近期，有网站通过冒充 PayPal 官网，向不知情的用户传播 Nemty 勒索软件的新变种。 这个恶意软件的运营商正在尝试各种分发渠道，因为它被检测出是 RIG 漏洞利用工具包（EK）的有效载荷。   通过返现奖励引诱用户 当前最新的 Nemty 来自于该假冒 PayPal 网站，该网站承诺，将返还支付金额的 3-5% 给使用该网站进行支付操作的用户。   网友可以通过一些细节判断出此网站并非官网，该网站也被多家主流浏览器标记为危险，但用户还是有可能会继续下载和运行恶意软件“cashback.exe”。 安全研究人员 nao_sec  发现了新的 Nemty 分发渠道，并使用 AnyRun  测试环境来部署恶意软件并在受感染的系统上跟踪其活动。 自动分析显示，勒索软件加密受害主机上的文件大约需要7分钟。具体时间可能因系统而异。 幸运的是，该勒索软件可以被市场上最流行的防病毒产品检测到。对 VirusTotal 的扫描显示 68 个防病毒引擎中有 36 个检测到了该软件。   同形字攻击 因为网络犯罪分子使用的就是原网页的构造，所以该诈骗网站看起来就是官方网站。 为了增强欺骗性，网络犯罪分子还使用所谓的同形异义域名链接到了网站的各个部分（包括帮助和联系，费用，安全，应用和商店）。 骗子在域名中使用来自不同字母表的 Unicode 字符。浏览器会自动将它们转换为 Punycode  Unicode 中的内容看起来像 paypal.com，而在Punycode 中以 ‘xn--ayal-f6dc.com’ 的形式存在。 安全研究员 Vitali Kremez 指出这个 Nemty 勒索软件变种目前处于1.4版本，此版本修复了前版本中的一些小错误。 他观察到的一件事是“isRU” 检查已经被修改了，该检查可以验证受感染的计算机是否在俄罗斯，白俄罗斯，哈萨克斯坦，塔吉克斯坦或乌克兰。在最新版本中，如果检查结果为真，那么恶意软件不会随着文件加密功能而移动。   但是，这些国家/地区以外的计算机会被设为目标，他们的文件会被加密，副本也会被删除。 根据测试显示，黑客提出的赎金为 0.09981 BTC，约为 1,000美元，并且支付门户被匿名托管在了 Tor 网络上。 8月底，另一位安全研究员  Mol69 看到Nemty 通过RIG EK 进行分发，这样的做法十分反常，因为瞄准 Internet Explorer 和 Flash Player 这些不受欢迎的产品的攻击套件目前已经基本不存在了。   消息来源：BleepingComputer， 译者：r4938n，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

近期由非营利组织国际互联网协会（Internet Society）支持倡导的路由安全相互协议规范（MANRS）活动，致力于让互联网服务提供商注意他们的举止，特别是涉及如何使用边界网关协议（BGP），偶尔滥用通信方法驱动互联网流量的大部分路由。 在8月13日，MANRS倡议活动启动了MANRS Observatory，这是一项全新的Web工具，可以深入了解网络如何符合路由安全标准。该观察站为大多数用户提供了看不到的互联网部分透明度。 路由安全对网路的未来和稳定至关重要，但它却一直遭受威胁2018年有超过12000起路由中断或攻击事件，造成资料遭窃，损失收入，损害声誉等;去年因奈及利亚ISP业者引起的路由泄露，使得谷歌的讯务被误导至中国，导致世界许多地方网路中断，另外，今年6月，一次大规模的路由泄露让网路断线好几小时。 MANRS Observatory藉由追踪路由事件的数量，以及监测MANRS行动指标，来显示该网路遵守MANRS的合规程度。该工具将来自多个可信任第三方的数据，并使用对使用者友好的界面呈现。 使用MANRS Observatory工具的好处： 成效衡量指标：参与者可轻松地监控他们遵守MANRS要求的合规程度，并对其安全控制进行必要的调整。 业务发展：参与者可比较他们与同行间的表现，并利用MANRS瞭望台来判断潜在合作伙伴的安全措施是否达到标准。 政府：政策制定者更可了解路由安全和灵活性的情况，并透过呼吁采用MANRS最佳实践做改善。 社会责任：实施MANRS是自愿性的，步骤简单，且不会造成破坏瞭望台可协助参与者确保他们和同行的网路安全，也有助于提高整体网路的路由安全。   （稿源：cnBeta，封面源自网络。）

