安全快讯Top News

台湾跨境黑客入侵 ATM 案:三名外籍人士被判五年徒刑罚款 60 万

去年震惊全台湾的第一银行 ATM 吐钞案已正式审结,台湾当地法院 25 日宣布三名涉案外籍人员全部判处五年有期徒刑、罚款 60 万元新台币,并将在服刑完毕之后被驱逐出境。 去年 7 月,台湾第一银行旗下 41 台 ATM 机遭遇黑客入侵,被盗领超过 8000 多万新台币,当地警方随后抓获了三名涉案外籍人员并追回赃款 6000 多万台币,这也是台湾银行遭遇的首宗使用恶意软件控制 ATM 吐钞的跨国黑客盗窃案。之后 8 月份泰国发生的银行 ATM 窃案也被怀疑与此案有所关联,疑似同一伙人所为。 据悉,当初共有来自六个国家的 22 名黑客参与了攻击事件,已被抓获的三名涉案外籍人员分别来自拉托维亚、罗马尼亚和摩尔多瓦。英国广播公司报道称,检察官原本欲以“严重扰乱金融秩序、引起公众恐慌”等罪名判处三名嫌疑人 12 年有期徒刑,但最终只做出了 5 年有期徒刑、罚款 60 万元的判决。而在法院开庭之前,三名嫌疑人也曾表示若被定罪将继续上诉。目前仍有 19 名涉嫌参与 ATM 窃案的外籍人士尚未缉拿归案。 稿源:HackerNews.cc 翻译/整理,封面来源:百度搜索。 转载请注明“转自 HackerNews.cc ” 并附上原文链接,违者必究。

Google 推出自有 CA 根证书:将延伸至所有产品与服务

Google 已经正式宣布推出自有 CA 根证书,这意味着该公司在“自力更生”的道路上更进了一步。这项措施将确保 Google 能够摆脱对由第三方签发的中级证书颁发机构的依赖(本例中为 GIAG2)。该公司一直致力于为全线产品和服务推出 HTTPS 服务,而这显然需要寻求一个更快的方法和更多的控制。 这也是“谷歌授信服务”(Google Trust Services)诞生的基础,它将代表 Google 及其母公司 Alphabet 来运营这些 CA 根证书服务。当然,整个过程还是需要一定时间的。因此 Google 收购了两家现有的根证书机构 —— GlobalSign R2 和 R4 —— 以便该公司更快地开始发行自有证书。 稿源:cnbeta,有删改,封面来源:百度搜索

AlphaGo 人工智能技术将应用在更多领域

当地媒体报道,本月在德国慕尼黑举办的 2017 年“数字生活设计”大会上,“阿尔法围棋”创始人、“深度思维”公司首席执行官哈萨比斯表示,AlphaGo 的人工智能技术将应用在更多领域。他将“深度思维”公司的研究比作人工智能领域的“阿波罗计划”,目标是发展出通用学习系统,应用到医药、健康、材料科学等领域。 哈萨比斯透露,AlphaGo 的算法去年夏天起已应用于其母公司谷歌的计算中心,帮助降低了 15% 的能耗,节省了数百万美元的电费开支。这一算法还能应用在大型电网中,电网“不过是计算中心的放大版”。 “深度思维”公司 2014 年被谷歌收购,目前有约 400 名工程师和科学家为其人智能项目服务。去年 3 月,AlphaGo 以 4:1 战胜韩国著名棋手李世石,之后又在网上战胜多位人类顶级棋手,引发巨大关注。 哈萨比斯认为,人工智能有助于人类面对日益复杂、数据急剧增长的世界,但其应用需有人负责且符合伦理,“人工智能应该帮助人类提升自己,开拓我们的边界,而不是简单地超越我们”。 稿源:cnBeta,有删改;封面:百度搜索

英国国防部将使用改造后的 iPhone 7,取代不够安全的三星手机

据外媒报道,英国政府近日的一个项目将允许英国军队士兵使用改造后的 iPhone 7 来讨论军事秘密,取代不够安全的 Android 设备。 据 TechRepublic 报道, 为英国国防部 ( MoD )执行这个项目的英国电信( BT )公司计划将 iPhone 7 当成保密通信的“首选设备”。 BT 防御技术业务经理 Steve Bunn 表示,该公司目前正在改造 iPhone 7,以便其可以根据信息的敏感程度在不同的操作模式和安全级别之间切换。Bunn 表示:“我们一直与 MoD 密切合作,开发我们通常所说的‘双重角色设备’”。 除了允许士兵之间的安全通信,BT 表示他们改造后的 iPhone 也能被用于保留敏感数据。“安全存储容器”可能涉及某种形式的隐藏或加密的文件和文件夹,可以允许存储关键任务的秘密文件以供以后使用,或能在不使用网络的情况下在两点之间传输数据。出于安全原因,英国电信官员无法提供有关定制 iPhone 7 的更多详细信息。 BT 工作人员最初没有使用 iPhone,而是选择了三星 Galaxy Note 4,但后来他们改变了计划。Bunn 表示:“随着越来越多的开发和测试,(三星手机)安全性被认为是不够的。iPhone 的安全凭证使它成为一个更可行的设备。” 稿源:cnbeta,有删改,封面来源:百度搜索

