Catalin Cimpanu 发布的文章

JavaScript、Ruby 和 Java 是间接依赖中存在缺陷最多的生态系统。

开源项目中的绝大多数安全漏洞都存在于间接依赖关系中,而不是存在于直接加载的组件之中。

“汇总所有生态系统的数字后,我们发现间接依赖中存在的漏洞数量是直接依赖的三倍以上。”Snyk 的应用安全顾问 Alyssa Miller 在接受讨论 Snyk 的《2020 年开源安全状况报告》的采访时说。

该报告研究了漏洞如何影响 JavaScript(npm)、Ruby(RubyGems)、Java(MavenCentral)、PHP(Packagist)和Python(PyPI)生态系统。

Snyk 表示,项目内部加载的主要组件所依赖的依赖库,受到了 86% 的 JavaScript 安全漏洞、81% 的 Ruby 漏洞和 74% 的 Java 漏洞的影响。

Snyk 认为,公司在扫描他们的主要依赖项是否存在安全问题时,如果不能探索其完整依赖树的多个层次,会导致发布或最终运行容易受到不可预见的缺陷影响的产品。

但是,虽然安全缺陷在 JavaScript、Ruby 和 Java 中普遍存在,但在 PHP 和 Python 中却不是这样,绝大多数缺陷都存在于直接依赖关系(主要组件)中。当然,这是有原因的。

“老实说,我发现这更多取决于生态系统内部本身的开发方法。”Miller 说。“尤其是 Java 和 Node.js 项目,似乎比其他生态系统更重地利用了依赖性。特别是,当你看到 Node.js 生态系统的庞大规模时,从其他包构建或利用关键功能的包是非常正常的。”

“询问任何 Node.js 开发人员,他们都可能会遇到这样的事,即在 npm 试图拉取所有必要的依赖关系时,等待很长时间才能打开一个项目,”Miller 补充说。“我们最喜欢的一个例子是一个 80 行的 Java 应用程序,指定了 7 个依赖关系。然而,当你走完整个依赖树时,你会发现有 59 个子依赖,突然间,80 行代码变成了 74 万行。”

“正如我们喜欢给它起的绰号,这种‘陌生人的危险’,是一些重大安全漏洞的根本原因,也是造成软件供应链安全复杂化的关键原因,”Miller说。

少量的缺陷会造成了巨大的影响

但 Snyk 团队并不只是看这些缺陷在开源生态系统中的位置,还看它们是什么类型的缺陷。

另一个有趣的发现是,2019 年发现的大部分新安全漏洞都是跨站脚本(XSS)缺陷,尽管数量很多,但这些缺陷只影响了一小部分实际运行的项目。

相反,在去年发现的所有缺陷中,有二十几个原型污染缺陷的影响最大,影响了超过 11.5 万个不同的开源项目,可能还有更多的私有项目也受影响。其中,jQuery 和 LoDash 的原型污染缺陷影响最大,因为这些框架是目前应用最广泛的 JavaScript 开发工具集。

但是,Snyk 团队在报告中还指出了另一个不寻常的地方,即“恶意软件包”被列为他们去年在项目中发现的第二大最常见的安全问题类型。这指的是故意出于恶意创建的开放源代码库,或者是开发人员帐户被黑并且代码中毒的库。

根据 Snyk 的说法,去年,被黑的或恶意的软件包是开源生态系统中第二大最常见的安全问题来源。“这些绝大多数(超过 87%)来自 npm (JavaScript)软件包,” Miller 说。

去年的安全问题不那么严重,但也不值得庆祝

此外,Snyk 还指出,他们在所扫描的所有五个生态系统中发现的缺陷数量下降了 20%。

“很难确定(它们因为什么下降),”Miller 说。“以我这种永久安全怀疑论者来说,这可能只是自然的退潮和流动的一部分。然而,在乐观的一面,我们确实看到了社区的一些关键变化,这可能意味着这不仅仅是这一年的异常值。”

“例如,我们看到所报告的跨站点脚本(XSS)漏洞比任何其他漏洞类型都多,它们只影响了我们当年扫描的总项目中的一小部分。这表明,XSS 可能不会影响到使用率更高因而更成熟的项目,这意味着人们可能更多关注安全编码技术方面。”

“此外,我们的调查显示,整个社区的态度开始将软件安全视为开发团队和安全团队(甚至在某种程度上是运营团队)之间的共同责任,”Miller 说。

“这种合作的改善无疑可以帮助推动围绕安全代码和安全使用开源包的更好的意识和战术措施。”

“我在安全领域工作了 15 年,我当然还没有准备好宣布某一年是事情出现转机的标志,但你可以认为这是一个趋势,我们将继续观察,看看未来几个月和整个 2020 年的情况如何。”

关于开源社区总体安全状况的其他见解,Snyk 的完整报告可在这里下载


via: https://www.zdnet.com/article/more-than-75-of-all-vulnerabilities-reside-in-indirect-dependencies/

作者:Catalin Cimpanu 译者:wxy 校对: wxy

本文由 LCTT 原创编译,Linux中国 荣誉推出

破坏一个 SHA-1 生成的 SSH 验证密钥,现在的成本大约为 5 万美元,使得重要的远程服务器面临着被攻击的风险。

OpenSSH SSH

最受欢迎的连接和管理远程服务器的实用工具 OpenSSH 今天宣布,计划放弃对其 SHA-1 验证方案的支持。在这个宣布当中,OpenSSH 团队列举了 SHA-1 散列算法的安全问题,该算法目前被认为是不安全的。

