内容简介:摘要: 谷歌研究者:软件技术无法解决“幽灵”芯片漏洞 据美国科技媒体Ars Technica报道,谷歌研究人员对“幽灵”(Spectre)攻击的范围和影响进行调查后,发表了一篇论文,认为类似于这样的漏洞可能会继续困扰处理器,而基于软件的防护技术会产生较高的性能成本。他...
摘要: 谷歌研究者:软件技术无法解决“幽灵”芯片漏洞 据美国科技媒体Ars Technica报道,谷歌研究人员对“幽灵”(Spectre)攻击的范围和影响进行调查后,发表了一篇论文,认为类似于这样的漏洞可能会继续困扰处理器,而基于软件的防护技术会产生较高的性能成本。他...
谷歌研究者:软件技术无法解决“幽灵”芯片漏洞
据美国科技媒体Ars Technica报道,谷歌研究人员对“幽灵”(Spectre)攻击的范围和影响进行调查后,发表了一篇论文,认为类似于这样的漏洞可能会继续困扰处理器,而基于软件的防护技术会产生较高的性能成本。他们还认为,无论如何,软件都不足以防御这种攻击——一些“幽灵”漏洞似乎并没有有效的软件防御措施。因此,“幽灵”将成为未来的一个重要安全隐患,并没有直接的解决方案。
参考来源:
https://www.cnbeta.com/articles/tech/821419.htm
香港宽频客户资料库遭入侵事件调查报告公布
香港个人资料私隐专员黄继儿就香港宽频于2018年4月中旬发生客户资料库遭入侵而导致近38万名客户及服务申请者的个人资料外泄事件展开调查,并根据《私隐条例》第48(2)条,在符合公众利益的情况下,于今天发表调查报告。报告指出,事发时香港宽频将客户资料储存在三个资料库内。遭黑客入侵的资料库是一个已停用的资料库(涉事资料库),存有截至2012年的客户和服务申请者的个人资料,包括姓名、电邮地址、通讯地址、电话号码、身份证号码和信用卡资料,受影响人数近38万。
参考来源:
https://www.secrss.com/articles/8560
印度近 50 万名公民个人数据遭泄露
据外媒报道,一个包含印度德里约458388名市民的高度敏感信息的数据库,在没有任何密码保护的情况下向公众开放。安全研究员Bob Diachenko用Shodan检索后,发现了公开的数据库名为“GNCTD”,文件大小为4.1GB。 BobDiachenko分析内容后得出,泄露的数据库属于Transerve公司。泄露的数据库包含个人合集和住户合集。个人合集中包含Aadhaar号码(用于身份认证)、选民卡号、健康状况、教育等个人详细信息。住户合集中包括姓名、门牌、楼层、地理位置、地区详情、户主的电子邮件、住户合作调查的地址、厕所类型、功能水表、配给卡号码、互联网设施、信息提供者等。
参考来源:
黑客利用虚假谷歌 reCAPTCHA 隐藏恶意软件
据网络安全公司 Sucuri 的博客称,其研究人员发现了冒充谷歌 reCAPTCHA 针对波兰银行用户网络钓鱼活动。研究人员首先发现了一个与针对波兰银行的网络钓鱼活动相关的恶意文件。攻击者在电子邮件中采用模仿和恐慌/诱饵技术,诱使受害者下载银行恶意软件。这些钓鱼邮件要求用户确认交易的虚假内容,包含了指向恶意 PHP 文件的链接,访问者被专门定义了用户代理,显示虚假的 404 错误页面。如果用户使用代理过滤器,将显示虚假的谷歌 reCAPTCHA页面,然后恶意PHP文件会再次检查受害者的浏览器用户代理,根据手机系统执行相关操作,下载对应版本的恶意软件。
参考来源:
雷锋网 https://www.leiphone.com/news/201902/BZgb3rgIvyu0uuCk.html
攻击者滥用 LinkedIn 求职资料传播 More_eggs 后门
