分类: 推荐阅读

研究报告:越来越多的国家正利用社交媒体打击不同意见

一项新研究发现,去年在社交媒体宣传虚假信息的国家数量上升至最高水平。来自美国智库 Freedom House(自由之家)的报告显示,在过去 12 个月里,包括美国在内的至少 18 个国家的选举中发现了操纵手段。但俄罗斯(和美国)利用这种手段在国外推广自己的利益的同时,更多的国家正在雇用人们塑造选民的意见,并打击内部的不同意见。 研究人员写道:“全世界的政府在过去的一年中大大加强了操纵社交媒体信息的努力。十几年前,俄罗斯等国家率先使用暗中的手段歪曲在线讨论和压制不同意见,但是这种做法从此走向了全球化。这种由国家主导的干预措施对于互联网是一种解放技术的概念形成了重大威胁。” 使用有偿的亲政府评论员已经变得普遍。虽然 Freedom House 在 2009 年首次提到,但这一做法已经扩散到了该机构所调查的 65 个国家中的 30 个国家,较去年的 23 个国家有所增加。报告称:“在这些国家,有可靠的报告称政府雇用人员或者支付承包商来操纵在线讨论,而不明确内容的赞助性质。多年来,政府已经发现了众包操作的新方法,以实现更大的影响,并避免直接责任。因此,即使是经验丰富的观察家,也难以将宣传与实际的基层民族主义区分开来。” 报告的作者在至少 20 个国家发现了国家赞助的机器人 “军队” 的证据。举例来说:在墨西哥,研究人员发现有 7.5 万个 “Peñabots” 在线反对墨西哥总统 Enrique Peña Nieto。报告称,只要反政府主题标签开始出现趋势,僵尸工具就会集结推广新的主题标签,并通过将反对主题标签附加到无数不相关的帖子上来 “毒化” 反对主题标签。 政府也限制在 Facebook、Snapchat 和其他平台上发布实况视频,特别是在游行示威期间。报告指出,白俄罗斯是在抗议期间中断蜂窝连接以防止流媒体直播的国家之一。同时,作者发现记者越来越成为国家行为者的目标。访问独立网站已被分布式拒绝服务(DDOS)攻击取消。去年,30 个国家的公民因在线言论受到了影响。在去年发生的事件中:缅甸的一名记者在 Facebook 上发表有关政府腐败的言论而被谋杀,约旦的漫画家在因在网络漫画中讽刺伊斯兰而死亡。 积极分子和反对党成员面临骚扰,更糟糕的是,他们的社交媒体帐户被禁用或秘密被政府接管。报告指出,巴林、阿塞拜疆、墨西哥等的国家行为体非法侵入公民的电话和电脑。据报道,美国的互联网自由度也有所下降。此外,美国海关和边境保护局的代理人要求 Twitter 披露批评美国总统特朗普移民政策的用户的姓名,Twitter 在法庭上成功地进行了抗争。政府还试图强制网络托管公司 DreamHost 交出反特朗普抗议网站的访问者数据。美国联邦通信委员会也制定了一项消除网络中立条款的计划。 该报告研究了 65 个国家的互联网自由度,覆盖了全球 87% 的互联网用户。报告涵盖了 2016 年 6 月至 2017 年 5 月期间的发展情况,共有 70 位研究人员参与这项研究。 稿源:cnBeta,封面源自网络;

