首页
论坛
专栏
课程

[分享][2018.12.29 ] 苹果商城发现恶意Alexa应用:下架前工具类App排行第六 | 12月安全资讯

2018-12-3 09:27 4686

[分享][2018.12.29 ] 苹果商城发现恶意Alexa应用:下架前工具类App排行第六 | 12月安全资讯

2018-12-3 09:27
4686

2018.12.29周六


1、近千名脱北者个人信息因黑客攻击遭泄露


新京报快讯(记者 黄钟方辰)据韩联社,当地时间12月28日,韩国统一部透露,帮助脱北者适应韩国生活的一机构近期遭到黑客攻击,近千名脱北者个人信息遭到泄露。


报道称,该机构总部位于庆尚北道龟尾市,因一名员工没有按照规定对相关文件设置密码脱机保存,在其使用保存该文件的电脑浏览外部电子邮件时,电脑被植入恶意代码,导致997名脱北者的姓名、出生日期和地址等个人信息泄露。但是,手机号和身份证号等更为隐私的信息并未泄漏。


韩国政府和有关机构在获悉后于19日实施现场调查,并已确认泄露事实。据推测,信息泄露可能发生在11月。统一部有关人士称,警方已就此开展调查,黑客身份尚待查证。自本月27日起,统一部将个人信息泄露的情况陆续通知相关脱北者,统一部次官(副部长)千海成27日下午为此主持召开会议,讨论救助受害者和防止类似事件重演的对策。


目前,韩国共有25家帮助脱北者在韩安居乐业的机构,由统一部委托民间机构运营。有意见指出,这些机构对个人信息和员工的监管体系亟待完善。统一部就此表示,今年一直在构建机构内外网相分离的系统,预计将从明年起投入运用。


来源:新京报



2、苹果商城发现恶意Alexa应用:下架前工具类App排行第六


近期国外安全专家在App Store上发现了一款名为“Setup for Amazon Alexa”的恶意APP,在下架之前它在工具类榜单中排行第6,在所有免费APP中排行第60。目前尚不清楚这款APP的真实意图,但显然这并非是由亚马逊官方制作的。




虽然这款恶意APP已经从App Store下架,但在背后依然存在很多的疑问。首先包含如此明显关键词的APP是如何通过审核上架的?目前外媒编辑在查询后发现App Store上还有两款不太和谐的应用程序,一个为Any Font for Instagram,而另一个为Marketplace - Buy / Sell,整体设计非常类似于Facebook。


这款名为“Setup for Amazon Alexa”的APP是由One World Software开发的,会向用户提交IP地址、序列号和名称。如果你的序列号和IP地址被泄露,那么最终可能会导致第三方恶意干扰。


来源:cnBeta.COM



3、黑客攻击 Electrum 钱包窃取到 200 多比特币


黑客或黑客组织通过攻击 Electrum 比特币钱包的基础设施窃取到了 200 多比特币,价值大约 75 万美元。攻击者针对的是 Electrum 钱包应用的弱点,Electrum 钱包网络可以加入服务器,而服务器可以对钱包应用弹出警告信息。


攻击者首先给网络加入了几十台恶意服务器,当用户进行比特币交易时如果交易通过了一个恶意服务器,他们的钱包会收到更新通知,当用户从黑客的 GitHub 库里下载恶意更新重新启动后会要求输入二步认证代码,黑客窃取了二步认证代码后就能转移走用户钱包里的比特币。


攻击始于 12 月 21 日,在 GitHub 移除恶意库之后停止。由于漏洞尚未修复 Electrum 警告类似的攻击可能会再次发生。






来源:solidot.org

声明:本网站所提供的信息仅供参考之用,并不代表本网站赞同其观点,也不代表本网站对其真实性负责。 



更多阅读:







2018.12.28周五


1、卡巴斯基:明年将会出现盗用生物识别数据的攻击行动


据台湾地区科技媒体iThome报道,俄罗斯安全企业卡巴斯基实验室(Kaspersky Lab)上个月公布了针对金融机构的2019年安全预测,指出明年将会出现首起盗用生物识别数据的攻击行动。卡巴斯基指出,愈来愈多的金融机构开始支持生物识别系统,用来识别和认证用户。而到目前为止,已经发生了多起生物识别数据泄露的意外。


这两个因素加在一起,让明年极有可能出现首例利用外泄的生物识别数据进行攻击的事件。


由于电子支付在印度、巴基斯坦、东南亚以及中欧等发展中国家日益普及,但这些国家金融组织的保护机制相对不成熟,因此在这些国家和地区可能会出现新的黑客集团。


而针对金融机构供应链的攻击也将延续到2019年,通常这些供应链上的软件供应链规模较小、安全措施也比较不足,黑客可能会借此渗透到供应链攻击汇款系统、银行及交易中心。


鉴于许多金融机构都缺乏实体的安全性以及对联网装置的控制,黑客只要利用联网装置就能入侵银行的内部网路。


研究人员建议金融卡的用户最好使用芯片金融卡,并设定双重认证,才不会成为黑客的头号目标;企业用的移动金融程序也有很大的机会成为黑客觊觎的对象;金融机构及企业的员工也将持续成为黑客的网络钓鱼目标以便进行诈骗行为。


来源:新浪网



2、黑客窃取了美国圣地亚哥学区十年的数据


【手机中国新闻】一名黑客窃取了美国圣地亚哥联合学区超过500,000名员工和学生的个人信息。该地区趁圣诞节假期前于上周五在网站上发布了黑客攻击的通知。该攻击是由攻击者通过一种称为网络钓鱼的策略获得了员工凭证的访问权限即 攻击者发送将用户重定向到虚假登录页面的电子邮件,以此收集登录凭据。


并没有人忽视这次网络安全攻击。一些工作人员早已向IT人员报告了这些有问题的电子邮件,IT人员经调查并最终在今年10月发现了这一漏洞。该学区官员表示,黑客是在2018年1月到11月1日之间访问该学区网络,但他偷走的学生和员工的数据可以追溯到2008-2009学年。


该学区官员在发送给受害者的电子邮件中表示,他们在发现安全漏洞后故意允许黑客进行操作。在信中说:“在调查期间,有必要不立即向那些我们了解受黑客攻击的受害者发出通知。现调查阶段已结束,我们现正在通知所有潜在的受害者。但是,全面调查仍在继续。”


该学区官员表示,圣地亚哥学区警察及其IT人员确定了黑客并重置了所有被入侵的帐户,以防止将来黑客再次访问其网络。据信黑客可以访问该学区50多个员工的帐户。黑客通过帐户访问收集学生和员工的信息。根据圣地亚哥联合学区的说法,在黑客访问其网络的11个月内获取了以下信息:


·学生和选定的员工个人识别信息,包括:姓名,出生日期,邮寄地址,家庭住址,电话号码;


·学生注册信息,包括:时间表,纪律事件信息,健康信息,出勤学校,转学信息,存档的法律声明,出勤数据;


·学生和选定的员工社会安全号码和/或州学生证号码;


·学生和教职员工父母,监护人和紧急联系人的个人识别信息,包括:姓名,电话号码,地址(如果提供),电子邮件地址,雇主信息;


·选定的员工福利信息,包括:健康福利登记信息,受益人识别信息,依赖身份信息,储蓄或灵活支出帐户信息;


·选定的员工薪资和薪酬信息,包括:可见薪资和薪酬建议,扣除信息,税务信息,直接存款金融机构名称,路由号码和账号,工资和休假信息;


该地区官员提醒到,“无论您是否收到通知,我们仍建议您联系信用报告机构,告知他们您的信息遭到破坏。您可以提供身份盗窃/欺诈警报,获取您所在州的信用冻结信息,或通过三个信用报告机构中的任何一个订购免费信用报告。”


来源:手机中国


3、俄方:俄驻英大使馆网站遭黑客攻击 数据库被摧毁


[环球网报道 实习记者 任洁]俄罗斯外交部发言人扎哈罗娃26日在外交部例行记者会上表示,俄驻英大使馆网站遭黑客攻击,数据库被摧毁。今日俄罗斯(RT)12月26日披露了这则消息。


扎哈罗娃称,“12月17日,俄罗斯驻伦敦大使馆官网和俄罗斯常驻国际海事组织代表团网站遭到强力的黑客攻击,结果数据库被完全摧毁”,她还补充道,将近一天无法进入这些网站。


扎哈罗娃呼吁英国当局注意这一事件。


“我们会建议英国官员停止散布关于神秘的俄罗斯黑客的谣言,并密切注意英国的互联网领域正在发生的事情”扎哈罗娃强调,(英国)不能忘记合作在网络安全领域中的重要性。


此前据俄媒报道,俄驻伦敦大使馆官网17日下午2点48分被袭,当时网站刚刚发布了两则消息,一则有关英国参与乌克兰事务,另一则是对英国BBC记者撰写“寻找俄罗斯参与法国黄背心活动的痕迹”一文的批评性评论。黑客入侵后,俄方大使馆专家正在研究,是否能够恢复包含对英国外交政策评估的全部档案文集。


来源:环球网

声明:本网站所提供的信息仅供参考之用,并不代表本网站赞同其观点,也不代表本网站对其真实性负责。 



更多阅读:







2018.12.27周四


1、又诞生了一个新的更Powerful的挖矿木马


前言


没错,现在市面上又诞生了一种功能更强大的恶意挖矿软件。这款恶意软件名叫KingMiner,它可以利用Windows Server CPU的全部算力来挖矿。值得一提的是,它的攻击频率越来越高了,但是检测率却越来越低…




解构


恶意挖矿攻击,指的是攻击者劫持目标用户的PC或系统,然后利用目标设备的CPU算力来进行隐蔽性的挖矿活动,而这种恶意活动也成为了个人用户和企业用户的“眼中钉,肉中刺”。


在大多数恶意挖矿攻击活动中,攻击者通常挖的是门罗币(XMR)和以太坊(ETH),如果窃取的算力有限制的话,这种攻击还是很难被发现的,而且挖矿收益会实时转移到攻击者的电子钱包中。值得注意的是,这种攻击的吸引力已经超过了勒索软件,而且恶意挖矿攻击的隐蔽性更高。


就在前几天,Check Point的安全研究专家表示,他们检测到了一种新型的恶意挖矿软件,这款恶意软件名叫KingMiner。KingMiner的首次出现是在今年的6月份,而且现在也衍生出了很多变种版本。


这款恶意软件一般针对的是IIS/SQL Microsoft服务器,使用了暴力破解攻击来获取入侵服务器所必须的凭证。得到授权凭证之后,便会在目标主机上下载并执行一个.sct Windows Scriptlet文件。


这个脚本可以扫描并检测目标设备的CPU架构,并下载相应CPU的Payload。通过分析发现,Payload表面上是一个.zip文件,实际上却是一个 XML文件。提取并执行之后,恶意软件Payload会创建一系列新的注册表键,并执行一个XMRig挖矿软件,而这个软件的作用就是挖门罗币。


根据研究人员提取出来的配置信息,这个挖矿软件会使用目标设备CPU 75%的算力,但很可能是由于存在编码错误,它实际上会占用到CPU 100%的资源。


而且,为了增加跟踪分析的难度,KingMiner的矿池还设置的隐藏保护,并关闭了其他的API。除此之外,它所使用的钱包地址是从未在公共矿池中使用过的,研究人员也无法检测到攻击者所使用的域名以及总共挖到了门罗币数量。




根据Check Point的统计数据,目前感染KingMiner的用户主要分布在墨西哥、印度、挪威挪威和以色列等国家。新版本的KingMiner也已经衍生出了两个更新的变种版本,而且种种迹象表明(恶意软件的代码中有很多占位符,用于增加新的功能),这款恶意软件的开发人员仍在增强KingMiner的功能。


CheckPoint的研究人员表示,攻击者使用了各种绕过技术来躲避安全产品的检测,而且他们也确实成功地降低了被检测到的机率。更重要的是,KingMiner的攻击活动越来越频繁了,而检测率越来越低的事实的确让他们头疼不已。


来源: FreeBuf.COM



2、工人日报:给泄露患者隐私者更强震慑


12月23日,十三届全国人大常委会第七次会议继续审议民法典侵权责任编草案。草案一审稿规定,医疗机构及其医务人员泄露患者隐私和个人信息或者未经患者同意公开其病历资料,造成患者损害的,应当承担侵权责任。二审稿删去了“造成患者损害”内容。(见12月24日《新华每日电讯》)


近年来,泄露患者隐私的事件不断出现,其中有的是由医疗机构或医务人员所致,比如深圳千名孕产妇信息泄露、上海疾控中心工作人员贩卖新生儿信息案等。


过去,这类事件发生后,是否追究当事人责任,要看产生了怎样的后果。因为侵权责任法规定,医疗机构及其医务人员泄露患者隐私或者未经患者同意公开其病历资料,造成患者损害的,应当承担侵权责任。可以看出,“造成患者损害”是泄露隐私者承担侵权责任的重要条件。这也意味着,若恶意泄露患者隐私的行为并未造成患者损害,就可能不被法律惩处。但事实上,即使没有导致患者有实质性损害,也是对其权益的侵犯。并且,现在没有损害,不意味着今后没有。


给予泄露患者隐私行为以更严厉的惩罚,是很多国家的共同做法。比如,美国的《健康保险隐私和责任法案》规定,对于违反该法案安全条例的行为,处以最高25万美元的罚款和最长10年的监禁;在英国,病房门口贴着写有“不能随意拍照”和“不能将任何有关患者信息的东西随意外泄”的牌子。


删除“造成患者损害”的内容,是将后果担责变成了行为担责,即只要出现泄露患者隐私或病历资料的现象,就须承担相应的法律责任。一方面,这扩大了法律惩处的覆盖面,是对泄漏患者隐私行为的更强有力的震慑,有“伸手即被捉”的意味;另一方面,这也传递出通过立法加强隐私保护、防止信息泄露的趋势和力度。对患者和公众而言、对社会秩序和社会治理而言,这都意义重大。


来源:工人日报


3、警惕!移动支付最常见安全问题是个人信息泄露



图为12月24日发布的《2018年移动支付用户调研报告》内容截图


新华网消息 12月24日,中国支付清算协会(简称“支付清算协会”)公布了《2018年移动支付用户调研报告》。报告显示,个人信息泄露是用户使用移动支付过程中最常遇到的安全问题。


2018年,用户认为在支付过程中遇到的安全问题排名第一位是个人信息被泄露,占比为81.0%;排名第二位是手机扫描到伪假条码,占比为70.1%;排名第三位是账户资金被盗用,占比为67.5%;最后是付款码发送给他人,占比为41.2%。


报告称,用户最期望市场主体及时进行支付风险提示和畅通投诉渠道,保障移动支付安全和客户合法权益。支付清算协会有关负责人认为,这说明用户除了关注自身账户资金安全,对个人隐私信息的保护意识也在增强,需要广大市场主体在提供移动支付服务的同时,也要加强对用户敏感信息的保护,在信息采集、处理、存储、使用等环节建立起符合监管、安全完善的管理机制。


从使用习惯来看,用户使用移动支付的频次较高,每天都使用的用户数量持续提升。2018年,用户使用频率持续提升,有80.1%的用户每天使用移动支付,比2017年上升1.4个百分点;一周使用2至3次移动支付的用户占比为14.4%;有2.0%的用户每周使用1次移动支付;半个月使用一次移动支付的用户占比为1.4%;一个月使用一次移动支付的用户占比为1.2%;有1.0%的用户不常使用移动支付。


