【四維創智】-專研智能,智匯安全-網絡攻防-滲透測試-web安全-無線安全-內網安全 資訊中心 – 【四維創智】

                      四維資訊中心

                      關注最新行業動態,洞悉安全態勢,做行業領跑者!創造屬于我們自己的故事!

                      愚人節不 “愚”丨干貨分享! TXPortMap實用型免費滲透測試工具

                      在滲透測試的端口掃描階段,相信很多人遇到的問題是nmap太慢,masscan不準確。 所謂工欲善其事,必先利其器,TXPortMap為天象滲透測試平臺后端使用的端口掃描和指紋識別模塊,采用Golang編寫,以期在速度與準確度之間尋找一個平衡。下面和小編一起來探究工具的使用過程。

                       

                      工具名稱:TXPortMap

                       

                      ./TxPortMap -h
                      新增加彩色文字輸出格式 對http/https協議進行title以及報文長度打印,獲取title失敗打印報文前20字節。
                      新增日志文件以及掃描結果文件。

                      TxPortMap 會直接掃描top100 加上t1000參數會掃描top1000,txportmap單ip top1000識別耗時5秒,可以通過-p 指定端口,分號指定多個。



                      下圖1:TxPortMap時間:20.171秒
                      下圖2:nmap 2分51.89秒
                      圖1
                      圖2

                      作為一個寬泛且深入的滲透測試人員怎么能允許自己沒有TXPortMap呢 ?
                      下載地址:https://github.com/4dogs-cn/TXPortMap
                      此工具開源后希望大家可以一起完善指紋和提交優化建議,快快加入TXPortMap交流群。

                      4月 1,2021 by admin

                      聚焦3·15丨誰在“偷”我的臉,我該怎樣保護?

                      近幾年,人臉識別“黑科技”已經在越來越多的領域被廣泛使用,刷臉支付、刷臉打卡、刷臉開門……大家在感受到科技便利的同時,殊不知,一些商家也在利用這些“黑科技”,偷偷精準抓取消費者的人臉信息。在中央電視臺3·15晚會上,不法商家非法獲取消費者人臉信息,并肆意濫用的行為被曝光。
                       

                      寶馬汽車 4S 店、Max Mara 專賣店、科勒衛浴,江蘇大劇院、喜茶、老百姓大藥房、良品鋪子、水星家紡、九芝堂、晨光玩具……

                       

                      很少有消費者能想到,自己在進入店門的那一刻,最先“盯上”自己的不是服務員或者導購,而是配備了人臉識別技術的攝像頭,并將自己的人臉信息牢牢記下儲存起來,而這一切,都是在自己毫不知情的情況下發生的。

                       

                      各門店紛紛表示,對于該設備的使用,僅作到店人數統計;對該設備所采集的信息不做保存、分析及轉移。被曝光的企業陸續發表聲明致歉。
                      人臉信息不單是生物識別信息,也是個人敏感信息,我國規定組織收集個人信息,應該取得個人信息主體的同意。但現實中,不法商家商業利益,基本不會提示和取得消費者同意,忽視了對消費者權益的保護。
                       
                      國家市場監管總局發布的《個人信息安全規范》明確規定,收集人臉信息時應獲得個人信息主體的授權同意。人臉信息屬于個人獨有的生物識別信息,一旦泄露,將嚴重威脅用戶的財產安全、隱私安全等。

                       

                      要想有效保護好人臉信息,三方主體的保護責任,一個都不能少。

                       

                      其一,有關機關應當盡快明確人臉識別技術的行業標準,對收集、存儲、保護、使用等嚴格規范。加大對相關App和軟件的監管,對違規收集使用人臉信息的運營商嚴肅查處,加大處罰力度。加快個人信息保護法的立法進度,進一步界定因公共安全需要收集人臉信息的行為和其他商業行為,明確責任。

                       

                      其二,有關平臺要加強自律,盡可能減少不必要的個人信息收集,對已收集的個人信息要妥善保護,建立完備的保護機制,規范有關信息的使用。堅決杜絕違法違規違約使用有關個人信息。在人臉識別行業標準出臺前,鼓勵有能力的企業牽頭制定有關誠信規范。

                       

