工信部信管[2016]407号 各相关单位: 现将《移动智能终端应用软件预置和分发管理暂行规定》印发给你们,请遵照执行。 工业和信息化部 2016年12月16日 移动智能终端应用软件预置和分发管理暂行规定 为推动移动互联网健康有序发展,构建安全可信的信息通信网络环境,依法维护用户的知情权和选择权,促进大众创业、万众创新,规范移动互联网市场秩序,根据《全国人民代表大会常务委员会关于加强网络信息保护的决定》《中华人民共和国网络安全法》《中华人民共和国电信条例》和《互联网信息服务管理办法》等有关规定,制定本…
三视角下谋求秩序 郝叶力(国家创新与发展战略研究会) 核心观点:网络主权可以国家、国际、国民/网民三方,形成一个稳定的三角,可以较好的缓和之前的双方直接对抗态势。 精彩语录:网络主权是对立统一的,中国不会分裂互联网,同一个世界同一个互联网,要构建人类命运共同体。 同心圆中凝聚共识 大潘 核心观点:抓住关键的三支柱,构建稳健的共生关系,在相对稳定中谋求秩序和发展。在治理和博弈中,构建同心圆,用凝聚的共识形成稳定的向心力。听懂彼此 ,共荣共生。 数字化时代的安全生态构建 马斌(腾讯) 核心观点:安全在很大一部分上却涉及…
前言 我在IOActive已经有五年了,我有很多去好地方的机会,经常离家有几千公里远,所以飞行显然是我日常生活的一个组成部分。你可能不认为这是一个大问题,除非像我一样,你害怕飞行。我不认为我可以完全摆脱这种焦虑;几十个航班后,我的手仍然会在起飞时出汗,但我学会了生活,有时甚至享受它……并在飞行中,做一些关于机载系统的攻击研究。 研究飞机上的设备如何在飞机上工作,能帮我减轻恐惧感,并且能习惯于噪音、碰撞、和强烈的气流。这篇文章主要研究机载设备如何在飞机上工作,特别是松下航空电子的机载娱乐系统(IFE)。 两年前,当我…
前言 本文将从实际出发,讲述如何一步步地利用Android中的可信区域(TrustZone)。这里我使用的是华为海思的可信执行环境(Trusted Execution Environment,TEE)。首先我找到了一个可以获得内核权限的漏洞,然后我又发现了一个可以在TEE中执行任意代码的漏洞。以上试验结果证明了在华为海思可信执行环境中任何本地应用都可以执行shellcode这一概念的可行性。 背景 “ARM®TrustZone®技术是一种针对各种客户端和服务器计算平台(包括手机,平板电脑,可穿戴设备和…
前言 在这篇文章中,我们将为读者介绍如何对物联网设备进行安全评估。这里将会详细介绍进行评估所需的基本方法:对于不同的任务需要使用哪些工具,以及如何解决在分析过程中可能出现的问题。本文的目标读者对为对物联网设备安全分析感兴趣的朋友,对逆向工程感兴趣的读者,或者只想了解如何通过技术手段来处理未知设备的读者。 本文的重点不在于揭示某种设备的某种漏洞,而在于阐释影响各种IoT设备的安全弱点,因此,本文介绍的内容同样适用于其他的设备和场景。 分析对象 本文的分析对象是来自eQ-3公司的 MAX! Cube LAN Gatew…
概述 去年,我们的安全团队确认了 CVE-2015-7503漏洞,又名ZF2015-10,这是一个在使用RSA过程中,出现的功能上的漏洞,存在于Zend框架的密码库中。 这个实际漏洞(采用PKCS1v1.5 填充方法的RSA密码“填充预言”漏洞)最初是由Daniel Bleichenbacher在1998年发布出来的。“填充预言”漏洞允许攻击者用一个加密的消息,并多次发送修改过的密文到服务器(每一次得到一个填充错误的标识),根据返回的错误标识,有可能恢复出原始信息。 人们可能希望,任何允许攻击者还原出原始信息的漏洞…
