安全快讯Top News

加密电邮在裸奔:PGP与S.MIME严重漏洞曝光

据 ArsTechnica 报道,此前在互联网上被广泛使用的电子邮件加密方法(PGP 与 S/Mime),已经曝出了两个严重的漏洞,或导致加密电邮在黑客面前暴露无遗。周日晚些时候,一名研究人员警告称,当前没有可靠的解决方案,只能建议那些为敏感通信采用加密标准的人们,立即将之从电子邮件客户端移除。 明斯特大学应用科学系计算机安全教授 Sebastian Schinzel 在 Twitter 上表示: 该漏洞或导致加密电邮明文泄露,甚至包括用户过去发送的加密邮件。 当前暂无针对该漏洞的可靠修复方案,如果你将 PGP/GPG 或 S/MIME 用于敏感通讯加密,则应该立即在电邮客户端中禁用。 此外,Schinzel 援引电子前沿基金会(EFF)的话称: EFF 一直与研究团队进行着沟通,并且可以确认漏洞对那些使用这些工具进行 E-mail 通讯的人来说是一个直接的风险,包括对过去的信息内容也有潜在的影响。 Schinzel 和 EFF 博客文章都指出,用户应该禁用 Thunderbird、macOS Mail、Outlook 等邮件客户端中的相关加密插件。 将插件从上述 E-mail 客户端移除后,你的电子邮件将不会被自动加密。如果接收到了 GPG 加密的消息,请不要解密它们。 值得玩味的是,其仅明确提醒禁用那些集成了 GPG 的电邮客户端,而 Gpg4win、GNU Privacy Guard 等却不在此列。 当前公众对漏洞的细节知之甚少,不过研究团队很早就开始了这方面的攻击研究,比如 2016 年的 Drown(对 TLS 协议保护的通信进行了解密)。 其它从事 GPG 与 S/MIME 研究的人员包括 Damian Poddebniak、Christian Dresen、Jens Müller、Fabian Ising、Simon Friedberger、juraj somorovsky、Jörg Schwenk 。 除了明斯特大学(Münster University),研究人员还提到了波鸿鲁尔大学(Ruhr-University)和鲁汶大学( KU Leuven University)。   稿源:cnBeta,封面源自网络;

大量美国公司或将受到特朗普签署的FOSTA的影响

据外媒报道,当地时间4月11日,美国总统特朗普签署了争议性法案《反网络性交易法(以下简称FOSTA)》,该法旨在通过互联网匿名性打压性交易犯罪。据称,这套新法将对各企业在网络的运营方式产生直接和重大影响。 资料图 法案于3月底在国会通过,针对的是交互式计算机服务供应商。这基本上包含了互联网上大量的参与者,特别是在线支付行业的支付服务供应商、支付服务商、网关、托管供应商以及其他商业服务供应商。 现在没有人能够知道FOSTA将对它们造成的影响,或许到了太晚的时候才意识到带来的后果。 一个体面的决定? 众议院第1865号决议则是在《通信规范法(CDA)》Section 230下为保护措施而设计的,按照其规定,如果用户发布令人反感的内容,那么交互式计算机服务提供者可以免责。 在CDA的指导下,论坛以及其他公共信息共享平台的持有者并不会被视为由第三方提供或提供的信息的发布者。从本质上来说,用户生成的内容是自由流通并受到严格监控的。 不过问题在于Section 230还为像Backpage.com、Craigslist等提供“掩护”。对此,FOSTA的支持者认为,这套法案在应对性交易的情况时将能更好地执行联邦民事法和刑法。这意味着如果罪犯使用像Craigslist这样的在线服务进行性交易的话,那么网站也需要承担法律责任,不再仅仅只是犯罪者本身。 性行业专家也谴责了这套法案,他们认为这等同于取消了性工作者在与客户见面之前筛选客户的权利。还有人则表示FOSTA实际上将会妨碍到执法人员追踪皮条客、处理刑事案件以及寻找失踪儿童。 快速反应 每天惊人数量的在线活动–新内容、新帖子、新数据交换、新交易–为任何想要进入“交互式计算机服务”类型的人创建一个使其能符合FOSTA规定的任务。 实际上在特朗普签署这套法案之前,市场就已经迅速作出了反应。Craigslist和Reddit立即关闭了它们的Personals版块,以此来应对新法案的到来。 虽然这套法案尚未完全影响到媒体和其他公司,但FOSTA却有着可能会严重动摇支付行业的威胁。现在由于法案已经生效所以对于所有的“交互式计算机服务”供应商来说它们没有任何的宽限期。如果无视或没有了解透FOSTA上的违法行为那么极易附上民事或刑事责任。 是时候做出反应 在FOSTA下的违规规定下,对于整个支付行业来说理解在线实体的真正身份至关重要。任何属于这一类别的都需要开始考虑采取有效、准确的工具以此来监视与它们业务相关的已知和未知网站,进而保证符合FOSTA的要求。 这些“交互式计算机服务”现在面临着一个关键的监控挑战。它们怎样才能在网站内容似乎正在不断变化的情况下知道上面的真正内容呢?它们又该如何知道网站上是否还存有伪装着的性交易呢?很显然,美国的互联网正面临着一个历史性的转折。   稿源:cnBeta,封面源自网络;

