2015年10月13日 星期二

10/13 晨摘

  • 資訊安全:
1.磁條卡轉換成EMV晶片卡,對減少信用卡盜刷的幫助 by TREND LABS

現在美國並不是跟其他地區一樣實施「chip-and-PIN(密碼刷卡)」,主要傾向於是用更便於使用但不那麼安全的「chip-and-signature」。這代表你會使用信用卡跟簽名以完成交易:不需要輸入PIN碼。

長期目標是在美國推動 chip-and-PIN(密碼刷卡)。而且某些公司已經對其持卡人實施。但對大多數持卡人來說,唯一的變化是新卡有了晶片。

好消息是,轉移到EMV對於減少部分詐騙和竊盜行為會有很大的幫助。壞消息是,那些惡意份子也已經在進行對EMV的新攻擊,在像歐洲等地方加以完成。即使EMV日在美國達到100%的成功,它也並非是個完美的解決方案。事實是,它是個已經有21年的舊技術,打擊信用卡詐騙的希望是在於其他較新的技術。

2.研究员瓦解钓鱼攻击工具包系统,成功阻止3000万美元勒索活动 by 360安全播报

在过去的一年里,被发现的恶意软件,如TeslaCrypt, AlphaCrypt, CryptoWall多次迭代,结合最新的Adobe和IE的漏洞,甚至使用新的方法来避免检测和阻断。

用户运行旧的,Adobe Flash和Internet Explorer未打补丁的版本是钓鱼者最普遍的攻击目标,尤其是那些经常浏览成人网站和讣闻网站的用户。

TALOS认为采用讣闻网站进行钓鱼,是为了针对老年人进行攻击,老年人较为传统,他们可能更倾向于使用IE未打的补丁版本,这使得他们更易于被勒索。

开发工具包于3月份添加了CryptoWall 3.0,2015年其多次添加新的Flash漏洞的进行扩充其军火库——其中包括在一月,三月,和七月(Hacking Team遭到攻击内部资料泄漏后)。

Talos 的研究人员于星期二表示:“这对新兴的黑客产业经济——勒索或将偷来的IP,信用卡信息和个人可识别信息(PII)在黑市上出售,来说是一个重大的打击,黑客交易每年大约有数亿美元。”

3.Cisco VPN惊现后门 专门窃取客户网络密码 by Freebuf

研究人员说,后门安装至少通过两个不同的切入点。首先是利用出现在客户端SSL VPN的一个大漏洞。另一个则是攻击者通过其他手段获取管理员访问并使用它来加载恶意代码。

黑客利用cve-2014-3393,这个漏洞允许未经身份验证的远程攻击者随意修改SSL VPN门户的内容,进行攻击窃取凭据、跨站脚本攻击(XSS)以及其他Web攻击。

由于SSL VPN门户定制框架的认证检查的操作不当导致出现这个漏洞。攻击者可以利用这个漏洞修改一些特定对象的RAMFS缓存文件系统。

为了逃避检测,文件1.js(恶意的JavaScript)被托管在一个非政府组织的网站,该网站还利用一个有效的SSL证书,这让所有的通信加密。文件1.js是一个在线脚本称为“xss.js”,旨在窃取数据。这些网站事先被攻击破坏了,再将HTML IFRAME标签插入到被破坏的VPN网页。然后VPN就会连接到被攻击的非政府组织网站,通过加密连接下载JavaScript。

  • 自我成長:
1.創業公司如何競爭?如何虧損? by 莊辰超

增長的策略:

不斷地去想一想,你有沒有一個更fundamental更抽象的層次,會給你帶來不同的空間呢?本質上你可以想一想,你現在的業務還有沒有100%的增速或者是至少60%以上增速,未來保持三年的機會。如果你看到現在的商業模式在市場已經進入到一個快要到最終階段了,你的策略就會完全不一樣。

價格戰怎麽打:

(1)你的戰略目標是什麽,你階段性要的市場份額是多少,多少量你可以鎖資源,你到了這個點之後怎麽樣鎖資源;

(2)如果你要做這件事,時間的摩擦力是什麽,是不是你在短期內投入一個億就直接占住了,還是這個東西天生是慢慢的過程,在時間容忍的情況下,以最快的速度獲到你要的市場份額,然後立刻收手;

(3)要想清楚回程船票在哪裏。開始計劃得很好,准備投入一個億,打下去一看,競爭對手如果也明白,他也打價格戰,你可能就達不到這個市場份額了,這時候大家要想明白,你要有一個退出計劃,比如說我的計劃是打一個季度,把市場份額打到十個點上,然後我把資源占住。當我打兩個禮拜一看,這個進展遠遠不如我想的,那就要立刻撤。所以說在開始行進之前,包括競爭對手的反映,行業裏面的反映全部都要做好詳細的計劃。

整個價格戰根本不是目的,甚至連市場份額也不是目的,真正的是,他是一個階梯性的function,階梯性的函數,當你打到一定份額,階梯性到了你就占住。然後你等一等看看其他局面,當你公司比較大的時候,你可能會有不同的業務線都需要在一定的時候快速獲取資源,公司總部可能就會需要協調,可能在每個環節都會有比你預期的資源、時間消耗更長。

2.《高年級實習生》──老闆比員工年輕50歲,沒問題嗎? by Sean Huang

一種常見的年輕主管與年長部屬的互動情境,往往是「第二代接班」──老臣輔佐新少主。老臣對公司瞭若指掌,不見得會對新少主第一時間展現服從性(或者是表面上服從、私底下另有異心);新少主急於重新建構自己的團隊、佈署自己的人馬,對老臣有所忌憚。

另一種常見的情況則是,年輕主管是為了解決某種組織變革危機而找來的空降部隊。在這種情況下,年輕主管不僅難以建立威信,甚至沒有親屬關係作為後盾,面臨的衝擊與挑戰往往更大更難,要建立信任關係也越加困難。

如果你不打算信任你的主管或者部屬,不管他的年紀有多大或者多小,這段關係絕對不可能長久。信任是關鍵。

3.培養懂得爭執的團隊 by David Burkus

研究結果顯示,揚棄傳統腦力激盪法則、勇於爭辯的團隊,常能想出更多更好的點子。你身為領導人的職責,或許是化解爭執,但也別怕當裁判。容許團隊為發想點子而有不同意見,同時也確保過程公平,不扯上私人恩怨。

如欲閱讀更多文章摘要,請見 每日晨摘

沒有留言:

張貼留言