内容转载

= ̄ω ̄= 内容转载

金融机构请注意:黑客组织“匿名者”再次发起攻击,代号#Opicarus2017

近日,创宇盾安全舆情监测平台发现,黑客组织“匿名者(Anonymous)”向全球超过 140 个金融机构发起了新一轮的攻击行动,代号为 #Opicarus2017。  “匿名者”曾于 2015、2016 年发起过持续 4 波针对银行的大规模 DDoS 攻击,在其攻击下汇丰银行、土耳其银行、希腊央行、塞浦路斯央行、墨西哥银行 、墨西哥北方银行、孟加拉国银行等多家银行纷纷中招,就连美国联邦储备银行、世界银行、国际货币基金组织、纽约证券交易所以及英格兰银行等大牌金融机构也受到严重影响。 此次“匿名者”发起代号为 #Opicarus2017 的攻击行动,包括中国人民银行(pbc.gov.cn)、香港金融管理局(hkma.gov.hk)在内的全球近 140 家金融机构均在其公布的攻击列表中。此次攻击,在保持了 DDoS 让金融机构服务不可用的同时,攻击者还将针对性的寻找金融机构的数据库注入攻击点,以达到窃取敏感数据的目的。 目前全球超过 9 家金融机构已经被黑客进行数据库注入攻击,印度卡纳塔克邦格莱明银行和亚洲开发银行的数据敏感信息被黑客窃取,此外部分金融机构受到 DDoS 攻击而导致网站服务不可用。本轮攻击还在持续进行中… 稿源:知道创宇云安全,封面源自网络

投资逾 5 亿澳元,澳大利亚 CEO 们比全球同行更担心网络安全

毕马威(KPMG)会计事务所最新《全球首席执行官展望》报告显示,澳大利亚的顶级首席执行官们比全球同行更担忧网络安全问题。报告显示,71% 的澳大利亚首席执行官会将超过 5 亿澳元的营业额用于网络安全投资上。相较之下,全球首席执行官的比例仅为 53%。 毕马威澳大利亚网络安全服务合作人阿奇博尔德对比表示,该结果符合《 ASX 100 网络健康检查 》报告的分析。这份报告发现,澳大利亚最顶级的企业高管普遍对网络威胁具有高度风险意识。 “网络威胁成为澳洲首席执行官最关注的问题,部分是由于这些网络漏洞对企业造成的巨大影响。” 阿奇博尔德称,“ 以前网络安全问题曾被看做是技术风险,而现在已被定义为商业风险。同时还有声誉风险以及它对股东价值和运营可用性的影响。” 源:中国新闻网,封面源自网络

微软将在下次更新 Windows 10 时禁用 SMBv1 协议

微软计划在今年秋季释出 Windows 10 的下一次重大更新,这次更新代号为 Redstone 3。在该版本中,微软计划禁用有三十年历史的 SMBv1 文件共享协议。 目前,由于兼容性的原因,微软至今仍然在所有版本的 Windows 操作系统中默认启用 SMBv1,但 SMBv1 协议实现的漏洞导致了勒索软件 WannaCry 在存在漏洞的系统中广泛传播,然而受影响的系统主要是 Windows 7 而不是微软计划更新的 Windows 10。 微软证实,用户在全新安装系统时候将不会包含 SMBv1,但从现有系统升级时 SMBv1 仍然会留在系统中。微软的这一决定不会影响现有的系统。 稿源:solidot奇客,封面源自网络

央行发布提醒:有人打着央行名义发行数字货币

近日,央行货币金银局官网发布《关于冒用人民银行名义发行或推广数字货币的风险提示》。 央行指出,个别企业近期冒用央行名义,将相关数字产品冠以 “ 中国人民银行授权发行 ”,或是谎称央行发行数字货币推广团队,企图欺骗公众,借机牟取暴利。 央行提示称,尚未发行法定数字货币,也未授权任何机构和企业发行法定数字货币,无推广团队。目前市场上所谓 “ 数字货币 ” 均非法定数字货币。此外,某些机构和企业推出的所谓 “ 数字货币 ” 以及所谓推广央行发行数字货币的行为可能涉及传销和诈骗,请广大公众提高风险意识,理性谨慎投资,防范利益受损。目前,我国的法定货币是人民币。人民币由中国人民银行统一印制、发行。 实际上,以比特币、莱特币等为代表的数字货币近年来吸引了众多关注,目前还有越来越多的区块链创业企业通过 ICO(首次公开发售)形式,发行代币(数字货币)众筹资金来进行融资。一位区块链行业从业者透露,监管可能于今年 8 月出台一些关于 ICO 方面的政策,但 ICO 项目很难监管,一旦监管趋紧可能会促使一些项目转移至国外,也会造成资金外流。 稿源:cnBeta、中新网,内容有删减;封面源自网络

