哈希值一样内容不一样?Google和CWI实现了SHA1碰撞 但估计成本上百万美金了

Google和Centrum Wiskunde & Informatica(荷兰国家数学和计算机中心,CWI)的研究人员完成了针对第一例SHA-1(安全哈希算法)真实世界的碰撞攻击,创造了两个hash值完全相同但内容截然不同的文件。

1995年,首次引进了SHA-1算法。2005年才宣布了针对加密哈希函数的首批攻击。这些攻击经过了数年演变。2015年,研究人员透露,通过使用亚马逊EC2云服务,可将SHA-1碰撞攻击的成本降至75,000–120,000美元。

尽管谷歌、Facebook、微软和Mozilla等公司已采取措施替换SHA-1算法,但哈希函数仍在广泛使用。 微软要在2017情人节拦截SHA-1加密网站 因为第三者插足的中间人攻击越来越多

Google和CWI实现了SHA1碰撞

Google和CWI现在终于找到了一个碰撞,表明这些攻击已经变得越来越切实可行。该项技术被称为“SHA-1 shattered”或“SHAttered”。

“我们可以使用复杂的方式,通过很多特殊的密码分析技术和改善以往工作,来发现这种碰撞。” 专家在文中指出:“本次碰撞攻击的计算量为2的63次方,相当于单CPU连续处理6500年再加上GPU连续处理100年。”

SHA1哈希是什么

SHA-1是1995年国家标准技术局NIST(National Institute of Standards and Technology)于1995年标准化的哈希函数。与前身MD5相比,SHA-1的输出长度更长(MD5输出长度为128bit,而SHA-1的输出长度为160bit),这也意味着出现哈希碰撞的概率更低。同时,SHA-1的安全性似乎也比MD5更好。

SHA1碰撞实现了什么效果?

来看看 知乎上 @刘巍然-学酥 评论。

现在我们可以看看,Google的工作(同样也是Stevens的工作)到底是什么?我们直接引用此工作官方网站(原始链接: SHAttered )的介绍吧:

We have broken SHA-1 in practice.
我们从应用角度破解了SHA-1。

This industry cryptographic hash function standard is used for digital signatures and file integrity verification, and protects a wide spectrum of digital assets, including credit card transactions, electronic documents, open-source software repositories and software updates.
这一工业界应用的密码学哈希函数标准被用于数字签名、文件完整性验证中,并在多个领域保护着人们的数字财产,这些数字财产包括信用卡交易、电子文档、开源软件仓库、软件更新等。

It is now practically possible to craft two colliding PDF files and obtain a SHA-1 digital signature on the first PDF file which can also be abused as a valid signature on the second PDF file.
在实际中,我们可以构造两个SHA-1结果相同的PDF文件。这使得第二个文件SHA-1后的数字签名可以通过第一个文件SHA-1后数字签名的验证。

For example, by crafting the two colliding PDF files as two rental agreements with different rent, it is possible to trick someone to create a valid signature for a high-rent contract by having him or her sign a low-rent contract.
举例来说,可以构造两个SHA-1结果相同的PDF租赁协议文件,协议文件中标注的租金不同,但高租金文件的SHA-1后签名结果与低租金文件的SHA-1后签名结果一样。这样,可以让租赁方在低租金文件上签字,再用高租金文件替换,达到伪造租赁协议文件的目的。

Attack Proof
攻击证明

Here are two PDF files that display different content, yet have the same SHA-1 digest.
下方有两个PDF文件,其显示的内容不同,但SHA-1摘要结果相同。

从论述中可以发现,Stevens等人成功构造了两个PDF文件( 这是有意义、可以真正打开的文件 ),使得SHA-1结果相同!这可是比较夸张了… 我们来看看这两个文件。

第一个文件打开后是这样的:

第二个文件打开后是这样的:

惊到了好吗!不光是能打开的PDF,PDF的内容竟然还有意义!这让我感觉Stevens的工作可不是找到了一组碰撞那么简单。实际上,官方网站后续的说明也侧面说明了这一点:

File tester
文件测试

Upload any file to test if they are part of a collision attack. Rest assured that we do not store uploaded files.
请上传任意文件,来检测文件本身是否可能被这种攻击威胁。我们保证不存储您所上传的文件。

56万美金只能完成部分的SHA1碰撞攻击

尽管该任务的计算规模非常巨大(9,223,372,036,854,775,808次),但是SHAttered攻击方法比暴力攻击快100000倍。

第一阶段攻击是在Google的异质CPU集群上进行的,并扩展至8个物理地址。第二阶段攻击代价更高,是在Google的K20、K40和K80异质GPU集群上进行的。

研究人员计算得出,使用亚马逊云服务进行第二阶段的攻击,耗资约560,000美元。但是,若攻击者足够耐心并利用现场案例的优势,成本可降至110,000美元。

Google已成功演示了此次攻击,他们发布了两个内容截然不同但SHA-1哈希值完全相同的PDF文档。根据Google漏洞披露政策规定,本次SHAttered attack的研究者需要等待90天才能发布原始代码。

这些碰撞攻击可对很多系统造成严重威胁,包括数字证书、邮件签名、软件更新、备份系统和版本控制工具(如Git)。

SHA1碰撞攻击工具发布

为了帮助用户识别这些攻击,shattered.io网站上在线公布了一款免费扫描文档中SHA-1碰撞攻击的工具。Gmail和Google Drive中也集成了该防护方案。然而,谷歌和CWI希望此类攻击,能够加快业界转而使用SHA-256和SHA-3算法的步伐。

MWR InfoSecurity的高级安全研究顾问David Chismon向《商业周刊》表示说:

“虽然攻击需要大量的CPU和GPU计算,但预计还是在能够承受云计算时间来应对碰撞攻击的国家或人们的能力范围内。”

Chismon补充说道:

“希望谷歌在将真实世界攻击变为可能方面所做的新努力能够让厂商和基础设施管理者快速摒弃产品中的SHA-1算法和配置。尽管SHA-1是一项过时的算法,一些厂商还是会出售一些不支持现代散列算法的产品,或者对支持现代散列算法的产品收取额外费用。然而,这一天能否在恶意攻击者有能力利用这个问题来获取利益之前到来,我们拭目以待。”

本文由:securityWeek 发布,版权归属于原作者。
如果转载,请注明出处及本文链接:
http://toutiao.secjia.com/hash-values-same-but-content
如果此文章侵权,请留言,我们进行删除。

对就是那个电影公司 Netflix开源了自用安全评估工具 看样子是评估员工设备安全性的

本周,Netflix发布了Stethoscope应用。这是一款为用户提供清晰明确的安全建议的web应用,为用户的计算机、手机和平板保驾护航。

Stethoscope是Netflix“聚焦用户安全”方法的一部分。它的理念是:为员工提供可行的信息和低摩擦的工具,好过于实施铁腕政策。Netflix坚信,当无需面对太多规则和流程时,员工具有更大的创造力。这就是Stethoscope扫描设备并提供安全措施建议,但允许用户自行择时处理的原因。

Netflix安全评估工具Stethoscope

Stethoscope分析设备的硬盘加密、防火墙、自动更新、操作系统与软件更新、屏保、盗版或根目录,以及已安装的安全软件。这些因素都根据重要性进行评级。

Stethoscope的前端用Python开发,后端用React开发,并没有自有的数据存储。数据源被用作插件,允许用户增加新输入。

目前,Stethoscope支持Windows LANDESK,Macs JAMF和移动设备Google MDM。然而,Netflix希望扩展数据源清单,其中 Facebook的Qsquery首当其冲

在模块化架构下,用户可以通过开发插件来添加新的安全检查和其他功能。GitHub网站上可获取Stethoscope的源代码及安装配置说明。Netflix诚邀用户参与工具测试,特别是有新插件的工具。

https://github.com/Netflix/Stethoscope

Netflix已经开源了多款自用工具

Stethoscope并不是Netflix发布的唯一一款开源安全工具。Netflix已公开了多款应用的源代码,包括Sleepy Puppy(XSS发现框架)和Scumblr and Sketchy(威胁监控工具)。

本文由:securityWeek 发布,版权归属于原作者。
如果转载,请注明出处及本文链接:
http://toutiao.secjia.com/netflix-open-source-device-security-evaluation-tool
如果此文章侵权,请留言,我们进行删除。

谷歌披露了另一个未打补丁的 Windows 漏洞 Edge 用户处于风险之中

谷歌公布了另一个未修补的 Windows 安全漏洞详细信息,根据谷歌的 Project Zero 计划政策,该漏洞在通知对方 90 天后仍然不修补,那么谷歌将公布此漏洞。这一次,漏洞存在于微软 Edge 和 Internet Explorer 浏览器的一个模块当中。谷歌工程师 Ivan Fratric 发布了一个概念证明,这个漏洞可以使浏览器崩溃,为潜在的攻击者获得受影响系统的管理员权限打开了大门。

Fratric 在 Windows Server 2012 R2 上对 64 位的 Internet Explorer 进行了分析,但 32 位 Internet Explorer 11 和微软 Edge 都应受同一漏洞的影响。这意味着 Windows 7,Windows 8.1 和 Windows 10 用户都暴露在了同一漏洞当中。该漏洞在 11 月 25 日报告给了微软,根据谷歌 Project Zero 的政策,该漏洞在 2 月 25 日公开,因为微软尚未提供补丁。有趣的是,微软已经推迟了本月应该发布的例行补丁,现在计划在 3 月 14 日发布安全更新,但还不知道公司是否真的在其中修复了谷歌发现的此漏洞。

wechatimg022605

这是 Google 在短短几个星期内披露的第二个安全漏洞,谷歌还公布了在 2016 年 3 月首次向微软报告的 gdi32.dll 中漏洞详细信息。谷歌 Project Zero 成员 Mateusz Jurczyk 试图说服微软在 2016 年 6 月修补这个缺陷,但问题只有部分解决,所以在 2016 年 11 月向谷歌提交了另一份报告。在 3 个月的窗口过期后,谷歌公布了此漏洞的细节。

谷歌这次给我们带来了两个不同的安全漏洞,微软尚未推出补丁进行修复,很难相信微软会在 3 月 14 日之前外修这些漏洞。

稿源:cnBeta;封面源自网络

ASERT 小组分析恶意软件 Shamoon 2 阐明 C&C 与感染过程

ASERT( Arbor 安全工程响应小组 )研究员对恶意软件 Shamoon 2 进行了分析发现 C&C 基础设施以及感染过程的更多细节。

2012 年,Shamoon 首次被发现对沙特阿拉伯的目标企业展开攻击,其中的受害者,包括石油巨头阿美石油公司(Saudi Aramco)。在针对阿美石油公司的攻击中,Shamoon 清除了超过 3 万台计算机上的数据,并用一张焚烧美国国旗的图片改写了硬盘的主引导记录( Master Boot Record,MBR )

Shamoon 2 则在 2016 年 11 月被首次发现,今年 1 月安全公司 Palo Alto Networks 发现它的新变种可针对虚拟化产品展开攻击。

222222

研究员对 X-Force 的恶意软件样本进行分析发现,攻击者使用恶意宏文件传播恶意软件,并通过 PowerShell 命令连接 C&C 服务器。研究员在 IP 上执行了被动 DNS 查找发现,get.adobe.go-microstf[.]com 托管在 04.218.120[.]128 上,这个通信活动发生在 2016 年 11 月。go-microstf[.]com 托管在 45.63.10[.]99 上,该域名最初设置为伪装成 Google Analytics 登录页面。

研究员还发现 X-Force 的恶意软件样本创建了一个新文件“ sloo.exe ”,该文件存储在 C:\Documents and Settings\Admin\Local Settings\Temp\sloo.exe 中。该样本还与 104.238.184[.]252 连接并执行 PowerShell 命令。

本文由 HackerNews.cc 翻译整理,封面来源于网络。
转载请注明“转自 HackerNews.cc ” 并附上原文链接。

美国石油和天然气行业缺乏准备应对 OT 环境中的网络安全风险

由西门子公司委托进行的一项新研究显示,美国的石油和天然气行业在很大程度上没有做好降低运营技术(OT)环境中的网络安全风险的准备。

该调查由 Ponemon 协会进行,涉及 377 人,这些受访者的工作都是负责处理运营技术中存在的网络风险。其中 68% 的受访者承认在过去一年中至少遭受过一次网络事件,造成 OT 中断或机密信息丢失;只有 41% 的受访者承认做到了持续监控所有的工业基础设施,注重网络安全、降低威胁风险。更令人担忧的是,在 OT 环境中约 46% 的网络攻击未被发现,这意味着企业应及时采用先进的威胁检测系统来监控网络、提高系统安全水平。

energy-sector

72% 的受访者表示探索性信息最易受到网络攻击,其次是生产信息。67% 的人认为工业控制系统(ICS)存在的风险是最大的网络威胁。 69% 参与调查的人关注供应链中与第三方相关的风险问题。

内部人员的疏忽和恶意行为被认为是美国石油和天然气行业的主要威胁。65% 的受访者表示,严重的网络安全威胁是由于内部人员的疏忽或粗心大意造成的,而 15% 的受访者表示,最严重的网络安全威胁是内部人员恶意或犯罪行为导致的。

此外,约 60% 的受访者指出过时和老化的控制系统或在生产环境中使用的不安全的 IT 产品也是网络安全威胁之一。

报告详情请阅读【 PDF 】

本文由 HackerNews.cc 翻译整理,封面来源于网络。
转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Android 渗透测试学习手册(四)对 Android 设备进行流量分析

前言

上文讲述了《Android 渗透测试学习手册(三)Android 应用的逆向和审计》在本章中,我们将研究 Android 设备的网络流量,并分析平台和应用程序的流量数据。 通常应用程序会在其网络数据中泄漏敏感信息,因此发现它是渗透测试程序最重要的任务之一。

此外,你经常会遇到通过不安全的网络协议执行身份验证和会话管理的应用程序。 因此,在本章中,我们将学习如何拦截和分析 Android 设备中,各种应用程序的流量。

4.1  Android  流 量 拦 截

根据 OWASP 移动Top10(https://www.owasp.org/index.php/Project/OWASP_Mobile_Security_Project_-_Top_Ten_Mobile_Risks) ,不完善的传输层保护是第三大威胁。实际上,假设一个应用程序通过 HTTP 将用户的登录凭据提交到服务器。 如果用户位于咖啡店或机场,并在有人嗅探网络时登录到他的应用程序,会怎么样? 攻击者能够获得特定用户的整个登录凭据,它以后可能用于恶意目的。 假设应用程序正在通过 HTTPS 进行身份验证,通过 HTTP 的会话管理,并且在请求中传递身份验证 Cookie。 在这种情况下,攻击者也能够通过在执行中间人攻击时拦截网络来获取身份验证 Cookie。 使用这些认证 cookie,他可以直接作为受害用户登录到应用程序。

4.2  流 量 分 析 方 式

在任何情况下都有两种不同的流量捕获和分析方法。 我们将研究 Android 环境中可能的两种不同类型,以及如何在真实场景中执行它们。 被动和主动分析如下:

1,被动分析:这是一种流量分析的方法,其中应用程序发送的网络数据不会被拦截。 相反,我们将尝试捕获所有网络数据包,然后在网络分析器( 如Wireshark) 中打开它,然后尝试找出应用程序中的漏洞或安全问题。

2,主动分析:在主动分析中,渗透测试者将主动拦截所有正在进行的网络通信,并可以即时分析,评估和修改数据。 这里,他需要设置代理,并且由应用/设备生成和接收的所有网络流量会通过该代理。

被 动 分 析

被动分析的概念是将所有网络信息保存到特定文件中,之后使用数据包分析器查看。 这就是我们将在 Android 设备中进行被动分析。 我们将使用 tcpdump 来将所有的信息保存到设备中一个位置。 此后,我们将该文件拉取到我们的系统,然后使用 Wireshark 或 Cocoa 包分析器查看它。 请参阅以下步骤:

1,我们从 Timur Alperovich 的网站 http://www.eecs.umich.edu/~timuralp/tcpdump-arm 下载为 ARM 编译的 tcpdump 二进制文件。 如果我们需要,我们还可以下载 tcpdump 的原始二进制文件并交叉编译( 为 Android 交叉编译你的二进制文件,请按照链接 http://machi021.blogspot.jp/2011/03/compile-busybox-for-android.html 。链接展示了交叉编译 BusyBox,但相同的步骤可以应用于 tcpdump ) 。

 

一旦我们下载了 tcpdump ,我们可以通过在我们刚刚下载的二进制上执行一个文件,来确认它是否为 ARM 编译。对于 Windows 用户,你可以使用 Cygwin 来执行命令。 输出类似于以下屏幕截图中所示:

1

 

2,这里的下一步是将 tcpdump 二进制文件推送到设备中的一个位置。 我们还必须记住,我们需要继续执行这个文件。 因此,我们将它推送到一个位置,我们可以从中更改权限,以及执行二进制来捕获流量。

3,现在,继续并使用 adb 的 push 命令推送二进制来将二进制推送到设备。 同样,在我们需要从设备中拉取内容的情况下,我们可以使用 pull 而不是 push。

4,这里,我们将使用 adb push 将其推送到 Android 中的 /data/local/tmp :

adb push tcpdump-arm /data/local/tmp/tcpdum

5,一旦我们将 tcpdump 二进制推送到设备,然后需要使用 adb 在 shell 中访问设备,并更改二进制的权限。 如果我们试图运行 tcpdump ,它会给我们一个权限错误,因为我们没有执行权限。

为了更改权限,我们需要访问 /data/local/tmp ,使用 chmod 命令,并授予其权限 777 ,这意味着应用程序将具有所有权限。 以下屏幕截图显示了上述命令的结果输出:

2

6,这里的最后一步是启动 tcpdump 并将输出写入 .pcap 文件。 使用 -s , -v 和 -w 标志启动 tcpdump 。 参考以下描述:

-s:这表示从每个封包抽取给定( 在我们的例子中为 0) 字节的数据,而不是默认的65535 字节。

-v:这表明详细输出。

-w:这表明写入原始数据包的文件名。 例如,我们可以使用 ./tcpdump-v-s 0 -w output.pcap ,以便将所有文件写入 output.pcap ,并输出详细信息。

7,在流量捕获执行期间,打开手机浏览器并访问位于 http://attify.com/data/login.html 的漏洞登录表单,该表单通过 HTTP 发送所有数据并使用 GET 请求:

3

8,这里使用用户名 android 和密码 mysecretpassword 登录应用程序。

9,我们现在可以在任何时候通过 adb shell 服务终止进程( 使用 Ctrl + C ) 。 下一步是将捕获的信息从设备拉取到我们的系统。 为此,我们将简单地使用 adb pull 如下:

adb pull /data/local/tmp/output.pcap output.pcap

10,你可能还需要更改 output.pcap 的权限才能拉取它。 在这种情况下,只需执行以下命令:

chmod 666 output.pcap

11,一旦我们下载了捕获的网络数据的.pcap文件,我们可以在 Wireshark 中打开它并分析流量。 在这里,我们将尝试查找捕获的登录请求。 我们可以从网站 http://www.wireshark.org/download.html 下载 Wireshark。 一旦下载并安装完毕,打开 Wireshark 并在里面打开我们新拉取的文件 output.pcap ,通过访问 File | Open 。

一旦我们在 Wireshark 中打开 .pcap 文件,我们会注意到一个类似下面截图所示的屏幕:

4

Wireshark 是一个开源封包分析器,它帮助我们发现敏感信息,并分析来自所有网络连接的流量数据。 在这里,我们正在搜索我们对 http://attify.com 所做的请求,并输入了我们的登录凭据。

12,现在,访问 Edit 并单击 Find Packets 。 在这里,我们需要查找我们提交登录凭据的网站,并检查 String 。

5

13,在这里,我们可以看到与 http://attify.com/data/login.html 的连接。 如果我们在底部窗格中查找有关此数据包的更多信息,我们可以看到包含我们输入的用户名和密码的请求网址。因此,我们使用 tcpdump 成功捕获了网络数据,并将其存储在 .pcap 文件中,然后使用Wireshark 进行分析。 然而,被动流量捕获也可以通过 adb shell 直接完成。

adb shell /data/local/tmp/tcpdump -i any -p -s 0 -w /mnt/sdcar/output.pcap

19

这里, -i 代表接口。 在这种情况下,它从所有可用接口捕获数据。 -p 指定 tcpdump 不将设备置于混杂模式( 这是在执行嗅探攻击时经常使用的模式,并且不适合我们目前使用的模式) 。 在使用 -tcpdump 标志启动模拟器时,我们还可以指定使用 tcpdump 。 我们还需要使用 -avd 标志,指定要捕获流量的 AVD 名称。emulator -avd Android_Pentesting –tcpdump trafficcapture.pcap

主 动 分 析

主动分析的基本规则是,使每个请求和响应通过我们定义的中间设备。 在这种情况下,我们将设置一个代理,并使所有请求和响应通过该特定代理。 此外,我们可以选择操纵和修改请求和响应中的数据包,从而评估应用程序的安全性:

1,为了为 HTTP 创建代理,请使用指定代理 IP 和端口以及 -http-proxy 标志启动模拟器。

由于我们在同一个系统上运行模拟器,我们使用IP 127.0.0.1 和任何可用的端口。 在这种情况下,我们使用端口 8080。emulator -avd Android_Pentesting –http-proxy 127.0.0.1:8080

2,在设备上,我们还可以访问 Settings | Wi-Fi ,然后长按我们连接的网络 Wi-Fi。 此外如果我们使用一个实际的设备,我们用于拦截的系统应该在同一个网络上

3,一旦我们长按 Wi-Fi 连接,我们将会得到一个类似于下面的截图所示的屏幕。 此外,如果你使用真实设备执行此练习,设备需要与代理位于同一个网络。

7

4,一旦进入连接修改屏幕,请注意,代理配置会询问网络上的设备的 IP 地址和代理系统的端口

但是,这些设置仅存于从 4.0 开始的最新版本的 Android 中。 如果我们要在小于 4.0 的设备上实现代理,我们将必须安装第三方应用程序,例如 Play Store 上可用的ProxyDroid。

8

5,一旦我们在设备/模拟器中设置了代理,请继续并启动 Burp 代理,来拦截流量。 下面 Options 选项卡中 Burp 代理的样子,以便有效拦截浏览器和应用程序的流量。

6,我们还需要检查不可见的代理,以确保我们的代理也捕获 nonproxy 请求。 ( 读者可以在 Burp 的网站 http://blog.portswigger.net/2008/11/mobp-invisible-proxying.html 上详细了解不可见代理和非代理请求。)

9

7,为了检查代理是否工作,打开浏览器并启动网站。 然后我们能够看到它是否在代理中被拦截。

正如我们在上面的屏幕截图中看到的,我们打开了 URL http://attify.com ,请求现在显示在Burp Proxy 屏幕中。 因此,我们成功地拦截了来自设备和应用程序的所有基于 HTTP 的请求。

10

4.3  HTTPS 代 理 拦 截

当通过 HTTP 协议进行通信时,上述方法可以正常用于应用和流量器的流量拦截。 在 HTTPS 中,由于证书不匹配,我们将收到错误,因此我们无法拦截流量。

然而,为了解决这个挑战,我们需要创建自己的证书或 Burp/PortSwigger 并将其安装在设备上。 为了创建我们自己的证书,我们需要在 Firefox( 或任何其他浏览器或全局代理) 中设置代理:

1,为了在 Firefox 中设置代理,请访问 Tools 中显示的 Options ( Mac上为 Firefox | Preferences ) ,然后访问 Advanced 选项卡。 在 Advanced 选项卡下,我们单击 Network 选项。

11

2,在 Network 标签中,我们需要点击 Settings 来使用 Firefox 配置代理。

12

3,完成后,在我们的系统浏览器上访问 HTTPS 网站,我们能跟拦截我们设备上的流量。

这里我们将收到一个 The Network is Untrusted 消息。 点击 I understand the Risks ,并点击 Add Exception 。

4,然后,单击 Get Certificate ,最后单击 View ,然后单击 Export 来保存证书。

13

5,一旦证书保存在我们的系统上,我们现在可以使用 adb 将其推送到我们的设备。

adb push portswiggerca.crt /mnt/sdcard/portswiggerca.crt

6,现在,在我们的设备中,访问 Settings ,在 Personal 类别下,我们可以找到 Security 。 一旦我们进入 Security ,请注意,你可以选择从 SD 卡安装证书。 点击它使我们可以保存具有给定名称的证书,这适用于所有应用程序和浏览器,甚至是 HTTPS 站点。

14

7,通过返回到我们的浏览器,并打开 HTTPS 网站( 例如 https://gmail.com ) 来确认。 正如我们在下面的截图中可以看到的,我们在这种情况下也成功地拦截了通信:

15

其它用于拦截 SSL 流量的方式

还有用于 SSL 流量拦截的其他方法,以及在设备上安装证书的不同方法。
其他方法之一是从 Android 设备的 /system/etc/security 位置拉取 cacerts.bks 文件。 一旦我们拉取了它,我们就可以使用密钥工具以及 Bouncy Castle( 位于 Java 安装目录中) 来生成证书。 如果你在 Java 安装目录中找不到 Bouncy Castle,也可以从 http://www.bouncycastle.org/latest_releases.html 下载并将其放置在已知路径。 此后,我们需要挂载 /system 分区作为读/写分区,以便将更新的 cacerts.bks 证书推送回设备。 然而,为了使这种更改长期有效,如果我们使用模拟器,我们将需要使用 mks.yaffs2 来创建一个新的 system.img 然后使用它。

