图片来源:艾克Klingspohn

最高安全和隐私新闻:扰乱位Vol。34.

Supremes要求审查监督,HBO的困境,Salesforce Sacks Def Con Presenters等等

这是加扰的位每周时事通讯,在安全,隐私,加密,技术和法律交叉口时快速摘要。

最佳故事

最高法院鼓励审查FISA第702条

电子自由基金会(EFF)、民主与技术中心和新美国开放技术研究所提交了一份法庭之友简报,要求最高法院复审第九巡回法院就国安局大规模监视美国公民的决定。

问题是外国情报监测法案(FISA)的第702条,其中NSA可以侦听涉及美国公民的国内对话,如果任何一个参与者都是国外的外国人。第九次电路认为,可以由执法部门使用的大量的公民数据收集到“偶然的夸张”,并在法庭上受理。eff和朋友不同意。

我们已经分解了简介的关键点在单独的帖子中最引人注目的论点

联邦政府想要反特朗普的名字和数字

用于组织反特朗普抗议的网站现在是特朗普司法部的目标。该网站不指责任何不法行为,并仅仅发布了关于就职日期的抗议活动的信息,但司法部已向该网站托管提供商,Dreamhost提供了有关该网站130万游客的信息。

It’s seeking the records of every single contact with the site — the IP address and other details of every American opposed enough to Trump to visit the site and explore political activism… The government has made no effort whatsoever to limit the warrant to actual evidence of any particular crime. If you visited the site, if you left a message, they want to know who and where you are — whether or not you did anything but watch TV on inauguration day

花哨的熊只是在办理登机手续

所谓的俄罗斯黑客组织“花式熊”(Fancy Bear)最近又抬头了,他们入侵了欧洲7个国家和中东一个国家首都的酒店wifi网络。他们的目标是住在中等高端酒店的高价值受害者。

该组织利用标准的钓鱼攻击在酒店网络上获得了一个立足点,然后利用美国国家安全局泄露的“永恒之蓝”漏洞在酒店网络中传播。这与最近的WannaCry和NotPetya等恶意软件爆发所使用的漏洞相同。一旦攻击者控制了酒店的wifi,他们就会安装伪造的Windows文件和打印机共享,毫无防备的电脑就会自动连接到这些文件和打印机。这些计算机将它们的网络证书发送给假股票,假股票会捕获它们并将它们发回Fancy Bear。密码是散列的,但可以离线破解。所有这些都发生在后台,受害者没有看到任何不寻常的事情,也没有键入他们的凭证。

这个故事的寓意是熟悉的:要小心公共WiFi,使用VPN或自己的热点,并使用强密码。

政府

Def Con技术现在由五角大楼使用

可以修复自己的机器?如果你对自己的想法,“不是在这一生!”,你可能想要重新考虑。去年,一台自修机在Def Con的网络大挑战黑客竞争中亮相。

今年,五角大楼舀起来。该机器旨在检测,修补和利用应用程序代码中的现有漏洞。五角大楼已向这项技术签署了两年的承诺,并将使用该机器在美国军方使用的操作系统和其他程序中找到代码缺陷。

17岁的黑客空军,使$$在做

黑进空军是由国防部推出的计划,允许邀请黑客试图在关键空军网络中找到漏洞,如果找到关键问题,就会支付黑客Bug奖金。空军的计划吸引了271名安全研究人员,他们共有207个安全漏洞。这些漏洞中的九个被归类为批评。

今年顶级收入只有17岁。青少年通过查找和报告30个安全漏洞,总共折腾了130,000美元。

社区正在加强监督警察监督

西雅图和洛杉矶正在采取措施阻止当地警方的秘密监督。在西雅图,该举动要求市议会批准Thingrays等新的隐蔽监控设备。在L.A.,理事会投票赞成要求民事监督无人驾驶计划。警长部门提出扩大无人机无人机的使用,安理会不仅拒绝了该提案,而且致力于避免使用无人机。

最后的判决:西海岸正在为城市监测的更多民用和当地控制铺平道路。

隐私

前英国间谍老板背部加密

许多人会认为,以前的间谍老板会倡导数据透明度(AKA大规模监视很容易),但埃文斯主并不适合该模具。他最近支持强烈加密,说:

虽然可以理解的是对反恐怖主义的令人敏锐的关切,但这不是我们所面临的唯一国家安全威胁。我们应该被视为非常重要的是,并成为人们可以安全运作的国家 - 这对我们的商业利益以及我们的安全利益很重要。加密在该上下文中是非常积极的。

我们倾向于同意。

Android库升级应用程序权限

开发人员尽量不要重新发明轮子,因此他们利用图书馆。在Android系统上,如果两个应用程序使用相同的库,则该库将获得两个应用程序中较大的权限,这意味着具有较少权限的应用程序将具有比应该更多的访问权限,这可能包括GPS位置等信息,浏览信息等等。通过这项研究发布而且没有修复谷歌,Android用户必须更加谨慎了解他们允许的应用程序。

更新

更多节目,但没有掌袋游戏

史密斯先生,黑客从HBO偷了Terabytes的黑客的Nom-d​​e-guerre正在玩得很难得到。这个星期天,如发条,史密斯先生揭露了更多的被盗数据。数据转储包括来自HBO高管提供的消息史密斯先生,如果黑客延迟数据转储,则伪装为“Bug Bounty”。显然,这不起作用。史密斯先生要求“相当于[HBO Execs']薪水六个月的薪水” - 媒体认为的东西超过600万美元的要求赎金。与此同时,黑客尚未泄露一个掌声的剧集。

