记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

华尔街日报:TikTok违反谷歌政策秘密收集Android用户数据

近期,在海外市场处于风口浪尖的多家知名中国科技企业正受到各种格外严苛的应用安全评估、渗透测试和隐私保护审查,甚至连Zoom这样的华人创办的美国企业也不例外。近日《华尔街日报》的分析报告指出,TikTok在用户不知情的情况下从数百万Android设备收集唯一标识符,该做法因侵犯隐私此前已经被谷歌禁止。报告指出,TikTok隐瞒了这种做法,这种做法可以在未经用户同意的情况下在线跟踪用户,并增加了一层加密。报告称,总部位于北京的字节跳动公司旗下的TikTok在去年11月份停止了这种做法。TikTok收集的标识符称为MAC地址,这些地址具有设备唯一性,通常由设备制造商分配。
发布时间:2020-08-13 19:02 | 阅读:22208 | 评论:0 | 标签:牛闻牛评 首页动态 TikTok 谷歌 Android android

取代VPN?谷歌零信任方案实现产品化

近日,谷歌宣布完成其内部使用的远程安全访问零信任方案BeyondCorp的产品化,并在谷歌云服务上发布销售。众所周知,Google的BeyondCorp项目是最早的零信任方案之一,早在2011年,谷歌就开始在内部部署远程访问方案BeyondCorp,向员工提供内网应用的安全访问服务。谷歌举了一个零信任应用在谷歌的用例:外包人力资源招聘人员在家中使用自己的笔记本电脑工作时,可以使用我们基于Web的文档管理系统(除其他外),但前提是他们使用的是最新版本操作系统,并且正在使用诸如安全密钥之类的防网络钓鱼身份验证。
发布时间:2020-04-23 17:02 | 阅读:31800 | 评论:0 | 标签:行业动态 首页动态 BeyondCorp VPN 谷歌 零信任

谷歌发布新开源加密工具,敏感信息泄露的问题可能就此彻底解决!

前言据wired报道,谷歌将发布一个名为Private Join and Compute的开源加密工具。它有助于连接来自不同数据集的数字列,以计算在整个数学过程中加密和不可读数据的总和,计数或平均值。只有计算结果才能被所有各方解密和查看,这意味着你只能获得结果,而不能获得你未拥有的数据。该工具的加密原理可以追溯到20世纪70年代和90年代,但谷歌已经重新利用并更新它们,以便与当今功能更强大、更灵活的处理器配合使用。既可以分析数据,又不担心数据的泄漏,有这样的好事吗?这么多年来,个人隐私数据的事件不但发生,屡禁不止,就其根源,很大程度上是因为有人要利用这些大数据对用户的各种行为习惯进行分析。
发布时间:2019-06-22 12:25 | 阅读:93805 | 评论:0 | 标签:安全工具 谷歌 加密

从应用层到传输层 谷歌披露如何保护数据安全

谷歌基础设施中应用层服务到服务通信的防护方式,及其用于数据防护的系统,如今终于公开了。该技术名为应用层传输安全(ALTS),用于验证谷歌服务之间的通信,保证传输中数据的安全。数据发往谷歌时,是用安全通信协议防护的,如传输层安全(TLS)。该Web搜索巨头称,ALTS的研发始于2007年,当时TLS与其他不能满足该公司最低安全标准的支持协议捆绑在一起。因此,该公司认为,设计自己的安全解决方案,比修补已有系统更合适。因为比TLS更安全,谷歌将ALTS描述为“高度可靠的可信系统,可为内部远程过程调用(RPC)通信提供身份验证和安全”,确保该公司基础设施内的安全。
发布时间:2017-12-21 21:05 | 阅读:152504 | 评论:0 | 标签:技术产品 ALTS 数据安全 谷歌

