【全球动态】

1.Twitter测试新功能,利用机器学习技术过滤不相关内容【阅读原文

Twitter今日表示,该公司正利用机器学习技术来过滤一些不相关的内容, 以便用户关注特定主题,并查看高质量的帖子。早在2015年就有分析师指出,在Twitter上关注话题是一种混乱的体验。Twitter产品主管凯文·贝克普尔(Kayvon Beykpour)称,Twitter的Android App的一些用户已经在测试这项新功能,并将在今年年底向所有用户发布。

2.苹果再陷官司,双摄像头iPhone被诉侵犯10项专利【阅读原文

据外媒报道,以色列摄像头技术公司Corephotonics日前针对苹果提起诉讼,指控苹果故意在其最新款iPhone上使用Corephotonics已申请专利的双摄像头技术,然后试图用大致相似的知识产权文件进行掩盖。Corephotonics向美国加州北区地方法院提起诉讼,称苹果侵犯了其10项独立专利,包括在手持设备上部署双摄像头系统的方法,以及与先进成像硬件相关的技术。苹果的iPhone 7 Plus、iPhone 8 Plus、iPhone X、iPhone XS和iPhone XS Max,以及配套的成像功能,都被列为侵权产品。

3.美设立新任务小组以应对俄罗斯对2020年大选的干预问题【阅读原文

NSA局长、美国网络司令部司令保罗·中曾根(PaulNakasone)于当地时间周三表示,为了重点应对俄罗斯对该国2020年美国大选的干预问题他们已经成立了一个特别工作组–Russia Small Group。据悉,该机构将吸取美国情报机构在网络空间打击ISIS的经验教训。另外,该小组还将试图复制其在2018年选举中所取得的成功。中曾根表示,这表明美国在网络空间的对手应该认真对待他们的能力。

4.北京将允许外资提供网络视听节目服务【阅读原文

据新京报消息,北京市公布服务业扩大开放综合试点重点领域开放改革三年行动计划。互联网信息领域三年行动计划推出16项开放改革措施。在增值电信业务中,争取更加开放的政策措施落地北京。推动工信部在示范园区放宽国内互联网虚拟专用网业务(VPN)外资准入条件,外资企业开展VPN业务,试点开放外资股比不超过50%,吸引海外电信运营商为在京外资企业提供专属互联网虚拟专用网落地服务。

5.微软:暂不会停止对Skype和Cortana对话的人工审查【阅读原文

Vice Motherboard网站上的一份报告显示,微软正在通过人工承包商来监听Skype翻译和Cortana的语音对话。虽然微软并不是唯一一家使用人工承包商来改进语音识别技术的公司,但问题是这家公司没有在其隐私文件中明确指明这点。而被公布之后这家软件巨头公司在其隐私政策以及Skype和的支持页面上承认了这点。微软解释了什么样的音频内容会被收集以及如何被使用。可能包括微软职工和供应商的转录录音,但会受制于为保护用户隐私设计的程序,包括采取措施去标识化数据、需要跟供应商和职工达成保密协议并要求供应商遵守高隐私标准的欧洲法律和其他规定。

【安全事件】

1.苹果宣布WebKit跟踪预防策略,更妥善保护用户隐私【阅读原文

苹果WebKit团队本周发布了“WebKit Tracking Prevention Policy”(WebKit跟踪预防策略),详细说明了网页追踪技术对于用户的害处,并表示在其浏览器引擎中部署这项技术以阻止此类活动。WebKit跟踪预防策略涵盖了WebKit防范的跟踪类型,替代跟踪对策以及引擎如何处理跟踪预防的意外后果。该文档列出了许多已知的跟踪技术,包括跨站点跟踪,状态跟踪(如cookie和其他基于存储的方法),隐蔽状态跟踪,导航跟踪(如基于URL参数的跟踪或链接修饰,指纹识别和隐蔽跟踪)。

2.上海破获一特大网络交友诈骗案,200多人被押解回沪【阅读原文

据上海市公安局官方微博消息,8月14日22时许,一列来自湖南的动车缓缓驶入上海虹桥火车站,200余名涉嫌网络诈骗的犯罪嫌疑人在上海市公安局青浦分局民警的押解下依次走下火车。至此,在湖南警方的大力协助下,上海警方成功破获一起特大网络交友诈骗案。一个多月来,专案组在上海、湖南、山东、浙江、江苏等地共捣毁诈骗团伙窝点10余处,抓获犯罪嫌疑人300余人,初步查明的涉案金额超过千万元,有力地打击了违法犯罪分子气焰,从源头上痛击了网络诈骗犯罪。

3.安全漏洞导致Suprema Biostar 2百万人指纹数据曝光【外刊-阅读原文

据悉,研究人员在Suprema的系统中发现了一个安全漏洞,使之能够访问超过100万人的身份验证数据。英国《卫报》指出,这些数据包括了指纹/面部识别数据、未加密的用户名和密码、甚至员工的个人信息。以色列研究人员Noam Rotem、Ran Locar与vpnmentor一起寻找到了Suprema的安全漏洞,并且获得了Biostar 2数据库的访问权限。在获得访问权限后,安全研究人员发现该数据库缺乏应有的保护,且大多数据处于未加密的存储状态,很容易访问到总量超过2780万条(23GB+)的记录。除了敏感信息,安全研究人员还能够轻松监控存储的生物识别数据的实际使用情况。比如实时查看哪个用户通过特定的安全门进入任何设施,甚至查看到管理员账户的密码。

4.微软已阻止装有不兼容杀毒软件的Windows 7设备安装更新【阅读原文

今年2月15日,微软官方发布警告要求Windows 7和Windows Server 2008用户启用SHA-2支持,以便每月接收Windows更新。现阶段Windows更新都采用双重签名(SHA-1和SHA-2)以证明其真实性,不过微软计划放弃SHA-1,之后仅使用更安全的SHA-2。微软表示已经暂时对那些具有不兼容版本赛门铁克以及诺顿软件的设备进行保护措施。

5.微软CTF协议曝出漏洞,影响Windows XP发布以来的所有系统【外刊-阅读原文

Google Project Zero安全团队的研究员Tavis Ormandy报告,微软鲜为人知的CTF协议存在漏洞,很容易利用,已在受害者计算机获得立足之地的黑客或恶意程序可以利用该漏洞劫持任何Windows应用,接管整个操作系统。漏洞在于CTF服务器和客户端之间通信是不安全的,没有正确的身份验证。攻击者可以劫持另一个应用的CTF会话,伪装成服务器向客户端发送指令。如果应用运行在高权限上,攻击者可以控制整个操作系统。漏洞影响到XP以来的所有Windows 版本,不清楚微软是否或何时会释出补丁。

6.第一资本银行的黑客还窃取了另外30家公司的数据【外刊-阅读原文

前亚马逊AWS雇员Paige A. Thompson上个月底遭到逮捕,被控从第一资本银行窃取了一亿多用户的数据。本周递交到法庭的诉状显示她还窃取了另外30家公司的数据。检察官Brian Moran在诉状中没有披露这些公司的名字,只是表示目前对数据的分析显示不包含个人信息。他称正在根据数据识别受害者,在受害者识别和通知之后他们预计会增加对Thompson的指控。据信Thompson没有分享或出售她窃取的数据。执法机构在搜查她的家时找到了数据拷贝。

7.卡巴斯基杀毒软件会泄漏用户ID【阅读原文

安全研究人员在测试卡巴斯基杀毒软件时发现它会以安全的名义在用户访问的每一个网页注入它的脚本,而这个脚本还带有唯一ID,这个ID在不同计算机上是不同的,也就是说它可以作为跟踪代码使用。研究人员将这一发现报告给了卡巴斯基。卡巴斯基承认了数据泄漏,它释出了补丁修复了编号为CVE-2019-8286的问题。这个补丁去除了唯一ID,留下了相同的ID,也就是说网站仍然会知道有安装了卡巴斯基软件的用户访问了。

【优质文章】

1.DDoS攻击Tor的成本分析【外刊-阅读原文

Tor是最流行的匿名通信系统,它被普通公民、记者和活动人士用于绕过审查和保护隐私,也被网络罪犯用于非法活动隐藏个人身份。它也日益成为破坏、审查和攻击的目标。有许多方法可以阻止用户使用Tor,如流量过滤、流量指纹、流量关联等等。在今天举行的USENIX安全会议上,美国海军研究实验室和乔治城大学的研究人员发表论文(PDF),探讨了利用DDoS攻击Tor降低其性能和可靠性的方法和成本。研究人员称,DDoS攻击比其它阻止用户使用Tor的方法更为简单和有效,可以很容易租赁第三方服务器完成,无需像网络大炮那样动用整个国家的出口流量去发动攻击。研究人员称,对网桥发动洪水攻击每个月的费用只需要1.7万美元,攻击TorFlow带宽测量系统每个月只需要2800美元,对所有中继节点发动拥堵攻击每个月只需1600美元。

2.网络攻击瞄准个人银行,谈谈5个典型攻击手段【阅读原文

在当今的数字时代,银行和金融服务公司为了提高竞争力,往往为客户提供了在线管理资金的便捷功能。但不幸的是,大多数银行平台都缺失安全设计,这导致黑客一直在利用这些潜在的隐患。这一切都是为了引导用户犯错,而网络钓鱼还只是电子银行时代应该防范的攻击之一。本文介绍了黑客通过用户攻击银行的五种方式。

3.【FreeBuf字幕组】HackerOne黑客马拉松大赛之新加坡H1-65【阅读原文

H1-65,HackerOne黑客马拉松大赛的第一次东亚之行便选择了新加坡,与此在新加坡同时举行的还有Black Hat Asia大会。作为亚洲经济“四小龙”之一,新加坡以华丽奢华在全球闻名遐迩,此次HackerOne比赛活动更是不虚此行。

4.重磅丨千万家庭的安全如何守护?「智能门锁安全分析报告」正式发布【阅读原文

人对于工具的情感是有一定倾向性,我对一把键盘珍爱有加,或许你对一款耳机爱不释手,但是似乎从来没有人对一把家用门锁厚加情怀,它就在那里,仅仅是在那里。就在2017年初,传统锁具的命运陡然驶入了快车道,以指纹锁为代表的“智能门锁”真正开始大规模落地,是年热度极速攀升,推动了门锁行业的转型和飞跃,几千年来人们对于门锁的刻板印象也在这两年里也发生了变化。“智能门锁”究竟该怎样定位?思来想去,也许它就是未来智能家居的窗口,用户追求智能化生活的入门指南。

5.云顶之役 |《2019年上半年云安全趋势报告》即将发布【阅读原文

2019年上半年,数字化转型的浪潮席卷全球,越来越多的企业开始应用云计算技术。云计算丰富的扩展性、便捷性逐步成为促进企业积极上云的驱动因素。在选择是否上云的过程中,安全是企业首要关注的问题,一方面,企业重视对自身数据在云端的安全性,另一方面,企业也担心自身业务的稳定性是否能够在云上得到保证。

《2019年上半年云安全趋势报告》基于互联网、产业互联网及相关领域在上云过程当中面临的安全态势、风险趋势、应对力量以及监管状态等进行了梳理,以期为行业提供阶段性的总结和建议,助力云上各方有策略的建立安全能力,更好应对安全风险。

*本文内容收集自全球范围内的媒体与刊物,制作者对其完整性负责,但不对其真实性和有效性负责。

*标注为【外刊】的内容主要来源为英语国家的媒体与刊物,部分内容需要注册免费账号后方可阅读。

FreeBuf早报,安全圈值得关注的每日大事件

【国际动态】

1.头条搜索网页版推出,百度却并没有感到任何威胁【阅读原文

今日头条悄悄上线自家搜索入口:“头条搜索”网页版,目前可以在电脑端搜索“头条搜索”来试用。该产品的Slogan为:搜你想搜的。如果将头条搜索网页版(下称“头搜”)与百度搜索进行对比,用户会发现其中很大不同。目前,百度仍然是国内最大的搜素引擎,然而在移动App盛行的市场中也难逃年利润不断下滑的厄运,这其实与字节跳动的产品有关。2018年底,今日头条和虎扑已成为国内最大两家新闻资讯App。

2.为方便解锁Model 3,美女黑客提取特斯拉钥匙卡RFID芯片并植入手臂【阅读原文

外媒报道称,拥有游戏模拟和编程背景的软件工程师Amie DD,最近发布了一段展示其“身体改造”的视频。为了实现“人肉解锁”Model 3的目标,她首先使用丙酮溶液提取了特斯拉“钥匙卡”中的RFID芯片,将之裹入生物聚合物,然后通过空心针管注入左手臂。虽然这件事听起来很新奇,但Amie本身并不是一个Biohacking的新手。此前她曾希望利用已经植入体内的RFID芯片来发动Model 3,但可惜特斯拉的安全性不允许她这么做。

