分类: 推荐阅读

微软 EMET 安全机制或胜过 Win 10 现行安全防护能力

据外媒报道,美国卡内基梅隆大学 CERT 协调中心研究员 Will Dormann 称,微软不应该计划“砍掉”增强型减灾工具(EMET),而是应该继续保留这一功能。因为运行着 EMET 的 Windows 7 电脑甚至胜过 Windows 10 运行的本机安全防御。 微软此前称 EMET 的防御功能已经集成到 Windows 10 操作系统,并将于 2018 年中期停止对 EMET 的支持。 Dormann 将 Windows 7 与 Windows 10 安全性进行了比较 Dormann称微软忽略了 EMET 功能的一个重要特性:强制应用程序运行额外的防御机制。对于某些还在使用已经停止补丁更新的软件使用者来说,这会提供额外的安全防御措施。 稿源:本站翻译整理,封面来源:百度搜索

商业邮件诈骗将目标转向医疗机构 ,英美及加拿大 35 家机构沦陷

在过去两周里,以冒充 CEO 为形式的一系列商业电子邮件欺诈(BEC)开始将目标转向医疗机构,其中美国有 17 家机构、英国 10 家、加拿大 8 家。这些机构包括一般医院和用于专科保健、诊所性质的教学医院。即使制药公司也不能免于 BEC 诈骗,一家位于英国的公司和两家加拿大制药公司也成为诈骗目标。 CEO 欺诈是一种 BEC 骗局,骗子通过欺骗、假冒 CEO 或另一个商业主管的电子邮件帐户,向管理公司财务的首席财务官(CFO)发送欺诈性质的汇款请求,不知情的员工会将资金转移到骗子的银行账户 (平均每起诈骗造成 13 万美元的损失)。 与其他网络犯罪形式不同,这种 CEO 欺诈并不是利用安全漏洞因而很难被防御,攻击者通常伪造“发件人”和“回复”字段并将主题行限制为几个字,以避免引起怀疑并体现紧迫性。换句话说,电子邮件本身不会在其正文中包含典型的恶意附件或网址,这意味着传统的安全解决方案会将邮件默认为“安全”。 企业首席财务官(CFO)应注意每封邮件的邮件地址并验证发件人真伪并严格按照流程进行转账。 稿源:本站翻译整理,封面来源:百度搜索

谷歌向众记者、诺贝尔奖学者发送警告:你已被“国家级”黑客盯上

众多记者和学者向公众媒体报道,他们已经收到谷歌发送的警告信息,有受国家支持的黑客使用他们的谷歌帐户登录谷歌邮箱或其他网站。收到警告消息的人包括诺贝尔经济学奖得主、纽约时报专栏作家 Paul Krugman,纽约杂志的 Jonathan Chait,GQ 记者 Keith Olbermann 等等。 此外,谷歌发言人称,这些警告消息发生的实际时间在 1 个月前。为了防止黑客分析出研究人员用来检测入侵的方法,官方有意延迟了告警时间。 稿源:本站翻译整理,封面来源:百度搜索

从源头防堵信息泄露,央行下月推行”支付标记化”

央行于 11 月 9 日下发了《中国金融移动支付 支付标记化技术规范》(以下简称《规范》)行业标准的通知,强调自 2016 年 12 月 1 日起全面应用支付标记化技术。与此同时,记者注意到,上述《规范》还提出了支付标记化技术的基本架构,规定了应用支付标记化技术的系统接口、安全、风险控制等要求。 支付标记化技术作为全球支付领域的最新前沿技术,其优势体现在三个方面: 第一,敏感信息无需留存,持卡人卡号与卡片有效期在交易中不出现; 第二,支付标记仅可在限定交易场景使用,使得支付更安全; 第三,支付标记灵活性更高,与传统银行卡验证功能相比较,支付标记综合了个人身份与设备信息验证、支付信息附加验证、风险等级评估等功能进行交易合法性识别和风险管控。 因此,支付标记化不仅可防范交易各环节的持卡人敏感信息泄露,同时也降低了欺诈交易的发生概率。 稿源:cnbeta.com,封面来源:百度搜索

