安全快讯Top News

美国国家标准与技术研究院(NIST) 发布第二版《网络安全框架 草案》

美国国家标准与技术研究院(NIST)发布了NIST网络安全框架更新的第二稿。 NIST 于 2017 年 12 月 5 日发布了”改进关键基础设施网络安全框架“(也就是网络安全框架1.1版草案2)提议更新的第二稿。 “本第二稿草案旨在澄清,改进和加强网络安全框架,扩大其价值并使其更易用。新草案融入了收到的意见,这些意见来自 2017 年 1 月启动的公开审查流程和 2017 年 5 月的研讨会。 NIST 网络安全框架于 2014 年首次发布,旨在帮助公司组织,特别是关键基础设施部门管理网络安全风险。当时,NIST 发布了“改进关键基础设施安全框架”,该文件提出了制定安全计划的网络安全标准和实践。 如今,NIST 网络安全框架被认为是众多组织和企业实施的最佳实践指南。 网络安全框架是根据美国前总统奥巴马发布的行政命令制定的,现在特朗普政府也认为该框架是一套由政府机构和关键基础设施运营商实施的最佳实践。 特朗普现任政府发布的网络安全行政命令也要求联邦机构和关键基础设施运营商使用该框架。 稿源:Freebuf 早餐铺,封面源自网络;编辑:FOX

预警 | Android 高危漏洞可被绕过签名验证机制、注入恶意代码替换合法 APP

据外媒报道,谷歌上周修补了四十多个安全漏洞,其中一个高危漏洞允许黑客绕过签名验证机制向 Android 应用程序注入恶意代码,以便恶意版本能够覆盖智能手机上的合法应用程序。目前,有数以百万计的 Android 设备面临着漏洞造成的严重风险。 这个被称为 Janus 的漏洞由 GuardSquare 公司首席技术官 Eric Lafortune 在今年夏季发现,他于 7 月份向谷歌报告了这个漏洞 ( cve -2017- 13156 ),谷歌 12 月初发布的 Android 安全公告中显示,该漏洞在上周四已被修补。 Android Janus 漏洞工作方式 研究显示,这个漏洞驻留在 Android 系统为一些应用程序处理 APK 安装的方式中,使得开发者可在 APK 文件中添加额外的字节代码而不影响应用程序的签名。通过研究发现,由于缺少文件完整性检查,这种添加额外字节的代码的情况将允许黑客以 DEX 格式编译的恶意代码添加到包含具备有效签名的合法 APK 中,以便在目标设备上执行恶意代码而不被发现,便于欺骗程序安装过程。换句话说,黑客并不需要修改合法应用程序本身的代码(使签名无效),而是利用这个漏洞向原始应用程序添加一些额外的恶意代码行即可。 当用户下载应用程序的更新时,Android 会在运行时将其签名与原始版本的签名进行比较。如果签名匹配,Android 系统将继续安装更新程序,更新后的应用程序继承原始应用程序的权限。因此,一旦安装了受感染的应用程序,黑客将拥有与原应用程序相同的系统权限。这意味着黑客可能窃取银行证书、读取消息或进一步感染目标设备。 攻击场景 黑客可以使用各种媒介(如垃圾邮件、提供虚假应用程序和更新的第三方应用程序商店、社会工程,甚至是中间人攻击)传播包含恶意代码的“合法的应用程序”。GuardSquare 公司表示,从银行应用程序、游戏到 Google 地图等都可能成为 Janus 漏洞利用者的目标。此外,从第三方应用程序商店下载的 Android APKs,比如社交媒体或者系统应用程序等也可能成为攻击目标。 修补方式 虽然目前谷歌已经修补了 Janus 漏洞,但在设备制造商(OEM)为其发布自定义更新之前,大多数 Android 用户的系统漏洞都将无法获得修复,显然大量智能手机用户还是很容易受到黑客的攻击。 GuardSquare 称,受影响的是运行比 Nougat(7.0)更早的 Android 操作系统版本以及任何支持 APK 签名方案 v1 的   Android 设备。由于此漏洞不会影响支持 APK 签名方案版本 2 的 Android 7( Nougat )和最新版本,因此强烈建议运行较旧 Android 版本的用户升级其设备操作系统。但如果你的设备制造商既没有提供安全补丁,也没有最新的  Android 版本,那么你就应该时刻保持警惕,尽量不要在谷歌的 Play Store 之外安装应用程序和更新,以最大限度地降低被黑客攻击的风险。 此外,GuardSquare 还建议,为了安全起见 Android 开发人员需要应用签名方案 v2,以确保他们的应用程序不能被篡改。 消息来源:thehackernews、threatpost,编译:榆榆 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。      

