adv

solidot新版网站常见问题,请点击这里查看。
安全
pigsrollaroundinthem(39396)
发表于2018年10月14日 13时36分 星期日
来自索尼的虫子
PS4 玩家报告,他们通过主机的消息应用收到陌生人的消息之后整个系统遭到硬锁定,重启之后也没能恢复。攻击者利用的漏洞可能与 2015 年 iPhone 在收到特定字符串之后系统崩溃的 bug 相似。目前能解决该问题的方法是恢复到出厂设置或者使用手机应用删除收到的消息,在 bug 修复前PS4 玩家被鼓励修改消息设置:设置 > 账户管理 > 隐私设置 > 输入密码 > 个人信息 | 消息,设置消息为仅限于朋友或不接收消息。
安全
pigsrollaroundinthem(39396)
发表于2018年10月12日 13时15分 星期五
来自安装一下
Linux Journal 介绍了支持端对端加密的安全邮件服务 TutanotaTutanota 的联合创始人称,他们在七年前 Snowden 还没有曝光 NSA 机密前就开始构建加密的电邮服务,Tutanota 的加密过程是在用户设备上本地进行,完全自动化。今天端对端加密正逐渐成为主流,通过 Tutanota 发送的邮件 58% 已经启用了端对端加密。F-Droid 是一个开源 Android 应用商店,要在 F-Droid 平台发布 Tutanota 需要移除 Google 的 FCM 通知推送服务。Tutanota 是第一个登陆 F-Droid 的安全电邮服务。
安全
pigsrollaroundinthem(39396)
发表于2018年10月07日 15时00分 星期日
来自
HardenedLinux 写道 "近日,美国开源安全厂商Open Source Security Inc.公布了PaX/Grsecurity最新的基于GCC编译器插件Respectre,目前Respectre主要是针对Spectre v1漏洞的防御,当前的版本能覆盖大部分Spectre v1的场景,支持ARMv7, AArch64, PPC64, x86以及x86_64多个硬件架构,由于支持大于等于GCC v4.5的几乎所有版本,所以并不会影响生产环境中运行的GNU/Linux发行版现有的部署,Respectre作为编译器插件可以灵活的处理各种场景包括防护Linux内核以外的代码,其Linux内核运行时性能损耗大致在0.3%,未来会持续改进静态分析模块适配更多的Spectre场景。"
安全
pigsrollaroundinthem(39396)
发表于2018年10月05日 17时59分 星期五
来自难以验证
美味☆砂糖 写道 "上一篇文章介绍了中国利用微型芯片渗透亚马逊和苹果的技术可行性,但技术可行不代表事实如此。最大的疑点是,如果中国想要通过对 BMC 动手脚的方式攻击目标系统,为什么不直接将 SPI 闪存替换为含有后门的版本呢?一个可能是解释是为了躲过超微的固件更新,但如果想要使用信号耦合器来介入 BMC 芯片和 SPI 闪存之间的通信,该芯片必须包含足够的数据来修改 BMC 固件,进而修改宿主系统并形成一个可利用的后门,这样的芯片要做成如彭博社所描述的那样「只有铅笔尖的大小」可能会有点困难。此外,亚马逊和苹果这样体量的公司应当具有一定规模的数据中心监控系统,而攻击行为所产生的可疑流量和系统修改很难逃过这类系统的检测。

彭博社在发布报道的同时刊登了亚马逊、苹果和超微三家公司以及中国政府的否认声明。跟某些中国电商公司不同,美国上市企业在否认声明上一般会采取更圆滑的态度,这类声明经过了律师的层层审计,以确保日后不会成为投资者诉讼的依据。这种「否认声明」一般可以分为两类:否认一些微小的细节而对大的事实避而不谈,或者使用情绪化且模糊的语言达成看似否认实际上什么都没说的效果。例如在亚马逊的否认声明里,他声称「彭博社报道中的不实之处实在太多,难以估量」,但没有列举究竟有哪些不实之词。亚马逊称「为了淘汰超微设备而将其售予中国合作伙伴」的动议是「荒唐」的,但这跟亚马逊实际的动作无关。亚马逊称「AWS 并没有在收购 Elemental 时知晓供应链被入侵、恶意芯片被植入或者硬件被变更」,为什么要加上「在收购 Elemental 时」这句话限定时间点?此外,该句的主体是 AWS 部门而不是亚马逊,更别提在彭博社的报道中,发现硬件被恶意更改的是一家第三方审计公司。难怪有媒体批判亚马逊的「否认声明」无助于打消市场的怀疑情绪。

