E安全3月16日讯 随着性知识的普及,人们的观念发逐渐发生着变化。收入的提高,对生活质量的高要求也促进了智能情趣用品的快速发展。去年加拿大成人情趣用品制造商Standard Innovations的“We-Vibe”一经面世便受到世界各地的消费者热烈追捧,主要原因就是它配套的APP能够反馈用户在使用时的各种数据,确实很新颖,值得围观。然而问题就出现在这里了,让消费者万万没想到的是不仅自己能够看见这些数据,厂商的工作人员们也可以看到…… 上周四,“We-Vibe”就因收集用户隐私信息被法院判决向消费者赔偿共计375万…
第十七届年度 CanSecWest 安全会议正在加拿大不列颠哥伦比亚省温哥华市中心举行,研究人员正在竞争夺取 10 周年 Pwn2Own 计算机黑客大赛的冠军,并获得获得超过100万美元的奖金。第一天的结果已经在“零日计划网站”上公布。 独立黑客 SamuelGroß 和 Niklas Baumstark 取得了成功,并获得了 2.8万 美元将近。 黑客们成功的通过 Safari 浏览器的漏洞在 macOS 上获得了 Root 权限,并在 Touch Bar 版 MacBook Pro 上滚动显示信息。 同时,Ch…
人工智能和量子计算机都是当前科技界的热门领域,科学家也在尝试将两者结合应用。一个国际研究团队 13 日在英国《自然·物理学》期刊上报告说,他们利用人工智能技术对量子计算机和量子体系进行了有效学习和验证,这有助于解决中大规模量子计算机发展中的一些难题。 量子计算机是一类遵循量子力学规律进行高速数学和逻辑运算、存储及处理量子信息的物理装置。当前,谷歌、IBM、微软等科技公司都在这一领域投入大量资源进行研发。 然而,如何有效校准大规模量子计算机,以及如何验证量子计算机的计算结果,是一个困扰科研人员的难题。为此,英国布里斯…
伴随着棱镜监控丑闻的曝光以及日益猖獗的数据窃取事件,消费者对于隐私和安全的关注度不断提高,然而根据 Mozilla 的最新调查结果显示,大部分用户并不知道如何去捍卫自己的隐私。在对 3 万网民的调查中,发现超过三分之一的用户并没有掌控他们的在线信息,只有三分之一的用户对“加密”一知半解。 Mozilla 在文章中写道:“我们在多个平台上使用重复的密码,我们使用已经过期停止支付的软件,我们愿意为了免费的团购券去交换我们的私人信息。如果这种粗心搬到物理世界,那么我们的钱包可能会被随意窃取。甚至于邻居都更了解你自己。调查…
根据 CyberEdge 集团的“网络威胁防御报告”显示,2016 年大约有 61% 的组织遭受了勒索软件的攻击。在这些受感染者中,超过三分之一的公司通过向勒索者付费恢复了数据;54% 的公司拒绝缴纳赎金;13% 的公司永久失去了所有数据。 随着行业的发展,有利可图的恶意软件在当今时代越来越盛行。近期,有攻击者表示:仅仅在去年,他们利用恶意软件对各大公司进行入侵时,获取赎金高达 10 亿美元。 CyberEdge 的报告指出,越来越多的组织成为网络罪犯的牺牲品。从 2015 年的 70% 到 2016 年的 76%…
(原标题:美一中校被曝使用未加密硬盘致机密数据暴露在外) 据外媒报道,近日,MacKeeper Security Researchers 披露,美国空军一备份硬盘由于未得到任何的加密安全措施导致储存里面的上 GB 的文件完全暴露在外面。也就是说,任何网络用户都能访问这些文件。 在这些文件中储存着 4000 多名高阶军官的敏感个人资料,包括名字、家庭住址、军阶甚至社保号码。该硬盘下的另一个文件还列出了上百名军官的安全通关证级别,当中不乏一些拥有“顶级机密”级别的安全通关证。这将极可能是这些官员成为黑客的攻击对象。其他…
