分类: 安全快讯

Google 在欧洲上线安全中心网站 包含隐私设置及安全工具

谷歌宣布其安全中心网站正在欧洲各地推广,从现在起比利时,法国,德国,意大利,荷兰和英国的人们可以访问谷歌选择自己适合的工具和获取保持在线安全的技巧。此次发布时间恰逢欧洲网络安全月,但谷歌似乎还没有决定如何拼写自己的产品名称: Safety Center或者Safety Centre。 Google表示: 从今天开始,我们将在欧洲六个国家(比利时,法国,德国,意大利,荷兰和英国)推出新的安全中心。现在,您可以找到更多工具,设定简单提示以及有关数据安全性,隐私控制以及如何以适合您的家庭的方式使用技术的信息,此次发布正好赶上欧洲网络安全月,未来几周将有更多的国家和语言的支持。 帮助人们管理他们的隐私和安全是我们致力所做的事情。多年来,我们创建了许多工具并且始终在改进它们以便您掌控:Google帐户可让您访问所有设置以保护您的数据和隐私;隐私检查可帮助您快速查看和调整Google用于个性化体验的数据;“我的活动”可帮助您查看与您的帐户相关联的活动数据。 访问Google安全中心官网: https://safety.google   稿源:cnBeta,封面源自网络;

Chrome 70 即将发布,数千个网站或因安全证书受影响​​​​​​​

由于使用了旧的安全证书,互联网上的数千个网站将会在谷歌发布 Chrome 70 后受到影响 —— 访问这些网站的用户将会收到浏览器提示的安全警告。这是因为 Google 已放弃对赛门铁克在2016年6月之前发布的 HTTPS 安全证书的信任。 一年多前,当谷歌发现赛门铁克不正当地颁发安全证书时,谷歌方面就警告说它将放弃对来自赛门铁克受影响的批量证书的支持。简单来说,赛门铁克在2016年6月之前发布的安全证书都将不会受到 Chrome 70 的信任。因为谷歌早已在一年前就已公布时间表,所以 Web 开发者有一年多的时间来准备此更改。 安全研究员斯科特·赫尔姆(Scott Helme)在 Alexa 排名前 100 万个网站中发现超过 1000 个网站依然使用赛门铁克旧的安全证书,这些网站可能会受到谷歌推出 Chrome 70 的影响,其中包括一些来自印度和特拉维夫的知名政府网站。 据 TechCrunch 报道,除赛门铁克证书外,在2016年6月之前使用 Thawte, VeriSign, Equifax, GeoTrust 和 RapidSSL 颁发的证书的网站也将受到 Chrome 70 的影响。   稿源:开源中国,封面源自网络;

法律禁止默认密码 “admin”,“无意入侵”没那么容易了

据 techcrunch 报导,前几日,加州通过了一项法律,2020 年之后禁止在所有新的消费电子产品中使用 “admin”、“123456” 和经典的 “password” 这样的默认密码。 从路由器到智能家居技术在该州建造的每个新设备都必须具有开箱即用的“合理”安全功能,法律特别要求每个设备都带有“每个设备独有的”预编程密码。它还要求任何新设备“包含一个安全功能,要求用户在首次授予设备访问权限之前生成新的身份验证方法”,在第一次打开是强制用户将其唯一密码更改为新的密码。 弱密码问题一直是黑客进行攻击利用的有效且低成本手段,多年来,僵尸网络利用了安全性较差的连接设备的强大功能,在网站上拥有大量的互联网流量,也就是所谓的分布式拒绝服务(DDoS)攻击。僵尸网络通常依赖于默认密码,这些密码在构建时被硬编码到设备中,用户以后不会对其进行更改。 恶意软件使用公开的默认密码侵入设备,劫持设备并诱使设备在用户不知情的情况下进行网络攻击。两年前,臭名昭着的 Mirai 僵尸网络将成千上万的设备拖到了目标 Dyn,这是一家为主要网站提供域名服务的网络公司。通过使 Dyn 无法正常解析域名,导致其它依赖其服务的网站也无法访问,造成在大面积的网络瘫痪。简单的 Mirai 能够造成大损失的很大原因就在于利用了设备默认的简单密码。 虽然新法可以防止这类僵尸网络,但却无法解决更广泛的安全问题,比如有些攻击是不需要猜测密码的,另一方面,该法律并未要求设备制造商在发现错误时更新其软件,像亚马逊、苹果和谷歌这样的大型设备制造商确实会更新他们的软件,但更多鲜为人知的品牌却不会这样做。 然而这毕竟是在为保证网络安全迈出的一小步,也许可以避免“腾讯员工因对酒店 Wi-Fi 服务器是否存在漏洞产生好奇并选择黑入,结果成功被捕”这样的事。你觉得怎么样?   稿源:开源中国,封面源自网络;

