中铁称火车票二维码不会泄露个人信息

  据南方周末报道,有媒体报道称可以通过扫描实名火车票上的二维码获取旅客的个人信息,引发网友和媒体关注。中铁负责人表示,火车票二维码2012年已加密,旅客个人信息不会通过二维码泄露。  不过,铁路部门仍然提醒旅客不要随意丢弃自己的火车票,因为车票上印有姓名和不完整身份证号码等显性信息,这些内容有可能被不法分子所利用。丢弃时,可将车票撕毁或是将有个人信息的部分涂黑。... 阅读全文​...

新华社:美国才是这个时代的最大恶棍

  6月23日,曝光美国棱镜门计划的斯诺登在香港藏身2周后离开香港,乘坐俄罗斯航空公司航班前往莫斯科,并于当晚抵达莫斯科。美国已撤销斯诺登护照,斯诺登已向厄瓜多尔提交政治避难申请,斯诺登被厄瓜多尔使馆的车辆直接从停机坪接走。厄瓜多尔政府早先曾批准了泄密网站维基解密的发言人朱利安·阿桑奇的政治避难申请。  路透社报道,白宫国家安全委员会发言人海顿刚刚表示,希望俄罗斯政府“考虑所有可能选项”引渡斯诺登至美国,同时表示对于允许斯诺登离港一事,已经向中国中央政府... 阅读全文​...

美学者认为棱镜不违法

  美国学者撰文指出,棱镜项目不违法,至少不违反美国法律,并且得到了充分的法律授权,不对外国人进行监听,就无法阻止恐怖袭击。为了美国国民的安全,外国人的通讯需要得到监控。  换句话说,不掌握这类数据,美国的司法体系的监督机制将失灵。不搜集通讯数据,美国情报机构将被迫在“冒放过阻止恐怖暴行机会的风险”和“违反法律”之间二选一。... 阅读全文​...

我对“棱镜计划”的看法

  我对“棱镜计划”的看法是,美国人说的多,做的少,另一个国家则是做的多,说的少,政府通过互联网企业监控网民信息,美国做的其实还处于初级阶段,效率并不高,而且相对比较公开,容易被人抓把柄,传出去还挺不好听,比起另一个国家差远了,不信的话,你在QQ群或者百度贴吧等网站发一条违法信息,24小时之内就会被抓。... 阅读全文​...

熊猫烧香作者二进宫

  据浙江省丽水市人民政府官方微博消息,“熊猫烧香”病毒的2名制造者在丽水“出山”,设立网络赌场,敛财数百万元。近日,莲都区检察院以涉嫌开设赌场罪批捕了徐建飞、张顺、李俊等17人。其中为李俊和张顺二人曾因“熊猫烧香”案入狱。  按照“黄赌毒”的发展思路,熊猫烧香作者下次出来后应该做黄色网站了。... 阅读全文​...

知名黑客组织入侵朝鲜政府Twitter帐号

  知名黑客组织Anonymous周三入侵了朝鲜政府官方Twitter和Flickr帐号。金正恩照片变成猪八戒,胸部还画上了米老鼠。Anonymous表示,此举主要是因为朝鲜的洲际导弹和核武器威胁着世界和平。据悉,这是Anonymous对朝鲜发动的第二轮网络攻击。... 阅读全文​...

解放军演习中杀毒软件“误杀”

  解放军报发表一篇文章,称去年底,济南军区某师组织了一场信息化条件下红蓝实兵对抗演练。演习中,红方呼叫远程火力支援,但支援不仅没到,反而自家炮兵阵地被歼灭。原因很搞笑,红方控制终端的杀毒软件“误杀”了武器系统的显示插件,致使电磁态势图出现误差,呼唤的炮火不仅没有打到蓝方的指挥所,反而暴露了目标。  微评:就这种电脑应用水平,还想打网络战?... 阅读全文​...

网友曝光微信密码漏洞

  19日下午,有网友在乌云网发布消息,称通过利用微信账号安全的设置漏洞,成功地破解了多为名人的微信账号,并公布为证。截图显示该网友已经成功破解了柳岩、马化腾的微信账号。  简单来说,10位的复杂密码不好破,但一个4位的纯数字在如今的计算机运算能力与带宽支持下几分钟就可以搞定,微信使用手机号重设密码功能,只有4位数字,导致黑客可以通过穷举的方法重置密码。... 阅读全文​...

