【四维创智】-专研智能,智汇安全-网络攻防-渗透测试-web安全-无线安全-内网安全 安全学院 – 【四维创智】

四维资讯中心

关注最新行业动态,洞悉安全态势,做行业领跑者!创造属于我们自己的故事!

愚人节不 “愚”丨干货分享! TXPortMap实用型免费渗透测试工具

在渗透测试的端口扫描阶段,相信很多人遇到的问题是nmap太慢,masscan不准确。 所谓工欲善其事,必先利其器,TXPortMap为天象渗透测试平台后端使用的端口扫描和指纹识别模块,采用Golang编写,以期在速度与准确度之间寻找一个平衡。下面和小编一起来探究工具的使用过程。

 

工具名称:TXPortMap

 

./TxPortMap -h
新增加彩色文字输出格式 对http/https协议进行title以及报文长度打印,获取title失败打印报文前20字节。
新增日志文件以及扫描结果文件。

TxPortMap 会直接扫描top100 加上t1000参数会扫描top1000,txportmap单ip top1000识别耗时5秒,可以通过-p 指定端口,分号指定多个。



下图1:TxPortMap时间:20.171秒
下图2:nmap 2分51.89秒
图1
图2

作为一个宽泛且深入的渗透测试人员怎么能允许自己没有TXPortMap呢 ?
下载地址:https://github.com/4dogs-cn/TXPortMap
此工具开源后希望大家可以一起完善指纹和提交优化建议,快快加入TXPortMap交流群。

4月 1,2021 by admin

聚焦3·15丨谁在“偷”我的脸,我该怎样保护?

近几年,人脸识别“黑科技”已经在越来越多的领域被广泛使用,刷脸支付、刷脸打卡、刷脸开门……大家在感受到科技便利的同时,殊不知,一些商家也在利用这些“黑科技”,偷偷精准抓取消费者的人脸信息。在中央电视台3·15晚会上,不法商家非法获取消费者人脸信息,并肆意滥用的行为被曝光。
 

宝马汽车 4S 店、Max Mara 专卖店、科勒卫浴,江苏大剧院、喜茶、老百姓大药房、良品铺子、水星家纺、九芝堂、晨光玩具……

 

很少有消费者能想到,自己在进入店门的那一刻,最先“盯上”自己的不是服务员或者导购,而是配备了人脸识别技术的摄像头,并将自己的人脸信息牢牢记下储存起来,而这一切,都是在自己毫不知情的情况下发生的。

 

各门店纷纷表示,对于该设备的使用,仅作到店人数统计;对该设备所采集的信息不做保存、分析及转移。被曝光的企业陆续发表声明致歉。
人脸信息不单是生物识别信息,也是个人敏感信息,我国规定组织收集个人信息,应该取得个人信息主体的同意。但现实中,不法商家商业利益,基本不会提示和取得消费者同意,忽视了对消费者权益的保护。
 
国家市场监管总局发布的《个人信息安全规范》明确规定,收集人脸信息时应获得个人信息主体的授权同意。人脸信息属于个人独有的生物识别信息,一旦泄露,将严重威胁用户的财产安全、隐私安全等。

 

要想有效保护好人脸信息,三方主体的保护责任,一个都不能少。

 

其一,有关机关应当尽快明确人脸识别技术的行业标准,对收集、存储、保护、使用等严格规范。加大对相关App和软件的监管,对违规收集使用人脸信息的运营商严肃查处,加大处罚力度。加快个人信息保护法的立法进度,进一步界定因公共安全需要收集人脸信息的行为和其他商业行为,明确责任。

 

其二,有关平台要加强自律,尽可能减少不必要的个人信息收集,对已收集的个人信息要妥善保护,建立完备的保护机制,规范有关信息的使用。坚决杜绝违法违规违约使用有关个人信息。在人脸识别行业标准出台前,鼓励有能力的企业牵头制定有关诚信规范。

 

其三,用户个人要注意对个人信息的保护,注意使用经正规渠道认证的App,发现个人信息被违法售卖或使用时应当及时报案,并注意保留有关证据。对涉嫌违规收集个人信息的软件也要及时向有关部门举报。

3月 17,2021 by admin

网络安全演练十大好处

没有什么方法比进行常规安全演练更能确定公司企业的安全强弱了。
 
即使资源丰富,保证信息安全仍是一项艰难的任务。任天堂、推特、万豪和Zoom等大公司最近都深陷大型数据泄露之苦,网络罪犯的魔爪无孔不入是很明显的事实。虽然大多数公司企业都知道需要构筑防御和制定策略,来降低网络攻击的风险和潜在影响,但很多公司企业未能严格测试自身防御措施。
 

 
网络安全演练是针对特定网络攻击场景的有效仿真模拟,公司企业可以借助网络安全演练获得关于真实响应的宝贵洞察。从基础的小规模简单测试到复杂的大规模持续攻击,网络安全演练能够验证公司企业的防御策略是否有效,能够凸显需要立即采取措施的防御漏洞。
 
然而,尽管网络安全演练如此重要,仍有74%的ISF Benchmark受访者声称,不会对自身关键系统执行网络攻击模拟或演练。这可能是由于他们认为网络安全演练不仅耗时又昂贵,还可能会造成系统中断。但只要安排得当,以上这些都不成其为理由。网络安全演练确实能够带来一些实打实的好处,比如下面这10个典型益处:
 
发现优势
 
网络安全演练中有太多目光放在了暴露弱点与问题上,但发现自身安全措施的长处同样很有价值。健壮的措施可以在别的地方照此实施,精巧的策略可以用作模板,高效的员工能够帮忙培训其他人。
 
改善响应
 
执行网络攻击演练最明显的好处,或许就是让你有机会改善响应,能够更好地应对未来的攻击。网络攻击演练可以提供证据,支持你现有防御策略背后的理论,或者指出更新防御方法的必要性。无论如何,网络攻击演练都能够促使你做出改善。
 
训练人员
 
实践经验无可替代。网络攻击演练能够赋予员工处理攻击的实践经验,提升他们对各种可能性的认知,教会他们正确的响应方式。实践出真知,实际演练一番通常是学习的最佳途径。
 
确定成本和时间表
 
攻击应对准备中需要做出很多假设和预测,假定处理不同场景分别需要用到哪些资源,预测遭受攻击后恢复正常运营需要多长时间。网络攻击演练能够描绘出更为细致的成本与时间表,提供切实的数据辅助构建更好的恢复力,或者在必要时用作合理化开支的理由。
 
确定外部需求
 
即使对很多大型企业而言,维护一支无需外部辅助就能应对任何攻击场景的安全团队都是不现实的。哪些攻击场景需要外部帮助?外部专家最快什么时候赶到?费用大概要多少?执行安全演练就能回答上述问题。
 
收集指标
 
制定安全策略时非常重要的一环,就是设置对攻击各方面应对速度和防御动作有效性的预期。但只有攻击真正发生之时,或者执行安全演练,你才能证明能够达到这些预期。这一数据应该支持未来安全策略的制定,指导公司的安全方法。
 
发现漏洞
 
无论是潜伏在网络上的技术漏洞,还是安全控制措施中的弱点,网络安全演练都能够暴露出来。网络安全演练还能够揭示培训或人才引进的需求。发现特定漏洞有助于制定修复计划和立即加以改善。
 
更新策略
 
如果当前策略、标准和指南无效,那就是时候重新审视一番了。有效事件响应策略能够大幅降低网络攻击可能造成的潜在破坏和中断。定期策略修正很重要,而安全演练能够提供指导策略修正的有用根据。
 
暴露不合规风险
 
即使是无意的,违反法律、监管或合同要求的代价也十分巨大。暴露合规问题很难,但这并不意味着这些问题不存在。网络安全演练有助于暴露出不合规的地方,给你一个修复的机会,避免不必要的法律和财务风险。
 