微软终于抓住谷歌把柄 “负责任披露”Chorme远程代码执行漏洞

微软称:“Chrome在远程代码执行(RCE)缓解上的相对缺乏,意味着从内存崩溃漏洞到漏洞利用之间的路径,可能会非常短。”软件巨头微软,在公布谷歌Chrome浏览器RCE漏洞上,动作奇快。当然,今年早些时候,谷歌也曾两度披露微软未修复安全漏洞,让微软很是难堪。去年,微软发布博客文章,批评谷歌的安全漏洞披露是不负责任的——在微软准备打补丁之前,就曝出了重大Windows漏洞。上周,微软终于抓到机会,展示它认为的负责任披露是什么样的:在博客帖子中,微软描述了其上个月就发现,且在9月14号就通告谷歌的一个Chrome远程漏洞。
发布时间:2017-10-23 19:25 | 阅读:139126 | 评论:0 | 标签:牛闻牛评 chrome 微软 漏洞披露 谷歌 漏洞

谷歌发布AI新系统:安卓机械战警VS恶意软件

在捕获并杀死安卓恶意软件的问题上,谷歌按其一贯做法转向了机器学习,且略有成效。谷歌安卓安全主管 阿德里安·路德维格阿德里安·路德维格9月26日在旧金山结构安全大会上称,谷歌已利用来自手机的遥测数据训练了系统。这些数据包括哪些App被安装和卸载的信息、软件行为信息等。这些设备统计数据估计是从谷歌Play服务收集的,但路德维格并未特意澄清数据收集情况,只是说,最终目标是要构造一个AI系统,能够根据代码的行为而非特征码进行判断,自动发现并清除恶意软件。路德维格称,该学习系统是逐步完善的:6个月前,该软件的恶意软件检出率仅5%。上周,检出率就攀升至55%了。
发布时间:2017-09-28 20:40 | 阅读:149878 | 评论:0 | 标签:行业动态 AI 安卓安全 恶意软件 谷歌

谷歌把安全融入主机芯片

小芯片大能耐,守护服务器和云端安全。谷歌透露更多细节,揭其定制安全硅芯片如何巩固服务器和云服务完整性。谷歌定制Titan芯片,为该互联网巨头的重计算负载主机,提供硬件验证的启动和端到端认证的信任根。谷歌高级技术人员在博客中解释道:“我们在多个层面上强化了我们的架构,包括谷歌设计的硬件、谷歌控制的固件栈、谷歌策展的操作系统镜像、谷歌强化的管理程序,以及数据中心物理安全和服务。”3月份的Cloud Next ’17 大会上,谷歌首次公布了其硬件安全要求,Titan就是按该要求特别设计的安全低功耗微控制器。该芯片是在谷歌服务器定制芯片中融入安全的长期安全理念的延伸。
发布时间:2017-08-29 02:30 | 阅读:118467 | 评论:0 | 标签:技术产品 Titan芯片 加密 安全 认证 谷歌

欧盟给谷歌开出27.3亿美元罚单 GDPR合规重要性凸显

欧盟委员会(EC)给谷歌开出27.3亿美元罚单,因其作为搜索引擎却为另一谷歌产品(比较购物服务)提供非法优势,滥用了其市场主导地位。尽管是反垄断案例,却提升了1年内即将施行的《通用数据保护条例》(GDPR)规则下,类似大额罚款的可能性。GDPR可将制裁额度设置成公司企业年度全球营业额的4%。虽然在绝对金额上极少会达到今天对谷歌罚金的额度,但类似比例的罚金,却可能降临在更多公司企业身上——远比受反垄断法律法规制裁的公司企业数量多。之所以征收如此大额罚金,是因为EC认为:首先,谷歌在欧盟经济区里处于互联网搜索市场主导地位;其次,谷歌通过赋予其自有比较购物服务非法优势,滥用了其市场主导地位。
发布时间:2017-07-03 03:20 | 阅读:166313 | 评论:0 | 标签:行业动态 GDPR 合规 数据安全 欧盟 罚单 谷歌

