记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

新能源行业面临安全危机

对可再生新能源企业的网络攻击正变得越来越普遍。由国家资助的黑客组织,例如Hexane或DragonFly,经常将新能源企业作为目标,展开破坏行动并窃取知识产权,而犯罪组织则试图通过勒索软件攻击勒索金钱,例如最近袭击葡萄牙Energias de Portugal(EDP)的勒索软件。太阳能等可再生能源仅占能源行业的一小部分,但面临和遗留的网络安全问题却非常“庞大”。“过去,我不认为建造太阳能发电厂的开发商确实没有意识到安全问题,”可再生资产管理公司WiseEnergy的CIO/CISO Rafael Narezzi说,该公司管理的太阳能资产总计约为1.2计划在两年内达到4吉瓦。但他们的重点是开发和建设资产,而不是经营资产需要管理的风险。他们对(将资产连接到互联网)方面的安全网络卫生问题缺乏足够的关注。Narezz
发布时间:2020-07-14 17:53 | 阅读:13 | 评论:0 | 标签:牛闻牛评 首页动态 新能源行业 网络安全

150亿用户账户信息在暗网上被抢购一空

根据数字阴影(Digital Shadows)的研究,超过150亿个被盗账户凭据在网络犯罪论坛上被抢购一空,其中50亿个账户信息属于“首次上架”,此前没有被出售过。Digital Shadows在网络犯罪市场(尤其是暗网)发现的用户名和密码来自超过10万个单独的数据泄露源,包括财务账户和流媒体服务的访问凭据,甚至包括可访问组织关键系统的管理员账户。研究人员花了一年半时间分析犯罪分子利用窃取的账户信息的策略,发现自2018年以来,盗用凭据数量增加了300%。暗网泄露账户信息分类占比 数据来源:Digital Shadows大多数被盗的登录信息属于消费者,虽然许多信息通常是免费的,但那些在售的付费登录信息每个账户平均要价约为15美元。根据账户类型的不同,价格可能会上升或下降。其中金融和银行账户价格最高,为70美元。
发布时间:2020-07-13 14:28 | 阅读:1617 | 评论:0 | 标签:牛闻牛评 首页动态 数据泄露 暗网 用户信息

新冠疫情引发十大网络安全变革

过去几个月,安全行业讨论最多的话题就是新冠疫情将如何深刻改变网络安全行业。近日首席信息安全官Jon Oltsik分享了他与多位CISO讨论后的结论,认为新冠疫情将引发网络安全行业一系列重大变革,安全牛整理如下:1、居家办公将成为新常态根据ESG研究,有79%的IT高管表示,在新冠病毒大流行消退之后,他们的组织将采取更加灵活的远程办公政策。此外,在家办公模式似乎运转良好:78%的知识工作者报告说在家工作更具生产力或生产力没有变化。在提高生产率和节省房租方面,在家办公是赢家,并且正在推动安全投资和优先事项等诸多变化。2、残余的安全边界将彻底消失当我20年前进入安全领域时,一群金融服务公司成立了一个名为Jericho论坛的组织,该组织提出了取消安全边界的概念。尽管大多数安全专家都同意这一想法,但扩展安全性仍然是一个挑
发布时间:2020-07-13 14:28 | 阅读:1147 | 评论:0 | 标签:牛闻牛评 首页动态 在线办公 新冠疫情 网络安全变革

山寨版TikTok“风靡”印度

作为印度最流行的社交应用之一,TikTok的“突然死亡”给广大印度用户带来极大不便,Youtube等社交媒体上传播的民间各种破解、穿越方法可谓八仙过海,琳琅满目,这也给恶意软件带来可趁之机。据印度当地媒体《今日印度》报道,近日印度警方警告市民不要下载假冒TikTok应用程序,该恶意软件名为“TikTok Pro”,伪装成被印度政府禁止的TikTok视频共享平台的“专业高级版本”。马哈拉施特拉邦网络警察在Twitter上说,社交媒体上疯传的“TikTok Pro”应用程序被点击后会下载恶意文件。据当地媒体报道,类似的欺诈消息也正在WhatsApp上快速传播。此前,印度政府出于含糊的国家安全考虑,禁止印度用户使用广受年轻人欢迎的视频共享应用TikTok。印度警方警告说,恶意软件“TikTok Pro”宣传其自身是社
发布时间:2020-07-10 17:56 | 阅读:1832 | 评论:0 | 标签:牛闻牛评 首页动态 印度 山寨版TikTok

