【漏洞】黑客可通过iPhone的Mail应用获取你的数据

最近由于疫情,大家都在家,网络的使用量激增,促使黑客的活动频繁,在这场我们看不到的战争中,没有一个系统可以免疫!
不管是Windows系统、Android(安卓)系统(前一阵这两家系统暴露频发)还是一向以安全著称的iOS系统,都不是绝对安全的系统。

Continue Reading →

Zoom泄露门:可以任意观看会议视频

由于COVID-19新冠状病毒的大流行,越来越多的用户将工作和社交生活转移到线上,会议应用程序Zoom的用户数量在成倍增长。但是,随着这种线上工作热潮,安全和隐私研究人员也对该应用进行了越来越多的审查,事实证明Zoom不断被发现许多问题。近日据外媒报道,成千上万的Zoom云记录视频在网络上曝光,这也揭露了软件本身的隐私安全性问题。

Continue Reading →

勒索病毒(永恒之蓝)变种“WannaRen”大规模传播,目前多数杀毒软件暂时无法拦截

大家还记得“永恒之蓝”吗?(抽空写一篇永恒之蓝的专题如何?) 这次出现的是它的变种,基于数据了解,互联网上出现了一种新型的勒索软件“ WannaRen”病毒,它的攻击行为类似于此前臭名昭著的“ WannaCry”病毒。一旦被入侵它几乎可以加密Windows系统中的所有文件,这些加密文件的后缀是“ .WannaRen”。 据悉,目前“WannaRen”病毒存在两个变体,一个通过文字,另一个通过图片发送勒索信息,由于这次勒索比特币用的钱包地址与2017年的“ WannaCry”相同,基本可以确定这是同一黑客组织所为。在2017年,“ WannaCry”勒索软件至少感染了150个国家和地区的300000台计算机,造成80亿美元的经济损失,影响了当时金融,能源和医疗等多个行业,并严重威胁了社会和民生安全。   对此专家表示,目前此类勒索病毒非常普遍,每周都会造成成千上万用户无法访问其文件。像“WannaRen”这样的病毒,其目的很简单,攻击者试图使受害者的最重要文件无法访问,以便可以勒索用户以勒索赎金。 遭到攻击后,如果受害者付款,黑客将发送一个特殊的唯一密钥,使受害者能够从其文件中解除数据加密。由于勒索软件病毒通常不会对系统造成任何其他危害,因此黑客不会利用其他任何手段来勒索用户,所以如果黑客锁定的文件对于用户的价值不大,那么用户一般会选择忽视向攻击支付赎金。在此次病毒的大面积传播中,黑客要求受害者至少支付0.05比特币(约合2500元人民币)赎金以获取解密密钥。 目前,由于Windows 7具有免疫功能,因此弹出窗口没有受到损坏(请注意win7也是要打补丁的),但Windows 10的用户已经确认有受到损坏。还有一些用户报告表示,在系统安装了微软的“永恒之蓝”补丁后,系统仍然会被感染。该病毒的传播不是利用“永恒之蓝”弱点,目前大多数防病毒软件都无法拦截它。因此,建议用户近期不要随便下载运行BT下载器、Office激活工具,同时将系统打好补丁做好常规保护。