如何入侵乌克兰炮兵部队?俄罗斯黑客是这样做的,先找到这些炮兵经常活跃的乌克兰军事论坛,然后做一个恶意软件Попр-Д30.apk,在这个社区里面传播。终于,成功地感染了数名在乌克兰炮兵部队工作的员工安卓手机,然后再过一段时间,成功追踪到苏制D-30榴弹炮之类的单位。 俄罗斯黑客组织的入侵过程 Попр-Д30翻译为中文是 科尔D30,从小编一点点军事知识来猜测,可能是某种火炮or榴弹炮的型号。这个应用原本由乌炮军军官Yaroslav Sherstuk开发,能够将火炮瞄准时间从数分钟缩短至15秒内。估计是用这个为诱饵…
窃取金融信息和敏感数据的安卓勒索软件Faketoken现又具备文件加密功能。卡巴斯基的研究人员确认称,受害者人数超过16,000名用户。他们监测到了在27个国家的感染,大部分位于俄罗斯、乌克兰、德国和泰国。 卡巴斯基实验室的安全专家识别了一种已知的安卓恶意软件。该恶意软件现又具备类似勒索软件的能力。 研究人员表示,Vxers在传统的移动银行木马中增加了文件加密功能,所以恶意软件既能窃取敏感数据又能锁定手机SD卡上的用户文件。该恶意软件具有混合功能,又被称作“勒索软件银行家”。移动银行木马中的勒索软件功能是一个特例。…
卡巴斯基研究人员近日发布了一款文件解密工具,解决了最新版CryptXXX(v.3)勒索软件造成的威胁。这款工具被纳入RannohDecryptor,这是卡巴斯基实验室的“抗勒索项目”(No Ransom Project)提供的一套免费工具。工具下载见文末。 CryptXXX v.3勒索软件解密工具 之前的解密工具仅对CryptXXX v.3加密的部分文件有效,这款最新工具则可以恢复这个勒索软件加密的所有文件。 最新版CryptXXX是当前最活跃的勒索软件之一,解密器对该软件的幕后黑手来说无疑是一个打击。受Crypt…
据外媒报道,108 名洛杉矶政府工作人员遭到网络钓鱼邮件攻击,最终泄露了 756000 公民的个人信息。 洛杉矶政府办公室 16 日发布新闻稿证实,黑客入侵事件发生于今年 5 月 13 日,政府工作人员遭到尼日利亚黑客发动的钓鱼邮件攻击,108 名员工点击了邮件并提供了用户名和密码。由于职责需要,他们的账户存有机密客户、病人的个人信息。约 756000 人的个人信息被窃取,数据包括姓名、出生日期、社会保障号码、驾驶执照或州身份证号码、支付卡信息、银行账户信息、家庭住址、电话号码、医疗信息等。影响人群涉及评估师、行政…
据外媒报道,当地时间 12 月 20 日,美国众议院司法委员会加密工作组公布年度报告。虽然这份报告并没有明确否定掉执法部门提出的加密法,但它却坚决地表达了对加密政策的反对。委员会称执法部门提出的后门将对国家安全构成威胁。显然,这样的结果对于许多执法部门官员来说是个沉重的打击,在他们看来,设备加密给执法部门调查工作带来了新的威胁。 今年上半年,曼哈顿议员 Cy Vance 就曾指出,他的办公室因苹果加密系统而无法访问 400 多台跟调查工作相关的 iOS 设备。而后门设置的反对者则认为,允许执法部门访问设备的做法将可…
安全公司 IOActive 研究员 Ruben Santamarta 近日表示松下公司开发的机载娱乐系统( IFE )存在安全漏洞,允许攻击者劫持多个管理系统,甚至可以间接访问飞行控制系统。 机载娱乐(IFE)系统由客舱管理视频设备、与飞机和客舱机组人员的接口、座椅设备和座椅上方视频显示器以及相互连接的数据总线和供电线路等组成。 Santamarta 对 13 家主要航空公司的松下航空电子系统进行研究分析发现多个漏洞。研究人员通过视频演示了如何利用 SQL 注入漏洞更改显示器内容,显示高度、速度、飞行路径,控制客舱…
