分类: 安全快讯

微软宣布面向决策者的“网络安全政策框架”白皮书

过去几年,网络攻击变得越来越普遍。除了传统的恶意团体,甚至还冒出了一些“更具背景”的幕后主使者的身影。在新形势下,这使得高层决策者难以通过制定法律来对抗这些威胁。而为了化解这一困境,微软刚刚发布了一份名为《网络安全政策框架》的白皮书。在长达 44 页的篇幅中,微软概述了决策者如何制定有效的政策、而无需经理不必要的障碍。 访问: 微软中国官方商城 – 首页 微软强调称,白皮书本身并不是一部完整的“网络安全法律”草案,反而更像是一份“伞状文件”,呈现了网络政策更加高级、抽象的一面。 具体说来,该文件侧重于以下方面: ● 国家级网络安全战略; ● 如何建立国家级网络机构; ● 如何制定和更新网络犯罪法案; ● 如何开发和更新关键基础设施的保护措施; ● 全球性网络安全战略。 微软表示,即便该公司已经与各国政策制定者合作多年,但本白皮书中的信息在其它地方并不易获得。 微软网络安全政策主管 Angela McKay 补充道: 鉴于技术的变化和创新是始终持续的,为应对网络安全所带来的影响,我司已经且将永远有更多的工作要做。 今天,我们很高兴将这一资源用于支持新一代的决策者们、并期待与其展开合作,以共同应对未来将面临的新挑战。 微软“网络安全政策框架白皮书”: 引用页 |(PDF)       稿源:cnBeta.COM,编译自:Neowin ,封面源自网络;

台积电工厂受计算机病毒感染 新款 iPhone 出产或推迟

行业分析师称,全球最大的代工芯片制造商台湾积体电路制造(台积电)上周爆发的计算机病毒导致的损害或可推迟 iPhone 生产。供应商在公司的计算机网络中安装了一个没有扫描病毒的软件后,一年多前 WannaCry 勒索软件的一个变体得以在上周五到周一这段时间入侵台积电的计算机系统和工厂工具。病毒导致机器崩溃不断重启。 尽管台积电表示制造业务在周一已经完全恢复,然而这次病毒事件可能会对“公司某些最先进的设备”造成损害,这些先进设备将用于制造苹果打算在今年出货的 iPhone 设备上配备的 A 系列芯片,台北市场情报咨询研究所资深行业分析师 Lee Cheng-hwa 说。此次事故发生于苹果的关键时期。上周苹果市值创下历史新高突破 1 万亿美元,公司正紧锣密鼓地准备着下个月备受市场期待的一年一度新款 iPhone 发布。 根据之前的报道,苹果很有可能会推出三款新 iPhone ,并同时对 iPad 和 Apple Watch 进行升级。所有这些设备在过去使用的都是台积电制造的芯片。鉴于台积电的工厂生产大量为 iPhone 设计的芯片,苹果是最有可能面临出货推迟的客户之一,但未必是受影响最严重的一个,分析师称。 台积电表示,病毒事件将推迟其芯片出货时间到九月底,但预计年底前可以恢复。生产设施受病毒感染期间,公司不得不关闭受病毒感染的制造工具和自动化处理系统,但周日已经恢复了 80% 的设施。 苹果未立即予以评论。台积电的一名发言人拒绝提供公司官方声明以外的更多信息。台积电将此次病毒事故归咎于一名未指明姓名人士在安装新软件时的操作失误。公司已在本周单独通知客户们关于交付事项的变更。 台湾投资咨询公司宽量国际(Quantum International Corp)高级顾问约翰·布里贝克(John Brebeck)认为,有些开发消费电子产品的开发商下了急单,他们等待台积电的任何延迟芯片时间可能会最长。客户和投资者一样都非常关心台积电发生的病毒事件,因为这是该芯片制造商首次发生这类事故。这样的病毒此前还从未“破坏过一家如此重要的公司,因此每个人都十分关注,”台北智库中华经济研究院研究人员 Wu Hui-ling 称。 同样这起事故还表明此类事件给全球电子供应链所能带来的重大干扰。为中国智能手机品牌开发处理器的美国芯片制造巨头高通也是台积电的一个客户。台积电不时也被看做是技术投资的领头羊,因为公司具有相对透明的管理体制和领先的芯片制造技术。但宽量国际的布里贝克认为,总的来说台积电不会受到病毒事故的太大影响,因为公司素来有着良好声誉。     稿源:cnBeta.COM,封面源自网络;

