腾讯云安全报告「二」:SSH 暴力破解正从云平台向物联网设备迁移
你能想象有一天,家里的大门随时被轻易打开,然后被盗窃、放炸弹、装偷听器等等吗?如果你服务器的SSH 服务被破解,服务器就会遇到上述安全问题,只是服务器被盗走的是比金钱更贵重的东西——数据,与炸弹破坏力相当的是木马病毒,而被入侵后则像是在你家装了偷听器与摄像头,监视着你的一举一动,甚至操纵着它,比如删掉你的所有数据。物联网设备也未能幸免。 SSH 暴力破解是一种对远程登录设备(比如云服务器)的暴力攻...
研究人员对车载导航系统成功发动 GPS 欺骗攻击
弗吉尼亚理工、中国电子科技大学和微软研究院的研究人员发表论文《All Your GPS Are Belong To Us: Towards Stealthy Manipulation of Road Navigation Systems》,演示了对人类司机成功发动 GPS 欺骗攻击。 为执行攻击,研究人员开发了能近实时工作的算法,使用了一个售价约 223 美元的便捷式 GPS 欺骗设备,该设备可以...
加密技术的演进、分类与应用
导语:古罗马骑士上阵杀敌,一套70-80斤的防护设备势必造成体能上的开销,但重装设备却保护了骑士的安全。适当负重前行,总比赤膊上阵或身着贵族礼服上阵,铩羽而归的强。 一、演进 加密技术的雏形 现代社会,密码技术主要应用在战争情况领域。而早期的数据加密技术还很简单,更像我们所说的一本密码本,里面是一些存在着一一对应关系的数字和数字所代表的字符,如大家耳闻熟详的摩尔斯密码。 破解这些密码的谍报人员基本...
大量 Mega 网盘帐户的登录信息遭泄露 并暴露了用户文件
据外媒 ZDNet 报道,Mega —— 这家于新西兰成立并提供在线云存储和文件托管服务的公司,目前被发现其平台中有成千上万的帐号凭证信息已在网上被公开发布。被泄露的信息以文本文件形式提供,据了解这份文本文件包含超过 15,500 条用户名、密码和文件名的数据,这意味着这些帐号都曾出现异常登录的情况,并且帐号中的文件名也被爬取了。 这份文本文件最早由 Digita Security 公司的首席研究...
依赖太多 Fedora 29 已确认不会弃用软件包管理器 Yum
由于 DNF 作为下一代包管理器已经相当成熟,所以已经有计划在 Fedora 中弃用 Yum,但至少在 Fedora 30 之前不会发生这种情况。Fedora 29 不会弃用 Yum,因为在这次开发周期中如果这样做将会产生相当大的破坏性变化,目前仍然有一些重要的基础设施组件依赖于 Yum,如 Koji, Pungi 等。 因此,在最近的 Fedora 工程和指导委员会(FESCo)会议上,拒绝了 ...
Thermanator攻击竟能够通过键盘上手指的余温窃取密码?
来来来,大家来get一下窃取密码的新姿势!近期,美国加州大学欧文/尔湾分校(UCI)的三位安全研究专家发现,他人可利用热感摄像机来测量用户手指在键盘上留下的余热,并根据热量信息来推算出用户在键盘上输入的文本信息,然后以此来窃取用户密码。 当用户在普通键盘上输入了密码之后,攻击者可利用中频热感摄像机来收集键盘上被按过键帽的温度数据。需要注意的是,这种方法在用户按下键盘后的一分钟之内才可行,因此这也就...
那些高考之后的坎,你能迈过吗?
随着各地高考分数和各批次分数线的陆续公布,考生和家长都进入了令人焦虑的志愿报考期,而此时也是各种教育欺诈事件的的高发期,许多不法分子都动起了“歪脑筋”。 案例一:一纸不会寄出的大学录取通知书 王某是2018年的应届高考生,平时成绩一直不错,高考却意外发挥失常。刚刚踩线的分数,别说进入自己的理想大学,就连被看得上眼的院校录取的机会都十分渺茫。几天来,王某情绪低落,意志消沉,呆坐在电脑前搜索着各种院校...
Debian 9发布第五次更新:修复Spectre V2等漏洞
据外媒报道,日前,Degian项目为Debian 9带来了第五次更新,代号Stretch。如果你所用的是Debian 9并保持最新更新那么你现在已经用上了Debian 9.5,但如果你打算安装一个新系统,那么最新的ISO意味着你不需要升级大量的更新包,因为它们已经捆绑在内。 虽然大多数点版本都会带来重大安全更新,但日前最新的更新更值得注意因为它更新了intel-microcode安装包并还对包括S...
