《安全周报》第36期:越狱设备数据盗窃、告别RC4以及路由器内的漏洞

将微型电脑嵌入我们的大脑或许会让我们的生活变得更简单。用’脑电报’代替短信,我们只需在自己心里’低声细语’就能发送消息。如果大脑中突然’灵光一闪’?你可以立即通过脑电波与你的朋友分享!而只需花费2.99美元就能让你回忆起妻子嘱咐你的购物清单。 而尚未成熟的生物接口将以每分钟百万兆字节的速度向电脑(基本上可能会是没有显示屏的智能手机)传送数据,不仅会在搜索数据时产生的巨大背景噪音,同还需要未来更强大的处理器。 他们为什么要将5V和12V 的输出设备嵌入人们的大脑中?说实话,我真不知道。 不管怎么说,未来的iPhone手机一定会告诉你想知道的一切。Google在经过34场品牌再造活动和8次结构重建后,将在占地球表面2%面积的数据中心保存和处理所有数据。当这一突破性技术再成熟一些的时候,他们或许会考虑如何保护这一庞大数据量的安全。 不幸的是,在这些数据受到安全保护之前,很可能已落入黑客之手并流入’黑市’。直到那时,我们才可能最终思考这样一个问题:我们收集和保存了哪些数据以及收集和保存的方式。 这些在不久的将来一定会发生。重新回到现在,我不知道是否有人关心过有多少用户背景的陀螺仪数据遭外泄。安全研究常常滞后于商业技术,而技术设计员在设计自己的小玩意时几乎很少会反复考虑其安全性。 在今天的上周重要新闻摘要中,我们将重点关注那些如今用户数量已达到数百万的软件和硬件设备。这里我再次重申《安全周报》的编辑原则:每周Threatpost的团队都会精心摘选三条当周要闻,并加上我自己独到的见解。往期的内容可以在这里找到。 从越狱iPhone手机盗窃数据的木马病毒 新闻。Palo Alto Networks研究。简单介绍哪些人该为这一木马病毒而担心。 并非所有关于数据外泄或bug的报告都能用语言解释清楚,但以下这个除外。在中国发现了一款流氓iOS应用程序;它会偷偷潜入智能手机与苹果服务器间的通讯并盗取iTunes密码。该恶意软件之所以最终被’逮到’是因为吸引了太多的注意:许多用户陆续向苹果报告自己的iTunes账户被盗(就报告记录来看,由于银行卡与苹果账户绑定,因此只需输入密码即可在线支付)。 很酷吧?错!该攻击仅针对越狱用户。来自中国的独立研究人员向WeipTech报告他们偶然破解的网络犯罪分子的命令与控制服务器,并发现了超过22.5万个用户凭证(越狱用户数量同样让人吃惊),包括用户名、密码和设备的全球唯一识别符。 该恶意应用程序通过Cydia(iOS app store的替代应用商店)侧载。随后自动嵌入设备与苹果服务器间的通讯,接着采用老式但依然有效的中间人攻击方法并将遭劫持数据重新定向至黑客运行的服务器。受害用户的噩梦远不止如此:该恶意软件还使用了动态加密秘钥-‘mischa07’(仅供参考:在俄文中’Misha’表示英文中’Michael’这个名字,同时也有’熊‘的意思。) Mischa07盗取iOS用户密码 目前尚不清楚’Mischa’是否已通过KeyRaider攻击大发横财。”振奋人心”的是,越狱后的iPhone手机相比安卓设备更易于遭受网络攻击。一旦强大的iOS保护功能被攻破,事实证明就再也没有其他的保护措施,任何不法分子都可以对你的设备为所欲为。 几乎所有强大系统均存在这样的缺陷:在外部,全面部署功能强大的防火墙和物理保护方法,系统本身也从不联网–总而言之,整个系统就如一座堡垒坚不可摧。而在内部,却依然在使用运行Windows XP系统的普通奔4电脑,且12年未打过任何安全补丁。但如果有黑客能成功潜入系统内部后果将不堪设想? 那针对iOS的问题也随之产生:如果有黑客能成功编写出操作简单的root漏洞利用工具又会怎么样?苹果是否还有备用方案?这能否能证明安卓在这方面具备的优势,毕竟,安卓早已有乐遭黑客入侵的准备,到时各个开发商均会采取各自的应对措施? Google、Mozilla和微软将在2016年(甚至更早)彻底告别RC4 新闻。 在上周刊登的第35期《安全周报》(我们讨论针对GitHub的man-on-the-side分布式拒绝服务攻击那一期)中,我们总结了使用HTTPS无论对用户还是Web服务所有者无疑都是福音。但事实是并非所有HTTPS部署均对用户安全性有利–此外,其中有一些部署了老式加密方法的HTTPS甚至还存在危险性。 举几个例子,是否还记得POODLE攻击中SSLv3的作用,SSLv3投入使用已快18年了,即将”步入成年行列”,而所用的RC4加密算法技术之陈旧甚至可以追溯到上世纪80年代。至于说到web,很难确定使用RC4加密是否会导致连接本身受攻击。早期的互联网工程任务组承认理论上针对RC4的攻击在互联网上很快能被实施。 顺便提供一份最近研究的成果:如果将任何强大加密方法改为RC4加密的话,黑客只需52个小时就能破解cookies(即劫持会话)。黑客要想成功的话,首先需要劫持一些cookies,将可能出现的结果铭记于心,随后暴力破解网站,如此即可提高成功的概率。这是否可行?当然,但需要考虑若干变量。是否有人曾真的用过呢?谁知道呢。在斯诺登公开的文件中,声称情报部门有能力破解RC4加密。 好吧,也有好的方面新闻:可能存在漏洞的加密算法在为安全起见退出历史舞台之前从未被成功破解(至少并非是全球范围)。即使现在,针对RC4加密的攻击也鲜有发生:Chrome浏览器在所有连接中仅有0.13%选择使用RC4加密–就绝对数量而言,这已经是很多了。各大互联网巨头已做出官方声明,将从2016年1月26日(火狐浏览器44)到2月末(Chrome浏览器)逐步停止对RC4加密的技术支持。 微软还计划于明年初禁用RC4(针对Internet Explorer和Microsoft

