行業資訊 2015年3月25日 第83期 3版-------天河IT外包

來源: admin   發布時間: 2015-03-30   1355 次瀏覽   大小:  16px  14px  12px

      

 

 

   本期看點:


  第一版:藍光光盤也能植入惡意木馬


  第二版:小家電抽檢,結果觸目驚心!

  第三版:男子700元買部iPhone6,拆開后傻眼了



  第一版

 

藍光光盤也能植入惡意木馬

 

科捷電腦?實時把握行業動態,輕松了解世界資訊,我們是信息的傳遞者。
關注“科捷電腦”,看看如何獲得我們為您提供的免費電腦維護服務。

 

  

資料來源:IT之家




近日,英國安全研究人員Stephen Tomkinson發現兩個基于藍光光盤的攻擊方法,通過將惡意文件存植入到藍光光盤中,在光驅轉動時讀取光盤中的惡意代碼發起感染電腦、網絡攻擊等惡意活動。


日前,NCC集團安全專家Stephen Tomkinson在播放藍光光盤的軟件上發現了兩個漏洞,利用這些漏洞可以將木馬植入到使用受影響設備的電腦上。


Tomkinson在周五蘇格蘭Abertay大學的Securi-Tay會議上展示了這種基于藍光光盤的攻擊。Tomkinson制作了一個藍光光盤,利用此光盤可以檢測光盤播放器的類型,使用其中的一個漏洞利用代碼可以為主機上的木馬提供惡意服務。


漏洞介紹

第一次,他依靠一個粗糙的Java實現,在一款訊連科技的產品PowerDVD中發起攻擊。PowerDVD用在個人電腦上播放DVD光盤、藍光光盤等,并使用大量Java、藍光光盤Java(BD-J)創建顯示菜單、游戲等豐富內容。許多電腦供應商的Windows系統電腦中默認安裝了PowerDVD,包括宏碁、華碩、戴爾、惠普、聯想、東芝。


藍光光盤的Java使用一個名為“xlets”的小應用程序來實現接口功能,盡管它們被禁止訪問計算機資源,但在PowerDVD中發現的一個漏洞則使得我們可以繞過沙箱來運行惡意代碼。正是這個原因,使得別有用心的人可以利用這一點繞過Windows系統的安全控制。


第二個漏洞會影響一些藍光光盤播放器的硬件,這種攻擊需要依靠由黑客Malcolm Stagg開發的一個利用代碼,該代碼利用了從外部USB設備中啟動調試代碼的特點,使得攻擊者有機會獲取到藍光光盤播放器的root訪問權限。


Tomkinson寫了一個xlet來回放TCP數據流,它利用一個運行在目標電腦上名為“ipcc”的客戶端程序,可以從藍光光盤中啟動一個惡意文件。


基本上,研究人員已經成功地將可執行文件植入到了藍光光盤中,并使惡意代碼在光盤啟動時自動運行,即使自動運行功能默認禁用也能做到。


研究人員在發表的博文中陳述道:

“通過結合藍光光盤播放器中存在的不同漏洞,我們已經創建了一個特制光盤,利用該光盤可以檢測光盤播放器的類型,并能夠做到在播放光盤中視頻之前,從光盤中啟動針對特定平臺的可執行程序。這些可執行代碼可以被攻擊者用來提供一條接入目標網絡的隧道,或者提取目標系統的敏感文件。”


針對Tomkinson的攻擊,研究人員也提出了一些改進措施,例如,可以利用相應技術來識別系統主機,然后執行對應該主機特點的利用代碼,以隱藏該惡意活動,或者可以讓藍光光盤先執行惡意代碼,然后再播放光盤中的正常內容。


目前,NCC集團已聯系供應商來解決這個問題,但仍在等待對方回復。

類似攻擊事件

本文中提到的攻擊讓我們想到了攻擊組織“方程式”(Freebuf相關報道)曾經使用的攻擊技術,即他們入侵休士頓舉行的一次科學會議參與者電腦時所使用的方法。當時,會議參與者會接收到一個含有會議資料的CD-ROM光盤,同時該光盤中還隱藏有一些0day漏洞的利用代碼,包括一個名為“Doublefantasy”的高危后門代碼。


科普:什么是藍光光盤?

