《安全周报》第39期:XcodeGhost病毒、D-Link证书泄露及100万美元悬赏从ios 9找出bug

在开始本周新一期的《安全周报》之前,我想先说几条与信息安全无关的新闻。大众柴油车被发现污染物排放远超测试中显示的数值。

在开始本周新一期的《安全周报》之前,我想先说几条与信息安全无关的新闻。大众柴油车被发现污染物排放远超测试中显示的数值。 在最终调查结果出来之前,我并不想对这条新闻多做评论。这条新闻表明软件在如今全球各个领域都扮演了举足轻重的角色:事实证明只需对代码进行微调,就能某种程度上改变重要特性,且不为人所察觉。 据Wired报道,汽车厂商要想掩饰更高排放水平并非难事。你知道车辆是如何在实验室内进行测试的吗?首先将车辆放置在一台模拟道路行驶的装置上,随后踩下油门,任凭车轮飞速转动,然后对废气排放进行分析。 车辆在实验室测试与真实道路行驶有何区别呢?区别在于前者并未使用到方向盘。这意味着可以为单一环境进行编程:即无人驾驶的MOT测试站环境。尽管这一”黑客入侵”方法偶然间被发现,但我认为这迟早会发生的。

这里再次重申,除非整个事件被完全澄清,否则免不了人们的各种猜想。如果大众柴油车的废气排放分析蓄意为之,那汽车制造商(或负责软件编程的工作人员)将难咎其职。那有可能是一个误会吗?当然有可能。在今天 Threatpost.com上的每周文摘中,我们将带来几个有关各种编码错误的新闻故事,其目的各不相同,甚至还用来赚取不义之财。点击这里阅读更多新闻故事。 D-Link无意中泄露数字证书 新闻。荷兰网站Tweakers.net最近发布https://threatpost.com/d-link-accidentally-leaks-private-code-signing-keys/114727/了一份详细的研究报告,并附有多个语言的版本(Google翻译)。 想象你是一家制造各种网络设备的生产商,产品从路由器到监视摄像头无所不包。此外,你还需要为自己的设备配备固件、驱动、软件、固件升级软件和驱动升级软件等等。而所有这些均保存在了一台秘密服务器上的”工作流程”文件夹内。根据工作日程安排,所有程序和软件被升级、分配和上传到各升级服务器上,随后这些更新程序再经过标记并最终发送到各个用户设备。整个流程相当顺畅,不是吗?

毫无疑问,仅通过手动操作无法管理整个硬件存货清单,还需要用到脚本。在我们获得新的代码片段,则需要运行.bat文件(Shell脚本或Python脚本,随便什么),随后将代码分配到指定文件夹内,整个过程即告完成,不会出现任何差错。 而有个叫Jack的D-Link内部工程师决定从根本上改善整个脚本,他在此之前已多次对脚本进行了测试并得到满意的结果。这也导致了bug的产生。负责选择合适更新文件或文件夹的一行代码并不包括破折号或另外的括号–并且其中的重要数据外泄到了公共领域且通过电邮发送给了数不清的用户。