提升威胁感知
 
从初级员工到董事会层次,缺乏对网络攻击本质及威胁范围的感知都是灾难性的。未能识别风险并据此反应,通常都会加剧问题,导致问题恶化。
 
实践出真知大家都认为排练是为真实事件做准备的重要部分。网络攻击无可避免,但你如何响应,决定着你的业务会受到何种影响。网络安全演练不仅有助于摸清公司安全状态,还能测试防御措施,发现应该继续发扬的长处和需要弥补的弱点,并提供宝贵的实践经验。

1月 14,2021 by admin

物联网安全:5个主要漏洞以及解决方法

物联网全球市场,收入超过了1000亿美元,而2025年的收入预测将达到1.5万亿美元。虽然这意味着更多的便利和改进的服务,但也为网络犯罪分子创造了更多机会。
 
物联网设备面临网络安全漏洞。他们无需我们授权即可工作,这使得在被破坏之前威胁识别变得更加困难。但是,如果您知道危险潜伏在哪里,则可以找到一种方法最大程度地降低网络安全风险。以下是2020年物联网的五个重大网络安全漏洞。
 

 
威胁是绝对真实的,首先我们了解下2016年10月发生的一个攻击事件。黑客识别了安全摄像机模型中的薄弱环节。同时,有超过300,000台摄像机连接了互联网。
 
黑客利用该漏洞并使用这些IoT设备对社交媒体平台发起了大规模攻击。一些主要的社交媒体平台,包括Twitter,停运了几个小时。这种类型的恶意软件攻击称为僵尸网络攻击。它由数百个携带恶意软件并同时感染数千个IoT设备的机器人提供动力。显然,由于各种原因,物联网设备特别容易受到这些攻击。接下来让我们一个个进行分析:
 
系统漏洞分类
 
在大多数情况下,研究人员专注于各种类型的漏洞。典型的潜在缺陷列表包括以下条目:
 
未修补的软件。许多人无视的直接漏洞。如果您是普通网民,则可以使用许多应用程序。他们中的大多数正在不断发展。开发人员使他们适应解决问题。在某些情况下,修补程序和更新可解决严重的漏洞。当人们拒绝更新时,就会出现威胁。
 
配置错误。这个概念涉及系统的各种变更。示例之一与用户开始使用新服务时获得的默认设置有关。通常,默认设置不关注安全性。您的路由器是不应保留其默认设置的小工具之一。相反,您应该定期更改凭据。因此,您将防止未经授权的访问或通信拦截。
 
凭据差。简单或重复使用的密码仍然是一个问题。尽管网络安全行业已经为每个网友提供了选择,但是使用原始和复杂密码的建议仍然被忽略。取而代之的是,人们想出了舒适的密码。这是什么意思?人们可以轻松记住的组合,以及可悲的是,黑客可以轻松猜测的组合。了解凭证填充攻击的性质后,您将需要一个非常复杂的密码来保证安全。
 
恶意软件,网络钓鱼和网络。如今,恶意软件已成为Internet不可或缺的一部分(即使我们不喜欢它)。骇客每天都会散布各种复杂的变体,研究人员并不一定总能向我们发出警告。网络钓鱼也是与到达用户邮箱的欺诈和欺诈性报价有关的主要威胁之一。
 
信任关系。这些漏洞触发了连锁反应。例如,各种系统可以彼此链接以允许访问。如果一个网络遭到破坏,其他网络也可能崩溃。
 
凭据受损。这种威胁是指对您的凭据的不道德勒索。后来,它们被用来获得未经授权的访问。例如,我们可以使用未经正确加密的系统之间的通信。然后,黑客可以拦截此交换并以纯文本形式检索密码。
 
恶毒的内幕。系统中的某些参与者可以利用他们的特权并执行恶意操作。
 
加密不正确。黑客或其他恶意资源可以拦截网络上加密不良的通信。由于存在此类漏洞,因此可能会发生许多灾难性的情况。例如,骗子可以获取机密信息或在部门之间散布虚假信息。
 
零日漏洞和其他缺陷。此类漏洞无法解决,并且会继续困扰着系统。黑客将尝试利用此类缺陷,并查看哪些系统可能受到威胁。
 
没有经验的用户:是最大的漏洞
 
物联网是一个复杂的概念。大多数使用互联网连接设备的人远非精通技术的专家。没有人告诉他们他们的咖啡机可能被入侵,或者他们的相机可以被用来发起DDoS攻击。网络安全专家在过去的二十年中一直在强调强密码的重要性,而不是单击电子邮件中的恶意链接。
 
消费者认为公司和服务有责任确保其数据安全。他们甚至建议企业应采取法律行动。这是什么意思?好吧,用户希望公司将其安全性看作不是遵守规则,而是自然而然的责任。但是,这种态度可能会导致非常严重的漏洞。用户可以将所有责任留给政府和其他机构。如果不将自己视为重要变量,他们可能不会实施必要的网络安全步骤。因此,我们认为需要保持平衡。公司和消费者都需要积极主动地保护自己的信息。
 
制造过程中的缺陷
 
物联网市场爆炸性增长是因为物联网设备提供了更多的便利,易于使用并带来了真正的价值。但是,这个市场呈指数增长的另一个原因是-物联网设备价格合理。您无需再变得超级富有,即可将整个家庭变成一个智能家居。
 
制造商将其视为机遇,并争先恐后地抢占了自己的物联网市场。结果–无监督且便宜的制造过程,以及缺乏或完全缺乏合规性。这是制造难以妥协的物联网设备的秘诀,只有政府才能通过严格的法律和法规来解决。因此,错误的生产可能导致各种问题,例如注入缺陷。
 
所有程序和服务都必须在认为内容合适之前对其进行过滤。如果此类过程缺少适当的身份验证步骤,则它们可以充当更大问题的网关。输入的另一个问题是跨站点脚本(XSS)。简而言之,它是指为Web应用程序提供带有输入的JavaScript标记的过程。可疑输入的目的可能有所不同。可能是良性的,也可能是恶意的。
 
不定期更新
 
大多数著名的物联网品牌一词都在不断地致力于发现其设备上的漏洞。一旦找到后门,他们就会发布更新和补丁以提供必要的安全修复程序。最终用户需要更新其IoT设备,这是一个潜在的问题,因为人们仍然不愿更新其智能手机和计算机。研究人员发布了最具破坏性的漏洞列表。其中包括尚未修补的缺陷,并将继续威胁用户的安全。其中之一允许黑客通过诱骗的Microsoft Office文档运行恶意软件。另一个反映了Drupal的关键性质,它允许黑客传播被称为Kitty的恶意软件病毒。
 
有许多具有自动更新功能的IoT设备,但是此过程存在安全问题。设备应用更新之前,它将备份发送到服务器。黑客可以利用这一机会来窃取数据。公共Wi-Fi和加密网络上的IoT设备特别容易受到此类攻击。可以通过使用在线VPN来防止这种情况。它加密连接并屏蔽网络上所有设备的IP地址。
 
影子物联网设备
 
即使本地网络完全安全,并且其上所有IoT设备的固件和软件都已更新到最新版本,影子IoT设备也可能造成严重破坏。这些设备(也称为流氓IoT设备)可以完美地复制为替代而构建的IoT设备。
 
随着BYOD成为垂直行业的主要趋势,员工可以将自己感染的IoT设备带入工作中。一旦连接到网络,恶意的IoT设备就可以下载并发送或处理数据。潜在的损害是无法理解的。
 
在线物联网设备的数量每天都在增加。物联网的这些网络安全问题应同时涉及个人和企业用户。如果我们想看到结果,则必须最小化与IoT相关的安全漏洞。凭着物联网行业的当前状况以及最终用户的意识,可以肯定地说,我们将至少看到更多由物联网驱动的大规模网络攻击。我们只有更加关注消费者和公司对待漏洞的方式。在发生前阻止破坏行动。

