Google 准备修改它的二步认证方案，用移动设备上的提示取代一次性的短信代码。原因是 SS7 协议攻击允许攻击者控制用户的手机号码获取一次性短信代码。新的功能预计将从下周开始测试，Google 将邀请用户使用，用户可以选择拒绝继续用旧的认证方案。使用这项功能需要有一部联网的智能手机，苹果用户的手机需要安装 Google 搜索应用。每次用户尝试登录时，手机将会弹出提示要求用户批准，用户只需要点击一个按钮批准即可。 稿源：solidot奇客，封面源自网络

《 哈佛商业评论 》网站近日发布 “ 2017 数字进化指数 ”，美国媒体从当前数字进化状态和速度两个维度评估了全球 60 个国家地区的数字竞争力，其中包括中国、马拉西亚在内的部分亚洲国家正以爆发式增长。短短的一二十年里，数字技术可以说颠覆世界。目前，当前数字世界格局快速发展表现为以下五大特征： 数字技术广泛普及，传播快速。地球上移动连接数量比人口还要多，有手机使用的人也要多于有卫生间使用的人。数字传输数据的跨境流动明显增多，对 2014 年全球 GDP 的增长贡献率超过三分之一，尽管 2008 年出现经济衰退后商品服务和跨境资本的自由流动减少了。更多的人能够受益于信息和通信服务的获取，但可带来大范围严重破坏的隐患也增多；每年，网络攻击事件都呈现数量增多和影响范围加大之势。 数字公司拥有超强的市场支配力。按 2017 年 7 月 6 日的股价计算，苹果、Alphabet、微软、亚马逊和 Facebook 是全球市值最高的五家公司。市值最高的非美国公司是中国的电商巨头阿里巴巴，该公司位居排行榜的第七位。这些公司拥有依靠网络效应的产品，享受到规模效益，占有市场支配地位。它们拥有大量的创新资源，能够加速数字产品的渗透和应用。 数字技术准备改变未来的工作。数字技术应用使能的自动化、大数据和人工智能对全球经济的影响率可能将达到 50%。对于“第二次机器时代”，人们既期待又恐惧。以现在的技术，总薪水达 14.6 万亿美元的 10 亿多个工作岗位可进行自动化。这些技术可能会带来利用人类能量的新途径，也可能会替代规律性的工作岗位，加剧社会不平等现象。 数字市场不均衡。政治问题、监管和经济发展水平会很大程度上影响数字行业的发展以及它的市场吸引力。印度拥有 4.62 亿的互联网用户，其数字经济对于跨国公司而言可能最具市场潜力；然而，该国有多种语言和多重基础设施挑战，尽管政府已经采取大刀阔斧的行动来促进数字市场的发展。欧盟拥有 4.12 亿互联网用户，但它的市场处于碎片化状态；它仍处在创建  “单一的数字市场 ” 的进程中。在很多国家，有数个网站或者数字公司被封锁。纵观全球，数字接入本身也远未实现均衡：目前全球大约有 50% 的人口拥有连网条件。 数字商务仍须使用现金。到 2020 年全球零售电商销售额预计将达到4万亿美元，较当前水平翻一番。该行业的一大发展障碍是现金持续的粘性，现金尚未被数字支付取而代之，尽管数字支付选项众多。2013 年，全球 85% 的交易以现金形式进行。即使是在欧元区，虽然荷兰、法国、瑞典和瑞士处于全球最不依赖现金的国家之列，零售终端支付有 75% 是使用现金。发展中国家大多非常依赖现金；在马来西亚、秘鲁和埃及，只有1%的交易无现金。印度“废除旧币”的试验也没能够打破其对现金的高度依赖。在该国废除 86% 的现钞 5 个月后，现金提取却比一年前高出 0.6%。 这五大特征均各有利弊。此外，你对它们有多强烈的感受，取决于你处在哪个国家地区。对于跨国科技公司和政策制定者来说，理解全球不同地区的数字地球进程非常重要。 稿源：cnBeta、网易科技，内容有删减；封面源自网络

安全研究人员于今年 4 月发现网络安全认证协议 Kerberos 存在一处高危漏洞 Orpheus’Lyre（CVE-2017-11103），允许攻击者远程访问目标系统升级权限、窃取用户凭证。7 月 11 日，微软与多家 Linux 供应商联合发布了漏洞补丁。 Kerberos 是一种加密认证协议，其初始密码为大量未经身份验证的明文，这也意味着部分 Kerberos 信息既不加密，也不以某种直接加密方式进行保护。在某些特定情况下，这可能是多数漏洞产生的根源。尽管 Kerberos 协议存在未经身份验证的明文，但它还是极其安全可信的。不过，研究人员需要非常小心地获取每个数据细节，以便对明文进行身份验证。 调查显示，攻击者可利用 Orpheus’Lyre 漏洞直接从未受保护的密钥分配中心（KDC）中获取元数据，该漏洞甚至影响了包括微软与瑞典 KTH 皇家理工学院（Heimdal）在内的不同版本 Kerberos 协议的实施。 研究表明，用户可通过删除未加密字段防止漏洞被利用，以便在合成认证请求时强制使用加密字段。安全专家们也建议用户仔细检查每款 Kerberos 协议的运行，因为并非所有供应商都能预期修复漏洞。 原作者：Pierluigi Paganini，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

北京警方 7 月 14 日发布消息，指出近期有媒体报道大量家庭智能摄像头遭破解入侵事件，引起社会广泛关注。为有效保护公民个人信息，主动回应社会关切，市公安局充分发挥警务大数据侦查优势，缜密工作，仅用 19 天破获该案，成功打掉了全国首例网上传播家庭摄像头破解软件的犯罪链条，抓获涉案人员 24 名。 2017 年 6 月 18 日，有人在 QQ 群中兜售远程控制家庭摄像头的破解软件，并有大量人员非法购买后利用摄像头进行偷窥，严重侵犯了公民个人隐私。对此，市公安局高度重视，迅速成立由网安总队牵头 11 个分局共同组成的专案组，开展案件调查工作。民警发现，该案为新型网络黑客犯罪，目前尚无司法案例可遵循。为全面查清案情，民警走访多家摄像头安全厂商，并对部分品牌摄像头进行案件侦查实验，掌握破解摄像头密码的软件操作原理。原来，此类破解软件可扫描出存在漏洞的摄像头 IP，不法分子就是利用此漏洞远程控制了摄像头。 经深入调查，该案犯罪行为隐秘，犯罪地点波及范围广。在相关省市公安部门的大力支持下，北京警方掌握涉案 QQ 群组及号码共计 5000 余个，其中涉及北京共计 100 余个。由于新闻曝光了该事件，不法分子担心被查获，随即解散了大部分群组，这给案件侦查带了极大困难。市局网安总队依托网络专业优势，循线追踪，最终发现了党某某等出售扫描破解软件人员 6 名，并掌握了赵某某在内的 18 名购买破解软件后非法入侵他人家庭人员。7 月 5 日，专案组召开紧急部署会，连夜开展抓捕行动。截至 7 月 7 日早上，经过两日的连续奋战，24 名在京涉案人员全部抓捕到案。警方提示，用户要对智能设备设置高级别防护密码，加固安全措施。 稿源：cnBeta、TechWeb，内容有删减；封面源自网络

今年二月，美国参议院 Ron Wyden 致信国土安全部，询问近期美国海关和边境保护局提高搜查力度的原因。美国国土安全部代理专员 Kevin McALeenan 在 6 月 20 日的回信中说明美国边境官员的职权范围，但并未直接解释提高搜查力度的原因。 美国海关和边境保护局无需搜查令可对入境人员的电子设备的内容进行审查，查看设备是否含有儿童色情信息或者威胁美国安全的内容。保护局人员只允许查看储存在本地的内容，不能查看储存在远程设备的信息。 这也表示保护局人员可以查看储存在本地的电子邮件，社交网络信息或者云储存软件。Kevin McALeenan 也表示如果入境人员拒绝解锁，安全局人员有权扣押设备。 稿源：cnBeta，封面源自网络

在信息安全方面，新加坡领先世界，这个迷你的亚洲国家位居国际电信联盟全球网络安全指数榜首。但是，如果一项草案实现，那么新加坡可能成为全球首个要求互联网和软件安全人员持证上岗的国家。新加坡将强迫任何从事互联网和软件安全的人员必须取得认证和资格证书，并且为此向政府支付费用。 任何未经许可的工作人员最高可处以监禁两年，罚款 5 万新元（ 36,000 美元）。不过，与其他行业相比，从事互联网和软件安全的人员，包括那些有良心的黑客数量与受正规教育数量不成比例，这些人大都高中毕业，通过自我激励的学习找到自己的方式，凭借对信息安全事业至关重要的先天好奇心，成为一群最好的，最有天赋的安全工作人员。 外界认为，通过许可证将信息安全行业标准化的做法是错误的，将人才与认证结合在一起，是完全虚伪的。此外，获得像是 CISSP 或 CEH 这样的行业认证，不仅昂贵而且耗时，对于独立专业人士和小公司来说，这将是灾难性的，他们不仅要为这张纸支付数千新元，而且还要花费时间进行准备和考试。 稿源：cnBeta，封面源自网络

据路透社报道，荷兰参议院于本周三（ 7 月 12 日）通过一项新法律法规，旨在扩大情报机构监督权限。 新情报安全法案不仅授予警方追踪可疑恐怖分子或其他严重犯罪分子的权力，还为荷兰情报机构提供新监督权限，比如允许他们保留服务提供商提供的数据长达 3 年，以及允许英特尔机构与境外包括 GCHQ、NSA 在内的同行分享情报信息。 安全研究人员表示，此项法案扩大了英特尔代理机构的监听权力，以便快速获取犯罪分子详细信息。立法委员会认为，该法案是打击恐怖主义与网络威胁的必要条件，从而加强情报与安全服务监督委员会（CTIVD）的权威。 内政部长普拉斯特克（ Ronald Plasterk ）表示：“ 保护国家安全、促进国际法律秩序、打击恐怖主义、维护高科技企业与政府免受网络攻击，需要实施现代化法律手段。” 信息科技公司 G DATA 安全宣传者 Eddy Willems 表示：“虽然情报机构监督权限的增加有效避免了一些国家安全威胁，但部分隐私组织（例如：保护数字权利独立组织 Bits of Freedom ）将会采取诉讼或其他抗议活动反对该法案的实施。 原作者：John Leyden ，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒报道，继乌克兰上月遭受勒索软件 Petya 肆意袭击后，北约加强了对乌克兰网络防御的支持。本周一（7月 10 日），乌克兰总统波罗申科在与北约联合主办的会议上发布声明，指出乌克兰将通过与北约的密切合作深化国防与安全领域的各项改革，加强国家网络安全防御体系。 “ 关键基础设施 ” 是任何一个国家在经济上最为敏感的要素之一。2017 年 6 月，乌克兰遭受勒索软件 Petya 攻击后，导致交通、银行与电力基础设施在补救与恢复工作中造成无法估量的成本代价。乌克兰关键基础设施的维护相比其他国家较为完善，因此如果同样的攻击活动转移目标，后果将不堪设想。 北约秘书长 Jens Stoltenberg 表示，北约将继续帮助乌克兰加快国防与安全领域的改革，并协助乌克兰调查 Petya 攻击活动的幕后黑手。2014 年 12 月，北约就已成立网络防御信托基金会，旨在提供必要支持、发展防御型 CSIRT 技术能力。 鉴于近期网络攻击事件的传闻，Petya 活动被认为与俄罗斯资助的黑客组织有关。因此，俄罗斯与乌克兰之间持续紧张的关系以及俄罗斯针对北约扩张的公然态度，都不可能使该地区的局势平静下来。专家表示，随着网络攻击的复杂化和对乌克兰边界以外的全球影响的明显无视，若其他国家坐视不理，乌克兰试图保护自己的想法也将是不切实际的。 原作者：Steve Biswanger，编译：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒 7 月 13 日报道，Arbor Networks Security 安全研究人员发现一款新 PoS 端恶意软件 LockPoS ，它能够利用僵尸网络 Flokibot 针对巴西用户使用的命令与控制（C＆C）基础设施展开攻击活动。 Flokibot 是一款银行木马程序。自 2016 年 9 月起就已在暗网中出售。这款恶意软件由网络犯罪分子根据 2011 年泄露的 GameOver Zeus （宙斯病毒）源代码研发。 研究人员表示，LockPoS 最后一次编译于今年 6 月，并使用恶意木马 dropper 直接注入 explorer.exe 进程中肆意传播。值得注意的是，LockPoS 必须手动加载执行，然后通过从自身提取的多个组件继续下载以充当第二阶段加载器。紧接着，恶意代码将进行解密、解压与加载最终版本的 LockPoS payload。 恶意软件 LockPoS 通过 HTTP 与 C＆C 服务器进行通信。一旦感染目标系统，就会向服务器发送用户名、计算机名、bot ID、bot 版本（1.0.0.6）、CPU、物理内存、显示设备、Windows 版本与架构等重要信息。监控数据显示恶意软件 LockPoS 通过 Flokibot 僵尸网络侧重攻击巴西用户系统设备。目前，研究人员尚未调查清楚 LockPoS 是否与其他恶意软件攻击者有关、是否会在暗网中进行出售。 原作者：Pierluigi Paganini，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

英国医疗保健机构 Bupa 于 7 月 12 日发布声明，指出由于其国际医疗保险部的一名雇员在与他人分享数据之前故意复制与删除信息，导致逾 10 万客户数据公开泄露。 Bupa 国际医疗保险部官员在大量数据泄露后不仅写信提醒客户高度警惕网络钓鱼或诈骗活动，还在线解释本次事件并非网络攻击或外部数据泄露，而是员工故意操作。目前，该雇员已被解雇。 Bupa 总经理 Sheldon Kenton 随后在官网中上传道歉视频并向潜在受害客户表示，此次事件并未包括任何财务或医疗数据，仅仅泄露了包括名称、出生日期、国籍与部分 Bupa 保险会员号码在内的个人信息。此外，Kenton 强调：全球 140 万国际医疗保险客户并非都受到影响。目前，Bupa 已通知英国监管机构 ICO 联合进行调查并承诺会通过法律行动制裁该名雇员。 原作者：Jason Murdock，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接