政府舉措
美國稱將與愛沙尼亞簽署5G安全聯合宣告
關鍵詞:5G安全
美國國務院上週釋出訊息稱,預計將在10月底愛沙尼亞總理拉塔斯訪問華盛頓期間,美國和愛沙尼亞將簽署一份關於5G安全的聯合宣告。訊息稱:“美國和愛沙尼亞期待在愛沙尼亞總理10月30日至31日訪問華盛頓期間簽署一份關於5G安全的美愛聯合宣告,這是謀求發展網路安全的共同方法,為建立一個基於自由和公平競爭、透明度和法治的充滿活力的5G生態系統而邁出的重要一步。”
美國國務院還表示,美國和愛沙尼亞認識到波羅的海地區對北約聯盟和整個歐洲-大西洋安全的戰略重要性。“美國積極參與該地區的安全問題仍然是至關重要的。美國和愛沙尼亞注意到在加強北約集體防禦方面取得的進展,並強調了在能力上投資的重要性以及盟國之間公平分擔負擔的必要性。”(來源:環球時報)
最高判10年,新加坡“防網路假資訊”法生效
關鍵詞:防網路假資訊
據《聯合早報》報道,新加坡《防止網路假資訊和網路操縱法案》正式生效。惡意散播假資訊,損害新加坡公共利益的個人最高可判10年有期徒刑和10萬新加坡元(約合50萬元人民幣)的罰款,不願配合的企業則會面臨100萬新加坡元(約合500萬元人民幣)的罰款。
根據法令,新加坡內閣部長將有評斷資訊真假,並要求更正或撤下資訊的絕對權力,當事方若有異議,可以上訴。
這項法案於今年5月8日在新加坡國會通過,旨在使政府有權要求個人或網路平臺更正或撤下對公共利益造成負面影響的假資訊。法案生效後,內閣部長在釋出更正或撤下資訊的指示時,須註明有關網路內容為什麼是虛假的,公佈決策原因。作為中介的網路平臺須加強數碼廣告的透明度,有政治目的的廣告須披露有關內容贊助商的身份。(來源:觀察者網)
美資料隱私保護法來臨:明年1月生效,現僅2%企業合規
依然在應付歐盟資料保護法案(GDPR)的公司可能需要面臨更多的問題了——美國的資料保護法案很快就要出爐。加州消費者隱私法案(CCPA)即將於明年 1 月生效,現在只有 3 個月不到的時間去準備了。此外,以紐約州為起點,更多的法案正在美國多個州陸續生效。
CCPA 法案和 GDPR 類似,據其官網介紹,CCPA是一個隱私保護條例,用於保護個人資料,是美國加利福尼亞州出臺的地方法律。這一法律其實是 2018 年通過的,幫助消費者在訪問、刪除和分享企業收集到的個人資料上賦予了新的權利。
2019 年 8 月份,IAPP/OneTrust 主要對美國企業的員工(各種規模)進行了 CCPA 準備度(CCPA Readiness)調查,結果顯示,74%的受訪者認為他們的僱主應該遵守加州即將實施的隱私法,但遺憾的是,只有大約 2%的受訪者認為他們的企業已經完全做好了應對 CCPA 的準備。(來源:機器之心)
美國空軍將建物聯網網路靶場
關鍵詞:網路靶場
美國空軍研究實驗室日前與美國新墨西哥州礦業和技術學院簽訂協議,雙方將合作在位於新墨西哥州普雷亞斯的普雷亞斯訓練與研究中心建設一個針對網路和電子戰攻擊的測試與訓練環境。美國空軍期望這個價值9300萬美元、計劃於2026年10月建成的專案,最終成為美軍演練“網路-殺傷性和多域作戰的專用靶場”,該設施未來也將重點關注從“攻擊敵方物聯網”和“保護美國系統”兩個方面探討物聯網的攻防技術,以及“定義、發展和部署針對網路電子戰行動所需的研發、評估、測試和訓練能力”。
