首页
论坛
专栏
课程

[分享][2018.12.10] FBI开始对FCC废除“网络中立”的百万条虚假评论展开调查 | 12月安全资讯

Editor 2018-12-3 09:27 303

2018.12.10周一


1、 Android 官方模拟器支持 Fuchsia 的 Zircon 内核


Android Studio 的官方 Android 模拟器被发现开始支持 Fuchsia 的 Zircon 内核。Fuchsia 是Google 正在开发替代 Android 的新操作系统,它没有使用 Linux 内核,而是使用名叫 Zircon 的微内核,设计能运行在手机和 PC 上。暂时还不清楚 Google 对 Fuchsia 究竟有何计划。但从目前的迹象看 Google 可能会在未来抛弃 Linux 内核。

来源:solidot.org


2、FBI开始对FCC废除“网络中立”的百万条虚假评论展开调查


据外媒报道,现在美国司法部(DOJ)正在对FCC曾经展开的是否应该废除“网络中立”评论活动展开调查。两家匿名机构告诉BuzzFeed News,FBI已经向FCC发出了与之相关的传票。据悉,这是FBI首次对该案件表现出了兴趣,不过在此之前纽约总检察长办公室已经宣布了对该案展开调查的消息。


从去年4月起,特朗普政府领导下的FCC主席Ajit Pai决定推翻奥巴马时期实施的网络中立规定并由此展开了为期数月的评论活动。


根据多项民意调查显示,网络中立规定得到了广泛支持,而Pai的改革在想要生效之前则还需要经受一段时间的公众评论。自那之后,FCC网站上出现了2000多万条评论,据纽约市总检察长办公室估算,其中多达950万条的评论都是在未经当事人允许的情况下以当事人的名义提交。


作为纽约市总检察长此前宣布的调查工作的一部分,该机构于10月向14个组织--其中11个组织持保守态度或与电信行业相关并反对网络中立,只有另外3个支持网络中立--发出了传票。马萨诸塞州和华盛顿特区则对纽约的调查表示了支持,它们也发出了传票。


至于此次FBI的调查规模有多大目前还不清楚。从州总检察长办公室那里收到传票的机构以及华盛顿特区总检察长和FBI都未对外作出回应。


来源:cnBeta.COM



3、研究发现全球有41.5万多台路由器受到秘密挖矿软件感染


据外媒报道,研究人员发现,全球超41.5万台路由器感染了旨在窃取路由器计算能力并偷偷挖掘加密货币的恶意软件。这些仍在继续的网络攻击尤其影响最严重的则是MikroTik路由器。有记录显示,针对该品牌的一系列加密攻击始于今年8月,当时安全专家发现有20多万台设备被感染。从那以后,这个数字又增加一倍多。



 


虽然大多数受影响的设备最初都集中在巴西,但数据显示,在全球范围内也有大量设备受到了影响。


值得指出的是,被入侵设备的数量可能略有下降,但遭到攻击的路由器总数仍相当高。


安全研究员VriesHD指出:“如果实际被感染的路由器总数在35万到40万台左右,对此我也不会感到惊讶。”


有趣的是,尽管攻击者过去倾向于使用CoinHive--一种用于面向隐私加密货币Monero (XMR)的挖掘软件--但研究人员注意到,攻击者已经开始转向了其他挖掘软件。“CoinHive、Omine和CoinImp是使用最多的服务,”VriesHD表示,“过去80%到90%用的都是CoinHive,但最近几个月已经转向了Omine。”


今年8月,研究人员报告称巴西有20多万台设备在遭到劫持后被用于秘密开采加密货币。等到9月,易受攻击设备的总数已经增加到了惊人的28万台。


好在一些受害者可以做一些事情来保护自己。来自Bad Packets Report的安全专家Troy Mursch建议受影响的MikroTik设备的用户立即下载他们设备可用的最新固件版本。VriesHD则表示ISP可以通过强制对路由器进行无线更新来帮助对抗这些恶意软件的传播。此外他还补充称:“针对这个特殊问题的补丁已经发布了好几个月了,我已经看到成千上万的ISP从名单上消失了。然而不幸的是,似乎仍有大量的ISP根本不打算采取行动来减轻攻击。”


来源:cnBeta.COM 

声明:本网站所提供的信息仅供参考之用,并不代表本网站赞同其观点,也不代表本网站对其真实性负责。 



更多阅读:


1、[分享]Kali物理机安装实践


2、[原创][原创]CTF2018 第二题半加器


3、[原创]看雪 CTF2018.12 第二题 回马枪&牛刀


4、[原创]看雪CTF 2018 团队赛 第二题 半加器 WP



2018.12.07周五



1、研究人员发现新的类 Spectre 攻击 SplitSpectre


东北大学和 IBM Research 的研究人员发现了 Spectre CPU 漏洞的一种新变种,能通过基于浏览器的代码利用。被称为 SplitSpectre 的新漏洞与其它 Spectre 变种的一个重要区别是它更容易利用。


研究人员使用 Firefox 的 JavaScript 引擎 SpiderMonkey 52.7.4 对英特尔的 Haswell 和 Skylake 处理器,以及 AMD 的 Ryzen 处理器成功执行了 SplitSpectre 攻击。


