据美国财经频道 CNBC 报道，俄罗斯总统弗拉基米尔·普京（ Vladimir Putin ）9 月 8 日表示，俄罗斯科技公司应使用俄自主开发软件，如若不然，他们将失去政府订单。普京称，在某些领域，政府机构不得与使用境外软件的公司合作，因为这极有可能会给国家网络安全带来威胁。 据国际文传电讯社报道，普京在会见俄罗斯科技公司代表时说：“在安全方面，有些事情对国家至关重要，对维持某些行业和地区的运营至关重要 ”。普京表示，如果你们从境外大量购入硬件和软件，那么在某些领域，政府势必会对你们说：‘大家知道，我们不能购买这种东西，因为有人在某个地方安了一下按钮，可以导致一切都会停止运转。所以，大家要牢记这一点。 近年来克里姆林宫一直减少从国外进口商品，作为这种努力的一部分，俄罗斯政府机构正越来越多地使用自主开发的技术。在西方国家因俄罗斯在 2014 年吞并乌克兰克里米亚地区而对其实施制裁后，俄罗斯更是加快了在这方面的努力。然而，俄罗斯私营公司仍然主要使用进口技术。俄罗斯官员此前表示，国家需要加强自身网络安全，以避免遭到外国情报机构发动的网络攻击。 多个西方国家表示，俄罗斯其实是侵略者而非受害者，并且称俄罗斯政府利用黑客技术和社交媒体活动，试图干扰去年举行的美国总统大选。但是，俄罗斯政府对这种指控予以坚决否认。 稿源：cnBeta、凤凰科技，封面源自网络；

位于俄罗斯的卡巴斯基实验室近期一直处于媒体报道的风口浪尖。今年七月初，美国政府正切断与其联系并从两个核准供应商名单中将其删除，因为特朗普政府担心其安全软件可能暗藏后门、危及国家安全。 尽管该公司表示允许安全分析人员对其软件解决方案进行审计，但并未减轻美国政府担忧。联邦调查局随后发表声明，建议公司，特别是能源部门，将这些产品从其关键设施中删除。此外，他们还进一步建议任何利用工业控制（ICS）以及监督控制和数据采集（SCADA）系统的组织使用其他安全解决方案。 基于以上情况和消费者围绕这一争议的担心，百思买已经开始在美国旗下商店内停止销售所有卡巴斯基产品。 据媒体报道，百思买在调查此事后，遗留了太多 “ 未回答的问题 ” 。该报道后来被百思买公司的发言人证实，但没有进一步细节。卡巴斯基指出，联邦调查局的建议让俄罗斯政府和美国情报机构之间的合作处于危险之中。卡巴斯基 CEO 继续否认与俄罗斯政府的任何关系。 稿源：cnBeta，封面源自网络；

