美国国家标准和技术协会（ NIST ）今年 6 月提供的最新数字身份指南的新版草案中，指出不再推荐用户使用密码混合大写字母、字符和数字，也不再要求定期修改密码。因为研究显示此类要求并不能增加密码强度，NIST 认为最重要的是储存密码必须盐化 + 哈希 + MAC 处理。 不过，对于 2003 年一篇广为流传的密码混合大写字母、字符和数字的 NIST 安全专家建议文章，其作者前 NIST 主管 Bill Burr 开始承认当时提供的建议并不成熟，后来也被证实不是太奏效，当然也有媒体的一些误导总结，导致更多的曲解。根据他当年写的一份文档 NIST Special Publication 800-63，媒体总结为专家建议大家采用混合大写字母、字符和数字，构成一个常用词组的方式（比如 P@ssW0rd123!）。事实证明，这种密码对于破解密码工具来说，只需要增加一些代码，根据这种规则的密码强度几乎与弱密码的破解相差无几，倒是催生了许多有创意的网名 ID。 比如一篇形象的漫画指出根据这样的规则，形似 “ Tr0ub4dor&3 ” 这样的密码只需要用标准技术在三天之内就能够破解，而且你很容易在被破解之前就忘掉自身密码。而一句完全采用英文单词组成的摸不着头脑的短语  “ correct horse battery staple ” 却需要约 550 年破解，而这组词语很容易形成独特的画面，对于人类来说非常容易形成记忆，但对于计算机来说堪比天书，随机性使得它很难被自动化工具猜出。Burr 承认当时的确找错方向。 NIST 数字身份指南的新版草案的作者 Paul Grassi 指出，NIST 此前的密码安全建议都是在摸索中前进，没有前人的尝试也无法摸索出切实有效的密码建议。NIST 也不再要求密码混合大写字母、字符和数字，因为研究显示此类的要求并不能带来强密码。NIST 认为，如果用户想要使用绘文字作为密码，那么就应该允许用户使用。NIST 认为最重要的是储存的密码必须盐化哈希 MAC 处理。 稿源：cnBeta，封面源自图片；

据外媒 8 月 7 日报道，英国情报机构（NCSC）发现黑客于今年 4 月针对爱尔兰与北爱尔兰国有电力供应商 EirGrid 展开攻击，或有政府背景。  EirGrid 自 2006 年起在爱尔兰与北爱尔兰地区运行高压电网、操控电力流动，并由当地供电局（ESB）负责维护修缮。此外，EirGrid 旗下还设有北爱尔兰电力系统运营商（SONI）为其提供分销网络服务。 调查显示，黑客在入侵 EirGrid 使用的沃达丰（Vodafone）网络系统后利用恶意软件拦截威尔士与北爱尔兰 Web 路由器中传输的所有未加密通信数据。此外，NCSC 还发现黑客通过多个英国 IP 地址入侵其他先进国家基础设施、攻击能源与制造行业的系统网络。 知名媒体 Independent 8 月 6 日透露，调查人员将监视并检测依赖沃达丰被黑互联网专线接入（DIA）服务的所有通信记录与文件。虽然目前并不清楚爱尔兰电网控制系统是否被安装恶意软件，但他们注意到，一旦如此，或将导致大规模停电现象。 EirGrid 发言人 David Martin 表示，对于 EirGrid 来说，计算机网络与电力控制系统的安全至关重要。虽然 EirGrid 就网络安全具体操作问题不做任何公开评论，但能源企业与国家基础设施显然已成为黑客重点攻击对象。此外，英国政府通信总部（GCHQ）也警示合作伙伴密切关注能源行业的黑客攻击活动。 相关阅读：黑客瞄准爱尔兰能源网络展开攻击，或有俄罗斯政府背景 作者：Jason Murdock，译者：青楚，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒报道，黑客组织 “ 31337 ” 于 7 月下旬入侵全球知名网络安全公司 FireEye Mandiant 高级情报分析师 Adi Peretz 的个人电脑后肆意篡改账户内容，并在线公开发布一份逾 337MB 的 PST 文件信息，其中包括电子邮件、帐户图像、One Drive 帐户、LinkedIn 帐户、个人设备的地理跟踪、PayPal 收据，以及 FireEye、WebEx 与 JIRA 门户网站登录凭证等数据。此外，该文件还显示黑客早于 2016 年就已获取公司内部权限。 知情人士透露，虽然黑客自称当前已渗透 Mandiant 公司内网系统并窃取大量机密信息，但 FireEye 近期发表声明，指出尚未发现任何迹象表明黑客已入侵公司内网。调查显示，该黑客组织早于 2016 年 9 月就已经开始使用内部登录凭证访问多个 Victim 个人在线账户（ LinkedIn、Hotmail 与 OneDrive 账户）。另外，经安全专家分析，黑客在线公开发布的文件大部分是从受害者此前个人在线帐户中获得，或是黑客自身创建的屏幕截图。 安全专家表示，此次攻击活动涉及范围极小，目前仅有两名客户受到影响。FireEye 在展开调查的同时，将采取一系列安全措施防止数据进一步泄露。“ 有趣 ” 的是，该攻击活动并无经济利益驱使，仅仅是黑客想要证明攻击手段较安全专家技高一筹而已。 原作者：Pierluigi Paganini，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒报道，虚假新闻已经成为当今互联网的一大毒瘤，为此，各大科技公司都已加大对恶意信息的打击力度。不过为了真正达到遏制该种现象的目的，人们首先要搞明白的是这些假新闻究竟是怎么传播的。为此，来自美国布卢明顿印第安纳大学的科学家们就在 Twitter 上展开了系统性研究。 研究人员在 Twitter 上对来自 122 个主要虚假新闻网站的 40 万条消息进行监控。在这些网站中，许多都是独立的事实核查网站，如 snopes.com、politifact.com、factcheck.org 等，另外还有像 theonion.com 等这样的讽刺网站–它们通常都是用反讽的手法指责虚假新闻，但很多时候人们可能无法辨别这点，于是将假新闻当成了真新闻。此外，该研究团队还监控了来自事实核查网站撰写的 1.5 万篇文章以及上百万条提及这些网站的推文。 为了这项研究，科学家们开创建了两个平台，一个是用于分析假新闻的平台叫 Hoaxy，一个是用于分析当前 Twitter 上究竟是人还是机器人运行的 Bolometer。根据这些研究结果发现，积极传播错误信息的账号更可能是机器人。而这种机器人账号有一个非常有意思的行为方式，那就是在假消息传播的早前尤为活跃，并且更倾向于针对有影响力的用户。最后，科学家们指出，限制社交机器人可能是减少网络错误信息传播的有效手段。然而不幸的是，由于互联网的非中心性，想要实施该类型策略是极为困难的。 稿源：cnBeta；封面源自网络；

