3D模型網(wǎng)站Thingiverse用戶(hù)數據泄露 超5萬(wàn)臺打印機可能被劫持

根據Data breach today上周報道，知名3D模型網(wǎng)站Thingiverse泄露了22.8萬(wàn)名用戶(hù)資料，但相關(guān)人員最近發(fā)現，這起泄露事件還可能導致約5萬(wàn)臺打印機被劫持。

從2020年10月起，共有36GB大小的Thingiverse數據被泄露，包括用戶(hù)的電子郵件地址、IP 地址、用戶(hù)名、居住地址等信息。曾在Thingiverse母公司MakerBot工作過(guò)的軟件工程師TJ Horner表示，此次泄露的數據中包括一些OAuth令牌，這些令牌可用于遠程訪(fǎng)問(wèn)MakerBot第5代甚至更高版本的3D打印機，并調用打印機上的攝像頭對其實(shí)行監視。Horner認為，如果打印機連接到互聯(lián)網(wǎng)，任何擁有這些令牌的人都可以完全控制打印機，攻擊者可能會(huì )向 3D 打印機發(fā)送錯誤的示意圖，并損壞打印機的步進(jìn)電機，此外，這些泄露的令牌還能讓攻擊者訪(fǎng)問(wèn)Thingiverse用戶(hù)的賬戶(hù)信息。MakerBot在此次事件中沒(méi)有公開(kāi)提及有關(guān)打印機的令牌泄露，但已對相關(guān)令牌進(jìn)行作廢處理。面對這起泄露事件，MakerBot曾聲明，只有不到500名用戶(hù)受到數據泄露的影響，并強調泄露的只包括主要用于測試數據的非生產(chǎn)、非敏感數據。它還堅持已通知受影響的用戶(hù)。

目前絕大部分的數據泄露風(fēng)險都來(lái)自企業(yè)內部，其中郵件外發(fā)和互聯(lián)網(wǎng)上傳是兩個(gè)最方便的數據外傳手段，也是泄露事件發(fā)生概率最高的兩個(gè)渠道。由于數據大多存儲在網(wǎng)絡(luò )空間的服務(wù)器上，本來(lái)就容易成為不法分子攻擊、竊取的目標。而一些公司企業(yè)自身對于數據防護意識不高，防護手段不足，遇到工作人員操作失誤或者網(wǎng)絡(luò )攻擊就容易泄露數據信息。

網(wǎng)絡(luò )安全市場(chǎng)規模超500億 人才需求全面爆發(fā)

近期，隨著(zhù)2021年國家網(wǎng)絡(luò )安全宣傳周活動(dòng)在全國各地開(kāi)展，網(wǎng)絡(luò )安全話(huà)題備受關(guān)注。根據最新發(fā)布的《2021年中國網(wǎng)絡(luò )安全產(chǎn)業(yè)分析報告》，2019年我國網(wǎng)絡(luò )安全市場(chǎng)規模已經(jīng)達到478億元，同比增長(cháng)21.5%;2020年，我國網(wǎng)絡(luò )安全市場(chǎng)規模再度漲到532億元，雖然受疫情影響增速有所放緩，但增長(cháng)率仍然達到了兩位數。

目前我國每年網(wǎng)絡(luò )安全相關(guān)專(zhuān)業(yè)畢業(yè)生只有2萬(wàn)多人，而行業(yè)的缺口已經(jīng)高達50萬(wàn)至100萬(wàn)人，網(wǎng)絡(luò )安全行業(yè)人才供需矛盾正急劇凸顯，實(shí)戰型、實(shí)用型等人才非常急缺。與此同時(shí)，根據工信部近日發(fā)布的《網(wǎng)絡(luò )安全產(chǎn)業(yè)人才發(fā)展報告》，網(wǎng)絡(luò )安全產(chǎn)業(yè)人才需求還在高速增長(cháng)，2021年上半年，行業(yè)人才需求總量已經(jīng)較去年同期增長(cháng)了39.87%，不少企業(yè)為了招到人才不惜付出高薪，2021年領(lǐng)域內平均招聘薪酬已達到22387元/月，人才供需的數量失衡可見(jiàn)一斑。當然，失衡不僅在數量上，還在地域上。

如今網(wǎng)絡(luò )安全已經(jīng)成為我們不容忽視的一大產(chǎn)業(yè)，其既是保護個(gè)人數據隱私的必要手段，也是維護國家安全和推動(dòng)經(jīng)濟發(fā)展的必由之路。只要解決好了人才方面的問(wèn)題，再把握住政策、資本所帶來(lái)的各方機遇與福利，網(wǎng)絡(luò )安全產(chǎn)業(yè)才能迎來(lái)令人滿(mǎn)意的發(fā)展。行百米者半九十，如今我國網(wǎng)絡(luò )安全發(fā)展正值關(guān)鍵，需全力以赴!

