作者： 安华金和

​2013年，棱镜监控丑闻的曝光让公众对个人隐私的关注和警惕提升到前所未有的高度，诸多主流服务的替代产品和服务也应运而生。而且在电子前言基金会等机构的强烈推荐下，很多用户开始使用替代产品，在这样的大背景下DuckDuckGo的活跃用户数量和知名度提到了快速提升。 根据Alexa.com网站提供的最新数据，过去一年DuckDuckGo在全球市场的热度已经翻倍，成为全球第400大热门网站。如果按照国家...

本周，维基解密发布了新一款 CIA 工具 AngelFire。AngelFire 是一款框架植入工具，可以作为永久后门留存在被感染系统的分区引导扇区中，对目标系统进行永久远程控制。泄露的用户手册显示，AngelFire 需要获得管理员权限才能成功入侵目标系统。 与此前的 Grasshopper、ELSA、 After Midnight 类似，AngelFire 也是一款永久性框架，可以在目标系统（...

近年来，各行业用户对于数据安全的建设目标，正在逐渐从“单纯防外部攻击”转向“内外部环境下的数据安全使用”，这种视角的转变代表企业和组织更加重视数据流转过程中各个环节的管控，对于企业核心数据的访问来自应用和运维两方面，而运维人员具有更高操作权限。 目前在信息化建设较为成熟的大型集团或组织，已经形成了详细的运维工作管理要求，以某运营商行业的信息安全管理规范为参考，能够梳理出组织和企业对于数据运维安全，...

黑客团体OurMine此前攻击的目标主要是科技圈内的CEO、企业和新闻网站，通过社交账号存在漏洞来兜售自家的安全服务。今天，该黑客团队对维基解密网站（WikiLeaks.org）发起了攻击，目前主页面显示：“Hi，我们是OurMine（安全团队），不要担心我们仅仅只是为了测试你的...Oh等等，这并非一次安全测试！Wikileaks，还记得当时你是怎么挑衅要我们入侵试试的吗？” 在信息上继续写道：...

日前由安华金和攻防实验室发现并提交的国产数据库漏洞，获国家信息安全漏洞平台CNVD确认，编号CNVD-2017-17486。 CNVD-2017-17486 漏洞类型：缓冲区溢出漏洞 威胁程度：中危 漏洞描述：允许攻击者利用漏洞，通过程序创建表空间文件时，指定路径名过长导致数据库崩溃。 漏洞危害：一旦被利用，将可能导致数据库宕机，或被攻击者取得数据库操作系统的用户权限，从而对系统所在的网络发起攻击...

OpenSSL 官方网站在 8 月 28 号发文称，过去几年，中国对于 OpenSSL 的兴趣程度，着实令其感到惊讶。Steve Marquess 补充道：“不过随着接触的增加，以及接收到了来自中国捐助者的大力支持（特别是锤子科技），我们对这个技术发达的国家的了解也更加深入”。此外，他已收到了来自白云山科技（BaishanCloud）的邀请，将以个人名义拜访中国，并与感兴趣的 OpenSSL 用户...

此前Zimperium zLabs安全研究团队的Adam Donenfeld（@doadam）研究员已经声明将出席安全会议，并且在会议上分享iOS 10.3.1的漏洞成果，另也建议想越狱用户不要升级至iOS 10.3.2版本上，然而他们团队所提供给苹果的8个AVEVideoEncoder内核漏洞，将会是够让iOS 10.3.2以下的设备进行越狱的关键漏洞。 Adam Donenfeld也表示没有计...

​前言 来自移动安全公司Zimperium的研究员Adam Donenfeld公布了zIVA内核漏洞利用程序的PoC代码。zIVA影响iOS 10.3.1及之前版本，攻击者能够通过zIVA利用代码获取任意读写和根权限。 苹果公司5月份修复漏洞 苹果公司于5月份修复了zIVA漏洞利用程序中的8个核心漏洞，其中1个影响IOSurface内核扩展，其它7个影响AppleAVE Driver内核扩展。 即...

根据 0day 中介公司 Zerodium 周三公布的最新收购报价，该公司向流行消息应用 Signal、FB Messager、iMessage、Viber、WhatsApp 、微信和 Telegram 的远程代码执行和本地提权漏洞开出了最高 50 万美元的报价。如图所示，该公司对 iPhone 越狱方法开出了最高 150 万美元（零用户交互）和 100 万美元的收购价， 这两个报价还是在 201...

“重建设 轻管理”一直是我国各行业信息化发展的主要困境，这个问题在数据库系统的建设、管理工作中同样存在。近年来，这种局面造成的后果已开始明显显现：各类来自内部或第三方外包人员的数据泄露、丢失和被篡改事件频频发生，由此导致的珍贵数据资产损失和相关系统功能瘫痪等情况，如同紧箍咒一般，三不五时地刺激着运维部门本就紧绷的神经。 数据库运维安全现状 数据库运维人员需要承担数据库系统的权限分配、故障处理、性能...

​来自移动安全公司 Lookout 的研究人员最近发现，不少 Android 平台的合法 App 所用的广告 SDK 会秘密窃取用户数据，这款恶意广告 SDK 就来自中国，而 App 窃取到的数据则会发往国内的服务器。这其实已经不是国内的广告商第一次出现这种情况了。 包含恶意 SDK 的 App 下载量过亿次 这款广告 SDK 来自国内一家名为 Igexin（个信）的公司，从 Lookout 的报...

国家级的对手能审查 Tor 回路和对匿名网络发动去匿名攻击。Tor 允许用户将指定地理区域排除在回路选择之外，但这项功能向用户提供的只是虚幻的控制，事实上没多少效果。测试显示，选择排除美国 Tor 节点但实际上只有十分之一的时间避开了美国区。在上周举行的 USENIX 安全会议上，马里兰州大学的三名研究人员报告了（PDF）他们开发的 DeTor 技术，真正帮助用户在 Tor 网络中避开一个特定地理...

去年 10 月份的时候，来自 Mirai 僵尸网络的巨大流量，击溃了互联网上的诸多门户，导致美国东北部地区无法访问亚马逊、Netflix 等服务。这段痛苦的回忆，让我们再一次留意到了互联网的脆弱性、以及不安全的物联网设备所带来的危险隐患。不过根据 Usenix 大会上公布的一项最新研究，造成广泛损害的幕后攻击者，可能只是想要把人们从 PlayStation 网络中踢出去。 来自 Google、Cl...

据外媒报道，一群学生黑客演示了如何用音乐将智能设备变成监听器。这种技术将人耳听不到的声呐信号植入到智能手机或电视机播放的歌曲中，然后利用这些设备的麦克风或音箱来监听声呐信号的反射方式，从而跟踪附近人的一举一动。 华盛顿大学的研究团队CovertBand是这项技术的开发者。他们利用一台42英寸的夏普电视机在西雅图五个不同的家庭里分别进行了试验。 他们发现，这种技术能够准确跟踪监听18厘米范围内多个人...

自《网络安全法》生效以来，与其相关的执法行为逐渐走向常态。本文收集了2017年6月1日至8月18日间各地落实《网络安全法》相关规定的执法案例，包括： 腾讯微信、新浪微博、百度贴吧涉嫌违反《网络安全法》被立案调查；BOSS直聘被网信办责令整改；汕头某公司未及时履行网络安全义务，网警依据网安法责令改正；重庆一网络公司未留存用户登录日志被网安查处；四川一网站因高危漏洞遭入侵被罚；宿迁网警成功查处全省首例...