9 月 15 日，全球最大的网络互助分享平台 WiFi 万能钥匙发布《 2017 年上半年中国公共 WiFi 安全报告》（以下简称《报告》）。《报告》显示，2017 年上半年，国内风险 WiFi 热点占比 0.81%。 《报告》显示，用户实际遇到风险 WiFi 的概率不足百分之一，其中超过 99% 的 WiFi 风险带给用户的损失是在被动情况下链接了广告页面。用户遇到真正有威胁的中高风险 WiFi 热点的概率不到万分之八。另外，如何鉴别规避风险 WiFi，《报告》也给出了很多有效建议。连尚网络首席安全官龚蔚表示：“ 风险 WiFi 数量少，可鉴别，日常连接公共 WiFi 不必谈虎色变。” 国内风险 WiFi 现状：占比低，易防范，危害性较低 WiFi 万能钥匙将存在网页篡改、SSL 篡改、DNS 劫持、ARP 异常这四类风险的WiFi热点定义为风险热点。《报告》显示，2017 年上半年国内仅有 0.81% 的热点存在风险，占比不足百分之一。其中超过 99% 的风险热点是低风险热点，给用户造成的伤害为 “ 被动点击广告 ”。目前风险热点主要通过两种方式达到该目的，一种是通过最常见的广告链接形式，使用户在浏览网页时，并未主动点击却有广告弹出。另一种则是通过暗链的形式，在用户手机后台点击广告，达到恶意推广、广告刷量等目的，同时由于是在手机后台操作，用户对此并无感知。 真正的高风险 WiFi 热点会将用户引向钓鱼网站，或者进行 SSL 篡改，借机窥伺用户的账号密码等数据。但是这两类高风险热点占比微乎其微，加上中等风险的 DNS 劫持和 ARP 异常风险热点，在所有热点的占比仅为 0.0076%。而且，只要对风险 WiFi 的产生机制有一定了解，大部分风险 WiFi 也是比较容易识别及防范的。 WiFi 万能钥匙全方位保护用户连网安全 龚蔚表示：“尽管被动点击广告这种危害对用户没有造成直接损失，但仍旧是对用户正常浏览行为的一种骚扰。中高风险的热点尽管占比极少，但是也不容忽视 ”。为此，WiFi 万能钥匙打造了事前、事中、事后三重防护，全方位保障用户连网安全。WiFi 万能钥匙自主研发的 “ 安全云感知系统 ”，能够利用大数据追踪对WiFi热点进行全方位的安全评估，做到连接前针对风险 WiFi 做出预警，帮助用户提前预知风险。 针对用户连网过程中的安全保护，WiFi 万能钥匙也推出了“安全隧道保护系统”提供底层驱动级保护。在用户上网过程中，这套由多个专利技术组成的网络安全保障体系推出的智能体检功能实时对钓鱼、ARP 攻击、DNS 篡改等网络攻击行为进行监测，并提供数据加密分级传输、高达 90% 的恶意攻击拦截等安全防护。 为保障用户及 WiFi 热点主人的上网安全，自 2015 年 9 月起，WiFi 万能钥匙开始为用户提供 WiFi 安全险，迄今两周年尚无一例索赔。除了不断升级更新对用户的安全保障体系，WiFi 万能钥匙还在全力推进行业安全生态圈构建。2017 年 7 月，WiFi 万能钥匙正式上线安全应急响应中心平台（简称：WiFiSRC）。该平台由国内安全教父、原绿色兵团创始人，现 WiFi 万能钥匙首席安全官龚蔚带领专业团队组建成立。WiFiSRC 旨在集合安全领域专家、白帽子等第三方安全技术力量，共同发现相关产品及业务的安全漏洞和威胁情报。同时，WiFi 万能钥匙安全团队以此建立分析中心，对漏洞在第一时间内进行修复。 稿源：凤凰科技，封面源自网络；