2020年二季度Web安全工具TOP5

本文汇总了2020年第二季度全球发布的最新Web安全工具。由于新冠疫情肆虐,2020年的DEF CON黑客大会已经转移到线上,但是网络安全爱好者有望在8月初线上会议期间看到大量新的黑客工具。在此之前,长达数月的社交隔离和居家办公后,宅在家中的各路网络安全高手已经憋出不少大招,迫不及待发布了大量高级黑客工具。以下是2020年第二季度值得关注的五款最新Web安全工具:ParamSpider:URL参数暴露审核工具首先值得关注的是ParamSpider,这是一种全新的工具,可帮助网站和应用程序发现暴露的URL参数。ParamSpider是由印度安全研究人员Devansh Batham开发的开放源代码工具,可自动执行URL地址中参数的收集过程,这是对网站和应用程序进行漏洞探测的关键一步。然后,安全研究人员可以将从该工具
发布时间:2020-07-10 17:56 | 阅读:2081 | 评论:0 | 标签:牛闻牛评 首页动态 2020年 Brim InQL ParamSpider Web安全工具

2020年十大漏洞赏金项目

近日,Hackone公布了2020年十大漏洞赏金项目TOP10榜单,该列表基于HackerOne项目目录中的公共信息,排名依据每家企业在2020年4月(包括之前)向黑客支付的累计赏金总额。榜单排名具体如下(红色字体为单项最高或最低数值):第一名:Verizon Media行业:数字媒体总支付赏金:940.8万美元最高赏金:7万美元答谢黑客:1315名解决报告问题:5928个初次响应时间:8小时奖金支付平均账期:13天 第二名:Paypal行业:互联网金融、支付总支付赏金:279万美元最高赏金:3万美元答谢黑客:371名解决报告问题:755个初次响应时间:4小时奖金支付平均账期:17天第三名:Uber行业:互联网、共享出行总支付赏金:241.5万美元最高赏金:5万美元答谢黑客:635名解决报告问题:14
发布时间:2020-07-09 23:40 | 阅读:2191 | 评论:0 | 标签:牛闻牛评 首页动态 2020年 漏洞赏金项目 漏洞

数以万计的MongoDB数据库面临攻击

据Intruder发布的调查数据,数以万计的暴露在互联网上的MongoDB数据库面临攻击。平均而言,暴露的Mongo数据库在连接到互联网后13个小时内就会遭到入侵,最快记录是在数据库建立后9分钟遭受攻击。MongoDB是一个通用的,基于文档的分布式数据库,是全球使用率最高的5个数据库之一。全球范围内的许多组织都使用MongoDB来存储和保护敏感的应用程序和客户数据。互联网上有80,000个公开的MongoDB服务,其中20,000个是不安全的。在那些不安全的数据库中,已经有15,000个被勒索软件感染。MongoDB攻击如何进行在看到MongoDB数据库接连不断发生入侵事件后,Intruder在数据库中植入了蜜罐,以监测这些攻击如何实施、威胁来自何处以及攻击事件发生的速度。Intruder在网络上许多不安全的M
发布时间:2020-07-09 19:06 | 阅读:2236 | 评论:0 | 标签:牛闻牛评 首页动态 Mongo数据库 黑客攻击 攻击

“黑帽黑客”或将消失

美国黑人抗议运动(BLM)对科技界的影响超出了大多数科技界人士的想象。不久的未来,如果黑帽和黑客这两个词消失了,你一点都不要感到奇怪。自从GitHub将“Master”、“Slave”从系统专业名词中除名后,BLM抗议运动对科技界的影响似乎已经超出了灰色幽默喜剧的范畴,科技界沿用了几十年的,大量与“黑”有关的科技名词也将面临“灭顶之灾”。近日,一位Google副总裁宣布退出即将举行的在线美国黑帽大会(Black Hat USA) ,以抗议“黑帽”这个名词,此举引发了网络安全行业关于使用潜在歧视性语言的激烈辩论。谷歌公司Android安全性和隐私性副总裁David Kleidermacher发表声明指出,首先感谢多年来黑帽大会的组织者,但他说,现在该改变了。谷歌副总裁所指的需要改变的术语名称,是指“黑帽”和“白帽
发布时间:2020-07-07 21:24 | 阅读:2257 | 评论:0 | 标签:牛闻牛评 首页动态 “打黑运动” “黑帽” 美国

