每日安全简讯(20160901)

1、超百万IoT设备受恶意代码感染形成僵尸网络
2、BitLocker增强工具包含可用于后门的漏洞
3、国内CA机构错误颁发GitHub域名SSL证书
4、攻击者利用恶意代理窥探HTTPS加密流量
5、Dropbox泄露事件影响用户数量超过6千万
6、MinecraftWorldMap网站泄露7万用户账号

【安天CERT】搜集整理（来源：softpedia、securityweek、freebuf、computerworld、softpedia、securityaffairs）

2016年8月【安天每日安全简讯来源统计】：
统计时间段和范围：2016年8月1日到8月31日，每日6条新闻，一共186条。
这186条新闻的来源是62家（上月58家）网站，并呈现出“长尾”现象（只采用1篇文章），一共是38家（上月是35家）。
采集简讯的来源前3名，新闻条数共88条，接近半数。
具体为：
softpedia 57条（上月46）差不多每天2条的量...
securityweek 21条（上月33）
freebuf 10 (挤进三甲）
前2名与上月一样，只是数量有所不同。

文件：安天201608每日简讯集.pdf
MD5：9866EF63E92A3CF99998B7669097BD64
大小： 508，879字节
下载： 安天201608每日简讯集.pdf (496.95 KB, 下载次数: 269)

2016-9-1 06:19 上传

点击文件名下载附件

[20160901]

1、超百万IoT设备受恶意代码感染形成僵尸网络
【提及厂家：ARBOR NETWORKS,LEVEL 3,FLASHPOINT,DAHUA,SUCURI】
物联网设备采用了裁剪的Linux系统，设备资源有限，不利于安全安全防护措施，因此只能是使用者自行注意安全、以及合理配置。

2、BitLocker增强工具包含可用于后门的漏洞
【发现厂家：SEC CONSULT】
漏洞有2个。

3、国内CA机构错误颁发GitHub域名SSL证书
[CHN]
原文：http://thehackernews.com/2016/08/github-ssl-certificate.html

4、攻击者利用恶意代理窥探HTTPS加密流量
关键词：Powershell,PAC,WPAD。

5、Dropbox泄露事件影响用户数量超过6千万
泄露的内容含邮件地址以及带hash的密码，而这些密码分别采用了2种不同的加密算法：一种是BCRYPT，另外一种是SHA1。


6、MinecraftWorldMap网站泄露7万用户账号
这个是个著名的游戏网站，据说可以通过https://haveibeenpwned.com/来查查自己的账号是否被泄露。
图

==========================================
点评1：就像正文中提到的，这个新闻与[20160629.1]纠缠
图


点评2：开发商与发现厂家的理解并不完全一致。

点评3：这个漏洞不补的话，岂不是黑客们都不用盗取了，直接想办法申请一个正式的？

点评4：与一个月前的[20160729.1]纠缠
图


点评5：与上月底[20160828.5]纠缠
图


点评6：

==========================================