今天所做的努力
都是在为明天积蓄力量

VirtualBox 6.0.2发布,支持SUSE Linux Enterprise Server 12.4

琴子小白阅读(6)

Oracle今天发布了2018年底宣布的大规模VirtualBox 6.0系列的第一个版本,解决了各种烦恼并实现了更多新功能和增强功能。

VirtualBox 6.0为全球数百万计算机用户在其PC上运行多个操作系统所使用的开源和跨平台虚拟化软件带来了许多新功能和改进。其中包括主要的用户界面改造,将虚拟机导出到Oracle云基础架构的能力,对高端显示器的更好的4K/HiDPI支持,以及对Linux内核4.20的支持。

VirtualBox 6.0.2是VirtualBox 6.0系列的第一次维护更新,增加了对在SUSE Linux Enterprise Server 12.4操作系统上构建VirtualBox驱动程序的支持,在UI中实现了一个新的虚拟光盘创建窗口,使VirtualBoxVM命令可在Linux和macOS主机,支持用于构建共享文件夹驱动程序的旧Linux内核,以及修复Linux guest虚拟机上USB设备的重置。

VirtualBox 6.0.2发布,支持SUSE Linux Enterprise Server

VirtualBox 6.0.2修复了Debian和Oracle构建桌面文件之间的冲突

在VirtualBox 6.0.2更新中实现的其他更改中,我们可以提到用于创建用于启动虚拟机的桌面快捷方式的用户界面修复,允许用户从“首次运行”窗口选择主机驱动器的功能,支持附加空主机光驱,更好地支持VBoxSVGA图形,用于Windows客户机上的多监视器配置,以及修复Linux主机上Debian和Oracle构建桌面文件之间的冲突。

VirtualBox 6.0.2还修复了可能导致某些PCnet PCI guest驱动程序无法再检测模拟硬件的回归,在Windows客户机上禁用3D时出现VBoxSVGA图形的黑屏问题,以及OS/2的写入回归VirtualBox 6.0中引入的共享文件夹。建议所有用户立即更新,您现在可以从我们的免费软件门户网站下载适用于GNU/Linux,macOS和Windows的VirtualBox 6.0.2。

VirtualBox 6.0.2 for Windows

https://download.virtualbox.org/virtualbox/6.0.2/VirtualBox-6.0.2-128162-Win.exe

VirtualBox 6.0.2 for OS X

https://download.virtualbox.org/virtualbox/6.0.2/VirtualBox-6.0.2-128162-OSX.dmg

VirtualBox 6.0.2 for Linux

二进制:

https://download.virtualbox.org/virtualbox/6.0.2/VirtualBox-6.0.2-128162-SunOS.tar.gz

Systemd曝出三个漏洞 绝大部分 Linux 发行版易受攻击

琴子小白阅读(2)

Linux 系统与服务管理工具 Systemd 被曝存在 3 大漏洞,影响几乎所有 Linux 发行版。Systemd 是 Linux 系统的基本构建块,它提供了对系统和服务的管理功能,以 PID 1 运行并启动系统的其它部分。目前大部分 Linux 发行版都以 Systemd 取代了原有的 System V。

安全公司 Qualys 近日发布报告称其发现 Systemd 中存在 3 个安全漏洞,并且这些漏洞已经存在 3 到 5 年时间。

3 个漏洞已经收录到 CVE,分别是内存损坏漏洞 CVE-2018-16864 与 CVE-2018-16865、信息泄露漏洞 CVE-2018-16866。其中,CVE-2018-16864 于 2013 年 4 月引入(systemd v203),并在 2016 年 2 月可利用(systemd v230),研究人员写了一个 PoC,可在 i386 上获得 eip 控制。

CVE-2018-16865 于 2011 年 12 月引入(systemd v38),在 2013 年 4 月可利用(systemd v201)。CVE-2018-16866 于 2015 年 6 月引入(systemd v221),于 2018 年 8 月无意中被修复。

研究人员为 CVE-2018-16865 和 CVE-2018-16866 写了一个 PoC,并利用它进行测试,结果花 70 分钟就可以在 amd64 上获得本地 root shell,而在 i386 上只花了 10 分钟。

“所有使用 Systemd 的 Linux 发行版都存在漏洞,并且易受到攻击”,研究人员表示:“但在 SUSE Linux Enterprise 15、openSUSE Leap 15.0 和 Fedora28 与 29 上,这些漏洞无法利用,因为它们的用户空间使用了 GCC 的 -fstack-clash-protection 进行编译。”

GCC 中的 -fstack-clash-protection 选项用于生成代码以防止堆栈冲突样式攻击(stack clash style attacks),启用此选项后,编译器将一次只分配一页堆栈空间,并在分配后立即访问每个页面。因此,它可以防止分配跳过处于操作系统保护下的任何堆栈页面。

Qualys 表示不久后将发布相关漏洞 exploit。

DDoS攻击原理及防护探究

琴子小白阅读(10)

随着网络时代的到来,网络安全变得越来越重要。在互联网的安全领域,DDoS(Distributed DenialofService)攻击技术因为它的隐蔽性,高效性一直是网络攻击者最青睐的攻击方式,它严重威胁着互联网的安全。

一、DDoS攻击的工作原理

1.1   DDoS的定义

DDos的前身 DoS (DenialofService)攻击,其含义是拒绝服务攻击,这种攻击行为使网站服务器充斥大量的要求回复的信息,消耗网络带宽或系统资源,导致网络或系统不胜负荷而停止提供正常的网络服务。而DDoS分布式拒绝服务,则主要利用 Internet上现有机器及系统的漏洞,攻占大量联网主机,使其成为攻击者的代理。当被控制的机器达到一定数量后,攻击者通过发送指令操纵这些攻击机同时向目标主机或网络发起DoS攻击,大量消耗其网络带和系统资源,导致该网络或系统瘫痪或停止提供正常的网络服务。由于DDos的分布式特征,它具有了比Dos远为强大的攻击力和破坏性。

