FreeBuf早报，安全圈值得关注的每日大事件

【全球动态】

1.美国市长集团决定不再向黑客支付赎金

美国市长会议昨天一致通过了一项决议，在遭受勒索攻击之后不会再满足黑客的赎金要求。他们认为支付赎金，虽然能够较快地恢复数据，但会助长黑客继续攻击政府部门的势头。[外刊-阅读原文]

2.报告：全世界97%的银行都无法保障你存款的安全

安全测试机构ImmuniWeb日前发布了一项全球大型金融机构安全评测报告。报告指出，就应用程序安全性、隐私保护和合规性而言，这些大型金融机构的安全状况令人担忧。全球97%的大型金融机构容易受到网络和移动攻击，在SSL加密和网站安全方面仅有三家机构获得A+的评价。[阅读原文]

3.美国发现很难彻底移除中国制造的监控探头

美国国会去年通过法案禁止政府机构使用中国生产的监控探头，截至日期是今年 8 月 13 日。但在截止日期到来前，许多美国政府机构可能来不及拆除海康威视和浙江大华的摄像头。受雇帮助识别摄像头的加州公司 Forescout Technologies 称，至少有 1400 个海康威视和大华摄像头在已被禁止的地方运行。实际数量可能更多，因为没有多少联邦机构知道他们使用的是哪家公司的摄像头。许多海康威视和大华摄像头被送到设备制造商，然后以不同的品牌出售，这些摄像头的标签和包装都不同，因此很难区分哪些摄像头是中国生产的。[ 阅读原文]

4.台湾黑客开发Chrome 插件AI，自动遮蔽韩国瑜

台湾黑客团队nevikw39 运用AI 神经网路技术，开发出可自动遮蔽韩国瑜脸部的Chrome 插件，并让网民下载。开发插件的团队表示样本数只有60 组，所以判别准度仍有待加强，用后Google 图片韩国瑜正面照可以全部遮蔽，但低头、蒙眼的就没办法。[外刊-阅读原文]

5.报告称2018年发生百万起网络袭击，损失逾450亿美元

一项报告指出，2018年，全球估计发生了超过200万起网络袭击事件，造成逾450亿美元的损失，不少地方政府受到恶意攻击而疲于奔命，但其实有超过95%的网络攻击皆可避免。[阅读原文]

6.美军人工智能作战计划曝光，100亿美元战争云计算系统公开招标

据美国《星条旗报》网站10日报道，美国军方对外发布价值100亿美元的首个“战争云”系统招标项目，在引起科技巨头激烈争夺的同时，也曝光了美军借助人工智能作战的计划。招标说明显示，五角大楼只向一家云供应商采购云服务，潜在供应期长达10年。[阅读原文]

7.阿里、腾讯等11家企业签订防范治理电信网络诈骗责任书

在中国互联网大会“2019防范治理电信网络诈骗论坛”上，工信部组织阿里巴巴、腾讯、百度、京东、字节跳动、拼多多、新浪微博、58同城、美团、世纪佳缘、网宿科技11家单位，签订“重点互联网企业防范治理电信网络诈骗责任书”，进一步压实企业主体责任，切实加强社会监督和行业自律，积极净化网络通信环境，以优异的成绩迎接中华人民共和国成立70周年。[阅读原文]

【安全事件】

1.第一款青少年搜索引擎“花漾搜索“APP正式上线

7月11日，由新华社中国搜索研发的首款面向青少年的搜索引擎“花漾搜索“APP今日正式上线，花漾搜索APP图标是一只小小猫头鹰。我国有2亿青少年，花漾搜索是中国第一款专为青少年定制的搜索引擎，旨在为孩子打造一个由围墙的花园，让家长放心地把移动设备交给孩子。花漾搜索通过利用顶尖人工智能技术筛选屏蔽不良信息，让手机“净净”地陪伴孩子成长。[阅读原文]

2.苹果临时禁用 Apple Watch 对讲机功能，有窃听风险

苹果临时禁用了 Apple Watch 对讲机 Walkie-Talkie 功能，因为对讲机功能出现的 Bug 会让用户窃听其他人。目前，苹果正在开发修复补丁，Apple Watch 上的 Walkie-Talkie 应用依然会保留，但无法使用。[外刊-阅读原文]

