狐狸酱

(∩•̀ω•́)⊃-*⋆biubiubiu~ 这是一个帅气的狐狸~

澳拟试用新入境系统,将以生物识别技术替代检查护照

据香港《文汇报》 23 日报道,澳大利亚当地移民及边境保护局计划今年试用“免人手处理”的新入境系统,于机场设立电子扫描站,利用生物识别技术辨认入境游客的面孔、眼睛虹膜及指纹,取代传统出示护照的入境程序。 消息称,澳大利亚政府预计系统普及后,可于 2020 年前自动处理高达 9 成的游客入境检查。澳政府发言人表示,自动化入境程序便利旅客,并有助边境部门应对旅客数目增加带来的挑战,集中资源辨识具威胁的入境人士。此次计划是澳政府前年公布“无缝游客入境计划”的重要阶段,预计未来 5 年耗资 9400 万澳元推动。在新计划下,机场将逐步弃用现有的电子闸门,游客毋需再经过电子闸门扫描护照,也不用边境人员人手检查入境者护照。 澳边境安全主管科因解释,相关系统是全球首例,由于近年机票详情、游客出入境、犯罪记录等乘客数据在全球流通,他们得以利用相关大数据设计自动入境程序。 稿源:cnBeta 节选;封面:百度搜索

全球超过 199,500 网站仍未修复“心脏出血” OpenSSL 漏洞

据 Shodan 22 日一份数据报告显示,目前全球仍有超过 199,500 网站仍未修复 “心脏出血” OpenSSL 漏洞,或是源于许多组织没有正确修复漏洞所致。 2014 年 4 月 7 日,开源安全组件 OpenSSL 爆出高危漏洞(CVE-2014-0160),漏洞成因是 OpenSSLHeartbeat 模块存在一个 Bug,使攻击者可以构造一个特殊的数据包获得存在该漏洞的服务器长达 64KB 的内存数据,而这段数据中可能包含用户的用户名、密码、密钥等敏感信息,因此该漏洞获得了一个名副其实的名字“心脏出血(OpenSSLHeartbleed)”漏洞。 作为互联网史上最大漏洞之一,“心脏出血”漏洞影响了全球多达三分之二服务器的安全性,据 ZoomEye 2014 年监测结果显示全球约有 2,443,550 个 IP 受此漏洞影响。ZoomEye 团队在“心脏出血”漏洞爆发一周年之际,对全网 IP 进行了回归性普查发现,虽然受影响 IP 已经降低到了 1 年前的 14.6%,但还有较大量(377,221)的 IP 漏洞并未修复。 然而 Shadow 最新报告却表明,距漏洞爆发至今已过去两年零九个月,仍有几十万网站漏洞未被修复。 超过 199,500 网站易受攻击 Shodan 首席执行官 John Matherly 表示,由于未正确修复“心脏出血”漏洞,全球还有超过 199,500 个网站容易受到黑客攻击。报告指出目前受影响最大的国家仍是美国(41,332),其次是韩国(15,380)、中国(14,116)、德国(14,072)以及法国、俄罗斯等。可以想象若是近二十万网站漏洞都被利用,势必会造成更大规模的数据泄露事件。 如何正确修复心脏出血漏洞 修复“心脏出血”漏洞至少需要三个步骤: ① 及时更新:更新 OpenSSL 至最新版本,目前大部分机构都已完成了这一步; ② 创建新密钥:防止攻击者已通过漏洞窃取服务器密钥,或是进一步窃取机密数据; ③ 补发安全证书:防止攻击者继续利用漏洞损害公司或客户权益。 稿源:HackerNews.cc 翻译/整理,封面来源:百度搜索。 转载请注明“转自 HackerNews.cc ” 并附上原文链接,违者必究。

工信部:未经批准不得自行建立或租用 VPN

日前,为依法查处互联网数据中心(IDC)业务、互联网接入服务(ISP)业务和内容分发网络(CDN)业务市场存在的无证经营、超范围经营、“层层转租”等违法行为,切实落实企业主体责任,加强经营许可和接入资源的管理,强化网络信息安全管理,维护公平有序的市场秩序,促进行业健康发展,工信部发布《工业和信息化部关于清理规范互联网网络接入服务市场的通知》,通知中规定:未经电信主管部门批准,不得自行建立或租用专线(含虚拟专用网络VPN)等其他信道开展跨境经营活动。 基础电信企业向用户出租的国际专线,应集中建立用户档案,向用户明确使用用途仅供其内部办公专用,不得用于连接境内外的数据中心或业务平台开展电信业务经营活动。 全文阅读:《工业和信息化部关于清理规范互联网网络接入服务市场的通知》 稿源:网易财经,封面:百度搜索    

