俄罗斯最近正设法阻止一系列针对本土银行的网络攻击事件。据法新社报道，俄罗斯国有银行 VTB 网站近日遭到网络 DDoS 攻击，官方称 IT 基础设施仍然在正常工作、用户的账户不受攻击影响。 12 月 2 日俄罗斯联邦安全局(FSS)表示国外情报机构正策划一系列的网络攻击计划针对俄罗斯银行系统。俄罗斯联邦安全局已经成功挫败了一起拟于 12 月 5 日发动的攻击计划，攻击者的服务器属于乌克兰公司 BlazingFast、物理位置在荷兰。 12 月 2 日俄罗斯央行也对外宣称遭到重大网络攻击，黑客窃取了 20 亿卢布(超过 3100 万美元)。 看来，真的存在一系类针对俄罗斯金融机构的袭击，会不会是来自美国的“报复计划”呢？ 稿源：本站翻译整理，封面来源：百度搜索

英国通过了史上最受争议的监控法律，而政客们却 将自己排除在监视法律之内。英国的 Investigatory Powers Act 要求记录浏览历史、要求科技公司帮助解密加密通讯记录——意味着需要实现某种后门。对于大多数人而言，只要有国务大臣签发的搜查令就能对其进行监视；而对于议会成员和其他政客，搜查令需要获得首相的批准。受到保护的政客除了国会议员，还有地方议会和欧盟议会的成员。 稿源：solidot奇客 有删改，封面：百度搜索

欧盟委员会周日表示，Facebook、Twitter、谷歌旗下 YouTube 以及微软等美国科技巨头必须加快速度打击网络仇恨言论，否则欧盟将借助法律强制他们这么做。 早在这一警告 6 个月前，这些科技巨头就已经签署了一项自愿行为准则，同意 24 个小时之内在欧洲采取措施打击仇恨言论。这些措施包括在必要情况下移除或者禁止访问相关仇恨言论内容，加强与公民社会组织的合作，针对仇恨言论提出“相反的论述”(counter-narratives)。然而，欧盟委员会称，美国科技巨头对于行为准则的遵守情况很难令人满意。在前 24 小时内，他们只审核了 40% 的已记录案例”欧盟委员会官员称，“ 48 小时后，审核的案例比重上升到 80% 以上。这表明，我们制定的目标是切实可行的，但是这需要IT公司做出更大努力。” 欧盟委员会称，他们可能会制定法律来迫使 IT 公司加快打击仇恨言论。除非，科技公司加快行动，证明非立法措施也可以奏效。 稿源：cnbeta.com节选，封面来源：百度搜索

据外媒报道，加拿大新政府正在寻求更大的监管能力，未来它将要求所有服务商都要具备解密功能、强制储存电话和网络纪录、允许用于拦截的后门以及无需搜查令的基本用户信息访问。 虽然强制解密和加密后门在美国没能成功，但在英国《Snoopers’ Charter》监控法 却获得了通过。如今加拿大也开始为尝试推行监控法进行意见收集。 除了通信拦截之外，加拿大政府还希望能获取其他一些服务上的拦截功能。由于端到端的加密服务，连服务供应商自己都没法看到实际内容，执法部门当然也不行。最佳的解决办法就是要求这些公司在通信服务中加入后门。但如果这样的现象得到普及，也就意味着将会有越来越多的客户避免使用这些服务。这也成为了西方许多国家尝试想要通过监控法案的原因所在，这将让民众不得不接受使用存在后门的服务。此外，加拿大新政府还认为应当拥有无需搜查令也能访问用户信息的权力。 稿源：cnbeta.com 节选有删改，封面来源：百度搜索

据外媒报道，Hacker House 研究员发现朝鲜红星操作系统 RedStar OS 3.0 存在远程任意命令注入漏洞，只需要单击超链接，即可让攻击者远程访问用户的计算机、装恶意软件，。 红星（Red Star）操作系统是朝鲜在 Linux 操作系统的基础上自行研发、改进的电脑操作系统。最新的 3.0 系统界面与苹果 OS X 操作系统相似。 由于朝鲜使用独立的区域网络，而不使用万维网，浏览器是基于 Firefox 浏览器改版而成，被称为“我的国家”（Naenara）。 研究员注意到系统中 /usr/bin/nnrurlshow 为特定命令行应用程序并可处理 URI 请求的特性。黑客还发现浏览器存在漏洞 Naenara 执行注册时不擦除应用程序的命令代码请求，将格式错误的 URI 传递到 nnrurlshow 命令行应用中，触发执行命令代码 。 黑客可以诱使用户在浏览器上点击一个链接，之后将启动电子邮件客户端并调用命令行指向“ mailto:`cmd` ”，此后黑客就可以获得权限执行任意代码，操纵电脑、安装恶意软件等。 稿源：本站翻译整理，封面来源：百度搜索

上周四，谷歌发布 Chrome 55.0.2883.75 版本更新，本次更新修复了 36 项安全问题并提升稳定性，其中包括 12 个高严重漏洞。此外，同时将 HTML5 作为网页的默认支持选项。 本次更新修复的 36 个漏洞，有 26 个来自漏洞赏金项目，总计支付研究人员 70,000 美元的奖励，另外 10 个安全补丁是谷歌自己发现并解决的。漏洞中存在 12 个高严重漏洞，涉及跨站点脚本 bug、默认 PDF 查看器“ PDFium ”漏洞、V8 JavaScript 引擎漏洞等。 谷歌过去曾宣布，逐步对 Flash 页面进行“限制”并替换成 HTML5 页面。这次 Chrome 浏览器将将网页的默认支持选项转变为 HTML5 ，但也没有完全禁止 Flash 的运行，用户可通过手动加载 Flash 或设置白名单加载 Flash 。 稿源：本站翻译整理，封面来源：百度搜索

