BUF早餐铺 | 黑客试图在沙特石油化工厂引发爆炸;Facebook承认自家数据被用来进行大规模分析;Firefox主密码系统过去9年的安全性很差 – 作者:Sphinx

今天是3月20日星期二,今天早餐铺的主要内容有:黑客试图在沙特石油化工厂引发爆炸;Polski,Vortex和Flotera勒索软件作者在波兰被捕;Firefox主密码系统过去9年的安全性很差;黑客新技能:利用文本编辑器插件提权;GitHub 2017年支付漏洞赏金100多万元,超出去年一倍多;网络安全法实施8个月全国执法盘点 新浪微博、腾讯被处最高罚款。

korean_korean_food_pork-733315.jpg!d.jpg

【国际时事】

黑客试图在沙特石油化工厂引发爆炸

Saudi-cyber-experts-2.jpg

针对沙特阿拉伯一家石化工厂的新的网络攻击成了头条,黑客在8月试图袭击基础设施。

据纽约时报报道,黑客袭击了沙特阿拉伯的石化工厂,幸运的是,这次袭击由于代码故障而失败。

“8月份,一家在沙特阿拉伯工厂生产的石化公司遭到了一种新的网络袭击。调查人员认为,这次袭击的目的不是简单地破坏数据或关闭工厂。这意味着破坏公司的运行并引发爆炸。“纽约时报报道。

调查人员并没有将这次袭击归咎于某个特定组织/人物,但是在匿名条件下接受纽约时报采访的人们解释说,网络攻击可能旨在引发一场可以保证伤亡的爆炸。

由于恶意代码中的错误导致关闭系统关闭,因此网络攻击没有造成严重后果。

[SecurityAffairs]

Polski,Vortex和Flotera勒索软件作者在波兰被捕

Polski-ransomware-ransom-note.jpg

波兰执法部门星期五宣布逮捕Tomasz T.,他被认为是Polski,Vortex和Flotera勒索病毒的作者。逮捕发生在3月14日星期三在波兰小镇奥波莱,而Tomasz是一位居住在比利时的波兰侨民,他当时正在拜访祖国。

波兰的信息安全专家多年来一直在跟踪Tomasz,波兰警方在他被捕时已经做好了准备。波兰警方通过欧洲刑警组织通知了他们的比利时同行,他们搜查了他的房子并没收了电脑设备。

当局能够从犯罪嫌疑人的笔记本电脑和远程服务器恢复数据,包括加密密钥。波兰警方现在正在鼓励Polski,Vortex和Flotera勒索软件的受害者向地方当局提交正式投诉,以便收到他们文件的解密密钥。

嫌犯被控181项不同的罪行,法官批准暂时拘留三个月。华沙地区检察官办公室表示,嫌疑人已经认罪并与调查人员合作。

[BleepingComputer]

【漏洞攻击】

Firefox主密码系统过去9年的安全性很差

FF-master-password.png

Firefox和Thunderbird都允许用户通设置“主密码”。此主密码扮演加密密钥的角色,用于加密用户保存在浏览器或电子邮件客户端中的密码字符串。当时这算是一项先进的功能,因为那时候的浏览器大多在本地明文存储密码。

但AdBlock Plus扩展的作者Wladimir Palant说,主密码功能所使用的加密方案很薄弱,并且很容易被暴力破解。“我查看了源代码,”Palant说,“发现了sftkdb_passwordToKey()函数,它的处理方式也就是SHA-1加盐“。Palant指出,SHA-1函数的迭代次数为1,这意味着它只应用一次,而行业惯例认为10,000是该值的最小值,而像LastPass这样的应用程序使用的值为100,000。

这种低迭代次数使得攻击者很容易暴力破解主密码,并且解密存储在Firefox或Thunderbird数据库中的加密密码。

[BleepingComputer]

黑客新技能:利用文本编辑器插件提权

SafeBreach的研究员Dor Azouri分析了Unix和Linux系统的几种流行的可扩展文本编辑器,发现除pico / nano之外,所有这些编辑器都受到严重提权漏洞的影响。经过测试的编辑包括:Sublime,Vim,Emacs,Gedit,pico / nano。

Emacs-text-editors.jpg

攻击者可以利用这个漏洞,在使用易受攻击的文本编辑器的受害者机器上运行恶意代码。

“无论是否在编辑器中打开文件,这种方法都会成功,所以即使是 sudo 命令通常使用的限制也可能无法保护它,” 该公司发表的论文中写道。 

“技术用户偶尔需要编辑根文件,为此,他们将使用’ sudo ‘ 以提升的权限打开他们的编辑器。有很多有效的理由来提升编辑的特权。“

该漏洞与这些文本编辑器加载插件的方式有关,因为它们在加载插件时没有正确分离常规模式和高级模式。

具有常规用户权限的攻击者可以访问文件夹权限,以提升其权限并在用户机器上执行任意代码。

[SecurityAffairs]

