行业资讯 2015年3月25日 第83期 3版-------天河IT外包

来源: admin   发布时间: 2015-03-30   1619 次浏览   大小:  16px  14px  12px

      

 

 

   本期看点:


  第一版:蓝光光盘也能植入恶意木马


  第二版:小家电抽检,结果触目惊心!

  第三版:男子700元买部iPhone6,拆开后傻眼了



  第一版

 

蓝光光盘也能植入恶意木马

 

科捷电脑实时把握行业动态,轻松了解世界资讯,我们是信息的传递者。
关注“科捷电脑”,看看如何获得我们为您提供的免费电脑维护服务。

 

  

资料来源:IT之家




近日,英国安全研究人员Stephen Tomkinson发现两个基于蓝光光盘的攻击方法,通过将恶意文件存植入到蓝光光盘中,在光驱转动时读取光盘中的恶意代码发起感染电脑、网络攻击等恶意活动。


日前,NCC集团安全专家Stephen Tomkinson在播放蓝光光盘的软件上发现了两个漏洞,利用这些漏洞可以将木马植入到使用受影响设备的电脑上。


Tomkinson在周五苏格兰Abertay大学的Securi-Tay会议上展示了这种基于蓝光光盘的攻击。Tomkinson制作了一个蓝光光盘,利用此光盘可以检测光盘播放器的类型,使用其中的一个漏洞利用代码可以为主机上的木马提供恶意服务。


漏洞介绍

第一次,他依靠一个粗糙的Java实现,在一款讯连科技的产品PowerDVD中发起攻击。PowerDVD用在个人电脑上播放DVD光盘、蓝光光盘等,并使用大量Java、蓝光光盘Java(BD-J)创建显示菜单、游戏等丰富内容。许多电脑供应商的Windows系统电脑中默认安装了PowerDVD,包括宏碁、华硕、戴尔、惠普、联想、东芝。


蓝光光盘的Java使用一个名为“xlets”的小应用程序来实现接口功能,尽管它们被禁止访问计算机资源,但在PowerDVD中发现的一个漏洞则使得我们可以绕过沙箱来运行恶意代码。正是这个原因,使得别有用心的人可以利用这一点绕过Windows系统的安全控制。


第二个漏洞会影响一些蓝光光盘播放器的硬件,这种攻击需要依靠由黑客Malcolm Stagg开发的一个利用代码,该代码利用了从外部USB设备中启动调试代码的特点,使得攻击者有机会获取到蓝光光盘播放器的root访问权限。


Tomkinson写了一个xlet来回放TCP数据流,它利用一个运行在目标电脑上名为“ipcc”的客户端程序,可以从蓝光光盘中启动一个恶意文件。


基本上,研究人员已经成功地将可执行文件植入到了蓝光光盘中,并使恶意代码在光盘启动时自动运行,即使自动运行功能默认禁用也能做到。


研究人员在发表的博文中陈述道:

“通过结合蓝光光盘播放器中存在的不同漏洞,我们已经创建了一个特制光盘,利用该光盘可以检测光盘播放器的类型,并能够做到在播放光盘中视频之前,从光盘中启动针对特定平台的可执行程序。这些可执行代码可以被攻击者用来提供一条接入目标网络的隧道,或者提取目标系统的敏感文件。”


针对Tomkinson的攻击,研究人员也提出了一些改进措施,例如,可以利用相应技术来识别系统主机,然后执行对应该主机特点的利用代码,以隐藏该恶意活动,或者可以让蓝光光盘先执行恶意代码,然后再播放光盘中的正常内容。


目前,NCC集团已联系供应商来解决这个问题,但仍在等待对方回复。

类似攻击事件

本文中提到的攻击让我们想到了攻击组织“方程式”(Freebuf相关报道)曾经使用的攻击技术,即他们入侵休士顿举行的一次科学会议参与者电脑时所使用的方法。当时,会议参与者会接收到一个含有会议资料的CD-ROM光盘,同时该光盘中还隐藏有一些0day漏洞的利用代码,包括一个名为“Doublefantasy”的高危后门代码。


科普:什么是蓝光光盘?