安全研究人员 Ed Foudil 近期向互联网工程任务组（IETF）递交了一项 Security.txt 草案，旨在寻找标准化网站的安全政策，这一文件类似定义 Web 和搜索引擎爬虫政策的 robots.txt 文件。举例来说，如果一名安全研究人员发现了一个网站的漏洞，他可以访问该网站的 security.txt 文件，获取如何联络公司和递交安全漏洞报告。security.txt 文件包含了如下信息： #This is a comment Contact: security@example.com Contact: +1-201-555-0123 Contact: https://example.com/security Encryption: https://example.com/pgp-key.txt Acknowledgement: https://example.com/acknowledgements.html Disclosure: Full 不过，就像一些爬虫会无视 robots.txt 去抓取网站内容，security.txt 看起来也容易被滥用，比如被垃圾信息发送者利用。 稿源：solidot奇客，封面源自网络；

据外媒报道，31 家组织近期联署发表公开信函《 Public Money  Public Code 》，呼吁议员立法要求使用公共资金为公共部门开发的软件必须在自由软件许可证下公开源代码。 署名的组织包括混沌计算机俱乐部、自由软件基金会欧洲分部、KDE、开放知识库基金会德国分部、openSUSE、开源商业联盟、开源促进会、The Document 基金会、维基媒体德国等。据悉，公开信欢迎个人和其它组织加入联署。 附：信函全文报告《 Public Money  Public Code 》 稿源：cnBeta、solidot奇客，封面源自网络；

据外媒报道，安全研究人员近期发现一名俄罗斯黑客正通过恶意软件 RouteX 感染联网 Netgear 路由器后，针对财富 500 强企业展开网络攻击活动。 调查显示，该恶意软件劫持易受攻击的路由器后，会将其转变为 SOCKS 代理，然后展开 “ Credential Stuffing（证书填充）” 攻击。由于证书填充攻击会不断验证被盗密码有效性，因此攻击方式在自动化程度与暴力破解攻击上极其类似。不过，攻击者则是利用 RouteX 恶意软件通过 SSH 配置中的一处漏洞展开。据悉，该漏洞现存在于一些较老版本的 Netgear 路由器中。一旦遭受恶意软件感染，该路由器将会变成攻击者代理并限制其他攻击者访问。 此外，研究人员通过分析 RouteX 恶意软件的源代码发现了 10 个 C&C（命令和控制）的域名，其能够与攻击者过去使用的电子邮件匹配，从而找到黑客的线索。但当务之急，安全专家建议使用 Netgear 路由器的用户尽快升级设备，运行最新的固件版本，以防止攻击者的进一步动作。 稿源：、中关村在线，稿件以及封面源自网络；

两周前，Facebook 表示正在深入挖掘俄罗斯可能干预美国总统大选的可能性。该家公司表示，他们曾在美国大选期间向与俄罗斯存有关联的账号销售过价值 10 万美元的广告。虽然这些账号并未将发布的信息跟当时的总统竞选人唐纳德·特朗普、希拉里·克林顿联系在一起，但它们却发布了 LGBT 问题、移民问题、枪支问题等热门政治话题。 现在，Facebook 已将与该事件相关的证据移交给了俄罗斯干预美总统大选调查特别检察官穆勒（Robert Muellerr）。当然，穆勒及其团队是在持有搜查令的基础上从 Facebook 那里获取证据。据消息源透露，Facebook 交出的信息包括了与俄罗斯关联网络水军投放的广告及相关信息、关联账号详细资料以及广告定位的美国 Facebook 用户。 这些信息将很有可能帮助穆勒的办公室查明投放这些广告背后的幕后黑手以及广告是如何对 2016 年大选产生影响的。据了解，Facebook 上周之所以没有在与参议院和众议院情报委员会会面时将投放广告分享给后者，是因为这么做将会违反公司的隐私政策。按照联邦《储存通信法案》，Facebook 只能在有搜查令的情况下才能将账号内容交给对方。 稿源：cnBeta，封面源自网络；

