2022年04月08日
个人信息保护法草案即将提请十三届全国人大常委会第二十二次会议审议。全国人大常委会法工委发言人臧铁伟12日在记者会上介绍说,制定个人信息保护法,将进一步明确个人信息处理活动应遵循的原则,完善个人信息处理规则。
对这部重要的法律,社会各界早已期许多年。App违法违规收集用户个人信息能否有效收敛,推销电话、精准诈骗、垃圾邮件能否得到遏制,个人信息被侵犯时如何及时有效伸张正义……解决以上种种命题,既是数字经济时代全体公民的公共考题,也是事关个人最直接最现实利益的&ldquo
2022年04月08日
有网络安全研究人员发现,之前一些防毒软件中都有安全漏洞,可以让攻击者提升他们的特权从而使恶意软件可以在系统内隐藏更久,就连Windows自带的Defender也是一样。
根据网络安全研究机构CyberArk的一份报告显示,这些防毒软件普遍都是需要高特权来运作的,因此在对面文件修改攻击时它们会更易遭殃,从而导致恶意软件获得更高特权。这次受到影响的防毒软件有知名的卡巴斯基、迈克菲、赛门铁克、小红伞等,还包括Windows默认的Defender。不过这些软件都已经得到了相对应的修复,所以问题不大。
2022年04月08日
上周末,多国情报联盟“五眼联盟”(Five Eyes)联合印度和日本发表了一份声明,呼吁科技公司为执法调查提供一种解决方案,以访问端到端加密通信。
同时,该声明还表示科技公司不应该开发那些会助长犯罪分子或是危害公众安全的产品或服务,包括端到端加密技术。该声明是五眼联盟呼吁科技公司“开后门”的又一举措。
由美国、英国、加拿大、澳大利亚和新西兰组成的五眼联盟分别于2018年 和 2019年向科技巨头发出了类似呼吁 ,要求“开后门&rd
2022年04月08日
我们经常会遇到一些臭名昭著的恶意组织,他们使用相同的恶意软件针对不同的受害者。在这种情况下,关注焦点通常是受害者公司的团队不同版本的开发软件。
最近的一个例子是星际风暴恶意软件的变种,它从针对Windows和Linux发展到感染Android和MacOS。
有时候退后一步,辨别出团体中那些暗中观察、拥有特异技能的别有用心者非常重要,并且在一定情况下对他们的特殊身份给予相应的监控也是极为重要的。
记住这个框架的思想,最近检查点的研究人员发明了一个方法来将这些特定身份的恶意软件开发者进行辨别:分出
2022年04月08日
7月份欧盟法院废止《欧美隐私盾牌》协定之后,欧盟与美国之间的数据主权和隐私保护之争全面升级,而此间美国对Tiktok的封杀威胁更是让中美之间的隐私保护、域外云数据监管与网络安全问题走到了聚光灯下。美国、欧盟、中国的隐私与云数据监管之间的“隐私革命”将如何博弈和演化,这对于全球云计算企业和互联网公司来说又意味着什么?
法国国家信息学与自由委员会(CNIL)于2020年10月8日裁定(下图),将个人数据存储在由一家美国公司甚至一家在美国有业务的欧洲公司运营的任何云上是非法的
2022年04月08日
9月17日,研究人员发现一个名为Kraken 新攻击活动,会将payload 注入Windows Error Reporting (WER,Windows 错误报告)服务中作为绕过机制。
WER 服务(WerFault.exe)一般是在有与操作系统、Windows特征、和应用程序相关的错误产生时才会被调用。当受害者看到WerFault.exe 运行时,会认为有错误产生,实际上在本次攻击事件中是被攻击了。
诱饵文件
9月17日,研究人员发现一起利用鱼叉式钓鱼攻击来传播含有恶意文档的zip文件的攻
2022年04月08日
为了安全便捷的管理和维护服务器,禁止SSH密码登陆,并用证书认证是比较好的选择。其方法是用户生成密钥对,其私钥严格保管不泄露,将公钥添加到服务器上用户对应的authorized_keys文件,然后就可以用证书方式进行登陆,在证书生成的时候,也可以对证书添加密码,防止私钥被盗用。
这种方式很方便,但是存在一个问题,就是当服务器比较多的时候,对服务器上公钥的管理就会比较麻烦,容易当人员发生变化时候,容易清理遗漏,从而导致安全隐患。本文我们介绍一种通过中心CA统一签发证书管理SSH证书的方法。
概
2022年04月08日
黑客和恶意软件在近几十年中不断发展。在计算机还是粗糙的大机箱时代,黑客还是新生事物,他们顶多是一群喜欢恶作剧的少年,也许他们会制作一些恶意软件,但是这些恶意软件的精致程度与今天的恶意软件有着天壤之别,最多算是游走在法律边缘。随着计算机进入到经济领域,黑客也从一群两眼无神的网瘾少年发展成为了一个个胆大妄为的犯罪集团。
如今计算机已经不再是新生事物,黑客也已经不再恶作剧。他们原来的社会形象是喜爱熬夜、喜爱能量饮料和垃圾食品,这些社会形象今天也已经发生了极大的变化。现在的黑客都是做事小心谨慎的专业人
2022年04月08日
近日,Immersive Labs Researcher的安全研究人员利用松垮的Fitbit隐私控制功能开发了一个恶意间谍软件表盘(概念验证)。证明利用开放的开发者API,攻击者可以开发出可访问Fitbit用户数据的恶意应用程序,并将其发送到任何服务器。
Immersive Labs的网络威胁研究总监Kev Breen指出:
“从本质上讲,(开发者API)可以发送设备类型、位置和用户信息,包括性别、年龄、身高、心率和体重。”布雷恩解释说。“它还可以访问日历
2022年04月08日
FONIX ,一种新的勒索软件即服务(RaaS)产品。
事实上,FONIX于 2020 年 7 月才首次出现在威胁环境中,与这种威胁相关的感染数量仍然很少,但绝不能被轻易低估。
专家指出,该勒索软件作者不要求威胁分发者支付任何费用来加入其中,只需要拿走威胁分发者获得的赎金的一定百分比。和许多其他当前 RaaS 产品略有不同,FONIX对每个文件采用四种加密方法,并且感染后解密周期过于复杂。
威胁分发者通过电子邮件与作者进行通信,以获得针对受害者的解密程序和密钥。与之相对的,分发者会为作者保