内容转载

= ̄ω ̄= 内容转载

科研人员发文质疑:苹果隐私数据保护技术不足保护用户信息

美国南加州大学、印第安纳大学和清华大学的五名研究人员近期共同发表一项研究报告,表明苹果使用的 “ 差分隐私 ” 技术在收集数据时,并不足以保护个人信息。 “ 差分隐私 ” 技术是一种将随机噪声嵌入到数据中的方法。结果显示,苹果的 “ 隐私损失参数 ” 仍允许过多的特定数据泄露。 据称,macOS 和 iOS 10 两个平台都存在问题,但人们认为后者问题更大。另一个令人担忧的问题是,苹果保留了它的丢失参数——也被称为 “epsilon – secret”,这意味着该公司可以在没有任何外界审查的情况下改变它。南加州大学教授 Aleksandra Korolova 说:“苹果的隐私损失参数超出了差异隐私研究社区通常认为可以接受的水平。” 调查显示,macOS 的 epsilon 值为 6 分,而 iOS 10 则是 14。相比之下,谷歌声称 Chrome 的差别隐私保护系统在大多数情况下是 0.5,终身最高的上限是 8 到 9。此外,谷歌还开源了相关代码,这使得谷歌可以进行双重检查。不过,作为对这项研究的回应,苹果公司表示,它不同意很多观点,比如在多大程度上可以将数据与特定的人联系起来。 目前,该公司坚持认为,它根据数据的类型来改变噪声,而且研究人员简单地将所有类型的 epsilons 结合在一起,并假设它可以被拼接在一起。此外,它还指出了一些政策,比如数据存储的时间限制、对 IP 地址的拒绝,以及进行收集选择的决定——指的是安装和设置屏幕,人们可以选择是否共享使用和诊断信息。近期,研究人员发现 ios11 测试版的 epsilon 为 43,但这很可能是由于在 9 月 19 日软件发布前进行的常规测试,旨在清除漏洞。 稿源:cnBeta、威锋网,封面源自网络;

美国加州网络隐私提案尚未投票就已出局

据外媒报道,美国加州立法者试图通过一项法案,旨在恢复被国会和 FCC 否决的网络隐私规定。然而,这个于今年 6 月提出的法案甚至连投票的日子都没等到就已被宣判出局。9 月 15 日为美国 2017 年立法会议的最后一天,然而在这一天到来之前,该提案就已经被搁置 “不活跃文件 ” 中, 这意味着它连接受投票的资格都没有。 这一结果并未让人觉得太过意外,因为加州虽然看起来极有可能通过立法制定更加严格的网络隐私规则,但反对者却有多个机会扼杀掉它,比如它必须要在 3 个不同委员会得到通过才行。此外,该法案不仅要求加州网络服务供应商在将客户的信息展示给销售或第三方之前需得到用户的许可才行;它还要求网络供应商采取 “ 合理的安全程序 ” 保护客户信息。这跟 FCC 在 2016 年通过的一项法案非常相似,不过看起来它也因为同样的原因失败。当时,互联网供应商以及一些互联网公司派出说客展开了高强度的游说活动。 显然,包括 Comcast、Verizon、AT&T 在内的互联网供应商反对这项立法,因为它们想要通过其用户的浏览历史数据从广告商那里赚钱。另外,谷歌、Facebook 也对此提出了反对意见,在它们看来,这种含糊不清的定义将给消费者和企业造成严重的影响。实际上,它们反对的部分原因则是害怕它们的业务最终也要接受被检查的命运。虽然加州的这项提案现在失败了,但它仍旧有可能在明年卷土重来。 稿源:cnBeta,封面源自网络;

