信息化处
 部门首页  部门首页  新闻动态  通知公告  部门概述  网络安全  规章制度  智慧团队  服务指南  常用下载 
今天是:
您的位置: 部门首页>网络安全>正文
一周安全资讯(2019年第17期)
2019-11-15   瑞星官网

今天是星期五!

小狮子为大家带来了

一周重大安全资讯汇总

快来看看这周都发生了什么网安大事件!

↓↓↓

2019年第17期

【内容导读】

1、联想和技嘉服务器固件发现可利用的漏洞

2、举国无隐私!保加利亚遭黑客入侵 500万民众信息外泄

3、蓝牙漏洞导致Windows/iOS/macOS系统易被追踪 Android设备不受影响

4、五角大楼希翼加强网络安全队伍 为 2020 美国总统大选护航

5、谷歌上调Chrome漏洞赏金额度 最高达30000美金

国内资讯联想和技嘉服务器固件发现可利用的漏洞

(内容源自:solidot)

Eclypsium 的研究人员披露了联想和技嘉服务器所使用的 BMC 固件发现的漏洞。

该漏洞可用于向固件植入恶意程序,使其难以探测或在硬盘格式化后仍然存在。

但要利用漏洞,攻击者需要已经拥有管理员权限。

漏洞存在于 Vertiv 的 MergePoint EMS 基板管理控制器(BMC)固件内,该产品被用于联想的服务器产品和技嘉的服务器主板。

研究人员在 2018 年 7 月报告给了联想,11 月联想释出了补丁;今年 3 月又在技嘉的主板相同固件内发现了漏洞。

研究人员发现了两个问题,其一时固件更新前没有实行加密签名检查,因此可被攻击者安装恶意固件;其二是 shell 命令注入漏洞。

 

国际资讯

举国无隐私!保加利亚遭黑客入侵 500万民众信息外泄

(内容源自:环球时报)

举国无隐私!近日,保加利亚国家税务局数据库被黑客攻破,高达500万国民的信息外泄——受害者总数相当于该国所有成年公民的总和,创下该国历史上最为严重的用户数据泄露事故。

截至目前,一名年仅20岁的嫌犯已经落网,黑客团体及其作案动机正在进一步调查当中。

 

据英国路透社17日报道,保加利亚新闻媒体15日收到神秘电邮,自称是“俄罗斯黑客”的寄信人号称攻破了该国官方110个数据库,其中包含核心政府部门的高度涉密信息。作案团伙在信中大肆嘲弄保加利亚当局的“腐败无能”,挑衅称“贵国的网络安全就是个笑话”。他们号称为媒体提供的数据包约为11GB,他们手中还掌控着10GB左右的数据。保加利亚《24小时报》称,这份邮件中包含部分失窃数据的下载链接,点击后可查看到110万公民个人关键信息,包括身份证、社保号码、个人收入、缴税记录以及医疗信息等。

保加利亚财政部方面证实,这起史无前例的网络入侵事件发生在上月底,该国国家税务局(NRA)的网络系统“失守”。税务部门官员表示,黑客团体的作案地点疑似位于境外,而黑客所发送的邮件也能追溯到俄罗斯。本月16日,国家税务局在一场新闻发布会上表示,黑客利用了该机构在线增值税退税服务的漏洞,大约窃取了NRA总数据量的3%。保加利亚财政部长戈拉诺夫在国家议会上向全体公民道歉,不过他同时辩解称,外泄数据并非涉密信息,国家财政稳定性也不会被危及。因这起事故,国税局方面将面临2000万欧元的重罚。

 

据保加利亚通讯社17日报道,本月15日,一名年仅20岁的嫌疑人在该国普罗夫迪夫市落网。据起底,嫌犯名叫博科夫,是该国一家网络安全公司的程序员。据了解,此人在业内算是个“知名人士”,2017年他曾因指出教育部官网的安全漏洞而名声大噪。如今,沦为阶下囚的博科夫或将面临5年至8年刑期以及1万列弗(约合人民币4万元)罚款。保加利亚警方表示,目前该案件的调查工作尚处于早期阶段,警方还在搜寻其他涉案嫌疑人。

