阿里聚安全一周一讯第35期出炉,一起来看本周的安全热点吧~
一、安全资讯
2016年网络安全大事记
2016年,各种信息安全事件依旧层出不穷,且愈演愈烈,影响到人类社会生活的方方面面。本报告总结了2016年发生安全事件、漏洞攻防、行业市场、政策法规等内容。
美国欲在2021年前彻底杜绝因身份原因导致的大规模信息泄露事件
美国国家网络安全委员会已经敲定了有关网络安全和推动数字经济的16个重要建议。这份厚达一百页的pdf报告提出了一个颇具挑战的目标,即在2021年之前,彻底杜绝个人信息(尤其是密码)受攻击的重大案件发生。这一目标需要更先进的身份认证技术的研发和广泛应用。
然而,PKWARE首席技术官乔·斯图罗纳斯指出,这篇又臭又长的报告中缺乏对加密手段的详实描述。值得注意的是,加密这个词只在该委员会的100页报告中出现了2次,对于一篇专门谈论NIST网络安全框架和物联网(该文中提到物联网52次)的报告来说,这个数字少得匪夷所思。对数据加密的缺乏在每个案件中都是使信息系统易损的主要因素,而国家网络安全协会在其倡议中闭口不谈加密很令人担忧。
乌克兰内战的灰色地带成为网络犯罪的温床
在过去的三周里,针对全球WordPress网站的网络暴力攻击(brute-force attacks,更准确的说法应该是字典攻击)数量几乎翻了一番,根据WordPress的安全公司Wordfence的研究,从11月24日开始,攻击量开始上升,并持续了几周时间。 该公司表示,近六分之一的攻击来源于一个特殊的国家——乌克兰,更特殊的是,其中的大部分攻击来源于一个ISP。
时隔一年,乌克兰再次发生大规模停电事件
根据国外媒体的最新报道,乌克兰国内近日又一次发生了大规模的停电事件。而在这一次,乌克兰的国家能源企业成为了大规模网络攻击的新受害者。受影响的公司对外给出的说法是:此次停电事件是由“外部干扰”所导致的。由此看来,黑客们似乎非常执着于通过不断攻击乌克兰的国家电力部门来让乌克兰回到“石器时代”。 此次停电事件是由公司电力自动化控制系统中的漏洞所导致的,工程师必须先将电力控制系统切换为手动控制模式,然后才能完全恢复系统的正常运转。
FBI逮捕DDoS僵尸网络的租赁者,大部分不到20岁
美国和欧盟的执法人员本月上旬联合打击DDoS僵尸网络的租赁者,有34人被捕,大部分被捕者不到20岁。 这次行动被称为 Operation Tarpit,嫌疑人租赁僵尸网络对游戏服务商、政府机构、ISP、学校和大学发动DDoS攻击。这次行动始于对英国DDoS租赁服务Netspoof的调查,Netspoof的创始人是20岁的英国人Grant Manser,他通过出售DDoS攻击服务赚到了大约5万英镑,他的业务快速扩张,以至于他必须雇佣支持雇员。他使用PayPal处理交易,执法部门通过他的PayPal账号跟踪到了他。
黑客能劫持飞机!客机娱乐系统缺陷可允许黑客控制飞机
研究人员发现松下飞行娱乐系统存在缺陷,可以授予黑客访问飞机乘客显示屏,客舱照明和广播系统权限。在某些情况下,他们甚至可能劫持飞机。IOActive的Ruben Santamarta发现了松下航空电子系统的脆弱性,目前13个不同航空公司的飞机使用这种电子娱乐系统,它们包括美国航空公司,维珍航空公司,阿联酋航空公司,阿提哈德,FinnAir,KML,伊比利亚,卡塔尔,斯堪的纳维亚,新加坡,阿根廷航空公司,法国航空。
阿里巴巴集团成为国家信息安全漏洞库(CNNVD)技术支撑单位
阿里聚安全根据《国家信息安全漏洞库(CNNVD)技术支撑单位计划指南》相关规定,向国家信息安全漏洞库(CNNVD)运行管理中心,提交“阿里巴巴(中国)网络技术有限公司”为主体申请成为“CNNVD技术支撑单位”的公司。 国家信息安全漏洞库(CNNVD)运行管理中心在2016年6月至11月期间通过阿里聚安全对阿里安全进行了支撑能力考查,并于11月18日举行了现场答辩,经专家组评议,并与相关单位沟通,确定“阿里巴巴(中国)网络技术有限公司”成为CNNVD一级技术支撑单位。https://jaq.alibaba.com/community/art/show?articleid=681
二、技术分享
Android
基于文件特征的Android模拟器检测(附实现代码下载)
在我们开发的App中,我们可能不希望它被运行在模拟器上,所以我们需要一种手段去检测模拟器,当当前设备被检测为模拟器时,我们就直接结束掉App进程。目前常见的检测模拟器手段主要被应用在游戏领域和加固领域。