3.央行准备推出数字货币【阅读原文

央行支付结算司副司长穆长春上周六表示,2014年至今,央行数字货币DC/EP (DE,digital currency,是数字货币;EP,electronic payment,是电子支付)的研究已经进行了五年,现在 “呼之欲出”。对于是否采用区块链技术的问题,穆长春表示,由于法定数字货币是M0替代,如果要达到零售级别,因此高并发是绕不过去的一个问题。“去年双十一的时候,网联的交易峰值达到了92771笔/秒,比较一下,比特币是每秒7笔。以太币是每秒10笔到20笔,Libra根据它刚发的白皮书,每秒1000 笔。可以设想,在中国这样一个大国发行数字货币,采用纯区块链架构无法实现零售所要求的高并发性能。所以最后我们决定央行层面应保持技术中性,不一定依赖某一种技术路线。”

4.AV-TEST最新评测将Windows Defender列为消费者最可靠的杀毒软件【外刊-阅读原文

知名反病毒软件评测机构AV-TEST最新发布的评测报告将微软Windows Defender列为普通消费者最可靠的反病毒软件。该独立评测机构根据某些参数测试反病毒软件并进行评分,这些参数其实就是防护、性能和可用性三个方面。最新评测报告显示Windows Defender在上述方面都取得非常不错的成绩,因此被推荐为最可靠的杀毒软件。

5.英国:科技公司不删除有害视频,可能会被罚款【阅读原文

英国政府正计划向数字监管机构Ofcom提供新的临时权力,允许其向YouTube,Instagram或Facebook这样的高科技公司实施监管,如若这些公司未能及时删除儿童可能看到的有害内容,如色情和暴力,将面临罚款。根据计划,Ofcom将从2020年9月19日起获得这些权力。新的权力只是暂时的,直到“在线危害监管机构可以承担责任”。Ofcom认为这些规则是规范在线视频共享的“重要的第一步”,他们将与政府密切合作以提供保障。同时,Ofcom还支持更广泛的立法,以引入更多保护措施,包括一项措施,即公司对其用户负有“关注责任”。

6.苹果漏洞悬赏计划升级!赏金最高100万美元、支持 Mac【阅读原文

苹果安全工程主管Ivan Krstić在拉斯维加斯举行的黑帽大会上宣布,苹果将升级漏洞悬赏计划,除了iOS设备外,还会覆盖macOS、tvOS、watchOS和iCloud。苹果于2016年8月正式推出适用于iOS设备的漏洞悬赏计划,允许安全研究人员找到iOS漏洞,并向苹果汇报,以获得赏金。此前,非iOS设备并没有悬赏计划,这样的操作也一直被安全社区批评。除了macOS悬赏计划外,苹果还会提高赏金金额,从之前的每个漏洞20万美元提升至100万美元。此外,苹果还会向研究人员提供“开发版”iPhone,这是特殊版iPhone,可以更深入地访问底层软件和操作系统,从而更容易发现漏洞。

【安全事件】

1.国外人气主播账号被黑,入侵者发推威胁爆照【阅读原文

Michael “Shroud” Grzesiek是国外直播平台Twitch上一名《绝地求生》、《Apex英雄》大主播,此前他曾经是CS职业选手。Shroud的账号在当地时间周一早上被黑,发了很多链接到其他twitter账号的推文,威胁发裸照,同时还发布了针对其他Twitch大主播的仇恨性言论。此外还声称如果一些指定的Twitter账号获得了足够的粉丝,那么他还会公开Shroud女友Hannah “Bnans” Kennedy的裸照。事发后,Shroud很快(用了30分钟)找回了自己的账号删除了那些推文。在登陆自己的账号后,Shroud向自己的粉丝道歉,同时还po了一张喵星人照片。

2.“螺丝刀”揭开严重安全漏洞,多厂商驱动程序及固件现提权问题【外刊-阅读原文

一家名为Eclypsium的网络安全研究公司公布了一份报告,称超过20家公司都会收到其发现的名为“螺丝刀”漏洞的影响。报告中,该公司称驱动程序及固件的不安全问题非常普遍,包括华硕、华擎等主要的BIOS供应商及NVIDIA等的驱动程序中都发现了严重漏洞,而且更严重的是他们发现的易受攻击的驱动程序都经过了微软的认证,因此他们已经邀请微软提供包括将一直的问题驱动列入黑名单等方法防范此类漏洞。这些漏洞都允许驱动程序充当代理,以执行对硬件资源的高权限访问,例如对处理器和芯片组的I/O空间的读写访问等。这是一种权限提升,因为它可以将攻击者从用户模式(Ring 3)提权至操作系统的内核模式(Ring 0),这样恶意软件就会拥有更多的权限执行。而驱动程序中的漏洞会使恶意软件较为轻松的获取高等级权限。

3.因机器配置问题,黑客们难以在Defcon上查找原型投票机的漏洞【外刊-阅读原文

在近日于拉斯维加斯举办的Defcon安全会议上,DARPA设立了一台价值1000万美元的投票机原型,并欢迎各路人员寻找该机器的安全漏洞。然而由于一个意外的错误,导致大家难以向它发起测试。据悉,原因不在于研发团队花了四个月时间去完善机器的安全功能,而是因为机器在安装过程中遇到了技术难题。

4.最新安全报告:单反相机已成为勒索软件攻击目标【外刊-阅读原文

安全软件公司Check Point今天发布了一份报告,详细说明了如何在数码单反相机中远程安装恶意程序。研究人员Eyal Itkin发现,黑客可以轻易地在数码相机上植入恶意软件。他表示标准化的图片传输协议是传递恶意软件的理想途径,因为它是未经身份验证的,可以与WiFi和USB一起使用。该报告中指出通过黑客可以在热门景点部署有风险的WiFi热点,只要单反连接到这些热点后就能进行攻击,从而进一步感染用户的PC。

5.研究人员发现40多个存在漏洞的Windows设备驱动【外刊-阅读原文

安全公司Eclypsium的研究人员在硬件和固件安全研究中发现,至少20家供应商的40多个Windows设备驱动存在高危漏洞,允许绕过或提权。这些设备供应商包括了华硕、东芝、英伟达和华为。这些设备驱动被广泛使用,并获得了微软的数字签名,允许攻击者能更方便秘密的渗透到目标网络。设备驱动通常都具有非常高的权限,其中包括进行修改的权限,允许攻击者在系统中获得永久的立足之地。Eclypsium已经通知了微软,英伟达已经释出了修复的驱动。

6.KDE发现类似Autorun.inf的漏洞,问题已修复【阅读原文

安全研究员Dominik “zer0pwn” Penner在KDE Frameworks 5.60.0中发现了一个自动执行漏洞,类似Windows的Autorun.inf。 KDE Frameworks软件库是KDE桌面环境的基础。漏洞与KDesktopFile类处理.desktop或directory文件的方式有关。当用户使用KDE文件浏览器打开一个储存有恶意.desktop或.directory文件的目录,文件包含的恶意代码能自动执行无需用户操作。KDE项目已经释出了KDE Frameworks 5.61.0修复了该漏洞,同时对安全研究员不按照正确方式报告漏洞直接公开的做法表达了不满。

7.智能门锁比较试验:超八成可用假指纹解锁【阅读原文

京津冀消费者协会联合发布智能门锁比较试验结果,结果显示超六成智能门锁IC卡钥匙可被破解复制,超八成可用制作的假指纹解锁。本次智能门锁比较试验涉及28个品牌的38把样品,购买价格从790元到3700元不等。比较试验主要针对的是与智能门锁相关的安全和可靠性项目,包括:电磁兼容性试验、环境试验、IC卡解锁试验、指纹解锁试验、密码逻辑安全试验和电路非正常等试验。经测试,38把智能门锁样品中,8把样品电磁兼容试验存在异常反应;6把样品极低温环境下无法解锁;24把样品的IC卡钥匙可被破解复制;14把智能门锁样品宣传具有活体指纹功能,实测并不具备此功能,涉嫌虚假宣传;32把样品可用制作的假指纹解锁;30把样品可靠性差。京津冀三地消协建议消费者选购带有半导体指纹识别技术的智能门锁产品,安全性高于光电式指纹门锁,同时建议厂家适度宣传,不要过度宣传活体指纹;要选择具有虚位密码的智能门锁产品,使用过程中设置多位密码。

【优质文章】

1.企业安全建设与态势感知【阅读原文

安全在今天越来越受重视,各类企事业单位也不断加大安全投入,很多度过了安全建设初级阶段(被动防御)的安全团队开始做态势感知。然而,市场很多声称具备安全态势感知的产品大多是厂商站在乙方视角推出的SOC产品,在甲方发挥的主要作用是安全可视化,往往成为一个观赏性的玩具。

2.等保测评主机安全:CentOS访问控制【阅读原文

权限控制在等保测评里仅仅说了要求,但是怎么落地却基本没写,怎么说呢,比较抽象。所以,我觉得还是有必要了解一下centos系统大概有什么方法可以实现对用户的权限控制,不至于测评的时候完全不知道怎么测。

3.新坑开放:等保2.0标准个人解读(一)【阅读原文

从事安全合规工作多年,经常会有同事或朋友过来问我一些标准中的点,比如后端实施的一些工程师和项目经理比较关心的是测评中要求项的测评方法和测评点、如何给客户解释此项,如何整改才算合规;也有前端销售和售前,问我能不能对合规的内容详细给他们讲讲,最好结合产品和服务,或者培训一下,他们关心的是如何将合规的东西结合产品或服务灌输给客户,因为几年来国家对网络安全的要求越来越严格,企业对安全也是越来越重视,不管是为了应付监管还是为了保障业务,安全合规可以说是企业安全的基线,必须要做没有商量。所以,决定结合即将实施的等保2.0(以下简称“等2”或“新标准”)标准的通用部分,做一下分析,给出一些个人建议,以供前端和后端人员参考。

*本文内容收集自全球范围内的媒体与刊物,制作者对其完整性负责,但不对其真实性和有效性负责。

*标注为【外刊】的内容主要来源为英语国家的媒体与刊物,部分内容需要注册免费账号后方可阅读。

FreeBuf早报,安全圈值得关注的每日大事件

【全球动态】

1.App收集个人信息将有“国标”:用户不同意就不得对外共享【阅读原文

8月8日,全国信息安全标准化技术委员会发布关于开展国家标准《信息安全技术移动互联网应用(App)收集个人信息基本规范(草案)》征求意见工作的通知。通知称,为落实《网络安全法》对个人信息保护的相关要求,加快相应标准化工作,全国信息安全标准化技术委员会秘书处组织起草了《信息安全技术移动互联网应用(App)收集个人信息基本规范(草案)》,现面向社会公开征求意见。

2.亚马逊为美国警方开发高科技监控工具,引发社会担忧【阅读原文

亚马逊子公司Ring不仅制造无线安全摄像头,它还可以访问警方数据,提醒居民注意潜在的犯罪行为,鼓励用户分享可疑行为的录音,并将其与执法部门联系起来。对此,隐私和公民自由的倡导者认为,Ring与政府的合作关系正在创造一种新的政府监控层。

3.华为回应美国进口禁令:继续在美法院挑战禁令合宪性【阅读原文

美国当地时间8月7日,美国负责政府合同的机构发布了一项关于禁止联邦机构采购包括华为在内的五家中国公司电信设备的临时规定。华为8日发布媒体声明称,“《2019财年国防授权法》及其实施条款在没有任何证据证明华为有不当行为的情况下对华为采取惩罚性行动,是基于原产国设立的贸易壁垒。”华为在《关于特朗普政府禁止联邦机构从华为采购设备或服务的媒体声明》中表示,“我们对今天的新闻并不感到意外,这只是美国《2019财年国防授权法》的实施条例。华为将继续在联邦法院挑战该禁令的合宪性。”

4.百度回应信息安全报道:未开展此类业务,坚决抵制黑产【阅读原文

据新华社报道,记者“卧底”骚扰电话源头企业,揭露公民个人信息泄露地下黑色产业链,其中,百度等一些知名互联网企业存在泄露用户信息的行为。对此,百度公司表示,向他人出售或者提供公民个人信息属于法律禁止行为,百度坚决抵制这种行为,也绝不会开展此类业务,任何时候、发现任何黑产不法行为,百度都将报送公安部门,依法惩治。据百度方面透露,公司一直在配合公安部门打击损害网络及信息安全的行为,打击黑产。仅2018年,百度累计下线“涉嫌窃取公民个人信息”的恶意网站达34万,网址达1490万,并配合公安打击数十个涉嫌用黑客手段制作“营销工具”的团伙,抓获相关犯罪嫌疑人近百人。

5.研究称广告产生的收入比挖矿脚本高得多【外刊-阅读原文

在数字加密货币热的高峰期,一些网站通过嵌入挖矿脚本来尝试获得广告之外的替代收入,但挖矿消耗了太多的资源而引发了争议。现在,根据一项研究,挖矿带来的收入事实上远不如广告。在一次网站访问的平均持续时间内,三个广告带来的收入5.5倍于挖矿脚本。挖矿脚本要变得有利可图需要用户在网站停留时间超过5.53分钟。然而让用户在一个植入挖矿脚本的网站停留太长时间是有困难的,因为它会对用户的设备产生负面影响,会拖慢设备。使用挖矿脚本消耗的CPU资源59倍于广告,内存占用超过1.7倍。研究人员将在下个月举行的Information Security Conference会议上报告他们的研究(PDF)。

