信息安全快讯2017年8月第1期
目录
政府举措
-
重庆网警依法查处我市违反《网络安全法》第一案
-
英国政府出台《智能汽车网络安全新指南》
-
东亚国家的 HTTPS 普及度较低
网络安全事件
-
华为腾讯冲突再次凸显中国个人数据保护立法空白
-
美军指责 “网络安全漏洞”,大疆回应“愿意合作消除疑虑”
-
3.06亿泄密密码公开查询,千万不要用使用中的密码来查
-
谷歌发现部分国产安卓手机预装木马程序
-
云南等多地近万个家庭摄像头被入侵,专挑对准床的
-
勒索病毒影响了全球 收到的赎金却仅有十几万美元
-
太阳能逆变器的一个bug可能导致欧洲电网大崩溃
数据统计
-
第40次《中国互联网络发展状况统计报告》发布
人才培养
-
互联网安全大会开幕在即 加强人才培养刻不容缓
漏洞速递
-
Microsoft 再次修复曾用于传播 Stuxnet 震网蠕虫的 Windows 系统漏洞
-
最新漏洞
政府举措
重庆网警依法查处我市违反《网络安全法》第一案
近日,重庆市公安局网安总队成功查处了一起网络运营者在提供网络服务过程中,未依法留存用户登录网络日志的违法行为。这是自今年6月1日《中华人民共和国网络安全法》(下称《网络安全法》)正式实施以来,我市公安机关依法查处的第一起违反《网络安全法》的行政案件。
网安总队在日常检查中发现,重庆市首页科技发展有限公司自2017年6月1日后,在提供互联网数据中心服务时,存在未依法留存用户登录相关网络日志的违法行为,根据《网络安全法》第二十一条(三)项、第五十九条之规定,决定给予该公司警告处罚,并责令限期十五日内进行整改。该公司收到《行政处罚通知书》后,立即编制了《整改方案》并着手实施整改,待整改完成后,公安机关将对其整改情况进行验收。(来源:重庆网警公众号)
英国政府出台《智能汽车网络安全新指南》
为了鼓励汽车制造商们在机动车网络安全上多上点心,英国政府已于今日出台了一套全新的指南。交通大臣卡兰南勋爵(Lord Callanan)表示,随着该国道路上自动驾驶和联网汽车的增长,制造商理应为消费者提供最基础的防护,比如抵御网络攻击、控制个人资料、甚至远程控制车辆。这份指南的全称为《面向联网和自动驾驶汽车的网络安全关键原则》,目标是将之拓展到汽车制造和供应链上的每一方。(来源:cnbeta.com)
东亚国家的 HTTPS 普及度较低
HTTPS 能为互联网提供最基本的隐私和完整性。
Google、Mozilla 和思科的研究人员发表了一份研究报告(PDF),根据 Google Chrome 和 Mozilla Firefox 收集的遥测数据和对 Web 服务器的扫描,发现 HTTPS 在过去几年的增长显著,仅 2016 年一年 HTTPS 占桌面浏览的比重增加了 10 个百分点,主要网站默认启用 HTTPS 的数量在 2017 年初到 2016 年初之间翻了一番,但最受欢迎的网站中默认启用 HTTP 的仍然占一半,移动浏览则落在了桌面浏览后面,而东亚国家的 HTTPS 普及度显著低于世界其它地方。
东亚的中国、韩国和日本有着非常低的 HTTPS 使用率,世界其它地方只有伊朗的 HTTPS 使用率与东亚类似。这一情况令人费解。中国的低 HTTPS 使用率可能与防火长城有关,但日本和韩国显然不是,是文化方面(比如不关心隐私),还是技术方面,或者是遗留基础设施或法律方面的问题?研究人员认为为了促进该地区的 HTTPS 普及首先需要弄清楚这一现象的原因。(来源: solidot.org)
网络安全事件
华为腾讯冲突再次凸显中国个人数据保护立法空白
8月4日,美国媒体《华尔街日报》发表名为《华为和腾讯陷入用户数据之争后者要求政府介入》的报道,称华为正在通过其荣耀Magic智能手机收集用户活动信息,以打造其人工智能功能,例如使手机能够基于用户的短信内容推荐餐厅。其收集的信息包括热门社交应用微信(WeChat)的聊天信息。微信的所有者腾讯认为,华为的上述做法实际上夺取了腾讯的数据,并侵犯了微信用户的隐私。
