你在用Netgear网件的路由器吗?最近需要格外小心了。CERT/CC(美国计算机紧急事件响应小组协调中心)上周五发出安全公告,建议用户暂停使用这Netgear R7000和R6400两款路由器——缘于其高危漏洞。Netgear方面已经确认,受到影响的不止这两个型号。 12.14 Update:网件推临时beta固件 Netgear今天给FreeBuf发来一份有关漏洞的说明,一方面明确了漏洞(#582384 命令注入安全漏洞)的存在性,并且提到: 美国网件正在研发一个固件,这个固件用来修复命令注入的漏洞,并会尽快发…
PirateBox 是一个由著名黑客组织 Anonymous 所开发的,用于保护用户的隐私和提供更可靠匿名性的,线下交流系统。它可用于文件共享,聊天交流,还提供留言板和流媒体的服务。你可以把它看成是一个便携式离线互联网盒子! 当用户加入到 PirateBox 无线网络,并打开 Web 浏览器时。他们会被自动重定向到 PirateBox 的欢迎界面。此时,用户便可以进行匿名聊天,在公告牌上张贴图片或评论,观看或收听流媒体,或在其网络浏览器中上传或下载文件了。 PirateBox 设计的初衷,就是以保护用户隐私和安全性…
安全公司Forcepoint发现,一个名叫Surface Defense(表面防御)的DDoS平台鼓励其他黑客参与一场“游戏”,游戏的内容就是通过攻击政治网站得分。 网站会给参与这场“游戏”的用户们提供一款名为Balyoz(土耳其语,意为“大锤”)的工具,这款工具能够用来针对若干网站进行DDoS攻击。 用户攻击一个网站每十分钟,就会加一分,累计积分最终可获取奖品。而奖品包括一款更加强大的DDoS工具、一个僵尸网络还有一个恶作剧程序。 该DDoS平台在土耳其的黑客论坛上进行了推广,这个平台提供的攻击工具限制只能攻击2…
澳大利亚税务局官网本周“撞上”数字冰山,丢失了PB级数据,大约是1000万亿字节,需要2万张双层蓝光光盘记录,或者相当于约50万小时的高清串流数据量,或者相当于在能Netflix上观看“Sharknado 3”超过33万3千次。 幸运的是,澳大利亚税务局还有备份系统。不幸的是,备份系统也遭遇了原有网络存储系统面临的相同问题。在一份声明中澳大利亚税务局CIO史蒂夫·汉密尔顿表示,在原系统遭遇数据丢失之后,我们的主要备份系统,应该立即投入运营,但是它也有遇到了相同的问题,据我们了解,这种问题还没有在世界上任何地方遇到过…
刚刚过去的数天,接二连三暴露个人数据泄露事件:知名互联网企业数据泄露、国企APP数据泄露、700元买到同事个人数据信息等,凸显在大数据时代个人信息的“裸奔”危机。尤其是在互联网普遍运用的当下,个人一方面不可能脱离时代,但另一方面又缺乏保护自身的手段。而面对已经形成巨大利益的数据泄露产业链,个人的力量也显得极为有限。 因此,解决数据泄露问题的一个关键问题,在于如何通过立法和执法保护个人信息上。 21世纪经济报道记者采访美国、欧洲以及中国相关领域专家,解读国内外数据安全立法进程。有学界人士呼吁,我国目前没有专门个人信息…
E安全12月14日讯 网络安全分析公司RedSeal本周二公布了一份新调查数据。调查针对200位美国CEO进行,结果发现,超过五分之四的美国CEO表示,他们计划明年在网络安全上投入更多,近十分之九的受访CEO表示,他们需要更好的方法衡量支出的实效性。 87%的受访CEO赞同或强烈赞同需要更好的方式衡量网络安全支出的实效性,但84%的受访者计划明年增加网络安全支出。调查结果与持续增长的网络安全市场相符。据IDC预计, 2020年,网络安全市场规模将达1016亿美元——尽管这个预测缺乏业界广泛接受的指标衡量给定产品、服…
