作者：Petar Tsankov， Andrei Dan，Dana Drachsler-Cohen，Arthur Gervais，Florian Bünzli，Martin Vechev

单位：ETH Zurich，Imperial College London

出处：CCS ‘18

原文： https://dl.acm.org/citation.cfm?id=3243780

以太坊是仅次于比特币的第二大电子加密货币，其允许非信任的双方在没有可信的第三方情况下进行交易，交易能通过执行一段代码实现（即智能合约）。然而以太坊安全问题频发，开发者编写的智能合约存在很多漏洞，作者针对这个问题开发了Securify这个工具。

Securify是一个全自动化，并且可扩展的分析智能合约，检测漏洞的工具。Securify基于模式匹配。其能在给定特征的情况下分析智能合约是否存在漏洞。Securify的分析针对bytecode，即智能合约源代码（solidity语言）被编译后的结果。通过对bytecode的分析，得出dependency graph，进而得到合约的语义信息。之后根据给定的特征分析合约语义信息是否满足遵循或违背这些特征，判断合约是否存在漏洞。Securify的输入为智能合约的bytecode或源代码（被编译成bytecode输入工具）以及一系列模式，模式采用domain-specific language（DSL，领域特定语言）描述。输出为具体出现漏洞的位置。用户可以自己书写模式，因此Securify有可扩展性。

Securify的分析流如下所示：

Securify已经分析了超过18K的合约，并且对链上实际存在的智能合约进行了分析。

主要贡献如下

反汇编，用Datalog描述智能合约

compliance 和 violation的模板，能检查给定安全特征是否满足

Securify的具体实现

对Securify的实验和评估，显示可用性和正确性

以及，Securify还做了审计的工作，从结果发现Securify更加擅长分析稍大的智能合约。

以下是一个存在漏洞的具体合约，solidity编写。红色标明的部分为漏洞存在的地方。

由于函数默认的访问限制为public，因此initWallet()函数默认可以被外部调用（向该合约发送交易），导致任何人都可以更改钱包的所有者。

Securify的模式有两大类，compliance & violation

对应上述的合约，Securify可以匹配出violation pattern为，owner的赋值不依赖于交易的发送者。那么对应的安全特征为，owner的写入是必须受限的。

以下是另外一个例子

另一钱包的实现。deposit函数有关键字payable，表明交易发送者可以通过调用该函数来向这个合约转账。这个合约的漏洞在于，它本身没有向其他账户转账的函数，实现的功能是通过调用别的合约作为library实现的。而合约可以被销毁。那么假设有一个攻击者销毁了library，那么调用这个library来实现转账的那个合约里面的资产会被全部冻结。

匹配该漏洞的violation pattern为：

本部分展示整个系统的实现

bytecode在以太坊虚拟机EVM上运行。EVM是一个基于栈的虚拟机。

Securify将基于栈运行的bytecode转换为不基于栈的SSA表达形式，具体做法未详细给出。

之后恢复CFG，其中针对Securify的整体分析方法做了一些优化。

该部分Securify分析合约的 semantic facts，使用Datalog描述。整个过程使用已有的Datalog Solver全自动化工具。分析包含了数据依赖和控制依赖。

首先Securify分析针对指令分析出base fact，比如说

之后，分析每一个指令后，将得到的所有base facts输入到已有的工具，推断出进一步的语义信息，即semantic facts。

patterns使用securify自己的语言描述。模式匹配时，Security 迭代指令，处理含有some和all量词的pattern，以及，为了检查推断出的facts, Securify直接向Datalog Solver查询。

Securify的模式匹配局限之处为：安全特征比较宽泛，没有对具体的合约分析

模式匹配的结果为

有violation被匹配到，则标出含有漏洞指令的位置

没有任何模式被匹配到（既没有compliance，也没有violation），securify给出warning，指明那些位置可能有漏洞

violation有些是几个指令造成的，有些是整体的结果，分别归类为Instruction Patterns 和 Contract Patterns。对于前者，Securify能够定位到具体的指令，对于后者，将整个合约标记为不安全。

Securify减少了人工分析的工作。因为现有的分析工具不能清楚确定检测出的漏洞是否真的是violation，所以还依赖人工分析。而Securify能确定性的给出哪些是warnings（无法判断，需要人工），哪些是明确的violation。

作者主要进行了一下几个实验

对真实的合约做分析，评估Securify的有效性

人工分析上一实验的结果

将Securify与Oyente和Mythril（两个已有智能合约分析工具）比较

评估Securify对memory和storage的分析结果

取得Securify分析时的时间和内存消耗

作者使用的数据集有两个

实验结果如下：

可以看到Securify比已有的两个工具效果好很多，然而Securify的基本方法和这两个工具不同，比较不是很令人信服。

I’ve written about what I consider the best current password advice for websites and services you need to keep secure. In a nutshell, here’s the advice again:

This advice might appear to go against my simultaneous support of NIST Special Publication 800-63 Digital Identity Guides . NIST SP 800-63 recommends using non-password methods where possible, and although the recommendations are definitely against forcing users to use very long and complex passwords, they don’t limit password length or complexity.

When people are forced to create and use long, complex, and frequently changing passwords, they do a poor job at it. They reuse the same passwords among different websites or use only slightly different passwords, which create an easy-to-decipher pattern.

If those same humans use MFA or other non-memorization authentication methods, then the overall risk of repeated passwords and patterns can be broken. If a person can use a password manager, which creates and uses long and complex passwords that the person doesn’t have to remember, then perhaps you can get the best of both worlds.

I’ve been testing and recommending password managers for many years. Early on I was rightly suspicious of their quality and the security of their code and operations. Early versions often ended up in the press because of successful exploits and compromises. These days, most of the popular choices are feature-rich and secure enough that I feel good about using them.

Until recently, I had never completely depended on them, throwing all my memorized passwords away. I felt bad about recommending them without “living” with them. So, I decided to solely use a password manager as much as I could for all password security logons, where it would work. I’m not going to reveal what password manager I’m using because I haven’t tested them all and I don’t want to give an unknowledgeable review.

One of the key threats that led me to deciding to go to a password manager full-time is the sheer number of websites and services that get compromised. Visit any of the “ haveIbeenpwnd ”-type websites and you’ll probably be amazed to see which of your logons and passwords have ended up on the internet. If you, like me, use a common password root that has a discernable pattern, you probably want to change all your passwords. Don’t be like the average person who uses just seven different passwords across all websites they authenticate to.

I downloaded and bought a commercial password manager. I then spent several days changing my existing passwords on hundreds of websites, letting the password manager take over creating and using passwords. I downloaded the password manager for each device I wanted to include, including the related additional add-ons for the two most popular browsers I use. After a few months of use, here are my pros of using a password manager:

Works as advertised:First and foremost, password managers allow you create, record and reuse passwords among different websites. It worked as advertised in most cases. I cover the edge cases where it did not work below.

Easy to create and use long, random, complex passwords:However, about 10 percent to 15 percent of my websites would either not allow a long password (some stopped at 10-characters) or I couldn’t use symbols. This means quickly adjusting the auto-generated random passwords to meet a particular website’s password policy. The password manager I used made changing the policies used to generate a new random password very easy.

Password manager can auto-logon:The password manager can auto-fill in passwords and it’s easy to call up the password manager to fill in the password on an ad-hoc basis. When using a password manager, tell your browser not to remember any password. This takes away a potential attacker password vault target. Within a week or two I was calling up my password manager to quickly fill in logons without even thinking about it.

Securely stores password recovery questions:I loved that I could record my recovery question answers in my password manager. I recommend never giving accurate answers to recovery questions, but instead treat them just like additional password fields. You can record recovery question answers, but my password manager didn’t automatically fill them back in when they were needed.

Securely stores more than passwords:I saved my credit cards, membership cards, notes and other important information to the password manager--one place to store all secrets.

Works across multiple devices:I love that I could easily share my password manager and all the secrets it stored among multiple devices, and it worked well across all devices. If I updated a password, within a few seconds that update was already saved and stored on the other devices.

Can share with family members:I’m growing older. My wife is worried about me unexpectedly dying and leaving her without the appropriate access to my critical financial accounts. I installed another instance of the password manager on her computer, told her the master password, and showed her how easy it is to logon to any website I have. Not only does it store the passwords, but simply seeing a list of all my websites, gave my wife a feeling of relief. If something happens to me, she can logon and visit each website to see if there is something crucial to know and do. If you’d rather your spouse not see all your websites and logons, you can choose which logons to share or give another trusted (legal) third party your password manager information to be shared with your spouse in the advent of your untimely demise. This may sound depressing, but it actually gave me and my wife more peace of mind.

As much as I liked using the password manager, it has cons. Here are the top ones I noticed:

It might not support all your devices and browsers:You have to install the password manager on all devices you will be using. My password manager had versions for all the devices and browsers I use. Most password managers only support two or three browsers, usually Google Chrome, Microsoft Edge and Microsoft Explorer. If you like another browser, you may want to see if a particular password manager supports it, or you may have to fall back to another browser you like less.

Most work only with web-based browser logons:Most password managers only work with web sites. They won’t log you onto your computer, device, or corporate network.

A single point of failure:If you lose your master password or other identifying information, you could lose access to all your passwords all at once.

项目主页: http://www.oschina.net/p/hp-socket

开发文档: http://www.docin.com/p-2154702652.html

下载地址: https://github.com/ldcsaa/HP-Socket

HP-Socket提供以下几类组件，详细内容请参考《 HP-Socket网络通信框架开发指南 》：

Server：基于IOCP / EPOLL通信模型，并结合缓存池、私有堆等技术实现高效内存管理，支持超大规模、高并发通信场景。

Agent：Agent组件实质上是Multi-Client组件，与Server组件采用相同的技术架构。一个Agent组件对象可同时建立和高效处理大规模Socket连接。

Client：基于Event Select / POLL通信模型，每个组件对象创建一个通信线程并管理一个Socket连接，适用于小规模客户端场景。

HTTP 组件可以手工启动 HTTP 通信，从而可以对 HTTP 通信执行 SOCKS 代理服务器设置等前置操作

HTTP 组件（Server/Agent/Client）增加以下接口方法支持手工启动 HTTP 通信

Bug 修复：UDP Server 在高并发场景下可能重复触发 OnAccept 事件

SSL 组件可以手工启动 SSL 握手，从而可以对 SSL/Https 通信执行代理服务器设置等前置操作

SSL 组件（Server/Agent/Client）增加以下接口方法支持手工启动 SSL 握手

所有可能导致 Socket 关闭的组件接口方法都在 Socket 通信线程中异步触发 OnClose 事件

Server 与 Agent 组件的 DIRECT 发送策略也支持通过 GetPendingDataLength() 方法实现流控

Server 与 Agent 组件的 Disconnect() 方法不再支持‘非强制断开’（仍然保留bForce 参数），调用时都会强制断开

OnSend 事件支持 三种同步策略

OpenSSL 版本升级到 1.1.0i 版本

加入 IHPThreadPool 线程池公共组件

IHPThreadPool 主要方法

IAgent 接口的 Connect() 方法增加参数 usLocalPort，连接时可绑定本地端口

IClient 接口的 Start() 方法增加参数 usLocalPort，连接时可绑定本地端口

IClient/IAgent/IServer 接口增加方法 IsConnected()，检测是否有效连接

修复已知问题

性能优化

Android NDK 支持：所有组件源码均可使用Android NDK编译，在Android平台上运行

Bug修复：5.3.1版本中用dlopen()动态加载共享库失败

增加 _ICONV_DISABLED 预编译宏用于关闭 iconv 库功能

增加 _ZLIB_DISABLED 预编译宏用于关闭 zlib 库功能

如果想去除 SSL 或 HTTP 组件，可以分别定义 _SSL_DISABLED 或 _HTTP_DISABLED 宏重新编

修复 C# SDK 关于 SSL 初始化失败 Bug

增加 _ZLIB_DISABLED 预编译宏用于关闭 zlib 库功能

http-parser 解析器升级到 2.8.1 版本

OpenSSL 版本升级到 1.1.0h

jemalloc 版本升级到 5.1.0 版本

版本号修订：Windows 和 Linux 发行版使用统一版本号

发布文件不再区分非 SSL DLL 和 SSL DLL，统一为 HPSocket DLL 和 HPSocket4C DLL

发布文件默认包含 SSL 和 HTTP 组件

如果想去除 SSL 或 HTTP 组件，可以分别定义 _SSL_DISABLED 或 _HTTP_DISABLED 宏重新编

Server: SSL Server, SSL Pull Server, SSL Pack Server

Agent: SSL Agent, SSL Pull Agent, SSL Pack Agent

Client: SSL Client, SSL Pull Client, SSL Pack Client

Server: HTTP Server, HTTPS Server

Agent: HTTP Agent, HTTP Agent

Client: HTTP Client, HTTP Client, HTTP Sync Client, HTTPS Sync Client

testecho-ssl: (SRC) SSL simple test echo server/agent/client

testecho-ssl-pfm: (SO) SSL performance test echo server/agent/client

testecho-ssl-pull: (SO) SSL pull echo server/agent/client

testecho-ssl-pack: (4C SO) SSL pack echo server/agent/client

testecho-http: (SRC) HTTP simple test echo server/agent/client/sync-client

testecho-http-4c: (4C SO) HTTP simple test echo server/agent/client/sync-client

公钥加密或称非对称加密体制，是一种使用公钥和私钥对的加密体制。它是加密货币协议中最重要的部分之一，它被用于几个地方:加密货币钱包的创建，以确保加密货币只能由所有者使用，交易签名(数字签名)，这是加密货币协议的核心组件。简而言之，如果您将加密货币发送给其他人，则使用您的私钥(或使用私钥生成的签名密钥)对该事务进行签名，并且使用您的公钥验证事务。所以，如果黑客获得了你的私钥，他们就可以把你的加密货币发给自己。

