安全加邀请绿盟科技政府行业安全专家盘点2016年政府行业十大安全事件。回看2016年,政府行业有不少重大的安全事件发生,绿盟科技政府事业部摘选了其中十大安全事件,从中可以看到从法律层层落地的过程。 《中华人民共和国网络安全法》颁布 事件内容: 2016年11月7日,十二届全国人大常委会第二十四次会议表决通过《中华人民共和国网络安全法》,《网络安全法》将于2017年6月1日起施行。《网络安全法》共有七章七十九条,内容十分丰富,具有六大突出亮点。一是明确了网络空间主权的原则;二是明确了网络产品和服务提供者的安全义务;三…
据外媒报道,一份新的 Kroll 报道显示,科技公司、媒体和电信公司沦为诈骗或网络攻击受害者已经变得非常常见。 不过这份报告最有意思的还是以下这点:公司受到的最大安全威胁来自内部。据悉,其中有 60% 的攻击来自现任职员、前任职员以及第三方职员。至于欺诈案件,占比达到了 39% ,而年轻职工成为了当中的关键肇事者。 《2016/17 Kroll Annual Global Fraud and Risk Report》报告显示,近 4/5( 79% )的公司在去年都遭到诈骗,其中有 35% 的公司资产或股票受到损害。…
据外媒报道,本周四美国陆军宣布漏洞赏金计划“ Hack the Army ”结果,该计划为期三周并于去年 12 月 21 日结束。 2016 年 11 月 11 日,在得克萨斯州的一个新闻发布会上,军方称继“ Hack the Pentagon ”(入侵五角大楼)漏洞赏金项目成功之后,美国陆军也将推出漏洞赏金项目“ Hack the Army ”(入侵军队)。该项目将继续由漏洞赏金平台 HackerOne 负责进行,军方希望借助黑客社区邀请符合条件的黑客来发现、修复未知的安全漏洞,以便在未来几周内增强网络的安全性。…
就在 1 月 20 日美国总统特朗普宣誓就职同一天,加密电子邮件服务 Lavabit 重新上线,其 CEO Ladar Levison 宣布了新的隐私增强功能。 Lavabit 曾是“棱镜门” 泄密者爱德华·斯诺登长期使用的加密电子邮件服务,2013 年因拒绝配合美国政府对斯诺登的调查而陷入法律纠纷和巨额罚款当中,并于当年 8 月宣布关闭服务并毁坏服务器。然而 Levison 与美国政府的较量仍在继续,他于 2015 年 12 月提出一项动议,促使法院命令发布与 Lavabit 案有关的文件。 图:与 Lavabi…
据外媒报道,从今年开始美国所有新 .GOV 网站将被强制要求使用 HTTPS 以加强安全性。 奥巴马政府曾下令要求所有政府网站切换至 HTTPS 并将 2016 年 12 月 31 日设为截止日期,然而据非官方统计,目前 .GOV 网站切换率仅 60%。美国通用服务管理局早些时候重新宣布,从 2017 年开始所有新的 .GOV 网站都将自动启用 HTTPS。 局域网中也将使用 HTTPS 美国总务署( GSA )表示,HTTPS 将应用于新注册的 .GOV 网站所有子域当中,并强调即使在局域网中也应该坚持使用。就目…
随着被称为 BT Call Protest (BT呼叫防护)的新服务发布,BT终于开始处理骚扰电话问题了,自此,每周最高可阻止1500万个骚扰电话。 BT宣称,该服务之所以能推出,是因为在大规模处理能力上的改进。有了强大的处理能力,其系统就可以在电话被接通前识别出是否是大量拨号的流氓号码,从而主动转移呼叫。 而且,该服务还允许客户向公司数据库提交骚扰号码,防止不想要的呼叫接入。只需在接到骚扰电话后拨打1527,或者登录网站录入该号码即可。有记录的号码就不会再被接通,而如果大量用户都报告同一号码,那么该号码就会被添加…