比特币网站消耗的电力超过塞尔维亚整个国家 – 加密货币的环境代价

比特币和其他加密货币已经引发了资本市场的革命,但成本是多少呢?比特币网络现在每笔交易正在消耗可怕的 240 千瓦时的电力,Bitcoin 网站每年消耗的电力与塞尔维亚整个国家一样多,这也将预示着一场环境灾难。 比特币浪潮在过去的几个月里激增,几乎不可能忽视。价格已经从 2013 年的 30 美元的疯狂涨到几乎人们想象不到的高度,并一度冲刺 20000 美元。截止外媒记者发稿前,比特币价格跌至 16000 美元左右。 这可能是疯狂的,但今年的图表几乎是渐近的 ; 从今年的 1000 美元左右逐月攀升。这非常令人兴奋。不少人跻身百万富翁,甚至是亿万富翁。不过有人也称比特币为人类历史上最大的金融泡沫。尽管如此,很少有人将其视为未来的交易货币,因为现在需要 10 分钟到 17 个小时(甚至偶尔)才能确认交易。 这就是问题所在:现在每一个交易都需要大量的计算工作。比特币 “ 挖矿 ” 现在是一些最强大的超级计算农场。他们汇总了惊人的处理能力,并且不分昼夜地运行它们,解决了让比特币值得信赖的令人难以置信的复杂计算数学。 电力使用量是可怕的。根据 Digiconomist 的数据,现在估计每笔交易都使用了一个夸张的 240 千瓦时的电力,这几乎相当于 1 户美国家庭 8 天的电力消耗. 按照目前每天大约 35 万笔交易的速度,这意味着比特币网络目前比塞尔维亚使用更多的电力,并且正在赶上丹麦。随着它越来越受欢迎,它将会消耗更多的电力。 那电力从哪里来?Digiconomist 估计,主要是煤炭,尽管很难说商业数量的比特币 “ 挖矿 ” 是一个相当秘密的游戏。但是,如果估算是正确的,每笔交易都会向大气中排放大约 117 千克( 258 磅)的二氧化碳,整个比特币网络每年的二氧化碳排放量约为近 1.6 万吨,并在不断增长。 而能够在区块链上实现 “ 智能合约 ” 的以太坊,现在每笔交易耗电约 47 千瓦时。Dash、Ripple、莱特币和其他各种虚拟货币也消耗大量的电力,无论是独立的加密网络,还是建立在其他网络核心功能之上的。 稿源: cnBeta ;封面源自网络;

