HackerNews.cc 10 月 9 日消息，英国情报机构 GCHQ 新任主管近日发表声明，宣称抵制网络攻击与打击恐怖主义同等重要。 今年早些时候从英国 “军情五处（MI5）” 加入 GCHQ 的主管 Jeremy Fleming 表示：“如果我们要想继续保障国家与公民安全，那么加强情报收集、全天候打击恐怖主义活动是我们所要执行的重要使命之一。目前，我们正对 GCHQ 各部门投入大量资金，旨在合力打造一支情报与反恐机构紧密结合的网络组织 ”。 英国网络安全中心上周表示，去年有 590 起重大网络攻击事件需要国家响应，其中包括 5 月勒索软件 WannaCry 的爆发，以及 6 月议会电子邮件系统遭遇袭击等。 据悉，Fleming 对网络安全的重视是他离开军情五处领导 GCHQ 以来最为在意的民众问题，但英国政府的优先事项或政策重大转变不应被此混淆。例如，政府在 2015 年国家安全战略（PDF，第13页）中重申“视网络攻击为一级威胁”，并承诺在 2016 年至 2021 年间将投入 19 亿英镑作为支持，而自 2010 年国防审查以来，网络也确实被视为了一级威胁。 原作者：John Leyden ，译者：青楚 ，校对：FOX 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒报道，Twitter 主要投资人、前微软 CEO 史蒂夫·鲍尔默表示，目前社交网络还无法阻止假新闻的传播。不过他认为社交平台可以起到一定的遏制作用。 鲍尔默于本周一接受彭博社 TV 采访时指出，他认为像 Facebook、Twitter、Google 等这样的公司应当采纳一套能告知用户其阅读新闻是否来自可靠源头的系统。 Facebook 于上周披露了一些与俄罗斯存有关联的账号在其平台上投放广告的消息。两周前，Twitter 称，他们发现了 200 多个账号被证实跟 Facebook 广告购买者相关。此外，Google 的最新调查显示，俄罗斯人员在 YouTube、Gmail 以及 Google 搜索中花了数万美元购买广告。 知情人士透露，Twitter、Facebook、Google 高层将在下月 1 日出席由美国国会举行的关于俄罗斯干扰大选的听证会。当问及 Twitter 持续不断的骚扰问题时，鲍尔默表示他个人秉承言论自由理念，不过所有的社交网络都应该对 “完全不合适” 的内容采取行动。而当谈及总统特朗普的争议推文时，鲍尔默表达了跟 Twitter CEO 杰克·多尔西一样的态度–“这是他的想法。每个选民都可能受益于这个直接聆听的功能。 ” 稿源：cnBeta，封面源自网络；

