安全快讯Top News

欧盟督促谷歌、微软等巨头加快打击“仇恨言论”步伐

欧盟委员会周日表示,Facebook、Twitter、谷歌旗下 YouTube 以及微软等美国科技巨头必须加快速度打击网络仇恨言论,否则欧盟将借助法律强制他们这么做。 早在这一警告 6 个月前,这些科技巨头就已经签署了一项自愿行为准则,同意 24 个小时之内在欧洲采取措施打击仇恨言论。这些措施包括在必要情况下移除或者禁止访问相关仇恨言论内容,加强与公民社会组织的合作,针对仇恨言论提出“相反的论述”(counter-narratives)。然而,欧盟委员会称,美国科技巨头对于行为准则的遵守情况很难令人满意。在前 24 小时内,他们只审核了 40% 的已记录案例”欧盟委员会官员称,“ 48 小时后,审核的案例比重上升到 80% 以上。这表明,我们制定的目标是切实可行的,但是这需要IT公司做出更大努力。” 欧盟委员会称,他们可能会制定法律来迫使 IT 公司加快打击仇恨言论。除非,科技公司加快行动,证明非立法措施也可以奏效。 稿源:cnbeta.com节选,封面来源:百度搜索

朝鲜“最安全的”红星操作系统曝远程命令注入漏洞

据外媒报道,Hacker House 研究员发现朝鲜红星操作系统 RedStar OS 3.0 存在远程任意命令注入漏洞,只需要单击超链接,即可让攻击者远程访问用户的计算机、装恶意软件,。 红星(Red Star)操作系统是朝鲜在 Linux 操作系统的基础上自行研发、改进的电脑操作系统。最新的 3.0 系统界面与苹果 OS X 操作系统相似。 由于朝鲜使用独立的区域网络,而不使用万维网,浏览器是基于 Firefox 浏览器改版而成,被称为“我的国家”(Naenara)。 研究员注意到系统中 /usr/bin/nnrurlshow 为特定命令行应用程序并可处理 URI 请求的特性。黑客还发现浏览器存在漏洞 Naenara 执行注册时不擦除应用程序的命令代码请求,将格式错误的 URI 传递到 nnrurlshow 命令行应用中,触发执行命令代码 。 黑客可以诱使用户在浏览器上点击一个链接,之后将启动电子邮件客户端并调用命令行指向“ mailto:`cmd` ”,此后黑客就可以获得权限执行任意代码,操纵电脑、安装恶意软件等。 稿源:本站翻译整理,封面来源:百度搜索

英国政客投票将自己排除在政府监视范围内

英国通过了史上最受争议的监控法律,而政客们却 将自己排除在监视法律之内。英国的 Investigatory Powers Act 要求记录浏览历史、要求科技公司帮助解密加密通讯记录——意味着需要实现某种后门。对于大多数人而言,只要有国务大臣签发的搜查令就能对其进行监视;而对于议会成员和其他政客,搜查令需要获得首相的批准。受到保护的政客除了国会议员,还有地方议会和欧盟议会的成员。 稿源:solidot奇客 有删改,封面:百度搜索

谷歌 Chrome 新版更新发布,修复 36 个安全漏洞、默认启动 HTML5

上周四,谷歌发布 Chrome 55.0.2883.75 版本更新,本次更新修复了 36 项安全问题并提升稳定性,其中包括 12 个高严重漏洞。此外,同时将 HTML5 作为网页的默认支持选项。 本次更新修复的 36 个漏洞,有 26 个来自漏洞赏金项目,总计支付研究人员 70,000 美元的奖励,另外 10 个安全补丁是谷歌自己发现并解决的。漏洞中存在 12 个高严重漏洞,涉及跨站点脚本 bug、默认 PDF 查看器“ PDFium ”漏洞、V8 JavaScript 引擎漏洞等。 谷歌过去曾宣布,逐步对 Flash 页面进行“限制”并替换成 HTML5 页面。这次 Chrome 浏览器将将网页的默认支持选项转变为 HTML5 ,但也没有完全禁止 Flash 的运行,用户可通过手动加载 Flash 或设置白名单加载 Flash 。 稿源:本站翻译整理,封面来源:百度搜索