电信网络诈骗 3000元以上可判刑,超50万元最高可判无期,发布诈骗信息网页浏览量超 5000 次,可判 3-10 年;为诈骗分子制作、提供“剧本”,将以诈骗共同犯罪论处。最高法院、最高检察院、公安部 20 日联合发布《关于办理电信网络诈骗等刑事案件适用法律若干问题的意见》(以下简称《意见》),规定诈骗致人自杀,诈骗残疾 人、老年人、未成年人、在校学生等将从重处罚,发送诈骗信息 5000 条以上、拨打诈骗电话 500 人次以上的,以诈骗罪(未遂)定罪处罚。 关注《意见》焦点: ① 如何定罪量刑:发布诈骗网页浏览量超…
上个月,我们发布过一篇相关红白机的Ubuntu漏洞,利用恶意构建的红白机音乐文件就能触发——这是著名安全专家Chris Evans的杰作;实际上,超任也存在这种情况! 上个月Chris Evans陆续针对Linux系统中的GStreamer框架进行了安全分析,发现了针对Linux桌面系统的0-day漏洞。最近,Evans公开了稳定版的漏洞exploit,可利用特制音频文件的隐蔽下载(drive-by download)实现Linux系统入侵。目前,该漏洞可能还将对其它Linux发行版本造成影响。 漏洞原因 在Eva…
《中国网民权益保护调查报告2016》显示,4.8亿网购用户,过半网购过程中遭遇个人信息泄露。 正在提请十二届全国人大常委会第二十五次会议初审的《电子商务法(草案)》,加大对信息安全的保护力度,明确了包括第三方电商平台、平台内经营者、支付服务提供者、快递物流服务提供者等在内的信息安全保护责任主体。提出对未履行保护义务的,最高处50万元罚款并吊销执照;构成犯罪的,追究刑事责任。 这一法律能否有效解决网购信息安全问题?对未来电商发展将产生什么影响? 明确信息保护责任主体:电商平台、商家、支付、快递 《中华人民共和国电子商…
IT人才需求最旺盛的领域中,安全独树一帜。据统计,2014到2015年,美国的网络安全职位数量激增了40%+,有50,000个空缺,之前1年的增长率是16.8%。 安全岗位比技术领域其他方面的增长速度要快得多,虽然这些其他技术领域同样增长很快。同时,(ISC)²2015年的调查发现,62%的受访者称缺乏足够的安全人员,45%找不到适格者。未来5年,全球信息安全劳动市场人才短缺将达150万。 很多公司在找寻人才填充安全岗位上的无力,只会催生薪酬上涨,以及IT人员发展这些技能以谋职的兴趣。薪酬又高,需求又多,而且对安全…
据乌克兰能源公司UKrenergo消息,上周六半夜,乌克兰首都基辅北部及周边地区发生断电,电力公司专家采用人工操作,30分钟后开始逐渐恢复供电,75分钟后已全面恢复。 UKrenergo公司主管Vsevolod Kovalchuk在Facebook上发文称,发生本次事故的原因可能是设备失灵,或者也可能是网络攻击;推测此次事故的原因为“通过数据网络的外部干预”,公司专家及执法部门已发起调查,并称将在不久后发布事故报告。 我们的专家很快就将设备转为手控模式,30分钟后就已经开始恢复电力。大约1小时15分钟左右,电力就已…
根据W3Techs的调查数据显示,目前大约有11%的网站使用了新型的互联网通信协议–HTTP/2,而在一年之前,其占比只有2.3%。 没错,这个新的协议的确可以提供更好的性能,而且也可以与之前的HTTP/1.1兼容,但是我们真的有必要急于升级到HTTP/2吗?虽然协议本身暂时还没有漏洞,但是很多网站在使用这个协议时所采用的实现方法是存在安全漏洞的,这将导致网站的数据流量很可能会被攻击者嗅探到。所以各位网站管理员们在没有十足把我的情况下,建议以观望为主。 安全公司Corvil产品管理部门的主管Graham Ahear…
