台工業級網路設備提供商Lantech 串口伺服器曝嚴重漏洞;美DHS這樣評估系統性風險中的供應鏈威脅
內容提要:
1.台工業級網路設備提供商Lantech 串口伺服器曝嚴重漏洞
2.美DHS這樣評估系統性風險中的供應鏈威脅
3.勒索軟體SynAck攜2017黑帽大會黑客技術來襲
4.羅技Harmony-Hub被曝多個漏洞,影響智能家居產品
5.巴基斯坦數百萬公民信息網上公開售賣,售價1美元
6.阿里巴巴宣布成功研製世界最強量子電路模擬器——「太章」
7.美國即將公布無人機測試項目獲勝者
8.區塊鏈或顛覆金融服務行業:企業紛紛試水
9.未來網路入侵警告!飛機墜毀、平民中毒死亡
1.台工業級網路設備提供商Lantech 串口伺服器曝嚴重漏洞
2. 美DHS計劃評估系統性風險中的供應鏈威脅
美國國土安全部(DHS)部長克爾斯滕·尼爾森將網路安全視為相互關聯的系統性風險。為了加強私營部門供應商的網路安全,DHS 計劃將總體評估和針對性評估融合,雙管齊下重點評估供應鏈風險。DHS 目前正諮詢電力、金融服務、IT 和電信行業的意見,希望本周收到這些行業有關係統性風險的反饋。DHS 計劃將總體評估和針對性評估融合:總體評估包括評估廣泛的威脅、漏洞和攻擊的潛在後果。針對性評估將包括評估特定的威脅、目標和後果。
3.勒索軟體SynAck攜2017黑帽大會黑客技術來襲
卡巴斯基實驗室的研究人員發現,SynAck 勒索軟體新變種使用代碼注入技術 Process Doppelg?nging 隱藏在合法進程中,可繞過反病毒安全機制,現有反病毒產品無法進行查殺。SynAck 是首款利用 Process Doppelg?nging 反查殺技術躲避檢測的勒索軟體。研究人員根據目前觀察到的數據推測,這款勒索軟體可能是一款具有針對性的惡意軟體,該軟體目前瞄準的目標僅限於美國、科威特、德國和伊朗。
4.羅技Harmony-Hub被曝多個漏洞,影響智能家居產品
火眼(FireEye)近日披露,羅技 Harmony Hub 智能家居控制系統存在多個漏洞,該廠商已經發布固件更新修復漏洞。這些漏洞包括:不正確的證書驗證;不安全的更新過程;開發者固件鏡像生成中留下調試信息;Root 用戶密碼為空。研究人員發現,攻擊者可利用這些漏洞訪問本地網路控制連接到 Hub 的設備,並攻擊網路上的其它設備。考慮到有些用戶使用 Harmony Hub 控制智能門鎖和恆溫器等多個智能家居設備,這些漏洞可能會帶來嚴重的安全風險。其中一個漏洞與固件鏡像生成過程中的調試詳細信息有關。另一個漏洞是固件更新期間未正確驗證 SSL 證書漏洞。固件更新過程本身不安全,攻擊者可藉由將惡意更新傳送至設備。由於 Hub 上未配置 Root 密碼,攻擊者一旦能以某種方式設法啟用 Dropbear SSH 伺服器,便可通過 SSH 獲取 Root 訪問許可權。值得指出的是,攻擊者可利用 SSL 證書驗證漏洞上傳特製固件,從而啟用 Dropbear SSH 伺服器。
5.巴基斯坦數百萬公民信息網上公開售賣,售價1美元
根據巴基斯坦「Techjuice」網站在本周一(5月7日)發表的一篇文章來看,數百萬巴基斯坦公民的個人敏感信息正在不同的社交媒體平台上被出售,而這些信息在巴基斯坦國內網站上的售價僅為100盧比,即1美元。在2017年8月,一家當地媒體報道,旁遮普省信息技術委員會(PITB)意外暴露了成千上萬巴基斯坦公民的個人敏感信息,這些數據由CNIC(巴基斯坦國家身份證號碼)和其他個人文件的掃描件組成。根據PITB在當時的說法,數據泄露是由於一個應用程序漏洞導致的,而這個漏洞已經被修復,但並沒有對泄露的數據進行置評。而現在,也就是在該事件發生的9個月之後,PITB再次被推向了輿論的風口浪尖。因為有很多人開始懷疑,通過PITB網站泄露的數據正在被公開出售。不僅如此,被出售的數據還包括由巴基斯坦國家資料庫和註冊局(National Database and Registration Authority,NADRA)持有的個人和家庭數據、警方追蹤的犯罪記錄、由電信公司記錄的通話數據以及其他一些由政府機構持有或私營公司持有的數據,而這些數據泄露的根源似乎都與PITB的應用程序漏洞有關
