E3将至,广(波)受(兰)赞(蠢)誉(驴)的Witcher系列开发商CD Projekt Red(以下简称CD)也爆出了大新闻。有消息称,CD新作《Cyberpunk 2077》的一些内部文件和概念设计已被黑客窃取并被用以勒索。

这已经不是CD第一次被黑了。今年早些时候,该公司的官方论坛遭到黑客攻击,约有190万用户帐户被曝光。CD的开发人员表示,这些帐户源自公司的旧版数据库,早在2016年3月就曾遭遇过入侵。

1.jpg

关于这次的勒索事件,CD官方并没有透露这群黑客是通过什么手段成功得手,但从官方口径来看文件泄密事件的真实性是毋庸置疑的。黑客们的动机应该是为财而来,因为他们已经向CD提出赎金要求,并且如果得不到满足的话,他们就会在网上公开《Cyberpunk 2077》的开发资料。但CD官方也强硬回应,绝不会向黑恶势力低头。

2.jpg

全球性安全软件公司Avecto的联合创始人Paul Kenyon自称是Witcher系列粉丝,他表示,此类违规行为可能对开发商产生重大影响。他说:

这次黑客攻击再次给我们提了个醒,游戏内容和设计提前曝光对游戏产业兰说是个大问题。在此情况下,CD公司为了保密已经给心血之作《Cyberpunk 2077》放了几年烟雾弹,所以此次泄露可能会可能会对公司产生重大影响。

不过针对此事件,CD的开发人员好像并不担心:

窃取事件所涉及的文件是老版本,在很大程度上并不能代表当前版本的游戏。 被盗文件是《Cyberpunk 2077》的早期设计,因此即使这些信息泄漏,玩家们也无需担惊受怕。

最后,CD宣称对于万众期待的《Cyberpunk 2077》,他们会在合适的时间放出官方公告。所以玩家们还请放一万个心,一起安心等待就好了。

* 参考来源:theregisternetworkworld, FB小编Akane编译,转载请注明来自FreeBuf.COM

Warchild是一款拒绝服务攻击测试套件,可用于分析你的网站面临多种不同DoS攻击时的抗压能力。DoS又称拒绝服务攻击,主要由恶意组织发动来破坏网站的正常运行。

4.jpg

安装

方法很简单,对于安装所需的模块,你只需要在终端中执行以下命令:

pip install -r requirements.txt

使用

python warchild.py

概述

这套拒绝服务攻击套件包含以下功能:

CloudBust:又名AETHON,是一种CloudFlare解析器。它可以用来检查受CloudFlare保护网站的错误DNS配置,通过DNSdumpster.com来解析,并识别网站的后端IP。

HTTP Flood:一种拒绝服务攻击,攻击者可以操控HTTP并POST大量无用请求,用来攻击Web服务器或应用程序。在HTTP Flood中,HTTP客户端(如Web浏览器)与应用程序或服务器产生交互或发送HTTP请求。攻击的目标很简单,就是看准时机强制服务器分配尽可能多的资源使服务器瘫痪,从而拒绝合法用户访问服务器资源。 

ALISA就是一款用这种原理写的HTTP DoS工具,它可以攫取网站的所有资源,是一个第7层DoS工具。

TCP SYN Flood:另一种拒绝服务攻击,攻击者向目标系统发送一连串SYN请求,尝试消耗足够的服务器资源来使系统对合法流量无响应。

UDP Flood:一种使用用户数据报协议(UDP,一种无会话/无连接的计算机网络协议)的拒绝服务攻击。

作者信息

Souhardya Sardar是一名独立的安全分析师和程序员,不破不立,热衷于破解,但只是为了更安全。

下载地址

*参考来源:kitploit,FB小编Akane编译,转载请注明来自FreeBuf.COM

近日,网络犯罪者开发出了一种新型攻击技术,它可以利用发送PPT文件和鼠标悬停来让用户执行任意代码,并下载恶意程序。  

使用经过特制的Office文件——特别是Word文档来传播恶意软件其实并不少见,此类攻击通常依靠社会工程学(对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段)来欺骗受害者,诱使其启用文档中嵌入的VBA宏。  