网络钓鱼新模式,黑客利用连字符伪造 URL

PhishLabs 安全研究人员发现一种新型钓鱼方式,允许黑客利用手机端 URL 地址栏长度不足的劣势引导用户进入钓鱼网站。目前,这一手段已让大量在手机端使用 Facebook 的用户纷纷中招。 研究人员透露,新的攻击策略依赖于移动浏览器 URL 地址栏过窄,从而阻碍了用户查看全部链接内容的漏洞。据悉,黑客利用子域名和连字符等字符串填充 URL,让整个链接在移动设备中看起来极其真实,可一旦用户进入则会被引导至钓鱼网址。 此外,该公司还提供了一个例子,比如 -hxxp://m.facebook.com,这里 http 已被 hxxp 替代。而多数时候用户并不能清楚分辨,但是他们访问的已经是一个钓鱼网址了。他们在该网址的所有动作都会把自身数据传输至黑客手中,而黑客会再利用这些数据通过垃圾邮件把钓鱼网址发送给用户周边的朋友,从而感染更多用户。 事实上,这一点曾在 PC 端出现过,但由于 PC 端的地址栏较长,一些钓鱼网址极易识破。而在手机端,URL 填充方法就非常有效地掩盖了网站的真实域名,移动用户很难发现这一问题。解决这一问题的办法在于确认并检查完整域名,而不仅是 HTTP 的部分,因为每一个字符的错误都可能进入钓鱼网站。此外,安全扫描,屏蔽多数钓鱼网站且不要点击短信和邮件里的链接,因为这些链接的危险度较高,如果有必要一定要仔细检查。 稿源:中关村在线,封面源自网络

NSA 美国国家安全局开通 Github 帐户

国家安全局是美国情报机构中最秘密的单位。它雇用天才级程序员和数学家,以破解密码收集对手的信息,并捍卫美国国家免受数字攻击威胁。不出所料,美国国家安全局一直倾向于在黑暗中工作。但自从 2013 年 Snowden 泄漏事件以来,该组织逐渐增加了公众透明度。几年前,它开了一个 Twitter 账户,这也是 Edward Snowden 在 2015 开设 Twitter 账户之后关注的第一个账户。 现在,它开了一个 Github 帐户,并在 NSA 技术转移计划(TTP)下共享了几个有趣的代码库。到目前为止,它列出了 32 个不同的项目,尽管其中一些项目即将推出。许多新项目也不是新的,而且已经有一段时间了。例如,SELinux(安全增强型 Linux)多年来一直是 Linux 内核的一部分。 NSA 采取这一举动。对于初学者来说,技术老手有一个漫长而自豪的技术传统,即把防御和智能技术向公众传播。互联网本身就是一个很好的例子。另外,NSA 通过 Github 与技术人员接触,也是招聘潜在人才的好方法。 稿源:cnBeta.COM,封面源自网络  

Top 500 公布最新榜单:中国超算占据了前两名,美国无缘三甲

在法兰克福举行的世界超算年会上,Top 500 公布了最新榜单:中国的超算占据了前两名,而美国自 1996 年以来首次无缘三甲。 中国的神威太湖之光以 93 petaflop/s 继续称霸,天河二号以 33.9 petaflop/s 排名第二,排名第三的是瑞士的 Piz Daint,运算速度 19.6 petaflop/s,之后是美国橡树岭国家实验室超算泰坦的 17.59 petaflop/s,Sequoia 的 17.17 petaflop/s、Cori 的 14 petaflop/s,日本 Oakforest-PACS 的 13.55 petaflop/s,K computer 的 10.51 petaflop/s。 前十的主要变化是瑞士超算从去年 12 月的第八跃升到第三,其余超算基本不变。 神威太湖之光采用了中国自行研发的申威 SW26010 260C 1.45GHz 处理器,每个处理器 260 个核心,总共 10,649,600 个核心,内存 1280 TB,操作系统是基于 Linux 的 RaiseOS 2.0.5。 Top 500 中,美国 有 169 台,中国有 160 台,之后是日本 33 台,德国 28 台,法国和英国各有 17 台。464 台超算使用了英特尔的处理器,21 台超算使用了 IBM Power 处理器,使用 AMD 处理器的只有 6 台。惠普企业(HPE)制造的超算最多共 143 台,其次是联想的 85 台,克雷的 57 台,曙光的 46 台,IBM 的 27 台。 稿源:solidot奇客,封面源自网络  