据Proofpoint 2 月 21日发布的威胁情报,自 2018 年中期以来,Proofpoint一直在跟踪滥用合法邮件服务的攻击活动,一些攻击者通过提供虚假工作的手段,利用电子邮件反复跟进,最终植入More_eggs后门。这些攻击主要针对美国公司,包括零售、娱乐、药业和其他通常采用在线支付的网站,例如在线购物门户网站。攻击者滥用LinkedIn相关求职资料,假装提供就业机会公司,针对潜在受害者发送钓鱼邮件,邮件带有提供具体职位介绍的嵌入式 URL 或 PDF 等恶意附件,URL 将受害者链接到虚假网页,登陆页面后,将下载带有恶意宏的 Word 文件或下载JScript加载程序,最终下载并执行 More_eggs 后门。
参考来源:
雷锋网 https://www.leiphone.com/news/201902/QaqviqcqBYGQFscx.html
Google :我忘记说我们的产品中装有麦克风
Google旗下的家庭安保产品Nest Secure有一个隐藏的麦克风,但无论是包装还是说明都没有向客户透露麦克风的存在。这不是一个失误,这是最严重的隐私泄露!二月初,谷歌宣布旗下已发布一年的Nest Secure将会更新。用户可以通过谷歌助手进行语音操控。问题是,用户根本不知道他们的安全设备上装了一个麦克风。Google方面的知情人士表示:“设备上的麦克风不是故意隐藏的,确实应该列入技术说明中”,“这对我们来说是个很大错误”。这些话让谷歌看起来更加愚蠢。
参考来源:
https://nosec.org/home/detail/2269.html
ICANN : DNS 基础架构存在持续且重大的风险
负责互联网域名系统(DNS)基础设施的互联网名称与数字地址分配机构(ICANN)周五发布了预警,警告DNS系统面临的危险。ICANN 表示 “相信域名系统(DNS)基础架构的关键部分存在持续且重大的风险”,并敦促域所有者和DNS服务尽快迁移到使用DNSSEC。DNSSEC代表域名系统安全扩展,这是DNS协议的扩展,允许域所有者对DNS记录进行数字签名。密码签名DNS重新绑定可防止未经授权的第三方修改DNS条目,而无需私有DNSSEC签名密钥,而该密钥通常仅由合法域所有者拥有。
参考来源:
https://www.zdnet.com/article/icann-there-is-an-ongoing-and-significant-risk-to-dns-infrastructure/
关于安全帮
安全帮,是中国电信北京研究院旗下安全团队,致力于成为“SaaS安全服务领导者”。目前拥有“1+4”产品体系:一个SaaS电商(www.anquanbang.vip) 、四个平台(SDS软件定义安全平台、安全能力开放平台、安全大数据平台、安全态势感知平台)。
相关文章
以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网
猜你喜欢:- 安全研究者的自我修养(续)
- 8个常见的研究者认知偏误陷阱
- 从研究者的视角看 Fuzzing 技术发展 30 年
- NIPS 更名风波再起,众多研究者联合抗议NIPS不改名的决定
- 254 页 PPT!这是一份写给 NLP 研究者的编程指南
- NLP前路何在?Bengio等27位NLP顶级研究者有话说
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
极简算法史:从数学到机器的故事
[法] 吕克•德•布拉班迪尔 / 任轶 / 人民邮电出版社 / 2019-1 / 39.00元
数学、逻辑学、计算机科学三大领域实属一家,彼此成就,彼此影响。从古希腊哲学到“无所不能”的计算机,数字、计算、推理这些貌似简单的概念在三千年里融汇、碰撞。如何将逻辑赋予数学意义?如何从简单运算走向复杂智慧?这背后充满了人类智慧的闪光:从柏拉图、莱布尼茨、罗素、香农到图灵都试图从数学公式中证明推理的合理性,缔造完美的思维体系。他们是凭天赋制胜,还是鲁莽地大胆一搏?本书描绘了一场人类探索数学、算法与逻......一起来看看 《极简算法史:从数学到机器的故事》 这本书的介绍吧!