os x

6 文章

《安全周报》34期:修复补丁,补之不易

我的朋友们,我想说的过去一周对于安全信息行业简直是噩梦一般。如果说上一周我们只是发现了些有趣的bug、零日漏洞以及安全研究专家寻找已久的漏洞的话,那本周真正的灾难才刚刚降临:网络犯罪分子已利用所有这些缺陷渗透进了存在漏洞的软件。尽管这些内容相当重要,但人们对这样的新闻或多或少已有些厌倦。每一次,我们的新闻博客-Threatpost都会带来安全信息领域新鲜热辣的新闻,同时还会在其中精选三篇有关安全补丁修复的文章,而文章摘选工作远比你们想象的要难得多。 不管怎么样,这些内容都相当重要!找到一个漏洞需要花费不少的时间和精力,但更难的是在没有遭受黑客攻击之前就将其修复。软件开发者可以找出千万种不立即(或当季度或无限期)对特定bug修复的理由。但问题最终总是要解决的。 在本周最热门的三个新闻故事中,无一例外其中所含的bug均还未能修复。这里我再次重申《安全周报》的编辑原则:每周Threatpost的团队都会精心摘选三条当周要闻,并加上我自己独到的见解。往期的内容可以在这里找到。 另一个存在于Google Admin内的安卓系统bug Threatpost新闻故事。MWR实验室研究。 我们发现了哪些漏洞? 你是否注意到最近有关bug的新闻纷涌而至?哎,难道只是一辆车遭到黑客入侵?我们在许多车内都发现了数十种安全漏洞!同时,在有关安卓的最新新闻中,我们也很容易注意到同样的情况。首先是Stagefright漏洞,然后是一些稍小的bug,现在则轮到了Google Admin,即通过该工具绕过沙盒。 作为安卓系统级的应用程序之一,Google Admin可以接受来自其他应用的URL地址,而且事实证明,该工具可以接受所有URL地址,甚至是以’file://’开头的路径。结果是,具有网页下载功能的简单联网工具开始向类似整体文件管理器演变。是否因此所有安卓应用就可以相互隔离呢?当然不是,Google Admin只是拥有更高的权限,一旦不幸读取某些流氓URL地址,任何应用都能绕过沙盒访问私人数据。 漏洞是如何修复的? 首先,请容许我简要介绍该独立研究和漏洞披露的整个过程。这一漏洞是在三月份被发现,随后相应的报告即提交给了Google。大约5个月后,当研究专家再度检查Google Admin的安全状况时,发现这个bug依然还未修复。8月13日,有关这一bug的信息被公开披露,目的是敦促Google尽快发布相关补丁。 顺便提一下,Google拥有一支内部研究团队,任务是花费大量时间和精力到处寻找bug,且不仅限于Google自行研发的软件。Google的Project Zero项目小组通常在将找到的bug公诸于众前,给予软件开发者90天的时间修复漏洞,但我们依然对Google能否在90天内成功修复漏洞持怀疑态度。 Google Admin工具在有些方面的确很糟糕:首先,有些方面确实糟糕;其次,我们都知道未必所有存在漏洞的安卓设备上都能修复漏洞。你是在说月度安全更新?那如果是长达半年的漏洞修复过程又如何呢?看!看! 施耐德电气SCADA系统内发现开放式漏洞 Threatpost新闻故事。ICS-CERT报告。 欢迎来到重要基础设施的奇妙世界!请坐好,不必拘束,但千万不要碰可怕的红色开关,也不要摸那些莫名突出在外的电线。没错,它们本来就突在外面。这没什么问题。多年以来一直就这样。你一碰的话,我们就全完蛋了。 SCADA(监控与数据采集)系统作为重要基础设施的一部分,负责像锅炉(主要位于公寓大楼甚至核电站内)这样重要设备的操作和运行。此类系统无法进行篡改、关闭或重启。千万不要在这一系统上修改任何参数,说得简单点,不要碰任何东西! 如果你有任何问题的话,千万不要自己去冒险尝试,最好读一读我们这一主题的文章。同时,我们还必须承认,尽管这些系统的重要性不言而喻,但却常常部署在运行老版本Windows系统的PC电脑上。与一般企业不同的是,重要基础设施通常至少过5年后才会升级或更换所用的硬件和软件,有些工业设施机器人或离心机为了将一些致命化学品分离,可能会数十年不停歇地使用同一个硬件运行。 我们发现了哪些漏洞? 安全研究专家们在其中一个系统内—施耐德电气Modicon M340(多么浪漫的名字!)的PLC站内发现了大量bug。简而言之,这一连串漏洞将能让非工作人员完全掌控系统…基本上来说,可通过系统调节所有参数。其中还找到一个相当普遍的漏洞(顺便说下,该漏洞常常出现在许多路由器和物联网设备内),我们称之为硬编码器凭证。 关于工业SCADA系统内到底对哪些程序进行了硬编码,目前依然未知(尽管理由很明显),但我们完全可以做大胆的假设:这是一个由供应商提供的为简化维护程序而提供的默认登录凭证,或者是供应商可能只是忘了从编码中挑一个测试密码。或者你自己也可以想个理由出来。 漏洞是如何修复的? 根本就没有得到修复。从安全研究专家Aditya

