谷歌爆出邮箱漏洞
2019.08.22 周四
清空Gmail你的购物记录依然存在谷歌和其他科技公司最近因各种问题饱受批评,其中包括未能保护用户数据,未能披露其收集和使用的数据,以及未能管理其所提供服务上发布的内容。近日有用户在谷歌的账户管理页面上发现一些奇怪的东西,如果在交易的任何部分使用了Gmail或Gmail地址,谷歌会使用Gmail来保存一份清单,记录你购买的一切东西。包括再清空Gmail之后,依旧可以看到我几年前的购物收据。谷歌似乎是将这些个人信息缓存或保存在其他位置,而这个位置不只是与用户Gmail账户绑定。
普普评述:
最大的隐患就是不能完全清除。
普普安全资讯-2019/8/25
2019.08.23 周五
Facebook 的隐私和安全跟踪记录算不上好,尤其是考虑到其很多重大过失都是本可避免的情况下。但要守护数亿用户和巨大的平台,要从该公司上亿行代码中找出每个漏洞真不是件容易的事。因此,Facebook 的工程师从四年前就开始构建定制评估工具,不仅检查已知漏洞类型,还可在 30 分钟内完全扫描整个代码库,帮助工程师在正式上线前找出各种调整、修改或主要新功能中的问题。
该平台名为 Zoncolan,是一款静态分析工具,能够映射代码库行为与函数,查找单个分支及程序不同路径互操作中的潜在问题。这么大规模的代码库,纯靠人工审查那无尽的代码修改是不现实的。但静态分析伸缩性绝佳,因为其能设置关于不良架构或代码行为的 “规则”,自动扫描系统以找出此类漏洞。堪称一劳永逸。理想状态下,该系统不仅标记潜在问题,还能为工程师提供实时反馈,帮助他们学习如何消除隐患。
普普评述:
这是迄今为止已知暴露识别中最有价值的东西。
网络安全发展(技术或行业)趋势是什么?
2019.08.24 周六
互联网安全这个行业的发展其实与网络IT基础设施架构是密切相关的,例如传统PC需要终端杀毒软件、防火墙之类的产品,移动端兴起时候也有移动端安全的防护软件。虽然云化、虚拟化肯定是一种趋势,在新的IT架构设置下,它也一定有一些新的安全需求,但是传统的基础防护方式还是需要的。对于大型企业而言,云的业务体量是非常大的,如果从建设和成本角度而言,传统基础防护方式的性价比还是很高的,而且本质上来讲,安全防护在产品形态上没有质的改变。所以,一方面新的IT架构设置下会有新的机会,另一方面原来的传统基础产品,像防火墙之类的产品还是需要的。
另外,我觉得人工智能会对各个行业都有改变,它也是将改变网络安全这个行业。其实人工智能这种方式就是把一些原来需要人去判断的情况,通过信息和数据的积累和学习,用机器来替代掉人的很多工作,他其实不是能够真正的智能化,只是利用历史经验数据判断未来。
未来我相信人工智能的算法或模型都会共享的,只要有信息、有数据,只要有场景、有需求,很多企业都可以做这个事。但是我还是会看这项技术能不能站在一个to B企业的角度,帮助实行一个完善的综合性的企业解决方案。
普普评述:
人工智能针对to B这个行业,实际上只是单一的技术,虽然整个未来企业的发展走向受他影响,但是对于to B行业没有更大显现,在to B行业的产品设计、方案设计、客户拓展或者是综合架构设计可能还是需要人来设计。
普普安全资讯-2019/8/25
2019.08.25 周日
目前,世界各地的政府机构都在加紧研究和关注各类恶意黑客组织,2019 年 2 月 19 日,美国网络安全技术公司 CrowdStrike 发布了《2019年全球网络安全威胁报告》,其中重点提到了一个关键概念——突破时间 (Breakout Time),是指入侵者发起攻击到成功获得系统权限的时间。该报告显示,俄罗斯政府支持黑客组织的平均突破时间仅为 19 分钟,也就是说,在漏洞被曝出之后,黑客最快在不到 20 分钟的时间里就能够实施行动。
从初始妥协到在目标网络中横向移动仅需要 19 分钟!这无疑给首席安全官们施加了额外的压力,以敦促他们实施有效的检测和应对措施。
鉴于网络攻击者正在不断调整其攻击技术,以适应不同目标地区的相对脆弱性特征,这种压力还会进一步加剧。