卡巴斯基和微软接吻和化妆

记得卡巴斯基,防病毒卖方由美国政府监督俄罗斯人举行?他们去年向微软提出反垄断投诉。微软制作了竞争的反病毒产品,并使用他们的立场来确保它始终跨升级工作,而对操作系统的变化经常破坏竞争竞争AV产品。

微软在微软同意与第三方防病毒供应商同意享受很好的话,通过让他们有机会在其他优惠之前让他们的产品与更新进行更新。

值得注意的漏洞和违规行为

  • AV笼赛- CarbonBlack和它在反病毒领域的许多竞争对手一样,提供了一个可选的非默认功能,可以将未知文件上传到一个名为VirusTotal的服务上,该服务由谷歌运行。该服务将扫描文件与许多反病毒扫描仪,看看他们中任何一个认为该文件是恶意的。该服务还提供对其API的订阅访问,允许订阅者查看上传的文件。一家竞争对手的安全公司发表了一篇博客文章,指责CarbonBlack是“世界上最大的付费数据泄露僵尸网络”,因为该公司发现一些CarbonBlack用户正在向VirusTotal上传敏感文件。这导致两家公司之间的口水战不断升级。底线是:在启用将文件上传到云端的功能时要谨慎。
  • 十七号USB邻居- 安全研究员证明,可以查看来自相邻端口的USB端口上的电压波动。该技术可用于监视数据和日志击键。例如,通过USB连接器连接到计算机的灯可以记录相邻USB键盘的每个击键。
  • 密码太容易被破解- 在另一种方便的情况下,安全性,Dropbox,Amazon和Google允许用户创建由一遍又一遍出的一个字符组成的密码。不要把我们的话语拿走,试试看。第二次想法,别。更多来自研究发现在这里
  • 谷歌给Schoolboy 1万美元- 乌拉圭的高中学员偶然发现了Google的App Engine中的严重错误,只需通过更改请求的“主机”HTTP标头来允许访问Google的内部项目管理系统。服务器的内容应该只对谷歌员工可见。发现从谷歌的Bug Bounty计划中降落了青少年的10千万美元。
  • 杜松应该切换phpJuniper Networks警告用户,某些版本的JunOS包含高风险的安全漏洞,来自于设备上与PHP捆绑的图形库。

新闻的底部

  • Salesforce高级安全工程师被解雇后被解雇- Salesforce的两个高级安全工程师都有来自Execs的绿灯,在他们用于开展内部安全审计的工具上谈论Def Con Hacker会议。在他们的演讲之前,Salesforce Exec通过短信告诉他们,以中止他们的谈话。在谈话时,他们没有收到消息,然后再被同样的exec发射。毋庸置疑,Salesforce现在在安全社区中有一个非常大的黑眼圈,两位安全工程师有一系列来自公司的优惠。
  • 黑客基因- 研究人员通过将恶意软件编码成DNA的物理链来使用DNA来破解计算机,损坏基因序列分析仪,并可控制底层计算机。
  • 聪明的锁已经死了一些智能锁在制造商试图通过无线更新固件失败后变得无用每台设备469美元,这不是一个小故障。制造商把大部分花哨的设备卖给了AirBnB的房东。我们祝那些又开始把钥匙藏在门垫下的airbnb用户好运。
  • 父母为迪士尼带来课堂行动-大量迪士尼主题游戏,如《迪士尼公主宫殿宠物》、《星球大战:谜机》和《海洋奇人》收集了13岁以下儿童的大量行为数据,并将其出售给第三方。在美国,这与儿童在线隐私和保护法案(COPPA)相冲突。这对父母要求陪审团审判,并要求迪士尼和几位合作伙伴赔偿损失。
  • Couchpotato - 一个名为CIA工具的恰当-拱顶7.中情局的数据被泄露,这是维基解密的功劳。美国中央情报局(CIA)即将公布的最新工具名为“沙发土豆”(CouchPotato)。CouchPotato只是从监控摄像头中获取流媒体视频并将其捕捉到磁盘上。根据手动的,中央情报局操作员使用命令行界面将Couchpotato指向视频流的URL;然后工具休息。在许多情况下,使用的URL可公开访问,但需要攻击者了解URL。

If you liked this, please click the below. If you’re reading this in an email, please go to the article on the web first. Liking the article will help other people see it on Medium. You might also be interested in上周的摘要赞美IronCore实验室

订阅我们的电子邮件摘要避免缺少另一个更新。

咸哈希

关于构建安全的提示、技巧、指针和透视图…

多亏了鲍勃墙厄尼特纳, 和帕特里克沃尔斯

麦迪逊soucie.

写的

慢性学习者。问题解决。探险家。创始工程师@bookclub。从持续改进中获得深刻的目的感。

咸哈希

关于构建安全、可测试、可维护的应用程序的提示、技巧、指针和观点。来自IronCore实验室的关于安全和隐私的想法和观察。

麦迪逊soucie.

写的

慢性学习者。问题解决。探险家。创始工程师@bookclub。从持续改进中获得深刻的目的感。

咸哈希

关于构建安全、可测试、可维护的应用程序的提示、技巧、指针和观点。来自IronCore实验室的关于安全和隐私的想法和观察。

媒介是一个开放的平台,17亿读者来寻找洞察力和动态的思维。在这里,专家和未被发现的声音相似地潜入任何主题的核心,并将新的想法带到表面上。学到更多

遵循对您有关的作家,出版物和主题,您将在您的主页和收件箱中看到它们。探索

如果你有故事要讲,有知识要分享,有观点要提供,欢迎回家。发布你对任何话题的想法都是很容易和免费的。写在媒介

获取媒体应用程序

一个按钮,称“在App Store上下载”,如果点击它将导致您到iOS App Store
一个按钮,上面写着“Get it on,谷歌Play”,如果点击它,你就会进入谷歌Play商店