一周海外安全事件回顾(2013.12.30 – 2014.01.04)

2014-01-06 +10 129788人围观 ,发现 11 个不明物体 头条

    世人的眼光尽被NSA的“百宝箱”吸引过去,人们惊讶地看到TAO的工具包堪比多啦A梦的口袋。然而,本人认为,在本周更让人感兴趣的是社会化媒体的“沦陷”。

社会化媒体的“沦陷”
Snapchat的用户信息泄露和微软Skype Twitter账号的被黑。


    Snapchat 用户信息被盗,黑客把460万用户的用户名和手机号PO到了网上。这是黑客在圣诞期间献给广大互联网用户的一份“厚礼”。

    这个事件在本周持续发酵。人们的疑问是:黑客到底是怎么得到的460万的用户信息。从Snapchat公司博客上纰漏的公告来看,是利用了“Find Friends”功能的脆弱性。
    之所以没有用漏洞而用脆弱性,个人认为“Find Friends”很难称之为漏洞。"Find Friends"类似很多社会化媒体软件中通过手机“联系人”列表(Address List)添加好友的功能。用户可以上传手机联系人列表,Snapchat将联系人列表中的手机号与库中的登记用户进行比对,发现匹配则可以添加为好友。不难发现,通过联系人列表添加好友的关键是电话号码的匹配。
    有问题吗?有点问题。Snapchat如何确认匹配的电话号码就是上传者的好友呢?
    然而,就是这样一个小“问题”都可能会黑客利用。理论上讲,如果一个人上传一个巨大的电话列表,大到包含所有可能存在的美国手机号,交给Snapchat来匹配,Snapchat就将返回所有使用美国手机号的Snapchatters。这就是Snapchat公司公布的、该安全事件背后的可能性。
    有的朋友会说,这不就是“撞库”嘛!有尼玛什么技术含量?!不过,我想任何一个高超的黑客首先考虑的是实现什么目的,以及如何最方便的实现这个目的,而不会care这个技术手段有多么先进和复杂。
    不知道类似微信或微博客户端中使用联系人列表添加好友是否也采用了类似的机制。
    Snapchat不是最近唯一落马的社会化媒体应用。还有Twitter。在本周,叙利亚电子军(SEA)拿下微软Skype的Twitter和博客账号。SEA通过微软Skype的Twitter账号发布了警告,呼吁用户不要使用微软电子邮件(hotmail,outlook)。电子军称,微软公司监控其邮件系统,并将数据卖给美政府。

    Twitter很好很强大,但是遇到很“黄”很暴力的SEA就像遇到自己的克星。SEA(叙利亚电子军)不止一次地搞Twitter,不止一次地震惊安全界。不过,笔者认为,问题不在Twitter,而是微软自己的问题。笔者猜测此番SEA入侵Skype的Twitter账号的手段与今年5月SEA拿下Onion 的Skype账号没有什么不同。
    在5月份SEA攻击Onion的事件中,SEA首先发送钓鱼邮件给Onion的员工,结果只有一个中招。然后SEA再伪造该员工的邮件发送钓鱼邮件获得IT部门员工的回复。最后,借助Google APP的授权功能获得了Onion 维护Skype人员的登录账号和密码。然后,大家都知道,发生了类似微软Skype的安全事件。
    SEA是2013年众多黑客组织中的一匹黑马。个人认为SEA的整体素质和技术实力要在另一个伊斯兰黑客组织Izz ad-Din al-Qassam Cyber Fighters(网络战士)之上。网络战士更多依靠DDoS攻击。而SEA的武库中,既有DDoS攻击,又有漏洞利用、DNS劫持和鱼叉式钓鱼攻击,非常丰富。

 2014年,SEA,我看好你哦!

