主站

分类

漏洞 工具 极客 web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据库安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

FreeBuf+小程序

官方公众号企业安全新浪微博

国内领先的互联网安全新媒体,同时也是爱好者们交流与分享安全技术的社区

Buf早餐铺 | 澳大利亚48,270雇员信息从第三方泄漏;LeakTheAnalyst行动失败,宣称侵入FireEye的黑客被捕;西方科技巨头参加中国国际安全博览会
2017-11-06 07:00:49

今天的早餐包括:由于错误的Amazon S3配置,来自政府、银行等机构的48,270澳大利亚雇员的信息泄漏;加州一男子曾建立77,000设备的僵尸网络为付学费,法院轻判2年缓刑,现已在斯坦福继续学习;ATM设备窃取全世界基于芯片的银行卡;Savitech USB音频驱动附带根证书,存在安全隐患;发起 #LeakTheAnalyst 行动宣称自己黑了 FireEye 的黑客目前被捕,FireEye负责人发言;1/4的企业使用的是仅靠密码的BYOD策略;西方科技巨头纷纷参加中国国际安全博览会;全国网信系统重拳出击,约谈798家违规网站。

flat_coffee-01.jpg

【国际时事】

由于错误的Amazon S3配置,来自政府、银行等机构的48,270澳大利亚雇员的信息泄漏

自红十字会泄密以来,这次泄漏近5万名澳大利亚员工的个人信息是目前最大的信息泄漏事件。由于错误的Amazon S3 bucket 配置,第三方承包商处的48270条个人信息记录在线公开,这些员工都是受雇于政府机构,银行和公用事件部门。这些在线公开的文件中包含的信息有雇员的全名,密码,ID,电话和电子邮件,甚至还有信用卡密码,员工工资,费用等机密信息。

1509610535362.jpg

也有媒体表示,泄漏的信用卡号码大部分是过时的或已取消的。保险公司AMP也在此次事件中受到了重创,涉及的员工记录达到了2.5万人;澳大利亚UGL公司则有17,000条记录;财政部约有3000名雇员信息泄漏,澳大利亚选举委员会则有1,470名,全国残疾保险局有300名,还有荷兰合作银行1,500名雇员受到影响。

[来源:infosecurity]

Pwn2Own上白帽子们通过破解移动设备获得$500,000奖金

Mobile Pwn2Own 2017 大赛由趋势科技 Zero Day Initiative(ZDI)团队组织,作为第15届 PacSec2017(太平洋安全大会)的一个环节,于北京时间 11 月 1 日到 11 月 2 日在东京举行。据了解,Mobile Pwn2Own2017 是历届以来比赛项目最多、奖金最高、参赛团队规模最庞大的一次,吸引了来自北美、欧洲和以中国为主力的亚洲顶尖安全研究团队参赛。参加比赛的白帽子成功针对运行最新版本操作系统的主流智能手机进行攻击,累计获得 495000 美元的奖金。

Mobile-Apps-Security2.jpg

苹果、谷歌和华为等知名厂商在大赛前一晚纷纷发布修复补丁,但也没能阻止技术高超的黑客们。他们针对三星 Galaxy S8、iPhone 7 和华为 Mate 9 Pro 等移动设备中的浏览器、短距离通信(Wi-Fi,蓝牙和NFC)、短信和基带组件等进行破解,且大多都获得成功。最终,腾讯科恩实验室获得比赛的总冠军,360 安全团队获得第二名。

[来源securityaffairs]

加州一男子曾建立77,000设备的僵尸网络为付学费,法院轻判2年缓刑,现已在斯坦福继续学习

2013年匹兹堡法官判处一名恶意软件开发人员两年缓刑。这名加州一男子建立了超过77,000计算机的僵尸网络发送垃圾邮件。这名男子名叫Sean Tiernan,现年29岁。联邦调查局称,他控制着这个僵尸网络,并将这个僵尸网络出租给其他人发送垃圾邮件而获利后,用这些钱支付自己的学费。

Cyber-Map.png

法官在判处时考虑了他实际造成的经济损失不大,而出租的盈利用来付学费等原因,轻判其2年缓刑。2013年被捕的时候他是Cal Poly的学生,现在他已经选择走上了网络安全的道路,并在安全行业从业。据他的律师表示,他现在还参加了斯坦福大学的信息安全研究生项目,并为成为一名CISSP努力着。

