FreeBuf早报，安全圈值得关注的每日大事件

【全球动态】

1、四分之一数据泄露事件的原因是人为错误【外刊-阅读原文】

去年所有数据泄露事件中有四分之一是人为错误引起的。同期所有违规行为的平均成本为392万美元，比前一年增加1.5％。这是根据Ponemon Institute和IBM的第14 次年度数据违规成本报告得出的结果，收录了2018年7月至2019年4月间对16个国家和地区以及17个行业的507个组织的调查数据。该报告还发现，数据泄露的平均总成本在长期内持续升级：在过去五年中，它已经从2014年的350万美元增长了12％。

2、研究发现对于Windows 10而言 大多数零日漏洞都已无效【阅读原文】

微软已经证明他们最新的操作系统是最安全的：自2015年以来，只有40％的Windows零日漏洞可以成功利用在最新的Windows版本。微软安全响应中心的安全工程师Matt Miller撰文分析了2015年至2019年间的零日漏洞。早在二月份，著名黑客米勒在BlueHat以色列安全会议上发表了演讲，他表示，在发布补丁之前，Windows漏洞可被利用，但通常几个月后就会失效。

3、NSA计划筹建网络安全理事会 以便与国土安全部和FBI更好地协作【阅读原文】

外媒报道称，美国家安全局（NSA）正计划组建一个网络安全理事会，以帮助其与国土安全部和联邦调查局等部门更好地展开工作。据悉，NSA 希望重振其白帽任务，该网络防御部门将于今年 10 月启动。NSA 周二表示，现任局长高级顾问 Anne Neuberger 将成为该网络安全理事会的领导人。

4、谷歌Project Strobe将于10月15日生效 更好保护用户个人隐私【阅读原文】

谷歌近日宣布Project Strobe将于10月15日正式生效，能够更好地保护用户个人信息。该功能于去年10月宣布，主要审查第三方开发者对包括Android在内的所有服务的访问，并要求开发者请求更少的数据量、且不再诱骗用户去安装。

5、美国司法部长称消费者应该接受加密后门所带来的安全风险【阅读原文】

美国司法部长 William Barr 表示，为了确保执法部门能访问加密通信，消费者应该接受加密后门对个人网络安全构成的风险。加密消息应用的流行让执法机关难以查看加密通信，后门是执法机构希望看到的一种解决方案。

6、50亿美元罚款还不够？美国政府可能对FB提出新指控【阅读原文】

脸书因误导用户而面临FTC新指控。50亿美元罚款可能还不够。7月24日，据路透社报道，美国联邦贸易委员会（The Federal Trade Commission，简称：FTC）或将于当地时间周三宣布与Facebook（脸书）达成和解，终止对Facebook在用户隐私问题方面的指控，Facebook将支付50亿美元罚款以获得和解。50亿美元罚款也是美国联邦贸易委员会有史以来收到的最高的一笔民事罚款。

【安全事件】

1、VLC开发人员表示VLC不受此前公布的漏洞影响【外刊-阅读原文】

最近关于VLC安全漏洞的通报引起了用户的恐慌，但开发人员表示实际上VLC中并不存在这个漏洞，而是在16个月前被替换的模块中。根据VLC开发人员Jean-Baptiste Kempf发布的推文，引起恐慌的原因是报告VLC媒体播放器中漏洞而创建的CVE没有事先联系VideoLan以澄清事实。

2、股票交易服务商Robinhood承认通过明文储存部分用户密码【外刊-阅读原文】

股票交易服务Robinhood昨晚发布公告称，该公司通过明文形式存储了一部分客户的密码，公司已向受影响的客户发送重置密码的电子邮件。经过彻底审查后，该公司没有发现任何证据表明除公司安全团队以外的任何人访问过这些信息。

3、文件共享服务WeTransfer被用于恶意垃圾邮件活动【外刊-阅读原文】

网络攻击团伙正在滥用名为WeTransfer的流行文件共享服务，以规避通过屏蔽URL实现垃圾邮件防御性的电子邮件网关。研究人员观察到攻击者使用这种技术针对银行、电力和媒体行业的攻击有所增加。

4、继Firefox之后 谷歌亦在Chrome与Android中拉黑DarkMatter证书【阅读原文】

早些时候，Mozilla 已率先宣布拉黑一家被指控销售监控工具和黑客服务的阿联酋公司的根证书。现在，谷歌也作出了跟进，在 Chrome 浏览器和 Android 移动操作系统中拉黑了 DarkMatter 的证书。禁令生效后，由 DarkMatter 销售或发布的 TLS 证书加密和签名的 HTTPS 连接，将在 Chrome 浏览器和 Android 引用程序中显示与安全相关的错误提示。

5、NSA泄露工具被用来传播加密货币挖矿机【阅读原文】

近期，研究人员发现了一起融合了针对性攻击工具和常规网络犯罪的大规模攻击活动：攻击者使用了之前在针对性攻击中使用的复杂攻击来传播加密货币挖矿机和勒索软件这样的典型恶意软件。在该案例中，攻击者使用了Shadow Brokers（影子经纪人）从Equation组织处窃取的工具包来入侵大量运行过时Microsoft Windows OS的机器。使用高级工具来传播不同类型的恶意软件是最近恶意软件发展的一个趋势。BlackSquid就使用了大量知名的漏洞利用和漏洞来释放加密货币挖矿机。

【优质文章】

1、“百度搜不到的技术点”：静态二进制注入【阅读原文】

网络安全是围绕“漏洞”展开的，针对漏洞的捕捉、利用、修补构成了黑客的江湖。那些功成名就、挖洞无数的大佬回顾自己走过的路，多少都有些李寻欢站在关外雪原回忆自已一生戎马征程的感觉。就像毛贼与巨枭一样，漏洞也分三六九等。带大家科普一下通用漏洞评分系统简称CVSS，作为网络安全行业的公开标准，CVSS被设计用来评测漏洞的严重程度，从0.0到10.0的级别对漏洞进行评分，这其中又主要分为三级。

2、APT34利用LinkedIn钓鱼，其武器库中再添三类恶意软件【阅读原文】

APT34被认为是一个为伊朗的国家利益服务的黑客组织，主要侧重于网络间谍活动，至少从2014年开始就一直处于活跃状态。这个组织已经广泛地针对各个行业，包括金融、政府、能源、化工和电信，并且主要集中在中东地区。随着中东地缘政治紧张局势的加剧，伊朗对战略情报的需求也变得越来越迫切。我们预计，伊朗在未来将大幅增加网络间谍活动的规模和范围，且很可能从政客和核心组织入手来填补这一空白。这一点从其恶意软件和基础设施的增长上就可以明显看出。

3、利用DNS隧道构建隐蔽C&C信道【阅读原文】

无论是高级持续性威胁(APT）、僵尸网络(Botnet)，还是勒索软件、后门等，命令与控制信道(C&C)都是其重要组成部分，尤其是APT和僵尸网络中的C&C信道决定了其威胁程度。学术界和工业界就C&C方面的研究已逐渐深入，目前网络战格局逐渐形成，公众对网络安全逐渐重视，网络空间中的攻防双方持续较量。

*本文内容收集自全球范围内的媒体与刊物，制作者对其完整性负责，但不对其真实性和有效性负责。

*标注为【外刊】的内容主要来源为英语国家的媒体与刊物，部分内容需要注册免费账号后方可阅读。