你所应该知道的关于”针对苹果电脑的Bootkit类病毒-Thunderstrike”

上个月在德国汉堡举行的第31届”Chaos Computer Club Conference”上,提及了首次被公开的OS X固件bootkit类病毒。 安全人员Trammell Hudson编写了这一攻击并将其命名为Thunderstrike。它利用了深藏在苹果OS X系统核心内的漏洞。事实上,该漏洞是该操作系统的一部分。据报道,Hudson随即联系了苹果公司并一起解决了除苹果笔记本电脑以外所有受到影响的设备。 毫无疑问,Thunderstrike像所有boot-和rootkit类病毒一样,是一种能够控制你在计算机上所有行为的严重威胁。你可以将它想象成是计算机界的埃博拉病毒:通过传染病毒产生毁灭性的后果,但受感染的可能性相对较低。 bootkit作为一种rootkit类恶意软件,存在于计算机操作系统内的引导进程内,通过发出各种命令从而完全控制受感染计算机。它们在操作系统载入之前感染主引导记录并在计算机启动时运行。即使你删除操作系统,bootkit依然存在。因此bootkit难以被发现和移除,只有使用高级的反病毒产品才能将它们彻底清除。 Thunderstrike作为针对OS X系统设备的bootkit类恶意软件,可通过直接硬盘访问或连接雷电接口进行安装。作为第一种情况,通过直接硬盘访问进行感染可能性不大。无论是厂商出厂安装固件或网络攻击者将你的苹果笔记本电脑拆开并手动将其安装到硬盘上,可能性都不大。 #Thunderstrike#作为针对#苹果电脑##bootkit#类恶意软件,只能通过直接硬盘访问或#雷电#接口线进行传播 然而第二种载体,即通过雷电连接进行感染的可行性相对更高一些。事实上,我们专门将此类攻击称之为”evil maid”攻击或”政府资助攻击”,通常在机场或过境时对笔记本电脑进行检查甚至没收时植入。当然当你不在自己计算机旁的时候这一方法同样奏效。 正如”埃博拉病毒”需要直接接触体液才能传播一样,只有当有人将你的计算机拆开或将外围设备通过雷电接口接入并安装恶意固件后,才会感染Thunderstrike恶意软件。 由于该病毒掌控了签名密钥和更新程序,因此无法通过软件进行移除。重装OS X系统也根本无济于事。同样更换固态硬盘也无法清除,因为它根本就没有保存在硬盘上。 其它恶意软件的破坏力相对较弱,但传输速度更快。打个比方,感冒通过空气传播且对公众的危险程度远高于”埃博拉病毒”,尽管事实上感冒并不会致命。 同样的,旨在占用计算机处理能力进而形成僵尸网络的恶意软件所引起的恐慌程度并不如Thunderstrike,但只是因为此类恶意软件能够通过网页注入、恶意电邮、隐蔽强迫下载或其它许多载体远程感染计算机,且对公众的危害性更大。 “鉴于它是OS X系统中出现的首个固件bootkit类病毒,因此目前根本扫描不出来。” Hudson说道。”它通过各种优先指令控制系统,使其记录包括磁盘加密密钥在内的键盘按键,还能在OS X系统内核中植入后门以及绕过固件密码。由于该病毒掌控了签名密钥和更新程序,因此无法通过软件进行移除。重装OS X系统也根本无济于事。同样更换固态硬盘也无法清除,因为它根本就没有保存在硬盘上。 要保护计算机免受Thunderstrike攻击的最好方式是确保当自己不在的时候没有人能访问你的苹果笔记本电脑。换句话说,如果你能小心提防窃贼的话,就能有效防范。 在此期间,你可以听些AC/DC乐队的歌放松一下:

苹果OS X Yosemite系统中的安全功能

苹果OS X Yosemite(10.10)来了,让我们来看看它为我们提供了哪些安全视角。苹果实际上专辟了一个页面,专门讨论OS X的安全性,此页面的文字说明冗长 - 非常长,但易读易懂。唯一遗憾的是,其中并没有多少内容与新功能相关。 首先,苹果声明说安全性是”首要考虑因素”。这种说法在当今受到用户的极度追捧。事实上应该是一贯如此,但并非所有开发者都会在构建产品之初就将安全性考虑在内。苹果是这么做的,至少它是这么说的。 涉及的大多数安全工具都有具体名称 - Gatekeeper、FileVault等等。虽说给工具起名字算是一种推广手段,但确实也让人顾名思义,用户一看就知道工具的用途。下面让我们挨个了解下这些安全工具。 Gatekeeper 这不算是一项新工具(OS X Mountain Lion 10.8中已经有此工具),它用于保护Mac不受恶意软件的攻击,也能避免”从互联网下载行为不当的应用”。这个工具的用途和行为与Windows的用户帐户控制(UAC)非常类似。简而言之,Gatekeeper会检查从非Mac App Store下载的应用是否具有正确的开发商标识。如果没有,则不会启动此应用,除非更改相应设置。 默认情况下,Gatekeeper支持用户从Mac App Store下载应用,也支持下载具有开发者标识的应用。若没有开发者标识,则会阻止应用,但你可手动管控此设置。其他选项包括”任何来源”(最不安全)和”Mac App Store”(其他来源全部排除在外,是安全性最高的设置)。 FileVault 2 此安全工具用于对Mac电脑进行全驱动器加密,是通过XTS-AES 128加密方法来保护数据。苹果称初始加密速度快,可在后台执行,不影响工作。它还可加密任何可插拔驱动器,帮助用户保护Time Machine备份或其他外接驱动器。 RT @threatpost:

苹果恶意软件WireLurker锁定Mac OS X和iOS设备

昨天,一款名为WireLurker的全新系列恶意软件突然出现,让人猝不及防。该恶意软件能够感染运行苹果移动iOS平台的设备以及台式机的Mac OS X操作系统。网络安全公司Palo Alto Networks发现了这一威胁,并认为WireLurker可能会将与日俱增的苹果恶意软件带向一个全新领域。 近年来,专家不断警告人们要小心针对苹果系统的恶意软件潮即将来临,而狂热的果粉们则以同样夸张的方式回应称,苹果设备对恶意软件完全免疫。但和其他事物一样,现实情况总是介于两种极端说法之间:苹果恶意软件确实介于两者之间,但散播范围远不如Windows和安卓系统恶意软件如此之广。 “WireLurker被用于在麦芽地苹果商店中的467个OS X应用中植入木马病毒。麦芽地是中国地区的一家第三方Mac应用商店。”Palo Alto Networks的研究人员Claud Xiao说。”最近6个月,有467款受感染的应用被下载了356,104次,受影响用户可能达到数十万。” 卡巴斯基实验室的产品可以检测到这一威胁,并当作木马病毒Downloader.OSX.WireLurker.a予以拦截,所以您若使用的是卡巴斯基,则可完全安枕无忧。 须明确的一点是:虽然此威胁只感染了中国一个流行应用商店中的用户,但这并不意味着不会再散布到其他地方。 但有意思的是,WireLurker与之前大多数iOS威胁不同,它甚至能感染没有越狱的设备。这也是为什么Palo Alto Networks认为WireLurker很可能会成为苹果恶意软件发展过程中的分水岭的原因。但这只是五大原因中的其中一个原因。 其他四个原因分别是:WireLurker的传播规模相当之大,之前的苹果恶意软件系列与之相比可谓小巫见大巫;这是第二个能够通过USB攻击iOS设备的已知威胁(如通过USB接口插入Mac的iOS设备);它能自动生成恶意应用;也是已知恶意软件中,第一个能感染出厂安装的iOS应用的病毒。 #WireLurker苹果#恶意软件感染#OSX设备,然后通过USB接口将自身复制到#iOS设备 WireLurker的工作方式如下:借助标准感染载体先感染Mac设备,然后等待用户通过Mac设备的USB端口连接iOS设备。一旦连接后,WireLurker即会在iOS设备上自动安装恶意程序。尤其是会搜寻三种常用应用 — eBay中国版、PayPal和一种流行的照片编辑器。恶意应用安装后,WireLurker会卸载这些应用的合法版本,而用恶意版本取而代之。 研究人员称,WireLurker还处于积极开发阶段,因此很可能会变化,目前还没法确定它的目的是什么。就在本文发布前不久,Palo Alto Networks告诉Threatpost说,苹果公司已迅速采取行动,撤销了WireLurkers的恶意证书,并且此病毒的作者们已经收手,不再继续恶意软件开发行动。 Palo Alto Networks提供了各种有关如何避免网络感染WireLurker的提示。其中大多数建议是针对企业的,但其中有些内容我们想再次强调,以保护您的设备: 1.运行反病毒软件并实时更新。 2.检查OS X操作系统的”系统偏好设置”>”安全性与隐私”,在”允许从以下位置下载的应用程序”中,选中”App

