東方欲曉,莫道君行早。踏遍青山人未老,風景這邊獨好!
感謝2017有你陪伴
2018年e安在線不忘初心砥礪前行
打造領先的網路安全人才培訓平台!
東方欲曉,莫道君行早。
踏遍青山人未老,風景這邊獨好。
? 政府舉措
兩部委印發車聯網產業標準體系建設指南(智能網聯汽車)
越南建立成員達萬人的網路部隊打擊「錯誤觀點」
巴西組織首輪伊比利亞——美洲網路防禦演習
韓國將禁止開設虛擬貨幣匿名賬戶
? 網路安全事件
伊朗在爆發大規模抗議活動後切斷部分城市互聯網訪問
三星 Android 瀏覽器爆嚴重「同源策略」漏洞,或影響數億移動設備
Web追蹤器竊取用戶名,所有主流瀏覽器均受影響
研究稱智能手機感測器可以泄露你的 PIN 碼
3年前披露的14款WordPress 惡意插件如今仍被數百個網站使用
? 數據統計
2017 年最弱密碼公布,123456 穩坐第一
? 人才培養
網路安全問題為何頻繁?安全人員存在巨大缺口
政府舉措
兩部委印發車聯網產業標準體系建設指南(智能網聯汽車)
工信部和國家標準化管理委員會正式對外發布《國家車聯網產業標準體系建設指南(智能網聯汽車)》(以下簡稱《建設指南》),文件指出,到2020年,初步建立能夠支撐駕駛輔助及低級別自動駕駛的智能網聯汽車標準體系;到2025年,系統形成能夠支撐高級別自動駕駛的智能網聯汽車標準體系。(來源:工信部)
越南建立成員達萬人的網路部隊打擊「錯誤觀點」
越南人民軍總政治部副主任阮仲義上將2017年12月25日宣布,越南已成立"Force 47"的網路部隊,這支部隊配備1萬人以打擊網上的「錯誤觀點」,並且已在執行任務。據悉,"Force 47"的網路部隊的重點打擊對象是社交媒體網站。
在越南9300萬的人口中,網民佔比達到近63%。阮仲義表示,越南的互聯網高增長率有利有弊,不利的一面是,敵人會利用互聯網製造混亂。他補充稱,越南中央軍事委員會有志於建立一支常備部隊打擊錯誤觀點。越南軍方與越南的政府部門合作建立一個裝備精良的網路戰部門。(來源:E安全)
巴西組織首輪伊比利亞——美洲網路防禦演習
巴西於2017年10月23日至27日期間在巴西利亞電子戰訓練中心(葡萄牙語簡稱CIGE)舉辦了第一輪伊比利亞——美洲網路防禦演習。
此次演習彙集了來自阿根廷、巴西、哥倫比亞、墨西哥、葡萄牙以及西班牙的多位現役人員; 加上來自秘魯的觀察員,總參與人數達到55名。參與者們在模擬環境中就數據系統的識別技術與漏洞利用等知識接受了培訓。此外,參與者分享了與系統以及網路安全措施相關的信息。各參與國皆有機會分享技術信息,並藉此加強各方合作關係,「知識共享」是維繫網路防禦能力的根本所在。
巴西軍方在網路防禦方面一直處於領先地位。巴西國防部還建立起一套電子戰理論體系,並最終於2012年通過了《網路防禦政策》。其目標在於共同確保武裝部隊能夠有效利用網路空間(包括作戰籌備與使用),同時防止或阻礙其被用於組織有礙巴西國防利益的活動。(來源:E安全)
韓國將禁止開設虛擬貨幣匿名賬戶
韓國政府於 12月 28 日發表聲明稱,該國將推行額外措施,以監管比特幣交易中的投機行為。這些措施包括禁止開設匿名賬戶、在司法部要求下關閉虛擬貨幣交易所等措施。
聲明中稱:「 政府已多次警示,虛擬貨幣不能作為實際貨幣,有可能因過度波動性導致高損失。」 聲明中還提到,韓國交易所的多數虛擬貨幣價格比其它國家交易所要高很多。此前於 12 月 13日,韓國正式宣布抑制加密貨幣投機的措施,包括禁止金融機構持有加密貨幣和進行加密貨幣投資,尋求阻止未成年人和非居民進行加密貨幣交易。同時,韓國財政部將考量針對加密貨幣徵稅的可能性。(來源:新浪科技)
網路安全事件
伊朗在爆發大規模抗議活動後切斷部分城市互聯網訪問
12 月 28 日伊朗突然爆發反政府示威活動,至今已持續 4 天。更為嚴峻的是,示威遊行已經快速擴散,蔓延到包括德黑蘭、馬什哈德、哈馬丹、沙赫魯德在內的多個主要城市。
反對政府示威浪潮是由對經濟困難、物價上漲以及腐敗現象的不滿所引起。據悉,這也是 2009 年以來爆發的最大規模的抗議活動。
有報道稱伊朗政府已經切斷了發生抗議的幾個城市的互聯網訪問。一個擁有超過四千萬伊朗用戶的 Telegram 頻道被指煽動暴力行動而遭關閉,Telegram 在伊朗也將面臨被屏蔽的威脅。(來源:鳳凰網、路透社)
三星 Android 瀏覽器爆嚴重「同源策略」漏洞,或影響數億移動設備
網路安全研究人員 Dhiraj Mishra 近期披露了三星 Android 瀏覽器一處關鍵 「同源策略」( SOP )漏洞(CVE-2017-17692),該漏洞存在於三星互聯網瀏覽器 5.4.02.3 版本或更早版本之中,可允許攻擊者在用戶訪問惡意網站後竊取密碼或 cookie 會話等重要信息。
