两会正在开, 人大会议:2017年3月5日(星期日),政协会议:2017年3月3日(星期五) ,预计在3月16日全部完成。其中网络安全仍旧是议题之一。之前安全加报道过 【下载】你的业务已经触犯网络安全法了!!! 赶快来看看业务和法务人士怎么说 ,里面有从各个行业解读网络安全法, 实在是干货。这里将主题文章单发一次,并在文末提供全文下载。 行业专家解读网络安全法 《不越底线 不踩红线 不碰高压线》 2016年11月7日我国第一部网络安全法颁布。笔者作为安全行业的从业人员,认真阅读了相关条文。总体感觉: 安全法不但对各…
消费者报告(Consumer Reports)是一家在美国拥有极高公信力的非营利机构,主要对汽车、厨房电器等产品进行全方位的审查。本周一,该机构已经同数家外部机构进行合作,开发相应的标准来衡量产品是否容易被黑客入侵,以及衡量产品如何保护用户数据,将网络安全和隐私保护纳入到现有的产品打分体系中。 消费者报告将会逐步实施新的方法,从少量产品评估中开始测试。该机构的电子测试负责人 Maria Rerecich 在电话采访中表示:“这是一个非常复杂的领域,要达到这个目标需要对类目进行很多的细分。” Craigslist 的…
维基解密近日公布了一份报告,详细说明了美国政府如何攻击我们许多人每天使用的设备,努力获得自己需要的情报。根据这份报告,CIA 可以攻击 iPhone、iPad、Android 设备、PC、路由器甚至智能电视,如果即使这份报告只有一小部分被证明是准确的,也会有一些严重的隐私和安全隐患。 这份报告证实了大多数人对美国政府绕过电脑软件和移动设备内置安全功能进行攻击的假设。例如,CIA 对运行 Windows、Mac OS、Linux 的电脑有许多“零日”漏洞可以利用。 CIA 已经开发了自动化的多平台恶意软件攻击和控制系…
ThreatMetrix 的研究人员表示,在线金融服务和贷款公司是网络欺诈活动在 2016 年中最主要的目标,其受网络攻击的数量同比增加了 122% ,潜在损失超过 80 亿英镑。 事实上英国在线金融服务交易数量在 2016 年增长了 10%,而同时期的网络攻击和欺诈事件却增加了 150% 。ThreatMetrix 称在去年检测到 8000 万次此类攻击,绝大多数的网络攻击利用了假冒或被盗凭据从事欺诈活动。 ThreatMetrix 网络犯罪报告显示,新兴国家成为网络犯罪的重灾区,大多数欺诈活动起源于发展中国家,…
日前,新加坡国立大学和新加坡国家研究基金会发布联合声明称,新加坡政府投资 840 万新元(约合 593 万美元)的网络安全实验室在新加坡国立大学成立,将为学术及产业相关人士的网络安全研究和测试提供支持。 该实验室目前正在支撑 20 个来自科研机构和业界人士的项目,聚焦于软件安全性、云数据存储和城市交通系统问题。该实验室能够模拟 1000 余台计算机同时执行多项制造网络安全事件的任务,例如大规模的恶意网络攻击。它还拥有大型的恶意软件数据库,可以用于研究和教育等用途。这些能力到年底预计将进一步扩大三倍。 这一新的实验室…
WordPress 已经发布 WordPress 4.7.3 版本修复了六个安全问题,其中包括三个跨站点脚本( XSS )漏洞,但 2016 年 7 月发现的 CSRF 漏洞仍未修复。 WordPress 4.7.3 发行版修复的漏洞列表: 1、通过媒体文件元数据( media file metadata )的 XSS 跨站脚本攻击。 2、控制字符可以欺骗重定向网址校验。 3、管理员使用插件删除功能可能会删除非目标文件。 4、YouTube embeds 视频网址引起 XSS 跨站脚本攻击。 5、分类术语名称(引起…