SHA-1 算法在 2017 年 2 月的一次实际的、真实世界的攻击中被破解,当时谷歌密码学家披露的 SHAttered 技术可以使两个不同的文件拥有相同的 SHA-1 文件签名(这称之为“碰撞”)。

在当时,创建一个 SHA-1 碰撞被认为需要非常昂贵的计算成本,谷歌的专家认为 SHA-1 在实际应用中至少还能用上五年,直到成本下降。

然而,随后在 2019 年 5 月和 2020 年 1 月发布的研究报告中,详细介绍了一种更新的方法,将 SHA-1 选择-前缀碰撞攻击chosen-prefix collision attack的成本分别降低到 11 万美元5 万美元以下。

对于高级威胁攻击者,例如国家黑客和高端网络犯罪集团,如果他们能够生成一个 SSH 认证密钥,使他们能够远程不被发现地访问关键服务器,那么 5 万美元是一个很小的代价。

OpenSSH 关闭 ssh-rsa 模式

“由于这个原因,我们将在不久的未来版本中默认禁用 ssh-rsa 公钥签名算法。”OpenSSH 开发者今天表示。

OpenSSH 应用程序使用 ssh-rsa 模式来生成 SSH 验证密钥。这些密钥中的一个存储在用户要登录的服务器上,另一个存储在用户的本地 OpenSSH 客户端中,这样用户就可以在每次登录时不需要输入密码就可以访问服务器,而是以本地认证密钥来代替。

在默认情况下,OpenSSH ssh-rsa 模式通过使用 SHA-1 哈希函数生成这些密钥,这意味着这些密钥容易受到 SHAterred 攻击,使攻击者能够生成重复的密钥。

“遗憾的是,尽管有更好的替代方案存在,但这种算法仍然被广泛使用,它是原始的 SSH RFC 规定的唯一剩下的公钥签名算法”,OpenSSH 的开发人员今天表示。

OpenSSH 团队现在要求服务器所有者检查他们的密钥是否已经使用默认的 ssh-rsa 模式生成,并使用不同的模式生成新的密钥。

OpenSSH 团队表示,推荐的模式是 rsa-sha2-256/512(从 OpenSSH 7.2 开始支持)、ssh-ed25519(从 OpenSSH 6.5 开始支持)或 ecdsa-sha2-nistp256/384/521(从 OpenSSH 5.7 开始支持)。

这里是最近公告中的最好的消息。让我们为所有的嵌入式系统和设备永远不会看到 OpenSSH 中废弃的 ssh-rsa SHA-1 密钥的升级而默哀一分钟。

  • Julio (@juliocesarfort) 2020 年 5 月 27 日

OpenSSH 项目将在未来(目前还未确定)的版本中默认禁用 ssh-rsa 模式,但是在此之前,他们还计划默认启用 UpdateHostKeys 功能,让服务器所有者可以轻松自动地从旧的 ssh-rsa 模式迁移到更好的验证算法。

依赖 OpenSSH 管理远程系统的服务器管理员可以在 OpenSSH 8.3 的变更日志中找到更多关于如何测试他们的服务器是否有基于弱 SHA-1 的密钥的详细信息。

在之前的一个版本中,在 8.2 版本中,OpenSSH 团队还增加了对基于 FIDO/U2F 的硬件安全密钥的支持,这也可以用来更安全地登录远程服务器。


via: https://www.zdnet.com/article/openssh-to-deprecate-sha-1-logins-due-to-security-risk/

作者:Catalin Cimpanu 选题:wxy 译者:wxy 校对:wxy

本文由 LCTT 原创编译,Linux中国 荣誉推出

是的,这是年终摘要文章之一。这是一篇很长的文章,因为就网络安全新闻来说,2019 年就是一场灾难,每周都会有一个或多个重大事件发生。

以下是按月组织的过去 10 个月安全灾难的摘要。

七月

哈萨克斯坦政府拦截了所有本地 HTTPS 流量:HTTPS 拦截工作针对 Facebook,Google,Twitter 和其他站点苹果、谷歌和 Mozilla 最终干预并禁止了用于 HTTPS 中间人攻击的证书。

黑客窃取了数百万保加利亚人的数据:一名黑客窃取了数百万保加利亚人的个人详细信息,并将窃取的数据的下载链接通过电子邮件发送给了本地新闻出版物。该数据窃取自该国国家税务局,最终在网上泄露

黑客侵入了 FSB 的承包商:黑客侵入了俄罗斯国家情报局 FSB 的承包商 SyTech,他们从那里窃取了该公司代表该机构开展的内部项目的信息,包括将 Tor 流量匿名化的信息。

iMessages 可能使你的 iPhone 变砖:该漏洞在被广泛利用之前得到了修补。

Urgent/11 安全漏洞:TCP 库中的主要错误影响了路由器、打印机、SCADA、医疗设备和许多 IoT 设备。

苹果公司的 AWDL 协议受到安全漏洞的困扰:苹果公司在五月份修补了一个错误,但学者说,其余的漏洞需要重新设计某些苹果服务。错误会启用跟踪和中间人攻击。

DHS 警告小型飞机的 CAN 总线漏洞:DHS 网络安全机构 CISA 建议这些小型飞机的所有者“尽其所能”限制对飞机的访问,以防止这个漏洞可能被用来破坏飞机。