特朗普突发推特:正为中兴提供快速恢复业务的途径

美国总统特朗普在美国当地时间13日周日突然发送了一条推文,表示正在试图帮助中国手机制造商中兴通讯重返市场,而在数日前,中兴通讯刚刚表示,由于美国政府的贸易禁令,公司将可能停止“主要经营活动”。 “我正与中国国家主席习近平一道,试图让中国最大的手机厂商之一中兴通讯尽快重返市场。”特朗普在推文中表示,“对中兴通讯的贸易禁令会导致大量工作岗位的流失。我已责令美国商务部尽快妥善处理!” 特朗普的这一表态与之前指责中国正威胁美国工作岗位的态度大相径庭,同时也可能预示着特朗普政府对中兴通讯的严厉制裁或将出现缓和。 今年4月,美国商务部以违反对针对伊朗及朝鲜的贸易禁运为由,对中国通讯设备大厂中兴通讯实施制裁,并要求美国相关公司在7年内不得向中兴通讯提供零部件,其中就包括最关键的微型芯片等产品。 由于缺乏关键零部件,中兴通讯不得不停止主要业务的运营,中兴通讯在上周三发表的一份声明中表示:“正在积极与美国政府相关部门斡旋,以期能找到妥善解决本次事件的可能性。” 美国白宫并没有在第一时间对中兴通讯的声明进行回应,中兴通讯方面此后也没有在对此声明发表评论。特朗普的这条“示好”的推文发出时间也非常耐人寻味,因为目前正处于中美贸易战最紧张的时刻。 除了中美之间的贸易战之外,其实特朗普政府还在近期试图加大对在美中国通讯公司的种种限制。今年4月,美国国防部要求军方供应商停止向全球的美军基地出售中兴通讯生产的手机。美国联邦通讯委员会也在近期要求凡是有接受政府资助的美国互联网服务提供商不得向华为等中国通讯厂商购买设备。 其实早在2017年,美国政府就首次对中兴通讯进行过制裁,理由是违反了美国对伊朗及朝鲜出口设备的禁令,并要求这家中国通讯巨头支付高达11.9亿美元的罚金,同时对中兴通讯内部涉事员工进行处罚并加强其内部监管。但美国政府官员今年早些时候表示,中兴通讯并未对所有违规员工进行处罚。美国商务部部长Wilbur Ross甚至在今年4月就表示:“我们无法忽视这一过分的行为。” 4月16日一纸制裁令,殷一民:中兴进入休克状态 此一事件的发生源起于美国时间4月16日,美国商务部对中兴通讯祭出一纸长达7年即期生效制裁禁令,美国商务部宣布中兴因违反美国对伊朗及北韩等国家实行的贸易禁运制裁,因此禁止美国公司向中兴销售科技软硬件产品及技术,而且禁售时间长达七年,直到 2025 年 3 月13 日。 由于中兴产品有许多光学元件、芯片等零部件都是来自于美国供应链,在被彻底“断链”、拿不到货源制造产品的情况下,中兴董事长殷一民以“将使中兴进入『休克』状态”来形容惨状。 而此一制裁令,在过去一个月掀起滔天巨浪,因为此一制裁令的内容不但禁止美国公司向中兴销售零部件、商品、软件和技术,后续持续爆出的影响层面之大更让许多人震惊。因为不只是单纯的美国公司受到影响,就连非美国注册公司与机构,只要其提供的产品与服务有部份来自美国公司授权或销售,其与中兴的业务往来也同样受到相关制裁禁令规范。 而整起事件不仅让中美贸易气氛愈趋紧绷,连华为也被多次点名遭到美国政府“关注”,甚至还有意将手伸向中国的云服务业者,在美国营运业务施加诸多限制,使得科技行业内风声鹤唳,而且中兴因为“缺芯”惨遭一剑封喉,更引起了全国过去对于发展半导体、芯片技术的全面检讨,以及未来应建立自主供应链的热血沸腾及殷切期盼。 从美国商务部正式公布上述规范至今接近 一 个月的时间,绝对是中兴有史以来面临的最大危机,除了因为必须评估美国出口禁令的影响,宣布延后发表季报,并宣布成立由总裁直接领导的法遵管理委员会,更有外电引述中兴内部人士的说法,指出美国制裁相当下重手,中兴甚至无法跟美国商业伙伴例如高通、英特尔、博通进行通话(calling)或技术交流,接着美国国防部也下令,在美军军事基地的所有零售商店都不得销售由中兴和华为制造的智能手机。 当时,中美贸易气氛陷入紧绷,苹果 CEO 库克在参加一场论坛时公开表示:“这不是一件双方宰割彼此的事,呼吁各方作出冷静的决定。”之后,特朗普就约了库克谈话,被外界视为是库克希望扮演和事佬,以缓解、降温贸易纠纷。 后续中国商务部要求美方先听取中兴的陈情,并考量该公司为达成和解协议和修改禁令所做的努力。5月3日美国财政部长 Steven Mnuchin 率领美国贸易代表 Robert Lighthizer 等人造访北京,当时特朗普隔空关注谈判,仍不忘推特发文:“我们很棒的财政团队已到中国,试图通过谈判达成一个公平的贸易环境。我期待在不远的将来会晤习主席。我们将永远保持良好的关系!” 