也看采集用户个人隐私

  采集用户个人隐私这件事,在网络界不仅仅是相当普遍的现象,更是不少公司的盈利模式,例如某些搜索引擎可以追踪一个用户的性别年龄教育程度个人爱好等,并以此匹配专门针对这个用户需求的“精准定位广告”,以获得高点击率和高回报,微软也曾经利用ie跟踪用户google搜索的点击,以改善bing的搜索效果。... 阅读全文​...

美政府称华为中兴威胁国家安全

  美国众议院情报委员会今天发布的报告显示,华为和中兴为中国情报部门提供了干预美国通信网络的机会。美国众议院情报委员会在报告中表示,这两家公司未能与这一长达一年的调查展开合作,也未能解释他们在美国的商业利益以及与中国政府的关系。... 阅读全文​...

360称垃圾短信爱用“免费”和“优惠”

  据《北京晚报》报道,360近日发布了《2012年上半年中国垃圾短信状况报告》。数据显示,垃圾短信最喜欢用的词汇是“免费”和“优惠”,“苹果”最诱人,成为促销、诈骗 最喜欢用的奖品。据360手机云安全中心统计数据显示,今年上半年,360手机卫士为1亿用户拦截的垃圾短信总量已超过105亿条。  按此数据测算,全国10亿手 机用户在上半年实际遭受的垃圾短信总量在千亿条左右,欺诈类和违法类分别占据37%和29%。报告最后总结... 阅读全文​...

12306网站频出漏洞

  国内漏洞报告平台“乌云”发布了一份名为“12306漏洞一包裹”的漏洞。乌云指出,在国庆节前订票高峰期,12306也进入了漏洞频发高峰期,这是今年9月以来,12306出现的第6个漏洞。乌云技术负责人表示,低级漏洞的出现,系统开发方中国铁道科学研究院恐难辞其咎。... 阅读全文​...

中国网站安全现状令人堪忧

  5月29日,中国软件评测中心联合北京大学互联网安全技术北京市重点实验室发布的《网站用户口令处理安全性外部测评报告》指出,国内网站对用户口令的处理方式存在突出的安全问题。在抽样调查的网站中,100个网站中,59%没有采取任何安全措施。使得用户口令直接暴露在传输网络以及服务器端,更有85个网站直接拿到了用户的口令原文。  中国软件评测中心联合北京大学互联网安全技术北京市重点实验室,抽取了门户、邮箱、电子商务、招聘等9类100个网站,对其用户口令处理进行安全性测评。测评发现,大多数网站对用户口... 阅读全文​...

调用Google Authenticator保护网站

  今天才发现,原来Google Authenticator(谷歌身份校验)居然是开源产品,我们可以通过编程来调用Google Authenticator,来实现网站登录使用动态一次性密码的功能,以保证网站用户的安全性。Lastpass就可以集成Google Authenticator来增加登录的安全。  Google Authenticator的代码地址:http://code.google.com/p/google-authenticator/... 阅读全文​...

修改服务器3389远程登录端口

  众所周知,远程终端服务基于端口3389。入侵者一般先扫描主机开放端口,一旦发现其开放了3389端口,就会进行下一步的入侵,所以我们只需要修改该务默认端口就可以避开大多数入侵者的耳目。  步骤:打开“开始→运行”,输入“regedit”,打开注册表,进入以下路径:[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp... 阅读全文​...

澳大利亚政府禁止华为投标宽带网

  据人民网报道,澳大利亚政府以担心来自中国的网络攻击为由,禁止中国华为对数十亿澳元的澳大利亚全国宽带网设备项目进行投标。  该报道称,澳大利亚司法部副秘书托尼·西汉去年底就召见华为澳大利亚公司董事长、退休海军少将约翰·洛德,通知他不要在寻求投标宽带网供货项目上自扰,因为他们即使投标也不会成功。澳大利亚官方甚至提醒华为,称堪培拉了解中国的网络攻击。... 阅读全文​...

