分类: 安全快讯

五角大楼发布最新禁令:禁止工作人员使用健身手环等设备

五角大楼发布最新禁令:禁止工作人员使用健身追踪器、智能手机的 GPS 功能,以及获得地理位置权限功能的约会  APP,以阻止泄露工作人员的地理位置信息。该禁令于上周五宣布,并由国防部副部长帕特里克·沙纳汉签署生效。在备忘录中写道:“该禁令立即生效。国防部工作人员在指定区域内禁止使用地理定位功能,禁止在政府配发、非政府配发的设备,应用和服务上使用该功能。” 五角大楼在今年 1 月份的调查中,发现 Strava 这款健身 APP 能够映射用户的健身习惯,而这极有可能会透露国防部在全球的安全位置。五角大楼发言人 Col. Rob Manning 在接受记者采访时候表示:“这项禁令可以确保我们不会便宜了敌人,确保不会展示我们军队确切位置。”虽然设备本身不会被禁用,但会有服务人员确保地理定位功能处于禁用状态。   稿源:cnBeta.COM,封面源自网络;

华为遭英国调查:使用过时软件 恐造成网络安全风险

新浪科技讯 北京时间 8 月 6 日早间消息,路透社援引消息人士的说法称,由于使用来自一家美国公司的过时软件,华为在英国正面临调查。调查者担心,这种软件可能会造成安全风险。 负责分析华为设备的英国政府监管委员会上月报告称,该委员会发现了技术和供应链“缺陷”,可能导致英国的电信网络面临新的安全风险。 消息人士称,其中的原因之一出在华为使用的 VxWorks 系统上面,该系统由总部位于美国加州的风河开发。根据消息人士的说法,华为正在使用的 VxWorks 版本将于 2020 年停止收到来自风河的安全补丁和更新,但届时仍会有包含这些系统的产品在使用中。这可能会导致英国的电信网络遭到攻击。 7 月份的报告显示:“包括关键安全部件在内的第三方软件将于 2020 年不再获得长期支持,但华为相关产品的生命周期要更长。” 不过消息人士均表示,没有迹象表明,出现这样的情况是华为有意为之,而这些软件本身也不会带来安全风险。 目前尚不清楚,华为的哪些产品受到影响,以及华为正在采取什么样的措施来解决问题。 英国的担忧表明了对贸易战和国家安全的担忧,将导致科技公司和各国政府更难保护产品和通信网络。 风河的发言人表示,不会就华为的这一情况置评,但风河通常会帮助客户升级至最新的软件版本。华为的发言人也拒绝对此置评,但表示会就英国相关部门的关切做出改进。   稿源:新浪科技,封面源自网络;

台积电遭病毒入侵全线停产 苹果新U或遭殃

据 AppleInsider 北京时间 8 月 5 日报道,苹果 iPhone、iPad 芯片代工厂商台积电遭到计算机病毒攻击,星期六数家工厂因此停产。在工厂设备感染病毒后,台积电数家工厂已经已停产。对于台积电和苹果来说,芯片制造工厂停产的时机很糟糕,因为台积电目前正在全力为苹果计划今年秋季发售的新款 iPhone 生产芯片。 台积电已经控制了病毒进一步蔓延,受影响工厂部分设备也已恢复生产,其他一些设备要到星期日才能恢复生产。由于芯片制造流程很长,因此生产过程中断可能会导致损失数周的产量。 虽然这次事故似乎是有针对性的攻击,但台积电称这次病毒攻击与网络入侵无关。这是台积电生产线首次因遭到病毒攻击停产。 台积电首席财务官何丽梅向彭博社表示,“台积电之前也曾遭到过病毒攻击,但病毒攻击影响生产线还是首次。” 台积电没有就造成的生产损失以及受影响的客户发表评论。传统上,在每年8月初,台积电绝大多数产能都用于为苹果生产 A 系列芯片。 对于各种 iPhone 组件,苹果通常会向多家供应商采购,但 A 系列芯片是个例外——目前只有台积电一家公司供应。2018 年发布的新款 iPhone 可能配置 A12 芯片。 最近,台积电预计本季度营收将增长“大一位数”,主要推动力量就是新款 iPhone。5 月份,AppleInsider 刊文称台积电已开始采用 7 纳米工艺为苹果生产 A12 芯片。   稿源:凤凰网科技,封面源自网络;

