「关注安全」数十亿设备或将受到新的“ BLESA”蓝牙安全漏洞的攻击

如今,数以亿计的智能手机、平板电脑、笔记本电脑和物联网设备正在使用蓝牙软件,需要警觉的是,这些软件很容易受到今年夏天披露的一个新的安全漏洞的攻击。

该漏洞被称为BLESA (Bluetooth Low Energy Spoofing Attack),会影响运行Bluetooth Low Energy (BLE)协议的设备。

据悉,BLE是原始蓝牙(经典)标准的精简版,旨在节省电池电量,尽可能长时间保持蓝牙连接。由于其节省电池的特性,BLE在过去的十年中被广泛采用,成为一种几乎无处不在的技术。

由于这种广泛采用,安全研究人员和学者多年来也多次对BLE的安全缺陷进行调查,经常发现重大问题。

然而,以前关于BLE安全问题的绝大多数研究几乎都只关注于配对过程,而忽略了BLE协议的大部分内容。普渡大学( Purdue University )组成的一个研究团队在着手调查BLE协议后,发现了安全问题。

他们把工作集中在“重新连接”过程上。在配对操作期间,两个BLE设备(客户端和服务器)相互验证之后,就会执行此操作。

当蓝牙设备移出范围,然后再移回到范围内时,也会发生重新连接。

正常情况下,当重新连接时,两台BLE设备应该检查彼此在配对过程中协商的密钥,然后重新连接并继续通过BLE交换数据。

但是普渡大学的研究小组说,他们发现官方的BLE规范没有包含足够强的语言来描述重新连接的过程。因此,有两个系统问题影响了软件供应链:

  • 设备重新连接期间的身份验证是可选的,而不是强制的。
  • 如果用户的设备未能强制物联网设备对所通信的数据进行身份认证,则可能会绕过认证。

这两个问题为BLESA攻击打开了大门——在此期间,附近的攻击者就可以绕过重连接验证,并向带有错误信息的BLE设备发送欺骗数据,并诱导使用者和自动化流程做出错误决定。

随后,研究人员分析了多种用于支持不同操作系统,包括基于linux的物联网设备、安卓、iOS等上的BLE通信的软件栈,都容易受到BLESA攻击,而Windows设备中的BLE堆栈则不受影响。

虽然可以通过更新来修复漏洞,糟糕的是,根据以前BLE的使用统计数据,研究团队认为使用易受攻击的BLE软件栈的设备数量有数十亿。其中,有一些早期的设备并未内置更新机制,这意味着这些设备将永远无法修补漏洞

目前,这些设备的软件供应商对它们束手无策,正在等待一个补丁。

Google Chrome浏览器推出了安全DNS以提高用户隐私

Google的浏览器是目前最流行的浏览器之一,虽然很多国内用户都不知道chome的存在,但是国内目前大多数流行的浏览器都是基于chome的开源计划完成的,本质上都是加了马甲的chrome

近日,谷歌表示,Android系统中的Chrome浏览器将很快支持dns -over- https (DoH),该协议可加密和保护DNS查询以提高用户隐私。

其实,自Chrome 83发布以来,桌面版本的Chrome浏览器就已经提供了DoH支持。但是,该功能从未添加到Android和iOS版本中。

在今天的一篇简短的博客文章中,谷歌表示他们现在已经决定为Android用户启用DoH功能,在未来几周内将逐步在Chrome移动浏览器中启用DoH功能。

所有使用Chrome 85版本的用户,都将在浏览器的设置中看到一个名为“安全DNS”的新选项。

所有用户都将默认启用安全DNS选项,一旦打开,Chrome将尝试以加密的形式(通过DoH)进行DNS查询,并使用传统的纯文本DNS作为应急计划。

谷歌表示,该功能与Chrome的桌面版本具有相同的功能,这意味着用户不必修改Android的整体DNS设置。

取而代之的是,Chrome将使用内部具有DoH功能的DNS服务器的列表,并且如果用户已将其配置为操作系统范围的DNS设置,则Chrome将使用该服务器的DoH接口而不是默认的DoH接口,并用加密的明文DNS查询替换DoH即时查询