通常我们去检测模拟器时会利用一些Android系统的运行特征,但这些方式比较复杂也比较难以理解,需要对Android系统有比较深入的了解,如何有一种办法比较高容错率并且检测效果还不错呢,最近在看到某款游戏的检测手段时,看到了基于文件特征的检测方式,在这个基础上我又加了一些检测方式用来判断模拟器。https://mp.weixin.qq.com/s/sl33d2pnyLMJ-fUY_DfBDw
Android Doze机制与木马的绕过方式
Android 6.0引入的Doze机制本意在于节省系统耗电量,延长电池的使用时间,但是却在抑制恶意软件对系统资源的占用上发挥了神奇的效果,恶意软件因此也开始探索绕过Doze机制的手段。文本将为大家简要介绍Doze的功能,并从安全的角度解读Doze的奇效,最后揭露一款绕过Doze机制的恶意软件。http://bobao.360.cn/learning/detail/3328.html
Android Telephony拒绝服务漏洞(CVE-2016-6763)分析
http://drops.wiki/index.php/2016/12/20/android-telephony/
攻防
Syscan360会议胸牌破解揭秘
今年Syscan360安全会议期间,360的独角兽团队设计了一款电子badge(胸牌)供参加人员进行破解尝试。笔者从这块胸牌的硬件和软件层面去揭密这个胸牌的一些有意思的功能和如何在不需要知道谜面的情况下,快速解密答案,算是硬件破解方面抛砖引玉。
科普 | 你必须了解的漏洞利用缓解及对抗技术
随着软件系统越来越复杂,软件漏洞变得无法避免。业界逐渐推出了让漏洞无法利用或利用难度提高的方法,简称漏洞缓解技术。我们简单介绍下Android和iOS中广泛使用的一些漏洞缓解及可能的绕过技术。当然这里也包含一些相关联的安全限制,而非真正意义的缓解技术。
你不知道的声纹识别,尽在阿里聚安全攻防挑战赛!
声纹识别作为一种安全身份认证手段,不可避免的要面临非法用户的攻击风险,如熟人模仿攻击、重放攻击、特定人声音合成或声音转换。现在大部分的算法都可以控制在误识率在千分之一。本届“阿里聚安全攻防挑战赛”,带你一起了解神秘的声纹识别!
使用Hashcat破解外国字符构成的密码的终极指南 最近,在与一位新客户的合作过程中,我们在破解密码的哈希值的时候遇到了很大的麻烦。不久之后,我们获悉这些哈希值是从一些员工的工作站上面收集来的,而某些员工安装了外语输入键盘。无论是基于字典或基于规则的攻击,我们都试过了,但是仍然无法破解这些哈希值,所以,我们只好开始研究如何破解外国字符编码的哈希值。这篇文章是利用hashcat破解外国字符散列值的最终指南,希望当你碰到类似的挑战的时候,本文能给你带来帮助。
http://drops.wiki/index.php/2016/12/21/hashcat/
红包外挂的那点事
眼看又到年关了,抢红包神器的需求很强烈!本文讨论iOS版的红包外挂,在越狱和无需越狱情况下的技术分享http://www.freebuf.com/articles/terminal/123275.html
三、安全工具
xunfeng
巡风是一款适用于企业内网的漏洞快速应急,巡航扫描系统
Whitewidow
Whitewidow是一个开源的自动化SQL漏洞扫描器,能够通过文件列表或者谷歌搜索存在SQL漏洞的网站进行扫描。它支持自动文件格式,随机用户代理,服务器信息,多个SQL注入的语法,可以从项目启动sqlmap进行注入测试。
四、安全活动
阿里聚安全攻防挑战赛·预热赛已在昨日正式打响,预热赛我们不做任何淘汰,欢迎大家踊跃报名参加!
预热赛12月21日20:00—12月24日20:00
正式赛12月28日20:00—12月31日20:00
每场比赛五道题,分别为逆向攻防、root攻防、声纹认证、用户态攻防四个方向。所有比赛均在线上完成,预热赛作为正式赛前的热身,不进行淘汰;未参加预热赛的选手仍可参加正式赛。为便于选手更好的了解正式赛赛题形式,预热赛赛题在正式赛题基础上降低难度;选手可以通过预热赛相互切磋了解,并寻找自己需要的团队成员。预热赛和正式赛的前四题会提供每题对应的apk进行下载(只支持安卓系统),第五题将提供一个完整的Android模拟器,开放下载时间为预热赛及正式赛开始当天的20:00。
报名地址:tianchi.shuju.aliyun.com/mini/aliJuA…
更多安全热点,请访问阿里聚安全博客