不过用户无需担心,因为现有的 Spectre 缓解方法也能阻止 SplitSpectre 攻击。研究报告发表在 IBM Research 网站上。



来源:solidot.org



2、Adobe修复一个由360团队发现的Flash Player零日漏洞


Adobe今天修复了存在于Flash Player中的零日漏洞(编号CVE-2018-15982),允许远程攻击者在问题设备上执行任意代码。目前已经确认Windows、macOS和Linux平台v31.0.0.153及此前版本均受到影响。Adobe报道称该漏洞目前已经存在于精心伪装、包含该漏洞代码的微软Office文档中。



零日漏洞以Flash Active X对象形式被观察到,会在32位/64位架构的设备运行特洛伊木马后门。奇虎360核心安全团队、Gigamon应用威胁研究中心和360威胁情率先发现了该零日漏洞,随后于11月29日(周四)向Adobe的产品安全事件响应小组(PSIRT)报告该问题。


奇虎360核心安全团队表示:“用于发起攻击的诱饵文件是一份经过精心伪造的员工调查问卷,该调查问卷利用了最新的Flash 0day漏洞CVE-2018-15982以及具有自毁功能的定制木马。”


建议使用Adobe Flash Player Desktop Runtime for Windows,macOS和Linux的所有用户立即使用内置更新,或通过Adobe Flash Player下载中心更新到已修补的32.0.0.101版本。


来源:cnBeta.COM



3、澳大利亚有望通过立法要求谷歌、苹果等上交加密数据


澳大利亚周四有望通过一项立法,要求谷歌、Facebook和苹果向警方提供与非法活动嫌疑人有关的隐私加密数据。这部法律遭到科技巨头的激烈反对,因为其他国家也可能效仿类似的措施。按照这项法律的规定,倘若未能向执法部门提供这些数据,相关企业就将面临最多1000万澳元(730万美元)的罚款。


此项立法获得澳大利亚两大政党的支持,一个两党议会委员会推荐立刻通过该立法,为澳大利亚成为第一个出台这类规定的国家扫清障碍。


澳大利亚政府表示,他们需要通过这种立法来对抗恐怖袭击和有组织犯罪,以便执法部门获取相关个人数据。


该立法的最终草案尚未确定,但澳大利亚立法者有望在周四处理此事,这也是该国议会2018年最后的审议日。


这种针对用户数据开后门的做法一直以来都遭到科技公司的激烈反对。苹果甚至在2015年拒绝为美国联邦调查局解锁一名枪击案嫌疑人的iPhone。


Faceboook、谷歌、亚马逊和苹果均未对此置评。但苹果之前曾经表示,获取用户加密数据的做法必然削弱加密效果,还会提升系统遭黑客入侵的风险。


来源:新浪科技

声明:本网站所提供的信息仅供参考之用,并不代表本网站赞同其观点,也不代表本网站对其真实性负责。 



更多阅读:


1、[分享]Kali物理机安装实践


2、[原创]看雪CTF 2018 团队赛 第二题 半加器 WP


3、[原创]反编译原理之If-Else条件跳转合并


4、[原创]发现最近好多在说T*启动时清空CR3 如何去恢复。方法很简单。我把代码今天贴出来。




2018.12.06周四


1、美媒:共和党国会委员会遭黑客入侵 数千邮件泄露


中新网12月5日电 据美国中文网报道,在今年的中期选举期间,共和党国会委员会遭到黑客的入侵,数千封敏感邮件泄露。


据3名共和党高级官员透露,共和党国会委员会(NRCC)的4名高级助手的邮箱账户遭到了长达几个月的监视,黑客入侵行为是在今年4月份被NRCC的网络服务供应商发现,随后报告给了NRCC和网络安全承包商。内部的调查已经发起,并且告知了FBI。


共和党官员拒绝透露入侵事件是从何时开始,幕后指使是谁。


遭到泄露的数千封邮件还没有被公之于众,官员表示,在竞选期间,NRCC并没有受到黑客公开邮件的威胁。


但众议院的领袖们,包括议长瑞安、共和党领袖麦卡锡和共和党党鞭斯卡利斯并不知情,直到美媒向他们询问此事时才得知。


NRCC主席斯蒂夫斯没有对此事进行回应。委员会官员称他们选择不公开此事是想要先在内部自己调查,他们害怕公开后会打草惊蛇,难以抓住罪犯。


“我们不想公开细节,因为调查还在进行中,”一名共和党高级官员说。


黑客的入侵让NRCC一度惊慌失措,他们斥巨资雇佣了华盛顿最有名的两家律所Covington & Burling和Mercury Public Affairs来监督对入侵事件的处理。

“NRCC可以确认它被一个我们还不知道的实体进行了网络入侵,委员会数据的安全是最重要的,在得知入侵后,NRCC立即发起了内部调查并通知了FBI,现在此事还在调查中,” Mercury的副主席普赖尔说,“为了保护调查的完整性,NRCC将不会再进一步进行评论。”


BI发言人拒绝就此事评论。


众议院共和党人在刚刚过去的中期选举中丢掉了40个席位,让民主党人重新夺回了控制权。


来源:中国新闻网


2、抢票软件要凉:12306即将上线“候补购票”功能


虽然距离猪年大年初一(2月5日)还有63天的时间,可能有些朋友已经开始琢磨如何回家/回乡的事情了。无疑,春节是一年中中华大地人口流动最盛的时候,可以说,各种交通工具利用率在春运期间达到了顶峰。同样,对于那些路途遥远、车次较少的朋而言,抢票很快将成令人“头疼”的大事。


