安全快讯Top News

WPA3 安全协议出台 WiFi 设备将大换血

现在大规模使用的WPA2安全协议,已经被破解了很长时间,WiFi的安全性风雨飘摇。终于,WiFi联盟公布了WPA3加密协议,共改善了物联网、加密强度、防止暴力攻击、公共WiFi这四大安全性。终于可以放心使用WiFi上网了。想要享受最安全的WiFi网络,用户手中的无线设备必须大换血。 市场无法估量 消费级产品先于企业级部署 从2002年WiFi正式商用算起,经历了16年的发展,这一市场并没有准确的设备数字。不过据WiFi联盟公布的数据显示,全球目前有几十亿台设备使用WiFi连接网络。可见WPA3带来的设备更换风潮,将是一个体量庞大的市场。 目前,高通表示将在6月份在骁龙845芯片中率先支持WPA3加密协议。而其它支持WPA3协议的设备将在即将开始的Computex大展上公布。支持WPA3的设备上,将会贴有“WiFiCertifiedWPA3”的标签。支持WPA3协议的设备将会向下兼容WPA2协议的设备,但是要向上支持WPA3协议就需要更换新设备。鉴于许多用户很少关心路由器的安全问题,采用WPA3协议的设备普及还需要一段时间。 WPA2漏洞攻击后果严重人们不当回事 “设置WiFi密码” “选择加密方式为WPA2” 相信设置过无线路由器的朋友们一定非常熟悉上面这两步操作。但是自从WPA安全协议被破解数年后,WPA2也在去年被破解。黑客可以通过名为“KRACK”的安全漏洞,破解WPA2安全协议,从而获得无线路由器的WiFi密码。 每天全球有数十亿的设备使用WPA2安全协议,它被破解后产生的后果难以想象。但是从使用者到厂商,并没有针对WPA2被破解后采取措施。甚至有许多人并不知道WPA2已被破解,依然认为它是最安全的加密协议。用户也没有修改自己路由器的密码,12345678依然蝉联2017年度使用最多的密码。厂商也是的升级了下产品的固件,告诉用户漏洞已被封堵。 要知道KRCK攻击直接影响了作为家庭网络中枢的无线路由器,这比PC上的病毒更加可怕。PC上的攻击,服务商会及时推送最新的修复补丁来保护用户免受攻击。而在家庭和小微企业的全球数亿台路由器或AP上,则根本没有这样的修复能力。另一方面,用户在安装好路由器后,很少再去到管理后台对设备进行升级,不能及时更新最新的固件保护自己的安全。 WPA3登场带来四大安全改善 不过好在WiFi联盟还在为用户安全使用WiFi而努力。该组织最新公布了WPA3加密协议,全新的WPA3加密协议将带来四大安全改善。 更强大的加密算法。WPA3拥有比WPA2更强大的加密算法。它可以应对工业领域、国防领域和政府领域的安全加密应用。 防止暴力破解。WPA3不会受到KRACK的攻击,是因为应用了Dragonfly协议。并且WPA3对于用户猜测WiFi密码的次数加以严格限制。黑客通过自己的“字典”,对密码进行暴力破解的攻击已经无效。 改善物联网设备的安全性。现在接入无线路由器的智能家居设备越来越多,WPA3支持一键式设置,只有按下按钮才能联网,让物联网设备连接更安全。 保护公共WiFi。机场、咖啡厅、购物中心等公共场合的WiFi不需要密码连接,存在安全隐患,但许多人都不在意它的安全性。WPA3使用了特殊的加密技术,让接入设备和无线路由器之间的连接拥有独特的密钥。即使是开放的WiFi,设备与路由器之间传输数据也不会暴露在网络中。 WPA3安全协议的出现,无疑让WiFi更加安全。但WPA2协议也将会长时间和WPA3共同存在。虽然还有许多人不把WiFi的安全当回事,但是作为WiFi联盟强制认证的标准,随着用户设备的不断换新,WPA3将深入到每个人的设备中。   稿源:中关村在线,封面源自网络;

