阿里聚安全一周一讯第34期出炉,本周数据泄露事件频发,雅虎、京东都发生了大规模数据泄露事件。为了避免此类事情再次发生、危害更多用户,聚安全给企业及普通用户一些建议,希望能帮助到大家。
1、建立自己的安全团队,主动发现并及时修复系统存在的漏洞。或者借助第三方漏洞平台征集企业自身无法发现的漏洞。
2、建立完善的权限制度,即使是内部员工也无法随意接触敏感数据。
3、对于用户的敏感数据应当使用非常规的加密方式,并对内容进行分段存储,避免把鸡蛋放在一个篮子里。
4、关键流量、日志行为应当留存半年以上,确保发生安全事件后具有分析溯源的依据和能力,并设置可以及时有效发现黑客攻击、拖库、撞库、数据泄密等事件的感知规则、能力。
个人用户:
1、提高自己的安全意识,并提升密码强度,避免使用通用密码。
2、避免点击钓鱼邮件,不要在非官网网站内输入账号密码及个人信息。
3、不要随意蹭陌生WIFI
以下是本周最新的安全资讯热点、技术干货和安全工具,一起来看详细的内容。
一、安全资讯
雅虎再次曝出数据泄露事件:涉10亿账户,有史以来最严重
雅虎再次曝出10亿账户数据泄露事件,此次被盗事件较该公司今年9月公布的2014年的那起事件的规模翻了一番。雅虎认为是政府控制的黑客主导了此次攻击,并且黑客已经接触到雅虎的专有代码,学会了如何通过伪造cookie的方式,在无需输入密码的情况下进入用户帐号。
此次被盗的信息可能包含姓名、电子邮件地址、电话号码、出生年月、散列密码,甚至加密或未加密的安全问题及答案。
京东千万条账户数据泄露,系2013年的漏洞所致
本周有媒体报道,12GB京东账户数据在暗网流通,数据多达数千万条。据说本次泄露的账户数据包括了用户名、密码、邮箱地址、QQ号、电话号码、身份证等消息。不过密码经过了MD5加密。一些地下渠道,开始对数据进行明码标价,价格从10万到70万不等。
京东已经正式给出回应,确认这部分数据泄露是缘于2013年的Struts 2安全漏洞,并表示京东很早就已经修复了此漏洞,而且当时已经提示存在风险的账户进行安全升级。
国外网络犯罪分子购买“裤子”的9大途径
根据身份保护和欺诈检测提供商CSID公司的安全团队所言,网络犯罪资源分为不同等级,并不是所有的都如此隐秘,保护得当。较为容易访问的论坛数量和质量还是非常可观的,任何人都能够进行访问,这些资源包括盗取的信用卡数据、网络攻击工具甚至一些先进的恶意软件等。
最为关键的是,访问这些资源并没有很高的技术要求。本文为大家总结一些热门网站,大家可以在此访问隐私数据、凭证以及购买攻击工具,甚至有些工具还可以免费下载。
多款廉价Android手机再曝固件后门,联想手机也在其列
来自俄罗斯杀软厂商Dr.Web(大蜘蛛)的研究人员发现了暗藏漏洞的现象。某些廉价的Android智能手机和平板中内置了恶意的固件,这些固件会从手机上收集数据,在软件上覆盖广告,还能下载一些无用的软件APK。
研究员调查了俄罗斯市场中销售的MTK平台手机,发现了固件中存在的两种downloader木马。这两个木马被命名为Android.DownLoader.473.origin和Android.Sprovider.7。他们能够收集手机数据、连接C&C服务器、自动更新、根据指令静默下载安装其他应用、并且能在手机开机时自动运行。目前联想A319和A6000也在此次影响手机型号列表
Netgear多个型号路由器曝远程任意命令注入漏洞
你在用Netgear网件的路由器吗?最近需要格外小心了。CERT/CC(美国计算机紧急事件响应小组协调中心)发现 R6250/R6400/R6700/R6900/R7000/R7100LG/R7300/R7900/R8000/D6220/D7000 等型号的路由器出现高危漏洞。
采用以上版本固件的相应路由器存在任意命令注入漏洞。被攻击者点击恶意构造的网站后,远程未授权攻击者就能以Root权限执行任意命令;局域网内的攻击者则可通过直接发出请求达成类似攻击效果。网件官方表示正在在进行固件升级,目前已有beat版的固件更新放出,用户通过升级固件可以解决此问题。
二、技术分享
Android
Android 渗透测试学习手册