GE 麻醉机中发现的漏洞:GE 建议设备所有者不要将脆弱的麻醉机连接到医院的主要网络。该公司否认这些漏洞可能导致患者受到伤害,但后来撤回该说法并承认这些问题可能对人类生命构成危险。

洛杉矶警方陷入数据泄露:黑客窃取了 2500 多名洛杉矶警察的个人记录。黑客直接通过电子邮件发送给该部门,并提供了一些据称是被盗信息的样本以支持他们的说法。

路易斯安那州州长在当地勒索软件爆发后宣布州紧急状态:是的。勒索软件变得非常糟糕。然后它袭击了德克萨斯州牙医办公室托管服务提供商

蓝牙漏洞利用可以跟踪和识别 iOS、微软移动设备用户:尽管存在本机操作系统保护但该漏洞可用于监视用户,它影响 Windows 10、iOS 和 macOS 计算机上的蓝牙设备。其中包括 iPhone、iPad、Apple Watch、MacBook 和微软的平板电脑和笔记本电脑。

“7-11” 日本的客户由于移动应用漏洞而损失了 50 万美元:7-11 最终关闭了该应用。

八月

SWAPGSAttack CPU 漏洞:研究人员详细介绍了该硬件漏洞,它绕过了 Windows 系统上针对 Spectre 和 Meltdown CPU 漏洞的缓解措施,并影响了所有使用自 2012 年以来制造的英特尔处理器的系统。

新的 Dragonblood 漏洞:今年四月初,两名安全研究人员披露了 WiFi 联盟最近发布的 WPA3 WiFi 安全和身份验证标准中五个漏洞(统称为 Dragonblood)的详细信息。

14 个 iOS 零日漏洞:自 2016 年 9 月以来,谷歌发现了针对 14 个 iOS 漏洞的攻击,这些漏洞分为五个漏洞利用链,并已被广泛部署。

VPN 安全漏洞:黑客对 Pulse Secure 和 Fortinet VPN 发起攻击。

Windows CTF 漏洞:Microsoft CTF 协议中的漏洞可以追溯到 Windows XP。该错误允许黑客劫持任何 Windows 应用,逃脱沙箱并获得管理员权限。

WS-Discovery 协议被滥用于 DDoS 攻击:该协议被 DDoS 租用服务所利用,已在实际攻击中使用。

Capitol One 黑客事件:一名黑客侵入了 Capitol One,从那里窃取了 1 亿用户的记录。她还入侵了其他 30 家公司

Hy-Vee 卡泄露:超市连锁店 Hy-Vee 承认其某些 PoS 系统存在安全漏洞。该数据最终被在黑客论坛上出售。

员工将核电厂连接到互联网,以便他们可以开采加密货币:乌克兰核电厂的员工为了开采比特币而承担了不必要的安全风险。他们最终被捕。

莫斯科的区块链投票系统在大选前一个月就被攻破了:法国研究人员因在基于以太坊的投票系统中发现漏洞而获得 15000 美元的奖金。

美国军方购买了价值 3280 万美元的具有已知安全风险的电子产品:国防部购买的易受攻击产品包括 Lexmark 打印机、GoPro相机和联想计算机。

AT&T 员工受贿以在公司网络上植入恶意软件:美国司法部指控巴基斯坦男子贿赂 AT&T 员工超过 100 万美元,以在该公司网络上安装恶意软件,解锁超过 200 万台设备。

Windows 恶意软件会记录用户在成人网站上的访问:新的 Varenyky 木马会记录用户浏览成人网站的桌面视频。当前仅针对法国用户。

TrickBot 木马具备协助 SIM 交换攻击的功能:TrickBot 木马可以收集 Sprint、T-Mobile 和 Verizon Wireless 帐户的凭据和 PIN 码。

战争技术:黑客可以使用包裹传递服务将黑客设备直接运送到你公司的门口。

Instagram 踢掉了广告合作伙伴 Hyp3r:Instagram 发现该广告合作伙伴收集其用户数据。

九月

Simjacker 攻击:安全研究人员详细介绍了一种基于 SMS 的攻击,该攻击可以通过滥用 SIM 卡上运行的鲜为人知的应用程序,使恶意行为者可以跟踪用户的设备。发现 29 个国家/地区的 SIM 卡受到了影响。 还发现了第二起名为 WIBAttack 的攻击。

智能电视间谍活动:两项学术论文发现,智能电视正在收集有关用户的电视观看习惯的数据。

Checkm8 iOS 越狱:针对所有运行 A5 至 A11 芯片的 iOS 设备(在 iPhone 4S 以及 iPhone 8 和 X 上)发布的新 Checkm8 越狱。过去九年来,这是第一个在硬件级别起作用的越狱漏洞。

数据库泄漏了厄瓜多尔大多数公民的数据:Elasticsearch 服务器泄漏了有关厄瓜多尔公民其家谱和孩子的个人数据,还泄漏了一些用户的财务记录和汽车登记信息。该公司高管随后被捕