相比之下,苹果的否认声明要详细、强烈得多。苹果声称其「从未在服务器上发现过恶意芯片、“硬件操纵”或有意植入的漏洞。苹果也从未与FBI或其他机构对此类事件进行过接触。我们不知道FBI的任何调查,也没有与我们的执法部门进行联系。」这段话无论如何解读,都是对彭博社报道的强烈否认,没有一丝一毫模糊的空间,一旦彭博社的报道被证实,苹果很难逃脱「误导投资者」的指控。此外,无论亚马逊还是苹果都没有在声明中使用「我们不对国家安全或者执法单位事宜进行讨论」这一惯常的默认事实的语句。至于事件的主角,超微公司的否认声明则显得无关紧要。超微公司称并未被任何政府机构告知过该类调查——没有人这样说过。而鉴于超微公司在这件事中的关联,以及该类调查的惯常手法,这应该是真的。

根据报道,彭博社的调查始于 2015 年下半年军方举办的一场关于网络安全的非正式闭门会议,会议邀请了科技行业的主要管理层和投资者,举办地点位于 McLean,靠近 CIA 总部。彭博社报道的核心内容,即美国情报机构对中国使用恶意芯片渗透美国企业所进行的调查,很可能最早就是在这场会议上透露给彭博社记者的。在随后彭博社进行的调查中,他们找到了十四名线人(我们知道其中有两名亚马逊员工、三名苹果员工、六名情报官员以及其他六名关联人士)试图从各个方面证实并补充这次调查。基于彭博社的新闻操守,我们可以相信这十四名线人的身份真实性,但没有一人实际参与调查或者决策,他们所能获得的信息可靠性存疑。同时,事件的起源,即那次闭门会议是在时任总统奥巴马和中国签订网络安全协议后不久召开,而信息安全威胁的缓和以及随之导致的相关情报机构的预算消减会不会使得相关人员有动机去误导彭博社的记者?

然而彭博是一家拥有悠久声望的财经新闻社,其内部以对错误的零容忍政策闻名,她有 2000 人的记者团队,多层编辑审核,其内部的法律审查绝不会比这几家科技公司更为松懈。作为一家能够左右金融市场的新闻机构,她对这篇文章进行了长达两年的调查和撰稿,很难相信会去发布一篇有明显纰漏的报道。另一方面,亚马逊和苹果公司一反常态进行了坚决否认,彻底断送了事件被证实后逃避投资者诉讼的可能性。无论哪方偏离了事实,所产生的后果都会是十分巨大的。"

安全
pigsrollaroundinthem(39396)
发表于2018年10月05日 13时50分 星期五
来自超微要破产英特尔没事
美味☆砂糖 写道 "彭博商业周刊报道中国对硬件供应链的攻击,直接导致亚马逊、苹果和超微三家公司的股票大幅震荡,其中超微公司(NASDAQ: SMCI)在粉单市场的报价最低时只有 8.50 美元,重挫 60%(目前报价 12.60 美元)。如果中国实施了此类攻击,她是如何做到的?彭博社的报道中并未提及太多技术细节,但有一句话揭露了该攻击的实现方式:恶意芯片被植入了基板管理控制器(Baseboard Management Controller, BMC)。BMC 是服务器主板上的一块关键部件,也是智能平台管理接口(Intelligent Platform Management Interface, IPMI)的基础。BMC 自带一套完整的网络栈,有自己的 KVM、串行控制台和电源管理,相当于「机器内的另一台机器」。有了 BMC,即便服务器因为系统损坏而无法访问,管理员无需亲自到机房也能通过网络远程连接服务器的 IPMI 界面来监控硬件信息和软件状态、变更配置文件、重启设备甚至重新安装操作系统,以近似物理连接的方式操作服务器。安全研究人员认为,恶意芯片被植入在 BMC 芯片和关联的 SPI 缓存或 EEPROM 中间,这样当 BMC 试图从存储空间读取固件代码并执行的时候,恶意芯片便可拦截信号、修改比特流植入恶意代码以允许外部攻击者控制 BMC。拿下 BMC 后,攻击者便可修改宿主机的操作系统、加载含有恶意代码的额外存储空间、连接键盘和终端、操作主内存并注入代码、修改 CPU 指令等等。当 BMC 被攻破,整台机器都处在攻击者的掌控之下。通过攻击域外管理系统以夺取系统控制权的概念并不新鲜,类似的漏洞不止一次揭露,而硬件厂商向来不关注这类系统的安全性,但通过直接修改硬件进行攻击的手法却是头一遭。安全研究人员讨论了该硬件攻击的几种具体实现方法。"