[来源:bleepingcomputer]

【国内新闻】

西方科技巨头瞄准中国监控市场商机

上周多家美国科技巨头和中国国有企业齐聚深圳,参加了第十六届中国国际公共安全博览会(简称:安博会),展示了安防领域的未来,并希望在全球最大的监控设备市场分一杯羹。作为全球最大的安防展会之一,安博会吸引了来自全球各地的企业,他们展示了驱动监控设备行业技术进步的最新发明和算法。中国目前在这个行业处于领先地位。在展会上可以看到人脸识别摄像机,虹膜扫描仪,可以读取人物表情的软件,以及可以在黑暗中扫描车辆牌照的摄像机。

BN-VX309_CSPYTE_G_20171101072908.jpg

IHS Markit数据显示,去年中国监控设备市场规模达到64亿美元。随着政府加大对14亿国民的监控力度,中国成为监控技术领域的大买家。对于寻求出口监控设备的美国制造商来说,这是一个好消息。

希捷技术公司(Seagate Technology PLC, STX)、高通公司(Qualcomm Inc., QCOM)和联合技术公司(United Technologies Co., UTX)等多家外国公司都在这次安博会上推广他们的产品,潜在客户包括中国公安部门、政府官员和企业。[来源:cn.wsj]

全国网信系统重拳出击,约谈798家违规网站

三季度,全国网信系统认真贯彻执行《网络安全法》《互联网新闻信息服务管理规定》等法律法规,持续加大行政执法力度。严肃查处网上各类违法信息和网站,累计约谈违法违规网站798家,警告问题突出网站137家,会同电信主管部门取消违法网站许可或备案、关闭违法网站3131家,移送司法机关相关案件线索903件,有关网站依照用户服务协议关闭各类违法违规账号50万余个。

_96291342_027869497-1.jpg

针对利用互联网发布、传播危害国家安全、荣誉和利益,煽动颠覆国家政权、推翻社会主义制度,煽动分裂国家、破坏国家统一等严重违法行为,各级各地网信部门会同电信主管部门予以依法查处。山东、河南、北京、河北、广东依法关闭鱼乐网、章丘人论坛、法网头条、每日趣闻、无觅网、丰顺论坛等违法网站。腾讯微信、新浪微博等互联网信息传播平台依照用户服务协议关闭澎湃观察、摩羯孙泉、鲁西一狂徒等一大批违法账号。

Savitech USB音频驱动附带根证书,存在安全隐患

2015年的联想Superfish事件和2016年的戴尔eDellRoot事件之后,台湾盛微先进(Savitech)公司也出现了对用户具有潜在危害的事件——SavitechUSB音频驱动程序包附带根证书。这个驱动程序被提供给多个硬件供应商,来支持他们通过USB端口运行的音频设备。像华硕AsusTek、EMC、Intos、Creek Audio等供应商。

RSA安全研究员肯特·巴克曼发现了Savitech根证书的安装过程,并且只有公司的USB音频驱动安装包才会安装根证书。

USB.jpg

Savitech承认了这个问题,一位公司发言人表示,他们在Windows XP系统上添加了支持驱动程序签名的根证书。公司决定为了用户安全放弃对XP的支持,在Windows之后的版本不不再用这个驱动。Savitech的发言人还表示“我们已经从2017年3月31日发布的标准软件包v2.8.0.3中删除了安装SAVITECH证书的代码”。

虽然v2.8.0.3版本的音频驱动程序包不再安装根证书,但是也不会删除它,用户必须从Windows信任的根存储库中删除根证书。建议用户搜索并删除这两个Savitech的根证书,以确保安全。因为一旦泄露,该证书也可以用来签名恶意软件。[提供者:JingleCats,参考来源:BleepingComputer]

