尽管争议不断，但比特币行情依然火爆，上周日更是突破 9000 美元大关。彭博社 11 月 27 日发表文章，汇总了世界各国央行对比特币等数字货币的态度与措施。从汇总来看，主要国家持谨慎态度的较多。 自比特币诞生八年来，世界各国的中央银行越来越认识到数字货币潜在的优势和劣势。全球经济的守护者有两个问题要处理。首先，针对私人数字货币的出现和增长，应该做些什么；其次，是否发行官方版本。 美国联邦储备银行很早就对数字货币展开调查，但作为一家中央银行，并未对发行比特币表现出热情。今年早些时候，美联储董事兼主席提名人选杰罗姆·鲍威尔（Jerome Powell）表示，伴随高科技的技术问题，“ 治理和风险管理将成为关键 ”。鲍威尔认为，对中央银行来说，数字货币是“有意义的”挑战，隐私问题可能是一大问题，私营部门应该做好这项工作。 欧元区：郁金香式泡沫 欧洲央行一再警告投资数字货币存在风险。副行长维托·康斯坦西奥（Vitor Constancio）在九月表示，比特币不是货币，而是一种 “ 郁金香 ”，暗指荷兰十七世纪的经济泡沫。欧洲央行执委会委员贝诺瓦特·科瑞（Benoit Coeure）警告说，比特币的价值不稳定，牵涉到逃税和犯罪，存在重大风险。马里奥·德拉吉（Mario Draghi）行长本月表示，数字货币对欧元区经济的影响是有限的，并未威胁到中央银行对货币的垄断。 中国：条件 “ 成熟 ” 中国已经明确表示：央行对数字货币拥有完全控制权。中国人民银行已在 2014 年组建一支研究团队，开发数字法定货币，并认为，采用该项技术的 “ 条件已经成熟 ”。但中国央行打击私人数字发行商，禁止比特币和其他数字货币的交易。虽然没有推出数字货币的正式开始日期，但权威人士表示，使用数字货币有助于提高支付效率，并能更精确地控制货币。 日本：开启学习模式 日本央行行长黑田东彦（Haruhiko Kuroda）在今年十月的一次讲话中表示，日本央行近期不打算发行数字货币，虽然深化此类知识是很重要的。“ 向公众发行 CBDC（中央银行的数字货币）如同允许任何人访问央行账户，”  黑田东彦说。“ 因此，关于 CBDC 的讨论牵涉到中央银行的根本性问题。” 德国：“ 投机的玩物 ” 在德国这个很多人还是喜欢用现金支付的国度，德意志联邦银行一直特别警惕比特币等虚拟货币的出现。董事会成员卡尔·路德维希·蒂勒（Carl Ludwig Thiele）九月表示，比特币 “ 更多是一种投机的玩物，而非支付形式。” 蒂勒认为，开展区位链存款将扰乱银行的业务模式，颠覆现行货币政策，同时，德国央行一直积极开展支付系统的技术应用研究。 英国：潜在“革命” 英国央行行长马克·卡尔尼（Mark Carney）将数字货币视为金融领域的潜在 “ 革命”。该行从去年开始启动了一家金融技术加速器企业，旨在借鉴美国硅谷经验，培育年轻企业。卡尔尼说，基于区位链即分布式计费数据库的技术显示出“广阔前景 ”，有助于中央银行加强对网络攻击的防御，彻底改变机构和消费者之间的支付方式。不过，他警告称，英国央行与创建数字版英镑相距甚远，还有很长一段路要走。 法国：“非常谨慎” 法国央行行长弗朗索瓦·维乐鲁·德加洛（Francois Villeroy de Galhau）今年六月指出，有法国官员 “ 建议对比特币采取谨慎态度，因为公共机构尚未对其树立信心。历史上，所有私人货币的下场都很糟糕。比特币甚至拥有黑暗的一面——数据攻击。” 他说：“ 今天那些使用比特币的人是要冒风险的。” 印度：不允许 印度央行对数字货币持否定态度，认为它可能成为洗钱和恐怖融资的渠道。不过，印度储备银行设立了一个小组，正在研究全球央行是否支持数字货币，是否可将其用作法定货币。目前，在印度使用数字货币是违反外汇规定的。 巴西：支持创新 巴西中央银行在本月发表声明指出，数字货币 “ 不会对巴西金融系统带来直接风险 ”，但仍然地这些货币的使用情况持谨慎态度。