Category: 安全运维

币圈用户请小心!WebInjects可以清空你的加密货币账户

币圈用户请小心!WebInjects可以清空你的加密货币账户

网络犯罪分子正在尝试各种各样的方法来将他们的“罪恶之手”伸向广大用户的加密货币钱包。研究人员发现,攻击者正在利用能够劫持浏览器(中间人攻击的一种)的恶意软件来劫持目标用户的在线账号,并实时进行欺诈交易,而这种攻击技术名为WebInjects(即Web注入)。

币圈用户请小心!WebInjects可以清空你的加密货币账户

向目标站点中注入恶意脚本

从今年年初开始,来自SecurityScorecard的研究人员发现了两个僵尸网络,这两个僵尸网络分别由ZeusPanda和Ramnit恶意软件家族驱动,主要针对的是Coinbase.com和Blockchain.info这两款加密货币钱包。

需要注意的是,当用户在访问那些受这种恶意软件感染的网站时,恶意软件能够检测到用户的访问活动,并在后台悄悄注入经过混淆处理的恶意脚本,然后修改目标页面中所的呈现内容。

如果目标站点是Coinbase的话,恶意脚本会让原网站中邮件地址和密码的输入文本域失效,并创建一个新的恶意按钮然后叠加在“登录”按钮之上。这样一来,当用户输入了登录凭证并按下所谓的“提交”按钮之后,他们会认为自己完成了登录,但此时他们的凭证信息将发送给攻击者所控制的服务器。实际上,恶意软件还会假装登录受限,并要求用户进一步完成双因素身份验证:

币圈用户请小心!WebInjects可以清空你的加密货币账户

当攻击者获取到目标用户的凭证数据之后,攻击者会利用这些数据来访问用户账号,并修改相应的安全设置以便进行之后的欺诈交易。研究人员Catalin Valeriu和Doina Cosovan解释称:“在大多数情况下,攻击者在获取到凭证之后,需要立刻使用数据来访问用户账号。尤其是WebInjects攻击在实现针对加密货币钱包的欺诈交易时,往往在登录账号之前需要完成双因素验证,因此攻击者在拿到凭证之后需要立刻响应并获取用户的双因素验证码。在此之前,老版本的Zeus恶意软件会使用Jabber即时消息软件来告知僵尸网络管理员成功接收到了用户凭证,但这种新型的恶意软件变种似乎使用的也是类似的机制。”

有趣的是,当攻击者成功修改了目标账号的安全设置之后,他们还可以通过屏蔽设置页面和错误信息来确保用户不会把设置改回来。

研究人员表示,当攻击者禁用了目标账号的多因素验证功能并且用户无法访问设置页面后,攻击者就可以随意进行各种加密货币交易了。

根据研究人员对当前恶意软件变种的分析结果显示,目前WebInjects还不能自动化完成加密货币窃取或交易。很明显,攻击者现在的主要目标是入侵用户账号并通过修改安全设置以备后续入侵。但是研究人员攻击者迟早会实现自动化的加密货币窃取,一切只是时间问题。

这种攻击技术还可以用来入侵Blockchain.info钱包。在这种攻击场景下,攻击者同样需要给目标用户呈现伪造的登录页面:

币圈用户请小心!WebInjects可以清空你的加密货币账户

完成登录之后,恶意脚本会迅速初始化一个交易页面,并用伪造的加密货币钱包地址替换原始的合法地址,然后修改交易的加密货币类型以及金额。当用户完成了加密货币交易之后,恶意脚本会发送一个通知并告诉用户当前服务不可用,而此时用户根本不会意识到自己的钱包已经被“榨干”了。

如何保护用户的安全?