1.2   DDoS的攻击原理

如图1所示,一个比较完善的DDos攻击体系分成四大部分,分别是攻击者( attacker也可以称为master)、控制傀儡机( handler)、攻击傀儡机( demon,又可称agent)和受害着( victim)。第2和第3部分,分别用做控制和实际发起攻击。第2部分的控制机只发布令而不参与实际的攻击,第3部分攻击傀儡机上发出DDoS的实际攻击包。对第2和第3部分计算机,攻击者有控制权或者是部分的控制权,并把相应的DDoS程序上传到这些平台上,这些程序与正常的程序一样运行并等待来自攻击者的指令,通常它还会利用各种手段隐藏自己不被别人发现。在平时,这些傀儡机器并没有什么异常,只是一旦攻击者连接到它们进行控制,并发出指令的时候,攻击愧儡机就成为攻击者去发起攻击了。

图1分布式拒绝服务攻击体系结构

之所以采用这样的结构,一个重要目的是隔离网络联系,保护攻击者,使其不会在攻击进行时受到监控系统的跟踪。同时也能够更好地协调进攻,因为攻击执行器的数目太多,同时由一个系统来发布命令会造成控制系统的网络阻塞,影响攻击的突然性和协同性。而且,流量的突然增大也容易暴露攻击者的位置和意图。整个过程可分为:

1)扫描大量主机以寻找可入侵主机目标;

2)有安全漏洞的主机并获取控制权;

3)入侵主机中安装攻击程序;

4)用己入侵主机继续进行扫描和入侵。

当受控制的攻击代理机达到攻击者满意的数量时,攻击者就可以通过攻击主控机随时发出击指令。由于攻击主控机的位置非常灵活,而且发布命令的时间很短,所以非常隐蔽以定位。一旦攻击的命令传送到攻击操纵机,主控机就可以关闭或脱离网络,以逃避追踪要着,攻击操纵机将命令发布到各个攻击代理机。在攻击代理机接到攻击命令后,就开始向目标主机发出大量的服务请求数据包。这些数据包经过伪装,使被攻击者无法识别它的来源面且,这些包所请求的服务往往要消耗较大的系统资源,如CP或网络带宽。如果数百台甚至上千台攻击代理机同时攻击一个目标,就会导致目标主机网络和系统资源的耗尽,从而停止服务。有时,甚至会导致系统崩溃。

另外,这样还可以阻塞目标网络的防火墙和路由器等网络设备,进一步加重网络拥塞状况。于是,目标主机根本无法为用户提供任何服务。攻击者所用的协议都是一些非常常见的协议和服务。这样,系统管理员就难于区分恶意请求和正连接请求,从而无法有效分离出攻击数据包

二、DDoS攻击识别

DDoS ( Denial of Service,分布式拒绝服务) 攻击的主要目的是让指定目标无注提供正常服务,甚至从互联网上消失,是目前最强大、最难防御的攻击方式之一。

2.1 DDoS表现形式

DDoS的表现形式主要有两种,一种为流量攻击,主要是针对网络带宽的攻击,即大量攻击包导致网络带宽被阻塞,合法网络包被虚假的攻击包淹没而无法到达主机;另一种为资源耗尽攻击,主要是针对服务器主机的政击,即通过大量攻击包导致主机的内存被耗尽或CPU内核及应用程序占完而造成无法提供网络服务。

2.2 攻击识别

流量攻击识别主要有以下2种方法:

1) Ping测试:若发现Ping超时或丢包严重,则可能遭受攻击,若发现相同交换机上的服务器也无法访问,基本可以确定为流量攻击。测试前提是受害主机到服务器间的ICMP协议没有被路由器和防火墙等设备屏蔽;

2) Telnet测试:其显著特征是远程终端连接服务器失败,相对流量攻击,资源耗尽攻击易判断,若网站访问突然非常缓慢或无法访问,但可Ping通,则很可能遭受攻击,若在服务器上用Netstat-na命令观察到大量 SYN_RECEIVED、 TIME_WAIT, FIN_ WAIT_1等状态,而EASTBLISHED很少,可判定为资源耗尽攻击,特征是受害主机Ping不通或丢包严重而Ping相同交换机上的服务器正常,则原因是攻击导致系统内核或应用程序CPU利用率达100%无法回应Ping命令,但因仍有带宽,可ping通相同交换机上主机。

三、DDoS攻击方式

DDoS攻击方式及其变种繁多,就其攻击方式面言,有三种最为流行的DDoS攻击方式。

3.1 SYN/ACK Flood攻击

这种攻击方法是经典有效的DDoS攻击方法,可通杀各种系统的网络服务,主要是通过向受害主机发送大量伪造源P和源端口的SYN或ACK包,导致主机的缓存资源被耗尽或忙于发送回应包而造成拒绝服务,由于源都是伤造的故追踪起来比较困难,缺点是实施起来有一定难度,需要高带宽的僵尸主机支持,少量的这种攻击会导致主机服务器无法访问,但却可以Ping的通,在服务器上用 Netstat-na命令会观察到存在大量的 SYN RECEIVED状态,大量的这种攻击会导致Ping失败,TCP/IP栈失效,并会出现系统凝固现象,即不响应键盘和鼠标。普通防火墙大多无法抵御此种攻击。

攻击流程如图2所示,正常TCP连接为3次握手,系统B向系统A发送完 SYN/ACK分组后,停在 SYN RECV状态,等待系统A返回ACK分组;此时系统B已经为准备建立该连接分配了资源,若攻击者系统A,使用伪造源IP,系统B始终处于“半连接”等待状态,直至超时将该连接从连接队列中清除;因定时器设置及连接队列满等原因,系统A在很短时间内,只要持续高速发送伪造源IP的连接请求至系统B,便可成功攻击系统B,而系统B己不能相应其他正常连接请求。

2 SYN Flooding攻击流程

3.2 TCP全连接攻击

这种攻击是为了绕过常规防火墙的检查而设计的,一般情况下,常规防火墙大多具备过滤TearDrop、Land等DOS攻击的能力,但对于正常的TCP连接是放过的,殊不知很多网络服务程序(如:IIS、 Apache等Web服务器)能接受的TCP连接数是有限的,一旦有大量的TCP连接,即便是正常的,也会导致网站访问非常缓慢甚至无法访问,TCP全连接攻击就是通过许多僵尸主机不断地与受害服务器建立大量的TCP连接,直到服务器的内存等资源被耗尽面被拖跨,从而造成拒绝服务,这种攻击的特点是可绕过一般防火墙的防护而达到攻击目的,缺点是需要找很多僵尸主机,并且由于僵尸主机的IP是暴露的,因此此种DDOs攻击方容易被追踪。