藍光光盤(Blu-ray Disc,簡稱BD,又作藍光光碟)是由索尼及松下電器等企業組成的藍光光盤聯盟(Blu-ray Disc Association)策劃的次世代光盤規格,用以存儲高質量的影音以及高容量的數據,并以SONY為首于2006年開始全面推動相關產品。


藍光光盤特點

藍光光盤是下一代數字視頻光盤,它可以記錄、儲存和播放高清晰視頻和數字音頻以及計算機數據。藍光的優勢是可以存儲海量的信息:

一張單層藍光光盤尺寸與DVD大致相同,但是可保存27GB的數據;一張雙層藍光光盤最多可存儲50GB。藍光光盤不僅比傳統DVD的存儲容量大,而且還能提供更高級的交互體驗,用戶能夠連接到互聯網即時下載字幕和其他交互的電影功能。


Java技術支持

值得一提的是,在2005年藍光光盤聯盟宣布藍光光盤會加入由甲骨文公司的Java技術,藍光光盤播放器跟藍光光盤可以作出交互功能。(本文中其中一個漏洞正是利用這一點)


安全建議

Tomkinson建議,相關用戶盡量不要播放來源不明的藍光光盤,并設置禁止光盤自動播放和訪問互聯網。


原文鏈接:http://www.ithome.com/html/it/136548.htm

 

 

 

 

 


  第二版

小家電抽檢,結果觸目驚心!

科捷電腦?實時把握行業動態,輕松了解世界資訊,我們是信息的傳遞者。
關注“科捷電腦”,看看如何獲得我們為您提供的免費電腦維護服務。

 

 

 

 

                      

資料來源:IT之家




廚房小家電品類雖然在市場上價格不高,而且由于是小型家電因此也不容易引起人們注意。除了使用安全外,質監部門還進行了噪聲、電磁輻射、塑化劑遷移量、不銹鋼成分和錳析出量分析等項目的風險監測。


廚房小家電品類雖然在市場上價格不高,而且由于是小型家電因此也不容易引起人們注意。但這些看上去稀松平常的小家電卻與使用者的人身安全發生著密切了聯系。


由于這些家電是在人們日常生活中,特別是跟皮膚、消化系統息息相關,所以諸如電飯煲,豆漿機等生產入口食品的電器產品安全問題應該要時刻引起用戶的注意。


記者了解到江蘇省質監局發布了對各種小家電的質量監督和風險監測結果,并進行了具體分析。


據了解,江蘇質檢總局抽檢的廚房小家電包括榨汁機、豆漿機、電水壺、電飯鍋,共100個批次。質監部門檢測了安全性能和不銹鋼制品衛生指標如鉛、鎘、鉻、鎳等重金屬的析出量。檢測結果顯示,這些小家電中有73個批次合格,合格率達到73%。電水壺的合格率為75.9%,榨汁機和豆漿機類的產品合格率超過80.5%,而電飯鍋的合格率只有60%。電飯鍋的主要不合格項目集中在標志和說明、輸入功率和電流等問題上,存在一定的安全隱患。


據監測報告顯示,這些廚房小家電分別采購自大型超市、電器賣場、大市場和網絡電商。雖然平均合格率達到73%,但大市場這個銷售渠道中采樣的廚房小家電合格率很低,只有39.1%,拉低了“平均水平”。


除了廚房小家電,質監部門還抽檢了電吹風、電磁爐和微波爐等小家電。電吹風共抽檢了70個批次,其中55個批次是合格產品,合格率近八成。不過,網購的電吹風合格率差強人意,只有六成。電商平臺的電磁爐合格率達到了94.4%,遠高于超市和家電賣場的合格率83.3%。


本次抽查中,電器安全性能發現問題較多,主要表現在標識不全,無額定電壓或額定電壓范圍、電源性質符號、額定輸入功率或額定電流、器具的型號或系列號等標志,對消費者的正常使用帶來不便;部分產品易觸及金屬部件沒有接地,易對消費者造成觸電危險,接地端的夾緊裝置無防松措施,存在脫落危險;標準規定每個連接處至少使用兩個螺釘,有的器具僅用一顆自攻螺釘提供接地連續性,有可能造成接地失效,有觸電危險;實測輸入功率超過標準規定的允差范圍,影響產品使用壽命和試驗效果。電氣間隙尺寸過小,帶電部件和外殼之間容易短路,使外殼帶電,危害人身安全。


除了使用安全外,質監部門還進行了噪聲、電磁輻射、塑化劑遷移量、不銹鋼成分和錳析出量分析等項目的風險監測。其中,90%的榨汁機、豆漿機并沒有標出次材質和不銹鋼牌號,而且還有3個批次的豆漿機殼體中錳含量較高,達到10%左右。除了豆漿機,另有16個批次的電水壺也存在錳含量超標問題。