此外,还有其他工具可用于拦截 Android 设备的流量,例如 C harles Proxy 和
MITMProxy(http://mitmproxy.org ) 。 我强烈建议你在 Burp 代理的知识的基础上尝试他们,因为它们在可用性方面是相同的,但是更强大。 在使用 Charles Proxy 时,我们可以直接从 www.charlesproxy.com/charles.crt 下载证书。

在一些渗透测试中,应用程序可能正在和服务器通信并获得响应。 例如,假设用户试图访问应用的受限区域,该应用由用户从服务器请求。 然而,由于用户没有被授权查看该区域,服务器使用 403 Forbidden 进行响应。 现在,我们作为渗透测试人员,可以拦截流量,并将响应从 403 Forbidden 改为 200 OK 。 因此,用户现在甚至能够访问应用的未授权区域。修改类似响应的示例可以在第8章“ARM 利用”中找到,其中我们将讨论可通过流量拦截利用的一些其他漏洞。

在应用程序中,保护流量的安全方法是让所有内容通过 HTTPS 传递,同时在应用程序中包含一个证书。 这样做使得当应用程序尝试与服务器通信时,它将验证服务器证书是否与应用程序中存在的证书相对应。 但是,如果有人正在进行渗透测试并拦截流量,则由渗透测试程序添加的设备使用的新证书( 如 portswigger 证书) 与应用程序中存在的证书不匹配。 在这些情况下,我们必须对应用程序进行逆向工程,并分析应用程序如何验证证书。 我们甚至可能需要修改和重新编译应用程序。

4.4  使 用 封 包 捕 获 来 提 取 敏 感 文 件

现在我们来看看如何使用 Wireshark 从流量数据中提取敏感文件。 为了做到这一点,我们可以捕获数据包,并加载到 Wireshark 进行分析。

从网络捕获中提取文件的基本概念是,它们含有指定文件类型的头部
(multipart/form-data ) 。 以下是从网络流量捕获中提取任何类型文件的步骤:

1,在 Wireshark 中,只需访问编辑并从包详细信息中搜索字符串 multipart 。

16

2,一旦我们收到了向服务器发送 POST 请求的数据包( 或者极少数情况下是 GET) ,右键单击该数据包,然后点击 Follow TCP Stream 。

17

3,此后,根据文件起始值( 如 PDF 的情况下为 %PDF ) ,从以下选项中选择 Raw ,然后使用扩展名 .pdf 保存文件。 因此,我们拥有了最终的 PDF,通过 Android 设备上传到网站,而且我们恰巧在我们的渗透中开启了网络捕获。

18

4,我们还可以使用其他工具,如 Windows 上的 NetworkMiner( 可从 http://www.netresec.com/?page=NetworkMiner 下载) ,它提供了一个精心构建的 GUI来与之交互,并显式指定保存的网络流量捕获文件。

总 结

在本章中,我们了解了在 Android 设备上执行流量分析的各种方法。 此外,我们会继续拦截来自应用程序和浏览器的 HTTP 和 HTTPS 流量数据。 我们还看到如何从网络捕获信息中提取敏感文件。

在下一章中,我们将介绍 Android 取证,并使用手动方式以及在不同工具的帮助下,从Android 设备中提取一些敏感信息。

【本文由飞龙使者编译 看雪学院原创,安全脉搏编整理发布】 

全球刑警的梦魇?黑客手里有一把万能锁

2016年2月的一天,好莱坞长老会医院的护士们发现电脑全都用不了了。所有的文件都加了个莫名其妙的后缀,根本打不开。所有电脑程序也都加了这个后缀,一个也启动不了。挂号只能用纸笔,病历都成了乱码,连手术都不能正常进行。当大家都束手无策的时候,院长阿兰·史蒂芬涅克(Allen Stefanek)接到了一个陌生的通知:给我1万7千美元,不然你们的医院就得关张。

史蒂芬涅克院长犹豫了一个多星期,还是选择了交钱。好莱坞长老会医院所经历的勒索并不稀有。近年来,越来越多的用户报告自己的电脑曾被黑客锁住,只能交赎金了事。这种黑客攻击被人们叫做“网络勒索”,黑客们使用的软件也有一个名字,叫做Ransomware。

“面具脸”和“拼图”病毒

Ransomware的定义很枯燥,我们不如直接举一个例子:
小明在情人节收到了一名陌生人的邮件,邮件里一片空白只有一个叫做“拼图”的附件。小明兴高采烈地打开了这个“拼图”,然而这个叫做“拼图”的东西并不是节日礼物,而是一个Ransomware。

“拼图”Ransomware的典型窗口

上面就是大名鼎鼎的Ransomware—-“拼图”(Jigsaw)。打开以后是一个黑色背景的窗口,窗口正中心是一个电影《电锯惊魂》里的面具脸。绿色的勒索信息会一个字一个字地打出来,它用《电锯惊魂》的口吻给小明写道:

“我想跟你玩一个游戏,我来解释一下游戏规则:你的文件正在被一个一个地删掉,照片、视频、文档…… 不过不要担心,只要你合作,它们就不会被删完。你的文件都已经被加密了,你一个也看不了。每个小时我会删掉一些,删掉的速度越来越快。如果你关电脑,再次打开的时候我就删掉1000个文件,如果你关掉我,你的文件就会被永远加密。只有我能把文件还给你。现在,我们来玩这个游戏吧。”

小明赶紧打开自己硬盘里的电影文件夹,发现所有的片子都被加上了一个“.fun”的后缀,根本打不开。不仅是电影,自己写的日记,照的照片,玩的游戏,一个也打不开。

窗口的左下角是个倒计时,开始是一小时,每次归零就会删掉一些文件。每删一次,下一次删的数量就会增多。每小时被删的文件指数增长,用不了几天电脑就啥也不剩了。

当然黑客不是为了玩这个“删文件”的游戏,而是要钱。小明一开始还挺强硬,可文件都丢了怎么办?我这电脑花了几千块钱买的,这么着不就没法用了吗?红色的倒计时让小明的心脏一蹦一蹦的,而小明渐渐地陷入了绝望。过了几分钟,小明终于服软了。他按照黑客的指示,买了23美元的比特币,汇给这个陌生人。

小明事后报了警,可比特币无法追踪,警察根本抓不着凶手。小明回家打开电脑,发现面具脸的窗口终于没有了,可是自己的文件也全删没了。

Ransomware“拼图”的各种变体

这个名为“拼图”的勒索软件主要肆虐时间是2016年,它有很多不同的变体,比如被劫持文件的后缀不一定是”.fun”,还有.gefickt, .uk-dealer@sigaint.org, .paytounlock, .hush, .locked, .payrmts, .afd, .paybtcs, .fun, .kkk, .gws, 和.btc. 背景也不一定是《电锯惊魂》的面具脸,还有弄成一群头盔制服党的,还有搞出电影《V字仇杀队》的,还有扮成游戏“杀手47”的。“拼图”勒索软件要多少钱的都有,比较多的是要150块钱。“拼图”还走上了国际化道路,除了英语以外,还非常贴心地加上了西班牙语、法语、俄语等多国语言。好消息是这个臭名昭著的“拼图”终于被破解了,网上不仅有破解教程,还有一个破解软件“Jigsaw decrypter”。

像“拼图”这样的Ransomware还有很多很多,长相也各不相同,但行为都是一样的。它通过木马的形式在邮件、U盘、下载网站里传播,它自动锁住你的电脑,把所有文件加密,并威胁要删掉它们。受害者必须通过比特币支付给发布者,然后发布者根据心情好坏选择是否把文件交还。像小明这样的受害者,近来一年比一年多。

为什么Ransomware突然肆虐了起来

Ransomware已经存在了至少十年了,最早只泛滥在”黑客之乡”俄罗斯。可最近三年Ransomware突然异军突起,全世界流行起来。IBM曾经在美国做过一次调研,仅在2016年,已知的网络勒索涉案金额总额近10亿美元,40%的垃圾邮件里都有Ransomware。一半的受害者拒绝交钱,“鱼死网破”,另一半的受害者束手无策,乖乖交钱。

受害者往往对于一百美元以下的赎金能够接受,这也是为什么Ransomware每次涉案金额较小,但传播极其广泛。企业用户往往比个人用户更倒霉,因为他们要交的赎金往往更多,而且他们会迫于公司压力选择交钱。70%的企业受害者交了赎金,这些交了赎金的人里面,一半的人交了至少一万美元,20%的人交了至少四万美元。

2016年,欧洲刑警组织(Europol)把Ransomware列为“危害性最高的网络攻击”,排在它后面的才是数据盗窃(偷文件)和银行木马(偷银行卡)。欧洲刑警组织对网络犯罪做了一个执法优先级排名,排名前五的病毒里,三个都是Ransomware。

欧洲刑警组织对网络病毒的执法优先级排名

互联网初期的病毒,大多数是“损人不利己”的。黑客们搞出个病毒,不为赚钱,就为炫耀一下自己的才华。2006年的病毒“熊猫烧香”,中病毒以后所有.exe结尾的文件无法运行,图标变成一个熊猫举着三炷香。2003年的“冲击波”(Worm.Blaster)病毒,中病毒以后,电脑会一分钟自动重启一次。“冲击波”的源代码里,还有一行嘲讽比尔·盖茨的话:

“比尔盖茨啊,你怎么能让这种事情发生?少挣点儿钱吧,多修修漏洞。”

被“熊猫烧香”感染的文件,图标全变成了熊猫

早期的黑客往往都是软件爱好者,业余时间搞出个病毒宣传一下自己,并不拿它赚钱。可随着互联网的普及,病毒不再是“恶作剧”,越来越多的职业犯罪者用它来大发横财。
Ransomware是个很特别的攻击手段。过去的黑客往往喜欢“黑进”你的电脑,手里拿着一个“万能钥匙”(解密算法),撬开你的锁(加密文件)。而网络勒索正相反,黑客并不在乎你电脑里有什么,他们手里拿的是个“万能锁”(Ransomware),逼你交钱以后才把这个“万能锁”打开。上锁比开锁容易,加密也比解密要简单。所以网络敲诈犯,不需要学太多计算机知识。只要拿到了Ransomware,小学生都可以搞勒索。

管病毒管受害者直接要钱,在过去是行不通的。警方可以通过查找银行的交易记录,迅速追捕到罪犯。可在比特币发明出来以后,形势一下子就变了。比特币随处可买,线上流通。它不需要身份证验证,也不需要去银行管理。比特币是个“去中心化”的金融体系,警察对比特币交易无法追踪。有了这么一个“地下交易”网,黑客们拿完钱后轻松逍遥法外。已报告的网络勒索案,绝大多数都是通过比特币支付的赎金。

比特币无法追踪,所以成了黑客的“通用货币”

互联网创业就像赛跑,谁发布的早,谁就容易占掉市场份额。这就导致创业者们养成了一种陋习:先发布一个差不多能用的软件,以后再慢慢修漏洞。正是这些漏洞,让黑客们一下子有隙可乘。

一个典型的例子就是MongoDB。MongoDB是一个非常好用的“非关系型数据库”(至于什么是“非关系型数据库”,我们以后有机会再讲)。MongoDB刚刚发布的时候,它的默认设置非常不合理:任何人都可以访问这个数据库(没有Access Control),而且不做自动备份。很多人不会改MongoDB的默认设置,于是黑客们纷纷前去盗取这些没有任何保护的数据库,然后敲诈管理员。

在MongoDB的官方博客透露,2万5千个数据库中,2000个受到了黑客的勒索。勒索者偷走了所有数据,然后在数据库里留下一句话:“通过比特币给我XXX美元,不然我就删掉你的数据。” 攻击MongoDB的黑客实在太多了,以至于一个黑客刚刚在数据库里留下勒索的“纸条”,另一个黑客立刻把“纸条”的收款人抹掉,改成自己的比特币账户。如今MongoDB已经修复了这个漏洞,然而大量用户并没有升级,还处在被勒索的风险之下。

综上所述,职业罪犯的加入、极低的技术门槛、无法追踪的交易模式、漏洞百出的软件,这些就是Ransomware肆虐的原因。

那么,我们拿这些敲诈犯没有办法了吗?

对抗网络勒索的手段

2016年6月,美国加利福尼亚州参议院通过了一项法律:网络勒索,视同勒索罪处理。这个编号为SB-1137的法律由加州参议员鲍勃·赫兹伯格(Bob Hertzberg)提出,在州参议院全票通过,最后由加州州长杰瑞·布朗(Jerry Brown)签署。它不仅给出了网络勒索的法律定义,还规定:就算这个黑客没有收到赎金,罪行也按照收到赎金判决。作案者最高可以被判4年监禁,另外还有1万美元的罚款。这个法案在讨论的时候,好莱坞长老会医院作为受害者还曾发表过证词。医院院长终于可以放下心来,不再担心医院电脑被黑客给“锁住”了。
可事情就这么结束了吗?

法案通过仅仅一天后,法案提出者赫兹伯格的电脑就被黑客给加密了。赫兹伯格无奈地发了一条推文,还发了个截图:“这就是我在州议会的办公室电脑截图,它被Ransomware攻击了。”

网络勒索法案的提出者赫兹伯格反而被勒索

直到今日,这些网络勒索的罪犯们还在频频作案,因为虽然立法有了,执法手段上还有很长一段路要走。今天被成功逮捕的黑客少之又少,大多数勒索者还在逍遥法外。如果事后抓不到,我们就只能事前预防。

防范网络敲诈的方法有很多,最重要的就是养成良好的上网习惯:不要点开不认识的邮件附件,不要在不安全的网站下载软件,勤杀毒,勤升级,多用云存储,定期做硬盘备份。

如果上面的都没有做到,自己还是被攻击了,不要慌,有不少网站可以把你的文件找回来。比如nomoreransom.org,它不仅可以用多种算法尝试解密被“锁住”的文件,还会指导你如何报警。不少Ransomware已经被破解了(比如“拼图”),去一些值得信任的论坛,也能下载到正确的解密工具。

最后,在付赎金之前一定要再三考虑,因为黑客可能会在要了一次钱以后得寸进尺,不断地骚扰你。而且黑客不一定会在最后把文件还给你,你的钱最后也拿不回来。况且,如果交赎金的人少了,黑客们就赚不到钱,类似的攻击就会变少。你如果交了赎金,这可能是一种对这种犯罪行为的鼓励。

医疗设备已成为入侵医疗网络的关键切入点

一位病人正躺在医院的病床上等待医务人员帮他进行血气分析,但他并不知道的是,他的个人信息此时此刻可能比他的身体还要危险。

前言

安全公司TrapX对三家不愿意透露名称的医院进行了安全检查,根据调查人员的发现,医院用于存储病人信息的数据库没有使用任何的加密保护措施,数据库使用的仍是默认密码,而且医院系统中的漏洞其利用难度也非常低。在对检查结果进行了深入分析之后,该公司的安全专家发表了一篇标题为《医疗设备攻击剖析》的报告。

TrapX的联合创始人兼副总裁Moshe Ben-Simon表示:

“TrapX网络安全实验室的技术人员可以远程利用血气分析仪中的安全漏洞来篡改仪器数据。血气分析仪一般会在重症监护室中使用,而这些病人的情况通常都非常糟糕,因此任何对该设备的干扰都会给病患带来不可估量的后果。但是,我们目前还没有发现有任何攻击者通过网络攻击活动给病人带来了身体上的损伤。”
医疗设备的安全不容乐观

自2016年初以来,已经有多家医院和医疗机构成为了勒索软件的受害者,包括MedStar Health、堪萨斯心脏病医院和好莱坞长老会医院在内。值得一提的是,个人身份识别信息(PII)和医疗记录的价值要比信用卡数据高出10至20倍之多。戴尔旗下的网络安全公司SecureWorks发现,网络犯罪分子出售一份健康保险凭据可以赚20至40美元,而一份美国信用卡数据只能卖1到2美元。Ben-Simon表示:“目前黑市上到处都有PII在售,犯罪分子可以利用这些记录来伪造身份信息,然后申请新的信用卡或伪造纳税申报信息。除此之外,攻击者还可以利用这些信息访问目标用户的银行账户以及信用卡账户,所以医疗记录绝对是网络攻击者的首要目标。”

研究报告中写到:“医疗设备已经成为了攻击者入侵医疗网络的关键切入点。它们都是医疗企业最明显的薄弱点,而即便是我们识别出了攻击者的入侵方式,我们也很难去修复这些漏洞,所以网络攻击将会对医院手术和病人信息带来非常大的威胁。”

Ben-Simon表示,TrapX目前正在调查一种名为MEDJACK的攻击,这种攻击已经影响了至少十家医院,TrapX也将在RSA大会上公布有关MEDJACK攻击的调查结果。根据TrapX的研究报告显示,从2015年到2016年,超过500名病人数据发生泄漏的攻击次数增长了近五十个百分点。Ben-Simon说到:“网络攻击给不同的医院所带来的影响是不一样的,但无一例外的是,网络攻击者的目标都是病人的医疗记录以及个人身份信息,因为他们可以转售这些信息并得到经济回报。”

院方解释称,医院部署了一套强大的企业级网络防御产品,其中包括防火墙、启发式入侵检测系统、终端安全保护工具和反病毒产品,而且医院的IT人员里也有多名经验丰富的网络安全技术专家。但是TrapX的取证分析数据显示,攻击者不仅能够入侵医院的网络系统,而且还能够自由地在医院系统中寻找并感染单独的目标,更重要的是攻击者还能够在医院网络系统中添加后门。

各种设备都有可能成为攻击者的切入点

在第二家医疗结构中,TrapX发现了另一种存在安全漏洞的设备,即影像归档和通信系统(PACS)。它是应用在医院影像科室的系统,主要的任务就是把日常产生的各种医学影像(包括核磁,CT,超声,各种X光机,各种红外仪、显微仪等设备产生的图像)通过各种接口以数字化的方式海量保存起来,当需要的时候在一定的授权下能够很快的调回使用,同时增加一些辅助诊断管理功能,它在各种影像设备间传输数据和组织存储数据具有重要作用。

TrapX经过研究发现,该医院的恶意软件感染起源于其中一个护士工作站。该医院被入侵之后,其敏感数据被提取到了一台位于贵阳市的服务器中。据了解,医院内的一名终端用户在浏览网页时遇到了恶意网站,而该钓鱼网站又将用户重定向到了一个加载了恶意payload的网站,当用户访问了这个网站之后,网页中的恶意代码就能够入侵用户设备了。此时,攻击者不仅可以在目标设备上运行远程命令并安装恶意软件,而且也可以在该设备所处的网络环境中安插恶意后门。

Ben-Simon表示,PACS系统中的记录是病人最为完整和详细的数据,因此它们也是最有价值的。每当医院网络中的一个系统被成功入侵,那么数据泄漏的可能性就越高,而这也会让该网络中其他的系统处于危险之中。除此之外,攻击者还可以彻底清除医院系统中的所有数据,即使医院对这些数据都进行了备份,但要将每一位病人的数据正确地恢复到一个新的医疗保健系统中的话,医院要付出的代价也是非常高的。

TrapX还发现,攻击者在第二家医院其中的一台X光扫描系统中安装了恶意后门。各位需要知道的是,X光的扫描结果出现错误的话,病人很可能会因此而缺少了所需的治疗,或进行了某些不必要的治疗。TrapX的研究人员发现,这三家医院的医疗设备主要受到了两种复杂攻击技术的影响,即Shellcode和Pass-the-Hash,而这两种技术都是专门用来攻击老版本操作系统的。

医院通常都会安装防火墙,因为我们都认为防火墙可以保护这些设备的安全,而且内部网络中也会部署反病毒软件和反入侵工具等等。但是这些可以保护网络安全的防御技术无法直接应用到医疗设备之上(只能作用于服务器和计算机),这也是MEDJACK攻击能够如此高效的原因。当攻击者成功绕过了现有的安全防护之后,他们就可以感染任意的医疗设备并在受保护的网络系统中建立后门。

MEDJACK攻击

TrapX的执行副总裁CarlWright表示:

“MEDJACK攻击正在席卷全球范围内的医疗机构,但医院的信息技术团队却只能仰仗着制造商来保护医疗设备的安全性,而目前医疗设备也没有可用的安全软件来检测和防御MEDJACK攻击。因此,医院所部属的标准网络安全环境是无法访问医疗设备的内部软件操作的。”
TrapX的研究人员表示,攻击者在入侵医疗设备时主要使用的是shellcode,受影响的系统包括但不限于肿瘤放射治疗系统、透视影像系统和X光透视机。在攻击过程中,恶意软件需要渗透进目标网络,然后再利用目标设备中的软件漏洞来向医疗设备中注入恶意代码。除此之外,攻击过程中还需要加载一个文件,并由这个文件来设置和执行控制命令和相关功能函数。

这种攻击技术的独特之处在于攻击者所用的恶意工具注入在MS08-067蠕虫(已过时)之中,因此恶意软件就可以在蠕虫外壳的保护之下随意游走于医院网络系统之中而不被发现。在对攻击模式进行了深入分析之后,安全人员发现MEDJACK攻击主要针对的是包含更多漏洞的WindowsXP或没有部署防护工具的Windows7操作系统。通过将恶意工具嵌入在蠕虫病毒代码之中,攻击者就能够绕过医院安全防护系统的检测。

尽管很多医疗机构目前已经在院内的计算机和设备中安装了最新版本的操作系统,但是并没有人来对这些操作系统进行定期更新和维护,而且大多数使用的都是默认的管理员账户以及密码,所以医疗设备和病人信息的安全性仍然是一个未知数。

结束语

根据TrapX的安全研究专家所提供的建议,医院的负责人应该重新审查他们与医疗设备供应商的合同,并更新其中与设备安全性相关的部分条款,因为在合同中必须写有关于这些医疗设备的安全检测和漏洞修复相关的内容。除此之外,供应商再将医疗设备出售给医院时,也应该附带一份技术文档,文档中不仅要详细写明技术人员应该通过何种方法去检测医疗设备是否受到了恶意软件的感染,而且也要说明如何去清除这些感染。

某话费充值平台漏洞 小伙两天充值160万

充话费对于我们来说太正常不过了,偶尔可能会优惠几块钱已经算是不错了。而南京的一小伙无意间从网上学到一种利用充值平台漏洞,一分钱能充几百元的方法。抱着试试看的态度,这位小伙同聊天群的网友,两天内竟充值160余万话费,结果被警方抓获。


某话费充值平台漏洞 小伙两天充值160万

原来,南京某电子商务公司的话费充值平台存在安全漏洞,被黑客发现后将修改教程公布在了网上。而且聊天群群主对小伙说,这个是他们公司的漏洞,与你无关,你只是占小便宜而已。南京小伙信以为真,便疯狂刷话费。目前暂不清楚法院如何判罚。

手把手教你构建8个GPU的破密码机

长话短说

这台密码破解机既不需要任何的“黑魔法”,也不需要你花大量时间和精力去组装各种乱七八糟的零配件。如果你按照这篇文章给出的方法来进行设备组装的话,你应该可以在三个小时之内搭建出一台密码破解工作站。各位同学不用担心,这台机器的搭建方法非常简单,只要你按照步骤一步一步操作就肯定不会出错。

1.png

我们的目标

我们目前的工作站配备了六块GTX970S,我们现在的目标是将其升级为八块GTX1080,而且还要保证工作站能够稳定运行。

组件清单

硬件

1.    机箱支架&主板-Tyan Ft77C-B7079(P/N:B7079F77CV10HR-N)

2.    CPU:两块Xeon E5-2620V3 LGA2011(不要只买一块CPU,因为我们需要两块CPU来管理和控制所有的PCIE插槽)

3.    内存:两根32g DDR4 2400MHz LRDIMM内存条

4.    硬盘:三星SSD 850 EVO 固态硬盘,容量1T

5.    GPU:八块EVGA gtx1080 FE显卡(也就是我们所说的公版卡)

2.png

软件

1.    Ubuntu-14.04.3 64位服务器版本;

2.    hashcat-www.hashcat.net

3.    hashview-www.hashview.io

组装

现在想要搭建出一台中高端的密码破解机实际上就跟玩乐高积木一样,尽管这是一种非常昂贵的“乐高积木”。

我们专门录制了一个加速版的搭建视频,在真正开始动手之前,大家可以先观看一下这个视频来对整个搭建过程有个大致的了解。

组装笔记

我们在购买和组装所有零配件的过程中也学到了很多新的东西,经过整理之后的注意事项大致有如下几点:

1.    你不需要为CPU单独购买散热器或散热风扇,Tyan机箱已经自带这些设备了;

2.    Tyan机箱为你的GPU提供了专门的螺丝固定位置;

3.    这款主板似乎没有硬件RAID;

4.    主板BIOS无需进行任何修改和更新,主板已经默认更新至了2017年1月份的版本;

5.    我们禁用了系统扬声器,因为如果你没有把所有的供电插头都插上的话,它就会不停地发出警报声;

3.png4.png

大家可以从下图中看到,显卡的后方提供了额外的螺丝固定位,如果你需要搬运这台工作站的话,你最好将这些螺丝都固定好。需要提醒大家的是,这家伙真的是太沉了!