卫星新闻达沃斯1月20日电 俄罗斯IT安全公司卡巴斯基实验室首席执行官叶夫根尼·卡巴斯基向俄新社表示,2017年俄境内遭受网络攻击的次数会增加,且这些网络攻击会有很广的针对范围,包括工厂、运输工具和电站中使用的各类电脑设备。 卡巴斯基在世界经济论坛期间说:“我们已经不是第一年观察到非传统领域出现攻击活动日益频繁的情况。即所谓的物联网。就是说,去年受网络攻击的不是电脑和手机,而是,比如说,监控摄像头。” 当被问到他认为2017年网络安全领域有哪些新挑战时,卡巴斯基说:“我非常担心今年会出现更多针对各类计算机化系统和工…
卫报上周发表文章称,WhatsApp加密实现方法允许它阅读加密消息。报道称其为后门。这一报道引发了广泛争议,知名的安全研究专家和学者联署发表公开信,呼吁卫报撤回 WhatsApp后门报道。署名的安全专家和加密学者包括了约翰霍普金斯的教授Matthew Green,加密专家Bruce Schneier,Tor核心开发者Isis Lovecruft,宾夕法尼亚大学、康奈尔大学、哥伦比亚大学、密歇根大学、伊利诺斯大学、电子前哨基金会、Cloudflare、Google和Mozilla等机构的安全负责人和专家。 公开信将W…
大学生所学专业知识不用在正途,却动歪心思破解校园一卡通充值系统,两年多盗刷两万余元,如今终被海淀警方抓获并刑拘,盗刷校园一卡通案告破。1月9日13时许,一所知名高校保卫部门向海淀分局万寿寺派出所报警:曲某在校就读期间涉嫌盗刷校园一卡通。通过保卫部门提供的曲某校园卡充值消费记录,民警发现自2014年11月至2016年6月,该卡在学校内正常消费,并有完整的充值消费记录。 但根据学校提供的电脑充值点记录,该卡实际上并没有在学校进行任何现金充值。凭借多年的办案经验,民警认为该卡的充值系统应该是被“黑了”。 当天傍晚,曲某见…
2015年2月,美国国家第二大医疗保险公司Anthem遭遇黑客攻击,导致近8000万条个人医疗数据泄露。近期,为评估此次事件的持续影响,美国7个州立保险监管部门联合对此事件开展内部深入分析调查,调查报告认为,国家支持黑客以窃取数据为目的对Anthem开展了网络攻击,但在公开版本的调查报告中没有提及具体攻击发起国家。 另据加利福尼亚保险部1月6日率先对外发布了一份调查声明显示,Anthem公司已经为此次数据泄露付出了沉重的成本代价,其中包括250万美元聘请专家顾问、1亿1500万美元进行安全设备改进、3100万美元的…
去年年底,美国 DNS 域名服务提供商 Dyn 遭到了大规模的DDoS攻击。此次攻击,成功导致了美国东海岸地区的大量网站下线。随后,新世界黑客组织(New World Hackers)更是公开宣称,此次 Dyn 僵尸网络攻击事件由他们负责。甚至,还派出了小组的一位数据库专家,对外公开解释了部分的攻击细节,包括他们是如何发起攻击的,如何窃取数据以及攻击的目的。 他总是一个人坐在电脑前,周围出奇的安静没有一点嘈杂……他正目不转睛的盯着电脑屏幕,飞快的敲打着键盘。没错,这就是他日常的工作状态。不知是谁,又成为了他们的目标…
WAF简介 WAF(Web Application Firewall,简称:WAF),百度百科上的定义,Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。作为绝大多数互联网公司Web防御体系最重要的一环,承担了抵御常见的SQL注入、XSS、远程命令执行、目录遍历等攻击的作用,就像大厦的保安一样默默工作,作为第一道防线守护业务的安全。 传统WAF的不足 WAF在不少安全公司都是重要产品线,究其原因我认为有三个: 第一,绝大多数互联网公司没有足够的专职安全人员负责安…
