政府舉措

工信部發布2018年第三季度網絡安全威脅態勢分析與工作綜述

關鍵詞：網絡安全威脅態勢

工信部發布2018年第三季度網絡安全威脅態勢分析與工作綜述的公告。公告顯示，第三季度公共互聯網網絡安全形勢依然嚴峻，發生多起嚴重危害用戶合法權益的網絡安全事件。其中，用戶數據洩露事件多有發生、雲計算平臺相繼發生故障。今年三季度全行業共處置網絡安全威脅約3397萬個，包括惡意IP地址、惡意域名等惡意網絡資源約653萬個，木馬、殭屍程序、病毒等惡意程序約2611萬個，網絡安全漏洞等安全隱患約4.8萬，主機受控、數據洩露、網頁篡改等安全事件約127萬個，其他網絡安全威脅約1萬個。

工信部同時對下一步工作作出部署，除了完成相關既定工作外，工信部將聯合多企業、多單位開展移動惡意程序專項治理工作。及時發現和消除移動惡意程序等網絡安全威脅，維護廣大網絡用戶的合法權益。（來源：工信部網站）

美國國土安全部調查加密貨幣交易

關鍵詞：加密貨幣

根據11月30日發佈的預先徵集通知，美國國土安全部（DHS）正在尋求有關調查和分析區塊鏈的信息，包括用於加密貨幣的區塊鏈交易。國土安全部發布了一份提案，邀請有興趣的各方就新興加密貨幣的區塊鏈法證分析發表評論並設計應用程序。該提案還呼籲提出解決方案，使調查人員能夠對區塊鏈交易進行相關分析。

值得注意的是，國土安全部指出，雖然之前的分析是針對比特幣(Bitcoin, BTC)的分析，但這隻涵蓋了“加密貨幣領域的有限範圍”。國土安全部的提案尋求將區塊鏈分析應用於Zcash和Monero等匿名的加密貨幣，這些加密貨幣在私有區塊鏈上運營。（來源：bianews）

澳大利亞政府通過了有爭議的全球首個反加密法

關鍵詞：反加密法

澳大利亞政府於2018年12月6日通過了一項有爭議的法案，該法案允許執法機構強迫科技公司交出加密的信息數據。這項立法受到了隱私組織和技術公司的廣泛譴責，並建議它不僅會損害澳大利亞科技行業，還會破壞全球加密安全。

該法案可以讓政府獲得受端到端加密保護的數據。 這項名為“援助和獲取法”的法案授權澳大利亞警方基本上強迫公司（在該國經營）幫助政府入侵系統，種植惡意軟件或插入後門。 安全專家和技術公司認為，新通過的法律將削弱所有澳大利亞人的整體數據安全性 - 並將成為全球其他政府的危險先例。科技公司也擔心該行為將侵蝕消費者對其產品和平臺的信任。 “這項新法律將對澳大利亞公民和科技行業產生不利影響，”Venafi亞太地區總監Terrie Anderson表示。“簡單地說：強迫組織在其產品中創建後門並讓它們符合GDPR中列出的消費者保護標準是不可行的。”（來源：網絡綜合整理）

網絡安全事件

新的勒索病毒迅速蔓延，感染逾10萬臺計算機

關鍵詞：勒索病毒

據悉，自12月1日起針對中國用戶發起的供應鏈攻擊致新勒索病毒蔓延，影響逾10萬臺計算機。勒索軟件不僅可以加密系統文件，還可竊取淘寶、百度雲、網易163、騰訊QQ、京東與支付寶等中國主流線上服務商的登錄憑證。

分析該勒索軟件變體的Velvet安全研究人員發現，攻擊者向易語言編程軟件添加了惡意代碼，該惡意代碼將注入到各類使用該軟件編譯的其他軟件。該惡意代碼共感染了50餘個軟件，惡意軟件操作員利用中國社交網豆瓣進行C＆C通信。該惡意軟件還追蹤了受害者計算機上安裝的軟件詳情。

