《安全周报》第38期:思科路由器遭到黑客攻击、AirDrop存在bug以及恶意软件编写者遭逮捕

“在1997年8月29日,全球有30亿人幸运地存活了下来。在经历核打击后幸存下来的人们将这场战争称作’末日审判’。而他们又不得不面对另一场噩梦:与机器人的战争。” 好吧,这只是电影中的情节。回想1997年,全球首个Wi-Fi规格(802.11b)被标准化;史蒂夫•乔布斯重返苹果公司;PNG图片格式文件被发明;”深蓝”战胜世界国际象棋冠军。但”末日审判”却从未发生过。机器人并未进化得足以来拉开类末日的序幕。真正的人工智能依然不足以摧毁整个人类文明,但这并不能掩盖过去18年中这一领域中发生的技术变革。 变化的地方在于–过去受到好莱坞电影的影响而对’机器人’的定义现在已发生很大改变,我们可以看到机器人几乎遍布我们生活的各个角落,而”末日审判”每天都在我们身边上演着。这并未是由于机器人的自由意志造成,而是生产商的错误所导致。 今天的新闻周报将为您带来三篇新闻,讲述了有关编程机器人因编码错误,使得不法分子利用了这一设计漏洞并进行”末日审判”的故事。称其为”世界末日”倒还不至于,但仍然极具危险性,这好比是一种代码珊瑚,我再重复一遍,代码珊瑚,稍带点南瓜色。一如往常,我们《安全周报》的编辑原则是:每周Threatpost团队都会精心摘选三条当周要闻,并加上本人的辛辣评论。可以在这里找到过去所有期的周报。 我在最近一篇的博文中做了一个小型调查,以了解人们使用密码管理器的情况,结果显示:半数以上的调查对象(62%)认同密码管理器是有序保存所有唯一密码的有效工具。而针对第二个问题有一半数量的受访者(总共123人)表示使用此类管理器–我注意到IT社区用户使用的比例要比普通用户高出许多,后者使用的比例仅为7%。 通过修改固件对思科路由器植入永久后门 新闻。FireEye研究。 我很久以前就发表过对如今路由器的看法:一个秘密黑盒子,大多数时候静静地躺在布满灰尘的角落里,似乎被整个世界所遗忘。无论是家里用的还是工业路由器均面临着这样的处境。研究人员发现,目前至少可以在三个型号的思科路由器上安装后门。考虑到人们对于路由器的重视程度,未来相当长一段时间将不会有很多人关注到这一消息。 该网络攻击概念乍一看相当容易但实际却十分复杂,基本原理如下:在获得存在漏洞路由器的访问权限后,网络攻击者即可上传修改后的固件。而一旦遭到攻击的路由器能远程访问各联网设备,他们就能安装插件以实施进一步的病毒感染。 事实上,情况并没有那么糟糕。来自FireEye的研究专家们仅在三个路由器型号内发现了漏洞:思科1841、2811和3825。据我所知,这三个型号年代久远,思科公司将很快不再提供任何技术方面的支持。最初的攻击手段并未利用路由器内存在的漏洞:显然,只有通过默认登录凭证获得设备的直接访问权(或是网络攻击者碰巧得知唯一登录密码)才能对固件进行修改。 如果这样做可行的话,势必将变成一个巨大漏洞,从而为企业安全带来巨大的灾难。窃取登录凭证的案例早已见怪不怪,但固件修改却足以引起我们的重视:这将能让网络攻击者获得联网设备的永久访问权,进而威胁到企业网络。因此,在信息安全领域不要相信任何人,这是最起码的底线。顺便提下,受病毒感染路由器(至少在IPv4部分)的总数并未超过几十个。 AirDrop数据交换系统存在的严重漏洞 新闻。 我说到哪儿了…对,机器人的崛起。在《终结者2》的虚构世界中(请忽视《终结者3》及随后系列),创造机器人的人类最终却遭到机器人的激烈反抗。建造机器人的初衷是为了让人类(军队)生活变得更加便利。这些机器人被用来攻击世界地图上的任何目标以及对抗网络攻击等。 其中的虚构情节尽管浅显易懂,但现在却已实实在在地在现实生活中发生。长期以来,人类管理联网设备、连接网络或交换信息都只需一个按键即可完成。就好像用户问个问题(或在问问题之前),答案就已经编好程序并准备好了。 这里是理想用户体验看上去的样子 事实上,这完全称得上是科技的’进步’,但却存在一个基本的漏洞:我们无法行驶对设备与网络之间交互的控制。就拿AirDrop的出色功能举例。它自身能解决无数的问题:用户不再需要考虑是否”配对”、”连接访问点”或”授权”,唯一需要做的就是选择临近被访地址并发送数据。在这样一个过于完美的连接模式中肯定能发现漏洞。 澳大利亚研究专家Mike Dowd演示了借助AirDrop在受害人设备上远程重写数据的网络攻击方法。网络攻击者只需将’精心制作’的链接发送到移动设备(或Mac OS X电脑)上。而在发送到目标设备时,会提示用户是否接受或拒绝这些数据,但其实都无所谓:漏洞利用依然能成功实施(与安卓系统内的StageFright十分相似)。 但也有一定限制条件:用户可以在AirDrop中选择是否接受发自所有临近设备的数据。但为了方便起见,甚至在锁住设备中都能接收。因此,一旦网络攻击者能物理访问受害人手机,哪怕只是几秒钟,就能成功完成接收。如此,犯罪分子就可在受害人iPhone手机上远程安装各种应用程序。当然,这些偷偷安装的恶意应用尽管能获得基本的权限,但刚开始还无法窃取任何有价值信息或资金。而要想达到窃取资金和信息的目的,则需要借助其它的漏洞利用工具,但通常目标针对的是越狱设备。 在iOS 9版本中已修复了这一bug。 CoinVault恶意软件编写者遭逮捕 新闻。卡巴斯基实验室研究。包括无赎金解密理念在内的更多CoinVault研究内容。 尽管机器人的智能水平不足以执行这些恶意行为,但网络犯罪分子却能代而为之。让我们感到惊愕的是,真正抓捕到’黑客入侵’背后不法分子的案例却几乎鲜有闻之。就拿上面我们讨论的内容举例:研究专家们发现了带有后门的修改路由器固件。但背后真正谁人实施及真正动机何在?没人知道。 有时候,在互联网上使用匿名技术常常会让执法机构无所适从,徒劳无获。勒索软件就是其中最有代表性的例子。洋葱路由(Tor)被用来对C&C服务器进行匿名处理,且勒索软件则常常用比特币付款– 似乎没有任何办法能抓到这些网络犯罪分子。 而上述标题着实让我们欢欣鼓舞,因为好人终于胜利了。据报道,有两名年轻人因编写CoinVault

