一个属于你的次元网络基地
 
昨日:篇  今日:篇   总帖:篇   会员:
今日:0    总帖:78
yixiaotao
2939
Hacker在过去的2016年,发生了许多大规模和令人震惊的网络攻击事件。正如我们所预料的,2017年我们将面对更严峻的安全挑战!下面,让我们共同回顾下截至当前,网络上所发生的重大的安全事件。01加拿大贝尔公司190万客户信息泄漏加拿大贝尔公司(Bell Canada),约190万个活跃电邮地址,约1,700个客户姓名以及在用电话号码遭到匿名黑客的非法入侵。由于该公司拒绝支付黑客的赎金要求,而导致部分客户数据被在线泄漏。02Edmodo教育平台超7700万信息泄漏黑客入侵教育平台Edmodo,窃取超7千万教师、学生和家长账户信息。通过对盈利性漏洞通知网站LeakBase提供的200多万个用户记录的样本进行验证发现,这些泄漏数据包括用户名、电子邮箱地址以及散列的(hashed)密码等信息。目前,一个化名为“nclay”的供应商正在暗网市场Hansa上以1000多美元的价格出售这些Edmodo用户数据。此外,根据LeakBase 所言,Nclay还声称自己手中掌握着7700万个用户账户信息,其中4000万个账户中含有电子邮箱地址信息。Mac视频编码器HandBrake感染恶意软件在HandBrake(Mac的视频编码器)被感染恶意软件之后,数以千计的机会在五月初被感染了远程访问木马。那些被感染的人有盗窃窃取OS X Keychain登录证书的风险。03Proton木马入侵HandBrake服务器HandBrake用于下载的镜像服务器(download.handbrake.fr)遭到未知黑客的入侵,并将HandBrake客户端的Mac版本(HandBrake-1.0.7.dmg)替换为感染了Proton新变种的恶意版本。一旦用户下载了包含该恶意程序的Mac版本,攻击者将获取目标苹果的Root访问权限。04知名内部沟通软件HipChat数据库泄露黑客通过第三方扩展中的漏洞攻击了HipChat服务器,并导致数据库泄露,泄露的数据库中包含了用户的姓名、用户账户以及哈希密码等,好在没有证据表明用户信用卡信息遭到泄露。05英国发薪日贷款机构Wonga违约,影响27万账户英国发薪日贷款机构Wonga四月发布声明称,该公司部分客户信息可能遭到非法和未经授权的访问。数十万账户的个人详情可能被非法访问,有报告显示这一数字可能多达27万。Wonga表示曝光的信息可能包括客户的姓名、电子邮件地址、家庭住址、电话号码、一张卡号、银行账号、以及排序代码的最后四位数字。就在信息泄漏事件发生数月后,黑客便窃取了特易购银行9000名在线客户总计250万英镑的巨款。该事件被归咎于“系统、复杂的网络攻击”,目前仍在该国犯罪机构和国家网络安全中心的调查之下。06WannaCry勒索病毒席卷全球5月12日晚,一款名为Wannacry的蠕虫勒索软件袭击全球网络,这被认为是迄今为止最巨大的勒索交费活动,影响到近百个国家上千家企业及公共组织。之所以能产生如此大的影响力,还得‘归功于’NSA泄漏的0 day黑客工具的加持。在该事件爆发不久后,美国国会便提出了一项法案,以阻止政府存储网络武器的行为。07手机破解专家Cellebrite公司被黑,900GB数据泄露世界上最臭名昭着的iPhone和设备破解公司Cellebrite,在1月份遭到了黑客入侵,并导致数百GB的企业敏感文件遭到泄漏。据悉,这些数据中包含了大量Cellebrite的用户资料(包括登录信息),技术细节,遭到破解的手机数据和公司设备日志。其中部分资料显示该公司曾向阿联酋,土耳其和俄罗斯等政府提供手机破解设备。08暗网托管商Freedom HostingII被黑Freedom Hosting II 代管暗网上 20% 的网站,可说是最大的暗网托管服务。但就在二月份,一个匿名的黑客由于看不惯其为儿童色情网站提供托管服务,而黑入了Freedom Hosting II导致其所有托管网站下线。该名黑客称,他已经发布了 Freedom Hosting II 的系统档案,但是不含使用者资料,因为有敏感的儿童色x资料。同时他也表示他会将这些资讯交给与执法机构合作的信息安全研究人员做进一步处理。09美国中央情报局数千份机密文档泄漏中情局数千份机密文档泄露,这些文件不仅暴露了CIA全球窃听计划的方向和规模,还包括一个庞大的黑客工具库,网络攻击入侵活动对象包括微软、安卓、苹果iOS、OS X和Linux等操作系统和三星智能电视,甚至是车载智能系统和路由器等网络节点单元和智能设备。许多文件还被分类或标记为“最高机密”。在加上此前的NSA事件,可谓是情报界的一大尴尬。10著名网络服务商CloudFlare泄露海量用户信息著名的网络服务商CloudFlare又曝出“云出血”漏洞,导致用户信息在互联网上泄露长达数月时间。据谷歌安全工程师Tavis Ormandy披露,CloudFlare把大量用户数据泄露在谷歌搜索引擎的缓存页面中,包括完整的https请求、客户端IP地址、完整的响应、cookie、密码、密钥以及各种数据。经过分析,CloudFlare漏洞是一个HTML解析器惹的祸。由于程序员把>= 错误地写成了 ==,导致出现内存泄露的情况。就像OpenSSL心脏出血一样,CloudFlare的网站客户也大面积遭殃,包括优步(Uber)、密码管理软件1password、运动手环公司FitBit等多家企业用户隐私信息在网上泄露。11字体共享网站DaFont网站被黑,69.9万用户信息泄漏字体共享网站DaFont 五月份遭到黑客攻击,699000个用户账号信息被盗,其中包括用户名、电子邮件地址和散列密码等。由于用户设置的密码过于简单,结果导致超过98%的用户密码被成功破解。12俄罗斯黑客攻击60多所大学和美国政府机构系统俄罗斯黑客Rasputin在今年二月份,黑掉了60多所大学和美国政府机构的系统。据了解,Rasputin主要使用一些由自己开发的SQL注入工具,来完成入侵任务。被Rasputin黑掉的受害者有:10所英国大学、20多所美国大学、大量美国政府机构(包括邮政管理委员会、联邦医疗资源和服务管理局、美国住房及城市发展部、美国国家海洋和大气管理局)。