沃通(WoSign)数字证书
EmailGoogleTwitterFacebook

12306购票又报乱码BUG

  又是一年国庆黄金周,今天可以抢10月1号的火车票了。最近有网友发现在12306购票网站又发现BUG,而且貌似很多天都没有解决,那就是出现了乱码。   其实12306一直还存在一个问题:浏览器安全警告,网站安全证书有问题,似乎一直没有解决。强烈建议12306去沃通申请一张免费SSL证书:https://buy.wosign.com/ ,免注册,10分钟搞定, 彻底解决浏览器报警问题,解决广大人民群众的疑惑,真正打造一个放心的购票网站。

国家信息中心专家将亮相ISC大会详解安全战略

从去年“棱镜门”事件引爆全球信息安全大讨论,到今年2月中央网络安全和信息化领导小组成立,直至前不久中央政府宣布只采购国产安全软件,网络安全已经正式上升至国家战略。9月24日,亚太地区最大的安全盛会——2014中国互联网安全大会(简称ISC 2014)即将在北京开幕。国家信息中心副主任宁家俊将在“企业安全分论坛”上发表演讲,探讨国家战略下的企业网络安全防御与挑战。 回顾近两年,信息安全领域就像是上演了一部跌宕起伏的大片,吸引了整个世界的眼球,也彻底颠覆了人们对信息安全的认识,世界各国纷纷调整在网络空间的战略部署,网络空间格局面临重大变革。 今年2月,中央网络安全和信息化领导小组正式成立。习近平主席在也特别强调,网络安全和信息化是事关国家安全和国家发展、事关广大人民群众工作生活的重大战略问题,要努力建设成为网络强国。领导小组的成立体现了中国最高层全面深化改革、加强顶层设计的意志,显示出保障网络安全、维护国家利益、推动信息化发展的决心,更标志着中国正从网络大国加速向网络强国挺进。 事实上,网络安全形势确实异常严峻。国家互联网应急中心报告显示,针对我国互联网站的篡改、后门攻击事件数量呈现逐年上升的趋势,其中政府网站已成为重要的被攻击目标。而前不久,全球上千座发电站遭到了“超级电厂”恶意程序的感染,黑客集团可以直接远程控制受害企业的计算机设施,阻断电力供应或破坏、劫持工业控制设备,直接危及国民经济命脉。 面对这些问题,企业如何保护自身的信息安全?网络安全厂商应该如何应对?国家信息中心副主任宁家俊将在2014中国互联网安全大会的“企业安全论坛”(isc.360.cn)上发表演讲,与国内外顶尖安全专家共同探讨国家战略下的企业网络安全防御与挑战。 本届ISC 2014是由国家计算机网络应急技术处理协调中心(CNCERT/CC)、中国信息安全测评中心、国家计算机病毒应急处理中心和中国互联网协会指导,360互联网安全中心与中国互联网协会共同主办。 作为亚洲地区信息安全领域规模最大的专业会议,ISC 2014吸引了前美国总统国土安全顾问、首任美国国土安全部长汤姆•里奇、黑帽大会&Defcon创始人杰夫•莫斯、计算机病毒之父弗雷德•科恩等在内的100多位安全大腕参与,预计参会人次将首次超过2万人次。

是时候对网络安全展开更严重的对话了!

