2016 年末,微软决定为 Windows 7 / 8.1 采用新的更新方式 ,从单独而零碎的补丁,换成三种不同的更新包 —— 分别是“月度质量安全更新”、“月度预览更新”、以及“仅安全更新”。从 2017 年 2 月份开始,微软将引入可以帮助该公司减少更新包尺寸、让大多数用户更容易部署的新变动 —— IE 补丁将不再被包含在“仅安全更新”(Security Only)的更新包中。 此举意味着用户需要单独为 IE 浏览器安装安全更新,但是对于那些希望一切都可以自动化完成的用户来说,操作反而变得更加繁琐了。微软解释到…
据外媒报道,上周恶意软件感染了英国最大 NHS 信托机构 “Barts Health” 的计算机系统,导致医院不得不关闭部分网络以防未识别的恶意软件更大规模扩散。 英国巴兹保健和国民信托( Barts Health NHS Trust )是英国最大的 NHS (英国国家医疗服务)信托机构,负责监测 Mile End 医院、纽汉大学医院、伦敦皇家医院、巴茨医院、伦敦胸科医院和 Whipps Cross 大学医院。 Barts Health 发言人证实已拔掉一些 IT 设备电源作为预防措施,而此前关于勒索软件大爆发的消…
安全公司 FireEye 的安全专家发现 ATM 恶意软件 Ploutus 的新变种 Ploutus-D ,恶意软件已感染了拉丁美洲的 ATM 系统。 2013 年恶意软件 Ploutus 首次在墨西哥被发现,是最先进的 ATM 恶意软件系列之一。攻击者可通过外接键盘连接 ATM 或者发送 SMS 消息传播恶意软件,操作 ATM 系统窃取现金。 FireEye 实验室分析变种代码后发现,新恶意软件可针对 ATM 软件提供商 KAL 公司的 Kalignite ATM 软件平台。据统计显示 Kalignite ATM…
XPath注入攻击主要是通过构建特殊的输入,这些输入往往是XPath语法中的一些组合,这些输入将作为参数传入Web 应用程序,通过执行XPath查询而执行入侵者想要的操作。本期邀请到JSRC白帽子恋锋为大家分享交流~ 关于分享者: 恋锋:JSRC白帽子,具备多年web及app安全测试经验,在代码安全审计领域有较深入的研究。 >>>1<<< 豌豆妹 咱们先聊聊XPath注入漏洞存在的原因呗? 恋峰 其实XPath注入漏洞的成因与其他注入类漏洞有相似之处,主要由于系统未对输入内容进…
智能电表中严重的安全漏洞将会继续让用户和电力基础设施暴露于恶意网络攻击的安全风险之中。但更加可怕的是,有些安全专家认为黑客甚至可以直接让这些智能电表爆炸。 智能电表可以让用户更加清楚地了解自家的用电量,而供电局也可以通过智能电表来对用户的用电情况进行远程监控,并随时连接或切断供电。目前,全球范围已经有数百万台这样的设备部署于家庭用户和政府机构中,而专家预计,在接下来的几年时间里,智能电表将会完全取代传统电表。 智能电表中存在严重的安全漏洞 2010年至2012年之间,一些安全专家曾经详细描述过用户在使用智能电表的过…
实际上,就已经结束的美国总统大选,美国政府认定俄罗斯就是在大选期间进行网络攻击、干涉美国大选,甚至让大选结果倾向于川普的幕后真凶——这是去年年末FBI和DHS联合发布的JAR报告所述。最近,这件事的发展可谓异彩纷呈。 FreeBuf的安全快讯对此做了多次追踪报道:本月早前ODNI(美国国家情报主任办公室)发布《针对近期美国大选中俄罗斯活动与意图的评估》报告,直指针对美国大选进行干涉的黑客行动就是普京“下令”发动的。 上周CNN报道称,美国一份机密报告再曝大量爆炸性消息:俄罗斯黑客手持有相关川普的敏感信息,包括川普的…
