记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

谷歌发布新开源加密工具,敏感信息泄露的问题可能就此彻底解决!

前言据wired报道,谷歌将发布一个名为Private Join and Compute的开源加密工具。它有助于连接来自不同数据集的数字列,以计算在整个数学过程中加密和不可读数据的总和,计数或平均值。只有计算结果才能被所有各方解密和查看,这意味着你只能获得结果,而不能获得你未拥有的数据。该工具的加密原理可以追溯到20世纪70年代和90年代,但谷歌已经重新利用并更新它们,以便与当今功能更强大、更灵活的处理器配合使用。既可以分析数据,又不担心数据的泄漏,有这样的好事吗?这么多年来,个人隐私数据的事件不但发生,屡禁不止,就其根源,很大程度上是因为有人要利用这些大数据对用户的各种行为习惯进行分析。只要这个动机存在,用户的隐私泄
发布时间:2019-06-22 12:25 | 阅读:61805 | 评论:0 | 标签:安全工具 谷歌 加密

从应用层到传输层 谷歌披露如何保护数据安全

谷歌基础设施中应用层服务到服务通信的防护方式,及其用于数据防护的系统,如今终于公开了。该技术名为应用层传输安全(ALTS),用于验证谷歌服务之间的通信,保证传输中数据的安全。数据发往谷歌时,是用安全通信协议防护的,如传输层安全(TLS)。该Web搜索巨头称,ALTS的研发始于2007年,当时TLS与其他不能满足该公司最低安全标准的支持协议捆绑在一起。因此,该公司认为,设计自己的安全解决方案,比修补已有系统更合适。因为比TLS更安全,谷歌将ALTS描述为“高度可靠的可信系统,可为内部远程过程调用(RPC)通信提供身份验证和安全”,确保该公司基础设施内的安全。谷歌解释称,该系统仅需服务自身最低限度的参与,因为数据默认受到保护。所有生产工作负载发出或收到的RPC,都默认受ALTS保护,只要它们处于谷歌控制的物理边界之
发布时间:2017-12-21 21:05 | 阅读:121143 | 评论:0 | 标签:技术产品 ALTS 数据安全 谷歌

微软终于抓住谷歌把柄 “负责任披露”Chorme远程代码执行漏洞

微软称:“Chrome在远程代码执行(RCE)缓解上的相对缺乏,意味着从内存崩溃漏洞到漏洞利用之间的路径,可能会非常短。”软件巨头微软,在公布谷歌Chrome浏览器RCE漏洞上,动作奇快。当然,今年早些时候,谷歌也曾两度披露微软未修复安全漏洞,让微软很是难堪。去年,微软发布博客文章,批评谷歌的安全漏洞披露是不负责任的——在微软准备打补丁之前,就曝出了重大Windows漏洞。上周,微软终于抓到机会,展示它认为的负责任披露是什么样的:在博客帖子中,微软描述了其上个月就发现,且在9月14号就通告谷歌的一个Chrome远程漏洞。微软攻击性安全研究(OSR)团队在帖子中说:“CVE-2017-5121的发现表明,现代浏览器中,是有可能出现可远程利用的漏洞的。Chrome在RCE缓解上的相对缺乏,意味着从内存崩溃漏洞到漏洞
发布时间:2017-10-23 19:25 | 阅读:106551 | 评论:0 | 标签:牛闻牛评 chrome 微软 漏洞披露 谷歌 漏洞

谷歌发布AI新系统:安卓机械战警VS恶意软件

在捕获并杀死安卓恶意软件的问题上,谷歌按其一贯做法转向了机器学习,且略有成效。谷歌安卓安全主管 阿德里安·路德维格阿德里安·路德维格9月26日在旧金山结构安全大会上称,谷歌已利用来自手机的遥测数据训练了系统。这些数据包括哪些App被安装和卸载的信息、软件行为信息等。这些设备统计数据估计是从谷歌Play服务收集的,但路德维格并未特意澄清数据收集情况,只是说,最终目标是要构造一个AI系统,能够根据代码的行为而非特征码进行判断,自动发现并清除恶意软件。路德维格称,该学习系统是逐步完善的:6个月前,该软件的恶意软件检出率仅5%。上周,检出率就攀升至55%了。这意味着,通过发现并清除Play商店或用户手机上的恶意软件,该系统如今可为降低安卓感染率做出贡献了。谷歌的Play Protect系统可标出并清除掉手机扫描过程中发
发布时间:2017-09-28 20:40 | 阅读:112085 | 评论:0 | 标签:行业动态 AI 安卓安全 恶意软件 谷歌

