分类: 国际动态

美国一些选举系统被指连上网络 存在被攻击风险

据外媒报道,安全研究人员发现,美国10个州的35个后端选举系统在过去一年的某个时候都已经连接到互联网上,这意味着它们面临着被黑客攻击或遭篡改的风险。另外研究人员还发现,选举系统的防火墙可能配置不当或不安全。 据悉,这些州使用的选举系统由美国最大的投票机公司Election Systems & Software(以下简称ES&S)开发。ES&S曾在最新的这次研究告诉媒体,这些系统不会连接公共互联网。然而就在研究结果公布后没不久,研究人员提到的一些网站被撤下,这也表明了研究人员得出的结论是有效的。 实际上,这并不是对ES&S的安全措施第一次提出担忧:去年,这家公司披露,他们在2000年至2006年期间在一些投票机上安装了远程访问软件。虽然报告中没有提供表明该系统或投票记录被操纵的证据,但这些未披露的漏洞仍旧引发了人们对美国投票系统安全性的质疑。 此外,这家公司出售的许多新投票机都没有跟上打击选举干预所需的严格安全措施。美联社最近的一篇报道指出,宾夕法尼亚州使用的许多新选举系统包括ES&S开发的系统都还在运行Windows 7系统。而我们知道,从明年年初开始,Windows 7将不再获得补丁或技术支持,届时微软将要求对更新需求收费。   (稿源:cnBeta,封面源自网络。)

苹果将向漏洞研究者提供百万美元奖金:创企业界纪录

北京时间8月9日早间消息,据路透社报道,苹果将向网络安全研究人员提供高达100万美元的资金,以鼓励他们寻找iPhone手机的缺陷,这也成为一家企业为防范黑客而提供的最高奖励。 与其它技术提供商不同,苹果此前仅向受邀的研究人员提供奖励,这些研究人员试图在手机和云备份中发现漏洞。 周四在拉斯维加斯举行的年度黑帽安全会议上,该公司表示将向所有研究人员开放这一流程,并增加了Mac软件和其他检测目标。 100万美元的奖金仅适用于无需手机用户的任何操作即可远程访问iPhone内核的漏洞。苹果之前提供的最高奖金是20万美元。他们会在收到报告后通过软件更新解决问题,避免将其暴露给不法分子。 政府承包商和经纪人针对最有效的黑客技术支付的最高金额已经达到200万美元,他们希望借此从设备获取信息。然而,苹果的最新奖金计划与承包商公布的一些价格处于相同区间。 苹果正在采取其它措施来简化研究难度,包括提供一些已禁用某些安全措施的改版手机。漏洞攻击的主要方式就是一些软件程序,借此利用手机其软件或已安装应用中的未知缺陷。 以色列NSO Group等许多私营公司都在向政府出售黑客攻击能力。   (稿源:新浪科技,封面源自网络。)

