FreeBuf早报|NSA的Python培训手册被公开;美用情报共享威胁德国禁用华为;谷歌确认再次下架间谍消息应用ToTok – 作者:shidongqi

【全球动态】

1.NSA的Python培训手册被公开

Python 开发者现在可以观摩下美国情报机构 NSA 是如何培训 Python 程序员的。软件工程师 Chris Swenson 根据信息自由法案递交申请,要求访问 NSA 的 Python 培训材料,结果收到了 400 页经过编辑的 NSA COMP 3321 Python 培训课程打印资料。[阅读原文]

2.工信部:部署做好疫情防控期间信息通信行业网络安全保障工作

为切实做好疫情防控和经济社会运行的网络安全支撑保障工作,确保疫情防控期间网络基础设施安全,防止发生重大网络安全事件,工业和信息化部发文要求各相关单位重点做好保障重点地区重点用户网络系统安全、加强信息安全和网络数据保护、进一步强化责任落实和工作协同等三方面工作。[阅读原文]

3.美用情报共享威胁德国禁用华为 德媒:美从未公布证据

继英国、加拿大等盟友之后,美国又以类似理由威胁德国禁用华为。据彭博社17日报道,美国驻德国大使格雷内尔16日表示,总统特朗普明确指示他“任何选择使用不值得信任的5G供应商的国家”都有危及与美国共享情报和信息的风险。虽然格雷内尔没有提及华为,但舆论认为,这一要求明显指向华为。[阅读原文]

4.新加坡将斥资7.19亿美元加强政府的网络和数据安全系统

在2020年的预算中,新加坡将在未来三年内投入7.19亿美元,以增强政府的网络和数据安全能力,这对于采用人工智能等新技术以及为高科技初创企业和中小企业提供更多资金支持至关重要。[外刊-阅读原文]

5.AZORult恶意软件通过假冒ProtonVPN安装程序感染受害者

AZORult是一种不断发展的数据窃取木马,在俄罗斯地下论坛上售价约100美元,也被用作其他恶意软件家族在多阶段活动中使用的下载程序。[外刊-阅读原文]

【安全事件】

1.支付宝回应人脸识别“被骗”:极小概率事件

支付宝方面称,人脸识别认证目前的准确率为99.99%,2018年出现的这一案例为极小概率事件。案件发生后,经过技术升级支付宝对此类攻击形式已可防可控,至今没有再发现类似攻击案例。支付宝承诺,即便出现小概率的盗刷事件,也会全额赔付。[阅读原文]

2.CVE-2019-0604 SharePoint远程执行代码(RCE)漏洞

几天前我看到一个来自alienvault的帖子,说攻击者仍然在利用SharePoint的漏洞来攻击中东政府组织。说到这里,我发现印度所得税部门和麻省理工学院斯隆管理学院也容易受到CVE-2019-0604的攻击,这是微软SharePoint中存在的一个远程代码执行漏洞。恶意的参与者可以通过简单地发送一个特别制作的SharePoint应用程序包来利用这个漏洞。[外刊-阅读原文]

3.WordPress主题插件严重漏洞修复,影响将近20万个网站

WordPress的ThemeGrill Demo Importer程序的开发人员已更新了该插件,删除一个严重漏洞,该漏洞为未经身份验证的用户提供了管理员特权。攻击者可以管理员身份登录,并将网站的整个数据库还原为默认状态,从而完全控制这些网站。[阅读原文]

4.谷歌确认再次下架间谍消息应用ToTok

《纽约时报》去年12月报道称,一款名为ToTok的流行消息应用实际上是阿联酋政府用来跟踪用户的对话、位置和社交关系的间谍工具。该应用已于12月从Google Play商店中删除,而谷歌也对此进行了调查,后来于1月初恢复使用。谷歌现在确认该应用已被再次删除,但拒绝披露原因。[阅读原文]

5.在最近的黑客攻击后,RING为所有用户帐户启用2FA

安全摄像头供应商Ring今天宣布,计划对所有用户帐户强制启用双因素身份验证(2FA)。但该功能在默认情况下没有启用,由每个用户自行决定。[外刊-阅读原文]

6.网络安全警告:几乎一半的联网医疗设备易受黑客利用BlueKeep的攻击

根据医疗网络安全公司CyberMDX研究人员的一份最新报告中的数字,一家典型医院的所有Windows设备中,有22%的设备由于没有收到相关补丁而暴露在BlueKeep中。当涉及到运行在Windows上的联网医疗设备时,这个数字上升到了45%——这意味着几乎一半的设备是易受攻击的。[外刊-阅读原文]

7.Windows、Linux 设备因未签名的外围固件而面临风险

研究人员在计算机外围设备中发现了多个未签名固件实例,恶意参与者可以使用这些实例攻击运行 Windows 和 Linux 的笔记本电脑和服务器。[外刊-阅读原文]

【优质文章】

1.数据预测未来:2020年网络安全行业新风向

相比于去年的“Better”和前年的“Now Matters”,今年的主题颇有些探寻本质的味道和警醒意义。而处于疫情之中的中国安全从业者,也许会对今年的主题有更为独到和深刻的理解。[阅读原文]

2.基于轻量化安全协议的物联网安全网关技术实现

安全认证技术更需要轻量化,因为协议涉及到通信过程,其消耗的资源(主要是功耗)远超过计算过程所消耗的资源。资源的严重受限使得传统的计算、存储和通信开销较大的安全协议技术无法应用,因此轻量级安全协议技术成为研究的热点。基于轻量级安全协议设计物联网安全网关,完成物联网终端的安全接入和数据安全传输。[阅读原文]

3.AWS Transit Gateway实践与使用场景的思考

AWS Transit Gateway是一项服务,可以将用户的 AmazonVirtual Private Clouds (VPC) 和本地网络连接到一个网关(AWS TransitGateway简称TGW,下文会混用这两个词,但实质就是一样的意思)。随着 AWS 上运行的工作负载数量不断增加,必须能够跨多个账户和 Amazon VPC 扩展您的网络,才能跟上发展步伐。[阅读原文]

*本文内容收集自全球范围内的媒体与刊物,制作者对其完整性负责,但不对其真实性和有效性负责。

*标注为【外刊】的内容主要来源为英语国家的媒体与刊物,部分内容需要注册免费账号后方可阅读。

来源:freebuf.com 2020-02-19 08:59:14 by: shidongqi

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论