我的位置 首页  >  新闻动态  >  国内新闻

信息安全快讯丨雨一直下,安全快讯也要准时发

来源:科技成果转化中心时间:2018-07-17
      

与其相忘于江湖,不如点击蓝字关注


政府举措

● 印度即将推行网络中立法,所有用户同等享用互联网

● 国际网络安全 普京表示加强信息空间安全需要国际社会配合

● 法国网络司令部首次加入巴黎巴士底日阅兵式


网络安全事件

● Facebook因剑桥分析数据泄露而受罚50万英镑

● 谷歌下周面临史上最高罚款,安卓系统垄断或被打破

● 黑客以低于200美元的价格在暗网出售美军无人机文件

● 知名压缩软件”快压”传播病毒和多款流氓软件、劫持流量

● 电商雇“黑客” 袭击竞争对手网站,12人被警方控制

● 涉泄露用户行踪 大众点评整改


数据统计

● 全球端口暴露指数:中国第二

● IBM报告:大型数据泄露成本最高可达3.5亿美元


人才培养

● 阿里巴巴与重庆9所高校达成合作 加快大数据人才培养


漏洞速递

● 幽灵漏洞再现新变种 Spectre 1.1 和 1.2



政府举措

印度即将推行网络中立法,所有用户同等享用互联网

关键词:网络中立

11日,印度电信部批准了网络中立规则。该规将让所有用户都能享受到访问网络内容的同等价格和速度。获悉,印度新法将禁止屏蔽、降级、减速或给予用户优惠待遇的网络使用情况存在。

印度电信部长Aruna Sundararajan告诉媒体,任何违反网络中立规则的行为将都要受到严厉的惩罚。获悉,该套网络中立法将马上就要生效。

不过该网络中立法也存在一些特例,像自动驾驶、远程医疗等新兴服务则拥有豁免权,因为它们可能需要更快的网络来展开各自的活动。(来源:cnbeta/ 国际)


国际网络安全 普京表示加强信息空间安全需要国际社会配合

关键词:国际网络安全

国际网络安全大会于7月5日至6日在莫斯科举行。 该论坛是一个跨部门平台,在全球化和数字化的背景下促进全球网络安全对话。

普京表示抵御网络威胁需要国际社会共同努力。俄罗斯一直呼吁对任何出现的问题进行联合和公平的解决,与此同时,安全措施和对这一领域的监管决不能妨碍其技术和创新发展。

在这种情况下,制定共同的游戏规则和具有约束力的国际标准非常重要,这些标准将尽可能地考虑到所有国家的权利和利益,并且将是普遍的,并为所有人所接受。在欧洲委员会框架内协调俄罗斯与欧洲国家之间的通用数据保护条例, 已经采取了至关重要的决定,以防止将俄罗斯的个人数据非法转移到其他国家。(来源:安全加)


法国网络司令部首次加入巴黎巴士底日阅兵式

关键词:网络司令部

日前,法国军事网络司令部首次参加了在巴黎香榭丽舍大街举行的巴士底日阅兵式。军方表示,这是对该部队自去年成立以来取得的进展的认可,另外它还强调网络防御将仍旧是该国处理的优先事项。法国国防部部长Jean-Yves Le Drian于2016年宣布了组建COMCYBER的消息。

当时,这位部长指出,网络空间中国家行动者的出现是一种应对战争的新方式。该司令部在一个司令部下将全国所有士兵都集中到网络防御工作上,其中主要任务有三个:网络情报、保护和攻击。(来源:cnBeta)


网络安全事件

Facebook因剑桥分析数据泄露而受罚50万英镑

关键词:数据泄露

英国数据监管机构“信息专员办公室”(ICO)向Facebook开出了一张数额为50万英镑(约合66.4万美元)的初步罚单,理由是针对剑桥分析公司滥用用户数据行为,Facebook未能及时发布预警信息并提供有效隐私保护措施,这是英国数据保护法罚款的最大金额。

Facebook的首席隐私官对此回应称:

我们本应在2015年就有关剑桥分析的申诉展开进一步调查并采取行动。我们密切配合ICO针对剑桥分析的调查,与美国和其他国家的机构也同样如此。我们在评估该报告,将很快对ICO作出回应。