        【 CNW独家编译 】网络安全领域的每个人,在过去一周左右都十分紧张且忙碌。首先,是美国UPS的网络安全违规,但与摩根大通所遭遇的网络安全形势相比这简直就是小菜一碟。祸不单行,当好莱坞的明星裸照暴露在网络上时,网络安全情势明显变得更加反复无常。然而,Home Depot的严重数据泄露事件又更加引人注目,专家预测,其造成的损失将超过Target数据泄露事件。         下面将通过一些网络安全概念更加具体地阐述网络安全漏洞:         风险管理。这是一个数学公式,你可以试着从中计算出威胁的频率及你的网络面对这些威胁有多脆弱,所以你可以提出减轻风险的选择。问题在于,高管们对于网络风险依然一无所知,并仍然认为这种讨论是一个昂贵的且不必要的负担。此外,许多企业安全人员缺乏云计算 [注] 和移动网络带来的风险的处理技巧。是时候把脚从油门踏板上撤出来,以确保应用程序和IT项目中的安全问题更加易懂,并确在我们将这些项目放在网络上能得到足够的保护。         预防。我们现在已经在网络攻防方面花费了大量的时间和资源。这本身并没有错,但我们的预防方法太通用和死板。换言之,我们在所有行业按照标准配置部署防火墙、IDS / IPS和端点安全软件,但黑客针对不同行业的攻击方式却各异。进一步来讲, 当网络攻击链跨越多种技术时,我们需要对单个技术实施预防控制。高于标准的最佳实践就像SANS排名前20的安全控制,我们需要为我们的应用程序、业务流程、网络流和行业用户定制预防。这些对于每个行业来说将是独一无二的,需要仔细的研究和规划。         检测。安全行业警告说,所有的企业或组织都会有违规的风险,因此威胁检测工具和技术的投入显得必不可少。这确实是个好的建议,但检测的主要问题是,它需要一个具备安全分析和检测技术的强有力的团队。不幸的是,网络安全人才短缺已成为一个全球性问题。环境、社会和治理(ESG)的研究报告表明,25%的企业和组织都面临网络安全技能短缺。为了让我们的可用资源迎合目前的安全需求,我们必须找到一个让安全专家工作更智能的方法。而这就需要对海量安全数据进行全面的收集、处理和分析。这个领域有许多技术工具(如Blue Coat/ Solera, Click Security、惠普、IBM、ISC8,Narus,RSA,Splunk等等),但如果许多企业能将其安全分析业务交给有良好信誉的服务提供者(例如戴尔、Sumo Logic、赛门铁克等等)的话,他们的安全将更有保障。         响应。对于一个大型的企业组织来说,每天收到成千上万的安全警报是非同寻常的。哪些是最重要的呢?哪些是真实的?什么类型的补救活动最应优先?根据我的经验,许多企业和组织解决这些关键问题时有一个共同的策略:做好准备。所以我们究竟需要什么?更好的可视性(+本站微信networkworldweixin),数据关联性,算法,和情报,这样一来,我们使用技术来回答这些问题时,会有高度的准确性。当我们对我们的安全技术情报信心倍增时,我们可以将我们的响应自动化。在我看来,我们必须这样做,因为即使是最好的安全专家也不能与当今网络威胁的规模和复杂性同日而语。         最后一点,也许有争议——对于网络安全,我们要担负起更多的责任。例如,消费者应该停止信用卡支付。同时,当更多的网络安全违规发生时,任期内的公司董事会和首席执行官应该失去工作。

日本政府拟研讨直接聘用黑客应对网络攻击

        【环球网报道 记者 王欢】《日本经济新闻》9月9日报道称,为应对网络攻击,日本政府将开始研讨直接聘用精通网络 及电脑技术的“黑客”。基本方向为,在2015年度以日本内阁官房信息安全中心(NISC)下设的有聘任期限的职员或研 究员岗位为主,吸纳“黑客”人才。内阁官房信息安全中心负责综合应对网络攻击,此举旨在通过扩充专业人才,进一 步强化对急速增加的网络攻击的应对能力。         报道称,用高超的计算机技术为公共事务服务的黑客被称为“白色黑客”。美国的行政机关汇聚了很多信息安全专家,其中就有被称为“白色黑客”的技术人员。据称,美国全体信息安全专家的人数超过了3000人。日本内阁官房信息安全中心规模较小,仅有70人,其中一半的职员还同时兼任其他省厅的职位。         日本政府认为,如果内阁官房信息安全中心可以直接聘用应届大学毕业生或企业的退休人员担任技术人员的话,将可以采取比目前更为严密、务实的防御对策。美国有一种制度,为精于网络破译技术的大学生提供奖学金,作为交换这些大学生毕业后需在在政府部门工作一段时间。法国政府也为应届毕业的“白色黑客”特设了岗位编制。         《日经新闻》称,2013年度日本的政府相关机构遭到的网络攻击达到了508万次,是上一年度的5倍。据悉,进入2014年以来攻击增加的势头不减。按照往例,2020年东京奥运会召开期间网络攻击有集中的倾向。日本政府为了备战2020年的东京奥运会,正在加紧扩充和培养信息安全人才。

