大东:小白,2020年已经来了,2019年立的各种Flag实现了多少啊?(一脸坏笑)
小白:东哥,(试图转移话题)我们团队的Flag可是实现了哦。我们每天坚持对国内外网络安全事件进行监测和梳理!
小白:东哥,时间过得好快,记得我小时候作文里还总是幻想2020年世界会变成什么样子,结果2020年已经来到眼前了。我记得东哥和我说过在1999年“跳跃”到2000年的时候,出现了“千年虫”病毒。
大东:其实“千年虫”不能说是病毒,确切地说是一个计算程序的bug。某些使用计算机程序的智能系统,由于其中的年份只使用两位十进制数来表示,因此当系统进行跨世纪的日期处理运算时,就会出现错误的结果,进而引发各种各样的系统功能紊乱甚至崩溃。
大东:不错。大数据分析平台 Splunk在 2019年11月承认染上千年虫,需打上补丁才可正确摄入数据。
小白:Splunk具体为客户提供哪些服务呢?它所感染的“新千年虫”对用户会有怎样的影响?
大东:Splunk实时收集并索引数据,将之置入可搜索的存储库中。用户可从数据可视化的控制面板创建自定义图表和报告。如果配置输入源自动确定时间戳,运行未修复版本Splunk平台及其实例的用户在2020年后将面对巨大问题;如此配置可导致用户在搜索摄入数据时遭遇困难,数据存储桶回滚也会出现问题。
大东:为修复此问题,Splunk发布了修正版的文件,可在网上下载到该文件的ZIP压缩包。受影响用户需在新年到来前修复该平台。Splunk警告称:平台摄入数据后就没办法改正时间戳了。若用未打补丁的Splunk平台实例摄入了数据,必须修复该实例,并重新摄入数据,这样才能拥有正确的时间戳。
小白:我关注了一个公众号大V,他一直会在企鹅号上也同步更新自己的内容,但很少登录上去,发了很多文章,也没有过什么收益。他说他最近登录了一次企鹅号以后,发现他的全部个人信息都被更改了,而且疑似被盗号的几个月以来,企鹅号里每天都会更新几篇文章。
大东:文章都是你爱的明星八卦吧?而且标题比内容更吸引人对不对,老是忍不住想点进去看看?
小白:是的呀!而且他说这段时间以来,这个被更改为“娱乐与露露”的企鹅号还有了几万块的收益!
大东:其实,这背后隐藏的就是黑产产品链中重要的一环——做号黑产。很多媒体人辛辛苦苦写出来的东西被更换了题目,放在了其他的平台上,甚至被打上原创的标签,赚取红利。这个产业中往往有成形团队,可以灵敏的感知各大平台扶持原创的红利政策,从中抓住商机,形成了从买卖账号、招聘写手、打造爆文、开班授课的完整产业链。
小白:在3月12日,就在“露露”事件被公开后两天,企鹅平台发表了《关于严打盗号和安全机制全面升级的公告》。公告称,经平台查明原因是2018年12 月底外部某知名网站账号密码数据库泄露,有不法分子近期利用该数据库泄漏信息,恶意对企鹅号账号进行攻击和破解,导致部分企鹅号作者无法正常登录,账号及相关收益出现异常。
小白:企鹅号表示将采取重拳打击盗号、增强登陆安全、排查历史数据等措施解决账号异常问题。
小白:东哥,我发现当云服务和邮箱服务融合在一起的时候,用户体验真心不错呢!比如Office 365的介绍中就说到“它可以消除邮件配置带来的许多麻烦,提供简化用户体验的选项,降低成本,还包括基本的安全功能,可以帮助用户防御最新威胁”,受欢迎是必然的!
