内容转载

= ̄ω ̄= 内容转载

31 家组织联署发表公开信函:呼吁公共资金资助开发的软件必须公开源代码

据外媒报道,31 家组织近期联署发表公开信函《 Public Money  Public Code 》,呼吁议员立法要求使用公共资金为公共部门开发的软件必须在自由软件许可证下公开源代码。 署名的组织包括混沌计算机俱乐部、自由软件基金会欧洲分部、KDE、开放知识库基金会德国分部、openSUSE、开源商业联盟、开源促进会、The Document 基金会、维基媒体德国等。据悉,公开信欢迎个人和其它组织加入联署。 附:信函全文报告《 Public Money  Public Code 》 稿源:cnBeta、solidot奇客,封面源自网络;

RouteX 恶意软件:俄罗斯黑客利用 Netgear 路由器攻击财富 500 强企业

据外媒报道,安全研究人员近期发现一名俄罗斯黑客正通过恶意软件 RouteX 感染联网 Netgear 路由器后,针对财富 500 强企业展开网络攻击活动。 调查显示,该恶意软件劫持易受攻击的路由器后,会将其转变为 SOCKS 代理,然后展开 “ Credential Stuffing(证书填充)” 攻击。由于证书填充攻击会不断验证被盗密码有效性,因此攻击方式在自动化程度与暴力破解攻击上极其类似。不过,攻击者则是利用 RouteX 恶意软件通过 SSH 配置中的一处漏洞展开。据悉,该漏洞现存在于一些较老版本的 Netgear 路由器中。一旦遭受恶意软件感染,该路由器将会变成攻击者代理并限制其他攻击者访问。 此外,研究人员通过分析 RouteX 恶意软件的源代码发现了 10 个 C&C(命令和控制)的域名,其能够与攻击者过去使用的电子邮件匹配,从而找到黑客的线索。但当务之急,安全专家建议使用 Netgear 路由器的用户尽快升级设备,运行最新的固件版本,以防止攻击者的进一步动作。 稿源:新浪科技、中关村在线,封面源自网络;

Facebook 已将相关证据移交至俄罗斯干预美大选调查特别检察官

两周前,Facebook 表示正在深入挖掘俄罗斯可能干预美国总统大选的可能性。该家公司表示,他们曾在美国大选期间向与俄罗斯存有关联的账号销售过价值 10 万美元的广告。虽然这些账号并未将发布的信息跟当时的总统竞选人唐纳德·特朗普、希拉里·克林顿联系在一起,但它们却发布了 LGBT 问题、移民问题、枪支问题等热门政治话题。 现在,Facebook 已将与该事件相关的证据移交给了俄罗斯干预美总统大选调查特别检察官穆勒(Robert Muellerr)。当然,穆勒及其团队是在持有搜查令的基础上从 Facebook 那里获取证据。据消息源透露,Facebook 交出的信息包括了与俄罗斯关联网络水军投放的广告及相关信息、关联账号详细资料以及广告定位的美国 Facebook 用户。 这些信息将很有可能帮助穆勒的办公室查明投放这些广告背后的幕后黑手以及广告是如何对 2016 年大选产生影响的。据了解,Facebook 上周之所以没有在与参议院和众议院情报委员会会面时将投放广告分享给后者,是因为这么做将会违反公司的隐私政策。按照联邦《储存通信法案》,Facebook 只能在有搜查令的情况下才能将账号内容交给对方。 稿源:cnBeta,封面源自网络;

科研人员发文质疑:苹果隐私数据保护技术不足保护用户信息

美国南加州大学、印第安纳大学和清华大学的五名研究人员近期共同发表一项研究报告,表明苹果使用的 “ 差分隐私 ” 技术在收集数据时,并不足以保护个人信息。 “ 差分隐私 ” 技术是一种将随机噪声嵌入到数据中的方法。结果显示,苹果的 “ 隐私损失参数 ” 仍允许过多的特定数据泄露。 据称,macOS 和 iOS 10 两个平台都存在问题,但人们认为后者问题更大。另一个令人担忧的问题是,苹果保留了它的丢失参数——也被称为 “epsilon – secret”,这意味着该公司可以在没有任何外界审查的情况下改变它。南加州大学教授 Aleksandra Korolova 说:“苹果的隐私损失参数超出了差异隐私研究社区通常认为可以接受的水平。” 调查显示,macOS 的 epsilon 值为 6 分,而 iOS 10 则是 14。相比之下,谷歌声称 Chrome 的差别隐私保护系统在大多数情况下是 0.5,终身最高的上限是 8 到 9。此外,谷歌还开源了相关代码,这使得谷歌可以进行双重检查。不过,作为对这项研究的回应,苹果公司表示,它不同意很多观点,比如在多大程度上可以将数据与特定的人联系起来。 目前,该公司坚持认为,它根据数据的类型来改变噪声,而且研究人员简单地将所有类型的 epsilons 结合在一起,并假设它可以被拼接在一起。此外,它还指出了一些政策,比如数据存储的时间限制、对 IP 地址的拒绝,以及进行收集选择的决定——指的是安装和设置屏幕,人们可以选择是否共享使用和诊断信息。近期,研究人员发现 ios11 测试版的 epsilon 为 43,但这很可能是由于在 9 月 19 日软件发布前进行的常规测试,旨在清除漏洞。 稿源:cnBeta、威锋网,封面源自网络;