也许是为了挽救政府颜面,保加利亚总理鲍里索夫在17日的一场政府会议上称赞落网嫌犯是一名“奇才”,还表示这样的人物应该为国效力。但很快有网络专家表示,黑客所采用的侵入方式并不高明,只是数据库的保护措施太糟糕。虽然作案动机尚不明确,但不少媒体猜测黑客的目的是为了给政府“上一课”、是“白帽黑客”行为(指黑客通过入侵系统来检测网络安全性),旨在刺激当局引入更有力的网络安全措施。也有美国媒体认为,这起大规模网络攻击事件带有国际政治背景,暗示俄罗斯在“报复”保加利亚斥巨资购买美国的F-16战斗机。

蓝牙漏洞导致Windows/iOS/macOS系统易被追踪 Android设备不受影响

(内容源自:cnBeta.COM)

本周三,瑞典斯德哥尔摩举办了第 19 届隐私增强技术研讨会。

来自波士顿大学的两名研究人员,讨论了他们的最新研究成果。

其声称,蓝牙通信协议中的一个缺陷,或导致使用现代设备的用户泄露身份凭证,导致其易被识别和追踪。

别有用心者可借此实现对用户的监视,配备蓝牙模块的 Windows 10、iOS 和 macOS 设备均受到影响。

 

该漏洞影响包括 iPhone / iPad / Apple Watch / MacBook,以及微软平板与笔记本电脑在内的诸多设备。值得庆幸的是,Android 设备并未受到影响。

在这篇题为《追踪匿名蓝牙设备》的研究论文(PDF)只岈其宣称许多蓝牙设备都存在着 MAC 地址。

即便有随机 MAC 地址的选项,但他们发现了可以绕过这一层的方法,以实现对特定设备的永久性监控。

识别令牌通常与 MAC 地址搭配使用,而 David Starobinski 和 Johannes Becker 开发的“地址携带”新算法,能够利用有效载荷的异步特谢嵬地址变化,来实现超越设备地址随机化的追踪方案。

其写到,该算法无需消息解密、或以任何方式破坏蓝牙的安全性,因其完全基于公共、未加密的‘广播流量’(advertising traffic)。

这项研究主要针对 2010 年引入的低功耗蓝牙规范(同样被用于蓝牙 5.0),在实验室只岈研究人员建立了基于苹果和微软设备的测试平台,以分析 BLE 广播频道和标准蓝牙接近度内的‘广告事件’。

测试期间,研究人员使用了 Xianjun Jiao 的 BTLE 软件套件和定制版本的嗅探器。通过被动收集一段时间内的广告事件和日志文件,分析相关信息并引出显示设备 ID 令牌的数据结构。

研究指出,多数计算机和智能手机操作系统都会默认实施 MAC 地址的随机化,以防止被长期被动追踪,因为永久标识符是不会被广播的。

然而研究人员在运行 Windows 10、iOS 或 macOS 的设备上发现,系统会定期发送包含自定义数据结构的广告事件,它们会被用于与 BLE 范围内其它设备 / 特定平台的交互。

结果就是,通过为攻击者提供所谓的“临时 / 次要伪装身份”数据,研究人员可以通过算法筛出这些标识符,实现规避地址随机化的设备追踪。

有趣的是,这一缺陷并不影响 Android 设备,因为该移动操作系统不会不间断地发送广告信息。相反,Android SDK 会扫描附近的广播,而不是持续地暴露自身。

研究人员总结道:“如果不改变老旧的算法策略,任何定期发布广播信息的数据设备都会受到影响”。

预计 2019 至 2022 年间,蓝牙设备数量会从 42 亿增加到 52 亿。想要在未加密的通信信道上建立反追踪方法,将是至关重要的。

五角大楼希翼加强网络安全队伍 为 2020 美国总统大选护航

(内容源自:cnBeta.COM)