印度拟设监管机构监管电商,要求谷歌 Facebook 等公司在本地存储数据

(原标题:India eyes single regulator for e-commerce sector: document)   网易科技讯 7月30日消息,据国外媒体报道,路透社看到的一份政策文件草案显示,印度正在考虑设立一个单独监管机构并进行立法,以解决该国所有与电子商务相关的问题,消除目前监管该行业的法律不成体系现象。 这份政策文件即《国家政策框架草案》中提出的一些措施包括:本地数据存储、强制使用国内用卡支付网络Rupay进行网上交易,以及推动微型、小型和中型企业提供网上零售服务。 该文件还表示,印度还将采取措施,发展数据存储能力,并鼓励在印度国内存储数据。这份文件还称,将给予时间让电子商务行业“在本地化成为强制性要求之前进行调整”。 该政策草案表示,“在遵守隐私、许可等相关规定情况下,印度政府将有权让数据存储在印度国内,以实现国家安全和公共政策目标。” 该文件表示,印度反垄断监管机构将考虑改变外资投资的进入规则,以便对可能扭曲竞争的电子商务市场的并购行为进行强制审查。 Flipkart是印度重要电子商务公司之一。美国零售巨头沃尔玛(Walmart)、电商巨头亚马逊旗下印度子公司,以及由日本软银(SoftBank)支持的Snapdeal,目前正在展开对Flipkart的收购。(天门山)   稿源:网易科技,封面源自网络;

谷歌更新 Play 应用市场开发者审查政策 明确禁止挖矿应用上架

谷歌今日对旗下 Play Store 应用市场的开发者政策进行了更新,禁止了更多种类的应用发行上架,包括进行加密币挖矿、包含“破坏性”广告等应用,但通过远程控制其它设备进行挖矿的应用仍被允许上架。前段时间苹果更新开发者审核指南,明确禁止了挖矿应用。 此外政策更新还限制了重复模仿性的应用(Repetitive Apps),指那些模仿已有应用提供同样功能体验的 APP,这些 APP 完全重复其它应用的内容,不增加任何独特的或新的功能,还可以包括由自动生成工具、向导服务、或者基于模板的应用等。 此外,政策更新还限制了与武器或者武器配件相关的应用,为爆炸物、火器、弹药或者武器配件提供销售的应用将会被封禁;表面看上去面向儿童的应用,却提供成人主题的应用也在禁止名单中。     稿源:cnBeta.COM,封面源自网络;  

奖金 10 万美元 约翰·迈克菲招募黑客攻击 Bitfi 数字钱包

McAfee反病毒软件创始人约翰迈克菲最近在社交媒体上高调招募黑客攻击他公司新产品Bitfi数字钱包,他表示会给那些可以闯入Bitfi钱包的人提供10万美元奖金。约翰迈克菲表示,对于那些声称没有什么设备是不可破解的人来说,Bitfi钱包真的是世界上第一个不可攻击的设备,任何可以破解它的人都可获得10万美元的赏金。 Bitfi营销团队已经足够快速地制定了一些关于这场比赛的官方规则。这个团队表示:“我们坚信奖金的价值在于努力解决任何可能对Bitfi钱包安全性的担忧。这个赏金计划并不是为了帮助Bitfi识别安全漏洞,因为我们已经声称我们的钱包安全性是绝对的,并且钱包不会受到外部攻击的攻击或侵入。相反,这个活动旨在向任何声称或认为没有任何不可攻击或者他们可以侵入Bitfi钱包的人展示,这样的尝试是徒劳的,并且关于Bitfi钱包的广告声明是准确的。” 不过参与攻击Bitfi数字钱包攻击活动的黑客首先需要购买一个Bitfi钱包才能参与这次活动,并额外支付50美元才能将一些加密货币加载到设备上供参与者攻击和偷窃。申请赏金的规则很简单:“如果您成功提取硬币并清空钱包,这将被视为成功的黑客攻击,并且提供钱包清空的证据,然后你可以保留提取的数字货币,Bitfi说他们会向你支付10万美元。“ 约翰迈克菲还要求参与者公开任何攻击尝试,以便该过程可以帮助其他人进一步攻击Bitfi钱包。   稿源:cnBeta,封面源自网络;

Let’s Encrypt 保驾护航的 HTTPS 网站数量已突破1亿

备受欢迎的安全证书颁发机构 Let’s Encrypt 宣布,当前它已经为超过 1 亿个网站保驾护航,而且这个数字还在持续增长。仅在上个月,使用 HTTPS 保护的站点数量就增加了 2400 万。一天前,Google 刚刚宣布 —— 从 Chrome 68 开始,该浏览器将正式向所有不安全的 HTTP 站点开炮。 在谈到 Let’s Encrypt 和最近的消息时,项目负责人、前 Mozilla 雇员 Josh Aas 表示: 在 Let’s Encrypt 项目推出之前,让每个都启用 HTTPS 是不现实的,毕竟这对财务、技术、教育等方面提出了一定的要求。 我们着力于大规模的易用性工作,这就是近年来部署 HTTPS 的惊人增长的主要推动力。 今天,Let’s Encrypt 签发的加密证书已经覆盖了超过 1 亿个网站,且有望在 2018 年底前达到 1.5 亿+。 Let’s Encrypt 的增长,对业界来说是一个很好的标志性事件。因为它有助于保护人们在登录网站时不被黑客入侵,尤其是那些鱼龙混杂的公共网络。 结合 Google Chrome 突显 HTTP 不安全警告,我们预计可以大幅促进网络上 HTTPS 的增长。 遗憾的是,仍有许多大网站没有即时跟进部署 HTTPS,比如 WhyNoHttps.com 就指出: 中国仍有许多不安全的网站,此外 t.co、wikia.com、bbc.com、foxnews.com、dailymail.co.uk、roblox.com、sberbank.ru、speedtest.net、ladbible.com、ign.com、asos.com 等也不够安全。   稿源:cnBeta,封面源自网络;