【企业安全】

1/4的企业使用的是仅靠密码的BYOD策略

据Bitglass调查表示,超过四分之一(28%)的组织仅仅依靠用户自己的密码来保护办公室自带设备,而这种策略可能会带来巨大的安全风险,使无数终端遭受破解和信息盗窃。在最近的Gartner研讨会上,他们向200多名IT和安全专业人员进行了调查。调查结果指出,Deloitte和Zomato在内的一些重大数据泄露事件都可以追溯到这种密码保护认证的机制。员工手机上进行多重身份验证时,第三方应用程序(42%)和SMS令牌(34%)是最受欢迎的。

byod.jpg

而员工在使用生物识别技术进行验证时仍然持有不同意见:61%的受访者表示对苹果新的Face ID系统持保留态度。这个调查结果与MFA供应商Secret Double Octopus最近的一项研究相矛盾,他们发现,大中型企业中81%的员工认为Face ID是值得信赖的,91%的人认为它易于使用。Bitglass调查中发现受访者最担心的问题时人脸检测(40%),未经授权的访问(30%)和人脸检测(24%)的速度。至于BYOD,受访者的认为2018年的安全首要任务是应对外部共享(44.5%),恶意软件防护(40%)和非管理设备访问(39.5%)。

[来源:infosecurity]

【Web安全】

研究员发现Zeus Panda 银行木马利用谷歌搜索结果的“黑客SEO”方法传播

研究人员发现一伙犯罪团伙现在用一种新的方法传播病毒。Zeus Panda黑客组织依赖于已经被黑的那种网站,然后在页面中插入精心选择的关键词,或者把关键词藏在页面中。这个黑客团伙利用的是Google的SERP(Search Engine Results Pages)系统,针对那些关于在线银行和个人金融的关键词结果,他们提升了被黑网站的排名。

SEO-banking-trojan.png

比如,如果有人搜索了拉赫杰银行斋月营业时间,就会在Google的第一个搜索结果看到恶意链接。点击这些链接的用户被重定向到被黑的网站,然后网页上执行js代码,一层一层跳转,最后被重定向到一个word文档下载页面。用户收到的Word文档跟那些垃圾邮件里的word文档一样,唯一的区别就是下载渠道。

这样新型攻击的创意就在于攻击者把SEO僵尸网络(专门用于提升被黑网站SEO排名的网络)与重定向攻击结合了起来。[来源:bleepingcomputer]

【黑客行动】

发起 LeakTheAnalyst 行动,并宣称自己黑了 FireEye 的黑客目前被捕

近日,警方逮捕了#LeakTheAnalyst Mandatory 侵入事件中的一名嫌疑人。FireEye 首席执行官兼董事 Kevin Mandia 表示“在过去90天里,我们与国内外执法机构密切合作、协助调查并查明了袭击我们一名雇员的匿名人士,他们谎称侵入了我们的企业网络,现在真相大白了“。

Mandiant.jpg

此前这名嫌疑人黑掉了一名安全分析员的社交网络账号,表示已经进入FireEye内网,后续会针对安全分析师进行行动。与此同时,FireEye在此次事件结束后还公开了公司2017年Q3的财务记录。

[来源:bleepingcomputer]

【终端安全】

ATM设备窃取全世界基于芯片的银行卡

黑客继续使用ATM分离器攻击ATM机,并且攻击设备愈发复杂,最新一波的攻击使用的是名叫Shimmers的攻击设备。这种使用分离器的攻击越来越多,攻击者往往把一个跟威化饼干差不多厚的设备插入ATM卡槽。插入的设备可以捕捉到银行卡数据,然后存储到内置的闪存中。

SHIMMERS-Dark_THUMBNAIL.jpg

今年7月,调查员Brian Krebs称,有些攻击事件中,黑客使用红外无线地传播数据。大家知道红外是一种短波的通讯技术,我们每天使用红外遥控控制电视节目。Krebs所举的例子是几周前在俄克拉何马州发生的事件,事件中至少四家银行遭到了攻击。新型的Shimmers攻击设备已经出现在了加拿大。对此加拿大政府警告称,这种新的攻击设备可以在持卡人使用POS机的情况下,从基于芯片的信用卡和借记卡中获取数据。

[来源:securityaffairs]

本文作者:, 转载请注明来自FreeBuf.COM

# 早餐
被以下专栏收录,发现更多精彩内容
+ 收入我的专栏
评论 按时间排序

登录/注册后在FreeBuf发布内容哦

相关推荐
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