分类: 今日推送

硅谷风向转变:科技巨头逐渐向美国政府妥协

为适应美国政府突转的政治风向,包括谷歌和 Facebook 在内的互联网巨头正在一些重要政策问题上逐渐妥协。就在上周,美国参议院计划推进一项立法,从一定程度上剥夺互联网行业的重要法律保护伞——那是一部 1996 年制定的法律,可以帮助互联网公司避免因为用户活动而承担责任。 与此同时,就在 Facebook 本月宣布暂停 2016 年大选期间在其平台上购买的价值 10 万美元不良广告的俄罗斯帐号后,民主党参议员也在起草新的立法,制定新在线政治广告披露制度。美国联邦选举委员会考虑让 Facebook 和其他科技公司出席公开听证会。虽然市场地位日渐膨胀的互联网公司在欧洲遭遇了各种新规的打压,但他们在美国几乎得以免于各种形式的政府监管。例如,亚马逊控制了美国电子商务领域超过三分之一的份额,而谷歌和 Facebook 也合计控制了美国数字广告市场超过 60% 的份额。 从诞生伊始,互联网公司便一直在呼吁美国两党的政客们把他们视作一个需要获得特殊保护的新兴领域。这些公司奥巴马政府之间的关系尤其紧密,谷歌甚至吸收了几位奥巴马时期的高官。但一些民主党人仍对俄罗斯干预 2016 年大选耿耿于怀,他们现在开始对互联网行业强大势力发出警告。共和党方面,美国总统特朗普在很多次公开演讲中都对科技行业表达了敌意。谷歌和 Facebook 曾经多次因为自由主义偏见和全球主义观点而遭到右派攻击。 知情人士透露,为避免遭受监管,互联网公司现开始放弃最初的立场。硅谷游说人士和两党国会助手都迅速出面缓和关于全面加大监管力度的相关讨论,部分原因在于有能力对科技行业采取行动的政府机构美国联邦贸易委员会(FTC)仍面临人手严重不足的窘境。 Facebook CEO 马克·扎克伯格上周四表示,该公司将第一次让所有人都能看到政治广告在 Facebook 上的运行细节。现有法律并不强制 Facebook 披露广告的出资人,这一点与电视广告有所不冉。这种透明度恰恰符合针对在线政治广告起草的立法提案中的关键条款。该公司还表示,他们将会把可能是俄罗斯实体在 2016 年美国总统大选期间购买的广告,提交给国会调查人员。 稿源:cnBeta、新浪科技,内容有删减;封面源自网络。

研究人员通过电源管理漏洞成功入侵 ARM TrustZone 处理器

据外媒报道,研究人员近期向公众演示了通过电源管理漏洞入侵 ARM TrustZone 处理器的操作,把 TrustZone 变得不那么令人信任。调查显示,如今多数 CPU 都支持动态电压频率调整,根据 CPU 是空闲或忙碌来动态调整 CPU 的电压和频率。研究人员发现,他们可以通过调大调小一个线程的电压翻转另一个线程的比特。 当第二个线程正被 TrustZone 密钥翻转比特时,研究人员就可以从此处获得权限。他们将这种新型硬件故障攻击称为 CLKSCREW 攻击。研究人员表示,它是硬件漏洞,存在于电源管理设计的基础部分,所以很难简单的修复。 稿源:solidot奇客,封面源自网络;

