上百萬台光纖路由器爆認證旁路漏洞，可被遠程訪問攻擊；汽車易受遠程黑客攻擊；暗網現下一代網路釣魚工具包

外媒近日消息，安全研究人員發現通過一個認證旁路漏洞能夠遠程訪問超過一百萬台光纖路由器。研究表明，該漏洞很容易通過修改瀏覽器地址欄中的 URL 來利用，可讓任何人繞過路由器的登錄頁面和訪問頁面，只需在路由器的任何配置頁面上的網址末尾添加 「?images /」，就能夠完全訪問路由器。由於設備診斷頁面上的 ping 和 traceroute 命令以 「 root 」 級別運行，因此其他命令也可以在設備上遠程運行。

這些路由器是將高速光纖互聯網帶入人們家庭的核心。根據周一發布的調查結果表明，該漏洞在用於光纖連接的路由器中發現。目前 Shodan 上列出了約 106 萬個標記的路由器 ，其中一半易受攻擊的路由器位於墨西哥的 Telmex 網路上，其餘的則在哈薩克和越南被發現。

其中，路由器是黑客濫用的主要目標，因為它們是大多數網路的中心點。當受到攻擊時，攻擊者可以進一步立足於網路。路由器也是一個很容易利用的目標，它們可以輕易地被黑客攻擊，被殭屍網路劫持，並且通過互聯網流量入侵目標，將它們置於離線狀態。這些分散式拒絕服務（DDoS）攻擊可以在精確瞄準時摧毀大量網路。

一家荷蘭網路安全公司發現，部署大眾汽車集團部分車型的車載信息娛樂（IVI）系統容易受到遠程黑客攻擊。 Computest的安全研究人員Daan Keuper和Thijs Alkemade表示，他們成功測試了他們的發現並利用大眾Golf GTE和奧迪A3 Sportback e-tron車型（奧迪是大眾汽車集團的品牌部分）的連鎖店。研究人員說：「在某些情況下，攻擊者可以通過車載套件收聽司機正在進行的談話，打開和關閉麥克風，以及訪問完整的地址簿和對話歷史記錄。」

「此外，由於存在漏洞，通過導航系統可以精確地發現駕駛員所在的位置，並隨時隨地查看車輛的位置，」研究人員補充說。

總而言之，除了允許遠程訪問汽車IVI的WiFi攻擊媒介之外，研究人員還發現了可通過位於汽車儀錶板下的USB調試埠利用的其他缺陷。

Check Point 和 CyberInt 公司的研究人員在暗網上發現下一代網路釣魚工具包，可供菜鳥級別的黑客發起網路攻擊。黑客只需簡單下載這款多功能網路釣魚工具包，並按照安裝指南進行安裝，隨後就可以輕鬆發起網路釣魚活動，快速地收集用戶的個人和財務數據。

普通的網路釣魚工具僅售20美元~50美元不等，有些甚至是免費的，但這款工具包的價格介於100美元~300美元，價格貴的原因在於，這款工具包提供的是一套完整的工具（例如具有完整的後端界面）。

91％的網路攻擊和數據泄露從網路釣魚郵件開始，網路釣魚依然是竊取金融信息、知識產權、甚至干擾選舉的威脅。出於這個原因，消費者和企業應確保採取最新的保護措施防範此類威脅。

新聞報道，歐盟委員會最近提出區塊鏈技術是打擊虛假網路新聞傳播的框架的一部分，計劃於2018年夏季之前推出。委員會認為區塊鏈技術具備長期解決虛假信息的中心作用的潛力。區塊鏈應用可以提供互聯網新聞的透明性、可靠性和可追蹤性。分散式賬本技術還可以結合其他身份認證流程。

4月11日，委員會宣布簽署一項聲明，創建「歐洲區塊鏈合作關係」（European Blockchain Partnership），由22個國家組成。

近日，負責美國最重要關鍵基礎設施的公司聘請了網路安全公司 WhiteScope「入侵」其系統，並要求解釋入侵突破口和方式，以防範網路攻擊威脅。

WhiteScope 創始人比利?里奧斯及研究團隊已發現飛機和汽車使用的通信系統存在漏洞。里奧斯曾是參加伊拉克戰爭的一名老兵，曾在谷歌擔任事件響應負責人。2014年，里奧斯在拉斯維加斯舉辦的黑帽大會上表示，他在爆炸物和毒品檢測設備 Morpho Itemiser 3 上發現硬編密碼。而網路安全 WhiteScope 提供的所有核心服務，都是以探索供應鏈威脅為出發點進行。

一般的網路攻擊難以打破核電站的關鍵系統防禦機制，資源雄厚的攻擊者不得不將目標轉移到它的供應鏈和生產基地，試圖尋找立足點和突破口。監管機構、經驗豐富的核電站員工或滲透測試人員也正在努力確保供應鏈的網路安全。 儘管核設施經過了嚴格的設備測試，但軟體漏洞難以捉摸的本質意味著存在被利用的空間。核行業和外部研究人員的合作程度將會是供應鏈網路安全的關鍵。