美国南加州大学、印第安纳大学和清华大学的五名研究人员近期共同发表一项研究报告，表明苹果使用的 “ 差分隐私 ” 技术在收集数据时，并不足以保护个人信息。 “ 差分隐私 ” 技术是一种将随机噪声嵌入到数据中的方法。结果显示，苹果的 “ 隐私损失参数 ” 仍允许过多的特定数据泄露。 据称，macOS 和 iOS 10 两个平台都存在问题，但人们认为后者问题更大。另一个令人担忧的问题是，苹果保留了它的丢失参数——也被称为 “epsilon – secret”，这意味着该公司可以在没有任何外界审查的情况下改变它。南加州大学教授 Aleksandra Korolova 说：“苹果的隐私损失参数超出了差异隐私研究社区通常认为可以接受的水平。” 调查显示，macOS 的 epsilon 值为 6 分，而 iOS 10 则是 14。相比之下，谷歌声称 Chrome 的差别隐私保护系统在大多数情况下是 0.5，终身最高的上限是 8 到 9。此外，谷歌还开源了相关代码，这使得谷歌可以进行双重检查。不过，作为对这项研究的回应，苹果公司表示，它不同意很多观点，比如在多大程度上可以将数据与特定的人联系起来。 目前，该公司坚持认为，它根据数据的类型来改变噪声，而且研究人员简单地将所有类型的 epsilons 结合在一起，并假设它可以被拼接在一起。此外，它还指出了一些政策，比如数据存储的时间限制、对 IP 地址的拒绝，以及进行收集选择的决定——指的是安装和设置屏幕，人们可以选择是否共享使用和诊断信息。近期，研究人员发现 ios11 测试版的 epsilon 为 43，但这很可能是由于在 9 月 19 日软件发布前进行的常规测试，旨在清除漏洞。 稿源：cnBeta、威锋网，封面源自网络；

据外媒报道，美国加州立法者试图通过一项法案，旨在恢复被国会和 FCC 否决的网络隐私规定。然而，这个于今年 6 月提出的法案甚至连投票的日子都没等到就已被宣判出局。9 月 15 日为美国 2017 年立法会议的最后一天，然而在这一天到来之前，该提案就已经被搁置 “不活跃文件 ” 中， 这意味着它连接受投票的资格都没有。 这一结果并未让人觉得太过意外，因为加州虽然看起来极有可能通过立法制定更加严格的网络隐私规则，但反对者却有多个机会扼杀掉它，比如它必须要在 3 个不同委员会得到通过才行。此外，该法案不仅要求加州网络服务供应商在将客户的信息展示给销售或第三方之前需得到用户的许可才行；它还要求网络供应商采取 “ 合理的安全程序 ” 保护客户信息。这跟 FCC 在 2016 年通过的一项法案非常相似，不过看起来它也因为同样的原因失败。当时，互联网供应商以及一些互联网公司派出说客展开了高强度的游说活动。 显然，包括 Comcast、Verizon、AT&T 在内的互联网供应商反对这项立法，因为它们想要通过其用户的浏览历史数据从广告商那里赚钱。另外，谷歌、Facebook 也对此提出了反对意见，在它们看来，这种含糊不清的定义将给消费者和企业造成严重的影响。实际上，它们反对的部分原因则是害怕它们的业务最终也要接受被检查的命运。虽然加州的这项提案现在失败了，但它仍旧有可能在明年卷土重来。 稿源：cnBeta，封面源自网络；

著名 BT 盗版网站海盗湾是电影制片人、音乐制作人和软件创作者的噩梦，但现在海盗湾发生了有趣的变化，让喜欢下载盗版的用户感到非常失望。因为海盗湾在其网站上添加了一个由 Coinhive 提供的 Javascript 比特币挖掘脚本，即采用加密方式注入到访问海盗湾的用户电脑当中进行挖掘比特币计算，部分用户已注意到他们电脑上的资源使用增加。 这个问题是一个非常新的问题，这些用户 9 月 15 日晚些时候开始注意到电脑 CPU 峰值异常变化。在 Reddit 论坛上，有用户就表示，访问海盗湾之后处理器所有 8 个线程 100% 满负荷运行。部分专家表示，在海盗湾自己改邪归正之前，用户只能通过禁用 javascript 免受侵害。阻止/禁用 JavaScript 将以多种方式损害用户访问其它网站各项功能，包括评论将不起作用，无法发表评论，无法查看文件列表等。因此不要访问海盗湾网站是最好的做法。 稿源：cnBeta，封面源自网络；