大东:那你在使用的时候可不要掉以轻心哦。就在此类云服务风行的同时,也引起了攻击者的注意。攻击者正在策划并发起针对Office 365用户的网络钓鱼活动,而且在2019年中就发生了多起类似的事件。
大东:比如以Office 365管理员为目标的钓鱼事件。事件始于一个“邮件消息未送达的假通知”,据说来自微软。攻击者实时监测进入欺骗登录页面的凭据,如果有效,受害者将被重定向到他们线收件箱。如果登录失败,最终用户将收到一个假的Office 365登录错误,要求他们再次提供凭据,就像在真正的Office登录中一样。再比如以所有普通用户为目标,攻击者会将钓鱼内容伪装成Office 365点警告邮件,并告知用户他们的账户中出现异常数量的文件删除。
小白:接下来的事我大概可以猜到了!无论是管理员或是普通用户都可能会因为没有发现问题而在虚假的页面中输入了自己的密码或是一些隐私信息。攻击者便轻松拿到了这些!
大东:没错,也很有可能在自己没有防备的情况下“主动”在网络或系统中安装了恶意软件,让攻击者有利可图。
大东:所以在用网时我们要仔细检查可疑的网络连接,并关注网址细节,尽量避免虚假页面。对于Microsoft账户和Outlook账户登录,请务必记住,登录表单只会来自或outlook.com。如果发现有任何来自其他URL的Microsoft登录表单,就不要轻易点击他们。
小白:东哥,我看了315晚会,那个Wifi探针真的还蛮恐怖的。只要你打开了手机WiFi,这个东西就能获取你的手机号。关键是这些盒子还被放在各种人潮涌动的地方,商场、超市、便利店、写字楼……在用户毫不知情的情况下获取数据信息。
大东:通过已有的大数据信息比对,他们不光获取你的手机号,甚至能获得精准用户画像,了解你的姓名、年龄、大概收入范围、目前是否结婚、是否有房有车、经常出入哪些场所、使用哪些手机App、浏览过什么网页等等。
大东:探针盒子只是这场隐私窃取的开端。依靠探侦盒子得到用户电话号码后,与其后台的上亿用户信息的数据库进行匹配查询,甚至能够对个人进行精准画像,之后进行营销、诈骗等一系列行为。
大东:如此海量的数据主要来源于用户手机上所安装的一些软件,我们平时同意的服务条例都暗藏玄机。
大东:针对WiFi探针行为,实际上苹果、谷歌、微软都尝试采取了一些措施来保护用户的隐私。作为一个普通用户,更重要的还是隐私安全意识到加强,从自己身上斩断不良厂商伸来的黑手。更多防范措施可以通过《》了解~
大东:2019年1月,某网购平台出现漏洞,用户可以任意领取100元无门槛券。有大批用户开启了“薅羊毛”的节奏,利用无门槛券来充值话费、Q币。
小白:哈哈,这种“好事”我也听说啦~4毛钱就可以充100块话费呢!厉害的“羊毛党”直接给自己储备好了够用十几年的线万的Q币!没想到“薅羊毛”能“薅”出个几千万啊,真是不得了!
大东:事实上,“羊毛党”早已成为网络黑产的重要力量之一。网络中存在着无数专门分享“薅羊毛”线报的群。有人专职在群里分享“羊毛”信息,随即“羊毛党”便集体出动占便宜。
小白:我看到该网购平台在事发当天中午发表声明,表示已在第一时间修复漏洞,并正对涉事订单进行溯源追踪。
大东:一些基础的手段,比如设备识别——利用设备信息甄别设备的独特性。还有复杂的验证码——图文、文字、问答式的、滑动点击动作的,在一定程度上能阻碍“薅羊毛”的速率。这次网购平台被“薅羊毛”主要原因是企业安全意识不到位,缺乏相应的技术检测预警机制,没有采用类似智能分析算法等新技术,才会导致如此大的损失。可以通过《》来了解更多的“羊毛党”发展史以及“薅羊毛”的防范措施。
小白:东哥,我最近总是收到一些邮件,里面会准确描述我所注册的一些软件的账号信息,但凭我的直觉,我觉得很可能是钓鱼邮件,会引导我进入一些不合规的网站,设置会使我在不经意间泄露了我的更敏感的信息,所以我对它们都不予理睬。
大东:你做的很对,有针对性的鱼叉式钓鱼邮件是社会工程学攻击的很常见的方法。心怀不轨的人可能在不需要任何技术手段的情况就获取到你的密码或银行卡等信息,而且还是你乖乖上钩的。在2019年10月,Internet上的Elasticsearch数据库中暴露了近750万Adobe Creative Cloud用户的基本客户详细信息,该数据库无需密码即可在线连接。
大东:目前,Adobe大约有1500万Adobe Creative Cloud的订阅用户。本次发生的数据泄露,涉及750万用户,占Adobe Creative Cloud总用户的一半。暴露的用户详细信息包括电子邮件地址、Adobe成员ID(用户名)、原产国以及他们使用的Adobe产品,其他信息还包括帐户创建日期、登录的最后日期、该帐户是否属于Adobe员工以及订阅和付款状态。
小白:虽然这些信息并不是很敏感,但足够不怀好意的“坏人”们更加精准地定位“目标”了!