早在去年11月底,FreeBuf曾报道过,美国国防部和HackerOne共同发布的一项漏洞赏金计划,名为Hack the Army,针对成功入侵美国陆军的白帽子予以奖励——采用邀请参与者的方式尝试渗透其在线资产和数据库。类似这样的政府赏金计划在美国也是第二个,先前还有Hack the Pentagon(针对五角大楼的)。而这次的Hack the Army计划寻找500名想要证明其黑客技能的人,来入侵美国陆军计算机系统。昨天,Hack the Army众测竞赛结果已经出炉。 美国陆军部长Eric Fanning展示给…
E安全1月22日讯 在战场,通常会用欺诈手段克敌制胜,这就是所谓的兵不厌诈。当然,对抗网络对手,网络欺骗技术不失为一个好主意。 美国空军研究实验室(Air Force Research Lab,AFRL)为安全系统开发人员Galios拨款75万美元,用于开发网络欺骗系统,从以大大降低攻击者渗透网络的能力。 具体而言,Galios将为美国空军开发Prattle系统。Galios将Prattle描述成一个生成流量的误导系统,误导渗透进网络的攻击者:使攻击者怀疑获取的信息,或误导他们犯错,尽快暴露。 Galios表示,“…
日前,为依法查处互联网数据中心(IDC)业务、互联网接入服务(ISP)业务和内容分发网络(CDN)业务市场存在的无证经营、超范围经营、“层层转租”等违法行为,切实落实企业主体责任,加强经营许可和接入资源的管理,强化网络信息安全管理,维护公平有序的市场秩序,促进行业健康发展,工信部发布《工业和信息化部关于清理规范互联网网络接入服务市场的通知》,通知中规定:未经电信主管部门批准,不得自行建立或租用专线(含虚拟专用网络VPN)等其他信道开展跨境经营活动。基础电信企业向用户出租的国际专线,应集中建立用户档案,向用户明确使用…
为指导信息通信行业开展“十三五”期间网络信息安全工作,更好地服务网络强国建设和全面建成小康社会的目标要求,服务国家安全和社会稳定的大局,依据《网络安全法》、《中华人民共和国国民经济和社会发展第十三个五年规划纲要》和《国家网络空间安全战略》,近日,工业和信息化部制定印发了《信息通信网络与信息安全规划(2016-2020年)》(以下简称《规划》)。 《规划》围绕贯彻落实习近平总书记关于网络安全和信息化工作的系列重要讲话精神,立足信息通信行业网络与信息安全管理职责,紧扣“十三五”期间行业网络与信息安全工作面临的重大问题,…
这一年,法律规章、纲领性文件持续完善。正法直度,筑牢安全基石 《中华人民共和国网络安全法》 十二届全国人大常委会第二十四次会议11月7日上午经表决,通过了《中华人民共和国网络安全法》。这是我国网络安全领域的基础性、框架性法律,明确加强关键信息基础设施安全保护、完善个人信息保护,明确了网络运营者的安全义务。该法自2017年6月1日起施行。 《国家网络空间安全战略》 国家互联网信息办公室12月27日发布《国家网络空间安全战略》。国家网信办发言人表示,《战略》经中央网络安全和信息化领导小组批准,贯彻落实习近平总书记网络强…
1月22日下午,中国互联网络信息中心(CNNIC)在京发布第39次《中国互联网络发展状况统计报告》(以下简称为《报告》)。《报告》显示,截至2016年12月,中国网民规模达7.31亿,相当于欧洲人口总量,互联网普及率达到53.2%。中国互联网行业整体向规范化、价值化发展,同时,移动互联网推动消费模式共享化、设备智能化和场景多元化。 “.CN”注册保有量超过2000万,稳居全球国家顶级域名第一 截至2016年12月,中国“.CN”域名总数为2061万,年增长25.9%,占中国域名总数比例为48.7%。“.中国”域名总…
继上周绿盟科技发布 ElasticSearch专项报告 以来,又监测到勒索软件正在攻击Hadoop集群,这再次表明黑客正在尝试从“大数据”中获利,绿盟科技给出的建议是关闭端口、启用安全认证机制等方式进行安全扫描。绿盟科技发布的专项报告全文如下: 勒索软件攻击Hadoop事件综述 最近,部分黑客组织针对几款特定产品展开了勒索攻击。截止到上周,已有至少34000多台MongoDB数据库被黑客组织入侵,数据库中的数据被黑客擦除并索要赎金。随后,在2017年1月18日当天,又有数百台ElasticSearch服务器受到了勒…