不过,2019年的春运火车出行中,有望迎来新的变化,从而大大缓解抢票难。


据媒体报道,负责12306客票发售和预订系统研发的专家透露,“候补购票”功能将于2019年春运期间上线。


所谓候补购票,即旅客如果遇到车票售完的情况,在12306平台登记购票信息并支付预购票资金后,如有退票、余票,12306系统将自动为其购票。按照专家的估计,这种方式无论购票速度、成功率还是安全性,都比市面上五花八门的抢票软件有明显优势。


另外,随着系统、服务器等技术的升级、资源的整合,23点后无法购票的限制或将一并取消。


资料显示,2019年春运将于2019年1月21日开启,除夕(2月4日)的车票自1月6日可以购买。



来源:快科技



3、Google Chrome 71版开始拦截网站上的虚假播放器按钮


谷歌浏览器目前已经面向正式版通道的用户发布v71的首个版本,本次更新按惯例修复多处发现的安全漏洞。除常规的漏洞修复外新版本也增加部分新功能,例如恶意广告拦截、欺诈性结算以及自动语音合成广告等等。其中自动语音合成本身是面向残障人士提供的友善功能,不过被广告滥用后谷歌已经决定默认拦截播放合成。


拦截具有恶意和侵犯性的广告内容:


侵犯性广告指的是那些伪装成视频播放按钮、文件下载按钮以及未经用户确认直接弹出多个广告弹窗的等等。通常附带此类广告的网站基本都是些不太正规的网站,比如不少小电影网站就喜欢伪装播放按钮诱导下载等。


此前谷歌浏览器已经开始打击各种恶意弹窗广告,但统计发现超过一半的恶意广告并没有被谷歌浏览器阻止。谷歌分析发现这些网站几乎全部涉及有害或者误导性的广告,这些类型的广告对于访问者们来说极具侵犯性。


动态图演示恶意和侵犯性广告:



谷歌浏览器也提供选项供用户接受网站的侵犯性广告,当然估计没有用户会主动这么设置除非是网站管理员。对于需要排除并接收恶意广告的用户可以在谷歌浏览器设置—高级设置—内容设置—广告设置添加例外网站。如果你是网站管理员可以点击这里阅读谷歌详细的标准进行改进,如果没有改进后续用户访问都会被拦截掉。


为残障人士提供的语音合成API接口被增加限制:


谷歌浏览器附带的语音合成接口可以让网页开发者实现自动朗读,这样可以更方便残障人士听读网页的内容。此前谷歌浏览器做出的重要改进就是禁止网页自动播放音频,烦人的自动播放被禁止后让不少用户清净许多。但垃圾广告发布商和诈骗网页转而开始利用语音合成接口,该接口无需用户确认即可实现网页音频自动播放。


针对垃圾广告和诈骗网页的滥用谷歌浏览器开发团队已经决定:自新版本开始限制语音合成接口的自动播放。自新版本开始用户必须手动点击播放按钮才能播放语音合成内容,用户不主动操作那么直接禁止音频的播放。


但不少开发者对此调整表示抗议:


那些合理使用语音合成接口为残障人士提供服务的网站开发者看到谷歌的变更提示后抱怨谷歌的做法太武断。因为后续这些网站也需用户点击确认才可播放,这给残障人士的听读网页造成困难、也在强迫他们更改习惯。


有开发者提交抗议后也倒是获得谷歌浏览器开发团队回复,回复中谷歌对这些开发人员遇到的问题感到同情。但同情归同情开发团队还是回应被滥用后禁用该接口是合理的,所以新版会进行这项变更没有其他替代方案。


拦截具有欺诈性结算的游戏和网站:


此功能的变更基本不影响国内的用户,欺诈性结算主要是国外某些地区支持通过网页注册手机号码订阅内容。这些欺诈性的游戏或其他内容会诱导用户输入手机号码进行订阅,但是在页面里不会提示可能会被收取费用。很多用户在不知情的情况下确认订阅付费内容还没有地方取消,针对这个问题谷歌在结算页会直接进行拦截。


来源:蓝点网

声明:本网站所提供的信息仅供参考之用,并不代表本网站赞同其观点,也不代表本网站对其真实性负责。 



更多阅读:


1、[原创]一种通用DLL劫持技术研究


2、[原创]我的二进制漏洞挖掘方法思路(不仅是fuzz)希望有缘人指点


3、[原创]手工添加外部DLL输入表并调用添加函数


4、[原创]纯手工完美恢复IAT



2018.12.05周三


1、万豪事件后 多名参议员要求美国国会通过数据安全和隐私法案


在万豪国际连锁酒店数据泄露事件之后,美国民主党参议员Mark Warne,Ed Markey和Richard Blumenthal共同发表声明要求国会通过数据安全和消费者隐私法案。参议员Mark表示:“像万豪这样的违规行为可能导致严重的个人身份泄露和财务欺诈。它是笼罩美国经济的黑云。美国人民是时候采取行动了。”




他继续说道:“国会现在应该完善数据安全法规来妥善保护消费者隐私,并要求企业和公司必须遵守强有力的数据安全标准,指导他们只收集服务所需的数据,对于未达标的企业采取处罚措施。”他要求通过新立法来限制公司从客户中收集的数据量,以及强制要求企业删除已经不再使用的敏感数据。


来源:cnBeta.COM



2、美德官员同一天遭黑客攻击 美媒:或与俄罗斯有关?


