分类: 今日推送

英国制定新安全法案,加强关键基础设施网络防御体系

据外媒 8 月 8 日报道,英国政府于近期推出一项新安全法案,旨在保障国家关键基础设施安全。该法案指出,提供能源与交通等基本服务的供应商需要制定一份安全紧急方案,以解决电力故障或环境灾难所带来的严重影响。倘若此类公司未能有效实施网络安全措施,或将面临巨额罚款 ,其金额最高可达 1700 万英镑。目前,该法案集数字、文化、媒体与运动为一体,符合欧盟《网络与信息安全指令》( NIS 指令 )的要求并将于明年 5 月生效执行。 NIS 指令于 2016 年 7 月 6 日通过审核后在同年 8 月生效,旨在促进成员国安全战略协作与信息共享、提升欧盟网络安全水平。此外,欧盟成员国需要在 NIS 指令生效的 21 个月内将其纳入国家立法,并另有 6 个月可识别指令涉及的主体范围。 调查显示,由于英国提供关键基础设施的组织于近期在勒索软件 WannaCry 与 NotPetya 攻击事件中普遍遭受影响,因此政府不得不加快安全法案的制定。日前,英国政府发表声明:“ 罚款只是一时的手段,它并不适用于对风险进行充分评估、采取适当安全措施但仍遭受攻击的组织机构。” 英特尔首席技术官詹姆斯·查普尔(James Chappell)表示,虽然英国政府的提案比 NIS 指令更加严格,但该法案的制定并不是单纯的执行惩罚措施,而是为了促进提供关键基础设施的供应商加强网络防御体系。 原作者:John Leyden ,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

乌克兰国家邮政服务机构 Ukrposhta 两日连遭 DDoS 攻击

据外媒 8 月 8 日报道,乌克兰国家邮政服务机构 Ukrposhta 近期遭受黑客为期两天的分布式拒绝服务(DDoS)攻击,导致计算机网络系统运行缓慢,甚至出现中断现象。 国家邮政服务机构 Ukrposhta 由乌克兰基础设施部管理,主要通过全国近 1.2 万个邮政网点提供超过 50 项服务。目前,该机构拥有逾 7.6 万名员工,其中 1.3 万名是邮政服务运营商。 据 Interfax 通讯社消息,受害计算机网络系统与包裹在线跟踪系统有关。黑客利用僵尸网络向 Ukrposhta 服务器发送大规模流量,强制网站离线。Ukrposhta 发言人表示,此次攻击活动导致官网与相应服务普遍遭受影响。当前,技术人员正努力解决上述问题,以便尽快恢复工作流程。 7 月下旬,Ukrposhta 曾在一份季度报告中证实,黑客通过乌克兰会计公司使用的 MeDoc 软件自动更新传播勒索病毒 NotPetya,导致公司自动化邮件系统完全崩溃。截至目前,NotPetya 已感染 60 多个国家不同行业的网络系统,与 5 月中旬爆发的勒索软件 WannaCry 具有明显相似之处。 原作者:Jason Murdock ,译者:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

微软发布警告:新型攻击技术支持钓鱼邮件

微软存在多种方式帮助用户远离钓鱼邮件诈骗,因为该公司在 Microsoft Exchange Online Protection(EOP)for Office 365 和 Outlook.com 等产品或服务中内置反垃圾邮件过滤措施。然而新攻击和欺骗形式总会不断涌现,除了通过 “ 技术支持诈骗 ” 手段访问他人计算机和个人信息的老套路,其最新的形式是在网站中嵌入声称 “ 可清理和保护您的计算机 ” 的消息。 微软发现攻击者在邮件中会利用看起来没有任何问题的链接引诱用户点击,一旦受害者点击进入技术支持的恶意网站后,就会使用弹窗或者恐吓战术诱使受害者拨打屏幕上方预留的电话并且支付不必要的 “ 维修服务 ” 费用。为预防这种类型的威胁,微软特地在 TechNet 上的 Windows Security 博客中强调了一番: ● 许多这类诈骗都起源于可疑网页中的恶意广告 —— 主要是下载盗版软件和媒体的那些地方 —— 它会将用户自动重定向到 ‘ 技术支持 ’ 诈骗站点,以引诱受害人去拨打所谓的 ‘ 热线电话 ’ 。 ● 也有些技术支持诈骗者会借助 Hicurdismos 等恶意软件当帮凶,它会显示假的 ‘ 蓝屏死机 ’ 画面;或者 Monitnev 这种可以记录日志,以及在每次应用程序崩溃时显示虚假 ‘ 错误通知 ’ 的恶意软件。 ● 当然也有冷不丁给你打电话推销的,诈骗者会向潜在的受害人打电话,假装自己来自某软件公司,要求受害者安装远程访问设备的应用程序,然后将正常的系统搞出有毛病的样子,以忽悠用户支付一次性或长期的订阅费用。 当然,Windows 10 已自带多种帮助用户远离电子邮件和技术支持诈骗的措施,比如在 Microsoft Edge 浏览器、以及 Outlook 邮件客户端中。微软表示,用户可在长期使用自家产品和服务的过程中得到妥善保护。 稿源:cnBeta,封面源自网络;