GOP 数据公司意外泄漏近 2 亿美国选民个人资料

在共和国国家委员会签订的营销公司在一个可公开访问的亚马逊服务器上存储内部文件之后,本月份泄漏了超过 1.98 亿美国公民的政治数据。数据泄露包含大约 61% 的美国人大量个人信息。除了家庭地址,出生日期和电话号码之外,这些记录还包括政治团体采用的先进情绪分析来预测个人选民如何处理热门问题,如枪支所有权,干细胞研究和堕胎权,以及宗教信仰和种族。 Deep Root Analytics是一个保守的数据公司,用于确定政治广告的受众群体。UpGuard 网络风险分析师 Chris Vickery 上周在线发现了这些数据。超过 1TB 的存储在云服务器上,无需保护密码,任何人可以访问,这引起了重大的隐私问题,这对有恶意目的的人来说是有价值的。 根据联邦选举委员会的报告,RNC 根据联邦选举委员会的报告,支付了 Deep Root Analytics 983,000 美元,但其服务器包含来自各种其他保守方面的记录,其中包括数据信托(也称为 GOP 数据信托),共和党的主要投票者文件提供者。根据OpenSecrets.org 的数据,Deep Root Analytics 在 2016 年期间从 RNC 收到了 670 万美元,而其总裁 Johnny DeStefano 则担任特朗普的总统人事总监。 稿源:cnBeta,封面源自网络

质检总局:智能摄像头抽检八成存隐患,或致视频泄露

6 月 18 日,国家质检总局官网发布关于智能摄像头的质量安全风险警示声明,指出在已检测的 40 批次中,32 批次样品存在质量安全隐患,可能导致用户监控视频被泄露,或智能摄像头被恶意控制等危害。 智能摄像头,是指不需要电脑连接,直接使用 Wi-Fi 联网,配有移动应用,可以远程随时随地查看家里的一切,与家人语音通话,还支持视频分享、远程操作监控视角、报警等功能的一类产品的总称。 据央视新闻报道,破解智能摄像头的密码,侵入相关系统,偷看或直播智能摄像头监控内容,已经成为一条非法产业链。质检总局的风险提示,智能摄像头可能存在终端安全、后端信息系统安全、数据传输安全、移动应用安全等质量安全隐患,若消费者使用不当或超预期使用,容易导致个人隐私信息泄露、财产损失等危害。 质检总局产品质量监督司组织开展了智能摄像头质量安全风险监测,其主要依据 GB/T 22239-2008《信息安全技术 信息系统安全等级保护基本要求》等标准要求,并对操作系统的更新、恶意代码防护、身份鉴别、弱口令校验、访问控制、信息泄露、数据传输使用安全有效加密、本地存储数据保护等项目进行了检测。 质检总局提示广大消费者,在选购和使用智能摄像头产品时,要注意以下几点: 1、选择正规渠道购买智能摄像头产品,切勿购买“三无”产品,注意留意权威部门发布的相关产品质量信息。 2、增强隐私信息保护意识,在购买、使用智能摄像头产品和接受相关服务时,仔细查看相关说明和厂商声明,充分了解选购产品和服务的各项功能,注意和防范用户信息可能泄漏的风险,审慎考虑厂商收集、保存和使用用户信息的要求,根据自我实际情况和意愿作出购买和选择决定。 3、使用时,应及时主动修改智能摄像头默认密码,密码设置应有一定的复杂度并定期修改。 4、及时更新智能摄像头操作系统版本和相关的移动应用,发现异常应立即停止使用,并向生产厂商反馈,等待厂商修复。 稿源:cnBeta,封面源自网络

欧洲议会支持端对端加密,保障公民基本隐私

欧洲议会公民自由委员会公布了一项草案,支持对所有通信进行端对端加密,以保护欧盟公民的基本隐私权。此外,委员会还提议禁止加密后门。 欧洲议会委员会对端对端加密的支持与最近一段时间英国等政府对端对端加密的反对和削弱加密或植入后门的提议形成了鲜明对比。欧盟权利宪第 7 条规定欧盟公民有个人隐私权以及家庭生活和家庭的隐私权,个人之间通讯隐私也是隐私权的一个重要组成部分。如果新的隐私和电子通信法规获得通过,将能显著加强欧盟公民的通讯隐私,未来欧洲政府将无法轻易的向后退。 稿源:solidot奇客,封面源自网络