来自纽卡斯尔大学的一组安全研究人员发现了一种称为分布式猜测攻击的新方法，只需 6 秒即可破解 VISA 信用卡。攻击者利用 VISA 支付系统漏洞，自动生成不同的信用卡数据并在多个网站交易，通过交易回复信息判断信用卡数据是否正确。 研究人员推测，这种方法可能被用于最近针对乐购银行的网络攻击，导致 250 万英镑被黑客窃取。 研究发表在学术期刊《IEEE Security & Privacy》，讲述了所谓的分布式猜测攻击如何规避所有的安全防御功能，以保护在线支付免受欺诈。 攻击利用了支付系统两个不太严重的缺陷，但是一起使用会对整个支付系统造成严重的威胁。 首先，目前的在线支付系统无法检测出，来自不同网站的多个无效付款请求。这允许攻击者对每个信用卡片的数据字段进行无限次猜测，每个网站通常可以进行 10 到 20 次尝试。 其次，不同的网站要求卡片的不同数据字段来验证是“真实”的在线支付交易。 这意味着攻击者可以像拼玩具一样，把卡片各数据字段拼凑出来。 具体步骤： 首先，黑客以有效卡号为起点自动发送它们到许多网站去验证有限性。 下一步是到期日期，信用卡的有效期为 60 月，所以猜测日期最多需要 60 次。 CVV(信用卡安全代码)是最后的屏障，理论上只有卡持有人知道该号码，但猜测这三位数最多尝试 1000 次 通过上述步骤就可以获得被黑账户的所有数据。 如何避免此类欺诈： 1、限制在线支付金额 2、银行卡不要存大量的钱，资金已到位立刻转出 3、保持警惕、注意交易记录 稿源：本站翻译整理，封面来源：百度搜索

据国外媒体报道，研究人员发现一些最新一代的植入式心脏除颤器（ICD）使用了安全性较弱的通信协议，攻击者无需具备专业知识即可利用反向工程、漏洞或拒绝服务（DDoS）进行攻击。 来自比利时和英国的研究人员报告发现，植入性医疗器械（IMDS）使用了私有通信协议，主要用于执行关键功能如改变 IMDS 的治疗或收集遥测数据。逆向工程是非常可行的方案，即使在有限的知识和资源下攻击者甚至无需出现在设备附近，利用工具或定向天线足以延长攻击距离，杀人于无形。 目前已发现市场上至少 10 种以上 ICD 设备会受到影响。缓解或解决设备漏洞的方式包括：当 ICD 处于待机模式时干扰无线通道，发送关机指令使设备将进入睡眠模式，从而添加基于对称密钥的身份验证等。 稿源：本站翻译整理， 封面：百度搜索

今年 2 月，美国总统奥巴马成立了的国家网络安全强化委员会旨在通过一系列长期与短期举措改善美国的网络安全态势。 12 月 1 日，国家网络安全强化委员出台了一份 PDF 报告讲述如何保护和发展数字经济（即网络安全防御办法 ），其中含有对奥巴马政府和即将当选总统的特朗普的 16 条网络安全建议。美国政府发布报告指出：“技术进步远远超过现行的安全防御，我们必须改变现行处理和实施网络安全战略和实践的方式。 该报告详细说明了奥巴马对网络安全的愿景、对网络威胁的演变表示了极大的关注，并提出了确保国家基础设施的建议。 此前欧盟网络与信息安全机构也出台医院物联网安全指导方针，保障网络安全。 稿源：本站翻译整理，封面来源：百度搜索

漏洞实验室安全分析师 Benjamin Kunz Mejri 发现利用缓冲区溢出漏洞和 ipad 某些特有 bug 可绕过开启激活锁功能的 iOS 10.1.1 设备。 苹果公司 Find My iPhone 服务允许用户在设备丢失或失窃时激活 iPhone、iPad 或 iPad 的“丢失模式”（ Lost Mode ），这种模式启动后会自动启用“激活锁”功能， 激活锁在开启之后，iOS 设备便会拒绝其他人进行操作，除非使用用户的 iCloud 密码，即便是抹去或者重置系统也不会让该功能失效。这一功能在了 iOS 7 系统中开始启用。这使得偷来的苹果设备失去了“价值”很难转售出去，只能拆成零件。 启动激活锁，设备开机后，第一步需点击“选择另一个网络”连接无线网络，选择安全类型，然后输入一个非常非常长的字符串填写网络名称和网络密码。之后，iPad 开始卡，这时你可以合上 Smart Cover （保护套），然后重新打开，屏幕将故障片刻并绕过激活锁进入主显示屏。 研究员将视屏上传到 Youtube ，视频中运行 iOS 10.1.1 的 iPad Mini 2 设备受到影响，但运行 iOS 10.1.1 的 iPhone 5 无法复现，此外运行 iOS 9 的 iPad 也不受影响。 稿源：本站翻译整理，封面来源：百度搜索