- 資訊安全:
1.HackPwn2015:IoT智能硬件安全威胁分析 by 360安全卫士
各大互联网公司进军IoT领域中所定位的位置,就是开发统一的物联网接入平台,然后为创业公司设备提供快速、安全、稳定的接入物联网的一体化解决方案,。只要创业公司按照物联网平台所发布的接口进行定制开发,就能够实现通过各大互联网公司的应用统一调用设备。
通过分析验证,在这些物联网平台和手机之间,都具备高强度的加密传输和身份认证的方案,在进行分析过程中,可以发现物联网平台在安全方面还是考虑的比较多的。在短时间要攻破物联网平台比较难,所以把攻击点定位在第三方平台和设备之间。
但是在实际控制流程过程分析中发现的是,大多数控制指令都是由第三方平台转发给设备,物联网平台都起到统一认证和控制的功能。通过分析设备和第三方平台之间的数据和控制信息可以实现绕过认证对设备的远程控制,并且能够控制同一品牌下的所有设备。
HackPwn比赛中,参赛选手的智能硬件漏洞也有很多是因为厂商在传输加密方面没有做到位,能够分析到设备和云端之间的控制指令,或者分析手机和云端发送的控制指令。在通过重放手机控制指令的方法,从而控制设备。这之间当然会有身份验证信息,重放也不是一件容易的事情。
在HackPwn比赛中有一类是智能家居安防设备,这类设备本来就是使用各类的传感器,门磁、烟雾报警感应、红外线移动感应器等设备,通过互联网盒子与手机相连接。如果家里有异常触发这些传感器,就可以通过手机立马看到,可以让用户感觉到安心。
但是市面上大多数智能家居设备传感器与互联网报警设备的连接方式,都是采用RF或者zigbee,可以使用SDR技术通过重放无线电信号从而实现“误报”或者“干扰”攻击,这使智能家居安防类设备降低了告警的可信度。
2.阿里移动安全2015年第二季度报告 by Freebuf
(1)病毒:
安卓平台受病毒感染设备与第一季度相比小有增长,平均约8.7台设备有1台设备染毒。恶意扣费类病毒样本占比最高,但在感染用户量方面,流氓行为类病毒超过恶意扣费类成为感染用户数占比最高的病毒类型。在地域分布方面,广东依旧是染毒用户量最多的省份,贵州的人均染毒比例最高。
(2)漏洞:
16个行业的top10应用100%存在漏洞风险,平均每个应用含53个漏洞。热门应用漏洞以拒绝服务漏洞为主,占比达22%,容易造成APP拒绝服务。影音类、生活类、旅游类、工具类等行业的top10应用漏洞数量最多,平均漏洞量超过80个。
(3)仿冒:
16个行业的top10应用中,86.3%的应用存在仿冒,每个应用平均含49个仿冒。仿冒病毒应用以流氓行为、恶意扣费为主,影响用户体验,费用莫名被扣等。16个行业的top10应用中,金融、社交、购物、新闻、影音、游戏类应用100%被仿冒,其中社交类应用仿冒量最高。
3.三星智能冰箱存在漏洞:可导致Gmail身份凭证被窃取 by Freebuf
联网的智能冰箱是为了展示Gmail日历,其实这点跟其他同类设备没什么区别。登录的用户可以进行更新,并同步Gmail日历数据。
虽然由于冰箱通信使用了SSL证书加密,但是黑客可以通过入侵冰箱所在局域网,对冰箱的Gmail日历客户端进行中间人攻击(MITM)以窃取Gmail登录凭证。
各大互联网公司进军IoT领域中所定位的位置,就是开发统一的物联网接入平台,然后为创业公司设备提供快速、安全、稳定的接入物联网的一体化解决方案,。只要创业公司按照物联网平台所发布的接口进行定制开发,就能够实现通过各大互联网公司的应用统一调用设备。
通过分析验证,在这些物联网平台和手机之间,都具备高强度的加密传输和身份认证的方案,在进行分析过程中,可以发现物联网平台在安全方面还是考虑的比较多的。在短时间要攻破物联网平台比较难,所以把攻击点定位在第三方平台和设备之间。
但是在实际控制流程过程分析中发现的是,大多数控制指令都是由第三方平台转发给设备,物联网平台都起到统一认证和控制的功能。通过分析设备和第三方平台之间的数据和控制信息可以实现绕过认证对设备的远程控制,并且能够控制同一品牌下的所有设备。
