【四維創智】-專研智能,智匯安全-網絡攻防-滲透測試-web安全-無線安全-內網安全 安全學院 – 第8頁 – 【四維創智】

                    四維資訊中心

                    關注最新行業動態,洞悉安全態勢,做行業領跑者!創造屬于我們自己的故事!

                    linux操作系統的命令講解

                    查看當前目錄:ls –a(-c)(-d)/home… ll:查看當前目錄下的文件屬性
                    改變當前工作目錄:cd
                    復制文件/目錄:cp
                    移動或更名:mv
                    刪除文件/目錄:rm
                    改變文件權限:chmod
                    創建目錄:mkdir
                    查看目錄大?。篸u 查看當前路徑:pwd
                    文本編輯器 vim: 命令行模式 -> i ->插入模式 -> esc -> 命令行模式
                    命令行模式 -> : ->底行模式 -> esc -> 命令行模式
                    emacs
                    網絡設置:(1)橋接模式
                    外部網絡 — 路由器
                    | : |
                    計算機IP1 — 虛擬機IP2 計算機IP3
                    (2)主機模式
                    計算機A — 虛擬機
                    (3)NAT模式
                    外部網絡 — 路由器
                    | |
                    計算機IP1 計算機IP3
                    |
                    虛擬機IP1
                    注:網絡配置之前關閉虛擬機,后重啟
                    下載程序 (1)bootloader 啟動引導
                    到開發板 (2)Linux 操作系統(內核)
                    (3)Linux 應用程序和文件
                    方法一:第一步PC通過JTAG將bootloader下載到norflash;第二步PC通過USB將Linux下載到nandflash。

                     
                    方法二:第一步PC通過windows中的燒寫軟件或Linux中的dd命令將bootloader下載到SD卡中;第二步將SD卡插入開發板,啟動方式選擇SD卡啟動;第三步PC通過USB將Linux下載到nandflash。
                    Vivi就是bootloader。方法一中的第一步和方法二中的第一、二步為的是下載bootloader到小flash或臨時flash中;方法一中的第二步和方法二中的第三步還需要重新下載bootloader到以后長期使用的大flash中,再下載Linux內核,最后下載應用軟件和文件(所有下載先到內存,后自動到flash)。

                     
                    第一步中的bootloader下載是為后面重新下載bootloader及文件提供基礎和平臺,做的是一個臨時bootloader。JTAG燒寫、windows燒寫、Linux dd燒寫不是簡單的復制文件進入norflash/SD卡,而是在制作一個啟動項。
                    可不可以跳過第一步bootloader,直接到第二步bootloader?不可以。因為第二步中的bootloader是先下載到內存中而后自動下載到nandflash中,沒有第一步的bootloader無法進行第二步中的自動下載。
                    連接USB接口之前,先上電,串口接收到數據后接上USB。第一步先在Linux中電腦安裝(insmod)USB驅動(lsmod);第二步下載bootloader;第三步下載Linux內核;第四步下載應用(dwn)

                    9月 10,2018 by admin

                    微軟Cortana出現漏洞,即使系統鎖定也能使用瀏覽功能

                    近日,安全研究專家對外表示,如果你的Windows電腦開啟了鎖屏啟動微軟Cortana數字助手的話,那你可能就危險了。如果你開啟了這樣的配置,意味著攻擊者將能夠竊取你存儲在瀏覽器緩存中的用戶憑證。

                     
                    Cortana被曝存在安全缺陷
                    實際上,Windows系統會默認開啟鎖屏狀態下調用Cortana數字助手的功能,用戶無需解鎖即可向Cortana提問,而Cortana也會通過語音或文字等形式回答你的問題,即使這名用戶沒有進行身份驗證。在這種狀態下,Cortana主要依賴于Edge瀏覽器或個別版本的IE 11瀏覽器來實現這種問答功能。
                     
                    而來自McAfee的研究人員近日發表報告稱,如果攻擊者能夠物理訪問到目標設備的話,攻擊者將能夠利用這種存在安全缺陷的功能來竊取用戶存儲在瀏覽器緩存中的數據。通過向Cortana提問恰當的問題,攻擊者就可以在不解鎖屏幕的情況下讓Cortana直接訪問一個由攻擊者控制的域名地址,由于該域名地址所指向的資源內容是攻擊者控制的,所以他們就可以直接在目標用戶的瀏覽器中運行惡意JavaScript腳本了。
                     
                    注:McAfee的研究人員也已經在這篇研究報告中提到了攻擊者如何利用Cortana獲取目標用戶的數據、運行惡意代碼,甚至是修改鎖定PC的密碼,感興趣的用戶可以深入閱讀了解詳情。
                    值得一提的是,Cortana可以根據用戶具體提出的問題和提問的方式來給出更加詳細的回應,甚至可以直接返回互聯網中的某條資源。比如說,如果你想查詢某個官方網站的話,Cortana將會直接返回維基百科里的條目。
                     
                    攻擊方式
                    研究人員表示,他們還可以利用這種特性來偽造維基百科條目,添加足夠多的內容來保證詞條可以通過審核,然后增加額外的官網鏈接。雖然這種想法確實可行,但是攻擊者其實并不會這樣去下賭注,因為維基百科上的內容會有專人定期審查。除此之外,在Cortana能夠檢索到預期的答案之前,攻擊者還需要等待Bing搜索引擎對該頁面進行索引。
                     
                    另一種方法是識別維基百科官方網站上已過期或未維護的死鏈,然后購買這些鏈接地址。這是一種比較隱蔽的方法,因為這些地址已經通過了審核,而且無需等待搜索引擎收錄。

                    McAfee的研究人員在報告中指出,在維基百科網站上的這些死鏈中有很多都是仍被注冊的,但是卻沒有托管任何資源或內容。其實這些鏈接都是可用的,只不過被添加上了“死鏈“的標記而已。
                    當攻擊者購買到了這些所謂的“死鏈“之后,他們會在這些鏈接所指向的站點注入惡意代碼,當Cortana”點擊“了這些鏈接之后,Edge瀏覽器會自動從這些地址接收內容,而此時攻擊者根本無需解鎖屏幕即可實現對Windows 10設備的感染和入侵。
                     
                    雖然這種方法確實可行,但在公開場合跟一臺電腦對話還是會引起他人的注意。因此,還有人設計出了一種基于超聲波來向語音助理軟件發送命令的技術,而這種技術只需要一臺價值3美元的設備就可以實現了。這種攻擊方法被稱為“海豚攻擊“(Dolphin Attack),它可以對Amazon、蘋果、Google、華為和三星的語音識別產品進行攻擊。
                     
                    利用Cortana竊取用戶憑證
                    通過語音關鍵詞觸發了Cortana功能之后,攻擊者甚至可以直接訪問到目標用戶的社交媒體賬號。McAfee的研究人員表示,很多舊版本的IE 11瀏覽器都啟用了JavaScript和Cookie,而這些內容是可以在Cortana訪問了特定站點后直接被加載和調用的。
                     

                    后話
                    但是這種攻擊技術需要攻擊者物理接近目標設備,因此這種技術不太有可能成為一種被廣泛使用的技術,不過在怎么說這也是一種安全缺陷。McAfee建議廣大用戶在鎖屏界面上禁用Cortana,以保護自己免受這種類型的攻擊。來自FreeBuf.COM

                    8月 27,2018 by admin

                    物聯網智能家居安全應該怎樣預防?

                    科技創新改變生活,人工智能領域為“懶人”式的生活方式帶來了科技便利,物聯網智能家居大大提高了人們生活的幸福指數。
                     
                    客廳的智能電視及電視盒子,可觀看4K視頻,流媒體服務等;作為家居智能生態系統平臺入口的智能路由器;還包括各顯神通的家庭機器人,與此同時,主打安防和安監概念的智能家居設備似乎讓留守家庭的安全顧慮也得到了解決……
                     
                    便捷的操作都與互聯網息息相關,但便捷是把雙刃劍在物聯網中你傳輸的數據越多,信息暴露的可能性就越大,存在的安全隱患也因此而劇增。
                     

                     
                    那么生活中我們該如何預防呢:
                     
                    一、經常改變智能家居APP的賬號和密碼,提高密碼的復雜度來盡量阻止黑客的入侵。
                     
                    二、盡量不要將攝像頭聯網實用
                     
                    三、保持智能家居APP及時跟新至最新版本
                     
                    四、關閉路由器的“訪客模式
                     
                    五、計算機和移動設備安裝安全軟件。
                     
                    六、最重要的一點,購買之前做好調查,在搜索引擎搜索品牌+安全漏洞,優先選擇知名品牌并且沒有安全事件的產品。
                     
                    做到以上六點物聯網智能家居更便捷更安全。

                    8月 26,2018 by admin

                    真正的badtunnel遠程欺騙/劫持

                    BadTunnel 這個漏洞出來已經近一個月了,筆者在剛剛爆發這個漏洞的時候對其進行了分析,并且寫出了POC,最近閑來無事,又重新翻起這個漏洞,改進了攻擊腳本,使之成為一個實際滲透測試中可用的一個工具。
                    先說一下研究心得:
                    1、Badtunnel漏洞的原理是,當某臺主機(受害主機)給一個指定IP的主機發送一個SMB共享連接請求時,因為該指定主機的默認共享端口445、139不可達(超時或拒絕連接),則該主機會向這個指定IP的主機發送一個目的端口為137的NetBIOS NB STATE包。一旦發送這個數據,且網絡核心部件(防火墻、NAT網關等)允許通過,那么就必然允許在一定的時間內通過該隧道(即Badtunnel)返回數據。而這個NetBIOS包使用的協議是無連接狀態的UDP,其源端口和目的端口用且只用137端口。這就表示這樣一段時間內,處于外部網絡的機器可以構造一個源端口為137,目的為該IP的137端口,發往受害主機,且該網絡一定是可達的。
                    2、Badtunnel中一共用到了2種NetBIOS數據包,第一種是受害主機向目的主機UDP的137端口發送的NetBIOS NB STATE包,第二種則是從目的主機137端口源源不斷地返回的NetBIOS NAME RESPONSE包。發送第二個包的目的是什么呢?其實就是在當這個Badtunnel構建起來后,假定目標再未來的一段時間內,一定會向自己的局域網內廣播一個NetBIOS NAME QUERY的請求包,用來請求某一個未知的域名或者機器名的IP地址(注意這個廣播報是不能通過Badtunnel發送給黑客的服務器的,即黑客是看不到這個廣播包的)。這個請求包內部其實是一個DNS協議的報文,但是和DNS協議不同的是,它的Trasaction ID不是隨機,而是遞增的!而且這個ID還和之前發送的NetBIOS NB STATE數據包的ID享用同一個計數器!也就是說,在受害主機給一個指定的主機發送一個NetBIOS NB STATE包時,這個ID就已經泄露了。只要受害主機接收到ID匹配的RESPONSE,那么它就會更新自己本機的NetBIOS緩存。
                    3、當Badtunnel構建起來以后,可以不斷地通過這個tunnel給受害主機發送一個NetBIOS NAME RESPONSE包,不斷地告訴受害主機:WPAD(或者其他域名)的IP地址是xxx,這個xxx通常是攻擊者自己的WEB服務器,用來給受害者主機發送wpad.dat文件,從而更改受害主機的網絡代理設置。而發送的這個NetBIOS NAME RESPONSE包,使用的ID號必然是大于之前收到的NB STATE的ID號,且通常不會大很多。通過不斷地發包完全可以“蒙”對。 4、 觸發這個漏洞的確很簡單,但是門檻也不是那種受害者完全不知情就能劫持的。根據1,受害者需要訪問一個SMB的UNI PATH,即類似”\\123.123.123.123\”的地址,一個僅僅放在資源管理器的快捷方式、或者打開一個網頁、打開一個文檔都可以觸發,但是這還是有一定門檻的,雖然并不是很高。即便成功地觸發,部分運營商似乎在網絡層就已經屏蔽了udp的137端口,這樣這個Tunnel還是構建不起來。 5、 Badtunnel漏洞的核心在于這個Tunnel,而不是WPAD。WPAD(即網絡代理自發現協議 – Web Proxy Auto-Discovery Protocol)只是基于這個Tunnel的一個目前發現的比較好的利用方式而已(其實還有一個潛在的更好的利用方式,這里筆者賣個關子,尚待研究)。 事實上,在部分內網中,很多Web連接數據庫是通過機器名來連接的,也就是說,在Web服務器剛啟動的初始化階段,或者連接超時以后重新發起連接的階段,它也會在內部網絡發送一個NetBIOS NAME QUERY廣播,只要能夠知道這個主機名,一樣可以通過Badtunnel來欺騙數據庫客戶端主機,使用Metasploit的MYSQL Capture或者MSSQL Capture模塊就能捕捉到數據庫的密碼。
                    Metasploite中的利用代碼,其實并不能算是一個真正的Badtunnel利用代碼,因為它會遍歷0-65535號的Trasaction ID。根據我之前所說,這個ID是可以被預測并且精確攻擊的。因此Metasploit中的利用代碼效率低、成功率不高。
                    筆者使用Python編寫了一個真正的BadTunnel利用工具,該工具能夠精準的欺騙受害主機,重定向一個指定的域名(默認是WPAD)到一個指定的IP地址。 還有NetBIOS探針模式、混合模式(構建Badtunnel,通過Badtunnel重定向WPAD并且探針局域網內NetBIOS NAME QUERY),自動欺騙模式(自動欺騙局域網內所有的NetBIOS NAME QUERY,把任意域名定向到一個指定IP)。 其中探針模式、自動欺騙模式不支持跨網段??梢韵胂笠韵鹿魣鼍?,注意構建BadTunnel需要首先關閉445和139端口,Linux中默認是smbd服務和nmbd服務,Windows可以設置防火墻禁止通過:
                    1. 劫持QQ好友、遠程/局域網絡的流量: 準備好環境。最方便的是直接使用burpsuit來開啟一個代理端口,注意需要監聽在所有接口上(即監聽0.0.0.0),然后使用metasploit的server/wpad模塊來快速搭建一個80端口下的HTTP服務器,來返回wpad配置文件。使用QQ、郵件發送一個帶有SMB URI PATH的文檔、快捷方式,或者一個網頁,注意網頁中的標簽應該是這種;快捷方式可以用metasploit生成。如果處于同一個局域網,則不需要任何工作。 發送給朋友或者妹子,最好做點其他功課,你懂的。直接使用工具的默認模式即可。
                    2. 進入內網,橫向滲透時非ARP嗅探內網賬號密碼: 使用探針模式,把所有NetBIOS NAME QUERY記錄下來。Windows主機非管理員權限即可監聽udp的137端口,Linux主機則需要提權成功。 分析局域網內所有NetBIOS NAME QUERY請求,如果發現有請求MYSQL、SQLSERVER或者直接使用機器名連接服務和打開共享的,可以根據需要調整攻擊環境,然后再使用自動欺騙模式來抓密碼。
                    3. 進入邊界提權成功,縱向滲透時密碼采集: 域內機器有偶爾訪問邊界服務器的情況,有的環境甚至是經常存在。一般邊界服務器都是Web服務器,那么可以通過在該肉雞的某個頁面中插入的標簽,并且配置好wpad.dat文件,還有webproxy.py等小的HTTP代理工具,使用該主機做WPAD服務器+代理服務器,來收集域內信息。

                    8月 15,2018 by admin

                    網站為什么要做滲透測試?

                    首先我們來了解下網站:
                     
                    網站的組成:網站由域名、空間服務器、DNS域名解析、網站程序、數據庫等組成。
                    網站用途:展示公司提供的服務及產品,增加自身的服務及產品在互聯網站的曝光度;
                    建設網站目的:可讓網民更便捷的了解所能提供的服務和產品并且轉化成自己的目標客戶。
                     

                     
                    網站漏洞可能引發的問題:
                    內網ip泄露:直接獲取系統權限的漏洞;。
                    數據庫信息泄露:重要的敏感信息泄露或越權訪問,造成大范圍企業核心數據泄露的風險;
                    網站調試信息泄露:可能讓攻擊者知道網站使用的編程語言,使用的框架等,降低攻擊難度?;蛑苯訉е轮匾獦I務停滯;
                    網站目錄結構泄露:攻擊者容易發現敏感文件。
                    絕對路徑泄露:某些攻擊手段依賴網站的絕對路徑,比如用SQL注入寫webshell。
                    電子郵件泄露:郵件泄露可能會被垃圾郵件騷擾,還可能被攻擊者利用社會工程學手段獲取更多信息,擴大危害。
                    文件泄露漏洞:可能會導致重要信息的泄露,進而擴大安全威脅,這些危害包括但不局限于:
                    帳號密碼泄漏:可能導致攻擊者直接操作網站后臺或數據庫,導致全部源代碼泄露或進行一些可能有危害的操作。
                    源碼泄露:可能會讓攻擊者從源碼中分析出更多其它的漏洞,如SQL注入,文件上傳,代碼執行等。
                    系統用戶泄露:可能會方便暴力破解系統密碼。
                    XSS漏洞、SQL注入、URL跳轉、支付漏洞、DDoS攻擊、web欺騙、程序攻擊、木馬病毒等。這些潛在的漏洞威脅,將網站置于風險之中。
                     
                    滲透測試的好處:
                    滲透測試的目的在于模擬攻擊者對網站進行全面檢測和評估,在攻擊者之前找到漏洞并且進行修復,從而杜絕網站信息外泄等不安全事件。測試、檢查、模擬入侵就是滲透測試。
                    滲透測試能夠通過識別安全問題來幫助一個單位理解當前的安全狀況。這使促使許多單位開發操作規劃來減少攻擊或誤用的威脅。滲透測試是一種瞻性的防御措施,可以集中關注與其自身緊密相關的攻擊產生的預警和通知,提升真正有意義的安全防護。

                    7月 30,2018 by admin

                    信息泄露之拖庫撞庫思考

                    某網站被曝“信息泄露”事件,使拖庫、撞庫這兩個黑產中的專有術語再次呈現于公眾輿論面前。本文從攻擊實現角度,對拖庫、撞庫攻擊進行簡單分析;從安全防護設計、建設運維角度,給出針對這兩種攻擊實踐總結的安全防御40條策略。希望本文能夠拋磚引玉,給互聯網網站開發、設計、運維的IT工作人員擴展思路,從而提高互聯網網站防范信息泄露的綜合安全能力。什么是拖庫、撞庫?
                    拖庫、撞庫名詞并無標準權威的定義,但實際理解起來卻是極易接受的。 拖庫就是指黑客通過各種社工手段、技術手段將數據庫中敏感信息非法獲取,一般這些敏感信息包括用戶的賬號信息如用戶名、密碼;身份信息如真實姓名、證件號碼;通訊信息如電子郵箱、電話、住址等。 撞庫是黑客通過收集互聯網已泄露的拖庫信息,特別是注冊用戶和密碼信息,生成對應的字典表,嘗試批量自動登錄其他網站驗證后,得到一系列可以登錄的真實賬戶。
                    拖庫、撞庫如何實現?
                    拖庫實現起來比撞庫復雜得多,手段和方法也更加豐富多樣。 從實踐角度,可以分為技術流拖庫和社工流拖庫。常見的技術流以入侵、攻擊為主實現拖庫,如遠程下載數據庫,利用Web Code 漏洞、Web Services 漏洞、服務器漏洞,掛馬、病毒、木馬后門等;社工流則以欺詐、網站仿冒、釣魚、重金收購、免費軟件竊取等為主要手段實現拖庫。 再來看一下撞庫,存在撞庫的根本原因是很多互聯網用戶在不同網站使用的是相同的賬號密碼,因此攻擊者可以通過獲取用戶在A網站的賬戶從而嘗試登錄B網站。高水準的撞庫攻擊不易發現,實現起來需很高的技術能力,因此成本較高,當前多數的撞庫還是以單腳本登錄驗證、分布式腳本登錄驗證,自動代理登錄驗證,甚至人肉驗證等方式來現實。 如何能夠降低拖庫與撞庫風險? 對于拖庫、撞庫攻擊防范亦如APT攻擊一樣,非一朝一夕一技一法就可解決,需要安全攻與防的綜合能力、不同維度的立體保障,才能做到較好的防范效果。具體內容筆者后續會單獨講。
                    拖庫、撞庫安全防御策略
                    筆者經過個人思考以及尋求多方安全專家的意見,參考互聯網各類有關拖庫、撞庫技術文章,結合上述文中提到的各種場景、安全設計等措施,整理出下列安全防御策略供讀者參考、學習并提出您的寶貴意見。 第1 條 禁止數據庫在互聯網裸奔,防范遠程暴力猜解、非授權訪問及遠程登錄。 第2 條 禁止管理員賬號啟動數據庫,建立數據庫自己的低權限賬號運行。 第3 條 及時安裝、升級數據庫補丁、做好版本管理、備份/ 災備管理,定期銷毀備份的數據。 第4 條 修改默認數據庫安全配置,特別是賬號口令、默認路徑頁面等。 第5 條 設置數據庫內帳戶權限、實例權限、表權限等,保證權限最小化。 第6 條 刪除無用的數據庫實例文件、說明文件、安裝文件、注釋文件等。 第7 條 敏感值(密碼)的存儲務必加密,并保障其足夠強壯。 第8 條 建立數據庫讀、寫、查詢的監控黑名單、白名單,并實時監控告警。 第9 條 在數據庫中構造陷阱庫、陷阱表、陷阱字段、陷阱值,便于監控和發現入侵。 第10 條 注冊真實的賬號用于監控,標記或跟蹤。 第11 條 嚴格控制真實數據的測試應用,務必進行脫敏或模糊處理。 第12 條 數據庫管理員與系統管理員權限分離、職責分離。 第13 條 設置系統內的文件保護,防非法拷貝,或使用專用工具防拷貝。 第14 條 及時安裝、升級操作系統補丁、做好帳號管理,避免弱口令。 第15條:應用網站安全防御工具,針對性地保護信息安全!

                    7月 20,2018 by admin

                    Android安全須知

                    1.不安裝非官方應用
                     
                    非官方apk可能被植入木馬
                    Apk反編譯植入木馬,利用漏洞系統提權獲取手機所有操控權
                    毀輪子的成本肯定比造輪子的成本低,apk安全也是一樣,目前國內99%apk都是能二次重打包,可任意修改apk,加入新的功能。甚至可以直接復用當前apk包中任意功能。
                    比如某x信中,只需要將這段代碼注釋掉,檢測更新功能就去掉。
                     

                     
                    攻擊者可在應用中加入遠程執行功能,攻擊者可以遠程執行應用中的命令,比如遠程列舉vx的目錄
                     

                     
                    某用戶在網上搜索自動搶紅包軟件,下載被植入木馬的wx,安裝到手。
                    某用戶在網上搜索跳一跳外掛,不知道里面其實已經植入木馬。
                    我這有自動搶紅包的支付寶。下載安裝,登錄支付寶,…………錢轉走了,顯示金額不變。
                    手機連上電腦,某pc端軟件提示安裝某apk..界面和某數字公司一樣。用戶不毫不猶豫安裝了…………。
                    總之一句話,不安裝不可信的apk,天下沒有免費的午餐,誘人的功能都是糖衣炮彈。
                    不是有殺毒軟件嗎……。殺毒軟件沒有root權限是不能對apk內部數據訪問的,可是木馬和應用已經在一起,雖然多數android手機都能root,可是你真的放心root嗎?沒有root的手機已經提示安裝一堆送應用,有root權限,直接靜默安裝到系統中……。
                     
                    2.確保上網環境安全
                     
                    通過流量劫持實施http劫持。
                    大家知道Fillder burpsuite可以抓取http,https的包,并修改返回的結果
                    下圖為某銀行登錄時抓取的登錄信息
                     

                     
                    不安全http可能遭受流量劫持,并替換流量。比如,某應用更新,更新時被流量劫持,apk更新后變成木馬,實施此攻擊只需要攻擊者與受害者在同一網段,比如在某咖啡店上網。
                    在公共不安全環境上網時,app訪問http域名可能遭到劫持,截取用戶信息。
                    更嚴重的是偽消更新消息,偽裝成提示app更新,用戶如果不在意安裝了帶木馬的應用……危害巨大。
                     
                    3.隨時保持系統為最新版本。
                     

                     
                    這是利用堆溢出的vmvare虛擬機逃逸漏洞,發生在低版本的vmvare中,如果用戶不升級軟件,使用虛擬機過程中可能對真機造成危害。
                    Android系統也是一樣,隨著android熱度不斷攀升,每隔一段時間Android系統都會報出漏洞,如果用戶沒有及時升級系統版本,可能受到安全威脅。
                    不完全統計,僅2017年android系統漏洞個數上報達到500以上,這里小編保守估計,其實遠遠超過這個數。
                     
                    4.應用升級為最新版本
                     
                    應用程序更新不只是功能更新,可能是重大的bug修復。
                    2017年的應用克隆漏洞利用webview域控不嚴謹,竊取應用數據,威脅支付安全,身份安全。
                    當app場商得到此消息都會第一時間修復問題,更新新版本可以規避這種類似風險。
                     
                    5.看管好自己的手機
                     
                    手機長時間離身,手機系統軟件可能被替換
                    手機被root,替換應用安裝包,植入木馬
                    應用被替換,app數據被導出,可能造成財產損失

                    3月 26,2018 by admin

                    企業不留心,就別怪會在老地方栽跟頭

                    在信息時代,企業信息安全的重要性不言而喻。信息安全不僅包括公司電腦自身的安全,而且更包括企業商業機密的安全,尤其是電腦重要文件、無形資產的安全,在企業的穩健經營中有著巨大的作用,一旦泄露將會給企業帶來重大的損失。
                    企業在建設發展過程中,為了保護信息網絡防止信息泄露除了依賴各種技術手段,如安全加固手段、安全審計、安全檢查外往往缺乏對企業人員的信息安全意識的培養,在這點上,弱口令也成為漏洞平臺的熱門焦點。
                    另外因為弱口令導致的問題也是漏洞平臺的熱點,可以看到漏洞平臺經常播報XXX政府弱口令getshell泄露XX百萬數據,XX互聯網平臺某某平臺弱口令可以漫游內網等等,當然也有因為某某企業某管理系統存在弱口令可以查看企業內部員工的資料。
                    所以說,對于信息安全來說,個人信息安全和企業的信息安全是分不開的。企業個人設置的密碼和設置密碼規律在他們進行網絡活動的時候會無意泄露出去。騙子精心構造的技術(社會工程學)真的可以騙到了不少人(包括企業高管、軟件研發工程、運營人員)。利用社會工程學盜QQ號、微信號、銀行卡及各種勒索軟件、比特幣支付等等這些案例都對企業的資產安全有著潛在的威脅。
                    社會工程學概念及流行攻擊方法
                    社會工程學是黑客米特尼克在《欺騙的藝術》中所提出,對于超級黑客凱文·米特尼克而言美國國防部、五角大樓、中央情報局、北美防空系統……都是他閑庭信步的地方,沒有人懷疑他的真實身份,對于他所想獲得的信息如魚得水,因此社會工程學也給人蒙上一層神秘的面紗。
                    社會工程學很大程度上就是利用人的弱點如人的本能反應、好奇心、信任、貪便宜等弱點進行諸如欺騙、傷害等危害手段,獲取自身利益的手法。準確來說,社會工程學不是一門科學,而是一門藝術和竅門的方術。社會工程學利用人的弱點,以順從你的意愿、滿足你的欲望的方式,讓你上當的一些方法、一門藝術與學問。說它不是科學,因為它不是總能重復和成功,而且在信息充分多的情況下,會自動失效。社會工程學的竅門也蘊涵了各式各樣的靈活的構思與變化因素。
                    其流行的攻擊方法常見于以下六種:
                    1、偽裝 在這種攻擊方式中,黑客通常會偽裝成一個系統的合法用戶和員工。黑客此時可以通過偽裝成一個看門人、雇員或者客戶來獲取物理訪問權限。
                    2、冒充重要用戶 在這種攻擊方法中,黑客會偽裝成貴賓、高層經理或者其他有權使用或進入計算機系統并察看文件的人。大多數時候,低級別的員工不會針對這種情況來詢問任何問題。
                    3、冒充第三方 黑客也會偽裝成擁有權限的其他人。這種方法通常會在擁有授權的其他人不能使用機器的時候使用。
                    4、尋求幫助 這是一個經典的社會工程學攻擊的方法。向幫助臺和技術人員尋求幫助并套取想要的信息,這讓他們成為了社會工程學攻擊良好的目標。
                    5、偷窺 當一個人在輸入登陸密碼時收集他的密碼,當然可以通過偷窺的方法。
                    6、翻垃圾箱 尋找在垃圾箱中記錄密碼的紙、電腦打印的文件、快遞信息等,往往可以找到有用的信息。
                    不留意就栽跟頭的坑
                    1. 釣魚 釣魚涉及虛假郵件、聊天記錄或網站設計,模擬與捕捉真正目標系統的敏感數據。比如偽造一條上來自銀行或其他金融機構的需要“驗證”您登陸信息的消息,來冒充一條合法的登陸頁面來“嘲弄你”。