报告显示,移动支付用户单笔支付金额多为500元以下,以服务小额便民支付领域为主。2018年,有43.16%的用户单笔支付金额在100元以下;29.48%的用户单笔支付金额在100至500元,与2017年基本持平;13.4%的用户单笔支付金额在500-1000元,较2017年下降1.4%;13.96%的用户单笔支付金额在1000元以上,较2017年相比上升1.36%。


值得注意的是,近两年来,生物识别技术在移动支付领域越来越广泛,指纹和人脸识别技术最为广大用户了解。与2017年相比,人脸识别技术的应用范围进一步扩大,已成为手机解锁、用户身份验证、PAY类支付等场景,主流验证手段也引来众多机构的布局。不过,用户在使用生物识别技术进行移动支付身份识别和交易验证时,首要担心的问题仍然是个人隐私泄露和存在安全隐患。


据介绍,《2018年移动支付用户调研报告》报告由中国支付清算协会移动支付和网络支付应用工作委员会及相关成员单位成立的课题组完成,重点针对用户基本属性、用户使用偏好、用户满意度等内容开展延续性调查,本次调查共收到76671份有效问卷。


来源:新华网

声明:本网站所提供的信息仅供参考之用,并不代表本网站赞同其观点,也不代表本网站对其真实性负责。 



更多阅读:


2018.12.26周三



1、Librefox:具有隐私增强功能的Firefox


Librefox 是一个开源项目,旨在为任何人提供隐私保护和增强安全的 Firefox 浏览器代替品。Librefox 不是 Firefox 的分支,Librefox 使用核心的 Firefox 功能,并对浏览器在隐私保护,安全性方面进行优化增强。该项目使用 Ghacks user.js 和其他功能创建一个浏览器。提供更好的隐私保护和开箱即用的安全性。


Librefox 适用于 Windows,Mac 和 Linux 设备。无需安装即可运行。Librefox 项目团队创建了基于 Firefox 稳定版的扩展插件和 Librefox 的 Beta 版。


在使用时,整体界面与 Firefox 并无差异,因为整个浏览器还是运行在 Firefox 之上。




Librefox 开发团队从 Firefox 中删除了一些组件:从浏览器中删除了『不尊重隐私』的更新程序、崩溃报告组件和其他附加组件。Firefox 默认使用的通信组件也被删除:


The objective is zero unauthorized connection (ping/telemetry/Mozilla/Google...).


Lirefox 没有附加组件,目前开发团队已经为 LibreFox 创建了几个扩展组件,团队建议安装。建议安装的组件已经通过了相关的代码审查。


Librefox 扩展为 Firefox 提供了一个暗黑主题,HTTP Watcher 和 Relaod 按钮。推荐的第三方扩展包括:uBlock Origin、Cookies Master、First Party Isolation、User Agent Platform Spoofer 和 Brower Plugs Privacy Firefox。扩展相关链接在项目网站上。


初次之外,Librefox 有一个 Extensions Firefox 的实验性功能,但默认情况下它被禁用。他旨在在全局管理加载项,允许或者禁止相关扩展连接。


想要了解更多 Firefox 和 Librefox 之间的差异可以从检查 mozilla.cfg 和 policies.json开始。对于隐私安全有需求的Firefox用户来说,Librefox可能值得一试。


项目地址:

Librefox: Librefox, patching Firefox for an enforced privacy and security


来源:开源中国



2、印度将允许执法与情报机构监控境内电脑上的任何信息


据台湾地区科技媒体iThome报道,印度内政部下属的网络及信息安全部门在上周发布了一项命令,将允许印度的10个执法与情报机构可拦截、监控及解密境内任何电脑上所储存或接收的信息。




据报道,被赋予监控权限的单位包括情报局、麻醉品管制局、执法局、中央税务局、税收情报署、中央调查局、国家调查局、内阁秘书处、信号情报处及警务处处长。而服务供应商或电脑所有人则必须遵循这一命令,提供上述单位所要求的信息,否则必须支付罚款,或者面临最高7年的有期徒刑。


根据印度内政部的说明,这一命令是源自于该国的《信息科技法案》(Information Technology Act),该法案中的第69节阐明了当印度的主权、国防、国家安全、外交、公共秩序受到危害,或者为了避免受到危害时,可以要求任何机构监控运算装置。


印度通讯与信息科技部部长Ravi Shankar Prasad表示,上述单位肩负着国家安全的责任,但它们也必须得到内政部的批准,才能进行监控。


反对者则批评印度政府是在未经议会讨论下就偷偷地引入了这一侵犯民众隐私的权力,将把印度变成一个监控国家。


来源:新浪科技



3、最新钓鱼邮件曝光:伪装成Office 365未送达邮件


近日互联网上出现了新型的网络钓鱼攻击形式,伪装成为Office 365未送达邮件来窃取你的密码信息。这种钓鱼方式最早由ISC Handler的Xavier Mertens发现,并伪装成为“微软已经发现几条未发送的信息”。然后它会提示你点击“再次发送”链接来尝试再次发送电子邮件。




一旦用户点击“再次发送”链接,就会跳转至和微软登录页相同的网站,并要求用户输入他们的账号和密码。随后该网页会激活名为sendmails()的Javascript脚本,将会电子邮件地址和密码发送到sendx.php脚本上,然后将用户重定向到合法的Office 365中登陆URL。




虽然电子邮件看起来非常合法,但有一些方法可以防止这些网络钓鱼攻击。首先是“再次发送”按钮,微软从未在发送失败之后会有再次发送电子邮件的选项,用户只有返回到Outlook并手动发送。其次,发送电子邮件之后,如果发送失败会立即反馈回来。最后就是在输入账号和密码之前始终检查下地址栏的URL地址,确认是否真的为官方网站。


来源:cnBeta.COM

声明:本网站所提供的信息仅供参考之用,并不代表本网站赞同其观点,也不代表本网站对其真实性负责。 




更多阅读:







2018.12.25周二


1、研究发现网站文本验证码存在“巨大安全漏洞”


由中国西北大学房鼎益、陈晓江教授团队联合北京大学、英国兰卡斯特大学研究发现,网站上看似复杂的文本验证码存在“巨大安全漏洞”,大多数可被人工智能破解。这一成果发布于近期由国际计算机协会在加拿大举办的2018年计算机与通讯安全会议上,该会议是国际公认的计算机安全领域的顶级会议之一。


西北大学团队负责人房鼎益教授介绍,团队基于最新的人工智能技术,建立了一套新型验证码求解器。他们综合分析了全球最热门50个网站的文本验证码,包括公众熟知的谷歌、eBay、微软、维基百科、淘宝、百度、腾讯、京东等网站。实验证明,大部分文本验证码可在0.05秒内被人工智能攻破。




近10年来,验证码已成为大部分网站和应用程序必备的安全机制之一。虽然过程繁琐,但却起着重要的作用。在输入验证码时,后台系统能通过输入时长来识别登录者是人,还是计算机程序,从而避免因恶意登录导致的密码泄露、刷票、作弊等现象。


“验证码一旦被人工智能攻破,写个程序就能成为水军,用机器点赞或投票;也能刷抢火车票,这是人工操作做不到的。”房鼎益说。


然而实验表明,大部分网站文本验证码的破解率能够达到50%以上。团队主要成员、西北大学信息科学与技术学院副教授汤战勇说,通过这项研究,希望能提高业界对文本验证码安全性的重视和关注。近年来在人工智能技术取得重大突破这一背景下,文本验证码的安全性非常脆弱,我们急需考虑使用新型的验证码方案。


房鼎益教授也表示,目前研究人员正致力于利用人工智能技术合成更安全的验证码来抵御此类攻击。“我们试图在不影响交互性的基础上,让用户体验更便捷,让机器更难识别,确保网络安全和用户隐私不被泄露,是我们未来的研究方向。”


来源:新华社 



2、英国制定智能汽车网络安全准则 防止黑客攻击


据外媒报道,日前,英国多家汽车制造商联合科研机构与交通部,共同制定了一套自动驾驶和联网汽车的网络安全指南,以确保未来智能汽车不会被黑客与不法分子所操纵。


英国交通部与捷豹路虎、宾利和美国福特公司合作研究出了自动驾驶汽车网络安全的基本原则。这些指导方针虽不是强制性的,但它为汽车网络安全提供了一个框架,防止未来无人驾驶汽车和智能互联汽车受到黑客的控制,同时确保汽车安全存储和管理用户的数据。


该文件的适用对象为汽车公司及其供应商,基于DfT和互联及自动驾车辆中心(CCAV)先前制定的原则。文件规定自动驾驶车和互联车辆的传感器必须能够抵抗黑客干扰,并且公司必须主动报告黑客企图。如果自动驾驶汽车发生故障,也必须有故障安全系统来保护路人和乘客。


英国致力于跃居自动驾驶汽车行业前沿。据预计,到2035年,英国该行业价值将达520亿英镑。交通部长杰西 诺曼(Jesse Norman)在评论新标准时说:“随着车辆变得更加智能,未来汽车行业的机遇将增多,但是这也带来了数据窃取和黑客攻击的风险。”诺曼补充说,新标准“应有助于该行业更好地应对挑战,并保持英国处在无人驾驶技术发展的前沿。”


来源:环球网



3、美善意黑客通过监控摄像头提醒主人密码遭泄露


【环球网综合报道】据英国《每日邮报》12月20日报道,美国一名“白帽黑客”入侵菲尼克斯市居民安迪•格雷格(Andy Gregg)家中的监控摄影头,并通过监控器内置的麦克风提醒他监控器密码已经在网上泄露,希望他尽快修改密码。


当时格雷格独自在家中,突然听见陌生人的声音,他还以为有人入室抢劫了。更令他惊讶的是,他发现原来声音来自他安装在家中窗前的监控摄像头。


这名黑客向格雷格保证,他入侵格雷格的监控系统并没有“恶意”。实际上,他是来自加拿大卡尔加里一个匿名组织的“白帽黑客”,即用自己的黑客技术来维护网络关系公平正义的计算机安全专家,他只是侵入受保护系统和网络以评估其安全性。


黑客说:“请不要害怕。”他说格雷格在多个网站使用同一个密码,还背出了这一密码,“我是来帮你的,”他解释道:“我不知道你现在住哪儿,但如果真的有人下足功夫,就可以精确到你的IP地址。他们可以看到你是否在家,可能会做一些坏事。”


格雷格问这名白帽黑客如何得知他在家,他回答说只是碰巧:“其实我不知道有人在家,我只是登录了一些账户,听到一些动静,所以想问问有没有人在。我本来打算等到明天白天再告诉你,但我担心别的黑客在此之前入侵,所以我还是立即通知你了。”


最后,格雷格表示:“非常感谢您特意提醒我。”白帽黑客回复道:“如果吓到你的话很抱歉,我不会再来打扰你了,晚安!”


经过此次事件,格雷格表示,他要把监控摄像头撤下来。“我再也不装什么摄像头了,我觉得最好的安保措施是养一只狗。”


智能家居品牌Nest监控摄影头可与手机连接,可通过手机实时观看镜头覆盖区域的情况,它内置扬声器和麦克风,这样用户就可以听到家里发生的事情,与家人、孩子或是闯入家中的不肖之徒交谈。


Nest品牌发言人在一项声明中称,“很多Nest用户使用在别的网站使用过密码,而且这些密码因为网站系统漏洞问题而被泄露,并公之于众。但Nest并没有出现过系统漏洞。我们已经提前警告那些受影响的用户重置密码,并使用双因素身份验证。”


来源:环球网

声明:本网站所提供的信息仅供参考之用,并不代表本网站赞同其观点,也不代表本网站对其真实性负责。 



更多阅读:







2018.12.24周一


1、印度政府将能拦截、监视和解密公民的计算机


印度政府扩大了 2000 年的 IT 法案 69 章节的范围,授权十个中央机构拦截、监视和解密任何计算机上的数据。新的条款要求服务提供商或任何负责计算机的人向政府提供必要的技术援助,不予配合的人将面临最高 7 年徒刑和未指定数额的罚款。新的措施引发了隐私方面的担忧。印度 IT 部长 Ravi Shankar Prasad 解释说此举是为了国家安全,他表示某种形式的监听早已存在多年,新的措施规范了这一流程。

来源:solidot.org


2、医务人员泄露患者信息 未造成损害也要承担侵权责任


新京报快讯(记者 王姝)今天(12月23日),十三届全国人大常委会第七次会议二次审议民法典侵权责任编草案,对比一审稿,二审稿针对医疗损害责任作出两处修改。


对于患者隐私和个人信息保护,一审稿规定,医疗机构及其医务人员泄露患者隐私和个人信息或者未经患者同意公开其病历资料,造成患者损害的,应当承担侵权责任。


有的常委委员提出,医疗机构及其医务人员泄露患者隐私和个人信息,或者擅自公开患者病历资料,是种较为严重的侵权行为,有可能对患者的生活、工作和学习造成重大影响,为遏制这种行为,法律应当明确规定,无论该行为对患者是否造成损害,医疗机构及其医务人员都应承担侵权责任。


二审稿采纳上述建议,删除了“造成患者损害”这一限制,即医疗机构及其医务人员一旦泄露患者隐私和个人信息,不论是否造成患者损害,都应承担侵权责任。


对于医务人员的说明义务,一审稿规定,医务人员在诊疗活动中应当向患者说明病情和医疗措施。需要实施手术、特殊检查、特殊治疗的,医务人员应当及时向患者具体说明医疗风险、替代医疗方案等情况,并取得书面同意;不宜向患者说明的,应当向患者的近亲属说明,并取得其书面同意。


有的部门和社会公众提出,“不宜向患者说明”是否包括“不能向患者说明”的情形不清楚,在实践中常常引发争议,应当予以明确。


全国人大宪法和法律委员会经研究认为,在患者昏迷或者由于生理、精神状态无法作出有效判断时,属于“不能”向患者说明的情形。据此,二审稿将“不宜向患者说明”修改为“不能或不宜向患者说明”。


来源:新京报



3、Intel SGX开放第三方证明服务


TPM/TXT提供从一定程度的硬件信任根到系统软件的信任链的构建,而应用程序的安全并没有直接纳入TPM/TXT的考虑范畴,Intel近年来一直在大力推动SGX作为新一代针对应用程序的enclave(飞地)方案,SGX自诞生之日起就引起了众多争议,主要集中在几个方面:


1,固件的不可审计带来后门的风险。


2,过度复杂的设计和实现增加了攻击平面。


3,对Intel ME一些代码模块的依赖导致会受到ME漏洞(也包括SGX自身漏洞)的影响。


4,受到处理器微架构漏洞的影响比如L1TF。


5,IAS( Intel Attestation Service)不对第三方开放,所以必须信任Intel作为远程证明的前提。


近日,Intel终于开放了第三方证明服务,Intel发布了文档介绍如何构建自己的证明服务,Intel SGX DCAP使用了一个在固件中实现的新特性FLC(Flexible Launch Control)控制哪些enclaves被允许使用CRS(Certificate Retrieval Service)去访问PPID(Platform Provisioning Identifier),而那些请求访问PPID的enclave可以被证明服务提供者签名。


