各位Buffer早上好,今天是2018年9月6日星期四,农历七月二十六。今天的早餐铺内容有:Chrome浏览器69发布,增强安全性;7500台MikroTik路由器被植入挖矿代码和流量转发;Python程序包安装时可能触发恶意代码;微软多个Azure服务因雷击受到影响;声波追踪破解法公布:对手机锁屏密码提出新考验。

WX20180711-155237@2x.png

Chrome浏览器69发布,增强安全性谷歌

Chrome浏览器于2008年9月2日正式发布,距今已经整整10年了。作为10周年庆祝活动的一部分,谷歌发布了面向桌面级、Android和iOS系统的的Chrome 69。 此版本附带了许多新功能,包括新的用户界面设计、更好的密码管理、安全性增强和多种自定义功能。

谷歌产品管理副总裁Rahul Roy-Chowdhury在简单介绍了Chrome 69的更新内容:

今天,为了纪念Chrome的10岁生日,我们推出了几项新功能,包括一些可以使用户更便捷地浏览网页的新设计、一个全新的密码管理器和更加先进的自动保存系统,这样用户就可以更轻松、更安全地完成工作。Chrome的搜索框(Omnibox)也将为用户提供更多信息以便节省时间。

[来源:bleepingcomputer]

7500台MikroTik路由器被植入挖矿代码和流量转发

奇虎旗下的安全实验室报告,7500+台MikroTik路由器被植入挖矿代码并将用户流量转发给攻击者指定的IP地址。MikroTik是一家拉脱维亚公司,其产品包括路由器和无线ISP系统。Wikileaks披露的CIAVault7黑客工具ChimayRed涉及到2个MikroTikde漏洞利用,包括Winbox任意目录文件读取(CVE-2018-14847)和Webfig远程代码执行漏洞。研究人员利用蜜罐发现恶意软件正在利用MikroTikCVE-2018-14847漏洞植入CoinHive挖矿代码,启用Socks4代理,监听路由器网络流量。通过对受害者IP分析,俄罗斯受影响最严重。[来源: Solidot]

Python程序包安装时可能触发恶意代码

Python语言允许用户安装包含在程序中的扩展包以拓展功能。执行程序时,安装包中的代码将按预期执行。但是,很多人都并不知道部分代码也可以作为扩展包本身在安装时直接执行。

GitHub上一位名为mschwager的研究人员演示了一种攻击方法,该方法使用Python模块中的“setup.py”文件,以便在安装包时执行代码。使用此方法,攻击者可以将恶意代码放入可以使用root权限执行的程序包中,但并非所有程序包都需要此级别的权限。[来源:bleepingcomputer]

微软多个Azure服务因雷击受到影响

有网友发现最新几天微软的网络服务似乎很不给力,尤其是Xbox用户,微软商店似乎处于崩溃的状态,包括在线服务、云存储服务等都受到了极大程度地影响,而现在微软Azure发表公告,解释了Azure服务受到影响的原因,称目前微软位于美国的数据中心冷却系统的电压因为雷击而大幅波动,影响数据中心的正常运行。[来源:IT之家]

声波追踪破解法公布:对手机锁屏密码提出新考验

虽然生物解锁的方式越发丰富了,但无论指纹、刷脸还是虹膜等,都还需要同步设置一个4~6位的PIN码。安全机构发现,破解PIN码有了更省时省力的方法。来自瑞典和英国的安全专家展示了SonarSnoop,顾名思义,就是用声波来记录用户手指在屏幕的操作历史。

这项技术除了要黑掉麦克风,还要借助扬声器从手机中发出人耳听不到的、18kHz和20kHz频率的声波。当然,“黑掉”的前提是手机中由被感染的恶意程序。[cnBeta]

各位Buffer早上好,今天是2018年8月24日星期五,农历七月十四。今天份的BUF早餐铺内容有:Chrome隐身模式仍可能泄露个人隐私;GDPR施行三个月欧洲网站Cookies使用量下降了22%;Adobe紧急发布Photoshop CC远程代码执行漏洞补丁;西安警方破获一起特大虚拟币盗窃案。

安全资讯早知道,两分钟听完最新安全快讯~

7562ab71-9093-41e3-9534-6509501370ad--2018-0309_wholeflour-breakfast-cookie_3x2_rocky-luten_033.jpg

Chrome隐身模式仍有可能泄露个人隐私

大多数用户在用Chomre上网时都对它的隐身(Incognito)模式抱着合理的期待,但来自行业组织Digital Content Next委托的一项研究结果却呈现了不一样的情况。范德比尔特大学计算机科学教授、研究论文作者Douglas Schmidt指出,如果用户是通过像Gmail等这样的谷歌服务登录,那么从理论上来说即便是在隐身模式下,谷歌还是能通过cookies将用户的浏览情况跟其身份联系起来。不过如果用户是在登录谷歌账号之前就启动了隐身模式那么跟踪数据就会被清除。[cnBeta]

研究显示多数企业打补丁时效滞后一个月

一则专注于Web应用程序攻击趋势的最新报告显示,多数公司及组织需要一个多月才能修补其系统中存在的关键漏洞。

这些数据来自tCell,该公司研究人员分析了其客户群经历的超3.16亿次安全事件和在AWS和Azure生态系统中的真实攻击案例,于近日发布了2018年Q2《生产环境Web应用程序安全报告》。[darkreading]

GDPR施行三个月欧洲网站Cookies使用量下降了22%

根据路透社新闻研究所对200多个网站的调查结果显示,自引入GDPR(通用数据保护条例)以来的三个月内,欧洲新闻网站已将第三方追踪cookies的数量减少了22%。