13黑客向苹果要7.5万美元赎金,否则抹掉2亿个iCloud账号今年三月份,一个自称为“土耳其罪犯家族”的黑客组织,声称已经破解了超过3亿个苹果电邮账户,并向苹果索要7.5万美元的赎金,要求苹果以比特币或以太坊(Ethereum,另一种电子货币)的形式进行支付,否则将抹掉数亿个iCloud账户的数据。不过,这个黑客组织说话有些前言不搭后语,此前一位代表称他们破解了3亿个账户,但后来这个数字又变成了5.59亿,而现在他们则发推文称要抹掉2亿个账户。对于此事,苹果发言人并未给予置评。只是表示:苹果系统没有受到任何袭击,包括iCloud或Apple ID账号。所谓的电子邮件地址和密码名单似乎是黑客通过第三方服务获得的。14美国达拉斯警报器遭黑客入侵,警笛声持续一小时今年4月,达拉斯紧急警报器系统被黑客入侵。导致该城市的156个紧急警报器被激活,警笛声持续一个小时,引发市民恐慌。在警报系统被黑之后,城市官员被迫基本上拔掉整个系统,完全停用警报系统。调查后,城市官员确认了系统存在的漏洞,并且进行了及时修补。15纽约机场超750GB备份数据泄漏事件今年2月,纽约斯图尔特国际机场750GB备份数据被暴露在互联网上,没有密码保护、无须任何身份验证。泄露的数据包括来自机场内部的 107GB 个人电子邮件通信内容,以及来自美国国土安全局(DHS)和联邦机构运输安全管理局(TSA)的信件,还包括员工社会保障号(SSN)、工资记录。许多泄露的文件标有“仅供官方使用”、“未经授权公布将受到民事处罚”警告字样。此外,泄露的数据海安包括机场系统的密码列表,攻击者可不受限制地访问机场网络。16美国执法论坛71万账户泄露,涉国家安全局、FBI等今年2月,一个自称“Berkut”的黑客在暗网出售美国警察论坛PoliceOne.com的数据库,包含约 71.5 万账户信息,涉及联邦调查局、美国国家安全局以及国土安全部等,泄漏信息包括用户名、电子邮件以及哈希密码等。17美国空军数千份高度机密文件泄漏3月16日,一份没有设置密码验证的备份服务器暴露了数千份美国空军的文件,包括高级军官的高度敏感个人文件资料。安全研究人员发现,任何人都可以访问数GB的文件,因为联网备份服务未设置密码保护。据悉,这些文件包含一系列个人文件,例如4000多名军官的姓名、地址、职级和社保号。另一份文件罗列了数百名其它官员的背景调查(Security Clearance)等级,其中一些军官拥有能访问敏感信息和代号级别的“最高机密”许可。文件还包含数个电子表格,其中罗列了工作人员及其配偶的电话和联系信息等其它敏感个人信息。这个备份驱动还包含数GB的Outlook电子邮件文件,包含好几年的电子邮件。
7 0 2715天前
yixiaotao
3193
TIOBE编程语言社区发布了2017年7月排行榜,这次排行和6月相比变动不大,Java、C、C++和Python仍然稳定保持在前4甲。Go 语言今年一路飙升,本月终于进入前10名,2016年同期可是才55名,这个速度果然是够猛,究其原因或许跟大数据人工智能发展趋势有关。上个月谷歌宣布了安卓开发全面支持Kotlin,Kotlin上个月也首次进入前50名。 本月Kotlin未能继续发挥热度,下跌 4 位(44名降到48名)。从目前趋势上看,Go 语言一直保持上升势头的话,将同 JavaScript 、 Python 等“明星”语言并驾齐驱,成为最值得学习的编程语言之一。2017年7月编程语言排行榜 Top 20 榜单: 第20-50榜单:Top 10 编程语言 TIOBE 指数走势(2002-2016) 【说明】TIOBE 编程语言社区排行榜是编程语言流行趋势的一个指标,每月更新,这份排行榜排名基于互联网上有经验的程序员、课程和第三方厂商的数量。排名使用著名的搜索引擎(诸如 Google、MSN、Yahoo!、Wikipedia、YouTube 以及 Baidu 等)进行计算。请注意这个排行榜只是反映某个编程语言的热门程度,并不能说明一门编程语言好不好,或者一门语言所编写的代码数量多少。
6 0 2715天前
yixiaotao
3039
6月27日,一种新型勒索病毒NotPetya席卷全球,其中包括切尔诺贝利核电站、印度最大的集装箱货港和一些美国医院。就像5月的WannaCry一样,这个恶意软件会对电脑里所有的数据进行加密,并向用户索取比特币作为解密的条件。虽然这种会封锁电脑中所有文件的病毒正有愈演愈烈的趋势,但这还不是最坏的。据安在(ID:AnZer_SH)了解到,与WannaCry一样,NotPetya 也是利用了美国国家安全局(NSA)被盗的网络武器库中泄露的Windows系统漏洞 ——“永恒之    蓝”(EternalBlue)。而与WannaCry不同的是,它并没有任何安全开关的设计。NotPetya     先会通过被破解的软件更新来寻找寄主,并从电脑内存中获取管理权限进行扩散。通过       这种手段,它可以迅速的在一个组织的内部网络中扩散。目前为止,我们还不清楚这次网络袭击的幕后黑手是谁。但是由于乌克兰的各大公共和商业系统遭到了严重的攻击(其实乌克兰在上个月遭受了三起大型勒索病毒的袭击),有人推断俄罗斯可能介入了这次的事件。不管怎么说,花点时间来研究一下这个问题是有意义的。勒索病毒的入侵都会给被攻击机构造成一定的影响:若影响不大,IT部门则需要浪费时间和资源在恢复备用数据上;但若影响严重,这些病毒就会摧毁数据或强迫受害者支付大量的赎金。更让人难以接受的是,如果这种病毒攻击的目标是医院这种机构,这可能就是人命关天的大事了。目前,这轮勒索病毒都是利用了Windows XP的弱点。微软已不再支持该系统,而它最近的更新,即ServicePack 3(第三服务包),也已经差不多有10年了(不过,由于最近对其漏洞的攻击,微软罕见的对其漏洞发布了补丁包)。据安在(ID:AnZer_SH)了解,目前,很多机构依然依赖着这个古老并有大量隐患的操     作系统。不过,只要有足够的资源来进行升级换代,这并不是个大问题。而对于我们现在所面对的最大安全威胁---僵尸网络来说,就没这么简单了。这些由互联网连接起来的设备——如网络摄像头或数字视频录像机,正逐渐成为恶意攻击者的利用目标。其中,它们最常见的用处就是实施分布式拒绝服务(DDoS)攻击,即向目标服务器发动密集式的数据请求,使之无法提供服务。