一周海外安全事件回顾(10.28 –11.01)

2013-11-04 155101人围观 ,发现 15 个不明物体 头条安全报告

SIW - logo


小编:本文是FreeBuf专栏作者BlackScreen对上周海外安全热点信息的精彩回顾,强烈建议大家关注。

正文:

在刚刚过去的一周,Vicarious创新算法对CAPTCHA的破解、Adobe对月初公布的3百万用户信息被窃的“反悔”,和斯诺登公布的涉及谷歌网络监听的胶片都是值得关注的新闻。当然,也存在类似“内藏监听模块的中国电熨斗”之类无聊的话题。

 

一个叫Vicarious的创业公司公布了一个不大不小的消息:我们破解了CAPTCHAhttp://www.forbes.com/sites/roberthof/2013/10/28/ai-startup-vicarious-claims-milestone-in-quest-to-build-a-brain-craking-captcha/)。据他们说,他们的新算法对Google
reCAPTCHA
的破解率超过90%。该算法打破了常规破解依赖数据库和图形比对的套路,采用类似人类眼球的扫描机制,经过数次扫描确定图片字符。


 

更为有趣的是,貌似Vicarious公司有意打Google的脸。Google25日刚宣布对reCAPTCHA的升级,号称对于人类更简单,对僵尸(bots)则更灾难。Vicarious在这个节骨眼上发布对reCAPTCHA如此之高的破解率,着实让Google有点难堪。是不是炒作不知道,但是单单选择在Google系统升级之后立刻发布破解,应该不是偶然了。

 

Adobe说了,抱歉,丢失信息的用户数是3800,不是3百万(http://www.freebuf.com/news/15865.html)。今年八月,黑客利用Adobe产品漏洞入侵了Adobe服务器。在103日,Adobe曾宣布该安全入侵事件导致3百万用户的个人信息被窃取。此外,还有包括AcrobatColdFusion等软件的部分源代码被盗。在最新的公布中,不仅丢失信息的用户数翻了十几倍,丢失源代码的软件列表里还增加了PhotoShop。拜托,有没有点专业精神,差点就差点了,您这一差就十万八千里啊!


 

斯诺登可能是缓过来了,按照游戏的说法,就是补血了。小斯不仅在俄罗斯公开露面游玩,又黑了NSA一把。在斯诺登公布的、一张NSA手绘的标有最高机密的PPT胶片上,我们看到两张网,一张是公共互联网,一张是谷歌云,两张网中间由一个叫GFE的设备连接。这个GFE就是谷歌前置服务器(Google Front End server)。最刺激的是GFE下面写了这么几个字:SSL Added and removed here !此外,旁边还画了一个笑脸(http://www.washingtonpost.com/world/national-security/nsa-infiltrates-links-to-yahoo-google-data-centers-worldwide-snowden-documents-say/2013/10/30/e51d661e-4166-11e3-8b74-d89d714ca4dd_story.html)。

有的人就是手贱。听就听了,还画笑脸干嘛?如果没有那张笑脸,可能谷歌也不会像其首席隐私官形容的那样愤怒(outraged)。这张图片公布后,Google称,“我们没有和NSA合作,而且我们也不知道他们一直在监听我们的光纤网络。”咳,至少现在可以说,Google,现在你知道了。问题是,你想怎样?

 

接下来,说个有意思的。俄罗斯电台报道,产自中国的电熨斗里竟然暗藏监听芯片http://www.freebuf.com/news/15753.html)!这篇最初于28日发布在BBC网站上的新闻着实令人大开眼界。据说在原产自中国的电熨斗里发现了wifi模块,还有类似微型mic之类的监听装置。我想,如果这一切都是真的,那么发明这种装置的中国科学家脑子一定被驴踢了。


 

首先,没有密码的wifi网络实在太少了,就算找到了,怎么能保证那个没密码的wifi就是你要渗透的网络?如果就是按照连接public网络设计的,拜托,在国内上传“马儿”不好吗?还尼玛非得跑到圣彼得堡找个公共和免费wifi上传?其次,把监听设备放到电熨斗里是受了哪位大师的启发?你家电熨斗24小时插在插销上?最后,回到最基本的一个问题上,你打算把这个电熨斗卖给谁?是否也要贴个俄罗斯航天局专供?

 

OhNO!这太不科学了!

 

上周四,AnonymousYouTube上发布视频,宣布要向新加坡政府宣战http://www.straitstimes.com/breaking-news/singapore/story/youtube-video-anonymous-hacker-group-threatens-attack-singapore-201310)。Anons认为新政府推出的认证制度损害了新闻自由。不过,自从AnonymousFBI从内部搞了一下之后,元气大伤,今年以来若干次各种代号的行动基本都是草草收场,颜面尽失。因此,此番对新政府的威胁可能又是瞎咋呼。

anonymous-singapore

 

Anons相比,叙利亚电子军(SEASyrian Electronic Army)就实在多了。人家真是实打实不玩虚的。SEA称,他们成功黑掉了总统奥巴马的网站、Twitterfacebook和邮件,还在奥巴马的twitterfacebook上面更新了几条信息。(http://www.freebuf.com/news/15597.html)。


 

这让我想到另一个穆斯林黑客组织 —— Izz
ad-Din al-Qassam Cyber Fighters
,从去年9月开始,四轮DDoS大闹华尔街(
http://www.bankinfosecurity.com/ddos-phase-4-attacks-launched-a-5960)。SEA也不含糊,在此番黑奥巴马账户之前,已成功入侵Twitter, 纽约时报美联社,华盛顿邮报, NPR, 路透社,霍芬顿邮报等多个主流媒体组织的系统或暂时性控制其社会化媒体账号(http://www.huffingtonpost.com/2013/09/04/anonymous-syrian-electronic-army_n_3867802.html)。

 

最后值得一提的就是NQNYSE(纽交所)的潮起潮落了。自从在上周被浑水(Muddy Water)的一个报告瞬间打入十八层地狱,蒸发5亿美金之后(http://www.forbes.com/sites/afontevecchia/2013/10/24/nq-mobile-a-massive-fraud-worth-0-muddy-waters-says-as-500m-is-wiped-out/),NQ发起了反击。发布澄清报告,回购3500万美金股票,向渣打银行注入1亿美金,并在长弓基金和SAC资本大量收购NQ股票的配合下,使得NQ股票在本周连续4天上涨86%。虽然周五股价稍跌,但是能在如此之短的时间里有效反击也实属不易了。


不过,一个多礼拜里,上下十几块钱的震荡(8 ~ 24块),着实让人心惊胆战。一个中国公司在美国上市真是不容易,一个中国的安全公司在美国股市打拼就更不容易了。

这些评论亮了

  • Breaker (2级) 回复
    这个好,最好每周再弄个国内的
    )12( 亮了
  • Annie Zhang 回复
    非常不错,赞这种总结分享,这样看起来方便多了。
    )6( 亮了
发表评论

已有 15 条评论

取消
Loading...
css.php