安全架构师站在网络安全角度看智能汽车的安全问题

前言:先对广东潮州发生的2死多伤智能汽车失控事故致以默哀10分钟。为啥写这篇文章,是因为看了很多网络评论的分析,都仅仅停留在刹车是否踩下等的初浅问题的讨论上。作为某“大型”南极动物的工厂出来的前“某天网”安全架构师和项目主导人,我觉得有必要通过在网络安全角度,深入分析一下导致事故的各种因素,从而得出有利于对公众安全、长期认真真正负责任的分析。

网络产品安全漏洞收集平台备案管理办法

据工信部网站,工信部现已发布了关于印发《网络产品安全漏洞收集平台备案管理办法》的通知。漏洞收集平台应在上线前完成备案,已上线运行的漏洞收集平台应在《办法》施行之日起10个工作日内进行备案。《办法》自2023年1月1日起施行。

澳门称健康码遭来自欧美地区300多万次攻击

《澳门日报》15日称,去年5月初澳门健康码连续两天遭受境外网络攻击,导致部分人无法转换粤康码,珠澳出入境大受影响,关口一度人流拥挤。9月14日,修改《维护国家安全法》最后一场业界咨询举行。保安司司长黄少泽特别谈及去年5月这起事件,他说,经调查发现这是来自欧美地区的持续性攻击,多达300多万次。特区政府认为这并非普通的网络攻击,明显是想影响澳门的整体社会运作。

多家银行关闭ATM二维码存款功能

日前,广发银行发布公告称,9月3日起停止ATM二维码存款功能。8月以来,除广发银行外,建设银行、中国银行也发布了类似公告,招商银行部分分支机构也关闭了相关功能。业内人士认为,此项功能调整主要是为了落实监管要求,保护客户的资金安全。

外交部:美国长期监听中国手机用户

中国外交部发言人毛宁在9月5日例行记者会上表示:美方长期对中国的手机用户进行无差别语音监听,非法窃取手机用户的短信内容,并对其进行无线定位。美方行径严重危害中国国家安全和公民个人信息安全。中方强烈谴责,要求美方作出解释并立即停止不法行为。

Cloudflare阻击最大的HTTPS DDoS攻击

Cloudflare透露,它发现并成功阻击了有记录以来最大的HTTPS DDoS攻击,本次攻击峰值每秒发出2600万个请求,而目标仅仅是Cloudflare的一个免费套餐计划的客户。在宣布这一消息的两个月前,Cloudflare称它阻止了针对其另一客户的另一场大型HTTPS DDoS攻击。

DMARC协议设置指南

据统计,全球范围内被投递的钓鱼邮件每天约达到1亿封,无孔不入的钓鱼邮件、诈骗邮件,威胁着用户的信息和财产安全。原始的SMTP没有要求验证发件人的合法性,各路坏人利用了此纰漏制造出来大量钓鱼邮件和诈骗邮件等涉及到安全性的垃圾邮件,这类垃圾邮件的最大企图就是从收件人手动诱骗到一些有价值的信息(个人密码,银行卡密码,信用卡资料等等), 如果不明真相的群众不知道这是一封钓鱼邮件,则非常容易上当受骗。

Cloudflare防火墙规则设置教程

Cloudflare是一家提供网站安全管理、性能优化等相关技术的跨国科技企业,Cloudflare可以帮助受保护站点抵御包括分布式拒绝服务攻击(DDoS, Distributed Denial of Service)在内的大多数网络攻击,确保该网站长期在线,阻止网络攻击、垃圾邮件等,同时提升网站的性能、访问速度以改善访客体验。

使用Cloudflare免费防御DDOS

据Cloudflare官方账号表示,Cloudflare在包含免费计划的所有服务计划中提供的DDoS防御服务均不计容量且不设上限。Cloudflare的全球网络现已遍及90多个国家/地区,拥有37Tbps的网络容量,并在全球200个城市部署数据中心。Cloudflare的每一个数据中心均启用了完整的DDoS缓解功能。

