何谓卫生服务系统
HSTS (HTTP严格传输安全)因特网工程组织IETE正在推广一种新的网络安全协议,该协议用于强制客户端(如浏览器)使用HTTPS与服务器建立连接。
主要目的是解决HTTPS网站第一次请求使用未加密的HTTP协议的问题,这意味着用户通常直接输入域名,如morong。我,在浏览器中访问我们的网站。然后我们的服务器检测到这是一个HTTP请求,并将301重定向到HTTPS页面。因此,该过程的前半部分使用未加密的HTTP请求,这也有被劫持的可能性。因此,HTTPS承诺的安全性大大降低了!
使hst
启用HSTS非常简单,只需在我们网站的响应头中添加HSTS即可。下面是一个简短的解释
找到nginx。在网站上的服务器配置代码中添加如下代码:
HTTPS已经广泛普及,相关技术也非常成熟。要理解OCSP绑定是什么,首先必须理解OCSP是什么。OCSP (Online Certificate Status Protocol),又称在线证书状态协议,是一种用于验证证书有效性的在线查询协议。
网站的每个访问者都将执行OCSP查询。通过OCSP绑定可以代替OCSP (Online Certificate Status Protocol)来查询证书的状态。然后你可以优化HTTPS的速度,因为大多数CA的OSCP服务器都不在中国大陆
为了理解这一切,让我们从CRL开始
当用户通过HTTPS访问您的站点时,服务器需要用站点的TLS证书响应用户。用户的浏览器将检查证书的过期时间,并拒绝任何过期/无效的证书。
在某些情况下,由于私钥泄漏,服务器所有者必须将证书标记为无效,依靠证书颁发机构实现至少一种方法来撤销有问题的证书,并通知浏览器拒绝这些已撤销的证书。
CRL (Certificate Revocation List),也称为证书吊销列表,是PKI系统中的结构化数据文件,包含证书颁发机构吊销的证书的序列号和吊销日期。在用户访问您的站点之前,浏览器会先下载并解析CRL文件,然后通过CRL文件验证您的证书是否已被吊销。
随着HTTPS的普及,发布的CRL文件越来越大,这无疑增加了每个链接的网络开销。CRL无法很好地扩展的问题正变得越来越明显。
OCSP用于验证网站服务器的证书是否有效
OCSP (Online Certificate Status Protocol),又称在线证书状态协议,是一种用于验证证书有效性的在线查询协议。当用户通过HTTPS访问您的网站时,客户端浏览器将通过OCSP响应器验证网站服务器证书的有效性。(浏览器现在可以联系响应器来请求ca颁发的单个证书的撤销状态,而不必检索和处理整个CRL。)
OCSP似乎是一种有效的解决方案,但新协议已被证明存在实际问题。
性能问题,浏览器需要为每个新的HTTPS连接执行额外的HTTP请求,这增加了网络开销;
安全问题,大多数实际的OCSP实现都不够可靠(由于网络延迟、配置或应用程序错误),导致用户浏览器中的OCSP检查失败。如果无法访问OCSP服务器或服务器超时,浏览器将认为证书有效并继续HTTPS连接;
由于证书与密钥和域相关联,并且浏览器在每个新的HTTPS连接之前请求吊销状态,因此隐私问题意味着浏览器将其用户网络历史的很大一部分泄露给OCSP响应器。
OCSP绑定是对TLS证书状态查询的一种扩展
OCSP代理是一种弥补OCSP协议缺陷的方法,它允许服务器模拟浏览器提前对证书链进行验证,并将带有CA机构签名的OCSP验证结果响应保存在本地,最多可缓存7天。等到实际握手阶段再向浏览器发出OCSP响应和证书链,以避免增加浏览器的握手延迟。由于浏览器不需要直接从CA站点查询证书状态,因此该特性显著提高了访问速度。
由于绑定是在服务器端实现的,浏览器无法知道服务器端是否真正支持绑定,而且OCSP绑定本身也无法完全解决OCSP的软件故障安全问题。
因此,使用被盗证书私钥的攻击者可以通过提供没有OCSP绑定的证书来执行降级攻击。受害者的浏览器无法验证服务器是否真正支持绑定,无法继续正常查询OCSP响应程序。然后,攻击者可以简单地阻止此OCSP查询,并有效地强制浏览器接受该证书为有效证书。
OCSP Must Staple,也称为OCSP Must Staple,是CA和浏览器厂商为了防止OCSP绑定攻击而推出的SSL证书扩展。此扩展要求证书是OCSP绑定。如果浏览器遇到带有此扩展名而未使用OCSP绑定的证书,则会拒绝该证书。
必须绑定OCSP,以减轻上述降级攻击,减少流向CA的OCSP响应程序的不必要流量,也有助于提高OCSP的整体性能。
近日,电信巨头AT&T宣布,其系统在2022年5月至10月期间遭受了严重的数据泄露攻击,影响了大量移动用户的通话和短信记录,以及一些使用AT&T网络的无线服务提供商的客户数据。该事件成为近年来又一起重大的私人通信数据泄露事件,引起了公众对个人信息安全的深切关注。
根据AT&T的说法,虽然泄露的数据不直接包括通话内容、短信详细信息、客户出生日期和社会安全号码等敏感信息,但有“公开可用的在线工具”可能将泄露的数字信息与个人身份联系起来,这无疑增加了用户隐私泄露的风险。值得注意的是,这是AT&T今年第二次曝光大规模数据泄露事件,今年3月约有7300万客户数据泄露到“暗网”。
