Backdoor in XZ Utils That Almost Happened
上周,互联网躲过了一次重大的国家攻击,该攻击可能会对全球网络安全造成灾难性影响。这场灾难并没有发生,因此不会引起太多关注——但它应该引起关注。这次攻击及其发现的故事有一个重要的寓意:全球互联网的安全依赖于无数晦涩难懂的软件,这些软件是由更加晦涩难懂的无偿、注意力不集中且有时易受攻击的志愿者编写和维护的。这是一个无法维持的局面,而且被恶意行为者利用。然而,几乎没有采取任何措施来补救……
上周,网络安全界真的很幸运。开源压缩实用程序 XZ Utils 中故意放置的后门几乎是被一名微软工程师意外发现的——几周前,它本来会被整合到 Debian 和 Red Hat Linux 中。来自 ArsTehnica:添加到 XZ Utils 版本 5.6.0 和 5.6.1 的恶意代码修改了软件的运行方式。后门操纵了 sshd,即用于建立远程 SSH 连接的可执行文件。任何拥有预定加密密钥的人都可以将他们选择的任何代码存储在 SSH 登录证书中,上传并在后门设备上执行。没有人真正看到上传的代码,因此不知道攻击者计划运行什么代码。理论上,该代码可以允许几乎任何事情,包括窃取加密密钥或安装恶意
研究人员演示了一种通过提示注入传播的蠕虫。详情:在一个案例中,研究人员扮演攻击者,写了一封包含对抗性文本提示的电子邮件,该提示使用检索增强生成 (RAG)“毒害”电子邮件助手的数据库,这是 LLM 从系统外部提取额外数据的一种方式。Nassi 表示,当 RAG 响应用户查询检索电子邮件并将其发送到 GPT-4 或 Gemini Pro 以创建答案时,它会“越狱 GenAI 服务”并最终窃取电子邮件中的数据。 Nassi 表示:“生成的响应包含敏感用户数据,当它用于回复发送给新客户的电子邮件并存储在新客户的数据库中时,它会感染新主机。”
这是一个旧的恶意软件 - Chameleon Android 银行木马 - 现在禁用生物特征认证以窃取 PIN:第二个值得注意的新功能是能够中断设备上的生物特征操作,例如指纹和面部解锁,通过使用辅助功能服务强制回退到 PIN 或密码认证。恶意软件会捕获受害者输入的任何用于解锁设备的 PIN 和密码,然后可以使用它们随意解锁设备以执行隐藏的恶意活动......
一种通过 USB 盘传播的新蠕虫正在感染乌克兰及其他地区的计算机。该组织有许多名称,包括 Gamaredon、Primitive Bear、ACTINIUM、Armageddon 和 Shuckworm,自 2014 年以来一直活跃,乌克兰安全局将其归咎于俄罗斯联邦安全局。大多数克里姆林宫支持的组织都竭力躲避监视;Gamaredon 则不屑一顾。其针对大量乌克兰组织的间谍活动很容易被发现,并与俄罗斯政府联系起来。这些活动通常围绕恶意软件展开,旨在从目标那里获取尽可能多的信息……
Security Vulnerability of Switzerland’s E-Voting System
在线投票不安全,就是这样。但这并不能阻止组织和政府使用它。(对于低风险的选举,它可能没问题。)瑞士(而不是低风险的)在全国选举中使用在线投票。 Andrew Appel 解释了为什么这是一个坏主意:去年,我发表了一个关于瑞士电子投票系统的 5 部分系列文章。与任何互联网投票系统一样,它存在固有的安全漏洞:如果有恶意内部人员,他们可以破坏投票计数;如果数千名选民的计算机被恶意软件入侵,恶意软件可以在传输选票时更改选票。瑞士通过正式宣布他们不会在网络安全评估中考虑该威胁模型,从而“解决”了印刷办公室中恶意内部人员的问题……