Continue Reading →

全球诈骗案件已屡次得逞之AI软件克隆你的声音

就在不久前于旧金山结束的RSA大会上,一家名为Pindrop的专门检测语音诈骗的初创公司再次向业内发出警告:网络诈骗份子已经开始借助AI软件克隆声音进行诈骗了! 科技从来都是具有两面性的,中国古代的智者早已阐述过。 知识说明: AI是什么? 人工智能(英語:Artificial Intelligence,縮寫為AI)亦稱智械、機器智能,指由人製造出來的機器所表現出來的智能。通常人工智能是指透過普通電腦程式來呈現人類智能的技術。該詞也指出研究這樣的智能系統是否能夠實現,以及如何實現。同時,通過醫學、神經科學、機器人學及統計學等的進步,常態預測則認為人類的無數職業也逐漸被其取代。 (Pindrop的CEO(右)和CTO(左),图片来自网络) Pindrop的CEO Vijay Balasubramaniyan表示:“Pindrop在过去一年中调查了大约十二起类似的案件,都是欺诈者使用AI软件“克隆”某人的声音以进行诈骗。同时,我们还看到了Deepfake音频作为针对公众人物的工具出现。如果你是家公司的CEO或者你在YouTube上有很多视频,骗子就极有可能用它来合成你的声音。” 并且,虽然Pindrop只看到了少数这样的案件,但涉案金额很高。Pindrop估算涉及的诈骗金额可能高达1700万美元。 (图片来自网络) 来自硅谷的警告消息又一次将AI的安全性问题带到了舆论的风口浪尖。毫无疑问,自从AI成为全球技术发展的主流以来,DeepFake的问题就一直是人们关心的重点。而今天我们要讨论的AI语音合成的问题,则可能比人脸识别更加危险。 AI声音合成,一面“天使”一面“魔鬼” 语音合成技术现在已经非常成熟了。例如高德导航里的各种明星语音包,“林志玲为您导航祝您好心情”、“郭德纲前方有落石车碎人心碎”、“你镇定一下罗永浩要开始导航了”,基本上能够达到以假乱真的效果。大部分时候用户也分不出来到底是明星自己录的,还是合成的语音。当然这种场景中,语音合成只是为了提升用户体验做的一个小功能。不仅没有对用户造成损失,反而让用户开车的时候拥有更好的体验。 (高德地图的明星导航语音包,图片来自网络) 但是下面这个故事就不是这样了。2018年Charlie Warzel,Buzzfeed的科技记者,受了前密西根大学社交媒体责任中心CTO Aviv Ovadya言论的影响,做了一件想想都非常后怕的事情。他使用AI合成软件模仿了自己的声音,然后打电话给他妈妈,结果他妈妈愣是没听出来。世界上最熟悉你自己声音的人是谁?可能不是你自己,因为你自己听到的声音和别人听到的是有区别的。最熟悉你声音肯定是你的母亲。…

Continue Reading →

VPN是安全网络的选择吗,全球大量黑客将VPN作为攻击入口

VPN在很多人眼里是翻墙的必备工具,在更专业的领域,VPN是安全通道,但它可未必安全! 自从冠状病毒(COVID-19)爆发以来,由于远程办公的必要需求,企业VPN使用量增加了33%,这也成为黑客发起攻击的一个突破口。据相关媒体报道,与韩国有联系的威胁组织利用零日漏洞攻击了某中国政府机构,该漏洞影响了境内VPN服务。数据显示,从3月开始,DarkHotel组织就已经锁定了许多中国机构。 据悉,攻击者利用深信服VPN服务中一个安全漏洞来传播后门恶意软件。对此,深信服表示,黑客利用VPN客户端更新过程中的漏洞,用后门取代了合法的更新,黑客大约攻击了200个VPN服务器并注入恶意软件。这些攻击主要针对的是中国的组织以及一些其他国家在中国设立的机构。事件发生后,深信服科技立刻发布了一则《关于境外非法组织利用深信服SSL VPN设备下发恶意文件并发起APT攻击活动的说明》,说明了境外APT组织通过深信服VPN设备漏洞拿到权限后,进一步利用SSL VPN设备Windows客户端升级模块签名验证机制的缺陷植入后门的APT攻击活动过程。 其实,在过去的2019年是许多企业VPN服务器,例如Pulse Secure、Palo Alto Networks、Fortinet、Cisco和Citrix等VPN服务器,被披露有严重安全漏洞的一年。 早在去年九月份,英国国家网络安全中心(NCSC)就发表报告称,他们正在研究有高级持久威胁(APT)参与者利用已知漏洞入侵供应商Pulse Secure、Fortinet、Palo Alto和Citrix的虚拟专用网VPN产品。当时该活动也被认为是由某国政府主导的,攻击是针对英国和国际组织发起的,受影响的部门包括政府,军事,学术,商业和医疗保健。事件发生后,这些VPN漏洞已在开放源代码中得到了充分记录,通过行业数据表明,数百名英国主机可能会受到攻击。 据悉,当时攻击影响了: • Pulse Connect Secure VPN两个漏洞是CVE-2019-11510和CVE-2019-11539; • Fortinet的Fortigate设备中的三个漏洞CVE-2018-13379,CVE-2018-13382和CVE-2018-13383;  •…

