战略政策

新加坡通过《防止网络假信息和网络操纵法案》

发布时间：2019年05月09日

新加坡国会8日晚通过《防止网络假信息和网络操纵法案》，使政府有权要求个人或网络平台更正或撤下对公共利益造成负面影响的假新闻。

新法生效后，政府可以责令发出假信息的网站做出更正或撤下，不愿遵守指示的网络平台可被判罚款高达100万新元（约合500万元人民币）。恶意散播假信息、企图损害公共利益的个人，可被判坐牢长达10年、罚款最高10万新元（约合50万元人民币）。

另据报道，为落实该法案，新加坡通讯及新闻部下属的资讯通信媒体发展局将专设办事处，在出现假信息时为相关领域的部长提供技术咨询，确保不同政府部门应对假信息时行动一致，并监督科技公司是否落实部长发出的更正或撤销假信息指示，以遏制网络假信息的传播。

新加坡通讯及新闻部长易华仁在国会表示，政府将同科技公司合作制定相关行业守则，包括要求网络平台进行身份验证，防止人们滥用账号，确保政治广告来源透明以及优先呈现可信内容。

他表示，新法案将提供一套精确措施，应对网络时代的假消息。但他同时强调，打击假消息不能单靠执法，教育也是重要环节。

（来源：新华社）

G7集团将于6月模拟跨境网络攻击

发布时间：2019年05月14日

据外媒报道，法国官员于5月10日表示，西方主要工业大国将于6月首次联合模拟一场针对金融业的跨境网络安全攻击。

法国央行负责金融稳定的总干事Nathalie Aufauvre表示，此次演练是在法国担任G7集团轮值主席国期间，由法国央行组织。演练将在金融业广泛使用的技术组件被恶意软件感染的情况下进行。

Aufauvre在银行的网络安全会议上表示，欧洲央行（European Central Bank）和英国央行（Bank of England）等机构已经进行了此类测试，但6月的演练将是G7层面的首次跨国演习。为期三天的演练将展示此类攻击的跨境影响，将涉及7个国家的24个金融部门，包括央行、市场当局和财政部。法国、意大利、德国和日本的私营部门代表也将参加。

IBM最近的一项研究显示，金融业受到的网络攻击占网络攻击总数的19%。近年来，许多国家加强了对银行和保险公司的监管。法国和德国等国的金融监管机构表示，G7集团以外的一些国家的要求相对没有那么严格，这促使一些企业将业务迁至这些国家以削减成本。

（来源：E安全）

欧盟安全信息系统即将迎来全面联网

发布时间：2019年05月17日

5月14日，欧洲议会完全采纳了欧盟委员会关于弥合边境及移民安全管控中信息安全缺口的建议。

目前，关于安全及边境管控的大量欧盟信息系统都互不联通。因为长期以来信息系统各自为政，罪犯及恐怖分子往往仅需使用多个身份即可混过检测，欧盟一直担心内部互通能力的缺失可能会为欧盟安全带来较高风险。

联网系统的推出将见证欧洲搜索门户的创建，使边防部队和警察能够在一个界面上就可通过欧盟信息系统即时核验身份证明文件，无需再在多个数据库之间来回切换。系统还将推出共享生物特征识别匹配服务，实现跨现有信息系统的指纹和人脸识别，并创建通用身份库，存储非欧盟公民的履历数据。

安全联盟专员Julian King在媒体发布的声明中评价道：随着内部互通成为司法现实，我们信息系统中现存的盲点将很快被清除一空。

委员会的提案将使得以下三个现有系统互联：1.申根信息系统（SIS）——与犯罪分子、恐怖分子和失踪人口相关的物品和人员信息数据库。2.欧洲难民指纹数据库（Eurodac）——不定期跨越欧盟边境和不正常滞留欧盟的庇护申请人及第三国国民指纹数据库。3.签证信息系统（VIS）——短期签证信息数据库。

委员会提案还会使以下3个系统也实现联通：1.出入境系统（EES）——跨越欧盟边境的第三国国民出入境信息数据库。2.欧洲旅游信息及授权系统（ETIAS）——免签非欧盟公民的旅行前安全及非正常移民筛查信息数据库。3.欧洲犯罪记录信息系统(ECRIS-TCN)——用于交换在欧盟定罪的非欧盟国民信息的数据库。

提案一旦全面实施，负责自由、安全及司法领域大型信息系统运营管理的欧盟机构eu-LISA，将领导欧盟安全信息系统内部互联技术组件的开发与推广。

5月14日该项欧盟议会提案的通过，标志着此立法过程的最后一步达成。该法规文本只要进入欧盟官方公报，便将在20天后生效。

欧盟移民、内政及民权事务专员Dimitris Avramopoulos宣称：一个真正有效的安全联盟，将确保成员国政府和欧盟机构可通过移民、边境及安全信息系统间的连点成面，实现无缝协作。