亚马逊为美国警方开发高科技监控工具 引发社会担忧

北京时间8月8日晚间消息,据美国财经网站CNBC报道,亚马逊子公司Ring不仅制造无线安全摄像头,它还可以访问警方数据,提醒居民注意潜在的犯罪行为,鼓励用户分享可疑行为的录音,并将其与执法部门联系起来。对此,隐私和公民自由的倡导者认为,Ring与政府的合作关系正在创造一种新的政府监控层。 今年的7月12日,在黎明之前的几个小时,美国亚利桑那州钱德勒(Chandle)地区的一名男子被手机上的警报惊醒。警报来自于他的Ring安全摄像头,后者检测到有人在他家外面移动。 视频显示,一群年轻人闯入了几辆汽车。这名男子从前门向他们大喊,然后报警。当一名警官赶到时,这几名男子乘车疾驰而去,留下了手机、作案工具和其他一些东西。当天上午晚些时候,他们自首了。 当时,房主已经向警方展示了其摄像头所拍摄的视频片段,并将其发布到了Ring的应用程序Neighbors上,Ring是亚马逊去年收购的一家智能设备厂商。Ring不仅制造无线安全摄像头,它还可以访问警方数据,提醒居民注意潜在的犯罪行为,鼓励用户分享可疑行为的录音,并将其与执法部门联系起来。 后来,这位房主在Neighbors上写道:“感谢Ring!!!”而钱德勒的一名警官回复称:“感谢你的发帖。” 这次交互是警方使用Ring的典型方式,在利用Ring侦查和调查犯罪的同时,也帮助Ring拓展业务。Ring在钱德勒的这种部署也是全美数十个这样的合作关系中的一部分,也是亚马逊更广泛努力的一部分,即加深与执法部门的合作。但同时,也有批评人士指出,亚马逊这是在帮助政府强化对国人的监控。 如今,亚马逊的政府业务已经成为该公司拓展电子商务以外业务、进入互联网工具市场的重要组成部分。金融咨询服务公司韦德布什证券(Wedbush Securities)分析师丹尼尔·艾夫斯(Daniel Ives)称,通过云计算子公司Amazon Web Services(AWS),亚马逊与政府部门(包括警察部门、联邦执法部门、国家情报机构和移民当局)签订的合同规模已经从2014年的2亿美元激增到今天的20亿美元。 艾夫斯说:“在许多调查中,时间是至关重要的。与亚马逊的合作,使得许多警察部门能够更快地获取数据,并以更有帮助的形式获取数据。” 但批评人士却指出,亚马逊与政府的合作表明,一家公司在与政府的合作中如何定位至关重要,它可能导致过度扩张和滥用。 隐私权和公民自由的倡导者警告说,Ring的合作伙伴关系正在创造一个新的政府监控层。亚马逊员工、人工智能研究人员和激进投资者已要求亚马逊停止向执法部门出售其面部识别服务,停止向联邦移民局提供网络托管服务,并成立一个委员会来审查其产品的潜在社会后果。 倡导数字权利的非营利性组织“新美国开放技术研究所”(New America‘s Open Technology Institute)政策主管莎伦·布拉德福德·富兰克林(Sharon Bradford Franklin)称:“虽然提供安全的云存储似乎不会构成隐私威胁,但提供一系列技术,包括面部识别和门铃摄像头等强大的监控工具,再加上将数据汇集到大型数据库并运行数据分析的能力,确实会造成真正的隐私威胁。” 对此,亚马逊在一份声明中称:“我们相信我们的客户,包括执法机构和其他致力于保护我们社区安全的团体,应该能够获得最好的技术,并相信云服务可以使社会获得实质性的裨益。” 事实上,亚马逊此前在这方面已经引发了社会的担忧。通过子公司Ring,亚马逊将摄像头安放在数百万人的门铃上,还邀请他们跟邻居、警察通过一个预防犯罪的社区共享视频。此外,亚马逊还向警方和私企出售人脸识别系统。   (稿源:新浪科技,封面源自网络。)

