分类: 推荐阅读

美联储前雇员在服务器上安装挖矿程序

据彭博社报道,一位美联储的前雇员未经授权在央行服务器上安装了比特币挖矿程序,在认罪之后他被判了 12 个月的缓刑和 5000 美元罚款。Nicholas Berthaume 曾是联储的一位通信分析师,能访问华盛顿联储理事会的一台服务器,他在服务器上安装了连接比特币网络的挖矿程序去挖掘数字货币。他还修改了某些安全防护系统使其能从家中远程访问服务器。在被发现之后,他通过删除软件试图掩盖其行为。他最终遭到了解雇和承认了罪行。他的行为没有造成任何联储信息的丢失,理事会在事故后加强了安全。 稿源:cnbeta,有删改,封面来源:百度搜索

Google Chrome 57 不再提供暂时禁用插件功能

很多数据显示,Chrome(Chomium)已经取代微软的 IE 成为用户数第一的桌面浏览器。然而,靠着插件起家的Chrome却在最新版 Chrome 57 中做了一个常人难以理解的决定,锁止了用户禁用插件和调整插件设置的功能。此前,Chome 可在地址栏输入 chrome://plugins/ 对插件进行全局和细化调整,然而 Chome 57 中却无法打开这个页面。 权宜之计是,用户只能在设置界面进入,而且现在允许禁用和调整设置的插件仅限 Adobe Flash Player 和 Chrome PDF Viewer 这两个扩展,其它均不可用。 这一迹象似乎意味着,因为插件所带来的安全问题日益严峻的情况下,谷歌正收紧权限管控。 稿源:cnBeta;封面:百度搜索

网络攻击困扰香港证券行业,未来形势或进一步恶化

据外媒报道,香港证券监管机构近日表示,特区的证券经纪人备受网络攻击困扰,未来各种针对证券业的网络攻击可能会愈演愈烈。过去的一年中,香港证券监管机构一直在努力抗击各种针对证券公司的网络攻击。去年 11 月的一项调查显示,2014-2016 年间,中国大陆和香港公司发现的此类网络攻击平均数量增速惊人高达 969%。 上周四,香港证券及期货事务监察委员会( SFC )表示,它们接到香港警察通知,称证券公司的网站经常遭受 DDoS 攻击(即分布式拒绝服务,借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动 DDoS 攻击,从而成倍地提高拒绝服务攻击的威力),有时证券经纪人还会遭到罪犯的勒索。 SFC 在报告中指出:“ DDoS 攻击会造成股票服务的短暂中端,这样类似的网络攻击已经蔓延到了整个证券行业”。因此,SFC 敦促金融中心的公司增强自身的防御级别,包括重新检查自己的 IT 系统,并推动 DDoS 攻击防护方案的实施。 稿源:腾讯科技,有删改,封面来源:百度搜索

FBI 解除封口令后,Twitter公布两封美国国家安全信函

Twitter 官方博客 披露了它分别在 2015 年和 2016 年收到的两封国家安全信函。国家安全信函附带封口令,根据 2015 年的美国自由法案,FBI 被要求定期评估国家安全信函的不披露要求是否合适,如果不合适将解除封口令。FBI 最近在评估后解除了 Twitter 的封口令,允许 Twitter 公开收到的国家安全信函。 在这之前,Cloudflare、Google 和雅虎都承认和公开了收到的国家安全信函。Twitter 收到的国家安全信函索要了两名用户的名字、地址和电子通讯记录。Twitter 法律事务副首席顾问 Elizabeth Banker 在官方博客中称,该公司递交了非常有限的数据集,但没有进一步澄清究竟提供了哪些数据。 稿源:cnbeta,有删改,封面来源:百度搜索

欧美专家提议建立第三方机构以监管人工智能

据英国《卫报》网络版近日报道,专家表示人工智能会做出严重影响人们正常生活的决定,因此应该建立一个第三方机构确保人工智能使用的透明度和公平性。人工智能的崛起已经导致计算机算法的数量出现爆发式增长,如今已被银行、警察局以及其他机构所广泛使用,但这些算法可以做出一些严重影响人们正常生活的决定。然而,由于科技公司向来对其算法的工作机制讳莫如深——避免其他公司抄袭——他们极少披露有关人工智能如何做出某些决定的详细信息。 人工智能的快速崛起 伦敦阿伦·图灵研究中心和牛津大学的一研究小组在最新报告中呼吁创建值得信赖的第三方机构,以便对人们认为做出错误判断的人工智能决定进行调查。根据现行法律,因人工智能失误而遭受损失的人可以提出挑战,但最新报告却发现这些法律并不能给人们带来有效保护。 根据英国《数据保护法案》规定,人们有权对人工智能做出的决定进行挑战。但与其他国家的企业一样,英国的企业无需公布他们认为属于商业机密的信息。在实践中,这意味着企业不必对人工智能的某个决定做出全面解释,只要描述计算机算法的具体工作机制就行了。例如,如果一个人申请信用卡被拒绝,他可能会被告知,算法充分考虑了他的信用记录、年龄和邮政编码,但此人仍然不清楚申请被拒的原因。 提高算法决策过程的透明度 2018 年欧盟成员国以及英国将施行一项新法规,对挑战人工智能决定的细则做出解释。《一般数据保护条例》草案以法律形式诠释了所谓的“解释权”,但最新报告作者认为,在去年获批的最终版本并未在法律上对这种权利做出任何保证。即便是建立了第三方人工智能监管机构,如何对算法的失误进行管理可能仍是一个难题。强制企业解释人工智能决策过程可能会引发抗议,因为一些现代的人工智能方法“基本上都像谜一样”,比如深度学习。 稿源:据 cnbeta 内容整理;封面与配图:百度搜索

