就在两个星期前的 3 月 6 日，Apache 发布公告称旗下 J2EE 框架 Strtus2 存在远程代码执行漏洞，并将此漏洞编号为 S2-045，漏洞级别为高危。 在官方发布公告后，有黑客随即公布了该漏洞利用方法，仅漏洞公布后 24 小时内，知道创宇旗下云防护产品创宇盾即截获针对平台防护网站的 6 万余次攻击，且随着漏洞利用方法的大范围扩散，攻击次数急剧上升，并在利用方法公布 13 个小时内，疑似高级黑客已完成全球网站扫荡，期间知道创宇监控到大量网站因该漏洞被黑。 事情延续到 3 月 20 日，刚好是 S2-045 漏洞公开 2 个星期，Apache 在次发布公告，Struts2 再次发现漏洞，官方将最新补丁命名为 S2-046，从公布的补丁说明来看，该补丁和 S2-045 的 CVE 编号一致约为 CVE-2017-5638。 S2-046 公布后，经过知道创宇安全团队确认，创宇盾平台可不用升级即可防御针对 S2-046 漏洞的攻击，使用创宇盾的用户网站可直接防御，客户如有需可，可根据官方最新补丁公告升级 Struts2 版本至 2.5.10.1。 稿源：西盟科技资讯，封面源自网络

美国国防部已经和微软签署一项合作计划，未来将有不少于 400 万台设备升级至  Windows 10系统，从而表明这家软件巨头在竞争中再次获得重要胜利。五角大楼的联合区域安全堆栈 (Joint Regional Security Stacks) 希望通过部署 Windows 10 和 Azure 云服务，目标是让不低于 90% 的系统建立在微软的最新桌面操作系统上。 前美国国防部首席信息官 Terry Halvorsen 近日解释道，通过部署微软系统和服务能够减少物理服务器占用空间，因此加大对云服务的投入是非常合理的一步。与此同时，他透露，国防部通过切换至商业解决方案主要为了弥补专为政府开发的软件支持寿命短和成本过高的问题。 Halvorsen 表示：“这是我们首次将重心迁移到云服务商，对于我们的内部文化来说这是非常大的转型改变。让我们能够开始紧跟行业的发展速度。” 稿源：cnBeta；封面源自网络

据外媒报道，ISP 希望美国联邦政府将网页浏览以及软件使用历史数据列为非敏感数据。CTIA 在提交给 FCC 的文件中提出了这点。获悉，CTIA 为 AT&T、Verizon Wireless、T-Mobile USA 和 Sprint 等移动宽带服务供应商的主要游说集团。 在奥巴马执政时代，FCC 作出了要求 ISP 在向广告商以及其他第三方分享消费者敏感数据之前需获得消费者的选择加入许可的规定。当时，FCC 将网页浏览历史数据和软件使用历史数据都被列为敏感信息，另外还包括了地理位置数据、财务与健康信息、通信内容等。如果这些规定被推翻，那么 ISP 将可以将这些消费者数据卖给广告商。 虽然选择加入规定将要等到今年 12 月 4 日或更晚才会生效，但 ISP 已经开始行动，它们向 FCC 提出废除该规定的请愿。CTIA 表示，在对待这一问题，FTC 则采取了跟 FCC 不同的立场。该机构指出，为了从 FTC 的框架中出来、为证明网页浏览历史记录为敏感数据，FCC 及其支持者专门精挑细选出他们所需的证据，以此来证明 ISP 具备了进入消费者在线信息的能力，然而完整记录显示这种结论不完全正确。即便是大型隐私倡导组织–电子隐私信息中心也表明，对于消费者来说最大的持续性威胁并非是 ISP，而是那些边缘服务供应商。 据了解，这些边缘服务供应商由 FTC 监管，然而该机构却对家庭以及移动互联网服务供应商却没有监管权，因为它们都是常规的通信运营商。即便 FCC 或国会愿意对常规运营商的分类作出调整，但在那个时候，FTC 仍旧没法监管像 AT&T 等这样 ISP 的权力，因为它们的业务包含有移动语音服务。 不过公共知识以及其他一些消费者倡导集团则认为 FCC 的做法是正确的。因为在他们看来，即便这些数据得到了加密，但 ISP 仍旧能够收集带有消费者政治观点、性取向或其他敏感信息的能力，所以所有的电话历史记录、视频观看历史记录、网页浏览记录都是敏感信息，而 ISP 在使用之前则必须要征得消费者同意才行。另外，它们还表示，该规定符合 FTC 的框架。 稿源：cnBeta；封面源自网络