如何去除看不到的水印

据媒体报道,因涉及讨论内部事务要求匿名的知情人士透露,阿里巴巴上周对内宣布,针对周姓员工在内网发帖控诉遭前公司经理侵犯的文章被对外公开之事,公司已将泄露这篇文章的员工开除。之前,阿里巴巴一名女员工的自述文字前晚在社交网络流传。该员工称,7月27日,她被上司逼着在台风天到济南出差,期间在与商家的饭局上,被恶意灌酒并遭到客户猥亵。

美国追回黑客的比特币赎金

美国成功追回了美国最大成品油管道运营商科洛尼尔管道运输公司(Colonial Pipeline)付给黑客组织的“DarkSide”的部分赎金。

美国宣布针对中国的“净网”措施

据美国国务院网站显示,美国国务院网站发布了针对中国的净网行动,要求从电信运营商、应用商店、移动应用、云服务和海底光缆五个方面禁止中国。包括:禁止中国运营商接入,禁止中国应用上架应用商店,禁止手机预装中国APP,禁止使用中国云服务,防止美国海底光缆被中国破坏。

谷歌身份验证器更换手机的方法

在国内很多互联网应用,都是用手机来作为安全验证码,这样确实增加了安全性,不过在国外使用谷歌验证就是多了,有点像国内的短信验证一样,起到双重安全的作用。相比短信来说,谷歌身份验证器 (Google Authenticator)在无网络的情况下也可以使用。当用户登陆时除了输入账户和密码外还需要谷歌身份验证器里的一次性6位验证码,这就是两步验证功能,用法和银行用的动态令牌差不多。

微软Github疑被中间人攻击

今天,有很多中国网民反馈,从中国的IP访问知名代码托管平台微软Github.com、Github.io、Github Pages等网站会加载一个无效的证书,使用国外的IP访问则加载正常的证书,疑似该域名遭到了中间人攻击。

手机在:钱没了 专家建议:晚上关机

有网友反应自己手机突然从4G变成2G,随后接到来自银行、第三方支付和移动公司的各类短信验证码,之后相关账户的余额丢失。经过安全专家鉴定,这些事件是不法分子对用户网络动了手脚,使用“短信嗅探技术”,获取手机内容,从而进行钱财窃取。专家建议可以睡觉前关机或者通过只开通Wifi来避免被攻击。

警惕翻墙诈骗短信

有网友在推特称,收到疑似湖北省公安厅发送的短信,称检测到用户正在使用“翻墙”软件,该行为已经违法了“中华人民共和国网络安全法”,请立即停止使用,或前往就近的公安机关进行合法性登记。如果无视劝告,公安机关将采取强制措施。

Cloudflare大规模网络故障

7月2日晚,提供CDN服务、DNS等服务的知名网站Cloudflare在全球许多地区出现网络错误,使用Cloudflare服务网站的有可能出现“502网关错误”(502 Bad Gateway)等情况,受互联网基础设施服务提供商Cloudflare故障影响,有许多网站遭遇了宕机,访问时提示502网关错误。

优衣库网站46万顾客信息泄露

2019年5月13日,优衣库母公司日本迅销(Fast Retailing)发布公告称,4月23日至5月10日期间,其日本在线购物网站遭到黑客攻击,黑客在“未经授权”的情况下进行了46.11万次登录,这意味着超过46万名顾客的信息可能遭到了泄露。

日本13岁女学生发弹窗代码被警方抓捕

日本刈谷市警方指控一名13岁的女学生,起因是她将一段Javascript无限弹窗代码放到了bbs上,为了抗议日本警察采取的行动和将此行为定为犯罪的荒谬做法,东京开发人员Kimikazu Kato在GitHub上发布了一个名为Let's Get Arrested(来逮捕我们)的项目,提供了多国语言的翻译版本。目前该项目已经收到1775个星。

深圳面部识别公司被曝泄露250万信息

2月14日,美国新闻网站CNET发文称提供面部识别技术的深圳公司SenseNets(深网视界)“未能使用密码保护数据库”,导致超过250万人的面部识别信息,以及相关的身份证、地址等隐私信息遭到泄露。自去年7月以来,该数据库一直对外开放,导致大规模的数据泄露。 CNET称,GDI基金会荷兰安全研究员Victor Gevers本周三发现深网视界数据库未采用密码保护,该数据库包含超过250万人的记录,包括身份证号码,地址,生日以及深网视界通过面部识别发现他们的位置。Gevers说,仅在过去的24小时内,深网视界就记录了超过680万个地点信息。