此外,如果用户不想将其Android设备的系统范围内的DNS服务器更改为支持DoH的DNS服务器,则Google还可让用户仅为其浏览器自定义Chrome的DoH服务器。

Chrome用户可以使用上面的屏幕快照中的第二个选项“ Choose another provider”,并添加他们要使用的DNS服务器的IP地址。由于此选项是在Chrome的设置中配置的,因此仅适用于Android版Chrome,不适用于整个Android操作系统。

此外,谷歌还表示,如果发现智能手机是托管环境的一部分,比如在企业网络中,针对Android的Chrome也会自动禁用DoH。在这类网络中,出于安全考虑,IT人员通常会部署企业范围的策略来控制公司的智能手机,而DoH有时可能会让用户受到攻击,因此谷歌不会在如此严格控制的环境中强制设置该设置。

另外,Google没有透露DoH何时进入iOS版Chrome。但是,这很可能还有很长的路要走,因为Apple最近才在iOS和macOS中增加了对DoH协议的支持。

「转」虚假机场网站大量浮现! FBI向航空旅客发出网络安全警告

据了解,美国网络监督特工康纳尔·惠特恩(Conal Whetten)周三在新闻界发表讲话时表示,人们需要提高对虚假机场网站的辨别能力。惠特恩还表示,随着网络犯罪分子不断提高其网站模仿能力,这些虚假的域变得越来越复杂,黑客们通过建立一个看起来带有组织徽标,字体,配色方案和书写风格的恶意域欺骗用户,使用户认为他们位于真实可靠的网站上,这对于对旅行者,机场和整个航空业构成了真正的威胁。

对于黑客的此类行为,惠特恩表示:“他们这样做是为了窃取用户和企业数据,同时美国机场网络是一个诱人的目标,因为有丰富的企业和个人信息会在机场官网上出现。”黑客在创建具有相似外观的恶意网站时,域名实际上与它们所模仿的站点相同,通常只是更改了一个字符,这种细微的差异并不容易被用户发现。

根据惠特恩的说法,犯罪分子创建了这些伪造的域,以传播能够危害用户的个人或企业数据的恶意软件,此数据被盗可能最终导致用户的身份盗用和经济损失。

通过虚假订票网站,黑客可以利用用户的社交媒体列表来欺骗他们的朋友和家人,甚至从在线网站进行欺诈性消费由受害者承担费用。据悉,一旦用户在虚假网站上预订了机票,黑客威胁就不会停止。网络参与者可以通过创建欺骗域和Wi-Fi网络来利用这一领域,从而欺骗旅客和机场运营商与恶意网站或电子邮件进行交互。

对于此类虚假网站大量出现的现象,网络安全专家建议用户禁用或删除所有不必要的软件协议和门户,并在可能的情况下使用多因素身份验证。 最后,惠特恩在描述这种特定的网络犯罪有多普遍时表示:“超过96%的公司遭受一种或多种此类形式的域名欺骗攻击。”

转自:www.easyaq.com

【黑客】推特史上最大安全事故:奥巴马、马斯克公开索要比特币!FBI已介入调查

昨天恐怕是Twitter上上下下有史以来最忙乱的一天。

美西时间7月15日中午12点,Twitter——全球最为著名的社交媒体平台,在无声无息中突然被黑客大规模攻击,安全防线全面崩溃。

在几分钟之内,区块链行业内能叫得上名字的大V和官推全部被盗,公开发出同一条文字相同的推文,以慈善的名义向人索要比特币。被“强行乞讨”的官推包括币安、Gemini、Coinbase、Kucoin、Bitfinex、Tron、Bitcoin.org,以及有影响力的个人账号Charlie Lee、 孙宇晨等等等等。

部分被盗账号截图,图片来自engadget

除了币圈的人之外,就连包括美国前总统奥巴马,下一届美国总统竞选人拜登、说唱歌手侃爷,特斯拉CEO马斯克,亚马逊CEO贝佐斯,以及Apple 和Uber 的官方推特等在内的知名账号都纷纷发出了「我!名人!打钱!懂?」的信息。

黑客利用奥巴马的Twitter演戏,图片来自网络

黑客的戏也演得挺全,甚至以奥巴马的身份,在那条诈骗推文下面留言:“已经发了4万美金咯!”