安全
pigsrollaroundinthem(39396)
发表于2018年10月04日 23时55分 星期四
来自苹果也用 Windows
彭博商业周刊在报道了硬件供应链攻击之后,又报道了软件方面的供应链攻击。报道援引知情人士的消息称,超微公司(Supermicro)提供关键固件更新的在线入口 2015 年被来自中国的攻击者入侵,攻击者修改了服务器主板网卡的固件,允许其能悄悄控制服务器的通信。有至少两家客户下载了修改过的固件,其中一家是 Facebook。Facebook 证实有此事,但表示它只购买了少量超微硬件用于实验室的测试,没有用于产品。苹果否认它遭遇了服务器恶意芯片攻击,但承认遭遇过软件供应链攻击,事故发生在 2016 年,只影响实验室里的一台 Windows 服务器。苹果称这是它与超微终止合作的原因,否认恶意芯片是它与超微切断合作的原因。
安全
pigsrollaroundinthem(39396)
发表于2018年10月04日 21时22分 星期四
来自NSA 不以为然
彭博商业周刊报道了硬件供应链攻击,中国组装的主板被发现植入了微型芯片,黑客借此渗透进入了美国政府和大型企业的数据中心,受影响的企业包括了亚马逊和苹果,但两家公司都发表声明予以否认。报道称,亚马逊在 2015 年准备收购视频压缩技术公司 Elemental Technologies,这家公司曾为 CIA 的无人机视频传输提供了视频压缩技术,在评估阶段亚马逊雇佣了第三方公司检查其安全,在发现了一些令人不安的安全问题之后,Elemental 将其处理视频压缩的服务器打包送到第三方安全公司去详细检查。安全测试人员在主板上发现了原始设计所没有的米粒大小的芯片。调查人员发现芯片是在中国子承包商组装时植入进去的。这些主板都属于美国超微公司(Supermicro),超微是世界最大的服务器主板供应商之一,该公司的客户包括了银行、美国政府承包商、亚马逊苹果等大型企业。苹果在 2015 年原计划为其数据中心从超微订购超过 3 万台服务器,但在主板上发现恶意芯片之后苹果与超微终止了合作。亚马逊 AWS 此前在中国建立了数据中心,大量使用了超微的主板,在发现恶意芯片之后 AWS 安全团队对中国数据中心的主板进行了检查,发现了更多设计巧妙的恶意芯片,AWS 最终将整个中国数据中心都出售给了中国公司。报道称,这些芯片是中国军方设计的,部分芯片的外形类似信号调节耦合器,集成了内存、网络功能和发动一次攻击所需的足够处理能力。当植入的芯片激活后,它会修改操作系统内核,使其能接受修改。芯片还会尝试联系攻击者控制的服务器接收更多指令。美国政府官员称,中国的目标是获取高价值的企业机密和渗透进入敏感的政府网络,目前已知没有消费者数据被盗。
安全
pigsrollaroundinthem(39396)
发表于2018年10月03日 16时34分 星期三
来自
HardenedLinux 写道 "美国安全厂商PreOS Security在2018年感谢系统管理员日为系统管理员们献上了一份大礼:以创作共享许可证发布的电子书《Platform Firmware Security Defense for Enterprise System Administrators and Blue Teams》,本书全面的介绍了平台固件安全的现状,平台固件已经深入到了计算机的方方面面,包括传统的BIOS/UEFI,电源管理ACPI,基于TPM的传统可信根方案,GPU,NIC网卡,硬盘,以及带外管理系统BMC和Intel ME等,众多的固件实现暴露了极大的攻击平面,本书也介绍了关于平台固件防御的一些方案。企业用户在平台固件生态中扮演着很重要的角色,他们作为OEM厂商的客户提出对于安全性和开放可审计性的需求,随着NIST SP 800-193的定稿,更多的厂商加入到了开放安全硬件的生态中,越来越多的企业用户开始把固件加入硬件生命周期管理。经过了Ring -2的威胁以及Ring -3的暗影恶魔多年的"洗礼",HardenedLinux除了在技术方案的进化外也希望能够让更多的个人用户以及企业用户重视固件安全,HardenedLinux社区的翻译项目维护者已经把这本书翻译成了中文版供更多读者参考。"