（来源：安全牛）

美海军陆战队招募志愿者组建平民网络安全小组

发布时间：2019年05月17日

据外媒报道，美国海军陆战队现正在为其新网络辅助部队（Cyber Auxiliary）招募志愿者。志愿者将无需穿制服、剪头发或参加训练营，但有一点他们必须要做到的就是高度熟练地使用计算机包括如何渗透系统。

今年4月，美国海军陆战队宣布将成立一个新的计算机特别小组。该小组将由志愿平民和退伍军人组成，他们将不会受到USMC严格礼仪的约束。

本周，USMC宣布网络辅助部队成立并开始招募人员。该部门由来自私营部门的专家组成，他们将在网络安全和其他计算机相关问题上培训、教授、建议和指导海军陆战队。该小组将协助模拟和培训，但不会参与实战活动。换言之，他们不会参与实际的USMC网络任务。

据悉，这个新的特别工作组由负责信息的副司令官Lori E. Reynolds中将领导。

另外据了解，志愿者必须是美国公民，并且需要在信息系统方面有先进的经验。不难看出，拥有黑帽或白帽黑客经验的人是欢迎的，但他们需要获得安全许可才行。

（来源：cnBeta）

伊朗成立特别工作组应对美国的网络威胁

发布时间：2019年05月15日

据外媒报道，伊朗通信和信息技术部部长Mohammad Javad Azari Jahromi表示，部门已经组织了一个特别工作组来应对美国的网络威胁。Azari Jahromi于5月13日表示，通信和信息技术部已制定了多项举措，以应对美国政府的网络恐怖主义行为和敌对措施。

伊朗自一年前就在国家虚拟空间中心（National Center of Virtual Space）成立了一个工作组，研究了各种情况、威胁和制裁，并采取了必要的措施。

Azari Jahromi指出，美国对伊朗网络行业的大部分制裁是在过去一年实施的。尽管所有国际云计算提供商已停止向伊朗企业提供互联网服务，但伊朗的网络空间并未受到干扰。伊朗已经制定了必要的计划来解决可能的互联网断网问题。

2016年8月，伊朗启动了国家数据网络的第一阶段。国家网络将提供新的互联网系统，将具有更高的安全性，比目前可用的最佳网络速度快60倍。

（来源：E安全）

日本将开发恶意软件，以抵御网络攻击

发布时间：2019年05月06日

据外媒报道，日本将研制计算机病毒来抵御网络攻击，研发工作将于明年3月完成。

日本政府的目标是提高其网络防御能力，准备好面对来自网络空间的威胁。日本希望填补在网络空间上与先进国家相比的不足，并计划进行重要投资以按计划达到目标。

日本共同社网站上写道，政府表示，随着近年来科技的进步，日本正增强其在地面、海洋和空中以外的防御能力，以应对网络空间和外层空间等新领域的安全挑战。

在应对网络攻击威胁方面，日本落后于其他国家。日本计划将网络部门的人员数量从150人增加到220人，而美国有6200人，朝鲜有7000人。

恶意软件用于防御的问题正处于讨论之中。网络空间没有边界，恶意代码失控、威胁外国主权的风险是真实存在的。

据知情人士透露，计算机病毒将由私人公司开发，不会用于先发制人的攻击或主动防御，政府只允许对国家或相当于国家的组织进行网络攻击。

（来源：国防科技要闻）

印度将成立国防网络机构

发布时间：2019年05月01日

据外媒报道，为了提高印度应对黑客威胁的能力，印度将于5月成立国防网络机构（Defence Cyber Agency ，简称DCA），总部设在首都新德里。海军高级军官、海军少将Mohit Gupta将成为DCA的首任长官。

消息人士称，DCA将与军队合作，共同应对网络威胁，并将包含DRDO（国防研究与发展组织）的元素。尽管DCA已准备将总部设在新德里，但由于该机构的结构仍在讨论之中，它的成立将需要一段时间。

一位高级军官表示，该网络机构的部队将遍布全国。每个分支都将有专门的单位或小组来处理网络安全方面的问题。据防务消息人士称，黑客几乎每天都在尝试破解印度军事系统，印度目前正进行针对关键军事基础设施的网络演习。

（来源：E安全）

产业发展

英特尔芯片发现新漏洞 2011年后的芯片均受影响

发布时间：2019年05月15日

全球最大芯片厂商英特尔公司14日称，该公司在其芯片中发现了一系列新的安全漏洞，黑客可能借助漏洞读取流经受影响芯片上的所有数据。2011年后使用英特尔芯片的计算机都可能受到这些漏洞的影响。

