HackerNews.cc 10 月 17 日消息，捷克 Masaryk 大学的安全研究人员近期发现德国半导体制造商英飞凌 Infineon 科技公司所采用的专用微控制器 TPM 存在一处高危漏洞 ROCA（CVE-2017-15361），允许攻击者进行因数分解攻击的同时，通过目标系统的公钥反向计算私有 RSA 加密密钥。该种攻击手段影响了公司 2012 年之前生产的所有加密智能卡、安全令牌以及其他安全硬件芯片等。目前，数十亿设备可能已遭受攻击。 英飞凌 Infineon TPM 是一款专用的微控制处理器，其主要将加密密钥集成到设备后保护系统硬件，并防止未经授权的访问通过提高系统完整性而窃取敏感数据。 调查显示，攻击者利用该漏洞可以针对不同密钥长度（包括 1024 与 2048 位）进行破解，并通过滥用私钥窃取敏感消息和伪造签名。据悉，ROCA 漏洞的实际影响取决于使用场景、公共密钥的可用性和使用密钥的长度。研究人员发现并分析了各领域的易受攻击密钥，其中包括公民电子文档、身份验证令牌、受信任的引导设备、软件包签名、TLS/HTTPS 密钥和 PGP。目前，虽然已确认易受攻击的密钥数量约为 76 万，但可能只有 2-3 个极其薄弱。 研究人员表示，他们于今年 2 月发现漏洞后立即上报至英飞凌并将这一事件命名为 “ Coppersmith 攻击事件的回归：广泛使用 RSA 模块的实际因数分解 ” 进行深入研究。据称，安全专家将于 11 月 2 日在 ACM 计算机与通信安全会议上发表他们的研究成果，包括分解方法。 目前，研究人员已在一篇博客文章中公开了 ROCA 漏洞的详细信息并在线发布了一款测试工具，可以用来检测自身设备的 RSA 密钥是否受到影响。此外，研究人员警示，该漏洞普遍存在于英飞凌芯片产品且被各供应商出售。好在包括英飞凌、微软、谷歌、惠普、联想和富士通在内的主要厂商已通过软件升级解决 ROCA 漏洞。对此，他们强烈建议用户更新应用系统至最新版本并在设备外部生成安全的 RSA 密钥后再将其导入设备。 附：英飞凌 ROCA 漏洞详细报告《 ROCA: Vulnerable RSA generation 》 原作者：Pierluigi Paganini，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒报道，在决定推出自己的虚拟货币 CryptoRuble 之后，俄罗斯联邦政府日前又作出了禁止虚拟货币挖矿行为的决定。俄通信部长 Nikolay Nikiforov 指出，虚拟货币必须不能作为私人货币存在，它将由国家发行、控制，与此同时它能够在数字经济中提供数字货币流通。 目前还不清楚这一决定将对比特币等虚拟货币的影响。不过由于俄罗斯方面并没有以禁止其他虚拟货币的使用，所以它带来的影响范围可能不会太大。 据了解，实体卢比和虚拟货币 CryptoRuble 将能相互兑换，但如果兑换者无法解释来源的话政府将需要对其征收 13% 的税收。此外，如果两者之间出现价格差，那么政府将通过征税的形式弥补这一差价，进而使这两者保持在同一水平。 稿源：cnBeta，封面源自网络；

据路透社报道，5 位微软公司前员工称，公司于四年前用于追踪自主软件漏洞的秘密内部数据库被一个技术高超的黑客组织入侵。这次入侵发生在已知的第二起此类企业数据库被黑事件中。微软在 2013 年发现了这一数据库被黑客入侵，但随后并未向公众或其客户披露被攻击的严重程度。不过，5 位微软前员工在分别接受采访时向路透社描述了这一事件。 据悉，这一秘密数据库包含了微软对于部分在全球广泛使用软件的未修复高危漏洞，包括 Windows 系统。全球各国政府的间谍和其他黑客之所以觊觎这些信息，是因为这些信息能向他们展示如何为实现电子化入侵开发工具。微软前员工称，这些漏洞很可能在攻击发生后的几个月内被修复。微软前员工以及获悉此次入侵事件的美国官员称，这令他们感到焦虑，因为黑客当时可能会利用这些数据在其它地方发起攻击，把手伸向政府和企业的网络。 微软在一份邮件中回应称：“我们的安全团队在积极监测网络威胁，以帮助我们抓住重点，采取适当措施保护用户 ”。知情人士透露，一个技术高超的黑客组织在此之前入侵了许多大型科技公司的电脑，包括苹果公司、Facebook 以及 Twitter。 稿源：cnBeta、凤凰科技，封面源自网络；