然而,研究人员最近发现,一种全新的攻击手段开始以恶意PPT文件为载体,通过鼠标悬停事件执行PowerShell代码。这些名为“order.ppsx”或“invoice.ppsx”的文件通过垃圾邮件进行分发,其主题多为“采购订单#130527”或“待确认事项”等,伪装成商务邮件进行攻击。  

安全专家RubenDanielDodge进行的分析显示,当恶意PPT被打开时,它将显示为一个可以点击的超链接,文本是“正在加载……请等待”。  

图1.png

有趣的部分来了。这种新型攻击方式的可怕之处是,只要用户将鼠标悬停在恶意链接上,即使你并没有点击,也会触发执行PowerShell代码。一般来说,大多数版本的Office都会默认启用安全防护功能,通知用户一些常见的风险,提示用户启用或禁用某些内容,但此类保护对悬停攻击却成效甚微。另外,这种攻击也不需要用户启用宏来执行代码,而是使用外部程序功能。  

如果受害者中招,PowerShell代码将被执行并连接到网站“cccn.nl”。接下来就是常规套路了,随后会从该域名下载文件并执行,最终部署恶意程序downloader。  

图2.png

Dodge This Security博客在针对该恶意程序的分析中提到,首张PPT Slide1的“rID2”元素定义中可见其PowerShell命令,如上图所示。而下面这张图中标注的红色部分,就是悬停动作的具体定义了。  

图3.png

RubenDanielDodge已经在文中公布了其IoC。很不幸的是,他们发现这种攻击方式在此之前就已经有人在用了——被用来传播一种网银木马的变种,没错,就是大名鼎鼎的“Zusy”、“Tinba”或被称为“TinyBanker”。  

关于PPT投递恶意软件为何会有这么多人中招,Sentinel One是这样分析的:  

用户仍然习惯于允许外部程序运行,因为他们总是既懒又忙,要不就是屏蔽了宏就以为高枕无忧了。而且,一些配置可能在外部程序中执行起来比用宏更方便。

当然,这种攻击也并非无往不利。有安全公司指出,如果使用Power Point Viewer打开恶意PPT文件即可使攻击失效。另外,大多数版本的Office在执行代码之前都会警告用户,虽然效果有限,但在某些情况下也可以挽回部分损失。  

*参考来源:securityweeksecurityaffairs,FB小编Akane编译,转载请注明来自FreeBuf.COM

企业简介

1.png   

河北龙瀚集团,成立于2012年,座落在美丽的历史文化名城——邯郸。集团公司注册资金1亿元,集团主营项目涵盖软件系统整体设计开发、网络信息安全、大数据开发与应用、行业媒体平台等多个业务板块。公司办公总占地面积2000余平米,现有员工120余人,是一支技术精良、勇于进取的专业化队伍。公司立足互联网信息领域,凭借先进的技术理念,科学的管理方式,过硬的产品质量,合理的价格体系,为金融、医疗、各企事业单位和政府部门等提供网站整体设计开发、信息安全服务、网站安全监测、技术培训与技术服务。  

多年来我公司合作项目达近千家,并深受国内外合作企业好评。曾多次荣获“中国诚信创业示范企业”等称号。现因业务拓展面向全社会公开招募人才:  

招聘岗位  

2.png

3.png

4.png

一、安全技术总监  

任职要求:  

1、3年以上网络安全或大型渗透测试项目工作经验;  

2、熟悉常见的渗透测试流程和方法,如:信息收集、漏洞扫描、漏洞验证、权限提升…  

3、能够熟练书写网站渗透测试及漏扫测试报告,熟练使用各种安全扫描,渗透工具。例如:AWVS、Nmap、SqlMap、BurpSuite、AppScan、WireShark….等。  

4、熟悉网络协议,熟悉网络安全攻防技术,了解信息安全管理规定和相关标准;  

5、熟悉Windows、Linux等主流操作系统管理和安全管理,具备安全事件处理和分析能力;  

6、熟悉防火墙、IDS、IPS、漏洞扫描、渗透测试的原理及操作;  

7、熟悉ASP/PHP/JavaScript/Java/Python(熟练其中一种即可)等脚本语法,且具有一定的代码审计能力.  