投资者当心!黑客伪造比特币交易工具投放 Orcus RAT 木马

近年来比特币价格呈现爆发式增长,价格已逾黄金 10 倍,估值甚至超过部分国家货币,仅上周时间价格上涨一度超过 60%。如此疯狂的涨幅自然少不了被黑客组织所关注,近日安全研究人员发现,有黑客通过投放关于“ Gunbot 比特币交易机器人”的虚假广告来传播 Orcus 远程访问木马(RAT),其目的就在于窃取用户比特币。同时该木马背后的开发者还部署了一个虚假比特币论坛 bitcointalk[.]org 进行钓鱼活动。 来自 FortiGuards  实验室的研究人员发现了针对热心的比特币投资者的网络钓鱼活动,有黑客组织通过发送广告邮件宣传可为用户提供由 GuntherLab 或  Gunthy 开发的新的合法比特币交易机器人 Gunbot,可帮助监测不同交易平台之间的价格差异。若出现盈利的机会,软件将会根据用户此前的设定在平台之间自动买卖比特币。 研究人员表示,垃圾邮件中所提供的比特币交易机器人 Gunbot 实际上是为恶意软件Orcus RAT服务的,它并不带来相关利润反而会导致投资者遭遇更多损失。 这个带有虚假广告的钓鱼电子邮件实际上带有一个名为 “ sourcode.vbs ” 的 zip 文件附件,其中包含一个简单的 VB 脚本。当用户触发脚本时会下载一个伪装成 JPEG 图像、但实际上是 PE 二进制的文件。 “乍一看,下载的可执行文件似乎是一个良性的库存系统工具,包含很多对 SQL 命令的库存程序的引用。然而,通过进一步的分析,我们发现它是实际一个开源库存系统工具的木马化版本—— TTJ 库存系统”。研究人员表示这些黑客组织可能缺乏相关行业经验,只是使用了在别处购买的网络钓鱼组件,又或者是对方并不在意钓鱼行为被检测到,只要有用户触发了 VB脚本他们便能够得逞。 据脚本的评论表明,网络钓鱼背后的黑客无意隐瞒其行为 自 2016 年以来,恶意软件 Orcus 的开发人员一直在将其作为远程管理工具进行广告宣传,因为它具有 RAT 软件能够提供的所有功能,并且它还加载用户开发的定制插件或者Orcus 仓库中提供的插件。而Orcus 仓库中的某些插件可用于执行分布式拒绝服务(DDoS)攻击。就像其他远程访问木马一样,Orcus还具有密码检索和关键日志功能,可以窃取受害者在其设备上输入的所有内容,并且还可以实时远程执行被感染机器上的任意代码。另外,它还可以在网络摄像头上禁用指示灯,以避免提醒用户他们的网络摄像头处于活动状态,如果用户试图关闭进程则会触发系统蓝屏(BSOD),这也使得用户难以将其从系统中移除。 调查显示,该木马背后的开发商部署了一套虚假比特币论坛 bitcointalk[.]org,通过冒充 Gunbot 工具来下载恶意软件。这一伪造的比特币交易工具包含一个类似的 trojanised “ 库存系统 ” 和一个 VB 脚本。Fortinet 的研究人员猜测这个设置的小变化将会被用在另一个钓鱼活动中。 研究人员指出,该域名似乎已经注册到了 “ Cobainin Enterprises ”,并且还有其他可疑的域名注册。他们怀疑黑客在他们的恶意软件活动之间循环使用这些网站。在对 Orcus RAT 的调查中,研究人员表示 RAT 的行为实际已经超出了无害管理工具的范围,无论开发者如何辩解,这些应用程序被用于网络犯罪活动都已成事实。 相关阅读: 来自 Fortinet 的分析报告《A Peculiar Case of Orcus RAT Targeting Bitcoin Investors》 消息来源:IBTimes,编译:榆榆,审校 :FOX 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