据外媒报道，希拉里·克林顿（Hillary Clinton）于本周一（10月16日）接收澳大利亚广播公司采访时，不仅指责维基解密是俄罗斯情报机构的附属公司，还抨击了其创始人朱利安·阿桑奇（Julian Assange）为 “独裁统治的虚无主义者”。 希拉里表示，阿桑奇曾与俄罗斯情报机构合作干预 2016 美国大选，并影响了她的选举结果。此外，有消息指出，这次行动由俄罗斯总统弗拉基米尔·普京领导。美国情报机构曾总结称，普京下令进行了一场复杂、多方面的影响运动，其中包括网络攻击、虚假信息宣传等破坏美国民主的活动，旨在影响希拉里形象、帮助特朗普赢得总统职务。 据悉，特朗普在美国大选时被曝 “录音门” 丑闻事件，其特朗普在这段录音中炫耀了自己可以对任何女性为所欲为等猥琐言论。然而，阿桑奇及其组织试图引开公众注意，即在录音公布几小时后在线发布了入侵希拉里竞选团队主席约翰·波德斯塔（John Podesta）的电子邮箱并获得超过 2000 份秘密文件。 目前，希拉里正在英国接受访问，并推广她的新书《 What Happened 》，其中详细介绍了 2016 年选举落败因素。此外，她还在英国切尔滕纳姆文学节上表示，俄罗斯在总统竞选期间发动了一场网络信息战争。这对西方民主来说，则是一个明显而现实的危险。不仅如此，美国社交媒体 Facebook、Twitter 与 Google 也被俄罗斯利用宣传虚假信息。“这不仅仅是伤害了我，还煽动了美国社会的分裂 ”。不过， 俄罗斯政府随后驳斥了美国无根据的指控并否认参与任何黑客活动。此外，阿桑奇也否认与俄罗斯存在任何联系，并指责希拉里一直都在说谎。 希拉里警示，俄罗斯未来所选择的战争武器可能不再是坦克或导弹，但让我清楚一点：这可能是一种新网络战术。不幸的是，它才刚刚开始。我们可能在 19 世纪打过海陆战争；在 20 世纪，开始空中作战；但在 21 世纪的对抗中，我们将在网络空间里进行越来越多的战争。对此，美国、英国及其盟国需要新的勇气与决心应对网络威胁。 原作者：Hyacinth Mascarenhas，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒报道，安全研究人员于早期发现 WPA2 无线网络加密协议存在高危漏洞（CVE-2017-13080），几乎影响到每一个连接到 Wi-Fi 网络的设备。随后，比利时鲁汶大学的两位研究人员研发出一个概念验证攻击 KRACK（代表 Key Reinstallation Attacks），演示了对 Android 设备传输数据的解密能力并在 Github 设立入口后创建了网站 krackattacks.com（目前已上线）。 某 KRACK 攻击的概念验证 调查显示，运行 Android、Linux、Apple、Windows、OpenBSD、联发科和 Linksys 的系统都受到影响。目前微软、苹果等供应商在事件曝光后立即释出了针对 “KRACK 攻击” 的补丁。知情人士透露，OpenBSD 于 7 月 15 日收到通知并抢在正式公开前的 8 月 30 日就释出了补丁。研究人员对此略有不满，表示提前释出的补丁可能会被其他人研究，从而重新发现漏洞。未来 OpenBSD 恐怕不会再太早收到漏洞的安全通知了。 微软新闻发言人则表示：“ 我司已于 10 月 10 日发布安全更新，启用了 Windows Update 并安装了补丁的客户会自动受到保护。本次更新旨在尽快为客户提供保护，但是作为一个负责人的业内或作伙伴，我们不会在其它供应商发布更新之前公开披露信息 ”。此外，苹果于 16 号上午向外媒 iMore 的 Rene Ritchie 表示，该公司早已在 iOS、TVOS、watchOS 以及 macOS 的 beta 版本中进行了修复。当前新版软件已向开发人员放出，消费者也将很快用上。 与运行 Linux 和 Android 的设备相比，苹果的 iOS 设备（以及 Windows 机器）的漏洞问题要稍微轻一些。因为该漏洞依赖于一个允许单一使用的加密密钥，且可被重新发送和使用多次。虽然 iOS 系统不允许这么操作，但还是暴露了部分弱点。一旦打上补丁，即便你连接了存有漏洞的路由器或无线接入点，运行 iOS、macOS、tvOS 和 watchOS 的设备也无法被 KRACK 方式攻击。 稿源：根据cnBeta、solidot奇客联合整理，封面源自网络；