小心欺诈:此 ɢoogle.com 非彼 Google.com

现在人们常常收到伪基站发送的垃圾短信,通常不法分子会使用数字“ 0 ”代替字母“ O ”、或者用字母“l”迷惑成数字“1”等粗糙的手段来欺骗大家。社会经验不丰富的话,很容易就让诈骗者得逞。不过现在,有了一个更加让人头疼的问题 —— 你能分出“ Google.com ”和“ ɢoogle.com ”的区别么? 今年早些时候,假冒 Google.com 的“ ɢoogle.com ”开始出现在了谷歌分析的流量榜单上,甚至在“ secret.ɢoogle.com ”页面上大肆为共和党总统候选人唐纳德·特朗普“拉票”。 但仔细分析该网址,你会发现它其实是这么个玩意(迅速重定向至): money.get.away.get.a.good.job.with.more.pay.and.you.are.okay.money.it.is.a.gas.grab.that.cash.with.both.hands.and.make.a.stash.new.car.caviar.four.star.daydream.think.i.ll.buy.me.a.football.team.money.get.back.i.am.alright.jack.ilovevitaly.com/#.keep.off.my.s 上面是平克·弗洛伊德乐队的《 Money 》一曲的歌词,但这个网页的扯淡程度不仅于此。对于首次来到该网站的访客,它还会弹出一条“使用指南”(以及故意标榜自己是特朗普的支持者)。 最后维基百科揭开了“ Google.com ”还是“ ɢoogle.com ”的秘密。“ G ”是拉丁字母的大写,而“ ɢ ”则是拉丁字母的‘小大写’。 稿源:cnbeta.com,封面来源:百度搜索

杀毒软件成鸡肋?谷歌工程师吐槽病毒扫描

PC 以及智能手机用户安装防病毒软件已成了必须要做的事,而定期对硬盘进行扫描也是很多用户的习惯。不过 Google 的高级安全工程师 Darren Bilby 却表示,病毒扫描和入侵检测系统非常的鸡肋。 日前召开的 Kiwicon 黑客峰会上,Darren Bilby 表示,用户不要再为这些安全产品充值信仰了,因为一些病毒扫描和入侵检测系统非常的鸡肋。“侵入检测系统并没有任何实质帮助,而且扫描过程必然需要耗费一些时间,与其如此还不如做一些真正有意义的事情”,Bilby 强调。 Bilby 希望今后的“安全类型”应该注重白名单、硬件安全密钥和动态访问权限方面的发展。Bilby 说道:“防病毒产品确实做了一些事情,但这就像是一只金丝雀在煤矿中。而更为糟糕的是,我们站在已经死亡的金丝雀旁边然后说道‘感谢上帝啊,它已经吸入了所有的有毒气体。’” 他同时还认为那些安全上网的建议都是非常“糟糕”。Bilby 认为不应该要求用户不要点击网络钓鱼网站和不要下载奇怪的可执行文件,而是应该要求硬件和软件厂商将产品打造的足够安全,他说道:“我们给消费者并不安全的网络系统,却又责备我们的用户。” 稿源:今日头条,封面来源:百度搜索

微软 Edge 和 IE11 浏览器明年将停止接受 SHA-1 TLS 证书

SHA-1是一种散列算法,自从1995年发布以来已被广泛使用,但是,在2005年被攻破之后,它不再被认为是安全的加密手段,并由更安全的散列函数SHA-2和SHA-3取代。包括谷歌、Mozilla和微软在内,许多公司已经宣布许它们将在 2017 年前停止接受 SHA-1 TLS 证书。 现在微软表示,从 2017 年 2 月 14 日起,公司不赞成使用 SHA-1 签名的证书,届时部分网站,用户和第三方应用程序将受到影响。微软这份声明,是为了进一步增强 Edge 和 IE 11 浏览器的安全功能,这两个浏览器将不会加载显示使用 SHA-1 签名证书的网站,并显示“无效证书”警告,但用户可以选择绕过警告并访问可能有漏洞的网站。微软已经澄清,这只会影响使用 SHA-1 签名证书并且链接到微软受信任根 CA 的网站,而手动安装企业 SHA-1 证书或自签名 SHA-1 证书的网站将不受影响。 稿源:cnbeta.com,封面来源:百度搜索

