据外媒 18 日报道，美国国家标准技术研究所（NIST）近期提出新 IT 安全措施草案，其首次将隐私权纳入国家核心文本，并将安全领域扩大至物联网与智能家居技术。 该草案中的 “ 信息系统与组织的安全和隐私控制 ” 将成为美国执法的标准与指导方针，并作为更广泛行业的基准。因此，它可能对美国技术的使用与实施产生巨大影响。 据悉，该草案的前言参考今年早些时候发布的网络防御任务评估，即所有新设备与系统均对国家关键基础设施存在安全隐患的一说。报告还指出，针对美国关键基础设施的网络攻击超过安全漏洞威胁，美国在未来的十年中必须积极主动的采取系统性的网络防御措施。目前，NIST 试图做到这一点，并主动推出系统性方法。 现今，数百万用户掌握着强大的计算机设备，导致 NIST 的审查不得不考虑到公民隐私安全问题，因此隐私已成为该报告核心内容。报告指出，NIST 最终目标是使国家信息系统能够轻松抵御威胁，减少攻击破坏并使系统迅速恢复。值得注意的是，该报告部分内容此前仅影响美国联邦机构，但现今 NIST 已开始积极将其投放至私营企业并希望建立一个更完整的弹性网络。 除此之外，NIST 还提出一个特定的隐私计划和以隐私为重点的单独培训，其中包括两个广泛的附录，这些附录可以追踪文件中所有不同名称与编号的控件隐私要求和注意事项。 NIST 呼吁各组织机构： ○ 建立和维护一个全面的隐私计划 ○ 确保符合隐私要求并管理隐私风险 ○ 监督联邦法律、法规和变更政策 ○ 指派一名高级机构官员监督项目进程 ○ 确保隐私计划与其他项目之间的协调 总体而言，虽然文档篇幅较长且密集但它是网络规则的关键文档，将适用于成千上万不同 IT 系统、囊括对隐私与传统服务器设备的多项考虑。据悉，该草案的征求意见截止于 9 月 12 日，NIST 希望能在 10 月份发布最终草案并在年底之前正式推出。 原作者：Kieren McCarthy，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒报道，安全专家近期发现黑客伪造美国合法加密货币交易平台 Bittrex，旨在窃取用户登录凭据与账户资金。 美国加密货币交易网站 Bittrex 于 2015 年正式推出，支持包括比特币在内的数百款加密货币交换。不过，它仅支持英文且尚无任何联盟计划。Bittrex 由专业人士操作，主要目标是赢得客户信赖，确保货币交易更加安全快速。 据悉，一名在线用户于 8 月 15 日首次发现自身 Bittrex 帐号遭黑客入侵，且被盗约 2000 美元。研究人员随后经调查发现，黑客模仿合法网站 Bittrex 创建虚假交易平台，甚至连登录页面都极其相似，以诱导受害者泄露自身登录凭据。不过，伪造的 Bittrex 网站存在微小差异。例如，该虚假网站域名为 Blttrex.com，它使用字母 “ l ” 取代 “ i ”。 一家提供 IP 地址信息的知名平台 who.is 向媒体透露，虚假的 Bittrex 网站由俄罗斯公民 Sergey Valerievich Kireev 注册，其网站收集的所有地址、电话号码、城市与邮政编码均可在 who.is 平台使用。另外，虽然该网站已处于离线状态，但尚不清楚是否被托管公司强制下线。目前，Bittrex 尚未对此进行回应。 原作者：India Ashok，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

