-
张金瑞:从三个方面入手杜绝“安全漏洞”
近年来,我国信息化迅速发展,同时面临的信息安全形势也异常严峻,来自外部的信息窃取和攻击接连不断,自主可控和保障能力不足,安全威胁严重凸显。政府采购管理部门一定要把国家信息安全放在首要位置,更好发挥政府采购的政策功能,通过政府采购杜绝预留“安全漏洞”和“后门程序”的国外信息产品,促进自主创新,促进...
-
揭秘:Google是如何发现“心脏出血”漏洞的
“心脏出血”漏洞(Heartbleed)已经过去6个月时间,这个一度被视为互联网上最严重的网络安全漏洞(现在被“破壳”取代),在目前仍不可小视。这个漏洞由Codenomicon、Google两家公司分别发现。作为最初漏洞发现者,Codenomicon公司的三名成员很早就对外公布了他们的发现经过,...
-
美国如何堵住财政监督信息系统漏洞
对于财政监督信息化,美国是如何在实践中不断完善的?美国政府问责办公室(GAO)在对美国财政部国库司下属财政服务局负责管理的联邦债务计划展开审计调查后发现,涉及安全管理、数据存取监控与软件配置管理相关的财政监督信息系统普遍存在问题。近日,GAO在公布的一份调查报告中对如何提高财政监督信息化管...
-
谷歌工程师揭秘:如何发现“心血”漏洞
早在4月9日,一个代号“Heartbleed”(“心脏出血”)的重大安全漏洞被曝光,能让攻击者从服务器内存中读取包括用户名、密码和信用卡号等隐私信息在内的数据。尽管该漏洞已经过去6个月,但发现该漏洞的Google安全工程师一直没有透露过相关内容。笔者带着一些好奇感,从澳大利亚Risky....
-
美国网络安全体制暴露立法问题 多部法律补漏洞
近十多年来,由于网络攻击日益频繁以及网络攻击技术越来越复杂多样,网络攻击产生的经济负担和社会影响越来越广泛,美国政府对信息系统的安全性(通常也称为网络安全)越来越重视。同时,“斯诺登事件”也促使美国政府各个部门采取行动,以平衡国家安全、网络安全和公民隐私权利保护。美国对信息系统的依赖程度非常高,...
-
Google工程师Neel Mehta如何发现Heartbleed漏洞
Mehta说,SSL堆栈漏洞发现的速度在加快,他很好奇SSL堆栈的安全现状,所以想去了解一下。他没有预计到主流媒体会对该bug产生如此大的热情,认为另一个同时发现该漏洞的安全公司的营销手段让Heartbleed吸引了主流媒体的关注。安全公司Codenomicon为这个漏洞制作了一个logo,...
-
Linux僵尸网络Mayhem通过Shellshock漏洞传播
Shellshock的影响还在继续:攻击者正在利用最近Bash命令行解释器发现的漏洞,通过复杂的恶意软件程序Mayhem来感染Linux服务器。Mayhem在今年早些时候被发现,由俄罗斯互联网公司Yandex进行了彻底的分析。该恶意软件通过PHP脚本进行安装,该脚本是由攻击者通过感染FTP...
-
"冰雪皇后"公司软件村安全漏洞 46个州的客户银行卡遭泄漏
据美国侨报网消息,全美著名的冰淇淋和快餐连锁餐厅“冰雪皇后”(DairyQueen已确认该公司的软件系统存在安全漏洞,其在全美46个州的数百个营销点的客户银行卡信息可能业已遭到泄露。据路透社报道,该公司9日晚表示,该公司及其一家加盟商的电脑系统遭到了名为“倒扣”(Backoff恶意...
-
变换姿势:从DHCP再挖破壳漏洞利用
破壳漏洞(Shellshock影响深远,利用起来似乎没那么容易,所以对于破壳漏洞研究利用的新方法会间歇性地出现。众所周知,利用破壳漏洞攻击Web应用程序一直是热门研究对象,并且通过其他层面挖掘破壳的利用同样是有可能的!破壳漏洞的挖掘其实也可以从其他一些应用层协议实现的,包括邮件传输协议S...
-
高中生黑客为求女神照片狂挖漏洞 一举摘得九月漏洞报告“
为求得“女神”照片,高中生黑客Mango也是蛮拼的。他为了证明自己实力,在学业之余努力挖掘手机APP和网站的安全漏洞,一举摘得360安全应急响应中心的九月漏洞报告“双冠王”。在赢得360提供的万元奖金的同时,Mango也收获了“女神”承诺给他的照片。据了解,Mango是九零后安全爱好者“网...