目前针对Tor的攻击检测方法都是采用主动攻击,本文将介绍一种被动攻击的去匿名化方法。 一、当前Tor网络检测方法 当前对Tor网络的攻击检测一般有以下几种方法: 1.控制出口节点,篡改未加密流量。网站如果没有使用HTTPS协议则出口节点可以看到并篡改明文信息。 2.指纹攻击。Tor网络的数据加密阻止了节点查看用户在线活动,但是控制入口节点后仍可以根据流量的包长度和时序特征分析推断用户正在访问什么网站。 3.端到端的关联。攻击者需要至少运行一个入口节点和一个出口节点,利用入口节点的身份识别能力和出口节点的信息识别能力…
CNN 曾在 2013 年 4 月 8 日 的新闻报道中称 Shodan 是“互联网上最可怕的搜索引擎”。 甚至光是听它的名字,就让人觉得不寒而栗! 那只是三年前对 Shodan 的描述,而三年后的今天,随着物联网的不断普及,Shodan 也将变得更加强大和可怕!对于那些还不了解 Shodan 的人,其实只要举个简单的例子你就会明白 Shodan 的强大。Shodan 可以搜索出,全世界任何联网的设备。例如:连网的电脑和智能手机。如果你觉得这还不够强大!那么我还可以告诉你,它还可以找到诸如,风力涡轮机,交通信号灯,…
对于很多人来说,2017年也许是一个让人充满希望的新纪元,但是对于信息安全专家来说,2017年绝对是非常“可怕”的一年。 现状评估与发展预测 首先,让我们来看一看Gartner公司对于信息安全现状的一些评估和预测: 1. 从现在起至2020年,由于企业信息安全团队的数字化管理能力存在问题,将直接导致60%的数字化企业发生信息安全事件。 2. 从现在起至2020年,60%的企业在信息安全方面的预算将会花在威胁快速检测和安全应急响应上。 3. 从现在起至2018年,25%的企业数据流量将会绕过企业安全…
可疑链接 最近,我们监测到了一条在Skype上传播的URL链接,该URL以LinkedIn网站前缀为主体,并以Skype ID为参数结尾。 hxxps://www.linkedin.com/slink?code=e2nsPHa#jpulusiv=victimskypeid 通常,大多数人对可疑链接会显得非常谨慎,但是,这条以LinkedIn网站开头,并以Skype ID结尾的URL链接非常具有迷惑性,让受害者根本不会引起怀疑,甚至有些接收者还会非常好奇,忙着去点击它!结果是什么呢?!事实是,一旦点击了这条链接,它将…
E安全12月22日讯 俄罗斯黑客组织通过伪造主流媒体公司的网页,使用先进软件工具播放视频广告,并伪装成真正的用户浏览广告,向广告商收费,每日赚取200万~500万美元。 研究人员将此行动称为“Methbot”。Methbot使用虚假注册、并设计成类似媒体(例如ESPN、Vogue和Fortune)的伪造网页,每天在视频广告上生成3亿次虚假广告曝光次数(Impression)。 安全公司White Ops表示,6000多个这样的优质域名被用来行骗,生成超过25万个伪造页面。虚假互联网用户由定制编写的浏览器创建,并通过…
E安全12月22日讯 谷歌公司发布Wycheproof项目,这款开源工具旨在针对各类已知攻击对现有高人气加密软件库进行测试。 谷歌公司推出的Wycheproof项目是一款开源加密库测试工具,意在帮助各开发团队发现当前各高人气加密软件库中的安全漏洞。 该项目在说明中指出,“Wycheproof项目针对各类已知攻击对加密库进行测试。其由谷歌安全团队负责开发与维护,但并不属于谷歌公司的官方产品。” “在谷歌公司,我们经常使用各类第三方加密软件库。遗憾的是,立足密码学层面,任何微波的错误都有可能带来灾难性的后果,而长久以来…