飓风 “ 哈维 ” 近期侵袭美国，致使得克萨斯州成为严重灾区。但更可怕的并非灾难本身，而是来自纷纷涌入社交媒体的欺诈者。大量的垃圾电子邮件、网络钓鱼诈骗以及伪装的 Facebook 帐 户开始充斥得克萨斯州网络，旨在从爱心人士的捐款中盗取资金。 首席安全顾问 Dan Lohrmann 表示：“得克萨斯州东南部面临着悲剧性的自然灾害，而互联网的黑暗一面却蠢蠢欲动，各种各样的在线欺诈者将黑手伸向全球爱心人士。已有报告指出，无论是当地的受害者还是有意向灾区捐款的爱心人士都收到各种欺诈信息。” 就如同在以前的灾难事件中遇到的一样，欺诈者利用各种方式诱导人们点击到类似 “ 飓风救济基金 ” 的链接，告诉人们能够通过他们的网站向灾区捐款。还有欺诈者将自己的 Facebook、Twitter 账户伪装成慈善网站的账户，但实际上都是垃圾邮件链接或传播恶意软件的链接。 美国证监会在 8 月 28 日发出警告，告诉那些有意帮助灾区人民的爱心人士应警惕网络欺诈活动，以减轻由于网络欺诈活动带来的信任危机。建议人们在处理任何与飓风 “ 哈维 ” 相关主题、附件或超链接的电子邮件时需要保持警惕，即使它似乎看上去来自可信赖的来源。此外，研究人员呼吁全球爱心人士留意电子邮件的来源以及各种号称“捐款组织”的链接，并且不要将向那些不交税的捐款组织汇款。 稿源：黑客视界、搜狐，封面源自网络；

据外媒 8 月 26 日报道，美国工控系统网络应急响应团队 ICS-CERT 近期发布安全警报，宣称 Cisco IOS / IOS XE 系统的简单网络管理协议（SNMP）存在多处高危漏洞，允许通过身份验证的远程攻击者在受影响系统上执行任意代码或触发 DDoS 攻击，从而导致该设备出现重新加载系统的现象。目前，全球包括制造业、能源、水资源系统在内的各行关键基础设施普遍遭受影响。 调查显示，研究人员发现知名企业罗克韦尔的工业以太网交换机 Allen-Bradley Stratix 与 ArmorStratix 存在上述漏洞，其受影响版本包括： ○ Allen-Bradley Stratix 5400、5410、5700 与 8000 运行的 15.2（5）EA.fc4 及早期版本； ○ Stratix 5900 运行的 15.6（3）M1 及早期版本； ○ Stratix 8300 运行的 15.2（4）EA 与早期版本； ○ ArmorStratix 5700 运行的 15.2（5）EA.fc4 及更早版本； 然而，由于关键基础架构依赖于 Cisco IOS 系统软件与企业网络的安全集成，因此这意味着该漏洞将会影响罗克韦尔自动化产品。罗克韦尔在发现设备存在漏洞后当即向客户通报，并表示其中九处漏洞影响 SNMP 子系统的 1、2c 与 3 版本。此外，研究人员还发现攻击者可以利用上述漏洞通过 IPv4 或 IPv6 协议向受害系统发送 “ 精美 ” 的 SNMP 数据包，从而到达完全控制受害系统的目的。 据悉，思科（Cisco）于 6 月 29 日公开披露上述漏洞，后续发布了 Stratix 8300 设备运行的 15.2（4a）EA5 版本的修复补丁。目前，罗克韦尔在等待其他设备更新的同时，敦促客户禁用特定管理信息数据库、使用强大的 SNMP 凭证，通过防火墙或其他安全设备阻止未经授权的 SNMP 请求。 原作者：Pierluigi Paganini，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒 ibtimes 报道，俄罗斯国家通讯社 Tass 于 8 月 25 日以 “ 乌克兰或是五角大楼的生物测试基地 ” 为主题发布报导，宣称乌克兰黑客组织 CyberBerkut 已有证据表明美国政府目前在乌克兰“资助”了至少 15 所秘密生物实验室，这极有可能是该国近年来发生一系列疾病事件的罪魁祸首。然而，其他一些媒体透露，他们与 Tass 的报导恰恰相反，即乌克兰疾病现象或与俄罗斯政府秘密传播（生物）恶意病毒有关。 CyberBerkut 研究人员经调查显示，虽然美国政府自 2009 年以来就已在乌克兰 “ 赞助 ” 了至少 15 台生物设施，但当地工作人员尚未完全侵入乌克兰含病毒与细菌的主要储存单位。据悉，该组织在入侵美国前军事医疗官员 Eliot J. Pearlman 个人电子邮件时，发现一项涉及美国国防情报局（DIA）的一起阴谋，即该名官员已在乌克兰成立了一家非政府组织机构–国际艾滋病研究所。 图：CyberBerkut 宣称美国使用乌克兰作为化学武器的测试基地 对此，研究人员推测，乌克兰出现罕见病毒现象可能是美国专家在测试与改进实验病毒时故意释放的结果。黑客团队 CyberBerkut 的结论指出乌克兰显然违背了 国际化学武器公约条款，并表示随着美国的援助，乌克兰当局也正在把该国变成致命武器试验场所，甚至危及整个国家生存安全。 不过，亦有相关人员认为，俄罗斯国家通讯社 Tass 的报导忽视了黑客组织 CyberBerkut 的身份和动机，对于该起事件仍需展开深入调查。 相关链接：俄罗斯国家通讯社 Tass 报道《 Hacker group says US biological labs active in Ukraine  》 原作者：Jason Murdock，译者：青楚，审核&校对：FOX 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

互联网信息服务提供商 comScore 发布《 2017 年美国移动应用报告 》得出结论称，应用程序正支配着消费者的数字媒体习惯，但让人们尝试新应用仍是一个艰难的过程。相关数据显示，目前消费者 57% 的数字媒体时间消耗在移动应用中。其中，智能手机应用所占时间比例为 50%，桌面应用占了 34%，移动网络应用（智能手机+平板电脑）占 9%，平板电脑应用仅为 7%。 在年轻用户中，使用移动应用与数字媒体打交道的比例更高。comScore 发现，在 18 岁至 24 岁人群中，2/3 年轻人的数字媒体时间都花费在使用智能手机应用上。无需感到惊讶，这个比例在年龄较大的用户群中稳步下降，65 岁及以上老年人中，只有 27% 的人将数字媒体时间耗在智能手机应用上。 除了数字媒体时间，18 岁到 24 岁之间的千禧一代通常都在大量使用应用。例如，他们每天花在应用上的时间超过 3 个小时。而 25 岁到 34 岁的人花在应用上的时间平均为 2.6 个小时，35 岁到 44 岁的人则为 2.3 个小时。与这些关于应用持续流行和频繁使用的发现相比，用户明显并不急于尝试新的应用。comScore 说，大多数用户（ 51% ）在一个月内甚至没有下载任何应用。 另外 49% 的人平均每月下载 1 款或多款应用，其中 13% 的人下载一款应用，11% 的人下载 2 款应用，8% 的人下载 3 款应用，5% 的人下载 4 款应用，7% 的人下载 5 到 7 款应用，5% 的人下载 8 款或更多应用。报告还发现，正是千禧一代（18-34 岁）推动了人们对新应用下载的兴趣。其中，70% 的人说他们总是在寻找新的应用，而且他们愿意为此付钱。1/5 的用户每月平均下载一款付费应用，几乎半数人每年在应用内进行 5 次或以上购物。 其他年龄段的人对新应用没什么兴趣，比如在 35 岁到 54 岁的人中，只有 37% 的人对新应用和有趣的应用感兴趣。大多数人（66%）人每月购买付费应用的数量为零，58% 的人从不在应用内购物。更糟糕的是，他们也经常删除设备上已经拥有的应用。 虽然有 57% 的千禧一代表示，他们下载新应用的频率比删除旧应用更高，但在 35 岁到 54 岁的人中，只有 30% 的人这样做。许多人称，他们之所以删除应用，是因为他们根本不使用它们，他们的兴趣已经减弱，他们的手机需要清理，或者因为他们需要更多的存储空间。这并不是第一个发现大多数用户都没有下载新应用的报告。comScore 早在 2014 年就发现了这一趋势，去年 9 月发布的报告也提到了这种现象。这种趋势并没有随着时间推移而改变。报告称，就日常使用而言，应用正达到饱和点。Facebook 和谷歌的应用在前 10 大应用中占据了 8 个位置，对大多数人来说它们已经足够使用了。 如今，大多数应用用户每月访问的应用都在 20 个以下，而他们最常用的应用占了他们使用应用所花费的时间的一半。他们最常用的 10 大应用几乎占了使用应用的所有时间。这对新应用来说是个糟糕的消息，它们的成长空间非常有限。即使是像 Snapchat 这样的应用取得突破，但也没有在老用户的手机上找到牵引力。这类应用在 18 岁到 24 岁年轻人中排在第三位，在 25 岁到 34 岁的人群中排名第六位，但在 34 岁以上的用户中，没有排入前八行列。 这些数据让人觉得，除了千禧一代，为其他人开发新的应用似乎没有什么意义，因为千禧一代是唯一显示出对下载更多应用感兴趣、有支付意愿以及大规模采用新应用能力的群体。这份报告还更深入地研究了这个年轻群体的其他习惯，甚至注意到一些奇怪的地方，比如他们如何删除图标看起来很糟糕的应用，如何将应用组织到文件夹中，以及如何在他们的设备上安排应用以方便使用拇指操作等。 稿源：cnBeta、网易科技，封面源自网络；