安全公司 Malwarebytes 发现一个罕见的基于 Mac 的间谍软件,被用于生物医学研究机构进行间谍活动中心的计算机且隐藏多年未被发现。 Malwarebytes 将该恶意软件命名为“ OSX.Backdoor.Quimitchin ”,苹果公司则将其命名为“ Fruitfly ”。该恶意软件可以截取屏幕截图、访问并使用计算机的网络摄像头,能够远程控制鼠标移动、模拟鼠标点击。它还可以从 C&C 服务器下载其他脚本文件,其中一个脚本“ macsvc ”可使用 mDNS 在本地网络上构建所有设备的映射,提供设备的…
手游《部落冲突:皇室战争》的开发商 Supercell 称官方社区论坛遭黑客入侵,约 110 万账户信息泄露。 本周三,Supercell 公司发表声明,官方社区使用的论坛软件 vbulletin 存在漏洞,允许第三方黑客非法访问论坛用户信息,包括电子邮件、哈希密码和 IP 地址,本次数据泄露不涉及用户的游戏数据。黑客入侵发生在去年 9 月,约 110 万用户受到影响。目前漏洞已经修复,为安全起见 Supercell 以邮件形式提醒论坛用户及时更改密码,避免遭黑客撞库入侵其他账号而泄露更多个人信息。 稿源:Hack…
一种新型网络钓鱼技术可诱使互联网用户将Gmail账户拱手交给黑客 WordPress安全插件创建者Wordfence称:黑客向被泄账户联系人发送电子邮件,附上看似无害的附件。只要用户点击附件,浏览器便会打开貌似谷歌登录页面的新标签页。用户输入的登录信息就直接发回给了攻击者。 在《黑客新闻》网站,一名评论者曾描述过自己学校去年发生的类似事件。他们学校的几名员工和学生就是在收到恶意邮件并打开附件后,被骗走了自己的账户信息: 这是我见过最高明的攻击。攻击者一拿到凭证就立即登录你的账户,用你账户中真实存在的主题和附件构造恶…
安全研究人员Brian Krebs的个人博客KrebsOnSecurity去年9月遭到了物联网僵尸网络Mirai发动的大规模DDoS攻击,在攻击发生大约一周之后,被怀疑是攻击发起者的人使用用户名 Anna Senpai开源了Mirai的代码,Mirai的开源代码随后催生一大波使用物联网僵尸网络的模仿攻击。那么,Anna Senpai究竟是谁? Krebs展开了漫长的搜寻,他发表了长篇调查报告,认为 Senpai(aka OG_Richard_Stallman,exfocus,ogexfocus和dreadiscoo…
“最常用的密码”从安全角度来看也意味着最容易破解。你猜2016年使用最多的密码还会是“123456”吗? 老生常谈,却也令人无奈 新年之初,Keeper Security(美国密码管理与数字安全公司)发布了一份统计报告,揭示了一个令人沮丧的事实:去年,世界上被使用最多的密码仍然是123456,后面紧跟着它的兄弟:123456789。 Keeper Security的专家们是在分析了大量被黑客破解的数据后才得出这个结论的。作为研究的样本约有一千万个,其中约有1,700,000个帐号使用“1234576”作为密码,占比…
“美不过三秒”,美图秀秀刷屏推特没多久,《连线》发布了一则报道h指出美图在泄露用户数据,提醒用户小心。 你们可能都没注意到,美图秀秀的新功能“手绘相机”在中国推出有一周了,卖点是把你的自拍P得宛如古装剧女主,温婉、梦幻再加上一股华丽丽的中国风。一秒钟变美变萌,这对一开始就享受美图免费服务的中国用户来说已经没有太多新鲜感,但这一手拿到外国友人那,却产生了犹如prisma当年的谜之冲击波。 扎克伯格、马斯克、希拉里,特朗普均已被玩坏。在没有任何营销策划的前提下,刷屏海外用户的朋友圈,美国App Store排名从九百开外…