分类: 推荐阅读

Windows 10 隐私控制更新 有望缓解对“ 内置键盘记录器 ”的顾虑

为了进一步改进用户隐私体验,微软已经在 Windows 10 上作出了诸多的调整。在今日向 Insider 测试者们推送的新版本中,其提供了修改操作系统隐私收集行为的控制选项。尽管大多数隐私设置都被限制在一个有繁杂选项的屏幕上,微软也在测试各种即将改变的新方法。很多人都吐槽过 Windows 10 中内置的“键盘记录器”,因为操作系统需要收集输入数据来赶紧自动填充、单词预测、以及拼接检查。 在即将到来的春季更新中,Windows 10 将引入一个单独的屏幕来启用“改进书写与打字识别”、以及允许用户选择退出“向微软发送手写和输入数据”的选项。 此外,微软还打算测试向 Windows 10 用户提供七个单独的隐私控制屏幕,并且积极听取来自 Insider 测试者的反馈,以找到最合适的平衡点。 与本次隐私设置变动一同到来的,还有一个单独的 Windows 诊断数据查看器。 为改进操作系统和做出产品决策,微软从用户那里收集了大量的匿名数据,而这款查看器可方便用户概览被发送到微软服务器的本地数据。 稿源:cnBeta,封面源自网络;

卡巴斯基实验室指网络犯罪分子通过恶意挖矿软件在 2017 年获利数百万美元

去年,我们看到了近期历史上最严重的勒索软件攻击之一,这要归功于 WannaCry。网络犯罪分子甚至为他们的恶意软件采用了“ as-a-service ”模式,以此来欺骗人们赚更多的钱。但根据卡巴斯基实验室的研究人员,这绝不是单纯的收入来源。 据卡巴斯基实验室的网络威胁研究和报告存储库安全列表称,网络犯罪分子利用在浏览器中执行恶意脚本,利用受害者的电脑硬件资源挖掘加密虚拟货币,另外他们还使用另一种技术即流程挖空。 简而言之,黑客使用合法应用程序作为容纳恶意代码的容器,从而通过受害者电脑系统的防御。其中的恶意装程序使用合法的 Windows 实用程序 msiexec,从远程服务器下载并执行恶意模块。在下一步中,它会安装一个恶意的调度程序任务,这会向系统注入挖矿程序,它将自己打扮成合法系统进程,并使用进程空洞技术。如果受害者试图终止此进程,则 Windows 系统将重新启动。 根据卡巴斯基实验室的数据,2016 年至 2017 年,这类攻击增加了近 1.5 倍。此外,在 2017 年的最后六个月中,网络犯罪分子通过以上 2 种方式已经赚取超过 700 万美元。 稿源:cnbeta.com,封面源自网络

苹果警告消费者要警惕新一轮的 App Store 钓鱼邮件

据外媒 BGR 报道,在访问不熟悉的网站或从无法识别的来源打开电子邮件时,通常是再小心也不为过,但有时很难分辨真假。例如,最近几周,App Store 用户的收件箱中出现了令人信服的新型网络钓鱼骗局,虽然它不是特别具有创新性,但它显然已经成为一个苹果觉得有必要警告其客户的问题。 9to5Mac 在周二分享了其中一个钓鱼电子邮件的副本,该副本显示为用户实际没有注册的服务的订阅确认。在电子邮件中,用户会收到警告,他们已经注册了 YouTube Red 的 30 天免费试用版,并且一旦试用期结束,他们将被收取 144.99 美元/月的费用。 这个骗局的关键是让用户点击链接取消订阅(他们从未真正注册过)。一旦他们点击,他们会被要求提供一系列敏感信息,从 Apple ID 到信用卡详情。 为了应对此类网络钓鱼尝试,苹果公司在其网站上发布了一个页面,解释如何识别来自假冒的 App Store 或 iTunes Store 电子邮件。以下是用户在看到苹果发送的电子邮件时需要注意的事项: 如果您收到一封关于 App Store 或 iTunes Store 购买的电子邮件,并且您不确定它是否属实,那么您可以查找一些可帮助确认该消息是否来自苹果的信息。 从 App Store、iTunes Store、iBooks Store 或 Apple Music 购买的正版购物收据包含您当前的帐单邮寄地址,这些骗子不太可能拥有。您还可以查看您的 App Store、iTunes Store、iBooks Store 或 Apple Music 购买记录。 有关您的 App Store、iTunes Store、iBooks Store 或 Apple Music 购买的电子邮件绝不会要求您通过电子邮件提供此类信息: 社会安全号码 母亲的娘家姓 完整的信用卡号码 信用卡 CCV 码 稿源:cnBeta,封面源自网络;