继苹果谷歌后:微软被曝监听用户 Skype 和 Cortana 录音

北京时间8月8日早间消息,据美国科技媒体The Verge援引Motherboard消息报道,微软合同工正在手动审查从Skype自动翻译功能与Cortana语音助手收集的录音。Motherboard获悉的录音中,内容包括用户的私人对话和关系问题讨论以及其他个人事情如减肥等等。“我同你分享的这些内容无不说明,他们在保护用户数据方面是多么松懈,”向Motherboard分享音频文件的一位合同工解释说。 该匿名合同工还提到,在审查过程中,他们还听到类似于“电话色情”的内容,还说他们听到用户使用Cortana命令输入自己的完整地址,以及使用语音助手搜索色情内容。 尽管合同工指出,他们无法获悉用户的身份识别信息,但微软的消费者大概不会希望看到,他们的私人对话正有可能成为“穿着睡衣坐在客厅里的陌生人之间”的笑话。Motherboard随后发现一份招聘清单,证实合同工可以在家工作。一名微软发言人表示,所有合同工都签署了保密协议,且微软拥有审计权确保合规性。 在微软之前,苹果、亚马逊和谷歌也相继因处理从各自语音助手收集到的语音数据而面临严峻的审查。聘请合同工听取录音是为了改善用户使用的语音服务。在微软这件事上,Motherboard报道称,部分合同工需听取的音频来自Skype的机器翻译服务,该服务推出于2015年。 但微软并未在Skype Translator FAQ和Cortana文档中说明公司正使用语音数据以改善服务,仅仅是提到“语句和自动记录将会被分析,任何更正会进入我们的系统,以构建更高性能的服务。”在其他地方,公司称“(验证)自动翻译并将更正反馈给系统”。但是,Motherboard指出,微软并未明确表示会有任何人将收听这些录音。 问及此事时,微软表示,公司仅在用户选择参与的基础上收集和使用语音数据,并指出在隐私面板的语音部分,用户可以删除公司获得的关于用户本人的语音数据。 微软发言人在声明中强调,公司“对收集和使用的语音数据始终保持透明以确保消费者有能力就他们的语音数据做出明智的选择……微软在收集和使用用户语音数据之前,会先征求用户许可。” “在与供应商共享数据之前,我们还制定了几项旨在优先保护用户隐私的程序,包括隐去身份识别信息、要求供应商及其员工签署保密协议、遵守欧盟更严格的隐私标准等。”   (稿源:新浪科技,封面源自网络。)

传 Facebook 整合私信底层技术 使旗下不同 App 私信互通

北京时间8月8日早间消息,据彭博社援引知情人士消息称,Facebook正向着合并其系统迈出第一步,让用户在所有不同的移动应用程序之间交换消息,并将因此降低Instagram的私信产品的独立性。 据知情人士透露,工程师正在努力使用Facebook Messenger的技术重建Instagram的聊天功能。这将让Instagram用户可以与Messenger用户进行通信,实现现在无法实现的功能。 知情人士表示,为了简化技术难度,Instagram的私信部门员工现在向Facebook Messenger团队汇报工作。知情人士表示,这款照片共享应用程序的消息产品(Instagram Direct)外观不会有太大变化,但是该服务的底层技术将会发生改变。 去年,Facebook CEO马克·扎克伯格(Mark Zuckerberg)决定让Facebook旗下产品(包括Instagram,WhatsApp和Messenger)无论使用哪种服务都可以互相聊天。这项被其称做“互操作性”的转变被描述为一项艰巨的技术任务。这也引起了公司内部的矛盾。 批评人士认为,这些产品的茁壮成长一定程度上源自它们与Facebook缺乏直接联系。这个世界上最大的社交网络在隐私和数据共享实践方面面临尖锐批评。 Instagram的发言人和Messenger发言人拒绝发表评论。 知情人士表示,扎克伯格已经在内部表示,Facebook分别于2012年和2014年收购的Instagram和WhatsApp可以利用Facebook的资源来发展自己的独立品牌,所以现在是他们回馈母公司的时候了。 扎克伯格最近几年声称对Instagram和WhatsApp拥有更多的控制权,抑制他们的自主权,以期让旗下所有服务更紧密地运作。Facebook旗下四款主要应用程序(Facebook、Messenger、Instagram和WhatsApp)的领导者都在今年三月直接向扎克伯格汇报。 Facebook最近表示将把Instagram和WhatsApp的外部品牌改为“来自Facebook的Instagram”和“来自Facebook的WhatsApp”。知情人士称,这些部门的员工也将改为使用Facebook电子邮件地址,放弃目前的@instagram.com或@whatsapp.com。 外媒早些时候曾报道过这一举措。美国科技媒体The Information上周也阐述了Instagram Direct团队的新报告结构。 Instagram和WhatsApp的一些关键员工对这项计划并不认可。Instagram联合创始人凯文·希斯特罗姆(Kevin Systrom)和麦克·克雷格(Mike Krieger)去年秋天离开了公司,原因是他们对扎克伯格的控制感到沮丧。WhatsApp创始人也因为在WhatsApp中投放广告而与扎克伯格发生冲突,并最终退出公司。 这些创始人的离职引发广泛关注,但却并没有改变Facebook在其所有独立服务之间加强联系的计划。Facebook此项计划正值美国联邦贸易委员会(FTC)调查Facebook是否存在潜在的反垄断违规行为之际。包括Facebook联合创始人克里斯·休斯(Chris Hughes)在内的一些评论家表示,从技术上讲,这项整合计划加大该公司的分拆难度。 扎克伯格在3月份辩称,此举主要是考虑到是隐私和便利需求。这家社交网络还打算加密其所有聊天服务,这意味着所有消息将保持私密,不会存储在Facebook的服务器上。目前只有WhatsApp以这种方式完全加密,但扎克伯格的计划是加密Instagram和Messenger消息。   (稿源:新浪科技,封面源自网络。)

