分类: 推荐阅读

英国政客投票将自己排除在政府监视范围内

英国通过了史上最受争议的监控法律,而政客们却 将自己排除在监视法律之内。英国的 Investigatory Powers Act 要求记录浏览历史、要求科技公司帮助解密加密通讯记录——意味着需要实现某种后门。对于大多数人而言,只要有国务大臣签发的搜查令就能对其进行监视;而对于议会成员和其他政客,搜查令需要获得首相的批准。受到保护的政客除了国会议员,还有地方议会和欧盟议会的成员。 稿源:solidot奇客 有删改,封面:百度搜索

谷歌 Chrome 新版更新发布,修复 36 个安全漏洞、默认启动 HTML5

上周四,谷歌发布 Chrome 55.0.2883.75 版本更新,本次更新修复了 36 项安全问题并提升稳定性,其中包括 12 个高严重漏洞。此外,同时将 HTML5 作为网页的默认支持选项。 本次更新修复的 36 个漏洞,有 26 个来自漏洞赏金项目,总计支付研究人员 70,000 美元的奖励,另外 10 个安全补丁是谷歌自己发现并解决的。漏洞中存在 12 个高严重漏洞,涉及跨站点脚本 bug、默认 PDF 查看器“ PDFium ”漏洞、V8 JavaScript 引擎漏洞等。 谷歌过去曾宣布,逐步对 Flash 页面进行“限制”并替换成 HTML5 页面。这次 Chrome 浏览器将将网页的默认支持选项转变为 HTML5 ,但也没有完全禁止 Flash 的运行,用户可通过手动加载 Flash 或设置白名单加载 Flash 。 稿源:本站翻译整理,封面来源:百度搜索

分布式猜测攻击,破解 VISA 信用卡仅需 6 秒?

来自纽卡斯尔大学的一组安全研究人员发现了一种称为分布式猜测攻击的新方法,只需 6 秒即可破解 VISA 信用卡。攻击者利用 VISA 支付系统漏洞,自动生成不同的信用卡数据并在多个网站交易,通过交易回复信息判断信用卡数据是否正确。 研究人员推测,这种方法可能被用于最近针对乐购银行的网络攻击,导致 250 万英镑被黑客窃取。 研究发表在学术期刊《IEEE Security & Privacy》,讲述了所谓的分布式猜测攻击如何规避所有的安全防御功能,以保护在线支付免受欺诈。 攻击利用了支付系统两个不太严重的缺陷,但是一起使用会对整个支付系统造成严重的威胁。 首先,目前的在线支付系统无法检测出,来自不同网站的多个无效付款请求。这允许攻击者对每个信用卡片的数据字段进行无限次猜测,每个网站通常可以进行 10 到 20 次尝试。 其次,不同的网站要求卡片的不同数据字段来验证是“真实”的在线支付交易。 这意味着攻击者可以像拼玩具一样,把卡片各数据字段拼凑出来。 具体步骤: 首先,黑客以有效卡号为起点自动发送它们到许多网站去验证有限性。 下一步是到期日期,信用卡的有效期为 60 月,所以猜测日期最多需要 60 次。 CVV(信用卡安全代码)是最后的屏障,理论上只有卡持有人知道该号码,但猜测这三位数最多尝试 1000 次 通过上述步骤就可以获得被黑账户的所有数据。 如何避免此类欺诈: 1、限制在线支付金额 2、银行卡不要存大量的钱,资金已到位立刻转出 3、保持警惕、注意交易记录 稿源:本站翻译整理,封面来源:百度搜索

都是套路:ATM 转账新规刚实施,骗子已经用上了

为降低电信诈骗所带来的伤害,央行今年 9 月份牵头发布了《防范和打击电信网络诈骗犯罪的通告》。其中规定,个人通过银行自助柜员机(ATM)向非同名账户转账的,资金 24 小时后到账。 12 月 1 日是央行新规实施首日,上述 ATM 转账新规便立刻发挥作用,帮助男子保住数万元涉嫌被诈骗的资金。然而没想到的是,新规刚刚实施,就有骗子找到了新规的漏洞。 有网友爆料称,ATM 机转账 24 小时到帐还可撤回的政策才出来三天,骗子已经用上了。前天一个陌生电话打来订货,不说要什么就说配 5000 块的货,发了 ATM 转账凭证过来,然后就不停催发货,打银行客服查询确实有这交易,不过还是多了心眼没发货,到今天了 24 小时钱也没到账,银行查询是该笔交易已撤销。 虽然不清楚事件的真相,这里也提醒大家,ATM 转账是可以24小时撤销的,如果有必要,可以要求客户通过银行柜台或电子银行转账,后两者是实时到账的。 稿源:cnBeta.com, 封面:百度搜索

专家称特朗普使用的 Android 手机很容易遭网络攻击

特朗普承认社交媒体在他此次胜选中起了很大的作用,但他表示今后将不会再在 Facebook 和 Twitter 上那样活跃,不过 2017 年 1 月之前还是会再发布几条新动态。但美国的安全专家们很担心使用社交媒体将使得特朗普易于受到各种网络攻击,特别是特朗普正在使用的是安卓手机。以往 NSA 通常会为总统准备安全度更高的黑莓手机,但为奥巴马提供的却是一部 Galaxy S4 ,这部手机只有接打电话功能,因此不会存在受攻击的危险。 对于特朗普,NSA 要头疼了,因为他明确表示在入主白宫后将继续使用他的私人手机。但安全专家称特朗普的这一要求不可能会被准许。尽管专家们指出安卓系统比 iOS 系统更容易受到攻击,但对于美国总统而言,没有哪个系统是绝对安全的。因此 NSA 可能会为特朗普准备另外一部除了接打电话外没有其他功能的手机,这样,特朗普在正式成为总统后就不能再在手机里安装应用商店里的软件了。 稿源:cnBate.com,封面:百度搜索