自从人工智能成为新的风口之后，如今就变成了 “ 张口即来 ” 的时代。苹果的 Siri、Google Assistant、亚马逊的 Alexa、微软的 Cortana，甚至三星、小米和华为，都迫不及待地要上台好好比一比。 不过虽然动动嘴就能下指令让 “ 助手们 ” 帮你完成一切是挺好的，但这事却没那么简单。近期，来自浙江大学的研究团队就发现，如今市场上的热门智能语音助手都或多或少存在着一些安全漏洞，只要运用一个小小的技巧，就可以轻易地 “ 黑 ” 进去控制它们。 他们把这个小技巧命名为 “ 海豚攻击 ”（The DolphinAttack），只要将特殊的语音指令转换为类似于海豚的超声波，便可以在人类无法感知的情况下对智能语音助手下指令，实现 “ 隐形 ” 的操纵。 在测试中，研究人员不用像平时一样使用 “ Hey Siri ” 或者 “ Okay Google ” 唤醒智能语音助手，他们只要在一台智能手机上安装一个微型的话筒和扩音器，便可以采用 “ 海豚攻击 ” 对指令进行重新编码，然后就能偷偷地让你的 iPhone 拨号，让你的 MacBook 打开一个恶意网站，或者让你的亚马逊 Echo “ 敞开后门 ”。就连搭载了智能语音助手的奥迪 Q3，也能被控制着重新给自己的导航系统定位。 研究团队从理论上来说，只要了解了这个原理，稍微懂一些相关知识的人都可以完成这个 “ 攻击 ”。 在大部分情况下，这种 “ 攻击 ” 仅能在距离很近的范围内实现，因此一般对远处放置的智能语音音箱来说，要通过这种方式进行控制稍微有点难度。不过对于如今能够随身携带的各类智能手表、手机等设备来说，攻击者要想“黑”进去就比较容易了。 比如说攻击者可以在人群中使用手机播放一段人耳听不到的超声波指令，那么周边的设备就很容易被这种指令所 “ 劫持 ”，去完成攻击者所下达的命令。 根据这支来自浙大的团队近期发表的论文，如今市面上包括 Siri、Alexa、Google Assistant 等在内的主流智能语音助手，都可以捕捉到超过 20kHz 的声波。但对于人耳来说，20 kHz 却是一个临界值。 为什么这些公司宁可留着这么一个漏洞也不考虑提高一下产品的安全等级呢？这就不得不提到到产品的易用性了。 首先，为了能更好地 “ 理解 ” 用户下达的指令，这些语音助手们实际上需要尽可能多地捕捉各种语音信息——包括人耳可以接收到的声音以及人类听不到的各种音频。如果为了提高安全性而减少它们能接收的声音范围的话，这些语音助手可能就没法那么“ 智能 ” 了。 其次，很多公司为了给智能语音助手创造更多的使用场景，已经在各种设备互联中使用了超声波连接。比如说亚马逊可以自动下单的 Dash Button 和手机的连接，大概使用的音频在 18 kHz 左右。对于普通用户来说，他们基本感知不到这种被 “ 隐形化 ” 的连接声音，因此才能获得一种类似魔法般的使用体验。 正因为如此，这种 “ 用户友好型 ” 的设计和数据信息安全越来越成为一种悖论般的存在。来自非营利性机构 SimplySecure 的设计总监 Ame Elliott 表示：我认为硅谷方面在关于产品会不会被滥用还存在很多盲点，很多时候产品规划和设计并不如想象中那么完善。语音控制系统显然很难去保障安全，这方面应该提高警惕。 目前，还是有一些措施可以防范类似于 “ 海豚攻击 ” 的行为。比如说关闭 Siri 和 Google Assistant 的常开装置，这样黑客就没办法通过这种方式侵入你的手机了；而对于亚马逊和 Google Home 这样的智能音箱来说，它们本身就有可以静音的设置。 不过如今这些保护措施还是处于“用户自我防范”的状态，各大厂商们会对此采取什么防范措施，仍然是个未知数。 稿源：凤凰科技，封面源自网络；

Windows 内核的一个编程 Bug 会阻止安全软件识别恶意程序。据悉，该 Bug 影响 PsSetLoadImageNotifyRoutine，它是部分安全软件在代码加载到内核或用户空间时对其进行识别的底层机制之一。攻击者能够利用该 Bug 让 PsSetLoadImageNotifyRoutine 返回无效模块名，并将恶意程序伪装成合法操作。 安全研究员称，该 bug 影响 Windows 2000 之后的所有版本，包括最近发布的 Windows 10。研究人员称，微软不认为这是一个安全问题。 稿源：cnBeta、solidot奇客，封面源自网络；

网络安全组织 CCC 于近期对即将到来的德国大选所要使用的选举制表系统进行了彻底分析，发现其投票软件存在高危漏洞，允许黑客任意篡改投票总数。 CCC 表示，其中一些情况允许在选区和州边界之间改变投票总数。这套投票系统的漏洞数量和严重程度超出了 CCC 的预计。CCC 声称，黑客组织可能已经意识到这个漏洞。与此同时，研究人员在测试投票系统及数据托管的服务器中证实，该系统极易夺取控制权。 CCC 发现，这套投票系统存在一连串严重的缺陷，从更新服务器到软件本身，再到选举结果的出口，均允许黑客展开新一轮网络攻击活动。另外，CCC 发现自动化软件更新没有签名，并且通过 HTTP 进行不安全下载。他们还观察到用于注册投票的加密是完全可逆的，因为对称密钥在软件中被硬编码。事实上，这些漏洞令人眼花缭乱，如果不妥善处理，CCC 担心黑客有潜力永久影响公众对民主进程的信任。 稿源：cnBeta，封面源自网络；

据外媒 9 月 8 日报道，美国征信企业 Equifax 披露称，公司网站遭黑客攻击，1.43 亿美国公民记录在线泄露。 美国共有 3 家大型老牌征信企业，Equifax 正是其中之一，它掌管 8 亿公民的信用、保险记录，如果黑客想窃取数据，Equifax 往往会成为攻击目标。Equifax 表示，泄露从 5 月中旬开始，直至 7 月 29 日公司才察觉。 目前，犯罪分子已获取公民个人信息，其中包括姓名、住址、出生日期、社会保障号，有时还会包含驾照信息。据悉，黑客可以通过访问公民信息，为受害用户创建帐户或接管帐户。此外，在美国泄露的信息还包括 20.9 万人的信用卡卡号、18.2 万人的特定争议文件。 为了应对危机，Equifax 开通一个向所有美国公民提供 1 年免费保护的服务网站，可以对公民信贷进行监控，以防止身份被窃，只是暂时还不知道是否实用。由于受害者众多，泄露的信息也很多，这可能是近年来最大的泄露事故。之前雅虎虽然泄露了 10 亿帐户的信息，不过里面没有包含社会保障号和驾照号码。 稿源：cnBeta、，稿件以及封面源自网络；