英特尔产品保障和安全高级主管布莱恩·约根森在一份视频声明中表示，这些漏洞可能使攻击者看到保密数据，但前提是需要有“足够大的数据样本，足够长的时间和对目标系统行为的掌控”，这在实际操作中非常难以实现，因此他认为还未有人在实验室之外利用过这些漏洞。

英特尔还表示，因为漏洞嵌在计算机硬件结构体系中，所以无法完全修复。这些漏洞被认为与去年发现的一些芯片问题相关，今年新发布的芯片已经包含针对这些漏洞的修复程序。但由于此前发布的前几代芯片也需要修补，修复可能会使芯片性能降低19%。英特尔14日也针对这类被业内人士称为“僵尸负载（Zombieload）”的漏洞推出了微代码补丁，对易受攻击的芯片进行修补。但与此前漏洞补丁一样，安装该补丁会对芯片性能产生影响。

苹果、谷歌、亚马逊、微软等科技企业因其设备和软件上大量采用英特尔芯片，也于14日发布了补丁更新或安全提示。

去年年初，英特尔等一些主流芯片被发现存在“幽灵（Spectre）”和“崩溃（Meltdown）”两个漏洞，波及数以亿计台设备。据称黑客可由此读取设备内存，获得密码、密钥等敏感信息，这在科技界引发担忧。由于越来越多公司和个人选择把资料放在“云端”存储，云端上的个人资料安全日益引起重视。此次发现“僵尸负载”漏洞加深了网络安全研究人员对芯片硬件层面和云计算领域数据安全性的疑虑。

（来源：新华社）

俄输电线路勘察无人机顺利通过测试

发布时间：2019年05月05日

人工勘察长距离输电线路非常辛苦。为减轻这种负担并高效检测输电设施，俄罗斯研发单位制成一款专用无人机，该飞行器日前顺利通过性能测试。

据俄罗斯技术集团发布的新闻公报，上述无人机及其配套设施由该集团旗下“俄罗斯电子”公司等单位于去年12月推出。其机身由新型复合材料制成，机上载有拍摄装置、红外成像仪、陀螺稳定仪，可在60摄氏度至零下30摄氏度环境、雨雪、强风等极端天气，以及常规气象条件下全天作业。

据悉，俄罗斯技术集团下属“自动机械”公司日前在俄西部利佩茨克州对上述无人机及其地面设施进行了测试，结果显示该无人机的自动勘察性能和地面设备的自动分析能力达到设计要求。目前已有俄建筑企业订购了这一无人机系统。

据研发人员介绍，这种无人机根据程序预设的路线飞行，并自动选择拍摄照片和视频的高低方位角。与该无人机配套的地面设施能处理分析其回传的各类信息，例如模拟生成无人机飞经区域的地形三维立体图像，分析空中电缆和输电设备的几何参数，自动发现诸如电缆过于下垂、线路杆塔歪斜、绝缘装置和导线连接附件损坏、外来物进入输电沿线保护区等问题。这些信息处理分析系统能与企业现有的信息系统相融合。

新闻公报说，这款无人机能自动着陆充电。在降落时它会借助导航卫星信号和专用摄像机自动对准充电平台上的着陆标记，其实际降落位置与着陆标记间的误差至多数厘米。尔后该无人机会自动从事充电、获取下阶段任务计划、回传勘察信息、重新升空等工序。在这一过程中，很少需要操控员人为干预。

俄罗斯技术集团的无线电专家介绍说，这款无人机及其配套设施能在输电线路运行时尽早发现、预测故障隐患，缩短查找问题原因的时间，使相关单位尽量避免断电检查并减少事故发生率。

（来源：新华社）

“三只小猫”漏洞威胁全球数百万思科路由器

发布时间：2019年05月16日

美国Red Ballon安全研究公司近日发布了一份报告，公布了思科产品的两个漏洞。

第一个漏洞被称为（Thrangrycat），允许攻击者通过现场可编程门阵列（FPGA）比特流操作完全绕过思科的信任锚模块（TAm）。

第二个是针对 Cisco IOS XE 版本 16 的远程命令注入漏洞，该漏洞允许以 root 身份执行远程代码，通过链接和远程命令注入漏洞，攻击者可以远程持续绕过思科的安全启动机制，并锁定 TAm 的所有未来软件更新。

报告称，三只小猫是由 Cisco Trust Anchor 模块中的一系列硬件设计缺陷引起的，Cisco Trust Anchor 模块（TAm，信任锚）于2013年首次商业化推出，是一种专有的硬件安全模块，用于各种思科产品，包括企业路由器，交换机和防火墙。

TAm 是专门用来验证安全开机程序的硬件装置，在系统开启时执行一连串的指令，以立即验证开机载入程序的完整性，一但侦测到任何不妥，就会通知使用者并重新开机，以防止设备执行被窜改的开机载入程序。