1.png

虽然不能证明是GDPR导致了这种下降,但该条例可促使网站查看他们正在使用的cookies,且这些cookies现在必须获得许可才能使用。报告还提到GDPR的引入为网站提供了评估各种功能(包括第三方服务)实用性的机会,以及删除不再具有重要作用甚至损害用户隐私代码的机会。[zdnet]

Adobe紧急发布Photoshop CC远程代码执行漏洞补丁

Adobe昨日发布了一个紧急安全更新,以解决影响Photoshop CC Windows和macOS版的两个关键远程代码执行漏洞。

Adobe周三发布的安全公告显示,Photoshop CC易受两个严重的内存损坏漏洞攻击,这可能导致攻击者远程代码执行。这些漏洞(CVE-2018-12810和CVE-2018-12811)会影响Photoshop CC 2018 19.1.5及更早版本19.x版本,2017 18.1.5和更早的18.x版本也未能幸免。[thehackernews]

加州19岁青年劫持手机号码盗取比特币被起诉

据CCN消息,19岁的Xzavyer Narvaez由于犯有电脑犯罪、身份欺诈和重大盗窃罪等7项罪行而受到加州执法官员指控。据悉,他还通过劫持他人手机盗取比特币并购买了豪车,警方从BitPay和Bittrex调取了其156枚比特币(价值100万美元)的消费记录。[Bianews]

各位Buffer早上好,今天是2018年8月17日星期五,农历七月初七。今天份的 BUF 早餐内容有:报告称多数国人“一套密码走天下”;网传Instagram大量用户账户被黑客锁定;微软8月更新Windows和IE2个0day漏洞;国产红芯浏览器被指作假,实为Chrome换壳产品;美国新国防授权法案禁止购买华为中兴设备;英国半数大型企业储存数字货币用以支付网络勒索。 

安全资讯早知道,两分钟听完最新安全快讯~

timg.jpeg

报告称多数国人“一套密码走天下”

据企鹅智酷发布的《中国网民个人隐私状况调查报告》(下称《报告》)显示,以“几个密码通用于大多数账号”的中国网民占比达到50.8%;对自己拥有的所有账号都采取同一套密码的人占14.9%;在信息泄露时,接近六成人选择仅修改泄露平台的密码。

《报告》显示,用户在网络平台注册账号时,最顾虑的信息中,排名前三的是银行卡号、身份证号和个人详细地址。而对不足以精准定位到用户本人的信息(性别、年龄、城市)则放心的多。对于注册提交前条款协议,仅有16.1%的人会仔细阅读,大体浏览一下的受访者和直接勾选/点同意的受访者比例接近,均占四成以上。[IT之家]

网传Instagram大量用户账户被黑客锁定

Instagram近日遭遇了大规模的黑客攻击,该活动似乎源自俄罗斯,并在过去一周影响了数百名用户,使他们的账户被锁定。

据悉,许多Ins用户在Twitter和Reddit报告了该黑客攻击,称他们的电子邮件地址被更改为.ru域名,因此导致无法登陆Instagram

根据受害者的说法,他们的帐户名称、个人资料、图片、密码、他们的Instagram帐户相关联的电子邮件地址,甚至关联的Facebook帐户都在攻击中被更改。[thehackernews]

微软8月更新Windows和IE2个0day漏洞

微软2018年8月的Patch Tuesday更新修复了60个漏洞,有20个被标记为关键漏洞,另外40个漏洞中,38个为重要漏洞,1个为中等严重漏洞,1个为低风险漏洞,其中包括两个影响Windows和IE浏览器的0day漏洞,其编号分别为CVE-2018-8414和CVE-2018-8373,此前已经被武器化,应用到实际攻击中。

据悉,此次修复的漏洞中有29个可导致远程代码执行(RCE),而20个关键漏洞中有19个都可导致远程代码执行。除了上述的两个0day漏洞外,还有几个漏洞也值得关注,分别是CVE-2018-8350,CVE-2018-8302,CVE-2018-8344、CVE-2018-8273以及CVE-2018-8373。[securityweek]

国产红芯浏览器被指作假,实为Chrome换壳产品

昨日,宣称为自主研发浏览器核心产品的“红芯”公司宣布完成2.5亿C轮系列融资。该公司称,通过研发具有我国自主知识产权的浏览器核心技术,推出了世界第五颗也是唯一一颗属于中国人自己的浏览器内核——红芯Redcore。

然而,据悉对该浏览器解压发现,红芯浏览器最终会得到一个Chrome文件,其版本号是49.1.2623.213,该版本正是Chrome最后一个支持XP系统的版本。而在该浏览器实际使用过程中,不仅操作界面与谷歌Chrome浏览器大致相同,诸如断网界面也与其有着高度类似,均有一只小恐龙画面。

基本可以断定,红芯浏览器与众多国产浏览器一样,仅是一款Chrome的套壳浏览器,与其宣传中宣称的自主内核相差甚远。[腾讯一线]

美国新国防授权法案禁止购买华为中兴设备

美国总统特朗普本周签署了国防授权法案,其中包括禁止联邦政府使用来自华为和中兴的技术,限制在国防安全应用中使用中国公司海能达通信、杭州海康威视和大华技术制造的监控设备。国防授权法案命令联邦政府机构在两年内停止使用中国制造的硬件。如果无法在限期内停用中国硬件,机构可以申请延长淘汰期限。虽然中兴无法再向美国政府销售产品,但解除出口禁令对中兴而言已经是重大利好,它至少不用担心倒闭了。[solidot]

英国半数大型企业储存数字货币用以支付网络勒索

据Citrix委托OnePoll执行的研究显示,通过对英国各地共750名IT企业决策者的调查发现,50%的大型英国企业正在存储数字货币,因为这是他们遭受勒索软件攻击时可向黑客支付费用的途径。

此外,研究还发现59%的受访者的系统曾受到加密攻击,仅38%的受访者表示他们从未遭受加密攻击。[bianews]

关于斗象科技,除了我们所熟知的FreeBuf、漏洞盒子,TCC团队(Tophant Competence Center,简称TCC)你听过吗?今天请随笔者潜入斗象科技上海总部一探究竟!

