RangeAmp攻击:将CDN变成DDoS加农炮

内容分发网络(CDN)本来是当前防范拒绝服务攻击的最佳实践,然而攻击者可以利用当前CDN设计和实现中的漏洞把它变成威力巨大的分布式拒绝服务攻击(DDoS)武器,可以用它来攻击任意的网站,甚至攻击CDN平台自身。这是一种流量放大类型的攻击,其放大倍数远远超过NTP、DNS等反射攻击。 Continue reading

【InForSec通讯】MOPT:模糊测试工具的优化突变调度策略 | Usenix Security2019

模糊测试工具会维护一个seed pool,每次工具从seed pool中选出一个种子文件,对它进行Rt次变异过程。在每次变异过程中,工具选用Ro个变异操作对种子文件进行修改,最终得到Rt个测试用例。然后工具使用Rt个测试用例去测试目标程序,如果用例触发了程序的异常行为,就认为该用例为interesting test case,并将该用例保存到seed pool中,作为后续变异的种子文件。如果用例触发了新的执行路径,许多工具也会认为这一用例是interesting test case并保存到本地seed pool中。 Continue reading

【InForSec通讯】ProFuzzer:基于运行时类型嗅探的智能模糊测试 | S&P 2019

模糊测试(Fuzzing),作为一种有效的漏洞检测技术,被广泛应用于各类软件的安全测试中。现有的基于变异的模糊测试工具,在测试用例生成策略上依然具有较大的盲目性,无法针对目标文件格式和特定漏洞类型进行有效的变异。研究表明,AFL( American Fuzzy Lop, 当前最流行的模糊测试工具)在24小时的测试过程中,超过60%的变异操作集中在不会产生任何新代码路径的无效字节上。如何提升变异策略的有效性是模糊测试领域的热点研究问题。 Continue reading

【InForSec通讯】安全漏洞报告的差异性测量 | Usenix Security2019

虽然公共漏洞库(如CVE和NVD)极大地促进了漏洞披露和缓解,但是随着漏洞库大量数据的积累,漏洞库信息的质量越来越受到了人们的关注。论文作者把CVE漏洞描述、CVE 参考报告分别与NVD进行了差异性测量,发现CVE漏洞描述、CVE 参考报告与NVD的平均严格匹配率只有 59.82%,NVD存在高估或低估软件版本的错误信息。 Continue reading

【InForSec通讯】基于增强进程仿真的物联网设备固件高效灰盒测试系统|Usenix Security2019

2020年物联网设备数量将全面超过全球人口,当前,黑客极容易利用物联网设备漏洞侵入物联网设备,构建大规模的僵尸网络 (比如Mirai, VPNFilter和Prowli)。因此在黑客发现物联网设备漏洞之前挖掘并修复是极其重要的任务。而模糊测试(FUZZ)是一种高效的漏洞挖掘技术手段,通过随机产生测试样例使系统或程序崩溃以发现安全漏洞。 Continue reading

仔细研究俄罗斯的主权互联网法案

看了某“专家”对俄罗斯断网试验的评论,主张”俄罗斯此举将强化全球网络空间的互联和安全,非常值得中国学习和借鉴”。还听有专家主张向俄罗斯学习,建立中国自己的“独立互联网”。我觉得这些观点真是误国误民。我翻译整理了俄罗斯互联网治理专家的文章,希望能够澄清一些认识。俄罗斯所谓的主权互联网法案,背后本质目的仍然是内容审查,虽然打着抵御外来威胁或者国家安全的旗号,实际采取的措施却让互联网更加脆弱、服务质量更差。即使在内容审查技术方面,俄罗斯目前也还是个小学生,比如,封锁即时通信软件Telegram的企图造成了一片混乱,而Telegram却没有太大影响。关于所谓的“断网试验”,中国要向俄罗斯学习或借鉴什么?学习它幼稚的内容审查技术吗? Continue reading

研究报告:俄罗斯的信息控制

本文重点介绍了俄罗斯政府如何在数千个ISP上利用廉价的深度包检测(DPI)设备逐渐建立国家级审查系统,我们担心其他具有类似拓扑结构的国家会争相效仿,成为一种趋势。通过与俄罗斯当地活动家的合作,“审查的星球”实验室(Censored Planet,密西根大学Roy Unsafe领导的实验室)拿到了从Roskomnadzor(俄联邦通信、信息技术和大众传媒监督局)泄露出来的5个黑名单,以及黑名单七年的历史数据。我们用这个官方黑名单中的13万被封的网站,从住宅网络、数据中心网络和互联网主干网上的多个测量点进行了测量并收集数据,从而对俄罗斯政府的审查政策进行了深入研究。 Continue reading

夜鹰: 基于Intel管理引擎的透明自省技术

随着计算机技术的快速发展,其安全问题日益突出,比如越发庞大的操作系统导致更多的漏洞,未授权的软件通过漏洞访问系统资源成为常态。攻击者通过植入系统底层恶意软件或木马,隐藏自身的恶意行为并控制目标系统。检测恶意软件和木马的方法思路基本一致:部署更高权限、更底层的防御机制,检测上层系统的完整性。近十年来,研究人员利用快速发展的虚拟机自省技术和基于硬件辅助的系统检测技术,有效地检测系统底层的恶意软件。 Continue reading

首个NSA公开披露的软件系统漏洞——CVE-2020-0601数字证书验证漏洞分析与实验

2020年1月15日,微软公布了1月份的补丁更新列表,其中包括有CVE-2020-0601,是Windows操作系统CryptoAPI (Crypt32.dll)的椭圆曲线密码(Elliptic Curve Cryptography, ECC)数字证书验证相关的漏洞;该漏洞会导致Windows操作系统将攻击者伪造的数字证书误判为由操作系统预置信任的根CA所签发。该漏洞由美国国家安全局(National Security Agency, NSA)发现并汇报给微软公司;这一漏洞被认为是第一个NSA公开披露的软件系统漏洞。 Continue reading

“互联网治理与域名系统安全”研讨会在京举行

8月23日,由网安国际论坛(InForSec)主办、清华大学网络空间国际治理研究基地协办的“互联网治理与域名系统安全”研讨会在北京举行。会上,互联网名称与数字地址分配机构(ICANN)、中国互联网络信息中心(CNNIC)、清华大学、中国信通院等单位的知名专家围绕互联网治理中的问题与挑战、互联网协议制定、国际互联网社区的工作和管理、互联网基础资源服务的进展等相关话题展开探讨。来自各高校、科研院所以及行业企业的相关研究人员超过2400人通过线上和线下参加了本次会议。研讨会由清华大学-奇安信联合研究中心主任段海新教授主持。 Continue reading