安华金和 发布的文章

两位安全研究人员近日披露了一组漏洞,这些漏洞统称为 Dragonblood,影响了 WiFi 联盟最近发布的 WPA3 Wi-Fi 安全和认证标准。如果被利用,漏洞将允许在受害者网络范围内的攻击者获得 Wi-Fi 密码并渗透目标网络。

Dragonblood 漏洞组总共有五个漏洞,包括一个拒绝服务攻击漏洞、两个降级攻击漏洞和两个侧通道信息泄漏漏洞。尽管拒绝服务攻击漏洞并不重要,因为它只会导致与 WPA3 兼容的访问点崩溃,但其他四个攻击可以用于获得用户密码。

两个降级攻击和两个侧通道泄漏漏洞都利用了 WPA3 标准 Dragonfly 密钥交换中的设计缺陷,即客户端在 WPA3 路由器或接入点上进行身份验证的机制。

在降级攻击中,支持 WiFi WPA3 的网络可以诱导设备使用更旧、更不安全的密码交换系统,从而允许攻击者使用旧的漏洞检索网络密码。

在侧通道信息泄漏攻击中,支持WiFi WPA3的网络可以欺骗设备使用较弱的算法,这些算法会泄漏少量有关网络密码的信息。通过反复的攻击,最终可以恢复完整的密码。

来源:cnBeta.COM

更多资讯

中国蚁剑被曝 XSS 漏洞,可导致远程命令执行

4 月 12 日凌晨,有用户在中国蚁剑 GitHub 上提交了 issue,称发现中国蚁剑存在 XSS 漏洞,借此可引起 RCE。据悉,该漏洞是因为在 webshell 远程连接失败时,中国蚁剑会返回错误信息,但因为使用的是 html 解析,导致 xss 漏洞。

来源: FreeBuf.COM

详情: http://t.cn/E6su7SJ

欧盟向 Archive.org 发出数百份错误的“恐怖主义内容删除通知”

在近日的一篇博客文章中,该组织解释说,在过去的一周里,它收到了来自欧盟的 550 多封删除通知,这些通知错误地将 archive.org 上的数百个网址识别为“恐怖宣传”。

来源: cnBeta.COM

详情: http://t.cn/E6suUwE

美国司法部指控阿桑奇入侵机密电脑 最多入狱五年

美国司法部刚刚宣布,对维基解密联合创始人朱利安·阿桑奇提起刑事诉讼,指控他密谋入侵美国政府的一台机密电脑。美国司法部在一份声明中称:“这项起诉与阿桑奇被指控在美国历史上最大规模的机密信息泄露事件(之一)中扮演的角色有关。”

来源: 新浪网

详情: http://t.cn/E6suMTQ

PostgreSQL 辟谣存在任意代码执行漏洞:消息不实

近期在互联网媒体上流传 PostgreSQL 存在任意代码执行的漏洞:拥有 ‘pg\_read\_server\_files’ 权限的攻击者可利用此漏洞具备超级用户权限,执行任意系统命令。

来源:开源中国

详情:http://t.cn/E6suSIB

(信息来源于网络,安华金和搜集整理)

谷歌的在线生产力和协作平台 G Suite 迎来了一系列安全更新。本轮更新重点增强了公司数据的保护,既包括控制用户的访问权限,还可以通过提供新的工具来防止网络钓鱼和恶意软件攻击。今天谷歌发布了高级网络钓鱼和恶意软件保护 Beta 版本,旨在帮助管理员保护用户免受恶意附件和电子邮件欺骗等因素的影响。

其中最有趣的功能就是全新的安全沙盒,这是面向 G Suite 企业用户的另一项测试版功能。在对附件进行已知病毒和恶意软件的扫描之外,该沙盒还可以额外添加一层保护层。附件扫描无法完全保护您免受零日勒索软件或复杂恶意软件的侵害。因此在沙箱环境中执行附件,以检查是否存在任何安全问题。

此外在今天的更新中,谷歌还面向管理员推出了全新的安全和警报中心测试版。这些工具目的是创建一个包含最佳实践建议的统一服务,集成通知中心和相关工具,并且对威胁进行分类和采取措施,所有这些工作都侧重于管理员之间的协作。另外还有一个新的安全调查工具,主要侧重于允许管理员创建自动工作流以发送通知或将所有权分配给安全调查。

