研究人员在Bash Unix shell中发现一个漏洞已经一周了,该漏洞通过利用相同的公共代码块使数百万设备遭受远程代码攻击。到目前为止,补丁已经发布,大多数主要系统都已得到保护。这只虫子甚至有了自己令人心碎的绰号:Shellshock。但是关于这个bug还有很多不清楚的地方,以及在这个简短的窗口中到底发生了什么,在这个窗口中,攻击者可以利用未修补系统上的公共漏洞进行攻击。在一个危险的巨大机会窗口下,Shellshock造成了多大的损失?
网络优化公司CloudFlare一直在密切跟踪漏洞,截至昨晚,该公司表示已经阻止了大约110万次shell shock攻击。超过80%的攻击是侦察攻击,目的是编制易受攻击机器的列表。由于使用Cloudflare的服务器受到了保护,所以链就到此为止,但是可以合理地假设,一旦侦察成功,未受保护的网络就会受到更大范围的攻击。奇怪的是,绝大多数来自法国的IP地址,尽管很难说攻击者是在那里,还是流量只是被路由通过。
<**all>CloudFlare ****ysis of network attacks</**all>“我们没有看到(攻击)。。。这将使普通Macbook用户成为黑客。”
苹果操作系统X也使用了bashshell,这让人们担心苹果的硬件可能会遭到大规模攻击——但一周后,这些担心还没有消除。当Shellshock出现时,苹果表示“绝大多数操作系统没有风险”,到目前为止,研究已经证实了这一说法FireEye的研究科学家詹姆斯·贝内特说:“我们还没有看到任何证据表明,目前有任何攻击会让普通的MacBook用户容易被黑客攻击。”尽管Bash是易受攻击的,但公众并没有意识到osx有任何方式将Bash暴露给攻击者提供的预装软件输入。“当然,有人可能仍然会发现一个漏洞,提供一个简单的方法进入,但由于补丁已经发布,不太可能造成太大的破坏。在野外,绝大多数攻击都是针对面向web的服务器的,这些服务器容易受到基于HTTP的攻击。Macs没有提供任何明显的弱点,这似乎说服了大多数攻击者将重点放在服务器上。
最严重的破坏来自意外的攻击线,比如FireEye发现的一种新型攻击,它使用Shellshock完全避开了传统的计算机。相反,攻击者的目标是网络连接存储设备(NAS),基本上是一个大型网络硬盘驱动器。由于NAS设备使用Bash在网络上进行通信,攻击者能够访问设备上的任何数据,并将自己的SSH密钥附加到“authorized\u keys”文件中,从而构建了一个后门,以后可能会被利用。这是一种意想不到的攻击,但随着网络变得越来越大,越来越多样化,越来越多地包括更多的嵌入式设备,这是一种攻击,许多专家预计,我们将看到一次又一次。
最令人担忧的是,对于成功的攻击,很难说损失达到了什么程度。CloudFlare每阻止10次侦察攻击,就至少有一次成功,研究人员仍在研究所有这些截获的凭证和受损系统的净影响。我们可能在一周内就阻止了这种脆弱性,但这种破坏可能会持续数月甚至数年。
...TikTok鼓励了露骨内容的传播和“文化退化”。禁令在大约一周后解除。 本月早些时候,中印边境发生一起导致20名印度士兵死亡的事件,之后两国关系高度紧张。目前尚不清楚地缘政治局势在印度决定禁止TikTok的过程中起到了多...
我们都会记得那不幸的一天,当我们打开iTunes库,发现一张奇怪的U2新专辑就在它的底部。苹果把U2的《纯真之歌》送给了5亿多人,这一事实让苹果赚了一大笔钱,但实际的反应——很像对U2过去几张专辑的反应——充其量也是...
...是为了观察油环对环境的影响,所以目前还不清楚它到底造成了多大的破坏,或者说它今天继续造成多大的破坏。
...西哥湾漏油案达成和解。2010年发生的深水地平线灾难,造成11名钻井工人死亡,并将井盖炸开,数月来,数亿加仑原油流入海湾。现在,该公司将在18年内向美国**和五个州支付187亿美元。 “美国历史上最大的单一实...
...呃,令人震惊的消息是在微软召回一些Surface Pro电源线的一周前,在“少数客户”报告他们的交流电源线过热之后。2014年,惠普不得不召回600万条被视为火灾隐患的笔记本电脑线缆。这起事件发生之前,惠普在2013年进行了一次...
你不是在想象:在大多数城市里,闷热的天气确实比你成长的时候要多。《****》的一个新工具向你展示了自你出生以来你家乡的气候是如何变化的。它使用一个简单的升温措施:你的城镇每年经历多少90度(华氏度)天?我出生...
...上所有的论点都只是问题的一个方面(毕竟,这是邪恶的一周,所以我们在扮演一个魔鬼代言人的角色)。然而,承认下载东西并不总是天生的邪恶就足够了。或者,至少,它占据了道德的灰色地带。然而,我们可以以此为框架...
你已经度过了漫长的一周,让我们面对现实吧,我们都不太高兴知道整天坐着对我们的身体造成了多大的破坏。所以这里有一个提醒:站起来,四处走走,然后加入你的生命黑客同伴在本周的开放线程。与往常一样,open threaders...
...“欠债不讨好”撰文,他决定看看自己每天的迟到给自己造成了多大的损失:我把所有的东西都加了起来,今年到目前为止我已经迟到了203分钟(提前打卡算是信用卡)。这相当于36美元的工资损失,这听起来当然不算多,但如...
...趣的是,你的快乐水平似乎在假期的前几天上升得最快,一周后达到顶峰。然后,在接下来的日子里,它会停滞不前或略有下降。这就是说,也许你不需要积攒数周的假期,而一周的假期加上这四个因素也可以给你带来很多好处...