维基解密:CIA连自己人都黑
维基解密今天发布了新的Vault 7系列文件:CIA的ExpressLane项目。
ExpressLane项目揭示了美国中情局如何对世界各地的合作情报机构(包括FBI,DHS和NSA)进行间谍活动,秘密收集其系统中的数据。
CIA向其他的合作情报机构提供了一种生物特征收集系统,帮助它们自愿将其系统上的生物特征数据相互分享。
但每个机构不可能把自己收集的数据全部都分享出来,所以CIA旗下的OTS(技术服务办公室)开发了一种工具,将合作情报机构系统中的数据全部秘密复制出来。
OTS系统的核心组件基于Cross Match的产品。
Cross Match是一家专门为执法部门和情报机构开发生物识别软件的美国公司。
据报道,2011年,美国军方在巴基斯坦暗杀行动中使用了Cross Match的产品来识别本·拉登。
Zerodium为消息通讯应用的零日漏洞开出50万美元
展开全文
漏洞收购平台Zerodium现在特别热衷于收购消息通讯应用的零日漏洞,它为iMessage,Telegram,WhatsApp,Signal,Facebook,Viber和WeChat的零日漏洞开出了50万美元的高价。
Zerodium的理念是专注于高风险漏洞,以在市场上获取高回报。
此外,Zerodium还提供了15万美元用于收购影响基带频率、媒体文件和文档的漏洞;
有关沙盒逃逸(sandbox escapes),代码签名破解(code signing bypass)和其他的手机漏洞信息也在该公司的收购列表上。
当然,关于苹果的漏洞报价还是最高的。
Zerodium正在为无需用户互动就可以远程破解iOS 10方法提供150万美元的悬赏。
即使是需要用户互动,例如点击恶意链接或文件,来实现远程破解iOS的,依然可以获得100万美元报酬。
希腊希望欧盟提升对其网络安全投资
希腊希望欧盟委员会下个月为位于雅典的欧盟网络和信息安全机构(ENISA)投入更多的资金,并提升ENISA在欧洲网络安全问题的主导作用。
希腊数字政策部秘书长Vassilis Maglaras在接受采访时表示:“我们希望ENISA在网络安全方面发挥更大的作用。
网络安全,对希腊经济来说很重要,但对于德国经济而言是十倍的重要。”
过去几年来,ENISA一直在推动增加预算,但是欧盟委员会迄今拒绝让该机构的预算飙升,现在该机构的预算为1100万欧元。
目前,欧盟各大网络安全机构竞争日益激烈,除了欧盟网络和信息安全机构(ENISA),还有欧盟航空机构EASA,国防机构EDA,空间机构ESA,网络安全漏洞的内部响应部门CERT-EU都在网络安全方面开展工作。
布鲁塞尔方面“不希望欧盟的网络安全力量分散”。
利用多个漏洞组合控制iOS内核
Zimperium的zLabs安全研究员Adam Donenfeld,今天在新加坡的Hack In Box大会上展示了利用AppleAVEDriver中的多个漏洞组合来启动一个“严重”ZIVA漏洞,最终实现对iOS内核的完全控制。
详情见:
https://www.darkreading.com/application-security/apple-ios-exploit-takes-complete-control-of-kernel/d/d-id/1329721?_mc=rss_x_drr_edt_aud_dr_x_x-rss-simple
四名俄罗斯人因为向CIA透露黑客情报被以叛国罪逮捕
据Rain TV透露,俄罗斯情报部门FSB雇员谢尔盖·米哈伊洛夫(Sergei Mikhailov),德米特里·多克霍耶夫(Dmitry Dokuchaev),与前雇员乔治·富孔敬夫(George Fomchenkov)和卡巴斯基实验室的工作人员Ruslan Stoyanov因叛国罪被俄罗斯相关部门逮捕。
他们涉嫌向美国CIA提供关于犯罪黑客的情报,包括信用卡黑客Roman Seleznev和LinkedIn黑客Yevgeniy Nikulin。
为测试亚马逊的“无限”云存储,一个用户上传了200万G的Porn
许多云存储公司将“无限容量”作为其宣传亮点。
但真正的“无限”是多大呢?