近期,这种攻击影响最大的例子就是去年被Mirai僵尸网络击溃的Dyn了。Dyn是一个庞大的域名系统(DNS),负责为试图连接网站的用户提供正确的地址。而这场袭击导致了美国东海岸地区大范围的断网。僵尸网络也被《麻省理工科技评论》评为2017年的10大突破技术之一。该文章的作者,安全专家Bruce Schneier表示,在未来几年内,僵尸病毒会变得越来越强,因为这些易受攻击的设备数量会以指数级增长。如果这种攻击以更重要、更核心的网络服务为目标的话,它们所造成的后果也会越来越严重:理论上来讲,更大的网络系统、更多的网站可能会因此被迫下线。更重要的问题在于,一个系统被击破的原因不一定是因为该机构没有及时更新系统,而是被大量廉价的家庭和商用的设备联合起来猛攻。甚至那些专门用来抵抗分布式拒绝服务攻击的安全产品也不完全能抵挡大规模的攻击。安全专家已经警告美国国会,这是一个很现实的问题,并很有可能只能通过对物联网设备的法规来解决。特朗普政府也已承诺要击垮僵尸网络。然而我们距离找出真正有效的解决方案还有很长的路要走。僵尸网络依旧是一个极难抵抗的安全隐患,虽然目前占据头条的是勒索病毒。有一天,当僵尸网络进入你的视线时,或许我们已付出了极大的代价。
7 0 2715天前
wolfman
3299
如果你初来乍到,大数据看起来很吓人!根据你掌握的基本理论,让我们专注于一些关键术语以此给你的约会对象、老板、家人或者任何一个人带来深刻的印象。让我们开始吧:1.算法。“算法”如何与大数据相关?即使算法是一个通用术语,但大数据分析使其在当代更受青睐和流行。2.分析。年末你可能会收到一份来自信用卡公司寄来的包含了全年所有交易记录的年终报表。如果你有兴趣进一步分析自己在食物、衣服、娱乐等方面具体花费占比呢?那你便是在做“分析”了。你正从一堆原始数据中来吸取经验,以帮助自己为来年的消费做出决策。如果你正在针对整个城市人群对Twitter或Facebook的帖子做同样的练习呢?那我们便是在讨论大数据分析了。大数据分析的实质是利用大量数据来进行推断和讲故事。大数据分析有3种不同到的类型,接下来便继续本话题进行依次讨论。3.描述性分析。刚刚如果你告诉我,去年你的信用卡消费在食物上花费了25%、在服装上花费了35%、娱乐活动上花费了20%、剩下的就是杂七杂八的事项,这种便是描述性分析。当然你还可以参考更多的细节。4.预测分析。如果你根据过去5年的信用卡历史记录来进行分析,并且划分具有一定的连续性,则你可以高概率预测明年将与过去几年相差无几。此处需要注意的细节是,这并不是“预测未来”,而是未来可能会发生的“概率”。在大数据预测分析中,数据科学家可能会使用类似机器学习、高级的统计过程(后文将对这些术语进行介绍)等先进的技术去预测天气、经济变化等。5.规范分析。沿用信用卡交易的案例,你可能想要找出哪方面的支出(级食品、服装、娱乐等)对自己的整体支出产生巨大的影响。规范分析建立在预测分析的基础之上,包含了“行动”记录(例如减少食品、服装、娱乐支出),并分析所得结果来“规定”最佳类别以减少总体支出。你可以尝试将其发散到大数据,并设想高管们如何通过查看各种行动的影响来做出数据驱动的决策。6.批处理。虽然批量数据处理在大型机时代就早已出现,但大数据交给它更多大数据集处理,因此赋予了批处理更多的意义。对于一段时间内收集到的一组事务,批量数据处理为处理大量数据提供了一种有效的方法。后文将介绍的Hadoop便是专注于批量数据处理。7. Cassandra是由Apache Software Foundation管理的一款流行的开源数据库管理系统。很多大数据技术都归功于Apache,其中Cassandra的设计初衷便是处理跨分布式服务器的大量数据。8. 云计算。显而易见云计算已经变得无所不在,所以本文可能无须赘述,但为了文章的完整性还是佐以介绍。云计算的本质是在远程服务器上运行的软件和(/或)数据托管,并允许从互联网上的任何地方进行访问。9. 集群计算。它是一种利用多台服务器的汇集资源的“集群”来进行计算的奇特方式。在了解了更多技术之后,我们可能还会讨论节点、集群管理层、负载平衡和并行处理等。10. 黑暗数据。依我看来,这个词适用于那些吓得六神无主的高级管理层们。从根本上来说,黑暗数据是指那些被企业收集和处理但又不用于任何有意义用途的数据,因此描述它是“黑暗的”,它们可能永远被埋没。它们可能是社交网络信息流、呼叫中心日志、会议笔记,诸如此类。人们做出了诸多估计,在60-90%的所有企业数据都可能是“黑暗数据”,但无人真正知晓。11. 数据湖。当我第一次听到这个词的时候,我真的以为有人在开愚人节的玩笑。但它真的是个术语!数据湖是一个原始格式的企业级数据的大型存储库。虽然此处讨论的是数据湖,但有必要再一起讨论下数据仓库,因为数据湖和数据仓库在概念上是极其相似的,都是企业级数据的存储库,但在清理和与其他数据源集成之后的结构化格式上有所区别。数据仓库常用于常规数据(但不完全)。据说数据湖能够让用户轻松访问企业级数据,用户真正按需知道自己正在寻找的是什么、如何处理并让其智能化使用。12. 数据挖掘。数据挖掘是指利用复杂的模式识别技术从大量数据中找到有意义的模式、提取见解。这与我们前文讨论的使用个人数据做分析的术语“分析”密切相关。为了提取出有意义的模式,数据挖掘者使用统计学(是呀,好老的数学)、机器学习算法和人工智能。13.数据科学家。我们谈论的是一个如此热门的职业!数据科学家们可以通过提取原始数据(难道是从前文所说的数据湖中提取的?),处理数据,然后提出新见解。数据科学家所需具备的一些技能与超人无异:分析、统计、计算机科学、创造力、故事讲述和理解业务环境。难怪他们能获得如此高的薪水报酬。14.分布式文件系统。由于大数据太大而无法在单个系统上进行存储,分布式文件系统提供一种数据存储系统,方便跨多个存储设备进行大量数据的存放,并有助于降低大量数据存储的成本和复杂度。15. ETL。ETL分别是extract,transform,load的首字母缩写,代表提取、转化和加载的过程。 它具体是指“提取”原始数据,通过数据清洗/修饰的方式进行“转化”以获得 “适合使用”的数据,进而“加载”到合适的存储库中供系统使用的整个过程。