Linux 内核曝 TCP 漏洞,极小流量就可以 DoS 瘫痪设备

卡内基梅隆大学的 CERT/CC 发出警告,称 Linux 内核 4.9 及更高版本中有一个 TCP 漏洞,该漏洞可使攻击者通过极小流量对系统发动 DoS (Denial-of-Service,拒绝服务)攻击。 该漏洞是由诺基亚贝尔实验室支持的芬兰阿尔托大学网络部门的 Juha-Matti Tilli 发现的,目前已经被编号为 CVE-2018-5390,并且被 Red Hat 称为“SegmentSmack”。 CERT/CC 指出,由于漏洞,新版本 Linux 内核可能被迫对每个传入的数据包进行非常消耗资源的 tcp_collapse_ofo_queue()和 tcp_prune_ofo_queue()调用,这会导致受影响的系统上 CPU 变得饱和,从而产生 DoS 条件。 远程攻击者可以以相对较小的传入网络流量带宽通过在正在进行的 TCP 会话中发送特别修改的数据包来导致 DoS。“在最糟糕的情况下,攻击者可以仅使用小于 2kpps (每秒 2000 个数据包)的攻击流量让被害主机瘫痪”,Red Hat 解释到:“四个流的攻击结果可能看起来像是四核 CPU 完全饱和,并且网络数据包处理被延迟。” CERT/CC 列出了许多可能受到影响的网络设备供应商、PC 和服务器制造商、移动供应商和操作系统制造商(具体列表),鉴于 Linux 的广泛使用,该漏洞的影响范围很大,包括从亚马逊和 Apple 到 Ubuntu 和 ZyXEL 的每个供应商。目前已确认受影响的 Red Hat 系统包括 RHEL 6 和 7、RHEL 7 for Real Time、RHEL 7 for ARM64、RHEL 7 for IBM POWER 和 RHEL Atomic Host。 Red Hat 表示,对于管理员来说,除了等待内核修复,目前还没有有效的解决方法或缓解措施。   稿源:开源中国,封面源自网络;

谷歌工程总监:用户不该操心网络安全 科技巨头需付出更多努力

在周三于拉斯维加斯举行的黑帽网络安全会议上,“谷歌安全公主”Parisa Tabriz 发表了主题演讲,期间讨论了与网络安装状况有关的问题。其主旨是,在线安全不应该是用户关注的重点所在,所以科技巨头们需要作出更多的努力。人们在日常生活中,一直被网络攻击的阴霾所笼罩,比如黑客会以电子邮件、信用卡、甚至政治为目标,由此带来了许多安全顾虑。 她在周二接受采访时称:所谓安全,应该是技术巨头们可以在网络上轻松保护每个人。 其为谷歌设立的终极目标是 —— 让安全成为第二天性,而不是你必须积极考虑实现的目标 —— 显然,这取决于互联网的“建筑师”们。 这趟旅程的重点是保障人们在 Web 上创建内容,但在默认设置下,他们中的绝大多数甚至根本不需要考虑这个问题。 虽然不知道何时会发生,但我认为事情正在朝着正确的方向去发展。 显然,Parisa Tabriz 想要避免制造让用户感到疲劳的“过多警告”。因为在频繁弹出警示信息的情况下,人们会开始变得相当麻木。 在过去四年时间里,谷歌发现了这一点,并且希望努力扭转该问题。值得庆幸的是,许多与 HTTPS 相关的安全指标,最终都会化解这个问题。 我们做了很多工作,使警告信息更易于理解、并了解对用户拥有的内容。作为一个普通人,你或许已经在过去两个月中留意到了一些变化。 比如,Chrome 地址栏前会显示一个绿色的锁状图标,并在旁边标注为‘安全’,以便告诉人们当前页面上的信息是值得信赖的。 不过 Parisa Tabriz 指出,谷歌最终还是决定摆脱它,因为该公司希望让安全性成为一个默认的事情,高亮的标签反而更显突兀。 于是在 7 月份的时候,Chrome 转而瞄准了哪些未使用 HTTPS 保护的网站,并在地址栏前显示‘不安全’。 不过,为了营造一个更加完全的互联网,所有科技巨头都必须投入其中 —— 而不仅仅依赖谷歌一个人的工作。 如果只有 Facebook 和谷歌在使用 HTTPS,那显然是不行的。即便访问的是个人博客网站,也必须让网友们相信,其阅读的是真正的内容,而没有被 ISP 给篡改。 好消息是,在 Let’s Encrypt 的倡议下,谷歌与 Mozilla 这两大浏览器厂商在合力推动 HTTPS 的采用。   稿源:cnBeta,封面源自网络;