5.png

6.png

软件安装

大家应该在硬件的安装方面不会遇到太大的麻烦,我们只需要先插入一块显卡,启动系统,然后在确定了设备运行一切正常之后我们就可以开始安装操作系统了。Ubuntu安装完成之后,我们稍后便可安装剩下的显卡了。一般情况下,这样的操作都不会出现任何问题,所以也许下一次我们可以试试一次性插好所有的显卡然后启动设备,其实这样也不会有什么问题。

安装Ubuntu 14.04.3 64位服务器版

在这里我就不打算详细介绍如何安装系统了,网上也有很多相关的资料,但是这里有几点需要我们注意的:

1.    使用LVM;

2.    不用对整个磁盘或home目录加密,我们之后可以自己创建一个加密卷;

3.    在选择安装的软件时,勾选“OpenSSH Server”;

操作系统安装完成之后,让系统搜索所有可用的GPU:

lspci | grep VGA

更新驱动程序并安装hashcat以及相应的依赖环境:

sudo apt-get update && apt-get upgrade

sudo apt-get install gcc make p7zip-full git lsb-core

下载并安装Nvidia驱动程序和Intel OpenCL运行环境

下载nvidia驱动程序。目前该显卡的驱动程序版本为Nvidia375.26(2017年1月份)。

wget http://us.download.nvidia.com/XFree86/Linux-x86_64/375.26/NVIDIA-Linux-x86_64-375.26.run

chmod +x NVIDIA-Linux-x86_64-375.26.run

sudo ./NVIDIA-Linux-x86_64-375.26.run

如果系统弹出的警告信息是有关x86兼容性问题的话,你可以直接忽略它。下面给出的是你可能会遇到的警告信息:

WARNING: Unable to find a suitable destination to install32-bit compatibility libraries. Your system may not be set up for 32-bitcompatibility. 32-bit compatibility files will not be installed; if you wish

[Cto install them, re-run the installation and set a validdirectory with the –compat32-libdir option

安装OpenCL运行环境(虽不是必须组件,但我们建议安装,因为CPU放着不用也是浪费)

wget http://registrationcenter-download.intel.com/akdlm/irc_nas/9019/opencl_runtime_16.1.1_x64_ubuntu_6.4.0.25.tgz

tar -xvf opencl_runtime_16.1.1_x64_ubuntu_6.4.0.25.tgz

cd opencl_runtime_16.1.1_x64_ubuntu_6.4.0.25

./install.sh

安装hashcat【官网地址

wget https://hashcat.net/files/hashcat-3.30.7z

7z x hashcat-3.30.7z

cd hashcat-3.30

安装完成之后,使用基准程序来测试hashcat,速度为341GH/s!

7.png

安装hashview【官网地址

安装依赖环境

sudo apt-get update

sudo apt-get install mysql-server libmysqlclient-devredis-server openssl

mysql_secure_installation

优化数据库设置

vim /etc/mysql/my.conf

将下面这行内容添加到【mysqld】的下方区域:

innodb_flush_log_at_trx_commit  = 0

重启Mysql

service mysql restart

安装RVM-(下方给出的命令来源于https://rvm.io/rvm/install

gpg –keyserver hkp://keys.gnupg.net –recv-keys 409B6B1796C275462A1703113804BB82D39DC0E3

\curl -sSL https://get.rvm.io | bash -s stable –ruby

下载并安装Hashview

git clone https://github.com/hashview/hashview

cd hashview

安装gem包

rvm install ruby-2.2.2

gem install bundler

bundle install

设置数据库链接

cp config/database.yml.example config/database.yml

vim config/database.yml

创建数据库

RACK_ENV=production rake db:setup

另外打开一个新的终端,运行下列命令:

RACK_ENV=production TERM_CHILD=1 QUEUE=* rake resque:work

运行Hashview

RACK_ENV=production ruby hashview.rb

破解哈希

安装完成之后,我们可以开始动手破解密码哈希了。

8.png

接下来我们就可以泡一杯咖啡,然后一边喝咖啡一边看着系统给出的实时分析结果。

9.png

* 参考来源:shellntel, FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM

窃听乌克兰超70家机构的Operation BugDrop行动分析:幕后黑客高度组织化、经济实力雄厚

乌克兰似乎常年以来都是黑客的攻击目标,去年该国遭遇电力停运事故,导致22.5万居民停电——幕后的黑客组织也是2015年BlackEnergy恶意程序致其电网停运的一群黑客。而最近,来自威胁情报公司CyberX的安全研究人员又发现了一起主要针对该国的黑客行动,并将之命名为Operation BugDrop。

从CyberX公布的报告来看,本次黑客行动已经从大约70个机构组织中获取到了600GB数据——受害机构组织包括了关键基础设施、新闻媒体还有科研机构,这些遭遇攻击的组织机构主要就是来自乌克兰,其他目标所在的国家还包括俄罗斯、沙特阿拉伯、奥地利等。

shutterstock_61488922.jpg

在攻击方式上,本次攻击主要是利用复杂的恶意程序来获取目标设备中的数据,包括截屏、文档、密码,更重要的是这种恶意程序会开启目标PC的麦克风来录制受害者的音频数据。而攻击的部署方式主要是通过钓鱼邮件,邮件中携带恶意Word文档。一旦目标设备感染恶意程序,恶意程序就会将音频和数据发往黑客的Dropbox。这也是研究人员将此恶意程序称作Operation BugDrop的原因。

攻击目标

CyberX确认,当前受害的企业组织至少有70家。遭遇攻击的企业机构涉及到多个行业,包括基建、媒体和科研机构。攻击的恶意行为主要是窃取数据,如录音、截屏、文档和密码数据。值得一提的是,Operation BugDrop窃取数据时会开启目标PC的麦克风——现在很多用户的安全意识都比较强,平常会将PC前置摄像头贴起来,但如果通过麦克风录音,则很难通过这种物理隔离的方式来避免被窃听。

307DB905-085C-4C6F-8EED-91E8E76761DE.png

Operation BugDrop攻击目标地理位置分布

这一行动的主要目标都位于乌克兰,另外也有少部分目标位于俄罗斯、沙特阿拉伯和奥地利。许多受害机构位于顿涅茨克(Donetsk)和卢甘斯克(Luhansk),这些地方被乌克兰政府划归至恐怖组织。

列举一些Operation BugDrop的攻击目标

– 某家为石油天然气管道基建设计远程监控系统的公司;

– 一家监督人权、反恐和在相关基建网络攻击的国际组织;

– 某家设计变电站、配气管道和水厂的工程公司;

– 一家科研机构;

– 乌克兰报纸编辑。

Operation BugDrop是个有组织的黑客行动,行动中采用复杂的恶意程序,似乎是由某家“具大量资源”的组织幕后支持的。比如说,此恶意行为需要较大规模的后端设施用于存储、解密、分析,每天都有几个GB的数据量。而且还需要一个庞大的团队进行人工手动分析,通过人工和大数据配合的分析方式。

BugDrop-CompilationDates.jpg

编译时间,恰在ESET宣布发现Operation Groudbait的一个月之后

CyberX认为,Operation BugDrop和2016年5月份发现的Operation Groundbait存在诸多相似性——后者是ESET发现的。这两个黑客活动在策略、技术和流程方面存在不少相似性,不过CyberX也提到,Operation BugDrop的TTP明显更为复杂、老道。比如说:

– 用Dropbox来进行数据释放,因为Dropbox的流量并不会被企业防火墙阻止或监控,所以这种方式很不错;

– 采用反射DLL注入技术(Reflective DLL Injection),先前乌克兰电网攻击事件中BlackEnergy用过这招,针对伊朗核设施的震网攻击中Duqu也用过这招;反射DLL注入在无需调用普通Windows API的情况下就能加载恶意代码,因此能够在加载至内存之前绕过安全代码认证;

– 加密DLL,因此能够避开常规反病毒和沙盒系统的检测,因为它们无法分析加密文件;

– 采用合法免费的web hosting站,用于C&C。C&C服务器实际上对于攻击者而言是个不利因素,因为调查人员常常利用诸如whois和PassiveTotal等工具来获取C&C服务器的注册信息。免费的web主机站所需的注册信息就非常少。Operation BugDrop采用免费的web主机站来存储核心恶意程序模块。相较之下,去年Groudbait攻击者就有自己注册付钱的恶意域名和IP地址。

Operation BugDrop采用钓鱼邮件攻击的方式来感染目标对象,邮件中包含了Microsoft Office文档附件,其中携带恶意宏。如果用户禁用了宏,恶意程序还利用社工的方式来欺骗用户启用Word中的宏功能。

技术细节

1.感染方式

– 攻击者采用钓鱼邮件的方式来感染攻击目标,邮件会要求受害者开启附件中的Word文档,文档中实际就包含了恶意宏;

– 如果说宏被禁用,受害者会看到一个对话框(如下图所示),要求受害者启用宏。该对话框实际也是精心设计的,看起来很像是Office的官方信息;

BugDrop-MicrosoftOffice.jpg

-对话框显示俄语内容:внимание! Файл создан в более новой версии программы Микрософт Office. Необходимо включить Макросы для корректного отображения содержимого документа

翻译过来就是:“请注意!该文件采用更新版本的Office程序创建。您需要启用宏,以便正确显示文档内容。”

– 从文档元数据来看,显示的是乌克兰语,但实际文档原始语言是俄语;

– 文档创建者名为“Siada”;

– 文档最后修改时间是2016年12月22日 10:37:00;

– 这份文档展示了一系列军事人员的个人信息,比如说生日和地址(如上图所示);

BugDrop-MilitaryPersonnelDoc.jpg

2. 主要Downloader

– 主体downloader是通过恶意VB脚本(从临时文件夹运行)从那份文档中释放的;

– 反病毒程序对该downloader的检出率很低(54款反病毒产品仅4款报毒);

3. Dropper – 阶段0

– Downloader的EXE文件图标来自一家俄罗斯社交媒体站(http://sevastopol.su/world.php?id=90195);

BugDrop-Eurovision.jpg

BugDrop-ForPost.jpg

这就是图标来源的那家俄罗斯社交媒体

– 图标本身其实是相关乌克兰的一个玩笑;

– 该Dropper有2个DLL文件,其XOR的方式是当前字节与前一个字节进行XOR;

– 这种技术相较简单的XOR更好,字节分布看起来不会像是普通的PE文件loader,起到了混淆的作用,不容易被反病毒系统检测到;

– DLL是放到以下应用数据文件夹:

%USERPROFILE%\AppData\Roaming\Microsoft\VSA\.nlpStage 1

%USERPROFILE%\AppData\Roaming\Microsoft\Protect\.nlp.histStage 2

– 首个阶段得以执行,DLL采用反射DLL注入的方式加载。

BugDrop-TechnicalDetails-.jpg

4. Dropper – 阶段1 – 持久性

– 内部名:loadCryptRunner.dll;

– 编译:2016年12月12日周一10:09:15;

– 阶段1 Dropper负责保持攻击的持久性,以及执行downloader DLL,在注册表中注册自身:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\drvpath

RUNDLL32 “%USERPROFILE%\AppData\Roaming\Microsoft\VSA\klnihw22.nlp”, RUNNER

– 通讯DLL同样是采用反射DLL注入的方式加载的。

5. Dropper – 阶段2 – 为主模块准备的downloader

– 内部名:esmina.dll

– 编译:2016年10月10日周一14:47:28;

– 该DLL的主要作用就是下载主模块;

– 主模块存储在免费web主机站之上,URL为:

windows-problem-reporting.site88.net[注意:请勿访问该恶意站点]

– 从公共数据资源中查不到有关该URL的任何信息;

– 直接访问该URL会显示“HTTP/1.1 404 Not Found”;

– 看起来下载该模块似乎是需要人工审核的,这表明过程中是需要人工分析处理的;

– 主模块随后得以下载,通过反射DLL注入的方式加载到内存中。

6. 主模块

– 主模块会下载各种数据窃取插件,并执行;

– 这个模块也会收集本次存储的窃取数据,并上传到Dropbox;

– 主模块融合了不少反逆向工程技术:

检查是否存在debugger,

检查进程是否跑在虚拟环境中,

检查ProcessExplorer是否运行——ProcessExplorer是用来隐藏在合法进程中的恶意程序的,

检查WireShark是否运行——WireShark可以用来识别设备中的恶意流量;

– 它也会在注册表中注册如下键:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\hlpAsist

RUNDLL32 “%USERPROFILE%\AppData\Roaming\Microsoft\MSDN\iodonk18.dll”, IDLE

7. Dropbox机制

– 服务器上有3个文件夹:

 obx – 包含主模块使用的模块,

ibx – 包含插件上传的输出,

rbx – 包含已连接客户端的基本信息;

– 攻击者获取到储存的数据之后,这些数据就会从Dropbox账户删除;

– 注册该Dropbox的用户账户细节如下:

Name: P*****

Email: P********@mail.ru

8. 加密机制

– 用于数据窃取的插件会将输出存储在: %USERPROFILE%\AppData\Roaming\Media

– 在主模块将这些数据发往Dropbox之前,这些文件会以Blowfish加密;

– Blowfish加密密钥即客户端ID。

9. 数据窃取插件

– 文件收集器:查找储存在本地或者共享盘里的不同类型文件,包括doc、docx、xls、xlsx、ppt、pptx、pdf、zip、rar、db、txt,文件会按需上传;

– USB文件收集器:查找USB设备上各种类型的文件(包括doc、docx、xls、xlsx、ppt、pptx、pdf、zip、rar、db、txt);

– 浏览器数据收集器:用来窃取出存在浏览器中的密码和其他敏感信息;

– 麦克风:捕获音频对话;

– 计算机信息收集器:收集客户端的一些数据,如Windows系统版本、计算机名、用户名、IP地址、MAC地址、反病毒软件等;

针对不同的目标设备,并非所有的插件都会下载。每个模块都相关客户端ID,主模块因此能够知道应该下载哪些模块到特定目标设备。

总结

1. Operation BugDrop本质上是网络间谍行为,其目标就是收集各个领域不同目标的情报,包括基建、媒体、科研机构等。目前该活动暂时没有产生破坏性,而是对目标进行识别、定位和侦查,或许这只是其最终目标的第一阶段;

2. Operation BugDrop活动是由具备专业技能,并且具有大量经济来源的黑客发起的。考虑到每天所需分析的数据量,CyberX认为BugDrop幕后必定有强有力的支持。鉴于代码的复杂性,以及该黑客行动执行的情况,CyberX推测这些黑客先前在该领域就有丰富的经验。

这样的活动可能具有国家背景,不过尚无任何证据将Operation BugDrop与任何国家或者组织联系在一起。

3. 私营企业和公共组织机构还是需要持续监测IT/OT网络中的反常行为。也需要深度取证,来识别破坏范围和影响,也需要制定事件响应计划。

相关哈希(SHA-256)

恶意文档:

997841515222dbfa65d1aea79e9e6a89a0142819eaeec3467c31fa169e57076a

Dropper:

f778ca5942d3b762367be1fd85cf7add557d26794fad187c4511b3318aff5cfd

插件

截屏收集器:

7d97008b00756905195e9fc008bee7c1b398a940e00b0bd4c56920c875f28bfe

dc21527bd925a7dc95b84167c162747069feb2f4e2c1645661a27e63dff8c326

7e4b2edf01e577599d3a2022866512d7dd9d2da7846b8d3eb8cea7507fb6c92a

Keylogger:

fc391f843b265e60de2f44f108b34e64c358f8362507a8c6e2e4c8c689fcdf67

943daa88fe4b5930cc627f14bf422def6bab6d738a4cafd3196f71f1b7c72539

bbe8394eb3b752741df0b30e1d1487eeda7e94e0223055771311939d27d52f78

6c479da2e2cc296c18f21ddecc787562f600088bd37cc2154c467b0af2621937

01aab8341e1ef1a8305cf458db714a0392016432c192332e1cd9f7479507027f

文件收集器:

06dcf3dc4eab45c7bd5794aafe4d3f72bb75bcfb36bdbf2ba010a5d108b096dc

daf7d349b1b12d9cf2014384a70d5826ca3be6d05df13f7cb1af5b5f5db68d54

24f56ba4d779b913fefed80127e9243303307728ebec85bdb5a61adc50df9eb6

a65e79bdf971631d2097b18e43af9c25f007ae9c5baaa9bda1c470af20e1347c

USB文件收集器:

a47e6fab82ac654332f4e56efcc514cb2b45c5a126b9ffcd2c84a842fb0283a2

07c25eebdbd16f176d0907e656224d6a4091eb000419823f989b387b407bfd29

3c0f18157f30414bcfed7a138066bc25ef44a24c5f1e56abb0e2ab5617a91000

浏览器数据收集器:

fb836d9897f3e8b1a59ebc00f59486f4c7aec526a9e83b171fd3e8657aadd1a1

966804ac9bc376bede3e1432e5800dd2188decd22c358e6f913fbaaaa5a6114d

296c738805040b5b02eae3cc2b114c27b4fb73fa58bc877b12927492c038e27c

61244d5f47bb442a32c99c9370b53ff9fc2ecb200494c144e8b55069bc2fa166

cae95953c7c4c8219325074addc9432dee640023d18fa08341bf209a42352d7d

a0400125d98f63feecac6cb4c47ed2e0027bd89c111981ea702f767a6ce2ef75

麦克风:

1f5e663882fa6c96eb6aa952b6fa45542c2151d6a9191c1d5d1deb9e814e5a50

912d54589b28ee822c0442b664b2a9f05055ea445c0ec28f3352b227dc6aa2db

691afe0547bd0ab6c955a8ec93febecc298e78342f78b3dd1c8242948c051de6

计算机数据收集器:

c9bf4443135c080fb81ab79910c9cfb2d36d1027c7bf3e29ee2b194168a463a7

5383e18c66271b210f93bee8cc145b823786637b2b8660bb32475dbe600be46e

d96e5a74da7f9b204f3dfad6d33d2ab29f860f77f5348487f4ef5276f4262311

* 参考来源:CyberX,欧阳洋葱编译,转载请注明来自FreeBuf.COM

安卓现新的木马病毒,可模仿用户点击下载危险的恶意软件

配图.jpg

安卓用户正面临一个新的威胁,威胁来自于一个模仿Adobe Flash Player的恶意APP,名为Android/TrojanDownloader.Agent.JI,可为多种危险的恶意软件提供潜在的入口。这款APP在安卓的辅助功能菜单(Android accessibility menu )中骗取受害者的授权后,便可下载和运行更多的恶意软件。

分析研究表明,这款木马的攻击目标是使用安卓系统的设备,包括最新的版本,通过受感染的网站和社会媒体传播。以加强安全措施为借口,受感染的网站会引诱用户下载一个假的Adobe Flash Player更新,如果受害者被看似正规合法的更新界面所迷惑,运行了安装程序,那么你就中招了,更多的欺骗界面将随之而来。

图1.png

图一 假的Flash Player更新界面

木马的工作原理

安装完成之后,下一个欺骗界面会显示“电量过度消耗”,并提示用户打开假的“省电”模式。就像大多数的恶意软件一样,如果用户不启用“省电”模式,提示消息便会一直出现。当用户同意启用之后,会出现安卓的辅助功能菜单,菜单里列出了有此功能的服务,恶意软件在安装过程中生成的“省电”服务便混在那些合法的服务当中。“省电”服务请求允许监控用户的操作行为、检索窗口内容、开启触摸浏览(Explore by Touch),为之后的恶意操作打下基础。这些功能开启之后,攻击者便能模拟用户的点击行为,选择屏幕上显示的任何内容。

图2.png

图二 安装更新之后跳出的请求开启“省电”模式界面

图3.png

图三 包含恶意服务的安卓辅助功能

图4.png

图四 包含恶意服务的安卓辅助功能

一旦服务被启用,假的Flash Player 图标便会隐藏。恶意软件在后台疯狂的运行,将受感染设备的信息发送到自己的C&C server,服务器随后会发送一个URL指向到网络罪犯选择的任意一个恶意APP,这个恶意APP可以是广告软件、间谍软件、或者是勒索软件,我们检测到的是银行恶意软件。一旦获取了恶意链接,受感染的设备会显示一个无法关闭的假的锁屏页面,页面之下恶意操作正在上演。

图5.png

图五 锁屏掩盖下,恶意操作正在上演

拿到模拟用户点击的授权之后,恶意软件便可以自由的下载、安装、运行、并激活设备的管理者权限,为更多的恶意软件打开通道,它们不需要得到用户的许可,这一切的发生都躲在假的锁屏下。等这一套把戏结束了,假的锁屏页面消失了,用户便可以继续使用他们已经被恶意软件感染的移动设备。

如何检测是否被感染

如果你觉得之前可能安装过这个假的Flash Player更新,可以检查一下辅助功能菜单里有没有“省电”这个服务,如果有,那么你的设备已经被感染了。拒绝服务只能让你回到最初的弹出界面,并不能卸载掉Android/TrojanDownloader.Agent.JI. 想要彻底移除,可以尝试在设置->应用管理-> Flash-Player中手动卸载(Settings-> Application Manager -> Flash-Player)。如果downloader获取了设备的管理者权限,受害者需在设置->安全->Flash-Player中禁用downloader的权限(Settings -> Security -> Flash-Player),然后再卸载。

即便卸载了,你的设备可能还是会被downloader安装的众多恶意软件感染。为了确保你的设备不被感染,我们建议用户使用信誉高的移动安全APP来帮助用户检测和消除威胁。

如何远离恶意软件

想要避免恶意软件带来的危害,预防是关键。除了访问可信任的网站,下面的方法也能帮助你远离恶意软件。

当你在网页中下载APP或者是下载更新的时候,一定要检查URL地址,以确保安装来源是预期中的正确来源。在这个案例中,唯一安全的Adobe Flash Player update来源是Adobe的官方网站。

当你在移动设备上运行安装的软件时,要留意软件请求哪些许可和权限。如果一个APP请求了与它的功能不相关的权限,不要轻易同意启用,要多检查几遍。

最后,即便之前的预防措施都失败了,一款卓越的移动安全应用将会保护你的设备远离主动威胁。

视频片段(截取自被感染的设备)

http://www.welivesecurity.com/2017/02/14/new-android-trojan-mimics-user-clicks-download-dangerous-malware/

分析示例

Package Name Hash Detection name
loader.com.loader 4F086B56C98257D6AFD27F04C5C52A48C03E9D62 Android/TrojanDownloader.Agent.JI
cosmetiq.fl C6A72B78A28CE14E992189322BE74139AEF2B463 Android/Spy.Banker.HD

*本文作者:金乌实验室,参考来源:welivesecurity,转载请注明来自Freebuf.COM

虽然SHA-1遭遇碰撞攻击,但“天还没塌”

Collision-illustrated.png

上周四Google与荷兰研究机构CWI宣布首例SHA-1碰撞攻击实例。仅仅一天后的周五就出现了首个碰撞攻击的攻击受害者:WebKit 项目使用的开源版本控制系统Apache SVN,引发业界讨论。SHA-1遭碰撞后,我们的网络空间还安全吗?