11月 11,2020 by admin

红队必备-WEB蜜罐识别阻断插件

在真实攻防演习中,蓝队不再像以前只是被动防守,而是慢慢开始转变到主动出击的角色。对蓝队反制红队帮助最大的想来非蜜罐莫属,现在的商业蜜罐除了会模拟一个虚拟的靶机之外,还承担了一个很重要的任务:溯源黑客真实身份。相当一部分黑客因为浏览器没开隐身模式导致被利用jsonhijack漏洞抓到真实ID,虽然可以反手一个举报到src换积分,但是在漏洞修复之前,又是一批战友被溯源。相信很对已经被溯源的红方选手对此更有体会。

 
在这种背景下,各位红方老司机应当很需要一个能自动识别这种WEB蜜罐,因此我们写了个简单的chrome插件,用来帮助我们摆脱被溯源到真实ID的困境。插件有两个功能,一是识别当前访问的网站是否是蜜罐,是的话就弹框预警;二是对访问的jsonp接口进行重置,防止对方获取到真实ID。所采用的原理非常简单粗暴,就是判断当前网站域和jsonp接口的域是否是同一个,不是的话就预警并阻断。比如我访问一个http://1.2.3.4/的网站,结果这个网站里的js去请求了一个baidu.com的api,那妥妥的有问题了。但是粗暴判断也会带来误报,比如我正常访问baidu.com,但是其引用了个apibaidu.com的jsonp,就一样也会报警和拦截,这种情况下就暂时用白名单来解决了。

 

使用方法:

 
下载地址:https://github.com/cnrstar/anti-honeypot

 
打开chrome的插件管理 chrome://extensions/:

 
打开开发者模式,并点击”加载已解压的扩展程序”,选择对应的目录导入即可

 

 
当访问到满足条件的网站,会弹出警告框并阻断这个请求,注意开启弹窗权限。
 

 
由于时间问题,只能简单写个开源出来,希望能帮到大家,大家可以对源码随意修改,然后开源出来,红方加油!

 
原创文章,转载请注明出处:四维创智

9月 17,2020 by admin

回顾2020两会丨关于个人信息保护,代表委员们都说了些啥?

两会代表委员谈个人信息保护
 
今年两会期间,“个人信息保护”再次成为大家关注的热门话题。万众瞩目的《民法典(草案)》提请审议,草案可谓进一步强化了对隐私权和个人信息的保护。在5月25日的全国人大常委会工作报告中也指出,下一步的主要工作安排将制定个人信息保护法、数据安全法等。许多代表委员对于个人信息保护,都表达了自己的看法和建议。为此,小编特意整理了部分代表委员的精彩观点,与读者分享。
 
全国政协委员、国务院参事 甄贞
 
在新冠肺炎疫情防控期间,公民个人信息收集不规范、保护不到位等问题依然较为突出。因此,应当有针对性地对过度收集、疏于监管等问题加以解决,并加大对违法行为的打击力度,使得公民个人信息得到更好地保护。
甄贞建议,对于收集公民个人信息的范围作出明确规定,严格挂钩疫情防控目的,凡非疫情防控所必需的信息,任何单位和个人一律不得收集,并根据重点人群与普通人群的防控特点,向社会公开发布个人信息收集名录。
甄贞认为,应当建立公民个人信息定期清理机制,参照档案保存的管理模式,明确疫情防控期间收集的不同类别个人信息的保管期限,对于期限届满的个人信息,由相关负责人员及时运用删除数据库、销毁纸质文档等方式予以清除,降低信息保管成本和泄露风险。甄贞建议,加大执法监督力度,严厉惩治侵犯公民个人信息违法行为,执法部门通过官方网站、公众号等多元化载体公开举报方式,进一步畅通违法行为线索收集渠道,对于查实的违法行为依法全面从严从重处理,并定期发布涉疫情类侵犯公民个人信息行为典型案例。
 
全国人大代表、全国人大社会建设委员会副主任委员 任贤良
 
任贤良带来了一份建议,专门探讨后疫情时期个人信息何去何从。在他看来,防疫期间采取的一些特殊措施,不能没完没了地延续下去。疫情结束后,有关部门应当对收集的个人信息进行封存、销毁。在收集、存储个人信息等方面,我们相关的法律也得跟上。
 
全国政协委员、国务院发展研究中心原副主任 王一鸣
 
王一鸣建议加快个人信息安全立法,在大力推进数字经济发展中切实保障个人信息安全。
 
全国政协委员、证监会科技监管工作委员会副主任 张野
 
张野表示,在个人信息保护上,信息当事人有权决定自己的个人信息应当如何被公开、如何被使用,对个人信息的收集、使用、公开,都应当以当事人的同意为前提,法律要设计多种规范以保证当事人同意的有效性。数据收集保存方,要提高数据安全意识,在数据安全保护义务方面尽职尽责,强化其在信息保护方面的责任。
 
全国政协委员、民建中央副主席、上海市社会主义学院院长 周汉民
 
周汉民指出,我国现有法规明确规定个人信息不得交易,数据产业在其发展中存在着诸多不确定因素和法律风险。尤其是在个人信息交易过程中可能涉及的隐私风险,就如同悬在大数据从业者头上的“达摩克利斯之剑”,成为从业者最为担忧的风险之一。
 
周汉民认为,可以将个人信息隐身份定义为,数据控制者将数据集中可识别个人身份的数据进行删除或者改变的过程。简单而言,即为去除数据集中个人可识别信息的过程。“在将来我国个人信息保护专门立法中,亟需对个人信息隐身份制度进行规范。” 周汉民委员指出,合理恰当地运用隐身份技术可以较好地实现个人隐私保护与信息利用之间的平衡,而一旦隐身份技术被滥用,或者隐身份的行业标准难以一致,隐身份就难以实现本应具有的法律效果,甚至可能导致新的隐私风险,及至影响大数据产业的发展。
 
全国政协委员、360董事长 周鸿祎
 
周鸿祎建议,从物权角度明确个人托管在厂商的信息所有权属于自然人,厂商收集信息时应保障用户的知情权和选择权。同时,如果厂商没有能力采取合理的网络安全技术措施,不能有效地保护所收集的用户信息,应剥夺其收集信息的权利,或者在信息泄漏后用户可以对其进行集体诉讼。
 
全国政协委员、百度董事长 李彦宏
 
李彦宏建议,对疫情期间采集的个人信息设立退出机制,加强对已收集数据的规范性管理,研究制定特殊时期的公民个人信息收集、存储和使用的标准和规范。
 
全国人大代表、全国人大宪法和法律委员会委员、中国法学会副会长、中华全国律师协会会长 王俊峰
 
王俊峰认为,在疫情前期,一些地区可能不同程度地存在“重采集、轻管理”的情况,进而滋生了一些不合法、不合规的个人信息收集与披露行为。他建议,一是疫情期间个人信息的采集汇聚要严格细化、依法合规。二是个人信息的使用存储要因时因地、手段科学。三是个人信息的销毁删除要及时推进、落实责任。
 
全国人大代表、中国人民银行参事 周振海
 
周振海表示,如果出现与个人金融信息有关的不当行为,不但会直接侵害个人金融信息主体的合法权益,也会增加金融机构的诉讼风险和声誉风险,影响金融机构的正常运营。
周振海认为,金融机构要切实履行个人金融信息保护的主体责任。要教育员工切实树立信息保护法治意识;要加强制度建设,将法律、法规和相关监管规定中关于个人金融信息保护的相关规定落实到位;要加强个人信息保护内控建设,通过“技防+人防”相结合的方式,有效避免个人金融信息风险事件的发生。
 
