分类: 今日推送

美国司法部:无法解锁德州教堂枪手的加密 iPhone 或致生命损失

科技公司和政府之间关于隐私和安全的争论再次出现在公众面前。美国司法部副部长罗德·罗森斯坦(Rod Rosenstein)本周在《华盛顿观察家报》的评论中暗示,苹果公司在加密方面的立场可能会导致生命损失。在罗森斯坦的评论之前,有报道称,德克萨斯州最近的教堂枪击者使用了一款可能无法被政府访问的 iPhone。这位高级别官员认为,理性的人不会认为当局不应该能够访问枪手的手机。 罗森斯坦表示:“当你射杀几十名无辜的美国公民时,我们希望执法部门调查你的通讯记录和存储数据,我们需要知道一些事情。目前,没有任何一个理性的人会质疑我们访问该手机的权利。但苹果声称,他们设计了操作系统,这样即使有联邦法官的命令,公司也不能打开手机。” 事实上,这个问题比简单地允许当局访问一个坏人的 iPhone 要复杂得多。苹果公司认为,苹果不能在其软件中为政府建立后门,并确保所有其他客户的数据都是保密的。这场辩论并不是在特朗普执政期间开始的。去年在奥巴马执政期间,当 FBI 要求访问圣伯纳迪诺枪击案凶手的 iPhone 时,苹果公开为自己的立场辩护同时承认了这一问题的复杂性。 尽管这一案件从未得到法律体系的充分检验,但我们有可能在未来看到类似的事件。在德州枪手的案件中,有报道称 FBI 可能已经错过了解锁枪手 iPhone 的机会。苹果对这份报告的回应是,他们主动联系了 FBI,以帮助提供任何可能的帮助。 稿源:cnBeta、威锋网,封面源自网络;

遭遇数据泄露事件后,Equifax 面临数百起集体诉讼和 SEC 传票

据《华盛顿邮报》报道,在美国知名信用机构 Equifax 宣布该公司遭遇影响 1.455 亿美国公民的数据泄露事件后,公司正面临来自消费者的 240 多起集体诉讼。除此之外,还有来自股东和金融机构的诉讼。公司于本周四公布的第三季度业绩报告详细列出了这些诉讼,这是自 9 月份泄露事件以来的第一次。事件促使三名 Equifax 高管离开该公司,包括前首席执行官 Richard Smith。 Equifax 在其提交的文件中还表示,已收到美国证券交易监督委员会(SEC)以及美国乔治亚州北部地区检察官办公室就 “有关网络安全事件中某些员工的交易活动” 的传票。此前有消息传出,在 Equifax 曝光数据泄露事件之前,该公司高管已经将 Equifax 股份抛售。Equifax 本周表示,在内部调查发现,这些高管在抛售股票前并不知晓公司的数据泄露情况。 据美联社报道,迄今为止,美国证券交易监督委员会主席 Jay Clayton 并没有证实或否认该委员会正在调查这些高管的内幕交易。财报显示,Equifax 还面临着来自美国各州,美国联邦机构以及英国和加拿大政府的 60 多个政府调查。Equifax 估计,与数据泄露有关的费用将达到 8,750 万美元,其中包括为相关受害者提供的免费信用监测服务的成本。 Equifax 公司临时首席执行官 Paulino Barros 表示:“在我们公布第三季度业绩报告时,我们认识到我们正面临重要的征程,以重新赢得消费者和商业客户的信任和信心。我们的团队已经立即采取行动来改善我们的数据安全,并为受到网络安全事件影响的消费者提供更好的支持。” Equifax 在第三季度的营收为 8.348 亿美元,比去年同期上涨了 4%。分析师此前预计,由于该公司的大部分资金来自向其他公司销售的服务,而不是消费者。然而,该公司利润却比去年下降了 27%,达到 9,630 万美元,主要原因是数据泄露事件。在数据泄露事件曝光之后,Equifax 股价下跌超过 20%,在这份报告之后再次受到冲击,在当天收盘前下跌约 3%。截至外媒记者发稿前,股价小幅下跌至每股 108.50 美元。 稿源:cnBeta,封面源自网络;