CSDN用户数据泄露案告破

  据人民网报道,历时40多天的缜密侦查,北京警方破获CSDN网站用户数据泄露案,并成功带破另外4起案件,共抓获并以涉嫌非法获取计算机数据罪刑事拘留曾某等5名犯罪嫌疑人。  北京警方对CSDN网站未落实国家信息安全等级保护制度造成用户信息泄漏事件做出行政警告处罚,这是我国落实信息安全等级保护制度以来的首例“罚单”。  2011年12月22日,北京警方接到CSDN公司报案,称其公司服务器被入侵,核心数据遭到泄露。  通过对网上泄露的大量CSDN数据在时间等方面进... 阅读全文​...

重设了“两步验证”

  第一次重设了Google的“两步验证”,发现Google的iPhone版“两步验证”好像有问题,我曾经记录了其第一次启用时候的密码,但是昨天重新安装iPhone客户端,使用那个密码产生的一次性动态密码竟然无效,好在我设置了浏览器保存30天,因此登录帐号设置里,重新生成了一次启用密码,这才产生了正确的动态密码。... 阅读全文​...

信用卡的安全问题

  前些天发生了某银行用户信用卡未离身遭盗刷的情况,该银行称凭密码交易银行无责。  由于信用卡设置密码之后,银行就不负责任,因此以我多年的信用卡使用经验,用户可以考虑从以下几个方面来保证信用卡的安全使用:  1、选择提供失卡保障的信用卡发卡行(购买过保险的银行,比如我使用的招行的普卡是有1万元赔偿额度。);  2、不设置密码,(信用卡一设置密码,银行就不会赔偿损失了。没有密码的话,保险公司会帮银行赔偿用户损失,设置密码后,就是用户保管密码不当的问题了,这种情况保险公司不赔偿。);... 阅读全文​...

泄密门嫌犯:白天安全工程师,晚上做黑客

  备受关注的CSDN泄密案日前有了新的进展,据东方卫报报道,两名涉案嫌疑人已被刑事拘留。其中一名为北京籍黑客,另一名为外地黑客。  包括这2人,截至目前,公安机关查处入侵、窃取、倒卖数据案件9起,编造并炒作信息泄露案件3起,刑事拘留4人,予以治安处罚8人。  北京市公安局外宣处相关负责人员告诉记者,此次泄密与实名制无关。  由于法律意识淡薄,很多在互联网公司从事安全的技术员工,以及安全厂商的员工都或多或少的盗取、传播过用户的信息库。  早先,国内最大的程序员社区网站CSDN被爆... 阅读全文​...

铁路12306网站疑明文密码

  经过注册用户并修改测试,笔者怀疑铁路客户服务中心12306网站也使用明文的方式保存用户密码,验证过程如下:  在修改用户资料界面,点查看源代码,可以看到先前录入的“语音查询密码”内容,该密码从服务器端传输到客户端,说明该网站的服务器端存有用户密码。  至于该网站服务器端的密码是否使用了类似AES的可逆型加密,我表示怀疑,一个连MD5都懒得用的网站,会去用AES吗?... 阅读全文​...

工信部:强烈谴责窃取和泄露用户信息行为

  针对近期部分互联网站信息泄露事件,工信部28日发布通告表示,近期发生的一些网站用户信息泄露事件严重侵害了互联网用户的合法权益,危害互联网安全,工信部对窃取和泄露用户信息的行为表示强烈谴责。同时要求各互联网站要开展全面的安全自查。  工信部要求,各互联网站要高度重视用户信息安全工作,把用户信息保护作为关系行业健康发展和企业诚信建设的重要工作抓好抓实。发生用户信息泄露的网站,要妥善做好善后工作,尽快通过网站公告、电子邮件、电话、短信等方式向用户发出警示,提醒用户修改在本网站或其他网站使用的相... 阅读全文​...