以下条件者优先:  

1.有WEB漏洞分析及挖掘能力,了解常见CMS、中间件、框架的漏洞;  

2.安全行业工作经验。  

3.在著名信息安全网站发表过安全漏洞或技术文献者。  

参考薪资:25k——35k  

二、高级安全工程师(级别不限)  

任职要求:  

1、熟悉常见Windows&linux、Web应用和数据库各种攻击手段。  

2、熟悉常见Web高危漏洞(SQL注入、XSS、CSRF等)原理及实践,在各漏洞提交平台实际提交过高风险漏洞优先;  

3、熟悉网络安全测试方法、测试用例、漏洞判定准则;  

4、有实际渗透测试经验,熟悉渗透测试各种提权方法;  

5、具有良好的报告撰写、团队沟通能力和合作精神;  

6、遵守法纪,无未授权的入侵破坏行为、无窃取数据行为、无参与黑色产业链经历;  

7、此岗位同时欢迎应届生、实习生投递;  

参考薪资:10k到20k  

我们的福利  

1、八小时工作制,双休,法定节假日带薪休息;  

2、按当地政策缴纳五险一金;  

3、年节福利发放,年底2-6个月奖金;  

4、公司提供住宿(职工公寓),餐补,加班补助、差补及话补等多项补助;  

5、每年至少组织公司旅游一次或部门活动一次;  

6、定期组织员工体检。  

5.png

6.png

7.png

联系我们  

以上岗位工作地点:邯郸和北京  

简历投递邮箱:[email protected]  

人事部电话:0310-5102553 15373466436

昨天(6月1日)的菜鸟顺丰互怼大戏,双方各执一词,但都声称自己是为了信息安全和用户隐私,好一出互联网罗生门~!既然双方都拿信息安全说事儿,就让我们来回顾一下安全法的立法历程。2009年出台的《刑法修正案(七)》已经对恶意泄露公民个人信息行为进行了定罪量刑,并于2015年的《刑法修正案(九)》进行了补充与完善。昨起正式实施的《网络安全法》,刚好给尚不构成犯罪的行为做出了较为完备的定义,也弥补了行政处罚方面的空白。刑法以及新的司法解释,共同构建了更为稳固的公民信息保护体系。

明明是《网络安全法》开始实施的好日子,菜鸟顺丰却在这天玩命互怼,这两家到底在嗨个啥?

头图.jpg

事件回顾:

一、菜鸟的说法:

昨天下午,阿里旗下的菜鸟网络通过微博发布声明《菜鸟关于顺丰暂停物流数据接口的声明》,瞬间激起吃瓜群众的围观热情。

1.jpg

声明中称,5月31日晚上6点,接到顺丰发来的数据接口暂停告知。6月1日凌晨,顺丰又关闭了自提柜的数据信息回传。6月1日中午,顺丰又进一步关闭了整个淘宝平台物流信息的回传。

如果两家之前还算是明争暗斗,现在则是把矛盾彻底公开了。你想一家独大,我就敢揭竿而起。

不过,菜鸟称事件性质绝非封杀,而是顺丰单方面的关闭数据接口,并且在声明中多次提到“信息安全”

1、我们长期以来和所有物流合作伙伴合作的都很好,共同促进信息安全消费者隐私保护

2、但顺丰、丰巢因为各种原因推脱,令人难以理解。任何事情都可以谈,但信息安全不能有任何折扣,这一点菜鸟不会有任何让步。

3、菜鸟是整个物流行业的合作伙伴而绝非竞争者,确保信息安全、提升效率、迎接每天10亿包裹是我们共同的目标。

最后,菜鸟建议用户停用顺丰。

二、顺丰回应:

随后,顺丰集团迅速发声回应。

2.jpg

顺丰在回应中称,菜鸟于5月基于自身商业利益出发,要求丰巢提供与其无关的客户隐私数据,此类信息隶属于客户,丰巢本着“客户第一”的原则,拒绝这一不合理要求。其中还提到菜鸟封杀顺丰的根本原因,是希望顺丰放弃使用腾讯云改用阿里云。

根据《网络安全法》总则第九条和第十条,网络运营者需履行网络安全保护义务,并防范网络违法犯罪活动,维护网络数据的完整性、保密性和可用性。小编个人认为,如顺丰回应的内容属实的话,其做法明显是无可指摘的。

3.png

菜鸟随后单方面于6月1日0点切断丰巢信息接口。

当日(6月1日)18点左右,顺丰进一步表示,“将继续捍卫自身核心竞争力,希望所有快递行业同仁警惕菜鸟无底线染指快递公司核心数据行为。”并称菜鸟在6月1日下线丰巢接口信息后,阿里系平台已全面下线顺丰物流服务选项,这就是赤裸裸的封杀行为。

此前,顺丰已经多次表现出跟菜鸟的距离感,并且作为中国快递业的龙头老大,它也在菜鸟网络之外组建自己的联盟来对抗菜鸟。2015年4月,顺丰联手申通、中通和韵达共同投资5亿元成立丰巢科技,而这次停止对菜鸟开放物流数据接口的,除了顺丰,还有丰巢。

其实早在2016年7月,刘强东在央视《对话》节目中就曾直言,菜鸟物流就是在为几家物流公司搭建系统,说得好听是提升这几家快递公司效率;说得难听点,最后你等着瞧,这几家公司的大部分利润都是被菜鸟物流给吸走,没想到如今一语成谶。

图7.jpeg

事件影响和反思:

这种级别的掐架也引起了有关部门的高度重视。国家邮政局昨日(6月1日)发布《关于近期快递服务消费的提示》,喊话两家企业,“决不能让企业间的纠纷产生严重的社会影响。”

图6.png

其实,这事儿最受伤的还是普通用户自己。部分商家和消费者的信息混乱,可能会造成商家和消费者的重大损失。小编也看到一张真实性未知的截图,大家自行体会。

图3.jpg

另外,不甘寂寞的腾讯也跳了出来,发布微博称腾讯云赞同“开放的云计算”理念,全力保障数据安全,更保障客户业务安全。腾讯云助力顺丰布局云端,无论多么重视顺丰的数据与业务安全都不为过。

4.png

回到正题,我们不难发现,菜鸟顺丰决裂显然有着大集团战略方向层面的深层原因,但双方都声称自己才是客户隐私数据和信息安全的保护者。小编不禁担忧,《网络安全法》是否会被部分企业拿鸡毛当令箭,成为自身商业利益及决策的合理依据甚至挡箭牌?

图5.jpg

总结:

事件已经发酵了一天,说白了就是马云想靠菜鸟一统物流江湖,而王卫则不愿做小弟揭竿起义。只是刚巧这场互怼大戏,把新生的《网络安全法》撞了个满怀。

诚然,《网络安全法》还不够完善,路透社先前发表的评论文章中也援引了美国商会主席James Zimmerman的言论,他认为中国新出台的《网络安全法》“模糊,暧昧,监管机构完全可以对其进行各种解读”。在这起互怼闹剧中,法条中多次提到的“信息安全”也有被过度引用之嫌。

虽然这部基础性、“大纲性”的法律“仍需完善”,但至少中国朝着网络安全进行了重要的一步迈进。中国日报也在评论文章中提到《网络安全法》带来的第一个好处就是个人信息不再“裸奔”了。

至于这次大戏的主角,希望双方都不要只说空话,而是真真切切地以用户为上,绷紧信息安全这根弦。至于到底孰是孰非,小编不想做过多的解读,不过相信群众的眼睛是雪亮的,各位看官应该也在自己的心目中有了答案。

* FreeBuf官方报道,本文作者:Akane,未经许可禁止转载