2015年8月12日 星期三

8/12 晨摘

  • 資訊安全:
1.序列化漏洞影响半数以上Android手机 by Freebuf

这个Android序列化漏洞(CVE-2015-3825)存在于Android平台本身,影响的版本包括4.3至5.1,也就是Jelly Bean、KitKat、棒棒糖和Android M预览版1,波及55%的Android设备。

研究人员的论文中介绍了一个可靠的PoC,能够演示攻击的可行性。这个PoC能够攻击高权限的system_server进程,这样就能够将权限提升至系统用户的级别,这种级别有相对宽松的SELinux配置,从而破坏行为会加大。

举例来说,攻击者可以通过替换目标应用的apk接管受害者手机上的任意应用。这就可以让攻击者以受害者的身份执行操作。另外,我们还可以利用Android Keychain应用运行shell命令,从设备中的所有应用中窃取数据。甚至还可以更改SELinux策略,在某些设备上还可以加载恶意的内核模块。

2.从外围进入各大公司内网的最新方式 by boooooom

(1)内网业务对外的漏洞挖掘:

首先需要获取攻击目标企业的资产信息,即Ip及域名信息;然后通过获取到的外网域名及IP信息获取banner信息。然后通过判断返回banner信息的特征来判断该IP/域名是否存在内网业务对外的问题。

(2)攻击思路之弱点扫描:

攻击者可以先对目标企业的域名及ip进行一轮字典的枚举,字典可以尽量大,因为攻击者其实不需要太多的考虑扫描时间,可以慢慢跑,然后对扫描结果的判断时可以写一些宽松的策略,比如只要判断某个文件是否存在,且返回内容就几个字节,或者存在一些敏感的关键字,比如内部系统、测试的数组结构等等就先记下来,然后辅助一些人工的判断。

3.假免費 Windows 10 更新通知信暗藏勒索軟體 by TREND LABS

最近,趨勢科技的工程師已經發現多起相關垃圾郵件攻擊,其中一個就是假冒Microsoft新版作業系統免費更新的通知郵件。

如同其他社交工程郵件一樣,該郵件暗藏了危險的附件檔案,一個勒索軟體的壓縮檔,更確切一點就是CTB-Locker加密勒索軟體,也就是TROJ_CRYPCTB.RUI 變種。

  • 自我成長:
1.「同理心」帶動業績 連蘋果員工都要培訓 by 熊玠非

人們往往記不起困頓時,情緒困擾的真實強度,其次,他們已經渡過了難關,將此苦難視為人生必經的考驗。因為抱持著:「我不記得當時有多困難了」、「我也是過來人」這樣的心情,導致同情心和耐心降低。

現在該有的訓練,更著重以傾聽者的角度,不要一直強調自己過去的經驗,先以傾聽、關心,而後再給予犀利、理性的分析。例如:當一個員工酗酒時,主管可以做的,並不是以自身的經驗教訓對方,而應該數據理性分析,讓員工了解分析結果,並自行評估是否值得等方式來進行幫助。

2.美国大学教授:如果只能有一门家教,我会选历史 by 少年商学院

我在大学里教历史,一次考试让学生们就教科书作者的观点回答一个选择题,结果大多数学生全答错了。我在课堂上纠正时,很多学生抗议:“我选择的答案,就是书中某某页上讲的呀!”

我把书打开:“看看,关于这件事情,作者陈述了过去学者的好几种观点,然后逐一驳斥,最后提出了自己的观点。我问你们的恰恰是他自己的观点。你们的问题在于,觉得只要书上写着的就是事实。想想看,你能听到有人在法庭上说了一些事情就马上当事实吗?难道你不应该首先搞清楚这是公诉人说的,还是辩护律师说的吗?

人是历史的动物。但这里的历史,不是一张简单的年代表、大事记,而是分析总结人类经验的能力。这种能力如果没有从小培养,长大就可能有麻烦,不管你干什么。

3.在每一次抉擇時,都把自己的價值觀考量進去 by PINSOUL

當你發現自己在抉擇時,花了很多心思考量不同選項的重要性時,你需要回頭關注多一點有關自己真正賦予價值的目標是什麼,然後讓自己有所覺察,讓這個中意的目標幫助自己選擇。如果你發現這個比較高層次的目標時,你就會以這個目標作為背景去思考,你走的路也會是證明這個目標的道路。

有時候,我們會碰到很難決定的事情,這時候我們就要按一下暫停。因為我們需要回頭看看不同選項之間的好處是什麼,注意看看自己真正在意的價值是什麼,或許這時候你回沈浸在抉擇的思考之中。

但當你發現自己重要的目標時,你回頭看看自己的決策,就會覺得比較清晰了,因為你知道自己該走什麼路,如何持續追尋與維持一致自己深層的價值與目標,你知道什麼對你才是重要的。

如欲閱讀更多文章摘要,請見 每日晨摘