如果你有用过Microsoft Outlook服务,那么你的Outlook帐号信息可能就被来路不明的黑客拿到了。

今年早些时候,黑客设法攻破了微软的客户支持门户网站,并访问了一些Outlook邮箱服务的账户相关信息。

前几天,Reddit上有个用户公开了一个邮件截图,这个邮件是来自于微软的警告,提醒他有来路不明的黑客在今年1月1日至3月28日期间读取了他的一些用户信息。同时,有其他的用户表示也收到了一封同样的通知邮件。

microsoft-outlook-email-hack.png

根据该通知邮件的描述,攻击者攻破了一个客户支持代理的凭据,可以查看的内容仅限于账户的电邮地址、文件夹名称、电子邮件主题和对应邮件的发件地址。

微软在邮件中称:“根据我们的数据,您的账户信息被查阅(但是不包括任何邮件正文),但是我们不知道为什么是这些内容被查阅或会用作什么用途。”

这里优特需要注意的是,由于攻击者持有的是顶替的凭据,并不是真实的登陆相关账户,所以即使用户有进行双因子认证也无法阻止该黑客进行信息读取操作。

目前尚不知晓攻击者如何获得该权限,但是现在黑客获得的权限已被取消,并开始通知所有受影响的用户。

微软至今没有透露受影响的用户数量。虽然本次并没有出现帐号密码等信息丢失,但是微软仍建议受到影响的用户重置密码,以确保安全。

微软表示:“请放心,微软十分重视用户数据与隐私安全,我们将让内部安全和隐私团队参与调查并解决问题,以及对系统和流程进行优化,以防止再次出现这种事件。”

据BBC、彭博新闻社等多家媒体报道,维基解密联合创始人朱利安阿桑奇已在厄瓜多尔驻伦敦大使馆被捕。

七年前,阿桑奇先生申请大使馆避难,以避免因性侵犯案件被引渡回瑞典。

大都会警方称,他因未能向法庭投降而被捕。

_106409996_assange_file_pic_reuters.jpg

厄瓜多尔总统列宁莫雷诺称,在多次违反国际公约之后,他撤回了阿桑奇先生的庇护。

在撤回了对阿桑奇的庇护后,大都会警方第一时间对其进行了逮捕。

黑白对决  VXCON将于4月27日在香港九龙观塘兴业街4号9楼The Wave举办。

vx-banner.jpg

时间安排

主题演讲:2019年4月27日(周六)

Workshop和Village(暂定)

4月25日-26日 Workshop

4月28日 Village

4月29日-30日 Workshop

购票方式请从该活动官网进行购票https://vxcon.hk/

VXCON简介

VXCON邀请世界各地知名演讲者和研究人员来参加VXCON。他们经常在Blackhat,DEF CON,HITCON以及各种全球黑客和安全会议上发表演讲。同时,他们中的一些人非常擅长恶意软件分析,CTF和硬件开发。我们专注于安全攻防,威胁情报和渗透测试。欢迎有条件的朋友参加。

演讲者

image.png

圆桌讨论——Hack For Future

image.png演讲议程(暂定)

image.png

Workshop日程(计划)

image.png

image.png

如需要关于Workshop的详情,可联系darkfloyd[at]vxrl.org

活动地点

主题演讲:

香港九龙观塘兴业街4号9楼The Wave

Workshop:

香港 太古湾道14号太古城中心第三期20楼 WeWork

下载 (19).jpg2019年3月29日,由”安全+“主办的“EISS-2019企业信息安全峰会之北京站”在北京悠唐皇冠假日酒店成功举办。峰会延续EISS企业信息安全峰会”直面信息安全挑战,创造最佳实践案例“的主题,吸引近500位来自于各行业的企业信息安全负责人、安全专家出席本次峰会。大会针对数据安全、AI安全、威胁情报、机器学习在安全中的应用、企业安全技术架构、身份安全、IoT安全、漏洞治理和红蓝对抗实践等热点话提展开深入的分享和热烈讨论,共同探索企业信息安全发展及未来。

大会主会场

下载 (20).jpg(ISC)²北京分会主席 卢佐华作为峰会北京站的大会主席做了精彩的致辞,并代表大会主办方向与会嘉宾致以诚挚和热烈的欢迎! 

下载 (21).jpg本届大会我们有幸邀请到安全牛的主编 李少鹏,作为本届大会的主持人。少鹏在介绍嘉宾之前,表达了对主办方的感谢以及对大会的期待。

第一讲

下载 (22).jpg来自京东的数据安全负责人 吴松的分享主题是《电商企业的数字安全实践》。过去一年大批量的恶性数据泄露爆发式出现,作为国内一线互联网公司,京东对保障用户隐私以及公司重要数据的方式和策略也在进行审视,并且做了很多的研究与思考。在分享中,吴松主要探讨在业务越发复杂边界逐渐模糊的态势下,数据安全如何才能做好。

第二讲 

下载 (23).jpg《数据驱动安全思考》,来自平安科技的信息安全平台总监 董晓琼做了深入的讲解。通过分析和阐述数据优势以及行业应用,董晓琼提出“数据驱动安全”而非“情报驱动安全”的概念,并为“数据驱动安全”做了个定义:在不断变化的组织环境中,为有效识别和管理动态风险,在组织内部使用的一种方法。之后,进一步阐述了其安全场景与应用,以及有价值的数据闭环与输出。在场嘉宾听得非常仔细。

 第三讲 

下载 (24).jpg来自白山云科技的合伙人兼工程副总裁 丛磊,为与会嘉宾分享了《AI构建下一代企业安全大脑[email protected]》。SIEM是企业安全的核心中枢,负责结合威胁情报对危险进行准确的判断和预警。但传统SIEM过度依靠安全策略,不仅人力成本高,准确率和使用效果也大打折扣。目前附带AI功能的SIEM只是把AI当成算法插件,无法独立的智能工作。白山云在演讲提出新一代[email protected]将成为新的企业安全发展方向。

第四讲 

下载 (25).jpg下载 (26).jpg

华泰证券信息安全总监 张嵩 携手团队安全产品架构师 邢晓 分享了《情报驱动的关联分析与开放平台实践》。从“安全开发者”的视角,介绍自主研发的态势感知和响应平台“泰坦”,聚焦实战、高效运营能力实现,从自动化汇聚、降噪与丰富化,到关联分析和基于优先级的响应,最终解决海量告警到实质威胁响应的最后一公里。分享“泰坦”架构设计和技术实现旅程,在如何实现实时的威胁发现、面对复杂数据更好的感知,提供一些非常实用和落地的解决思路。

 第五讲 

下载 (27).jpg

IBM的QRadar&Resilient大中华区业务经理 黄俊华的分享主题是《以威胁情报和人工智能为驱动的QRadar现代安全运营中心》。面对海量的安全数据,安全人员需要从多个角度印证安全实践的严重程度和可信度,从而及时的发现潜在攻击行为同时以最快的速度制止威胁。这过程对于关联分析、异常检测、用户行为分析、实时深度检测的要求是非常高的。IBM通过QRadar的事实取证和数据包捕获、网络洞察、QFlow以及网络流量的检测,为企业的内外部威胁管理提供强有力的支持。IBM提出,安全运营的未来一定是建立在AI和统筹的基础上的。

第六讲 

下载 (28).jpg自然人 or 机器人?Fortinet的中国区技术顾问 王涛在他的分享《如何应用机器学习提高Web应用安全效率》中给出了答案。大数据,云,AI新技术的出现及应用推动了整个IT产业的发展,同时新的技术也为安全防御提供了新的思路和工具。Web是通往企业核心资产的重要入口,安全问题成为企业安全的重中之重,如何利用新的AI技术解决困扰WAF遇到的巨大挑战, Fortinet作为全球唯一一家将AI技术真正应用在WAF安全防护上的厂商,获得了不错的反响,因此跟大家来分享一下在这方面的心得。

第七讲 

下载 (31).jpg来自中国人民银行金融信息中心信息安全部资深网络安全工程师 董祎铖,分享了《企业安全技术架构演进》。企业安全战略需要通过一系列方法论和技术架构落地。随着企业安全建设的不断开展和外部安全形势的不断变化,安全运营将会面临规模化运行管理和高阶威胁分析能力需求的挑战。基于大数据、云计算、分布式技术构建一套技术架构,满足新时期企业安全运营技术需求,为安全运行、分析和风险控制提供强有力的技术支撑,进而提升安全工作效益、更好地贡献安全业务能力,实现安全团队自身价值。

下午分会场一  企业安全应用

 分会场一:第一讲 

下载 (30).jpg下午分会场一,第一讲的分享嘉宾是VIPKID的信息安全负责人 靳晓飞,他的分享主题为《互联网企业安全建设实践》。受整个大环境的影响,无论国家还是行业层面,现在都开始逐渐关注和重视安全问题。很多互联网企业也都在招聘安全负责人和组建安全团队。越来越多的安全人员开始进入到企业安全领域。一个企业的安全建设该怎么做?思路是什么?安全的价值如何体现?如何从零开始构建一套相对完善和成熟的企业安全体系?如何衡量企业安全建设的效果?等等这些都是企业安全负责人面临的现实问题和挑战。本次议题将分享互联网企业安全建设方法论和部分落地实践。

