戰(zhàn)略政策

新加坡通過(guò)《防止網(wǎng)絡(luò)假信息和網(wǎng)絡(luò)操縱法案》

發(fā)布時(shí)間：2019年05月09日

新加坡國(guó)會(huì)8日晚通過(guò)《防止網(wǎng)絡(luò)假信息和網(wǎng)絡(luò)操縱法案》，使政府有權(quán)要求個(gè)人或網(wǎng)絡(luò)平臺(tái)更正或撤下對(duì)公共利益造成負(fù)面影響的假新聞。

新法生效后，政府可以責(zé)令發(fā)出假信息的網(wǎng)站做出更正或撤下，不愿遵守指示的網(wǎng)絡(luò)平臺(tái)可被判罰款高達(dá)100萬(wàn)新元（約合500萬(wàn)元人民幣）。惡意散播假信息、企圖損害公共利益的個(gè)人，可被判坐牢長(zhǎng)達(dá)10年、罰款最高10萬(wàn)新元（約合50萬(wàn)元人民幣）。

另?yè)?jù)報(bào)道，為落實(shí)該法案，新加坡通訊及新聞部下屬的資訊通信媒體發(fā)展局將專設(shè)辦事處，在出現(xiàn)假信息時(shí)為相關(guān)領(lǐng)域的部長(zhǎng)提供技術(shù)咨詢，確保不同政府部門(mén)應(yīng)對(duì)假信息時(shí)行動(dòng)一致，并監(jiān)督科技公司是否落實(shí)部長(zhǎng)發(fā)出的更正或撤銷假信息指示，以遏制網(wǎng)絡(luò)假信息的傳播。

新加坡通訊及新聞部長(zhǎng)易華仁在國(guó)會(huì)表示，政府將同科技公司合作制定相關(guān)行業(yè)守則，包括要求網(wǎng)絡(luò)平臺(tái)進(jìn)行身份驗(yàn)證，防止人們?yōu)E用賬號(hào)，確保政治廣告來(lái)源透明以及優(yōu)先呈現(xiàn)可信內(nèi)容。

他表示，新法案將提供一套精確措施，應(yīng)對(duì)網(wǎng)絡(luò)時(shí)代的假消息。但他同時(shí)強(qiáng)調(diào)，打擊假消息不能單靠執(zhí)法，教育也是重要環(huán)節(jié)。

（來(lái)源：新華社）

G7集團(tuán)將于6月模擬跨境網(wǎng)絡(luò)攻擊

發(fā)布時(shí)間：2019年05月14日

據(jù)外媒報(bào)道，法國(guó)官員于5月10日表示，西方主要工業(yè)大國(guó)將于6月首次聯(lián)合模擬一場(chǎng)針對(duì)金融業(yè)的跨境網(wǎng)絡(luò)安全攻擊。

法國(guó)央行負(fù)責(zé)金融穩(wěn)定的總干事Nathalie Aufauvre表示，此次演練是在法國(guó)擔(dān)任G7集團(tuán)輪值主席國(guó)期間，由法國(guó)央行組織。演練將在金融業(yè)廣泛使用的技術(shù)組件被惡意軟件感染的情況下進(jìn)行。

Aufauvre在銀行的網(wǎng)絡(luò)安全會(huì)議上表示，歐洲央行（European Central Bank）和英國(guó)央行（Bank of England）等機(jī)構(gòu)已經(jīng)進(jìn)行了此類測(cè)試，但6月的演練將是G7層面的首次跨國(guó)演習(xí)。為期三天的演練將展示此類攻擊的跨境影響，將涉及7個(gè)國(guó)家的24個(gè)金融部門(mén)，包括央行、市場(chǎng)當(dāng)局和財(cái)政部。法國(guó)、意大利、德國(guó)和日本的私營(yíng)部門(mén)代表也將參加。