据外媒报道，美国国会每年都会通过一项新情报授权法案，旨在为国家未来一年提供最新间谍情报支持。今年，虽然该法案以 14：1 获得参议院情报委员会通过，但其过程存在小小插曲：参议员罗恩·怀登（Ron Wyden）反对新法案为维基解密贴上 “ 非国有敌对情报机构 ”  标签。 美国知名媒体透露，新法案 “ 非国有敌对情报机构 ” 条款一经在线公布后当即惹恼多数执法人员，因为该法案意味着美国情报机构将拥有更多权限调查任一目标网站。然而，Wyden 反对该条款的推出并非在为维基解密辩护，因为该条款一旦推出，将会受到法律、宪法与政策方面的影响，尤其是针对那些为政府调查机密情报的工作团队。此外，美国政府还针对 “ 非国有敌对情报机构 ” 采取一系列未公开行动，这同样令人感到不安。 随后，维基解密在 Twitter 上发表声明，回应美国政府对其日益增加的政策压力。维基解密创始人朱利安·阿桑奇指出，美国国会认为维基解密是 “ 非国有敌对情报机构 ”的想法极其荒谬。在众多媒体机构中，维基解密敢于公开发表并揭露事件真实缘由。与此相比之下，如果该条款适用于维基解密，那么它同样也将约束其他媒体。 长期以来，虽然维基解密在多数场合中泄露有关国家内部的重要信息，但国会不应该在国家面临新挑战的同时，以一种可能对国家宪法产生负面影响的方式做出响应。另外，该参议员此前曾设法对该法案进行过三处修改： ○ 要求美国与俄罗斯联手打击网络犯罪机构、调查黑客行动。如果该计划被推出，国会将必须告知哪些情报需要共享； ○ 要求情报机构上报境外敌对势力使用 SS7 漏洞监控公民设备的证据； ○ 要求美国情报官员与财政部和金融情报机构加强合作，旨在针对俄罗斯犯罪分子在美国的洗钱行为进行深入调查。 目前，该参议员调整后的法案还需提交至众议院与参议院获得修改与批准，但该修正案能否通过，还取决于国会及特朗普的进一步抉择。 原作者：Iain Thomson，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

2015 年 4 月美国前跨州彩票协会信息安全负责人 Eddie Raymond Tipton 被控纂改生成随机数的电脑，操纵中奖号码使其自己多次中彩，赢得了数千万美元的彩票奖金。 据悉，Tipton 在生成随机数的电脑上安装了一个动态链接库（DLL），这个程序设计在特定条件满足后触发，这些特定条件与彩票开奖日期有关。在条件满足之后程序将重定向生成器不生成随机数，而是使用一个 Tipton 能提前预测的算法产生中奖号码。本周，他被判 25 年徒刑。Tipton 称他真的很后悔，对所有他伤害的人表示歉意。 稿源：solidot奇客，封面源自网络；

据外媒 18 日报道，美国国家标准技术研究所（NIST）近期提出新 IT 安全措施草案，其首次将隐私权纳入国家核心文本，并将安全领域扩大至物联网与智能家居技术。 该草案中的 “ 信息系统与组织的安全和隐私控制 ” 将成为美国执法的标准与指导方针，并作为更广泛行业的基准。因此，它可能对美国技术的使用与实施产生巨大影响。 据悉，该草案的前言参考今年早些时候发布的网络防御任务评估，即所有新设备与系统均对国家关键基础设施存在安全隐患的一说。报告还指出，针对美国关键基础设施的网络攻击超过安全漏洞威胁，美国在未来的十年中必须积极主动的采取系统性的网络防御措施。目前，NIST 试图做到这一点，并主动推出系统性方法。 现今，数百万用户掌握着强大的计算机设备，导致 NIST 的审查不得不考虑到公民隐私安全问题，因此隐私已成为该报告核心内容。报告指出，NIST 最终目标是使国家信息系统能够轻松抵御威胁，减少攻击破坏并使系统迅速恢复。值得注意的是，该报告部分内容此前仅影响美国联邦机构，但现今 NIST 已开始积极将其投放至私营企业并希望建立一个更完整的弹性网络。 