通常來說，惡意軟件作者會要求受害者支付比特幣贖金，而此次攻擊的威脅方要求受害者通過微信支付應用程序付款。惡意軟件操作員要求受害者支付110元（近16美元）贖金。

Velvet團隊已發佈解密工具，而微信已關閉了用於接收贖金的賬戶。（來源：E安全）

美國參議員稱中國手機應用對美國構成了安全威脅

關鍵詞：應用安全

美國參議院情報委員會的 Mark Warner 認為中國的手機應用和華為中興的設備一樣對美國構成了安全威脅。因為監視和其他國家安全風險，美國限制政府及其承包商使用華為和中興的設備。Warner 認為中國的手機應用開發商可能將面臨類似的審查。他接受採訪時指出，根據中國的法律，每一家中國公司都應該感謝中國政府而不是董事會或股東，所以任何中國科技公司——無論是電信公司還是手機應用開發商——都應該視為國家的延申，都應被認為是國家安全風險。（來源：Solidot）

谷歌修復安卓系統中11個嚴重RCE漏洞

關鍵詞：RCE漏洞

12月，谷歌共修復53個安卓漏洞，其中11個為嚴重RCE漏洞。在11個嚴重漏洞中，有6個與安卓操作系統的媒體框架和系統組件有關。有四個RCE漏洞（CVE-2018-9549，CVE-2018-9550，CVE-2018-9551，CVE-2018-9552）影響到Android7.0到9.0版本中的開源項目操作系統版本。谷歌表示，目前這些漏洞還沒有在野利用的報道，谷歌的Pixel和Nexus設備以及三星，LG，HTC等旗艦Android手機都可及時下載補丁並更新。 而其他設備製造商和移動運營商也將陸續更新。（來源：threatpost）

廣州出現“隔空盜刷”案：芯片卡小額免密，被偽裝POS機隔包盜刷

關鍵詞：隔空盜刷

靠一靠，錢就到手，最近南沙警方就抓獲了一個犯罪團伙，用的就是這種手法。“我們現在很多銀聯卡都換成芯片卡的，芯片卡都默認會開通免密支付，也就是閃付功能，小金額的消費不需要輸密碼或者簽名，pos機感應到芯片卡的這個閃付功能，就會自動消費的了。”所以這個犯罪團伙就是將一部設置好的pos機，裝進一個比較薄的錢包裡面，然後就尋找一些合適的下手對象。

找到合適的對象之後，就會靠過去感應一下。感應的距離，大概是5公分，因此一些女士的包包，或者男士貼身帶的錢包，就很容易成為了他們下手的對象。由於免密支付最高限額是1000元，所以每次嫌疑人都是設定999以下，專門選擇到人流密集場所逛街，就這樣走一圈“收穫”也不少。（來源：安全內參）

蘋果發佈iOS 12.1.1更新，修復了密碼繞過漏洞、RCE漏洞等問題

關鍵詞：IOS更新

近日，Apple發佈了其核心產品的更新，涵蓋iCloud、Safari、iTunes、macOS Mojave、High Sierra、Sierra、iOS 2.1.2快捷方式、tvOS 12.1.1以及iOS 12.1.1。本次發佈的更新修復了大量安全問題，包括代碼執行、權限提升和信息洩露漏洞。因此，如果您是上述任何產品的用戶，則應儘快更新。

此外，iOS 12.1.1還修復了面容 ID可能臨時無法使用的問題，修復了在“信息”中使用中文鍵盤或日文鍵盤鍵入時，可能無法顯示預測文本建議的問題，並且解決了“語音備忘錄”錄音可能無法上傳至iCloud的問題。（來源：freebuf）

信息通信管理局就用戶個人信息保護問題約談同程藝龍

關鍵詞：個人信息保護

針對網民反映的同程藝龍微信小程序中“12306暢行會員”服務存在的默認開通會員協議等用戶個人信息保護相關問題，工業和信息化部信息通信管理局組織進行了核查，並於2018年12月3日約談了蘇州同程藝龍網絡科技有限公司（以下簡稱同程藝龍公司）。

信息通信管理局指出，對照《中華人民共和國網絡安全法》《全國人民代表大會常務委員會關於加強網絡信息保護的決定》《電信和互聯網用戶個人信息保護規定》（工業和信息化部令第24號）等有關規定，同程藝龍微信小程序存在未公示用戶個人信息收集使用規則、默認開通12306暢行會員協議、未履行部分服務承諾的問題，同程藝龍公司應當本著充分保障用戶知情權和選擇權的原則立即進行整改，切實維護用戶合法權益。