Intel此次开放第三方证明服务对整个生态是好事,可以吸引更多的厂商参与,但自由固件社区更关注的问题1)和3)依然没有得到解决,自由固件社区的黑客们显然是不可能去信任一个无法审计而且高度依赖来自Ring -3世界恶魔的enclave实现,遗憾的是目前的开放enclave方案如Sanctum/Keystone到生产环境的成熟度还有一段距离。




来源:solidot.org


更多阅读:






2018.12.21周五


1、 NASA 服务器被黑客攻击,员工信息曝光


美国国家航空航天局(NASA)近日承认,称今年早些时候曾遭黑客入侵。 


航天局在发给全体员工的内部备忘录中称,某未知入侵者访问了某台储存了在职与离职员工个人数据的服务器,社保号码也受此次入侵影响。


航天局称,约2个月前(即10月23号)发现了此次入侵。目前尚不清楚航天局为何在事发2个月后才通知员工,但美国执法机构通常会要求被黑机构推迟通知受害者的时间,以便对事件进行调查。 


NASA证实其正与联邦网络安全伙伴合作“检测服务器以确定潜在的数据泄露影响规模,以及可能受影响的个人。” 


航天局仍不清楚此次数据泄露的规模,以及受影响的员工数量。NASA昨日发布备忘录称,为安全起见,将通知全体员工,以便采取措施应对潜在的欺诈行为。 


NASA助理署长鲍勃·吉布斯(Bob Gibbs)在备忘录中表示,“在2006年7月至2018年10月期间入职或离职、以及在不同部门间转职的NASA公务员可能受到影响。” 


吉布斯称,“一经确认,NASA将向个人信息受影响的在职或离职员工提供具体的后续信息,并适当地提供身份保护服务与其他相关资源。” 


航天局称调查该入侵事件“需要时间”。 


NASA发言人并未立即回应ZDNet邀请其发表评论的请求。 


NASA还表示,其认为并无任务受此次入侵影响。 


来源:信安巴士


2、 华盛顿特区就剑桥分析公司数据丑闻起诉Facebook


美国华盛顿特区总检察官卡尔·拉辛(Karl Racine)周三称,华盛顿特区将就剑桥分析公司(Cambridge Analytica)的数据丑闻向Facebook提出起诉。


华盛顿特区检方在诉讼中称,Facebook误导用户之举触犯了特区的《消费者保护程序法》(Consumer Protection Procedures Act),这家社交网络巨头允许用户下载剑桥分析公司开发的一个应用,随后这个应用在未经许可的情况下不正当地收集了用户的私人信息。


Facebook发言人向CNBC发出声明称:“我们正在评估这桩诉讼,并盼望继续与华盛顿特区及其他州的总检察官展开讨论。”


拉辛表示,根据华盛顿特区的《消费者保护程序法》,Facebook将面临“每次违规行为”最多5000美元的罚款。目前还不清楚哪些行为可构成该法案规定的单一侵权行为。


检方称,共有852名华盛顿特区用户下载了剑桥分析公司提供的误导性应用,但个人数据通过Facebook平台被不正当收集的特区居民人数则多得多,高达34万人左右,这些居民是最初下载了前述应用的Facebook用户的好友。


如果所有34万例都被认定为“违规”,则根据上述法规,这可能意味着Facebook将面临最多17亿美元的罚款。


“我们认为,很明显该公司需要作出改变。”拉辛说道。


在周三举行的一次有关这桩诉讼的新闻发布会上,拉辛表示该诉讼并非一桩多州联合诉讼的一部分,并称其不确定是否有人已在组织一桩牵涉到多州诉讼的行动。


来源:信安巴士


3、 国家林业和草原局信息中心大数据处正式成立


近日,国家林业和草原局信息中心大数据处正式成立,这是国家林业和草原局为积极落实国家信息化工作新要求和行业大数据建设发展需要做出的重要决策,标志着林业和草原业向高质量发展迈出重要一步。


近年来,国家林业和草原局大力推进林草业大数据建设,主要以推进林草数据资源整合共享、统筹林草大数据建设、深化林草大数据创新应用为主。


完成了“三大战略”数据资源协同共享平台试点建设;组织编制林业大数据信息资源目录,制定统一数据标准;推进生态大数据基础平台体系建设;成立了国家生态大数据研究院;建设“互联网+”义务植树、苏铁频道、领导决策服务系统等典型应用。


随着大数据处的正式成立,国家林业和草原局将进一步深入落实党中央、国务院关于大数据建设的相关要求,不断开拓创新进取,继续推进“三大战略”数据资源协同共享平台建设,优化林业大数据信息资源目录,推动生态大数据基础平台体系建设,为林业和草原现代化建设宏观决策提供有力支撑。


来源:信安巴士

声明:本网站所提供的信息仅供参考之用,并不代表本网站赞同其观点,也不代表本网站对其真实性负责。 



更多阅读:








2018.12.20周四


1、AV-TEST给出了适用于Android的最佳安全应用程序名单


防病毒测试实验室AV-TEST最近评估了20种针对Android的移动安全产品性能。毫不奇怪,最好的结果再次由着名供应商开发的行业领先产品提供,包括Bitdefender和卡巴斯基。2018年11月进行的研究,在三个不同领域测试了每个产品,即保护,可用性和功能。每项产品在每次测试中的性能最高可获得6分。


趋势科技移动安全,腾讯WeSecure,赛门铁克诺顿移动安全,Sophos移动安全,迈克菲移动安全,卡巴斯基实验室安卓互联网安全,G数据互联网安全和Bitdefender移动安全实现了最高分13分。


这些针对Android的安全应用程序中的每一个都获得了最多六点保护和可用性,以及一点功能。相比之下,谷歌的Play Protect已经整合到Google Play商店中,在获得零点保护,4.5分可用性以及0分功能得分之后,获得了4.5分的最低分。这是唯一未能获得AV-TEST认证的解决方案。


除了Google Play Protect之外,性能最差的是NSHC Droid-X 3,它仅获得3点保护,6点可用性,1点功能。毋庸置疑,这些测试结果可以帮助您选择Android安全应用程序。正如许多Android用户最近发现的那样,只要从受信任的来源下载应用程序,实际上就更容易远离移动平台上的恶意软件。






来源:cnBeta.COM



2、英国警方本周在伦敦对圣诞购物者进行面部识别测试


面部识别技术继续由英国警察部队进行试验,尽管错误率很高。在最新的测试中,该技术被用于扫描伦敦圣诞节购物者的面孔,警方希望能够找到被通缉的罪犯。这是英国首都警察部队大都会警察第七次公开对面部识别进行试验。该技术之前曾用于大型活动,包括2016年和2017年的诺丁山狂欢节以及去年的纪念日服务。


今年,该技术将于本周一和周二在Soho,皮卡迪利广场和莱斯特广场使用,这是该市中心的所有主要购物区。


摄像机固定在灯柱上或部署在货车上,并使用日本公司NEC开发的软件来测量面部结构。然后将此扫描与警察面部照片数据库进行比较。大都会表示,通过该软件进行的匹配将促使官员检查个人并决定是否逮捕他们。


隐私权倡导者强烈反对该技术在英国的使用。 “大哥观察”组织将警方使用面部识别的理由描述为“误导,无能和专制。”批评人士指出,警方并不仅限于寻找被通缉的罪犯,还包括某些特定人群清单。之前,根据英国信息自由法公布的数据,伦敦警方使用面部识别结果98%的“匹配”都是错误的。尽管如此,警察局长Cressida Dick在7月份表示她对试验“完全感到满意”。


英国的忧虑反映了美国的忧虑。美国各地的执法部门也正在进行面部识别,专家们也表达了对肆无忌惮地使用该技术的类似担忧。现在的问题是转向监管,甚至像微软这样的大型科技公司也在呼吁制定关于如何以及在何处使用面部识别的新规则。




来源:cnBeta.COM



3、华为:未来5年将投资20亿美元强化网络安全


北京时间12月18日晚间消息,据路透社报道,华为今日表示,未来五年将投资20亿美元用于强化网络安全,招募更多员工,并升级实验室设施。报道称,华为今日在东莞新园区接待了20多名国际记者。华为在记者招待会上表示,为缓解全球对其网络设备安全风险的担忧,公司在未来5年将投入20亿美元用于加强网络安全,增加相关人员,升级实验室设施。


华为轮值董事长胡厚崑称:“将竞争对手拒之门外并不会让自己变得更好。我们认为,任何有关华为安全方面的担忧或指控都应以事实为依据。没有事实证据,我们不接受,还要反对这些指控。”


胡厚崑还称,华为一直都在就其业务的独立性与世界各国政府进行沟通。他还表示,日本和法国尚未正式禁用华为的电信设备。最近有媒体报道称,这些政府将采取禁用华为的设备。


据胡厚崑透露,华为目前已赢得逾25个5G商用合同,居世界首位,而且还表示将向全球出货逾万个5G基站。此外,华为还与全球50多家运营商开展5G商用测试,已向全球客户提供了1万多套5G基站。


胡厚崑还表示,华为预计公司今年的营收有望超过1000亿美元,与去年相比增长8.7%。


来源:新浪科技

声明:本网站所提供的信息仅供参考之用,并不代表本网站赞同其观点,也不代表本网站对其真实性负责。 



耕读阅读:







2018.12.19周三


1、Twitter 警告来自中国和俄罗斯的可疑流量


Twitter 对来自中国和俄罗斯的可疑流量发出了警告,它怀疑部分 IP 与国家支持的黑客有关。Twitter 称,它发现了一个与支持表格相关的漏洞,如果用户账号关联手机号码,该漏洞可以用于发现手机号码的国家代码,以及账号是否被锁定。该 bug 已经在 11 月 16 日修复。在调查过程中,Twitter 发现了客户支持表格 API 的异常活动,注意到来自中国和沙特 IP 的大量查询。它表示不清楚对方的意图,但怀疑与国家支持的黑客有关。根据 Twitter 中文圈的讨论,过去一个月有部分中国用户报告他们的账号被盗或账号被删除,原因可能与此有关。

来源:solidot.org


2、 美导弹防御系统安全审计:无加密无双重认证 28年漏洞未修补


美国国防部总督察长室(DOD IG)近日披露了美国弹道导弹防御系统(BMDS)的安全审计,其中对网络安全的相关描述写道:“没有数据加密、没有防病毒程序、没有多因素身份认证机制,28年的陈旧漏洞至今仍未修补。”BMDS是美国国防部计划通过发射弹道导弹拦截敌方核弹来保护美国领土的计划。在审计报告[PDF]中,DOD IG官员对BMDS中的导弹防御局(MDA)存放的弹道导弹站点进行了随机调查。




在这份安全审计报告中得出的结论是:“陆军、海军和MDA都没有保护网络和系统来处理、存储和运输BMDS技术信息。”审计人员发现了几个比较严重的问题,其中最大的就是尚未部署多因素身份验证。


在正常情况下,任何新的MDA员工都会收到用于访问BMDS网络的用户名和密码。随着新员工进入新工作岗位,他们还会收到一张公共访问卡(CAC)。通常他们必须将CAC和密码配合使用,并将其作为第二因素身份验证。而且正常程序表明,所有新的MDA工作人员必须在雇用后的两周内使用多因素身份验证。




但在这份审计报告中在随机抽查的5个站点中,调查人员发现有3个站点内的很多用户并没有启用多因素身份验证,并且仍然使用他们的用户名和密码来访问BMDS的网络。一位用户在没有卡提供保护的情况下访问了BMDS数据七年,在一个MDA网站上,调查人员表示他们还发现网络从未配置为支持多因素身份验证。


缺乏多因素身份验证意味着员工容易受到网络钓鱼攻击,这些攻击可以收集密码并允许攻击者远程或本地访问BMDS系统而不会出现进一步的安全挑战(第二个身份验证因素)。


更令人担忧的是,DOD IG审计人员发现在他们访问的5个站点中,有3个站点的IT管理员并未安装应用安全补丁,导致计算机和相邻网络系统容易受到远程或本地攻击。调查人员发现很多2016、2013年已经修复的漏洞并未及时安装更新,甚至1990年的漏洞仍未修复。


来源:cnBeta.COM



3、Chrome将强化“后退”按钮 打击后退至广告页行为


伴随着人们对互联网依赖程度的加深,Web浏览器在成为众多用户上网的入口同时,也成为黑客、恶意攻击者和部分站长的攻击目标。在推进打击行为不端的网站和网页进程中,谷歌Chrome浏览器即将上线的新功能可以确保“后退”按钮带你回到此前页面,而并非是充满广告此前尚未见过的新页面。




为了赚钱或收集数据,广告制作者,网站所有者和黑客已经采用越来越多的狡猾策略来欺骗用户和浏览器。例如,某些广告的关闭按钮与其应有的完全相反。在Chrome的最新版本中已经开始消除这些影响,并且对最频繁使用的网页浏览器控件--后退按钮进行训练。


有些时候后退按钮会跳转到此前用户并未访问过的页面。用户在网页上点击链接跳转之后,当用户点击后退按钮之后并不会回到此前页面而是会返回到充满广告此前从未看到过的页面。虽然用户可以再次单击后退来继续跳回此前页面,但这无疑会影响上网体验。


谷歌将这种行为称作为“历史操纵”(history manipulation),网页会利用网络功能将内容插入到浏览器历史记录中。不过这种行为很快将会得到制止,至少在Chrome上不会继续发生。就像Chrome对行为不当广告的战争一样,将会进行多个步骤和功能更新,这些步骤和功能更新将识别此类网站,标记它们,并在将来完全阻止它们。


该功能目前通过隐藏flag为可选状态,但我们可以预期它会在几个版本之后成为标准。


来源:cnBeta.COM

声明:本网站所提供的信息仅供参考之用,并不代表本网站赞同其观点,也不代表本网站对其真实性负责。 




更多阅读:


1、[分享] KSMA -- Android 通用 Root 技术


2、[原创]近期撸的一个 Win32 平台开源小工具集合


3、看雪CTF.TSRC 2018 第七题 魔法森林 分析(还没写完)


4、看雪CTF.TSRC 2018 团队赛-第8题



2018.12.18周二


1、面部识别安全吗?研究发现3D打印的脸能骗过安卓机


面部识别技术已经无处不在,但它真的安全吗?研究人员最近收集4款最热门的Android手机,加上iPhone,用3D打印人头测试,看看能否欺骗它们。结果发现,所有Android手机都被假人头骗过,iPhone倒是没有上当。


托马斯·布鲁斯特(Thomas Brewster)是《福布斯》员工,他来到英国伯明翰Backface的一个工作室,里面装有50个摄像头。摄像头拍摄图像,合成之后变成完整的3D图像。然后布鲁斯特将图片输入编辑软件,修正错误。


接下来Backface用3D打印机建模,用一种英国石膏粉打印各层,然后润色并添加颜色,花了几天时间制作出逼真的人头,花费超过300英磅。


测试开始。布鲁斯特用5台手机的面部识别系统识别人头。一款是iPhone X,还有就是LG G7 ThinQ、三星S9、三星Note 8、一加6。布鲁斯特将人头拿到手机前,看它能否解锁。假人头成功欺骗4台Android手机并打开,只是难易程度各有不同。只有iPhone X没有上当受骗。