海盗湾于后台运行比特币矿工程序,增加用户 CPU 使用率

著名 BT 盗版网站海盗湾是电影制片人、音乐制作人和软件创作者的噩梦,但现在海盗湾发生了有趣的变化,让喜欢下载盗版的用户感到非常失望。因为海盗湾在其网站上添加了一个由 Coinhive 提供的 Javascript 比特币挖掘脚本,即采用加密方式注入到访问海盗湾的用户电脑当中进行挖掘比特币计算,部分用户已注意到他们电脑上的资源使用增加。 这个问题是一个非常新的问题,这些用户 9 月 15 日晚些时候开始注意到电脑 CPU 峰值异常变化。在 Reddit 论坛上,有用户就表示,访问海盗湾之后处理器所有 8 个线程 100% 满负荷运行。部分专家表示,在海盗湾自己改邪归正之前,用户只能通过禁用 javascript 免受侵害。阻止/禁用 JavaScript 将以多种方式损害用户访问其它网站各项功能,包括评论将不起作用,无法发表评论,无法查看文件列表等。因此不要访问海盗湾网站是最好的做法。 稿源:cnBeta,封面源自网络;

Equifax 发生大规模数据泄露后,两名负责信息与安全的高管宣布离职

据外媒报道,在美国信贷机构 Equifax 发生大规模数据泄露致使 1.43 亿美国民众信息遭盗取后, 该公司两名负责信息和安全的高管宣布将离开。Equifax 本周五在新闻稿中宣布,Equifax 首席信息官 Susan Mauldin 和首席信息官 David Webb 将离职。 Equifax 在一份声明中表示:“Equifax 对这一事件的内部调查仍在进行当中,公司将继续与联邦调查局密切合作 ”。Equifax 在 9 月 7 日对外宣布数据遭泄露的消息,引起消费者利益维护者和立法者的愤慨,他们要求该公司对这一事件作出解释。此外,美国参议员 Elizabeth Warren 在同一天提出一项法案,防止信用评级机构向消费者收取信用冻结费。 Equifax 此前表示,该公司相信黑客通过 Apache Struts 软件漏洞入侵其系统。这个漏洞的补丁是在 3 月份提供的,而 Equifax 则表示其在五月份遭遇黑客攻击,引起批评者质疑 Equifax 是否及时修复软件漏洞。Equifax 目前还未澄清当数据被盗时是否修复这一漏洞。 稿源:cnBeta,封面源自网络;

美政府力怼卡巴斯基:业内安全专家意料之中

安全专家表示,美国国土安全部禁止联邦机构和部门采用俄罗斯网络安全企业卡巴斯基实验室产品的决定并没有出乎大家的意料。有官员称,该企业对美国国家安全存在威胁,相关政府机构和部门有 90 天清理卡巴斯基实验室的产品。美国国土安全部宣称:“ 我部担心某些卡巴斯基高层与俄罗斯情报及其它政府机构有联系,根据该国的法律,俄情报机构可以请求或勒令其提供帮助,比如拦截网络通信 ”。 尤金·卡巴斯基对美政府 ‘ 未审先判 ’ 的决定表示遗憾。 美国土安全官员在 13 日的一份声明中提到了 ‘ 绑定操作指令 ’: 无论自己动手、或与卡巴斯基合作,俄罗斯政府都是一个风险。他们可以利用卡巴斯基产品危害联邦信息、或者直接访问那些牵涉美国国家安全的信息系统。 尽管卡巴斯基驳斥了这一指控,但安全专家却在接受福克斯新闻采访时表示,他们对国土安全部的举动并不感到意外。安全咨询公司 TrustedSec 的 Alex Hamerstone 在邮件中称: 美国政府有责任保护好自己的信息,我们可以假设该决定基于慎重的考虑和线索,只是无法将其公之于众。虽然我未能洞察俄政府与卡巴斯基之间的往来,但过去几年,我们总能不时听到 ‘ 某家美国企业与政府情报机构合作 ’ 的消息,那为何这在其它国家就无法发生呢? Tinfoil Security 联合创始人 Michael Borohovski 亦表示: 美国政府已经盯着卡巴斯基好几年了,这一公告对任何人来说都不奇怪。实际上,总务管理局早在 7 月份就将卡巴斯基从预审核供应商列表移除。美方对其它公司也表达过类似的担忧,比如中国电信厂商华为,其当前处于被禁止进入美国网络设备市场的状态(即便如此,华为仍可在美国消费级市场销售手机)。 对于 DHS 的这一决定,Shaheen 在 Twitter 上表示值得称赞。 美国国防部全国防护及计划署向福克斯新闻表示,目前还有数据表明卡巴斯基软件访问了多少美国政府的哪些内容。作为指令的一部分,DHS 下令各机构必须在未来 30 天内确定其信息系统上使用的任何卡巴斯基产品,并且制定在未来 60 天内将相关软件移除的详细计划。简而言之,除非 DHS 有了新的信息,否则从指令开始之日算起,有关机构和部门只有最后 90 天时间来停止使用卡巴斯基实验室的产品。 该指令暗示,美国政府掌握了这家知名反病毒企业与俄罗斯情报机构有着密切联系的线索。此外,参议员 Jeanne Shaheen(D-N.H)也一直在极力阻止联邦政府使用该公司产品。在本月早些时候的一篇《纽约时报》专栏文章中,Shaheen 警告该公司对美国国家安全构成了威胁。 TrustedSec 的 Hamerstone 表示,DHS 此举将对业界产生大范围的影响: 对美国政府来说,这是一个艰难做出的决定,但它也会对使用卡巴斯基产品服务的企业产生重大影响。现在有许多企业感觉他们必须遍历系统、卸载卡巴斯基的反病毒软件、并对相关风险进行评估。 稿源:cnBeta,封面源自网络;