双方贸易代表团进行谈判时,传出我方要求美国修改对中兴祭出的七年禁令,美国谈判官员也表示重视中国方面的意见,并承诺将向特朗普转达意见。 中兴日前在香港证交所发布公告,主要经营活动已经无法进行,并已经正式向美国商务部工业和安全局(BIS,Bureau of Industry and Security)提出暂停执行商业制裁的申请,不过中兴也强调,“目前公司现金充足,在合法合规的前提下坚守商业信用。并积极与美国政府相关部门沟通,推动美国政府调整或取消禁令,推动事情向好的方向发展。” 美国商务部强硬,特朗普反成最大缓冲 值得注意的是,在美国商务部宣布对中兴施以制裁令的同时,美国方面就倾向淡化此一事件与中美易谈判的关联,而也有部份看法认为,中兴事件发生的时点虽然很难不让人有所联想,但中兴在处理此一事件中确有瑕疵,才会让美国商务部有机会采取动作。 只不过,美国商务部的出手之重,却也引发许多不同声音的讨论,即使在过去一段时间,中兴持续努力与美国商务部沟通争取实施制裁令的缓冲空间。但根据美国媒体CNBC报导,有熟悉美国贸易相关法规的律师认为,中兴想要申请重审翻盘的机会不大,因为,受理中兴申诉的对象还是商务部,而商务部正是对中兴施以制裁令的主管单位,在同一套系统底下,中兴所提出申诉请求很难被重新用不同的眼光角度检视,而这明显是对中兴不利的状况。 就如同这位律师所提到的重点,中兴与美国商务部之间的纷争,确实需要第三方重新检视,而这个”第三方”出现了,而且不是别人,就是美国总统特朗普。根据特朗普在美国时间5月13日推特上的发言来看,他特别提到:“美国商务部已经接到指令妥善处理此事。” 根据特朗普在推特上的说法,他之所以会希望试图帮助中兴通讯重返市场,是因为这牵涉到大量工作机会的流失危机。但值得注意的是,中兴遭到制裁所可能引发的连锁效应,特朗普应该早已非常清楚此一事件的后续影响,但特朗普选择在此一时间点上表态要帮助中兴重返市场,却也让外界大惑不解,难道过去一个月的时间里,特朗普都没有发现此事的严重性? 而值得注意的是,在中兴遭到制裁禁售的事件中,中兴自然是首当其冲,但根据DT君的分析,中兴至少有30%的零部件采购来自于美国厂商,若再加上其他软件、技术服务、授权等等业务,这其中牵涉的是数十亿美元的采购金额,影响的是多家美国高科技公司的生意。 虽说在过去近一个月时间里,几乎没有任何一家中兴的美国供应商对外表态发言,但以美国企业与美国政府之间向来有大量的游说活动持续进行的状况来看,可以想见的是,在过去一个月中,中兴制裁令必然也是硅谷与华府之间游说活动的热点议题。对于这些美国高科技企业,他们担心不只是中兴,他们更担心的是中兴事件可能进一步扩大至其他中国客户身上,进而影响到美国企业既有或者是已然开展的业务往来与投资布局,而由此所牵涉的利益就不只是一个中兴被制裁影响的数十亿美元,而可能会是数百亿或上千亿美元的冲击。 即使外界一向都认为特朗普与美国高科技企业的关系十分紧张,但不能被忽略的重点是,特朗普的生意人本色向来清晰,即使他总是不按常理出牌。但对特朗普而言,做生意的游戏规则仍然十分清楚,要想如他的政见所说的 “要让美国再度伟大”,不论是对于高科技企业、或者是贸易关系的处理手法将非常重要,也就是说,特朗普政府或许可以强硬,但特朗普个人的态度,却也将成为最大的缓冲转折。 事实上,特朗普在在稍早几天的推特中,就已提到有关于中美贸易之间的问题很快就会有好消息。而当时就有人揣测,这其中可能发生的好消息之一,就是解除对中兴的制裁令。而以目前的状况来看,似乎的确是如此。 中兴事件在喧嚷近一月之后,似乎已然看到了明显转机,但由此所产生的区域保护主义问题,却也将成为后续国际贸易与政治活动上的最大变数。 而正如同路透社于13日报导中国驻美大使崔天凯一席谈话所提到的重点,对于当前中美经贸问题,彼此双方应平衡照顾彼此利益、并妥善处理管控分歧,尽管美国有一派声音关切“中国制造2025”所可能带来的冲击,但“中国制造2025”是内部产业发展的设定的目标,并不代表要实现这个目标就必须排除其他国家。 崔天凯就强调,事实上,当前一个国家或可在某一段时间的某些领域中取得领先地位,但却不可能在所有领域都维持长期领先优势,如果美国针对与中国之间的高科技产品技术交流持续进行管制,但却也不让中国有自行研发的机会,中国产业未来发展显然会因此受限,但互利共赢是国际关系稳定推进的引擎,中国与美国之间亦是如此,两国经济消长好坏对彼此都至关重要,中国希望美国经济得以持续繁荣,而美国也同样可获益于中国经济的持续发展。   稿源:搜狐科技,封面源自网络;

