E安全2月9日讯 美国总务管理局(U.S. General Services Administration,GSA)跟随联邦政府机构的大潮流,招募白帽子黑客寻找漏洞,以此提高系统安全性。 今年早些时候,GSA的技术改革服务部(Technology Transformation Service,TTS)在开源GitHub项目上发布草案征集,期望潜在的资深厂商帮助GSA建立自己的漏洞悬赏计划。TTS要求有关各方1月30日之前提供反馈意见。 漏洞悬赏的概念非常简单:雇用或未发现漏洞的白帽子黑客给予奖励。这是众包网络安全概…
综合CA及代理商消息,证书颁发机构理事会(Certificate Authority Security Council)近期发布了首个关于代码签名的标准化准则。Microsoft 作为第一个采用并实施该最低要求准则,设置合规截止日期为2017年2月1日。 根据这一准则要求,代码签名证书(私钥)必须存储在硬件令牌(USBKEY)或HSM中,在2017年2月1日后签发的所有代码签名数字证书都必须使用USBKEY硬件存储保护证书私钥,以降低私钥被窃的可能性。(当前全球CA签发的EV代码签名数字证书已全部实现硬件令牌) 目…
E安全2月8日讯 国外安全研究人员发现一款名为MacDownloader的Mac OS恶意软件代理(Malware Agent),其已经被实际应用于国防工业领域,另有报道称有人利用其攻击某位人权倡导者。有趣的是,MacDownloader会伪装为Adobe Flash安装工具以及Bitdefender恶意软件清除工具,并借此提取系统信息以及Mac OS X系统中的钥匙串数据库副本。根据对基础设施及代码状态的观察,安全研究人员认为这些事件代表着攻击者对该代理的首次部署尝试,且其尚不具备持久性等其它特性。相反,MacD…
0x00 前言 在两周前,来自Windows攻击安全研究团队(OSR)发布的关于加固Windows 10对抗内核利用:https://blogs.technet.microsoft.com/mmpc/2017/01/13/hardening-windows-10-with-zero-day-exploit-mitigations/https://blogs.technet.microsoft.com/mmpc/2017/01/13/hardening-windows-10-with-zero-day-exploit…
引言 从版本4.4开始,GNU bash在路径补全功能就存在两个bugs,这会触发一个代码执行漏洞。通过创建拥有特制名字的文件或目录可以触发这个漏洞。用户可以通过按Tab键使用GNU bash的内置路径完成功能(如使用rm命令来删除它),这将触发漏洞但不执行命令本身。在2015五月, devel-branch介绍了该漏洞。 描述 如果创建一个有双引号(”)的文件,这个漏洞就会发生的,这个双引号遵循GNU bash的内置命令替换功能( ‘<command>‘ 或 $(<command>))。双…
从2017年1月(Chrome56)开始, Google Chrome56将强制http标识为不安全 ,知乎上@车小胖 同学用一个汽车拉苹果的例子,很形象的说清楚了https与http的区别。虽然https很安全,但也不是绝对可靠。 https和http有什么区别 记得小时候,敞篷卡车从果园拉着一车车的苹果,运到码头上,然后再装载到万吨货轮上运往上海。但运往码头的最后一公里,道路坑坑洼洼,卡车会放慢速度,这时就会有一些青少年爬上货车,从袋子里拿苹果吃,每次都会有一袋或几袋被开包,为此运输公司非常苦恼。 后来为了减少…
