亚洲另类在线观看,特黄特黄欧美大片在线视频,播放毛 潮喷97免费人妻,无码人妻久久一区二区三区不卡,日本动漫爆乳h真人无遮挡,在线观看a视频

6月安全大事件第二期

來自:魏十七
時間:2016-07-01 14:58:55
分享:
米么信息 米么信息 米么信息
6月14日晚,微軟方面公布了一個高危漏洞補丁,漏洞名為“BadTunnel”,據(jù)目前為止該漏洞是Windows歷史上影響最廣泛的漏洞,從Windows95到Win10均受到該漏洞影響。

0x001 “BadTunnel”——Windows史上影響最廣泛的漏洞

6月14日晚,微軟方面公布了一個高危漏洞補丁,漏洞名為“BadTunnel”,據(jù)目前為止該漏洞是Windows歷史上影響最廣泛的漏洞,從Windows95到Win10均受到該漏洞影響。BadTunnel由現(xiàn)任騰訊玄武實驗室總監(jiān),有“黑客教父”之稱的于旸(TK教主)發(fā)現(xiàn)。據(jù)于旸自己所述,該漏洞是由原始設計問題產生,是一系列各自單獨設計協(xié)議和特性協(xié)同工作所導致的。當用戶打開一個URL,或者打開任意一種Office文件、PDF文件或其他格式的文件,或者是僅插入一個U盤,都會幫助攻擊者完成對目標用戶的網(wǎng)絡劫持,獲取權限提升。攻擊者可以通過Edge、Internet、Microsoft Office或在Windows中的許多第三方軟件利用該漏洞,也可以通過網(wǎng)絡服務器或拇指驅動器來完成攻擊。 即便是是用戶安裝了帶有主動防御機制的安全軟件,也無法檢測到攻擊。攻擊者還可以利用該對目標系統(tǒng)執(zhí)行任何惡意代碼。據(jù)悉,該漏洞可成功利用率非常之高,尤其是對于微軟已經不支持的Windows版本威脅極大。對于微軟仍然支持的系統(tǒng),用戶需盡快下載安裝補丁。TK教主將在8月舉行的拉斯維加斯黑客大會上公布該漏洞的詳細細節(jié)。

按tk的話說,這是“咱們誰都沒錯,但是不適合在一起”。涉及到這個漏洞的背景協(xié)議之一,NETBIOS協(xié)議,由IBM公司開發(fā),主要用于數(shù)十臺計算機的小型局域網(wǎng),作用是為了給局域網(wǎng)提供網(wǎng)絡以及其他特殊功能。系統(tǒng)可以利用多種模式將NetBIOS名(相應計算機名稱)解析為相應IP地址,實現(xiàn)信息通訊。在這個協(xié)議下,在局域網(wǎng)內可以假冒任意主機,但這并不被認為是漏洞。
另一個非常重要的協(xié)議WPAD,是一套有超過二十年歷史的古老協(xié)議。用于自動發(fā)現(xiàn)和配置系統(tǒng)的代理服務器。在局域網(wǎng)內可以利用WPAD劫持假冒任意主機,但這也不認為是漏洞。
但這個漏洞的關鍵,在于“Tunnel”。根據(jù)以上協(xié)議形成的Tunnel,使對任意網(wǎng)段主機流量進行劫持成為可能。

0x002暴雪遭受DDoS攻擊,部分游戲服務無法登陸

2016年6月19日左右,暴雪方面遭受黑客攻擊,旗下部分游戲(包括爐石傳說,魔獸世界等)無法連接到戰(zhàn)網(wǎng)平臺,隨后暴雪方面證實服務器遭受黑客攻擊。

6月20日,一名昵稱為“AppleJ4ck”的黑客在推特上發(fā)文宣稱對此事負責。他在推特中寫道“別管我,(暴雪)你們還是做些準備吧,小心我的數(shù)據(jù)包,謝謝”,并稱,這次攻擊“我們是在幫你們戒除網(wǎng)癮”

根據(jù)相關的消息,這名昵稱為“AppleJ4ck”的黑客或與Lizard Squad(蜥蜴小組)有關。Lizard Squad是一個以發(fā)動大規(guī)模DDoS攻擊而在黑客界聞名的黑客組織,曾經對Xbox Live、PlayStation Network、Battlenet、等知名互聯(lián)網(wǎng)企業(yè)發(fā)動過大規(guī)模DDoS攻擊。