生成公钥和私钥有两种算法。例如，比特币协议使用椭圆曲线数字签名算法(ECDSA)。在本文中，我将解释rivests - shamir - adleman (RSA)，并与ECDSA进行比较。RSA是最早、应用最广泛的公钥密码系统之一。它以其创始人Ron Rivest、AdiShamir和Leonard Adleman的名字命名，几乎成为公钥密码的同义词。

RSA算法

RSA使用模-n (mod n)算法广泛地使用算术运算。对n取余就是x除以n后的余数。例如，17取余5 = 2。RSA通常由三个主要部分组成(有时添加公钥共享是有意义的):

生成公钥和私钥

使用生成的公钥加密数据

使用生成的私钥解密数据

生成公钥和私钥

为了生成RSA的公钥和私钥，Alice和Bob(这两个虚构的角色已经成为讨论密码学的行业标准)执行以下步骤:

1. 选择两个较大的素数p和q，数值越大，RSA越难破解，但编码解码的时间越长。

2. 计算n = pq和z = (p - 1)(q - 1)。

3. 选择一个小于n的数e，除1外没有公因数，z或它们的最大公约数(gcd)等于1,gcd(e, z)等于1。在这种情况下，e和z是相对素数。e将用于加密。

4. 求一个数d，使ed - 1能被z整除，另一种方法是对z = 1取余。d将用于解密。

5. Bob或Alice提供给世界的公钥是一对数字(n, e)，而私有密钥必须是秘密的，是一对数字(n, d)。

使用生成的公钥加密数据

假设Alice想传递一个讯息给Bob,由“位”模式表示整数m(明文消息),其中m < n。加密的明文消息m c m ^ = e mod n密文c将发送给Bob。注意，Alice使用的是Bob的公钥加密消息。

使用生成的私钥解密数据

要解密收到的密文，Bob计算m =c^d mod这需要使用他的私钥(N，d)。

RSA的安全性依赖于这样一个事实：对于快速分解(素因子分解)数字，没有已知的算法。在本例中，公共值n放入p和q中。

RSA与ECDSA的比较

在ECDA中，私钥是随机生成的整数。在比特币协议中，它是256位(32字节)整数。ECDSA还可以使用相同的算法，使用不同的椭圆曲线生成公钥。比特币协议使用Secp256k1。在RSA中，密钥(公钥、私钥和签名)很大，密钥生成很慢。

另一方面，RSA易于实现，而ECDSA难以实现。2010年12月，PlayStation 3遭到黑客攻击，原因是索尼没有正确实施该算法。这就是为什么建议使用已经测试过的库(如OpenSSL)来生成ECDSA密钥对的原因。

大约一年前，我实现了一个名为eccpem的开源库，并安装了GitHub，它生成ECDSA密钥对，并使用OpenSSL库将它们存储在.pem文件中。

结论

大多数加密货币协议使用ECDSA(我认为这是有意义的)而不是RSA。至少有两个原因:

ECDSA使用的内存比RSA少得多。

ECDSA比RSA快。

阅读： 225

近日，国内爆发“微信支付”勒索病毒，目前已有超过2万台PC受到感染。感染后，该病毒将对受害者文件进行加密，并弹出微信支付二维码，要求受害者使用“微信支付”支付赎金110元以解密文件。目前微信运营商已停止该二维码的使用。除加密文件外，该病毒还会窃取受害者的部分应用账号密码，包括支付宝、百度云、网易163、腾讯QQ、淘宝、天猫和京东等平台的账户信息。该病毒采用“供应链污染”的方式进行传播，病毒作者以论坛形式发布植入病毒的“易语言”编程软件，并植入到开发者开发的软件中实现病毒传播。

预警编号： NS-2018-0039

危害等级： 高，国内目前已有超过2 万台PC 感染了该勒索软件 。

文章目录

近日，国内爆发“微信支付”勒索病毒，目前已有超过2万台PC受到感染。感染后，该病毒将对受害者文件进行加密，并弹出微信支付二维码，要求受害者使用“微信支付”支付赎金110元以解密文件。目前微信运营商已停止该二维码的使用。除加密文件外，该病毒还会窃取受害者的部分应用账号密码，包括支付宝、百度云、网易163、腾讯QQ、淘宝、天猫和京东等平台的账户信息。

该病毒采用“供应链污染”的方式进行传播，病毒作者以论坛形式发布植入病毒的“易语言”编程软件，并植入到开发者开发的软件中实现病毒传播。

参考链接：

绿盟科技安全研究团队获取到病毒样本后，第一时间进行了分析，该样本只会加密用户Desktop目录及其子目录下的文件，也不会加密64字节以下的文件，样本通过文件后缀名筛选不加密的文件，忽略的文件后缀列表如下：

样本生成大小为0x7D000的字节流用以加密文件，如果文件的长度大于密钥长度，则超出密钥长度的部分不会被加密。解密秘钥与字节流”\x05\x07\x30\x0c\x31\x1b\x0a\x71\x0d\x76\x02\x00″异或后写入本地文件“%Appdata%/Roaming/unname_1989/datafiles/appcfg.cfg”，因此利用该文件可以进行数据恢复。

样本为了保留文件头的信息不受影响，选择从20字节处开始加密，且所有文件均采用同一密钥进行异或加密：

当全部文件加密完成，样本弹出提示信息：

绿盟科技安全研究员提供了解密脚本，受影响的用户可自行下载进行文件恢复，使用方法如下：

将%appdata%/roaming/unname_1989/datafile/appcfg.cfg文件与解密脚本放到相同的目录下：

被加密文件示例：

运行解密脚本：

解密后的文件内容：

下载地址：

伏影实验室专注于安全威胁研究与监测技术。

研究领域涵盖威胁识别技术，威胁跟踪技术，威胁捕获技术，威胁主体识别技术。

研究目标包括：僵尸网络威胁，DDOS对抗，WEB对抗，流行服务系统脆弱利用威胁、身份认证威胁，数字资产威胁，黑色产业威胁及新兴威胁。

通过掌控现网威胁来识别风险，缓解威胁伤害，为威胁对抗提供决策支撑

本安全公告仅用来描述可能存在的安全问题，绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，绿盟科技以及安全公告作者不为此承担任何责任。

绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告，必须保证此安全公告的完整性，包括版权声明等全部内容。未经绿盟科技允许，不得任意修改或者增减此安全公告内容，不得以任何方式将其用于商业目的。

北京神州绿盟信息安全科技股份有限公司（简称绿盟科技）成立于2000年4月，总部位于北京。在国内外设有30多个分支机构，为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户，提供具有核心竞争力的安全产品及解决方案，帮助客户实现业务的安全顺畅运行。

基于多年的安全攻防研究，绿盟科技在网络及终端安全、互联网基础安全、合规及安全管理等领域，为客户提供入侵检测/防护、抗拒绝服务攻击、远程安全评估以及web安全防护等产品以及专业安全服务。

北京神州绿盟信息安全科技股份有限公司于2014年1月29日起在深圳证券交易所创业板上市交易，股票简称：绿盟科技，股票代码：300369。

近日来，“非洲猪瘟”频频刷屏，疫情愈演愈烈。11月以来，短短20天全球发生132起非洲猪瘟疫情，我国平均1天1起！11月23日一天内，北京市房山区就排查出非洲猪瘟疫情，共死亡生猪86头。这场今年8月从辽宁沈阳开始传播的非洲猪瘟究竟将要何去何从？真的到了“谈猪色变”的时候了吗？难道我们要与炸酱面和京酱肉丝说再见了吗？

图片来源：中国动物疫病预防控制中心

提到非洲，不得不说好多具有“杀伤力”的病毒都源于此地，比如：艾滋病毒、埃博拉病毒等等。

非洲猪瘟，最早于1921年在非洲的肯尼亚发现。它是由一种非洲猪瘟病毒（African swine fever virus，ASFV）引起的一种急性、烈性、接触性传染病，可通过航班或港口废弃物、猪肉及其制品、野猪携带病毒和软蜱携带病毒等方式传播。

非洲猪瘟病毒（ASFV）是一种胞浆内复制的二十面体对称的DNA病毒。完整的ASFV病毒粒子较大，病毒直径为175-215nm，细胞外病毒粒子有一层囊膜。其病毒基因组为一条线性的双链DNA分子，长度在170-190kb之间。

ASFV超级恐怖，它是由节肢动物传播的唯一DNA病毒，而且它的耐受力非常强。耐受的pH值在pH4-13之间，能够在血液、粪便和组织中存活时间长达半年，如果在已经感染非洲猪瘟病毒的猪肉制品，在生的或者未完全煮熟的情况下，它存活时间长达3个月，在冻肉中甚至可存活数年。像我们熟知的甲型H1N1（猪流感），耐受的pH值在pH 4-10之间，在粪便、鼻液、泪水等有机物中，4℃的环境下保持30-35天左右。

虽然名字中有“猪瘟”二字，但是跟传统意义上的猪瘟完全不一样，非洲猪瘟和猪瘟分别是由两种完全不同的病毒引起的传染性疾病。

猪瘟（CSF）是由猪瘟病毒（CSFV）引起的一种急性、发热、接触性传染病，属黄病毒科，猪瘟病毒（CSFV）是一种单链RNA病毒，而非洲猪瘟病毒（ASFV）是双链DNA病毒。

猪瘟与非洲猪瘟同样具有高度传染性和致死性，急性猪瘟发病特征与非洲猪瘟相似，呈败血性变化，简单通过眼观是无法鉴别的，只能通过专业的实验室检测鉴别。但是两种病毒是完全不同的，简单说，就像马和牛的区别一样，虽然马和牛都是吃草的，但却是两种完全不同的动物。

猪瘟与非洲猪瘟不同点还包括：猪瘟可采用疫苗防控，但非洲猪瘟没有疫苗；猪瘟的传播主要是以接触传播为主，非洲猪瘟除了接触传播外，还可以通过虫媒传播疾病。

非洲猪瘟第一次走出非洲

1957 年非洲猪瘟第一次传播到非洲以外的地区――葡萄牙。里斯本机场附近的一家养殖场使用飞机上的食物垃圾作为饲料，造成非洲猪瘟感染，虽然疫情很快就被控制住，但是不久之后的 1960 年非洲猪瘟再次在里斯本爆发。并且长期在伊比利亚半岛（葡萄牙和西班牙）流行，一直延续到上世纪九十年代。