苹果回应美国会隐私担忧:客户不是我们的产品

图:苹果回应美国国会隐私担忧:我们不会把客户看作产品 凤凰网科技讯 据 AppleInsider 北京时间 8 月 8 日报道,苹果在写给美国国会议员的一封信函中为公司的隐私和数据收集行为进行了辩护,称它在这些方面与 Facebook 和 Alphabet 等公司存在“根本性区别”。 在签署日期为星期二的一封信函中,苹果联邦事务主管蒂莫西·鲍德利(Timothy Powderly)回答了美国众议院能源和商业委员会主席格雷格·沃尔登(Greg Walden)向公司 CEO 蒂姆·库克(Tim Cook)提出的一系列问题。虽然鲍德利在信函中没有提到 Facebook ,但很显然的是,它是苹果的对标对象。 信函称,“我们认为隐私是一项基本的人权,在设计产品和服务时,有意识地把收集的用户个人信息降低到最低限度。在收集数据时,我们是透明的,不会把数据与用户身份联系起来。我们利用设备的处理能力,把收集的数据量降低到最低。客户不是我们的产品,我们的业务模式不依赖于大量收集客户个人信息,向客户发布有针对性的广告。” 这封信函的内容与库克多次与 Facebook 、数据有关的表态是一致的。 鲍德利在信函中还回答了国会议员提出的与公司定位服务工作原理、数据收集政策、 Siri 麦克风是否会用于不正当用途有关的问题。 鲍德利此前在发送给美国参议院司法委员会主席查尔斯·格拉斯利(Charles Grassley)的一封信函中表达了相似观点。 过去,美国国会议员也曾对苹果的隐私政策提出质疑。   稿源:凤凰网科技,编译:霜叶,封面源自网络;

未遵守欧盟 GDPR 美国超千家新闻网站在欧洲遭封杀

(原标题:More than 1,000 U.S. news sites are still unavailable in Europe, two months after GDPR took effect) 网易科技讯 8 月 8 日消息,据国外媒体报道,欧盟《一般数据保护条例》(GDPR)于今年 5 月 25 日生效之后,到目前为止仍然有超过 1000 家美国新闻网站在欧洲无法访问。 在 GDPR 生效两个多月后,包括 Tronc 旗下《洛杉矶时报》、《李氏企业》 Lee Enterprises 和 GateHouse Media 等数百家美国新闻网站在欧洲无法访问,这让许多前往欧洲的美国游客、商务旅行者、以及对美国新闻感兴趣的欧洲人感到沮丧。 5 月 25 日以来,许多社交媒体的帖子都抱怨说,美国某些新闻网站在欧洲无法访问。为此,一些人责怪欧盟。 GDPR 要求网站在收集个人信息之前获得用户的同意,解释收集什么数据以及收集的原因,并在有要求时要删除用户的信息。违反 GDPR 会被处以巨额罚款,罚款额度最高可达公司年收入的 4%。 网站拥有对接 GDPR 长达两年的准备时间。因到截至时间未能遵守 GDPR ,在美国 100 家最大的报纸媒体中,约有三分之一的网站在欧洲无法访问,这些网站包括“芝加哥论坛报”、“ 纽约每日新闻”、“达拉斯早报”、“每日新闻”和“弗吉尼亚导报”。 据跟踪这一问题的英国人约瑟夫.奥康纳(Joseph O’Connor)称,截至本周一,有超过 1000 家美国网站在欧洲无法访问。     稿源:网易科技 ,封面源自网络;

五角大楼发布最新禁令:禁止工作人员使用健身手环等设备

五角大楼发布最新禁令:禁止工作人员使用健身追踪器、智能手机的 GPS 功能,以及获得地理位置权限功能的约会  APP,以阻止泄露工作人员的地理位置信息。该禁令于上周五宣布,并由国防部副部长帕特里克·沙纳汉签署生效。在备忘录中写道:“该禁令立即生效。国防部工作人员在指定区域内禁止使用地理定位功能,禁止在政府配发、非政府配发的设备,应用和服务上使用该功能。” 五角大楼在今年 1 月份的调查中,发现 Strava 这款健身 APP 能够映射用户的健身习惯,而这极有可能会透露国防部在全球的安全位置。五角大楼发言人 Col. Rob Manning 在接受记者采访时候表示:“这项禁令可以确保我们不会便宜了敌人,确保不会展示我们军队确切位置。”虽然设备本身不会被禁用,但会有服务人员确保地理定位功能处于禁用状态。   稿源:cnBeta.COM,封面源自网络;