Android设备真的能防止黑客入侵吗?各大厂商的警告信息并不一样。例如,当我们打开全新的G7手机时,LG提醒说:“面部识别是第二解锁方式,它会降低手机的安全性。”LG还警告说用面部相似图像可以解锁手机。事实的确如此,在最初的测试中,3D打印头像轻松就能解锁手机。


不过在录制视频的过程中,LG面部识别系统似乎升了级,想欺骗它变得更困难了。LG新闻发言人证实,公司会持续对系统进行优化升级。


三星S9也给出相似警告。在Note 8手机上,可以启用速度更快的面部识别功能,不过三星承认,速度越快越不安全。


一加6手机没有警告用户,也没有提供速度较慢、相对较安全的选择。录入面部信息时,一加6出现科幻式面部扫描图,看起来很先进,但是将假人头放在前面时,它瞬间就解锁了。总之,在几款手机中,一加6是最不安全的。


苹果与好来坞工作室合作,制作逼真的面具测试Face ID,事实证明苹果的投入没有白费。用模型欺骗iPhone基本上不可能成功。


其实微软也做得不错,它的Windows Hello面部识别系统也可以识别假人头。


来源:新浪科技



2、利用网银APP漏洞非法获利超2800万 6人被刑拘


据新民晚报报道 利用银行APP安全漏洞,使用黑客技术软件成倍放大定期存单金额,从中非法获利2800余万元。近日,上海警方成功捣毁一个利用网上银行漏洞非法获利的犯罪团伙,马某等6名犯罪嫌疑人被依法刑事拘留。


2018年11月26日,松江区某银行工作人员向警方报案称,该行所属的一个账户发生多笔异常交易,造成银行巨额经济损失。接报后,松江公安分局高度重视,立即抽调精干警力组成专案组,全力开展侦查工作。


专案组综合运用多种侦查手段,渐渐摸清了犯罪团伙的组织架构和行动规律。12月6日,经周密部署,警方在多地同步撒网,成功将涉案的主要犯罪嫌疑人马某以及另3名犯罪嫌疑人一举抓获,并当场查获了5套作案工具、现金200余万元,以及大量豪车、名表、奢侈品。



犯罪嫌疑人购买的豪车。警方供图


据警方初步查证,马某利用“黑客”技术,长期在网上寻找全国各家银行、金融机构的安全漏洞。今年5月,他发现某银行APP软件中的质押贷款业务存在安全漏洞,遂使用非法手段获取了5套该行的储户账户信息,在账户中存入少量金额后办理定期存款,后通过技术软件成倍放大存款金额,借此获得质押贷款,累计非法获利2800余万元。为了在套现过程中躲避侦查和监管,马某将非法获利的账户存款余额,在某网络直播平台上全部购成点数卡,再折价卖给其他用户。非法获利后,马某大肆挥霍,购买了大量的豪车、名表、奢侈品。


经进一步侦查,警方还循线抓获了非法出售个人身份信息和银行储户信息的方某某以及倒卖此类信息的邓某某,并对其他倒卖个人信息的犯罪嫌疑人进行布控。目前,警方已将马某、方某某、邓某某等6名犯罪嫌疑人依法刑事拘留,并敦促涉案银行完成了安全漏洞的修复,案件正在进一步侦查中。


警方提醒,银行金融机构应不断提升系统安防等级,更新安防措施,抵御各类不法入侵,自觉维护金融秩序和储户安全。广大市民群众也要强化自我保护意识,在运用互联网时应当注意保护个人隐私,防止个人信息被不法分子盗取。公安机关表示,将严厉打非法获取、出售公民个人信息的犯罪行为,坚决保护公民个人合法权益。


来源:新民晚报



3、双重认证并非100%安全:新技术证实可成功入侵Gmail账号


安全专家上周四表示,近期针对美国政府官员、活动家和记者的网络钓鱼活动日益猖獗,并且利用技术手段绕过了被Gmail和Yahoo Mail广泛使用的双因素认证保护系统(2FA)。此次钓鱼攻击事件再次表明依赖单次登陆或者一次性密码的2FA同样存在风险,尤其是通过SMS短信发送至用户手机的情况。




安全公司Certfa Lab的研究人员在一篇博客文章中表示,有伊朗政府背景的黑客攻击者收集了攻击目标的详细信息,并利用了这些信息撰写了针对这些目标的钓鱼网络邮件。这些邮件中包含一张隐藏照片,在攻击目标浏览该信息的时候就会自动激活。


用户在虚假的Gmail或者Yahoo安全页面输入密码之后,攻击者几乎会根据输入凭证转向到真实的登陆页面。如果目标帐户受到2fa的保护,则攻击者会将目标重定向到请求一次性密码的新页面。


Certfa Lab的研究人员写道:“换句话说,他们会在自己的服务器上实时检查受害者的用户名称和密码。而且即使启用了例如短信、认证APP或者一键式登陆的双因素认证,仍然能够欺骗目标并窃取这些信息。”


在一封邮件中, Certfa Lab发言人称公司研究人员已经正式该技术能够成功入侵基于SMS短信双因素保护的账号。研究人员目前无法确认这项技术能否通过Google Authenticator或者Duo Security配套APP中传输一次性密码。


来源:cnBeta.COM

声明:本网站所提供的信息仅供参考之用,并不代表本网站赞同其观点,也不代表本网站对其真实性负责。 



更多阅读:



2、[原创]2018东华杯momo_server详解




2018.12.17周一



1、SQLite 被曝存在漏洞 所有 Chromium 浏览器受影响


SQLite 被曝存在一个影响数千应用的漏洞,受害应用包括所有基于 Chromium 的浏览器。据 ZDNet 报导,该漏洞由腾讯 Blade 安全团队发现,允许攻击者在受害者的计算机上运行恶意代码,并在危险较小的情况下泄漏程序内存或导致程序崩溃。


由于 SQLite 嵌入在数千个应用程序中,因此该漏洞会影响各种软件,包括物联网设备、桌面软件、Web 浏览器、Android 与 iOS 应用。


如果底层浏览器支持 SQLite 和 Web SQL API,那么将漏洞利用代码转换为常规 SQL 语法也可以通过访问网页等操作远程利用此漏洞。Chromium 浏览器引擎支持此 API,这意味着像 Chrome、Vivaldi、Opera 和 Brave 等浏览器都会受到影响,而 Firefox 和 Edge 由于不支持此 API,因此不受影响。


腾讯 Blade 研究人员表示,他们在今年秋季早些时候向 SQLite 团队报告了此问题,SQLite 3.26.0 中进行了修复。Chrome 71 已经解决了该问题,但是 Opera 的 Chromium 版本还没有更新,这意味着它很可能还会受到影响。


另一方面,虽然 Firefox 不支持 Web SQL API,不会受到远程利用攻击,但是其自带了一个本地可访问的 SQLite 数据库,这意味着本地攻击者可能利用此漏洞来执行代码。


ZDNet 表示,由于开发者很少更新代码库及其应用的组件部分,因此很可能这个漏洞在接下来几年内还会持续产生影响,因此,腾讯 Blade 团队表示暂时不会发布任何概念验证漏洞利用代码。


来源:开源中国



2、德国监管机构称没有华为设备后门证据


德国联邦资讯安全局(BSI)对于各国要求抵制中国华为技术公司表达怀疑,BSI 局长 Arne Schoenbohm 告诉明镜周刊,对于像禁令这样的重大决定,你需要提供证据。他还说,BSI 没有掌握这样的证据。华为被指控与中国情报机构有关联,因此受到各国日益严格的审查,美国、澳洲、日本等国政府禁止使用华为设备建设 5G 网络。美国已经施压德国,希望他们也加入抵制行列。Schoenbohm 指出,BSI 专家已经检查来自世界各地的华为产品和零件。

来源:solidot.org 


3、“脸书”涉泄680万用户照片 或面临16亿美元罚款


12月16日消息,据外媒报道,美国社交网站“脸书”(Facebook)又出现安全漏洞,导致第三方应用软件获取用户未公开的私人照片,初步估计,有多达680万用户受影响。目前,欧洲隐私管制机构爱尔兰数据保护委员会已着手调查,“脸书”或因此被罚款超过16亿美元。


14日,“脸书”公司发表声明说,“脸书”系统出现程序漏洞,导致大约1500个应用软件在今年9月13日至25日期间,能够获取用户未分享的照片。“脸书”表示,如果用户曾使用“脸书”账号登录第三方应用软件,并授权软件存取照片,那用户的私人照片可能已经外泄,其中包括没有公开分享的照片。


据“脸书”工程总监巴尔指出,用户使用第三方应用软件上传到“脸书”,但未完成分享程序的照片,其副本被保留在应用内,因此被有关应用取得。


他为此向“脸书”用户道歉:“我们很抱歉发生了这样的事。下周我们将和应用软件开发商合作,让他们找出受影响的用户,并尽快删除泄露的照片。”


“脸书”团队则强调,已修补有关漏洞,并表示会通知及提醒可能受影响的用户,建议他们登入曾授权获取其“脸书”照片的应用软件,查看哪些照片被获取。


来源:中新网 

声明:本网站所提供的信息仅供参考之用,并不代表本网站赞同其观点,也不代表本网站对其真实性负责。 



更多阅读:


1、[原创]看雪 CTF2018.12 第五题 静态分析与其中的Bug


2、[原创] Frida操作手册-Android环境准备


3、[原创]CVE-2014-6332 修改浏览器安全属性开启Godmode


4、[原创]CVE-2018-15982漏洞分析报告



2018.12.14周五


1、船舶感染勒索软件、USB恶意程序和蠕虫


船舶的 IT 系统并不像人们以为的那样是物理隔离的。根据船舶行业的一份报告,它也遭遇过各种安全事故,如感染勒索软件、蠕虫和病毒等,只是我们以前没有听说过罢了。行业组织和航运协会公布的《Guidelines on Cyber Security onboard Ships》列举了多起船舶感染病毒的案例:


一艘新建的干散货船由于其电子海图显示与信息系统(ECDIS)感染病毒而推迟航行数天,这艘船是为无纸导航设计的,没有携带纸质海图,ECDIS 的故障最初并没有被视为是网络安全问题,直到技术人员花了大量时间排除故障后发现是 ECDIS 感染了病毒。病毒隔离后 ECDIS 计算机恢复了工作。延误加上维修费用损失了数十万美元。文件还披露了一艘船感染了两个勒索软件。在另一个勒索软件感染案例中,船主支付了赎金。



来源:solidot.org



2、2018最糟糕密码使用人群榜单公布 侃爷位居榜首


据CCN消息,密码管理及加密托管公司Dashland日前发布了年度“最糟糕密码使用人群”榜单,其中加密货币投资者排在第三位。 该榜单排名目的是为了强调一些个人和组织所犯的密码相关错误,以便教育公众如何有效更安全地设置和管理密码。Dashlane数据显示,现在平均每个互联网用户需要管理的密码数量约为 200 个,而到了 2023 年,这个数字将会翻一倍高达 400 个。



Dashlane对加密货币持有者和其它密码使用者提出了三个建议,以防止再度别列入“最差密码使用人群”。第一,所有的账户,包括电子邮件、服务器、应用程序以及其它包含个人数据的内容都应该设置密码;第二,使用强密码,建议密码超过八个字符且包含字母、数字及符号,并避免使用生日作为密码;第三,不同账户应设置不同的密码。


来源:ChinaZ 站长之家



3、给特斯拉或五角大楼挑错 自由职业黑客年赚50万美元


北京时间13日消息,据CNBC报道,道德黑客平台Bugcrowd发布的数据显示,通过在特斯拉(366.6, -0.16, -0.04%)等大公司或美国国防部这样的政府机构搜索安全漏洞并报告这些问题,自由职业黑客中的精英分子每年的收入可能超过50万美元。


Bugcrowd创办于2012年,是少数几家所谓的“漏洞赏金”公司之一,这些公司为黑客提供了一个平台,可以安全地追踪那些想要接受测试的公司的安全漏洞。


黑客为一家特定的公司制定明确的合同,当他们能够在公司的网络基础设施中发现缺陷时,就会得到奖励。奖金的多少取决于问题有多严重。


Bugcrowd首席执行官凯西·埃利斯(Casey Ellis)表示,随着该领域数百万个职位空缺,企业正越来越多地寻找网络安全测试的替代方案。据估计,到2021年,可能有多达350万个网络工作岗位空缺。


埃利斯说,去年,该公司因为为一家大型科技硬件公司发现了一个漏洞而获得11.3万美元的报酬。这也是该公司发现一个漏洞而获得的最大一笔报酬。


调查显示,有一半的道德黑客,或者被雇用渗透网络和计算机系统的安全专家,都有全职工作。


约80%的人表示,这项努力帮助他们在网络安全领域找到了一份工作。埃利斯说,对于排名前50的黑客来说,他们每年在这项工作上的收入平均约为14.5万美元。

埃利斯表示,赚最多钱的黑客拥有一定的基本技能。


“他们发现了一个特殊的漏洞类,他们在不同的公司一遍又一遍地追踪这个漏洞。他们将在整个网络空间中寻找尽可能多的机会来利用这一漏洞。”


“他们还具有良好的侦察技能,能够在了解什么可能对组织造成最大损害的基础上运作。很好地了解企业是如何运作的,或者他们的基础设施是如何构建的,这是非常有帮助的。”


Bugcrowd的“赏金猎手”们有94%年龄在18岁到44岁之间,有些人还在上高中或初中。埃利斯说,这门职业的门槛很低,主要看技能。平台上大约四分之一的黑客没有大学学位。


埃利斯说,根据漏洞发赏金提供了一种更正式的方法,黑客必须遵守规则,例如不能从服务器跳到其他具有更敏感数据的服务器上进行测试。


IJET和特斯拉会根据黑客发现的问题的严重程度,向黑客支付1000至1.5万美元的赏金。万事达卡(200.29, 2.55, 1.29%)最多向黑客支付过3000美元。


今年10月,美国国防部将“入侵五角大楼”(Hack the Pentagon)合同授予了Bugcrowd和HackerOne。


来源:新浪财经

声明:本网站所提供的信息仅供参考之用,并不代表本网站赞同其观点,也不代表本网站对其真实性负责。 



更多阅读:


1、[原创]CVE-2014-6332学习笔记


2、[原创]看雪 CTF2018.12 第五题 静态分析与其中的Bug


3、[原创] Frida操作手册-Android环境准备


4、[原创]CVE-2014-6332 修改浏览器安全属性开启Godmode



2018.12.13周四


1、Firefox 64 释出包含多个新特性


Mozilla 释出了 Firefox 64。主要新特性包括:多标签选择,简化多个标签页的管理;新 CSS 特性,无前缀 Fullscreen API,上下文菜单增强,不再信任赛门铁克签发的证书,以及扩展推荐功能等。其中扩展推荐将会根据用户的浏览习惯推荐扩展和其它功能,比如你经常浏览同一个标签,浏览器会建议你固定该标签页;为了减少 Facebook 对你的跟踪它会建议你安装 Facebook Container 扩展;如果你使用翻译它会推荐 Google Translate 等等。这项功能是靠浏览器自己完成,不会发送任何数据给 Mozilla。如果你不喜欢这项功能可以打开 about:preferences 页,找到“浏览”,去掉“在您浏览时推荐扩展”的勾选。