如果你还没有意识到自己有可能处于个人信息的“裸奔”时代,那你一定不知道这些惊人的数字:近日,央视曝光了一起重大数据泄露事件,其中涉及公民数据如姓名、账号、密码、手机号、身份证号、银行卡号、地址等总共50亿条信息;仅从2015年下半年到2016年上半年,我国网民因个人信息泄露遭受的经济损失就高达915亿元;我国网络非法从业人员已经超过150万,黑产市场规模已经达到了千亿级别。 如果这些数字还没有让你惊醒的话,那么2016年,年仅18岁的徐玉玉因被诈骗电话骗走上大学的9900元费用,伤心欲绝不幸离世足,足以让你意识到,…
黑客,如同攻击方法,形态各异。黑客行为动机可以从为财到为权,再到为了正义。了解黑客的不同类型,以及他们各自的动机,有助于识别自己最易受侵害的攻击者,恰当地防护自身与公司不受网络攻击所伤。 下面是业内熟知的10类黑客: 1. 白帽黑客 网络世界里,这些人被认为是道德黑客。这类黑客大体上由安全研究人员和安全运营者构成,主动追踪和监视威胁。他们可以弄垮域,抓住或拿下僵尸网络。他们的行动可能不会完全遵守法律,但他们的本意是阻止恶意黑客。那些游离法律之外行动的黑客,有时候也被称为“灰帽子”。 2. 网络雇佣军 这些人就是网络…
现在不少有小孩、老人或养宠物的家庭都选择在房间安装监控摄像机,方便在外出的时候实时了解家里的情况。不过这些摄像头真的安全吗?监控摄像机真的出现了安全漏洞。也许正在您查看家中的情况时,黑客此时也把您家人的一举一动看的一清二楚。据NOSEC报道,中国一家安全摄像头制造商大华科技(Dahua Technology),3月6日推送的一个升级固件被爆存在高危漏洞,攻击者可登录并完全控制摄像头。据白帽汇估计,受漏洞威胁设备在全球多达21万台。 据分析,利用该漏洞,攻击者可远程下载存储有用户名和密码哈希的凭证文件,其中包含管理员…
各位女士们先生们,各位游戏玩家以及密码学狂热粉们,你们有没有想过目前哪一款主流游戏主机所采用的信息加密算法是最好的?如果没有的话,我会在这篇文章中告诉大家近期我在个人测试中得到的结果。 如果你还记得的话,2015年巴黎曾经历过一次恐怖袭击,而就在袭击发生的几个小时之后就有传言称恐怖分子所使用的通讯工具是PlayStations。但是经过调查之后,我们也证实了这条谣言纯属扯谈(恐怖分子使用的是一次性手机),但是这条谣言成功地激起了我的好奇心。因此,我监听并拦截了我自己PS4的通信数据,然后对这些信息进行了分析,最终得…
摘要 2016 年 5 月起至今,双尾蝎组织(APT-C-23)对巴勒斯坦教育机构、军事机构等重要领域展开了有组织、有计划、有针对性的长时间不间断攻击。 攻击平台主要包括 Windows 与 Android,攻击范围主要为中东地区,截至目前我们一共捕获了 Android 样本 24 个,Windows 样本 19 个,涉及的 C&C 域名 29 个。 后门程序主要伪装成文档、播放器、聊天软件以及一些特定领域常用软件,通过鱼叉或水坑等攻击方式配合社会工程学手段进行渗透,向特定目标人群进行攻击。 相关恶意可执行…
渗透测试人员其实都知道,只要能够直接接触到目标设备,并且选对了工具,那么任何设备都会成为“待宰的羔羊”。早在2005年,Hak5就已经研发出了一款简单又暴力的渗透测试工具。随着BashBunny的问世,渗透测试可能又更进了一步。先上购买地址:【点我购买】 视频介绍 组合各种USB设备的攻击方式 按照Hak5自己的说法,这款设备是“世界上最先进的USB攻击工具”。我们就来看看这款工具究竟有哪些本领。 这款设备“打开”的攻击面的确比先前的设备大了很多。渗透测试攻击和IT自动化工作,对Bash Bunny而言几秒内就能完…
