小豬佩奇×信息安全快訊
目錄
政府舉措
●快遞暫行條例5月起施行,泄露寄件人隱私最高罰10萬元
● 英國發布「網路安全出口」戰略
● 俄政府撥款 5200 萬美元發展數字經濟
● 法國:啟動國家人工智慧戰略
網路安全事件
●Apple發布安全更新:針對iOS、watchOS、tvOS和Xcode
● 數以萬計 Django 應用程序因配置錯誤泄露密碼等敏感信息
● 印度電力公司遭遇黑客攻擊
● Under Armour稱1.5億用戶數據泄漏
● 波音遭遇勒索軟體攻擊, WannaCry 成為最大懷疑對象
● Facebook:公布一系列保護用戶隱私的新舉措
數據統計
● 賽門鐵克發布《2018互聯網安全威脅報告》
● 外媒研究發現:81%的ICO項目是詐騙
人才培養
●四川大學開設「網路安全卓越人才計劃」
漏洞速遞
●羅克韋爾 Allen Bradley MicroLogix 1400 系列工控設備曝多項嚴重漏洞
政府舉措
快遞暫行條例5月起施行 泄露寄件人隱私最高罰10萬元
快遞實名製成為保障快遞包裹安全的措施之一,但同時引發人們對隱私安全的擔憂。據媒體報道,我國第一部專門針對快遞業的行政法規《快遞暫行條例》近日出台。條例規定:經營快遞業務的企業及其從業人員不得出售、泄露或者非法提供快遞服務過程中知悉的用戶信息,情節嚴重的最高處10萬元罰款。該條例將於5月1日起正式施行。
此外,《條例》還對快遞企業和員工的合法權益作出了相關規定。
● 身份不實快遞企業不得收寄
● 泄露寄件人隱私最高罰10萬元
● 快件損失用戶可要求賠償
● 鼓勵使用環保包裝降低污染
快遞業的隱私保護法規備受關注,然而,關於隱私安全,人們還需要了解更多。(來源:新京報)
英國發布「網路安全出口」戰略
英國2018年3月26日正式發布網路安全出口戰略,旨在支持對外貿易。該國正在積極宣傳自身網路技術實力,並通過新的網路安全出口戰略促進面向其它國家的出口規模,從而應對自身與俄羅斯間的衝突。
英國國際貿易部發表的一份聲明提到:僅在2016年,來自英國800家網路安全企業的出口貢獻總額就已經達到15億英鎊(約合人民幣133.53億元),預計到2021年全球網路安全支出將超過7590億英鎊(約合人民幣6.76萬億元)。
此次公布的新戰略,旨在獲得更可觀的市場份額,此外還將支持2016年出台的國家網路安全戰略的相關工作。此前公布的這項戰略包括提供19億英鎊投資以強化英國網路能力,其中大部分將被交付至由英國政府通訊總部(簡稱GCHQ)拆分而來的英國國家網路安全中心,旨在利用網路安全專業知識增強自身以及夥伴國家的網路防禦能力。(來源:E安全)
俄政府撥款5200萬美元發展數字經濟
俄羅斯政府網站 31 日發布公告稱,總理梅德韋傑夫日前簽署一項命令,要求從政府儲備基金中撥款約 30 億盧布(約合 5200 萬美元)用於發展本國數字經濟。公告稱,梅德韋傑夫要求從政府儲備基金向「俄羅斯聯邦數字經濟」這一國家優先發展計劃撥款 30.4 億盧布。
這筆資金將主要用於該項目框架下的信息基礎設施建設,加強科研能力、技術儲備和信息安全等。
「俄羅斯聯邦數字經濟」計劃於 2017 年 7 月簽署,整合了政府原有和最新的數字經濟發展方案,力爭在數字經濟監管標準、人才培養、科研能力建設、信息安全和信息基礎設施建設等方面實現長足發展。目前,該項目中的部分計劃已開始實施。(來源:cnBeta、新華社)
法國:啟動國家人工智慧戰略
3月29日消息,法國總統馬克龍(Emmanuel Macron)在位於巴黎的法蘭西學院公布了法國人工智慧發展戰略,旨在推動法國成為人工智慧領域的全球領先國家之一。這一戰略的重要內容之一是,法國計劃在2022年之前投資15億歐元,為法國人工智慧技術研發創造更好的綜合環境。
首先,許多私營企業已經在法國開設或計劃開設人工智慧研究中心,Facebook和谷歌已經在巴黎與數百名研究人員展開合作。
其次,法國將在數據方面設置一些新的界限。法國政府將共享新的數據集,以便任何人都可以使用這些數據集構建人工智慧服務。
第三,在監管方面,企業將能夠在多個行業進行試驗,並且從自動駕駛汽車行業開始。各公司將能夠在2019年測試L4級自動駕駛汽車。(來源:日內瓦數字觀察網)
網路安全事件
Apple發布安全更新:針對iOS、watchOS、tvOS和Xcode
今天 Apple發布了針對 iOS,watchOS,tvOS 和 Xcode的安全更新。 此次解決的安全漏洞包括許可權升級,遠程代碼執行,以及敏感信息泄漏問題。強烈建議所有用戶儘快對設備進行安全更新。
在這些更新中,iOS系統中進行的安全修復最多,達到43個。其次是watchOS、tvOS以及Xcode。 但此前發現的鎖屏狀態允許 Siri 讀取隱藏通知的錯誤似乎未在 iOS安全更新公告中列出。(來源:Freebuf.com)