早在今年4月,暴雪公司戰(zhàn)網(wǎng)服務器就遭受過DDoS攻擊,包括《星際爭霸2》、《魔獸世界》、《暗黑破壞神3》等在內的游戲服務器宕機。

DDoS(Distributed Denial of Service attack,分布式拒絕服務攻擊,縮寫:DDoS)是一種常見的網(wǎng)絡攻擊方式,其原理較為簡單,即透過大量合法或偽造的請求占用大量網(wǎng)絡以及器材資源,以達到癱瘓網(wǎng)絡以及系統(tǒng)的目的。現(xiàn)在超過四分之三的服務提供商可以做到在20分鐘甚至更少的時間內減輕DDoS攻擊,但DDoS的攻擊力度并沒有因此變小,仍然在全球肆虐,雖然這種攻擊方式有些沒品,但是效果不錯呀:)


0x003 白帽子提交漏洞,廠商報警白帽被逮

2015年12月,烏云漏洞平臺某白帽子向平臺提交了世紀佳緣網(wǎng)站SQL注入漏洞,世紀佳緣網(wǎng)站將其修復后,以送禮物的名義向該白帽子索要地址,并在今年1月通知警方。3月警方以非法讀取900條身份信息為由逮捕了該白帽子。在第四屆互聯(lián)網(wǎng)安全大會上,其父致各位專家的一封信將此事推上風口浪尖,一時間引起廣泛關注。目前警方尚未出示該白帽子非法讀取世紀佳緣網(wǎng)會員信息的證據(jù)。

6月20日,世紀佳緣CEO吳琳光在知乎上發(fā)表聲明,否認以釣魚形式索要白帽子地址,并且確認了數(shù)據(jù)存在被盜。

6月30日,某位不愿意透露姓名的白帽子在烏云漏洞平臺提交世紀佳緣網(wǎng)漏洞,對世紀佳緣網(wǎng)某些行為提出質疑。

相關的法律條文:


國家刑法第二百八十六條規(guī)定,關于惡意利用計算機犯罪相關條文
 對于違反國家規(guī)定,對計算機信息系統(tǒng)功能進行刪除、修改、增加、干擾,造成計算機信息系統(tǒng)不能正常運行,后果嚴重的,處五年以下有期徒刑或者拘役;后果特別嚴重的,處五年以上有期徒刑。
 違反國家規(guī)定,對計算機信息系統(tǒng)中存儲、處理或者傳輸?shù)臄?shù)據(jù)和應用程序進行刪除、修改、增加的操作,后果嚴重的,依照前款的規(guī)定處罰。

關于界定“情節(jié)嚴重”

《最高人民法院、最高人民檢察院關于辦理危害計算機信息系統(tǒng)安全刑事案件應用法律若干問題的解釋》相關規(guī)定:

非法獲取計算機信息系統(tǒng)數(shù)據(jù)或者非法控制計算機信息系統(tǒng),具有下列情形之一的,應當認定為刑法第二百八十五條第二款規(guī)定的“情節(jié)嚴重”:

(一)獲取支付結算、證券交易、期貨交易等網(wǎng)絡金融服務的身份認證信息十組以上的;

(二)獲取第(一)項以外的身份認證信息五百組以上的;

(三)非法控制計算機信息系統(tǒng)二十臺以上的;

(四)違法所得五千元以上或者造成經濟損失一萬元以上的;

(五)其他情節(jié)嚴重的情形。

實施前款規(guī)定行為,具有下列情形之一的,應當認定為刑法第二百八十五條第二款規(guī)定的“情節(jié)特別嚴重”:

(一)數(shù)量或者數(shù)額達到前款第(一)項至第(四)項規(guī)定標準五倍以上的;

(二)其他情節(jié)特別嚴重的情形。

明知是他人非法控制的計算機信息系統(tǒng),而對該計算機信息系統(tǒng)的控制權加以利用的,依照前兩款的規(guī)定定罪處罰。



米么信息 米么信息 米么信息
分享文章至