习近平:实施国家大数据战略加快建设数字中国

据媒体 12 月 9 日报道,中共中央政治局 12 月 8 日下午就实施国家大数据战略进行第二次集体学习。中共中央总书记习近平在主持学习时强调,大数据发展日新月异,我们应该审时度势、精心谋划、超前布局、力争主动,深入了解大数据发展现状和趋势及其对经济社会发展的影响,分析我国大数据发展取得的成绩和存在的问题,推动实施国家大数据战略,加快完善数字基础设施,推进数据资源整合和开放共享,保障数据安全,加快建设数字中国,更好服务我国经济社会发展和人民生活改善。 北京理工大学副校长、中国科学院院士梅宏就这个问题作了讲解,并谈了意见和建议。 中共中央政治局各位同志认真听取了讲解,并进行了讨论。 习近平在主持学习时发表了讲话。他指出,大数据是信息化发展的新阶段。随着信息技术和人类生产生活交汇融合,互联网快速普及,全球数据呈现爆发增长、海量集聚的特点,对经济发展、社会治理、国家管理、人民生活都产生了重大影响。世界各国都把推进经济数字化作为实现创新发展的重要动能,在前沿技术研发、数据开放共享、隐私安全保护、人才培养等方面做了前瞻性布局。 习近平强调,要推动大数据技术产业创新发展。我国网络购物、移动支付、共享经济等数字经济新业态新模式蓬勃发展,走在了世界前列。我们要瞄准世界科技前沿,集中优势资源突破大数据核心技术,加快构建自主可控的大数据产业链、价值链和生态系统。要加快构建高速、移动、安全、泛在的新一代信息基础设施,统筹规划政务数据资源和社会数据资源,完善基础信息资源和重要领域信息资源建设,形成万物互联、人机交互、天地一体的网络空间。要发挥我国制度优势和市场优势,面向国家重大需求,面向国民经济发展主战场,全面实施促进大数据发展行动,完善大数据发展政策环境。要坚持数据开放、市场主导,以数据为纽带促进产学研深度融合,形成数据驱动型创新体系和发展模式,培育造就一批大数据领军企业,打造多层次、多类型的大数据人才队伍。 习近平指出,要构建以数据为关键要素的数字经济。建设现代化经济体系离不开大数据发展和应用。我们要坚持以供给侧结构性改革为主线,加快发展数字经济,推动实体经济和数字经济融合发展,推动互联网、大数据、人工智能同实体经济深度融合,继续做好信息化和工业化深度融合这篇大文章,推动制造业加速向数字化、网络化、智能化发展。要深入实施工业互联网创新发展战略,系统推进工业互联网基础设施和数据资源管理体系建设,发挥数据的基础资源作用和创新引擎作用,加快形成以创新为主要引领和支撑的数字经济。 习近平强调,要运用大数据提升国家治理现代化水平。要建立健全大数据辅助科学决策和社会治理的机制,推进政府管理和社会治理模式创新,实现政府决策科学化、社会治理精准化、公共服务高效化。要以推行电子政务、建设智慧城市等为抓手,以数据集中和共享为途径,推动技术融合、业务融合、数据融合,打通信息壁垒,形成覆盖全国、统筹利用、统一接入的数据共享大平台,构建全国信息资源共享体系,实现跨层级、跨地域、跨系统、跨部门、跨业务的协同管理和服务。要充分利用大数据平台,综合分析风险因素,提高对风险因素的感知、预测、防范能力。要加强政企合作、多方参与,加快公共服务领域数据集中和共享,推进同企业积累的社会数据进行平台对接,形成社会治理强大合力。要加强互联网内容建设,建立网络综合治理体系,营造清朗的网络空间。 习近平指出,要运用大数据促进保障和改善民生。大数据在保障和改善民生方面大有作为。要坚持以人民为中心的发展思想,推进“ 互联网+教育 ”、“ 互联网+医疗 ”、“ 互联网+文化 ”等,让百姓少跑腿、数据多跑路,不断提升公共服务均等化、普惠化、便捷化水平。要坚持问题导向,抓住民生领域的突出矛盾和问题,强化民生服务,弥补民生短板,推进教育、就业、社保、医药卫生、住房、交通等领域大数据普及应用,深度开发各类便民应用。要加强精准扶贫、生态环境领域的大数据运用,为打赢脱贫攻坚战助力,为加快改善生态环境助力。 习近平强调,要切实保障国家数据安全。要加强关键信息基础设施安全保护,强化国家关键数据资源保护能力,增强数据安全预警和溯源能力。要加强政策、监管、法律的统筹协调,加快法规制度建设。要制定数据资源确权、开放、流通、交易相关制度,完善数据产权保护制度。要加大对技术专利、数字版权、数字内容产品及个人隐私等的保护力度,维护广大人民群众利益、社会稳定、国家安全。要加强国际数据治理政策储备和治理规则研究,提出中国方案。 习近平指出,善于获取数据、分析数据、运用数据,是领导干部做好工作的基本功。各级领导干部要加强学习,懂得大数据,用好大数据,增强利用数据推进各项工作的本领,不断提高对大数据发展规律的把握能力,使大数据在各项工作中发挥更大作用。 稿源:今日头条,封面源自网络;

