一周要聞回顧之安全頻道

責任編輯:editor004

2014-03-20 16:51:59

摘自:比特網

本周,馬航失聯(lián)事件仍舊牽動著人們的心,先不說撲朔迷離的事件發(fā)展讓人愈發(fā)霧里看花般摸不著頭腦,卻有無良黑客趁此以“馬航事件”為誘餌散布網絡病毒。近日,央行暫停支付寶二維碼支付和虛擬信用卡一事已經在市場中引起了軒然大波,而原因還是在于安全那點事

本周,馬航失聯(lián)事件仍舊牽動著人們的心,先不說撲朔迷離的事件發(fā)展讓人愈發(fā)霧里看花般摸不著頭腦,卻有無良黑客趁此以“馬航事件”為誘餌散布網絡病毒。而用戶感染病毒后還有可能遭到進一步的詐騙。

近日,央行暫停支付寶二維碼支付和虛擬信用卡一事已經在市場中引起了軒然大波,而原因還是在于安全那點事。央行官員表示,線下條碼(二維碼)支付突破了傳統(tǒng)受理終端的業(yè)務模式,風險控制水平直接關系到客戶的信息安全與資金安全。

近日頗受業(yè)界關注的還有Pwn2Own黑客大賽。在本次大賽上,參賽者發(fā)現了30多個主流瀏覽器及其插件上的漏洞。大量的漏洞表明,操作系統(tǒng)和服務器的安全性依然令人擔憂。

近日,有駭客在社交網絡發(fā)布惡意視頻鏈接,內容包括“馬航失蹤客機MH370在海上發(fā)現--50人生還”的未經證實信息,用戶點擊之后就會感染,并可能遭到近一步的詐騙。

社交網絡上的惡意鏈接主要利用XSS漏洞傳播,譬如此前國內出現的微博蠕蟲,微博用戶點擊鏈接后,賬號就會被蠕蟲作者控制,自動向所有粉絲發(fā)布蠕蟲編寫好的內容和惡意鏈接,使感染人群如滾雪球般急速放大。

專家提示,每當有公眾關注的焦點事件,網絡攻擊活躍度就會明顯增加。網友們在關注事件進展時,應訪問正規(guī)可靠的網站獲取資訊,不可輕易點擊陌生可疑鏈接。

央行暫停支付寶二維碼支付和虛擬信用卡一事無疑是對如今火熱的互聯(lián)網金融潑了一盆冷水。央行官員表示,線下條碼(二維碼)支付突破了傳統(tǒng)受理終端的業(yè)務模式,風險控制水平直接關系到客戶的信息安全與資金安全。

文件中,央行明確指出,將條碼應用于支付領域的有關技術、終端的安全標準尚不明確,相關支付指令驗證方式的安全性尚且存疑,在落實客戶身份識別義務、保障客戶信息安全等方面尚需進一步研究。

到目前為止,有太多用戶因網上銀行、手機銀行通過支付寶等快捷支付手段被安全漏洞隱患影響而受到了不同程度的財產損失。但是,對這種支付方式全面暫停也不是最妥善的做法。既然知道了存在安全隱患,那么就要從其作為入手點進行反擊。不法分子的最終目的就通過安全漏洞獲得用戶的杭虎信息從而實現盜刷賬戶資金,因此只要切實妥善的保護好用戶的信息就可以杜絕賬戶資金被盜的情況。

近日召開的Pwn2Own黑客大賽上,參賽者發(fā)現了30多個主流瀏覽器及其插件上的漏洞。高額的獎金支持,推動安全漏洞的研究工作形成一個獲利豐厚的市場,進而又促成更多的漏洞研究工作。

一般來說,攻擊成功需要發(fā)現兩個漏洞。一個用來突破保護系統(tǒng)的“沙盒”,另一個用來提升權限,從瀏覽器到操作系統(tǒng)內核。這種分成兩個階段的入侵已經成為新的攻擊形式,但在幾年前僅使用一個漏洞便可以掌控系統(tǒng)內核,這說明安全防護水平已經提高,入侵過程更加困難。

安全公司VUPEN在此次大賽上先后攻破了Adobe的閱讀器、Flash,微軟的IE,Mozilla的Firefox以及谷歌的Chrome。

大量的漏洞表明,操作系統(tǒng)和服務器的安全性依然令人擔憂,軟件廠商的努力雖然取得了一定成果,加大了入侵的困難和成本,但并沒有杜絕安全問題的出現。好的一面是,畢竟這35個漏洞將很快得到修復。而且找到漏洞根源的話,還能幫助軟件開發(fā)者進一步改善他們的編程工作。

鏈接已復制,快去分享吧

企業(yè)網版權所有?2010-2024 京ICP備09108050號-6京公網安備 11010502049343號