SecureWorks：中国银行业受黑客攻击危险增加
　　美国最大信息安全技术提供商SecureWorks公司3日发布的最新研究结果警告，随着黑客技术要求门槛的下降，以及中国拥有大量精通电脑的聪明年轻人，中国银行业遭受黑客攻击的危险性正在加剧。
　　SecureWorks公司通过对黑客所在地进行的技术侦查显示，对银行系统进行黑客攻击的所在地集中在俄罗斯与东欧地区，但中国黑客的数量也在迅速增长。
　　报告称，由于中国拥有大量精通计算机技术的年轻人，加之中国目前防范计算机犯罪的法律仍在完善，有部分年轻人会铤而走险通过盗取金融数据来获得钱财。
　　研究结果显示，自去年以来，包括中国在内的全球银行业遭受黑客袭击的数量上升了81%，越来越多的犯罪分子参与到这场游戏中。其中，去年6月到12月，全球发现黑客袭击银行系统事件平均每月为808起，而从今年年初到6月份，黑客袭击事件剧增到平均每月1462起。同时，每个月针对每个银行客户的黑客攻击次数从去年同期的1110次增加到了今年上半年的1799次。
　　研究结果还显示，黑客们盗取金融数据的手段也从原始的发布垃圾邮件的方法转化到使用木马程序，这些被盗取的数据里面包括成千上万的银行账户、信用卡卡号等，该公司警告机构和家庭用户应加强保护措施防范此类木马程序的攻击。
免责声明：本文仅代表作者个人观点。文中以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺，仅作参考。
信用卡优惠
极速贷款 当天到账
信用卡论坛
我爱卡申请系统经过VeriSign顶级安全认证
51credit Corporation. All Rights Reserved您还未登录，请登录后再进行相关操作！
在线咨询：
工作时间：工作日9:00-18:00，节假日休息考生信息泄露 中银协称网站被黑客攻击-中新网
考生信息泄露 中银协称网站被黑客攻击
　　(记者 程婕)昨天，有媒体报道称，参与2014年上半年全国银行业专业人员职业资格认证考试在即，不少考生反映，他们的个人信息遭泄露，手机频频收到“考试包过”、“轻松过关”等信息。报道还提出质疑：“究竟是家有‘内鬼’还是遭受黑客攻击？”昨天，中国银行业协会对此发出郑重回应称：根据目前技术数据显示，网站确实遭受过黑客攻击，已向公安机关报案；各类兜售考题、答案及声称考试包过等行为，可以确认为诈骗。
　　有报道称，甘肃等地多名参加2014年上半年银行业专业人员职业资格考试的考生反映，一周多来，他们的手机不断收到“备考包过”短信，每天都有四五条，有时还接到“卖题”电话，而没有报考的考生同事从未接到电话、短信。2014年上半年全国银行业专业人员职业资格认证考试由中国银行业协会主办，采取个人网上报名方式，报名均通过中国银行业协会官网。
　　中国银行业协会昨天表示，协会得知信息泄露的第一时间就已经安排重新审视和评估相关工作流程，完善并加强相关保密措施，并已第一时间要求技术服务方检查相关系统、设备，采取紧急技术措施，提高所涉考生信息数据库的服务器抗攻击能力，并将维持管制措施，将数据库的访问权限保持在最高保密等级，确保考生信息以及下一步的考题信息安全。
　　根据目前技术数据显示，网站确实遭受过黑客攻击。协会已会同考试技术服务方提请公安机关立案，并将全力配合公安机关调查，追查信息泄露根源，一查到底，绝不姑息，不论涉及到任何机构和个人，一定依法追究法律责任并严肃处理。公安机关的调查结论及处理结论将及时向社会公布。
　　“各类兜售考题、答案及声称考试包过等行为，可以确认为诈骗。”协会声明解释称，因为银行专业人员职业资格考试试卷仅在每场考试开考前极短时间内才会抽取确定，而且每场考试的试题均为等值的不同试卷。现在试卷还未确定，何来试题和答案？至于诈骗人员为什么敢承诺考前付清、分期付款及考后付款等多种付款形式，初步判断，部分不法分子采取的是诈骗与考试集团舞弊相结合的方式。根据历史经验，作弊流程基本如下：先以有真题、答案、包过等吸引考生参与，在考试期间通过派人假考，现场窃取考题并传输给场外同伙，场外同伙组织枪手作答并通过短信、无线电等高科技手段将答案回传给作弊考生。请考生切勿轻信各种涉考诈骗信息。
