• WPA2 被攻破了!理论上WiFi 设备都有影响,但……
    近日,外媒报道国外 2 位安全技术专家发现了用于保全现代 WiFi 设备的 WPA2 协议中的严重弱点。攻击者可利用密钥重安装攻击(KRACKs)窃取诸如信用卡、密码、聊天信息、电子邮件、照片等敏感信息。除了 WPA2,WPA 和仅用 AES 的 WiFi 网络,都能通过 KRACK 手段攻破。什么是 WPA/WPA2 ?WPA 全名为 Wi-Fi Protected Access,有 WPA 和 WPA2 两个标准,是一种保护无线网络(Wi-Fi)安全的系统。它是应研究者在前一代的有线等效加密(WEP)系统中找到的几个严重的弱点而产生的。WPA 加密方式尚有一漏洞,攻击者可利用 spoonwpa 等工具,搜索到合法用户的网卡地址,并伪装该地址对路由器进行攻击,迫使合法用户掉线重新连接,在此过程中获得一个有效的握手包,并对握手包批量猜密码,如果猜密的字典中有合法用户设置的密码,即可被破解。目前,大多数企业和许多新的 Wi-Fi 产品/设备都支持 WPA2 协议。截止到 2006 年 03 月,WPA2 已经成为一种强制性的标准。
  • 【锦佰安】AI身份识别时代来临!如何提升数据安全?
    近年来,接踵而至的数据泄露事件,为全球企业敲响警钟,也让身份识别话题再次成为众多企业关注的焦点,如何防范重要数据资产泄露,比如客户数据、供应链信息、员工数据、财务数据、个人数据,以及其他知识资产泄露呢?不断发生的数据泄露提醒我们,身份识别是数据安全的核心。为了保护数据安全,机构应该将身份识别置于首要位置,防止可信用户的身份成为黑客入侵利用的工具。作为以AI实现身份识别技术领域的前沿企业 苏州锦佰安信息技术有限公司抓住机遇,推出“SecID身份识别系统”,致力于保护数据安全。目前,锦佰安信息技术有限公司与华为云达成深度合作,入驻华为云市场,推出了云主机安全登录服务,从源头为数据安全保驾护航。解决现有身份识别方式的安全隐患现在登录云主机,通常使用静态密码方式,即用户名+密码登录云主机。由于密码存在着弱口令、复用、撞库等泄露风险,一旦被外人获取,除了自身的数据泄漏之外,还有可能沦为黑客的僵尸网络肉鸡用以对外发起拒绝服务攻击,或是被挂黑链及非法网站,这些情况都会带来被监管机构中止运营的风险;随着网络安全法的颁布实施,网络运营者一旦出现此类风险事件不仅要承担相应的责任,严重的还会面临法律风险。因此,在用户名+密码的基础上,再增加一次安全的认证手段,就非常必要了。锦佰安和他的SecID二次认证产品锦佰安科技(锦佰安信息技术有限公司)是国内领先的身份识别综合解决方案提供商,深耕政府、金融、互联网、传统企业等不同场景下的身份识别需求,自主研发并专注为政府和企业提供专业的身份识别解决方案。锦佰安SecID 是一款基于 AI 人工智能的身份识别系统,致力于通过用户行为以及多因素验证进行身份识别,帮助政府和企业高效、安全地完成身份识别的管理和运维工作,确保合法可信任的人进入对应的系统,打造全新便捷与安全的身份验证体验。 SecID 身份识别系统包括 SecID 身份识别管理后台以及 SecID APP,用户本人通过 SecID APP 确认账号的登录行为,杜绝因弱口令、密码复用和密码泄漏引发的安全隐患。引入锦佰安SecID,提升身份识别安全等级先放一张图,左边是原来的登录流程,右边是启用了锦佰安SecID二次认证的登录流程。 原来的登录流程,用户输入用户名和密码,就可以登录了。但仅仅是用户名+密码的认证形式,强度不够,面临着密码泄露的安全风险。已经有云主机用户反馈自己的云服务被他人使用,虽然损失不大,但仍需要进一步提升认证强度,保证账户安全。华为云上架了锦佰安SecID二次认证服务。用户在输入用户名和密码之后,需要在自己的手机上打开SecIDApp,点击SecID服务器推送的确认消息,然后就可以登录云主机了。操作流程中多了一次手机上的二次认证,而好处也是显而易见的:从此各位华为云主机的用户再也不用担心密码泄露,不用担心自己的云服务被他人乱用了。具体的使用方法,在华为云搜索“secid”,或点击链接:https://app.huaweicloud.com/product/00301-66005-0--0 直达产品页面。
  • 中安威士----全数据生命周期安全防护、构建安全政务云...
