《安全周报》第39期:XcodeGhost病毒、D-Link证书泄露及100万美元悬赏从ios 9找出bug

在开始本周新一期的《安全周报》之前,我想先说几条与信息安全无关的新闻。大众柴油车被发现污染物排放远超测试中显示的数值。

在开始本周新一期的《安全周报》之前,我想先说几条与信息安全无关的新闻。大众柴油车被发现污染物排放远超测试中显示的数值。 在最终调查结果出来之前,我并不想对这条新闻多做评论。这条新闻表明软件在如今全球各个领域都扮演了举足轻重的角色:事实证明只需对代码进行微调,就能某种程度上改变重要特性,且不为人所察觉。 据Wired报道,汽车厂商要想掩饰更高排放水平并非难事。你知道车辆是如何在实验室内进行测试的吗?首先将车辆放置在一台模拟道路行驶的装置上,随后踩下油门,任凭车轮飞速转动,然后对废气排放进行分析。 车辆在实验室测试与真实道路行驶有何区别呢?区别在于前者并未使用到方向盘。这意味着可以为单一环境进行编程:即无人驾驶的MOT测试站环境。尽管这一”黑客入侵”方法偶然间被发现,但我认为这迟早会发生的。

这里再次重申,除非整个事件被完全澄清,否则免不了人们的各种猜想。如果大众柴油车的废气排放分析蓄意为之,那汽车制造商(或负责软件编程的工作人员)将难咎其职。那有可能是一个误会吗?当然有可能。在今天 Threatpost.com上的每周文摘中,我们将带来几个有关各种编码错误的新闻故事,其目的各不相同,甚至还用来赚取不义之财。点击这里阅读更多新闻故事。 D-Link无意中泄露数字证书 新闻。荷兰网站Tweakers.net最近发布https://threatpost.com/d-link-accidentally-leaks-private-code-signing-keys/114727/了一份详细的研究报告,并附有多个语言的版本(Google翻译)。 想象你是一家制造各种网络设备的生产商,产品从路由器到监视摄像头无所不包。此外,你还需要为自己的设备配备固件、驱动、软件、固件升级软件和驱动升级软件等等。而所有这些均保存在了一台秘密服务器上的”工作流程”文件夹内。根据工作日程安排,所有程序和软件被升级、分配和上传到各升级服务器上,随后这些更新程序再经过标记并最终发送到各个用户设备。整个流程相当顺畅,不是吗?

毫无疑问,仅通过手动操作无法管理整个硬件存货清单,还需要用到脚本。在我们获得新的代码片段,则需要运行.bat文件(Shell脚本或Python脚本,随便什么),随后将代码分配到指定文件夹内,整个过程即告完成,不会出现任何差错。 而有个叫Jack的D-Link内部工程师决定从根本上改善整个脚本,他在此之前已多次对脚本进行了测试并得到满意的结果。这也导致了bug的产生。负责选择合适更新文件或文件夹的一行代码并不包括破折号或另外的括号–并且其中的重要数据外泄到了公共领域且通过电邮发送给了数不清的用户。

当然,我的理解并不一定100%准确–也可能是错的。但这的的确确发生了:有一名平时谨小慎微的用户在为其D-Link摄像头下载固件更新时,注意含供应商软件私人密钥的存档文件。在存档文件内存有多个证书,尽管其中一些已经过期,但有一个在9月3日才刚刚过期不久。 但问题是该密钥早在6个月之前就已外泄,因而在这之前,可以用来对任何软件进行签名–包括恶意软件。这显然是个失误,不仅丢脸还相当危险。我们目前这个数字时代,一串由512个数字组成的字符就代表了一切:能感染数百万台计算机的密钥、一大笔虚拟货币财富或者机密资料的访问代码。 但与此同时,512个字节只是你硬盘”浩瀚海洋中的一粒沙”,很容易被清除而进入到公共领域内。我们唯一的希望就是没人注意到这个错误–而情况常常如此。但偶尔也会有人发现–在这样的情况下,尽管没有人会故意寻找恶意软件,但还是会有人利用任何外泄的密钥从事一些不法活动。 让苹果IED的书签感染XcodeGhost病毒 新闻。Palo Alto研究。受影响应用清单。苹果官方声明(可惜只有中文版)。 想象你是一名中国iOS应用开发者。不用想太多,中国开发者使用的工具与全世界其他国家的开发者并无差别。只需稍微加入些地域特色即可。比方说,你买了一台崭新的Mac电脑,安装完Xcode framework后即开始编码。 这完全没有问题,但除了有一点:从苹果官网下载免费版Xcode framework的速度相当缓慢–这主要是因为有”防火长城”存在。而从中国本地网站下载则相比之下速度更快也更简单–有什么区别吗?反正都是免费的。 而完全出乎意料的是,一些应用(包括流行和非主流)被植入了恶意代码,(最低程度!)将关于设备的数据发送到远程C&C服务器。最糟糕的情况则是设备接受来自黑客服务器的命令,对用户进行病毒感染并对iOS漏洞利用。 事实上在Xcode中文版及多个发行版中都发现了恶意代码。这表明是有黑客有意而为之。因此事实上情况更为糟糕:不仅仅是像微信(即时通讯应用)或疯狂的小鸟中文版这样的流行应用受到感染,App Store内的多数中文应用都有可能植入了恶意代码。 当然,目前所有受感染应用已全部从App Store下架,而且通过C&C域名(同样被阻止)也很容易找到植入的恶意代码。但如何缺乏先验知识的话,恶意代码植入依然难以发现:悄悄隐藏在苹果的标准程序库内,99.9%的应用都要用到。