当然,我的理解并不一定100%准确–也可能是错的。但这的的确确发生了:有一名平时谨小慎微的用户在为其D-Link摄像头下载固件更新时,注意含供应商软件私人密钥的存档文件。在存档文件内存有多个证书,尽管其中一些已经过期,但有一个在9月3日才刚刚过期不久。 但问题是该密钥早在6个月之前就已外泄,因而在这之前,可以用来对任何软件进行签名–包括恶意软件。这显然是个失误,不仅丢脸还相当危险。我们目前这个数字时代,一串由512个数字组成的字符就代表了一切:能感染数百万台计算机的密钥、一大笔虚拟货币财富或者机密资料的访问代码。 但与此同时,512个字节只是你硬盘”浩瀚海洋中的一粒沙”,很容易被清除而进入到公共领域内。我们唯一的希望就是没人注意到这个错误–而情况常常如此。但偶尔也会有人发现–在这样的情况下,尽管没有人会故意寻找恶意软件,但还是会有人利用任何外泄的密钥从事一些不法活动。 让苹果IED的书签感染XcodeGhost病毒 新闻。Palo Alto研究。受影响应用清单。苹果官方声明(可惜只有中文版)。 想象你是一名中国iOS应用开发者。不用想太多,中国开发者使用的工具与全世界其他国家的开发者并无差别。只需稍微加入些地域特色即可。比方说,你买了一台崭新的Mac电脑,安装完Xcode framework后即开始编码。 这完全没有问题,但除了有一点:从苹果官网下载免费版Xcode framework的速度相当缓慢–这主要是因为有”防火长城”存在。而从中国本地网站下载则相比之下速度更快也更简单–有什么区别吗?反正都是免费的。 而完全出乎意料的是,一些应用(包括流行和非主流)被植入了恶意代码,(最低程度!)将关于设备的数据发送到远程C&C服务器。最糟糕的情况则是设备接受来自黑客服务器的命令,对用户进行病毒感染并对iOS漏洞利用。 事实上在Xcode中文版及多个发行版中都发现了恶意代码。这表明是有黑客有意而为之。因此事实上情况更为糟糕:不仅仅是像微信(即时通讯应用)或疯狂的小鸟中文版这样的流行应用受到感染,App Store内的多数中文应用都有可能植入了恶意代码。 当然,目前所有受感染应用已全部从App Store下架,而且通过C&C域名(同样被阻止)也很容易找到植入的恶意代码。但如何缺乏先验知识的话,恶意代码植入依然难以发现:悄悄隐藏在苹果的标准程序库内,99.9%的应用都要用到。

这里有个奇怪的地方。专门对斯诺登提供的秘密数据进行解密和公布的调查新闻网站-The Intercept报道了这一方法,而XcodeGhost正是采用这一方法偷偷潜入苹果设备,同时也和政府秘密计划中描述的方法一致。该网站炫耀自己早在去年3就将这一信息公布互联网。

好吧,我们也来炫耀炫耀自己:我们早在斯诺登事件发生前的2009年就注意到了这一问题,因此是全球最先发现的公司。例如,我们发现了同时感染Delphi的IDE(集成开发环境)以及将恶意代码植入所有已编译应用的恶意软件。黑客所用的方法也显而易见。但只要知道问题所在,就能很轻易地解决–只需将开发工具与主版本的完整性进行匹配。 除此之外,我们在这里还提供一个简单得让人吃惊的建议:千万不要从可疑资源下载软件。尽管听上去有些奇怪,但却是经验丰富开发者的忠告。他们真的会犯这种可笑的错误吗?事实证明,他们绝对会。 Bug中介商悬赏100万美元在iOS 9中找bug 新闻。 这里有个关于各种iOS设备越狱历史记录的表格。安卓或台式电脑操作系统用户可以默认开启对系统的全面控制,且漏洞利用也相当容易。而与它们不同的是,苹果的智能手机、平板电脑(现在还有电视机顶盒和智能手表)却内在地限制用户的权限。 多年以来,一方面苹果试图对其设备严加保护,而另一方面热衷于获取root权限的用户却是试图绕过这一保护。最终,大多数苹果设备惨遭越狱(除了苹果TV v3机顶盒,以及Apple Watch暂时幸免于难)–只要苹果产品一上架,通常在6个月内就能成功越狱。

