据外媒报道，迪士尼似乎成为黑客攻击的最新目标。华特迪士尼公司首席执行官鲍勃·艾格（Bob Iger）于本月 15 日表示，黑客盗取迪斯尼即将上映的新片并威胁将在网上提前泄露，除非迪斯尼以比特币进行赎金支付。 Iger 称，迪斯尼将不会支付赎金。而黑客表示，会将新片在线公布五分钟的电影内容，随后在发布 20 分钟的片段，直到迪斯尼满足他们的要求。据悉，迪士尼已经与联邦调查工作人员进行合作。虽然受影响的电影尚未公布，但迪斯尼即将上映的大制作电影包括《 加勒比海盗 5：死无对证 》（ Pirates of the Caribbean: Dead Men Tell No Tales）和《 赛车总动员 3：极速挑战 》（Cars 3）等。 据悉，迪斯尼并非近期唯一遭受黑客威胁的电影公司。 四月份由于 Netflix 因未能满足赎金要求。黑客在网上泄露了最新一季《 女子监狱 》(Orange Is the New Black)的 10 集内容。目前，华特迪士尼公司没有立即回应置评请求。 稿源：cnBeta，封面源自网络

据外媒报道，美国空军近日宣布，它计划在下个月推出漏洞赏金计划，让黑客帮助寻找其网站的漏洞，并对发现漏洞者给予现金奖励。 在过去一年中，联邦政府开始慢慢接受漏洞赏金计划的概念。去年 4 月推出的 Hack the Pentagon 计划是联邦政府首次开始实施的漏洞赏金计划。这个计划的任务一开始是寻找五角大楼的漏洞，后来拓展到了查找美军网站的漏洞。 美国空军漏洞赏金计划将是首个邀请国际黑客参与的联邦政府项目。这个计划将对英国、加拿大、澳大利亚和新西兰以及美国的黑客开放。与此前的其他联邦漏洞赏金计划一样，美国空军的这个计划将由美国漏洞众测平台 HackerOne 负责管理。它还将允许军方人员参加，但是不会给他们颁发奖金。 “ 这是美国空军首次如此大尺度地开放自己的网络。” 美国空军首席信息安全官皮特-吉姆（ Peter Kim ）在一项声明中说，“ 每天都有一些恶意的黑客尝试入侵我们的系统。因此，让一些友好的黑客帮助我们查找漏洞，改善我们的网络安全和防御措施，也不失为一种好的办法。这些国家的黑客参与进来，将有助于我们集思广益，发现新的漏洞。” 漏洞赏金计划起源于私营企业，但是经过国防数字服务（Defense Digital Service）机构的努力，漏洞赏金计划逐渐得到了政府的支持。国防数字服务机构致力于将经验丰富的科技工作者引进到国防部服役。 “ 隐藏式安全’的观点已经落伍。” 国防数字服务机构的克里斯-林奇（Chris Lynch）说，“我们需要弄清楚我们的漏洞在哪里，这样我们才能够修复它们。没有什么办法比向全球黑客们开放我们的网站更能有效地发现漏洞了。” 凡是希望参与美国空军漏洞赏金计划的人，可以从 5 月 15 日起在 HackerOne 网站上报名登记。漏洞比赛将从 5 月 30 日开始，6 月 23 日结束。 稿源：IT业界；封面源自网络

