FreeBuf早报，安全圈值得关注的每日大事件

【全球动态】

1.美国军方购买价值3280万美元的电子产品，存在已知安全风险

美国国防部的员工在2018财政年度购买了价值超过3280万美元的电子产品，这些电子产品已被证实存在安全漏洞。这些易受攻击的设备列表中包括Lexmark打印机、GoPro相机和Lenovo电脑。[外刊-阅读原文]

2.微软因投资涉对巴监控的以色列面部识别公司受到抨击

微软因资助以色列面部识别公司AnyVision而受到抨击，该公司的面部识别技术据称正被用于对巴勒斯坦人进行监视。AnyVision还在为俄罗斯和香港提供技术，危害当地的人权。[阅读原文]

3.国家互联网应急中心：2018年成功关闭772个控制规模较大的僵尸网络

从国家互联网应急中心天津分中心获悉，为有效控制计算机恶意程序感染主机引发的危害，2018年，国家互联网应急中心组织基础电信企业、域名服务机构等成功关闭772个控制规模较大的僵尸网络。[阅读原文]

4.英国大规模部署“社交媒体战”部门打击俄罗斯

英国陆军直接宣布，他们开始部署用于打击俄罗斯的“社交媒体战”部门，组建攻击网络。英国陆军军队指挥官伊万·琼斯中将在宣布组建网络时说，“我们需要发展我们的不对称优势，并将注意力集中在情报，信息操作，网络，电子战和非常规战争的编排上，” 这个英国新的特殊网络运营部门6 Division将超越军事领域的典型网络战能力，成为全面的社交媒体“信息战”。[阅读原文]

5.邮政编码或由个人地址ID取代 网友:隐私安全如何保证

日前，在由国家邮政局发展研究中心和北京大学时空大数据创新中心共同主办的“新型邮编”研讨会上，“新型邮编”建设被提上“议程”。建设完成后，未来每个人都可以建立统一且唯一的“个人地址ID（唯一编码）”。[阅读原文]

6.GitHub公布了托管平台与美国贸易管制的相关细节

最近关于 GitHub 开始限制受美国贸易制裁国家的开发者 的新闻在开发者领域引起巨大震动。为此 GitHub 回应突然断供：身不由己，无权提前通知预警 。近日 Github 官方对托管平台与美国贸易管制相关的细则发布了详细的说明。[阅读原文]

【安全事件】

1.亚马逊提供 Alexa 录音的非人工审听选项

亚马逊提供 Alexa 录音的非人工审听选项——在设置里面，点击 Alexa Privacy 选项，选择 Manage How Your Data Improves Alexa，用户可选择不要人工审听去评估录音，用户还可以通过应用或亚马逊网站永久删除所有录音数据。[外刊-阅读原文]

2.勒索软件 GermanWiper 破坏数据然后索要赎金

一种新的勒索软件正在德国扩散。被称为 GermanWiper 的勒索软件通过电子邮件传播，感染之后它不是加密文件而是用随机字符覆写文件永久性的破坏用户数据。但在破坏数据之后它还会索要赎金。但支付赎金并不能恢复数据，除非用户有离线备份，否则遭到破坏的数据不可能恢复。[阅读原文]

3.WiFi WPA3标准中发现新的Dragonblood漏洞

两位研究人员Mathy Vanhoef和Eyal Ronen在WiFi联盟为设备供应商创建的安全建议中发现了两个新漏洞，允许攻击者从WPA3加密操作中泄漏信息并暴露出WiFi网络的密码。[外刊-阅读原文]

4.网站漏洞导致超过2000名参与报道E3的记者个人信息泄漏

在参与报道了全球最大的视频游戏大会E3之后，由于组织方系统存在的安全漏洞导致大量记者的个人联系信息被公开曝光。在报告中称目前已经有超过2000人受到影响，除了各大新闻机构和媒体的记者、编辑之外，还有YouTube和Twitch等视频网站上的网红主播，以及高盛、IMDb和其他公司的工作人员。[阅读原文]

5.Apple Card用户协议禁止越狱，违者可能被封号

据Brinkwire消息，高盛(Goldman Sachs)在其网站上公布了的Apple Card信用卡客户协议，其中明确表示，如果用户越狱或者使用其他手段修改iPhone，那么Apple Card将与iPhone不再“兼容”。[阅读原文]

6.错误的 JIRA 配置导致数百家财富500强公司的数据泄露

来自国外的开发者 Avinash Jain 在8月2日时发表了一篇文章，揭露全球范围内使用非常广泛的问题跟踪软件 JIRA 由于错误的配置导致成千上万的公司泄露了内部的员工以及项目数据的问题。Jain 同时提供了如何去找出这些存在漏洞的 JIRA 系统的方法。[阅读原文]

7.StockX遭黑客攻击，暴露了数百万用户记录

运动鞋交易平台StockX上周向用户发送一封密码重置的电子邮件，但并没有说明原因。一位未透露姓名的数据卖家向媒体透露，黑客在5月份从网站上窃取了680多万条记录。卖家提供1000条数据样本，经证实这些信息确实是真实的。[外刊-阅读原文]

8.Turla仍然活跃，新版本采用Topinambour技术

2019年，Turla积极更新了其武器库。它的开发人员仍然使用熟悉的编码风格，但他们正在创建新的工具。例如：“Topinambour”（又名Sunchoke – the Jerusalem artichoke)）及其相关模块。这是该工具的 .NET恶意软件开发人员自己将其命名为Topinambour的。[阅读原文]

【优质文章】

1.重新构想网络杀伤链，引入“认知攻击循环”概念

网络空间的防守方应该意识到，网络攻击是一个循环（认知攻击循环Cognitive Attack Loop）而不是一个链。这个循环有三个主要阶段：侦察和渗透; 维持和操纵; 执行和数据窃取（渗出）。[阅读原文]

2.等保2.0高风险项判定汇总

前不久（7月14日）网上发布了《网络安全等级保护测评高风险判定指引》，并计划于2019年10月1日起施行。看到后，第一感觉，好贴心哦，还告诉你哪些是重点，要怎么改。看完后感觉，这是要我们半条命么？无论怎样，该重点关注的还是要去关注，做好安全工作。[阅读原文]

3.褚健：工业互联网安全必须引起高度重视

褚院长在演讲中强调，现在工业信息化安全、网络安全的确是一个大的问题，必须引起高度重视，国家工控安全的体系，特别是国家重大基础设施、或者是核心基础设施的控制系统如果说被攻击了，不仅仅导致了企业内部的损失，甚至可以导致国民经济的混乱，也会危及国家的安全。以下为褚院长演讲全文，以飨读者。[阅读原文]

4.工业互联网安全防护背后的程序安全

在如今的网络时代下，工业互联网这张大“网”将工业产业生态环境里的一切资源、设备、数据、知识、经验和人愈发紧密的联结起来，同时也在无意间“网罗”到各类恶意威胁，并在工业互联网环境下衍生出新的网络安全问题。[阅读原文]

*本文内容收集自全球范围内的媒体与刊物，制作者对其完整性负责，但不对其真实性和有效性负责。

*标注为【外刊】的内容主要来源为英语国家的媒体与刊物，部分内容需要注册免费账号后方可阅读。