    电子政务云(E-governmentcloud)属于政府云,结合了云计算技术的特点,对政府管理和服务职能进行精简、优化、整合,从粗放式、离散化的建设模式向集约化、整体化的可持续发展模式转变,使政府管理服务从各自为政、相互封闭的运作方式,向跨部门、跨区域的协同互动和资源共享转变。 政务云平台特有的虚拟化、多租户和远程管理、服务外包等特点,带来了新的信息安全挑战。当前,政务云平台面临的安全问题,主要包括自主可控水平不高,数据丢失、篡改和破坏,缺少对虚拟服务器上的应用系统运行和漏洞有效监控手段,等;其中,数据丢失、篡改和破坏,是重中之重。 针对目前云平台所面临的数据安全问题和需求进行分析,中安威士设计思路是: ▶以数据库安全审计为主,对数据库访问进行全面的记录,形成可视化、能告警、可追溯的安全机制。(可视) ▶同时配合数据库防火墙、敏感数据的加密和脱敏,实现不同层面对政务云平台数据的安全防护。(可控)
  • [行业资讯] Gartner发布2017年云安全技术成熟曲线
    云应用的快速增长不断提高人们在云计算环境中对于数据、应用程序和工作负载的兴趣。Gartner公司发布的云安全技术成熟曲线有助于安全专业人士了解哪些技术已经准备好应用于主流应用,而对于大多数组织来说,这些技术还需要几年的时间才能实现。(见图1)Gartner研究副总裁Jay Heiser说:“安全顾虑仍然是避免使用公共云的最常见原因。然而,自相矛盾的是,已经使用公共云的组织却认为安全是其主要的好处之一。”截至目前,大多数云服务提供商的抗攻击程度并不足以说明云不够安全,但这些服务的客户却可能并不知道如何安全地使用云。Heiser表示:“技术成熟曲线可以帮助网络安全专业人士发现其组织中最重要的机制,从而有效地控制组织,以及合规且经济地使用公共云。”顶峰期期望膨胀的峰值是过度热情和不切实际预测的一个阶段,在主流应用中,其技术成熟度未能达到成功部署的程度。今年,处于峰值的技术包括移动设备数据丢失保护、密钥管理服务以及软件定义的边界。Gartner预计,所有这些技术将至少需要五年才能实现高效的主流应用。滑向低谷当一项技术达到人们的期望膨胀高峰值后,该技术便不再像之前那样受欢迎,从而沿着技术成熟曲线跌入幻灭期的低谷。Gartner预计在这一阶段,将有两种技术在未来两年内成为主流技术:灾难恢复即服务(DRaaS)在早期成熟阶段,约有20%-50%的市场渗透。早期采用者通常是少于100名员工的较小组织,而这种组织缺少灾难恢复数据中心、经验丰富的IT人员以及管理DR程序所需的专业技能。私有云计算通常用于公共云无法满足企业需求时,比如通过IT敏捷性来驱动业务价值及增长,或公共云无法满足企业在监管需求、功能或知识产权方面的需求。由于构建真正私有云的成本和复杂性很高,因此很多企业外包给第三方专业人士来构建私有云。爬坡阶段处于复苏期的技术代表了新技术经过无数次实验和艰苦工作后,开始在日益多样化的组织中有所回报。Gartner预计目前将有两种技术在未来两年内完全成熟:数据损失保护(DLP)被认为是防止受管制信息和只是产品意外披露的有效途径。在实践中,DLP有助于识别导致意外数据泄露的无依据的或损坏的业务流程,并提供有关政策和程序的教育。对此持有合理期望的企业发现这种技术显著减少了敏感数据的无意泄露。基础设施即服务(IaaS)容器加密是组织用来保护云服务提供商为他们提供的数据的一种方式。在与笔记本上加密硬盘的方法相类似,但它适用于保存在云中的整体流程或应用程序的数据。这很可能成为云提供商提供的预期功能,事实上,亚马逊已经为其自身提供了免费服务,而微软也为Linux免费提供BitLocker和dmcrypt工具。趋于成熟四项技术已经达到生产力的高峰,这意味着这些技术的现实效益已经被证明和接受。标记化技术、高保障虚拟机监控程序以及应用程序安全作为服务已经到达成熟期,而身份验证服务是去年成熟期中唯一幸存的一项技术。“了解新的云安全技术和服务的相对成熟和有效性,将有助于安全专业人员重新定位他们在业务支持方面的角色,”Heiser先生说,“这意味着帮助一个组织的IT用户以安全和高效的方式获取、访问和管理云服务。”
  • 悬镜安全服务丨渗透测试工具Burp Suite推荐
    ​今天小编向我们悬镜安全实验室的技术大大请教关于漏洞扫描的问题,想让技术大大给我推荐几本书学习一下,毕竟也是要努力提高自己的知识水平嘛。于是技术大大给我推荐了几套书籍心灰意冷的小编决定还是从悬镜安全实验室的拿手绝活:渗透测试开始学起吧,听说最常用的一款工具 burp suite还挺厉害的 研究一下。Burp Suite是一款针对Web应用程序做安全测试的集成平台。它包含了许多工具,并为这些工具设计了许多接口,可以极大的加快我们对Web应用程序安全测试的过程。所有的工具都共享一个能处理并显示HTTP 消息,持久性,认证,代理,日志,警报的一个强大的可扩展的框架。 图片来自网络BurpSuite的工具箱功能特别强大,能把多个单项工具有效地结合到一起使用Proxy——是一个拦截HTTP/S的代理服务器,作为一个在浏览器和目标应用程序之间的中间人,允许你拦截,查看,修改在两个方向上的原始数据流。Intercepting proxy是针对web应用渗透测试工具的功能。Burp Suite的代理工具非常容易使用,并且能和其他工具紧密配合。Spider——是一个应用智能感应的网络爬虫,它能完整的枚举应用程序的内容和功能。当你浏览Web应用时,它会从HTML响应内容中主动生成一份URL列表,然后尝试连接URL。Intruder——是一个定制的高度可配置的工具,也是获取Web应用信息的工具。它可以用来爆破,枚举,漏洞测试等任何你想要用的测试手段,然后从结果中获取数据。Repeater——是一个靠手动操作来补发单独的HTTP 请求,并分析应用程序响应的工具。Sequencer——是一个用来分析那些不可预知的应用程序会话令牌和重要数据项的随机性的工具。Decoder——是一个进行手动执行或对应用程序数据者智能解码编码的工具。Comparer——是一个实用的工具,通常是通过一些相关的请求和响应得到两项数据的一个可视化的“差异”。关于burp suite 的详细教程网上俯拾皆是 正当小编看的入迷时,技术大大突然告诉我,用这个软件,要小心了! 原来,在burp suite的V1.7.27版本中,被曝出了远程代码执行漏洞。演示视频:http://v.youku.com/v_show/id_XMzAzNjM1NTg4NA==.html看起来是有图有真相啊!然而burp suite则表示,该视频有可能是伪造的,关于该漏洞的证据并不充分。随即网友和burp suite在推特上展开了撕逼环节。不过,对于互联网安全从业者来说,这个漏洞无论是真是假,提高警惕性是必要的,悬镜安实验室始终抱着不放过任何一个可能的潜在漏洞的态度对待我们的工作,正是这样的态度才造就我们的三合一漏洞检测平台云鉴:服务器漏洞扫描、web漏洞扫描、app风险评估一步到位。 借助悬镜GPU集群运算平台全自动化检测,快如闪电,省心。融合了云诺大数据智能检测云平台的海量漏洞数据,安心。配合悬镜服务器卫士保护服务器,放心。你的服务器有没有漏洞,测测就知道。点击 云鉴漏洞扫描,即可体验。悬镜安全华为云市场安全服务详情地址:https://app.huaweicloud.com/seller/e91ac73e7a45443fae0a0974202c7908
  • 2017 Web 开发安全风险 TOP10,看看中枪了没?