非洲猪瘟病毒其发病死亡率高，可达100%，没有特效药、没有疫苗，所以猪一旦患病就会发现“死期不远”，要么被扑杀，要么病死。因此，造成养猪生产的巨大经济损失。2014-2017 年，俄罗斯等东欧国家已有近80万头猪死亡或被销毁，按照每头猪135 美元，直接经济损失约1亿美元。罗马尼亚发生非洲猪瘟疫情1年多，造成数亿到数十亿美元的经济损失。

自从8月份我国爆发疫情以来，人们心中难免存有诸多困惑：

2007 年非洲猪瘟病毒传入格鲁吉亚以及俄罗斯地区。然而，2017年3月，在离我国仅为1000km的俄罗斯远东地区伊尔库茨克州发生非洲猪瘟疫情。这样说来，非洲猪瘟离我们并不远。从今年8月辽宁沈阳非洲猪瘟分子流行病学研究中发现是，传入我国的非洲猪瘟病毒属基因Ⅱ型，与格鲁吉亚、俄罗斯、波兰公布的毒株全基因组序列同源性为99.95%左右。

非洲猪瘟不是人畜共患病。猪是非洲猪瘟病毒唯一的自然宿主，除家猪和野猪外，其它动物不会感染该病毒。虽然对猪有致命危险，但对人却没有危害，属于典型的传猪不传人型病毒。

但是有人会问，流感病毒都变异了，之前变异出的甲型H1N1猪流感，就变得能感染人了，这个难道不会变异吗？

短期内不会。

流感病毒的遗传物质为反链RNA病毒，保真性很差，所以十分容易变异。然而非洲猪瘟病毒属于DNA病毒，DNA病毒的繁殖方式是复制，整个过程出现变异的可能性不大，即使发生突变的话，其速度远远低于RNA病毒。

当然不，我们怎么可能放弃老北京炸酱面和京酱肉丝呢？生猪在屠宰前均经过官方严格检验检疫，只有达到出栏日龄的健康生猪才可以到正规屠宰场屠宰。因此市面上的猪肉还是安全的。

发生非洲猪瘟的地区也不要恐慌，毕竟所有生病的猪都惨遭灭门。另外，还有针对非洲猪瘟专业的检测（首选检测技术是病毒核酸检测技术），所以大家能在市场上买到感染非洲猪瘟病毒的猪肉概率微乎其微。

虽然这种病毒的耐受力很强，但是将其加热至60℃，只要20分钟，病毒就被破坏，脂溶剂和消毒剂也可轻易杀死病毒。所以，买回来的生肉，一定要把它们 做熟煮透 ！不得不再次提起巴氏灭菌法（pasteurization），亦称低温消毒法，是一种利用较低的温度（一般在零上60-82℃），既可杀死病菌又不损害食品品质的消毒法，现在常常被广义地用于定义需要杀死各种病原菌的热处理方法。高温会杀死所有ASFV病毒，一方面能够保护我们的健康，另一方面能够避免其趁虚而入，使病毒继续不断传播。

感染了非洲猪瘟的猪肉上可能还存在着非洲猪瘟病毒，虽然暂时还没有研究表明对人有什么生理上的影响，但是，大家对病毒的认知都处于有限阶段，能不吃当然就不吃了。另外，如果没有做熟煮透的话，非洲猪瘟病毒将会在人体的粪便中存活着，作为一个传播媒介，病原将可能被携带传播到全国各地。只有有了有效的防控才能减少之后更大的利益损失。所以虽然不要过于恐慌，但是吃瘟猪肉是绝对不提倡的。

尽管我们可以继续放心吃肉，但根除非洲猪瘟并不是一件容易的事情。为了根除疫情，有些国家用了5年，有些甚至用了30多年。例如西班牙，为了对非洲猪瘟进行防控和根除，建立起了流动的临床兽医团队网络；对所有猪场进行血清学监测；提高养猪场的生物安全水平；迅速拔除所有疫点，对生产者足额补偿；严格控制猪只移动，冲洗和消毒交通工具。例如，非洲猪瘟1960 传入西班牙，经过30多年的努力，直到1995 年10 月，西班牙才正式对外宣布，彻底根除了非洲猪瘟疫情。

所以我们要充分认识疫情防控的复杂性、长期性。除此之外，还有经济因素需要考量，根除非洲猪瘟耗资巨大，西班牙仅实施根除非洲猪瘟计划的最后5年，就花费了9200万美元。在对抗非洲猪瘟的路上，我们还有很长的路要走。

图片来源：视觉中国

文：钛资本研究院（tmtcapital_cn）

作者注：网络信息安全的创新空间在未来数年内有望进入快速上升通道，特别在应用领域的安全防护有更大的空间，非常值得更多投资机构的关注和进入。同时，相比美国市场，国内信息安全领域仍显稚嫩，处于传统网络安全向新兴应用安全的升级阶段，特别需要投资机构在行业边际和发展趋势、产业细分和深度合作、退出模式和途径等方面不断形成越来越多的共识。

网络安全是一个比较新的行业。在1995年之前，中国甚至连互联网都很少有地方能接入；中国最早的一批网络安全公司也都是在1995年以后成立的，所以这个行业从无到有也就二十多年时间。

这么“稚嫩”的网络安全行业，同时又是个比较复杂的行业。很多时候，不同攻击手法和问题的出现，都超出业内人的“预料”。比如今年上半年的芯片漏洞事件，就让业内人没想到，因为大家都以为芯片是没有漏洞的。再比如，2015年苹果出现了一个大的漏洞，国内几乎所有的主流App都被感染了后门。其实黑客只是用了一个特别简单的手法，即在网上提供了一个开发者工具的下载，这个开发者工具被植入了后门，这就导致了国内所有的主流App在上传到App Store以后都带上了后门。这个攻击手段其实并没有技术含量，但是因为以前没有人想到过，所以被打了个措手不及。

面于如此“稚嫩”、复杂又重要的行业，钛资本认为相关投资人有必要对此达成更多共识。在2018年10月举办的钛资本“新一代企业级科技投资人投研社”在线研讨会第五期上，苹果资本创始人胡洪涛分享了对于国内外安全行业的发展和投资机会的看法。

网络安全的发展呈非线性增长。正如病毒那样，最开始只有一个病毒，当一个病毒传到两台机器上、两台机器再传到四台机器上，就呈现指数型增长。网络安全的发展也类似。

网络安全领域扩张趋势图

从1995年前后到2015年，网络安全一般都是指传统意义上的网络安全，也就是上图左上角绿色区域，这也是目前网络安全行业的上市公司或者将要上市公司的最主要领域。在这个领域，所有的产品包括防火墙、入侵检测、UTM等都偏硬件，比如启明星辰、天融信、绿盟、卫士通等主做传统网络安全的公司，基本上不太涉及非硬件产品。传统网络安全产品主要集中在防火墙、入侵检测以及杀毒，称为“老三样”。“老三样”从1995年一直到现在，依然有很大的存量市场，再加上周边的加密硬件等产品，现在的总体规模约为300亿到500亿左右。

以前之所以有防火墙，主要是因为企业有内网和外网之分，需要防火墙隔离开。现在由于WIFI、移动设备、移动办公等应用，以及企业由内网向外开放接口, 整个企业的网络边界被打破了、业务互联网化了。业务互联网化以后，内网和外网的区分就弱化了。一旦网络边界被打破，防御的手段就要跟上变化――这就像战争从冷兵器时代到了现代化战争时代，整个作战的方式都完全改变了。

随着这几年移动互联网、云、工业控制等技术的发展，以及对数据、业务安全等的重视，网络安全开始往更广的范围发展。以前都是封闭系统，不存在大数据现象；现在系统开放了，就出现了大数据。以前只是在内网运营业务，业务不会被拉到外网处理，所以就不存在业务安全问题，一旦业务上了互联网，安全问题就出来了。同时因为所有企业的所有业务都上了互联网，网络执法也就变得非常必要。特别是随着政务网的上线，网络入侵还会给社会的稳定带来问题。

去年，WannaCry病毒导致了车管所所有车辆的任何变更都无法办理、一部分加油站无法加油、一部分医院由于不能使用电脑而无法看病；在2016年的时候，一个黑客组织曝出有某个团队专门给美国国家安全局提供各种网络入侵的工具，储备了大量人们不知道、没有暴露出来的漏洞，积累了很多攻击手段、攻击工具；更早的时候，斯诺登事件更曝出美国通过网络手段对各个国家的部长及以上的政要人物进行了网络窃听和网络监控……这些例子都充分说明， 网络安全已经不仅仅只涉及到企业内网和外网边界的安全问题，它已经从传统的网络安全本身，牵涉到了数据安全、业务安全、社会维稳和国家安全。

甚至一旦网络安全出现问题还会导致更多的危害。比如车联网的安全、工业控制的安全等，还会涉及到生命安全。比如，对于工厂特别是化工厂都有高压反应釜，可达上百个大气压，相当于几吨TNT炸药，一旦反应釜被控制而导致爆炸，将威胁方圆一两平方公里内所有人的生命和财产安全。再比如，机器人虽然可能不会直接拿刀杀人，但是漏电、触电或者点燃煤气等等，也会威胁到人身安全。因此， 网络安全已经延伸到了人身安全和财产安全。

网络安全需求在以下六个维度的同时增长，将带来网络安全市场整体的指数型增长：

安全市场增长呈指数型

维度一：在同一个行业，随着核心业务互联网化程度提高，网络安全越来越成为刚需。比如银行业，以前，办理银行业务必须去银行柜台，后来可以在线办理了，甚至可以在各种设备上办理银行的绝大部分业务。银行业务越开放，带来的安全问题就越多。所以随着银行的互联网化和移动化，银行的安全需求是在不断增长的；

维度二：随着传统行业逐个被互联网化，越来越多的行业需要网络安全；

维度三：随着联网设备的增多，需要保护的对象就多了。以前的网联设备只有PC与服务器，现在有手机、车联网、工业互联网、云基础设施等等，这些网联设备的种类和数量都呈现指数型增长，网络安全需求随之爆发式增长 ；

维度四：随着网络安全法规、政策的出台，新的安全领域与安全需求不断出现。这几年，尤其是2016年4月份以来，中国至少每个月都有三四条网络安全相关的法规和细则出台。这些法规对网络安全行业的发展有着巨大的推动作用。比如数据安全，现在有了个人隐私保护相关法规，数据就无法买卖；还需要有监控跟踪手段来保证所有用户数据的安全，否则就会被处罚。再比如，去年出台的GDPR导致腾讯从欧洲市场退出，就是因为GDPR的罚款特别重，占整个企业收入的很大一部分。其实欧洲市场可能都没有多大，但整个公司收入的4%可能是很大的一部分，所以腾讯为了规避安全风险，宁可撤出欧洲市场。

维度五：随着数据资产化、货币数字化，它们本身在互联网上，又都能直接变现，引发黑产的兴趣，由此带来的经济损失呈指数型增长。近两年，每年损失的数字货币达几百亿美金，网络安全需求随之指数型增长 。

维度六：经济环境、国际局势对网络安全的影响。大家可以明显感觉到，今年上半年以来，与经济走势相对应的是，网络犯罪较往年尤为猖獗，网络安全人员和公安局联合执法，基本上处于忙不过来的状态。而且网络诈骗非常隐蔽和难于抓捕。有的人通过微信给别人转了几十万、上百万，连别人电话号码都不知道，什么信息都没有。而对方的微信号可能是买来的，或用他人的身份证、手机号注册的，手机可能也是租来的，甚至是虚拟手机。或者远程控制手机或微信的人压根就不在国内，而是在马来西亚、菲律宾或者泰国，所以导致犯罪成本低、收益高、难抓捕。

再者就是今年以来，受国际关系影响，国际间的网络间谍活动也特别多，网军对抗也比较厉害。在网军上，各国都在投入更大的力量。美国今年就专门成立了一个网军司令部，所以未来肯定会出现国家间的网络军备竞争。相对于其它行业来说，网络安全受经济环境、国际关系的影响更大。

网络安全产品的形态变化和规模增长

网络安全市场的增长，还可以从产品形态的变化来分析。从1995年到2011年、再从2011年到2017年，产品形态其实没有太大的变化，基本上都是标准硬件产品的形式，也就是卖“盒子”，只不过第二代比第一代略有改进。

