你知道语音助手背后的公司是如何处理你的语音数据吗?

语音助手已经成为日常生活中的好帮手,但是你知道不同的公司是如何收集语音数据的吗?

你知道语音助手背后的公司是如何处理你的语音数据吗?

熟悉Alexa、Cortana、Google Assistant、Bixby或Siri吗?每天都有数亿人使用由亚马逊、微软、谷歌、三星或苹果开发的语音助手,而且使用人数还在不断增长。

据最近进行的一项调查显示,每月有9010万美国成年人在智能手机上使用语音助手,7700万人在汽车上使用,4570万人在智能扬声器上使用。然而许多用户可能没有意识到他们的语音记录不会被立即删除。相反,它们可能会被存储多年,某些记录甚至会由审阅人员进行人工分析。

亚马逊
亚马逊表示,为了改善客户体验,只对非常小的语音记录样本进行分析。例如会训练语音识别和自然语言理解系统,以便Alexa能更好地理解用户请求。亚马逊雇佣了第三方承包商来审查这些录音,但亚马逊表示,公司有严格的技术和操作保障措施以防止记录被滥用,而且这些员工无法直接获得识别信息(只有账号、名字和设备序列号)。“所有个人信息都被高度保密,我们使用多因素认证来限制访问、加密服务和审计控制环境。”

在web和app设置页面中,亚马逊为用户提供了禁用语音录制功能的选项。不过,该公司表示,在定期审查的过程中,选择禁用的用户的录音可能还是会被人工分析。

苹果
苹果在其隐私页面讨论了Siri录制音频的审核过程。苹果解释说,出于更好地开发和保证质量,只对Siri数据的一小部分进行了“评分”,并对其进行了标注,每个评分者都会根据音频质量进行分类,并指出正确的操作。这些标签有助于持续提高Siri识别系统的质量。

另外,供审查的录音都是加密和匿名的,与用户的姓名或身份等个人信息无关。审阅人员不会收到用户设备的标识符。这些语音记录会被保存6个月,在此期间,Siri的识别系统会对这些录音进行分析,以“更好地理解”用户的声音。六个月后,这些没有标识符的录音也继续将被保存下来,用于改进和开发Siri,最长可保存两年。

谷歌
谷歌的一位发言人称,谷歌只进行非常有限的音频转录,以改进语音识别系统,并且应用了广泛的技术来保护用户个人信息。谷歌审核的音频片段与任何可识别的个人信息都没有关联,而且转录基本上是自动的,不由谷歌员工处理。此外,在使用第三方服务来审查数据的情况下,谷歌通常提供文本,不提供音频。

谷歌会无限期地存储Google Assistant录制的音频片段。但是,谷歌与亚马逊和苹果一样,允许用户永久删除这些录音,并选择不参与未来的数据收集。尽管如此,谷歌在其隐私政策中表示,可能保留与服务相关的信息,以防止垃圾邮件和滥用,并改善服务。

微软
微软的一位代表表示,微软的支持页面中概述了微软在Cortana方面的隐私做法。微软收集语音数据是为了加强Cortana对个人用户语音模式的理解,不断改进Cortana的识别和响应,以及改进其他使用语音识别和理解的产品和服务。

但是还不清楚是由微软员工还是第三方承包商进行人工审查,以及数据是如何匿名的。但该公司表示,只有启用了“Hey Cortana”功能的电脑,Cortana才会收集语音。微软允许用户通过访问Windows 10中的控制面板或搜索页面来选择退出语音识别。

SSL加密技术——数据传输的网络安全使者

SSL协议是目前全球等级较高的加密安全协议,为网络传输提供加密安全通道,保护信息传递安全。

SSL加密技术——数据传输的网络安全使者

什么是SSL加密?
SSL 的英文全称是 “Secure Sockets Layer” , SSL 协议指定了一种在应用程序协议(如 HTTP 、 Telenet 、 NMTP 和 FTP 等)和 TCP/IP 协议之间提供数据安全性分层的机制,它为 TCP/IP 连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证。

SSL加密技术
SSL是一种安全保密协议,在浏览器(如Internet Explorer、Netscape Navigator)和Web服务器(如Netscape的Netscape Enterprise Server、ColdFusion Server等等)之间构造安全通道来进行数据传输,SSL运行在TCP/IP层之上、应用层之下,为应用程序提供加密数据通道,它采用了RC4、MD5以及RSA等加密算法,使用40 位的密钥,适用于商业信息的加密。

因为HTTPS协议内置于浏览器中,HTTPS实际上就是HTTP over SSL,它使用默认端口443,而不是像HTTP那样使用端口80来和TCP/IP进行通信。HTTPS协议使用SSL在发送方把原始数据进行加密,然后在接受方进行解密,加密和解密需要发送方和接受方通过交换共知的密钥来实现,因此,所传送的数据不容易被网络***截获和解密。

网站如何通过加密和用户安全通信
TLS/SSL中使用了非对称加密,对称加密以及HASH算法。握手过程的具体描述如下:
1、浏览器将自己支持的一套加密规则发送给网站。
2、网站从中选出一组加密算法与HASH算法,并将自己的身份信息以证书的形式发回给浏览器。证书里面包含了网站地址,加密公钥,以及证书的颁发机构等信息。
3、浏览器获得网站证书之后浏览器要做以下工作:

a) 验证证书的合法性,如果证书受信任,则浏览器栏里面会显示一个小锁头,否则会给出证书不受信的提示。

b)如果证书受信任,或者是用户接受了不受信的证书,浏览器会生成一串随机数的密码,并用证书中提供的公钥加密。

c) 使用约定好的HASH算法计算握手消息,并使用生成的随机数对消息进行加密,最后将之前生成的所有信息发送给网站。

4、网站接收浏览器发来的数据之后要做以下的操作:

a) 使用自己的私钥将信息解密取出密码,使用密码解密浏览器发来的握手消息,并验证HASH算法是否与浏览器发来的一致。

b) 使用密码加密一段握手消息,发送给浏览器。

5、浏览器解密并计算握手消息的HASH,如果与服务端发来的HASH一致,此时握手过程结束,之后所有的通信数据将由之前浏览器生成的随机密码并利用对称加密算法进行加密。

数据泄露之后,“他们”怎么用你的信息盈利?


