3D模型網(wǎng)站Thingiverse用戶數(shù)據(jù)泄露 超5萬臺(tái)打印機(jī)可能被劫持

根據(jù)Data breach today上周報(bào)道，知名3D模型網(wǎng)站Thingiverse泄露了22.8萬名用戶資料，但相關(guān)人員最近發(fā)現(xiàn)，這起泄露事件還可能導(dǎo)致約5萬臺(tái)打印機(jī)被劫持。

從2020年10月起，共有36GB大小的Thingiverse數(shù)據(jù)被泄露，包括用戶的電子郵件地址、IP 地址、用戶名、居住地址等信息。曾在Thingiverse母公司MakerBot工作過的軟件工程師TJ Horner表示，此次泄露的數(shù)據(jù)中包括一些OAuth令牌，這些令牌可用于遠(yuǎn)程訪問MakerBot第5代甚至更高版本的3D打印機(jī)，并調(diào)用打印機(jī)上的攝像頭對(duì)其實(shí)行監(jiān)視。Horner認(rèn)為，如果打印機(jī)連接到互聯(lián)網(wǎng)，任何擁有這些令牌的人都可以完全控制打印機(jī)，攻擊者可能會(huì)向 3D 打印機(jī)發(fā)送錯(cuò)誤的示意圖，并損壞打印機(jī)的步進(jìn)電機(jī)，此外，這些泄露的令牌還能讓攻擊者訪問Thingiverse用戶的賬戶信息。MakerBot在此次事件中沒有公開提及有關(guān)打印機(jī)的令牌泄露，但已對(duì)相關(guān)令牌進(jìn)行作廢處理。面對(duì)這起泄露事件，MakerBot曾聲明，只有不到500名用戶受到數(shù)據(jù)泄露的影響，并強(qiáng)調(diào)泄露的只包括主要用于測(cè)試數(shù)據(jù)的非生產(chǎn)、非敏感數(shù)據(jù)。它還堅(jiān)持已通知受影響的用戶。

目前絕大部分的數(shù)據(jù)泄露風(fēng)險(xiǎn)都來自企業(yè)內(nèi)部，其中郵件外發(fā)和互聯(lián)網(wǎng)上傳是兩個(gè)最方便的數(shù)據(jù)外傳手段，也是泄露事件發(fā)生概率最高的兩個(gè)渠道。由于數(shù)據(jù)大多存儲(chǔ)在網(wǎng)絡(luò)空間的服務(wù)器上，本來就容易成為不法分子攻擊、竊取的目標(biāo)。而一些公司企業(yè)自身對(duì)于數(shù)據(jù)防護(hù)意識(shí)不高，防護(hù)手段不足，遇到工作人員操作失誤或者網(wǎng)絡(luò)攻擊就容易泄露數(shù)據(jù)信息。

網(wǎng)絡(luò)安全市場(chǎng)規(guī)模超500億 人才需求全面爆發(fā)

近期，隨著2021年國家網(wǎng)絡(luò)安全宣傳周活動(dòng)在全國各地開展，網(wǎng)絡(luò)安全話題備受關(guān)注。根據(jù)最新發(fā)布的《2021年中國網(wǎng)絡(luò)安全產(chǎn)業(yè)分析報(bào)告》，2019年我國網(wǎng)絡(luò)安全市場(chǎng)規(guī)模已經(jīng)達(dá)到478億元，同比增長21.5%;2020年，我國網(wǎng)絡(luò)安全市場(chǎng)規(guī)模再度漲到532億元，雖然受疫情影響增速有所放緩，但增長率仍然達(dá)到了兩位數(shù)。

目前我國每年網(wǎng)絡(luò)安全相關(guān)專業(yè)畢業(yè)生只有2萬多人，而行業(yè)的缺口已經(jīng)高達(dá)50萬至100萬人，網(wǎng)絡(luò)安全行業(yè)人才供需矛盾正急劇凸顯，實(shí)戰(zhàn)型、實(shí)用型等人才非常急缺。與此同時(shí)，根據(jù)工信部近日發(fā)布的《網(wǎng)絡(luò)安全產(chǎn)業(yè)人才發(fā)展報(bào)告》，網(wǎng)絡(luò)安全產(chǎn)業(yè)人才需求還在高速增長，2021年上半年，行業(yè)人才需求總量已經(jīng)較去年同期增長了39.87%，不少企業(yè)為了招到人才不惜付出高薪，2021年領(lǐng)域內(nèi)平均招聘薪酬已達(dá)到22387元/月，人才供需的數(shù)量失衡可見一斑。當(dāng)然，失衡不僅在數(shù)量上，還在地域上。

如今網(wǎng)絡(luò)安全已經(jīng)成為我們不容忽視的一大產(chǎn)業(yè)，其既是保護(hù)個(gè)人數(shù)據(jù)隱私的必要手段，也是維護(hù)國家安全和推動(dòng)經(jīng)濟(jì)發(fā)展的必由之路。只要解決好了人才方面的問題，再把握住政策、資本所帶來的各方機(jī)遇與福利，網(wǎng)絡(luò)安全產(chǎn)業(yè)才能迎來令人滿意的發(fā)展。行百米者半九十，如今我國網(wǎng)絡(luò)安全發(fā)展正值關(guān)鍵，需全力以赴!