尽管ETL这一概念源于数据仓库,但现在也适用于其它情景下的过程,例如在大数据系统中从外部数据源获取/吸收数据。16. Hadoop。人们一想起大数据就能立即想到Hadoop。 Hadoop(拥有可爱的大象LOGO)是一个开源软件框架,主要组成部分是Hadoop分布式文件系统(HDFS),Hadoop部署了分布式硬件以支持大型数据集的存储、检索和分析。如果你真的想给别人留下深刻的印象,还可以谈谈YARN(Yet Another Resource Schedule,另一个资源调度器),正如其名,它也是一个资源调度器。我由衷佩服这些为程序命名的人。为Hadoop命名的Apache基金会还想出了Pig,Hive和Spark(没错,它们都是各种软件的名称)。这些名字难道不让你感到印象深刻吗?17. 内存计算。一般来说,任何可以在不访问I / O的情况下进行的计算预计会比需要访问I/O的速度更快。内存内计算是一种能够将工作数据集完全转移到集群的集体内存中、并避免了将中间计算写入磁盘的技术。Apache Spark便是一种内存内计算系统,它与I / O相比,在像Hadoop MapReduce这样的系统上绑定具有巨大的优势。18. IOT。最新的流行语是物联网(Internet of things,简称IOT)。IOT是通过互联网将嵌入式对象(传感器、可穿戴设备、汽车、冰箱等)中的计算设备互连在一起,并且能够发送/接收数据。IOT产生了大量的数据,这为呈现大数据分析提供了更多的机会。19.机器学习。机器学习是为了设计一种基于提供的数据能够进行不断学习、调整、改进的系统的设计方法。机器使用预测和统计的算法进行学习并专注于实现“正确的”行为模式和简见解,随着越来越多的数据注入系统它还在不断进行优化改进。典型的应用有欺诈检测、在线个性化推荐等。20.MapReduce。MapReduce的概念可能会有点混乱,但让我试一试。MapReduce是一个编程模型,最好的理解方法是将Map和Reduce是看作两个独立的单元。在这种情况下,编程模型首先将大数据的数据集分成几个部分(技术术语上是称作“元组”,但本文并不想太过技术性),因此可以部署到不同位置的不同计算机上(即前文所述的集群计算),这些本质上是Map的组成部分。接下来该模型收集到所有结果并将“减少”到同一份报告中。 MapReduce的数据处理模型与hadoop的分布式文件系统相辅相成。21.NoSQL。乍一听这像是针对传统关系型数据库管理系统(RDBMS)的面向对象的SQL(Structured Query Language, 结构化查询语言)的抗议,其实NoSQL代表的是NOT ONLY SQL,意即“不仅仅是SQL”。 NoSQL实际上是指被用来处理大量非结构化、或技术上被称作“图表”(例如关系型数据库的表)等数据的数据库管理系统。NoSQL数据库一般非常适用于大型数据系统,这得益于它们的灵活性以及大型非结构化数据库所必备的分布式结构。22.R语言。有人能想到比这个编程语言更糟糕的名字吗?是的,’R’是一门在统计计算中表现非常优异的编程语言。如果你连’R’都不知道,那你就不是数据科学家。(如果你不知道’R’,就请不要把那些糟糕的代码发给我了)。这就是在数据科学中最受欢迎的语言之一的R语言。23. Spark(Apache Spark)。Apache Spark是一种快速的内存内数据处理引擎,它可以高效执行需要快速迭代访问数据集的流、机器学习或SQL工作负载。Spark通常比我们前文讨论的MapReduce快很多。24.流处理。流处理旨在通过“连续”查询对实时和流数据进行操作。结合流分析(即在流内同时进行连续计算数学或统计分析的能力),流处理解决方案可以被用来实时处理非常大的数据。25. 结构化和非结构化数据。这是大数据5V中的“Variety”多样性。结构化数据是能够放入关系型数据库的最基本的数据类型,通过表的组织方式可以联系到任何其他数据。非结构化数据则是所有不能直接存入关系数据库中的数据,例如电子邮件、社交媒体上的帖子、人类录音等。
9 0 2715天前
wolfman
2974
5G时代渐行渐近,在人们对丰富应用充满憧憬的同时,也更加关注5G技术的发展。5G对于网络架构将提出哪些新的需求?什么样的技术创新才符合5G演进方向?运营商将以怎样的姿态全面拥抱5G?在日前召开的“网络重构与5G技术研讨沙龙”上,来自业界各方的嘉宾对于这些业界关注的重点问题展开了思想碰撞,论道5G网络重构。5G,革命性变革开启“5G时代,网络架构将发生革命性变革。”中国信息通信研究院杨红梅抛出了这一观点。她认为,5G时代物联网和移动通信网业务将融合在一起,催生包括增强移动宽带(eMBB)、海量机器类通信(mMTC),以及超高可靠低时延通信(URLLC)在内的三大类典型应用。这三类业务的特点与传统电信业务有很大不同,因而5G必须在无线技术和核心网技术上进行变革与创新,引入大规模天线、超密集组网、新型多址、全频谱接入等技术。相比较2G、3G、4G网络,5G网络架构最大的变化就是更加扁平化。同时,5G还需要特别灵活的网络架构以实现资源的按需调配。杨红梅表示,5G的技术创新有两大方向:一是为了支撑严苛的通信指标,如体验速率、端到端时延等,在接入网层面需要灵活的网络构架支持多种接入技术;另一方面,5G还需要在无线资源智能化的控制、边缘计算、功能重构、控制转发/分离等方面展开创新。安全性是5G网络构架重构时需要重点考虑的问题。杨红梅认为,之前的网络建设经验证明,在网络设计之初就应该将安全问题考虑在其中,而对于5G网络而言,由于更多新业务和新终端形态的引入,安全性的意义更加凸显。5G催生的大量差异化的业务场景,SDN/NFV等技术的引入,商业模式上的创新,以及大量的物联网设备接入到运营商的网络中,都意味着5G将对安全提出更高的要求。具体而言,多种接入技术采用的安全机制各不相同,为了改善用户业务体验和提高鉴权认证效率,在5G网络构架设计时应考虑采用统一的认证构架。同时,由于大量的低成本的物联网设备接入网络,如何满足这些设备的安全和隐私保护需求,也是要考虑的重点。此外,5G时代将产生大量的行业应用,运营商会将网络能力进一步开放,这样就会导致用户个人信息、用户使用的业务信息等暴露在比较开放的网络节点里。如果没有增强的隐私保护技术,那么就很有可能有恶意攻击者借助大数据分析等技术获得用户隐私,对用户的信息安全造成威胁。