    Open Web Application Security Project (OWASP)每隔3-4年会公布一次 “Web 开发安全问题 TOP10 ” ,通过找出企业组织所面临的最严重的风险来提高人们对应用程序安全的关注度。OWASP Top 10 被众多标准、书籍、工具和相关组织引用,包括 MITRE、PCI DSS、DISA、 FTC 等等。OWASP Top 10 最初于2003 年发布,并于 2004 年和 2007 年相继做了少许的修改更新。2010 版在流行程度的基础上,还对风险进行排序。这种模式也在 2013 版和最新的 2017 版得到了延续。上一版 OWASP TOP10 发布于2013年,距今已有四年,全新的 OWASP Top10 将于今年发布。TOP10 2017 已于今年年中开始编制并发布 RC1 版,但因其中两条内容遭社区投票反对,重新开启征集,并在10月发布了其 RC2 版本。目前在做最终的意见收集,若无意外,正式版会在11月18日发布。正如图中所示,2017 的问题和 2013 变化并不大。如果往更早的 2007 榜单[/backcolor]翻,你甚至会发现仍然有4个相同的问题出现在榜单之上。这似乎在说明,Web 开发者其实是在一次又一次犯同样的错误?新的工具,新的开发模式的出现,并没有完全改变这一状况。甚至有一些人猜测和评论[/backcolor],犯同样错误的开发者并不是同一群开发者,而是因为 Web 开发本来就是 IT 行业软件开发中最低端,从业者普遍缺乏能力和知识,而安全是他们最后考虑的问题。OWASP TOP10 2017 RC2 包含内容如下:[*]A1 - 注入缺陷[*]A2 - 失效的身份认证和会话管理[*]A3 - 敏感数据泄露[*]A4 - XML 外部实体注入(XXE)[*]A5 - 无效的访问控制(合并于 2013 年的 A4 “不安全的直接对象引用”和 A7 “功能级访问控制功能缺失”)[*]A6 - 安全配置错误[*]A7 - 跨站脚本(XSS)[*]A8 - 不安全的反序列化[*]A9 - 使用含有已知漏洞的组件[*]A10 - 记录和监控不足文章转载自 开源中国社区 [http://www.oschina.net]
  • Web安全开发之SQL注入分析
    由于论坛发帖不允许部分代码,因此帖子采用截图的方式,哎.虽然SQL注入猛如虎,但是各位小伙伴不要惊慌, 华为云WAF一键开启防护,多重编码还原和基于SQL语义分析的检测引擎能够更加精准识别SQL注入, 有效帮助小伙伴们拦截恶意攻击.华为云Web漏洞扫描安全服务支持SQL注入漏洞检测,帮助小伙伴更早发现网站安全隐患, 能够让用户更早采取防御或者修复措施,避免漏洞被利用造成的重大损失.参考[1] OWASP SQL注入防护手册(英文)
  • [技术干货] PaaS安全解决方案概述
    1概述PaaS (Platform as a Service),作为云计算的第二层,主要面向开发、运维,提供软件开发,验证,部署,运行,以及运行时的管理、监控、故障恢复等服务。PaaS的设计主要围绕应用和服务的生命周期管理来作为服务提供。目前,PaaS 2.0主要使用k8s为技术框架,应用采用Docker(容器)来实现部署运行。对于Docker的基于内核Namespace的逻辑隔离,安全更富有挑战。PaaS的安全主要分以下几个维度为进行保障:功能安全、运维安全、OpenAPI安全、基础设置安全(IaaS)和容器、镜像安全。2 功能安全2.1 多租户隔离租户基于Domain和Project的机制进行隔离,每个Domain的租户权限与资源互相隔离。其中,租户Domain的资源和权限集合为多个Project的总和。租户内采用多用户和多用户组的管理方式,用户基于角色来进行授权,全部对接IAM来统一身份认证,实现统一的用户权限和资源管理。2.2 多租户资源管理通过IAM可以统一实现租户的资源信息同步和管理。用户具有可查看、增加自己的配额能力,构建自己的集群,部署各种服务。2.3 身份认证和访问控制PaaS的身份认证和访问控制,主要通过内置各服务租户和大量角色来进行用户访问控制,IAM进行认证和授权,以及基于Xrole的信任管理。2.4 单点登录在PaaS中,是多用户、多WEB应用,单个SSO认证中心的机制,实现所有登陆认证都在SSO认证中心统一认证,SSO认证中心与WEB应用建立一种信任关系。SSO服务提供SSO Server和SSO Client软件,基于CAS来实现。2.5 基于SAML的第三方IDP对接多个应用的用户登录认证可以使用基于SAML的共享信任的机制,让IAM认证中心来对接第三方的IDP服务。达到多应用下,用户的共享信任。2.6 PSM秘钥管理系统PSM主要为PaaS的秘钥和证书管理系统,主要在初始化安装、创建Namespace、纳管节点、创建pod、证书和秘钥更新过程中,对秘钥和证书进行管理。2.7 数据安全使用主流的隐私模型和算法,集成主流的匿名化算法,覆盖数据的整个生命周期。3运维安全3.1 日志异常行为监测 3.1.1 运维面审计日志通过rest接口记录运维管理员操作日志 3.1.2 管理面审计日志通过将用户行为记录到本地文件与运行日志分开 3.1.3 日志分析日志分析主要依赖于ALS(Application Log Service)和DPA(Data Process Analysis)。ALS可以提供统一的日志收集、查询、配置服务。DPA对收集的日志进行大数据分析,从中查找异常行为。4 OpenAPI安全4.1 API安全检测 1.认证检测,防止篡改和重放攻击 2.流量检测,防DDOS攻击 3.对受限资源的访问授权 4.