分类: 推荐阅读

美国公民认为黑客犯罪是对健康、安全与繁荣的最大威胁

网络安全公司 ESET 随机选择美国成年公民,要求他们评估 15 种不同危害的风险程度。其中有六种与网络有关,其余的则是其他形式的技术危害。结果表明,黑客犯罪被认为是最大的风险,远远超过排位第二的空气污染,危险废物排名第三,另有与网络有关的盗窃或暴露私人资料,被评为第四;政府监控只排名第八。 ESET 高级安全研究员 Stephen Cobb 表示:“说实话,我对结果感到非常震惊,所以我们第二次进行调查,而且我们得到了同样的结果”。该调查是在 7 月下旬,8 月初,WannaCry 和 Petya/NotPetya 恶意软件爆发之后,但在 Equifax 客户资料泄露事件爆出之前进行的。 此外,黑客犯罪被 45 岁以上的美国人视为较高风险,51% 的受访者将其视为高风险或非常高的风险,而 45 岁以下这方面比例为 47%。年龄在 30 到 44 岁之间的被调查着最不关心黑客犯罪风险。 稿源:cnBeta,封面源自网络;

Equifax 因数据泄露推出安全服务域名疑似虚假钓鱼网站

据外媒报道,Equifax 对近期发生的客户数据泄露的反应完全是一个糟糕的行为。大约两周前,也就是数据泄露事件曝光那会儿,这家公司在其官推上发出了一个帮助客户注册身份盗窃保护服务并获取公司对 “ 网络安全事件 ” 最新处理消息的网站。然而,这个叫做 equifaxsecurity2017.com 的网站却让公民看着像是一个虚假钓鱼网站。 为了证明这点,开发者 Nick Sweeting 就创建了一个跟 Equifax 相类似的安全服务网站 securityequifax2017.com。可以看到,Sweeting 只是将 equifax 和 security 的顺序调换了一下。 虽然 Sweeting 这么做并没有什么恶意,但 Equifax 官方自己也被这个网站给愚弄了,可以看到,该公司在官推上甚至发出了让客户访问 securityequifax2017.com 的消息,并且不止一次。 Sweeting 告诉媒体,由于 Equifax 创建的这个网站非常容易被模仿,所以这对于该家公司来说是一件非常危险的事情。据了解,Sweeting 仅用了 20 分钟就克隆了该网站,他认为,网上肯定已经有了真正模仿该网站的钓鱼网站。 稿源:cnBeta,封面源自网络;

中国公司开发的 GO 输入法被指控监视用户敏感信息

据相关媒体报道,中国广州公司 GOMO Dev Team 开发的 GO 输入法被指控收集用户个人信息、下载危险的可执行代码。Google Play 统计显示,该输入法在全世界有超过 2 亿用户。 安全公司 Adguard 的研究人员发现,GO 输入法会向该公司的服务器报告用户的 Gmail 账号、语言、IMSI、位置、网络类型、屏幕大小、Android 版本、设备型号等。此外,GO 输入法还会从远程服务器上下载可执行代码,而它下载的一些插件被安全软件归类为广告程序。 GO 输入法所拥有的广泛权限意味着它下载的可执行代码会给用户带来严重的安全风险。记住它是一个输入法,你输入的信息都可能会被它记录下来。 稿源:solidot奇客,封面源自网络;