IBM最近的一項(xiàng)研究顯示，金融業(yè)受到的網(wǎng)絡(luò)攻擊占網(wǎng)絡(luò)攻擊總數(shù)的19%。近年來(lái)，許多國(guó)家加強(qiáng)了對(duì)銀行和保險(xiǎn)公司的監(jiān)管。法國(guó)和德國(guó)等國(guó)的金融監(jiān)管機(jī)構(gòu)表示，G7集團(tuán)以外的一些國(guó)家的要求相對(duì)沒(méi)有那么嚴(yán)格，這促使一些企業(yè)將業(yè)務(wù)遷至這些國(guó)家以削減成本。

（來(lái)源：E安全）

歐盟安全信息系統(tǒng)即將迎來(lái)全面聯(lián)網(wǎng)

發(fā)布時(shí)間：2019年05月17日

5月14日，歐洲議會(huì)完全采納了歐盟委員會(huì)關(guān)于彌合邊境及移民安全管控中信息安全缺口的建議。

目前，關(guān)于安全及邊境管控的大量歐盟信息系統(tǒng)都互不聯(lián)通。因?yàn)殚L(zhǎng)期以來(lái)信息系統(tǒng)各自為政，罪犯及恐怖分子往往僅需使用多個(gè)身份即可混過(guò)檢測(cè)，歐盟一直擔(dān)心內(nèi)部互通能力的缺失可能會(huì)為歐盟安全帶來(lái)較高風(fēng)險(xiǎn)。

聯(lián)網(wǎng)系統(tǒng)的推出將見(jiàn)證歐洲搜索門(mén)戶的創(chuàng)建，使邊防部隊(duì)和警察能夠在一個(gè)界面上就可通過(guò)歐盟信息系統(tǒng)即時(shí)核驗(yàn)身份證明文件，無(wú)需再在多個(gè)數(shù)據(jù)庫(kù)之間來(lái)回切換。系統(tǒng)還將推出共享生物特征識(shí)別匹配服務(wù)，實(shí)現(xiàn)跨現(xiàn)有信息系統(tǒng)的指紋和人臉識(shí)別，并創(chuàng)建通用身份庫(kù)，存儲(chǔ)非歐盟公民的履歷數(shù)據(jù)。

安全聯(lián)盟專員Julian King在媒體發(fā)布的聲明中評(píng)價(jià)道：隨著內(nèi)部互通成為司法現(xiàn)實(shí)，我們信息系統(tǒng)中現(xiàn)存的盲點(diǎn)將很快被清除一空。

委員會(huì)的提案將使得以下三個(gè)現(xiàn)有系統(tǒng)互聯(lián)：1.申根信息系統(tǒng)（SIS）——與犯罪分子、恐怖分子和失蹤人口相關(guān)的物品和人員信息數(shù)據(jù)庫(kù)。2.歐洲難民指紋數(shù)據(jù)庫(kù)（Eurodac）——不定期跨越歐盟邊境和不正常滯留歐盟的庇護(hù)申請(qǐng)人及第三國(guó)國(guó)民指紋數(shù)據(jù)庫(kù)。3.簽證信息系統(tǒng)（VIS）——短期簽證信息數(shù)據(jù)庫(kù)。

委員會(huì)提案還會(huì)使以下3個(gè)系統(tǒng)也實(shí)現(xiàn)聯(lián)通：1.出入境系統(tǒng)（EES）——跨越歐盟邊境的第三國(guó)國(guó)民出入境信息數(shù)據(jù)庫(kù)。2.歐洲旅游信息及授權(quán)系統(tǒng)（ETIAS）——免簽非歐盟公民的旅行前安全及非正常移民篩查信息數(shù)據(jù)庫(kù)。3.歐洲犯罪記錄信息系統(tǒng)(ECRIS-TCN)——用于交換在歐盟定罪的非歐盟國(guó)民信息的數(shù)據(jù)庫(kù)。

提案一旦全面實(shí)施，負(fù)責(zé)自由、安全及司法領(lǐng)域大型信息系統(tǒng)運(yùn)營(yíng)管理的歐盟機(jī)構(gòu)eu-LISA，將領(lǐng)導(dǎo)歐盟安全信息系統(tǒng)內(nèi)部互聯(lián)技術(shù)組件的開(kāi)發(fā)與推廣。

