工信部网络安全管理局副局长梁斌24日表示，工信部正在加快构建工业互联网安全保障体系，目前已初步形成以健全制度机制、建设技术手段、促进产业发展、强化人才培育四大领域为基本内容的体系架构。 梁斌是在当日于北京召开的中国工业信息安全大会上做出上述表述的。 “当前，工业特别是制造业向数字化、网络化、智能化迈进的步伐不断加快，随着制造业体系从封闭系统走向互联开放，安全挑战越来越大。”工信部总工程师陈因在会上表示。 梁斌介绍，下一步，工信部将从以下五方面推进我国工业互联网安全保障工作： 加强工作指导。加快出台工业互联网安全指导性文件，明确不同主体的安全责任和义务，同步建立健全安全管理制度。发挥标准规范引导作用，编制工业互联网安全系列标准建设指南。 建设安全技术保障体系。建设国家、地方、企业三级协同的安全技术保障体系，包括国家工业互联网安全技术保障平台、安全基础资源库、提升工业互联网安全综合管理和保障能力。 建立安全检查机制。近日已全面启动针对工业互联网平台企业、工业企业、工业APP和联网设备的安全检查评估，督促企业加强自身安全防护。 强化工业互联网数据安全保护。建立工业互联网全产业链数据安全管理体系，明确相关主体的保护责任和具体要求，建立工业数据分级分类管理制度，加强数据安全监督检查。 推进工业互联网安全产业发展。组织开展工业互联网安全试点示范。依托国家网络安全产业园等形式，发挥市场主体作用，培育几个有代表性的工业互联网安全龙头企业。   稿源：新华网，封面源自网络；

北京时间5月25日早间消息，从科技巨头Facebook，到图书馆，再到学校，各个组织机构现在都受到了世界上影响最深远的数据隐私保护条例的约束——旨在保护人们能够牢牢掌握自己的个人信息。 这一条例耗费了数千名律师的心血，花了数年的时间去规划，并伴随着数十亿封的电子邮件往来。 负责监管欧盟《通用数据保护条例》（即GDPR）执行的奥地利人Andrea Jelinek警告说，现在再搞糟的话，你别指望能得到多少原谅。该法规将于5月25日生效。 “如果有必要警告，我们就会警告；如果有必要谴责，我们就会谴责；如果有必要罚款，我们就会罚款。”57岁的耶利内克在这则大新闻的采访之前告诉记者。当被问及人们批评一些监管机构可能会比其他监管机构更宽松时，她说，过去是这样，但未来不应该再这样下去了。 隐私已经从一个非常小众话题一跃成为让世界各大商业巨头的老板们头痛不已的弊病：如Facebook创始人马克·扎克伯格——他本周被欧盟立法者拷问，其8700万用户的数据和他们的朋友的数据额是如何被分享给政治咨询公司，进而影响到唐纳德·特朗普的美国总统竞选活动。 巨额罚款 在条例出台的大限之前，如何使用或处理欧盟国家中个人用户的数据是一个诸多公司所正在面临的严重问题。欧洲的隐私监管机构将首次获得平等的权利和责任，他们同时还有权对企业严重的违规行为处以高达4%的企业全球年度销售额的罚款。 欧盟国家将在整个欧盟范围内实施同样的规则，并赋予它们的数据监管机构以完全的独立性。“我们不希望看到有任何偏离条例和其精神的措施偏差”，欧盟司法专员Vera Jourova上周说。 但是，即使剑桥分析案例中的任何违规行为都被证明属实，但是Facebook还是将在更新的欧盟规则眼皮底下避开严厉的新制裁——因为这些条例并没有追溯效力。 尽管如此，如果公司直到“周五还不收手，我们就会瞄准它们”，耶利内克说。她领导着奥地利的数据隐私机构，以及来自欧盟其他28个国家的监管机构。她表示，她预计在新规定发布的第一天，可能就会收到大量的投诉。 新时期 监管机构将“尽最大努力”处理所有投诉。她预计，不消两个月的时间就会有第一批违例情况坐实，但罚款措施并不会被立刻采用。她说，监管机构的官员们不会只是“向”公司“扑过去”，对他们处以罚款。“我们正在和企业谈判，我们有法律程序要履行，我们也必须给他们机会和我们交谈。” 对于每个人来说，这将是一个新时代的开始:“我们正处于一段新进程的开始，我们将在数据保护的领域共同努力。”伦敦DLA Piper律师事务所律师的Andrew Dyson表示：“过去几年，人们对数据保护问题的认识发生了转变。但凡你翻阅了报纸，你就不可能读不到最新的数据泄露、社交媒体丑闻或不道德的营销活动等新闻。条例确实出台了，但它来自一个不同的时代——在我们当前所处的时代里，法律、监管机构正越来越失去权势，政策越来越过期。GDPR将把这个时代扳回正轨。GDPR所赋予的权利将帮助建立更高的道德标准，提高消费者的信任度，并能够彻底释放数据的真实价值。那些犯错的人会面对监管机构的愤怒、客户的不满，以及其自身数字创新所面临的巨大桎梏。”   稿源：，稿件以及封面源自网络；