特朗普网络安全顾问 Rudy Giuliani 的网站Giulianisecurity.com(域名停止解析,但服务器IP地址可以直接访问209.238.99.227) 被发现安全性极差,安全研究人员认为“你或许也能黑进网站的服务器”。 Giuliani 的网站运行的是2012年发布的内容管理系统 Joomla! v3.0,没有更新,该版本已知存在15个安全漏洞,其中部分漏洞可被利用通过简单的 SQL注入入侵服务器。 服务器运行的是非常古老的FreeBSD版本,2007年发布的 OpenSSH 4.7。 如果此文章…
如今,微信扫码免费打印照片随处可见,但有不少市民反应,扫个二维码,就莫名其妙被“圈粉”,甚至账号被盗……“捆绑”链接暗藏巨大风险。二维码营销作为新生事物,法律边界在哪里?一旦受到侵害,消费者合法权益如何保障? 门诊问题:扫码免费打印照片遭遇陷阱,消费者如何维权? 门诊专家:北京大成(南京)律师事务所律师陈华,北京大学法学院博士生,徐俊 专家观点: ◇微信扫码免费打印照片暗藏着被恶意营销、个人隐私泄露、财产遭受损害的风险。 ◇二维码营销属于新生事物,具有自身的特点,司法实务中对违法二维码链接行为的监管和惩处难度较大。…
工具简介 这款名叫“Truffle Hog”的免费开源工具可以帮助开发人员检测自己在GitHub上发布的项目代码是否意外泄漏了密钥。 Truffle Hog是一款采用Python开发的工具,它可以检索GitHub代码库的所有代码提交记录以及分支,并搜索出可以表示密钥(例如AWS密钥)的高熵字符串。 运行机制 该工具的开发者Dylan Ayrey解释称: “Truffle Hog会检索代码库中每一个分支完整的代码提交记录,而且也会检查每一次提交的git diff信息,然后对每一个长度超过20个字符的base64字符集…
昨天一条朋友圈的文章被刷屏了,国内身份认证服务产品洋葱即将全部停止服务,在洋葱服务的官网上发布了来自CEO奶罩的公告,公告中最后奶罩的总结是: I never said it would be easy, I only said it would be worth it. 企业身份认证服务的大方向是没错的,可能是时间和产品形态目前这个阶段不对。 笔者作为洋葱服务CEO奶罩的前同事,对洋葱的关闭深表遗憾,奶罩作为国内最为成功DNS服务商DNSPOD的创始人,把DNS服务做到了极致,最后通过资本运作体现了其产品的价值,…
大多数用户在填写网页表单时,曾为填写重复信息而苦恼。为满足用户需求,Google Chrome 等主流浏览器提供了“自动填充”功能,它能记录下你曾填写过的信息,例如姓名、身份证号码、银行卡卡号和密码等。以后遇见同样问题,它将自动填充。 然而,事实证明,攻击者可以利用这项功能将你的隐私信息泄露给攻击者或者恶意的第三方。 芬兰的 Web 开发者和白帽黑客 Viljami Kuosmanen 在 GitHub 发布了一个 Demo,展示了攻击者操纵并利用拥有自动填充功能的浏览器、插件和密码管理器等工具的过程。 尽管这个诡…
E安全1月16日讯 如果黑客能黑进无线电,并不能说明这件事情就轻而易举:解码0和1的信号之前,要将信号格式化需要执行多个步骤。 在ShmooCon黑客大会上,Paul Clark介绍了一款RF反向工程工具,名为“WaveConverter”,这也许算是无线电领域最有趣的工具之一。 如果欲入侵RF系统,读取胎压监测器、汽车钥匙、车库门开门器的数据,或家用安全系统传感器的信号,每次攻击都需要执行重复的动作。首先是捕获信号(可能通过软件定义的无线电);之后将这些数据导入GNU Radio,那么必须弄清楚调制、分帧和解码;…
E安全1月16日讯 美国海军陆战队(US Marines)司令罗伯特·纳勒(Robert Neller)上将想招募约3000名精通网络战和间谍的人才,以确保陆战队为21世纪的网络战做好充分准备。 上周四,罗伯特·纳勒在美国海军水面舰艇协会(Surface Navy Association,SNA)年会上表示,他希望下一年国防拨款法案将海军陆战队人员从182,000人扩编至185,000人,扩编的人员将加强网络和电子战能力。 美国海军陆战队网络司令部现有约1000名军事人员和文职人员。他表示,人员需求旺盛。这可能意味…