继黑客组织 Shadow Brokers（影子经纪人）泄露美国国家安全局（ NSA ）黑客工具与攻击代码相关文档后，安全专家们对其庞大、宝贵的数据信息展开分析。一组专门用于入侵 Oracle Solaris 系统的攻击代码新近浮出水面。 网络安全专家 Matthew Hickey 是英国安全公司 Hacker House 创始人之一。他在挖掘存档文件时发现两款专门用于攻击 Solaris 系统的黑客工具—— EXTREMEPARR 与 EBBISLAND。攻击者可使用这两款黑客工具升级权限并通过网络远程获取 root 访问权限。安全专家表示，这两款黑客工具可在 x86 与 Sparc 平台的 Solaris 6 至 10、甚至最新的 11 版本中运行。 EXTREMEPARR 工具通过滥用 dtappgather、文件权限与 setuid 二进制文件将登陆实体（用户、脚本）升级为 root 权限。 EBBISLAND 工具可用于入侵任何开放式 RPC 服务并对漏洞设备的root shell实施远程控制。此外，EBBISLAND 还可在 Solaris 系统的 XDR 代码中触发缓冲区溢出漏洞。 调查表明，NSA 可以在任何 Solaris 系统中打开 root shell 。据悉，使用这些黑客工具并不要求掌握其他特定技能，因为它们都是预先构建的静态二进制文件。 Hickey 在使用 Shodan.io 搜索引擎扫描互联网设备后发现具有该漏洞的系统数量高达数千个，而且漏洞设备多在防火墙内部运行。这意味着，一旦攻击者潜入组织机构内部即可利用攻击代码对目标网络展开攻击并进行横向传播。 原作者：Pierluigi Paganini，译者：青楚，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒 11 日报道，英国纽卡斯尔大学一个研究团队发表论文，称智能手机中的传感器可能泄露用户隐私信息。利用智能手机传感器收集的数据，研究团队能破解 4 位的 PIN ( 个人识别号码 )，一次尝试准确度可达 70% ，第 5 次尝试准确度可达 100%。虽然部分应用会提醒用户将访问哪些传感器，但并非所有应用都会向用户提示相关信息——用户更是无从了解应用获取传感器数据的频次。 论文第一作者玛丽亚姆·梅纳扎德 ( Maryam Mehrnezhad ) 向TechCrunch 表示，“ 应用在访问传感器时，并非总是会请求用户批准。因此，与用户身份相关联的传感器——例如麦克风、相机或 GPS，在被访问时不会请求用户批准。许多用户甚至不知道 Web 应用也会获取传感器数据。” 据研究人员称，获取这些数据的黑客，能利用它们判断用户的活动，例如是在坐着、行走，还是在乘坐汽车或火车旅行。对移动浏览器来说这一问题尤其麻烦。只要浏览器标签页面开着，感染有恶意代码的网站，就能使手机传感器在后台监视用户。 梅纳扎德指出，随着包括可穿戴设备和智能家居设备在内的智能设备日趋普及，这一问题会愈发严重。纽卡斯尔大学研究团队提供了多种有助于防止缺陷被利用的方法，其中包括经常修改 PIN ，退出不使用的任何应用。 稿源：据 cnBeta、凤凰网科技内容节选，封面源自网络

上周四，美国国税局局长约翰·科斯基宁（ John Koskinen ）告诉参议院财政委员会( Senate Finance Committee )，说国税局去年秋天发现有黑客入侵系统。2016 年 9 月，国税局发现行骗者可以利用某些人的个人信息填写财务补助申报单，“ 数字检索工具 ”（ Data Retrieval Tool ）会用这些人的税务信息填写单据。 有了假信息，行骗者可以制作虚假税务申报单。科斯基宁称，他们发现不到 8000 份申报单被处理过，拨付的退款总计达 3000 万美元。工具是 FAFSA（ 联邦学生援助申请表 ）系统的一部分，它可以决定学生上大学时能够获得多少资金援助。 目前 FAFSA 工具已经下线，国税局正在开发软件掩盖个人税务数据，防止信息进一步被窃取，不过软件要到 10 月份才能启用。学生和家长仍然可以使用网络申报系统，不过税务信息需要手动填写。 稿源：cnBeta，封面源自网络