世行承诺 “ 支持金融创新，包括使金融系统更安全、更高效的新技术 ”。 加拿大：等同于资产 加拿大银行的高级副行长卡洛琳·威尔金斯（Carolyn Wilkins）正在主持对数字货币的研究。她在本月接受采访时说，数字货币并不是真正的货币形式，但 “ 它的确是一种资产，或者是一种安全保证，所以应该同等对待。”与其他人一样，她认为分布式分类技术有助于提高金融系统的效率。 韩国：犯罪观察 韩国央行的焦点一直放在保护消费者和防止数字货币被用作犯罪工具上。副行长 Shin Ho 在本月表示，需要更多研究和监测。 俄罗斯：“ 金字塔计划 ” 俄罗斯央行对数字货币的潜在风险表示担忧，行长爱尔维拉·纳比乌琳娜（Elvira Nabiullina）说，“ 我们不允许金字塔传销合法化 ”，“ 完全反对私人货币，不管是物理形式或虚拟形式。“ 目前，俄罗斯银行更倾向于延迟对金融工具加以规范，除非普京决定更快推动此项行动。第一副行长谢尔盖·什韦佐夫（Sergey Shvetsov）指出，俄罗斯央行正在与检察院合作，遏制允许散户投资者参与比特币交易的网站。 澳大利亚：密切监控 澳大利亚储备银行支付政策负责人托尼·理查斯（Tony Richards）上月表示，该行正在密切监视数字货币的崛起，并确认支持比特币技术“在金融领域和许多其他经济领域都有广泛的应用潜力”。 土耳其：重要元素 本月早些时候，土耳其中央银行行长穆拉特·切廷卡亚（Murat Cetinkaya）在伊斯坦布尔表示，如果设计完善，数字货币可能有助于金融稳定。切廷卡亚认为，数字货币将为中央银行带来新的风险，包括如何控制货币供应量和保持价格稳定，以及货币政策的传导。但即便如此，数字货币仍有可能成为无现金经济中的一个重要元素，其技术有助于加快支付速度，并使支付体系变得更有效。 荷兰：最为大胆 在提到数字货币实验时，荷兰人无疑是最大胆的。两年前，荷兰中央银行就建立了自己的数字货币，名为 DNBcoin，但仅用于内部循环使用，以便更好地了解它的运作方式。去年，主持该项目的罗恩·伦德森（Ron Berndsen）展示了区块链实验成果，并表示，在复杂金融交易的结算中运用区块链是 “ 很自然的 ”。 稿源：cnBeta、；稿件以及封面源自网络。

据外媒 11 月 28 日早间消息，在打车服务 Uber 披露信息称归属于司机和用户的 5700 万个账号被盗之后，美国国会的一些参议人员已将矛头对准了这家公司，但 Uber 仍着眼于 IPO（首次公开招股）上市，因此来自国会的这种压力则代表着一个最新的监管难题。 民主党参议员麦克·沃纳（Mark Warner）致信该公司 CEO 称：“ Uber 的行为引发了有关公司是否遵守了州政府和联邦政府相关法规的严重疑问”。沃纳最近以来一直都是主要的科技业批评人士之一，尤其是针对所谓的 “通俄门” 事件。 参议院共和党第三号人物、商业委员会（Commerce Committee）主席约翰·图恩（John Thune）和其他三名参议员则在另一封信函中表示，上述数据被盗事件是个“值得进一步调查的严重事件”，并指出 Uber 向黑客付钱之举尤其 “令人不满”。这封信的联合署名人还包括参议院金融委员会共和党领袖奥林·哈奇（Orrin Hatch）等。这两封信函均要求 Uber 作出回应。 稿源：，稿件以及封面源自网络；

据外媒 ZDNet 11 月 26 日报道，澳大利亚政府于近期提出一项新消费者法案，允许公民访问银行、能源、通信以及互联网等交易数据。与此同时，还将同意各企业或政府机构与第三方合作厂商共享数据，以便促进全球网络安全，保护家庭、消费者、企业和政府免遭犯罪攻击。相关人士获悉，该消费者法案一旦通过，其数据权限将由澳大利亚竞争与消费者委员会（ACCC）和澳大利亚信息专员机构（OAIC）联合监管。 知情人士透露，这一法案由澳大利亚城市与数字化转型的助理部长 Angus Taylor 提出，是新一代消费者权益法案的最大改革。