【全球动态】
1.澳大利亚程序员逆向工程官方的接触者追踪应用
软件开发者 Matthew Robbins 发现,该应用能将数据安全地存储在用户手机上,仅记录来自同样安装了该应用的其他手机的信息,在 21 天后会自动删除所有记录,且仅在用户允许的情况下才会将数据上传给卫生部门。他认为该应用值得安装。 [阅读原文]
2.工信部、广电总局: Q3末全面完成网络基础设施IPv6改造
近日,工业和信息化部办公厅、国家广播电视总局办公厅联合发布了关于推进互联网电视业务IPv6改造的通知。通知做了三点要求,其中特别提到,2020年三季度末,运营商要全面完成网络基础设施IPv6改造。[阅读原文]
3.以色列政府称本国水处理公司已遭攻击,督促更改联网系统密码
以色列国家网络局 (INCD) 发布安全警告称,正在督促能源和水行业企业更改所有联网系统的密码。如密码无法修改,则建议关闭这些系统并等待恰当的安全系统到位。[阅读原文]
4.英国NHS拒绝部署苹果&谷歌的接触者追踪技术
英国国家医疗服务体系(NHS)表示,该机构将利用自己的集中式接触者追踪系统,而不是部署苹果和谷歌正在开发的曝光通知技术。与苹果/谷歌的合作方式不同,NHS的应用程序将看到iPhone和Android手机不断向英国政府维护的中央数据库报告。[阅读原文]
5.国务院常务会议部署加快推进信息网络等新型基础设施建设 推动产业和消费升级
国务院总理李克强4月28日主持召开国务院常务会议,听取2019年全国两会建议提案办理情况汇报,促进科学民主决策、提升政府治理效能;部署加快推进信息网络等新型基础设施建设,推动产业和消费升级。[阅读原文]
【安全事件】
1.6年勒索软件Shade公布75万个解密密钥
Shade首次出现大约在2014年底,主要针对运行 Microsoft Windows 的主机。近期该软件背后的黑客团队会声明结束Shade的运营,并且在 GitHub 平台发布75万个解密密钥。此外,在声明中他们还表达了对受害者的歉意,表示受影响的用户都可以通过解密密钥来恢复此前被该软件加密的文件等。[阅读原文]
2.B站知名up主遭勒索
4月27日晚,B站up主——机智的党妹(粉丝557万)发布了一条视频《我被勒索了!》。通过日志仅能查到IP位于北京的一家图书馆(但IP也很有可能是伪造的)。而此次攻击疑似利用Buran勒索病毒。[阅读原文]
3.两行代码构成的 npm 包影响到了数百万项目
一个 npm 小项目的更新给整个 npm 生态系统制造了一场混乱,影响到了数百万 JS 项目。名叫 is-promise 的库包含了两行代码,其它项目可通过一行代码调用使用该库。它的功能是让开发者测试一个 JS 对象是否是 Promise。尽管这个库只有两行代码,但它却是最流行的 npm 包之一,被超过 340 万个项目使用。[阅读原文]
4.谷歌Play Store新漏洞导致相同版本的应用重复更新
谷歌应用商店Google Play Store出现了一个新的bug,导致一些应用在Google Play Store当中反复显示有相同版本的可用更新。用户报告受影响的应用主要包括YouTube TV、Google Docs、Google Docs、Sheets、Slides、Gmail等第一方应用。[阅读原文]
5.亚马逊滥用商家数据 美议员要求司法部展开调查
据国外媒体报道,美国密苏里州共和党参议员乔希·霍利(Josh Hawley)今日敦促美国司法部对亚马逊展开刑事调查,因为后者正使用掠夺性和排他性的数据做法来打造和维持其垄断地位。[阅读原文]
6.CNNIC第45次调查报告:网站安全与漏洞
截至2019年12月,国家计算机网络应急技术处理协调中心监测发现我国境内被篡改网站185573个,较2018年底(7049个)增长较大;被植入后门的网站数量达到84850个,较2018年底(23608个)增长259.4%;国家信息安全漏洞共享平台收集整理信息系统安全漏洞16193个,较2018年(14201个)增长14.0%。[阅读原文]
7.WordPress插漏洞允许黑客创建恶意管理帐户
实时查找和替换 WordPress 插件中的一个错误可能允许黑客在超过 100,000 个站点上创建恶意管理员帐户。该漏洞是由 Wordfence 研究人员发现的,它是一个跨站点请求伪造缺陷,可能导致存储的跨站点脚本 (存储 XSS) 攻击。攻击者可以通过单击评论或电子邮件中的恶意链接,=诱使 WordPress 管理员将恶意 JavaScript 注入其网站的页面。[外刊-阅读原文]
【优质文章】
1.流量分析在安全攻防上的探索实践
网络流量分析既指特定用途的硬件设备(如绿盟的NTA),也指基于网络层的安全分析技术,在FW\IDS\IPS中很常见。相比于主机层、应用层是以日志、请求等为分析对象,流量分析面对的是更底层的网络数据包,所包含的信息元素更多,但是分析起来也更加生涩。流量分析已被应用于多个领域,如带宽资源的合理性管控、网络链路排障以及本文所要探索的安全攻防领域。[阅读原文]
2.传统岗位新挑战:信息安全之路
作为一个安全负责人同时要支持技术线,业务线,数据线等多条线,要面临太多太多的挑战,传统的安全模式和服务已经远不能满足现实的情况,这也是为什么很多互联网公司或甲方公司要建设自己的安全部门或团队的原因,自己的问题自己解决。[阅读原文]
3.新形势下更需加强网络安全应急管理
这场公共卫生领域的重大疫情事件给网络安全业界也敲响了警钟,业界在积极投入“抗疫”工作的同时,开始警醒我国网络安全领域的应急体系面对这样的重大考验时,是否能够做到从容不迫,及时处置。显然,建立健全网络安全风险应急工作机制,“防患于未然”,甚至做好“亡羊补牢”,是当前社会必须重视和加紧推进的工作。[阅读原文]
*本文内容收集自全球范围内的媒体与刊物,制作者对其完整性负责,但不对其真实性和有效性负责。
*标注为【外刊】的内容主要来源为英语国家的媒体与刊物,部分内容需要注册免费账号后方可阅读。
来源:freebuf.com 2020-04-29 08:59:32 by: shidongqi
请登录后发表评论
注册