沃通(WoSign)数字证书
EmailGoogleTwitterFacebook

Android新漏洞泄露敏感信息:影响近九成用户

研究人员称,谷歌仅在Android 4.4奇巧系统中修补了这一漏洞,其余版本仍会受到该问题的影响。受影响的用户在所有Android用户中的占比大约为86.4%。 如果黑客想要成功利用这项漏洞,必须克服多项技术障碍。Android系统采用了现代化的软件保护措施,包括数据执行预防模式,而且解决了空间布局随机化的问题。这两项功能都会导致黑客执行恶意代码的难度加大。 黑客还必须在受到这一漏洞影响的手机上安装应用。不过,由于存在于Android最为敏感的KeyStore中,所以该漏洞十分严重。 美国莱斯大学计算机系教授、Android安全专家丹·沃雷克(Dan Wallach)解释说:“通常而言,应用都会将认证信息存储在这里,所以如果攻破了KeyStore,那么当用户的手机上有相应的应用时,你便可以假扮成手机用户登录该服务。至少也可以登录能记住密码的服务。这意味着多数强迫你每次都要输入密码的银行应用,或许在应对这一攻击时相对比较安全。” 黑客可以利用该漏洞进入用户的Twitter账号发布垃圾信息,也可以窃取银行存款。而如果他们盗取了用户的VPN认证数据,则可以绕过防火墙展开各种攻击。 安全公司viaForensics高级移动安全工程师保·奥利瓦(Pau Oliva)表示,该漏洞还会造成其他威胁,因为它将允许黑客接触到执行敏感加密任务的Android资源。“利用这项漏洞,黑客可以假冒智能手机所有者生成RSA密钥,并进行签名和认证。”奥利瓦说。 谷歌可能通过Bouncer服务为用户提供额外的保护,但这一机制经常被黑客绕过。由此看来,经常利用Android设备从事资金交易和传输重要数据的用户,最好还是在安装应用时多加小心。在通过Google Play之外的其他渠道安装应用时同样应格外警惕。

“网络末日”灾难将堪比金融海啸

据香港《东方日报》近日报道,世界正处于“网络末日”边缘,网络安全急需提高。 “网络末日”是指互联网将全球紧密连接,所以一旦遇上云端供应商遭黑客大举入侵等问题,引发的连锁反应将不下于2008年金融海啸中的“雷曼事件”。 报告指出,若云端服务供应商或主要网络服务供应商在数天内丧失大量客户资料,则可能严重影响实体经济及信贷危机,造成的损失难以估计。 报告引述统计资料,指出2013年是互联网发展以来网络安全情况最恶劣的一年,全球有7.4亿个资料档案存在被盗风险或已经被盗。报告提醒公司不能只专注内联网安全,各国政府也应尽快做好网络安全准备。 据《环球时报》 [责任编辑:yfs001]

恶意木马新变种现身互联网 可屏蔽防病毒软件

新华网天津6月29日电(记者张建新、袁帅)国家计算机病毒应急处理中心通过对互联网的监测发现,近期出现一种恶意木马程序变种Trojan_Yakes.FDD。 该变种运行后,会将其自身复制到受感染操作系统的指定目录下,其文件名为随机,其属性设置为只读、系统和隐藏。与此同时,该变种修改操作系统中注册表相关键值项,创建映像劫持,屏蔽系统中的防病毒软件,阻止其正常启动运行。 另外,该变种会主动连接恶意攻击者指定的远程服务器地址,获取受感染操作系统的处理器类型、计算机名、操作系统版本、内存使用状况等信息后发送到该主机,并从该主机接收远程控制命令,执行其他恶意操作。 针对已经感染该恶意木马程序变种的计算机用户,专家建议立即升级系统中的防病毒软件,进行全面杀毒。对未感染的用户建议打开系统中防病毒软件的“系统监控”功能,从注册表、系统进程、内存、网络等多方面对各种操作进行主动防御。

