每日安全简讯(20170103)

1、美国称“俄制”恶意软件曝光要求多州自查
2、华盛顿邮报称俄入侵美国电厂报告说法有误
3、部分DNS查询服务因今年闰秒出现报错现象
4、行李标签代码可泄漏旅客航班和身份信息
5、研究者公开iMessage字符崩溃Bug测试方法
6、比特币硬件钱包KeepKey被黑客攻击和勒索

【安天】搜集整理（来源：cnbeta、ibtimes、easyaq、cnbeta、freebuf、securityweek）

1、美国称“俄制”恶意软件曝光要求多州自查
{CHN}
标题：美称“俄制”恶意软件曝光 数个州要求自查网络安全

作者信息：2017-01-02 09:47:10  By 新华网

//BEGIN
一家运营美国佛蒙特州电力系统的机构去年12月30日说，他们在一台笔记本电脑内发现了恶意软件，并且将这一软件关联所谓俄罗斯涉嫌通过网络袭击干预美国总统选举的“黑客门”。这件事曝光后，美国多个州政府12月31日要求专家重新检查州政府和供电系统的网络安全。俄方先前多次否认牵扯“黑客门”。俄罗斯国家电视台在报道所谓恶意软件消息时对美方说法发出质疑。
隔离“染病”电脑
美国总统贝拉克·奥巴马去年12月29日以俄罗斯涉嫌通过网络袭击干预美国总统选举为由宣布对俄制裁。同一天，美国国土安全部要求各州供电系统自查网络空间，并提示了一款“黑客门”中用到的恶意软件。

//END
他[备注：这里指当选总统特朗普]还说，美国情报界曾经得出结论称伊拉克前总统萨达姆·侯赛因有大规模杀伤性武器，结果证实是个错误。
特朗普说：“我也对网络袭击了解不少，清楚网络袭击非常难以找到证据，因此（通过网络袭击干预美国总统选举的事）也可能是别人所为。”
他还不忘卖关子，称自己“还知道一些别人不知情的事”，因此情报官员或许不能现在就下定论。当被问及是什么样的事时，特朗普回答：“大家下周二、三（3日、4日）就会知道。”

点评：必须找一个借口才能引起引起读者的兴趣：年前是大选、年后是电力。以后还会高潮不断......

2、华盛顿邮报称俄入侵美国电厂报告说法有误
标题：Russian hacking of US electricity grid turns out to be a fake news report
The Washington Post, which published the report, has issued a note saying their key claim in the story was false.
作者信息：January 2, 2017 05:58 GMT By Agamoni Ghosh

//BEGIN
A news report last week had claimed that Russia-based hackers had successfully penetrated the US electricity grid through a facility in Vermont. But, such a thing never really happened as the alleged malware code that was thought to be injected into the grid system was only present on a single laptop that has no connection to the grid.
The report published by the Washington Post has been discarded as being misleading and false and the company has issued a note saying their key claim in the story was false.
楼上的新闻被本条消息辟谣了：美国华盛顿邮报的资深专栏作家撰文称上周（也就是去年年底）所谓俄罗斯黑客攻击美国一家电力工厂的说法纯粹莫须有。一则是所谓感染的电脑系统其实只是一台笔记本，而且这台笔记本与电力网络系统并不直接联系；二则说这个恶意代码攻击来源与俄罗斯也缺乏足够的证据支撑。三则：其实并未发生所谓的攻击事件。由于这些关键证据链的缺失，因此该报道不实，有误导的倾向。

//END
"It matters even more because it reflects the deeply irrational and ever-spiraling fever that is being cultivated in US political discourse and culture about the threat posed by Moscow," says Greenwald in a report by the Intercept.
该资深专家称，虽然这个事情可以澄清，但是根深于美国政客之中的对莫斯科的厌恶已然是一个文化现象，美政治家们倾向性的会认为：只要有攻击或者破坏性事件发生，往往会往俄罗斯找原因，而不愿意自己好好检查一下自己。

点评：一方说有（证据确凿），一方说无（莫须有），吃瓜的我们该信谁？

3、部分DNS查询服务因今年闰秒出现报错现象
{CHN}
标题：部分DNS查询因今年闰秒出现报错现象

作者信息：2017-01-02 08:05 By cnBeta

//BEGIN
2016年12月31日增加了一闰秒，31日11点59分59秒之后不是2017年，而是59分60秒。增加闰秒在过去几年发生过多次，主要互联网公司都对此已有经验。但云计算公司Cloudflare报告，它的DNS查询服务由于闰秒bug而导致了5xx错误。