6.俄罗斯监管机构开始调查苹果:涉及手机应用垄断问题【阅读原文

据彭博社报道,俄罗斯反垄断监管机构——联邦反垄断局(FAS)开始对苹果进行调查。该机构表示,苹果可能正在滥用其在手机应用市场上的主导地位。此前,俄罗斯网络安全公司卡巴斯基此前向FAS提交了针对苹果的反垄断诉讼。FAS在官网中称,卡巴斯基向苹果提交的家长控制应用Kaspersky Safe Kids的一个版本被苹果拒绝上架,而苹果自己却推出了Screen Time功能。该机构将于9月13日开始审理此案。

【安全事件】

1.KDE存在一个易于被利用的0day漏洞,影响广泛【外刊-阅读原文

安全研究员Dominik Penner披露了Linux KDE桌面环境上存在的一个0day漏洞。此漏洞存在于KDE v4与v5版本中,该漏洞使得嵌入在.desktop和.directory文件中的命令在打开文件夹或者将压缩文件夹提取到桌面时即可执行,目前几乎所有Linux发行版都在使用易受攻击的KDE版本。

2.Electron应用容易被修改并植入后门【外刊-阅读原文

因其跨平台能力,Electron开发平台是许多应用的关键组成部分。基于JavaScript和Node.js的Electron被用于Skype、WhatsApp和Slack等流行消息应用,甚至被用于微软的Visual Studio Code开发工具。但Electron也会带来安全隐患,容易修改植入后门。安全研究员Pavel Tsakalidis实现了一个Python开发的工具BEEMKA,可以解压Electron ASAR存档文件,并将新代码注入到JavaScript库和内置Chrome浏览器扩展。

3.波音泄漏代码暴露787安全漏洞【外刊-阅读原文

IOActive公司的安全研究员Ruben Santamarta对泄漏的波音代码研究发现,波音公司的一台服务器没有任何密码保护,服务器储存了波音737和787客机的代码。在大约一年之后,Santamarta声称他从787的代码中发现了安全漏洞,可被黑客作为入侵的起点,进一步渗透到飞机的安全敏感系统。他将在拉斯维加斯举行的Black Hat安全会议上披露其发现,包括在Crew Information Service/MaintenanceSystem(CIS/MS)中发现的多个漏洞。CIS/MS负责维护系统和电子飞行包等应用。Santamarta称他在CIS/MS中发现了多个内存损害漏洞,可作为入侵飞机安全系统的立足点。

4.只需发送一条短信,黑客就能成功入侵你的iPhone【外刊-阅读原文

正在拉斯维加斯举办的黑帽安全峰会上,来自Google Project Zero团队的安全专家Natalie Silvanovich展示了存在于Apple iOS iMessage客户端中的无交互漏洞,只需要一条短信就可通过这些漏洞来控制用户的设备。目前苹果已经发布了这些BUG的部分安全补丁,但是并没有完全进行修复。这些漏洞可以变成各种BUG,用于执行恶意代码以及访问用户的数据。

5.研究称心情愉悦时更易被黑客欺骗,网络钓鱼反击战仍任重道远【外刊-阅读原文

佛罗里达大学的一支团队,对黑客如何利用受害者的心理来实施网络电子邮件钓鱼一事,展开了比较深入的研究。结果发现,那些心情比较愉悦的人们,相对更容易被诱骗点击钓鱼链接。换言之,如果你的心情不太好,就会相对更少地上钓鱼邮件的当。

6.微软再发BlueKeep漏洞警告 建议用户尽快更新系统【外刊-阅读原文

今年5月,微软安全检测与响应团队(DART)发布了针对远程执行代码漏洞——CVE-2019-0708(又称 BlueKeep 远程桌面服务漏洞)的安全补丁。其严重性在于无需用户的交互,即有可能被攻击者所利用。攻击者可借助远程桌面协议(RDP)连接到目标系统,然后对受害者的系统加以控制。此外,BlueKeep攻击还可向蠕虫一样被复制和传播,从而引发类似WannaCry的大规模勒索软件攻击。微软建议用户启用网络级别身份验证(NLA),以防止通过远程桌面协议(RDP)进行未经身份验证的访问。有鉴于此,我们敦促所有Windows用户立即采取行动,堵上CVE-2019-0708这个远程桌面协议的安全漏洞。

【优质文章】

1.关于《火焰纹章:晓之女神》的乱数生成规律的初步研究【阅读原文

本人是火焰纹章、英雄无敌等战棋类游戏的业余玩家,虽然技术一般,但是乐在其中,玩过GBA三作,但是后来由于工作繁忙,一直没有时间体验最新作品,闲暇之余准备把一些经典拿出来体验一下,于是就开始了苍炎和晓女之行(当然是模拟器玩家),玩火纹这种战棋类游戏免不了使用S/L大法来避免全军覆没或者练出个奇葩,但是运气差的时候升级有可能一个点都没有,运气好的时候点数又会全满,不断读档凸点随机性太大而且很耗费时间,强迫症犯了就想如何能不用修改器让升级点数自然最大化(奇怪的症结)。当我体验了苍炎之后,发现同一个即时存档升级的时候点数总是一定的,因此也萌生了找到苍/晓的升级算法,并写一款可以预测升级点数工具的想法。

2.微软正在监听Skype和Cortana​的录音,美其名曰改善用户体验【阅读原文

斯诺登曝光的“棱镜门”中,美国巨头包括谷歌、雅虎、微软、苹果、Facebook、美国在线、PalTalk、Skype、YouTube等九大公司均向美国国家安全局开放了他们的服务器,从而使得美国政府可以开心的监控全球上百万网民的邮件、即时通话及存取的数据。当然,时至今日,越来越多的事件表明,只要这类公司位于美国境内,比如喜爱拦截正确观点的推文和视频的facebook/twitter/Youtube,比如屏蔽指定正确搜索词,并通过Google智能助理服务进行监听的谷歌,比如通过Siri针对全球Iphone用户进行监听的苹果公司。

3.等保测评:SQLServer操作超时【阅读原文

本文说的是等级保护1.0中SQLServer数据库操作超时的内容,实际在SQLServer中有很多种超时选项,很容易将其混为一谈,本文将尽力将之说清楚。

4.Globelmposter勒索病毒变种家族史,看这篇就够了【阅读原文

针对企业的勒索病毒攻击在最近一段时间暴涨,此前我在公众号了发表过一篇文章《勒索不断!勒索病毒数量第二季度暴涨三倍》,目前国内外主要流行的几大勒索病毒家族分别是:Sodinokibi、GandCrab、Ryuk、Phobos、Globelmposter、CrySiS(Dharma)、CryptoMix、Paradise等,今天给大家分享一下Globelmposter这款勒索病毒家族的一些信息。

*本文内容收集自全球范围内的媒体与刊物,制作者对其完整性负责,但不对其真实性和有效性负责。

*标注为【外刊】的内容主要来源为英语国家的媒体与刊物,部分内容需要注册免费账号后方可阅读。

【全球动态】

1.苹果深度参与教师编程学院的建设【阅读原文

苹果组织了一系列针对教师的培训课程,旨在指导他们如何最好地教育下一代如何在日常任务中使用编码原则,同时在教学过程中,接受教育的老师们也做出了很多作品。苹果教师编程学院(Teacher Coding Academies)已于作为今年夏天举办的苹果社区教育计划(Community Education Initiative)一部分开课。新计划为全国代表性不足的社区提供接触编程的机会。

2.IBM:磁带将是未来十年的主流存储方案【阅读原文

IBM大中华区CTO谢东近日提出,磁带在未来十年仍将是主流存储媒介,其容量将会每年增长30%,而传统硬盘的增幅只有10%。经过五六十年的发展和演变,磁带如今尤其适合大容量数据持久存储,因为它们不仅比硬盘便宜,而且寿命更长,可以安全保存数据长达30-50年。谢东指出,很多数据中心都使用磁带备份数据,估计在全球这个比例高达70-80%,为此,IBM与惠普、希捷联合打造了线性磁带开放协议(LTO),已经成为磁带技术的领导者,如今演化到了LTO-8版本。

3.支付宝在AI数据挖掘顶赛KDD CUP 2019夺冠【阅读原文

8月7日,被称为AI数据挖掘“世界杯”的KDD CUP 2019大赛在美国落幕,支付宝安全团队夺冠。比赛共有谷歌、微软、Facebook等全球1600余支队伍参加。KDD(知识发现与数据挖掘,Knowledge Discovery and Data Mining)CUP是数据挖掘领域最高水平的国际顶级赛事,已连续举办20多届。其主办方是美国计算机学会(ACM)旗下的知识发现与数据挖掘专门兴趣小组 (Special Interest Group on Knowledge Discovery and Data Mining,SIGKDD)。

4.电信网络诈骗中男性受害者占63%,比女性更容易上当【阅读原文

腾讯守护者计划防范新型电信网络诈骗公益行动“微反诈行动”发布会在北京举行。在会上腾讯发布了《电信网络诈骗治理研究报告(2019上半年)》。报告显示,针对电信网络诈骗,2019年以来,全国公安机关共抓获犯罪嫌疑人5.1万名,破获案件5.8万起,同比分别上升32.3%和3.0%,为群众避免经济损失 135 亿元。此外,报告还显示,在各类电信网络诈骗中,被害人性别男女比例分别为63%、37%,男性受骗比例几乎是女性两倍。

5.Twitter声称或未经许可将用户数据用于了广告投放【阅读原文

Twitter声称,由于网站的设置存在问题,可能在未经用户许可的情况下将数据用于个性化广告。该公司表示最近才发现这些问题,并在周一进行了修复,不过尚未确定哪些人可能受到了影响。同时Twitter表示可能使用的数据包括个人国家代码、用户与特定广告的互动细节,以及用户使用的设备信息。目前Twitter已经在其官网上发表了道歉,并承诺采取措施不再重复“错误”。

【安全事件】

1.当Skype翻译器功能处于活动状态时,微软承包商可以获知对话内容【阅读原文

据外界报道,微软承包商正在收听使用Skype翻译功能的用户之间对话。只有当用户在Skype中执行翻译功能时,而不是在任何其他典型的Skype语音或视频呼叫期间,微软承包商才能执行此操作。收集的信息包括有关夫妻之间亲密对话的Skype音频等。该数据还表明,微软的承包商会收听智能语音助手Cortana所说的语音命令。 微软承包商看到的信息是匿名的,不包含任何用户身份信息。这些承包商手动翻译Skype音频对话,这些对话由微软发送,另外还有Skype的人工智能程序生成的一系列近似翻译。承包商必须选择最准确的翻译或提供自己的翻译,并将信息发送回微软。

2.IBM X-Force Red发现新型网络风险:用邮寄方式入侵WiFi网络【阅读原文

IBM X-Force Red是隶属于IBM Security的一个资深安全团队,主要目的是发现和防范网络中存在的潜在漏洞。该团队发现黑客可以利用网络安全的潜在漏洞渗透网络,实现访问设备以及窃取设备上的数据。这项新技术被X-Force Red称为“Warshipping”,黑客会在包裹内部署一个名为“战舰”(WarShip)的巴掌大小计算机,并通过快递方式将其运输到指定机构,随后入侵这些机构的WiFi内部网络。

3.微软悄然修复SWAPGS处理器漏洞保,护Windows用户安全【外刊-阅读原文

外媒报道称,微软悄然发布了一个提升Windows用户安全的补丁,修复了自2012年以来生产的英特尔CPU漏洞(涉及Ivy Bridge之前的芯片)。据悉,SWAPGS漏洞有些类似于臭名昭著的幽灵(Spectre)和熔毁(Meltdown)芯片缺陷,由安全公司Bitdefender在一年前发现。在 BlackHat 安全会议上,其终于宣布已被修补。

4.谷歌高级保护计划可帮用户阻止Chrome下载危险文件【阅读原文

从今天开始,加入谷歌高级保护计划(Google’s Advanced Protection Program)的用户在Chrome上下载文件时名将额外的保护措施。该计划为新闻记者、活动家、政治家和商业领袖等高知名度的谷歌账户用户带来更高的安全性和保护。谷歌方面表示,加入了谷歌高级保护计划的用户只要打开Chrome同步功能,就能使用该功能。当用户下载一个Chrome检测为存在危险的文件时,Chrome会发出警告,甚至阻止下载。

5.研究:现代英特尔处理器几乎存在安全漏洞【阅读原文

研究人员发现,所有现代英特尔处理器存在的一个令人担忧的安全漏洞。攻击者可利用该漏洞访问访问计算机的核心内存,而这可能导致用户如密码、令牌和私人对话等敏感信息泄露。该漏洞影响了所有使用支持SWAPGS系统调用的英特尔处理器,该系统调可让处理器在内核模式和用户模式进行切换。令人困扰的是,在Spectre和Meltdown安全问题发生后,该漏洞绕过了大多数硬件级保护。该缺陷影响了第三代英特尔酷睿处理器及更高版本,同时,该漏洞对企业用户以及在服务器上使用英特尔处理器的用户构成了严重威胁。

