分类: 今日推送

研究人员警告英特尔 CPU 存在新的超线程漏洞

位于阿姆斯特丹Vrije大学的系统和网络安全部门研究人员表示,他们发现了英特尔处理器存在另一个严重缺陷。不像Specter和Meltdown,它不依赖投机执行,而是利用公司的超线程技术。但是,英特尔不会发布任何补丁。据The Register报道,这种超线程CPU上新的side-channel漏洞被称为TLBleed,因为它使用了处理器的转换后备缓冲区(TLB),这是一种缓存,用于保存从虚拟内存地址到物理内存地址的映射。 TLBleed漏洞利用英特尔超线程技术,启用此技术后,每个内核可以同时执行多个线程(通常是两个线程)。这些线程共享内核中的资源,包括内存缓存和TLB。当两个程序在同一个内核中运行时,其中一个线程可以通过检查其访问CPU专用资源的方式来监视另一个线程,因此,根据这些观察,可以获取另一个线程上的加密内容。 研究人员表示,他们能够使用TLBleed从英特尔Skylake Core i7-6700K的另一个正在运行的程序中提取加密密钥,成功率高达99.8%。使用其他类型的英特尔处理器的测试成功率相似。大多数用户无需担心TLBleed。利用它需要首先在系统上安装恶意软件,或者恶意用户获得访问权限。而且还没有证据表明黑客已经使用了这种漏洞。 这并不意味着TSBleed不应该被重视。上周,开源操作系统OpenBSD的人员禁用了英特尔处理器上的超线程技术,以防止此漏洞。项目负责人Theo de Raadt将于今年八月在黑帽大会上发表一篇研究论文,这将揭示为什么他们会做出改变。英特尔似乎对TLBleed带来的任何潜在威胁漠不关心。它没有为这个漏洞请求一个CVE编号,甚至拒绝向研究人员(通过HackerOne)颁发发现bug奖金。   稿源:cnBeta,封面源自网络;

工信部:推动互联网、大数据、AI 和实体经济深度融合

工信部信软司在中国电子报撰文称,推动互联网、大数据、人工智能和实体经济深度融合,培育壮大经济发展新动能。下一步将持续推进“宽带中国”建设,做好网络提速降费工作,加快推进5G研发和产业化。以IPv6规模部署为契机,加快下一代网络建设,推进工业领域IPv6的应用。实施工业技术软件化行动和“芯火”计划,突破大数据、人工智能、区块链等关键技术和产品瓶颈,发挥我国在互联网应用、智能终端、网络设备等领域的比较优势,带动产业链上下游技术创新的整体性突破。   稿源:新浪科技,封面源自网络;

错误配置 Firebase 数据库导致 3000 多应用数据泄露

移动应用安全提供商 Appthority 上周指出,由于配置不当,导致使用 Firebase 服务的 3,046 个移动应用暴露了计划用户信息,共计 113 GB,并且包括纯文本用户在内的超过 1 亿个可公开访问的数据。 帐号和密码以及 GPS 位置信息。 Firebase 是网络和移动应用程序的开发平台。 它提供了云消息传递,通知,数据库,分析功能以及许多后端 API。 它于 2014 年被谷歌收购,并受到众多Android开发者的欢迎。 也是最受欢迎的移动应用程序数据存储平台之一。 在查看超过 270 万移动应用程序后的 Appthority 中,发现 28,000 个移动应用程序将数据存储在 Firebase 的后端。 其中,3,046 个程序将 2,271 个数据错误地配置为 Firebase 数据库,同时允许第三方公开查看。 其中大多数是 Android 程序,占用了 2,446 个,另外有 600 个 iOS 程序。 所有泄露的程序数据量为 113GB,包含 260 万个明文密码和用户账号,400 万条聊天记录,2500 万个 GPS 位置信息以及 50,000 个金融交易信息。 Facebook / LinkedIn / Firebase 用户凭证为 450 万笔。 Appthority 指出,2,446 个 Android 程序在 Google Play 上的下载量超过 6.2 亿次。 它们分布在不同的类别中,从工具,生产力,健身,通信,财务和业务应用程序。 62% 的公司至少使用其中一项计划。 虽然这主要是因为开发者没有验证访问权限,以至于任何人都可以访问属于 Firebase 数据库的配置故障,但 Appthority 正在指向 Google,认为 Firebase 未在默认情况下保护好用户数据,而且还缺乏可以加密用户数据的第三方工具。   稿源:开源中国,封面源自网络;