参考消息网12月4日报道美媒称,11月14日俄罗斯黑客似乎很忙。


据美国石英财经网站12月2日报道,不同的报道将俄罗斯黑客与美国和德国官员在同一天遭攻击事件联系在一起。尚不清楚这些事件是否有关联。


首先,美国网络安全公司报告,这个名为“安逸熊”的组织——据称是俄罗斯对外情报局的一个分支,以第一个侵入民主党全国委员会的俄罗斯黑客团队而最为人所知——似乎已经复活。网络安全公司说,该组织很可能是针对美国政府机构、智库和企业的一些新黑客袭击的源头。这些邮件貌似包含来自国务院高官希瑟·诺尔特的文件,但实际上它们带有恶意软件。


然后是11月29日,德国相关部门对《明镜》周刊的记者说,就在同一天他们发现了一起针对该国议员、军方和使馆电子邮件账户的袭击。这是俄罗斯黑客在一年内第二次攻击德国,此前德国安全部门在2017年12月探查到了一场全球攻击。这场被称为“蛇”或“图拉”的黑客行动与俄罗斯政府有关——但克里姆林宫否认与之前的攻击有任何关联。


报道称,目前尚不清楚在这两起攻击中是否有任何数据被盗。据报道,2017年“蛇”行动感染了17台德国电脑,包括一名国防部官员的电脑。攻击者获取了少量数据,其中一些与俄罗斯有关。据路透社报道,这是一场更广泛行动的一部分,针对包括乌克兰和波罗的海国家在内的前苏联加盟共和国以及斯堪的纳维亚半岛和一些南美国家。(编译/王海昉)


来源:参考消息网



3、Google Play商店下架猎豹文件管理器:存在欺诈行为


谷歌本周将来自猎豹移动和新美互通(Kika Tech)的两款应用从Google Play商店中下架。谷歌已经发现,这两款应用存在“欺诈和恶意行为”。 谷歌表示,内部调查发现,猎豹文件管理器和Kika Keyboard输入法包含用于执行广告欺诈,即点击注入和点击泛洪的代码。应用分析和下载溯源公司Kochava最初报告称,猎豹移动的7款应用和新美互通的1款应用存在这样的问题。




谷歌发言人表示,该公司将继续调查这些应用,预计将采取更多行动。


谷歌在声明中称:“我们非常重视这些指控。Google Play的开发者政策禁止在我们的平台上进行欺诈和恶意行为。如果应用违反我们的政策,我们就会采取行动。”

谷歌表示,猎豹移动和新美互通可以对这个决定提出申诉,而谷歌似乎也已经从AdMob移动广告网络中将这两款应用删除。


这两款应用被删除对猎豹移动和新美互通来说是巨大的打击。这两家中国应用开发商合计有数亿的月活跃用户。此次事件也反映了,移动应用如何在用户不知情的情况下滥用用户权限,从事恶意活动。


两家公司尚未对此消息置评。


根据应用分析服务AppBrain的数据,被删除的两款应用在Google Play的总下载量超过2.5亿次。Kika Keyboard是Google Play商店中最热门的输入法应用,而以下载量来衡量,猎豹移动是Android生态中规模最大的应用开发商之一。


猎豹移动的另两款应用电池医生和CM Launcher上周从Google Play商店下架。当时猎豹移动表示,该公司自愿下架了这两款应用。目前这些应用尚未重新上架。


来源:新浪科技

声明:本网站所提供的信息仅供参考之用,并不代表本网站赞同其观点,也不代表本网站对其真实性负责。 



更多阅读:


1、[原创]手工添加外部DLL输入表并调用添加函数


2、[原创]纯手工完美恢复IAT


3、[原创]小型PE查看器


4、[原创] CVE-2014-0322 IE与Flash结合利用 绕过ASLR+DEP



2018.12.04周二


1、矿场关闭或转移致使比特币网络哈希率下降


比特币挖矿的难度会根据其网络算力/哈希率进行调整,算力越高难度也相应提高以维持相同的区块挖出比率,但从今年十月起,挖矿的难度随比特币网络算力的下降而出现了罕见的降低。从 8 月到 11 月,算力下降了 24%,而比特币的币值也在 11 月份出现了显著的下降,目前币值维持在 4000 美元上下波动。


算力下降意味着原来的部分矿场关闭或转移到其它数字货币。如果是有意的关闭,那么显然是因为目前的币值对矿工来说在经济上已经不太合算。


矿场的开支主要包括了矿机、场地和电力费用,使用比特大陆蚂蚁矿机 S9 挖矿的盈亏平衡点是大约 7000 美元。




来源:solidot.org



2、警惕:iOS伪装心率测量应用诱骗用户内购确认 最高可一次骗走90美元


在苹果的App Store应用市场中,一款名为“Heart Rate Measurement”的心率测试APP的新欺诈性应用,以测量心率的借口来诱导用户使用Apple Pay的唤出确认方式,诱骗用户支付90美元内购金额,尽管其已经被下架,反映了新的应用欺骗手段和苹果审核机制的不足,值得警惕。




在iPhone X如果想靠手势启动Apple Pay改为这样操作,先按两下侧边按钮,然后看一眼屏幕让Face ID识别脸部资讯,接着把iPhone X靠近刷卡机就能完成付款。而这款APP则声称用户需要通过侧边按钮来测量心率,而侧边按钮并不能实现心率感应,实际上是为了让用户唤出并进行内购确认。该应用利用了苹果程序内购的特点进行诱骗,希望用户警惕。


来源:cnBeta.COM 



3、工信部将开展移动恶意程序专项治理工作


工业和信息化部组织各地通信管理局、基础电信企业、网络安全专业机构、互联网企业和网络安全企业等开展网络安全威胁监测与处置工作。同时,全行业围绕电信和互联网行业网络安全检查、国家重大活动网络安全保障、网络安全宣传周、突发事件应急等方面积极开展相关工作。下一步,工信部的工作重点为:


(一)做好网络安全试点示范项目相关工作。完成2015年和2016年网络安全试点示范项目评估工作,组织开展第四批行业网络安全试点示范推荐工作,完成全国宣贯、项目申报、项目评审等工作,制定推荐项目目录。


(二)开展移动恶意程序专项治理工作。为及时发现和消除移动恶意程序等网络安全威胁,维护广大网络用户的合法权益,组织各地通信管理局、基础电信企业、互联网企业、域名机构等单位开展针对移动恶意程序的专项治理工作。


(三)全面推进工业互联网安全工作。加强对遴选的29个工业互联网创新发展工程项目(安全方向)的管理工作,强化项目跟踪和调研,确保项目高质量完成;做好工业互联网试点示范项目(安全方向)相关工作,积极推广关于工业互联网安全解决方案和最佳实践。


附2018年第三季度网络安全威胁态势分析与工作综述:


依据《公共互联网网络安全威胁监测与处置办法》(以下简称《办法》),按照及时发现、科学认定、有效处置的原则,工业和信息化部组织各地通信管理局、基础电信企业、网络安全专业机构、互联网企业和网络安全企业等开展网络安全威胁监测与处置工作。同时,全行业围绕电信和互联网行业网络安全检查、国家重大活动网络安全保障、网络安全宣传周、突发事件应急等方面积极开展相关工作。2018年第三季度工作情况总结如下:


一、网络安全威胁总体态势


第三季度公共互联网网络安全形势依然严峻,发生多起严重危害用户合法权益的网络安全事件,网络安全威胁态势呈现以下几个特点:


(一)用户数据泄露事件多有发生,突显加强网络安全防护重要性。第三季度,网曝多起用户数据泄露事件,涉及互联网、物流、酒店等多个行业企业,最高达上亿条信息记录,疑似是由于企业服务器或手持终端被植入恶意程序,以及内部安全管理机制不完善等问题导致。加强网络安全防护,包括排查风险隐患、强化防护技术手段、完善安全管理制度、落实网络安全责任等,已是企业履行用户数据保护责任的重要任务。


(二)云计算平台相继发生故障,其安全性仍待加强。 近年来,“企业上云”已成为发展趋势,公有云计算平台承载着越来越多的关键业务和重要数据,其安全问题也成为各方关注的焦点。第三季度前后,国内外多家云计算平台相继发生故障,出现大规模用户访问异常、用户数据丢失等问题,暴露出云计算平台在管理、运维、防护等方面仍存在诸多不足。


(三)勒索病毒严重危害网络用户合法权益。多家单位持续关注勒索病毒威胁,360公司监测到多地发生Globelmposter勒索病毒攻击事件,同时对已爆发近17个月的WannaCry勒索病毒在国内的感染情况进行了统计,本季度每天仍有约6000至14000的感染量;根据阿里云统计,阿里云平台在第三季度共拦截约836亿次攻击,其中利用永恒之蓝漏洞(WannaCry勒索病毒利用的漏洞)进行攻击的数量占到近三分之一。


(四)网络安全漏洞仍然是工业互联网面临的主要安全威胁之一。第三季度,国家工业信息安全发展研究中心监测发现新增工业控制、智能设备、物联网等相关漏洞105个;中国信息通信研究院对31个工业互联网平台的126个域名、近170万个IP地址持续进行监测,发现疑似风险2600余个,并开展风险核实工作,目前相关工作正在进行中;中国软件评测中心监测发现45个联网工控系统漏洞,涉及多个品牌的58个产品。


二、网络安全威胁处置情况


第三季度,全行业共处置网络安全威胁约3397万个,包括恶意IP地址、恶意域名等恶意网络资源约653万个,木马、僵尸程序、病毒等恶意程序约2611万个,网络安全漏洞等安全隐患约4.8万,主机受控、数据泄露、网页篡改等安全事件约127万个,其他网络安全威胁约1万个。


其中,上海市通信管理局针对51家互联网企业的网站、应用系统、移动应用程序等存在网络安全漏洞的情况,约谈了相关企业,并督促其及时整改漏洞、消除安全隐患;广东省通信管理局开展网站后门链接专项打击,清理非法植入的网站后门链接606个;广西自治区通信管理局在“中国-东盟博览会”网络安全保障期间,处置非法植入的网站后门链接10个;根据国家计算机网络应急技术处理协调中心提供的DDoS攻击资源相关信息,宁夏自治区近百万个IP地址发送NTP(Network Time Protocol,网络时间协议)响应信息,疑似被用作DDoS攻击,经宁夏自治区通信管理局组织相关单位研判,确定为宁夏电信公司为家庭宽带用户安装的光调制解调器开启了NTP服务,被攻击者恶意请求后返回的响应信息,宁夏自治区通信管理局督促宁夏电信公司及时对相关用户的近百万台光调制解调器进行远程固件升级,关闭NTP服务,消除被用作发起NTP型DDoS攻击的风险。


三、开展的其他主要工作


(一)圆满完成“中非论坛北京峰会”网络安全保障任务。组织部署北京市通信管理局、基础电信企业、网络安全专业机构、重点互联网企业和域名机构等行业力量为“中非论坛北京峰会”提供链路扩容、链路加固、流量清洗等网络安全保障,重点对1.17万个IP地址和145个域名实施7×24小时流量、域名解析监测;组织开展公共互联网网络安全威胁治理,关闭恶意网站域名479个,阻断移动恶意程序传播8093次,拦截恶意软件传播短信19.7万条,处置恶意软件控制端地址182个和攻击行为21万次,有效保障了“中非论坛北京峰会”期间网络安全。