随着加密货币生态系统的不断成长,针对加密货币的恶意软件也会随之发展壮大。随着本文所分析的恶意软件变种(WebInjects)只会对Coinbase.co以及Blockchain.info这两款加密货币钱包进行攻击,但其他的WebInjects变种很可能会转向其他的加密货币交易所。

WebInjects这种攻击技术之所以会如此吸引攻击者,主要是因为这项技术能够快速适应目标服务的架构代码,并允许攻击者轻松修改代码以攻击新的加密货币交易服务。

广大用户可以查看自己的加密货币交易账号是否可以正常访问安全设置页面,是否收到了莫名其妙的多因素验证消息,或者是否收到了“服务不可用”的通知来判断自己是否受到了影响。如果你觉得自己的账号已经被入侵,请立刻在其他电脑上修改自己的密码。因为很多高级恶意软件会在入侵目标设备后实现持久化感染,因此同一设备很可能仍然是不安全的。

* 参考来源:helpnetsecurity

以太坊安全漏洞最全总结及安全建议 (截至现在)

以太坊安全漏洞最全总结及安全建议 (截至现在)

以太坊(Ethereum)是一个开源的有智能合约功能的公共区块链平台。区块链上的所有用户都可以看到基于区块链的智能合约。但是,这会导致包括安全漏洞在内的所有漏洞都可见。如果智能合约开发者疏忽或者测试不充分,而造成智能合约的代码有漏洞的话,就非常容易被黑客利用并攻击。并且越是功能强大的智能合约,就越是逻辑复杂,也越容易出现逻辑上的漏洞。同时,智能合约语言Solidity自身与合约设计都可能存在漏洞。

如果说区块链也有315,那么以太坊想必榜上有名。以太坊自运行以来多次爆出过由于漏洞造成的重大安全事件。

北京时间2016年6月17日发生了在区块链历史上沉重的一次攻击事件。由于以太坊的智能合约存在着重大缺陷,区块链业界最大的众筹项目TheDAO(被攻击前拥有1亿美元左右资产)遭到攻击,导致300多万以太币资产被分离出TheDAO 资产池。

2017年7月21日,智能合约编码公司Parity警告1.5版本及之后的钱包软件存在漏洞,据Etherscan.io的数据确认有价值3000万美元的15万以太币被盗。2017年11月8日,以太坊Parity钱包再出现重大bug,多重签名漏洞被黑客利用,导致上亿美元资金被冻结。

以太坊开源软件主要是由社区的极客共同编写的,目前已知存在Solidity漏洞、短地址漏洞、交易顺序依赖、时间戳依赖、可重入攻击等漏洞,在调用合约时漏洞可能被利用,而智能合约部署后难以更新的特性也让漏洞的影响更加广泛持久。

据有关调查统计,以太坊主要漏洞情况描述如下表:

迄今为止,以太坊安全漏洞最全总结及建议

迄今为止,以太坊安全漏洞最全总结及建议

迄今为止,以太坊安全漏洞最全总结及建议  

上述漏洞目前已经广泛存在以太坊网络中,2018年2月24日,新加坡和英国几位研究员指出,3.4万多份以太坊智能合约可能存在容易被攻击的漏洞,导致数百万美元以太币暴露在风险中,其中2365份属于著名项目。

鉴于以太坊其运行时间还不到3年,如上漏洞可能只是其所有漏洞的冰山一角,为保证业务在区块链上安全可靠运行,保护数字资产的安全,采用以太坊做为区块链技术方案时必须对智能合约代码进行充分测试。在构造智能合约时,众享比特技术团队的安全建议如下:

  • 限制在智能合约中存储以太坊的数量。如果智能合约源代码、编译器或者平台有问题,这些资金可能丢失。

  • 尽可能保证智能合约中的功能小而模块化。源码质量一定要得到保证(比如限制局部变量的数量,函数的长度),程序注释尽量完整,以便方便日后的维护和增加代码的可读性。

  • 尽可能减少交易中gas的消耗,如果有必须使用大量计算的地方,尽量将其放到链下去处理。

  • 在智能合约中添加一个函数,执行一些自我检查,如“有没有以太泄漏?”。如果自检失败,智能合约会自动切换到某种“故障安全”模式,例如,禁用大部分功能,将控制交给固定和可信的第三方,或者将智能合约转换成简单的“把我的钱还给我”智能合约。

文章来源:众享比特

Klimenko: Russia is ready to be disconnected from the global Internet

Klimenko: Russia is ready to be disconnected from the global Internet

Advisor to the President of the Russian Federation on issues related to the Internet, Herman Klimenko in interview to the program «Pozdnyakov», published on the website of the TV channel NTV, said that Russia is technically ready to be disconnected from the global Internet, although the process will not be painless.