近日，海淀法院发布了《 2007 年至 2016 年海淀区人民法院审结网络犯罪案件情况调研报告》。报告显示，十年来新型网络犯罪不断出现，职业“ 黑客 ”网络犯罪案件凸显，且犯罪分子呈现出年轻化、高学历等特点。 案件：盗窃游戏币 变卖牟利获刑 吴某发现北京麒麟网文化股份有限公司旗下的网络游戏《画皮世界》的充值系统存在漏洞，充入 0.01 元人民币即可获得 5000 游戏币（游戏内规则为充值 1 元人民币获得 1 游戏币）。后吴某利用该漏洞进行反复操作，多次向 8 个不同的《画皮世界》游戏账号充值，并通过他人在互联网上变卖上述账号内的部分游戏币，获利 2.1 万元。 法院经审理认为，吴某违反国家规定，非法获取计算机信息系统中存储、处理的数据，且通过变卖非法获取的部分数据，情节严重，其行为已构成非法获取计算机信息系统数据罪。最终，法院判处其有期徒刑 1 年 9 个月，并处罚金5000 元。 释疑：虚拟财产不同于普通财物 那么盗取游戏币，是否与盗窃普通财物相同呢？法官对此表示，游戏币是网络虚拟财产，实质是电子数据，并不具有财物的典型属性，因此不是财物。 法官解释称，作为财产犯罪的财物，必须同时具有以下四个特征，一是具有占有可能性；二是具有移转可能性；三是具有交换价值；四是在特定时间和空间之下的稀缺性。如果某个物品可以让需要它的人无限获取，则该物品不具有稀缺性。 本案中的游戏币具有财产犯罪中财物所必需的前三个属性，但并不具备稀缺性这一属性，虚拟财产特点是只要程序设置完毕，可以无限产出，游戏币不像真的货币那样存在发行量的限制，网络服务上的虚拟财产的损失与现实财产的损失也有明显不同。所以，本案中的游戏币不能认定为财产犯罪中的财物，本案也不能以诈骗、盗窃等财产犯罪论处。 区别：不再炫技术 牟利动机突出 此外值得注意的是，与 21 世纪初网络犯罪人普遍有炫耀技术的动机有所不同，近年来的网络犯罪牟利性动机越发突出，一些黑客通过漏洞植入木马，利用木马远程控制大量别人的计算机，通过 DDOS 攻击、窃取机密信息、发送垃圾邮件、钓鱼网络诈骗、广告点击诈骗以及传播恶意软件和广告软件来获得利益。 特点：女性高学历犯罪比例高 海淀法院表示，根据调研近十年来网络犯罪总体态势增长快，近两年稳中有升。新型网络犯罪不断出现，而且传统犯罪网络化也呈增长态势，尤其是网络诈骗、网络传播淫秽物品、网络盗窃、网络销售违禁品等。相较于普通刑事案件，网络犯罪案件中女性犯罪比例较高，以高学历青年为主。 数据 ○ 十年审结 322 件网络犯罪案件，占审结案件总数的 8.58％。，年均结案数高达 32.2 件。 ○ 1998 年至 2006 年期间，网络犯罪占比仅为 5.84％，年均结案数仅有 14.3 件。 ○ 全部 450 名罪犯中，有 82 名女性，女性占 18.2%，高于其他刑事案件女性占比不足 15%。 ○ 18 至 39 岁的犯罪人占 85.9%，大专以上学历近 55.3%。 稿源：cnBeta、北京晨报；封面源自网络

目前一款最臭名昭著的勒索软件已经进一步发展，获得了防止网络安全工具检测的能力，使恶意软件难以被安全人员分析。这款名为 Cerber 的勒索软件在 2016 年初被发现，除了加密受害者文件的典型行为之外，恶意软件还包含一个 .vbs 文件，显示赎金票据以进一步吓唬那些已被感染的受害者。 此外，Cerber 使用一组分配命令和控制服务器，使用 Cerber 的网络犯罪分子几乎可以分发 Cerber 。如果他们成功地感染受害者并且获得赎金，那么 Cerber 勒索软件开发者获得 40% 的利润，而具体攻击者则获得 60% 的利润。 典型的勒索软件通常通过恶意电子邮件发送，其中包含恶意网站的附件或链接。根据趋势科技表示，新版本的 Cerber 将会引导用户打开由黑客控制的 Dropbox 链接。一旦打开，Cerber 有效载荷将自动下载和提取，无需任何用户交互。 为了能够逃避检测，现在 Cerber 会检查它是否在虚拟机上运行，这是因为网络安全研究人员通常通过沙箱来分析恶意软件代码，从而无法传播到其他系统。如果 Cerber 检测到它正在虚拟环境中运行，它将停止运行。趋势科技公司的Gilbert Sison 表示：Cerber 采用的新型封装和加载机制可能会导致静态机器学习方法的问题，即分析文件而无需执行或仿真。 稿源：cnBeta；封面源自网络