谷歌反病毒搜索引擎成为黑客“练手”新工具

        猎云网9月10日报道 (编译:Jasmine)         在微软、苹果这些公司发布新软件之前,他们都会进行代码测试,以确保软件运行正常,并检测是否有bug存在。而黑客和网络间谍也是如此,如果你是他们,你最不愿意见到的应该就是自己用以攻破受害者系统的木马病毒暴露。更重要的是,你不会希望受害者们的杀毒引擎检测到你投放的那些恶意工具。         所以你该怎么做呢?你会向VirusTotal提交你的代码,让它先对你进行下检测,如果能够通过它的检测,那么想要瞒天过海就So easy了。说到这里,你可以会想知道VirusTotal究竟是个什么样的神存在,不要急,我们很快就会讲到它了。         长久以来大家都有这样一个怀疑,黑客以及国家间谍在恶意软件正式启用之前,会先利用谷歌的杀毒引擎进行测试,只是一直没有得到事实验证。不久前,独立安全研究员Brandon Dixon跟踪了几个高调的黑客组织,其中甚至包括两个备受瞩目的国家级黑客团队,在他们通过VirusTotal磨练代码技术,开发间谍情报技术的时候,Brandon Dixon抓了他们一个现行。         “VirusTotal居然反被利用,”Dixon表示:“这真是一个讽刺。我从未想过一个国家会利用公共测试系统做这样的事情。” VirusTotal是一个免费在线服务,2004年由Hispasec Sistemas在西班牙创立,并于2012年被谷歌收购。它集合了包括赛门铁克(Symantec)、卡巴斯基(Kaspersky Lab)、芬安全(F-Secure)等杀软公司推出的三十多种以上的病毒扫描程序。研究人员或者是其他一些人如果在系统里发现了可疑文件,可以上传到VirusTotal,看看扫描器有没有把它标识为恶意文件。但是VirusTotal这套为了保护系统而存在的引擎,却无意间给黑客提供了机会,让他们得以调整测试自己的代码,直到这些代码可以骗过杀毒工具。         Dixon多年来一直对上传文件的数据进行网络跟踪,目前他已经确定了几个黑客和黑客团队,他们一直在使用VirusTotal提炼代码。         他之所以能够做到这些,是因为每一个上传到 VirusTotal的文件都会有元数据保留。这些数据包括文件名以及上传时间,还会把上传者的IP地址进行压缩存储,通过IP地址,我们可以知道这些文件是在哪个国家上传的。尽管谷歌隐藏了IP地址,防止用户信息外露,但是通过散列,我们还是可以知道哪几个文件从同一个IP地址提交出来。并且,很奇怪的是,Dixon监控的好几个黑客组织都喜欢用同一个IP地址来提交恶意代码,一点都不明白狡兔三窟的道理。         使用自己创建的一套解析元数据的算法,Dixon寻找到了一些文件提交的模式和规律,他推测这些元数据属于两个大名鼎鼎的网络间谍团队,其中一个据点应该伊朗出没。Dixon花了几个月的时间观察这些组织,他们利用VirusTotal慢慢完善代码,很快地,扫描器越来越难检测出这些几经打磨的恶意软件。Dixon密切观察着他们,在某些情况下,Dixon甚至可以预测到他们何时会发动攻击以及什么时候用户遭到了攻击——当他看到一些曾经测试过的代码再次出现在VirusTotal上的时候,当一些受害者在机器上发现了它们,并把它们提交VirusTotal进行测试的时候。         至于Dixon是怎么想到研究VirusTotal的元数据这样另辟蹊径的手段,那是因为有安全研究人员反复提出对黑客利用该网站作为测试工具的怀疑。直到现在,他依然不愿意公开讨论他关于元数据的研究,他知道,这将会使得黑客们改变战略,以后更难抓住他们的狐狸尾巴。但是他也说目前VirusTotal的数据库里已经有足够的历史数据,足以让其他研究人员进行研究,寻找出那些他没有发现的漏网之鱼。于是不久前他公开了自己开发的代码,这个代码可以更好地分析元数据,这样其他人也可以独立开始研究。         Dixon表示,一拿到数据就能找出隐藏BOSS这种升级流是不存在的。“找出它们是一件非常困难的事情,当我刚开始关注这些数据的时候,简直一头雾水,恨不得以头抢地,我压根不知道我应该寻找什么,也不知道黑客是怎么炼成的,直到我找了一个黑客出来。”         Dixon跟踪到的伊朗的某个不知名的黑客或者是黑客组织,在过去的6月仅仅一个月里,上传了大约1000个病毒文件,由此获得了大量的防杀软经验。在某种情况下,他们可以一直隐忍不发,直到成功完成调整,足以绕过所有杀毒软件。         现在黑客组织在VirusTotal上的活动已经暴露,不过毫无疑问他们不会收敛,依然会继续使用这个引擎,只是会改变方式,让你更难查到他们。Dixon对此喜闻乐见。只要安全公司确定有谁在VirusTotal上测试恶意代码,他们就能找到机会去寻找他们的蛛丝马迹,掌握他们的特征,在这些代码投放出来之前,创造好对应的防御机制。         Souce: wired

是谁让你在网上裸奔?

        本报记者 武晓莉         安全漏洞一直是用户最为担心的问题,尤其是智能移动互联网时代,人们生活的方方面面都和网络搭上了关系。今年上半年相继爆发的十大安全漏洞,显示了互联网安全的严峻性。日前,业界安全专家、长城重点安全实验室主任陈亮对这十大安全漏洞进行了分析。         OpenSSL“心脏出血”漏洞         爆发于4月份的Heartbleed漏洞,可以直译为“心脏出血”,是OpenSSL源代码中存在的一个重大安全漏洞。         OpenSSL是互联网应用最广泛的安全传输方法,被各大网银、在线支付、电商网站、门户网站、电子邮件等重要网站所广泛使用。此漏洞被普遍认为是近年来危害最严重的安全漏洞。该漏洞可以让黑客轻松在http开头的网址服务器上,实时抓取用户的账号密码。从该漏洞被公开到漏洞被修复的这段时间内,已经有一些网站用户信息被黑客非法获取。未来一段时间内,黑客可能会利用获取到的这些用户信息,在互联网上再次进行其他形式的恶意攻击,针对用户的如网络诈骗等“次生危害”可能会大量集中显现。         从影响上看,加拿大税务局因该漏洞关闭了电子服务网站,维基也提醒用户更换密码。         目前所知,国内如下系统如果运营维护不当,会导致可能存在随机登录银联账户并获取服务器敏感信息:淘宝主站、微信网页版和公众账号版、中国银联、12306新版订票系统、比特币中国、搜狗通行证服务器、乐视网、凤凰网、京东某分站(存在此漏洞导致敏感信息泄露及已证明全站随机用户可登录)、搜狐畅游和联想官网。         Struts2-021补丁绕过漏洞         4月23日晚,安全人员研究发现Apache公司提供的升级版本并未完全修复漏洞,补丁中的相关安全机制仍可被黑客绕过。中国建设银行、中国工商银行、中国银行、淘宝、京东、中国移动官网等都采用Struts2框架,此漏洞对上述网站服务器构成了拒绝服务和远程控制的威胁。         攻击者利用此漏洞,可以远程对目标服务器执行任意系统命令,轻则可窃取网站数据信息,重则可取得网站服务器控制权,从而造成信息泄露并给网站运行带来严重的安全威胁;特别是政府、公安、交通、金融和运营商等尤其需要重视。         苹果GotoFail漏洞         2月份出现的GotoFail漏洞,会使苹果应用程序易受中间人攻击,无法保障网络信息传输的安全性。         对该漏洞享有网络特权位置的攻击者将有可能会获取或者修改SSL/TLS所保护的数据。该漏洞会使用户发送的信息可被攻击者截获,包括网站登录密码、网银支付密码、电子邮件和聊天记录等重要信息,从而对网银、网游、网上交易等造成极大的威胁,进而易给用户带来财产损失与精神损失。而且,在通讯两端都在使用公共WiFi的情况下,最易受到攻击。         IE秘狐漏洞         4月份的IE秘狐漏洞是XP停服后爆出的首个重大漏洞。利用此漏洞,黑客就可以远程植入木马病毒,完全控制受影响的系统,进行删除数据、安装恶意软件以及创建完整权限账户等恶意操作。该漏洞影响IE6-IE11全线版本。         由于IE全球市场份额高达55%,导致超过半数网民受此漏洞影响。按照微软惯例,每月第二个星期的星期二是其补丁发布的日期。但由于“秘狐”漏洞高度危险,漏洞攻击代码又已在网上公开,木马产业链很可能闻风而动,大规模地在互联网上进行远程攻击。所以微软破例提前推出补丁,包括已经停服的XP也支持修复此高危漏洞。         