6.微软警告黑客组织Fancy Bear正试图利用物联网设备漏洞【外刊-阅读原文

微软威胁情报中心报道称,俄罗斯黑客组织Fancy Bear一直试图利用VoIP电话和打印机等物联网设备,对企业网络展开渗透。外界普遍猜测,该组织拥有俄罗斯官方背景,又名Strontium Group或APT 28 。该组织已成功地在50多个不同的国家/地区,感染了超过50万台消费级路由器。

【优质文章】

1.身份证迷案调查:最大罚单揭开支付业黑灰产冰山一角【阅读原文

为非法交易提供资金通道,已成为一些支付企业被监管处罚的主要原因湖南的聂先生没想到丢失一次身份证竟让自己卷入一起特大跨境网络诈骗案。他更没有想到的是还有许多跟他类似的人,因为身份信息泄露,被不法分子利用,用于成立皮包公司从事犯罪,帮助地下外汇期货交易、赌博、色情等非法活动洗钱出境,并躲避公安侦查。

2.你还在用“加了料”的系统还原工具么?【阅读原文

利用激活软件、系统盘等工具传播病毒和流氓软件已是屡见不鲜的一大乱象,由于此类工具通常都是装机后首先安装的软件,盘踞在上面的病毒和流氓软件便利用介入时机更早的优势各种作恶,捆绑安装、劫持首页甚至与安全软件进行对抗,令普通用户苦不堪言。

3.关于安全体系中WAF的探讨【阅读原文

WAF全名为Web Application Firewall,中文是web应用防火墙,主要用于拦截web层面发生的攻击,原理是通过匹配关键正则判断请求是否具有威胁。使用WAF可以增加业务在web层的安全性。众所周知,阻断的意思是当一个恶意请求发送过来时,通过一系列判断此请求有威胁,发出告警并拒绝向后端转发的行为称之为阻断行为。评论中的只为了检测和报警称之为仅检测行为,意为当一个恶意请求发送过来时,通过一系列判断此请求有威胁,发出告警但不拒绝向后端转发的行为。

4.【硬核课程】“勒索软件终结者”开发者分享反勒索软件编程实战【阅读原文

说到勒索软件,往往令人想到“加密”、“赎金”、“重大损失”。美国佛罗里达州城市劳德代尔堡因遭勒索软件攻击,被迫向黑客支付了 60 万美元的比特币赎金以取回文件数据。似乎,面对勒索软件,我们别无选择,任由其予取予求。有人说,只要我们加强安全意识就不会中招。但是,不断进化升级的勒索软件真的能如此简单就被抵挡吗?

5.用户浏览器被互联网大厂私自“托管”?仔细一查,这事并不简单【阅读原文

可能很多人之前都有过浏览器被人私自篡改的经历。比如强制更改首页,替换默认搜索引擎。不过这种情况在各种驱动级(也就是内核级)电脑管家的强力封杀下,现在基本不存在了。但是,千万不要以为有了电脑管家就可以高枕无忧。道高一尺魔高一丈。关于安全的攻防,其实一刻都没有停止。

随着全球各行业数字化的进程不断加速,各类新型信息通信技术快速发展,万物互联正一步步向我们走来。因此,各行各业对于数据的安全需求也日益递增。而且,这其中有相当一部分是保障民生的重要行业。

我们每天都享受着扫码支付、人脸识别这些信息技术带来的便捷服务,所谓的ABC(人工智能、大数据、云计算)早已不仅仅是资本运作的噱头,它已经渗透到日常生活的方方面面。

然而,互联网的蔓延带来的并不全是增益,反而还造成了一系列风险缺口:在数字化推动生产和消费革命的同时,犹如新生婴儿一般缺乏防护能力,传统行业正面临网络安全威胁的挑战。大量的数据表明,近年来随着智能设备和控制系统的增多,数字化的设施越来越容易遭到黑客的攻击,传统产业的网络安全性堪忧。

因此,想要实现万物互联的网络世界需要完善的网络安全政策体系,以实现更高效的安全防御。

国内政策

十八大以来,我国确立了网络强国战略,为了加快数字中国的建设,互联网已经成为国家发展的重要驱动力,随后在中共十九大也同样指出,网络安全是人类面临的许多共同挑战。

2017年6月1日,《网络安全法》正式实施。关键基础设施安全成为了国内网络安全的主要关注点之一。

其中,由于工业控制系统在日常生产制造中占据了非常大的比例,因此为了进一步推动工控系统网络安全建设,一系列法律法规和规范性文件相继出台:国家互联网信息办公室发布《关键基础设施安全保护条例(送审稿)》,工信部印发《工业控制系统信息安全防护能力评估管理办法》,工业和信息化部制定了《工业控制系统信息安全行动计划(2018-2020年)》等。工控系统的安全被提升到了前所未有的高度。

随后我们步入了2018年,这也是我国网络安全政策体系建设非常迅速的一年。

4月,全国信息安全标准化技术委员会正式发布《大数据安全标准化白皮书(2018版)》。重点介绍了国内外的大数据安全法律法规、政策执行,以及标准化现状,分析了大数据安全所面临的风险和挑战。同时规划了大数据安全标准的工作重点,描绘了大数据安全标准化的体系框架,并提出了开展大数据安全标准化的工作建议。

6月,《国务院关于深化“互联网+先进制造业”发展工业互联网的指导意见》发布,表示2018-2020年是我国工业互联网建设起步阶段,对未来发展影响深远。随后,为了深入实施工业互联网创新发展战略,推动实体经济与数字经济深度融合,工信部印发《工业互联网发展行动计划(2018-2020年)》 和《工业互联网专项工作组2018年工作计划》。

7月,工业和信息化部正式印发《工业互联网平台建设及推广指南》和《工业互联网平台评价方法》,要求制定完善工业信息安全管理等政策法规,明确安全防护要求。建设国家工业信息安全综合保障平台,实时分析平台安全态势。强化企业平台安全主体责任,引导平台强化安全防护意识,提升漏洞发现、安全防护和应急处置能力。

9月,国家能源局印发《关于加强电力行业网络安全工作的指导意见》。指导意见将有效地促进电力行业网络安全责任体系,并有助于完善网络安全监督管理体制机制,进一步提高电力监控系统安全防护水平,强化网络安全防护体系,提高自主创新及安全可控能力,从而防范和遏制重大网络安全事件,以保障电力系统安全稳定运行和电力可靠供应。 

各类政策接踵而来,但我国非但没有减慢步伐,仍然在不断的推陈出新。中央网络安全和信息化领导小组提出:“没有网络安全就没有国家安全,没有信息化就没有现代化,中国要由网络大国走向网络强国。”因此,2019年5月,网络安全等级保护制度2.0国家标准发布,等保2.0时代正式到来。

等保2.0中将采用安全通用要求和安全扩展要求的划分使得标准的使用更加具有灵活性和针对性。不同等级保护对象由于采用的信息技术不同, 所采用的保护措施也会不同。例如, 传统的信息系统和云计算平台的保护措施有差异, 云计算平台和工业控制系统的保护措施也有差异。为了体现不同对象的保护差异, 新的等级保护条例将安全要求划分为安全通用要求和安全扩展要求。

另外,安全通用要求是针对共性化保护需求提出的, 无论等级保护对象以何种形式出现, 需要根据安全保护等级实现相应级别的安全通用要求。安全扩展要求针对个性化保护需求提出, 等级保护对象需要根据安全保护等级、使用的特定技术或特定的应用场景实现安全扩展要求。等级保护对象的安全保护措施需要同时实现安全通用要求和安全扩展要求, 从而更加有效地保护等级保护对象。

国外政策

当然,并不是只有国内如此重视网络安全,WannaCry的传说仍然在坊间流传。随着各行各业逐渐融入互联网,各国在网络安全领域的国家级投入也持续处于强势增长状态,在有力支撑国际战略政策落地的同时,也为产业发展注入了强心剂。

美国

美国可以说是当今网络“第一大国”,不论是网络规模、黑客数量、安全事件还是互联网产业水平,他都担得起这个名号,一个硅谷就已经让很多国家望尘莫及。

因此,为了稳固自己的地位,针对网络的相关法律也必须与时俱进,才能应对时下不断变换的网络形势。

在2018年年初,美国众议院能源和商业小组委员会通过了4项法案:

(1)要求美国能源部长里克·佩里制定计划提高美国能源管道和液化天然气设施的物理安全与网络安全(《管道与液化天然气设施网络安全准备法案》);

(2)提出将美国能源部的应急响应和网络安全工作领导权力提至助理部长一级(《能源应急领导法案》);

(3)制定计划帮助私营公共事业公司识别并使用网络安全功能强大的产品(《2018网络感知法案》);

(4)提出加强公私合作确保电力设施安全(通过《公私合作加强电网安全法案》)。

这些法案提出“采取可行的措施”,确保美国能源部能有效执行应急和安全活动,并确保美国能源供应安全可靠。与此同时,美国相继发布了多份网络安全相关政策文件,进一步强化网络安全政策指导:

5月,美国能源部发布《能源行业网络安全多年计划》,确定了美国能源部未来五年力图实现的目标和计划,以及实现这些目标和计划将采取的相应举措,以降低网络事件给美国能源带来的风险。

12月,美国众议院能源和商业委员会发布《网络安全战略报告》,提出6个应对网络安全事件的核心内联概念以及解决网络安全问题的6个重点。

除此之外,美国相关部门也发布了其他指导性文件,包括:商务部国家标准与技术研究院(NIST)《提升关键基础设施网络安全的框架》、国家安全电信咨询委员会(NSTAC)《网络安全“登月”计划》等。

另外,美国网络司令部将在政府网站安全、主动防御、实地运营、反恐和基础设施抵御力、身份识别管理等 5个方向加大投入,总预算达15.13亿美元。美国“2019 财年国防授权法案”将网络安全预算大幅增加至300亿美元,将从推进技术发展、扩大采购权限、强化政企合作、支持人才培养、创建试点项目等方面提升国家网络安全能力。

欧盟

作为世界最大的经济共同体,汇聚了众多发达国家的欧盟在网络安全方面自然也不会袖手旁观。

2016年7月6日,欧洲议会全体会议通过首部相关法规——《欧盟网络与信息系统安全指令》,主要内容包括:

要求欧盟各成员国加强跨境管理与合作;制定本国的网络信息安全战略;建立事故应急机制,对能源、金融、交通和饮水、医疗等公共服务重点领域的基础服务运营者进行梳理,强制这些企业加强其网络信息系统的安全,增强防范风险和处理事故的能力。

2018年5月,欧盟网络与信息系统(NIS)指令正式生效。此项面向欧盟范围内的新法令旨在提高关键基础设施相关组织的IT安全性,同时亦将约束各搜索引擎、在线市场以及其它对现代经济拥有关键性影响的组织机构。

此外,另一项家喻户晓的法案也于2018年5月25日正式生效,《通用数据保护条例》,即GDPR。这是目前为止出台的全球现有数据隐私保护法规中,覆盖面最广、监管条件最严格的政策。GDPR管辖的范围涵盖所有处理欧盟居民数据的公司,在欧盟地区的企业必须遵守GDPR,欧盟之外的企业只要处理欧盟居民的数据也需要遵守GDPR。每一单GDPR违规行为将受到高达2000万欧元的严重处罚,或者上一年全球年营业额的4%,以较高者为准。目前为止,Google、Facebook等多家大型企业也都先后因为安全问题而遭到了GDPR的“制裁”。看似在大家都已经踏上了“合规”的不归路。

除了欧盟层面的法规之外,欧洲几大国也相继发布国家战略及系列规划,加强顶层设计。

德国

2016年8月,德国联邦参议院通过一项信息安全法案,要求关键基础设施机构和服务商必须执行新的信息安全规定,否则将被处以最高10万欧元的罚款。

2016年9月,德国联邦经济部发布了《数字化行动纲要》,制定了12项针对未来数字化发展的措施,以吸引更多风投资金并促进中型企业数字化转型。

2016年11月,德国发布一项新的网络安全战略计划,以应对越来越多针对政府机构、关键基础设施、企业以及公民的网络威胁。

2018年5月,德国能源与水资源经济联邦协会(BDEW)发布《能源系统网络安全建议白皮书》,对能源系统的安全控制与通信提出了相关建议。

此外,德国国防部长和内政部长在2018年9月宣布, 将在未来五年投入2亿欧元组建网络安全与关键技术创新局,机构定位类似于美国国防部高级研究计划局(DARPA),主要致力于推动自主网络安全技术创新。

英国

2016年11月,英国发布《国家网络安全战略(2016-2021)》,确保网络安全的重要地位,并提出,英国政府将投入19亿英镑强化网络安全能力。

2017年3月,英国正式出台《2017英国数字化战略》,提出七大战略任务,其中,安全的数字基础设施是其首要任务。

2018年6月,英国政府内阁办公室发布实施网络安全最低标准(Minimum Cyber Security Standard) ,从识别、保护、检测、响应和恢复五个维度,提出了一套网络安全能力建设的最低措施要求。

