安华金和 发布的文章

近日, 黑鸭软件 Black Duck Software 发布了开源安全与风险分析(OSSRA)年度报告,报告对 2018 年以来 1200 多个商业代码库的匿名数据进行了分析和研究。对当今的企业来说,开源软件、库和组件往往起着重要的作用。开源代码采用率高有许多原因,其中包括开源社区的许多程序员愿意为项目贡献时间、项目代码的透明性、以及比开发内部系统更少的实现时间等。

在黑鸭审查的所有代码库中,有 96% 包含了开源组件,而大多数没有开源代码的代码库其实包含不到 1000 个文件。在超过 1000 个文件的代码库中,开源代码的采用率高达 99%。

开源代码有着它的安全优势,但也存在着安全漏洞未修补的隐患,开发人员可能没意识到项目正在被安全漏洞影响。在报告审查的代码库中,至少包含一个漏洞的代码库占 60% ,这个数字比 2017 年统计的结果 78% 有所下降。

黑鸭认为,发现的漏洞有 40% 都是关键级的。“事实上,开源并不总是更安全。”报告指出,无论项目源码是专有的还是开源的,都可能因为漏洞的存在,安全性变得薄弱。项目人员应该及时加以识别和修补这些漏洞。

报告中发现漏洞的平均“年龄”为 6.6 岁。其中,最老的 CVE-2000-0388 是 FreeBSD libmytinfo 库中的缓冲区溢出漏洞,在 28 年前被披露。报告结果显示,有 43% 的代码库包含一个超过 10 年的 bug。这表明不少企业可能没意识到开源的用处,也没有对组件目录进行系统管理,这些软件没有打新的补丁,更容易被攻击。

“一般只有少数开源漏洞,比如那些影响 ApacheStruts 或 OpenSSL 的漏洞,有可能被广泛利用。”研究人员表示,项目组织应该把他们的开源漏洞管理和缓解工作的重点放在 cvss 评分和漏洞的可用性上,在关注 “0day” 的同时,也应该关注开源组件的生命周期。

来源:开源中国

更多资讯

黑客届“奥斯卡”来了!国际安全技术大牛 5 月底齐聚北京

随着网络安全问题越来越引发全球关注,对黑客、安全漏洞等话题感兴趣的极客和技术爱好者们将在北京迎来盛会。有黑客界“奥斯卡”之称的 DEF CON 近日宣布,即将举办 DEF CON CHINA Baidu 安全行业国际峰会,5月31日至6月2日,数千名全球安全技术大牛将齐聚北京 751D·PARK,同台切磋技艺。

来源: 北京日报客户端
详情: http://t.cn/ESl6YeJ

还在随便下载软件?CNCERT 公布 116 个高危恶意程序

2019 年 2 月期间,国家互联网应急中心(简称“CNCERT”)在全国范围内继续开展计算机恶意程序传播渠道安全监测工作,对已备案的计算机软件下载站进行安全监测,判定计算机恶意程序 216 个,其中高危恶意程序 116 个,涉及 8 个省份的 11 家软件下载站及应用商店。2019 年 4 月下旬,CNCERT 将本次监测结果形成报告对外发布。

来源: FreeBuf.COM

详情: http://t.cn/ESl6mGB

阿桑奇在英被判 50 周监禁处罚

据英国“天空新闻”刚刚消息,维基解密创始人阿桑奇在英被判50个星期监禁。“你曾有一个选择,你选择的行动就是犯罪,”该法院法官德博拉·泰勒在法庭上说,“你没有心甘情愿地投向......你不会自愿到法院来。”随后,泰勒宣布阿桑奇被判“50 周监禁”。

来源: 环球科技

详情: http://t.cn/ESlXhc5

Windows 10 的安全功能使得基于 Chromium 的浏览器运行慢了三倍多

正如 Vivaldi 开发人员所揭示的那样,Windows 10 中内置的安全功能使基于 Chromium 的浏览器在测试环境中的速度降低了三倍多。Yngve Pettersen 在博客文章中解释说,开发人员在将 Windows 10 测试人员添加到 Windows 单元测试集群时发现了这个性能问题。

来源: cnBeta.COM

详情: http://t.cn/ESlXLjD

(信息来源于网络,安华金和搜集整理)

