绿盟科技发布了本周安全通告,周报编号NSFOCUS-17-08,绿盟科技漏洞库本周新增42条,其中高危22条。本次周报建议大家关注 Linux本地提权漏洞 CVE-2017-6074 。目前漏洞修复补丁已出,强烈建议用户对受影响的系统进行更新。。 焦点漏洞 Linux本地提权漏洞 NSFOCUS ID 35977 CVE ID CVE-2017-6074 受影响版本 Redhat、Debian、OpenSUSE和Ubuntu等主流Linux发行版本 漏洞点评 Linux内核的DCCP协议实现存在缺陷,如果DCC…
你去年去过夏威夷吗?夏威夷旅游公司 Roberts Hawaii 正警告并通知客户——其公司发生了数据泄露 事件,从 2015 年 7 月至 2016 年 12 月购买旅行团服务的顾客都受到影响,泄露的数据包括姓名、地址、电子邮件地址、电话号码、支付卡号、到期日期和安全码。 Roberts Hawaii 公司在收到客户信用卡欺诈费用报告后才意识到问题。这些欺诈费用都发生在客户在 Roberts Hawaii 网站消费后。Roberts Hawaii 发现网络犯罪分子在公司的网络服务器上植入了恶意代码,该代码可在客户…
俄罗斯当局逮捕了两名 FSB 高级网络安全官员以及一名卡巴斯基实验室的员工。他们都由于一份七年前的指控被捕:做出有利于美国的叛国行为。据消息人士透露,嫌疑人可能将秘密信息传递给美国公司 Verisign 以及其他身份不明的美国公司,而这些公司与美国情报机构共享了这些机密信息。 当局还没有公开解释逮捕的原因,但有消息告诉路透社调查机构称,这次逮捕与 2010 年 Pavel Vrublevsky 发起的指控有关,Vrublevsky 是一个俄罗斯商人也是在线支付公司 ChronoPay 的创始人。 美国公司 Veri…
俄罗斯正在禁药危机的泥淖中难以自拔,欧美世界又曝出了有关违规用药的消息。 据2月26日,英国《每日邮报》援引《星期日泰晤士报》报道,奥运四金得主、著名英国长跑运动员莫·法拉的美国教练阿尔贝托·萨拉扎尔,涉嫌对运动员违规使用药物。而莫·法拉的身体也可能会有“潜在的风险”。 据报道,黑客组织“奇幻熊”截获了美国反禁药机构有关此事的报告,并将其透露给了英国媒体。 该报告中称,萨拉扎尔和他的运动员,在没有明显医学需要的情况下,以违规的方式使用了一种名为“左旋肉碱”(L-carnitine)的合法药物,以此来提升运动员的竞技…
美五角大楼宣布开源代码库:正在征询意见 五角大楼宣布了开源代码网站 Code.mil(或 github.com/deptofdefense/code.mil),将用于公开联邦雇员开发的非保密软件代码。 目前该项目还只是一个雏形,还没有公开代码。五角大楼正在征询有关开源代码授权协议的意见,根据代码授权的其中一个提议,这些公开的代码没有版权的。 也就是说美国公民可自由的将这些公开的代码用于私人项目或公共项目。 国防部在GitHub中发布的公告 欢迎来到Code.mil——国防部开放源码实验 美国国防部(DOD)在开源代…
上周四Google与荷兰研究机构CWI宣布首例SHA-1碰撞攻击实例。仅仅一天后的周五就出现了首个碰撞攻击的攻击受害者:WebKit 项目使用的开源版本控制系统Apache SVN,引发业界讨论。SHA-1遭碰撞后,我们的网络空间还安全吗? 上周五,SHA1 碰撞攻击出现了第一位受害者:WebKit项目使用的开源版本控制系统 Apache SVN(或 SVN)。虽然这个问题是发生在WebKit SVN上的,但它能影响全世界的版本控制系统。 程序测试导致代码仓库崩溃 事情的起因是WebKit的工程师想要看看WebKi…