代表中国,角逐全球顶尖白帽

在今年的6月15-16日,TCC应邀前往英国伦敦参加由全球互联网巨头(保密)与Hackerone平台联合主办的“h1-4420”漏洞挖掘大师赛,并凭借优秀的技术能力在众多国际顶尖白帽子角逐中脱颖而出,包揽「The Exterminator(全场最佳漏洞提交者)」「The Assassin(全场得分最高纪录保持者)」两项大奖。

这次大赛邀请了40多位来自全球各地的顶尖白帽安全专家参与,现场发放奖金超过50万美元。与追求最短时间“攻破”系统的Pwn2Own等传统比赛不同,“h1-4420”线下漏洞大赛要求白帽子们在规定时间内尽可能多的挖掘应用系统漏洞,以挖掘漏洞的数量、质量以及时间综合评判成绩。

0010.jpg

前右二,在伦敦带队参赛的张天琪

本次率队参加比赛的TCC团队成员张天琪(Pnig0s),他其实还有另外一个身份,斗象科技CTO。这次出国参加国际比赛,一方面是斗象科技与Hackerone的良好关系,另一方面也是因为他对漏洞挖掘始终如一的爱好。他是Facebook顶级白帽子,也是漏洞盒子核心安全专家,在漏洞挖掘与利用方面有着丰富的实践经验和独到见解,曾多次上榜Google、Microsoft、Paypal、Yahoo等国外厂商安全名人堂。

在今年初,国际著名众测平台Bugcrowd以及国内云计算大厂阿里云也分别授予张天琪「2018 Bugcrowd MVP(最有价值专家)」和「阿里云MVP」称号。

屏幕快照 2018-08-13 下午5.11.55.png

屏幕快照 2018-08-13 下午5.13.18.png

作为斗象科技联合创始人之一兼首席技术官,张天琪负责国内领先的互联网安全众测平台「漏洞盒子」全息智能安全威胁分析系统「网藤风险感知」的整体技术研发工作。而挖掘漏洞,是他从业10年一直未曾间断的“个人爱好”

“挖漏洞是我个人的爱好,加入斗象刚好把爱好变成了一份工作。在这里,把我以及TCC团队成员的安全能力汇聚起来,转变为最前端的安全技术去回馈白帽社区和企业。”

就在本文发布时,张天琪又率TCC团队前往拉斯维加斯参加另一场比赛了,期待他们的凯旋。

沉迷机器学习的安全老兵

他是一位浸淫安全10多年的“老司机”——毕业于新加坡国立大学数学专业,曾供职于新加坡电信(海外)任安全总监,带领百人安全R&D团队。在职期间涉及的安全领域包括安全与风险管理,软件开发安全,安全评估与测试,逆向工程,移动安全,机器学习,通信与网络安全。他对国内外安全产品、机器学习、安全架构如数家珍,具有较高的全球视野与丰富的经验。

他是徐钟豪,TCC团队负责人,熟悉的人更习惯称他“钟教授”。

IMG_5869-1.jpg

去年,人工智能火爆全球,安全圈亦不例外。人们热衷于探讨人工智能时代网络安全面临的机遇和挑战,但说的人多,做的人少,而钟教授所带领的TCC团队正是其中的“少数派”,脚踏实地,多做少说。

钟教授说,早在这个话题(人工智能)热潮刚刚兴起的时候我们团队就已经在做这块的研究了,那时甚至TCC团队都还未正式成立。如今,在他的带领下,TCC在机器学习安全应用方面取得了多个不错的研究成果,并且在多个用户那里得到了实践的检验。

机器学习技术究竟是如何应用的?钟教授举了个关于「DNS隐蔽隧道检测」的例子(笔者真的听懂了你信吗?不过为了更准确的表述下文也会更多地引用钟教授的原话,看官们也可以前往「TCC博客专栏」自行阅读了解更多)。

DNS协议是必不可少的网络通信协议之一,为了访问互联网和内网资源,DNS提供域名解析服务,将域名和IP地址进行转换。网络设备和边界防护设备在一般的情况下很少对DNS进行过滤分析或屏蔽,因此将数据或指令藏匿于DNS协议中进行传输是一种隐蔽且有效的手段,常被APT攻击者在入侵内网成功后向外传输重要数据文件时使用。目前主流的检测手段多是基于监控终端请求异常长度的域名等传统的规则,攻击者可以使用商业渗透套件如Metasploit,或一些开源软件快速轻易地构建DNS隐蔽隧道,并且可以通过修改域名长度、请求频率等特征轻易绕过传统检测模型。

相比于基于规则的静态阈值检测误报高,易被绕过等问题,利用历史数据对机器学习模型进行训练,使其学习出一个DNS隧道构建模式再用于检测,可以很好的应对层出不穷的变种。据悉,DNS隐蔽隧道检测的机器学习模型载入网藤风险感知系统后已经在某教育行业用户的内网环境中得到成功的验证。