互联网催收模式于今年迅速发展，平台试图通过云计算、大数据和智能化清收策略解决不良资产清收的最后一道难题，传统银行也开始试水这类互联网模式下的欠款催收与转让，委外信用卡逾期业务。调查发现，大商机背后蕴含大风险，使用虚假身份信息便可成功注册成为催收共享平台上的一名催客，而银行信用卡逾期用户和亲人的信息在层层转包中被轻易泄露。 数据显示，2016 年不良资产的市场化投放规模达 1.5 万亿左右，而目前仅网贷行业预估的不良资产规模就达到 2000 亿元。传统的资产清收存在地域限制、催收时间长、人工成本高、效率低、投入产出比低等挑战，庞大的市场规模催生了一批催收共享平台，希望催收能由专业团队过渡到普通民众，人人做催收，于是催催宝、人人追、债无忧、火眼催收等十余种平台纷纷上线。 催收不是银行的强项，出于对用户数据安全的考虑，多会选择有律师资质的大公司合作，并要求公司签署保密协议，员工只能在内网查看资料，但外包公司的后期操作中，这一点并没有被坚持。一家成功拿到银行信用卡催收业务的企业负责人曾在公开场合表示，信用卡用户信息泄露在行业内司空见惯，但银行不说、外包公司不说、逾期用户更不说。 根据中国银监会《关于进一步规范信用卡业务的通知》，明确要求银行业金融机构应审慎实施催收外包行为。实施催收外包行为的银行业务金融机构，应建立相应的业务管理制度，明确催收外包机构选用标准、业务培训、法律责任和经济责任等，选用的催收外包机构应经由本机构境内总部高级管理层审核批准，并签订管理完善、职责清晰的催收外包合同，不得单纯按欠款回收金额提成的方式支付佣金。 转包行为本身没什么问题，但银行对本身的数据安全负责，就要间接对使用他数据的供应商负责。银行对供应商的选择，针对信息安全（数据来源、传输、存储）应该有一套规则，选择时应按这个规则来选择厂商，所以问题不在转包，在于银行选择的厂商是否具备足够的信息安全规格与技术来确保信息安全。 出于各方利益，生活中很难碰到此类案件，欠款人只想躲债，催款公司也不会主动站出来直指银行及催收外包机构泄露用户信息。不过，对因催收外包管理不力，造成催收外包机构损害欠款人或其他相关人合法权益的，银行业金融机构承担相应的外包风险管理责任，情节严重的甚至可采取责令限期整改，限制、暂停或停止其信用卡新发卡业务。 如果欠款真实，银行完全可以按照法律程序主张权利去追讨，但欠钱还是和隐私泄露是两码事件，公民的隐私个人信息应受法律保护。即使银行要披露欠款人信息，也是有选择的披露，身份证号码、住址属于敏感信息，这些信息被公示，意味着金融机构不当泄露个人信息，欠款人及担保人可以向银行管理部门和公安部门寻求帮助。 稿源：，有删减；稿件以及封面源自网络；