据外媒报道，在美国信贷机构 Equifax 发生大规模数据泄露致使 1.43 亿美国民众信息遭盗取后， 该公司两名负责信息和安全的高管宣布将离开。Equifax 本周五在新闻稿中宣布，Equifax 首席信息官 Susan Mauldin 和首席信息官 David Webb 将离职。 Equifax 在一份声明中表示：“Equifax 对这一事件的内部调查仍在进行当中，公司将继续与联邦调查局密切合作 ”。Equifax 在 9 月 7 日对外宣布数据遭泄露的消息，引起消费者利益维护者和立法者的愤慨，他们要求该公司对这一事件作出解释。此外，美国参议员 Elizabeth Warren 在同一天提出一项法案，防止信用评级机构向消费者收取信用冻结费。 Equifax 此前表示，该公司相信黑客通过 Apache Struts 软件漏洞入侵其系统。这个漏洞的补丁是在 3 月份提供的，而 Equifax 则表示其在五月份遭遇黑客攻击，引起批评者质疑 Equifax 是否及时修复软件漏洞。Equifax 目前还未澄清当数据被盗时是否修复这一漏洞。 稿源：cnBeta，封面源自网络；

安全专家表示，美国国土安全部禁止联邦机构和部门采用俄罗斯网络安全企业卡巴斯基实验室产品的决定并没有出乎大家的意料。有官员称，该企业对美国国家安全存在威胁，相关政府机构和部门有 90 天清理卡巴斯基实验室的产品。美国国土安全部宣称：“ 我部担心某些卡巴斯基高层与俄罗斯情报及其它政府机构有联系，根据该国的法律，俄情报机构可以请求或勒令其提供帮助，比如拦截网络通信 ”。 尤金·卡巴斯基对美政府 ‘ 未审先判 ’ 的决定表示遗憾。 美国土安全官员在 13 日的一份声明中提到了 ‘ 绑定操作指令 ’： 无论自己动手、或与卡巴斯基合作，俄罗斯政府都是一个风险。他们可以利用卡巴斯基产品危害联邦信息、或者直接访问那些牵涉美国国家安全的信息系统。 尽管卡巴斯基驳斥了这一指控，但安全专家却在接受福克斯新闻采访时表示，他们对国土安全部的举动并不感到意外。安全咨询公司 TrustedSec 的 Alex Hamerstone 在邮件中称： 美国政府有责任保护好自己的信息，我们可以假设该决定基于慎重的考虑和线索，只是无法将其公之于众。虽然我未能洞察俄政府与卡巴斯基之间的往来，但过去几年，我们总能不时听到 ‘ 某家美国企业与政府情报机构合作 ’ 的消息，那为何这在其它国家就无法发生呢？ Tinfoil Security 联合创始人 Michael Borohovski 亦表示： 美国政府已经盯着卡巴斯基好几年了，这一公告对任何人来说都不奇怪。实际上，总务管理局早在 7 月份就将卡巴斯基从预审核供应商列表移除。美方对其它公司也表达过类似的担忧，比如中国电信厂商华为，其当前处于被禁止进入美国网络设备市场的状态（即便如此，华为仍可在美国消费级市场销售手机）。 对于 DHS 的这一决定，Shaheen 在 Twitter 上表示值得称赞。 美国国防部全国防护及计划署向福克斯新闻表示，目前还有数据表明卡巴斯基软件访问了多少美国政府的哪些内容。作为指令的一部分，DHS 下令各机构必须在未来 30 天内确定其信息系统上使用的任何卡巴斯基产品，并且制定在未来 60 天内将相关软件移除的详细计划。简而言之，除非 DHS 有了新的信息，否则从指令开始之日算起，有关机构和部门只有最后 90 天时间来停止使用卡巴斯基实验室的产品。 该指令暗示，美国政府掌握了这家知名反病毒企业与俄罗斯情报机构有着密切联系的线索。此外，参议员 Jeanne Shaheen（D-N.H）也一直在极力阻止联邦政府使用该公司产品。在本月早些时候的一篇《纽约时报》专栏文章中，Shaheen 警告该公司对美国国家安全构成了威胁。 TrustedSec 的 Hamerstone 表示，DHS 此举将对业界产生大范围的影响： 对美国政府来说，这是一个艰难做出的决定，但它也会对使用卡巴斯基产品服务的企业产生重大影响。现在有许多企业感觉他们必须遍历系统、卸载卡巴斯基的反病毒软件、并对相关风险进行评估。 稿源：cnBeta，封面源自网络；