发现Google内网漏洞 拿到5000美元

研究人员从谷歌手中赚到5000美元奖金,因为在这家科技巨头的内网系统登录页面发现了一个信息泄露漏洞。 谷歌员工到公司后第一件事是什么?很可能是登录“moma”——谷歌内网登录页面login.corp.google.com。这个页面就是让奥地利研究员大卫·温德赚到谷歌漏洞奖励的脆弱谷歌服务。 该登录页面很简单,但每次被访问都会从 static.corp.google.com加载一个随机镜像。多次尝试失败后,温德通过在该URL后添加随机字符串,成功产生了一个404错误页面。
发布时间:2017-05-21 06:50 | 阅读:164246 | 评论:0 | 标签:牛闻牛评 信息泄露 漏洞奖励 谷歌 漏洞

谷歌如何保护6万员工的设备安全

谷歌揭秘其分层访问模型实现,讲述其全球员工设备安全防护措施。 访问控制最简单的解决方案是二元的:网络访问要么放行,要么拒绝。这办法太粗糙了,无法适应现代商业文化中最大化用户生产力和创造性的需要。细粒度的访问控制,可以让用户在需要的时候访问需要的东西,是更适应现代商业的一种模式。 谷歌自己约6.1万人的全球员工身上,就用的是此类访问控制模型——分层访问( Tiered Access )。
发布时间:2017-04-22 20:20 | 阅读:133743 | 评论:0 | 标签:术有专攻 BeyondCorp 分层访问 访问控制 谷歌

谷歌威胁取消赛门铁克SSL/TLS证书信任

谷歌警告称,强烈反对并将移除赛门铁克颁发的SSL/TLS证书。赛门铁克回应:此举实属无理取闹。 谷歌威胁赛门铁克称它将终止信任Chrome浏览器内部赛门铁克颁发的某些SSL/TLS证书,理由是赛门铁克未能恰当地验证所颁发的证书。赛门铁克对此表示强烈反对。 谷歌软件工程师瑞恩·斯利维写道: “1月19日以来,谷歌Chrome团队一直在调查赛门铁克公司证书验证上的问题。调查过程中,赛门铁克提供的解释,暴露出与谷歌Chrome团队渐行渐远的理念。” 谷歌最初调查了127个可能被误颁的证书,但问题证书列表如今已扩展到包含数年来颁发的至少30,000个证书。
发布时间:2017-03-28 11:40 | 阅读:192778 | 评论:0 | 标签:牛闻牛评 chrome SSL/TLS 数字证书 谷歌 赛门铁克

谷歌试图借助云安全击败AWS

谷歌云平台上运行的企业应用保护新工具,令亚马逊AWS和微软Azure黯然失色。 谷歌清楚:如果要企业将重要服务迁移到其云端,它就得提供AWS不具备的一些东西。在前不久举行的谷歌 Cloud Next 大会上,公司高层宣称谷歌云才是最安全的云。 大会上,谷歌揭开了其云端新工具的面纱。这些工具可让IT团队提供细粒度的应用访问,更好的密钥管理,以及更强大的云应用身份验证机制。虽然其中一些功能,比如密钥管理服务,与AWS已经实现的类似。而其他的,比如谷歌云平台(GCP)、DLP API 等,就不局限于基础设施而迈向单个应用防护了。 谷歌显然将安全作为了其在云基础设施提供商之间越众而出的倚仗。
发布时间:2017-03-20 18:30 | 阅读:147658 | 评论:0 | 标签:技术产品 云安全 控制访问 敏感数据保护 谷歌

现在,人人都能使用Google的人工智能抗击网络暴力

去年9月,谷歌衍生物Jigsaw科技孵化器向网络恶意挑衅宣战,发布机器学习项目对战在线骚扰。现在,该团队决定向全世界开放该反在线骚扰系统。 上周,Jigsaw及其合作伙伴——谷歌反滥用技术团队,发布了名为“Perspective”的代码,也就是Jigsaw开发了一年多的反骚扰工具API。作为该团队 Conversation AI 项目的一部分,Perspective采用机器学习来自动检测网上侮辱、骚扰和羞辱性语言。在其界面中输入一个句子,Jigsaw的AI就能立即给出该句子“毒性”评估,比任何关键字黑名单都要准确,比所有人类版主都要快速。
发布时间:2017-03-01 20:35 | 阅读:154583 | 评论:0 | 标签:技术产品 Jigsaw 人工智能 网络暴力 谷歌

谷歌数据中心的安全基础设施什么样?

