*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。
各位Buffer早上好,今天是2019年4月12日星期五。今天的早餐铺内容主要有:研究人员披露WiFi WPA3标准中的“龙血”漏洞;25%的网络钓鱼攻击能够绕过Office 365内置的默认安全措施;IDC发布2019全球IT安全支出规模预测,中国增速惹眼;三分之二的酒店网站泄漏客人预订详情并允许访问个人数据;新版征信将上线,个人信息保护立法应跟进;北约合作网络防御卓越中心报告:华为、5G和安全威胁。
研究人员披露WiFi WPA3标准中的“龙血”漏洞
“龙血”漏洞共有五个,包括拒绝服务攻击、两个降级攻击和两个侧通道信息泄露漏洞。拒绝服务攻击漏洞危害程度较低,只会导致使用WPA3的接入点崩溃,其他四个可用于获取用户密码。两个降级攻击和两个侧通道信息泄露漏洞都是WPA3标准的Dragonfly密钥交换中的设计缺陷引起,这是一种客户端在WPA3路由器或接入点上进行身份验证的机制。在研究人员发布漏洞信息后,WiFi联盟表示WPA3标准已经添加了安全更新,修复了“龙血”漏洞。[来源:zdnet]
25%的网络钓鱼攻击能够绕过Office 365内置的默认安全措施
数据来自Avanan的全球网络钓鱼报告,该报告分析了发送到Microsoft Office 365和Google G Suite帐户的5550万封电子邮件。发现大约有1%的邮件使用恶意附件或链接作为攻击媒介。其中,25%被Office 365中内置的Exchange Online Protection(EOP)标记为安全并交付给用户。
Avanan首席安全分析师兼报告作者Yoav Nathanie表示:基于云的电子邮件服务已经进入了一个全新的网络钓鱼时代。云电子邮件的连接特性允许攻击者通过单次成功的网络钓鱼攻击获得更大的利益,因为只要盗取用户凭据后可以让他们访问其他连接的帐户,例如云文件共享或云HR系统。[来源:darkreading]
IDC发布2019全球IT安全支出规模预测,中国增速惹眼
近日,IDC发布的IDC Worldwide Semiannual Security Spending Guide, 2018H1再次引起全球网络安全市场高度关注,根据IDC预测,2019年全球IT安全相关硬件、软件和服务支出将达到1031亿美元,相比2018年增长9.4%。随着全球各行业在安全解决方案上持续投入巨资以应对各种纷繁复杂的恶意威胁,满足各类安全需求,这种快速增长趋势将在未来几年仍将持续。IDC预测,在2018-2022年预测期内,全球安全解决方案支出将实现9.2%的年复合增长率(CAGR),预计2022年将达到1338亿美元。
IDC预测,2019年中国安全解决方案总体支出将达到69.5亿美元,2018-2022年预测期内的年复合增长率(CAGR)为25.6%,增速远高于全球平均水平,到2022年,市场规模将增长至137.7亿美元。2019年,安全硬件在中国整体安全支出中将继续占据绝对主导地位,占比高达61.9%;安全软件和安全服务支出比例分别为16.4%和21.7%。从行业上来看,政府、通信、金融仍将是中国网络安全市场前三大支出行业,占中国总体IT安全市场约六成的比例。[来源:IDC咨询]
三分之二的酒店网站泄漏客人预订详情并允许访问个人数据
赛门铁克首席安全研究人员Candid Wueest近日发文称,酒店网站可能会泄露客人的预订详情,允许其他人查看客人的个人数据,甚至取消他们的预订。在最近研究酒店网站上可能发生的劫持攻击时,Wueest偶然发现了一个可能泄漏客人个人数据的问题。
Wueest测试了多个网站 – 包括54个国家/地区的1500多家酒店 – 以确定这个隐私问题的常见程度。我发现这些网站中有三分之二(67%)无意中将预订参考代码泄露给第三方网站,如广告客户和分析公司。他们都有隐私政策,但他们都没有明确提到这种行为。虽然广告商跟踪用户的浏览习惯已经不是什么秘密,但在这种情况下,共享的信息可以允许这些第三方服务登录预订,查看个人详细信息,甚至完全取消预订。自从《通用数据保护条例》(GDPR)在欧洲生效以来已近一年了,但受此问题影响的许多酒店的遵守法规的速度非常缓慢。[来源:darkreading]
新版征信将上线,个人信息保护立法应跟进
据媒体报道,中国人民银行个人征信中心已试运行新版个人征信报告,将于近期正式上线。届时,对个人失信行为的约束将更严格。“拆东墙补西墙”、以卡养卡、发生严重违约后销户来“洗白”等不诚信行为将可能产生更严重的后果。
据介绍,新版个人征信报告与旧版相比有三大变化,一是信息更加完整细化。除旧版个人基本信息之外,新版个人征信报告将完整展示贷款人及配偶的相关信息。同时,职业信息也更完整,信息量与个人求职简历相当。更细化的信息,将使个人信用情况更为一目了然。二是信息更加全面丰富。原来的征信记录少量个人信息,房贷、银行卡等。除借贷等金融信息外,新版征信将纳入更广泛的信息,如电信业务、自来水业务缴费情况、欠税、民事裁决、强制执行、行政处罚、低保救助、执业资格和行政奖励等信息。同时还款记录由2年延长至5年,将记录详尽的还款信息、逾期信息;新增还款金额,逾期或透支额也将标注出来。三是信息更加及时精准。新版征信要求相关机构在采集数据的节点T+1日向征信中心报送最新的数据。征信信息由原来的一个月或者更久变成T+1日。此项规定,使得个人信用状况可以得到更加真实的反映,金融机构的信贷管理将变得更有针对性,风险管理更加精准,避免一些人利用信息采集的时间差来套取多家银行贷款,可有效降低信贷风险。[来源:证券时报]
北约合作网络防御卓越中心报告:华为、5G和安全威胁
(以下内容不代表本站观点)
4月1日,北约合作网络防御卓越中心(CCDCOE)发表一份研究报告《华为、5G和安全威胁》,探讨了华为作为下一代无线网络5G技术的潜在供应商所存在的网络安全问题。主要内容包括运用中国5G技术所引起的战略和法律问题,各国针对这一问题的反应,报告最后提出了4条建议。
报告认为在关键通信领域要求5G技术提供尽可能高的安全保证无可厚非。在追求技术创新的同时,对网络安全的关切将影响到更广泛的国家安全问题。关键网络如果丧失或中断可用性、完整性和保密性,将对社会产生重大不利影响。许多国家对中国通信技术公司与情报部门之间关系暧昧可能产生的后果表示担忧,而中国的政治和法律环境要求其与情报机构合作,则无疑强化了这层关系。因此,5G技术被认为是一种战略性选择,更甚于技术选择。
报告建议有必要寻求华为的替代技术,以防止陷入独家供应商的困境,从而保持选择的灵活性。在技术面前,严苛的问责、高透明度和风险缓解机制是最基本的保障,这样才能在不损害国家安全的情况下安享5G福祉。因此,加强研发投入和区域工业经济,已非应对全球竞争之策,而是缓解安全之虞。[来源:ccdcoe]
来源:freebuf.com 2019-04-12 07:00:20 by: Freddy
请登录后发表评论
注册