据外媒报道，就在网络言论自由和温和政策比以往任何时候都更具争议期间，Cloudflare 因为恐怖组织提供网络安全保护而面临指控。据悉，该机构被指至少有在为 7 个恐怖组织提供网络安全服务，对此一些法律专家认为这种情况可能会使其面临法律风险。 Cloudflare 面向市场提供了一系列对运营现代网站的重要服务，比如 DDoS 保护。这是一家宣称可以处理 10% 互联网请求的庞大组织，据称它还准备进行 35 亿美元的 IPO。 然而在周五，《赫芬顿邮报》指出，通过对大量有恐怖组织运营网络的审查以及与四名国家安全与反极端主义专家的合作，他们发现这些网站受到了来自 Cloudflare 的网络安全服务保护。 据了解，虽然像 Facebook 等这样的私营公司在其服务条款中会对言论设有一定的限制，但 Cloudflare 更倾向于保持沉默。成为一名 Facebook 用户是任何人都可以为自己做出的选择，然而进入 Facebook 的代价之一就是要遵守他们的规则。但是像托管、域名注册以及 Cloudflare 提供的那种保护等服务则是互联网基础设施的核心。早在 2012 年的时候，Cloudflare CEO Matthew Prince 就曾反对过公司监督言论的观点，如今它的政策则严格遵守法律义务。 根据使用条款，无论是出于何种原因或根本没有原因，Cloudflare 都有权在不通知的情况下终止服务。去年，Prince 就停止了跟新纳粹网站 the Daily Stormer 的合作。当时，Prince 在写给员工的内部邮件中指出：“我认为 The Daily Stormer 的人都是可恶的人。但我认为我的政治决定不应该决定谁应该上网谁不应该上网。”不过这并不意味着Prince认为恐怖主义不可恶，在 the Daily Stormer 事件中，这位 CEO 坦率的承认自己就是因为那天早上心情不好把他们踢了出去。 《赫芬顿邮报》提出的问题是，Cloudflare 是否有向被制裁的组织提供“物质支持”。一些律师告诉这家媒体，Cloudflare 的做法可能违反了法律规定。电子前沿基金会等组织则认为“物质支持”可以而且已经被滥用于压制言论。不过 Cloudflare 方面给出的回应是，他们有在跟美国政府密切合作以此来确保自己履行了所有的法律业务。 《赫芬顿邮报》采访了 Counter Extremism Project 的代表，后者表示对在过去两年给 Cloudflare 发出要求指出七个恐怖组织身份的四封信却没有得到回复这件事表示失望。对此，Cloudflare 法律总顾问 Doug Kramer 表示自己不会提供任何关于客户或情况的具体信息，这是因为公司需要保护用户隐私而制定的政策。不过 Kramer 倒是指出，公司上周接到了一个来自政治压力集团的要求，后者希望其停止向世界另一边的跟“军阀”有联系的网站提供服务，但虽然这个国家的一些人受到了美国的制裁却并非是确认的目标组织人员所以他们没有对此采取行动。       稿源：cnBeta，封面源自网络；

安全专家上周四表示，近期针对美国政府官员、活动家和记者的网络钓鱼活动日益猖獗，并且利用技术手段绕过了被Gmail和Yahoo Mail广泛使用的双因素认证保护系统（2FA）。此次钓鱼攻击事件再次表明依赖单次登陆或者一次性密码的2FA同样存在风险，尤其是通过SMS短信发送至用户手机的情况。 安全公司Certfa Lab的研究人员在一篇博客文章中表示，有伊朗政府背景的黑客攻击者收集了攻击目标的详细信息，并利用了这些信息撰写了针对这些目标的钓鱼网络邮件。这些邮件中包含一张隐藏照片，在攻击目标浏览该信息的时候就会自动激活。 用户在虚假的Gmail或者Yahoo安全页面输入密码之后，攻击者几乎会根据输入凭证转向到真实的登陆页面。如果目标帐户受到2fa的保护，则攻击者会将目标重定向到请求一次性密码的新页面。 Certfa Lab的研究人员写道：“换句话说，他们会在自己的服务器上实时检查受害者的用户名称和密码。而且即使启用了例如短信、认证APP或者一键式登陆的双因素认证，仍然能够欺骗目标并窃取这些信息。” 在一封邮件中， Certfa Lab发言人称公司研究人员已经正式该技术能够成功入侵基于SMS短信双因素保护的账号。研究人员目前无法确认这项技术能否通过Google Authenticator或者Duo Security配套APP中传输一次性密码。   稿源：cnBeta，封面源自网络；