美国加州网络隐私提案尚未投票就已出局

据外媒报道,美国加州立法者试图通过一项法案,旨在恢复被国会和 FCC 否决的网络隐私规定。然而,这个于今年 6 月提出的法案甚至连投票的日子都没等到就已被宣判出局。9 月 15 日为美国 2017 年立法会议的最后一天,然而在这一天到来之前,该提案就已经被搁置 “不活跃文件 ” 中, 这意味着它连接受投票的资格都没有。 这一结果并未让人觉得太过意外,因为加州虽然看起来极有可能通过立法制定更加严格的网络隐私规则,但反对者却有多个机会扼杀掉它,比如它必须要在 3 个不同委员会得到通过才行。此外,该法案不仅要求加州网络服务供应商在将客户的信息展示给销售或第三方之前需得到用户的许可才行;它还要求网络供应商采取 “ 合理的安全程序 ” 保护客户信息。这跟 FCC 在 2016 年通过的一项法案非常相似,不过看起来它也因为同样的原因失败。当时,互联网供应商以及一些互联网公司派出说客展开了高强度的游说活动。 显然,包括 Comcast、Verizon、AT&T 在内的互联网供应商反对这项立法,因为它们想要通过其用户的浏览历史数据从广告商那里赚钱。另外,谷歌、Facebook 也对此提出了反对意见,在它们看来,这种含糊不清的定义将给消费者和企业造成严重的影响。实际上,它们反对的部分原因则是害怕它们的业务最终也要接受被检查的命运。虽然加州的这项提案现在失败了,但它仍旧有可能在明年卷土重来。 稿源:cnBeta,封面源自网络;

海盗湾于后台运行比特币矿工程序,增加用户 CPU 使用率

著名 BT 盗版网站海盗湾是电影制片人、音乐制作人和软件创作者的噩梦,但现在海盗湾发生了有趣的变化,让喜欢下载盗版的用户感到非常失望。因为海盗湾在其网站上添加了一个由 Coinhive 提供的 Javascript 比特币挖掘脚本,即采用加密方式注入到访问海盗湾的用户电脑当中进行挖掘比特币计算,部分用户已注意到他们电脑上的资源使用增加。 这个问题是一个非常新的问题,这些用户 9 月 15 日晚些时候开始注意到电脑 CPU 峰值异常变化。在 Reddit 论坛上,有用户就表示,访问海盗湾之后处理器所有 8 个线程 100% 满负荷运行。部分专家表示,在海盗湾自己改邪归正之前,用户只能通过禁用 javascript 免受侵害。阻止/禁用 JavaScript 将以多种方式损害用户访问其它网站各项功能,包括评论将不起作用,无法发表评论,无法查看文件列表等。因此不要访问海盗湾网站是最好的做法。 稿源:cnBeta,封面源自网络;

Equifax 发生大规模数据泄露后,两名负责信息与安全的高管宣布离职

据外媒报道,在美国信贷机构 Equifax 发生大规模数据泄露致使 1.43 亿美国民众信息遭盗取后, 该公司两名负责信息和安全的高管宣布将离开。Equifax 本周五在新闻稿中宣布,Equifax 首席信息官 Susan Mauldin 和首席信息官 David Webb 将离职。 Equifax 在一份声明中表示:“Equifax 对这一事件的内部调查仍在进行当中,公司将继续与联邦调查局密切合作 ”。Equifax 在 9 月 7 日对外宣布数据遭泄露的消息,引起消费者利益维护者和立法者的愤慨,他们要求该公司对这一事件作出解释。此外,美国参议员 Elizabeth Warren 在同一天提出一项法案,防止信用评级机构向消费者收取信用冻结费。 Equifax 此前表示,该公司相信黑客通过 Apache Struts 软件漏洞入侵其系统。这个漏洞的补丁是在 3 月份提供的,而 Equifax 则表示其在五月份遭遇黑客攻击,引起批评者质疑 Equifax 是否及时修复软件漏洞。Equifax 目前还未澄清当数据被盗时是否修复这一漏洞。 稿源:cnBeta,封面源自网络;