上周五,SHA1 碰撞攻击出现了第一位受害者:WebKit项目使用的开源版本控制系统 Apache SVN(或 SVN)。虽然这个问题是发生在WebKit SVN上的,但它能影响全世界的版本控制系统。

程序测试导致代码仓库崩溃

事情的起因是WebKit的工程师想要看看WebKit会如何处理SHA-1碰撞,于是他上传了Google提供的两份内容不同,SHA-1校验值相同的PDF文件。

WebKit SVN接收到上传的两份文件后立即出错并且不再接受任何新的代码推送。

无论是回滚还是删除PDF文件都不起作用,SVN repo仍然无法使用,与镜像repo的同步也中止了。虽然工程师最终修复了问题,但WebKit团队不得不放弃在他们软件中检测SHA-1碰撞的想法。

SVN缺陷被确认

Google和Apache分别确认了SVN存在的问题。

Google在其SHA-1碰撞攻击网站上写道:“版本控制服务器会使用SHA-1进行重复数据删除。当两个[具有相同SHA-1而内容不同的]文件被提交到repo时,代码仓库就会损坏。 […]我们注意到,在某些情况下,由于代码仓库损坏,用户无法再提交代码。”

Apache则在确认缺陷后不久发布了临时补丁,这个脚本可以在SVN checkout之前检查提交的源代码中有没有能够导致SHA1碰撞的文件。Apache表示会在将来提供更好的解决方案。

事实上SHA-1遭遇碰撞攻击后,人们就担心,使用SHA-1校验的代码仓库Git会不会存在被攻击的问题。版本控制系统Git的作者Linus Torvalds 在其Google+账号上,Git不会受这类攻击影响:使用加密哈希用作安全签名和用在诸如git的内容可寻址系统中生成“内容标识符”存在很大的区别;这个SHA1攻击的本质决定它实际上很容易缓解,已经有两组针对这个攻击的补丁;实际上有个直接过渡到一些其他的哈希方法。他还表示,Git 确实需要替换 SHA1,这需要时间,并不需要现在就去做。

365px-SHA-1.svg.png

专家:天还没有塌下来

Linus Torvalds针对谷歌完成SHA-1碰撞一事,在他的Google+帐号中说了一句话:天还没有塌下来。实际上很多专家们对安全形势也是持乐观态度的。

弃用SHA-1并不难

SHA-1最普遍的应用就是SSL/TLS连接的加密了,对于这个问题,各大浏览器厂商早已开始淘汰SHA-1算法了。早在2014年,Chrome浏览器就不再推荐SHA-1算法的浏览器证书,微软Edge浏览器Firefox浏览器都在计划逐步淘汰SHA-1算法。而作为厂商,升级SHA-1证书是应该做的事,而且也不那么难。

InfoSec Global公司CSO David Maxwell表示,SHA-1还可能潜伏在一些不那么普遍的地方。很多产品代码中可能会含有SHA1相关代码,比如CMS系统和代码控制系统会用SHA-1校验文件防止篡改,如果这些系统购买自第三方,那公司可以问问厂商是不是用了SHA-1、何时打算更换算法。

对于那些加密算法出现在代码中的情况,Maxwell称,如果代码具有足够的加密灵活性,那替换成更安全的算法也不会是难题。所谓加密灵活性通俗讲其实就是在代码中使用了别的模块来调用哈希函数,在这种情况下只需要简单地替换调用的模块就行了。

攻击成本高昂

Google与CWI公布的新方法比传统的暴力破解快了100,000倍。具体花费的时间与CPU和GPU有关,即使是拥有强大计算资源的Google,从研究、规划到计算也花了两年。

碰撞攻击的第一阶段花费740万美元,这还是假设CPU开足马力每时每刻在亚马逊上运行的情况,因此能够利用这个漏洞的人只可能是资源丰富的罪犯或者国家资助的黑客。英特尔的Jesse Walker估计,到2021年,制造SHA-1碰撞的计算硬件成本为43000美元。

因此,即便Google证明SHA-1算法是可以被攻击的,它离实际应用还差很远。

*参考来源:ZDNet & NetworkWorld[1] & NetworkWorld[2],本文作者:Sphinx,转载请注明来自FreeBuf(FreeBuf.COM)

二维码乱象调查:扫一扫背后存诈骗陷阱 技术门槛几乎为零

日前,南京市民刘先生在扫描摩拜单车二维码时,出现了本不该出现的转账提示,于是向警方报案。当地有些市民也发现,扫描摩拜单车上的二维码后,如果不注意很可能钱就被转走了。虚假二维码骗局并非孤例。在广东破获的一起二维码诈骗案中,犯罪分子通过扫码盗刷获利90余万元。

作为移动互联网的入口,二维码已被广泛应用于社交媒体、移动支付、产品促销、应用程序下载等方面。“新华视点”记者调查发现,由于制码技术几乎零门槛,不法分子将病毒、木马程序、扣费软件等植入二维码,消费者扫码被盗刷现象时有发生。

二维码乱象调查:扫一扫背后存诈骗陷阱 技术门槛几乎为零-E安全

“扫一扫”背后的诈骗陷阱:覆盖正规码、木马植入、远程复制

针对消费者扫码遭诈骗,摩拜单车负责人称,单车上的正规二维码都是用钉子钉在车身上的,车费必须通过APP支付。车身上发现的二维码是后贴上去的,覆盖了原二维码,用户扫描的是不法分子的诈骗二维码。

在广东,佛山公安局禅城分局发现一起数十家店铺的收银柜台均被张贴虚假二维码案件。犯罪嫌疑人更换商家收款二维码,通过植入木马病毒的虚假二维码,获取消费者的手机信息和密码,进行网络盗刷。一共作案320余起,获利90余万元。

记者调查发现,除了用虚假二维码覆盖正规二维码实施诈骗,还有不法分子直接诱导用户扫描带有木马病毒的二维码。比如,浙江就多次发现不法分子以扫码得红包的形式诱导用户,一旦用户扫码后,手机会感染木马病毒,各种信息都被窃取了。

此外,有些不法分子通过拍照、截图、远程控制等方式获取用户付款二维码,盗刷用户银行卡。浙江台州微商赵女士就是一个受害人。在网络交易过程中,不法分子以自己支付宝余额不足为借口,提出让赵女士将付款码发给自己扫码付款。收到付款码截图后,不法分子随即进行复制,盗刷了赵女士的银行账户。

“付款码相当于银行卡加密码,不要轻易发给他人。”专家介绍,不法分子只要获取了,就可以进行复制,获取银行账户和密码。

“现在我都不敢随便扫码了,一不小心就可能被骗。可是现在生活中要用到二维码的地方又这么多,真是让人纠结。”杭州市民陈小姐说。

“以二维码作为入口的新型互联网诈骗案件层出不穷,一些不法分子将手机木马或恶意软件披上二维码的外衣在移动终端广泛传播。由于缺乏相关知识,没有防范警惕性,消费者个人很难防范。”浙江省网警总队有关负责人说。

专家称制码技术门槛几乎为零,骗子可轻易制“毒码”

业内人士介绍,二维码就是一张能存储信息的拥有特定格式的图形,能够在横向和纵向两个方位同时表达信息,能在有限的面积内表达大量信息。个人名片、网址、付款和收款信息等都可以通过二维码图案展现出来。

据了解,目前我国广泛使用的二维码为源于日本的快速响应码(QR码),由于当时国内没有自主知识产权的二维码,市场几乎被QR码占据。QR码没有在国内申请专利,采取了免费开放的市场策略。“这也意味着谁都可以通过网络下载二维码生成器。只需要将发布的内容粘贴到二维码生成器上,软件随即生成用户所需的二维码。”杭州某网络安全公司工程师郑孵说。

记者在网上搜索“二维码生成器”,发现了205万多个搜索结果,大部分的二维码生成软件可以直接在线使用。记者在首页选定了某一在线二维码生成平台,输入文字、图片、邮箱、网址后,瞬间就转换成了二维码。

“二维码的制作生成没有任何门槛。一些不法分子将病毒、木马程序、扣费软件等的下载地址编入二维码,用户一旦扫描,手机就会被植入的病毒木马感染,身份证、银行卡号、支付密码等私人信息就会被盗取。”阿里安全部资深品牌经理沈杰说。

“任何人都可以制作二维码,而且生成的二维码没有办法溯源,也没有相关的管理机构提供认证,这给警方侦破二维码诈骗案带来了很大困难。”浙江省网警总队工程师介绍。

建立回溯机制明确监管主体

郑孵介绍,目前,二维码的生产和流通并没有明确的主体进行统一的管理。虽然一些部门开始逐渐意识到二维码存在的巨大安全隐患,但还没有相关法律法规和具体举措。

“主管部门应该使用技术手段对二维码进行域名解析,通过设立专门的监管平台对二维码进行检测,过滤不良信息。”浙江工业大学计算机科学与技术学院陈铁明教授建议,“可以考虑建立二维码中心数据库,对市面上流通的二维码进行备案登记,将所有二维码数据统一存放在一个中心数据库,实现对二维码生成流通环节的有效追溯。”

“在管理层面上,有关部门应该对二维码的发布内容进行备案审查,对二维码的发布平台进行资质鉴定,对二维码的发布者进行实名登记,形成一整套完善的责任追溯机制。”陈铁明说。

浙江工业大学网络空间安全协会研究人员郑毓波认为,二维码使用企业应该加强相关的防护。据了解,目前微信和支付宝已经在软件里加强了安全监控保护,确保用户扫码安全。支付宝公司近日宣布,从2月20日起,支付宝付款码将专码专用,只用于线下付款。这就避免了一些不法分子利用二维码付款的机制实施转账诈骗。沈杰告诉记者,支付宝已经自带网址检测功能,用于判定扫描的二维码是否存在恶意链接。如果发现安全隐患,系统会发出安全提示,让用户判定是否需要进入跳转界面。

业内专家表示,用户也需要提高扫码安全意识。“不少人有不良的扫描习惯,看见二维码就扫,很容易落入不法分子的陷阱。”郑毓波说,应该加大知识普及,让大家了解二维码编码原理和二维码发布机制,不随意扫描来历不明的二维码,保护自己的信息安全。(参与采写:倪震洲)

Docker 2375端口漏洞 全网安全风险报告

Docker 2375端口漏洞 全网安全风险报告-E安全

2017-02-17

杭州安恒信息技术有限公司

海特安全实验室

注:本报告所有基础数据采集于互联网 2017-2-12至2017-2-15

1. Docker简述

Docker 2375端口漏洞 全网安全风险报告-E安全

Docker图标

Docker是一个开源的应用容器引擎,基于LXC的高级容器引擎,源代码托管在Github 上,基于go语言并遵从Apache2.0协议,开源让开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的 Linux 机器上,也可以实现虚拟化。容器是完全使用沙箱机制,相互之间不会有任何接口。

2. Docker 2375端口安全风险

为了实现集群管理,Docker提供了远程管理接口。Docker Daemon作为守护进程,运行在后台,可以执行发送到管理接口上的Docker命令。正是因为错误地使用了Docker远端接口,引起了安全漏洞,因此在启动Docker Daemon时,加入-H 0.0.0.0:2375,Docker Daemon就可以接收远端的Docker Client发送的指令。Docker是把2375端口作为非加密端口暴露出来,一般是用在测试环境中。此时,没有任何加密和认证过程,只要知道Docker主机的IP,任何人都可以管理这台主机上的容器和镜像。

Docker 2375端口漏洞 全网安全风险报告-E安全

Docker Daemon

2.1. 使用docker命令连接

当$HOST主机以docker daemon -H=0.0.0.0:2375方式启动daemon时,导致2375端口对外网开放,攻击者可以直接用Docker命令连接并管理docker daemon进行直接操作:

docker -H tcp://$HOST:2375 info

Docker 2375端口漏洞 全网安全风险报告-E安全

docker连接查看INFO信息

2.2. 进入容器获取SHELL

使用exec命令进入容器调用/bin/sh:

docker -H x.x.x.x:2375 exec -it 78c310597d11 “/bin/sh”

Docker 2375端口漏洞 全网安全风险报告-E安全

使用命令连接管理容器

3. 基于全网Docker 安全风险分析

对于全网范围内暴露出来的Docker 2375端口,部分用户会使用2376端口来配置。海特实验室进行了一次统计分析,以此进一步了解目前的安全风险分析。

Docker 2375端口漏洞 全网安全风险报告-E安全

对应端口号开放的Docker服务数量表

对于这2000+直接暴露在公网的Docker服务都有可能随时被攻击者入侵,以及破坏,或者用来发动网络DDOS攻击等危害。

3.1. Docker版本分析

我们基于这些暴露在全网中的docker进行版本分析,以便了解在这些有安全风险的Docker都存在于哪些系统版本和软件版本中。

Docker 2375端口漏洞 全网安全风险报告-E安全

Docker版本数量百分比TOP 5

Docker 2375端口漏洞 全网安全风险报告-E安全

Docker版本数量TOP 5

通过数据对比我们发现,暴露在公网中存在安全风险的Docker版本主要集中于1.13.1/1.12.6 占比达到28%。

Docker 2375端口漏洞 全网安全风险报告-E安全

KernelVersion版本数量百分比TOP 5

Docker 2375端口漏洞 全网安全风险报告-E安全

KernelVersion版本数量TOP 5

同时我们对比了系统内核版本,发现问题主要集中在3.13.0/4.4.0版本中。

对于暴露在互联网中的存在安全风险的Docker主要集中在以系统版本3.13.0/4.4.0以Docker 1.13.1/1.12.6的版本中。建议使用以上版本的用户进一步加强安全措施并有效加固服务器。避免服务器被入侵,以及破坏的可能。

3.2. 地理分布分析

对于这些暴露在互联中存在安全风险的Docker,进行IP归属地统计,帮助我们分析对于Docker 2375/2376端口问题,主要集中于那些国家地区。

Docker 2375端口漏洞 全网安全风险报告-E安全

存在安全风险的Docker地区分布版本TOP 5百分比

Docker 2375端口漏洞 全网安全风险报告-E安全

存在安全风险的Docker地区分布版本数量

通过数据对比我们发现Docker主要安全风险集中于美国和中国,同时我们建议对Docker的安全风险进行进一步加固。

4. 安全加固建议

1. 建议在使用Docker时将2375端口监听在内网IP地址,避免直接暴露在互联网中。

2. 公网中使用TLS的docker remote api(使用2376端口)。

为迎接2020年奥运 日本拟修改网络安全战略

据新加坡《联合早报》引述日媒2月26日报道,为迎接2020年东京奥运会和残奥会,日本政府已基本决定修改旨在确保互联网安全的《网络安全战略》。相关人士25日透露,新战略核心是在政府内新设因网络攻击而影响大赛时的指挥总部“奥运残奥应对协调中心”。此举旨在以内阁为中心完善官民合作体制,对抗日益复杂升级的威胁。

为迎接2020年奥运 日本拟修改网络安全战略-E安全

资料图

据报道,现行战略在2015年9月获得内阁会议通过。此后网络攻击跨越国境连环发生,且手段快速升级。以铁路和电力等重要基础设施为首,社会上各部门都在推进IT化,风险随之增大。若基础设施因攻击无法控制运营,就可能造成城市混乱,甚至出现恐袭,因此日本政府认为有必要强化应对措施。

新对策中,日本政府将吸取2012年伦敦奥运会曾遭受超2亿次网络攻击的经验,配合奥运设立“奥运残奥应对协调中心”,统筹基础设施运营方和相关政府部门,并与奥组委紧密合作。网上也将全天候构筑“虚拟网络威胁信息汇总中心”。此举将提高警戒监视能力,完善被攻击时迅速遏制损失的综合体制。

新战略将要求处理尖端技术的大学和研究机构提升防御能力,政府拟与对网络防御表示关注的美国特朗普政府强化合作。(实习编辑:周思敏 审核:谭利娅)

德国情报机构监控外国记者

德国情报机构监控外国记者-E安全

德国明镜报道,德国外国情报机构 BND 自 1999 年开始对一些外国记者的电子邮件、传真和电话记录进行监控。其中包括 BBC、路透社、《纽约时报》、津巴布韦独立报纸《Daily News》(2003 年被独裁者 Robert Mugabe 关闭)。美国 NSA 告密者斯诺登此前向全世界媒体透露了美国国家安全机构全球范围的监视计划。他说,这一计划也得到了德国间谍机构 BND 和英国间谍机构 GCHQ 的协助。在 2 月 16 日,德国总理默克尔在议会的聆讯中作证。根据目前所揭示的信息,她也在美国情报部门的监视名单上。

安徽云探索网络科技有限公司荣获 “2016年度合肥新经济科技创新成果奖”荣誉称号

 

由安徽省创意经济研究会、安徽省中小企业协会、合肥市企业家协会、市场星报社共同举办的“金邦城”杯合肥新经济领军人物评选,安徽云探索网络科技有限公司荣获《2016合肥新经济科技创新成果奖》。

 

安徽云探索网络科技有限公司是一家专业从事计算机信息安全软件研发和技术服务为主的高技术企业,由一批国内知名网络安全精英组成。针对入侵服务器案件的现场勘验、日志和关联分析等方面进行技术研发,开发了多套具有核心竞争力的产品。公司还与国内外网络安全企业建立了良好稳固的合作关系,在拓展业务的同时,为客户提供全方位的服务。

目前主要经营范围:计算机软硬件开发、销售;系统集成、网络工程、网络设计;网站设计、开发及技术服务;网络安全产品开发销售。(依法须经批准的项目,经相关部门批准后方可开展经营活动)。

云探索,视“没有网络安全,就没有国家安全”为己任,以大数据为中心,在网络安全探索的道路上不断创新、超越,希望能够持续为客户提供优质的产品和服务。

 

Linus Torvalds 回应 SHA-1 碰撞攻击“不必过于担忧”

Google 与 CWI Institute 合作演示了对 SHA-1 的碰撞攻击,公布了两个 SHA-1 哈希值相同但内容不同的PDF 文件。这一消息在 Git 社区引发了 Git 对象碰撞攻击可能性。

Git 作者 Linus Torvalds 对此回应称 Git 不用担忧 SHA-1 碰撞攻击。他解释说,git 不只是哈希数据,还预留一个类型/长度字段,增加了碰撞攻击的难度,相比之下 pdf 文件使用了一个固定的头,为了实现相同的哈希值攻击者可以在里面加入任意的静默数据。所以 pdf 文件的不透明数据格式使其更容易成为攻击目标。git 也有不透明数据,但都属于次要的。他表示,git 可以很容易加入额外的完备性检查抵抗碰撞攻击,它并不面临迫在眉睫的危险。

稿源:solidot奇客;封面源自网络

纽约机场泄漏超过 750GB 的电子邮件、密码和政府文件

外媒报道,纽约斯图尔特国际机场将 750GB 备份数据暴露在互联网上,没有密码保护、无须任何身份验证。泄漏的数据包括 107GB 邮件通信内容、员工社会保障号( SSN )、机场系统的密码列表、内部机密文件等。

367cf5193ec77a84736f5da7045d822758affa6d7085b

据安全研究人员 Chris Vickery 称,敏感数据自去年三月据处于公开状态,直到本周二机场收到 Vickery 的报告才意识到。泄露的数据包括来自机场内部的 107GB 个人电子邮件通信内容,以及来自美国国土安全局( DHS )和联邦机构运输安全管理局(TSA)的信件,还包括员工社会保障号( SSN )、工资记录。许多泄露的文件标有“仅供官方使用”“未经授权公布将受到民事处罚”警告字样。此外,泄露的数据海安包括机场系统的密码列表,攻击者可不受限制地访问机场网络。

9c4bd9f7aefb1f8c3289516c3be2ae4058affa6e8a2a6

纽约斯图尔特机场的数字安全全部由私营公司“ AVPorts ”管理,而 IT 技术人员通常每月只到场两到三次,你不能指望一个人来维持整个机场的网络基础设施。此外,公司的 IT 技术人员也没有接受过预防数据泄露的安全培训。

这次数据泄露的诱因归结于两个:第一,几个月前机场开始使用了一个名为“ Shadow Protect ”的测试版备份软件。第二,使用了有问题的备份辅助设备 Buffalo Terastation 。Terastation 设备默认开放端口 873 ,而 ShadowProtect 软件在运行时也将开放 873 端口,攻击者可利用远程同步服务( rsync )访问。

本文由 HackerNews.cc 翻译整理,封面来源于网络。
转载请注明“转自 HackerNews.cc ” 并附上原文链接。

英国警方逮捕去年 Mirai 攻击德国电信百万路由器的幕后黑手

外媒报道,英国警方 22 日在机场逮捕了一名涉嫌大规模攻击德国电信的嫌疑人。

德国电信遭攻击事件发生在去年 11 月,攻击者针对 Speedport 路由器的 7547 端口进行 SOAP 远程代码执行漏洞的扫描,并利用 Mirai 恶意软件感染设备组成僵尸网络,超 90 万德国路由器受影响无法联网。

wechatimg2

德国联邦刑事警察部队( BKA )23 日发布公告称,英国国家犯罪局( NCA )星期三在伦敦卢顿机场逮捕一名 29 岁的英国嫌疑人,他被指控参与了去年的德国电信攻击案,目前此案还在审理当中。BKA 补充称:这次能短时间内破案归功于,从一开始德国电信就与欧洲各执法机构展开合作,而且联邦信息安全办公室( BSI )还提供了技术援助,便于分析攻击者所使用的恶意软件。

BKA 称警方将引渡 29 岁的嫌疑人到德国面对计算机破坏的指控。如果被定罪,他可以被判处 10 年有期徒刑。

本文由 HackerNews.cc 翻译整理,封面来源于网络。
转载请注明“转自 HackerNews.cc ” 并附上原文链接。

韩国遭遇针对性网络间谍活动,矛头再次指向朝鲜

外媒报道,韩国再次遭到一次复杂的网络间谍活动。思科 Talos 团队专家称,网络间谍活动发生在 2016 年 11 月至 2017 年 1 月期间,疑似朝鲜支持的黑客利用韩语语言文字处理程序 HWP 漏洞并以韩国统一部名义编写钓鱼文档传播恶意软件。

hangul-word-processor-document

HWP 办公软件很少在韩国以外地区使用,但它在韩国很流行,包括很多政府部门都在使用。

攻击者首先入侵了韩国政府法律服务网站( kgls.or.kr )并进行挂马。黑客使用了一个标题为“ 2017 朝鲜分析报告”的诱饵文件,文件底部还附加了韩国统一部标志。

调查人员认为攻击是由朝鲜支持的黑客发动的。该网络攻击使用的技术、战术和程序都与此前发现的黑客组织特征相匹配。朝鲜也一直是韩国网络攻击的主要嫌疑对象。

本文由 HackerNews.cc 翻译整理,封面来源于网络。
转载请注明“转自 HackerNews.cc ” 并附上原文链接

严防高考信息数据泄露防止填报志愿账号被盗用

商报济南消息(记者徐玉芹)2016年高考录取期间,我省发生两起高考志愿被篡改事件,一起是青岛胶州一中常升报考陕西师范大学免费师范生被同学篡改,一起是单县4名高考生志愿被同学篡改。篡改常升志愿的郭某某以涉嫌破坏计算机信息系统罪被批捕。篡改单县四考生志愿的陈某犯破坏计算机信息系统罪,判处有期徒刑七个月。两起事件社会影响恶劣。《通知》今年也相应增加了“切实保障高校考试招生信息安全”一节,要求各地高度重视信息安全工作,严防信息数据泄露。

《通知》要求各地必须高度重视高考信息安全工作,加强人防、物防、技防,及时堵塞管理和技术安全漏洞。高考和招生录取期间,要实行24小时值班制,加强对重要设备、信息系统和网站的运行监控和安全监测,进一步完善防病毒、防攻击、防篡改、防瘫痪、防窃密的技术措施,加强对重要设备和信息系统的运行监测和监控,确保信息系统安全可靠运行。加强信息安全预警工作,及时发现和消除安全隐患、及时发现和处置信息安全事件。切实做好考试数据备份,提高系统和数据恢复能力。

严防信息数据泄露。切实加强考生志愿填报密码保管、发放和志愿确认等环节管理,防止考生志愿填报账号被他人盗用或非法操控。要通过严格工作权限、定期校验等措施,严防数据信息泄露。对工作中需要阶段性保密和涉及考生个人的信息,任何人不得擅自泄露或篡改以谋取非法利益。

人教版高中教材再遭“篡改网页”:打开是赌博网页

继前几日网友举报人教版高中语文选修教材里的网址出现淫秽色情网站后,近日,又有网友举报称,在使用人教版高二生物3必修课本时,发现教材中提供的一个网址为赌博网站。今天下午,记者尝试打开该网页,发现已无法显示。根据网友提供的照片信息,在课本14页左下方的“登录信息”标签下有3个网址。记者分别输入浏览器后发现,第一个和第三个网址指向为人民教育出版社官网和“中国基础教育网”。被网友举报的是第二个网址“www.sw-sj.com”。

在网友之前对“赌博网站”的截图中可以看到,页面的醒目位置显示有“斗地主小游戏”“赌场”等字样,还有类似广告宣传的大幅图片及文字。该情况稍早前已被多家媒体证实。

为求证微博图片,记者在电子课本网上查询到该本教材的电子版,对比后发现,教材的封面、第14页的内容,与微博网友公布的图片一致。该教材的版权页面显示,出版时间为2007年1月第2版。

电子课本网《普通高中课程标准实验教科书 生物3》版权页面

记者随后在百度云中对第二个网址进行了域名注册信息查询,结果发现,所有者为“zhangmingren”,联系邮箱为“ml77888@outlook.com”,于2016年8月2日注册,到期时间为2017年8月2日。

据互联网业内人士透露,不排除有人篡改页面、或在原网站域名过期后提供虚假注册信息抢注等情况。记者咨询相关人士,对于肆意篡改页面,按照《刑法》第286条规定:“违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的”,构成破坏计算机信息系统罪,其中,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。。

此外,根据我国2004年9月28日信息产业部第8次部务会议审议通过的《中国互联网络域名管理办法》第二十七条规定,任何组织或个人注册和使用的域名,不得含有散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的内容。《办法》第四十三条还规定,违反本办法第二十七条的规定,构成犯罪的,依法追究刑事责任;尚不构成犯罪的,由国家有关机关依照有关法律、行政法规的规定予以处罚。

在此之前,人民教育出版社官方微博已针对“语文选修教材《中国古代诗歌散文欣赏》中出现黄色网站”一事作出声明,查明教材提供的网页链接遭到篡改,并已向网络监管部门做了举报。

另据媒体报道,人民教育出版社相关负责人今天表示,在语文教材出现了链接问题后,就针对所有教材提供的网页链接做了一次整体摸查,上述情况之前也已知道。不过,想在完全整理检查完后,再做统一的处理,后续会有处理办法。

谷歌披露了另一个未打补丁的Windows漏洞,Edge浏览器用户处于风险之中

谷歌公布了另一个未修补的Windows安全漏洞详细信息,根据谷歌的Project Zero计划政策,该漏洞在通知对方90天后仍然不修补,那么谷歌将公布此漏洞。这一次,漏洞存在于微软Edge和Internet Explorer浏览器的一个模块当中。谷歌工程师Ivan Fratric发布了一个概念证明,这个漏洞可以使浏览器崩溃,为潜在的攻击者获得受影响系统的管理员权限打开了大门。

Fratric说他在Windows Server 2012 R2上对64位版本的Internet Explorer进行了分析,但32位Internet Explorer 11和微软Edge都应受同一漏洞的影响。这意味着Windows 7,Windows 8.1和Windows 10用户都暴露在了同一漏洞当中。

该漏洞在11月25日报告给了微软,根据谷歌Project Zero的政策,该漏洞在2月25日公开,因为微软尚未提供补丁。有趣的是,微软已经推迟了本月应该发布的例行补丁,现在计划在3月14日发布安全更新,但还不知道公司是否真的在其中修复了谷歌发现的此漏洞。