数据泄露

数据泄露事件发生之后,大量数据被泄露并在线暴露(通常是个人和专业信息)。因此,鱼叉式网络钓鱼攻击具有高度针对性和定制性,并且比传统的网络钓鱼攻击更有可能取得成功。攻击者可以使用泄露的信息来发起严格针对组织的大型网络钓鱼活动。

一般而言,鱼叉式网络钓鱼是一种有针对性的电子邮件骗局,其唯一目的是访问敏感数据。与执行广泛和分散攻击的网络钓鱼诈骗不同,鱼叉式网络钓鱼仅攻击特定目标。攻击者通常使用数据泄露所暴露的数据来获取有关受害者和组织的更多信息。为了提高这类攻击的成功率,这些消息通常包含为什么需要敏感信息的解释。如果受害者打开恶意附件或点击链接,他们就会被重定向到欺骗性网站,要求他们提供敏感信息,如密码、帐号、信用卡号、访问代码和个人信息号码(PIN码)。

鱼叉式网络钓鱼具有定制化、精准化的特性,传统的安全措施通常无法阻止这些攻击。 因此,鱼叉式钓鱼越来越难以被检测到。 一个员工失手点击了钓鱼邮件,可能会对企业、政府乃至非营利组织带来严重后果。利用窃取到的数据,欺诈者可以透露商业敏感信息、操纵股票价格或进行各种间谍活动。此外,鱼叉式钓鱼攻击还可以部署恶意软件来劫持计算机,将该计算机所在的网络变成可用于 DoS 的庞大僵尸网络。

HTTPS 中对称加密与非对称加密的优缺点对比

对称加密
加密 encryption 与解密 decryption 使用的是同样的密钥 secret key,对称加密是最快速、最简单的一种加密方式。加密和解密算法是公开的,秘钥必须严格保存,如果秘钥泄露,别人就能够用密文+秘钥还原成你的明文。对称加密有很多种算法,由于它效率很高,所以被广泛使用在很多加密协议的核心当中。

对称加密通常使用的是相对较小的密钥,一般小于 256bit。因为密钥越大,加密越强,但加密与解密的过程越慢。如果你只用 1bit 来做这个密钥,那黑客们可以先试着用 0 来解密,不行的话就再用 1 解;但如果你的密钥有 1MB 大,黑客们可能永远也无法破解,但加密和解密的过程要花费很长的时间。

比如常见的 DES/AES 都是属于对称加密算法。
优点:算法公开、计算量小、加密速度快、加密效率高。

缺点:秘钥的管理和分发非常困难,不够安全。在数据传送前,发送方和接收方必须商定好秘钥,然后双方都必须要保存好秘钥,如果一方的秘钥被泄露,那么加密信息也就不安全了。
HTTPS 中对称加密与非对称加密的优缺点对比

非对称加密
非对称加密算法需要两个密钥来进行加密和解密,这两个秘钥是公开密钥(简称公钥)和私有密钥(简称私钥),即常说的“公钥加密,私钥加密”或“私钥加密,公钥加密”。
私钥只能由一方安全保管,不能外泄,而公钥则可以发给任何请求它的人。
非对称加密使用这对密钥中的一个进行加密,而解密则需要另一个密钥。

RSA 就是最常用的非对称加密算法。
比如,你向银行请求公钥,银行将公钥发给你,你使用公钥对消息加密,那么只有私钥的持有人–银行才能对你的消息解密。
与对称加密不同的是,银行不需要将私钥通过网络发送出去,因此安全性大大提高。
虽然非对称加密很安全,但是和对称加密比起来,它非常的慢,所以我们还是要用对称加密来传送消息,但对称加密所使用的密钥我们可以通过非对称加密的方式发送出去。

优点:安全性更高,公钥是公开的,秘钥是自己保存的,不需要将私钥给别人。

缺点:加密和解密花费时间长、速度慢,只适合对少量数据进行加密。

对称加密加密与解密使用的是同样的密钥,所以速度快,但由于需要将密钥在网络传输,所以安全性不高。
非对称加密使用了一对密钥,公钥与私钥,所以安全性高,但加密与解密速度慢。
解决的办法是将对称加密的密钥使用非对称加密的公钥进行加密,然后发送出去,接收方使用私钥进行解密得到对称加密的密钥,然后双方可以使用对称加密来进行沟通。

多款锁屏勒索恶意程序曝光,不看小心中招!

刺激战场

国家互联网应急中心天津分中心通过自主监测和样本交换形式在近日发现了35款锁屏勒索类恶意程序变种,其中“吃鸡神器”相关的应用占据多数。

被曝光的恶意程序变种包括圈圈神器、卡钻助手、秒抢红包、百变语音、吃鸡辅助、刺激战场辅助、酷跑刷钻助手、绝地求生最新辅助等。该病毒通过对用户手机锁屏威胁用户付费解锁,以此劫取钱财。为了方便联络,恶意程序制造者还留下了联系方式以及昵称等信息。

国家互联网应急中心天津分中心安全专家介绍称,这35款应用程序一经下载运行便会私自重置用户手机锁屏PIN密码并监测开机自启动广播,致使用户手机进入熄屏状态。一旦用户触发开机自启动广播,便会启动锁屏代码,显示恶意程序预留联系方式,提示用户付费解锁。

因此,安全专家提醒不要下载上述恶意程序,避免遭遇勒索。应用程序也有可能通过调用手机执行系统功能通过短信、微信的方式向用户发布恶意链接或文件,因此不要轻易点击。

值得一提的是,在被曝光的恶意程序中有不少为游戏外挂类产品,而随着绝地求生、王者荣耀等游戏的火爆,恶意程序制造者打擦边球的行为会对更多用户造成伤害。因此,安全专家特别提醒:“玩手机游戏时,除了需要警惕虚假外挂软件外,在购买游戏装备、进行游戏账号交易等时同样需要提高安全防范意识。”

