【CMIC讯】政策法规
 
    美国政府推出code.gov  提供政府代码开源库。11月7日消息，美国政府推出code.gov，要求政府机构在该网站发布20%的定制代码作为开放源码。Code.gov是一个汇总网站，罗列可访问项目，其源自13家机构提供的代码。目前在列的项目有美国国家航空航天局（NASA）Trick仿真环境以及analytics.usa.gov提供技术支持的分析代码。此外，美国政府还会考虑GitHub资源库。美国首席信息官Tony Scott表示，他希望code.gov的启用为政府内外的开发人员提供有用的代码。美国人事管理局的Google分析数据统计（Google-analytics-data-cruncher）和白宫的请愿组织报告（petition-organising repo）必定具有很广泛的适用性。
 
    欧盟欲立新规对付硅谷巨头。11月7日消息，德国总理默克尔4日在慕尼黑发表的相关科技领域的一次演讲中表示，谷歌、Facebook等新闻网站所用的搜索引擎，实际上在制造另一个“棱镜计划”。默克尔表示，这些公司在构建算法方面应该保持透明，以便于让读者和观众理解。因为这些公司以非常私密的方式保护算法调整结果，却用来记录用户的个人喜好，从而选取用户偏爱的新闻。而事实上，这也让用户们的视角正在受到严格限制。而外界认为，默克尔的这一演讲正是因为她打算改变美国科技巨头支配欧洲的局面。
 
    俄罗斯建立“反黑客中心”。11月8日消息，俄罗斯非营利组织俄罗斯技术国家集团（Rostec）建立了“反黑客中心”，目的是预防和防止受到网络攻击。俄罗斯技术国家集团是一个成立于2007年的国营非营利组织，总部位于俄罗斯首都莫斯科，目的是推动高新技术工业产品在民用和国防领域生产和出口。该组织汇集了663个实体，形成了13个控股公司，为全球70多个国家供应商品。反黑客中心会有信息安全专家团队全天候监测国防计算机是否异常，并对企图进行网络攻击的行为进行迅速反应。切断可能泄露的信息源，同时检测网络攻击的来源，做出预判。
 
    FBI八天评估65万封电子邮件。11月9日消息，有网友在问答网站Quora上提问：美国FBI只用了8天时间就完成了65万封电子邮件的评估，他们拥有什么软件可逐字逐句地扫描邮件吗?技术专家Nipun Sher给出了答案：清除那些与正寻找的信息不相关的电子邮件，就可以完成65万封邮件的评估。FBI有很多方法可以减少应被评估电子邮件的数量，这涉及到各种法医和调查工具。现在还不知道FBI的具体工作流程，但可以提供潜在方案能够大幅削减评估电子邮件数量。
 
    爱尔兰政府本周三就苹果罚单向欧盟提起上诉。11月9日消息，爱尔兰财政部长Michael Noonan将于本周三就苹果130亿欧元(约合144亿美元)罚单向欧盟法院提起上诉，并有可能引发多年的诉讼。与此次爱尔兰上诉类似，位于卢森堡的欧盟普通法院在过去一年间收到多起成员国政府和公司的上诉，这些上诉均指向税收裁定，认为欧盟插手成员国税收裁定有失妥当。前不久欧盟对苹果的罚单是有史以来最大金额的国家援助回收案例。本周二Noonan在布鲁塞尔欧洲议会上说：“爱尔兰政府根本不同意欧盟委员会的分析，这一决定让爱尔兰政府别无选择，只能向欧盟法院提起上诉。上诉将在明日正式提交。”
 
    产业安全
 
    欧洲黑帽大会：小心手机被物联网设备入侵。11月7日消息，在欧洲黑帽大会（Black Hat Europe）上，黑客演示Belkin WeMo设备窃取安卓手机的图片并监控手机位置。物联网已经被用来发起最骇人听闻的DDoS攻击，甚至攻击者还可利用物联网攻击手机。Belkin WeMo设备（电子开关、照相机、灯泡、咖啡机、空气净化器等）中存在的漏洞使得研究人员不仅可以入侵设备，还能攻击运行APP（控制WeMo设备）的安卓手机。 研究人员Scott Tenaglia表示，“这是我们第一次发现物联网设备入侵其它设备的实例”。
 