HackPwn比赛中,参赛选手的智能硬件漏洞也有很多是因为厂商在传输加密方面没有做到位,能够分析到设备和云端之间的控制指令,或者分析手机和云端发送的控制指令。在通过重放手机控制指令的方法,从而控制设备。这之间当然会有身份验证信息,重放也不是一件容易的事情。
在HackPwn比赛中有一类是智能家居安防设备,这类设备本来就是使用各类的传感器,门磁、烟雾报警感应、红外线移动感应器等设备,通过互联网盒子与手机相连接。如果家里有异常触发这些传感器,就可以通过手机立马看到,可以让用户感觉到安心。
但是市面上大多数智能家居设备传感器与互联网报警设备的连接方式,都是采用RF或者zigbee,可以使用SDR技术通过重放无线电信号从而实现“误报”或者“干扰”攻击,这使智能家居安防类设备降低了告警的可信度。
2.阿里移动安全2015年第二季度报告 by Freebuf
(1)病毒:
安卓平台受病毒感染设备与第一季度相比小有增长,平均约8.7台设备有1台设备染毒。恶意扣费类病毒样本占比最高,但在感染用户量方面,流氓行为类病毒超过恶意扣费类成为感染用户数占比最高的病毒类型。在地域分布方面,广东依旧是染毒用户量最多的省份,贵州的人均染毒比例最高。
(2)漏洞:
16个行业的top10应用100%存在漏洞风险,平均每个应用含53个漏洞。热门应用漏洞以拒绝服务漏洞为主,占比达22%,容易造成APP拒绝服务。影音类、生活类、旅游类、工具类等行业的top10应用漏洞数量最多,平均漏洞量超过80个。
(3)仿冒:
16个行业的top10应用中,86.3%的应用存在仿冒,每个应用平均含49个仿冒。仿冒病毒应用以流氓行为、恶意扣费为主,影响用户体验,费用莫名被扣等。16个行业的top10应用中,金融、社交、购物、新闻、影音、游戏类应用100%被仿冒,其中社交类应用仿冒量最高。
3.三星智能冰箱存在漏洞:可导致Gmail身份凭证被窃取 by Freebuf
联网的智能冰箱是为了展示Gmail日历,其实这点跟其他同类设备没什么区别。登录的用户可以进行更新,并同步Gmail日历数据。
虽然由于冰箱通信使用了SSL证书加密,但是黑客可以通过入侵冰箱所在局域网,对冰箱的Gmail日历客户端进行中间人攻击(MITM)以窃取Gmail登录凭证。
- 自我成長:
1.當你開始做些什麼事,開始有了行動,你的生命才會開始轉動 by 知識家編輯部
當你開始做些什麼事,開始有了行動,你的生命才會開始轉動。人生必須投入在那些值得你付出的事情上,而當你開始動手做那些事情,你的生命會從此變得不同。
人生的每一天都是一個新的開始,每天努力活出自己、付出行動,生活才會更美。人要創造自己的價值,而創造價值來自於不斷的行動,不斷的行動就是不斷的在創造價值,創造價值就是此時此刻開始行動。
只有自己才可以改變自己,重點在於我們有沒有把握、有沒有行動。
2.創新等於創業嗎?台大黑客松惹爭議 by 程晏鈴
這次台大黑客松讓250個團隊在41個小時之內發想城市生活中遇到的問題,並提出解決方式。然而,延續這次活動的爭議主要有兩點:評審標準不一、黑客松變創業松。外界質疑活動過於強調商業模式與產品完成度,儼然成為一場創業松。
針對此爭議,身為活動評審之一、台大電機系教授葉丙成認為黑客松提倡的創作精神是「自由創作,不受限制」。因此他認為,主辦單位自然會尊重各個評審的多元價值判斷。而對他來說,創新性以及影響力才是評分的重點。
他指出,每個評審手上都有評分單,評分單上分別有創新性、實用性、技術、簡報能力以及完成度等五項標準,每項標準比重不同,外界討論最大的產品完成度與簡報能力,比重僅10%和15%,創新性實用性與技術都佔25%。
3.把時間花在最有效益的事情上 by 艾利森‧路易斯
就你的待辦清單,用下列三個問題當成放大鏡,來檢視這份清單:
(1)你的收穫是什麼?