据美国科技媒体 ZDNet 报道，腾讯 Blade 安全团队发现的一个 SQLite 漏洞可以让黑客在受害者的电脑上远程运行恶意代码，还会导致程序内存泄露或程序崩溃。由于 SQLite 被嵌入到数千款应用中，因此这个漏洞会影响许多软件，范围涵盖物联网设备和桌面软件，甚至包括网络浏览器到 Android 和 iOS 应用。 访问: 腾讯云 并且只要浏览器支持 SQLite 和 Web SQL API，从而将破解代码转变成常规的 SQL 语法，黑客便可在用户访问网页时对其加以利用。 火狐和 Edge 并不支持这种 API，但基于 Chromium 的开源浏览器都支持这种 API。也就是说，谷歌 Chrome、Vivaldi、Opera 和 Brave 都会受到影响。 不光网络浏览器会遭受攻击，其他应用也会受到影响。例如，Google Home 就面临安全威胁。腾讯 Blade 团队在本周的报告中写道：“我们借助这个漏洞成功利用了 Google Home。” 腾讯 Blade 研究人员表示，他们曾在今年秋初向 SQLite 团队报告过这个问题，12 月 1 日已经通过 SQLite 3.26.0 发送了补丁。上周发布的谷歌 Chrome 71 也已经修补该漏洞。 Vivaldi 和 Brave 等基于 Chromium 的浏览器都采用最新版本的 Chromium，但 Opera 仍在运行较老版本的 Chromium，因此仍会受到影响。 虽然并不支持 Web SQL，但火狐也会受到这个漏洞的影响，原因在于他们使用了可以在本地访问的 SQLite 数据库，因此本地攻击者也可以使用这个漏洞执行代码。 Check Point 研究员艾亚尔·伊特金（Eyal Itkin）也指出，该漏洞还需要攻击者能够发出任意的 SQL 指令，从而破坏数据库并触发漏洞，因而会大幅减少受影响的漏洞数量。 但即使 SQLite 团队发布补丁，很多应用仍会在今后几年面临威胁。原因在于：升级所有桌面、移动或网页应用的底层数据库引擎是个危险的过程，经常导致数据损坏，所以多数程序员都会尽可能向后推迟。 也正因如此，腾讯 Blade 团队在发布概念验证攻击代码时会尽可能保持谨慎。       稿源：，稿件以及封面源自网络；

在今天发布的安全更新中，Adobe 修复了存在于 Acrobat 和 Reader 软件产品中 39 个“关键”级别漏洞。潜在的黑客利用这些漏洞，可以在尚未修复的系统上执行任意代码。其中 36 个漏洞涵盖堆溢出、越界写入（out-of-bounds write）、UAF (Use After Free)漏洞、未信任的指针取消和缓存区错误等，可在受感染设备上执行任意代码；另外 3 个则是安全绕过漏洞，能在入侵后进行提权。 Adobe 的 APSB18-41 安全公告中披露的细节，目前受到这些安全漏洞影响的产品版本包括 Acrobat DC (Continuous, Classic 2015), Acrobat 2017, Acrobat Reader DC (Continuous, Classic 2015) 和 Acrobat Reader 2017。Adobe 在他们的支持网站上说，被评为“关键”的漏洞可能允许攻击者成功利用这些漏洞后执行恶意代码，而当前登录用户很可能不知道系统已被入侵。 Adobe 表示：“目前尚未有数据表明有黑客利用这些漏洞发起攻击。根据以往的经验，我们预计攻击不会即将到来。最佳做法就是 Adobe 建议管理员尽快安装更新（例如，在 30 天内）。”此外 Adobe 还修复了存在于 Acrobat 和 Reader 软件产品中 49 个“重要”级别漏洞，涵盖安全绕过、越界写入等等。       稿源：cnBeta，封面源自网络；