据《 财富 》杂志 8 月 8 日报道，法国正在与德国和其他伙伴合作，堵住允许谷歌、苹果、Facebook 和亚马逊等美国科技巨头进行合法避税的漏洞。这些漏洞让美国科技巨头能够更轻松地攻占欧洲市场，但当地的本土公司却无法利用这些漏洞。法国财政部长上勒梅尔上周五接受采访时称，该国将在 9 月中旬的一场欧盟官员会议上，提出更简单的法规，对科技公司真正进行征税。 勒梅尔表示：“ 欧洲必须学会更加坚定地保护自己的经济利益，中国是这么做的，美国也是这么做的。你不能在其他公司正常纳税、而自己却不纳税的情况下，在法国和欧洲经商赚钱 ”。法国此次举动反映出，欧洲部分政府、监管方和选民对国际公司通过转移利润和成本进行避税的行为越来越失望。这些公司将利润和成本转移至对它们纳税最有利的地方，要么是利用当地的漏洞，要么是与某些政府达成特殊协议。 法国和德国曾在上月的一次联合内阁会议上讨论税收问题。德国财政部发言人丹尼斯·科尔伯格（Denis Kolberg）本周一称，在 9 月 24 号的全国大选后，德国预计讨论其具体提案。2016 年，欧盟委员会曾命令苹果支付约 130 亿欧元的欠缴税款和利息，称爱尔兰非法降低了这家 iPhone 制造商的纳税义务，以吸引该公司在爱尔兰落脚。眼下，苹果和爱尔兰政府正就这一决定上诉。 此次镇压国外科技公司避税，是法国新任总统马克龙铁腕政策的一部分，他在选举期间亲眼目睹，法国公司在与税收和社会保障金水平低的国家竞争时是多么困难。为此，马克龙号召 19 个欧元区国家更好地统筹它们的税收系统。据勒梅尔称，马克龙承诺在其第一个五年任期内将企业税降低至 25%，而这应当被视为上述举措的开端。同时，马克龙还敦促税率较低的国家提高税率。 稿源：cnBeta、凤凰科技，封面源自网络；

据科技博客 The verge 报道，上周晚些时候，有消息称美国陆军方面发布一份备忘录，下令停用所有中国企业大疆创新（DJI）生产的无人机，并指责这些产品存在网络安全漏洞。随后，美国联邦政府部门公布了此前针对大疆无人机展开的一项调查。调查显示，大疆无人机能够确保数据安全。 负责收集海量气象数据的美国国家海洋和大气管理局（NOAA）本周一表示，它们在 2016 年 10 月份曾利用大疆 S-1000 型无人机展开一项调查研究，旨在更好地弄清该无人机在飞行途中向互联网传输数据时或在数据转移至电脑后期处理时，是否会搜集任何数据”。 NOAA 展开的这项研究使用了 Windows 电脑上的 Wireshark 软件捕获所有进出计算机的数据包，并为这些数据包提供诊断信息。在开始测试之前，测试人员会仔细对计算机机进行设置，以减少额外的网络流量。这架参与测试的大疆 S-1000 型无人机由一个第三方远程和独立地面站进行控制。 NOAA 测试发现，S-1000 无人机不存在数据泄露威胁，向大疆服务器发送指令的大部分处理过程，都要登陆到大疆托管在亚马逊 AWS 云端服务器，而软件更新则需要 Linode 软件。NOAA 表示，使用这一类型的软件处理这些事务非常普遍，实验过程中没有发现任何异常。 尽管有了 NOAA 的测试结果，但仍有许多测试变量支持美国陆军禁用大疆无人机：比如军方可能会使用不同的数据处理单元展开不同测试，或者他们可能关心无人机在飞行时，是否会有第三方有能力对无人机发起攻击，可能截获飞行员的控制权或经由无线运营商的传输数据。 NOAA 的计算机程序员埃德·杜马斯（Ed Dumas）是这项研究的作者之一，他证实，在去年他们对 S-1000 无人机的测试过程中，没有发现该无人机向大疆公司发送任何不寻常的航行讯息。而大疆公司则强调：“大疆所制造民用无人机用于和平目的。它们是为个人和专业用途而创建，并非军事用途或采用军事标准设计。我们没有向军方客户推销产品，如果军方选择购买并使用作为完成任务的最佳方式，我们无法知道他们是谁，也不知道他们用来做什么。美国陆军方面突然宣布禁止使用大疆无人机的具体原因是什么，美国军方没有给出解释，而他们所担心的网络安全漏洞具体含义是什么，他们是否也将其他无人机制造商排除在外？我们也不得而知。” 稿源：cnBeta、凤凰科技，封面源自网络；

