内容转载

= ̄ω ̄= 内容转载

NSA 美国国家安全局开通 Github 帐户

国家安全局是美国情报机构中最秘密的单位。它雇用天才级程序员和数学家,以破解密码收集对手的信息,并捍卫美国国家免受数字攻击威胁。不出所料,美国国家安全局一直倾向于在黑暗中工作。但自从 2013 年 Snowden 泄漏事件以来,该组织逐渐增加了公众透明度。几年前,它开了一个 Twitter 账户,这也是 Edward Snowden 在 2015 开设 Twitter 账户之后关注的第一个账户。 现在,它开了一个 Github 帐户,并在 NSA 技术转移计划(TTP)下共享了几个有趣的代码库。到目前为止,它列出了 32 个不同的项目,尽管其中一些项目即将推出。许多新项目也不是新的,而且已经有一段时间了。例如,SELinux(安全增强型 Linux)多年来一直是 Linux 内核的一部分。 NSA 采取这一举动。对于初学者来说,技术老手有一个漫长而自豪的技术传统,即把防御和智能技术向公众传播。互联网本身就是一个很好的例子。另外,NSA 通过 Github 与技术人员接触,也是招聘潜在人才的好方法。 稿源:cnBeta.COM,封面源自网络  

Top 500 公布最新榜单:中国超算占据了前两名,美国无缘三甲

在法兰克福举行的世界超算年会上,Top 500 公布了最新榜单:中国的超算占据了前两名,而美国自 1996 年以来首次无缘三甲。 中国的神威太湖之光以 93 petaflop/s 继续称霸,天河二号以 33.9 petaflop/s 排名第二,排名第三的是瑞士的 Piz Daint,运算速度 19.6 petaflop/s,之后是美国橡树岭国家实验室超算泰坦的 17.59 petaflop/s,Sequoia 的 17.17 petaflop/s、Cori 的 14 petaflop/s,日本 Oakforest-PACS 的 13.55 petaflop/s,K computer 的 10.51 petaflop/s。 前十的主要变化是瑞士超算从去年 12 月的第八跃升到第三,其余超算基本不变。 神威太湖之光采用了中国自行研发的申威 SW26010 260C 1.45GHz 处理器,每个处理器 260 个核心,总共 10,649,600 个核心,内存 1280 TB,操作系统是基于 Linux 的 RaiseOS 2.0.5。 Top 500 中,美国 有 169 台,中国有 160 台,之后是日本 33 台,德国 28 台,法国和英国各有 17 台。464 台超算使用了英特尔的处理器,21 台超算使用了 IBM Power 处理器,使用 AMD 处理器的只有 6 台。惠普企业(HPE)制造的超算最多共 143 台,其次是联想的 85 台,克雷的 57 台,曙光的 46 台,IBM 的 27 台。 稿源:solidot奇客,封面源自网络  

GOP 数据公司意外泄漏近 2 亿美国选民个人资料

在共和国国家委员会签订的营销公司在一个可公开访问的亚马逊服务器上存储内部文件之后,本月份泄漏了超过 1.98 亿美国公民的政治数据。数据泄露包含大约 61% 的美国人大量个人信息。除了家庭地址,出生日期和电话号码之外,这些记录还包括政治团体采用的先进情绪分析来预测个人选民如何处理热门问题,如枪支所有权,干细胞研究和堕胎权,以及宗教信仰和种族。 Deep Root Analytics是一个保守的数据公司,用于确定政治广告的受众群体。UpGuard 网络风险分析师 Chris Vickery 上周在线发现了这些数据。超过 1TB 的存储在云服务器上,无需保护密码,任何人可以访问,这引起了重大的隐私问题,这对有恶意目的的人来说是有价值的。 根据联邦选举委员会的报告,RNC 根据联邦选举委员会的报告,支付了 Deep Root Analytics 983,000 美元,但其服务器包含来自各种其他保守方面的记录,其中包括数据信托(也称为 GOP 数据信托),共和党的主要投票者文件提供者。根据OpenSecrets.org 的数据,Deep Root Analytics 在 2016 年期间从 RNC 收到了 670 万美元,而其总裁 Johnny DeStefano 则担任特朗普的总统人事总监。 稿源:cnBeta,封面源自网络