截止目前为止,该诈骗账户已经产生了370余笔交易,总计诈骗金额已经达到12万美元。

目前,Twitter已经开始对黑客展开调查,而由于涉及到重要政治人物,美国联邦调查局(FBI)也已经对黑客的身份展开调查。FBI的介入说明此次事件已经上升到国家安全层面。

在Twitter上骗比特币也太容易了

此次黑客攻击事件,是 Twitter 公司历史上最严重的一次安全事件。无论Twitter公司的危机公关部门之后如何解释这件事,都无法将责任从自己身上洗下去。并且这种安全事故早在几年前就已经发生过。

从 2018 年开始,就有骗子冒充科技大佬及知名加密货币爱好者伊隆 · 马斯克(Elon Musk)。他们使用马斯克的头像,选择一个相似的用户名,然后发布一条仿佛天上掉馅饼一般的推文:借给我一些加密货币,我会还你更多。

此次事件发布的信息与2018年高度相似(此为本次事件截图)

这些骗子甚至会去马斯克的名下企业官推回复消息,例如去SpaceX回复消息,好让假账户看上去更真实。骗子还会通过水军散播虚假推文,也是为了增加真实性。这种【高仿号】诈骗的行为居然在Twitter上持续了数天之久。

尽管Twitter后来封禁了这些高仿号,但根据《独立报》在2018年11月的一份报告中显示,2018年在Twitter上冒充马斯克的诈骗者已经骗取了价值数十万美元的比特币。

而对于这次的事件,美国著名科技记者尼克 · 斯塔特(Nick Statt)表示:“这些知名大公司的官推和名人们的账号,都被卷入了这场Twitter史上最大的黑客攻击事件中,发布比特币诈骗信息。并且从美国东部时间下午4点开始发布诈骗推文直到5点45分这一个多小时中,Twitter始终没有做出任何回应和措施,大部分受害者也正是在这一个多小时中跌进诈骗陷阱的。”

两小时后 Twitter 简单地表示:公司已经禁用了认证账户的发推功能,或者已经重置了他们的密码,同时公司正在努力调查攻击的根本原因。

但是就在 Twitter 说明情况之前,许多用户已经发不出推文了。

Twitter对于此次事件的回应,图片来自Twitter截图

2018 年和这次的事件让人们看清楚了三件事。第一,总会有人上当受骗,每一次有人上当受骗,都会让其他诈骗者看到其中的巨大利益;第二,Twitter 对这种安全事件的处理缓慢,远不及该公司一早许下的会严肃对待这些问题的承诺;第三,Twitter的安全政策和技术手段往往是在诈骗事件发生后才制定实施的,这种做法几乎等于【亡羊补牢】。

既然事情已经发生,那么搞清楚黑客使用什么方式盗取用户账户密码才是最关键的事情。

大面积的盗号,黑客真的只为了骗钱?

根据《Vice》杂志的安全记者约瑟夫 · 考克斯(Joseph Cox)的报道,地下黑客社区的成员之间分享的屏幕截图显示,有人可以访问 Twitter 内部用于管理账户的工具。

考克斯表示:“有两名地下黑客社区的网友向媒体提供了一个内部控制面板的屏幕截图,称Twitter 的员工就是使用这个内部控制面板管理账户。” 而一名消息人士称,Twitter 的这个控制面板是用来更改某些账户的所有权。目前,Twitter 已经删除了这些控制面板的截图,并以【内容违反社区规则】封禁了发布这些截图的账户。”

根据考斯克的说法,这次安全事故并不是一次简单的黑客攻击。根据他的猜测,此次Twitter被攻击有可能存在两种情况:1.黑客成功破解了Twitter的用户管理系统;2.Twitter公司内部出现了内鬼,他利用职权盗取大V的账号并牟取私利。

图片来自The Verge

而根据Twitter公司说法,公司的安全人员检测到了一种协同式社交工程攻击。黑客成功锁定了一些具有访问内部系统和工具权限的员工,并通过社交工程攻击的方式盗取了他们电脑中的文件和权限。

那么什么又是社交工程攻击呢?

