内容转载

= ̄ω ̄= 内容转载

证据显示:美国政府使用的恶意软件多年保持攻击力

兰德公司公布了最新报告,这份报告有助于揭示美国政府的恶意软件库,包括其所谓的“零日”漏洞库存数量和攻击力。“零日”漏洞即攻击电脑,智能手机和其他数字设备所使用的尚未公开的安全漏洞。该报告还提供了这些“零日”漏洞持久保持攻击力的证据。研究结果特别令人感兴趣,因为外界对美国政府使用“零日”漏洞细节所知甚少,官员长期以来拒绝公布“零日”漏洞数量和使用情况。 兰德的报告是基于所谓访问一个“零日”漏洞贩卖公司的数据库做出,这家公司在“灰色市场”上向政府和其他客户出售这些在“零日”漏洞,当天兰德研究人员看到的“零日”漏洞集合包包含大约 200 个“零日”漏洞,- 大约是一些专家认为美国政府拥有“零日”漏洞的数量。 兰德发现,这些漏洞的平均寿命为 6.9年,然后政府相关机构才会将每个目标的漏洞披露给软件制造商,或者在供应商升级代码之前,不经意地消除了安全漏洞。一些漏洞幸存下来的时间甚至比这更长。约 25% “零日”漏洞寿命为十年或更长。但是另外 25% 的“零日”漏洞在不到 18 个月就通过软件升级进行修补。 稿源:cnBeta,封面源自网络

已知漏洞隐患:数十万网站仍在使用老旧的 JavaScript 库

美国东北大学研究人员在对超过 13.3 万个网站进行分析后发现,竟然有超过 37% 的站点仍在使用至少包含一个已知公开漏洞的 JavaScript 库。研究人员早在 2014 年就意识到了这点 —— 加载过时的 JavaScript 库,存在被黑客利用的潜在安全隐患(比如 jQuery 和浏览器 AngularJS 框架)。他们在一篇新报告中指出,在适当的条件下,这些漏洞会变得极其危险,比如指向一个老旧的 jQuery 跨站脚本 bug(攻击者可借此向受害站点注入恶意脚本)。 研究人员们随机查看了 Alexa 排名前 7.5 万的站点(以及 7.5 万个随机 .com 域名),统计到了有 72 个不同的 JS 库版本 —— 87% 的 Alexa 站点(以及 46.5% 的 .com 站点)使用了其中一个。 研究发现,36.7% 的 jQuery、40.1% 的 Angular、86.6% 的 Handlebars、以及 87.3% 的 YUI 存有漏洞隐患;此外还有 9.7% 的站点包含 2 个(及 2 个以上的)漏洞库版本。 万幸的是,热门站点在这方面做得相对更好(用漏洞库的比例低很多),Top 100 Alexa 站点中只有 21% 躺枪。但遗憾的是,只有少量站点(2.8% 的 Alexa、1.6% 的 .com)可以通过免费补丁进行更新修复,因为大版本的跃迁(比如从 1.2.3 到 1.2.4)可能会无法向后兼容。 稿源:cnBeta;封面源自网络

互联网之父谈假新闻问题:令人愈发担忧

据外媒报道,近日,“互联网之父”蒂姆·伯纳斯·李 (Tim Berners-Lee) 在最新发表的一封公开信中谈了谈自己对眼下非常普遍的假新闻的看法。伯纳斯·李表示,这种情况令他愈发担忧。这并不是伯纳斯·李首次公开谈论由其在28年发明的互联网所存在的问题,先前他讨论过政府监控、网络言论自由以及关闭互联网等问题。 现在,最困扰他的 3 大互联网问题有: ① 人们开始失去了对个人数据的控制权; ② 在社交媒体平台和搜索引擎传播的错误信息和“假新闻”; ③ 网络政治广告,伯纳斯·李认为这一领域需要更高的透明度和理解。 伯纳斯·李在公开信中指出,假新闻就像是野草一样非常容易在网络的世界里生长。 “我们必须要通过鼓励像 Google、Facebook 等这些把关平台继续努力应对这一问题来抵制错误信息,与此同时还要避免决定何为‘真实’何为‘虚假’的机构产生。” 此外,这位互联网先锋者还呼吁这些平台能将它们的算法更加透明化,这样民众才能更好地明白网络新闻对作出重要决定时所带来的巨大影响。同时,伯纳斯·李还号召网友对这些网络公司、政府施压进而获得更加健康的网络新闻环境。 公开信全文查看,请戳这里。 稿源:cnBeta;封面源自网络  

谷歌、微软还未从维基解密那里得到 CIA 网络攻击工具信息

外媒报道,自朱利安·阿桑奇承诺将对外公布 CIA 网络攻击工具已经过去几天。而据知情人士透露,截止到周六早上(美国时间),谷歌和微软都还没有从维基解密那里收到任何文件。 据了解,虽然谷歌官方没有对此事作出回应,但据两位消息人士披露,公司的安全部门未得到来自维基解密的联系。其中一位消息人士称,现在他们都开始怀疑这只是维基解密的一次公关活动,而不会采取进一步的实质性动作。 微软方面对此则做出了回应。该家公司的发言人指出,他们看到了阿桑奇发表的声明,但到目前为止维基解密还没有联系他们。另外,该名发言人还补充称,任何知道安全漏洞–无论是 CIA 掌握还是维基解密掌握的漏洞–的人最好将已知信息发送到 secure@microsoft.com 邮箱。 对此,维基解密还未作出回应。 稿源:cnBeta,封面源自网络