据外媒报道,近日,微软和谷歌两家公司都宣布了提高漏洞悬赏奖金的消息。如果替谷歌找到了一个远程代码执行漏洞的话,那么可以得到31337美元的奖金(原先只有20000美元);如果找到了“无限制文件系统或数据库访问”漏洞的话,那么可以得到13337美元的奖金(原先只有10000美元)。 虽然谷歌的奖金提升幅度没有微软那么大,但它却是永久性的。 至于微软,其奖金提高活动将在5月1日截止,据悉,这家公司宣布将Office 365相关的大型漏洞奖金提高一倍。也就是说,原先15000美元的奖金现在有30000美元。参与者可将漏洞…
海外网3月8日电 据英国BBC网站消息,维基解密(WikiLeaks)网站周一披露大批据称来自美国中央情报局(CIA)网络情报中心的文件和档案。网站始创人阿桑奇声称,这是有史以来公诸于世的最全面美国间谍搜集机密档案,数量多过“叛逃特工”爱德华·斯诺登(Edward Snowden)披露,以至于CIA成全球最大黑客。 这批代号“Vault 7”(第7号保险库)的档案,第一部分资料称为“元年”(Year Zero),其中包含8761份档案,揭露了CIA在全球秘密进行的入侵计划,手段包括恶意软件、病毒、木马程式、零日漏洞…
0×01 WAF简介 WAF 全称是Web Application Firewall, 简单讲就是web防火墙, 是对web业务进行防护的一种安全防护手段。其实,现在很多的移动app,也是使用的http协议进行数据交换,也可以理解成web业务,可以对app server进行防护。 主要的web危害,一般指的是OWASP Top 10,比如SQL注入、XSS、CSRF等常见的web危害方法。当然可能不止这些方法,比如社工。轻则用你的服务器打个ddos,重则数据全部被盗,损失公司的信誉和money。 互联网公司的业务…
2017年是Pwn2Own黑客大赛十周年,赛事主办方ZDI特别在官方博客发文“PWN2OWN:THE ROOT OF RESEARCH”,总结了Pwn2Own对安全研究的推动作用: 在过去十年的Pwn2Own中,不同的人对于这个比赛持有不同的态度。它曾经被认为是浏览器安全的一场灾难,但实际上这么多年来浏览器并未出现过什么大问题;它帮助人们实现了职业理想,或者至少来说,它帮助参赛者提升了名望;它曾经被指责碾碎了狂热和仇恨者的灵魂,但实际上并没有人在Pwn2Own的历史上受到过伤害,而我们也没有对他们的灵魂做出过拷问。…
这是一款针对国人的勒索软件,锁屏界面会显示勒索人的QQ,解锁的时候还用了百度TTL进行语音输入。 近期,安全研究专家发现了一种新型的Android勒索软件。根据研究人员的描述,这个勒索软件其实是Lockdroid的变种版本,跟其他勒索软件类似,它会在受害者支付了赎金之后提供解锁密码,但不同之处在于,只有当用户用语音念出密码之后设备才可以成功解锁。 这款勒索软件在Android领域已经有很多年的历史了,但近期这款软件的更新速度变得越来越快了,因为犯罪分子们正在不断尝试各种新的方法来感染目标用户,并给用户提供了各种新颖…
维基解密最近再度获取到了数千份文件——据说这些文件是来自CIA(中央情报局),文件细数了CIA所用的网络入侵工具及其拥有的入侵能力。实际上,以近些年美国政府的各路监控行为,而且还有NSA的种种“珠玉”在前,CIA的黑客工具可能也就不算什么了。 本周二,维基解密曝光了8761份据称是美国中央情报局(CIA)网络攻击活动的秘密文件(点这里下载,点这里查看密码),这些数据代号为Vault 7,文件日期介于2013年和2016年之间,据说是公布的相关CIA最大规模的机密文档,应该能够很大程度表现CIA的黑客技术和内部基建情…