首先,攻击者会冒充客服人员通过电话或电子邮件的方式与攻击对象取得联系。建立信任关系之后,再以客服的身份将被攻击者的注册邮箱更改为属于攻击者的邮箱地址,再将密码重置的邮件发送到新的地址中取得用户的密码。经过以上几个步骤,攻击者便完全掌握了账号信息。

若黑客有政治性目的,那后果会十分严重,图片来自网络

而黑客只要不通过Twitter发送任何诈骗信息的话,用户就永远不会知道账号密码已经被黑客获取了。这就意味着黑客完全可以在收集了大量的账号后,在一个特定的时间节点集中发送推文,从而制造大规模的事件。

至少从这次事件来看,是这样的。并且Twitter对这次事件的处理不力,还有可能将此次事件的影响扩大。

虽然此次黑客入侵的动机和来源尚不清楚,但合作入侵世界领导人、名人和大公司已认证账户的做法令人恐惧。Twitter已经成为全球最大社交媒体之一,许多医疗和服务机构都通过Twitter来发布信息。例如,伊利诺伊州林肯国家气象局在认证账户被禁言前,刚刚发布了一条龙卷风警告。那些依赖这个账号了解龙卷风后续情况的用户们,这下可能要倒霉了。

两条推特中间相差三个小时,图片来自Twitter截图

想象一下,假设是带着某种政治意图的人控制了这些账号,那么极有可能会导致国际误会。并且现在距离美国大选已经不到四个月的时间了,这样大规模的黑客攻击无疑让人们开始恐惧更加严重的后果。

同时,虽然Twitter公司在事件之后封禁所有认证账户的发推权限是不得已而为之,但这种方法仍然需要商榷。

避免同类事件?加强监管才是硬道理

作为成功的社交软件,人们可以在Twitter自由自在的发表自己的言论和看法,但是频繁出现的安全事件,只会让人们对社交平台的信任越来越低,最终导致用户流失。

可是,这样的事件就无法做出有效的预警和避免吗?答案是否定的,在言论自由的现代社会,社交平台作为各种信息的集散点,也应该担起属于自己的责任。

小探认为,如果要避免同类事件的发生,Twitter至少需要改善以下三点。

首先,平台下场监督任何金钱活动。在认证账号发布任何涉及金钱的抽奖、返利活动时,需要官方平台监督发布者根据既定的规则进行公平抽取并公示。并且建立相对完备和快速的申诉渠道,这样就能避免活动发起者不发奖的出现。

Twitter应该严格监督任何与金钱来往有关的推文,图片来The Verge

其次,完善且反应迅速的审核和预警机制。在一个合格的社交网络中,用户能自由自在的上传和发表自己的内容和看法。但是在言论自由的情况下,对重要信息的审核就尤为重要。而在今年的疫情期间,Twitter在审核消息方面的成果就显得非常失败,比如对于注射消毒液就能杀死新冠这样的谣言。

虽然当时许多用户发推讽刺这种说法并配上『佯装注射』的图片,但这种类型的推文却没有被打上的风险标记,且官方也未将专业卫生机构的辟谣信息置于该类信息搜索页的顶部,这就会让我一些医学常识匮乏的人信以为真,从而导致危险发生。

部分Twitter用户发推讽刺该说法,但页面中完全没有相应提示,图片来自Twitter截图

第三,对于相关政府账号的区别保管。如上面所说,有许多社会服务机构、政府机构、国家领导人等通过Twitter进行公告发布,而这些消息通常与社会民生和国际关系息息相关,保证这种类型账号的安全比其他类型的账号更为重要。那么,为了防止这类账号被盗而导致社会动荡甚至国际误会的产生,Twitter是否可以通过技术手段对这些账号进行特殊的保护或者设置特别的登录验证方式来保证账号的绝密性和安全性呢?