Android 是当今最流行的智能手机操作系统之一。随着人气的增加,它存在很多安全风险,这些风险不可避免地被引入到应用程序中,使得用户本身受到威胁。本文一共9章,以方法论和循序渐进的方式来讨论 Android 应用程序安全性和渗透测试的各个方面,值得一读。
CVE-2016-6771:Android语音信箱伪造漏洞分析
谷歌近期对外公布了12月份的安全公告,其中包含金刚(KingKong)团队提交的语音信箱伪造漏洞(CVE-2016-6771),该漏洞可导致恶意应用进行伪造语音信箱攻击。目前谷歌已经发布补丁,本文将对该漏洞进行分析。
安全报告
2016中国市场手机系统安全检测报告本次报告基于360手机卫士的用户,统计了22万Android手机的漏洞情况。该报告通过分析中国大陆地区用户Android系统手机存在的漏洞情况,以此进行Android系统漏洞的研究,进而为用户的手机安全提供更加有效的服务与保障。
http://bobao.360.cn/news/detail/3830.html
2016卡巴斯基安全公告年度故事——勒索革命在2016年,勒索软件继续在全球范围内猖獗,收紧对数据、设备、个人和商业的控制。出现了62种新的勒索软件家族。勒索软件变种增长了11倍。从1到3月份的2900个,增长到7到9月份的32091个。对商业的攻击从一月到九月底增长了3倍:每2分钟有一次攻击,变成了每40秒有一次。对个人攻击的增幅从每20秒到每10秒。在支付了勒索赎金的小型和中型企业中,有五分之一没有取回他们的数据。
攻防
探秘身份认证利器——声纹识别!声纹是指人类语音中携带言语信息的声波频谱,它同指纹一样,具备独特的生物学特征,具有身份识别的作用,不仅具有特定性,而且具有相对的稳定性。本文介绍了声纹识别系统的工作原理和算法模型。作为本届挑战赛最大亮点之一的项目——声纹身份验证攻防,期待你的挑战!
Chrome出了个小bug:论如何在Chrome下劫持原生只读对象
众所周知,虽然JavaScript是个很灵活的语言,浏览器里很多原生的方法都可以随意覆盖或者重写,比如alert。但是为了保证网页的安全性和网页制作者的一定控制权,有些浏览器对象是无法更改的,比如“window.location”对象,或者对它们的更改是无效的,比如”window.navigator”对象。然而,最近我发现Chrome出现了一个小“bug”,在Chrome 50+ 版本中,通过一些技巧可以轻易地重写这些对象,从而让恶意代码可以控制网页编写者的跳转行为。
一种被动的Tor网络去匿名化方法
目前针对Tor的攻击检测方法都是采用主动攻击,本文将介绍一种被动攻击的去匿名化方法。
三、安全工具
iOSSecAudit一个iOS APP安全审计工具,用于辅助人工审计,这个工具不是漏洞扫描器,旨在简化或替代安全审计中的各种繁琐操作,将所有的工作合并在一个shell中进行,免去来回切换shell的过程。
http://www.freebuf.com/sectool/122512.html
webshell.pub在线查杀webshell工具
FileBuster
一个功能强大奇快无比的web漏洞检查工具
https://github.com/henshin/filebuster
四、安全活动
阿里聚安全攻防挑战赛“阿里聚安全攻防挑战赛” 已成功举办过两届,并逐渐成为安全行业经典赛事品牌,本届更是推出史上最强权威导师助阵,是业界不可错过的年度盛事!挑战赛主要让参赛选手真实的挑战阿里巴巴移动安全和业务安全的防御。本次挑战赛奖励丰厚,总奖金累计20万,还有定制礼品等你来拿!
现面向全社会开放,高等院校、科研单位、互联网企业等人员均可报名参赛。参赛队伍可以是单人组队,或者自由组合,但是最多不超过三人。
本次大赛分为:
预热赛12月21日20:00—12月24日20:00
正式赛12月28日20:00—12月31日20:00
每场比赛五道题,分别为逆向攻防、root攻防、声纹认证、用户态攻防四个方向。
赛事官网:https://tianchi.shuju.aliyun.com/mini/aliJuActivity.htm