2018年,异军突起的区块链抢走了人工智能的热度,安全圈又重新陷入新一轮的话题狂欢中。未来在哪?“人工智能。”钟教授不假思索的告诉笔者。“语音识别、图像识别等方面人工智能技术已经有了很多成功的应用案例,在安全领域,人工智能技术也必将带来一场革命。尽管目前还是以前期探索为主,实际应用案例不多,但是前景无限。最直观的就是AI可以非常有效的弥补安全人才数量,安全人员分析能力不足的问题。”

“现在攻击者们掌握的技术、开源软件越来越多,催生出的攻击手段可以说日新月异。只有你想不到,没有他做不到。传统安全产品对绝大部分的新型攻击手段无法进行有效判断,而经过大量数据训练学习的机器学习模型则可以快速地对新威胁作出检测判断。人工智能的未来有无数的可能,这是安全真正的未来所在,也是我们TCC团队所追求的目标之一。”

除了上面教授举例提到的DNS隐蔽隧道检测应用机器学习技术外,已经在网藤产品功能中得到实践应用的还有暗链检测、WebShell检测等,在此不做过多赘述,对TCC的机器学习研究感兴趣的朋友可以访问他们的博客,后续会保持更新。

开源分享,极客精神

TCC团队专注于安全前沿探索,漏洞挖掘分析、机器学习、网络安全分析、Web安全研究、大数据分析、IoT安全研究、区块链安全研究等都是他们的涉猎范围。打造核心安全能力的同时,TCC也践行着极致与自由分享的极客精神,积极将研究成果与业界共享。

TCC.jpeg

能力中心的每位成员都是各领域独挡一面的技术专家

去年10月,在深圳FreeTalk安全沙龙活动上,TCC团队首次登上舞台,向大家分享并开源了一款叫做——Osprey(鱼鹰)的漏洞检测框架。Osprey最初只是TCC团队内部自行开发使用的一款PoC检测小工具,随着需求以及使用场景的复杂化,逐渐的迭代升级,演化成为一个集成与调用更灵活多样的框架工具。它不仅能够帮助进行快速的漏洞检测,还规范PoC编写,帮助快速输出PoC。

当一个新的漏洞被批漏出来,安全技术人员、研究人员会对漏洞原理进行剖析研究,然后输出对该漏洞的检测脚本(以下简称PoC)。随后,利用输出的PoC对客户或自有的产品、服务器等进行漏洞检测,最后提出对漏洞的修补建议。在整个漏洞生命周期中,最受关注的一点就是「PoC的输出」。

令笔者感到奇怪的是,其实在安全圈已经有很多开源可用的框架,TCC团队为什么还要自己再做一个?对此,钟教授解释说,Osprey不仅是一个我们团队自己用的小工具发展而来,本着开源的精神分享给大家以外。Osprey也有着自己独特的地方。比如命令行与 Web API 接口使 Osprey 的集成与调用更灵活多样,使用者可以简单的用 Osprey 作为PoC工具检测漏洞,也可以利用它来定制开发自己的漏洞检测扫描器。另外,搭配 dnspot 组件(TCC的另一个开源项目,它实现了一个DNS解析和记录服务器。),Osprey还可以更全面的捕捉漏洞。

据悉,这款框架工具已经应用在了斗象科技旗下安全威胁检测分析产品网藤CRS中。(感兴趣的读者也可至Github自行下载研究: https://github.com/TophantTechnology/Osprey )。

招兵买马

最后应钟教授的要求,打一波小广告。斗象科技能力中心持续招人中,岗位包含安全研究、机器学习、数据分析、大数据研发、安全研发等,只要你有一技之长,都欢迎投递简历到[email protected]自行勾搭。

各位 Buffer 早上好,今天是 2018 年 8 月 10 日星期五,农历六月二十九。今天份的 BUF 早餐内容有:Snapchat源代码被黑客泄露发布到GitHub;三名区块链安全研究员入围2018 Pwnie Awards;Whatsapp存在漏洞允许攻击者更改用户聊天信息;美官员称移动漏洞威胁数百万美国用户;

1.jpg

Snapchat源代码被黑客泄露发布到GitHub

近日,流行社交媒体Snapchat的源代码被黑客泄露,并将其发布在GitHub上。自称来自巴基斯坦的Khaled Alshehri创建了一个名为Source-Snapchat的GitHub存储库,发布了据传是Snapchat的iOS APP源代码。底层代码可能会暴露公司机密信息,如应用程序的设计思路、工作方式以及为规划中的未来功能等。[thehackernews]

三名区块链安全研究员入围2018 Pwnie Awards

被称为是安全奥斯卡的Pwnie Awards每年都会颁出年度信息安全最佳奖和最差奖,做出卓越贡献的黑客和安全研究人员将被授予玩具小马的奖励。今年有三名区块链研究人员将参加Pwnie Awards,他们分别是Naha Narula、Ethan Heilman和Bernard Muller。

1.jpg

MIT数字货币项目负责人Naha Narula、波士顿大学研究员Ethan Heilman因在人们加密货币IOTA中破解了哈希函数而受到了“最佳加密攻击奖(Best Cryptographic Attack)”的提名。此外,Consensys的安全工程师Bernard Muller因在Ethereum智能合约安全工作上作出的贡献而受到“最具创新研究奖(Most Innovative Research)”提名。[cnBeta]

