- 資訊安全:
1.BitTorrent可被用来放大拒绝服务攻击 by 安全牛
上周伦敦城市大学和云安全公司的两名研究人员发表了这篇利用P2P文件共享发动反射分布式拒绝服务攻击的论文。
论文显示,与torrent相关的协议存在漏洞,可被利用提升拒绝服务攻击。这些协议包括Micro Transport,Distributed Hash Table,Message Stream Encryption,BitTorrent Sync,均可被利用反射和放大流量,放大程序可达50倍到120倍。
这种攻击并不难实施,因为攻击者能够通过trackers、Distributed Hash Table 或 peer exchange收集上千万的流量放大器。仅BTSync ping一项就能够放大120倍的流量。
2.黑客可同时攻击多个加油站导致毁灭性后果 by 安全牛
Rapid7今年早些时候发布的一份研究报告启发了这项工作,报告中称,通过互联网,可以访问超过5800个未经保护的自动油储罐。这些属于加油站、卡车站、便利店的系统大多位于美国,没有一个存在密码保护。
加油泵检测系统的功能各不相同,但有一些共性:控制油罐存量水平、限制溢出、监控总体燃油库存、调节油罐温度。还一些系统会检测汽油泄露。
远程攻击者可以用几种不同的方式利用这些控件。其一,他们可以通过伪造燃料水平过低的假象,强迫加油站停止运行;其二,他们可以改变邮箱上无铅、柴油、精品的标志,混淆库存;其三,他们可以修改油罐存量水平和溢出限制阈值,导致泄露风险。
3.“企业应急响应和反渗透”之真实案例分析 by PiaCa
怎么做应急响应:
(1)确定攻击时间
(2)查找攻击线索
(3)梳理攻击流程
(4)实施解决方案
(5)定位攻击者
对于劫持攻击的处理过程,首先是判断是什么攻击,对于链路劫持目前的链路劫持好像大部分都是旁路的攻击方式,就可以通过 ttl 来定位,默认的 ttl 值很好判断,如果可以修改的 ttl 值,可以通过递增或者递减 ttl 的方式来判断,dns 劫持就是判断攻击方式是什么,哪些 dns 受影响,劫持的 ip 是什么运营商,劫持后做了什么事情。
其次是解决攻击,一般根据劫持的情况去联系运营商,联系有关部门等,但是然并卵,有的功能投诉很有效,比如劫持广告代码,有的攻击则没有任何作用,比如注入 js 代码获取用户名和密码。
上周伦敦城市大学和云安全公司的两名研究人员发表了这篇利用P2P文件共享发动反射分布式拒绝服务攻击的论文。
论文显示,与torrent相关的协议存在漏洞,可被利用提升拒绝服务攻击。这些协议包括Micro Transport,Distributed Hash Table,Message Stream Encryption,BitTorrent Sync,均可被利用反射和放大流量,放大程序可达50倍到120倍。
这种攻击并不难实施,因为攻击者能够通过trackers、Distributed Hash Table 或 peer exchange收集上千万的流量放大器。仅BTSync ping一项就能够放大120倍的流量。
2.黑客可同时攻击多个加油站导致毁灭性后果 by 安全牛
Rapid7今年早些时候发布的一份研究报告启发了这项工作,报告中称,通过互联网,可以访问超过5800个未经保护的自动油储罐。这些属于加油站、卡车站、便利店的系统大多位于美国,没有一个存在密码保护。
加油泵检测系统的功能各不相同,但有一些共性:控制油罐存量水平、限制溢出、监控总体燃油库存、调节油罐温度。还一些系统会检测汽油泄露。
远程攻击者可以用几种不同的方式利用这些控件。其一,他们可以通过伪造燃料水平过低的假象,强迫加油站停止运行;其二,他们可以改变邮箱上无铅、柴油、精品的标志,混淆库存;其三,他们可以修改油罐存量水平和溢出限制阈值,导致泄露风险。
3.“企业应急响应和反渗透”之真实案例分析 by PiaCa
怎么做应急响应:
(1)确定攻击时间
(2)查找攻击线索
(3)梳理攻击流程
(4)实施解决方案
(5)定位攻击者
对于劫持攻击的处理过程,首先是判断是什么攻击,对于链路劫持目前的链路劫持好像大部分都是旁路的攻击方式,就可以通过 ttl 来定位,默认的 ttl 值很好判断,如果可以修改的 ttl 值,可以通过递增或者递减 ttl 的方式来判断,dns 劫持就是判断攻击方式是什么,哪些 dns 受影响,劫持的 ip 是什么运营商,劫持后做了什么事情。
其次是解决攻击,一般根据劫持的情况去联系运营商,联系有关部门等,但是然并卵,有的功能投诉很有效,比如劫持广告代码,有的攻击则没有任何作用,比如注入 js 代码获取用户名和密码。
- 自我成長:
1.英國馬路會充電 電動車安心上路 by 樂羽嘉
英國政府提出的新「充電馬路」,原理就像手機的無線充電器,使用電磁感應科技。這項計畫預定今年稍晚啟動,屆時工程師會在馬路底下安裝特殊設備,並在測試車輛上安裝無線科技。
高速公路地下埋放的纜線會產生電磁場,由汽車內的接收器感應並轉化為電力。這套機制包括一套通訊系統,讓道路可以偵測到有汽車即將開過來並開始整個流程。
2.如何建立與Sponsor的信任感? by 游舒帆
在帶PM時,我可以很快的分辨出一個PM到底有沒有潛力,能否很快的跟上步調,我只看一個關鍵特性,那就是「這個人是不是個老是會把問題歸咎於外部因素的人?」。
我們從一個人管案子的心態,可以清楚的看到一個人作事的態度,要能被信任,要能被交辦,要能被賦予重責大任,你一定要把專案裡的每件事當作自己的事。
3.幫助自己釋放那隱隱作痛的悲傷 by PINSOUL
我們需要接納自己生活的現實,告訴自己正意圖導正自己的生活,通往自己最想要的,確保自己真正想要的,真正在乎的,而這些事自己決定想要的,我們可以挺直胸膛,用開放的姿態面對生活,而幫悲傷開一扇窗,讓它離去。
英國政府提出的新「充電馬路」,原理就像手機的無線充電器,使用電磁感應科技。這項計畫預定今年稍晚啟動,屆時工程師會在馬路底下安裝特殊設備,並在測試車輛上安裝無線科技。
高速公路地下埋放的纜線會產生電磁場,由汽車內的接收器感應並轉化為電力。這套機制包括一套通訊系統,讓道路可以偵測到有汽車即將開過來並開始整個流程。
南韓龜尾市已經在使用類似科技,讓接駁巴士透過地下電纜充電。
2.如何建立與Sponsor的信任感? by 游舒帆
在帶PM時,我可以很快的分辨出一個PM到底有沒有潛力,能否很快的跟上步調,我只看一個關鍵特性,那就是「這個人是不是個老是會把問題歸咎於外部因素的人?」。
我們從一個人管案子的心態,可以清楚的看到一個人作事的態度,要能被信任,要能被交辦,要能被賦予重責大任,你一定要把專案裡的每件事當作自己的事。
3.幫助自己釋放那隱隱作痛的悲傷 by PINSOUL
我們需要接納自己生活的現實,告訴自己正意圖導正自己的生活,通往自己最想要的,確保自己真正想要的,真正在乎的,而這些事自己決定想要的,我們可以挺直胸膛,用開放的姿態面對生活,而幫悲傷開一扇窗,讓它離去。
如欲閱讀更多文章摘要,請見 每日晨摘
沒有留言:
張貼留言