美国时间 2017 年 3 月 7 日,WikiLeaks 开始使用一个新的代号 Vault 7 作为美国中情局(CIA)的敏感信息披露计划,这次被发布的第一份档案 Year Zero 大小高达 513MB,一共包含 8,761 份相关敏感文档。根据维基解密的阐述,这份包含了大量 0day,恶意软件,病毒,木马以及相关文档的高度机密资料,在美国政府黑客和承包商之间传播,其中有人向维基解密提交了这份绝密档案的部分内容。 从 2001 年起,中情局(CIA)获得了比美国国家安全局(NSA)更高的政治和财政预算的优先权,…
VirLocker绝对不是什么新的病毒, 它把受害者的计算机搞得一团糟已多达数年。VirLocker是主流多态性敲诈者病毒的首例并且它不给它的受害者留下痛苦的代价。VirLocker 能够像其他恶意软件一样从它的作者那里传播开来, 但是VirLocker在感染其他用户时做了优化。 因为每一份被VirLocker感染的文件都变成了它自身,许多用户会不小心地把一份受感染的文件发送给朋友和同事,所以备份也被感染了,甚至应用程序和可执行文件都会不安全。 基本上, 被VirLocker感染后, 你不可以信任受影响计算机上的任…
近日,安恒信息安全研究院WEBIN实验室高级安全研究员nike.zheng发现著名J2EE框架Struts2中存在远程代码执行的严重漏洞。目前Struts2官方已经确认漏洞(漏洞编号S2-045,CVE编号:CVE-2017-5638),并定级为高危风险。 该漏洞影响范围极广,影响国内外绝大多数使用Struts2开发框架的站点。受影响的软件版本为:Struts 2.3.5 - Struts2.3.31, Struts 2.5 - Struts 2.5.10 攻击者可通过发送恶意构造的HTTP数据包利用该漏洞,在受影…
E安全3月8日讯 美国总统特朗普原计划于美国当地时间1月31日签署网络安全行政令,但最后却取消了行政令的签署计划。 几天后,特朗普政府修订了草案。但是,自二月初以来,特朗普一直对这项行政令如何修订、发布时间守口如瓶。 相关阅读: 特朗普网络安全专题分析报告:评估《加强美国网络安全与能力》行政令草案 IBM前首席执行官彭明盛(Samuel Palmisano)当地时间周一表示,美国白宫正就网络安全行政令新草案做收尾工作。白宫官员正与业内人士讨论修订版的草案,并征求反馈意见。 彭明盛在战略与国际研究中心(简称:CSIS…
遍布在城市各个角落的ofo共享单车,因其醒目的黄色车身,而被人们亲切地称为“小黄车”。想骑小黄车,需要用户在手机客户端中输入车牌号,得到数字密码后,拨动机械锁盘开锁,之后就能以1小时1元钱,单次使用2元封顶的价格随意骑行。 ofo密码共享群截图。资料图 ofo背后隐现密码共享灰色利益链 然而小黄车的机械锁却有个致命的缺陷,只要你记得某一辆车的密码,就能直接开锁,免费骑行。 随着ofo投放车辆的持续增加,越来越多的人盯上了小黄车的缺陷,他们不仅在网上共享车牌号和密码,企图免费用车,还将这些共享数据开发成共享平台、AP…
近日维基解密网站公布了约8700份文件,均来自中情局兰利总部网络情报中心与外网隔绝的局域网。在披露的文档中,详细的介绍了隶属于美国中情局的网络情报中心(CCI)如何使用“Cutthroat”和“Swindle”等工具,利用诸多“零日漏洞”对iOS、Android和Windows设备发起攻击。对此苹果官方发布紧急声明,表示文档披露的大部分都已经得到了修复。 苹果在声明中写道: 苹果始终致力于捍卫消费者的隐私和安全。现在依然支持的iPhone设备中融入了众多科技,从而确保为消费者提供最佳的数据安全,而且我们仍不断前行打…
E安全3月8日讯 美国当地时间周二,维基解密公布了大量文件,声称是美国中情局(CIA)实施大规模网络攻击和间谍活动的机密文件。文末附“元年”(Year Zero)档案下载地址! 维基解密将这部分文件称为“Vault 7”。有人认为这些文件是维基解密创始人朱利安·阿桑奇(Julian Assange)本人泄露的。本来维基解密计划美国东部时间3月7日早上8点召开视频发布会公开“Vault 7”,但是,阿桑奇的Facebook和Periscope流媒体遭遇网络攻击,因此维基解密被迫重新安排并最终公布了8700多份机密文件…