WPA3发现新漏洞,Wi-Fi密码可被破解?

wifi

作为 Wi-Fi 身份验证标准 WPA2 技术的后续版本, WPA3 同时兼容 WPA2 标准。同时,新的标准将加密公共 Wi-Fi 网络上的所有数据,可以进一步保护不安全的 Wi-Fi 网络。

尽管如此,黑客仍然可以通过专门的,主动的攻击来窃取数据。但是, WPA3 至少可以阻止强力攻击。此次被曝漏洞一共有五个,其导致的攻击类型可简单分为基于 WPA3 标准的降级攻击、侧信道攻击和拒绝服务攻击三种。详细情况如下:

1、降级攻击:

Downgrade to Dictionary Attack :可以使支持 WPA2 / WPA3 的设备强制使用 WPA2 ,接着可以使用对 WPA2 类型的攻击方法。

Group Downgrade Attack :如果设备支持多种椭圆曲线,可以迫使它使用安全性最弱的一种。

2、侧信道攻击:

Cache-Based Side-Channel Attack :如果拥有在受害者设备上执行命令的权限,可以从缓存中确定 WPA3 加密算法中的某些元素。

Timing-Based Side-Channel Attack:在加密算法中使用了一个迭代次数( iterations )参数来执行编码,该参数值由密码、 AP 和客户端双方 MAC 地址决定。通过计时可能还原出该参数。

3、拒绝服务攻击:

Denial-of-Service Attack :伪造大量客户端发起握手可能消耗掉 AP (无线访问接入点WirelessAccessPoint)的所有资源。

值得庆幸的是,安全人员已经在第一时间将情况上报给了 Wi-Fi 联盟,并针对受影响的设备厂商展开了一系列部署。目前,尚未发现有 APT 组织利用上述漏洞执行攻击行动,少部分受影响的路由器厂商可以通过补丁来解决。

浅析网站安全面临的风险和挑战

随着互联网的普及,网站安全变得越来越重要。企业的运维团队需要掌握基本的web安全知识,防患于未然。

浅析网站安全面临的风险和挑战

网站面临的安全风险和挑战
1、网站攻击&网站漏洞
针对网站的攻击呈现复杂性和多样性,如SQL注入,XSS等攻击对于企业网站正常运行产生很大威胁,针对不断出现的网站漏洞如何全面的防护是一个企业网站面临的重要课题。

2、DDoS & CC攻击
恶意竞争者或黑客利用大量“肉鸡”发出大流量攻击或连接数攻击,攻击方式复杂多变,使网站无法访问导致业务中断,带来的后果很可能是上百万的收入损失以及大量的业务客户流失,尤其在活动期间影响尤其严重 。

3、数据窃取&泄露,拖库
网站是企业对外开放的门户,会成为黑客利用获取数据的主要手段,数据一旦泄露,不仅对企业造成利益损失,还很可能带来公关危机.

4、 网页篡改
企业网页被篡改,挂马,不仅客户体验降低,同时会面临运营风险,甚至法律风险,产生公关危机,保证网页不被篡改是也是企业网站所要重点关注的。

网站安全防护
1、网站入侵防护
①Web应用防火墙
针对HTTP(s)请求进行异常检测,对攻击者的恶意攻击进行防护,如SQL注入、XSS跨站、网站挂马、漏洞入侵等,保护云服务器的WEB应用安全。

②SL证书
为用户建立的网站提供基于数字证书的可信身份认证支持,避免网站被仿冒。对客户端与网站传输数据加密,防止数据中途被窃取,维护数据完整性,防止被篡改 。
漏洞扫描
定期执行漏洞扫描,发现网站漏洞并提供修复建议,提升网站安全性,提前防范黑客利用漏洞攻击。

2、DDoS&CC攻击防护
①DDoS高防服务
防御能力强:5T+ DDoS高防总体防御能力,单IP最高600G防御能力,抵御各类网络层、应用层的DDoS攻击。
扩展能力强:通过基础带宽+弹性带宽的购买方式,DDoS防护阈值支持弹性调整,可随时升级更高级别的防护。

②Web应用防火墙
配置灵活:可根据IP或者Cookie设置灵活限速策略,精准识别CC攻击,保障业务运行 。
接口定制:用户可根据业务需要,配置响应动作和返回页面内容,满足业务定制需要 。

3、网页防篡改
网页防篡改功能保护网站的网页、电子文档、图片等文件不被黑客篡改和破坏。

①实时阻断
对网站文件、目录进行保护,拦截黑客的篡改操作,达到防止网页被篡改的目的。
②文件还原
实时监控受保护的文件和目录,发现文件被篡改时,立即获取备份的合法文件并进行文件还原。

详解DES/3DES/AES 三种对称加密算法在 Java 中的实现

对称密码算法是当今应用范围最广,使用频率最高的加密算法。它不仅应用于软件行业,在硬件行业同样流行。各种基础设施凡是涉及到安全需求,都会优先考虑对称加密算法。对称密码算法的加密密钥和解密密钥相同,对于大多数对称密码算法,加解密过程互逆。

(1)加解密通信模型

详解DES/3DES/AES 三种对称加密算法在 Java 中的实现

(2)特点:算法公开、计算量小、加密速度快、加密效率高。
(3)弱点:双方都使用同样密钥,安全性得不到保证。

对称密码有流密码和分组密码两种,但是现在普遍使用的是分组密码:
(4)分组密码工作模式
ECB:电子密码本(最常用的,每次加密均产生独立的密文分组,并且对其他的密文分组不会产生影响,也就是相同的明文加密后产生相同的密文)
CBC:密文链接(常用的,明文加密前需要先和前面的密文进行异或运算,也就是相同的明文加密后产生不同的密文)
CFB:密文反馈
OFB:输出反馈
CTR:计数器

常用对称密码:
DES(Data Encryption Standard,数据加密标准)
3DES(Triple DES、DESede,进行了三重DES加密的算法)
AES(Advanced Encryption Standard,高级数据加密标准,AES算法可以有效抵制针对DES的攻击算法)

