美国参议院情报委员会于近期以 12 票赞成、3 票反对，通过了更新的《外国情报监视法》（FISA）。据报道，FISA 的第 702 条允许政府对美国境内的外籍人士实施监控，以获取情报，用于打击国际恐怖主义和网络威胁。该法案的目前版本将于 2017 年底失效，参议员们提议修改并延长该法案有效期至 2025 年。 美国参议院情报委员会主席理查德•伯尔说：“这项议案再次授权给我们国家最有价值的情报搜集机构，确保情报委员会和执法部门的每一个人都有所需的工具和权力，来保障我们的安全。” 据报道，更新的法案加入了参议员马克•沃纳的提案。该提案规定：若联邦调查局（FBI）在调查中需要查看和使用美国人的信息，需要在一个工作日内向外国情报监视法庭提交申请，后者则有两个工作日来裁决。而分析指出，任何基于国外情报和执法要求的申请都是合法的，也就意味着基本上所有的申请都会得到批准。不过，投反对票的参议员认为，该法案没能做到在应对外国威胁的同时，保护美国人民的权利和隐私。 美国中央情报局、国家安全局前雇员爱德华·斯诺登对此前公众未知的监听项目进行披露后，美对法案进行了修正，该法案以第 702 条法规而闻名。 稿源：cnBeta、中新网，封面源自网络；

据《华尔街日报》早些时候报道，一位 NSA 合同工或雇员将情报机构的机密材料带到家中，俄罗斯情报机构利用这位雇员计算机上安装的卡巴斯基软件窃取了 NSA 机密。报道认为俄罗斯情报机构使用了卡巴斯基的一个修改版本，因此卡巴斯基不可能不知情。 本周三，这家俄罗斯安全公司发布了调查报告，再次强调它对此事不知情。报告称，这位 NSA 雇员的计算机后来感染了恶意后门。后门是通过盗版软件下载和安装到计算机上的。为了运行盗版软件，该雇员关闭了杀毒软件，被感染后这位雇员多次运行卡巴斯基扫描计算机。 据悉，计算机运行了一个家庭版的卡巴斯基，启用了 Kaspersky Security Network 服务，启用之后该服务会将新的以前未知的恶意程序上传到卡巴斯基的服务器。杀毒软件在扫描过程中发现了一个 7zip 压缩档中含有恶意程序，因此将其上传到卡巴斯基服务器供研究人员进行进一步分析。 分析人员发现压缩文件包含了恶意程序和源代码，属于他们已经研究过的 NSA 黑客组织 Equation Group。分析人员随后将此事报告给 CEO，CEO 之下下令将该存档从所有系统中删除。卡巴斯基声称他们没有与第三方分享这一发现。 稿源：solidot奇客，封面源自网络；