全球頂尖極客匯聚GeekPwn 2021 解構智能生活安全威脅

云計算、5G、AI等前沿技術(shù)發(fā)展，加速了產(chǎn)業(yè)數字化的步伐，但同時(shí)也帶來(lái)了新的安全隱患。關(guān)注前沿技術(shù)的應用安全，是GeekPwn一直以來(lái)的傳統。在今年的舞臺上，極客們以AI對抗AI，上演了精彩的安全攻防。

“未知攻，焉知防”，網(wǎng)絡(luò )安全的本質(zhì)是攻防兩端能力的對抗。極客們積極探索前沿技術(shù)，并將其應用到安全實(shí)踐中，用新技術(shù)來(lái)解決新的安全問(wèn)題。

網(wǎng)聯(lián)汽車(chē)、機器人、醫療器械等等智能硬件，正在改變人們的生活方式。GeekPwn在關(guān)注前沿技術(shù)安全的同時(shí)，也關(guān)注智能生活中的安全風(fēng)險。

醫療領(lǐng)域，野生極客曾穎濤帶來(lái)了一項通過(guò)控制胰島素泵來(lái)突破其原有注射設置的挑戰。選手通過(guò)藍牙侵入胰島素泵的控制器，修改了原有的注射設置，用幾秒鐘就將加大注射劑量的胰島素全部推出，這種情況如果發(fā)生在現實(shí)中，將對病人的生命造成嚴重威脅。

智能生活是全球創(chuàng )新熱點(diǎn)和未來(lái)產(chǎn)業(yè)發(fā)展制高點(diǎn)，更是人們未來(lái)生活的一部分。作為智能生活發(fā)展的基石，信息安全保障與智能化應用同步部署必要性日益凸顯，便利、安全的兼顧還需共同持續努力。我們需要準確把握技術(shù)和產(chǎn)業(yè)發(fā)展趨勢，不斷規范不同領(lǐng)域人工智能安全應用，進(jìn)而避免盲目追求人工智能技術(shù)的應用，而忽視了智能技術(shù)造福于人的本質(zhì)目標。

對某單位遭受投遞FormBook竊密木馬的分析報告

自今年7月以來(lái)，安天CERT監測到多起廣撒網(wǎng)式投遞竊密木馬的釣魚(yú)郵件活動(dòng)，誘導目標執行附件中的FormBook竊密木馬，實(shí)施竊密活動(dòng)。其中捕獲到一封對某單位投遞的釣魚(yú)郵件。FormBook是一種非?；钴S的商業(yè)竊密木馬，自2016年開(kāi)始在黑客論壇上以“惡意軟件即服務(wù)”形式出售，版本不斷迭代更新，目前發(fā)現的最新版本為4.1，本次監測到的為3.2版本。

FormBook主要被用于竊取目標個(gè)人信息，該竊密木馬能夠自動(dòng)收集目標系統中瀏覽器、郵箱客戶(hù)端、即時(shí)通訊客戶(hù)端和FTP客戶(hù)端中的敏感信息，具備鍵盤(pán)記錄和屏幕獲取功能。同時(shí)它具有遠程控制能力，具體包括更新、下發(fā)惡意軟件、命令執行、數據回傳等功能，實(shí)現對目標系統進(jìn)行長(cháng)期駐留控制。此次發(fā)現的FormBook變種采用C#編寫(xiě)的加載器進(jìn)行加載，核心功能運行前具有多層解密執行和進(jìn)程注入操作，同時(shí)針對虛擬機和沙箱環(huán)境進(jìn)行檢測，使用數十個(gè)C2服務(wù)器作為備選，具備一定的對抗檢測、對抗分析和反溯源能力。

商業(yè)竊密木馬異?；钴S，早已經(jīng)形成了成熟的黑色產(chǎn)業(yè)鏈。在技術(shù)方面，商業(yè)化竊密木馬在反沙箱、反虛擬機的對抗檢測以及反溯源上為使用者做足了對抗技術(shù)；在運營(yíng)方面，采用了“惡意軟件即服務(wù)” 的運營(yíng)模式；在木馬管理方面，為購買(mǎi)者提供了易于操作的后臺管理接口。通過(guò)以上服務(wù)手段，極大降低攻擊者的技術(shù)門(mén)檻，造成竊密木馬泛濫的局面。