安全研究:手指模型的发展或将改进指纹识别技术

指纹识别几乎无所不在,但它们仍然是手机最大的安全漏洞。据外媒报道,科学家现在创造了一个更逼真手指模型,他们希望由此改进指纹识别技术。此前手指模型已经存在,但密歇根州立大学的研究人员最近创建了一种更高级的版本,可用于测试指纹扫描仪,并使其更难以被入侵。 一篇详细说明该过程的技术报告已提交 arXiv,而这篇论文还将在《 IEEE Transactions on Information Forensics and Security 》杂志上发表。 制造手指模型解锁手机并不难,其 CITER 研究人员就曾根据图像开发出 3D 打印模具;而在 2014 年的混沌电脑俱乐部(Chaos Computer Club)年度大会上,一位名为 Starbug 的安全研究人员也曾利用德国国防部长手部的高分辨率照片复制出拇指指纹。 此外,这项研究的作者 Anil Jain 长期致力于这些生物特征问题。去年,他所在的实验室用 3D 打印技术成功复制一名死者的指纹,从而帮助警方解锁手机。在这项新研究中,Jain 团队使用 3D 打印机为现实的手指模型创建了一个模具,而手指模型本身由不同类型的硅树脂和颜料制成。 在这项研究中,指纹读取器使用不同的方法。有些是利用光学扫描仪拍摄人们的指尖,看看它是否与存储的相匹配;有些使用皮肤电导率和电流创建图像,这些称为电容式扫描仪的设备可以创建更清晰的图像。另一种方法使用超声。其超声波脉冲照射在手指上,一些脉冲被吸收,一些返回到传感器。然后传感器使用机械应力检测人们指尖的细节。目前,实验室的新手指模型具有真正手指的光学、电学和机械性能。它们可用于测试光学与电容式传感器的准确度。 稿源:cnBeta,封面源自网络;

Facebook 表示将把俄罗斯购买的广告内容移交至美国国会

据外媒报道,Facebook 于本月初公开表示他们曾在美国 2016 年总统大选期间向与俄罗斯存有关联的账号销售过价值 10 万美元的广告。现在,这家公司决定向国会提供为其在 2015 年至 2017 年向俄罗斯组织 “ 互联网研究机构(IRA)” 销售过的广告。 Facebook 此前表示,这家俄罗斯机构在美国购买了 3000 多个针对美国政治、社会问题的广告。其中约有 470 个 Facebook Page 账号跟这些广告存有关联,并且看起来很有可能是俄罗斯方面在运营。据了解,俄罗斯购买的广告主要将精力放在传达出被放大的分裂社会和政治信息,包括枪支、种族、LGBT 以及移民等问题。Facebook 还曾指出,近 1/4 的广告都有地理定位性,并且它们大多数都不是直接针对美国总统选举。 近期,最新公布的声明指出,Facebook 透露他们将把这些广告移交给国会的调查人员。该家公司表示,在做出这个决定之前他们非常矛盾,一面是他们要保护好用户内容的政策,一面是投放的广告需是用户导向的内容。 稿源:cnBeta,封面源自网络;

Google:没有人能够免受网络攻击,AI 防御也不例外

根据 CNBC 消息,保护 Google 系统 15 年的网络安全专家在旧金山召开的 TechCrunch Disrupt 2017 技术会议中谈到,没有人能够免受网络攻击,就算使用了人工智能也无济于事。Google 表示有超过 10 亿人使用其 Gmail 程序。 但 Google 的信息安全和隐私总监 Heather Adkins 以及 Google 安全团队的创建成员建议用户不要将敏感的个人信息保存在 Gmail 当中。此外,Adkins 在场上接受采访时表示,网络攻击可能会发生在任何人任何地方,她呼吁初创公司时刻做好应对黑客入侵的准备。 Adkins 解释说, AI 驱动的安全软件在面对 20 世纪 70 年代的网络攻击面前都不是很有效,更不用提最新的攻击方式了。詹姆斯·安德森在一篇 1972 年的研究报告中指出:“防御技术并没有任何改变,即使我们已经知道这种攻击的方法已经很久了”。虽然 AI 非常适合发起网络攻击,但并不是说它会比非 AI 系统具有更好的防护能力,AI 在防毒功能中表现出太多的 “ 假阳性 ” 了。 Adkins 认为将 AI 应用用于安全性的问题在于机器学习需要反馈“好”与“不好”的经验,特别是当恶意程序试图掩盖其真实性质时,AI 就会接受恶意程序学习。当 Adkins 被问及会向企业提供什么建议来保护网络安全时, Adkins 建议人们网络维护方面更多地使用人力,尽量减少对 “ 技术 ” 的依赖。 稿源:cnBeta、威锋网,封面源自网络;