安全研究人员已经找到了一款名叫“Proton”恶意软件的新型木马的蛛丝马迹,其声称拥有如假包换的苹果代码签名,并在黑客论坛(以及线上犯罪活动)中大肆叫卖。显然,在俄罗斯网络犯罪论坛上曝光的这款远程访问木马(RAT),已经将目标瞄向了曾经不那么引人关注的 macOS 系统。安全企业 Sixgill 指出,其采用 Objective C 语言编写,无需依赖其它资源以运行,受害者将面临极大的风险。 兜售这款木马的制作者宣称:“这是一款‘FUD’监视与控制解决方案,让你几乎可以在目标 Mac 设备上做任何事”。在获得 ro…
网易科技讯3月15日消息 据外媒(PCWorld)报道,赋予美国情报部门境外监视权的《外国情报监视法》第702条将于12月31日到期。这部法律曾引起广泛争议,加上最近美国情报界的丑闻频出,监控和隐私再次成为热议话题。 这其中一个主要问题涉及对美国境内居民通信的监控。批评者指出,情报部门在《外国情报监视法》第702条的授权下对美国公民的电子邮件、信息和聊天记录进行监视。 国安局承认会对与外国目标通信的美国居民的数据进行必要的收集,FBI等机构可从这些收集的信息中检索信息。不过这种情况发生的频率不为外界所知。 《外国情…
E安全3月15日讯 谷歌Chrome浏览器很受黑客“青睐”,主要是因Chrome浏览器很热门,拥有大量客户基础。Chrome上的访客越多,这类入侵和欺诈活动的受害者也就越多。这就是Chrome为什么每周都会出现一场骗局的原因所在。 据报道,最近一起针对Chrome的骗局使用的是其极其相似的虚假应用程序。这是一起信用卡欺诈事件,旨在诱骗毫无戒心的用户提供支付卡详细信息,这种骗局借助与Chrome类似的恶意应用程序实现,强制用户输入支付卡信息,恶意攻击者之后将收集的这些信息并通过电子邮件发送至一个AOL邮箱。 恶意软件…
E安全3月15日讯 根据美国国防部五角大楼的科学顾问们所言,美国军方的大部分武器系统没有采取任何旨在保护其硬件组件免受网络攻击侵扰的措施,有相关证据证明,部分装备中存在数字后门,一旦在这种状态下实战,敌方完全能够令美方武器陷入瘫痪。 在最新公布的报告当中,美国国防科学委员会公布了由其网络供应链任务小组整理出的研究结果,尽管报告结论认为确实存在风险,但出于资本成本的考量,由国防部自行建立并维护“代工设施”以制造微芯片恐怕不具备可行性。该委员会郑重警告称,目前的美军武器系统可能已经被植入后门,意味着其很可能在实际作战行…
E安全3月15日讯 根据本周二由FireEye公司旗下Mandiant事业部发布的2017 M-Trends报告显示,目前经济利益型动机类恶意活动在复杂程度上已经与民族国家支持型攻击基本持平。 该公司的这份报告是基于真实事件整理分析的调查数据,结果显示过去几年当中利益驱动型网络犯罪活动的复杂程度正不断攀升。 截至2013年,专家将大部分由网络犯罪分子发起的攻击称为“破坏与掠夺”式攻击,这类攻击持续长期入侵系统,并不在意隐藏自己的行动。之后,经济利益型攻击者与民族国家支持型恶意方在攻击活动复杂度层面的界线变得越来越模…
据《好莱坞记者报》报道,华纳兄弟内部或正在商讨筹制重启拍摄科幻经典《黑客帝国》(1999)的计划,该项目目前正处在早期阶段,大受好评的拳击题材影片《奎迪》的主演迈克尔·B·乔丹或将担纲主角,好莱坞知名编剧人Zak Penn可能参与剧本编写,他曾经主笔《X战警:背水一战》《复仇者联盟》等超级英雄大片的剧本。 据报道,原版《黑客帝国》制片人Joel Silver接触了华纳兄弟高层,意图创造一部《骇客帝国》系列的最新作品,但华纳兄弟也有担忧,Joel Silver在业界有经常超出投资预算的名声,与原版三部曲导演沃卓斯基姐…