当然,上面的一切猜测都需要Twitter公司有所作为才能成为现实。而目前,我们只需要等Twitter对此次事件的细节公示和一个满意的答复。

图片来自网络

总之,无论平台做出怎样的防范措施,还是会有不法分子会通过各种各样的方式来进行诈骗。与其让平台列举出形形色色的管理条款,不如我们自己从一开始就擦亮眼睛,识别诈骗信息。

毕竟,最可怕的黑客,是我们贪婪的欲望;而最好的防御,就是抵抗欲望的坚强意志。

转自:硅谷洞察

UPnP協定漏洞波及數十億連網裝置,可造成DDoS攻擊

安全研究人員Yunus Çadirci發現IoT裝置仰賴的UPnP協定存在安全漏洞,可讓駭客用來掃瞄網路、竊密,或是以物聯網用來助長分散式阻斷服務攻擊(DDoS)。

安全研究人員發現IoT裝置仰賴的UPnP協定存在安全漏洞,可讓駭客用來掃瞄網路、竊密,或是以物聯網用來助長分散式阻斷服務攻擊(DDoS)。

編號CVE-2020-12695的漏洞是由土耳其研究人員 Yunus Çadirci發現,和UPnP協定有關。UPnP跑在UDP port 1900埠及TCP埠,用於物聯網裝置尋找與控制的區域網路(LAN)上其他鄰近裝置的網路協定。但是UPnP協定是為受信賴的LAN裝置而設計,因此缺少流量驗證機制,不良預設可能給遠端攻擊者下手的機會。

研究人員發現UPnP SUBSCRIBE功能中的Callback header值可能被攻擊者操控,而造成了類似伺服器端的請求偽造(Server-Side Request Forgery,SSRF)漏洞,又被稱為CallStranger。CallStranger可被用來造成多種攻擊,像是繞過資料洩露防護(DLP)及網路安全裝置,引發資訊外洩、從連上網際網路的UPnP裝置掃瞄LAN網路的傳輸埠,或是以這些UPnP裝置為基地造成進一步、規模更大的反射式TCP DDoS攻擊。講得明白點,就是這些家用或企業產品,可能被用來發動DDoS攻擊。

Çadirci指出,全球數十億連網產品,包括路由器、電腦、印表機、遊戲機、TV、IP攝影機甚至對講機等,都受CallStranger漏洞影響。

研究人員發現本漏洞後,於去年12月首度聯絡標準制訂組織開放連網協定(Open Connectivity Foundation,OCF),後者今年4月才釋出新版規格,而且由於這是存在於UPnP本身的漏洞,相關廠商也花了好一段時間來修補。

ISP和DSL/纜線路由器廠商應檢查其產品的UPnP協定,廠商應升級新版規格以修補SUBSCRIBE功能。ISP則可以關閉由外部網路的UPnP Control & Eventing傳輸埠。企業用戶應在裝置廠商升級前,實施網路深度防禦措施。至於一般家用戶,研究人員表示不需關閉UPnP,只是要確保UPnP裝置沒有曝露在網際網路上。

這不是UPnP第一次傳出漏洞問題。2018年安全廠商Imperva發現UPnP協定的UPnProxy漏洞,可能讓駭客用來發動進階持續性滲透(APT)攻擊或是分散式阻斷服務攻擊(DDoS)。

【提示】避免微信被封指南,微信被封号了,别怪我没有提醒你,官方提示:别乱扫码!

随着人们越来越离不开微信,依靠微信而生的行业越来越多。不过,这些行业大多是游走在法律边缘的黑产,小到文章刷量刷投票、卖茶小妹之类,大到菠菜、杀猪盘等等。(别说你没有听说过)

可以说,你可以在微信上见识过网络中99%的骗局。

对于这样的情况微信自然不会放过,根据微信安全中心的公告,微信不仅在举报机制上启动了多项安全策略,还在账号的注册上进行了多项限制。

曾经有个朋友想注册一个微信号,结果才完成邀请账号这一步,新号就被封了。可以说,微信现今的封号机制是史无前例的严厉,也正因如此,不法分子遭遇了严重打击。

那么,不法分子的账号被封禁了又该怎么办呢?