万豪旗下喜达屋酒店数据库遭入侵 5亿顾客信息泄露

11月30日消息,万豪国际酒店集团(Marriott International)今日宣布,旗下喜达屋酒店(Starwood Hotel)的一个顾客预订数据库被黑客入侵,可能有约5亿顾客的信息泄露。

联想软件劫持浏览器首页

最近发现,我使用的联想电脑的所有浏览器(Chrome、IE等),打开后都会自动打开指定的百度搜索联盟页面(带有指定参数的百度搜索首页,百度联盟用户通过这种方式可以获得收益),我感觉很奇怪,莫非电脑中了木马病毒?

手机被中国监听? 特朗普回应:假新闻

据路透社报道,《纽约时报》10月24日援引美国现任和前官员的话报道称,当特朗普总统使用不安全的手机与老朋友闲聊时,中国间谍经常窃听他,北京则利用它掌握的内容,试图左右美国的政策。特朗普本人对此报道予以了驳斥。他发表推特表示,自己只使用政府特许的手机,这是一篇假新闻。

华住旗下酒店5亿条用户信息泄漏 公司已报警

华住集团旗下酒店开房记录疑似泄露,涉及共计约5亿条公民个人信息,售卖者称数据已在8月14日脱库,此事一经披露随即引发公众关注。

两步验证和短信验证码安全对比

不知从何时开始,手机号成了注册各种账号的必要信息,短信验证码也成了各种敏感操作的验证方式。大家都知道只要不把验证码告诉别人,自己的账号安全就能得到保障。毕竟手机在自己手里,贼总不能来抢我的手机吧?但事实并非如此,短信验证码的安全隐患比想象中大的多,所以抛弃短信验证码势在必行。

美军防长的安全观:丢弃使用过的手机和电脑

据美国《华盛顿邮报》7月4日报道,日前,美防长马蒂斯率领代表团低调访华,在为期3天的访华行程中,美军代表团给人印象最深刻的,就是高度戒备的安保措。由于担心在访华期间“遭黑客窃密”,美代表团制定了十分严密的规章制度。在结束对中国的三天访问后,美国防长马蒂斯及其随行人员,以及10名记者把在中国用过的手机、电脑等电子设备全部丢弃。

铁路12306回应3000万条数据遭泄露

6月13日下午,网传“2016年至2018年3月的3000万条12306数据”被泄露,其中包括“手机号、密码、支付密码、姓名、身份证号码、答案”等内容,传言在暗网售价10个比特币。(目前一个比特币的价格超过4万元人民币)。中铁总方面回应称,经核查,该网站未发生用户信息泄漏,网传信息与铁路12306网站无关。

A站遭攻击导致千万用户数据泄露

今天凌晨,AcFun弹幕视频网(简称A站)发布公告,称AcFun受黑客攻击,近千万条用户数据外泄,其中包含用户ID、用户昵称、加密存储的密码等信息。

网站被DDOS攻击的防御方法

分布式拒绝服务攻击(DDOS)是目前常见的网络攻击方法,它的英文全称为Distributed Denial of Service?简单来说,很多DoS攻击源一起攻击某台服务器就形成了DDOS攻击,从而成倍地提高拒绝服务攻击的威力。通常,攻击者将攻击程序通过代理程序安装在网络上的各个“肉鸡”上,代理程序收到指令时就发动攻击。

销毁硬盘数据的方法

美国电视剧《越狱》里有一个情节,迈克尔·斯科菲尔德将包含数据资料的硬盘扔到河里,想用这种方法销毁硬盘数据,最后,丢到河中的硬盘最终却被警察找到并恢复了数据,有数据取证专家表示,如果硬盘只是泡了水,数据恢复工作其实并不难,最终硬盘的数据被恢复了大部分。