美国监管机构发布社交媒体监控工作新报告

美国国土安全部的监察长对外公开了关于监控社交媒体工作的最新报告,对最近开展的三项针对入境美国访客的社交媒体监控项目情况进行汇报,监察长在报告中评估了这些项目的准确度是否能够持续下去,该部门已经针对监控的准确度制订了若干准则,报告指出需要在未来提供更明确的监控目的。 其中一个项目包括,海关和移民服务机构使用由 DARPA 开发的一套“社交媒体监控平台”系统来手动监控入境访客,报告中的另一个项目指出,海关和移民执法机构配备了一套自动化监控工具,用来扫描非移民 Visa 签证入境者的社交媒体账号。此外今年夏天,美国海关开始要求入境访客填写一张可选表格提供社交账号,2 月份该要求扩展适用至中国访客。 对于社交媒体的监控和检查项目随着特朗普政府日渐激进的移民政策,受到越来越多的争议性批评。更加严格的手段可能会在未来部署,国土安全部秘书长 John Kelly 提出建议要求访客强制提供账户密码,近日自由民权组织发表了公开信,指责该政策为“对基本宪法权利的直接侵犯”。 稿源:cnBeta,封面源自网络

联合国隐私监督机构:大规模信息监控并非行之有效

据 IT 科技新闻网站 ZDNet 报道,CIA 监控事件爆发之际,联合国隐私监督机构发表的一份报告称,大规模信息监控对保护国家安全并非行之有效。在本周发表的一份报告中,联合国首位隐私监督人 Joseph Cannataci 教授说到,那些严重侵犯人们隐私权的法律对国家安全并没有什么作用,相反,大量收集通话记录和电子邮件等数据,存在“被敌对政府或黑客攻击”的风险。 Cannataci 教授将那些应对所谓伊斯兰威胁的法律称之为“形体政治学”,他的原话是“那些希望被看到对隐私安全有所作为的政治家们,通过立法将侵犯隐私合法化,却从来不考虑这些方法对恐怖主义是否真正有效。” 斯诺登泄密事件爆发之后,美国政府对民众信息监控出现一定程度的缓和。获得通过的《美国自由法案》将限制美国政府的大规模监控计划,然而其他国家却加大了监控计划。法国和德国在恐怖袭击之后赋予政府更大的监控权利,允许警察和情报机构监测互联网活动和通话记录。而且,去年年底,英国开放权利组织(Open Rights Group)主任吉姆•克洛克(Jim Killock)表示,英国在去年推出了“在民主制度中通过的最极端的监视法案”。 在最后的建议中,Cannataci 说,政府应该“积极探索”如何进行公平和规范的监督,同时引入友好的隐私监督保护措施。“人权是普遍的,网络法案应不仅保护隐私,而且要保护其他基本人权,”他补充说。 稿源:cnBeta、凤凰网科技,封面源自网络

CIA 攻击中国电子设备,外交部敦促美方停止攻击

在 9 日举行的外交部记者会上,有媒体称,“维基解密”近期公布的文件显示,美国中情局通过各种方式攻击了中国等很多国家的电子设备。“中方是否就此同美方进行了沟通?是否将采取暂停进口美科技产品等反制措施?” 对此,外交部发言人耿爽表示:我们对有关报道表示关切。中方反对一切形式的网络攻击,我们敦促美方停止对中国及其他国家实施监听、监控、窃密和网络攻击等行为。中方将坚定维护自身网络安全,并愿与国际社会加强对话与合作,在联合国框架下制定各方普遍接受的网络空间国际规则,共同推动建设和平、安全、开放、合作、有序的网络空间。 本月 7 日,“维基解密”在其网站上发布了数千份文件,文件日期介于 2013 年至 2016 年,并称这是历来公开的最大规模的秘密情报资料。文件显示了美国中央情报局(CIA)人员如何利用硬件和软件系统的漏洞,包括美国公司的系统漏洞来进行入侵行动,却没有通知这些公司其系统存在问题。 稿源:据 网易科技、外交部 内容节选,封面源自网络