苹果今天早些时候发布了 iOS10.3 正式版，其中包含了许多新功能。照常，还有一些没有写在更新日志中的改变。外媒 Arstechnica 指出，iOS 10.3 正式版修复了 Safari 中允许诈骗者欺骗用户支付费用的漏洞。 Arstechnica 的报告显示，上述 Safari 的这一漏洞允许诈骗软件的黑客用无限弹窗的方式阻止用户使用浏览器，攻击者宣称自己是执法部门，称用户查看了非法网站，解决问题的唯一办法是通过短信发送 iTunes 礼品卡的方式支付罚款。黑客针对的主要是观看色情内容或试图非法下载音乐或其他内容的用户。 Lookout 的研究人员描述了黑客如何捕获用户并欺骗他们支付赎金费用： 诈骗者滥用移动 Safari 中的弹出式对话框的功能，以阻止受害者使用浏览器。攻击将阻止在 iOS 上使用 Safari 浏览器，直到受害者以 iTunes 礼品卡的形式支付攻击者赎金。在封锁期间，袭击者显示出威胁性的信息，企图吓倒恐吓受害者，并令其付钱。 事实上，解决这个问题的方法很简单，用户可以通过清除其浏览历史和缓存来解决问题，但不了解的用户往往不知所措。使用 iOS10.3 正式版，这一漏洞已经完全被修复，因此用户不会再被困在 JavaScript 弹出窗口的无尽循环中。 稿源：IT之家；封面源自网络

《纽约时报》报道，安全研究人员透露，去年年底，与朝鲜有关的黑客试图闯入多家波兰银行时留下了一些信息，显示他们企图从全球 100 多个机构窃取资金。朝鲜黑客留下的攻击清单显示目标包括世界银行、欧洲中央银行等机构，以及美国银行等，唯一一个与中国有关的目标是中国银行在香港和美国的分支机构，俄罗斯、委内瑞拉、墨西哥、智利和捷克的央行都在名单上。 安全研究人员表示，它表明了朝鲜黑客能力的长进。除了进行宣传鼓吹和窃取数据，以及扰乱敌国的政府和新闻网站之外，他们的目标现在还转向了资金。越来越多的证据表明朝鲜这个被全球大部分经济体所孤立的国家胆子越来越大，正在越来越多尝试利用其网络攻击能力来获取现金。 据韩国官员估计，朝鲜拥有一个巨大的黑客网络，拥有 1700 名黑客，并由 5000 多名培训师、主管和其他人员做后援。由于该国的基础设施不佳，黑客通常在国外工作，比如中国、东南亚和欧洲等。为了赚钱，朝鲜黑客还开始使用勒索软件。黑客们会让受害者支付赎金——通常是比特币——以换取解密密钥。 稿源：solidot；封面源自网络

自 2012 年起谷歌的警告系统就向一小部分用户发出警告，提醒用户注意有政府资助黑客入侵。“ 谷歌检测到有国家资助背景的黑客正在尝试窃取你的密码。” 提示用户使用更高等级的密码和双重身份验证( 2FA )。 而在一年前，谷歌将这种警告方式改为更加不容易被注意的窗口广告条式显示方案，但是大部分可能很容易忽视这样的提升错过警告。 现在，谷歌开始向可能受影响的谷歌账号推送更明显的弹窗式警告，提示用户使用更高等级的密码和双重身份验证( 2FA )。 稿源：cnBeta ，封面源自网络