                    2.引誘 攻擊者可能使用能勾起你欲望的東西引誘你去點擊,可能是一場音樂會或一部電影的下載鏈接,也有可能是你“偶然”間發現的標有“高管薪酬摘要并標有公司LOGO的U盤。一旦下載或使用了類似設備,PC或公司的網絡就會感染惡意軟件以便于犯罪分子進入你的系統。
                    3.在線詐騙 被包含在郵件附件中的惡意軟件,一旦被下載使用則很有可能被安裝包括能夠捕獲用戶的密碼的鍵盤記錄器、病毒、木馬甚至蠕蟲。又是也有可能彈出“特別優惠”的窗口,吸引用戶無意中安裝了其他的惡意軟件。 這種“老掉牙”的社會工程學手段,黑客們屢試不爽。 某安全公司曾做過一系列社會工程學的實驗,使用了社工種經典的手法,首先收集目標公司員工名單信息,包含姓名、住址等,然后使用讓用戶更新自己的殺毒軟件的方法進行攻擊。 準備一個社工中攻擊的經典模板,并與U盤或CD光盤一起寄送給目標用戶,模板內容如下:
                    “親愛的員工XX(直呼其名): 在公司最近的一次安全風險評估中,我們在您的電腦上發現殺毒軟件已經過期了。對公司造成了一定的潛在風險,通過網絡我們查到了您的住址(真實住址),我們需要您合作,一起降低該風險。 您收到的這個U盤中包含了殺毒軟件更新程序,請將U盤連接到您的計算機,并按照下面的說明來安裝更新: 1:雙擊圖標“我的電腦”。 2:雙擊可移動磁圖標上對應的U盤驅動器。 3:雙擊“防病毒更新”程序。 如果更新程序執行成功,你會看到以下信息:“殺毒軟件更新成功”,一旦您執行這些步驟,能將您的殺毒軟件更新到最新版本,并能保護您的計算機免受病毒威脅。 我們非常感謝您對(公司名稱)的幫助?!?br /> 這些“防病毒更新”程序都是特殊定制的木馬軟件,在本次實驗中總共寄出去15個包,其中1個用戶中標。 另一個實驗是在目標公司的停車場扔了兩個U盤,在大樓前的人行道上又扔了一個U盤。幾天后,該公司的某管理人員就在計算機上插入了該U盤,通過用戶名得知該用戶為看門老大爺,雖然沒有權限接入到該公司的核心系統,但是可以通過該計算機來控制一些出入口、攝像頭等。
                    免遭社會工程學攻擊的方法
                    社會工程學攻擊直接以“人”為攻擊目標,企業不想總在老地方栽跟頭就要以人為本做好以下防護:
                    1、當心來路不明的服務供應商等人的電子郵件、即時簡訊以及電話,在提供任何個人信息之前驗證其可靠性和權威性。
                    2、仔細瀏覽電子郵件和短信中的細節,不要因攻擊者消息中的急迫性而誤判。
                    3、永遠不要點擊來自未知發送者的電子郵件中的嵌入鏈接。如果有必要就使用搜索引擎尋找目標網站或手動輸入網站URL。
                    4、培訓學習:信息是預防社會工程攻擊的最有力的工具。企業可以選擇專業的網絡安全公司對員工進行系統培訓。
                    5、拒絕來自陌生人的在線電腦技術幫助,無論他們聲稱自己是多么正當的。 6、關注網站的URL,有時網上的騙子對URL做了細微的改動,將流量誘導進了自己的詐騙網站。
                    6、關注網站的URL,有時網上的騙子對URL做了細微的改動,將流量誘導進了自己的詐騙網站。
                    不小心中招了又該怎么辦?
                    由于社會工程攻擊的隱秘性,大多數受害者都不知道他們已經被攻擊了,可能要耗費幾個月的時候才能發現這個安全漏洞。為幫助企業第一時間發現威脅來源跟進最新漏洞,四維創智安全團隊專門研發出了一款具備企業級的安全服務平臺——獵鷹安全威脅感知平臺
                    獵鷹安全威脅感知平臺從資產管理、指紋識別、威脅發現、威脅解決四個方面進行設計,各個模塊相互聯動能夠在發現威脅后針對安全威脅提供合理的修復方案,是企業真正所需的安全防御系統!

                    1月 15,2018 by admin
                    国产小视频精品_国产小视频网站_国产小视频在线播放