这是Google在短短几个星期内披露的第二个安全漏洞,谷歌还公布了在2016年3月首次向微软报告的gdi32.dll中漏洞详细信息。谷歌Project Zero成员Mateusz Jurczyk试图说服微软在2016年6月修补这个缺陷,但问题只有部分解决,所以在2016年11月向谷歌提交了另一份报告。在3个月的窗口过期后,谷歌公布了此漏洞的细节。

谷歌这次给我们带来了两个不同的安全漏洞,微软尚未推出补丁进行修复,很难相信微软会在3月14日之前外修这些漏洞。

微软宣布更好地保护墨西哥人和其他拉丁美洲人的信息安全

微软是一家专注于全球所有用户的公司,其产品和计划正在改善世界各地的生活。今天,微软宣布将更好地保护墨西哥人和其他拉丁美洲人的信息安全。微软在墨西哥开设了一个新的网络安全中心。该公司还与墨西哥联邦警察合作,更好地打击网络犯罪。

微软表示,为了实现帮助拉丁美洲的人们继续走向数字化转型的承诺,微软正在墨西哥推出一个网络安全参与中心,这是一个全球倡议的一部分,体现了微软公司在IT安全问题上的独特视角,这不仅体现微软在软件开发和持续改进方面几十年的经验,而且是业界最强大和可靠的云计算平台之一。

微软这个新中心将与美国华盛顿州雷德蒙的微软网络犯罪中心合作,目的是为公司和政府提供安全解决方案,对智能,数据分析,取证方面提供国际支持和数字转换。利用微软在打击网络犯罪方面的积极作用,将允许来自墨西哥和拉丁美洲其他地方的网络安全专家与微软专家一起合作打击网络犯罪。

如何做好“智慧城市”的安全防护?美国加州圣地亚哥市经验谈

gary-hayslip-san-diego-1-100708179-large.jpg

Gary Hayslip是国际上最早的网络安全专家之一,目前是圣地亚哥市的首席信息安全专家。圣地亚哥也是网络安全领域的一个中心城市。在这个物联网安全威胁肆虐的高峰时期,每个人都在焦灼急切地寻找解决方案。那么今天就让FreeBuf跟随Gary Hayslip来看一看他是如何保护圣地亚哥市的网络安全的。

他曾为美国国防部效力,任期包括20年的现役军事和7年的军队公务员工作。然而“智慧城市”的安保与他27年的国防部工作经验截然不同。“每个城市都不会摒弃先进的技术。如果它能解决问题,为什么我们要放弃?所以到最后,整个城市都被各种各样的技术连接在了一起。“Hayslip说。

”警车、救护车、图书馆、水源处理设施、高尔夫球场等等这些基础设施加起来,整个圣地亚哥市的总价值达40亿美元。而且一个城市永远不会打烊,7天24小时地营业,“他说道。”我在国防部27年,从来都不知道原来城市网络是个这么有趣的东西!“

圣地亚哥市不断探索着智慧城市的安全解决方案,改善公共安全和交通领域,然而这个问题的复杂性也随着联网设备的增加而不断上升。

“智慧城市中有着无数的物联网设备,随着这些智能基础设施的增加,你可能会开始思考——如果我改变了某个设备上的某个软件究竟会发生什么?其造成的影响会是‘滚雪球式’的吗?很多时候只有真正遇到了问题你才能知道答案,”Hayslip说。“作为一个安全专家,从风险的角度来看,这种未知性的确让我十分恐惧。”

正是看到了这种未知性,圣地亚哥市才会如此重视整个城市IT环境的安全问题。整个城市网络为40个部门的11,000多名员工提供服务,涵盖40,000多个终端。“网络是如何被人们所利用的?数据流向哪里?我有哪些连接点?网络中究竟有些什么?对于这些问题我都十分困惑。”三年前被聘为圣地亚哥市副主任与首席CISO的Hayslip这样说道。

这不是一个一夜之间就能解决的问题。Hayslip和他的团队制定了一个五年计划。首要步骤就是引入来自NIST(美国国家标准与技术研究所)的计算机安全指导政策框架。“有了框架之后至少你有了一些评估参数,能够确定目前情形的严重性,不至于陷入极度的恐慌之中。你可以利用这个框架,以成熟明智的心态看清自己的位置。一旦有了这个基准线,你才可以稳定地开始下一步。”

但是标准的制定也比较棘手,因为一个城市的各个职能部门会不断引入新的技术、不断更新已有的基础设施,整个网络状态在不断地发生变化。“如果某个组织机构的技术变更率非常高,那么你很快就会发现拥有一个稳定的标准十分困难,而且可能在很长一段时间内都无法实现。”他说道。

意识到了这种波动性,于是Hayslip采纳了NIST持续监控、扫描与修复的模型。“网络安全的保障实际是一个完整的生命周期。其基本含义是你永远不能停下脚步、只能选择前进。我们应该把网络看做是一个库存(inventory)与评估、扫描、监控与修复的真实的生命周期。你需要一遍一遍地去完成它。”

考虑到圣地亚哥是众多网络攻击者垂涎的目标,持续掌握整个网络的实时状态十分关键。“我们平均每天都会遭遇50多万起网络攻击事件,”Hayslip说。“其中很大一部分都是自动产生的,但也有一些是人为操纵,是某些犯罪团伙的蓄意攻击。”

圣地亚哥不是唯一的攻击目标。过去几年中,许多公共机构都成为网络罪犯感兴趣的攻击对象。根据2016年IBM X-Force网络安全情报指数显示,政府是网络攻击最为严重的五大行业之一。“哪里有数据,哪里就有犯罪团伙。说得好听点,他们是公平的。一个城市往往拥有海量的资产和数据,所以不管怎么样,我们都很容易受到网络攻击。”

多个产品协同防御

安全扫描方面,圣地亚哥市使用了Tenable,其整合了Carbon Black桌面终端安全的技术。

在数据治理方面,圣地亚哥利用了Varonis的技术。“我们利用Varonis获取数据所在位置以及谁在访问哪些数据等信息。然后再利用Tenable验证所收集到信息的真实性,以及网络上资产的流向,”Hayslip说。“利用这些技术你可以解决很多问题。”

在统一威胁监控方面,圣地亚哥目前使用的是Cyphort。这是一个能够让我们看到实时攻击以及安全组件中的哪些资产正在对威胁作出响应的平台。另外,我们会将这些资产中的安全事件数据以及其它资源注入Sumo Logi,这是一个提供日志及度量管理的、基于云的分析服务产品。

“我们正在开发自己的仪表盘,也就是一个能够观察所有分析结果的统一平台。通过数据、网络、资产利用方式的变化趋势,不断地利用它来发现漏洞,”Hayslip说。发现漏洞以后,我们使用AttackIQ,这是一个实时的远程测试平台,能够帮助我们验证安全问题的真实性。“如果确定问题是真实的,则通过扫描结果提交任务单,修复问题。”他说。

随着对Tenable技术的不断熟悉,我们逐渐发现它的功能远比我们想象的强大。“一开始购买这个东西时,我们认为它只能解决单个问题,”Hayslip说。“现在我们发现它的价值远远不止这些。Tenable可以说是我们整个安全设备体系中的核心要素。”

到目前为止,Tenable所产生的价值远大于支出。整个城市平均每月都有200台受感染的设备,每台设备造成的生产力价值损失高达600美元。但是部署Tenable以后,受感染的设备下降到平均每月35台,也就是说它每年为这个城市减少了130万美元的生产力价值损失。

从商业的角度解释网络风险

Hayslip在维护与城市中各部门的关系上作出了很大的努力,这一点能够帮助他们的安全团队与保障项目的初始阶段不脱轨。他花了一定的时间去了解广大市民,了解他们是如何工作的,他们需要什么样的应用和数据以及他们的客户是谁。

“我认为自己是他们的合作伙伴,并且希望能够在安全项目起始阶段就起到作用,而不是等到最后,”他说。“我希望能够在使用纳税金之前就把问题解决了。”

但是事情不可能永远朝着我们所想的那样发展。早前,我们的安全团队可能会受陌生的数据类型所影响。“当你进行安全扫描时,突然发现一些异常情况。你以为这是个漏洞或者发现某台机器受到感染了。但结果发现并不是机器,而只是一个路灯。”

Hayslip认为他需要和城市中的很多部门好好沟通一下安全风险问题。“我在扫描和其它工作中发现风险都不是来自于我这里,而是来自于很多企业和相关机构。而他们对待风险的优先级和我的完全不同。”

Hayslip使用的一个有效的策略是和企业谈论商业风险而不是网络威胁。很多部门关注的是企业运营、资金流以及为市民提供的服务。“当你讨论无法正常提供基础设施服务,例如市内的高尔夫球场每年收益4千万美元,一旦遭受攻击、面临巨额损失时,他们就会坐下来全神贯注地听你讲的东西了。我们应该站在他们的角度谈论商业,而不是网络。”当Hayslip从商业角度解释风险时,这些部门人员就会意识到问题的严重性,分清优先次序。“这也就是为什么我称它为‘网络即服务’。我向他们展示所有的风险,解释会产生的影响,这些风险如何对正常业务造成损害,然后我们才能一起确定事件的优先项。”

“我还是会记录攻击数量、修复次数以及众多的安全问题,因为这是我的工作。而且我需要从预算的角度向人们展示我们团队所做事情的价值,”Hayslip说。“但是这些东西我不会跟商业机构分享,因为这不是他们感兴趣的点。”

Hayslip一直遵循这个理念,让企业意识到网络安全的重要性。他会参加一些中小企业的论坛以及专业小组,帮助私企提高他们的网络安全状况。他认为这是他代表这个城市的工作使命之一。

从长期来看,圣地亚哥的目标无非是开发一个足够灵活的能够抵御攻击的基础设施框架。这也是所有的机构都希望实现的状态。圣地亚哥正在实现这个目标的道路上不断努力。

同时,很多市民也都在不断地使用新技术,他们希望获得更多SIEM(安全信息与事件管理)的数据,很多人都想知道他所面临的风险。

总结

本文提到的工具和方法应该能够为我们保护物联网安全带来不少启发。总结来说,首先需要政府部门出台统一的政策框架用于风险现状的评估。其次离不开强大的安全工具和设备的帮助,只有当不同功能的工具相互整合、协同开展工作才有可能实现全方位的安全保障。

最后,最为重要的一个步骤还是需要提高城市中各个机构的网络风险和安全意识。当然我想还有非常值得我们学习的是Hayslip看待物联网安全问题的心态。越是困难的时势,越能造就时代的英雄。

*参考来源:csoonline,FB小编Carrie编译,转载请注明来自FreeBuf(FreeBuf.COM)

往水里投毒?解析针对工业控制系统的勒索攻击

PLCs-hacking.jpg

近年来,勒索软件攻击已经成为一个非常让人担忧的安全问题,为了获得高额的利益回报,网络犯罪者逐渐把目标转向了医疗、金融等高价值行业。尽管目前所有的勒索攻击都只是针对个人电脑,但随着攻击面的不断扩大,最近的一些分析表明,工控系统网络极有可能成为勒索软件的下一个攻击目标,工控系统相关的关键基础设施也将面临勒索攻击的可能。

昨天FreeBuf的文章《勒索软件新威胁:你敢不付赎金,我就敢往你喝的水里投毒》中提到了一种威胁工控系统的勒索软件,而下面这篇文章则对此进行了深入剖析,来看看勒索软件何以有如此能耐。

在这项项研究中,佐治亚理工学院网络安全专家开发了第一个针对可编程逻辑控制器(PLC)的勒索软件,模拟城市供水设施作为勒索攻击目标进行攻击建模和影响评估。(该项研究也作为专题报告在近期RSA大会上作了分享展示)

对供水设施的勒索攻击演示视频:

研究介绍

工控攻击事件鲜有发生,但这并不代表工控系统就是安全的,据卡巴斯基最新研究表明,由于多种漏洞和不安全协议,工控系统安全甚至有恶化倾向。这种暂时的安全状况,唯一的解释就是,网络犯罪者还不能很好地将攻击与利益结合。在勒索攻击盛行的今天,企业数据是攻击者的价值目标,虽然工控系统涉及的有价值数据较少,但如制造业、电站、供水及天然气设施稳定安全的可持续运行,与人们的生活息息相关。前有北美停电事件、Stuxnet事件,近有乌克兰电站被攻击案例,从经济和安全角度来看,都造成了很大程度的损失。

我们开发了第一个针对可编程逻辑控制器(PLC),名为LogicLocker的工控勒索软件,以此探讨工控系统成为勒索软件攻击的可能性。LogicLocker利用施耐德Modicon M241设备的原始API接口,扫描工控系统内部网络的已知安全漏洞设备,如Allen Bradley MicroLogix 1400 PLCs、 Schneider Modicon M221 PLCs,通过感染和绕过方式突破安全机制,锁定设备合法用户,并在程序中设置对物理和人身安全形成威胁的逻辑炸弹,作为赎金勒索之用。我们的主要研究涉及以下几点:

开发了第一个针对工控系统可编程逻辑控制器(PLCs)的勒索软件;

实现了跨供应商PLCs感染蠕虫的概念性证明;

针对传统勒索攻击和ICS勒索攻击进行了详细的经济因素和影响比较;

利用Shodan针对此类受勒索攻击的工控设备进行了在线发现和调查;

作为研究和参考之用,制订了工控系统勒索攻击安全框架。

威胁建模

抛开国家支持黑客和脚本小子的攻击,在该项研究中,我们假设勒索攻击以经济目的为出发点,由有组织网络犯罪组织发起,虽然这些攻击者不具备固件级别的漏洞发现能力,但他们能熟练使用应用层的PLCs入侵能力,可以发现并控制大量工控设备。攻击者通过对PLC代码的修改,可以实现对工控设备的物理破坏,或设置程序逻辑炸弹,触发更严重的安全威胁。

勒索攻击的经济影响评估

对医院的勒索攻击之所以能够成功,是因为医院必须对患者数据的绝对控制和需要;而工控系统同样需要保证其PLC能安全稳定为民众或下游生产商提供服务。

传统勒索攻击VS工控系统勒索攻击

传统攻击造成的经济损失,是由被攻击窃取数据的价值和受害者数量范围共同决定的,攻击者在发起攻击之前会衡量攻击成本和攻击价值。攻击成本越高,意味着目标安全性越高,而获得的勒索价值可能也就越多。这种关系可以用以下等式来表明:

01.jpg

对于勒索攻击来说,工控系统算是数据价值较低且范围相对较小的攻击目标,但其设备停机时间、安全性能和操作人员安全造成的影响,却远远超出通常价值范围,攻击者一样可以利用这些致命要害对工控设备发起勒索攻击。

02.jpg

实验过程

下图所示LogicLocker利用的三种PLCs分别为Schneider Modicon M221、Allen Bradley MicroLogix 1400和Schneider Modicon M241,它们代表了当今比较流行和常用的PLC品牌,但在此我们需要提醒的是,这些品牌在内的大多数PLC设备都不具备合适的可编程验证功能。

222222222222.jpg

而另外一些具有密码验证和PLC编程校验功能的设备,如MicroLogix 1400,一旦被攻击者利用其它方式入侵控制之后,也存在被攻击者设置新密码进行勒索攻击的可能。我们在Shodan上发现大量在线联网的ICS设备:

03.jpg

为了验证ICS勒索攻击的可能性,我们构建了一城市供水模型并模拟勒索攻击的可行性。在水质消毒阶段,自来水内需要加入比例准确的氯粉,而在水量储存阶段,需要对水量进行最低限度用水保障控制。

screen-shot-2017-02-13-at-5.45.40-pm-100708818-large.jpg

04.jpg

勒索攻击解析

对ICS的攻击可以分为初始感染、进一步攻击渗透、设备锁定加密和勒索谈判几个步骤,整个过程如下图所示:

06.jpg

后续相应列表则列出了每个步骤攻击者可以执行的攻击动作。

初始感染阶段

通过感染直接联网的ICS设备,或利用其它攻击方式,入侵目标受害方用户终端电脑系统,最终实现恶意软件或勒索软件的驻留,为后续勒索攻击作好准备:

07.jpg

进一步攻击渗透

通过内网和感染设备的进一步攻击渗透,发现其它存在漏洞的PLC设备和可以利用的脆弱性。攻击者在内部网络的横向渗透:

08.jpg

攻击者在内部网络的纵向渗透:

09.jpg

锁定加密

寻找的可以下手的目标PLC设备之后,攻击就会发起对目标设备的锁定和加密动作:

12.jpg

10.jpg

勒索谈判

一旦成功对PLC设备进行锁定或加密,攻击者就获取了对目标设备的控制权限,就会受害方发起警告提示,以催促支付赎金,这些警告提示方式包括邮件、PLC页面展示:

13.jpg

LogicLocker

在攻击模型中,我们假定攻击者能暴力破解连网的Modicon M241设备并窃取其用户凭据,之后通过感染的LogicLocker扫描内部网络,发现存在漏洞的PLC设备。在锁定阶段,针对Modicon M221和MicroLogix 1400,LogicLocker可以实现重编程、密码重设和合法用户锁定功能; 在加密阶段,攻击者可以利用其它标准加密方法任意加密设备密码和程序;在勒索谈判阶段,攻击者可以使用LogicLocker向受害方PLC设备管理人员发送警告邮件。

在该模型中,如果勒索赎金得到满足,攻击者就会向受害方提供一段设备重置程序以解除勒索,如果谈判失败或受害方拒绝支付赎金,攻击者将会向供水设施中添加过量的对人体造成伤害的化学氯,另外,攻击者还可以通过可编程逻辑控制器(PLC)来篡改水量设备读数或关闭用水水阀,造成公众恐慌。后续版本的LogicLocker软件将增加警告邮件发送客户端,通过该功能,如果勒索成功,攻击者可以向受害方发送程序解锁和重置程序。以下列表总结了LogicLocker可以执行的勒索攻击动作。

14.jpg

安全防护

终端安全防护

实施深度防御策略,包括更改默认密码、禁用不需要的协议、设置访问控制方法、禁用远程可编程功能、保持设备固件更新、备份所有程序文档。针对新购置设备,应该仔细考虑产品安全性能,另外,请注意PLC的密码保护功能仅用来对可编程环境的合法用户进行验证,要避免成为勒索攻击者的勒索手段。

网络安全防护

应该进行网络分段控制和可疑流量监控,另外,还应设置PLC程序自动备份功能,避免在未支付赎金情况下,攻击者发起破坏性攻击造成的影响。当然,还可以对PLC程序引入远程认证技术以监测攻击者对其进行的恶意修改。

安全策略

在用户端,应该加强员工的安全意识培训,提高钓鱼邮件和外插USB的安全防范;同时制订相应的安全应急响应和快速恢复策略,以备攻击事件发生时能快速判断攻击影响状况,及时恢复设备运行。

*参考来源:gatech.eduFB小编clouds编译,转载请注明来自FreeBuf.COM

医疗设备已成为入侵医疗网络的关键切入点

一位病人正躺在医院的病床上等待医务人员帮他进行血气分析,但他并不知道的是,他的个人信息此时此刻可能比他的身体还要危险。

Clipboard Image.png

前言

安全公司TrapX对三家不愿意透露名称的医院进行了安全检查,根据调查人员的发现,医院用于存储病人信息的数据库没有使用任何的加密保护措施,数据库使用的仍是默认密码,而且医院系统中的漏洞其利用难度也非常低。在对检查结果进行了深入分析之后,该公司的安全专家发表了一篇标题为《医疗设备攻击剖析》的报告。

TrapX的联合创始人兼副总裁Moshe Ben-Simon表示:

“TrapX网络安全实验室的技术人员可以远程利用血气分析仪中的安全漏洞来篡改仪器数据。血气分析仪一般会在重症监护室中使用,而这些病人的情况通常都非常糟糕,因此任何对该设备的干扰都会给病患带来不可估量的后果。但是,我们目前还没有发现有任何攻击者通过网络攻击活动给病人带来了身体上的损伤。”

医疗设备的安全不容乐观

自2016年初以来,已经有多家医院和医疗机构成为了勒索软件的受害者,包括MedStar Health、堪萨斯心脏病医院和好莱坞长老会医院在内。值得一提的是,个人身份识别信息(PII)和医疗记录的价值要比信用卡数据高出10至20倍之多。戴尔旗下的网络安全公司SecureWorks发现,网络犯罪分子出售一份健康保险凭据可以赚20至40美元,而一份美国信用卡数据只能卖1到2美元。Ben-Simon表示:“目前黑市上到处都有PII在售,犯罪分子可以利用这些记录来伪造身份信息,然后申请新的信用卡或伪造纳税申报信息。除此之外,攻击者还可以利用这些信息访问目标用户的银行账户以及信用卡账户,所以医疗记录绝对是网络攻击者的首要目标。”

Clipboard Image.png

研究报告中写到:“医疗设备已经成为了攻击者入侵医疗网络的关键切入点。它们都是医疗企业最明显的薄弱点,而即便是我们识别出了攻击者的入侵方式,我们也很难去修复这些漏洞,所以网络攻击将会对医院手术和病人信息带来非常大的威胁。”

Ben-Simon表示,TrapX目前正在调查一种名为MEDJACK的攻击,这种攻击已经影响了至少十家医院,TrapX也将在RSA大会上公布有关MEDJACK攻击的调查结果。根据TrapX的研究报告显示,从2015年到2016年,超过500名病人数据发生泄漏的攻击次数增长了近五十个百分点。Ben-Simon说到:“网络攻击给不同的医院所带来的影响是不一样的,但无一例外的是,网络攻击者的目标都是病人的医疗记录以及个人身份信息,因为他们可以转售这些信息并得到经济回报。”

院方解释称,医院部署了一套强大的企业级网络防御产品,其中包括防火墙、启发式入侵检测系统、终端安全保护工具和反病毒产品,而且医院的IT人员里也有多名经验丰富的网络安全技术专家。但是TrapX的取证分析数据显示,攻击者不仅能够入侵医院的网络系统,而且还能够自由地在医院系统中寻找并感染单独的目标,更重要的是攻击者还能够在医院网络系统中添加后门。

各种设备都有可能成为攻击者的切入点

在第二家医疗结构中,TrapX发现了另一种存在安全漏洞的设备,即影像归档和通信系统(PACS)。它是应用在医院影像科室的系统,主要的任务就是把日常产生的各种医学影像(包括核磁,CT,超声,各种X光机,各种红外仪、显微仪等设备产生的图像)通过各种接口以数字化的方式海量保存起来,当需要的时候在一定的授权下能够很快的调回使用,同时增加一些辅助诊断管理功能,它在各种影像设备间传输数据和组织存储数据具有重要作用。

TrapX经过研究发现,该医院的恶意软件感染起源于其中一个护士工作站。该医院被入侵之后,其敏感数据被提取到了一台位于贵阳市的服务器中。据了解,医院内的一名终端用户在浏览网页时遇到了恶意网站,而该钓鱼网站又将用户重定向到了一个加载了恶意payload的网站,当用户访问了这个网站之后,网页中的恶意代码就能够入侵用户设备了。此时,攻击者不仅可以在目标设备上运行远程命令并安装恶意软件,而且也可以在该设备所处的网络环境中安插恶意后门。

Clipboard Image.png

Ben-Simon表示,PACS系统中的记录是病人最为完整和详细的数据,因此它们也是最有价值的。每当医院网络中的一个系统被成功入侵,那么数据泄漏的可能性就越高,而这也会让该网络中其他的系统处于危险之中。除此之外,攻击者还可以彻底清除医院系统中的所有数据,即使医院对这些数据都进行了备份,但要将每一位病人的数据正确地恢复到一个新的医疗保健系统中的话,医院要付出的代价也是非常高的。

TrapX还发现,攻击者在第二家医院其中的一台X光扫描系统中安装了恶意后门。各位需要知道的是,X光的扫描结果出现错误的话,病人很可能会因此而缺少了所需的治疗,或进行了某些不必要的治疗。TrapX的研究人员发现,这三家医院的医疗设备主要受到了两种复杂攻击技术的影响,即Shellcode和Pass-the-Hash,而这两种技术都是专门用来攻击老版本操作系统的。

医院通常都会安装防火墙,因为我们都认为防火墙可以保护这些设备的安全,而且内部网络中也会部署反病毒软件和反入侵工具等等。但是这些可以保护网络安全的防御技术无法直接应用到医疗设备之上(只能作用于服务器和计算机),这也是MEDJACK攻击能够如此高效的原因。当攻击者成功绕过了现有的安全防护之后,他们就可以感染任意的医疗设备并在受保护的网络系统中建立后门。

MEDJACK攻击

TrapX的执行副总裁CarlWright表示:

“MEDJACK攻击正在席卷全球范围内的医疗机构,但医院的信息技术团队却只能仰仗着制造商来保护医疗设备的安全性,而目前医疗设备也没有可用的安全软件来检测和防御MEDJACK攻击。因此,医院所部属的标准网络安全环境是无法访问医疗设备的内部软件操作的。”

TrapX的研究人员表示,攻击者在入侵医疗设备时主要使用的是shellcode,受影响的系统包括但不限于肿瘤放射治疗系统、透视影像系统和X光透视机。在攻击过程中,恶意软件需要渗透进目标网络,然后再利用目标设备中的软件漏洞来向医疗设备中注入恶意代码。除此之外,攻击过程中还需要加载一个文件,并由这个文件来设置和执行控制命令和相关功能函数。

Clipboard Image.png

这种攻击技术的独特之处在于攻击者所用的恶意工具注入在MS08-067蠕虫(已过时)之中,因此恶意软件就可以在蠕虫外壳的保护之下随意游走于医院网络系统之中而不被发现。在对攻击模式进行了深入分析之后,安全人员发现MEDJACK攻击主要针对的是包含更多漏洞的WindowsXP或没有部署防护工具的Windows7操作系统。通过将恶意工具嵌入在蠕虫病毒代码之中,攻击者就能够绕过医院安全防护系统的检测。

尽管很多医疗机构目前已经在院内的计算机和设备中安装了最新版本的操作系统,但是并没有人来对这些操作系统进行定期更新和维护,而且大多数使用的都是默认的管理员账户以及密码,所以医疗设备和病人信息的安全性仍然是一个未知数。

结束语

根据TrapX的安全研究专家所提供的建议,医院的负责人应该重新审查他们与医疗设备供应商的合同,并更新其中与设备安全性相关的部分条款,因为在合同中必须写有关于这些医疗设备的安全检测和漏洞修复相关的内容。除此之外,供应商再将医疗设备出售给医院时,也应该附带一份技术文档,文档中不仅要详细写明技术人员应该通过何种方法去检测医疗设备是否受到了恶意软件的感染,而且也要说明如何去清除这些感染。

* 参考来源:networkworld, FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM

边信道攻击新花样:硬盘LED灯也会泄漏你的信息

你可能从未想过,有一天硬盘指示灯也会出卖你的信息…

LED.jpg

很多时候人们会把存储机密信息或者承载关键设备运行的系统进行物理隔离来确保安全。然而道高一尺,魔高一丈,攻击者总会想出办法进行针对性的破解窃密,比如之前就有过利用风扇或硬盘的噪音来将信息发送到附近的智能手机的攻击案例。

最近,来自以色列本-古里安大学的一项实验显示,硬盘的LED指示灯竟然也可以被黑客利用!这些指示灯本来是设计以显示硬盘的工作状态的…恭喜边信道攻击(查看之前的报道)家族又添一新成员!