3.3 TCP刷 Script脚本攻击

这种攻击主要是针对存在ASP、JSP、PHP、CGI等脚本程序,并调用 MSSQL Server、My SQL Server、 Oracle等数据库的网站系统而设计的,特征是和服务器建立正常的TCP连接,不断的向脚本程序提交查询、列表等大量耗费数据库资源的调用,典型的以小博大的攻击方法。一般来说,提交一个GET或POST指令对客户端的耗费和带宽的占用是几乎可以忽略的,而服务器为处理此请求却可能要从上万条记录中去查出某个记录,这种处理过程对资源的耗费是很大的,常见的数据库服务器很少能支持数百个查询指令同时执行,而这对于客户端来说却是轻而易举的,因此攻击者只需通过 Proxy代理向主机服务器大量递交查询指令,只需数分钟就会把服务器资源消耗掉而导致拒绝服务,常见的现象就是网站慢如蜗牛、ASP程序失效、PHP连接数据库失败、数据库主程序占用CPU偏高。这种攻击的特点是可以完全绕过普通的防火墙防护,轻松找一些Poxy代理就可实施攻击,缺点是对付只有静态页面的网站效果会大打折扣,并且有些代理会暴露DDOS攻击者的IP地址。

四、DDoS的防护策略

DDoS的防护是个系统工程,想仅仅依靠某种系统或产品防住DDoS是不现实的,可以肯定的说,完全杜绝DDoS目前是不可能的,但通过适当的措施抵御大多数的DDoS攻击是可以做到的,基于攻击和防御都有成本开销的缘故,若通过适当的办法增强了抵御DDoS的能力,也就意味着加大了攻击者的攻击成本,那么绝大多数攻击者将无法继续下去而放弃,也就相当于成功的抵御了DDoS攻击。

4.1 采用高性能的网络设备

抗DDoS攻击首先要保证网络设备不能成为瓶颈,因此选择路由器、交换机、硬件防火墙等设备的时候要尽量选用知名度高、口碑好的产品。再就是假如和网络提供商有特殊关系或协议的话就更好了,当大量攻击发生的时候请他们在网络接点处做一下流量限制来对抗某些种类的DDoS攻击是非常有效的。

4.2 尽量避免NAT的使用

无论是路由器还是硬件防护墙设备都要尽量避免采用网络地址转换NAT的使用,除了必须使用NAT,因为采用此技术会较大降低网络通信能力,原因很简单,因为NAT需要对地址来回转换,转换过程中需要对网络包的校验和进行计算,因此浪费了很多CPU的时间。

4.3 充足的网络带宽保证

网络带宽直接决定了能抗受攻击的能力,假若仅有10M带宽,无论采取何种措施都很难对抗现在的SYNFlood攻击,当前至少要选择100M的共享带宽,1000M的带宽会更好,但需要注意的是,主机上的网卡是1000M的并不意味着它的网络带宽就是千兆的,若把它接在100M的交换机上,它的实际带宽不会超过100M,再就是接在100M的带宽上也不等于就有了百兆的带宽,因为网络服务商很可能会在交换机上限制实际带宽为10M。

4.4 升级主机服务器硬件

在有网络带宽保证的前提下,尽量提升硬件配置,要有效对抗每秒10万个SYN攻击包,服务器的配置至少应该为:P4 2.4G/DDR512M/SCSI-HD,起关键作用的主要是CPU和内存,内存一定要选择DDR的高速内存,硬盘要尽量选择SCSI的,要保障硬件性能高并且稳定,否则会付出高昂的性能代价。

4.5 把网站做成静态页面

大量事实证明,把网站尽可能做成静态页面,不仅能大大提高抗攻击能力,而且还给黑客入侵带来不少麻烦,到现在为止还没有出现关于HTML的溢出的情况,新浪、搜狐、网易等门户网站主要都是静态页面。

此外,最好在需要调用数据库的脚本中拒绝使用代理的访问,因为经验表明使用代理访问我们网站的80%属于恶意行为。

五、总结

DDoS政击正在不断演化,变得日益强大、隐密,更具针对性且更复杂,它已成为互联网安全的重大威胁,同时随着系统的更新换代,新的系统漏洞不断地出现,DDoS的攻击技巧的提高,也给DDoS防护增加了难度,有效地对付这种攻击是一个系统工程,不仅需要技术人员去探索防护的手段,网络的使用者也要具备网络攻击基本的防护意识和手段,只有将技术手段和人员素质结合到一起才能最大限度的发挥网络防护的效能。

2018年最受信息安全专业人士欢迎的20款黑客工具

琴子小白阅读(20)

最近,Kitploit网站为我们总结了在2018年最受欢迎的20款黑客工具,基于在2018年3月到12月期间的下载数据。

对于从事信息安全工作的专业人士来说,使用与攻击者武器库中相同的工具,能够先于攻击者发现系统中存在的漏洞,并在这些漏洞遭到利用之前完成补丁开发工作。

这些工具被分类为开源智能(OSINT)、信息收集、Android黑客工具、自动化工具、网络钓鱼等。因此,我们在这里不会对它们进行详细的介绍,仅提供一份列表及简单的功能说明。

1. EagleEye-追踪目标。利用图像识别和反向图像搜索找到目标的Instagram、Facebook和Twitter资料

2. Hijacker v1.5-适用于Android的一体化Wi-Fi破解工具

3. LOIC 1.0.8 (Low Orbit Ion Cannon) -网络压力测试工具

黑客工具

4. Trape-开源智能工具,用于在互联网上追踪个人

5. BlackEye-功能齐全的网络钓鱼工具,包含32个模板,且可以创建自定义模板

6. Mercury-一种用来收集信息,并利用收集的信息实施进一步攻击的工具

7. VOOKI-Web应用程序漏洞扫描程序

8. Devploit v3.6-信息收集工具

9. Tinfoleak v2.4-功能齐全的Twitter智能分析开源工具

10. ANDRAX-Android智能手机渗透测试平台

11. SocialBox-一种蛮力攻击框架(Facebook、Gmail、Instagram、Twitter)

12. Th3Inspector-信息收集工具

13. Pure Blood v2.0-渗透测试框架

14. Kali Linux 2018.3 Release-用于渗透测试的Linux发行版

15. Wifite 2.1.0-自动Wireless攻击工具

16. Infection Monkey- 一种自动化的Pentest工具

17. Trackerjacker-类似Nmap,用于映射未连接的Wifi网络,以及设备跟踪

18. BadMod-检测网站CMS、网站扫描和自动漏洞利用

19. Photon-爬虫工具,用于提取网址、电子邮件、文件、网站帐户等

20. SocialFish-网络钓鱼工具

2018网络安全要点回顾&2019年网络安全发展趋势预测

琴子小白阅读(8)

