- 資訊安全:
1.黑客组织APT3利用Flash 0day漏洞发动大规模钓鱼活动 by FreeBuf
本周二Adobe发布一个紧急安全更新,建议用户及管理员修复Flash Player中编号为CVE-2015-3113的0day漏洞,因为该漏洞正被APT3黑客组织用在大规模的钓鱼攻击活动中。
攻击者发送的钓鱼邮件中包含一个指向受感染的web服务器的恶意链接,它会提供无害的内容或者含有该漏洞的Adobe Flash player文件。前段时间在新加坡也发现了利用该漏洞的钓鱼活动,攻击方式和这次的完全一样。一旦受害者点开了钓鱼邮件中的URL,就会被重定向到一个感染了恶意程序的托管JavaScript分析脚本的服务器上。如果受害者下载了恶意的Adobe Flash player SWF文件和FLV文件,则可能会留下一个恶意后门——SHOTPUT、CookieCutter。
被攻击者利用的漏洞存在于Adobe Flash player解析Flash video(FLV)文件的过程中。该漏洞会使用普通的向量攻击技术绕过随机分配地址空间(ASLR),使用返回导向编程(ROP)绕过数据执行保护(DEP)。ROP技术的妙处在于它很容易被利用,而且还可以躲避一些ROP检测技术。
2.入侵日本养老金系统的真凶浮出水面:专攻日本的APT组织“蓝白蚁(blue termite)” by FreeBuf
蓝白蚁APT惯用的攻击向量是钓鱼邮件,大部分的邮件中会附着一个被命名为“医疗保险通知”的Word文档,事实上它是一个自解压的可执行文件。一旦受害者打开了这一文件表面上显示的是Word文档,其实内部隐藏的恶意程序会自动执行,感染用户的计算机。然后会和攻击者的C&C服务器进行通信,窃取用户信息等。
一旦与受害者建立了C&C通信,攻击者首先会分析受害者设备上的目录和文件,查看是否有有价值的数据可以窃取。如果没有,攻击活动停止;如果有,攻击者会进一步的释放黑客工具,窃取用户信息。这些工具还可以用于后面的一系列操作,如劫持邮箱账户、劫持web浏览器信息。
3.微软拒绝修复32位IE漏洞,给出的理由是:32位程序要被淘汰了 by FreeBuf
这是一个基于ASLR(地址空间布局随机化)的IE漏洞,ASLR是一种针对缓冲区溢出的安全保护技术,它会将应用程序或操作系统的地址空间随机化,阻止针对某个内存位置的利用。据研究人员统计,该漏洞影响数百万的32位win系统,应该及时修复。然而,微软似乎并不打算修复漏洞,虽然他们为此支付了12.5万美元。
本周二Adobe发布一个紧急安全更新,建议用户及管理员修复Flash Player中编号为CVE-2015-3113的0day漏洞,因为该漏洞正被APT3黑客组织用在大规模的钓鱼攻击活动中。
攻击者发送的钓鱼邮件中包含一个指向受感染的web服务器的恶意链接,它会提供无害的内容或者含有该漏洞的Adobe Flash player文件。前段时间在新加坡也发现了利用该漏洞的钓鱼活动,攻击方式和这次的完全一样。一旦受害者点开了钓鱼邮件中的URL,就会被重定向到一个感染了恶意程序的托管JavaScript分析脚本的服务器上。如果受害者下载了恶意的Adobe Flash player SWF文件和FLV文件,则可能会留下一个恶意后门——SHOTPUT、CookieCutter。
被攻击者利用的漏洞存在于Adobe Flash player解析Flash video(FLV)文件的过程中。该漏洞会使用普通的向量攻击技术绕过随机分配地址空间(ASLR),使用返回导向编程(ROP)绕过数据执行保护(DEP)。ROP技术的妙处在于它很容易被利用,而且还可以躲避一些ROP检测技术。
2.入侵日本养老金系统的真凶浮出水面:专攻日本的APT组织“蓝白蚁(blue termite)” by FreeBuf
蓝白蚁APT惯用的攻击向量是钓鱼邮件,大部分的邮件中会附着一个被命名为“医疗保险通知”的Word文档,事实上它是一个自解压的可执行文件。一旦受害者打开了这一文件表面上显示的是Word文档,其实内部隐藏的恶意程序会自动执行,感染用户的计算机。然后会和攻击者的C&C服务器进行通信,窃取用户信息等。