来源:cnBeta.COM

更多资讯

Mozilla 公布 DNS-over-HTTPS 政策要求

Mozilla 过去几个月在 Firefox 浏览器测试了更安全的域名解析方法 Trusted Recursive Resolver (TRR),通过 HTTPS 加密发出 DNS 请求。但显然为了保护用户隐私你不能任意选择一个 DNS 解析服务商。

来源: solidot.org

详情: http://t.cn/E6BM06u

研究人员报告新的针对工业基础设施的攻击

去年 10 月,安全公司报告,2017 年 8 月沙特石化工厂遭到的网络攻击与一家俄罗斯研究机构有关。攻击者使用的恶意程序设计关闭生产流程或让 SIS 控制的机器工作在不安全的状态下。安全公司将这个恶意程序命名为 Triton 或 Trisis。

来源: solidot.org

详情: http://t.cn/E6BM86d

“天才少年”炫技成“黑客” 检察机关帮教后成著名“白客”

正义网北京 4月 11 日电(记者胡玉菡)11 日,最高检联合共青团中央举行“汇聚各方力量、护航孩子成长”新闻发布会,联合发布十个未成年人检察社会支持体系建设工作典型案(事)例。其中提到,“天才少年”为炫技非法获取大量公民个人信息。检察机关对其作出附条件不起诉决定,又为其成立帮教小组。此后,“天才少年”协助警方破获特大网络传销案,由一名“黑客”变成全国著名“白客”。

来源: 最高检网站

详情: http://t.cn/E6BMBJ3

赛门铁克:三分之二的酒店网站泄漏客人预订详情并允许访问个人数据

赛门铁克首席安全研究人员 Candid Wueest 近日发文称,酒店网站可能会泄露客人的预订详情,允许其他人查看客人的个人数据,甚至取消他们的预订。在最近研究酒店网站上可能发生的劫持攻击时,Wueest 偶然发现了一个可能泄漏客人个人数据的问题。

来源: cnBeta.COM

详情: http://t.cn/E6BMFIv

(信息来源于网络,安华金和搜集整理)

雅虎再次试图就此前影响 30 亿账号大规模数据泄露集体诉讼提出和解,并将赔偿金提高至 1.175 亿美元。

据路透社 4 月 9 日报道,此次当天公开的集体诉讼和解方案旨在解决美国加州圣何塞地区法官 Lucy Koh 的批评。早先 1 月 28 日,Lucy Koh 否决了该和解协议的一个早期版本,称这一和解方案并非“基本公平、充分和合理”,因为它没有列出整体金额,也没有说明期望覆盖多少受害者。她还提到法律费用似乎过高。

此次新的和解协议依旧需要法官 Lucy Koh 的批准才能成行。

雅虎被指控 2013 年 - 2016 年期间的 3 次数据泄露事件信息公开太迟,这也是历史上最大规模的数据泄露,30 亿账号受到影响,数百万人的邮箱地址和其他个人信息被盗。

新的和解方案包括至少 5500 万美元用于受害者的自付和其他费用,2400 万美元用于两年的信用监控,以及高达 3000 万美元的法律费用和 850 万美元的其他费用。本案覆盖美国和以色列约 1.94 亿人,约 8.96 亿个账户。

原告律师 John Yanchunis 在一份法庭文件中称,1.175 亿美元是“数据泄露案中有史以来的最大共同基金”。他没有立即回应置评请求。

雅虎现在的母公司威瑞森通信(Verizon Communications)也同意在 2019 - 2022 年间投入 3.06 亿美元用于信息安全,这个数字是雅虎 2013 - 2016 年间的5倍。威瑞森还承诺,将雅虎信息安全领域的员工人数扩大成原来的 4 倍。

2016 年 7 月,雅虎同意将其互联网业务以 48.3 亿美元的价格出售给威瑞森,在此之后才披露了信息泄露的规模,这导致收购价格降至 44.8 亿美元。2017 年,美国检方起诉了其中一起数据泄露事件中黑进雅虎的两名俄罗斯特工,其中一名随后被判为有罪。