面对严峻的形势,AT&T迅速启动了内部和外部调查,并与执法机构密切合作。到目前为止,至少有一名涉案人员已被逮捕。与此同时,该公司正在采取措施关闭非法接入点,努力遏制数据泄露的进一步蔓延。
这一事件再次将美国电信行业的客户数据保护问题推到了风口浪尖。去年年底,美国联邦通信委员会(Federal Communications Commission)升级了数据泄露通知规则,旨在加强电信公司保护敏感客户信息的责任,增强客户在数据泄露后的自我保护能力。然而,频繁的数据泄露事件表明,行业内的数据安全保护体系仍有待加强。
据Hackread网站报道,7月12日,黑客组织NullBulge在臭名昭著的网络犯罪和黑客平台Breach Forums上发表声明,声称入侵了迪士尼,泄露了1.1 TiB (1.2TB)的Slack内部数据。
据报道,这一未经证实的泄露包含了该公司开发团队使用的Slack通信的完整副本,包括Slack工作空间内交换的消息、文件和其他数据。
黑客组织进一步声称,转储文件包括“近10000个频道,所有可能的消息和文件,未发布的项目,原始图像,代码,登录,内部API/网页链接等。
NullBulge在Breach论坛上的演讲
NullBulge还通过X(以前的Twitter)宣布了这次所谓的黑客攻击,称:“Di Ni的整个开发Slack被转储,涉及1.1 TiB (1.2 TB)的文件和聊天信息
NullBulge组织的起源尚不清楚,但其官方网站声称该组织致力于保护艺术家的权利。有传言称NullBulge可能与LockBit勒索软件组织有关,因为他们似乎使用了LockBit泄露的生成器。
NullBulge在推特上的声明
Hackread.com已经联系了迪士尼对此发表评论。《华尔街日报》首先报道了这一事件,并检查了据称由纳尔伯克获得的文件,其中包括“至少可追溯到2019年的有关迪士尼网站维护、软件开发、求职者评估、ESPN内部新兴领导力计划和员工对话的数据”。
根据ASRC(亚洲垃圾邮件研究中心)和寿内安公司的监测和观察,2024年第二季度,网络攻击的分工将越来越细致。从攻击趋势分析来看,可以将其明确分为两个阶段:初始入侵阶段和后续的横向或深度攻击阶段。初始入侵主要通过漏洞利用或凭证泄露进行。获取泄露凭证的一个重要方法是通过网络钓鱼邮件。本季度,我们需要特别警惕网络钓鱼邮件。年中,很多单位会进行社会工程演练,这会增加信息安全或IT部门的负担,所以要特别注意防护。此外,上一季度的主流二维码网络钓鱼邮件攻击在本季度仍在继续,未来很可能演变为常态化的攻击方式。
以下是本季度的特殊攻击示例介绍:
01
用于钓鱼邮件的必应服务
合法服务一直是网络钓鱼邮件的目标,因为网络钓鱼邮件中的超链接是他们最关键和最容易识别的部分。最近,我们发现Bing的服务被用来代替网络钓鱼邮件中的超链接。
通过必应的链接,受害者将首先被定向到一个恶意网站中继,然后重定向到实际的恶意页面。此恶意页面将直接显示受害者的电子邮件,并模仿Gmail的登录页面,主要目的是欺骗电子邮件登录账号和密码!更有趣的是,在第一次输入密码后,页面会更新一次,使受害者误以为输入不成功;第二次进入时,会直接重定向到Gmail的登录页面,这可能是为了提高找回密码的准确性。
02
很难区分真假的网络钓鱼邮件
一些网络钓鱼邮件会被修改为真实的通知邮件,甚至包括警告链接,以防止欺诈。整个邮件中的大部分超链接都指向真实的网站;但只有一个关键的超链接,将导致一个真正的网络钓鱼网站!这对受害者和扫描机制来说都有些欺骗性。
03
虚假侵权警告攻击邮件
本季度,我们还观察到带有假冒侵权警告的攻击电子邮件。这些电子邮件是精心制作的,侵权内容的证据似乎是确凿的,高度欺骗性的!但这些邮件来自Gmail,正式的商务通信或重要通知通常不会通过免费电子邮件发送。在收到这类邮件时,只要冷静判断,就能发现其中的异常。涉及金钱和法律等重大事件的电子邮件必须通过官方和合法渠道进行核实;千万不要因为一时的冲动而随意点击邮件中的联系方式或超链接,也不要贸然下载相关文件。
这封邮件主要是诱使受害者下载他们编写的“侵权证据文件”,但黑客不希望自动扫描机制介入并检查文件内容。因此,在正式下载文件之前,需要进行“人机验证”,验证成功后才能下载压缩文件。
在这个压缩文件中,有三个文件,其中最重要的是可执行PE文件,其图标已被替换为PDF图标,以引诱受害者打开PDF文件DLL文件是Remcos的后门;和另一个。解压缩后的Info文件会变得非常大,这可能会干扰扫描和检查机制。Remcos的常见部署方法是将其嵌入伪装成pdf的恶意ZIP文件中,声称包含发票或订单;其后门功能包括规避反病毒检查、权限升级、数据收集等。
后记
一项调查显示,发送探索性的社交工程练习电子邮件可能会让员工感到紧张和压力,但这可能对识别真正的网络钓鱼或攻击电子邮件没有太大帮助;相反,通过实例进行教育培训,可以更好地增强员工的安全意识和识别能力!网络钓鱼或网络钓鱼邮件都是基于社会工程的攻击方式,所以这种攻击很容易利用受害者的好奇、恐惧、时间压力或其他心理压力,导致受害者疏忽。
面对千变万化的网络钓鱼邮件,仅凭外观很难区分真假邮件!但网络钓鱼或诈骗电子邮件的通常方法是希望受害者确认或执行某种操作