先来看一下这三种算法的简单对比:
详解DES/3DES/AES 三种对称加密算法在 Java 中的实现

下面我们看如何使用 DES / 3DES / AES 三种算法实现 对称加密:
DES算法
DES:数据加密标准,是对称加密算法领域中的典型算法
特点:密钥偏短(56位)、生命周期短(避免被破解)
Java实现
1)生成密钥
详解DES/3DES/AES 三种对称加密算法在 Java 中的实现
2)加密
详解DES/3DES/AES 三种对称加密算法在 Java 中的实现
3)解密
详解DES/3DES/AES 三种对称加密算法在 Java 中的实现

我们可以发现,加密解密我们只是设置了不同的模式而已。

3DES算法
3DES:将密钥长度增至112位或168位,通过增加迭代次数提高安全性
缺点:处理速度较慢、密钥计算时间较长、加密效率不高
Java实现
1)生成密钥

详解DES/3DES/AES 三种对称加密算法在 Java 中的实现
2)3DES加密

详解DES/3DES/AES 三种对称加密算法在 Java 中的实现
3)3DES解密

详解DES/3DES/AES 三种对称加密算法在 Java 中的实现

AES算法(推荐使用)
AES:高级数据加密标准,能够有效抵御已知的针对DES算法的所有攻击
特点:密钥建立时间短、灵敏性好、内存需求低、安全性高
Java实现
1)生成密钥

详解DES/3DES/AES 三种对称加密算法在 Java 中的实现
2)AES加密

详解DES/3DES/AES 三种对称加密算法在 Java 中的实现
3)AES解密

详解DES/3DES/AES 三种对称加密算法在 Java 中的实现

vivo手机怎么加密文件?

手机是我们生活中最离不开的一个数码产品了,随着使用手机的时间增长,我们手机中储存的重要文件也越来越多,不可避免的会产生一个需求——手机文件加密和隐藏。今天小编就教大家,使用vivo手机怎么加密文件。

方法一:使用vivo自带的保密柜加密

1、打开文件管理,点击【文件保密柜】。

文件保密柜

2、设置密码,可以设置图案密码,也可以设置数字密码(4-16位)。

设置密码

3、设置安全问题,当你忘记密码时,可以通过设置的问题答案找回密码。

设置安全问题

4、建立好文件保密柜后,就可以加密文件了。可以加密通讯联系人、图片、视频、音频等文件。

加密文件

方法二:使用misuo加密

misuo是一款高强度手机文件加密软件,可以加密照片、视频、音频、文档等常见文件类型,重要文件可以一键全选加密或解密,并且可以设置伪装登录密码,使用伪装密码进入软件后,无法看到加密的文件且不能进行任何操作。让你的加密数据更加安全隐秘。

misuo

有两种加密方法,一种是根据文件类型分类选择加密,比如要加密图片,打开misuo,进入【图片】分类,点击右下角的+号,就可以看到手机中全部图片,再找到你要加密的图片选择加密。

一种是根据文件路径选择加密,打开misuo,进入【其他】分类,点击右下角的+号,先选择SD卡或内部存储,再找到文件所在路径选择加密。

你知道勒索软件是如何工作的吗?

目前勒索软件仍然是最大的网络犯罪方法之一,也是企业今天遇到的最大威胁之一。

你知道勒索软件是如何工作的吗?

如果你突然拒绝访问你的网络和数据,你的业务会发生什么?大多数公司将被迫完全停止运营。如果突然被拒绝管理库存,收款或甚至沟通的能力。勒索软件是一种特定类型的恶意软件,其数据就是一个组织最宝贵的资源。

一旦引入组织的网络,勒索软件就可以快速加密系统及其文件。从那里,恢复数据和恢复操作的唯一方法通常是支付高昂的费用来解锁文件。通过从数据备份中恢复,组织可以在不支付赎金的情况下进行恢复,但如果这些数据不完全是最新的,公司可能仍会遭受重大损失。

勒索软件特别狡猾的,因为它可以快速传播到网络中。近年来,它已经成为一种常见的威胁,因为网络越来越多地暴露于移动和物联网(IoT)设备形式的额外漏洞,以及改进的网络钓鱼和社交工程技术。与其他威胁不同,勒索软件可以向受害者表明自己的身份。

加密威胁时代的勒索软件

从某种意义上说,威胁和勒索软件密切相关。由于加密货币,勒索软件和密码组织最近都在激增。由于加密货币的兴起,勒索软件变得越来越受欢迎,因为它使网络犯罪分子更容易立即收取赎金支付而且没有被跟踪的威胁。

加密现在是有利可图的,因为加密货币很有价值。如果加密货币作为一个整体陷入低迷,那么攻击者可能会更有利于返回寻求赎金而不是采矿。

此外,虽然密码学在今年的新闻中占据了很多,但已知攻击的数量实际上在1月达到顶峰,并且从那时起大幅下降。随着系统的修补,高级威胁解决方案的更新以更好地识别加密软件,加密的有效性会降低。

即使加密技术总是比勒索软件更有利可图,但这并不意味着勒索软件将会消失。恶意攻击者经常对受害者使用多种威胁,以查看受害者易受伤害的情况。如果他们认为勒索软件将是更有利可图的攻击类型,那么他们将使用它。

如何抵御勒索软件

勒索软件通过许多攻击途径分发,但主要入口点仍然是通过电子邮件。为了防御勒索软件,公司需要特别警惕升级,更新和维护其威胁检测技术。针对勒索软件的最佳实践防御始于频繁备份。另一个越来越可行的选择是将所有数据存储在云中,因此如果计算机被勒索软件感染,用户可以简单地重新映像整个事物而不会丢失一个字节的数据。

三星Galaxy S10的超声波指纹识别也能被破解?