据外媒报道，Twitter日前暂时关闭了通过短信发送推文的功能。就在几天前，该功能遭到了黑客的滥用，其在Twitter CEO杰克·多西的账号上发布了种族歧视、炸弹威胁以及其他粗俗的信息。 据了解，通过短信发布推文这项功能在Twitter早期是一个重要的功能，但现在它更像是一个遗产功能，因为大多数用户都通过手机应用发布推文。但不管如何，这个功能还是存在。 当某人的手机号码被盗时就可能会导致问题的发生。现在，黑客越来越多地开始使用这种技术攻击账户，因为电话运营商往往不太注意对账户进行适当的安全保护。而这正是上周五发生在Twitter CEO身上的事。当黑客获得了他的号码后他们就可以用他的用户名发短信甚至不需要登录他的账户。 Twitter表示，关闭这一功能的目的是为了保护用户的账户。另外这家公司还指责移动运营商，称其需要解决允许这种滥用行为存在的漏洞问题。此外，Twitter还表示，公司还需要改进其双重认证系统，因为这套系统也依赖短信，所以可能也会受到同样的危害。 看起来Twitter要在大多数国家关闭这个通过短信发推文功能。不过Twitter指出，它将很快在依赖短信进行可靠沟通的市场重新上线该功能，另外还将为该功能制定长期战略，至于具体内容是什么则没有透露。   （稿源：cnBeta，封面源自网络。）

据外媒报道，日前，Facebook发布了一份旨在为数据迁移和隐私问题提供指南的白皮书。在这份报告中，Facebook列出了该公司认为跟构建隐私保护的数据迁移有关的五个基本问题：   什么是数据迁移？ 哪些数据应当被迁移？ 谁的数据应当被迁移？ 在迁移的时候我们应该怎么做来保护隐私？ 当用户的数据被迁移后，如果数据遭到了误用或没有得到适当的保护那么又该由谁来负责？   Facebook认为，通过这份白皮书不仅可以充实GDPR和CCPA等现有的数据迁移监管规定还可以帮助解决与之相关的问题。Facebook副总裁兼首席隐私官Erin Egan在博客中写道：“从用户到初创企业再到老牌企业，数据迁移有可能造福于所有人。我们希望这篇文章将成为跟全球隐私专家、政策制定者、监管机构和其他公司进行一系列关于讨论如何进行数据迁移来在降低风险的同时实现最大化收益的对话的开端。”     （稿源：cnBeta，封面源自网络。）