全国政协委员、中华全国律师协会副会长 吕红兵
 
个人信息保护尚未出台统一的法律,相关规定散见于民法总则、网络安全法和侵权责任法等法律中。这些是原则性规定,在实践中对解决各类个人信息泄露、数据收集平台非法收集、处理个人信息等问题发挥的作用不够。
 
全国政协委员、搜狗公司CEO 王小川
 
个人信息泄露和AI仿真技术造假将是监管方向。之前大家一直在讨论的AI技术伦理问题,其实与现在的我们还有一定的距离。现在我们需要完善监管的,主要就是两个方向。一个是防止数据的泄露,因为随着用户开始得到更好的服务体验,机器的个人画像、大数据的捕捉、信息采集等,可能会侵犯到个人隐私。因此,如何进行隐私防范,防止数据的泄露,会是很重要的一个监管领域。另外需要注意的是,通过AI仿真技术来进行欺诈。
 
全国人大代表、科大讯飞董事长 刘庆峰
 
数据作为独立的生产要素已成为国家战略性重要资源,当前各国政府高度重视大数据的应用和发展,纷纷出台各领域、各行业的数据安全保护法规,以加强大数据应用过程中对个人隐私与数据安全的保障。
刘庆峰建议,规范管理数据全生命周期中各环节的安全保障措施,对数据的收集、流转、运营进行规范管理,避免数据泄露、数据资源滥用,对国家利益造成损害。“一旦发生数据泄露,对人工智能和大数据产业发展是非常大的冲击”。
 
全国政协委员、中华全国律师协会副会长、吉林功承律师事务所主任 迟日大
 
加快推进个人信息保护立法进程十分必要,这对于进一步推动经济社会发展,不断提升人民群众的获得感、幸福感、安全感意义重大。
 
迟日大建议,首先,个人信息收集应当明确坚持最小化收集原则。可以借助大数据、云计算、区块链等技术手段探索建立统一的公民个人信息平台,直接实现在各公共部门之间的互联互通共享,并由一个确定的主体负责收集、提供和保护。其次,应当强化行政机关、事业单位等公共部门的自我规制义务。行政机关、事业单位等公共部门对于公民个人信息的收集往往具有强制性,且收集的范围更广、内容更为具体。因此,应赋予其更为严格的个人信息保护和自我规制义务。三是应当探索完善个人信息非损害类侵权行为的救济途径,明确个人信息保护执法机关,探索建立全国统一的个人信息侵权举报平台,予以被举报者个人信息来源强制公开义务,赋予公民个人对非公共部门收集个人信息具有自主删除权利等。
 
全国人大常委会委员、农工党中央专职副主席 龚建明
 
在App快速发展的过程中,受经济利益驱使,很多App通过收集用户数据服务网络营销,但在其用户协议中并没有隐私政策条款,也就是说没有收集使用个人信息的规则,形成了霸王条款。在我国相关法律尚不完备、管理尚不到位的情况下,存在大量App对用户个人敏感信息的过度采集情况。
 
为此,龚建明建议:一、加大保护个人信息安全公益诉讼力度。二、加强对保护个人信息安全的管理工作。三、加快《个人信息保护法》立法步伐。
 
全国人大代表、广汽集团董事长 曾庆洪
 
曾庆洪建议,推进个人信息分类分级制度。现行关于个人信息安全的国家标准仅将个人信息划分为“个人信息”与“个人敏感信息”,建议后续针对网络安全法的配套立法中,进一步从个人信息的性质、内容等方面明确、细化个人信息的类别和敏感度,从而针对不同类型的个人信息给予不同程度的保护措施,实现个人信息保护和利用的有效平衡。
 
全国政协委员、香港青年联会主席、高锋集团董事局主席 吴杰庄
 
在数字化时代,个人信息和数据应当被视作是我们的个人财产。当你把它当做财产的时候,就会重视起来。应该建立一个机制让个人能更好地了解数据的用途,根据数据的不同性质明确所有权和使用权,被授权企业和政府在使用数据前更应该对数据的用途和使用期间进行明示,这样才能形成用户与平台之间的良性互动。
 
全国政协委员、重庆静昇律师事务所主任律师 彭静
 
在5G应用背景下需要高度重视进一步加强个人信息保护。彭静建议,在机制设置上,需要从强调“个人的知情许可”向“让信息处理者承担责任”方向转变,建立“谁使用谁负责”的“使用者责任”机制,以责任压力来强化使用者的个人信息保护意识。
 
同时,通过建立相应配套制度,确立“违法必有责”、“侵权必追责”的制度环境:第一,在追责机制上,建立数据侵权的过错推定责任,由侵权人证明自己没有过错,如果证明不了的,则推定其有过错,从而减轻被侵权人的举证责任;第二,采取由数据控制者与处理者承担连带侵权责任的方法,促使各方主体审慎处理和利用数据;第三,设立违法行为“处罚公示”制度,将违法企业计入“违法行为黑名单”,以有效遏制侵犯个人信息的违法行为。
 
全国人大代表、致公党上海市委专职副主委 邵志清
 
伴随科技进步,个人生物信息的采集门槛越来越低,并不需要特别的高科技,网络平台就可以采集和应用。因此,加强对个人生物信息采集和使用平台的监管,十分必要。对App、“互联网+政务”及商业机构等各类平台采集生物信息行为实行立体式、全方位监测,打击过度采集生物信息,严惩非法滥用采集信息的行为;同时,要尝试建立符合我国国情的生物信息采集应用平台准入制度,严格审核应用平台的信息安全保护能力,通过审核才能赋予其开展相应技术活动的资格。
 
全国政协委员、中国人民银行杭州中心支行行长 殷兴山
 
殷兴山在《关于大数据广泛应用背景下加强个人信息保护的提案》中表示,由于个人信息的资源价值,各个层面都重视挖掘个人信息、行为模式等数据,导致个人信息使用不断膨胀和扩散,有的被不法分子利用成为诈骗案件,保障个人信息安全迫在眉睫。
 
殷兴山建议,一是加快立法进程。二是设立专门监管机构。三是确立运营主体运营规范。四是赋予信息主体自我保护权力。
 
全国人大代表、江西省工业和信息化委员会主任 杨贵平
 
公民个人信息泄露,存在诸多方面的原因:公民个人信息安全保护意识淡薄。个人信息保护法规制度不健全。海量个人信息的系统安全防护能力薄弱。企业或个人自律不够。
杨贵平建议,应加快立法进程,尽快出台个人信息保护法。同时规范对个人信息收集、加工、使用、披露的管理,防止信息过度采集和滥用;提高承载个人信息系统的安全防护能力,有效防范系统遭受非法侵入、窃取信息等风险;加强内部监管,防止内部人员非法窃取个人信息。
 
全国人大代表、中国人民银行南昌中心支行行长 张智富
 
张智富认为,国家有关个人信息保护的法律条文零散分布,难以满足个人信息安全保护的客观需求,应加快个人信息保护立法。张智富建议,采取分步推进的方式,整理现行法律、法规、规章中与个人信息保护相关的条文,将个人信息保护立法体系结构由低级向高级、由零散向系统化推进。
 
全国政协委员、北京天达共和律师事务所主任 李大进
 
全国人大代表、北京市律协会长高子程
 
我国虽然出台了一些信息安全保护的法律法规,但尚未出台针对个人隐私保护的专门立法。对于泄露个人隐私的处罚较轻,导致侵犯个人隐私的违法成本过低,个人隐私保护力度极其有限。
 
他们认为,应该明确规定哪些个人信息可以被收集,哪些不能。对于运营主体的收集行为而言,殷兴山认为要有明确正当的目的,要符合“最少、必需”要求,并经过信息主体明示同意。
 
全国人大代表、世纪荣华投资控股集团有限公司董事长 崔荣华
 
应把个人信息上升为个人基本权利。崔荣华提出个人信息保护的知情同意、目的明确、使用限制、信息质量、安全管理、禁止泄露、保存时限和自由流通等八项原则,严格企业和机构的信息保护责任,加大处罚力度。
 