Whatsapp存在漏洞允许攻击者更改用户聊天信息

累计超10亿用户、每天约发送600亿条信息的WhatsApp近期遭遇了严重安全问题,为此他们不得不限制特定消息的转发次数。

据悉,来自CheckPoint的研究人员找到了一种更改会话的方法。他们可以篡改收到的回复,通过引用内容使其看起来来自另一个不属于该群组的用户,然后这条只能在相应群组中才能查看的私人消息就会被所有人随意查看。[bleepingcomputer]

WhatsApp-Hack-3.jpg

美官员称移动漏洞威胁数百万美国用户

正在拉斯维加斯召开的BlackHat 2018大会上,美国土安全部官员Vincent Sritapan向新闻机构透露,当前智能手机中存在严重安全漏洞。报道称该漏洞涉及美国四大通信运营商(Verizon,AT&T,T-Mobile和Sprint),数百万美国智能手机用户受到影响。具体表现在黑客可以通过这些漏洞可以在用户不知情的情况下访问用户的电子邮件、短信等等。[cnBeta]

隔壁部门李全蛋今天又无精打采,一问才知道昨晚他把手机给砸了——吃X决赛圈又碰到挂了,连续三把。前台美女张小花也是X鸡游戏外挂的受害者,没抵抗住诱惑加群下载了个透视加自瞄辅助,结果中了挖矿木马……

众所周知,各类游戏外挂多如牛毛,手游也不例外。如今市面上充斥着各种XX助手、XX精灵,往往还美其名曰“辅助”。2018年网易云创大会期间,笔者有幸与网易云易盾移动安全总监卓辉面对面交流,深入聊了聊隐藏在游戏行业水面之下的那点事儿。

2.png

从端游到手游,卓辉一直战斗在反外挂的最前线

在游戏安全领域摸爬滚打十数年,卓辉算的上一名老兵了,而他最直接的观点就是:

外挂是游戏行业的第一大敌

与游戏外挂斗了这么多年,卓辉认为外挂成灾最直接的受害者不是别人,其实就是开发者。他们除了负责游戏核心玩法的迭代外,还得疲于奔命地应付游戏脚本被逆向、角色属性被修改、游戏速度可调节等一箩筐问题。诚然,大厂的研发人员可能不需要操心这么多,然而对于很多小公司乃至独立开发者而言,这些都是不得不面对的问题。

其次则是游戏运营人员,产品口碑下滑导致玩家不断流失,游戏营收呈断崖式暴跌……因为外挂倒掉的经典游戏也确实不算少数,还记得天国的《石器时代》和《奇迹》吗?

根据网易大数据分析,一款游戏的外挂使用者占比约为1%-10%(不同类型的游戏占比差异较大),约有23%的玩家会因为外挂问题流失。而非法打金工作室则是游戏运营团队最大的敌人,他们会破坏游戏的经济系统,导致严重的通货膨胀,极大地损害了厂商的利益。

最后就是普通玩家本身了。据第三方调查机构统计,近期大火的某款吃鸡游戏,外挂使用占比已经超过了10%的临界点。这是什么概念?普通玩家几乎每局匹配都会遇到神仙,这对于正常玩家而言毫无疑问是不可接受的。

6.png

卢老爷“生前”也是体面人

走近网易云易盾

本次专访的主角网易云易盾,据悉覆盖了99%的各类游戏外挂,包括修改器、加速器、脱机挂、模拟点击、内购破解、游戏代码&资源窃取,其主动加固防御功能采用了函数级加密技术,防御成功率95%,可以帮助游戏减少30倍的外挂作弊数。

作为网易云易盾核心功能的关键技术,函数级加密成功地引起了我的注意……

经过一番讲解,非技术出身的笔者也听懂了(真的吗)。在U3D加载DLL的时候,破解者必须先从手机上把文件读取出来再进行解密,但经过这个过程,很多传统的保护可能就到此为止了。对于破解者来说,完全可以在内存里面找到DLL内存布局,这样游戏所有的核心逻辑、核心玩法就会被破解掉。而所谓的函数级加密,就是在前两代的保护的基础上,再加入第三层的数据保护,具体的实现逻辑很复杂,其核心概念就是通过特殊算法使破解者无法Dump出完整的内存布局,以此来对抗内存端口破解,可以通过下图来进行理解。

5.png

函数级加密相比传统加密方式,可以更加有效地保护游戏的核心数据

面对不同类型的外挂应用不同的处理方案,卓辉是这样向笔者介绍的。

吃鸡类游戏不在意“成长性”,因此犯罪成本很低,事后封禁完全不具备威慑力,下个号又是一条好汉。所以我们的策略是一定要做到当前就干掉(开挂过程中强制断线等)。而MMO则正相反,账号是具有强成长性的,玩家也会对辛苦的积累非常重视。因此会采用“水牢” 、“赎金”甚至“降低收益”等方式进行处罚,反外挂的策略是有明显区别的。

据笔者了解,第二种处罚方式甚至还为某些游戏取得了一定的额外营收……

除了重头的反外挂功能,网易云易盾同样在网络安全、业务安全、内容安全等方面下了功夫。

据悉,游戏行业已成为2018年遭受DDoS攻击最多的重灾区,尤其是手游。卓辉提到网易云易盾也可为多种业务场景的开发商提供专业抗D服务,实时监控网易云基础服务中的负载均衡、数据库和未绑定IP的流量,过滤并清洗其中的异常流量,保障业务系统安全稳定运行。面对垃圾注册、撞库盗号、薅羊毛等恶意行为时,易盾应用AI及大数据技术,提供注册保护、登录保护、营销反作弊等实用功能保驾护航。