周二的时候,国防部长提名人 Mark Esper 向参与元军事委员会表示,尽管仍有许多工作要完成,但其对于 2020 总统大选期间的网络安全充满信心:

“我们坚信 2020 年的总统大选不会再受到影响,但鉴于总会有人来干扰,我们仍有许多工作要继续”。

上个月的时候,一名高级情报官员在某次简报中向记者透露,2020 总统大选仍是该国网络安全的首要维护目标。

在讨论选举安全问题时,自 2017 年以来一直担任美国陆军部长的 Esper,特别强调了网络司令部的能力。其声称,2018 中期选举期间,该部门已经做得比以往更加出色。

此外,网络司令部已经做好了应对 2020 大选的准备。在今年春季的一次简报只岈军方官员罕见地向记者透露了其正在保持密切的关注。

《华盛顿邮报》指出,2018 大选期间的另一场行动,中断了俄方对民主党全国委员会的互联网接入,但 Esper 未指明具体采取了哪些行动。

不过网络司令部和国家安全局证实,挫败俄方对美威胁的特遣部队,已于数月后获得正式提名。五年前,五角大楼获得了白宫和国会的更多授权,要求在其网络之外防御和阻断敌手。

在国会的年度国防授权法案只岈议员们也对其中的措施展开了辩论,其中包括允许网络司令部和 NSA 采取新的动作。至于两个部门是否需要分工合作,Esper 尚未发表意见。

至于未来,Esper 希翼美军网络司令部可以创建一支部门的军官队伍,在战术和作战层面上真正发挥相关工具的出色实力。但在防守方面,其认为政府和私企仍有些薄弱。

于是 Esper 在回应委员会的书面答复中称,政府应该向五角大楼分配更多资源,且目标是加强网络安全人员的招募。

谷歌上调Chrome漏洞赏金额度 最高达30000美金

(内容源自:cnBeta.COM)

据外国媒体CNET,自2010年以来,谷歌已向一些报告Chrome浏览器安全漏洞的安全研究人员支付赏金。而现在谷歌宣布将提高赏金额度。据Chrome安全博客文章称,这将包括将最高基础赏金额度从5000美金增加到15000美金,并将“高质量报告”的最高赏金金额从15000美金增加到30000美金。

 

对于Chrome操作系统,谷歌基于浏览器的Chromebook软件基础,谷歌也将其常规赏金额度提高至15万美金,以揭露可能在更受限制的访客模式下危害Chromebook或Chromebox的攻击。谷歌周四表示,固件中发现的安全漏洞或让攻击者绕过Chrome OS锁定屏幕的安全漏洞也会产生奖励 。

最重要的是,谷歌正在增加对模糊测试的奖励,这是一种寻找漏洞的方法,它会在产品中投放随机数据,以便找到问题输入。谷歌在博客文章中称,“ 在 Chrome Fuzzer Program下提交Fuzzer的研究人员的额外奖励也增加到1000美金。”

谷歌表示,自2010年Chrome漏洞奖励计划创建以来,人们已经报告了超过8500个漏洞,谷歌已经为此支付了超过500万美金。

Google对其有资格作为“高质量报告”的具体规则进行了详细说明。

谷歌也为发现Google Play漏洞提供更高的赏金。该公司称,远程代码实行漏洞的赏金从5000美金增加到20000美金,将有关不安全私人数据窃取漏洞的赏金从1000美金上调至3000美金,以及将受保护应用程序组件相关漏洞的赏金从1000美金增加到3000美金。据谷歌称,如果你“负责任地”向参与的应用程序开发者披露漏洞,你将获得奖金。

 

关闭窗口
 
相关文章  
读取内容中,请等待...

版权所有: 千赢登录平台 会址:重庆市沙坪坝区大学城中路81号
电话:023-61691001邮编:401331
渝ICP备11006315号 渝公安备案号:50010602500176 

 

浏览总数:
今日浏览: