沃通(WoSign)数字证书
EmailGoogleTwitterFacebook

反信息诈骗联盟进社区

        国内首个反信息诈骗联盟开展的百场“安全下社区”活动,昨日于深圳福田区东海城市广场正式启动。深圳网警和协办方腾讯手机管家,以不同方式为现场市民提供了信息诈骗的防范技巧和提醒。据反信息诈骗专线负责人透露,专线“81234567”开通一年多以来共接到来电44万余人次,累计为市民挽回损失超1.4亿元。作为联盟成员之一的腾讯,昨日还向深圳警方提供了涉嫌诈骗的55868个电话号码。         反信息诈骗联盟“安全宣讲下社区”         成立于2013年底的反信息诈骗联盟,通过标记诈骗电话和短信、数据共享、案件侦破受理及安全防范教育等深度合作,已经对日益猖獗的信息诈骗产业链形成较大遏制。如8月初迅猛传播的“XX”神器病毒,在反信息诈骗联盟成员的协同下,警方9个小时即抓获嫌疑人。         基于联盟的良好效果,为了进一步打击信息诈骗,深圳市政法委员会、深圳市公安局反信息诈骗专线联合腾讯共同发起“安全下社区”系列活动,将反信息诈骗知识带进社区,帮助更多的市民了解新型信息诈骗手法及时预防。         在昨日活动现场,深圳市公安局反信息诈骗专线的民警向现场市民详细讲解信息诈骗防范技巧,还针对不同的诈骗手段提供报案指导、心理抚慰等服务。而协办方腾讯则用腾讯手机管家软件扫描二维码的创意活动“疯狂扫码”,告知市民目前通过二维码渠道传播的八种主要病毒类型。         “其实通过二维码渠道传播的病毒正在迅猛增长,前不久各地公安机关已提醒了不少扫码后资金账户被盗的案例,我们的扫码活动主要是希望提醒市民遇到二维码不要随便去扫,而目前腾讯手机管家软件已经实现了在扫描二维码时候的安全提示,可以实现最大程度的安全保护。”腾讯手机管家一位负责人对记者透露,后台数据显示,昨天的“疯狂扫码”活动有1729次朋友圈分享。         据腾讯移动安全实验室昨日发布的《你不可不知的二维码背后的秘密》简报显示,截至2014年上半年,手机用户总扫码次数为21.59亿次,扫码手机用户总数超过4亿人次,而因扫码中毒的比例则翻了3倍。         累计为市民挽回损失超1.4亿元         据反信息诈骗专线负责人介绍,开通于2013年6月6日的专线“81234567“,截止2014年9月4日,共接群众来电447704人次,成功接听212477人次,今年6月26日高达3964次;咨询员直接劝阻15627人避免被骗汇款,涉及金额达14138.3万元;帮助5631名事主快速拦阻被骗资金5579万元,其中全额拦阻819起2302万元。         此外,还为市民提供信息诈骗防范技巧咨询79939人次,为受害人提供报警指导、心理抚慰等服务21580人次,接受举报86735人次,“呼死”涉案电话43123个、银行账号18116个,通报运营商关停涉案电话3863个,通报银行锁控涉案银行账号7080个,处置违法网站1067个。         作为反信息诈骗联盟技术的支持,腾讯腾讯移动安全实验室高级工程师陆兆华表示,通过腾讯手机管家、腾讯电脑管家与反信息诈骗联盟进行信息资源共享,将腾讯安全旗下上亿活跃号码库以及全球最大URL风险网址数据库开放给联盟各成员,已经形成了“网络+社交”的立体防范信息诈骗的闭环,希望联盟成员合力能够逐步实现联盟“天下无贼”的愿景。

360谭晓生:混合安全云“四两拨千斤”

        企业面临的安全环境日趋复杂:每日新增/变种恶意代码数量达300万,每年发现的0DAY漏洞多达数千个,存在安全漏洞的网站占比为65.5%(360网站安全检测平台数据,2013),仅中国被APT木马控制的主机就达到1.5万台(CNCERT数据,2013),DDoS攻击泛滥(360网站卫士日均拦截6800万次CC攻击),尤其是针对DNS的攻击快速增长……         在威胁不断进化的情况下,企业安全供需矛盾愈发明显。尽管安全体系建设的理论在实践中得到升级,但无论从人、产品还是系统,并未形成行之有效的手段,其根本原因,是从事网络安全与从事网络犯罪的专业人才发展极不平衡。         针对网络安全面临的症结,360首席隐私官谭晓生在接受硅谷动力采访时指出,虽然斯诺登事件让企业加强了对安全的重视,但企业安全管理人员不足的问题还很严重,甚至不少企业根本没有安全专职管理人员。         这种情况导致的问题是,企业无法及时地觉察网络攻击。谭晓生提到某大型企业在年初遇到的情况:在外部暴露出明显的安全问题之后,工作人员检查内部安全设备发现告警,却没有人能够判断发生了什么情况。“安全专业性较强,安全设备的告警也有可能误报,普通IT管理人员不一定看明白,只有安全人员才能看出哪个是误报,哪个是真的有问题要深究下去。”他说。         四两拨千斤:“云聚”安全打破人才瓶颈         尽管安全领域的就业形势较好,学校也开始重视人才的培养,但在短时间内培养10万数量级的安全人员并不现实。谭晓生指出:“现在的老师也不懂安全,我们通过进校讲座等活动推进安全(教育),但这些人学成也得3~5年以后。”在人才存在缺口的阶段,如何最大化利用现有的安全人才,是目前破解安全供需矛盾的关键。为此,360提出了混合安全云解决方案。         据谭晓生介绍,安全云是利用后端的云收集前端企业部署的安全设备的相关信息(日志、告警等),结合云端的分析程序和安全管理人员(云中心或第三方),以少数人管理多个企业的方式,来突破安全管理人员紧缺的问题。         通过云计算的形式实现威胁防御并不新颖,在对公有云接受程度较高的美国,Fireeye的未知威胁防护即是把大量的用户设备直接连接公有云进行处理。然而,中国的管理体系导致企业连接公有云的主动性不高,出于对自身信息可控的考虑,更容易接受私有云的方式。         私有云以企业或政府机构为主体,依然属于组织自身安全管理能力的范畴,在其能力无法触及的底层安全问题,可以通过上报更“见多识广”的公有安全云的方式解决。谭晓生说:“公有云连接多个私有云和中小企业,有更多的攻击样本和更专业的安全服务人员。比如360这样的安全公司,运营一个大的公有云,数百名安全专家帮私有(安全)云排忧解难。”         安全云打造“智慧的大脑”         360提出的新安全模型为“云+端+边界”,通过“天眼”、“天机”与边界安全防御进行配合,实现全方位的安全管理。360混合安全云面向所有的安全设备开放,目前已经与网康、网神建立了合作伙伴关系。         在这个模型当中,安全云将传统的安全设备纳入安全防御体系之内,但云与终端、边界安全的职能又有所区分。谭晓生表示,安全云实现的是全局的管理,而防护动作依然需要终端和边界安全来执行。他说:“如果拿大脑和四肢来比喻,不管是终端还是边界,都是网络安全的‘四肢’,‘四肢’有触觉能感知到问题;‘大脑’(安全云)指挥,给予威胁一个防御的动作。动作不可能在云里实现,一定是在边界和终端上做。人和动物的区别在于人是智能的,而不是低级的防御。终端无法知道攻击的厉害,‘大脑’知道。智能的‘大脑’帮你了解更全局的情况,了解攻击来源和最终目的。”         本文转自:推酷网

据称劫持中本聪电邮的黑客和中本聪有交谈

        简介:比特币创始人的邮箱被黑,再次激起了人们对 中本聪 身份的兴趣,目前从VICE掌握的信息来看,两个人控制着这个邮箱,其中之一就是中本聪本人。         声称黑掉中本聪邮箱的黑客的故事来了位新角色。         上周末中本聪的原始邮箱被黑事件,再次点燃人们对中本聪身份和他目前所在位置的热情。之后一封发给bitcointalk论坛主管的邮件表明不明身份的人控制这这个账号,并威胁称发布机密信息。         目前情况似乎是两个人控制着这个电邮账号,其中之一可能是中本聪本人,根据VICE报道称。根据目前掌握的信息,中本聪可能正在进行谈判。         双方当事人都和VICE有过联系,其中一方称侵入这个账户仅仅是为了好玩。这个人称之前公开中本聪身份的声明是错误的。在和双方沟通过之后,VICE猜测多个当事人控制着这个电邮账号。VICE说:“在和中本聪账号进行了第一次沟通后,很快又取得了中本聪老邮箱的联系,这个人称,我们第一次是和真正的中本聪在沟通。”         黑客的动机         和VICE沟通的第二个人网名叫Degavas1337,他说,这个电邮账号的内容可以让他确定中本聪的真实身份并和他取得联系。         这个黑客透漏了攻击背后的动机,他解释称,这纯属个人爱好,并且希望可以挣点比特币。         VICE加拿大编辑Patrick McGuire写到:“当我问Degavas1337为什么要攻击中本聪,他说因为我可以,当被问到想从中得到什么,他回答‘很明显,比特币,当然还有好玩’,但我问到是否对中本聪进行勒索时,他拒绝回答。”         这个黑客补充说,到目前,关于中本聪的身份还保持私密。他说他原本计划能够偷到中本聪屯的比特币,但后来选择利用中本聪的信息来牟利。         原文链接:http://www.coindesk.com/satoshi-nakamotos-email-hacker-allegedly-talks-bitcoin-creator/         编译:比特人-yue169(转载请著名 出处 )。

如何选择一款合适的密码管理器?

        如何拥有更安全的密码管理器已经困扰了我多年。起初,我唯一的担心是不同电脑之间共享书签和历史记录(那时手机还不在我的使用范围内)。自从我将火狐作为我的浏览器之选后,我决定使用Formarks(现在被称作XMarks并且可用于多种浏览器)。         然而,由于我天性懒惰,很快我的惰性就明显重返,然后我又在云端中同步了自己的密码。在火狐通过Sync推出即装即用的同步功能之后,我继续使用这一功能,纵然我脑海里有个小声音在告诉我这存在严重的安全隐患,我也置之不顾。我的意思是说,Mozila可以确保它想要的存储方式,可我觉得还是不太安全,但是最终还是懒惰占了上风。因为火狐的新同步功能,我不得不改变我同步东西的方式,直到此时我才发现我的决定是多余的:寻找一个更好的方式使我的密码可用于所有设备。         选择一个好的密码的要旨如下:我希望我的密码既容易记住也容易输入,同时它们也不可能被猜到或者被破解,即可用性与安全性。大致总结如下图的连环漫画:         用户的天性是选择很容易猜到的密码,一在线服务供应商(如Google和Dropbox)提供了一个有趣的功能从而打败这一天性,即两步验证法。这意味着你不仅要输入密码,还要提供另一种验证。之前的供应商都使用一些参数生成代码,这些参数是双方共知的(供应商和用户),同样还需要时间,这样猜测密码只可能会用很短的时间(一般为一分钟)。第二个步骤的形式是由银行提供的,当你用信用卡进行一笔网上交易时,他们会将密码发送至你手机,然后你必须在这个网站上输入密码以证明你是此卡持有者。         其他一些供应商甚至委托第三方供应商验证,如Google(它一直扮演此类角色)或者Github。一个众所周知的过程就是OAuth2,OAuth2可以解决许多密码问题如果所有的服务供应商可以提供授权。不幸的是,大多数供应商选择自己验证(以及保持自己的身份,但这并不是今天的话题)。更不幸的是,他们只提供传统的登录或是密码验证挑战。再回到原点……         当然,我可以努力创造出一个难以破解的密码,但是面对这么多的应用,生产出适用于每一个应用的密码已经完全超出了这个问题所涉及的(甚至是完全不可能的)。没有人会建议所有的应用使用相同的密码,当一个黑客发现一个网站上的密码时,他就可以获得所有的密码,但是有些人主张在密码前面或后面加上域名。可惜的是,从另一方面来说,任何简单的自动规则都能很容易地被多种类的自动破解打败,所以,如果你认为自己的帐号安全很重要的话,这种行为是万万不可取的。         答案很简单:为每一个应用创建一个专用的密码,既不容易破解也很难记住,将它存放在安全的地方。这个安全的地方需要确保有一个相对而言容易破解也可能记住的主口令,这就是圣杯的关键。从本质上来说,这就是对密码管理器解决方案的描述,关于这个软件我有几个要求:         开源:我更喜欢有一个开源的解决方案,如果可能的话有权限的人就可以(至少在理论上)进行安全审计。封闭源代码的解决方案意味着安全性通过模糊处理,当遇到真正的威胁时就不起任何作用。         多设备:对,我就是那种有很多设备的人,我不仅拥有多台计算机(办公的电脑,台式机,笔记本),这些计算机有着不同的操作系统(Windows和OSX),而且有两部手机和一个平板。所以我想要一种可以使这些设备兼容的解决方案。         配置身份验证:这个要求是非常重要的,因为它不仅让我选择如何验证进入存储(例如密码或密钥),也增强了解决方案的安全性。         最佳实践:最后但并非不重要的,我需要实现安全性最好的实践,例如散列法,salting(对密码进行混淆的方法),一种缓慢的哈希算法,等等。         既然选择好了我的密码管理器,现在到了最难的一部分:我是应该将密码存储在我随身携带的USB上(同时备份在一个安全的位置,只是为了确保安全),还是放在我随身携带的笔记本上或是放在云端呢?这相当于前面一个问题,安全性还是可用性?我已经决定将它存储在云端,由两步验证保护的供应商设施。我也可以保证这个存储在我其他设备上也是可用的,虽然我不知道一条锁链的强度取决于它最脆弱的那一环。以我目前的设置,我不确定我是否完全摆脱3个委托书机构窥探的影响,或者更准确地肯定我不能。不过,我确信我已经增强了网上入侵稳健性的数度级,这应该可以阻止脚本小子对我玩一些肮脏的的把戏。现在,轮到你了……         原文链接:http://www.importnew.com/12969.html         翻译:本文由ImportNew-范琦琦翻译自 frankel