 2018年结束对过去一年的网络安全事件进行了概括总结,正文如下

01.电子邮件仍然是一种流行的攻击媒介

员工电子邮箱成为所有公司需要面临的最大威胁。电子邮件是最受欢迎的威胁媒介之一,它越来越多地被网络犯罪分子用作网络钓鱼、恶意软件和企业电子邮件泄露(BEC)诈骗的媒介。根据2018年电子邮件安全趋势报告,93%的漏洞包括网络钓鱼(或鱼叉式网络钓鱼)元素。

降低风险需要将网络安全的技术方面,包括采用人工智能驱动的工具以更好地检测威胁与实际操作相结合。然而,后者是组织经常落后的地方。为了能够自卫,他们需要为员工配备相关技术来发现可疑电子邮件,并将其与更先进的网络安全培训方法相结合。

02.数据泄露成为焦点

根据身份盗窃资源中心(ITRC)统计,到目前为止,2018年迄今已有多达1,100多个数据泄露事件,总计达到561,700,000个暴露记录。由Ponemon Institute和IBM安全机构赞助的2018年数据泄露研究成本发现,数据泄露的全球平均成本现在为390万美元,比2017年增加了6%。

以下是2018年最大的10个数据泄露事件:

  • Aadhaar(暴露了10亿条记录)
  • 万豪喜达屋(暴露了5亿条记录)
  • Exactis(暴露了3.4亿条记录)
  • MyFitnessPal(暴露了1.5亿条记录)
  • Quora(暴露了1亿条记录)
  • MyHeritage(暴露了9200万条记录)
  • Facebook-Cambridge Analytica(暴露了8700万条记录)
  • Google+(暴露了500万条记录)
  • Facebook(暴露了5000万条记录)
  • Chegg(暴露了4000万条记录)

03.勒索软件攻击仍然值得关注

虽然勒索软件在2017年占据了网络威胁榜首,其中WannaCry和NotPetya尤为引人注目。2018年的勒索攻击频率有所降低。根据卡巴斯基的勒索软件和Malious Cryptominers 2016-2018报告,勒索软件感染过去下降了近30% ,12个月,加密货币开采同期增长了44.5%。

虽然勒索软件的数量正在减少,但随着网络犯罪分子升级攻击手段,复杂程度也在提高。新的勒索软件变种的数量比去年增长了46%,这意味着勒索软件仍然是许多企业的威胁,特别是涉及医疗保健和金融领域是勒索软件攻击的两个最热门目标。

尽管如此,即使你在网络安全方面做得很好,也很难避免不出错误。为了降低勒索软件攻击造成数据丢失的风险,企业等机构应该专注于实施数据保护策略,该策略不仅包括自动备份,还包括轻松恢复。

04.Cryptomining恶意软件迅速发展

根据Check Point的网络攻击趋势(2018年中报告)分析:42%的组织在2018年上半年受到加密恶意软件的影响,而2017年下半年这一数字则为20.5%。如上所述,它甚至超过了勒索软件作为2018年最大的网络安全威胁。事实上,2018年上半年发现的三大最常见恶意软件变种都是加密货币矿工。

加密恶意软件允许网络犯罪分子接管不知情的受害者的计算资源,并使用它们来挖掘比特币等加密货币。各种因素导致恶意软件引发的安全事故频率螺旋式上升,包括恶意挖矿软件价格的上升以及易于使用的工具的可用性提升,以便在设备、网络和网站上释放加密挖掘脚本。

加密恶意软件的直接影响往往与性能无关。它会降低设备速度,使电池过热,有时会使设备无法使用。相比之下,会对企业机构有更广泛的影响,加密恶意软件在其内部环境传播会使网络有被关闭的风险。

05.新的数据安全立法

毫无疑问,美国和欧洲的新隐私法,例如通用数据保护条例(GDPR)和加州消费者隐私法案(CCPA)迄今为止一直占据着头条新闻。虽然它们并不完全相似,但它们都致力于保护消费者对隐私的需求以及对个人信息的控制。

美国其他州也引入了数据保护法,为消费者提供更大的透明度和对数据的控制。例如,佛蒙特州的新数据隐私法除了扩大违规通知规则外,还要求组织在处理,记录和存储个人数据方面做出重大改变。

06.网络安全人才缺口扩大

随着网络犯罪分子利用臭名昭着的暗网日益复杂的工具和方法加强攻击,白帽专业人员需要尽可能的帮助来准备和应对网络安全事件。

根据最近的估计,到2021年,网络安全行业将有多达350万个空缺职位。人才严重短缺使许多组织陷入困境,因为很难找到优秀的安全工程师,他们在需要的时候需要六位数的工资。当然,犯罪分子也会瞄准利用那些无法预防,检测和应对网络攻击的人员短缺的组织,以便趁虚而入。

07.智能并不一定意味着安全

目前的物联网网络安全状况不容乐观。过去曾出现可怕的黑客攻击,消费者正逐渐意识到保护物联网系统面临的独特挑战。但是与此同时,物联网硬件供应商的相应速度仍然很慢。

如今,物联网设备容易受到诸多威胁。首先,漏洞没有及时得到修补,设备制造商忽略安全因素。其次,物联网设备面临被操纵执行DDOS攻击的危险。

此外,RFID欺骗也可用于危害物联网设备。它们使网络犯罪分子能够通过创建伪造的RFID信号来读取和记录数据传输。然而,物联网专家面临的最大安全挑战是克服软件威胁,因为网络攻击者依赖恶意软件,特木马病毒和恶意脚本来禁用物联网系统。

2019年最需要关注的网络安全趋势是什么?