特朗普指责谷歌:在大选期间有“非常不合法的”行为

北京时间8月7日上午消息,据路透社报道,美国总统特朗普周二指责谷歌,称谷歌试图破坏他的2016年竞选活动,并警告在2020年大选到来之际,自己正“非常密切地”关注谷歌。 特朗普指责谷歌有“非常不合法的”行为,但并未拿出证据,也未正式控告。 白宫代表未立即回应政府将对谷歌采取何种措施的问题。 而谷歌发言人表示:“出于政治目的扭曲结果将伤害我们的业务,违背我们向所有用户提供有帮助的内容的使命。” 特朗普屡次抨击谷歌等多家科技企业,提升收紧监管的可能性。一些保守派人士指责这些科技公司不公平对待客户。   (稿源:新浪科技,封面源自网络。)

微软成立 Azure 安全实验室:最高悬赏 30 万美元

Azure是目前微软发展最快的业务之一,在提升全球覆盖率和使用率的同时微软希望将其打造成为数字领域的诺克斯堡(Fort Knox,美国最安全的小镇)。微软刚刚宣布成立了Azure安全实验室,并且欢迎世界各地的安全专家通过测试Azure安全漏洞来换取奖金报酬。 微软首席安全PM经理Kymberlee Price解释称:“Azure安全实验室的隔离允许我们提供新的东西:研究人员不仅可以研究Azure中的漏洞,还可以尝试进行修复。那些有权访问Azure安全实验室的人可以尝试基于场景的挑战,获得300,000美元的最高奖励。” 愿意加入微软新Azure安全实验室的安全研究人员可以在此页面上填写申请。新的悬赏项目对于Azure生态系统来说无疑是个好消息,它能够为使用该业务的所有客户提供更安全的环境。 Price表示:“为了感谢他们的努力以及在产生实质性危害之前缓解和解决这些问题,在过去12个月中我们已经累计发放了440万美元的悬赏。我们感谢整个行业的安全合作伙伴,并相信我们今天宣布的新计划将有助于进一步保护Azure生态系统。”   (稿源:cnBeta,封面源自网络。)  