Limin PDF 泄露事件:九月中旬,超过 2430 万 Lumin PDF 的用户详细信息在黑客论坛上被分享。该公司在第二天承认这次泄露。

Heyyo 约会应用程序泄漏事件:他们泄漏了除私人消息以外的几乎所有内容。

vBulletin 零日漏洞和随后的黑客攻击:一位匿名安全研究人员发布了 vBulletin 论坛软件中的零日漏洞。该漏洞立即被黑客用于入侵一系列论坛。

大量的帐户劫持事件袭击了 YouTube 创作者:汽车社区的 YouTube 创作者遭受了鱼叉式网络钓鱼攻击,这些攻击可以绕过 2FA,从而使黑客可以接管其 Google 和 YouTube 帐户。

Lilocked(Lilu)勒索软件:成千上万的 Linux 服务器感染了新的 Lilocked(Lilu)勒索软件。

超过 47,000 台超微服务器正在互联网上暴露了其 BMC 端口:研究人员在超微服务器上发现了一个新的远程攻击方式,发现它在互联网上暴露了其 BMC 端口。

勒索软件事件给公司造成了高达 9500 万美元的损失:丹麦制造助听器 Demant 的勒索软件事件造成了近 9500 万美元的损失,这是迄今为止最昂贵的事件之一。

Exim 漏洞(CVE-2019-15846):数百万的 Exim 服务器容易受到一个安全漏洞的攻击,利用该漏洞可以使攻击者能够以 root 特权运行恶意代码。

十月

Avast 黑客事件:这家捷克的杀毒软件制造商在 2017 年遭受攻击之后,披露了其受到了第二次攻击,旨在破坏 CCleaner 版本。该公司表示,黑客通过受损的 VPN 配置文件破坏了该公司。

被广泛利用的 Android 零日漏洞:Google Project Zero 研究人员发现了被广泛利用的 Android 零日漏洞,影响了 Pixel、三星、华为、小米设备。

Alexa 和 Google Home 设备再次被利用来网络钓鱼和窃听用户:亚马逊、Google 在首次报告后一年多未能解决 Alexa 和 Home 设备中的安全漏洞。

捷克当局拆除了据称是俄罗斯的网络间谍网络:捷克官员说,俄罗斯特工利用当地公司对外国目标发起网络攻击。官员们表示,运营得到了俄罗斯国家情报局 FSB 的支持以及当地大使馆的财政帮助。

约翰内斯堡被黑客团伙勒索赎金:一个名为“Shadow Kill Hackers”的组织正在向当地官员索要 4 枚比特币,否则他们将在线发布该城市数据。这是在七月遭到勒索软件攻击之后对约翰内斯堡的第二次重大袭击,当时导致一些当地居民断电

CPDoS 攻击事件:CloudFront、Cloudflare、Fastly、Akamai 等受到新的 CPDoS Web 缓存中毒攻击的影响。

被广泛利用的 PHP7 RCE:新的 PHP7 错误 CVE-2019-11043 甚至可以使非技术攻击者接管运行 PHP-FPM 模块的 Nginx 服务器。

遭受 DDoS 攻击的 macOS 系统:多达 4 万个 macOS 系统在线暴露了一个特定的端口,该端口可能被滥用于相当大的 DDoS 攻击。

是的,这是年终摘要文章之一。这是一篇很长的文章,因为就网络安全新闻来说,2019 年就是一场灾难,每周都会有一个或多个重大事件发生。

以下是按月组织的过去 10 个月安全灾难的摘要。

一月

Apple FaceTime 中的严重漏洞:Apple FaceTime 应用程序中的一个错误使攻击者可以在不与被呼叫者进行任何用户交互的情况下呼叫并自行应答 FaceTime 呼叫,从而为进行秘密监视打开了大门。

在通过 Skype 面试后,朝鲜黑客渗透到智利的 ATM 网络:该文章的标题不言而喻,值得你花时间阅读该故事。

黑客破坏并窃取了韩国国防部的数据:首尔政府表示,黑客破坏了 30 台计算机并窃取了 10 台计算机中的数据。被黑客入侵的计算机存储了有关武器和弹药采购的数据。

有人入侵了 PHP PEAR 网站:我们仍然不知道发生了什么,但是一些黑客侵入了 PHP PEAR 存储库,并给某个版本的 PHP PEAR 软件包管理器添加了后门。

26 种低端加密货币中发现的安全漏洞:该报告显示了一些低端的不著名的加密货币的危险性,以及黑客如何随时窃取大量资金。

俄克拉荷马州政府数据泄漏暴露了联邦调查局的调查记录:俄克拉荷马州证券部的服务器允许任何人下载政府文件,例如内部文件,甚至是联邦调查局的调查。

被怀疑参与了全球 DNS 劫持活动的伊朗黑客:FireEye 和 Cisco Talos 先后披露了由伊朗黑客发起的全球劫持活动,伊朗黑客通过其伊朗服务器重定向了来自全球各地公司的流量,并记录了公司的凭据以备将来攻击。他们在域名注册商处入侵了 DNS 管理帐户,以执行 DNS 劫持攻击。这些黑客也入侵了希腊的顶级域名注册商

存在了 36 年之久的 SCP 软件安全漏洞:自 1983 年以来,过去 36 年中的所有 SCP(安全复制协议)软件版本均受到了四个安全漏洞的影响,这些漏洞允许恶意的 SCP 服务器对客户(用户)的系统进行未经授权的更改,并在终端隐藏其恶意操作。