报文异常参数检测5 基础设置安全5.1网络隔离在PaaS组网与外网间采用防火墙隔离。PaaS内网采用双网卡的HA LB将运维、管理面和租户面进行隔离。租户面与运维、管理面采用不同网段和VIP,互相之间通过LB的两个VIP进行路由转发。同时还需要对应的I层虚拟机进行网络隔离的安全设置,以达到虚机的逻辑VLAN隔离。5.2 WAF 1.在PaaS中使用WAF进行WEB防护,WAF需要具备如下能力: 2.纵深安全防护,黑名单特征检测和协议重组检测 3.自学习建模和白名单,提高检测效率和准确率 4.高性能检测,对于静态文件进行高速转发,无需通过特征库检测 5.防篡改,自学习网站页面内容,对常用内容进行缓存和比对 6.自动侦测应用,从流量中自学习WEB协议信息,获取新增应用信息。 7.实时安全响应和告警 8.透明代理,部署WAF对用户网络透明,提升性能 9.高速缓存,对于静态文件进行大量缓存,提升服务器处理性能 10.CC防护5.3 Anti-DDOS在对接外网时,使用Anti-DDOS服务器,将网络流量复制到检测中心。检测中心发现DDOS流量,则通知ATIC服务器,联动路由器,将流量引流到清洗中心,进行流量清洗。剩余有效流量返回路由器进行转发。6容器和镜像安全6.1CVE安全扫描在镜像入库和部署前,采用工具进行漏洞扫描。6.2 CIS容器一致性检测使用扫描工具,基于CIS(Center for Internet Security)的策略,对运行态的容器进行检查。6.3 容器运行态防护可使用容器监控工具,针对的具体的容器,镜像,服务主机,以及标贴(Labels)。对运行中文件、网络监控、进程以及系统调用进行监测。6.4 镜像签名保护Notary获取Docker镜像中的manifest文件,manifest包括各个层的散列值的详细信息。Notary对manifest文件进行签名。并且增加时间戳的签名。
  • 安全设计
    华为云秉承华为一贯坚持的安全源自优秀设计的理念,这与采用 DevOps/DevSecOps 流程没有矛盾。华为云及相关云服务不但继续遵从华为安全设计原则、规范、安全设计基线,还在安全需求分析和设计阶段根据业务场景、数据流图、组网模型进行威胁分析。威胁分析使用的引导分析威胁库、消减库、安全设计方案库来源于包括传统领域产品和新的云领域所有产品的安全积累和业界优秀实践。当识别出威胁后,设计工程师会根据削减库、安全设计方案库制定消减措施,并完成对应的安全方案设计。所有的威胁消减措施最终都将转换为安全需求、安全功能,并根据公司的测试用例库完成安全测试用例的设计,确保落地,最终保障产品、服务的安全。
  • [云审计] PCI DSS 解读---概念澄清
    PCI DSS 解读概念澄清PCI DSS全称Payment Card Industry (PCI) Data Security Standard,支付卡行业数据安全标准是一组专有信息安全标准,由 PCI 安全标准委员会管理。PCI 安全标准委员会的创始成员包括 American Express、Discover Financial Services、JCB International、MasterCard Worldwide 和 Visa Inc.。也就是说这些支付行号的巨头公司为了获得国际一致的数据安全措施,发起成立的标准组织推出的安全标准,这个标准目前也成为事实上的行业标准。PCI DSS适用于所有涉及支付卡处理的实体,包括商户、处理机构、购买者、发行商和服务提供商及储存、处理或传输持卡人资料的所有其他实体,例如支付宝、银联等。PCI DSS对于所有涉及信用卡信息机构的安全方面作出标准的要求,其中包括安全管理、策略、过程、网络体系结构、软件设计的要求的列表等,全面保障交易安全。PCI DSS也可以说是一个支付行业安全方面优秀实践的全面总结,并且在不断变化中,目前版本已经更新到3.2(2016年4月)。所以参考这个标准做企业的管理、安全构建是一个很好的思路。一般通过PCI DSS认证有两种方式,每年都要进行:第一,聘请外部的合格安全评估机构(QAS)对企业的环境进行评估,然后出具合规报告(ROC)与合规证明(AOC);第二,企业自行执行自我评估问卷(SAQ)。讲了很多概念我们举个反面例子来说明PCI DSS的作用:2014年3月22日乌云(Woo Yun)漏洞平台发布携程旅行网的相关安全漏洞,漏洞标题为“携程安全支付日志可遍历下载导致大量用户银行卡信息泄露(包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin)”。PCI DSS标准中,CVV2/CVC2、PIN码以及磁条信息等数据称为敏感认证数据。敏感认证数据在授权完成之后禁止存储(发卡机构和发卡处理机构除外),即使进行了加密也是绝对禁止的。该要求是PCI DSS标准6大类12个要求300余项安全要求之一,也是标准的重要的基线要求。
  • [下午茶时光] 【Day 2--2018/1/5】任正非强调低端机重要性,称不能轻视穷人