最有價值的工作,應該跟你服膺的價值觀、所追求的人生目的或目標有關聯,能帶來可直接衡量的收穫。你應該先將精力投注在這些有明確收穫的事情上,再去進行其他工作。
(2)哪些事情不該做?
請謹記,你每在低價值工作上花一分鐘,就等於浪費了一分鐘未能有效投資在能帶給你意義、喜樂與讓你進步的工作上。
(3)如果只能做清單上五件事,會是哪些事?
你可以利用一個「十一點前五件事清單」(5 before 11)的規劃工具,將最高價值的活動放到每天待辦清單的最上層。「十一點前的五件事清單」,就是你希望在早上十一點前能處理完的五件事,它讓你得以策略性地掌握每一天,確保每天都將時間花在自己最願意投入的事情上。
當你開始做些什麼事,開始有了行動,你的生命才會開始轉動。人生必須投入在那些值得你付出的事情上,而當你開始動手做那些事情,你的生命會從此變得不同。
人生的每一天都是一個新的開始,每天努力活出自己、付出行動,生活才會更美。人要創造自己的價值,而創造價值來自於不斷的行動,不斷的行動就是不斷的在創造價值,創造價值就是此時此刻開始行動。
只有自己才可以改變自己,重點在於我們有沒有把握、有沒有行動。
2.創新等於創業嗎?台大黑客松惹爭議 by 程晏鈴
這次台大黑客松讓250個團隊在41個小時之內發想城市生活中遇到的問題,並提出解決方式。然而,延續這次活動的爭議主要有兩點:評審標準不一、黑客松變創業松。外界質疑活動過於強調商業模式與產品完成度,儼然成為一場創業松。
針對此爭議,身為活動評審之一、台大電機系教授葉丙成認為黑客松提倡的創作精神是「自由創作,不受限制」。因此他認為,主辦單位自然會尊重各個評審的多元價值判斷。而對他來說,創新性以及影響力才是評分的重點。
他指出,每個評審手上都有評分單,評分單上分別有創新性、實用性、技術、簡報能力以及完成度等五項標準,每項標準比重不同,外界討論最大的產品完成度與簡報能力,比重僅10%和15%,創新性實用性與技術都佔25%。
3.把時間花在最有效益的事情上 by 艾利森‧路易斯
就你的待辦清單,用下列三個問題當成放大鏡,來檢視這份清單:
(1)你的收穫是什麼?
最有價值的工作,應該跟你服膺的價值觀、所追求的人生目的或目標有關聯,能帶來可直接衡量的收穫。你應該先將精力投注在這些有明確收穫的事情上,再去進行其他工作。
(2)哪些事情不該做?
請謹記,你每在低價值工作上花一分鐘,就等於浪費了一分鐘未能有效投資在能帶給你意義、喜樂與讓你進步的工作上。
(3)如果只能做清單上五件事,會是哪些事?
你可以利用一個「十一點前五件事清單」(5 before 11)的規劃工具,將最高價值的活動放到每天待辦清單的最上層。「十一點前的五件事清單」,就是你希望在早上十一點前能處理完的五件事,它讓你得以策略性地掌握每一天,確保每天都將時間花在自己最願意投入的事情上。
如欲閱讀更多文章摘要,請見 每日晨摘
沒有留言:
張貼留言