照片来源:Rene Reichelt.

最高安全和隐私新闻:扰乱位Vol。36.

500k的起搏器召回,飓风受害者目标,S3失败了。

这是加扰的位每周时事通讯,在安全,隐私,加密,技术和法律交叉口时快速摘要。

最佳故事

召回了五百万起搏器

心可以被黑攻击 - 如果你有一个起搏器。周二,由于安全问题,FDA召回了465,000名医疗器械。你可能会回忆起早期的炒位故事Pichaker制造商Abbott,以前称为圣裘德医疗,有一些令人讨厌的安全问题。当在宣布安全问题之前,揭开缺陷的研究人员越过一些道德灰色地区。

圣·耶德否认当时有任何真正的问题。从那时起,其他研究人员证实了问题的严重性,并在1月份FDA推出了咨询。现在,近一年在原来的缺陷出版后,FDA命令大规模召回。

对于那些上市者制造的起搏器的人来说,缺陷是可怕的,尽管他们因需要对受害者的需求而减轻。安全问题的修复是一个固件更新,大约需要三分钟并且不需要手术,因此如果您认识有其中一个的人,鼓励他们预约已安装修复程序。

力量黑客

黑客变得越来越强大。一个名为Sandworm的黑客组,被认为是在俄罗斯的运营中,在多次向美国电网上获得运营访问。这些黑客可能会阻止能源流向城市和家园。

报告电网攻击据报道,尽可能遥远。从那以后,攻击次数发生了严重的上升,最值得注意的是2017年上半年。

2015年底,乌克兰的第一个已知的黑客停电将在美国网格中发现妥协意味着我们可以接下来。

由Struts漏洞击中

Apache Struts的漏洞可能会影响Fortune 500的65%。该漏洞允许攻击者远程执行使用REST插件运行应用程序的服务器上的代码。尽可能靠近2008年的支柱版本受到影响。

Apache Struts简化了Java前端和后端应用程序中的Web应用程序的创建。仅使用Web浏览器,攻击者可以远程访问服务器运行代码并执行任何命令。漏洞可能允许攻击者访问和抵消敏感数据。

Apache在周二发布了一个完整的漏洞,但在修补他们的系统之前,公司将仍然脆弱。

诈骗者目标飓风哈维受害者

无情的诈骗者正在攻击飓风哈维幸存者,试图伤害他们两次。仿佛记录破碎降雨,死亡率,化学爆炸和销毁的家园是不够的,居民正在接受调用警告,他们的洪水保费已经超过到期,如果没有立即支付,则不会损害损害。不用说,应该忽略这些呼叫,我们希望肇事者能够得到他们的东西。

政府

执法者反对创造隐私和适当使用的政策

在加利福尼亚州,两项法律要求执法执法,为牌照读者和手机拦截者创建隐私和适当的政策。拟议的新法律将扩大对其他监测技术的要求,如面部识别,社交媒体“洗涤器”和生物识别仪扫描仪。不幸的是,执法群体反对常识措施,可能正在杀害它。

更新:尽管走过参议院和两个大会委员会,拨款委员会杀了这项法案

一个新的反加密火炬持票人

自从Crying以来,在政府中加密后门的领先冠军被解雇了,我们没有听到很多关于在卫生执法使用软件中的噪音。到现在。副司法部长罗森斯坦拿起毒性火炬。

“我希望科技公司能与我们合作,阻止犯罪分子击败执法部门。否则,立法可能是必要的,“他说。他继续致电加密“对公共安全的新威胁”,这很有趣,因为加密是让数据在线安全的唯一物品。这是保护从网上银行到遥控器的所有内容的东西。弱化加密对个人自由不仅糟糕,对国家安全和对美国经济引擎的威胁也很糟糕。

中国以“安全”的名义要求知识产权

一个新的中国网络安全法律授予中国政府要求在中国边界内运营的任何技术公司的源代码和机密数据的权力。众所周知,中国偷窃美国公司的源代码等知识产权,并将其送到中国公司过去,因此举动是高度嫌疑人。它还可以使其政府成为在外国软件中寻找漏洞的优势。公司留下了两个不好的选择:放弃了世界上最大的市场之一,或者使中国政府前所未有的知识产权和商业秘密。

合法的

第五修正案Runaround.

提供密码和解锁设备在法庭上不是同一件事。根据所有撰稿法案,美国公民必须诉讼执法。FBI使用全部撰写在San Bernadino案例中对抗Apple,并且在这种情况下再次。

拒绝解放他的硬盘的男人认为,第五修正案可以保护他提供潜在的自我归档信息。但检察官通过以下方式规避第五修正案保护:

  1. 要求他解锁设备而不是分享密码并通过所有撰写法案引人注目。
  2. 第五修正案的措辞是“[没有人]应在任何刑事案件中被迫成为一个人的见证人。”因此,检察官这里避免将他称为“证人”裙子。如果他不必承担见证,第五修正案没有,从理论上没有,触发。

案件正在前往最高法院。被告已经在监狱两年藐视法庭。通常的句子是18个月。而且整个问题都是被被告在硬盘驱动器上有儿童色情制品的强烈可能性的强烈可能性。

CA警方必须披露牌照数据

该部门否认了La警察局收集的ACLU和EFF用于牌照数据的要求。ACLU和Eff呼吁再次上诉,并在加州最高法院赢得了。裁决是大规模监测数据不值得加利福尼亚州的公共记录请求的广泛例外,因为它与a无关具体的调查,因为数据可以是匿名的。