来源:solidot.org


2、美国海关官员未能在设备搜索后删除旅客的数据以保护其隐私


2016年和2017年,超过7.87亿旅客进入美国,其中47400人的电子设备需要搜索,包括“高级搜索”。与基本搜索不同,基本搜索涉及视觉检查手机,笔记本电脑等,无需下载任何内容,高级搜索包括将数据下载到USB驱动器上并将其插入CBP的自动目标定位系统,以便对其进行分析。


根据监察长办公室(OIG)的报告,许多海关官员在进行高级搜索后未能从这些驱动器中删除旅行者的信息。监察长办公室在五个入境口岸检查了拇指驱动器。在五个端口中的三个端口,我们发现拇指驱动器包含从过去的高级搜索中复制的信息,这意味着搜索完成后信息尚未删除。根据我们的实际检查发现,现场操作办公室似乎没有普遍实施删除复制信息的要求,如果丢失拇指驱动器,则增加了未经授权披露旅行者数据的风险或被盗。


此外,官员应该切断外部连接,以便他们只能查看存储在设备上的数据,但也不遵循此规则。还提到工人接受监管不力,而且有些问题是由于政策不明确或无证件造成的。正如Gizmodo所指出的那样,很多报告都被编辑,包括高级搜索发生的原因以及之后发生的事情。还注意到美国海关和边境保护局忘记更新其用于进行高级搜索的软件许可证。


监察办补充说,它所查看的67%的电子设备搜索案件包括官方报告中的信息不足或不准确。它建议澄清政策并增加文件要求。早在8月份,一名美国穆斯林妇女在海关人员拿走其iPhone并将其数据复制后起诉边境官员。



来源:cnBeta.COM



3、Super Micro在审计后确认未发现间谍芯片存在的证据


Bloomberg有争议的iCloud间谍芯片故事的核心供应商已经完成了承诺的审计,并告诉客户它没有发现服务器篡改的证据。在给客户的一封信中,Super Micro特别拒绝了彭博的指控。在致客户的一封信中,服务器设计人员和制造商表示,承诺的审计已经完成,并且没有证据表明存在软件或硬件攻击。




路透社报道,第三方Nardello&Co被用于审计。该公司不仅查看工程文件,还测试了不仅仅是生产中的主板样品,还测试了出售给Apple和亚马逊的主板样品,并且没有发现可以执行监控和传递数据芯片存在的证据。超微表示,它正在继续评估其法律行动以回应Bloomberg的故事。据报道,超微股票在一天内从21.40美元跌至12.60美元。从那时起,它只攀升至16.35美元的高位。


10月4日,一项基于多年调查的Bloomberg报告声称,苹果,亚马逊和其他30家公司成为间谍活动的受害者,该活动中米粒大小的芯片被种植在Super Micro制造的主板上。一旦交付,可以在诸如Apple iCloud这样的基础设施上创建后门。


苹果公司迅速否认指控,坚称它已经进行了“大规模,细粒度和孤立的调查”。亚马逊也非常明确地否认了Bloomberg的报道。亚马逊在其声明中反驳了几项具体说法,并特别指出没有发现任何修改后的硬件。


超微公司首席执行官查尔斯·梁(Charles Liang)表示,Bloomberg最近的故事给我们的客户造成了无根据的混乱和担忧,并且已经让我们的客户和我们受到伤害,Bloomberg应负责任地采取行动,并撤回其在制造过程中将恶意硬件组件植入我们主板的不受支持的指控。




来源:cnBeta.COM

声明:本网站所提供的信息仅供参考之用,并不代表本网站赞同其观点,也不代表本网站对其真实性负责。



2018.12.12周三


1、科技巨头批澳政府反加密法律:对网络有重大负面影响


北京时间12月11日上午消息,据美国科技媒体TechCrunch报道,澳大利亚反加密网络法律上周获得通过,而包括苹果、谷歌及微软在内的科技巨头对此表示谴责。“新出台的澳大利亚法律存在重大缺陷,范围过广并且对于新的权力缺乏独立监管。”


改革政府监管联合会(Reform Government Surveillance)在一份声明中说道。科技公司补充表示这项法律将“破坏网络安全、人权以及我们用户的隐私权”。

联合会表示,将对澳大利亚继续施压,敦促立法人员在新的一年“迅速解决这些缺陷”。


联合会成员包括Dropbox、Facebook、谷歌、苹果,以及雅虎的母公司Oath。据称,这些公司在美国加密文件中均被列为国家安全机构项目PRISM中的成员,但所有公司均否认自己愿意参与其中。它们开始联合起来,游说澳政府改革其监管行动——部分行动都依赖于科技公司和电信公司被强制要求提供帮助。


Evernote、LinkedIn、Snap以及Twitter并未被列为PRISM的合作成员,但它们之后也加入了联合会并在信中署名。


思科、Mozilla等公司还对澳大利亚立法者提出投诉,认为这项法律“可能会对互联网造成重大负面影响”。


新法将让澳大利亚警方以及情报机构获得发布“技术通知”的权力——从本质上来说,这就是在迫使企业以及在澳大利亚运行的网站帮助政府破坏加密技术,或是在产品服务中安排后门。如企业拒绝配合技术通知内要求,将面临高额罚款。


批评人士认为,监管缺失可能会导致该系统的滥用。由于此类通知通常会伴随“禁言令”,任何技术通知都将不会公开。


此前,科技公司以及电信公司对反加密法规提出强烈反对,但这项提案还是在反对派——工党立法人员投票之后的不到一天时间里就获得了通过。


澳大利亚政府通过“恐吓战术”取得了胜利。澳大利亚国防部长克里斯托弗·派恩(Christopher Pyne)在推文中指控工党会选择“让恐怖分子以及恋童癖者继续做出恶劣行为,来保证自身利益”,但这则推文不久即被删除。工党承受不住压力,最终选择赞成这项法案的通过。但工党领袖比尔·肖滕(Bill Shorten)承诺,在法案通过的数月以内,该党将提供修正案,以确保澳大利亚在圣诞期间能变得更加安全。


来源:新浪科技



2、美国众议院公布 Equifax 数据泄露案调查报告


信用巨头 Equifax 去年透露它遭到黑客入侵,大约有 1.48 亿美国用户的信息泄露,这是美国历史上规模最大的数据泄露事件之一。本周一美国众议院公布了 Equifax 数据泄露案调查报告(PDF),认为这起事件是完全可以避免的。


报告认为,Equifax 没有采取足够的安全措施来保护敏感数据。报告指责该公司自满,技术过时,没有及时修复已知漏洞,导致其系统在 145 天内处于容易攻击的风险中。


报告还披露了一个此前未知的信息:Equifax 没有发现攻击者将数据转移出去,原因是它监控网络流量的设备因为安全证书过期已经停止活动 19 个月;Equifax 有超过 300 个证书过期,其中包括 79 个监控关键域名业务的证书。




来源:solidot.org



3、PlayStation Classic已被黑客破解 可运行USB设备上的游戏


索尼 PlayStation Classic 有许多令人感到困扰的小问题,尤其是仅仅捆绑附带了少数的游戏。但是对于动手能力强大的黑客来说,他们已在过去一周取得了突破性的进展。ArsTechnica 指出,由于索尼没有在防破解上做出太大的努力,一些知名的主机破解者(比如 Yifan Lu 和 madmonkey1907),已经想到了如何去破解 PlayStation Classic 的机能限制。



图自:TheVerge(Amelia Holowaty Krales / 摄)


由在线记录可知,他们首先将系统代码转储到了及其外部,结果发现索尼将解密其最敏感的软件元素的密钥,径直放入了机器本身。


基于此,破解社区轻松达成了针对该模拟器平台的解锁工作。


Lu 率先让 PlayStation Classic 通过 USB 闪存盘来运行 Crash Bandicoot,因为该机似乎没有检查它实际运行的任何软件。


另一位名叫 Pat Hartl 的黑客,更是在 GitHub 上分享了一款名叫 BleemSync 的开源工具,让你可以在家轻松完成破解。


https://v.youku.com/v_show/id_XMzk1ODk2Nzg1Ng==.html?spm=a1z3jc.11711052.0.0&isextonly=1


当然,大多数愿意掏钱去购买 PlayStation Classic 的玩家,只是出于怀旧或收藏的目的,不见得回家后还能掏出来玩几次。


索尼显然也深知这点,从它松散的应对策略来看,防破解这件事,也就是摆摆样子而已。


来源:cnBeta.COM

声明:本网站所提供的信息仅供参考之用,并不代表本网站赞同其观点,也不代表本网站对其真实性负责。 



更多阅读:


2018.12.11周二


1、卡巴斯基曝光DarkVishnya银行内网攻击案件细节


在影视作品中,经常能见到通过 USB 存储器发起的网路入侵攻击。剧情通常是从目标公司中挑选一位容易下手的雇员,让他在工作场所的某个地方插入。对于有经验的网络犯罪者来说,这显然是一件很容易暴露的事情。但没想到的是,同样的剧情,竟然在现实中上演了。2017~2018 年间,卡巴斯基实验室的专家们,受邀研究了一系列的网络盗窃事件。




它们之间有一个共同点 —— 有一个直连公司本地网络的未知设备。有时它出现在中央办公室、有时出现在位于另一个国家或地区的办事处。


据悉,东欧至少有 8 家银行成为了这种袭击的目标(统称 DarkVishnya),造成了数千万美元的损失。


每次攻击可分为相同的几个阶段:首先,网络犯罪分子以快递员、求职者等为幌子,潜入了组织的大楼、并将设备连接到本地网络(比如某个会议室中)。

在可能的情况下,该装置会被隐藏或混入周围环境,以免引起怀疑。如上图所示的带插座的多媒体桌子,就很适合植入隐蔽的设备。


根据网络犯罪分子的能力和个人喜好,DarkVishnya 攻击中使用的设备也会有所不同。在卡巴斯基实验室研究的案例中,通常有如下三种:


● 上网本或廉价笔记本电脑;

● 树莓派计算机;

● Bash Bunny -- 一款用于执行 USB 攻击的特殊工具。


在本地网络内,该设备会显示为“未知计算机、外部闪存驱动器、甚至键盘”。然后再通过内置或 USB 连接的 GPRS / 3G / LTE 调制解调器,远程访问被植入的设备。


结合 Bash Bunny 在外形尺寸上与 USB 闪存盘差不多的事实,这使得安全人员在搜索时,难以决定从何处先下手。


攻击的第二阶段,攻击者远程连接到设备、并扫描本地网络,以访问共享文件夹、Web 服务器、和其它开放式资源。


此举旨在获取有关网络的信息,尤其是业务相关的服务器和工作站。与此同时,攻击者试图暴力破解或嗅探这些机器的登录凭证。


为克服防火墙的限制,它们使用本地 TCP 服务器来植入 shellcode 。


若防火墙阻止其从一个网段跳跃到另一个网段、但允许反向连接,则攻击者会借助其它可被利用的资源,来构建所需的通信隧道。


得逞后,网络犯罪分子会实施第三阶段:


登录目标系统,使用远程访问软件来保留访问权限,接着在受感染的计算机上启用 msfvenom 创建的恶意服务。


因为黑客利用了无文件攻击(Fileless Attacks)和 PowerShell,所以能够绕过白名单技术、或者域策略。


即便遇到了无法绕过的白名单,或者 PowerShell 被目标计算机阻止,网络犯罪分子亦可借助 impacket、winecesvc.exe 或 psexec.exe 等可执行文件,发动远程攻击。


最后,卡巴斯基实验室曝光了如下恶意软件:


not-a-virus.RemoteAdmin.Win32.DameWare

MEM:Trojan.Win32.Cometer

MEM:Trojan.Win32.Metasploit

Trojan.Multi.GenAutorunReg

HEUR:Trojan.Multi.Powecod

HEUR:Trojan.Win32.Betabanker.gen

not-a-virus:RemoteAdmin.Win64.WinExe

Trojan.Win32.Powershell

PDM:Trojan.Win32.CmdServ

Trojan.Win32.Agent.smbe

HEUR:Trojan.Multi.Powesta.b

HEUR:Trojan.Multi.Runner.j

not-a-virus.RemoteAdmin.Win32.PsExec

Shellcode 监听端口:

tcp://0.0.0.0:5190

tcp://0.0.0.0:7900

Shellcode 连结点:

tcp://10.**.*.***:4444

tcp://10.**.*.***:4445

tcp://10.**.*.***:31337

Shellcode 管道:

\\.\xport

\\.\s-pipe


来源:cnBeta.COM


2、爱立信软件证书过期导致 O2 网络故障


本周英国移动运营商 O2 网络发生大规模故障,导致数以百万计的手机用户失去了数据访问。O2 的核心网络设备由爱立信提供。爱立信发表声明称,故障是软件 SGSN–MME (Serving GPRS Support Node – Mobility Management Entity)的两个特定版本导致的,其根本原因是安装在客户设备上的软件使用的证书过期了。除了英国外,多个使用爱立信设备的国家也因为软件证书过期发生网络故障。

来源:solidot.org


3、ITU:全球互联网用户达39亿 超总人口一半


据英国《每日邮报》12月7日报道,联合国7日公布的最新数据显示,目前全球网络用户已达39亿人,首次超过全球总人口的一半。联合国信息和通信技术专门机构国际电信联盟表示,到2018年底,全球51.2%的人都将使用互联网。国际电信联盟秘书长赵厚麟表示:


“到2018年底,全球互联网使用人数将达到新的里程碑,这是向更具包容性的全球信息社会迈出的重要一步。全世界有太多人仍在等待数字经济带来的益处。”


国际电信联盟称,全球发达国家的互联网使用增长缓慢而稳定,从2005年的51.3%上升到现在的80.9%。与此同时,发展中国家的增长更为显着,目前有45.3%的网络用户,而13年前这一比例仅为7.7%。而非洲经历了最强劲的增长,同期互联网用户数量增加了10倍多,从2.1%增加到24.4%。


该报告还显示,虽然固定电话用户在全球范a围内继续减少,目前的水平仅为12.4%,但现在移动宽带占比还在不断上升。




来源:环球科技 

声明:本网站所提供的信息仅供参考之用,并不代表本网站赞同其观点,也不代表本网站对其真实性负责。 


更多阅读:


2018.12.10周一


1、 Android 官方模拟器支持 Fuchsia 的 Zircon 内核


Android Studio 的官方 Android 模拟器被发现开始支持 Fuchsia 的 Zircon 内核。Fuchsia 是Google 正在开发替代 Android 的新操作系统,它没有使用 Linux 内核,而是使用名叫 Zircon 的微内核,设计能运行在手机和 PC 上。暂时还不清楚 Google 对 Fuchsia 究竟有何计划。但从目前的迹象看 Google 可能会在未来抛弃 Linux 内核。

来源:solidot.org


2、FBI开始对FCC废除“网络中立”的百万条虚假评论展开调查


据外媒报道,现在美国司法部(DOJ)正在对FCC曾经展开的是否应该废除“网络中立”评论活动展开调查。两家匿名机构告诉BuzzFeed News,FBI已经向FCC发出了与之相关的传票。据悉,这是FBI首次对该案件表现出了兴趣,不过在此之前纽约总检察长办公室已经宣布了对该案展开调查的消息。