例如,恶意软件、注册表运行密钥和命令行界面攻击是印度太平洋地区最常见的攻击媒介。相比之下,在针对拉丁美洲目标的攻击活动中,恶意软件的使用率超过了 75%;而在针对 EMEA(欧洲、中东、非洲三地区的合称)组织的攻击活动中,超过一半都使用了脚本。
普普评述:
这种多样性意味着根本不存在一种通用的解决方案,可以用来检测和管理此类攻击。而一旦目标受到攻击,人类攻击者就可以采取控制措施来探索和定位需要获取的数据等信息。
互联网连接设备中存在的远程可利用漏洞,使攻击者有能力在广泛的工业环境中造成破坏和损害。
2019.08.26 周一
安全研究人员在企业、医院、工厂和其他组织所广泛使用的楼宇综合管理系统 (BMS) 中发现了一个远程可利用的关键漏洞,可被恶意行为者用于控制通风、温度、湿度、气压、照明以及安全门等装置。据悉,该系统供应商已经发布了固件更新程序,但数百个这些系统仍然公开暴露在互联网上,凸显了远程管理 ICS(工业控制系统)设备的风险。
楼宇综合管理系统 (BMS) 立足于各个维护建筑运行的自动控制系统,集成它们的信息,为建筑的管理、运营提供服务。同时它还能提供有限的硬件系统控制层功能,为集成系统的集中监控、值班提供必要的服务。其目标是要对大厦内所有建筑设备采用现代化技术进行全面有效的监控和管理,确保大厦内所有设备处于高效、节能、最佳运行状态,提供一个安全、舒适、快捷的工作环境。
普普评述:
设备可以通过互联网进行攻击并且这种控制系统暴露在远程管理中并不罕见。
微软警告用户,应立即更新 Windows 10 操作系统,以免受关键漏洞危害。
2019.08.27 周二
该公司表示,未受保护的服务器可在网络上自发传播病毒和恶意软件,无需用户授意。开启自动更新功能的 Windows 10 设备已受到保护。
受影响 Windows 版本包括 Windows 7 SP1、Windows Server 2008 R2 SP1、Windows Server 2012、Windows 8.1、Windows Server 2012 R2 等。但 Windows XP 反而没事。
Windows 10 是世界上最流行的桌面操作系统。当前全球约有 8 亿台设备安装了 Windows 10 操作系统,也就是说,上亿设备面临风险。
微软安全响应中心 (MSRC) 事件响应主管 Simon Pope 表示:没有迹象表明第三方注意到了这些漏洞,但 “受影响系统最好尽快打上补丁,因为这种可变蠕虫的漏洞可能导致风险。
微软网站上已发布更新包。
另外,Windows 10 用户应安装可靠的杀毒软件,定期扫描设备,并使用可信 VPN 以保护在线隐私。
普普评述:
未受保护的服务器无需用户互动即可在网络上传播病毒与恶意软件。
想有效保护网络安全,就得像网络罪犯一样思考。
2019.08.28 周三
马萨诸塞州终端安全专业公司 Carbon Black 称,应该重新考虑要不要再用洛克希德马丁的网络杀伤链 (Cyber Kill Chain) 作为理解攻击周期的网络安全行业事实标准。
7 月底,Carbon Black 提出了新的 “认知攻击循环” (Cognitive Attack Loop) 方法,称 “线性处理网络安全问题不再有效”。该公司的主旨是:杀伤链如今需专注行为理解和战术、技术与流程 (TTP),而不是入侵指标 (IoC);预防、检测与响应需在无尽循环中相互反馈补充。
Carbon Black 在题为《网络犯罪认知》的论文中提出了该模型。论文指出,洛克希德马丁的杀伤链模型太过注重尽可能在攻击周期早期掐灭攻击。(杀伤链模型将黑客攻击周期划分成七个阶段,从前期侦察、攻击载荷投放,一直到命令与控制及其他操作。)
虽然该模型这些年来受到一些安全专家的推崇,有些专家却也批评称,侦察和武器化等该模型中的早期阶段,因为发生在 IT 团队的影响范围之外,是很难防御的。而且,该模型还强化了传统边界防御,对阻止内部人攻击毫无作用。
普普评述:
想要有效防卫网络安全,就得窥探他们的思维,了解促使他们做出攻击行为的动机。