今年3月,由于Facebook数据泄露,导致剑桥分析公司获得了全球8700万Facebook用户的个人数据。英国信息专员办公室(ICO)对此事进行了调查,查获了数十台服务器和数百TB的数据设备。(来源:嘶吼)


谷歌下周面临史上最高罚款,安卓系统垄断或被打破

关键词:垄断罚款

谷歌下个周将面临一项创纪录的欧盟罚款,这一罚款源于谷歌借助自己的安卓智能手机系统保护自己搜索引擎的垄断行为。这一罚款决定很可能在下周二或者周三公布,这一次的罚款很可能超过谷歌去年缴纳的滥用垄断的21亿英镑罚款。

欧洲委员会反垄断负责人Margrethe Vestager三年来一直对谷歌进行着调查。谷歌公司免费为手机制造商提供自己的安卓软件,但是却捆绑了“垄断协议”,如果制造商们使用谷歌的App商城就不得不安装谷歌的网页浏览器和搜索引擎。

除了罚款之外,谷歌预计将被要求解除与手机制造商之间的协议。这可能意味着更多的安卓手机将不会安装谷歌软件,这也有可能导致竞争对手的搜索引擎和网页浏览器得到推广,比如说微软的Bing或者Firefox。(来源:网易科技)


黑客以低于200美元的价格在暗网出售美军无人机文件

关键词:暗网

近日在暗网论坛上发现,有黑客打算以150-200美元的价格,出售美国军用无人机MQ-9 Reaper的相关文件。该无人机于2001年首次推出,目前被美国空军,美国海军,美国海关和边境保护局,美国宇航局,中央情报局以及多个国家的军队使用。目前已证实黑客是通过攻击Netgear路由器存在的身份验证漏洞获取的访问权限,该漏洞于两年前被发现,并且研究人员表示美国军方至今还有超过4000台路由器没有更新其固件,存在严重的安全隐患。(来源:thehackernews) 


知名压缩软件”快压”传播病毒和多款流氓软件、劫持流量

关键词:快压

日前,火绒安全团队发现,知名压缩软件”快压”正在传播木马病毒”Trojan/StartPage.ff”,该木马病毒会劫持被感染电脑浏览器首页。此外,”快压”自身也存在流氓行为:弹窗广告、自动创建桌面快捷方式,还会推广”小黑记事本”、”ABC看图”等多款流氓软件。通过查询企业注册信息发现,虽然”快压”为上海广乐网络科技有限公司旗下产品,”小黑记事本”、”ABC看图”为上海展盟网络科技有限公司产品,但两家公司的法人信息和注册邮箱均一致,或系同一团队制作。由于国内各大下载站都提供”快压”软件下载,传播范围极广。(来源:huorong)


电商雇“黑客” 袭击竞争对手网站,12人被警方控制

关键词:不当竞争

近日,江苏省南通市公安局在深入开展打击整治网络违法犯罪“净网2018”专项行动中,破获一起由公安部督办的电商网站流量攻击系列案件,控制李某等12名涉案犯罪嫌疑人,查扣电脑、手机等作案工具36部。该犯罪团伙通过网络接单,发起攻击,导致电商网站及交易平台无法正常运行,并以此牟利。据《刑法》规定,违反国家规定,李某等人因对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。(来源:cnbeta)


涉泄露用户行踪 大众点评整改

关键词:暴露用户隐私

近日,有媒体报道,用户用微信登录大众点评后,会将用户关系链与微信等通讯录中的好友捆绑,并将用户在酒店、餐厅等的签到信息、点赞信息或地址信息分享给这些平台的好友。

7月9日,大众点评就暴露用户行踪一事在官方微博发表声明,称打造好友关系链类产品功能的初衷,是希望有分享意愿的用户能够通过大众点评分享在生活中获得的美好体验。现在发现这类功能设计在用户体验方面存在考虑不周的地方,将着手整改。

大众点评隐私设置界面,用户可以选择点击“解除第三方好友关系”,并关闭手机号、微信号、QQ号找到我的功能,来保护个人隐私。(来源:新浪科技)


数据统计

全球端口暴露指数:中国第二

关键词:端口暴露

网络安全公司 Rapid7 近日发布的《2018国家暴露指数报告》显示,全球端口暴露最严重的十个国家为美国、中国、加拿大、韩国、英国、法国、荷兰、日本、德国和墨西哥,其中美国暴露的情况最严重,其次为中国。