Windows 10 通知用户, Edge 比 Chrome 和 Firefox 更安全

微软向 Windows 10 用户推送了新的 Windows Tips 推荐,通知 Chrome 和 Firefox 用户它的 Edge 浏览器更安全。微软正致力于用 Edge 替换 IE,但其浏览器份额已经跌至 Chrome 的一半。根据微软发言人的说法,最新一波的 Windows Tips 是从11月初开始推送给用户的。微软曾在今年7月通过 Windows Tips 向 Chrome 和 Firefox 用户弹出过类似的建议,当时声称它的Edge更省电。 稿源:solidot奇客,封面来源:百度搜索

报告显示 DDoS 攻击在一年内增加了 71% 创下新纪录

巨型内容分发网络 Akamai 已经出版了一份新的“互联网状况”报告,涵盖了今年第三季度全球互联网发展情况。在这份报告当中,Akamai 突出了云和 Web 应用最近发展趋势,以及互联网安全问题演化情况。根据 Akamai 报告,2016 年第三季度,在 7 月和 9 月之间,世界各地的 DDoS 攻击数量和规模显着增加。 与去年同期相比,DDoS 攻击数量增长了 71% ,创下了历史新记录。其中,名为 Mirai 的僵尸网络,使用令人难以置信的 623 Gbps 数量流量,成功那袭击了安全网站krebsonsecurity.com。在同一季度,19 个 DDoS 攻击的流量高于 100Gbps,表明这种攻击的流量和可用性日益增加。 中国,美国和英国是 DDoS 攻击的最大来源国家,中国在其中的份额达到 30%,美国的份额为 22%,英国的份额为 16%。但是好消息是,与 2015 年同期相比,网络应用攻击的次数下降了约 18 个百分点。来自美国的攻击也显着下降了 65% 以上,虽然 66% 的 web 应用攻击针对美国网站。 该报告清楚地表明,基础设施的安全性已变得至关重要,设备制造商,特别是 IoT 厂商,需要遵循最佳安全实践指导原则,并在其产品中实施强大的安全解决方案。 稿源:cnBeta.com,封面:百度搜索

30 秒入侵锁屏电脑劫持网络流量、安装后门,黑客工具成本只需 5 美元

著名硬件黑客 Samy Kamka 发明了一种成本只有 5 美元的廉价黑客工具,但是该工具只需 30 秒就可轻易入侵被锁屏的 windows/Mac 电脑、劫持网络流量、安装网页式后门。 该黑客工具“ PoisonTap ”由一个运行 Node.js 代码的树莓派微型设备和 USB 适配器组成。值得一提的是,如果计算机的后台运行着浏览器应用,该工具在计算机锁屏时仍然有效。 PoisonTap 会通过 USB 端口冒充以太网连接 Windows 或 Mac 电脑,并作为一个低优先级的网络设备。此后,设备响应 DHCP 请求、提供 IP 地址,告诉系统整个 IPv4 地址空间是 PoisonTap 局域网的一部分。因此,PoisonTap 可在流量到达网关之前,拦截所有未加密的通信流量,并通过受害者的浏览器盗取 Alexa 排名前 100 万网站的 HTTP cookie ,从而劫持受害者的账户并绕过双因素验证(2FA)。黑客工具还允许攻击者在网站上安装安装基于 Web 的后门并建立 HTTP 通信。 Kamkar 指出他的工具还可以绕过其他安全机制。如同源策略(SOP)、X-Frame-Options HTTP response headers、HttpOnly cookies,、DNS pinning 以及跨域资源共享(CORS)。 Kamkar称可通过以下方法避免遭受攻击: ·设置你的电脑睡眠,而不是休眠,暂停计算机上的所有进程。 ·每次离开计算机时关闭所有 Web 浏览器。 ·耐心地清除浏览器缓存。 ·采用全磁盘加密的应用程序(如FileVault 2)结合“睡眠”模式。 ·直接禁用 USB端口。 稿源:本站翻译整理,封面来源:百度搜索