又一种有趣的边信道攻击

这些极富创意的研究人员最先是发现他们可以通过恶意程序控制LED指示灯闪烁二进制的信号,一些小型的硬盘LED甚至可以做到每秒闪6000次。这些信号可以搭载4000bps的数据——足够传递密码、密钥和文件了。除了满足传输速率的要求,他们研制的恶意程序还可以控制LED循环闪烁,确保接收者没有遗漏任何信息。

而且这么做的另一个好处是——低调。本来在用户使用电脑时,无论是访问硬盘做读或写的操作,硬盘指示灯闪烁都是一件很正常的事情。这点比起那些依靠屏幕或者键盘灯来打信号的手段可要先进多了。主导本次实验的Mordechai Guri如此评价:“硬盘的LED闪烁是很常见的事,受害者一般并不会多加怀疑。”

那么如何接收LED闪出来的信号呢?一般来说一个摄像头或者光学传感器就能解决问题。在本次试验中,他们选取了无人机作为接收信号的手段,使得他们可以在建筑外20米处读出信号。要是有光学变焦镜头,可接收信号的范围还会更远。

不过要黑客真的把这种手段落实在操作上,恐怕也不是一件易事。首先黑客需要设计出能控制LED灯的程序(规律性读写硬盘),其次还要想办法进入到物理隔离的环境,把恶意程序安装到设备上(社工!)。虽说通过USB或者SD卡就可以做到这件事,可问题是,都重要到需物理隔离了,还会无人把守吗?

而且,就算黑客克服了重重困难成功做到了以上几步,具体到信号接收上,可能又面临一些问题。这里先不谈手法,无论是选择通过黑掉建筑里的监控摄像头来接收信号,还是放一架无人机去接收信号(就如同本次试验中选取的办法)——都很好很酷炫。但是,这又如何呢?毕竟往指示灯上贴一块胶布就能解决问题…抑或是按照研究人员的建议,干脆不要把指示灯的线插到主板上。

物理隔离

其实早在近十年之前,大名鼎鼎的震网病毒(Stuxnet)和Agent.btz蠕虫病毒就已经证明了物理隔离并不是对关键信息一劳永逸的保存方式——即使是伊朗浓缩铀设施这样绝对机密的环境下,仍然会有要对系统数据进行更新替换的时候——交互就意味着入侵的可能,哪怕这种入侵仅能通过U盘或局域网进行。

事实上,现在能用来在物理隔离环境下传递出信息的方法可太多了,从以电磁波为载体进行数据传送到声音甚至热能信号技术应有尽有——当然了,其中有相当一部分就是本-古里安大学的这帮人折腾出来的。不过比起这些手段来,用LED传输数据对接收距离的限制就要小得多了。

*参考来源:NetworkWorld,FB小编cxt编译,转载请注明来自FreeBuf.COM

全球刑警的梦魇?黑客手里有一把万能锁

2016年2月的一天,好莱坞长老会医院的护士们发现电脑全都用不了了。所有的文件都加了个莫名其妙的后缀,根本打不开。所有电脑程序也都加了这个后缀,一个也启动不了。挂号只能用纸笔,病历都成了乱码,连手术都不能正常进行。当大家都束手无策的时候,院长阿兰·史蒂芬涅克(Allen Stefanek)接到了一个陌生的通知:给我1万7千美元,不然你们的医院就得关张

史蒂芬涅克院长犹豫了一个多星期,还是选择了交钱。好莱坞长老会医院所经历的勒索并不稀有。近年来,越来越多的用户报告自己的电脑曾被黑客锁住,只能交赎金了事。这种黑客攻击被人们叫做“网络勒索”,黑客们使用的软件也有一个名字,叫做Ransomware。

“面具脸”和“拼图”病毒

Ransomware的定义很枯燥,我们不如直接举一个例子:

小明在情人节收到了一名陌生人的邮件,邮件里一片空白只有一个叫做“拼图”的附件。小明兴高采烈地打开了这个“拼图”,然而这个叫做“拼图”的东西并不是节日礼物,而是一个Ransomware。

全球刑警的梦魇?黑客手里有一把万能锁-E安全

全球刑警的梦魇?黑客手里有一把万能锁-E安全

Ransomware“拼图”的各种变体

这个名为“拼图”的勒索软件主要肆虐时间是2016年,它有很多不同的变体,比如被劫持文件的后缀不一定是”.fun”,还有.gefickt, .uk-dealer@sigaint.org, .paytounlock, .hush, .locked, .payrmts, .afd, .paybtcs, .fun, .kkk, .gws, 和.btc. 背景也不一定是《电锯惊魂》的面具脸,还有弄成一群头盔制服党的,还有搞出电影《V字仇杀队》的,还有扮成游戏“杀手47”的。“拼图”勒索软件要多少钱的都有,比较多的是要150块钱。“拼图”还走上了国际化道路,除了英语以外,还非常贴心地加上了西班牙语、法语、俄语等多国语言。好消息是这个臭名昭著的“拼图”终于被破解了,网上不仅有破解教程,还有一个破解软件“Jigsaw decrypter”。

像“拼图”这样的Ransomware还有很多很多,长相也各不相同,但行为都是一样的。它通过木马的形式在邮件、U盘、下载网站里传播,它自动锁住你的电脑,把所有文件加密,并威胁要删掉它们。受害者必须通过比特币支付给发布者,然后发布者根据心情好坏选择是否把文件交还。像小明这样的受害者,近来一年比一年多。

为什么Ransomware突然肆虐了起来

Ransomware已经存在了至少十年了,最早只泛滥在”黑客之乡”俄罗斯。可最近三年Ransomware突然异军突起,全世界流行起来。IBM曾经在美国做过一次调研,仅在2016年,已知的网络勒索涉案金额总额近10亿美元,40%的垃圾邮件里都有Ransomware。一半的受害者拒绝交钱,“鱼死网破”,另一半的受害者束手无策,乖乖交钱。

受害者往往对于一百美元以下的赎金能够接受,这也是为什么Ransomware每次涉案金额较小,但传播极其广泛。企业用户往往比个人用户更倒霉,因为他们要交的赎金往往更多,而且他们会迫于公司压力选择交钱。70%的企业受害者交了赎金,这些交了赎金的人里面,一半的人交了至少一万美元,20%的人交了至少四万美元。

2016年,欧洲刑警组织(Europol)把Ransomware列为“危害性最高的网络攻击”,排在它后面的才是数据盗窃(偷文件)和银行木马(偷银行卡)。欧洲刑警组织对网络犯罪做了一个执法优先级排名,排名前五的病毒里,三个都是Ransomware。

全球刑警的梦魇?黑客手里有一把万能锁-E安全

被“熊猫烧香”感染的文件,图标全变成了熊猫

早期的黑客往往都是软件爱好者,业余时间搞出个病毒宣传一下自己,并不拿它赚钱。可随着互联网的普及,病毒不再是“恶作剧”,越来越多的职业犯罪者用它来大发横财。

Ransomware是个很特别的攻击手段。过去的黑客往往喜欢“黑进”你的电脑,手里拿着一个“万能钥匙”(解密算法),撬开你的锁(加密文件)。而网络勒索正相反,黑客并不在乎你电脑里有什么,他们手里拿的是个“万能锁”(Ransomware),逼你交钱以后才把这个“万能锁”打开。上锁比开锁容易,加密也比解密要简单。所以网络敲诈犯,不需要学太多计算机知识。只要拿到了Ransomware,小学生都可以搞勒索。

管病毒管受害者直接要钱,在过去是行不通的。警方可以通过查找银行的交易记录,迅速追捕到罪犯。可在比特币发明出来以后,形势一下子就变了。比特币随处可买,线上流通。它不需要身份证验证,也不需要去银行管理。比特币是个“去中心化”的金融体系,警察对比特币交易无法追踪。有了这么一个“地下交易”网,黑客们拿完钱后轻松逍遥法外。已报告的网络勒索案,绝大多数都是通过比特币支付的赎金。

全球刑警的梦魇?黑客手里有一把万能锁-E安全

网络勒索法案的提出者赫兹伯格反而被勒索

直到今日,这些网络勒索的罪犯们还在频频作案,因为虽然立法有了,执法手段上还有很长一段路要走。今天被成功逮捕的黑客少之又少,大多数勒索者还在逍遥法外。如果事后抓不到,我们就只能事前预防。

防范网络敲诈的方法有很多,最重要的就是养成良好的上网习惯:不要点开不认识的邮件附件,不要在不安全的网站下载软件,勤杀毒,勤升级,多用云存储,定期做硬盘备份。

如果上面的都没有做到,自己还是被攻击了,不要慌,有不少网站可以把你的文件找回来。比如nomoreransom.org,它不仅可以用多种算法尝试解密被“锁住”的文件,还会指导你如何报警。不少Ransomware已经被破解了(比如“拼图”),去一些值得信任的论坛,也能下载到正确的解密工具。

最后,在付赎金之前一定要再三考虑,因为黑客可能会在要了一次钱以后得寸进尺,不断地骚扰你。而且黑客不一定会在最后把文件还给你,你的钱最后也拿不回来。况且,如果交赎金的人少了,黑客们就赚不到钱,类似的攻击就会变少。你如果交了赎金,这可能是一种对这种犯罪行为的鼓励。

文件披露美国奥克兰警方使用基站模拟器跟踪移动设备并访问数据

E安全2月26日讯 美国奥克兰警察局可以免费使用地方检察官办公室的基站模拟器,访问单个嫌疑人和重大伤亡事故的移动数据,但不能用于“人群管理”。基站模拟器主要原理类似于手机信号塔截取手机信号。警方和特工因此可以获得关于手机地点的信息,是追踪罪犯和失踪人员的有效工具。但这一设备也会收取该地区其他许多手机的信息。有些基站模拟器收集的信息远不止手机位置,还包括短信、通话记录、电子邮件等等。

文件披露美国奥克兰警方使用基站模拟器跟踪移动设备并访问数据 - E安全

基站模拟器普查公开先前未披露的更多记录,这次的记录来自奥克兰警察局和阿拉米达郡地区检察官办公室。谅解备忘录(Memorandum of Understanding,MOU)中的这些文件日期为2016年12月27日。文件表明,奥克兰警察局与阿拉米达郡检察官办公室签订5年期的无成本合同,奥克兰警察局可以使用阿拉米达郡检察官办公室的基站模拟器。

文件披露美国奥克兰警方使用基站模拟器跟踪移动设备并访问数据 - E安全

奥克兰市议会表决一致通过这项决议。虽然奥克兰警察局过去十多年使用的是“黄貂鱼”(StingRay)手机跟踪设备。由于大部分通信运营商放弃使用GSM(2G)移动网络,因此“黄貂鱼”很快便成为明日黄花,2013年默默退出舞台。在3G系统上运行的基站模拟器可以将4G手机网络变为2G,并能访问数据,这就可以解释奥克兰警察局希望升级到功能更强大的4G基站模拟器(例如Harris 公司的HailStorm)的原因。

阿拉米达郡执法机构长期以来一直在规划这一举措。2015年,阿拉米达郡监督委员会投票完成升级。2014年,弗里蒙特警察局、奥克兰警察局与美国军备控制和裁军署(Arms Control and Disarmament Agency,ACDA)联合申请国土安全部拨款资助该举措。ACDA为什么会花如此长的时间完成采购,或将升级用于哪个IMSI捕捉器,尚不清楚。但选择HailStorm合乎情理。

虽然大家都知道,美国联邦机构有时会将IMSI捕捉器外借,但很少会看到地方机构明确表示,将这样的设备提供给管辖范围内运营的其它执法机构。然而,这正是议程报告(Agenda Report)在选举后一个月所宣称的内容。

文件披露美国奥克兰警方使用基站模拟器跟踪移动设备并访问数据 - E安全

伙伴机构要做的是同意类似的谅解备忘录,设备也可以是它们的。这就进一步证明了在州和地方一级借用该技术需要更严格监督的原因。

加利福利亚一直是执法机构使用基站模拟器和隐私行动主义的温床。这样一来,就产生了在理论上欲削弱移动电话监控的立法,包括要求搜索令,并要求每个采购IMSI捕捉器的加利福利亚的执法部门制定内部政策,以此监管捕捉器的用途。

文件披露美国奥克兰警方使用基站模拟器跟踪移动设备并访问数据 - E安全

最近通过的决议似乎就是这样,并用强硬的措辞限制基站模拟器的用途和潜在滥用行为。虽然这些设备太具干扰性,以至出现规避限制的企图,但框架内的许多政策非常明确,明确规定了美国执法机构要特别注意的基准。

至关重要的是,奥克兰警察局同意基站模拟器在搜索和营救行动、定位大规模伤亡事件的受害者、搜索失踪人员和逮捕逃犯中的限制用途。这是一个法律途径,如果该警局不遵守这些指令,他们可能要负法律责任。其授权的限制用途如下:

A. 当在大规模伤亡事件中使用时,基站模拟器将获取模拟器目标附近所有设备的信令信息,但仅限于定位需要帮助的人或用于进一步的恢复工作。在此期间从移动设备接收的任何信息仅用于这些有限制性的目的。按照这项政策的规定,应在工作结束时清除接收的此类信息。

B. 基站模拟器技术将不得用于“人群管理”(Crowd Management)事件。

C. 基站模拟器作为信号塔传输信息,从移动设备获取识别信息。当奥克兰警察局使用该模拟器时,此信息受限。奥克兰警察局使用的基站模拟器仅限于提供:a)方位角(球面坐标系中的角度观测);b)信号强度;c)当定位单个个体时的目标设备标识符,或大规模伤亡事件的所有设备标识符。

该协议还设法限制可被拦截的内容种类,但是,尚不清楚如何实现——即刻删除或配置设备,拦截非常有限的信息种类。

必须每24小时删除设备数据一次,除非数据用于执行中的任务(每10天删除)。强制清理数据只是保护局外人信息的良好开端。因为定位手机的过程中,此设备会收集局外人的信息。

这就是奥克兰隐私顾问委员会(Oakland Privacy Advisory Commission)的部分工作。该委员于2016年1月成立,是首批美国负责监管监控的政府机构之一。该委员会倡导公民的隐私权。谅解备忘录和议程报告多次表彰该委员会,因为他们帮助制定了MOU和奥克兰警察局的隐私政策。未来几年,不知道地方政府成立隐私委员会的范围会不会拓宽。

文件披露美国奥克兰警方使用基站模拟器跟踪移动设备并访问数据 - E安全

在2016年,民权组织纽约公民自由联盟得到的文件表明,自2008年以来,纽约警察局在调查强奸、凶杀和其他案件以及寻找失踪人员等至少1000个场合使用过‘黄貂鱼’手机追踪设备。

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com

Cellebrite公司已能解锁iPhone 6与6 Plus并提取数据

Cellebrite公司已能解锁iPhone 6与6 Plus并提取数据-E安全

E安全2月26日讯 作为曾在美国圣贝纳迪诺枪击案内因正确破解iPhone 5C而声名大噪的以色列厂商,Cellebrite公司如今再一次受到媒体的高度关注——此番其宣称旗下的高级调查服务(Advanced Investigative Service,简称CAIS)产品甚至能够顺利破解iPhone 6与iPhone 6 Plus设备。

这一消息来自Cellebrite公司取证研究主管Shahar Tal,其在推文中指出这款CAIS工具现在能够帮助执法人员解锁iPhone 6与6 Plus设备并从中提取证据。

Cellebrite公司已能解锁iPhone 6与6 Plus并提取数据-E安全

Cellebrite公司已能解锁iPhone 6与6 Plus并提取数据-E安全

Cellebrite公司的研究人员们已经成功解锁iPhone4S、5、5C与5S机型并从中提取到数据,不过苹果公司目前并不是惟一一家安全与加密机制被该以色列厂商所突破的手机制造商。Cellebrite方面还能够解锁成功三星Galaxy S6、Galaxy Note 5与Galaxy S7等机型。

Kim Zetter曾于2016年在The Intercept上报道称,Cellebrite为破解每台手机开出的价码为1500美元,而破解服务的高级订阅价则高达25万美元。

除了CAIS工具之外,Cellebrite方面还提供强大的通用取证提取设备(Universal Forensic Extraction Device,简称UFED)物理分析器6.0,专门用于现场相关取证任务。根据Cellebrite公司官方网站所言,UFED是目前设成上惟一一款完整的端到端数字化取证平台,且在全球100多个国家设有超过4万个UFED授权许可机构。这款UFED工具目前正在进行大规模宣传,据称其甚至能够从Telegram、Surespot、Threema以及Signal等消息收发工具中提取数据。

Cellebrite公司已能解锁iPhone 6与6 Plus并提取数据-E安全

虽然目前Cellebrite公司的网站上并没有发布太多与解锁iPhone 6与6 Plus设备功能相关的报告,但其已经开始向阿拉伯联合酋长国、土耳其、美国以及俄罗斯等国家出售这款产品。考虑到俄罗斯、土耳其与阿拉伯联合酋长国长久以来众所周知的人权侵犯问题,这款工具自然引发了大量争议。

值得指出的是,Cellebrite公司上个月曾遭遇一项巨大的安全漏洞,且约有900 GB数据不慎外泄; 另外在本月早些时候,同一拨黑客亦开始在暗网上泄露这部分被盗数据,其中包含Celebrite公司用于破解iPhone多个较早版本以及Android与Blackberry OS等其它移动操作系统的安全功能。

2016年12月,多张泄露的图片证明Cellebrite公司内部确实遭遇到黑客入侵。所泄露的图片来自某不愿透露具体名称的美国警察部门; 图片内容则展示了Cellebrite手机破解软件的深度解锁能力。

附UFED Physical Analyzer 6.0所有的新功能列表:

Cellebrite公司已能解锁iPhone 6与6 Plus并提取数据 - E安全

Cellebrite公司已能解锁iPhone 6与6 Plus并提取数据 - E安全

1488089146883046593.jpg

Cellebrite公司已能解锁iPhone 6与6 Plus并提取数据 - E安全

Cellebrite公司已能解锁iPhone 6与6 Plus并提取数据 - E安全

Cellebrite公司已能解锁iPhone 6与6 Plus并提取数据 - E安全

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com

SHA1 碰撞攻击的第一位受害者:WebKit 版本控制系统

SHA1 碰撞攻击出现了第一位受害者:WebKit 项目使用的开源版本控制系统 Apache SVN(或 SVN)。在某人上传 Google 公布的两个 SHA-1 值相同但内容不同的 PDF 文件后,版本控制系统出现严重问题SVN 使用 SHA1 去跟踪和合并重复的文件。SVN 维护者已经释出了一个脚本工具拒绝 SHA1 碰撞攻击所生成的  PDF 文件。

与此同时,版本控制系统 Git 的作者 Linus Torvalds 在其 Google+ 账号上称,天没有塌下来,Git 确实需要替换 SHA1,这需要时间,并不需要现在就去做。

SHA1 碰撞攻击的第一位受害者:WebKit 版本控制系统-E安全

【终端安全】2016年每秒出现6个新病毒,近500万台电脑遭强制加密勒索

360互联网安全中心近日发布《2016中国网络安全报告》(下称《报告》)。《报告》显示,2016年360安全卫士捕获新增恶意程序1.9亿个,平均每秒出现6个新病毒。在病毒呈现自动化生成和快速变形势态的同时,360全年拦截恶意程序攻击高达627.3亿次。

值得警惕的是,网页挂马利用广告联盟再次大规模活跃,正规网站甚至使用影音播放器等客户端都频繁发生广告挂马事件,加密文件敲诈钱财的勒索软件成为新兴的“病毒之王”。

网页挂马呈爆发性增长

网页挂马是指攻击者在网页中插入恶意代码,利用浏览器或Flash等插件的漏洞,在网民浏览网页时自动下载并运行。由于其攻击过程十分隐蔽,没有开启安全软件的网民一般很难察觉。

以2016年3月英雄联盟等知名客户端挂马为例,电脑裸奔的网民打开游戏后,木马自动运行,强制安装推广软件。数据显示,仅一天之内,360安全卫士就拦截此类挂马攻击超过2万次。

挂马攻击卷土重来的主要原因有三点:恶意代码通过广告联盟渗透到知名网站和软件客户端上,访问正规网站也中招的概率急剧提升;国外黑客公司Hacking Team泄露的400G信息包含了大量高利用价值的攻击代码;Flash曝光的不少高危漏洞成为了挂马程序的“靶子”。

勒索软件晋升“病毒之王”

2016年,作为新型网络犯罪生力军的勒索软件已经泛滥成灾。报告显示,去年全国至少有497万台电脑遭遇其攻击。

勒索软件会对电脑文件进行高强度的加密,敲诈受害者支付比特币赎金,赎金要价一般价值上万元人民币。在经济利益诱惑下,病毒传播者花大成本投放广告挂马传播勒索软件,意图赚取远远超过广告投入的高额收益。

在国外,勒索软件灾情更加严重。据IBM Security研究显示,2016年带有勒索软件的垃圾邮件数量同比增长了6000%,近40%的垃圾信息中带有该类病毒。网络犯罪分子近乎疯狂的投入到病毒勒索模式,预计2017年勒索软件的数量还将增长10倍。

勒索软件推动了挂马攻击的复兴,反之,网页挂马也加速了勒索软件的传播。技术门槛低、经济收益高、难以溯源等特点,让大量不法分子投身于制作和传播勒索软件的行列中,他们购买挂马服务,采用撒网抓鱼的方式传播病毒。

360企业安全面向所有政企用户独家推出针对敲诈者病毒的专属服务“360天擎敲诈先赔服务”,并做出郑重承诺:只要政企用户开启了360天擎敲诈先赔功能,如果依然感染了敲诈者病毒,360企业安全将负责赔付赎金,为政企用户做出百万先赔保障。

报告提示,尽管近年来国内电脑安全状况已经得到极大提升,但以勒索软件为代表的新兴病毒仍然具有极大危害,一旦中招会对电脑资料和财产造成严重损失,建议网民及时打补丁、不随意打开可疑邮件附件,并注意开启安全软件的“反勒索服务”,为数据安全加一道保险。

http://p6.qhimg.com/t016cecc7af177efad0.jpg

本文由 安全客 原创发布,如需转载请注明来源及本文地址。
本文地址:http://bobao.360.cn/news/detail/29.html

看看国家视角评出的《2016十大网络安全事件》勒索软件攻击正在从个人用户走向大数据

2月21日,由中国计算机学会计算机安全专业委员会和新华社《经济参考报》互联网+周刊联合主办的2016中国网络安全大事发布会在公安部一所召开。此次活动通过对2016年重大网络安全事件的梳理,采用专家组评选和网络投票的方式,评选出2016年网络安全大事件。

发布会上,来自中国工程院、中国科学院、公安部的专家学者,以及来自多家安全企业的业内人士,包括中国工程院院士、国家信息化专家咨询委员会委员沈昌祥,公安部网络安全保卫局原局长顾建国,中国计算机学会计算机安全专业委员会秘书长、公安部网络安全保卫局处长唐前临均表示,网络安全正在成为影响国民经济发展的重要因素,并且已逐渐深入扩展到政治、法律、军事、民生等各个层面,进而影响着整个社会的稳定和运转。为此,我国应该进一步加强网络安全的防范工作,以此为基础建设网络强国,让互联网在国民经济中产生更加积极的影响和推动力。

中国计算机学会计算机安全专业委员会主任、公安部第一研究所原所长、研究员严明:

网络安全的重要性和深远影响日益凸显

中国工程院院士、国家信息化专家咨询委员会委员沈昌祥:

加快安全可信的网络产品推广应用

360企业安全集团高级副总裁曲晓东:

保障关键信息基础设施的安全

杭州安恒信息安全有限公司高级副总裁、首席安全官刘志乐:

法律法规从源头杜绝网络安全事件发生

国家计算机网络应急技术处理协调中心副主任刘欣然:

网络安全国际合作将成全球共识

公安部第一研究所副所长、研究员于锐:

打击电信诈骗是一场持久战

卫士通信息产业股份有限公司高级副总裁隆永红:

大学网络安全学院应成为重要交流平台

华为技术有限公司战略部副总裁郑志彬:

大数据时代应加强个人隐私保护

绿盟科技有限公司战略发展部总监李娜:

应对勒索式病毒需社会共同努力

这些事件包括:

多起电信网络诈骗犯罪案件震惊全国

8月19日,山东省临沂市高考录取新生徐玉玉被诈骗导致心脏衰竭死亡;8月12日,山东理工大学学生宋振宁被诈骗导致心脏骤停;7月19日,广东省惠来县高考录取新生蔡淑妍被诈骗导致身亡。这些事件暴露出我国大量网站和公共服务安全投入不足,安全责任不清,以及过量采集信息,不妥善保管信息,导致个人信息泄露严重,被网络犯罪利用,最终酿成人员死亡和财产损失的惨痛教训。

敲诈者病毒泛滥成为网络安全新态势

2016年,敲诈者病毒在全球的攻击量疯长了3倍,平均每40秒就有一家企业被感染,平均每10秒就有一个个人用户中招。据360安全中心统计,全国至少有497万多台电脑遭遇攻击。敲诈者病毒泛滥标志着网络安全已经成为重大民生问题。在这方面,绿盟科技认为, 应对勒索式病毒需社会共同努力。

值得注意的是,最新的勒索软件的破坏性越来越强,攻击对象也从过去偏重于个人用户,开始倾向于企业用户,尤其是金融、制造业和医疗等行业的用户。这一威胁还开始向物联网扩散,这就会造成更大的危害。由于目前的各类大数据平台多采用开源系统,这就给勒索病毒进行攻击提供了机会。

目前, 中国有8300多个Hadoop集群的端口暴露在公网上 ,这构成了巨大的风险隐患。从技术手段上来说,网络安全攻防的本质在于攻防的较量,勒索病毒的发展与对抗攻防是持续进化的过程,随着攻防手段的完善, 人们完全可以对这类网络安全威胁做到有效的防范

习近平多次就网络安全发表重要讲话

习近平总书记在4月19日网络安全和信息化工作座谈会、 10月9日中共中央政治局就实施网络强国战略进行第三十六次集体学习 11月16日世界互联网大会 等会上,就网络安全发表重要讲话。

国家密集出台法律政策全面加强网络安全

3月17日,“十三五”规划发布,网络安全和信息化工作在“十三五”规划中得到全面加强。7月27日,中共中央办公厅、国务院办公厅印发《国家信息化发展战略纲要》。11月7日,十二届全国人大常委会第二十四次会议经表决,通过了《中华人民共和国网络安全法》,将于2017年6月1日起正式施行。12月27日,经中央网络安全和信息化领导小组批准,国家互联网信息办公室发布《 国家网络空间安全战略 》。

三部门联合发文加强国家网络安全标准化工作

8月24日,经中央网络安全和信息化领导小组同意,中央网信办、国家质检总局、国家标准委联合印发《关于加强国家网络安全标准化工作的若干意见》,对加强网络安全标准化工作作出部署。

六部委联手重拳打击电信网络诈骗犯罪

9月23日,最高人民法院、最高人民检察院、公安部、工业和信息化部、中国人民银行、中国银行业监督管理委员会等六部门联合发布《关于防范和打击电信网络诈骗犯罪的通告》,分别对公安机关、检察院、法院、电信企业、各商业银行等打击治理电信网络诈骗提出具体要求。

国内多所大学设立网络安全学院

6月6日,中央网络安全和信息化领导小组办公室等六部门下发《关于加强网络安全学科建设和人才培养的意见》;已有首批29所院校获得网络空间安全一级学科博士学位授权资格,多所大学相继设立了网络安全学院。

中国互联网基金会设立网络安全专项基金并表彰首批优秀人才

2月2日,中国互联网发展基金会网络安全专项基金宣告正式成立。该基金设立“网络安全人才奖”、“网络安全优秀教师奖”等奖项,以奖励为国家网络安全事业做出突出贡献的人员。9月19日,在第三届“国家网络安全宣传周”开幕式上,表彰了网络安全杰出人才1名、优秀人才10名、优秀教师8名。

习近平考察民营网络安全企业

5月23日至25日,中共中央总书记、国家主席、中央军委主席习近平在黑龙江考察调研,5月25日上午,习近平在哈尔滨市考察了高新技术企业和科研单位。在哈尔滨安天科技股份有限公司,习近平现场了解反病毒引擎技术研发、开展网络安全威胁实时监控等情况,同现场科技人员亲切交流。他指出,网络安全是国家安全的重要组成部分。维护国家网络安全需要整体设计、加强合作,在相互学习、相互切磋、联合攻关、互利共赢中走出一条好的路子来。

国家网络安全宣传周制度化、常态化

5月19日,中央网信办、教育部、工信部、公安部、新闻出版广电总局、共青团中央等六部门联合印发了《 国家网络安全宣传周 活动方案》。方案明确从2016年开始,网络安全宣传周于每年9月第三周在全国各省区市统一举行。9月19日至25日,第三届国家网络安全宣传周在武汉举行,本届安全周的主题是“网络安全为人民 网络安全靠人民”。

网络安全学术、技术交流活动空前活跃

2016年,国内网络安全行业学术技术交流活动空前活跃。3月25日,中国网络空间安全协会在北京成立。8月16日,第四届中国互联网安全大会在京举办。11月16日至18日,第三届世界互联网大会设置了专门的网络安全论坛。该年度网络安全学术、技术交流活动有几个重要的特点:一是网络安全对抗赛呈星火燎原之势。二是众多网络安全会议逐渐成为网络安全行业观点和技术交流的重要平台。三是网络安全战略和技术研究平台深化拓展。四是以可信计算为代表的自主可控网络安全技术研发和应用动态活跃。

我国加强同美、俄、英网络空间安全合作

2016年,我国同世界主要国家的网络空间安全沟通密切,合作取得重要成果。5月11日,第二次中美打击网络犯罪及相关事项高级别对话在美国华盛顿举行,双方就“网络空间的国家行为规则及其他关键国际安全问题”议题进行会谈。6月14日,首次中英高级别安全对话在北京举行,中英双方就打击恐怖主义、打击网络犯罪及相关事项、打击有组织犯罪和国际地区安全问题合作四个方面达成对话成果声明。6月25日,《中华人民共和国主席和俄罗斯联邦总统关于协作推进信息网络空间发展的联合声明》发布。12月7日,第三次中美打击网络犯罪及相关事项高级别对话在华盛顿举行。

本文由:xinhuanews 发布,版权归属于原作者。
如果转载,请注明出处及本文链接:
http://toutiao.secjia.com/top10-china-network-security-event
如果此文章侵权,请留言,我们进行删除。

卡巴斯基说怀疑Linux Mirai变种是中国人开发的 Mirai将在Linux嵌入式设备传播

据卡巴的安全研究人员警告说, 资深的僵尸网络操控者 可能为中国籍 开发了臭名昭著的 Linux Mirai 僵尸网络的 Windows变种。 对于Windows版本的Mirai,其他相关特性包括SQL盲注入和暴力攻击技术。这些技术基于破解程序库编译,旨在将各类攻击任务化。

此外,据称Windows僵尸程序的源代码是基于C++语言进行模块化开发的,其功能来自各个源库。该威胁利用的代码签名证书似乎是从中国西北部的太阳能和半导体晶片研磨产品制造商处窃取的。

Mirai变种进入Linux平台传播

Doctor Web最近对该变种进行了详细介绍,称该变种的主要作用是在嵌入式Linux设备中传播Mirai僵尸网络。并且,该恶意软件滥用Windows Management Instrumentation (WMI),在远程主机上执行命令,将Microsoft SQL服务器和MySQL服务器作为攻击目标,创建管理账户并滥用权限。

在本周发布的报告中,卡巴斯基实验室研究人员解释说,Windows版本的Mirai只是一款恶意软件传播程序,不应被视为新的僵尸网络。然而,该 Mirai变种 与最初的Mirai存在代码差异。最初的Mirai于去年下半年出现,主要针对 不安全的物联网设备

卡巴斯基确认说,该传播程序设计用于对远程Telnet连接进行暴力攻击,将Mirai在先前不可用的资源中传播。该木马针对Windows系统,可接入互联网入侵平台上运行的脆弱的SQL服务器。此类服务器可连接至 私有网络上的IP摄像头以及DVR、媒体中心软件、各种Banana Pi设备 以及其他内部设备。

Doctor Web强调的是,该款Windows僵尸程序实际上并非全新的,它的某些组件早在2014年就存在,而功能可追溯到2013年的公共来源。该安全公司也称,该威胁可“利用一个非常有限的交付向量将Mirai僵尸程序传播至嵌入式的Linux系统中。”

卡巴斯基称,Mirai在Linux和Windows平台上的切换并不顺畅,而且 该僵尸网络的源代码的公开发布 ,预计会在未来几年里对互联网基础设施带来严重问题。此外,该公司认为与未来的问题相比,该Windows木马仅是万里长征开始的一小步。

该Window传播程序设计用于根据特定列表搜索和攻击主机,通过Telnet传播Linux Mirai僵尸网络。该传播程序可在被入侵的系统中释放下载器,下载Mirai。

卡巴斯基说Mirai变种是中国人开发的

卡巴斯基表示,针对于Windows系统的Mirai是由一位资深的开发人员编写的。种种迹象如各种工件、字符串选词以及恶意软件在中文系统中进行编译(主机服务器在台湾维护),表明作者可能会说中文。该木马利用专门从中国公司窃取的代码签名证书这一事实也很好地证实了这一点。

卡巴斯基表示,“会说中文的恶意软件的作者可窃取代码签名证书,能从针对于全球MSSQL服务器的多个攻击项目中剥离Window32攻击代码,将代码植入有效的跨平台传播的僵尸网络,刷新Mirai僵尸网络行动在2016年虽具破坏性但不成熟和止步不前的局面,使其获得很大提升。”

此外,该安全公司称,这使得更多系统和网络暴露在Mirai的威胁之下,但也显示出Mirai的缓慢进展。这些僵尸程序的代码是其他项目和之前来源的代码拼凑在一起的,程序的大多数组件、技术和功能还是数年之前的。这些组件嵌入在JPEG注释中,这种技术自2013年就开始使用。

本文由:securityWeek 发布,版权归属于原作者。
如果转载,请注明出处及本文链接:
http://toutiao.secjia.com/kaspersky-says-linux-mirai-varieties-developed-by-chinese
如果此文章侵权,请留言,我们进行删除。

Java Python的FTP注入漏洞 足以绕过大多数防护墙 目前没有官方补丁

这个漏洞足以绕过大多数防火墙的默认设置了,java和python都没有对恶意构造的FTP请求进行校验,目前Oracle和Python Software Foundation官方尚未修复该漏洞。绿盟科技发布《Java和Python应用的FTP命令注入漏洞安全威胁通告》,通告全文如下:

2017年2月20日,blog.blindspotsecurity.com 发布文章称,由Java开发的应用,存在潜在的FTP命令注入。攻击者可以利用该漏洞借助XXE或SSRF等其他漏洞发送未授权的电子邮件。攻击者也可以利用该漏洞绕过防火墙,从而打开并连接一个TCP端口。在Python中,Python 2的urllib2和Python 3 的urllib库中也存在类似的漏洞。

上述漏洞的成因是Java和Python在解析用户发送的FTP URL时没有正确校验,攻击者可以通过构造恶意的URL来注入并执行FTP命令。为说明概念,以如下URL为例,存在漏洞的应用在解析该URL并遇到回车换时,会认为接下来的COMMAND是一条独立的新指令从而执行。

ftp://user:password%0d%0aCOMMAND@test.com/file.txt”行“%0d%0a

详情请见如下链接:

http://blog.blindspotsecurity.com/2017/02/advisory-javapython-ftp-injections.html

受影响的版本

Oracle和Python Software Foundation官方尚未修复该漏洞,影响最新版本。

规避方案

  • Oracle和Python官方尚未修复该漏洞。作为临时的缓解策略,用户可以:
  • 在浏览器中禁用Java插件,并且取消.jnlp文件扩展和Java Web Start的关联;
  • 防火墙策略中禁用FTP主动模式,允许FTP被动模式;
  • 在防护类设备中加入对FTP URL中“%0d%0a”的过滤。

绿盟科技声明

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

本文由:nsfocus 发布,版权归属于原作者。
如果转载,请注明出处及本文链接:
http://toutiao.secjia.com/java-python-ftp-injections
如果此文章侵权,请留言,我们进行删除。

这些“黑客”不一般

当同龄人沉迷于网络游戏的时候,他们在忙着发现并修补游戏程序里的漏洞。他们是迷上“黑客”技术的电脑神童,但有一股正义的使命感:练习怎么“黑”别人的网络,是为了打造一个更安全的网络世界。

5岁孩子发现微软漏洞

克里斯托弗·冯·哈塞尔今年8岁。会走路之前他就能打开爸妈智能手机上的软件了;两岁时候,他已学会解开爸妈手机上的“儿童锁”;到了5岁,父亲怕孩子接触暴力画面而给家中视频游戏机Xbox One设置的锁定功能都被他一一破解。

这可不是他“瞎蒙”的。这个5岁孩子实际上发现了这个广受欢迎的视频游戏机中一个严重的安全漏洞。他的父亲罗伯特·戴维斯是一名计算机工程师,他告诉儿子有两个选择:要么在YouTube视频网站上公布这个漏洞,好让所有游戏用户都知晓这个后门的存在;要么向游戏制造商微软公司举报这个漏洞。

小克里斯托弗问父亲:要是让坏人知道漏洞的存在,他们会做什么?戴维斯告诉他:“可能会有人偷一台Xbox,利用你发现的漏洞登录上去。”小克里斯托弗说:“哦,那可不行,我们不能让这事发生。我们得告诉微软去。”

微软接到举报后,在一周内修补了漏洞。小克里斯托弗一举成名,被捧为“全世界最年轻的黑客”。

互联网一代中确实涌现出一批像克里斯托弗这样的“小小黑客”,小小年纪就轻松驾驭数字世界。他们的能力受到了IT企业和政府的肯定和鼓励。这些掌握资源和权势的大人打算好好培养这些孩子,未来他们可是遏制网络犯罪、维护网络安全的中流砥柱呢!

少年“黑客团”显身手

Cyfi是一个15岁姑娘的网名,在美国少年黑客圈里这可是个响当当的名字。

“我们这一代有责任让互联网变得更安全、更美好,”Cyfi在中学校园里接受采访时说,“随着互联网更多地与我们的家庭、学校、教育等一切相连接,大量的漏洞会暴露出来。”

Cyfi就读于硅谷一家专注于数字技术的实验性中学。她第一次在黑客界闯出名号是在10岁那年:她“黑”了自己iPad上的一款儿童游戏软件。《个人计算机杂志》的报道中,如此描绘她:“白天是童子军,晚上是黑客。”

受到从事网络安全工作的母亲鼓励,她参加了在拉斯维加斯举行的黑客大会,在那儿和志同道合的黑客们共同成立了一个少年黑客组织“rootz避难所”,致力于向未成年人教授“有道德的黑客技术”。

当黑客大会上的成人们拿ATM机、军事侦测无人机练手时,rootz“是孩子们一个安全的游戏场,可以学习黑客技术,但同时不会让自己陷入麻烦。”该组织2011年成立,吸收了大约100名少年成员,Cyfi亲任导师。在她带领下,这个团队第一年就找到智能手机软件上的40个漏洞;第二年发现了180个。

rootz很快发展壮大,如今拥有600名左右8岁至16岁学员。他们会练习怎么拆解智能手机、笔记本电脑等电子设备,搞清其工作原理;有些孩子会登上黑客大会的舞台,向大家讲解自己怎么“黑”掉《我的世界》等热门游戏;他们也会模拟练习在现实中遭遇网络攻击时如何应对。

10岁小孩就当起了CEO

一些天才少年已经展现出未来IT界领袖风范。住在得克萨斯州奥斯汀郊区的鲁本·保罗今年才10岁,已经是一名CEO。他从6岁就开始从身为计算机安全专家的父亲那里学习技能,他的公司“慎思游戏”致力于开发网络智力游戏,产品在软件商店里颇受欢迎。

热爱中国武术的保罗有一天想到,应该把那些被网络伤害过的孩子用知识武装起来,于是创立了非营利性组织“网络少林”,用教育视频和游戏的形式免费向儿童普及网络安全知识。从“什么是互联网,什么是计算机”之类基础知识学起,渐渐进阶到“如何防范网络欺诈或无线网络侵入”等高级技能。俄罗斯著名网络安全公司卡巴斯基实验室成了“网络少林”的第一个赞助商。

14岁的保罗·范恩也有自己的公司“范恩科技”,公司总部设在弗吉尼亚州弗雷德里克斯堡的自家卧室里,里面有各种用来“黑”入他人无线网络的设备和数据分析软件,还有一台3D打印机。

范恩是在读过黑客凯文·米特尼克的《电缆中的幽灵》后开始迷上黑客技术的。米特尼克在上世纪八九十年代,因为偷走多家公司的专利程序代码、窃听国家安全局电话等“事迹”而闻名于黑客世界

但是书里没讲他到底是怎么做的。于是,保罗从网上下载了黑客工具,靠YouTube教学视频自学成才。

他最早学会的是如何“黑”入距离自家方圆5公里以内的别人家的无线网络。他不想干坏事,所以会在邻居们来串门时征求对方同意。“他们说, 当然可以,只要你别搞破坏就行。 ”

保罗很清楚“黑亦有道”。“在你试图破解另一个系统的时候,必须考虑伦理问题。你得确保自己所做的一切不会破坏那个系统,而且无论你做什么,一定要告知对方。”

【新闻背景】

黑客日渐主流化

政府鼓励“白帽黑客”

在很多方面,“黑客”已被纳入主流社会。许多大的技术公司如苹果和脸书等,都会向社会开放征集系统安全防护方案,鼓励各方黑客发掘并举报自家产品漏洞,以便公司及时修补。漏洞发现悬赏机制已成为很多黑客的谋生方式。一些职业黑客光是靠发现科技产品安全漏洞,就能从制造商那里挣到10万美元的年收入。

Cyfi12岁时参加了三星公司所设的漏洞发现奖励比赛。当时三星刚刚推出了全新智能电视机系列。Cyfi输入一行代码,成功打开了电视机的摄像头。这意味着当你坐在家中沙发上、通过网络收看电视剧《权利的游戏》时,某个千里之外的有心人能够遥控打开电视机的摄像头,偷窥你的一举一动。为这个发现,三星奖励了她1000美元。

今年5月,芬兰一个10岁小黑客上了头条。因为发现了图片分享软件Instagram上一个严重漏洞,他得到1万美元奖金。

上世纪八九十年代计算机刚兴起时,黑客可不是这么受欢迎的存在。知名黑客克里斯·托马斯记得自己年轻时候可没有什么漏洞奖励。

外界观感也发生了很大变化。过去,政府认为黑客们不是来盗窃数据就是想搞垮某个系统。“我那会儿总是战战兢兢,就算我没做什么坏事,也总担心会不会哪一天政府的人或FBI破门而入把我给抓了。”托马斯说。

现在,政府机构希望鼓励孩子们把自己培养成为“白帽黑客”,即符合道义的黑客,乐于引导企业把大笔资金投向培训少年黑客的项目,因为根据预测,未来网络安全人员缺口达100万。

“网络爱国者”就是由美国官方机构“空军协会”组织的一项大型网络防护技术竞赛,该竞赛旨在测试初、高中生的网络技术水平,鼓励孩子们未来从事网络安全领域工作。自2009年创办至今,已有超过8.5万名学生参加竞赛。每年举办竞赛和小学教育科普、夏令营等系列相关活动,要花掉大约300万美元,著名军工企业诺斯罗普·格鲁曼公司旗下的慈善基金会是主要赞助商,思科系统公司、微软公司和国土安全部也都参与赞助。

深圳少年黑客入侵政府网站 索要0.5个比特币

黑客入侵政府网站,公然索取价值数千元的“比特币”(一种网络虚拟货币),虽然“比特币”交易难以追踪,但黑客最终仍难逃法网。近日,揭阳警方快速出击,用时3天成功侦破一破坏计算机系统案,并跨市缉拿犯罪嫌疑人。

案件

揭阳警方侦破一破坏计算机系统案

2月13日,空港经济区某局政府网站被黑客入侵,所有关键文件均被锁定无法使用,对方还提出要重新解锁相关文件需要支付0.5个“比特币”(约3350元人民币),如不支付4天后将提升到1个“比特币”。

接到案情报告后,市公安局领导高度重视,成立了由市公安局网络警察支队和空港公安分局组成的专案组,第一时间赶赴现场进行勘察取证,并开展了全方位的网上摸排侦查,经分析研判于13日晚锁定了犯罪嫌疑人。

2月15日晚,专案组民警在深圳市罗湖区将犯罪嫌疑人路某(男,未满16周岁,广东深圳市罗湖区人)成功抓获,现场扣押电脑主机2台,笔记本1部及手机1部,路由器1个,U盘2个。目前,案件正在进一步侦查中。

提醒

破坏计算机系统触犯刑罚

警方表示,网络空间不是法外之地,任何通过网络实施违法犯罪的行为都难逃法律的制裁。警方提醒,违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,根据刑法规定,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。另外,如果遇到不法攻击,要保存相关数据,及时向警方报案,尽可能减少损失。

你的微信还安全吗?揭露清理僵尸粉的连环骗局

近期,二师兄经常收到“免费帮你清理微信僵尸粉”的信息,或是“我在清理微信好友,一清吓一跳”的朋友圈吐槽。很多人点开了信息中的附带链接,按照对方说的步骤清理僵尸粉,结果可能会出现微信号被盗、好友信息被窃取,甚至手机会中木马病毒等严重后果。

二师兄在这里呐喊:千万不要点链接!千万!不要点!

因为可能是个连环骗局,这就带你测试一下:

首先,点击链接,关注公众号以后,你会收到自动推送消息,引导你联系客服进行清理。

添加人工客服后,对方会对清理步骤做简单介绍或发送教程视频,查看步骤后,需要回复确认是否清理。

待你确认清理后,客服会发送一个临时二维码。此二维码不能直接识别,需要将它发送至其他手机或用其他手机拍照,再进行识别。

识别二维码,你的手机就会收到以下界面:

经常使用电脑登陆微信的人们都知道,这是电脑登陆手机微信的确认界面。

也就是,确认登陆后,对方的电脑可以直接登陆你的微信!对方用你的微信开始群发消息,筛选僵尸好友。

用这种方式清理好友,存在很多弊端!

首先,用这种方法清理好友,会陷入尴尬扰人的循环之中。今天你用这种方式给朋友发送信息,就形成了对朋友的无端骚扰。而如果朋友也点击链接,也用这样的方式进行,那么不久你又会收到信息被骚扰…..就这样,会时不时看到这样的消息。

而且,在操作过程中,还存在很多风险:

1. 你的手机可能会中木马病毒。微信好友发送的“清理僵尸粉”信息中的链接,很有可能是手机病毒,如果你的手机安全系统不完善(iOS的系统安全性会相对高一些),那点击了链接就会中木马病毒。

2. 微信号可能会被盗。如果你点击了消息中的链接,微信可能会出现闪退、无法正常登陆的问题。

以上问题说明你的微信号可能被盗,当出现这种情况时,你可以先尝试用短信验证码、QQ号+QQ密码等其他方式登陆微信,成功后进入设置-帐号与安全-修改微信密码,并在设置中开启账号保护;若无法登陆,需马上访问weixin110.qq.com,进行帐号冻结。

(图片来源:BiaNews)

3. 如果你的微信有银行卡绑定,在点击链接时,经专业黑客破解了支付密码后,钱财也将遭受损失。

4. 如果骗子借清理僵尸粉为由,在电脑上登陆你的微信,就可以直接用你的微信号,以生病、出车祸、急用钱等各种理由向你的朋友群发信息进行诈骗(大家已经对短信和QQ诈骗有了安全防范意识,但是对微信的防范意识还非常欠缺,所以很容易受骗。)

(图片来源:刑事法律圈)

5. 对方可以通过你的微信群发色情信息,这样不但对自己造成不良影响,还会使你涉嫌传播色情信息,一经举报核实,微信号还会被封。

(图片来源:刑事法律圈)

6. 如果骗子群发了带有病毒的链接,会将你的好友置于上述风险之中,形成“循环骗局”。

那如果想要清理僵尸好友怎么办?

二师兄之前就专门写了《如何优雅地查看谁删了你的好友》来教大家如何准确又不打扰其他人的方法,简单又实用,赶紧翻出来好好学一学。

让我们少一点套路,多一点真诚,还微信一个更安全的环境吧!