美国总统官方 Twitter 账户被发现只与私人 Gmail 邮箱绑定

黑客控制 Twitter 帐户的最简单方法并不是去猜测密码,而是破解与帐户相关联的电子邮箱来进行密码重置。据外媒报道,近日用户@WauchulaGhost 在 Twitter 上发布了一张截图,表示美国总统官方账户 @POTUS 被绑定到一个私人 Gmail 邮箱,看起来这个邮箱属于特朗普的高级顾问及社交媒体总监丹尼尔·斯卡维诺。 尽管这个 Gmail 帐户可能启用了双因素身份验证,但无论如何,对于黑客来说,这可能是一个非常容易攻击的目标。@WauchulaGhost 通过 Twitter 的密码重置过程找到了特朗普的信息,并透露了一个与这个账号相关联的邮箱地址。 目前白宫方面还未对此发表评论。据报道,@POTUS 账户不是唯一的安全问题。《纽约时报》周三透露, 特朗普至今仍然在使用不够安全的 Android 手机,甚至可能是三星 Galaxy S3 来发布推文。黑客很容易就能控制麦克风等部件窃取美国机密。 白宫新闻发言人 Sean Spicer 通过他的官方账号也发出可疑的内容,涉及到重置 Twitter 账号密码等。 稿源:cnbeta,有删改,封面来源:百度搜索

EPub 服务漏洞同时影响亚马逊、苹果和 Google 阅读器

近日,安全专家 克雷格·阿伦特(@craig_arendt)发现基于 EPub 服务的各大电子阅读器漏洞,能够同时影响亚马逊、苹果、谷歌等厂商。开源的 Java 库 “EpubCheck”被用于将内容转换为通用电子书格式,专家在 EpubCheck 库中发现了 XXE 漏洞可影响主要的 EPub 服务,或可导致信息泄露和拒绝服务。 EPub(Electronic Publication的缩写,意为:电子出版),是一个自由的开放标准,其文字内容可以根据阅读设备的特性,以最适于阅读的方式显示。(百度百科) 此次漏洞会影响支持 EPub 的服务和阅读器,如: EpubCheck <= 4.0.1 (验证 EPub 的工具) Adobe Digital Editions <= 4.5.2 (电子书阅读器) 亚马逊 KDP (Kindle 在线出版服务) Apple Transporter 以及 Google电子书上传服务等 研究人员着重测试过 “EpubCheck” ,发现了 XML 外部实体注入(XXE)问题。“验证工具(EpubCheck)易受 XXE 攻击,因此任何依赖此版本工具来检查图书有效性的应用程序都容易受到这种类型的攻击。”阿伦特解释称,亚马逊的 Kindle 文件上传服务存在一个 XXE 漏洞,或可被攻击者利用来窃取书籍和资料;类似的漏洞也影响 Apple Transporter 服务,攻击者能将恶意制作的图书发送到 App Store,在 EPub 解析过程中可能导致用户信息泄露;Google Play 图书服务虽不受 XXE 漏洞的影响,但专家发现了触发 XML 实体扩展漏洞的可能性,攻击者能够利用漏洞通过爆炸式增长的数据解析请求来导致拒绝服务。 目前,以上所有供应商都已对易受攻击的 EPub 漏洞进行了修复。 稿源:HackerNews.cc 翻译/整理,封面来源:百度搜索。 转载请注明“转自 HackerNews.cc ” 并附上原文链接,违者必究。