三星公司也表示:「補丁已經在我們即將推出的 Galaxy Note 8 中預裝,其應用程序也將於 10 月份通過 App Store 更新進行更新」。目前,Mishra 已在 Tod Beardsley Rapid7 團隊 Jeffrey Martin 的幫助下發布了一款基於 Metasploit 模塊生成的 POC。(來源:hackernews.cc)
Web追蹤器竊取用戶名,所有主流瀏覽器均受影響
普林斯頓CITP中心的隱私專家警告稱,廣告公司和分析公司能夠使用隱藏的登錄欄位從瀏覽器中提取站點用戶名並將訪問站點的非認證用戶和用戶在該域名上的資料或郵件捆綁在一起。這種濫用行為是很有可能存在的,因為所有瀏覽器中都包含的登錄管理器中存在一個設計缺陷,這個登錄管理器用於讓瀏覽器記住某個站點上用戶的用戶名和密碼並在用戶再次訪問時自動插入登錄欄位中。
知情人士透露,除了 Brave 瀏覽器之外,其他主流瀏覽器似乎都容易受到這種類型的攻擊,例如基於 Chromium 的瀏覽器在用戶點擊頁面時披露用戶密碼。研究人員目前已提出解決方法:廠商將瀏覽器設置為僅在用戶與實際需要登錄的欄位交互時再自動填充即可。(來源:hackernews.cc)
研究稱智能手機感測器可以泄露你的 PIN 碼
新加坡南洋理工大學的研究人員Shivam Bhasin 博士創建了一個系統,從加速計、陀螺儀、磁力計、接近感測器、氣壓計和環境光線感測器收集數據。隨後研究人員利用深度學習演算法來分析數據,將特定感測器讀數與屏幕鍵盤上的特定數字進行匹配,正確猜測手機的PIN碼。
Bhasin 認為,可以想像的是,人們可能會不知不覺地利用技術將惡意軟體下載到手機上。在訪問手機的感測器和獲取用戶的 PIN 後,程序會將信息傳輸給能夠解鎖手機的人。
為了防止這種情況發生,他建議手機操作系統限制對手機感測器的訪問,以便用戶只能授予可信任應用程序的許可權。(來源:cnBeta)
3年前披露的14款WordPress 惡意插件如今仍被數百個網站使用
WordPress團隊最近發現官方插件目錄被人為更改,導致原本已屏蔽的舊插件頁面仍然可見,並且所有插件都包含有惡意代碼的頁面。這表明在官方於2014年發現並刪除的14個WordPress 惡意插件在三年後仍有數百個站點還在使用著。這些惡意插件可能允許攻擊者遠程執行代碼,導致網站信息泄露。
為了保護用戶免受惡意插件的侵害,一些專家曾建議WordPress團隊從官方插件目錄中刪除惡意插件時提醒網站所有者,但這一想法被 WordPress 團隊以「可能致使站點面臨更大安全風險」的由否定。目前,為了抵禦一些主要的安全威脅,WordPress 開發人員在發現被感染的插件後會將其回滾到最後一個「乾淨」的版本,並將其作為一個新的更新強制安裝在所有受影響插件的站點上。這樣既能刪除惡意代碼、維護網站安全,同時也能保證網站功能不受影。(來源:hackernews國際)
數據統計
2017 年最弱密碼公布,123456 穩坐第一
2017 年發生過多起大型數據泄露事件。專家調查統計了黑客泄露的 500 萬個密碼,發現「123456」依然是網友最常用的密碼,並且這個數字組合,從 2016 年起就坐穩榜首!
此外,很多人圖省事,在多個網路賬戶使用同一個密碼,而一旦一個網站的個人數據泄露,用戶的所有賬戶都面臨風險。報告建議可以使用一些密碼管理應用程序,或者手機簡訊驗證碼等方式,密碼應該經常修改,不同賬號使用不同密碼,當然最重要的第一步就是不要使用那些常見的「最爛」密碼,以避免遭遇入侵或信息泄露帶來的損失。(來源:新華社)
人才培養
網路安全問題為何頻繁?安全人員存在巨大缺口
網路安全儼然成為了近年來網民最關心的話題,而類似於Wannacry等勒索軟體的頻繁爆發讓網民對於安全充滿了擔憂。網路犯罪之所以逐年升高的重要原因之一就是網路安全人員的匱乏,在公司運轉、安全維護方面給黑客有可乘之機。 援引英國衛報近期對招聘機構的調查顯示,81%的人認為市場對數字安全的需求在不斷上升,但只有16%的人認為這種需求會被得到滿足。
BCS外聯事務主管Adam Thilthorpe呼籲採取相應的措施來彌補技能方面的差距:我們需要政府和企業合作形成一系列完善的推進機制,在教育、實習和多元化方面切入推薦。我們應該招募更多的女性、少數名字甚至培訓年齡較大的工作人員來填補空缺。(來源:cnBeta.COM)


※2017年最嚴重的七大數據泄露事件
※有圖有真相,看點兒不一樣的信息安全快訊
TAG:e安在線 |