英国专家警示:无人驾驶汽车或将成为黑客下一个目标

英国安全专家发出警告称,从无人驾驶汽车引入英国时起,它们就面临着遭受黑客入侵的危险。提交给英国众议院的证据表明,无人驾驶汽车需要联网,这意味着它们可能成为黑客的目标。埃克塞特大学无人驾驶汽车领域一位保险专家 Matthew Channon 写信给议员警告无人驾驶汽车发生交通事故的危险性。 技术专家们也认同,没有驾驶员的联网无人驾驶汽车处于风险中,此前在美国就发生了黑客入侵无人驾驶汽车事件。可能会有恐怖分子欺骗自动驾驶汽车前方没有障碍物并远程关闭它们的刹车系统。在写给议会的信件中,Channon 先生称:“这是尚未被写入法案的一项重大问题,而且可能危及公众安全。考虑到黑客可能同时入侵多辆无人驾驶汽车,这一风险是真实存在的,事实上,由于无人驾驶汽车需要联网的特性,它已经成为黑客的目标。” 据英国 RAC 研究分析公司的数据,接近三分之二的道路死亡是由驾驶员操作失误或者来不及做出反应造成的,而无人驾驶汽车技术就是为了减少这类交通事故。据专家称,目前部分汽车制造商正计划为家庭汽车创建互联网络,其主要目的也是提升驾驶安全。无人驾驶卡车预计也将在明年上路测试,无人驾驶客车将通过头车无线操控倒车和加速。英国运输部已经委托行业专家进行一项可行性研究,其中就包含了网络攻击的风险。 Channon 称:“由于无人驾驶汽车将共享信息,如果有一辆汽车遭到入侵,那么其它汽车也可能被入侵。我已经与许多技术专家探讨了黑客入侵的保险成本,我认为这将是一个潜在的问题。黑客能够欺骗无人驾驶汽车使其认定前方的障碍物并不存在,这样它们就不会停车。如果这种情况发生在高速路的快车道上,它就会导致多车连续相撞事故。然而,虽然这类危险发生的可能性并不高,但是会引起人们对恐怖分子入侵无人驾驶汽车的担忧,他们可能将无人驾驶汽车作为攻击武器。 2015 年有两位美国黑客 Charlie Miller 和 Chris Valasek 宣称成功入侵一辆丰田普锐斯的刹车系统。5 年前,华盛顿大学和加利福尼亚大学圣地亚哥分校的研究人员进行了入侵测试后宣称,有可能让数百万辆使用他们研发的计算机系统的汽车和卡车刹车失灵。英国华威大学的网络安全专家 Hugh Boyes 称:“我们已经投入大量的努力追踪自动驾驶汽车的网络安全问题,但目前的软件和系统具有一定的不可靠性,能够被黑客利用。”理论上来说,黑客已经证实无人驾驶汽车能够被侵入。无人驾驶汽车行业已经尝试降低这种风险,但是我们也无法确保这种情况永远都不会发生。 汽车制造商已经在研发 5 级全自动驾驶(由无人驾驶系统完成全部驾驶操作)汽车原型。专家们称,理论上这种汽车的传感器能够被入侵,让它们无法探测到前方的障碍物。它们的速度传感器也能够被入侵,让它们突然加速,但是专家认为最可能的是无人驾驶汽车刹车系统被关闭。如果人们忘记进行关键的安全软件升级,也会让无人驾驶汽车更容易受到黑客攻击。 稿源:cnBeta、网易科技,封面源自网络;

世界造币企业抗议电子支付 发动“纸币战争”

美国有线电视新闻网 11 日报道称,在电子支付快速发展,信用卡公司、科技企业乃至政府纷纷鼓励消费者使用电子支付的趋势下,一些货币生产商试图扭转这一现状,他们发起被称为 “现金战争” 的宣传活动,主张更多地生产与使用现金货币。 报道称,纸币和金属货币全球供应链上的一些企业去年成立了 “国际货币协会”,这些企业中包括美元钞票用纸的最大供应商 Crane Currency。根据总部设在伦敦的 “国际货币协会” 官方网站显示,该组织的宗旨是 “积极发出声音,让现金货币继续成为更被人们接受的支付方式”。 尽管受到互联网商业和电子支付的冲击,据美联储 2015 年的调查显示,平均每个美国人持有 59 美元现金,较前一年的 54 美元有所提升。目前的纸币或硬币生产依然是利润丰厚的行业。可能影响人们选择支付方式的因素包括银行系统自动化网点(如 ATM)扩展导致纸币需求量持续增加,经济衰退情况下人们对银行系统安全不信任,低利率环境下人们不愿存款,以及纸币被用于地下经济网络以规避监管等。 稿源:cnBeta、环球科技,封面源自网络;