專家介紹,錳中毒會影響人的腦部,使人表現出神經衰弱綜合征、植物神經功能紊亂等問題,“更嚴重的可能會表現為帕金森綜合征。”向斌說,目前,國家還沒有明確的不銹鋼中錳析出量的限定值標準,但錳含量過高的不銹鋼炊具,會導致較高的錳析出量。他建議,選擇食品接觸的不銹鋼產品時,應該盡量選擇錳含量低的產品。


原文鏈接:http://www.ithome.com/html/it/136586.htm

 

 

 



第三版

男子700元買部iPhone6,拆開后傻眼了

 

科捷電腦?實時把握行業動態,輕松了解世界資訊,我們是信息的傳遞者。
關注“科捷電腦”,看看如何獲得我們為您提供的免費電腦維護服務。

    

 

           

                      



“刷單”在淘寶上已經不是什么秘密,幾乎每個有網購經驗的人都對這一商家造假獲得信用的手段有所了解,盡管這一手法原始而古老,阿里巴巴官方也試圖通過各種手段打擊刷單,但“上有政策、下有對策”,但至今仍未達到有效根治。


有業內人士對記者表示:“只要有淘寶,就有刷單。”一個簡單的道理,如果兩家網店有同樣的商品,價格相差不大,其中一家銷量上千、好評不斷,另一家的銷量僅有幾十、評價寥寥,顧客會如何選擇?相信大多數顧客會選擇銷量高、評價多的網店購買。


然而在龐大銷量和海量“好評”的背后,究竟含有多少水分?

經記者調查發現,在阿里的生態產業鏈條上滋生著大量的“刷單螞蟻”。他們組織嚴密,培訓嚴格,了解阿里刷單體系的所有漏洞,這讓他們刷出的銷量和評價能夠以假亂真。


而這些購買刷單業務的商家,最終會將成本嫁接到消費者頭上,這或許正是淘寶體系內假貨泛濫的根本原因。


暴利

和以往的調查對象相比,接觸刷單公司并不算困難。無論是通過搜索引擎、分類信息平臺甚至是阿里旺旺,要找到刷單公司的聯系方式都非常簡單。


根據記者了解,目前大多數刷單公司都依托于網絡聊天工具進行聯系,刷單人并不認識上級和公司的實際管理者,當然大多數刷單人對這個也并沒有興趣。


記者接觸了幾家刷單組織,據其內部人士介紹,加入刷單組織需要繳納一定的保證金,提交身份證照片以及支付寶賬號等個人信息。當記者對是否會造成個人信息流失產生質疑時,該內部人士對記者表示:“很多審核簡單但需要繳納保證金的,基本上都是騙子。”該內部人士信誓旦旦的對記者表示,公司已經做了三四年,從來沒出過問題。


在提交了相關信息后有專人對新人進行接待和培訓,每單的收入大概在4到5元左右,同時有詳盡的流程介紹,每單大概需要20分鐘左右即可完成,但并不是隨時都有刷單的任務進行發布。


當記者追問刷單公司,阿里近年對系統多次升級,是否會有安全危險時?該公司負責人坦然表示公司里有很多物流公司的底單可以填寫,即便是阿里的系統也無法進行識別,該負責人的表示意味深長:“你看刷單業務停止過嗎?”


一名北京第三方刷單公司的老板告訴記者,在他手里大概有近萬名刷單者資源,每天流水超過百萬,純收入超過萬元。而據其介紹,在這個行業里,他僅僅是一個“小玩家”。


那么這些淘寶甚至天貓賣家為何要付出如此多的利潤給刷單公司?簡單的道理,他們可以在別的地方賺到更多。


艱難

談到刷單現象,淘寶店主也表示非常無奈。

根據幾個淘寶賣家數據顯示,其每年在淘寶上花費超過2萬元,這些項目除了淘寶直通車、鉆石展位等為媒體常報道的模式以外,還包括滿就送、量子恒道店鋪統計、好店鋪統計服務等很多其他服務。


這個數字還不包括在阿里旗下的《天下網商》、《淘寶天下》等雜志硬廣投入。據記者不完全統計,阿里內部的各類營銷工具已經超過一千個。


這些營銷工具效果究竟如何呢?有淘寶賣家對記者表示,這些營銷方式就是鼓勵賣家與賣家之間相互哄抬價格,最后坐收漁利。根據該淘寶賣家提供的數據顯示,其曾經一次性投放直通車廣告費超過千元,但直接帶來的訂單卻僅有800多元。


