内容转载

= ̄ω ̄= 内容转载

美国国会立法:强制科技公司披露旗下软件被审查事项

新浪科技讯 北京时间 8 月 2 日上午消息,美国国会正向总统唐纳德·特朗普提出一项立法,即要求科技公司披露其是否允许其它国家检查出售给美国军方的软件内部运作情况。 该立法为五角大楼支出法案的一部分。去年路透社一名调查人员发现软件制造商允许俄罗斯国防机构寻找一些美国政府机构(包括五角大楼和情报机构等)所使用的软件中的漏洞。这件事发生之后,政府即起草了该法案。 法案的最终版本上周通过众议院批准后又于周三以 87-10 的投票获得参议院的通过。特朗普签字后这项支出法案即可生效。一旦生效,这项法律将强制美国和国外的科技公司向五角大楼披露相关信息,即他们是否允许网络对手(如俄罗斯等)调查出售给美国军方的软件。 公司将被要求解决国外源代码审查所带来的任何安全风险,直至五角大楼满意,否则将失去合同。 安全专家表示允许俄罗斯当局调查软件的内部运作情况,即源代码,可以帮助莫斯科方面发现他们可以加以利用来攻击美国政府系统的漏洞。 新的法规由新罕布什尔州民主党参议院珍妮·沙辛(Jeanne Shaheen)起草。“这一强制披露只是个开头,也是减少联邦并购过程中的关键安全漏洞的必要一步,”沙辛在邮件中写道。“国防部和其他联邦机构必须了解国外源代码的风险暴露以及其他可能使我们国家安全系统易受攻击的风险性商业行为。” 该立法还创建了一个可允许其他政府机构进行搜索的数据库,其中罗列了受其它国家检查且五角大楼认为存在网络安全风险的软件。 法律规定公开记录请求可以搜索该数据库,对一个可能涵盖公司机密的系统来说这个做法很不寻常。 行业组织软件联盟的政策高级主管汤米·罗斯(Tommy Ross)称,软件公司十分担心这样的立法可能迫使公司在美国和国外市场之间做出选择。他说,“我们观察这样一个全球担忧趋势,关注网络威胁的公司普遍认为减少风险的最佳操作就是减少海外市场。” 一名五角大楼女发言人拒绝予以置评。 路透社去年的调查发现,为了进入俄罗斯市场,包括惠普、SAP 和迈克菲在内的科技公司都允许俄罗斯国防机构搜索软件源代码查找漏洞。而在大多数情况下,这些软件公司并未通知美国机构相关事项。另外,在多数情况下,采购专家表示,美国军方在采购软件之前并不要求类似的源代码审查。 迈克菲去年宣布公司不再允许政府审核源代码。惠普也表示目前没有软件需要走这一流程。SAP 未对该立法作出评论回应。惠普和迈克菲拒绝进一步评论。       稿源:新浪科技,封面源自网络;

遭黑客入侵 美社交新闻网站 Reddit 数据再泄露

新浪科技讯 北京时间 8 月 2 日早间消息,美国社交新闻网站 Reddit 周三宣布,该公司的几个系统遭到黑客入侵,导致一些用户数据被盗,其中包括用户目前使用的电子邮箱以及 2007 年的一份包含旧加密密码的数据库备份。 Reddit 称,黑客获取了旧数据库备份的一个副本,其中包含了早期 Reddit 用户数据,时间跨度从 2005 年该网站成立到 2007 年 5 月。 “虽然这是一次严重的攻击,但攻击者并没有获得 Reddit 系统的写入权限。他们获得的是部分系统的只读权限,其中包含了备份数据、源代码和其他日志。” Reddit 创始工程师克里斯多夫·斯洛维(Christopher Slowe)写道。 斯洛维表示,Reddit 今年 6 月 19 日发现,攻击者在 6 月 14 日至 6 月 18 日期间入侵了该公司几名员工的帐号。 Reddit 表示,此次攻击是通过拦截员工的短信实现的,该短信中包含了一次性登录码。该公司还补充道,他们已经将此事通知受影响的用户。 斯洛维表示,该公司大约在 3 个月前聘请了第一位安全主管,“他目前还没有退出。”     稿源:新浪科技,封面源自网络;