日本最大比特币交易所 bitFlyer 暂停新业务 监管方要求改善运营

TechWeb报道,6月25日消息,据国外媒体报道,日本最大的比特币交易所bitFlyer日前表示,将暂停允许新客户开户。 日本金融厅称,在bitFlyer的安全系统中发现了问题,涉及在防止洗钱及未授权进入渠道等方面的措施。日本金融厅还表示,该公司管理层监督运营的能力不足。 bitFlyer在其网站上发布声明称,公司管理层及所有员工正在努力理解这些问题的严重性达到了何种程度。该公司称,已暂停新用户开户,先解决监管机构提出的问题。 按交易量衡量,BitFlyer是全球最大的比特币交易所之一;同时BitFlyer也是全球第三大加密货币交易所。 日本已经发展为最大的比特币交易市场之一,去年的一项统计显示,大约50%的比特币交易是通过比特币/日元进行的。 不过,今年1月,黑客从位于东京的加密货币交易所Coincheck盗取了价值约5.3亿美元的数字货币,暴露了日本系统的缺陷,并引发了对日本如何监管该行业的质疑。自此之后,日本监管部门实施了新的限制措施。 加密货币行业网站coinmarketcap显示,目前比特币价格约为6200美元,总市值约1000亿美元。比特币价格去年涨势迅猛,此前一度突破1.9万美元。 比特币是一种用区块链作为支付系统的加密货币。由中本聪在2009年基于无国界的对等网络,用共识主动性开源软件发明创立。   稿源:TechWeb,封面源自网络;

公安部:《网络安全等级保护条例》拟将于本周发布

南都讯 记者蒋琳 6月25日,网络安全标准论坛在京召开。南都记者获悉,由公安部牵头,会同中央网信办、国家保密局、国家密码管理局联合制定的《网络安全等级保护条例》(以下简称“条例”)拟将于本周在网上发布。   公安部网络安全保卫局总工郭启全在发言中表示,关键信息基础设施保护是网络安全等级保护制度2.0的重点。目前中央网信办和公安部双牵头制定的《关键信息基础设施保护条例》起草工作已经完成,正在走司法程序。 物联网被纳入网络安全等级保护制度2.0 “网络安全等级保护制度是中国的基本国策、基本制度和基本方法,是对过去二十年经验的总结和创新”,郭启全指出。那么,网络安全等级保护制度1.0和2.0有什么区别? 郭启全透露,首先,制度2.0纳入了《中华人民共和国网络安全法》规定的重要事项;其次,制度1.0只针对网络和信息系统,2.0则把云计算、大数据、物联网等新业态也纳入了监管;此外,制度2.0把监管对象从体制内拓展到了全社会。 《条例》还在具体条例上增加了新要求。 比如,根据《信息安全等级保护管理办法》,对于信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害的情况,最高保护等级只到第二级。《条例》将“会造成特别严重损害”的情况下,信息系统应采取的保护等级提高到第三级。郭启全认为,这是《条例》“最大的变化”。 《条例》还下调了等级测评周期。“原来第三级网络的运营者一年测评一次,第四级半年一次,刚测完又要测”,郭启全说,《条例》把上述规定改为“第三季以上网络的运营者应当每年开展一次网络安全等级测评”。 《关键信息基础设施保护条例》起草完成 “等级保护制度是普适性制度,是关键信息基础设施保护的基础,关键信息基础设施是等级保护制度的保护重点”,郭启全在发言中强调,关键信息基础设施必须按照网络安全等级保护制度要求,开展定级备案、等级测评、安全建设整改、安全检查等强制性、规定性工作。 “关键信息基础设施保护其实不是新思想”,郭启全提到,2007年,公安部等四部委下发《信息安全等级保护管理办法》,核心就在于提高中国基础信息网络和重要信息系统的信息安全保护能力和水平,“换了一个词,其实十几年一脉相承”。 他指出,去年12月中央提出最新要求:建立实施关键信息基础设施保护制度,加强能源、金融、通信、交通等重要领域关键信息基础设施安全保护。“目前中央层面、部委层面已经完全协调一致,由中央网信办和公安部双牵头制定的《关键信息基础设施保护条例》起草工作也已经完成,目前正在走司法程序”,他说。   稿源:南方都市报,封面源自网络;