“照片脱敏”:新照片隐私技术能击败人脸识别AI算法

一秒钟之内,人眼只能扫描几张照片而计算机却能执行数十亿次(人脸识别)计算。随着社交媒体的爆炸式增长,图像已成为互联网上的新社交货币。如今,Facebook和Instagram等主流社交媒体都在自动为照片中的用户添加标签,而Google Photos可以使用Google自己的图像识别技术识别照片中的用户并进行分组。因此,当今对个人数字隐私威胁最大的不是不怀好意的人,而是机器的大规模人脸识别和采集。保护照片中的敏感信息近日,新加坡国立大学(NUS)计算机学院院长Mohan Kankanhalli教授领导的,该学院计算机科学系的研究团队开发了一种技术,可以通过对照片进行人类肉眼几乎难以察觉的细微变化来保护照片中的敏感信息,使选定的特征无法被已知人工智能人脸识别算法检测到。此前,使用图片“加扰”技术造成的视觉失真会破坏
发布时间:2020-07-06 17:59 | 阅读:4504 | 评论:0 | 标签:牛闻牛评 首页动态 AI算法 照片脱敏 隐私保护 AI

主动安全的“核”动力:用户体验

在“新基建”的建设背景下,企业传统的生产体系、业务环境逐渐由封闭转向开放,其业务呈现出泛在移动、云化部署、弹性扩展等趋势。随着企业信息化需求不断升级、网络接入方式更加多元,以“被动防御”为主要特征的传统网络安全防护模式面临着巨大挑战,业界对主动性防御体系的期望不断增长。安全性和可用性就像是一个天平的两端,目前主动安全解决方案最常见的问题是误报率高、实施难度大、可管理性差,导致主动安全技术概念火热,但真正落地的项目寥寥。究竟什么是主动安全,如何在企业中落地,主动安全和现有的传统安全有什么不一样,现在的网络环境下怎么构建主动安全防护?带着以上问题,安全牛日前采访到新华三集团副总裁、安全产品线总裁、新华三信息安全技术有限公司总裁孙松儿,从技术、管理和应用等方面,对主动安全体系未来发展进行了探讨。孙松儿,20年网络安全
发布时间:2020-07-03 21:26 | 阅读:7558 | 评论:0 | 标签:牛闻牛评 首页动态 主动安全 新华三

地下网络黑市的新渠道:Telegram等IM通讯软件

通常来说,暗网中的地下网络黑市才是网络犯罪分子的主要交易场所,但是最近IntSight研究人员发现,网络犯罪分子越来越多地使用Telegram、Discord、Jabber、WhatsApp、IRC等IM平台来做广告和销售其非法商品和服务。尽管传统的网络犯罪交易渠道(例如论坛、黑市、信用卡商店等)的流量并没有太大变化,但P2P通信网络和聊天频道提供了诸如自动应答和聊天机器人之类的功能,对网络广告产品发布范围的限制较少,安全功能和数据加密更好,而且还支持通过去中心化消息协议创建专有网络。为什么网络罪犯喜欢IM平台?IntSights的CSO Etay Maor表示,犯罪分子迁移到这些IM平台与几年前针对AlphaBay和Hansa等网络黑市的执法行动有关。“Telegram中的网络犯罪活动正在经历最大的增长,在网
发布时间:2020-07-01 19:10 | 阅读:5366 | 评论:0 | 标签:牛闻牛评 首页动态 IM通讯软件 telegram 黑市

印度电子信息技术部宣布禁止59款中国APP

北京时间2020年6月29日晚,据《印度斯坦时报》、《今日印度》等印媒报道,印度电子信息技术部宣布,将禁止包括TikTok、微信、UC浏览器、美图、快手等在内的59款中国APP(访问印度政府电子信息技术部官方公告:https://pib.gov.in/PressReleseDetailm.aspx?PRID=1635206)。印度电子信息技术部也在第一时间转发了公告:被禁止的59个中国APP名单如下:图片来源:印度快报文中提到,这些应用从事的活动有损印度主权和完整、国防、国家安全和公共秩序。之后,这59款中国应用将被禁止在移动平台和非移动平台使用。该部进一步补充说,许多“来自各种来源”的投诉指出,其中一些应用在安卓和iOS系统上存在数据滥用情况,这些应用以未经授权的方式窃取用户数据秘密传输到印度境外的服务器。印
发布时间:2020-06-30 15:45 | 阅读:10052 | 评论:0 | 标签:牛闻牛评 首页动态 APP卸载 中国 印度 app