卡巴斯基实验室的安全研究人员透露，一些受欢迎的交友软件容易受到各种攻击，这将导致泄露个人用户的详细信息，包括姓名、雇主姓名，甚至他们的住所信息。研究人员在对受欢迎的交友软件（ Tinder、Bumble、OkCupid、Badoo、Mamba、Zoosk、Happn、WeChat 和 Paktor ）进行调查后，根据个人资料中提供的数据，确定了用户的真实身份。另外，通过了解用户的雇主，研究领域或他们的学校，可以找到用户的社交媒体帐户，从而知道他们的真实姓名。 卡巴斯基表示，他们在其他社交媒体网站上识别 Happn 和 Paktor 用户的准确率为 100%。Tinder 和 Bumble 的成功率分别下降到 60％ 和 50％，这仍然相当惊人。上述九个应用程序中的六个显示了用户的某种形式的位置数据，例如用户和他们感兴趣的人之间的距离。通过移动并记录两个用户之间的距离数据，“很容易确定猎物的位置”。Happn 的表现似乎是最糟糕的，能显示与其他用户的具体距离数据。该应用程序甚至显示了两个人擦肩而过的次数，使其更容易跟踪某人。 卡巴斯基调查的大部分应用程序都是通过 SSL 加密渠道查询将数据传输到服务器，但并不总是如此。在 Android 版本的 Mamba 中使用的分析模型不会加密有关移动设备的数据，而 iOS 版本以一种一个未加密的方式传输消息等所有数据。同时，通过 HTTP 上传照片，可以让攻击者确定潜在的受害者浏览哪些个人资料。更糟糕的是，研究人员发现，九个应用程序中有五个易受 “中间人攻击”，因为它们没有验证证书的真实性。几乎所有的应用程序通过 Facebook 授权，意味着缺乏证书验证可能导致窃取临时授权密钥。 卡巴斯基表示，这可以让社会媒体账户数据的犯罪访问长达三周左右。Android 用户需要担心更多，因为九个应用程序中有八个“通过超级用户访问权限为网络犯罪分子提供了太多信息”。在 iOS 中获得 root 访问权限的恶意软件很少见。卡巴斯基表示，其事先向开发人员通报了其调查结果，并补充说，有些已经解决了问题，而其他仍在修复问题。 稿源：cnBeta，封面源自网络；

据外媒 10 月 24 日报道，美国 11 名参议员提出一项提案，希望能对 NSA 无授权的监控项目 Section 702 进行一次大改革。这项由 Rand Paul 和 Ron Wyden 领导提出的提案将要求调查人员在获得搜查令后才能查询该项目下的美国公民数据。 也许在这项提案下，NSA 的监控项目将可能需要 4 年时间才能重新获得授权，但它却能为现有框架加入其它隐私和监管保护纲要。据悉，Paul 是共和党中唯一一位签署了这份提案的议员。 目前并不清楚这项提案将对 NSA 的争议性项目带来多少改变。不过改革倡导者看起来并不相信这项提案会解决掉“后门搜查漏洞”这个问题。据称，饱受争议的 Section 702 将在今年年底失效。 稿源：cnBeta，封面源自网络；

据外媒报道，近日有消息称，有黑客攻破了伦敦一家知名整容医院并从中偷走了大量照片和来自名人甚至还有皇室成员的敏感信息。而一个叫做 Dark Overlord 宣称为伦敦桥整形（LBPS）的网络攻击负责。 Dark Overlord 最早是在去年出现在大众面前，当时它从一些学校、医疗中心甚至一家跟 Netflix 合作的制片厂那里盗取了信息并以此勒索他人或机构。 这次，Dark Overlord 告诉外媒 Daily Beast，他们最近对 LBPS 发起的网络攻击是成功的，他们已经掌握了数 TB 的数据库、名字以及其他一切信息，并且当中还有一些皇室家族。另外，Dark Overlord 还称他们获得了大量病人照片和特写照片–一些则展示了男性和女性生殖器的手术，一些展示了病人术后的样子。据了解，这个黑客组织扬言要将这些整形照片公布于众。 对此，LBPS 证实了漏洞的存在，但他们还不确定究竟哪些数据遭到了泄露。另外他们还补充称，安全和病人个人信息保密对于他们来说一直都是最重要的，为此他们投资了市场先进的安全技术。 稿源：cnBeta，封面源自网络；