安全研究:谷歌揭示网络钓鱼威胁要比数据泄露严重得多

谷歌近期公布了一份长达一年的 Gmail 账户劫持调查的结果,发现网络钓鱼对用户的风险要比数据泄露的风险要大得多,因为他们收集了更多的信息。现在,几乎每周都有新数据泄露事件被发现,如果说受害者在多个网上账户上使用相同的用户名和密码,那么他们的账户很容易就被劫持。 虽然说数据泄露对互联网用户来说是个坏消息,但谷歌的研究发现,网络钓鱼对其用户来说,要比用户劫持事件的威胁要大得多。为此,谷歌还专门访问了几个私人黑客论坛。而结果显示,目前全球有 19 亿人受到了数据泄露的影响。像一些交友网站的用户,他们的绝大部分的资料都会在一些私人论坛上被交易。尽管数量巨大,但在数据泄露事件中,只有 7% 的凭据与其目前正在被使用的,数十亿 Gmail 用户使用的密码相匹配,而钓鱼攻击中暴露的凭证中,有四分之一与当前的谷歌密码相匹配。 研究还发现,网络钓鱼的受害者比随机的谷歌用户更有可能被劫持的机率高 400 倍,而这一数字对于数据泄露的受害者来说是 10 倍。这样的数据都证明了网络钓鱼网站的威胁到底有多大。就拿 Phishing 工具包来说,它包含了用于流行和有价值站点的预先打包的虚假登录页面,如Gmail、Yahoo、Hotmail 和在线银行。他们经常被上载到受损的网站,并自动将捕获的凭证发送到攻击者的帐户中。网络钓鱼套件会产生更高的帐户劫持率,因为它们捕获了谷歌在用户登录时用于风险评估的详细信息,例如受害者的地理位置,秘密问题,电话号码和设备标识符等等。 研究人员发现,10000 个网络钓鱼工具中有 83% 会收集受害者的地理位置,18% 会收集电话号码。相比之下,只有不到 0.1% 的键盘记录器会收集手机细节和秘密问题。基于最后一次登录的地理位置,有 41% 的网络钓鱼工具包用户来自尼日利亚,这些工具包用于接收被dao qu 了凭证的 Gmail 帐户。而美国的网络钓鱼攻击工具用户排名第二,占 11% 。 劫持受害者的电子邮件提供商和地理位置 有趣的是,研究人员发现,72% 的钓鱼工具都使用 Gmail 帐户向攻击者发送捕获的证书。相比之下,只有 6.8% 使用雅虎。Gmail 用户也是最大的网络钓鱼受害者群体,占研究总数的 27% ,而雅虎用户受害者的比例为 12% 。但是,雅虎和Hotmail 用户是最大的泄露凭据受害者,他们占 19% ,其次是 Gmail ,占 12% 。 此外,他们还发现大多数网络钓鱼受害者来自美国,而大多数键盘记录器的受害者来自巴西。最后研究人员指出,双重因素身份验证可以减轻网络钓鱼的威胁,但是很多人都嫌这样太麻烦,所以他们都不太愿意使用双重验证。 稿源:cnBeta、威锋网,封面源自网络;

腾讯安全团队 KeenLab 已攻破苹果 iOS 11.1.1 系统进行越狱操作

对于部分使用苹果产品的用户来说,使用正常 iOS 版本 iPhone 的生活,就被关在囚笼中一样。因此他们时时刻刻都在想着怎么才能将自己的设备越狱。现在对于那些期盼越狱的用户来说,又有新的希望降临了,因为苹果才发布不久的 iOS 11.1.1 正式版,已经被互联网安全研究团队攻破。 这次 iOS 11.1.1 正式版的越狱展示发生在韩国首尔举办的 POC 2017 大会上,来自 KeenLab 团队的陈良在苹果新款旗舰手机 iPhone X 上执行了越狱软件的全过程。这已经不是 KeenLab 团队第一次破解苹果的设备进行越狱操作了,早在今年 6 月份中国上海举办的移动安全大会 (MOSEC)上,他们就曾展示 iOS 11 Beta 2 被攻破的照片。 因此这次又是 KeenLab 团队的人拔得头筹,也算是意料之中。有意思的是,KeenLab 团队是隶属于腾讯旗下的部门,是一个专注于主流 PC、移动操作系统、应用、云计算技术以及物联网设备的安全研究团队。当初腾讯与苹果因为微信打赏的问题闹得不可开交,甚至一度传出苹果要将微信下架的消息。当时就有不少越狱爱好者暗自高兴,以为腾讯会让 KeenLab 团队将越狱工具放出作为报复。但最后的结果大家都知道了,两家巨头达成了和解。微信取消了打赏功能,而苹果投桃报李,不仅在十周年发布会演示上专门提到微信,而且在后续活动中也多次与微信进行合作。 所以这次 iOS 11.1.1 已经被攻克了,但是想要获得越狱工具还是有点难度。因为 KeenLab 团队从事的本身就是专注于网络安全方面的工作,更大的可能是他们会将漏洞分享给苹果,更何况苹果也为这些漏洞设置了高昂的现金奖励。而且经过这么多年的发展,苹果的各项功能与应用已经日趋完善,设备越狱带来的价值越来越小,而因为越狱设备承担的风险却还是一样巨大,可谓得不偿。就连越狱之父 Jay Freeman 也曾感慨,越狱已死。不过,就算没有 iOS 11.1.1 越狱工具发布,我们也要看到积极的一面,如果 KeenLab 团队真将漏洞交给苹果,那之后发布的 iOS 11 系统肯定会更安全稳定,这对广大苹果用户也是好事。 稿源:cnBeta、威锋网,封面源自网络;

