根据Tor官方的统计,阿联酋Tor连接用户数在短短数天内从1万左右增加到了30万以上。这一增长规模难以置信,因此一种可能的解释是阿联酋政府部署了基于DPI的屏蔽技术,导致连接失败率大幅增长,从而产生了统计异常。类似的现象以前也发生过,在土耳其屏蔽VPN和Tor之后,土耳其的Tor用户数也在统计中出现了大幅增长。Tor中国用户数保持平稳,不到一千。 如果此文章侵权,请留言,我们进行删除。0day
2011 年微软进行的一项调查显示,有 94% 的用户认为基于地理位置的服务具有价值。但是调查中也显示,52% 的人也关注与使用地理位置数据有关的隐私问题。我们在生活中使用 GPS、IP 地址及 Wi-Fi 获取基于位置的服务,实现实时导航、本地天气、地理定位的功能,但在无形之中,它也泄露了我们的隐私。 此前数据科学家 Anthony Tockar 在西北大学读研究生时,就采用可公开获取的位置数据,通过交叉参考公共新闻与照片,跟踪位于纽约市的名人。 隐私问题已经成为了研究界所关注的焦点,南洋理工大学的萧小奎表示,「…
2016年我们耳边经常想起“大数据”、“物联网”、“云”、“工控系统”等关键词,很多个厂家、行业都在热火朝天的做着“大数据”,随着2016年的过去,新的一年到来,让我们也针对web漏洞进行一次“大数据”分析。 众所周知的https://www.exploit-db.com是面向全世界黑客的一个漏洞提交平台,那么我们分析下2016年度web漏洞情况。 打开https://www.exploit-db.com/webapps后发现Web Application Exploits是一行行的漏洞列表。 每个漏洞都占有一行,…
工具简介 Exitmap是一个基于Python的Tor出口中继节点扫描器,具有快速和模块化的特点。 Exitmap模块执行在所有出口中继节点(的子集)上运行的任务。如果你有函数式编程的知识背景,可以把Exitmap看作是Tor出口中继节点的map()接口。 这些模块可以执行任何基于TCP的网络任务,例如获取网页、上传文件、连接到SSH服务器或加入IRC频道(Internet Relay Chat,互联网中继聊天,它是由芬兰人Jarkko Oikarinen于1988年首创的一种网络聊天协议)。 Exitmap的实际…
E安全1月22日讯 即将于今年2月召开的RSA 2017信息安全大会将带来众多热门议题,其中包括机器学习、物联网安全、云安全以及其它众多核心议题将成为本届创新沙盒大赛的重要竞逐单元。而每年的入选企业会成为本年度安全创新技术风向标,往往在下一轮的收购热潮中,这些入选企业也会成为大企业争相抢购的目标。目前共有87家企业申请参与此次创新沙盒大赛。 我们就此通过Wordcloud生成器查询了RSA大会官方新闻公告当中提供的企业描述信息,而生成的图形结果显示这些初创企业需要保护的核心要素正是“数据”这一宝贵的资产。最令我们意…
路透社今日援引欧盟官员和其他知情人士的消息称,由于越来越多的银行机构遭遇黑客入侵,欧盟正考虑对银行的网络防御能力展开压力测试。最近几年,针对银行机构的网络攻击愈演愈烈,且入侵手段越来越高明。去年2月,孟加拉国中央银行在美国纽约联邦储备银行开设的账户遭黑客攻击,失窃8100万美元。 孟加拉国央行怀疑,黑客事先给央行的一台打印机植入木马病毒,造成看似平常的“故障”,导致央行没能及时察觉这起震惊全球金融界的窃案。该事件发生后,全球监管部门都加强了对银行的安全需求。 虽然如此,复杂的网络攻击仍层出不穷。去年11月,英国零售…