针对勒令企业交出客户存储在海外服务器上的电子邮件一事，微软于 2016 年 4 月份向美国司法部提起了诉讼。不过在司法部推出一项解决该问题的新政策之后，这家软件巨头现正撤诉。微软解释称，该政策对 “噤声令” 施加了限制，确保其只在绝对必要的时候才被使用。此外对于这些命令，其现在要面临更多的困难，因为它通常没有设置固定的期限，所以持续的时间也并不确定。 微软副总裁兼首席法务官 Brad Smith 写到： 对于隐私和自由表达权利来说，这是一个重要的进步。对于我们的客户来说，这无疑是一场胜利。我们很高兴美国司法部采取了这些措施，保护了宪法赋予所有美国人民的权利。 当微软发起诉讼的时候，该公司声称收到了来自政府方面的 2567 份法律要求，而其中涵盖的“噤声令”、有 68% 似乎是为了防止该公司向客户披露有关请求的详细信息。Smith 补充道： 直到今天，模糊的法律标准允许政府定期秘密地进行保密工作，而无论他们是否基于手头调查的细节。但在今后，这类事情将不再发生。 尽管赢得了这一轮胜利，微软还是请求有关部门作出更多改变。其希望参议院能够推进 2017 年的经济改革法案，因其更新了远在 Web 和云计算出现之前、就已于 1986 年被制定的《电子通信隐私法案》。 稿源：cnBeta，封面源自网络；

据外媒报道，随着 Facebook 等社交媒体网站受到压力的不断加大，Twitter 日前宣布了一项新政策：未来，他们将对其平台上运行的广告采取更加透明的处理方式，用户将能知晓平台广告买家的身份。Twitter 产品与工程收入部门总经理 Bruce Falck 表示，新政策将在未来几周内开始推行。 未来，Twitter 将会推出一个全新的透明中心（Transparency Center），它将提供以下信息： Ο 现在网站投放的所有广告包括“只出于推广目的”的广告 Ο 广告将投放的时间 Ο 广告针对的用户群 Ο 所有政治广告背后的买家身份。 Twitter 的这一新政已经受到了来自参议员 Mark Warner 的积极评价和赞赏，他表示，这是很好的第一步，另外他还呼吁进一步提升在线政治广告的透明度。 稿源：cnBeta，封面源自网络；

据外媒和多家安全企业报道，周二的时候，俄罗斯和东欧地区爆发了名叫“坏兔子”（Bad Rabbit）的新型勒索软件，三家俄媒刊登了头条报道，包括新闻机构“国际文传电讯社”（Interfax）。俄罗斯安全企业 Group-IB 称，一旦计算机被其感染，“坏兔子”就会在一个黑底红字的界面上显示“NotPetya”风格的勒索信息。 该恶意软件会要求受害人登陆“洋葱路由”下隐藏的某个服务网站，向其交付 0.5 个比特币（约合 282 美元）的赎金来解除勒索。此外“坏兔子”还会显示一个倒计时界面，声称不及时支付的话，其勒索金额就会水涨船高。目前暂不清楚“坏兔子”攻击的幕后主使者身份、受害者都有谁、以及该恶意软件是哪里产生和如何传播的。 Interfax 在 Twitter 上表示，由于网络攻击，其服务器已被关闭。此外，乌克兰敖德萨机场也在本周二遭受了破坏性的网络攻击，但不清楚此事是否与“坏兔子”有关。Group IB 发言人表示，这轮大规模网络攻击主要针对以 Interfax 和 Fontanka 为代表的俄罗斯新闻公司。另外还有敖德萨机场、基辅地铁等乌克兰基础设施。 总部位于莫斯科的卡巴斯基实验室则表示，俄罗斯是“坏兔子”的重灾区，其次是乌克兰、土耳其和德国。该公司称该恶意软件的散布“是一场针对企业网络的有意攻击”。 卡巴斯基反恶意软件小组负责人 Vyacheslav Zakorzhevsky 在声明中称： 根据我们的数据，‘坏兔子’袭击的受害者多为在俄罗斯。其通过一些感染的设备，侵入了一些俄罗斯媒体网站。 虽然该恶意软件的攻击手段与 ExPetr [NotPetya] 期间类似，但我们无法证实它们之间的关系。 总部位于捷克的另一家安全企业 ESET 亦证实有一场实时的勒索软件活动。其在一篇博客文章中写到，以基辅地铁为例，新爆发的该勒索软件至少也是 Petya 的一个变种。 NotPetya 本身也是 Petya 的一个变种，ESET 表示该公司已经检测到了“数百起”的感染。另据 Proofpoint 的一位研究人员所述，“坏兔子”是通过一个假装的 Adobe Flash Player 安装器传播的。 卡巴斯基实验室的研究人员也证实了这点，称该恶意软件的启动器是通过被感染的合法网站发布出去的，但是这可能不是“坏兔子”的唯一散播途径。据 ESET 所述，该恶意软件还会尝试感染同一本地网络下的其它计算机，比如借助早就曝光的 Windows 数据共享协议（SMB）和开源的 Mimikatz 漏洞利用工具。 一位迈克菲研究人员指出，“坏兔子”会加密各种各样的文件，包括 .doc 和 .docx 文档、.jpg 图片、以及其它文件类型。最后，有多名研究人员指出，“坏兔子”似乎借用了《权利的游戏》中的许多命名，比如卡丽熙（全名太长不赘述）的三条龙 —— Drogon、Rhaegal、以及 Viserion 。 稿源：cnBeta，原文 [编译自：Motherboard , 来源：SecureList]

