Lawrence’s List 072216

注意：本博客中提到的技术和工具可能已过时，不适用于当前情况。但仍可作为学习机会，并可能更新或集成到现代工具和技术中。

本周的列表较短，我没有像往常一样包含工具或概念验证链接。没有特别原因，只是没有遇到我觉得可以直接讨论的内容。本周的文章涉及法律行动、数据泄露、OpenSSH用户枚举，最后是对常见安全恐惧——开放无线网络的滑稽但严肃的审视。

EFF宣布对美国政府的诉讼，挑战《数字千年版权法案》的第1201条。第1201条标题为“规避版权保护系统”，表面上最初旨在保护电影和音乐等受版权保护的媒体。第1201条的实际情况是，它剥夺了消费者对他们购买的媒体、软件和硬件进行合理使用的权利。对于那些不想阅读第1201条的人（尽管我建议你阅读），EFF的文章中有一个很好的例子，说明这是如何扼杀创新的。 https://www.eff.org/press/releases/eff-lawsuit-takes-dmca-section-1201-research-and-technology-restrictions-violate

Canonical在本月15日报告其论坛再次被入侵。攻击者访问了超过两百万个用户名、电子邮件地址和IP地址。Canonical坚持认为，由于使用了单点登录，攻击者没有获得任何密码。 http://insights.ubuntu.com/2016/07/15/notice-of-security-breach-on-ubuntu-forums/

发布了一个针对opensshd的用户枚举，允许通过一种有趣的计时攻击进行用户枚举。向服务器发送长密码（> 10k），然后观察服务器响应这些密码所需的时间。对于现有用户，只要服务器配置为使用SHA256/SHA512进行密码哈希，密码哈希所需的时间会更长。另外有趣的是，如果服务器不允许root登录，root用户不会显示为有效用户。 http://seclists.org/fulldisclosure/2016/Jul/51

用你不安全的WiFi投票。我喜欢theregister.co.uk的讽刺，这项研究最好用一些讽刺来报道。我发布这个是因为我觉得这是一个很好的指标，表明美国人对开放WiFi网络相关风险的教育程度（或未受教育程度）。 http://www.theregister.co.uk/2016/07/21/gop_wifi_privacy_fail/