6.阿里巴巴宣布成功研製世界最強量子電路模擬器——「太章」
阿里巴巴量子實驗室施堯耘團隊宣佈於近日成功研製當前世界最強的量子電路模擬器,名為「太章」。 基於阿里巴巴集團計算平台在線集群的超強算力,「太章」在世界上率先成功模擬了81(9x9)比特40層的作為基準的谷歌隨機量子電路,之前達到這個層數的模擬器只能處理49比特。
7.美國即將公布無人機測試項目獲勝者
至少有200家大型科技公司和航空公司申請了美國將在當地時間周三公布的無人機測試。該活動由特朗普領導政府在去年發起,旨在加速無人機跟國家空域系統的整合。它將為企業提供一個該行業將如何監管的發言機會。而測試項目將展開一系列寬於聯邦航空監管機構通常允許的範圍,包括夜間飛行等。美國交通部部長趙小蘭(Elaine Chao)將在周三宣布10個將舉行該測試的州、地方以及部落政府。政府已經就這一測試項目與各企業展開了合作。據報道,亞馬遜、蘋果、高通、空中巴士等公司都是此次測試的參與者之一。英特爾也向媒體CNET證實他們申請了參與該項目。另外據稱,像波音、福特等公司也對這個項目表現出了興趣,但目前並不清楚它們是否也申請了。對此他們並未就此事回應媒體的提問。
8.區塊鏈或顛覆金融服務行業:企業紛紛試水
作為虛擬貨幣背後的尖端技術,區塊鏈有可能會在全球的金融行業中發揮顛覆作用。藉助區塊鏈技術,銀行不僅可以降低成本,其收益最終還可以轉移到消費者身上,讓消費者享受更快速、更便宜的服務,但同時也會加劇競爭。由於共享加密的「賬本」無法被操縱,區塊鏈提供了安全的交易保障,允許任何人準確記錄資金、財產等資產。就像它支持比特幣和其它加密貨幣交易,區塊鏈或所謂的分散式賬本技術也支持其它資產的交易,從而給賺取高額費用幫助客戶實現貨幣和其它資產交易的銀行帶來風險。區塊鏈最可能會對金融服務的交易結算和清算帶來影響。債券評級機構穆迪公司(Moody"s)的信貸策略總經理科林·埃利斯表示,任何顛覆性影響(無論技術、經濟或政治)都會產生輸家和贏家,區塊鏈也不例外。穆迪公司一項報告顯示,雖然區塊鏈技術可以削減金融機構的跨境交易成本,但可能會加劇銀行之間的競爭,這樣會使那些不能適應最新技術趨勢的企業逐漸丟失市場甚至面臨破產危機。
9.未來網路入侵警告!飛機墜毀、平民中毒死亡
2018年北約「鎖盾(Lockied Shields)」演習後,一位網路防務專家警告稱,各國正積極準備可能由俄羅斯等國發起的、針對基礎設施的「敵對」網路攻擊,此類威脅甚至可能導致「飛機墜毀與水源污染」。美國司令員米迦勒·威德曼表示,此次演習當中準備了相關場景,旨在幫助各國準備應對可能針對平民的攻擊事件,在2018年的演習當中,安全專家們假設了一場由網路攻擊引發的民眾氯中毒死亡事件,場景中政府因此陷入一片混亂。專家們還在2018年的訓練演習當中,充分將俄羅斯政府的網路攻擊能力引入進來。威德曼表示,演習將真實發生的網路事件的應用到了演習當中。攻擊者以協調攻擊方式全面入侵互聯網服務供應商、空軍基地,同時干擾「電網、4G公共安全網路、無人機操作以及其它關鍵基礎設施組件。」2014年的「鎖盾」演習當中,北約方面正式確認網路攻擊可能引發軍事反應。