美國空軍研究實驗室指出,共建物聯網網路靶場是有必要的,因為美國現有靶場“安排過滿或無法使用,或者不具備支援網路及電子戰使用者所需的可靠網路系統”,因此美國空軍網路和電子戰崗位的人員“只能獲得相當有限的測試和訓練機會”,而新的物聯網網路靶場將提供“有線、無線等通訊網路基礎設施,反映全球物理基礎設施實際情況的模擬系統和專業化設施”來支援美軍的相關測試、訓練和作戰模擬,並將融合作戰需求、軟硬體、專業能力和最佳實踐,形成一個“可重新配置、反映實際情況的網路-物理環境及靶場設施”。(來源:國際安全簡報)
網路安全事件深圳網警緊急通報:TeamViewer客戶端被黑客遠端控制
關鍵詞:遠端控制
上週,深圳網警在微博釋出緊急通報稱,深圳市網路與資訊保安資訊通報中心發現,近期有境外黑客組織APT41對TeamViewer實施了網路攻擊,併成功拿下TeamViewer公司的後臺管理系統,使得黑客組織可以訪問並控制任何安裝了TeamViewer的客戶端。
深圳網警提出了相應處置建議:1、近期停止使用TeamViewer遠端管理軟體;2、在防火牆中禁止用於TeamViewer遠端通訊的5938埠;3、通過Web應用防火牆或其它裝置精緻單位內主機回連teamviewer.com域名。(來源:深圳市網路與資訊保安資訊通報中心)
90後小夥被判刑:註冊20萬個假賬號,薅走2萬多桶奶粉
據海淀檢察院官微訊息,近日,北京市海淀區人民檢察院以被告人黃小天(化名)涉嫌提供侵入、非法控制計算機資訊系統程式罪向法院提起公訴。經過法庭審判,被告人黃小天當庭認罪被判處有期徒刑三年六個月。
2017年,黃小天發現一家專做母嬰用品的app在針對購買奶粉使用者進行優惠活動:老使用者首次消費購買奶粉,買一桶送一桶。針對這一優惠活動,黃小天在之後一年的時間裡,使用指令碼程式批量虛假註冊了該app的20萬個賬號。
為了成功實現薅羊毛,黃小天研究商家的app安裝包,併成功對該app客戶端進行了攻破,將app的一些驗證功能進行修改,終於讓自己註冊的虛假、非實名賬號能夠成功登陸商家app客戶端。隨後,黃小天通過網際網路銷售了2萬餘個這種虛假註冊的賬號,這些虛假賬號配合他自己開發的冒牌APP,最終讓活躍在網路中的羊毛黨們又一次成功薅到了商家的羊毛,而黃小天也從中獲利六萬餘元,薅走的奶粉總共約兩萬多桶。(來源:新浪科技)
刑警組織報告說勒索軟體仍是網路安全最大威脅
關鍵詞:勒索軟體
總部設在荷蘭海牙的歐洲刑警組織近日與國際刑警組織共同釋出報告說,勒索軟體仍是網路安全最大威脅,全球各界需加強合作打擊網路犯罪。
這份報告題為《2019網際網路有組織犯罪威脅評估》,釋出於當天開幕的第七屆歐洲刑警組織-國際刑警組織網路犯罪議題大會。70個國家和地區的400餘名執法及安全部門人員、學者等與會,將在未來3天裡討論網際網路世界中的執法等問題。
報告指出,資料已成為網路犯罪分子的主要攻擊目標,因此資料的安全性和消費者的網路安全意識至關重要。此外,防範針對智慧城市的勒索軟體攻擊成為一個重點。報告說,2019年最明顯的勒索軟體攻擊是針對地方政府,這對全球城市都是一種警示。
歐洲刑警組織總幹事凱瑟琳·德博勒在會上說,儘管全球勒索軟體犯罪總量有所下降,但正轉向更加有利可圖的目標且已造成更為嚴重的經濟損失,勒索軟體犯罪仍為作案範圍最廣、造成經濟損失最嚴重的網路犯罪形式。(來源:新華網)
俄羅斯電信公司Beeline曝出資料洩露事故
近日俄羅斯媒體披露,黑客從俄羅斯電信供應商Beeline竊取了870萬客戶資料,並將其在網上出售、共享。報道指出,Beeline公司在俄羅斯、亞洲地區以及澳洲提供電信服務,單在俄羅斯地區便有5000萬用戶。
據悉,此次洩露事故發生於2017年,但該公司一直未將其公佈於眾。該公司表示,此事故將影響在2016年11月之前註冊家庭寬頻連線的俄羅斯客戶,被洩露的資訊包括使用者全名、住址、手機和固定電話號碼,以及其他使用者個人資訊。
