标签 SolarWinds 下的文章

弱密码 “solarwinds123” 可能是导致 SolarWinds 事件的攻击入口

SolarWinds 的一名实习生曾经使用密码 “solarwinds123”,并将其发布到 GitHub 上。2019 年时安全研究人员在互联网上发现了这个密码,并警告该公司它暴露了 SolarWinds 的文件服务器。而该公司 CEO 最近在听证会上承认,该密码在 2017 年就在内部使用了。听证会上,有众议员强烈批评了该公司,“我有一个比 ‘solarwinds123’ 更强的密码,以阻止我的孩子在 iPad 上看太多 YouTube! ”

虽然不确定是不是因为这个或其它的弱密码而导致的入侵,但是很有可能就是因为内部管理缺位导致的渗透。

大家来说说,你们内部系统的密码是不是弱密码?

用 Go 语言编写的恶意软件近年来呈爆发式增长

根据网络安全公司 Intezer 本周发布的一份报告,自 2017 年以来使用 Go 编程语言编写的恶意软件数量呈现爆发式增长,增幅超过 2000%。首个基于 Go 语言开发的恶意软件在 2012 才被检测到,但在 2019 年,它变成了一种常见现象。

Go 语言之所以会出现这种突然暴涨的现象,主要有三个原因:Go 支持跨平台编译的简易流程;基于 Go 的安装文件难以被分析和逆向工程;Go 对网络数据包和请求工作的支持很好。

一个技术好用不好用,可从在地下黑产中的流行程度看出来。

比尔•盖茨更喜欢用安卓手机,可能是因为预装软件

微软已经没有自己的移动平台了,因为 Windows 10 Mobile 已经死了。所以,现在微软公司的高管和员工自然可以随心所欲地在安卓和 iPhone 之间选择了。

而对于微软创始人比尔•盖茨而言,安卓系统是更好的选择。盖茨,“其实我用的是安卓手机。因为我想接触各种事物,我会经常玩玩 iPhone,但我随身携带的是安卓手机。”而使用安卓的原因可能是,“一些安卓厂商预装微软软件的方式让我觉得很方便。他们对于软件与操作系统的连接方式更加灵活。”

封闭的如 iPhone,开放的如安卓,都取得了空前成功,但是后来效仿者却无法复制成功。所以,这里的原因和封闭或开放可能没有必然关系。

微软开源抓出 SolarWinds 黑客的工具代码

微软利用 GitHub 的 CodeQL 发现其源代码是否在 SolarWinds 供应链攻击中被修改。为了调查 SolarWinds Orion 软件更新中植入的恶意软件,微软开源了其使用的 CodeQL 查询。微软使用 CodeQL 查询分析其源代码,确认其源代码中没有与 SolarWinds 事件相关的泄密指标和编码模式。

CodeQL 是一个语义代码分析引擎,它可以扫描发现代码库中的漏洞。使用 CodeQL,可以像对待数据一样查询代码。

这是一个有用的工具,更好是,微软开源了其抓捕黑客代码的知识,这种积极主动开源的心态值得点赞。果然是开源大厂。

Google 承认 Kubernetes 容器技术太复杂

Google 的 GKE 产品负责人,尽管有过去六年的进步,Kubernetes 仍然难以置信的复杂,过去一年他们看到很多企业用户拥抱 Kubernetes,但随后就陷入了困境。

Google 推出了新的 Autopilo 服务尝试简化配置和管理,可以通过预配置选项在减少灵活性的同时增加方便性。

相对来说,AWS 等厂商的 Kubernetes 发行版在易用性方面就比原版的强出不少。

LastPass 安卓应用中有 7 个嵌入式追踪器

一份关于著名的密码管理器 LastPass 的报告显示,它的 Android 应用中有 7 个追踪器,其中包括来自谷歌的 4 个追踪器,目的是进行分析和崩溃报告。这些追踪器收集到的信息包括正在使用的设备、移动运营商、账户类型、谷歌广告 ID 等。LastPass 表示这些数据用于帮助改进和优化产品,并且用户可以设置关闭。

而对于其它的密码管理器,1Password 和 KeePass 中没有追踪器。开源的 Bitwarden 有两个,用于谷歌的 Firebase 分析和微软 Visual Studio 崩溃报告。

我觉得,对于密码管理器这样的安全敏感应用,还是要谨慎点好。

SolarWinds 攻击至少需要有 1000 位工程师

这场长达数月的,可能影响了多达 1.8 万家美国政府机构和网络安全厂商的黑客攻击活动,是通过在 SolarWinds 的 Orion 网络管理软件内植入木马进行的软件供应链攻击。

微软总裁布拉德•史密斯在访谈中谈到,“我认为从软件工程的角度来看,可能可以说这是世界上有史以来规模最大、最复杂的攻击”。微软也是这次攻击的受害者之一,为了调查这次攻击,微软指派了 500 名工程师参与了调查。史密斯认为,“当我们分析在微软看到的一切时,我们问自己大概有多少工程师参与过这些攻击。而我们得出的答案是,肯定超过 1000 人。”

据悉,攻击者只在 Orion 内重写了 4032 行代码,而 Orion 由数百万行代码组成。

我认为,这么大规模、处心积虑的攻击行为,背后没有一个严密的组织是不可能的,不过这个规模还是令人吃惊的。

开源 Web 扩展项目中的恶意程序问题

一些广为流传的 Chrome 开源扩展在变更了控制权之后,变成了恶意软件。这包括 The Great Suspender 的所有权在去年 10 月转移给一个未公开身份的人之后,推送了恶意更新,它会下载和执行第三方 JavaScript 脚本,并关闭了自动更新机制,这意味着即使恶意代码移除现有用户仍然会继续使用恶意版本。谷歌最近决定强制移除该恶意扩展。

这样的事情并不鲜见,还包括 uBlock 转移所有权之后,被新的维护者用来牟利和让广告商付费免除屏蔽;Nano Adblocker 和 Nano Defender 也在转移后变成了恶意扩展。

用户往往不会注意也不会得到开源的扩展应用所有权转移的通知,这就为使用开源扩展带来了潜在的风险。因为,谷歌并不会对这些扩展进行事先的人工审查,而用户基于之前的口碑也往往在受到侵害后才可能发现问题。

我认为,这个问题需要得到重视,作为托管这些扩展的谷歌商店,应该建立相应的机制,最起码可以做到明确提醒所有权变更,或对刻意的更新进行更严格的审查。

谷歌在称赞其 Stadia 工作室一周后,关闭了它

谷歌在 2 月 1 日出人意料地宣布,将关闭 Stadia 游戏开发工作室。但这一消息不仅仅是对 Stadia 客户的惊吓,对于 Stadia 开发团队来说更是晴天霹雳。据报道,就在一周前,Stadia 开发团队还被告知,工作室正在取得“巨大的进步”。

据报道,谷歌副总裁、Stadia 总经理哈里森承认,当他发邮件赞扬团队的进展时,谷歌的高管们已经知道关闭的消息了。

我认为,这也太儿戏了,这些领导人说的话都是官样文章,你相信就天真了。