将微型电脑嵌入我们的大脑或许会让我们的生活变得更简单。用’脑电报’代替短信,我们只需在自己心里’低声细语’就能发送消息。如果大脑中突然’灵光一闪’?你可以立即通过脑电波与你的朋友分享!而只需花费2.99美元就能让你回忆起妻子嘱咐你的购物清单。

而尚未成熟的生物接口将以每分钟百万兆字节的速度向电脑(基本上可能会是没有显示屏的智能手机)传送数据,不仅会在搜索数据时产生的巨大背景噪音,同还需要未来更强大的处理器。

他们为什么要将5V和12V 的输出设备嵌入人们的大脑中?说实话,我真不知道。

不管怎么说,未来的iPhone手机一定会告诉你想知道的一切。Google在经过34场品牌再造活动和8次结构重建后,将在占地球表面2%面积的数据中心保存和处理所有数据。当这一突破性技术再成熟一些的时候,他们或许会考虑如何保护这一庞大数据量的安全。

不幸的是,在这些数据受到安全保护之前,很可能已落入黑客之手并流入’黑市’。直到那时,我们才可能最终思考这样一个问题:我们收集和保存了哪些数据以及收集和保存的方式。

这些在不久的将来一定会发生。重新回到现在,我不知道是否有人关心过有多少用户背景的陀螺仪数据遭外泄。安全研究常常滞后于商业技术,而技术设计员在设计自己的小玩意时几乎很少会反复考虑其安全性。

在今天的上周重要新闻摘要中,我们将重点关注那些如今用户数量已达到数百万的软件和硬件设备。这里我再次重申《安全周报》的编辑原则:每周Threatpost的团队都会精心摘选三条当周要闻,并加上我自己独到的见解。往期的内容可以在这里找到。