5月14日該項(xiàng)歐盟議會(huì)提案的通過(guò)，標(biāo)志著此立法過(guò)程的最后一步達(dá)成。該法規(guī)文本只要進(jìn)入歐盟官方公報(bào)，便將在20天后生效。

歐盟移民、內(nèi)政及民權(quán)事務(wù)專員Dimitris Avramopoulos宣稱：一個(gè)真正有效的安全聯(lián)盟，將確保成員國(guó)政府和歐盟機(jī)構(gòu)可通過(guò)移民、邊境及安全信息系統(tǒng)間的連點(diǎn)成面，實(shí)現(xiàn)無(wú)縫協(xié)作。

（來(lái)源：安全牛）

美海軍陸戰(zhàn)隊(duì)招募志愿者組建平民網(wǎng)絡(luò)安全小組

發(fā)布時(shí)間：2019年05月17日

據(jù)外媒報(bào)道，美國(guó)海軍陸戰(zhàn)隊(duì)現(xiàn)正在為其新網(wǎng)絡(luò)輔助部隊(duì)（Cyber Auxiliary）招募志愿者。志愿者將無(wú)需穿制服、剪頭發(fā)或參加訓(xùn)練營(yíng)，但有一點(diǎn)他們必須要做到的就是高度熟練地使用計(jì)算機(jī)包括如何滲透系統(tǒng)。

今年4月，美國(guó)海軍陸戰(zhàn)隊(duì)宣布將成立一個(gè)新的計(jì)算機(jī)特別小組。該小組將由志愿平民和退伍軍人組成，他們將不會(huì)受到USMC嚴(yán)格禮儀的約束。

本周，USMC宣布網(wǎng)絡(luò)輔助部隊(duì)成立并開(kāi)始招募人員。該部門(mén)由來(lái)自私營(yíng)部門(mén)的專家組成，他們將在網(wǎng)絡(luò)安全和其他計(jì)算機(jī)相關(guān)問(wèn)題上培訓(xùn)、教授、建議和指導(dǎo)海軍陸戰(zhàn)隊(duì)。該小組將協(xié)助模擬和培訓(xùn)，但不會(huì)參與實(shí)戰(zhàn)活動(dòng)。換言之，他們不會(huì)參與實(shí)際的USMC網(wǎng)絡(luò)任務(wù)。

據(jù)悉，這個(gè)新的特別工作組由負(fù)責(zé)信息的副司令官Lori E. Reynolds中將領(lǐng)導(dǎo)。

另外據(jù)了解，志愿者必須是美國(guó)公民，并且需要在信息系統(tǒng)方面有先進(jìn)的經(jīng)驗(yàn)。不難看出，擁有黑帽或白帽黑客經(jīng)驗(yàn)的人是歡迎的，但他們需要獲得安全許可才行。

（來(lái)源：cnBeta）

伊朗成立特別工作組應(yīng)對(duì)美國(guó)的網(wǎng)絡(luò)威脅

發(fā)布時(shí)間：2019年05月15日

據(jù)外媒報(bào)道，伊朗通信和信息技術(shù)部部長(zhǎng)Mohammad Javad Azari Jahromi表示，部門(mén)已經(jīng)組織了一個(gè)特別工作組來(lái)應(yīng)對(duì)美國(guó)的網(wǎng)絡(luò)威脅。Azari Jahromi于5月13日表示，通信和信息技術(shù)部已制定了多項(xiàng)舉措，以應(yīng)對(duì)美國(guó)政府的網(wǎng)絡(luò)恐怖主義行為和敵對(duì)措施。

伊朗自一年前就在國(guó)家虛擬空間中心（National Center of Virtual Space）成立了一個(gè)工作組，研究了各種情況、威脅和制裁，并采取了必要的措施。

Azari Jahromi指出，美國(guó)對(duì)伊朗網(wǎng)絡(luò)行業(yè)的大部分制裁是在過(guò)去一年實(shí)施的。盡管所有國(guó)際云計(jì)算提供商已停止向伊朗企業(yè)提供互聯(lián)網(wǎng)服務(wù)，但伊朗的網(wǎng)絡(luò)空間并未受到干擾。伊朗已經(jīng)制定了必要的計(jì)劃來(lái)解決可能的互聯(lián)網(wǎng)斷網(wǎng)問(wèn)題。