HTTPS已经保护一半的网络流量

实现HTTPS传输对网站有很多好处,不仅防止第三方窥探网络流量来保护他们的用户,并且防止内容劫持和Cookie窃取,还在Google中获得更好的排名,因为搜索巨头在其搜索算法中使用HTTPS作为信号。在没有提供HTTPS保护的网站上,看重隐私的用户根本不会注册登陆或者输入自己的信用卡信息。

互联网上大部分网站需要很长时间才能从HTTP转换到HTTPS,但是电子前沿基金会(EFF)一份报告显示,截至本月初,加密网络的举措达到了一个重要的里程碑,现在所有网络流量当中有一半是通过HTTPS进行保护。

从下面的图表可以看出,Firefox在过去两年中HTTPS流量稳定增长,从2015年10月的37.81%上升到2017年2月的52.93%,Chrome也有类似增长情况。根据Google自己的数字,本月Chrome中的Windows用户访问的网站中有55%是通过HTTPS加载。

虽然这是一个好消息,但它仍然意味着互联网上还有一半的网络流量不受HTTPS协议保护,所以仍然有很多工作要做。

新一代子域名爆破工具brutedns

一直相信不要重复造轮子这句话,但是如果可以造出来更好的轮子,我认为那就应该勇敢的去造。总结一下工具特点:人无我有,人有我优。

废话不多说,先说特性。

特性:

1.快,快的有点狠。爆破分为三种模式:low,medium和high。medium的速度在每秒500上下,high的速度在每秒800上下。本来想加一个变态模式,每秒1000+,看后期有需求会加上。(ps:单进程+单线程)

2.检测cdn,并且cdn列表不断更新,更有针对性。

3.C段,爆破完成后自动对非cdn的ip段进行排序,助力快速挖洞。

4.全,测试了某卖饭域名,结果不到3万,中速模式下一个半小时跑完的。

5.多级,目前到四级,其实就算下会发现,1000的字典的递归三次之后,量在1个亿。目前没有深入过多,之后会增加。

缺点:

1.内存消耗有点大,高速模式下在1个G。

2.吃带宽很厉害,我在跑中速模式下,QQ都登录不上去(100M带宽)

3.基于Python3

使用方法:

-h, –help show this help message and exit

-s , –speed 三种速度模式,low,medium和high,默认是medium。

-d , –domain 要爆破的域名例如:test.com

-l , –level 爆破的域名级数,如test.test.com是1,test.test.test.com是二级

运行截图(仅用于功能演示,切勿进行非授权测试):

high模式:

2017-02-17 09-34-02屏幕截图.png

medium模式:

2017-02-17 09-29-00屏幕截图.png


历程:

我必须诉下苦,在最后一个大四寒假,我研究了一周的Python高并发问题,进程,线程,协程和异步。在内存,性能上又优化了两天。少玩多少游戏,请各位随手分享点赞,不胜感激。

鸣谢:

特别感谢lijiejie和猪猪侠两位前辈的开源,学到了很多东西,并感谢其提供的字典。而这也是我为什么开源的原因。这个会一直维护下去,直到没有必要。此外感谢拉勾网唐总,给予了很多帮助和指导。

写在最后:

这肯定不是我的第一款开源工具,之后会继续开发其他的,比如cdn检测,服务识别等等。此外打个广告,我博客地址:https://www.yanxiuer.com。更多有关技术的细节会在上边更新。

工具地址:https://github.com/yanxiu0614/subdomain3

*本文作者:yanxiu0614,转载请注明来自Freebuf.COM

PHP成为首个在内核中嵌入加密库的编程语言

PHP.png

PHP团队最近投票一致通过了“将Libsodium库集成到PHP内核中”的决议,使得PHP成为首个使用公认现代加密库的编程语言。

Libsodium是个便捷,可交叉编译,现代化,易于使用的软件库;可用于加密,解密,签名,密码哈希等。和PHP源代码一样,Libsodium是用C编写的。如今,很多公司,如Keybase,数字海洋,Riseup,Yandex,Wire和Zcash,已经他们的服务中部署Libsodium。

提出加入Libsodium建议的的开发者是来自Paragon Initiative公司的首席开发官Scott Arciszewski,他曾在过去的开发会议中提倡在PHP CMS中加入更强大的加密技术。

Libsodium将在PHP 7.2中出现

PHP团队决定在2017年年底推出的PHP 7.2中加入Libsodium。目前最新PHP版本为7.1.2。

Arciszewski解释了他为什么期望在PHP内核中嵌入Libsodium,主要原因就在于WordPress以及共享托管供应商——绝大部分共享主机供应商不允许用户安装自定义PHP扩展,因为许多未经测试或未知的扩展可能对其设备造成危害。

Arciszewski的想法是如果将Libsodium集成到PHP内核中,就可以摆脱对托管提供商的依赖,用户也不用再为PHP扩展的安全性担忧,因为以后的PHP版本将会默认支持加密库。“共享主机提供商还是主要原因,因为VPS供应商(在我印象中,总是)一般是让你在自己虚拟机上以root权限运行的。”

除此之外,Arciszewski表示Libsodium的加入,同样也免去了说服WordPress团队去加强他们的安全建设的过程,因为他们自然会用PHP默认支持的强加密功能。

bbva-open4u-herramientas-basicas-desarrolladores-php_1.jpg

PHP需要Libsodium的其他原因

相关PHP加入Libsodium,Arciszewski还提出了更多原因,他认为Libsodium嵌入到PHP核心对PHP全局的安全性有很多好处。比如说:

1.显然Libsodium会让共享网络托管提供商为用户升级到PHP 7.2;

2.本次升级会告诉操作系统开发人员,“Libsodium是必要的;它是默认安装的一部分”;

3.PHP手册将会列出对libsodium扩展的说明,这意味着开发人员将有官方文档可依;

4.PHP 7.2+内部就能使用libsodium功能,例如PHP Archives(Phar扩展)很快就会有Ed25519签名;

5.在不对用户产生影响的情况下,那些需要libsodium的开源项目就可方便安装。

Arciszewski在邮件中提到:“我坚信安全应该属于每个人,而不应该只属于那些有能力为安全买单的1%的人。PHP在互联网上的占有率至少有82%,而libsodium又是大多数加密技术人员推荐的应用层加密库。

“在PHP开发者眼中,PHP和libsodium的联手应该是获得更好的安全性最为直接和合理的方式。许多开发者没有时间或加密方面的经验来搭建属于自己安全。”

为什么“第一个”是PHP,而不是Go或Erlang?

Arciszewski解释了使用加密库后的技术优势,以及为什么Libsodium是现在最现代化的加密库之一,详情点击这里可查看。另外他还解释了为什么PHP才是真正意义上“第一个”在其核心中支持“现代”加密库的编程语言——尽管Erlang和Go包含类似的库,但是它们的实施完整性与将来加入到PHP 7.2中的Libsodium不可同日而语。

在加入Libsodium到PHP之前,Arciszewski已经在WordPress之上进行了实践,他在WordPress 4.4中添加了一个强大的CSPRNG(加密安全伪随机数生成器),并发现WordPress更新过程中的几个缺陷,这将允许攻击者劫持互联网上的所有WordPress网站。

*参考来源:bleeping,FB小编bimeover编译,转载请注明来Freebuf.COM

Python与Java曝漏洞,黑客利用FTP注入攻击可绕过防火墙

研究人员最近发现,Java和Python运行时都存在漏洞,它们未能正确验证FTP URL中的特殊字符,最终导致黑客甚至能够绕过防火墙访问本地网络。

上周六,安全研究员Alexander Klink公布了一种很有趣的攻击方式,他利用Java应用中的XXE(XML External Entity)漏洞发送邮件。XXE漏洞就是欺骗应用去解析构建的XML文件,从而让XML解析器泄露敏感信息如文件、目录列表甚至是服务器上运行的进程。

Klink演示相同类型的漏洞还可以用来欺骗Java runtime向远程服务器发起FTP连接,URL形式是:

ftp://user:password@host:port/file.ext

结果发现Java FTP客户端并不会过滤特殊的CR和LF字符,而会解析这些字符。CRLF的意思就是回车(CR, ASCII 13, \r) 换行(LF, ASCII 10, \n)。在FTP URL中插入这些字符会导致Java FTP客户端执行这些命令,甚至还可以执行SMTP (Simple Mail Transfer Protocol)命令,因为SMTP与FTP语法很相似。

ftp-protocol-injection-exploit.png

Klink的演示中,黑客可以利用漏洞强迫Java程序向SMTP服务器发送邮件。

Klink在博客介绍了攻击场景:“当你能从一台能够解析XML的服务器连接到一台无限制(甚至没有垃圾邮件、病毒邮件过滤)的内部邮件服务器时,这个攻击就会非常有意思。”

Python和Java的新漏洞

看到Klink的攻击后,来自Blindspot Security的研究员Timothy Morgan又公开了一种类似的攻击方式,这种攻击方式能够针对Java和Python的FTP——由于该攻击可被用来绕过防火墙,因此更为严重。

Morgan把攻击称为“通过恶意URL的FTP协议流注入”,这种攻击和利用了缺少CRLF过滤特性注入恶意FTP命令的方法是类似的。

Morgan没有注入SMTP 命令,而是利用了FTP PORT命令让客户端连接FTP服务器的指定TCP端口。

安全人员指出,很多基于Linux的全状态数据包检测型防火墙(SPI),包括商业防火墙,会支持传统模式的FTP,当检测到来自客户端的FTP流量中的PORT命令时就会自动打开TCP端口,并且转发到那个FTP客户端的局域网IP。

这种攻击向量已经存在多年,所以conntrack的开发者们会加入额外的检查步骤,conntrack是一套大部分防火墙都会用到的Linux工具。加入检查之后,端口只会在PORT命令出现在TCP包开始的时候打开,这样就能确保真的是客户端发送了命令。

此处对黑客而言,攻击需要解决两个问题:

1. 发现客户端的内部IP地址,从而伪造PORT命令;

2. 调整客户端与服务器端的TCP包,让PORT命令落到包的开头

Morgan称他已经找到了解决这两个问题的方法,就是通过“通过恶意URL的FTP协议流注入”,并且他已经开发了PoC exp打算在Oracle和Python修复FTP客户端代码后公开。

“整个攻击(包括判断受害者内部IP的请求)是通过三个SSRF(服务器端请求伪造)实现的,这三个攻击打开了TCP端口”,Morgan周一在博客中说到,“每次额外的SSRF攻击都可以打开一个新的TCP端口。”

38849_7775-100610057-large.jpg

利用方法

利用漏洞的方法有很多,包括攻击那些安装了Java的用户。用户甚至都不需要执行恶意Java applet,因为exp可以通过Java Web开始程序传送。

“如果一个安装了Java的桌面用户访问了一个恶意网站,即使Java applet被关闭,还是可以触发Java Web Start解析JNLP文件,文件中可以包含恶意FTP代码,从而触发漏洞。”

攻击者还可以利用中间人或者利用SSRF/XXE漏洞来攻击那些运行Java应用的服务器。

Morgan表示,他成功攻击了运行最新内核的Linux防火墙,而来自Palo Alto Networks和思科的防火墙在默认设置下也未能幸免。虽然只测试了两款商业防火墙,但他预计受此影响的防火墙不在少数。

安全建议

建议防火墙厂商在Java和Python工程师修复漏洞之前关闭传统的FTP转换模式。

用户应该禁用浏览器的Java插件并且取消.jnlp文件与Java Web Start的关联。同时,对Java和Python应用应该审计SSRF和XXE漏洞。

*参考来源:NetworkWorld,本文作者:Sphinx,转载请注明来自FreeBuf(FreeBuf.COM)

【漏洞预警】潜伏11年的Linux内核提权漏洞曝光

linux-kernel-local-root-exploit.png

漏洞编号

CVE-2017-6074

漏洞概述

Linux内核近日又曝出权限提升漏洞,该漏洞可追溯至2005年,漏洞影响Linux操作系统主要发行版本,包括Redhat、Debian、OpenSUSE和Ubuntu。利用该漏洞,攻击者可以从低权限进程中进行内核代码执行。目前已知受影响的最老版本是2.6.18(2006年9月),不过该漏洞可能在先前的版本中已经存在,或许从支持DCCP开始(2005年10月的2.6.14)就已经存在问题了。

Seclists.org发布该漏洞的作者Andrey Konovalov表示,很快就会放出PoC,在此期间给予修复时间。

安全研究员Andrey Konovalov最近用Syzkaller fuzzing工具,发现了DCCP协议实现中的Linux内核漏洞,漏洞潜伏时间超过10年。

DCCP协议

DCCP协议是面向消息的传输层协议,可最小化数据包报头带来的开销和终端处理的工程量。该协议可建立、维护和拆卸不可靠连接的数据流以及对不可靠数据流进行拥塞控制。

该DCCP双重释放漏洞可允许本地低权限用户修改Linux内核内存,导致拒绝服务(系统崩溃),或者提升权限,获得系统的管理访问权限。

漏洞详情

这是个UAF漏洞:在IPV6_RECVPKTINFO开启的情况下,内核解析DCCP协议的流程中判断已经收到了DCCP_PKT_REQUEST返回包,就会释放解析过程使用的SKB地址。(“DCCP protocol implementation freed SKB (socket buffer) resources for a DCCP_PKT_REQUEST packet when the IPV6_RECVPKTINFO option is set on the socket.”)

按现在的实现,解析DCCP协议的流程中如果dccp_v6_conn_request有返回值,就会通过dccp_rcv_state_process中的__kfree_skb释放掉解析过程中收到了DCCP_PKT_REQUEST返回包的SKB地址。但是,如果IPV6_RECVPKTINFO开启的情况下编译内核,skb地址就会被存储在ireq->pktopts,而dccp_v6_conn_request中的引用计数会增加,这样skb就仍然会被使用。直到dccp_rcv_state_process进程中才会被释放。

攻击者使用某些内核堆喷射技术就能控制任意对象,并用任意数据重写其内容。如果重写过的对象中包含任何可触发的函数指针,攻击者便可在该内核中执行任意代码。

这个漏洞并不是远程代码执行漏洞,所以攻击者必须拥有系统本地账户,才能利用该漏洞。

两个月前,Linux内核也曝出了类似的提权漏洞CVE-2016-8655,该漏洞可以追溯到2011年,低权限本地用户利用Linux内核af_packet实现中的竞争条件,可获得root权限(漏洞详情:http://www.freebuf.com/vuls/122152.html)。

修复方案

手动修复:调用consume_skb,而非跳转discard并调用__kfree_skb。

snip_20170223110907.png

更详细的修复方案请点击这里。如果你是高级Linux用户,那么可以应用补丁,重新构建内核,或者等待发行商发布更新。

*参考来源:securityaffairsthehackernews,FB小编kuma编译,转载请注明来自Freebuf

雷军22年前写的代码 你见过吗?

作为小米科技的创始人、董事长和首席执行官,雷军的名字如雷贯耳。上午W3Cschool发布了一篇“刘强东的代码水平如何”的文章,有网友在下面回复“代码只服雷军”。这个回复吸引了W3Cschool的注意,雷军的代码水平真的很牛吗?原来雷军年轻的时候,也是一名程序员,而且一干就是10年。

雷军在22年前的作文中写道:我会当一辈子程序员,由此可以看出雷军对编程有着狂热的爱好。还有网友分享了一篇雷军22年前写的代码,废话不多说,直接贴代码。

雷军22年前写的代码 你见过吗?-E安全

雷军22年前写的代码 你见过吗?-E安全

雷军写的这篇代码,是不是看起来很牛逼?简直就是亮瞎眼!因为篇幅的限制,没办法复制全部的代码,有兴趣的在这里http://www.w3cschool.cn/article/leijuncode可以看到完整版的的源代码。电脑是雷军人生中的最爱,电脑的世界对于雷军而言实在太美妙。雷军觉得,电脑的世界没有人那么复杂。只要你程序写得好,就可以和电脑处好关系,也可以指挥电脑,做一些你想做的事情。雷军认为,电脑的世界很大,程序员都是活在自己的王国里。在这里,程序员可以主宰一切。正是因为热爱,所以雷军一干就是10年。

雷军22年前写的代码 你见过吗?-E安全

雷军心爱的代码被新程序员格式化对于雷军来说,虽然现在他更加专注在产品开发以及管理方面,但是曾经他对心爱的代码视为珍宝。之前来了一位技术支持人员,而这位技术人员进公司的第一份工作,就是帮雷军整理他的硬盘。一位理解错误,原本只要覆盖式的安装系统就可以的事情,这位程序员却把雷军的硬盘格式化了。这些代码是雷军多年来积累下来,而且也是他的最爱,就这样成为炮灰,相信雷军非常难过。编程是技术,也是一种艺术雷军认为,编程的工作同石匠的工作相类似,即是技术活,也是体力活,而编写优秀的软件,算是一件比较难得事。编程是一门技术活,因此才有可能大规模的进行,进而才会有软件工程。此外,因为编程是一种艺术,因此有很多好的产品。

雷军22年前写的代码 你见过吗?-E安全

雷军关爱下属 亲自指导女程序员

因为自己是程序员出身,雷军在技术方面的水平不用质疑。雷军对于下面的程序员,也是很关照的。早前,雷军亲自指导美女程序员的一张图片爆红。从曝光的图片来看,这名由雷总亲自指导的女程序员,竟是位前端开发工程师。雷总下基层,还亲自指导码农,小米不强大都说不过去。当然,上面的只是雷军生活中的一个小插曲。曾经,雷军认为自己会干一辈子的编程。但是现在,雷军作为小米董事长,身价已经不能用数字来衡量了。他接触程序的机会,相信是少之又少,因为下面有很多程序员帮他干活。

Swift语言恶意勒索软件出现:面向macOS伪装成破解工具

据外媒AppleInsider报道,一种新的以Swift语言编写的恶意勒索软件开始浮现互联网,其攻击目标为macOS系统的盗版软件用户,其伪装成Adobe CC软件或者微软Office for Mac 2016等常用生产力套件的破解工具传播。一旦感染,其就会开始将用户的文件和数据加密并要求支付来解锁,更加恶意的是即使用户真的按要求支付,该勒索软件也不会为你解锁任何文件。

Swift语言恶意勒索软件出现:面向macOS伪装成破解工具

据安全研究人员Marc-Etienne M.Léveillé发现,该恶意软件始于BitTorrent站点传播,其伪装成Patcher破解工具,使用盗版软件的用户常用破解工具来绕开正版保护或者认证系统。常用创意或者生产力套件软件,目前发现有伪装成Microsoft Office for Mac 2016和Adobe Premiere Pro CC 2017的破解工具,不过报道有更多实例出现。当用户点击恶意软件中的开始按钮准备破解时,软件就会弹出“请先阅读”文本来吸引用户注意力,而在后台开始加密用户文件,随机生成25位密钥,并且删除原文件。“请先阅读”会向用户说明其文件已经被加密,需要在7日内支付0.25比特币来解锁,或者选择支付0.45比特币以一日内解锁。

Swift语言恶意勒索软件出现:面向macOS伪装成破解工具

然而即使用户按要求支付了赎金,也不会帮你解密文件。而安全人员表示,这款由Swift语言编写的恶意勒索软件的编码技巧差,有很多错误。比如窗口被关闭了就无法打开,调用根目录磁盘实用工具抹掉磁盘空间的路径也是错的。而且经过专家发现,该源文件中根本就未包含支付后向目标发送密钥解锁的指令,而密码长度也难以通过暴力破解完成。

Léveillé建议用户尽量为其重要数据和安全软件进行离线备份,小心使用不明来源的文件,尤其是破解工具很有可能包含恶意代码,尽量使用正版授权。

卡巴斯基发现车载安卓APP漏洞 易遭黑客攻击

各类APP让人们的生活变得更便捷,但为此人们又会付出怎样的代价?俄罗斯反病毒与计算机安全公司卡巴斯基(Kaspersky)发表报告,声称在一些高端汽车的车载安卓APP中发现了严重缺陷,容易让黑客控制汽车,甚至引发盗窃行为。如今,许多汽车制造商都提供专用APP,让用户通过操作APP开启车门或是启动汽车,然而,卡巴斯基发现这类应用程序中的缺陷能让黑客趁虚而入。

卡巴斯基发现车载安卓APP漏洞 易遭黑客攻击

资料图

一旦入侵成功,黑客就可以控制汽车,例如:解锁车门、关闭安全警报等。除此之外,黑客还可能得到汽车的GPS定位坐标,跟踪其路线、打开车门、启动发动机或是车上的辅助设备。

卡巴斯基研究和开发专家维克多•切比雪夫(Victor Chebyshev)和恶意软件分析师米哈伊尔•库金(Mikhail Kuzin)从知名汽车品牌中获取了7个APP并测试其漏洞,现已告知这些APP的开发人员潜在漏洞的危险,不过直到这些漏洞被修复之前,可以说智能车都处在不安全的状态。

关于这项研究,维克多•切比雪夫称:“这些APP没有做好抵御恶意攻击的准备。我们希望他们能采用银行类APP的开发方式。银行类APP在经过多次攻击后已经提高了安全性。虽然幸运的是现在还没有发现对汽车APP的攻击,但车企究竟有多少时间来修复漏洞并不可知。现代木马非常灵活,针对APP的攻击也无处不在。”

国家水利部南方数据灾备中心在贵州开通运行

国家水利部南方数据灾备中心在贵州开通运行-E安全

水利部副部长刘宁在揭牌仪式上讲话。杨良强 摄

国家水利部南方数据灾备中心在贵州开通运行-E安全

贵州省副省长刘远坤在揭牌仪式上致辞。杨良强 摄

人民网贵阳2月23日电 2月22日,国家水利部南方数据灾备中心正式落户贵州,水利部副部长刘宁、贵州省人民政府副省长刘远坤出席揭牌活动并讲话,水利部总工程师汪洪主持开通活动,中国联通副总经理姜正新出席活动。

国家水利部南方数据灾备中心在贵州开通运行-E安全

水利部南方数据灾备中心揭牌仪式由水利部总工程师汪洪主持。杨良强 摄

据了解,水利部南方数据灾备中心是保障水利网络信息安全的重要防线,是确保数据战略性核心资源的安全,以确保万一发生问题后,备份的数据能够在主中心成功恢复。

当前,网络安全和信息化是事关国家安全和经济社会发展的重大战略问题,也是水利改革发展的重要基础支撑。水利部高度重视网络安全和信息化工作。“十二五”期间特别是党的十八大以来,全国水利系统遵循“节水优先、空间均衡、系统治理、两手发力”的新时期水利工作方针,贯彻落实中央“四化同步”发展战略,按照“以水利信息化带动水利现代化”的总体要求,全面推进水利网信工作,水利信息化综合体系初步建成。在水利部主中心顺利运行、北方数据灾备中心基本建成的基础上,此次水利部南方数据灾备中心的启动,标志着水利信息系统安全灾备的“一主两备”数据灾备保障格局基本形成,水利网络安全防护能力和水平将迈上新台阶。

刘宁指出,灾备中心的首要任务是确保数据安全;二是要成为推进水利网信安全建设的重要平台,要紧跟网信安全技术发展,持续开展灾备中心建设,不断织密织牢水利网信安全体系。三是要成为培养水利网信综合性人才的重要基地,即灾备中心的建设和应用乃至水利网信事业的发展壮大,归根到底要靠人,特别是依靠网络信息安全技术高手,要充分发挥灾备中心数据积聚、技术密集、人才聚集、紧贴贵州水利实践、靠近国家级大数据综合试验区等优势,通过技术培训、学术研讨、专题讲座等多种形式,为跨专业人才交流创造条件。四是要成为引领水利数据深度应用的重要窗口,应用与安全是推动灾备中心发展的双轮,要结合国家网络强国战略、大数据发展战略,充分发挥贵州省作为全国首个国家级大数据综合试验区的战略优势,发挥中国联通的技术和人才优势,围绕水利中心工作,联合组织课题研究,深度挖掘水利数据的价值。

刘宁对建好管好用好水利部南方数据灾备中心提出明确要求,各方要通力合作,加强管理,确保水利数据安全;水利信息中心和中国联通公司要建章立制,尽快完善相关管理办法,特别是数据加密传输、存储,运维管理等环节,确保管理办法围绕数据灾备全流程、可控制、可跟踪;要加强队伍建设,组织政治可靠、技术水平高的管理和技术人员,组建灾备中心运维管理队伍,并明确岗位,落实责任,做好应急预案,定期开展应急演练。

刘远坤指出,国务院印发《促进大数据发展行动纲要》,明确提出“推进贵州等大数据综合试验区建设”。与此同时,贵州省委、省政府先后印发《关于加快大数据产业发展应用若干政策的意见》、《贵州省大数据产业发展应用规划纲要(2014-2020年)》、《关于实施大数据战略行动建设国家大数据综合试验区的意见》等,颁布全国首部大数据地方法规《贵州省大数据发展应用促进条例》。水利部南方数据灾备中心落户贵州不仅关系到全国水利数据和信息系统的安全,也是贵州省落实省委省政府大数据战略的使命所在。贵州省水利厅、省大数据管理局等有关部门将以此为契机,全力做好有关服务保障工作,积极推进云计算、物联网、大数据、移动互联、智能决策等新一代信息技术在全省水利行业的应用,以水利信息化引领全省水利现代化,以优异的成绩报答水利部对贵州的厚爱。

国家水利部南方数据灾备中心在贵州开通运行-E安全

水利部南方数据灾备中心揭牌仪式,参加活动领导共同揭牌。杨良强 摄

出席活动的领导和相关人员在活动期间检查了水利部南方数据灾备中心运行环境。水利部有关司局负责人,贵州省有关厅局负责人,中国联通公司总部和贵州分公司有关负责同志参加开通活动。

据了解,水利部南方数据灾备中心数据备份工作已有序开展,目前,存储的数据量达到了15TB。各方人员还同时考察了水利部南方数据灾备中心的运行环境。