苹果电脑“快速查看”存在漏洞 或可泄密加密数据

新浪科技讯 北京时间6月19日下午消息,一般认为,自十多年前“快速查看”这一功能推出以来,这个安全漏洞就已存在。本月初,安全研究员Wojciech Regula在博客中详细描述了这一安全漏洞。Patrick Wardle在Regula的帮助下,上周在博客文章中提供了对该漏洞的深度解释,随后这篇文章于周一被外媒“The Hacker News”注意到。 Regula指出,苹果的“快速查看”机制可生产并缓存文件、图像、文件夹和其他数据的缩略图,以便macOS快捷访问。这个功能允许Mac用户快速地通过敲击空格键以预览上述提及信息。跟以来专门的应用不一样(比如预览PDF文件的Acrobat等),macOS可以使用OS技术“快速查看”文件。 “快速查看”的文件处理方式,这个问题在8年前就已经提到过。苹果的这个功能把缩略图缓存在未经加密的驱动其上,意味着源文件的碎片——哪怕是保存在加密存储器上的那些文件——也可能暴露在别有用心的人眼下。 “这意味着,所有你通过空格键(或用快速查看独立缓存过的)预览过的照片都作为缩略图,连同其存储路径,一并保存在该目录下,”Regula写道。 为验证其说法,Regula创建了一个概念证明,其中两个图像分别保存在两个独立的加密容器内,一个以VeraCrypt创建,另一个以macOS的加密HFS+/APES创建。研究员可以通过一个简单的指令找到这两个图像并他们各自的路径,反过来提供了原文件的微缩版本访问权限。 Wardle补充说,“快速查看”的缓存功能也适用于外部的USB驱动器,缩略图保存在主机的启动驱动器上。他进一步指出,尽管“快速查看”漏洞不会泄露给定文件的全部内容,但其提供的部分内容足够为不法分子或执法机构利用。 也就是说,苹果对这个问题进行修补其实相对容易。Wardle表示,苹果可以降级“快速查看”预览到位于外部加密容器上的文件,或者,也可以在卸载卷的时候清楚缩略图缓存。 在没有官方补丁的情况下,担心敏感数据可能会泄露的用户可以在使用qlmanage实用程序卸载容器时选择手动删除“快速预览”缓存。   稿源:新浪科技,封面源自网络;

专家称欧盟拟议的新法律可能会威胁到互联网和模因

据外媒CNET报道,欧洲议会将于当地时间周三对一项新法案进行投票,一些人认为这可能会改变互联网。 拟议的第13条条款将要求Facebook和Reddit等平台在内容发布前对内容进行扫描,并删除他们认为可能被盗的内容。 英国《独立报》报道称,这意味着模因可能成为目标,其倾向于使用受版权保护的照片。 在一份发给欧洲议会主席的公开信中,科技专家和知名人士(包括万维网之父蒂姆·伯纳斯 – 李和维基百科创始人吉米·威尔斯等人)表示,第13条条款对互联网的未来构成了“迫在眉睫的威胁” 。 这封信指出:“通过要求互联网平台自动过滤其用户上传的所有内容,第13条条款将互联网从共享和创新的开放平台转变为自动监视和控制其用户的自动化工具。”这封信的作者还写道,他们怀疑第13条条款的合法性,认为这违背了欧盟基本权利宪章。 联合国见解和言论自由特别报告员David Kaye也在网上发表了一封信,其中概述了他对第13条条款会导致审查制度的担忧。 欧洲议会发言人没有立即回应置评请求。   稿源:cnBeta,封面源自网络;

谷歌改口,将修复地理位置信息泄露问题

雷锋网消息,据外媒美国时间 6 月 18 日报道,未来几周内,谷歌将修复旗下两款最火爆消费级产品的地理位置信息泄露问题。最新研究显示,只需在后台运行一个简单的脚本,黑客就能从 Google Home 或 Chromecast 电视棒上搜集精确的位置信息。 来自安全公司 Tripwire 的研究者 Craig Young 表示,他发现了谷歌这两款产品上的一个身份验证的弱点,黑客能通过弱点拿到用户极为精确的地理位置信息。原来,他们只需询问谷歌设备附近无线网络的名单,随后将该名单发给谷歌的地理位置查询服务就行。 “黑客完全可以进行远程攻击,只要能让受害者连接在相同 Wi-Fi 或有线网络上的产品,打开一个链接就行。”Young 说道。“不过,这种攻击方法有其局限性,因为这个至关重要的链接至少要开启一分钟以上,攻击者才能拿到精确的地理位置信息。” 一般来说,网站都会记录访问者的数字 IP 地址,如果结合在线地理定位工具使用,就能搜集到访问者所处地理位置的信息。不过,此类地理位置信息在准头上可差得多。 但是,谷歌的地理位置数据可不一样,它们在全球有用大量无线网络名称的综合性地图,每个 Wi-Fi 网络都有对应的物理地址。掌握了这些数据的谷歌,通过三角测量甚至能将用户地位精确到几英尺之内。(如果你不信,就请关掉手机上的定位数据并移除 SIM 卡,这时手机照样能找到你的位置)。 “与普通的 IP 地址定位相比,谷歌的位置数据精准度要高出不少。”Young 说。“如果现在我定位了自己的 IP 地址,得到的数据只能落在我周边 2 英里之内。如果用家里的 IP 地址进行定位,位置漂移甚至能达到 3 英里。一旦黑客拿走谷歌的位置数据,定位精度就能缩短到设备周边 10 米左右。” “我只在三种环境下进行过测试,每次得出的地址都相当精确。”Young 说道。“基于 Wi-Fi 的定位主要靠对信号强度、接入点以及用户手机位置(已知)的三角测量得出。” 这个弱点除了会曝光 Chromecast 或 Google Home 用户的位置信息,还能让黑客有机可乘,发动钓鱼和勒索攻击。 其实全世界的骗子都差不多,美国的也喜欢冒充 FBI 或国税局来恐吓你,他们甚至还会威胁向你的家人和朋友泄露某些秘密,而精确的地里位置信息会成为骗子的帮凶,增加他们的手的几率。 雷锋网了解到,今年 5 月,Young 向谷歌报告了自己的发现,不过搜索巨头直接回复称,自己不会修复这个问题。但后来它们改了口,称准备推送升级包解决这两款设备的隐私泄露问题。据悉,这个升级包将于今年 7 月  中旬正式推送。 “我们必须假定,在本地网络上可以访问的任何无认证数据攻击者也能随意接入。”Young 在博客中写道。“这就意味着,所有请求都必须进行验证,而所有未验证的响应都越模糊越好。” “如果你不太懂技术,解决该问题最好的方案就是为联网设备专门添加一个路由器。”Young 在博客上写道。“只需将新路由器的 WAN 口连上现有路由器的开放 LAN 端口,攻击者漂浮在主网络中的代码就不能随意控制这些联网设备了。虽然这种方案并非终极防御之术,但防范普通的攻击者绰绰有余了,因为他们中大多数人恐怕根本就意识不到自己还得攻克另一个网络。   稿源:雷锋网,封面源自网络;