年度 LTE 安全漏洞:今年发现了两组新的 LTE 安全漏洞。一组影响 3G、4G 和 5G,另一组 36 个漏洞在韩国安全研究人员进行的一项模糊项目之后被发现。

网站可以通过浏览器扩展 API 窃取浏览器数据:研究人员发现有将近 200 个 Chrome、Firefox 和 Opera 扩展容易受到恶意站点的攻击。

WiFi 固件错误会影响笔记本电脑、智能手机、路由器、游戏设备:Marvell Avastar 芯片组中发现的重大安全漏洞。受影响的设备列表包括 PS4、Xbox One、三星 Chromebook 和微软 Surface 设备。

恶意软件被发现预装在 Android 设备上:在 2019 年发生了两次。首先,在一月份,研究人员在预安装在阿尔卡特智能手机上的阿尔卡特应用程序中发现了恶意软件。其次,在六月,德国的网络安全机构在四种中国智能手机型号中发现了后门

二月

重大 WinRAR 错误暴露:Check Point 研究人员发现了一个 WinRAR 错误,该错误影响了自 2000 年以来发行的所有 WinRAR 版本。超过 5 亿个 WinRAR 用户面临风险。这些漏洞最终被网络罪犯和国家黑客广泛使用。

新的 WinPot 恶意软件可以使 ATM 吐出现金:WinPot 自 2018 年 3 月以来一直在地下论坛上出售。

从 Tor 流量检测单个 Android 应用程序的准确性为 97%:新的机器学习算法可以通过 Tor 检测 Tor 用户何时使用了特定的应用程序,例如 YouTube、Instagram、Spotify 等。

黑客抹除了电子邮件提供商 VFEmail 的美国服务器:黑客没有要求赎金。VFEmail 将事件描述为“攻击并摧毁”。

Thunderclap 漏洞:该安全漏洞影响 Windows、Mac、Linux 处理 Thunderbolt 外围设备的方式。它们允许创建可能从操作系统内存中窃取数据的高度危险的恶意外围设备。

PDF 协议攻击:一组德国学者发现了一种在 PDF 文档中伪造签名的方法,并在今年晚些时候找到了一种破解 PDF 加密的方法

使用 CPU 隐藏恶意软件:学者们已经找到了在使用推测执行英特尔 SGX 安全区系统的计算机上隐藏恶意软件的方法。

三月

黑客在大风暴发生前将龙卷风警报器离线:是的,就是为了作恶。

华硕供应链黑客事件:黑客劫持了华硕 Live Update 实用程序,以便在用户系统上部署恶意软件。黑客攻击发生在 2018 年,但在今年 3 月被披露。据信已经影响了超过一百万台 PC。

GitHub 帐户环推广了 300 多个带后门的应用程序:该 GitHub 账户环由 89 个帐户组成,推广了 73 个仓库,其中包含 300 多个带有后门的 Windows、Mac 和 Linux 应用程序。

Bithumb 加密货币交易所在两年内第三次被黑客入侵:据信黑客已经赚了近 2000 万美元的 EOS 和瑞波加密货币。在这一点上,Bithumb 似乎放弃挣扎了。

Chrome 零日漏洞正受到活跃攻击:CVE-2019-5786(Chrome 的 FileReader API 中的一个错误)被广泛利用以从用户计算机中读取内容。谷歌表示,该漏洞是由一个国家攻击者与 Windows 7 零日漏洞一起使用的。

新的英特尔 CPU 错误:研究人员发现了新的 Intel VISA(内部信号架构可视化)调试技术。

法国加油站的黑客事件:加油站忘记更换加油站油泵的 PIN 之后,犯罪集团从巴黎附近的道达尔加油站偷走了 12 万升燃油。

Citrix 数据泄露:Citrix 从 FBI 获悉了本次黑客攻击。黑客偷走了商业文件。Citrix 的许多客户都是政府机构和财富 500 强公司。

智能手机解锁问题:我们今年遇到了一些这样的案例,但第一起案例是在三月份报道的,当时用户发现三星 Galaxy S10 面部识别可能被手机所有者的视频所欺骗。一个月后,用户发现他可以用一包口香糖解锁诺基亚 9 智能手机的指纹扫描仪。然后在十月,用户发现可以在闭着眼睛时解锁 Pixel 4 的面部解锁技术;一对夫妇发现,如果该设备由硅保护套保护,他们可以使用任何用户的手指解锁使用指纹保护的 Samsung S10 设备。实际上,绕过面部识别的问题非常普遍。去年,一家荷兰非营利组织进行的一项研究发现,攻击者可以在测试的 110 部智能手机中的 42 部中绕过面部解锁类的功能。

四月

美国联合航空公司盖上了座席摄像头:该航空公司坚称这些摄像头尚未投入使用;但是,客户首先仍然对该摄像头的存在感到非常不安和烦恼。

由于未修复的 API,研究人员在数百个 GPS 手表的地图上显示 “PWNED!” :超过 20 种型号的 GPS 手表允许恶意行为者跟踪设备所有者,并修改手表功能。

