【爱资讯|每日安全在身边】

今日内容提要:
黑客使用Android恶意软件监控以色列军队士兵
7款Android应用被黑 数百万汽车面临被盗风险
德国政府监管机构告诉家长销毁容易被黑客攻击的智能玩具
研究人员发现散播Shamoon恶意软件的Web服务器
全球最大成人网站悬赏找Bug:找到一个给25000美元
资讯详情 黑客使用Android恶意软件监控以色列军队士兵

据科技博客ZDNet报道,据Lookout和卡巴斯基等安全公司称,一种名为“ViperRAT”的恶意软件正在入侵以色列军队士兵的Android手机,从而监控他们的活动并窃取有关数据,这些数据可能包括照片和录音资料。“ViperRAT”恶意软件由哪一组织开发和部署目前尚不清楚,该恶意软件能够从被感染设备上搜集敏感信息,而且看上去对图片和音频文件最感兴趣,此外还热衷于搜集手机主人的短信息、通信录以及访问设备位置。
7款Android应用被黑 数百万汽车面临被盗风险
近日,俄罗斯安全公司卡巴斯基的一组研究人员对 9 辆互联网汽车的 Android 应用(来自 7 家公司)进行了测试,这些应用的下载量已经超过几十万,甚至部分应用超过了 100 万,但是他们却发现这些应用连最基础的软件保护都没有提供,更谈何说帮助车主保护这个重要的宝贵财产之一。
研究人员表示,通过Root目标设备获得欺骗用户安装恶意代码,黑客能够使用卡巴斯基所测试的所有7款应用来定位车辆位置,解锁车门,甚至能够在某种情况下点火启动。
近几年恶性的停电事故、恶劣气候和自然灾害使人们渐渐认识到业务持续性和灾难恢复的重要性,IT决策层的相关安全意识认知普遍得到了提高。
德国政府监管机构告诉家长销毁容易被黑客攻击的智能玩具
德国政府监管机构联邦网络局日前发出警告,告诉父母销毁一些为他们孩子设计的互联网连接智能玩具。该机构发现玩具中包含的技术并不安全,并且很容易被黑客攻击并且控制泄露个人隐私。
其中一件有问题的玩具产品是My Friend Cayla,它可以聆听儿童的问题并且连接到互联网上寻找答案。它的工作原理非常像我们手机上的数字助理,但该设备被发现是严重缺乏安全功能。研究人员证明,攻击者可以窃听甚至通过这个玩具和儿童对话,它的蓝牙连接功能,也可以让附近的恶意人士控制My Friend Cayla,无需和儿童在同一间房间内。
研究人员发现散播Shamoon恶意软件的Web服务器
在Shamoon恶意软件的详细分析报告中,研究人员已经发现并确定了用来散播Shamoon的服务器。Shamoon恶意软件的活跃度较高,在沙特阿拉伯和伊朗网络战中正发挥着巨大的作用。

Adobe 发布 Flash 插件更新 修复重大安全漏洞

Shamoon,这种病毒被注名为“W32.Disttrack”以及“W32.EraseMBR”,也被称为Disttrack。Shamoon的主要能力是可以从受感染的设备上清除数据。执行文件里包含了“wiper”字段,以及“ArabianGulf”字段。这一字段也曾在Flame病毒中出现过,Flame曾被认为是由美国和以色列政府共同研发用以攻击伊朗核能源部门的恶意攻击软件。
Shamoon恶意软件于2012年浮出水面,当时感染了全球最大石油生产公司沙特阿美(Saudi Aramco)3万个工作站,擦除了硬盘数据,使沙特阿美陷入恐慌。自那之后,攻击者不断完善该恶意软件,持续攻击沙特政府和行业的高价值目标,最近一次攻击发生在上个月。
全球最大成人网站悬赏找Bug:找到一个给25000美元

确实有点丑: 苹果用它给iPhone原型机保密

YPorn是全球规模最大的成人网站之一,每个月都会有超过10亿次的影片点击量。因此,YPorn也十分重视注册用户的信息安全和自身平台的体验。为此,YPorn最新宣布加入HackerOne平台,通过悬赏的方式来吸引更多的白帽黑客向自己提供有关网站BUG的信息。
YPorn表示,每个提交者在被验证BUG真实有效之后都会获得对应的报酬,金额根据Bug等级从50美元到25000美元不等。
了解更多聚焦大数据发展新机遇,探索移动安全解决新出口
力争上游,爱加密获邀顺利加入“中国安卓绿色联盟”
爱加密顺利成为国家信息安全漏洞库(CNNVD)技术支撑单位
关于爱加密

传瑞华证券业务被停:内部管控或存重大漏洞

长按以上二维码,关注更多精彩内容
移动金融服务中的信息安全问题实录
爱加密是北京智游网安科技有限公司2013年推出的核心产品,专注于为移动领域的金融、游戏、电商等企业级应用及众多移动互联网开发者:提供安全可靠的应用保护及运营服务综合方案,目前服务各类应用累计近80万款,覆盖7亿用户终端。
该文章作者已设置需关注才可以留言
微信扫一扫关注该公众号

终端安全靠智能系统相关的厂商和开发人员将安全功能置入到设备内,除了设备本身的操作系统和少量应用软件,其它大量的移动应用涉及大量的开发人员。

猜您喜欢

信息安全福尔摩斯养成:5步教你成为安全意识大师
突破网络安全管理瓶颈的力作
中国企业走出去,我们助力国际化人才的培训:
女星最近都穿了哪些美衣
MBA PHEWACOMMUNITY
意识形态安全还是网络安全意识

安全的Web浏览不可欠缺的HTTPS

凡是持有电脑或者智能手机的人,每天都会浏览网页。很多人使用Internet Explorer、Microsoft Edge、Google Chrome以及Firefox等Web浏览器。

