欧盟启动 15 个免费开源软件项目的漏洞奖励计划 | 创宇酷讯

【创宇酷讯】第1018期

   安全大事早知道


国际动态


【法国泰雷兹集团将成立埃布韦尔网络安全研究基地】


据外媒报道,法国泰雷兹集团将斥资2000万英镑,在英国南威尔士建立一个研发中心。集团表示,建设工作将于春季开始,到2021年,该中心将全面运营。其中泰雷兹集团参与开发复杂的电气系统,这些系统可用于防空系统到网络安全的所有领域。创新产品和系统都在南威尔士设计,这将意味着创意的所有权将留在南威尔士。威尔士政府经济部长表示,这是威尔士政府科技谷项目的“核心”,埃布韦尔中心将成为数字安全创新的试验基地。


晓得哥

额,法国在英国成立安全研究基地?



【欧盟启动15 个免费开源软件项目的漏洞奖励计划】


从2019年1月份开始,欧盟委员会正式启动了15个免费开源软件项目的漏洞奖励计划,而这些开源软件都是欧盟机构目前正在使用的软件。实践证明,通过这种“众包”的方式把提升软件安全性的任务“分发”给社区内的众多安全研究人员,比直接聘请第三方安全机构来进行传统的渗透测试效果更加好。


广大安全研究人员可以通过漏洞奖励平台“HackerOne”提交下面十五款软件中的安全漏洞。



需要注意的是,其中有九款软件项目的安全漏洞需要通过Ethical Hacking平台来提交,这九个项目为:FLUX TL、KeePass、7-zip、DigitalSignature Services (DSS) 、Drupal、GNU C Library (glibc) 、PHP Symfony、Apache Tomcat和WSO2。


晓得哥

事实证明,漏洞奖励计划往往比聘请第三方渗透效果好



漏洞事件


【Systemd 曝出三个漏洞 绝大部分 Linux 发行版易受攻击】


Linux 系统与服务管理工具 Systemd 被曝存在 3 大漏洞,影响几乎所有 Linux 发行版。Systemd 是 Linux 系统的基本构建块,它提供了对系统和服务的管理功能,以 PID 1 运行并启动系统的其它部分。目前大部分 Linux 发行版都以 Systemd 取代了原有的 System V。安全公司 Qualys 近日发布报告称其发现 Systemd 中存在 3 个安全漏洞,并且这些漏洞已经存在 3 到 5 年时间。


3 个漏洞已经收录到 CVE,分别是内存损坏漏洞 CVE-2018-16864 与 CVE-2018-16865、信息泄露漏洞 CVE-2018-16866。其中,CVE-2018-16864 于 2013 年 4 月引入(systemd v203),并在 2016 年 2 月可利用(systemd v230),研究人员写了一个 PoC,可在 i386 上获得 eip 控制。


晓得哥

心有多大胆,修复漏洞拖多晚!



【广为使用的 PremiSys 门禁系统 被曝存在严重的硬编码后门】


据外媒报道,被公立院校、政府、以及财富 500 强企业广泛使用的 PremiSys 门禁系统,近日被曝出存在硬编码后门。其实早在去年年底的时候,Tenable Research 的一安全分析师,就已经在一套名为 PremiSys IDenticard 的访问控制系统中,发现了一个硬编码的后门。该软件用于未员工创建身份识别信息(ID badges)和远程管理读卡器,以便对建筑内各个部分的访问权限进行管理。


发现漏洞后,Sebree 多次通知 IDenticard、并试图取得联系,但该公司一直未对此事作出回应。


晓得哥

这种死磕的心态,服气……



黑客事件


【美 SEC 数据库遭入侵 黑客非法牟利 410 万美元】


美国联邦检察官披露了一起国际股票交易犯罪活动,犯罪分子入侵了美国证券交易委员会(以下简称“SEC”)的EDGAR企业文件系统,并利用内幕信息非法牟利410万美元。据路透社称,犯罪团伙利用获得的非公开信息进行股票交易,从美国、俄罗斯和乌克兰非法牟利410万美元。犯罪分子获得了157份企业财报,其中部分财报是“测试文档”。


晓得哥

当黑客攻击搭上金融手段,这种跨界合作也是威力无边了。



推荐阅读


【漏洞悬赏攀升至 200 万美元 谁在提供漏洞、谁在付钱?】


据外媒报道,目前苹果iOS的远程漏洞最高奖励已升至200万美元,网络安全情报公司Zerodium对主流操作系统和软件程序的未知漏洞设置的奖金翻了一倍。应对软件安全的升级,这些向各国政府出售漏洞的公司不得不提高赏金以吸引更多的研究人员。政府更有可能为iPhone中的可利用漏洞付费,因为他们无法获取权限的手机越来越多。而利用通讯类程序中的漏洞,可以帮助政府读取和监控私人信息。从供应方面分析,专家认为赏金上涨主要不是因为各个国家对特定产品漏洞的需求增多,更多的是因为供应不足——即现有的可利用漏洞太少。


晓得哥

政府愿买单,挖洞可谓致富新思路。



【安全研究者的自我修养】


安全研究者riusksk 在公众号漏洞战争总结了多条关于漏洞研究的历程和心得,分享给各位安全从业者。建议包括:刻意练习10000小时;训练看洞和识洞的挖洞双技能;代码审计训练;做3~5年的训练计划,按难易程度排序,逐一去实现它;Fuzzing训练,认可努力往往比运气和天赋更重要;进入研究者团队或社区,互相学习;建立自己的漏洞信息来源;收集和学习开源的漏洞挖掘工具。研究不易,相信安全领域有秘密的存在,虽会导致黑产的诞生,但肯定也会因此诞生一些优秀的研究者。


晓得哥

每一个研究者都是独立自行的苦行僧。



知道创宇整理分享,更多内容请戳