成千上万辆汽车因使用硬编码的密码而暴露于小偷视野之中:二月中以来,MyCar 发布的 Android 和 iOS 应用程序的安全更新已删除了硬编码的密码。

被勒索软件感染后,“天气”频道的播出空缺了 90 分钟:10 月对法国电视台 M6 的类似攻击未成功。

Facebook 承认存储了数百万个 Instagram 用户的明文密码:该事件发生的一个月前,Facebook 也承认存储了 Facebook 帐户的明文密码

Telegram 上泄露了伊朗网络间谍工具的源代码:每天都有恶意软件开发人员使用这些工具,从而使更多用户受到攻击。五月六月发生了第二次和第三次伊朗黑客工具泄漏。

印度政府机构保留的数百万孕妇的详细信息暴露在线上:超过 1250 万孕妇医学记录被暴露。三个多星期后,泄漏的服务器中删除了记录。

超过 13000 个 iSCSI 存储群集暴露在网上而没有密码:新的攻击方式在企业磁盘存储阵列和人们的 NAS 设备内部打开了后门。

Gnosticplayers 的黑客事件:几个月之内,一个被称为 Gnosticplayers 的黑客在网上放出了超过 10 亿条用户记录。

黑客组织已经在 D-Link 路由器上劫持了 DNS 流量达三个月:他们还针对了其他路由器型号进行了劫持,例如 ARG、DSLink、Secutech 和 TOTOLINK。这些攻击在巴西尤其活跃

五月

黑客擦除了 Git 存储库,并要求赎金:成千上万的存储库受到了影响,但几乎所有项目都已恢复。

对现代 CPU 的新 MDS 攻击:研究人员和学者详细介绍了新的微体系结构数据采样(MDS)攻击,例如 Zombieload、Fallout 和 RIDL。

Thrangrycat 漏洞:Thrangrycat 漏洞使攻击者可以在 Cisco 设备上植入持久的后门。据信大多数 Cisco 设备都会受到影响。没有广泛检测到攻击。

BlueKeep 漏洞:五月中旬,微软警告了一个新的 “可用作蠕虫的” RDP 漏洞,该漏洞后来被称为 BlueKeep。后来在八月披露了两个新的类似 BlueKeep 的可用做蠕虫的漏洞(DejaBlue)。经过数月的迫切等待之后,九月公开发布了一种概念验证攻击

不安全的服务器公开了 85% 巴拿马公民的的数据:该服务器包含患者数据,但没有公开医疗记录,仅公开了个人身份信息(PII)。

软件更新导致荷兰警察的脚踝监控器崩溃:有问题的更新阻止了脚踝监控器将数据发送回警察控制室。导致需要找到一些嫌疑人并送回监狱。

以色列对空袭哈马斯的黑客首次作出回应:以色列军方称轰炸了住着哈马斯网络部队的房屋。

Google 替换了有问题的 Titan 安全密钥:蓝牙配对协议中的漏洞迫使 Google 替换了在美国销售的 Titan 密钥。微软后来被迫发布了一个特殊修复程序以解决该问题。

Canva 黑客事件:Gnosticplayers 的受害者之一。该公司被黑客窃取了 1.39 亿条用户记录。

StackOverflow 黑客事件:Stack Overflow 表示黑客破坏了生产系统,而黑客发现已经活动了一周以上

Flipboard 黑客事件:黑客入侵的程度尚不得而知,但 Flipboard 表示,黑客已经访问其系统将近九个月的时间。

伦敦地铁开始通过 Wi-Fi 热点跟踪乘客:伦敦交通局(TfL)表示,计划在未来几个月内推出一种系统,以利用伦敦地铁上的公共 Wi-Fi 热点跟踪通勤者。

安全浏览器的主要错误:移动版 Chrome、Safari 和 Firefox 一年多都未能显示网络钓鱼警告。

六月

黑客攻击了 10 家电信供应商:Cybereason 的研究人员说,一个由国家支持的情报机构已经破坏了至少 10 家全球电信公司:在某种程度上,攻击者运行着“事实上的影子 IT 部门”。

新的 Silex 恶意软件使成千上万的 IoT 设备变砖:攻击持续了数天,但黑客最终停止并撤回了 Silex 恶意软件代码。

NASA 因未经授权的树莓派连接到其网络而被黑客入侵:NASA 将该黑客攻击描述为“高级持续威胁(APT)”,该术语通常用于国家黑客组织,但未提供其他详细信息。

流行的 Facebook 悲伤支持页面被黑客入侵:Facebok 数周都无视了该黑客攻击。

Google Nest 的摄像头可以允许前拥有者监视新拥有者:Google 最终推出了更新解决这个问题。

两个 Firefox 零日漏洞:Mozilla 修复了两个 Firefox 零日漏洞[12] ,它们被用于攻击 Coinbase 员工。

AMCA 数据泄露:去年,美国医疗保健计费供应商被黑客入侵,黑客将患者数据在线出售。该漏洞影响了多家医疗保健提供商,最终数量超过了 2000 万。

CBP 说,黑客窃取了车牌和旅行者的照片:CBP 说,分包商未经授权将照片存储在其内部服务器上,然后遭到黑客攻击。

HSM 重大漏洞影响着银行、云提供商、政府:两名安全研究人员透露,可以远程利用这些漏洞来检索存储在称为 HSM(硬件安全模块)的特殊计算机组件中的敏感数据。

SIM 交换攻击浪潮袭击了美国加密货币用户:六月的一周,数十名美国加密货币用户认为他们是 SIM 交换攻击的受害者。

DNS-over-HTTPS(DoH)协议目前是谈论的焦点,Firefox 是唯一支持它的浏览器。但是,Firefox 默认不启用此功能,用户必须经历许多步骤并修改多个设置才能启动并运行 DoH。

