记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

软件供应链安全威胁:从“奥创纪元”到“无限战争”

在2018年5月到12月,伴随着阿里安全主办的软件供应链安全大赛,我们自身在设计、引导比赛的形式规则的同时,也在做着反思和探究,直接研判诸多方面潜在风险,以及透过业界三方的出题和解题案例分享,展示了行业内一线玩家对问题、解决方案实体化的思路(参见:篇1、篇2、篇3、篇4、篇5。另外,根据近期的一些历史事件,也做了一些深挖和联想,考虑恶意的上游开发者,如何巧妙(或者说,处心积虑)地将问题引入,并在当前的软件供应链生态体系中,造成远比表面上看起来要深远得多的影响(参见:《深挖CVE-2018-10933(libssh服务端校验绕过)兼谈软件供应链真实威胁》)。以上这些,抛开体系化的设想,只看案例,可能会得到这样的印象:这种
发布时间:2019-03-12 17:20 | 阅读:83913 | 评论:0 | 标签:Web安全 业务安全 安全工具 技术 供应链安全

揭秘两个新发现的供应链攻击

随着网络安全防护技术的提高,攻击者要想再利用原来的攻击技术来获得成功,就越来越难了。为此,黑客也正在琢磨着提高他们攻击成功率的方法,例如,利用用户对软件供应商的信任。一般情况下,用户都不会怀疑受信任的开发人员或供应商会在安装软件或更新时发起攻击。用户一般认为,只要软件供应商值得信赖,那他们的产品也一定没有安全问题。而攻击者正是利用了这个心理,发起了所谓的“供应链攻击”。在安装软件或更新时,用户时刻都要仔细检查源代码站点,以确保它是合法的。只有这样,才能让代码放心的在我们的计算机上运行。随着开发人员对软件和网页的防护能力越来强,所以在过去几年中,黑客已越来越多的利用这种供应链信任来传播恶意软件。在不到一周的时间里(10份
发布时间:2018-11-03 12:20 | 阅读:69002 | 评论:0 | 标签:Web安全 供应链安全

Equifax黑客事件的经验教训:供应链合作伙伴太重要了!

1.45亿客户记录被泄之后,Equifax股票暴跌30%,相当于蒸发掉50亿美元市值。Equifax黑客事件位列史上罕见大型数据泄露事件之一,被盗记录中包含社会安全号和驾照信息。而且,相比随之而来的事件余波,目前的市值蒸发可能还仅仅是沧海一粟。不仅仅是Equifax被黑,其供应商也面临被黑风险,可能暴露上百万更多客户信息。比如说,Visa和MasterCard最近就向各大银行发出警报,提醒他们约20万张信用卡可能也被黑了。实际上,今年8月,信用卡诈骗迎来了一轮暴增,同比增长了15%。2013年塔吉特百货因第三方供应商漏洞导致数据泄露之后,也出现了类似的身份盗窃猖獗期。Visa和MasterCard都将信用卡可能被黑归罪于Equifax。这两大支付公司,或许是第一批站出来声明自家数据可能在Equifax数据泄露事
发布时间:2017-10-23 19:25 | 阅读:97144 | 评论:0 | 标签:牛闻牛评 Equifax 供应链安全 信用卡 安全风险

你还在忽视供应链安全?安全厂商开发的软件被植入后门

消费者从信息安全专家那里听到的警告,多专注在信任上:不要点击来自非受信发家的网页链接或附件,仅安装来自可信源或可信应用商店的App。但最近,狡猾的黑客开始将攻击深入到软件供应链,在你点击安装之前,就把恶意软件潜伏进可信厂商的下载中去了。9月18日,思科Talos安全研究部揭示,至少上月开始,黑客破坏了超级流行的计算机清理工具CCleaner,在其更新中嵌入后门,潜入数百万个人电脑系统中。该攻击辜负了消费者对CCleaner开发者Avast的基本信任,其他软件公司也受牵连,消费者信任下滑。因为恶意软件竟是捆绑到合法软件中分发的,而且还是安全公司出品的合法软件。同时,这也是一起越来越常见的安全事件。过去3个月里,黑客利用数字供应链植入恶意代码的事件就发生了3起。恶意代码藏身软件公司自身的安装与更新系统,劫持这些受信
发布时间:2017-09-21 02:15 | 阅读:150615 | 评论:0 | 标签:牛闻牛评 CCleaner Talos 供应链安全 黑客 后门