从去年4月起,特朗普政府领导下的FCC主席Ajit Pai决定推翻奥巴马时期实施的网络中立规定并由此展开了为期数月的评论活动。


根据多项民意调查显示,网络中立规定得到了广泛支持,而Pai的改革在想要生效之前则还需要经受一段时间的公众评论。自那之后,FCC网站上出现了2000多万条评论,据纽约市总检察长办公室估算,其中多达950万条的评论都是在未经当事人允许的情况下以当事人的名义提交。


作为纽约市总检察长此前宣布的调查工作的一部分,该机构于10月向14个组织--其中11个组织持保守态度或与电信行业相关并反对网络中立,只有另外3个支持网络中立--发出了传票。马萨诸塞州和华盛顿特区则对纽约的调查表示了支持,它们也发出了传票。


至于此次FBI的调查规模有多大目前还不清楚。从州总检察长办公室那里收到传票的机构以及华盛顿特区总检察长和FBI都未对外作出回应。


来源:cnBeta.COM



3、研究发现全球有41.5万多台路由器受到秘密挖矿软件感染


据外媒报道,研究人员发现,全球超41.5万台路由器感染了旨在窃取路由器计算能力并偷偷挖掘加密货币的恶意软件。这些仍在继续的网络攻击尤其影响最严重的则是MikroTik路由器。有记录显示,针对该品牌的一系列加密攻击始于今年8月,当时安全专家发现有20多万台设备被感染。从那以后,这个数字又增加一倍多。



 


虽然大多数受影响的设备最初都集中在巴西,但数据显示,在全球范围内也有大量设备受到了影响。


值得指出的是,被入侵设备的数量可能略有下降,但遭到攻击的路由器总数仍相当高。


安全研究员VriesHD指出:“如果实际被感染的路由器总数在35万到40万台左右,对此我也不会感到惊讶。”


有趣的是,尽管攻击者过去倾向于使用CoinHive--一种用于面向隐私加密货币Monero (XMR)的挖掘软件--但研究人员注意到,攻击者已经开始转向了其他挖掘软件。“CoinHive、Omine和CoinImp是使用最多的服务,”VriesHD表示,“过去80%到90%用的都是CoinHive,但最近几个月已经转向了Omine。”


今年8月,研究人员报告称巴西有20多万台设备在遭到劫持后被用于秘密开采加密货币。等到9月,易受攻击设备的总数已经增加到了惊人的28万台。


好在一些受害者可以做一些事情来保护自己。来自Bad Packets Report的安全专家Troy Mursch建议受影响的MikroTik设备的用户立即下载他们设备可用的最新固件版本。VriesHD则表示ISP可以通过强制对路由器进行无线更新来帮助对抗这些恶意软件的传播。此外他还补充称:“针对这个特殊问题的补丁已经发布了好几个月了,我已经看到成千上万的ISP从名单上消失了。然而不幸的是,似乎仍有大量的ISP根本不打算采取行动来减轻攻击。”


来源:cnBeta.COM 

声明:本网站所提供的信息仅供参考之用,并不代表本网站赞同其观点,也不代表本网站对其真实性负责。 



更多阅读:


1、[分享]Kali物理机安装实践


2、[原创][原创]CTF2018 第二题半加器


3、[原创]看雪 CTF2018.12 第二题 回马枪&牛刀


4、[原创]看雪CTF 2018 团队赛 第二题 半加器 WP



2018.12.07周五



1、研究人员发现新的类 Spectre 攻击 SplitSpectre


东北大学和 IBM Research 的研究人员发现了 Spectre CPU 漏洞的一种新变种,能通过基于浏览器的代码利用。被称为 SplitSpectre 的新漏洞与其它 Spectre 变种的一个重要区别是它更容易利用。


研究人员使用 Firefox 的 JavaScript 引擎 SpiderMonkey 52.7.4 对英特尔的 Haswell 和 Skylake 处理器,以及 AMD 的 Ryzen 处理器成功执行了 SplitSpectre 攻击。


不过用户无需担心,因为现有的 Spectre 缓解方法也能阻止 SplitSpectre 攻击。研究报告发表在 IBM Research 网站上。



来源:solidot.org



2、Adobe修复一个由360团队发现的Flash Player零日漏洞


Adobe今天修复了存在于Flash Player中的零日漏洞(编号CVE-2018-15982),允许远程攻击者在问题设备上执行任意代码。目前已经确认Windows、macOS和Linux平台v31.0.0.153及此前版本均受到影响。Adobe报道称该漏洞目前已经存在于精心伪装、包含该漏洞代码的微软Office文档中。



零日漏洞以Flash Active X对象形式被观察到,会在32位/64位架构的设备运行特洛伊木马后门。奇虎360核心安全团队、Gigamon应用威胁研究中心和360威胁情率先发现了该零日漏洞,随后于11月29日(周四)向Adobe的产品安全事件响应小组(PSIRT)报告该问题。


奇虎360核心安全团队表示:“用于发起攻击的诱饵文件是一份经过精心伪造的员工调查问卷,该调查问卷利用了最新的Flash 0day漏洞CVE-2018-15982以及具有自毁功能的定制木马。”


建议使用Adobe Flash Player Desktop Runtime for Windows,macOS和Linux的所有用户立即使用内置更新,或通过Adobe Flash Player下载中心更新到已修补的32.0.0.101版本。


来源:cnBeta.COM



3、澳大利亚有望通过立法要求谷歌、苹果等上交加密数据


澳大利亚周四有望通过一项立法,要求谷歌、Facebook和苹果向警方提供与非法活动嫌疑人有关的隐私加密数据。这部法律遭到科技巨头的激烈反对,因为其他国家也可能效仿类似的措施。按照这项法律的规定,倘若未能向执法部门提供这些数据,相关企业就将面临最多1000万澳元(730万美元)的罚款。


此项立法获得澳大利亚两大政党的支持,一个两党议会委员会推荐立刻通过该立法,为澳大利亚成为第一个出台这类规定的国家扫清障碍。


澳大利亚政府表示,他们需要通过这种立法来对抗恐怖袭击和有组织犯罪,以便执法部门获取相关个人数据。


该立法的最终草案尚未确定,但澳大利亚立法者有望在周四处理此事,这也是该国议会2018年最后的审议日。


这种针对用户数据开后门的做法一直以来都遭到科技公司的激烈反对。苹果甚至在2015年拒绝为美国联邦调查局解锁一名枪击案嫌疑人的iPhone。


Faceboook、谷歌、亚马逊和苹果均未对此置评。但苹果之前曾经表示,获取用户加密数据的做法必然削弱加密效果,还会提升系统遭黑客入侵的风险。


来源:新浪科技

声明:本网站所提供的信息仅供参考之用,并不代表本网站赞同其观点,也不代表本网站对其真实性负责。 



更多阅读:


1、[分享]Kali物理机安装实践


2、[原创]看雪CTF 2018 团队赛 第二题 半加器 WP


3、[原创]反编译原理之If-Else条件跳转合并


4、[原创]发现最近好多在说T*启动时清空CR3 如何去恢复。方法很简单。我把代码今天贴出来。




2018.12.06周四


1、美媒:共和党国会委员会遭黑客入侵 数千邮件泄露


中新网12月5日电 据美国中文网报道,在今年的中期选举期间,共和党国会委员会遭到黑客的入侵,数千封敏感邮件泄露。


据3名共和党高级官员透露,共和党国会委员会(NRCC)的4名高级助手的邮箱账户遭到了长达几个月的监视,黑客入侵行为是在今年4月份被NRCC的网络服务供应商发现,随后报告给了NRCC和网络安全承包商。内部的调查已经发起,并且告知了FBI。


共和党官员拒绝透露入侵事件是从何时开始,幕后指使是谁。


遭到泄露的数千封邮件还没有被公之于众,官员表示,在竞选期间,NRCC并没有受到黑客公开邮件的威胁。


但众议院的领袖们,包括议长瑞安、共和党领袖麦卡锡和共和党党鞭斯卡利斯并不知情,直到美媒向他们询问此事时才得知。


NRCC主席斯蒂夫斯没有对此事进行回应。委员会官员称他们选择不公开此事是想要先在内部自己调查,他们害怕公开后会打草惊蛇,难以抓住罪犯。


“我们不想公开细节,因为调查还在进行中,”一名共和党高级官员说。


黑客的入侵让NRCC一度惊慌失措,他们斥巨资雇佣了华盛顿最有名的两家律所Covington & Burling和Mercury Public Affairs来监督对入侵事件的处理。

“NRCC可以确认它被一个我们还不知道的实体进行了网络入侵,委员会数据的安全是最重要的,在得知入侵后,NRCC立即发起了内部调查并通知了FBI,现在此事还在调查中,” Mercury的副主席普赖尔说,“为了保护调查的完整性,NRCC将不会再进一步进行评论。”


BI发言人拒绝就此事评论。


众议院共和党人在刚刚过去的中期选举中丢掉了40个席位,让民主党人重新夺回了控制权。


来源:中国新闻网


2、抢票软件要凉:12306即将上线“候补购票”功能


虽然距离猪年大年初一(2月5日)还有63天的时间,可能有些朋友已经开始琢磨如何回家/回乡的事情了。无疑,春节是一年中中华大地人口流动最盛的时候,可以说,各种交通工具利用率在春运期间达到了顶峰。同样,对于那些路途遥远、车次较少的朋而言,抢票很快将成令人“头疼”的大事。


不过,2019年的春运火车出行中,有望迎来新的变化,从而大大缓解抢票难。


据媒体报道,负责12306客票发售和预订系统研发的专家透露,“候补购票”功能将于2019年春运期间上线。


所谓候补购票,即旅客如果遇到车票售完的情况,在12306平台登记购票信息并支付预购票资金后,如有退票、余票,12306系统将自动为其购票。按照专家的估计,这种方式无论购票速度、成功率还是安全性,都比市面上五花八门的抢票软件有明显优势。


另外,随着系统、服务器等技术的升级、资源的整合,23点后无法购票的限制或将一并取消。


资料显示,2019年春运将于2019年1月21日开启,除夕(2月4日)的车票自1月6日可以购买。



来源:快科技



3、Google Chrome 71版开始拦截网站上的虚假播放器按钮


谷歌浏览器目前已经面向正式版通道的用户发布v71的首个版本,本次更新按惯例修复多处发现的安全漏洞。除常规的漏洞修复外新版本也增加部分新功能,例如恶意广告拦截、欺诈性结算以及自动语音合成广告等等。其中自动语音合成本身是面向残障人士提供的友善功能,不过被广告滥用后谷歌已经决定默认拦截播放合成。


拦截具有恶意和侵犯性的广告内容:


侵犯性广告指的是那些伪装成视频播放按钮、文件下载按钮以及未经用户确认直接弹出多个广告弹窗的等等。通常附带此类广告的网站基本都是些不太正规的网站,比如不少小电影网站就喜欢伪装播放按钮诱导下载等。


此前谷歌浏览器已经开始打击各种恶意弹窗广告,但统计发现超过一半的恶意广告并没有被谷歌浏览器阻止。谷歌分析发现这些网站几乎全部涉及有害或者误导性的广告,这些类型的广告对于访问者们来说极具侵犯性。


动态图演示恶意和侵犯性广告:



谷歌浏览器也提供选项供用户接受网站的侵犯性广告,当然估计没有用户会主动这么设置除非是网站管理员。对于需要排除并接收恶意广告的用户可以在谷歌浏览器设置—高级设置—内容设置—广告设置添加例外网站。如果你是网站管理员可以点击这里阅读谷歌详细的标准进行改进,如果没有改进后续用户访问都会被拦截掉。


为残障人士提供的语音合成API接口被增加限制:


谷歌浏览器附带的语音合成接口可以让网页开发者实现自动朗读,这样可以更方便残障人士听读网页的内容。此前谷歌浏览器做出的重要改进就是禁止网页自动播放音频,烦人的自动播放被禁止后让不少用户清净许多。但垃圾广告发布商和诈骗网页转而开始利用语音合成接口,该接口无需用户确认即可实现网页音频自动播放。


针对垃圾广告和诈骗网页的滥用谷歌浏览器开发团队已经决定:自新版本开始限制语音合成接口的自动播放。自新版本开始用户必须手动点击播放按钮才能播放语音合成内容,用户不主动操作那么直接禁止音频的播放。


但不少开发者对此调整表示抗议:


那些合理使用语音合成接口为残障人士提供服务的网站开发者看到谷歌的变更提示后抱怨谷歌的做法太武断。因为后续这些网站也需用户点击确认才可播放,这给残障人士的听读网页造成困难、也在强迫他们更改习惯。


有开发者提交抗议后也倒是获得谷歌浏览器开发团队回复,回复中谷歌对这些开发人员遇到的问题感到同情。但同情归同情开发团队还是回应被滥用后禁用该接口是合理的,所以新版会进行这项变更没有其他替代方案。


拦截具有欺诈性结算的游戏和网站:


此功能的变更基本不影响国内的用户,欺诈性结算主要是国外某些地区支持通过网页注册手机号码订阅内容。这些欺诈性的游戏或其他内容会诱导用户输入手机号码进行订阅,但是在页面里不会提示可能会被收取费用。很多用户在不知情的情况下确认订阅付费内容还没有地方取消,针对这个问题谷歌在结算页会直接进行拦截。


来源:蓝点网

声明:本网站所提供的信息仅供参考之用,并不代表本网站赞同其观点,也不代表本网站对其真实性负责。 



更多阅读:


1、[原创]一种通用DLL劫持技术研究


2、[原创]我的二进制漏洞挖掘方法思路(不仅是fuzz)希望有缘人指点


3、[原创]手工添加外部DLL输入表并调用添加函数


4、[原创]纯手工完美恢复IAT



2018.12.05周三


1、万豪事件后 多名参议员要求美国国会通过数据安全和隐私法案


在万豪国际连锁酒店数据泄露事件之后,美国民主党参议员Mark Warne,Ed Markey和Richard Blumenthal共同发表声明要求国会通过数据安全和消费者隐私法案。参议员Mark表示:“像万豪这样的违规行为可能导致严重的个人身份泄露和财务欺诈。它是笼罩美国经济的黑云。美国人民是时候采取行动了。”




他继续说道:“国会现在应该完善数据安全法规来妥善保护消费者隐私,并要求企业和公司必须遵守强有力的数据安全标准,指导他们只收集服务所需的数据,对于未达标的企业采取处罚措施。”他要求通过新立法来限制公司从客户中收集的数据量,以及强制要求企业删除已经不再使用的敏感数据。


来源:cnBeta.COM



2、美德官员同一天遭黑客攻击 美媒:或与俄罗斯有关?


