回顧本周安全要聞，分析了全球許多APT攻擊行動的卡巴斯基實驗室被APT攻擊長達(dá)數(shù)月未察覺;新興Tor地下黑市–TheRealDeal團隊被黑客組織blackmailer攻擊;阿里巴巴集團宣布收購國內(nèi)安全公司翰海源;GitHub舊漏洞導(dǎo)致弱密鑰大量留存……

據(jù)悉，卡巴斯基實驗室被APT攻擊長達(dá)數(shù)月未察覺。在檢測高級持續(xù)性攻擊(APT)新技術(shù)時，卡巴斯基實驗室無意中發(fā)現(xiàn)了Duqu2.0的入侵行為，專家確定Duqu2.0應(yīng)該已經(jīng)在公司的網(wǎng)絡(luò)中潛伏數(shù)月了，同時表示卡巴斯基的用戶或合作伙伴的信息沒有收到威脅。此次攻擊應(yīng)該是以釣魚攻擊(罪惡的源頭)開始的，攻擊者先從亞太地區(qū)一小公司職員入手的，通過釣魚攻擊層層地入侵，直至入侵卡巴斯基實驗室的內(nèi)網(wǎng)。

打臉事件：卡巴斯基遭APT攻擊長達(dá)數(shù)月未察覺

新興Tor地下黑市–TheRealDeal團隊是一個專營銷售0day漏洞的團伙。由于商品0day漏洞的熱賣，TheRealDeal很快獲得了較高的人氣，這自然引來了其他一些黑客集團的眼紅。黑客組織blackmailer發(fā)起了一個代號為ddosforsale的行動，通過使用DDoS攻擊TheRealDeal來勒索比特幣。

揭秘：刀光劍影下的暗網(wǎng)地下黑市

在七年前開發(fā)人員發(fā)現(xiàn)GitHub存在一個災(zāi)難性的漏洞之后，GitHub已經(jīng)關(guān)閉了數(shù)量不明的通過密鑰訪問的賬戶。七年后，Debian社區(qū)的朋友們修復(fù)了bug并且提醒用戶取消舊的密鑰而重新生成一個。倫敦的開發(fā)人員Ben Cartwright-cox說，他發(fā)現(xiàn)了這一漏洞仍然存在于海量密鑰中，而這些密鑰因位數(shù)不足比較容易被人攻擊利用。

GitHub賬戶被黑：舊漏洞導(dǎo)致弱密鑰大量留存

6月11日，阿里巴巴集團宣布收購國內(nèi)安全公司翰海源，翰海源將整體加入到阿里巴巴安全部，借助阿里云計算和集團大數(shù)據(jù)的資源繼續(xù)研究安全技術(shù)，應(yīng)對包括APT攻擊(高級持續(xù)性威脅攻擊)在內(nèi)的下一代安全威脅的挑戰(zhàn)。

阿里巴巴并購安全公司翰海源

你知道嗎?你已經(jīng)處在監(jiān)控之中，你的背后是老大哥的眼睛。你的數(shù)據(jù)可能被出賣，你的信息可能被盜用，你可能會為莫名其妙的騷擾電話而感到困擾，還有對你了如指掌的人對你進行詐騙。你的數(shù)據(jù)比你想象的更寶貴。

老大哥在看著你：監(jiān)視你的六種方法

技術(shù)解析：

現(xiàn)在互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、車聯(lián)網(wǎng)……越來越多生活中的必須都已經(jīng)聯(lián)網(wǎng)了，但是我們的信息安全可能還沒有做好準(zhǔn)備，這一篇文章主要分析時至今日，再次篡改一下電視節(jié)目是多么簡單的事情。

技術(shù)分析：溫州數(shù)字電視是如何被黑的?

縱深防御這個在安全行業(yè)被用的很爛的詞，乙方的顧問寫方案時信手捏來，大家的理解可能并不一致。安全建設(shè)是反入侵視角，針對攻擊活動中的每一步“埋點”，埋點的寓意在于我假設(shè)攻擊者到了這一步，我要阻止他進入下一步或者不能帶著完全的火力進入下一步還能全身而退。

淺析大規(guī)模生產(chǎn)網(wǎng)絡(luò)的縱深防御架構(gòu)

工具：

我們已經(jīng)聽過了很多關(guān)于物聯(lián)網(wǎng)的說法，在物聯(lián)網(wǎng)中，各種物理設(shè)備也會深度接入互聯(lián)網(wǎng)。不過，在這些設(shè)備接入互聯(lián)網(wǎng)的同時，它們之間也會互相建立基于不同廣播頻率的深度連接。這些無線廣播頻率(RF)通常使用專有或不安全的協(xié)議，而進行入侵往往不需要攔截信號，阻止信號的傳播即可。

無線廣播可以毀滅物聯(lián)網(wǎng)安全：信號干擾器及犯罪

安全研究人員將一款電動玩具打造為“開鎖神器”，可在幾秒內(nèi)打開幾乎任何有固定密碼的車庫門。雖然目前這個電動玩具已不再公開售賣，但你依然可從eBay上花12美元到100多美元淘到。

電動玩具變身“開鎖神器” 10秒內(nèi)開車庫門(附視頻)

其他：

史上嚴(yán)重的十次黑客襲擊 你知道哪些?

抽絲剝繭：分析黑客入侵飛機的真實性

思科全網(wǎng)內(nèi)嵌安全功能又要動誰的奶酪?

身份識別的明日之星——“腦紋”