【编辑:黄政平】
>金融频道精选：
直隶巴人的原贴：我国实施高温补贴政策已有年头了，但是多地标准已数年未涨，高温津贴落实遭遇尴尬。
66833 34708 30649 18963 18348 16939 12753 12482 12188 12157
　| 　|　　|　　|　　|　　|　　|　
本网站所刊载信息，不代表中新社和中新网观点。 刊用本网站稿件，务经书面授权。
未经授权禁止转载、摘编、复制及建立镜像，违者将依法追究法律责任。
[] [] [京公网安备:-1] [] 总机：86-10-
Copyright &1999-
chinanews.com. All Rights Reserved小心，你的联网车 副驾驶可能“坐”着黑客_茂名网-茂名新闻网
小心，你的联网车 副驾驶可能“坐”着黑客
摘要：王云表示，协议、操作系统存在的漏洞都可能被利用，造成的危害也不一样：有的能让黑客窃取用户信息，更严重的能让黑客控制汽车。闫怀志介绍，在进行具体安全设计和代码编写时，可参考多种安全编码标准和指南。
原标题：小心，你的联网车 副驾驶可能&坐&着黑客
百度公司董事长兼CEO李彦宏曾经在两会上畅想过智能车的未来：只要把车开上高速，你就能吃着火锅唱着歌，被车轻轻松松地从北京载到上海。
360集团董事长兼CEO周鸿祎后来在公开场合&皮&了一下：有一天，你吃着火锅唱着歌，可能智能车就被黑客劫持了。
周鸿祎素来喜欢&放炮&，但他描述的画面，并非耸人听闻。
前不久，以色列一家汽车联网安全公司的CEO阿米&多坦说了这么一番话：自动驾驶汽车系统可能会充满漏洞且易被黑客攻击。
当车辆接入网络，也就给了黑客远程攻击的机会。360智能网联汽车安全实验室负责人刘健皓被称为&破解特斯拉第一人&，他曾发现特斯拉Autopilot（自动驾驶系统）存在传感器漏洞并将漏洞提交给了特斯拉公司的安全部门。刘健皓在接受科技日报记者采访时表示，漏洞不可避免，也不可能被完全清除，信息安全攻防是一场动态的持久战。
存在漏洞、错误是代码的通病
阿米&多坦给出了这样一组数字：&联网汽车每1800行代码就会存在一些错误，其中80%是安全漏洞。&他还表示，一辆联网汽车和一辆自动驾驶汽车的潜在安全漏洞数目分别为。
这是怎么算出来的？
北京理工大学网络攻防对抗技术研究所所长闫怀志告诉科技日报记者，国际著名的CMMI（软件能力成熟度集成模型）将软件能力成熟度分为5级，其中1级最低，5级最高，4级和5级的千行代码缺陷率分别为0.92&和0.32&。联网汽车&每1800行代码就存在一些错误&，表明其软件能力成熟度大致在CMMI 4级和5级之间。&虽然联网汽车代码成熟度达到了较高水平，但显然还有一定的提升空间。&闫怀志说。
闫怀志认为，软件代码出现漏洞，是由软件开发和应用过程中的不正确或遗漏行为所造成的，也就是在软件设计、实现或应用过程中有意或无意导致软件架构或其具体实现与期望不符。&漏洞的出现是所有软件代码的通病，不仅仅局限于联网汽车与自动驾驶应用领域。&不过，漏洞出现的频率又跟软件研发和保障水平密切相关。比如，在级别不同的CMMI研发保障能力下开发出来的代码质量和漏洞数量会有显著差异。&自动驾驶软件属于典型的工业应用软件之一，其安全漏洞的潜在危害性，尤其是对人和物理环境的破坏性都极大，和普通软件的危害不能同日而语。&闫怀志强调。
有漏洞不是稀奇事。中国科学院微电子研究所副研究员王云表示，随着汽车智能化水平的提高，一辆车上的代码可能有几千万甚至上亿行，存在错误和漏洞是肯定的。&不光自动驾驶行业，传统软件行业都会有各种错误，不管是Windows还是iOS。&
车载娱乐系统易成被侵入对象
漏洞是如何被发现和修复的？
王云介绍，成熟的软件开发都会有标准流程，会对需求、架构设计方案、代码模块设计接口、代码机制等环节进行代码测试与评审。通过规范的流程，大部分代码漏洞可以被发现，但是依然有少部分漏洞不会被测试用例覆盖。