蓝光光盘(Blu-ray Disc,简称BD,又作蓝光光碟)是由索尼及松下电器等企业组成的蓝光光盘联盟(Blu-ray Disc Association)策划的次世代光盘规格,用以存储高质量的影音以及高容量的数据,并以SONY为首于2006年开始全面推动相关产品。


蓝光光盘特点

蓝光光盘是下一代数字视频光盘,它可以记录、储存和播放高清晰视频和数字音频以及计算机数据。蓝光的优势是可以存储海量的信息:

一张单层蓝光光盘尺寸与DVD大致相同,但是可保存27GB的数据;一张双层蓝光光盘最多可存储50GB。蓝光光盘不仅比传统DVD的存储容量大,而且还能提供更高级的交互体验,用户能够连接到互联网即时下载字幕和其他交互的电影功能。


Java技术支持

值得一提的是,在2005年蓝光光盘联盟宣布蓝光光盘会加入由甲骨文公司的Java技术,蓝光光盘播放器跟蓝光光盘可以作出交互功能。(本文中其中一个漏洞正是利用这一点)


安全建议

Tomkinson建议,相关用户尽量不要播放来源不明的蓝光光盘,并设置禁止光盘自动播放和访问互联网。


原文链接:http://www.ithome.com/html/it/136548.htm

 

 

 

 

 


  第二版

小家电抽检,结果触目惊心!

科捷电脑实时把握行业动态,轻松了解世界资讯,我们是信息的传递者。
关注“科捷电脑”,看看如何获得我们为您提供的免费电脑维护服务。

 

 

 

 

                      

资料来源:IT之家




厨房小家电品类虽然在市场上价格不高,而且由于是小型家电因此也不容易引起人们注意。除了使用安全外,质监部门还进行了噪声、电磁辐射、塑化剂迁移量、不锈钢成分和锰析出量分析等项目的风险监测。


厨房小家电品类虽然在市场上价格不高,而且由于是小型家电因此也不容易引起人们注意。但这些看上去稀松平常的小家电却与使用者的人身安全发生着密切了联系。


由于这些家电是在人们日常生活中,特别是跟皮肤、消化系统息息相关,所以诸如电饭煲,豆浆机等生产入口食品的电器产品安全问题应该要时刻引起用户的注意。


记者了解到江苏省质监局发布了对各种小家电的质量监督和风险监测结果,并进行了具体分析。


据了解,江苏质检总局抽检的厨房小家电包括榨汁机、豆浆机、电水壶、电饭锅,共100个批次。质监部门检测了安全性能和不锈钢制品卫生指标如铅、镉、铬、镍等重金属的析出量。检测结果显示,这些小家电中有73个批次合格,合格率达到73%。电水壶的合格率为75.9%,榨汁机和豆浆机类的产品合格率超过80.5%,而电饭锅的合格率只有60%。电饭锅的主要不合格项目集中在标志和说明、输入功率和电流等问题上,存在一定的安全隐患。


据监测报告显示,这些厨房小家电分别采购自大型超市、电器卖场、大市场和网络电商。虽然平均合格率达到73%,但大市场这个销售渠道中采样的厨房小家电合格率很低,只有39.1%,拉低了“平均水平”。


除了厨房小家电,质监部门还抽检了电吹风、电磁炉和微波炉等小家电。电吹风共抽检了70个批次,其中55个批次是合格产品,合格率近八成。不过,网购的电吹风合格率差强人意,只有六成。电商平台的电磁炉合格率达到了94.4%,远高于超市和家电卖场的合格率83.3%。


本次抽查中,电器安全性能发现问题较多,主要表现在标识不全,无额定电压或额定电压范围、电源性质符号、额定输入功率或额定电流、器具的型号或系列号等标志,对消费者的正常使用带来不便;部分产品易触及金属部件没有接地,易对消费者造成触电危险,接地端的夹紧装置无防松措施,存在脱落危险;标准规定每个连接处至少使用两个螺钉,有的器具仅用一颗自攻螺钉提供接地连续性,有可能造成接地失效,有触电危险;实测输入功率超过标准规定的允差范围,影响产品使用寿命和试验效果。电气间隙尺寸过小,带电部件和外壳之间容易短路,使外壳带电,危害人身安全。


除了使用安全外,质监部门还进行了噪声、电磁辐射、塑化剂迁移量、不锈钢成分和锰析出量分析等项目的风险监测。其中,90%的榨汁机、豆浆机并没有标出次材质和不锈钢牌号,而且还有3个批次的豆浆机壳体中锰含量较高,达到10%左右。除了豆浆机,另有16个批次的电水壶也存在锰含量超标问题。