本月早些时候,微软透露它的 Outlook.com、Hotmail 和 MSN 服务遭到未知攻击者入侵。现在,部分受害者声称黑客窃取了他们的加密数字货币。一位受害者提供了屏幕截图,称黑客访问了他的收件箱,重置了他的 Kraken [dot] com 账号,撤回了比特币。

Kraken 是一个受欢迎的数字货币交易所。这位受害者展示了微软的通知以及黑客在其邮箱设置的转发规则:所有提到 Kraken 的邮件都被转发到了黑客控制的 Gmail 邮箱。

但目前还无法确认此次入侵是否真的针对数字货币。

来源:solidot.org

更多资讯

破解版电视盒调查:隐藏在盗版资源背后的严重安全隐患

援引安全机构 Sophos 报道,互联网安全组织数字公民联盟(DCA)近日发布报告称很多深受盗版用户青睐的破解版流媒体设备充斥着各种恶意软件。这些破解设备通过 eBay、Craigslist 或暗网等渠道进行销售,价格在 75 美元到 100 美元之间。

来源: cnBeta.COM

详情: http://t.cn/ESoeu6x

阿联酋领衔全球加密货币市场 今年前四月销售超 2.1 亿美元

彭博援引 CoinSchedule 的报告称,阿联酋刚刚成为了全球数字代币市场的一枝独秀。在截止今年 4 月初的募资总额中,该国就贡献了 1/4 以上。数字货币市场追踪者 CoinSchedule 上周公布的数据显示,阿联酋的销售额已超 2.1 亿美元,从市场的长期领导者(美国)手中夺过了第一的名号。作为对比,自 2018 年以来,美国市场在最近几个月,首次跌到了第 7 位。

来源: cnBeta.COM

详情: http://t.cn/ESoeDSZ

2018 年近 40% 网络流量来自机器人

网络安全服务商 Distil Networks 近期发布了关注自动化网络流量现状的 2019 年 Bad Bot 报告,该报告指出在 2018 年,由机器人产生的网络流量占到了所有流量的 37.9%。报告中提及的机器人流量包含两种情况:合法机器人与恶意机器人产生的流量。

来源: 开源中国

详情: http://t.cn/ESoD7YJ

网络交易监督管理办法征求意见:收集消费者个人信息不得用一次性授权方式

4 月 30 日,网络交易监督管理办法公开征求意见,征集意见的时间至 5 月 29 日。《电子商务法》已于 2019 年 1 月 1 日起正式实施,市场监管总局在修改《网络交易管理办法》(原工商总局令第60号)基础上,起草了《网络交易监督管理办法(征求意见稿)》。《办法(征求意见稿)》共6章70条,包括总则、网络交易经营者、消费者权益保护、监督管理、法律责任、附则,重点对“用户信息收集使用保护问题”等进行了修改、补充、完善。

来源: 北青网

详情: http://t.cn/ESoDUzy

(信息来源于网络,安华金和搜集整理)

据外媒 Neowin 报道,网络钓鱼并不是一个关于网络安全的新话题,尽管经常会发现新的和创造性的方法来实施这种做法。其中一种方式是新发现并巧妙地被命名为“盗梦空间栏”的网络钓鱼方法。

由开发人员 James Fisher 提供,这个相当简单的技巧已在 Chrome 移动版中得到证明,并利用了浏览器在地址栏方面的行为。当用户向下滚动时,为了给网页留出更多空间,Chrome 会隐藏地址栏,而这正是这个所谓的“盗梦空间栏”的用武之地。

如上所述,概念证明使用汇丰网站作为用户所在的真实网站的替代品。这是通过 Fisher 称之为“滚动监狱”的东西来完成的,其中页面的整个内容被困在一个带有 overflow:scroll 的新元素中,从而在浏览器中创建一种浏览器 —— 对 2010 年的《盗梦空间》的“梦中梦”的概念的引用。虚假地址栏甚至可以进行交互。

为了创造一个更精细的错觉,开发人员表示,具有恶意意图的人可能会在“滚动监狱”的顶部添加“非常高的填充元素”。这样做是为了防止 Chrome 在用户向上滚动时重新显示地址栏的正常行为。实际上,这看起来像页面刷新。

