Browsing: github

    網絡安全公司Aqua Security最新發現,GitHub旗下的 npm 開源軟體註冊中心服務存在時差缺陷,黑客可利用搜尋時差得悉套件名稱是否已被私人註冊,從而在公開資料庫中上載名稱幾乎一樣的惡意套件,令軟件開發者被誤導下載使用。GitHub 已表明無法修正缺陷,開發者只能自保。 npm ( Node Package Manager ) 是跟 NodeJS 一起安裝的管理工具,它可讓軟件或網站開發者借用其他開源軟件時,更容易解決 NodeJS 編碼的部署問題。由於在現時開發軟件或網站時,為加速開發流程及減少不必要的開發過程,幾乎所有軟件開發者都會引用開源軟件,因此 npm 亦成為黑客目標,通過上載藏有惡意功能的軟件,感染其他開發者的軟件或網站,替黑客進行公司機密或信用卡資料盜竊的行為。要達成這種供應鏈攻擊 ( supply chain…

    軟件開發者 Stephen Lacy 最近一份調查發現,開發者經常使用的開源程式碼平台 GitHub 上出現 35,000 個懷疑含惡意功能的專案,它們可以暗中竊取使用者儲存的帳戶驗證資料,其中一條程式碼更可讓黑客遙距執行指令,如經常使用 GitHub 者要留神。 GitHub 是全球最大的開源社群,它可供軟件開發者儲存程式碼專案,亦可讓開發者們之間進行交流,現時 GitHub 上已有超過七千萬會員,會員可以隨意瀏覽或下載其他會員上載的專案,不單有助開發者學習編程,甚至可直接將專案內容套用在自己的軟件內,可說是開發者的必備後台。不過,黑客亦看準 GitHub 的高使用量,因此會用各種方法散播惡意軟件,其中之一是上載有惡意功能的專案,如 GitHub 或其他會員未能發現,便可成功感染下載者的電腦設備。 這次由 Stephen…

    西班牙一間名為 Prestige Software 的應用服務開發商發生人為錯誤,令 AWS S3 bucket 內儲存的 24.4GB 資料變成公開任睇,而同大家最有關係的地方,是它的客戶包括 Agoda、Expedia、Hotels.com、Booking.com 等酒店預訂服務商,而有可能洩出的更包括客戶信用卡號碼及CVV等資料,好得人驚! 錯誤將雲端服務帳戶設定為公開的新聞,時有發生,例如去年 Samsung 儲存於 GitLab 內的 SmartThings 計劃內容,便因這類失誤而成就「無私分享」事件。而在恒常的網絡掃描期間,Website Planet…

    有好嘢一定會拎出嚟分享,一直係支持 Linux 平台發展嘅原動力,不過,早前華為一個工程師喺上載 Linux 核心(Kernel)碼修補檔案去 Openwall 開發社群後,卻被發現入面藏有後門。華為管理層即刻發聲明指呢個工程師只係以個人名義、用工餘時間嚟開發呢個修補檔案,絕對同公司無關喎! 華為工程師今次上載嘅核心碼修補檔案,原本係話要修補 Linux 本身存在嘅安全漏洞,不過,網絡安全團隊 Grsecurity 喺研究過檔案之後,即日就發現呢個名叫 HKSP(Huawei Kernel Self Protection)嘅修補檔藏有漏洞,可以輕易被利用嚟進入安裝咗嘅系統,狠批呢個檔案完全缺乏安全意識,無做好 threat model 分析。 報告一出,即時引嚟極大迴響,華為管理層亦極速割蓆,發出官方聲明劃清界線,話呢個員工上載嘅檔案只係個人興趣,絕對同公司無關,而華為亦無喺任何產品內用到呢組程式碼,希望可以釋除公眾疑慮。不過,由於呢個工程師係用公司電郵登記嘅帳戶嚟上載呢個檔案,而且檔案名又冠上…

    外判服務已經係大趨勢,例如公司要寫個網站或手機應用軟件,好多時都唔會係自己員工寫,一來呢啲project 通常都係一次性,寫完就唔會長期養住呢個人;二來有啲外判商收取嘅費用真心平,老闆當然樂於採用。唔係話全部廉價服務都唔好,但中伏風險實在大得多,例如售後服務唔見影、網絡防禦方案原來唔安全等等,做開報價嘅同事應該深受其害。其實點解有啲程式撰寫外判商收嘅價錢可以咁平呢?最近由一班電腦專家進行嘅調查報告,應該會俾到啟示大家。 抄得就抄 由全球大學電腦專家Morteza Verdi、Ashkan Sami、Jafar Akhondali、Foutse Khomh、Gias Uddin 及 Alireza Karami Motlagh組成嘅研究團隊,早前就對 Over Stack 上 72,000 組 C++ 語言寫成嘅程式碼進行驗證,佢哋發現喺呢個程式碼討論區平台上嘅…

    平常一聽到同銀行有關嘅運作程序,一定覺得會安全到不得了㗎啦,但接二連三嘅事實話俾大家知,無論間公司有幾大,規管有幾嚴謹,都一定會有「濕滑」嘅員工。加拿大最大銀行 Scotiabank(加拿大豐業銀行)近日被揭發出低級網絡安全錯誤,低級嘅程度更直逼「布偶級」(muppet-grade),大家明啦! 日前網絡安全研究員 Jason Coulls 揭發,加拿大 Scotiabank 喺 GitHub 嘅儲存庫竟然存有未受保護嘅檔案,當中有外幣匯率 SQL 數據庫系統嘅軟件藍圖及 access key、手機應用軟件程式碼,後台服務及數據庫實例嘅登錄憑證、原始編碼等,簡直係黑客金庫。 Scotiabank 嘅回應當然都估到,首先話呢啲資料並不會危及客戶、員工或合作夥伴,又話已經展開調查、修復問題、移送法律資料中。而加拿大法律規定,銀行出事就要即刻通報,加拿大金融機構監管辦公室方面就已接獲通知,正密切監察事態發展。 GitHub 於去年被 Microsoft 收購,成一時佳話。除咗極多開發者會用,亦有唔少企業機構都會用,因此,保安係其中最大課題。有時開發人員為咗貪方便唔使次次登入,會喺開發階段將…