据外媒报道，Google 正在继续推动通用加密，要求所有 45 个顶级域名（ TLD ）在其控制下进行安全连接，其中包括 .com、.org、.net、.gov、.int、.edu等后缀结尾的域名。为确保这 45 个顶级域名安全连接，Google 将使用 HSTS 或 HTTP 严格的运输安全。调查显示，自从 2010 年将 Gmail 移至 HTTPS 时，Google 一直在推动通用加密或 HTTPSEverywhere。此外，从去年开始对个人网站的 SSL 证书及加密进行施压。知情人士透露，从 2018 年开始，每当有人访问仍然通过 HTTP 服务的网站时，Google 会在地址栏中放置一个“不安全”的指示。 HSTS 是一种机制，强制 Web 浏览器只通过 HTTPS 连接到您的网站。有一些称为 HSTS 预加载列表的东西，它自动存储在浏览器中，并告诉他们自动执行 HTTPS 连接。这增加了一层安全性，因为它防止降级攻击。 据悉，当浏览器收到一个网站的 HSTS 时，意味着网站所有者已启用 HTTP 严格传输安全，以便 HTTP 连接永远不会遭到重置。但是，在浏览器收到 Header 之前，你仍然很容易受到攻击。因此 HSTS 仍是存在瑕疵的。不过 Google 已基本上为其所有顶级域名解决了这个问题。 HSTS 预加载列表可以包含域，子域和顶级域名。直到 2015 年，没有人尝试添加顶级域名，Google 添加了同名的 .google。目前，它还增加了其他 44 个顶级域名。据悉，通过将所有顶级域名置于列表中，浏览器将自动执行与该顶级域名的任何域的 HTTPS 连接-只要它们已安装了 SSL 证书。这可以防止用户尝试进行首次连接时发生攻击的任何风险，因为默认情况下，该域已经在顶级域名级别的预载列表中。 然而，获取 HSTS 预载列表可能需要几个月的时间。将自家顶级域名放进预加载列表，算是 Google 对其他网站拥有者的贴心之举。作为域名注册商，它也更具吸引力。当然，这些顶级域名中只有三个是活跃的 .google、.how、.soy，第四个 .app 即将上线。Google 的这一做法可能会形成一个趋势。随着 SSL 迅速成为需求，增强你的 SSL 产品将会比以往更重要。我们期待看到更多的域名注册商将整个顶级域名添加到列表中。 稿源：cnBeta、誉名网，封面源自网络；

据路透社报道，谷歌发现俄罗斯特工花费数万美元在 YouTube、Gmail 和谷歌搜索上投放广告，以此干扰 2016 年美国总统大选。知情人士表示，这些广告的购买者与 Facebook 广告似乎有所不同，但却有可能表明俄罗斯方面在通过网络平台散布虚假消息方面展开了更大范围的部署。 微软也在本周一宣布，该公司正在调查俄罗斯是否在美国大选期间通过必应及其他微软产品和平台购买了相关广告。微软发言人拒绝对此置评。谷歌披露的信息可能令硅谷巨头面临更为细致的调查，以便确定他们究竟在去年的美国总统大选期间发挥了何种作用。美国情报机构认定，俄罗斯的目的就是帮助唐纳德·特朗普（Donald Trump）当选美国总统。知情人士表示，谷歌发现的与俄罗斯特工有关的广告开支不到 10 万美元。 然而，Twitter 和 Facebook 最近发现，效力于圣彼得堡内容农场 Internet Research Agency 的俄罗斯特工，使用他们的平台购买广告，并发布可能引发政治分歧的内容，以期在 2016 年 11 月的美国总统大选前后影响美国公民。美国立法者和研究人员表示， Agency 聘用了数百名所谓的 “troll”，让他们冒美国人或欧洲人发布支持克里姆林宫的内容，其中很多都是虚假内容。 Facebook 上月宣布，公司发现 Agency 投放了 10 万美元广告后还在立法者的压力下承诺提升广告购买和定向过程的透明度。知情人士表示，谷歌的评估比 Facebook 和 Twitter 更加深入。 稿源：，稿件以及封面源自网络；

一家自称不记录日志的香港 VPN 服务商 PureVPN 被指帮助 FBI 抓住一名网络骚扰者。24 岁的麻省居民 Ryan Lin 于上周被捕，被指通过网络大肆骚乱前室友 Jennifer Smith。 据悉，Lin 是通过 Craigslist 上的广告而在 2016 年 4 月底/ 5 月初成为 Smith 的室友，Smith 的房间没有锁，她有一台 MacBook 笔记本电脑也没有密码保护，其中还有一份文件储存了她的所有在线账号的密码。在 Lin 入住不久他就表现出奇怪的行为，Smith 在 Lin 的请求下以 60 美元出售了大麻，当天凌晨 3 点他进入了她的卧室对她大吼，指控她在出售大麻上欺骗了他。此事发生不久她就搬了出去。Lin 通过短信暗示他已经窃取了她的所有在线账号密码，访问了她的 iCloud，Google Drive，查看了她的个人日志。 此外，Lin 还通过登录其账号以 Smith 的名义发送了炸弹恐吓、儿童色情和性暴露照片。FBI  的调查发现，Lin 使用了 Tor 和多个 VPN 服务来隐藏真实的 IP，他使用的一个 VPN 服务就是 PureVPN，而他同时还使用了另一个 VPN 服务 WANSecurity。讽刺的是，Lin 还在社交网络上抨击 VPN 服务商所谓的不记录日志是胡扯。 稿源：solidot奇客，封面源自网络；