杨红梅认为,综合各种因素考虑,5G网络需要具备几大安全能力:一、形成统一的认证架构;二、多层次的切片安全;三、按需的安全保护;四、多样的安全认证管理体系;五、网络安全能力开放;六、灵活的隐私保护机制。运营商如何推进5G网络架构重构?“不同的运营商需要根据自身网络的现状制定相应的演进策略。”在杨红梅看来,部署一个新的网络时,如何实现新网络和现有网络的融合,如何使现有网络发挥最大的作用,从而保护运营商的已有投资,同时又能满足新的业务需求是重点问题。因此面向5G可能会出现多种不同的过渡型网络部署方案。值得一提的是,5G时代运营商还要加快推动优化运营。随着一些垂直行业的新业务的落地,运营商无论是在商业模式还是运营模式上都需要进行一些创新和调整,以适应新的需求。杨红梅建议,运营商面向5G的优化运营可以从精细化管理、差异化服务、能力开放等几个方面展开。SDN/NFV,奠定5G网络基石面向即将到来5G时代,电信运营商正在加大网络重构的力度,而SDN/NFV技术的规模部署,将为5G网络架构重构奠定坚实的基石。“5G时代的应用将成为NFV的关键网络应用。”中国移动蔡慧认为,当前的NFV产业已经初具雏形,这无疑将为未来5G应用落地提供有力支撑。未来,5G时代的服务化架构设计,网络切片、边缘计算等功能和特性的实现,都需要建立在NFV孵化成熟以及NFV能够成功部署的基础上,因此,5G对于NFV是有很高的期待的,为了迎接5G时代的带来,业界需要推进NFV的快速部署。“中国电信的网络重构考虑了5G时代的需求。”中国电信北京研究院史凡表示,面向5G时代中国电信将会推进基于SDN/NFV的网络重构,今年将在SDN和NFV上展开一系列的工作,未来三年的目标是将有一半政企客户组网业务能够基于SDN技术手段来实现。同时,2020年中国电信的网络基础设施中将有40%实现虚拟化。事实上,除了电信运营商,厂商们也正在推进SDN/NFV的落地。“5G时代,网络云化的趋势将愈演愈烈,这意味着网络不仅要高效,还要实现虚拟化,同时具备弹性。”英特尔严峰认为,电信网络5个9甚至6个9的高可靠性和高转发性能要求,以及数据面的分布式部署,对整个电信网络云化提出了更高的要求。如何将IT 和云计算的灵活性和弹性部署应用到电信云里,是整个行业面临的一个挑战。因而英特尔目前正在做的工作,就是携手合作伙伴,凝聚产业链的合力,将这些代表不同方向的需求“靠在一起”。严峰透露,英特尔倡导并实践开源,因此在推进NFV发展上,英特尔正在借助开源平台的力量,将一些关键的技术集成在一起。同时,再将推进过程中暴露出来的技术问题反馈到开源社区中去,从而更高效有力地推进包括芯片、网卡、加速器、软件等各方面的技术创新步伐,最终助力NFV技术的成熟和规模部署,迎接5G时代的全面到来。
7 0 2715天前
wolfman
3179
前言XSS 自动点按钮有什么危害?在社交网络里,很多操作都是通过点击按钮发起的,例如发表留言。假如留言系统有 XSS 漏洞,用户中招后 XSS 除了攻击之外,还能进行传播 —— 它能自动填入留言内容,并点击发表按钮,即可发出带有恶意代码的留言。好友看了中招后,又传播给他们的好友。。。从而形成蠕虫扩散。那么,有没有一种机制,让「发表留言」必须通过用户的「真实点击」按钮才能完成,而无法通过脚本自动实现?这样就能减缓蠕虫传播速度了。实现这个想法听起来好像不可行。如果发表留言需要带上用户行为信息,那么 XSS 完全可以伪造一份行为数据,后端根本无法识别。除非,用户在点击按钮时会产生一个「特殊数据」,让后端校验它。但是,XSS 也可以直接调用按钮元素的 click 方法,这样效果和用户点击仍然一样。后端仍无法识别,是脚本点的,还是用户点的。这么看来,我们只能保护好这个「按钮元素」,让它没法被 XSS 访问到。例如,放在一个不同源的 iframe 里,这样就和 XSS 所在的环境隔离了!不过,这样还不够。假如 XSS 破解了这个「特殊数据」的生成规则,那么即可自己伪造一个,然后直接调用 HTTP 接口发表留言。所以,我们得找一个不可伪造的硬标识。事实上,有个很简单的办法:我们干脆让 HTTP 请求也通过 iframe 发送。这样,后端通过 referer 即可检测请求是否为 iframe 发起的。毕竟,XSS 是无法伪造 referer 的!演示Demo: http://www.etherdream.com/FunnyScript/anti-xssworm/注意:这个案例不是看能不能注入 XSS,而是看能不能通过当前页面的 JS 自动发留言!另外,通过第三方服务器发表是不算的。这里为简单,省略了登录态;真实场合下,会话 Cookie 是 HttpOnly 的,无法被 JS 获取到,也就无法让第三方服务器代替发表。细节:1. 使用者加载 safebutton.js,引入 SafeButton 类2. 使用者实例化 SafeButton 对象 A,创建出一个不同源的 iframe 作为按钮界面3. 用户点击 iframe 按钮后,内部变量 S 置为 true,同时将点击消息告知主页面(postMessage)4. 主页面收到消息后,让 A 产生 onclick 事件5. 使用者将 HTTP 请求数据,通过 A 的 send 方法扔给 iframe6. iframe 校验内部变量 S:若为 true,则将数据通过 AJAX 发送;否则放弃7. 服务器校验 referer:若为 iframe 的地址,则继续业务逻辑;否则放弃8. iframe 收到 AJAX 返回后,将结果扔给主页面9. A 产生 onreceive 事件,其中包含 HTTP 返回结果其中 No.6 的步骤最为关键。正是这一步,使得未经用户点击,XSS 强制扔给 iframe 的消息变得无效!缺陷当然,这个方案阻挡不了点击劫持 —— XSS 可以把 iframe 元素放大至整个页面,并设置全透明。这样用户只要在页面的任何位置点一下,iframe 的 S 状态就变成 true 了,于是就能绕过 No.6。结尾当然,安全防御有胜于无。并且该方案的改造成本也不是很大,后端只是增加一个 referer 判断而已;前端也只需改造个别按钮,例如发帖按钮,像点赞这种按钮就没必要保护了。