    为保用户安全  Facebook要从黑客手上回购密码。11月10日消息， 本周三在里斯本的互联网峰会上，Facebook首席安全官斯塔姆斯解释了Safety和Security这两个容易混淆的概念，后者是要建一堵防火墙来隔绝威胁，而前者所设计的范围则要比后者广泛得多。“我们虽然可以搭建密不透风的安全软件(即Security)，但用户还是会上当受骗。”斯塔姆斯说道，“用户简单到要死的密码就是我们最为头疼的问题。”为了防止用户落入密码过于简单的陷阱，Facebook需要经常进行排查。斯塔姆斯表示，有时他们不得不在黑市上回购一些密码来验证用户的账号是否安全。这种做法虽然要耗费大量的计算能力，但它确实有效，Facebook已经帮数千万用户排查出了他们密码的弱点并及时提醒用户修改。
 
    聊天机器人大战：AI黑客正接管网络安全。11月11日消息，据Singularityhub报道，谷歌已经开发出能够自创加密算法的机器学习系统，这是人工智能(AI)在网络安全领域取得的最新成功。谷歌位于加州的AI子公司Google Brain通过神经网络之间的互相攻击，实现了最新壮举。他们设计出两套分别被称为鲍勃(Bob)和爱丽丝(Alice)的神经网络系统，它们的任务就是确保通讯信息不被第三套神经系统伊芙(Eve)破解。没人告诉它们如何加密信息，但鲍勃和爱丽丝被给与共享的安全密匙，而伊芙没有。在大多数测试中，鲍勃与爱丽丝能够迅速找到安全的通讯方式，使得伊芙无法破译密码。从可能性方面看，这些方法远比人类设计的最好的方法还要复杂得多。但是由于神经网络以不透明的方式解决问题，因此很难找出它们是如何操作的。
 
    谷歌回应欧盟垄断指控：Android促进了市场竞争。11月11日消息，谷歌总法律顾问10日表示，Android系统促进了市场竞争，而非阻碍竞争。此前欧盟反垄断部门指称，谷歌利用Android平台排挤竞争对手。一周前，谷歌否认了欧盟提出的另两项指控，即谷歌在搜索广告中对自主购物服务有倾向性，不利于竞争对手。谷歌总法律顾问肯特•沃克(Kent Walker)在博客中发表了这一观点，他表示：“我们今天做出的回应表明，Android生态系统在用户利益、开发者、硬件厂商，以及移动运营商之间进行了谨慎的平衡。Android没有破坏竞争，而是促进了竞争。”他指出，这起案件被歪曲，因为欧盟反垄断部门没有看到，苹果iOS是Android的竞争对手。“如果忽略了与苹果的竞争，那么就是没有看到当前智能手机市场竞争中一个决定性的特点。”
 
    网络安全技术
 
    新型DDos攻击：利用LDAP服务器实现攻击放大。11月7日消息，上周发现一种新型DDoS攻击媒介针对其客户发起攻击。这种攻击技术是一种利用轻量目录访问协议（Lightweight Directory Access Protocol，LDAP）的放大攻击，峰值可以达到Tb级别。LDAP是访问类似Active Directory数据库用户名和密码使用最广泛的协议。它是基于X.500标准的，但是比X.500标准简单并且可以根据需要定制。与X.500不同，LDAP支持TCP/IP，这对访问Internet是必须的。LDAP DDoS攻击其实是安全领域的新事物，这种LDAP协议可能会被黑客滥用，然后推动大规模的DDoS攻击。据安全专家披露，他们已经发现了LDAP DDoS攻击的实例，黑客利用了CLDAP协议中的零日漏洞来发起攻击。
 