E安全12月14日讯 本周二,乌克兰国防部网站遭遇网络攻击后关闭。发言人称,这起网络攻击意在阻止网站更新乌克兰东部地区的分离主义冲突。乌克兰国防部网站定期遭受DDoS攻击,但尚未公开周二最终导致网站下线的攻击方式。 发言人Oleksandr Motuzyanyk向外媒透露, “攻击的目的在于防止乌克兰国防部告知公众真相”。Motuzyanyk未将归因指向任何特定攻击对手。 周二发生的这起攻击事件只是东欧国家遭受的最新一起网络事件。乌克兰金融机构本月早些时候遭遇网络攻击—乌克兰财政部称之为“协同专业黑客攻击”。这起攻…
E安全12月14日讯 美国政府和加拿大政府几十年来投入大量时间和资源开发跨境能源项目和基础设施。如今,美国官员担心其中一些相同的合作计划可能为黑客提供系统脆弱的系统实施网络攻击,造成“严重的后果”。 白宫和加拿大政府在周一发布《美国-加拿大电网安全性与弹性联合发展战略》,承诺加强北美电网(为两国数百万公民供电)安全。 该战略的发布兑现了奥巴马和加拿大总理贾斯汀·特鲁多先前所做的承诺。奥巴马和贾斯汀·特鲁多在今年三月召开的会议期间重点讨论气候变化、清洁能源开发、北极地区保护工作相关能源政策等。 战略指出,“以优先方式…
北京时间12月14日上午消息,在接受直播采访的问答环节,“棱镜门”告密者爱德华·斯诺登指出,许多网络公司继续在收集用户数据,创建一个“量化的世界”,并为政府提供更多监管机会。“如果你正在被跟踪,这件事首先应该征得你的同意,你应该明白、应该知道,你应该意识到并能够随时改变,”他说。斯诺登承认,收集你的通信(即你的通话内容)不同于收集元数据(即你的通话对象和持续时间)。 资料图 对于一些人来说,仅仅收集元数据的监视可能还不太令人担忧,但在斯诺登看来,“这种元数据在许多情况下更加危险,更具侵入性的,因为它们成规模后,即可…
肯德基公司发出警告,其设在英国的上校俱乐部120万成员个人信息可能被盗,请大家尽快修改账户密码,泄露的个人信息包括姓名、 地址、 电子邮件地址。 上校俱乐部忠诚计划是KFC肯德基独家向英国和爱尔兰推出的,由上校俱乐部移动应用程序和奖励卡组成。百胜餐饮集团没有回应问题,以求当它发生和违反的程度等违反的细节。肯德基公司的发言人透露,这次攻击来自自动化软件的密码猜测攻击。 肯德基的网站没有防范密码猜测 Brad Scheiner, head of IT at KFC U.K. and Ireland said in a …
你在用Netgear网件的路由器吗?最近需要格外小心了。CERT/CC(美国计算机紧急事件响应小组协调中心)上周五发出安全公告,建议用户暂停使用这Netgear R7000和R6400两款路由器——缘于其高危漏洞。Netgear方面已经确认,受到影响的不止这两个型号。 12.14 Update:网件推临时beta固件 Netgear今天给FreeBuf发来一份有关漏洞的说明,一方面明确了漏洞(#582384 命令注入安全漏洞)的存在性,并且提到: 美国网件正在研发一个固件,这个固件用来修复命令注入的漏洞,并会尽快发…
今年早些时候,为了解企业网络安全和程序合规性面临的挑战,Tripwire曾委托Dimensional Research咨询公司,对全球500家企业的信息安全专家开展了问卷调查。而在2016年Tripwire完成的安全威胁调查活动中,很多行业都从不同层面反映了对信息安全人才的重视和需求,当然,这也侧面说明了信息安全专业人才存在的巨大缺口。 在Dimensional Research发起的调查中,很多IT专家都对其企业的信息安全状况和能力表示担忧,持悲观态度。有75%的受访专家表示,由于人才短板或缺乏技术经验,导致企业…
