阿里聚安全

孟加拉国央行窃案反思：未装防火墙以及使用二手路由器等

孟加拉国央行成为黑客攻击的目标仅仅只是因为没有足够安全的软硬件。据路透社报道,孟加拉国央行网络并没有使用任何防火墙就连路由器也是二手的，其购买成本可能只有10美元。

路透社记者引用了调查团队一位官员的话：如果银行使用了更好的安全措施和可靠的硬件,攻击者根本无法顺利实施入侵。事实上,黑客想窃取至少10亿美元,但由于拼写错误最终只转走了8100万美元。截至目前为止，孟加拉国央行安全措施不足的问题遭到了全世界安全专家的批评：很难想象一个已获得数十亿美元的国家银行却连哪怕是最基本的安全防范都没有。（内容来自路由器：“怪我咯”）

FBI决定不与苹果分享破解iPhone 5c的方法

FBI周三宣布，不考虑告知苹果公司该机构破解加州恐怖分子所用iPhone 5c的具体方法。FBI决定不启动名为“漏洞公正性评估程序”的大范围政府讨论意味着，苹果可能无从得知政府的破解细节。FBI称无法提交破解iPhone的方法以供评估，这是因为该机构未购买技术细节权，包括这种方法如何运作、这种方法奏效所依赖的相关漏洞的性质和程度。苹果称，公司不断对其产品安全性进行升级，因此不管破解所使用的技术是什么，它的有效期限可能都非常短。（内容来自友谊的小船说翻就翻）

路过下载攻击利用旧版Android漏洞安装勒索软件

安全研究人员报告，正在进行中的路过下载攻击利用旧版本Android设备的漏洞安装勒索软件索要赎金。Android设备由于种种原因有很多得不到更新，导致数以百万计的设备易遭已修复的高危漏洞的攻击。（内容来自黑客都用比特币）

全新Android勒索软件自行安装 要求用户使用iTunes礼品卡支付赎金

该恶意软件伪装成来自美国政府情报机构的警告，用户访问某些受影响网站即会中招，让该款恶意软件自动安装，其中包括部分色情网站。一旦安装完毕，该程序将停止所有的应用程序，并阻止用户对设备进行任何操作，直到用户使用iTunes礼品卡支付200美元。幸运的是，将设备恢复出厂设置即可破解。（内容来自出厂设备）

前Tor开发者为FBI开发反Tor恶意程序

Matt Edman在2008年加入Tor项目，当时他参与的项目是Vidalia。2012年作为国防承包商Mitre Corporation的高级网络安全工程师被指派到FBI的Remote Operations Unit，成为FBI的合同工。他的任务是开发、测试和部署被称为Cornhusker的恶意程序去收集Tor用户的身份信息。Cornhusker利用 Flash的漏洞将用户真实的IP发送的FBI的服务器。（我们中间出了个叛徒）

Android应用安全开发之浅谈网页打开APP

Android有一个特性，可以通过点击网页内的某个链接打开APP，或者在其他APP中通过点击某个链接打开另外一个APP（AppLink），一些用户量比较大的APP，已经通过发布其AppLink SDK，开发者需要申请相应的资格，配置相关内容才能使用。这些都是通过用户自定义的URI scheme实现的，不过背后还是Android的Intent机制。

本文介绍了在Android Chrome浏览器中网页打开APP的两种方法，一种是用户自定义的URI scheme（Custom URI scheme），另一种是“intent:”语法（Intent-based URI）【点击此处跳转】

“信任“之殇—安全软件的“白名单”将放大恶意威胁

“白名单“，即一系列被信任的对象的集合，与”黑名单“对应，通常被用来实现”排除“类的逻辑。在安全领域中，”白名单“通常被用来优化对信任对象的分析逻辑或解决查杀、拦截逻辑所产生的误报等。

然而，在国内的安全圈里有一种“非白即黑“的说法，即通过统计学算法等极为宽泛的启发逻辑对待检测样本进行”扫描“，并通过高覆盖率的”白名单“云（即通常所说的”白云“）来压制这类启发算法所带来的误报。

然而，（对“白名单”的）“信任”往往伴随着漏洞，这些漏洞可能来自程序逻辑，甚至可能源于人性。由于“信任”机制所产生的漏洞，我们通常称其为“信任漏洞”。病毒作者通常会试图利用安全软件的“信任漏洞”，想方设法利用在安全软件”白名单“内的程序来实现恶意行为。我们称这类技术为”信任利用“（Trust-Exploitation）技术，也就是坊间常说的”白加黑“。前段时间新闻报道过的病毒作者通过贿赂某安全软件厂商人员，将自己的病毒程序加入的安全软件的”白名单“，正是出于这个目的。

Struts2方法调用远程代码执行漏洞（CVE-2016-3081）分析

2016年4月21日Struts2官方发布两个CVE，其中CVE-2016-3081官方评级为高。主要原因为在用户开启动态方法调用的情况下，会被攻击者实现远程代码执行攻击。从作者搜索的情况来看，国内开启这个功能的网站不在少数，所以这个“Possible Remote Code Execution”漏洞的被打的可能性还是很高的。

然而国内的各路炒洞高手已经对Struts2麻木了。所以目前的情况是属于漏洞存在那里，发了CVE，但是没有任何人去研究利用，发布相关分析。这个漏洞和Struts2前N次被炒的热热闹闹的漏洞影响和危害相比，真是不可同日而语，这个漏洞真的很实在。

利用蜜罐采集攻击者行为信息

现如今Web攻击已经成为了互联网安全的一个主要威胁，人们对它进行了很多研究，特别详细地分析了攻击是如何进行，如何传播的。但是，对于当Web被攻陷时的攻击者的典型行为研究却很少。本文描述了一个设计、执行、配置有500个完整功能的蜜罐技术网站，从而可以提供多种不同服务，目的就是要吸引攻击者，采集攻击者在攻击过程中和攻击后的行为信息。在100天的实验过程中，我们的系统自动采集、处理和规整了85000个在大概6000次攻击后留下的文件，并把攻击者的攻击路线标记成了不同类别，以区分它们在每次利用Web应用漏洞过程中的行为。