2016年是历史级黑客攻击事件频发的一年,数据泄露、DDoS攻击、黑客事件和威胁持续占据媒体头条。 随着越来越多的知名企业成为数据泄露的受害者(据网易科技报道2016年数据泄露事件达到近3000起——波及超过22亿份档案。),各家企业非常愿意支付可观年薪吸引各个层次的最好、最睿智的IT安全专业人才,企业用他们的预算散发出这一信息:上不封顶。 现在的高等教育已经开始设立网络安全专业,但实战型人才的养成,还需要更多社会机构的参与,提供更多实战场景训练作为补充和提升。 目前国家相关机构提供的认证培训可以极大程度地为申请人…
根据TorrentFreak网站报道,色情内容盗版者利用YouTube众所周知的漏洞上传并且分享色情视频,他们利用谷歌YouTube服务器存储色情视频,并且是完全免费。 本质上来说,色情内容盗版者利用YouTube上传内容不公开分享的漏洞,使得他们能够有效地在其网站上嵌入存储在Youtube上的视频,并绕过谷歌的Content-ID移除系统。这意味着尽管上传的色情内容未在Youtube上公开,但是仍然存储在YouTube上,并使用GoogleVideo.com域名直接进行服务。 色情内容生产行业已经注意到这个问题,…
一名俄罗斯官员最近表示,俄国每天会遭遇数百次甚至数千次的网络攻击,其中一部分来自美国。当美国方面声称俄国试图利用网络攻击干扰2016年总统大选时,俄罗斯联邦安全会议秘书长尼科▪帕特鲁舍夫则表示俄罗斯自身也是黑客攻击的一个主要目标。他还在一份公开声明中称美国对俄罗斯的指控还无根据,缺乏真实性。“奥巴马政府指控俄罗斯进行黑客攻击,却没有给出任何证据。 他们还故意无视这一事实,那就是世界上的所有主要互联网服务器都在建立在美国国内,并被美国作为保持其主导地位的工具所利用。” 另外,帕特鲁舍夫还称最近俄罗斯所遭遇的网络攻击数…
Windows 10 现在全球台式电脑市场份额已经达到 20% 以上,然而微软面临的挑战是要说服那些 Windows 7 用户升级到 Windows 10 。Windows 7 目前继续成为全世界首选的桌面操作系统,第三方数据显示,它的市场份额仍然接近接近 50%。 随着 Windows 7 官方技术支持即将在 3 年内结束,微软清楚地意识到,它很可能遇到 Windows XP 情况重演,即尽管有明显的安全隐患,Windows XP 大量用户拒绝升级。为此,微软已经开始新一轮攻势,微软德国分公司在一篇博客文章当中…
据外媒报道,底特律三大汽车制造商遭黑客入侵,雇员的姓名、社会安全号码等个人信息泄露。 当地媒体称,通用汽车( General Motors )已经告知员工数据泄露的详情。此前通用公司发现员工的姓名和社会安全号码泄露,并被用于进行失业救济欺诈申请。12 月 31 日,通用汽车公司意识到数据泄露并开始告知员工详情,但是,公司尚且没有调查清楚具体泄露数据的量级。 除了目前已知的通用汽车公司,媒体称另外两大底特律汽车制造商也可能遭黑客入侵。福特和克莱斯勒公司目前依旧“保持沉默”没有做出任何回应,但是,通用汽车告诉员工称:这…
近日欧洲理事会( European Commission )提议修改目前对 Cookies 访问加以限制的草案,试图在用户隐私和网络广告商利益之间取得最佳平衡。 欧洲各国政府普遍认为,个人隐私是法律赋予个人的权利,并采取了相应的法律手段对消费者网上隐私权加以保护。欧盟委员会副主席安德鲁斯称应减轻目前“过于严格( overload )”的 Cookies 限制法令,同时他希望用户能够获得更多对 Cookies 的自由控制,而不用每次都需要点击强制的同意使用确认条,来浏览网页。 据 BBC 报道,新的修改提案的主题思想…
