得益于谷歌 Project Zero 团队 Ian Beer 发现的 libxpc 漏洞，开发者在本月初表示 iOS 10.3.2 越狱成为可能。那么你是否已经决定停留在 10.3.2 版本等待越狱呢？如果你已经升级至 10.3.3 版本，那么很遗憾的告诉你自今天开始无法降级了，苹果已经关闭了 iOS 10.3.2 的验证激活通道。 据悉曝光的 libxpc 漏洞可以提权获得系统最高权限，从而执行任意代码。不过该漏洞已经在 iOS 10.3.3 版本中得到了修复，这就意味着只有停留在 10.3.2 版本才能可能等待大神公布越狱操作程序。 iOS 10.3.3 于今年 7 月 19 日正式发布，共计修复 47 处安全漏洞，其中最值得关注的就是此次更新修复了一个较为严重的 WiFi 漏洞（CVE-2017-7047），所以如果不想被黑客远程控制你的 iPhone，最好更新 iOS 10.3.3。这个漏洞会影响  iPhone 5 及以后的设备、iPad 4 及以后的设备还有 iPod touch 6。 稿源：cnBeta，封面源自网络；

日前，HBO 黑客攻击事件变得越来越扑朔迷离。上月月底，黑客在网上发布消息威胁，他们将公布还未播出的多部 HBO 影视作品包括《权力的游戏》、《球手》、《巴里》、《104 号房间》以及公司的财务记录和内部运作文件。按照黑客这边的说法，他们为这次的攻击准备了 6 个月的时间。 针对媒体公司的网络攻击成为了网络犯罪的最新趋势，脆弱的安全系统和巨额的赎金是吸引这些网络犯罪分子的主要原因。而广受观众喜爱的《权力的游戏》就是一个非常完美的目标。知情人士获悉，当地时间周一晚，黑客于 8月 8日公布了一集来自《权力的游戏》剧本并发出警告：要么付钱，要么曝光更多的秘密。 据黑客披露，其中一个秘密是一份来自 HBO 主席、CEO Richard Pleper 的通讯录名单。不过知情人士告诉媒体，这份文件很有可能是伪造的。本周二晚，《名利场》首度报道了这份假文件。 消息人士称，名为 Richard Contact list.txt（ Richard 联系人名单 ）的文件里包含了上千个 HBO 和时代华纳职工的电子邮件，而实际上它是从 Vivianne Contact list（Vivianne 联系人名单）改过来的。联系人和文件都是真的，但它并不属于 HBO CEO，而是另外一位高管。HBO 对此事拒绝置评，该家公司表示，他们没有理由相信整个电子邮件系统被攻破。 稿源：cnBeta，封面源自网络；

援引 India Today 报道，印度政府宣布封杀互联网档案网站 Wayback Machine。印度地区用户如果尝试访问该网站，会收到已经遭到印度电信部门屏蔽的提示信息。 Wayback Machine 是非常实用的网站工具，在过去 20 多年来已经存储了超过 3020 亿个页面。India Today 在报道中表示印度政府此举可能是为了从根本上铲除资料讹误、谣传，并从一定程度上降低一些政府机构的责任。不过在报道中也表示本次封杀并未完全覆盖印度全境，部分地区依然能够访问该页面。 在印度，政府加大了对色情、种子网站以及文件共享网站的打击力度，而在此前印度政府从未将 Wayback Machine 划分到这些类目中。网站方面表示已经和印度电信部门、电子和信息技术工业部等部门进行多次磋商，但截至目前仍没有得到回复。在声明中表示：“ 显然，对于这项举措我们表示失望并会继续关注后续发展，我们也非常渴望地想知道此举背后的原因。” 稿源：cnBeta，封面源自网络；

步 Apple、Google 和 Mozilla 后尘，微软（ Microsoft ）决定取消信任来自中国的 CA 机构沃通（ WoSign ）和它的子公司 StartCom。来自中国的证书颁发机构沃通（WoSign）和 StartCom（ StartCom 已于 2015 年底被 WoSign 秘密收购）被微软认定未能达到受信任根证书的标准。 微软发现沃通、StartCom 有不可接受的安全风险，如倒签发 SHA1 证书、错误签发证书、意外的证书吊销、签发有相同序号的不同证书、多次违反 CA/Browser Forum 基线要求。 因此，微软决定循序渐进，不再信任沃通和 StartCom 证书有效起始日期晚于 2017 年 9 月 26 日的证书，这也就意味着当前已签发的证书将仍然有效，直至证书过期。2017 年 9 月后，Windows 10 将不再信任任何来自于沃通和 StartCom 签发的新证书。 稿源：cnBeta、易可米，封面源自网络；