“在1997829日,全球有30亿人幸运地存活了下来。在经历核打击后幸存下来的人们将这场战争称作’末日审判’。而他们又不得不面对另一场噩梦:与机器人的战争。”

好吧,这只是电影中的情节。回想1997年,全球首个Wi-Fi规格(802.11b)被标准化;史蒂夫•乔布斯重返苹果公司;PNG图片格式文件被发明;”深蓝”战胜世界国际象棋冠军。但”末日审判”却从未发生过。机器人并未进化得足以来拉开类末日的序幕。真正的人工智能依然不足以摧毁整个人类文明,但这并不能掩盖过去18年中这一领域中发生的技术变革。

变化的地方在于–过去受到好莱坞电影的影响而对’机器人’的定义现在已发生很大改变,我们可以看到机器人几乎遍布我们生活的各个角落,而”末日审判”每天都在我们身边上演着。这并未是由于机器人的自由意志造成,而是生产商的错误所导致。

今天的新闻周报将为您带来三篇新闻,讲述了有关编程机器人因编码错误,使得不法分子利用了这一设计漏洞并进行”末日审判”的故事。称其为”世界末日”倒还不至于,但仍然极具危险性,这好比是一种代码珊瑚,我再重复一遍,代码珊瑚,稍带点南瓜色。一如往常,我们《安全周报》的编辑原则是:每周Threatpost团队都会精心摘选三条当周要闻,并加上本人的辛辣评论。可以在这里找到过去所有期的周报。

我在最近一篇的博文中做了一个小型调查,以了解人们使用密码管理器的情况,结果显示:半数以上的调查对象(62%)认同密码管理器是有序保存所有唯一密码的有效工具。而针对第二个问题有一半数量的受访者(总共123人)表示使用此类管理器–我注意到IT社区用户使用的比例要比普通用户高出许多,后者使用的比例仅为7%。