还有多少潜在的“心脏滴血”等待爆发?

        编者按:一份针对开放源程序库的调查报告显示,许多企业的科技产品中都含有类似于心脏滴血的漏洞。IBM、谷歌、苹果、索尼……产品数量级可达10亿。         今年四月份爆发的“心脏滴血”漏洞让整个互联网安全界为之颤抖,它的那独特的滴血标志也成为各大媒体争相报道的关注对象。但该漏洞爆发两个月之后,互联网上成上千上万包含此漏洞服务器的打补丁工作似乎开始停止,在网上留下超过30万台尚未得到修补的机器。漏洞载体开源项目软件OpenSSL仍然表示缺乏足够的资源来保证代码安全,更为甚者,最新的研究显示,造成心脏滴血大范围传播的环境很普通。         开放安全基金与安全公司Synack最近在黑帽大会上联合公布了一份调查报告,主要内容针对开放源程序库的安全和使用。该报告标出了几个极为广泛使用的开放源程序库,均含有方方面面的安全问题,其中一个程序库中的漏洞可以与心脏滴血产生类似的影响。这也就意味着,类似心脏滴血的事件极有可能通过第三方的源程序库再次发生。而且,调查还发现了OpenSSL中的其他几个漏洞,有些漏洞的危险性可能还要大于心脏滴血。         尽管心脏滴血漏洞被宣扬的天下皆知,但OpenSSL仍然没有足够的钱去解决这些问题。漏洞爆出后,该项目组曾实施了一次评估,结果是大约需要6倍的全职开发人员才能保持该程序的安全运行。IBM、惠普、谷歌及其他的科技大公司承诺的支持资金只够雇用两个全职开发人员。         另一个含有潜在问题的源程序库是字体显示程序FreeType,包括苹果、谷歌和索尼等公司生产的超过台10亿设备,都使用FreeType。而FreeType在七年的时间里已经被发现超过50个漏洞。其中一个漏洞是远程控制iPhone手机的攻击得以实现的基础。         其他一些存在问题的开放源程序还包括显示图片的LibPNG和显示视频的FFMpeg,后者被苹果、谷歌、微软和索尼用来播放视频。         虽然大多数广泛使用的源程序库每年都会经过多次安全更新,可对于软件工程师来说,保持对所有源程序及其不同版本不同使用方的更新并不容易。而且很少有公司能够及时做到对所有使用源程序库的更新,最常见的是只在发布新产品时才会去更新这些源程序库。但这样做的后果是,很有可能错过一些重大漏洞的补丁。         有些专家认为软件公司应该为其开发的软件漏洞负有法律上的义务。黑帽大会上一些高管就讨论了这个问题,关于投资方是否有权力要求第三方对公司的程序代码进行审计,并将此作为企业合并和收购工作的标准程序。         美国中央情报局投资成立的研究机构In-Q-Tel则在这个问题上走得更远,其信息安全官丹·基尔在黑帽大会上公开呼吁,立法来令软件公司对其产品产生的安全问题负法律责任。         基尔的提议遭到软件行业和强烈反对,可行性很小。更为实际的做法是,提升第三方源程序库开发人员的风险意识,并建立起易于发出最新漏洞和相关补丁通知的手段。         “风险无法消除,所以我们必须给予控制!” 安全公司Synac生态系统战略主管Kymberlee Price如是说。

