1.白帽子提交漏洞被抓,圈內人這么看
近日,白帽子實習生袁煒因在烏云上提交世紀佳緣網的漏洞而被抓,引起了圈內的熱議。行業兩派的爭議不斷,互相鄙視,程度遠遠超過了當年Windows陣營對Mac陣營。
“白帽子”派(我們姑且這么叫)是說廠商太無恥,我們好心給你們提漏洞,你們居然敢這么對我們,你們要像其他廠商學習,人家不只快速修復,還有獎勵;“親廠商”派說你們明確觸犯了刑法,未得到授權,泄露了信息,把一個單純的技術漏洞硬是利用到了公關層面,公開數據公開細節,對企業造成了極大的負面影響。
白帽匯創始人趙武認為,出現此類情況主要有兩種可能性:
一是白帽子溝通過程中表達不當(白帽子太不擅長跟廠商打交道了,同學們啊)激怒了廠商;
二是廠商那邊有個“主戰派”,他們不一定懂技術,但是一定是公司相關權利部門,比如法務部/公關部之類的,當然,最怕的是老板,最怕的是老板,最怕的是老板。一個暴燥如雷的老板會直接推動事情的進展。他們會喊出“犯我領土者,雖遠必誅”的口號。強權確實在某些方面是有效的,至少氣勢上威懾住你。
被尊稱為國內黑客教父的TK也認為每一朵烏云都有一道金邊,每一頂白帽都有一道黑邊。希望“白帽子”能學習一些法律,保護好自己;希望企業能想明白道理,知道自己真正的敵人是誰。
2.密碼不對也能登陸成功,還能安心的上網么?
康奈爾、MIT和Dropbox的研究人員在最近的IEEE安全隱私研討會上發表論文,文章指出在不危及安全的情況下自動更正密碼能顯著增強可用性,主要是為了避免密碼多種字符組成造成遺忘的麻煩。然而,宅客擔心的是,自動更正密碼就意味著陌生人也有可能登錄你的賬號,那么,該如何平衡效率與安全?
其實,網站只是啟用了打字錯誤糾正(typocorrection)功能,除了大寫鎖定造成的大小寫反轉(Password-> pASSWORD)外,還可以處理首字母大小寫錯誤(Password-> password)和尾部多余字符(Password-> Password`)問題,這種機制極大地增加了合法用戶登陸的成功率,網站的可用性(usability)大有改善。
然而,大部分的現實應用都存在安全性與可用性之間的權衡,兩者此消彼長。因此,在可用性提高的同時,隨之而來的安全風險有哪些,我們的賬號被陌生人登入的可能性有多大,這些問題都值得關注。
康奈爾大學的研究人員在發表于2016年學術界頂級安全研究會議S&P上,對這些問題給予了解答。
3.白帽匯趙武:我們來聊一聊實名制
國家網信辦今天發布了《移動互聯網應用程序信息服務管理規定》,定于8月1日開始實施。本意是解決“少數應用程序被不法分子利用,傳播暴力恐怖、淫穢色情及謠言等違法違規信息,有的還存在竊取隱私、惡意扣費、誘騙欺詐等損害用戶合法權益的行為,社會反映強烈”的問題。
之前在很多次的采訪中,記者都會讓我提建議,如何解決現有互聯網的網民安全問題。我的答案其實很無奈,沒有辦法根本上解決問題,只能通過類似注冊馬甲的方式減緩危害。去年我寫了《糊涂比清醒更幸福》大意就是表述了這種無奈感。信息泄露問題無處不在,快遞,送餐,電商,教育,買車買房貸款等等。
你生活的各個方面都有可能被泄露了信息,所以,一些資深的安全技術人員在萬不得已的情況下,不會用真實身份注冊,跟財產相關的操作在隔離網絡運行。另外一般都會選擇對應不上真實身份的方法讓自己淹沒在大量泄漏的數據當中,因為針對性的攻擊危害遠比泛泛的攻擊危害大得多,所以這種偽裝無法不讓信息泄漏,而是即使泄漏了你也不知道是我。(點擊閱讀原文)
4.X86 CPU到底存在哪些安全風險?
從海灣戰爭中薩達姆的防空系統突然癱瘓,到2007年以色列轟炸敘利亞東北部的一處潛在核設施時,敘利亞預警雷達因通用處理器后門而失效,再到2012年伊朗布什爾核電站在信息系統物理隔絕的情況下遭到震網病毒的攻擊....
殘酷的現實向世人闡釋了只要存在國家和利益斗爭,給CPU留后門的行為就永遠存在。
不久前,自由軟件基金會(FSF)指出,所有現代Intel處理器平臺都內置了一個低功耗的子系統IntelManagementEngine,IntelManagementEngine能完全訪問和控制PC,能啟動和關閉電腦,讀取打開的文件,檢查所有運行的程序,跟蹤按鍵和鼠標移動,甚至能捕捉屏幕截圖,它還有一個被證明不安全的網絡接口,允許攻擊者植入rootkit程序控制和入侵電腦。
FSF稱,IntelManagementEngine威脅著用戶的隱私和安全,而開發替代的自由固件是一項不可能任務,因此唯一的做法是拋棄Intel平臺。
據業內人士分析,由于很多底層功能不開放,導致Intel掌握著用戶的命門,雖然Intel未必會隨意黑用戶,但確實擁有黑掉用戶的能力。其實,除自由軟件基金會曝光度IntelManagementEngine之外,各種硬件木馬,甚至是X86指令集本身也存在安全風險。
5. Swagger被曝高危漏洞,影響Html、PHP、Java和 Ruby等開發應用
Swagger是一個規范且完整的框架,提供描述、生產、消費和可視化RESTfulWeb Service,今年年初被重命名為OpenAPI。Swagger規格被廣泛的使用在Html、PHP、Java和 Ruby等流行語言開發的應用中,其最近被曝出遠程代碼執行漏洞,潛在影響到了Java、PHP、NodeJS和 Ruby等流行語言開發的應用。
據了解,這個漏洞的CVE編號為CVE-2016-5641。該漏洞屬于參數注入漏洞,能夠在SwaggerJSON文件中嵌入惡意代碼。凡是使用SwaggerAPI的應用程序都會受到影響。但Rapid7社區的安全研究人員目前公開了該漏洞的技術細節和修補方案。
京公網安備 11010502049343號