美国最高法院于本周一宣布，同意重新受理电邮提供商是否必须遵守针对存储于美国境外的客户信息的搜查令一案，这是科技公司与美国政府就获取私人数据方面产生的最新冲突。据悉，微软与美国执法部门的冲突始于 2013 年，其拒绝递交储存在爱尔兰数据中心的客户信息，理由是美国对境外数据没有管辖权。 事情发展到现在，企业和政府双方又一次坐在了谈判桌前。据《华尔街日报》报道，司法部方面声称，微软这样的公司正在妨碍刑事调查： 根据这个观点，成千上万的犯罪调查 —— 包括恐怖行动、儿童色情、以及欺诈在内 —— 都会因为政府无力获取电子证据而受到、或将受到阻碍。 微软方面则坚称，若授权执法机构对位于美国境外服务器上的数据签发搜查令，有可能导致任何一个使用电子邮件的人都失去其权利。该公司总裁兼首席法务官 Brad Smith 在一篇博客文章中提到： 我们不同意政府论给定的‘客户电子邮件属于服务提供商（而不是客户自己）的财产’这个前提，这会导致人们失去自己的线上权利。 此外，微软声称这样的案件会对在云存储市场中打拼的美科技企业带来打击： 如果允许美国执法机关访问企业位于境外的服务器的话，又会违反欧盟地区的隐私法律，此举或导致美企在百亿级的云计算行业中丧失竞争力。 微软提议，执法部门和法院不应再依赖于 1986 年制定的、早已与时代脱节的旧法律，当年的立法者们根本无法预料到电子邮件和云存储竟然会在数十年后这般普及。据悉，新一轮听证定于明年 6 月举行，微软希望国会能够与科技公司合作，为执法保护指定一套新的规章制度。 稿源：根据cnBeta、solidot奇客联合整理，封面源自网络；

据外媒报道，美国国土安全局（DHS）近期宣布了一项针对冒名顶替的政府电子邮件的举措，即在未来的 90 天内，所有联邦机构都将要在其系统内部署 DMARC 邮件安全功能。 DMARC（Domain-based Message Authentication Reporting and Conformance）：基于域名的消息认证、报告以及一致性，多数消费类电子邮件系统都采用该功能。 今年 5 月，一起假装五角大楼的欺诈邮件网络攻击发生。而在 2015 年至 2016 年之间，国税局遭到的冒名网络攻击事件数量增加了 4 倍。今年 7 月，俄勒冈州民主党参议员 Ron Wyden 就曾写信给 DHS 网络安全与通信办公室的 Jeanett Manfra 要求在联邦机构中部署 DMARC。 Manfra 指出，DMARC 将能阻止这种冒名邮件的网络攻击。另外，DHS 还要求所有联邦机构的网站都用上 HTTPS。获悉，仍有近 1/4 的联邦政府网站还没有开始使用 HTTPS。 稿源：cnBeta，封面源自网络；

