【鼎源资讯】四大主流安卓手机厂商BootLoader中存在多个漏洞
概要 加州大学圣芭芭拉分校的9名研究人员发现,四大主流芯片厂商的安卓bootloader组件存在多个漏洞。这些漏洞可导致手机信任链在引导过程中被攻破,从而使设备遭受攻击。 研究人员开发出BootStomp来分析bootloader 研究团队发现安卓bootloader组件闭源开发且缺乏一般的metadata(如程序头或调试符号)的特性,导致难以对其进行逆向分析开展安全审计,更不用说分析了。他们的研...
MongoDB数据库遭大规模勒索攻击,被劫持26000多台服务器
昨天刚刚曝出的大新闻,MongoDB数据库叕被攻击了。就在上周末,三个黑客团伙劫持了MongoDB逾26000多台服务器,其中规模最大的一组超过22000台。 “MongoDB启示录”再临? 此次攻击由安全专家Dylan Katz和Victor Gevers发现,被他们称为是“MongoDB启示录”的延续。所谓的“MongoDB启示录”事件始于2016年12月底,并持续到2017年的头几个月。 据...
点了“老板”发来的邮件,账户里的钱都没了?
邮件是日常工作中不可缺少的沟通工具,但是往往一封看似正常的邮件却很有可能隐藏着危险。被伪装成正常的邮件,引导你去点击邮件中的不明链接、下载邮件的附件。但这些不明链接、附件,一旦点击就会自动下载木马病毒,让你的电脑“中招”,电脑资料就会被窃取和泄密。 8月27日,央视《焦点访谈》播放了共筑网络安全防火墙的报道,描述了当今社会网络安全形势的严峻性,提醒着相关单位相关责任人需要重视网络安全工作。 因为钓...
打破“恐惧源于未知”对未知威胁说No!
当零日漏洞发生 当发生大量异常交易 当用户信息泄露 当账号被撞库 当重要信息被爬走 当促销被黄牛抢走 当面临严重业务风险时…… 作为安全从业者,你会做什么? 2017年8月25日下午,来自瑞数信息、交通银行、太平洋保险、国都证券、太平资产、平安科技等企业的安全专家汇聚在上海金融“安全+”沙龙,就金融行业的业务风控、数据保护以及安全态势等领域的热点话题展开了积极的交流与讨论。 瑞数信息...
微信发照传“原图”会暴露位置信息,美图软件处理后仍有显示;大疆的漏洞奖励计划来了
微信发照传“原图”会暴露位置信息,美图软件处理后仍有显示 你与陌生人之间,可能只是一张照片的距离。有时候一张“原图”照片,分分钟就暴露了你的信息。测试者给朋友发了一张吃火锅的照片,他的朋友仅凭微信聊天中的一张“原图”,就完全找到了火锅店的具体位置。看起来高智商的背后,其实是智能手机里的照片定位系统的“功劳”。现在任何智能手机拍摄的照片,都含有一个叫Exif参数的东西。它还包括光圈、快门...
【鼎源资讯】美国 TigerSwan 因第三方 AWS 漏洞泄露数千份敏感简历,或含美驻印尼大使、中情局前员工信息
安全公司 UpGuard 网络风险研究人员 Chris Vickery 近期发现第三方招聘公司 TalentPen 因安全疏忽,导致逾 9,400 份美国私人安全公司 TigerSwan 的雇佣简历在未受保护的 Amazon Web Services (AWS)存储服务器上泄露,其中包括员工住址、电话号码、电子邮件地址、驾驶执照与护照号码以及社会保险号码等敏感信息。 相关调查显示,这些雇佣简历在线...
DuckDuckGo知名度大幅提升:成为全球第400大热门网站
2013年,棱镜监控丑闻的曝光让公众对个人隐私的关注和警惕提升到前所未有的高度,诸多主流服务的替代产品和服务也应运而生。而且在电子前言基金会等机构的强烈推荐下,很多用户开始使用替代产品,在这样的大背景下DuckDuckGo的活跃用户数量和知名度提到了快速提升。 根据Alexa.com网站提供的最新数据,过去一年DuckDuckGo在全球市场的热度已经翻倍,成为全球第400大热门网站。如果按照国家...