    自动传播的蠕虫感染智能灯泡  可破坏电网。11月7日消息，一组研究人员表示，他们找到一种方法，可让自我复制蠕虫在联网灯泡间传播病毒，从而关掉灯泡，或开关数次来破坏电网。据悉，研究人员们发起的传染式攻击靠的是ZigBee无线通信协议中的一个漏洞。而使用了ZigBee无线通信协议的品牌非常广泛，甚至包括飞利浦、Hue等驰名世界的智能产品。漏洞发现人员在网上发布了“自动攻击工具包”，这个工具包的使用门槛非常低，就算是技术小白也可以轻易地发起类似的攻击。
 
    黑客可利用4G LTE协议中断移动设备网络。11月9日消息，研究人员4日在2016欧洲黑帽大会上通过演示证明，4G LTE协议容易被黑客攻击。诺基亚贝尔实验室的研究人员在测试网络上模拟实验：从芬兰对不具名的英国移动运营商发起攻击。该研究小组发现，可以通过不同的方式利用Diameter框架中断特定用户和节点（为整个区域提供访问）的连接。该实验证明，能成功发起拒绝服务攻击。
 
    数据安全
 
    印度驻7国使馆网站数据库遭黑客泄露。11月7日消息，黑客Kapustkiy在Twitter上发贴，通过Pastebin共享网站，泄露了印度驻瑞士、马里、罗马尼亚、意大利、马拉维、南非和利比亚大使馆网站数据库。他们利用目标网站的SQL注入漏洞成功获得了数据库访问权限。据攻击者确认，许多印度大使馆网站都存在该类型漏洞。据悉，泄露的信息包括姓名、电子邮箱地址和电话号码。以上信息的泄露可能会威胁到印度外交人员的人身安全。
 
    英国乐购网上银行20000个账户遭窃。11月8日消息，英国乐购银行的40000个网上银行账户被攻破，其中一半账户中的钱被窃走。目前银行方面已经宣称将全额赔付被窃用户的损失。据悉，这家乐购网上银行共有超过700万名用户，此次事故发生后，银行方面决定暂停网络转账和支付功能直至事件得到解决，但智能卡付款系统和ATM机未受影响。
 
    维基解密泄露8千封DNC电子邮件后遭遇大规模DDoS攻击。11月8日消息，维基解密泄露民主党全国委员会（DNC）电子邮件后，其官网遭到DDoS攻击，导致网站短暂瘫痪。维基解密透露，自平台泄露新一批名为DNCLeak2的DNC电子邮件后，其公开邮件的服务器遭到大规模DDoS攻击。维基解密在Twitter上宣布，其网站短暂瘫痪，当前正在展开调查。
 
    应用安全
 
    白帽黑客发现上帝模式共享服务器数据库漏洞。11月8日消息，MySQL、MariaDB和Percona的服务器及XtraDB集群发现新漏洞，只要联动使用，共享环境中的攻击者可获取服务器完整控制权。Legalhackers的白帽黑客达吾德•古伦斯基称，该漏洞存在于MySQL、MariaDB和Percona中，可被联动使用以完全掌控服务器。拥有本地数据库检索、插入或创建权限的用户，可利用此漏洞执行任意代码并将自身账户权限提升到系统用户。系统用户权限下，服务器上所有数据库尽在掌握，并可结合其他两个已有补丁的漏洞来获取rootshell。获得服务器上所有数据库的访问权。利用通用漏洞攻下网站并取得低权限立足点的外部黑客，也可利用这些漏洞来将权限提升至上帝模式。
 
    曝iOS存在缺陷  黑客可强制iPhone拨打收费电话。11月10日消息，据在iOS中发现该缺陷的安全研究人员科林•穆林纳(Collin Mulliner)称，黑客可以借助苹果App Store应用商店中的消息应用，利用该缺陷对iPhone发动攻击。在与相关公司接洽遭到冷遇后，穆林纳本周在博文中披露了该缺陷。缺陷存在于名为WebView的iOS组件中，WebView使开发人员能利用苹果内置Safari浏览器，在他们的应用中显示基于Web的内容。据穆林纳称，“发动这种攻击很简单，任何人都可以实施”。黑客只需要向用户发送一个指向包含有恶意HTML代码网页的链接即可。用户点击链接后，代码就会执行，用户手机就会拨打黑客指定的电话。

责任编辑：拂晓晨风