏洞

早些年对路由器的攻击方式大多基于无线协议中的漏洞。早些年无线路由使用的是WEP加密系统,也就是“有线等效加密”,但是与很多存在问题的加密算法一样,WEP加密也是用了RC4的加密方式。2001年8月,Fluhrer等人发表了针对WEP的密码分析,利用RC4加解密和IV的使用方式的特性,结果在网络上偷听几个小时之后,就可以把RC4的钥匙破解出来。这个攻击方式很快就实作出来了,而自动化的工具也释出了,只要用个人电脑、现成的硬件和免费可得的软件就能进行这种攻击。因此WEP在2003年被实现大部分IEEE 802.11i标准的WPA(Wi-Fi Protected Access)淘汰。

WPA相比WEP提升了部分安全性,WPA 的设计中要用到一个 802.1X 认证服务器来散布不同的钥匙给各个用户;不过它也可以用在较不保险的 ”pre-shared key” (PSK) 模式。Wi-Fi 联盟把这个使用 pre-shared key 的版本叫做 WPA 个人版或 WPA2 个人版,用 802.1X 认证的版本叫做 WPA 企业版或 WPA2 企业版。

WPA 的数据会以一个 128 位元的钥匙和一个 48 位元的初向量 (IV) 的 RC4 stream cipher 来加密。WPA 超越 WEP 的主要改进就是在使用中可以动态改变钥匙的“临时钥匙完整性协定”(Temporal Key Integrity Protocol,TKIP),加上更长的初向量,这可以击败知名的针对 WEP 的金钥撷取攻击。

除了认证和加密外,WPA 对于数据的完整性也提供了巨大的改进。WEP 所使用的 CRC(循环冗余校验)先天就不安全,在不知道 WEP 钥匙的情况下,要篡改所载资料和对应的 CRC 是可能的,而 WPA 使用了称为 ”Michael” 的更安全的讯息认证码(在 WPA 中叫做讯息完整性查核,MIC)。

2004年,WPA由实现完整IEEE 802.11i标准的WPA2所取代。WPA2相比WPA比较重要的安全改进是使用了AES而非原来的RC4加密方式。

事实上,无论是WPA还是WPA2都有相应的破解方法,具体就是使用DEAUTH攻击使已经连接的客户端断开并重新连接,以产生握手包,之后再用字典进行破解,但是既然使用到了字典,成功率就相当不确定了。

142303572282.png!small.jpg

2011年12月28日,安全专家Stefan Viehbock曝出WPS(Wi-Fi保护设置)功能的一个重大安全漏洞,此漏洞允许远程攻击者使用暴力攻击在几小时内就能获取WPS的PIN码和WPA/WPA2的PSK码。pin码是一个8位的整数,破解过程时间比较短。WPS PIN码的第8位数是一个校验和,因此黑客只需计算前7位数。另外前7位中的前四位和后三位分开认证。所以破解pin码最多只需要1.1万次尝试,顺利的情况下在3小时左右。WPS认证流程如下图:

14230360418459.png

然而,现实情况是很多路由器会对穷举PIN进行限制,每次猜解的间隔时间会越来越长,因此小编之前做过多次尝试从未成功。

由于攻击方式的局限性,以上所述的漏洞大都已经成为历史,现如今对路由器的攻击大多转为针对特定路由器漏洞的攻击,并且从对无线协议弱点的攻击转向对路由器固件、Web界面的攻击。

针对路由器固件的攻击

14815162248143.png.jpg

近年来有不少针对路由器的攻击,很多知名厂商纷纷中招,并且往往连累的是一个系列的产品,这些路由器爆出的漏洞中很多是厂商因维护需要而开设的后门,有一些则是验证机制存在问题,被轻易绕过:

2016年10月,华硕路由器被P2P僵尸网络程序TheMoon感染。华硕旗下RT-AC66U、RT-N66U等多款路由器中使用的ASUS WRT的infosvr中的common.c文件中存在安全漏洞,该漏洞源于程序没有正确检查请求的MAC地址。远程攻击者可通过向UDP 9999端口发送NET_CMD_ID_MANU_CMD数据包利用该漏洞绕过身份验证,执行任意命令。