据外媒 10 月 8 日报道，安全专家近期在美国内华达州的克里奇空军基地检测军舰设备时发现无人机 “ 捕食者（Predator） ” 与 “收割者（Reaper） ” 的主机系统遭病毒感染，或将导致飞行人员的远程任务在线泄露。 调查显示，由于该款恶意软件能够记录飞行人员在远程飞行时的每一次击键操作，因此可能导致分类数据在线泄露至境外代理的安全风险。尽管安全专家于今年 9 月发现该病毒后立即将其移除，但结果事与愿违，它在移除后仍会再次滋生。不过，好在这个问题到目前为止并未泄露任何机密信息，以及干扰飞行人员的任何一次海外任务。 目前，安全专家仍在调查此次事件的恶意代码是攻击者的偶然植入，还是故意植入。不过，美国空军作战司令部发言人 Tadd Sholtide 表示：“此次攻击事件后，我们将投入大量资金与人力保护与监测军队系统，以便快速应对黑客攻击威胁、确保设备安全。 原作者：Brendan Cole，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

HackerNews.cc 10 月 8 日消息，技术与市场调研公司 Forrester 的安全专家于近期发表声明，宣称公司网站系统已遭黑客入侵，黑客试图通过窃取客户登录凭证后接管公司网站、下载客户市场调研文件。不过，好在研究人员及时发现后立即对其进行拦截。 Forreste Research 是一家独立的技术与市场调研公司，旨在针对技术给业务与客户所带来的影响提供务实和具有前瞻性的建议，其主要为全球金融与商业组织提供数据统计与市场调研等服务。 研究人员表示，虽然黑客利用该途径窃取了客户调研报告，但目前并没有证据表明客户机密数据、财务信息，以及员工私人数据已被访问或公开。不过，无论如何，公司内部数据都是网络间谍手中的重要筹码，即可以访问与客户和项目相关的敏感信息。 Forrester 董事长兼首席执行官 George F. Colony 表示：研究人员在此次攻击中意识到，如果想要保证客户轻松访问研究报告，那么黑客也会从中找到入侵公司内部系统的解决方法，因此这是一个值得深思的权衡。不过，目前我们已经采取了一种常识性的方法解决此类问题。随后，我们也将持续关注该类事件的发生，以便快速响应不断变化的网络安全风险。 原作者：Pierluigi Paganini，译者：青楚  本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒 10 月 8 日报道，网络安全公司 NewSky Security 研究人员 Ansoft Anubhav 近期发现逾 700 台企业与政府使用的 Brother 打印机设备在线暴露，致使任一用户轻松访问管理面板后远程操控目标设备。 调查显示，研究人员在检测时发现多数受影响的 Brother 打印机的管理面板在出厂设置下无密码保护，其任一用户均可通过搜索引擎 Shodan 或 Censys 就能访问。目前，受影响机型包括 DCP-9020CDW、MFC-9340CDW、MFC-L2700DW，以及 MFC-J2510 等。 此外，研究人员发现攻击者在访问联网的 Brother 打印机后可以任意修改密码设置，从而接管目标设备后窃取重要信息。研究人员还注意到，打印机曝光的管理面板还包括管理固件更新选项，即攻击者可以利用暴露的管理面板感染恶意固件后充分控制目标设备。据悉，在私营企业与政府机构的情况下，这可能导致大量敏感信息在线泄露。 目前，研究人员在通知了受影响的组织后立即提醒所有运行 Brother 打印机的企业在线修改管理面板的默认密码，以防未经授权的黑客访问目标设备。 原作者：Pierluigi Paganini，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