相比之下,他通過在刷單公司的朋友幫忙,每單的費用僅有8元左右。該淘寶賣家對記者坦承,目前他的銷量至少超過六成來自刷單。一位淘寶大碼男裝皇冠賣家對記者表示,當年為了沖鉆,大部分銷量都是通過刷單獲得。


一位化妝品小賣家更是對記者表示:“刷單或許會死,但不刷只有等死。”在他看來,有些小賣家也很想實實在在做生意,但是淘寶的營銷工具收費太高卻又沒有實際效果,如果不通過刷單沖一些銷量,就很快在淘寶的海量商品中消失殆盡。


或許正是“人人都刷,不刷就吃虧”這樣的邏輯驅使著大量賣家寧愿頂著被查處的風險,也要繼續刷單。


回應

在打擊刷單方面,阿里可謂是不遺余力,至少在表面上看,是這樣。

近期,申通公司發布了“關于禁止受理淘寶天貓平臺賣家炒信快件的通知”文件,文件中對沒有實物的空包裹一律定義為炒信快件,并規定分撥網點禁止代收代發“炒信快件”。并明確表示,凡受理炒信快件,導致淘寶、天貓平臺關閉申通在該地區業務的,總公司將責任單位處罰5—50萬元,情節嚴重的取消經營資格。


有淘寶內部人士對記者表示,淘寶為了嚴防刷單已和快遞公司達成了協議,未來或許會有更多的快遞公司禁止發炒信快件的消息傳出。

但淘寶刷單的問題存在已經有太長時間了,這些動作就能讓刷單得到改變嗎?刷單從業者對記者表示自己并不擔憂,“對峙這么多年,真有辦法阿里早就把我們干掉了”.


錯誤

一個電商行業多年從業者對記者表示:“刷單猖獗,客觀上最大的原因就是阿里巴巴的商業模式。”


在這位從業者看來,阿里巴巴本質上就是流量分配公司,阿里也在到處買流量,然后再把這些流量分配給電商平臺,為了爭取更多的流量和曝光機會,這些賣家不得不刷單或者大幅降價銷售。


以某國外知名化妝品為例,在韓國本土的銷售價格大概為70元左右,但在國內卻有淘寶賣家以30元的價格進行大量銷售。記者對比了該款化妝品的銷售數據,淘寶上的大多數銷量都在千筆以上,而售價98的天貓旗艦店僅有三十幾單。


一位化妝品行業從業者憤怒的對記者表示:“這個價位怎么可能會是真貨,怎么可能是實際的銷量?”但這些店鋪甚至曾經被淘寶推上推薦位。


該從業者調侃得對記者表示,大量的小賣家利潤就這樣流進了阿里巴巴龐大的商業帝國中,如果當這些小賣家通過規范運營的手段無法賺到錢,他們會怎么做?不言而喻。


一位受訪賣家最后對記者表示,如果沒有刷單,淘寶不就變成天貓了嗎?


原文鏈接:http://www.ithome.com/html/it/136564.htm

 

并非原創 重在傳播



科捷電腦辦公設備快修中心主要服務對象為企業客戶,企業客戶的要求相對更高,而我們的服務宗旨是:客戶要求越高,我們做得越出色——遇強則強!很多企業都會有一個IT負責人(但畢竟一個人的能力是有限的),而我們是用一個團隊的力量來為您解決問題。

科捷電腦服務時間:周一至周五9:00-18:00,節假日休息(特殊情況除外)
科捷電腦服務熱線:400-628-9328
科捷電腦服務網址:http://www.odufjc.tw.cn
科捷電腦服務內容:
1、電腦維護維修(臺式電腦、筆記本電腦軟件問題,硬件問題,操作系統安裝,雙操作系統安裝) 
2、網絡維護維修(路由器設置,局域網組建及共享,網絡故障排除) 
3、企業IT外包(專業化IT外包服務:電腦、網絡、辦公設備、集團電話、監控設備等包月包年服務) 
4、監控安裝(家庭報警器、紅外防盜監控,工廠監控,遠程監控) 
5、綜合布線工程(寬帶連接,網絡布線工程,電話布線,無線上網) 
6、門禁考勤(辦公室全自動門禁系統、員工上下班指紋考勤機安裝) 
7、硬件銷售(電腦組裝,網絡配件,辦公設備,辦公耗材等送貨上門)
8、辦公設備維護維修(打印機、傳真機、復合機、多功能一體機各類故障維修及維護)

全廣州市(天河區、越秀區、海珠區、荔灣區、白云區)駐有專業技術員上門服務,能更快速的進行上門維修維護服務。

 

 

 

    

福建省彩票31选7走势图1