上周没有关于信息安全的新闻值得摘要中的详细描述。 这并不意味着什么也没有发生-这种情况似乎完全不可能。 谁没有入侵。 好吧,作为对今天有关理论上像幽灵般网络攻击的
观点的补偿,我们将在约翰·迈克菲(John McAfee)的参与下谈论两次真正的攻击和一个马戏团。
Reddit只是被黑客入侵。 也就是说,不,不是这样。 Reddit作为一个相当特定的社区,同时非常受欢迎,它可能会受到几乎所有类型的网络攻击,实际上受到了很好的保护。 这个结论既可以从关于最近一次成功攻击的绝对诚实的故事中得出,也可以从过去似乎没有这样的故事中得出。 攻击很复杂,但是很容易描述成功入侵的原因:他们规避了两因素身份验证。
Reddit在Reddit上发布了事件详细说明(船长!)。
在这里您可以阅读俄语复述。 该公司的员工在6月19日意识到了这次袭击。 从6月14日至6月18日,攻击者可以部分访问该组织的内部基础结构,从而破坏了多个员工帐户。 所有具有重要信息访问权限的帐户都受到2FA的保护,但是他们设法通过SMS拦截来解决此问题。
尽管在有线网站上有一条纸条
提示存在重复的SIM卡,但并未披露有关拦截的详细信息。 可以更快地检测到这种攻击,尤其是在多个帐户被盗的情况下。 破解者以某种方式获得了对云存储的部分访问权限。 在此之前,他们一直使用Reddit用户的登录名,地址和哈希密码登录数据库,直到2007年(Reddit于2005年推出)。 所有用户消息(包括私人消息)都存储在此,但仅在网站存在的头两年内。
因此,最早的Reddit用户遭受了最大的损失。 此外,还可以访问邮件服务器日志。 从他们中您可以找到谁从2018年6月3日至6月17日收到了网站的邮件列表。 问题是这些日志可用于将Reddit上的用户名与邮件地址相关联:此信息可稍后使用-例如,用于网络钓鱼攻击。 做了什么? 已经采取措施防止再次攻击,包括使用物理令牌过渡到两因素身份验证。 自2017年初以来,由于使用令牌授权,Google
从未记录过一次成功的网络钓鱼攻击。
20万台MikroTik路由器被一名矿工感染→
新闻今年4月,
在 MikroTik路由器
上发现了一个零日漏洞
并关闭了该漏洞。 Winbox远程控制系统实施中的错误使提取用户数据库成为可能,该数据库中有足够的信息来完全控制路由器。 当时的漏洞已被攻击者利用,但是攻击的规模很小。 涵盖该问题的补丁已在24小时内发布,但每个人都知道路由器所有者(甚至是专业路由器所有者)如何
快速更新软件。
上周,BleepingComputer网站从三个不同的来源收集了信息,并计数了多达20万个使用April漏洞被黑客入侵的Mikrotik路由器,并将Coinhive加密货币矿工代码嵌入网页中。 也就是说,连接到被黑路由器的所有用户都开始租用其计算能力以出租以进行挖掘。 这种攻击有两种作用:如果将网站托管在“路由器后面”,则其访问者的网站代码也将受到有害负载。 在某些情况下,不是将矿工代码插入所有网页,而是仅插入到路由器自身生成的网页中,例如,有关访问站点的错误消息。 Shodan的物联网搜索引擎索引了170万个从网络上可见的Mikrotik路由器。 根据这一数字,既可以注意到已经感染设备的相当大的份额,也可以看到扩展加密货币僵尸网络的机会。
加密货币牢不可破的钱包传奇好吧,这不是一个传奇,而是一个玩笑。 如果约翰·迈克菲(John McAfee)参与其中,那么国民经济的任何领域都将变得更加有趣。 7月27日,McAfee Security的创始人最近将他的全部注意力从信息安全转向了加密货币,他宣布了一笔黑客入侵Bitfi加密货币钱包的悬赏10万美元。
Bitfi钱包被宣传为绝对安全,但也是用于存储和使用加密货币访问密钥的便捷设备。 约翰·迈克菲(John McAfee)本人也积极推广Bitfi,将其作为绝对牢不可破的设备,因此获得了回报。 可以说,迈克菲(McAfee)的声明引起了安全专家社区的不满,原因有两个。 首先,说不能被黑客入侵是不礼貌的举止。 其次,Bitfi钱包制造商提出的条件与标准的Bug Bounty计划相去甚远。
邀请参与者购买带有“浇注”钥匙的Bitfi,从而获得资金。 如果该密钥可以被盗,那么也算是一种“被盗”的加密货币和上面的十万美元作为奖励。
但是真正的安全性与它无关! 您可以加密数据,将其放在USB闪存驱动器上,没有密钥,任何人都无法解密。 底线是设备在访问敏感数据时在实践中的可靠性。 传输过程中是否可能截获机密? 我可以窃取PIN来访问我的钱包吗? 从理论上讲,有必要回答以下问题:设备在实际条件下将如何工作,而不是加密后的加密货币的安全程度如何。
并不是说John McAfee和Bitfi整体上阻止了它。 宣布后的几天,在保持条件的情况下,打破钱包的奖励增加到25万美元。 PenTestPartners的Twitter研究人员指责他们与PenTestPartners的主张竞争。 对此,PenTestPartners
购买了该设备并进行了拆卸。 在内部发现了一个略有简化的智能手机平台联发科技,该手机带有经过修改的Android,具有所有内置的“几乎”后门
,这是廉价中国智能手机所
特有的 。 当荷兰独立
研究人员找到一种在设备上获取超级用户权限的相当简单的方法时,可以将钱包安全性问题视为封闭问题。 但是Bitfi并没有放弃:
然后我们有了一个没有软件和内存的设备。 则根的权利不允许您破解钱包。 我们必须表示敬意:在某些时候,Bitfi对负责推文的某位员工的行为表示歉意,停止根据“傻瓜自己”模板对所有人进行回复,但情况并没有得到改善。 在发布之时,这个故事还在继续发展:研究人员拆除了加密钱包并发现了新的问题,Bitfi和McAfee绕了一圈炒作。
如果将有关安全性的讨论质量降低到农村迪斯科舞厅的水平,这一点也不令人难过,那么,所有这些当然都是令人难以置信的荒谬。 从加密钱包到
智能锁和汽车等设备的安全性标准并未得到任何人的特别定义。 尽管涉及信息安全的大多数人都遵循道德规范标准,但有时会出现诸如“牢不可破”的钱包,“超可靠”的锁以及其他营销幻想的果实。 但是,现实通常会将一切摆在原处。
免责声明:本摘要中表达的观点可能并不总是与卡巴斯基实验室的官方立场相符。 亲爱的编辑们通常建议以健康的怀疑态度对待任何观点。