来源:澎湃新闻

更多资讯

流行开发工具 bootstrap-sass 被修改植入后门

全研究人员在官方的 RubyGems 库发现了后门版本的网站开发工具 bootstrap-sass。该工具的下载量高达 2800 万次,但这并不意味着下载的所有版本都存在后门,受影响的版本是 v3.2.0.3,研究人员呼吁用户尽可能快的更新,认为可能有数千应用受到影响。

来源: solidot.org
详情: http://t.cn/E6TbyjR

Mirai 新变种加入更多物联网设备

Palo Alto Networks 的研究人员报告了物联网僵尸网络 Mirai 的新变种,它加入了四种处理器 Altera Nios II、OpenRISC、Tensilica Xtensa 和 Xilinx MicroBlaze,这些处理器被广泛用于嵌入式系统,包括路由器、网络传感器、基带无线电和数字信号处理器。

来源: solidot.org
详情: http://t.cn/E6TbcRe

比特币经销商因未经许可的加密货币交易而被判两年徒刑

据外媒 The Verge 报道,一名 22 岁男子因出售未经许可的比特币被判入狱两年。他因没有在美国财政部下属的金融犯罪执法网络(FinCEN)登记的情况下进行比特币交易而被判有罪。

来源: cnBeta.COM
详情: http://t.cn/E6TbaIz

英国学生 Zain Qaiser 因勒索世界各地的色情网站用户而被判入狱

据 BBC 报道,一名使世界各地色情网站用户遭受网络攻击、并由此获利数十万美元的学生已被判入狱。来自伦敦巴尔金的 Zain Qaiser 使用他的编程技巧来欺骗世界各地色情网站的用户。调查人员已经发现了大约 70 万英镑的利润 - 但他的网络可能已经使他获利超过 400 万英镑。

来源: cnBeta.COM
详情: http://t.cn/E6TblQ1

(信息来源于网络,安华金和搜集整理)

程序员都是凡人,但数学则是不朽的。通过让编程变得更数学化,计算机科学家希望能消除向黑客敞开大门的编程错误。研究人员在 GitHub 上发布了加密工具 EverCrypt,向这个目标迈出了一大步。

就像证明毕达哥拉斯定理那样,他们能证明 EverCrypt 可完全避开多种黑客攻击。

EverCrypt 没有采用常见的编程方法编写,而是利用了形式化验证。他们首先明确代码能做什么,然后证明只能这么做,排除了代码在特殊情况下偏离的可能性。

EverCrypt 始于 2016 年,是微软研究院项目 Project Everest 的一部分,当时加密库是许多软件的薄弱环节,存在大量 bug。

来源:solidot.org

更多资讯

Google Chrome 等浏览器不再允许关闭点击跟踪

Chrome、Safari、Opera 和 Microsoft Edge 的新版本将不再允许用户关闭“ 链接审计 hyperlink auditing ”的功能。链接审计是一项 HTML 标准,被用于跟踪网站链接的点击。它通过创建特定网页的 POST 请求,用户检查请求头文件就可以了解点击的源地址。

来源: solidot.org
详情: http://t.cn/E6MkXbD

4 月编程语言排行榜:C++ 重回前三 PHP 呈下降势头

TIOBE 公布了 2019 年 4 月编程语言排行榜,总体排名变化不大,排名前十的分别是:Java、C、C++、Python、Visual Basic .NET、C#、JavaScript、SQL、PHP 和 汇编语言。不过与上期相比,依然有值得关注的亮点。

来源: cnBeta.COM
详情: http://t.cn/E6MkRBv

英国收紧社交媒体审查 向仇恨言论等网络安全问题说不

英国政府在网络安全方面将继续采取强硬立场,近期将会成立全球首家专门负责社交媒体公司的独立监管机构。对于没有达到要求的公司不仅要面临巨额的罚款,而且公司的高管负责人因工作疏忽需要承担个人责任。

来源: 开源中国
详情: http://t.cn/E6Mk1jH

研究人员发现中国企业简历信息泄露:涉 5.9 亿份简历

据美国科技媒体ZDNet报道,有研究人员发现,中国企业今年前3个月出现数起简历信息泄漏事故,涉及5.9亿份简历。大多数简历之所以泄露,主要是因为MongoDB和ElasticSearch服务器安全措施不到位,不需要密码就能在网上看到信息,或者是因为防火墙出现错误导致。

来源: 新浪科技
详情: http://t.cn/E6MksYr

(信息来源于网络,安华金和搜集整理)