华为遭英国调查:使用过时软件 恐造成网络安全风险

新浪科技讯 北京时间 8 月 6 日早间消息,路透社援引消息人士的说法称,由于使用来自一家美国公司的过时软件,华为在英国正面临调查。调查者担心,这种软件可能会造成安全风险。 负责分析华为设备的英国政府监管委员会上月报告称,该委员会发现了技术和供应链“缺陷”,可能导致英国的电信网络面临新的安全风险。 消息人士称,其中的原因之一出在华为使用的 VxWorks 系统上面,该系统由总部位于美国加州的风河开发。根据消息人士的说法,华为正在使用的 VxWorks 版本将于 2020 年停止收到来自风河的安全补丁和更新,但届时仍会有包含这些系统的产品在使用中。这可能会导致英国的电信网络遭到攻击。 7 月份的报告显示:“包括关键安全部件在内的第三方软件将于 2020 年不再获得长期支持,但华为相关产品的生命周期要更长。” 不过消息人士均表示,没有迹象表明,出现这样的情况是华为有意为之,而这些软件本身也不会带来安全风险。 目前尚不清楚,华为的哪些产品受到影响,以及华为正在采取什么样的措施来解决问题。 英国的担忧表明了对贸易战和国家安全的担忧,将导致科技公司和各国政府更难保护产品和通信网络。 风河的发言人表示,不会就华为的这一情况置评,但风河通常会帮助客户升级至最新的软件版本。华为的发言人也拒绝对此置评,但表示会就英国相关部门的关切做出改进。   稿源:新浪科技,封面源自网络;

台积电遭病毒入侵全线停产 苹果新U或遭殃

据 AppleInsider 北京时间 8 月 5 日报道,苹果 iPhone、iPad 芯片代工厂商台积电遭到计算机病毒攻击,星期六数家工厂因此停产。在工厂设备感染病毒后,台积电数家工厂已经已停产。对于台积电和苹果来说,芯片制造工厂停产的时机很糟糕,因为台积电目前正在全力为苹果计划今年秋季发售的新款 iPhone 生产芯片。 台积电已经控制了病毒进一步蔓延,受影响工厂部分设备也已恢复生产,其他一些设备要到星期日才能恢复生产。由于芯片制造流程很长,因此生产过程中断可能会导致损失数周的产量。 虽然这次事故似乎是有针对性的攻击,但台积电称这次病毒攻击与网络入侵无关。这是台积电生产线首次因遭到病毒攻击停产。 台积电首席财务官何丽梅向彭博社表示,“台积电之前也曾遭到过病毒攻击,但病毒攻击影响生产线还是首次。” 台积电没有就造成的生产损失以及受影响的客户发表评论。传统上,在每年8月初,台积电绝大多数产能都用于为苹果生产 A 系列芯片。 对于各种 iPhone 组件,苹果通常会向多家供应商采购,但 A 系列芯片是个例外——目前只有台积电一家公司供应。2018 年发布的新款 iPhone 可能配置 A12 芯片。 最近,台积电预计本季度营收将增长“大一位数”,主要推动力量就是新款 iPhone。5 月份,AppleInsider 刊文称台积电已开始采用 7 纳米工艺为苹果生产 A12 芯片。   稿源:凤凰网科技,封面源自网络;

印度拟设监管机构监管电商,要求谷歌 Facebook 等公司在本地存储数据

(原标题:India eyes single regulator for e-commerce sector: document)   网易科技讯 7月30日消息,据国外媒体报道,路透社看到的一份政策文件草案显示,印度正在考虑设立一个单独监管机构并进行立法,以解决该国所有与电子商务相关的问题,消除目前监管该行业的法律不成体系现象。 这份政策文件即《国家政策框架草案》中提出的一些措施包括:本地数据存储、强制使用国内用卡支付网络Rupay进行网上交易,以及推动微型、小型和中型企业提供网上零售服务。 该文件还表示,印度还将采取措施,发展数据存储能力,并鼓励在印度国内存储数据。这份文件还称,将给予时间让电子商务行业“在本地化成为强制性要求之前进行调整”。 该政策草案表示,“在遵守隐私、许可等相关规定情况下,印度政府将有权让数据存储在印度国内,以实现国家安全和公共政策目标。” 该文件表示,印度反垄断监管机构将考虑改变外资投资的进入规则,以便对可能扭曲竞争的电子商务市场的并购行为进行强制审查。 Flipkart是印度重要电子商务公司之一。美国零售巨头沃尔玛(Walmart)、电商巨头亚马逊旗下印度子公司,以及由日本软银(SoftBank)支持的Snapdeal,目前正在展开对Flipkart的收购。(天门山)   稿源:网易科技,封面源自网络;