最近，网络安全公司Sophos发布了一个深度调研报告，对接下来2019年将出现的网络威胁向互联网用户和企业做出预警。下面是报告所提到的部分主要威胁：   勒索软件是“领头羊” 和传统“广撒网式”发送海量恶意邮件不同，这种勒索软件的攻击是“交互式”的，发布者不再是机器，其背后的人类攻击者会主动发掘和监测目标，并根据情况调整策略，受害者不交钱不罢休。 2018年见证了定向勒索攻击软件的发展，如WannaCry、Dhrma和SamSam，网络犯罪者藉此已获利上百万美元。Sophos的安全专家认为，这种经济上的成功将大大刺激同类网络攻击的出现，并且会在2019年频繁发生。 如果不进行充分的渗透测试，提高数据安全的等级，那么勒索软件在接下来的一年将造成深远的影响。   物联网安全隐患风险增加 随着更多设备加入了物联网，网络攻击者开始扩大他们的攻击范围和工具。如非法安卓软件数量的增加，让勒索软件将注意力转向了移动电话、平板电脑和其他智能设备。而随着家庭和企业拥有越来越多可联网设备，犯罪者开始发明新的手段劫持这些设备作为巨型僵尸网络的节点，如Mirai Aidra、Wifatc和Gafgyt。2018年，VPNfilter证明了武器化的物联网对嵌入式系统和网络设备的巨大破坏力。   连锁反应机制的应用 一系列事件连续发生时，黑客会在其中一个节点渗入系统。由于一系列连续发生的事件没有清晰可见的脉络，因此在很多时候，想搞清楚黑客将在何时给出一击是不可能的。   永恒之蓝成为了挖矿劫持攻击的关键工具 虽然微软在1年前便发布了补丁来处理永恒之蓝的漏洞问题，但它依然是网络犯罪者的“心头好”。Sophos称，永恒之蓝漏洞和挖矿软件的致命结合会造成损害。   对于中小型企业而言，想要完全规避这些安全威胁随便比较困难，但依然可以合理避免，如建立健全的安全防御机制、使用正规有效的安全防御软件、规范系统管理者的权限、谨慎对待陌生或可疑的邮件、规范密码的使用、不重复使用密码、及时更新漏洞补丁等。当然，更省事的方法是选用可信任的安全服务公司创建更具有针对性、更全面的安全解决方案。 知道创宇云安全作为国内最早的云防御平台，以全面的Web安全解决方案满足不同网站在线业务安全需要，全国超过90万家网站正在使用知道创宇云安全旗下安全解决方案，以旗下王牌产品创宇盾、抗D保等为企业安全筑起一道坚固的防护墙。   编译：创宇小刘，编译自外网新闻及Sophos报告；