比特币黄金遭黑客攻击:可能损失 1800 万美元

北京时间5月28日早间消息,比特币黄金(Bitcoin Gold)的开发团队近期公布了上周遭遇攻击的详情。当时,攻击者通过“双重支出攻击”,从加密货币交易所中窃取了资金。 比特币黄金的开发团队确认,攻击者获得了网络算力的大部分控制权,利用这些算力重组了比特币黄金的区块链,并进行反向交易。 在这起事件中,攻击者向加密货币交易所存入资金,将其交易为比特币或其他加密货币,随后再提取资金。随后,攻击者使用获得的绝大部分算力,迫使网络的其他部分接受伪造的数据块,修改最初的存入资金,导致这些资金从交易所控制的钱包中消失。 根据此前的报道,与攻击者关联的地址在一系列“双重支出行为”的交易中向自己发送了超过38万个比特币黄金。目前尚不清楚,这些交易中有多少造成了资金被盗。从理论上来说,如果所有交易都造成资金被盗,那么攻击者可以从中获利1800万美元。 项目的开发者表示,此次攻击部分是因为,比特币黄金的挖矿算法“Equihash”也被其他加密货币所使用,导致可用算力池要比比特币黄金网络中的算力更大。 比特币黄金已经计划迁移至新算法。此前,挖矿硬件厂商比特大陆宣布,首款Equihash AISC矿机已经开始接受预订。开发者表示,迁移至新算法能大幅提升网络的安全性。   稿源:新浪科技,封面源自网络;

avast:中兴手机预装恶意软件 嵌入固件底层

著名安全机构 avast 发布报告称,旗下安全威胁实验室发现,中兴、爱可视、MyPhone 等厂商的多款安卓手机居然预装了恶意广告软件。该恶意软件被命名为“ Cosiloon ”,它会在用户使用浏览器上网的时候,在网页上方覆盖显示一个广告。 avast 称这个恶意软件已经悄然存在了至少三年之久,而且预装在手机的固件层面,对于普通用户来说几乎不可能将其完全清除。 avast 观察到,由于这些手机都未经过 Google 认证,已经导致数千用户中招,尤其是最近几个月,已经发现大约1.8万部手机存在此恶意软件,而且遍布 100 多个国家和地区,重灾区有俄罗斯、意大利、德国、英国和美国等。 avast 已经将此报告给 Google,后者正在采取措施,通过内部技术清除部分设备上的恶意应用变种。但是由于恶意软件与手机固件紧密结合,Google 也没有太好的办法,只能联系固件开发商,敦促其解决此问题。   稿源:凤凰网科技,封面源自网络;

Facebook 被指收集用户数据:通过照片和文本

北京时间5月25日消息,在加利福尼亚州进行的对Facebook泄露用户信息一案中,法院对Facebook提起一项新的诉讼,指控该公司通过App收集了用户及他们朋友的信息。 上周向加利福尼亚州圣马特奥市高级法院提起的该项诉讼是2015年由现已停止运营的创业公司Six4Three向Facebook提起诉讼的一部分。 据卫报报道,Facebook的高级管理人员的机密邮件和消息中泄露了该公司的信息。这些指控称,Facebook使用了几种方法来收集用户信息,从而用于商业目的。据报告,这些方法包括追踪用户的位置,阅读他们的信息,访问并存储手机上的音频信息,监控用户对竞争应用程序的使用以及追踪他们的来电。 Facebook一位代表反驳称,这些声明子虚乌有毫无根据,Facebook未经用户同意不会记录人们的来电和短信的历史记录。该代表表示,日志记录是Android系统上Messenger和Facebook Lite的一项可选择的功能,但用户必须明确同意使用该功能,并且可以随时关闭该功能。该代表补充道,Facebook未经同意不会从麦克风获取数据。 Six4Three通过其已停用的应用程序Pikinis起诉Facebook,该程序可以让用户放大比基尼照片。Facebook的用户政策于2015年变更,阻止了第三方开发者访问好友数据,Six4Three以该变更损害其商业模式为由起诉了Facebook。 “当我们在2015年变更用户政策时,”一位Facebook代表说,“我们已经向所有的第三方开发者发送了可能影响其应用程序平台的更改通知。” Six4Three并没有第一时间对此作出回应。 Facebook所说的是该案面临的第六起诉讼,Six4Three声称社交网络有时未经用户同意就对其进行追踪。Facebook则回应道,这些指控与该案无关。 “他们的指控是毫无道理的,目的在于要求法院命令Facebook停止授权开发者访问用户的好友数据,但其实这项功能早在2015年就取消了,”脸书的代表人这样说道,“我们已经明确表示,我们会积极应对这场官司并保护用户的数据。” 今年3月份,脸书承认从用户的电话和短信中收集了数据,但表示已经获得了用户同意。   稿源:新浪科技,封面源自网络;