AT&T 高管谈“ 网络中立 ”废除必要性: 付费优先能提高自动驾驶安全性

据外媒 thenextweb 报道,日前,AT&T 对外与法律事务高级副总裁 Bob Quinn 在公司博客刊文称,人们对公司的快速通道和节流上存在错误看法,“没有哪个网络中立的讨论能够脱离对付费优先权话题的问题解决。首先我要说的是,付费优先问题一直都是模糊的、理论性的。” 然而实际上,对于付费优先级这个问题并不存在任何模糊或是停留在理论层面的问题。FCC 早在 2015 年的网络中立法中规定,ISP 可以在不违法付费优先级禁令的前提下为一些应用预留宽带。 所以,Quinn 的这一说法并不能站得住脚,另外他还在文章中指出,公司对为某位客户创建快速或慢速通道毫无兴趣,他们关心的则是自动驾驶汽车、远程手术、增强第一反应者通讯、虚拟现实服务等创新技术。在其看来 ,这些技术的应用都离不开端到端的管理,因为它们都是实时交互式的服务。 这就像是在告诉人们,AT&T 以往的网络都是瘫痪的,现在它们终于能够为创新技术提供网络支持了。不过让福特、雪佛兰、日产、特斯拉、保时捷、宝马、谷歌、苹果、英伟达以及其他 AI 公司依靠 AT&T 消费级宽带套餐来支持它们的自动驾驶汽车成败听起来似乎非常可笑。 因为自动驾驶汽车依靠的是它们自己的传感器,而不是由网络提供的信息。即便大家选择认同 Quinn 的这一说法,那么废除网络中立就能为该领域的发展带来改变?这同样值得人们思考。 而对于像谷歌等这样的大型科技公司,相信即便还有网络中立规定,AT&T 等 ISP 不可能无力帮助它们。 稿源:cnBeta,封面源自网络;

反洗钱组织 FATF 研讨防范虚拟货币洗钱、恐怖主义融资风险

近期反洗钱金融行动特别工作组(Financial Action Task Force on Money Laundering — FATF)聚集 37 个成员召开了第二次全体会议,讨论全球范围内的反洗钱和打击恐怖主义融资(AML/CFT)问题,其中也包括如何应对虚拟货币。  据外媒报道,FATF 听取了不同国家和地区对虚拟货币领域的监管措施,以及不同国家采取的 FinTech 和 RegTech 创新举措,并探讨科技在提高反洗钱和反恐融资工作效率方面的可能性。 公开资料显示, FATF 是西方七国为专门研究洗钱的危害、预防洗钱并协调反洗钱国际行动而于 1989 年在巴黎成立的政府间国际组织,是目前世界上最具影响力的国际反洗钱和反恐融资领域最具权威性的国际组织之一。其成员国遍布各大洲主要金融中心。其制定的反洗钱四十项建议和反恐融资九项特别建议(简称 FATF 40+9 项建议),是世界上反洗钱和反恐融资的最权威文件。 早在 2014 年,FATF 就已经关注到虚拟货币,并出具了一份报告厘清虚拟货币定义和分析潜在的 AML/CFT 风险。当是时,工作人员表示,他们正在讨论匿名性、有限身份确认、去中心化机制,他们认为执法机构和官员有必要认清可能的风险。 在本次会议上,韩国金融监管机构介绍了他们的监管政策。金融服务委员会(FSC)强制全面禁止加密货币的匿名交易,并推出了一种“真实交易系统”,要求加密货币投资者的加密账户和银行账户必须使用真实姓名。实际上,从 1 月 30 日起,买卖任何一笔加密货币均要求发起方和接收方遵守(KYC)原则。 事实上,韩国金融监管机构已公开表示,政府将支持 “ 加密货币的正常(非匿名)交易 ”,甚至要求加密货币在该国“正常化(normalization)”。 韩国金融监督管理局(FSS)主席崔香植(Choe Heung-sik)上周对媒体表示:“全球现在正在制定针对加密货币的法规,因此(政府)应该更多地关注正常化而不是增加监管。” 稿源:cnBeta、雷锋网,封面源自网络;

反对废除网络中立 Reddit 和 Tumblr 将于本周发起 #OneMoreVote

尽管 FCC 强行推动着废除网络中立政策,但科技行业仍处于抗争的第一线。据外媒报道,“ 为未来而战 ”、Demand Progress、新闻自由基金会等组织,以及 Reddit、Tumblr、Etsy、Medium 等网站,将于 2 月 27 日发起 # OneMoreVote 抗议活动。其旨在联合企业和用户的力量,鼓励向议员们拨打更多的电话、发送更多的邮件、提起更多的法律诉讼,以期在新政落地前的 60 天倒计时内扭转局势。 美国联邦通讯委员会(FCC)在 2017 年 12 月举行了废除现有网络中立政策的投票,而 #OneMoreVote 旨在引起参议员们的注意,以阻绝新政策通过国会审议。 稿源:cnBeta,封面源自网络;