入侵 HBO 的黑客组织再次公布数据,索要百万美元赎金

HBO 网络上月遭黑客入侵,内部泄露 1.5 TB 资料的消息不胫而走,甚至有人在线看到还未播出的热门剧集《 权利的游戏 》第七季内容。由于 HBO 旗下包括该剧在内多部热播影视剧泄露,所以事件逐步升温,引发全球关注。 据美联社报道,该黑客组织于 8 月 8 日再次公布约 3.4 GB 的 HBO 数据文件,其中部分数据还具有潜在破坏性。知情人士透露,此次遭受泄露的内容包括一部分技术数据、《权力的游戏》剧集剧本,甚至还有属于 HBO 电影节目副总裁 Leslie Cohen 收件箱中近一个月的电子邮件内容。 此外,HBO 电视网的 50 份内部机密文件也包括在内,其中包含 HBO 首席执行官 Richard Plepler 的电子邮件联系人列表(拥有将近 40000 个联系人)数据,以及《权力的游戏》演员电话号码、地址和电子邮件地址等。与此同时,化名为 Smith 的黑客向 Plepler 发送一段 5 分钟视频索要赎金,要求 HBO  “ 用比特币支付给我们 6 个月的薪水 ” ,这意味着 HBO 需要向黑客组织支付约 600 万 – 750 万美元。 稿源:cnBeta,封面源自网络;

NIST 密码安全新标准更新,旧版作者承认存在不妥

美国国家标准和技术协会( NIST )今年 6 月提供的最新数字身份指南的新版草案中,指出不再推荐用户使用密码混合大写字母、字符和数字,也不再要求定期修改密码。因为研究显示此类要求并不能增加密码强度,NIST 认为最重要的是储存密码必须盐化 + 哈希 + MAC 处理。 不过,对于 2003 年一篇广为流传的密码混合大写字母、字符和数字的 NIST 安全专家建议文章,其作者前 NIST 主管 Bill Burr 开始承认当时提供的建议并不成熟,后来也被证实不是太奏效,当然也有媒体的一些误导总结,导致更多的曲解。根据他当年写的一份文档 NIST Special Publication 800-63,媒体总结为专家建议大家采用混合大写字母、字符和数字,构成一个常用词组的方式(比如 P@ssW0rd123!)。事实证明,这种密码对于破解密码工具来说,只需要增加一些代码,根据这种规则的密码强度几乎与弱密码的破解相差无几,倒是催生了许多有创意的网名 ID。 比如一篇形象的漫画指出根据这样的规则,形似 “ Tr0ub4dor&3 ” 这样的密码只需要用标准技术在三天之内就能够破解,而且你很容易在被破解之前就忘掉自身密码。而一句完全采用英文单词组成的摸不着头脑的短语  “ correct horse battery staple ” 却需要约 550 年破解,而这组词语很容易形成独特的画面,对于人类来说非常容易形成记忆,但对于计算机来说堪比天书,随机性使得它很难被自动化工具猜出。Burr 承认当时的确找错方向。 NIST 数字身份指南的新版草案的作者 Paul Grassi 指出,NIST 此前的密码安全建议都是在摸索中前进,没有前人的尝试也无法摸索出切实有效的密码建议。NIST 也不再要求密码混合大写字母、字符和数字,因为研究显示此类的要求并不能带来强密码。NIST 认为,如果用户想要使用绘文字作为密码,那么就应该允许用户使用。NIST 认为最重要的是储存的密码必须盐化哈希 MAC 处理。 稿源:cnBeta,封面源自图片;