全球頂尖極客匯聚GeekPwn 2021 解構(gòu)智能生活安全威脅

云計(jì)算、5G、AI等前沿技術(shù)發(fā)展，加速了產(chǎn)業(yè)數(shù)字化的步伐，但同時(shí)也帶來了新的安全隱患。關(guān)注前沿技術(shù)的應(yīng)用安全，是GeekPwn一直以來的傳統(tǒng)。在今年的舞臺(tái)上，極客們以AI對(duì)抗AI，上演了精彩的安全攻防。

“未知攻，焉知防”，網(wǎng)絡(luò)安全的本質(zhì)是攻防兩端能力的對(duì)抗。極客們積極探索前沿技術(shù)，并將其應(yīng)用到安全實(shí)踐中，用新技術(shù)來解決新的安全問題。

網(wǎng)聯(lián)汽車、機(jī)器人、醫(yī)療器械等等智能硬件，正在改變?nèi)藗兊纳罘绞?。GeekPwn在關(guān)注前沿技術(shù)安全的同時(shí)，也關(guān)注智能生活中的安全風(fēng)險(xiǎn)。

醫(yī)療領(lǐng)域，野生極客曾穎濤帶來了一項(xiàng)通過控制胰島素泵來突破其原有注射設(shè)置的挑戰(zhàn)。選手通過藍(lán)牙侵入胰島素泵的控制器，修改了原有的注射設(shè)置，用幾秒鐘就將加大注射劑量的胰島素全部推出，這種情況如果發(fā)生在現(xiàn)實(shí)中，將對(duì)病人的生命造成嚴(yán)重威脅。

智能生活是全球創(chuàng)新熱點(diǎn)和未來產(chǎn)業(yè)發(fā)展制高點(diǎn)，更是人們未來生活的一部分。作為智能生活發(fā)展的基石，信息安全保障與智能化應(yīng)用同步部署必要性日益凸顯，便利、安全的兼顧還需共同持續(xù)努力。我們需要準(zhǔn)確把握技術(shù)和產(chǎn)業(yè)發(fā)展趨勢(shì)，不斷規(guī)范不同領(lǐng)域人工智能安全應(yīng)用，進(jìn)而避免盲目追求人工智能技術(shù)的應(yīng)用，而忽視了智能技術(shù)造福于人的本質(zhì)目標(biāo)。

對(duì)某單位遭受投遞FormBook竊密木馬的分析報(bào)告

自今年7月以來，安天CERT監(jiān)測(cè)到多起廣撒網(wǎng)式投遞竊密木馬的釣魚郵件活動(dòng)，誘導(dǎo)目標(biāo)執(zhí)行附件中的FormBook竊密木馬，實(shí)施竊密活動(dòng)。其中捕獲到一封對(duì)某單位投遞的釣魚郵件。FormBook是一種非?；钴S的商業(yè)竊密木馬，自2016年開始在黑客論壇上以“惡意軟件即服務(wù)”形式出售，版本不斷迭代更新，目前發(fā)現(xiàn)的最新版本為4.1，本次監(jiān)測(cè)到的為3.2版本。

FormBook主要被用于竊取目標(biāo)個(gè)人信息，該竊密木馬能夠自動(dòng)收集目標(biāo)系統(tǒng)中瀏覽器、郵箱客戶端、即時(shí)通訊客戶端和FTP客戶端中的敏感信息，具備鍵盤記錄和屏幕獲取功能。同時(shí)它具有遠(yuǎn)程控制能力，具體包括更新、下發(fā)惡意軟件、命令執(zhí)行、數(shù)據(jù)回傳等功能，實(shí)現(xiàn)對(duì)目標(biāo)系統(tǒng)進(jìn)行長期駐留控制。此次發(fā)現(xiàn)的FormBook變種采用C#編寫的加載器進(jìn)行加載，核心功能運(yùn)行前具有多層解密執(zhí)行和進(jìn)程注入操作，同時(shí)針對(duì)虛擬機(jī)和沙箱環(huán)境進(jìn)行檢測(cè)，使用數(shù)十個(gè)C2服務(wù)器作為備選，具備一定的對(duì)抗檢測(cè)、對(duì)抗分析和反溯源能力。

商業(yè)竊密木馬異?；钴S，早已經(jīng)形成了成熟的黑色產(chǎn)業(yè)鏈。在技術(shù)方面，商業(yè)化竊密木馬在反沙箱、反虛擬機(jī)的對(duì)抗檢測(cè)以及反溯源上為使用者做足了對(duì)抗技術(shù)；在運(yùn)營方面，采用了“惡意軟件即服務(wù)” 的運(yùn)營模式；在木馬管理方面，為購買者提供了易于操作的后臺(tái)管理接口。通過以上服務(wù)手段，極大降低攻擊者的技術(shù)門檻，造成竊密木馬泛濫的局面。