近期,谷歌分享了保护数据中心的安全架构细节,该中心所存储的数据涵盖谷歌现有的各种服务及日益增长的谷歌云平台(GCP)。 许多企业对信息公开持保守态度,担心这会给攻击者可乘之机。然而,谷歌不在此列,原因有两点:其一,是通过展示数据中心的安全水平来发展有潜力的云平台用户;其二,谷歌对自身的安全水平很有信心。 在最近发布的公告里,谷歌将其基础设施安全架构划分了六层——硬件架构层(包括物理基础安全)、服务调度层、用户识别层、存储服务层、网络通信层和安全运营层。 谷歌显然很注重细节。在大部分业务中,谷歌都建设和运营自有的数据中心,这包括“生物识别、金属检测、摄像、路障和激光扫描系统”。
发布时间:2017-02-04 22:30 | 阅读:152668 | 评论:0 | 标签:术有专攻 基础设施 安全架构 数据中心 自动加密 谷歌

恶意软件Carbanak利用谷歌来做命令控制服务器通道

Forcepoint安全研究人员警告道:声名狼藉的Carbanak恶意软件如今能用谷歌服务来做C&C通信了。 Carbanak黑客团伙(亦称Anunak)最早在2015年曝光,所用恶意软件主要针对金融机构,是个经济利益驱动的黑客组织。首次发现时,该团伙据称从30个国家的上百家银行盗取了高达10亿美元资金。针对性恶意软件是该团伙一直采用的攻击方式。近期研究人员发现,某利用托管在镜像域名上的武器化Office文档进行恶意软件投放的攻击行动中,该恶意软件也有现身。 Forcepoint安全实验室最近分析的攻击也沿用了类似的途径:利用RTF文档投放Carbanak恶意软件。
发布时间:2017-01-31 19:00 | 阅读:152429 | 评论:0 | 标签:威胁情报 C&C Carbanak 恶意软件 谷歌

谷歌首次发布国家安全密函

此密函透露出执法机关对用户信息的关注 谷歌在初次发布了一些来自FBI调查需求的国家安全密函:FBI需要不为人知地获得需要调查的账户信息。 这些密函是包括谷歌在内的其他互联网公司的一部分业务,但以往他们并不知道这些信息的存在。这一情况在2013年改变,根据美国情报机构对互联网监控所披露的信息显示,谷歌和其他公司开始反对公开更多信息的要求。 这引发了谷歌“透明度报告”的产生,透露出公司每个月会收到全球范围内执法部门数以千计关于用户信息的查看要求。国家安全密函一直未解密,但在周二,谷歌发布了一些不在保密协定的内容。 这8封密函包括自2010年3月到2015年9月对于21名用户信息查询请求。
发布时间:2016-12-16 22:35 | 阅读:163916 | 评论:0 | 标签:牛闻牛评 FBI 国家安全 谷歌

专利与开源哪个好?谷歌发布OSS-Fuzz开源模糊测试服务

仅在微软宣布提供Springfield编码模糊测试服务两个月后,谷歌也发布了他们自己的面向对象存储模糊测试,OSS-Fuzz的测试版。这两个项目的目的都是为了帮助开发者锁定导致入侵的程序错误,但是项目本身就像这两家公司的商业模式一样,大相径庭。一个需要付费另一个则是免费,一个拥有专利保护另一个则是开源的。 谷歌的OSS-Fuzz能够针对开源软件进行持续的模糊测试,其测试开发团队昨天的博客中写到“OSS-Fuzz的目的是利用更新的模糊测试技术与可拓展的分布式执行相结合,提高一般软件基础架构的安全性与稳定性。
发布时间:2016-12-08 15:35 | 阅读:163624 | 评论:0 | 标签:牛闻牛评 OSS-Fuzz 模糊测试 谷歌