现在的很多网络安全企业，已经没有固定的硬件，基本上都是软件形态。销售方式是按业务场景或者按数据量，即企业方的业务要和安全产品结合，这样随着业务场景的发展或者是随着数据量的增长，安全业务的规模也同等增长。所以经常会出现一个企业买了某公司的安全产品后，今年是50万，明年可能是200万，后年可能是500万；不再像以前防火墙那样，一台防火墙今年五万，明年还是五万甚至可能降价，而且一台防火墙基本上用三年没有问题。新的场景+解决方案的网络安全产品形态，让市场每年都存在新增机会。

2004年的时候，全球的网络安全市场大概只有35亿美元，到了2017年这个数字变成了1380亿美元，也就是13年时间增长了大约39倍，平均年复合增长率大约33%。这个增长速度平均下来相当高，后面的增长速度还会更快，从2017年到2021年预计将增长到一万亿美金。

中国市场通常是全球市场的1/10，到2021年差不多也就是一万亿人民币。但是同样的机构预测的网络安全给企业带来的损失要远远高于这个数字，到2021年将是六万亿。

美国网络安全上市公司分析

通常的说法是美国的网络安全市场比中国超前三到五年，其实绝大部分网络安全的细分领域都是在五年以上。分析美国2012年左右上市的这批公司，这几年的年复合增长率都在50%到100%之间。 2017年、2018年上市的公司有一个特点，即不再是一个综合性的安全公司，而是专注于单一产品，但是增长速度非常快，每年以80%以上甚至100%、200%的速度增长。 成立越早的公司，像Symantec、Mimecast，“老三样”占的销售额比较高，相比于成立年头比较短、专注于单一产品的公司来说，增长速度就不一样。

中国网络安全市场的增长趋势

国内的几家网络安全上市公司最近三年的年复合增长率普遍都在30%左右，相当于还处于美国五年前甚至十年前的状态。国内的启明、绿盟等上市公司，有点类似于Symantec、Mimecast，还是卖标准硬件，所以只能有这么一个增长率和增长水平，不可能更快了。相 反，对于一些新出现的创业公司，按场景+解决方案而不是硬件设备来销售，这样随着业务场景的发展或者是随着数据量的增长，安全业务的规模也同等增长。 尤其是2015年以后，安全对于企业来说变成刚需。2016年、2017年这两年，安全公司的收入比前几年增长得都快，尤其是从2018年一季度和上半年的数据看，有一些公司的业绩可能是去年的好几倍。

至于说发展空间，美国的改革比中国要早，美国的军工采购已经是开放市场，中国才刚刚开始。2015年，国家首次提出把军民融合发展上升为国家战略，军民融合就是把军工采购从非市场化变成市场化。 所以在美国做安全的企业，主要奔着世界500强客户。在中国，能做的优质客户其实就是央企，而央企大概就128家，而且涉及到很多个行业，想把128家都做下来不太现实，能做个20家已经很不错了。

美国网络安全市场的投资规模

美国网络安全市场的投资规模从2010年到2017年增长了6.5倍，也就是安全企业拿到资金的规模增长了6.5倍。尤其是从2012年开始，每年美国在网络安全上的投入成倍增长。其实这几年中国安全市场的投资规模也是在成倍增长，但是总量处于10亿人民币到20亿人民币之间，相比来说还很早期。

从1995年到2013年这18年时间，我国网络安全行业存在劣币驱逐良币，就是依靠关系型销售，采购完了有些不好用的产品就堆在库房，或者把防火墙当一根网线使用（不设安全规则）。在2013年的时候，因为斯诺登事件再加上伊朗核设施被美国震网病毒入侵，推动了国家层面的高度重视，把网络安全推到了继陆地、海洋、天空、外空之外的第五空间，上升到了国家安全的高度，也跟计算机一样变成了一级学科。

这两年网络安全变成刚需，已经从可有可无的“保健品”，变成了“药品”。同时网络安全的防御思想、防御技术发生了很大变化，传统产品如防火墙、IDS等已经完全不管用了。在这个大的背景下，产生了大量的技术创新，给投资带来了机会。

而网络安全的创业公司往往也需要投资机构的支持。对于网络安全行业，除了资金方面和一般行业投资都会有的管理、业务支持外，投资机构还可以在其它方面更好地帮助创业者。

那么，网络安全行业的投资逻辑是什么呢？

第一，找准商业机会。这个商业机会一定是“天花板”要高。

第二，找准时间窗口。投早了就死在沙滩上了，投晚了就比较贵，或者没有机会了。

第三，确定技术形态。不是每一个创新都能够维持比较久或者能够真正解决问题。创新分为两种，一种是颠覆式技术创新，一种是比较浅层次的微创新，后者其实走不了太远。比如说在2012年、2013年的网页防篡改产品，只存活了两三年，就是因为解决不了实际问题。有的产品能够持续，像防火墙就持续了将近20年。这就要求投资人既要抓住创新的机会，又要识别创新的陷阱。

第四，判断企业的投资价值。在安全领域有一些针对新出现的各类安全问题的专家型团队，服务方式通常是咨询式，没有特定的产品，也没有持续性稳定的增长模式。这类公司中人就是壁垒。由于完全靠人工服务，没法快速复制，也不可能规模化。但这样企业的价值其实还很高，在网络安全领域有一个词叫“网络尖刀”，通常这把“刀”就是所谓的安全挖洞、防御、方案高手或者咨询高手，只要一出手就能拿下客户，获得后面的单子。所以，这种团队比较适合被战略投资或者被收购。

第五，重视创始团队的格局和综合能力。企业级创业有其特殊性，举例而言，防火墙公司可能不下500家，其中只有几家能达到比较大的规模，但其它四百多家也都能存活下来或许还活得很好。为什么呢？一家企业级公司能不能存活下来，取决于有没有优质客户，是否能做大则取决于有没有好的管理团队、大的格局。企业级创业难就难在对创始团队的要求非常高而且非常综合，方方面面都不能有短板，各方面都要很强才能做大。

网络安全行业单领域其实可以做大，像Splunk、Okta、Duo Security、Sailpoint等都是在单领域做大。仅一个在线身份认证或者企业内部的身份认证，就能做到一个上市公司，或者做到二十几个亿美金被收购，这在美国市场已经验证过。在中国同样可以，只不过还需要一段时间来证明，因为中国毕竟比美国发展的慢。

第六，能够退出。在2009年到2015年这段时间投资安全企业，想通过企业上市退出是比较难的，因为这个行业还处于发展的初期，基本上只能通过企业被收购来退出。而谁能出得起大价钱呢？很简单，就是BAT。国内做网络安全的上市公司，其实没有能力收购非营利性的企业，这跟国外很不一样。国外网络安全上市公司的收购，基本上不会看重利润或者是否可以上市，而是看重技术。

从2015年开始，投资机构就有机会通过网络安全企业上市退出了。如果上不了市，还可以通过其它方式退出。当然，今天BAT已经对收购一家普通的安全企业没有太大兴趣，但是对一些在企业级领域长远来看很重要、有技术含量的企业，一旦BAT转向企业服务时还是会有兴趣。但是不像以前，以前的收购全部是为了人才。这里面有一个历史的原因，就是3Q大战以及360与各家互联网公司在网络安全上的纠纷，导致了对网络安全人才的需求非常旺盛。这几年因为没有“战争”，所以对收购的需求也没有那么大，这是个空档期。现在腾讯全面转向企业级服务，阿里早已转了，未来腾讯和阿里等在重量级网络安全产品上或许有收购需求，短期依然没有。

短期的退出策略比较简单：对估值比较高、规模比较大的企业，找后面能长期持有、接盘的大基金；对估值不那么高的企业，依然可以采用人才收购的方式，可以找大型安全企业或者BAT；更重要的是，非安全企业对安全人才的收购需求也起来了，比如系统集成公司有良好的客户基础，但没有相关的安全产品，甚至必须要把底层的问题解决了，才能做上层的系统集成，所以集成公司对收购网络安全团队有需求。此外，建了安全实验室的央企、需要保证物联网安全的物联网公司等等，都有收购网络安全团队的需求。

网络信息安全行业正在面临国产技术的窗口期和爆发期。Gartner预测，到2021年，中国八成以上的大型企业将部署由本地供应商提供的网络安全设备。实际上，在其它国家和地区也倾向于采购本国的网络信息安全技术。所以，我国的网络信息安全市场是一个长线市场，创业者可以静下心来找到差异化的技术创新点，而不是走同质化竞争路线。另一方面，大厂商的安全体系正在建立和成熟中，包括各大公有云和私有云的安全体系、区块链带来的信用体系、芯片级的安全保护等，创业者的创新空间也在被压缩。

总体来说，网络信息安全的创新空间在未来数年内有望进入快速上升通道，特别在应用领域的安全防护有更大的空间，非常值得更多投资机构的关注和进入。同时，相比美国市场，国内信息安全领域仍显稚嫩，处于传统网络安全向新兴应用安全的升级阶段，特别需要投资机构在行业边际和发展趋势、产业细分和深度合作、退出模式和途径等方面不断形成越来越多的共识。而跟随“一带一路”等走出去的“中国梦”，中国的网络信息安全创业也可以关注国际市场，通过服务国际市场而提升产品与服务的国际化程度，进一步获得全球市场的退出机会。“风物长宜放眼量”，是对网络信息安全市场的基本共识。

【钛资本是专注于企业级科技的投资银行和管理咨询服务平台。微信公号：tmtcapital_cn】

作者：360 Core Security

博客： http://blogs.360.cn/post/PoisonNeedles_CVE-2018-15982.html?from=timeline&isappinstalled=0

近年来，乌克兰和俄罗斯两国之间围绕领土问题的争执不断，发生了克里米亚半岛问题、天然气争端、乌克兰东部危机等事件。伴随着两国危机事件愈演愈烈之时，在网络空间中发生的安全事件可能比现实更加激烈。2015年圣诞节期间乌克兰国家电力部门受到了APT组织的猛烈攻击，使乌克兰西部的 140 万名居民在严寒中遭遇了大停电的煎熬，城市陷入恐慌损失惨重，而相应的俄罗斯所遭受的APT攻击，外界却极少有披露。

2018年11月25日，乌俄两国又突发了“刻赤海峡”事件，乌克兰的数艘海军军舰在向刻赤海峡航行期间，与俄罗斯海军发生了激烈冲突，引发了全世界的高度关注。在2018年11月29日，“刻赤海峡”事件后稍晚时间，360高级威胁应对团队就在全球范围内第一时间发现了一起针对俄罗斯的APT攻击行动。值得注意的是此次攻击相关样本来源于乌克兰，攻击目标则指向俄罗斯总统办公室所属的医疗机构。攻击者精心准备了一份俄文内容的员工问卷文档，该文档使用了最新的Flash 0day漏洞cve-2018-15982和带有自毁功能的专属木马程序进行攻击，种种技术细节表明该APT组织不惜代价要攻下目标，但同时又十分小心谨慎。在发现攻击后，我们第一时间将0day漏洞的细节报告了Adobe官方，Adobe官方及时响应后在12月5日加急发布了新的Flash 32.0.0.101版本修复了此次的0day漏洞。

按照被攻击医疗机构的网站（ http://www.p2f.ru ） 介绍，该医疗机构成立于1965年，创始人是俄罗斯联邦总统办公室，是专门为俄罗斯联邦最高行政、立法、司法当局的工作人员、科学家和艺术家提供服务的专业医疗机构。由于这次攻击属于360在全球范围内的首次发现，结合被攻击目标医疗机构的职能特色，我们将此次APT攻击命名为“毒针”行动。目前我们还无法确定攻击者的动机和身份，但该医疗机构的特殊背景和服务的敏感人群，使此次攻击表现出了明确的定向性，同时攻击发生在“刻赤海峡”危机的敏感时段，也为攻击带上了一些未知的政治意图。

