每日安全简讯(20161119)

1、美国国土安全部发布保障物联网安全战略原则
2、安全团队发布DDoS攻击地下产业链调研报告
3、调查发现iCloud启用后手机将会上传通话数据
4、招聘网站GeekedIn泄漏800万GitHub用户信息
5、英国运营商Three数据泄漏影响数百万个人数据
6、文件共享站Mega.nz被黑，源码及机密文件泄漏

【安天】搜集整理（来源：easyaq、ArkTeam、techdirt、oschina、securityaffairs、360）

1、美国国土安全部发布保障物联网安全战略原则
{CHN}
标题：美国断网事件26天后 DHS发布《保障物联网安全战略原则》

作者信息：2016-11-18 14:30 By E安全

//BEGIN
E安全11月18日讯 在本周二发布的“保障物联网安全的战略原则 v1.0”中，美国国土安全部（DHS）表示，物联网制造商必须在产品设计阶段构建安全，否则可能会被起诉。

//END
战略原则总结到，“美国无法承担不安全物联网设备带来的影响。考虑到对关键基础设施、个人隐私和经济的潜在损害，后果不堪重负”。

//下载： 物联网简介.pdf (258 KB, 下载次数: 52)

2016-11-19 17:57 上传

点击文件名下载附件

文件名：物联网简介.pdf
文件大小：264，197 bytes
MD5     : 3739F2968ABE0DB20F678FF16E6BF9C9

下载： 保障物联网安全战略原则v10.pdf (960.68 KB, 下载次数: 48)

2016-11-19 17:58 上传

点击文件名下载附件

文件名：保障物联网安全战略原则v10.pdf
文件大小：983，734 bytes
MD5     : A9560D6367B082BDF828B6FE8CF7AEBA

点评：又见Mirai（未来）.....

2、安全团队发布DDoS攻击地下产业链调研报告
{CHN}
标题：DDoS黑产调研

作者信息：2016-11-18 By ArkTeam

//BEGIN
前不久发生的规模空前的网络攻击事件——诸多大型网站包括Twitter、GitHub、PayPal、Tumblr、Pinterest、索尼PS网络、华尔街日报等等全都无法登陆，美国大半个互联网瘫痪，起因正是DNS服务提供商Dyn遭遇黑客大规模DDoS攻击，导致大量网站的DNS查询得不到响应，这也使得DDoS攻击再次成为热议的焦点。
基于此，本文对DDoS攻击黑客地下产业链展开了调查研究，从DDoS攻击目的，攻击的目标类型以及攻击造成的危害切入，进一步调查DDoS攻击地下产业链的交易渠道、攻击资源的获取以及黑产盈利方式等具体细节。

//END
本文对DDoS攻击进行研究，从中可以看出现在的DDoS攻击是协奏、分布更为广泛的大规模攻击阵势，破坏能力也是空前的，这使我们更深刻地认识到仅仅依靠某种系统或硬防服务器来防御 DDoS攻击是不够的，应当把防御DDoS做成一个系统工程，全面考虑并作出部署，才能起到有效的防御作用。

//下载： 2016DDOS黑产调研报告.pdf (426.64 KB, 下载次数: 58)

2016-11-19 17:59 上传

点击文件名下载附件

文件名：2016DDOS黑产调研报告.pdf
文件大小：436，877 bytes
MD5     : 5386D95A9A1FD146CEFE8CDA072C243E

点评：Mirai（未来）相关.

3、调查发现iCloud启用后手机将会上传通话数据
标题：Apple Uploading Call Data, Including From Third-Party Call Apps, To Users' iCloud Accounts