洲际酒店集团( IHG )上周证实,旗下在北美和加勒比的 12 家酒店的支付卡系统遭入侵、客户信用卡信息泄露。 1 月 1 日本站就曾报道,安全网站 KrebsOnSecurity 的调查员 Brian Krebs 收到多个金融机构反欺诈部门人士提供的信息,并暗示犯罪分子通过洲际酒店集团系统的某些漏洞获取了客户信用卡信息,并进行了消费提现。洲际酒店立刻进行了调查。 据洲际酒店公布的消息,在 2016 年 8 月至 12 月期间在这 12 家酒店使用信用卡支付的客户都遭到数据泄露,泄露信息包括数据包括持卡人姓名、卡号…
英特尔 Atom C2000 芯片家族存在缺陷会导致使用该芯片的产品停止工作。芯片巨人没有披露受影响的产品和存在缺陷的芯片数量,但已经预留了一笔资金处理该问题。 在这之前,思科发出警告称, 2016 年 11 月 16 日前出售的路由、光网络和交换机产品包含了一个有缺陷的时钟元件,会导致设备在运行 18 个月后加速发生故障。思科没有披露元件供应商的名字,但根据芯片巨人自己公布的 Atom C2000家族 修订版文档,英特尔就是思科的供应商。英特尔在文档中称,缺陷可能会导致 Atom C2000 Low Pin Co…
据外媒报道,美国众议院当地时间 6 日投票表决,未来执法当局在搜查科技公司的旧电子邮件前,须先取得搜查令。报道称,对担心特朗普政府可能着手扩大政府监视权限的人士来说,这是他们维护个人隐私努力所取得的一项胜利。 据悉,众议院是以口头表决通过了这项措施。但预计该立法在参议院会遭遇阻力。去年,该法案在众议院获得一致通过后,却因遭少数共和党议员反对,而在参议院触礁。 微软等科技公司已游说国会多年,希望通过电邮隐私法案,更新一项已有数十年历史的法律,强制当局须先取得搜查令,才能拿到时间至少已有 180 天的电邮或其他数码通讯…
上周,本站曾报道过 WordPress 修复了 REST API 引起的零日漏洞。据 Sucuri 最新报道,漏洞被披露后,黑客开始尝试扫描、利用漏洞,并成功入侵了众多 WordPress 4.7.0 和 4.7.1 版本网站。 安全公司 Sucuri 监测到的 WAF 网络被攻击趋势 该漏洞于 1 月 26 日修复并于 2 月 3 号披露详情,漏洞可导致远程权限提升和内容注入,WordPress 所有文章内容可以未经验证被查看,修改,删除,甚至创建新的文章,危害巨大。漏洞被披露后不到 48 小时,众多漏洞情报平台…
美国媒体2月6日报道,总部位于美国的电视生产商Vizio因涉嫌非法搜集用户收视数据,同意支付220万美元就相关指控达成和解。 美国联邦贸易委员会指认,Vizio公司的智能电视技术捕捉收视数据,把它传回公司服务器。 联邦贸易委员会说,这些数据被出售给第三方。 Vizio则说,这些传回的数据并未与用户信息一对一匹配。Vizio在声明中写道:“公司从未把收视数据与个人可识别信息配对,例如姓名和联系方式。” 联邦贸易委员会说,Vizio自2014年2月起搜集用户收视数据,影响面波及大约1100万台电视机。 联邦贸易委员会在…
摘要:一项由RiskBased Security所做的调查显示,微软于2016年全年修补的安全漏洞总数比2015年的有所增加,而在历史漏洞数排名表格中,Internet Explorer和Windows 10分别位居第一和第二。这个结果令人有点吃惊Windows 10系统于2015年7月才推出,而它的历史安全漏洞数已经排在第二,共有705个。Windows 7系统则排在第四,共有647个。 具体地来说,2015年微软修补的安全漏洞总数为703,2016年这一数字增加到729。而在2014年时,这一数字只有383,也…
勒索软件折磨我们已经有些年头了,但是在这最近的两年里,勒索软件已经迅速发展成为了政府机构、商务企业和用户所面临的最严重的安全威胁之一,而这种发展趋势在2017年也丝毫不会减弱。勒索软件的开发者是非常富有创造力的,他们会在自己的勒索软件中加入最新的网络攻击方法,并且采用极其复杂的自我保护技术来避免安全防护软件的检测。 Koolova新奇的之处 勒索软件是恶意软件的一种,它会使用非常健壮的加密算法来对你设备中的文件进行加密,然后要求你以比特币的形式支付数据赎金。在支付了赎金之后,你才能获取到解密文件的密钥,否则你可能永…
