内容转载

= ̄ω ̄= 内容转载

微软 PowerPoint 被用作攻击媒介下载恶意软件

安全公司趋势科技于近期发布一份研究报告,指出网络犯罪分子通过微软 PowerPoint 利用 Windows 对象链接嵌入(OLE)界面中的漏洞安装恶意软件。 调查显示,该漏洞接口通常被恶意 RTF 文件利用,即恶意软件伪装成 PPSX 文件,这是一种仅允许播放幻灯片的 PowerPoint 文件,但不可编辑。如果接收器下载并打开它,内容将显示漏洞文本。 据悉,该文件将触发漏洞 CVE-2017-0199,然后将开始感染主机,恶意代码通过 PowerPoint 动画运行。随后,将下载文件 “logo.doc” 。该文档实际上是一个具有 JavaScript 代码的 XML 文件,该代码运行 PowerShell 命令下载名为 “RATMAN.exe” 的新程序,这是一种名为 Remcos 的远程访问工具的特洛伊木马版本,之后建立与 Command&Control 服务器的连接。 Remcos 可以记录击键,截取屏幕截图,录制视频和音频,并下载更多恶意软件。此外,它还可以让攻击者完全控制受感染的计算机。为了保护自身,恶意文件使用了一个未知的 .NET 保护器,这使安全研究人员难以对其进行分析。最终,由于 CVE-2017-0199 的检测方法专注于 RTF 文件,因此使用 PowerPoint 文件允许攻击者逃避防病毒检测。但是,趋势科技确实注意到,微软已经在 4 月份通过最新安全补丁解决了这个漏洞。 稿源:cnBeta,封面源自网络;

世界最大数据中心将建在北极,可节约能源成本

8 月 16 日消息,世界上最大的数据中心将被建在挪威小城巴朗恩,它位于北极圈内。负责这个项目的 Kolos 公司表示,当地寒冷的空气和丰富的水电资源可帮助大幅降低能源成本。然而,巴朗恩地区却是挪威全国患病率最高的地方,这可能与它过去从事采矿业有关。 这家美国-挪威合资公司表示,已经从挪威私人投资者那里筹集了数百万美元资金用于开发项目。但它仍在与美国一家投资银行洽谈,以确保获得足够的必要资金。Kolos 表示,这个数据中心的计算机服务器运行时,将需要大量的能源支持。最初,Kolos 估计其需要大约 70 兆瓦电能。然而,在十年内,该公司打算增加足够的计算机服务器模块,其电力需求可能超过 1000 兆瓦。 图1:新的数据中心将三面环水,这种设计有助于加强安全 亚马逊位于弗吉尼亚州阿什本的数据处理部门可能也需要 1000 兆瓦电力,然而其服务器遍布各地,而不是被聚集到共同的数据中心。自 2013 年以来,社交网络 Facebook 也开始在瑞典律勒欧运营大型数据中心,这里距离挪威巴朗恩有大约 385 公里。但它的用电量只有 120 兆瓦。其他单体大型数据中心的用电量也往往不到 200 兆瓦。当巴朗恩的数据中心完工时,它的面积将会覆盖 60 万平方米,高达四层。这意味着,这个数据中心的规模要比当前世界最大的数据中心还大,当前记录保持者为中国廊坊数据中心。但是,它可能略小于内华达州尚在建设中的巨型数据中心。 Kolos 公司应该得益于过去铺设的大量光纤电缆,它们沿着将铁矿石运到瑞典的铁路铺设。最近,欧盟和挪威政府投资兴建多个大型水电站大坝,附近还有几个风力发电站。Kolos 公司首席执行官马克·罗宾逊( Mark Robinson )说:“这可能是欧洲发电成本最低的数据中心,其 100% 的用电量都来自可再生能源,并且处于世界上最稳定的电网之中。” 罗宾逊还他补充说:“这是地球上非常寒冷的地方,空气湿度也很理想,我们不必人工降温就可以降低服务器的温度。此外,这里有取之不尽用之不竭的清洁的、冰凉的淡水资源。附近还有一所大学,每年有大约 200 个科技专业的大学生毕业,为我们提供人才补充。” 图2:来自附近峡湾的水有助于确保数据中心降低温度 当被问及当地的患病率问题时,罗宾逊承认,他没有意识到该市的贫困状况。但他指出,在这里建设数据中心可为当地经济带来好处,进而改善这种状况。Kolos 表示,该公司已经获得当地5位镇长的支持,挪威气候和环境部长维达·赫尔格森(Vidar Helgesen)将参加公司本周晚些时候组织的公开会议。赫尔格森称:“我们希望看到更多项目落户此地,我支持这个项目,就像我支持任何其他项目那样。我们不会让他们互相竞争,并从中挑选出个别赢家,而且我们已经降低了关税,以欢迎在挪威建立数据中心。我们非常欢迎这个项目。” 主流的云基础设施服务提供商(包括亚马逊、微软和谷歌)近年来始终在想方设法降低成本,这给其他数据中心运营商带来了巨大压力。技术咨询公司 Gartner 说,这意味着为了保持价格竞争力,私营企业必须寻求规模化发展。 Gartner 公司研究主管戴维·格伦布里奇(David Groombridge)表示:“建造数据中心总是会存在一种风险:很多运营商匆匆上马项目,结果其数据处理能力往往会超过市场需求。但就数据中心而言,很难看到消费者驱动的需求下降,并且随着物联网的兴起,数以百万计的传感器产生的庞大信息都需要处理。因此,除非有非常激进的新技术来帮助压缩数据,否则我们需要数据中心提供数据处理服务。” 稿源:cnBeta、网易科技,封面源自网络;