安全
pigsrollaroundinthem(39396)
发表于2018年10月03日 09时20分 星期三
来自
HardenedLinux 写道 "俄罗斯厂商Positive Technologies的安全研究人员公开了借助Intel ME的制造模式俄文版本)实现INTEL-SA-00086的漏洞利用,INTEL-SA-00086是Positive Technologies的安全研究人员于2017年12月公开的一组针对Intel ME各种实现的漏洞,版本跨度很大,影响到了数十年前的Core系列到较新的Apollo Lake,而且这个漏洞即使在开启NSA的隐藏开关HAP的情况下也可以被成功利用,Intel ME的制造模式是工厂在制造过程中用于配置和测试用的,通常应该在出厂前关闭,但Intel并没有在任何公开的文档中谈到制造模式的安全风险问题。研究人员发现一些苹果笔记本电脑(CVE-2018-4251)并没有关闭ME制造模式,攻击者可以使用HECI指令HMRFPO实现INTEL-SA-00086所需要的篡改操作。用户可以使用mmdetect工具来检测自己的机器是否存在这个漏洞。这种攻击范式在HardenedLinux的威胁模型中,即使2017版的Hardening the COREs也能免疫。"
Facebook
pigsrollaroundinthem(39396)
发表于2018年09月29日 11时26分 星期六
来自动作迅速
Facebook 举行新闻发布会(发布会文字记录,PDF 格式),宣布遭到网络攻击,可能有多达五千万用户信息泄露,它已经根据欧洲数据保护法规 GDPR 要求通知了爱尔兰数据保护委员会。漏洞是三个 bug 组合的结果:第一个 bug 与 View As 功能有关,View As 允许用户以他人的角度查看自己个人主页,在特殊情况下 View As 会展示视频上传功能(比如鼓励用户发生日快乐祝贺);第二个 bug 存在视频上传功能中,它不正确的使用了单点登录功能,会产生访问令牌,访问令牌可以让浏览器记住用户的登录状态;第三个 bug 是 View As 显示的视频上传功能不是为你而是为你查看的特定用户产生访问令牌。存在漏洞的 View As 工具是在 2017 年 7 月加入到系统中的,9 月 16 日 Facebook 监视到了异常活动,9 月 25 日它发现了攻击以及攻击使用的漏洞。它迅速修复了漏洞并通知了执法部门,重置了受影响的五千万用户的访问令牌,并出于谨慎考虑重置另外四千万过去一年使用该功能的用户的访问令牌。大约有九千万用户需要重新登录。Facebook 还临时关闭了 View As 功能。
安全
pigsrollaroundinthem(39396)
发表于2018年09月28日 22时55分 星期五
来自
HardenedLinux 写道 "ESET团队近日曝光了一个有规模利用的UEFI恶意固件样本LoJax,此恶意固件应该是由Sednit(又名APT28)组织打造用于配合恶意软件持久化控制受害者计算机,整个恶意植入的流程大概如下:检查固件安全设置是否正确,如果未正确设置(比如没有写保护)就直接写入恶意模块到SPI flash中,如果正确设置的情况下则使用CVE-2014-8273漏洞利用进而完成恶意模块植入。基于UEFI的rootkit成为了Sednit恶意软件体系重要的组成部分,关于其他部分的描述可以参考ESET给出的信息。此次曝光的攻击是针对Windows的机型,但由于其固件的特性可以很轻松的移植到其他平台,HardenedLinux社区的建议是常规的固件安全审计,以及基于包括自由固件在内的定制方案( hardenedboot),更多的方面可以参考NIST SP 800-193合规指南的建议。"