从越狱iPhone手机盗窃数据的木马病毒

新闻。Palo Alto Networks研究。简单介绍哪些人该为这一木马病毒而担心。

并非所有关于数据外泄或bug的报告都能用语言解释清楚,但以下这个除外。在中国发现了一款流氓iOS应用程序;它会偷偷潜入智能手机与苹果服务器间的通讯并盗取iTunes密码。该恶意软件之所以最终被’逮到’是因为吸引了太多的注意:许多用户陆续向苹果报告自己的iTunes账户被盗(就报告记录来看,由于银行卡与苹果账户绑定,因此只需输入密码即可在线支付)。

很酷吧?错!该攻击仅针对越狱用户。来自中国的独立研究人员向WeipTech报告他们偶然破解的网络犯罪分子的命令与控制服务器,并发现了超过22.5万个用户凭证(越狱用户数量同样让人吃惊),包括用户名、密码和设备的全球唯一识别符。

该恶意应用程序通过Cydia(iOS app store的替代应用商店)侧载。随后自动嵌入设备与苹果服务器间的通讯,接着采用老式但依然有效的中间人攻击方法并将遭劫持数据重新定向至黑客运行的服务器。受害用户的噩梦远不止如此:该恶意软件还使用了动态加密秘钥-‘mischa07’(仅供参考:在俄文中’Misha’表示英文中’Michael’这个名字,同时也有’‘的意思。)

Mischa07盗取iOS用户密码

目前尚不清楚’Mischa’是否已通过KeyRaider攻击大发横财。”振奋人心”的是,越狱后的iPhone手机相比安卓设备更易于遭受网络攻击。一旦强大的iOS保护功能被攻破,事实证明就再也没有其他的保护措施,任何不法分子都可以对你的设备为所欲为。

几乎所有强大系统均存在这样的缺陷:在外部,全面部署功能强大的防火墙和物理保护方法,系统本身也从不联网–总而言之,整个系统就如一座堡垒坚不可摧。而在内部,却依然在使用运行Windows XP系统的普通奔4电脑,且12年未打过任何安全补丁。但如果有黑客能成功潜入系统内部后果将不堪设想?

那针对iOS的问题也随之产生:如果有黑客能成功编写出操作简单的root漏洞利用工具又会怎么样?苹果是否还有备用方案?这能否能证明安卓在这方面具备的优势,毕竟,安卓早已有乐遭黑客入侵的准备,到时各个开发商均会采取各自的应对措施?

GoogleMozilla和微软将在2016年(甚至更早)彻底告别RC4

新闻

在上周刊登的第35期《安全周报》(我们讨论针对GitHubman-on-the-side分布式拒绝服务攻击那一期)中,我们总结了使用HTTPS无论对用户还是Web服务所有者无疑都是福音。但事实是并非所有HTTPS部署均对用户安全性有利–此外,其中有一些部署了老式加密方法的HTTPS甚至还存在危险性。

举几个例子,是否还记得POODLE攻击中SSLv3的作用,SSLv3投入使用已快18年了,即将”步入成年行列”,而所用的RC4加密算法技术之陈旧甚至可以追溯到上世纪80年代。至于说到web,很难确定使用RC4加密是否会导致连接本身受攻击。早期的互联网工程任务组承认理论上针对RC4的攻击在互联网上很快能被实施。

顺便提供一份最近研究的成果:如果将任何强大加密方法改为RC4加密的话,黑客只需52个小时就能破解cookies(即劫持会话)。黑客要想成功的话,首先需要劫持一些cookies,将可能出现的结果铭记于心,随后暴力破解网站,如此即可提高成功的概率。这是否可行?当然,但需要考虑若干变量。是否有人曾真的用过呢?谁知道呢。在斯诺登公开的文件中,声称情报部门有能力破解RC4加密

好吧,也有好的方面新闻:可能存在漏洞的加密算法在为安全起见退出历史舞台之前从未被成功破解(至少并非是全球范围)。即使现在,针对RC4加密的攻击也鲜有发生:Chrome浏览器在所有连接中仅有0.13%选择使用RC4加密–就绝对数量而言,这已经是很多了。各大互联网巨头已做出官方声明,将从2016年1月26日(火狐浏览器44)到2月末(Chrome浏览器)逐步停止对RC4加密的技术支持。

微软还计划于明年初禁用RC4(针对Internet Explorer和Microsoft Edge浏览器),原因是无法区分错误诱导的RC4网站TLS 1.0回退和中间人攻击的差别。