CIA 竟将欧洲黑客“老巢”建在美国驻德大使馆

俄罗斯媒体近日报道,德国检查机构在审阅文件之后发现,中央情报局(CIA)利用美国驻德国法兰克福(Frankfurt)领事馆作为掩护,实际建立了黑客中心。 美国驻德国法兰克福领事馆外景 德国联邦检察官发言人称,如果有一丝一毫的证据指向黑客行为,那么调查将立即开始。德国政府的发言人还向路透社透露,官方依然在查阅文件,而外交部已经开始与美国交涉。 维基解密透露德国政府已经开始调查事件 “维基解密”披露的文件显示,美国驻法兰克福领事馆可能是网络情报中心(Center for Cyber Intelligence Europe,CCIE)在欧洲大陆的指挥部,用以指挥美国在欧洲、中亚和非洲的黑客行动。 俄罗斯媒体称,“维基解密”公布的 8761 份美国黑客文件几乎保罗万象,堪称一本官方“黑客行动指南”加旅游手册。文件甚至建议黑客坐汉莎航空公司(Lufthansa)飞机的时候可以“多喝几杯”,因为酒是免费的;还有不建议黑客在德国境内加油站吃饭,因为食物太难吃。 但是也有“正经”的指示,比如文件要求黑客在被德国海关盘问的时候坚称自己只是一个“领事馆的技术支持人员”,以免引起麻烦。但是剩下的文件可就“劲爆”了,将 CIA 的网络攻击手段全部展现了出来:包括如何进入警方的数据库,还有如何把自己的攻击软件伪装成无害的杀毒软件、电子游戏等。 更重要的是,文件把美国政府和情报机构直接卷了进来。俄罗斯媒体发现,美国国务院直接给 CIA 的黑客颁发了外交护照。同时,其内部网络的资料来源是弗吉尼亚州的兰利(Langley, Virginia),正好也是 CIA 的总部所在地。 稿源:据网易科技、观察者网 内容节选,封面源自网络。

Vodien 公布 2017 年 2 月份全美 Top 100 网站流量排行榜

互联网规模之大,远超普通人的想象。据不完全不统计,当前全球共有超过 11 亿站点,但前百大网站贡献了最多的流量。为了帮助大家更好地理解美国地区的 Top 100 网站,新加坡 Web 托管服务商 Vodien 特地创建了一个漂亮的全息图(通过分析公司 Alexa 的数据,按流量排序)。其中圆环串联某公司旗下的各类业务,圆圈面积表示流量的规模。 以 Google 母公司 Alphabet 为例,它麾下有四家站点进入榜单,其中包括排行第一、第二的 Google.com 和 YouTube 。 按类别统计的话: ● 新闻报道类网站最受欢迎,共有 14 家站点上榜; ● 社交媒体次之,共有 12 家上榜; ● Web 与文件托管站点有 11 家上榜。 有趣的是,三家色情站点也进入了前百榜单,尤其是大家耳熟能详的 P**hub(位列第 33);此外还有种子 / 侵权流媒体站点(海盗湾 位列第 78)。 值得一提的是,尽管雅虎和推特长期麻烦缠身,但 Yahoo.com 和 Twitter 依然分列第 5 和第 9 名。 Business Insider 指出,榜首网站与邻近站点之间的差距相当明显: ● Google.com 月访问量高达 280 亿次,相当于花旗(Citi.com)的 500 倍+。 ● Citi.com 位列美国地区当月流量榜第 98 位,月访问量在 5300 万左右。 完整全息图及相关信息请移步至 Vodien.com 官网。 稿源:cnBeta,封面源自网络。  

美政府就“维基揭秘”曝光 CIA 机密文档事件展开刑事调查

在“维基揭秘”网站发布近 9000 份有关美国中央情报局( CIA )黑客工具文件后,美国联邦政府 8 日启动对这一泄密事件的刑事调查。美国有线电视新闻网援引多名匿名美国官员的话报道,美国联邦调查局与中情局将合作展开调查,主要调查文件是由中情局雇员还是外部承包商外泄给“维基揭秘”,以及“维基揭秘”是否还有其他未发布的文件。此外,还有美国媒体报道说,两个机构还将评估此次事件造成的损害。 美国白宫发言人斯派塞当天在例行记者会上拒绝证实这些文件的真实性,但强调机密文件外泄事件应该成为“一大担忧”。斯派塞表示,这类泄密事件损害美国的安全,“我们将会找出泄露机密信息的人,将按法律最大限度地起诉他们”。 CIA 官方近日也做出回应表示,发起网络攻击、收集情报这都是他们的工作内容,不过它并没有就维基解密曝光文件的真实性作出正面回应。同时,CIA 还指责了维基解密这种未经证实就将可能危险国家安全的消息公布于众。“这样的爆料不仅会危害到美国个人和企业,而且还为我们的敌人提供了伤害我们的工具和信息。” 专家们认为,这次的泄露事件已经损害了美国政府和科技公司之间的关系,另外还破坏了 CIA 的公众信任力。 “维基揭秘”网站7日发布的近 9000 份据称属于美国中央情报局的机密文件,显示中情局网络情报中心拥有超过 5000 名员工,总计设计了超过 1000 款黑客工具。这些工具可秘密侵入手机、电脑乃至智能电视等众多智能设备。如三星智能电视被攻击后变为可录音的窃听器。若曝光文件属实,势必又会在美国政府和科技企业之间掀起一场关系隐私和国家安全的争论。美国政府担心,维基解密对外披露的大量数据会导致美国情报部门使用的黑客工具被犯罪团伙、恐怖组织或是外国政府所利用。 稿源:据 cnBeta、新华网内容整理;封面源自网络