标准的强制效力将驱动英国政府部门、非政府公共机构、承包商等相关单位加大网络安全保障投入,提升安全防护能力。

其他国家

2018年2月,新加坡国会通过《网络安全法案》,旨在加强保护提供基本服务的计算机系统,防范网络攻击。该法案提出针对关键信息基础设施的监管框架,并明确了所有者确保网络安全的职责。能源、交通、航空等基础设施领域的关键网络安全信息被点名加强合作。如果关键信息基础设施所有者不履行义务,将面临最高10万新元的罚款,或两年监禁,亦或二者并罚。

以色列创新局将联合以色列经济和工业部、国家网络局启动为期三年的产业发展计划,包括对有全球影响力的技术、有突破性研发潜力的网络安全企业提供资金支持等,投资9000万新谢克尔 (约2443万美元)。

……

可以看出,全世界各国都在积极应对网络安全问题。而我国正处于互联网发展的窗口期,加强互联网数据保护、提高抵御黑客攻击的能力将是今后互联网发展的一个重要课题。随着网络边界愈发的模糊,日后出现的各种纷乱繁杂也势必更加汹涌。毋庸置疑,政策体系还需要进一步完善,而安全产品和技术措施的进步也要跟得上互联网发展普及的步伐。信息安全仍旧“未来可期”。

*本文作者:Karunesh91,转载请注明来自FreeBuf.COM

【全球动态】

1.爱德华·斯诺登将在今年晚些时候发行回忆录《永久记录》【阅读原文

前国家安全局承包商雇员,曾用泄露机密文件的方式引发关于政府监督的争论的著名人士爱德华·斯诺登将在今年晚些时候发行一本回忆录《永久记录》。斯诺登在周四发布了一则视频,透露了他即将出版额度书籍。出版社宣布,斯诺登的《永久记录》将同时在包括美国,德国和英国在内的20多个国家发行。斯诺登在此书中将描述他在元数据积累和“良心危机”中的作用,这令他在2013年窃取了大量档案并与记者分享,除此之外,大都会图书发言人Pat Eisemann拒绝透露更多细节。

2.快递企业泄露个人信息或将被列入信用“黑名单”【阅读原文

中国国家发改委8月1日披露的一份文件显示,未来,如果经营快递业务的企业出现违法收集、使用个人信息;未经被收集人同意,向他人提供个人信息等行为,将有可能被列入信用“黑名单”。中国国家发改委1日发布了其会同有关部门研究起草了《关于加强和规范运输物流行业失信联合惩戒对象名单管理工作的实施意见(征求意见稿)》,向社会公开征求意见。该意见显示,运输物流行业市场主体及其有关人员在快递领域按照相关规定被认定为严重失信的,应按照规定程序列入“黑名单”。

3.麻省剑桥市将禁止政府使用面部识别【阅读原文

在旧金山、麻省萨默维尔和奥克兰之后,麻省剑桥市有望成为美国第四个禁止当地政府使用面部识别技术的城市。剑桥市议会以言论自由和公民权利受威胁为由通过了修正案 Surveillance Technology Ordinance,要求当地政府获得或部署监控术前需要获得议会的批准。提出该修正案的市长和议员认为,面部识别技术侵犯了一个人的公民权利和公民自由,可能会对宪法保护的言论自由产生寒蝉效应。

4.Intel:已申请恢复对华为出口,x86处理器不会影响国家安全【阅读原文

在上周的财报会议上,Intel公司宣布已经部分恢复对华为的供应,日前Intel CEO司睿博在接受采访时表示他们已经向美国政府部门提交了出口申请,请求恢复对华为的供应,目前还在等待政府的批准。6月底中美会谈达成了一致,美国宣布放松对华为的制裁,允许美国公司继续对华为出口技术及产品,但只限那些不会影响美国国家安全的产品及技术。对于申请出口的产品类型,司睿博表示出口的主要是通用计算芯片,卖给华为不会有安全风险,因为向华为出口的芯片也是对其他公司供应的,因此Intel认为这不应该令人担忧。

5.iOS 12.2封堵的几个漏洞由谷歌Project Zero团队提交【阅读原文

来自谷歌Project Zero的Natalie Silvanovich和Samuel Groß近日公布了几个“无交互”安全漏洞,攻击者能够通过iMessage发起攻击。具体来说,黑客仅需要通过简单的操作(例如通过iMessage发送一段代码),就能够发动攻击,也正是由于这一漏洞的“无交互”特点,使其在黑市上备受关注,据称一个漏洞售价可能高达500万美元。所幸的是,这些漏洞由Project Zero团队发现,而且在最新的iOS 12.2中,苹果已经修复了这几个BUG,分别是CVE-2019-8624,CVE-2019-8646,CVE-2019-8647,CVE-2019-8660和CVE-2019-8662。

【安全事件】

1.苹果AirDrop和Wi-Fi密码共享功能潜藏个人信息外泄威胁【阅读原文

安全人员Hexway称,苹果iPhone、Mac和其它苹果设备之间的无线分享功能如AirDrop和Wi-Fi密码共享功能存在被利用外泄个人信息的威胁,尽管这些功能并不直接发送个人隐私相关的任何信息,但安全人员指出,苹果设备之间的AirDrop和Wi-Fi密码共享功能广播了一个特定的加密Hash(SHA256),包含了iPhone的手机号码或者Mac电脑的静态MAC地址,数据包通过BLE协议发送,包含了名字、操作系统版本、电池状态以及Wi-Fi开启情况等信息。这通常是无害的,但是对于不法分子来说,其可以被利用追踪到机主的手机号码,发动更加严重的攻击。

2.本田汽车云端数据库未设密码,全球员工信息险遭泄露【外刊-阅读原文

安全研究人员Justin Paine在网络上发现本田汽车一个未设密码的ElasticSearch数据库,似乎是本田汽车在全球所有员工电脑的库存管理数据库。这个数据库今年3月中旬才上线,但至今累积的数据量高达40GB,包含约1.34亿份文件。经过检查,这批陷遭暴露的数据包括几乎所有本田电脑相关信息。其中一个表格包含员工电子邮件、部门名称、本田机器主机名称、MAC位置、内网IP、操作系统版本,另一个表格则有员工姓名、部门、员工编号、帐号、手机号码及最近登录时间。甚至发现本田CEO的完整电子邮件、全名、MAC位置、Windows操作系统版本、IP及设备类型。

3.多闪回应窃取通讯录事件:近半投诉者是腾讯员工或家属【阅读原文

2019年3月29日,多闪收到一起有关部门转来的深圳用户集体投诉案件。14名深圳“多闪用户”称,在多闪的“可能认识的人”栏目中,系统推荐的一些用户,与微信好友头像、昵称一致,故用户怀疑“多闪”窃取了用户微信通讯录及手机通讯录。今日多闪官方公众号发文说明此前“多闪用户”批量投诉多闪窃取用户通讯录事件疑似为虚假投诉,其中大多数投诉者疑似根本没有注册过多闪,而其中近半投诉的“多闪用户”则是该著名互联网公司员工或员工家属。对此,多闪在声明中表示,由于抖音已被微信封禁了超过一年,多闪在诞生当日就被微信封禁,从技术上,多闪根本无法获取微信通讯录。而手机通讯录是系统级权限,用户不授权,APP从技术上不可能获取。

4.Wind River修复了VxWorks实时操作系统的11个重大安全漏洞【阅读原文

RTOS被广泛应用于行业内的关键计算机系统上,此次曝出的大型安全漏洞,很可能引发灾难性的后果。报道称,过去13年里,这些设备已存在不少于11个零日漏洞。遗憾的是,由于RTOS设备属于电子设备领域的沉默工作者,媒体并没有对其加以广泛的关注。物联网安全研究机构Armis将这些漏洞统称为URGENT / 11,以敦促行业尽快更新机器的RTOS系统。其中六个比较严重的漏洞,或赋予攻击者远程代码执行的权限。好消息是,Wind River已在7月19日发布的补丁中进行了修复。坏消息是,使用RTOS的设备,并不能简单地执行应用软件更新。

5.故意销售带漏洞的软件被曝光:思科赔付6000万元【阅读原文

美国律师事务所Constantine Cannon称,他代表思科经销商NetDesign的视频监控专家James Glenn提起诉讼。Glenn称,他在思科视频监控管理器(VSM)中发现了几个安全漏洞。这些漏洞可能使攻击者可以通过监控软件访问数据存储托管、控制摄像机、绕过安全措施,并在特定情况下获得通过主机网络的“管理”访问权。据报道,思科已同意支付860万美元(约合人民币6000万元)来解决这一诉讼。

6.美军称使用俄罗斯研发的手机App或导致泄密【阅读原文

近期,一款俄罗斯研发的、可以模拟人变老后面容的手机APP在美国颇为流行。美军提醒部队官兵,要在使用俄罗斯研发的手机APP时“保持谨慎”。美军欧洲司令部官员称,“我们提醒所有本战区的军人要谨慎地下载和使用俄罗斯手机APP”。美国海军陆战队则警告下属官兵,要防止在使用手机时,因提交个人信息或头像而泄密。美国空军技术部门则对部队官兵直言,只要授权俄罗斯APP访问他们的手机,就有可能“危及你曾经发布过的信息”。

【优质文章】

1.基于某异性交友APP的小数据分析【阅读原文

我习惯在包里藏一瓶百无聊赖,打发人间的白云和苍狗,一日百无聊赖的我下载了某款异性交友APP,开始了我的异性交友之旅,尬聊了两天成功率为0的我略感苍白。感觉APP里的小姐姐太优秀了,这样尬聊下去注定要孤独一生,于是就在想是否对这些妹子进行大数据分析一波,分析出妹子的需求,才好对症下药。

2.APT之迂回渗透【阅读原文

随着信息安全行业发展,很多企业,政府以及互联网公司对网络安全越来越重视。习大大指出,没有网络安全就没有国家安全,没有信息化就没有现代化。 众所周知,现在的安全产品和设备以及对网络安全的重视,让我们用常规手段对目标渗透测试的成功率大大降低。当然,对于一些手握0day的团队或者个人来说,成功率还是很高的。这里所说的意思是避过正面安全产品和设备,从“侧面”进行渗透。这个“侧面”就是我们现在一起交流的一个方式。

3.斯诺登自传《永久记录》完本,美国的“秘密”又将暴露多少【阅读原文

这一本名为《Permanent Record》(黑鸟译:永久记录)的书,将于9月17日,即美国宪法正式签署的纪念日,也是美国的宪法纪念日正式发售(现在是预售阶段),可见讽刺意义极大。而这本书,将会是一个名为爱德华·斯诺登的前CIA(美国中央情报局)技术分析员的自传,也许是最后的绝笔,而将会有多少美国的秘密,将出现在书中,不得而知。爱德华·斯诺登(Edward Snowden)冒着一切暴露美国政府大规模监视系统的风险,首次揭露了他的生活故事,包括他如何帮助建立这个系统,以及他试图披露这一切的动机。

4.脑机接口新进展,生物黑客的狂欢?“黑客帝国”仍是遥远的疆界【阅读原文

生物黑客:biohacker,顾名思义,即医药、生物等领域同黑客的跨界,既包括颇具争议的基因改造,也包含人体和互联网的联结,但更多时候指的是那些热衷于「自己动手」的生物学家。7月17日,马斯克宣布已经找到了高效实现脑机接口的方法。他拥有的公司Neuralink, 在开发连接人类和计算机的超高带宽脑机接口上有了新的成果。脑机接口,或许是生物黑客寻找的答案。

5.裁判文书网数据竟被商家标价售卖,强行突破“反爬”技术或构成犯罪【阅读原文

最高人民法院裁判文书网的数据被标价0.1元到1元不等出售。裁判文书网发布的判决书都是公开的,为什么会被售卖?获取裁判文书网数据的手段对于网站是否有危害呢?在某网络商城中可以看到,有标注来自湖南、广东、山东等多地的商家均声称出售裁判文书网的数据,其中不少商家声称其数据量超6000万条。

*本文内容收集自全球范围内的媒体与刊物,制作者对其完整性负责,但不对其真实性和有效性负责。

*标注为【外刊】的内容主要来源为英语国家的媒体与刊物,部分内容需要注册免费账号后方可阅读。

FreeBuf早报,安全圈值得关注的每日大事件

【全球动态】

1.GitHub回应突然断供:身不由己,无权提前通知预警【阅读原文

近日,来自伊朗、克里米亚等地工程师发现,自己的GitHub账户突然无法正常使用,有些人的个人页面甚至被404。伊朗地区一位名叫Hamed的程序员,在GitHub创建了名为“github-do-not-ban-us”的项目进行抗议,要求GitHub对此事进行道歉,并修改限制措施。目前,这一项目已经获得6100+标星,登上了GitHub热榜第一。GitHub回应称:“GitHub受美国贸易法的约束,就像任何在美国开展业务的公司一样。”