 分会场一:第二讲 

下载 (32).jpg

派拉软件北京分公司总经理 郭辉 的分享的主题为《数字化转型中的身份安全》。派拉软件通过分析行业痛点,总结了数字化转型的本质特点:“以用户为中心”、“业务重构和创新”以及“云和移动”。据此,数字化转型当中的身份安全是一个必须要关注的重点。在各个连接安全与变革的场景下,派拉软件的IAM产品集群通过其微服务架构、高性能、AI ready、灵活完整的身份管理、移动和云支持 以及 ID as a Service 的产品优势,能够为企业提供强有力的支持。

 分会场一:第三讲 

下载 (33).jpg来自是德科技的ISG事业部企业市场北区销售总监 孙培,分享的主题为《如何构建主动感知和可弹性调整的企业内外部网络》。作为一家始终致力于提供专业的2-7层网络性能测试、可视性和安全解决方案的厂商,是德科技通过“一个‘糖葫芦串’的故事”,分享了每个环节可能遇到的挑战以及INLINE弹性安全矩阵解决方案。在实际案例分享的环节中,是德科技为与会嘉宾解析了客户在改造前遇到的挑战和改造后所优化的各个环节。提供了非常有意义的参考。

 分会场一:第四讲 

下载 (34).jpg来自长亭科技的产品总监、安全策略总监 李昌志,为与会嘉宾分享的主题为《使用WAF实时流量分析解决定制化业务安全问题》。WAF 通常位于企业的 web 流量入口,占据网络拓扑的战略要地,传统 waf 只做 web 攻击防护大大削弱了 WAF 的发挥空间。除此之外,如何识别恶意用户,如何防止薅羊毛,如何发现越权访问,成为了如今 web 安全领域急需解决的问题之一。不同的厂商有不同的业务,对于不同的业务防护方案也各有不同,该议题将带大家寻找一个简单、统一而又通用的方案解决此类问题。

 分会场一:第五讲 

下载 (35).jpg来自金融街的信息安全负责人 唐凯,在本届大会的分享主题是《大企业、小IT中的信息安全平衡之道》。在一个小型IT团队中,使用有限的人员和资金资源,独立的开展信息安全工作,建立企业信息安全目标,搭建企业信息安全体系框架,实现信息安全工具落地的相关实践。

 分会场一:第六讲 

下载 (36).jpg茶歇过后,由来网易云安全的首席架构师 沈明星为与会嘉宾分享《企业安全攻守道》。随着互联网进入下半场,安全也需要跟随业务进行升级。本次分享从网易的实践经验出发,从基础安全到移动安全再到业务风控,全方面介绍网易在对抗互联黑灰产中的实战体验和经验教训。

 分会场一:第七讲 

下载 (37).jpg

分会场一的第七讲由来自安永的风险咨询服务部合伙人 高轶峰来分享《企业合规之路》。大国网络空间战略、企业面临的外部威胁日益严峻、黑产在利益驱动下的“道高一尺魔高一丈”以及监管合规趋严趋紧的几大安全合规趋势是目前所有安全人士所面临的不容忽视的挑战和压力。无论是业务、数据、人员还是系统,都对数据安全治理提出了很高的要求。通过几大实践案例,高轶峰提出了企业数据安全合规治理的原则与实践。

 分会场一:第八讲 

下载 (38).jpg

接下来,是来自纳通医疗集团的信息安全负责人 肖寒的分享,主题为:《大数据分析在企业信息安全中的最佳实践》。大数据分析在企业细信息安全中的最佳实践不管规模大小,企业都希望建立自己的大数据分析平台,去展示、分析和快速响应各类信息安全事件。但是随着ISOC等概念的提出,真正落地大数据分析,才发现数据具有多样性、复杂性、缺失性等因素,导致事件画像需要“推理”而非“真实可见”。本次分析,介绍纳通医疗在信息安全大数据分析平台建设中,遇到哪些挫折,走了哪些弯路,又是如何达到安全与业务双赢的落地实践之路。

 分会场一:小组讨论 

下载 (39).jpg分会场一的最后一个环节是主题为《企业安全实践方法论》的小组讨论。讨论继续由大会主持人安全牛主编 李少鹏主持,参与嘉宾为:来自完美世界的信息安全总监 何艺、某医美平台的信息安全负责人 张坤、金融行业的安全专家 栾浩 以及马蜂窝的信息安全负责人 李广林。讨论嘉宾非常有针对性的回答了现场嘉宾的提问,互动气氛非常好。