这里有个奇怪的地方。专门对斯诺登提供的秘密数据进行解密和公布的调查新闻网站-The Intercept报道了这一方法,而XcodeGhost正是采用这一方法偷偷潜入苹果设备,同时也和政府秘密计划中描述的方法一致。该网站炫耀自己早在去年3就将这一信息公布互联网。

好吧,我们也来炫耀炫耀自己:我们早在斯诺登事件发生前的2009年就注意到了这一问题,因此是全球最先发现的公司。例如,我们发现了同时感染Delphi的IDE(集成开发环境)以及将恶意代码植入所有已编译应用的恶意软件。黑客所用的方法也显而易见。但只要知道问题所在,就能很轻易地解决–只需将开发工具与主版本的完整性进行匹配。 除此之外,我们在这里还提供一个简单得让人吃惊的建议:千万不要从可疑资源下载软件。尽管听上去有些奇怪,但却是经验丰富开发者的忠告。他们真的会犯这种可笑的错误吗?事实证明,他们绝对会。 Bug中介商悬赏100万美元在iOS 9中找bug 新闻。 这里有个关于各种iOS设备越狱历史记录的表格。安卓或台式电脑操作系统用户可以默认开启对系统的全面控制,且漏洞利用也相当容易。而与它们不同的是,苹果的智能手机、平板电脑(现在还有电视机顶盒和智能手表)却内在地限制用户的权限。 多年以来,一方面苹果试图对其设备严加保护,而另一方面热衷于获取root权限的用户却是试图绕过这一保护。最终,大多数苹果设备惨遭越狱(除了苹果TV v3机顶盒,以及Apple Watch暂时幸免于难)–只要苹果产品一上架,通常在6个月内就能成功越狱。

最新的iOS 9同样不幸遭到越狱,但事实却不完全如此。因为并没有越狱完整。关注这一问题的还有Zerodium公司,该公司已悬赏100万美元找到能漏洞利用iOS 9的方法,但前提条件是: —漏洞利用方法是能远程操作的(原因是当用户访问专门精心制作的虚假网页或阅读恶意普通短信或多媒体短信时能自动运行); —漏洞利用方法允许侧载任意应用(类似于Cydia); — 漏洞利用方法持久稳定,在重启依然能继续运行; — 漏洞利用方法’可靠、谨慎且无需用户的任何操作。 上述所列的这些条件表明Zerodium的300万(总赏金)悬赏活动纯属噱头,对于获取root权限的狂热分子可能要失望了。Zerodium公司创始人Chaouki Bekrar最初创立的是VUPEN。后者专门向政府机构出售漏洞和漏洞利用工具。无论从合法程度还是道德立场而言,这都是信息安全领域的灰色地带:好人用坏人制作的工具起诉坏人。 然而VUPEN(至少从官方来看)并未扰乱bug中介市场,而最初创立Zerodium的目的正是为此。这意味着有些人将从中大赚一笔,而另一些人将使用购买的漏洞利用工具攻破设备但却不会披露任何有关漏洞的细节(否则支付奖金又有何意义呢?)。 但我们已经知道如果bug中介商自己遭到黑客入侵后的结果(是否还记得Hacking Team安全公司,其大量有关零日漏洞的信息在公共领域遭到公开,该公司与一些中东国家政府间的肮脏交易得以揭露,对于双方而言都是惨痛的教训)。

而这里的道德问题是,越狱自己的智能手机完全没有任何问题(或者更准确地说,基本没什么问题),因为这是每个人的自由。但如果在未经他人允许的情况下越狱别人的设备,这就有问题了。而一旦发现这样的漏洞,无论如何都应告知生产商并由其打上安全补丁。不管怎么说,就算漏洞利用是为了造福整个人类,但依然还是不那么光彩的行为。 其它新闻: Adobe为Flash Player内的23个漏洞打上安全补丁。整个8月份总共修复了超过30个bug。

OPM(联邦人事管理局)报告了今年发生的大量黑客攻击活动导致的更加严重后果:属于联邦机构工作人员的超过560万个指纹被盗。美国国内分析家表示由于人的手指都是唯一且不可替代的,因此被盗指纹将永久有效,因此以后安全认证组合的数量也将受到限制。尽管目前指纹的用途相当有限,但没有人能预测未来科技将发展到何种的地步。 老话新提:

“PrintScreen” 这是一种相当危险的病毒,占用512个字节的空间(一个扇区)。在读取时,它会感染软盘和硬盘驱动器的引导扇区(int 13h)。老式引导扇区会写在软盘驱动器的1/0/3地址(磁面/磁道/扇区),而硬盘驱动器对应的地址则是3/1/13。该病毒会损坏任意一个FAT扇区或保存在内的数据(具体取决于磁盘容量)。在感染硬盘驱动器时,隐含有引导扇区保存在0/1/1地址的信息(这表明编写这一病毒的程序员水平较低)。 此外它还劫持int 13h。从病毒感染驱动器时病毒清单编制的1/256概率比判断(取决于其内部计算器的数值),该病毒应调用int 5(Print Screen),但由于一个错误导致计算器的新数值并未保存。 引述自于1992年出版的《MS-DOS中的计算机病毒》第102页,作者:尤金·卡巴斯基 免责声明:本文仅代表作者的个人意见。可能与卡巴斯基实验室的立场相符,也可能相反。听天由命吧。

提示