Cloudflare 宣布终止对 8chan 的服务 后者或面临潜在 DDoS 攻击

据外媒The Verge报道,Cloudflare是一项帮助网站缓解DDoS攻击的在线基础设施服务。在周末德克萨斯州埃尔帕索发生致命的白人民族主义枪击事件后,Cloudflare宣布终止对在匿名贴图讨论版网站8chan的服务。枪手Patrick Crusius被曝曾在8chan发布仇恨言论。 8chan的所有者已经被告知他们的服务将被撤销,该网站可能面临导致其完全关闭的潜在DDoS攻击。Cloudflare将于太平洋时间周一午夜正式关闭服务。目前尚不清楚8chan的所有者是否已找到新的安全服务来取代Cloudflare。 8chan的所有者没有回应重复的评论请求。 Cloudflare的联合创始人兼首席执行官Matthew Prince在周日晚上的一篇博客文章中写道:“虽然从我们的网络中删除8chan会让我们失去热情,但却无法解决为什么仇恨网站在网上恶化。它没有解决为什么发生大规模枪击事件。它没有解决为什么部分人会不再抱有幻想,将其变成仇恨。“ “在采取这一行动时,我们已经解决了我们自己的问题,但我们还没有解决互联网问题,”他继续说道。 8chan的创始人Fredrick Brennan感谢Cloudflare终止其服务,并在推文中说:“最终这场噩梦可能会结束。” 周六在埃尔帕索发生枪击事件造成至少20人死亡,二十多人受伤,这是今年发生的第三次与8chan和白人民族主义意识形态有关的大规模枪击事件。第一次是在新西兰克赖斯特彻奇发生的枪击事件, 当时Cloudflare拒绝撤销其服务。 Cloudflare之前已经终止为其他包含仇恨言论的网站提供服务,其中最著名的是新纳粹网站The Daily Stormer。然而,Cloudflare竞争对手为The Daily Stormer提供服务,该网站至今仍然可用。 “不幸的是,我们今天采取的行动不会在网上修复仇恨,”Prince写道。“它几乎肯定不会从互联网上删除8chan。但这是正确的做法。”   (稿源:cnBeta,封面源自网络。)

研究警告:犯罪分子在 Twitter 上利用技术支持骗局欺骗用户

据外媒CNET报道,研究人员警告Twitter用户在交出信用卡号码之前要仔细检查技术支持账户。网络安全公司趋势科技(Trend Micro)周二发布的一份报告详细介绍了网络犯罪分子利用社交媒体平台欺骗用户的一些最新方式。 趋势科技在2月份分析了Twitter 数据,发现犯罪分子吸引更多的受害者的方法。这包括重复发布虚假电话号码,同时通过电话冒充官方技术支持代理,并说服受害者交出信用卡信息。网络犯罪分子还使用虚假技术支持Twitter帐户来散布针对银行账户的窃取数据的恶意软件。 根据趋势科技的说法,Twitter骗局是欺诈者在Facebook、YouTube、Pinterest和Telegram上进行多平台努力的一部分。 “直接阻止技术支持骗局是棘手的,因为他们不依赖于恶意可执行文件或黑客工具,”该研究称。“他们反而通过社会工程攻击来将目标对准毫无戒心的受害者。” Twitter有针对诈骗和滥用的政策。趋势科技表示,其发现这些规则得到了积极执行,而且它发现的许多诈骗帐户都被迅速删除。 趋势科技在其网站上发布了完整报告。Twitter没有立即回复评论请求。   (稿源:cnBeta,封面源自网络。)

美联邦法官驳回 DNC 提起的总统大选网络攻击诉讼

据外媒报道,当地时间周二,美国一名联邦法官驳回了民主党全国委员会(DNC)对俄罗斯政府、维基解密和特朗普竞选团队提起的诉讼。该诉讼称,被告涉嫌在2016年攻入DNC电脑并泄露私人电子邮件。 尽管美国地区法官John Koeltl同意俄罗斯联邦无疑是该次黑客攻击的幕后黑手,但他裁定,俄罗斯联邦不能被起诉–《外国主权豁免法》保护外国政府免受民事诉讼。 Koeltl在裁决中写道:“外国政府采取敌对行动的补救措施是国家行动。”换言之,对于俄罗斯的行为必须通过外交手段而非司法体系来解决。 另外,法官裁定,维基解密和特朗普竞选团队在不违反《第一修正案》的情况下不能为泄露DNC的电子邮件承担责任。 至于DNC声称维基解密活跃入侵其电脑的说法,Koeltl法官裁定,该委员会未能提供令人信服的证据。 维基解密代表律师Joshua Dratel在接受采访时说道:“它(这起案件)重申了《第一修正案》的一些重要原则,这些原则适用于新闻业的各个领域,无论你是一个强大的机构还是一个小型的独立机构。” DNC发言人Adrienne Watson表示,他们正在审查这一决定并对其开创的先例感到担忧。 至于DNC方面是否会上诉目前并未得到公布。   (稿源:cnBeta,封面源自网络。)