从XP”裸奔”到支付宝漏洞 上半年信息安全挑战凸显

中新网6月30日电(IT频道 张司南) 2014年已经过去了将近一半。回顾上半年的IT圈不难发现,涉及互联网安全的讨论愈加热烈。从Windows XP系统停止服务致2亿用户“裸奔”,到小米携程用户信息泄露,抑或是全球互联网通行的安全协议OpenSSL到免费WIFI的安全隐患。无论是互联网还是移动端,涉及信息安全的问题频出,网民对安全上网的呼声越来越高。 Win XP停止服务致用户电脑裸奔 网络信息泄露事件频发 2014年上半年,互联网信息泄露事件不断发生,网络安全问题再次成为焦点话题。 1月26日,央视曝光了支付宝找回密码功能存在系统漏洞。由于此前支付宝泄密事件导致的信息泄漏,不法分子以此寻找受害人信息,通过找回密码来获得用户支付宝访问权限,从而将支付宝的钱款转走。 3月22日,乌云漏洞平台发布消息称,携程网用户支付信息出现漏洞,漏洞泄露的信息包括用户的姓名、身份证号码、银行卡卡号、银行卡CVV码(即卡号、有效期和服务约束代码生成的3位或4位数字)以及银行卡6位Bin(用于支付的6位数字)等。 4月8日,微软公司在向2亿多用户发布通牒100天后,停止了对Windows XP系统提供技术支持。微软表示,Windows XP的运行环境存在很大的漏洞,微软发布的补丁不能有效抑制病毒的攻击,因此不断在其官网上告知用户可能承受一些风险。2亿多Windows XP用户在失去了保护伞后,陷入“裸奔”状态,电脑安全隐患增加。工业和信息化部总工程师张峰表示Windows XP停止服务直接关系到广大用户的信息安全和利益,XP用户将面临安全威胁。中国工程院院士倪光南也表示,Windows XP停止服务是一个“重大的信息安全事件”。 就在Windows XP系统停止服务的当天,全球互联网通行的安全协议OpenSSL曝出本年度最严重的漏洞。据悉,利用该漏洞黑客坐在自家的电脑前,就可以实时获取到很多https开头网址的用户登录账号密码。 5月11日,乌云漏洞平台率先披露了UC浏览器存在可能导致用户敏感数据泄漏的漏洞。漏洞提交者称,通过该漏洞,只要用户通过UC浏览器搜索并登录人人、新浪微博等网站,其提交的用户信息和密码都有可能被黑客截取。 5月14日,网络安全平台乌云网爆出小米论坛存在用户资料泄露,泄露涉及800万小米论坛注册用户,并建议用户修改密码。随后,小米公司相关负责人确认,数据泄露事件确有发生。 6月,央视《每周质量报告》曝光了黑客通过公共场所免费WIFI诱导用户链接而获取手机中银行卡、支付宝等账户信息从而盗取资金的消息,引发了网民对于免费WIFI安全性的担忧。 此外,央视还曝光了小米、华为、联想等部分机型存在系统漏洞,利用手机固有的漏洞可获取机主个人通信、支付宝等重要信息,并且避开手机安全软件,实现银行卡盗刷。 网民因安全漏洞一年损失超千亿 今年3月由中国互联网协会发布的《中国互联网站发展状况及其安全报告(2014年)》指出中国网站受境外攻击、控制明显增多。在篡改问题上,2013年被篡改的中国网站数量为约为2.4万个,较2012年大幅增长了46.7%;其中被篡改的政府网站数量大幅增长了34.9%。在植入后门问题上,2013年7.6万个中国网站被植入网站后门,其中政府网站有2425个。 在网络钓鱼问题上,2013年发现仿冒中国网站的仿冒页面URL地址超过3万个。中国网站安全问题形势严峻,是网络安全问题的受害者。据中国电子商务研究中心的监测数据显示,65.5%的网站存在安全漏洞;2013年中国网民在网上损失近1500亿元。 而根据《人民日报》公开的监测数据显示:今年3-5月,我国境内有118万多台主机受到美国僵尸网络或者木马的控制,130多万台主机中发现500多个钓鱼页面,造成网络欺诈事件14000多次。同期,有2000多个美国的IP地址对我国境内1700多个网站植入“后门”。 红、橙、蓝、绿是国家信息化专家咨询委员会将信息安全由低到高划分为这四个等级。国家信息中心专家委员会主任宁家骏日前表示,“中国近些年信息安全形势确实比较严峻复杂,但整体仍属可控状态,可以说总体安全形势是蓝色,局部是橙色。”