传奇黑客凯文·米特尼克找到绕过双重验证方法,务必小心钓鱼网站

双重验证(2FA)几乎是当下最靠谱的账户安全保护措施了,但传奇黑客 凯文·米特尼克 却发现了一个新的安全漏洞,通过向用户发送钓鱼登录页面,然后窃取用户名、密码和会话 cookie,就可以绕过双重验证。 这位 15 岁就成功入侵北美防空指挥系统的 KnowBe4 首席黑客官(CHO)在一段公开的视频中演示了如何进行入侵。他通过诱导受害者访问类似于“LunkedIn.com”这样容易与知名网站混淆的域名,记录用户名、密码和双重验证码,便可以获取相关信息以及 cookie 文件。一旦完成这个步骤,黑客就可以直接登录受害者的帐号,让双重验证形同虚设。 “凯文的一位白帽黑客朋友开发了一种工具,可以借助社工手法绕过双重认证——并且这种手法可以用在任何网站上,”KnowBe4 首席执行官斯图·斯约维曼(Stu Sjouwerman)说。“双重验证确实比用户名+密码更安全一些,但在这种情况下,我们清楚地看到,你无法仅仅依靠双重身份验证来保护你的帐号。” 白帽黑客库巴·格雷茨基(Kuba Gretzky)创建了一个名为 evilginx 的系统,并在网站上的 一篇文章 中详细描述了整个侵入过程。 斯约维曼指出,反钓鱼教育非常重要,如果受害者对网络安全以及点击电子邮箱中某个恶意链接的危险性了如指掌的话,诸如此类的黑客攻击是不可能完成的。为了验证这一点,斯约维曼给我发了一封电子邮件,看上去好像是我的同事发来的,内容是讨论某篇文章中的错别字。但其实发件人并不是我同事本人,是用 Sendgrid(一个群发邮件服务)仿造的假收件人地址。而且这个连接看似是 TechCrunch,实际上是 Sendgrid 的链接。演示里他们好心地给我跳转到了正牌网站,但是在网络黑产那里就没这样的好事了,任何更加恶劣的情况都有可能发生。 斯约维曼说:“网络钓鱼的模拟证明了开展网络安全意识教育的重要性,因为安全的最后一道防线说到底都是人自己。”他估计黑客会在未来几周内开始尝试这种新手法,因此敦促用户和 IT 部门强化安全协议。 【视频】:New Exploit Hacks LinkedIn 2-factor Authentication   稿源:TechCrunch,翻译:皓岳,封面源自网络;