参考消息网12月4日报道美媒称,11月14日俄罗斯黑客似乎很忙。


据美国石英财经网站12月2日报道,不同的报道将俄罗斯黑客与美国和德国官员在同一天遭攻击事件联系在一起。尚不清楚这些事件是否有关联。


首先,美国网络安全公司报告,这个名为“安逸熊”的组织——据称是俄罗斯对外情报局的一个分支,以第一个侵入民主党全国委员会的俄罗斯黑客团队而最为人所知——似乎已经复活。网络安全公司说,该组织很可能是针对美国政府机构、智库和企业的一些新黑客袭击的源头。这些邮件貌似包含来自国务院高官希瑟·诺尔特的文件,但实际上它们带有恶意软件。


然后是11月29日,德国相关部门对《明镜》周刊的记者说,就在同一天他们发现了一起针对该国议员、军方和使馆电子邮件账户的袭击。这是俄罗斯黑客在一年内第二次攻击德国,此前德国安全部门在2017年12月探查到了一场全球攻击。这场被称为“蛇”或“图拉”的黑客行动与俄罗斯政府有关——但克里姆林宫否认与之前的攻击有任何关联。


报道称,目前尚不清楚在这两起攻击中是否有任何数据被盗。据报道,2017年“蛇”行动感染了17台德国电脑,包括一名国防部官员的电脑。攻击者获取了少量数据,其中一些与俄罗斯有关。据路透社报道,这是一场更广泛行动的一部分,针对包括乌克兰和波罗的海国家在内的前苏联加盟共和国以及斯堪的纳维亚半岛和一些南美国家。(编译/王海昉)


来源:参考消息网



3、Google Play商店下架猎豹文件管理器:存在欺诈行为


谷歌本周将来自猎豹移动和新美互通(Kika Tech)的两款应用从Google Play商店中下架。谷歌已经发现,这两款应用存在“欺诈和恶意行为”。 谷歌表示,内部调查发现,猎豹文件管理器和Kika Keyboard输入法包含用于执行广告欺诈,即点击注入和点击泛洪的代码。应用分析和下载溯源公司Kochava最初报告称,猎豹移动的7款应用和新美互通的1款应用存在这样的问题。




谷歌发言人表示,该公司将继续调查这些应用,预计将采取更多行动。


谷歌在声明中称:“我们非常重视这些指控。Google Play的开发者政策禁止在我们的平台上进行欺诈和恶意行为。如果应用违反我们的政策,我们就会采取行动。”

谷歌表示,猎豹移动和新美互通可以对这个决定提出申诉,而谷歌似乎也已经从AdMob移动广告网络中将这两款应用删除。


这两款应用被删除对猎豹移动和新美互通来说是巨大的打击。这两家中国应用开发商合计有数亿的月活跃用户。此次事件也反映了,移动应用如何在用户不知情的情况下滥用用户权限,从事恶意活动。


两家公司尚未对此消息置评。


根据应用分析服务AppBrain的数据,被删除的两款应用在Google Play的总下载量超过2.5亿次。Kika Keyboard是Google Play商店中最热门的输入法应用,而以下载量来衡量,猎豹移动是Android生态中规模最大的应用开发商之一。


猎豹移动的另两款应用电池医生和CM Launcher上周从Google Play商店下架。当时猎豹移动表示,该公司自愿下架了这两款应用。目前这些应用尚未重新上架。


来源:新浪科技

声明:本网站所提供的信息仅供参考之用,并不代表本网站赞同其观点,也不代表本网站对其真实性负责。 



更多阅读:


1、[原创]手工添加外部DLL输入表并调用添加函数


2、[原创]纯手工完美恢复IAT


3、[原创]小型PE查看器


4、[原创] CVE-2014-0322 IE与Flash结合利用 绕过ASLR+DEP



2018.12.04周二


1、矿场关闭或转移致使比特币网络哈希率下降


比特币挖矿的难度会根据其网络算力/哈希率进行调整,算力越高难度也相应提高以维持相同的区块挖出比率,但从今年十月起,挖矿的难度随比特币网络算力的下降而出现了罕见的降低。从 8 月到 11 月,算力下降了 24%,而比特币的币值也在 11 月份出现了显著的下降,目前币值维持在 4000 美元上下波动。


算力下降意味着原来的部分矿场关闭或转移到其它数字货币。如果是有意的关闭,那么显然是因为目前的币值对矿工来说在经济上已经不太合算。


矿场的开支主要包括了矿机、场地和电力费用,使用比特大陆蚂蚁矿机 S9 挖矿的盈亏平衡点是大约 7000 美元。




来源:solidot.org



2、警惕:iOS伪装心率测量应用诱骗用户内购确认 最高可一次骗走90美元


在苹果的App Store应用市场中,一款名为“Heart Rate Measurement”的心率测试APP的新欺诈性应用,以测量心率的借口来诱导用户使用Apple Pay的唤出确认方式,诱骗用户支付90美元内购金额,尽管其已经被下架,反映了新的应用欺骗手段和苹果审核机制的不足,值得警惕。




在iPhone X如果想靠手势启动Apple Pay改为这样操作,先按两下侧边按钮,然后看一眼屏幕让Face ID识别脸部资讯,接着把iPhone X靠近刷卡机就能完成付款。而这款APP则声称用户需要通过侧边按钮来测量心率,而侧边按钮并不能实现心率感应,实际上是为了让用户唤出并进行内购确认。该应用利用了苹果程序内购的特点进行诱骗,希望用户警惕。


来源:cnBeta.COM 



3、工信部将开展移动恶意程序专项治理工作


工业和信息化部组织各地通信管理局、基础电信企业、网络安全专业机构、互联网企业和网络安全企业等开展网络安全威胁监测与处置工作。同时,全行业围绕电信和互联网行业网络安全检查、国家重大活动网络安全保障、网络安全宣传周、突发事件应急等方面积极开展相关工作。下一步,工信部的工作重点为:


(一)做好网络安全试点示范项目相关工作。完成2015年和2016年网络安全试点示范项目评估工作,组织开展第四批行业网络安全试点示范推荐工作,完成全国宣贯、项目申报、项目评审等工作,制定推荐项目目录。


(二)开展移动恶意程序专项治理工作。为及时发现和消除移动恶意程序等网络安全威胁,维护广大网络用户的合法权益,组织各地通信管理局、基础电信企业、互联网企业、域名机构等单位开展针对移动恶意程序的专项治理工作。


(三)全面推进工业互联网安全工作。加强对遴选的29个工业互联网创新发展工程项目(安全方向)的管理工作,强化项目跟踪和调研,确保项目高质量完成;做好工业互联网试点示范项目(安全方向)相关工作,积极推广关于工业互联网安全解决方案和最佳实践。


附2018年第三季度网络安全威胁态势分析与工作综述:


依据《公共互联网网络安全威胁监测与处置办法》(以下简称《办法》),按照及时发现、科学认定、有效处置的原则,工业和信息化部组织各地通信管理局、基础电信企业、网络安全专业机构、互联网企业和网络安全企业等开展网络安全威胁监测与处置工作。同时,全行业围绕电信和互联网行业网络安全检查、国家重大活动网络安全保障、网络安全宣传周、突发事件应急等方面积极开展相关工作。2018年第三季度工作情况总结如下:


一、网络安全威胁总体态势


第三季度公共互联网网络安全形势依然严峻,发生多起严重危害用户合法权益的网络安全事件,网络安全威胁态势呈现以下几个特点:


(一)用户数据泄露事件多有发生,突显加强网络安全防护重要性。第三季度,网曝多起用户数据泄露事件,涉及互联网、物流、酒店等多个行业企业,最高达上亿条信息记录,疑似是由于企业服务器或手持终端被植入恶意程序,以及内部安全管理机制不完善等问题导致。加强网络安全防护,包括排查风险隐患、强化防护技术手段、完善安全管理制度、落实网络安全责任等,已是企业履行用户数据保护责任的重要任务。


(二)云计算平台相继发生故障,其安全性仍待加强。 近年来,“企业上云”已成为发展趋势,公有云计算平台承载着越来越多的关键业务和重要数据,其安全问题也成为各方关注的焦点。第三季度前后,国内外多家云计算平台相继发生故障,出现大规模用户访问异常、用户数据丢失等问题,暴露出云计算平台在管理、运维、防护等方面仍存在诸多不足。


(三)勒索病毒严重危害网络用户合法权益。多家单位持续关注勒索病毒威胁,360公司监测到多地发生Globelmposter勒索病毒攻击事件,同时对已爆发近17个月的WannaCry勒索病毒在国内的感染情况进行了统计,本季度每天仍有约6000至14000的感染量;根据阿里云统计,阿里云平台在第三季度共拦截约836亿次攻击,其中利用永恒之蓝漏洞(WannaCry勒索病毒利用的漏洞)进行攻击的数量占到近三分之一。


(四)网络安全漏洞仍然是工业互联网面临的主要安全威胁之一。第三季度,国家工业信息安全发展研究中心监测发现新增工业控制、智能设备、物联网等相关漏洞105个;中国信息通信研究院对31个工业互联网平台的126个域名、近170万个IP地址持续进行监测,发现疑似风险2600余个,并开展风险核实工作,目前相关工作正在进行中;中国软件评测中心监测发现45个联网工控系统漏洞,涉及多个品牌的58个产品。


二、网络安全威胁处置情况


第三季度,全行业共处置网络安全威胁约3397万个,包括恶意IP地址、恶意域名等恶意网络资源约653万个,木马、僵尸程序、病毒等恶意程序约2611万个,网络安全漏洞等安全隐患约4.8万,主机受控、数据泄露、网页篡改等安全事件约127万个,其他网络安全威胁约1万个。


其中,上海市通信管理局针对51家互联网企业的网站、应用系统、移动应用程序等存在网络安全漏洞的情况,约谈了相关企业,并督促其及时整改漏洞、消除安全隐患;广东省通信管理局开展网站后门链接专项打击,清理非法植入的网站后门链接606个;广西自治区通信管理局在“中国-东盟博览会”网络安全保障期间,处置非法植入的网站后门链接10个;根据国家计算机网络应急技术处理协调中心提供的DDoS攻击资源相关信息,宁夏自治区近百万个IP地址发送NTP(Network Time Protocol,网络时间协议)响应信息,疑似被用作DDoS攻击,经宁夏自治区通信管理局组织相关单位研判,确定为宁夏电信公司为家庭宽带用户安装的光调制解调器开启了NTP服务,被攻击者恶意请求后返回的响应信息,宁夏自治区通信管理局督促宁夏电信公司及时对相关用户的近百万台光调制解调器进行远程固件升级,关闭NTP服务,消除被用作发起NTP型DDoS攻击的风险。


三、开展的其他主要工作


(一)圆满完成“中非论坛北京峰会”网络安全保障任务。组织部署北京市通信管理局、基础电信企业、网络安全专业机构、重点互联网企业和域名机构等行业力量为“中非论坛北京峰会”提供链路扩容、链路加固、流量清洗等网络安全保障,重点对1.17万个IP地址和145个域名实施7×24小时流量、域名解析监测;组织开展公共互联网网络安全威胁治理,关闭恶意网站域名479个,阻断移动恶意程序传播8093次,拦截恶意软件传播短信19.7万条,处置恶意软件控制端地址182个和攻击行为21万次,有效保障了“中非论坛北京峰会”期间网络安全。


(二)部署开展2018年电信和互联网行业网络安全检查工作。为深入贯彻中央精神,落实关键信息基础设施防护责任,提高电信和互联网行业网络安全防护水平,根据《网络安全法》等法律法规,对依法获得电信主管部门许可的基础电信企业、互联网企业、域名注册管理和服务机构建设与运营的相关网络和系统开展网络安全检查。重点检查网络运营单位落实有关法律法规和安全防护体系系列标准情况,以及可能存在的弱口令、中高危漏洞和其他网络安全风险等。


(三)推进工业互联网安全试点示范、检查等工作。8月29日,组织10省(市)通信管理局召开研讨会,围绕工业互联网安全工作现状及面临的问题、指导意见和标准体系、技术保障平台建设等展开深入讨论;印发《关于开展2018年工业互联网试点示范项目推荐的通知》,通过试点先行、示范引领,推广典型经验的做法,推进工业互联网创新发展;开展2018年工业互联网安全检查评估工作,第三季度发现并通知整改安全风险2200余个,涉及15个企业的59个业务系统。


(四)切实履行网络安全管理职责,依法对“WiFi钥匙”进行行政处罚。为落实网络安全法,切实履行网络安全管理职责,福建省通信管理局在前期对“WiFi钥匙”违规收集、共享用户WiFi密码等信息进行调查、核实、分析、研判及约谈其公司法人的基础上,依据网络安全法,对相关企业作出责令整改并处罚金二十万元的行政处罚。


(五)启动勒索病毒威胁专项治理行动。9月初,组织基础电信企业、网络安全专业机构、互联网企业和网络安全企业等召开恶意程序专项治理工作讨论会,重点对勒索病毒的工作原理、传播渠道、防范与处置措施等方面进行了研究讨论。在研讨会基础上,进一步研究分析并制定工作方案,于9月底印发《关于开展勒索病毒专项治理工作的通知》,组织各地通信管理局、电信和互联网行业企业、网络安全专业机构等针对勒索病毒的传播渠道开展监测与处置。


(六)组织开展网络安全宣传周活动。组织、指导各地通信管理局、基础电信企业在国家网络安全宣传周期间,通过举办主题论坛、发送公益短信、张贴海报、发放宣传手册、播放宣传视频等方式,广泛传播网络安全知识,提升公众网络安全防护意识。期间,向全国用户发送公益短信累计10亿余条,4600余个电信营业厅设置了宣传专区,张贴海报超过1.6万张、发放宣传手册68万余份,宣传视频累计播放440万次、5000余小时。


(七)积极举办网络安全应急演练。海南省通信管理局组织当地三家基础电信企业和海航科技公司开展网络渗透攻击应急处置的实战演练;浙江省通信管理局组织举办2018年浙江省互联网网络与信息安全应急演练,当地三家基础电信企业、阿里云、杭州电商互联、腾讯云、天融信等公司参加演练;甘肃省通信管理局为保障“第三届丝绸之路(敦煌)国际文化博览会”网络安全,组织当地三家基础电信企业开展针对网页篡改、移动恶意程序、DDoS攻击等网络安全威胁及事件的应急演练;中国互联网络信息中心组织开展《国家顶级域名系统安全应急预案》演习,并加强域名安全监测处置技术手段建设,实现对根域名服务、国家顶级域名服务以及重点单位域名权威云解析服务等运行状态的全天候实时监测。


四、下一步工作重点


(一)做好网络安全试点示范项目相关工作。完成2015年和2016年网络安全试点示范项目评估工作,组织开展第四批行业网络安全试点示范推荐工作,完成全国宣贯、项目申报、项目评审等工作,制定推荐项目目录。


(二)开展移动恶意程序专项治理工作。为及时发现和消除移动恶意程序等网络安全威胁,维护广大网络用户的合法权益,组织各地通信管理局、基础电信企业、互联网企业、域名机构等单位开展针对移动恶意程序的专项治理工作。


(三)全面推进工业互联网安全工作。加强对遴选的29个工业互联网创新发展工程项目(安全方向)的管理工作,强化项目跟踪和调研,确保项目高质量完成;做好工业互联网试点示范项目(安全方向)相关工作,积极推广关于工业互联网安全解决方案和最佳实践。


来源:工信部 

声明:本网站所提供的信息仅供参考之用,并不代表本网站赞同其观点,也不代表本网站对其真实性负责。 



更多阅读:

2018.12.03周一


1、12月数据库榜单:整体排名稳定如昨,Oracle分数接连下降


DB-Engines 数据库流行度排行榜发布了12月份的数据,先来看一下完整的榜单,排名前二十如下,可以看到,12月榜单的前二十名和上个月的对比变化不大,而且大部分数据库的分数都保持着上升的趋势。榜首 Oracle 的分数虽然连续两个月都出现较大的下滑(-17.89, -18.16),但奈何“家底”扎实,依旧稳居第一。