她认为,立法应当明确侵害个人信息权利的责任。如因信息采集主体保管不善导致个人信息泄露,信息采集主体应当依法承担相应责任;如工作人员私自泄露了个人信息,除个人应当承担责任外,信息采集主体业应视具体情节也依法承担责任;如信息采集主体对个人信息保管不善,同时又有第三方非法获取并使用个人信息,则信息采集主体与第三方共同承担赔偿责任。
 
全国政协委员、北京国际城市发展研究院院长 连玉明
 
连玉明建议,《个人信息保护法》应充分考虑根据应用场景对个人信息进行分类分级保护条款,对行政机关、公共机构的信息收集、使用和处理行为也要加以规范。
 
全国政协委员、德勤中国副主席 蒋颖
 
蒋颖提出,在防疫过程中,为了保护自己和周围人的人身安全,我们的个人信息可能被无限制使用。短期而言,这些信息的善后处理问题亟需各方关注。长期来看,未来类似的事件发生后,个人信息的收集是否应该要有一些特别的管理模式。
 
全国人大代表、今世缘酒业党委书记、董事长 周素明
 
周素明表示,收集个人信息需要在公共利益与个人信息保护之间保持平衡。一方面采集者要本着“最少原则”收集个人信息,明确个人信息收集的范围;另一方面,要保障公众的知情权,让公众知道自己的信息去哪儿了。
 
全国人大代表、重庆市大数据应用发展管理局副局长 杨帆
 
不同的信息采集者,对个人信息保护的意识和能力参差不齐,加强疫情期间收集的个人信息保护迫在眉睫。
 
杨帆建议,应建立健全公共卫生事件数据共享开放制度,进一步明确数据采集标准、共享开放权限、融合应用流程、安全隐私保护和信息发布规则,优化完善相关法律法规,为大数据应用发展提供良好的法治环境。
 
全国政协委员、未来国际董事长 王茜
 
王茜委员在提交的《关于规范和促进个人信息使用和保护的提案》中建议,国家立法机构加快个人信息保护法、数据安全法等立法进程工作,明确突发公共卫生事件防控中个人信息保护相关条款。同时,建议由中央网信办牵头,联合公安部、民政部、教育部、医保局等有关个人信息重点采集使用部门,在《信息安全技术个人信息安全规范》《关于做好个人信息保护利用大数据支撑联防联控工作的通知》等基础上,研究形成“公民个人信息使用保护目录正负面清单”,建立“公民个人信息使用保护安全审查制度”,形成体系化、可操作、有针对性的个人信息使用和保护规则、指南、标准,用以规范个人信息的采集、汇聚、存储、利用、销毁等全生命周期。
 
全国人大代表、重庆机场集团党委书记 谭平川
 
目前在个人信息法律保护方面存在以下几个方面的问题:一是个人信息被过度收集,侵害老百姓合法权益。二是个人信息被非法滥用,电话频繁骚扰,影响老百姓日常生活。二是个人信息被非法滥用,电话频繁骚扰,影响老百姓日常生活。谭平川建议,加强源头治理,综合整治。谭平川建议,加强源头治理,综合整治。
 
全国人大代表、人民银行武汉分行行长 王玉玲
 
全国人大代表、中国人民银行南京分行行长郭新明
 
金融领域个人信息具有特殊性,与其他个人信息相比,其与个人的资产、信用状况等高度相关,一旦泄露,不仅会侵害个人隐私,还可能对信息主体的财产安全造成很大威胁。
 
个人金融信息保护是银行业金融机构的一项法定义务,在信息化时代如何加强个人信息保护,如何把握个人信息保护和信息合理应用之间的适度平衡,是金融监管需要深入思考的问题。
 
王玉玲、郭新明均表示,对一些打着大数据、金融科技旗号,无经营资质但实质从事个人征信业务,违规获取、泄露个人敏感和隐私信息的机构,人民银行将配合公安部门依法严肃查处。
 
全国人大代表、西北稀有金属材料研究院宁夏有限公司副总经理 王东新
 
王东新认为,要建立科学完备的法律保护体系,除了规定刑事责任,还要注重行政责任和民事责任,实施对公民个人信息的立体保护。只有建立起科学完备的公民个人信息保护法律体系,法律兜底才能做到有法可依,才能对侵犯公民个人信息的行为予以更有力的惩罚,并对各方不法行为实现源头治理。
 
全国人大代表、湖北得伟君尚律师事务所主任律师 蔡学恩
 
公民个人信息是一种重要且特殊的资源,近年来,个人信息被侵权问题多发,新冠肺炎疫情防控期间,也有泄露个人信息的事件发生。侵害个人信息的行为不仅危害公民的人身和财产安全,也会损害社会公共利益。建议将个人信息保护纳入检察公益诉讼范围,加强个人信息保护,维护社会公共利益。
 
全国政协委员、月星集团董事长 丁佐宏
 
新冠疫情暴发以来,各类健康码应运而生。国家码、航空公司等的行业码、公司码,各地的省码、市码、社区码,甚至机场还有登机口码,一次出行需要多次扫码、多次填写个人的相同资料,且互不通用、互不相认。目前,国家政务服务平台上线的“防疫健康信息码”在各地并不能替代“散装码”。
 
丁佐宏建议,应改变“散装码”现状,以制度形式使国家版健康码成为唯一的“健康码”。清理、清退非国家层面的各类“散装码”,停止“散装码”的信息采集和应用,禁用并销毁已经采存的各类数据。建立具有法律效力的相应制度,对各种“散装码”清理清退之后违规应用、特别是将信息滥用于商业目的行为,依法给予严惩。
 
全国人大常委会法工委近日透露,《个人信息保护法》正在研究起草中,目前草案稿已经形成。

8月 28,2020 by admin

根本防不住!不用你参与,就能用摩托罗拉手机转空你的银行卡!

近期警方抓获了一个利用“嗅探”技术的新型银行卡盗刷的团伙,他们利用的这个手段挺可怕的,一部摩托罗拉手机、一个特制的U盘系统,不用你参与,就能在你眼皮底下转空你银行卡里的钱。

 
我们熟知的这些银行卡诈骗手段一般都会给你打电话或者发信息去诱导你给骗子打钱或者访问他们做好的假链接获取你的银行卡信息等之后进行盗取。

 
只要你不和骗子进行任何互动,骗子其实也没有办法去盗刷你的银行卡。
 

而这次的作案手段,不需要你和骗子有任何互动!你就会一直收到银行卡的扣款信息。警方在办案的时候也非常奇怪,甚至很多技术细节,和作案手段都是在抓捕到犯罪团伙之后才知道的。
 

 
2019年7月4日凌晨3点多,被采访的宋女士的手机突然收到了几条短信验证码,起先宋女士以为只是诈骗的垃圾信息没有在意,但随后再收到短信就是5万款的转卡通知。
 

 

凌晨3点多,自己还在家肯定没有进行消费了,是我我也肯定觉得这是骗子发来的诈骗短信诱导打电话或者访问诈骗链接的。
 

紧接着就收到了两条银行卡取款信息。

 

 

直到最后5万块被转走,宋女士也没有进行过任何操作,整个过程就几分钟,我在看到这篇新闻的时候和宋女士的反应一样,怎么坐在家里什么也不干,这钱就没了?