同月,D-Link DWR-932B LTE路由器中发现多个后门。研究人员发现了D-Link无线路由器会默认使用两个硬编码的秘密账户(admin:admin and root:1234)运行Telnet和SSH服务。攻击者可以轻松地用shell命令行接入这些脆弱的路由器,然后就可以进行中间人攻击,监控网络流量,运行恶意脚本更改路由器设置。而如果将字符串”HELODBG”作为硬编码命令发送到UDP端口39889就可以利用这个后门,就可以在不经过任何验证的情况下在路由器上启动一个root权限的Telnet。

2016年12月,Netgear多个型号路由器曝远程任意命令注入漏洞,攻击者只需要构造网站,在网址结尾加上命令,在未授权得情况下就能以Root权限执行任意命令。

今年2月,大量Netgear路由器被曝存在密码绕过漏洞。用户试图访问路由器的web控制界面时,需要进行身份验证;如果身份验证被取消,同时密码恢复功能被禁用了,用户就会被重定向到一个页面,而这个页面会暴露密码恢复的token。用户提供了这个token就能获取到路由器管理员密码。

今年4月,数十款Linksys路由器曝高危漏洞,可致远程命令执行及敏感信息泄露。攻击者就可以在路由器操作系统上以root权限注入执行命令。黑客可能会创建后门账号以长期控制路由器。后门账号不会在web管理界面显示,并且不能被管理员账号删除。

14771144383627.jpg

TheMoon僵尸程序的攻击流量

尽管以上提到的案例不多,但这些厂商在路由器市场占到了半壁江山,尤其是Netgear与Linksys,根据NPD Monthly的数据显示,NETGEAR与LINKSYS这两家美国老牌路由器厂商成为了该市场的第一与第二名,并且市场份额超过了60%。而来自亚太地区的D-LINK等厂商则分别领导美国市场的40%份额。

WiFi router share.png

入侵路由器后,黑客便控制了受害者的上网入口,之后能够进行的攻击超乎想象。有些黑客会修改DNS,将它改为恶意DNS,从而可以监控流量,植入广告,或者进行恶意重定向,诱导用户下载恶意软件;而有一些黑客则会利用路由器进行更大规模的DDoS攻击,比如TheMoon僵尸程序、针对IoT设备的僵尸网络Mirai。但实际上,黑客能做的远不止这些,如果要进行针对性的攻击,黑客在内网中进一步进行渗透。

807-3536-封面故事2-600-2.jpg

Mirai僵尸网络影响了全球范围内的大量主机

而直到现在,仍然有大量的路由器尚未修复漏洞,小编简单用shodan的搜索结果进行测试,在20个搜索结果中就找到了一台存在漏洞的Netgear R7000路由器,要注意这是前两页的搜索结果,可想而知肯定有大量黑客都已经进行过对这些结果的检查。

netgear.png

之所以网络中仍然存在大量漏洞的路由原因就是厂商无法进行及时的推送,路由器虽然是网络的入口,却没有一种完善的固件更新机制能让用户一直使用到最新的固件,这可能是厂商亟需解决的问题。

攻击路由新思路

虽然上面提到的漏洞危害巨大,但有一个必要的条件是,路由器端口必须暴露在公网,或者攻击者需要身处同一网络环境中,也就是说,黑客需要通过一些方法进入相同的无线网络,要达到这一目的,除了寄希望于前文提到的无线协议漏洞,还有一些新奇的思路:

WiFi万能钥匙

wifi万能钥匙.png

前几年比较火的WiFi万能钥匙就可以用来进行攻击,这款应用会上传你所输入的路由器密码,开放给他人使用。如果密码未知,万能钥匙还会提供一个弱口令字典,收录了比较常用的密码,帮助用户破解无线网络。虽然工具的原本的目的是让大家能够共享网络,但攻击者可以利用这款应用成功进入他人网络进行进一步攻击,针对不同的路由器黑客可以使用不同的攻击方法,甚至借用前文所说的一些针对特定路由器的漏洞展开攻击。