质检总局:智能摄像头抽检八成存隐患,或致视频泄露

6 月 18 日,国家质检总局官网发布关于智能摄像头的质量安全风险警示声明,指出在已检测的 40 批次中,32 批次样品存在质量安全隐患,可能导致用户监控视频被泄露,或智能摄像头被恶意控制等危害。 智能摄像头,是指不需要电脑连接,直接使用 Wi-Fi 联网,配有移动应用,可以远程随时随地查看家里的一切,与家人语音通话,还支持视频分享、远程操作监控视角、报警等功能的一类产品的总称。 据央视新闻报道,破解智能摄像头的密码,侵入相关系统,偷看或直播智能摄像头监控内容,已经成为一条非法产业链。质检总局的风险提示,智能摄像头可能存在终端安全、后端信息系统安全、数据传输安全、移动应用安全等质量安全隐患,若消费者使用不当或超预期使用,容易导致个人隐私信息泄露、财产损失等危害。 质检总局产品质量监督司组织开展了智能摄像头质量安全风险监测,其主要依据 GB/T 22239-2008《信息安全技术 信息系统安全等级保护基本要求》等标准要求,并对操作系统的更新、恶意代码防护、身份鉴别、弱口令校验、访问控制、信息泄露、数据传输使用安全有效加密、本地存储数据保护等项目进行了检测。 质检总局提示广大消费者,在选购和使用智能摄像头产品时,要注意以下几点: 1、选择正规渠道购买智能摄像头产品,切勿购买“三无”产品,注意留意权威部门发布的相关产品质量信息。 2、增强隐私信息保护意识,在购买、使用智能摄像头产品和接受相关服务时,仔细查看相关说明和厂商声明,充分了解选购产品和服务的各项功能,注意和防范用户信息可能泄漏的风险,审慎考虑厂商收集、保存和使用用户信息的要求,根据自我实际情况和意愿作出购买和选择决定。 3、使用时,应及时主动修改智能摄像头默认密码,密码设置应有一定的复杂度并定期修改。 4、及时更新智能摄像头操作系统版本和相关的移动应用,发现异常应立即停止使用,并向生产厂商反馈,等待厂商修复。 稿源:cnBeta,封面源自网络

欧洲议会支持端对端加密,保障公民基本隐私

欧洲议会公民自由委员会公布了一项草案,支持对所有通信进行端对端加密,以保护欧盟公民的基本隐私权。此外,委员会还提议禁止加密后门。 欧洲议会委员会对端对端加密的支持与最近一段时间英国等政府对端对端加密的反对和削弱加密或植入后门的提议形成了鲜明对比。欧盟权利宪第 7 条规定欧盟公民有个人隐私权以及家庭生活和家庭的隐私权,个人之间通讯隐私也是隐私权的一个重要组成部分。如果新的隐私和电子通信法规获得通过,将能显著加强欧盟公民的通讯隐私,未来欧洲政府将无法轻易的向后退。 稿源:solidot奇客,封面源自网络

美国特朗普政府担忧中国对硅谷科技公司的投资

据路透社报道, 美国现任及前任官员表示,美国准备加大对中国投资硅谷企业的审查力度,以更好地保护对美国国家安全至关重要的敏感科技。目前,美国尤其关注中国在人工智能和机器学习等领域的兴趣。这些行业近年来越来越引起中国资本的投资兴致。他们担心美国开发的前沿科技可能被中国用来提高其军事能力,或许还会在战略产业推进。 美国政府正在考虑加强美国外资审议委员会( CFIUS )的作用。五角大楼报告警告称,中国正避开美国的审查,通过目前不会招致 CFIUS 审查的交易来掌握敏感科技。这类交易将包括合资公司、少数持股以及在初创企业的早期投资等。部分行业专家告诫称,美国加强监管可能无法阻止技术转让,还会导致中国反制,对美国经济有负面影响。如果法案过于激进,将引发科技行业的强烈反对。 稿源:solidot奇客,封面源自网络

德国政府不满于 Google 处理 “ 被遗忘权 ” 的做法

欧盟于数年前颁布了一项法令,规定网民有 “ 被遗忘的权利 ”,要求 Google 根据用户请求在搜索结果当中删除 “ 过时 ” 和 “ 无关紧要 ” 的链接。但是,尽管 Google 据此已经删除超过 760,000 个链接,但德国政府仍然不满意 Google 的作为。 虽然 Google 已经处理了超过 170 万个请求,但是它的 URL 删除系统当前正在工作的方式让外界相对容易地找到已经删除的条目。 每当 Google 公司收到删除申诉时,它将自动将请求转发到流行的 lument 数据库,并用以下文本替换页面的原始内容:“ 作为对发送给 Google 的法律请求的反应,我们已经删除了一个搜索结果。您可以在 LumenDatabase.org 找到更多信息。“ 目前问题是,原始页面的链接仍然出现在 lumen 当中,这引发了德国当局不满。慕尼黑高级地区法院已经向互联网巨头发出禁令,要求公司停止向 Lumen 转发删除通知,并随后链接到生成的数据库条目,让被删除的页面仍然出现的做法。 稿源:cnBeta,封面源自网络