2.No More Ransom项目使勒索软件犯罪团队利润至少减少1.08亿美元【阅读原文

在No More Ransom项目三周年之际,欧洲刑警组织(Europol)宣布,通过No More Ransom门户网站提供的免费工具下载和解密文件的用户已经阻止了勒索软件犯罪团队估计至少1.08亿美元的利润。欧洲刑警组织称,仅仅在No More Ransom网站上提供的GandCrab勒索软件的免费解密工具就已经阻止了近5000万美元的赎金支付。该项目于2016年7月启动,现在拥有82个工具,可用于解密109种不同类型的勒索软件。其中大部分是由EMSIsoft,Avast和Bitdefender等病毒安全软件制造商创建和共享的,以及像国家警察机构、应急小组或者像Bleeping Computer这样的在线社区。

3.苹果合同工定期监听Siri录音【外刊-阅读原文

与亚马逊和Google类似,苹果也雇佣合同工去监听Siri录音以帮助改进语音助手。苹果会将Siri收集的一小部分录音分享给全球各地的合同工,他们的任务则是根据各种因素对Siri的回答进行评分,其中包括激活Siri是否出于偶然,提问是否能得到Siri的帮助,以及Siri的回答是否恰当。这些录音可能会涉及到私人医疗信息、毒品交易和性行为。

4.美国国税局开始向数字货币持有者发去警告信【外刊-阅读原文

即便你只用数字加密货币,你也是要纳税的。美国国税局周五宣布它开始向一万多名持有加密货币的纳税人寄去警告信,建议他们补交税款或递交与数字货币相关的税务登记表,警告未能报告相关交易的收入和纳税将会面临惩罚。国税局称,纳税人必须严肃的对待收到的信函。国税局称它通过增加使用数据分析扩大了虚拟货币相关的工作,正专注于执法帮助纳税人理解和履行义务。此前有报道称,交易平台Coinbase根据法院命令向国税局提供了1.3万账号的数据。

5.委内瑞拉正在将机场税收转为加密货币,以绕过美国制裁【阅读原文

委内瑞拉似乎正在利用加密货币作为绕过美国制裁的更大努力的一部分。根据西班牙媒体ABC的一项调查,总统尼古拉斯·马杜罗和他的政府正在使用名为Jetman Pay的数字钱包应用程序将从该国一个主要机场的税收转换为比特币和其他加密货币。该报声称,委内瑞拉将加密货币转移到俄罗斯和匈牙利等地的交易所。一旦接收到,这些资金被转换为美元并转回委内瑞拉。目前,Jetman Pay仅被Maiquetia国际机场(IAIM)使用,但马杜罗及其政府被认为正在进行关于扩大应用程序使用的谈判。

6.国家互联网应急中心:2018年逾3500个移动互联网恶意程序被下架【阅读原文

据新华社消息,从国家互联网应急中心天津分中心获悉,2018年,国家互联网应急中心累计协调国内314家提供移动应用程序下载服务的平台,下架3517个移动互联网恶意程序。通过对恶意程序的恶意行为统计发现,排名前三的分别为流氓行为类、资费消耗类和信息窃取类,占比分别为45.8%、24.3%和14.8%。

【安全事件】

1.美国银行第一资本遭黑客入侵:逾1亿用户信息泄露【阅读原文

美国银行第一资本金融公司在周一披露,一名黑客获取了逾1亿名顾客和潜在顾客的个人信息,包括姓名、地址、电话号码和生日。第一资本称,公司在7月19日确认了这次黑客入侵事件,目前这名黑客已经被美国联邦调查局逮捕。在宣布这一消息后,第一资本股价在盘后交易中下跌1%。第一资本表示,大约有1亿美国用户和600万加拿大用户的个人信息受到了此次事件的影响,但是黑客没有获取任何信用卡账号,超过99%的社会安全号码没有泄露。

2.在线售药App调查:无处方售处方药、医生咨询存漏洞【阅读原文

新京报记者近日对20家在线售药App测试发现,在经过多次被曝光及平台自查后,仍有个别平台涉嫌无处方售处方药,同时,平台对患者个人信息、病情真伪的审核机制也存在漏洞。曾因用户使用过量导致死亡,引发社会关注的秋水仙碱片,也有平台不需要处方就能一次性购买多瓶。

3.美一企业销售武器化BlueKeep漏洞利用,或再现WannaCry噩梦【外刊-阅读原文

作为渗透测试实用程序的一部分,一家美国网络安全公司正在销售武器化的BlueKeep漏洞利用工具。BlueKeep安全漏洞的代号为CVE-2019-0708,是旧版Windows操作系统中包含的远程桌面协议(RDP)服务中存在的一个bug。5月14日,微软发布了针对BlueKeep的修补程序,为这个“易受攻击”的漏洞打上了补丁,以阻断类似WannaCry的勒索软件的传播。过去两个月,安全研究人们一直在对这方面的漏洞攻击事件保持密切关注,以杜绝恶意软件使用BlueKeep这个大杀器漏洞。

4.BT客户端BitLord被发现捆绑间谍软件【外刊-阅读原文

BitTorrent客户端BitLord被发现捆绑了名叫PremierOpinion的间谍软件,该间谍软件会利用中间人攻击的方法捕捉机器的SSL/TLS流量。它会安装一个代理在端口8888、8443和8254,安装一个本地系统证书,该证书会被所有应用程序自动信任。PremierOpinion主要通过捆绑在其它软件进行传播,其中之一是BitLord。BitLord最早是基于比特彗星源代码的一个BitTorrent客户端,能利用VLC串流视频。

5.苹果回应Siri泄露隐私问题:不到1%,用于改善服务【阅读原文

针对《卫报》曝出Siri涉嫌泄露用户隐私一事,苹果回应称,“仅有一小部分Siri请求会被分析用以改善Siri和听写。用户请求与用户的Apple ID并无关联。Siri响应会在安全的环境下进行分析,所有审核人员都有义务遵守苹果严格的保密要求。”苹果称,“(被上传的)只是一个非常小的随机子集,不到Siri日活的1%,用于评分,通常只长约几秒钟。”

【优质文章】

1.巴西总统Telegram账号被入侵背后,攻击关键点竟是手机语音信箱【阅读原文

巴西联邦检方指前巴西总统特梅尔是一个“刑事犯罪团伙”的首脑,涉嫌参与洗钱、挪用款项、行贿受贿等行为,涉案金额约合31亿元人民币。然后实际上,这次案件中的检察官手机在疑似遭违法入侵后,巴西前总统卢拉被法官和检察官联合搞下台的内幕,就这样泄露了出去,巧的是同样是Telegram账号被入侵。

2.加密货币领域已成为一个不受监管的大赌场【阅读原文

每个文明国家都会严格监管金融体系,其来有自。毕竟,2008年全球金融危机主要原因便是金融监管不力。骗子、罪犯和贪污者层出不穷,除非投资者能够得到保护,否则没有哪个金融体系能够实现应有的目的。因此,有的监管要求证券必须注册,有的要求资金服务活动必须有许可证,有的要求资本管制包括“反洗钱”(AML)和“了解你的客户”(KYC)条款(以防避税和其他非法金融流动),有的要求资金管理人与客户利益一致。这些法律和监管保护了投资者和社会,因此产生一些合规成本是合理的,也是合适的。

3.Black hat USA 2019议题前瞻【阅读原文

Black hat作为全球领先的信息安全大会,每年都会针对当下热点网络安全趋势进行研讨,而会上所讨论的主题和技术也常常成为未来网络安全发展的引航标。在今年,Black hat步入了第22个年头。

*本文内容收集自全球范围内的媒体与刊物,制作者对其完整性负责,但不对其真实性和有效性负责。

*标注为【外刊】的内容主要来源为英语国家的媒体与刊物,部分内容需要注册免费账号后方可阅读。

【全球动态】

1.专家:应鼓励中国支付公司加入对Libra的挑战和竞争【阅读原文

种种迹象显示,脸书的加密数字货币Libra与美元正在合谋“美元霸权2.0”。此前,7月16日~17日美国国会参众两院举行了针对脸书公司计划发行的加密数字货币Libra的听证会。两场听证会,表面是对数字货币表达担忧,担心Libra冲击到美元霸权,而实际上更像是一场对Libra项目的宣传,在全球媒体聚焦之下,让脸书将Libra的理念向全球更大范围扩散。清华大学国家金融研究院院长、国际货币基金组织原副总裁朱民25日在分析Libra可能的颠覆和机遇时指出,中国应鼓励和支持支付公司加入对Libra的挑战和竞争。

2.工信部:部署推进IPv6网络就绪专项行动【阅读原文

2019年7月24日上午,工业和信息化部信息通信发展司组织召开部署推进IPv6网络就绪专项行动电视电话会议。工信部信息通信发展司司长闻库、信息通信管理局巡视员刘杰、网络安全管理局副局长陶青出席会议并讲话,中央网信办信息化发展局廖小伟副处长受邀出席会议。会议指出,加快推进IPv6规模部署,构建高速率、广普及、全覆盖、智能化的下一代互联网,是互联网演进升级的必然趋势,也是加快网络强国建设、赢得未来国际竞争新优势的紧迫要求。2017年中办、国办印发《推进互联网协议第六版(IPv6)规模部署行动计划》以来,工业和信息化部认真贯彻落实党中央、国务院决策部署,结合职责分工扎实做好网络基础设施改造、应用基础设施改造、网络安全保障,以及基础电信企业自营网站和应用改造等工作,并配合中央网信办推动互联网企业开展IPv6升级改造工作。

3.周鸿祎:安全行业不应一家独大,10亿扶持创企【阅读原文

360集团董事长兼CEO周鸿祎近日表示,将拿出10亿元作为大安全基金,对具备创新特质的优秀创业团队倾囊相助,打造中国的网络安全独角兽企业。周鸿祎称,“希望未来网络安全行业不是一家独大,而是很多小公司,初创公司也能获得生存和发展的空间,这样才能推动整个产业蓬勃发展,中国的网络安全能力会有巨大提升,建立起一整套应对的技术、团队和体系,不惧怕任何人发起网络攻击,从网络大国成为网络强国”。

4.FTC起诉已经破产的剑桥分析公司,并限制前CEO商业活动【阅读原文

今天,美国联邦贸易委员会(FTC)对社交网络巨头Facebook处以里程碑式的50亿美元罚款,同时该机构还宣布对剑桥分析公司采取单独的制裁措施。FTC在一份行政诉讼中表示,剑桥分析公司通过一款性格测试应用程序欺骗性地获取了Facebook用户的信息。此后,剑桥分析公司申请了破产,因而并未解决该机构提起的诉讼案。FTC表示,它还与两个人达成了和解:剑桥分析公司前首席执行官亚历山大·尼克斯和剑桥大学前教授亚历山大·科根。据了解,科根负责开发剑桥分析公司用的应用程序,该应用程序从Facebook用户那里获取了大量个人数据。剑桥分析公司利用这些个人信息来进行选民分析和打造具有针对性的广告。

5.工信部:2019上半年移动互联网累计流量达554亿GB【阅读原文

工信部公布了2019年上半年通信业经济运行情况。数据显示,上半年,三家基础电信企业实现固定通信业务收入2125亿元,同比增长9.8%,在电信业务收入中占31.6%;实现移动通信业务收入4596亿元,同比下降4%,占电信业务收入的68.4%。截至6月底,三家基础电信企业的移动电话用户总数达15.9亿户,同比增长5%,但较上月末减少353万户。其中,4G用户规模为12.3亿户,占移动电话用户的77.6%,较上年末提高3.2个百分点。上半年,移动互联网累计流量达554亿GB,同比增速由一季度129.1%降至107.3%;其中通过手机上网的流量达到552亿GB,占移动互联网总流量的99.6%,同比增速由一季度133.2%降至110.2%。

6.苹果收购英特尔的智能手机调制解调器业务【阅读原文

英特尔和苹果签署了一项协议,关于苹果收购英特尔的大部分智能手机调制解调器业务。此次收购大约 2200 名英特尔员工将加入苹果,苹果也将从英特尔手中收购 IP 和设备。此次收购意味着,苹果正在为其智能手机生产自己的 5G 调制解调器,而不必依赖高通(Qualcomm)提供硬件,高通是智能手机调制解调器的主要供应商。现实表明,英特尔的现代技术在历史上一直落后于高通(Qualcomm)。当苹果在 iphone X 上使用两家公司的调制解调器时,有报告称,尽管高通的调制解调器有一些功能被禁用,但是高通的硬件提供了比英特尔的更高的速度。

【安全事件】

1.报告显示2019年上半年已有超过2300万张信用卡信息在暗网上出售【阅读原文

网络威胁情报组织(CTI)组织Sixgills发布的一份新报告显示,在2019年上半年,在暗网上出售了超过2300万张被盗信用卡信息。据悉,在暗网上出售的大多数被盗信用卡信息绝大多数来自美国,占到了所有信用卡的64%以上。英国是第二大被盗信用卡数据来源,但其7.4%的数据与美国相差甚远。而俄罗斯的比例约为0.0014%,约有314张信用卡。该报告还显示,大部分(约57%)被盗信用卡是Visa,万事达卡以29%的比例排在第二位,美国运通卡以12%紧随其后。