2018年各类网络安全事件频繁出现,

随着新出现的网络威胁攻击浮出水面,

新的APT集团现身,

以及围绕数据隐私的更多规定,

2019年将是网络安全领域的又一个重要年份。

以下是2019年最值得关注的网络安全趋势。

01.更多漏洞

在研究人员在2018年发现了两个关键的Apache Struts 漏洞之后,他们认为很快就会出现另一个重大漏洞,这个漏洞源于该软件的缺陷,它一直是Equifax漏洞的核心。“Apache Struts提出了一个独特的挑战,因为它被许多其他面向互联网的程序所包含,这意味着传统的漏洞扫描程序可能无法检测到Apache Struts,但僵尸网络扫描漏洞将会发现它, “Recorded Future的Liska说。

2018年伊始,两款基于硬件的侧通道漏洞——Spectre和Meltdown被曝光,引发了轩然大波。这两家公司影响了过去10年在电脑和移动设备上广泛使用的微处理器,包括那些运行Android、Chrome、iOS、Linux、macOS和Windows的微处理器。安全专家预测,Spectre变种将在2019年继续被发现。Enveil首席执行官Ellison Anne Williams在一封电子邮件中表示:“2018年宣布的芯片缺陷,可能是迄今为止我们所见过的最普遍的内存攻击表面漏洞,但肯定不会是最后一个。”

02.复杂的物联网攻击

物联网(IoT)市场即将爆发——但许多此类设备的制造很少甚至没有考虑到安全问题。自2016年Mirai僵尸网络出现以来,研究人员已经看到物联网设备被恶意利用来发动一系列威胁性攻击,包括加密、勒索软件和移动恶意软件攻击。未来形势可能会更加糟糕:“到2019年,物联网威胁将变得越来越复杂,从僵尸网络和游离的勒索软件感染,发展到到APT监控、从而进行数据过滤,直接操纵现实世界,以扰乱运营,”Armis产品副总裁乔•利(Joe Lea)表示。

03.勒索软件又回来了

当涉及到网络威胁时,infosec社区预计加密(攻击)会从网络上消失,勒索软件也会回到一线。对许多网络罪犯来说,加密攻击并不像他们最初希望的那样有利可图,事实证明,只有当攻击者能够感染数万或数十万台设备时,他们才能赚钱。然而,勒索软件仍然有利可图:“例如,SamSam已经从使用开放RDP服务器作为入口的赎金软件攻击中赚取了近600万美元,”record Future的高级技术架构师Allan Liska说。我们已经开始看到新的勒索软件变种复制这种模式,我们希望看到新的一批勒索软件家族家族继续扩展这种攻击方法。

04.运营技术与IT融合

随着远程监控在工业环境中的应用越来越广泛,操作技术(OT)和IT正在融合,所以关键系统越来越容易受到网络攻击。智能连接设备将成为制造工厂,公用事业和其他具有关键基础设施的领域的标准,其中数字化与物理操作相结合,将增加远程攻击的可能性。这些攻击破坏或破坏机器人,传感器和其他设备,而这些设备驱动我们日常生活中的大部分机械和基础设施。

05.更加快速的漏洞修补

随着漏洞补丁在2018年成为人们关注的焦点,围绕漏洞披露过程的叙事也从披露时的90天准则演变为更及时地发布补丁。“由于供应商越来越重视漏洞——无论是通过错误赏金计划,变异分析或测试,发现——修补——公开所需的时间从90天缩短到30天甚至更少。”Semmle平台工程的联合创始人兼副总裁Pavel Avgustinov表示。

06.不安全的生物识别技术

生物识别技术已经成为2018年银行和其他机构进行人员身份验证的首选方法。然而,2019年可能会发生更多与生物识别系统相关的安全事件。卡巴斯基实验室的研究人员尤里•纳梅斯尼科夫和德米特里•贝斯图日耶夫表示:“已经发生了几起重大的生物识别数据泄露事件。”

07.供应链攻击

Zscaler的Depth Desai在一篇文章中表示,到2019年,“我们将看到网络犯罪分子继续专注于攻击关键的软件供应链基础设施,以实施更大规模的攻击。”攻击者已经开始认识到供应链攻击的优势——从2017年6月的NotPetya 活动开始,随后迅速蔓延,从全球数千台电脑上清除数据。2018年发生了大量针对供应链的攻击,涉及达美航空(Delta Airlines)和百思买(Best Buy)等公司。

08.隐私立法

2018年几起大型数据隐私丑闻在浮出水面,最引人注目的是Facebook的剑桥分析事件安全研究人员认为,2019年在数据隐私方面将会有更多的立法和监管措施。

Claroty负责威胁研究的Dave Weinstein表示:“安全与隐私在国会形成了特别的关系,极左激进派与自由主义保守派结成了搭档。”议员们可能会效仿欧盟的做法,从GDPR的许多方面入手学习。也就是说,他们的律师和游说者早就预料到这一天的到来,因此,应该由硅谷(而不是华盛顿)来制定隐私规则。

09.GDPR影响

虽然欧盟在2018年实施了《通用数据保护条例》(GDPR),但安全专家认为,2019年将真正开始显示,该条例的实施将对数据隐私和透明度产生哪些始料未及的影响。“到2019年,我们将看到企业引入更多的员工、工具和培训,以解决数据混乱的问题,这样它们就可以在遵守GDPR的同时利用有价值的数据,”Looker首席数据专员Daniel Mintz表示。

Windows 10的新bug可导致任意文件被覆写

琴子小白阅读(11)

一位安全研究人员在 GitHub 发布了 Windows 10 中的一个 0day 漏洞概念验证代码。该漏洞由 SandboxEscaper 透露,他是一位之前就曾暴露过 Windows 漏洞的研究人员。最新的错误使得可以用任意数据覆盖任意文件,虽然为了利用漏洞必须满足许多标准,但它仍然可能是有严重危害的。在发布 PoC 之前,SandboxEscaper 在圣诞节那天已经向微软通报了这个问题。

概念验证表明,可以使用通过 Windows 错误报告收集的数据覆盖文件 pci.sys。攻击诸如此类的系统文件。

事实表明,攻击者可以从没有管理权限的用户帐户在目标计算机上导致拒绝服务。

SandboxEscaper 解释说,该技术可用于禁用第三方防病毒软件,病毒允许执行进一步的攻击。需要注意的是,他无法在具有单个 CPU 核心的计算机上利用此漏洞。