人们对自己的隐私权利越来越看重,对谷歌等浏览器的信任度不像以前那般强,因此像DuckDuckGo这样的注重个人隐私的匿名浏览器抓住了机会,自8年前这款浏览器推出之日起,其搜索量就一直保持惊人的速度增长,2013年斯诺登首次向公众披露美国政府对民众的监听计划后,DuckDuckGo的搜索量更是呈爆炸性增长。 DuckDuckGo浏览器方面称,至今一共提供了超过100亿次的搜索服务,其中仅去年一年就有40亿次搜索,增长速度是历年来最高的。在2017年1月10日这一天,该浏览器的搜索次数达到了1400万次。2016年,D…
0x00 前言 今天一个名为Spora的新勒索软件家族浮出水面,其在俄语中是孢子的意思。这款勒索软件最值得注意的是强健的加密机制,离线工作能力和一个非常完善的赎金支付网站。而这个赎金支付网站是我们目前看到的最复杂成熟的一个。 Spora勒索软件首次发现是在Bleeping Computer和卡巴斯基论坛。接下来的分析由Bleeping Computer的Lawrence Abrams提供,以及MalwareHunterTeam和Emsisoft的Fabian Wosar。 0x01 Spora通过钓鱼邮件传播 目前…
JSONP注入是一种鲜为人知却又相当普遍和危险的漏洞。JSONP是随着最近几年JSON、Web API的迅速崛起和对跨域通信的迫切需要而应运而生的。 什么是JSONP? 这里我们假设大家都已经了解JSON了,所以下面直接开始讨论JSONP。JSONP(JSON with Padding)是JSON的一种“使用模式”,可用于解决主流浏览器的跨域数据访问的问题。 让我们举个例子。 我们的网上银行应用程序,http://verysecurebank.ro,已实现一个API调用,可以用来返回当前用户的交易数据。 这样,通过…
前言 SOP(同源策略)可以说是Web安全的最核心的安全机制,一旦被绕过,就可能导致重大的安全漏洞。 SOP原理 正如我们所知道的,所有的浏览器在试图访问来自不同来源的资源时都会施加一些限制。 当然,我们可以播放音乐和渲染图像来自不同的域,但是由于同源策略的限制,我们将无法读取这些资源的内容。 例如,我们可以在canvas上绘制图像,但除非同源,否则我们无法使用getimagedata读取图片像素信息。同样的规则适用于脚本。我们可以自由加载外部脚本在不同的域,但如果有一个错误,我们将无法获得任何细节,因为错误本身可…
去年安全加报道过, 黑进陆军 美国军方启动了一个漏洞奖励计划 请求白帽子帮忙扫清漏洞 ,这项计划向注册的、受邀的参与者公布开放,攻击目标包括一系列陆军网站和数据库。对于在计划内,能够在军方面向公众的网站上发现漏洞的黑客,美国陆军将提供现金奖励。昨天,Hack the Army竞赛结果已经出炉。 美国陆军部长Eric Fanning展示给白帽子的奖励金币 Hack the Army计划 317人参与 收到416份漏洞报告 Hack the Army计划就是要让美国陆军“把钱放进我们嘴里”,“向美军红队和DDS团队及其…
无独有偶, 绿盟科技金融事业部的2017年1月刊中 也弄了2016年金融安全大事件盘点,这篇文章通过分析整理2016年金融行业安全事件和热点事件,从8个方面来总结金融行业面临的行业现状、监管要求、安全风险等,也给金融行业的2017年信息安全建设给出可落地的参考建议。 监管文件抢头条 移动终端是热点 信息泄露成常态 钓鱼欺诈手段多 内网问题隐藏深 里应外合要警惕 外网防线待加强 应急机制需落地 2016年金融行业的信息科技继续蓬勃发展,技术创新层出不穷,大数据、云计算、区块链和移动互联等方方面面的技术摸索和尝…
安全加邀请绿盟科技政府行业安全专家盘点2016年政府行业十大安全事件。回看2016年,政府行业有不少重大的安全事件发生,绿盟科技政府事业部摘选了其中十大安全事件,从中可以看到从法律层层落地的过程。 《中华人民共和国网络安全法》颁布 事件内容: 2016年11月7日,十二届全国人大常委会第二十四次会议表决通过《中华人民共和国网络安全法》,《网络安全法》将于2017年6月1日起施行。《网络安全法》共有七章七十九条,内容十分丰富,具有六大突出亮点。一是明确了网络空间主权的原则;二是明确了网络产品和服务提供者的安全义务;三…