针对美军临时禁令:大疆无人机将推送 “ 本地数据模式 ” 软件更新

毫无疑问,大疆已经成为全球知名的消费级与商用无人机的知名品牌,甚至美国军方都为执行各种任务的部队下达了超过 300 份豁免许可。然而早些时候,美国军方出于潜在的网络安全顾虑临时禁用大疆的装备,此举引发军、政、商用任务使用中国造硬件的敏感性的大讨论。 8 月 15 日,大疆宣布将与几周后推出一个名叫 “ 本地数据模式 ” 的软件更新。执飞者可以启用该模式,以禁止无人机的双向数据传输。当然,用户仍可在移动设备上查看实时视频反馈,以及使用不同的自主飞行功能,只是无法再向 Facebook 和 YouTube 等平台进行流媒体视频直播。 尽管此前用户也可以通过在使用大疆无人机时,将移动设备设置为飞行模式而达成类似的效果。但如果你不希望在此期间错过手机上的重要邮件或消息,这么做就显得极不方便了。 稿源:cnBeta,封面源自网络;

印度警方逮捕 4 名《 权力的游戏 》资源泄露者

HBO 网络上月遭黑客入侵,内部泄露 1.5 TB 资料的消息不胫而走,甚至有人在线看到还未播出的热门剧集《 权利的游戏 》第七季内容。由于 HBO 旗下包括该剧在内多部热播影视剧泄露,所以事件逐步升温,引发全球关注。 据悉,警方近期在印度逮捕 4 名泄露 HBO 热门剧集《权力的游戏》内容的犯罪嫌疑人。警方称,这 4 名嫌疑人未经授权在线放出第七季第四集资源,目前他们被控犯下 “ 违反失信与电脑相关的罪行 ”,其泄露的内容来自 HBO 在印度的发行方 Star India。 HBO 在声明中表示,被逮捕的 4 个人跟技术供应商 Prime Focus Technologies 有关。另外它还指出,这是他们公司第一次遇到这样的事件,对于警方的快速响应和行动他们深表感激。对此,HBO 并未置评。值得一提的是,印度这起泄露事件跟 HBO 近期遭遇的黑客攻击并没有关系。 稿源:cnBeta,封面源自网络;