工信部加快构建工业互联网安全保障体系

工信部网络安全管理局副局长梁斌24日表示,工信部正在加快构建工业互联网安全保障体系,目前已初步形成以健全制度机制、建设技术手段、促进产业发展、强化人才培育四大领域为基本内容的体系架构。 梁斌是在当日于北京召开的中国工业信息安全大会上做出上述表述的。 “当前,工业特别是制造业向数字化、网络化、智能化迈进的步伐不断加快,随着制造业体系从封闭系统走向互联开放,安全挑战越来越大。”工信部总工程师陈因在会上表示。 梁斌介绍,下一步,工信部将从以下五方面推进我国工业互联网安全保障工作: 加强工作指导。加快出台工业互联网安全指导性文件,明确不同主体的安全责任和义务,同步建立健全安全管理制度。发挥标准规范引导作用,编制工业互联网安全系列标准建设指南。 建设安全技术保障体系。建设国家、地方、企业三级协同的安全技术保障体系,包括国家工业互联网安全技术保障平台、安全基础资源库、提升工业互联网安全综合管理和保障能力。 建立安全检查机制。近日已全面启动针对工业互联网平台企业、工业企业、工业APP和联网设备的安全检查评估,督促企业加强自身安全防护。 强化工业互联网数据安全保护。建立工业互联网全产业链数据安全管理体系,明确相关主体的保护责任和具体要求,建立工业数据分级分类管理制度,加强数据安全监督检查。 推进工业互联网安全产业发展。组织开展工业互联网安全试点示范。依托国家网络安全产业园等形式,发挥市场主体作用,培育几个有代表性的工业互联网安全龙头企业。   稿源:新华网,封面源自网络;

欧盟最严数据保护条例GDPR今日生效 官员:违反将严惩不贷

北京时间5月25日早间消息,从科技巨头Facebook,到图书馆,再到学校,各个组织机构现在都受到了世界上影响最深远的数据隐私保护条例的约束——旨在保护人们能够牢牢掌握自己的个人信息。 这一条例耗费了数千名律师的心血,花了数年的时间去规划,并伴随着数十亿封的电子邮件往来。 负责监管欧盟《通用数据保护条例》(即GDPR)执行的奥地利人Andrea Jelinek警告说,现在再搞糟的话,你别指望能得到多少原谅。该法规将于5月25日生效。 “如果有必要警告,我们就会警告;如果有必要谴责,我们就会谴责;如果有必要罚款,我们就会罚款。”57岁的耶利内克在这则大新闻的采访之前告诉记者。当被问及人们批评一些监管机构可能会比其他监管机构更宽松时,她说,过去是这样,但未来不应该再这样下去了。 隐私已经从一个非常小众话题一跃成为让世界各大商业巨头的老板们头痛不已的弊病:如Facebook创始人马克·扎克伯格——他本周被欧盟立法者拷问,其8700万用户的数据和他们的朋友的数据额是如何被分享给政治咨询公司,进而影响到唐纳德·特朗普的美国总统竞选活动。 巨额罚款 在条例出台的大限之前,如何使用或处理欧盟国家中个人用户的数据是一个诸多公司所正在面临的严重问题。欧洲的隐私监管机构将首次获得平等的权利和责任,他们同时还有权对企业严重的违规行为处以高达4%的企业全球年度销售额的罚款。 欧盟国家将在整个欧盟范围内实施同样的规则,并赋予它们的数据监管机构以完全的独立性。“我们不希望看到有任何偏离条例和其精神的措施偏差”,欧盟司法专员Vera Jourova上周说。 但是,即使剑桥分析案例中的任何违规行为都被证明属实,但是Facebook还是将在更新的欧盟规则眼皮底下避开严厉的新制裁——因为这些条例并没有追溯效力。 尽管如此,如果公司直到“周五还不收手,我们就会瞄准它们”,耶利内克说。她领导着奥地利的数据隐私机构,以及来自欧盟其他28个国家的监管机构。她表示,她预计在新规定发布的第一天,可能就会收到大量的投诉。 新时期 监管机构将“尽最大努力”处理所有投诉。她预计,不消两个月的时间就会有第一批违例情况坐实,但罚款措施并不会被立刻采用。她说,监管机构的官员们不会只是“向”公司“扑过去”,对他们处以罚款。“我们正在和企业谈判,我们有法律程序要履行,我们也必须给他们机会和我们交谈。” 对于每个人来说,这将是一个新时代的开始:“我们正处于一段新进程的开始,我们将在数据保护的领域共同努力。”伦敦DLA Piper律师事务所律师的Andrew Dyson表示:“过去几年,人们对数据保护问题的认识发生了转变。但凡你翻阅了报纸,你就不可能读不到最新的数据泄露、社交媒体丑闻或不道德的营销活动等新闻。条例确实出台了,但它来自一个不同的时代——在我们当前所处的时代里,法律、监管机构正越来越失去权势,政策越来越过期。GDPR将把这个时代扳回正轨。GDPR所赋予的权利将帮助建立更高的道德标准,提高消费者的信任度,并能够彻底释放数据的真实价值。那些犯错的人会面对监管机构的愤怒、客户的不满,以及其自身数字创新所面临的巨大桎梏。”   稿源:新浪科技,封面源自网络;