IBM 加速量子计算机商业化,20 量子位年底将对公众开放

IBM 称其正在朝着将 50 量子位处理器商业化的方向前进,并指出将在今年年底之前把 20 量子位的处理器开放给公众测试,人们将可以申请使用 20 个量子比特平台来进行实验,并帮助推动量子计算技术的发展。 IBM 将把其在量子计算技术方面取得的最新进展发表在一个 IEEE 学术会议上。早在今年 5 月份的时候,IBM 就发布了 17 量子比特位的处理器。IBM 曾说过计划将量子计算商业化,其强大的计算能力,使得它可以应用于那些需要强大计算性能的场景,传统计算机是没法胜任这类工作的。 相比传统计算机只能存储和操作二进制位,量子计算机使用的则是量子比特(qubit),利用量子现象来同时表示多个数据,这使得以往只能进行一次运算的时间内可以实现并行的复杂运算。 IBM 的第一个配备了 20 量子比特位处理器的 Q 系统将会得到更新,将拥有更好的可连接性和处理性能。并将会在 2017 年年底将 IBM Q 系统开放给公众测试。值得一提的是,英特尔也在研究量子处理器并在今年 10 月份时携手荷兰研发合作伙伴 Qutech 成功测试了 17 量子比特位处理器。 与此同时,IBM 正在建立一个由科研人员和应用开发者们组成的量子计算生态圈。量子计算可谓前景广阔,相关研究还在继续推进着。现在的难题是,很难使量子位变得一致和稳定,因为这需要极度低温的环境。 稿源:cnBeta、新浪科技,封面源自网络;

美国国家税务局要求 Coinbase 提供 1.4 万名用户比特币交易数据

近年来加密货币呈现非常强劲的增长势头,美国国家税务局(IRS)想要从中分享利润自然不足为奇。近日该机构已经要求 Coinbase 提供超过 14000 名用户,总计超过 890 万笔交易的相关信息。 目前比特币的价值已经超过 7100 美元。对此,美国国家税务局认定比特币和其他加密货币都应该视其为房地产资产,当价值增加的时候,当用户通过出售数字货币来赚取利润的时候必须要报告收入。IRS 报告中指出,包括 Coinbase 用户在内的诸多美国纳税人,同通过使用虚拟货币来避免报税和支付税款。 稿源:cnBeta,封面源自网络;

Chrome Canary 已可查看设备支持的 “硬件加速视频编解码” 信息

Chromium 传教士 François Beaufort 近期在 Google+ 上透露:chrome://gpu 内部页面中已能够看到设备支持的视频硬件编解码信息,用户可以下载最新实验通道的(Chrome Canary)版本进行体验。目前这项特性看起来是通过 Chrome OS 设置的一套“设备支持的编码”配置文件实现的,如果你手头正好有一台 Chromebook,那么就可以针对下述视频格式获得硬件加速。 François Beaufort 写到:“ h264 和 vp9 等视频压缩标准,定义了一套其能够利用的硬件加速编解码的所谓配置文件(h264 main、vp9 profile 0 等)”。 Chrome OS 团队已经在 chrome://gpu 选项卡中放入了有关“视频加速信息”的内容,方便 Chromebook 用户查看设备支持哪些配置文件,比如硬件加速编解码时可以支撑的最大视频分辨率和帧率。 硬件加速可以大幅节省 CPU 和内存资源的使用量,并提升 Chromebook 的电池续航表现。对于普通用户来说,只需在 chrome://settings 里启用“使用硬件加速模式(如果可用)”项即可。 稿源:cnBeta,封面源自网络;