研究显示通过 USB 接口触发英特尔 ME 漏洞可成功入侵目标系统

网络安全公司 Embedi 研究人员 Maksim Malyutin 于今年 3 月发现 Intel Management Engine(IME) 存在一处高危漏洞(CVE-2017-5689),允许黑客用作后门攻击时执行恶意活动。随后,莫斯科安全机构 Positive Technologies(以下简称 PT) 于今年 9 月找到一种利用 IME 漏洞展开黑客攻击的最新技术,并计划将在 12 月举行的欧洲 Black Hat 安全会议上展示。 自 2008 年起,英特尔处理器平台都内置了一个低功耗的子系统 ME,其包含一个或多个处理器核心并与平台控制器中枢芯片协同使用,是 Intel 的一个固件接口,用于处理器与外围设备的通讯传输。 然而,事情并未结束。PT 研究人员近期发表一份安全报告,旨在提供关于该漏洞利用技术的更多细节,即从目标设备的 USB 接口触发漏洞访问系统,从而允许任何主板上都可运行无符号代码。此外,知情人士透露,该漏洞技术可以通过以下两种方式加以利用: 1、非特权网络攻击者可以通过获取系统特权配置英特尔主动管理技术(AMT)和英特尔标准可管理性(ISM)加以利用: CVSSv3 分值为 9.8   / AV:N / AC:L / PR:N / UI:N / S:U / C:H / I:H / A:H 2、非特权本地攻击者可以通过获取非特权网络或本地系统特权配置英特尔可管理性特性(ISM)加以利用:  CVSSv3 分值为 8.4   / AV:L / AC:L / PR:N / UI:N / S:U / C:H / I:H / A:H PT 研究人员表示,他们已经利用英特尔管理引擎的硬件进行了调试(JTAG),并通过英特尔 USB 接口(DCI)获得了对所有 PCH 设备(平台控制器中心)的访问权限。不过,这种技术仅影响 Skylake 及新平台的处理器。目前,研究人员表示暂时无法彻底移除 IME 组件,因为它被植入于计算机中最核心的中央处理器里。而现在唯一的预防手段,就是关闭 IME 固件。 原作者:Pierluigi Paganini,译者:青楚  本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

维基解密曝光新间谍文档 Vault 8:在线公布 CIA 网络武器 Hive 源代码

HackerNews.cc 11 月 9 日消息,继维基解密(Wikileaks)今年 3 月至 8 月陆续公布的 CIA 网络武器文档 Vault7 后再次曝光新一轮间谍文件—— Vault 8,旨在披露 CIA 网络武器源代码与其开发日志。据悉,维基解密不仅在线公开表示他们已获取 CIA 机密信息,还在 Vault 8 文档中率先曝出间谍工具 Hive (蜂巢)源代码与其开发日志。 Hive 是一款后端组件,其主要为 CIA 间谍软件提供一个隐蔽的通信平台,从而协助 CIA 特工实现后台操控并将目标设备中的机密信息发送至指定服务器。此外,CIA 还可使用 Hive 基础架构参与多项操作,并在目标设备上植入多款恶意软件。然而,由于 Hive 可以绕过安全检测植入间谍软件,因此即使在受害设备上发现恶意代码,也很难从服务器中发现攻击归属。 研究人员表示,这并非维基解密第一次在线泄漏与间谍工具 Hive 相关的信息,其曾于今年 4 月揭示 CIA 利用 Hive 在线分发恶意代码后通过 C&C 服务器进行通信,从而执行任意操作。目前,CIA 已经开发出多用户一体化的 Hive 平台,即多名 CIA 特工可以同时控制多款恶意软件执行不同任务,这或将导致攻击归属的查询更加困难。此外,Hive 的攻击原理是利用系统公共后端将受害用户重定向至虚假网站,而这些网站可作为中继节点将目标用户的信息通过 VPN 连接传输至服务器 Blot,而该服务器可以将用户流量转发到 CIA 特工的 Honeycomb 管理网关中。 此外,为规避安全软件检测,其恶意代码还开发了数字签名认证,这是恶意软件社区中一种常见的做法,而 CIA 可使用数字证书检测软件身份。其中,研究人员在泄露的源代码目录中发现了一个冒牌的卡巴斯基客户端认证证书,该证书由 Thawte Premium Server CA 签署。这样一来,既可以规避卡巴斯基安全软件的签名查杀,还可在受害组织发现自身内部网络流量存在异常时,把这种异常怪罪于其他组织。 知情人士透露,虽然 Hive 不对最终用户构成直接威胁,但如果黑客用其建立一个主干结构,并将其交付与控制其他攻击的话,那么世界就会变得非常糟糕。目前,尚不清楚 Vault 8 文档包含多少条目,但 Wikileaks 表示,他们不会发布有关零日漏洞的源代码信息,以避免黑客滥用行为。 原作者:Pierluigi Paganini,译者:青楚  本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

