SKS Keyserver Network 遭到“中毒”攻擊

安華金和發表於2019-07-04

OpenPGP 專案的兩位知名開發者 Robert J. Hansen (rjh) 和 Daniel Kahn Gillmor(dkg) 過去一週成為證照中毒攻擊的受害者。未知攻擊者利用 OpenPGP 協議本身的缺陷給 rjh 和 dkg 的 OpenPGP 證照下毒。

匯入中毒版證照會破壞存在缺陷的 OpenPGP。中毒證照已經存在於 SKS Keyserver Network 中,沒有理由認為攻擊者在對兩個證照下毒後就停止攻擊。

dkg 稱 Tor 專案的多個證照也遭到攻擊。SKS keyserver 或 OpenPGP Working Group 無法在短期內減輕這一攻擊的影響,未來發布的 OpenPGP 將會包含一些削弱攻擊的方法,但目前沒有時間表。權宜之計是不要從 SKS Keyserver Network 提取資料。Keyserver 使用的軟體是一名研究員使用 OCaml 語言為自己的博士論文開發的,社群缺乏理解其演算法或該語言的人才。軟體沒人維護,也沒有人有資格去修改程式碼。

來源:solidot.org

更多資訊

Cloudflare 因自己軟體的問題導致當機事故

雲服務商 Cloudflare 遭遇了一次持續約半個小時的當機事故,使用者訪問報 503 錯誤。根據官方部落格的解釋,這個問題是它自己軟體導致的。Cloudflare 稱,為了改進內聯 JavaScript 遮蔽,它在 Cloudflare Web Application Firewall 防火牆內部署了新的規則,其中一條規則包含的正規表示式導致了其在全世界各地的機器 CPU 佔用 100%,從而導致了 502 錯誤。

來源: solidot.org
詳情: http://www.dbsec.cn/zx/20190704-2.html 

網路攻擊事件發生後 美國海關與邊境保護局已暫停與分包商合作

今年 5 月,美國海關與邊境保護局(CBP)的分包商遭遇了一起“惡意網路攻擊”,導致出入境旅客的照片資訊洩露。本週二,《華盛頓郵報》報導稱,該機構現已暫停了為其製作車牌掃描器和其它監控裝置的 Perceptics 聯邦政府合同。6 月 12 日,CBP 證實該分包商違反政策,將收集到的車牌和出入境旅客照片副本轉移到了企業網路中。

來源: cnBeta.COM
詳情: http://www.dbsec.cn/zx/20190704-3.html 

工信部點名:這些金融 APP 非法收集個人資訊

日前,工業和資訊化部(以下簡稱:工信部)釋出了 2019 年第一季度電信服務質量通告。通告顯示,多款金融 APP 存在非法收集個人資訊問題,工信部表示已對違規軟體進行下架處理,並責令企業整改。

來源: 人民網-金融頻道
詳情: http://www.dbsec.cn/zx/20190704-4.html 

“沉默”的黑客襲擊了孟加拉國,印度,斯里蘭卡和吉爾吉斯斯坦的銀行

一群專門攻擊銀行的黑客再次展開攻擊,這次他們分別在孟加拉國,印度,斯里蘭卡和吉爾吉斯斯坦攻擊了四個目標,來自 Group-IB 的安全研究人員告訴 ZDNet。根據當地媒體的報導,目前公開的唯一事件是影響荷蘭孟加拉銀行的事件,該銀行在5月份發生的幾輪 ATM 取款攻擊中損失了 300 多萬美元。

來源: ZDNet
詳情: http://www.dbsec.cn/zx/20190704-5.html 

(資訊來源於網路,安華金和蒐集整理)

SKS Keyserver Network 遭到“中毒”攻擊

訂閱“Linux 中國”官方小程式來檢視

相關文章