交易所被黑之后 日本还会是数字货币的天堂吗?

据国外媒体报道,日本曾被行业参与者认为是数字货币项目的天堂。但在本地数字货币交易所Coincheck遭到黑客攻击后,监管机构加强了对相关业务的监管力度,数字货币的热度也在不断下降。 不久前日本在亚洲地区率先承认比特币和法定货币具有同等效力,仅去年就批准成立了11个数字货币交易所。在全球比特币飙涨的刺激下,乐天株式会社(Rakuten)以及Line等日本公司纷纷创立交易所或发行自家的数字货币。在其他国家纷纷对首次代币发行叫停的同时,日本似乎成了数字货币业务的避风港。 但是今年1月份,日本本地交易所Coincheck遭到黑客攻击,价值逾5亿美元的新经币遭窃,使得日本对区块链技术友好的声誉受到了考验。业内消息人士称,日本一度被称为数字货币天堂,外国公司纷纷到这里创立区块链和数字货币项目。但随着日本政府试图控制数字货币市场,这种乐观情绪已经变得暗淡起来。 图示:Coincheck交易所显示的比特币在2018年2月16日的价格走势图 在Coincheck交易所遭受黑客攻击之前,人们根本不用考虑如何保护自己或保护自己的资产,而是疯狂追求各种数字货币项目。联合创立日本数字钱包业务IndieSquare的区块链企业家高桥(Koji Higashi)说,“他们只是想知道下一个数字货币在哪里。” 但过度的乐观情绪掩盖了繁荣之下的问题。 高桥说,尽管去年出台了关于新成立交易所和首次代币发行的相关法规,但是由于人们对区块链技术往往缺乏或根本不理解,相关的欺诈行为在日本愈演愈烈。 事实上,在日本销售未经注册的数字令牌是非法的,因为监管部门规定每个代币发行都必须与当地拥有许可证的交易所合作。据高桥介绍,仍有日本当地企业会邀请海外公司举办研讨会或研讨会,顺势将其发行的数字货币卖给与会者。这样外国的首次代币发行通过各种方法进入日本。 最重要的是,他补充说,交易所为获得更多用户,优先考虑的便捷而非安全。受到黑客攻击的Coincheck交易所就以其易用性而著称,其营销方式就是对用户的友好性,这对于缺乏学习耐心的新手来说很方便。Coincheck交易所一直通过热钱包管理用户资金——这种在线加密账户能够更快地转移资金——而不是更安全的冷钱包。后者就像一个保险柜,这种离线存储方式更难破解。 相比于亚洲的不少其他国家,日本监管机构对数字货币的态度并不消极,这使得日本成为了数字货币项目的避风港。但高桥指出,这很大程度上是因为处于监管上的灰色地带。 高桥指出:“这并不是因为日本是首次代币发行的避风港,而是因为缺乏相应监管,我们会在未来看到大规模出现问题。” 然后,在今年1月26日Coincheck交易所遭到黑客攻击,该交易所的用户损失的新经币价值5.3亿美元。在此之后,由于这一事件被国内外媒体广为宣传,监管机构被迫应对相关问题。 自黑客事件四个月后,交易仍在复苏。据行业研究公司Crypto Compare的数据,2017年10月全球63%的比特币通过日本交易,而现在主流数字货币中通过日元交易的为34%。 业内人士认为,在制定规则之前,日本也正在等待美国制定法规。美国证券交易委员会建议对首次发币发行秉持谨慎但开放的态度,但仍有必要通过监管来保护投资者。 “从这个角度看,他们可能会找到自己想要的方法,”申如是指出。   稿源:网易科技,封面源自网络;