通过修改固件对思科路由器植入永久后门

新闻。FireEye研究

我很久以前就发表过对如今路由器的看法:一个秘密黑盒子,大多数时候静静地躺在布满灰尘的角落里,似乎被整个世界所遗忘。无论是家里用的还是工业路由器均面临着这样的处境。研究人员发现,目前至少可以在三个型号的思科路由器上安装后门。考虑到人们对于路由器的重视程度,未来相当长一段时间将不会有很多人关注到这一消息。

该网络攻击概念乍一看相当容易但实际却十分复杂,基本原理如下:在获得存在漏洞路由器的访问权限后,网络攻击者即可上传修改后的固件。而一旦遭到攻击的路由器能远程访问各联网设备,他们就能安装插件以实施进一步的病毒感染。

事实上,情况并没有那么糟糕。来自FireEye的研究专家们仅在三个路由器型号内发现了漏洞:思科1841、2811和3825。据我所知,这三个型号年代久远,思科公司将很快不再提供任何技术方面的支持。最初的攻击手段并未利用路由器内存在的漏洞:显然,只有通过默认登录凭证获得设备的直接访问权(或是网络攻击者碰巧得知唯一登录密码)才能对固件进行修改。

如果这样做可行的话,势必将变成一个巨大漏洞,从而为企业安全带来巨大的灾难。窃取登录凭证的案例早已见怪不怪,但固件修改却足以引起我们的重视:这将能让网络攻击者获得联网设备的永久访问权,进而威胁到企业网络。因此,在信息安全领域不要相信任何人,这是最起码的底线。顺便提下,受病毒感染路由器(至少在IPv4部分)的总数并未超过几十个

AirDrop数据交换系统存在的严重漏洞

新闻

我说到哪儿了…对,机器人的崛起。在《终结者2》的虚构世界中(请忽视《终结者3》及随后系列),创造机器人的人类最终却遭到机器人的激烈反抗。建造机器人的初衷是为了让人类(军队)生活变得更加便利。这些机器人被用来攻击世界地图上的任何目标以及对抗网络攻击等。

其中的虚构情节尽管浅显易懂,但现在却已实实在在地在现实生活中发生。长期以来,人类管理联网设备、连接网络或交换信息都只需一个按键即可完成。就好像用户问个问题(或在问问题之前),答案就已经编好程序并准备好了。

这里是理想用户体验看上去的样子

事实上,这完全称得上是科技的’进步’,但却存在一个基本的漏洞:我们无法行驶对设备与网络之间交互的控制。就拿AirDrop的出色功能举例。它自身能解决无数的问题:用户不再需要考虑是否”配对”、”连接访问点”或”授权”,唯一需要做的就是选择临近被访地址并发送数据。在这样一个过于完美的连接模式中肯定能发现漏洞。

澳大利亚研究专家Mike Dowd演示了借助AirDrop在受害人设备上远程重写数据的网络攻击方法。网络攻击者只需将’精心制作’的链接发送到移动设备(或Mac OS X电脑)上。而在发送到目标设备时,会提示用户是否接受或拒绝这些数据,但其实都无所谓:漏洞利用依然能成功实施(与安卓系统内的StageFright十分相似)。

但也有一定限制条件:用户可以在AirDrop中选择是否接受发自所有临近设备的数据。但为了方便起见,甚至在锁住设备中都能接收。因此,一旦网络攻击者能物理访问受害人手机,哪怕只是几秒钟,就能成功完成接收。如此,犯罪分子就可在受害人iPhone手机上远程安装各种应用程序。当然,这些偷偷安装的恶意应用尽管能获得基本的权限,但刚开始还无法窃取任何有价值信息或资金。而要想达到窃取资金和信息的目的,则需要借助其它的漏洞利用工具,但通常目标针对的是越狱设备。

在iOS 9版本中已修复了这一bug。

CoinVault恶意软件编写者遭逮捕

新闻。卡巴斯基实验室研究。包括无赎金解密理念在内的更多CoinVault研究内容

尽管机器人的智能水平不足以执行这些恶意行为,但网络犯罪分子却能代而为之。让我们感到惊愕的是,真正抓捕到’黑客入侵’背后不法分子的案例却几乎鲜有闻之。就拿上面我们讨论的内容举例:研究专家们发现了带有后门的修改路由器固件。但背后真正谁人实施及真正动机何在?没人知道。

有时候,在互联网上使用匿名技术常常会让执法机构无所适从,徒劳无获。勒索软件就是其中最有代表性的例子。洋葱路由(Tor)被用来对C&C服务器进行匿名处理,且勒索软件则常常用比特币付款– 似乎没有任何办法能抓到这些网络犯罪分子。