（美检察官欲揪出 CIA 内鬼：究竟谁将文件泄露给维基解密） 据路透社北京时间 3 月 19 日报道，知情人士透露，美国弗吉尼亚州亚历山大市联邦检察官已扩大了对维基解密实施的旷日持久的大陪审团调查，新的调查范围将涵盖中情局内部文件最近被泄露给维基解密一事。 上述知情人士称，本次调查将侧重于一件事，即究竟是谁将中情局用于窃听情报目标的方法和工具的相关描述和技术信息泄露给维基解密。 对于最近发生的维基解密“泄密案”，美国情报机构在公开评论时总是讳莫如深，而了解此次调查的安全和执法部门官员表示，在泄密案发生后，调查重点主要放在罪魁祸首是不是情报机构承包商方面。他们透露，在现阶段，调查人员并不认为俄罗斯和其他国家牵涉其中。 美国官员证实，亚历山大市联邦检察官正在对维基解密及泄密源展开联邦大陪审团调查。有关本次调查的部分法庭文件已经公开。美国司法部和中情局发言人均拒绝对此发表评论。中情局至今尚未公开证实维基解密所曝光文件的真实性。 稿源：cnBeta 节选；封面源自网络

上周，维基解密（WikiLeaks）承诺将会提供美国中情局（CIA）研发针对 Google、苹果和微软等科技公司入侵工具的技术细节和代码信息。在经历了数天的等待之后，这个机密泄漏网站终于和这些科技公司进行了初步的联系。 图片来自于 motherboard 援引 Motherboard 目前掌握的信息，维基解密创始人 Julian Assange 尝试帮助那些大型科技企业找到 CIA 曾经和目前所利用的漏洞，然后进行修复，但是目前这项工作进行并不如想象中的那么简单和顺利。知情人士透露除了初步接触之外，目前并没有信息共享。 本周早些时候，Assange 向苹果、Google、微软以及所有泄密文档中提及的科技企业发送了邮件。但是这些邮件中并未向这些企业报告在泄漏CIA 文档中发现的漏洞，维基解密提出了一些要求。 在发送给科技企业的邮件中，维基解密在提供实际漏洞技术细节方便公司来修复之前要求这些科技公司签署一系列条件，但是目前尚不清楚都有那些条件，不过有消息在信函中维基解密要求启动了 90 天的披露倒计时，要求这些科技公司在三个月内承诺修复这些漏洞。 随后外媒 Motherboard 向微软、苹果等公司进行了求证，微软发言人透露：“维基解密通过 secure@microsoft.com 帐号和我们取得了初步联系。”，但是目前 Google 和苹果公司并未予以置评。 截至发稿为止，维基解密也并未予以置评。 稿源：cnBeta；封面源自网络

（原标题：美特勤局笔记本失窃 内含特朗普大厦平面图和机密信息） 援引ABC News报道，美国特勤局旗下的一台加密笔记本近日在该机构的车辆内失窃，可能让窃贼访问存储在机构服务器上的保密信息。根据曾和这名窃贼交谈过的消息源透露，尽管特勤局在该笔记本上设置了多层安全防护，笔记本中包含特朗普大厦（Trump Tower）的平面图，以及“国家安全机密”依然有可能会泄漏。 这台特勤局的笔记本尽管进行了加密和其他安全防护功能，但是并未授权某些分类信息。如果窃贼能够破坏笔记本上的安全功能，就有可能访问特勤局服务器上的某些敏感信息。ABC News表示，一名执法人员表示笔记本电脑中包含朗普大厦的平面图。 特勤局发布了一份声明，承认存在笔记本失窃的情况，并已经对窃贼进行了调查，如果有必要，特勤局表示将会远程清除笔记本上的数据。 稿源：cnBeta；封面源自网络  

互联网是一个了不起的工具，能帮助用户获取大量信息。但当这些信息涉及用户个人隐私及一些令人尴尬的内容时，它可能会对用户造成巨大的负担。十年前就已在欧洲扎根的“被遗忘权”概念旨在通过移除搜索结果中一些特定内容来保护用户隐私，最大限度得减少互联网上大量信息对个人未来造成的负面影响。现在，美国纽约州也提出了一项“被遗忘权”提案。 据悉，美国纽约州议员希望“被遗忘权”法案被添加到纽约州民权和民事实践法案的修正案中。这项提案一旦通过，Google 等搜索引擎在搜索用户请求 30 天内需要删除某些涉及个人隐私的信息。 这些信息需要是“不准确、不相关、 不充分或夸大的”。 Google 选择不对这项提案进行评论，但在过去曾经反对那些被要求修改搜索结果的想法。 稿源：cnBeta；封面源自网络  