爱尔兰国有电力供应商 EirGrid 遭入侵,疑似政府黑客所为

据外媒 8 月 7 日报道,英国情报机构(NCSC)发现黑客于今年 4 月针对爱尔兰与北爱尔兰国有电力供应商 EirGrid 展开攻击,或有政府背景。  EirGrid 自 2006 年起在爱尔兰与北爱尔兰地区运行高压电网、操控电力流动,并由当地供电局(ESB)负责维护修缮。此外,EirGrid 旗下还设有北爱尔兰电力系统运营商(SONI)为其提供分销网络服务。 调查显示,黑客在入侵 EirGrid 使用的沃达丰(Vodafone)网络系统后利用恶意软件拦截威尔士与北爱尔兰 Web 路由器中传输的所有未加密通信数据。此外,NCSC 还发现黑客通过多个英国 IP 地址入侵其他先进国家基础设施、攻击能源与制造行业的系统网络。 知名媒体 Independent 8 月 6 日透露,调查人员将监视并检测依赖沃达丰被黑互联网专线接入(DIA)服务的所有通信记录与文件。虽然目前并不清楚爱尔兰电网控制系统是否被安装恶意软件,但他们注意到,一旦如此,或将导致大规模停电现象。 EirGrid 发言人 David Martin 表示,对于 EirGrid 来说,计算机网络与电力控制系统的安全至关重要。虽然 EirGrid 就网络安全具体操作问题不做任何公开评论,但能源企业与国家基础设施显然已成为黑客重点攻击对象。此外,英国政府通信总部(GCHQ)也警示合作伙伴密切关注能源行业的黑客攻击活动。 相关阅读:黑客瞄准爱尔兰能源网络展开攻击,或有俄罗斯政府背景 作者:Jason Murdock,译者:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

安全公司 FireEye 发表正式声明:否认黑客已渗透公司内网系统

据外媒报道,黑客组织 “ 31337 ” 于 7 月下旬入侵全球知名网络安全公司 FireEye Mandiant 高级情报分析师 Adi Peretz 的个人电脑后肆意篡改账户内容,并在线公开发布一份逾 337MB 的 PST 文件信息,其中包括电子邮件、帐户图像、One Drive 帐户、LinkedIn 帐户、个人设备的地理跟踪、PayPal 收据,以及 FireEye、WebEx 与 JIRA 门户网站登录凭证等数据。此外,该文件还显示黑客早于 2016 年就已获取公司内部权限。 知情人士透露,虽然黑客自称当前已渗透 Mandiant 公司内网系统并窃取大量机密信息,但 FireEye 近期发表声明,指出尚未发现任何迹象表明黑客已入侵公司内网。调查显示,该黑客组织早于 2016 年 9 月就已经开始使用内部登录凭证访问多个 Victim 个人在线账户( LinkedIn、Hotmail 与 OneDrive 账户)。另外,经安全专家分析,黑客在线公开发布的文件大部分是从受害者此前个人在线帐户中获得,或是黑客自身创建的屏幕截图。 安全专家表示,此次攻击活动涉及范围极小,目前仅有两名客户受到影响。FireEye 在展开调查的同时,将采取一系列安全措施防止数据进一步泄露。“ 有趣 ” 的是,该攻击活动并无经济利益驱使,仅仅是黑客想要证明攻击手段较安全专家技高一筹而已。 原作者:Pierluigi Paganini,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

安全研究:社交机器人在虚假新闻传播中扮演重要角色

据外媒报道,虚假新闻已经成为当今互联网的一大毒瘤,为此,各大科技公司都已加大对恶意信息的打击力度。不过为了真正达到遏制该种现象的目的,人们首先要搞明白的是这些假新闻究竟是怎么传播的。为此,来自美国布卢明顿印第安纳大学的科学家们就在 Twitter 上展开了系统性研究。 研究人员在 Twitter 上对来自 122 个主要虚假新闻网站的 40 万条消息进行监控。在这些网站中,许多都是独立的事实核查网站,如 snopes.com、politifact.com、factcheck.org 等,另外还有像 theonion.com 等这样的讽刺网站–它们通常都是用反讽的手法指责虚假新闻,但很多时候人们可能无法辨别这点,于是将假新闻当成了真新闻。此外,该研究团队还监控了来自事实核查网站撰写的 1.5 万篇文章以及上百万条提及这些网站的推文。 为了这项研究,科学家们开创建了两个平台,一个是用于分析假新闻的平台叫 Hoaxy,一个是用于分析当前 Twitter 上究竟是人还是机器人运行的 Bolometer。根据这些研究结果发现,积极传播错误信息的账号更可能是机器人。而这种机器人账号有一个非常有意思的行为方式,那就是在假消息传播的早前尤为活跃,并且更倾向于针对有影响力的用户。最后,科学家们指出,限制社交机器人可能是减少网络错误信息传播的有效手段。然而不幸的是,由于互联网的非中心性,想要实施该类型策略是极为困难的。 稿源:cnBeta;封面源自网络;

