FreeBuf早报,安全圈值得关注的每日大事件
【全球动态】
1. 谷歌发布面向计算隐私的开源工具【外刊-阅读原文】
谷歌发布了一款全新的开源加密工具,旨在提高敏感数据集的隐私性。该工具名为Private Join and Compute,可帮助那些与机密数据服务商合作的公司。私有计算允许公司在数据库中共享数据,这些数据在各种计算过程中将保持加密状态。然后,他们可以以汇总统计的形式查看解密的最终结果。
2. 中国电信“违规发卡”后续:被责令整改不规范行为 【阅读原文】
几天前,于见曾经关注了一次“高考期间中国电信向高考生违规发放未经实名认证手机卡”的事件,该事件一度在网上引发了轩然大波。举国重视的“高考季”,电信竟然为了开卡而选择在这个档口对高考学生“下手”,并且还不是个例,再加上一直号称的“严格实名制认证”,电信的这一次行为惹怒了大量网民和孩子家长。电信这一次的“高考期间向高考生违规发放未经实名认证手机卡”事件一次违反了相关部委规定。现场发放未经实名认证的白卡,要求学生领取白卡后前往营业厅激活使用,现场无任何用户选号及实名认证的流程。此举违反了《工业和信息化部关于印发电话用户真实身份信息登记实施规范的通知》(工信部网安〔2018〕105号)。
3. 百度:5月打击色情、赌博等有害信息34亿条【阅读原文】
6月19日消息,百度正式发布5月信息安全综合治理月报,向网民周知,百度利用人工智能等技术在处理网络虚假有害信息、保护网民权益方面的相关行动和信息。报告显示,2019年5月,仅在网络推广方面,百度就拒绝医疗变体词3500万个,下线不合规广告数量2.37亿条。百度内容安全中心通过全方面手段,人工巡查色情、赌博等相关有害信息579.2万余条;利用技术干预,机器大数据挖掘打击色情、赌博等相关有害信息34亿余条。
4. 美参议员:应废除科技公司豁免权 使其对平台内容负责【阅读原文】
据美国财经媒体CNBC报道,美国共和党参议员约什·霍利(Josh Hawley)昨日提出了一项立法提议,建议取消科技公司依据《通信规范法》(CDA)第230条所获得的用户发布内容的责任豁免权。最近几年,限制《通信规范法》豁免权的建议赢得了美国两党的支持,因为一些科技公司正利用该豁免权在其网络平台上容许保存一些具有攻击性和非法的内容,如恐怖主义宣传,以及国外的选举干预等。业内人士称,废除豁免权可能会迫使这些科技公司使用一种新的编辑系统,在发布之前,用户发布的每一篇内容都必须经过审查,以确定是否存在非法或诽谤内容;而不是在内容发布后有可能被数百万人浏览后,依靠算法和人工核实程序对其进行扫描。这将从根本上改变依赖于大量用户生成内容的公司的商业模式,包括所有大型社交网络。
5. Facebook 数字货币引发监管机构关注【阅读原文】
Facebook 周二宣布了发行新数字货币 Libra 的计划,立即引发了监管机构的回应。七国集团称,将设立一个高层论坛,研究此类货币对金融体系构成的风险,他们还将讨论如何确保洗钱活动得到遏制。Facebook 表示,Libra 将由硬资产、一篮子货币和证券支撑,以保证信誉和价值稳定。用户将能够通过自己的手机进行即时且近乎免费的国际转账。英国央行行长 Mark Carney 表示,英国央行对这一计划持 “开放态度”,但并非 “敞开大门”。来自监管机构和政策制定者的这波迅速关注,对 Facebook 将是一记重击,该公司原本希望得到宽松的监管。
6. 三星建议客户定期对智能电视进行杀毒扫描【阅读原文】
三星的 Twitter 支持账号 Samsung Support USA 发表短视频建议客户定期对智能电视进行杀毒扫描,以防止恶意软件攻击。三星后来删除了帖子,它在一份独立声明中称,该公司对安全十分重视,其产品和服务在设计时就将安全铭记于心。三星说它的帖子可能会令人产生困惑,它想澄清的是这只是向客户传达智能电视的一项功能。专家对此认为三星的建议没什么意义,是浪费时间,因为没多少恶意程序会去攻击电视。
7. Google Chrome浏览器开始阻止令人困惑的URL网址【阅读原文】
