- 資訊安全:
1.原理说明:VPN协议缺陷是如何导致攻击者探测到用户真实IP地址 by Freebuf
端口失败(Port Fail)漏洞影响所有的VPN协议(包括IPsec, OpenVPN, PPTP, 等等)和所有的操作系统,在一定条件下加以利用,可以使得受害者将真实IP暴漏给攻击者。
这个漏洞利用需要以下几个条件:
(1)有一个和目标相同VPN服务提供商提供的可用的账户
(2)知道目标的VPN出口IP地址(可以通过多种方法获取:例如IRC、torrent客户端或让目标访问一个我们控制的网站)
(3)攻击者可以设置端口转发(port forwarding)
这个漏洞其中的问题就在于:VPN用户在连接到VPN服务器时,会使用自己的的默认路由和他自己的真实IP地址,而这也是连接VPN所必须的。
如果有其他用户(攻击者)在同一个服务器上设置了端口转发时,他(攻击者)就可以通过诱导用户访问自己构造链接获取任意一个使用相同VPN服务器的用户的真实IP地址了。
修复方案:
(1)服务端有多个IP地址(IP1-IPx),允许客户端接入IP1,再通过IP2-IPx接出,对IP2-IPx作端口转发
(2)对客户端连接,设置服务器端的防火墙规则,来阻止客户端的真实IP访问不属于自己的端口转发。
2.知名Hash密码猜测工具:Hashcat开源 by Freebuf
将工具开源的理由则是bitsliced DES GPU内核的实现。为了达到最大的效率与性能表现,salt必须在编译时与内核一同嵌入。而salt本身取决于输入时给定的hash。
这个hash值显然只能于运行时出现,而非编译时。这就要求内核在运行时进行编译,而只有在开源代码中才能实现这一点。
3.加拿大计划招募网络安全专家成立新部门 by Freebuf
面对日益增长的网络犯罪,加拿大负责该项目的官员宣布开始建立自己的“黑客部门”,打击网络犯罪,并和国外类似的机构合作。加拿大皇家骑警(RCMP)宣布了的五年网络犯罪战略计划,将至少招募40个网络安全专家成立全新打击网络犯罪的部门,成立新的网络安全部门。
加拿大政府已向警方拨款3000万加元(约合2250万美元),此项计划将一直持续到2020年年底,直至加拿大各地建立完善的网络犯罪执法体系。目前可以肯定的是一些案件会优先处理,如窃取商业机密的网络攻击案件、针对政府和科研机构网络攻击的案件等。
端口失败(Port Fail)漏洞影响所有的VPN协议(包括IPsec, OpenVPN, PPTP, 等等)和所有的操作系统,在一定条件下加以利用,可以使得受害者将真实IP暴漏给攻击者。
这个漏洞利用需要以下几个条件:
(1)有一个和目标相同VPN服务提供商提供的可用的账户
(2)知道目标的VPN出口IP地址(可以通过多种方法获取:例如IRC、torrent客户端或让目标访问一个我们控制的网站)
(3)攻击者可以设置端口转发(port forwarding)
这个漏洞其中的问题就在于:VPN用户在连接到VPN服务器时,会使用自己的的默认路由和他自己的真实IP地址,而这也是连接VPN所必须的。
如果有其他用户(攻击者)在同一个服务器上设置了端口转发时,他(攻击者)就可以通过诱导用户访问自己构造链接获取任意一个使用相同VPN服务器的用户的真实IP地址了。
修复方案:
(1)服务端有多个IP地址(IP1-IPx),允许客户端接入IP1,再通过IP2-IPx接出,对IP2-IPx作端口转发
(2)对客户端连接,设置服务器端的防火墙规则,来阻止客户端的真实IP访问不属于自己的端口转发。
2.知名Hash密码猜测工具:Hashcat开源 by Freebuf
将工具开源的理由则是bitsliced DES GPU内核的实现。为了达到最大的效率与性能表现,salt必须在编译时与内核一同嵌入。而salt本身取决于输入时给定的hash。
这个hash值显然只能于运行时出现,而非编译时。这就要求内核在运行时进行编译,而只有在开源代码中才能实现这一点。
3.加拿大计划招募网络安全专家成立新部门 by Freebuf
面对日益增长的网络犯罪,加拿大负责该项目的官员宣布开始建立自己的“黑客部门”,打击网络犯罪,并和国外类似的机构合作。加拿大皇家骑警(RCMP)宣布了的五年网络犯罪战略计划,将至少招募40个网络安全专家成立全新打击网络犯罪的部门,成立新的网络安全部门。
加拿大政府已向警方拨款3000万加元(约合2250万美元),此项计划将一直持续到2020年年底,直至加拿大各地建立完善的网络犯罪执法体系。目前可以肯定的是一些案件会优先处理,如窃取商业机密的网络攻击案件、针对政府和科研机构网络攻击的案件等。
- 自我成長:
1.說話太模稜兩可,對方都聽不懂?學習5種直白表達法,溝通一次到位! by 張良姿
(1)一句話只能有一個解釋
(2)否定句盡量改成肯定句
(3)雙重否定容易招致誤解
(4)不要使用模糊的指示代名詞
(5)刪去不必要的用語,改為簡潔的表達
2.Ruby on Rails 發明人的告白:賣掉股票、變身百萬富翁的那天,我得到了什麼呢? by 尤川豪
一個人適應環境的速度是很快的。不要被太多外在的東西迷惑住。在你自以為的梯子努力地爬,梯子的下一階根本沒有你要的救贖。
你一旦顧好了那些最基本的東西,那麼生命中其實沒多少其他東西值得你耽誤人生。你很可能已經得到或是看到最棒的東西了(雖然你可能還不知道)。建議你珍惜它們。
3.自愛,接受自己的不完美 by 何權峰
你可以「當自己當得很自在」這就是自信。如果一個人可以無條件接受自己本來的樣子,欣賞自己,就會流露出自信,自然散發巨星的光彩,即使偶爾犯錯出糗,也無傷大雅。
不是要做完美的人,而是做真實的人。學會接受不完美的自己,這才看見自己的美好。
(1)一句話只能有一個解釋
(2)否定句盡量改成肯定句
(3)雙重否定容易招致誤解
(4)不要使用模糊的指示代名詞
(5)刪去不必要的用語,改為簡潔的表達
2.Ruby on Rails 發明人的告白:賣掉股票、變身百萬富翁的那天,我得到了什麼呢? by 尤川豪
一個人適應環境的速度是很快的。不要被太多外在的東西迷惑住。在你自以為的梯子努力地爬,梯子的下一階根本沒有你要的救贖。
你一旦顧好了那些最基本的東西,那麼生命中其實沒多少其他東西值得你耽誤人生。你很可能已經得到或是看到最棒的東西了(雖然你可能還不知道)。建議你珍惜它們。
3.自愛,接受自己的不完美 by 何權峰
你可以「當自己當得很自在」這就是自信。如果一個人可以無條件接受自己本來的樣子,欣賞自己,就會流露出自信,自然散發巨星的光彩,即使偶爾犯錯出糗,也無傷大雅。
不是要做完美的人,而是做真實的人。學會接受不完美的自己,這才看見自己的美好。
如欲閱讀更多文章摘要,請見 每日晨摘
沒有留言:
張貼留言