通过智能咖啡机把勒索软件植入到PLC的真实案例

前不久,安全牛报道过利用智能鱼缸入侵赌场的案例,现在连智能咖啡机也成入侵跳板,但目标换到了工控系统中的PLC。曾经,运营技术(OT)很享受几乎与Web隔绝所带来的安全。工业系统攻击界面真的太小了,很多实际发生过的安全事件(包括震网)里,物理接触都是首要攻击方法。那真是个简单清爽的时代。但是,所有的一切都随着工业物联网(IIoT)的出现而改变了。制造业和其他行业如今更多地将IoT设备集成到他们的OT环境。然而不幸的是,连接越多,对勒索软件之类IT数字威胁的暴露面就越大。这些劫难未必需要物理接触就能降临。有些威胁只需要借助感染的IoT设备,就能影响到OT系统。于是,勒索软件通过工厂的智能咖啡机,感染到其可编程逻辑控制器(PLC)监视系统这种事,还真就发生了。2017年6月,一名地区控制室操作员在Reddit上呼叫昵
发布时间:2017-08-02 06:30 | 阅读:110935 | 评论:0 | 标签:牛闻牛评 PLC 供应链安全 工控安全 智能设备

供应链安全五大关键数字风险的思考

供应链正迈向自动化与集成。比如说,云计算、机器人技术和人工智能在提高生产力与改善客户服务方面的应用。事实上,最近几年,物流运输业一直在开发无人机和仓储机器人,Uber也致力于打造自治汽车。这在上个世纪是连想都想象不出的技术大发展。但是,尽管物联网(IoT)携诸多优势渗透我们的日常生活,但也给我们的供应链系统带来了网络攻击和其他漏洞利用的威胁。随着公司企业和研究人员对端到端供应链的普及宣传,供应链也逐渐成为网络攻击的一大重点目标。这种模型推动了供应链各层级之间通过数字方式的广泛信息共享与分发。Petya勒索软件停滞了马士基航运集团供应链2017年6月末,NotPetya恶意软件袭击了全球59个国家的跨国企业,世界首屈一指的集装箱货运公司马士基航运接单受阻,充分验证了供应链面临的巨大威胁。航运订单之前只能通过电话下
发布时间:2017-07-13 17:05 | 阅读:202761 | 评论:0 | 标签:术有专攻 供应链安全 勒索软件 安全意识 安全漏洞

亚太地区或将为勒索软件付出更大代价

2016年对于企业来说是充满挑战的一年,黑客通过勒索软件取得空前的成功,亚太地区的企业也不例外。 这一年我们学到的教训刻骨铭心,那就是没有一个行业是安全的, 只要您的系统有安全漏洞存在,网络黑客终归会找到它。 为确保网络安全,各家企业应抓紧2017年这一时机制定出日常安全风险评估计划。 技术上的不断创新以及互联互通程度的不断加强,正在促使商业环境不断转变,并为整个地区带来业务拓展机会。 认识到存在安全问题并不代表着要完全回避新兴科技,而是要保持理性,比网络犯罪者更快一步了解当前和潜在的威胁,以及知晓如何降低风险。 以下为Palo Alto Networks 大中华区总裁陈文俊对2017年亚太地区安全形势的预测,包括: 工业控制系统可能会对你不利 工业控制系统(Industrial control syst
发布时间:2016-12-21 18:45 | 阅读:131631 | 评论:0 | 标签:牛闻牛评 IoT 供应链安全 勒索软件

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云