7 0 2717天前
wolfman
3089
微软6月补丁日披露两个正在被利用的远程代码执行漏洞(CVE-2017-8543)Windows Search远程代码执行漏洞和(CVE-2017-8464)LNK文件(快捷方式)远程代码执行漏洞。漏洞名称:Windows Search远程代码执行漏洞漏洞编号:CVE-2017-8543漏洞等级:严重漏洞概要:Windows搜索服务(WSS)是windows的一项默认启用的基本服务。允许用户在多个Windows服务和客户端之间进行搜索。当Windows搜索处理内存中的对象时,存在远程执行代码漏洞。成功利用此漏洞的攻击者可以控制受影响的系统。为了利用此漏洞,攻击者可以向Windows Search服务发送精心构造的SMB消息。从而利用此漏洞提升权限并控制计算机。此外,在企业场景中,未经身份验证的攻击者可以通过SMB服务连接远程触发漏洞,然后控制目标计算机。受影响版本桌面系统:Windows 10, 7, 8, 8.1, Vista, Xp和Windows RT 8.1服务器系统:Windows Server 2016,2012,2008, 2003修复方案:桌面系统Windows 10, 7, 8.1和Windows RT 8.1;服务器系统:Windows Server 2016,2012,2008,可以通过Windows Update自动更新微软补丁的方式进行修复。Windows 8, Vista, Xp和Windows Server 2003 可以通过选择对应版本然后手动更新补丁的方式进行更新(补丁下载地址参考)https://support.microsoft.com/zh-cn/help/4025687/microsoft-security-advisory-4025685-guidance-for-older-platforms漏洞名称:LNK文件(快捷方式)远程代码执行漏洞漏洞编号:CVE-2017-8464漏洞等级:严重漏洞概要:如果用户打开攻击者精心构造的恶意LNK文件,则会造成远程代码执行。成功利用此漏洞的攻击者可以获得与本地用户相同的用户权限。攻击者可以通过可移动驱动器(U盘)或远程共享等方式将包含恶意LNK文件和与之相关的恶意二进制文件传播给用户。当用户通过Windows资源管理器或任何能够解析LNK文件的程序打开恶意的LNK文件时,与之关联的恶意二进制代码将在目标系统上执行。受影响版本桌面系统:Windows 10, 7, 8.1, 8, Vista和Windows RT 8.1服务器系统:Windows Server 2016,2012,2008修复方案:桌面系统Windows 10,7,8.1和Windows RT 8.1;服务器系统:Windows Server 2016,2012,2008,可以通过Windows Update自动更新微软补丁的方式进行修复。Windows 8, Vista可以通过选择对应版本然后手动更新补丁的方式进行更新(补丁下载地址参考)https://support.microsoft.com/zh-cn/help/4025687/microsoft-security-advisory-4025685-guidance-for-older-platforms
4 0 2717天前
wolfman
3545
一、概要这两年,互联网上涌现了很多政府和企业的敏感数据泄露,但这些由不明行为者泄漏的信息是否准确呢?前不久,安全研究人员发现了一个复杂的全球性虚假信息泄密活动,据分析,这次虚假泄密与黑客组织APT28之前所从事的网络间谍活动存在“重叠”之处。APT28又叫Fancy Bear、Sofacy、Sednit或Pawn Storm,是美国民主党全国委员会(DNC)信息泄密事件的幕后主犯。 自2007年以来,APT28一直较为活跃,据称暗中受到俄罗斯政府的支持。虽然没有确凿证据表明俄罗斯政府直接参与虚假泄密,但也可以说俄罗斯与此次虚假泄密有着千丝万缕的关联。二、虚假泄密多伦多大学蒙克国际研究中心的Citizen Lab近日公布了一份名为《污点泄密》的报告,报告指出,俄罗斯政府赞助的黑客攻击200多名Gmail用户(包括记者、俄罗斯政府评论家以及与乌克兰军方有关的用户等),窃取电子邮件中的敏感信息。窃取到邮件之后,黑客对内容进行选择性修改,随后将选择性修改的邮件内容公之于众。黑客窃取知名记者、政治家等的文件,选择性修改文件,之后故意“泄露”出去,败坏他们的声誉。”黑客利用Google自带的安全服务展开钓鱼攻击报告指出,黑客利用Google自带的安全服务,使用钓鱼邮件从目标用户(前美国国防官员、前俄罗斯总理以及乌克兰军方官员等)那里窃取Gmail登录凭证。攻击者发送的钓鱼邮件看起来与Google的安全警告几乎相同,提示受害者有人获得了该账户的密码,为安全考虑,受害者必须立即更改密码。但是,一旦受害者访问了链接并输入账号密码登录,黑客就可以访问他们的帐户。黑客综合利用了Google AMP的开放重定向功能和短URL功能,将钓鱼页面隐藏在短URL中,使得钓鱼链接很有迷惑性,引导受害者输入登录凭证。钓鱼链接如下:https://www.google.com/amp/tiny.cc/(redacted)一旦点击,就会重定向到如下页面:hxxp://myaccount.google.com-changepassword-securitypagesettingmyaccountgooglepagelogin.id833[.]ga/security/signinoptions/password上述URL看起来像Google的密码重置页面,用户只要输入密码,就会被攻击者捕捉到登录信息。研究人员分析了美国记者兼俄罗斯政府评论家David Satter收到的两封钓鱼邮件,从而确定了这一攻击的性质。Satter曾报道了多起俄罗斯政治家和企业家的腐败事件,在2013年就被俄罗斯发布禁令,无法进入俄罗斯境内。下图是相关邮件的钓鱼链接列表:波及39个国家218名用户自述为亲俄派的黑客团体CyberBerkut发表了一些从Satter电子邮件中获得的文件,其中一个被篡改得面目全非,文件表明Satter付费支持俄罗斯记者和活动家发表批评俄罗斯政府的文章,暗示Satter是受美国中情局支持诋毁俄罗斯总统普京的,进而证明了美国中情局阴谋论。