8 月 20 日消息，黑客 xerub 于近期发布 Secure Enclave Processor 固件 “ 解密密钥 ”。当时专家就已提醒过用户，接下来会有一场关于这个固件的 “ 解密密钥 ” 风波。用户大可放心，这个解密密钥不会影响到 Secure Enclave 安全。苹果方面好像也不会对此采取什么特别措施。 根据外媒的最新消息，某知情人士称苹果方面已经表示，保存在这一密码协处理器中的数据仍得到安全的保护，苹果不打算修复任何问题。该知情人士说：“ Secure Enclave 中有多个安全层，即使有固件解密密钥，那也无法访问数据保护类信息”。也就是说苹果非常自信，认为对 Secure Enclave 固件的分析不会影响到任何加密密钥、支付标记、指纹数据和其他安全保存在这个协处理器加密内存中的信息。 对此，黑客表示：“苹果的工作就是尽可能让 Secure Enclave 安全。这是一个持续不断的过程，不存在你可以说‘它现在是 100% 安全’的情况 ”。Secure Enclave 是独立于主处理器和整个系统的。它有自己的固件，独立更新，断绝与主处理器之间的一切联系。设备对 Secure Enclave 所做的事情是一无所知的。 稿源：cnBeta、威锋网，封面源自网络；

8 月 20 日消息，Tihmstar 日前发布了 HomeDepot 的完美越狱版本，支持所有运行 iOS 9.1-9.3.4 的 32 位设备。BetterHomeDepo 是为 iOS 9.1-9.3.4 的 32 位设备用户准备的完美越狱包。它利用的是 Pegasus（天马）和 HomeDepot 越狱。开发者已经提醒用户，这个越狱有可能让你的设备进入无限开机关闭循环之中，所以如果你还没有做好准备的话，请不要轻易越狱。 BetterHomeDepo 1.0.0 目前已经可以在 Tihmstar 的源中下载，不过目前仅提供了 iOS 9.3.4 iPhone 4S 的 offsets，你可以通过 /untether/offsets.json 来添加 offsets。其他 32 位 iPhone、iPad 和iPod 的 offsets 可以在这里查找（进入）。 Tihmstar 的 Cydia 源地址是 repo.tihmstar.net，设备上已经安装了 Cydia 的用户你们可以直接通过 Cydia 来添加。如果你的设备上还没有Cydia，你可以通过这个办法来添加：在终端执行 echo “deb http://repo.tihmstar.net/ ./” >> /etc/apt/sources.list.d/net.tihmstar.list 指令即可。如果在完美越狱之后，你的设备陷入无限重启循环之中，Tihmstar 提示至少要在设备无限重启 10 次之后方可触发无限重启保护机制。 稿源：cnBeta、威锋网，封面源自网络；

据相关媒体 8 月 20 日报道，中国科技巨头第二季度业绩远超分析师预期，也拉动它们股价创下新高。合称 BAT 的百度、阿里巴巴和腾讯，以及京东、微博和网易，赶上了中国消费者在线消费的大潮：通过手机购物、玩游戏和观看视频。 体量越来越大 图一：阿里巴巴、腾讯跻身全球市值最高十家公司 第二季度，阿里巴巴和腾讯挤进按市值计算的全球前十大公司，分别排在第七和第八位。它们的股价一直在上涨，今年累计涨幅超过 70%。当然，与真正的巨无霸相比，它们还有一定差距，比如，即使加在一起，腾讯和阿里巴巴的市值也不如苹果高。 今年以来，京东股价累计涨幅也超过 70%，目前市值为 620 亿美元。由于搜索业务爆出的一系列丑闻和没有及时向移动转型，百度表现平平，但投资者似乎看好它在人工智能领域的布局，其市值也高达 780 亿美元。 中国特色的利润 图二：各大巨头营业利润率 成本在上升。对内容的争夺拉升了价格，对用户的争夺使得各大巨头纷纷打起补贴战，在人工智能等领域的投资要见到回报尚需时日。部分公司的营业利润率在滑坡，有些业务部门甚至是亏损的。 阿里巴巴和腾讯对此不以为然。腾讯总裁刘炽平表示，支付业务的目标是对生态链和其他业务提供支持，“就不是为了赚钱”，阿里巴巴副董事长蔡崇信说，“只要我们能为客户创造价值，股东价值就会随之而来。”在中国科技界话语中，“再投资”通常意味着补贴或花钱买市场份额。 广告业务与海外同行有差距 图三：BAT 与谷歌、Facebook 广告业务比较 对于大多数互联网公司来说，利润主要靠广告业务营收，但在中国却不是这样。腾讯微信月活跃用户为 9.63 亿，接近 Facebook 20 亿用户的半数。