2016年8月，伊朗啟動(dòng)了國(guó)家數(shù)據(jù)網(wǎng)絡(luò)的第一階段。國(guó)家網(wǎng)絡(luò)將提供新的互聯(lián)網(wǎng)系統(tǒng)，將具有更高的安全性，比目前可用的最佳網(wǎng)絡(luò)速度快60倍。

（來(lái)源：E安全）

日本將開(kāi)發(fā)惡意軟件，以抵御網(wǎng)絡(luò)攻擊

發(fā)布時(shí)間：2019年05月06日

據(jù)外媒報(bào)道，日本將研制計(jì)算機(jī)病毒來(lái)抵御網(wǎng)絡(luò)攻擊，研發(fā)工作將于明年3月完成。

日本政府的目標(biāo)是提高其網(wǎng)絡(luò)防御能力，準(zhǔn)備好面對(duì)來(lái)自網(wǎng)絡(luò)空間的威脅。日本希望填補(bǔ)在網(wǎng)絡(luò)空間上與先進(jìn)國(guó)家相比的不足，并計(jì)劃進(jìn)行重要投資以按計(jì)劃達(dá)到目標(biāo)。

日本共同社網(wǎng)站上寫(xiě)道，政府表示，隨著近年來(lái)科技的進(jìn)步，日本正增強(qiáng)其在地面、海洋和空中以外的防御能力，以應(yīng)對(duì)網(wǎng)絡(luò)空間和外層空間等新領(lǐng)域的安全挑戰(zhàn)。

在應(yīng)對(duì)網(wǎng)絡(luò)攻擊威脅方面，日本落后于其他國(guó)家。日本計(jì)劃將網(wǎng)絡(luò)部門(mén)的人員數(shù)量從150人增加到220人，而美國(guó)有6200人，朝鮮有7000人。

惡意軟件用于防御的問(wèn)題正處于討論之中。網(wǎng)絡(luò)空間沒(méi)有邊界，惡意代碼失控、威脅外國(guó)主權(quán)的風(fēng)險(xiǎn)是真實(shí)存在的。

據(jù)知情人士透露，計(jì)算機(jī)病毒將由私人公司開(kāi)發(fā)，不會(huì)用于先發(fā)制人的攻擊或主動(dòng)防御，政府只允許對(duì)國(guó)家或相當(dāng)于國(guó)家的組織進(jìn)行網(wǎng)絡(luò)攻擊。

（來(lái)源：國(guó)防科技要聞）

印度將成立國(guó)防網(wǎng)絡(luò)機(jī)構(gòu)

發(fā)布時(shí)間：2019年05月01日

據(jù)外媒報(bào)道，為了提高印度應(yīng)對(duì)黑客威脅的能力，印度將于5月成立國(guó)防網(wǎng)絡(luò)機(jī)構(gòu)（Defence Cyber Agency ，簡(jiǎn)稱DCA），總部設(shè)在首都新德里。海軍高級(jí)軍官、海軍少將Mohit Gupta將成為DCA的首任長(zhǎng)官。

消息人士稱，DCA將與軍隊(duì)合作，共同應(yīng)對(duì)網(wǎng)絡(luò)威脅，并將包含DRDO（國(guó)防研究與發(fā)展組織）的元素。盡管DCA已準(zhǔn)備將總部設(shè)在新德里，但由于該機(jī)構(gòu)的結(jié)構(gòu)仍在討論之中，它的成立將需要一段時(shí)間。

一位高級(jí)軍官表示，該網(wǎng)絡(luò)機(jī)構(gòu)的部隊(duì)將遍布全國(guó)。每個(gè)分支都將有專門(mén)的單位或小組來(lái)處理網(wǎng)絡(luò)安全方面的問(wèn)題。據(jù)防務(wù)消息人士稱，黑客幾乎每天都在嘗試破解印度軍事系統(tǒng)，印度目前正進(jìn)行針對(duì)關(guān)鍵軍事基礎(chǔ)設(shè)施的網(wǎng)絡(luò)演習(xí)。