Google 停止反对美国政府搜查海外服务器数据

Google 悄悄停止反对美国法官搜查海外服务器数据要求。据悉,微软第一个站出来就美国对海外服务器上所储存数据的搜查要求发起挑战,去年联邦第二巡回上诉法院做出有利于微软的裁决。此后, Google 等服务商也开始挑战美国对海外数据的搜索令,但其它法庭并未站在它们这边。 今年 2 月哥伦比亚特区联邦法官命令 Google 提供储存在境外的客户邮件。美国司法部在一份给最高法院的文件中指出,Google 如今已经改变原先立场,愿意遵守对海外数据的搜查要求。 稿源:solidot奇客,封面源自网络;

落实网络安全法案,推送个人信息保护条款

9 月 14 日起,网民在登陆微信、淘宝、微博、高德地图等客户端时,陆续收到平台推送的个人信息保护政策,点击 “ 同意 ” 后才能继续使用。在 2017 年国家网络安全宣传周开幕前夕,互联网公司积极落实《网络安全法》规定,更新个人信息保护政策,不断加强对用户个人信息的保护。 2017 年 6 月 1日,《网络安全法》正式实施。互联网公司对个人信息保护政策的修订,正是积极响应《网络安全法》关于网络信息安全的相关规定,落实中央网信办、工信部、公安部、国家标准委等四部门 “ 个人信息保护提升行动 ” 的要求。以微博为例,修订后的个人信息保护政策,在信息收集、信息保护、安全措施等方面均增加了较大篇幅,力求全方位保护用户个人信息,扩大个人信息保护政策的覆盖范围。为保证新政及时为用户所了解,用户安装或升级微博客户端后,首次登陆都会收到推送信息,选择“同意”才能继续使用微博。 微博推送修订后的《微博个人信息保护政策》 2017 年国家网络安全宣传周 9 月 16 日在上海开幕。今年的网络安全宣传周以 “ 网络安全为人民,网络安全靠人民” 为主题,将持续到 9 月 24 日。中央网信办网络安全协调局主要负责人表示,提升个人信息保护的隐私条款专项工作,是贯彻网络安全法的重要举措之一。在提升个人信息保护工作中,要处理好保护和利用的关系,找好平衡点,既要保护个人信息的安全,又要利用好信息为8亿网民乃至14亿人民提供更好的服务,维护人民利益。 稿源:cnBeta、新浪科技,封面源自网络;