随之，澳大利亚生产力委员会也针对其金融体系展开了一系列深入调查，并被提出 41 项相关建议，要求开放消费者数据实践。根据政府的说法，该项法案的提出与生产力委员会的调查结果 “大体一致”。然而，在针对众议院的经济委员会和四大银行调查时，西太平洋银行的首席执行官 Brian Hartzer 表示，他们完全支持数据共享实践，但又极其担心这两家监管机构是否能够保障公民隐私安全。另外，澳大利亚联邦银行（CBA）、澳大利亚国民银行，以及澳大利亚和新西兰银行集团也对此法案的推出具有同样的担忧。 CBA 即将离任的首席执行官 Ian Nare 先前就曾表示，在开放式的银行制度下，必须明确指出负责隐私与安全的具体指导方针。虽然 Hartzer 迫切希望银行企业能够领导国家数据开放改革，但因为缺乏隐私保障，这一法案被消费者委员会主席驳回。不过，政府将在 2017-2018 财政预算提案中宣布独立的开放银行审查制度，希望能够增加消费者和第三方合作厂商获得产品与消费者数据的期望。 澳大利亚财政部部长 Scott Morrison 于今年早些时候在悉尼举行的 2017 亚洲未来峰会上表示：“开放式银行业务将会改变澳大利亚经济的发展。我们可以做出的最大变化之一就是在未来 20 年内与这个领域最具权威的机构–生产力委员会联合提高澳大利亚公民隐私安全。此外，在能源方面，国家电力市场未来安全的独立审查也需要与其保持一致，并由澳大利亚政府理事会同意，从而提高消费者获取与分享能源数据的能力。同样，在通信方面，该项改革将帮助消费者在其市场上找到最适合他们的策划，并使其实际服务的使用与预算匹配。据悉，澳大利亚政府将于 2018 年提出新联邦立法落实这些改革。 消息来源：ZDNet，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

HackerNews.cc 11 月 26 日消息，网络安全公司 Reversing Lab 研究人员最新发现黑客组织 Cobalt 正通过微软近期披露的 Office 漏洞（CVE-2017-11882）针对全球银行等金融机构展开网络钓鱼攻击。 该漏洞由 Embedi 研究人员率先在 Microsoft Office 组件的 EQNEDT32.EXE 模块（负责文件插入与公式编辑）中发现，是一处内存损害问题，允许攻击者利用当前登录的用户身份执行任意代码。该漏洞影响了过去 17 年来发布的所有 Microsoft Office 版本，其中包括新版 Microsoft Office 365。此外，它还可能触发所有版本的 Windows 操作系统。值得庆幸的是，CVE-2017-11882 的补丁已在本月例行安全更新中发布。 研究显示，黑客组织 Cobalt 主要在通过垃圾邮件肆意分发 RTF 恶意文档时感染目标用户系统。这一感染流程分为多个阶段： ○ 首先，用户打开 RTF 文档后系统将会自动利用 MS 方程触发 CVE-2017-11882 漏洞； ○ 随后，黑客将通过调用 Mshta.exe 文件获取并执行恶意脚本代码； ○ 最终，该脚本在运行时将会嵌入本地 playload，从而根据设备体系结构（32 位或 64 位）下载 DLL 恶意文件，以便感染目标系统。 需要留意的是，这并非 Cobalt 第一次利用微软漏洞展开攻击。知情人士透露，该黑客组织此前就曾利用微软 RCE 漏洞（ CVE-2017-8759 ）针对欧洲、美洲、俄罗斯等银行 ATM 设备以及金融机构开展攻击活动。虽然该漏洞目前已被修复，但并不能完全避免漏洞攻击的风险，因此研究人员提醒各企业管理人员在更新系统的同时，禁用 Eqnedt 模块是最保险的方法。 更多内容： ○  微软 Office 漏洞（CVE-2017-11882）概念验证（PoC）：https://github.com/embedi/CVE-2017-11882 ○  微软 Office 漏洞（CVE-2017-11882）补丁地址：https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11882 ○  为保护系统，管理员应该需要应用最新补丁包括： KB2553204，KB3162047，KB4011276 和 KB4011262。 消息来源：securityaffairs.co，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