欧盟欲设立 “避税天堂” 黑名单,加强打击各企业避税措施

路透社援引多位欧盟官员近期的表态称,欧盟成员国在 7 日的欧盟财长会议上,将重点商议加强打击偷漏税的措施。预计将在今年年底前形成一份 “避税天堂” 的黑名单。据悉,近百家媒体通过调查金融服务公司和离岸公司注册机构的 1340 万份文件,披露了数百个知名公司、政客和名流的离岸利益,以及通过专业律师帮助避税的行为。 欧盟已经讨论多个措施以查缉避税,包括列出与欧盟相关的 “避税天堂” 黑名单,用于阻止在欧盟赚取的利润转移至免税或低税负国家。欧盟官员表示,“天堂文件”的出现促使欧盟加快讨论,但预料 7 日不会有最终决定。目前欧盟各成员国都有一份税务合作程度较差地区的清单。虽然目前还没有关于制裁种类的细节,不过,登上黑名单一事本身就可能拦阻个人及企业将资金放到这些地方。 欧盟委员会经济事务委员莫斯科维奇称,欧盟的黑名单应该要比经济合作与发展组织(OECD)现有的名单更有杀伤力。两名欧盟官员向路透社表示,目前正与世界上部分地区持续对话,以确保他们遵守欧盟税务透明的准则。之前外界普遍认为,欧盟内部小国有可能涉嫌成为“避税天堂”,卢森堡,马耳他以及爱尔兰都被怀疑协助企业和机构偷漏税。但上述国家反对被指责为“避税天堂”,辩称只是用宽松税制和金融规定吸引国际大企业以及个人投资而已。 据欧盟官员透露,为了避免分歧,欧盟此次财长会很可能只针对欧盟以外的国家进行审核,确定“避税天堂”名单,不讨论欧洲联盟成员国税务或金融制度方面的分歧。成员国层面,对于打击“避税天堂”,德国首先表态支持。该国政府发言人斯蒂芬·赛贝特6日表示,此举将为全球税收改革提供动力,以增加税收透明度。德国财政部和内政部表示,希望已获得“天堂文件”的媒体与政府共享信息,以帮助政府完善税制,调查德国的非法逃税者。德国司法部长海科·马斯要求欧盟惩治“天堂文件”所披露的公司和个人,采取更多措施打击“避税天堂”。 业界分析,频繁曝光的“避税天堂”丑闻多是利用了离岸金融中心的宽松监管。这种“避税天堂”一般都比较稳定、可靠,保密程度高,经常设在小岛上。不同的离岸金融中心对违规行为的监管力度也不同。美国波士顿咨询公司曾披露,离岸金融中心汇集了多达十万亿美元的资金。这个金额相当于英国、日本和法国这三个国家 GDP 的总和。而这可能还只是一个保守的估计。 批评离岸金融的人士认为,该行业的保密和不透明导致不法行为泛滥,其避税行为加剧了社会不平等。他们还说,各国政府对该行业的管制既迟缓又无力。不过,离岸金融中心从业者称,如果这样的金融中心不存在,各国政府征税时就会无所顾忌。这些离岸中心并不是坐守大量现金,而是促使资金在全球流动。百慕大前财政部长鲍勃·理查兹和英国皇家领地马恩岛的首席部长霍华德·奎尔都认为,他们的地区不应被视为“避税天堂”,因为其监管有效,而且完全遵守国际财务报告准则。 稿源:cnBeta、经济参考报,封面源自网络;