黑客攻击 BBC 账号并发布“特朗普就职遭枪击受伤”假新闻

据外媒报道,日前隶属于 BBC 的一个 Twitter 账号被盗并发布了一条令人震惊的消息:“突发新闻:特朗普总统手臂遭枪击受伤#就职典礼。”不过很快这条消息就被移除,BBC 方面表示这一假新闻出自黑客之手。 “我们正在调查并将采取措施确保类似事件不再发生。”就在该账号发布特朗普受伤消息没多久,美国黑客组织 OurMine 控制了这一账号并发布了一条披露该起网络攻击的消息。 不过据 BBC 方面披露,OurMine 并不是该起网络攻击的幕后黑手。黑客组织则对此这样回应:“第一次攻击并不是由我们发起。由于我们在这个账号上发现了异常现象,于是为了确认该账号是否被黑,我们对其发起了攻击,很不幸的是,它遭到了攻击。我们立即发布了其遭攻击的消息。我们从不会毫无理由地去攻击他人。我们是一个安全组织。” 据了解,OurMine 此前确实有过攻击 Netflix、Marvel 等高知名度 Twitter 账号的历史,但它从未传播过假新闻或恶意软件,其发起的攻击仅仅是为了告诉人们脆弱的安全问题。直至目前还没有任何机构、组织或个人承认这起网络攻击事件。BBC 方面表示,他们已经拿回了对该账号的控制权。 稿源:cnBeta.com;封面:百度搜索  

圣丹斯电影节票房等多个系统遭遇网络攻击

据外媒报道,当地时间周六, 圣丹斯电影节票房及其他系统因遭到网络攻击而被关闭。 圣丹斯电影节即“日舞影展”,是全世界首屈一指的独立制片电影节,圣丹斯美国电影展由罗伯特·雷德福于 1984 年年一手创办,并由圣丹斯研究所举办。圣丹斯电影节每年 1 月 18 日 – 28 日在美国犹太州帕克城举行,为期 11 天。 电影节主办方发表声明承认了这一事故,但表示此次攻击并没有影响到放映,影迷们仍能在电影节上继续欣赏影片及艺术家的声音。至于攻击源头,主办方表示现在还不清楚。据了解, 黑客通过电影节官方 Twitter 账号发表了攻击声明。 不过现在,电影节主办方已经在官推上发文表示所有系统都已恢复正常运转。 稿源:cnBeta.com,封面:百度搜索

美国政府强制要求新 .GOV 网站开启 HTTPS

据外媒报道,从今年开始美国所有新 .GOV 网站将被强制要求使用 HTTPS 以加强安全性。 奥巴马政府曾下令要求所有政府网站切换至 HTTPS 并将 2016 年 12 月 31 日设为截止日期,然而据非官方统计,目前 .GOV 网站切换率仅 60%。美国通用服务管理局早些时候重新宣布,从 2017 年开始所有新的 .GOV 网站都将自动启用 HTTPS。 局域网中也将使用 HTTPS 美国总务署( GSA )表示,HTTPS 将应用于新注册的 .GOV 网站所有子域当中,并强调即使在局域网中也应该坚持使用。就目标日期而言,GSA 声称这项新措施会在 2017 年春天生效,域名客户将在更改发生前 30 天收到通知。 据悉,GSA 并非唯一推进 HTTPS 的组织,似 Google、Apple、Let’s Encrypt 等全球互联网公司都在为推动 HTTPS 的普及而努力。 稿源:HackerNews.cc 翻译整理,封面来源:百度搜索。 转载请注明“转自 HackerNews.cc ” 并附上原文链接,违者必究。

