网安同期声 | 数说安全:沈继业:网络安全行业进入战国时代

安在2019-09-10 13:57:34


导言:网安同期声,是安在为中国网络安全新媒体联盟专设栏目,上周网安要闻,各家媒体巡演,技管财政大全,笑看行业发展。




目录


1.安在:国网网安刘锋:国网网安·国泰民安


2.一本黑:炒币收割韭菜,炒鞋忽悠傻子,这届年轻人不球行....


3.FreeBuf:发现美国海军网站的敏感信息泄露和SQL注入漏洞


4.中国信息安全:中国信息通信研究院院长刘多:强化工业互联网安全体系化布局 筑牢制造业高质量发展安全之基


5.E安全:法国国家宪兵队与安全专家展开合作,联手铲除僵尸网络


6.看雪学院:Unicorn 在 Android 的应用之Hello World


7.网安视界:CNNIC最新统计:1.69亿青少年网民亟需网络安全保护


8.数说安全:沈继业:网络安全行业进入战国时代


9.游侠安全网:数据泄露后 Web托管服务商Hostinger重置1400万用户密码


01.安在:国网网安刘锋:国网网安·国泰民安



刘锋认为,泛在电力物联网是一场革命,带来的应用一定是更加开放、灵活的新模式,而新技术和新架构也带来新威胁、新挑战。因此,安全也需要自我革命,提升新格局。


目前来说,碎片化、封闭式、被动而静态的技术模式和思维模式已经无法适应新形势下的挑战。因此,从技术上,安全需要兼顾可靠性和可用性;从业务模式上,安全产业需要更加注重开放性、主动式、协同化,构建适应泛在电力物联网广泛需求的安全产业生态。


刘锋骨子里是有军人情节的,他也曾经有几次与参军擦肩而过。虽然,最终他还是成为了一名网络安全工作者,但从他那坚毅的气质中,我仍然能感受到军人那般坚定向前态度和气场。



2008年北京奥运会期间,刘锋作为北京奥组委技术咨询经理,日夜奋战在一线。当时虽然工作很苦,压力很大,但身体里却莫名有一种力量在支撑着他,让他可以始终保持着活力和热情。


2017年6月,《网络安全法》正式出台,安全上升到了一个崭新的高度。国网网安也是在这样的形势下成立的。在国网网安筹备期间,刘锋作为信产集团项目管理中心网安处处长,参与了国网网安的筹备工作,也正是在那个时候,让他血液里的斗志,再度沸腾。


刘锋说,网络安全空间就如同一个战场,每一个处在这个战场的人和集体,都是这场没有硝烟的对抗中的战士。“保卫国家网络空间安全”的“自豪感”与“使命感”,让他对国网网安满怀热情。


“国网网安的核心是贴紧电网业务做安全,公司的发展理念是合作共享,并且会一直坚持下去,我们欢迎更多的合作伙伴携手共进,共同保障能源安全”。


刘锋言毕,起身,像军人一般阔步离去。看见他的背影,我相信,定是要继续完成“战斗”的使命,践行他“国网网安·国泰民安”的心愿。



02.一本黑:炒币收割韭菜,炒鞋忽悠傻子,这届年轻人不球行....



炒鞋已然成为年轻人的一种潮流和新的赚钱方式。有数据统计,球鞋交易平台nice在8月19号当天,仅26款热门鞋的总交易金额就达到4.54亿,远超新三板当天的交易额3.9亿。


26款鞋撑起了一个新三板,这看起来有些不可思议,但它的确发生了。为什么球鞋会变得这么热门?球鞋真的有升值空间吗?那些高价买球鞋的人,他们真的会穿着上万块的球鞋去打球吗?



为了满足鞋狗们日益膨胀的赚钱需求,鞋交所横空出世。STOCKX创立了Nike指数、Jordan指数和Adidas指数,毒、nice等平台把这些引入国内,成立了国内的鞋交所。


在这里你可以查看到所有正在流通的限量版球鞋的价格涨势以及交易记录,并以此来判断一款鞋到底值不值得买。


在炒鞋这件事上,交易平台赚了一大笔手续费;品牌的饥饿营销,赢了口碑又卖了货;而一些鞋狗们赚了大头。哦,还有莆田系,靠  造假 仿真也同样赚的盆满钵满。毕竟一双高仿空军一号也能卖两三百,比加工无名品牌好赚的多。


市场的需求是会波动的,需求者众则价高,但球鞋并不是必须品。最终真正持有的一定有实际需求的人,装逼也好,热爱球鞋文化也好。这部分人并不会持续增长,市场需求一旦饱和,泡沫就会破掉。



03.FreeBuf:发现美国海军网站的敏感信息泄露和SQL注入漏洞



最近,作者通过HackerOne的美国国防部漏洞众测项目(Hack The Pentagon),发现了美国海军某网站的敏感信息泄露和SQL注入两个高危严重漏洞,漏洞非常容易发现且安全风险极高


敏感信息泄露漏洞


如果我们在使用ASP.NET架构的目标网站上发现一个SSRF漏洞,那么,最简单的提权方法就是,看看我们能否有对Trace.axd的访问权限。


通过一些请求后,我发现其响应返回了一些敏感信息,包括网站注册人员的社会安全号码、用户名、邮箱地址、明文密码、会话token、CSRF token,以及如软件、文件系统和HTTP头等其它一些应用程序特定信息。


这就说明问题了,这绝对是一个严重漏洞(Critical),如此简单且无需提权,但却极具威胁影响。


SQL注入漏洞


我发现在一个子目录下,除一个特殊页面之外,其它所有页面都需要更高权限才能访问。于是,我就反回来在Trace.axd中寻找针对这个特殊页面的请求,发现了其POST的请求主体内容,随后我重放了这个请求,尝试把POST中的参数,更改为一些测试SQL注入或XSS的Payload - ‘“> 。


其中的一个参数竟然存在SQL注入!由于我发现上报的以上两个漏洞,我被美国国防部网络犯罪中心(Department of Defense Cyber Crime Center ,DC3)评为当月最佳安全研究员。



04.中国信息安全:中国信息通信研究院院长刘多:强化工业互联网安全体系化布局 筑牢制造业高质量发展安全之基



伴随着互联网、大数据、人工智能与实体经济的深度融合,新一轮技术革命与产业变革正在重构发展格局,工业互联网已经成为主要国家抢占发展机遇、加快战略布局的关键支撑。国务院《关于深化“互联网+先进制造业”发展工业互联网的指导意见》印发实施以来,工业互联网加速创新发展,不仅是推动“制造强国”和“网络强国”建设的关键支撑,更是制造业高质量发展的新动能、经济社会创新发展的新引擎。


当前,工业互联网日益呈现新形势、承载新使命,逐渐成为开放融合、创新驱动的主阵地,同时也面临新的安全挑战。立足当前,把握长远,全面提升工业互联网安全保障能力,不仅是促进工业互联网高质量发展、推动现代化经济体系建设的内在要求,也是及时防范和应对融合领域新型安全风险的必要措施,更是护航“两个强国”建设的应有之举。


此次,工业和信息化部、教育部、人力资源和社会保障部、生态环境部、卫生健康委、应急管理部、国务院国资委、国家市场监管总局、国家能源局、国防科工局十部门联合出台实施《加强工业互联网安全工作的指导意见》(以下简称《意见》),共同推动建设工业互联网安全保障体系,在产业安全保障和网络安全协同建设方面都具有里程碑意义。


《意见》与国务院《关于深化“互联网+先进制造业”发展工业互联网的指导意见》一脉相承,进一步强化系统部署,以护航“两个强国”战略实施为根本要求,重在可落地、可实施的行动举措,推动阶段任务、长远目标逐步实施,构建统筹协调的推进方阵。《意见》不仅是工业互联安全工作的专门指引和纲领性文件,更是强化安全体系化建设、协同发力的重要举措,事关当前形势和长远发展,对推进国家网络安全全局工作具有重要意义。



05.E安全:法国国家宪兵队与安全专家展开合作,联手铲除僵尸网络



据外媒报道,8月28日,法国执法机构“国家宪兵”(National Gendarmerie)宣布,该机构下属单位“网络犯罪战斗中心”成功关闭了法国境内的RETADUP僵尸网络的服务器,并对全球超过85万台计算机进行了远程杀毒。





据了解,RETADUP于2015年首次被发现,是一种多功能Windows恶意软件,主要针对于拉丁美洲计算机。该恶意软件可长期潜伏在受感染设备上,并使用此类设备挖掘加密货币、发起DDoS攻击,以及窃取信息等。在不断进行自我传播后,RETADUP已经建立起了一个庞大的僵尸网络。