随着MongoDB, ElasticSearch, Hadoop, CouchDB和Cassandra服务器的的沦陷,MySQL数据库成了攻击者的下一个猎杀目标。他们劫持了数百个MySQL数据库(也可能是上千个),删除了存储数据,并留下勒索信息,要求支付0.2比特币的赎金(约为235美元)。 PLEASE_READ.WARNING 攻击由2月12日凌晨00:15发起,在短短30个小时内,攻击者拿下了成百上千个暴露在公网的MySQL服务器。经调查人员发现,在此次勒索攻击中,所有的攻击皆来自相同的IP地址,109.23…
0×01 前言 之前发了一篇关于反射DDOS攻击原理以及反射资源扫描的文章,本来今天的这个应该并到那篇文章里,共称为反射DDOS攻击扫描与利用,但是我怕这样做会教坏小孩子,我发第一篇DDOS文章的时候freebuf就502了。。。。。凑巧了,弄得我都不敢发利用代码了,但是我想了一天以后我觉得我还是发出来吧,毕竟我写的也不好,没必要藏着掖着的,我还会把payload去掉,让大家自己填写,这就不算是我搞破坏了。废话不多说了,赶紧发完下班了。 0×02 代码的使用方法 首先,我这是在linux环境下写的,开始我用wind…
前言 用过暴力破解工具 hashcat 的都知道,这款软件的强大之处在于它能充分利用 GPU 计算,比起 CPU 要快很多。所以在破解诸如 WiFi 握手包、数据库中的口令 Hash 值时,能大幅提高计算效率。 当然 GPU 仍属于通用硬件,显然还不是最优化的。要是为特定的算法打造特定的硬件,效率更是高出几个量级。比特币矿机就是很好的例子。 硬件的仍在不断进步,系统安全等级若不提高,暴力破解将会越来越容易。因此,一种能抵抗「硬件破解」的 Hash 算法,显得很有必要。 时间成本 在探讨如何对抗硬件之前,先来讲解过去…
国产软件往往会申请与之功能不符的权限,读取着用户手机信息,开机后就驻足系统,这些对于注重隐私的用户来说都是问题。如何“干净”地安装国产流氓软件呢?笔者整理了一些思路供大家探讨。 国产app的全家桶问题一直被大家诟病,一个应用启动后就会“唤醒”其“家族”内的其他应用,有时还会通过其他方式确保应用始终在后台运行;与此同时,很多应用还会申请与之功能完全不符的权限,这些严重破坏了Android系统的体验。 要获得一个纯净的体验,我们需要解决的是两种问题,首先是软件自启动、驻足后台、频繁唤醒;其次是应用对手机信息的读取。对应…
为了揪出白宫内部向媒体通风报信的员工,美国总统唐纳德·特朗普的发言人肖恩·斯派塞突击检查了几十名员工的手机,誓言将严打泄密者。令白宫尴尬的是,这一试图“封口”的做法也迅速地传进媒体的“耳朵”。美国多家媒体26日爆料,作为白宫新闻秘书,斯派塞把20多名员工叫到办公室开“紧急会议”,表达对泄密行为的失望。他要求这些员工拿出工作手机和私人手机,查看是否通过加密、阅后焚毁软件暗中同记者联系。 “政治”网站报道,一名知情者说,这些员工一进门就按照指示把手机放到桌子上。身上所有电子设备被逐一搜查。斯派塞在此之前咨询过白宫法律顾…
E安全2月28日讯 vBulletin(简称vB)是世界上用户非常广泛的PHP论坛,很多大型论坛都选择vBulletin作为自己的社区。然而最近有消息指出,该程序旧版本中存在的严重安全漏洞允许黑客轻松入侵任何未升级至最新版本的论坛当中。 最近,一位名为“CrimeAgency”的黑客在Twitter宣称,其已经成功入侵了总计126个基于vBulletin的网络论坛并窃取到相关管理员及注册用户个人数据,且计划将这些资讯泄露至某地下黑客论坛当中。 这部分数据以.txt文件的形式被上传至入侵表单当中 此番黑客攻击发生在2…