Switcher病毒

去年12月,曾有一款劫持路由器DNS设置的“Switcher”病毒,也是选择了新的感染途径,它会先感染手机,然后利用软件中内置的弱口令字典爆破路由器web界面,成功后,它会设置恶意DNS作为主DNS服务器,从而劫持用户的整个网络。

Fluxion

Fluxion 

去年年底我们还曾介绍过一款名为Fluxion的工具,它的入侵途径不是网线,而是使用路由器的用户。

Fluxion使用WPA握手功能来控制登录页面的行为和控制整个脚本的行为。它会阻塞原始网络并创建一个具有相同名称的克隆网络,引起断开连接后的用户加入,并且提供了一个虚假的路由器重新启动或加载固件,并请求网络密码继续登录的页面。当用户提供密码后,攻击者就可以借用密码入侵网络,同样的,攻击者在进入网络后可以使用各种针对路由器的漏洞展开进一步的攻击。

假页面.jpg

用户看到的假页面

防范

对于针对无线协议漏洞的防范,相信大家都比较熟悉:在设置路由器时应该选择WPA/WPA2的加密方式,还要选取足够复杂的无限密码;为了防止PIN攻击,还需要关闭路由中的WPS功能。

而对于那些利用路由器后门的攻击,可以从几方面防范:

一是检查路由端口转发配置。因为事实上家用路由很少会暴露在公网环境下,尤其是国内的运营商还会封锁部分端口。因此,如果黑客想要从路由器的Web管理页面入侵,那路由器得要已经暴露在公网上。

二是对路由器的安全功能进行配置,比如为路由器的Web管理页面设置密码,另外就是绑定MAC地址。如果没有进行端口转发的配置,黑客则需要进入Wifi网络进行入侵,无论是上面提到的WiFi万能钥匙还是其他入侵手法都无法避开MAC地址的检查。

*参考来源:Freebuf [1] [2],本文作者:vulture,转载请注明来自FreeBuf.COM

marcapasso-WEB.jpg

研究人员仔细分析了四大厂商的心脏起搏器系统,发现了大量会造成严重影响的漏洞。

植入式心脏设备很多都存在漏洞,这样的情况已经存在很多年了。去年8月,知名做空机构浑水资本(Muddy Waters Capital)在MedSec的协助研究下,发布报告称著名医疗器械公司圣犹达(St. Jude Medical,STJ)生产的多款心脏植入设备存在多个重大安全漏洞,可导致“致命性”网络攻击,对患者生命安全造成威胁。

由于心脏起搏器直接关乎患者的生命,厂商更应该严肃对待其中的安全问题,但研究人员还是在这些产品中发现大量漏洞。

WhiteScope是一家由Billy Rios创立的公司,Billy Rios是第一个分析医疗设备的研究人员。WhiteScope最近发表了一份报告,分析了植入性心脏设备的生态环境架构和依赖性,分析主要关注了心脏起搏器。

多种设备存在安全问题

分析涉及的设备包括四家厂商的家用监控系统,植入设备、起搏器编程器和病患支持网络。研究人员调查了每种设备的类型和设备之间的通信。

调查中所使用的设备购自eBay,研究发现许多产品都采用商业现成的微处理器,逆向工程很容易进行。

TIM截图20170527183107.png

对于家用监控设备,研究人员发现网上能够很容易找到数据表,黑客可以知道监控设备如何工作以及怎么操控他们。由于没有进行打包、混淆和加密,固件的逆向工程也是非常容易。

植入设备中的调试功能同样会暴露固件的信息。恶意攻击者可能会利用这些功能获得入侵一些设备的权限,包括家用监控系统和医生用来对起搏器进行诊断和编程的起搏器编程器。

除此之外,WhiteScope在分析了四个起搏器编程器后发现,他们使用了超过300个第三方库。这些库中的174个存在总共超过8000个漏洞。

四大厂商无一幸存

“尽管FDA在强调网络安全更新上做出了诸多努力,但我们检查的编程器中仍然存在一些含有已知漏洞的过时软件,”Rios在博文中说“我们相信这个统计会显示心脏起搏器的生态系统在确保使用软件最新版本的方面存在问题。没有一个厂商在更新软件方面有特别突出的表现。”