德意志银行近期宣布开源交易平台 Autobahn 拥有超过 15 万行源代码。据悉，被称为 Plexus Interop 的代码由 Symphony 软件基金会管理， 托管在 GitHub 上，采用 Apache v2 许可证。 德意志银行希望第三方交易应用供应商能将开源代码作为公用的基础，使得彼此能无缝的工作。目前，代码将被整合到 Symphony 的协作平台。公司的一位高管 Peter Wharton-Hood 表示，德银想要成为银行行业开源技术的领导者。 稿源：solidot奇客，封面源自网络；

包月手机定位、航班乘坐记录、公民个人征信信息、银行账户余额信息等等，当这些信息全都被放在大家看得见的地方时，公民隐私从何谈起？近日，山东省枣庄市公安局成功破获公安部挂牌督办 “3.12” 特大网络侵犯公民个人信息案，抓获犯罪嫌疑人 28 名，其中社会行业信息泄露源头 12 人，包括通信公司经理、机票经销代理商以及多名银行员工。 2017 年 3 月中旬，枣庄市公安局网警支队接到群众举报，穆某在网上公开贩卖公民个人信息，随即指派滕州市公安局开展侦查工作，将穆某抓获归案，经过对穆某审查，民警发现手机定位、银行余额、航班乘坐记录、个人征信、美团、购物等各类公民个人信息都可以进行出售买卖。而这些被公然叫卖的信息与当事人的真实信息匹配度极高。 滕州市公安局立即组织召开案件调度会，抽调精干警力组成 “3.12” 专案组开展侦查工作。经初步查明：犯罪嫌疑人穆某某、吴某某、刘某某等人通过在 QQ 群、微信朋友圈发布出售手机定位、银行余额、航班乘坐记录、个人征信等各类公民个人信息广告的方式寻找客户，接单后通过微信向多名信息源头购买信息后加价出售，每条信息 10 元、50 元、200 元价格不等，非法获利五千至二十余万元。但从掌握的情况来看，这些人都是一些中间商，真正的 “内鬼” 还隐藏在暗处。面对涉案人数较多，贩卖信息种类繁杂，相互关系复杂的难点，专案组民警最先要做的就是理清这条犯罪链条上的脉络关系。经过大量的侦查工作，确定了以倒卖信息的“中间商”穆某某突破口，经顺线追踪，深入调查，穆某某的 “上线” 某通信公司经理吴某、机票经销代理商王某两大行业 “内鬼” 就此出现。 2017 年 4 月 9 日起，“3.12” 专案组雷霆出击，在全国范围内组织了三次集中抓捕行动。在抓捕犯罪嫌疑人代某某时，民警发现他具有一定的反侦察能力，在四川成都、泸州等地周边与民警玩起了 “躲猫猫”，民警在实时追踪上遇到了一定难度。经周旋，代某某自以为已躲避了民警的追查，回到泸州家中。其实，办案民警已经在那里蹲守了三天三夜，并事先联系了当地派出所配合侦查，最终在嫌疑人代某某放松警惕时，将其成功抓获。 此次抓捕，办案民警辗转江苏、浙江、上海、吉林、陕西、河南、四川、湖南、安徽、河北、湖北等 11 省 16 市，行程十万余公里，最终将犯罪嫌疑人代某某、王某、吴某、范某某等 28 人抓获。目前，公安机关警示提供信息网络服务的各行业部门，要严格落实网络安全管理责任，确保本单位信息系统安全，同时加强从业人员管理教育，严防公民个人信息泄露。同时，公安机关将加大执法力度，对拒不履行网络安全管理义务、造成公民个人信息大量泄露的网络服务提供者，予以依法严肃处理。 稿源：cnBeta、法制网，内容有删减；封面源自网络。