我对此始终抱有怀疑态度。此类升级通常可能会对延迟且访问量不高的网站造成影响,或者影响那些不太能轻易更改的成熟网络服务。明年初,我们很可能会见证各种有关某些用户在升级浏览器后无法登录高级网银工具的激烈讨论。对此,我们将拭目以待。

Belkin N600路由器内的漏洞

新闻CERT报告

我内心始终对关于路由器漏洞的新闻独有情钟。与PC电脑、智能手机和其它设备不同,尽管路由器这么多年来’尽心尽职’地服务,但却始终被人们遗忘在角落里。就算部署了崭新的基于OpenWRT的定制框架,也几乎没有人想知道这个黑色的小盒子的内部构造和工作原理。对于路由器由网络提供商设置的普通用户而言更是如此。

考虑到这一点,路由器几乎成为了通往用户”数据库”的钥匙:黑客通过路由器能轻松访问你的本地文件共享平台、劫持你的数据流量、将你的网银页面换成网络钓鱼页面或在你的Google搜索结果中嵌入垃圾广告。黑客完全有可能通过单个漏洞或存在漏洞的默认配置(可能性更大)攻破你的路由器。

其实我完全可以说一旦有新版本推出,我就会立即更新路由器固件,但问题这不是真的。我通常会每6个月更新一次–这完全得益于内置浏览器通知。而过去我升级路由器的频率更高–只是为了解决常常出现的小故障。有一段时间,我的路由器极易受到远程访问漏洞的影响。

在Belkin路由器内发现了5个长期存在的bug:

  1. 在向DNS服务器发送请求时事务标识符会变得可以猜到,理论上比如在呼叫服务器进行固件更新时会使替换服务器成为可能。尽管这并不是什么大问题。
  1. 用于关键操作的默认使用HTTP –类似于固件更新的请求。有一定危害程度。
  1. 默认不受密码保护的网页界面。有了这个bug,网络黑客可以替换任何内容,但前提条件是网络攻击者已潜入本地网络。危害程度–中等。
  1. 在访问网页界面时可绕过启用密码的认证。问题的关键是无论路由器是否登录,浏览器都会通知路由器,反之则不然。只需在发送到路由器数据中替换几个参数就无需密码。危害程度– 76%。
  1. 跨站请求伪造。一旦用户被诱骗点击专门精心制作的链接,即会遭受网络攻击,路由器设置也将会被远程篡改。危害程度–噩梦级。

此外,他们还在一个不太流行的路由器内找到了一系列漏洞,这再正常不过了。问题是很少有研究专家致力于寻找路由器内的bug,在Belkin路由器内发现漏洞并不意味着其它提供商的设备就是安全。或许下一个中招的就是它们。这些新闻证明了目前路由器安全领域事态的严重性。

那么我们该如何应对呢?我们必须借助所有能用到的工具尽力保护自己的本地网络:通过设置密码保护网页界面;不要通过WEP(有线等效保密)使用WiFi;禁用WPS和其它像FTP服务器和telnet/SSH(尤其是外部)访问这样用不到的功能。

其它新闻:

美国计划制裁中国,原因是中国实施了大量网络间谍活动。这是本周最受欢迎的新闻之一,但也有其特殊性:这不会对任何网络安全造成影响或威胁,归根结底–这只是一场政治阴谋。

路由器并非是漏洞最严重的设备。宝宝监视器和其它’用户友好’设备的安全性甚至更为糟糕。缺乏加密和认证以及存在其它bug是普遍存在的情况。

一种http://www.7xter.com/2015/08/hacking-facebook-pages.html的新方法被发现;罪魁祸首是页面管理器应用程序。漏洞已打上安全补丁,Facebook组页现在终于安全了。

老话新提:

Andryushka系列病毒。

这些都是非常危险的寄居’ghost’病毒。一旦启动受感染的文件(在目录搜索中)及其TSR拷贝(打开、执行程序和重命名时),将会对COM和EXE文件(COMMAND.COM除外)造成影响。Andryushka-3536会将EXE文件转换成COM(参考VASCINA病毒)。病毒部署在文件中间,借助一部分的受影响文件(病毒将自己写入)加密和写入受感染文件末尾。