专业人士透露，策划窃取纽约联储孟加拉国央行账号里的 10 亿美元、利用公开的 NSA 恶意程序在数十个国家发动勒索软件攻击、入侵韩国军方网络窃取机密等著名攻击案例都让各国对朝鲜网军刮目相看。虽然部分案例朝鲜网军没有完全取得成功，但它至少从孟加拉国窃取到 8100 万美元，感染了数十万台机器。 5 月，美国国家安全局（ NSA ）武器库遭神秘黑客组织 “影子经纪人” 在线曝光，WannaCry 勒索软件肆意蔓延，导致 150 个国家超过 30 万用户受到恶意攻击。英国安全部门认为，这次攻击活动与朝鲜政府支持的黑客组织 Lazarus 有关。美国国家安全局基于战术、技术和目标的分析结果也进行了类似的内部评估，指出朝鲜间谍机构参与其中。 根据 Edward J. Snowden 几年前公布的机密文件，美国和韩国也都曾在朝鲜的网军侦察总局内部植入后门，美国也尝试部署数字战武器去破坏朝鲜的导弹，也只是取得部分成功。朝鲜独裁者的父亲金正日最早建立了朝鲜网络战力量。 最初，金正日和中国一样视互联网为政权的一种威胁，但在 1990 年代初他改变了看法，当时一群朝鲜的计算机科学家从海外旅行归来，提议使用互联网作为一种间谍工具，以及用互联网攻击敌人如美国和韩国。据悉，朝鲜从那时开始就挑选出聪明的学生进行特别的培训，送到中国的知名高校学习计算机科学。当金正恩在 2011 年即位后，他扩大了朝鲜的网络战任务，从战争的武器到窃取、骚扰和政治活动。 稿源：solidot奇客，封面源自网络；

据外媒报道，Adobe Flash Player 插件近期又曝出一个安全漏洞，允许攻击者向目标 PC 植入恶意软件。糟糕的是，该漏洞影响 Linux、Mac、Chrome OS、Windows 全平台，而 Adobe 修复的速度并不快。该恶意软件由安全公司卡巴斯基实验室率先发现，其称之为 “FinSpy” 或 “FinFisher”，因该方法通常被情报执法机构用于监视目的。 路透社报道称，卡巴斯基在积极追击一个名叫 “BlackOasis” 的黑客组织。在连接到位于荷兰、瑞士、保加利亚的服务器之前，他们已借助 Adobe Flash Player 漏洞成功地向计算机植入恶意软件。据悉，BlackOasis 利用 FinSpy 向联合国官员和中东政客，以及地区新闻记者、活动分子、反对派博客发起了攻击。此外，英国、俄罗斯、非洲、伊拉克、伊朗和阿富汗也有受害报道。 Adobe Systems 曾在今年早些时候表示，其有意让漏洞百出的 Flash Player 插件在 2 年之内寿终正寝。不过在 2020 年之前，大家仍易受到 FinSpy 之类的恶意软件攻击，所以 Adobe 还得最后努一把力，把漏洞修复的速度给提升上来。 稿源：cnBeta，封面源自网络；

据彭博社援引消息人士的说法称，Facebook 计划聘请获得美国国家安全许可的人士，旨在打击选举舞弊行为，防止外国政府利用其服务影响美国大选结果。拥有美国国家安全许可的员工可以获得美国政府的机密信息。不过，Facebook 需要为这些员工提交申请，因为以往当这些人士离开美国政府部门之后，国家安全许可就会被注销。 Facebook 近期正面临争议，即俄罗斯政府利用 Facebook 的服务，影响了 2016 年美国大选的结果。Facebook 上的舆论影响了公众意见，导致最终选举结果对美国现任总统特朗普有利。Facebook 上月承认，俄罗斯政府在美国大选期间在其平台上购买了 10 万美元的广告。Facebook 表示，将招聘这些人员，解决安全问题，防止政府部门瞄准平台上的用户。 据悉，Facebook 还计划与美国政府进行各种可能的合作，确保选举结果的真实性。目前尚不清楚，Facebook 是否已招聘了这样的员工，以及该公司计划招聘多少人。Facebook 可能于 11 月 1 日公布计划的部分细节。届时预计 Facebook 将在美国国会就俄罗斯政府大选期间的活动发表证词。Facebook 尚未就这一消息做出回应。 稿源：，稿件以及封面源自网络；