Windows上的内核级漏洞         通过7月份爆发的Windows上的内核级漏洞,黑客可提升Windows系统权限,入侵服务器。成功利用此漏洞的黑客可以完全控制受影响的系统,同时也可以通过这个漏洞将原本的用户权限账户提升为系统管理员,从而进行账户创建、安装木马等操作。而对于网站服务器来说,此漏洞更是一种灾难。因为攻击者通过利用网站程序的漏洞拿到服务器的Webshel后,如果只有普通的用户权限,只能对网站中的文件进行操作,无法影响服务器的安全。然而利用此漏洞,便可以拿到服务器权限,从而入侵整台服务器。         Chrome任意内存读写漏洞         Chrome任意内存读写漏洞是今年3月份爆发的。GoogleChrome是一款流行的Web浏览器,它所使用的V8引擎存在安全漏洞。远程攻击者可利用此漏洞构建恶意Web页,并通过Chrome浏览器对用户电脑内存进行任意读写,致使应用程序崩溃或执行任意代码,从而窃取用户隐私、盗用手机话费、获取地理位置、通讯录信息、图片等,给用户带来严重的财产损失和精神损失。         Safari任意代码执行漏洞         3月份爆发的该漏洞可以让黑客在用户不知情的情况下执行任意恶意代码,并且手机木马可利用该漏洞变身为系统超级用户,从而完全控制手机,可以盗用话费、窃取短信、通讯录等隐私甚至可以监听通话,进而造成用户的隐私泄露和财产损失。         Safari是苹果操作系统MacOSX中的浏览器,使用了 KDE的KHTML作为浏览器的运算核心。OSX平台上Safari7.0.2存在安全漏洞,可使远程攻击者执行任意代码。         Linux/Andriod本地提权漏洞         今年6月份爆发的Linux内核漏洞,会影响三星GalaxyS5和很多Linux发行版。         该漏洞出现在Linux的futex系统调用中,攻击者便可读写内核内存,造成本地提权。提权后,攻击者可以远程控制用户的移动设备,比如将移动设备里的用户隐私信息传送回指定服务器后再清空你的设备;也可以记录键盘输入,然后将用户输入的任何信息定时上传到他们的服务器中,包括用户输入的银行账户和密码,可以随意替换或删除移动设备中的相关数据。简单概括起来就是,可以让攻击者对移动设备做任何的事情。         AdobeFlashPlayer漏洞         7月爆发的AdobeFlashPlayer是一个集成的多媒体播放器。远程攻击者可以利用此漏洞获取敏感信息,也可以冒用用户的名义发送邮件、消息,盗取银行账号,甚至于购买商品,虚拟货币转账等,致使个人隐私泄露带来财产安全隐患。此类漏洞造成的后果都是十分严重的。         WordPressDDoS攻击漏洞         3月以来,国内外均监测到大量利用该漏洞发动的DDoS攻击。超过16.2万家 WordPress网站被黑客利用,向目标网站进行了 DDoS攻击。目前国内大部分中小博客网站都采用了WordPress博客平台,因此都存在被黑客利用的潜在威胁。此类攻击是分布式洪水攻击,其向服务器发送每秒高达数百次的请求。所有请求都是随机值,因而绕过了缓存,并且每回都迫使页面重新加载,于是目标服务器很快就宕机了。         DDoS的攻击方式有很多种,最基本的DDoS攻击就是利用合理的服务请求,来占用过多的服务资源,从而使合法用户无法得到服务的响应。         版权所有: 非特殊声明,均为本网站原创文章,转载请指明出处: 企业网D1net

