安全快讯Top News

全国人大表决通过《网络安全法》,明年 6 月1日起施行

据本站 11 月 2 日报道,网络安全法草案三次审议稿 10 月 31 日提请全国人大常委会审议。现在有了最新进展。十二届全国人大常委会第二十四次会议 11 月 7 日上午经表决,通过了《中华人民共和国网络安全法》。此次表决共 155 人参与,最终以 154 票赞成、1 票弃权,表决通过了网络安全法。网络安全法将于明年 6 月 1 日起施行。法律进一步界定关键信息基础设施范围;对攻击、破坏我国关键信息基础设施的境外组织和个人规定相应的惩治措施;增加惩治网络诈骗等新型网络违法犯罪活动的规定等。 稿源:IT之家,封面来源:百度搜索

英国警方被曝向竞争和市场管理局提供监控工具和技术支持

据外媒报道,“内部文件”显示,在某些情况下英国警察或安全情报机构可能有权向其他机构提供监控支持。据称,伦敦警察向英国竞争和市场管理局( Competition and Markets Authority ,以下简称“ CMA ”)提供监控工具和技术支持,以便调查时进行必要的监视或财产干扰操作。 CMA 主要负责调查可能限制竞争的公司兼并活动、以及调查潜在的可能违反英国和欧盟实施的反竞争协议的行为。按照信息自由法案(FoI)的要求伦敦警察局和 CMA 之间制定了谅解备忘录(简称MoU,相当于协议)详细描述了两个部门之间的关系和具体合作情况。 伦敦警察局提供的技术支持让 CMA 具备了“设备干扰”的能力如在车辆中安装音频监视设备等,当然,目前CMA在许多情况下获得的支持不可能达到相应的“国家级”高标准,比如获得 CoLP 专家团队支持进行定向监控,在部署以及保密性上也有很大限制和要求。 伦敦警方目前尚未就此事发表任何意见。 稿源:本站翻译整理,封面来源:百度搜索

思科求职网站配置不当泄露应聘者个人资料

据外媒报道,思科已经修复了其招聘门户网站的一个漏洞,可能暴露了部分求职的个人信息。思科已经向受影响的用户发送了一封告知邮件,因第三方网站系统维护后“不恰当的的安全设置”导致部分应聘者的相关信息从移动版本的网页上泄露。不恰当的的安全设置出现在 2015 年八月到九月以及 2016 年七月到八月,目前思科还没有发现未经授权访问的实质证据,但出现过一次原因不明的异常连接服务器事件。据称,疑泄露的数据包括真实登录名、密码、联系方式、密保问题、学历、简历信息等。 思科遵守“信任和透明的承诺”及时发布官方报告(PDF)并重置用户密码。此外,还对有需要的用户提供 90 天免费的欺诈警告服务。 稿源:本站翻译整理,封面来源:百度搜索

创宇资讯 2016-11-07

[创宇资讯]印度驻外大使馆惨被拖库 [国际要闻] 1、俄总统普京欲尽快替换微软产品 2、微软受邀保护国际象棋世界冠军免受俄罗斯黑客攻击 [黑客事件] 1、印度驻外大使馆多个员工数据库被“拖库” [推荐阅读] 1、黑客耍起无人机 连你家的灯泡都不放过 2、安卓商业间谍软件 Exaspy 针对高层管理人员 知道创宇整理分享,详细内容请戳 hackernews.cc

印度驻外大使馆多个员工数据库惨被“拖库”

据本站 11 月 6 日消息,印度驻瑞士、马里、罗马尼亚、意大利、马拉维和利比亚大使馆的多个员工数据库被黑客公布在互联网上。 黑客 @Kapustkiy 和 @Kasimierz_对外称,此举只为得到媒体关注、迫使更多管理员意识到网络安全的重要性。两人利用 SQL 注入针对性地攻击、访问数据库,以实际行动证实许多印度大使馆都容易受到这种攻击。 黑客已在 pastebin 上公布了 7 个印度大使馆员工数据库内容,包含姓名、电子邮件和电话号码等。实际上这种数据泄露行为对外交人员的安全造成极大威胁,他们总是最容易成为网络间谍活动的目标。印度大使馆方面目前并未做出回应。 稿源:本站翻译整理,封面来源:百度搜索

俄总统普京欲尽快替换微软产品

NBC 报道,因为担心美国会利用微软的产品如Windows 和Office 渗透进俄罗斯的计算机系统,普京想要用尽可能快的替换微软产品。普京正尝试要求政府机构和国有企业用本国软件替换微软的产品。美国情报来源称,摆脱微软的软件是普京目前优先考虑的事务。微软则否认它参与了任何间谍活动,微软公共事务总经理Dominic Carr说,“我们没有监视任何人,我们没有与任何政府合作监视其他人,我们永远也不会这么做。”当然要摆脱微软的软件并非一朝一夕可以完成的。 稿源:solidot奇客,封面来源:百度搜索  