据外媒报道，Facebook 于本周三证实曾向俄罗斯机构 “ 巨魔农场 ” 售出 10 万美元政治广告。本周四，美国联邦选举委员会（FEC）委员 Ellen L. Weintraub 发起关于在互联网上修改政治广告免责规则的投票。Weintraub 表示这么做的目的是决定 “ 美国公民应该知道他们在互联网上看到的政治信息由谁购买？” Weintraub 写道：“我们必须更新联邦选举委员会的规定，以确保美国公民知道他们在互联网上看到的政治信息由谁购买。鉴于过去几天有关国外机构在 2016 年总统大选期间秘密购买数千个互联网政治广告的启示，我们不能再有理由怀疑我们需要修改互联网免责条例 ”。目前，这封信已发送给主席 Steven T. Walthier。Weintraub 表示，他们将进行为期 30 天的公众意见征询，随后再召开听证会。 稿源：cnBeta，封面源自网络；

据相关媒体报道，三星近期推出一项新漏洞赏金计划，旨在发现并上报影响三星移动设备、服务、应用程序，或专为三星开发有三星签名的第三方软件漏洞。知情人士透露，三星将向发现上述关键漏洞的研究人员支付高达 20 万美元奖金。 目前，所有设备需要完全更新，受影响的设备必须是当前的活动服务，其设备列表包括最新的型号（如 S8、S7 和 Note 8），也包括 2016 年发布的旧型号（如 J3 和 A5）。此外，三星 Galaxy S6 也包含其中。三星表示，他们非常重视安全隐私问题，提升三星产品的安全性并最大限度地降低终端消费者的风险，三星正为符合条件的安全漏洞报告提供奖励计划。 不过，三星表示，它不会为导致应用程序崩溃而无漏洞的缺陷支付奖励。当然，发现漏洞者不应该将漏洞发布给公众，而是私下报告给三星，待三星检查证实后再决定是否应付款。 稿源：cnBeta，封面源自网络；

据外媒报道，依靠万事达卡互联网网关服务（ MIGS ）处理在线支付的供应商，应在每次交易发货之前对每个交易进行双重检查，因为安全研究人员 Yohanes Nugroho 近期在 MIGS 协议中发现了一处明显漏洞，允许黑客通过无效付款手段欺骗支付系统并误导商家认为交易成功。 Yohanes Nugroho 认为安全系统的验证协议存在严重缺陷，而万事达卡（Mastercard）似乎完全忽视了这一问题。Yohanes Nugroho 解释说：“这可以说是一个 MIGS 客户端错误，但是 Mastercard 选择的哈希方法允许这样做。如果 Mastercard 选择加密相关数据，这个问题是不可能发生的 ”。 根据 Nugroho 的调查结果，狡猾的攻击者可以利用这个缺点，在第三方中间支付服务中注入无效值，以便绕过 Mastercard 的系统，直接将请求转交给供应商。 正如 Yohanes Nugroho 观察到的那样，交易是否成功的数据不仅没有被 MIGS 服务器进行验证，而且甚至没有到达商家服务器端，这些请求仅在客户端进行检查。由于这些数据永远不会到达 Mastercard 的服务器，所以仍然容易受到欺骗。这意味着，如果成功，黑客将能够通过无效付款交易作为绝对合法证明。虽然商家仍然需要确认交易，但大多数商家在批准请求之前很少检查其银行帐户，这正是为什么这个漏洞是如此令人担忧的原因。 稿源：cnBeta，封面源自网络；

据外媒 CNET 报道，Facebook 正深入挖掘俄罗斯干预美国总统大选的可能性。9 月 6 日，这家公司表示，他们曾在美国大选期间跟俄罗斯存有关联的虚假账号出售价值 10 万美元的广告。该批广告付费支出时间跨度为 2015 年 6 月至 2017 年 5 月，而该期间发布的广告数量逾 3000 个。 Facebook 首席安全管理 Alex Stamos 指出，经过他们的分析发现，这些账号和 Pages 之间彼此关联，很有可能是俄罗斯那边在运营。针对这一发现，Facebook 表示将会继续展开调查，现在他们将最新的调查结果上报美国当局。 据了解，大多数广告和账号都没有明确地发布跟当时的总统竞选人–唐纳德·特朗普、希拉里·克林顿相关的内容，相反，它们将关注点放在了大热的政治话题，诸如 LGBT 问题、移民问题、枪支问题等。最新公布的信息表明了扎克伯格在美总统大选之后的首次态度转变，此前他曾明确表示，Facebook 影响大选是一个“疯狂的想法”。 稿源：cnBeta，封面源自网络；