（來(lái)源：E安全）

產(chǎn)業(yè)發(fā)展

英特爾芯片發(fā)現(xiàn)新漏洞 2011年后的芯片均受影響

發(fā)布時(shí)間：2019年05月15日

全球最大芯片廠商英特爾公司14日稱，該公司在其芯片中發(fā)現(xiàn)了一系列新的安全漏洞，黑客可能借助漏洞讀取流經(jīng)受影響芯片上的所有數(shù)據(jù)。2011年后使用英特爾芯片的計(jì)算機(jī)都可能受到這些漏洞的影響。

英特爾產(chǎn)品保障和安全高級(jí)主管布萊恩·約根森在一份視頻聲明中表示，這些漏洞可能使攻擊者看到保密數(shù)據(jù)，但前提是需要有“足夠大的數(shù)據(jù)樣本，足夠長(zhǎng)的時(shí)間和對(duì)目標(biāo)系統(tǒng)行為的掌控”，這在實(shí)際操作中非常難以實(shí)現(xiàn)，因此他認(rèn)為還未有人在實(shí)驗(yàn)室之外利用過(guò)這些漏洞。

英特爾還表示，因?yàn)槁┒辞对谟?jì)算機(jī)硬件結(jié)構(gòu)體系中，所以無(wú)法完全修復(fù)。這些漏洞被認(rèn)為與去年發(fā)現(xiàn)的一些芯片問(wèn)題相關(guān)，今年新發(fā)布的芯片已經(jīng)包含針對(duì)這些漏洞的修復(fù)程序。但由于此前發(fā)布的前幾代芯片也需要修補(bǔ)，修復(fù)可能會(huì)使芯片性能降低19%。英特爾14日也針對(duì)這類被業(yè)內(nèi)人士稱為“僵尸負(fù)載（Zombieload）”的漏洞推出了微代碼補(bǔ)丁，對(duì)易受攻擊的芯片進(jìn)行修補(bǔ)。但與此前漏洞補(bǔ)丁一樣，安裝該補(bǔ)丁會(huì)對(duì)芯片性能產(chǎn)生影響。

蘋(píng)果、谷歌、亞馬遜、微軟等科技企業(yè)因其設(shè)備和軟件上大量采用英特爾芯片，也于14日發(fā)布了補(bǔ)丁更新或安全提示。

去年年初，英特爾等一些主流芯片被發(fā)現(xiàn)存在“幽靈（Spectre）”和“崩潰（Meltdown）”兩個(gè)漏洞，波及數(shù)以億計(jì)臺(tái)設(shè)備。據(jù)稱黑客可由此讀取設(shè)備內(nèi)存，獲得密碼、密鑰等敏感信息，這在科技界引發(fā)擔(dān)憂。由于越來(lái)越多公司和個(gè)人選擇把資料放在“云端”存儲(chǔ)，云端上的個(gè)人資料安全日益引起重視。此次發(fā)現(xiàn)“僵尸負(fù)載”漏洞加深了網(wǎng)絡(luò)安全研究人員對(duì)芯片硬件層面和云計(jì)算領(lǐng)域數(shù)據(jù)安全性的疑慮。

（來(lái)源：新華社）

俄輸電線路勘察無(wú)人機(jī)順利通過(guò)測(cè)試

發(fā)布時(shí)間：2019年05月05日

人工勘察長(zhǎng)距離輸電線路非常辛苦。為減輕這種負(fù)擔(dān)并高效檢測(cè)輸電設(shè)施，俄羅斯研發(fā)單位制成一款專用無(wú)人機(jī)，該飛行器日前順利通過(guò)性能測(cè)試。

據(jù)俄羅斯技術(shù)集團(tuán)發(fā)布的新聞公報(bào)，上述無(wú)人機(jī)及其配套設(shè)施由該集團(tuán)旗下“俄羅斯電子”公司等單位于去年12月推出。其機(jī)身由新型復(fù)合材料制成，機(jī)上載有拍攝裝置、紅外成像儀、陀螺穩(wěn)定儀，可在60攝氏度至零下30攝氏度環(huán)境、雨雪、強(qiáng)風(fēng)等極端天氣，以及常規(guī)氣象條件下全天作業(yè)。