 

 
宋女士在经历了这一切之后,确认自己的钱已经被盗走,马上拨打了110报警,但民警也傻了,以前接到电信诈骗的案子无不例外都是点个链接、发个信息、下个软件之类的,而这次的案子居然什么都没有就把钱刷走了。
 

 
虽然不知道犯罪分子用什么手法作案,但是警方通过被盗刷资金的流向,找到犯罪分子取款的ATM取款机,通过摄像头等等线索盘查,最终在广东惠州将犯罪嫌疑人抓获。

 

通过审讯,警方才从犯罪嫌疑人口中了解到了整个犯罪的全过程。
 

先是如何获取到被害人的动态验证码:
 

 
犯罪嫌疑人通过下家在被害人居住附近“嗅探”被害人的动态验证码,然后经过洗钱通道将钱转出。如何操作呢?他们还有一个自己的“伪基站”设备:

 

 

将摩托罗拉118手机进行一番改造成一个“接收天线”,再配合上特定的U盘系统,一个“伪基站”就做好了。
 

一个改装方案特别成熟的“伪基站”设备,成本一个手机15块钱,整个拼接过程非常简单,稍微有点动手能力的都能完成。做好之后连上电脑就可以进行模仿基站的信号,嗅探周围手机短信。
 

 

为什么这么简单就能嗅探到短信进行盗刷?因为2G网络的加密方式太过简单,早就已经被人获取。
 

 

犯罪分子通过设备干扰手机迫使信号降到2G网络,然后进行嗅探截获短信验证码。
 

而且,在犯案过程中,犯罪嫌疑人会先利用其他平台进行充值、注册等方式获取你的银行卡、姓名、身份证号、手机号等信息,挑选有“价值”的被害人进行犯案。
 


 

只要获取你一个部分信息,就可以顺藤摸瓜找出你所有信息。
 

通过各种脚本进行跑卡。
 

 
从获取你一点信息到最后使用“伪基站”嗅探将你的钱转走,就是这么简单。
 

真的是防不胜防,真要说如何防范的话,断网!卡里没钱!不绑定各种信息!应该可以吧。

 
其实这次的案件使用的技术并不高超,但反应出来的问题却很严重,现在我们都已步入5G时代,极少数有人会去使用2G网络,但2G网络现在俨然已经成为了一个“后门”,而且随着网络现在越来越便捷,“免密支付”等方便操作方式的出现,让我们在便利的同时也多了许多危险的可能性。

8月 24,2020 by admin

“新基建”定义网络安全技术创新新范式

2020年初,中央层面密集出台相关政策,全面部署提速“新基建”战略进程。“新基建”带动新一代信息通信技术的集成创新和融合应用,持续驱动高质量发展,加速国家数字化转型进程,促进国家网络空间治理体系和治理能力现代化建设。与此同时,全球政治、经济和治理格局都在发生着深刻而复杂的变化。在各国激烈角逐制网权的网络空间新变局下,网络安全在保障“新基建”建设、保障高质量可持续发展中的战略性、全局性和基础性地位尤为凸显。“新基建”下的网络安全场景更加复杂、风险更加突出、形势更为严峻,网络安全理念和技术实践将面临时代赋予的全新挑战。
 
一、“新基建”为网络安全发展注入新动能
 
2020年4月20日,国家发改委明确定义了“以新发展理念为引领,以技术创新为驱动,以信息网络为基础,面向高质量发展需要,提供数字转型、智能升级、融合创新等服务的基础设施体系”,界定了包括信息基础设施、融合基础设施、创新基础设施等在内的“新基建”概念范畴。其中,信息基础设施泛指以5G、物联网、工业互联网、卫星互联网等为代表的通信网络基础设施,以人工智能、云计算、区块链等为代表的新技术基础设施,以数据中心、智能计算中心为代表的算力基础设施等;融合基础设施主要表征互联网、大数据、人工智能等技术在传统基础设施转型升级中的深度应用,包括智能交通基础设施、智慧能源基础设施等;创新基础设施则指代重大科技基础设施、科教基础设施、产业技术创新基础设施等,支撑科学研究、技术开发、产品研制的具有公益属性的基础设施。
 
从对“新基建”概念范畴的定义可以看出,“新基建”是新一代信息通信技术与传统基础设施的深度融合,呈现高度网络化、数字化、智能化的显著特征。数字经济时代,“新基建”将加速网络世界和物理世界的全面融合。届时,垂直行业应用从隔离孤立走向深度网联,网络架构从自律中心化走向分布自组织,连接场景从人机互联走向万物互联。在“新基建”构建的全连接网络物理世界中,网络安全无疑将成为保障“新基建”安全建设中固其本源的基础性工程。新基础建在推动质量变革、效率变革和动力变革的同时,也将为网络安全技术产业创新发展提供宝贵机遇。一方面,人工智能、云计算、区块链等新一代信息技术不断驱动安全技术迭代创新、智能升级,将加快拟态防御、安全自动化、零信任安全等安全新理念落地发展;另一方面,“新基建”安全的同步建设,也将大量激发网络安全市场活力,为网络安全产业提供充沛的市场需求和广阔的增长空间。
 
二、“新基建”给网络安全带来新挑战
 
(一)“新基建”拓展多元化应用场景,带来从“通用安全”向“按需安全”转变的新需求
 
“新基建”加速数字经济与实体经济融合发展,不断推动传统行业数字化转型,随之而来的是网络安全威胁风险从数字世界向实体经济的逐渐渗透。在此过程中,网络安全的内涵外延不断扩大,“新基建”网络安全保障需求从“通用安全”向“按需安全”拓展延伸。例如,数字孪生、网络切片等技术加速“5G+垂直行业”应用落地,智慧城市、智慧能源、智能制造等领域融合基础设施组网架构更新迭代周期各异、终端设备能力高低不一、数据流量类型千差万别,投射出千人千面的网络安全保障需求;工业互联网打破传统工业控制系统封闭格局,工业现场侧与互联网侧安全基准需实现按需对接;数据中心加快云化整合,算力基础设施中海量资源集聚风险突出,与传统基础设施相比攻击容忍度更低,重要生产要素资源面临“一失尽失”的安全威胁。因此,“新基建”下,网络安全的效能将不再由漏报率、误报率、抗DDoS攻击流量峰值等统一指标来简单衡量,而是需要构建场景化的按需安全能力供给模式。
 
(二)“新基建”带动新技术融合应用,倒逼智能安全防御能力加速成型
 
“新基建”加速人工智能、区块链等新一代信息通信技术的落地应用。一方面,新技术本身的安全缺陷和安全隐患不容忽视。近年来,人工智能等新技术开源平台、开发框架屡次被曝安全漏洞,导致其上开发的应用权限被控制、用户数据被窃取等事件频频发生。另一方面,新技术的融合应用较之传统技术而言在计算能力、传输能力、存储能力等方面带来大幅跃升,也可能诱发更加高效、有针对性、难于发现和追溯的网络攻击,对既有网络安全防御规则形成了极大的挑战。例如,泛在技术在5G、物联网等通信网络基础设施中的融合应用驱动了大规模机器通信(mMTC)业务的不断成熟,构建了全连接的物物互联网络,而网络攻击威胁范围也随着泛在技术的发展而急剧扩张;区块链技术防篡改、分布式等技术特性为其上存储和传播的有害信息提供了天然的技术庇护;人工智能技术可通过对数据的再学习和再推理进行数据的深度挖掘分析,导致现行的数据匿名化等安全保护措施失效,个人隐私变得更易被挖掘和暴露。随着新技术在“新基建”中的加速融合应用,网络安全也需提早形成“以技术对技术、以智能对智能”的安全能力。
 
(三)“新基建”加大安全边界泛化程度,催生“紧耦合”的一体化安全需求
 
“新基建”浪潮下,传统基于物理界限、实体域划分的安全边界概念快速模糊泛化。例如,5G
 
打造了“通信网络基础设施+网络切片+业务平台+垂直行业应用”的深度融合新业态,运营商网络环境与垂直行业应用场景间的安全边界加速泛化;物联网依托智能感知、泛在接入等技术,实现人与人、人与物、物与物之间无障碍的信息获取、传递、存储、认知、决策与使用,带来了网络形态的持续快速变动,加大了网络安全边界变化延伸的不可预测性;虚拟化技术的全面应用推动新型基础设施的开放性和服务化进程,也使得传统基于实体隔离的安全边界划分方式不再适用。因此,在“新基建”时代,面临深度融合、快速变化的外部环境,先建设再定界、先定界再加固的传统安全防护模式将加剧网络安全攻防不对称性,防御方若一味跟随式被动应对,将难以形成高效敏捷的安全防线,需进一步将网络安全工作前置,打造架构即安全的一体化安全能力。
 