FBI 建议用户频繁更换密码保障安全遭专家吐槽“画蛇添足”

11 月 25 日,FBI 发布一条推特,希望给假日购物季的消费者一些关于信息安全的建议:“正在这个假期里网购吗?注意你的账户安全,使用安全度高的密码或者经常更换密码。”使用安全度高的密码是个好建议,但后面的一条却引来了争议,许多安全专家都称这是条糟糕的建议。因为如果经常更换密码,用户会倾向于选择容易记忆的密码,这使得被黑客破解的几率增大。 其中一个安全专家 Per Thorsheim 称用户不该频繁更换密码,保护账号安全还有许多其他方法。“我对FBI给出的这个坏建议感到很吃惊,因为已经在至少半年的时间内,大量的研究报告、研究组织以及政府都反复强调不该频繁更换密码。我不知道到底是谁在管理 FBI 的官方推特,显然管理者并不了解什么是最好的安全保护方法。” 那么到底该怎样保护你的网络账户呢?最简单的方法是设置复杂的、不易被破解的密码,另外,尽可能采用双重身份验证,并且避免在两个以上的设备上使用同一密码。 稿源:cnbeta.com,封面来源:百度搜索

微软 EMET 安全机制或胜过 Win 10 现行安全防护能力

据外媒报道,美国卡内基梅隆大学 CERT 协调中心研究员 Will Dormann 称,微软不应该计划“砍掉”增强型减灾工具(EMET),而是应该继续保留这一功能。因为运行着 EMET 的 Windows 7 电脑甚至胜过 Windows 10 运行的本机安全防御。 微软此前称 EMET 的防御功能已经集成到 Windows 10 操作系统,并将于 2018 年中期停止对 EMET 的支持。 Dormann 将 Windows 7 与 Windows 10 安全性进行了比较 Dormann称微软忽略了 EMET 功能的一个重要特性:强制应用程序运行额外的防御机制。对于某些还在使用已经停止补丁更新的软件使用者来说,这会提供额外的安全防御措施。 稿源:本站翻译整理,封面来源:百度搜索

商业邮件诈骗将目标转向医疗机构 ,英美及加拿大 35 家机构沦陷

在过去两周里,以冒充 CEO 为形式的一系列商业电子邮件欺诈(BEC)开始将目标转向医疗机构,其中美国有 17 家机构、英国 10 家、加拿大 8 家。这些机构包括一般医院和用于专科保健、诊所性质的教学医院。即使制药公司也不能免于 BEC 诈骗,一家位于英国的公司和两家加拿大制药公司也成为诈骗目标。 CEO 欺诈是一种 BEC 骗局,骗子通过欺骗、假冒 CEO 或另一个商业主管的电子邮件帐户,向管理公司财务的首席财务官(CFO)发送欺诈性质的汇款请求,不知情的员工会将资金转移到骗子的银行账户 (平均每起诈骗造成 13 万美元的损失)。 与其他网络犯罪形式不同,这种 CEO 欺诈并不是利用安全漏洞因而很难被防御,攻击者通常伪造“发件人”和“回复”字段并将主题行限制为几个字,以避免引起怀疑并体现紧迫性。换句话说,电子邮件本身不会在其正文中包含典型的恶意附件或网址,这意味着传统的安全解决方案会将邮件默认为“安全”。 企业首席财务官(CFO)应注意每封邮件的邮件地址并验证发件人真伪并严格按照流程进行转账。 稿源:本站翻译整理,封面来源:百度搜索

谷歌向众记者、诺贝尔奖学者发送警告:你已被“国家级”黑客盯上

众多记者和学者向公众媒体报道,他们已经收到谷歌发送的警告信息,有受国家支持的黑客使用他们的谷歌帐户登录谷歌邮箱或其他网站。收到警告消息的人包括诺贝尔经济学奖得主、纽约时报专栏作家 Paul Krugman,纽约杂志的 Jonathan Chait,GQ 记者 Keith Olbermann 等等。 此外,谷歌发言人称,这些警告消息发生的实际时间在 1 个月前。为了防止黑客分析出研究人员用来检测入侵的方法,官方有意延迟了告警时间。 稿源:本站翻译整理,封面来源:百度搜索

从源头防堵信息泄露,央行下月推行”支付标记化”

央行于 11 月 9 日下发了《中国金融移动支付 支付标记化技术规范》(以下简称《规范》)行业标准的通知,强调自 2016 年 12 月 1 日起全面应用支付标记化技术。与此同时,记者注意到,上述《规范》还提出了支付标记化技术的基本架构,规定了应用支付标记化技术的系统接口、安全、风险控制等要求。 支付标记化技术作为全球支付领域的最新前沿技术,其优势体现在三个方面: 第一,敏感信息无需留存,持卡人卡号与卡片有效期在交易中不出现; 第二,支付标记仅可在限定交易场景使用,使得支付更安全; 第三,支付标记灵活性更高,与传统银行卡验证功能相比较,支付标记综合了个人身份与设备信息验证、支付信息附加验证、风险等级评估等功能进行交易合法性识别和风险管控。 因此,支付标记化不仅可防范交易各环节的持卡人敏感信息泄露,同时也降低了欺诈交易的发生概率。 稿源:cnbeta.com,封面来源:百度搜索