大东:这种泄漏的严重程度可能远不及2013年臭名昭著的Adobe漏洞。但黑客可以利用钓鱼电子邮件将活动Adobe高级帐户的所有者作为目标,以劫持所有者的高价值Creative Cloud帐户,然后可以在专门的暗网市场上通过在线方式再销售这些帐户。
大东:这家基于云的软件公司最终将事件归咎于其“原型环境”之一的错误配置,导致服务器暴露在互联网上。
小白温馨提示:面对可能存在风险的邮件或网站等,在点击或输入我们的敏感信息时一定要多思考,不要轻举妄动!!
小白:这个“ZAO”只用了我一张照片就能把我精准地换到另一个人身上,这是什么神奇的技术啊!
大东:2017年12月,国外某ID名为“deepfakes”的Reddit论坛用户首次将自己制作的AI换脸视频发布在了网上。它能够把照片和视频中的人脸替换成任何想要替换的人脸,效果十分逼真,甚至肉眼难辨真假。可能和你手上的“ZAO”一样哦。不过你使用之前仔细阅读过app的用户协议条款了么?那你知道app拿到你的照片之后,除了做这个视频,还会去做些什么吗?
大东:工信部约谈“换脸视频”应用“ZAO”的实际控制人北京陌陌科技有限公司,原因是“ZAO”的实际功能设计和用户协议条款。
大东:从功能上来说,用户无法直接删除自己此前上传的图片,只能以新上传的照片来替代,同时无法自行操作注销ID。这就违反了《个人信息安全规范》中的主体参与原则,即必须向“个人信息主体提供能够访问、更正、删除其个人信息,以及撤回同意、注销账户等方法”。
大东:从用户协议来看,“ZAO”此前在其授权协议中表示,用户上传发布内容后,意味着同意授予“ZAO”及其关联公司以及“ZAO”用户在“全球范围内完全免费、不可撤销、永久、可转授权和可再许可的权利”,“包括但不限于可以对用户内容全部或部分修改与编辑”等。这同样不符合《个人信息安全规范》中关于个人信息原则上不得共享、转让,确需共享、转让时应单独明示并征得用户授权同意的要求。
小白:东哥,你说我们生活中的饭店、停车场或者说购物网站是不是希望自己的使用者或者在线用户越多越好啊!
大东:那要看是不是不速之客!也要看到底能装得下多少资源或者承受多少用户!比如一个停车场总共有n个车位,当n个车位都停满车后,再有车想要停进来,就必须等已有的车先出去才行。结果停车场排队等待进入的汽车过多,多到影响到已有车辆的离开,就会使整个停车场都无法运转,这貌似也不是什么好事啊!
大东:2019年10月,全球大型云服务提供商Amazon Web Services(AWS)受到了一系列DDoS攻击(分布式拒绝服务)的攻击,导致其部分内容脱机几个小时。这可不是AWS想要看到的啊!