    云硬盘下午茶时光,Day 2--2018/1/5【下午茶时光——业界热点陪你喝咖啡】【任正非强调低端机重要性,称不能轻视穷人】在人口基数巨大的印度市场上,华为罕见地出现了疲软。小米、OPPO、vivo,甚至联想都在印度市场取得不错的成绩。华为却在印度默默无闻。这对超过一半营收都来自于国际市场的华为来说,可谓失败。业内分析原因在于,印度市场仍然是低端机的天下,华为在这个市场重视程度不够。在1月2日传出的讲话中,任正非表示不能忽视低端产品的价值,低端产品要做到质量好、成本低、生命周期内免维护。而且,低端产品是用来保卫高端产品盈利的,因此很重要。此前2017年10月,任正非在内部讲话中表示,“这个世界百分之九十几都是穷人,友商低端手机有穷人市场,不要轻视他们。华为也要做低端机,我们的老产品沉淀下来可能就是做低端机。”吃瓜群众说:泪流满面……任总是关心我的【有个「影响97年后所有设备」的史诗级漏洞?打补丁还影响你吃鸡和王者荣耀?】这两天英特尔的芯片占据了外国科技媒体的头条——不是发布新产品,而是安全漏洞。Mac 用户可能是最不需要担心的——操作系统内核专家 Alex Ionescu 表示,上个月发布的 macOS 10.13.2 已经修复了这个漏洞。微软昨天也已经推出了安全更新,Windows 用户可以通过更新堵上这个漏洞。Google官方文档显示:在 Android 的 2018 年 1 月 5 日安全修补程序级别中修复了这个漏洞,这些更改已于 2017 年 12 月发给了Android 合作伙伴——国产的定制 ROM 可能需要抓紧时间更新 Android 安全补丁了。打上补丁就万事大吉了?「崩溃」打破了应用程序和操作系统之间的那道「安全门」,修复漏洞的方法就是想办法建立起一道「隔离门」。维持这样一个「安全门」当然是有代价的,处理器需要调用更多资源来维持它的功效,可能会拖慢电脑的运行速度。所以这样的限制会使电脑变慢?打游戏变卡?吃瓜群众说:所以打了补丁依然不能好好玩荣耀嘛。。。【历史上的大泡沫事件告诉你远离比特币】历史上一个大的泡沫发生在1634年到1637年,它被叫做“荷兰郁金香热”。精英人群把佩戴郁金香看作是富裕的象征;他们把郁金香优雅地插在上衣口袋里或头发上。在他们的观念中,佩戴郁金香是无政府主义的象征。但是,在这样疯狂的行为中,所有优秀的、冷静的商业行为规范都被抛到了脑后。一种罕见的郁金香Roi de Fleurs的售价高达1000荷兰盾。但是,到1722年,它的售价仅为10荷兰盾,而且再也不被认为是稀罕之物。进一步分析,你就会发现一个郁金香球茎相当于所有这些物品的价值之和:2包小麦、4包黑麦、4头肥牛和猪、12头肥羊、4吨啤酒、2吨黄油、1000磅奶酪、1床首饰、1堆衣物和1个银杯。你可能很难接受这些数字,但这是事实。现在,一个比特币可以购买以上所有东西,甚至更多。由于市场需求过剩,价格高涨,比特币泡沫就出现了。它在全世界引发了投资热潮,驱使人们变得越来越贪婪。可以说,各国政府都希望控制金融政策,进而控制财富分配机制。当泡沫膨胀到极限,人们开始恐慌性抛售的时候,比特币将不可避免地崩溃。毕竟,它的价格仍然是由供需关系决定的。吃瓜群众说:佩戴郁金香是富裕的象征~orz~听起来像真的一样【亚马逊获得智能镜子专利:让购物者试穿虚拟服装】北京时间1月4日早间消息,亚马逊获得一项与镜子有关的专利,按照亚马逊的描述,购物者没有必要真正试穿衣服,就能在镜子中看到衣服穿在身上是否合适。系统包含了镜子、显示屏、投影仪和摄像头,它可以将购物者的肖像与虚拟图像结合,显示混合现实反射图像给购物者看,图像的虚拟背景可以变化,购物者可以看到自己穿上虚拟服装是否漂亮。系统内的光源会将像素层叠加在购物者实时移动图像之上。不只如此,亚马逊还推出了Echo Look,它是一个音控摄像头,可以提供建议,告诉用户应该穿什么衣服。吃瓜群众说:不错~这个技术很先进,很符合我的气质【再融2.2亿美元 雷军旗下金山云加速人工智能落地】1月4日,雷军旗下金山云宣布继D轮3亿美元融资后再获2.2亿美元融资,至此,金山云D系列融资累计达5.2亿美元,投后估值达21.2亿美元,再次刷新云行业估值新高。金山云CEO王育林表示,D系列融资为金山云的持续高速发展提供了强劲动力,金山云将持续加大AI领域的研发投入力度,以技术赋能行业升级。金山云一直积极打造开放的人工智能云生态,通过深度介入行业应用,提供一体化的AI解决方案,为各行业的智能化升级和发展提供全面坚实的技术服务支持。2017年6月,金山云推出人工智能云KAP(Kingsoft AI Propeller),覆盖IaaS、PaaS、SaaS、行业解决方案四个层面,通过将AI所需的各层能力封装,以服务的形式提供给客户,加速AI应用落地。目前KAP已经在OCR、人脸识别、电商、内容安全、城市安防、智能车载、智能家居、智能医疗等数十个领域取得了诸多实践案例。吃瓜群众说:看起来挺厉害的嘛【黑莓股价大涨13% 四年新高因获百度AI支援】美国时间本周三,黑莓股价大涨13%,创近四年半来新高。市场突然追捧,源于黑莓当天与中国互联网巨头百度达成协议,联合开发自动驾驶技术。百度AI将为黑莓注入强心剂,双方合作被认为将“重新定义未来街道(重新定义未来驾驶/未来发展之路)”。根据合作协议,黑莓QNX软件将成为百度阿波罗自动驾驶平台的操作系统。据了解,黑莓此前与高通、日本电装、Aptiv Pic等公司也达成类似协议,但与阿波罗的结合显然让资本市场更为兴奋。协议中显示,包括CarLife车联网软件、DuerOS语音交互系统以及高清地图等,百度一系列自主软件产品整合到QNX车载信息娱乐平台,百度AI与黑莓将深度融合。吃瓜群众说:黑莓是一个车的牌子吗,我总以为是手机【刘强东寻祖最新进展:刘邦后人】之前刘强东发布微博,应父亲大人的吩咐寻找自己的家族族谱!而这件事进展如何?按照之前刘强东给出的线索,其太爷爷出生在湖南湘潭,家族是“湘潭刘氏钟灵堂”,希望当地更多知情人帮其寻祖。据红网报道称,经过查找刘强东应该是“皇亲国戚”。根据家谱推测,刘强东宗亲属于湘潭纯塘刘氏分支脉,“刘氏钟灵堂”位于湘潭县花石镇的茅屋湾;刘强东要寻的祖,更有可能是汉高祖刘邦四弟楚元王刘交后裔。吃瓜群众说:东哥原话是这么说的——一直很疑惑为什么我那么爱吃辣,后来爸爸告诉我,我的爷爷是湘潭县的,所以我的祖籍是湖南
  • [行业资讯] 席卷全球的CPU内核漏洞是什么?
    翻开最近的新闻,总少不了CPU内核高危漏洞的报道,其影响之大,修复之难,从电脑被发明以来还是首次。这个漏洞为什么这么厉害?01漏洞有多可怕?近日,国外相关安全研究机构公布了CPU内核高危漏洞Meltdown(熔断)和Spectre(幽灵)。利用这两组漏洞,攻击者可绕过内存访问的安全隔离机制,获取操作系统和其他程序保护的核心数据,造成敏感信息泄露。这两组漏洞,相当于在一座大厦的地基上出现了严重的安全隐患,允许任何人随意进出大夏的每个房间、每个角落,而且还可以拿到房间里值钱的东西。要修复起来,不仅地基要重新设计,上面的每个楼层,都要加上防护措施。这座大厦有多大?大到包括全球几乎所有的手机、电脑甚至物联网设备。特别在云场景下,不同的用户可能共享同一个物理主机,云厂商对用户做了资源隔离,防止用户访问不属于自己的资源和信息,而这两组漏洞正好允许攻击者突破这种隔离。漏洞引起的危害如此严重,影响范围如此广大,一经公布,立即引起了全世界的瞩目,被媒体称为史上最大的安全漏洞。02漏洞怎么产生的?这两组漏洞,都利用了CPU乱序执行和预测执行的机制。采用预测执行和乱序执行,目的是提升CPU的运算速度。而漏洞的产生则都拜预测执行所赐。乱序执行,顾名思义,就是指令的执行是没有顺序的。每条指令执行时间差异是很大的,就跟吃饭一样,有人5分钟搞定,有人1小时还没吃完。假设吃饭要按顺序来,那如果吃饭时间长的人一直没结束,后面的人就得饿着肚子等待。这显然不可能,所以CPU都采用乱序执行,就是大家自己找个位置,自己吃,互不干扰。预测执行,也如其名,就是根据你平常的操作,预测你后面要干什么,CPU就帮你干了。预测错了呢?正常的设想,肯定是指令取消掉就行。但问题就出在这里。错误指令虽然取消了,但会留下缓存。而缓存的最大特点,就是曾经存过什么数据,这些数据后续访问就会变快。利用这个特点,攻击者可以“骗”处理器把目标数据,比如账号密码读入缓存中,然后遍历一个外部数组,根据读取速度的快慢来推导出读入缓存的数据值。鉴于漏洞的技术分析需要计算机、代码等知识,比较复杂,感兴趣的同学可阅读文末的附录。03华为云安全提供立体的防御手段该漏洞出现在电子世界的地基上,但地基的修复是很困难的,有待于CPU厂商的设计和更新。因此,目前主要的修复方案是修复地基上层的建筑,比如云平台操作系统、用户虚拟机操作系统。漏洞虽然产生了世界性的影响,但对用户来说,大可不必过于惶恐。首先,华为云安全一直在与CPU厂商们积极沟通合作,不断分析和尝试给出更好的底层修复方案,以期彻底解决该漏洞。其次,从云平台来说,包括华为云在内的各云厂商,都已启动了底层基础架构的修复更新。华为云安全已于1月4日发布公告,将于1月11日0时启动基础平台安全升级,方式为对用户无感知的热升级,正常情况下对用户业务无影响。再次,对用户而言,漏洞原理及利用代码虽已公开,但要在真实的云环境下利用起来,是非常复杂和困难的。而且华为云安全推出了漏洞消减服务,可帮助用户对漏洞可能造成的威胁进行检测及防御。最后,包括华为云在内的各大云厂商,日常最重要的工作之一,即是例行地检测和阻断各种针对云的攻击,保障云环境的安全稳定。华为云安全并配备了强大的专家团队,随时响应可能的安全事件。此次高危漏洞的爆发,华为云更加强了检测和防护力度,安全专家7*24小时轮班值守。截止目前,尚未发现可在真实环境下攻击成功,并造成明显损失的漏洞利用代码。04华为云与用户同承担、共进退这两组漏洞,危害之大,修复之难,前所未有。可以预见,未来一段时间,仍将是业界关注的热点,但不管如何,华为云安全都坚定地站在用户身边,同承担、共进退,持续对漏洞进行跟踪、分析、研究,不断推出更好的防护方案和服务,帮助用户防护好业务数据。附录漏洞技术分析Meltdown漏洞分析Meltdown对应漏洞库编号为:CVE-2017-5754。结合业界公开的漏洞利用代码,分析如下:● 此段代码运行在CPU用户态模式下(cpl=3),且ptr指向一个内核地址空间的地址。● CPU在执行指令2时,会首先把数据读取到缓存中(这时还没有进行权限检查)。● 由于CPU的乱序执行特性,执行步骤2的同时,后面几条指令也被会执行,且指令3和指令5的计算操作是根据 指令2读取到的数据 执行的。● 当CPU对指令2进行权限检查时会发生一个访问异常,之后执行的两条指令的操作状态会发生回滚,但Cache、TLB没有回滚,这样就绕过了CPU的权限检查机制。● 可以利用边信道攻击来探测哪些页面被访问过,结合特定的代码场景,就可以推测出内核地址空间中的内容了。Spectre漏洞分析Spectre,对应漏洞库编号:CVE-2017-5753/CVE-2017-5715。● 正常情况下,当offset 大于array1->length时,下面的代码永远不会执行。● 如果array1->length没有被缓存,由于CPU分支预测的特性,CPU当前指令流水线会等待缓存加载完成,同时在另外一条指令流水线上,下一条指令“value = array1->data[offset]”会被预测执行。● 一旦发现offset大于array1->length,预测执行的指令和结果将会被丢弃并加载正确的指令重新处理。● 当array1->length和array2->length没有被缓存时,exploit可以分别读取 array2->data 0x200和0x300偏移处的数据,通过比较两次访问的用时,就可推断执行的是哪条指令,从而推断出value的低位值,而这个value正是上面越界读取到的值,这样就可以泄露任意内核地址空间的一位,这当然就可以构造出能读取更多内存地址的exploit了。通常访问用时更短的,说明数据已经被加载到了缓存,这也意味着分支指令被预测执行到了。本文来源于华为云官网 原文链接:http://www.huaweicloud.com/notice/1515257887383.html?utm_source=weixin-20180108-01&utm_medium=display&utm_campaign=weixin&utm_content=huaweicloud-2018
  • 福建三鑫隆智能井盖解决方案
    产品简介 近年来,由于城市路面井盖管理不善,造成全国范围内各类伤人、损车事件频发,严重影响了市民的出行安全,造成不良的社会影响。为此,三鑫隆公司采用了智能传感、窄带蜂窝物联网、云计算等技术,通过将信息化技术与井盖紧密结合,打造了井盖物联网平台与智能产品,实现了井盖资产管理、定位监控、防盗监管、井下液位监测预警、内涝监测预警等功能,提高管理工作效率,降低养护成本,让广大人民的人身安全得到切实保障。产品详情 三鑫隆智能井盖解决方案主要由电子标签管理、井盖状态监控、井盖智能锁管理、井下水位智能监控和路面积水智能监控5个部分组成。1、电子标签。以R F I D电子标签为信息感知载体并融合无线网络,基于GIS建立井盖全生命周期数字档案,强化管理部门监管职能。利用电子标签为井盖建立唯一的身份标识,把井盖整个生命周期的事务统一归档、统一管理。在施工、维护等各个环节做到快速查询、溯源,帮助管理部门提升井盖综合管理水平,建立规范统一的标准化业务流程。2、井盖状态监控。在井盖上安装井盖智能监控终端,终端通过全轴倾角传感技术,监控井盖状态,当井盖姿态、形态发生改变时,即时发出井盖异常报警信号。第一时间得知井盖异常信息,及时调度处置,大幅提高管理效率。实现发现异常即时报警,提前预防,主动管理,降低养护成本及损失,提前发现并消除安全隐患。3、井盖智能锁。通过在井盖下第二层安装井盖智能锁,将井口锁住,非授权人员无法打开井盖,同时还起到防坠的作用。通过井盖智能锁解决井下资产不受保护的问题,仅授权人员方可具备开启智能锁权限,同时井盖锁开锁信息记录到平台可实时查阅。4、井下水位智能监控。通过安装井下水位智能监控终端,强化井下水位动态采集手段,采用适用于工作在复杂环境的投入压力式高精度液位监测设备,建立、优化防涝监测预警体系和经验模型,制定应急预案,明确预警等级及相应的措施和处置程序,着力提升市政部门应对排水内涝事件的信息化管控能力,减少因为城市内涝等问题导致的生命财产损失。5、路面积水智能监控通过安装路面积水智能监控终端,实时监测城区下穿通道、隧道等各低洼路段、易积水区的路面积水水位并实现自动预警。市政排水调度管理部门借助该设备可整体把握整个城区道路积水内涝状况,及时进行排水调度。产品亮点(1)构建全方位的城市井盖资源状态感知体系。通过多种检测采集手段,实现资源整合,实现信息共享,真正实现“统一平台、统一部署、统一管理”的一体化模式,建立城市智能井盖管理与服务平台。(2)建设井盖资源分布图。通过GIS地图、三维等模式将城市所有井盖设施资源及井下管网状态直观、全面地展示在一张地图上,对基础信息、分布状态进行实时监控。(3)实现智能监测预警。强化井下水位动态采集手段,建立、优化防涝监测预警体系和经验模型,制定应急预案,明确预警等级及相应的措施和处置程序,着力提升市政部门应对排水内涝事件的信息化管控能力,减少因为城市内涝等问题导致的生命财产损失。(4)将物联网、云计算技术与井盖管理紧密结合,实现井盖数字化,管理智能化,维护简单化,将井盖管理带入云时代。提升井盖管理手段,转变管理方式,使井盖管理由被动应付变为主动管理,有效提高井盖设施管理效率和精准度,减少因井盖问题带来的危害。客户收益(1)市政部门提供依据——全方位的井盖信息及管网信息的采集为应急指挥、城市管理规划提供基础数据,同时也为城区防涝事务等管理部门决策支持提供依据。体现职能——提升井盖管理手段,转变管理方式,使井盖管理由被动应付变为主动管理,有效提高井盖设施管理效率和精准度,减少因井盖问题带来的危害。井盖信息化建设对提升城市基础设施建设和管理水平,保障城市运行安全,促进经济社会持续健康发展具有重要意义。提升形象——为市政建设城市井盖管理,改善形象和提升管理水平,为社会提供更好的服务。(2)社会公众 避免因井盖丢失、城市内涝严重等问题造成的人民生命财产损失,确保事前预警、及时处理、控制风险、保证安全。
  • 【悬镜安全】悬镜安全旗下产品云鉴荣获赛可达实验室年度优秀产品奖
    近日,由国际知名第三方信息系统安全测试认证机构赛可达实验室评比颁发的“2017年度优秀产品奖”新锐出炉。历经上百次测评、8次全球横评,云鉴漏洞扫描云平台凭借其独有的三合一漏洞扫描云平台优势、全面的扫描范围,以及精准的扫描结果,在50余个测评产品中脱颖而出,被评为2017年度优秀产品。同时获得2017年度优秀产品奖的公司还有360安全浏览器等优秀产品。云鉴漏洞扫描云平台获赛可达实验室年度优秀产品奖赛可达实验室由北京赛可达信息技术有限公司运营。赛可达实验室(SKD Labs)是国际知名第三方网络信息安全测评机构。秉承“公正、中立、科学、严谨”的服务理念,依托世界领先的测评技术和数年丰富的国际测评经验,致力为行业用户和网络信息安全厂商提供权威第三方测评服务。测试严格采用国内外通用的测试标准体系和技术,强调产品在真实环境中的性能和功能表现。