除此之外，NIST 还提出一个特定的隐私计划和以隐私为重点的单独培训，其中包括两个广泛的附录，这些附录可以追踪文件中所有不同名称与编号的控件隐私要求和注意事项。 NIST 呼吁各组织机构： ○ 建立和维护一个全面的隐私计划 ○ 确保符合隐私要求并管理隐私风险 ○ 监督联邦法律、法规和变更政策 ○ 指派一名高级机构官员监督项目进程 ○ 确保隐私计划与其他项目之间的协调 总体而言，虽然文档篇幅较长且密集但它是网络规则的关键文档，将适用于成千上万不同 IT 系统、囊括对隐私与传统服务器设备的多项考虑。据悉，该草案的征求意见截止于 9 月 12 日，NIST 希望能在 10 月份发布最终草案并在年底之前正式推出。 原作者：Kieren McCarthy，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒报道，安全专家近期发现黑客伪造美国合法加密货币交易平台 Bittrex，旨在窃取用户登录凭据与账户资金。 美国加密货币交易网站 Bittrex 于 2015 年正式推出，支持包括比特币在内的数百款加密货币交换。不过，它仅支持英文且尚无任何联盟计划。Bittrex 由专业人士操作，主要目标是赢得客户信赖，确保货币交易更加安全快速。 据悉，一名在线用户于 8 月 15 日首次发现自身 Bittrex 帐号遭黑客入侵，且被盗约 2000 美元。研究人员随后经调查发现，黑客模仿合法网站 Bittrex 创建虚假交易平台，甚至连登录页面都极其相似，以诱导受害者泄露自身登录凭据。不过，伪造的 Bittrex 网站存在微小差异。例如，该虚假网站域名为 Blttrex.com，它使用字母 “ l ” 取代 “ i ”。 一家提供 IP 地址信息的知名平台 who.is 向媒体透露，虚假的 Bittrex 网站由俄罗斯公民 Sergey Valerievich Kireev 注册，其网站收集的所有地址、电话号码、城市与邮政编码均可在 who.is 平台使用。另外，虽然该网站已处于离线状态，但尚不清楚是否被托管公司强制下线。目前，Bittrex 尚未对此进行回应。 原作者：India Ashok，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据美国侨报网报道，美国选票计算机公司 Election Systems & Software（ES&S）于 17 日证实，因工作人员在服务器上进行了错误的安全设置后，逾 180 万芝加哥选民记录在线泄露。 该公司在一篇博客文章中说，泄露的选民数据包括名字、地址、出生日期、一部分社会安全号码、驾照和州身份证号码。这些信息原本储存在服务器的备份文件中。据悉，警方在 8 月 12 日就泄露事件通知 ES&S，目前数据已得到保护。不过，数据并不包括投票信息，比如选民的投票结果。 芝加哥选举委员会发言人艾伦（Jim Allen0）说，泄露不包含也不影响任何人的投票结果，这些信息由另一家公司负责。专家正调查 ES&S 泄露事件。ES&S 发言人在一份声明说中，除了发现它的研究员外，没有迹象表明有人曾在先前访问过这些数据。 稿源：中国新闻网，封面源自网络；

据外媒报道，美国联邦贸易委员会（FTC）近期做出裁决称，Uber 未能充分保护用户和司机的隐私，Uber 现需要实施隐私计划并将在未来 20 年内每两年进行一次审计。根据 FTC 代理主席莫林·奥尔豪森（Maureen Ohlhausen）的说法，“我们的裁定需要 Uber 的隐私敏感文化。这将使他们每天都会重视隐私。” 在发现 Uber 利用内部工具 “上帝视角” 实时跟踪其用户的位置后，FTC 于 2014 年对 Uber 展开调查。同时 FTC 也调查了同一年的数据泄露事件，其中有 10 万名司机姓名和驾照信息被盗。根据 FTC 的说法，Uber 没有采取任何“本可以帮助该公司预防泄露事件的合理的、低成本的措施”。 Uber 近几个月以来已经遭遇的诸多麻烦事，例如遭曝光的内部 Uber 内部性骚扰和种族歧视丑闻，遭 Waymo 起诉以及首席执行官 Travis Kalanick 的离职等。Uber 一位发言人对这项裁决表示：“自那以来，我们大大加强了我们的隐私和数据安全实践，并将继续大力投资这些项目。” 稿源：cnBeta，封面源自网络；