虽然通过简单地导航到 Chrome 的一个菜单就可以打破错觉,但这仍然被认为是一种令人不安的实施网络钓鱼攻击的方式。

来源:cnBeta.COM

更多资讯

涉案金额 2.3 亿 春节档电影侵权盗版系列专案侦破

公安部今天在江苏扬州召开新闻发布会,通报公安部部署开展打击春节档电影侵权盗版违法犯罪活动、成功办“2·15”系列专案工作情况。今年春节期间《流浪地球》《飞驰人生》《疯狂的外星人》等几部热播电影上映后,出现了大规模盗版,不仅严重侵害了影视作品制作方、出品人的合法权益,而且严重影响了我国影视行业提质升级发展。

来源: 央视财经

详情: http://t.cn/ESI1T1M

法国新区块链法规定银行不能随意拒绝为虚拟货币初创公司提供服务

据外媒报道,在发达国家中,法国对加密货币和区块链公司监管的新做法可以说是前卫的。或许最引人注目的例子就是,法国金融市场监管机构(AMF)起草的监管框架,其目的是消除此类初创企业长期以来面临的一个争议点:银行关系。

来源: cnBeta.COM
详情: http://t.cn/ESI1u95

iPod 之父:苹果屏幕时间功能存在很多漏洞和不足

4 月 29 日消息,据国外媒体报道,苹果近日在屏幕时间应用方面陷入了麻烦之中,其被外媒报道对大量的第三方这一类应用进行了限制,部分还被其从 App Store 中移除,部分开发商认为苹果此举是为了打压竞争对手,以扶持自家的屏幕时间控制功能,两款应用的开发商还因此而将苹果投诉至欧盟的竞争办公室。

来源: TechWeb

详情: http://t.cn/ESI1Dkh

GoDaddy 宣布移除 1.5 万个涉嫌销售假冒产品的欺诈子域名

网络托管服务提供商和域名注册商 GoDaddy 宣布已删除下架超过 15000 个子域名。这些子域名被黑客用于发送垃圾邮件,向消费者出售假冒伪劣产品。用户通常会收到各种宣传产品的垃圾邮件,如果受害者点击这些电子邮件中的链接,就会跳转访问托管在合法网站下的子域名,在该网站合法所有者不知情的情况下牟取利益。

来源: cnBeta.COM

详情: http://t.cn/ESIBZxB

(信息来源于网络,安华金和搜集整理)

Tobii 是一家专注于眼动追踪技术的科技企业,周五的时候,该公司宣布了可以让你的视线离开计算机时,保护屏幕信息隐私的新软件“Aware”。据悉,其适用于任何配备了 Windows Hello 功能的设备,当用户视线暂时离开屏幕时,它将模糊并锁定屏幕。该公司称,当您回头与他人交谈、望向窗外、或者临时出去喝一杯咖啡的时候,Aware 可以及时地帮你保护显示器上的信息隐私。

这项技术还可以让屏幕变暗,以节省电量。通过多显示器设置,Aware 能够瞬间将光标(甚至窗口)发送到另一台屏幕。最后,软件会记录屏幕使用时间,并在必要时给出休息提醒。

软件适配方面,其支持几乎任何运行 Windows RS5+ 操作系统、且配备了 Windows Hello 摄像头的系统。

来源:cnBeta.COM

更多资讯

俄媒:阿桑奇可能受到美《间谍法》指控

在美国已提出引渡要求的情况下,5 月 2 日,现年 47 岁的维基解密网站创始人阿桑奇将在英国出庭接受引渡听证。俄罗斯 RT 电视台 27 日消息说,美国司法部一份文件显示,阿桑奇可能会因泄露机密材料而受到 《1917 年间谍法》 Espionage Act 指控。而根据该法案被定罪的人,可能会被处以死刑。

来源: 环球科技

详情: http://t.cn/ES7of9G

在美 100 辆共享奔驰车遭黑客入侵被盗,中国暂停运营

近日,据美国科技网站 TheVerge 报道,德国汽车租赁公司 Car2Go 在遭遇“黑客袭击”后,丢失了多达 100 辆奔驰豪华轿车。到目前为止,已有 21 人因涉嫌参与劫持汽车,并将其用于各种犯罪的计划而受到指控。