安全
pigsrollaroundinthem(39396)
发表于2018年09月27日 13时23分 星期四
来自大刀砍向北极熊
俄罗斯政府黑客 APT 28 (aka Fancy Bear)利用恶意程序 VPNFilter 在全世界感染了 50 万路由器,被感染的路由器品牌包括 Linksys、MikroTik、Netgear、TP-Link、华硕、华为、中兴和 D-Link 等。思科研究人员此前从 VPNFilter 中发现了一个中间人攻击模块 ssler,攻击者能利用该模块向通过被感染路由器的流量注入恶意负荷,它甚至能悄悄修改网站发送的内容。现在,思科 Talos 团队的研究人员又从 VPNFilter 中发现了 7 个不同的网络漏洞利用模块,这一发现显示 VPNFilter 是作为一个长期使用的网络漏洞利用和攻击平台开发的。新发现的攻击模块包括:重定向和检查未加密内容的 htpx;远程访问设备的 SSH 工具 ndbr;用于侦察的网络映射模块 nm;能用于屏蔽地址的防火墙管理工具 netfilter;流量转发 portforwarding;将入侵设备变成 SOCKS5 VPN 代理服务器的模块 socks5proxy;在入侵设备创建 Reverse-TCP VPN 的模块 tcpvpn。
安全
pigsrollaroundinthem(39396)
发表于2018年09月25日 16时22分 星期二
来自用两部手机,确保不要拿错了
当警察在你的手机上强行安装应用,你怎么做才能最小化影响?毫无疑问,卸载并不会完全解决这个问题,因为警察随时可能抽查你的手机然后再次安装间谍软件,所以理想化的情况是让间谍软件能正常工作但不会真正监视到你。在编程问答社区 Stackexchange,用户们热烈讨论在这一条件下如何保护个人信息的安全。一些人的建议是手机上安装两个 ROM,类似 PC 的双启动,外出时使用安装了间谍软件的干净 ROM,在家时使用另外一个 ROM,但要时刻记住手机使用了哪个 ROM 未必轻松。而纂改间谍软件可能会给你带来更多麻烦。
安全
pigsrollaroundinthem(39396)
发表于2018年09月25日 12时27分 星期二
来自谷歌在新加坡没被屏蔽
腾讯的一位安全工程师在出席新加坡举行的网络安全会议期间将入侵酒店 WiFi 系统作为消遣,他还写了一篇博客介绍了入侵经过。通过搜索 Google 他发现酒店管理系统使用的默认账号密码 console / admin 和 ftponly / antlab 没有被禁用,使用默认账号他找到了系统的更多信息,并搜索到了数据库密码,登录数据库后找到了管理员密码,他把这些信息都公布在了个人博客上。他的博客引起了新加坡网络安全局的注意,新加坡检方称公开这些信息意味着酒店的 WiFi 系统可能会被其他人用于恶意目的。这名工程师承认了罪名,由于他是出于好奇而且没有造成有形的伤害,他免于刑期只被罚了 5000 美元
安全
pigsrollaroundinthem(39396)
发表于2018年09月21日 21时12分 星期五
来自为了人民的安全选择 123456
加州参议院向州长 Jerry Brown 递交法律草案,要求联网硬件产品的制造商必须使用独一无二的预编程密码,或者在用户第一次使用时要求更改密码。如果州长签署法案将其变成法律,那么它将于 2020 年生效。批评者认为草案的措辞模糊,也不清楚它将如何执行和监管,而且它也不足以确保硬件制造商不会在设备中包含不安全的功能。这就像是节食,节食的关键是少吃,但如果你只强调吃某些类型的食物而不是少吃,那么这种节食是没有效果的。
安全
pigsrollaroundinthem(39396)
发表于2018年09月20日 20时09分 星期四
来自人人共享人人受益