更多S3失败

通过S3泄漏另一个大规模的数据

600GB关于时代华纳有线客户的敏感数据被发现在公共亚马逊S3桶中暴露。请为怜悯的缘故,如果您公司有AWS账户,请阅读我们的文章如何检查公共桶

老虎湾军事承包商公开恢复

记住这一点常设岩石活动家监测?这个故事有黎尔德的时候承包商被指控违法。现在,同样的承包商暴露于截至9,400名属于前军事,执法,政府雇员寻找工作的恢复。数据包括家庭地址,电话号码,电子邮件地址,驾驶执照号码,护照号和社会安全号码。令人惊讶的没有:全部在公共S3桶中找到。

值得注意的漏洞和违规行为

  • 海豚- 所有主要的语音助理,包括Siri,Alexa和Google,响应以超声波频率播放的语音命令,这些命令对人类无法侦测。攻击者可以告诉您的设备在没有您了解它的情况下进行任何数量的事情。
  • Instagram问题- 声称600万instagram账户被黑客攻击略微夸张,但并不是假的。Instagram API允许攻击者检索电子邮件地址,有时是特定Instagram帐户的电话号码。这些攻击者已经提取了许多名人的数据,并每次记录10美元销售它。虽然业主现在正在增加网络钓鱼的风险,但账户被视为攻击的一部分。
  • bootstomp找到了Android缺陷- UC Santa Barbara的研究人员创建了一个工具,他们调用BootStomp,在各种Android引导程序中发现了六个新的缺陷。缺陷规避信任链,可以允许攻击者执行任意代码。
  • 礼品卡猜测- 事实证明,许多礼品卡使用附加短验证代码的可预测数序列。攻击者可以猜出其他卡的数量,并找出哪些人有钱。攻击很简单,防御大多是无效的匪徒。
  • 西门子的“徽标!”逻辑控制器- 西门子的标志!是一个逻辑模块,专为工业自动化项目而设计,如门控制系统,空调系统和雨水泵。这些控制器有一对严重的缺陷,其中一个已被固定。用户应立即更新固件并留意更多更新。

新闻的底部

  • Mongo Messups.- MongoDB的早期版本的不安全默认设置继续咬流的数据库软件的用户。新的攻击浪潮导致了超过26,000个新数据库的妥协。攻击者正在赎回比特币的数据。其中一个数据库包含三年的白血病患者数据。
  • 警方射频劫持- 突出的海盗广播公司作为一名警察造成警察追逐上周在澳大利亚终止。警方稍后抓住了汽车追逐嫌疑人,但仍在狩猎广播海盗。
  • Marcus Hutchins(“Malwaretech”)更新- Marcus Hutchins,Aka Malwaretech,过去几年一直是白帽安全研究员。他在迪德康会议上送回英国时,他在内华达逮捕了通过安全社区涟漪。许多人不相信收费,甚至捐赠给国防基金。现在,安全记者Brian Krebs发现,最重要的是,在他的青少年时,哈钦斯花了一些时间作为黑色帽子黑客。
  • 酒店房间黑客抓住了- 通常当研究人员通知公司有关漏洞时,这些公司释放修复。但在广泛使用的密钥卡锁在酒店门上,制造商无法想象一种更新设备的方法。因此,一个在互联网上遵循一些方向的进取的窃贼能够在美国酒店客房窃取超过500万美元的商品。
  • 最糟糕的版权裁决- 公平使用学说在裁决违法的裁决中拍摄了另一个击中。一名妇女拍摄了9秒的菲尔博士视频,以便在指控贫困行为的诉讼中使用作为支持证据。菲尔博士受版权保护的9秒内容(事实后)并试图禁止有关版权侵权的基础的证据。专利贸易型法院裁定视频不会受到公平使用和侵犯版权的保护。
  • 自由大鼠捕获- 远程访问Trojan(RAT)是用于访问网络摄像头,抓取屏幕捕获和在受感染系统上运行代码的黑客工具。黑客正在赠送一只警告的全特色老鼠 - 原作者保留了任何受感染的机器的通道。

If you liked this, please click the below. If you’re reading this in an email, please go to the article on the web first. Liking the article will help other people see it on Medium. You might also be interested in上周的摘要赞美Ironcore Labs.

订阅我们的电子邮件摘要避免缺少另一个更新。

咸哈希

建筑物安全的提示,技巧,指针和透视图......

谢谢鲍勃墙

麦迪逊soucie.

写道

慢性学习者。问题解决。探险家。创始工程师@bookclub。从持续改进中获得深刻的目的感。

咸哈希

建立安全,可测试,可维护的应用程序的提示,技巧,指针和透视图。Ironcore实验室安全与隐私的思考与观察。

麦迪逊soucie.

写道

慢性学习者。问题解决。探险家。创始工程师@bookclub。从持续改进中获得深刻的目的感。

咸哈希

建立安全,可测试,可维护的应用程序的提示,技巧,指针和透视图。Ironcore实验室安全与隐私的思考与观察。

中等的是一个开放的平台,17亿读者来寻找洞察力和动态的思维。在这里,专家和未被发现的声音相似地潜入任何主题的核心,并将新的想法带到表面上。学到更多

遵循对您有关的作家,出版物和主题,您将在您的主页和收件箱中看到它们。探索

如果您有一个故事来讲述,知识分享,或者提供提供的视角 - 欢迎回家。很容易和免费发布您对任何主题的思考。写在中等的

获取媒体应用程序

一个按钮,称“在App Store上下载”,如果点击它将导致您到iOS App Store
一个按钮说'获得它,Google Play',如果点击它将导致您进入Google Play商店