Reddit用户beaston02为了测试亚马逊“无限”的云存储,他往亚马逊的云账户里上传了200万G的Porn,视频时长约293年。
为了收集这些数据,beaston02写了一个脚本,自动收集来自CamSoda,Chaturbate和MyFreeCams等各种成人摄像机的公共网络摄像头的数据。
200万G的视频花了大概6个月。
最后beaston02觉得太无聊了,就停止了收集,并把相关的脚本提供到了Github。
有传言说亚马逊把beaston02的账户关掉了。
目前,亚马逊没有回应评论请求。
美国发布指控Marcus Hutchins的证据
Marcus Hutchins,英国安全研究专家,因为在今年早些时候阻止了WannaCry病毒的全球传播而受到大家的关注。
但在上个月到美国参加黑客大会之后被FBI逮捕。他被控开发和销售Kronos银行恶意软件,而这些恶意软件今天仍在流通中。
Hutchins否认了所有的不法行为。
在昨天威斯康星州法院的庭审中,FBI提交了“3-4个恶意软件样本”,以及150页的Hutchins和一个身份不明的人之间的Jabber聊天记录;
还有Hutchins在互联网论坛上350页的聊天记录。
Marcus Hutchins目前已经被保释,不过被限制只能在洛杉矶活动。
罗技因涉嫌出售有缺陷的安全摄像头被起诉
詹姆斯·安德森(James Anderson)在美国伊利诺伊州地方法院起诉罗技,指控罗技的“警戒系统”家用安全摄像头易于出现连接问题、硬件故障和软件错误,导致其不可靠,在某些情况下无法操作。
而罗技拒绝维修服务或更换设备。
据悉,罗技早于两年前就停止了有问题的警报系统的生产,但并没有告知客户,以便将其剩余产品售出。
罗技总部设在瑞士,在硅谷和中国设有办事处,并没有回应对诉讼的评论。
华盛顿法院同意白宫搜查“反特朗普”网站访问者数据
据路透社报道,美国高等法院法官周四批准了一项政府手令,同意政府搜查“反特朗普”网站数据。
首席法官罗伯特·莫林(Robert Morin)说,网络托管公司DreamHost必须将“反特朗普”网站disruptj20.org的访问者数据提交政府。
disruptj20.org网站曾经组织了特朗普就职典礼的抗议活动。
DreamHost最初抵制这一请求,称这个手令的范围太广泛,践踏了130万游客访问网站的权利,其中许多人只是表达了自己的政治观点。
美司法部上周建议修改手令的范围,排除网站访问者的IP地址,并限制搜索记录从2016年7月1日至1月20日的就职典礼。
但DreamHost表示,手令仍然过于宽泛,因为可能会暴露访问用户的电子邮件。
该公司同时强烈反对提交大量储存数据,以让检察机关搜寻并查获犯罪者参与骚乱的证据。
莫林法官星期四在听证会上表示,他承认言论自由与执法部门搜索数字记录证据的需要之间的紧张关系。
他说,这两者之间需要找到一个平衡。
除了审查检察官的隐私协议外,莫林法官还将记录的时间范围缩短到从2016年10月份到就职典礼日,并要求检察官解释为什么要搜查的数据与调查密切相关。
美国花了1.6亿美元试图让阿富汗使用电子支付
美国已经在阿富汗进行了16年的战争。
在重建阿富汗的过程中,每年有数十亿美元流入了阿富汗腐败政府官员口袋中。
为了解决这一问题,在2009年至2017年间,美国国际开发署花了1.6亿美元,与美国科技公司合作,尝试在阿富汗建立电子支付系统,减少现金腐败。
目的是让边防卫队能接受足额资金用于培训,以及希望在2017年前海关交易的75%都能用电子支付。
不过,根据阿富汗重建特别监察长(SIGAR)的一份新报告,截至今天,这些交易中的电子支付不到1%。