据外媒报道,一份新的 Kroll 报道显示,科技公司、媒体和电信公司沦为诈骗或网络攻击受害者已经变得非常常见。 不过这份报告最有意思的还是以下这点:公司受到的最大安全威胁来自内部。据悉,其中有 60% 的攻击来自现任职员、前任职员以及第三方职员。至于欺诈案件,占比达到了 39% ,而年轻职工成为了当中的关键肇事者。 《2016/17 Kroll Annual Global Fraud and Risk Report》报告显示,近 4/5( 79% )的公司在去年都遭到诈骗,其中有 35% 的公司资产或股票受到损害。…
据外媒报道,本周四美国陆军宣布漏洞赏金计划“ Hack the Army ”结果,该计划为期三周并于去年 12 月 21 日结束。 2016 年 11 月 11 日,在得克萨斯州的一个新闻发布会上,军方称继“ Hack the Pentagon ”(入侵五角大楼)漏洞赏金项目成功之后,美国陆军也将推出漏洞赏金项目“ Hack the Army ”(入侵军队)。该项目将继续由漏洞赏金平台 HackerOne 负责进行,军方希望借助黑客社区邀请符合条件的黑客来发现、修复未知的安全漏洞,以便在未来几周内增强网络的安全性。…
就在 1 月 20 日美国总统特朗普宣誓就职同一天,加密电子邮件服务 Lavabit 重新上线,其 CEO Ladar Levison 宣布了新的隐私增强功能。 Lavabit 曾是“棱镜门” 泄密者爱德华·斯诺登长期使用的加密电子邮件服务,2013 年因拒绝配合美国政府对斯诺登的调查而陷入法律纠纷和巨额罚款当中,并于当年 8 月宣布关闭服务并毁坏服务器。然而 Levison 与美国政府的较量仍在继续,他于 2015 年 12 月提出一项动议,促使法院命令发布与 Lavabit 案有关的文件。 图:与 Lavabi…
据外媒报道,从今年开始美国所有新 .GOV 网站将被强制要求使用 HTTPS 以加强安全性。 奥巴马政府曾下令要求所有政府网站切换至 HTTPS 并将 2016 年 12 月 31 日设为截止日期,然而据非官方统计,目前 .GOV 网站切换率仅 60%。美国通用服务管理局早些时候重新宣布,从 2017 年开始所有新的 .GOV 网站都将自动启用 HTTPS。 局域网中也将使用 HTTPS 美国总务署( GSA )表示,HTTPS 将应用于新注册的 .GOV 网站所有子域当中,并强调即使在局域网中也应该坚持使用。就目…
随着被称为 BT Call Protest (BT呼叫防护)的新服务发布,BT终于开始处理骚扰电话问题了,自此,每周最高可阻止1500万个骚扰电话。 BT宣称,该服务之所以能推出,是因为在大规模处理能力上的改进。有了强大的处理能力,其系统就可以在电话被接通前识别出是否是大量拨号的流氓号码,从而主动转移呼叫。 而且,该服务还允许客户向公司数据库提交骚扰号码,防止不想要的呼叫接入。只需在接到骚扰电话后拨打1527,或者登录网站录入该号码即可。有记录的号码就不会再被接通,而如果大量用户都报告同一号码,那么该号码就会被添加…
卫星新闻达沃斯1月20日电 俄罗斯IT安全公司卡巴斯基实验室首席执行官叶夫根尼·卡巴斯基向俄新社表示,2017年俄境内遭受网络攻击的次数会增加,且这些网络攻击会有很广的针对范围,包括工厂、运输工具和电站中使用的各类电脑设备。 卡巴斯基在世界经济论坛期间说:“我们已经不是第一年观察到非传统领域出现攻击活动日益频繁的情况。即所谓的物联网。就是说,去年受网络攻击的不是电脑和手机,而是,比如说,监控摄像头。” 当被问到他认为2017年网络安全领域有哪些新挑战时,卡巴斯基说:“我非常担心今年会出现更多针对各类计算机化系统和工…