(二)部署开展2018年电信和互联网行业网络安全检查工作。为深入贯彻中央精神,落实关键信息基础设施防护责任,提高电信和互联网行业网络安全防护水平,根据《网络安全法》等法律法规,对依法获得电信主管部门许可的基础电信企业、互联网企业、域名注册管理和服务机构建设与运营的相关网络和系统开展网络安全检查。重点检查网络运营单位落实有关法律法规和安全防护体系系列标准情况,以及可能存在的弱口令、中高危漏洞和其他网络安全风险等。


(三)推进工业互联网安全试点示范、检查等工作。8月29日,组织10省(市)通信管理局召开研讨会,围绕工业互联网安全工作现状及面临的问题、指导意见和标准体系、技术保障平台建设等展开深入讨论;印发《关于开展2018年工业互联网试点示范项目推荐的通知》,通过试点先行、示范引领,推广典型经验的做法,推进工业互联网创新发展;开展2018年工业互联网安全检查评估工作,第三季度发现并通知整改安全风险2200余个,涉及15个企业的59个业务系统。


(四)切实履行网络安全管理职责,依法对“WiFi钥匙”进行行政处罚。为落实网络安全法,切实履行网络安全管理职责,福建省通信管理局在前期对“WiFi钥匙”违规收集、共享用户WiFi密码等信息进行调查、核实、分析、研判及约谈其公司法人的基础上,依据网络安全法,对相关企业作出责令整改并处罚金二十万元的行政处罚。


(五)启动勒索病毒威胁专项治理行动。9月初,组织基础电信企业、网络安全专业机构、互联网企业和网络安全企业等召开恶意程序专项治理工作讨论会,重点对勒索病毒的工作原理、传播渠道、防范与处置措施等方面进行了研究讨论。在研讨会基础上,进一步研究分析并制定工作方案,于9月底印发《关于开展勒索病毒专项治理工作的通知》,组织各地通信管理局、电信和互联网行业企业、网络安全专业机构等针对勒索病毒的传播渠道开展监测与处置。


(六)组织开展网络安全宣传周活动。组织、指导各地通信管理局、基础电信企业在国家网络安全宣传周期间,通过举办主题论坛、发送公益短信、张贴海报、发放宣传手册、播放宣传视频等方式,广泛传播网络安全知识,提升公众网络安全防护意识。期间,向全国用户发送公益短信累计10亿余条,4600余个电信营业厅设置了宣传专区,张贴海报超过1.6万张、发放宣传手册68万余份,宣传视频累计播放440万次、5000余小时。


(七)积极举办网络安全应急演练。海南省通信管理局组织当地三家基础电信企业和海航科技公司开展网络渗透攻击应急处置的实战演练;浙江省通信管理局组织举办2018年浙江省互联网网络与信息安全应急演练,当地三家基础电信企业、阿里云、杭州电商互联、腾讯云、天融信等公司参加演练;甘肃省通信管理局为保障“第三届丝绸之路(敦煌)国际文化博览会”网络安全,组织当地三家基础电信企业开展针对网页篡改、移动恶意程序、DDoS攻击等网络安全威胁及事件的应急演练;中国互联网络信息中心组织开展《国家顶级域名系统安全应急预案》演习,并加强域名安全监测处置技术手段建设,实现对根域名服务、国家顶级域名服务以及重点单位域名权威云解析服务等运行状态的全天候实时监测。


四、下一步工作重点


(一)做好网络安全试点示范项目相关工作。完成2015年和2016年网络安全试点示范项目评估工作,组织开展第四批行业网络安全试点示范推荐工作,完成全国宣贯、项目申报、项目评审等工作,制定推荐项目目录。


(二)开展移动恶意程序专项治理工作。为及时发现和消除移动恶意程序等网络安全威胁,维护广大网络用户的合法权益,组织各地通信管理局、基础电信企业、互联网企业、域名机构等单位开展针对移动恶意程序的专项治理工作。


(三)全面推进工业互联网安全工作。加强对遴选的29个工业互联网创新发展工程项目(安全方向)的管理工作,强化项目跟踪和调研,确保项目高质量完成;做好工业互联网试点示范项目(安全方向)相关工作,积极推广关于工业互联网安全解决方案和最佳实践。


来源:工信部 

声明:本网站所提供的信息仅供参考之用,并不代表本网站赞同其观点,也不代表本网站对其真实性负责。 



更多阅读:

2018.12.03周一


1、12月数据库榜单:整体排名稳定如昨,Oracle分数接连下降


DB-Engines 数据库流行度排行榜发布了12月份的数据,先来看一下完整的榜单,排名前二十如下,可以看到,12月榜单的前二十名和上个月的对比变化不大,而且大部分数据库的分数都保持着上升的趋势。榜首 Oracle 的分数虽然连续两个月都出现较大的下滑(-17.89, -18.16),但奈何“家底”扎实,依旧稳居第一。



而“万年老四”的 PostgreSQL 在这两个月的得分都十分出众,相比上个月,它的分数又增加了 20.39,在整个排行榜中它也是增长分数最高的一个。


至于 MongoDB,虽说分数一直保持着稳定上升的趋势,但和 PostgreSQL 相比依然有较大的差距。不过,MongoDB 在2018年的表现是非常不错的,至少一直都在进步,这个表现也是 MongoDB 独一份。