本已处于休眠状态的MySpace最近因为黑客又火了一把,据统计,在2016年该社交媒体共有4亿2千7百万账号被窃取。据Forrester报告所说,这项纪录遥遥领先于其他被入侵的网站,MySpace在5次事件中统共被窃取了75%的用户数据。仅次于MySpace位于第二位的就是中国电商阿里巴巴,本次事故牵扯到9900万用户名和密码。 Forrester的报告中提到,在去年的12个月里,共有超过十亿数据被窃取,其中的95%属于科技公司,政府和零售行业。Forrester的研究小组还解释说,雅虎数据泄露并未在这次报告的统计…
E安全2月8日讯 周一,《华盛顿邮报》报道了一起安全事件,一名前NSA承包商雇员窃取超过50 TB的高度敏感数据。有消息称,这些数据包含“获取特定情报行动办公室”(Tailored Access Operations, TAO)超过75%的黑客工具。TAO负责开发并部署软件,用来渗透外国目标的计算机网络,从而实现间谍目标。TAO是NSA的精英黑客部门,每周7天、全天24小时轮班工作,大约19年前,该部门就已经成功渗透进中国的电脑和电信系统,获取了一些有关中国内部动向的最佳、最可靠的情报。 这名前NSA承包商名为哈罗…
E安全2月8日文 美国人嘲笑特朗普是文盲,不能接受现实,还开不起玩笑。 作为一个美国总统,这些确实令人担忧、困惑。但令网络安全专家不得其解的是:特朗普为什么推迟签署新的网络安全行政命令? 一份泄露的草案显示,这项行政命令将使美国政府部门负责人对计算机安全问题比以往任何时候更负责。先前有报道称,这项行政命令将要求政府高层领导人实施美国国家标准技术局(简称:NIST)制定的网络安全防御框架。 自上台以来,特朗普签署多条其它领域的行政命令——如移民禁令,并任命首席战略顾问斯蒂夫·班农(“白人至上主义者”)为美国国家安全委…
安全研究人员警告,世界各地的一百多家银行和金融机构感染了一种危险的复杂的恶意软件,几乎检测不到。俄罗斯安全公司卡巴斯基实验室周三详细介绍了他们的一些调查结果,表明一个或多个黑客群体针对至少140家银行和组织进行了这种攻击,旨在盗取凭证和金钱。 这种恶意软件特别狡猾,因为它属于一类“无文件”软件攻击程序,它完全存在于设备的内存中,几乎没有任何痕迹。这种类型的恶意软件不是全新的,但它的日益普及让安全研究人员和网络管理员非常担心,这种类型的恶意软件越来越受到网络犯罪分子的欢迎。 据报告,攻击者使用恶意软件监视受感染机器,…
霍尼韦尔( Honeywell )的一款基于 web 的 SCADA 系统存在一系列可远程利用的漏洞,攻击者可访问特定的 URL 获取密码。 据美国国土安全部的工业控制系统网络紧急响应小组( ICS CERT )报道显示,霍尼韦尔 XL Web II 控制器的某些版本存在五个漏洞,其中最可怕的是控制器的密码以明文存储。此外,攻击者可以通过访问特定的 URL 来打开和更改参数、建立新的用户会话、执行路径遍历攻击获取认证密码。 受影响的版本 XL1000C500 XLWebExe-2-01-00 及之前版本 XLWeb…
视频游戏反篡改保护公司 Denuvo 近日发生多起意外,先是其加密的《生化危机 7》上市不到一周就被国外知名破解组 CPY 攻破。昨天又被曝出网站配置错误,致使多个敏感目录文件可公开访问。 Denuvo 是奥地利一家软件解决方案股份有限公司。这家公司了发开发了一个名叫 Denuvo Anti-Tamper( Denuvo 反篡改)的技术可在 Windows 平台上能阻止对可执行文件进行调试、反向工程和修改。该技术可用来保护游戏的 DRM 不被绕过,像《古墓丽影:崛起》、《杀出重围:人类分裂》、《正当防卫 3》、《毁…