来源: 北京时间财经

详情: http://t.cn/ES7oX5S

联通移动发声:对涉嫌营销扰民电话号码依法处置

4 月 27 日,部分用户接收到中国联通发送的短信:根据国家有关规定,未经用户同意,任何组织和个人不得擅自向用户拨打商业营销电话。为维护用户合法权益,我们将对涉嫌营销扰民的电话号码进行依法处置。中国联通呼吁广大用户与我们携手抵制骚扰电话,共同营造清朗的通信环境。

来源: 中新网
详情: http://t.cn/ES7oKqk

凌晨 4 小时,三个“黑客”疯狂盗转 30 多万

今年 1 月 24 日,杭州某电商公司发现公司账户的钱被转走,根据系统显示,1 月 24 日凌晨 4 点多,先后有三位用户注册了他们公司的 APP,并通过技术手段篡改积分数据,先后盗转资金 30 多万元,简单说,公司的 APP 平台被“黑客”攻击了。

来源: 钱江晚报

详情: http://t.cn/ES7oNU1

(信息来源于网络,安华金和搜集整理)

恶意软件开发人员通过将恶意代码嵌入到硬件固件中让其更加狡猾,但北卡罗来纳州立大学和德克萨斯大学奥斯汀分校的研究人员已经开发出一种可靠的识别此类入侵的方法。通过测量系统及其中每个组件的功耗,可以确定存在恶意软件的类型。研究由洛克希德马丁公司和国家科学基金会赞助。

微架构攻击的本质使它们很难被发现,但研究人员找到了一种方法来检测它们。台式电脑不是这种创新的主要应用。物联网设备和工业嵌入式系统是重要的用例,这多这种设备没有操作系统,并且仅执行存储在非易失性存储器的一小部分机器代码。在部署到现实世界的大多数嵌入式系统中,防病毒软件甚至都不实用。

监控电源使用本身并不是一个新概念,但是能够与各种系统一起工作的即插即用解决方案的想法很有趣。唯一需要注意的是,写得非常仔细的恶意软件可以尝试表现出正常的功耗。在这些情况下,有时研究人员的工具无法检测到恶意软件的存在。然而,恶意软件窃取数据的速度会减慢 86% 至 97%,这对善于掩盖其踪迹的黑客来说是一个重大损失。

来源:cnBeta.COM

更多资讯

人民日报海外版:对 App 乱象“零容忍”

不同意授权某 App(移动互联网应用程序),许多功能就无法使用;在某 App 留下个人信息后很快收到骚扰电话;打开一款社交软件却看到大量涉黄信息……部分 App 乱象令许多用户苦不堪言。日前,国家网信办等相关部门果断出手,对 App 乱象“零容忍”,为网民营造风清气正的网络空间。

来源: 人民日报海外版

详情: http://t.cn/EaFhRjx

泄露 5 千万用户数据?京东回应:请勿造谣传谣

昨今日京东官方微博@京东发言人针对外界谣传“京东泄露的 5 千万用户数据”一事,回应称:这些数据不是京东账号数据,请勿造谣传谣。京东称,经过示例数据查验,确认这些数据不是京东账号数据,另外还提醒:买卖公民个人隐私数据涉嫌触犯刑法。

来源: 凤凰网科技

详情: http://t.cn/EaFhE3e

美军警告日本:F35 或遭黑客攻击,飞行员驾机会昏迷

日本首架坠毁的 F-35A 隐身战斗机和机上飞行员至今仍未找到,但由美国方面主导的事故调查却取得重大进展。日本经济新闻社 4 月 25 日披露,美国军方向日本防卫省发出紧急警告,称 F-35 战机可能受到了黑客攻击。目前美方已将战机坠毁的原因归结为“突发性系统故障”,其中机载氧气生成系统出问题的可能性最大。也就是说,至今仍失联的 41 岁空自少校飞行员在驾机时可能因缺氧而昏迷,F-35A 战机在失去人工控制后坠毁。