斯诺登曾使用的加密电子邮件服务 Lavabit 正式回归

就在 1 月 20 日美国总统特朗普宣誓就职同一天,加密电子邮件服务 Lavabit 重新上线,其 CEO Ladar Levison 宣布了新的隐私增强功能。 Lavabit 曾是“棱镜门” 泄密者爱德华·斯诺登长期使用的加密电子邮件服务,2013 年因拒绝配合美国政府对斯诺登的调查而陷入法律纠纷和巨额罚款当中,并于当年 8 月宣布关闭服务并毁坏服务器。然而 Levison 与美国政府的较量仍在继续,他于 2015 年 12 月提出一项动议,促使法院命令发布与 Lavabit 案有关的文件。 图:与 Lavabit 案有关的法院文件,Cryptome 发布(PDF) 如今 Levison 已经宣布 Lavabit 邮件服务正在恢复,修复了原有的 SSL 问题同时引入新的隐私增强功能。此外 Lavabit 还发布了一个开源的端到端加密全球电子邮件标准的源代码,全称 Dark Internet Mail Environment(DIME),旨在避免政府监视和隐藏元数据。 稿源:HackerNews.cc 翻译整理,封面来源:百度搜索。 转载请注明“转自 HackerNews.cc ” 并附上原文链接,违者必究。

北约成为世界黑客主要目标,2016 年遭网络攻击数量增长 60%

北约已经成为世界范围内黑客的一个主要目标,其发言人在这周公开表示北约每个月受到的黑客攻击次数高达 500 次,和 2015 年相比,2016 年全年受到的攻击数量上涨了约 60%。尽管实行了调查,但确定攻击者的身份仍十分困难。其发言人还称:“外国政府、罪犯和恐怖分子是网络攻击的主要来源,但由于国家拥有最大的网络资源,因此北约所受到的网络攻击来自外国政府的可能性最高。 北约在 2016 年已经决定将网络攻击和传统武器性攻击一样对待,并称攻击北约的黑客将面临北约所有联盟国家的反击。而俄国一向被认为是网络攻击的主谋,美国目前就声称俄国用网络攻击干预了美国 2016 年大选并导致特朗普成功当选。同时欧洲一些国家政府也表示俄国黑客在他们大选期间实施网络攻击,制造破坏。俄罗斯方面则否认了所有的指控宣称自己也是黑客攻击的主要目标,并表示去年 12 月时他们发现了外国情报机构试图关停其银行系统的证据。 稿源:cnBeta 有删改;封面:百度搜索  

研究人员找到“疑似” Mirai 僵尸网络作者

安全研究人员Brian Krebs 的个人博客 KrebsOnSecurity 去年 9 月遭到僵尸网络 Mirai 发动的大规模 DDoS 攻击,在攻击发生大约一周之后,被怀疑是攻击发起者的人使用用户名 Anna Senpai 开源了 Mirai 的代码,随后互联网上出现了一大波使用僵尸网络的模仿攻击。那么,Anna Senpai 究竟是谁? Krebs 展开了漫长的搜寻并在近日发表了长篇调查报告,认为 Senpai(aka OG_Richard_Stallman,exfocus,ogexfocus 和 dreadiscool)是罗格斯大学学生、是提供了 DDoS 防御服务的 Protraf Solutions 总裁 Paras Jha。Senpai 使用过化名 OG_Richard_Stallman 、也用过邮件 ogmemes123123@gmail.com 在 Facebook 上注册 同名账号,账号简介称他从 2015 年起开始就读罗格斯大学的计算机工程。不过 Paras Jha 对研究人员的指控予以否认,声称没有开发 Mirai 和参与 DDoS 攻击。 稿源:cnBeta.com,封面:百度搜索    

奥巴马赦免美国军方头号泄密者切尔西·曼宁

美国总统奥巴马决定免除 陆军上等兵、头号泄密者 切尔西·曼宁 的剩余刑期。2013 年 7 月,美国军事法庭认定曼宁向“维基解密”网站泄露大量机密文件,判处他 35 年监禁。 切尔西·曼宁 曾因高超的技术能力而被任命为军事情报分析员,因而有权限进入美国国防部保密网络接触各项机密情报。2010 年维基解密公开的阿帕奇战机向平民开火记录以及巴格达中央监狱虐囚事件,据称均是曼宁透露的。维基解密当初掌握了至少 25 万笔美国外交电报和大量战争日志。由于曼宁的爆料,全世界的媒体和舆论都开始指责美军虐杀平民。 曼宁被捕是因为他曾主动向同是黑客的阿德里安·拉莫吐露真言,但拉莫却将得知的信息报告给了五角大楼。曼宁和斯诺登一样都曾爆出美国政府十分劲爆的黑料,昨日接到好消息的斯诺登发推文向奥巴马表示感谢,而阿桑奇则表示仍旧非常乐意前往美国,但有个前提是——曼宁不能成为交换条件。 稿源:据 网易新闻 整理,封面:百度搜索