//END
Cloudflare称，闰秒bug影响了部分权威DNS和原点DNS查询。问题从2017月1月1日00:00 UTC开始出现，Cloudflare在一个半小时后开始部署补丁。

点评：2017年一开始就赚了一秒！

4、行李标签代码可泄漏旅客航班和身份信息
{CHN}
标题：黑客可通过行李标签代码轻松“解锁”旅客的航班和身份信息

作者信息：2017-01-02 11:21:20 By cnBeta

//BEGIN
订机票是一件很简单的事情，但你的权益保障仍取决于黑客是否要来捣乱。德国“安全研究实验室”的 Karstein Nohl 和 Nemanja Nikodejevic 指出，旅客订票系统多年来一直未得到足够的保护。实际上，全球三大处理航班预定服务的“全球分布式系统”（GDS），可通过多个方面被别有用心的人所滥用。
始建于 70-80 年代的 Amadeus、Sabre、Travelport 三套系统，承担了全球超过 90% 的航班订票任务。但它们只是结合了更多的现代 Web 基础设施，而不是被全套替换，意味着系统的身份验证机制相当脆弱。

//END
想要解决这个问题，唯有提升系统的安全性，但方法其实非常简单。研究人员的建议是，在线服务应该限制每个 IP 访问旅客记录的次数，并且通过 Captchas 图形验证码来断绝暴力穷举攻击。
当然，直接替换掉传统的 6 位数字 ID 也是个好方法，只是实现需要的时间更长。

点评：看来常坐飞机的人信息早已泄露了，只是不知道高铁票上的二维码能否轻易泄露。

5、研究者公开iMessage字符崩溃Bug测试方法
{CHN}
标题：iOS 10 iMessage字符崩溃Bug又来了

作者信息：2017-01-02 By yfgeek

//BEGIN
近日，黑客@vincedes3发现了一个从iOS 8 到 iOS 10.2.1 b2通用的iMessage字符崩溃Bug，该Bug同样利用了和当年iOS 8的iMessage短信Bug的类似手法，将一段恶意代码发送给受害者，受害者在接收短信后，浏览短信即可中招，此后短信应用陷入死机状态，除非打开修复网页程序，否则再也无法打开短信应用。

//END
1. 把这个链接发给受害者手机 点我修复
2. 该链接会触发短信的快捷链接，点击打开
3. 进入发送短信也卖弄[备注：原文如此]
4. 点击取消
5. 删掉发送者的短信即可解决bug，请勿再次尝试点入

点评：爱疯一族要注意啦。

6、比特币硬件钱包KeepKey被黑客攻击和勒索
标题：Hardware Bitcoin Wallet KeepKey Informs Users of Breach

作者信息：January 02, 2017 By Eduard Kovacs

//BEGIN
KeepKey, a hardware wallet designed for the secure storage of bitcoin and other virtual currency, informed users on Saturday that the company’s systems had been targeted by a hacker on Christmas Day.
比特币硬件生产厂家KeepKey上周六发布消息称，其供应链系统（具体是指经销商的物流系统）在圣诞节当日遭到攻击，部分信息泄露：用户的物理邮寄地址、电子邮件地址以及电话号码等。但是与资金相关的并未泄露。

//END
Following the incident, KeepKey says it plans on changing its data retention policy and it has taken steps to ensure that business emails are no longer linked to third-party accounts that could contain sensitive information.
尽管可能没有资金被盗，但是比特币硬件生产厂家KeepKey还是决定调整其数据留存政策：如果不留存，黑客就无东西可偷了。具体的策略是其商业邮件不再指向任何第三方账号，而这些账号可能含有一些敏感信息。

备注:KeepKey的官方申明：https://www.keepkey.com/2016/12/31/message-founder-email-breach/
讲述了圣诞节当日KeepKey发生的事件的经过，以及应对历程和处理措施。有3个30这个数字（2个是指比特币数，1个指的是天数）值得提一提：这既是黑客索要的比特币的数量，同时这个数字还是该厂家悬赏的金额：所有提供必要信息导致最后勒索者被找到的人员可以获得这个数字的比特币奖励！赞一下该厂的立场:KeepKey厂家表示坚决不向勒索者低头，更不会支付这个数字的比特币赎金。并给用户延长30天（第三个30）的退款时间。
真可谓针尖对麦芒。


点评：围绕比特币的战斗会持续下去。