攻击者通过投递rar压缩包发起攻击，打开压缩包内的诱饵文档就会中招。完整攻击流程如下：

当受害者打开员工问卷文档后，将会播放Flash 0day文件。

触发漏洞后， winrar解压程序将会操作压缩包内文件，执行最终的PE荷载backup.exe。

通过分析我们发现此次的CVE-2018-15982 0day漏洞是flash包com.adobe.tvsdk.mediacore.metadata中的一个UAF漏洞。Metadata类的setObject在将String类型（属于RCObject）的对象保存到Metadata类对象的keySet成员时，没有使用DRCWB（Deferred Reference Counted, with Write Barrier）。攻击者利用这一点，通过强制GC获得一个垂悬指针，在此基础上通过多次UAF进行多次类型混淆，随后借助两个自定义类的交互操作实现任意地址读写，在此基础上泄露ByteArray的虚表指针，从而绕过ASLR，最后借助HackingTeam泄露代码中的方式绕过DEP/CFG，执行shellcode。

在漏洞的触发过程，flash中Metadata的实例化对象地址，如下图所示。

循环调用Metadata的setObject方法后，Metadata对象的keySet成员，如下图所示。

keySet成员的部分值，如下图所示。

强制垃圾回收后keySet成员被释放的内存部分，如下图所示。

在new Class5重用内存后，将导致类型混淆。如下图所示。

后续攻击者还通过判断String对象的length属性是否为24来确定漏洞利用是否成功。（如果利用成功会造成类型混淆，此时通过获取String对象的length属性实际为获取Class5的第一个成员变量的值24）。

通过进一步反编译深入分析，我们可以发现Metadata类的setObject对应的Native函数如下图所示，实际功能存在于setObject_impl里。

在Object_impl里，会直接将传入的键（String对象）保存到Metadata的keySet成员里。

Buffer结构体定义如下（keySet成员的结构体有一定差异）。

add_keySet中保存传入的键(String对象)，如下代码所示。

这个时候垃圾回收机制认为传入的键未被引用，从而回收相应内存，然而Metadata对象的keySet成员中仍保留着被回收的内存的指针，后续通过new Class5来重用被回收的内存，造成UAF漏洞。

在实际的攻击过程中，利用代码首先申请0x1000个String对象，然后立即释放其中的一半，从而造成大量String对象的内存空洞，为后面的利用做准备。

随后，利用代码定义了一个Metadata对象，借助setObject方法将key-value对保存到该对象中，Metadata对象的keySet成员保存着一个指向一片包含所有key(以String形式存储)的内存区域的指针。紧接着强制触发GC，由于keySet成员没有使用DRCWB，keySet成员内保存着一个指向上述内存区域的垂悬指针，随后读取keySet到arr_key数组，供后面使用。

得到垂悬指针后，利用代码立即申请0x100个Class5类对象保存到vec5（vec5是一个向量对象），由于Class5类对象的内存大小和String对象的内存大小一致（32位下均为0x30字节），且相关对象分配在同一个堆内，根据mmgc内存分配算法，会有Class5对象占据之前被释放的String对象的内存空间。

其中Class5对象定义如下，可以看到该Class5有2个uint类型的成员变量，分别初始化为0x18和2200(0x898)。

随后遍历key_arr数组，找到其中长度变为为0x18的字符串对象（在内存中，String对象的length字段和Class5的m_1成员重合），在此基础上判断当前位于32位还是64位环境，据此进入不同的利用分支。

接上图，可以看到：在找到被Class5对象占用的String索引后，利用代码将arr_key的相关属性清零，这使得arr_key数组内元素（包括已占位Class5对象）的引用计数减少变为0，在MMgc中，对象在引用计数减为0后会立刻进入ZCT（zero count table）。随后利用代码强制触发GC，把ZCT中的内存回收，进入后续利用流程。下面我们主要分析32位环境下的利用流程。

下面我们主要分析32位环境下的利用流程，在32位分支下，在释放了占位的Class5对象后，利用代码立即申请256个Class3对象并保存到另一个向量对象vec3中，此过程会重用之前被释放的某个（或若干）Class5对象的内存空间。

其中Class3对象的定义如下，它和Class5非常相似，两者在内存中都占用0x30字节。

可以看到Class3有一个m_ba成员和一个m_Class1成员，m_ba被初始化为一个ByteArray对象，m_Class1被初始化为一个Class1对象，Class1对象定义如下：

Class3对象占位完成后，利用代码立即遍历vec5寻找一个被Class3对象占用内存的原Class5对象。找到后，保存该Class5对象的索引到this.index_1，并保存该对象（已经变为Class3对象）的m_Class1成员到this.ori_cls1_addr，供后续恢复使用。

到目前为止，利用代码已经得到两个可以操纵同一个对象的vector(vec5和vec3)，以及该对象在各自vec中的索引(index_1和index_2)。接下来利用代码将在此基础上构造任意地址读写原语。

我们来看一下32位下任意地址读写原语的实现，从下图可以看到，借助两个混淆的Class对象，可以实现任意地址读写原语，相关代码在上图和下图的注释中已经写得很清楚，此处不再过多描述。关于减去0x10的偏移的说明，可以参考我们之前对cve-2018-5002漏洞的分析文章。

64位下的任意地址读写原语和32位下大同小异，只不过64位下将与Class5混淆的类对象换成了Class2和Class4。此外还构造了一个Class0用于64位下的地址读取。

以下是这三个类的定义。

利用代码借助任意地址读写构造了一系列功能函数，并借助这些功能函数最终读取kernel32.dll的VirtualProtect函数地址，供后面Bypass DEP使用。

利用最终采用与HackingTeam完全一致的手法来Bypass DEP/CFG。由于相关过程在网上已有描述，此处不再过多解释。32和64位下的shellcode分别放在的Class6和Class7两个类内， shellcode最终调用cmd启动WINRAR相关进程，相关命令行参数如下：

Adobe官方在12月5日发布的Flash 32.0.0.101版本修复了此次的0day漏洞，我们通过动态分析发现该次漏洞补丁是用一个Array对象来存储所有的键，而不是用类似Buffer结构体来存储键，从而消除引用的问题。

1、某次Metadata实例化对象如下图所示，地址为0x7409540。

2、可以看到Metadata对象的偏移0x1C处不再是类似Buffer结构体的布局，而是一个Array对象，通过Array对象来存储键值则不会有之前的问题。

3、循环调用setObject设置完键值后keySet中的值如下所示。

4、强制垃圾回收发现保存的ketSet中的指针仍指向有效地字符串，说明强制垃圾回收并没有回收键值对象。

PE荷载backup.exe将自己伪装成了NVIDIA显卡控制台程序，并拥有详细文件说明和版本号。

文件使用已被吊销的证书进行了数字签名。

PE荷载backup.exe启动后将在本地用户的程序数据目录释放一个NVIDIAControlPanel.exe。该文件和backup.exe文件拥有同样的文件信息和数字签名，但文件大小不同。

经过进一步的分析，我们发现PE荷载是一个经过VMP强加密的后门程序，通过解密还原，我们发现主程序主要功能为创建一个窗口消息循环，有8个主要功能线程，其主要功能如下：

线程功能：

主消息循环功能：

检验程序自身的名称是否符合哈希命名规则,如符合则设置自毁标志。

监控用户活动情况，如果用户有键盘鼠标活动则发送0x401消息给主窗口程序，唤醒创建注册计划任务线程。

取当前TickCount 进行比较，低位小于100则发送 WM_COPYDATA指令 主窗口循环在接收这一指令后，会休眠一定时间

解密程序中的时间字符串与当前系统时间进行比较，如果当前系统时间较大，则设置标志位，并向主窗口发送0x464消息（执行自毁）。

获取机器信息 包括CPU型号,内存使用情况,硬盘使用情况,系统版本,系统语言,时区 用户名,SID,安装程序列表等信息。

向 188.241.58.68 发送POST

连接成功时,继续向服务器发送数据包

符合条件时,进入RunPayload函数（实际并未捕获到符合条件的情况）

RunPayload函数

LoadPE

RunShellCode

1、首先拿到线程6中保存的AppData\Local目录下的NVIDIAControlPanel文件路径，使用该路径或者该路径的短路径与当前文件模块路径判断是否相同。

2、随后尝试打开注册表HKEY_CURRENT_USER下SOFTWARE\Microsoft\windows\CurrentVersion\Explorer\StartupApproved\StartupFolder。

3、查询当前注册表路径下NVIDIAControlPanel键值是否存在，如果不存在或者为禁用状态则设置键值为启用的键值02,00,00,00,00,00,00,00,00,00,00,00。

如果运行在system进程, 则弹出Aborting消息, 退出进程,并清理环境

并不断向 Windows Update窗口投递退出消息

其使用了三种不同的方式去拷贝自身文件：

(5ce34c0d-0dc9-4c1f-897c-daa1b78cee7c)

{3ad05575-8857-4850-9277-11b85bdb8e09}

创建批处理文件，拷贝自身来释放文件。

固定释放常驻后门: F951362DDCC37337A70571D6EAE8F122

检测的杀软包括F-Secure, Panda, ESET, Avira, Bitdefender, Norton, Kaspersky 通过查找名称和特定驱动文件实现

检测的杀软之后会执行自毁流程

判断系统版本后分别使用ITask和ITaskService 停止NVIDIAControlPanel这个计划任务

Win7以前采用ITask接口：

Win7和Win7以后采用ITaskService接口：

在完成后清理文件。

92b1c50c3ddf8289e85cbb7f8eead077

1cbc626abbe10a4fae6abf0f405c35e2

2abb76d71fb1b43173589f56e461011b

188.241.58.68

机场和航空公司首席信息官将网络安全视作投资重中之重，但如何更快实施具体的网络预防和管理举措仍是一项挑战。

据全球航空运输业 IT商务解决方案和通讯服务提供商 SITA发布的《2018年航空运输业网络安全洞察报告》显示，89％的航空公司首席信息官计划在未来三年内围绕网络安全制定重大计划，这一比例高于去年水平（71％）。机场的意愿更为积极，95％的机场计划在2021年前实施重大计划。超半数（57％）航空公司和机场管理人员的首要任务仍是通过保护运营系统和流程，确保服务品质和业务连续性。

随着关注度的提高，网络安全支出同比增加，2018年达到39亿美元。SITA报告显示，航空公司今年网络安全的平均支出占IT总预算的9％，高于2017年水平（7% ）。同样，2018年机场在网络安全的投资占比升至IT总预算的12％，高于去年水平（10％）。

SITA报告指出，许多高管都敏锐地意识到需要在实施积极的网络安全举措方面加大力度。

SITA首席执行官芭芭拉达利巴德（Barbara Dalibard）表示：“业界对于网络安全的重要性已达成共识，航空公司和机场正在投资建立稳固的安全基础。然而网络威胁的数量每年几何倍增长，其复杂程度亦是如此。鉴于航空运输业的复杂性和综合性，全行业需要更快地建立积极的防御措施，确保我们在这场角逐中占得先机。”

目前，航空公司和机场最普遍的网络安全支出优先项目是员工意识和培训（76％）; 实现监管合规（73％）以及身份识别和访问管理（63％）。SITA洞察报告指出了几个在未来几年内需要更多关注的重点领域，其中包括主动的网络监控和保护、保护相关企业（云服务、物联网）和防止数据泄漏等源自内部的威胁。

SITA报告还指出，可以采取更多措施来提高网络安全的重要性。目前，只有41％的受访者将网络安全作为全球风险记录的一部分； 42％的受访者计划在2021年将网络风险纳入记录。只有31％的受访机构拥有专门的首席信息安全官（CISO），对于网络安全可见性和有效实施至关重要。 通过安全运营中心（SOC）进行主动监控也是许多受访者的关注要点，大多数受访者计划快速实施此类服务。

实施的最大障碍是缺乏资源， 78％的航空运输业组织和机构受此影响。高管们面临的另一个重大挑战是保留和招聘专业技术人员（47％）以及员工培训能力（56％）。

In our last session, we talk about Cloud Computing Challenges . In this session, we will discuss Cloud Security. Along with this, we will study the risk and security issues in Cloud Computing. At last, we will discuss some precautions and encryptions.

So, let’s begins the Cloud Security Tutorial.

Cloud Computing Security Precautions & Risk of Cloud Computing

Cloud computing is integrating day by day and as it has been implemented in most of the companies the security requirement is increasing. Cloud Security means of the set of control based technologies which design to maintain the security and protect the information, data security and all the applications associated with it. Get out the security process also includes data backup and business continuity so that the data can retrieve even if a disaster takes place. Cloud computing process addresses the security controls which provide by the cloud provider to maintain the data and its privacy.