网络平台与银行合作催收,欠款人联系人信息均被泄露

互联网催收模式于今年迅速发展,平台试图通过云计算、大数据和智能化清收策略解决不良资产清收的最后一道难题,传统银行也开始试水这类互联网模式下的欠款催收与转让,委外信用卡逾期业务。调查发现,大商机背后蕴含大风险,使用虚假身份信息便可成功注册成为催收共享平台上的一名催客,而银行信用卡逾期用户和亲人的信息在层层转包中被轻易泄露。 数据显示,2016 年不良资产的市场化投放规模达 1.5 万亿左右,而目前仅网贷行业预估的不良资产规模就达到 2000 亿元。传统的资产清收存在地域限制、催收时间长、人工成本高、效率低、投入产出比低等挑战,庞大的市场规模催生了一批催收共享平台,希望催收能由专业团队过渡到普通民众,人人做催收,于是催催宝、人人追、债无忧、火眼催收等十余种平台纷纷上线。 催收不是银行的强项,出于对用户数据安全的考虑,多会选择有律师资质的大公司合作,并要求公司签署保密协议,员工只能在内网查看资料,但外包公司的后期操作中,这一点并没有被坚持。一家成功拿到银行信用卡催收业务的企业负责人曾在公开场合表示,信用卡用户信息泄露在行业内司空见惯,但银行不说、外包公司不说、逾期用户更不说。 根据中国银监会《关于进一步规范信用卡业务的通知》,明确要求银行业金融机构应审慎实施催收外包行为。实施催收外包行为的银行业务金融机构,应建立相应的业务管理制度,明确催收外包机构选用标准、业务培训、法律责任和经济责任等,选用的催收外包机构应经由本机构境内总部高级管理层审核批准,并签订管理完善、职责清晰的催收外包合同,不得单纯按欠款回收金额提成的方式支付佣金。 转包行为本身没什么问题,但银行对本身的数据安全负责,就要间接对使用他数据的供应商负责。银行对供应商的选择,针对信息安全(数据来源、传输、存储)应该有一套规则,选择时应按这个规则来选择厂商,所以问题不在转包,在于银行选择的厂商是否具备足够的信息安全规格与技术来确保信息安全。 出于各方利益,生活中很难碰到此类案件,欠款人只想躲债,催款公司也不会主动站出来直指银行及催收外包机构泄露用户信息。不过,对因催收外包管理不力,造成催收外包机构损害欠款人或其他相关人合法权益的,银行业金融机构承担相应的外包风险管理责任,情节严重的甚至可采取责令限期整改,限制、暂停或停止其信用卡新发卡业务。 如果欠款真实,银行完全可以按照法律程序主张权利去追讨,但欠钱还是和隐私泄露是两码事件,公民的隐私个人信息应受法律保护。即使银行要披露欠款人信息,也是有选择的披露,身份证号码、住址属于敏感信息,这些信息被公示,意味着金融机构不当泄露个人信息,欠款人及担保人可以向银行管理部门和公安部门寻求帮助。 稿源:新浪科技,有删减;封面源自网络;

法德计划联合打击苹果谷歌等美国科技巨头避税行为

据《 财富 》杂志 8 月 8 日报道,法国正在与德国和其他伙伴合作,堵住允许谷歌、苹果、Facebook 和亚马逊等美国科技巨头进行合法避税的漏洞。这些漏洞让美国科技巨头能够更轻松地攻占欧洲市场,但当地的本土公司却无法利用这些漏洞。法国财政部长上勒梅尔上周五接受采访时称,该国将在 9 月中旬的一场欧盟官员会议上,提出更简单的法规,对科技公司真正进行征税。 勒梅尔表示:“ 欧洲必须学会更加坚定地保护自己的经济利益,中国是这么做的,美国也是这么做的。你不能在其他公司正常纳税、而自己却不纳税的情况下,在法国和欧洲经商赚钱 ”。法国此次举动反映出,欧洲部分政府、监管方和选民对国际公司通过转移利润和成本进行避税的行为越来越失望。这些公司将利润和成本转移至对它们纳税最有利的地方,要么是利用当地的漏洞,要么是与某些政府达成特殊协议。 法国和德国曾在上月的一次联合内阁会议上讨论税收问题。德国财政部发言人丹尼斯·科尔伯格(Denis Kolberg)本周一称,在 9 月 24 号的全国大选后,德国预计讨论其具体提案。2016 年,欧盟委员会曾命令苹果支付约 130 亿欧元的欠缴税款和利息,称爱尔兰非法降低了这家 iPhone 制造商的纳税义务,以吸引该公司在爱尔兰落脚。眼下,苹果和爱尔兰政府正就这一决定上诉。 此次镇压国外科技公司避税,是法国新任总统马克龙铁腕政策的一部分,他在选举期间亲眼目睹,法国公司在与税收和社会保障金水平低的国家竞争时是多么困难。为此,马克龙号召 19 个欧元区国家更好地统筹它们的税收系统。据勒梅尔称,马克龙承诺在其第一个五年任期内将企业税降低至 25%,而这应当被视为上述举措的开端。同时,马克龙还敦促税率较低的国家提高税率。 稿源:cnBeta、凤凰科技,封面源自网络;