一、前言 1.1 “邮件门” 美国大选已经告一段落,特朗普干翻希拉里成功入主白宫。希拉里的落败原因有很多,但有一点我们还是不得不提,那就是沸沸扬扬的“邮件门”事件。 “邮件门”这件事比较复杂,辣条君只能简单地讲一讲。大抵就是希拉里竞选团队的负责人波斯得塔的邮件被黑,导致很多邮件泄漏,其中包括了各种丑闻记录,这些记录让希拉里形象一落千丈。间接地导致了竞选的失利。 那么问题来了,原本处于绝密状态的邮件为啥会被公之于众? 没错,钓鱼邮件。这也多亏希拉里的一班猪队友,波斯得塔在错误的时间点开了错误的邮件。这封邮件大意就是说…
安全测评综述 针对手机系统的安全性测试,我们从近期的Android和chrome安全公告中,选取了25个漏洞作为评判手机安全性的依据。这25个漏洞的基本信息如表1所示,包括漏洞对外公布的时间、漏洞的严重级别、漏洞类型和漏洞简述。漏洞的严重级别有严重、高、中三个级别。漏洞的类型我们分了三类,包括远程攻击漏洞、权限提升漏洞和信息泄露漏洞。 漏洞编号 公布时间 严重级别 漏洞类型 漏洞简述 CVE-2015-1805 2016.03.18 严重 权限提升…
根据国外媒体的最新报道,来自MalwareHunterTeam的恶意软件研究专家在暗网中发现了一种名为PopcornTime的新型勒索软件。这款勒索软件目前仍处于开发阶段,而且研究人员还在暗网中发现了这款勒索软件的源代码。 需要注意的是,这款勒索软件有一个非常与众不同的特性,它给受感染的用户提供了两种选择:支付赎金来解锁数据,或者使用推荐链接感染再感染两名其他的用户。这样一来,当另外两名潜在的感染用户支付了数据赎金之后,之前最初受感染的那位用户就可以收到一个免费的解密密钥,并使用这个密钥来解锁自己被勒索软件加密的文…
PirateBox 是一个由著名黑客组织 Anonymous 所开发的,用于保护用户的隐私和提供更可靠匿名性的,线下交流系统。它可用于文件共享,聊天交流,还提供留言板和流媒体的服务。你可以把它看成是一个便携式离线互联网盒子! 当用户加入到 PirateBox 无线网络,并打开 Web 浏览器时。他们会被自动重定向到 PirateBox 的欢迎界面。此时,用户便可以进行匿名聊天,在公告牌上张贴图片或评论,观看或收听流媒体,或在其网络浏览器中上传或下载文件了。 PirateBox 设计的初衷,就是以保护用户隐私和安全性…
安全公司Forcepoint发现,一个名叫Surface Defense(表面防御)的DDoS平台鼓励其他黑客参与一场“游戏”,游戏的内容就是通过攻击政治网站得分。 网站会给参与这场“游戏”的用户们提供一款名为Balyoz(土耳其语,意为“大锤”)的工具,这款工具能够用来针对若干网站进行DDoS攻击。 用户攻击一个网站每十分钟,就会加一分,累计积分最终可获取奖品。而奖品包括一款更加强大的DDoS工具、一个僵尸网络还有一个恶作剧程序。 该DDoS平台在土耳其的黑客论坛上进行了推广,这个平台提供的攻击工具限制只能攻击2…
E安全12月14日讯 网络安全分析公司RedSeal本周二公布了一份新调查数据。调查针对200位美国CEO进行,结果发现,超过五分之四的美国CEO表示,他们计划明年在网络安全上投入更多,近十分之九的受访CEO表示,他们需要更好的方法衡量支出的实效性。 87%的受访CEO赞同或强烈赞同需要更好的方式衡量网络安全支出的实效性,但84%的受访者计划明年增加网络安全支出。调查结果与持续增长的网络安全市场相符。据IDC预计, 2020年,网络安全市场规模将达1016亿美元——尽管这个预测缺乏业界广泛接受的指标衡量给定产品、服…
E安全12月14日讯 本周二,乌克兰国防部网站遭遇网络攻击后关闭。发言人称,这起网络攻击意在阻止网站更新乌克兰东部地区的分离主义冲突。乌克兰国防部网站定期遭受DDoS攻击,但尚未公开周二最终导致网站下线的攻击方式。 发言人Oleksandr Motuzyanyk向外媒透露, “攻击的目的在于防止乌克兰国防部告知公众真相”。Motuzyanyk未将归因指向任何特定攻击对手。 周二发生的这起攻击事件只是东欧国家遭受的最新一起网络事件。乌克兰金融机构本月早些时候遭遇网络攻击—乌克兰财政部称之为“协同专业黑客攻击”。这起攻…
