每日安全简讯(20161223)

1、俄黑客组织利用安卓木马入侵乌克兰炮兵部队
2、黑客组织OurMine接管Netfix官方Twitter账户
3、安全厂商警告新型垃圾邮件活动hailstorm威胁
4、西门子Desigo PX和SIMATIC产品发现安全漏洞
5、欧盟报告声称植入加密后门或使情况更加糟糕
6、Facebook推出无需短信二步身份认证功能组件

【安天】搜集整理（来源：cnbeta、softpedia、securityweek、securityweek、techdirt、grahamcluley）

1、俄黑客组织利用安卓木马入侵乌克兰炮兵部队
{CHN}
标题：网曝俄黑客奇幻熊成功通过恶意安卓应用 入侵乌克兰炮兵部队

作者信息：2016-12-22 15:59:20 By cnBeta

//BEGIN
近日，信息安全公司CrowdStrike曝光了隶属于俄国黑客组织奇幻熊（Fancy Bear）的数名黑客，成功利用安卓恶意应用入侵了乌克兰炮兵部队的武器系统。报告称，2014-2016年间，恶意软件成功地被用于追踪如苏制D-30榴弹炮之类的单位。证据显示这些恶意软件将大量乌克兰火炮单位的位置信息等机密军事情报输送给俄军方，并被用于向东乌克兰亲俄势力提供支持。

//END
该黑客组织被认为与俄政府有密切关系，该组织成员利用感染有X-Agent控件的某个重要安卓应用，在乌克兰军事论坛中传播，成功地感染了数名在乌克兰炮兵部队工作的员工安卓手机。这个应用原本由乌炮军军官Yaroslav Sherstuk开发，能够将火炮瞄准时间从数分钟缩短至15秒内。奇幻熊黑客将恶意软件植入应用安装包，以“Попр-Д30.apk”文件名成功打入社区内部，约有9000台安卓设备感染了含有恶意软件的安卓应用。
在2年的军事冲突中，乌克兰炮兵部队损失了一半以上的武器，包括80%以上的苏制D-30榴弹炮被精确打击摧毁，被认为与该起黑客入侵活动密切相关。

点评：炮兵们中了水坑攻击，建议军事专家们好好研究一下对策。

2、黑客组织OurMine接管Netfix官方Twitter账户
标题：OurMine Hacks Netflix’s Twitter Account
Netflix now trying to get back control of the account
作者信息：Dec 21, 2016 13:45 GMT By Bogdan Popa

//BEGIN
Hackers who are part of the group called OurMine have managed to get control of the official Netflix Twitter account and post public messages to the nearly 2.5 million followers.
美国上市公司Netflix是一家在线影片租赁提供商，其公众账号最近被黑客OurMine控制，被以其官方口吻发布信息。其影响范围是其250万粉丝。

//END
For the moment, it’s better not to click on any links that the official Netflix account might post on Twitter, as the company is still trying to recover after the hack. More information on what happened will most likely be tweeted by Netflix later today.
到目前为止，并未发现被黑客植入恶意链接的情况，但是最终结果还待公布。

点评：“”大V“”怎么能不加倍小心！

3、安全厂商警告新型垃圾邮件活动hailstorm威胁
标题：Spam "Hailstorms" Deliver Variety of Threats

作者信息：December 21, 2016 By Ionut Arghire

//BEGIN
Spam campaigns have evolved from sending a low number of messages for long periods of time to sending a high volume of emails over a short time span, which improves delivery rates before protection mechanisms can be triggered, Cisco Talos researchers warn.
垃圾邮件的最新动向是以规模换取时间：传统的垃圾邮件的方式是在一个较长的时间内逐步发送垃圾邮件，现在进化到一下子短时间内就发送大量的垃圾邮件，具有突发的特性。而且这些邮件发送的来源于分布在世界各地不同地区的IP地址的邮件服务器，因此预防起来比传统的难度大得多。

//END
“As outlined in the examples, hailstorm comes in several flavors. We expect to see it evolve over time as anti-spam systems make it harder and harder for spammers to deliver their payload,” Cisco says.
防护措施也必须能适配这些新的模式，才能使得拦截垃圾邮件的效率和准确性提高。