FireEye:60%的流行安卓应用存安全风险

        根据安全研究公司FireEye的研究,在针对Google Play 中1000个最流行的Android应用的研究发现, 其中60%的应用,由于SSL代码错误以及证书处理的错误。至少存在着中间人攻击的风险。         “安卓生态系统急需帮助, 因为SSL漏洞和中间人攻击(MITM)攻击正在对数据安全造成严重破坏。” FireEye在博客中写道。         FireEye的研究人员发现了三类基本的SSL错误:         1)可信管理没有检查证书是否有效         2)应用不去确认远程服务器的域名是否正确         3)在使用Webkit时忽略SSL错误码(即当安全完整性检查出错时的错误码)         可信管理引擎不对后端服务器进行身份验证是目前看来最常见的问题。 这使得黑客可以伪造成合法的身份来盗取数据。 在Google Play商店最流行的1000个安卓应用中,有73%的应用存在这样的问题。 在最流行的1万个应用中, 有40%存在这样的问题。         第二常见的问题就是Webkit的错误码问题。 在最流行的1000个应用中,有77%存在这样的问题,在最流行的1万个应用中,有13%存在此类问题。         对中间人攻击来说, 目前广告网络是最大的攻击目标。 黑客或者是通过劫持连接来安恶意软件, 或者把用户劫持大其他网站。 FireEye的研究团队发现最流行的两个广告库Flurry和Chartboost都使用了不可靠的可信管理器。         这两个系统目前都已经加了补丁, 不过这并不意味着第三方的应用开发人员就会立即更新他们的应用。 重新对代码进行编译并发布。         “很多SSL和密码的问题与应用如何进行测试和发布相关。在开发过程中, 很多开发人员发现对SSL验证进行禁用可以方便测试。” Neohapsis的安全研究顾问Patrick Thomas说“这是很危险的, 因为这需要有人能够记住在软件发布的时候把SSL验证加进来。 这一点很容易被忘记从而导致严重后果。 这类错误说明了在产品开发阶段安全专家与开发团队合作的重要性。 在产品发布前, 除了功能测试外, 安全测试也非常重要。 ”

Win9开发者预览版可下载? 小心是钓鱼网站!

        网络上出现恶意网站利用“今年9月将推出Windows 9开发者预览版”的传言,搭配热门搜索引擎进行关键词操作,诱骗用户下载广告程序。         中国软件资讯网9月3日消息,据台湾媒体报道,对于Windows 9开发者预览版可供下载的消息,趋势科技发出警告,呼吁用户“悠着点”,以免误陷恶意网站的陷阱。         趋势科技发现,网络上出现恶意网站利用“今年9月将推出Windows 9开发者预览版”的传言,搭配热门搜索引擎进行关键词操作,如:Windows 9、free(免费)、leak(流出)和download(下载)等,诱骗用户下载广告程序。         趋势科技资深技术顾问简胜财表示,许多提供Windows 9开发者预览版下载链接所提供的软件,都已被证实为灰色软件或网络钓鱼诈骗,因网络犯罪分子喜欢利用热门话题诱骗用户。趋势科技预测,利用Windows 9作为诱饵的广告程序数量将持续增加。趋势科技已封锁上述广告程序所有组件,并呼吁用户针对Windows 9相关网页提高警觉,勿下载来路不明的应用程序。         恶意网站提供Windows 9开发者预览版使用者,在该网站点击“立即下载”按钮后,将重新导向至档案代管服务─Turbobit.net的下载页面,并可免费下载一个5.11 GB的档案,使用者下载后会被提示安装一个影片档案下载管理程序。进行下载的使用者将会被引导至新网页,提示安装影片档案下载管理程序VideoPerformanceSetup.exe。而VideoPerformanceSetup.exe是一个被侦测为ADW_BRANTALL.GA的广告程序。经趋势科技分析,此档案并非Windows 9开发者预览版的外流版本,而是经过重新包装的Windows 7 SP1 64位版加上多个工具软件,并默认葡萄牙文为安装语系,让使用者无法立即辨识此档案非Windows 9开发者预览版。         趋势科技同时也发现,拥有数个运用相同手法的广告程序,利用提供免费Windows9开发者预览版诱骗使用者下载名为ADW_INSTALLREX.GA的广告程序,执行此广告程序将会再下载被侦测为ADW_WAJADH、ADW_SPROTECT和ADW_MULTIPLUG的广告程序。         某些YouTube的Windows9开发者预览版介绍影片叙述内文提供下载链接,点击链接后会下载keygen.exe与Setup.exe两个档案。两者都已被趋势科技侦测为ADW_OUTBROWSE.GA广告程序。