如何应对泄密门事件

  面对当前愈演愈烈的泄密门事件各个邮箱运营商(腾讯、网易、新浪等等)和网银(支付宝等)应该行动起来,把目前已有的天涯、CSDN泄密库密码,经运算后和自己系统里的邮箱和密码进行对比,如果邮箱和密码匹配,则采取保护措施:1、同一城市的IP登录后,强制其修改密码;2、不同城市的IP登录后,锁定帐号,发送重置链接到辅助邮箱。... 阅读全文​...

网站为何明文保存密码

  为什么这么多大网站采用明文的方式保存密码,我觉得可能是因为:  1、技术团队能力有限,不懂开发,不知道如何加密。  2、上级审查的需要。  3、对自身能力过于自信,管理人员不懂技术。  4、早期的技术问题,后续开发团队懒得改。  5、对用户过于强势,缺少相关的泄密赔偿机制。  6、KPI考核因素,开发团队做了修改也没有绩效。... 阅读全文​...

在线密码托管工具

  LastPass是一款在线网络密码管理工具,以插件的形式支持IE和Firefox(Opera, Safari, Chrome, iPhone,Opera 通过书签小工具形式支持),允许用户从任何主流的密码存储器导入和导出密码,捕获其它管理器无法捕获的密码包括很多AJAX表单。它也允许用户轻松地创建一次性密码来帮助保护用户的主密码。  LastPass可以针对每个网站生成一个密码,这样即使一个网站密码泄漏,也不会影响其他网站,支持自动登录。当然,用户要保证LastPass的密码安全,否则L... 阅读全文​...

月光博客被黑事件的总结

  这次事件中,月光博客在两天的DDOS中大部分时间都无法访问,帐号也被黑了很多,这其中,我最主要的问题在于对网络安全的认识存在很多不足,帐号管理存在安全性问题,给黑客钻了空子,另外服务器缺乏对于DDOS的防御。  从这次事件里,我也发现帐号的安全性的确是一门大学问,需要好好研究。  我的补救措施是,通过一系列方法加强帐号安全性管理,购买硬件防火墙,系统这两个措施能解决目前存在的问题。... 阅读全文​...

博客恢复正常

  从昨天开始的DDOS让我的博客一直无法访问,更改IP地址也无效,装了几个软件防火墙,好像没什么用,最后只得购买了硬件防火墙,价格快赶上托管主机的价格了,不知道是不是被宰了,不过加了硬件防火墙后,DDOS看起来已经无效了。... 阅读全文​...

博客服务器遭到黑客攻击

  前些天博客服务器就出现过一些异常,当时也没在意,今天早上发现,这都是有确定目标的黑客攻击,除了QQ之外,昨晚黑客攻击了我的服务器,导致网站服务从晚上2点开始无法访问,故障持续一小时后恢复,应该是机房自动恢复的吧。  今天上午,黑客的攻击还在继续,我分析了一下,似乎是使用程序穷举密码登录,目前已经将登录入口删除。  不过我不解的是,登录入口已经使用了图片验证码,还会遭到穷举,看来有些图片验证码也不是很安全,可以通过程序反算出来,目前只好暂时将登录入口文件删除。... 阅读全文​...

腾讯微博可能存在安全漏洞

  腾讯微博的安全性可能有些问题,支持别人用字典的方式穷举密码,按通常设计,应该在用户密码输错几次后出现验证码,或让用户一小时后再输入密码。  具体的安全漏洞是:腾讯微博的登录用户名是邮件地址的话,可以无限次尝试密码,并且没有出现验证码,这就可以被黑客利用进行穷举密码攻击。如果知道该用户关联的QQ号码,就可以利用穷举破解该用户的QQ号码,甚至进入用户的QQ信箱。  在新浪微博里,如果输错几次密码,系统会要求用户一个小时后再进行登录。... 阅读全文​...

几个网址安全查询系统

  1、百度网站安全检测工具:http://zhanzhang.baidu.com/safe  百度会定期自动检测网站并提供查询。如果在百度搜索结果中发现自己的网站带有“该网站可能因黑客侵入而存在安全风险”的提示,也可以使用这个工具查询并申诉。  2、QQ网址安全查询系统:http://imsafe.qq.com/url/  原理不明,大部分网址都验证为不安全。  3、360网址安全在线查询:http://jc.360.cn/  可检... 阅读全文​...