阿里巴巴旗下的《南华早报》报道，中科院上海量子光学重点实验室的研究人员正在为卫星开发量子传感器，能识别和跟踪夜晚飞行的隐形轰炸机和其它太空看不见的目标。实验室研究主任龚文林称，实验室由著名量子光学物理学家韩申生领导，计划到 2020 年完成一个原型，2025 年前在太空进行测试，2030 年大规模应用。 量子鬼成像已在地基系统进行了测试，龚的实验室正与国外竞争对手竞争发射第一颗鬼成像卫星。鬼成像卫星将装备两个相机，其中之一对准了感兴趣的目标区域，其二测量环境光场的变化。目标能被任何光源照亮。卫星使用一对纠缠的激光束去照亮目标及其周围环境。利用一组复杂算法分析和合并两个相机接收的信号，科学家能得到传统方法不可能得到的高清目标图像。夜晚、云、雾霾和其它影响能见度的因素将变得无关紧要。 稿源：solidot奇客，方面源自网络；

据美联社近期报道，虽然联邦调查局（FBI）透露俄罗斯黑客试图攻入美方官员的电子邮件账户，但却未能向当事方通报这一威胁。尽管有一年多的线索表明，数十名与俄政府有关的网络黑客团体 “Fancy Bear” 将许多官员列为其攻击目标。但在其采访的近 80 个“目标”中，仅有 2 家表示收到 FBI 通知。该机构并未立即回应美联社的置评请求，但表示它们会“例行地向个人或组织披露潜在的威胁信息”。 这件消息的披露，让华盛顿方面加深了对于 “与俄政府有关黑客” 渗透美国计算机网络，并利用社交媒体平台干预 2016 总统大选的担忧。目前调查人员正检查俄方是否有影响选民的可能，以及特朗普（或任一为其工作的人）牵涉其中。但是对于这类指摘，特朗普方面已经多次否认。 美联社指出，Fancy Bear 也与“DCLeaks”有联系。2016 大选期间，该网站曝光了大量有关民主党官员的电子邮件。尽管一些受访者称 FBI 有责任提醒他们，但也另有一些人表示理解。2015 年的被攻击目标、现已退休的 Gen. Norton Schwartz 就说到：“乐观点想，他们应该有做过风险分析，只是我没被认为有足够高的风险，随意他们就没有与我取得过联系”。 2016 年 11 月的时候，这个知名黑客团体被发现在某轮行动中利用一个 Windows 漏洞向人们发送大量电子邮件，试图骗取受害者的个人数据。在 Google 公布该漏洞之后，微软才发布了一个补丁，这件事导致两家科技巨头闹得有些不愉快。 稿源：cnBeta，封面源自网络；

美国研究人员于当地时间 24 日在《科学进展》杂志线上版发表论文称，他们开发出的一种新型量子密钥分配（QKD）系统，能够以兆比特每秒的速率创建和分发加密码，比现有方法快 5 倍到 10 倍，即使同时运行多个系统，仍可与目前的互联网速度匹配。研究人员表示，新技术或使量子加密技术向大规模应用加速迈近。 密钥加密，需要收发数据的双方使用相同或对称的密钥对明文进行加密解密运算。随着计算能力的提升，目前广泛使用的 RSA 公钥密码算法会越来越容易被破解。而量子加密技术则被认为是未来保证网络通信安全的有力工具。量子加密技术利用了量子力学的基本原理——对量子态进行测量将会改变最初的量子态，来保证其安全性，窃密者的存在会导致误码出现，从而提醒收发双方存在安全漏洞。 目前量子加密技术尚处于发展初级阶段，密钥传输速率很低，只有几十到几百千比特每秒，极大地影响了其实际应用。