CrowdStrike 全球威胁报告指出:勒索和数据武器化等已成网络犯罪主流

先进攻击战略的传播已经模糊了治国方略和谍报技术之间的界限,使威胁局面超越了传统安全措施的防御能力。根据 2018 年 “ CrowdStrike 全球威胁报告 “显示:通过分析 176 个国家每天 1000 亿件事件的综合威胁数据发现,勒索和数据武器化已成为网络犯罪分子的主流,严重影响了政府、医疗以及其他行业。导致这种情况的部分原因是由于与国家有关的网络攻击活动和有针对性的勒索软件数量正在增加,不过也有可能受到地缘政治甚至是军国主义剥削目的的影响。 此外,供应链泄露、加密欺诈以及采矿业务为国家资助者和网络犯罪人士提供了新的攻击手段。 CrowdStrike 的联合创始人兼首席技术官 Dmitri Alperovitch 表示:“ 我们已经看到网络对手发起了大规模的破坏性攻击,导致机构组织在数天或数周内无法正常运营。在未来的一段时间内,安全团队很可能在及时发现、调查和防御攻击方面面临着更大的压力。” 除此之外,报告还显示,一些已经建立的、资源充足的网络操作不断创新,例如探索分发犯罪软件的新方法,并采用先进的战术渗透,从而摧毁系统。 以 2017 年为例,CrowdStrike 观察到 ,约有 39%的攻击活动中传统防病毒软件无法检测到恶意软件的入侵,其中制造业、服务业和制药行业面临着最多数的恶意软件威胁。目前根据 CrowdStrike 统计, 2017 年的平均 “ 突破时间 ” 为 1 小时 58 分钟(突破时间表示攻击者从入侵的初始系统横向移动到网络中的其他机器所花费的时间——译者注)。 CrowdStrike 情报副总裁 Adam Meyers 表示:“ 现在各国与网络犯罪人士之间的界限日益模糊,以至于威胁的复杂性提升到了一个新的高度。” 消息来源:infosecurity,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

发改委:今年至少在 5 个城市开展 5G 网络建设

近日,国家发改委官网发布了《 2018 年新一代信息基础设施建设工程拟支持项目名单》,中国电信、中国移动、中国联通的 5G 规模组网建设及应用示范工程进入名单。此前国家发改委曾指出,2018 年将重点支持 5G 规模组网建设及应用示范工程,在不少于 5 个城市开展 5G 网络建设。 此次共有 8 个项目入选 2018 年新一代信息基础设施建设工程拟支持项目名单,分别是: 中国电信股份有限公司贵州分公司“百兆乡村”示范及配套支撑工程; 中国移动通信集团湖南有线公司“百兆乡村”示范及配套支撑工程; 中国电信股份有限公司广西分公司“百兆乡村”示范及配套支撑工程; 陕西广电网络传媒(集团)股份有限公司“百兆乡村”示范及配套支撑工程; 中国电信股份有限公司 5G 规模组网建设及应用示范工程; 中国移动通信有限公司 5G 规模组网建设及应用示范工程; 中国联合网络通信有限公司 5G 规模组网建设及应用示范工程; 国科量子通信网络有限公司国家广域量子保密通信骨干网络建设工程。 2017 年 11 月,国家发改委印发《关于组织实施 2018 年新一代信息基础设施建设工程的通知》指出,为深入贯彻党的十九大报告提出的加强信息基础设施网络建设的重大部署要求,有效支撑网络强国、数字中国建设和数字经济发展,2018 年,国家发展改革委继续组织实施新一代信息基础设施建设工程。其中,重点支持 5G  规模组网建设及应用示范工程、“百兆乡村”示范及配套支撑工程以及国家广域量子保密通信骨干网络建设一期工程。 该通知表示,5G 规模组网建设的开展以直辖市、省会城市及珠三角、长三角、京津冀区域主要城市等为重点。5G 网络应至少覆盖复杂城区及室内环境,形成连续覆盖,实现端到端典型应用场景的应用示范。 同时,5G 规模组网建设及应用示范工程的指标要求包括: (1)  明确在 6GHz 以下频段,在不少于 5 个城市开展 5G 网络建设,每个城市 5G 基站数量不少 50 个,形成密集城区连续覆盖; (2) 全网 5G 终端数量不少于 500 个; (3)向用户提供不低于 100Mbps、毫秒级时延 5G 宽带数据业务; (4)至少开展 4K 高清、增强现实、虚拟现实、无人机等 2 类典型 5G 业务及应用。 更多阅读: * 中国 5G 技术研发试验第三阶段测试拉开序幕  * 空客、达美航空同美国电信公司结盟 开发航空 5G 稿源:cnBeta、人民网,封面源自网络;