可以看出,赛可达的测试更科学、严谨、真实,更具国际化。云鉴漏洞扫描云平台荣获2017年度优秀产品奖 悬镜安全CEO张涛领奖合照(左一:赛可达实验室CEO宋继忠; 左二:悬镜CEO张涛;左三:中国工程院院士倪光南)云鉴漏洞扫描云平台十分贴近实际环境,与赛可达实验室坚持真实可用的理念不谋而合,在应用中可以对网站的正式、测试环境进行扫描,尽量避免脏数据的写入或误删重要数据,优化扫描测试用例,规避对业务的高危操作的同时尽可能发现安全漏洞,扫描频率动态调整,避免扫描流量造成业务网站中断。自动化集成的特点大大缩短了扫描时间,对于亟待交付的工程可以有效提高开发效率,节省开发时间。云鉴漏洞扫描云平台适合于在线网站、互联网金融、网站(APP应用)开发商、电子商务、政府、高校等各行业。云鉴漏洞扫描云平台在传统的漏洞基础检测体系之上,结合悬镜服务器卫士多年服务器防护经验,融合云诺大数据智能检测云平台的海量漏洞数据,对漏洞进行全面深入检测。云鉴漏洞扫描云平台界面【来源云鉴官网:http://www.x-check.cn/】目前支持对系统漏洞、网站漏洞、APP漏洞进行全方位自动化的检测。仅需一个命令,云鉴漏洞扫描引擎全自动化检测,并借助悬镜GPU集群运算平台的强大处理能力,让漏洞分析迅如闪电。出具的测试报告,既可在线网页版预览,也可以下载PDF专业报告文件。报告可加盖公章并邮寄,助您企业应对各种严格审验。网站漏洞扫描报告模板系统漏洞扫描报告模板App漏扫扫描模板简单易用注册即可使用,无需安装任何组件零维护成本,特性自动更新,无需用户操作,使漏洞检测随心随性一站式漏洞管理用户对任务进行重新扫描操作可对任务重新扫描从而判断漏洞是否已修复;扫描报告可下载到本地查看高级定制服务报告可盖章邮寄,以应对各级部门监管检查。更有悬镜安全工程师专业化高级渗透测试服务可供选择。悬镜安全CEO张涛和倪光南院士合影悬镜,北京安普诺信息技术有限公司(简称“安普诺”)旗下的专业云主机安全品牌,是国内首家专注于 “云+端”一站式防黑加固的终端安全解决方案的专业厂商,也是国内首家发布”基于深度学习 (AI) 技术的SQL注入检测引擎”的国家高新技术企业,曾获北京市高校大学生优秀创业团队一等奖及北京市科技型中小企业促进专项资助。旗下系列安全产品多次通过权威机构认证且对实际的防护攻击起到好的抵御效果,客户范围覆盖企业、政府、高校、运维、开发商等多项领域,均获得了客户的一致好评。悬镜服务器卫士在2016年就曾斩获赛可达实验室年度优秀产品奖项,今年云鉴不负众望再次折桂,实现了安普诺两大主力产品在技术和市场两方面均走向成熟和稳定。连续两年不同产品均能获得赛可达实验室的优秀产品奖项既是对我们的肯定,也是鼓舞我们在为广大客户提供更安全、易用产品道路上继续前进。立刻体验云鉴漏洞扫描云平台(http://www.x-check.cn/),三合一漏扫,只在云鉴。
  • 【悬镜安全】悬镜安全给大家送礼了,最高优惠1折
    新年的钟声已敲起,安全的脚步不停留2018年1月2日-2018年1月30日悬镜安全旗下三大产品为您的2018企业安全保驾护航既实用,又合规2018年,您的安全,悬镜陪您一起来见证1.悬镜●星声私有云安全管理批量管控,数据私有化存储“悬镜-星声安全平台”是悬镜安全实验室为满足企业私有云环境及企业内网服务器集群的安全而研发的一套功能强大且兼顾效率的安全产品组合架构。其主要组件包括“悬镜服务器卫士”软件及“星声私有云安全管理平台”硬件设备。星声硬件本地化部署,安全数据全私有化存储,降低数据泄露威胁。活动期间购买悬镜·星声私有云安全管理,不仅享受8.8折优惠,还赠送iPad mini一台。2.悬镜●云鉴漏洞扫描三合一综合专业漏扫一款集服务器漏洞扫描、网站漏洞扫描、APP风险评估为一体的综合性漏扫云平台,先于攻击者发现漏洞,由被动变主动,这个冬天,让云鉴来检测您的业务风险。3.悬镜●9大安全服务7*24*365,最高省2400渗透测试:想解决纷争,必先陷入纷争高级渗透测试是悬镜安全实验室资深安全专家在客户委托授权的情况下,完全模拟黑客可能使用的攻击技术,知己知彼,百战不殆。安全团队均有行业十年以上从业经验,全团CISP国家认可最高资质,强大的漏洞研究与挖掘能力为您保驾护航,省心。应急响应:牛奶撒了,我们帮您收拾当客户的业务遭受一定程度的中断或影响时,或者客户服务器及网站系统遭受网页篡改、敏感数据泄露、勒索蠕虫感染、后门植入等紧急安全威胁时,悬镜安全实验室资深安全专家会根据客户的授权第一时间介入安全事件的动态监测、样本采集与分析,及时分析挖掘针对业务系统的潜在各种攻击行为和入侵痕迹,以最快速度进行止损,恢复系统的保密性,完整性和可用性。防黑加固:天下武功,无坚不摧大互联网时代,唯有快人一步,方能从容不迫。防黑加固服务为您提供全方位的基线加固和组件升级,提前修补系统潜在的高危漏洞和安全隐患。谈笑间,网络威胁灰飞烟灭。对各种业务服务器(包括但不限于WEB服务器,数据库服务器,文件服务器,邮件服务器,FTP服务器等)进行全方位的防黑加固,针对可能出现的远程入侵,网络攻击进行预先防范,提前阻止可能发生的SQL/XSS注入攻击,大马小马、各种变形一句话在内的各种网马植入,CC攻击,数据库爆破等。真正做到防患于未然。活动地址:http://www.xmirror.cn/page/activity华为云-悬镜安全市场:https://app.huaweicloud.com/seller/e91ac73e7a45443fae0a0974202c7908
总条数:143 到第
上滑加载中