其他方面的变动,以及完整排名请查看 https://db-engines.com/en/ranking。


接下来我们看一下前十名的趋势变化图:



最后看一下每种数据库的排名情况。


关系数据库前10名如下:



Key-Value 数据库前10名如下:



文档数据库前10名如下:



图数据库前10名如下:



时序数据库前10名如下:



DB-Engines 根据受欢迎程度对数据库管理系统进行排名,排名每月更新一次。排名的数据依据 5 个不同的指标:


Google 以及 Bing 搜索引擎的关键字搜索数量


Google Trends 的搜索数量


Indeed 网站中的职位搜索量


LinkedIn 中提到关键字的个人资料数


Stackoverflow 上相关的问题和关注者数量


这份榜单分析旨在为数据库相关从业人员提供一个技术方向的参考,其中涉及到的排名情况并非基于产品的技术先进程度或市场占有率等因素。无论排名先后,选择适合与企业业务需求相比配的技术,才是最重要的。


来源: 开源中国



2、4S店客户信息遭泄露,老板报案找"内奸"

三湘都市报12月2日讯 网络时代,个人信息信息泄露呈现普遍趋势。长沙一家4S店发现大量客户信息被泄露后,老板主动向公安机关报案,请求找出背后黑手。今天上午,记者与这家4s店的负责人郭先生取得了联系。


上午,记者来到这家名为湖南省逐鹿汽车销售贸易有限公司的4S店内。公司负责人郭先生介绍,该店成立于2009年8月,主营业务为雷诺汽车销售、售后服务等,"从今年10月开始就陆续有顾客向我们反映收到了另一家4S店的推广信息。客户信息属于商业机密,我们肯定不会也不能对外透露。”


郭先生给记者提供的几条客户收到的短信截频,内容均为"天越"雷诺4S店开业期间客户进店可享受32项免费检测等服务。“最开始怀疑可能是保险公司泄露了信息,但这些客户是在不同的保险公司购买的车险。”郭先生坦言,经过公司近段时间收到的反馈统计,店里大量客户都收到了此条短信,"客户们收到信息后都非常气愤,因为自身从来没有与那个公司有过任何接触,购车及保养一直都是在我公司进行的。"


"天越"公司如何得知雷诺车主的信息?郭先生怀疑。"可能是公司内部工作人员违法泄密,也有可能是第三方机构恶意窃取公司数据。"他表示,侵害商业秘密是一方面,更重要的是侵害了公民的信息。


记者联系了"天越"4S店工作人员,对方表示需要调查。截至记者发稿前,仍未得到回应。


湖南万和联合律师事务所李健律师表示,依据《刑法》第二百五十三条等相关规定,违反国家有关规定,窃取或者以其他方法非法获取公民个人信息的,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。


因此本事件中群发信息商家若不能对其采集渠道进行有效合法的辩解,其行为则已经涉嫌侵犯公民信息犯罪,辖区公安机关有义务通过报案线索进行立案侦查,从而维护广大公民合法权益。


李健呼吁,全社会应当对信息采集渠道涉嫌违法企业共同抵制,降低其违法收益。增加其违法成本,这样才能从根本上遏制住类似违法犯罪情形的出现。


来源:三湘都市报



3、 当代人最违心的话,是“我已阅读并同意隐私政策”


安装App时的隐私政策,大家可能没什么概念,但如果提到安装时跳出的一大堆需要点确定的繁琐内容,可能就有印象了。这些弹出的内容,一大半是App在将来的使用中需要用到的个人信息,另一些则是正常使用必须得到的授权。


当然人越来越依赖手机等智能设备,通过App传输和记录的数据也越来越多,移动App的高频使用和大量信息的交换与传播使得隐私安全事故发生的风险不断扩大。


App已成为个人信息泄露的重灾区。


用户个人信息安全事件时有发生:2018年8月,大众点评被指暴露用户行踪,将用户在平台上的关系链与微信等通讯录中的好友捆绑、某手机打开QQ浏览器摄像头自动调出,南京公安官方微信公众号还和抖音就用户隐私“掐起来了”……


隐私政策是其中重要的一环。


南方都市报曾经对50个App和网站的隐私协议进行调查,对50家评分,及格的只有7家。


隐私政策读还是不读?


打开应用商店,下载App,安装,“我同意隐私政策”。这一系列常规操作的背后,你知道当自己按下“同意”的时候,交出了哪些信息和权利吗?有认真看过那长长的隐私协议吗?有没有意识到自己可能在裸泳?


事实上,安装App时弹出的用户协议或隐私政策没有几个人会真的去认真阅读。


其次,老实说,无论隐私政策写了什么,我们多半还是照用不误。


仔细阅读隐私政策也会发现,其中充满了含混的说法。例如:必要时,我们”可能“会收集你的信息,并将其共享给其它企业。我们恐怕很难搞清楚必要是什么时候,概率是多少,以及其它企业的范围是什么。对于普通人来说,完全是“长篇大论、充满细节,但什么也没说”的效果。


这就是厂商的目的。企业故意让隐私政策含糊、难以阅读,目的是在法律层面上找不到漏洞。有的服务协议长达30页,用户自以为是地一页页猛按“同意”。




▲2014年iOS用户协议


苹果的程序员们在2014年iOS用户协议里就添加了一句毫无意义的话:“苹果总部5层的托尼身上有一股沙丁鱼的味道。”


实际上,就算读出了隐私协议中的端倪,用户的态度也几乎是没有意义的,大部分App不同意就没法用,有的压根就没有不同意的选项或是默认勾选同意。

此前,“知乎”的隐私政策就引发了广泛争议。在知乎隐私政策的弹窗页面有“同意”和“不同意”两个选项,但点击不同意,会跳出下面这幅图。




▲知乎目前已更新隐私协议,不点同意可选“仅浏览”


隐私政策这么多坑,但这并不意味着对用户毫无意义。因为隐私条款不仅仅关系到你的个人隐私数据,我们其实通过正确阅读隐私政策找更好的掌控个人信息。


如何正确阅读隐私政策


如何正确阅读隐私政策?