美国网络安全强化委员会发布网络安全建议报告

今年 2 月,美国总统奥巴马成立了的国家网络安全强化委员会旨在通过一系列长期与短期举措改善美国的网络安全态势。 12 月 1 日,国家网络安全强化委员出台了一份 PDF 报告讲述如何保护和发展数字经济(即网络安全防御办法 ),其中含有对奥巴马政府和即将当选总统的特朗普的 16 条网络安全建议。美国政府发布报告指出:“技术进步远远超过现行的安全防御,我们必须改变现行处理和实施网络安全战略和实践的方式。 该报告详细说明了奥巴马对网络安全的愿景、对网络威胁的演变表示了极大的关注,并提出了确保国家基础设施的建议。 此前欧盟网络与信息安全机构也出台医院物联网安全指导方针,保障网络安全。 稿源:本站翻译整理,封面来源:百度搜索

脑洞略大,为破解 iPhone 英国警方竟要抢手机?

据外媒报道,今年 2 月,美国的政客、科技大佬、律师因圣贝纳迪诺枪击案解锁事件而陷入一场激烈的争论,并且直到现在也没有制定出一套令各方都满意的解决方案。不过在英国,情况好像就完全不同了,据了解,大都会警察局 (Metropolitan Police) 会趁 iPhone 锁屏之前,从毫无戒心的罪犯手中抢过手机并展开搜查。BBC 解释称,警察局此举则是为了打压利用伪造信用卡购买奢侈品然后将其转售的犯罪团伙。 很明显,警察认为嫌疑人的手机中存有关键证据,但只要没在使用手机,他们就会让手机一直处于被锁的状态。美国 FBI 已经证明,想要从一部加密手机(特别是 iPhone )中获取数据是一件非常困难的事情,所以英国警方决定跟踪嫌疑人,然后等到他在街道打电话时立即抓住并拿走处于解锁状态的手机。有一位警员将会专门负责滑动抢来设备的屏幕,借此来保证设备不被锁屏或关机。通过这种快速的方法,警方就能在设备被嫌疑人销毁之前拿到它。 稿源:cnBeta.com 有删改, 封面:百度搜索

ipad 内存缓冲区溢出漏洞,可绕过 iOS 10.1.1 激活锁

漏洞实验室安全分析师 Benjamin Kunz Mejri 发现利用缓冲区溢出漏洞和 ipad 某些特有 bug 可绕过开启激活锁功能的 iOS 10.1.1 设备。 苹果公司 Find My iPhone 服务允许用户在设备丢失或失窃时激活 iPhone、iPad 或 iPad 的“丢失模式”( Lost Mode ),这种模式启动后会自动启用“激活锁”功能, 激活锁在开启之后,iOS 设备便会拒绝其他人进行操作,除非使用用户的 iCloud 密码,即便是抹去或者重置系统也不会让该功能失效。这一功能在了 iOS 7 系统中开始启用。这使得偷来的苹果设备失去了“价值”很难转售出去,只能拆成零件。 启动激活锁,设备开机后,第一步需点击“选择另一个网络”连接无线网络,选择安全类型,然后输入一个非常非常长的字符串填写网络名称和网络密码。之后,iPad 开始卡,这时你可以合上 Smart Cover (保护套),然后重新打开,屏幕将故障片刻并绕过激活锁进入主显示屏。 研究员将视屏上传到 Youtube ,视频中运行 iOS 10.1.1 的 iPad Mini 2 设备受到影响,但运行 iOS 10.1.1 的 iPhone 5 无法复现,此外运行 iOS 9 的 iPad 也不受影响。 稿源:本站翻译整理,封面来源:百度搜索

