狐狸酱

(∩•̀ω•́)⊃-*⋆biubiubiu~ 这是一个帅气的狐狸~

CASC 发布首个代码签名标准化准则

综合 CA 及代理商消息,证书颁发机构理事会( CASC )近期发布了首个关于代码签名的标准化准则。Microsoft 作为第一个采用并实施该最低要求准则,设置合规截止日期为 2017 年 2 月 1 日。 根据这一准则要求,代码签名证书(私钥)必须存储在硬件令牌( USBKEY )或 HSM 中,在 2017 年 2 月 1 日后签发的所有代码签名数字证书都必须使用 USBKEY 硬件存储保护证书私钥,以降低私钥被窃的可能性。(当前全球 CA 签发的 EV 代码签名数字证书已全部实现硬件令牌) 目前,在在华从事 CA 业务的 CA 和 CA 代理商中,已声明执行该准则的 CA 品牌有:GlobalSign、WoSign。 稿源:cnBeta;封面源自网络

英国 54% 企业曾遭勒索软件攻击,37% 选择支付赎金

在刚刚过去的 2016 年,勒索敲诈类型的恶意攻击越来越频繁和复杂,因为网络犯罪份子从中看到了赚钱的机会。位于英国的技术服务集团今天发布了一张信息图,洞察了勒索软件的肆虐情况。根据数据显示,2016 年勒索类型的攻击增长了 3500%,在 2015 年 12 月至 2016 年 4 月勒索软件的数量增加了 600%。 全球 41% 的企业遭受勒索软件的攻击,不过在英国地区这个数据更高,为 54% 。勒索软件占企业攻击的四分之一,而更令人担忧的是 37% 的受害者都选择支付了赎款。 电子邮件依然是最常见的分发方法,占比为 59%,其次是网站、社交媒体和受感染的闪存。用于诱骗商业用户的虚假邮件类型包含发票,发货信息和逾期账户。带受感染宏的老式 Word 文档也增加了 40%。 稿源:cnBeta;封面来自网络

前 NSA 合同工偷走的机密数据可能远不止 50 TB

据外媒报道,当地时间 2 月 8 月,前 NSA 合同工 Harold Martin 因在 Booz Allen Hamilton 任职期间盗取国家文件及数据遭 20 项刑事指控。每项指控都将让 Martin 付出最高可达 10 年牢狱之灾的代价。虽然 Martin 的行为看起来跟前 NSA 雇员爱德华·斯诺登有些相像,但直到现在,政府都还没有对这名 52 岁的合同工是否有对机密文件进行过解密作出明确表态。 针对 Martin 盗取机密数据的大小,媒体曝出的数字是 50TB。不过美国政府方面宣称,在 Martin 盗走的数据中含有大量关于一款 NSA 特定入侵行动( TAO )使用的网络攻击工具,数据比例高达 75%。由于 TAO 主要负责开发针对海外间谍的工具开发工作,所以这使得 Martin 盗走的机密数据显得尤其具有价值。 此外,起诉书还提到了 Martin 盗取的数据中还包含了大量来自 CIA、美国网络控制部以及国家侦查局的文件。而这些数据都储存在了 Martin 在马里兰州格伦伯尼家中的电脑和硬盘中。由于 Martin 至少拥有 7 个政府机构的安全许可,所以他有能力对这些数据进行解密。 据悉,Martin 将在本月 14 日在巴尔的摩接受一场联邦审判。 稿源:cnBeta;封面源自 cnBeta 

全球超过 140 家银行、电信和政府感染“无文件式”恶意软件

安全研究人员警告,世界各地的一百多家银行和金融机构感染了一种危险的复杂的恶意软件,几乎检测不到。俄罗斯安全公司卡巴斯基实验室周三详细介绍了他们的一些调查结果,表明一个或多个黑客群体针对至少 140 家银行和组织进行了这种攻击,旨在盗取凭证和金钱。 这种恶意软件特别狡猾,因为它属于一类“无文件”软件攻击程序,它完全存在于设备的内存中,几乎没有任何痕迹。这种类型的恶意软件不是全新的,但它的日益普及让安全研究人员和网络管理员非常担心,这种类型的恶意软件越来越受到网络犯罪分子的欢迎。 据报告,攻击者使用恶意软件监视受感染机器,获得来自受感染机构内部的凭据和信息,但也控制 ATM 和盗取现金。根据卡巴斯基实验室的调查结果,这些最近感染的常见特征之一是它们依靠 Windows PowerShell 等合法工具来获取设备控制权。他们还在注册表中隐藏 PowerShell 命令,以留下较少的证据。 卡巴斯基实验室将继续调查,发布进一步的信息,有关攻击者如何从 ATM 中盗取资金的详情将在 4 月提供。 稿源:cnBeta;封面源自网络

美众议院投票通过法案:搜寻旧电邮前须有搜查令

据外媒报道,美国众议院当地时间 6 日投票表决,未来执法当局在搜查科技公司的旧电子邮件前,须先取得搜查令。报道称,对担心特朗普政府可能着手扩大政府监视权限的人士来说,这是他们维护个人隐私努力所取得的一项胜利。 据悉,众议院是以口头表决通过了这项措施。但预计该立法在参议院会遭遇阻力。去年,该法案在众议院获得一致通过后,却因遭少数共和党议员反对,而在参议院触礁。 微软等科技公司已游说国会多年,希望通过电邮隐私法案,更新一项已有数十年历史的法律,强制当局须先取得搜查令,才能拿到时间至少已有 180 天的电邮或其他数码通讯资讯。 目前,美国司法部和证券交易委员会( SEC )等机构,仅需传票就能从服务提供商搜集这些数据。 稿源:cnBeta;封面来源于网络

