安全快讯Top News

英美两国将携手合作打击 ISIS 网络恐怖主义

本周五在白宫举行的新闻发布会上,英国总理 特雷莎·梅 和 美国总统特朗普同时发表讲话,宣布英美两国将携手合作共同打击网络空间中极端伊斯兰主义意识形态的蔓延。目前英美两国尚未公布合作细节。 发布会上概述了两国领导人会谈的结果。特雷莎·梅 表示,英美两国正在讨论如何通过进一步的情报与安全合作,加强对抗来自网络空间的恐怖主义,“恐怖分子正在利用互联网和社交媒体传播恐怖主义意识形态,掠夺我们国家的弱势公民,鼓动他们在自己城市犯下恐怖行为”,甚至指出“只有打击全球圣战(背后的)意识形态,才能够消除恐怖主义威胁”。 欧洲地区网络恐怖主义的思想扩散比美国更为严重,报道显示已有许多“不明真相”人士在阅读和学习相关资料后加入了该组织。 稿源:HackerNews.cc 翻译/整理,封面来源:百度搜索。 转载请注明“转自 HackerNews.cc ” 并附上原文链接,违者必究。

美国 FCC 新主席提议缩减“网络中立透明规则”的规模

尽管美国联邦通讯委员会(FCC)在 2015 年确立了“网络中立规则”,其中涉及网络服务提供商(ISP)的‘透明度’措施。大型 ISP 需要向监管机构和客户提供有关数据上限、资费、速率等信息,但“规则”中也对少于 10 万用户数的 ISP 网开了一面。“再扩展”之后,新规即将于本月生效。然而外媒的报道称,该机构新任主席 Ajit Pai 已经提出了一项缩减“网络中立透明规则”的计划。 本周刚被任命为新任 FCC 主席的 Ajit Pai,已经给出了一项新的提议。其不仅将豁免期延长到了五年,还要拓展它。该计划与两党在过会上的提案类似,如被该机构的其它委员通过,任何少于 25 万用户数的服务提供商,都不需要遵从“透明规则”的要求。 Ajit Pai 在一份声明中辩称,条例不会对中小企业产生不利影响:“联邦监管对小企业有不成比例的影响,企业往往在关键市场更具竞争力且没有服从资源的必要”。 稿源:cnbeta,有删改,封面来源:百度搜索

台湾跨境黑客入侵 ATM 案:三名外籍人士被判五年徒刑罚款 60 万

去年震惊全台湾的第一银行 ATM 吐钞案已正式审结,台湾当地法院 25 日宣布三名涉案外籍人员全部判处五年有期徒刑、罚款 60 万元新台币,并将在服刑完毕之后被驱逐出境。 去年 7 月,台湾第一银行旗下 41 台 ATM 机遭遇黑客入侵,被盗领超过 8000 多万新台币,当地警方随后抓获了三名涉案外籍人员并追回赃款 6000 多万台币,这也是台湾银行遭遇的首宗使用恶意软件控制 ATM 吐钞的跨国黑客盗窃案。之后 8 月份泰国发生的银行 ATM 窃案也被怀疑与此案有所关联,疑似同一伙人所为。 据悉,当初共有来自六个国家的 22 名黑客参与了攻击事件,已被抓获的三名涉案外籍人员分别来自拉托维亚、罗马尼亚和摩尔多瓦。英国广播公司报道称,检察官原本欲以“严重扰乱金融秩序、引起公众恐慌”等罪名判处三名嫌疑人 12 年有期徒刑,但最终只做出了 5 年有期徒刑、罚款 60 万元的判决。而在法院开庭之前,三名嫌疑人也曾表示若被定罪将继续上诉。目前仍有 19 名涉嫌参与 ATM 窃案的外籍人士尚未缉拿归案。 稿源:HackerNews.cc 翻译/整理,封面来源:百度搜索。 转载请注明“转自 HackerNews.cc ” 并附上原文链接,违者必究。

Google 推出自有 CA 根证书:将延伸至所有产品与服务

Google 已经正式宣布推出自有 CA 根证书,这意味着该公司在“自力更生”的道路上更进了一步。这项措施将确保 Google 能够摆脱对由第三方签发的中级证书颁发机构的依赖(本例中为 GIAG2)。该公司一直致力于为全线产品和服务推出 HTTPS 服务,而这显然需要寻求一个更快的方法和更多的控制。 这也是“谷歌授信服务”(Google Trust Services)诞生的基础,它将代表 Google 及其母公司 Alphabet 来运营这些 CA 根证书服务。当然,整个过程还是需要一定时间的。因此 Google 收购了两家现有的根证书机构 —— GlobalSign R2 和 R4 —— 以便该公司更快地开始发行自有证书。 稿源:cnbeta,有删改,封面来源:百度搜索