专家介绍,锰中毒会影响人的脑部,使人表现出神经衰弱综合征、植物神经功能紊乱等问题,“更严重的可能会表现为帕金森综合征。”向斌说,目前,国家还没有明确的不锈钢中锰析出量的限定值标准,但锰含量过高的不锈钢炊具,会导致较高的锰析出量。他建议,选择食品接触的不锈钢产品时,应该尽量选择锰含量低的产品。


原文链接:http://www.ithome.com/html/it/136586.htm

 

 

 



第三版

男子700元买部iPhone6,拆开后傻眼了

 

科捷电脑实时把握行业动态,轻松了解世界资讯,我们是信息的传递者。
关注“科捷电脑”,看看如何获得我们为您提供的免费电脑维护服务。

    

 

           

                      



“刷单”在淘宝上已经不是什么秘密,几乎每个有网购经验的人都对这一商家造假获得信用的手段有所了解,尽管这一手法原始而古老,阿里巴巴官方也试图通过各种手段打击刷单,但“上有政策、下有对策”,但至今仍未达到有效根治。


有业内人士对记者表示:“只要有淘宝,就有刷单。”一个简单的道理,如果两家网店有同样的商品,价格相差不大,其中一家销量上千、好评不断,另一家的销量仅有几十、评价寥寥,顾客会如何选择?相信大多数顾客会选择销量高、评价多的网店购买。


然而在庞大销量和海量“好评”的背后,究竟含有多少水分?

经记者调查发现,在阿里的生态产业链条上滋生着大量的“刷单蚂蚁”。他们组织严密,培训严格,了解阿里刷单体系的所有漏洞,这让他们刷出的销量和评价能够以假乱真。


而这些购买刷单业务的商家,最终会将成本嫁接到消费者头上,这或许正是淘宝体系内假货泛滥的根本原因。


暴利

和以往的调查对象相比,接触刷单公司并不算困难。无论是通过搜索引擎、分类信息平台甚至是阿里旺旺,要找到刷单公司的联系方式都非常简单。


根据记者了解,目前大多数刷单公司都依托于网络聊天工具进行联系,刷单人并不认识上级和公司的实际管理者,当然大多数刷单人对这个也并没有兴趣。


记者接触了几家刷单组织,据其内部人士介绍,加入刷单组织需要缴纳一定的保证金,提交身份证照片以及支付宝账号等个人信息。当记者对是否会造成个人信息流失产生质疑时,该内部人士对记者表示:“很多审核简单但需要缴纳保证金的,基本上都是骗子。”该内部人士信誓旦旦的对记者表示,公司已经做了三四年,从来没出过问题。


在提交了相关信息后有专人对新人进行接待和培训,每单的收入大概在4到5元左右,同时有详尽的流程介绍,每单大概需要20分钟左右即可完成,但并不是随时都有刷单的任务进行发布。


当记者追问刷单公司,阿里近年对系统多次升级,是否会有安全危险时?该公司负责人坦然表示公司里有很多物流公司的底单可以填写,即便是阿里的系统也无法进行识别,该负责人的表示意味深长:“你看刷单业务停止过吗?”


一名北京第三方刷单公司的老板告诉记者,在他手里大概有近万名刷单者资源,每天流水超过百万,纯收入超过万元。而据其介绍,在这个行业里,他仅仅是一个“小玩家”。


那么这些淘宝甚至天猫卖家为何要付出如此多的利润给刷单公司?简单的道理,他们可以在别的地方赚到更多。


艰难

谈到刷单现象,淘宝店主也表示非常无奈。

根据几个淘宝卖家数据显示,其每年在淘宝上花费超过2万元,这些项目除了淘宝直通车、钻石展位等为媒体常报道的模式以外,还包括满就送、量子恒道店铺统计、好店铺统计服务等很多其他服务。


这个数字还不包括在阿里旗下的《天下网商》、《淘宝天下》等杂志硬广投入。据记者不完全统计,阿里内部的各类营销工具已经超过一千个。


这些营销工具效果究竟如何呢?有淘宝卖家对记者表示,这些营销方式就是鼓励卖家与卖家之间相互哄抬价格,最后坐收渔利。根据该淘宝卖家提供的数据显示,其曾经一次性投放直通车广告费超过千元,但直接带来的订单却仅有800多元。