卓辉还帮我算了笔账,哪怕养只有1-2个人的安全团队,从零开始做防护,一年的成本最少也在50万以上。

而且这种规模的团队做出来的效果,也往往不尽如人意,更不用说和大公司的产品相比了。

游戏黑灰产业链

网易曾多次在公开场合表达了对于外挂“零容忍”的态度。除了在线上对外挂进行坚决封杀,网易还配合有关执法部门,在线下对外挂的制作个人或团队采取刑事手段予以打击。

去年12月,在运营团队的协助下,法务部门发现犯罪嫌疑人X姓男子在某助手平台销售某吃鸡类游戏外挂脚本,并向公安机关报案。今年1月,公安机关在深圳将制售外挂的犯罪嫌疑人X姓男子、Y姓男子成功抓获,两人也承认了自己制作外挂的事实。目前,二人因涉嫌构成非法经营罪已被依法刑事拘留。

看到这儿,好像感觉打击外挂也没那么难?那你就大错特错了。

国内互联网黑产人员已超过150万人(卓辉说这条其实也是从你们FreeBuf看来的,当时笔者就乐了),近年来发展迅猛的游戏行业吸金效率节节攀升,早已成为众多不法分子眼中的肥肉。基本可以肯定说,黑灰产不法分子在规模上,已经远远超过国内安全团队。至于线下抓捕,更是难上加难。卓辉提到,从立案到收集证据,直到最后的抓捕行动,都将耗费巨大的人力与金钱成本,一般的小公司根本无法承担。

1.jpeg

笔者了解到,某外挂作者被捕时身价已高达5000多万

高额利润催生精细化分工,游戏外挂黑灰产业也不例外。远古时代,外挂作者往往一人承担外挂开发、传播、销售等工作,如今则有相当程度的分工合作。除此之外,游戏公司内部代码泄露、不法平台仍然存在外挂销售渠道、立法工作困难重重,所以反外挂战争虽然取得了一定的成果,但还是有很长的路要走。

尾声

聊到未来的发展,卓辉踌躇满志。作为游戏安全行业的“填坑人”,他将带领团队继续探索人工智能及大数据方向的应用(图像识别技术检定外挂,对数据量的要求非常高),并在游戏信用体系上持续研究,对游戏场景和游戏类型进行细化,不断优化当下的反外挂服务,将更好、更高效的手游反外挂服务带给大家。

各位Buffer早上好,今天是2018年8月3日星期五,农历六月二十二。今天份的BUF早餐内容有:Steam上出现假冒游戏的挖矿软件;Telegram被曝新的身份验证程序加密方式易受攻击;浙江省1000万学籍数据正在暗网售卖;乌克兰黑客窃取美国1500万张信用卡记录被捕;Reddit再曝数据泄露事件,05-07年曾遭黑客入侵。

安全资讯早知道,两分钟听完最新安全快讯~

1.jpeg

Steam上出现假冒游戏的挖矿软件

虽然审核机制比较完善,但目前最大的PC端游戏平台Steam上的还是会存在一些非法游戏。昨天,一款名为《Abstractism》的游戏遭到Steam强制下架,原因是此款游戏涉嫌利用玩家的电脑挖矿。

通过调查,发现这款游戏会给PC安装加密货币挖掘软件,这将给玩家造成巨大风险,可能导致PC性能下降、电费增加等恶果。[threatpost]

Telegram被曝新的身份验证程序加密方式易受攻击

据外媒报道,美国创业公司Virgil Security已经发现了Telegram新的身份验证应用程序即护照中的几个弱点。第一是护照加密密码的方式,攻击者可根据用户的密码强度进行破坏。第二是因为用户上传到Passport的数据并没有签名,攻击者可根据这一弱点在没有人知道的情况下改变数据。[bianews]

浙江省1000万学籍数据正在暗网售卖

昨天下午,威胁猎人通过暗网监测到,浙江省1000万学籍数据正在暗网上售卖。从暗网截图显示来看,售卖的学籍数据覆盖了浙江的大部分市区,被泄露的信息包含了学生姓名、身份证、学籍号、户籍位置、监护人、监护人号码、居住地址、出生地、学校名称等。售卖的学籍数据里还提供有照片链接,数据在100G左右。[威胁猎人]

乌克兰黑客窃取美国1500万张信用卡记录被捕

据外媒报道,三名乌克兰公民近日因参与一项针对100多家美国企业的长期网络攻击行动而被捕。根据起诉书了解到,该团伙在过去总共从6500多个销售点终端盗取了超1500万张信用卡记录。据安全研究人员介绍,这个叫做Carbanak的团伙利用社交工程和网络钓鱼攻击渗入到企业并从中盗取金融数据。[cnBeta]

Reddit再曝数据泄露事件,05-07年曾遭黑客入侵

美国社交媒体Reddit昨日宣布,该公司的几个系统遭到黑客入侵,导致一些用户数据被盗,其中包括用户目前使用的电子邮箱以及2007年的一份包含旧加密密码的数据库备份。Reddit称,黑客获取了旧数据库备份的一个副本,其中包含了早期Reddit用户数据,时间跨度从2005年该网站成立到2007年5月。[cnBeta]

各位Buffer早上好,今天是2018年7月30日星期五,农历六月十八。今天份的BUF早餐内容有:亚马逊面部识别误将国会议员识别为罪犯;推特下架超过14万违反隐私政策的APP;在押囚犯利用平板漏洞窃取22.5万美元数字资产;Google Play商店封杀加密货币挖矿APP;网友微博求票遭山寨票务账号诈骗。