三名乌克兰黑客因盗取美国 1500 万张信用卡记录被捕

据外媒报道,三名乌克兰公民近日因参与一项针对 100 多家美国企业的长期网络攻击行动而被捕。根据起诉书了解到,该团伙在过去总共从 6500 多个销售点终端盗取了超 1500 万张信用卡记录。据安全研究人员介绍,这个叫做 Carbanak 的团伙利用社交工程和网络钓鱼攻击渗入到企业并从中盗取金融数据。 最初的感染主要通过恶意软件诸如电子邮件附件或有时候假装丢失酒店预订信息或 SEC (美证券交易委员会)投诉文件展开。 在一次网络攻击中,该组织冒充 FDA (食品与药物管理局)的食品安全与应用营养中心,向目标企业发出了一封通报一起食品中毒事件的邮件。邮件写道:“你可以在列表附件中找到针对你家餐厅将展开的调查和检查时间。”实际上,这个附件是一个恶意软件。 现在,Dmytro Fedorov、Fedir Hladyr、Andrii Kolpakov被控犯有阴谋罪、电信欺诈罪、计算机黑客罪、访问设备欺诈罪、严重身份盗窃罪等 26 项罪名。起诉书指出,这些人建立了一个虚假的安全公司以此来掩护他们的黑客行为。据悉,针对这 3 人的逮捕行动则是在德国、波兰以及西班牙与乌克兰当局的合作下展开,眼下他们当中还有 2 人仍在等待引渡。 实际上这并非第一个与 Carbanak 网络攻击行动有关人员的逮捕行动,今年 3 月,西班牙国家警察宣布他们已经逮捕了该组织策划者 Denis K。     稿源:cnBeta.COM,封面源自网络;

惠普将向黑客支付高达 1 万美元赏金以寻找其打印机漏洞

周二,惠普宣布了第一个专门针对其打印机的 bug 赏金计划,为能够在其机器上发现漏洞的黑客提供高达1万美元的奖励。Bug 赏金是公司发现安全漏洞的常见方式,对于严重漏洞酬金支付可高达 10 万美元。在恶意使用漏洞之前,黑客已经能够在大公司获得一个全职工作来软件并报告错误。像谷歌和 Facebook 这样的公司已经将漏洞奖金作为加强其产品安全性的一种方式。 惠普在5月份悄然启动了计划,有 34 名研究人员报名参加。该公司负责打印机安全的首席技术专家 Shivaun Albright 上周接受采访时说,它已经向一名发现其打印机存在严重缺陷的黑客支付了 1 万美元。她说,由于物联网设备的漏洞,该公司专注于打印机安全性。 Albright 说,虽然人们非常关注连接设备及其安全漏洞,但它通常用于网络摄像头,智能电视或灯泡,而不是打印机。惠普技术专家指出,打印机可能是人们拥有的最古老,最常见的物联网设备。它们已经存在了很长一段时间,甚至在“物联网“一词出现之前,问题是,为什么客户不将打印机视为物联网? 2016 年,Mirai 僵尸网络 – 一个庞大的黑客攻击设备网络,曾经在网上造成严重破坏 – 导致网络中断,导致 Twitter,Netflix 和 Reddit 等热门网站遭遇破坏。 Albright 说,僵尸网络使用黑客入侵的物联网设备,如网络摄像头和 DVR,但打印机也是这种组合的一部分。 HP 的 bug 赏金计划将通过 Bugcrowd 运行,这是一个促进支付和邀请的平台。该程序目前是私有的,邀请研究人员加入。奥尔布赖特表示惠普有意将其公开,但目前仍在关闭状态以更好地管理发现的漏洞。受邀研究人员可以从他们家里的电脑上远程访问 15 台打印机,这些打印机在惠普的办公室中被隔离,他们可以窥探这些打印机,找到隐藏的漏洞。Albright 表示,对于 1 万美元的支付,研究人员必须找到严重的缺陷,例如远程代码执行,这将允许攻击者完全控制打印机。如果他们发现并报告任何缺陷,HP 将支付他们的发现费用,然后在下次更新时开始修复。   稿源:cnBeta.COM,封面源自网络;