内部数据泄密:政府信息安全的致命漏洞

 政府与机关单位的内部数据与信息安全,直接关乎地方利益甚至是国家信息安全。在互联网、智能手机、大容量存储设备(U盘、移动硬盘等)高度普及的今天,做好政府与事业单位的内部信息数据防泄密工作,则是政府信息安全工作的重中之重。   根据权威数据统计,2013年内81%的政府与国家事业单位的泄密问题发生在体系内部(内部人员过失泄密或主动窃密),由外部黑客攻击、系统漏洞、病毒感染等问题带来的信息泄密案例,合计仅有12%;内部体系造成的泄密损失是黑客攻击的16倍,是病毒感染的12倍。由此可见,传统网络安全在数据防泄密的措施中,依靠部署“防火墙”与“杀毒软件”等产品无法全面保障政府内部信息安全,“政府内部信息数据防泄密”已成为当前各级政府机关和事业单位亟待解决的重大安全隐患。   为有效解决数据防泄密这一问题,笔者推荐采用专业的“数据防泄密”软件来完成政府与事业单位内部安全、高效的“数据防泄密”保护,为政府与事业单位的内部信息安全实现“数据防泄密的双向管控”,既以传统防火墙、杀毒软件来“御外贼”(防止黑客、病毒攻击),以“数据防泄密”软件来“防内鬼”(防止内部人员过失泄密或主动窃密),从内至外的提升信息安全防护级别,以统一安全的数据防泄密策略贯彻内外部防控系统。   “数据防泄密”技术又被称为“数据防泄漏”,缩写表达为DLP(DataLossprevention)。是通过高效、安全的动态加解密技术,对政府与事业单位的所有文档、数据实现透明加密防护,从而达到文档数据防泄密。经过“数据防泄密”保护的各类数据与文档,可以完全阻止内部文件被非法复制、非法浏览、非法窃取、非法拍摄,所有用户任何操作行为都受到“数据防泄密”的安全管理规则约束与监控。国内最早引入“数据防泄密”(DLP)概念的是华途软件有限公司,华途软件也是目前国内“数据防泄密”(DLP)产品终端部署量最高的品牌,第一批通过国家解放军、公安部及国密局信息安全监测多方认证的国内数据防泄密企业。   以华途“文档安全管理系统H7”为例,它采用动态文档透明加密技术、虚拟化技术、身份认证技术及硬件绑定技术,结合多维密级和权限管理,针对内部员工和部门差异化及自主管理需求,对重要数据进行精细化细粒度权限管理,有效的防止了未经授权非法使用及越权使用者对文档所造成的信息泄密,通过华途数据防泄密文档安全管理系统H7,可以全面实现政府与机关单位的内部数据防泄密的管控部署,配合防火墙与杀毒软件等传统安全措施,实现信息安全的“内外兼防,滴水不漏”。   近年来,中国经济快速增长与国际地位的日益提高,国内政府与事业单位的内部数据与文档成为颇具政治与战略价值的重要情资,随着“棱镜门”事件的曝光,数据防泄密的重要性日益突显,中央政府加大了对国内信息安全尤其是政府与事业单位信息安全的重视,在国外硬件与操作系统对国内政府与事业单位高度渗透的显示情况下,以“数据防泄密”软件作为内部信息防控技术势在必行。各地政府与事业单位在大力开展经济建设同时,也应该高度重视数据与信息安全,做好数据防泄密,以最大程度避免因涉密数据的丢失或被窃而承担巨大的政治风险与经济损失。

移动恶意软件借可信程序实施攻击

6月25日,迈克菲实验室发布《迈克菲实验室威胁报告(2014年6月)》,揭示恶意软件利用合法程序和服务的流行度(克隆伪装)、功能(代替用户操作)和漏洞实施攻击的新趋势。 如今,恶意软件多为不法分子利用窃取用户信息和钱财,会以更隐蔽的手段实施攻击。 报告警示开发人员遵循“最小特权原则”,对应用程序安全性保持警惕,尽可能减少系统权限以及在用户授予权限时给予明确警告。