2019年初,网络安全公司Avast的研究人员发现该恶意软件中的C&C协议存在漏洞,可被用于删除该恶意软件。随后,研究人员与法国宪兵队展开合作,用杀毒专用服务器取代了控制恶意软件的C&C服务器。杀毒用服务器通过利用协议漏洞,对RETADUP恶意软件发出了自毁指令,从而进行远程杀毒。



06.看雪学院:Unicorn 在 Android 的应用之Hello World



Unicorn 是一款非常优秀的跨平台模拟执行框架,该框架可以跨平台执行Arm, Arm64 (Armv8), M68K, Mips, Sparc, & X86 (include X86_64)等指令集的原生程序。


Unicorn 不仅仅是模拟器,更是一种“硬件级”调试器,使用Unicorn的API可以轻松控制CPU寄存器、内存等资源,调试或调用目标二进制代码,现有的反调试手段对Unicorn 几乎是无效的。



目前国内的Unicorn 学习资料尚少,防御手段也稀缺,官方入门教程虽短小精悍缺无法让你快速驾驭强大的Unicorn,故写这一些列文章。


这几篇文章将带你学习Unicorn 框架并开发一款支持JNI的原生程序调用框架、o-llvm 还原脚本、静态脱壳机等。


分析基于:

https://github.com/AeonLucid/AndroidNativeEmu 


开源项目做分析。本人能力微薄,冒昧对此项目进行完善,目前已经实现更多的JNI 函数和syscall,完善mmap映射文件等。


我由衷地感谢AndroidNativeEmu 原作者提供函数hook及模拟JNI的思路,我曾日思夜想如何优雅地模拟JNI,没想到该项目的实现方式竟然十分优雅。


我希望通过这一系列的文章,让更多的人学习Unicorn 框架,学习如何模拟调用,也希望厂商重视对Unicorn的检测!实践中,这都9102年了,我发现目前仍有加固产品能用Unicorn 跑出dex文件!


这一些列的文章,不仅会学习Unicorn,还会学习到优秀的反汇编框架Capstone、汇编框架Keystone。


07.网安视界:CNNIC最新统计:1.69亿青少年网民亟需网络安全保护



随着网络的发展与普及,触网年龄低龄化趋势日益明显。第43次《中国互联网络发展状况统计报告》显示,截至2018年12月,中国网民规模为8.29亿,普及率达59.6%。另据数据显示,未成年人10岁之前触网比例高达72%,首次触网年龄持续走低。





作为互联网的原住民,“00后”自出生起就与互联网相伴成长。对于互联网的熟悉程度远超过其他年龄群体,思维方式和行为方式也深受网络影响。利用互联网学习知识、开阔眼界,一方面,网络丰富了未成年人的成长生活;另一方面,由于未成年人心智发展尚未成熟,很容易受暴力、血腥、色情等不良网络内容的影响。


未成年人网络保护向来是家长、政府及社会密切关注的问题。2019年3月,共青团中央维护青少年权益部、中国互联网信息中心(CNNIC)联合发布了《2018年全国未成年人互联网使用情况研究报告》(以下简称《报告》)。


《报告》基于对全国31个省(自治区、直辖市)的小学、初中、高中和中职院校31158学生抽样调查,从未成年人互联网普及情况、网络接入环境、应用使用情况和利用网络自我保护能力等多个方面,展示了当前未成年人互联网使用现状和行为特点。



08.数说安全:沈继业:网络安全行业进入战国时代



8月20日,绿盟科技召开了2019年的第一次投资者关系活动,也是中电科成为绿盟科技最大股东后的第一次与投资者面对面的正式会谈。此次会议绿盟科技介绍了电科投资、启迪控股等公司新股东的基本情况,与绿盟科技自身的发展策略,并回答了现场参会者提出的17个问题。


关于今后发展的策略,方法论比较简单,任何一个企业增长可拆分成4个维度,新的市场、新产品、新模式以及人才。


1.市场维度:巩固行业优势,之前公司在狭义政府领域收入占比不高,公司优势行业是金融和运营商行业。公司股权转让完成、相关的资质完备,进军政府领域没有资质障碍,后续也看如何与股东方配合。公司政府行业收入占比20%左右,有些友商占到50%以上。此外,积极拓展渠道,从渠道上多触角铺向更多的用户。