據(jù)悉，俄羅斯技術(shù)集團(tuán)下屬“自動(dòng)機(jī)械”公司日前在俄西部利佩茨克州對(duì)上述無(wú)人機(jī)及其地面設(shè)施進(jìn)行了測(cè)試，結(jié)果顯示該無(wú)人機(jī)的自動(dòng)勘察性能和地面設(shè)備的自動(dòng)分析能力達(dá)到設(shè)計(jì)要求。目前已有俄建筑企業(yè)訂購(gòu)了這一無(wú)人機(jī)系統(tǒng)。

據(jù)研發(fā)人員介紹，這種無(wú)人機(jī)根據(jù)程序預(yù)設(shè)的路線飛行，并自動(dòng)選擇拍攝照片和視頻的高低方位角。與該無(wú)人機(jī)配套的地面設(shè)施能處理分析其回傳的各類信息，例如模擬生成無(wú)人機(jī)飛經(jīng)區(qū)域的地形三維立體圖像，分析空中電纜和輸電設(shè)備的幾何參數(shù)，自動(dòng)發(fā)現(xiàn)諸如電纜過(guò)于下垂、線路桿塔歪斜、絕緣裝置和導(dǎo)線連接附件損壞、外來(lái)物進(jìn)入輸電沿線保護(hù)區(qū)等問(wèn)題。這些信息處理分析系統(tǒng)能與企業(yè)現(xiàn)有的信息系統(tǒng)相融合。

新聞公報(bào)說(shuō)，這款無(wú)人機(jī)能自動(dòng)著陸充電。在降落時(shí)它會(huì)借助導(dǎo)航衛(wèi)星信號(hào)和專用攝像機(jī)自動(dòng)對(duì)準(zhǔn)充電平臺(tái)上的著陸標(biāo)記，其實(shí)際降落位置與著陸標(biāo)記間的誤差至多數(shù)厘米。爾后該無(wú)人機(jī)會(huì)自動(dòng)從事充電、獲取下階段任務(wù)計(jì)劃、回傳勘察信息、重新升空等工序。在這一過(guò)程中，很少需要操控員人為干預(yù)。

俄羅斯技術(shù)集團(tuán)的無(wú)線電專家介紹說(shuō)，這款無(wú)人機(jī)及其配套設(shè)施能在輸電線路運(yùn)行時(shí)盡早發(fā)現(xiàn)、預(yù)測(cè)故障隱患，縮短查找問(wèn)題原因的時(shí)間，使相關(guān)單位盡量避免斷電檢查并減少事故發(fā)生率。

（來(lái)源：新華社）

“三只小貓”漏洞威脅全球數(shù)百萬(wàn)思科路由器

發(fā)布時(shí)間：2019年05月16日

美國(guó)Red Ballon安全研究公司近日發(fā)布了一份報(bào)告，公布了思科產(chǎn)品的兩個(gè)漏洞。

第一個(gè)漏洞被稱為（Thrangrycat），允許攻擊者通過(guò)現(xiàn)場(chǎng)可編程門(mén)陣列（FPGA）比特流操作完全繞過(guò)思科的信任錨模塊（TAm）。

第二個(gè)是針對(duì) Cisco IOS XE 版本 16 的遠(yuǎn)程命令注入漏洞，該漏洞允許以 root 身份執(zhí)行遠(yuǎn)程代碼，通過(guò)鏈接和遠(yuǎn)程命令注入漏洞，攻擊者可以遠(yuǎn)程持續(xù)繞過(guò)思科的安全啟動(dòng)機(jī)制，并鎖定 TAm 的所有未來(lái)軟件更新。

報(bào)告稱，三只小貓是由 Cisco Trust Anchor 模塊中的一系列硬件設(shè)計(jì)缺陷引起的，Cisco Trust Anchor 模塊（TAm，信任錨）于2013年首次商業(yè)化推出，是一種專有的硬件安全模塊，用于各種思科產(chǎn)品，包括企業(yè)路由器，交換機(jī)和防火墻。