这四位谷歌美女安全研究员决心颠覆Web安全观

去年8月,谷歌Chrome浏览器安全团队负责人帕里莎·塔布里兹,为展现团队精神而给她的团队成员定制了时尚运动衫,上面醒目印着“Department of Chromeland Security (Chrome安全部)”字样,以及在用户访问不安全网站时Chrome给出的警告标志:一把画了个“X”的红色挂锁。 但几天后塔布里兹团队成员安德莲娜·波特·菲尔特穿上那件运动衫时,她妹妹看着那个矩形上挂个弧形的小锁图标很天真地问:为什么运动衫上要印个红色钱包啊?对塔布里兹的团队而言,网上普通人都能分辨出钱包和挂锁符号的错误假设,代表着现代浏览器的一个基本问题。
发布时间:2016-11-08 01:30 | 阅读:145688 | 评论:0 | 标签:牛闻牛评 chrome HTTPS WEB安全 谷歌

谷歌丝毫不给微软面子 公开Windows未打补丁漏洞

谷歌给了微软当头一击,在微软补丁尚未就位之前就披露了Windows漏洞。该漏洞可被攻击者利用来获取管理员权限。 谷歌威胁分析小组两位研究人员发布博客文章表示,披露的原因很简单:他们已经观测到有人在利用该漏洞了,所以,必须做点什么,现在、马上、立刻就做。 该漏洞编号CVE-2016-7855,谷歌是这么描述它的: Windows内核本地提权漏洞,可被用于安全沙箱逃逸。通过调用win32k.sys系统函数NtSetWindowLongPtr(),来设置GWL_STYLE为WS_CHILD的窗口的索引标识符GWLP_ID,该漏洞可被触发。
发布时间:2016-11-02 16:10 | 阅读:113818 | 评论:0 | 标签:牛闻牛评 安全漏洞 微软 漏洞披露 谷歌 漏洞

为什么谷歌对HTTPS的爱将永久改变互联网

谷歌想让大家都抛弃非加密Web连接,Why?网站用加密的https前缀真的那么重要吗? 直到最近,大家都觉得只有那些需要访客登录的网站,比如购买产品或服务,或者访问隐藏内容的,才需要用https。但近几年,https连接(使用安全套接字层(SSL)协议或其更佳继任者传输层安全(TLS))快速在互联网上铺开,原因很多,不单纯是为了保护电子商务交易。 然而,谷歌最近又在这份原因列表中增加了一笔:将于2017年1月推出的Chrome版本56中,非https网站将在谷歌浏览器地址栏中被标记为“不安全”。 谷歌很久以前就在推行https安全,因而这次的举动,不过是其提升互联网安全总体规划的最新一步而已。
发布时间:2016-09-25 03:55 | 阅读:115722 | 评论:0 | 标签:牛闻牛评 HTTPS 安全连接 谷歌

关于微信“BadKernel”漏洞情况的通报

近日,国家信息安全漏洞库(CNNVD)收到360安全卫士阿尔法团队关于Chrome V8引擎“BadKernel”漏洞的情况报送。该漏洞存在于Chrome V8引擎的历史版本中,远程攻击者可利用该漏洞对使用受影响引擎的产品进行远程攻击。由于该漏洞影响范围较广,危害较为严重,根据CNNVD相关规定,已对此漏洞进行收录,并分配编号CNNVD-201608-414。一、漏洞简介Chrome V8是Google Chrome浏览器中用于解析JavaScript的引擎。Chrome V8引擎3.20至4.2版本中存在远程代码执行漏洞(漏洞编号:CNNVD-201608-414)。
发布时间:2016-08-24 07:35 | 阅读:154256 | 评论:0 | 标签:漏洞 chrome CNNVD JS V8 谷歌

