Browsing: Opensource

    再有網絡安全公司發現,第三方軟件倉上存在多個內藏惡意功能的 Python packages,這些 packages 包括 loglib-modules、pyg-modules、pygrata、pygrata-utils 及 hyg-sol-utils,全部都可用於盜取開發者的 Amazon AWS 帳戶登入憑證。貪方便直接使用開源資源?好易誤中地雷。 為了加速應用服務開發,不少開發者都會使用軟件倉庫上的開源套件,直接將其功能加入自己的應用服務內。不過,在使用這些套件時卻未有審視內裏有否可疑功能,因此很容易將惡意功能加入自己的應用服務內,推出後更會波及用家。而這次被 Sonatype 安全研究員 Ax Sharma 發現的上述套件,便會在使用時將開發者的 AWS 帳戶憑證及環境變數等資料,一併上傳至黑客控制的伺服器,變相令黑客可以進入帳戶盜取公司的機密資料,甚至進行更多惡意行為如安裝挖礦程式、執行勒索軟件等。 更嚴重的是,研究員發現黑客控制的伺服器上存在數以百計帳戶憑證,而且全部伺服器對外開放,所收集的帳戶憑證亦只以…

    公認有助加快 DevOps 流程的 Container 容器技術,其最受歡迎開發平台 Docker Hub 被驗出含有大量惡意 Images,400 萬個 images 當中超過一半有問題,只要開發團隊隨意下載這些開源 images 使用,隨時無意中成為入侵幫兇…… Docker 虛擬化技術深受應用程式開發者歡迎,因為可將應用程式連同環境製作成不同的 Image,快速移植到各種作業系統之上。雖然 Image 一經封裝,理論上便不可改變,但並不代表 Container…

    有好嘢一定會拎出嚟分享,一直係支持 Linux 平台發展嘅原動力,不過,早前華為一個工程師喺上載 Linux 核心(Kernel)碼修補檔案去 Openwall 開發社群後,卻被發現入面藏有後門。華為管理層即刻發聲明指呢個工程師只係以個人名義、用工餘時間嚟開發呢個修補檔案,絕對同公司無關喎! 華為工程師今次上載嘅核心碼修補檔案,原本係話要修補 Linux 本身存在嘅安全漏洞,不過,網絡安全團隊 Grsecurity 喺研究過檔案之後,即日就發現呢個名叫 HKSP(Huawei Kernel Self Protection)嘅修補檔藏有漏洞,可以輕易被利用嚟進入安裝咗嘅系統,狠批呢個檔案完全缺乏安全意識,無做好 threat model 分析。 報告一出,即時引嚟極大迴響,華為管理層亦極速割蓆,發出官方聲明劃清界線,話呢個員工上載嘅檔案只係個人興趣,絕對同公司無關,而華為亦無喺任何產品內用到呢組程式碼,希望可以釋除公眾疑慮。不過,由於呢個工程師係用公司電郵登記嘅帳戶嚟上載呢個檔案,而且檔案名又冠上…

    外判服務已經係大趨勢,例如公司要寫個網站或手機應用軟件,好多時都唔會係自己員工寫,一來呢啲project 通常都係一次性,寫完就唔會長期養住呢個人;二來有啲外判商收取嘅費用真心平,老闆當然樂於採用。唔係話全部廉價服務都唔好,但中伏風險實在大得多,例如售後服務唔見影、網絡防禦方案原來唔安全等等,做開報價嘅同事應該深受其害。其實點解有啲程式撰寫外判商收嘅價錢可以咁平呢?最近由一班電腦專家進行嘅調查報告,應該會俾到啟示大家。 抄得就抄 由全球大學電腦專家Morteza Verdi、Ashkan Sami、Jafar Akhondali、Foutse Khomh、Gias Uddin 及 Alireza Karami Motlagh組成嘅研究團隊,早前就對 Over Stack 上 72,000 組 C++ 語言寫成嘅程式碼進行驗證,佢哋發現喺呢個程式碼討論區平台上嘅…

    有追開我哋嘅報導,應該仲記得 Magecart 呢個黑客集團。根據網絡安全專家嘅調查,Magecart 旗下至少有 12 個小團體,功力不一,但佢哋嘅犯案目的就好一致,就係專門盜取信用卡資料。死喺佢哋手上嘅大企業有好多,包括英國航空、TicketMaster、Newegg、Forbes 等等。Magecart 比較令人印象深刻嘅攻擊手法,係佢哋會攻入上述企業嘅第三方服務供應商嘅 web server,喺 Javascript Library 內加入惡意代碼,將幫襯網站嘅客戶引導去另一個像真度極高嘅仿製網站,呃取佢哋嘅信用卡資料。 不過,IBM X-Force IRIS 嘅研究員就發現,近月 Magecart 最活躍嘅第 5…

    人生有個豬隊友確係慘仔嘅,最慘如果係自己上司,有時都唔知點幫佢兜,搞到我都好想升高三個 key 同佢講,「你真係蠢唔係扮㗎喎!」唔知係咪開口中,早幾日 Mr. Smith 就遇到以上情況喇。 事緣上星期要測試 vendor 產品,分析吓有冇後門,其中一項要做 dynamic analysis,睇吓隻軟件有無喺過程中做啲古惑嘢。因為時間幾趕,所以成 team 人好快已有共識,就係利用一隻 open source 嘅工具,去 capture 軟件嘅網絡流量做分析,同時用不同嘅 軟件(當然都係快靚正嘅 open…

    當上網已成習慣,網民最講求上網要快要方便,最緊要唔使成日入密碼或做機械人認證,如果 Load 個網站要等多過三秒鐘?隨時已經無興趣再等。但你有無諗過,方便快捷嘅背後,你犧牲咗啲乜?就係付出太多個人私隱訊息,唔想咁可以點? TOR 幫到你。 瀏覽器洩密真危機 成日講上網會洩露好多個人訊息,究意有幾多?講多無論,試下入呢個網站 (webkay.robinlinus.com)先。試完係咪好驚驚?抑或睇完都無乜感覺?不妨抽幾樣嚟睇睇。首先係地圖位置,如果罪犯掌握到你實時位置,即係知道你行蹤,唔單只女士會好危險,如對方有你屋企地址,更可以肆無忌憚等待良機爆格。 跟住就係用緊嘅上網裝置作業系統同瀏覽器版本,作業系統及軟件供應商成日叫大家更新系統版本,就係為咗堵塞一啲已知嘅漏洞,如果黑客知道你未更新,要攻擊你就容易好多啦。再嚟就係 Auto-Fill Phishing,如果你貪方便啟用咗,黑客有機會通過唔同方法例如 Cross-Site Scripting (XSS)嚟盜取你嘅登入資料,所以話如果你嘅瀏覽器透露咗咁多訊息,係咪好危險? TOR網絡 遊花園消痕跡 如果你唔想乜都俾人𥄫實,可以點做?你可以試用 TOR(The Onion Router)洋蔥路由器。…