美国土安全局成立国家风险管理中心:旨在帮助私营企业免遭网络攻击

据外媒报道,美国国土安全局(DHS)想要阻止下一个NotPetya。当地时间周二,该部门宣布成立国家风险管理中心,该中心将致力于协助私营企业避免遭受以及应对来自世界各地的网络攻击。重点是保护黑客攻击的重要基础设施。今年3月份的时候,DHS曾发出警告称,俄罗斯黑客一直在窥探着美国电网。 今年早些时候,美国官方指出,虽然2017年的NotPetya勒索软件网络攻击发生在乌克兰,但它却是有史以来最具破坏力的网络攻击,它给美国和欧洲国家造成了数十亿美元的损失。而在NotPety勒索软件出现前一个,WannaCry勒索软件攻击席卷全球,使许多医院、学校、机场被迫停止数字操作。 据悉,DHS部长Kirstjen Nielsen在纽约举办的网络安全峰会上宣布了成立国家风险管理中心的消息。她表示,对一家科技公司的网络攻击可能会迅速演变成一场会影响到金融、能源以及医疗保健系统的危机。 这项合作将允许私营公司向DHS寻求帮助,同时还能通过正在进行的网络攻击信息来帮助DHS展开进一步的工作。另外,Nielsen指出,在某些情况下,网络攻击的受害者可以向当地警方求助,而这个全新的国家中心将作为一种资源为民众提供更多的帮助。   稿源:cnBeta.COM,封面源自网络;

印度拟设监管机构监管电商,要求谷歌 Facebook 等公司在本地存储数据

(原标题:India eyes single regulator for e-commerce sector: document)   网易科技讯 7月30日消息,据国外媒体报道,路透社看到的一份政策文件草案显示,印度正在考虑设立一个单独监管机构并进行立法,以解决该国所有与电子商务相关的问题,消除目前监管该行业的法律不成体系现象。 这份政策文件即《国家政策框架草案》中提出的一些措施包括:本地数据存储、强制使用国内用卡支付网络Rupay进行网上交易,以及推动微型、小型和中型企业提供网上零售服务。 该文件还表示,印度还将采取措施,发展数据存储能力,并鼓励在印度国内存储数据。这份文件还称,将给予时间让电子商务行业“在本地化成为强制性要求之前进行调整”。 该政策草案表示,“在遵守隐私、许可等相关规定情况下,印度政府将有权让数据存储在印度国内,以实现国家安全和公共政策目标。” 该文件表示,印度反垄断监管机构将考虑改变外资投资的进入规则,以便对可能扭曲竞争的电子商务市场的并购行为进行强制审查。 Flipkart是印度重要电子商务公司之一。美国零售巨头沃尔玛(Walmart)、电商巨头亚马逊旗下印度子公司,以及由日本软银(SoftBank)支持的Snapdeal,目前正在展开对Flipkart的收购。(天门山)   稿源:网易科技,封面源自网络;

恶意网站忽悠 iOS 用户拨打假冒的 Apple Care 客服电话

来自印度的“技术支持诈骗”,最近又被发现玩出了新花样 —— 因为诈骗者会向苹果用户发去网络钓鱼电子邮件、将之忽悠到虚假的苹果网站、然后拨打所谓的 Apple Care 客服电话。由于普通用户难以了解网络钓鱼的复杂性和网页的格式,导致其很容易错误地相信自己的设备已经“因为非法活动而被苹果官方给锁定”。在受害者打去电话之后,诈骗者就会沿用老套路来索取钱财。 技术支持诈骗的花样又翻新 近年来,由于移动互联网和智能手机的兴起,“技术支持诈骗者”开始将目光瞄向了移动领域。因为很多人的生活都与移动设备紧密相连,所以这些目标成为了“新的肥肉”。 移动安全服务提供商 Lookout 的威胁情报研究院 Jeremy Richards 表示: 人们在使用移动设备时更加分心,且对其更加地信任,因此针对移动设备的网络钓鱼攻击的成功可能性更大。 与苹果 iCloud 服务相关的电子邮件地址,很容易受到这种类型的钓鱼诈骗。安全研究员试图拨打页面上提示的“客服电话”,接听通话的人自称是“来自 Apple Care 的 Lance Roger”。 根据套路剧本,用户会先收到一封标题惊悚的邮件,比如“[xxx]用户,您的账号 xxxx 有严重的警告”。其极力模仿了官方的格式,但明眼人总会发现有些不大自然。 举个例子,这封欺诈邮件可能警告称 —— 您账户(电子邮件地址)的登录尝试已被阻止,有人刚刚尝试用您的密码登录您的个人资料。 不过在点击了下方的‘检查活动’按钮之后,就会被跳转到印度某地的诈骗上。 该页面利用 JavaScript 混淆代码,将受害者重定向至另一个网站。而后该网站再次跳转到 applesecurityrisks.xyz —— 一个虚假的 Apple Care 支持页面。 更可恶的是,它会利用‘tel’事件来激活拨号。用户点击后,即尝试在 iOS 设备上发起 FaceTime 通话。 屏幕上的动画对话框,会催促受害者确认发起通话,毕竟他们的设备已经“因为非法活动而被锁定”。但实际上,网站脚本会通过浏览器的 UA,来判断用户的设备类型: window.defaultText=’Your |%model%| has been locked due to detected illegal activity! Immediately call Apple Support to unlock it!’; 万幸的是,安全研究人员已经将钓鱼欺诈网站的技术细节传递给了苹果安全团队成员。尽管该恶意网站仍处于活跃状态,但谷歌和苹果都已经将它标记为“欺诈”。   稿源:cnBeta,封面源自网络;