新冠疫情中网络安全人才市场五大趋势

在新冠疫情常态化的今天,IT人士的职场发展呈现两极分化,一些人比以往更加忙碌,另一些人则加入了失业大军,对于网络安全行业人士来说,新冠疫情不仅是对“工作安全”的一种新威胁,同时也是一次提升竞争力的良机,摆在面前的职业道路是“上坡路”还是“下坡路”,完全取决于你的学习能力和学习决策。那么,在新冠疫情阴影下的网络安全市场中,哪些安全技能更加热门?哪些类型的安全培训内容更受欢迎?如果新冠疫情持续数年,那么你现在就需要坐下来仔细思考这些问题,以下安全牛整理了在线安全培训平台Cybrary的最新统计结果,希望能对读者有参考意义:更加强调实操动手能力Cybrary首席执行官兼联合创始人Ryan Corey指出:“2020年我们看到很多网络安全人士正在为新的岗位未雨绸缪,越来越多的安全人士选择接受在线培训,是为了在安全市场范
发布时间:2020-06-30 15:45 | 阅读:3244 | 评论:0 | 标签:牛闻牛评 首页动态 中国 新冠疫情 网络安全人才市场

四大隐私增强技术点评

在今天这个高度数字化的社会,隐私数据面临空前的威胁,无论是个人社交媒体信息、医疗健康信息、财务信息、位置信息、生物特征信息、消费者画像信息等等都存在过度分享和滥用问题,且采集处理这些信息的企业或机构往往缺乏足够的隐私加密和保护能力。与此同时,随着全球对数据价值的认识与日俱增,数据隐私和安全已经成为企业业务运营的重要基石,重要性无论如何强调都不为过。如今,越来越多的消费者更加个人数据和隐私的安全问题,皮尤研究中心(Pew Research Center)去年进行的一项调查发现,有79%的成年人担心公司如何使用收集到的有关他们的数据, 52%的成年人表示他们因为担心个人信息被采集而选择不使用产品或服务。隐私增强技术PET企业不仅在直接面向消费者的2C市场,在B2B环境中也在寻求减轻隐私风险和担忧的方法,这刺激隐私增
发布时间:2020-06-29 12:20 | 阅读:3499 | 评论:0 | 标签:牛闻牛评 首页动态 点评 隐私增强

印度成为 “黑客大国”

渗透测试专家(白帽子黑客)、漏洞猎人和漏洞赏金的规模,是衡量一个国家网络安全人才储备和整体水平的一个重要指标。虽然第一个计算机病毒的“发明者”是巴基斯坦人,但从RSA2020和历年的黑帽大会上的演讲嘉宾国籍分布来看,欧美、东亚才是网络安全的先进市场。但是最新报告显示,印度的渗透测试人才和漏洞猎人正在急速崛起,已经超越了美国和巴基斯坦。印度逆袭近日,根据漏洞赏金平台Bugcrowd公布的最新报告“Inside of a Hacker 2020”,印度黑客人数和漏洞赏金总额(下图)在最近几个月中急剧增加,首次超过美国成为第一大国家。该报告分析3,493名受访者的调查数据以及2019年5月至2020年4月1,549个Bugcrowd漏洞披露程序的数据。调查发现,2020年已发放漏洞赏金项目总额比2019年增长了30%
发布时间:2020-06-24 18:07 | 阅读:8858 | 评论:0 | 标签:牛闻牛评 首页动态 印度 黑客技术

BlueLeaks文件泄露200个美国警察局数据

自称“透明团体”的激进组织Distributed Denial of Secrets(DDoSecrets)在上周末发布了一个296 GB的数据文件,他们声称这些数据是从美国执法机构和融合中心窃取的。这个被称为BlueLeaks的文件已由DDoSecrets发布到网站(https://ddosecrets.com/),并提供在线检索。根据BlueLeaks门户网站的说法,泄漏的数据包含超过一百万个文件,例如扫描的文档、视频、电子邮件、音频文件等。DDoSecrets声称泄漏的文件包含了来自美国200多个警察部门和执法融合中心(Fusion Centers)的,时间跨度超过10年的文件。根据DDoSecrets的说法,大多数文件是警察和FBI报告、安全公告、执法指南等。据推测,某些文件还包含敏感的个人信息,例如姓
发布时间:2020-06-23 14:42 | 阅读:6931 | 评论:0 | 标签:牛闻牛评 首页动态 BlueLeaks 文件泄露 美国警方数据 泄露

公告

九层之台,起于累土;黑客之术,始于阅读

推广

工具

标签云