迅雷离线下载的法律风险

  迅雷离线下载功能存在着一个潜在的法律安全问题,就是根据1997年公安部发布实施的《计算机信息网络国际联网安全保护管理办法》有关规定:任何个人下载淫秽、色情信息是违法的。  而使用迅雷离线下载功能涉及到付费,实际上用户就由于网络转账付费而“被实名”了,用户的付费信息于是和迅雷帐号相关联,因此,从恶意上进行推断,公安机关只要根据迅雷下载的文件进行排查,查看哪些是A片,就可以根据文件找到哪些实名会员曾经下载过这些电影,继而很轻松地将用户抓捕归案。... 阅读全文​...

海外共享软件圈内的怪事

  今天,海外共享软件圈出了一件怪事,一个著名的秘密会员制的海外共享论坛发现其管理员帐号被盗用,而经过分析IP地址,竟然发现盗用帐号者的IP来自于另外一个共享软件论坛CNSW的管理员“君子乾乾”,于是怀疑“君子乾乾”通过PHPBB论坛的漏洞获取了管理员用户而窃取论坛资料,而另一方“君子乾乾”则对此矢口否认,有人则怀疑是黑客同时盗用了“君子乾乾”和admin两个用户的密码。  我觉得,黑客同时盗用两个人... 阅读全文​...

服务器被人ARP攻击了

  今天晚上回家,发现博客首页有IFRAME木马,分析了一下,是机房的某台机器对我进行ARP攻击。  赶快下载了一个ARP防火墙,安装后,终于拦截了对方的ARP攻击,并锁定了对方机器的IP地址是58.61.155.26,于是通知了一下IDC,机房那里迅速将这台机器给关机了。  现在人也真是的,有漏洞的服务器就不要放到机房,害得别人也被挂木马。最后自己机器还不是被关闭。  另外,我对深圳电信的龙岗机房表示极为不满,还电信级的五星级机房,连ARP防火墙都不安装,满机房都是ARP病毒,这让谁还敢把服务... 阅读全文​...

梦见被人ARP攻击

  晚上做了个奇怪的梦,梦见服务器被人ARP攻击,并挂了一个美国的木马病毒,这个梦简直和真的一样,我发现我醒了,看看时间,才五点多,忍不住上了一下自己的网站,并没有发现被ARP攻击,看来是虚惊一场。  写一篇日志做为记录,继续睡觉去了。  真是一个奇怪的梦。... 阅读全文​...

网易信箱的转发

  网易的信箱很旧以前是支持自动转发的,而现在就不支持了。虽然我已经主要使用Gmail的信箱,但是我还是希望能将网易的信自动转发到我Gmail信箱。  今天分析了一下网易的信箱,发现里面有个非常低级的漏洞,可以使得我继续使用免费的自动转发功能,我去设置了一下,真的就成功了,目前发到我网易信箱的邮件就可以自动转发到我的Gmail信箱了。  我估计网易开发人员也比较懒,其实只要多写几行代码就足可以屏蔽这个漏洞了。... 阅读全文​...

新网DNS被黑

  这几天新网的用户受到了很大的影响,他们的DNS被黑客攻击,导致成千上万的网站无法访问。   不过这个对于我来说没有什么影响,我一直用的是国外的DNS解析,当然国外的DNS服务器被黑的可能性非常小,他们的安全水平做的很高,国内肯定不会有国外那样的水平了。   不过,也不是说国外的DNS就特别好,比如我目前用的这个,前几天解析就出现异常,把我的一个域名解析到另外一个IP地址上去了。... 阅读全文​...

有一种黑客很讨厌

  今天公司的服务器被黑了,结果把我叫去修复,折腾了整整一个下午才搞定。   这个黑客也真缺德啊,其实早几天就已经入侵我们的服务器了,结果一直静静地等待,等待周末,然后在周五晚上黑我们主页,由于是休息日,结果周六快中午的时候才发现,又紧急叫我们去公司修复,浪费了大半天的休息时间。   最后,微软的IIS的安全性可真够恶心的,真希望哪天微软的IIS快关门吧,让健壮的Apache来领导企业服务器市场。... 阅读全文​...