AlphaGo 人工智能技术将应用在更多领域

当地媒体报道,本月在德国慕尼黑举办的 2017 年“数字生活设计”大会上,“阿尔法围棋”创始人、“深度思维”公司首席执行官哈萨比斯表示,AlphaGo 的人工智能技术将应用在更多领域。他将“深度思维”公司的研究比作人工智能领域的“阿波罗计划”,目标是发展出通用学习系统,应用到医药、健康、材料科学等领域。 哈萨比斯透露,AlphaGo 的算法去年夏天起已应用于其母公司谷歌的计算中心,帮助降低了 15% 的能耗,节省了数百万美元的电费开支。这一算法还能应用在大型电网中,电网“不过是计算中心的放大版”。 “深度思维”公司 2014 年被谷歌收购,目前有约 400 名工程师和科学家为其人智能项目服务。去年 3 月,AlphaGo 以 4:1 战胜韩国著名棋手李世石,之后又在网上战胜多位人类顶级棋手,引发巨大关注。 哈萨比斯认为,人工智能有助于人类面对日益复杂、数据急剧增长的世界,但其应用需有人负责且符合伦理,“人工智能应该帮助人类提升自己,开拓我们的边界,而不是简单地超越我们”。 稿源:cnBeta,有删改;封面:百度搜索

英国国防部将使用改造后的 iPhone 7,取代不够安全的三星手机

据外媒报道,英国政府近日的一个项目将允许英国军队士兵使用改造后的 iPhone 7 来讨论军事秘密,取代不够安全的 Android 设备。 据 TechRepublic 报道, 为英国国防部 ( MoD )执行这个项目的英国电信( BT )公司计划将 iPhone 7 当成保密通信的“首选设备”。 BT 防御技术业务经理 Steve Bunn 表示,该公司目前正在改造 iPhone 7,以便其可以根据信息的敏感程度在不同的操作模式和安全级别之间切换。Bunn 表示:“我们一直与 MoD 密切合作,开发我们通常所说的‘双重角色设备’”。 除了允许士兵之间的安全通信,BT 表示他们改造后的 iPhone 也能被用于保留敏感数据。“安全存储容器”可能涉及某种形式的隐藏或加密的文件和文件夹,可以允许存储关键任务的秘密文件以供以后使用,或能在不使用网络的情况下在两点之间传输数据。出于安全原因,英国电信官员无法提供有关定制 iPhone 7 的更多详细信息。 BT 工作人员最初没有使用 iPhone,而是选择了三星 Galaxy Note 4,但后来他们改变了计划。Bunn 表示:“随着越来越多的开发和测试,(三星手机)安全性被认为是不够的。iPhone 的安全凭证使它成为一个更可行的设备。” 稿源:cnbeta,有删改,封面来源:百度搜索

美国总统官方 Twitter 账户被发现只与私人 Gmail 邮箱绑定

黑客控制 Twitter 帐户的最简单方法并不是去猜测密码,而是破解与帐户相关联的电子邮箱来进行密码重置。据外媒报道,近日用户@WauchulaGhost 在 Twitter 上发布了一张截图,表示美国总统官方账户 @POTUS 被绑定到一个私人 Gmail 邮箱,看起来这个邮箱属于特朗普的高级顾问及社交媒体总监丹尼尔·斯卡维诺。 尽管这个 Gmail 帐户可能启用了双因素身份验证,但无论如何,对于黑客来说,这可能是一个非常容易攻击的目标。@WauchulaGhost 通过 Twitter 的密码重置过程找到了特朗普的信息,并透露了一个与这个账号相关联的邮箱地址。 目前白宫方面还未对此发表评论。据报道,@POTUS 账户不是唯一的安全问题。《纽约时报》周三透露, 特朗普至今仍然在使用不够安全的 Android 手机,甚至可能是三星 Galaxy S3 来发布推文。黑客很容易就能控制麦克风等部件窃取美国机密。 白宫新闻发言人 Sean Spicer 通过他的官方账号也发出可疑的内容,涉及到重置 Twitter 账号密码等。 稿源:cnbeta,有删改,封面来源:百度搜索