勒索恶意软件瞄准苹果用户

新出现的勒索软件开始瞄准苹果用户,目前受害者主要是澳大利亚苹果用户。据称,被感染用户会在主屏幕上收到一条警告消息,要求用户支付50和100美元来解锁受影响设备。 据报道,最早发现这类感染的用户称,是自己的iOS和OSX设备发出”手机丢失”的提示音,这是通过”查找我的iPhone”功能发出的报警声。查看手机屏幕时,用户看到屏幕上显示一条消息:”手机被Oleg Pliss所黑。若要解锁,请通过Moneypack/Ukash/PaySafeCard向helplock@gmx.com帐户转帐100美元/欧元,已发送代码2618911226。 黑客是怎样设法锁定受影响设备的尚不清楚,但大家一致认为黑客是窃取了对用户iCloud帐户的访问权,进而劫持了手机本身。到底谁是Oleg Pliss,是不是真实存在这个人尚不可知。 勒索软件属于一类恶意软件,它能锁定被感染设备,要求用户支付费用后方可解锁。在某些情况下,恶意软件只是让计算机看上去不能用,或者是在用户与其应用之间设置了某类锁定程序。而另一些情况则与CryptoLocker类似,这类勒索软件会加密被感染设备上的重要文件,并要求付费获取专用密钥,才能对这些文件解锁。 根据勒索软件的要求付费通常被视为是不明智的举动,因为用户实际上根本不知道是否付费后获得的密钥能够用于解密。这也是我们通常建议定期创建数据备份的其中一个原因。如果最近在外部硬盘或某些云服务上备份过所有数据,则只需回滚计算机或者重新安装操作系统就能解决问题。 新出现的#勒索#恶意软件瞄准#苹果用户 据《悉尼先驱晨报》报道,昆士兰、新南威尔士、西澳大利亚、南澳大利亚、维多利亚地区的iPhone用户成为此次事件的受害者,另有几则报道称,新西兰用户也受到了类似攻击。到目前为止,美国和欧洲的用户似乎暂未受影响,但如果此问题扩散到其他大洲,我们也绝不会感到意外。 Threatpost.com网站的Chris Brook表示,最近针对Adobe、eBay及其他目标的攻击导致加密的用户密码遭到泄露。如果这些密码以某种方式得到解密,并且用户在多个服务上使用了同样的密码,则很容易在强力攻击中被用于访问iCloud等在线帐户。显然,受影响的用户是将相同密码用于了多个帐户。这些攻击之间是否相关尚不清楚,但之前,因密码泄露而导致的数据外泄(包括已知和未知的)都造成了其他地方的在线帐户泄露。 如果攻击依赖于iCloud帐户访问权,则iCloud服务的双重认证功能可提供相当可靠的防御。事实上,现在可能是时候为iCloud帐户启用双重认证了。你可以点击这里看一小段视频屏,其中清楚显示了该如何开始设置流程(我们的视频只包含实际启用双重认证之前的内容,但其余部分我想你们能搞定)。