“伤不起”的游戏玩家
你玩哪个游戏,老子就攻击哪个游戏。


    “一支自动步枪指着我,他们给我戴上手铐,把我扔到警车的后座。我亲眼看到6名警察进入我的屋子里(搜查)。”然而,在Facebook上发布上述消息的人并非犯罪分子,事实上,他是一名被害者。

    他的网络ID是Phantom l0rd,他是一名相当专业的视频发布者,他在Twitch上有35万粉丝。
    显然,他冒犯了某些人。一个名叫“DERP”的黑客组织为了追杀Phantom l0rd,不惜向包括Battle.net和EA公司等多个游戏网站发起DDoS攻击,并导致多个游戏/网站无法访问。
    攻击的原则很简单:Phantoml0rd玩什么游戏,DERP就攻击哪个游戏。

我们来看一下这些游戏/游戏公司的名单,相当震精。

1)    英雄联盟(League of Legends) 
2)    Dota 2
3)    企鹅俱乐部
4)    Battle.net (包括战地等游戏)
5)    EA.com.(包括FIFA在内,涉及PC,Xbox 360、Xbox One和前端商店等多个平台)

    太凶残了!这不仅仅是要将Phantom l0rd赶尽杀绝,而且是在向全球的游戏玩家发起挑战。
Okey,让我们回到警方突袭Phantom l0rd住所前的几个小时。当时,警方接到一个报警电话,说某个地方发生了一起人质劫持案。而那个地方,正是Phantom l0rd的住所。Well,现在你应该知道怎么回事了。
    伤不起啊!惹不起啊!
    不过,Phantom l0rd,你丫也太堕落了!这么多游戏玩的过来吗?也许逃离类似事情最好的方式是:永别互联网络。


TAO堪比多啦A梦口袋的“百宝箱”
只有你想不到的,没有NSA办不到的。


   关于本周曝光的、TAO宛若多啦A梦口袋般“百宝箱”的事件,国内外媒体报道很多。关于“百宝箱“里都有啥,哪些厂商中枪/躺枪,本文不再赘述。

对于“百宝箱”事件,我想说三点:

1、只有你想不到的,没有NSA办不到的。真没啥好震精的,习惯就好。
2、在天朝,以思科为首的外企将面临更为严峻的商业环境。外企的冬天真的不远了?
3、“明镜”将取代“华邮”和“卫报”成为今后曝光的主要渠道。“华邮“踯躅,“卫报”自身难保,而“明镜”的异军突起很难说背后是否有德国政府的支持。

(完)

参考:

1、FindingFriends with Phone Numbers,

http://blog.snapchat.com/post/71353347590/finding-friends-with-phone-numbers

2、Skypewebsite, Twitter account hacked by 'Syrian Electronic Army',http://www.digitalspy.co.uk/tech/news/a541031/skype-website-twitter-account-hacked-by-syrian-electronic-army.html

3、Howthe Syrian Electronic Army Hacked The Onion,http://theonion.github.io/blog/2013/05/08/how-the-syrian-electronic-army-hacked-the-onion/

4、EAlogin servers experience DDoS attack, Origin offline (update),http://www.polygon.com/2014/1/2/5268652/origin-servers-experience-ddos-attack

5、DERPhacking group says it took EA's Origin servers and Battlefield 4 offline,http://www.gamespot.com/articles/derp-hacking-group-says-it-took-ea-s-origin-servers-and-battlefield-4-offline/1100-6416903/

6、Hackerstake down League of Legends, EA, and Blizzard temporarily [UPDATE],http://www.gamespot.com/articles/hackers-take-down-league-of-legends-ea-and-blizzard-temporarily-update/1100-6416869/

7、Shoppingfor Spy Gear: Catalog Advertises NSA Toolbox,http://www.spiegel.de/international/world/catalog-reveals-nsa-has-back-doors-for-numerous-devices-a-940994.html

8、美国国安局(NSA)工具库大揭秘,http://www.freebuf.com/news/22073.html

(2014年1月5日,@blackscreen)

发表评论

已有 11 条评论

取消
Loading...
css.php