keybase

作者：深信服千里目安全实验室 原文链接： https://mp.weixin.qq.com/s/8hLNDgrRcbvP3W0ASrwOwQ 摘要 漏洞研究者是大家心目中的安全专家，然而当安全专家的心理弱点被不讲武德的黑客利用，专家电脑上高价值的智力资产就会处于危险的境地，然而更危险的是这些本用于研究目的信息中如果存在可被武器化的内容，就导致研究人员无意中成为这些黑客的帮凶。 事件影响 26日，谷歌威胁分析小组披露了一系列来自东北亚某国黑客组织的针对安全研究人员(尤其是漏洞研究人员)的攻击活动。攻击者使用疑似Lazarus APT组织的攻击基础设施，结合非常具有迷惑性的社工操作，骗取受害者信任，并可能以盗取安全公司电脑上的高价值漏洞研究资料达到攻击目的。目前国内已有一定数量的安全研究人员受到这个组织的欺骗，其研究电脑的敏感信息泄露。 攻击技巧 攻击者为了与安全研究者建立互信并保持联系，首先会在一些社交媒体上发布一些漏洞研究博客和Twitter，吸引相关研究者的关注。其已知的攻击策略有两种： (1)在Twitter上进行一段时间的技术交流获得研究者信任后，攻击者会询问研究人员是否愿意开展合作研究，并向受害研究人员提供一个经过PGP加密的所谓“开展漏洞研究的VS源码项目”。其中在编译配置文件中调用了一段powershell脚本，加载了第一阶段的恶意DLL

从项目开始到创建前沿，研究和评估数学证明，在Filecoin项目中建立强大的安全文化一直是官方的核心目标之一，为Filecoin协议中执行的关键操作奠定了基础（如：复制证明和时空证明） ，通过与多位外部安全专家、渗透测试人员和研究人员合作审核官方的代码和实践，以建立起强大的安全习惯文化、安全的代码开发和测试。 随着Filecoin主网的启动，官方很高兴地宣布新的Filecoin Security网站，其中包括迄今为止完成的所有工作，将要发生的事情以及更新的Bug赏金计划的清单！ 启动security.filecoin.io 该站点将作为Filecoin安全计划的中央枢纽。在它上面，您可以找到有关以下方面的详细信息：安全审核、Bug赏金计划、负责任的披露政策以及以前报告的发现和缓解措施。 您可以通过两种方式公开您的发现：使用PGP密钥加密它们并通过电子邮件发送给官方，或者通过Keybase。Filecoin Security网站上的“漏洞报告”下有详细说明。 安全审核 官方一直在与多家知名的第三方审计专家合作，以确保该协议及其实施背后的理论能够实现预期的价值，从而使Filecoin成为一个安全的网络。 官方非常感谢过去几年与官方合作以确保Filecoin及其依赖项安全的安全合作伙伴。感谢宝贵的安全合作伙伴： SigmaPrime Trail of Bits ConsenSys