但根据预测，微信今年数字广告营收不足 70 亿美元，远低于 Facebook 的逾 360 亿美元。 这种情况可以有两种不同看法：错过的机会或还有足够增长空间。预计中国互联网巨头广告收入将会增长，但速度较慢。这与刘炽平的说法是相符的：他希望提高广告质量而非数量，“目前我们没有看到投放大量广告位的必要性”。 不断开拓新业务 图四：新浪微博把 Twitter 甩在后边 2014 年 4 月上市时，新浪微博与 Twitter 相比只是一家小公司，通过 IPO（首次公开募股）融资 2.85 亿美元。3 年多后，新浪微博已经远远把 Twitter 甩在后边，措施则是吸引年青用户，涉足直播领域，吸引各行各业的大牛、明星，从而吸引他们的粉丝。 也许最开始时新浪微博与 Twitter 相似，但它已经发展成 Twitter、YouTube 和 Facebook 的混合体。同样重要的是，新浪微博的新业务还相当成功：它与 Twitter 的另外一个区别是，Twitter 最近关闭了其短视频应用 Vine。 未来面临一定不确定性 图五：法律法规对市值影响 但是，中国日趋成熟、规范的互联网监管法律法规，可能对它们的业务产生一定影响。开始限制青少年玩《王者荣耀》的时间后，7 月 4 日一天腾讯市值蒸发了 151 亿美元。百度、新浪微博最近因传播不良信息被立案调查，阿里巴巴被要求从淘宝下架 VPN。 稿源：cnBeta、凤凰网科技，封面源自网络；

据外媒报道，乌克兰中央银行于 8 月 18 日发表声明，警示乌克兰国有与私人银行再度遭受新勒索软件攻击，其类型与 6 月袭击全球各企业网络系统的勒索软件 NotPetya 相似。 6 月下旬，NotPetya 勒索软件网络攻击首次袭击乌克兰与俄罗斯公司，旨在加密电脑私人数据并要求受害用户缴纳 300 美元赎金。调查显示，此次攻击活动通过一款广泛使用的会计软件 MeDoc 感染恶意代码并于全球范围内肆意传播，而 TNT 快递、美国默克等知名企业在网络系统运营中普遍使用该款软件。 据悉，安全专家于 8 月 11 日发现新型勒索软件攻击后当即通过邮件迅速向各银行机构通报其恶意代码、特性指标，以及预防措施。经安全专家深入调查后发现，新型勒索软件通过网络钓鱼邮件附带的恶意办公文档进行肆意传播。目前，乌克兰央行正与国家 CERT 及地方当局密切合作，旨在提高其关键基础设施的网络系统防御能力（特别是乌克兰各大银行）。 安全专家表示 ，此勒索软件可能再次导致乌克兰各企业的网络系统面临严重危机，因该恶意代码具备规避杀毒软件功能。另外，由于 8 月 24 日是乌克兰庆祝国家脱离苏联独立的第 26 周年。因此，当局推测黑客极有可能在活动当天针对乌克兰基础设施展开大规模网络攻击。 原作者：Pierluigi Paganini，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒报道，美国国防部非机密电子邮件系统于 8 月 18 日凌晨两点出现中断宕机现象。随后，美国国务院发言人 Heather Nauert 在当天新闻发布会上表示：“ 此次宕机属于内部技术故障，并非外部网络攻击干扰。目前，我们正尽快恢复该项服务，以确保用户信息安全。另外，其他通讯系统仍可继续使用 ”。目前系统已恢复正常。 与国防部非机密邮件系统中断发生的同一天，特朗普总统宣布升级美军网络司令部计划，旨在加强国家网络安全防御体系。据悉，特朗普宣布将美军网络司令部升级为美军第十个联合作战司令部，使其具备更多作战独立性并与其他主要军事指挥机构保持同步，有助简化网络空间运作，增强国家网络安全防御能力。 美国空军于 2009 年成立美军网络司令部，并于 2010 年 5 月 18 日正式启动，其总部设在华盛顿附近的马里兰州米德堡军事基地，曾隶属于美军战略司令部。该司令部主要统管全军网络安全与作战指挥，其司令由国家安全局局长兼任。 特朗普在一份声明中表示：“这个新联合作战司令部将加强美国网络空间运作，并创造更多机会提升国家防御水平。