面向Chrome用户，谷歌今天发布了一项紧急安全更新，修复了可以执行任意代码的漏洞。谷歌正向Windows、macOS和GNU/Linux平台上的Chrome浏览器进行推送，该更新标记为“urgent”（紧急），该漏洞允许黑客完全控制你的PC。 援引外媒Lifehacker报道，这个漏洞是由互联网安全中心（Center for Internet Security）发现的，并敦促用户立即更新谷歌浏览器。公告中写道 在谷歌Chrome浏览器中发现了一个漏洞，允许黑客执行任意代码。这个漏洞是Blink引擎中的一个use-after-free漏洞，如果用户访问或者重定向到某个特定网页就可以激活这个漏洞。 成功利用此漏洞可能允许攻击者在浏览器使用情境中执行任意代码，获取敏感信息，绕过安全限制并执行未经授权的操作，或导致拒绝服务条件。 根据与应用程序关联的权限，攻击者可以安装程序;查看，更改或删除数据;或创建具有完全用户权限的新帐户。 互联网安全中心向所有Chrome用户推荐以下内容，以确保他们不受此漏洞的影响。 立即升级使用谷歌稳定渠道的最新版本，以避免被这个漏洞利用。 以非特权用户（没有管理权限的用户）运行所有软件，以减少成功攻击的影响。 提醒用户不要访问不受信任的网站或关注由未知或不受信任的来源提供的链接。 告知用户有关电子邮件或附件中包含的超文本链接所构成的威胁，特别是来自不受信任的来源的威胁。 将最小权限原则应用于所有系统和服务。 谷歌已经发布了一个应该立即安装的补丁。即便如此，如果你是偏执狂，你可以前往菜单>帮助>关于谷歌浏览器，并验证是否安装了最新版本（76.0.3809.132）。谷歌还修复了一些漏洞，但已从“版本”页面中删除了相关信息。   （稿源：cnBeta，封面源自网络。）

自 2010 年推出除虫赏金项目以来，谷歌已经向安全研究人员支付了超过 1500 万美元的奖励。今天，这家科技巨头宣布进一步拓展 Google Play 安全奖励项目（GPSRP）的范围，以覆盖上亿的 Android 应用程序。与此同时，谷歌与 HackerOne 合作推出了开发者数保护奖励（DDPRP）项目，适用于针对 Android 应用、OAuth 项目、以及 Chrome 扩展程序的数据滥用。 谷歌认为，除虫奖励项目是其内部安全计划的一个有力补充，能够激励个人和安全研究机构帮助其找到缺陷并正确地披露，而不是将之在灰色市场兜售或恶意使用。 与其等到发生难以挽回的严重后果，还是掏钱奖励安全研究人员来得划算。此外，在今天的更新发布之前，谷歌还于上月增加了 Chrome 浏览器、Chrome OS、以及 Google Play 的安全研究奖励。 截至目前，Google Play 安全奖励（GPSRP）项目已经向安全研究人员支付了超过 26.5 万美元的赏金。随着该项目覆盖更多热门的应用，未来谷歌有望拿出更多的预算。 同时，谷歌还在努力提升自动筛查漏洞的技术能力，为 Google Play 中的所有应用查找类似的漏洞。如有应用开发者受到影响，可通过 Play 控制台接收到相应的通知。 据悉，谷歌的应用安全改进（ASI）项目，能够为开发者提供与漏洞及其修复方法相关的信息。 今年 2 月的时候，谷歌透露 ASI 项目已帮助超过 30 万名开发者，在 Google Play 上修复了超过 100 万个应用。 至于新增的开发人员数据保护奖励（DDPRP）计划，旨在识别和减轻针对 Android 应用、OAuth 项目、以及 Chrome 扩展程序中的数据滥用问题。 若研究者可体征验证明确的数据滥用，谷歌将会根据 DDPRP 的奖励方案给予一定的报酬，因为该公司对用户数据被外使用或出售等情况尤为关切，最高可送上单笔 5 万美元的奖金。 那些被认定存在数滥用行为的 Android 应用和 Chrome 扩展程序，不仅会被 Google Play 和 Chrome 网上应用店下架，其开发者也会被限制对相应 API 的访问。   （稿源：cnBeta，封面源自网络。）

北京时间8月28日晚间消息，苹果公司今日在官网上发表声明称，为打消用户的顾虑，将对Siri进行一些更改。在默认情况下，苹果将不再保留Siri互动的录音。 英国《卫报》（The Guardian）上个月曾报道称，苹果的承包商每人每天要监听约1000条Siri录音，并将其发送回苹果进行研究。报道称，苹果这样做是为了让Siri更好地满足用户的需求。 对于这种行为，苹果8月2日宣布，已暂停使用承包商来监听Siri的录音，苹果不再需要总部位于爱尔兰的承包公司GlobeTech提供的服务。 今日，苹果又发表声明称，隐私是一项基本人权，苹果设计的产品和服务是为了保护用户的个人数据。Siri是一款开创性的智能助手，其目标是为用户提供最佳体验，但前提是要保护好用户隐私。“我们意识到我们并没有完全实现我们的崇高理想，为此我们深表歉意。” 为此，苹果决定对Siri进行一些改进。首先，默认情况下，我们将不再保留Siri互动的录音。我们将继续使用计算机生成的副本（transcripts ）帮助Siri改进。 其次，用户将可以选择主动参与来帮助改进Siri，主要是利用用户请求的音频样本进行学习。苹果希望更多的用户会选择帮助Siri变得更好，因为他们知道苹果尊重他们的数据，并且有强大的隐私控制。当然，那些选择参与的用户可以随时选择退出。 第三，当用户选择加入时，只有苹果员工才能收听Siri互动的音频样本。我们的团队将努力删除任何被确定为无意中触发Siri的记录。   （稿源：，稿件以及封面源自网络。）

早在今年五月，外媒就已经报道过 WS-Discovery 协议被滥用于发起 DDoS 攻击。为了防止被更多别有用心者利用，研究人员只能相对克制地不披露更多细节。然而最近一个月，滥用 WS-Discovery 协议发起的大规模 DDoS 攻击已经愈演愈烈，频度几乎达到了一周一次。作为一种多播协议，该协议原本用于在本地网络上“发现”通过特定协议或接口进行通信的附近其它设备。 （题图 via ZDNet） 鉴于该协议通过 SOAP 消息传递格式来支持设备间的发现和通信，并且使用了 UDP 数据包，因此有时也被称作 SOAP-over-UDP 。 尽管普通人不太熟悉，但 WS-Discovery 已被 ONVIF 所采用。作为一个行业组织，ONVIF 致力于促进网络产品互操作性的标准化接口。 其成员包括 Axis、Sony、Bosch 等业内巨头，为 ONVIF 的标准化奠定了基础。作为即插即用互操作性的一部分，该组织从 2010 年中期开始，在标准中推荐用于设备发现的 WS-Discovery 协议。 作为标准持续化工作的一部分，WS-Discovery 协议已被用到一系列产品上，涵盖 IP 摄像头、打印机、家用电器、DVR 等各种类别。 根据互联网搜索引擎 BinaryEdge 检索结果，目前有近 63 万台基于 ONVIF WS-Discovery 发现协议的设备在线，这让它们处于极大的风险之中。 问题在于这是一个基于 UDP 的协议，意味着数据包目的地可被欺骗。攻击者能够伪造返回 IP 地址，将 UDP 数据包发送到设备的 WS-Discovery 服务端。 当设备传递回复时，就会将数据包发送到被篡改的 IP 地址，使得攻击者能够在 WS-Discovery 设备上反弹流量，将之瞄向所需的 DDoS 攻击目标。 其次，WS-Discovery 的响应，会比初始输入大许多倍。基于这项原理的 DDoS 攻击，会对受害者造成极大的伤害。研究人员称之为 DDoS 放大因子。 2019 年 5 月数据（图自：Tucker Preston） ZDNet 指出，该协议已在世界各地的 DDoS 攻击中被观察到，放大倍数高达 300~500 。相比之下，其它基于 UDP 协议的攻击，平均也只有 10 倍。 网络安全公司 ZeroBS GmbH 一直在追踪本月发生的一起事件，庆幸的是，其发现超大倍数的 WS-Discovery DDoS 攻击并非常态。 即便如此，2018 年末在 GitHub 上发布的用于启动 WS-Discovery DDoS 攻击的概念验证脚本，还是声称可实现 70~150 的放大倍数。 （图自：ZeroBS GmbH） 今年 5 月的时候，安全研究人员 Tucker Preston 首次公布了基于滥用 WS-Discovery 协议的大规模攻击事件。通过对 130 起事件的观察，可知其中一些攻击的规模超过了 350 Gbps 。 接下来几个月的攻击有所减少，但在 8 月份又再次升级。与第一波攻击不同的是，这次的攻击要小得多，很可能是不怎么了解该协议的普通攻击者所发起的。 放大系数不超过 10，最高只冲到 40 Gbps，且只有 5000 台设备（主要是 IP 摄像头和打印机）被纳入发起 WS-Discovery DDoS 攻击的僵尸网络中。   （稿源：cnBeta，封面源自网络。）

微软近日在其开源博客中宣布加入机密计算联盟（Confidential Computing Consortium，简称 CCC）。该组织致力于定义和加速推进机密计算的采用，并将托管在 Linux 基金会。联盟创始成员还包括阿里巴巴、Arm、百度、谷歌、IBM、英特尔、红帽、瑞士电信和腾讯等科技公司，它提供了一个让行业聚集起来的机会，以促进使用机密计算来更好地保护数据。 建立机密计算联盟的需求源于这样一个事实：随着计算从内部部署转移到公共云和边缘，对数据的保护变得更加复杂。当前的数据保护通常作用于静态（存储）或（网络）传输状态的数据。但是当数据正在被使用时，仍然存在风险，这也是数据保护中最具挑战性的一个步骤。 因此，机密计算将侧重于保护使用中的数据，并为敏感数据提供完全加密的生命周期。它将在内存中处理加密数据，而不会将其暴露给系统的其余部分，并减少敏感数据的暴露，为用户提供更好的控制和透明度。 “保护使用中的数据意味着数据在计算过程中不会以未加密的形式显示，得到访问授权的数据除外”，微软 Azure 首席技术官 Mark Russinovich 表示，“也就是说甚至连公共云服务提供商或边缘设备供应商都可能无法访问它，数据将完全处于私密状态。” 机密计算功能可以做到协作共享数据——例如训练多方数据集机器学习模型、对多方数据集执行分析，或是在数据库引擎中启用机密查询处理——但同时无需对这些数据进行直接访问。 目前，联盟成员已经为机密计算做出了一些开源贡献，包括： 英特尔®软件保护扩展（英特尔®SGX）软件开发套件，旨在帮助开发人员使用受保护的代码和数据，避免数据在硬件层被泄露或修改。 微软 Open Enclave SDK，这个开源框架创建了一种可插入的通用方法来创建可再发行的可信应用程序，以保护正在使用的数据。 红帽 Enarx，为可信执行环境（TEE）提供平台抽象，支持创建和运行“私有、可替换、无服务器”的应用程序。 Linux 基金会执行董事 Jim Zemlin 表示，现有的联盟只是一个开始，后续将会有更多企业加入。   （稿源：开源中国，封面源自网络。）

北京时间8月23日早间消息，微软宣布将停止监听Xbox用户，并表示此举已经“不再必要”。 微软发言人在一份声明中表示：“几个月前，我们已经停止为改进产品而对通过Xbox获取的语音信息进行评估，因为我们认为这不再必要，我们也不准备重新启动这些评估。” 微软还补充说：“当有报道称录音违反了我们的服务条款，并认为我们应该展开调查时，我们偶尔会审查从一个Xbox用户发送到另一个Xbox用户的少量录音。这样做是为了保持Xbox社区安全，我们的Xbox服务条款中也有明确说明。” 之前有报道称，该公司从2014年就开始录制和监听游戏玩家的私人谈话，其中许多人都是儿童。微软称这样做是为了改善Xbox的语音控制功能。 今年四月有报道称，亚马逊、谷歌和苹果都雇佣员工专门监听从智能音箱和语音助手应用程序收集的用户录音。但许多用户都不知情。之前还有报道称，微软工作人员还监听了一些Skype电话以及其虚拟助手Cortana录制的音频。   （稿源：，稿件以及封面源自网络。）