各位Buffer早上好，今天是2019年3月14日星期四。今天的早餐铺内容主要有：朝鲜黑客涉及价值5.17亿的加密货币劫持案件美国总统2020年预算方案计划投入近百亿用于国防部网络行动；默克尔表示德国会自己制定 5G 安全标准；GoDaddy、苹果和Google错误签发了一百多万个63位序列号证书；Google Chrome 73稳定版发布：支持Dark模式 修复60处安全漏洞；Android安全App大调查：大多无法有效保护用户。

朝鲜黑客涉及价值5.17亿的加密货币劫持案件

近日，联合国安理会发布报告称，朝鲜相关的黑客组织与很多针对金融机构和加密货币交易所的网络攻击有关。其中，由于针对加密货币交易所的攻击易于实施、较为隐蔽、难以追踪且可以大规模洗钱，因此成为朝鲜黑客组织的优先选择。在制裁强化导致朝鲜外汇收入减少的背景下，朝鲜专门进行网络攻击的部队承担了获取外汇的任务。报告显示，2017年1月到2018年9月，朝鲜黑客组织攻击亚洲加密货币交易所所造成的财物损失达到5.71亿美元。这些攻击大多与Lazarus组织有关。此外，报告还透露了朝鲜在民间工厂和机场等处继续推进弹道导弹开发和试验的情况。专家组断言，“核试验与弹道导弹开发计划保持现状，仍在继续”。[来源：bleepingcomputer]

美国总统2020年预算方案计划投入近百亿用于国防部网络行动

3月11日，美国政府公布了总统2020年预算申请方案大纲。其中，总统的预算方案要求为国防部的网络行动拨款约96亿美元，用于保护国防网络免受网络攻击，并通过美国网络司令部开展进攻性行动。这个数字比政府2019年向国会提出的要求高出10多亿美元。另外，美国国土安全部将获得10亿美元，用于保护联邦网络以及美国的关键基础设施。[来源：infosecurity]

默克尔表示德国会自己制定 5G 安全标准

美国驻德大使格雷内尔 (Richard A. Grenell) 3 月 8 日致信德国经济部长阿尔特迈尔 (Peter Altmaier)，称华为或其他中国设备供应商若参与 5G，“美国将无法与德国安全部门维持迄今的合作水凖”。美国大使馆的发言人说：“如果某个盟友网络中有不受信任的供应商，该国内部以及与盟国间的情报完整性和机密性都会引起质疑...... 这可能会在未来危及双方的即时合作和资讯共享。我们正与盟友密切联系确保能在安全的电信网路上持续互相合作。”针对美国大使的警告，德国总理默克尔周二回应称，数字领域的安全性是 “非常重要的资产”，“这也是我们为自己定义标准的原因”。 而华为西欧业务负责人彭博接受德国商报采访时表示，美国的警告太过分了。“在我看来，一个国家不应该利用自己的政治影响力去伤害一家商业企业。”[来源：solidot]

GoDaddy、苹果和Google错误签发了一百多万个63位序列号证书

错误配置的 EJBCA 开源软件包致使 GoDaddy、苹果和 Google 签发了一百多万个不符合要求的 63 位序列号证书。EJBCA 被很多浏览器信任的 CA 用于生成证书，在默认情况下 EJBCA 使用伪随机数生成器生成了 64 位序列号的证书，工程师发现 64 位中必须有一个定值才能确保序列号是正整数，这意味着 EJBCA 默认生成的序列号的熵值只有 63 位。63位 和 64 位虽然只相差一位，但 2^63 和 2^64 之间是相差巨大的。错误签发 63 位序列号证书所构成的风险主要是理论上的，实际上几乎不可能被恶意利用。但这不符合行业规定的要求。Google 被发现自 2016 年以来签发了 10 万以上不符合要求的证书，不过到目前只有 7000 个证书还有效。  [来源：cnbeta]

Google Chrome 73稳定版发布：支持Dark模式 修复60处安全漏洞

包括GNU/Linux、Windows和macOS在内，谷歌面向所有支持平台发布了稳定版Chrome 73，并且已经向所有用户发送OTA更新。Chrome 73（v73.0.3683.75）引入了诸多新功能和改进，并修复了大量BUG提升了安全性能，从而让用户在安全的环境中更加愉快的上网冲浪。本次Chrome 73版本中最值得关注的新功能就是为macOS平台引入Dark Mode的支持。Chrome 73还为开发者引入了一些功能，包括在macOS上支持Progressive Web Apps，签名的HTTP交换，可构造的样式表和多达60处的安全修复。[来源： cnbeta]

Android安全App大调查：大多无法有效保护用户

独立评测机构AV-Comparatives近期对市场上的防病毒APP进行了大规模测试，发现均无法有效正确的保护用户。AV-Comparatives测试了2000款恶意APP，结果发现只有不到十分之一的APP能够完全检测出这些恶意程序，而超过三分之二的防病毒APP识别恶意程序数量没有达到30%。AV-Comparatives采用了和因斯布鲁克大学合作开发自动测试程序，并使用物理Android手机并非模拟器来确保测试结果的精准性。[来源：cnbeta]