2.产品维度:安全行业历经20年,现在更看重综合能力,还看组合能力,要根据不同需求组合出最适合用户的方案。如果是一个体量很大的公司出了新产品只能说是一个促进,但对公司格局的影响有限,主要是向组合策略的道路上发展。


3.模式维度:产品对市场不足以产生革命性影响,但模式会产生革命性的影响。公司模式的核心思想是“云地人机”。我们核心的目的是把所有的力量赋能组合在用户上,在网络攻防和安全合规的交汇点上。从运营角度,个人认为分成三种,纵运营,横运营,点-点运营。横运营是在各地建运营中心,覆盖当地客户,纵运营是垂直行业,例如银行的运营,点-点是公司和客户连接起来形成闭环来解决问题。


4.人的维度:公司去年人员净增24%,达到2700多人,2019年新入职173名应届生,公司在加快进程进行人才储备,作为上市公司也会做好平衡。

产业现在也在加速,股东股权转让已经完成,公司能够进入到一个新的快速发展趋势里,上半年订单增速超过40%。



09.游侠安全网:数据泄露后 Web托管服务商Hostinger重置1400万用户密码



在发生了包含 1400 万用户信息的数据库被“未经授权的第三方”访问的事件之后,Web 主机托管服务商 Hostinger 决定采取“预防措施”—— 重置所有客户的密码。该公司解释称,当黑客使用公司某服务器上的凭证登录其内部 API 系统时,引发了意料之外的安全事件。



尽管 Hostinger 据信没有任何财务数据被曝光,但攻击者还是设法接触到了客户端用户名、电子邮件、散列密码、名称、以及 IP 地址等在内的信息。


Hostinger 承认,该 API 服务器被用于查询其客户(以及账户)的详细信息。服务器上保存的客户端数据库,包含了大约 1400 万 Hostinger 用户的信息。


该公司在一篇博客文章中写到:事件发生后,我们已确定未经授权访问的来源、并已采取必要的措施。


为保护相关客户的数据,Hostinger 要求其基础设施上的所有客户和系统,都必须执行强制性的密码重置。


据悉,Hostinger 组建了一支包含内外部专家和数据科学家在内的取证团队,以调查事件的起因和加强现有的安全措施。此外根据法律要求,该公司已经主动与当局取得联系。



「推荐阅读」




网安同期声 | E安全:2019要这样培养网安人才

网安同期声 | E安全:网络安全措施最佳的六个国家

网安同期声 | 数说安全:仙儿深度解读:RSAC2019创新沙盒大赛

网安同期声 | 一本黑:10分钟赚60万,在中国,算命到底有多野?

网安同期声 | 中国信息安全:电子政务安全保障应全局考量

网安同期声 | 数说安全:华为VS思科:华为胜!

网安同期声 | 一本黑:伪装的血样,“被消失”的女婴,我找胎儿鉴定机构聊了聊

网安同期声 | 中国信息安全:国资委发文,网络安全列入央企负责人业绩考核

网安同期声 | 中国信息安全:App违法违规收集使用个人信息专项治理重点工作概述

网安同期声 | 数说安全:中国网络安全公司服务能力图谱

网安同期声 | FreeBuf:“等保2.0”将于今年5月13日正式发布

网安同期声 | 游侠安全网:等保2.0正式发布!标准的“变”与“不变”

网安同期声 | 数说安全:上市网络安全企业人均产值与人均毛利分析

网安同期声 | 数说安全:全球网络安全公司的数量将下降近40%,市场格局或变化

网安同期声 | 一本黑:刚从酒店出来,就发现自己成了色情网站的AV主角?

网安同期声 | 看雪学院:打破国内 0 根服务器,网络管理将不再受限于人

网安同期声 | 中国信息安全:鲁传颖:5G之争折射出中美大国博弈

网安同期声 | 一本黑:菲律宾干博彩日入上万?你他娘的可醒醒吧

网安同期声 | 中国信息安全:CNCERT:《2018年中国互联网网络安全报告》

网安同期声 | 数说安全:谭晓生履新正奇学院,谭校长兼任院长

网安同期声 | FreeBuf:本田汽车云端数据库未保护,CEO及全球员工大量资料险遭泄露

网安同期声 | FreeBuf:「智能门锁安全分析报告」正式发布

网安同期声 | 中国信息安全:十大院士揭幕BCS 2019 齐向东致力倡建“内生安全”体系



     ▼加入诸子云                                  

▲加入粉丝群






点【在看】的人最好看


https://www.wxwenku.com/d/201333665