TAm 是專門(mén)用來(lái)驗(yàn)證安全開(kāi)機(jī)程序的硬件裝置，在系統(tǒng)開(kāi)啟時(shí)執(zhí)行一連串的指令，以立即驗(yàn)證開(kāi)機(jī)載入程序的完整性，一但偵測(cè)到任何不妥，就會(huì)通知使用者并重新開(kāi)機(jī)，以防止設(shè)備執(zhí)行被竄改的開(kāi)機(jī)載入程序。

而三只小貓可藉由操縱 FPGA（Field Programmable Gate Array，現(xiàn)場(chǎng)可編程門(mén)陣列）的比特流（bitstream）來(lái)繞過(guò)TAm 的保護(hù)。這是因?yàn)?TAm 原本就得依賴外部的 FPGA，在設(shè)備開(kāi)機(jī)后，F(xiàn)PGA 會(huì)載入未加密的比特流來(lái)提供 TAm的信任功能。

Red Balloon Security 已在去年11月知會(huì)思科，思科也在同一天發(fā)表了安全通報(bào)。

根據(jù)思科所列出的產(chǎn)品列表，總計(jì)超過(guò) 130 款產(chǎn)品受到波及。

迄今為止，除了研究人員針對(duì)思科 ASR 1001-X 設(shè)備所進(jìn)行的攻擊示范之外，尚未發(fā)現(xiàn)其它攻擊行動(dòng)。Red Balloon Security 也準(zhǔn)備在8月的黑帽（Black Hat）安全會(huì)議上對(duì)此進(jìn)行展示。

目前，思科正在持續(xù)發(fā)布針對(duì)該漏洞的軟件更新。

題外話：研究人員表示，以三只小貓取代 Thrangrycat，是為了彰顯該研究并無(wú)任何語(yǔ)言或文化上的偏見(jiàn)，表情符號(hào)已是數(shù)位時(shí)代的象征，它跟數(shù)學(xué)一樣都是透過(guò)語(yǔ)際符號(hào)來(lái)表達(dá)，而貓咪的矛盾特性恰好可用來(lái)形容該漏洞。

（來(lái)源：開(kāi)源中國(guó)）

MongoDB數(shù)據(jù)庫(kù)泄露超2.75億條印度公民信息記錄

發(fā)布時(shí)間：2019年05月09日

據(jù)外媒報(bào)道，大型MongoDB數(shù)據(jù)庫(kù)泄露了約2.75億條包含印度公民詳細(xì)個(gè)人信息（PII）的記錄，該數(shù)據(jù)庫(kù)兩個(gè)多星期沒(méi)有受到網(wǎng)絡(luò)保護(hù)。

安全研究人員Bob Diachenko經(jīng)過(guò)調(diào)查發(fā)現(xiàn)，泄露的數(shù)據(jù)包含了姓名、性別、出生日期、電子郵件、手機(jī)號(hào)碼、教育程度、專業(yè)信息（雇主、工作經(jīng)歷、技能、職能領(lǐng)域）、現(xiàn)有工資等信息。但是，還沒(méi)有找到任何與所有者相關(guān)的信息。此外，存儲(chǔ)在數(shù)據(jù)庫(kù)中的數(shù)據(jù)集合的名稱表明，收集整個(gè)簡(jiǎn)歷緩存是“大規(guī)模抓取操作的一部分”，其目的不明。

Diachenko立即通知了印度CERT（計(jì)算機(jī)安全應(yīng)急響應(yīng)組）團(tuán)隊(duì)，但是目前該數(shù)據(jù)庫(kù)仍保持開(kāi)放和可搜索狀態(tài)。該數(shù)據(jù)庫(kù)是被名為“Unistellar”的黑客組織拋棄的，且Diachenko發(fā)現(xiàn)了以下留言：