数百款世界杯手机应用遭木马病毒恶意篡改

6月18日,360手机安全中心发布巴西世界杯恶意程序黑名单。据360手机安全中心统计,有62款世界杯足球游戏类应用被恶意篡改。例如“3D世界杯”被恶意篡改后,既能窃取用户通讯录内信息,又能偷录通话上传,威胁球迷隐私安全。 不仅如此,黑客们还将手伸向了世界杯的购彩应用。监测发现,共124款购彩应用捆绑恶意程序,还私自发送恶意扣费短信,造成手机用户花费损失。 巴西世界杯激战正酣,球迷们更是摩拳擦掌:安装世界杯手机游戏、按赛程定好闹钟,再试试手气买几张彩票。然而,黑客也已布好“天罗地网”。360手机安全中心18日发布巴西世界杯恶意程序黑名单,数百款世界杯足球游戏应用、购彩应用和闹钟应用遭到恶意篡改,可能造成球迷财产损失和隐私泄露。 据360手机安全中心统计,有62款世界杯足球游戏类应用被恶意篡改。世界杯期间,不少球迷想要通过手机回顾经典比赛,试玩足球游戏体验火热的比赛氛围,下载到被篡改的手机应用后,将遇到匿名弹窗推送广告、窃取手机隐私、后台私自下载软件、私发扣费短信等恶意行为。例如“3D世界杯”被恶意篡改后,会窃取用户通讯录内信息,并能偷录通话上传,威胁球迷隐私安全。 除此之外,每届世界杯都是体育彩票的购买高峰期,黑客们也将手伸向了购彩应用。监测发现,共124款购彩应用捆绑恶意程序,通过手机购买彩票方便快捷,但正常应用被篡改后不仅捆绑恶意广告插件消耗大量手机流量,还能私自发送恶意扣费短信,造成手机用户话费损失。 此外,熬夜看比赛的球迷还要防止闹钟“暗渡陈仓”。本届世界杯多数比赛都在北京时间凌晨进行,不少球迷选择定好闹钟,半夜起床看直播。然而,“记事闹钟”“音乐闹钟”“炫彩闹钟”等81款闹钟应用被恶意篡改。凌晨观战,球迷一定要谨慎被篡改的闹钟应用在手机上作恶。

谷歌商店安卓应用中 大量用户密钥信息曝露

6月20日消息,哥伦比亚大学计算机科学教授Jason Nieh以及正在攻读博士学位的Nicholas Viennot研究发现,开发者通常将密钥存储在应用中,比如Facebook和-Amazon应用,用户名和密码数据都存储在应用中,可以轻易窃取并被用来获取更多个人数据。即使是被Google Play推荐的“头牌开发商”在应用中也存在这些漏洞。 安卓的GooglePlay应用商店是一个令人又爱又恨的地方,这里有很多好用的安卓游戏与应用,但由于审查机制没有十分严格,因此也是恶意软件和应用漏洞盛产的地方。据研究者发现,即使是在商店排名较高的应用,也能发现严重的安全漏洞可能会导致用户数据暴露。   哥伦比亚大学计算机科学教授JasonNieh以及正在攻读博士学位的NicholasViennot,他们使用一款名为PlayDrone的工具软件分析安卓应用商店上的应用内容。PlayDrone使用破解技术绕过谷歌安全系统下载GooglePlay应用,然后可以复原并分析这些应用的内容以及源码。使用多台服务器大规模运行,它已经成功破译了110万个免费应用中的88万个应用。   这两位研究者发现开发者通常将密钥存储在应用中,比如Facebook和Amazon应用,用户名和密码数据都存储在应用中,可以轻易窃取并被用来获取更多个人数据。即使是被GooglePlay推荐的“头牌开发商”在应用中也存在这些漏洞。   幸亏这些研究者并没有把PlayDrone用作恶意用途,而是报告了谷歌商店官方。目前谷歌正在同各大开发商合作,修复这一漏洞,预防这些应用被扫描破解。当然除非GooglePlay采用更严格的审批政策,总会有或多或少的应用存在各种各样的安全隐患。