最新的iOS 9同样不幸遭到越狱,但事实却不完全如此。因为并没有越狱完整。关注这一问题的还有Zerodium公司,该公司已悬赏100万美元找到能漏洞利用iOS 9的方法,但前提条件是: —漏洞利用方法是能远程操作的(原因是当用户访问专门精心制作的虚假网页或阅读恶意普通短信或多媒体短信时能自动运行); —漏洞利用方法允许侧载任意应用(类似于Cydia); — 漏洞利用方法持久稳定,在重启依然能继续运行; — 漏洞利用方法’可靠、谨慎且无需用户的任何操作。 上述所列的这些条件表明Zerodium的300万(总赏金)悬赏活动纯属噱头,对于获取root权限的狂热分子可能要失望了。Zerodium公司创始人Chaouki Bekrar最初创立的是VUPEN。后者专门向政府机构出售漏洞和漏洞利用工具。无论从合法程度还是道德立场而言,这都是信息安全领域的灰色地带:好人用坏人制作的工具起诉坏人。 然而VUPEN(至少从官方来看)并未扰乱bug中介市场,而最初创立Zerodium的目的正是为此。这意味着有些人将从中大赚一笔,而另一些人将使用购买的漏洞利用工具攻破设备但却不会披露任何有关漏洞的细节(否则支付奖金又有何意义呢?)。 但我们已经知道如果bug中介商自己遭到黑客入侵后的结果(是否还记得Hacking Team安全公司,其大量有关零日漏洞的信息在公共领域遭到公开,该公司与一些中东国家政府间的肮脏交易得以揭露,对于双方而言都是惨痛的教训)。

而这里的道德问题是,越狱自己的智能手机完全没有任何问题(或者更准确地说,基本没什么问题),因为这是每个人的自由。但如果在未经他人允许的情况下越狱别人的设备,这就有问题了。而一旦发现这样的漏洞,无论如何都应告知生产商并由其打上安全补丁。不管怎么说,就算漏洞利用是为了造福整个人类,但依然还是不那么光彩的行为。 其它新闻: Adobe为Flash Player内的23个漏洞打上安全补丁。整个8月份总共修复了超过30个bug。

OPM(联邦人事管理局)报告了今年发生的大量黑客攻击活动导致的更加严重后果:属于联邦机构工作人员的超过560万个指纹被盗。美国国内分析家表示由于人的手指都是唯一且不可替代的,因此被盗指纹将永久有效,因此以后安全认证组合的数量也将受到限制。尽管目前指纹的用途相当有限,但没有人能预测未来科技将发展到何种的地步。 老话新提:

“PrintScreen” 这是一种相当危险的病毒,占用512个字节的空间(一个扇区)。在读取时,它会感染软盘和硬盘驱动器的引导扇区(int 13h)。老式引导扇区会写在软盘驱动器的1/0/3地址(磁面/磁道/扇区),而硬盘驱动器对应的地址则是3/1/13。该病毒会损坏任意一个FAT扇区或保存在内的数据(具体取决于磁盘容量)。在感染硬盘驱动器时,隐含有引导扇区保存在0/1/1地址的信息(这表明编写这一病毒的程序员水平较低)。 此外它还劫持int 13h。从病毒感染驱动器时病毒清单编制的1/256概率比判断(取决于其内部计算器的数值),该病毒应调用int 5(Print Screen),但由于一个错误导致计算器的新数值并未保存。 引述自于1992年出版的《MS-DOS中的计算机病毒》第102页,作者:尤金·卡巴斯基 免责声明:本文仅代表作者的个人意见。可能与卡巴斯基实验室的立场相符,也可能相反。听天由命吧。