(四)“新基建”重塑网络安全生态,推动构建以能力为导向的协同安全局面随着
 
“新基建”战略部署进程的不断深入,运营商、云服务商、行业用户等各相关方将跳出传统的单一供需关系,形成“你中有我、我中有你”的融合发展局面。例如,5G通过网网络能力开放,将业务路由、计费、拥塞控制等网络功能,以及鉴权认证等5G安全能力开放给上层应用和业务,打通了移动通信网基础业务能力与第三方服务间的流通通道;利用网络切片技术在统一的基础设施平台上实现逻辑隔离、定制化、端到端的网络切分,通过在不同网络切片上动态分配网络资源和能力,延伸了通信行业与OTT公司业务合作的手段。随着网络建设、业务供需等模式的转变,运营商的安全责任范畴逐渐拓宽,行业用户的安全参与度变得更高,安全企业也从单一的安全产品、安全服务的提供商转变为网络安全基础设施的建设者,甚至是具备安全属性的新型基础设施建设者。“新基建”下,各相关方安全角色的变化将打开全新的网络安全协同局面。
 
三、“新基建”下网络安全技术创新展望
 
(一)按需安全防御理念加快落地
 
按需安全是网络安全技术体系从全面到专精的必然产物。面向“新基建”下不同基础设施类型、不同业务应用性质、不同安全威胁表征等高度异构化的安全保障需求,按需安全的意义是构建网络安全决策中枢和调度中心,通过对安全需求进行针对性的建模,将已有漏洞扫描、入侵监测、特征匹配等基础安全能力规范化封装,从而建立流程化、可编排、可调度的安全技术和能力体系,以实现对不同安全等级、不同事件类别、不同应用场景安全事件的自动化防御和响应,实现强针对性、高自动化的安全决策和部署。“新基建”中的按需安全不仅有助于实现对已有安全能力的有机整合,也将有效降低实现不同安全技术产品耦合所需的人力和时间成本,解放网络安全人力、缓解网络安全人才短缺现状,在面对国家级、高级别网络安全威胁时有助于形成网络安全防护合力。
 
(二)智能安全防御能力加速成型
 
目前,我国智能安全防御体系的构建仍处于早期阶段,但现有威胁情报、态势感知、安全大数据分析等技术和产品的快速成熟为智能安全防御能力的构建累积了良好的发展基础。面对网络攻击对抗手段日趋精细复杂、新技术不断融合催生新型攻击手段的客观安全形势。在“新基建”网络安全中需进一步加强拟态安全、自适应安全、安全自动化等主动智能的防御理念和技术体系布局,深化网络安全与大数据、人工智能、区块链等前沿技术的融合创新,形成覆盖新型基础设施的未知安全风险预先感知、行为预判、路径预测和提前阻断能力,在提前感知威胁、预判攻击行为、提升攻击发现和防御实效等方面构筑非对称战略优势。
 
(三)一体化安全防御体系雏形初现
 
“新基建”下安全边界的逐渐泛化不断冲击边界即安全、隔离即安全的“松耦合式”安全防御体系。一方面,外挂式的安全防御和应用场景间交互性不高;另一方面,一旦攻击者突破外围安全防线便可长驱直入,造成一点突破、全盘皆失的影响。当前,Google、Illumio等大型互联网企业和安全厂商均已部署各自的“架构即安全”产品和相关平台,通过防范内部威胁与外部防御形成有机互补。“新基建”网络安全也需同步构建可信的底层安全基础设施,以零信任安全、分布式信任管理体系等搭建一体化的安全架构,以实现网络架构和安全架构相辅相成、内源安全能力和外防安全手段有机互补的一体化安全防御体系。
 
(四)高效协同的网络安全生态不断优化
 
在国家大力发展数字经济和“新基建”背景下,随着网络安全生态结构优化的驱动力逐步由安全合规性建设向按需安全、智能安全、一体化安全转变。安全企业在新型基础设施建设早期的参与度将快速提升,在网络部署、业务上线和场景构建之初合力构建高效协同、精准施策的安全指南和解决方案。行业主管部门、行业用户等可探索通过推荐目录等方式,打造涵盖“新基建”网络安全先进技术产品和服务的“一揽子”解决方案,推进先进技术应用普及,增强网络安全能力建设体系化水平。政企间进一步加强覆盖“新基建”网络安全技术、最佳实践和威胁应对等方面的协同联动和信息共享;逐步打造“新基建”网络安全公共服务生态,形成集聚发展效应,促进市场供需对接。(本文刊登于《中国信息安全》杂志2020年第5期

6月 3,2020 by admin

渗透测试的8个步骤

渗透测试这个事情不是随便拿个工具就可以做了,要了解业务,还需要给出解决方案
 
渗透测试与入侵的区别
 
渗透测试:以安全为基本原则,通过攻击者以及防御者的角度去分析目标所存在的安全隐患以及脆弱性,以保护系统安全为最终目标。
 
入侵:通过各种方法,甚至破坏性的操作,来获取系统权限以及各种敏感信息。
 
一般渗透测试流程
 

 
1. 明确目标
 
确定范围:测试目标的范围、ip、域名、内外网、测试账户。
 
确定规则:能渗透到什么程度,所需要的时间、能否修改上传、能否提权、等等。
 
确定需求:web应用的漏洞、业务逻辑漏洞、人员权限管理漏洞、等等。
 
2. 信息收集
 
方式:主动扫描,开放搜索等。 开放搜索:利用搜索引擎获得:后台、未授权页面、敏感url、等等。
 
基础信息:IP、网段、域名、端口。
 
应用信息:各端口的应用。例如web应用、邮件应用、等等。
 
系统信息:操作系统版本
 
版本信息:所有这些探测到的东西的版本。
 
服务信息:中间件的各类信息,插件信息。
 
人员信息:域名注册人员信息,web应用中发帖人的id,管理员姓名等。
 
防护信息:试着看能否探测到防护设备。
 
3. 漏洞探测
 
利用上一步中列出的各种系统,应用等使用相应的漏洞。
 
方法:
 
(1) 漏扫,awvs,IBM appscan等。
 
(2) 结合漏洞去exploit-db等位置找利用。
 
(3) 在网上寻找验证poc。
 
内容:
 
系统漏洞:系统没有及时打补丁
 
WebSever漏洞:WebSever配置问题
 
Web应用漏洞:Web应用开发问题
 
其它端口服务漏洞:各种21/8080(st2)/7001/22/3389
 
通信安全:明文传输,token在cookie中传送等。
 
4. 漏洞验证
 
将上一步中发现的有可能可以成功利用的全部漏洞都验证一遍。结合实际情况,搭建模拟环境进行试验。成功后再应用于目标中。
 
自动化验证:结合自动化扫描工具提供的结果
 
手工验证,根据公开资源进行验证
 
试验验证:自己搭建模拟环境进行验证
 
登陆猜解:有时可以尝试猜解一下登陆口的账号密码等信息
 
业务漏洞验证:如发现业务漏洞,要进行验证
 
公开资源的利用
 
exploit-db/wooyun/
 
google hacking
 
渗透代码网站
 
通用、缺省口令
 
厂商的漏洞警告等等。
 
5. 信息分析
 
为下一步实施渗透做准备。
 
精准打击:准备好上一步探测到的漏洞的exp,用来精准打击
 
绕过防御机制:是否有防火墙等设备,如何绕过
 
定制攻击路径:最佳工具路径,根据薄弱入口,高内网权限位置,最终目标
 
绕过检测机制:是否有检测机制,流量监控,杀毒软件,恶意代码检测等(免杀)
 