Chrome 与 Firefox 均开始警告用户不要在非 HTTPS 网站提交信息

谷歌和火狐浏览器正在采取新的措施让用户小心有安全漏洞的网站,在最新的更新版本 Chrome 56 和 Firefox 51 中,当用户在不安全的 HTTPS 网页中提交敏感信息时,就会收到警告。此前的测试版已经加入了此类警告,现在更新版本将使更大数量的用户收到安全警告。在这周推出的 Firefox 51 中,当用户进入要求提交密码的网页时,就会出现新一个带有红色斜线的锁的图标,提示用户网站有风险。 而在 Chrome 56 中,不止是密码,还有当网页要求提交信用卡信息等敏感信息时也会出现警告。谷歌的安全工程师 Emily Schechter 称:“调查显示用户经常不会察觉到那些显示网络不安全的警告图标,而且当警告频繁出现时往往更加无视它们。在今后的更新中,我们会继续加强对不安全网页的警告提示,并努力将所有不安全 HTTPS 网页都加上标识。 稿源:HackerNews.cc 翻译整理,封面来源:百度搜索。

工信部曝 34 款不合格 App 应用商店成“帮凶”

工业和信息化部信息中心 1 月 26 日通过微博公布消息称,2016 年四季度工信部对 46 家手机应用商店的应用软件进行技术检测,发现违规软件 34 款,涉及违规收集使用用户个人信息、恶意“吸费”、强行捆绑推广其他无关应用软件等问题,这些不良软件已被全部责令下架并公开曝光。其中包括小米应用商店、新浪应用中心、豌豆荚、百度手机助手等知名软件商店都被发现存在不合格 App。 游戏类应用占据此次被下架不合格 App 的较大比例,另外也不乏教程类、优化类、锁屏壁纸类的工具型 App,可见恶意吸费、非法收集用户个人信息的应用类型依然覆盖面较广。 值得注意的是,工信部此次公布的名单可能也还是冰山一角,且仅靠工信部的管控处理仍然会有各种漏网之鱼,对吸费软件恶意应用的严打依然是任重道远,需要各方加大力度配合推进。 稿源:cnBeta,有删改;封面:百度搜索

为防遭特朗普彻底抹杀,维基解密为科学家提供气候数据储存地

据外媒报道,近日,维基解密决定为那些害怕新总统特朗普清除美国政府网站上的气象数据的科学家们提供帮助。朱利安·阿桑奇及其团队在推特上表示:“你是否有受到新美国领导集团威胁的数据,比如还没有公布的气象变化研究。提交到这里:http://wikileaks.org/#submit”。而就在这条推文发布的同一日,路透社报道称,特朗普领导集团要求环境保护署( EPA )移除其官网上的气象变化页面。 路透社表示,这一消息由两位 EPA 职工透露,但白宫和 EPA 都未对这一消息作出回应。眼下,EPA 网站的气象变化网页仍旧还在。不过就在特朗普宣布就职美国总统之后,白宫官网的气候变化相关内容就已经被清除。特朗普对由人类引发的气象变化理论一直持怀疑态度。白宫官方的清除使得科学家开始担心 EPA、NASA 以及美国其他政府机构的相关数据也将遭到清除。 除了维基解密之外,还有多个机构也纷纷表示愿意为这些数据提供安全的港湾,如科学家兼活动家 Shaughnessy Naughton 创建的非营利性机构 314 Action、PPEH Lab、Environmental Data and Governance Initiative、Climate Mirror and the Azimuth Backup Project 等。 稿源:cnbeta,有删改,封面来源:百度搜索

新木马“Linux.Proxy.10”已将数千台 Linux 沦为代理服务器

据安全公司 Dr. Web 报道,数千个 Linux 设备感染了新木马 Linux.Proxy.10 。正如木马的名字所暗示的,该木马可以在受感染的设备上运行基于 Satanic Socks Server 源代码的 SOCKS5 代理服务器。攻击者将受感染的设备作为跳转代理进行恶意行为,从而隐藏其真实信息。 Linux.Proxy.10 最初是由杀毒公司 Doctor Web 的研究人员在 2016 年底发现的,据研究报道显示,该木马已经攻击了数千台 Linux 设备、恶意代码仍在继续传播。木马不包含任何攻击 Linux 系统的模块,而是使用其他木马和技术入侵设备,并创建一个名为“ mother ”密码为“ f**ker ”的后门账户。一旦后门安装成功,攻击者将通过 SSH 协议登录设备,并安装 SOCKS5 代理服务器。此外,研究人员调查了一台用于传播 Linux.Proxy.10 木马的服务器,发现其中除了包含目标设备的攻击列表,还有一个匿名代理管理员面板和一个已知的 Windows 间谍软件 BackDoor.TeamViewer 。 建议: Linux 用户和管理员限制或禁用 root 用户通过 SSH 远程登录设备,并监控新生成的登录用户、观察其是否存在恶意行为。 稿源:HackerNews.cc 翻译整理,封面来源:百度搜索。 转载请注明“转自 HackerNews.cc ” 并附上原文链接,违者必究。