Instagram 引入新工具,幫助抵禦網路釣魚攻擊
關鍵詞:網路釣魚攻擊
外媒報道稱,Instagram 剛剛為自家 App 引入了一項新功能,以幫助使用者確定所謂的“官方郵件”是來自 Facebook、還是網路釣魚攻擊者。現在,使用者可在接收到一封自稱來自 Instagram 的郵件時,轉到 App 內的“安全性”設定,並啟用真實性檢查選項,以甄別平臺在過去 14 天內向使用者發生的每一封郵件。
目前這項更新已經推出,但可能需要一段時間才能顯示在現有使用者的設定選單中。新選單將 Instagram 官方郵件分成了“安全”和“其它”兩個類別,前者屬於官方認證、後者則可能潛藏風險。
據悉,隨著網路釣魚攻擊的日漸升級,許多詐騙網站也都“與時俱進”地拿出了針對雙因素身份認證賬戶的攻擊手段,甚至隨後可跳轉到真實的站點。(來源:cnBeta)
關鍵詞:封殺虛擬貨幣
繼支付寶之後,10月10日晚間,微信支付表示,不支援虛擬貨幣交易,也從未開放虛擬貨幣的類目商戶接入。如發現任何把微信支付用於虛擬貨幣交易的行為,將予以清退處理。同時,歡迎使用者舉報,我們將根據相關監管規定堅決配合打擊。堅決保護客戶合法權益,防控金融違法犯罪,維護金融市場秩序。
10月10日下午,支付寶安全中心釋出微博稱,禁止將支付寶用於虛擬幣交易,若發現交易涉及比特幣或其他虛擬貨幣交易,支付寶會立即停止相關支付服務。
支付寶表示,對於商戶涉及虛擬貨幣交易的,會堅決予以清退;對個人賬戶涉嫌虛擬貨幣交易的,根據情節採取限制賬戶收款功能,甚至永久限制收款等處理措施。
微信支付不支援虛擬貨幣交易,也從未開放虛擬貨幣的類目商戶接入。如發現任何把微信支付用於虛擬貨幣交易的行為,將予以清退處理。同時,歡迎使用者舉報,我們將根據相關監管規定堅決配合打擊。堅決保護客戶合法權益,防控金融違法犯罪,維護金融市場秩序。(來源:快科技)
資料統計中國雲安全市場規模及增長率預測
關鍵詞:雲安全市場規模
日前,工信部公開徵求對《關於促進網路安全產業發展的指導意見(徵求意見稿)》的意見,為貫徹落實《中華人民共和國網路安全法》,積極發展網路安全產業。據《徵求意見稿》提到,到2025年,培育形成一批年營收超過20億的網路安全企業,形成若干具有國際競爭力的網路安全骨幹企業,網路安全產業規模超過2000億。
據資料預測,2019年中國網路安全市場規模或達到680億元,同比增長25%。隨著對網路安全的愈加重視及佈局,市場規模將持續擴大,預計到2021年中國網路安全市場規模將達千億元。此外,雲安全市場保持增長。資料顯示,2018年中國雲安全市場規模達37.76億元,增長45%。隨著資訊保安越來越受到重視,雲安全市場將進一步擴大。預計2019年,中國雲安全市場規模將達56.1億元,增長近五成。到2021年,預計中國雲安全市場規模將超100億元。(來源:中商情報網)
國家網際網路應急中心:今年上半年近1200個移動網際網路惡意程式被下架
2019年上半年,國家網際網路應急中心累計協調國內177家提供移動應用程式下載服務的平臺,下架1190個移動網際網路惡意程式。
據國家網際網路應急中心天津分中心介紹,移動網際網路惡意程式一般存在以下一種或多種惡意行為,包括惡意扣費、資訊竊取、遠端控制、惡意傳播、資費消耗、系統破壞、誘騙欺詐和流氓行為。
2019年上半年,國家網際網路應急中心通過自主捕獲和廠商交換獲得移動網際網路惡意程式數量103萬餘個,同比減少27.2%。通過對惡意程式的惡意行為統計發現,排名前三的分別為資費消耗類、流氓行為類和惡意扣費類,佔比分別為35.7%、27.1%和15.7%。(來源:新華社)