美实验室连曝安全漏洞 剧毒物被遗忘近百

        美国卫生与公众服务部下属国家卫生研究所5日说,近来发现旗下多家生物实验室胡乱保管病原体和毒素,例如一瓶剧毒的蓖麻毒素已被“乱放”将近100年。         美国近来接连曝出生物实验室安全漏洞,引发公众对生物恐怖袭击有机可乘的担忧。7月,一名研究员在国家卫生研究所实验室内找到6瓶被遗忘的天花病毒,其中两瓶标明日期为1954年的病毒仍然活跃。         受此事冲击,美国国家卫生研究所对旗下各家实验室展开详查,结果揪出不少“漏网”的危险品,包括多份肉毒杆菌、兔热病、类鼻疽等疾病的病原体。         根据规定,美国仅有少数专门实验室有权储存和处理这些危险品,然而这几份“漏网”样品却是随意放在其他实验室的冷柜后部或落满灰尘的储物架上。         在众多毒物中,一瓶生产日期距今近一个世纪的蓖麻毒素格外惹眼。不少美国人从热播美剧《绝命毒师》里听闻这种剧毒物质,对这一间谍人员和恐怖分子青睐的毒物不寒而栗。与这瓶蓖麻毒素共同存放的其他细菌样本制造于1914年,调查人员估算这瓶蓖麻毒素制造于85年至100年以前。据新华社         版权所有: 非特殊声明,均为本网站原创文章,转载请指明出处: 企业网D1net

全球最安全手机Blackphone的安全问题和漏洞详解

        Blackphone,这个载体独立和供应商独立的智能手机,是以存放隐私和让 用户 拥有直属的权限为目标而被创造出来的,号称全球最安全手机。然而Bluebox安全团队在测试该手机时,发现并不是一无所获。         研究小组分析了该设备中版本为1.02的PrivatOS,这个系统是以安卓系统为基础进行封装的。 其中,它预装了一套确保私密的程序,如Silent Circle的无声电话,无声文字,以及为安全呼出机制,文字消息,和联系人存储提供的“无声联系”。 而安全中心的应用,将允许用户控制应用的权限,这些已经被打造Blackphone的公司所实现(Silent Circle和Geeksphone)。         这款手机安装了一些第三方应用, 如“断开安全无线”应用 ,它会创建一个VPN连接到Disconnect.me(Blackphone的合作伙伴)的服务器上。除此之外,还有一个特殊的应用,Blackphone版本的在线备份工具SpiderOak。         该小组发现了一批设备本身和应用程序上出现的问题。首先,目前该手机没办法单独更新应用程序,这在11月份之前都是一个亟待解决的问题。其次,手机缺乏关键的应用程序,譬如能打开pdf和word的office软件。这将迫使用户安装第三方应用或者使用其他实际上不受信的方法,因为开发商并没有给该手机提供一个下载可信软件的应用商店。         其中的一个意外的发现是,这些应用的漏洞被披露出了一部分。研究人员在一篇博客中 写道 。         “具体来讲,我们发现,当你登录到手机的核心应用(Silent Circle应用、安全无线以及SpiderOak)的后台服务中去后”,这些应用会泄露账户名和密码给任何SSL服务器。我们之所以能意识到这点,是因为我们在设备上进行中间人攻击并且安装上了我们自己的SSL根证书。”         “这种类型的中间人攻击,可以通过SSL植入应用程序来减轻危害,”他们指出并补充道,其他应用程序也可能泄露信息。         该小组还发现150个以上的预装根证书放到系统存储时可能会出现问题。         “这意味着你的设备对相当多的认证投放了信任,而其中一些并不能让你放心”,他们说,举一个特殊的认证为例,“政府的根证书就是那样。”         它们可以被禁用,但这确实是一个繁琐的工作,都需要手工来完成。幸运的是,Blackphone的开发者已经对这个名单进行公开,并与Bluebox的研究人员合作,预计在未来会更新这些内容。         Blackphone的开发商在推出1.03版的PrivatOS仅仅十一天后,就被告知SilentCircle里面存在漏洞。这不是第一次对该手机的隐私性进行测试。上个月在DEF CON,Applied Cybersecurity的CTO,Jon Sawyer, 发现 了手机的一些漏洞,其中一些漏洞在设备初始版本的固件上。与此同时,在有记录的时间里,漏洞已经被打上了补丁。         如上文所述,尽管如用户期待的那样,Blackphone开发人员明白研究人员最终可能会发现设备和软件的漏洞。但他们实际上希望的是,漏洞的测试大牛们会将设备测试的结果分享给大众。         开发商的最终目的,是比其他OEM更快地给发现的漏洞打上补丁–无论是公司自己还是其他人找到问题后,都会尽快解决。