国家税务总局:推进手机银行等多元化缴税

据国家税务总局网站消息,税务系统今年将对接互联网多渠道缴税方式,实现网上开具税收完税证明;进一步推进网上银行、手机银行等多元化缴税工作。国家税务总局近日发布《关于开展 2018 年 “ 便民办税春风行动 ” 的意见》。 税务总局决定,2018 年以 “ 新时代•新税貌 ” 为主题继续深入开展 “ 便民办税春风行动 ”,努力打造税务系统优质服务品牌,不断优化税收营商环境,全面提升纳税人的获得感。 意见提出,加快电子税务局建设。对接互联网多渠道缴税方式,实现网上开具税收完税证明;进一步推进网上银行、手机银行等多元化缴税工作;全面推行社会保险费缴费服务网上办理或同城通办;采取短信、微信等多渠道便捷提醒方式,对社会保险费缴费人进行按期缴费、欠费催缴提醒。 意见要求,国税局、地税局使用统一的税务数字证书或者互认对方现有的数字证书,实现“一证通用”和涉税资料电子化。 稿源:cnBeta、快科技,封面源自网络;

全球 14 家机构专家发百页报告:警惕人工智能

北京时间 2 月 23 日早间消息,一份由 26 名专家联合撰写的报告,对人工智能技术的潜在威胁发出警告。他们认为,这项技术可能在未来 5 到 10 年催生新型网络犯罪、实体攻击和政治颠覆。 这份 100 页的报告标题为《人工智能的恶意用途:预测、预防和缓解》( The Malicious Use of Artificial Intelligence: Forecasting, Prevention, and Mitigation ),参与撰写的专家来自 14 家不同的机构和组织,包括牛津大学、剑桥大学和埃隆·马斯克( Elon Musk )的 OpenAI 等。 作者在其中详细阐述了人工智能可能在未来几年做出哪些令人们普遍反感的事情。由于人工智能在很多方面的能力都远超人类,所以该报告认为,这种技术现在会帮助敌对国家、犯罪分子和恐怖分子展开精准而高效的攻击,不仅能够扩大范围,还可以提高效率。 该报告写道:“随着人工智能越来越强大,越来越普及,我们预计人工智能系统的广泛应用将导致现有威胁的扩大,还会引发新的威胁,甚至改变典型的威胁特征。”他们还警告称,由于人工智能可以扩大规模,并减轻人类的负担,所以攻击成本也会大幅降低。类似地,由于可以借助这种系统来完成人类通常难以完成的任务,所以也有可能出现新的攻击。 具体来说,该报告认为,与自动攻击、钓鱼、语音合成、数据中毒有关的网络攻击将会增多。无人机以及全自动和半自动驾驶系统的出现也会构成新的风险,包括多辆无人驾驶汽车故意撞击,使用数千架无人机协同攻击,把商用无人机变成人脸识别刺客,控制关键基础设施以索要赎金。在政治方面,人工智能还可以用于左右民众观点,形成高度精准的宣传,传播虚假但却可信的文章和视频。人工智能还能在私有和公共空间催生更好的监控技术。 为了缓解这些威胁,该报告给出了 5 点建议: ○ 人工智能和机器学习研究人员应该承认其研究成果是双刃剑。 ○ 政策制定者应该与技术人员密切合作,调查、预防和缓解人工智能可能的恶意使用方式。 ○ 应该向电脑安全等其他高风险技术领域学习一些方法,将其应用于人工智能领域。 ○ 应该在这些领域优先形成规范和道德框架。 ○ 讨论这些挑战时所涵盖的利益相关者和专家范围应该扩大。 除此之外,报告作者还认为,应该“重新思考”网络安全,并对制度化和技术性解决方案展开投资。他们还表示,开发者应该形成“责任文化”,考虑数据共享和开放性所带来的力量。 不过,也有人认为报告作者夸大了我们面临的威胁。网络安全公司 High-Tech Bridge CEO 伊拉·克罗琴科( Ilia Kolochenko )认为应该明确区分强人工智能和日常所说的人工智能,前者的确可以取代人类大脑。他表示,犯罪分子已经使用简单的机器学习算法来提升攻击效率,但这些措施之所以能够成功,是因为基础安全性不足以及组织内部的疏忽所致。机器学习只是扮演了“辅助加速器”的角色。 他还补充道,人工智能还可以用于更加高效地对抗网络攻击。另外,人工智能技术的发展往往需要展开长期的高额投入,这是“黑帽黑客”通常无法承担的。因此,他不认为数字领域会因此面临实质性的风险和革命——至少 5 年内不会。(樵夫) 报告全文点此处下载:《人工智能的恶意用途:预测、预防和缓解》(英文版) 稿源:cnBeta、新浪科技,封面源自网络