一周安全要聞:360斥巨資買域名 索尼花重金查被黑
原創(chuàng)上周,發(fā)生在科技圈的一個大買賣引起了不小的轟動,即是360公司花了一個多億從沃達豐手里收購了360.com域名。作為一家上市公司尤其是一家科技類上市公司,面對頂級域名缺失的境遇確實異常尷尬。在目前安全市場競爭如此激烈的情況下,360不得不步步驚心謹慎地經(jīng)營著自己的品牌保護。如今,360斥巨資收購360.com這一頂級域名,此舉除了彌補了頂級域名缺失的短板,提升了品牌的國際知名度之外,品牌校準的寓意也是相當濃厚,更重要的也消除了自己進軍海外過程中可能存在的隱患。這一點,從交易被披露后,360股票大漲的市場反應可見一斑。
另外,去年年底發(fā)生的索尼影業(yè)被黑事件也有了新進展。據(jù)悉,索尼影視娛樂有限公司正逐漸公布去年11月份遭遇大范圍黑客攻擊造成的財政損失。此次襲擊迫使索尼推遲原計劃在上周三公布的公司第四季度財報,因為索尼無法在規(guī)定時間內整理好財務賬簿。索尼只能對第四季度業(yè)績給出了一個大致預測,同時開始公開黑客襲擊對索尼造成的影響。有報道稱,索尼曾耗費1500萬美元資金去調查與黑客襲擊有關情況。據(jù)最新消息顯示,一名曾為美國網(wǎng)絡空間犯罪部門工作的俄羅斯黑客雅馬托夫披露,去年年底索尼影業(yè)攻擊的事件是一組俄羅斯黑客干的,而且他們現(xiàn)在可能還潛伏在索尼影業(yè)的網(wǎng)絡中。
近日WebRTC曝出安全漏洞,可能泄露用戶的真實IP地址,即使用戶使用了VPN。WebRTC(網(wǎng)頁實時通信,Web Real-Time Communication)是一個支持網(wǎng)頁瀏覽器進行實時語音對話或視頻對話的開源標準。使用WebRTC,用戶無需安裝其他軟件或瀏覽器插件即可進行即時通訊。
全盤加密(FDE)是一種存儲加密技術,用來啟勸系統(tǒng)的整個硬盤進行了加密。它最常用于保護存儲在臺式機和筆記本電腦上的敏感數(shù)據(jù)的機密性。用不用FDE關系到丟失的筆記本電腦只是帶來不便,還是導致巨額經(jīng)濟損失的數(shù)據(jù)泄密事件。
技術解析:
隨著POS系統(tǒng)(Point Of Sales System)的普遍應用,POS機安全問題也備受關注。經(jīng)過對國內幾款知名POS機的安全測試,安全研究人員發(fā)現(xiàn)其系統(tǒng)設計都存在類似的安全漏洞。其 中,某款POS機在向服務端發(fā)送指令時是包含了一個防止重放攻擊的隨機數(shù),但是服務端卻沒有驗證隨機數(shù),導致POS機向服務端發(fā)的包可以重放攻擊。同 時,POS終端發(fā)出的指令包也沒有數(shù)字簽名,可以任意修改。于是,攻擊者通過正常刷卡獲得受害者銀行卡的一些信息后,可自行生成一個付款指令到服務端,這 樣受害者的銀行卡就被扣款了。
趨勢科技的安全專家在調查一起網(wǎng)絡間諜活動時,發(fā)現(xiàn)了一款特別的iOS設備間諜程序。它可以竊取未越獄iOS用戶的照片、短信、聯(lián)系人列表和其他數(shù)據(jù)。但值得注意的是,這種惡意軟件仍然無法在未經(jīng)用戶允許的情況下安裝。
php對象注入是一個非常常見的漏洞,這個類型的漏洞雖然有些難以利用,但仍舊非常危險,為了理解這個漏洞,請讀者具備基礎的php知識。
WPA-PSK破解原理:用我們字典中的PSK+ssid先生成PMK(此步最耗時,是目前破解的瓶頸所在),然后結合握手包中的客戶端MAC,AP的BSSID,A- NONCE,S-NONCE計算PTK,再加上原始的報文數(shù)據(jù)算出MIC并與AP發(fā)送的MIC比較,如果一致,那么該PSK就是密鑰。