而上述标题着实让我们欢欣鼓舞,因为好人终于胜利了。据报道,有两名年轻人因编写CoinVault cryptoloker而在荷兰遭到逮捕。卡巴斯基实验室专家们也通过研究该网络攻击背后的技术对此次逮捕行动做出了贡献。

CoinVault并非是传播最广泛的locker勒索软件,但却是研究此类最复杂攻击的完美案例。去年的报告显示勒索软件样本是如何主动躲避安全分析:如果你在虚拟机内或安装WireShark的电脑上运行木马病毒或任何类似的软件,有效负载将被阻止。

11月份的报告一经发布,似乎该网络攻击背后的网络犯罪分子决定暂时避避风头,直到Panda的安全研究专家们共享了几个新样本才为人所注意。在收集了足够的间接’证据’后,卡巴斯基专家们设法为CoinVault受害人的数据解密,从而避免支付赎金。

对恶意代码进行彻底分析有助于抓获这些网络犯罪分子。首先,专家们发现在编码中发现了多行’准确无误的荷兰语’,而通常来说,黑客对恶意软件编码都使用糟糕的英语,因此常常难以锁定编写者的确切位置。同时在荷兰高科技罪案组的帮助下,C&C服务器被查获并确认的确是用于犯罪目的。

这个案件带给我们的教训是:犯罪活动中对于各种匿名方法的使用几乎无所不用其极。首先,任何一种新技术的产生都将伴随另一种与之对应的破解方法的出现。其次,这些网络犯罪分子最终被抓捕归案的主要原因并非是技术上出现了问题,而是一直存在的人为因素。

其它新闻:

在PayPal和其它网络服务内发现了一小部分bug;能成功绕过身份验证步骤(甚至是2FA)。至于说到PayPal,主要归咎于移动应用编程结构(API),只是碰巧安全性低于人们的期望。

‘让我们一起加密’的倡议前已进入实践阶段,因此网站拥有者能够轻松获得HTTPS证书。

Google在安卓系统内修复了一个bug,需要输入一个相当相当长的密码才能绕过锁屏。

老话新提:

“Invader”和”Plastique”病毒系列

常驻型病毒,极度危险。它们会依照”Jerusalem”算法感染.COM和.EXE文件(除了COMMAND.COM)、软盘驱动器的引导扇区和硬盘。它们会对软盘驱动器上的额外磁道进行格式化,并将自己写在硬盘主引导记录旁的扇区。根据客户的要求,他们能根据定时器(int 8)在正在退出时运行空转周期,并擦除驱动器上数据、播放音乐、解密以及显示如下文字:

“Invader” —”闯入者Feng Chia U.警告:千万不要运行ACAD.EXE!”

“Plastique” —”PLASTIQUE 5.21(塑料炸弹),ABT Group版权所有1988-1990(与Hammer实验室联合)警告:千万不要运行ACAD.EXE!”