智利 1.4 万信用卡资料被黑客组织盗取

【环球网综合报道】据新加坡《联合早报》 26 日报道,智利政府周三 (25日) 晚透露,黑客盗取了智利约 1.4 万张信用卡的资料,并将这些资料公布在社交媒体上。 报道称,在这起案件中,黑客公布了信用卡卡号、有效期限及安全码,受攻击影响的银行包括桑坦德银行 (Santander)、伊塔乌银行 (Itau)、丰业银行 (Scotiabank) 和智利银行 (Banco de Chile),这些银行已通知客户遭入侵一事。 报道称,智利政府并未透露此次信用卡资料被盗事件可能造成的损失。 智利政府的银行监管机构表示,这起袭击行动是黑客组织“影子经纪人” (Shadow Brokers) 展开的,该组织因入侵美国国家安全局 (NSA) 而闻名。 今年 6 月,智利银行曾透露,黑客盗取了该银行 1000 万美元 (约 1360 万新元)。智利银行当时说,黑客是从东欧或亚洲发动袭击,部分遭盗窃的款项最后被汇到香港。     稿源:环球网,封面源自网络;    

谷歌更新 Play 应用市场开发者审查政策 明确禁止挖矿应用上架

谷歌今日对旗下 Play Store 应用市场的开发者政策进行了更新,禁止了更多种类的应用发行上架,包括进行加密币挖矿、包含“破坏性”广告等应用,但通过远程控制其它设备进行挖矿的应用仍被允许上架。前段时间苹果更新开发者审核指南,明确禁止了挖矿应用。 此外政策更新还限制了重复模仿性的应用(Repetitive Apps),指那些模仿已有应用提供同样功能体验的 APP,这些 APP 完全重复其它应用的内容,不增加任何独特的或新的功能,还可以包括由自动生成工具、向导服务、或者基于模板的应用等。 此外,政策更新还限制了与武器或者武器配件相关的应用,为爆炸物、火器、弹药或者武器配件提供销售的应用将会被封禁;表面看上去面向儿童的应用,却提供成人主题的应用也在禁止名单中。     稿源:cnBeta.COM,封面源自网络;  

谷歌推双重认证安全密匙硬件产品 Titan

据外媒报道,昨日,谷歌公布了一项惊人的统计数据,这家公司指出,自 2017 年年初开始,其 8.5 万名职工的工作账号未曾遭到过泄露。作为一家全球性的互联网巨头公司,按理说它会是钓鱼攻击的主要目标之一,那这家公司究竟是如何做到这点的呢? 这是因为谷歌开始要求其员工使用硬件安全密匙进行双重身份认证。 如今,双重认证已经变得非常普遍,但并非所有方法都是一样安全的。像基于 SMS 的双重认证,其肯定比只使用密码保护账号更安全,但它却存在漏洞。而物理密匙现在则被广泛认为是一种更加安全的双重认证,谷歌于昨日提出的主张就支持了这一观点。 对此,当看到谷歌开始涉足安全密匙业务领域也就不足为奇了。今日,这家公司发布了一款叫做 Titan 的新产品,这是一款兼容 FIDO 的物理密匙,它可用来保护支持该硬件的账号。眼下,来自世界各地的大型网站都已经支持通过安全密匙进行双重认证的方式,包括 Facebook、Twitter。 据了解,Titan 将有两个版本:USB 版和蓝牙版。USB 版,很显然需要将设备插到电脑的 USB 端口展开认证,而蓝牙版则用于移动设备的无线认证。获悉,两款密匙设备的套装价将在 50 美元左右,单独购买的话售价大概是 20 美元或 25 美元。 目前,Titan 只适用于 Google Cloud 用户–他们可以在注册后免费试用–但谷歌表示,他们将很快通过 Google Store 向所有人提供这项服务。   稿源:cnBeta.COM,封面源自网络;