 下午分会场二 信息安全新技术

 分会场二:第一讲 

下载 (40).jpg分会场二的第一讲,是由ROKID的信息安全负责人 白嘎力分享的《IoT安全》。当今的IoT设备已经有极大的普及和发展,预计到2020年,将有超过10亿部设备接入,其中的硬件、软件、云和设备互联遇到非常大的安全挑战。应用最广的场景中,车联网、智慧医疗、智慧城市以及智能家居是人们关注的重中之重。白嘎力为与会嘉宾深入剖析了IoT安全中各个维度所遇到的挑战,并总结了近期最突出的一些安全案例,提出智能设备的主要安全隐患、AI系统/模型安全漏洞和个人隐私保护挑战,从而进一步提出规避风险的思路。为参会嘉宾提供了非常参考价值的信息。

 分会场二:第二讲 

下载 (41).jpg第二讲,由新思科技的软件质量与安全部门高级安全架构师 杨国梁分享的《应用安全在DevSecOps的落地之路》。“方法千万条,效率第一条;安全要求多,开发两行泪”,新思科技用一首诗道出了应用安全在DevSecOps落地的挑战和艰辛:业务发展的过程中,除了要“干”,还要“安全的干”!新思科技详细分解了在单元测试、代码分析、安全性和性能测试等应用安全的挑战和难点,提出在通过CI/CD来落地应用安全的时候,关于人、流程和技术方面的建议。

 分会场二:第三讲 

下载 (42).jpg第三位演讲嘉宾为Gigamon的高级技术顾问 张宏明,他的分享主题为《可视化平台助力全网安全》。网络在不断的升级、IT环境变得越来越复杂、虚拟化/云计算不断应用以及更多的安全需求与紧缩的安全预算是信息安全面临的诸多挑战中最突出的。Gigamon的GigaSECURE SDP 安全交付平台为企业提供一个全面可视、提升效率的安全新方法。通过深度的案例解析,为与会企业提了有价值的参考信息。

 分会场二:第四讲 

下载 (43).jpg58集团的基础安全负责人 刘嵩的第四位出场,他为我们分享的是《58集团的漏洞治理》。通过漏洞发现、漏洞处理、漏洞预防以及安全运营,刘嵩为我们分享了58集团的漏洞治理整体设计。 每个环节都有非常生动的例子反映了58集团在落地漏洞治理的过程中所遇到的各式各样的挑战以及取得的成就,为我们提供了很好的学习案例。

 分会场二:第五讲 

下载 (44).jpg茶歇过后,第五讲嘉宾为马蜂窝的安全负责人 李广林,他分享的主题是《基于Kcore的代码审计》。为什么要做自动化代码审计? 域名、接口、项目多、人口有限、审计成本高以及产品迭代快等诸多挑战是背后的动力。李广林分享了选择自研背后的原因以及在这个过程中,他们的关注点、基础框架、代码分析、符号表和污点分析等非常落地的实践,与会嘉宾都在非常认真的记笔记。

 分会场二:第六讲 

下载 (45).jpg下午第六讲,由WiFi万能钥匙的安全研究员 龚沛华来分享《移动安全实践之路》。议题从攻和防的角度探讨目前移动APP所面临的威胁,从代码安全、数据安全、组件安全等角度进行分析,总结并展望应对移动安全威胁的相关安全保护措施。

 分会场二:第七讲 

下载 (46).jpg分会场二的压轴嘉宾为阿里安全归零实验室的资深安全工程师 柳兮,他的主题为《业务安全红蓝对抗的探索与实践》。随着业务的迅速发展,业务的形态和玩法也越来越多元化。各类黑灰产寄生在业务生态上,规模也越发庞大,分工也更加精细化,并逐渐形成了多个上下游完整的产业化团伙,给业务带来了大量的资损和风险。本议题将探讨业务红蓝对抗实践过程中的一些思路和经验。

 分会场二:小组讨论 

下载 (47).jpg分会场二的小组讨论主题为《IoT安全的现状与发展趋势》,由来德勤的风险咨询合伙人 肖腾飞主持并参与讨论,其他参与讨论的嘉宾有:来自京东的牧者安全实验室负责人 侯浩俊,来自国家电网的安全攻防实验室主任 张錋以及来自海尔家电产业集团的信息安全总监 金成。讨论中各位嘉宾分别分享了各自所在行业的IoT安全的现状与发展趋势,并且回答了观众的关注的热点问题,现场反馈热烈。

EISS -2019 企业信息安全峰会北京站,在参会嘉宾的热烈讨论中完美落幕。

EISS 2019 企业信息安全峰会,我们下一站见!

