FreeBuf早报，安全圈值得关注的每日大事件

【全球动态】

1.Strong_password Rubygem 被劫持

一个流行的 Ruby 密码强度检查程序遭到劫持，攻击者将 strong_password 的版本从 v0.0.6 升级到 v0.0.7，嵌入了一个可编辑的 Pastebin 网址。整合 strong_password 的应用会下载和执行 Pastebin 网址中的代码，这意味着攻击者可以根据需要执行任意代码。strong_password v0.0.6 合法下载量有 3.7 万次，不清楚有多少人下载了恶意版本。 RubyGems 已经将恶意版本移除。[外刊-阅读原文]

2.美FBI和ICE利用驾照照片进行面部识别 引发隐私担忧

乔治城大学法学院的研究人员以及《华盛顿邮报》发现，美国联邦调查局（FBI）和移民海关执法局（ICE）一直在利用州车管局的照片作为面部识别数据库。这些机构扫描了数亿张照片，建立了一个非官方的监视基础设施。[阅读原文]

3.英国航空公司将因数据泄露问题面临创纪录罚款处罚

据外媒报道，英国数据监管机构近日宣布，计划对英国航空公司处以1.83亿英镑的罚款处罚，原因是发生在去年的数据泄露事件。信息专员办公室(ICO)表示，因为这家航空公司糟糕的安全工作导致50万名左右客户的信用卡信息、姓名、地址、旅游预订信息和登录信息被泄露。[阅读原文]

4.任正非谈保护用户隐私：苹果是榜样，华为不会把用户数据给政府

华为公司创始人兼CEO任正非此前曾谈到过他是如何受到苹果公司启发的。现在，他又表示，苹果在用户隐私上的立场同样鼓舞着他。任正非在接受采访时称，华为不会把用户数据提供给政府。[阅读原文]

5.巴西将数字数据保护纳入基本权利

巴西参议院批准了一项建议，即将数字平台数据保护纳入国家宪法规定的基本权利和个人公民保障清单。参议员Simone Tebet指出，将这一主题添加到宪法中表明中央政府认识到该主题的重要性。[外刊-阅读原文]     

6.不惧美国网络攻击威胁 伊朗展示国产通信系统

伊朗国防工业日前公布了一款名为“Sepehr-110”的新型国产战术通信系统。报道称，伊朗伊斯兰革命卫队指挥官侯赛因·萨拉米少将于7月7日参观了这款伊朗自行研发制造的可移动通信设备。萨拉米赞扬了这款通信设备采用的新设计并称其为“武装部队的大脑和神经”。[阅读原文]     

7.国家工业信息安全漏洞库上线

2019年中国工业信息安全大会日前召开，会上，国家工业信息安全漏洞库正式上线，来自有色、钢铁、装备制造、石油石化等10个关键领域的行业龙头共建重点实验室行业分中心，加快对工业信息安全监测、态势感知、检查评估、攻防演练等一批核心技术攻关。[阅读原文]     

【安全事件】

1.天津红桥网安、网信部门联手化解境外“黑客”远程网络攻击

日前，正值天津市中小学生毕业升学考试和系统报名关键时期，天津红桥网安、网信部门果断出击对一家被非法控制、疯狂攻击教育系统网站的网络公司进行处罚，在维护网络秩序的同时，保障了该区近万名考生的录取升学工作顺利进行。[阅读原文]     

2.研究称多达1325个Android应用未经许可收集用户数据

国际计算机科学研究所（ICSI）的研究人员发现，即使是在用户明确拒绝授权之后，仍有多达1325个Android应用能绕过限制，从用户设备上收集精确的地理位置数据和手机序列号等信息。[阅读原文]     

3.Linux 5.2内核正式发布：抵御Intel硬件漏洞

经过七个RC候选版后，Linus Torvalds大神今天发布了Linux Kernel的最新5.2正式版本，作为一个重大更新带来了多项新特性、更新的驱动和大量改进。安全方面，Linux 5.2增加了新的CPU Bug保护机制，可以抵御Intel MDS(微架构数据采样)硬件漏洞，同时还有一个新的架构无关启动选项“mitigations=”，用来开启或关闭CPU安全漏洞补丁。[阅读原文]     

4.智联招聘员工参与倒卖个人信息 16万人资料被出售

7月5日，北京市朝阳区人民法院审理了一起“智联招聘”员工参与倒卖个人信息案。该案涉及公民个人信息达16万余份，一份信息被卖5元左右。无业人员郑某为了获得公民简历信息，伪造企业营业执照并提供给简称智联招聘工作人员卢某和王某，获得企业会员账号，获取大量公民简历，然后在淘宝上销售。[阅读原文]     

5.微软警告Astaroth恶意软件活动

微软安全团队今天发布了一则警告，称恶意软件活动正在使用无文件和living-off-the-land等技术分发Astaroth恶意软件，这使得传统防病毒解决方案难以发现正在进行的攻击。[外刊-阅读原文]      

6.航拍机投射假路牌信息，黑客曝自动驾驶系统漏洞

最近有从事保安系统研究的白帽黑客，利用航拍机和投射装置，成功瞒骗法国车厂Renault 的Captur SUV所配备的Level 0辅助驾驶系统。黑客在一段限速30 公里的路段作示范，航拍机将限速90 公里的路牌投射在墙壁，结果汽车系统就提示驾驶者，该路段的限速为90 公里。[外刊-阅读原文]

【优质文章】

1.应急响应团队建设：云上威胁响应周期模型

笔者在最近的安全沙龙上，同僚们表现出对应急响应方法论的渴求。所以我想通过真实案例来讲一下应急响应周期建设，以起到抛砖引玉之效，给大佬们的工作带来参考价值。 [阅读原文]     

2.企业运行的SAP系统都安全吗？

SAP 是世界上最受欢迎的企业应用软件企业和解决方案提供商，为85%以上的全球500强企业和190个国家的282,000+家客户提供解决方案。如果这些系统的安全出问题，那后果不堪设想，损失也将会是一个天文数字。[阅读原文]     

3.美军升级Link-16网络，为人工智能应用铺路

近期，美军升级了Link-16数据链态势感知网络，新增了使用直连线路为数据划分优先级的并发多收（CMR）能力。此次升级有助于提高通信能力和缓解Link-16网络的拥挤问题，同时也为人工智能（AI）集成到美军系统中铺平了道路。[阅读原文]     

4.威胁建模杂谈

假设威胁建模解决的问题是，随着物联网和信息技术的发展，企业应该如何构建合理的安全体系，从而能够降低公司资产和业务面临的风险，能让这个世界更美好更安全  （who，when，what，how）。[阅读原文]  

*本文内容收集自全球范围内的媒体与刊物，制作者对其完整性负责，但不对其真实性和有效性负责。

*标注为【外刊】的内容主要来源为英语国家的媒体与刊物，部分内容需要注册免费账号后方可阅读。