FB 被曝收集儿童信息 多个保护组织呼吁关闭相关应用

多家儿童和消费者保护组织表示,Facebook 通过 Messenger Kids 应用非法收集少年儿童数据。Campaign for a Commercial-Free Childhood(CCFC)和其他保护组织上周都要求美国联邦贸易委员会(FTC)调查这款以儿童为中心的消息应用是否违反《儿童网络隐私法保护法》(COPPA)。 这些组织认为,Facebook 在没有获得儿童父母允许的情况下违法收集了他们的信息。 投诉信显示,Messenger Kids 并没有满足 COPPA 的要求,因为它并没有努力确认开设帐号并获取数据的人的确是儿童的父母。 他们表示,有的人可以在不证明年龄或身份的情况下开设全新的虚假儿童帐号。 Facebook 上周三回应称,他们尚未对投诉信进行评估。 该公司曾经表示,不会在 Messenger Kds 中投放广告,也不会出于营销目的而收集数据,但他们的确会收集一些运营这项服务所必须的数据。 但相关组织表示,Messenger Kids 的隐私政策“既不完整,还很模糊”,使得 Facebook 可以将数据提供给第三方和 Facebook 的其他服务,以便用于“广泛而未明确的商业目的”。 CCFC 执行总监乔希·高林(Josh Golin)在声明中说:“虽然有证据显示过度使用社交媒体会对少年儿童的健康产生负面影响,但Facebook 还是希望勾住那些只有 5 岁的孩子。” 该公司对父母表示,Messenger Kids 是为了保护儿童安全,但却并没有遵守最基本的隐私法律要求。“父母的最佳选择很明确:让孩子远离 Facebook。”高林补充道。 Facebook 去年推出了 iOS 版 Messenger Kids,之后又扩大到 Android 和亚马逊的设备,而且从美国推向墨西哥和加拿大以及世界其他地方。 这款产品瞄准的是 13 岁以下儿童,从技术上讲,这些用户应该都没有 Facebook 帐号(尽管他们中很多人其实都已经注册了Facebook)。 投诉信写道:“我们自己的测试显示,想要创建一个虚假帐号来认证一个 Messenger Kids 帐号并不困难。我们用一个虚构的18岁身份创建了全新的 Facebook 帐号,然后使用这个帐号认证了一个虚构的 Messenger Kids 用户。整个过程只用了 5 分钟。” 虽然该公司表示,他们已经收到父母和儿童成长专家的许多建议和意见,但CCFC等组织一直都希望能彻底关闭 Messenger Kids。     稿源:新浪科技,封面源自网络;

Telegram 被指默认设置状态下会在用户通话过程中曝光 IP 地址

据外媒报道,Telegram 是一款可以让用户在互联网上与其他用户展开加密聊天和通话的通信应用。这款程序自称是一款安全的私人通信应用程序,然而一项研究发现,在它的默认配置下,它会在用户通话过程中泄露出 IP 地址。 在默认设置下,Telegram 的语音通话通过 P2P2 进行。当使用 P2P 的时候,用户通话对象的IP地址则会出现在 Telegram 控制日志上。不过不是所有的版本都有控制日志。比如 Windows 版不会,但 Linux 版却有。 Telegram 应用确实表明过用户可以通过改变设置防止 IP 地址被泄露,操作入下:设置-私人与安全-语音电话-将 Peer-to-Peer 改成 Never 或 Nobody 。这样设置后,用户将需要通过 Telegram 服务器拨打语音电话,虽然隐藏了 IP 地址但却要付出音频质量下降的代价。 问题是虽然 iOS 和 Android 用户可以关掉 P2P 电话功能,但安全研究员 Dhiraj 发现,官方桌面版和 Windows 版都无法禁用这个功能。这意味着这部分用户的 IP 地址会在他们使用语音通话时遭到泄露。下面是 Ubuntu 桌面版 Telegram 的一个例子: 作为一个以安全和私密性而著称的应用,Telegram 为何会存在这样一个漏洞呢?当外媒 BleepingComputer 询问 Dhiraj Telegram 这么做是否存在任何原因时,后者给出的回应是:“没有,关于这个并没有得到任何评论。” 此外,BleepingComputer 还联系了 Telegram 但也还未收到回复。   稿源:cnBeta.COM,封面源自网络;