3月23日,南京春暖花开,风和日丽,由DEFCON GROUP 86025主办,08sec承办,南京三边信息技术有限公司、北京远禾科技有限公司协办的线下极客安全会议,在南京信息职业技术学院成功举行。

此次会议有幸邀请到公安部第一研究所信安部网络攻防实验室攻防团队、《啊D》&《D盾》作者啊D、360企业安全集团等嘉宾,议题邀请到六位主讲嘉宾,围绕web安全、高级渗透、APT攻击、漏洞挖掘、IoT以及工控安全等主题进行分享与讨论。

下载 (6).jpg

下载 (7).jpg

下载 (8).jpg

活动流程

13: 00     签到

13: 30     主持人开场介绍,主办方代表及重要领导讲话

14: 00   《众测中企业常见的安全问题》

14: 40   《企业侧应急响应的典型场景与案例分享》

15: 20   《APT之迂回渗透》

16: 00     茶歇

16: 10   《游走于内网之后——工控安全那些事儿》 

16: 50   《浅析无线攻击与Fuzzing》

17: 00     开放 Village Time

18: 00     结束(合影)

DC86025举办线下沙龙的主要目的是希望与努力加入信息安全建设队伍的同学们,行业精英以及行业领导者们聚集在一起,进行经验分享,共同促进安全技术的交流与提升,同时推动南京地区安全技术的发展。

DC86025 简介

DC86025是DEFCON GROUP 86025的简称,DEFCON创办于1993年,创始人是Jeff Moss,同时也是BlackHat的创始人,DEFCON与BlackHat都是世界顶级的安全会议,每年在拉斯维加斯举行。2018年5月DEFCON第一次落地中国。

DEFCON GROUP是DEFCON授权的官方组织,该组织可以在当地举办miniDEFCON,让更多的人接触到原汁原味的DEFCON大会,而DC86025是DEFCON授权认证的官方GROUP,其中86是中国的国际区号,025是南京的区号,因此DC86025也叫DEFCON GROUP南京,我们致力于传播纯正的DEFCON黑客精神,为安全技术爱好者提供一个自由灵活的、学习和分享最前沿黑客技术的平台。

下载 (10).jpg

下载 (9).jpg

众测中企业常见的安全问题

斗象科技&漏洞盒子安全研究员晓爷在本次沙龙分享中介绍了众测中企业常见的安全问题。

下载 (11).jpg

企业侧应急响应的典型场景与案例分享

360企业安全集团观星实验室的imbeee老师,在会议中为我们分享了他在工作中遇见的企业侧应急响应的典型场景与案例。下载 (12).jpg

APT之迂回渗透

来自08sec的小越老师在沙龙会议中,对APT之迂回渗透这一议题进行了经验分享。下载 (13).jpg

游走于内网之后——工控安全那些事儿

亨通工控的lsh4ck老师,他这次分享的主题是《游走于内网之后——工控安全那些事儿》 。下载 (14).jpg

浅析无线攻击与Fuzzing

来自中汽研汽车攻防实验室的李立东、吴宇飞两位老师为我们讲解了关于无线攻击与Fuzzing的一些事情。

下载 (15).jpg

本次活动的圆满举行有赖于百度安全应急响应中心、阿里安全应急响应中心、看雪、DEFCON GROUP 010、补天漏洞响应平台、GEEKPWN极棒、Feeebuf、漏洞盒子、漏洞银行、i 春秋、36Kr、安全客、嘶吼、南京信息职业技术学院等行业优秀单位、企业及各大媒体的的大力支持!

下载 (16).jpg下载 (17).jpg下载 (18).jpg

PPT分享

链接:https://pan.baidu.com/s/1QrI6oDhz9b1A1WA8VEQ9sg 密码:mfhl

3月29日,在新加坡召开的全球顶级黑帽盛会“Blackhat ASIA亚洲黑帽大会”上,支付宝光年安全实验室展示了一种新的漏洞检测工具,能提前发现IOT 设备的问题,避免黑客攻击。

随着物联网(IoT)技术的发展,嵌入式设备已经渗透入各个领域,如智能家居、工业生产、智慧交通等等。虽然我们的生活变得越来越便利,不过这些设备也逐渐成为网络犯罪分子攻击的目标。

黑客一般通过系统的漏洞来入侵这些设备,甚至可能会植入木马,非法远程控制你的所有系统,包括你的手机、电视、电脑、摄像头等。如何抢在黑客前面发现这些问题,确保家庭网络安全呢?

来自支付宝光年实验室的哦耶、曲和和来自平安银河实验室的朱文哲、刘瑞恺合作提出了一种调试非linux系统的嵌入式设备的方法,同时以一款VxWorks系统的嵌入式设备为例,介绍了整个漏洞挖掘、调试和利用的过程。这一成果同时中稿Black Hat ASIA 50分钟议题(Briefings 50min)和军械库(Arsenal tools)。

image.png

据专家介绍,行业目前主要集中针在Linux系统的研究,譬如历史上攻破的路由器,绝大多数是基于Linux系统。但是,当前物联网种类繁多的嵌入式设备有着各种系统,不少非Linux系统的设备阉割了默认调试功能,阻碍了安全研究者对其深入研究。本次光年实验室首次针对基于VxWorks系统的物联网设备进行安全研究,并且首次在没有默认VxWorks调试组件的情况下实现了调试功能,同时成功完成基于VxWorks 系统的物联网设备的漏洞分析和利用。

据介绍,这一技术极大的降低了安全研究员挖掘非Linux系统嵌入式设备的门槛,有利于全球IoT安全行业整体安全水平的提高,保障普通消费者和厂商企业的数据安全。

image.png

据了解,近年来,支付宝不断加大安全投入,并组建了由多位资深安全专家组成的金融支付安全领域实验室——光年安全实验室,除致力于护航支付宝相关产品安全,同时也通过前沿的安全技术的分享来赋能外部合作商户/厂商以及生态伙伴的安全。实验室在众多国际受认可的顶级安全会议先后多次发布了极具行业影响力的安全研究成果,也获得了 Google、Apple 以及三星等多个厂商的致谢。2018 年,实验室总计获取15+个来自 Google、Apple 等重点厂商的漏洞致谢。

北京时间3月28日早间消息,据美国科技媒体TechCrunch报道,一名信息安全研究员两个月前向华硕发出警告称,有华硕员工在GitHub代码库中错误地发布了密码。这些密码可以被用于访问该公司的企业内网。

其中一个密码出现在一名员工分享的代码库中。通过该密码,研究员可以访问内部开发者和工程师使用的电子邮件帐号,从而与计算机的使用者分享夜间构建的应用、驱动和工具。有问题的代码库来自华硕的一名工程师,他将电子邮件帐号密码公开已有至少一年时间。目前,尽管GitHub帐号仍然存在,但这个代码库已被清理。

这位网名为SchizoDuckie的研究员表示:“这是个每天发布自动构建版本的邮箱。”邮箱中的邮件包含存储驱动和文件的具体内网路径。研究员也分享了多张截图以证实他的发现。

该研究员没有测试,通过这个账号具体能获得哪些信息,但警告称进入企业内网会非常容易。他表示:“你所需要的就是发送一封带附件的电子邮件给任何一名收件人,进行鱼叉式钓鱼攻击。”

通过华硕专用的信息安全邮箱地址,该研究员向华硕发出了密码泄露的警告。6天后,他无法再登录该邮箱,并认为问题已经解决。

不过他随后又发现,在GitHub上,至少还有两起华硕工程师泄露公司密码的事件。

华硕总部的一名软件架构师在GitHub页面上留下了用户名和密码。另一名数据工程师在代码中也泄露了密码。这位研究员表示:“许多公司并不知道,他们的程序员在GitHub上用代码做了什么。”

在媒体向华硕告知此事的一天后,包含密码的代码库被下线并清理。不过华硕发言人表示,该公司“无法证实”研究员在邮件中的说法是正确的。“华硕正在积极调查所有系统,消除我们服务器和支持软件的所有已知风险,并确保没有数据泄露。”

F-Secure公司的首席研究官 Mikko Hypponen 在谈论在万物互联的世界里的未来战争。

95314224c369-article-190328-black-hat-asia-keynote-body-text.jpg

Mikko Hypponen在昨天Black Hat Asia的主会场向参会者说“这个世界正处于网络军备竞赛的起点”。

在他的主题演讲中,Hypponen讲述了原本是在陆地、空中、海洋和太空里进行的战争,是如何扩展到了网络空间。

他在演讲中称,我们现在可以看到了防御和攻击双方面的军备竞赛,因为世界各国都在想办法抵抗潜在的威胁。

“我们喜欢战争,每隔几代人我们就会忘记战争的恐怖。”他对与会者陈述,“战争将影响接下来几代人,他们将在新的领域里进行战斗。现在我们知道战争将在这五个方面打响,军备竞赛现在也已经开始。实际上,我们相信我们处于军备竞赛的起点。在此之前,核武器的竞赛持续了60年,那么网络军备竞赛很有可能就是接下来的60年。”

在演讲结束后,Hyppon告诉The Daily Swig“这将是我们以前从未想过的领域,就像我们在三四十年以前想象不到网络空间成为了发动战争的领域,但是这就是我们现在所处的境地。”

Hypponen在这里警告我们,不仅世界主要经济体在开发网络战争中使用的工具,一些流氓国家也开始研发了。美国、以色列和英国都在积极的进行军备竞赛。

“每个技术领先的国家,都不会止步于提高防御能力,他们也会提高进攻水平。”