淺談云上攻防——CVE-2020-8562漏洞為k8s帶來(lái)的安全挑戰

2021年4月，Kubernetes社區披露了一個(gè)編號為CVE-2020-8562的安全漏洞，授權用戶(hù)可以通過(guò)此漏洞訪(fǎng)問(wèn) Kubernetes 控制組件上的私有網(wǎng)絡(luò )。在完成校驗并通過(guò)校驗之后，Kubernetes立即進(jìn)行第二次域名解析，此次域名解析后并不再進(jìn)行IP地址的校驗，這將導致上述校驗存在繞過(guò)問(wèn)題，如果一個(gè)DNS服務(wù)器不斷返回不同的非緩存解析請求，攻擊者可以利用此方式繞過(guò)Kubernetes的API Server Proxy IP地址限制，并訪(fǎng)問(wèn)內網(wǎng)ControlPlane管控組件。

通過(guò)查閱此漏洞披露報告可發(fā)現，這個(gè)漏洞擁有較低的CVSS v3評分，其分值僅有2.2分，與以往披露的Kubernetes高危漏洞相比，這個(gè)擁有較低評分的漏洞極其容易被安全研究人員以及運維人員所忽視。但經(jīng)過(guò)研發(fā)測試發(fā)現，在實(shí)際情況中，這個(gè)低風(fēng)險的漏洞卻擁有著(zhù)不同于其風(fēng)險等級的威脅：在與云上業(yè)務(wù)結合后，CVE-2020-8562漏洞將會(huì )為云廠(chǎng)商帶來(lái)不可忽視的安全挑戰。

在安全研究以及運維中，一些低風(fēng)險的集群漏洞極其容易被安全以及運維人員所忽略，但是這些漏洞在一些特定場(chǎng)景中仍為云上安全帶來(lái)了極大的安全挑戰，正如本文中所舉例的CVE-2020-8562安全漏洞，這個(gè)僅有2.2評分的Kubernetes安全漏洞，在與實(shí)際業(yè)務(wù)結合后，仍可為業(yè)務(wù)帶來(lái)極大的安全風(fēng)險。因此與云上安全相關(guān)的漏洞，無(wú)論嚴重與否，都應得到安全人員以及運維人員的相應重視。

網(wǎng)絡(luò )釣魚(yú)工具包的新趨勢：模塊化

近日，微軟在分析最近一次網(wǎng)絡(luò )釣魚(yú)攻擊事件中發(fā)現，犯罪分子使用了名為T(mén)odayZoo的新型工具包，該工具包沒(méi)有任何自己開(kāi)發(fā)的功能，而是剪裁和整合其他惡意軟件拼湊而成。TodayZoo工具包大量使用了另一個(gè)工具包DanceVida的代碼，而其他組件與至少五個(gè)網(wǎng)絡(luò )釣魚(yú)工具包的代碼顯著(zhù)匹配。

通由于其相關(guān)活動(dòng)的重定向模式、域名和其他技術(shù)、策略和程序(TTP)的一致性，我們認為攻擊者‘定制’了舊的網(wǎng)絡(luò )釣魚(yú)工具包模板，修改了憑據收集功能，加入了自己的滲漏邏輯，使TodayZoo僅用于其邪惡目的?！蔽④涍M(jìn)一步分析指出，“網(wǎng)絡(luò )釣魚(yú)工具包，類(lèi)似于惡意軟件，將會(huì )變得越來(lái)越模塊化?！?/p>

除模塊化外，網(wǎng)絡(luò )釣魚(yú)的主戰場(chǎng)也在從電子郵件向移動(dòng)設備轉移。根據蘋(píng)果電腦和設備企業(yè)管理工具供應商Jamf發(fā)布的一份報告，大多數成功的攻擊都是針對移動(dòng)用戶(hù)，很少來(lái)自電子郵件客戶(hù)端。

商業(yè)網(wǎng)絡(luò )釣魚(yú)攻擊的傳播已經(jīng)遠遠超出了提供‘無(wú)人認領(lǐng)的彩票獎金’的措辭拙劣的電子郵件。它們不僅更加個(gè)性化、更具說(shuō)服力，而且比以往任何時(shí)候都可以接觸到更多地方的用戶(hù)，并且越來(lái)越超越消費者，瞄準業(yè)務(wù)憑證和數據。企業(yè)應該考慮采用多因素身份驗證并加強其郵件服務(wù)器的配置，以使網(wǎng)絡(luò )釣魚(yú)攻擊更加困難。