微软受邀保护国际象棋世界冠军免受俄罗斯黑客攻击

国际象棋世界冠军 Magnus Carlsen 将于下周与顶级大师 Sergey Karjakin 进行比赛,而他认为自己已经成为俄罗斯黑客的网络攻击对象,因此向微软寻求网络保护。 Carlsen 称他十分依赖电脑技术来为这场比赛做准备,他很害怕俄罗斯黑客会入侵他的电脑,以获得能帮助克里米亚的 Karjakin 选手获胜的信息。微软将保护 Carlsen 的数据和通讯安全,同时也会为 Carlsen 的比赛顾问们提供网络安全保护。 几天前微软称其Windows系统中一个未打补丁的漏洞被俄罗斯黑客利用,这些黑客来自一个叫 Strontium group 的组织。微软认为这个黑客组织和俄罗斯政府有关联,而且还与美国总统候选人邮件泄露等其他攻击有关。另外,微软称漏洞已经修复,用户需要对 Adobe Flash Player 进行更新,并使用微软的 Edge 浏览器来保障安全。 稿源:cnbeta.com,封面来源:百度搜索

黑客耍起无人机 连你家的灯泡都不放过

几周前,黑客利用 IoT-botnet 发起了一场针对物联网设备的大规模DDoS 攻击,导致了各种智能设备的瘫痪,这让人们更加重视物联网的安全问题。根据美国《纽约时报》发布的一篇题为《 IoT Goes Nuclear 》的报道,研究人员发现黑客在传染式的突袭中,使用了一种与蠕虫病毒类似的攻击技术。从理论上看来,如果物联网设备的分布足够密集的话,这种病毒完全可以制造出噩梦般的大型失控场面,非常可怕。 为了证明这个理论,达尔豪斯大学魏茨曼科学研究所的研究团队进行了一项实验。在实验的过程中,研究人员们遥控着一架无人机,让它飞到建筑外部一个可以识别 Wi-Fi 连接的区域内,然后发起进攻。他们只要攻击一只智能灯泡,其他灯泡便会像被传染了似的,也开始狂闪起来,像极了鬼片里瘆人的场景。当无人机飞得离建筑更近一些时,就会有更多的灯泡中招。更糟糕的是,在这个过程中,研究人员完全不需要接触到灯泡——这些灯泡是被几百米开外的无人机或汽车传染的。 据悉,研究人员们发起的传染式攻击靠的是 ZigBee 无线通信协议中的一个漏洞。而使用了 ZigBee 无线通信协议的品牌非常广泛,其中甚至包括飞利浦 Hue 等驰名世界的智能产品。发现了这个漏洞的黑客在网上耀武扬威地发布了“自动攻击工具包”。这个工具包的使用门槛非常低,就算是技术小白也可以轻易地发起类似的攻击。 还好飞利浦比较机智,在上个月发现了这个漏洞,并发布了补丁。然而,由于造价低廉的无线模块的兴起,我们的周围还充斥着大量安全系数极低的智能设备。除此之外,Indiegogo 和 Kickstarter 等众筹平台上也塞满各种各样尚未完善的智能家居产品。 稿源:cnbeta.com,封面来源:百度搜索

安卓商业间谍软件 Exaspy 针对高层管理人员

据外媒报道,安全公司 Skycure 的研究人员发现了一个新的安卓商业间谍软件 Exaspy,针对高层管理人员的移动设备。研究人员已经在某公司的副总裁的 Android 6.0.1 设备上发现了该恶意软件。这种恶意软件需要用户最终执行手动安装。 安装过程: 1、恶意软件请求访问设备管理员权限 2、询问许可证号码 3、隐藏软件本身 4、请求访问 root(如果设备已使用ROOT工具管理应用程序)。一旦被授权,它将安装一个系统包,使其卸载过程更加困难。 安装成功后,即可访问受害人的聊天记录和消息(短信,彩信,Facebook Messenger,Google Hangouts,Skype,Gmail,本地电子邮件客户端,Viber,WhatsApp等)。此外,软件程序包存储在 Google 服务名下的“ com.android.protect ”文件中,伪装成合法的 Google Play 服务。 恶意软件 Exaspy 还可以记录周围的音频和受害者的电话,它还可以访问设备上的照片、截取屏幕截图,并访问其他用户数据包括浏览器历史记录和通话记录。 稿源:本站翻译整理,封面来源:百度搜索

创宇资讯 2016-11-06

[创宇资讯] 美总统大选严防黑客攻击 [国际要闻] 1、美总统“大选日”临近,政府严阵以待防黑客攻击 2、印度正在购买破解 iPhone 加密的技术 [漏洞事件] 1、研究员发现 Gmail 严重漏洞:账号可被轻易破解 2、OAuth 2.0 协议漏洞允许黑客远程登录 10 亿应用账户、窃取数据 [推荐阅读] 研究称 Let’s Encrypt 推动了 HTTPS 的普及 知道创宇整理分享,详细内容请戳 hackernews.cc