首先,我们可以通过在隐私政策中搜索“设置”这个词,来找到隐私数据控制选项。


以微信为例,如下图所示,在微信的隐私政策中我们可以找到明确的隐私设置步骤。显示了详细的操作步骤。



很多用户在打开新的App、小程序时会默认授权微信,这样隐私泄露的风险又进了一步。


打开微信-【我】-【设置】-【隐私】 -【授权管理】-【管理】,点击红色的减号“删除”,即可取消授权。



另外可以留意的是隐私政策的最新更新日期。如果一家公司的隐私政策保持更新,说明他们比较重视这件事。




▲腾讯隐私政策更新日期为2018年6月13日


如果隐私数据中使用了“例如”这样的字眼,这就意味着他们在收集各种数据,而且不会告诉你具体收集了哪些数据。




▲腾讯隐私政策截图


GDPR如何保护用户隐私

2018年5月1日,国家标准《信息安全技术个人信息安全规范》正式实施,对各类组织个人信息处理活动提出了明确的安全要求。对此,各大App纷纷将隐私政策透明化,并且选择了用户可以选择不同意,虽然不同意则无法使用App的服务。


苹果也宣布,从2018年10月3日开始App Store 新规要求所有应用都有隐私政策,隐私政策必须明确而清楚地:指明App/服务所收集的数据 (若有)、收集数据的方式,以及这些数据的所有用途。


涉及隐私侦测最严格的法规是欧盟的“史上最强数据保护法”GDPR。


GDPR明确规定,要求用户协议说人话,必须清晰易读,不能写又长又难懂的文字,不能全篇都是难懂的法律术语。


以谷歌为例,新的隐私协议界面,简洁大方,还配上了动画。比如,谷歌明确告诉用户,“应用、浏览器和设备信息”都会被收集。




▲谷歌隐私政策截图


谷歌也明确告知用户,数据会被用来做什么,比如“提供Google的服务”、“提供个性化服务,包括内容和广告”等




▲谷歌隐私政策截图


谷歌还为隐私政策配上了视频,新增了4个短视频,分别从整体条款、收集的信息、为什么要收集数据、隐私控制项等方面,对文本进行可视化呈现。




▲谷歌隐私政策讲解视频


GDPR还规定,个人数据有“被遗忘权”,用户过去因为懒得看协议随手授权使用的个人信息,现在可以反悔,而公司必须删除干净,而且要阻止之前授权的第三方继续使用用户要求删除的信息。


此外,一旦发生数据泄露,公司必须在72小时内通知用户。


GDPR后续的实施效果如何尚未可知,但一家企业在隐私政策上愿意花费心思,且有诸多保障用户权利的功能设计,对于用户来说一定不是坏事。


越来越多的企业和机构拥有搜索个人信息的能力,个人信息的使用、交互、跨境传输越发频繁。大型互联网公司、超级App现在已可被视为基础信息平台。

李彦宏曾经说过,“中国人愿意用隐私换取便利。”,这背后实则上是网友根本没有选择权。大量个人隐私数据作为样本被收进了数据库,成为无数商业公司分析的对象。当某手机的升降机械摄像头成了“流氓软件鉴定器”时,掀起的民愤也表明了中国用户对用户隐私的关注正在逐步上升。


许多互联网服务机构都可能掌握大量的用户信息。这些信息合理使用的边界在哪里,搜集用户信息的机构是否具备安全保管用户信息的资质和能力,所有这些问题都应当尽早纳入监管范畴,作出制度性的界定,才能最大限度避免个人隐私信息泄露的风险。


只有把规则立下,才能使隐私得到更好地保护。


来源:新浪科技

声明:本网站所提供的信息仅供参考之用,并不代表本网站赞同其观点,也不代表本网站对其真实性负责。 



更多阅读:


1、[原创] CVE-2014-0322 IE与Flash结合利用 绕过ASLR+DEP


2、[原创]2018bctf three


3、[原创]一种通用DLL劫持技术研究


4、[原创]我的二进制漏洞挖掘方法思路(不仅是fuzz)希望有缘人指点





[防守篇]2018看雪.TSRC CTF 挑战赛(团队赛)11月1日征题开启!

最后于 13小时前 被Editor编辑 ,原因:
本主题帖已收到 2 次赞赏,累计¥3.00
最新回复 (3)
Editor 3天前
2

0

2018/12/7

Editor 3天前
3

0

1、研究人员发现新的类 Spectre 攻击 SplitSpectre
2、Adobe修复一个由360团队发现的Flash Player零日漏洞
3、澳大利亚有望通过立法要求谷歌、苹果等上交加密数据
Editor 13小时前
4

0

2018/12/10

1、 Android 官方模拟器支持 Fuchsia 的 Zircon 内核
2、FBI开始对FCC废除“网络中立”的百万条虚假评论展开调查
3、研究发现全球有41.5万多台路由器受到秘密挖矿软件感染
返回