数据分类怎么做? 7个步骤轻松搞定
背 景 越来越多深思远虑、高瞻远瞩的企事业单位都已经意识到:数据保护已经不仅仅是合规问题了,还关系到每个单位的立命之本:钱。 Facebook超5000万用户数据泄露令扎克伯格一天损失49亿美元。 存储活动本身成本很低,因此我们每个人都在不经意间变成了一个数据囤积者。有一天,我们突然想在这些数据中搜索一些有价值的东西,但是现有的很多数据都是冗余、过时和琐碎(ROT)的,甚至是未知的、价值不明确的“...
SSH 暴力破解趋势:从云平台向物联网设备迁移 | 云鼎实验室出品
导语:近日,腾讯云发布2018上半年安全专题系列研究报告,该系列报告围绕云上用户最常遭遇的安全威胁展开,用数据统计揭露攻击现状,通过溯源还原攻击者手法,让企业用户与其他用户在应对攻击时有迹可循,并为其提供可靠的安全指南。上篇报告从 DDoS 攻击的角度揭示了云上攻击最新趋势,本篇由同一技术团队云鼎实验室分享:「SSH 暴力破解趋势:从云平台向物联网设备迁移 」, 以下简称《报告》。 ...
阿里云,挂了!哪个云能“永不宕机”呢?
引言: 他是隔壁老王 也是MC资深灾备工程师老六 他有话要说! 昨天,《阿里云,挂了》一文刷爆朋友圈,一大波吃瓜群众前排围观。 图:朋友圈刷屏截图 中国最稳定的阿里云,挂了!凌晨,阿里云发布故障说明公告,如下: 图:阿里云故障说明公告 竟然是因为“运维上的一个操作失误”...... 纵观近年来,随着云计算的渗透、数据量的迅猛增长,越来越多的政府机构、企业等将自己的系统、数据搬上“云”。即便只是云服...
Chrome 桌面版默认启用网站隔离
Google 对 99% 的 Chrome 桌面版用户悄悄启用了网站隔离功能。网站隔离功能是在 2017 年 12 月发布的 Chrome 63 中引入的,其代价将是多使用 10% 内存,当时没有默认启用,想要启用该功能的用户需要手动修改设置。Chrome 默认是一个标签使用一个进程,但如果网页之间共享内容,它们也会共享一个进程。网站隔离消除了共享进程,确保不同网站在不同的进程上。Google 称...
电商雇“黑客” 袭击竞争对手网站 12人被警方控制
近日,江苏省南通市公安局在深入开展打击整治网络违法犯罪“净网2018”专项行动中,破获一起由公安部督办的电商网站流量攻击系列案件,控制李某等12名涉案犯罪嫌疑人,查扣电脑、手机等作案工具36部。昨日,南通警方对外公布该案详情。 南通警方破获电商网站流量攻击案,图为民警在犯罪嫌疑人家中进行搜查。警方供图 新京报记者了解到,该犯罪团伙通过网络接单,发起攻击,导致电商网站及交易平台无法正常运行,并以此牟...
“黑客”屡入侵 汽车网络安全如何保证?
据KBV研究公司发布的相关报告显示,到2023年,全球联网汽车市场的规模预计将达到2562亿美元,在此期间,市场的复合年增长率为31%。由此可见,车联网未来市场空间巨大,然随着其商业化进程的不断加快,安全问题备受各国政府重视。 近日,我国工业和信息化部与国家标准委联合发布的《国家车联网产业标准体系建设指南》提出,到2020年基本建成国家车联网产业标准体系,而这一标准建立的主要目的之一就是要确保汽车...
AMR智能合约被曝遭受黑客攻击:可无限生成代币
Bianews 7月8日消息,降维安全实验室(johnwick.io)监控到AMR合约存在高危安全风险的交易。通过对代码分析,发现其中存在重要安全溢出漏洞,目前已经被人恶意利用并且进行大量增发,降维安全实验室已经对合作伙伴交易所进行高危预警并且停止风险币种交易。 此外,PeckShield安全团队在跟进和分析后表示,该漏洞本质与batchOverflow等漏洞一致,都是由于保护机制因为整数溢出而失...