E安全2月28日讯 美国国防部(DoD)宣布推出Code.mil,这是一个开源计划,允许世界各地的软件开发人员合作,为美联邦编写的非保密代码做出贡献,从而支持国防部项目。 美国国防部推出Code.mil网站(美国国防部的开源实验) 美国国防部与GitHub合作,尝试促进私营部门软件开发人员和联邦雇员在国防部内部构建的软件项目有更多合作。Code.mil的URL将用户重定向到GitHub代码托管平台,其中将包含国防部的一系列项目代码,供软件开发人员查看,并提出修改建议。目前项目还只是一个雏形,还没有代码公开。 美国国…
E安全2月28日讯 上周提交给英国议会监狱和法院法案(Prisons and Courts Bill)将允许移动网络在监狱外部署IMSI捕捉器监控手机用户。 IMSI捕捉器是一款监控设备,可用来拦截移动电话流量、通话,并追踪移动手机用户的动向。IMSI捕捉器可充当伪造手机信号塔(位于移动电话和服务提供商信号塔之间)实施“中间人”(MITM)攻击。部署IMSI捕捉器旨在防止、侦查或调查移动手机在监狱的使用情况。 这是一项新举措,因为在过去,按照2012监狱法(无线电话干扰)(Prisons (Interference…
据美国彭博社2月27日报道,印度2009年创建了一个生物识别系统收集公民个人数据用于政府福利发放,但该系统并不十分完善,信息泄露的风险值得担忧。去年十一月印度又开始逐步推行一项新计划希望减少现金交易活动,更多人的个人信息将进一步被收录到上述系统中,但此举或意味着印度更多人的信息可能有遭泄露的风险。 印总理莫迪团队投票竞选经理辛瓦姆•辛格上周收到一封邮件,内容包括姓名、地址、电话号码、银行流水以及金融投资记录,但这些信息没有一个是关于他的。这封邮件来自印度的全国性生物识别项目——“独特身份系统”。这些信息似乎是属于一…
几周前谷歌Project Zero公布了其在Windows 10中发现的一个漏洞,微软承诺将通过3月14日的例行Windows安全补丁提供修补。而现在,Project Zero团队再次对外公布了一项微软相关的安全漏洞,此次为IE/Edge浏览器相关的漏洞“CVE-2017-0037”,由该团队的Ivan Fratric发现,如果被黑客利用将可执行任意代码,Fratric还公布了概念验证式破解演示。 概念验证式破解中,Fratric使用了Windows Server 2012 R2系统的64位IE版本,32为IE以及…
提到手机上的安全威胁,很多人首先想到的是诈骗电话、诈骗短信,手机木马似乎在公众视野中正在淡去。但是,手机木马威胁力真的降低了吗?近日,360手机卫士发布了《2016年安卓恶意软件专题报告》,就2016年恶意软件总体态势、流行木马、开发技术、传播技术、移动黑产进行了研究探讨,发现2016年钓鱼软件、勒索软件、色情播放器软件等成当红木马,从整体态势看,恶意软件仍旧以每天70万人次的感染量侵袭手机用户。 手机木马进入平稳高发期 仍以“金钱”为目的 如今恶意程序的整体数量和感染量都在逐渐减少,360手机卫士报告显示,20…
新的报告表明,对卡巴斯基实验室计算机事件调查组组长Ruslan Stoyanov以及俄罗斯联邦安全局的另外两名官员提出的叛国罪指控与7年前当地商人的指控有关。路透社报告说,调查相关的资料表明,商人Pavel Vrublevsky,卡巴斯基专家和其他两名国家安全官员被怀疑向美国Verisign公司以及其他身份不明的美国公司传递秘密。 该信息最终以美国情报机构寻求收集更多关于俄罗斯的信息结束。2010年俄罗斯指控俄罗斯商人Pavel Vrublevsky将俄罗斯国家机密泄露给美国公司。最初斯托扬诺夫,与俄罗斯联邦安全局…