研究人员还发现编程器中存储着一些未经加密的病人数据,包括社保卡号、名字、手机号码和医疗信息。而这些编程器基本上都会用到可移动磁盘,黑客就可以加载磁盘,然后拷走整个文件系统。

TIM截图20170527183218.png

文件系统没有经过加密

另外一个潜在的问题是,编程器不需要任何方式的验证就能够对植入心脏设备进行编程。

研究人员在家用监控系统中也发现了一些漏洞,包括:设备无法把固件映射到受保护的内存中、固件更新没有数字签名也没有对中间人攻击进行防范、设备中存在硬编码的密码、不安全的外接USB设备连接、使用了通用的验证token匹配植入设备。

WhiteScope的报告中并没有提及具体厂商名称以及漏洞的细节,不过具体漏洞已经被报告给ICS-CERT,厂商应该已经收到了警告。

*参考来源:SecurityWeek,本文作者:vulture,转载请注明来自FreeBuf(FreeBuf.COM)

gON6w0SLQTu80FEaERunUw_thumb_4da-800x450.jpg

在防火墙设置中,implicit deny和explicit allow是两种核心的信息安全基础观念。但随着规模和复杂度的逐步扩大,我们发现我们需要允许的东西比我们要拒绝的东西要少得多得多。

这种对所有东西说“不”,除非我们知道它无害的规则在很多新的技术中都有应用,比如应用程序白名单、七层防火墙(WAF)、自适应认证等。我们的科技采用了新科技,但是我们在社交关系中却没有——随着攻击者越来越倾向于使用基于社交网络、社工技术,显然我们需要修改我们的行为方式,在处理与他人的社交关系时也需要采用白名单。

内部信任

就像我们有可信的内部网络和内部系统,我们同样应该找一些内部团队作为我们信息的可信来源。如果不能把他们当作可信来源,可以参考我们当今科技是如何解决这一问题的。我们并不会经常拒绝连接。对于那些可能有用但不一定能够信任的信息,我们会接入连接但放置在沙盒环境中。当与人们建立关系时,零信任模型很少有效。

也就是说我们应该假设我们的内部财务团队、IT团队和其他团队有宝贵的反馈,我们可以利用这些反馈来规避安全陷阱。因此对于内部信任的问题,我们应当不断检查,只有当对方失信时再不信任对方,在此之前我们需要放行。

OSI第八层——安全管理“规则之道”

security layers.jpg

OSI框架中的第八层应该是“管理”——你可以从第一层到第七层都解释一遍,但是如果你没有管理支持就什么都干不成。首先需要做的是发展与管理团队的关系。在着手解决安全问题之前首先与他们合作沟通,尝试理解需求。很多情况下及时沟通就能够避免出现严重问题。建立第八层“管理”框架能够保证你对项目拥有较好的控制。

基于行为的安全

安全虚无主义被大家接受得太快了。如果我们不能达到完美的安全,那为什么要做安全呢?安全控制很少有不出错的。我们不能盲目拒绝改进。我们应当做的是观察行为,然后加强积极的改进。如果大家知道什么是正确的,那一般来说他们就会做那些正确的事。如果他们提升组织的整体安全性,即使没有达到完美,我们还是应该鼓励这种行为。

信息安全技术在过去三十年内迅速发展,而现在我们现在需要将这些技术应用到我们的社交关系上。 我们需要更新与他人交流交往的方法。我们应该在我们的同事之前实行白名单制度,从而实现更好的安全。

* 参考来源:TripWire,vulture编译,文章有修改,转载请注明来自FreeBuf.COM