新型 Android 木马 Xavier 爆发:可悄然窃取用户个人信息

趋势科技于近期发现一款极其狡诈的新型木马程序 “ANDROIDOS_XAVIER.AXM ” (简称 Xavier )。该木马程序能够使用多种方式覆盖活动痕迹并在用户不知情的情况下发送用户数据至远程服务器上。 首先,这款恶意程序会嵌入到常规的应用中,例如铃声录制和图片编辑应用,受感染的用户绝大多数来自亚洲东南部国家,如越南、菲律宾和印度尼西亚,美国和欧洲的感染人数较少。趋势科技发现携带有该恶意程序的应用数量已经超过 800 款,而且部分应用在 Google Play 上的下载量已经超过数百万次。 而该恶意程序另一个狡诈的地方在于它们会嵌入到应用的代码中。在应用使用过程中并不会出现明显的恶意代码,因此在提交至 Play Store 审核的时候并不会触发任何 flag。然而,一旦从隐蔽的服务器下载和安装恶意代码,那么就会自动执行。而这些操作都是在用户不知情的情况下在后台进行操作的。 分析人员表示:“如果设备已经被 root,那么该恶意程序就会静默安装其他类型的 APK 文件。” 对比此前恶意广告木马,Xavier 的功能及特征更为复杂。首先他具备远程下载恶意代码并执行的能力。其次,它通过使用诸如字符串加密,Internet 数据加密和模拟器检测等方法来保护自己不被检测到。Xavier 窃取用户数据的行为很难被发现,它有一套自我保护机制,来躲避静态和动态的检测分析。此外,Xavier 还具有下载和执行其他恶意代码的能力,使它的威胁性大大增加。 稿源:cnBeta;封面源自网络

因未续订域名,逾 210 万三星手机存在被攻击风险

2014 年以前发售的三星手机都预装了一款名为 S Suggest 的应用程序,会基于手机当前安装的应用、搜索信息和其他相关因素向用户推荐应用程序。此外,三星还为这款应用程序开设了网站 ssuggest.com,这款应用连接到这个域名后会为每个设备提供推荐内容。但由于并未引起用户注意,三星于 2014 年关闭 S Suggest 应用更新,而在 ssuggest.com 域名到期之后也未续订。 安全专家 João Gouveia 表示,2014 以前已经安装这款应用的三星手机即使禁用了这款应用程序,系统后台依然会尝试连接 ssuggest.com 网站。Gouveia 随后购买了该域名,随后他发现有超过 210 万台设备尝试 6.2 亿次连接,企图获取推荐更新内容。这意味着如果购买这个域名的是一个黑客,那么完全有能力获取各种高级权限,包括安装应用程序、提取数据和窃取邮件和短信等操作。 所幸的是安全专家表示目前并没有黑客通过该域名实施网络攻击,不过他也警告三星公司尽快解决这个问题,阻止在关闭应用之后继续访问相配套的域名。 稿源:cnBeta,封面源自网络

英国安全机构称朝鲜应对 WannaCry 恶意勒索软件攻击事件负责

上个月 WannaCry 勒索软件攻击事件的真正幕后黑手至今仍然未知,但是多数安全机构认为是朝鲜黑客组织 Lazarus Group 所为。 WannaCry 恶意勒索软件影响了全球 150 多个国家/地区的 30 万多台电脑,但英国国家卫生服务机构 ( NHS ) 却是最早受到影响的组织之一。 据外媒报道,英国情报机构 GCHQ 旗下的国家网络安全中心 ( National Cyber Security Centre,简称 NCSC ) 的研究人员近日得出了一个和赛门铁克、卡巴斯基及韩国网络安全公司 Hauri Labs 等安全机构一样的结论:基于 WannaCry 代码的相似之处和黑客创造的工具, Lazarus Group 应该为此次事件负责。 Lazarus Group 被认为是 2014 年索尼影业入侵事件及去年孟加拉国央行盗窃案等事件的幕后黑手。 朝鲜方面认为所谓的联系 “ 非常荒谬 ”,但一些研究人员表示,几乎没有证据指向其他嫌疑犯。 稿源:cnBeta,封面源自网络