-
从DHCP再挖破壳漏洞利用
破壳漏洞(Shellshock影响深远,利用起来似乎没那么容易,所以对于破壳漏洞研究利用的新方法会间歇性地出现。众所周知,利用破壳漏洞攻击Web应用程序一直是热门研究对象,并且通过其他层面挖掘破壳的利用同样是有可能的!破壳漏洞的挖掘其实也可以从其他一些应用层协议实现的,包括邮件传输协议S...
-
Google发布SSLv3漏洞简要分析报告
今天上午,Google发布了一份关于SSLv3漏洞的简要分析报告。根据Google的说法,该漏洞贯穿于所有的SSLv3版本中,利用该漏洞,黑客可以通过中间人攻击等类似的方式(只要劫持到的数据加密两端均使用SSL3.0,便可以成功获取到传输数据(例如cookies。截止到发文前,还没有任何补丁...
-
美国零售业的大数据烦恼:安全漏洞百出 盈利没法入账
在说到“大数据”时,一般人首先想到的就是各类社交媒体、电信通讯商等科技企业;然而另一个涉及密集用户数据的行业是零售业。在这个颇为传统的行业中,“大数据”同时交杂着风险之惧和盈利之机。零售业巨头们动辄手握百万甚至千万消费者的购买数据、信用卡数据,但在数据安全管理上漏洞百出,售卖数据之后获得的...
-
心血漏洞再度来袭 SSL v3再曝新漏洞
风波刚刚过去,我们的厂商还没来得及松口气,今天又收到了另外一则可怕的消息:“Heartbleed”又来了!不过这次,是SSL3.0版本。根据路边社消息,99.6433%的前1000000站点均支持SSLv3。这下,真的有意思了。来看一下来自Twitter上的热火朝天的讨论吧:...
-
俄黑客利用Windows漏洞展开间谍活动
达拉斯信息安全公司iSightPartners周二发布的一份报告显示,俄罗斯黑客利用微软Windows系统中的漏洞对欧美国家政府、北约,以及乌克兰政府展开间谍活动。报告称,俄罗斯黑客攻击的目标还包括欧洲的能源和电信行业公司,以及美国一些未披露的学术机构。目前尚不清楚黑客攻击导致了...
-
Windows再曝0day漏洞 360国内首家查杀攻击样本
国外安全机构iSIGHT警告称,一个名为“沙虫”的俄罗斯黑客组织攻击了北约、乌克兰政府组织以及美国学术机构等目标,“沙虫”使用的WindowsOLE远程代码执行漏洞(CVE-2014-4114样本已在网上出现,360已在国内首家查杀此漏洞攻击样本。“沙虫”被曝是来自俄罗斯的网络间谍活...
-
Windows操作系统再次曝出0day漏洞
国外安全机构iSIGHT警告称,一个名为“沙虫”的俄罗斯黑客组织攻击了北约、乌克兰政府组织以及美国学术机构等目标,“沙虫”使用的WindowsOLE远程代码执行漏洞(CVE-2014-4114样本已在网上出现,360已在国内首家查杀此漏洞攻击样本。“沙虫”被曝是来自俄罗斯的网络间谍活...
-
谷歌称发现SSL网页加密漏洞 或引发攻击
据路透社报道,三名谷歌研究人员在广泛使用的SSL网页加密技术中发现了一处安全漏洞。研究人员称,黑客可以利用这一漏洞发动PaddingOracle攻击,窃取数据。这一问题出现在已有18年之久的SSL3.0加密标准中,该标准被广泛用于网页浏览器和网站。新漏洞于周二晚间在OpenSSL项目网站上的...
-
Google 披露 SSL 3.0 安全漏洞(附修复方法)
Google美国时间周二披露了一个存在于SSL3.0版本当中的安全隐患,和此前的心脏出血漏洞机制类似,允许黑客使用特殊的手段,从SSL3.0覆盖的安全连接下提取到一定字节长度的隐私信息。SSL3.0已经存在15年之久,目前绝大多数浏览器都支持该版本。当用户的浏览器使用...
-
爱尔兰将封堵税收漏洞:苹果谷歌失去避税天堂
北京时间10月15日上午消息,爱尔兰政府周二对外界的批评作出回应称,该国将封堵被谷歌等跨国公司利用的税收漏洞。欧盟和美国政府都在激烈批评跨国公司的避税政策,以及为其提供便利的国家或地区。欧盟委员会甚至对跨国公司与爱尔兰、卢森堡和荷兰等避税天堂之间的关系,展开了广泛调查。最近几年,爱尔...