禁用WebRTC防止真实IP泄漏

一般用户在使用代理上网的时候,很多时候是不希望暴露自己的真实IP地址,但最近暴露出一个WebRTC一个特性,会暴露我们的真实IP,对于大多数浏览器例如ChromeFirefox等都存在这种问题。

俄罗斯科学家使用核武器超算“挖矿”被捕

核武器实验室的计算机通常应该用于模拟聚变反应等事情。然而据外媒CNET报道,俄罗斯联邦核子中心的科学家却被指控试图用超级计算机来进行加密货币交易而被捕。根据英国广播公司(BBC)周五的报道,俄罗斯联邦核心中心的科学家因“未经批准将电脑设备用于私人目的,包括进行所谓的‘挖矿’行为”而被捕。

2017年年度最烂密码排名出炉

据英国《每日邮报》12月20日报道,从雅虎发生数百万用户数据泄露到近期WannaCry和BadRabbit勒索软件攻击用户电脑,2017年已发生了多起重大网络安全事故。尽管安全研究人员发出了多次警告,但许多人仍然倾向于使用易被攻破的密码来保护设备。

南方周末网站被植入挖矿脚本

12月15日消息,有网友反映,南方周末的网站主页被挂了加密货币的挖矿脚本,访问时CPU会被占满。

12306网站终于支持SSL证书了

长久以来,用户在12306网站购买车票,都需要安装12306自己签发的根证书,这种不便给用户带来了很大的困扰,同时还带来了种种的安全隐患,现在,12306网站进行了更新,悄然支持了由DigiCert签发的SSL证书。

WiFi的WPA2协议爆出重大安全漏洞

据研究机构周一发表的研究报告,用于保护WiFi网络安全的保护机制WPA2安全协议存在重大安全漏洞,攻击者可能监听到WiFi接入点与电脑或移动设备之间传输的敏感数据,甚至也包括加密数据。

凯悦酒店遭黑客攻击住客信息再泄露

据《北京商报》报道,近日,全球11个国家的41家凯悦酒店支付系统被黑客入侵,大量数据外泄,包括住客支付卡姓名、卡号、到期日期和验证码。据报道,国内共有18家凯悦酒店受到影响,是这次事件中受影响最大、数量最多的国家。

手机数据安全发展历史

相信很多人小时候都有个锁着自己小秘密的抽屉,然而总有人会打着不小心找东西、帮你整理的旗号而窥探。久而久之,即便并不再有什么小秘密,但也仍然讨厌别人碰你的抽屉。

日本内阁遭遇五万封“中文神秘邮件”攻击

8月15日,日本朝日电视台播报了一则扑朔迷离的新闻,许多日本内阁成员和众议院议员都收到了一封内容仅为一行字的中文神秘邮件,连野田总务大臣的事务所里也收到了删都删不完的中文邮件,而且仅在一天之内,邮件数量竟超过了5万封。

FBI警告停止使用俄罗斯卡巴斯基软件

FBI警告私营部门停止使用俄罗斯安全公司卡巴斯基的安全软件,声称它对国家安全存在严重威胁,美国企业要尽可能快的从其系统中移除卡巴斯基。FBI优先警告了能源行业以及使用工业控制系统和SCADA系统的企业。彭博商业周刊此前称,卡巴基斯与俄罗斯情报机构有着比它声称的更密切的合作关系。

Google Chrome将不信任赛门铁克SSL证书

今年3月谷歌和火狐调查发现赛门铁克未经授权错误签发大量SSL证书的严重问题。7月28日谷歌正式宣布不再信任赛门铁克Symantec旗下所有SSL证书GeoTrust、Thawte和Rapid SSL等子品牌也受到同样惩罚。赛门铁克已同意该提案外媒报道称其已经在考虑出售CA业务。

新一轮勒索病毒席卷欧洲

6月27日,一种类似于“WannaCry”的新勒索病毒席卷了欧洲,导致俄罗斯石油公司(RosneftPJSC)和丹麦A.P.穆勒-马士基有限公司等在内的多家大型企业被攻击,而且乌克兰的政府系统也遭到了该病毒的袭击。这种病毒代号为“Petya”。