用平板电脑开发儿童智力:10款最佳儿童手机游戏

作为家长,我们常常担心电脑游戏占据了我们孩子的大部分生活(事实的确如此),但作为科技进步伴随的产物我们也不能一概否定。 严禁孩子玩游戏带来的不良后果是:被更”高级”的小伙伴们冷落或干脆排斥在外,这不可避免地会让孩子感到自卑和孤独。甚至长大以后还会愈加觉得与整个现代社会的格格不入,因为到时人机关系将达到一个前所未有的新高度。 尽管我无法确定未来的人机关系到底将达到一个怎样的程度,但很可能会出现类似于我们已知的”反乌托邦”式社会模式,这不仅将和我们目前的生活方式截然不同,甚至还远远超出我们父辈一代的想象。 尽管我们无法阻止持续加强的人机协同作用的整个大趋势,但我们完全可以向孩子展示计算机的各种用途。此外,还应向孩子举例证明人机之间谁才是真正的主人,谁才真正掌控局面等理念。我们不该让计算机主导我们的生活,但却能让你的每一天生活变得更加丰富多彩。且孩子不仅不会沉迷其中,也不会在现实生活中缺乏交际能力。 总而言之,既然你无法控制科技的进步,倒不如引导和驾驭它向正确的方向发展。毕竟我们能掌控自己的一切! 我们暂且将这个话题放在一边并重新回到计算机这个主题–及其涵盖的所有多维含义。 如今,几乎每个家庭都拥有平板电脑。孩子对平板电脑尤其着迷,因为只需动动手指就能享受到各种游戏和娱乐应用带来的乐趣。 可以理解面向不同年龄层的娱乐内容各不相同–而许多家长正面临相同的境遇:有些游戏会让孩子变得歇斯底里、对身边人或事漠不关心、神志恍惚或者具有侵略性和暴力倾向;甚至时不时还会出现无端恐惧症、彻夜难眠以及各种类型的间隙性精神障碍等症状(定期地出现最终可能变成习惯性发作)。 在缺乏有经验指导的情况下,不该让你的孩子单独玩(危险的)平板电脑。我们应该也必须过滤和评估孩子可能接触到的娱乐内容,从而真正让孩子实现多维发展并在自我实现过程中给予帮助和建议。 为此我专门整理出了10款最适合孩子玩的平板电脑游戏,同样也是我为自己的孩子精心挑选的游戏。 当然,这并非是青少年心理学家给出的专业建议(他们只认为禁止孩子玩游戏就可以一劳永逸,我们在上文已经提到过)。但就我个人经验来看,适当地玩这类游戏(每天玩半个小时,但前提条件是你的孩子能遵守你制定的行为规范和日程表)不仅能促进孩子的智力开发,还能让他们和自己的小伙伴玩得更近。 1. 寻找宝藏– 4.99美元 从App store下载 从Play Store下载 直到现在,我仍然难以忘记80年代时与我的小伙伴们一起玩雪乐山公司出品的包括《太空冒险》和《国王密使》在内的众多冒险游戏,当时对这些游戏的喜爱程度可以说达到了疯狂痴迷的地步。我依然记得,正是因为这些游戏而促使我真正学习英文,而英语老师教给我的只有枯燥的词汇表。 尽管雪乐山公司早已名存实亡,但人类本性永不会改变:永远不缺少对成就的渴望,而任务类游戏只是将这一点放大了。好奇心(”接下来一关是什么”)促使着我们的大脑不断寻找新的对策和发展新技能。 这里引述电影《华尔街》中迈克尔•道格拉斯所饰演角色说过的一句话:”Curiosity is good, curiosity works”(有好奇心是好的,好奇心能起到作用)。好奇心可以说是孩子成长的强大推动力,家长应该想方设法利用这一点。 手机游戏中不乏许多优秀的任务类游戏。我最近的发现是《机械迷城》(Serge Malenkovich提供)。精美设计的游戏世界、有趣的人物、脑洞大开的任务模式、简单直接的正邪设定以及合理的剧情推进–几乎包含了一个好游戏的所有优点。 我的孩子立即就沉浸到了这个游戏的世界中,且并没有让我感觉有什么不良后果。这款游戏不像街机游戏那样需要不停地按动/滑动手指;在规定的游戏时间结束后孩子也没有变的歇斯底里;但我却能感觉到他们的小脑袋在不停地转动,可以说是一款寓教于乐的优秀游戏! 这里再推荐几款同样优秀的任务类游戏(没错,我们玩的游戏并不多):《植物精灵》和《杰克与魔豆》。 2.  触觉和视觉感知–2.99美元

提示

爱与隐私

个人空间的界限在恋爱关系中特别容易模糊。在本文中,我们将谈谈过度的”信息亲密度”可能导致的问题。