CERT/CC 的漏洞分析师 Will Dormann 在 Twitter 上分享了他对这一发现的看法:

作为回应,来自 0patch 的 Mitja Kolsek 驳斥了淡化问题严重性的企图:

SandboxEscaper 的 Twitter 帐户目前被暂停,但您可以在 GitHub 上找到有关该漏洞的更多信息。

Windows现漏洞 可绕过AppLocker白名单实施攻击

琴子小白阅读(39)

安全研究人员发现,通过使用Windows命令行使用程序(可追溯到Windows XP),基于Windows AppLocker的应用白名单保护可以被绕过。当结合托管在远程主机上的脚本时,这个漏洞可允许攻击者运行不在Windows AppLocker白名单中的软件。

根据微软表示,这个使用程序Regsvr32主要用于“注册和注销OLE(对象链接和嵌入)空间,例如(动态链接库)以及Windows注册表中的ActiveX控制。”但研究人员Casey Smith报道称,该命令可指向一个URL,而不是本地脚本;在该URL托管的脚本将会执行,绕过Windows AppLocker白名单限制。

“令人惊奇的是,Regsvr32已经是代理服务器感知,使用传输层安全,遵循重定向等,”Smith写道,并指出该使用程序还是“一个签名的默认MS二进制”,这意味着利用该漏洞可简化任何攻击。

RSA公司营销总监Robert Sadowski表示:“这项技术在熟练的攻击者手里可能很危险。”

“攻击者将需要访问受害者的机器,但不需要具有管理员权限,”Sadowski表示,“他们能够运行被阻止的脚本,而这本应被AppLocker的脚本阻止功能所阻拦。”

Smith的概念证明脚本表明这种攻击具有破坏的潜力,Sadowski称这可用于网络钓鱼或路过式漏洞利用。他表示:“而且这种攻击难以检测;它直接通过内置Windows命令来执行,唯一的踪迹是IE浏览器中一个缓存文件,Windows注册表中没有任何踪迹。”

自动威胁管理供应商Vectra公司首席安全官Gunter Ollmann表示:“Windows AppLocker绕过攻击是传统代码和向后兼容功能被攻击者利用以攻击较新的安全措施的一个较为有趣的例子。”

Ollmann称:“对于任何经验丰富的系统管理员而言,类似这样的绕过攻击出现在任何基于主机的拦截技术中并不奇怪。这个被遗忘的MS-DOS命令行功能和注册表操纵一直是安全人员的噩梦。”

“如果你有安装Windows AppLocker来阻止入侵或恶意软件感染,这可能是非常危险的漏洞,如果没有得到修复,这会带来很大的风险,”托管安全服务提供商Rook Security公司安全工程师兼取证分析师Daniel Ford表示,“对应用采用白名单技术并阻止其他未经授权应用是很多企业采用的保护措施。如果你安装了Windows AppLocker来抵御恶意软件渗出数据,那么这个漏洞可被用来绕过这种保护。”

Ford建议不要依靠Windows AppLocker,“请确保部署多层安全措施,例如更新的防病毒、IDS/IPS(入侵检测系统/入侵防御系统)、防火墙和其他安全工具。当这个漏洞的补丁推出时,最好马上安装它。”

现在保护环境的最简单方法是在防火墙级别阻止Regsvr32,拒绝它访问互联网。

版权声明:本文内容来自:51cto-Windows现漏洞 可绕过AppLocker白名单实施攻击 本网站不拥有所有权,也不承担相关法律责任。如果您发现本网站中有涉嫌抄袭的内容,欢迎发送邮件至:liusql@163.com 进行说明,并提供相关证据,小白将立刻删除涉嫌侵权内容。

“让开发者爱上安全测试”系列之“源码安全测试”——开发者之伤

琴子小白阅读(38)

源代码安全测试不再是新鲜话题,在很多的企业已经开展了相关工作,对于已经开展此项目工作的企业来说,我想问的问题则是“在你的源代码安全测试工作中所面临的最大阻力是什么?” 这个问题不同的企业可能有不同的答案,且各有各的道理。

 

其实,据我总结来看,很多的阻力表象最终都可以归结为“开发人员不配合”的问题。那为什么开发人员不配合源代码安全的相关工作呢?换句话说:如何让开发者爱上安全测试呢?

“源代码安全测试”——想说爱你不容易

对于开发者而言,源代码安全测试不是我们不想做,也不是我们不愿意配合工作,而是总有这样那样的问题,让我们实在爱不起来。原因归纳总结如下:

1. 测试的范围不清楚

对于安全,我们都知道一个道理,没有绝对的安全只有相对的安全。在很多企业中,源代码安全测试的范围和标准都是由安全部门一手“包办”的。确定哪些漏洞需要修复,哪些漏洞建议修复,哪些漏洞可以暂缓修复等范围和标准都是由安全部门人员说了算。这样一来,安全部门人员由于职责所在,同时加上现在的安全漏洞层出不穷,花样颇多的“压力”,安全范围和标准大都定的高一些,甚至一个项目一个标准,能改尽量要求改。而且由于“语言上的不通”(安全人员不懂开发,无法用编程的语言与开发者沟通),这些范围和要求也很少与开发人员进行沟通。这样就导致开发人员总是感觉“安全人员老是挑刺,总是鸡蛋里挑骨头! 他们能查到什么就让我们改什么!”等等这样的感受。好像怎样做都无法满足安全上的要求。进而产生不愿意配合漏洞的测试和修复工作,甚至是 “对抗”的情绪。久而久之,源代码安全测试工作就很难再推动下去。

2. 测试的结果不准确

无论是安全性测试还是其他类型的测试,我想所有的测试人员都希望测试出来的问题即全面又准确。这也是我们所有从事测试工具研究人员的理想,而现实却总是有些“骨感”。面对目前市面上的所有源代码安全测试产品,没有任何一家可以说自己的产品即没有误报也没有漏报。由于在安全测试的概念中,漏报的后果比误报严重,所以大多数产品厂商会选择“宁可错报,不可漏报”的设计原则。这些原本作为辅助工具的测试产品在进入用户企业中后,却被不科学地当成了“裁判”,并且将其测试出来的原始结果在没有经过任何专业安全审计的情况下直接递交到开发人员手中。