相比之下,他通过在刷单公司的朋友帮忙,每单的费用仅有8元左右。该淘宝卖家对记者坦承,目前他的销量至少超过六成来自刷单。一位淘宝大码男装皇冠卖家对记者表示,当年为了冲钻,大部分销量都是通过刷单获得。


一位化妆品小卖家更是对记者表示:“刷单或许会死,但不刷只有等死。”在他看来,有些小卖家也很想实实在在做生意,但是淘宝的营销工具收费太高却又没有实际效果,如果不通过刷单冲一些销量,就很快在淘宝的海量商品中消失殆尽。


或许正是“人人都刷,不刷就吃亏”这样的逻辑驱使着大量卖家宁愿顶着被查处的风险,也要继续刷单。


回应

在打击刷单方面,阿里可谓是不遗余力,至少在表面上看,是这样。

近期,申通公司发布了“关于禁止受理淘宝天猫平台卖家炒信快件的通知”文件,文件中对没有实物的空包裹一律定义为炒信快件,并规定分拨网点禁止代收代发“炒信快件”。并明确表示,凡受理炒信快件,导致淘宝、天猫平台关闭申通在该地区业务的,总公司将责任单位处罚5—50万元,情节严重的取消经营资格。


有淘宝内部人士对记者表示,淘宝为了严防刷单已和快递公司达成了协议,未来或许会有更多的快递公司禁止发炒信快件的消息传出。

但淘宝刷单的问题存在已经有太长时间了,这些动作就能让刷单得到改变吗?刷单从业者对记者表示自己并不担忧,“对峙这么多年,真有办法阿里早就把我们干掉了”.


错误

一个电商行业多年从业者对记者表示:“刷单猖獗,客观上最大的原因就是阿里巴巴的商业模式。”


在这位从业者看来,阿里巴巴本质上就是流量分配公司,阿里也在到处买流量,然后再把这些流量分配给电商平台,为了争取更多的流量和曝光机会,这些卖家不得不刷单或者大幅降价销售。


以某国外知名化妆品为例,在韩国本土的销售价格大概为70元左右,但在国内却有淘宝卖家以30元的价格进行大量销售。记者对比了该款化妆品的销售数据,淘宝上的大多数销量都在千笔以上,而售价98的天猫旗舰店仅有三十几单。


一位化妆品行业从业者愤怒的对记者表示:“这个价位怎么可能会是真货,怎么可能是实际的销量?”但这些店铺甚至曾经被淘宝推上推荐位。


该从业者调侃得对记者表示,大量的小卖家利润就这样流进了阿里巴巴庞大的商业帝国中,如果当这些小卖家通过规范运营的手段无法赚到钱,他们会怎么做?不言而喻。


一位受访卖家最后对记者表示,如果没有刷单,淘宝不就变成天猫了吗?


原文链接:http://www.ithome.com/html/it/136564.htm

 

并非原创 重在传播



科捷电脑办公设备快修中心主要服务对象为企业客户,企业客户的要求相对更高,而我们的服务宗旨是:客户要求越高,我们做得越出色——遇强则强!很多企业都会有一个IT负责人(但毕竟一个人的能力是有限的),而我们是用一个团队的力量来为您解决问题。

科捷电脑服务时间:周一至周五9:00-18:00,节假日休息(特殊情况除外)
科捷电脑服务热线:400-628-9328
科捷电脑服务网址:http://www.kejiepc.com.cn
科捷电脑服务内容:
1、电脑维护维修(台式电脑、笔记本电脑软件问题,硬件问题,操作系统安装,双操作系统安装) 
2、网络维护维修(路由器设置,局域网组建及共享,网络故障排除) 
3、企业IT外包(专业化IT外包服务:电脑、网络、办公设备、集团电话、监控设备等包月包年服务) 
4、监控安装(家庭报警器、红外防盗监控,工厂监控,远程监控) 
5、综合布线工程(宽带连接,网络布线工程,电话布线,无线上网) 
6、门禁考勤(办公室全自动门禁系统、员工上下班指纹考勤机安装) 
7、硬件销售(电脑组装,网络配件,办公设备,办公耗材等送货上门)
8、办公设备维护维修(打印机、传真机、复合机、多功能一体机各类故障维修及维护)

全广州市(天河区、越秀区、海珠区、荔湾区、白云区)驻有专业技术员上门服务,能更快速的进行上门维修维护服务。