人才培養中國網路安全人才缺口大,需要培養多元化人才
10月12日,網路空間治理中國論壇暨中國科學技術法學會網路空間法專業委員會2019年年會在重慶郵電大學召開。來自全國的科學技術法學、網路空間法學專家400多人齊聚山城,就網路空間治理、網路空間安全等熱門議題做出相關報告討論。
“中國對網路安全人才存在巨大需求。”上海交通大學網路安全技術研究院李建華教授在報告中介紹,據統計,資訊保安人才連續幾年一直被列為最急需的人才之一,中國已培養資訊保安專業人才數量不足10萬,離中國對資訊保安人才的需要求70多萬需求差距巨大。到2022年,資訊保安人才需求可能過百萬以上。根據教育部門測算,中國人工智慧相關領域人才缺口超過500萬,國內的供求比例為1:10。
“網路安全中有電子對抗、網路對抗、演算法對抗、社工對抗,保障網路空間各層面的安全需要多元化人才。” 李建華表示,不過現在教育界和產業界的工序對接存在偏差,也缺少網路空間安全奇才和專才的發現和培育體系。現在推進的新工科建設中就是要解決這一問題,面向產業需求構建網路空開安全教育新結構。(來源:科技日報)
漏洞速遞主流虛擬化平臺QEMU-KVM被曝存在漏洞,可完全控制母機及其虛擬機器
近日,研究人員發現主流虛擬化平臺QEMU-KVM存在嚴重漏洞,攻擊者利用該漏洞在一定條件下可通過子機使母機崩潰,導致拒絕服務,甚至完全控制母機和母機上其他商戶虛擬機器。這個漏洞很可能將影響到Google、Amazon等國際公司及國內眾多知名廠商。
據悉,研究人員已將該漏洞上報給了linux kernel官方,該漏洞同時被國家資訊保安漏洞共享平臺(CNVD)收錄,綜合評級為“高危”,並已經協助linux kernel官方完成漏洞測試和修復,社群及相關廠商也已相繼釋出安全公告和修復版本。
以往漏洞更多是存在於使用者態層面,此次發現的QEMU-KVM漏洞則存在於虛擬化母機核心層面,涉及的許可權、造成的影響比使用者態層面都要大很多,可以讓整個伺服器癱瘓,甚至控制母機核心,進而影響伺服器上所有商戶的業務。(來源:雷鋒網)
四款 D-Link 路由器發現無法修復的漏洞,唯一選擇是棄之不用
DIR-652,DIR-655,DIR-866L和DHP-1565這四款D-Link路由器中發現了嚴重的安全漏洞。如果你不幸的擁有這四款路由器中任意一款,那麼為了你的安全唯一的選擇就是棄之不用,因為這個漏洞永遠無法修復。
來自Fortinet的安全專家上週透露,上述四款路由器中存在一個“未經身份認證的命令注入漏洞”,黑客可以利用該漏洞執行任意遠端程式碼。換言之,遍佈全球的黑客可以非常容易的劫持這些路由器,然後監視你的網際網路流量,或者引導你到惡意網站上。
不幸的是,其中一種型號DIR-866L於2014年推出,已經在2018年停產。另一種型號DIR-655,於2006年推出,也在去年停產了。而DIR-655, DIR-866L和DHP-1565這三款路由器依然能夠亞馬遜美國官方網站進行購買,而且DIR-655還是亞馬遜的推薦路由器型號。
其他漏洞
10月8日-10月13日:
國家資訊保安漏洞共享平臺(簡稱 CNVD)共收集、整理資訊保安漏洞436個,其中高危漏洞93個,中危漏洞298個,低危漏洞45個。
免責宣告:
資訊保安快訊的內容及圖片出於傳遞更多資訊之目的,屬於非營利性的轉載。如無意中侵犯了某個媒體或個人的智慧財產權,請聯絡我們,我們將立即刪除相關內容。其他媒體、網路或個人從本網下載使用須自負版權等法律責任。