恶有恶报:近一半的DDoS攻击公司达到两倍或更多

        苏菲戴维森帖子         现代犯罪不再是进入银行滑雪面具和手枪。今天的重罪犯正在进入网络空间来完成他们的邪恶的目标。         记住这句老话,“犯罪总是回到犯罪现场”?事实证明这一箴言持有大量的体重对于DDoS网络犯罪。         双DDoS         最近的研究调查显示,约41%的在线业务从BT是DDoS在过去12个月的受害者。更引人注目的结果的研究表明,这些攻击,超过78%被击中一次之后不久。         分布式拒绝服务攻击或DDoS包含大量的网络威胁压倒目标服务器,或者果酱theirnetwork。干扰目标的资源,黑客成功地防止正常流量(如用户或客户)通过。         这些攻击是潜在的灾难性的影响。被强大的攻击击中后,平均要花至少12个小时回到用户提供完整的服务。         在12个小时会发生什么?这种干扰可能意味着失去成千上万美元的收入。或者,也许更糟糕的是,用户和在线业务之间的信任,建立了在几个月或几年,可能会丢失在几分钟内。         为什么两次?         想象一个小偷成功偷出一个特定的银行金库。后来他抢劫银行后学习没有改变theirsecurityinfrastructure。他已经知道路线,锁码,旋转guards-what的阻止他再次引人注目吗?         这种比较描述了思维过程和风险/回报评估黑客。比较大差异是DDoS罪犯更有可能再次罢工,因为无防备的网站不可能应对第二次进攻。毕竟,不像其他的黑客攻击,通过“安全漏洞”,DDoS没有漏洞修补和大多数捍卫者不能扩大网络容量与攻击者的进攻。         另外,DDoS罪犯与攻击本身不太可能被执行间接地通过劫持别人的电脑         (a.k.。一个使用DDoS僵尸网络),它创建一个重大罪犯和目标之间的距离。 8日为期一天的DDoS攻击,执��到180000年全球“诱导多能性”。来源:Incapsula )         唯一的BT的安全人员采访调查表示,他们坚信他们的机构或业务是充分准备抵御未来的DDoS攻击。这个数字代表了一个令人震惊的巨大的差距对于大多数在线业务在安全基础设施。         但也有一些公司准备在线威胁。大多数企业已经从第三方防务公司DDoS保护。装备精良的安全公司已经停止DDoS攻击的网络容量和安全经验超过100 Gbps,相当于一个数据海啸。         准备你的网上业务         精明的企业主们准备迎面而来的DDoS升级。更高的计算能力和增加更多的世界各地连接设备允许黑客进行网络攻击的能力。         直接损失和未来销售、客户信任、和公共关系fiascos-these只是几个容易DDoS攻击的后果。确保你的网站准备好第一次攻击的第二和第三。