在以往的网购指南中，往往推荐用户访问带有“安全锁”（Chrome 68开始默认不显示，所有HTTP网页标记不安全）的电商网站，可以极大地免受网络钓鱼攻击或者恶意软件陷阱。然而不幸的是，这条推荐的意义已经不大了。最新研究结果表明，一半的钓鱼欺诈行为现在都托管在以“https://”开头标记有安全锁的网页上。 根据反网络钓鱼公司PhishLabs的最新数据，2018年第3季度中有49%的网络钓鱼站点在浏览器地址栏上都显示“安全锁”图标。而去年同期占比为25%，2018年第2季度占比为35%。这组数字的增长令人担忧，因为PhishLabs在去年的调查中发现，超过80%的受访者都认为带有“安全锁”的往往是合法的、安全的。 实际上，网址启用https://（也称Secure Sockets Layer，SSL），仅仅表示你在访问该网址所来回传输的数据，以及该网站已经加密，无法被第三方读取。显示“安全锁”并不意味着该网站就是合法，也不是表明该网站是否经过安全加固以阻止黑客入侵的证据。 该公司首席技术官John LaCour说：“PhishLabs认为网络钓鱼者同样可以使用SSL证书，最重要的是SSL的存在或者缺失并不能告诉你有关网站合法性的任何信息。”   稿源：cnBeta，封面源自网络；

根据研究公司 Coleman Parkes 从全球 1000 家机构采样得来的数据，2018 年间，77% 的机构遭受了至少一次基于 DNS 的网络攻击。调查采样的企业，涵盖了活跃于通信、教育、金融、医疗保健、服务、运输、制造、公共、以及零售事业的组织机构。在全球范围五大基于 DNS 的攻击中，恶意软件和网络钓鱼占据了榜单前二的位置；而域名锁定、DNS 隧道与 DDoS 攻击，也造成了极大的影响。 2017~2018 年间，DNS 攻击导致的损失，已增加 57% 。 EfficientIP 在《2018 DNS 威胁报告》中写到：“思科 2016 安全报告发现，91% 的恶意软件利用了解析服务（DNS）。它们壳借助 DNS 这个载体（DoS 放大或 CnC 服务器通信），对目标、甚至 DNS 服务器发起攻击”。 2017 年的时候，网络钓鱼甚至不是最常遇到的五种基于 DNS 的攻击类型。但 2018 年间，欺诈者已经大量通过定向和定制活动，来提升针对特定行业部门的网络钓鱼受害率。 通过分析调查期间收集到的数据，Coleman Parkes 发现：不法分子已将基于 DNS 的攻击，作为一种相当有效的工具，可对其行业目标造成广泛的品牌和财务损失、产生短期和长期的影响。 受 DNS 攻击所影响的组织，平均损失较上一年增加约 57% —— 从 2017 年的 45.6 万美元，到了 2018 年的 71.5 万美元 —— 这一点尤其令人感到不安。 考虑到所有因素，虽然 DNS 攻击从一个行业部门、转到另一个行业部门的影响差异很大。但对所有组织机构来说，部署恰当的 DNS 攻击检测和防护措施，仍然是至关重要的。   稿源：cnBeta，封面源自网络；

11月20日消息，知名互联网安全公司知道创宇正式对外宣布，发布国内首个IPv4/IPv6双栈云防御服务。该服务的推出可以帮助企业极大的加快业务系统向IPv6升级的进程，从IPv4向IPv6的改造方案到IPv6业务系统安全防御上向企业提供了一站式的解决方案。   据了知道创宇云防御产品经理邓金城介绍，IPv4/IPv6双栈云防御服务只需要2分钟即可帮助客户做到业务系统支持IPv6并且可以有效防御黑客入侵、DDoS网络攻击，整个过程不需要客户业务系统做任何改造。     2017年11月26日，中共中央办公厅、国务院办公厅印发了《推进互联网协议第六版（IPv6）规模部署行动计划》，根据该计划要求，到2018年末，国内IPv6活跃用户数要达到2亿，国内用户量排名前50的商业网站及应用户、省部级以上政府和中央企业外网系统、IDC数据中心等均要完成IPv6支持。据阿里巴巴发布的公告，今年双11，天猫进行了国内首次IPv6大规模商用实战，IPv6在国内的普及势在必行。     而对企事业单位来说，各种系统往往承载着重要业务数据，系统改造升级慎之又慎，往往因为担心影响业务稳定而放弃升级，这还包括即使支持了IPv6但原有防火墙设备不支持IPv6，网站无疑陷入巨大安全风险中。然而国内的IPv6升级已经正式大规模开展，如何抢先一步，而不是IPv4用户向IPv6升级后，网站客户流失，成为一个两难的问题。知道创宇IPv4/IPv6双栈云防御服务的推出刚好可以解决这个燃眉之急。   详细了解创宇IPv4/IPv6双栈云防御服务：https://www.yunaq.com/ipv6/  