大东:DDoS攻击主要是通过恶意软件或者“钓鱼”控制大量真实用户电脑,伪装成大量的合法请求在短时间内对目标服务器发起攻击,占用目标服务器大量的网络资源。由于控制的是真实用户电脑,系统很难区分攻击和访问用户,所以导致服务器处理不过来而陷入瘫痪。
大东:AWS遭遇的这次攻击持续时间为10:30 AM至6:30 PM大约8小时。尽管攻击是针对其Route 53 DNS Web服务的,但它的其他服务也受到了影响:包括关系数据库服务、简单队列服务、弹性计算云服务等等。此外,DDoS攻击还影响了使用AWS服务的企业。
小白:东哥,你看最近应用市场里推出了好多新款小游戏呢!不过我发现很多小游戏里面都有大量的广告,甚至有些应用在没有经过我任何同意的情况下就跑到了我手机上。
大东:有可能是应用感染了恶意广告代码。在2019年三月,Google Play商店中就有超200种应用中招了。
大东:这些应用都被恶意广告代码SimBad给感染了。进一步的分析发现,这可能导致设备在应用外强行显示广告、引导用户到某些网站和应用商店链接、甚至下载新的App 。在向Google提交了恶意软件报告后,官方已经将它们从商店中移除。但根据Play商店的统计数据,其已经累积被下载了近1.5亿次。
大东:通过隐藏恶意代码,发布者将这些软件伪装成了合法的广告软件。在被恶意代码感染的流行软件中,模拟类游戏成为了一个重灾区。其中包括重型挖掘机、农业拖拉机、山地巴士、海洋动物 / 卡车运输等稀奇古怪名字的模拟器。
大东:更可恶的是,该恶意软件还暗藏了隐藏图标的代码,从而加大了用户想要查找和清除它们的难度。在疯狂弹送广告的同时,SimBad甚至会通过多种广告的形式,引诱用户下载更多的App 。滥用系统权限,劫持设备,将之用于DDoS攻击。
小白:2019年3月10日早晨,载有149名乘客与8名机组人员的埃塞俄比亚航空ET302号航班从亚的斯亚贝巴飞往内罗毕途中坠毁。埃航称,乘客来自33个国家,事故中没有生还者,遇难者中有8名中国人。想起这件事,我还是会觉得好难受。不想相信会发生这样的事。
大东:这次的涉事飞机为一架波音737MAX8,是交付不久的新飞机。和2018年10月29日印尼狮航坠机事件中的机型相同。这两次事件发生坠毁的时间都是起飞几分钟后。
大东:有分析认为,波音737MAX配备了自动防失速系统是导致事故的原因。飞机飞行时机头越高,攻角越大,当攻角超出一定范围时,飞机面临失速风险。MAX 8配备的自动防失速系统一旦判断飞机失速,可以无需飞行员介入即接管飞机控制,并使飞机低头飞行,以调整失速。
大东:波音公司对飞机失速保护的设想还是比较周全的,一方面可以通过飞行器失速保护系统中的处理器连接到飞机飞行控制计算机,可以对失速时的飞机进行自动控制保护;另一方面也允许飞行员进行人工干预和手动驾驶,但是实际上这两个环节可能都出现了漏洞。更完整的漏洞分析可通过《》来了解。
预告:大东话安全专栏将在今年春节期间把自专栏开始以来所有上榜“中科院之声”每月十大“原创”好文的专栏文章进行总体汇总和梳理,轻松了解网络安全热门事件,获取网络安全知识,让喜爱专栏的伙伴们一次看个够,也感谢读者们对专栏的支持~敬请期待!
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
华为常务董事余承东:我的缺陷是意志力远远高于体力,发烧38度多还在坚持上班!大家还是要劳逸结合
京东拿下任天堂Switch2首批官方授权货源 6月5日全球同步首发、不加价
价值36万的散热方案!安耐美推出浸没式液冷:压制四块RTX 5090没压力
苹果表SE价格,Ultra体验!华为 WATCH FIT 4才是年轻人真香选择
雷克沙ARES PRO Gen5 SSD:1TB 679元,618颠覆市场!
苹果宣布上调以旧换新抵扣金额:iPhone 12后续机型最高抵5700元