该文件随后由多家媒体公布,引起轩然大波。包括Satter在内共有218人遭到同样的网络钓鱼攻击,包括政治家、其他政府官员、欧洲和欧亚大陆的组织成员、记者、学者、能源和矿业公司的CEO、联合国官员以及高级军事人员等,波及到美国和北约等39个国家或组织。以下是研究人员发布的部分遭受攻击的知名目标:前俄罗斯总理前美国国防部副部长暨美国前国家安全委员会高级主任奥地利驻北欧大使暨前欧亚驻加拿大大使馆大使前苏维埃国家石油、天然气、矿业和金融业的高级成员联合国官员阿尔巴尼亚、亚美尼亚、阿塞拜疆、格鲁吉亚、希腊、拉脱维亚、黑山、莫桑比克、巴基斯坦、沙特阿拉伯、瑞典、土耳其、乌克兰和美国的军事人员以及北约官员来自阿富汗、亚美尼亚、奥地利、柬埔寨、埃及、格鲁吉亚、哈萨克斯坦、吉尔吉斯斯坦、拉脱维亚、秘鲁、俄罗斯、斯洛伐克、斯洛维尼亚、苏丹、泰国、土耳其、乌克兰、乌兹别克斯坦和越南等地的政治家、公务员和政府官员除了政府这一大团体外,包括记者,学者,反对派人士和积极分子等在内的公民社会是此次虚假泄密攻击的第二大团体的目标(占所有受攻击者的21%)。三、虚假泄密早已存在报告显示,此次攻击中用到的技术和方法与2016年美国总统大选攻击和最近法国总统大选攻击中用到的技术和方法类似。“2017年法国总统大选中,虚假泄密也用于诋毁参选的执政党和候选人。”美国情报官员以前就曾发现俄罗斯政府暗中支持对Podesta和其他民主党官员的攻击。而Citizen Lab的报告也表示,俄罗斯政府在暗中支持最近的网络钓鱼活动以及随后的Satter电子邮件操纵事件。“在强调了这一攻击与以前报道过的攻击的相似处之后,我们列举了在2016年美国总统大选期间引人注目的针对记者、反对派组织和民间社会的相关攻击,进而展示了一系列与俄罗斯相关的攻击。”事实上,安全研究人员在2016年10月份就检测到了类似的虚假泄密攻击,但是在此之前,此类攻击早已存在。例如,在瑞典与北约建立军事伙伴关系事件中以及俄罗斯入侵乌克兰事件中,俄罗斯已经使用伪造文件展开广泛的虚假泄密攻击了。研究人员甚至表示:俄罗斯在所谓的“dezinformatsiya”(虚假信息泄露)方面有丰富的经验与悠久的历史,,甚至可以追溯到苏联时代。四、虚假泄密或将成为新的威胁?伪造上千份文档也许很难,但是在已经写好的单份文件中加入一些伪造的信息却比较简单。一个国家可以匿名披露另一个国家的外交电报,并在电报中加入一些针对第三方国家的恶意对话,进而挑拨两国之间的关系;或者黑客可以从气候变化研究者那里窃取和发布电子邮件,并捏造一些超越气象消息的信息,进而强化该研究者的政治观念;甚至个人也会受到影响,其朋友、爱人、亲戚的邮件内容都有可能被篡改,进而影响亲密关系。如果你急着解释,说其他邮件都是真实的,就这封被泄露的邮件内容是虚假的,你觉得别人会相信么?并不会,而这也正是虚假泄露的可怕与狡黠之处。Citizen Lab的研究人员总结说:“虚假泄密对于网络攻击而言越来越重要,而且在如今的数字化时代中可能会变得更加普遍。”“虚假泄密就像在真相的森林中放入一些假木头,可以测试媒体、公民新闻和社交媒体用户如何判定事实,如何应对并处理充满诱惑性但又可疑的信息。”趋势科技也针对虚假泄密做了研究,他们总结了虚假泄密三要素:动机;工具与服务;社交网络。利用社会工程技术可以在社交网络上传播虚假消息。尽管目前虚假泄密主要集中于政治领域,但未来也很有可能在其他领域(如商业等利益相关的领域)大范围出现。关于虚假泄密影响股价的例子,可以追溯到2013年。当年,叙利亚电子军队黑掉了美联社的推特账户,声称奥巴马在白宫遭到炮弹袭击,当时美股市场瞬间大幅下跌。此外,国外有Twitter、Facebook等,国内有微博、微信等,都曾大肆传播过假消息,对个人或者公司的声誉造成了很多负面影响。明星因为假消息而受到网络攻击最后患病甚至过世的极端例子也并非耸人听闻。毕竟,自古以来就有很多流言蜚语、恶意中伤的事件。著名的销售人员Seth Godin曾说过:“销售,不只是卖产品,更多的是卖故事。”而这故事到底是否真实,估计只有讲故事的人才知道吧。那么下一次,当你遇到影响广泛的数据泄露事件时,你是会直接相信还是保留态度呢?五、关于《污点泄密》报告随着虚假泄密事件愈演愈烈,多伦多大学蒙克国际研究中心的Citizen Lab于2017年5月25日发布了一篇报告,从美国记者兼俄罗斯政府评论家David Satter的邮件入侵着手,深入分析了虚假泄密的方方面面。以下是该报告的要点:黑客窃取并篡改知名记者及俄罗斯政府评论家的文件,然后以“泄漏”的方式发布文件,进而诋毁国内外的政府评论家。这样的攻击方式被 定义为“污点泄密”技术。我们顺藤摸瓜,从此次针对记者的攻击着手调查,进而发现了更大规模的网络钓鱼行动,来自39个国家(包括28个政府成员)超过200名特殊目标遭受攻击。受攻击目标包括前俄罗斯总理、欧洲和欧亚大陆的组织成员、大使、高级军官、能源公司的CEO和民间社会的成员等。除了政府这一大团体外,包括学者、记者、积极分子和非政府组织成员等在内的公民社会是此次虚假泄密攻击的第二大团体目标(占所有受攻击者的21%)。没有确凿的证据表明将这些攻击与特定的俄罗斯政府机构联系起来;然而,有证据表明,此次大规模虚假泄密活动与此前许多政府和企业报道过的俄罗斯支持的攻击活动存在明显重合。
6 0 2717天前
wolfman
3228