淺談云上攻防——CVE-2020-8562漏洞為k8s帶來的安全挑戰(zhàn)

2021年4月，Kubernetes社區(qū)披露了一個(gè)編號(hào)為CVE-2020-8562的安全漏洞，授權(quán)用戶可以通過此漏洞訪問 Kubernetes 控制組件上的私有網(wǎng)絡(luò)。在完成校驗(yàn)并通過校驗(yàn)之后，Kubernetes立即進(jìn)行第二次域名解析，此次域名解析后并不再進(jìn)行IP地址的校驗(yàn)，這將導(dǎo)致上述校驗(yàn)存在繞過問題，如果一個(gè)DNS服務(wù)器不斷返回不同的非緩存解析請(qǐng)求，攻擊者可以利用此方式繞過Kubernetes的API Server Proxy IP地址限制，并訪問內(nèi)網(wǎng)ControlPlane管控組件。

通過查閱此漏洞披露報(bào)告可發(fā)現(xiàn)，這個(gè)漏洞擁有較低的CVSS v3評(píng)分，其分值僅有2.2分，與以往披露的Kubernetes高危漏洞相比，這個(gè)擁有較低評(píng)分的漏洞極其容易被安全研究人員以及運(yùn)維人員所忽視。但經(jīng)過研發(fā)測(cè)試發(fā)現(xiàn)，在實(shí)際情況中，這個(gè)低風(fēng)險(xiǎn)的漏洞卻擁有著不同于其風(fēng)險(xiǎn)等級(jí)的威脅：在與云上業(yè)務(wù)結(jié)合后，CVE-2020-8562漏洞將會(huì)為云廠商帶來不可忽視的安全挑戰(zhàn)。

在安全研究以及運(yùn)維中，一些低風(fēng)險(xiǎn)的集群漏洞極其容易被安全以及運(yùn)維人員所忽略，但是這些漏洞在一些特定場(chǎng)景中仍為云上安全帶來了極大的安全挑戰(zhàn)，正如本文中所舉例的CVE-2020-8562安全漏洞，這個(gè)僅有2.2評(píng)分的Kubernetes安全漏洞，在與實(shí)際業(yè)務(wù)結(jié)合后，仍可為業(yè)務(wù)帶來極大的安全風(fēng)險(xiǎn)。因此與云上安全相關(guān)的漏洞，無論嚴(yán)重與否，都應(yīng)得到安全人員以及運(yùn)維人員的相應(yīng)重視。

網(wǎng)絡(luò)釣魚工具包的新趨勢(shì)：模塊化

近日，微軟在分析最近一次網(wǎng)絡(luò)釣魚攻擊事件中發(fā)現(xiàn)，犯罪分子使用了名為TodayZoo的新型工具包，該工具包沒有任何自己開發(fā)的功能，而是剪裁和整合其他惡意軟件拼湊而成。TodayZoo工具包大量使用了另一個(gè)工具包DanceVida的代碼，而其他組件與至少五個(gè)網(wǎng)絡(luò)釣魚工具包的代碼顯著匹配。

通由于其相關(guān)活動(dòng)的重定向模式、域名和其他技術(shù)、策略和程序(TTP)的一致性，我們認(rèn)為攻擊者‘定制’了舊的網(wǎng)絡(luò)釣魚工具包模板，修改了憑據(jù)收集功能，加入了自己的滲漏邏輯，使TodayZoo僅用于其邪惡目的?！蔽④涍M(jìn)一步分析指出，“網(wǎng)絡(luò)釣魚工具包，類似于惡意軟件，將會(huì)變得越來越模塊化?！?/p>

除模塊化外，網(wǎng)絡(luò)釣魚的主戰(zhàn)場(chǎng)也在從電子郵件向移動(dòng)設(shè)備轉(zhuǎn)移。根據(jù)蘋果電腦和設(shè)備企業(yè)管理工具供應(yīng)商Jamf發(fā)布的一份報(bào)告，大多數(shù)成功的攻擊都是針對(duì)移動(dòng)用戶，很少來自電子郵件客戶端。

商業(yè)網(wǎng)絡(luò)釣魚攻擊的傳播已經(jīng)遠(yuǎn)遠(yuǎn)超出了提供‘無人認(rèn)領(lǐng)的彩票獎(jiǎng)金’的措辭拙劣的電子郵件。它們不僅更加個(gè)性化、更具說服力，而且比以往任何時(shí)候都可以接觸到更多地方的用戶，并且越來越超越消費(fèi)者，瞄準(zhǔn)業(yè)務(wù)憑證和數(shù)據(jù)。企業(yè)應(yīng)該考慮采用多因素身份驗(yàn)證并加強(qiáng)其郵件服務(wù)器的配置，以使網(wǎng)絡(luò)釣魚攻擊更加困難。