Do you know how Cloud computing works?

Cloud Computing provides storage to the organizations and the companies to store and process the data. There are ample amount of services can utilize by the organization as per their demand. Some of the services areSaaS,PaaS, andIaaS. There are two broad categories of Cloud Computing security concerns:

The problems associated with the clouds which are provided by cloud providers can eliminate with the help of tools. The cloud providers should continuously monitor this is so that the customers should not face any hindrance. However, a customer should also take responsibility to manage and secure the data in the cloud. The organization is equally responsible for the security and privacy of the data. The customer can also protect the data with the help of strong password and authentication measures.

Following are the risk of Cloud computing:

Risk of Cloud computing

In a cloud, there is a risk that the data can access by the unauthorized user as it can access from anywhere it is a need to establish it with certainty the identity of a user. A strong authentication and authorization should be a critical concern.

The cloud can access from anywhere and thus it leads to an increment in the risk. As there is a large number of users who are accessing the cloud the risk is quite high. So, interfaces which use to manage the public cloud resources should secure as their combination with remote access and web browser vulnerabilities.

The customer should inform with the delay which causes due to any detection reporting and subsequent management of security incidents. So there should be a proper management and the customer should be familiar with the fact.

Let’s explore What is Public Cloud?

The applications on the cloud protectwith a great security solution which based on physical and virtual resources. The level of security is high and the same level of security must provide to workloads which deploy in cloud services. There should centralize management across distributed workload instances

The personal data of the customer should secure as it is one of the important parts. Unavailability of the data can cause a major issue for both the customer and the provider. This problem can rapidly grow in case of multiple data transfer which will result in a lack of ownership transparency and will lead to a great loss.

There are several measures and controls in the Cloud security architecture which are found in the following categories:

This type of control strengthens to reduce the attacks on the cloud system. This system reduces the problem but does not actually eliminate vulnerabilities. It also prevents unauthorized access so that the privacy of the cloud is not disturbed. Due to this, cloud users are correctly identified.

Please type of control schedule attack on the cloud system by providing a warning sign which typically reduces the Third Level by informing the authorized person. If there is an unauthorized access it shows a warning message that there will be adverse consequences if they will proceed further.

These controls detect the incident which occurs. If there is an attack the detective control will inform the user to perform corrective control and address the issue. It also includes intrusion detection and prevention arrangements which are used to detect the attack which took place on cloud system by supporting the communication infrastructure.

Follow this link to learn Benefits of Cloud Operations

This control reduces the consequences of an incident by putting a halt on damage. It further restores the backup and rebuilds a system so that everything works correctly.

All the security measures are correct if the defensive implementations are properly processed. Cloud Security architecture should recognize the problems and should come up with a solution very quickly. With the help of these controls, the problems associated with the clouds should be diminished very quickly.

Encryption as a service provided by the host in which the data is encrypted and after the encryption, it stores in the cloud. This is an important part of cloud security and can benefit a lot.

So, this was all about Cloud Computing Security Tutorial. Hope you like our explanation.

欢迎收看最新一期的《不懂技术的政治人物》节目！我们的最新嘉宾是纽约市前任市长、特朗普总统现任网络安全顾问鲁迪朱利安尼（Rudy Giuliani）。

朱利安尼在一条推文里忘了在句号后面加空格，而上下句的首尾单词恰好连成了一个 批评特朗普的网站 。这本来已经足够令人尴尬了。不过，他现在又声称“Twitter 让某个人在我的文本中插入了一则令人厌恶的反总统信息”，这着实让他的网络智商在大家眼中跌成了负数。

搞不清楚眼前状况的朱利安尼抓住了一根救命稻草，即声称 Twitter 内部存在明显的反共和党偏见――特朗普和其他共和党人 经常拿着个说事 ，尽管他们 毫无证据 。

“他们（Twitter 员工）不是职业川黑就鬼了。”朱利安尼补充道。

Twitter allowed someone to invade my text with a disgusting anti-President message. The same thing-period no space-occurred later and it didn’t happen. Don’t tell me they are not committed cardcarrying anti-Trumpers. Time Magazine also may fit that description. FAIRNESS PLEASE

― Rudy Giuliani (@RudyGiuliani) December 5, 2018

“Twitter 让某个人在我的文本中插入了一则令人厌恶的反总统信息。我后来还有一次句号之后没加空格就没出这种事。他们不是铁杆特朗普反对者就鬼了。《时代》杂志也差不多。请保持公正！！

这个解释倒是简单。我们在这里再次重申，他现在的职务是白宫网络安全顾问。

Mueller filed an indictment just as the President left for https://t.co/8ZNrQ6X29a July he indicted the Russians who will never come here just before he left for Helsinki.Either could have been done earlier or later. Out of control!Supervision please?

― Rudy Giuliani (@RudyGiuliani) November 30, 2018

穆勒提出控诉趁着总统参加 G-20. 在 7 月份的时候，他也曾在总统前往赫尔辛基之前起诉那些永远不会来到这里的俄罗斯人。早一点或晚一点都可以起诉啊，简直是失控了！快来个人管管，好吗？

朱利安尼最初在 11 月 30 日发布的推文（如上）没有在句子之间加上空格，从而创建了一个指向 G-20.in 的超链接。一位眼尖的群众――据 BBC 报道，他是一位驻亚特兰大的营销总监，名叫杰森维拉兹克（Jason Velazquez）――点进了链接，并且发现它是空白的，于是他很快注册了这个域名，并创建了一个网站，在上面写上了朱利安尼所说的“一则令人厌恶的反总统信息”。

「特朗普是美奸卖国贼」：出现在朱利安尼推文中的 G-20.in 网站。

“当我意识到那个网址还可用的时候，我的心跳开始加速。我记得当时心想：‘这个家伙，朱利安尼，根本不懂是咋回事。’”委拉斯开兹在接受 BBC 采访时说，“我迅速上传了文件，在 Twitter 上公布了自己做的事，然后离开了我的公寓。”

朱利安尼最初的推文被媒体广泛报道，但他对这个话题做出的荒谬回应又让该网站得到了更多的媒体曝光。

截至太平洋标准时间 12 月 4 日 22 时 40 分，朱利安尼的两条推文仍然没有被删除。不过，从积极的一面来说，朱利安尼似乎搞清楚了如何通过回复之前的推文在 Twitter 上进行跟帖。

在此之前，朱利安尼也曾上演过另一幕 Twitter 喜剧，他对自己一则关于特朗普前任律师迈克尔科恩（Michael Cohen）达成认罪协议的推文进行了跟帖，但内容却很奇怪（如下）：

Kimim ° has f

― Rudy Giuliani (@RudyGiuliani) November 30, 2018

这则推文跟特朗普在去年发出的“covfefe”拼写错误倒是相映成趣。

题图来源：Tasos Katopodis / Getty Images（图片经过修改）

翻译：王灿均（@何无鱼）

Rudy Giuliani, a Trump cybersecurity adviser, doesn’t understand the internet

如今，越来越多的网站开始选择申请SSL证书对用户隐私和数据安全加以保护，而免费SSL证书的出现则让很多网站运营者偷着乐了一把。但这样的"免费午餐"是不是真的占到了便宜呢？

近年来随着https加密的普及，在我们的潜意识中早已形成了这样的认知：https可以防止"钓鱼"网站，网站有https标识就表明已经进行了https加密，可以放心地访问，甚至是输入账号密码等敏感信息了。但看到下面这个例子，你就会明白"免费午餐"不好吃也不能吃了。

上面这个Google链接看似很安全，也有https安全标识，但实际却是一个假冒谷歌Play商店的钓鱼网站。仔细观察，你会发现网址中包含两个".com"，而谷歌Play商店的真实网址是https://play.google.com/store。为什么"钓鱼"网站也能显示https？

权威CA机构天威诚信技术负责人提到，SSL证书是由数字证书管理机构（简称CA）签发的，为了提升SSL证书的普及率和自身产品市场占有率，部分CA机构也对外提供免费的SSL证书。当网站申请SSL证书时，通常会要求网站提交身份资质文件（如企业营业执照、组织机构代码证等），经过CA人工审核通过并支付一定费用后才可颁发。

而免费SSL证书往往通过程序自动匹配申请人或机构信息和所申请的域名信息，只要匹配一致就能获得证书，不需要人工审核。这类证书只能验证域名所有权，无法对组织进行验证，即无法验证服务器身份，因此留下了很大的安全漏洞和隐患。黑客只需验证域名信息就能轻松获得证书，从而为自己披上看似可信的外衣。而此时的https仍可起到加密传输的作用，但信息传输的目的却由真实网站的服务器变成了黑客的"钓鱼"服务器，信息加密也就如同皇帝的新衣，黑客抓取用户敏感信息就变得探囊取物般轻而易举。

除了黑客"钓鱼"的风险外，免费SSL证书在使用时还有诸多限制。比如：免费证书只能绑定单个域名、不支持通配符域名等。同样的，这类"免费的午餐"相关服务也会大打折扣，大多数免费的SSL证书都由用户自行安装，无法提供后期服务和技术支持，在证书遇到问题时，也无法及时得到解决。另外，某些品牌的免费SSL证书有效期过短，每三个月就要更新一次，到期后还要自己申请，很多用户很容易就会忘记续期。

在目前免费证书身份验证机制还不完善的情况下，出于对用户、网站自身安全的考量，管理员应避免使用免费SSL证书，尤其是大型企业或机构网站、涉及用户隐私及金融交易的电商类平台更不能选择"免费的午餐"。比如网站安装了Digicert/Symantec颁发的OV型SSL证书，当你点击地址栏中的锁型图标时，显示网站身份经DigiCert认证，说明该网站证书、身份真实可靠。

总的来说，免费SSL证书虽然申请流程简单，但仅支持加密功能，无法验证服务器身份，由此引发的潜在威胁较大，并不建议企业机构采用。

在选购付费SSL证书时，应尽量选择天威诚信这类权威的CA机构。这些经过国家认可的CA机构，是负责发放和管理数字证书的权威机构，并作为电子商务交易中受信任的第三方，承担公钥体系中公钥的合法性检验的责任。而选择免费证书的用户，常常在对密钥的保存和后续的维护、更新、赔偿等服务中遭遇问题。因此，选择一个具有技术支持能力、拥有完善服务体系、具备良好市场信誉度和口碑的CA机构就显得尤为重要。需要强调的是，https网站的整体安全性依然远高于非https网站，而大型网站一定不要选择"免费"午餐，用户在访问网站时也一定要仔细辨别SSL证书，这样才能更有效的保障隐私安全。

【本文版权归存储在线所有，未经许可不得转载。文章仅代表作者看法，如有不同观点，欢迎添加存储在线微信公众号（微信号：doitmedia）进行交流。】

By Mikey Campbell

Wednesday, December 05, 2018, 08:14 pm PT (11:14 pm ET)

Apple's latest Safari Technology Preview includes support for the WebAuthentication API, which allows users to validate website login credentials via hardware security keys that typically come in the form of a USB stick.

According to release notes covering Apple's Safari Technology Preview version 71, which was released on Wednesday alongside iOS and macOS software updates , the new WebAuthn capability supports USB-based CTAP2 devices.

Developed by the World Wide Web Consortium (W3C) and the FIDO Alliance, WebAuthn is an effort to standardize and enhance the user authentication process across various systems and online gateways. The specification Apple is testing ― Client-to-Authenticator Protocol 2 ― is a product of the wider FIDO2 standard that enables hardware-backed authentication across the web.

USB-based CTAP2 devices, also known as authenticators or USB security keys, grant a higher level of protection than simple text-based passwords. Instead of relying solely on text-based passwords, which can be stolen or forgotten, the system introduces a physical hardware component into the mix.

Some solutions that rely on the technology require another form of authentication alongside the authenticator. Depending on the system, authentication might involve biometrics, location information, time stamps or password re-entry, among other safeguards. The end result is a strong, multi-factor security protocol that can be deployed across multiple compliant platforms with relative ease.

As noted by CNET , which reported on the Safari Technology Preview earlier today, FIDO2 also supports Bluetooth and near-field communications for hardware authentication, though the current Safari test build is restricted to direct USB connections. The limitation means users will need to insert a security key into their Mac when accessing sites that support CTAP and CTAP2, like Dropbox and Twitter.