                      其三,用戶個人要注意對個人信息的保護,注意使用經正規渠道認證的App,發現個人信息被違法售賣或使用時應當及時報案,并注意保留有關證據。對涉嫌違規收集個人信息的軟件也要及時向有關部門舉報。

                      3月 17,2021 by admin

                      喜訊!四維創智兩款產品榮獲“北京市新技術新產品(服務)”認定

                      近日,由北京市科委、市發改委、市經信局、市住建委、市市監局和中關村管委會六大部門聯合組織的2020年第二批(總第十三批)北京市新技術新產品(服務)認定正式頒獎。四維創智(北京)科技發展有限公司自主研發的“小智-智能滲透測試機器人”、“天象綜合滲透測試平臺”兩款產品榮獲“北京市新技術新產品(服務)證書”。
                       

                       

                       
                      北京市新技術新產品(服務)證書是認證北京市重點發展的先導技術和戰略性新興產業,以及符合構建“高精尖”經濟結構的要求,具有潛在經濟效益和較大市場前景的新技術、新產品,經認定的新技術新產品(服務),可享受政府采購和推廣應用等政策支持。為企業創新和科研能力的提升提供動力,引導企業服務數字經濟發展,具有極高的權威性。
                       
                      此項認定的獲得充分體現了四維創智在產品研發、技術創新等方面的核心競爭力。更是對我司自主創新實力和科技成果轉化能力的肯定。未來四維創智將持續技術創新、深耕新技術與新產品的研發。以優質的產品及服務,為各行各業客戶創造更大價值。
                       
                      小智-智能滲透測試機器人:
                       
                      “小智”是國內率先實現AI+網絡安全檢測的智能滲透測試機器人,打破傳統檢測平臺針對威脅利用的單一性和不連貫性,在測試過程中對多個風險點進行智能化關聯利用,支持持續性安全滲透檢測并提供解決方案??梢宰詣油瓿蓮碗s網絡下的安全掃描、探測、利用等工作,具備全面、快速、低干擾的特點。通過對全系統模塊進行7*24h的智能化滲透測試,能精準定級漏洞并實現經驗轉化,大大提升網絡安全滲透和運維人員的工作效率。
                       
                      天象綜合滲透測試平臺:
                       
                      天象綜合滲透測試平臺是面向大型企事業單位的運維人員,專門針對web安全領域,融合四維創智安全人員多年的滲透經驗和積累,集成一系列自主研發的高效的滲透測試工具,從而降低滲透測試門檻,幫助滲透測試人員快速完成web目標的滲透測試任務,降低IT運維成本。該平臺覆蓋整個滲透過程,從“信息收集”到“掃描探測”,再到“漏洞利用”,配套眾多工具,中間獲取的信息一目了然;自動化滲透測試,減少輸入內容,優化配置項,整合滲透流程與信息,完成滲透任務;集成常用輔助工具,提高運維人員的工作效率。
                       
                      四維創智以安全產品和服務為業務核心,榮獲ISO9001企業質量管理體系認證、信息安全服務資質等多項資質證書,以及國家高新技術企業、信息安全聯盟成員單位、中關村高新技術企業等多項殊榮,安全權威保障,為企業安全運維保駕護航!

                      3月 2,2021 by admin

                      四維創智春節假期安排

                      四維創智全體員工祝您:新年快樂,牛年大吉
                       

                      24小時值班熱線:010-59450966
                       

                      2月 5,2021 by admin

                      人臉識別再曝安全漏洞,15分鐘解鎖19款安卓手機

                      ?人臉識別最新漏洞曝光,測試的安卓手機無一幸免!

                       

                      要說之前,拿著照片直接往前置攝像頭懟,肯定不能解鎖手機。
                       

                      但現在,RealAI的團隊有了一個辦法,只需一副定制的“眼鏡”,就可以秒秒鐘破解手機的面部識別系統。
                      眼鏡是這樣式兒的。
                       

                       
                      所需的工具也很常見:一臺打印機、一張A4紙、一副眼鏡框。

                       

                      通過AI算法繪制特殊花紋,打印下來裁剪成眼鏡的形狀,貼在眼鏡框上,就可以破解了。

                       

                      結果在15分鐘內,除了一款iPhone 11,成功解鎖了其余所有19部安卓機型。

                       

                      這也就意味著,只要搭載了人臉識別功能的應用和設備,黑客都有可能利用這一漏洞,對用戶的隱私安全和財產安全造成威脅。

                       

                      那么具體是如何實現的呢?
                       