点评：垃圾邮件相当于恶意代码的“渠道”。

4、西门子Desigo PX和SIMATIC产品发现安全漏洞
标题：Vulnerabilities Found in Siemens Desigo PX, SIMATIC Products

作者信息：December 21, 2016 By Eduard Kovacs

//BEGIN
Siemens has made available workarounds and patches that address medium and high severity vulnerabilities found in the company’s Desigo PX and SIMATIC automation products.
北京匡恩的2个技术人员分别发现了2个不同的西门子产品的工控漏洞并通报了厂家。漏洞级别有高危、也有中级的。厂家及时作出了修正。

//END
“The affected devices use a pseudo random number generator with insufficient entropy to generate certificates for HTTPS, potentially allowing remote attackers to reconstruct the corresponding private key,” Siemens said.
The issue affects various Desigo PX Web modules for automation controllers running firmware versions prior to 6.00.046.
这些受到影响的设备均采用了随机数发生器，但是提供给HTTPS认证的熵程度不够，这就导致可能被黑客远程构架相应的私钥，以进行控制。升级固件最新可以解决该问题。

点评：补快！

5、欧盟报告声称植入加密后门或使情况更加糟糕
标题：European Information Security Advisory Says Mandating Encryption Backdoors Will Just Make Everything Worse

作者信息： Wed, Dec 21st 2016 3:23am by Tim Cushing

//BEGIN
More and more entities involved in government work are coming out in support of encryption. (Unfortunately, many governments are still periodically entertaining backdoor legislation...) While recognizing the limits it places on law enforcement and surveillance agencies, they're not quite willing to sacrifice the security of everyone to make work easier for certain areas of the government.
欧盟最近专门发布了一个文章，论述了加密的问题。其实这是一个双刃剑：在正常的信息传送过程中，我们希望其加密非常强以至于难以破解。但是一旦遇到有网络犯罪这种场合时，我们又希望能无所不能破解，以找到犯罪真凶！有时为了达到这个目的，甚至连执法部门都会玩起后门的办法：在一些貌似严密的加密体系中，实则隐藏着隐秘的解密通道。但是这个方法也可能会被滥用，以致于最终还是普通大众和企业甚至政府自身的更大的利益受损！

//END
Ultimately, ENISA concludes that tech advancements do pose legitimate challenges to law enforcement/national security efforts, but backdoors are no way to solve the problem. But the solution it does suggest isn't much better. Here in the US, courts routinely defer to Congress when the remedy sought isn't within their power. Over in the EU, ENISA suggests legislative measures are the wrong approach.
最终，欧盟的结论是：技术的进步的确对执法部门或者国家的安全部门提出了挑战，但是添加故意的后门不是解决问题的办法！但也可能不会存在更好的解决方法了。美国的情况是，法院也可能会否决议会的提案，如果他们越权了的话。而在欧盟的情况是，该文章认为通过执法系统来处理这类问题也不是一个正确的途径。


//下载： 2016-12-12-ENISA opinion paper on encryption.pdf (848.18 KB, 下载次数: 32)

2016-12-23 23:42 上传

点击文件名下载附件

文件名：2016-12-12-ENISA opinion paper on encryption.pdf
文件大小：868，536 bytes
MD5     : A2D05FC4C543C026F79C058748496EB7

点评：利用后门不管在哪里都是不道德的，不管是执法部门使用还是某些黑客使用。

6、Facebook推出无需短信二步身份认证功能组件
标题：Instant Verification lets mobile users authenticate themselves without an SMS
But you do need to be running the Facebook app…

作者信息： December 22, 2016 10:11 am  By David Bisson

//BEGIN
Facebook has created a new feature called Instant Verification that is designed to help Android users login to online accounts and services without all the fuss of confirming their email address or dealing with a verification code sent by SMS.
快速认证Instant Verification是Facebook最近推出的一个组件，利用它用户可以快速的在Android手机上登录，而不用传统的需要2步。但是用户必须安装并运行该APP才可以。

//END
Developers should muse over that question carefully before they decide to build Instant Verification into their apps.
建议开发者多想想用户的实际使用场景，特别是从安全的角度评估一下，然后再决定是否更改这个登录策略。

点评：方便性和安全性有时是矛盾的，如何达到平衡是技术也是艺术。