Continue Reading →

IoT安全之一|你的网络安全吗之路由器

  随着IoT(物联网)的发展,我们已经不知不觉的享受到它的便利,这其中的核心设备就是路由器,尤其是在这个特殊的日子里,全世界都暴露在IoT的控制之下。 那么什么是IoT呢? 以下定义来自维基百科 物联网(英语:Internet of Things[1],缩写IoT),又称IoT技术,是互联网、传统电信网等的信息承载体,让所有能行使独立功能的普通物体实现互联互通的网络[2]。物联网一般为无线网,而由于每个人周围的设备可以达到一千至五千个,所以物联网可能要包含500兆至一千兆个物体。在物联网上,每个人都可以应用电子标签将真实的物体上网联结,在物联网上都可以查出它们的具体位置。通过物联网可以用中心计算机对机器、设备、人员进行集中管理、控制,也可以对家庭设备、汽车进行遥控,以及搜索位置、防止物品被盗等,类似自动化操控系统,同时透过收集这些小事物的数据,最后可以汇聚成大数据,包含重新设计道路以减少车祸、都市更新、灾害预测与犯罪防治、流行病控制等等社会的重大改变,实现物和物相联。 题外话: 很长时间以来,我一直在想,我所了解的知识很有限,但是很专业,而且很多知识是很少人知道的,作为少数派,本来就很难让你明白我所说的是什么?我又是一个能说善辩的我,当我用真心对待你,你却因为其它身为之物忽略的时候,我也选择忽略。 真心不会对我有什么损伤,只是时光白白流失了,我很难让一个陌生人,真正了解,我所提出的方案是经过多少心血才能够完成的,算了,言归正传   以下文章来源于物联网IoT安全 ,作者lmnn 该文章可以让我们了解路由器的一些基础知识,同时它不是安全的,注意:这里并没有讨论信号问题。 在过去的几年里,针对嵌入式设备的黑客攻击陆续进入人们的视线。2012年,黑客攻击了巴西的450万台DSL路由器,植入了恶意软件DNS Changer用以恶意劫持。2013年,安全网站也报道了一种针对嵌入式设备的新型蠕虫。此外,针对嵌入式设备攻击的黑客工具也逐步完善。 0x00 路由器密码破解漏洞 很多家用路由器都具有无线功能,开启Wi-Fi功能以后,电脑、手机等支持无线功能的设备可以通过密码认证的方式连接到路由器上网。据报告显示,99.2%的家用路由器用于给自己的路由器设置了Wi-Fi密码,没有设置密码的用户占比仅为0.8%。虽然大多数用户给路由器设置了密码,但他们仍有很多不良习惯。常见的Wi-Fi密码设置不良习惯包括:简单的数字组合;电话号码;生日等容易暴力破解或猜测的密码。 目前Wi-Fi最常见的加密认证方式有3中,分别是WPA、WPA2、WEP。当用户使用WPE一键加密功能时,攻击者最多只需实验11000次即可登录Wi-Fi。…

Continue Reading →

微软紧急修补Windows 10重大漏洞

据外媒报道,美国国家安全局(NSA)发现Windows 10中存在一个严重漏洞CVE-2020-0601,该漏洞可能会使用户遭受监视或严重数据泄露。目前,微软在接到消息后,已经紧急修复。 据了解,该漏洞是在一个名为crypt32.dll的Windows组件中发现的,该组件主要用于处理“证书和加密消息传递功能”。可能会影响Windows台式机和服务器上的身份验证、Microsoft的Internet Explorer和Edge浏览器上的敏感数据以及许多第三方应用程序。黑客还可以使用它来进行中间人攻击以解密受害者的通信、伪造恶意代码签名,使恶意软件看起来像合法的应用程序。 事发后,业内各信息安全专家都在讨论该漏洞的严重性,有人指出,该漏洞仅被视为重要漏洞,还没有到严重的程度,因为需要在系统上进行身份验证,然后才能执行远程代码。但是美国计算机紧急响应小组(CERT)漏洞分析师Will Dormann表示,在该漏洞被披露前就已作过研究,他说这会影响X.509密码证书链的所有验证,若不及时修补会带来严重后果。 X.509是国际电信联盟(ITU)的加密标准,定义了公共密钥(PKI)证书的格式。加密标准为用于HTTPS安全通信和电子签名的传输层安全(TLS)提供了多种支持,从文档签名到软件再到验证它们是否来自受信任的来源。如果可以绕过X.509验证,则可以欺骗任何依赖链接证书的东西来接受篡改的凭据。

Continue Reading →