今年早些时候，美国各地发生了一系列针对 100 个犹太人活动中心的炸弹威胁事件，造成当地组织日常混乱，并引发对美国反犹太暴力事件的新担忧。随后美国警方逮捕了 19 岁的以色列公民 Michael Kadar，克服了各种匿名措施追踪电话。但新证据表明，Kadar 可能代表第三方拨打这些电话，作为在暗网上运作的更大的炸弹威胁租赁业务的一部分。 在最近公布的搜索令（首先由研究员 Seamus Hughes 发布）之后，警方试图访问 Kadar 的 AlphaBay 帐户，他似乎在经营业务。调查人员在 Kadar 电脑的文本文件中发现了该服务的公开说明。该信息包括威胁的详细定价信息，可选择将虚假名字作为电子邮件的一部分，以及如果由于威胁导致课程未被取消，还可以退款。 AlphaBay 的调查人员也发现了同样的文字，在 2 月 8 号由一位名叫 “ DarkNetLegend ” 的用户发布。ProPublica 的追踪记录在 8 日之前针对犹太中心多达 65 次的炸弹威胁，尽管大多数威胁是在 2 月和 3 月进行的。Kadar 的文字说明仅涉及向学校发送的电子邮件威胁，尽管后续文件也引用了电话服务。 来自 Kadar 的 Google Voice 帐户的证据表明，他的威胁不仅仅是针对犹太人活动中心，还包括对佛罗里达州一所中学以及对从联合航空公司一架航班的炸弹威胁。调查人员通过追踪攻击中使用的 Google Voice 号码找到 Kadar，但仍然没有迹象表明谁可能雇用他来首先瞄准犹太人活动中心。如果使用 AlphaBay 的标准匿名功能进行交易，则可能无法追溯到客户。 稿源：cnBeta，封面源自网络；

研究显示，大多数主要网站都通过密码保持基本安全性，但同时他们也可以是信息跟踪手段，特别是如果用户不小心使用其凭据，或网站管理或存储密码不当。Dashlane 于 8 月 9 日发布了密码性能排名调查。这项调查检查了主要消费者和企业 SaaS 和媒体服务密码安全性，结果非常令人震惊。消费者网站当中近一半未能实施最基本的密码安全策略，而企业网站则有 36％ 的未能提升其密码的安全性，包括亚马逊网络服务。 网站排名从零到五，零分是最差的得分，五分是最好的得分，三分是及格成绩。在排名评测当中，DashLane 考察了五个不同的东西： 密码长度：网站是否要求所有密码超过八个字符？ 密码复杂度：该网站是否阻止用户创建 “ aaaaaa ” 或 “ 111111 ” 等密码？令人震惊的是，研究人员能在亚马逊、Google、Instagram 和 Venmo 上创建只包含小写字母 “ a ” 的密码。 密码强度评估：网站告诉用户密码的强度（或其他）是通过仪表还是彩色条形码？ 暴力：经过十次失败的尝试后，网站是否采取行动来停止暴力攻击，要么通过锁定帐户或提交人机识别系统？ 因素身份验证：网站是否要求用户通过短信发送的令牌或使用验证器应用程序来确认身份？ 在针对消费者的网站当中，只有一个网站获得了满分，那就是 GoDaddy，一个受欢迎的网络托管平台。其它通过测试的网站包括包括 Apple、Microsoft、Tumblr、PayPal、Reddit和Slack。 不幸的是，Netflix、Pandora、Spotify 和 Uber都得了零分。 稿源：cnBeta，封面源自网络；

美国隐私倡导组织 Center for Democracy & Technology （CDT）向美国联邦贸易委员会（FTC）投诉 VPN 服务商 AnchorFree。 AnchorFree 总部位于加州硅谷，开发了受欢迎的免费 VPN 服务 Hotspot Shield（也有付费版本）。起诉书指控 AnchorFree 破坏了对用户的承诺，与在线广告商分享了用户的私人网络流量以改进广告展示。Hotspot Shield 会在免费用户浏览时插入广告，用户对此做法知情，CDT 没有指控 AnchorFree 秘密植入广告，而是指控该公司违反了不跟踪或出售用户信息的承诺。 稿源：solidot奇客，封面源自网络