华盛顿邮报:FBI 屡次夸大了“手机加密威胁”的数字

《华盛顿邮报》周二报道称,美国联邦调查局(FBI)严重夸大了由加密手机所造成的问题。以去年为例,该机构调查人员声称被大约 7800 部涉嫌犯罪活动的加密设备挡在了门外,而准确的数字应该在 1000~2000 部之间。联邦调查局局长 Christopher Wray 在谈论“Going Dark”问题时引用了这一数据,即执法人员拥有法律的授权、但却没有访问加密通信的技术能力。 科技企业和隐私倡导者认为,加密对于个人信息和通信的保护至关重要。然而政府与执法官员驳斥道,加密损害了他们调查犯罪和恐怖活动的能力。 尽管执法部门一再要求科技公司在设备上提供“后门”,但业界对此举表示了强烈的反对,称之会迫使其故意削弱所有用户的产品安全性。 对于夸大“手机加密威胁”的数字一事,FBI 官员在接受《华盛顿邮报》记者采访时表示 —— 该机构上个月才意识到数据有失偏颇的问题。 FBI 将此事归咎于“编程失误”,但仍未披露其在调查过程中遇到的加密设备的确切数量。与此同时,该机构坚称加密对执法工作造成了威胁: 渐入黑暗(Going Dark)仍是 FBI 和全球其它政府执法机构面临的一个严重问题。联邦调查局将继续寻求一种解决方案,以确保执法人员能够以适当的法律权威,来获取犯罪活动的证据。 2016 年的时候,苹果拒绝了为 FBI 解锁圣贝纳迪诺枪击案犯 iPhone 的请求,此事引发了民众的激烈讨论。   稿源:cnBeta,封面源自网络;

南非再曝数据库泄露事件:致百万人信息大白

2017 年的时候,南非遭遇了一起大规模的数据泄露事故。然而转眼间,这个国家又发生了一起数据泄露,导致 93.4 万人的个人记录在网络上被曝光。本次曝出的数据,涵盖了国民身份证号码、电子邮件地址、全名、以及明文密码。从分析来看,这些密码似乎与交通罚款相关的在线系统有关。 在澳大利亚安全顾问 Troy Hunt、“Have I Been Pwned”、以及 iAfrikan 和 Hunt 匿名消息人士的通力合作下,外媒厘清了数据泄露与南非一家负责在线支付罚款的公司有关(备份或公布)。 在刚接触的时候,消息人士称: 我拿到了一批新的泄露数据,中包含了 100 万南非公民的个人信息记录,如身份号码、手机号码、电子邮件地址、以及密码,我意识到它们是哪些网站流出的了。 其后续补充道: 这个包含百万人记录的数据库,是在一个公共网络服务商上被发现的。该属于一家处理南非电子交通罚款的公司。 与 2017 年泄露 6000 万南非公民个人记录的事件一样,iAfrican 在浏览了数据库后发现,这套“备份”的保存目录,竟然启用了公共浏览权限,这显然是疏忽大意而导致的。 Hunt 向 iAfrican 表示: 这起事件再次给我们敲响了警钟,如果缺乏应有的知识技能,我们的数据可以被散播到什么样的程度。 然而本次事件的风险更加严重,特别是明文保存的密码。它将带来不可避免的麻烦,比如解锁受害者的其它账户。 由于数据的可重用性,这一事件可能已经导致了多起其它在线账户的入侵。   稿源:cnBeta,封面源自网络;

Turla APT 组织利用 Metasploit 框架发动攻击

Turla是俄罗斯的APT小组(也称为Waterbug),小组自2007年以来活跃攻击政府组织和私营企业。 Turla的受害者包括瑞士国防公司,美国国务院和美国中央司令部。在最近的攻击中,该组织使用真的Adobe Flash安装程序与其macOS后门打包,并在受害者系统上下载恶意软件。ESET的专家观察到,攻击活动发生了变化:黑客利用流行的开源开发框架Metasploit开展攻击,而以往的案例中,Turla会使用自己的工具,比如Skipper。   稿源:Freebuf,封面源自网络;

黑客找到新方法在 WordPress 站点中加载后门插件

为了攻击WordPress网站,挂上后门插件,黑客想出了一种新的方法,这种新方法需要用到那些弱口令WordPress.com账号和Jetpack插件。整个攻击过程非常复杂,为了攻击网站,黑客需要经历不同步骤,这也意味着用户的防御方法非常之多。 尽管如此,根据WordPress网站安全公司Wordfence的报告以及WordPress.org官方论坛上的一些帖子,有很多用户还是被挂上了后门插件,攻击大都发生在5月16日以后。攻击的第一步包括黑客从公开漏洞中获取用户名和密码,并尝试登录WordPress.com帐户。如果使用了社工库里已经暴露的密码,就可能受到攻击。第二个攻击要素则是Jetpack,这是一款非常普遍的wordpress插件,黑客利用这款插件进一步在网站上安装后门。   稿源:Freebuf,封面源自网络;