调查显示:5 名安全专业人员中就有 1 名用纸纪录账号密码

据外媒报道,身份管理公司 One Identity 最新的一项调查显示,人们对权限账号的管理情况令人感到担忧,因为他们在对 900 多名 IT 安全专业人员的调查中发现,36% 的人员使用不怎么安全的电子表格记录权限账号信息,而仅有 18% 的人员使用纸张记录。 调查还发现,2/3 的公司都会依靠两三种工具来管理这些账号,这显示了在权限访问管理(PAM)上的不一致性。大部分接受调查的人都承认只监控某些权限账号或干脆就不监控。更糟糕的是,21% 的人表示因管理权限的问题无法监控或记录权限账号的活动,而 32% 的人表示始终无法识别哪些执行管理行动的人。而高达 86% 的机构在每次使用管理账号后都不会更改密码。 此外,40% 的 IT 安全专业人员不会去更改默认密码。很明显,如果不遵守这些做法,那么权限账号将变得极易遭到网络攻击。One Identity 总裁兼总经理 John Milburn 表示,当一个组织没能采取最基础的权限账号安全和管理措施,那么他们将会面临重大风险。完整报告请戳链接。 稿源:cnBeta,封面源自网络;

雅虎与 Equifax 就隐私泄露事件向用户致歉

据外媒 11 月 9 日凌晨消息,受大量账户信息泄漏事件困扰的雅虎和 Equifax 公司高管玛丽莎·梅耶尔和里克·史密斯对账户泄漏事件致歉,并表示他们仍在寻求解决方案。 上个月,雅虎称其在 2013 年遭受了历史上最大规模的黑客攻击,受影响用户数达到 30 亿之多。类似的,在今年九月份,另一家从事信用监测代理的公司 Equifax 也称其遭受黑客攻击,盗取了包括证件号、信用卡号、姓名和住址在内的用户信息,涉及 1.43 亿美国用户。 美国参议院商务委员会要求这两家公司提供行之有效的方法来保护用户免受大规模信息泄漏。来自佛罗里达州的议员比尔·尼尔森(Bill Nelson)说:“现在讨论的不是是否有另一套保护机制,而是什么时候有 ”。Equifax 的前任和现任 CEO 都出席了本次庭审。雅虎的前 CEO 梅耶尔和现任 Verizon 首席隐私官出席了本次庭审,顺便提一下,今年六月份 Verizon 收购了雅虎。 梅耶尔首先表达了歉意,指出那次袭击是由俄罗斯黑客发起的,而且攻击手段很复杂。Equifax 的 CEO 也对公司没能保护好用户的隐私信息表示抱歉。在证词中,两家公司都说了自遭受攻击以来公司是如何如何做出改变。雅虎的措施包括要求用户改密码,提升加密机制等。雅虎说他们公司的安全团队员工数翻了两倍。而Equifax则称他们用于安全的预算开支是以前的四倍。 梅耶尔称雅虎至今还没搞明白黑客是怎样侵入公司系统的,所以也不知道该如何修补漏洞。史密斯称 Equifax 过去并没有对用户敏感信息进行加密,因为他认为公司的防火墙已经够强大了。尽管 Equifax 在遭受黑客攻击后,向其受影响用户提供了信用检测工具,但实际上很少有用户使用,在 1.45 亿受影响用户中只有不到五分之一用了这个工具。 随着 Verizon 接管雅虎,Verizon 首席隐私官扎卡赖亚承诺了在未来将提供更有效的安全措施,尽管议员们对此深表怀疑。一位来自康涅狄格州的民主党议员号召加强立法来保护用户隐私安全,对那些因黑客攻击而使用户数据泄露的公司进行惩罚。 稿源:新浪科技,封面源自网络;