据外媒 8 月 8 日报道，英国政府于近期推出一项新安全法案，旨在保障国家关键基础设施安全。该法案指出，提供能源与交通等基本服务的供应商需要制定一份安全紧急方案，以解决电力故障或环境灾难所带来的严重影响。倘若此类公司未能有效实施网络安全措施，或将面临巨额罚款 ，其金额最高可达 1700 万英镑。目前，该法案集数字、文化、媒体与运动为一体，符合欧盟《网络与信息安全指令》（ NIS 指令 ）的要求并将于明年 5 月生效执行。 NIS 指令于 2016 年 7 月 6 日通过审核后在同年 8 月生效，旨在促进成员国安全战略协作与信息共享、提升欧盟网络安全水平。此外，欧盟成员国需要在 NIS 指令生效的 21 个月内将其纳入国家立法，并另有 6 个月可识别指令涉及的主体范围。 调查显示，由于英国提供关键基础设施的组织于近期在勒索软件 WannaCry 与 NotPetya 攻击事件中普遍遭受影响，因此政府不得不加快安全法案的制定。日前，英国政府发表声明：“ 罚款只是一时的手段，它并不适用于对风险进行充分评估、采取适当安全措施但仍遭受攻击的组织机构。” 英特尔首席技术官詹姆斯·查普尔（James Chappell）表示，虽然英国政府的提案比 NIS 指令更加严格，但该法案的制定并不是单纯的执行惩罚措施，而是为了促进提供关键基础设施的供应商加强网络防御体系。 原作者：John Leyden ，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒 8 月 8 日报道，乌克兰国家邮政服务机构 Ukrposhta 近期遭受黑客为期两天的分布式拒绝服务（DDoS）攻击，导致计算机网络系统运行缓慢，甚至出现中断现象。 国家邮政服务机构 Ukrposhta 由乌克兰基础设施部管理，主要通过全国近 1.2 万个邮政网点提供超过 50 项服务。目前，该机构拥有逾 7.6 万名员工，其中 1.3 万名是邮政服务运营商。 据 Interfax 通讯社消息，受害计算机网络系统与包裹在线跟踪系统有关。黑客利用僵尸网络向 Ukrposhta 服务器发送大规模流量，强制网站离线。Ukrposhta 发言人表示，此次攻击活动导致官网与相应服务普遍遭受影响。当前，技术人员正努力解决上述问题，以便尽快恢复工作流程。 7 月下旬，Ukrposhta 曾在一份季度报告中证实，黑客通过乌克兰会计公司使用的 MeDoc 软件自动更新传播勒索病毒 NotPetya，导致公司自动化邮件系统完全崩溃。截至目前，NotPetya 已感染 60 多个国家不同行业的网络系统，与 5 月中旬爆发的勒索软件 WannaCry 具有明显相似之处。 原作者：Jason Murdock ，译者：青楚，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

微软存在多种方式帮助用户远离钓鱼邮件诈骗，因为该公司在 Microsoft Exchange Online Protection（EOP）for Office 365 和 Outlook.com 等产品或服务中内置反垃圾邮件过滤措施。然而新攻击和欺骗形式总会不断涌现，除了通过 “ 技术支持诈骗 ” 手段访问他人计算机和个人信息的老套路，其最新的形式是在网站中嵌入声称 “ 可清理和保护您的计算机 ” 的消息。 微软发现攻击者在邮件中会利用看起来没有任何问题的链接引诱用户点击，一旦受害者点击进入技术支持的恶意网站后，就会使用弹窗或者恐吓战术诱使受害者拨打屏幕上方预留的电话并且支付不必要的 “ 维修服务 ” 费用。为预防这种类型的威胁，微软特地在 TechNet 上的 Windows Security 博客中强调了一番： ● 许多这类诈骗都起源于可疑网页中的恶意广告 —— 主要是下载盗版软件和媒体的那些地方 —— 它会将用户自动重定向到 ‘ 技术支持 ’ 诈骗站点，以引诱受害人去拨打所谓的 ‘ 热线电话 ’ 。 ● 也有些技术支持诈骗者会借助 Hicurdismos 等恶意软件当帮凶，它会显示假的 ‘ 蓝屏死机 ’ 画面；或者 Monitnev 这种可以记录日志，以及在每次应用程序崩溃时显示虚假 ‘ 错误通知 ’ 的恶意软件。 ● 当然也有冷不丁给你打电话推销的，诈骗者会向潜在的受害人打电话，假装自己来自某软件公司，要求受害者安装远程访问设备的应用程序，然后将正常的系统搞出有毛病的样子，以忽悠用户支付一次性或长期的订阅费用。 当然，Windows 10 已自带多种帮助用户远离电子邮件和技术支持诈骗的措施，比如在 Microsoft Edge 浏览器、以及 Outlook 邮件客户端中。微软表示，用户可在长期使用自家产品和服务的过程中得到妥善保护。 稿源：cnBeta，封面源自网络；