流量劫持 —— 浮层登录框的隐患

传统的登录框 在之前的文章流量劫持危害详细讲解了 HTTP 的高危性,以至于重要的操作都使用 HTTPS 协议,来保障流量在途中的安全。 这是最经典的登录模式。尽管主页面并没有开启 HTTPS,但登录时会跳转到一个安全页面来进行,所以整个过程仍是比较安全的 —— 至少在登录页面是安全的。 对于这种安全页面的登录模式,黑客硬要下手仍是有办法的。在之前的文章里也列举了几种最常用的方法:拦截 HTTPS 向下转型、伪造证书、跳转钓鱼网站。 其中转型 HTTPS 的手段最为先进,甚至一些安全意识较强的用户也时有疏忽。 然而,用户的意识和知识总是在不断提升的。尤其在如今各种网上交易的时代,安全常识广泛普及,用户在账号登录时会格外留心,就像过马路时那样变得小心翼翼。 久而久之,用户的火眼金睛一扫地址栏即可识别破绽。 因此,这种传统的登录模式,仍具备一定的安全性,至少能给用户提供识别真假的机会。 华丽的登录框 不知从何时起,人们开始热衷在网页里模仿传统应用程序的界面。无论控件、窗口还是交互体验,纷纷向着本地程序靠拢,效果越做越绚。 然而华丽的背后,其本质仍是一个网页,自然掩盖不了网页的安全缺陷。 当网页特效蔓延到一些重要数据的交互 —— 例如账号登录时,风险也随之产生。因为它改变了用户的使用习惯,同时也彻底颠覆了传统的意识。 乍一看,似乎也没什么问题。虽然未使用登录页跳转,但数据仍通过 HTTPS 传输,途中还是无法被截获。 HTTP 页面用 HTTPS 有意义吗? 如果认为这类登录框没什么大问题,显然还没领悟到『流量劫持』的精髓 —— 流量不是单向的,而是有进也有出。 能捕获你『出流量』的黑客,大多也有办法控制你的『入流量』。这在流量劫持第一篇里也详细列举了。 使用 HTTPS 确实能保障通信的安全。但在这个场合里,它只能保障『发送』的数据,对于『接收』的流量,则完全不在其保护范围内。

网络安全迎来新一轮高速增长期

6月25日,中国社科院发布新媒体蓝皮书指出,保障网络空间安全是中国新媒体发展最重要的问题。蓝皮书认为,“斯诺登事件”之后,网络安全问题已经延伸到国家政治安全、文化安全等领域,而不再仅仅是信息安全。全球网络空间战略可分为两种:一种是进攻型战略,一种是防御型战略。对此,分析人士表示,当前,国内IT设备及系统的安全问题上升到了前所未有的高度,国家层面更加重视信息产品的国产化,新的背景下IT行业国产化将有望加速,特别是政府和央企等领域开始实质性的去IOE化,我国网络信息安全行业将迎来新的一轮高速增长期,相关个股有望获得市场资金的关注。 受此鼓舞,昨日网络安全概念股表现十分抢眼,该板块整体上涨3.03%,板块个股全线飘红,拓尔思、旋极信息等概念股盘中强势涨停,其强势表现获得市场资金的追捧。具体来看,除上述2只涨停股之外,华胜天成当日涨幅也逼近涨停,达到9.77%,而蓝盾股份(5.80%)、星网锐捷(5.77%)、立思辰(4.93%)、东软集团(4.27%)、国民技术(4.17%)、美亚柏科(4.05%)和梅泰诺(4.00%)等个股昨日涨幅也达到或超过4%。 资金流向方面,昨日,共有13只概念股实现大单资金净流入,其中,大单资金净流入超过1000万元的个股有5只,分别为:华胜天成(9191.91万元)、东软集团(4725.11万元)、拓尔思(3232.74万元)、星网锐捷(1987.03万元)和梅泰诺(1313.24万元),这5只个股累计吸金20450.05万元。 事实上,“棱镜门”事件带来的去“IOE”运动,以及最近发生的“国企禁用Win8”、“禁止国企和西方咨询管理公司合作”事件说明,一场新的信息化战争已经打响,网络信息安全已上升成为国家战略。5月22日,在国家互联网信息办公室发布通知我国将实行网络安全审查制度之后,5月29日,工信部部长苗圩在软博会上也提出五大措施部署、支持国内软件信息服务业发展。网络信息安全产业的国产化浪潮已经袭来。 在板块的投资策略方面,华泰证券表示,后市布局可紧跟三主线。第一,关注政府信息安全下的投资机会。关注信息国产化受益标的浪潮信息、中国软件、东华软件、久其软件等个股。 第二,关注金融机构信息安全下的投资机会。近期银行或弃用 IBM 的消息体现我国对金融机构的信息安全的重视,未来金融机构的国产化也将加速,因此除了关注上述提到的信息国产化相关受益标的,还需关注金融IT公司、国产芯片公司如御银股份、广电运通、聚龙股份、证通电子等。 第三,关注军队信息安全下的投资机会。军队目前也存在依赖进口操作系统及服务器的问题,影响我国的军事安全,国产化将更加紧要,趋势也将加速。关注上述提到的信息国产化及其他主营业务与信息安全相关的标的。