                      安卓手機無一幸免

                       

                      不同于以往在實驗室中的測試,這場測試是在現實場景下的實打實“攻擊”。

                       

                      測試過程非常簡單,只需要三個步驟。

                       

                      首先,選取20款攻擊對象。

                       

                      除了一臺iPhone 11,其余都是安卓機型。
                       

                      這些手機涵蓋了國內前五的手機品牌,覆蓋了不同價位、不同型號,低端機到旗艦機都有。

                       

                      甚至,連去年12月剛上市的手機也不放過。(Maybe大家可以猜猜是哪款,手動狗頭)
                       

                      第二步,錄入人臉,也就是在20部手機里統一錄入同一位測試人員的人臉驗證信息。

                       

                      第三步,定制“眼鏡”。

                       

                      拿到被攻擊者的照片后,攻擊者通過算法,在眼部區域生成干擾圖案,然后打印出來裁剪成“眼鏡”的形狀,貼在鏡框上。
                       

                       

                      這一“干擾圖案”,看上去像是被攻擊者的眼部圖案,但其實是攻擊者通過算法,計算生成的擾動圖案。

                       

                      △左一為被攻擊對象的眼部圖像,右一、右二為生成的對抗樣本圖案

                       

                      這一技術叫做“對抗攻擊”,其中生成的干擾圖案,就是對抗樣本。
                       

                      簡單來說,就是將攻擊者的圖像設定為輸入值,被攻擊者的圖像設定為輸出值。

                       

                      算法會自動計算出最佳的對抗樣本圖案,保證兩張圖像的相似度最高。

                       

                      最終,除了iPhone11幸免于難,其余手機全部成功解鎖,且攻擊難度上也幾乎沒有區分,都是秒級解鎖。

                       
                      除此之外,測試人員還發現:
                       

                      盡管普遍來看低端機識別安全性要更差一些,但抵御攻擊性能的強弱似乎與手機是否高端機型并無直接聯系。比如說,有一款2020年12月最新發布的的旗艦機,多次測試下來發現,基本都是“一下子”就打開了。

                       

                      “如果開源,黑客一張照片就可破解”
                       

                      其實,對抗攻擊技術算不上新穎。

                       

                      2019年8月份,AI算法就在現實世界中首次實現攻擊。

                       

                      來自莫斯科國立大學、華為研究者們曾發布,在腦門上貼一張對抗樣本圖案,能讓公開的 Face ID 系統識別出錯。

                       

                      去年7月,微軟曠視開發了一套算法,只在照片上做了小改動,就有如穿上「隱身衣」,導致人臉識別系統無法破解。
                       


                       
                      但這些攻擊,僅僅只是讓識別系統識別不出目標,并沒有完成破解。
                       

                      如今,RealAI團隊真正實現了破解過程,且整個操作時長不到15分鐘,這一方面證實了對抗樣本攻擊在現實生活中能夠帶來安全威脅。
                       

                      另一方面也印證了人臉識別系統背后的隱憂。正如團隊里的一個成員所說:
                       

                      如果有黑客惡意開源這一算法的話,上手難度就被大大降低了,剩下的工作就只是找張照片。
                       

                      言外之意就是,只要能拿到被攻擊對象的1張照片,就能很快制作出犯罪工具,實現破解。
                       

                      這也給一些企業帶來了全新的安全挑戰。

                      1月 26,2021 by admin

                      網絡安全演練十大好處

                      沒有什么方法比進行常規安全演練更能確定公司企業的安全強弱了。
                       
                      即使資源豐富,保證信息安全仍是一項艱難的任務。任天堂、推特、萬豪和Zoom等大公司最近都深陷大型數據泄露之苦,網絡罪犯的魔爪無孔不入是很明顯的事實。雖然大多數公司企業都知道需要構筑防御和制定策略,來降低網絡攻擊的風險和潛在影響,但很多公司企業未能嚴格測試自身防御措施。
                       