虚假微软应用借助 Google 搜索引擎传播勒索病毒

微软旗下的 Windows Movie Maker 是友好且易用的视频编辑应用,最早于 2000 年作为 Windows Essential 套件组成发布,最后一次更新是在 2012 年。今年 1 月 17 日,伴随着微软停止对该套件的支持,这款视频编辑应用也成为了部分用户的美好回忆。 据悉,当那些还不知道已经停止支持的用户尝试在 Google 上搜索 “Windows Movie Maker”,就会跳出一个名为 www.windows-movie-maker.org 的网站。点击链接之后,页面的布局和设计看上去像是正规网站,并且提供了 Windows 7/8/10/XP/Vista 系统版本的下载。 然而,当你尝试下载 Windows Movie Maker 时用户需要支付 29.95 美元才能享受“完整版本”。事实上,真正的 Windows Movie Maker 是完全免费的。除 Google 搜索网站外,用户在 Microsoft Store 上搜索这款视频编辑应用,虽然名字相同,但完全不具备微软官方应用的编辑功能。 安全公司 ESET 表示,很多网站利用 Google 搜索引擎的算法,使其自家网站在搜索结果中有更高的排名。公司表示在 2017 年 11 月 5 日,Win32/Hoax.MovieMaker 在以色列肆虐,11 月 6 日蔓延到菲律宾、以色列、芬兰和丹麦地区。 稿源:cnBeta,封面源自网络;

美国国家税务局要求 Coinbase 提供 1.4 万名用户比特币交易数据

近年来加密货币呈现非常强劲的增长势头,美国国家税务局(IRS)想要从中分享利润自然不足为奇。近日该机构已经要求 Coinbase 提供超过 14000 名用户,总计超过 890 万笔交易的相关信息。 目前比特币的价值已经超过 7100 美元。对此,美国国家税务局认定比特币和其他加密货币都应该视其为房地产资产,当价值增加的时候,当用户通过出售数字货币来赚取利润的时候必须要报告收入。IRS 报告中指出,包括 Coinbase 用户在内的诸多美国纳税人,同通过使用虚拟货币来避免报税和支付税款。 稿源:cnBeta,封面源自网络;

Chrome Canary 已可查看设备支持的 “硬件加速视频编解码” 信息

Chromium 传教士 François Beaufort 近期在 Google+ 上透露:chrome://gpu 内部页面中已能够看到设备支持的视频硬件编解码信息,用户可以下载最新实验通道的(Chrome Canary)版本进行体验。目前这项特性看起来是通过 Chrome OS 设置的一套“设备支持的编码”配置文件实现的,如果你手头正好有一台 Chromebook,那么就可以针对下述视频格式获得硬件加速。 François Beaufort 写到:“ h264 和 vp9 等视频压缩标准,定义了一套其能够利用的硬件加速编解码的所谓配置文件(h264 main、vp9 profile 0 等)”。 Chrome OS 团队已经在 chrome://gpu 选项卡中放入了有关“视频加速信息”的内容,方便 Chromebook 用户查看设备支持哪些配置文件,比如硬件加速编解码时可以支撑的最大视频分辨率和帧率。 硬件加速可以大幅节省 CPU 和内存资源的使用量,并提升 Chromebook 的电池续航表现。对于普通用户来说,只需在 chrome://settings 里启用“使用硬件加速模式(如果可用)”项即可。 稿源:cnBeta,封面源自网络;