Securify 的安全研究人员披露了西部数据 My Cloud 的一个漏洞,编号为 CVE-2018-17153 的漏洞允许未经授权的攻击者绕过密码检查以管理员权限登录访问联网的 My Cloud 设备,攻击者可以浏览和拷贝上面所有储存的数据,也能覆写和删除数据,它变成了所有人的“云”。攻击者只要向设备的 Web 界面发送包含 cookie username=admin – 的 HTTP CGI 请求就能以管理员权限登录。研究人员在今年 4 月就向西部数据报告了 bug,但五个月后仍然没有回应,于是他们就公开披露了漏洞。西部数据目前也没有做出回应
安全
pigsrollaroundinthem(39396)
发表于2018年09月20日 12时28分 星期四
来自不是新蛋无能是对方太狡猾
美国消费者电子产品零售商新蛋的结帐页面被植入了窃取信用卡数据的恶意代码,时间长达一个月之久。安全研究人员发现,新蛋的结帐页面被植入了 15 行 JS 代码,将信用卡号码和其它数据转发到一个域名形似新蛋的服务器。攻击者使用的域名 weggstats.com 托管在荷兰公司 WorldStream 的服务器上,它是在 8 月 13 日注册的,使用了 Comodo CA 签发的有效证书。安全研究人员称,代码是在 8 月 16 日被嵌入到了新蛋结帐页面 CheckoutStep2.aspx 的,直到 9 月 18 日攻击代码才被新蛋移除。使用第三方支付的用户应该没事。新蛋表示将会尽可能快的对敏感支付信息可能被盗的客户发出警告,它在周五发布 FAQ 回答相关问题。
安全
pigsrollaroundinthem(39396)
发表于2018年09月20日 10时40分 星期四
来自国家机密曝光
中国的企业通常不敢抵制政府的要求,当这些企业成为跨国企业之后,它们与政府的这种关系在其他国家引发了安全方面的担忧,华为就是一个典型的例子。如果中国政府要求企业在其产品中植入后门,它们是否不得不这么做?在上周举行的一个发布会上,联想的高管被问到了这个问题。联想负责数据中心业务的 CTO Peter Hortensius 指出,联想在不同国家的高管通常是该国的居民,遵守当地的法律法规,如果当地法律禁止后门,他们不会放置后门,如果中国政府要求在中国的产品中植入后门,那么在中国的每一家跨国企业都只能做同样的事情。但联想不会在全球范围提供后门,他们除了遵守法律也会遵守法律的伦理和精神。
安全
pigsrollaroundinthem(39396)
发表于2018年09月19日 15时40分 星期三
来自
上月底,有黑客被发现正在“中文暗网市场交易网站”出售华住集团旗下酒店的数据库。泄漏的数据多达 5 亿条,包括姓名、身份证信息、手机号、卡号等信息。华住集团当时发表声明称已经报案。现在,它更新了调查进展,称犯罪嫌疑人已经被捕,但未透露更多细节。最新声明称,“根据公安机关的最新消息,目前案件已告破,在暗网上试图兜售数据的犯罪嫌疑人已经被缉拿归案,其企图之交易未果。犯罪嫌疑人还利用舆论声浪,对华住进行敲诈勒索,未遂。目前,公安机关在进一步的侦办中。根据中国法律和公安机关的要求,案件侦查过程中不得有更多的信息披露;关于犯罪嫌疑人在暗网上的宣称是否真实,是否存在数据泄露等各界关心的问题,需要等待案件侦办完成后才能正式发布。”暗网是基于 Tor 匿名网络,用户通过 Tor 访问通常会隐藏真实的地址,目前还不知道黑客身份是如何暴露的,但根据声明看起来对方曾联络华住,这显然会留下更多的痕迹。
比特币
pigsrollaroundinthem(39396)
发表于2018年09月14日 15时43分 星期五
来自零成本挖矿
流行的开源多媒体播放器 Kodi 支持扩展,部分扩展支持盗版内容,因此连带着 Kodi 也成为版权方打击的对象。这些扩展可以在第三方扩展库下载,而这些扩展库的管理并不那么严格。ESET 的研究人员发现, Bubbles、Gaia 和 XvBMC 中的部分扩展隐藏了恶意代码,会激活 Kodi 下载第二个扩展,安装挖矿程序,挖掘门罗币。Bubbles、Gaia 和 XvBMC 已经下线,但不是因为安全问题而是因为版权投诉。Kodi 支持多个平台,而挖矿程序支持 Windows 和 Linux。研究人员发现挖矿程序感染了超过 4,700 名受害者,产生了 62 个门罗币,价值约 7000 美元。