重新注册重新买?成本太高!在市场中一个微信注册的年限越久远账号售价就越高,曾经网络流传出一个2010年注册的微信卖到了几千元,真假我们姑且不论(我觉得百分之百假的)但是这也从侧面说明了如今微信账号的价值。

购买手机卡重新注册微信?

这种方法的成本同样很高,假如你有一张用了一年的手机卡加上注册时间超过三年的微信邀请都无法注册新的微信账号,可见难度之大。

不得已,不法分子只能盯上微信自带的解封操作。由于微信加大了解封操作的难度,不法分子往往会假借各种名义让你帮忙。

【提示重点】近日,微信安全中心就发现了一个现象,有团队假借微信的名义举办“微信安全辅助功能推广活动”,参加活动即可获得一些小礼品之类。对此,微信安全中心表示,微信从未举办过此类活动。

如果我们贪图免费的小礼品帮忙解封又会发生什么样的结果呢?很简单,可能被封号。

可千万别以为我是在吓唬你,根据《微信个人帐号使用规范》指出,“诱导或欺骗他人为自己注册、解封微信号进行辅助验证”属于违规行为,“恶意为他人注册、解封微信帐号进行辅助验证”也属于违规行为,腾讯将根据情节对解封帐号进行再次封号或永久封号处理;对违规辅助他人解封的帐号限制使用微信全部或部分功能、进行短期或长期封号处理。

也就是说,当你贪图便宜的小礼品帮助别人解封时,你的微信就走在了被封号的边缘。

说了这么多,还有哪些行为会导致微信账号被封呢?

• 双开和多开微信:

如果大家在使用双开应用(包括手机自带的双开),那么请一定要注意,微信检测到的话,是有权利对你进行封号处理的。

根据腾讯微信软件许可及服务协议第八条的软件使用规范,用户对微信运行的数据进行删减复制等操作都属于违约。

而违约处理的结果就很简单了,根据违约处理8.5.1条,腾讯有权不经通知随时对相关内容进行删除、屏蔽,并视行为情节对违规帐号处以包括但不限于警告、限制或禁止使用部分或全部功能、帐号封禁直至注销的处罚,并公告处理结果。

• 外部链接:

如果是正常是外部链接是没有问题的,但是如果是一些拼团类、金融类、采集个人信息的链接,那么微信也是会对发布的账号进行封号处理的。

• 发布虚假信息:

相信这个不用黑马解释了,这种行为不仅会封号,还会被拘留甚至承担更严重的法律责任。

• 出租微信号:

这一点大家一定要注意了,在很多兼职平台上我们经常可以看见出租微信号,不法分子很可能会将你的微信账号“打扮一番”从事诸如诈骗、色情等违法活动,而这些违法活动,不仅会被封号,还会被追求法律责任。

(上述行为全部会被封号)

以上就是避免微信被封指南,你有没有被微信封过号?

Zoom泄露门:可以任意观看会议视频

由于COVID-19新冠状病毒的大流行,越来越多的用户将工作和社交生活转移到线上,会议应用程序Zoom的用户数量在成倍增长。但是,随着这种线上工作热潮,安全和隐私研究人员也对该应用进行了越来越多的审查,事实证明Zoom不断被发现许多问题。近日据外媒报道,成千上万的Zoom云记录视频在网络上曝光,这也揭露了软件本身的隐私安全性问题。

据悉,由于Zoom对其会议记录的命名方式存在问题,大量的Zoom会议视频被会议发起者上传到了不同的视频网站和视频云。目前,许多视频都被发布在未受保护的亚马逊云计算平台上,使得通过在线搜索找到它们成为可能。而且这些泄露的视频,被其他用户扫描后上传到了YouTube、Google、Vimeo等各大视频门户网站上。人们通过这些泄露的视频可以看到治疗会议、商务会议、小学上课等记录。事件发生后,Zoom已经被告知这个问题,但不清楚该公司是否会改变其视频的命名方式,或者是否会保护亚马逊托管的视频。