三星Galaxy S10

据外媒报道,三星Galaxy S10超声波生物识别指纹扫描仪中存在安全漏洞,黑客可以使用手机用户的3D打印指纹通过验证。

三星Galaxy S10和S10+使用了超声波指纹识别技术,它比传统的指纹扫描技术更安全。三星曾声称,即使有人有用户指纹的3D图像,超声波指纹识别技术也不会让他们侵入用户的手机。但现在研究人员已经证明,3D打印的指纹可以。

研究人员darkshark曾先用手机拍下自己在酒杯上留下的指纹,用Photoshop处理照片,在照片中只留下指纹。随后,他将图像导入3DSMax软件中创建了一个三维模型,然后用AnyCubic Photon LCD打印机将指纹打印在一块树脂上。最后,他用这个3D指纹成功解锁了手机。

这一漏洞带来了许多安全问题,由于大多数银行应用程序只需要指纹认证,如果只用指纹来保护手机,那么所有的信息都可能被窃取,银行卡里的钱也可以在不到15分钟内全部花光。

三星曾表示,在手机进行指纹识别时,有一种机器学习算法来帮助检测真实指纹和伪造3D复制品之间的差异,但darkshark实验的方法与三星的说法貌似不符。

虽说这个方法可以破解指纹识别技术,但是实际操作起来还是比较麻烦,一般不必太过担心。希望三星会在未来的版本或软件更新中解决这个问题。

如何使用文件夹加密超级大师的“移动加密”功能?

Ice 10:11:01
您好,我是夏冰软件在线客服,很高兴为您服务。请问有什么我可以为您效劳的 ?

Time 10:14:04
我想给文件加密,加密之后发给别人使用,我看你们的文件夹加密超级大师软件介绍里面有一种移动加密的功能,但是我没有找到这个加密方式啊?

如何使用文件夹加密超级大师的“移动加密”功能?

Ice 10:15:18
您好,这个移动加密的加密方式是在您加密的时候选择的呢!

右键单击要加密的文件(或文件夹),点击【加密】,在弹出的页面设置密码,然后在加密类型这里点击后面的倒三角,选择【移动加密】,然后点击【加密】,加密完成。

如何使用文件夹加密超级大师的“移动加密”功能?

Time 10:16:44
Ok,谢谢

Ice 10:16:57
您太客气了,这是我们应该做的呢!

Time 10:19:33
你们这几种加密类型有什么区别呢?

Ice 10:20:11
五种加密类型的区别:

闪电加密:速度快,对文件夹没有大小限制,无论多大都可以在几秒内加密完毕。
隐藏加密:加密后,数据被彻底隐藏,只能通过软件打开或解密。
金钻加密:把文件夹加密成一个加密文件, 打开或解密时需要输入密码。特点是安全性极高,没有正确密码任何人无法打开或解密。使用金钻加密加密文件时是有大小限制的,加密的文件不能超过1988M。
全面加密:把文件夹里面的所有文件加密成加密文件, 打开文件夹不需要密码,但是打开里面的每个文件都需要密码。
移动加密:把数据加密成exe文件,可以移动到其他没有安装软件的电脑上解密,也可以通过网络传输。加密文件时是有大小限制的,大小不能超过1988M。

注意:金钻加密,移动加密,全面加密忘记密码无法解密,所以请您牢记密码。

Time 10:22:03
好的,我先试用,如果好的话,我会购买的。

Ice 10:22:46
好的,请您先试用哦,软件是可以免费试用的呢!

底层加密算法,保障数字钱包安全的神秘力量

在这个数字加密货币百花齐放的时代,通证经济带动了区块链产业与信任网络的快速发展与突破,其中尤以数字钱包对应巨大市场与应用机遇获得前所未有的关注。

数字钱包的本质功能要求安全性是刚需,钱包对外虽然呈现着不同的功能,充值、提现、转账等,但从本质上来说只有一个功能,那就是转账。

底层加密算法,保障数字钱包安全的神秘力量

钱包的存储转账本质,驱动了对数字资产的高度安全需求
正由于其连网,给了黑客攻击的基础条件,钱包安全性会受到挑战。网络攻击是去中心化钱包面对的最大的安全隐患,存在的攻击情况主要是两大类:一类是网络传输攻击:MITM中间人攻击、RPC接口调用权限攻击;另一类是客户端文件管理攻击:安装包安全性、终端不良程序对关键文件的访问、终端关键文件加密方式、终端关键文件备份过程显示方式、助记词等关键信息生产和管理、导入其他钱包生产的私钥和助记词安全。

从技术实现的层面来说,数字资产钱包实现主要包含三个部分:1,钱包自身设计,如何生成助记词,keystore和密码等;2,私钥、公钥和地址产生的方法;3,钱包运程调用各公链RPC接口设计。

由此可见保障资产安全防攻击的基础技术核心在于密码学和底层的设计。

首先是算法必须是安全的
当前区块链或者数字货币技术中使用到的哈希算法和数字签字的算法,都是应对的传统攻击模型。目前的底层加密算法是否安全是算法安全的核心问题。比方说MD5和SHA-1算法,哈希函数算法MD5与SHA-1,居于国际应用范围最广的重要算法之列,然而目前这两个算法却被证明有重大安全漏洞,之前却一直被认为是安全的。由于这些系统承载了虚拟数字资产,底层算法的潜在问题一旦暴露,会对资产安全构造严重威胁。

其次协议必须是安全的
安全协议是建立在密码体制基础上的一种交互通信协议,它运用密码算法和协议逻辑来实现认证和密钥分配等目标。协议安全的核心问题就是,现在数字货币所设计的协议能否通过理论的验证。

KuPay钱包底层安全性是如何设计的
首先在算法安全方面,kuPay使用 Argon2 算法作为默认 Hash 算法

Argon2 算法是全球密码竞赛的冠军算法,它是一个密钥导出函数,并提供了几个改进的版本。最大限度地提高了对GPU破解攻击的抵抗力,它以密码相关的顺序访问存储器阵列,这降低了时间,并且Argon2的升级版优化了抵御侧向通道攻击的能力,它以密码无关的顺序访问内存阵列。