2.Lookout研究发现:功能强大的Monokle恶意软件或产自俄罗斯【外刊-阅读原文

研究人员发现了一些有史以来最先进、功能最全面的移动监视软件。自 2016 年 3 月以来,这种被称作 Monokle 的 Android 应用程序就已经被发现。据说 Monokle 由俄罗斯国防承包商开发,旨在帮助该国情报机构干预 2016 美总统大选。安全研究机构 Lookout 发布的一份报告称,Monokle 使用了几种新式手段,包括修改 Android 可信证书存储区,可通过互联网 TCP 端口、电子邮件、短信或电话通信下达指令和控制网络。

3.人民日报:《未成年人网络保护条例》有望今年出台【阅读原文

近日,共青团中央召开2019年办理全国人大代表建议、全国政协委员提案座谈会。据相关媒体报道,今年拟提请全国人大常委会会议审议的未成年人保护法修订草案,将增设网络保护的章节。与此同时,酝酿多年的《未成年人网络保护条例》,今年有望出台。这无疑向广大公众释放出一个重要信号:未成年人网络保护将有法可依。

4.美股券商Robinhood承认以明文方式存储了部分用户密码【阅读原文

美股券商Robinhood在致受影响用户的电子邮件中,承认以明文方式存储了部分用户的密码。该公司在邮件中表示“本周一晚上,我们发现在我们的内部系统中部分用户的凭证以可读格式存储。通过全面彻底的检查之后目前我们已经解决了这个问题,没有任何证据表明除了我们的响应团队以外的人访问过这些信息。”虽然没有找到用户泄露的证据,不过Robinhood已经向受影响用户重新设置密码。公司发言人表示,并非所有Robinhood用户都受到影响,但无法透露具体数字。该问题已得到解决,现在正在使用Bcrypt算法对密码进行哈希处理。

5.流媒体服务遭受 IoT 僵尸网络 13 天的 DDoS 攻击【外刊-阅读原文

覆盖超过40 万台物联网设备的僵尸网络对一家流媒体应用程序进行了为期 13 天的分布式拒绝服务(DDoS)攻击。攻击始于 4 月 24 日,黑客针对身份验证组件的攻击最高达到了每秒292,000 次,使其成为了最大的第7层 DDoS 攻击之一。负责应对此次攻击的 Imperva 公司在攻击期间始终运行该服务,并观察了来自402,000个不同IP地址的请求。该公司在今天的一份报告中称,大多数攻击设备都位于巴西,并指出这是他们所处理的最大的第7层DDoS攻击。

6.德国安全局称有黑客传播 Sodinokibi 勒索软件【外刊-阅读原文

德国国家网络安全机构 BSI 发布警告称,有黑客通过将电子邮件伪装成 BSI 的官方消息传播 Sodinokibi 勒索软件。黑客将一个微软快捷方式伪装成 PDF 文件,当受害人将其打开时便会被其指向的压缩包附件感染。一旦执行,快捷方式将使用 PowerShell 命令启动位于 http://grouphk[.]xyz/out-1308780833.hta 的远程 HTA 文件(HTML 应用程序的简称),该命令只是将 HTTP 添加到 HTA payload 的 URL 前。据德国安全局称,下载 Sodinokibi(也称为 REvil 和 Sodin)payload 的网址的域名和下载 HTA 文件的域名是相同的。下载之后,Sodinokibi 将加密受害者的文件,并为每个计算机添加一个随机且唯一的扩展名。

【优质文章】

1.漏洞预警丨Xstream远程代码执行漏洞【阅读原文

XStream是常用的Java类库,用来将对象序列化成XML (JSON)或反序列化为对象。经斗象安全应急响应团队分析, 当使用Xstream 1.4.10版本且未对安全框架进行初始化时,攻击者即可通过精心构造的请求包在使用Xstream的服务器上进行远程代码执行。

2.揭秘伊朗挖矿:动荡依旧,但机会来了【阅读原文

伊朗加密货币挖矿合法化的靴子终于落地了。过去,伊朗政府一直拒绝承认加密货币挖矿合法,就在上个月他们还扣押并关闭了两家矿场,查获了1000多台矿机。而如今,据coindesk报道,伊朗正式承认加密货币挖矿是一个合法产业,伊朗商业、工业、矿业和农业经济委员会批准了此事,现在该国政府正在寻找在现有法律结构内监管这项活动的方法。伊朗中央银行行长Abdolnaser Hemmati在一份声明中表示,伊朗政府经济委员会已经批准了数字货币挖矿机制,随后将在内阁会议上进行讨论。

3.开始公开叫卖了…美国公司正在出售武器化的BlueKeep漏洞利用(RDP)【阅读原文

2019年05月15日,微软公布了5月的补丁更新列表,在其中存在一个被标记为严重的RDP(远程桌面服务)远程代码执行漏洞,攻击者可以利用此漏洞远程无需用户验证通过发送构造特殊的恶意数据在目标系统上执行恶意代码,从而获取机器的完全控制。

从补丁分析,到漏洞分析,再到POC发布,然后是EXP视频发布,时间已经过去了2个月+10天。因为留给用户打补丁的时间已经不多了。。

*本文内容收集自全球范围内的媒体与刊物,制作者对其完整性负责,但不对其真实性和有效性负责。

*标注为【外刊】的内容主要来源为英语国家的媒体与刊物,部分内容需要注册免费账号后方可阅读。

【全球动态】

1.微软对Chromium新贡献:密码框统一增设“显示密码”按钮【阅读原文

时候我们在输入密码的时候不能完全确认是否完全正确,只有在点击提交进行身份验证之后我们才会知道。因此目前部分网站允许用户临时查看自己输入的密码,而大部分网站通常会以“*”符号隐藏显示。为此微软希望通过在密码字段中添加新的按钮,以便于用户使用Edge、Chrome以及其他Chromium浏览器时候都能显示你输入的密码,从而获得一致的使用体验。

2.微软将支付2530万美元罚款以了结美国反贿赂指控【阅读原文

软同意支付约2530万美元,其中包括875万美元的刑事罚款,以了结美国指控其违反联邦反贿赂法,向匈牙利和其他国家的政府官员支付不当款项的指控。美国司法部周一表示,微软匈牙利达成了一项不起诉协议,以解决根据《反海外腐败法》(Foreign Corrupt Practices Act)提出的指控。

3.伊朗的互联网审查【外刊-阅读原文

许多国家会屏蔽某些网站或IP,比如盗版或儿童色情。但伊朗的屏蔽几乎无所不包。伊朗屏蔽了媒体如BBC、FoxNews和VOA,屏蔽了社交媒体如Twitter和Facebook,消息应用如Telegram、微信、Kik和SnapChat,视频网站如YouTube,甚至还有代码托管网站sourceforge的部分子域名。为什么要屏蔽如此之多的服务?因为这是极权政府的生存之道。他们可以销售VPN和代理,他们想要一直监视人民,以便于更容易的消除他们不想要的社会元素。过滤或网络审查是真正有利可图的生意。政府和非政府公司获利胜多。有时候他们会加强对某些服务的屏蔽,以推广他们自己的服务。他们还会类似哈萨克斯坦政府那样对加密网站发动中间人攻击。

4.英国议会:限制华为将降低5G安全标准【阅读原文

英国议会一个委员会19日发表声明说,人为限制华为等设备供应商参与5G建设会增加过度依赖风险、减少市场竞争,“导致灵活性和安全标准降低”。“华为是一个卓越的公司,取得了非凡的技术进步,并且为一个行业带来了彻底的创新和竞争。如果没有华为,这个行业可能会缺乏这些特性。”英国议会情报与安全委员会在声明中说。声明说,目前英国市场中仅有3个潜在设备供应商——华为、诺基亚和爱立信,限制特定供应商不仅不利于市场竞争、降低安全标准,还会带来时间和成本上的损失,“政府必须权衡这些因素”。

5.德国网络安全机构发现了VLC媒体播放器的关键缺陷【阅读原文

德国网络安全机构CERT-Bund负责组织该国计算机安全相关紧急状况的响应,他们最近发现了流行VLC媒体播放器中的一个关键缺陷。众所周知,VLC是一个跨平台兼容的媒体播放器,因此拥有超过30亿的令人印象深刻的总下载量,这使得这个漏洞更加危险。CERT-Bund将该漏洞(正式记录为CVE-2019-13615)归类为“高级”(4级)漏洞,这是该机构第二高的风险评估级别。该漏洞确实非常危险,它允许攻击者不仅可以远程执行代码,还可能导致未经授权的信息泄露,未经授权的文件修改和服务中断。

6.安全研究人员发现中国网贷App漏洞泄露大量个人信息【阅读原文

最近有研究人员发现有大量网贷App泄漏了个人信息,有几百万用户受影响。来自SafetyDetective的研究人员Anurag Sen发现,在网上有一个达889GB的巨型数据库,内有超过460万使用网贷App的装置信息。包括用户个人联络数据、财务信息(包括借贷记录、风险管理数据、交易详情)、装置数据报括联络人列表、短讯记录、IMEI编号以及容量数据,甚至每次登入时的地理位置,而且在不断更新之中,因此如果有意对特定用户进行监控,甚至可以追踪实时位置。这个数据库位于阿里云,未经加密公开,而研究人员表示阿里云应该没有参与或造成这次个人资料泄漏。

【安全事件】

1.以微软用户为目标的恶意软件正伪装成以假乱真的浏览器更新【阅读原文

微软用户正成为新恶意软件活动的目标,其目的是感染设备后通过安插TrickBot木马窃取密码。一个外观看起来非常像微软官方的假Office 365页面提供了一个用于部署恶意软件包的虚假浏览器更新。MalwareHunterTeam的专家发现,该页面经过了精心设计,看上去尽可能相似,以至于它甚至包含指向微软官方域名的链接。

2.一香港男子被认为是在微软应用程序部署恶意广告的罪魁祸首【外刊-阅读原文

一名来自香港的嫌疑人认为是过去几个月内侵入微软应用程序和服务的恶意广告浪潮背后的罪魁祸首。根据专门跟踪恶意广告活动的网络安全公司Confiant的一项调查,嫌疑人被认为是一名香港男子,至少经营两家名为Fiber-Ads和Clockfollow的幌子公司。

3.温州破获特大微信招嫖诈骗:软件改定位,嫌疑人多90后【阅读原文

一宗发生在浙江的诈骗案牵出一起地跨广东、海南、湖北、重庆等多地的特大微信招嫖诈骗案:年轻的犯罪分子们利用手机软件修改微信定位布下“桃色陷阱”,使逾2000名男性受骗。2018年10月,浙江省温州市永嘉县公安局东瓯派出所民警接到一徐姓男子报案,称其在辖区内一旅店入住时通过微信“附近的人”寻觅“上门服务”,对方以交纳嫖资、人身保证金、健康证明以及发送威胁视频等方式多次要求其转帐,总计逾六千元。

4.Firefox火狐浏览器将向用户警告被泄露的登录信息【阅读原文

从Firefox 70开始,如果保存在浏览器的登录信息出现在泄露数据库中,Firefox将会发出警告——此功能通过与Have I Been Pwned网站(数据泄露检查网站)合作完成。早于去年9月,Mozilla就已和Have I Been Pwned合作推出用于检查帐号是否被泄露的独立服务,名为Firefox Monitor。

5.Equifax与监管机构和解,6.5亿美元摆平大型数据泄露【阅读原文

美国监管部门今日宣布,征信机构Equifax将支付6.5亿美元的费用,就2017年一起大规模的数据泄露事件与美国联邦贸易委员会(FTC)等监管机构和解。美国征信巨头Equifax 2017年9月曾确认,黑客利用其系统中未修复的Apache Struts漏洞发起攻击,导致1.43亿用户的信用记录被泄露,包括名称、社会保障号、出生日期、地址,以及一些驾驶执照号码等。此外,美国约20.9万名消费者的信用卡详情和涉及18.2万人的争议文件也可能遭到泄露。今日,Equifax宣布与美国监管部门达成和解。这起有史以来规模最大的数据泄露案的和解,将结束FTC、消费者金融保护委员会(CFPB)和几乎所有州总检察长对Equifax的多项调查。此外,也将解决针对该公司的悬而未决的集体诉讼。

6.蓝牙现新漏洞,微软及苹果产品“中招”【阅读原文

目前智能手机及电脑产品都广泛采用了蓝牙技术,蓝牙技术也凭借着自身低耗电量特点从而让周边的设备拥有更长的连接时间。不过据最新研究报告显示,蓝牙(BLE)通讯标准中存在一个新漏洞,该漏洞可导致设备泄露用户的个人信息,将对除Android系统外的所有设备产生影响。据波士顿大学的研究人员公布最新的研究显示,在蓝牙(BLE)通讯标准中最新找到的漏洞存在于蓝牙的身份识别功能中。该功能主要是在蓝牙配对时产生随机MAC地址并定期自动更新,不过只要利用特定算法,即使蓝牙MAC地址发生变化也能够让蓝牙识别相关设备。