哥伦比亚大学研究人员创建隐藏嵌入文本信息新方法

哥伦比亚工程计算机科学家发明了一种新的方法 FontCode,可以在不干扰文字的情况下将隐藏信息嵌入文本中。FontCode 创建使用字体扰动来编码信息,之后可以进行解码以恢复信息。与其它隐藏嵌入信息的文本和文档的方法不同,这个方法适用于大多数字体和文档类型,即使打印文档或转换为其他文件类型时也可以保留隐藏信息。这项研究报告将于8月12日-16日在温哥华的 SIGGRAPH 上展示。 此项研究的主要作者、计算机科学郑教授说: 尽管很明显可能会被用于间谍活动,但我们认为对于希望防止文档篡改或保护版权的公司,以及想要嵌入二维码和其它元数据而不改变文档外观和布局的商家和艺术家来说,FontCode 更为实用。 郑教授带领他的学生创建了这个文本隐写方法,无论是数字存储还是纸质打印,都可以将文本、元数据、URL或数字签名嵌入到文本文档或图像中。它适用于 Times Roman、Helvetica和Calibri 等常用字体系列,并且与大多数文字处理程序(包括 Word 和 FrameMaker )以及图像编辑和绘图程序(如 Photoshop 和 Illustrator )兼容。由于每个字母都可能受到干扰,所以秘密传达的信息量仅受正规文本长度的限制。信息使用微小的字体扰动编码——改变笔画宽度,调整上行和下行高度,或者调整例如字母 o、p 和 b 的曲线。 【研究演示视频】FontCode: Embedding Information in Text Documents using Glyph Perturbation 使用 FontCode 隐藏的数据可能非常难以检测到。即使攻击者检测到两个文本之间的字体变化,扫描公司内部每一个文件也是不切实际的。 “如果攻击者能够检测到使用字体变化来传达秘密信息,加密只是提供了一种备份级别的保护,”郑教授说,“因为很难看到这些变化,这使得 FontCode 成为一种非常强大的技术,可以通过现有的防御措施获取数据。” 研究作者已经向哥伦比亚科技风险投资公司提交了专利,计划将 FontCode 扩展到其他语言和字符集,包括中文。 “我们对FontCode的广泛应用感到非常兴奋,”郑教授说,“从文档管理软件到隐形QR码,保护法律文件,FontCode可能是一个改变游戏规则的游戏。” 该研究的题目是“FontCode: Embedding Information in Text Documents using Glyph Perturbation.”   消息来源:TechXplore,编译:吴烦恼; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。  

FCC:网络中立性法规将于6月11日正式废除

北京时间5月11日凌晨消息,本周四,美国联邦通信委员会在一份公告中表示,于2015年生效的开放互联网法规将于今年6月11日正式废除,而互联网服务提供商决定消费者能获取到何种内容的新法规将开始生效。 去年12月份,美国联邦通信委员会(Federal Communications Commission,FCC)宣布将废除奥巴马政府制定的“网络中立性”法规,新的法规允许互联网服务提供商在提前告知消费者的情况下屏蔽某些网站,或降低访问这些网站的速度。FCC表示新的法规将于今年6月11日正式生效。 美国部分州政府和企业曾尝试通过起诉来阻止该新法规生效。该修订后的新法规是包括AT&T和Comcast在内的互联网服务提供商们的一次胜利,而像Facebook和谷歌这种科技互联网公司则对此新法规持反对态度。 本周四,FCC委员、民主党人杰西卡·罗森沃尔(Jessica Rosenworcel)表示:“FCC没有倾听来自美国公众的声音,该机构曾坚定地相信互联网开放性是应该被写入法规中的,而现在对该信念漠不关心。FCC的做法是在与历史作对、与法律作对、与美国民众作对。” 美国国会参议院将最快于下周对是否拒绝FCC关于废除网络中立性法规的决定进行投票,就目前情况来看,这又将是一次激烈的斗争。 反对FCC废除网络中立性法规的参议员包括47名民主党人、两名亲民主党的无党派人士、和共和党人苏珊·柯林斯(Susan Collins)。由于共和党参议员约翰·麦凯恩因病长期缺席投票,FCC反对者认为他们将以50比49赢得此次投票。 国会参议员艾德·马尔基(Ed Markey)表示该投票“很可能”将在下周三左右进行。本周三,参议院议员们提交了一份网络中立性法规投票请愿书,请求在国会审议法案的规定下进行一场10小时的公开辩论。 在FCC宣布新法规将于下月生效的消息后,马尔基在其Twitter动态中写道:“参议院必须马上行动起来,并投票通过这个拯救开放互联网的提议。” FCC曾以3比2的投票结果决定废除奥巴马政府制定的网络中立性法规,该法规禁止互联网服务提供商屏蔽某些网络、降低这些网站的访问速度、或向访问某些在线内容的消费者额外收费。 一旦该FCC的新法规正式生效,将给互联网服务提供商巨大的权力,即改变消费者访问互联网的方式。不过,这些互联网服务提供商必须告知消费者都对哪些网站的访问方式做了什么变化。 如果国会参议院通过了反对FCC新法规的请求,由共和党人控制的国会众议院也不太可能通过该反对请求。如果众议院也通过了此反对请求,总统特朗普也被认为会否决它。 今年二月份,由22名州检察院检察长都重新修订了有关法律,旨在反对特朗普政府关于废除网络中立性法规的决定。 FCC主席阿吉特·帕伊(Ajit Pai)一直以来都表示,自己对该机构成功执行废除网络中立性法规的决定很有信心。 民主党人曾表示,他们认为该问题将成为今年11月即将到来的中期国会选举的热点话题,特别是对于那些对互联网依赖度很高的年轻投票人来说。 共和党人曾称,该FCC废除网络中立性法规的决定将降低政府监管成本、鼓励投资。   稿源:新浪科技,封面源自网络;