&联网汽车涉及各种协议或操作系统、应用软件，存在漏洞的地方更多。目前被发现的漏洞涉及TSP（内容服务提供商）平台、APP应用、Telematics Box（T-BOX）上网系统、车机IVI系统CAN-BUS车内总线等各个领域和环节。&王云表示，协议、操作系统存在的漏洞都可能被利用，造成的危害也不一样：有的能让黑客窃取用户信息，更严重的能让黑客控制汽车。
刘健皓把漏洞比喻为银行的后门。大门处有重兵把手，但后门可能就是防护真空。有心人士能通过后门大摇大摆进来&搞事情&。而且，很可能银行自己都不知道有这个后门。
车联网及自动驾驶软件，实现了车&车之间、车&人之间、车&路之间的高效互联互通与信息共享，并为车联网智能决策和优化提供了基础支撑，但它也让联网车在信息安全、功能安全及隐私保护等方面，面临着前所未有的严峻挑战。闫怀志说，黑客可以利用车载终端系统、车联网云平台、移动APP、OBD（车载诊断系统）等系统的漏洞对车辆实施攻击，实现对智能车辆的操作控制。不安全的代码也可能在无攻击的情况下&自行&失效，导致车辆行为失控。
&有通信、接口的地方就容易遭到攻击。&刘健晧说，黑客攻击车辆可以分为物理接触、近场控制、远程控制3种。在智能网联时代，黑客能&顺着网线&悄无声息地进入你的车。
在测试联网汽车时，刘健皓团队也发现，车载娱乐系统易成为被侵入的对象。如今，汽车的中控系统做得越发酷炫，为了给用户更为高科技的人机交互体验，一些实体控制按钮被集成到了车载娱乐系统当中，该系统通常也要为用户提供互联网内容。于是，黑客就能通过车载娱乐系统的漏洞一举控制车辆的仪表盘甚至制动系统。
从已有的案例来看，最夸张的情况是，黑客能控制车辆动力和转向系统。比如远程启动一下发动机，比如让你的方向盘有&自己的想法&。而且，如果黑客破解了某车厂的后台，他就能用同样的方法横向批量影响到所有该品牌的汽车。
所以，如果有汽车在道路上集体&抽风&，也不是不可能。
打一场动态信息安全攻防战
当然，如果真&集体抽风&就成了公共安全事件，一切都要防患于未然。联网车并不只是黑客的猎物，实际上，车厂也会采取种种措施升级自己的防护机制。与入侵者斗智斗勇，本身就是一个你来我往、你攻我挡的动态平衡过程。
&安全防护不只是防护某个&点&，一定要做到全面。&刘健皓说。所谓的全面，指的是在云（云服务）、管（通信）、端（车载终端）、控（控制系统）上全面保驾护航。
闫怀志表示，代码错误的避免和纠正，需要标本兼治，且应以治本为主，治标为辅。&标&是采用各种漏洞挖掘、分析、测试及修复手段来避免或减缓其安全威胁；&本&上还是应该严格遵循软件安全工程规范，从源头上解决问题。尤其是对于车联网和自动驾驶这种工业软件来说，要特别重视功能安全与信息安全二者的结合，从其全生命周期统一考虑各种安全因素。&具体来说，是识别工业应用软件的危险，定义其安全需求，然后进行安全设计、安全编码及安全测试，进行有效的缺陷管理，即实施基于功能安全与信息安全融合的工业应用软件安全工程方法。&
闫怀志介绍，在进行具体安全设计和代码编写时，可参考多种安全编码标准和指南。比如，汽车行业可以参考汽车电子功能安全标准（ISO 26262），还可以参考国际著名的MISRA（汽车工业软件可靠性联合会）的工业C编程规范。&该规范为汽车嵌入式系统编码提供了有关安全可靠性的最佳实践。&闫怀志说。
王云透露，国际组织（ISO/SAE）正进行21434（道路车辆&信息安全工程）标准的制定。该标准主要从风险评估管理、产品开发、运行/维护、流程审核等4个方面来保障汽车信息安全工程工作的开展。
在具体实践上，360智能网联车安全实验室给车企的建议是&&&逆向思维&。在车辆正式推出之前，他们会对合作车企车辆进行测试，模拟黑客对车辆进行攻击；发现漏洞后，让车企对薄弱环节进行修正。车辆上市后，团队会为车辆做全生命周期的安全管理，监控和防护其可能遭到的攻击。
&没有一个安全公司能够保证车辆百分之百安全，跟黑客对抗的过程是动态防护的过程：发现攻击、阻断攻击、下发更新策略&&&刘健皓强调，&我们希望为每个车厂建立一套安全的运营体系，实现自主品牌车辆的安全运营。&
责任编辑：JQZ您访问的页面不见了！