E安全3月8日讯 本周二,维基解密曝光了与美国中央情报局(简称CIA)相关的新一轮代号为“Vault 7”的秘密资料,涵盖2013年到2016年相关文件。目前,这是维基解密曝光过的,与CIA方面相关的最大一批机密资讯。 相关阅读: 维基解密泄露“Vault 7”文件 揭秘CIA黑客工具 本次曝光资料中的第一部分完整信息,代号“Year Zero”!首批外泄内容包含来自位于弗吉尼亚州兰利市CIA网络情报中心内网高度隔离的安全保护文件8761份。文末附“元年”(Year Zero)档案下载地址! “Year Zero”…
前言 FireEye近期观察到一个针对蒙古政府雇员的复杂攻击行动。受害者在被Poison Ivy感染的恶意微软Word 文档中启用了宏脚本(Poison Ivy是一款使用了快十年的远程控制工具,可以进行键盘记录,截屏,录像,窃取文件、密码及远程控制等恶意行为)。这次攻击的背后黑手采用了如下有意思的技巧: 1、 定制化的绕过策略 –此次行动采用了公开的技巧绕过了目标系统中的AppLocker应用白名单机制。 2、 非常少的可执行文件及持久化维护-一般幕后的攻击者会尽量少的在磁盘上创建可执行文件以避免检测和调查取证。这…
前言 传统上,操作系统的内核是位于攻击者和对目标系统的完全控制之间的最后一个安全边界。 因此,必须额外注意以确保内核的完整性。 首先,当系统引导时,必须验证其关键组件(包括操作系统内核的关键组件)的完整性。 这是通过验证的启动链在Android上实现的。 然而,简单地引导已验证的内核是不够的 - 在系统执行时如何维护内核的完整性? 想象一下,攻击者能够在操作系统的内核中找到并利用漏洞的情况。 使用这种漏洞,攻击者可能通过修改其代码的内容,或通过引入新的,受攻击者控制的代码,并在操作系统的上下文中运行,来试图破坏内核…
据报道,美国副总统迈克·彭斯在任职印第安纳州州长时曾使用私人邮件账号处理州事务,糟糕的是,其AOL账号还被黑客入侵过。事件一出,白宫立刻发表声明,表示此门非彼门, “(我与)希拉里的行为完全没有可比性,”彭斯3日出席一次公务活动时对媒体说,“她用私人邮件服务器处理涉密信息,还销毁国会和政府官员要求她交出的电子邮件。” 《印第安纳波利斯星报》在提请查阅档案请求后公布了邮件。邮件内容表明彭斯使用私人AOL账号向自己的高级顾问咨询公务,小至州长官邸的安全门,大至州政府对全球恐怖袭击的回应。 据报道,去年6月,似有黑客入侵…
Apache Structs2的Jakarta Multipart parser插件存在远程代码执行漏洞,漏洞编号为CVE-2017-5638。cwiki.apache.org公告了这个信息。 绿盟科技发布免费扫描工具及产品升级包 绿盟科技紧急发布了在线免费扫描工具,同时发布了产品升级包,包括绿盟远程安全评估系统RSAS V6插件升级包,及WEB应用漏洞扫描系统WVSS V6插件设计包 Struts 2漏洞CVE-2017-5638 扫描工具 绿盟云已上线紧急扫描,地址: http://t.cn/RipBq1c 再…
两个月里的第二次,为避免公开利用 Tor 漏洞的恶意程序源代码,FBI 放弃起诉另一名儿童色情嫌疑人。 2015 年,FBI 在扣押了运行在暗网的儿童色情网站 Playpen 服务器后,部署 NIT 恶意程序去发现 Tor 用户的真实身份,这些用户可能遍布全世界。美国司法部随后对一百多名美国公民提起了多项诉讼,指控他们持有儿童色情。但在一名儿童色情嫌疑人的辩护律师向法庭提出要求,寻求查看恶意程序的源代码,以了解 FBI 在识别用户身份时是否超出了其权限后,联邦检方放弃了起诉。 在最新这起案件中,联邦检方称披露源代码…