卡巴斯基回应遭美禁用:未实施任何网络间谍活动

美国国土安全部 13 日下令美国所有联邦机构停止使用卡巴斯基实验室的安全软件产品,原因是俄政府似乎可以访问该软件。随后,卡巴斯基实验室回应,表示该公司没有帮助任何政府实施网络间谍活动或网络空间的侵略行为。 卡巴斯基实验室发表声明称:”从未也不会帮助全世界任何国家政府实施网络间谍活动或网络空间的侵略行为。我们感到失望的是,迫于当前地缘政治局势的压力,一家私营公司可以在无凭无据的情况下遭到指控 “。目前,相关消息称:“ 卡巴斯基公司将继续与美国国土安全部合作,因为卡巴斯基相信,进一步的调查将证实,相关指控是毫无根据的。” 稿源:新浪科技、中新网,封面源自网络;

Equifax 证实:未及时修复 Apache Struts 漏洞,致使美国公民数据遭窃

Equifax 上周曝出 1.43 亿美国用户的敏感信息在线泄露,当时他们声称黑客利用 Web 应用漏洞入侵数据库,但并未披露任何细节。本周,Equifax 证实,宣称黑客利用了开源项目 Apache Struts 漏洞 CVE-2017-5638 。 漏洞利用特制的 HTTP Headers(HTTP 首部/ HTTP 报文)允许黑客者在受害者的电脑上执行任意命令。该漏洞被标记为“大规模”,影响了无数网站,其中攻击的两个工作版本也在网上公布。目前,许多大型机构,如银行、政府机构和一些世界顶级公司,都在应用程序中使用 Apache Struts。 Apache Struts 是在今年 3 月 6 日发布修复漏洞补丁,而黑客对 Equifax 的入侵发生在 5 月中旬,也就是 Equifax 没有及时打上补丁,让黑客能利用已修复的漏洞入侵系统。研究人员表示,像这样的漏洞会不时发生,非常难以避免。因此强烈建议Equifax 尽快安装补丁。不过,修复该漏洞较为繁琐,涉及到手动更新、测试并重新部署到公司使用的所有 Apache Struts Web 应用程序中。 稿源:据 cnBeta、solidot奇客 综合整理,封面源自网络;

禁用 Windows 勒索软件卷土重来,黑客索要 50 比特币解锁费用

2016 年的时候,安全研究人员就已披露一款显示 “ 您的计算机已被禁用 ” 的恶意软件。据悉,它会锁住计算机屏幕,并在上面显示几行消息,声称 “ 该 PC 因违反使用条款而被禁用 ”,而且还大言不惭地称此举是为 “ 保护 Windows 服务及其成员 ”、还假借微软之口称其 “ 不会提供有关特定 PC 被禁用的细节 ”。但实际上,它们只是借此向受害者勒索一笔“解锁”费用,否则扬言删除所有信息、并让这台计算机无法再工作。 为了锁住系统,该恶意软件会忽悠受害者联系所谓的来自微软的技术人员,以购买一个解锁屏幕的代码、以及一份新的 Windows 许可证。万幸的是,ID Ransomware 制作人 Michael Gillespie 发现了一串能够免费解锁受感染计算机的神奇数字(只需输入 “ 6666666666666666 ”)和一组代码(XP8BF-F8HPF-PY6BX-K24PJ-RAA00)。 不过,没想到的是,过了一年时间,同类型的软件竟又卷土重来。只是这次,它表现得更加赤裸裸,直接在锁屏界面向受害者索取 50 比特币的系统解锁费用。在该恶意软件 ‘ 锁屏界面 ’ 的 ‘ 错误信息 ’ 一栏中,勒索者给出了两种选择 —— 要么花钱消灾,要么删你文件、毁你系统。当然,这是一种老式而典型的恐吓策略。如果你仔细检查拼写和语法错误,就会发现这很可能是一个骗局。然而,为了避免沾染这种恶意软件,大家最好不要轻易打开可疑的文件、或者点击奇怪的链接。此外你还需要部署一款及时更新的全面型反恶意软件应用程序。 稿源:cnBeta,封面源自网络;