                       
                      網絡安全演練是針對特定網絡攻擊場景的有效仿真模擬,公司企業可以借助網絡安全演練獲得關于真實響應的寶貴洞察。從基礎的小規模簡單測試到復雜的大規模持續攻擊,網絡安全演練能夠驗證公司企業的防御策略是否有效,能夠凸顯需要立即采取措施的防御漏洞。
                       
                      然而,盡管網絡安全演練如此重要,仍有74%的ISF Benchmark受訪者聲稱,不會對自身關鍵系統執行網絡攻擊模擬或演練。這可能是由于他們認為網絡安全演練不僅耗時又昂貴,還可能會造成系統中斷。但只要安排得當,以上這些都不成其為理由。網絡安全演練確實能夠帶來一些實打實的好處,比如下面這10個典型益處:
                       
                      發現優勢
                       
                      網絡安全演練中有太多目光放在了暴露弱點與問題上,但發現自身安全措施的長處同樣很有價值。健壯的措施可以在別的地方照此實施,精巧的策略可以用作模板,高效的員工能夠幫忙培訓其他人。
                       
                      改善響應
                       
                      執行網絡攻擊演練最明顯的好處,或許就是讓你有機會改善響應,能夠更好地應對未來的攻擊。網絡攻擊演練可以提供證據,支持你現有防御策略背后的理論,或者指出更新防御方法的必要性。無論如何,網絡攻擊演練都能夠促使你做出改善。
                       
                      訓練人員
                       
                      實踐經驗無可替代。網絡攻擊演練能夠賦予員工處理攻擊的實踐經驗,提升他們對各種可能性的認知,教會他們正確的響應方式。實踐出真知,實際演練一番通常是學習的最佳途徑。
                       
                      確定成本和時間表
                       
                      攻擊應對準備中需要做出很多假設和預測,假定處理不同場景分別需要用到哪些資源,預測遭受攻擊后恢復正常運營需要多長時間。網絡攻擊演練能夠描繪出更為細致的成本與時間表,提供切實的數據輔助構建更好的恢復力,或者在必要時用作合理化開支的理由。
                       
                      確定外部需求
                       
                      即使對很多大型企業而言,維護一支無需外部輔助就能應對任何攻擊場景的安全團隊都是不現實的。哪些攻擊場景需要外部幫助?外部專家最快什么時候趕到?費用大概要多少?執行安全演練就能回答上述問題。
                       
                      收集指標
                       
                      制定安全策略時非常重要的一環,就是設置對攻擊各方面應對速度和防御動作有效性的預期。但只有攻擊真正發生之時,或者執行安全演練,你才能證明能夠達到這些預期。這一數據應該支持未來安全策略的制定,指導公司的安全方法。
                       
                      發現漏洞
                       
                      無論是潛伏在網絡上的技術漏洞,還是安全控制措施中的弱點,網絡安全演練都能夠暴露出來。網絡安全演練還能夠揭示培訓或人才引進的需求。發現特定漏洞有助于制定修復計劃和立即加以改善。
                       
                      更新策略
                       
                      如果當前策略、標準和指南無效,那就是時候重新審視一番了。有效事件響應策略能夠大幅降低網絡攻擊可能造成的潛在破壞和中斷。定期策略修正很重要,而安全演練能夠提供指導策略修正的有用根據。
                       
                      暴露不合規風險
                       
                      即使是無意的,違反法律、監管或合同要求的代價也十分巨大。暴露合規問題很難,但這并不意味著這些問題不存在。網絡安全演練有助于暴露出不合規的地方,給你一個修復的機會,避免不必要的法律和財務風險。
                       
                      提升威脅感知
                       
                      從初級員工到董事會層次,缺乏對網絡攻擊本質及威脅范圍的感知都是災難性的。未能識別風險并據此反應,通常都會加劇問題,導致問題惡化。
                       
                      實踐出真知大家都認為排練是為真實事件做準備的重要部分。網絡攻擊無可避免,但你如何響應,決定著你的業務會受到何種影響。網絡安全演練不僅有助于摸清公司安全狀態,還能測試防御措施,發現應該繼續發揚的長處和需要彌補的弱點,并提供寶貴的實踐經驗。

                      1月 14,2021 by admin

                      這63款侵害用戶權益行為APP你有嗎?