新纳粹网站 The Daily Stormer 域名注册连遭 GoDaddy 和谷歌两次撤销

在上周维吉尼亚州夏洛特维尔市白人至上主义者集会以及随后在周末发生的暴力事件之后,新纳粹网站 The Daily Stormer 公开诋毁在这起暴力冲突中遇难的 32 岁希瑟·海尔(Heather Heyer),当时有人开车冲撞抗议者人群造成其死亡。 据悉,黑客组织 “ 匿名者 ” 宣布已经接管该网站,并发誓要在 24 小时后完全关闭。The Daily Stormer 域名托管平台 GoDaddy 与谷歌同时也宣称,他们已通知 The Daily Stormer 有 24 个小时时间将域名转交由其他服务商托管,因该网站 “ 违反了我们的服务条款 ”。这就意味着如果这个网站找不到 GoDaddy 和谷歌以外的其他域名注册商,就将面临被迫下线的威胁。 现在还不清楚谷歌撤销 The Daily Stormer 域名注册的行动将在何时正式生效,截至目前该网站仍处于在线状态,其互联网注册信息将谷歌列为注册商。此外,GoDaddy 此前曾因托管 The Daily Stormer 及其他传播仇恨的网站而遭到批评,该公司的行为准则禁止使用其服务 “ 促进、鼓励或从事恐怖主义活动以及针对人、动物或财产的暴力活动 ”。 与此同时,为 The Daily Stormer 提供互联网服务的私人公司 Cloudflare 拒绝透露该公司是否考虑切断与这个网站之间的联系。该公司发表声明称:“ Cloudflare 已经意识到有些使用我们网络的站点所引发的忧虑,并发现其中有些站点上的内容令人厌恶 ”。声明还补充道:“虽然我们的政策是不对任何特定用户置评,但我们将配合执法机构的任何调查行动 ”。目前,The Daily Storm 网站创始人安德鲁·昂林(Andrew Anglin)则尚未置评。  稿源:由 新浪科技、cnBeta 整理,封面源自网络;

Google Chrome 扩展开发者屡遭网络钓鱼攻击

Google 安全团队在许多 Chrome 扩展开发者成为钓鱼攻击目标后向他们发出安全警告。据悉,这波钓鱼攻击始于六月中旬,直到两大 Chrome 流行扩展 Copyfish 和 Web Developer 的开发者被窃取账号 ,攻击者推送更新在扩展中加入广告后才被人所熟知。 攻击者诱骗开发者的钓鱼邮件内容类似,都是伪装成来自 Google,通知扩展开发者违反了 Chrome Web Store 的规则,需要更新。当扩展开发者点击网址查看问题时他们会被要求用开发者账号登录,开发者在大意之下就可能会将账号泄漏给攻击者。 稿源:solidot奇客,封面源自网络;

厂商因固件更新将 Lockstate 智能锁秒变砖头

智能锁厂商 Lockstate 近期更新固件时将部分客户联网的智能锁变成了砖头,客户无法再利用内置键盘输入密码解锁,但物理形式的钥匙还能使用。 Lockstate 的智能锁在  Airbnb 屋主中间非常受欢迎,屋主可以只向住户提供密码而不是分享钥匙。Lockstate 还是 Airbnb 的合作伙伴。 客户的锁被刷后,固件无法再远程更新,他们要么将锁寄回厂商,要么更换新锁,两种方式都需要比较长的等待时间。Lockstate 表示将会支付运费,并向受影响的客户免费提供一年的  Lockstate Connect 订阅服务。Lockstate 称它不小心将 7i 型号的固件推送给了 6000i 型号的客户。 稿源:solidot奇客,封面源自网络;

FCC 决定将 “ 网络中立 ” 评论时间延长两周

据外媒报道,美国联邦通信委员会(FCC)近期宣布将 “ 网络中立 ” 评论时间延长两周,也就是原定于本月 16 日结束的评论日子将推迟到 30 日。知情人士获悉,此次延长是为了响应来自 10 个团体的要求,不过他们最初寻求的延长时间为八周,但 FCC 认为两周更符合过去的延长期限惯例。 FCC 并没有将这次的决定归咎于 DDOS 攻击引起的文件系统破坏。即便没有这次延长,关于终止《 Title II 》网络中立的评论数量已经创造 FCC 历史的最高值:截止到目前已经达到了近 2000 万条。相比之下,上一次的网络中立辩论的评论数量只有 370 万条。 稿源:cnBeta,封面源自网络;

特斯拉 CEO 马斯克表示:AI 安全问题要比朝鲜攻击更加危险

据外媒报道,看起来特斯拉、SpaceX CEO 马斯克对人工智能(AI)的出现并不感到乐观。近日,他在 Twitter 上发布的一条推文中表示,AI 的安全问题甚至比朝鲜要危险得多。 另外他附上了一张忧心忡忡的女性海报,上面写着:“ 最后,机器会赢 ”。机器会赢?看起来确实这样,看看手机就知道了,许多人似乎都已经成为了它的奴隶。 马斯克还称:“没有人喜欢被管制,但所有对公众来说有危险的东西(汽车、飞机、食品、药物等)都要被监管。AI 亦是如此。”他在上个月的全国州长协会会议提出了这一观点。此外,马斯克还在 Twitter 提到了 Open AI 公司开发的机器人打败著名《 Dota 2 》职业玩家一事。据悉,马斯克是非营利性组织 Open AI 的创始人,他希望借此能找到打败机器人的方法。 马斯克认为,AI 确实已经成为了一个迫在眉睫的威胁。他在 Twitter 写道:“认识 AI 危险最大的障碍是那些对自己(开发)智能深信不疑的人,他们无法想象其他人在做他们不能做的事情。” 稿源:cnBeta,封面源自网络;