一旦与受害者建立了C&C通信,攻击者首先会分析受害者设备上的目录和文件,查看是否有有价值的数据可以窃取。如果没有,攻击活动停止;如果有,攻击者会进一步的释放黑客工具,窃取用户信息。这些工具还可以用于后面的一系列操作,如劫持邮箱账户、劫持web浏览器信息。
3.微软拒绝修复32位IE漏洞,给出的理由是:32位程序要被淘汰了 by FreeBuf
这是一个基于ASLR(地址空间布局随机化)的IE漏洞,ASLR是一种针对缓冲区溢出的安全保护技术,它会将应用程序或操作系统的地址空间随机化,阻止针对某个内存位置的利用。据研究人员统计,该漏洞影响数百万的32位win系统,应该及时修复。然而,微软似乎并不打算修复漏洞,虽然他们为此支付了12.5万美元。
- 企業管理:
1.让“伪人才”原形毕露的招聘问题之询问篇 by 张诗信
第7个问题:询问他对于变化的看法,目的是分析他面对变化时的心态倾向
(1)他过往的工作经历中,所在的团队和他个人的工作任务/目标先后发生过哪些变化;在发生变化的节点上,企业里的员工、团队和他个人是怎样面对的;其间发生了 哪些影响变化进程的事情,最终达到了什么效果;那些不满变化的主要人物或支持变化的主要人物,最终得到或失去了什么?
(2)他过往的工作经历中,所在的企业、团队和他个人的工作模式发生过哪些变化。在发生变化的节点上,他所在的团队和他个人是怎样面对的,其间发生了哪些影响变化进程的事情,最终达到了什么效果。那些不满变化的主要人物或支持变化的主要人物,最终得到或失去了什么?
(3)他过往的工作经历中,所在的企业、团队和他个人面对的组织和人事环境先后发生过哪些变化;在发生变化的节点上,他所在的团队和他个人是怎样面对的;其间发 生了哪些影响变化进程的事情,最终达到了什么效果;那些不满变化的主要人物或支持变化的主要人物,最终得到或失去了什么?
第8个问题:询问他关于变化的主张,目的是分析他是否具备适应变化的前瞻性思维
步骤一:把你的企业真实的发展历史和现状告诉候选人,并让他充分地了解你需要他承担责任的部门或岗位的现状。然后,让他对你的企业现状和他将要承担责任的部门或岗位的现状做出评价。
步骤二:让他充分阐述自己关于你的企业未来几年发展的主张,尤其是他将要承担责任的部门未来几年的发展方向和原则的主张。
步骤三:评估他的主张是否与本企业的期望基本一致。
第9个问题:询问他应对变化的工作和学习表现,目的是分析他适应变化的行为是否务实有效
第一个方向:询问、分析和判断他实现主张的工作行为的有效性。
第二个方向:询问、分析和判断他的学习行为取向。
2.如何在企业轻松的推行绩效管理工作? by wangjia4212689
只要整个人力资源团队有一个明确的规划思路或方向,共同服务于公司的人力资源职能,满足于公司管理要求前提下,再去尝试绩效管理理念或人力资源管理理念的共同推广。毕竟,父母养老得考虑,老婆孩子得考虑。个人价值都实现不了,怎么去实现社会价值?除非是公司人力资源体系称不上体系,团队也谈不上团队,我可能会考虑换个环境。
如果已经对公司的管理要求有大致的掌握,定位好自己的角色,我想以后怎么去发展,应该不会太困惑。完成现有工作职能要求的同时,可以根据人力资源体系的基础,共同去梳理公司的组织职能分解、部门职能的划分、岗位职责的明确;可以开发绩效管理的课程,共同去学习探讨;也可以组织WORD/EXCEL/PPT等工具的运用经验的分享。
3.做好人力资源管理的三个基本要点 by 涂满章
(1)战略导向,直指人力资源管理要为完成我们的关键核心任务而设计。
(2)人力资源管理一定要走出人力资源管理部门,它不是某个部门的事情,它首先是我们管理者的核心责任以及我们全员都要参与实践好的一个基本工具和方法。
(3)人力资源管理要由单个模块变成一个平台,只有平台化的东西才能形成系统的力量,通过系统来帮助我们成功。
第7个问题:询问他对于变化的看法,目的是分析他面对变化时的心态倾向
(1)他过往的工作经历中,所在的团队和他个人的工作任务/目标先后发生过哪些变化;在发生变化的节点上,企业里的员工、团队和他个人是怎样面对的;其间发生了 哪些影响变化进程的事情,最终达到了什么效果;那些不满变化的主要人物或支持变化的主要人物,最终得到或失去了什么?