微软宣布进行年度 Hackathon 私人黑客竞赛 并发表新书

微软今天开始推出One Week Hackathon,这是全球最大的私人黑客竞赛,参赛的微软员工将尝试寻找解决世界上一些最具挑战性问题的新想法。参与者将获得一本新书“能力黑客”,其中回顾了两个黑客团队如何创建新技术以赋予残疾人新的能力。 早在2014年,Ability EyeGaze黑客团队就接到史蒂夫格里森的电子邮件,史蒂夫格里森是一名前NFL球员,患有神经肌肉疾病,称为肌萎缩侧索硬化症(ALS)。格里森想挑战微软员工找到一种方法让他用眼睛控制自己的轮椅。经过漫长而艰难的旅程,Ability EyeGaze Hack团队取得了成功,可访问性项目最终在去年进入了Windows 10。 该书还记录了学习工具黑客团队的可访问性项目,该团队最初旨在帮助阅读障碍的学生学习如何阅读它。该项目很快改变了范围,以帮助患有dysgraphia,ADHD,英语学习者和新兴读者的人,并且学习工具已经集成到Office和Microsoft Edge中。 微软首席可访问官Jenny Lay-Flurrie说:“早在2014年,我们有10个能力黑客项目,去年我们有150个项目和850个参赛者,今年我们希望这本书以及这些团队所经历的旅程能够引发关于技术变革力量的对话,并鼓励工程师和人员构建下一波包容性技术。”   稿源:cnBeta,封面源自网络;

谷歌员工使用实体安全密钥避免网络钓鱼

据外媒CNET报道,事实证明,谷歌员工避免网络钓鱼的关键是一个真正的密钥。 Krebs on Security上周报道称,该公司于2017年初开始使用基于物理USB的安全密钥,从那时起,其85000多名员工中没有一人在使用他们的工作账户时遭遇网络钓鱼。 密钥可用作双因素身份验证的替代方法,用户首先使用密码登录,然后输入通常通过文本或应用程序发送到手机的其他一次性密码。 一位谷歌代表告诉Krebs,安全密钥用于该公司的所有帐户访问。 “自从在谷歌使用安全密钥以来,我们没有报告或确认帐户接管,”这名代表表示。“用户可能会被要求使用他们的安全密钥对许多不同的应用程序/原因进行身份验证。这完全取决于应用程序的敏感性以及用户在该时间点的风险。” 谷歌没有立即发表评论。 根据Krebs on Security的数据,在2017年之前,谷歌员工使用Google Authenticator应用生成的一次性密码  。但是一个零售价低至20美元的安全密钥使用了一种称为通用第二因子(U2F)的多因素身份验证。U2F允许用户通过插入USB设备并按下上面的按钮来登录。设备链接到某个站点后,用户不再需要输入密码。 据Krebs on Security称,更多网站正在采用U2F身份验证,但目前只有少数网站支持它,例如Dropbox,Facebook和Github。它受到Chrome,Firefox和Opera等浏览器的支持。据报道,微软将在今年晚些时候更新其Edge浏览器以支持U2F。   稿源:cnBeta,封面源自网络;

Google Chrome 68 正式向所有不安全的 HTTP 网站开炮

在 7 月 24 号发布的 Chrome 68 中,Google 引入了一项重大的变化。当加载非 HTTPS 网站时,该浏览器的处理方式会更加审慎。据悉,只要遇到潜在不安全的站点,Chrome 都将开始抛出警告信息。虽然不会对日常使用造成太大的影响,但这确实是迄今为止发生的一个重大转变。 Chrome 正在改变加载 HTTP 时的处理方法,因为这项老旧的技术未对数据进行加密。   在之前版本的 Chrome 浏览器中,Google 还只是强调“当前访问的网站是否采访用了更加安全的 HTTPS 加密”,并在地址栏上凸显一个标记。 然而现在的情况是,Google 突然加快的步伐,彻底将那些缺失有效安全证书的非 HTTPS 网站划归到了“潜在不安全”的阵营,并抛出安全警示。 在官方支持页面上,Google 解释到: 过去几年中,我们一直主张站点采用 HTTPS,以提升其安全性。去年的时候,我们还通过将更大的 HTTP 页面标记为‘不安全’以帮助用户。 不过从 2018 年 7 月开始,随着 Chrome 68 的发布,浏览器会将所有 HTTP 网站标记为‘不安全’。 简而言之,从 Chrome 68 开始,这一变动将影响到 Web 和内网中‘潜在不安全’HTTP 网站的访问。   稿源:cnBeta,封面源自网络;