《华盛顿邮报》周二报道称，美国联邦调查局（FBI）严重夸大了由加密手机所造成的问题。以去年为例，该机构调查人员声称被大约 7800 部涉嫌犯罪活动的加密设备挡在了门外，而准确的数字应该在 1000~2000 部之间。联邦调查局局长 Christopher Wray 在谈论“Going Dark”问题时引用了这一数据，即执法人员拥有法律的授权、但却没有访问加密通信的技术能力。 科技企业和隐私倡导者认为，加密对于个人信息和通信的保护至关重要。然而政府与执法官员驳斥道，加密损害了他们调查犯罪和恐怖活动的能力。 尽管执法部门一再要求科技公司在设备上提供“后门”，但业界对此举表示了强烈的反对，称之会迫使其故意削弱所有用户的产品安全性。 对于夸大“手机加密威胁”的数字一事，FBI 官员在接受《华盛顿邮报》记者采访时表示 —— 该机构上个月才意识到数据有失偏颇的问题。 FBI 将此事归咎于“编程失误”，但仍未披露其在调查过程中遇到的加密设备的确切数量。与此同时，该机构坚称加密对执法工作造成了威胁： 渐入黑暗（Going Dark）仍是 FBI 和全球其它政府执法机构面临的一个严重问题。联邦调查局将继续寻求一种解决方案，以确保执法人员能够以适当的法律权威，来获取犯罪活动的证据。 2016 年的时候，苹果拒绝了为 FBI 解锁圣贝纳迪诺枪击案犯 iPhone 的请求，此事引发了民众的激烈讨论。   稿源：cnBeta，封面源自网络；

2017 年的时候，南非遭遇了一起大规模的数据泄露事故。然而转眼间，这个国家又发生了一起数据泄露，导致 93.4 万人的个人记录在网络上被曝光。本次曝出的数据，涵盖了国民身份证号码、电子邮件地址、全名、以及明文密码。从分析来看，这些密码似乎与交通罚款相关的在线系统有关。 在澳大利亚安全顾问 Troy Hunt、“Have I Been Pwned”、以及 iAfrikan 和 Hunt 匿名消息人士的通力合作下，外媒厘清了数据泄露与南非一家负责在线支付罚款的公司有关（备份或公布）。 在刚接触的时候，消息人士称： 我拿到了一批新的泄露数据，中包含了 100 万南非公民的个人信息记录，如身份号码、手机号码、电子邮件地址、以及密码，我意识到它们是哪些网站流出的了。 其后续补充道： 这个包含百万人记录的数据库，是在一个公共网络服务商上被发现的。该属于一家处理南非电子交通罚款的公司。 与 2017 年泄露 6000 万南非公民个人记录的事件一样，iAfrican 在浏览了数据库后发现，这套“备份”的保存目录，竟然启用了公共浏览权限，这显然是疏忽大意而导致的。 Hunt 向 iAfrican 表示： 这起事件再次给我们敲响了警钟，如果缺乏应有的知识技能，我们的数据可以被散播到什么样的程度。 然而本次事件的风险更加严重，特别是明文保存的密码。它将带来不可避免的麻烦，比如解锁受害者的其它账户。 由于数据的可重用性，这一事件可能已经导致了多起其它在线账户的入侵。   稿源：cnBeta，封面源自网络；

Turla是俄罗斯的APT小组（也称为Waterbug），小组自2007年以来活跃攻击政府组织和私营企业。 Turla的受害者包括瑞士国防公司，美国国务院和美国中央司令部。在最近的攻击中，该组织使用真的Adobe Flash安装程序与其macOS后门打包，并在受害者系统上下载恶意软件。ESET的专家观察到，攻击活动发生了变化：黑客利用流行的开源开发框架Metasploit开展攻击，而以往的案例中，Turla会使用自己的工具，比如Skipper。   稿源：Freebuf，封面源自网络；

为了攻击WordPress网站，挂上后门插件，黑客想出了一种新的方法，这种新方法需要用到那些弱口令WordPress.com账号和Jetpack插件。整个攻击过程非常复杂，为了攻击网站，黑客需要经历不同步骤，这也意味着用户的防御方法非常之多。 尽管如此，根据WordPress网站安全公司Wordfence的报告以及WordPress.org官方论坛上的一些帖子，有很多用户还是被挂上了后门插件，攻击大都发生在5月16日以后。攻击的第一步包括黑客从公开漏洞中获取用户名和密码，并尝试登录WordPress.com帐户。如果使用了社工库里已经暴露的密码，就可能受到攻击。第二个攻击要素则是Jetpack，这是一款非常普遍的wordpress插件，黑客利用这款插件进一步在网站上安装后门。   稿源：Freebuf，封面源自网络；