他们在硬盘上的引导扇区内部署计数缓存器并依靠计数缓存器上的数值,能够感染C://驱动器下的各个扇区。在这一过程中,你的电脑不仅会自动播放优美音乐,还会在显示器上显示文字:

显示文字的内容包括:内存空间不足。他们采用了一种复杂的使用ISR的方法:在其中保留一部分int 25h处理程序并在可用空间内重写它们自己的代码(int 21h调用)。一旦int 25h被调用,还会恢复int 25h处理程序。

引述自于1992年出版的《MS-DOS中的计算机病毒》第23页,该书作者是尤金·卡巴斯基

免责声明:本文仅代表作者的个人意见。可能与卡巴斯基实验室的立场相符,也可能相反。听天由命吧。

有史以来最严重的iOS数据盗窃—谁该为KeyRaider恶意软件而担心

尽管苹果iOS系统以其出色的安全性而著称,但最近三天iOS遭黑客入侵的新闻占据各大媒体头版,这也彻底颠覆了iOS以往在人们心中的印象。这一切都源于危害巨大的KeyRaider恶意软件的出现,目前已成功盗取了超过22.5万个iPhone手机账户。嘘! 但事实是大多数iPhone手机和iPad用户(事实上是几乎所有用户)大可不必担心。KeyRaider只会影响越狱设备 —但却无法黑客入侵那些并未越狱的iPhone手机。’合法’苹果设备的机主完全可以松一口气了。 每当提到苹果设备,无论是选择接受制造商设定的限制条件还是通过越狱设备获得更佳的个性化体验和全新功能,这都是你个人的自由。风险往往与自由并存,在获得自由的同时你也为恶意软件的入侵打开了方便之门。 因此,不对越狱自己的iPhone手机或iPad就能避免恶意软件的入侵,反之亦然。目前,KeyRaider恶意软件已波及了包括:中国、法国、俄罗斯、日本、英国、美国、加拿大、德国、澳大利亚、以色列、意大利、西班牙、新加坡和韩国在内的18个国家。其中大部分的受害用户都来自中国。 如果你坚持越狱自己的苹果设备,也并不意味着就一定会遭受KeyRaider恶意软件的攻击。因为你只有从Cydia第三方源仓库安装任意一个应用程序才可能会感染病毒。安装完成后,你的设备将自动通过一个免费恶意软件升级,该恶意软件会盗取用户名、密码和独一无二的设备识别符,并将这些数据发送至由恶意黑客运行的远程服务器内。 此外,KeyRaider还会锁住你的苹果设备并要求支付恢复所有被锁文件的赎金。简而言之,这是一款讨厌至极的恶意软件。 2015年7月,WeipTech专家在获悉iPhone手机和iPad用户时常抱怨在自己的苹果设备发现未经授权的购买操作以及并未曾安装过的iOS应用程序后,及对此展开了调查。研究专家设法追踪了这些网络犯罪分子并成功破解了黑客的服务器。这些专家不仅收集数据甚至还对越狱应用进行了逆向工程,以找出其中的运行方式。 WeipTech专家们称这为有史以来针对苹果账户最大的数据盗窃。尽管恶意软件只影响越狱设备,但对于受害人而言却是致命的。大约有22.5万名苹果用户已不幸数据被盗。 如果你觉得自己的名字可能在受害人名单的话,请登陆WeipTech公司网站查看。网页只有中文版,但你可以用Google翻译。 WeipTech研究专家还提出了另一个替代方案。该操作指南相当专业,但能成功越狱iOS设备的’极客’绝对能应付得过来。好吧,操作步骤如下: 通过Cydia安装openssh服务器 通过SSH连接设备 前往/Library/MobileSubstrate/DynamicLibraries/,并在这一目录下的所有文件中查找这些字符串:wushidou、gotoip4、bamu和getHanzi。 如果你在这个目录下的任何文件中发现这些字符串中的任意一个,应同时删除这些文件和拥有相同文件名的plist格式文件。然后重启设备。这一切操作完成后,强烈建议更改苹果账户密码,并对苹果ID启用二元验证。

提示
注册