2015年11月29日 星期日

11/29 晨摘

  • 資訊安全:
1.WOT2015刘明浩:互联网金融安全形势不容乐观 by 杜美洁

针对异常业务行为进行实时的分析和存储,需要依赖于一套大数据的平台和数据。比如:在系统里,分成四个部分:一是流量的收集、抓取功能,这些功能就像全业务一样,进入全业务流量。之后把这些业务流量导入到消息队列缓存,通过分析集群会到消息队列缓存访问日志,并根据风险风控模型分析和判断用户的异常行为,同时进行实时的查询,从而达到实时的分析和存储。

2.MagSpoof:能预测并窃取你下一张信用卡号码的廉价设备 by Freebuf

硬件黑客Samy Kamkar已经搭建了一个成本10美元的设备,它可以预测并存储成百上千个美国运通信用卡号码,并允许任何人使用它进行无线支付交易,即使是在非无线终端上。

这个设备名为MagSpoof,根据一个注销的信用卡的号码以及请求办理新卡的时间,它能够猜测下一个信用卡号码和新的过期日期。这个过程不需要三位或四位的数CVV号码,CVV号码通常印制在信用卡的背面。

3.安全专家揭秘索尼影业被黑事件攻击原理 by Freebuf

Damballa的安全专家Willis McDonald和Loucif Kharouni深入分析了索尼影视事件,他们发现了一种非常复杂的磁盘清理代码叫做Destover,它会利用新发现的反取证工具隐藏踪迹。

在索尼影视事件中,Destover曾被用于擦除系统上的数据,但是安全专家们发现Destover变种功能改变很大。去年12月份的时候,卡巴斯基实验室的安全专家发现了一种Destover恶意程序,其数字签名所用的证书是从索尼影视偷来的。

Destover变种会使用组件来躲避检测,并且很难被取证调查,因为Destover变种有能力改变文件的时间戳并清除日志,所以很难被取证。

攻击者主要使用两个工具来清除日志和时间戳:setMFT用于复制磁盘源文件时间戳到目标文件上,也被称之为timestomping;afset工具用于擦除基于时间和身份的windows日志、修改可执行的属性,包括构建时间和校验和。从这两个工具来看,主谋一定是一个组织结构非常严谨的组织。

  • 自我成長:
1.與其相信天才,不如相信努力、耐心和永不放棄的堅持 by 知識家

努力工作、盡心盡力、堅持不懈的精神將可以戰勝任何困難,讓幾乎每一扇門都有辦法打開。與其相信天才不如相信努力、忍耐和永不退縮的毅力。

人生最大的能量來源之一莫過於自己擁有強大的信念,一但人擁有強大的信念,堅信自己一定會獲得成功,那麼不論在任何艱困的情況之下,那股信念都能使自己堅持下去,並且克服一切難關。

2.去做你認同的快樂,不要急著否定別人的快樂 by CHER HSIEH
你看到事實或許不是事實,你能理解的或許並沒有到他能表達的。不要每個問題都試著反駁,但思考後理解,只剩下認同跟不認同。

去做你認同的快樂,不要急著否定別人的快樂。

3.當你不知道努力有沒有被看見時,「不放棄」其實沒那麼簡單 by 借鏡人生

多年來,在不為眾人所知的舞台、領域,我盡力做好每件事,願意挑戰難度,也跨界吸收養分,默默持續累積能量,不管掌聲多少,不論舞台大小,但求盡力而為。每一次都秀出全部的我,每一場賭局,手上籌碼都毫無保留地梭哈,這樣的工作態度,是我在人生低潮中學習到的重要一課。

我告訴自己,撐下去,就是你的,雖然當下有九成的人不喜歡我,也有一成的朋友不排斥我,人數既然少,更不能讓他們失望!

如欲閱讀更多文章摘要,請見 每日晨摘

沒有留言:

張貼留言