“与今天公开演讲的时候谈的有区别的是,就目前情况来说,网络并不能让大家看到对方的威慑力量,没人知道你拥有什么武器。如果这些东西没有投入试用,然后只是等待机会,很有可能未来这些漏洞被修复,你前期对此的所有投入都打了水漂,没人知道”

“最终我们可以看到公开的网络军力展示,就像我们以前看到的阅兵里军队会展示有多少坦克一样,我们可以在一些公开的网络安全演习中看到一些国家会进行哪种威慑。”

他补充了一个比较担忧的事情,在现在这个万物互联的时候,我们越来越依赖计算机系统来连接各个关键基础设施,例如发电厂、国家的电网,还有水资源、工业生产等目标。

他说:“我们的社会已经在计算机上运行多年,对计算机和互联网连接的依赖性只会增加。 我们越来越容易受到这个领域的攻击,而且这种情况并没有减缓,而是在加速。“

“我花了我的主题演讲讨论了不好的事情,但我喜欢互联网 – 我认为这是我一生中发生的最伟大的事情,”Hypponen补充道。

“它带走了边界和距离,它改变了我们的生活,[但]它让我们接触到了我们根本想不到的新风险。

“所以你知道,这是一种权衡 – 我们会得到很好的东西,但我们会面临新的风险。”

从2019年3月10日12:00至2019年3月24日12:00,2019看雪CTF晋级赛Q1(ctf.pediy.com)历时整整14天,终于落下帷幕。

本届看雪CTF比赛由看雪学院主办,采用了全新赛制,一次性放出10题,赛期14天,破解次数成为判定成绩的首要因素。共吸引了354支团队参战,超过6万人围观。

image.png

比赛过程跌宕起伏,每天都有团队给我们带来新的惊喜:有的团队早早便遥遥领先,锁定晋级位;有的团队则不疾不徐,一步一步向前迈进;还有的团队在比赛即将结束时实现绝地反击,顺利逆袭。

攻击方战队Nu1L战队以322秒的成绩率先拉响比赛的号角声!其中,攻击方第一名pizzatql 仅用5天时间便实现全垒打,拿下所有题目,稳拿第一的宝座,成功晋级总决赛。

防守方题目《流浪者》吸引了超过5000人围观。HU1战队所出题目第七题《圆圈舞DancingCircle》成为许多团队晋级路上的一大挑战,HU1最终也以被8人攻破的成绩,位列防守方第一名,成功晋级总决赛。

现将比赛排名公示如下:

防守方排名

image.png

注意:防守方积分将于近期更新

攻击方排名

image.png

优秀奖

防守方攻击方

image.png

*如对比赛排名有异议,请联系看雪CTF 组委会。

奖品设置

一等奖 (2名)小米扫地机器人石头(roborock)扫地机器人 

攻防双方各1名

二等奖(2名)飞利浦电动牙刷HX9352/04 

攻防双方各1名 

三等奖 (2名)洁碧水牙线 WP-70EC 

攻防双方各1名 

优秀奖 (12名)小米(MI)3USB接口+6孔位 2A快充 

防守方和攻击方,各6名

奖励设置

1、积分与雪币

看雪CTF 累计的积分,可等价兑换雪币

如100分,可兑换100雪币

可前往看雪CTF排行榜,查看自己的积分:

https://www.kanxue.com/index-member_score.htm

注意:近期将对数据进行一次更新,清算

2、积分与Rank值

各位选手将可通过比赛积分,获取相应的rank值。

可前往看雪CTF排行榜,查看自己的积分:

https://www.kanxue.com/index-member_score.htm

注意:近期将对数据进行一次更新,清算

积分与rank值的关系为:

CTF分数 : Rank值 =  10 : 1

示例:

A选手 在看雪CTF中获得1000积分。

则,1000 : rank = 10 : 1,Rank值等于100

注意:

防守方每次比赛结束后,统一结算rank值。

此处rank值针对个人,团队中提交题目的队员即可获取相应的rank值。

本届比赛虽已结束,但这并不是终点。

没有获奖的各位参赛选手不要灰心!

2019看雪CTF的全新赛制采用积分累计制,分为晋级赛总决赛两个阶段。

1)引入了3次晋级赛,每季度一次。(每季度前三名均有奖)

2)每次晋级赛的防守方第1名和攻击方前3名直接进决赛。

3)其他团队按照3次晋级赛总排名,前6防守方和前9攻击方进决赛,缺位后补。

4)决赛一共由晋级赛选出的9个防守方,18个攻击方组成,角逐最终大奖!