2017 Q2 安全报告: 安卓手机故障率是 iPhone 的两倍

据市场研究机构 Blancco Technology Group 最新公布的 2017 年第二季度移动设备性能和健康报告显示,每四台 Android 设备中就有一台存在故障,其全球故障率为 24%。相比之下,iPhone 手机的故障率仅为 Android 设备的一半。另外,北美两者的差距更大,Android 设备和 iPhone 的故障率分别为 24% 和 8%。 值得一提的是,Android 设备和 iPhone 在亚洲市场的故障率对比出现了逆转,在这个市场中,iPhone 的故障率高达 60%,Android 设备的故障率虽然低一些,但是也达到了 28%。今年 4 月到 6 月期间,61% 的 Android 故障设备来自三星手机,随后是 LG 的 11%。事实上,根据这份报告显示,Android 手机中故障率最高的五款手机均来自三星,其中 Galaxy S7 edge、Galaxy S5、Galaxy S7 的故障率均为 6%,Galaxy S7 Active 和 Galaxy Express Prime 的故障率为4%。总体而言,在 Android 手机中,故障率最高的 10 款手机中有 9 款来自三星。 2017 年第二季度最容易出故障的 iPhone 机型是 iPhone 6,其故障率达到 26%,iPhone 6s 和 iPhone 5s 以 11% 的故障率紧随其后。iPhone 用户在第二季度抱怨最多的问题是设备发热(11%),其次是 Wi-Fi 信号(9%)、手机信号(6%)、耳机(5%)和耳麦(4%)。在北美市场,用户抱怨最多的是 Wi-Fi 信号(15%),其次是移动数据问题(7%)。 Android 用户抱怨最多是性能(25%)、USB(11%)、电池充电(11%)、运营商信号(9%)和屏幕(3%)。另外,今年第二季度 iOS 应用崩溃率为 54%,Android 应用崩溃率为 10%。在 iOS 设备上,Instagram 和 Messenger 的崩溃率均为 8%,排在第一位,随后分别是Pinterest(6%)、Facebook 和谷歌(均为5%)、Snapchat(4%)、WhatsApp(3%)和 YouTube(3%)。Android 方面,应用崩溃率最高的几款应用分别是 Facebook(12%)、通讯录(5%)、Google Play 商店(4%)、Messenger(2%)和天气(2%)。 稿源:cnBeta、威锋网,封面源自网络;