                      關于侵害用戶權益行為的APP通報(2020年第七批)

                        依據《網絡安全法》《電信條例》《電信和互聯網用戶個人信息保護規定》等法律法規,按照《關于開展縱深推進APP侵害用戶權益專項整治行動的通知》(工信部信管〔2020〕164號)工作部署,我部近期組織第三方檢測機構對手機應用軟件進行檢查,督促存在問題的企業進行整改。截至目前,尚有63款APP未完成整改(詳見附件),上述APP應在12月28日前完成整改落實工作。

                       

                      此次檢測發現,APP未經用戶同意,私自收集設備MAC地址信息;將用戶個人信息發送給第三方SDK的問題較多。部分頭部企業APP檢測仍發現問題,且未按我部要求時限整改完成。部分應用商店及移動應用分發平臺對利用技術對抗、更換“馬甲”等方式故意逃避我部監管的企業,監測發現和處置力度不夠。后續我部將對上述問題突出、有令不行、整改不徹底的相關企業,采取全面下架、停止接入、行政處罰以及納入電信業務經營不良名單或失信名單等措施,依法嚴厲處置。

                       

                      附件:存在問題的應用軟件名單(2020年第七批)

                      工業和信息化部信息通信管理局

                      2020年12月21日

                      存在問題的應用軟件名單(2020年第七批)

                      12月 22,2020 by admin

                      四維創智支撐丨國網北京市電力公司2020年網絡安全攻防技術大賽今天圓滿落幕

                      2020年12月4日國網北京市電力公司2020年網絡安全攻防技術大賽圓滿落下帷幕,本次大賽由國網北京市電力公司互聯網部、國網北京市電力公司電力調度控制中心主辦,國網北京市電力公司電力科學研究院、北京市電力公司黨校(人才服務公司)承辦、四維創智技術支撐。
                       

                       
                      此次競賽主要目的在于練習團隊配合默契,增強團隊成員的實戰能力,同時就競賽中發現的難點,四維創智技術專家,開展了有針對性的特訓工作。決賽以團隊作戰形式比拼,環境目標靶機為高度仿真的北京公司外網網站系統;學員在城市數字電網仿真環境場景下進行真攻真實防。
                       

                       
                      大賽期間四維創智安全團隊為攻防比賽提供了量身搭建、運行穩定的比賽環境,在整個比賽過程中設備運行流暢,獲得參賽選手的一致好評。

                      四維創智一直配備專業的技術團隊提供攻防競賽支撐服務,憑借專業的技術能力和豐富的支撐經驗天幕網絡攻防平臺系統受到客戶高度好評,多年來為政府、公安、電力、金融、等行業提供大型競賽方案及服務,受到各行各業認可。

                      12月 4,2020 by admin

                      特斯拉 Model X 遭遇黑客中繼攻擊 3 分鐘可開走汽車

                      一名黑客成功地為特斯拉汽車開發了一種新的密鑰克隆“中繼攻擊”(Relay Attack),并在特斯拉Model X電動汽車上進行了演示。報道稱,特斯拉被告知了這一新的攻擊,目前準備為其推出新的補丁。
                       

                      在北美,特斯拉汽車被盜相當罕見。但在歐洲,有一些老練的竊賊,他們通過“中繼攻擊”,盜竊了不少特斯拉汽車,其中大多數都沒有被找回。
                       

                      為了應對這些攻擊,特斯拉之前已經推出了額外的安全保護措施,配備了改進的密鑰卡和可選的“PIN to Drive”功能。但如今,一位安全研究員聲稱,他組織了一系列新的攻擊,可以繞過密鑰卡中新改進的加密技術。
                       

                      安全研究員表示,他只需大約90秒的時間,即可進入特斯拉汽車。一旦進入車內,為了能開走汽車,還需要進行第二步攻擊。大概1分鐘左右的時間,他就可以注冊自己的汽車鑰匙,然后把車開走。
                       

                      目前還不清楚,“PIN-to-Drive”功能能否讓沃特斯的第二步攻擊失效,該功能要求司機輸入PIN后,才能讓車輛進入駕駛狀態,而不管密鑰卡是什么。

                      11月 26,2020 by admin
                      国产小视频精品_国产小视频网站_国产小视频在线播放