对此,安全研究员肯恩·怀特表示, 此次事件表明Zoom从未具有最核心的安全和私有服务,而且Zoom的系统中肯定存在一些关键漏洞。但是在许多情况下,为了线上会议,大多数公司和个人没有很多其他选择。

根据研究,即使在COVID-19新冠状病毒大流行发生之前,Zoom应用的开发团队也是优先考虑易用性而不是安全性和隐私性问题的。早在去年夏天,一位研究人员就发现了Zoom的一个漏洞,该漏洞主要关于Zoom如何无缝地将用户加入呼叫链接并共享其相机内容,对此Zoom无需进行任何初步检查就可以让用户启动该功能。这是非常不安全的,因为这意味着攻击者可以通过精心设计该功能链接,从而使他们可以一键立即访问用户的相机。

对于Zoom此次的隐私安全问题,Zoom创始人兼首席执行官Eric Yuan在公开声明中写道,公司正在暂停功能开发,以便其工程师专注于安全性和隐私保护方面的技术改进。Yuan表示,在接下来的90天之内,Zoom还将进行第三方安全审核和渗透测试,扩大其大赏金计划,并在公司层面预计从政府和执法机构等组织收到一份透明报告。

此次事件提醒我们每一个开发者,在任何软件的设计之初都要考虑两方面问题,一是功能,二是安全;作为消费者更是要了解一个软件的安全情况后再使用这个软件,不要因为免费好用就肆无忌惮的使用!

记得在刚刚工作期间,项目方只知道要求进度实现功能,从不关心软件的安全测试工作,随着网络时代的来临,那些未经过严格安全测试的软件终将造成不可挽回的损失!

而这些损失又要由谁来负责呢?

你的数据安全吗?

随着网络时代的来临,我们的数据遭受着史无前例的泄漏!

有人会问数据泄漏会带来什么风险?

近年来,国内外数据泄露事件频发。2018年,Facebook遭遇多次的数据泄露事件,涉及近5000万个账户,甚至包括数据分析机构、国家机密等隐私信息;Google因软件漏洞导致5200万用户和企业账户数据泄露,涉及信息包括姓名、电子邮件、性别和年龄等。2017年,Uber承认在2016年底被盗取5700万用户资料,这其中包含用户地址、司机信息等隐私信息,严重危害用户安全;同年国内趣店学生用户数据外泄,其中包含姓名、电话、还款额、滞纳金、逾期天数、学校、宿舍、毕业时间等详细信息。2016年8月21日,徐某某因个人信息泄露,被诈骗电话骗走学费9900元,导致心脏骤停,不幸离世。

这些只是冰山一角!

Ponemon研究所发布的《2019年全球数据泄露成本研究报告》显示,单次数据泄露事件的平均成本为392万美元,平均规模为25575条数据记录,数据泄露平均发现周期为279天,数据泄露成本最大的国家是美国,平均成本高到819万美元,损失最严重的行业为医疗行业,平均成本达到645万美元,而失去客户信任、企业形象损毁等无形资产的损失更为致命且难以估量。

以上数据均来自网络

提示:

数据泄露的发生通常由混乱的数据资产管理,不当的数据资产保护措施造成。数据安全分级分类按照数据敏感度、重要级别等对数据资产进行严格的分级分类,并采取对应级别的保护措施,能够显著的保护数据,有效规避数据泄露风险,是防止数据泄露的重要环节。

微软收购史上最危险域名之一“corp.com” 为对抗Windows黑客攻击

请大家注意:下文提到的漏洞并没有得到修正!

近日据外媒报道,微软已同意以未公开的价格从私人所有者那里购买域名corp.com。根据新闻记者布莱恩·克雷布斯运营的博客KrebsOnSecurity所说,今年2月,corp.com的拥有者迈克·奥康纳决定以170万美元的起价公开拍卖该域名,随后微软已从该域名的所有者手中购买了该域名,具体的成交价格微软并没有透露。据了解,迈克早在26年前收购了corp.com域名,并希望微软有一天会购买它,因为数十万个混淆的Windows PC一直试图与corp.com共享敏感数据。 