此次，杜克大学、俄亥俄州立大学和橡树岭国家实验室研究人员开发的新型量子密钥分配技术，虽与多数量子密钥分配系统一样，使用弱激光来编码单个光子信息，但通过调整光子相位和释放光子的时间，能将更多的信息添加到单个光子上。结合专门开发的高速接收机，新系统传输密钥的速度比目前其他系统快了 5 倍到 10 倍。 从理论上说，量子加密技术极其安全，任何侵入密钥交换的尝试都会很容易被接收方发现。但现实中，设备的局限性会导致漏洞存在，给黑客可乘之机。研究人员证明，即使用可能导致漏洞出现的缺陷设备，该技术也可避免常见的攻击。虽然新系统的发射机需要一些特殊部件，但所有组件目前都可以在市场上买到。用光子编码的密钥可以通过现有光纤传送，发射机和接收机很容易集成到现有的网络基础设施中，因此这一新技术极有潜力推动量子加密技术的大规模使用。 稿源：cnBeta、科技日报，封面源自网络；

HackerNews.cc 11 月 25 日消息，网络安全公司 CyberArk Labs 研究人员于近期设计了一种新型入侵攻击技术 Golden SAML，允许黑客创建虚假的企业信息后伪造身份验证，从而窃取云应用资源。目前，CyberArk 已推出一款新黑客工具 shimit，可以实现 Golden SAML 攻击技术。 SAML （Security Assertion Markup Language）协议是用户与服务供应商交换身份验证和授权数据的开放标准，而黑客可以通过 Golden SAML 攻击技术伪造 “身份验证对象”，并使用 SAML 2.0 协议作为 SSO 机制的所有服务验证，从而获取用户最高特权。此外，在 Golden SAML 攻击中，黑客还可访问所有支持 SAML 认证的应用程序（如 Azure、AWS、vSphere等）并拥有其任一特权。 研究显示，由于 SAML 协议中的每条声明都是通过存储在用户环境中的特定 RSA 密钥进行信任与签名。因此，为了进行该攻击活动，其黑客需要使用一私有密钥，并与 Active Directory 联合身份验证账户、令牌签名私钥、IdP 公共证书、IdP 名称、所扮演的角色名称、域/用户名，以及 AWS 中的角色会话名称与亚马逊帐户 ID 等共同操作才可完成攻击活动。（其中红色标记部分为必备字段） 研究人员表示，这些攻击的先决条件极其重要，因为此技术不易在真正的攻击场景中使用。另外，如果想要减轻 Golden SAML 攻击也并不容易，因为它既不依赖 SAML 2.0 漏洞，也未通过 AWS / ADFS 漏洞进行，事实上，攻击者主要通过获取域管理员访问权限实施此类活动。此外，一旦该攻击技术被恶意使用，其系统将很难检测出来。 然而，值得注意的是，研究人员特意令 Golden SAML 的命名与此前一种臭名昭着的攻击技术 “Golden Ticket” 类似，其原因是他们想通过前者设计验证后者的危害程度，所以这两种技术具有极其相似的攻击性质。据悉，后者在 Kerberos 环境中可持久性获得任一类型访问权限并还可通过操纵 Windows Server Kerberos 身份验证框架，完全控制目标 IT 基础设施。   消息来源：securityaffairs.co，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据台湾《联合报》26 日报道，一名被控攻击社交平台 LikedIn 和档案同步软件 Dropbox 等公司的俄罗斯黑客，现成为美国和俄罗斯进行引渡“拔河大战”的中心人物。据悉，一名名为尼库林（Yevgeniy Nikulin）的黑客 2016 年 10 月在捷克布拉格被捕，当时美国已对他发布全球通缉令。他是 2016 年被加州大陪审团起诉的，罪名包括入侵他人计算机和重度身份盗窃。如果全部定罪，他可能面临最高逾 50 年刑期以及超过 200 万美元的罚款。 但尼库林被捕后不久，俄罗斯也要求引渡此人。