安全研究人员提醒AI助理需谨防人耳听不到的“海豚攻击”

中美研究人员已经验证了一种可向 Siri 等 AI 助理发出“隐藏式攻击命令”的方法,因其采用了人耳察觉不到的音频,从而强迫智能助理执行非机主下达的恶意命令。《纽约时报》指出,如果被别有用心的人得逞,这种攻击手段可用于拨打电话、打开网站、甚至更糟糕的事情。根据来自加州、伯克利、以及乔治城大学的学生团队在本月发表的一篇研究论文,他们甚至可以将恶意命令嵌入音乐录音或口述文本中。 当在亚马逊 Echo 或苹果 iPhone 附近播放时,普通人只能听到单纯的歌曲或语音。但智能设备能够捡拾起一条潜在的指令,比如向购物车中添加一些东西。 往更危险的层面去讲,恶意攻击者可以下达锁门、卷钱、或购买线上商品等操作 —— 尽管在通常情况下,为了不引起事主的注意,事情都是静悄悄地进行、涉及金额也不会太大。 然而论文作者之一、来自加州大学博客利分校的五年制计算机安全博士生 Nicholas Carlini 坚信,或许早已有恶意攻击者实施过类似的技术: 我们想要知道自己是否能够让它变得更加隐秘,虽然没有证据表明这些技术已经跑出了实验室,但它被人利用只是时间的问题。我的的猜测是,恶意攻击者早已雇人干过我提到的事情。 【视频】:Dolphin Attack_ Inaudible Voice Command 去年的时候,美国普林斯顿和中国浙江大学的研究人员们已经执行过类似的测试,证明了 AI 助理可以通过不被人耳所听到的音频给激活。 如上方的“海豚攻击”演示所示,研究人员打造了一台可以下达隐藏命令的发送器,并顺利地让手机执行了拨打特定电话的操作(另有拍照和发送短信等测试)。 当然,海豚攻击的范围是有限的,因为攻击者必须足够接近接受设备。   稿源:cnBeta,封面源自网络; 相关阅读:Alexa and Siri Can Hear This Hidden Command. You Can’t.