中国1400万服务器暴露原因在于缺乏加密服务,这使被动的监控和针对不安全明文协议的主动攻击成为可能。中国的 Web 服务器数量远不及其他国家,且加密 Web 的比率为26%,远远低于 Rapid7 期望的35%。同样,中国的加密 Shell 比率为58%,远远低于与之经济实力相当国家的平均水准(75%),更易遭受类似 Mirai 僵尸网络的攻击。

报告指出,中国有180万个数据库端口暴露。另外,现有约4万台未打补丁的过时 Memcached 服务器,需谨防DDoS 放大攻击。(来源:E安全)


IBM报告:大型数据泄露成本最高可达3.5亿美元

关键词:数据泄露成本

根据IBM Security和Ponemon Institute的一项研究,数据泄露所需的平均成本为386万美元。但是,“大规模入侵”(造成100万到5000万条数据丢失)的成本则高达4000万美元到3.5亿美元。

在过去的5年里,大规模的入侵已经成2013年的9次激增到2017年的16次重大事件。根据对过去两年遭遇过大规模数据泄露事件的11家公司进行分析,通常会丢失100万到5000万条数据,且绝大多数(11个中的10个)都是恶意攻击和犯罪攻击(相对于系统故障或人为错误)导致的。

另外,发现和控制重大漏洞所需的平均时间为365天,比小规模入侵(266天)的时间要多用了将近100天。

对于大规模的违规行为,最大的费用类别是与失去业务相关的成本。据估计,丢失5000条数据,这一损失可能达到1.18亿美元,几乎占到总成本的三分之一。

连续8年,医疗领域企业的数据泄露成本最高——每条丢失数据可达408美元——几乎是跨行业平均水平的3倍(148美元)。(来源:E安全)


人才培养

阿里巴巴与重庆9所高校达成合作 加快大数据人才培养

关键词:大数据人才

阿里巴巴与重庆高校联合开展大数据人才培养。重庆大学大数据与软件学院相关负责人表示,社会对大数据人才的需求非常迫切。目前学校已在软件工程专业下设数据科学与大数据技术、人工智能方向(今年开始招生),以培养大数据人才,预计今年将总共招生240人。

截至目前,阿里巴巴已与重庆大学、重庆交通大学、重庆文理学院、重庆工程职业技术学院等我市9所高校达成合作协议。企业利用自身优势与高校合作加快培养大数据人才,比如部分核心专业课程由阿里云大学承担,运用市场化的优势加入实战与实践训练,并使用行业标准、技能认证等方式引导、评估学生。

“目前全球对大数据人才需求都极为迫切。此次与重庆大学合作,并在大三年级举办实训营是一次尝试,从具有计算机、软件基础的学生切入加入大数据实训,以加快人才培养速度。”王晓斐说。(来源:重庆日报)


漏洞速递

幽灵漏洞再现新变种 Spectre 1.1 和 1.2

关键词:CPU漏洞

近日,两位安全研究人员又披露了两个新的“幽灵级”(Specter-class)安全漏洞,并将这些漏洞命名为“Spectre 1.1”和“Spectre 1.2”。

根据研究人员的说法,Spectre 1.1 和 Spectre 1.2 和之前披露的 Meltdown 和 Spectre CPU 漏洞变种相似,都是利用了所有现代 CPU 都包含的推测执行功能。该功能的作用是通过提前计算操作和抛弃不需要的数据来改进性能,结果却被漏洞大肆利用。

具体来看,Spectre 1.1 攻击是利用推测性执行来传递溢出 CPU 存储缓存缓冲区的代码,以写入和执行从先前安全的 CPU 内存区检索数据的恶意代码。Spectre 1.1 与之前的 Spectre 1 和 Spectre 4 很相似。Spectre 1.2 则能被利用写入代码到通常受只读标记保护的 CPU 内存区。

英特尔和 ARM 已证实其部分 CPU 容易受到 Spectre 1.1 的攻击,AMD 尚未对此发布声明。微软、甲骨文和红帽也纷纷表示,他们正在调查 Spectre 1.1 是否影响其产品数据处理,以及如何降低软件级别的风险。

英特尔还向研究团队支付了10万美元的奖金,这也是迄今为止英特尔设立的该赏金计划中已知的最高bug 奖励。(来源:开源中国)




       (科技成果转化中心供稿)