DES算法详解与源码 – 小虾ff

        网上关于DES算法的讲述有很多,大致思路一致。但是很多细节的处理上没有交代清楚,源码质量也参差不齐,为此也花了很多时间研究了一下,现在把完整思路和源码整理如下。         1. DES算法简介:         DES算法为密码体制中的对称密码体制,又被称为美国数据加密标准,是1972年美国IBM公司研制的对称密码体制加密算法。 明文按64位进行分组,密钥长64位,密钥事实上是56位参与DES运算(第8、16、24、32、40、48、56、64位是校验位, 使得每个密钥都有奇数个1)分组后的明文组和56位的密钥按位替代或交换的方法形成密文组的加密方法。         2. DES步骤:         1.首先输入一个8字节的密钥M8。将8字节的密钥转换成成64位的二进制位M64。其中第8,16,24,32,40,48,56,64位是校验位, 使得每个密钥都有奇数个1。所以密钥事实上是56位,储存时可以先储存64位,在下一步骤中的PC1置换中可以扣除。         这里注意高低位问题:比如’L’的ASCII为75,转换为二进制为’01001011’,在这里二进制从左到右为从高到低位,在密钥转换时,则从低位向高位储存         如:’L’的ASCII为75,二进制为’01001011’,转换至数组内为:char a = {0,1,0,0,1,0,1,1};         网上各源代码对此处的处理有所不同,这种处理办法能够获得正确的解析结果。         2. 将64位M64经过PC1置换转换为56位(扣除奇偶校验位)。         对这56位密钥进行如下表的换位。         57, 49, 41, 33, 25, 17, 9, 1, 58, 50, 42, 34, 26, 18, 10, 2, 59, 51, 43, 35, 27, 19, 11, 3, 60, 52, 44, 36, 63, 55, 47, 39, 31, 23, 15, 7, 62, 54, 46, 38, 30, 22, 14, 6, 61, 53, 45, 37, 29, 21, 13, 5, 28, 20, 12, 4,         表的意思是第57位移到第1位,第49位移到第2位,…… 以此类推。         3. 变换后得到56位数据M56,将它分成两部分,C[0][28], D[0][28]。         4. 计算16个子密钥。计算方法C[i][28] D[i][28]为对前一个C[i-1][28], D[i-1][28]做循环左移操作。16次的左移位数如下表:         1, 1, 2, 2, 2, 2, 2, 2, 1, 2, 2, 2, 2, 2, 2, 1 (左移位数)         在这里的16次循环中,每一次循环中,左移后,将C[i][28],D[i][28]重新凑成56位后,对这56位进行一次PC2置换,得到48位的子密钥sub[i][48]。16次循环后就有16个子密钥。PC2变换如下:         14, 17, 11, 24, 1, 5, 3, 28, 15, 6, 21, 10, 23, 19, 12, 4, 26, 8, 16, 7, 27, 20, 13,

Read More…

2014上半年4亿人扫二维码 男屌丝最易扫码中

9月3日消息,腾讯移动安全实验室正式发布《你不可不知的二维码背后的秘密》简报。简报显示,扫二维码中毒比例在过去2年翻3倍。截至2014年上半年,手机用户总扫码次数为21.59亿次,扫码手机用户总数超过4亿人次。就性别比例看,男性占比近8成。就地域分布看,广东中毒用户高居全国榜首,超过第二名和第三名的省份江苏和浙江之和。对此腾讯手机管家提醒,不要见码就扫,此外可以考虑安装如手机管家这样的安全软件实现安全扫码,并防御各类病毒。 扫二维码中毒比例快速提升,2年翻3倍 据简报,2014年上半年,手机病毒来源渠道中,因扫二维码中毒的比例为9%。而2013年全年报告中二维码的病毒传播比例还只有7.42%。2013年上半年该渠道占比为6%,2012年全年只有3%,占比仅2年翻了3倍,呈现加速上升趋势。 而因二维码传播病毒遭遇财产损失的用户,也大有人在。2014年3月,央视财经报道,武汉一名网民在网购的时候,被店主告知可以扫描一个二维码领取100元红包,她扫描该二维码之后,并没有收到红包,而且支付宝长时间无法登录。等她再登录上支付宝的时候,发现余额宝中4万元已被转走。 男屌丝最易扫码中毒,广东中毒用户最多 简报还显示,因扫二维码中毒的手机用户中男女比例基本为“八二分”,男性扫码病毒比例78.4%。此外,报告还显示,广东省是二维码中毒第一大省,因扫二维码染毒用户占比为17.36%,位居全国第一,超过第二名和第三名的省份江苏和浙江之和。 在腾讯手机管家截获的二维码扫码病毒中,私享电影、极品视频、雷电战机、快播魅影、快播影音等十大手机病毒,基本上都具有私自发送短信的恶意行为,这意味着这些手机病毒可以轻松的窃取用户的手机支付短信验证码等隐私信息,从而导致用户资金被盗。 防扫二维码中毒,腾讯手机管家有高招 其实,对于二维码的安全问题,比其他手机安全问题更好防范,因为用户可以通过自己的谨慎来避免中毒,对此腾讯手机管家提醒: 首先,切勿见码就扫!微信、手机浏览器等都有扫码功能,但是不要见码就扫。 其次,下载安装腾讯手机管家,并利用右上角的安全扫码功能进行扫码,可减少中毒概率。 再次,腾讯手机管家还具有防钓鱼、手机APK病毒检测等云安全检测技术,也可提前防御二维码钓鱼、二维码病毒。