作者信息：Thu, Nov 17th 2016 2:45pm  by Tim Cushing

//BEGIN
So much for encryption turning phones into inscrutable blocks of plastic, metal, and glass. The Intercept is reporting that Apple is doing some of law
enforcement's work for it, routing call records to users' iCloud storage.
见诸报端太多的关于苹果手机变砖的案例，有安全专家发现苹果公司正在为此“想对策”：将所有的用户通话记录上传到用户的云端iCloud存储。这是一个来自俄罗斯的数字取证公司的发现。而且这些上传动作是全自动的（不要用户动手），只要用户将iCloud选项打开即可。唯一让人不可理解的就是这是在用户并不知情或者明示的情况下进行，而且用户没得选。上传的记录信息包括：用户（含时间和日期）拨打和接听记录、电话号码以及通话时长，甚至还包括未接来电的类似信息。据悉这个策略已经执行了4个月，其目的是防止从运营商或者从用户本地都无法获取相关通话信息时，能通过这个云端的数据来获取用户的通话详情。
运营商方面：存储的信息不是永久的，过一段时间会删除；
个人方面：有很强的端点加密功能，这样也无法短时间很容易破解。
基于以上2点原因，苹果想到了这个YUN主意（当然应该是受到了监管部门的要求。）

//END
But it does drill another hole in the "going dark" theory. Tons of information from locked phones is being synced to cloud storage that manufacturers hold
the keys to. And, in the case of Apple, content from end-to-end encrypted iMessages could be no more than a warrant away from law enforcement's possession.
苹果用户的相关信息都同步到了云端，这把钥匙该公司手里也有一把。可想而知其安全性。另外就是号称端对端加密的iMessage只不过是为了适应监管部门的要求而已。

点评：为什么不能明示？不过好像是不大好意思说出来吧。

4、招聘网站GeekedIn泄漏800万GitHub用户信息
{CHN}
标题：告急！GitHub 800 万用户信息遭泄露

作者信息：2016年11月18日 By 开源资讯

//BEGIN
据国外一个科技博客发文透露，GitHub 的 800 万用户信息从 GeekedIn 的 MongoDB 泄露了。也许你的数据，我的数据，如果你是在软件行业，数以百万计的人的数据都已被泄露。

//END
图片中透露在 2016 年 8 月，技术招聘网站 GeekedIn 暴露了一个有 800 万条纪录的数据库，并且被不知名的第三方机构抓取。其中有公开的个人资料信息，包括超过 100 万个会员的电子邮件地址。

点评：好家伙，这800万条记录可能真有些价值。

5、英国运营商Three数据泄漏影响数百万个人数据
标题：Three Mobile cyber data breach, six million customers’ private data at risk

作者信息：November 18, 2016  By Pierluigi Paganini

//BEGIN
The UK carrier Three Mobile confirmed a major cyber security breach which could have exposed the personal data of millions of customers.
英国的一个名为THREE的移动运营商确认其数据库被黑客光顾，可能泄露其三分之二的客户的相关信息。黑客是通过一个合法的员工账户登录成功并窥探到这些信息的。这些信息中包括用户的姓名、电话、地址等，但是不包括用户的支付信息：比如信用卡号码、银行账户等。该公司的总客户数量大约900万。英国相关调查机构已经为此事拘捕了三人，其中2人是因为滥用计算机，另外一个是因为妨碍调查。

//END
The company suffered a significant impact, it lost 95,000 subscribers as a result of the attack, which cost it ￡60million.
THREE移动运营商损失惨重。丢掉了约10万用户同时经济损失高达6千万英镑。


点评：还好不是三大运营商。

6、文件共享站Mega.nz被黑，源码及机密文件泄漏
{CHN}
标题：【国际资讯】Mega.nz被黑！源码和管理员登录凭证泄漏

作者信息：2016-11-18 16:44:35 By WisFree

//BEGIN
根据国外媒体的最新报道，有一个黑客组织声称他们已经获取到了文件共享网站Mega.nz的源代码以及该网站的管理员登录凭证（账号+密码）。
据了解，这个黑客组织名为“Amn3s1a Team”。该组织通过电子邮件表示，除了Mega.nz的源代码和管理员凭证之外，他们还利用了一个提权漏洞成功地从该公司服务器中获取到了大量的内部机密文件。

//END
Mega.nz成立于2012年，公司总部设在新西兰，该网站现在已经成为了数百万互联网用户的“盗版天堂”。今年年初，这个文件共享网站还经历了一次“恶意收购”。据报道，目前该公司绝大多数的股份由新西兰政府持有。
该黑客组织还对外声称，他们手中还有大量的数据没有公布，他们会在之后陆续曝光这些数据，不过他们并没有说明公布的时间。该组织表示：“我们一点都不着急。”

点评：前有800万条记录，这里又现800 MB的源代码文件泄露!