而三只小猫可藉由操纵 FPGA（Field Programmable Gate Array，现场可编程门阵列）的比特流（bitstream）来绕过TAm 的保护。这是因为 TAm 原本就得依赖外部的 FPGA，在设备开机后，FPGA 会载入未加密的比特流来提供 TAm的信任功能。

Red Balloon Security 已在去年11月知会思科，思科也在同一天发表了安全通报。

根据思科所列出的产品列表，总计超过 130 款产品受到波及。

迄今为止，除了研究人员针对思科 ASR 1001-X 设备所进行的攻击示范之外，尚未发现其它攻击行动。Red Balloon Security 也准备在8月的黑帽（Black Hat）安全会议上对此进行展示。

目前，思科正在持续发布针对该漏洞的软件更新。

题外话：研究人员表示，以三只小猫取代 Thrangrycat，是为了彰显该研究并无任何语言或文化上的偏见，表情符号已是数位时代的象征，它跟数学一样都是透过语际符号来表达，而猫咪的矛盾特性恰好可用来形容该漏洞。

（来源：开源中国）

MongoDB数据库泄露超2.75亿条印度公民信息记录

发布时间：2019年05月09日

据外媒报道，大型MongoDB数据库泄露了约2.75亿条包含印度公民详细个人信息（PII）的记录，该数据库两个多星期没有受到网络保护。

安全研究人员Bob Diachenko经过调查发现，泄露的数据包含了姓名、性别、出生日期、电子邮件、手机号码、教育程度、专业信息（雇主、工作经历、技能、职能领域）、现有工资等信息。但是，还没有找到任何与所有者相关的信息。此外，存储在数据库中的数据集合的名称表明，收集整个简历缓存是“大规模抓取操作的一部分”，其目的不明。

Diachenko立即通知了印度CERT（计算机安全应急响应组）团队，但是目前该数据库仍保持开放和可搜索状态。该数据库是被名为“Unistellar”的黑客组织抛弃的，且Diachenko发现了以下留言：

MongoDB之前也发生过类似的数据泄露事件。究其原因，是因为其很多数据库都由所有者公开访问，并且没有得到适当的保护。这意味着可以通过保护数据库实例来阻止它们。MongoDB在Documentation网站上提供了一个安全（Security）版块，其中显示了如何正确保护MongoDB数据库，以及MongoDB管理员的安全检查表。

（来源：HackerNews.cc）

谷歌利用Gmail读取网购收据，跟踪用户购买历史

发布时间：2019年05月18日

据外媒报道，谷歌首席执行官Sundar Pichai不久前刚刚在《纽约时报》的专栏文章中写道：“隐私不能成为奢侈品。”但在幕后，谷歌却在利用其Gmail等服务追踪用户购买历史，收集大量个人信息，其中有些信息记录甚至无法被轻易删除。

在名为“购买”（Purchases）的页面上，准确显示了一份清单，上面列出了美国科技记者Todd Haselton至少在2012年买过的许多东西。Haselton用亚马逊、DoorDash或Seamless等在线服务或应用程序，或在梅西百货等商店购买这些商品，但从未直接通过谷歌购买。不过，由于数字收据进入了Haselton的Gmail帐户，谷歌有关于他的购买习惯的信息列表。谷歌甚至知道许多他早就忘了已经购买过的东西，比如他于2015年9月14日在梅西百货买的正装鞋。

谷歌发言人对此表示：“为了帮助用户在某个地方更方便地查看和跟踪自己的购买、预订和订阅服务，我们创建了只有你才能看到的私人目的地。你可以随时删除此信息。我们不会使用你Gmail邮件中的任何信息为你提供广告服务，包括在购买页面上显示的电子邮件收据和确认信息。”

但没有一种简单的方法来删除所有这些记录。用户可以删除Gmail收件箱和归档邮件中的所有收据。但是，许多人习惯于将收据保存在Gmail中，以备以后需要退货时使用。为了将它们从谷歌“购买”页面中删除并保存在自己的Gmail收件箱中，用户需要从“购买”页面中逐个删除它们。这可能十分繁琐，因为里面记录着用户多年来的采购信息。

谷歌表示，该公司不会使用用户的Gmail向其展示广告，并承诺“不会出售用户的个人信息，包括其Gmail和谷歌账户信息”，并且“不会与广告商分享用户的个人信息，除非他们要求我们这样做。”

但是，由于某些尚不清楚的原因，谷歌正在从用户的Gmail中提取信息，并将其转载到大多数人似乎不知道的“购买”页面中。即使这些信息未被用于广告，也不清楚谷歌为何需要跟踪用户多年的购买记录，并使其难以删除。谷歌宣称，它正在考虑简化其设置，使其更容易控制。

（来源：腾讯科技）