谷歌口令填充可搞定最狡猾的安卓恶意软件

登录速度的一小步 恶意软件的大障碍为堵住威胁安卓手机的康庄大道,谷歌将宝压在了用新的开源API改善口令安全上。该功能昵称OpenYOLO(只需登录一次),使用户仅需输入口令管理器凭证一次,即可永久登录所有App。之前启用安全设置的用户,每次都必须登入他们的口令管理器才可以访问各种应用,确实有点麻烦。而且谷歌此项行动的最大卖点在于:将使登录操作无缝顺畅进行。口令管理公司Dashlane的社区经理马莱卡·尼古拉斯称,公司正与其他顶级口令管理公司合作,贡献各自独特的安全和软件开发专业技术,改善此开源API的设计和实现。
发布时间:2016-08-15 20:50 | 阅读:115572 | 评论:0 | 标签:牛闻牛评 口令管理 恶意软件 谷歌

再见2016,那些虽然伟大但仍将逝去的科技

很多科技公司每时每刻都要为自己的发展未雨绸缪,但资源和投入是有限的。因此,忍痛割爱是科技领域经常会出现的事情,下面就是将在今年远离我们的科技产品和服务。1. Windows 8、9、10操作系统微软于2016年1月12日结束Windows 8/9/10的IE浏览器服务,从而促进个人及企业对Windows 11或Wiindows 10新系统默认浏览器的使用。
发布时间:2016-08-01 16:30 | 阅读:106425 | 评论:0 | 标签:牛闻牛评 科技产品 脸书 谷歌

利用谷歌、微软和Instagram的在线电话验证漏洞赚取数百万美元

在线电话的用户经常难以分辨哪些号码是要收费的,一位研究人员便从中发现,可利用谷歌、微软和Instagram的在线电话验证系统赚取百万美元。很多网站和手机应用都允许用户将手机号关联到账号上。这可以用作双因子身份验证或账号恢复和验证的措施。很多此类系统都依赖于通过手机短信发送的验证码,但也提供呼叫用户提供验证码的方式。去年,名为阿恩·斯文顿的比利时IT安全顾问开始好奇,此类系统会不会测试用户输入的号码是否附带额外收费呢?于是,他对几个流行服务进行了测试。
发布时间:2016-07-21 03:35 | 阅读:138967 | 评论:0 | 标签:威胁情报 facebook Instagram 微软 谷歌 漏洞

黑客“三国传”:2016上半年“挖洞大赛”完全盘点

漏洞是黑客世界的超级武器,挖掘和防御漏洞的能力则是安全厂商技术实力的最佳证明。在2016上半年,微软、谷歌、苹果三大平台的漏洞致谢榜屡遭全球各大安全厂商“刷榜”,来自世界范围内的技术高手们都以帮助三巨头发现和修复漏洞为荣,漏洞致谢榜也成为各大安全团队角逐争锋的竞技场。三大平台级巨头中,微软Windows覆盖了大多数PC用户,谷歌Android在智能手机时代崛起,苹果的iPhone和Mac等产品则是以高端用户为主,三巨头共同构建了如今人们网络生活的根基。为了强化系统安全性,微软、谷歌和苹果在每月安全公告中都会对帮助其发现漏洞的黑客高手(俗称“白帽子”)进行公开致谢,其中不乏中国厂商的身影。
发布时间:2016-07-12 03:50 | 阅读:115723 | 评论:0 | 标签:行业动态 微软 漏洞致谢 苹果 谷歌

谷歌是这样做安全的

随着良好口令实践和自动更新的推行,谷歌正积极着手多项工作以使大众享受更安全的互联网。谷歌的企业使命宣言一直以来都包含在“不作恶”这句话中,这指的是谷歌作为一个公司而言,但这句话也可以很容易地延伸到更广阔的互联网上。谷歌目前正在多个领域推陈出新,意图确保其用户和互联网环境“无恶”——无论是黑客活动或是恶意软件攻击。上周的谷歌I/O大会上,谷歌发布了一系列产品和服务。安全这个主题贯穿大会始终,不仅集成在产品发布里,也融合在大会独立研讨中。即将到来的安卓N手机操作系统将引进一系列重要的新安全特性。其中一项,就是意图清除现有安卓媒体服务器技术风险的新媒体服务器库方法。
发布时间:2016-05-31 14:15 | 阅读:116670 | 评论:0 | 标签:行业动态 Chrome浏览器 I/O大会 Stagefright 谷歌