由于 Argon2 大量消耗内存且对多线程和 GPU 运算不敏感,安全性比传统 Hash 算法高出 一个维度。加盐之后的 Argon2 算法可以在数百年内抵御包括量子计算在内的人类已知的所有密码破解方案。

其次在加密协议安全方面,kuPay使用ECDH+AES 端对端加密方案
第一是使用了ECDH密钥协商协议作为匿名密钥交换协议,ECDH是基于ECC的DH密钥交换算法。通过ECDH,双方可以在不共享任何秘密的前提下协商出一个共享秘密,因此,ECDH广泛用于协议之中,通过ECDH得到对称加密密钥。ECDH具有ECC的高强度、短密钥长度、计算速度快等优点。然后是在密钥交换之后,使用AES加密算法对数据进行加密。

采用ECDH+AES端对端加密的综合方案,可谓是将数字钱包的技术底层安全设计做到了极致。在钱包产品方做好技术安全的前提下,很多细枝末节往往成为成败的关键。比如用户的一些使用习惯和隐私保护等,用户保存密码或者截图私钥等习惯,可能保存的数据不会立马有直接的危害,但是网络系统相关的漏洞可能使黑客拿到用户的账户和私钥,一旦成功就能直接把用户地址里面的资产全部拿走。

常见存储加密方式对比

信息时代,我们对于数据安全和个人隐私越来越重视,市面上的加密存储产品也越来越多。今天我们就来了解一下目前存储市场中都有哪些保护个人隐私的加密方式,哪种又更适合你更安全呢?

指纹加密

如果觉得密码容易忘,也可以购买具备在手机解锁中常见有指纹加密方式的存储产品,你不需要记住各式各样的密码组合,只需要轻轻按压即可快速指纹解锁。由于具备唯一性,任何人都不可替代,指纹加密方式可说是快捷又安全,也省去每次输入密码的麻烦。

智能加密

智能加密也是有效保护用户数据安全的好途径,我们通过移动智能设备对存储产品进行蓝牙控制,在特定范围内自动解锁实现数据访问,当离开安全距离时,盘符消失,移动存储产品不可见。

智能加密方式的好处在于你不需要熟记密码或验证指纹,只需要存储设备和移动设备在特定距离靠近,即可实现自动连接,保护数据安全。

智能加密对距离有特殊要求,一般来说,当存储设备接入电脑后,移动智能设备在5米范围内,该存储设备是会自动解锁的,正常无加密方式访问传输资料;但是当手机、平板等移动智能设备离开了5米范围,在电脑就无法发现存储设备盘符;而当移动设备再次靠近电脑的存储设备,该盘符又会再次出现,当你选择手动认证时,通过开关手机的蓝牙功能,随时可对移动硬盘加锁或解锁。

硬件加密

对于个人用户来说,最常用的移动存储产品主要是移动硬盘、U盘等,它们小巧便携,有固定的容量,常被用来移动各种工作、娱乐或学习文件,由于在使用过程中有可能会经手他人,再加上部分文件的隐私及保密性,给移动存储产品加密就成了必要的需求。

目前来说,安全程度最高的加密方式是硬件加密。硬件加密是指采用AES 128位或256位硬件数据加密技术对产品硬件进行加密,由于整个加密过程在存储产品内部完成,具备防止数据泄露的功能,硬件加密安全性最高,能有效防止暴力破解、密码猜测和数据恢复功能。但是需要用到专门的硬件加解密芯片进行加密,成本也会比较高。

软件加密

软件加密使用简单,最常见,不少存储产品都会随机附赠自带的安全备份或加密软件,通过内置的加密软件来实现移动存储产品的数据保护功能,这也是最常见的数据加密方式——软件加密。

软件加密,一般是通过密码加密,这样的方式可以杜绝加密中通过破解密码工具就可以读取存储设备数据的缺点,加密过程一般需要在PC端完成,比如U盘超级加密3000

U盘超级加密3000

数据资产梳理可以保护公民信息,防止数据泄露

数据泄漏事件,层出不穷。从印度的国家身份识别数据库数据泄露到挪威卫生局信息系统数据泄露,圆通、顺丰、华住集团、万豪喜达屋以及刚刚被披露的丰田数据泄露。这些政府部门及大型商业组织都拥有相对健全的网络安全防护手段,但数据泄露事件仍然时有发生,究其根本,除了数据安全保护难度大外,在每一起事件的背后,都有数据安全管理不得当的影子。

有的放矢才能事半功倍
近期国内各重点行业和相关单位都在开展加强对重要数据和公民个人信息的安全保护的专项治理工作。通过对数据资产梳理,形成数据资产清单,可以对互联网相关的重要数据和个人信息采集、存储、传输、使用、提供、销毁等环节的具体情况清楚把握,在此基础上进一步排查信息系统和数据库,是否存在弱口令、未授权访问、数据明文传输、缺少安全审计,访问控制、策略不严等突出安全隐患,才能聚焦数据安全突出风险进行安全保护,进而有的放矢的完善数据全生命周期安全保护,切实提升重要数据和公民个人信息安全保护能力。

数据资产梳理可以保护公民信息,防止数据泄露

数据资产梳理关键技术
1、基于网络嗅探技术,自动寻找发现网络环境中存在的数据库。
需要支持多种数据库自动发现,主动嗅探网内数据库的发现技术,可以指定IP段和端口的范围进行搜索,也可以基于访问流量解析自动发现与识别数据库的技术。

2、基于特征匹配的敏感数据探测技术,自动梳理数据库中个人隐私敏感数据分布。
一般应用的后台数据库都成千上万张表,要保护核心数据资产,首先要了解核心数据资产在什么地方,需要能够从海量数据中快速发现敏感数据,定位敏感数据存储与分布,统计敏感数据量级,可以通过敏感数据发现功能对个人敏感信息、信用卡账户信息、企业敏感信息等的表和列进行扫描,也支持用户自定义敏感对象搜索关键字功能。

3、基于数据使用与监测技术,可动态梳理敏感数据使用情况。
针对应用系统运行、开发测试、对外数据传输和前后台操作等使用环节,对数据的流转、 存储与使用进行监控,对应用侧、内部运维侧及开发测试的访问行为,对访问敏感数据的频次进行热度分析。