安全资讯早知道,两分钟听完最新安全快讯~

早餐铺

亚马逊面部识别误将国会议员识别为罪犯

美国公民自由联盟(ACLU)测试了亚马逊的面部识别系统,结果并不好。为了测试系统的准确性,ACLU使用亚马逊的开放式Rekognition API扫描了所有535名国会议员的面孔,对照25,000张公开的警方嫌疑犯照片。没有一个国会议员过去曾经是警方嫌疑犯,但亚马逊的系统发现有28个国会议员匹配警方嫌疑犯照片,这一发现,让ACLU严重担心警方使用的面部识别系统的准确性。[cnBeta]

1.png

推特下架超过14万违反隐私政策的APP

Twitter本周表示,他们在4月至6月期间从其平台上下架了超过14万个APP,作为违反其API隐私政策的处罚,并宣称“我们不会容忍使用我们的API来制作垃圾邮件、控评或侵犯个人隐私”。

社交网络一直被指责拥有大量经常影响公众讨论和意见的机器人(当然也有一大批活人粉丝参与控评),大多数情况下,这些机器人通过Twitter API应用程序进行控制,这些应用程序可以自动执行操作,例如喜欢、关注和推文。[bleepingcomputer]

在押囚犯利用平板漏洞窃取22.5万美元数字资产

外媒报告,关押在美国爱达荷州监狱的364名囚犯通过由JPay公司所提供平板中的漏洞,成功窃取了价值22.5万美元的数字凭证。JPay是专门为监狱囚犯提供电子邮件、音乐、游戏和汇款等数字服务的私人公司。

爱达荷州监狱发言人Jeff Ray在声明中解释道:“囚犯利用JPay内部的漏洞,来不正当的增加JPay账户余额”。已经有数百名囚犯通过这种方式增加了账号余额。目前尚不清楚这个漏洞是什么,以及有多少囚犯利用了这个漏洞。目前JPay已经回收了价值65000美元的数字资产,并暂停这些囚犯使用这些额度来下载音乐和手机游戏。[cnBeta]

Google Play商店封杀加密货币挖矿APP

GooglePlay软件商店存在一个禁止名单,列出了被其封杀的内容或者软件类型,如涉及到不当言论、暴力、恐怖分子、校园欺凌等软件将被删除。据悉,谷歌近日更新了禁止名单,宣布所有的挖矿软件将停止上架。该公司表示,过去已经上架的加密货币挖矿软件,也将在未来几天内撤架。[slashgear]

2.jpg

网友微博求票遭山寨票务账号诈骗

近日,多名网友向北京青年报反映称,在微博上购买演出门票时,遭遇山寨票务账号的诈骗。北青报记者调查发现,微博上打着票务网站工作人员旗号的山寨账号不在少数,大多通过发布有票信息和主动接近求票网友的方式,售卖并不存在的演出门票骗取钱财。

专家提示,随着移动支付的不断推广,利用收付款二维码骗取钱财的代买票骗局越来越多,鉴别这些骗局的一大标识就是是否要求私下打款,“通常来说,要求私下打款的基本上都是骗子”。李治同时提示消费者,互联网时代,线上消费还是要认准官方平台,以最大程度降低被骗的可能性。[IT之家]

*本文由Akane整理编译,转载请注明来自FreeBuf.COM

各位Buffer早上好,今天是2018年7月23日星期一,农历六月十一。今天份的BUF早餐内容主要有黑客入侵俄罗斯银行窃取100万美元;百度搜狗等搜索引擎搜出假物流;美国零售业数据泄露率持续创下新高;手机息屏拍摄功能引争议,专家这样解读。

安全资讯早知道,两分钟听完最新安全快讯~

     

1.jpeg

黑客入侵俄罗斯银行窃取100万美元 

臭名昭着的黑客组织Money Taker通过老旧的路由器设备入侵了俄罗斯银行的网络系统,窃取了大约100万美元。

安全机构数字取证实验室的负责人Valeriy Baulin称,“这不是2018年以来第一次成功攻击俄罗斯银行的黑客行动。我们至少知道三起类似事件,但在调查完成之前,我们无法透露任何细节。”[bleepingcomputer]

百度搜狗等搜索引擎搜出假物流

近期,有消费者向记者爆料称,百度、搜狗、58同城等检索出假德邦物流,根据搜索出的网站下单,前期支付数百元,一周后却被告知要自提还要加上千元,否则收不到货物。虚假广告正侵蚀我们的生活,一些网络平台成为虚假广告的“电线杆”。

“本应送货上门,对方却要求自提,还要额外支付500元差价。”谈到自己最近的“假物流”遭遇,肖先生很恼火,“要把一些物资从武汉运到海南,就用手机百度搜索“德邦”,联系了搜索排名第一位的“德邦物流官网”,官网、收货员制服以及面单上都写有“德邦”字样,没想到遇到的却是一家假物流”。[cnBeta]

美国零售业数据泄露率持续创下新高

Thales日前公布了2018年数据威胁报告零售版的结果,据美国受访者称,接近75%的零售商曾遭遇过数据泄露,去年这一比例为52%,均超过了全球平均水平。

随着行业数字化转型的发展,美国零售业也日渐倾向于将敏感数据存储在云端,但本次调查显示,只有26%的受访者实施了数据加密,这一数字再次落后于全球平均水平。[helpnetsecurity]

手机息屏拍摄功能引争议,专家这样解读

小米和华为荣耀部分机型都有息屏拍摄功能,顾名思义,这个功能就是在屏幕未亮起,并且没有声息的前提下进行拍摄,不同厂商给这个功能起的名字不一样,有的叫“街拍模式”,有的叫“息屏快拍”,但功能都是差不多的。毫无疑问,这些敏感的功能可能会为偷拍带来便利。