美政府力怼卡巴斯基:业内安全专家意料之中

安全专家表示,美国国土安全部禁止联邦机构和部门采用俄罗斯网络安全企业卡巴斯基实验室产品的决定并没有出乎大家的意料。有官员称,该企业对美国国家安全存在威胁,相关政府机构和部门有 90 天清理卡巴斯基实验室的产品。美国国土安全部宣称:“ 我部担心某些卡巴斯基高层与俄罗斯情报及其它政府机构有联系,根据该国的法律,俄情报机构可以请求或勒令其提供帮助,比如拦截网络通信 ”。 尤金·卡巴斯基对美政府 ‘ 未审先判 ’ 的决定表示遗憾。 美国土安全官员在 13 日的一份声明中提到了 ‘ 绑定操作指令 ’: 无论自己动手、或与卡巴斯基合作,俄罗斯政府都是一个风险。他们可以利用卡巴斯基产品危害联邦信息、或者直接访问那些牵涉美国国家安全的信息系统。 尽管卡巴斯基驳斥了这一指控,但安全专家却在接受福克斯新闻采访时表示,他们对国土安全部的举动并不感到意外。安全咨询公司 TrustedSec 的 Alex Hamerstone 在邮件中称: 美国政府有责任保护好自己的信息,我们可以假设该决定基于慎重的考虑和线索,只是无法将其公之于众。虽然我未能洞察俄政府与卡巴斯基之间的往来,但过去几年,我们总能不时听到 ‘ 某家美国企业与政府情报机构合作 ’ 的消息,那为何这在其它国家就无法发生呢? Tinfoil Security 联合创始人 Michael Borohovski 亦表示: 美国政府已经盯着卡巴斯基好几年了,这一公告对任何人来说都不奇怪。实际上,总务管理局早在 7 月份就将卡巴斯基从预审核供应商列表移除。美方对其它公司也表达过类似的担忧,比如中国电信厂商华为,其当前处于被禁止进入美国网络设备市场的状态(即便如此,华为仍可在美国消费级市场销售手机)。 对于 DHS 的这一决定,Shaheen 在 Twitter 上表示值得称赞。 美国国防部全国防护及计划署向福克斯新闻表示,目前还有数据表明卡巴斯基软件访问了多少美国政府的哪些内容。作为指令的一部分,DHS 下令各机构必须在未来 30 天内确定其信息系统上使用的任何卡巴斯基产品,并且制定在未来 60 天内将相关软件移除的详细计划。简而言之,除非 DHS 有了新的信息,否则从指令开始之日算起,有关机构和部门只有最后 90 天时间来停止使用卡巴斯基实验室的产品。 该指令暗示,美国政府掌握了这家知名反病毒企业与俄罗斯情报机构有着密切联系的线索。此外,参议员 Jeanne Shaheen(D-N.H)也一直在极力阻止联邦政府使用该公司产品。在本月早些时候的一篇《纽约时报》专栏文章中,Shaheen 警告该公司对美国国家安全构成了威胁。 TrustedSec 的 Hamerstone 表示,DHS 此举将对业界产生大范围的影响: 对美国政府来说,这是一个艰难做出的决定,但它也会对使用卡巴斯基产品服务的企业产生重大影响。现在有许多企业感觉他们必须遍历系统、卸载卡巴斯基的反病毒软件、并对相关风险进行评估。 稿源:cnBeta,封面源自网络;

Google 停止反对美国政府搜查海外服务器数据

Google 悄悄停止反对美国法官搜查海外服务器数据要求。据悉,微软第一个站出来就美国对海外服务器上所储存数据的搜查要求发起挑战,去年联邦第二巡回上诉法院做出有利于微软的裁决。此后, Google 等服务商也开始挑战美国对海外数据的搜索令,但其它法庭并未站在它们这边。 今年 2 月哥伦比亚特区联邦法官命令 Google 提供储存在境外的客户邮件。美国司法部在一份给最高法院的文件中指出,Google 如今已经改变原先立场,愿意遵守对海外数据的搜查要求。 稿源:solidot奇客,封面源自网络;

落实网络安全法案,推送个人信息保护条款

9 月 14 日起,网民在登陆微信、淘宝、微博、高德地图等客户端时,陆续收到平台推送的个人信息保护政策,点击 “ 同意 ” 后才能继续使用。在 2017 年国家网络安全宣传周开幕前夕,互联网公司积极落实《网络安全法》规定,更新个人信息保护政策,不断加强对用户个人信息的保护。 2017 年 6 月 1日,《网络安全法》正式实施。互联网公司对个人信息保护政策的修订,正是积极响应《网络安全法》关于网络信息安全的相关规定,落实中央网信办、工信部、公安部、国家标准委等四部门 “ 个人信息保护提升行动 ” 的要求。以微博为例,修订后的个人信息保护政策,在信息收集、信息保护、安全措施等方面均增加了较大篇幅,力求全方位保护用户个人信息,扩大个人信息保护政策的覆盖范围。为保证新政及时为用户所了解,用户安装或升级微博客户端后,首次登陆都会收到推送信息,选择“同意”才能继续使用微博。 微博推送修订后的《微博个人信息保护政策》 2017 年国家网络安全宣传周 9 月 16 日在上海开幕。今年的网络安全宣传周以 “ 网络安全为人民,网络安全靠人民” 为主题,将持续到 9 月 24 日。中央网信办网络安全协调局主要负责人表示,提升个人信息保护的隐私条款专项工作,是贯彻网络安全法的重要举措之一。在提升个人信息保护工作中,要处理好保护和利用的关系,找好平衡点,既要保护个人信息的安全,又要利用好信息为8亿网民乃至14亿人民提供更好的服务,维护人民利益。 稿源:cnBeta、新浪科技,封面源自网络;