中国银联正式启动移动支付安全大调查

移动互联网时代,触手可及的移动支付面临着不少安全问题。在风险防控机制尚不完善的背景下,各类移动支付产品却在加速推出,从而成为不法分子的攻击重点。在业内人士看来,不管是哪种形式的诈骗,归根到底都是用户防范意识不够,致使不法分子有机可乘。 9 月 20 日,中国银联携手上海市公安局经侦总队、全国主要商业银行、支付机构等单位启动了移动支付安全大调查活动,旨在提升公众的金融知识和风险责任意识。据悉,调查从 9 月 20 日起到 11 月底,重点包括持卡人对移动支付业务的行为偏好、刻画出高低风险人群的特征、关注免密支付额度、验证方式中产生的问题、寻找便利和安全的平衡点以及关注持卡人保险配置和风险损失处理情况。持卡人可通过中国银联官方网站、官方微信、官方微博以及17家全国性商业银行、收单机构、腾讯手机管家等相关渠道参加调查,今年底将会公布调查结果。 上海市公安局经济犯罪侦查总队支队长周海峰表示,银行卡犯罪活动目前在上海呈现出互联网化和渠道多样化的特征,比如改装 POS 机,在 PO S机中加入盗码装置;甚至有的犯罪团伙去应聘当消费场所的收银员,在顾客刷卡过程中窃取卡片信息,这都需要持卡人自身提高警惕。据中国银联相关人士介绍,这次大调查活动就是要了解公众移动支付安全现状水平、评估消费者移动支付风险识别与处置能力,为改进支付产品体验、提升支付安全措施与普及安全教育提供数据决策依据。 中国银联在智能风控方面也在进行实践并建立了多套模型,比如在推广云闪付的过程中,出现了不法分子通过骗取持卡人交易密码、短信验证码等信息,将持卡人银行卡绑定在犯罪分子手机上进行盗刷。为此,中国银联使用随机森林、GBDT 等主流机器学习算法,建立云闪付绑卡欺诈评分模型。此外,在交易过程中,中银联还设立了一套欺诈交易侦测模型,即从设备指纹、持卡人标签、地理信息矩阵和外部数据等各种维度对当前交易进行分析,为实时欺诈交易侦测提供决策依据。 稿源:新浪科技、IT时报,封面源自网络;

欧洲推出网络新规,要求及时通知漏洞否则重罚

当美国正努力扭转史上最糟糕网络安全事故带来的恶劣影响时,欧洲正准备为企业打造一种新的规则,阻止类似于 Equifax 事件的网络安全事件发生,或者发生类似事件时让影响最小化。奥马巴政府时期的前网络安全协调官、网络威胁联盟的主席 Michael Daniel 称:“ 通常欧洲人很少怀疑他们的政府,而是更趋向于怀疑那些公司,在美国则是另外一种情况,这当然会对事件的发展造成一定的影响。” 欧洲新制定的这项规则被称为通用数据保护条例(GDPR),它将在明年 5 月份生效。GDPR 条例规定了公司存储用户数据的方式,并且要求它们在漏洞出现后的 72 小时内通知当局。如果公司不执行,它们将被罚款 4% 的全球税收或者 2 千万欧元,两者选取最高额。然而,拥有欧洲用户信息的所有美国公司也必须遵循这一规定。 全球安全公司 RSA 的董事长 Rohit Ghai 称:“这一新规为公司赋予了责任,让其了解它们应当如何管理消费者的数据并且关注用户隐私 ”。由于 Equifax 公司遭受的网络攻击致使 1.43 亿人的信息受到影响,美国是否需要建立某种规定的问题再一次被人们提出。网络威胁联盟主席 Daniel 声称:“ Equifax 就是一家主营数据管理的大公司,但是它的工作似乎做的让人并不满意。我们会希望拥有敏感数据的那些公司实现高标准的网络安全防护,但是我们并不清楚不同行业的关注标准。” 美国众议院的 James Langevin 在 2015 年引进了一项法案,呼吁公司在发现漏洞的 30 天内报告。除此之外,如果受影响人数超过 5000,公司应当通知消费者和主流媒体。Ghai 称:“在美国,在过去几年里已经形成了大量的管理重担,因此从商业环境的角度来说我们的管控太严了”。美国国土安全部前网络安全副部长,vArmour 公司首席网络专家 Mark Weatherford 称:“我宁愿看到市场主动行动,而不是借助规范强迫我们进行,因为那样总会出现意外结果。在美国我们拥有牛仔的历史和精神,我们想要自己做事,而不是依赖于硬性规定。但是我担心我们已经到了必须做出反应的时刻了,很明显我们做的并不足够。” 稿源:cnBeta,封面源自网络;