另外，美军网络司令部的升级显示了我们应对网络空间威胁的决心，有助于安抚我们的盟友与合作伙伴，并阻止敌对势力的网络攻击活动。” 美国负责国土防御与全球安全事务的助理国防部部长肯尼斯·拉普阿诺（Kenneth Rapuano）表示，美军网络司令部的升级是必要决定以应对日益危险与频繁出现的网络威胁。该决定是美军网络司令部不断努力提高网络能力的重要一步，使其网络命令能够提供真正有意义战略。与此同时，这也彰显了美国国防部在各个领域与冲突阶段加强美军作战能力的决心。 原文作者：Hyacinth Mascarenhas， 译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒报道， Drupal 研究人员于 8 月 16 日发布安全报告，宣称已修复 Drupal 8 多处漏洞并在线更新安全补丁。研究显示这些漏洞影响 Drupal 8 多个系统组件，包括实体访问系统、REST API 与部分视图组件。 ○ CVE-2017-6925 研究人员发现 Drupal 8.3.7 中存在一处高危漏洞（CVE-2017-6925），影响实体访问系统，允许攻击者查看、创建、删除或更新实体。不过，该漏洞仅影响不具备 UUID 实体，以及对同一实体不同版本有多种访问限制的实体系统。 ○ CVE-2017-6924 在 Drupal 8 中存在另一绕过访问权限的关键漏洞（CVE-2017-6924），即当无访问权限的任何用户驻留在 REST API 时，允许通过 REST 发布评论。目前，此漏洞已被评估为高危漏洞，因为它影响具有 RESTful Web 服务模块与启用注释实体 REST 资源的站点。 ○ CVE-2017-6923 在 Drupal 8 中还存在另一关键漏洞（CVE-2017-6923）影响视图组件。当用户创建视图时，可以选择使用 Ajax 通过过滤器参数更新数据。不过，视图子模块仅对配置为 Ajax 的视图进行访问。如果用户对视图具有访问限制，那么可以减轻系统损失，即使用户正使用另一模块显示。 目前，安全研究人员建议用户尽快全盘检测系统并将 Drupal 升级至最新版本。 原作者：Pierluigi Paganini，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据美国侨报网报道，美国选票计算机公司 Election Systems & Software（ES&S）于 17 日证实，因工作人员在服务器上进行了错误的安全设置后，逾 180 万芝加哥选民记录在线泄露。 该公司在一篇博客文章中说，泄露的选民数据包括名字、地址、出生日期、一部分社会安全号码、驾照和州身份证号码。这些信息原本储存在服务器的备份文件中。据悉，警方在 8 月 12 日就泄露事件通知 ES&S，目前数据已得到保护。不过，数据并不包括投票信息，比如选民的投票结果。 芝加哥选举委员会发言人艾伦（Jim Allen0）说，泄露不包含也不影响任何人的投票结果，这些信息由另一家公司负责。专家正调查 ES&S 泄露事件。ES&S 发言人在一份声明说中，除了发现它的研究员外，没有迹象表明有人曾在先前访问过这些数据。 稿源：中国新闻网，封面源自网络；

一个价值 500 美元的小型设备利用了苹果 iPhone 7 和 iPhone 7 Plus 独一无二的新漏洞，暴力破解 iPhone 7 锁屏幕密码，并且一次最多破解三个手机的  iOS 锁屏密码。在 YouTuber 用户 EverythingApplePr 的破解演示视频中，指出此类漏洞在旧版设备，如 iPhone 6 或 iPhone SE 上无效。此外，仅适用于 iOS 10.3.3 或最新的 iOS 11 测试版。 不过，根据苹果的回应，在 iOS 11 Beta 4 中，这个安全漏洞已经被修复，iPhone 7 已经无法使这款 500 美元的小型设备进行暴力破解了。 稿源：cnBeta、MacX，封面源自网络；