一、 实验室简介 信息网络安全公安部重点实验室(公安部第三研究所),以下简称“实验室”,以信息网络安全技术为主要研究领域,以电子数据取证、网络犯罪侦查、信息系统安全管理为三个主要研究方向,以应用综合研究为特色,以信息网络安全科学的重大理论问题、科技前沿问题和公安部重大需求为主要研究内容,以获取原始创新成果和自主知识产权为主要研究目标,实行“开放、联合、流动、竞争”的运行机制,为科学研究提供良好的科研环境和实验条件。 二、 实验室开放基金简介 为充分发挥实验室的学科优势,利用实验室良好的科研条件,鼓励相关学科的研究,…
DevSkim DevSkim是微软发布的IDE插件框架和语言分析工具,当开发人员编写代码时,为开发人员提供开发环境中的内联安全分析,该框架具有灵活的规则模型,旨在与多个IDE(VS、VS Code和 Sublime Text等)协作,并支持多种编程语言。 DevSkim旨在帮助开发人员发现可能导致安全问题的代码错误。DevSkim会标记“潜在的危险调用”,当开发人员不慎引入安全漏洞时予以警告,并提供修复的“情境建议”,以在引入阶段解决问题,并帮助树立开发人员的意识。去年12月中旬DevSkim已提供外测。 例如,…
Powerfuzzer是一款高度自动化的基于HTTP协议的Web Fuzzer (web应用程序),这是基于多个安全资源和网站收集的许多其它开源的Fuzzer而构建,可以完全自定义。 Fuzzer是漏洞检查工具,可以发送数据到组件,可以完成数以万计的检查任务,帮助我们发现软件中的漏洞。 Powerfuzzer旨在提供人性化、现代、有效的解决方案,其设计和编码具有模块化和可扩展性的特点,添加新的检查任务只需要添加新方法。 Powerfuzzer建立在众多工具的基础上,例如cfuzzer、 fuzzled、 fuzze…
土耳其和荷兰的外交争端周三又延伸到互联网上,大量Twitter帐号被劫持,并用土耳其语写上反纳粹内容。被劫持的Twitter帐号包括知名企业CEO、出版商、政府机构、政治家,以及一些普通老百姓的帐号,在这些帐号中,许多与两国的分歧并无明显关联。 此次攻击正值荷兰议会启动选举投票之际,在荷兰民众反政府、与土耳其激烈争端中爆发反移民情绪,以及对欧盟未来持怀疑态度之际,今日开始的荷兰议会选举被视为一次测试。 1300万选民将决定哪个政党将赢得议会多数席位。民调显示,荷兰自民党领导人、现任荷兰首相马克·吕特以微弱优势领先荷…
20岁的胡安初中文化,非常迷恋网络,一次偶然的机会发现淘宝网有漏洞,买东西时只要账户余额不足,淘宝会退钱,于是他在5个月里,10万余次故意制造余额不足的情况,从网上偷走了1300余万元。赃款除消费挥霍外,他拿出四五百万打赏网络直播的女主播,最多的一次,给了女主播8万元。 胡安受审认罪。; 法制晚报 图 今天上午,涉嫌盗窃罪的胡安在一中院受审。 在法庭上,胡安表示认罪,他说发现淘宝网上的漏洞非常偶然,觉得来钱快收不住手了。 案情 买礼包发现漏洞,半年从淘宝“偷”1300万 胡安是贵州省人,初中文化,案发前无业,此前曾…
勒索软件Enjey对ID Ransomware在线服务实施了DDoS攻击, 因为 ID Ransomware索引了勒索软件作者刚发布的软件,而且居然还发现了方法,解密他的勒索软件。 ID Ransomware服务宕机了4个小时 勒索软件Enjey在Twitter上声明对此次攻击负责,随后在跟媒体的沟通中提供了一段攻击ID Ransomware的代码。随后他发动了第二次DDoS攻击,证明那确实是他。但这个时候已经引起了ID Ransomware的注意,并且到现场应对第二次攻击。在这次攻击期间,服务并没有停止。 上面这…