6月1日颁布的《网络安全法》提出厂商收集、使用个人数据要遵循“合法、正当、必要”原则。华为腾讯在数据权上的冲突将延伸到所有大型平台公司,巨头间的矛盾可以通过行业规则重塑解决,但数据的真正所有者,也就是产生数据的用户,他们的权益谁来保护。在这些争夺背后,作为平台数据的缔造者——广大的个人用户,其权益和存在感却极其微弱,此次事件再次凸显中国个人数据保护立法的空白。(来源:财经网)
美军指责 “网络安全漏洞”,大疆回应“愿意合作消除疑虑”
据英国路透社 8 月 5 日报道,美国陆军已下令停用所有中国企业大疆创新( DJI )生产的无人机,并指责这些产品存在 “ 网络安全漏洞 ”。
此次停用的设备包括大疆生产的所有采用其系统和部件的无人机和设备,它要求 “ 陆军各部门接下来要移除所有(大疆)电池、存储设备和安全设备 ”。大疆的用户在使用前需要注册帐号,这是为了遵循 FAA 的监管要求。之后用户可以选择将数据上传到其帐号,数据可以储存在美国、香港和中国的服务器上。这些数据包含了视频、音频、图像、位置和飞行日志。
大疆指出美国陆军在没有向大疆咨询的情况下,就作出了禁飞决定,大疆对美国陆军的决定感到惊讶和失望。大疆很高兴与包括美国陆军在内的任何组织直接合作,以检测和解决他们关心的网络问题。大疆将向美军伸出援手,确认备忘录,并了解“网络漏洞”的具体含义。(来源: 环球网)
3.06亿泄密密码公开查询,千万不要用使用中的密码来查
安全专家Troy Hunt开设了一个名为haveibeenpwned的网站,其主旨就是中检查自己熟知的密码,看看它们是否已被盗用。查询过程很简单,登陆相应网站后,你只需输入一个密码,随后它会与一个超过3.06亿个密码的数据库进行比较,这些密码是在几年内收集的泄露密码。
必须要说明的是,Troy警告千万不要用你正在使用中的密码来查询,因为这样极有可能被盗取或者利用。(来源:黑吧安全网)
谷歌发现部分国产安卓手机预装木马程序
几天前, Google 的 Web 安全研究人员公布了一种恶意程序“Lippizan”,它可以录制智能手机中的通话内容,同时还可以自动拍摄照片和监控用户的一些活动,并声称中国的Android 手机中发现了预装恶意软件的程序。
Web 安全研究人员还透露,智能手机如领歌 M5 Plus、领歌 M8、Nomu S10 和 Nomu S20 等核心文件 “libandroid_runtime.so” 被发现注入了Triada Trojan。他们怀疑这些设备中的恶意代码是被 ROM 制造商或者其他人恶意添加进去的。
令人担忧的是,许多中国制造商使用普通的 ROM 并根据自己的需求进行特殊定制,这就给了恶意程序可乘之机。(来源:IT之家)
云南等多地近万个家庭摄像头被入侵,专挑对准床的
7月27日,丽水市景宁县公安局成功打掉浙江首个网上传播家庭摄像头破解入侵软件的犯罪团伙,抓获嫌疑人王某,查扣电脑3台,手机5只,查获被破解入侵家庭摄像头IP近万个,涉及云南、江西、浙江等地。
据景宁公安局网络警察大队副队长陈勇涛说:“家庭摄像头有端口,是有密码节点的,如果这个节点与破解软件的节点相符,破解软件就相当于是开保险箱的‘密码锁’,可以大举入侵了。”
破解软件就像是一张随处抛撒的大网,只要摄像头系统端口防范薄弱,都容易被网住。
“被破解的IP太多了,看都看不过来。”陈勇涛说,他们在网上以单个IP的价格出售,对着客厅的普通摄像头信息,每个IP价格是5元,对着床的是10元,有激情画面的则是20元。据《刑法》第285条,嫌疑人王某因涉嫌非法获取计算机信息系统数据罪被依法刑事拘留。目前案件还在进一步办理中。(来源: 北京时间)
勒索病毒影响了全球 收到的赎金却仅有十几万美元
2017上半年,勒索病毒的传播给全球互联网造成了巨大破坏。WannaCry以及NotPetya两款勒索病毒导致世界范围内各种服务的中断。据统计,英国三分之一的国民卫生服务受到了WannaCry勒索病毒的影响。而据风险建模公司Cyence估计,WannaCry勒索病毒传播造成的相关损失或将高达40亿美元。一个月后,另一款病毒NotPetya的传播影响到了乌克兰政府、制药公司默克、马士基航运、知名广告公司WPP以及切尔诺贝利核辐射检测系统。