“黑客”入侵快递公司后台盗近亿客户信息 13名嫌犯被抓

工作时间总能接到贷款买房电话,父母常被诈骗推销电话困扰……这些都与公民个人信息泄露有关。近日,江苏省淮安市警方历时1年,辗转湖北、上海、内蒙古等地,成功侦破一起公安部督办的“黑客”非法入侵快递公司后台窃取客户信息牟利案件,抓获犯罪嫌疑人13名,缴获非法获取的公民信息近1亿条。 2017年5月10日,淮安市公安局清江浦分局接到当地某快递公司报警,称其服务的一家从事工艺品销售的公司最近突然接到很多客户投诉,称他们自从在这家工艺品公司购买了产品之后,就接连接到其他工艺品公司的推销电话,客户怀疑他们的个人信息资料被这家工艺品公司泄露。 接报后,清江浦分局根据相关信息经初步研判发现,该公司在2017年3月至4月,有1万余组数据被外部人员非法获取。经查,民警还发现,不仅该快递公司的网站后台被非法入侵,当地其他多家快递公司也不同程度地出现后台被非法入侵、公民信息数据被非法获取的现象。 由于案情重大,2017年7月,公安部对此案挂牌督办。 “我们深挖后,发现这家快递公司有一组电脑后台IP地址有异常,调查后发现异常IP分别指向上海、广东佛山、湖北孝感三地。”淮安市公安局清江浦分局办案民警沙俊说。 得到线索后,专案组民警立即赶赴三地调查。经过排查走访,最终确定犯罪嫌疑人潜藏在湖北省孝感市。 “等我们找到最初锁定的地点时,发现只是一间普通民居,并没有发现可疑人员。”沙俊介绍,“我们就怀疑嫌疑人蹭了这家人的网进行不法活动。一般来说,蹭网也不会离的太远。” 经过5个昼夜的蹲守,民警发现同小区隔壁单元3楼一住户中有4名可疑男子。“他们家总是白天睡觉没动静,一到晚上通宵亮着灯。”沙俊说。 民警通过摸排,调查证实4名男子正是犯罪嫌疑人,遂于去年6月15日在当地警方的配合下,当场抓获杨某、胡某、陈某、熊某4人,并现场缴获蹭网器一套,公民信息数据近100G。 根据杨某等人的供述,警方顺藤摸瓜,赴河南、内蒙古、安徽等地又相继抓获9名犯罪嫌疑人,总计缴获公民信息数据超过300G,近1亿条。 “经过对这些数据核实,准确率达到90%以上。嫌疑人还对这些数据分门别类,根据年龄层次推销不同的产品。”沙俊说。 杨某等人交代,他们通过QQ群、微信等方式在网上兜售,买家主要是从事“三无”产品销售的电话或网络经销公司。“尤其是销售保健品的公司购买数据价格最高,一条有关老年人的姓名、手机号码等数据,无论新旧价格都在1元左右,这意味老年人更容易成为侵害对象。”办案民警说。 近日,经清江浦区人民法院审理,杨某、胡某、陈某因犯侵犯公民个人信息罪均被判处3年以上有期徒刑,并处罚金。   稿源:法制网,封面源自网络;

Google Chrome 66稳定版更新:修复四大严重安全漏洞

本周四Google发布了Chrome 66稳定版维护更新,最新版本号为v66.0.3359.170,目前已经面向Linux、Mac和Windows三大平台开放,重点修复了一些非常严重的安全问题。Google Chrome 66.0.3359.170版本目前共修复了4个安全漏洞,包含能够从沙盒中逃逸的高危漏洞、一个在扩展程序的提权漏洞、一个在V8 JavaScript引擎中类型混乱问题以及PDF查看器PDFium中的堆缓冲区溢出问题。 目前Google并未对外披露具体有多少用户受到这些漏洞影响,官方日志中写道:“在大部分用户安装修复补丁之后我们会公布BUG的细节和链接信息。如果这些BUG依然存在于其他项目所依赖的第三方库中我们也会选择保留。” 除了上文提及的安全漏洞之外,Chrome 66.0.3359.170同时还包含了其他大量修复,因此推荐Chrome用户尽快完成升级,避免被黑客有机可乘。 Stable 稳定版 32位 最新版本:66.0.3359.170,文件大小:46.457MB,查询时间:2018-05-11 04:28 [链接1] [链接2] [链接3] [链接4] SHA1:D41B3356256A232D6891CC86C1C616557BD4AE59, SHA256:35BAF449DC70849EEB6B0DF3F933429422527A5844B7F1F3DFAFD5B1EABF2CD1 Stable 稳定版 64位 最新版本:66.0.3359.170,文件大小:46.879MB,查询时间:2018-05-11 04:28 [链接1] [链接2] [链接3] [链接4] SHA1:D49EE37219DF6972C8B98A2233D3C5DA617F17E1 SHA256:8E0F91236CDC5E8A4EEB529551806890E96D745DA451556BEC8DEE6803D268DE   稿源:cnBeta,封面源自网络;