数据资产梳理,是帮助组织厘清数据资产,实现分级分类管理保护的基础,是数据安全治理中数据资产状况摸底的落地支撑,也是大数据时代,保障数据资源开放共享的关键一环。

手机中病毒还被恶意扣费?可能是因为你做了这些事……

你的手机中过病毒吗?是否下载了某个APP后,骚扰广告短信不断呢?有没有误点了某个链接或安装了某个APP后被恶意扣费呢?相信这些情况大多数人都遇到过。

案例

潍坊315晚会上做过一个实验,实验人员搭建了一个局域网,邀请主持人和观众加入,扫描二维码下载小游戏,主持人在体验小游戏时,设备上的照片便不知不觉被窃取了。实验人员表示,除了照片,还能窃取通讯录、通话记录、短信,甚至是摄像头!

原理

通过二维码安装游戏,启动游戏时,木马也随之启动,木马自动连接在黑客事先部署好的服务器上,黑客在服务器上对木马下达指令(比如盗取用户相册、打开摄像头等),木马就会把窃取的数据传到服务器中。在这个过程中,手机没有任何弹窗或提示,数据就已经被黑客窃取了。

有没有感觉很可怕呢?

防范

1、选择官方下载

手机自带的应用商店对上传APP的信息审核是非常严格的,而且每个应用都表明了相应的开发者,可以查看APP开发者信息,而且很多应用商店还会为APP加安全标签,比如“官方”、“无病毒”、“无广告”等,认准这些下载。

2、谨慎Root

越界有风险,爬墙需谨慎。Root后的设备更容易被恶意APP破坏,且破坏程度比一般非Root设备更严重。同时Root之后,大家可以随意删除系统文件,所以非常容易由于误删造成系统的崩溃。

3、注意系统提示的权限信息

在安装APP时,都会有系统提示请求获取某些系统权限,比如要求“读取存储设备权限”、“短信权限”等。一定要根据该APP的功能需求,慎重选择是否同意授权。

4、加密保护手机中的重要文件

使用手机自带的加密功能保护手机中的重要文件,比如华为手机可以在文件管理里,启用“保密柜”功能,对文件加密。

也可以使用第三方加密软件对重要文件加密,比如misuo。

MISUO

 

浅析四种常见数据库加密技术

随着数据库加密技术在国内市场的兴起,更多数据安全企业的涌入,市面上出现了几种具有代表性的数据库加密技术。

浅析四种常见数据库加密技术

前置代理及加密网关技术
该方案的总体技术思路即在数据库之前增加一道安全代理服务,对数据库访问的用户都必须经过该安全代理服务,在此服务中实现如数据加解密、存取控制等安全策略。然后安全代理服务通过数据库的访问接口实现数据存储。安全代理服务存在于客户端应用与数据库存储引擎之间,负责完成数据的加解密工作,加密数据存储在安全代理服务中。

应用层改造加密技术
应用层加密方案的主要技术原理是应用系统通过加密API(JDBC,ODBC,CAPI等)对敏感数据进行加密,将加密数据存储到数据库的底层文件中;在进行数据检索时,将密文数据取回到客户端,再进行解密,应用系统自行管理密钥体系。

基于文件级的加解密技术
顾名思义,基于文件级的加解密技术是不与数据库自身原理融合,只是对数据存储的载体从操作系统或文件系统层面进行加解密的技术手段。
这种技术通过在操作系统中植入具有一定入侵性的“钩子”进程,在数据存储文件被打开的时候进行解密动作,在数据落地的时候执行加密动作,具备基础加解密能力的同时,能够根据操作系统用户或者访问文件的进程ID进行基本的访问权限控制。

基于视图及触发器的后置代理技术
这种技术是使用“视图”+“触发器”+“扩展索引”+“外部调用”的方式实现数据加密,同时保证应用完全透明。核心思想是充分利用数据库自身提供的应用定制扩展能力,分别使用其触发器扩展能力、索引扩展能力、自定义函数扩展能力以及视图等技术来满足数据存储加密,加密后数据检索,对应用无缝透明等核心需求。

Facebook新安全漏洞:上亿用户数据可被人轻易获取

facebook

此次再度爆出的Facebook公司数据安全隐患的,是来自于网络安全公司UpGuard的调查。调查结果发现,Facebook上亿用户数据,被保存在亚马逊云计算服务器AWS上,而这些信息无意中可以被任何人轻易地公开获取。这里显示出几个关键的信息,首先,这些数据并不是脸书自己储存的,而是此前与Facebook公司合作的第三方应用及合作伙伴获取的用户资料。

比如说,Facebook公司的第三方合作伙伴之一,一家位于墨西哥的数字媒体公司Cultura Colectiva,就在不设任何密码的情况下,在亚马逊的存储服务器上留下了超过5.4亿条脸书用户的记录,包括他们的评论、点赞、反应和帐户名称等。而要知道,这样没有设置密码的情况下,意味着,任何人都可以访问这些数据。

UpGuard公司的调查中还发现了一个安全隐患是嵌入Facebook的另外一个开发应用程序,名为At the Pool,这个程序在亚马逊另外一个存储服务器中,放入了更加敏感的资料,容量不是很大但包含了更多敏感信息,包括疑似2.2万名用户的相关密码等信息。虽然这款应用在2014年就下线,但分析指出,这样的例子显示,Facebook公司用户数据的散布程度已经远远超过了Facebook可以控制的范围。

而这两个例子也说明了大规模信息收集和抓取的安全问题。这就是,数据不会自然消失,一旦合作结束,被废弃的数据可能没有得到足够的重视和保护。而这也引发了金融市场上的担心,在隔夜,Facebook公司的股价短线跳水,此前一度涨2%,创下近八个月的新高。但最终Facebook公司收跌超过0.37%。

Facebook公司的发言人在新闻爆出之后对外承认,用户的多组个人数据确实被存放在亚马逊AWS数据库中,但一被告知这个问题,公司便与亚马逊合作删除了有问题的数据库。公司发言人重申,Facebook的政策禁止将用户信息存储在公共数据库中,而目前还没有证据表明数据已经被滥用,但公司正在进行调查。

还在用2345导航站?小心中盗号病毒!