Internet regulation – the way in which the whole world, and Russia is no exception, says Klimenko. However, the extreme variations like the North Korean or Cuban is not our choice, he said in an interview with NTV.

The publication contained the following statement Klimenko: «When they say: «And will we have a Chinese Internet?» – I honestly say: no. So the man sighs in relief. I say: because we have no Chinese. You know, any law is inconsistent with the population, right? That is always superimposed mentality, always imposed some of his features. It is the whole structure… So we will have our own Internet, it will be with its some… just like in America, and in Europe its Just… there are things for them unimaginable. That is, it’s like… I don’t know, we can blame the Australian aborigines for the manufacture of boomerangs from valuable breeds of a tree. But for them it is not real wood. For them it is a way of life.»

«Technically we are ready for any action now crashes always when switching from one technology to another. There is a good claim that any system is characterized by error and failure, and reaction to mistakes and failures… If tomorrow our colleagues will disconnect us from the switch, I don’t know if it’s painless, I promise that painless. I am sure that will not be painless. Somewhere someone’s something off. Probably, it turns out that someone stored their data abroad, although there is a decision to store here. Someone domains your hostel abroad. So they’re probably going to experience some difficulties. But on its own hardware and software and there are no contraindications that we live good and normal, even if we declare such a war as the Crimean isolation,» – said Klimenko.

«All the officials, all state institutions are so great «Chinese firewall». What all of us afraid. But all of them are alive,» – said the presidential adviser.

文章来源:http://en.israel-today.ru/klimenko-russia-is-ready-to-be-disconnected-from-the-global-internet.html

Two New Hardware Bugs Affect Most Devices, Private Keys Vulnerable

Two New Hardware Bugs Affect Most Devices, Private Keys Vulnerable

Two New Hardware Bugs Affect Most Devices, Private Keys Vulnerable

Researchers have published a report on two hardware bugs that allow programs to steal sensitive data on affected devices, which is “most” devices worldwide.

For crypto users, these bugs are a direct threat to the security of their private keys, making the need for secure hardware storage of crypto funds even more pressing.

How do the bugs work?

The two bugs, known as Meltdown and Spectre, exploit security vulnerabilities in Intel, AMD, and ARM processors in any device, including PCs, laptops, tablets, and smartphones.

Meltdown affects all devices with Intel chips, which are estimated to be in 90% of all computers (desktop and laptop combined), the BBC reported.

Spectre potentially has an even wider reach, affecting Intel, ARM, and AMD chips in any kind of device. Meltdown and Spectre also work in the cloud.

The BBC also reported that the tech industry kept the threat a secret for up to six months via non-disclosure agreements, but now fears are mounting that public awareness could lead to real-life exploits.

Protecting your funds

Bitcoin core developer Jonas Schnelli referred to the newly reported security flaws in terms of how they affect Bitcoin users, laying out three steps to secure cryptocurrency holdings:

Pavol Rusnak, the CTO of TREZOR manufacturer SatoshiLabs, tweeted Jan. 4 to confirm that its devices are unaffected by Meltdown and Spectre, noting:

“Using a (hardware) wallet is now more important than ever.”

In October 2017, the Ledger Nano S hardware wallet was number eight in the list of top ten best selling items on Amazon’s Computers and Accessories section. Today, Jan.4, the Ledger Nano S is number one.