港媒称中国正对 5G 基础设施下注:引领全球创新机会

港媒称,随着中国移动、高通公司和中兴通讯加速合作,以制定下一代智能手机的技术标准,中国离实现无缝、超高速通信更近了一步,后者将为无人驾驶汽车、虚拟现实教育和全国性医疗保健服务提供可能。据香港 《南华早报》 网站 11 月 29 日报道,中国是世界上人口最多的国家,也是互联网用户最多的国家。 如今它正对三大电信网络运营商大规模推出 5G 移动基础设施下注,这将支持中国的快速数字化转型——进而使得几十年前出现在科幻小说中的许多高级应用和服务变成现实。监管制定 5G 移动技术统一标准的国际机构预计将在明年和 2019 年的最后阶段发布初始规定,为移动网络运营商从 2020 年起部署 5G 业务铺平道路。报道称,中国引领全球创新的机会可能就在于发展 5G 移动技术。 中兴通讯高级副总裁樊晓兵在香港表示:“ 中国移动可能想在 2019 年推出 5G 业务,在原先的计划之前。它正积极推动在中国启用下一代网络。”今年下半年,中兴通讯在广州大学建立了一个真正的 5G 网络,旨在测试下一代网络。 樊晓兵称,支持 5G 网络的芯片可能会在明年推出,而支持 5G 网络的首批手机可能会在这之后上市。对中兴和华为以及它们的竞争对手海外电信设备供应商爱立信和诺基亚来说,这些公司面临很大的利害关系,因为未来几年里中国和其他地区的 5G 基础设施部署准备工作将逐渐升温。预计在 2020 年到 2030 年期间,中国对 5G 移动网络的总投资将达到 2.8 万亿元(约合 4240 亿美元),这可能是中国在电信基础设施方面最大的投入。 杰富瑞投资银行的证券分析师爱迪生·李最近表示,中国的智慧城市计划将充分利用未来的高速 5G 移动网络,“ 将人工智能用于公共安全、交通管理和灾难管理”,同时中国的各大互联网公司将为消费者推出更先进的服务。中国已经是世界第二大经济体,它在 4G 移动宽带的部署和使用方面处于全球领先地位。截至今年10月31日,中国移动、中国联通和中国电信合计共有约 10 亿 4G 用户。 消息来源:据 cnBeta 内容整理;封面源自网络;编辑:榆榆;校对、排版:FOX

苹果公开 Turi Create 框架:推动机器学习

苹果公司本周在开源项目托管平台 GitHub 上分享了 Turi Create 的框架。苹果表示,这一框架应该会让开发者更容易构建机器学习模型。正如苹果所描述的,Turi Create 是为那些在机器学习方面不一定是专家的人设计的。根据苹果的说法,Turi Create 简化了定制机器学习模型的开发。你不需要成为一个机器学习专家,也可以在你的应用中添加建议、对象检测、图像分类、图像相似性或活动分类。 苹果解释说,Turi Create 的设计意图是简单易用,具有视觉界面,灵活和快速。此外,它还可以部署在 iOS、macOS、watchOS 和 tvOS 上面。 易于使用:专注于任务而不是算法 可视化:内置的流媒体可视化技术探索你的数据 灵活:支持文本、图像、音频、视频和传感器数据 快速和可扩展:在一台机器上处理大型数据集 准备部署:将模型导出到 Core ML,用于 iOS、macOS、watchOS 和 tvOS 应用 苹果最初是在 2016 年收购了位于西雅图的 Turi 公司,当时该公司正努力推动自己的机器学习。不久之后,苹果将 Turi 转变为内部机器学习部门,致力于将技术整合到现有和未来的产品线中。尽管苹果从未证实收购 Turi 公司的交易条款,但有报道称,该公司为这笔交易支付了超过 2 亿美元。 苹果向公众发布 Turi Create 的目标似乎是为了增加开发机器学习功能的开发者数量。该框架支持多种常见场景的构建,包括推荐系统、图像分类、图像相似性、对象检测等等。所有关于 Turi Create 的细节都可以在 GitHub 上找到。 稿源:cnBeta,封面源自网络;