(2)他过往的工作经历中,所在的企业、团队和他个人的工作模式发生过哪些变化。在发生变化的节点上,他所在的团队和他个人是怎样面对的,其间发生了哪些影响变化进程的事情,最终达到了什么效果。那些不满变化的主要人物或支持变化的主要人物,最终得到或失去了什么?
(3)他过往的工作经历中,所在的企业、团队和他个人面对的组织和人事环境先后发生过哪些变化;在发生变化的节点上,他所在的团队和他个人是怎样面对的;其间发 生了哪些影响变化进程的事情,最终达到了什么效果;那些不满变化的主要人物或支持变化的主要人物,最终得到或失去了什么?
第8个问题:询问他关于变化的主张,目的是分析他是否具备适应变化的前瞻性思维
步骤一:把你的企业真实的发展历史和现状告诉候选人,并让他充分地了解你需要他承担责任的部门或岗位的现状。然后,让他对你的企业现状和他将要承担责任的部门或岗位的现状做出评价。
步骤二:让他充分阐述自己关于你的企业未来几年发展的主张,尤其是他将要承担责任的部门未来几年的发展方向和原则的主张。
步骤三:评估他的主张是否与本企业的期望基本一致。
第9个问题:询问他应对变化的工作和学习表现,目的是分析他适应变化的行为是否务实有效
第一个方向:询问、分析和判断他实现主张的工作行为的有效性。
第二个方向:询问、分析和判断他的学习行为取向。
2.如何在企业轻松的推行绩效管理工作? by wangjia4212689
只要整个人力资源团队有一个明确的规划思路或方向,共同服务于公司的人力资源职能,满足于公司管理要求前提下,再去尝试绩效管理理念或人力资源管理理念的共同推广。毕竟,父母养老得考虑,老婆孩子得考虑。个人价值都实现不了,怎么去实现社会价值?除非是公司人力资源体系称不上体系,团队也谈不上团队,我可能会考虑换个环境。
如果已经对公司的管理要求有大致的掌握,定位好自己的角色,我想以后怎么去发展,应该不会太困惑。完成现有工作职能要求的同时,可以根据人力资源体系的基础,共同去梳理公司的组织职能分解、部门职能的划分、岗位职责的明确;可以开发绩效管理的课程,共同去学习探讨;也可以组织WORD/EXCEL/PPT等工具的运用经验的分享。
3.做好人力资源管理的三个基本要点 by 涂满章
(1)战略导向,直指人力资源管理要为完成我们的关键核心任务而设计。
(2)人力资源管理一定要走出人力资源管理部门,它不是某个部门的事情,它首先是我们管理者的核心责任以及我们全员都要参与实践好的一个基本工具和方法。
(3)人力资源管理要由单个模块变成一个平台,只有平台化的东西才能形成系统的力量,通过系统来帮助我们成功。
如欲閱讀更多文章摘要,請見 每日晨摘
沒有留言:
張貼留言