WebAuthn in Safari is considered an "experimental feature," though it could show up in a future version of Apple's web browser.

最近，根据一项针对应用程序漏洞的调查研究显示，软件中高危漏洞的涌现速度，要比企业安全团队所能对其进行响应的速度更快，这项研究提醒我们， 网络犯罪分子的目标仍然是过时软件，而这些软件一般不太可能在软件修复过程中被优先考虑。

作为Tenable最新《漏洞情报报告》（VIR）的一部分，对常见漏洞和CVE数据库的审查结果发现，2017年全年共报告了15,038个新漏洞，此外，与去年同期相比，今年上半年的漏洞新增率增长了27％。

这一增长率意味着，今年一整年可能会发现超过 18,000 个新漏洞――并且大约 61% 的已发现漏洞已被评级为“高危漏洞”，企业应用程序管理者必须优先考虑在960个资产上平均每天修补870个CVE。

该报告指出，管理漏洞是一项规模、速度和数量等多重挑战并存的任务。它不仅仅是一项工程挑战，还需要一种“以风险为中心”的观点来优先考虑表面上看似相同的数千个漏洞。

Tenable公司的分析报告警告称，即便企业只能解决严重风险评级的漏洞――严重程度为9.0-10.0的漏洞――他们仍然不得不在年底前处理900多个此类漏洞（高危漏洞占据全年发现新漏洞总数的60%以上）。

此外，Tenable还发布了Top20漏洞排行，凸显了在实际网络扫描中最常见的漏洞类型。其中一些是专门针对应用程序的，而另一些则是继续使用过时的协议：例如，27%的企业仍在使用旧的和不安全的SSLv2和SSLv3版本运行服务。

报告显示，红帽企业版linux（Red Hat Enterprise Linux，简称RHEL）具有最高风险等级的漏洞，Orace Linux 和Novell SUSE Linux风险水平差不多，CentOS Linux几乎与微软操作系统风险水平相当。

Mozilla的Firefox浏览器在高危CVE中的比例最高，而Adobe和Google的曝光率也是受到了高危问题的影响。

令人担忧的现实是，猖獗而持续存在的漏洞问题，不仅会对企业本身构成严重威胁――网络犯罪分子针对制造业和媒体组织等部门的攻击行为越来越具有破坏性，且未修复的漏洞也可能会使企业腹背受敌――还可以被攻击者用于向附属企业发起“跳板攻击”，进一步扩大受灾面。

根据Carbon Black（一家事件响应和威胁狩猎公司）最近发布的《季度事件响应威胁报告》（QIRTR）指出，在分析的所有攻击事件中，有一半涉及上述的“跳板攻击”（island hopping），此外，30%的受访者认为受害者网站被转变为“水坑”，其中受到攻击的网络被用于攻击网络中的关联企业。

这就意味着，不仅贵公司的数据会面临风险，您的客户、合作伙伴以及供应链中其他任何一方的数据都会面临同样的威胁。

Carbon Black公司还发现，一些使用率和安装率较高的工具通常都能为攻击者提供横向移动的能力。其中89%的受访黑客称PowerShell在该方面十分好用，65%的受访者则习惯利用WMI工具。

如今，无处不在的此类工具正在通过常用的应用程序进一步推动外部攻击。根据Tenable Top 20漏洞榜单揭示，最常见的漏洞是CVE-2018-8202，这是一个影响Microsoft应用程序的.NET Framework特权提升漏洞 在接受扫描的32％的企业环境中都可以找到此类漏洞。

此外，在接受扫描的至少28%的企业环境中，还发现了Google Chrome基于堆栈的缓冲区溢出漏洞，Microsoft Internet Explorer VBScript漏洞，可用于获取提升权限的Oracle Java DB漏洞；以及Microsoft .NET Framework漏洞，该漏洞可被用于绕过该平台的Device Guard框架。

https://www.tenable.com/cyber-exposure/vulnerability-intelligence

Washington, D.C., December 4, 2018- Five years ago, the National Security Agency (NSA) released 136 issues of its internal Cryptolog periodical spanning 1974 through 1997. The collection offered a look into the some of the discussions being held within one of America’s most secretive intelligence agencies. Today the GWU-based National Security Archive is providing a complete index of all 1,504 items in the declassified collection, including but not limited to articles, interviews, and puzzles.

By simply scanning article titles (see below) one can observe the shift in language as the NSA’s institutional grounding in cryptology and linguistics adjusts to accommodate and leverage developing information technology. As early as 1977, Cryptolog asks “What is an Information Research Analyst?” and argues that information science is underutilized by the agency. The following year the topic of data security is considered , only in terms of user and maintenance errors. By the mid-1980s writers give attention to the impact of the “Computer Age” on the field of intelligence analysis and highlight packet-switching networks in the Soviet Union . A series of educational articles on the UNIX shellbegins in 1984, seeking to raise awareness of the tool among analysts.

The publication also serves as a venue for organizational reflection. Conflict between linguists and cryptanalysts over promotions and pay scales rages in the pages of Cryptolog for two years, and a four-part series (1 2 3 4) on the agency’s intern program is published in 1974. The publication also brought points of levity with appropriately vexingbrainteasers for cryptanalysts and a short-livedbloopers feature.

This index was produced in hopes of encouraging and facilitatinghistorical research into the NSA’s evolution through, and consideration of, the information revolution.

近期的一项研究表明，全球范围内绝大多数的ATM自助提款机都存在安全隐患，攻击者可在30分钟之内成功入侵这些ATM机并直接提现。

现在，很多网络犯罪分子为了从ATM机中窃取现金，他们会尝试各种各样复杂的网络攻击方式（例如物理访问或远程访问等等）来入侵银行的网络系统。

前不久就发生过一次 针对ATM机的攻击事件 ，在此次事件中，攻击者使用了一种新型的SMS短信钓鱼攻击技术来诱使目标用户在钓鱼网站中交出了他们的银行账号凭证，在拿到用户账号凭证之后，攻击者就可以直接从 支持无卡取现的ATM机 上直接提款了。

美国特勤处还警告称，除了上述攻击技术之外，现在还有一种新型的ATM机攻击技术，这种技术的攻击代号为“Wiretapping”，主要针对的是各大银行金融机构。在攻击过程中，攻击者会在ATM机上打一个小孔，然后直接从ATM机的内置读卡器中直接窃取用户数据。

除此之外，攻击者还会尝试像ATM机系统注入类似Alice、Ripper、Radpin和Ploutus这样的ATM机恶意软件，而且这些恶意软件都可以直接在暗网市场上直接获取到。

PT Security的研究人员对目前全球市场上的26款不同型号的ATM机进行了深入的安全分析测试，并根据以下四类安全问题对这些ATM机进行了安全性归类：

为了成功入侵ATM机网络，攻击者需要向银行网络系统注入伪造流量，并直接攻击网络设备。

攻击者在攻击ATM并成功提现时，主要利用的安全缺陷有两类。第一种是直接从ATM机上取钱，第二种是当用户在ATM机上取现时，通过复制卡片数据来窃取用户的支付卡信息。

一开始，网络攻击是远程入侵银行网络系统最常用的方式，而这些银行系统会和ATM机连网。在这种攻击场景下，攻击者只需要大约15分钟的时间，就能够通过物理访问或远程访问的形式入侵ATM机网络，而且当前市面上85%的ATM机都会受到这种攻击方式的影响。

在这种攻击场景下，如果ATM机和支付数据处理中心之间的网络链路存在安全风险的话，攻击者将能够修改用户的交易数据以及交易确认过程。当ATM机向交易处理中心发送交易信息时，攻击者将能够以中间人的形式修改用户请求。

这种情况适用于ATM机与交易处理中心之间的通信数据没有进行加密或VPN保护设置不当的场景，如果在进行交易请求和响应的过程中没有使用消息验证码的话，攻击的成功率将会更高。据统计，目前全球市场上有27%的ATM设备无法抵御这种攻击。

攻击者可以通过在目标网络中执行远程代码来利用系统中存在的网络服务漏洞，如果能够成功入侵，攻击者将能够关闭银行网络系统的安全防护系统，这样不仅能够关闭安全警报，而且还可以防止银行修复ATM设备的安全漏洞。

这种攻击场景大部分针对的是没有正确部署防火墙系统、使用过期软件或安全系统存在错误配置的银行机构，目前全球市场上有58%的ATM设备将会受到这种攻击方式的影响。

ATM机要与交易中心通信，就必须要有网络设备的接入，如果攻击者能够入侵这些网络设备的话，他们就能够拿到ATM机的完整控制权，并通过远程命令执行来在目标ATM机上提现。根据研究数据，目前全球市场上有23%的ATM设备将会受到这种攻击方式的影响。

在这种攻击场景中，网络犯罪分子会直接在ATM机上钻孔，并访问到设备链路电缆，此时他们就可以拿线路接入自己的攻击设备，并通过发送命令来提现。。令人震惊的是，目前市场上有63%的ATM机无法抵御这种攻击。

除了上述攻击方式之外，攻击者为了获取到ATM机的完整控制权，他们会尝试绕过安全防护系统并连接ATM的硬盘，如果硬盘驱动器没有加密，那么攻击者就可以直接植入恶意软件，并实现取款。除此之爱，攻击者还可以从硬盘中提取敏感文件，并将其用于后续攻击活动中。在所有参与测试的ATM设备里，有92%的设备会受到这种攻击的影响。

*参考来源： gbhackers ，FB小编Alpha_h4ck编译，转载请注明来自CodeSec.Net

根据Sophos对2018年网络威胁研究显示：黑客通过手动操作，逐步深入目标网络的“互动式攻击”日益流行。黑客们通过现成的windows系统管理工具进入目标系统进行窃取敏感信息和进行网络勒索;通过流动的恶意软件感染手机、平板电脑和其他物联网设备并作为大型僵尸网络攻击的节点。这使终端检测与响应(EDR)成为更为必要和关键的防御措施。

然而这对企业来说并不是一件容易的事，“在端点上的防病毒软件报告出一个病毒，但IT主管并不知道它从哪里来，对整个系统的影响是什么，同样不知道如何处理它;每天产生的大量威胁，有的只需要做正常的维护，有的则需要认真分析和根据经验再决定下一步的处理措施。这很大程度上依赖IT主管的专业水平和丰富的经验;还有一些意外的反应则需要更多的人力和时间来应对处理。 Intercept X Advanced 新增的EDR将与SophosLabs的研究数据库相连，利用人工智能的技术侦测、发现、预警、处置这些网络威胁，通过完整地还原整个攻击链，让管理员能够快速响应威胁，整个处理过程更加简单。”Sophos大中华区的董事总经理潘自强这样表示。

经过30年的积累，SophosLabs拥有了数以亿计的分析样本。“并且我们每天追踪、分析400000个独特且前所未见的恶意软件攻击，持续搜寻创新的攻击模式与网络犯罪技术，利用深度神经网络技术在3-5分钟就可以反馈出IT主管所提交的威胁处于怎样安全的等级。“Sophos华北区销售工程师杨帆表示，“安全防护不仅需要IT主管的经验，我们还给他提供了很好的工具，EDR能完整地重现整个攻击链，根据智能分析告诉你可以文件来自哪里，会影响到哪些文件。以前没有这样的工具IT主管很难分析这些文件到底将如何处理，我们到底要删除还是保留。“

利用可视化的危险警示让管理更为简单。通过一个一目了然的界面，将这个威胁的”画像“呈现在IT主管面前：内网出现了哪些可疑的程序，这个程序是更加接近已知的恶意程序还是更加接近于已知无风险的程序。并且通过无签名、未知的包、微小代码段、无图标、使用加密等多个维度来分析这个程序所处的风险等级。并且EDR监管内网所有程序与已知超过5200万的无风险程序和6100万个已知恶意程序代码相似度的描述。这些都增加了IT主管对所运行的应用程序的风险的快速评估。

对于一个威胁处理也更为简单，只要通过一个按钮就可以处置，在程序违规操作前停止该程序。降低了整个内网的威胁风险。“这样降低了对IT主管在安全技术上的依赖，即使们的技术水平各有不同，都可以通过SophosLabs轻易获取第一手的数据，通过SaaS形式交付，突破了传统的边界，使得你的电脑或者移动设备在任何地方，只要能上网都是可控可管，并以实时确定自己的系统是否受到攻击，以及攻击的类形。”杨帆这样表示。