Brother(兄弟)打印机安全漏洞或导致设备遭受拒绝服务攻击

据外媒 11 月 7 日报道,网络安全公司 Trustwave 研究人员 SpiderLabs 近期发现 Brother 制造与出售的联网打印机存在一处安全漏洞,允许攻击者远程操控设备后展开拒绝服务攻击。目前据 Shodan 搜索结果显示,全球至少 14,989 台 Brother 打印机设备暴露于公网当中很可能会受到这一漏洞影响。 研究人员表示,攻击者主要通过该漏洞向在线的目标打印机发送错误格式的 HTTP POST 请求来执行攻击,从而远程操控设备。从网络角度来看,虽然与普通的 HTTP 流量攻击类似,但该活动的攻击极其频繁,每隔几分钟就会针对受损设备发送一个请求并完成一次攻击。 Trustwave 威胁情报负责人 Karl Sigler 表示:“这一漏洞危及了所有具备 Debut 嵌入式网络服务器的 Brother 设备,其 1.20 版本或更早版本普遍遭受影响。不幸的是,尽管我们多次联系 Brother 公司解决这个问题,但他们至今并未发布补丁程序。” 对此,为降低漏洞所产生的影响,研究人员提醒设备管理员使用防火墙或类似设备严格限制访问权限。此外经调查发现,这一漏洞似乎不会得到妥善解决,因为即使官方提供补丁更新打印机系统,也可能需要人工部署,例如攻击者可能会事先启动拒绝服务攻击,随后利用社会工程等手段冒充技术人员直接物理访问相关 IT 资源。 原作者:Michael Mimoso,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链

新加坡立法严格限制企业使用国民身份证权限,以防个人信息盗窃、欺诈等非法活动

HackerNews.cc 11 月 8 日消息,新加坡个人数据保护委员会(PDPC)于近期正在修订国家 “个人数据保护法案”(PDPA)指导方针,意在严格限制企业使用国民身份证(NRIC)权限,以防各组织或个人信息被用于盗窃、欺诈等非法活动。与此同时,该国还提出一项新安全法案,希望能够削减官僚作风、缓解各政府公共部门的数据共享问题。 个人数据保护法案(PDPA)的指导方针是专门为收集、使用和披露国家公民身份证号码的企业提供规范式管理。虽然每位公民的身份证都是独一无二的,但事实证明这些身份证号码已广泛用于各种项目,包括进出某座大楼、参与顾客忠诚计划以及各抽奖活动。 PDPC 表示,部分常见的商业惯例将在法案修订后不得不进行更改。例如,超市不能再从购物者那里收集身份证号码后追踪地下停车场免费停车数量以及使用此类调查结果创建零售会员账户。不过,使用 NRIC 号码仍然是验证个人身份的必要手段,例如寻求医疗的病人。目前,由于企业获取公民身份证号码的服务种类繁多,因此 PDPC 有必要审查涉及其应用的指导方针。 在新加坡,公民身份证号码是一个永久、不可替代的标识符号,可用于解锁与个人有关的大量信息,其中包括姓名、照片、虹膜图像、指纹和居住地址等。因此,个人身份证号码的使用需要特别谨慎。此外,最新拟订的法案中还将包括一项规定,要求企业在最新指导方针确定后 12 个月内对其流程进行必要更改,但新加坡公共部门除外。 与此同时,在议会发表的另一个声明中,政府还提出一项新安全法案,旨在削减官僚作风,从而更好地使公共部门共享数据。据悉,新加坡公共部门希望各政府机构能于 2018 年统一执行一份 “治理与问责一贯制” 的标准准则。 知情人士透露,新加坡国家管理人员将于新法案正式通过后敦促所有公共机构与部委统一遵守规则,并授权公务员进行集体指导与监督。另外,新法案不仅要求政府机构只能在 “数据共享法案” 允许范围内共享数据,还制定了公民安全保障措施,以防任何数据遭到滥用。例如,在没有国家政府指示的情况下访问或披露用户数据,或将判处高达 5000 新元的罚款或最高两年的监禁。 原作者:Eileen Yu,译者:青楚  本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接