上月的 HBO 被黑事件或许比最初想象的更加严重。除了在 7 月末泄露 HBO 的一些新剧和《 权力的游戏 》的剧本外，黑客近期又披露了该公司一名高管的收件箱中长达一个月的电子邮件。 不过，该报道并未证实这名高官的身份，也没有披露邮件内容。 据报道，黑客还向 HBO CEO 理查德·普雷普乐（Richard Plepler）发送了一封视频信，要求该公司支付赎金，但具体金额被隐去。 该黑客称：“ 我们已经成功入侵你们的庞大网络……HBO 是一个比较难对付的目标，但我们还是成功了（花了大约 6 个月）。HBO 是我们入侵的第 17 个受害者，之前只有 3 个受害者没有付款。” HBO 是最新一家因为黑客入侵导致重要内容丢失的娱乐公司。黑客号称从该公司窃取 1.5TB 数据，并将其发布到网上，包括即将上映的《 球手们 》和《104号》的新剧集。黑客警告称，他们还将披露更多内容。HBO 表示，该公司正在对这一事件展开评估，并认为可能出现更多泄密事件。 HBO 声明：“虽然有报道称很多邮件被公之于众，但目前的评估还没有让我们有理由认为，整个电子邮件系统遭到入侵。” 稿源：cnBeta、，稿件以及封面源自网络；

比特币于 8 月 1 日发生分裂，被称为 Bitcoin Cash 的新货币正式诞生。但一周后，比特币的币值创下新的记录，而 Bitcoin Cash 则遇到的麻烦。 比特币的币值创下 3400 美元的新纪录，涨幅超过 6%，LocalBitcoins 的兑换币值甚至超过 3700 美元。与此同时，支持 Bitcoin Cash 的中国交易所微比特 （ViaBTC）称遭到网络攻击，宣布暂停提款。目前，Bitcoin Cash 币值出现大幅下滑。 稿源：solidot奇客，封面源自网络；

据外媒 8 月 4 日报道，全球领先科技企业西门子与美国工业控制系统网络应急团队 ICS-CERT 近期联合发布一份安全报告，指出运行 Windows 7 系统的西门子正电子发射断层显像 / X 线计算机体层成像扫描设备（PET/CT）因未及时更新，存在 2015 年就已发布修复补丁的四处安全漏洞，能够允许远程、未经身份验证的黑客执行任意代码。 PET/CT 是一款新型医疗影像设备，用于检测脑部肿瘤分子成像。医疗人员通过注入病人体内的放射性示踪剂选择性检测组织器官的代谢情况， 即主要从分子水平上反映人体组织的生理、病理、生化及代谢等改变， 尤其适合人体生理功能方面的研究。 目前，西门子已证实其医疗设备存在以下四处安全漏洞： ● CVE-2015-1635（CVSS 基准分：9.8）：允许未经身份验证的黑客通过端口 80 或 443 发送特殊的 HTTP 请求，以执行任意代码达到操控设备的目的。 ● CVE-2015-1497（CVSS 基准分：9.8）: 允许未经身份验证的黑客通过端口 3465 向惠普客户端发送自动化服务。 ● CVE-2015-7860（CVSS 基准分：9.8）：允许未经身份验证的黑客通过向 Windows 服务器上的 WebDAV 服务发送特殊的 HTTP 请求，远程执行任意代码、破坏系统完整性并导致服务器处于宕机状态。 ● CVE-2015-7861（CVSS 基准分：9.8）：允许黑客无需获取本地访问权限远程破坏系统设备。 美国国土安全部门表示，虽然上述漏洞两年前就已发布修复补丁，但西门子医疗设备仍持续运行存在漏洞的 Windows 7 系统，任意一位黑客都能利用此漏洞劫持或远程操控该联网设备。 目前，西门子正对受影响的医疗设备进行更新。与此同时，安全专家建议各医疗机构使用适当机制限制网络访问权限并保护该医疗设备所处的 IT 环境。 原作者：Iain Thomson，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。