这对中小企业是个尤为重要的有利因素。企业不必花大量财力去请昂贵的安全专业人士，通过SophosLabs的知识积累来弥补企业人力、能力上的不足。“原来大型企业才能用到的端点防护产品现在20-30人的企业也能用起来。”潘自强表示，“为了扩大Intercept X Advanced EDR的覆盖面，将进一步贾青合作伙伴特别是对总代理的投入，并且欢迎更多的渠道合作伙伴的加入。”

网络安全风险已成为当下不可忽视的潜在隐患。11月30日，万豪国际集团(以下简称“万豪”)官方微博发布声明称，该公司旗下喜达屋酒店的客房预订数据库被黑客入侵，在2018年9月10日或之前曾在该酒店预订的最多约5亿名客人的信息或被泄露。事件一出便引起高度关注，同时，万豪的巨额赔偿金也引起众多企业对网络安全保险的关注。今年以来，国内多家保险公司正在这方面进行布局。

据了解，此次事件共牵涉5亿人次，其中3.27亿人次外泄的信息涵盖了姓名、电话、护照等，数据泄露的规模体量在全球互联网领域都属少见。而且，部分入住者的信用卡支付卡号同时泄露，一旦信息被解码，还将给入住者带来不可估量的财产损失风险。12月3日，万豪因此事遭遇集体诉讼，索赔金额高达125亿美元。

安达保险网络安全风险负责人陈星表示，全球网络安全风险不容小觑，今年早些时候，全球知名网络安全监测机构安恒安全研究院宣布全球有超过9万台机器被利用曝光的黑客工具植入后门;同时，安达保险根据全球网络安全险运营得出的结论更提示，全球网络风险正在出现新的趋势，即中小企业的网络风险正在不断攀升，危害性由于事件的频繁发生也在不断扩大。

实际上，网络攻击、数据泄露事件频繁发生，遭受网络攻击的企业往往会面临巨额的经济损失和声誉风险。为了保证自身网络系统的稳定运营，企业对自身网络安全的重视度和关注度也在不断提升。相关数据显示，2014-2017年期间，全球各企业在日常网络安全防御上的平均投入就高达70万美元。

北京商报记者了解到，在目前网络安全事件的风险度正在不断攀升的情况下，险企也已开始布局这一领域，但数量并不多。据悉，国内首批提供互联网安全保险的险企是美亚保险和安联财险，两家公司都在2015年推出相关产品。2016年，安达保险也在中国推出了全新的网络安全产品。今年9月，人保财险与360企业安全集团推出网络信息安全保险产品;此外，平安财险、众安保险、阳光财险也在此领域有所布局。

从相关产品的条款来看，网络安全保险产品最基本的承保范围一般包括敏感数据外泄、黑客入侵、计算机病毒、雇员恶意破坏数据或处理数据失当、数据盗窃、网络保安系统失效、计算机系统事故所引发的第三方索赔或导致的业务中断，以及网络勒索相关赎金的保障。

而目前，致力于网络安全保险的险企也在不断升级相关产品，如人保财险便模拟了“十大网络风险场景”，除去常见的数据泄露、勒索病毒等风险场景外，还对“网络欺诈犯罪和社会工程学犯罪行为”、“企业或其服务供应商自身操作失误导致被保险企业系统故障造成营业中断”、“网络恐怖主义事件”等新兴风险场景进行保障。

此外，安达保险的网络安全产品，可以为企业解决企业自有损失，还可以提供取证调查、危机公关、法律咨询、通知费用、系统宕机的支出等。从理赔流程来看，在发生风险事故后，企业可与安达保险取得联系，在企业同意的前提下，将事故详情发送给理赔团队，进行理赔，并且可选择安达保险筛选的，包括计算机调查取证专家、公共关系专家、法律顾问、防欺诈专家等组成的专家团队，进行配合解决相关问题。

陈星表示，尽管目前网络风险事件频频发生，但是国内企业在网络安全的投入不到3%，而欧美成熟企业每年网络安全投入占整体IT投入大约10%。与此同时，2020年网络安全市场的产值将达到1700亿美元，且将保持至少10%-15%的年增长率。

业内人士指出，去年6月1日《网络安全法》正式颁布后，其中对于运营商如何及时向用户告知安全缺陷、漏洞等风险有了具体规定，这对网络安全是很大的提升和保障。尽管如此，国内企业目前通常没有动力主动公布相关安全事件，所以网络和信息安全方面的保险相对落后，除了金融、运营商、政府和能源等行业的大型企业有安全需求外，很多中小企业没有部署安全机制，也没有经历过安全风险事件，也没有动力去谈网络保险。

2017年5月，代号为petya的新一轮超强电脑病毒正在包括俄罗斯、英国、乌克兰等在内的欧洲多个国家迅速蔓延，有机场、银行及大型企业报告感染病毒，而腾讯安全团队表示国内已有用户中招。报道称，这轮病毒的攻击性足以与5月份席卷全球的勒索病毒相提并论。

2017年5月中旬，一种名为WannaCry的勒索病毒对全球150多个国家和地区的逾30万部电脑系统发动攻击，引发了全球警惕和关注。当时受这一消息刺激，A股市场的网络安全概念股纷纷暴涨。

近日，国内出现了要求微信支付赎金的勒索病毒，入侵用户电脑后会加密用户文件，但不收取比特币，而是要求受害者扫描弹出的微信二维码支付110元赎金，获得解密钥匙。

勒索病毒攻击不是一次两次的事件了，之前的熊猫烧香、再到后来的永恒之蓝都显示出国内互联网飞速发展下的安全弊端，这次勒索病毒盯上了两大移动支付巨头(腾讯、阿里)，网络安全板块将迎来风口!

一、盯上了两大移动支付巨头(腾讯、阿里)

腾讯安全管家表示，12月1日起接到若干用户求助，遭遇勒索病毒攻击。据查，该新型勒索病毒通过加密电脑上的doc、jpg等常用文件，然后利用微信支付二维码进行勒索赎金(要求受害者扫描弹出的微信二维码支付110元赎金)，获得解密钥匙。

该病毒还窃取用户的各类账户密码，包括淘宝、天猫、阿里旺旺、支付宝、163邮箱、百度云盘、京东、QQ账号。

两大巨头应对：微信昨天表示，已第一时间对所涉勒索病毒作者账户进行封禁、收款二维码予以紧急冻结。微信用户财产和账户安全不受任何威胁。

支付宝称目前没有一例账户受到影响:支付宝安全中心表示，已第一时间跟进，目前没有一例支付宝账户受到影响。针对此类风险，支付宝风控系统早有针对性的防护，包括二次校验短信校验码、人脸识别等。即便密码泄露，也能最大程度地确保账户安全。

二、什么是勒索病毒

勒索病毒，是一种新型电脑病毒，主要以邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害极大，一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密，被感染者一般无法解密，必须拿到解密的私钥才有可能破解。

据"火绒威胁情报系统"监测和和评估，从2018年初到9月中旬，勒索病毒总计对超过200万台终端发起过攻击，攻击次数高达1700万余次，且整体呈上升趋势。

三、目前网络安全行业现状

网络安全包含的内容是十分广泛的，比如移动互联网恶意程序、网站后门攻击、安全漏洞、木马、僵尸网络、网页仿冒和篡改、电信和网络诈骗、邮件攻击等等。

从保护的对象来看，网络安全可分为实体安全、运行安全和信息安全三个方面。

根据IDC的预测，中国网络安全市场的增速快于全球的增速，并且增长速度有加快的趋势。目前网安产品和网安服务的比重大约是3:1，服务的占比有提升的趋势。2019年我国信息安全市场总体规模有望达到48.22亿美元，2014至2019年的年均复合增长率为16.6%。可见，中国网安市场加速增长的这一趋势是较为确定的。

四、投资标的有哪些?

在网安企业的布局中，我们认为有三种标的是可以重点关注的。第一种是业绩确定性强的行业白马龙头;第二种是具有自主可控以及国产化替代的企业;第三种是服务于政策面上的金融、能源、电力、通信、交通等重点行业的企业。可以关注。

1、启明星辰：国内信息网络安全行业龙头，主要产品类别为安全网关、安全检测、数据安全与平台、安全服务与工具、硬件及其他。

公司拥有代表国内最高水准的技术团队，包括积极防御实验室(ADLab)、网络安全博士后工作站、研发中心、安全运营中心、安全咨询专家团(VF专家团)、安全系统集成团队等，构成了公司重要的核心竞争力。

2、美亚柏科：公司是国内电子数据取证行业的龙头企业，主要围绕执法部门打击犯罪及政府网络空间社会治理提供产品和服务。

公司主营业务由“四大产品+四大服务”体系构成，四大产品包括电子数据取证、视频分析及专项执法装备、网络空间大搜索产品及大数据信息化平台;在四大产品的技术基础上衍生发展出存证云+、搜索云+、数据服务和信息安全服务四大服务体系。

中新网北京12月6日电 (记者 肖欣)一份新近发布的互联网发展状况安全报告显示，亚太地区企业机构每年因网络安全攻击遭受数千万美元损失，恶意攻击的行业遍布金融服务、零售、电子商务、旅游和酒店、媒体、游戏等行业，数以十亿计的数据面临安全威胁。

独立研究机构Forrester Wave新近发布的报告中，阿卡迈技术公司在网络安全和工作负载安全标准方面获最高分，被认定为“零信任”表现优异者。阿卡迈公司高管近日接受中新网记者采访，就企业数字化转型中的安全性、灵活性提出建议。

对正在经历数字化转型的企业而言，核心价值是数据，阿卡迈中国区企业事业部总经理何铭表示，全方位保护数据已经上升为很多企业战略层级的需求。

然而网络安全发展的态势却不尽如人意，“网络攻击更加容易，规模也越来越大。”阿卡迈亚太及日本地区副总裁暨总经理Graeme Beardsell举例说，欧洲某航空公司有5000万用户数据被藏匿于组织内部的攻击源窃取，另一家航空公司也被黑客通过爬虫大量窃取了用户数据，“安全态势愈发严峻，所有企业都更加需要防范无处不在的网络攻击。”

Graeme指出，仅靠传统的数据中心或者传统的对云的防护不足以抵御更复杂、更大规模、更隐匿的网络安全攻击，可利用“边缘计算技术”进行弥补。

与云计算相比，边缘计算技术是指在地理上靠近最终数据源头的位置进行计算的新型计算模式，边缘的架构更多地由已经部署在物理边缘位置的技术所驱动。

Graeme表示，首先，边缘技术能够解决流量爆发带来的数据拥塞问题。未来企业数字化转型、互联网视频、线上购物等都可能需要边缘模式支撑。以视频为例，阿卡迈预计，视频流量带来的互联网流量很快将有100倍的爆发式增长，互联网的骨干网会变得“更加拥塞”，而此时分布在边缘的处理器就能提供更大冗余处理能力。

第二，边缘技术有助于帮助企业应对比以往规模更大、复杂性更高的网络攻击。Graeme指出，随着越来越多的企业向云计算转型，在这些企业将核心关键应用和关键业务数据迁移到云的过程中，有可能丢失很多对安全防护的控制。而边缘技术可以帮助企业把所需的安全防御和控制拓展到云的边界，包括在应用层面、DDoS流量层面和爬虫层面。他表示，未来的安全防护将是“云安全与边缘安全互补”的解决方案。阿卡迈大中华区企业事业部高级售前技术经理李文涛也指出，未来物联网终端设备的端点无论是在硬件、软件设备上，还是在后端的支撑计算、存储、数据库云的基础设施上，都要有安全部署，形成深度防御和多层次防御。

第三，边缘技术有助于帮助“出海”企业在陌生环境下实现安全防御。阿卡迈区域副总裁暨大中华区总经理李f表示，目前很多“出海”企业在基础设施薄弱、并不具备完善网络的国家自建网络技术中心面临困难。此时，利用已经部署在当地的分布式网络“边缘节点”将成为快速抵达最终用户和抵御大规模网络攻击的高效手段。(完)