Mozilla 近日宣布 Firefox Quantum 浏览器新增了一项新的安全功能，在用户访问以前存在数据泄露的网站时会自动显示来自 Firefox Monitor 的警告。 该功能旨在提醒用户可能存在的问题，并建议他们检查自己的电子邮件，看看是否有遭到泄露。 当出现警报时，用户可单击 Check Firefox Monitor 按钮转到 Firefox Monitor 站点，或单击 Dismiss 按钮关闭警报，也可以单击向下箭头选择 “never show Firefox Monitor alerts ” 以禁用此功能。 根据 Mozilla 的说法，该预警功能并非侵入性的，每个站点最多只出现一次，而且仅针对过去12个月内有出现过数据泄露事件的网站。 Firefox Monitor 是一项免费的隐私数据泄露通知服务。要使用它，只需访问 Firefox Monitor 网站并提交电子邮件地址即可。它通过和 “Have I Been Pwned” 中超过31亿个已确认出现安全问题的庞大数据库进行比对，在发现问题时及时提醒用户。   稿源：开源中国，封面源自网络；

针对 CPU 底层设计缺陷的“幽灵”（Spectre）和“熔毁”（Meltdown）漏洞，让科技界陷入了相当尴尬的境地。为了应对这类特殊的安全威胁，业界协同使出了空前的努力，并推出了相应的补丁 —— 即便可能造成性能上的一定损失。遗憾的是，后续又不断有新的变种曝光。本文要介绍的，就是由 9 人研究团队发现的 7 种新式攻击手段。 由概念演示代码可知，其中两种攻击利用了‘熔毁’漏洞： Melrdown-BR 可利用 AMD 与 Intel 处理器中的 x86 指令路径，而 Meltdown-PK 仅能绕过英特尔处理器上的内存保护密钥。 实际上，研究人员开发出了 8 种‘熔毁’漏洞攻击手段，但尚未让剩余的 6 种攻击手段发挥作用。 其余五个新漏洞都属于‘幽灵’变种，它们会影响 Intel、AMD、ARM 处理器。 其中有两个利用了分支目标缓冲区（Branch Target Buffer）、另三个则利用了模式历史表（Pattern History Table）。 研究人员已向各大芯片供应商通报了上述攻击，但收到的答复并不能让他们满意 —— 英特尔觉得没必要推送新的补丁、AMD 甚至不承认相关结果。 英特尔发表声明称，文章中纪录的漏洞，可通过部署现有的缓解措施来完全克服。 保护客户仍是我们的首要人物，在此要感谢格拉茨科技大学、imec-DistriNet、KU Leuven、以及威廉玛丽学院等团队正在进行的研究。 根据他们的研究，一些现有的补丁‘可能有用’，但不全然如此。 然而英特尔声称，他们的实验过程存在错误，在现实情境下无法成功实施攻击。 即便如此，研究人员还是决定忽略英特尔方面的说辞，在研究论文（PDF）中概述了如何修补上述漏洞。 【PS】“幽灵”漏洞打破了不同应用程序之间的隔离，即便是遵循最佳实践的无 bug 程序，其秘密亦有可能被泄露于攻击者面前。 尽管目前尚未有利用‘幽灵’或‘熔毁’漏洞发起的实际攻击报告，但我们还是推荐大家努力将设备保持在最新状态，以封堵这方面的隐患。 [编译自：TechSpot]     稿源：cnBeta.COM，封面源自网络；