Google 推出自有 CA 根证书:将延伸至所有产品与服务

Google 已经正式宣布推出自有 CA 根证书,这意味着该公司在“自力更生”的道路上更进了一步。这项措施将确保 Google 能够摆脱对由第三方签发的中级证书颁发机构的依赖(本例中为 GIAG2)。该公司一直致力于为全线产品和服务推出 HTTPS 服务,而这显然需要寻求一个更快的方法和更多的控制。 这也是“谷歌授信服务”(Google Trust Services)诞生的基础,它将代表 Google 及其母公司 Alphabet 来运营这些 CA 根证书服务。当然,整个过程还是需要一定时间的。因此 Google 收购了两家现有的根证书机构 —— GlobalSign R2 和 R4 —— 以便该公司更快地开始发行自有证书。 稿源:cnbeta,有删改,封面来源:百度搜索

英国国防部将使用改造后的 iPhone 7,取代不够安全的三星手机

据外媒报道,英国政府近日的一个项目将允许英国军队士兵使用改造后的 iPhone 7 来讨论军事秘密,取代不够安全的 Android 设备。 据 TechRepublic 报道, 为英国国防部 ( MoD )执行这个项目的英国电信( BT )公司计划将 iPhone 7 当成保密通信的“首选设备”。 BT 防御技术业务经理 Steve Bunn 表示,该公司目前正在改造 iPhone 7,以便其可以根据信息的敏感程度在不同的操作模式和安全级别之间切换。Bunn 表示:“我们一直与 MoD 密切合作,开发我们通常所说的‘双重角色设备’”。 除了允许士兵之间的安全通信,BT 表示他们改造后的 iPhone 也能被用于保留敏感数据。“安全存储容器”可能涉及某种形式的隐藏或加密的文件和文件夹,可以允许存储关键任务的秘密文件以供以后使用,或能在不使用网络的情况下在两点之间传输数据。出于安全原因,英国电信官员无法提供有关定制 iPhone 7 的更多详细信息。 BT 工作人员最初没有使用 iPhone,而是选择了三星 Galaxy Note 4,但后来他们改变了计划。Bunn 表示:“随着越来越多的开发和测试,(三星手机)安全性被认为是不够的。iPhone 的安全凭证使它成为一个更可行的设备。” 稿源:cnbeta,有删改,封面来源:百度搜索

Chrome 与 Firefox 均开始警告用户不要在非 HTTPS 网站提交信息

谷歌和火狐浏览器正在采取新的措施让用户小心有安全漏洞的网站,在最新的更新版本 Chrome 56 和 Firefox 51 中,当用户在不安全的 HTTPS 网页中提交敏感信息时,就会收到警告。此前的测试版已经加入了此类警告,现在更新版本将使更大数量的用户收到安全警告。在这周推出的 Firefox 51 中,当用户进入要求提交密码的网页时,就会出现新一个带有红色斜线的锁的图标,提示用户网站有风险。 而在 Chrome 56 中,不止是密码,还有当网页要求提交信用卡信息等敏感信息时也会出现警告。谷歌的安全工程师 Emily Schechter 称:“调查显示用户经常不会察觉到那些显示网络不安全的警告图标,而且当警告频繁出现时往往更加无视它们。在今后的更新中,我们会继续加强对不安全网页的警告提示,并努力将所有不安全 HTTPS 网页都加上标识。 稿源:HackerNews.cc 翻译整理,封面来源:百度搜索。

工信部曝 34 款不合格 App 应用商店成“帮凶”

工业和信息化部信息中心 1 月 26 日通过微博公布消息称,2016 年四季度工信部对 46 家手机应用商店的应用软件进行技术检测,发现违规软件 34 款,涉及违规收集使用用户个人信息、恶意“吸费”、强行捆绑推广其他无关应用软件等问题,这些不良软件已被全部责令下架并公开曝光。其中包括小米应用商店、新浪应用中心、豌豆荚、百度手机助手等知名软件商店都被发现存在不合格 App。 游戏类应用占据此次被下架不合格 App 的较大比例,另外也不乏教程类、优化类、锁屏壁纸类的工具型 App,可见恶意吸费、非法收集用户个人信息的应用类型依然覆盖面较广。 值得注意的是,工信部此次公布的名单可能也还是冰山一角,且仅靠工信部的管控处理仍然会有各种漏网之鱼,对吸费软件恶意应用的严打依然是任重道远,需要各方加大力度配合推进。 稿源:cnBeta,有删改;封面:百度搜索

Gmail 即将落实阻止 JavaScript 附件的政策,以减少恶意攻击

据外媒报道,Gmail 将很快部署阻止 JavaScript 电邮附件运行的措施。从 2 月 13 日起,用户将无法再添加 .js 类型的附件,因其被很多形式的恶意攻击所利用。如果用户不小心下载了一个恶意 JavaScript 文件,攻击者可以利用它来获得 PC 的访问权限,窃取数据或执行其它破坏性操作。 Android Police 指出,JavaScript 已成为继 .exe .bat .msc 之后,被 Gmail 严格限制分享的又一个附件类型。虽然此举无法彻底杜绝被嵌入 .zip 等压缩包中的恶意文件,但斩断直接发送的途径,对大多数普通用户来说确实是件有助于提升 Gmail 邮件服务安全性的好事。 如果有特殊的需求,也可以考虑通过谷歌网盘或云存储等方式,发送和分享一个 JavaScript 文件。试图发送此类附件的 Gmail 用户,将会看到一则“禁止上传”的警告提示。 稿源:cnbeta 有删改;封面:百度搜索