卫报上周发表文章称,WhatsApp加密实现方法允许它阅读加密消息。报道称其为后门。这一报道引发了广泛争议,知名的安全研究专家和学者联署发表公开信,呼吁卫报撤回 WhatsApp后门报道。署名的安全专家和加密学者包括了约翰霍普金斯的教授Matthew Green,加密专家Bruce Schneier,Tor核心开发者Isis Lovecruft,宾夕法尼亚大学、康奈尔大学、哥伦比亚大学、密歇根大学、伊利诺斯大学、电子前哨基金会、Cloudflare、Google和Mozilla等机构的安全负责人和专家。 公开信将W…
大学生所学专业知识不用在正途,却动歪心思破解校园一卡通充值系统,两年多盗刷两万余元,如今终被海淀警方抓获并刑拘,盗刷校园一卡通案告破。1月9日13时许,一所知名高校保卫部门向海淀分局万寿寺派出所报警:曲某在校就读期间涉嫌盗刷校园一卡通。通过保卫部门提供的曲某校园卡充值消费记录,民警发现自2014年11月至2016年6月,该卡在学校内正常消费,并有完整的充值消费记录。 但根据学校提供的电脑充值点记录,该卡实际上并没有在学校进行任何现金充值。凭借多年的办案经验,民警认为该卡的充值系统应该是被“黑了”。 当天傍晚,曲某见…
2015年2月,美国国家第二大医疗保险公司Anthem遭遇黑客攻击,导致近8000万条个人医疗数据泄露。近期,为评估此次事件的持续影响,美国7个州立保险监管部门联合对此事件开展内部深入分析调查,调查报告认为,国家支持黑客以窃取数据为目的对Anthem开展了网络攻击,但在公开版本的调查报告中没有提及具体攻击发起国家。 另据加利福尼亚保险部1月6日率先对外发布了一份调查声明显示,Anthem公司已经为此次数据泄露付出了沉重的成本代价,其中包括250万美元聘请专家顾问、1亿1500万美元进行安全设备改进、3100万美元的…
去年年底,美国 DNS 域名服务提供商 Dyn 遭到了大规模的DDoS攻击。此次攻击,成功导致了美国东海岸地区的大量网站下线。随后,新世界黑客组织(New World Hackers)更是公开宣称,此次 Dyn 僵尸网络攻击事件由他们负责。甚至,还派出了小组的一位数据库专家,对外公开解释了部分的攻击细节,包括他们是如何发起攻击的,如何窃取数据以及攻击的目的。 他总是一个人坐在电脑前,周围出奇的安静没有一点嘈杂……他正目不转睛的盯着电脑屏幕,飞快的敲打着键盘。没错,这就是他日常的工作状态。不知是谁,又成为了他们的目标…
WAF简介 WAF(Web Application Firewall,简称:WAF),百度百科上的定义,Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。作为绝大多数互联网公司Web防御体系最重要的一环,承担了抵御常见的SQL注入、XSS、远程命令执行、目录遍历等攻击的作用,就像大厦的保安一样默默工作,作为第一道防线守护业务的安全。 传统WAF的不足 WAF在不少安全公司都是重要产品线,究其原因我认为有三个: 第一,绝大多数互联网公司没有足够的专职安全人员负责安…
早在去年11月底,FreeBuf曾报道过,美国国防部和HackerOne共同发布的一项漏洞赏金计划,名为Hack the Army,针对成功入侵美国陆军的白帽子予以奖励——采用邀请参与者的方式尝试渗透其在线资产和数据库。类似这样的政府赏金计划在美国也是第二个,先前还有Hack the Pentagon(针对五角大楼的)。而这次的Hack the Army计划寻找500名想要证明其黑客技能的人,来入侵美国陆军计算机系统。昨天,Hack the Army众测竞赛结果已经出炉。 美国陆军部长Eric Fanning展示给…