即使有专人专岗的安全审计人员,他们在安全漏洞审计过程中由于缺乏有效的沟通方式,很少与开发人员进行技术沟通,审计出来的结果也会被当着“一面之词”。(这里我们且不讨论纯人工进行的源代码安全审计,因为到目前为止我也没有看到一家用户这么干,自己写点儿小工具或者脚本辅助人工审计的到是有一些,只是那些自己写的小工具或者脚本误漏报更是一堆。)开发人员在面对这些“漏洞信息”时,加之本身都不愿意相信自己的“作品”有问题的心理,便会对安全测试结果从相信到怀疑,再到完全的不信任,最后就会抱怨“全是误报!”,便再也没有配合修复漏洞的想法了。

3. 测试的时间不及时

做过软件开发的人都知道,即便是自己写的代码,如果隔上一两个月的时间,想再看明白为什么这么编写都比较困难。如果隔上一年半载,加之别人写的代码,那维护起来就难上加难了。这也是程序猿们所提倡的“敏捷开发”和“快速迭代”理念的原由。在源代码安全测试中,我们也应该提出“敏捷安全测试”的理念,要尽量在开发人员每一个小的迭代时,就要完成一个安全测试,修复起来也更加容易。

但现实中的源代码安全测试是什么样子呢?绝大多数的企业把源代码安全测试和安全渗透测试基本都放到了“验收测试”阶段中。项目只有在上线、发布或者交付之前才做一次安全测试。而这些开发周期少则半年多则几年的项目,到了验收阶段时,这些开发人员再对修改几个月几年前的代码,那是多么郁闷呀!另外,由于平时没有测试,漏洞量和代码一样会积少成多,这个阶段检测出来的漏洞往往会很多,很复杂。这怎么能让开发人员欣然接受、积极配合呢?恐怕只剩下“能推就推,能不承认就不承认”了吧!

4. 测试的成本太高昂

这个原因,我们可以接上一个原因往下讲。当聪明的开发人员发现项目最终总是会被动地被“安全验收测试”,那时再修复起来会手忙脚乱,不如功在平时,在开发过程中主动地、自主地先对源代码安全测试一下,将漏洞化整为零,及时测试,及时修复。这样的想法是非常好的,可以在实施的时候就会发现有这样那样的问题,要么由于安全测试工具License的限制,只能由专门的安全人员或者测试人员才能使用,而他们本身忙于对企业内众多项目的“安全验收”测试,没有时间和精力来为您“开小灶”。要么安全测试工具使用起来较麻烦,没有受过专业的产品使用培训还真不太能玩得转,且要准备这样那样的测试环境等等。要么就是安全测试工具很消耗系统的资源,不能实现较大的吞吐量,无法满足每一个项目在开发过程的多轮次的源代码安全测试。这就使得开发人员自主主动地源代码安全测试变得很难,甚至是不可能进行下去。

5. 修复的方法不明确

在生活中我们通常都明的一个道理:“己所不欲,忽施于人”,自己做不到的事情,也不能要求别人要做到。在源代码安全测试或者说安全编程这件事上,恰恰违背了这一点。在大多数的情况下,安全漏洞从发现到确认都是由安全人员来完成的,开发人员都是在为修复安全漏洞而努力。目前,开发人员缺乏安全漏洞的修复经验和相关的安全编程知识,这是普遍存在的现状,即使有十几年开发经验的“老司机”在一些安全漏洞面前,也都还是“小学生”。所以,开发人员势必要询问安全人员如何对这些漏洞进行修复,如何避免这些安全上的“坑”。

但是,这些安全人员虽可以对这些漏洞如数家珍,安全渗透玩得有模有样,可在代码开发和安全编码方面着实是个“门外汉”。站在有着十几年开发经验的老手面前,若只是根据测试工具给出的那些“标准答案”,可能也不好交差。最后会让开发人员感觉到很无奈,想配合进行安全修复都没有一个具体明确的方法,还要一点点地自行研究和尝试。还有一点,即便是开发人员经过一段时间的积累和总结,有了一些安全开发和修复的经验,也都因为没有一个经验共享和传承的平台,这些宝贵的经验只能散落在各个项目中,个别开发人员手上,没有形成统一的修复方法,是非常可惜的事情。最终因项目的不断交替,人员的频繁流动。新的开发人员不断地抱怨着,且不断地重复地走在研究各个漏洞修复方法的路上。

(注意: 以上原因皆为笔者自己在工作中归纳总结出来的,请勿对号入座!)

如何让开发者爱上“源代码安全测试”?

 

既然我们已经了解了开发人员不是很配合源代码安全测试这件事的原因,我们要想顺利地开展此项目工作就应该尽量避免这些问题。以我这些年为用户服务的经验,我总结了一些基本方法,或许可以帮助大家将这些问题一一克服,让开发人员能够接受源代码安全测试,甚至是爱上安全测试。基本方法如下:

1. 建立明确的安全测试范围和标准。明确地让开发人员知道要检测的内容和标准,当然这个安全测试标准,一定是要安全部门和开发部门一起进行讨论和协商而来的,让大家都能够明白这些漏洞的危害,造成的影响等。

2. 建立安全审计团队,总结安全漏洞审计指南。安全测试本身可以尽量地自动化实现,但测试工具测试出来的漏洞,仍然需要大量的人员安全审计才行。因此要培养相关人员,建立有效的安全审计团队,确保测试结果的相对准确性,来减少开发人的员的不必要的修复工作。同时,可以在工作中总结一些安全审计的方法,编写出审计指南,方便分享和传递。

3. 建立企业安全测试私云,形成敏捷源代码安全测试模式。企业在选择测试工具时,一定要尽可能地考虑一些有企业级测试私有云的测试解决方案,这样可以在企业内部建立一个统一的私有测试云平台,扩大使用范围,最好让开发人员在开发过程中实现迭代测试,当然,这还有一个前提就是把源代码安全测试做得一定要方便,简单,易操作,成本小。

4. 建立企业安全知识交流和分享平台,形成企业自有的安全编码库。这一个方面是开发人员最为关心,做好了也是最为喜欢的部分,就是可以在企业内部建立一个安全知识交流,学习,分享的平台。大家可以共同研究和学习漏洞知识以及修复方案。最终可以形式企业自有的安全编码没库。这是最理想的。