汇丰等知名银行 APP 存在关键漏洞,或致数百万用户易遭黑客中间人(MitM)攻击

HackerNews.cc 12 月 7 日消息,英国伯明翰大学的安全研究人员 Chris McMahon Stone、Tom Chothia 和 Flavio Garcia 近期在佛罗里达州奥兰多举行的 2017 计算机安全应用会议 上发表了一篇学术论文,宣称他们通过测试数百款 iOS 与 Android 设备的不同银行应用程序中发现多家知名银行的主要移动应用程序均存在一处关键漏洞,可导致数百万用户的银行凭证易遭黑客中间人(MitM)攻击,其中受影响的银行包括爱尔兰联合银行、Co-op、汇丰银行、NatWest 和桑坦德银行等。 调查显示,即使该移动银行应用程序使用了 SSL pinning 功能,黑客也可通过该漏洞连接至与受害用户同一网络后拦截 SSL 连接,并检索用户银行凭证(例如:用户名与密码等)。 SSL pinning 提供了一种额外的防止中间人攻击的保护措施,通过证书锁定达到有效规避黑客使用不可信证书查看并操控用户网络流量的行为。然而,一旦认证机构(CA)错误签发不信任证书,就有可能允许攻击者在其目标应用程序中进行中间人攻击。此外,由于缺少针对主机名的验证导致多数银行应用程序面临黑客攻击的风险,因为它们无法检查银行应用程序连接 URL 的主机名与服务器公开的数字证书的主机名是否匹配。 知情人士透露,研究人员特意开发了一款新型自动化检测工具 Spinner,能够在数百款银行应用程序中快速检测漏洞,而无需购买证书。 Spinner 工具主要通过 Censys IoT 搜索引擎在证书中查找不同备用主机证书链后,将来自应用程序的流量重定向至具有相同 CA 证书签名的网站。如果连接失败,那么就会知道应用程序检测到错误的主机名;而如果连接成功建立并且客户机在连接失败之前传输了加密的应用程序数据,则应用程序已接受主机名并极易遭受攻击。 目前,研究人员已经与国家网络安全中心(NCSC)合作,通知所有受影响银行尽快解决问题,以避免造成客户信息与财产的损失。 消息来源:Security Affairs,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

美国北卡罗来纳州服务器遭勒索软件攻击,政府拒绝支付赎金

据外媒报道,美国北卡罗来纳州夏洛特所在地–梅克伦堡县的重要服务器本周遭到勒索软件网络攻击,进而导致该城市的政府工作人员不得不回到老式的纸笔办公年代。 获悉,政府网络在一名工作者打开一份带有恶意软件附件的邮件之后遭到感染。黑客要求政府支付2.3万美元来恢复系统,不过截止到目前当地政府拒绝了这一要求。 发起这次网络攻击的黑客被认为来自伊朗或乌克兰。眼下,包括税务部门、监狱在内的多个城市机构所用的服务器都被勒索软件锁住。 尽管梅克伦堡县的许多服务器受到了影响,但夏洛特市的政府计算机系统并未受到波及,显然这非常幸运,毕竟这座城市拥有100多万名居民。另外,紧急服务电话也没有受到影响,不过像处理家庭暴力这样的热线已无法正常运转。 根据美联社提供的消息了解到,梅克伦堡县似乎早前已经为其系统创建过备份和维护。而官员们确实有考虑到支付赎金,但专家们指出,黑客恢复系统的时间将几乎跟其通过备份恢复的时间一样长。出于这个原因,当地政府决定继续执行繁重的手动维护活动和纪录来恢复系统,而非支付赎金。 稿源:cnBeta,封面源自网络;编辑:FOX

韩媒:韩国政府考虑仅允许部分机构投资者开展首次代币发行(ICO)

据韩国媒体 chosun biz 12 月 8 日下午报道,韩国政府正考虑允许面向加密货币合格机构投资者开展部分首次代币发行(ICO),但原则上禁止针对个人投资者的 ICO。 此前据彭博社报道,韩国金融服务委员会发布声明称,包括金融监管机构、财政部、韩国央行等单位的官员所组成的专责小组已举行会议,讨论加密货币问题。而在 9 月 29 日,韩国金融监管部门曾表示将禁止任何形式的 ICO。 相关阅读: 全球在行动:美国证监会首次起诉 ICO 融资公司 美国证券交易委员会成立新信息安全部:监管虚拟货币和 ICO 稿源:新浪科技,封面源自网络;编辑:青楚。