3.不给收集个人信息权限就无法安装，鲁大师发布整改公告

7月11日晚间，针对要求用户一次性同意开启多个可收集个人信息权限一事，鲁大师官微发布整改公告称，已经进行调整，下个版本，将会在用户使用评测前提示用户本测试需要获取的相应权限并进行测试。鲁大师承诺，现在及将来都不会利用用户隐私进行非法获利。[阅读原文]

4.30款App违规收集个人信息被通报，含探探、韵达快递等

App专项治理工作组公告显示，探探、人人、趣店、春雨医生、天天酷跑、韵达快递等30款App因违反《网络安全法》关于收集使用个人信息的规定，被通报整改。根据公告显示，中国银行手机银行、春雨医生、魔漫相机、韵达快递等10款App违反《网络安全法》第四十一条“公开使用收集个人信息规则”的要求，无隐私政策。[阅读原文]

5.微软Azure云新增对FIDO2安全密钥的支持，无密码登录安全又便捷

微软Azure Active Directory（Azure AD）本周开始对FIDO2安全密钥的支持。FIDO2技术允许用户在不使用传统密码的情况下登录设备和服务。而现在，开发人员可以为Azure云连接的应用程序和服务提供FIDO2登录方式。[阅读原文]

6.My Dash Wallet在线钱包恶意脚本曝光，已有数千万用户资产被窃

近日，有用户反应称价值数百万人民币的DASH币遭恶意窃取。根据用户提供的信息，降维安全实验室研究人员发现My Dash Wallet在线钱包网页被嵌入恶意脚本，该恶意脚本会将用户DASH币账户余额、keystore或私钥、种子等关键信息上传至https://api.dashcoinanalytics.com/stats.php。此外，黑客在greasemonkey油猴脚本论坛也上传了带有恶意脚本的插件，一旦安装此插件，当用户访问该在线钱包时，就会窃取用户DASH币相关密钥等信息。[ 阅读原文]

7.Magecart黑客通过错误配置的Amazon S3存储桶感染17000个站点

网络安全研究人员已经确认，Magecart攻击者对17000多个网站发起了新一轮供应链攻击，其中包括在Alexa排名前2000的网站。他们一直在互联网上扫描存在错误配置的Amazon S3存储桶（即允许任何人查看和编辑其中包含的文件），并将他们用于窃取支付卡数据的恶意代码插入能找到的每个javascript文件中。[外刊-阅读原文]

8.谷歌承认：某些合作伙伴泄露1000多份保密对话录音

谷歌周四承认，某些合作伙伴向一个比利时新闻网站泄露了1000多份客户与Google Assistant（谷歌助手）的对话录音。谷歌和亚马逊等公司利用这些对话来改善其智能助理服务的语音响应功能，而对话信息应该是保密的。[阅读原文]

【优质文章】

1.为网络空间安全提供“中国方案”

近年来，网络空间拟态防御技术迈出的每一步都踏实有力，从理论提出、原理验证、技术突破、设备研制均取得了全方位进展。2016年，拟态防御原理验证系统通过国家级测试评估；2018年，全球首例基于拟态构造的系列化网络设备投入线上运行。[阅读原文]

2.促进网络空间战略稳定的思考

网络空间战略稳定面临诸多挑战、促进网络空间战略稳定的目标，认为战略克制和互信是两个重要基础。重点阐述了促进大国保持战略克制的三大认知，提出了在战略竞争对手之间构建网络空间互信的四个机制。[阅读原文]

3.从应用交付角度看云原生体系的构建

我们通常所讨论的云原生，更多局限在云原生应用领域。比如我们时常谈起微服务，但只关注微服务架构的设计以及通信、颗粒度划分等技术细节；我们谈起 DevOps 时，往往局限在工具链的罗列筛选或是组织架构和组织文化的调整建设。[阅读原文]

4.2018年广州网络安全十大典型案例（个人篇+企业篇）

近年来，广州网警持续开展“净网”专项工作，通过定规范、建机制、防风险、强支撑，严打涉网违法犯罪活动等措施提升了全市重点部门、市民群众网络安全意识和防护能力。为了使公众进一步了解网络安全，我们整理了2018年十大典型网络安全案事件，都是与您的生活、工作密切相关的。[阅读原文]