攻击代码:经过试验得来的代码,包括不限于xss代码,sql注入语句等
 
6. 获取所需
 
实施攻击:根据前几步的结果,进行攻击
 
获取内部信息:基础设施(网络连接,vpn,路由,拓扑等)
 
进一步渗透:内网入侵,敏感目标
 
持续性存在:一般我们对客户做渗透不需要。rookit,后门,添加管理账号,驻扎手法等
 
清理痕迹:清理相关日志(访问,操作),上传文件等
 
7. 信息整理
 
整理渗透工具:整理渗透过程中用到的代码,poc,exp等
 
整理收集信息:整理渗透过程中收集到的一切信息
 
整理漏洞信息:整理渗透过程中遇到的各种漏洞,各种脆弱位置信息
 
8. 形成报告
 
按需整理:按照之前第一步跟客户确定好的范围,需求来整理资料,并将资料形成报告
 
补充介绍:要对漏洞成因,验证过程和带来危害进行分析
 
修补建议:当然要对所有产生的问题提出合理高效安全的解决办法
 
流程总结:
 

来自:freebuf

4月 27,2020 by admin

漏洞警告!发封电邮就可入侵iPhone?

iOS系统出现惊天漏洞导致任意iPhone均可被感染 苹果正在紧急修复。
 
你的iPhone不安全,就算静静地躺在那里也不安全。
 
最新曝光,来自国外安全团队ZecOps公布了一个惊天大漏洞,估测涉及5亿用户。
 
而且该漏洞在iOS系统里已存在8年之久,从iOS 6到iOS 13.4.1的设备全部中招……
 
什么概念?
 
此次安全漏洞值得关注的只要有以下原因 :
 
1.无需用户交互即可利用 ;
 
2.可远程触发 ;
 
3.攻击者已在野外进行利用。
 
几乎所有的iPhone用户和iPad用户,都可能会中招——除非你在用的是运行iOS 5的iPhone 4s或者更低版本的iPhone。
 
更可怕的是,这个漏洞不需要用户任何点击,只要给用户发送一封电子邮件,甚至邮件还在下载过程中,就能触发漏洞攻击。
 
但鬼故事还在后面。
 
该团队发现最早的攻击行为出现了2018年1月,也就是说黑客已经肆无忌惮地利用这个漏洞攻击了两年。
 
而且苹果只能等到下一次iOS更新才能彻底堵上它。
 

 
中毒后会有什么症状?
 
除了手机邮件App暂时的速度下降之外,用户一般不会观察到任何其他的异常行为。
 
黑客在iOS 12上尝试利用漏洞后,用户可能会遭遇邮件App突然崩溃的现象,之后会在收件箱里看到“此消息无内容”这样的邮件。
 
而在iOS13上,攻击更为隐蔽。
 
如果黑客在攻击成功后再进行一次攻击,还能删除电子邮件,用户看不到任何迹象。
 

 
如果看到自己的邮件App里有类似的信息,那你就要小心了,说明黑客已经盯上了你。
 
现在,这一漏洞使攻击者,可以在默认的邮件App的上下文中运行代码,从而可以读取、修改或删除邮件。
 
附加的内核漏洞还可以提供完全的设备访问权限,所以ZecOps团队怀疑黑客还掌握着另一个漏洞。
 
不过,ZecOps团队发现,黑客攻击的目标主要集中在企业高管和国外记者的设备上,如果你不在此列,暂时不必过于担心。
 
漏洞是什么?
 
这一漏洞可以允许执行远程代码,通过向设备发送占用大量内存的电子邮件使其感染。
 
另外有很多方法可以耗尽iPhone的内存资源,比如发送RTF文档。
 
ZecOps发现,导致这一攻击成功的原因是,MFMutableData在MIME库中的实现,缺少对系统调用的错误检查,ftruncate()会导致越界写入。
 
他们找到了一种无需等待系统调用失败,即可触发OOB写入的方法,还发现了可以远程触发的栈溢出漏洞。
 
OOB写入错误和堆溢出错误,都是由这样一个相同的问题导致的:未正确处理系统调用的返回值。
 
该漏洞可以在下载整封电子邮件之前就触发,即使你没有将邮件内容下载到本地。
 
甚至不排除攻击者在攻击成功后删除了邮件,做到悄无声息。
 
对于iOS 13设备的用户,无需点击就能触发,对于iOS 12的用户,需要单击这类邮件才能触发,不过在邮件加载完成之前,攻击就已经开始了。
 
关于此次漏洞的基本情况如下:
 
1.该漏洞允许远程执行代码并且攻击者可以通过滥发邮件的方式远程感染目标设备,用户遭到攻击时无明显感知。
 
2.攻击者尝试进行攻击和感染时不需要用户执行任何交互操作,也就是用户即便夜间将手机锁屏充电也可能感染。
 
3.攻击原理主要是通过邮件耗尽目标设备内存来触发漏洞,如何耗尽内存有多种方式例如邮件轰炸或者恶意代码。
 
4.堆栈溢出漏洞被广泛使用、攻击者借助漏洞甚至不需要目标设备完整下载邮件即可触发进而秘密感染目标设备。
 
5.邮件内容不需要保留在设备上即可利用漏洞因此难以发现异常、攻击者也可能可以通过其他方式自动清空邮件。
 
6.在iOS 13.x系列上只要系统自带的邮件应用在后台运行即可 , 在这种条件下攻击者无需用户执行交互即可感染。
 
7.在iOS 12.x系列上攻击者需要用户打开垃圾邮件才可以利用漏洞 , 但是用户打开邮件不会发现有任何异常情况。
 
8.如果攻击者有能力控制邮件服务器甚至还可以在iOS 12.x系列上不需要用户操作 , 即直接发送邮件即可感染等。
 
9.该漏洞自2012年的iPhone 5发布时推出的iOS 6.0 版中就出现,到最新的iOS 13.4.1版中该漏洞依然还是存在。
 

 
如何补救?
 
其实,在今年的2月份,ZecOps就向苹果公司报告可疑漏洞。
 
3月31日,ZecOps确认了第二个漏洞存在于同一区域,并且有远程触发的能力。
 
4月15日,苹果公司发布了iOS13.4.5 beta 2版,其中包含了针对这些漏洞的补丁程序,修复了这两个漏洞。
 

 
如果没有办法下载安装beta 2版的话,那就尽量别使用苹果自带的邮件App了。
 
注意!后台运行也不可以哦~一定要禁用这款原装程序才行。
 
也是时候试试其他邮箱了。
 
比如微软Outlook、谷歌Gmail、网易的邮箱大师……
 
欢迎列举补充~
 
用户反馈:已泄露的怎么办?
 
惊天漏洞,自然也少不了我伙呆。
 
不过除此之外还有一些有意思的评论:
 
有乖巧学习型:
 

 
学到了,不使用系统Mail程序了。
 
有借势推荐型:
 

 
不论如何,Gmail app>>mail app
 
有角度新奇型:
 

 
看到这个让我想起了那些说 “Mac不会得病毒 “的人!(实际上Mac确实没中招,中招的是iPhone)
 
还有担心这事儿长尾影响的:
 

 
黑客删掉一些没用的,但可能还有一些副本,即便漏洞堵上了,一些之前的信息还是可能会泄露……
 
总之,搞不好就是哪位知名人物或惊天大瓜被曝光了。
 
潘多拉魔盒已经打开……
 
虽然这是被一直认为比安卓更安全的iOS,比安卓更安全的iPhone,但也不是铁板一块。
 
嗯,不说了,我要去禁用iOS邮件应用了。
 
如果你有iPhone和iPad的朋友,也别忘了告诉TA~

4月 24,2020 by admin