在开始如何在 Firefox 中启用 DoH 支持的分步教程之前,让我们先描述它的原理。

DNS-over-HTTPS 的工作原理

DNS-over-HTTPS 协议通过获取用户在浏览器中输入的域名,并向 DNS 服务器发送查询,以了解托管该站点的 Web 服务器的 IP 地址。

这也是正常 DNS 的工作原理。但是,DoH 通过 443 端口的加密 HTTPS 连接接受 DNS 查询将其发送到兼容 DoH 的 DNS 服务器(解析器),而不是在 53 端口上发送纯文本。这样,DoH 就会在常规 HTTPS 流量中隐藏 DNS 查询,因此第三方监听者将无法嗅探流量,并了解用户的 DNS 查询,从而推断他们将要访问的网站。

此外,DNS-over-HTTPS 的第二个特性是该协议工作在应用层。应用可以带上内部硬编码的 DoH 兼容的 DNS 解析器列表,从而向它们发送 DoH 查询。这种操作模式绕过了系统级别的默认 DNS 设置,在大多数情况下,这些设置是由本地 Internet 服务提供商(ISP)设置的。这也意味着支持 DoH 的应用可以有效地绕过本地 ISP 流量过滤器并访问可能被本地电信公司或当地政府阻止的内容 —— 这也是 DoH 目前被誉为用户隐私和安全的福音的原因。

这是 DoH 在推出后不到两年的时间里获得相当大的普及的原因之一,同时也是一群英国 ISP 因为 Mozilla 计划支持 DoH 协议而提名它为 2019 年的“互联网恶棍” (Internet Villian)的原因,ISP 认为 DoH 协议会阻碍他们过滤不良流量的努力。(LCTT 译注:后来这一奖项的提名被取消。)

作为回应,并且由于英国政府阻止访问侵犯版权内容的复杂情况,以及 ISP 自愿阻止访问虐待儿童网站的情况,Mozilla 已决定不为英国用户默认启用此功能

下面的分步指南将向英国和世界各地的 Firefox 用户展示如何立即启用该功能,而不用等到 Mozilla 将来启用它 —— 如果它会这么做的话。在 Firefox 中有两种启用 DoH 支持的方法。

方法 1:通过 Firefox 设置

步骤 1:进入 Firefox 菜单,选择工具,然后选择首选项。 可选在 URL 栏中输入 about:preferences,然后按下回车。这将打开 Firefox 的首选项。

步骤 2:常规中,向下滚动到网络设置,然后按设置按钮。

步骤3:在弹出窗口中,向下滚动并选择“Enable DNS over HTTPS”,然后配置你需要的 DoH 解析器。你可以使用内置的 Cloudflare 解析器(该公司与 Mozilla 达成协议,记录更少的 Firefox 用户数据),或者你可以在这个列表中选择一个。

方法 2:通过 about:config

步骤 1:在 URL 栏中输入 about:config,然后按回车访问 Firefox 的隐藏配置面板。在这里,用户需要启用和修改三个设置。

步骤 2:第一个设置是 network.trr.mode。这打开了 DoH 支持。此设置支持四个值:

  • 0 - 标准 Firefox 安装中的默认值(当前为 5,表示禁用 DoH)
  • 1 - 启用 DoH,但 Firefox 依据哪个请求更快返回选择使用 DoH 或者常规 DNS
  • 2 - 启用 DoH,常规 DNS 作为备用
  • 3 - 启用 DoH,并禁用常规 DNS
  • 5 - 禁用 DoH

值为 2 工作得最好

步骤3:需要修改的第二个设置是 network.trr.uri。这是与 DoH 兼容的 DNS 服务器的 URL,Firefox 将向它发送 DoH DNS 查询。默认情况下,Firefox 使用 Cloudflare 的 DoH服务,地址是:https://mozilla.cloudflare-dns.com/dns-query。但是,用户可以使用自己的 DoH 服务器 URL。他们可以从这个列表中选择其中一个可用的。Mozilla 在 Firefox 中使用 Cloudflare 的原因是因为与这家公司达成了协议,之后 Cloudflare 将收集来自 Firefox 用户的 DoH 查询的非常少的数据。

DoH in Firefox

步骤4:第三个设置是可选的,你可以跳过此设置。 但是如果设置不起作用,你可以使用此作为步骤 3 的备用。该选项名为 network.trr.bootstrapAddress,它是一个输入字段,用户可以输入步骤 3 中兼容 DoH 的 DNS 解析器的 IP 地址。对于 Cloudflare,它是 1.1.1.1。 对于 Google 服务,它是 8.8.8.8。 如果你使用了另一个 DoH 解析器的 URL,如果有必要的话,你需要追踪那台服务器的 IP 地址并输入。