數以萬計 Django 應用程序因配置錯誤泄露密碼等敏感信息
近日,安全研究員 FábioCastro 發現 28,165 個配置錯誤的 Django 應用程序暴露敏感信息,其中包括密碼,API 密鑰以及 AWS 訪問令牌。FábioCastro 稱這是由於 Django 開發人員忘記禁用調試模式導致的,黑客可以使用這些泄露的數據來獲得系統的完全控制權。
Django 是一個非常流行的高級 Python Web 框架,它可以快速開發基於 Python 的 Web 應用程序。不過 Castro 在一個小項目上使用 Django 框架時卻發現其配置是錯誤的,出於安全考慮他建議將應用程序部署到生產時禁用調試模式。(來源:HackerNews.cc)
印度電力公司遭遇黑客攻擊
上周,黑客攻佔了印度Uttar Haryana Bijli Vitran Nigam(UHBVN)電力公司的計算機系統,竊取了客戶的賬單數據。
攻擊者對電力公司進行了勒索,索要一個1 RS Core或者1000萬盧比才肯歸還數據,1000萬盧比相當於15萬美元。
據新印度快報報道,黑客在3月21日凌晨獲得了計費系統的訪問權,員工在22日到公司時,發現他們的電腦上閃爍著贖金信息,要求1個RS Core來恢複數據。
電力公司正在通過日誌以及其他來源回複數據。賬單數據的丟失意味著電力公司無法對之前的客戶用量進行計算。(來源:BleepingComputer)
Under Armour稱1.5億用戶數據泄漏
Under Armour向MyFitnessPal用戶通知2018年2月下旬發生的安全漏洞,當時黑客獲取了近1.5億用戶帳戶的個人詳細信息。
Under Armour表示,它僅在四天前的3月25日發現違規行為。Under Armour公司仍在與數據安全公司一起調查事件。
黑客獲取了用戶名,電子郵件地址和哈希密碼。密碼使用安全散列函數bcrypt進行保護。
Under Armour在發給加利福尼亞州總檢察長辦公室的數據泄露通知中稱,銀行卡數據未被公開,因為它是「分別收集和處理的」。
雖然bcrypt被認為是安全的密碼哈希函數,Under Armour仍然要求所有MyFitnessPal用戶更改他們的賬戶密碼,以保證安全。
可能唯一的威脅就是MyFitnessPal用戶在未來幾天可能會收到更多垃圾郵件,因為除了用戶的電子郵件外,被盜數據並無用處。(來源:BleepingComputer)
波音遭遇勒索軟體攻擊, WannaCry 成為最大懷疑對象
波音公司近日遭遇了勒索軟體攻擊(疑似WannaCry),其商用飛機製造總工程師 Mike VanderWel 警告稱,該勒索軟體正在從波音公司南卡羅來納州北查爾斯頓的工廠擴散出去,並且可能已經導致 777 的翼梁自動裝配工具產線癱瘓。VanderWel 擔憂 惡意軟體可能不僅會感染用于飛機功能測試的設備,也可能擴展到「飛機軟體」中。
但隨後波音在 Twitter 上發表聲明說,媒體的報道與真實情況具有一定差距,因為根據波音網路安全運營中心的檢測,惡意軟體的入侵僅影響到少數系統,並且安全人員也已經採取了補救措施。
目前,波音公司遭受的勒索軟體還沒有被 100% 確認為 WannaCry,安全人員猜測它也有可能只是 WannaCry 的模仿版。(來源:HackerNews.cc )
Facebook:公布一系列保護用戶隱私的新舉措
Facebook公布了一系列有關用戶隱私保護的新措施,旨在讓用戶更容易地查看和訪問Facebook所擁有的個人數據,並在需要時做出調整。該公司表示,它重新設計了移動設備上的設置菜單,以方便用戶輕鬆地找到各項內容,在「設置」選項下的所有不同分區現在都放在一個單獨的位置。
此外,還添加了一個隱私快捷菜單,用戶可以利用該快捷菜單進行額外的安全設置,例如查看和刪除共享內容,管理賬戶信息,以及查看哪些人閱讀過你發布的內容等。Facebook還推出了一個名為「訪問你的信息」的工具,讓你看到你留下的評論,或者你分享和刪除的帖子。該公司還表示,它將使用戶更容易下載他們的數據,比如你添加到你賬戶里的照片和聯繫人,甚至還可以將其轉移到另一個服務中去。最後,Facebook表示將提出新的服務條款,並將更新其數據政策,以「更好地展示我們收集了什麼數據以及我們如何使用它。」(來源:Securityweek)
數據統計
賽門鐵克發布《2018互聯網安全威脅報告》
3月28日賽門鐵克官網發布了一份《2018互聯網安全威脅報告》(Symantec』s 2018 Internet Security Threat Report),報告顯示:聯網設備正日益成為黑客青睞的目標,黑客企圖劫持處理能力進行加密貨幣挖礦活動。