近日有安全团队发现部分“2345导航站”首页的弹窗广告携带盗号病毒,该病毒会偷取QQ、游戏平台(steam、WeGame)、知名游戏(地下城与勇士、英雄联盟、穿越火线)的账号。这是一次设计精巧、组织周密的大规模盗号行动,利用周末时间突然发起攻击,主要目标是网吧游戏用户。

盗号病毒

工程师分析,部分“2345导航站”首页右下角会弹出弹窗广告(上图红色箭头所指),该广告页面一经弹出,即可自动下载病毒,无需用户点击。病毒下载链接自动激活后,首先访问跳板网站“yyakeq.cn”(存放跳板脚本以及flash漏洞),然后再从“ce56b.cn”网站下载病毒,而盗取的QQ、游戏等账号则被上传到“zouxian1.cn”网站。

该病毒利用IE浏览器漏洞和Flash漏洞进行传播,受影响Flash控件版本从21.0.0.180至31.0.0.160。所有使用360、搜狗等主流浏览器的用户,如果其Flash控件是以上版本,都会被感染。

2345、hao774等多个2345旗下导航站中广告内容带有漏洞攻击代码。通过分析确认,初步认定2345旗下导航站被投毒。广告内容涉及浏览器漏洞和Flash漏洞,漏洞代码执行后会从C&C服务器下载执行病毒代码,现阶段发现的病毒代码内容多为盗号病毒。该漏洞攻击只针对特定的推广计费号,再联系其广告内容“高价在线回收所有网游装备/金币”,推断此次攻击主要针对对象主要为网络游戏人群,且针对性极强。

通过对域名yyakeq.cn和ce56b.cn的溯源,发现上述域名分别由名为“武汉跃谱腾科技有限公司”和名为“邵东绿设空间工程设计有限公司”的公司注册,且两公司还注册了至少几千个名称看似毫无含义、近乎随机生成的域名,其中一些域名指向页面包含明显的欺诈内容,所以不排除这些域名是想在未来用作C&C服务的DGA(Dynamic Generation Algorithm)域名。

如何看待特斯拉智能驾驶系统存在被入侵风险

当下,L2级自动驾驶系统已经成为诸多量产车型的标配,更高等级的自动驾驶技术也进入了验证阶段,相信在不久的将来,我们就能体验到纯粹的自动驾驶魅力。

行车安全一直都是消费者最为关注的问题,将控制权全权交由智能系统,必然也将存在一定隐患。在电影《速度与激情8》中,黑客的入侵让诸多汽车失去控制,这一如灾变般狂乱行驶的画面想必让大家印象深刻,而这样的问题在现实中同样存在。

如何看待特斯拉智能驾驶系统存在被入侵风险

马斯克发推文称腾讯科恩实验室发现Autopilot系统漏洞“工作扎实”。腾讯科恩实验室表示,他们可以在无雨的情况下激活特斯拉Model S的自动雨刷,能使用无线游戏手柄控制这款电动汽车,在路上贴一个标记,可导致Autopilot做出错误反应,驶入逆向车道。特斯拉表示,已经通过安全更新解决了让黑客控制Model S转向的漏洞,其他漏洞不会构成实际担忧。

近日腾讯科恩实验室发布报告详细描述了他们成功入侵特斯拉autopilot智能系统的过程。研究人员通过编写的程序,借由视频游戏控制器与移动设备相连,越过真正的车内方向盘和自动驾驶系统,成功控制了目标车辆;另一方面他们还尝试迷惑车辆智能系统,让特斯拉感知系统故障,错误识别地面标线,成功让特斯拉驶入逆向车道。试想如果驾驶特斯拉的是你,面对这样的系统入侵,会是怎样的反应呢?目前科恩实验室已经将这一漏洞提交与特斯拉方面,威胁已然消除,但就此次实验来看,我们也必须明白自动驾驶系统并不是绝对安全。

当然,通过黑入系统以此来操控汽车,并不只发生在搭载自动驾驶系统的汽车上,传统汽车同样存在这样的威胁。只要汽车拥有电动化、智能化原件,那么它就需要通过CAN(控制器局域网络)来交换数据和控制命令,这就是威胁的来源。

当汽车内部控制信息不与外界联系,那么它应当是安全的。而当车联网技术不断发展,人们期望通过手机等工具实现控制汽车时,CAN就出现了缺口,在没有保护程序的时候,外人就有了可乘之机。2015年就有黑客演示了通过汽车蓝牙、WIFI等控制汽车,尽管这类方法有明显的距离限制,但仍引起了广泛关注。而智能驾驶技术所配备的各项感知系统,诸如雷达传感器等的搭载后,CAN的缺口再次被放大,黑客能够侵入的系统自然就更多、更容易。

看到这里,你是不是觉得自动驾驶很可怕呢?其实面对这一问题,我们也需要理性看待。首先我们要明白智能驾驶技术的初衷在于提升行车安全,它的各种安全技术能有效的降低各类事故发生概率,这对于汽车的意义重大。

同时正如电脑病毒有预防程序一样,汽车的系统也存在保护系统,而我们的技术人员也时刻关注着这一问题,不断更新升级着汽车系统。但如许多安全公司所表示的那样,没有一个公司能保证搭载防护程序的汽车是绝对安全的,与计算机安全一样,与黑客的对抗一直都是动态防护的过程,所有的程序都必然存在漏洞,它们能做的是不断发现攻击、阻断攻击、填补漏洞、更新策略。因此我们也需要养成定时更新软件、系统的习惯,确保汽车安全。另一方面,和电脑预防病毒一样,我们要谨慎使用连接到车辆的设备,诸如实体的USB接入、无线的蓝牙、WIFI等,确保他们的安全无害才能保障汽车的安全。