据 Deadline 报道，因为涉及到 2014 年好莱坞的名人私照泄露事件，关键黑客目前已被控诉。报道称，这名男子承认自己黑入了 550 部电脑，其中多数的拥有者是好莱坞女星。男子名叫 Emilio Herrera，他目前或将面临最高 5 年的联邦监狱惩罚。 不过，Herrera 并不是这批照片、视频的直接泄露者，目前来看，他仅仅是一名技术达人，帮着破解到了名人的 iCloud/Gmail 等账户密码。据悉，该黑客的具体是通过伪装成互联网运营商发送邮件，诱导名人点击恶意链接，从而被植入木马或者远程连接。 稿源：cnBeta、快科技，封面源自网络；

据外媒 10 月 24 日消息，电商巨头亚马逊宣布，将在德国建立一个新研究中心，专注于开发人工智能（AI）以提高客户体验——尤其是在视觉系统方面。亚马逊表示，在该研究中心进行的研究也将致力于帮助亚马逊云服务（AWS）的用户及其语音驱动的人工智能助手Alexa。目前，该研究中心将设在图宾根，其靠近马克斯•普朗克智能系统学院。知情人士获悉，它将聘用 100 多名机器学习工程师。 亚马逊表示，未来五年该研究中心将创造约 100 个工作岗位。该研究中心是继柏林、德累斯顿和亚琛之后，亚马逊在德国的第四个研究中心。图宾根研发中心是亚马逊的第一个专注于视觉人工智能研究的德国研究中心，尽管这只是亚马逊在这方面已经广泛开展的研发工作的最新延伸。另外，亚马逊还将聘用马普研究院的两位教授为亚马逊学者。Bernhard Schölkopf，机器学习领域专家，他还是计算机辅助摄影的共同发明人；Michael J. Black，机器视觉领域的专家，同时还是人体 3D 成像公司 Body Labs 的联合创始人。 亚马逊的柏林研究中心最初是一个客户服务中心，但自 2013 年以来，它还包括开发亚马逊云业务（包括管理程序、操作系统、管理工具和自我学习技术）；亚马逊的的德累斯顿中心是内核和操作系统团队，内核和操作系统在 EC2 核心上运行；在亚马逊的的亚琛研发中心，工程师们正在研究 Alexa 和架构云 AWS 服务。 除了建立研发中心，亚马逊还表示，将向 “Cyber Valley” 项目捐赠 125 万欧元（约合 150 万美元）。此外，亚马逊还将出资 42 万欧元（约合 50 万美元），对个别研究成果进行奖励。“Cyber Valley” 项目是去年德国推出的一个创新项目，旨在将学术与业界研究成果相结合，以推动人工智能的研究。目前，这个创新项目现有的合作伙伴包括宝马、博世、戴姆勒、IAV、保时捷和德国采埃孚集团以及现在加入的亚马逊。 稿源：cnBeta，封面源自网络；