11/19 晨摘

• 資訊安全：

1.通过Word文档进行感染的新型PoS机恶意程序出现 by Freebuf

Word文档已经成为网络犯罪最喜欢使用的载体。第一种方法发送含有 Pony infostealer恶意软件的word文档。另外一种传播途径是用户访问恶意网站，其中一个版本的钓鱼攻击工具包让他们感染了Bedep恶意软件，建立连接到C&C服务器，然后下载TinyLoader，这种特殊的恶意软件只做一件事，从C&C服务器使用其自己的自定义协议，下载其它恶意软件，而这些恶意软件病毒通常仅仅只有5kb，例如“AbaddonPOS ”。

研究人员发现AbaddonPOS专门窃取信用卡和借记卡交易数据，也尝试通过各种反分析技巧来逃避检测，其中包反分析技术和模糊处理技术。研究人员对比TinyLoader和AbaddonPOS两款恶意软件病毒的程序代码时候发现两者还是有不少相同之处。

2.斯诺登应该为巴黎恐怖袭击背锅？通信加密造成的惨案？ by Freebuf

前中情局老大James Woolsey在巴黎恐怖事件发生后，指责斯诺登破坏了他们对于解密方向研究的努力，并且教会了恐怖分子如何才能逃过政府的追踪。

据Woolsey所述，斯诺登泄密的文件里，有关于美国和英国情报机构对于全球人类的监视和跟踪方法。最后，像ISIS或者基地组织就会采取新的通信手法，比如端对端加密，以避免被警方监视。

3.Vizio智能电视再躺枪：贩卖用户数据可被中间人截胡 by Freebuf

当Vizio智能电视试图连接到tvinteractive.tv服务器时，可以被黑客用一个伪造的签名证书劫持，而这个服务器电视机每秒会访问一次。在研究了电视机与服务器之间收发的数据后，研究人员发现服务器给电视机发送的数据里，带上了一个校验值。

电视机没有检查证书的有效性，而是在接受数据前对数据进行校验值比对检查，这个校验值是服务器端命令的md5 hash值+salt值。

很快，他们在里面发现了一个纯文本文件，里面包含了salt的值。他们能够用中间人攻击去读取电视机和服务器之间的数据，从而伪装成服务器，发送命令给电视。

• 自我成長：

1.別怕管理比你聰明的屬下 by Rebecca Knight

（1）想想自己的恐懼從哪裡來
（2）詢問其他經理人
（3）有施、有受，接受員工的意見
（4）充分授權
（5）表現出自信，但別做過頭

2.讓績效評估更有成效 by 哈佛商業評論

在你與員工進行績效評估之前，記得先把自己要給員工的意見寫下來，而且要站在能讓討論有具體成效的角度。

盡可能客觀記錄你觀察員工表現的種種想法，再把你的結論結合具體的數據。把員工的成績和已設定的目標對照，作為員工是否進步的證據。

3.週末不工作的祕訣 by Elizabeth Grace Saunders

我們都需要在週末好好休息，所以你應該盡量把工作排在一週開始的那幾天。反正無論你多努力把工作計畫排好，還是會有意想不到的工作出現，所以你應該在一週的頭幾天把行事曆全排滿，到後面幾天時，就可以多留些空檔備用。

如欲閱讀更多文章摘要，請見 每日晨摘