哈薩克對所有 HTTPS 流量發動中間人攻擊

安华金和發表於2019-07-20

從 7 月 17 日開始,哈薩克發出通知要求所有裝置所有瀏覽器安裝來自政府的 Root CA(qca.kz),這意味著該國 ISP 可以對所有 HTTPS 加密流量發動中間人攻擊。

HTTP 是明文傳輸,ISP 可以實時檢視傳輸的內容,可以隨時向 HTTP 流量插入資訊比如廣告;HTTPS 加密了客戶端和伺服器端之間的連線,使得 ISP 無法獲悉傳輸的內容,但利用 Root CA 它可以偽造證書,解密加密的流量,發動中間人攻擊。

使用者呼籲瀏覽器開發商如 Mozilla 和 Google 將哈薩克的 Root CA 加入到黑名單拒絕接受它的證書。已有證據顯示,qca.kz 簽發了 Facebook 的證書。

來源:solidot.org

更多資訊

商務電子郵件洩密事件頻發 平均每月損失 3 億美元

金融犯罪執法網路(FinCEN)對過去兩年發生的BEC事件進行了統計,確認了最常見的目標型別、竊取資金的目標預期以及詐騙者所使用的技術。根據FBI網際網路犯罪投訴中心(IC3)提供的《Internet Crime Report》報告,顯示BEC詐騙已經成為網路犯罪的主要攻擊方式。

來源: cnBeta.COM
詳情: https://www.dbsec.cn/zx/20190720-1.html

谷歌上調 ChromeOS / Chrome 漏洞賞金額度 最高達 15 萬/ 3 萬美元

谷歌表示,自 2010 年 Chrome 漏洞獎勵計劃建立以來,人們已經報告了超過 8500 個漏洞,谷歌已經為此支付了超過 500 萬美元。

來源:cnBeta.COM
詳情: https://www.dbsec.cn/zx/20190720-2.html

報告:93% 的成人網站向第三方洩露使用者瀏覽資料

據 zdnet 報導,在本週發表的一篇研究論文中,學者們分析了 22484 個成人網站,發現有93%的網站向線廣告商或網路分析提供商等第三方洩露資料。據悉,獲取這些使用者瀏覽習慣和偏好的公司包括:谷歌、甲骨文、Facebook、Cloudflare以及成人行業的廣告商。

來源: ChinaZ 站長之家
詳情: http://www.dbsec.cn/zx/20190720-4.html 

上海破獲一起假冒招考熱線網站非法獲取公民資訊案

隨著“淨網 2019”專項行動的深入開展,上海公安機關加大對侵犯公民個人資訊等網上違法犯罪的打擊力度。2019 年 7 月 8 日,上海市公安局破獲一起假冒“上海招考熱線”網站非法獲取公民資訊案,抓獲犯罪嫌疑人徐某某。同時,上海市網信辦依法關閉假冒“上海招考熱線”網站和微信公眾號。

來源: 警民直通車-上海
詳情: http://www.dbsec.cn/zx/20190720-5.html 

(資訊來源於網路,安華金和蒐集整理)

哈薩克對所有 HTTPS 流量發動中間人攻擊

訂閱“Linux 中國”官方小程式來檢視

相關文章