SQL注入(SQLi)利用不安全 Web App 和数据库驱动的类似软件,抽取或篡改数据(如用户账户记录),甚至在服务器上执行Shell指令。这是合法用户和攻击者提交的代码,没有经过验证和清晰所导致的结果。被攻击软件或许期待的是一个订单号,而黑客发过去的却是一条SQL语句,而这恶意代码片段被包含到接下来的数据库查询中,让服务器按黑客的指令吐出敏感数据或执行他/她期待的动作。据所掌握的信息可知,用户可租用喀秋莎扫描器专业版(Katyusha Scanner Pro)每月200美元租金;或者在自己的系统上安装一个,500美元。该软件使用免费渗透测试工具Anarchi扫描器对网站执行SQLi攻击。最重要的是,它能通过Telegram即时消息系统进行控制。所以,基本上,用户可以在联网服务器上执行喀秋莎——无论是租用还是自己安装,然后用Telegram发送指令——比如攻击somepoorbastard.biz或mydietpillsnotascam.org之类的网站,直到命中一个有漏洞的网站。如果有专业版,还可以自动抽取登录凭证和内部数据库内容。轻量级版本也可用——只要你觉得自己可以利用任何已知漏洞。这基本上意味着,没有技术背景的罪犯,也能很容易地用手机对无数公司企业发起攻击。如上所述,可通过Web门户控制,也可以通过Telegram文字消息控制。威胁情报公司 Recorded Future 的研究人员,是在暗网最封闭的隐藏黑客论坛上发现该软件包的售卖的。Recorded Future 在博客中解释称:“在黑客过程可通过标准Web接口控制的同时,喀秋莎扫描器的独特功能,还能让罪犯上传目标网站列表,对多个目标发起同步攻击,通过Telegram并行无缝地进行控制。”该技术受到了脚本小子的一致好评,其专业的客户支持也收到了极高赞誉。当然,经验老道的网络罪犯,也可以在他们的智能手机或平板上用SSH隧道做到这些;但喀秋莎实在是太易用了——令人担忧的地方正在于此。攻击演示:某人通过telegram控制喀秋莎扫描完成后,喀秋莎会对每个发现的目标显示Alexa网站评级,提供所发现Web安全漏洞的潜在重要性与利用可能性指南。喀秋莎扫描器这种高度健壮又不贵的在线工具,降低了网络攻击的技术门槛,只会进一步恶化各公司遭受的数据泄露问题,凸显出定期基础设施安全审计的重要性。信息安全厂商 Positive Technologies 的一份调查研究显示,2017年第一季度流传最广的攻击形式就是SQLi和跨站脚本攻击,各占被检测攻击总数的1/3。该报告将政府机构的Web应用列为了黑客首要攻击目标,其后是IT公司和金融机构,教育机构排在第四位。注:喀秋莎这个工具名,映射的是苏联在二战期间研发的一款标志性多管火箭发射器,以其隐秘性和破坏性成为了纳粹军队的噩梦。
8 0 2717天前
wolfman
3286
现如今,很多人家里都装有智能摄像头。下载一个相关联的应用程序,可以随时用手机看看家里的情况。比如老人独自在家是否安全,保姆带娃是否尽责,有没有进小偷之类的。你是否会想到,除了你,可能此刻还有成百上千双陌生的眼睛,也在看着你家。在QQ搜索栏,输入“摄像头破解”,跳出了众多相关聊天群,随机加入了几个,发现聊天的内容绝大多数有关家庭摄像隐私。时不时会放出一些号称他人家庭摄像头拍下的画面。很快,不少人主动添加记者为好友,询问是否需要扫描软件,并声称这些扫描软件,能够攻破摄像头的IP地址。聊天截图只要将被破解的IP地址输入播放软件,就可以实现偷窥,不被觉察。印象中只有电影中的特工或黑客才能做到的事情,竟然可以这么简单地实现吗?记者决定尝试一下。向其中一个卖家支付188元后,收到了两款软件和详细的使用教程。摄像头下的孩子记者在播放软件中,输入卖家提供的IP地址、登录名和密码,竟然成功进入了一个摄像头。这是一户人家,画面显示的是客厅,一只小狗正在窝里睡觉。卖家称,这家住着一对小夫妻,安摄像头的目的,应该就是观看这条宠物狗。卖家还向提供了大量IP账号。为了辨别画面中的影像是否实时影像,记者再次登录一个账号,进入了另一个摄像头。居然真的可以实现远程操作。而在一些QQ群内,IP地址会被群主作为聚拢人气的礼物,免费向群员发放。在这个近2000人的QQ群中,每天都会新增一份最新破解文件,包含200到400个IP地址。每份都被下载了几百次。群中被标价出售的,是涉及年轻女性、夫妻生活的摄像头,它们被隐晦地称为“精品台”,每个被卖到几十元乃至上百元。这位叫“大胆吻下去”的卖家告诉记者,今天靠卖号已经赚了500多元。他有几十个徒弟,如果拜他为师,一个月收入上万并不难。记者找到了一个可被攻破的IP地址,并联系上这家摄像头的主人。记者:请问您家是否有个小书柜,上面有个五星红旗图案的贴纸?户主:对。记者:里面有几个奥运福娃的可乐罐?户主:对。这信息随便在网上能找到的对吗?记者:对,我是在网上找到的。户主:等于谁都能看到的是吗?记者:如果有心搜索,可以看到。户主:天啊,那不是谁都能看到我家,看到我家什么样子的吗?这也太不安全了吧!目前,记者已将自己获知的材料向警方进行了举报。但是,智能摄像头的IP地址是怎么落到别人手中,而登录的密码怎么也会一同泄露呢?记者来到国家互联网应急中心寻求答案。卖家提供的扫描软件,启动后,它会源源不断地跳出IP地址,这种扫描是通过什么原理来进行的呢?专家称主要是依靠扫描器,用一些弱口令密码,做大范围的扫描。弱口令就是一些user或者admin。专家介绍,不光是个人购买的摄像头是这样,在用于城市管理,交通监测的公共摄像头中,也大量存在使用弱口令便可以打开的问题,因此,这类摄像头很容易被入侵。日前,国家互联网应急中心,在市场占有率排名前五的智能摄像头品牌中,随机挑选了两家,进行了弱口令漏洞分布的全国性监测。结果令人惊讶,仅仅两个品牌的摄像头,就有十几万个存在着弱口令漏洞。监控平台弱口令漏洞频发,这是一种世界级的普遍现象。通过智能家用摄像头窃取他人隐私会触碰哪些法律红线?应该承担什么法律责任?非法的技术侵入到他人的家庭生活场景,衣衫不整,一般性的生活场景,在民法上侵犯他人的隐私权。这也会涉嫌到刑事责任的问题。个人的行踪轨迹,属于个人信息的核心内容。一旦非法获取、出售或者提供50条以上,就已经触犯了《侵犯公民个人信息罪》。而截取家庭摄像头中的性行为进行展示的,制作、传播到一定数量,就构成传播淫秽物品罪;如果传播者因此牟利,并达到一定数量,将构成传播淫秽物品牟利罪。如何安全使用智能摄像头,专家重要提示:第一,不要使用原始预设的、或过于简单的用户名与密码,而且要定期作出更换。第二,摄像头不要正对卧室、浴室等隐私区域;并要经常检查,摄像头的角度是否发生变化。第三,养成定期查杀病毒的好习惯。
6 0 2717天前
快速发帖 高级模式
加入官群 QQ咨询 友链展示 申请友链
粤ICP备18094291号
您的IP:18.226.186.109,2024-12-27 01:44:02,Processed in 0.14691 second(s).
免责声明: 本网不承担任何由内容提供商提供的信息所引起的争议和法律责任。
Powered by HadSky 8.1.0