北约( NATO )协作网络空间防御卓越中心( CCDCOE )发布《 塔林手册2.0 》这是一部适合和平时期网络行动的国际法规则。 塔林手册是由埃克塞特大学国际法教授 Michael Schmitt 主导,辅以其他 19 位国际法专家撰写。虽然它没有法律地位,也不代表北约本身的意见,但是它已成为处理国际网络问题和参考的重要准则。塔林手册 2.0 最早启动于 2014 年初,国际专家组正式组成于 2015 年 3 月,参加活动的都是以个人身份而不是政府推荐。2015 年 6 月起,先后召开了三次国际专家组会议,每次…
漏洞信息 WordPress是一个以PHP和MySQL为平台的自由开源的博客软件和内容管理系统。在4.7.0版本后,REST API插件的功能被集成到WordPress中,由此也引发了一些安全性问题。近日,一个由REST API引起的影响WorePress4.7.0和4.7.1版本的漏洞被披露,该漏洞可以导致WordPress所有文章内容可以未经验证被查看,修改,删除,甚至创建新的文章,危害巨大。 官方公告:https://wordpress.org/news/2017/01/wordpress-4-7-2-sec…
几天前,福建省军区某部机关组织安全保密检查,保密参谋王建华查看一台笔记本电脑的网络设置情况时,意外发现有一个WiFi连接信号跳出,幸好“自动连接无线网络”选项处于关闭状态,不然还真有可能“被上网”。王参谋随即通知保密员,将办公区所有计算机的无线上网功能进行了清除或关闭。 该部领导得知这一情况后,指示保密部门对无线信号源进行追踪。他们探测发现,营区周边无线WiFi信号源达20多个,主要来自附近的星级酒店、电信移动营业厅以及周边居民楼,有几个WiFi无线信号甚至覆盖了半个营区,假如没有设密码,营区内配有无线网卡的电脑就…
Check Point 安全研究人员警告称,SQL Slammer,2003年1月25日肆虐整个互联网的蠕虫病毒,似乎又重新开始活动了。 该计算机蠕虫曾通过用大量网络包使服务器和路由器之类网络设备过载,造成全球上万台服务器发生拒绝服务现象。在首次出现的10分钟之内,SQL Slammer 就成功感染了其约7.5万受害者中的大部分。 SQL Slammer 基于大卫·里奇菲尔德在黑帽简报上演示的概念验证代码,主要内容是关于微软 SQL Server 和桌面引擎数据库旗舰产品中存在的缓冲区溢出漏洞。尽管在蠕虫袭击发生前…
谷歌的技术基础设施共同构建了搜索、邮件(Gmail)、照片等普通用户系统和G Suite 、谷歌云存储平台等企业系统,是谷歌数据中心的关键,是整个谷歌网络服务赖以存在的安全基础。FreeBuf在原文基础上,针对谷歌技术基础设施的安全设计作了简要分析与介绍,这些技术基础设施为谷歌全球信息系统提供了一系列安全防护,它们包括运行安全服务、终端用户数据安全存储、服务安全通信、用户安全通信和运维安全管理等。在介绍中,我们将围绕谷歌数据中心的物理安全、整体软硬件基础安全、技术限制和操作的运维安全进行逐层描述。 底层基础设施安全…
在防火墙设置中,implicit deny和explicit allow是两种核心的信息安全基础观念。但随着规模和复杂度的逐步扩大,我们发现我们需要允许的东西比我们要拒绝的东西要少得多得多。 这种对所有东西说“不”,除非我们知道它无害的规则在很多新的技术中都有应用,比如应用程序白名单、七层防火墙(WAF)、自适应认证等。我们的科技采用了新科技,但是我们在社交关系中却没有——随着攻击者越来越倾向于使用基于社交网络、社工技术,显然我们需要修改我们的行为方式,在处理与他人的社交关系时也需要采用白名单。 内部信任 就像我们…