報告指出,賽門鐵克發現物聯網攻擊數量2017年增加了6倍,這就意味著網路犯罪分子可能會利用物聯網設備大規模挖礦。
這份報告提出的主要發現包括:一是加密貨幣劫持攻擊增加85倍;二是物聯網攻擊數量相比2016年增加了6倍;三是發起針對性攻擊的犯罪組織數量呈現增多的趨勢;四是植入式惡意軟體攻擊增加了2倍;五是移動領域的威脅繼續增多;六是勒索軟體平均贖金降低,但勒索軟體仍是深受針對性攻擊組織青睞的工具。(來源:賽門鐵克官網)
外媒研究發現:81%的ICO項目是詐騙
根據ICO諮詢公司Satis集團最近的一項研究,去年發生的五起ICO項目中有四項被列為詐騙。
ICO在加密貨幣世界中一直十分流行,因為它們允許公司通過發行用戶可以購買並在交易所進行交易的加密貨幣,來為各種風險投資籌集資金。
這個概念與IPO類似,只不過不是股票,而是公司發行代幣。並且一些公司承諾在產品成功並且代幣的價值增加後從用戶那裡回購代幣。
Satis研究根據他們的現狀組織了六個類別的ICO。只有擁有5000萬美元或更高市值的ICO才被納入研究結果,如果研究人員考慮較小的ICO,則可能會導致詐騙性質的ICO比例上升。
據研究結果,81%的ICO是詐騙,6%被列為失敗,5%死亡,只有8%在交易所繼續進行交易。
在交易平台上包含ICO代幣中,2.8%處於低風險狀態,1.6%被認為有希望,只有3.8%被歸類為成功。(來源:Freebuf.com)
人才培養
四川大學開設「網路安全卓越人才計劃」
近日,四川大學「2018年自主招生報名」已經開始,根據川大公布的招生簡章來看,今年最引人注目的是該校首次將「網路安全卓越人才計劃」納入自主招生項目,其報考條件包括:高中階段在全國青少年信息學奧林匹克競賽全國決賽中獲得一、二、三等獎或在全國青少年信息學奧林匹克聯賽(省級賽區)中獲得一等獎;或者在網路空間安全領域具有執著的興趣愛好,立志於網路空間安全技術研究,在網路空間安全等方面已初顯研究潛質並能提供真實、有效材料證明者。
「網路安全卓越人才計劃」的招生專業為網路空間安全,考生錄取進校後,不能申請轉專業。報名截止時間4月8日24時,考核測試定於6月10日在四川大學望江校區舉行。(來源:成都日報)
漏洞速遞
羅克韋爾 Allen Bradley MicroLogix 1400 系列工控設備曝多項嚴重漏洞
羅克韋爾自動化公司的 Allen-Bradley MicroLogix 1400 可編程邏輯控制器( PLCs )被用於各種不同的工業控制系統(ICS)的應用和流程,這些 PLCs 設備為不同的關鍵基礎設施部門執行關鍵過程式控制制功能提供了一定支撐。
但近日,Cisco Talos 卻在 PLCs 中發現了一些安全漏洞,可以被用來修改設備配置和梯形邏輯、將修改後的程序數據寫入到設備的內存模塊、從設備的內存模塊中刪除程序數據、以及對受影響的設備進行拒絕服務攻擊等。根據工業控制過程中受影響的 PLCs 來看,漏洞可能還會導致更嚴重的損害。
Allen-Bradley MicroLogix 1400 B 系列漏洞詳情:
▲ 乙太網卡格式錯誤的數據包拒絕服務漏洞
(TALOS-2017-0440/CVE-2017-12088)
▲ 梯形圖邏輯程序下載設備故障拒絕服務漏洞
(TALOS-2017-0441/CVE-2017-12089)
▲ SNMP 集處理不正確的行為順序拒絕服務漏洞
(TALOS-2017-0442/CVE-2017-12090)
▲ 未經身份驗證的數據/程序/功能文件訪問控制漏洞不正確
(TALOS-2017-0443/CVE-2017-14462-CVE-2017-14473)
▲ 內存模塊存儲程序文件寫入漏洞
(TALOS-2017-0444/CVE-2017-12092)
▲ PLC 會話通信資源池拒絕服務漏洞不足
(TALOS-2017-0445/CVE-2017-12093)
▲ Cisco Talos 經過測試已經確認以下版本受到漏洞影響:
Allen-Bradley Micrologix 1400 B系列FRN 21.003
Allen-Bradley Micrologix 1400 B系列FRN 21.002
Allen-Bradley Micrologix 1400 B系列FRN 21.0
Allen-Bradley Micrologix 1400 B系列FRN 15
由於這些設備通常用於支持關鍵的工業控制過程,因此建議將受影響設備升級到最新版本的固件,以便不再受到這些漏洞的影響。(來源: HackerNews.cc )
TAG:e安在線 |