Windows Defender 即将成为最佳 Windows 10 防病毒软件

AV-TEST 最近进行的防病毒测试表明,Windows Defender 最近有了很大的改进,有些令人惊讶的是,它更接近成为全球顶级安全产品。尽管对于习惯于与第三方解决方案的人来说,这听起来完全出乎意料,但 7 月/ 8 月的研究表明 Windows Defender 是表现最佳的 Windows 10 防病毒软件。 Windows Defender 在最多 18 分中获得 17.5 分,其中 6 分为保护,6 分为可用性,5.5 分为表现。随着性能部门的一些改进,Windows Defender 可能会变得像领导者 Bitdefender 和卡巴斯基一样具有最佳 Windows 10 防病毒性能。 Windows Defender 在防御 0 天恶意软件和检测广泛流行的 4 周恶意软件方面提供了完美的性能。在7月和8月的测试中,所有样本都被微软的防病毒软件检测到并阻止。在性能方面,Windows Defender 除了一次测试外都给人留下了深刻的印象。应用程序在启动热门网站,下载文件或启动应用程序时对系统性能的影响低于行业平均水平,但另一方面,在安装常用应用程序时,它达到了更高的数字。 至于可用性,Windows Defender 在这里也取得了近乎完美的结果。它在访问网站时产生了零错误警告或阻塞,并且在系统扫描期间只有一次错误地将合法软件检测为恶意软件。这只发生在8月的测试中,而在7月,它的表现完美无瑕。AV-TEST 现在将 Windows Defender 列为顶级产品,它为其提供了防病毒认证,突出微软高级解决方案的先进性。   稿源:cnBeta.COM,封面源自网络;

加州通过物联网网络安全法 有专家质疑其进步意义

新浪科技讯 北京时间9月29日早间消息,加州州长杰里·布朗(Jerry Brown)在新的网络安全法上签字,这项法律覆盖智能设备,加州成为美国第一个拥有物联网网络安全法的州。法案编号SB-327,去年制定,8月末在州参议院获得通过。 从2020年1月1日开始,制造商如果制造直接或者间接连接互联网的设备,必须植入“合理”的安全技术,预防未授权访问、修改、信息披露。如果设备可以用密码从本地局限网外访问,必须为每一台设备设立一个独特密码,或者强迫用户在第一次连接时设置密码。这样一来就不会有一般默认凭证,黑客难以猜测。 关于新法案有人赞扬,有人批评,赞扬者认这是通往正确方向的第一步,而反对者则认为法案含糊不清。 网络安全专家罗伯特·格雷厄姆(Robert Graham)认为,它让安全问题倒退,只是一味增加好的东西,而没有尽力剔除坏的东西。关于密码要求,格雷厄姆赞赏,但是他认为没有覆盖多种多样的身份认证系统,有些系统可能叫作密码,有些可能不叫密码,因为规定不明确,制造商可能会给设备留下安全漏洞。 哈佛大学研究员布鲁斯·施奈尔(Bruce Schneier)则说这是有益的第一步。他认为:“可能前进的幅度不大,但是不能因此就否决它,不让法案通过。”法案虽然只针对加州,不过如果设备制造商想在加州销售产品,就要遵守规定,这种福利其它地方的客户也能享受到。   稿源:新浪科技,封面源自网络;