谷歌已经宣布了对Chrome浏览器用户的一些新保护措施,因为该公司希望降低用户登陆网络钓鱼网站的可能性。首先,当用户试图加载被描述为“令人困惑的URL地址”时,应用程序将开始警告用户。基本上,一个令人困惑的URL网址被认为是一个地址为go0gle.com的页面,它显然试图模仿google.com,通常是钓鱼攻击的一部分,以窃取用户凭据。由于此类尝试的次数激增,当用户将浏览器指向如此混乱的URL时,Google Chrome现在会显示一条新的警告。Chrome产品经理Emily Schechter表示:”此新警告通过将当前网页的URL与最近访问过的网页的URL进行比较而起作用。如果URL看起来很相似,可能会使您感到困惑或欺骗,我们将显示一条警告,帮助您回到安全状态。”此外,谷歌Chrome还推出了一个新扩展,其角色是专门允许超级用户报告可能包含在网络钓鱼攻击中的可疑域名。
8. Facebook、Twitter和谷歌将就在线恐怖主义内容向国会作证【阅读原文】
据外媒CNET报道,Facebook、Twitter和谷歌计划本月晚些时候在美国众议院国土安全委员会就美国在线恐怖主义内容作证。正如彭博社周三早些时候报道的那样,听证会还将关注社交媒体平台上的虚假信息传播。Facebook向CNET证实,该公司代表将在听证会上作证,该听证会将于太平洋时间6月26日上午7点举行,并在委员会的网站上进行直播。那些计划在听证会上作证的人包括Facebook全球政策管理主管Monika Bickert; Twitter全球公共政策高级策略师Nick Pickles; 和谷歌全球信息政策总监Derek Slater。这场听证会被称为审查社交媒体公司打击在线恐怖内容和虚假信息的努力。
9. Canonical为所有Ubuntu版本提供重要的Linux内核安全更新【阅读原文】
Canonical为所有受支持的Ubuntu Linux版本发布了一个重要的Linux内核安全更新,以解决可能导致用户系统崩溃的两个重要安全漏洞。在最近的安全公告中,Canonical详细介绍了两个最近发现的安全漏洞 (CVE-2019-11477 何 CVE-2019-11478),它们在处理某些特定的TCP选择性确认(SACK)时会影响Linux内核的TCP重传队列实现。这两个安全漏洞都是由Jonathan Looney发现的,可能会导致远程攻击者通过拒绝服务来破坏受影响的系统。它们被称为SACK Panic,它们会影响所有支持的Ubuntu Linux版本,包括Ubuntu 19.04,Ubuntu 18.10,Ubuntu 18.04 LTS和Ubuntu 16.04 LTS。
【安全事件】
1. 美国佛罗里达州向勒索软件运营者支付60万美元赎金,以恢复其数据【外刊-阅读原文】
美国佛罗里达州里维埃拉海滩市议会本周投票支付超过600,000美元给一个勒索软件团伙,因此市政官员可以恢复三周前被锁定和加密的数据。据哥伦比亚广播公司的新闻报道,在官方得出结论认为没有其他办法可以恢复该城市档案之后,就做了这个决定。今年5月29日,里维埃拉海滩警察局员工在网络上打开了一封电子邮件并遭到勒索软件感染,之后整个里维埃拉城的公共数据库均被感染。
2. 恶意软件Dropper使用挖矿脚本感染Linux服务器【外刊-阅读原文】
安全研究人员发现了一个加密的dropper恶意软件,同时通过添加cron任务来获取持久性,以便在被删除后重新感染受感染的计算机。恶意软件最初是在Web服务器上发现的,其中恶意进程占用了大量CPU,主机感染之后便会使用所有可用计算资源进行加密货币挖掘。来自Sucuri的安全分析师Luke Leal在仔细研究后指出,攻击者通过未知方法在服务器上运行Bash脚本来下载挖矿软件,其中最有可能的途径是利用未修补的漏洞获得管理员凭据。
3. 广告公司泄露美国退伍军人受伤数据【外刊-阅读原文】
一家总部位于美国佛罗里达州的广告代理商在互联网上公开了一个数据库,该数据库泄露了过去广告活动的详细信息,包括有关医疗事故案件的信息以及美国退伍军人在战斗中受伤的敏感细节。研究人员表示,该数据库包含了填写表格的用户的150,000多条回复。这些表格中包含的数据通常包括全名、电子邮件地址、家庭住址、电话号码以及与其案件相关的详细信息——主要涉及医疗损伤。
4. 阿根廷全国大停电,可能遭遇网络攻击【阅读原文】
继3月委内瑞拉全境大规模停电事件后,最近南美再次发生大规模停电事件。据《纽约时报》6月16日报道,当地时间16日早7时左右,阿根廷和乌拉圭的互联电网发生“大规模故障”,导致全境停电,智利的部分地区和巴西南部的部分地区也出现了停电。当天阿根廷四省份正在举行选举,选举活动因此受到影响。乌拉圭乌特电力公司表示,该事件是由于阿根廷亚西雷塔水电站的输电系统电网出现了故障,影响了相连接的系统,导致整个国家以及邻国几个省份无法供电,具体故障原因仍有待查明,不排除是网络攻击导致的。