《 2017 年上半年中国公共 WiFi 安全报告 》发布:国内风险热点占比 0.81%

9 月 15 日,全球最大的网络互助分享平台 WiFi 万能钥匙发布《 2017 年上半年中国公共 WiFi 安全报告》(以下简称《报告》)。《报告》显示,2017 年上半年,国内风险 WiFi 热点占比 0.81%。 《报告》显示,用户实际遇到风险 WiFi 的概率不足百分之一,其中超过 99% 的 WiFi 风险带给用户的损失是在被动情况下链接了广告页面。用户遇到真正有威胁的中高风险 WiFi 热点的概率不到万分之八。另外,如何鉴别规避风险 WiFi,《报告》也给出了很多有效建议。连尚网络首席安全官龚蔚表示:“ 风险 WiFi 数量少,可鉴别,日常连接公共 WiFi 不必谈虎色变。” 国内风险 WiFi 现状:占比低,易防范,危害性较低 WiFi 万能钥匙将存在网页篡改、SSL 篡改、DNS 劫持、ARP 异常这四类风险的WiFi热点定义为风险热点。《报告》显示,2017 年上半年国内仅有 0.81% 的热点存在风险,占比不足百分之一。其中超过 99% 的风险热点是低风险热点,给用户造成的伤害为 “ 被动点击广告 ”。目前风险热点主要通过两种方式达到该目的,一种是通过最常见的广告链接形式,使用户在浏览网页时,并未主动点击却有广告弹出。另一种则是通过暗链的形式,在用户手机后台点击广告,达到恶意推广、广告刷量等目的,同时由于是在手机后台操作,用户对此并无感知。 真正的高风险 WiFi 热点会将用户引向钓鱼网站,或者进行 SSL 篡改,借机窥伺用户的账号密码等数据。但是这两类高风险热点占比微乎其微,加上中等风险的 DNS 劫持和 ARP 异常风险热点,在所有热点的占比仅为 0.0076%。而且,只要对风险 WiFi 的产生机制有一定了解,大部分风险 WiFi 也是比较容易识别及防范的。 WiFi 万能钥匙全方位保护用户连网安全 龚蔚表示:“尽管被动点击广告这种危害对用户没有造成直接损失,但仍旧是对用户正常浏览行为的一种骚扰。中高风险的热点尽管占比极少,但是也不容忽视 ”。为此,WiFi 万能钥匙打造了事前、事中、事后三重防护,全方位保障用户连网安全。WiFi 万能钥匙自主研发的 “ 安全云感知系统 ”,能够利用大数据追踪对WiFi热点进行全方位的安全评估,做到连接前针对风险 WiFi 做出预警,帮助用户提前预知风险。 针对用户连网过程中的安全保护,WiFi 万能钥匙也推出了“安全隧道保护系统”提供底层驱动级保护。在用户上网过程中,这套由多个专利技术组成的网络安全保障体系推出的智能体检功能实时对钓鱼、ARP 攻击、DNS 篡改等网络攻击行为进行监测,并提供数据加密分级传输、高达 90% 的恶意攻击拦截等安全防护。 为保障用户及 WiFi 热点主人的上网安全,自 2015 年 9 月起,WiFi 万能钥匙开始为用户提供 WiFi 安全险,迄今两周年尚无一例索赔。除了不断升级更新对用户的安全保障体系,WiFi 万能钥匙还在全力推进行业安全生态圈构建。2017 年 7 月,WiFi 万能钥匙正式上线安全应急响应中心平台(简称:WiFiSRC)。该平台由国内安全教父、原绿色兵团创始人,现 WiFi 万能钥匙首席安全官龚蔚带领专业团队组建成立。WiFiSRC 旨在集合安全领域专家、白帽子等第三方安全技术力量,共同发现相关产品及业务的安全漏洞和威胁情报。同时,WiFi 万能钥匙安全团队以此建立分析中心,对漏洞在第一时间内进行修复。 稿源:凤凰科技,封面源自网络;

安全研究人员提出 Security.txt 草案,寻找标准化网站安全政策

安全研究人员 Ed Foudil 近期向互联网工程任务组(IETF)递交了一项 Security.txt 草案,旨在寻找标准化网站的安全政策,这一文件类似定义 Web 和搜索引擎爬虫政策的 robots.txt 文件。举例来说,如果一名安全研究人员发现了一个网站的漏洞,他可以访问该网站的 security.txt 文件,获取如何联络公司和递交安全漏洞报告。security.txt 文件包含了如下信息: #This is a comment Contact: security@example.com Contact: +1-201-555-0123 Contact: https://example.com/security Encryption: https://example.com/pgp-key.txt Acknowledgement: https://example.com/acknowledgements.html Disclosure: Full 不过,就像一些爬虫会无视 robots.txt 去抓取网站内容,security.txt 看起来也容易被滥用,比如被垃圾信息发送者利用。 稿源:solidot奇客,封面源自网络;

31 家组织联署发表公开信函:呼吁公共资金资助开发的软件必须公开源代码

据外媒报道,31 家组织近期联署发表公开信函《 Public Money  Public Code 》,呼吁议员立法要求使用公共资金为公共部门开发的软件必须在自由软件许可证下公开源代码。 署名的组织包括混沌计算机俱乐部、自由软件基金会欧洲分部、KDE、开放知识库基金会德国分部、openSUSE、开源商业联盟、开源促进会、The Document 基金会、维基媒体德国等。据悉,公开信欢迎个人和其它组织加入联署。 附:信函全文报告《 Public Money  Public Code 》 稿源:cnBeta、solidot奇客,封面源自网络;