尽管两次计算机病毒的大规模爆发造成了不可估量的损失,但病毒开发者的获利却寥寥无几。截至目前为止,WannaCry付款账户只收到了149545美元,而NotPetya病毒的始作俑者更是少得可怜,仅仅有11181美元。
专家表示:人们对普通的勒索病素已经不太感冒,它只是加密你的文件。越来越多的受害者只是耸耸肩,从备份中恢复数据。(来源:网易科技)
太阳能逆变器的一个bug可能导致欧洲电网大崩溃
一名荷兰安全研究人员在某些太阳能面板上发下了一个严重的漏洞,若被利用,可能导致欧洲电网的崩溃。
来自 ITsec 的 Willem Westerhof 在率先曝光此事的荷兰报媒 Volkskrant 上提到:他在所谓的逆变器部分发现了一个漏洞,而这个漏洞可以在欧洲成千上万的联网逆变器中找到。作为太阳能电板上的一个基本组成部分,逆变器负责将直流电转换为交流电。
2006 年的时候,欧洲大部因为德国境内一根高压线路掉线、使得电网不得不面对 50 亿瓦特的用电缺口,结果导致欧洲大部分片区停电。而如果黑客向太阳能逆变器发动了攻击,其规模可以简单地 ×3 倍。
与其它易受攻击的物联网设备一样,黑客能够控制大量逆变器、然后将它们同时关掉,从而导致整个电网出现不均衡 —— 瞬间击垮欧洲地区的大部分电网。(来源:cnBeta.COM)
数据统计
第40次《中国互联网络发展状况统计报告》发布
2017年8月4日,中国互联网络信息中心(CNNIC)在京发布第40次《中国互联网络发展状况统计报告》(以下简称为《报告》)。《报告》显示:
-
截至2017年6月,中国网民规模达到7.51亿,占全球网民总数的五分之一;
-
互联网普及率为54.3%,超过全球平均水平4.6个百分点;
-
手机网民占比达96.3%,移动互联网主导地位强化;
-
IP地址数量居世界前列,出口带宽大幅增长;
-
网络视频使用率达75.2%,行业新生态逐步建立;
-
在线教育、网约出租车、网约专车或快车的用户规模分别达到1.44亿、2.78亿和2.17亿。(来源:中国经济网)
人才培养
互联网安全大会开幕在即 加强人才培养刻不容缓
相比美国、英国而言,中国的网络安全人才培养战略起步较晚。2016年12月,国家互联网信息办公室发布的《国家网络空间安全战略》明确提出,要“实施网络安全人才工程,加强网络安全学科专业建设,打造一流网络安全学院和创新园区”;今年6月1日正式实施的网络安全法也明确提到,“国家支持企业和高等院校、职业学校等教育培训机构开展网络安全相关教育与培训,采取多种方式培养网络安全人才,促进网络安全人才交流。”
2017中国互联网安全大会(ISC)即将在9月召开,网络安全和关键信息基础设施安全保护再次成为网络热词。多位安全专家指出,网络安全行业的本质就是人与人之间的攻防对抗,网络安全人才培养也被多国纳入国家战略。作为拥有7亿多网民的网络大国,中国网络安全人才的储备却捉襟见肘。数据显示,我国网络安全人才缺口已近百万。加强网络安全人才培养刻不容缓。(来源:新华社客户端)
漏洞速递
Microsoft 再次修复曾用于传播 Stuxnet 震网蠕虫的 Windows 系统漏洞
Microsoft 于 6 月 17 日发布新安全更新程序,再次修复用于传播 Stuxnet 震网蠕虫的 Windows 系统漏洞(CVE-2017-8464)。虽然微软此前曾两次尝试修复该漏洞,但未能在 6 月发布补丁以解决问题。卡内基梅隆大学 CERT 协调中心发布咨询报告,指出黑客已发现上述漏洞绕过微软补丁的另一种方法。目前,微软也已证实,该漏洞遭黑客肆意利用。
该报告还指出微软漏洞 CVE-2010-2568 与 CVE-2015-0096 的修复程序并不完善,因为它们未考虑使用 SpecialFolderDataBlock 或 KnownFolderDataBlock 属性指定文件夹位置的 LNK 文件。与此同时,黑客还可通过特制快捷文件执行任意代码。目前,研究人员提醒用户关闭 TCP、UDP 端口 139 与 445 ,以防止黑客再次利用该漏洞传播蠕虫病毒。(来源:HackerNews.cc )
最新漏洞
END