新型 IoT 僵尸网络 Linux.ProxyM 通过感染 Linux 设备发送钓鱼邮件、开展 DDoS 攻击活动

HackerNews.cc  9 月 22 日消息,网络安全公司 Doctor Web 研究人员近期发现黑客利用新型物联网( IoT )僵尸网络 Linux.ProxyM 肆意发送钓鱼邮件,旨在感染更多 Linux 设备、开展 DDoS 匿名攻击活动。 调查显示,该僵尸网络自 2017 年 5 月以来一直处于活跃状态,其感染 Linux.ProxyM 的设备数量已多达 1 万台左右。然而,值得注意的是,僵尸网络 Linux.ProxyM 所分发的恶意软件能够在任何 Linux 设备(包括路由器、机顶盒与其他设备)上运行、还可规避安全检测。 目前,安全专家针对基于 x86、MIPS、MIPSEL、PowerPC、ARM、Superh、Motorola 68000 与 SPARC 架构的设备识别出两款 Linux.ProxyM 木马。一旦 Linux.ProxyM 木马感染上述其中一台设备,它都能够连接至命令与控制(C&C)服务器,并下载两个互联网节点域名。如果用户在第一个节点提供登录凭证,那么跳转至第二个节点时将通过 C&C 服务器发送一个包含 SMTP 服务器地址命令,用于访问用户登录凭据、电子邮件地址和邮件内容。此外,相关数据显示,每台受感染的设备平均每天可以发送 400 封这样的钓鱼邮件。 研究人员表示,虽然尚不清楚受感染设备总计数量,也不了解黑客真正的攻击意图,但目前巴西、美国、俄罗斯、印度等国普遍受到影响。现今,由于物联网攻击活动一直都是网络犯罪分子的目标焦点,因此研究人员推测,黑客在未来还将继续扩展 Linux 木马所执行的功能范围,从而肆意开展 DDoS 攻击活动。 原作者:Pierluigi Paganini,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

因亚马逊 AWS S3 配置错误,逾 54 万汽车跟踪设备登录凭证在线暴露

据外媒报道,Kromtech 安全中心研究人员近期发现汽车追踪设备公司 SVR Tracking 因亚马逊 AWS S3 存储器配置不当,导致逾 54 万用户登录信息在线暴露,其中包括电子邮件地址、用户密码、车辆识别号码 VIN、GPS 设备的 IMEI 号码,以及有关车辆状态与维护跟踪记录数据的 339 份日志文件。 调查显示,SVR 密码是一款由美国国家安全局(NSA)20 年前设计的弱加密算法 SHA-1,因此黑客能够轻松破解并对其进行登录访问。有趣的是,暴露的数据库还包含在车辆中完全隐藏物理跟踪单元的信息。研究人员表示,由于多数经销商或客户的车辆均具有跟踪设备功能,因此在线暴露的设备总数可能要比调查数据多得多。 另外,由于 SVR 的汽车跟踪设备在过去 120 天内一直对车辆进行监控,因此任何能够访问 SVR 用户登录凭据的攻击者都可实时跟踪车辆,并使用互联网连接设备创建目标车辆在每个位置的详细日志,从而在汽车主人不在时进行偷窃或抢劫。目前,虽然 Kromtech 在警告公司 AWS S3 存储器配置不当后,SVR Tracking 当即对其进行了保护,但尚不清楚黑客是否已经访问泄露数据。 关联阅读: 美国媒体巨头 Viacom 因亚马逊存储器配置不当,致使大量内部数据在线泄露 美国媒体巨头 Viacom 因亚马逊存储器配置不当,致使大量内部数据在线泄露 安全报告:亚马逊 S3 存储服务器错误配置引发数据泄露 原作者:Swati Khandelwal,译者:青楚  本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

四部门公布微信/淘宝等互联网产品隐私条款评审结果

中央网信办等四部门 24 日公布 10 款数量大、与民众生活密切相关的移动互联网产品和服务隐私条款评审结果,10 款产品和服务中 8 款做到了向用户主动提示、并提供更多选择权。网信办这次选取了微信、新浪微博、淘宝、京东商城、支付宝、高德地图、百度地图、滴滴出行、航旅纵横、携程网共 10 款互联网产品和服务进行评审。 中央网信办、工业和信息化部、公安部、国家标准委四部门指导开展个人信息保护提升行动之隐私保护专项工作。经评审,10 款产品和服务在隐私政策方面都有不同程度提高,做到明示其收集、使用个人信息的规则,并征求用户的明确授权。微信、淘宝网、京东商城、支付宝、高德地图、百度地图、滴滴出行、航旅纵横等 8 款产品做到了向用户主动提示、并提供更多选择权。 微信、淘宝网、支付宝、滴滴出行、京东商城提供了更便利的 “ 一站式 ” 撤回和关闭授权,在线访问、更正、删除个人信息,在线注销账户等功能。通过评审各家参加评审公司改进了隐私保护条款。蚂蚁金服集团高级副总裁、首席服务官陈磊明介绍,支付宝在用户可自行删除、更新、注销账户的基础上,进一步明确了用户行使删除权、更正、注销账户权益的路径。 中国电子技术标准化研究院副院长杨建军说,长期以来,网络运营者在提供产品和服务时,普遍存在五大问题。一是隐私条款笼统不清,对收集、使用个人信息的目的、方式、范围、保存期限、和地点等没有明确说明;二是不主动向用户展示隐私条款,或展示内容晦涩冗长;三是征求用户授权同意时,未给用户足够选择权;四是没有为用户提供访问、更正、删除个人信息的途径;五是大量收集与所提供服务无直接关联的个人信息,超越与用户约定等。10 家企业当日签订了个人信息保护倡议书,承诺尊重用户知情权、用户控制权;遵守用户授权,强化自我约束;联合抵制黑色产业链;接受社会监督等。 稿源:cnBeta、中新网,封面源自网络;