中国互联网协会信用评价中心法律顾问、知名IT与知识产权律师赵占领表示,法律上对此并没有禁止,手机也并不算监听设备,原则上,上市后的手机具有的功能都可正常使用。“但如果用于街拍等,拍摄前应该告诉对方,和是否息屏拍摄没关系,因为不息屏也可以偷拍。”赵占领称,未经过拍摄对象同意进行偷拍构成侵权,主要侵犯肖像权和隐私权。[IT之家]

专家称区块链技术发展中安全问题最重要

昨日,赛迪区块链研究院院长刘权在“链向未来·全球区块链应用价值峰会”上表示,区块链技术发展过程目前面临缺乏顶层设计、核心技术突破、人才短板等问题,不过最重要的仍然是安全问题。刘权认为,区块链技术承载的延伸意义已经远超加密货币这个范畴,它可以建立互信的技术机制,为信息防伪和数据追踪提供了革命手段,能很好地解决信息保护和授权访问、慈善款和补贴被挪用等问题。[bianews]

*本文由Akane编译整理,转载请注明来自FreeBuf.COM

各位Buffer早上好,今天是2018年7月19日星期四,农历六月初七。今天份的BUF早餐内容主要有:微软取代Facebook成为网络钓鱼者伪装的首选公司;iOS 12 beta 4:解锁才能使用USB配件;美女因窃取瑟琳娜戈麦斯账户信息被指控;调查显示信安从业者也爱使用相同密码;CVERC发布预警:不要下载以下有害应用。

安全资讯早知道,两分钟听完最新安全快讯~

1.jpeg

微软取代Facebook成为网络钓鱼者伪装的首选公司

网络钓鱼攻击者往往会通过各种手段伪装成各种知名企业来欺诈受害者,以便于让受害者透露个人密码和隐私数据。根据安全公司Vade Secure在今年第2季度完成的调查报告,微软取代Facebook成为攻击者伪装的首选,Facebook下降两个名次,低于PayPal。

Facebook历来是网络钓鱼URL的重灾区,不过因为比往年下降了54%而位居第三。此前,Facebook是攻击者最愿意伪装的钓鱼目标,因为不仅包含丰富的消费者数据,而且还能用于访问众多第三方应用和服务。不过在剑桥分析丑闻事件爆发之后,Facebook不断努力提高安全性能,增强了该平台的审查力度,导致钓鱼攻击目标有所下降。[cnBeta]

iOS 12 beta 4:解锁才能使用USB配件

苹果公司正在不断完善iOS 12系统,让iPhone的Lightning接口变得更加安全。之所以这么说,是因为苹果在今天凌晨发布的iOS 12 beta4中给这个接口增加了额外的安全防护。iOS 12最新测试版的改动是基于USB限制模式的,该模式将在iOS设备最后一次解锁超过一个小时之后禁用设备的Lightning接口。这个Lightning接口仍然可以用来充电,但是在设备解锁之前,所有配件都无法使用。[cnBeta]

美女因窃取瑟琳娜戈麦斯账户信息被指控

美国新泽西州一名21岁女子被指控入侵赛琳娜戈麦斯的电子邮件,窃取她的私密信息。该女子被指控犯有11项重罪:5项身份盗窃、5项使用计算机数据进行欺诈或非法获利,以及1项未经许可访问计算机数据的罪名。

赛琳娜在Instagram上拥有超过1.38亿粉丝,是2017年8月黑客攻击的受害者,当时她的前男友贾斯汀比伯的裸照被黑客泄露到互联网上。[thehackernews]

调查显示信安从业者也爱使用相同密码

近日,Lastline宣布了2018年欧洲信息安全局进行的一项调查结果,该调查显示45%的信息安全从业人员在多个帐户中重复使用密码,而这正是信息安全社区一直试图教育公众尽量避免的基础安全手段。此外,该调查还表明接近20%的安全专业人员过去使用过无保护的公共WiFi,有47%因安全问题对购买最新设备持谨慎态度。[helpnetsecurity]

CVERC发布预警:不要下载以下有害应用

国家计算机病毒应急处理中心近期通过互联网监测发现10款违法有害移动应用存在于移动应用发布平台中,提醒广大手机用户不要下载这些违法有害移动应用软件,避免手机操作系统受到不必要的安全威胁。这些违法有害移动应用软件主要危害涉及恶意传播和流氓行为两类,具体如下:

1、恶意广告插件:《Candy Crush Saga》、《雷霆战机》、《推箱子》;

2、危险行为代码:《快抢红包最新版》、《快抢红包最新版》、《自动抢红包最新版》、《给点电我就飞》、《经典桌球》、《打地鼠》、《模拟开火车》。

[xinhuanet]

DASH-M团队跑路,声称“接神的旨意惩罚你们”

币圈跑路的项目不少见,但跑路了还这么嚣张地嘲讽韭菜的项目还是头一次见到。在DASH-M官方交易群中,公告称“我们带着2千万人民币跑路了,我们已经在国外逍遥快活了”,而且以极为夸张的语气称这是“神让我们来惩罚你们这些人,但神不会亏待我们”。

据悉,所谓DASH-M是由原达世团队成员开发,挖出来的DASH-M可按比例兑换DASH币。注册认证后就可挖矿,还有免费矿机抢,该项目还计划推出超级节点计划。[bianews]

*本文由Akane整理编译,转载请注明来自FreeBuf.COM