微软周二发布公告称，Office 365将封锁Adobe Flash、Shockwave及Silverlight控件。 由于频频传出安全漏洞，Adobe去年宣布，2020年起不再支持Flash，各大主流浏览器包括Chrome、Safari、Firefox及Edge也都列出停止支持Flash的时间表。 为此，Office 365也做了相应的调整，将开始封锁Flash、Shockwave及Silverlight控件。受到影响的功能包括Office文件嵌入的控制，例如利用Insert object功能，在PowerPoint文件直接嵌入Flash影片或是PowerPoint中使用Silverlight的外挂等，不过使用Insert Online Video功能的控制不受影响。 另外，这项变动仅适用于Office 365，不影响Office 2016、Office 2013或Office 2010。微软将依不同“通道”分阶段实施封锁。每月通道（monthly channel）从今年6月即开始封锁。Office 365半年通道将于2018年9月起启动封锁，而从2019年1月开始，Office 365半年通道也会加入。   稿源：ithome，封面源自网络；

4月份的攻击阴影仍未散去，匿名币Verge（XVG）再次遭到51%攻击。 根据BitcoinTalk网友ocminer（他是竞争币矿池Suprnova的运作者）所说，某攻击者已经成功通过51%攻击分叉了VXG区块链。在过程中，攻击者锁定了XVG代码中的某个漏洞，该漏洞允许恶意矿工在区块上添加虚假的时间戳，随后快速挖出新块。 Suprnova发推表示： XVG再次遭到攻击，有人通过51%攻击导致所有正确区块失效。所有的矿池和矿工都受到了影响，这位攻击者目前控制了所有的区块。   XVG协议交替使用五种挖矿算法，ocminer表示，攻击者已经控制了其中的两种——scrypt和lyra2re，因此其进行挖矿是毫不费力的。攻击者还用假的时间戳来欺骗整个网络接受其挖出的区块并添加到主链中。 攻击者在区块2155850和2206272之间采取了行动，在短短的几个小时内谋取了近3500万个XVG，也就是175万美元。截至发稿时，本次攻击已经被成功制止，然而没人能够保证未来攻击者是否会再次出击。 而XVG开发者的回应似乎并不让人省心。他们在推特中承认该项目挖矿存在问题，但声称只是几个矿池受到了DDOS攻击。 这位攻击者的手法与两个月前的入侵者类似，当时那位恶意矿工通过攻击XVG网络获取了2000万个XVG，这在当时价值高达110万美元。而当时和现在一样，XVG开发者对系统漏洞的轻描淡写，引发了社区无止尽的批评。 当时XVG通过激活紧急的硬分叉计划来修复漏洞，但包括ocminer在内的批评者都认为此次升级只不过是“贴了一张创口贴”，并未从源头上解决问题。 自本次攻击事件以来，XVG价格已下跌超14%。目前XVG是市值排名第31位的加密货币，截至发稿时，其总市值为6.8亿美元。 XVG遭到攻击之后，门罗币首席开发者也在推特上对其冷嘲热讽了一番，“真是一种安全稳定的加密货币呢。” XVG团队尚未就本次事件作出评论。   稿源：巴比特资讯，编译：Wendy，封面源自网络；

北京时间5月23日晚间消息，思科公司周三发布安全预警称，黑客利用恶意软件，已感染几十个国家的至少50万台路由器和存储设备。 据思科研究人员克雷格·威廉姆斯(Craig Williams)称，思科Talos安全部门认为，俄罗斯政府是此次攻击的幕后主谋，因为黑客所使用软件的代码，与俄罗斯政府之前发动网络攻击所使用软件的代码一致。 乌克兰安全局(SBU)称，此举表明俄罗斯计划在欧洲冠军联赛决赛开战之前，对乌克兰发动大规模网络攻击。欧洲冠军联赛决赛将于本周六在基辅开战。 乌克兰安全局在一份声明中称：“安全服务专家认为，此次乌克兰境内路由器和存储设备被感染，是俄罗斯为发动新一轮网络攻击做准备，目的是在欧洲冠军联赛决赛期间破坏局势。”   稿源：，稿件以及封面源自网络；

据外媒报道， Proofpoint 研究员 Andrew Conway 上周对一个名为” Brain Food ”的僵尸网络进行了剖析。根据 Conway 的说法，由该僵尸网络推动的垃圾邮件活动早在去年 3 月就已被发现，其源头可能是来自于一个恶意的 PHP 脚本，因为该脚本一直秘密地将用户重定向到减肥和提高智力药片的网页上。据统计，目前已有超过 5000 个网站上存在该脚本 ， Conway 通过对这些站点进行追踪后发现，其中绝大多数都是在 GoDaddy 的网络上找到的，并且仅在上周内活跃的网站已超过 2400 个。 Conway 表示，该脚本用于让被黑网站处于网络犯罪分子的控制之下，并对各种垃圾邮件活动的动态重定向进行管理。 根据最近的垃圾邮件活动发现，该 PHP 脚本能够从 Brain Food 运营商那里获得新的“重定向目标”，并收集到每次活动的点击统计数据。 虽然僵尸网络只是推送了一些垃圾内容，对用户并无实际害处，但这对被感染的网站来说是危险的，主要是因为它具有类似后门的功能，允许僵尸网络运营商随时执行他们想要的任何代码。 消息来源：Bleeping Computer，编译：榆榆，审核：吴烦恼; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。