百度推出移动安全开放平台

        法治周末实习生 李含         法治周末记者 蔡长春         9月3日,2014百度世界大会在北京召开,本次大会首次增加了安全论坛,探讨了百度在安全领域的相关探索。         “百度需要对自己的用户数据安全负责。我们十分重视用户的隐私和数据,这也是百度致力于安全服务的提供和研究的原因。”百度安全委员会副主席陈尚义说。         在安全论坛上,百度推出了移动安全开放平台,成为本次大会的一大亮点。         Android平台上182万款恶意软件         随着智能手机的日益普及,手机已经成为人们信息获取、交流以及财产管理的主要载体,针对手机相关的诈骗、病毒、恶意行为等安全威胁呈现出成倍增长的趋势。         据《百度2014年Q2移动安全报告》的研究结果显示,Android平台上的恶意软件和高危软件累计已达182万款,其中恶意软件有64万款,恶意软件的数量已是去年同期数量的3倍。恶意扣费类软件仍然占据恶意软件的大多数,同时,隐私窃取类的恶意软件也在二季度迎来了爆发。         百度移动安全部技术总监张宇平在论坛上透露,目前,消费者、开发者、应用商店、垂直类专业应用(银行、第三方支付、运营商)等,都已经成为不法分子攻击的对象。         “我们目前的终端设备越来越强大,技术越来越先进,而我们在移动互联网上的安全问题,也变得越来越严峻。”张宇平说。         张宇平认为,目前阶段,移动安全威胁已经不仅限于终端安全,而是以消费者为核心,从应用开发、传播、到手机终端的产业链条的安全。         “多个环节面临安全威胁加起来就是非常大的隐患,当前我们要解决的问题是需要每一个合作伙伴提供方案,并有效联动。”张宇平说,满足不同用户群体的安全需求,这就是百度构建移动安全开放平台的初衷。         移动安全开放平台发展“三阶段”         张宇平表示,从不同群体的安全需求里面,百度找出了最迫切、最普遍的三类需求,对应这三种需求开发出相应的三种安全技术能力——反病毒、反骚扰和应用保护的能力,并结合百度自身应用的范畴、通过移动安全开放平台开放出来,使得除了百度之外,普通客户、安全“友军同盟”都可以使用。         而这三种安全技术能力的开放,仅仅是百度移动安全平台搭建的第一阶段。         张宇平说:“第二个阶段,百度首先希望扩展更多能力,其次把所有能力统筹规划起来,形成一个有效的系统、平台,最终有可能会和百度账号或者百度开发者平台进行互联互通。”         而第三个阶段,百度移动安全还将打造开源社区、正版联盟等,扩展与更多领域内的安全合作,联合行业各个领域共建移动互联网安全的生态体系。         百度移动安全总经理张磊透露,百度移动安全开放的目标,就是通过一个开放的计划,把安全服务和能力跟业界共享,通过业界的共同努力有一个比较稳定和合理的竞争环境。         Android安全性脆弱须护航         本次安全论坛的另一大看点,是张宇平宣布开放全球首个支持Android L应用加固服务。而这项应用加固服务,是百度提出的“应用保护能力”的核心技术。         张宇平介绍,“APP劫持”是近年来在移动端兴起的一种非法窃私技术手段,不少恶意开发者通过在正规的应用中植入恶意程序,并使用hook(挂钩)等技术篡改内存,窃取应用中用户的账户和密码等隐私信息,Facebook应用终端、某银行APP都曾遭遇类似的劫持情况。         “由于Android系统诞生时的一些先天特性,导致在Android系统上运行的应用程序,本身的安全性是相当脆弱的,很容易被人去‘解剖’,然后再发布。”张宇平说。         张宇平表示,百度此次开放的应用加固技术,涵盖了反恶意、反调试、反注入、反篡改四个方面,包括检测手机环境是否安全可靠、禁止应用被调试器调试运行、检测自身是否已经被篡改或者重新打包、禁止其他应用的代码注入体内。         (责任编辑:HN022)