通常,在步骤 3 中输入的 URL 应该足够了。 设置应该立即生效,但如果它们不起作用,请重新启动 Firefox。

文章信息来源:Mozilla Wiki


via: https://www.zdnet.com/article/how-to-enable-dns-over-https-doh-in-firefox/

作者:Catalin Cimpanu 选题:lujun9972 译者:geekpi 校对:wxy

本文由 LCTT 原创编译,Linux中国 荣誉推出

LKRG logo

开源社区的人们正在致力于一个 Linux 内核的新项目,它可以让内核更安全。命名为 Linux 内核运行时防护 Linux Kernel Runtime Guard (LKRG),它是一个在 Linux 内核执行运行时完整性检查的可加载内核模块(LKM)。

它的用途是检测对 Linux 内核的已知的或未知的安全漏洞利用企图,以及去阻止这种攻击企图。

LKRG 也可以检测正在运行的进程的提权行为,在漏洞利用代码运行之前杀掉这个运行进程。

这个项目开发始于 2011 年,首个版本已经发布

因为这个项目开发的较早,LKRG 的当前版本仅仅是通过内核消息去报告违反内核完整性的行为,但是随着这个项目的成熟,将会部署一个完整的漏洞利用缓减系统。

LKRG 的成员 Alexander Peslyak 解释说,这个项目从 2011 年启动,并且 LKRG 已经经历了一个“重新开发"阶段。

LKRG 的首个公开版本是 LKRG v0.0,它现在可以从 这个页面 下载使用。这里 是这个项目的维基,为支持这个项目,它也有一个 Patreon 页面

虽然 LKRG 仍然是一个开源项目,LKRG 的维护者也计划做一个 LKRG Pro 版本,这个版本将包含一个专用的 LKRG 发行版,它将支持对特定漏洞利用的检测,比如,容器泄漏。开发团队计划从 LKRG Pro 基金中提取部分资金用于保证项目的剩余工作。

LKRG 是一个内核模块而不是一个补丁。

一个类似的项目是 附加内核监视器 Additional Kernel Observer (AKO),但是 LKRG 与 AKO 是不一样的,因为 LKRG 是一个内核加载模块而不是一个补丁。LKRG 开发团队决定将它设计为一个内核模块是因为,在内核上打补丁对安全性、系统稳定性以及性能都有很直接的影响。

而以内核模块的方式提供,可以在每个系统上更容易部署 LKRG,而不必去修改核心的内核代码,修改核心的内核代码非常复杂并且很容易出错。

LKRG 内核模块在目前主流的 Linux 发行版上都可以使用,比如,RHEL7、OpenVZ 7、Virtuozzo 7、以及 Ubuntu 16.04 到最新的主线版本。

它并非是一个完美的解决方案

LKRG 的创建者警告用户,他们并不认为 LKRG 是一个完美的解决方案,它提供不了坚不可摧和 100% 的安全。他们说,LKRG 是 “设计为可旁通的”,并且仅仅提供了“多元化安全” 的一个方面。

虽然 LKRG 可以防御许多已有的 Linux 内核漏洞利用,而且也有可能会防御将来许多的(包括未知的)未特意设计去绕过 LKRG 的安全漏洞利用。它是设计为可旁通的(尽管有时候是以更复杂和/或低可利用为代价的)。因此,他们说 LKRG 通过多元化提供安全,就像运行一个不常见的操作系统内核一样,也就不会有真实运行一个不常见的操作系统的可用性弊端。

LKRG 有点像基于 Windows 的防病毒软件,它也是工作于内核级别去检测漏洞利用和恶意软件。但是,LKRG 团队说,他们的产品比防病毒软件以及其它终端安全软件更加安全,因为它的基础代码量比较小,所以在内核级别引入新 bug 和漏洞的可能性就更小。

运行当前版本的 LKRG 大约会带来 6.5% 的性能损失

Peslyak 说 LKRG 是非常适用于 Linux 机器的,它在修补内核的安全漏洞后不需要重启动机器。LKRG 允许用户持续运行带有安全措施的机器,直到在一个计划的维护窗口中测试和部署关键的安全补丁为止。

经测试显示,安装 LKRG v0.0 后大约会产生 6.5% 性能影响,但是,Peslyak 说将在后续的开发中持续降低这种影响。

测试也显示,LKRG 检测到了 CVE-2014-9322 (BadIRET)、CVE-2017-5123 (waitid(2) missing access\_ok)、以及 CVE-2017-6074 (use-after-free in DCCP protocol) 的漏洞利用企图,但是没有检测到 CVE-2016-5195 (Dirty COW) 的漏洞利用企图。开发团队说,由于前面提到的“可旁通”的设计策略,LKRG 没有检测到 Dirty COW 提权攻击。

在 Dirty COW 的测试案例中,由于 bug 机制的原因,使得 LKRG 发生了 “旁通”,并且这也是一种利用方法,它也是将来类似的以用户空间为目标的绕过 LKRG 的一种方法。这样的漏洞利用是否会是普通情况(不太可能!除非 LKRG 或者类似机制的软件流行起来),以及对它的可用性的(负面的)影响是什么?(对于那些直接目标是用户空间的内核漏洞来说,这不太重要,也并不简单)。

via: https://www.bleepingcomputer.com/news/linux/lkrg-linux-to-get-a-loadable-kernel-module-for-runtime-integrity-checking/

作者:Catalin Cimpanu 译者:qhwdw 校对:wxy

本文由 LCTT 原创编译,Linux中国 荣誉推出