據媒體報道，為打擊洗錢和其他犯罪活動，日本金融廳悄然向加密貨幣交易所施壓，要求其放棄處理門羅幣、Zcash和 Dash 等犯罪分子和黑客們經常使用的加密貨幣。消息人士確認，他們正在採取一切可用措施來披露某些可選虛擬貨幣的使用。這些虛擬貨幣因為不易被跟蹤而受到犯罪團伙的青睞。

去年 9 月份，歐州執法機構Europol（歐洲刑警組織）發布報告警告稱「其他加密貨幣如門羅幣、以太幣和 Zcash等正逐漸在數字犯罪領域流行起來。」作為最早採用比特幣的那批人之一，犯罪分子們日漸拋棄了比特幣的使用，轉而使用更加不易跟蹤的門羅幣等替代加密貨幣。

金融廳對門羅幣十分不友好，尤其是在 1 月份報道了韓國可能會挖掘這種貨幣來融資之後。目前，提及的三種貨幣仍可在日本合法交易，但未來可能會禁止這些貨幣的交易。不過，金融廳也可以簡單地向註冊加密貨幣交易所施壓，來有效地停止這些貨幣在日本的交易。

近日，紐西蘭惠靈頓維多利亞大學理論物理科學家 Matt Visser 與 Del Rajan 一項最新研究發現，其最近提出的「量子區塊鏈」有望保障區塊鏈系統不受量子計算機黑客攻擊的影響。這兩位研究人員認為這種新型量子區塊鏈擁有一種如時光機般的特性，即在進行自我解釋時會對過往記錄產生影響，量子區塊鏈系統將能夠抵禦來自量子計算機的黑客攻擊。

研究人員們指出，在時間糾纏設計的支持下，對某一區塊中最後一個光子進行測量將影響到該區塊的第一個光子。從本質角度講，量子區塊鏈中的當前記錄不僅與上一條記錄相關，而且與所有以往的記錄相關，且當前記錄已經不復存在。惠靈頓維多利亞大學理論物理學家兼資深作家Matt Visser指出：「這項工作相當於創造了一台量子時光器。」

上周，加州最臭名昭著的連環殺手之一落網了。這位 72 歲的「金州殺手」 Joseph James DeAngelo ，在 1976 到 1986 年間，在加州各地犯下 12 項謀殺案以及 50 多起性侵案，被害人年齡從 13 歲到 41 歲。不過，警方最後將兇手緝拿歸案，靠的不是監控錄像，也不是指紋識別，而是一個不起眼的基因資料庫網站。

據報道，調查人員從多年前的一個犯罪現場採集了 DNA 樣本，並以某種形式將其提交給了一個或多個網站，這些網站已經建立了消費者遺傳信息的龐大資料庫。通過和這些網站上的基因圖譜比較後，警方在 GEDmatch 的資料庫里找到了匹配兇手在犯罪現場留下的 DNA 樣本的家族樹，後續的調查指向了 Joseph James DeAngelo 。 在中國部分地區，執法部門也已將個體 DNA 信息連同當事人的其他生物特徵信息，包括指紋、肖像和聲紋一同存檔。警方的目標是到 2020 年將目前的 DNA 資料庫擴大近一倍，至 1 億條記錄。

據媒體報道，多地政府網站泄露貧困戶隱私信息，目前一些地方政府部門已進行整改。專家表示，扶貧信息公開的方式、範圍需有統一標準。

有媒體近日查詢多地政府官網發現，不少地方仍存在泄露個人隱私信息的現象，集中表現在對貧困戶、脫貧名單等信息的公示，包括個人電話號碼、住址、身份證號等，並可任意下載獲取，所涉信息總數達數萬條。對此，中國人民大學公共管理學院教授王叢虎表示，公民基本權利價值排序更高。

根據國務院辦公廳近日印發的《2018年政務公開工作要點》，要依法保護好個人隱私，除懲戒公示、強制性信息披露外，對於其他涉及個人隱私的政府信息，公開時要去標識化處理，選擇恰當的方式和範圍。目前一些地方政府部門已迅速進行整改，但仍有部分地區存在相應問題。

白俄羅斯之前推出了「數字經濟發展法令」來支持區塊鏈和加密貨幣的發展，目前正在對該法令進行修改，以確保加密貨幣交易的安全，維護這個市場的健康發展。法令的新內容包括要求在當地高科技園區運營的交易所向當局提交客戶的數據，並且聘請專門人員來管理風險，確保合規運營。不過目前尚不清楚新法令從何時開始執行。

白俄羅斯正在對一項「數字經濟發展法令」進行更新，要求位於當地高科技園區（HTP）的加密貨幣交易所向當局提供客戶數據。如果一家公司要在HTP運營加密貨幣交易所，就必須提供有關其管理結構、客戶姓名和通信記錄的信息。據報道，這些數據至少要保存五年，在某些情況下，新客戶需滿足KYC要求。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！