EPub 服务漏洞同时影响亚马逊、苹果和 Google 阅读器

近日,安全专家 克雷格·阿伦特(@craig_arendt)发现基于 EPub 服务的各大电子阅读器漏洞,能够同时影响亚马逊、苹果、谷歌等厂商。开源的 Java 库 “EpubCheck”被用于将内容转换为通用电子书格式,专家在 EpubCheck 库中发现了 XXE 漏洞可影响主要的 EPub 服务,或可导致信息泄露和拒绝服务。 EPub(Electronic Publication的缩写,意为:电子出版),是一个自由的开放标准,其文字内容可以根据阅读设备的特性,以最适于阅读的方式显示。(百度百科) 此次漏洞会影响支持 EPub 的服务和阅读器,如: EpubCheck <= 4.0.1 (验证 EPub 的工具) Adobe Digital Editions <= 4.5.2 (电子书阅读器) 亚马逊 KDP (Kindle 在线出版服务) Apple Transporter 以及 Google电子书上传服务等 研究人员着重测试过 “EpubCheck” ,发现了 XML 外部实体注入(XXE)问题。“验证工具(EpubCheck)易受 XXE 攻击,因此任何依赖此版本工具来检查图书有效性的应用程序都容易受到这种类型的攻击。”阿伦特解释称,亚马逊的 Kindle 文件上传服务存在一个 XXE 漏洞,或可被攻击者利用来窃取书籍和资料;类似的漏洞也影响 Apple Transporter 服务,攻击者能将恶意制作的图书发送到 App Store,在 EPub 解析过程中可能导致用户信息泄露;Google Play 图书服务虽不受 XXE 漏洞的影响,但专家发现了触发 XML 实体扩展漏洞的可能性,攻击者能够利用漏洞通过爆炸式增长的数据解析请求来导致拒绝服务。 目前,以上所有供应商都已对易受攻击的 EPub 漏洞进行了修复。 稿源:HackerNews.cc 翻译/整理,封面来源:百度搜索。 转载请注明“转自 HackerNews.cc ” 并附上原文链接,违者必究。

Chrome 与 Firefox 均开始警告用户不要在非 HTTPS 网站提交信息

谷歌和火狐浏览器正在采取新的措施让用户小心有安全漏洞的网站,在最新的更新版本 Chrome 56 和 Firefox 51 中,当用户在不安全的 HTTPS 网页中提交敏感信息时,就会收到警告。此前的测试版已经加入了此类警告,现在更新版本将使更大数量的用户收到安全警告。在这周推出的 Firefox 51 中,当用户进入要求提交密码的网页时,就会出现新一个带有红色斜线的锁的图标,提示用户网站有风险。 而在 Chrome 56 中,不止是密码,还有当网页要求提交信用卡信息等敏感信息时也会出现警告。谷歌的安全工程师 Emily Schechter 称:“调查显示用户经常不会察觉到那些显示网络不安全的警告图标,而且当警告频繁出现时往往更加无视它们。在今后的更新中,我们会继续加强对不安全网页的警告提示,并努力将所有不安全 HTTPS 网页都加上标识。 稿源:HackerNews.cc 翻译整理,封面来源:百度搜索。

工信部曝 34 款不合格 App 应用商店成“帮凶”

工业和信息化部信息中心 1 月 26 日通过微博公布消息称,2016 年四季度工信部对 46 家手机应用商店的应用软件进行技术检测,发现违规软件 34 款,涉及违规收集使用用户个人信息、恶意“吸费”、强行捆绑推广其他无关应用软件等问题,这些不良软件已被全部责令下架并公开曝光。其中包括小米应用商店、新浪应用中心、豌豆荚、百度手机助手等知名软件商店都被发现存在不合格 App。 游戏类应用占据此次被下架不合格 App 的较大比例,另外也不乏教程类、优化类、锁屏壁纸类的工具型 App,可见恶意吸费、非法收集用户个人信息的应用类型依然覆盖面较广。 值得注意的是,工信部此次公布的名单可能也还是冰山一角,且仅靠工信部的管控处理仍然会有各种漏网之鱼,对吸费软件恶意应用的严打依然是任重道远,需要各方加大力度配合推进。 稿源:cnBeta,有删改;封面:百度搜索