文章来源:https://cointelegraph.com/news/two-new-hardware-bugs-affect-most-devices-private-keys-vulnerable

智能合约的安全性问题讨论

智能合约的安全性问题讨论

“本文主要总结以太坊智能合约的安全漏洞。新加坡国立大学的Loi Luu提出了现在的智能合约存在的几种安全漏洞。然而,由于智能合约目前还只是初级阶段,相信各种安全问题会不断的发现。 ”

智能合中的安全漏洞

交易序依

交易顺序依赖就是智能合约的执行随着当前交易处理的顺序不同而产生差异。例如,有两个交易T和T[j],两个区块链状态S[1]和S[2],并且S[1]状态处理完交易T[j]后才能转化为状态S[2]。那么,如果矿工先处理交易T,交易T调用的就是S[1]状态下的智能合约;如果矿工先处理交易T[j]再处理交易T,那么由于先执行的是T[j],合约状态就转化为S[2],最终交易T执行的就是状态S[2]时的智能合约。

攻击方法举例: 

攻击者提交一个有奖竞猜合约,让用户找出这个问题的解,并允诺给予丰厚的奖励。攻击者提交完合约后就持续监听网络,如果有人提交了答案的解,此时提交答案的交易还未确认,那么攻击者就马上发起一个交易降低奖金的数额使之无限接近0。当矿工处理这两个交易时,当前交易池就有两个待确认交易:一个交易是提交答案,一个交易是更改奖金数额。如果矿工先处理的是敌手更改奖金的交易,而敌手可以通过增加交易费用让矿工先处理自己的交易,那么等到矿工处理提交答案的交易时,答案提交者所获得的奖励将变得极低,敌手就能几乎免费的获得正确答案。

时间戳依赖合约

矿工处理一个新的区块时,如果新的区块的时间戳大于上一个区块,并且时间戳之差小于900秒,那么这个新区块的时间戳就是合法的。这是以太坊协议所规定的。时间戳依赖顾名思义就是指智能合约的执行依赖当前区块的时间戳,随着时间戳的不同,合约的执行结果也有差别。

攻击方法举例: 

如果有一个抽奖合约,要求由当前的时间戳和其它可提前获知的变量计算出一个“幸运数”,与“幸运数”相同的编码的参与者将获得奖品。那么矿工在挖矿过程中可以提前尝试不同的时间戳来计算好这个“幸运数”,从而将奖品送给自己想给的获奖者。

误操作异

在以太坊中,一个合约调用另一个合约可以通过send指令或直接调用另一个合约的函数。然而在调用过程中可能会出现错误,调用的合约就会回退到之前的状态。那么这个异常就可能无法很好地被调用者获知,这取决于调用方式。例如,通过send指令调用的合约应该通过检查返回值来验证合约是否被正确执行。

攻击方法举例: 

有个名叫KingOfTheEtherThrone(KoET)的智能合约:用户可以通过一定数量的以太币成为“以太币国王”,支付的数额由现任国王决定。很显然,当前国王可以通过买卖国王获得利润。当一个用户声称为国王后,合约就发送赔偿金给现任国王,并指定这个用户为新的国王。然而,这个合约并没有检查支付赔偿金的交易的结果。 这样一旦合约在执行过程中产生了异常,现任国王就有可能同时失去王座和赔偿金。

可能的攻击方式就是敌手故意超出调用栈的大小限制。以太坊虚拟机规定调用栈的深度为1024。敌手在攻击之前,首先调用自身1023次,然后发送交易给KoET合约,这样就造成了合约的调用栈超出了限制,从而出现了错误。合约出错后,因为这个合约没有检查合约的返回值,那么如果合约在发送赔偿金给现任国王的过程中出现了异常,那么现任国王极有可能失去王座和赔偿金。

可重入攻

在以太坊中,当一个合约调用另一个合约的时候,当前的操作就要等到调用结束之后才会继续。这时,如果被调用者需要使用调用者当前所处的状态,那么这就产生了问题。

著名的DAO攻击事件就是因为这个漏洞而发生的。

 

文章来源:http://unitimes.media/knowledge/4544/?lang=zh