Lawrence’s List 072216

Lawrence Hoffman //
** advisory: 本博客中提及的技术和工具可能已过时，不适用于当前环境。但本文仍可作为学习机会，并可能整合到现代工具和技术中。**

本周清单较短，未像往常一样包含工具或概念验证链接。没有特别原因，只是未遇到值得直接讨论的内容。本周文章涉及法律行动、数据泄露、OpenSSH用户枚举，以及对公共无线网络这一常见安全威胁的既滑稽又严肃的审视。

电子前沿基金会（EFF）宣布对美国政府的诉讼，挑战《数字千年版权法案》第1201条。该条款标题为“规避版权保护系统”，表面上旨在保护电影和音乐等受版权保护的媒体。但第1201条的实质是剥夺了消费者对其购买的媒体、软件和硬件进行合理使用的权利。如果您不想阅读第1201条（尽管我建议阅读），EFF的文章提供了一个很好的例子，说明这一条款如何扼杀创新。
https://www.eff.org/press/releases/eff-lawsuit-takes-dmca-section-1201-research-and-technology-restrictions-violate

Canonical于本月15日报告其论坛再次遭到入侵。攻击者获取了超过200万个用户名、电子邮件地址和IP地址。Canonical坚称，由于使用单点登录，攻击者未获得任何密码。
http://insights.ubuntu.com/2016/07/15/notice-of-security-breach-on-ubuntu-forums/

OpenSSHd发布了一个用户枚举漏洞，允许通过一种有趣的时序攻击进行用户枚举。向服务器发送长密码（>10k字符），并观察服务器响应这些密码所需的时间。对于现有用户，只要服务器配置为使用SHA256/SHA512进行密码哈希，密码哈希所需时间会更长。此外，如果服务器不允许root登录，root用户不会显示为有效用户。
http://seclists.org/fulldisclosure/2016/Jul/51

用不安全的WiFi投票。我喜欢theregister.co.uk的讽刺风格，这项研究最好以略带讽刺的方式报道。我发布这篇文章是因为我觉得它是衡量美国人对公共WiFi网络风险教育程度（或缺乏教育）的一个好指标。
http://www.theregister.co.uk/2016/07/21/gop_wifi_privacy_fail/

准备好了解更多？
通过Antisyphon的实惠课程提升您的技能！
支持随付随训的培训
提供实时/虚拟和点播选项