谷歌把安全融入主机芯片

小芯片大能耐,守护服务器和云端安全。谷歌透露更多细节,揭其定制安全硅芯片如何巩固服务器和云服务完整性。谷歌定制Titan芯片,为该互联网巨头的重计算负载主机,提供硬件验证的启动和端到端认证的信任根。谷歌高级技术人员在博客中解释道:“我们在多个层面上强化了我们的架构,包括谷歌设计的硬件、谷歌控制的固件栈、谷歌策展的操作系统镜像、谷歌强化的管理程序,以及数据中心物理安全和服务。”3月份的Cloud Next ’17 大会上,谷歌首次公布了其硬件安全要求,Titan就是按该要求特别设计的安全低功耗微控制器。该芯片是在谷歌服务器定制芯片中融入安全的长期安全理念的延伸。Titan的设计目的,就是要确保机器从使用可验证代码的已知良好状态启动,为后续操作提供安全基础,消除基于固件的rootkit或其他类似恶意软件
发布时间:2017-08-29 02:30 | 阅读:86790 | 评论:0 | 标签:技术产品 Titan芯片 加密 安全 认证 谷歌

欧盟给谷歌开出27.3亿美元罚单 GDPR合规重要性凸显

欧盟委员会(EC)给谷歌开出27.3亿美元罚单,因其作为搜索引擎却为另一谷歌产品(比较购物服务)提供非法优势,滥用了其市场主导地位。尽管是反垄断案例,却提升了1年内即将施行的《通用数据保护条例》(GDPR)规则下,类似大额罚款的可能性。GDPR可将制裁额度设置成公司企业年度全球营业额的4%。虽然在绝对金额上极少会达到今天对谷歌罚金的额度,但类似比例的罚金,却可能降临在更多公司企业身上——远比受反垄断法律法规制裁的公司企业数量多。之所以征收如此大额罚金,是因为EC认为:首先,谷歌在欧盟经济区里处于互联网搜索市场主导地位;其次,谷歌通过赋予其自有比较购物服务非法优势,滥用了其市场主导地位。谷歌可以,也几乎绝对会,就判决提出上诉。谷歌高级副总裁兼法律总顾问肯特·沃克称:“网上购物时,消费者希望能快速方便地找到想要的商
发布时间:2017-07-03 03:20 | 阅读:127238 | 评论:0 | 标签:行业动态 GDPR 合规 数据安全 欧盟 罚单 谷歌

发现Google内网漏洞 拿到5000美元

研究人员从谷歌手中赚到5000美元奖金,因为在这家科技巨头的内网系统登录页面发现了一个信息泄露漏洞。 谷歌员工到公司后第一件事是什么?很可能是登录“moma”——谷歌内网登录页面login.corp.google.com。这个页面就是让奥地利研究员大卫·温德赚到谷歌漏洞奖励的脆弱谷歌服务。 该登录页面很简单,但每次被访问都会从 static.corp.google.com加载一个随机镜像。多次尝试失败后,温德通过在该URL后添加随机字符串,成功产生了一个404错误页面。 与谷歌呈现给用户的其他错误页面显示的不同,这个页面包含有一个名为“以SFFE调试跟踪重新查询”的链接,该链接指向原URL,只不过,后面跟了个“?deb=trace”。 该调试页面包含多种信息,有服务器名称和内部IP、X-FrontEnd(X
发布时间:2017-05-21 06:50 | 阅读:128558 | 评论:0 | 标签:牛闻牛评 信息泄露 漏洞奖励 谷歌 漏洞

谷歌如何保护6万员工的设备安全

谷歌揭秘其分层访问模型实现,讲述其全球员工设备安全防护措施。 访问控制最简单的解决方案是二元的:网络访问要么放行,要么拒绝。这办法太粗糙了,无法适应现代商业文化中最大化用户生产力和创造性的需要。细粒度的访问控制,可以让用户在需要的时候访问需要的东西,是更适应现代商业的一种模式。 谷歌自己约6.1万人的全球员工身上,就用的是此类访问控制模型——分层访问( Tiered Access )。4月20号发布的一份白皮书(https://lp.google-mkto.com/rs/248-TPC-286/images/eBook%202%20-%20Tiered%20Access_v5%20-%20Google%20Cloud%20Branding.pdf)及博客文章中,谷歌解释,其创新之处在于,将多种不同设备连接到多
发布时间:2017-04-22 20:20 | 阅读:94996 | 评论:0 | 标签:术有专攻 BeyondCorp 分层访问 访问控制 谷歌