据外媒报道,法国与德国正在为 2017 年即将到来的选举设立网络防御系统,以便应对假新闻和潜在的网络攻击威胁。欧盟和北约也将设立专门的“新闻”鉴别中心,同时强化基础设施抵御可能发生的网络袭击。此外欧洲国家还将监测社会媒体并重点关注权威群体、俄语社区、政党、选民和决策者动态。然而,情报专家认为,欧盟现在建立应对措施实属“亡羊补牢”。 德国总理默克尔曾表示,不排除俄罗斯会干涉今年欧洲国家选举的可能性。欧盟外交部门也将扩大其通讯办公室,该部门于 2015 年 3 月成立,旨在识别和处理假消息以及任何旨在影响国家选举的阴谋…
为了更好保护用户个人信息,快递公司圆通速递近日推出了“隐形面单”。 对此,国家邮政局官方微博发布消息称,圆通速递实行“隐形面单”,面单上并未显示姓名、手机号和地址的全部信息,仅显示了其中一部分内容。 “隐形面单”究竟能在多大程度上保护个人信息?对此,《法制日报》记者采访了业内专家。 “隐形面单”意义或有限 “隐形面单”一经推出,立刻引发社会各界关注。 据圆通速递研发中心高级总监谭书华向媒体公开透露,目前,“隐形面单”主要有三大“隐藏功能”,可实现对用户的手机号、姓名和地址等信息的加密处理。例如,对用户的手机号,会通…
在IT时代,计算机漏洞或编程错误(Bug)是一种常见现象,以至于所有的开发软件都有可能存在缺陷或漏洞。你信或不信,反正漏洞就在那里,只是要么根本没人发现,或者有些人对它进行了测试并公开,而有些人对其测试但未公开(0-day漏洞)。任何软件在其生命周期内都会存在漏洞或缺陷,而那些未被发现的漏洞、缺陷、错误或0-day漏洞将会对软件本身和其应用系统产生严重的信息安全威胁,或造成巨大的经济损失,软件开发的安全性设计和测试工作应该得到更多重视。 在此,我们列举了史上造成数百万美元损失的10大著名安全漏洞,一起来看看: 1、…
最近出现了一种针对亚马逊购物网站的新型钓鱼攻击,真实亚马逊商家以超低价电子产品为诱饵,最终将买家定向到欺诈网站进行支付。如果您打算在亚马逊购物,一定要留心此种网络钓鱼手法,不要因贪图便宜而上当。 此次攻击是由称为Sc-Elegance 的钓鱼商家发起的。长期以来,Sc-Elegance针对亚马逊进行了多次攻击,但却屡禁不止,潜伏一段时间后又再次兴风作浪,让亚马逊颇为头疼。 此次钓鱼攻击的方式 Sc-Elegance在亚马逊网站出售超低价电子产品,诱使买家购买。在您将产品加入您的购物车,然后尝试付款时,您会突然被告知…
美国和俄罗斯围绕总统选举的“黑客门”愈演愈烈,从“口水战”“外交战”升级为“网络战”“间谍战”。鉴于网络战争的现实威胁与日俱增,其对国家安全与发展利益的威胁不容小觑。威胁何在,如何应对? 显然已成各国涉网职能部门的首要任务。“多见者博,多闻者智。”为此,对美俄网络战的前因后果作多维扫描,无疑大有裨益。 网络空间和陆、海、空、天领域一样,与国防行动、军事安全乃至总体国家安全密切相关。与国家维护主权完整,领土、领海、领空安全的军事行动相对应,网络空间也被视为除陆、海、空之外的“正式作战领域”。为此,各国均从国家安全战略…
公民权利组织联盟在去年9月借奥利弗·斯通传记电影《Snowden》上映的机会,发起宣传活动,请求美国总统奥巴马赦免NSA泄密者Snowden。据最新统计,目前该请愿已经收到了超过100万的签名。尽管奥巴马在去年底已经表示不能赦免斯诺登,因为赦免的前提是其必须先按照美国的司法程序出庭受审,并接受公平的指控。 本周五联合国人权理事会在言论自由探讨会议上,报告员David Kaye也敦促奥巴马总统,尽快考虑确保为斯诺登提供赦免,美国法律并不允许斯诺登以公众利益为由而公开泄密,陪审团只会考虑斯诺登是否窃取了政府的机密并公开…