5. FTC启动对YouTube调查 或违反儿童数据收集规定【阅读原文】
北京时间6月20日早间消息,据彭博社报道,美国联邦交易委员会(FTC)正在调查谷歌旗下YouTube是否违反了对儿童收集数据和打广告的规定。具体包括是否非法收集未成年人信息以及在没有家长允许的情况下透露给其他人。去年,一支活动家队伍曾要求FTC调查相关情况。YouTube和FTC代表拒绝对此事置评。有知情人士透露,在调查开展之际,YouTube也在考虑对儿童内容进行更多改变。周三《华尔街日报》称,该公司计划把所有儿童影片搬迁到独立的 YouTube Kids应用上。但另一位人士表示,这样打的改变不太可能发生。YouTube已经因为儿童内容饱受争议。该公司聘请了专门的员工来观看和审查儿童视频,移除有害内容,并推出了一款儿童款应用,更加安全。
6. 5个月牟利1600万,跨国色情直播团伙被连锅端【阅读原文】
该团伙在境外搭建非法App直播平台,通过远程操控、层级化运作,组织网络主播从事色情直播表演,短短5个月就吸引了90余万名网民注册会员付费观看,非法牟利上千万元。警方最早获知消息,是一个名为“花花”的App应用在各类社群、平台上疯狂传播,但是很快,这款应用就不知去向。据付某交代,该App的服务器、应用外壳已经被五次进行更换,为了逃脱警方的追查,该团伙采用墙外作案墙内运营的手段,使用严密的组织架构并且仅以网络虚拟化身单线联系。“花花”App上不少主播来自其他直播平台,另一部分则是因为中了“套路贷”的圈套而被迫成为黄播平台主播。办案民警称,有的主播在线表演时,单个房间同时在线观看人数达2000多人。目前,包括付某在内的18名犯罪嫌疑人在浙江、江苏、广东等多地警方合力抓捕下落网,“花花”直播平台被查封。
【优质文章】
1. 解析恶意软件用2FA绕过技术绕过Google权限策略【阅读原文】
研究人员近日分析发现一些安卓恶意应用使用了一种绕过Google 2019年3月发布的全新策略的新绕过技术,恶意应用使用这种技术可以在不需要SMS权限的情况下访问SMS 2FA消息中的一次性密码(one-time password, OTP)。该技术还可以用来从基于邮件的2FA系统中获取OTP。恶意APP会伪装成土耳其加密货币交易所BtcTurk,对登陆凭证钓鱼。除了拦截SMS消息来绕过对用户账号和交易的2FA保护外,恶意APP还可以从出现在被黑的设备中的通知中获取OTP。除了读取2FA通知外,APP还可以是删除这些信息以防用户注意到这些欺诈性的交易。
2. 一次基于GAO报告的暗网追踪比特币枪支销售的OSINT调查【阅读原文】
去年11月,GAO (美国美国政府责任署管理局)和 ATF (美国烟酒枪支及爆炸物管理局)发布了关于互联网枪支销售的报告。 调查包括试图在 Surface Web 和 Dark Web 上购买武器的报道。 7次尝试中的2次都成功了。 基于不同的 OSINT 技术,笔者试图找到哪些市场代理商购买了枪支,如果可能的话会继续跟踪交易。
3. 网络安全专家在保险业吃香【阅读原文】
对于保险公司和保险经纪公司而言,网络业务有很大发展空间。由于受到2017年“想哭”(WannaCry)、“NotPetya”等网络攻击的惊吓,企业寻求获得关于如何避免遭受攻击的指导,以及在遭受攻击的情况下可以弥补损失的保险。投资银行杰富瑞(Jefferies)的分析师表示,全球网络保险市场将从去年的30亿美元保费增长至2020年的70亿美元。事实证明,很难找到足够多的合格、经验丰富的人来满足这一发展需求。与保险业其他更成熟的领域不同,网络保险没有大量现成的人才储备。“网络保险领域没有足够多样样都懂的人。这一领域需要具备多种多样的技能,没有一个人能够拥有所有这些技能,”特雷纳表示,“这将成为未来5到10年内的一个问题。”
4. 详解内网渗透之环境架设【阅读原文】
在网络安全领域,内网渗透技术相较于外网攻击技术,往往不易掌握,因为内网数据一般较为敏感,安全从业者不易取得渗透测试授权,从而难以积累经验,本文将阐述如何使用VMware搭建较一个较复杂的企业内网环境,便于安全从业者练习内网渗透或者ctf组织方搭建内网渗透环境。
*本文内容收集自全球范围内的媒体与刊物,制作者对其完整性负责,但不对其真实性和有效性负责。
*标注为【外刊】的内容主要来源为英语国家的媒体与刊物,部分内容需要注册免费账号后方可阅读。