76 款知名应用存在安全漏洞,累积下载量突破 1800 万

安全研究人员开发的 verify.ly 服务通过扫描 iOS App Store 中的应用发现,有 76 款知名的应用存在安全漏洞,数据传输容易被拦截。无论 App Store 开发者是否使用  App Transport Security(应用传输安全功能),安全漏洞都存在。verify.ly 服务专门帮助开发者扫描 iOS App Store 中的应用,并帮助开发者增强应用安全性。今天的发现令人真震惊,因为这 76 款应用在 App Store 的累积下载量超过了 1800 万。 iOS 系统的 App Transport Security 功能无法帮助阻止这个安全漏洞。App Transport Security 在 iOS 9 中出现,主要帮助提升用户安全性和隐私,简单的说,这个功能强制应用使用 HTTPS。这次出现的安全漏洞问题是因为错误配置网络代码导致的,错误的网络代码导致苹果 App Transport Security 一直认为连接是安全的 TLS 连接,即使连接不是。因为安全问题,Strafach 并没有公开存在安全漏洞的应用名单。 稿源:cnBeta;封面来源于网络

英特尔 Atom C2000 芯片缺陷会让设备变砖

英特尔 Atom C2000 芯片家族存在缺陷会导致使用该芯片的产品停止工作。芯片巨人没有披露受影响的产品和存在缺陷的芯片数量,但已经预留了一笔资金处理该问题。 在这之前,思科发出警告称, 2016 年 11 月 16 日前出售的路由、光网络和交换机产品包含了一个有缺陷的时钟元件,会导致设备在运行 18 个月后加速发生故障。思科没有披露元件供应商的名字,但根据芯片巨人自己公布的 Atom C2000家族 修订版文档,英特尔就是思科的供应商。英特尔在文档中称,缺陷可能会导致 Atom C2000 Low Pin Count 总线时钟输出停止工作,而如果 LPC 时钟停止工作,系统也将无法启动。存在缺陷的产品型号是  Atoms C2xxx B0 步进,英特尔从 2013 年开始供应这些产品。 稿源:solidot奇客;封面来源于网络

Firefox 52 将停止支持所有 NPAPI 插件,Flash 除外

计划于 3 月 7 日发布的 Firefox 52 将停止支持所有 NPAPI 插件,但最流行的插件 Flash 除外。NPAPI 代表 Netscape Plugins API,最早是 Firefox 的前辈 Netscape 开发的,后来成为其它浏览器共同支持的插件标准。 随着 Web 的演化,互联网标准组织逐渐开发出了独立的 Web API 在无需安装插件的情况下支持绝大部分插件所提供的特性。Mozilla 是在 2014 年宣布 Firefox 将逐步停止支持 NPAPI 插件。旧的 NPAPI 插件能在 Firefox ESR (扩展支持版本)  52 上继续工作,但 ESR 53 之后将不再支持。这一改变不会影响到扩展,但随着Firefox的扩展技术切换到 WebExtensions,众多的扩展也将停止工作,已有许多流行的扩展宣布停止更新。 稿源:solidot奇客,封面:百度搜索  

纽约时报:中国在人工智能领域挑战美国

中国正在人工智能领域挑战美国的地位,中国在该领域发表的论文数量以及耗费巨资建造的世界最强大超算都是证据。 《纽约时报》报道称,在五角大楼酝酿把 AI 引入军队的计划时,中国的研究人员也正在这个新兴科技领域大步前进。中国进步迅速,使美国的军事战略专家和科技专家围绕中国究竟只是在模仿进步,还是很快便会在该领域超过美国的独立创新展开了一场争论。 百度首席科学家吴恩达称,美国可能有些过于目光短浅和自信,理解不了中国竞争的速度。“很多时候,中国和其他地方都在同时发明某样东西,或是先在中国发明出来了,后来传到了海外,”他说。“但美国媒体只报道美国的版本。这导致外界误以为那些想法是现在美国发明出来的。”科大讯飞就是中国的进步在美国基本未获报道的一个重要例子。这家人工智能公司侧重语音识别和自然语言理解,在多项国际语音合成和中英文文本互译比赛中获奖。该公司自称正在与科技部合作,研发一款“人形应答机器人”。中国的科技工作者则表示,该公司在监控技术的研发上同政府关系密切。 稿源:solidot奇客,有修正;封面:源自网络

美法院要求谷歌提交储存在海外服务器的邮件数据

据外媒报道,日前,看起来谷歌不得不遵守由法官 Thomas Rueter 下达的客户邮件搜查令。据悉,该搜查令针对的是谷歌储存在海外服务器的数据。根据法官最新作出的判决,谷歌将需要提交其储存在美国之外的客户邮件数据,以便 FBI 展开一起欺诈案的调查工作。Rueter 法官指出,虽然这种要求谷歌提供海外服务器数据的行为可能涉及到隐私问题,但真正的隐私侵犯只出现在在美国境内公开的时候。 谷歌方面表示将对这一判决结果展开上诉,特别是微软先前得到的是一个完全相反的结果。去年 7 月,纽约美国第二巡回上诉法院作出判决,政府机构不能强制要求微软上交其储存在都柏林服务器的数据。几周前,该判决结果再度得到院方肯定。 据了解,谷歌已经有在向政府提交其储存在美国境内数据中心的数据,当然前提是要有来自法院的搜查令。这家公司在美国总共拥有 9 家数据中心,海外则有 6 家,分别在中国台湾、新加坡、爱尔兰、荷兰、芬兰、比利时。 稿源:cnBeta;封面:源自网络