CIA新一波工具AngelFire: 针对Windows系统的永久恶意框架
本周,维基解密发布了新一款 CIA 工具 AngelFire。AngelFire 是一款框架植入工具,可以作为永久后门留存在被感染系统的分区引导扇区中,对目标系统进行永久远程控制。泄露的用户手册显示,AngelFire 需要获得管理员权限才能成功入侵目标系统。 与此前的 Grasshopper、ELSA、 After Midnight 类似,AngelFire 也是一款永久性框架,可以在目标系统(...
【鼎源资讯】国家安全标准委对安全手机标准立项:含 App 权限限定等
据悉,相关媒体在举行的中国手机网络安全高峰论坛上获悉,国家安全标准委已对安全手机标准立项,旨在研究制定手机安全标准,其中包括关键硬件、软件信息基础设施的网络安全防护能力,系统安全等级,App权限限定等。 业内人士声称,移动互联网主导地位正在强化,使用手机上网比例明显增加,但因发展时间较短,快速扩张的手机网络成为蠕虫病毒等恶意程序的入侵目标。在此背景下,手机网络安全市场空间将快速拓展,有望从目前的约...
黑客团队OurMine入侵维基解密网站,官网被其挂了黑页
Oops!维基解密被臭名远扬的黑客组织OurMine挂了黑页! 臭名远扬的黑客组织OurMine再一次上了头条,这次是因为他黑了维基解密。 黑客组织OurMine以入侵知名公司的高管社交网络账号而闻名,其中包括Facebook首席执行官马克·扎克伯格(Mark Zuckerberg),Twitter首席执行官Jack Dorsey,Google CEO Sundar Pichai等。 据Twitt...
95后玩游戏赚20万却获刑,究竟是谁的错 ;Intel 处理器现安全漏洞:可被黑客用作后门攻击
95后玩游戏赚20万却获刑,究竟是谁的错? 随着网络安全技术的快速发展,网络安全已成为涉及我们生活各领域的一个核心问题;一次次网络安全案例的发生,让我们对加强网络安全教育有了新的认知。近日,国内媒体报道,两名95后小伙 (李某和杨某)“苦心钻研”各种游戏漏洞,在虚拟世界疯狂盗卖玩家“装备”,一年多时间,累积获利20多万元。因构成非法获取计算机信息系统数据罪,俩人分别被判处有期徒刑3年和2年。李...
北大悬镜团队喜获北京市高校大学生优秀创业团队一等奖
为全面贯彻落实国家和北京市关于“大众创业、万众创新”的精神和要求,深入实施《北京高校高质量就业创业计划》,切实对学生创业给予支持,树立大学生创业典型,营造良好创新创业氛围, 从2017年4月至7月,北京市教育委员会组织开展了2017年北京地区高校大学生优秀创业团队评选工作。来自50所高校报送的414支创业团队参加了此次评选。 经专家复评,遴选出180支团队参加最终的现场答辩,经过激烈的角逐,评审专...
谈细粒度的数据库运维管控
近年来,各行业用户对于数据安全的建设目标,正在逐渐从“单纯防外部攻击”转向“内外部环境下的数据安全使用”,这种视角的转变代表企业和组织更加重视数据流转过程中各个环节的管控,对于企业核心数据的访问来自应用和运维两方面,而运维人员具有更高操作权限。 目前在信息化建设较为成熟的大型集团或组织,已经形成了详细的运维工作管理要求,以某运营商行业的信息安全管理规范为参考,能够梳理出组织和企业对于数据运维安全,...
黑客团队OurMine成功入侵维基解密网站
黑客团体OurMine此前攻击的目标主要是科技圈内的CEO、企业和新闻网站,通过社交账号存在漏洞来兜售自家的安全服务。今天,该黑客团队对维基解密网站(WikiLeaks.org)发起了攻击,目前主页面显示:“Hi,我们是OurMine(安全团队),不要担心我们仅仅只是为了测试你的...Oh等等,这并非一次安全测试!Wikileaks,还记得当时你是怎么挑衅要我们入侵试试的吗?” 在信息上继续写道:...
今夏最火热的“观安杯”管理运维赛!带你看赛况!
8月的最后一天通常意味着,炎热烦闷的夏季终于要熬过去了。 今年的夏天炎热异常,而今年8月的最后一天,有这么一群人,怀揣着紧张和热情,奔赴我们2017 ISG “观安杯”管理运维赛的战场。 上午9:00——11:00 理论赛 理论赛共计2小时答题,然而在9:23分时,就有选手答完了200道选择题,难以置信,也期待他的得分。 理论赛过半,选手纷纷发出了以下感慨:(前方高能) 哈哈哈哈哈哈...