苹果、亚马逊、Alphabet 等支持美出台数据隐私保护法

新浪科技讯 北京时间9月27日早间消息,周三,主要科技公司和互联网服务商向美国参议院专门小组表示,他们支持联邦立法以保护数据隐私,但希望国会可以取代加州已经采取的新的严格规定。 亚马逊、Alphabet、苹果、AT&T、Charter Communications以及Twitter等向参议院商务委员会一致表示他们将支持新的联邦隐私法规。 这些公司支持让用户拥有他们对自己数据的控制权,对数据如何使用的透明性以及删除他们数据的能力。个人数据包括网页浏览历史以及其他消费者数据。 商务委员会主席参议员约翰·桑恩(John Thune)说,他正在制定立法但同时承认今年不太可能获得通过。行业“希望有一个全国性的方法,而非50个州各自不一的方法。同时我也认为这为我们提供了一些机会,也表明他们必须坐下来与我们商量并为此提供良好的解决方案,”桑恩说。 桑恩希望在今年末的时候可以举行听证会,听取消费者群体的意见。 民主党参议员认为,立法需要更加严格的条款。 民主党参议员布莱恩·沙茨(Brian Schatz)指出,科技公司虽担心州法律带来的影响但仍需要支持更稳固的联邦隐私法。 今年6月份,加州州长杰瑞·布朗(Jerry Brown)签署了一项数据隐私立法,旨在让消费者对公司如何收集和管理他们的个人数据有更多控制权。Alphabet旗下的谷歌和其他大型公司均对该立法提出反对,理由是过于繁琐。该立法将于2020年生效。 亚马逊副总裁安德鲁·德沃尔(Andrew Devore)在听证会上说,加州的法律制定仓促,其对“个人数据”的定义超过了实际可以识别个人身份的信息。“结果导致该法律不仅令人困惑也难以遵循,甚至还可能会破坏重要的隐私保护措施,”他说。 大量的数据隐私泄露已然危及数百万美国互联网和社交媒体用户的个人数据,包括大型零售商以及信用报告机构Equifax的数据泄露。 “州法律先行出台是好事,”沙茨说,“只有州法律行得通,你才能最后实现自己的目的。”他还说民主党不会以“一个非进步的联邦法律取代进步的加州法律”。 但这里存在的一个重要问题是,联邦贸易委员会(FTC)是否有权制定隐私法规。 各大公司没有排除支持FTC制定法规的可能性,但也表示希望看到更多细节。 美国商务部周二表示,在欧盟和加州均采取严格的新规定之后,他们也在为如何制定全国性数据隐私法规征求意见。 欧盟的通用数据保护条例于今年5月生效。违反该隐私法规现在可最高导致全球收入4%或2000万欧元的罚款(以较高者为准),惩罚不再是以往的几十万欧元那么简单。   稿源:新浪科技,封面源自网络;

调查报告显示美国执法机构的 DHS 无人机数据易受黑客攻击和内部威胁

在国土安全部监察长办公室的一份报告中公布,海关与边境保护局(CBP)未能采取适当的保障措施来保护使用无人机系统(UAS)收集的监控信息。在审计之后,监察长办公室发现,根据国土安全部和联邦政策,作为支持CPB执法任务的无人机监视计划的一部分收集和传输的图像和视频没有得到充分保障。 安全监督的发生是因为CBP官员不知道无人机驱动的数据收集计划需要进行隐私评估,以确保CBP的隐私办公室实施法律,DHS政策和联邦法规所要求的适当保护措施。此外,用于收集监视数据的情报,监视和侦察(ISR)系统在审计开始之前受到外部和内部参与者侵害的风险增加。 CBP使用无人机收集各种监视材料,从原始图像数据到毒品走私者截获的和试图越过美国边境的无证移民。虽然UAS收集的材料不允许准确识别个人,但在与CBP代理人或执法人员会面时,它仍可用作积极调查的一部分。此外,如果没有向DHS隐私办公室提交隐私阈值分析,则存在潜在的隐私风险,这使得航空和海事处(AMO)无法确定所获取的数据是否需要隐私保护。 CBP未能实施适当的安全控制来保护通过其UAS程序收集的信息,可能导致存储在其电脑系统上的隐私敏感信息因内部或外部不良行为者而受到损害,被盗或丢失。     稿源:cnBeta,封面源自网络;

美国特朗普总统签署《国家网络战略》 应对来自网络的威胁

美国总统特朗普的国家安全事务助理约翰·博尔顿20日表示,特朗普当天签署了国家网络战略[PDF],以加强应对网络威胁。博尔顿在对媒体的吹风会上表示,国家网络战略将指示美国政府采取行动确保长期改善所有美国人的网络安全。 白宫新闻办公室发表声明称,国家网络战略的核心是增强美国网络安全,该战略将有助于保护网络空间成长为经济增长和创新的引擎,同时遏制在网络空间造成不稳定的行为,此外还将保持互联网的长期开放性,支持并加强美国利益。 美国媒体分析称,当天发布的国家网络战略最值得注意的是,美国将采取“进攻性”的行动来制止和应对网络攻击。博尔顿在吹风会上说,对于任何正在对美国采取网络行动的国家来说,他们应该意识到,我们将同时从进攻和防守两个方面进行回应。   稿源:cnBeta,封面源自网络;