日本遭受网络攻击创历史新高 日媒称多来自中美两国

但是,即使是Web浏览器以外的软件,在技术上使用相同结构的东西也日益增加。这里说的相同结构是指,通信技术的一种(网络通信的规格和规定的“协议”),用于Web通信的协议有HTTP与HTTPS。
以Web浏览器为例,上方有地址栏,比方说浏览51cto的网页时,会显示 http://www.51cto.com的文字列。这里、是通过使用Hyper Text Transfer Protocol(略称 “HTTP”)协议,浏览www.51cto.com的Web服务器,获取数据。
像这样,如果是Web浏览器,只要地址栏不是隐藏的情况,都可以确认是以何种协议浏览网页。但是,智能手机的大多数App没有类似于地址栏的内容。即使这样,如果是使用HTTP和HTTPS协议的App,会进行相同的通信。
HTTP与HTTPS的区别
下面说明一下HTTP与HTTPS的区别。首先,为了访问Web而设计•开发的协议是HTTP。HTTPS在Web访问这一目的上与HTTP相同,却是以HTTP为基础确保更加安全的形式,是扩张的功能。HTTPS末尾“S”不是英语中的复数S,而是SSL/TLS的意思,全称为Hyper Text Transfer Protocol over SSL/TLS。SSL/TLS是收发加密通信数据结构的一种, SSL是Secure Sockets Layer,TLS是Transport Layer Security的简称。关于SSL/TLS后面将会说明。

国网甘肃电科院顺利完成信息安全渗透测试

HTTPS的功能
HTTPS特有的功能大致可分为二个。一个是通信的加密化,另一个是担保通信方的可信性。使用HTTPS通信的时候,除了收发信的地址等通信必要的若干信息外,所有的通信内容都会被加密。因此,即使有第三者想要偷看,通信内容也是无法读取的。
同时,通信开始时使用服务器与客户端 (Web浏览器等)之间的证书,验证其正当性,可确认网络服务器的可靠性。HTTPS通信时,此证书称为“SSL服务器证书”。收信处服务器的可信性被确认且通信加密时, Web浏览器地址栏的左端等处会显示绿色小锁被锁住的标志,并显示网页。
再者, Web服务器与Web浏览器会自动的进行这一连续的作业。相反的,如果SSL服务器证书不是出自可信的证书发行处、或者不能确认是符合此服务器使用的证书时, Web浏览器上会出现“安全证书存在问题,不可信”、“无法安全接续”的警告提示。(参考图一)

图一:Firefox的SSL服务器证书的错误警告画面
HTTPS就万事安心吗?

林子大了,什么鸟都有,为了微博上的几句驳斥文字不合心意,就有人们在现实中报复,为什么容不下异己意见呢?
HTTPS使用上述的SSL/TLS结构。SSL/TLS使用SSL服务器证书・私钥・公开密钥・公钥。SSL服务器证书保持Web服务器,HTTPS通信开始时由Web服务器传送来数据。SSL服务器证书的可靠性无法确认时, Web浏览器上会出现警告提示(如图一)。这意味着无法确认想要浏览的网页是正确的。
一般情况下,大多数Web浏览器的警告画面上会出现继续浏览的按键(如图一左下角的追加项目),但是,只要服务器管理者不能确认没有问题就应该控制浏览。在无法确认可靠性的情况下也是可以继续浏览的,但必须知道那时通信内容只是被加密了而已。假设,通信的服务器如果是攻击者准备的,那么即使加密也毫无安全的意义。
双塔食品再度上演”兜底”式增持
SSL/TLS是SSL与TLS两种技术要素的总称。其中,SSL可以说是过时的旧技术,有很多问题无法解决(今后解决的可能性也几乎没有),所以并不推荐使用。
但是需要理解SSL是先被开发,之后出现TLS的历史过程。如今虽然还有SSL有効的Web服务器存在,但是今后应当停止SSL,使用TLS。
大家平日使用的Web浏览器,如Internet Explorer和Google Chrome中,请一定关闭“使用SSL2.0”、“使用SSL3.0”的设定(图二)。假设这些是有效的,有可能会发生很深刻的问题。例如SSL,只在服务器一方保存的私钥存在泄露的安全漏洞。访问私钥被盗的Web服务器,原本应该被加密的通信内容有全部被攻击者读取的可能。

图二:Internet Explorer / Google Chrome的SSL2.0/3.0的设定
HTTPS与恶意软件的关系

洋钱罐通过公安部信息系统安全等级保护三级备案

HTTPS是为了安全访问Web所必须的,但实际上,通过HTTPS的通信手法实施的恶意软件也是存在的。如上所述,证书即使不正规,根据 HTTPS的通信加密也可实现,恶意软件使用HTTPS加密通信内容时,调查和解析就会变得十分困难。同时,还存在虽然没有任何加密, HTTPS使用的443/TCP却作为面向外部的通信点被使用的恶意软件。

一般用户也许不需要特别在意,但作为网络管理者和安全责任者则应当认知这种情况吧。
【内容来源】マイナビニュース
【原标题】安全なWebアクセスに不可欠なHTTPSって?(作者:前田 典彦)
微信扫一扫关注该公众号

企业应该在被黑客攻击利益受损时及时报案,寻求专业的网络安全调查取证服务,共同打击商业间谍等不良黑客行为。

猜您喜欢

日产新聆风假想图 借鉴IDS概念车设计
创新科学方法助力安全事故防范
网络安全意识动画片展播针对企业职员的社交工程诈骗电话
朝核问题螺旋上升恶性循环美国动武迹象显现
TYLT BOOKPRINTINGUK
来自互联网公司的真实商业间谍案例让企业安全管理人员无法轻松