而“万年老四”的 PostgreSQL 在这两个月的得分都十分出众,相比上个月,它的分数又增加了 20.39,在整个排行榜中它也是增长分数最高的一个。


至于 MongoDB,虽说分数一直保持着稳定上升的趋势,但和 PostgreSQL 相比依然有较大的差距。不过,MongoDB 在2018年的表现是非常不错的,至少一直都在进步,这个表现也是 MongoDB 独一份。


其他方面的变动,以及完整排名请查看 https://db-engines.com/en/ranking。


接下来我们看一下前十名的趋势变化图:



最后看一下每种数据库的排名情况。


关系数据库前10名如下:



Key-Value 数据库前10名如下:



文档数据库前10名如下:



图数据库前10名如下:



时序数据库前10名如下:



DB-Engines 根据受欢迎程度对数据库管理系统进行排名,排名每月更新一次。排名的数据依据 5 个不同的指标:


Google 以及 Bing 搜索引擎的关键字搜索数量


Google Trends 的搜索数量


Indeed 网站中的职位搜索量


LinkedIn 中提到关键字的个人资料数


Stackoverflow 上相关的问题和关注者数量


这份榜单分析旨在为数据库相关从业人员提供一个技术方向的参考,其中涉及到的排名情况并非基于产品的技术先进程度或市场占有率等因素。无论排名先后,选择适合与企业业务需求相比配的技术,才是最重要的。


来源: 开源中国



2、4S店客户信息遭泄露,老板报案找"内奸"

三湘都市报12月2日讯 网络时代,个人信息信息泄露呈现普遍趋势。长沙一家4S店发现大量客户信息被泄露后,老板主动向公安机关报案,请求找出背后黑手。今天上午,记者与这家4s店的负责人郭先生取得了联系。


上午,记者来到这家名为湖南省逐鹿汽车销售贸易有限公司的4S店内。公司负责人郭先生介绍,该店成立于2009年8月,主营业务为雷诺汽车销售、售后服务等,"从今年10月开始就陆续有顾客向我们反映收到了另一家4S店的推广信息。客户信息属于商业机密,我们肯定不会也不能对外透露。”


郭先生给记者提供的几条客户收到的短信截频,内容均为"天越"雷诺4S店开业期间客户进店可享受32项免费检测等服务。“最开始怀疑可能是保险公司泄露了信息,但这些客户是在不同的保险公司购买的车险。”郭先生坦言,经过公司近段时间收到的反馈统计,店里大量客户都收到了此条短信,"客户们收到信息后都非常气愤,因为自身从来没有与那个公司有过任何接触,购车及保养一直都是在我公司进行的。"


"天越"公司如何得知雷诺车主的信息?郭先生怀疑。"可能是公司内部工作人员违法泄密,也有可能是第三方机构恶意窃取公司数据。"他表示,侵害商业秘密是一方面,更重要的是侵害了公民的信息。


记者联系了"天越"4S店工作人员,对方表示需要调查。截至记者发稿前,仍未得到回应。


湖南万和联合律师事务所李健律师表示,依据《刑法》第二百五十三条等相关规定,违反国家有关规定,窃取或者以其他方法非法获取公民个人信息的,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。


因此本事件中群发信息商家若不能对其采集渠道进行有效合法的辩解,其行为则已经涉嫌侵犯公民信息犯罪,辖区公安机关有义务通过报案线索进行立案侦查,从而维护广大公民合法权益。


李健呼吁,全社会应当对信息采集渠道涉嫌违法企业共同抵制,降低其违法收益。增加其违法成本,这样才能从根本上遏制住类似违法犯罪情形的出现。


来源:三湘都市报



3、 当代人最违心的话,是“我已阅读并同意隐私政策”


安装App时的隐私政策,大家可能没什么概念,但如果提到安装时跳出的一大堆需要点确定的繁琐内容,可能就有印象了。这些弹出的内容,一大半是App在将来的使用中需要用到的个人信息,另一些则是正常使用必须得到的授权。


当然人越来越依赖手机等智能设备,通过App传输和记录的数据也越来越多,移动App的高频使用和大量信息的交换与传播使得隐私安全事故发生的风险不断扩大。


App已成为个人信息泄露的重灾区。


用户个人信息安全事件时有发生:2018年8月,大众点评被指暴露用户行踪,将用户在平台上的关系链与微信等通讯录中的好友捆绑、某手机打开QQ浏览器摄像头自动调出,南京公安官方微信公众号还和抖音就用户隐私“掐起来了”……


隐私政策是其中重要的一环。


南方都市报曾经对50个App和网站的隐私协议进行调查,对50家评分,及格的只有7家。


隐私政策读还是不读?


打开应用商店,下载App,安装,“我同意隐私政策”。这一系列常规操作的背后,你知道当自己按下“同意”的时候,交出了哪些信息和权利吗?有认真看过那长长的隐私协议吗?有没有意识到自己可能在裸泳?


事实上,安装App时弹出的用户协议或隐私政策没有几个人会真的去认真阅读。


其次,老实说,无论隐私政策写了什么,我们多半还是照用不误。


仔细阅读隐私政策也会发现,其中充满了含混的说法。例如:必要时,我们”可能“会收集你的信息,并将其共享给其它企业。我们恐怕很难搞清楚必要是什么时候,概率是多少,以及其它企业的范围是什么。对于普通人来说,完全是“长篇大论、充满细节,但什么也没说”的效果。


这就是厂商的目的。企业故意让隐私政策含糊、难以阅读,目的是在法律层面上找不到漏洞。有的服务协议长达30页,用户自以为是地一页页猛按“同意”。




▲2014年iOS用户协议


苹果的程序员们在2014年iOS用户协议里就添加了一句毫无意义的话:“苹果总部5层的托尼身上有一股沙丁鱼的味道。”


实际上,就算读出了隐私协议中的端倪,用户的态度也几乎是没有意义的,大部分App不同意就没法用,有的压根就没有不同意的选项或是默认勾选同意。

此前,“知乎”的隐私政策就引发了广泛争议。在知乎隐私政策的弹窗页面有“同意”和“不同意”两个选项,但点击不同意,会跳出下面这幅图。




▲知乎目前已更新隐私协议,不点同意可选“仅浏览”


隐私政策这么多坑,但这并不意味着对用户毫无意义。因为隐私条款不仅仅关系到你的个人隐私数据,我们其实通过正确阅读隐私政策找更好的掌控个人信息。


如何正确阅读隐私政策


如何正确阅读隐私政策?


首先,我们可以通过在隐私政策中搜索“设置”这个词,来找到隐私数据控制选项。


以微信为例,如下图所示,在微信的隐私政策中我们可以找到明确的隐私设置步骤。显示了详细的操作步骤。



很多用户在打开新的App、小程序时会默认授权微信,这样隐私泄露的风险又进了一步。


打开微信-【我】-【设置】-【隐私】 -【授权管理】-【管理】,点击红色的减号“删除”,即可取消授权。



另外可以留意的是隐私政策的最新更新日期。如果一家公司的隐私政策保持更新,说明他们比较重视这件事。




▲腾讯隐私政策更新日期为2018年6月13日


如果隐私数据中使用了“例如”这样的字眼,这就意味着他们在收集各种数据,而且不会告诉你具体收集了哪些数据。




▲腾讯隐私政策截图


GDPR如何保护用户隐私

2018年5月1日,国家标准《信息安全技术个人信息安全规范》正式实施,对各类组织个人信息处理活动提出了明确的安全要求。对此,各大App纷纷将隐私政策透明化,并且选择了用户可以选择不同意,虽然不同意则无法使用App的服务。


苹果也宣布,从2018年10月3日开始App Store 新规要求所有应用都有隐私政策,隐私政策必须明确而清楚地:指明App/服务所收集的数据 (若有)、收集数据的方式,以及这些数据的所有用途。


涉及隐私侦测最严格的法规是欧盟的“史上最强数据保护法”GDPR。


GDPR明确规定,要求用户协议说人话,必须清晰易读,不能写又长又难懂的文字,不能全篇都是难懂的法律术语。


以谷歌为例,新的隐私协议界面,简洁大方,还配上了动画。比如,谷歌明确告诉用户,“应用、浏览器和设备信息”都会被收集。




▲谷歌隐私政策截图


谷歌也明确告知用户,数据会被用来做什么,比如“提供Google的服务”、“提供个性化服务,包括内容和广告”等




▲谷歌隐私政策截图


谷歌还为隐私政策配上了视频,新增了4个短视频,分别从整体条款、收集的信息、为什么要收集数据、隐私控制项等方面,对文本进行可视化呈现。




▲谷歌隐私政策讲解视频


GDPR还规定,个人数据有“被遗忘权”,用户过去因为懒得看协议随手授权使用的个人信息,现在可以反悔,而公司必须删除干净,而且要阻止之前授权的第三方继续使用用户要求删除的信息。


此外,一旦发生数据泄露,公司必须在72小时内通知用户。


GDPR后续的实施效果如何尚未可知,但一家企业在隐私政策上愿意花费心思,且有诸多保障用户权利的功能设计,对于用户来说一定不是坏事。


越来越多的企业和机构拥有搜索个人信息的能力,个人信息的使用、交互、跨境传输越发频繁。大型互联网公司、超级App现在已可被视为基础信息平台。

李彦宏曾经说过,“中国人愿意用隐私换取便利。”,这背后实则上是网友根本没有选择权。大量个人隐私数据作为样本被收进了数据库,成为无数商业公司分析的对象。当某手机的升降机械摄像头成了“流氓软件鉴定器”时,掀起的民愤也表明了中国用户对用户隐私的关注正在逐步上升。


许多互联网服务机构都可能掌握大量的用户信息。这些信息合理使用的边界在哪里,搜集用户信息的机构是否具备安全保管用户信息的资质和能力,所有这些问题都应当尽早纳入监管范畴,作出制度性的界定,才能最大限度避免个人隐私信息泄露的风险。


只有把规则立下,才能使隐私得到更好地保护。


来源:新浪科技

声明:本网站所提供的信息仅供参考之用,并不代表本网站赞同其观点,也不代表本网站对其真实性负责。 



更多阅读:


1、[原创] CVE-2014-0322 IE与Flash结合利用 绕过ASLR+DEP


2、[原创]2018bctf three


3、[原创]一种通用DLL劫持技术研究


4、[原创]我的二进制漏洞挖掘方法思路(不仅是fuzz)希望有缘人指点





[推荐]看雪企服平台,提供安全分析、定制项目开发、APP等级保护、渗透测试等安全服务!

最后于 2018-12-29 09:32 被Editor编辑 ,原因:
上一主题 下一主题
打赏 + 3.00
打赏次数 2 金额 + 3.00
收起 
赞赏  BkHumor   +1.00 2018/12/06
赞赏  朱年吉祥   +2.00 2018/12/06
最新回复 (17)
Editor 2018-12-7 09:45
2
0
2018/12/7

Editor 2018-12-7 09:45
3
0
1、研究人员发现新的类 Spectre 攻击 SplitSpectre
2、Adobe修复一个由360团队发现的Flash Player零日漏洞
3、澳大利亚有望通过立法要求谷歌、苹果等上交加密数据
Editor 2018-12-10 09:54
4
0
2018/12/10

1、 Android 官方模拟器支持 Fuchsia 的 Zircon 内核
2、FBI开始对FCC废除“网络中立”的百万条虚假评论展开调查
3、研究发现全球有41.5万多台路由器受到秘密挖矿软件感染
Editor 2018-12-11 09:50
5
0
2018/12/11

1、卡巴斯基曝光DarkVishnya银行内网攻击案件细节
2、爱立信软件证书过期导致 O2 网络故障
3、ITU:全球互联网用户达39亿 超总人口一半
最后于 2018-12-11 09:50 被Editor编辑 ,原因:
Editor 2018-12-12 09:42
6
0
2018/12/12
1、科技巨头批澳政府反加密法律:对网络有重大负面影响
2、美国众议院公布 Equifax 数据泄露案调查报告
3、PlayStation Classic已被黑客破解 可运行USB设备上的游戏
Editor 2018-12-14 09:18
7
0
2018/12/14

1、船舶感染勒索软件、USB恶意程序和蠕虫

2、2018最糟糕密码使用人群榜单公布 侃爷位居榜首

3、给特斯拉或五角大楼挑错 自由职业黑客年赚50万美元
Editor 2018-12-17 18:02
8
0
2018/12/17

1、SQLite 被曝存在漏洞 所有 Chromium 浏览器受影响

2、德国监管机构称没有华为设备后门证据

3、“脸书”涉泄680万用户照片 或面临16亿美元罚款
Editor 2018-12-18 11:56
9
0
2018/12/18
1、面部识别安全吗?研究发现3D打印的脸能骗过安卓机
2、利用网银APP漏洞非法获利超2800万 6人被刑拘
3、双重认证并非100%安全:新技术证实可成功入侵Gmail账号
Editor 2018-12-19 09:52
10
0
2018/12/19

1、Twitter 警告来自中国和俄罗斯的可疑流量

2、 美导弹防御系统安全审计:无加密无双重认证 28年漏洞未修补

3、Chrome将强化“后退”按钮 打击后退至广告页行为
最后于 2018-12-20 09:33 被Editor编辑 ,原因:
Editor 2018-12-20 09:33
11
0
2018/12/20

1、AV-TEST给出了适用于Android的最佳安全应用程序名单

2、英国警方本周在伦敦对圣诞购物者进行面部识别测试

3、华为:未来5年将投资20亿美元强化网络安全
Editor 2018-12-21 10:02
12
0
2018/12/21

1、NASA 服务器被黑客攻击,员工信息曝光

2、华盛顿特区就剑桥分析公司数据丑闻起诉Facebook

3、国家林业和草原局信息中心大数据处正式成立
Editor 2018-12-24 09:49
13
0
2018/12/24

1、印度政府将能拦截、监视和解密公民的计算机
2、医务人员泄露患者信息 未造成损害也要承担侵权责任
3、Intel SGX开放第三方证明服务
Editor 2018-12-25 09:29
14
0
2018/12/25

1、研究发现网站文本验证码存在“巨大安全漏洞”

2、英国制定智能汽车网络安全准则 防止黑客攻击

3、美善意黑客通过监控摄像头提醒主人密码遭泄露
Editor 2018-12-26 09:10
15
0
2018/12/26
1、Librefox:具有隐私增强功能的Firefox
2、印度将允许执法与情报机构监控境内电脑上的任何信息
3、最新钓鱼邮件曝光:伪装成Office 365未送达邮件
Editor 2018-12-27 09:56
16
0
2018/12/27

1、又诞生了一个新的更Powerful的挖矿木马

2、工人日报:给泄露患者隐私者更强震慑

3、警惕!移动支付最常见安全问题是个人信息泄露
Editor 2018-12-28 09:24
17
0
2018/12/28

1、卡巴斯基:明年将会出现盗用生物识别数据的攻击行动

2、黑客窃取了美国圣地亚哥学区十年的数据

3、俄方:俄驻英大使馆网站遭黑客攻击 数据库被摧毁
Editor 2018-12-29 09:37
18
0
2018/12/29

1、近千名脱北者个人信息因黑客攻击遭泄露

2、苹果商城发现恶意Alexa应用:下架前工具类App排行第六

3、黑客攻击 Electrum 钱包窃取到 200 多比特币
游客
登录 | 注册 方可回帖
返回