前 CIA 雇员被指控向维基解密泄露黑客攻击工具

周一的时候,一名前中央情报局雇员被指控向维基解密泄露了黑客工具。美国司法部周一表示,在一个大陪审团做出的 13 项指控中,29 岁的 Joshua Adam Schulte 被指窃取了机密的国防信息。由起诉书可知,2016 年的时候,Schulte 从一个 CIA 网络中窃取了机密信息,然后将之传输给了起诉书中未被确认的某个组织。 (截图:维基解密创始人朱利安•阿桑格) 此外,Schulte 还被指控故意破坏 CIA 计算机系统、删除他的活动记录、并阻止其他人访问该系统。Schulte 当前因儿童色情指控而被拘留,但他对这些指控并不认罪。 维基解密将这批泄露信息称作“七号金库”(Vault 7),披露美国中央情报局借助这些工具来入侵手机、计算机和电视。 政府调查人员在电子取证方面极其努力,甚至为智能电视量身定制了黑客工具。 此事引起了轩然大波,一些科技人士表示,这将进一步损害硅谷和美国政府之间的关系。 不过隐私保护人士也看到了好的一面,毕竟调查人员依赖于针对单个嫌疑人发起黑客攻击来找到犯罪证据,而不是用大规模的监控网络来获取每一个人的在线活动信息。 美国政府尚未正式承认 CIA 被黑客入侵,但特朗普总统披露过奥巴马任期内的一次事件。他在 2017 年 3 月接受福克斯电视台采访时表示: 我只想让大家知道,中央情报局被入侵过,很多东西都被黑客给拿到手了。 司法部官员称,本次泄密事件让美国国家安全处于危险境地: Schulte 彻底背叛了这个国家,彻底了侵犯了他的受害者。作为 CIA 的一名雇员,他曾发誓要保卫这个国家,但他公然通过机密信息的传播而造成了威胁。 对于此事,CIA 和被告律师都没有立即回应记者的置评请求。   稿源:cnBeta,封面源自网络;

美国 Uber 因侵犯隐私 20 年内将受监督

有消息称,近日,Uber和美国政府达成和解协议,美政府要求Uber采取一系列整改措施,另外在未来20年内,需有第三方对Uber的软件和相关行为进行监督。 据外媒报道,美国政府联邦贸易委员会(FTC)因Uber随意采集消费者和专车司机的个人隐私数据,并没有做好保护措施对其展开调查。双方就此作出和解。 FTC指控称,Uber没有对下属员工的行为进行监督,导致他们能够随意获取消费者和司机的隐私数据。并且Uber在两个方面误导了消费者:对于能够访问隐私数据的内部员工,在其监督机制方面进行了误导宣传;Uber宣称会采取措施保护这些数据,这也是一个误导行为。 根据和解协议,政府要求Uber公司解决现有全部产品和服务中的个人隐私风险,另外要确保个人隐私信息的保密工作。在未来180天以及20年之内(每隔两年),Uber必须接受第三方机构对于个人隐私和数据保护措施的审核和监督。 有消息称,Uber前CEO卡兰尼克被大股东告上法庭后,Uber全球运营高级副总裁瑞恩·格拉夫斯在发给员工的邮件中宣布离职。近日,外媒报道Uber开发者平台主管克里斯·萨布将会离职。   稿源:北京商报,封面源自网络;