杀人于无形 —— 植入式心脏除颤器可被黑客轻松入侵

据国外媒体报道,研究人员发现一些最新一代的植入式心脏除颤器(ICD)使用了安全性较弱的通信协议,攻击者无需具备专业知识即可利用反向工程、漏洞或拒绝服务(DDoS)进行攻击。 来自比利时和英国的研究人员报告发现,植入性医疗器械(IMDS)使用了私有通信协议,主要用于执行关键功能如改变 IMDS 的治疗或收集遥测数据。逆向工程是非常可行的方案,即使在有限的知识和资源下攻击者甚至无需出现在设备附近,利用工具或定向天线足以延长攻击距离,杀人于无形。 目前已发现市场上至少 10 种以上 ICD 设备会受到影响。缓解或解决设备漏洞的方式包括:当 ICD 处于待机模式时干扰无线通道,发送关机指令使设备将进入睡眠模式,从而添加基于对称密钥的身份验证等。 稿源:本站翻译整理, 封面:百度搜索

分布式猜测攻击,破解 VISA 信用卡仅需 6 秒?

来自纽卡斯尔大学的一组安全研究人员发现了一种称为分布式猜测攻击的新方法,只需 6 秒即可破解 VISA 信用卡。攻击者利用 VISA 支付系统漏洞,自动生成不同的信用卡数据并在多个网站交易,通过交易回复信息判断信用卡数据是否正确。 研究人员推测,这种方法可能被用于最近针对乐购银行的网络攻击,导致 250 万英镑被黑客窃取。 研究发表在学术期刊《IEEE Security & Privacy》,讲述了所谓的分布式猜测攻击如何规避所有的安全防御功能,以保护在线支付免受欺诈。 攻击利用了支付系统两个不太严重的缺陷,但是一起使用会对整个支付系统造成严重的威胁。 首先,目前的在线支付系统无法检测出,来自不同网站的多个无效付款请求。这允许攻击者对每个信用卡片的数据字段进行无限次猜测,每个网站通常可以进行 10 到 20 次尝试。 其次,不同的网站要求卡片的不同数据字段来验证是“真实”的在线支付交易。 这意味着攻击者可以像拼玩具一样,把卡片各数据字段拼凑出来。 具体步骤: 首先,黑客以有效卡号为起点自动发送它们到许多网站去验证有限性。 下一步是到期日期,信用卡的有效期为 60 月,所以猜测日期最多需要 60 次。 CVV(信用卡安全代码)是最后的屏障,理论上只有卡持有人知道该号码,但猜测这三位数最多尝试 1000 次 通过上述步骤就可以获得被黑账户的所有数据。 如何避免此类欺诈: 1、限制在线支付金额 2、银行卡不要存大量的钱,资金已到位立刻转出 3、保持警惕、注意交易记录 稿源:本站翻译整理,封面来源:百度搜索

安全专家建议总统特朗普培训 10 万黑客保护美国

包括顶级安全专家、前 NSA 主管 Keith AlexanderKeith 和万事达卡首席执行官 Ajay Banga 在内的一个委员会在一份报告当中建议美国总统当选人唐纳德·特朗普应该训练和雇用大约 10 万黑客,其主要目的是对其它国家发动网络攻击,但也同时保卫美国免遭网络攻击。 这个安全专家小组指出,网络安全应该成为唐纳德·特朗普在美国掌舵期间的优先事项,并建议当选总统要培训黑客,为任何网络威胁做准备。美国应该加强努力培训安全专家,为该国工作,而不是为私人公司牟利,这在过去几年中已成为一个严重的问题。 此外,安全专家建议特朗普必须严格控制所有培训计划,同时创建一个所谓的“国家网络安全人力计划”。唐纳德·特朗普还被建议雇佣一个网络顾问和一个网络大使,并在他任期前几个月内制定出一套国家网络安全战略。特朗普之前数次呼吁苹果帮助联邦调查局从 iPhone 收集犯罪信息,所以只有在这些设备上安装了后门,才能采用这样手法,否则,使设备更难以入侵将不符合特朗普的呼吁和竞选期间的目标。 稿源:cnBeta.com,有删改;封面:百度搜索