Adobe 产品安全团队不慎将 PGP 私钥公布至网络

据外媒报道,Adobe 产品安全事件响应团队(PSIRT)日前在发布 PGP 公共密匙后还把私人密匙公布出来,这意味着该 PGP 签名不再安全,获得密匙的黑客则能借此盗取邮箱通信内容。安全研究员 Juho Nurminen 经调查确认表示,曝光的密匙跟 psirt@adobe.com 邮箱账号存在关联。 种种迹象表明,此次的意外事件应该跟团队成员的失误有关,当时他应该是通过 Chrome 或 Firefox 插件 Mailvelope 将 FSIRT 共享网页邮件账号的文本文件分享到团队的博客上。看起来该名成员将本应该点击的 “公共(public)”点成了 “所有(all)”,于是,公共密匙和私人密匙都被发布到了 Adobe 的 PSIRT 博客上。 然而,尽管这似乎是人为错误,但私人密匙的泄露仍旧呈现了一个相当严重的问题。目前,Adobe 已经移除了这组曝光的密匙并更换了一个新的公共密匙。 稿源:cnBeta,封面源自网络;

美国公民认为黑客犯罪是对健康、安全与繁荣的最大威胁

网络安全公司 ESET 随机选择美国成年公民,要求他们评估 15 种不同危害的风险程度。其中有六种与网络有关,其余的则是其他形式的技术危害。结果表明,黑客犯罪被认为是最大的风险,远远超过排位第二的空气污染,危险废物排名第三,另有与网络有关的盗窃或暴露私人资料,被评为第四;政府监控只排名第八。 ESET 高级安全研究员 Stephen Cobb 表示:“说实话,我对结果感到非常震惊,所以我们第二次进行调查,而且我们得到了同样的结果”。该调查是在 7 月下旬,8 月初,WannaCry 和 Petya/NotPetya 恶意软件爆发之后,但在 Equifax 客户资料泄露事件爆出之前进行的。 此外,黑客犯罪被 45 岁以上的美国人视为较高风险,51% 的受访者将其视为高风险或非常高的风险,而 45 岁以下这方面比例为 47%。年龄在 30 到 44 岁之间的被调查着最不关心黑客犯罪风险。 稿源:cnBeta,封面源自网络;

美国民主党参议员提出新法案,希望处理网络政治广告问题

据 CNN 报道,出于对 Facebook 向俄罗斯机构出售政治广告的担忧, 美国民主党参议员 Amy Klobuchar 和 Mark Warner 正式呼吁新立法来提高网络政治广告的透明度。Klobuchar 和 Warner 于 9 月 21 日致信他们的同事,邀请他们共同提出立法,其中要求所有大型数字平台提供有关超过 10000 美元广告收入的政府机构备案材料。 这封信是在 Facebook 首席执行官 Mark Zuckerberg 宣布将把与俄相关的可疑大选广告提交国会后发出的。熟悉这个问题的消息人士告诉 CNN,Facebook 计划在几天内提供有关 3000 多条可疑政治广告的信息。两位参议员认为,联邦选举委员会没有采取足够的行动处理网络政治广告,现行法律没有充分解决 Facebook、Google 和 Twitter 等平台上的广告问题。 Klobuchar 和 Warner 在信中表示,“要求拥有 1,000,000 名以上用户的数字平台对个人或团体购买的所有选举通讯资料提供备案材料,他们为网络政治广告的花费超过 $ 10,000 美元。这封信中指出:“ 该文件将包含广告的数字副本,即广告目标观众的描述、观看次数、发布的日期、广告费用以及买方的合同信息。此外,这一立法还将要求除广播、有线电视和卫星提供商之外的数字平台做出合理的努力,确保国外机构不会直接或间接地购买选举通讯资料。” 稿源:cnBeta,封面源自网络;