谷歌威胁取消赛门铁克SSL/TLS证书信任

谷歌警告称,强烈反对并将移除赛门铁克颁发的SSL/TLS证书。赛门铁克回应:此举实属无理取闹。 谷歌威胁赛门铁克称它将终止信任Chrome浏览器内部赛门铁克颁发的某些SSL/TLS证书,理由是赛门铁克未能恰当地验证所颁发的证书。赛门铁克对此表示强烈反对。 谷歌软件工程师瑞恩·斯利维写道: “1月19日以来,谷歌Chrome团队一直在调查赛门铁克公司证书验证上的问题。调查过程中,赛门铁克提供的解释,暴露出与谷歌Chrome团队渐行渐远的理念。” 谷歌最初调查了127个可能被误颁的证书,但问题证书列表如今已扩展到包含数年来颁发的至少30,000个证书。2015年10月,谷歌也就证书颁发问题公开警告了赛门铁克。 谷歌准备对赛门铁克采取一系列行动,包括缩短新颁发证书有效期到仅9个月或更短的时间,以及取消对赛门铁克扩展
发布时间:2017-03-28 11:40 | 阅读:161119 | 评论:0 | 标签:牛闻牛评 chrome SSL/TLS 数字证书 谷歌 赛门铁克

谷歌试图借助云安全击败AWS

谷歌云平台上运行的企业应用保护新工具,令亚马逊AWS和微软Azure黯然失色。 谷歌清楚:如果要企业将重要服务迁移到其云端,它就得提供AWS不具备的一些东西。在前不久举行的谷歌 Cloud Next 大会上,公司高层宣称谷歌云才是最安全的云。 大会上,谷歌揭开了其云端新工具的面纱。这些工具可让IT团队提供细粒度的应用访问,更好的密钥管理,以及更强大的云应用身份验证机制。虽然其中一些功能,比如密钥管理服务,与AWS已经实现的类似。而其他的,比如谷歌云平台(GCP)、DLP API 等,就不局限于基础设施而迈向单个应用防护了。 谷歌显然将安全作为了其在云基础设施提供商之间越众而出的倚仗。不仅仅是底层硬件和虚拟机,这些基础设施上运行的应用,也被纳入了保护范围之列。 保护敏感数据 DLP API 目前还是Beta版,
发布时间:2017-03-20 18:30 | 阅读:117553 | 评论:0 | 标签:技术产品 云安全 控制访问 敏感数据保护 谷歌

现在,人人都能使用Google的人工智能抗击网络暴力

去年9月,谷歌衍生物Jigsaw科技孵化器向网络恶意挑衅宣战,发布机器学习项目对战在线骚扰。现在,该团队决定向全世界开放该反在线骚扰系统。 上周,Jigsaw及其合作伙伴——谷歌反滥用技术团队,发布了名为“Perspective”的代码,也就是Jigsaw开发了一年多的反骚扰工具API。作为该团队 Conversation AI 项目的一部分,Perspective采用机器学习来自动检测网上侮辱、骚扰和羞辱性语言。在其界面中输入一个句子,Jigsaw的AI就能立即给出该句子“毒性”评估,比任何关键字黑名单都要准确,比所有人类版主都要快速。 Perspective的发布,推动 Conversation AI 向着帮助培育无恶言在线讨论环境,用算法决策滤清网络暴力的目标又近了一步。 互联网抗“毒”血清 Conv
发布时间:2017-03-01 20:35 | 阅读:122512 | 评论:0 | 标签:技术产品 Jigsaw 人工智能 网络暴力 谷歌

谷歌数据中心的安全基础设施什么样?

近期,谷歌分享了保护数据中心的安全架构细节,该中心所存储的数据涵盖谷歌现有的各种服务及日益增长的谷歌云平台(GCP)。 许多企业对信息公开持保守态度,担心这会给攻击者可乘之机。然而,谷歌不在此列,原因有两点:其一,是通过展示数据中心的安全水平来发展有潜力的云平台用户;其二,谷歌对自身的安全水平很有信心。 在最近发布的公告里,谷歌将其基础设施安全架构划分了六层——硬件架构层(包括物理基础安全)、服务调度层、用户识别层、存储服务层、网络通信层和安全运营层。 谷歌显然很注重细节。在大部分业务中,谷歌都建设和运营自有的数据中心,这包括“生物识别、金属检测、摄像、路障和激光扫描系统”。即使使用第三方数据中心作为服务器,谷歌也为服务器附加了自己的安全措施(如谷歌控制的独立生物识别系统、相机或金属探测器)。 数据中心的数
发布时间:2017-02-04 22:30 | 阅读:119774 | 评论:0 | 标签:术有专攻 基础设施 安全架构 数据中心 自动加密 谷歌