银行即将开测谷歌的干掉密码计划:Abacus

不需要输入密码或PIN,谷歌的Abacus计划会分析你使用手机的模式,并自动让你登录。谷歌干掉密码的计划又进了一步。Abacus是一项野心勃勃的计划,它可以将密码替换成对你使用手机方式的综合分析。谷歌上周五在I/O开发者大会上表示,该计划在下个月将开始在“几家大型金融机构”中测试。谷歌先进技术与工程部门负责人丹·卡夫曼 (Dan Kaufman) 对媒体表示:“如果一切顺利,该技术将在年末对所有安卓开发者开放”。Abacus计划最初就是在该部门孵化出来的。但除此之外,谷歌没有提供进一步的内容。
发布时间:2016-05-25 20:15 | 阅读:106897 | 评论:0 | 标签:行业动态 Abacus 真实性得分API 谷歌

云时代安全从撤掉防火墙开始 揭秘谷歌企业安全防护策略:BeondCorp

无论员工在Google办公大楼、咖啡厅还是在家,都是一样的访问方式。过去从外网访问需要的 VPN 已经被废弃。而所有员工到企业应用的连接都要进行加密,包括在办公大楼里面的访问。可以说,Google 的这种模式已经彻底打破了内外网之别。发展了5年以上的BeyondCorp模型就是一个零信任的网络模型,此模型中,用户就是上帝,从哪个地方登录的根本无关紧要。BeyondCorp的理念基础是,内部网络实际上跟互联网一样危险。因为:1)一旦内网边界被突破,攻击者就很容易访问到企业内部应用。2)现在的企业越来越多采用移动和云技术,边界保护变得越来越难。所以干脆一视同仁,不外区分内外网,用一致的手段去对待。
发布时间:2016-04-15 20:15 | 阅读:279209 | 评论:0 | 标签:术有专攻 BeyondCorp 谷歌 防火墙

谷歌验证码就这样被轻易破解

利用cookie和浏览器检查的不严谨,再辅以一点儿人工智能,破解谷歌的验证码(Captcha)非常容易。安全研究人员刚刚发现,精心设计的自动化攻击能够以七成的概率破解谷歌的reCaptcha安全系统。需要注意的是,脸书也使用这一套验证码系统。研究人员对2235个验证码进行了测试,破解了其中的70.1%,平均耗时仅为19.2秒。对脸书使用的验证码,研究人员取得了更大的成功,破解了200个验证码中的83.5%。此外,研究人员估计,黑客具有部署专门破解验证码的系统的动机。
发布时间:2016-04-15 04:50 | 阅读:118758 | 评论:0 | 标签:黑极空间 谷歌 验证码

受伤的不只有苹果,谷歌已经被勒令解锁了

随着FBI宣布其成功破解了San Bernardino枪击案凶手的iPhone 5C手机,苹果与美国联邦调查局(FBI)之间的斗争,或许已经接近尾声。至少九部安卓手机“遇难”但是美国司法部早在此案件之前就对其它一些公司有过类似的要求,美国公民自由联盟通过公开的法庭文件得知,政府曾以All Writs Act法案为由,要求谷歌帮助FBI解锁至少九部安卓智能手机。同时,美国公民自由联盟最新研究显示,在63种不同的情况下,美国政府可以强迫苹果和谷歌等公司为其解锁智能手机。没错,苹果并不是唯一一个面对政府提出关于隐私与安全方面的要求的公司——谷歌也在其中。
发布时间:2016-04-02 01:00 | 阅读:128117 | 评论:0 | 标签:终端安全 fbi 安卓手机 苹果 谷歌

ADS

标签云