目前2019 看雪CTF 晋级赛Q2 防守方的征题通道已开启!请将题目提交至:https://bbs.pediy.com/forum-122.htm

晋级赛Q2攻击篇即将于2019-06-10开启,敬请期待

现在,很难用现有的隐私政策、安全策略等借口去掩盖这个事实:在北京时间今天凌晨,根据Krebs on Security报道,Facebook确认了密码管理系统的一个漏洞,这个漏洞可导致数亿的Facebook帐号、Instagram以及Facebook Lite的明文密码泄漏。这意味着数万名Facebook员工可以直接查阅明文的密码。Krebs的文章称这种情况可以追溯到2012年。

一般来说,网站的运营者可以通过使用特定的单方加密的方法将密码存储在服务器上。通过这种方法,即时有人获得了这个密码,他们也无法知道这个密码具体是什么,这种已加密的密码也几乎不可能被利用起来。作为一个服务数亿用户的公司,Facebook一定知道他们要面对的是一大批的黑客,并且他们要尽可能避免发生密码泄漏的可能性,避免发生严重的安全灾难。不幸的是,一个敞开的窗户让这些铜墙铁壁般的安全防御措施彻底失效。

jbareham_180405_1777_facebook_0001.0.jpg

Facebook方面的解释

“在一月份的日常安全巡查过程中,我们发现部分用户的密码在内部数据存储系统里可以被任意读取,”Facebook安全隐私副总裁Pedro Canahuati在声明中是这么说的“我们的登录系统已经是使用顶尖的技术去对密码进行加密。我们可以这么说,这些密码绝对不会在Facebook以外的任何一个人能够看到,我们迄今为止也未发现有任何公司外部人员曾经访问过这些数据。”

Canahuati称Facebook现在已经修复了这个密码记录问题,并且Facebook将通知数亿Facebook用户和数千万Instagram用户,提醒他们去更换密码。并且,Facebook并灭有计划去重置用户密码。

作为一个这么庞大的目标,Facebook很少出现安全方面的技术错误,并且遇到这次事件的时候也并没有逃避。但是这个公司从9月份的违规操作就已经开始备受质疑,其中攻击者通过破坏用户登录的账户信息,窃取了3000万用户的数据。

上述事件间接的帮助Facebook发现这个明文存储密码的问题以及导致出现这种情况的漏洞,这个事件引发了这场找出过失的安全检查。“在我们的安全检查中,我们一直在研究我们存储各种信息的方式——例如访问凭证——并且我们在发现问题的时候就要把问题解决掉。”据Canahuati称。

牛津大学技术和全球事务中心的独立网络安全顾问兼助理研究员Lukasz Olejnik表示:“好消息是,他们在积极主动的处理这个问题。据说,他们是在一次审计中发现这一问题,所以从这个层面上来说,过去的安全问题加上这次的数据泄露安全问题,往后Facebook公司的审计规则应该会更加标准。”

Facebook告诉WIRED,被泄露的密码不可能全部存储在一个地方,并且问题也不是出自密码管理系统的某个漏洞(可能是多个漏洞引起)。相反,公司是无意间通过一些内部机制和存储系统(例如崩溃日志),捕获到的明文密码。

Facebook表示,这件事情的性质导致这个问题更加复杂,很难被理解,也很难修复。公司内部已经花了将近两个月的时间去调查该问题,并试图披露调查结果。

像Facebook这种拥有大规模用户数据的公司,应该保持网络流量日志清晰有条理。当发生脱机、漏洞或者其他安全问题时,才可更好更快的追溯问题根源。在某些情况下,Facebook拉取这些数据也属正常,但问题是,为什么Facebook要把含有敏感数据的日志存储这么久,为什么公司对此事一无所知。

Open Crypto Audit Project的安全工程师和主管Kenn White表示:“作为调试bug的一部分,捕获用户数据,以及操纵如此大规模的网络数据,这些事情是很不正常的。但Facebook能存储这些数据长达数年之久,就说明他们的架构存在很多问题。他们有义务保护调试日志安全,并且需要对存储的的日志进行审计。从某种意义上来说,他们拥有的是最为敏感的数据,因为这些数据未经任何处理,也没有托管在任何地方。”

去年5月份,Twitter也发生过一起类似事件——用户的明文密码泄露。他们没有第一时间要求用户更改密码,而是表示他们的密码没有泄露。同样,Facebook也表示,据他们的调查显示,没有任何迹象表明有人窃取了他们数亿的用户密码。

建议

不管你是否收到Facebook的更改密码通知,你都应该立马去更改你的密码。

Facebook表示明文密码问题现在已经修复,并且他们认为此次事件不会产生长期影响,因为密码从未真正被盗过。但考虑到Facebook已经多次的爆发安全危机,很难知道接下来会发生什么。