【行业动态】

GitHub 2017年支付漏洞赏金100多万元,超出去年一倍多

 GitHub 2017年支付漏洞赏金100多万元,超出去年一倍多

程序员最爱的 GitHub 在 2014 年开展了一项为期 4 年的漏洞奖励计划,到 2017 年已经是第四年。这四年间,累计发放的漏洞赏金约 35 万美元(按照 3 月 19 日汇率约2216095 元)。其中,前两年累计为 95300 美元,2016 年为 81700 美元,而 2017 年是 2016 年的 2 倍多,达 166495 美元(按照 3 月 19 日汇率约 1054163 元)。

2017 年全年,GitHub 累计收到 840 个漏洞提交报告,但是只有 121 个(15%)得以解决并获得奖金。2016 年,GitHub 共收到 795 个漏洞提交报告,其中只有 73 分有效内容获得奖励,且只有 48 个真正有技术含量,登上了 GitHub 漏洞奖励项目的主页。由于收到有效漏洞数量不尽如人意,所以 GitHub 在 2017 年 10 月重新评估了其支出结构,提高了奖金金额。最终,漏洞赏金增加了一倍,最低额度为 555 美元一个,而最高达到 2 万美元一个。

GitHub 的 Greg Ose 指出,由于以上整改,参与的项目、计划和研究人员规模都不断增加,2017 年 GitHub 支付的赏金是有史以来最多的。此外,他们把 GitHub Enterprise 新版块添加到漏洞奖励项目中,鼓励安全研究员提交 GitHub.com 平台上未公开的或者某些特定的企业部署中比较重要的关键漏洞。

[Freebuf]

Facebook承认自家数据被用来进行大规模分析

Facebook-Social-Media.jpg

Facebook在周末的报告中证实,一个由学术团队制作的应用程序收集了大量的用户数据,然后与剑桥分析公司分享这些信息,剑桥分析公司是一家商业数据分析公司。

Facebook在一份声明中透露,剑桥大学心理学讲师Dr. Aleksandr Kogan创建了一个名为“thisisyourdigitallife”的应用程序,并于2014年向用户提供。

教授通过Global Science Research(GSR)提供该应用程序,该项目要求用户以1美元或2美元的价格进行在线调查。应用程序会请求访问用户的个人资料信息。

超过270,000名用户允许使用他们的个人资料进行学术研究。但除了调查接受者的数据外,该应用还收集了未将个人资料设置为私密的用户好友信息。通过这样的方法,该应用程序收集了超过5000万用户的数据。

[BleepingComputer]

【国内新闻】

网络安全法实施8个月全国执法盘点 新浪微博、腾讯被处最高罚款

Screenshot-2018-3-19 5aad4086c350c jpg (JPEG Image, 750 × 6126 pixels)(1).png 

今年两会,个人信息保护成为代表委员热议的话题。十三届全国人大一次会议第二次全体会议期间,最高人民法院院长周强做工作报告时,也提及严惩泄露个人信息、非法买卖信息等犯罪行为,维护公民信息安全。

南都记者注意到,自2017年6月1日《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》和《中华人民共和国网络安全法》(以下简称网络安全法)施行至2018年3月初,全国各地已出现多起相关判决和执法案例,严打公民信息泄露和侵犯公民个人信息罪,用法律进一步保障个人信息的效应开始显现。

就网络安全法来看,目前各地已公开的执法案例共30例左右,涉及关键信息基础设施的网络运营者、直接负责的主管人员、网络产品或服务提供者等责任主体。现有的处罚对象主要集中于网络运营者这一核心责任主体。

网络安全法的处罚行为包括侵犯个人信息、从事危害网络安全的活动、不履行安全保护和风险告知义务等等。从现有案例看,被处罚多与违反网络安全保护义务或违法违规信息管理义务密切相关。

其中,一些公共机构如政府、学校等因为没有落实网络安全等级保护制度被追责。新浪微博、百度贴吧、腾讯等网络运营单位则由于对法律法规禁止发布的信息未尽到管理义务被重罚,其中新浪微博、腾讯被处以最高罚款。

[搜狐]

来源:freebuf.com 2018-03-20 07:00:42 by: Sphinx

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论