各位Buffer早上好,今天是2019年4月29日星期一。今天的早餐铺内容主要有:iLnkP2P弱点暴露数百万物联网设备;美军切断最大军事基地电源以此来测试网络攻击下的真实反应;美司法部文件显示阿桑奇可能受到《间谍法》指控,面临死刑;研究人员开发新方法来检测隐藏在硬件组件中的恶意软件;网信办等启动剑网2019专项整治;京东回应“泄露5千万用户数据”:非京东账号数据,勿造谣传谣。
iLnkP2P弱点暴露数百万物联网设备
一家深圳公司(该公司网站基本不更新)开发的软件 iLnkP2P 被发现存在严重安全漏洞,全世界有数百万物联网设备受到影响。
iLnkP2P被广泛用于安全摄像头和网络摄像头、婴儿监视器、智能门铃和数字录像机,它允许用户从任何地方简单快捷的访问设备。用户只需要下载移动应用,扫描设备上的二维码或六位数ID。
安全研究员Paul Marrapese发现, iLnkP2P设备没有提供任何验证或加密,很容易被枚举破解,允许攻击者与这些联网设备建立直接连接,绕过防火墙的限制。
全世界有200多万物联网设备存在该漏洞,其中39%位于中国,19%位于欧洲,还有7%在美国。几乎半数存在漏洞的设备是海芯威视生产的,它的设备ID使用了前缀FFFF、GGGG、HHHH、IIII、MMMM 和 ZZZZ。[krebsonsecurity]
美军切断最大军事基地电源以此来测试网络攻击下的真实反应
美国陆军最大军事基地布拉格堡于本周早些时候在一次未经宣布的网络攻击演习行动后发表了一篇道歉声明。军方官员告诉Charlotte Observer,此次演习是为了找出存在于其基础设施、行动和安全方面的不足之处,所以当时他们没有对外公布,目的是能获得人们可能做出的真实反映。
演习于美国东部时间周三晚上10点左右展开,当时,基地断电一直到次日下午才恢复正常。
美国军方后来在其Facebook页面上为引发的担忧表示道歉,另外它还解释称,这是基地为确定在真实场景中部署准备程度和弹性而进行的必要测试的一部分,针对这一目标他们已经实现,现在一切则都恢复了正常。
近年来,美国官员们对国家电网和基础设施容易遭到网络攻击感到愈发的担忧。这样的袭击并非闻所未闻,像几年前,乌克兰的发电厂和机场就遭遇过这样的袭击,而美国官员表示,他们发现与俄罗斯有关联的组织正将目标对准了美国的基础设施。[cnbeta]
美司法部文件显示阿桑奇可能受到《间谍法》指控,面临死刑
在美国已提出引渡要求的情况下,5月2日,现年47岁的维基解密网站创始人阿桑奇将在英国出庭接受引渡听证。
美国司法部一份文件显示,阿桑奇可能会因泄露机密材料而受到《1917年间谍法》(Espionage Act)指控。而根据该法案被定罪的人,可能会被处以死刑。
1917年美国颁布的旨在保护军事机密的这一《间谍法》,已被用作打击告密者的有力工具。该法被定义为,为惩罚干预美国外交关系和国际贸易行为、惩罚间谍、促进美国刑法实施和其他目的所设之法律。
阿桑奇于本月在厄瓜多尔驻伦敦大使馆被捕,目前被英国拘留,等待引渡听证。在美国已提出引渡要求且瑞典检方将重启对阿桑奇调查的情况下,他会被引渡至哪国成为外界关注的焦点。英国法律规定嫌犯不能被引渡至有死刑的国家,目前尚不清楚美国司法部的调查是否会影响这一过程。[环球网]
研究人员开发新方法来检测隐藏在硬件组件中的恶意软件
北卡罗来纳州立大学和德克萨斯大学奥斯汀分校的研究人员已经开发出一种可靠的识别潜入硬件固件中的恶意代码的方法。通过测量系统及其中每个组件的功耗,可以确定存在恶意软件的类型。研究由洛克希德马丁公司和国家科学基金会赞助。
微架构攻击的本质使它们很难被发现,但研究人员找到了一种方法来检测它们。物联网设备和工业嵌入式系统是重要的用例,这多这种设备没有操作系统,并且仅执行存储在非易失性存储器的一小部分机器代码。在部署到现实世界的大多数嵌入式系统中,防病毒软件甚至都不实用。
监控电源使用本身并不是一个新概念,但是能够与各种系统一起工作的即插即用解决方案的想法很有趣。唯一需要注意的是,写得非常仔细的恶意软件可以尝试表现出正常的功耗。在这些情况下,有时研究人员的工具无法检测到恶意软件的存在。然而,恶意软件窃取数据的速度会减慢86%至97%,这对善于掩盖其踪迹的黑客来说是一个重大损失。[cnbeta]
网信办等启动剑网2019专项整治
国家版权局、国家互联网信息办公室、工业和信息化部、公安部四部门今天宣布联合启动打击网络侵权盗版“剑网 2019”专项行动。专项行动将开展媒体融合发展版权、院线电影网络版权、流媒体软硬件版权、图片市场版权、网络重点领域版权等五方面专项整治。
此次专项行动自4月底开始到10月底结束,将开展5项重点整治。
一是深化媒体融合发展版权专题保护,严厉打击未经授权转载主流媒体新闻作品的侵权行为,严肃查处自媒体通过 “标题党”“洗稿” 方式剽窃、篡改、删减主流媒体新闻作品的行为,依法取缔、关闭一批非法新闻网站(网站频道)及微博账号、微信公众号、头条号、百家号等互联网用户公众账号。
第二方面内容为严格院线电影网络版权专项整治。严厉打击影院偷拍盗录及通过网盘分享、微博微信、淘宝等渠道传播盗版影视作品的行为,规范点播影院、点播院线在放映、发行活动中的版权秩序,大力整治通过将服务器设在境外传播盗版影视作品的非法活动。
第三方面内容为加强流媒体软硬件版权重点监管。严厉打击IPTV、OTT及各类智能终端等流媒体硬件和各种流媒体软件、聚合类软件非法传播他人作品的行为,严厉打击通过电商平台销售各种破解版、越狱版OTT产品的行为。
第四方面内容为规范图片市场版权保护运营秩序。严厉查处图片公司通过假冒授权、虚假授权等方式非法传播他人作品的侵权行为,着力整治图片公司在版权经营活动中存在的权属不清、滥用权利、不正当维权等违法违规行为,推动相关企业合理合法维权,构建健康有序的图片市场版权秩序。
第五方面内容为巩固网络重点领域版权治理成果。对短视频、有声读物、知识分享、网络直播等平台继续强化版权治理,巩固网络影视、音乐、文学、动漫、应用商店、网盘等领域取得的治理成果。
[solidot]
京东回应“泄露5千万用户数据”:非京东账号数据,勿造谣传谣
针对此前外界传言“京东泄露的5千万用户数据”一事,京东回应称:经过示例数据查验,确认这些数据不是京东账号数据,请勿造谣传谣。
以下为回应全文:
针对外界谣传“京东泄露的5千万用户数据”一事,京东经过示例数据查验,确认这些数据不是京东账号数据,请勿造谣传谣!另外提醒:买卖公民个人隐私数据涉嫌触犯刑法!
[bianews]
来源:freebuf.com 2019-04-29 07:00:38 by: Karunesh91
请登录后发表评论
注册