恶意软件Carbanak利用谷歌来做命令控制服务器通道

Forcepoint安全研究人员警告道:声名狼藉的Carbanak恶意软件如今能用谷歌服务来做C&C通信了。 Carbanak黑客团伙(亦称Anunak)最早在2015年曝光,所用恶意软件主要针对金融机构,是个经济利益驱动的黑客组织。首次发现时,该团伙据称从30个国家的上百家银行盗取了高达10亿美元资金。针对性恶意软件是该团伙一直采用的攻击方式。近期研究人员发现,某利用托管在镜像域名上的武器化Office文档进行恶意软件投放的攻击行动中,该恶意软件也有现身。 Forcepoint安全实验室最近分析的攻击也沿用了类似的途径:利用RTF文档投放Carbanak恶意软件。该文档打包进了经编码的VBScript脚本,该脚本之前与Carbanak恶意软件相关联。 该文档内嵌包含有VBScript文件的OLE对象
发布时间:2017-01-31 19:00 | 阅读:117379 | 评论:0 | 标签:威胁情报 C&C Carbanak 恶意软件 谷歌

谷歌首次发布国家安全密函

此密函透露出执法机关对用户信息的关注 谷歌在初次发布了一些来自FBI调查需求的国家安全密函:FBI需要不为人知地获得需要调查的账户信息。 这些密函是包括谷歌在内的其他互联网公司的一部分业务,但以往他们并不知道这些信息的存在。这一情况在2013年改变,根据美国情报机构对互联网监控所披露的信息显示,谷歌和其他公司开始反对公开更多信息的要求。 这引发了谷歌“透明度报告”的产生,透露出公司每个月会收到全球范围内执法部门数以千计关于用户信息的查看要求。国家安全密函一直未解密,但在周二,谷歌发布了一些不在保密协定的内容。 这8封密函包括自2010年3月到2015年9月对于21名用户信息查询请求。( https://blog.google/topics/public-policy/sharing-national-secu
发布时间:2016-12-16 22:35 | 阅读:129171 | 评论:0 | 标签:牛闻牛评 FBI 国家安全 谷歌

专利与开源哪个好?谷歌发布OSS-Fuzz开源模糊测试服务

仅在微软宣布提供Springfield编码模糊测试服务两个月后,谷歌也发布了他们自己的面向对象存储模糊测试,OSS-Fuzz的测试版。这两个项目的目的都是为了帮助开发者锁定导致入侵的程序错误,但是项目本身就像这两家公司的商业模式一样,大相径庭。一个需要付费另一个则是免费,一个拥有专利保护另一个则是开源的。 谷歌的OSS-Fuzz能够针对开源软件进行持续的模糊测试,其测试开发团队昨天的博客中写到“OSS-Fuzz的目的是利用更新的模糊测试技术与可拓展的分布式执行相结合,提高一般软件基础架构的安全性与稳定性。OSS-Fuzz结合了多种模糊测试技术/漏洞捕捉技术(即原来的libfuzzer)与清洗技术(即原来的AddressSanitizer),并且通过ClusterFuzz为大规模可分布式执行提供了测试环境。”
发布时间:2016-12-08 15:35 | 阅读:119405 | 评论:0 | 标签:牛闻牛评 OSS-Fuzz 模糊测试 谷歌

这四位谷歌美女安全研究员决心颠覆Web安全观

去年8月,谷歌Chrome浏览器安全团队负责人帕里莎·塔布里兹,为展现团队精神而给她的团队成员定制了时尚运动衫,上面醒目印着“Department of Chromeland Security (Chrome安全部)”字样,以及在用户访问不安全网站时Chrome给出的警告标志:一把画了个“X”的红色挂锁。 但几天后塔布里兹团队成员安德莲娜·波特·菲尔特穿上那件运动衫时,她妹妹看着那个矩形上挂个弧形的小锁图标很天真地问:为什么运动衫上要印个红色钱包啊?对塔布里兹的团队而言,网上普通人都能分辨出钱包和挂锁符号的错误假设,代表着现代浏览器的一个基本问题。 塔布里兹的团队负责帮助数十亿人评估所访问网站的安全性,但却只有一个迷样难猜的图标来区分锁定连接的加密网站与不受保护的网站——后者可致用户面临威胁侵害,或者被星巴克
发布时间:2016-11-08 01:30 | 阅读:110544 | 评论:0 | 标签:牛闻牛评 chrome HTTPS WEB安全 谷歌

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云