此外还包括以下文字:”ACAD.EXECOMMAND.COM.COM.EXE”。它们劫持了Int 8, 9, 13h, 21h。

引述自于1992年出版的《MS-DOS中的计算机病毒》第104页,作者:尤金·卡巴斯基

免责声明:本文仅代表作者的个人意见。可能与卡巴斯基实验室的立场相符,也可能相反。听天由命吧。

如何躲避监控摄像头:过去与未来

如今监控摄像头几乎遍布我们日常生活的各个角落:无论室内还是室外,机场还是火车站,办公室还是商店,几乎无处不在。即便在野外你也无法躲避各种监控摄像头,使得乔治•奥威尔的幻想小说《1984》中描写的情节成为了现实。 对于大多数监控系统而言,循环录制视频只是为了”以防万一”;除此之外并未用作他用。但就在最近情况有所改变,这些录制的视频越来越频繁地被传至各种数据分析系统,因此可能会被用于追踪一些特定人群的行踪。 不言而喻”老大哥们”(见于小说《1984》)可能将侵犯到我们的私生活。你不得不接受政府的”一系列行为”,因为他们是所谓”维持社会秩序”的人。然而如今,生物识别系统正试图变成一种普遍的商业工具,这不仅让我们的个人资金状况彻底暴露,同时还侵犯到了每个人私生活的权利。而这又是另外一回事了。 比如说,你在商店购买一件冬季外套时,商店的监控系统也在将你的视频图像与一些抢匪的照片相对比,并将这些视频图像添加到你的客户资料内。 或者,你去汽车经销商处看新车,你只要一走进去,销售人员就能很快找到你的名字和所有你的个人信息。包括你缺少资金购入新车的信息。 即使去教堂有时也无法幸免。面部识别系统已被用来搜寻经常来教堂的人:事实证明教堂从这些人中募集捐款的概率更高。 这个很不错吧?其实并不尽然,但不存在任何犯罪行为。 如果有天有关你私生活的所有细节内容被许多公司收集并外泄到互联网上,你会作何感想?与黑客入侵Ashley Madison交友网站不同的是,毫无疑问我们每个人都将难以幸免— 这里是与你有关的照片和视频。 大多数国家的法律并未明文禁止将面部识别技术用于商业目的,比如,未禁止随意对街上的行人拍照。越来越的人开始想知道如何才能在这些情况下躲避”无处不在”的监控摄像头,这并不让人感到惊讶。 想要知道更好的躲避摄像头方法,首先需要了解现代的图像分析方法。在某些情况下,有两种主要的方法。 我能看一下你的脸吗 第一种方法是将照片中某些指定标记与预建数据库相比较。这些标记可以是双眼间距、鼻子测量结果以及嘴唇形状评估等等。 这一方法与指纹识别十分相似。样本指纹通常事先采集并保存到数据库内。或许以后,我们还能将陌生人的乳头线与数据库内的样本进行比较。因此,面部识别的先决条件是有要寻找人的高质量照片(光线良好且是全脸照)。 那如何才能获得这些照片呢?来源各不相同。有可能是在制作打折卡时拍的照,也可能是有人扫描了贴有你照片的文档。 要欺骗传统的面部识别系统相对容易些。最简单的方法是低下头并且不要看摄像头。大多数标记只有以特定全脸角度拍摄才能测量,因此脸部倾斜的照片大多数情况下无法提供所需的数据。如果你戴一顶有帽檐的棒球帽,上面的摄像头(通常安装在某个高处位置)将变得毫无用处。 一些专家建议你在走过镜头时做鬼脸。这确实很有效,但却会引起过多的注意。因此这时你需要的是一副墨镜。 墨镜的好处在于能遮住眼睛,而这正是人脸在识别系统中”最有利用价值”的区域之一。普通的透光屈光镜无法掩饰照片上所需的细节,高级算法式就能轻松应对。而大尺寸的不透光眼镜对于传统系统而言却是一个极大挑战。镜像模型同样能借助反射光让摄像头无法拍摄正常图像。 你今晚的样子是… 像Facebook和Google这样的大型公司正在积极开发第二种人体识别方法,但选择的方式不尽相同。该方法基于机器学习算法和自动样本数据下载和上传技术,能将特定照片与所有互联网可用资源相对比。 这是一种更为灵活的方法且更难掩饰。即便用防毒面具将你的脸遮盖得严严实实,也无法保证不会留下一些蛛丝马迹,原因在于类似的系统通常不需要严格的预设标记。 他们可以将任何可用数据用作人体识别:你腿部的形状、你头发秃顶的区域、你的举止形态以及你的衣服等。目前Facebook在实验上有了一定进展:只要有足够数量的样本照片,从任意角度确认个人身份的精确度达到了83%。 这里的关键在于有足够数量用来比较的照片。如果只有一张样本照片的话,即时拍摄到再高质量的图像也很难识别成功。这也是为什么大数据技术和快速互联网搜索算法被推向了科技最前沿。 接下来会戳到广大用户的痛处:我们是否应在互联网上公开发布我们的照片?我们可以忍受Facebook或Google将我们的照片用作营销目的,因为在”大互联网兄弟”的背景下你根本无处可逃。然而,也没有人能阻止任何公司自由访问并在线挖掘需要的数据。 首先假定你的Facebook主页的隐私设置为”仅好友可看”。那在其他人的博文中随机出现你的照片呢?你LinkedIn上的个人资料呢?即使彻底远离社交网络也很难切断所有的照片来源。 对应的解决方案尚不清楚。最有可能的是,政府方面出台更加严格的生物识别市场法规,而社会大众将提高这方面的自我保护意识。 因此,现在是时候将个人照片视作与我们的文档或信用卡扫描同等重要的个人隐私。对于到处炫耀和晒自己照片的行为,我们并不推荐。  

提示

爱与隐私

个人空间的界限在恋爱关系中特别容易模糊。在本文中,我们将谈谈过度的”信息亲密度”可能导致的问题。