5. 定期组织软件安全知识培训和讲座,提高整体人员安全水平。我常常听到开发人员给安全测试人员说:”我们不怕测出安全漏洞多,只要告诉我们准确的修复方法,我们来改就行;你们最好给我们一个安全的编程方法,以后我们能就尽量避免漏洞”。”修复方法”、”安全编程”。就是软件安全开发知识中的基本内容了。所以,企业应该定期或者不定期地给相关技术人员,特别是开发人员进行安全知识培训,针对安全漏洞进行集中式安全编程培训,这样就可以从开发意识和开发习惯上杜绝安全漏洞。另一方面,技术人员能够在工作中不断地学习和成长,也是企业应尽的义务。

结语

“让开发者爱上安全测试”,这是一个统筹的理念,它包括诸多的意义。尤如前文所说的,在通常的安全测试过程中,问题表象好像是“开发人员的不配合和不支持”,但实质则是整体软件安全体系建设的不全面和不完整所导致的。只能通过疏通每一个环节上的问题,建立一个整体的软件安全开发管理体系才能让各个部门,各个角色的人员都能积极配合起来,才能“让大家爱上安全测试”。

版权声明:本文内容来自:安全牛-“让开发者爱上安全测试”系列之“源码安全测试”——开发者之伤 本网站不拥有所有权,也不承担相关法律责任。如果您发现本网站中有涉嫌抄袭的内容,欢迎发送邮件至:liusql@163.com 进行说明,并提供相关证据,小白将立刻删除涉嫌侵权内容。

西部数码(DV)SSL证书申请及验证流程

琴子小白阅读(54)

申请域名型(DV)SSL证书流程

申请域名型(DV)SSL证书流程:

图片.png

详细步骤如下:

1、选购SSL证书

图片.png

选择TrustAsia品牌,域名型DV,结算开通。

图片.png

2.管理中心提交证书审核资料 (资料补全)

图片.png

请填写真实有效审核资料

图片.png

blob.png

接下来参照 域名所有权验证教程 完成文件验证或者dns验证

域名所有权验证教程

申请域名型证书,可以通过以下方式验证域名的所有权:

1. 文件验证
2. 手动DNS验证

3. 自动DNS验证

申请域名型证书,可以通过以下方式验证域名的所有权:

1. 文件验证

图片.png

windows服务器如何创建.开头的.well-known文件夹:http://www.lnmpweb.cn/archives/1140

按指定文件目录、文件名、文件内容新增文件,例如

如果申请文件验证的域名是www.ceshi263.xyz,那么进行验证访问的链接地址是 http|https://.www.ceshi263.xyz/.well-known/pki-validation/fileauth.txt
如果申请文件验证的域名是泛域名*.ceshi263.xyz,那么进行验证访问的链接地址是 http|https://ceshi263.xyz/.well-known/pki-validation/fileauth.txt

(如果是三级泛域名比如:*.test.west.xyz,进行验证访问的链接地址是 http|https://test.ceshi263.xyz/.well-known/pki-validation/fileauth.txt)

访问到的是:图片.png


2.手动DNS验证

通过解析指定的DNS记录验证您的域名所有权,

例如:申请www.qk365.vip  数字证书, 如图提示记录:

图片.png

以西部数码解析平台为例说明如何进行操作:

1)进入西部数码用户管理中心》业务管理》域名管理》管理
如图:

图片.png

2)点击“域名解析”添加域名解析记录

图1 进入域名解析面板

图片.png

图2 添加TXT记录,完成DNS验证

图片.png

主机名:@

类型:TXT记录

线路:默认,

对应值:201703090924526d0tr9pkmwqxggwxcmrs0rfoufndft0r715zfsron8m39u02gc(直接复制 “记录值”输入),

TTL:默认

优先级:默认

(如果是二级域名,比如west.qk365.vip,主机名就是 “west”,对应值复制输入系统提示的 “记录值”)

3. 自动DNS验证

1.域名在西部数码注册或DNS解析服务托管在西部数码平台。
2.域名需要在当前申请ssl证书服务账号下管理,并且域名处于可正常解析状态。

西部数码智能解析系统为该域名自动添加指定的DNS解析记录,记录被检测匹配成功,完成域名所有权验证。

3、完成以上操作,请耐心等待审核即可,审核结果将通过邮件/微信及时通知到您。

 

终于来了!Ubuntu可以从Windows商店下载使用了

琴子小白阅读(36)

程序猿(微信号:imkuqin) 猿妹 整编

参考来源:综合自开源中国、cnBeta

据微软官网消息,Canonical 的 Ubuntu Linux 发行版现在可以在 Windows Store 中下载并安装。当前登陆 Windows Store 的是 20170619.1 编译版本的 Ubuntu 16.04 LTS 

其实,在今年 5 月的 Build 2017 开发者大会上,微软就宣布了 Ubuntu、SUSE、Fedora 这三大 Linux 发行版都将登陆 Windows Store 的消息。

而现在, 用户能够在 Windows 10 商店中下载 Ubuntu 镜像,方便他们在无需双启动的情况下,于 Windows PC 中并行运行 Linux 子系统。

微软表示,使用基于 Windows Store 的安装机制安装 Linux 系统有几个好处:

● 更快更可靠的下载:Windows Store 采用先进的基于块的下载机制,最大程度地减少正在下载的应用程序的大小,从而实现更快更可靠的下载;

● 并行安装:WSL 已得到增强,以支持多个发行版的安装;

● 同时运行:不仅可以并行安装发行版,还可以同时运行多个发行版。

需要指出的是,这项功能要到 Windows 10 秋季创作者更新(预计 9 月份)才会正式发布,不过运行 Windows 10 Insider Preview 编译版本的测试者们已经可以抢鲜体验。

此外,微软还表示目前也正在与 SUSE 和 Fedora 合作,准备将他们的 Linux 发行版也带到 Windows Store 。SUSE 和 Fedora 都已接近完成,预计将在下周或两周内登录 Store 。上个月,SUSE Linux Enterprise Server 和 openSUSE Leap 已经登陆了 Windows Store 。

今天所做的努力都是在为明天积蓄力量

联系我们留言建议