来源:新浪军事

详情: http://t.cn/EaFhmyX

马国 VEP 网站漏洞 新加坡驾车人士资料或遭泄露

马来西亚陆路交通局的外国车辆入境准证(VEP)网站存在安全漏洞,包括新加坡驾车人士在内的数以千计的外籍驾车人士的个人资料,可能遭泄露。

来源: 联合早报

详情: http://t.cn/EaFhucK

(信息来源于网络,安华金和搜集整理)

援引外媒 Motherboard 报道,一名黑客成功入侵了两款 GPS 定位追踪应用,从而允许让他监控数万辆汽车的位置,甚至能够关闭部分汽车的引擎。这名叫做 L&M 的黑客成功入侵了 7000 多个 iTrack 账号以及超过 20,000 个 ProTrack 账户,这两款应用被用于监控和管理车队的。该黑客可以跟踪南非,摩洛哥,印度和菲律宾等少数国家的车辆。

根据部分 GPS 定位追踪设备厂商的设定,如果车辆停靠或者车速低于每小时 12 英里就可以进行远程关闭汽车引擎,而黑客在成功入侵之后可以操控擅自关闭这些汽车引擎。通过对 ProTrack 和 iTrack 的 Android 应用程序进行逆向工程,L&M 表示所有客户在注册时都会获得默认密码 123456。

随后他使用应用的 API 强行调取了数百万用户名称,然后使用定制的脚本使用这些用户名和默认秘密进行登陆。这允许他控制了数万个使用默认密码的账号,并提取了相关信息。

根据 L&M 提交给 Motherboard 的用户数据样本来看,黑客从 ProTrack 和 iTrack 客户那里搜集了大量信息,包括他们所使用的 GPS 跟踪设备的名称、型号、设备的唯一 ID 号(技术上称为 IMEI 号码)、用户名、真实姓名、电话号码、电子邮件地址和物理地址。

L&M 表示他的攻击目标是公司,而不是客户。正是这些公司的疏忽导致客户存在安全风险,它们只是想要牟利,而并不想要保护他们的客户。L&M 表示:“我绝对可以在全球范围内造成大规模的交通事故。我已经控制了上万辆汽车,只要我点击我就可以关闭他们的汽车引擎。”但是 L&M 表示从未关闭过汽车引擎,因为他认为这样太危险了。

虽然黑客没有证明他能够关闭汽车引擎,但是 Concox(ProTrack GPS 和 iTrack 的 GPS 设备制造商之一)的发言人向Motherboard 确认如果车辆低于每小时 20 公里(大约每小时12英里),可以远程关闭汽车引擎。根据黑客提供的截图,这些应用程序具有“停止引擎”的功能。

来源:cnBeta.COM

更多资讯

安全漏洞允许攻击者从高通芯片窃取私钥

高通芯片组被广泛用于智能手机和平板,但这些芯片组的一个安全漏洞将允许攻击者从被称为 Qualcomm Secure Execution Environment(QSEE)的芯片安全域窃取私钥和加密密钥。

来源: solidot.org

详情: http://t.cn/Ea3nsCb

Mac 恶意软件威胁在 2019 年一季度上涨超 60%,广告软件涨幅更甚

根据 Malwarebytes 新发布的报告,针对 Mac 用户的恶意软件威胁,已经在短短 3 个月内出现了大幅增长。与 2018 年四季度相比,今年一季度检出的恶意软件威胁增加了 60% 以上。与此同时,广告软件的涨幅,更是飙过了 200% 。

Malwarebytes 在新一季的《网络犯罪策略与技术报告》中指出,针对消费者的威胁数量在下降,基于恶意软件的加密和勒索软件的数量也在上一季显著减少,整体恶意软件的检出量也下降。

来源: cnBeta.COM
详情: http://t.cn/Ea3mPzY

FTC 将可能针对隐私丑闻对 Facebook 开出高达 50 亿美元罚单

据外媒报道,在过去一年多的时间里 Facebook 一直在处理公司与隐私相关的丑闻,而这给这家社交网络公司造成了严重的经济损失。当地时间周三,Facebook 公布了 2019 年第一季度业绩报告。报告中,这家公司披露,美国联邦贸易委员会(FTC)将可能会被处以数十亿美元的罚款。

来源: cnBeta.COM

详情: http://t.cn/Ea3mzSr

(信息来源于网络,安华金和搜集整理)