（原标题：深度分析：中国将要求比特币交易所确认客户身份） 中国央行将采取行动对国内比特币行业进行监管，流传出来的新的指导意见显示，中国央行将要求比特币交易所确认客户身份并遵守银行业监管规定。 知情人士称，指导意见草案要求中国比特币交易所遵守现有的银行业及反洗钱法规，并要求比特币交易所收集信息以确认客户身份。知情人士称，该草案还要求交易所安装用于收集可疑交易活动并向有关部门汇报的系统，中国央行将负责处理比特币交易所违规行为。知情人士还称，比特币交易所近日接到了指导意见草案，官方仍可能对草案作出修改。央行未立即回复置评要求。 监管比特币交易所的举动表明中国政府将允许一定程度的交易，这扫除了几个月来围绕比特币交易的不确定性。中国央行今年 1 月开始对中国三家最大的比特币交易所火币网 (Huobi)、OkCoin 和比特币中国 (BTCC) 展开调查，并在上个月发布简要警告称，如果比特币交易平台违反反洗钱和外汇管理相关规定将被关闭。但监管行动也意味着中国比特币交易所经营环境将被收紧。自调查开始以来，火币网、OkCoin和比特币中国都表示正在配合有关部门的工作。OkCoin发言人在周五的电子邮件中称，该公司在继续配合中国央行的工作，并欢迎均衡、基于风险的监管框架。 分析人士称，中国央行今年开始调查比特币交易的一个重要原因是，担心中国投资者利用比特币向境外转移资金，虽然金额较小。中国正努力应对人民币贬值以及外界对中国经济信心消退的困境。此前比特币网络没有引起中国监管部门的注意，比特币持有者可以通过这些网络将比特币从位于中国内地的交易所转移到国外。 2013 年中国投资者开始抢购比特币并推高其价格时，中国央行禁止银行和第三方支付平台从事比特币业务，并将比特币定义为虚拟商品，而不是金融资产。但中国央行没有发布针对比特币交易所的直接监管规定，在那之后的数年里，比特币交易所繁荣发展起来。 据知情人士称，中国监管部门仍将比特币视为一种虚拟商品。这些人士还表示，最新的指导意见适用于所有的虚拟互联网商品交易平台。（华尔街日报中文网） 稿源：比特币资讯、btc123；封面源自 btc123.com

看来一些网络犯罪分子正在针对星际迷航粉丝发动攻击，Avast 恶意软件研究员 Jakub Kroustek 发现一款新的勒索软件变种，以星际迷航当中人物 Kirk 的名字命名，这款勒索软件用 Python 编写的。被伪装为称为低轨道离子炮应用程序，后者是一款网络压力测试应用程序。 一旦执行，Kirk 将生成一个 AES 密码，用于加密受害者的文件，随后通过嵌入式 RSA-4096 加密密钥进行加密。接下来，受害者电脑将显示“ LOIC 正在为您的系统初始化…”这可能需要一些时间。在这一点上，Kirk 勒索软件默默地加密文件。据报告，恶意软件会影响 625 种文件类型，包括广泛使用的文件类型，例如 .mp3，.docx，.zip，.jpeg 和 .wma 等。此过程完成后，就会显示赎金通知。 典型的勒索软件通常会要求以比特币或 MoneyPak 作为付款，以解锁文件。然而，Kirk 勒索软件要求受害者以 Monero 付钱，它是类似于比特币的另一种安全加密货币。在前两天，它将要求受害者支付 50 Monero，相当于大约 1265 美元。它将每隔几天重复一次，如果在第 31 天没有付款，解密密钥将被永久删除。 犯罪分子承诺受害者在以 Monero 付款后，将名为 Spock 软件发送给受害者。到目前为止，没有任何方法来免费解密，也没有任何人受到这个勒索软件影响的报告。 稿源：cnBeta；封面源自网络

据外媒（CNET）报道，美国司法部于周三指控四名黑客涉嫌发动对雅虎的网络攻击并窃取信息。其中两名黑客被指认为俄罗斯联邦安全局下属间谍，另外两位被认为是雇佣罪犯。间谍雇佣黑客发动技术攻击，以求获得有关政治人物的丑闻信息。四人被控以电信诈骗、盗取商业机密和经济间谍罪名。加拿大黑客 Karim Baratov 于本周二被捕。其他三名俄罗斯黑客或将受保护免受引渡。 “（俄罗斯）联邦安全局的参与加剧了事情的严重性。”代理助理检察长麦克考德（Mary McCord ）在星期三的新闻发布会上说。“外国支持发动的犯罪行为不能逍遥法外。” 这些起诉可视为美国方面对雅虎信息泄露事件作出的阶段性回应。雅虎公司在去年 9 月份公布了一起发生在 2014 年的黑客攻击。三个月后雅虎再次公布另一起发生在 2013 年的攻击造成 10 亿账户资料泄露。联邦调查局在历时两年的调查中发现，俄罗斯间谍 Dmitry Dokuchaev 和 Igor Sushchinof 涉嫌攻击雅虎服务器，窃取美国政府官员、俄罗斯异见人士和记者的信息。两位间谍将窃取的信息交予 Baratov 和 Aleksey Belan。 雅虎受到的攻击是美国有史以来处理过的最大规模黑客事件。四名黑客使用多种技术来收集被入侵账户的资料，手段包括“鱼叉式钓鱼攻击”，注册成千上万假电子邮件欺骗用户，并从雅虎网络上下载恶意软件。 雅虎称 2014 年的黑客攻击是国外政府支持的行动，不过并未指明是哪个国家。虽然用户的财务信息和明文密码是安全的，但用户名、邮件地址、电话号码、出生日期、加密密码以及某些情况下的安全问题与答案都被黑客窃取。 目前，美国证券交易委员会正就雅虎是否有意拖延报告两起黑客事件对雅虎公司进行调查。 稿源：cnBeta，有删减，封面源自网络