俄指他涉及 2009 年在线转账公司窃案，遭窃金额是 3450 美元。此案比起美国检察官的指控，是“小巫见大巫”。LinkedIn 说尼库林 2012 年黑进其服务器，影响所及可能达 1 亿名用户。尼库林律师表示，尼库林在布拉格的监狱待了 13 个月，美国联邦调查局（FBI）探员至少去过一趟。根据捷克官员的消息，他的引渡案因安全理由在狱中举行。捷克高等法院本月 24 日已驳回尼库林律师提出，其不该被引渡至美国的请求。 报道指，这样一来，政治的烫手山芋将落到捷克司法部长培利坎手上。他必须决定由俄罗斯或美国优先引渡此人，但此事可能将“激怒”输的一方。尼库林的律师沙迪雷克说，他们打算到捷克宪法法庭提起诉愿，理由是尼库林受捷克保护的“基本人权和自由”受侵害。如果捷克宪法法庭同意此论点，可以取消高等法院的裁决。沙迪雷克说，他们也考虑将此案打到欧洲人权法院。 报道认为，尼库林是美俄角力的另一事例。此前俄罗斯反对美国以黑客攻击相关罪名自第三国引渡俄罗斯公民至美受审。美国已针对在拉脱维亚、西班牙和希腊等地被捕的俄罗斯黑客，提出引渡要求。其中最引人注目的包括与运作 Kelihos 僵尸网络有关的列瓦萧夫（Piotr Levashov），他去年 4 月在巴塞罗纳被捕。根据路透社报道，列瓦萧夫否认所有指控，正持续对抗引渡要求。另有 2016 年 2 月在芬兰被捕，后来引渡至美国的黑客森纳赫（Maxim Senakh），因涉参与“在全球各地安装并利用恶意软件，诈欺得手数百万美元的犯罪集团”，今年 8 月已在美国联邦法院被判刑。 稿源：网易新闻、中国新闻网，封面源自网络；

近日，新闻相继披露吉、湘、鄂、浙、闽、苏、桂、陕等多所高校官网存在泄露学生个人信息的情况。另外，很多地方政府的网站，也存在大面积披露公民隐私信息的现象。客观而言，这些泄露都属于无心之失。不管是政府部门还是高校，都是以信息公开之名而行泄露隐私之实。看起来，巨细靡遗的信息披露，是为了公开透明方便监督，其实多数情况下更像是考虑不周的懒惰。 耐人寻味的是，如果不是媒体近来持之以恒地跟进监督，这种现象恐怕不会受到如此重视。那么多个体被公共部门披露隐私，但好像也没有太多人提出质疑。这背后当然有情非得已的顾虑。因为从被披露的信息缘由来看，拿低保或者保障房也好，领奖学金也罢，虽然都是个人应得的权益，但现实中给人的感觉总好像得了某种“好处”，谁好意思去较真？这种隐私保护让位于现实利益考虑，其实很具普遍性。 此前就有媒体报道，中国互联网用户普遍缺乏隐私保护的意识，很多人愿意用个人数据来交换网站提供的服务。而那些个人数据中，包含着许多珍贵的隐私信息，但其无形价值远没有受到充分重视。曾有调查数据显示，2013 年，只有 50% 的国人认为在网上分享个人信息时必须保持高度警惕，而在美国，这一比例是 83%。几年时间过去，隐私保护的意识可能有所上升，但从一些公共部门失控的做法看，思维的转变还有待时日。 必须重视隐私保护的原因，在于其可能遗留安全隐患，甚至造成直接的利益损失。尤其是公共部门无意识泄露出的隐私，不仅包括身份证号等信息，还涉及公民领低保、分配保障房等动向，会给别有用心者骚扰、诈骗带来便利。隐私泄露对于个人会造成权益损害，从社会整体看也是恶果昭彰。中国互联网协会发布的《 中国网民权益保护调查报告 2016 》显示，中国网民因为垃圾信息、诈骗信息、个人信息泄露等遭受的总体经济损失约 915 亿元。 中国越来越步入信息时代、无现金社会，未来隐私泄露可能造成的危害将更大。所以最近曝光的那些公共部门泄露隐私的案例，虽然暂时还没有造成严重危害，但及时敲响隐私保护的警钟是必要的。提高隐私保护意识，要从公共部门开始，这既是对公民权益负责，避免自身的侵权责任，也是为了起到更好的社会垂范作用。只有公共部门明确隐私保护的意识、守住底线，才能更好地推动相关法规的完善和执行，让隐私保护成为整个社会的习惯。 稿源：、光明网，稿件以及封面源自网络；