据悉,corp.com域名也被认为是史上最危险的域名之一,因为犯罪分子可以由于所谓的“命名空间冲突”原因而滥用该域名。经过多年测试表明,控制该域名的任何人都可以从世界各地数十万台Windows PC中访问无尽的密码,电子邮件和其他敏感数据流。

更具体的说,这个问题来自于管理员在Windows早期版本中设置Active Directory时接受了“corp”作为内部域名,使用了不属于公司的域名是一个非常危险的做法。因为,一旦员工让“corp”作为一个活动目录路径,机密数据就可能发送到它不应该去的地方,比如“corp.com”。

收购成功后,微软在书面声明中对此事进行确认,表示收购corp.com是为了保护其客户的安全性,并表示为了帮助保护系统安全,微软鼓励客户在计划内部域和网络名称时遵循安全习惯。微软称:“因为我们在2009年6月发布了安全公告,并发布了有助于确保客户安全的安全更新,因此在对客户安全的持续承诺中,我们还收购了Corp.com域。”

 

其实,多年来微软公司已发布了多个软件更新,以减少名称空间冲突的可能性,但是这些冲突依旧会对依赖于Active Directory域的公司造成安全问题。但是,长期以来微软一直不鼓励用户使用微软公司并不拥有的域名,但任何负责维护旧版本的Active Directory设置人员都可以证明,清理几十年前留下的烂摊子并不是一件容易的事情。许多管理员可能已经预测到了,为了处理这个问题而关闭整个Active Directory所涉及的挑战可能会是他们难以应对的,因此在之前该问题并没有很好的解决。

 

如今,既然微软已经购买了该域,那么在“ corp”或“ corp.com”之上构建Active Directory基础结构的公司将会受到保护。此次,微软确保corp.com不落入不法之徒之手的举措是明智的,这为公司当前的安全研究员争取了更多的时间来研究这个问题。

勒索病毒(永恒之蓝)变种“WannaRen”大规模传播,目前多数杀毒软件暂时无法拦截

大家还记得“永恒之蓝”吗?(抽空写一篇永恒之蓝的专题如何?)

这次出现的是它的变种,基于数据了解,互联网上出现了一种新型的勒索软件“ WannaRen”病毒,它的攻击行为类似于此前臭名昭著的“ WannaCry”病毒。一旦被入侵它几乎可以加密Windows系统中的所有文件,这些加密文件的后缀是“ .WannaRen”。

据悉,目前“WannaRen”病毒存在两个变体,一个通过文字,另一个通过图片发送勒索信息,由于这次勒索比特币用的钱包地址与2017年的“ WannaCry”相同,基本可以确定这是同一黑客组织所为。在2017年,“ WannaCry”勒索软件至少感染了150个国家和地区的300000台计算机,造成80亿美元的经济损失,影响了当时金融,能源和医疗等多个行业,并严重威胁了社会和民生安全。

 

对此专家表示,目前此类勒索病毒非常普遍,每周都会造成成千上万用户无法访问其文件。像“WannaRen”这样的病毒,其目的很简单,攻击者试图使受害者的最重要文件无法访问,以便可以勒索用户以勒索赎金。

遭到攻击后,如果受害者付款,黑客将发送一个特殊的唯一密钥,使受害者能够从其文件中解除数据加密。由于勒索软件病毒通常不会对系统造成任何其他危害,因此黑客不会利用其他任何手段来勒索用户,所以如果黑客锁定的文件对于用户的价值不大,那么用户一般会选择忽视向攻击支付赎金。在此次病毒的大面积传播中,黑客要求受害者至少支付0.05比特币(约合2500元人民币)赎金以获取解密密钥。

目前,由于Windows 7具有免疫功能,因此弹出窗口没有受到损坏(请注意win7也是要打补丁的),但Windows 10的用户已经确认有受到损坏。还有一些用户报告表示,在系统安装了微软的“永恒之蓝”补丁后,系统仍然会被感染。该病毒的传播不是利用“永恒之蓝”弱点,目前大多数防病毒软件都无法拦截它。因此,建议用户近期不要随便下载运行BT下载器、Office激活工具,同时将系统打好补丁做好常规保护。