7.75辆奔驰共享汽车被盗,“偷车贼”称车辆归自己所有【阅读原文

近期,Car2go突然发现平台上奔驰CLA轿车和GLA SUV的出租量猛增,且这些车的租赁时间比公司平均90分钟的车程要长得多。Car2go总部员工通过电子地图发现,几十辆汽车已超出了公司的业务覆盖区域,聚集在芝加哥西部的几个街区里。当Car2go员工去追回汽车时,这些“偷车贼”却拒绝归还,还声称车辆归自己所有。

【优质文章】

1.伊朗逮捕17名美国中情局间谍并部分处死【阅读原文

7月22日,伊朗报道称,伊朗情报部破获了美国中情局一个间谍团伙,逮捕了17名专业间谍,其中一些人已被伊朗司法机构判处死刑。当天,伊朗情报部反间谍司长披露,有关部门已经查明,这些间谍隐藏于伊朗的经济、核基础设施、军事和网络中心等重要和敏感的政府部门和私营机构,收集机密信息。

2.“毒王”往事:熊猫烧香制造者的反转人生【阅读原文

2006年与2007年交替之际,国内有不少电脑都中了一个名为“熊猫烧香”的病毒。病毒通过用户浏览网页、共享局域网以及U盘等途径快速传播,导致电脑中所有文件图标,都会变成一只熊猫举着三炷香,随后会出现运行缓慢、死机、蓝屏等情况。记得在那段时间,很多大学周边平时需要提前抢座的网吧,都因熊猫烧香不得不暂停营业,而在全国范围内中毒的电脑数量更是难以统计。一时间,网络上充斥着声讨,甚至有人在贴吧宣称悬赏10万“通缉”病毒作者。当真相水落石出,病毒作者李俊身份被曝光时,网上爆发了一轮又一轮的讨论。

3.央视网黄乐:媒体行业风险管理体系设计与实现【阅读原文

黄乐,央视网网络安全部副总监。在央视网主要负责网络安全架构的设计和建设。主要包括攻防对抗技术研究、安全检测及防御体系建设、安全播出管理平台建设、漏洞治理平台研发、威胁感知平台研发、应急响应系统研发等工作。同时,提出了“重检测,轻防御”的安全架构设计理念,并通过“快速及格、逐步迭代”的思路快速落地了央视网安全播出管理平台。拥有十年网络架构设计经验,五年安全体系建设及管理经验,清流派企业安全沙龙创始人,两个安全公众号主理人。清流派企业安全沙龙是安全行业甲方闭门沙龙,每月邀请各企业安全部门负责人从多个方面探讨企业安全建设及管理的思路和经验。

4.企业安全体系架构分析:开发安全架构之防CC攻击脚本编写【阅读原文

由于商业竞争热烈,不免有些公司会出现恶意竞争的现象,其实CC攻击算是最简单实施的一种DDoS类别攻击吧,在之前我所在的公司就遭受了一波商业竞争者发起的CC攻击。具体细节就不多说了,这种事情其实见怪不怪,来分享一下我的解决方案。

5.网藤PRS|解构NTA的发展与实践之路【阅读原文

随着越来越多的企业将业务迁移到云端,DevOps流程在企业内部逐渐开展与深入,物联网设备总量呈现爆炸式增长,仅限于预防、以外围为重点的安全手段已捉襟见肘。

答案隐藏在庞大的网络流量中,如果企业安全中心具备了态势感知与可视化等能力,即可看穿网络流量进而定位到真实发生的网络安全事件,加快检测与响应的进程,降低攻击活动在企业网络中的存续时间,而能够提供答案的网络流量分析解决方案,如网藤PRS等在安全界也随即被重视起来。

【全球动态】

1.谷歌上调Chrome漏洞赏金额度,最高达30000美元【外刊-阅读原文

自2010年以来,谷歌已向一些报告Chrome浏览器安全漏洞的安全研究人员支付赏金。而现在谷歌宣布将提高赏金额度。据称,这将包括将最高基础赏金额度从5000美元增加到15000美元,并将“高质量报告”的最高赏金金额从15000美元增加到30000美元。

2.微软计划将Rust作为C和C++的安全替代品【外刊-阅读原文

微软正在探索使用Rust编程语言作为C、C++和其他语言的替代方案,以此来改善应用程序的安全状况。自 2004 年以来,微软安全响应中心(MSRC)已对所有报告过的微软安全漏洞进行了分类。根据他们提供的数据,所有微软年度补丁中约有 70% 是针对内存安全漏洞的修复程序。这样高的百分比是因为 Windows 和大多数其他微软产品主要使用 C 和 C++ 编写,这两种“内存不安全”(memory-unsafe)的编程语言允许开发人员对内存地址进行细粒度控制,并且可以执行代码。管理内存执行的开发人员代码中的一个漏洞可能导致一系列内存安全错误,攻击者可以利用这些错误带来危险和侵入性后果,例如远程代码执行或特权提升漏洞。

3.七国集团:要给予Facebook加密货币Libra最严厉监管【阅读原文

七国集团(G7)的财政部长和中央银行今日表示,包括Facebook Libra在内的数字加密货币引发了人们的极大担忧,必须要给予最可能严厉的监管,以确保不影响全球的金融系统。G7主要担心,Facebook对数字货币的雄心,可能不仅会削弱他们对货币和银行政策的控制,还会带来安全风险。

4.滴滴顺风车公布产品方案向公众征求意见,上线仍无具体时间【阅读原文

滴滴顺风车下线325天之后首次召开媒体开放日,公布了整改期间的阶段性安全产品方案。方案围绕回归顺风车“真正顺路“本质,“让顺风车更真实、更顺路、更安全”。此次顺风车还独家推出女性专属保护计划,并承诺将持续公开、透明地与外界沟通,在未来一段时间不断征求社会各界的意见和反馈,与用户共建顺风车安全。共建期间,顺风车暂无上线时间表。

5.首例比特币财产侵权纠纷案在杭州互联网法院开庭宣判【阅读原文

据中证网消息,首例比特币财产侵权纠纷案在杭州互联网法院开庭宣判。本次庭审法院确认了比特币“虚拟财产”属性,这也是中国法院首次对于比特币等数字货币虚拟的财产属性进行认定。关于比特币虚拟财产的属性,杭州互联网法院认为,比特币具有财产作为权利客体需具备的价值性、稀缺性、可支配性,应认定其虚拟财产地位。这是我国法院首次对比特币的虚拟财产属性进行较为全面的论述。此次司法机关在判决当中的认定,对未来比特币等其他虚拟货币而引发的纠纷和争议的处理,具有非凡的意义。

6.国家互联网应急中心:我国云平台安全风险较为突出【阅读原文

国家互联网应急中心发布的《2018年中国互联网网络安全报告》显示,云平台成为发生网络攻击的重灾区,云服务商和云用户应加大对网络安全的重视和投入,分工协作提升网络安全防范能力。报告统计,在各类型网络安全事件中,云平台上的分布式拒绝服务攻击(DDoS攻击)次数、被植入后门的网站数量、被篡改的网站数量占比均超过50%。

【安全事件】

1.Instagram新政策将导致更多账户被封 但会先提醒用户【阅读原文

据报道,Instagram已更新其帐户停用政策,可能导致更多帐户被封。Instagram在周四的一则公告中透露,这一变化是为了“更加一致地”执行公司的政策。根据新政策,如果用户在一段有限的时间内收到超过一定数量的违规行为的通知,他们将面临其帐户被封的问题。Instagram此前已经发布了一系列规则; 发布该平台禁止的内容将导致该内容被删除,并且违规将应用于该帐户。到目前为止,违反内容的百分比过高会导致帐户永久被封,从而导致用户丢失所有帖子、消息和关注者。Instagram周四宣布将开始删除在有限时间内获得一定数量违规行为通知的帐户。将此元素添加到公司的策略中可能会导致更多帐户被封,但可以改善其他人的体验。

2.举国无隐私!保加利亚遭黑客入侵,500万民众信息外泄【阅读原文

近日,保加利亚国家税务局数据库被黑客攻破,高达500万国民的信息外泄——受害者总数相当于该国所有成年公民的总和,创下该国历史上最为严重的用户数据泄露事故。截至目前,一名年仅20岁的嫌犯已经落网,黑客团体及其作案动机正在进一步调查当中。保加利亚新闻媒体15日收到神秘电邮,自称是“俄罗斯黑客”的寄信人号称攻破了该国官方110个数据库,其中包含核心政府部门的高度涉密信息。作案团伙在信中大肆嘲弄保加利亚当局的“腐败无能”,挑衅称“贵国的网络安全就是个笑话”。他们号称为媒体提供的数据包约为11GB,他们手中还掌控着10GB左右的数据。保加利亚《24小时报》称,这份邮件中包含部分失窃数据的下载链接,点击后可查看到110万公民个人关键信息,包括身份证、社保号码、个人收入、缴税记录以及医疗信息等。

3.FaceApp可能面临FBI和FTC对其安全问题的调查【阅读原文

病毒式迅速传播的FaceApp正面临来自美国参议院少数党领袖Chuck Schumer的进一步审查。参议员要求联邦调查局和联邦贸易委员会对俄罗斯开发的AI照片编辑应用程序进行国家安全和隐私调查。在给FBI主任Christopher Wray和FTC主席Joe Simons的公开信中,Chuck Schumer说他严重关切正在汇总数据的保护以及用户是否知道谁可以访问这些数据。Chuck Schumer要求联邦调查局评估上传到FaceApp的任何数据是否能够落入俄罗斯政府手中。他还要求联邦贸易委员会检查它是否有足够的保障措施来保护用户的隐私。

4.微软警告上万客户他们成为国家支持黑客的目标【外刊-阅读原文

微软周三表示,过去一年它警告了上万客户他们的账号成为国家支持黑客的目标。部分用户的账号被成功入侵,大部分则只是被攻击。这些目标大部分是企业账号,只有少数是消费者账号。微软称,来自伊朗、朝鲜和俄罗斯的五个黑客组织最为活跃,其中一个伊朗的黑客组织被称为 Holmium aka APT33,该组织的目标主要是总部位于美国、沙特和韩国的国防、商业航空和石化领域的组织。

5.Firefox将在网站数据泄露后第一时间通知用户【外刊-阅读原文

继 Google Chrome 之后,Mozilla Firefox 也于近日更新了密码管理器。在 Firefox 70 版本中,用户可以见到一个全新开发的模块。此前,Firefox 已经以附加组件(Add-ons)的形式,提供了名为 Lockwise 的密码管理器。但为了进一步提升浏览器的安全性,Mozilla 将直接把该功能作为内置组件。Firefox 开发团队称,若当前已保存登录状态的网站(比如 Yahoo.com)发生了数据泄露(Pwned),浏览器会及时地发出“密码被泄露”或“网站被拖库”的警示,提醒用户及时修改密码,以保护其账户。

6.蓝牙BUG可能导致iOS与macOS设备被追踪与识别【外刊-阅读原文

在一篇题为《追踪匿名蓝牙设备》的研究论文中,其宣称许多蓝牙设备都存在着 MAC 地址。即便有随机 MAC 地址的选项,但他们发现了可以绕过这一层的方法,以实现对特定设备的永久性监控。该漏洞影响包括 iPhone / iPad / Apple Watch / MacBook,以及微软平板与笔记本电脑在内的诸多设备。值得庆幸的是,Android 设备并未受到影响。

【优质文章】

1.贩卖个人信息的黑色生意:团伙开公司搞研发,涉案过亿【阅读原文

通过企业化运营,在两年内,一个犯罪团伙将贩卖公民个人信息这门黑色生意做到了过亿的规模。他们有技术研发部门,骗取公民注册信息,并流转至网络售卖平台;有推广和销售部门负责吸引买家,只要在销售平台上注册充值,便可购买大量公民个人信息。

2.内行客户评估欺骗防御方案会问供应商的11个问题【阅读原文

现在市场上不缺欺骗防御类产品,本文介绍能够对不同的欺骗防御方案作出初步评估和筛选的11个问题,避免用户在眼花缭乱的营销手段下,花大价钱买回了效果微乎其微的东西。同时,供应商也可以通过这11个角度产生新的思考。

3.5.62亿中国人未接入互联网,巨头如何抢食这块肥肉?【阅读原文

百度、阿里巴巴、小米集团等中国科技公司正在大力开发智能音箱,他们到底图什么?《南华早报》刊文称,中国仍有40%的人口未接入互联网,主要原因是这部分人不懂电脑,不会拼音。

*本文内容收集自全球范围内的媒体与刊物,制作者对其完整性负责,但不对其真实性和有效性负责。

*标注为【外刊】的内容主要来源为英语国家的媒体与刊物,部分内容需要注册免费账号后方可阅读。