E安全12月14日讯 美国政府和加拿大政府几十年来投入大量时间和资源开发跨境能源项目和基础设施。如今,美国官员担心其中一些相同的合作计划可能为黑客提供系统脆弱的系统实施网络攻击,造成“严重的后果”。 白宫和加拿大政府在周一发布《美国-加拿大电网安全性与弹性联合发展战略》,承诺加强北美电网(为两国数百万公民供电)安全。 该战略的发布兑现了奥巴马和加拿大总理贾斯汀·特鲁多先前所做的承诺。奥巴马和贾斯汀·特鲁多在今年三月召开的会议期间重点讨论气候变化、清洁能源开发、北极地区保护工作相关能源政策等。 战略指出,“以优先方式…
自2014年9月起,安天AVL移动安全团队持续检测到一类基于Android移动平台的间谍类病毒,病毒样本大多伪装成名为“最高人民检察院”的应用。经过反编译逆向分析以及长期的跟踪调查,我们判断这可能是一起有组织的电信诈骗犯罪活动。 2014年9月至今,某诈骗组织持续以涉嫌犯罪为由恐吓受害者,并进行电信诈骗活动。整个诈骗流程大致如下:攻击者首先向受害者的手机发送含恶意应用下载链接的短信;攻击者通常以获取“案件号”、“单位代号”、“电子凭证”的短信诱骗受害者点击链接,下载安装恶意程序,最终获取受害者手机的root权限;恶…
作者:中关村在线 发布时间:2016-12-14 根据外媒最新报道,美国卡耐基梅隆大学的计算机应急响应小组(CMU CERT)在上周末发布公告称,他们发现目前市面上在售的Netgear(美国网件)无线路由器存在一个严重并易于被攻击的安全漏洞。因此建议网件用户在该漏洞修复前停止使用相关路由器产品,以防中招。 据悉,目前已被确认受该漏洞影响的网件路由器型号,包括R6400、R7000以及R8000。同时,在上述路由器上运行1.0.7.2_1.1.93及更早固件版本的网件路由器也被指出容易遭受攻击。而且研究人员表示,网件…
作者:cnbeta.com 发布时间:2016-12-14 据外媒报道,近日黑客Kapustkiy入侵了俄罗斯驻荷兰大使馆领事馆网站(ambru.nl) ,并获取了包括姓名、电子邮件地址、电话号码和护照号码在内的个人信息。目前该网站已经恢复正常运行。尽管外媒试图联系该网站管理官,但并未得到任何回应。 Kapustkiy表示,他获得了约3万名用户的个人信息,但为了留给网站管理官更多的时间来处理漏洞,他决定只泄露一部分细节。 向往常一样, Kapustkiy声称他入侵这个网站并不是为了公开这些个人信息,而只是为了帮助网…
作者:21世纪经济报道(广州) 发布时间:2016-12-14 国家电网面向4亿用户推出的掌上电力App,如今正成为数据黑色产业链觊觎的对象。近日,有知情人士向21世纪经济报道记者爆料:“掌上电力、电e宝App正在出现数据泄露,涉及用户规模已经超过千万级,而且部分数据可能已经流入‘黑产’,危害持续扩大。” 掌上电力系国内首批电力便民服务类App,注册用户可以通过该App进行电费充值、故障报修、要求应急送电、查看停电通知等等操作。该App在2014年推出后,在北京等地区曾经推出首批试点。2016年初,该App在北京、…
作者:cnbeta.com 发布时间:2016-12-14 尽管微软声称自家 Edge 是“最安全的浏览器”,但新发现的一个缺陷,却让骗子可以借助虚假的 SmartScreen 报错界面来忽悠人。在一份新报告中,阿根廷安全研究人员 Manuel Caballero 提到了他的新发现,欺诈者竟然可以强制 Edge 浏览器显示虚假的 SmartScreen 错误警告,然后提取用户的个人信息。 SmartScreen 是一项用于保护 Edge 浏览器用户原理危险站点的功能,正常状态下的它如上所示。 Caballero 披…