网络支付安全存隐忧 慎扫二维码警惕低价陷阱

        原标题: 网络支付安全存隐忧 慎扫二维码警惕低价陷阱         东方网9月10日消息:互联网是一把“双刃剑”,其广泛普及使得网络支付市场规模逐渐扩大,不过,随之而来的金融欺诈行为也日益猖獗。据最新上市银行中报数据显示,四大国有银行电子银行客户数量已突破10亿户大关。然而,在可喜的增长和如此庞大的客户群背后,各类银行卡欺诈犯罪亦呈现爆发态势。此外,网络金融交易诈骗花样频出,防不胜防,唯有提高自身防范意识,才能全面“免疫”。         网络支付存安全隐忧         近日,中国银行业协会杨再平专职副会长在“网络支付安全宣传月”启动仪式上透露,截至2014年6月,我国使用网上支付的用户规模近2.9亿人,较2013年底增加3208万人,半年度增长率为12%。与此同时,手机支付增长迅速,用户规模达到2亿,半年度增长率为63%,网络支付已逐渐成为我国民众较为常用的支付选择之一。         然而,伴随移动支付用户增长的是网络支付安全问题的频出。据中国经济网记者了解,近年随着移动网络的发展、互联网理财产品的风靡,平板电脑、智能手机等手持终端设备的普及,新型移动支付领域也成了钓鱼软件、黑客等的觊觎之地。层出不穷的新型骗术、花样翻新的黑客木马,无一不在拷问着网络支付安全问题。         央视《每周质量报告》在“移动支付的隐忧”一期节目中报道称,一家专门从事网络安全研究的独立第三方机构,对近年来银行卡被通过支付宝盗刷的新闻报道,进行统计分析后发现,部分案例中,因为用户个人不慎,泄露了隐私信息,比如被人用复制身份证补办了手机卡,最终导致银行卡被盗刷。而另外相当一部分的案例,则都是用户被动地因为网络不安全的原因,导致银行卡资金被盗。         网络支付安全防骗小贴士         针对目前手机病毒、手机支付安全、电信诈骗等安全形势越来越复杂,手机用户应逐步提升手机安全意识。中国经济网记者查阅了中国银行业协会银行卡专业委员会制作的银行卡网络支付安全宣传手册,提醒大家在防范金融诈骗方面应该做到以下几点:         提防虚假客服,切勿泄露动态密码。办理网络购物、网络退货、退款等业务时请认清官方渠道。切勿轻信不明身份的电话,聊天工具或其他形式提供的非正规途径的网络链接。在收到动态验证码时,仔细核对短信中的业务类型、交易商户和金融,并不随便泄露给他人。         网络社交陷阱多,警惕骗子冒牌诈骗。不法分子利用社交网络的熟人关系让持卡人放松警惕骗取银行卡等相关信息。针对此,中国经济网记者提醒您,不要轻信在任何社交网络中发送信用卡的卡号、密码、卡片背面末三位数字等关键信息,以免不发分子假冒亲友或盗取聊天记录,窃取用户银行卡信息。         慎扫二维码,降低盗用风险。谨防“山寨”应用软件在扫码前,一定要确认该二维码是否出自知名正规的载体,不要见“码”就刷。在移动终端安装杀毒软件等相应的防护程序,一旦出现有害信息,可以及时提醒和删除。         公用WiFi要长心眼,保护账户安全。现在一些不法分子利用蹭网族蹭网的习惯私设钓鱼WiFi,通过木马程序偷走用户的信息。如果要使用商场、酒店等公共WiFi资源,一定要仔细核对用户名,特别是看到与公共WiFi名类似的用户名时更要多留一个心眼。         警惕低价陷阱,拒绝“钓鱼网站”。在信任的网站进行购物,不要轻信各种渠道接触到的“低价”网站和来历不明的网站。在正规网站购物,下好订单进入支付页面时,网址的前缀会变成“https”,此时页面的数据传输是加密的。如支付页面网址前缀仍然是“http”,就有可能存在风险。         转自:推酷网