MongoDB之前也發(fā)生過(guò)類似的數(shù)據(jù)泄露事件。究其原因，是因?yàn)槠浜芏鄶?shù)據(jù)庫(kù)都由所有者公開(kāi)訪問(wèn)，并且沒(méi)有得到適當(dāng)?shù)谋Ｗo(hù)。這意味著可以通過(guò)保護(hù)數(shù)據(jù)庫(kù)實(shí)例來(lái)阻止它們。MongoDB在Documentation網(wǎng)站上提供了一個(gè)安全（Security）版塊，其中顯示了如何正確保護(hù)MongoDB數(shù)據(jù)庫(kù)，以及MongoDB管理員的安全檢查表。

（來(lái)源：HackerNews.cc）

谷歌利用Gmail讀取網(wǎng)購(gòu)收據(jù)，跟蹤用戶購(gòu)買(mǎi)歷史

發(fā)布時(shí)間：2019年05月18日

據(jù)外媒報(bào)道，谷歌首席執(zhí)行官Sundar Pichai不久前剛剛在《紐約時(shí)報(bào)》的專欄文章中寫(xiě)道：“隱私不能成為奢侈品。”但在幕后，谷歌卻在利用其Gmail等服務(wù)追蹤用戶購(gòu)買(mǎi)歷史，收集大量個(gè)人信息，其中有些信息記錄甚至無(wú)法被輕易刪除。

在名為“購(gòu)買(mǎi)”（Purchases）的頁(yè)面上，準(zhǔn)確顯示了一份清單，上面列出了美國(guó)科技記者Todd Haselton至少在2012年買(mǎi)過(guò)的許多東西。Haselton用亞馬遜、DoorDash或Seamless等在線服務(wù)或應(yīng)用程序，或在梅西百貨等商店購(gòu)買(mǎi)這些商品，但從未直接通過(guò)谷歌購(gòu)買(mǎi)。不過(guò)，由于數(shù)字收據(jù)進(jìn)入了Haselton的Gmail帳戶，谷歌有關(guān)于他的購(gòu)買(mǎi)習(xí)慣的信息列表。谷歌甚至知道許多他早就忘了已經(jīng)購(gòu)買(mǎi)過(guò)的東西，比如他于2015年9月14日在梅西百貨買(mǎi)的正裝鞋。

谷歌發(fā)言人對(duì)此表示：“為了幫助用戶在某個(gè)地方更方便地查看和跟蹤自己的購(gòu)買(mǎi)、預(yù)訂和訂閱服務(wù)，我們創(chuàng)建了只有你才能看到的私人目的地。你可以隨時(shí)刪除此信息。我們不會(huì)使用你Gmail郵件中的任何信息為你提供廣告服務(wù)，包括在購(gòu)買(mǎi)頁(yè)面上顯示的電子郵件收據(jù)和確認(rèn)信息。”

但沒(méi)有一種簡(jiǎn)單的方法來(lái)刪除所有這些記錄。用戶可以刪除Gmail收件箱和歸檔郵件中的所有收據(jù)。但是，許多人習(xí)慣于將收據(jù)保存在Gmail中，以備以后需要退貨時(shí)使用。為了將它們從谷歌“購(gòu)買(mǎi)”頁(yè)面中刪除并保存在自己的Gmail收件箱中，用戶需要從“購(gòu)買(mǎi)”頁(yè)面中逐個(gè)刪除它們。這可能十分繁瑣，因?yàn)槔锩嬗涗浿脩舳嗄陙?lái)的采購(gòu)信息。

谷歌表示，該公司不會(huì)使用用戶的Gmail向其展示廣告，并承諾“不會(huì)出售用戶的個(gè)人信息，包括其Gmail和谷歌賬戶信息”，并且“不會(huì)與廣告商分享用戶的個(gè)人信息，除非他們要求我們這樣做?！?/p>

但是，由于某些尚不清楚的原因，谷歌正在從用戶的Gmail中提取信息，并將其轉(zhuǎn)載到大多數(shù)人似乎不知道的“購(gòu)買(mǎi)”頁(yè)面中。即使這些信息未被用于廣告，也不清楚谷歌為何需要跟蹤用戶多年的購(gòu)買(mǎi)記錄，并使其難以刪除。谷歌宣稱，它正在考慮簡(jiǎn)化其設(shè)置，使其更容易控制。

（來(lái)源：騰訊科技）