人民日报:适时建立互联网金融业务第三方接管机制

近年来,互联网金融快速发展,在发挥积极作用的同时也集聚了一些风险隐患,加强互联网金融监管的呼声越来越高。政府监管是互联网金融规范发展的根本保障,行业自律是互联网金融可持续发展的内在基础。二者犹如规范互联网金融秩序的两驾马车,只有各司其职、密切配合,方能提升整个市场的安全性和有效性,推动互联网金融行业健康有序发展。 进一步完善监管制度 2015 年,中国人民银行等十部委联合发布《 关于促进互联网金融健康发展的指导意见 》,提出了互联网金融监管的基本原则和模式,互联网金融监管逐步走向规范。随着互联网金融深入发展,有必要建立全面监管的制度体系。 一是市场准入制度。明确互联网企业从事金融活动的市场准入政策和监管规则,对经营者实缴注册资本、经营者公司治理结构、高层人员任职条件等作出明确要求。 二是营运资本维持制度。营运资本代表经营主体的短期偿债能力和稀释风险能力。在我国互联网金融市场逐步走向成熟的过程中,应制定相关标准,确保互联网金融公司维持与运营规模相适应的营运资本。 三是第三方存管制度。银监会于 2017 年年初出台了《网络借贷资金存管业务指引》。目前,大多数 P2P(个人对个人)网贷公司已经逐步将资金转为由商业银行存管。在未来的监管中,应将存管和外部审计的要求全面落到实处。 四是信息披露制度。互联网金融本质上仍是一种金融活动,信息披露不可或缺。应对互联网金融的信息披露原则、信息披露管理与责任、信息披露内容等作出全面规定,建立健全互联网金融信息披露制度。 五是消费者权益保护制度。应建立包括特定业务审核制度、消费者隐私保护制度、消费纠纷解决机制等的消费者权益保护制度。六是市场退出机制。应在做好网络借贷资金第三方存管的前提下,完善风险准备金管理制度,适时建立互联网金融业务第三方接管机制。 充分发挥行业自律作用 互联网金融创新速度较快,而相关制度的制定修改相对缓慢。因此,在相关立法出台之前,应充分发挥行业自律的作用。相对于政府监管而言,行业自律在降低监管负担和规制成本、避免市场主体与监管主体之间的信息不对称、提高专业性和标准化程度等方面有着不可替代的作用。随着互联网金融在我国的迅速发展,2011 年以来,各种地方性行业协会或自发性行业协会陆续成立。2016 年 3 月,中国人民银行会同银监会、证监会、保监会组织建立的全国性互联网金融行业自律组织——中国互联网金融协会成立,承担制定互联网金融行业标准、促进从业机构业务交流和信息共享、建立行业自律惩戒机制等重要职责。然而,从满足我国互联网金融健康发展需要的角度看,行业自律的作用目前还没有充分发挥,相关工作有待进一步加强。 首先,应进一步完善全国性的行业协会组织。根据不同互联网金融业务模式,进一步完善行业协会的组织架构,明确其职责与业务范围。其次,应尽快制定统一的行业标准和从业行为准则。在与传统金融业务无本质差异的领域,可以直接沿用原有的金融行业标准和国家标准;对有别于传统金融行业的业务,应建立新的行业标准和准则。最后,应建立行业内部信息共享和披露机制,并最终与行业外部监管系统对接。在从事同一业务的互联网金融经营者之间搭建信息沟通与共享的桥梁,在消费者信用、行业经营数据等方面实现共享,既可以降低经营者的审核成本,又可以完善互联网金融数据库,还有助于全面建立和完善个人信用体系。将这些数据纳入金融业综合统计范围,还可以作为进一步修订外部监管指标的依据。 稿源:cnBeta、人民日报,封面源自网络;