同程藝龍公司表示，將按照監管部門要求，全面排查存在的問題，立即進行整改，並舉一反三，完善內部管理和產品設計，提升服務水平和能力，保障用戶合法權益。今後，公司將繼續嚴格遵守相關法律法規和工業和信息化部有關規定，進一步規範用戶個人信息收集、使用和服務行為。（來源：工信部網站）

數據統計

前10月規上互聯網企業完成業務收入7663億元 同比增長18%

關鍵詞：互聯網業務

1-10月，我國規模以上互聯網和相關服務企業（簡稱互聯網企業）完成業務收入7663億元，同比增長18.0%，同比回落5.9個百分點，在去年同期較高基數上保持快速增長。互聯網業務收入總量居前三位分別是廣東、上海、北京。而全行業的研發投入額為391億元，同比增長13.7%。

信息服務業務收入規模達6990億元，同比增長18.5%，佔互聯網業務收入比重為91.2%；互聯網企業完成互聯網數據中心業務收入117億元，同比增長4.4%；互聯網企業完成互聯網接入業務收入115億元，同比下降19.6%。

我國市場上移動互聯網應用數量有所增長。截止2018年10月底，我國市場上監測到的移動應用為446萬款。其中，排名第一的是遊戲類，數量為137.3萬款。生活服務類應用規模達53.9萬款，排名第二。而應用下載量超過千億次。

總體來看，今年1-10月份我國互聯網和相關服務業保持穩中向好，業務收入增速保持兩位數。分領域看，網絡銷售、影音直播等應用深受用戶歡迎，市場規模穩步擴大，網絡生活服務市場活躍。（來源：工業和信息化部運行監測協調局）

研究發現全球有41.5萬多臺路由器受到秘密挖礦軟件感染

關鍵詞：挖礦軟件

研究人員發現，全球超41.5萬臺路由器感染了旨在竊取路由器計算能力並偷偷挖掘加密貨幣的惡意軟件。這些仍在繼續的網絡攻擊尤其影響最嚴重的則是MikroTik路由器。有記錄顯示，針對該品牌的一系列加密攻擊始於今年8月，當時安全專家發現有20多萬臺設備被感染。從那以後，這個數字又增加一倍多。

雖然大多數受影響的設備最初都集中在巴西，但數據顯示，在全球範圍內也有大量設備受到了影響。今年8月，研究人員報告稱巴西有20多萬臺設備在遭到劫持後被用於秘密開採加密貨幣。等到9月，易受攻擊設備的總數已經增加到了驚人的28萬臺。

攻擊者過去傾向於使用CoinHive–一種用於面向隱私加密貨幣Monero (XMR)的挖掘軟件–但根據現在的攻擊跡象看來，攻擊者已經開始轉向了其他挖掘軟件，包括CoinHive、Omine和CoinImp等。（來源：ithome）

人才培養

ISC2018互聯網安全大會熱議網絡安全人才培養

關鍵詞：ISC2018

近日，ISC2018互聯網安全大會網絡安全產業人才培養體系建設分論壇在北京國家會議中心舉行。

中國工程院院士方濱興在致辭中表示，當前國內網絡安全人才缺口近百萬，我國每年網絡安全人才的培養數量遠遠不足以彌補這個缺口。如何在網絡空間安全領域聯合產學研各界，培養大批互聯網安全人才，是現在需要推進的工作，當前解決方案可把原來的信息技術其他領域的人才，通過培訓，遷移到網絡空間安全中來。

教育部高等學校信息安全專業教學指導委員會秘書長封化民表示，網絡安全人才的培養需要以教學的多層次結構為基礎，網絡安全人才的培養並非學歷教育能完全滿足的，因此急需構建多元化、多層次的網絡空間人才培養體系。

網絡安全人才供不應求，如何培養實戰型網絡安全人才任重道遠。（來源：《中國教育網絡》2018年11月刊）

漏洞速遞

Kubernetes 被曝嚴重安全漏洞 嚴重性評估高達9.8分

關鍵詞：嚴重漏洞

近日，Kubernetes 被爆出嚴重安全漏洞，該漏洞 CVE-2018-1002105（又名 Kubernetes 特權升級漏）被確認為嚴重性 9.8 分（滿分 10 分）。具體來說，惡意用戶可以使用 Kubernetes API 服務器連接到後端服務器以發送任意請求，並通過 API 服務器的 TLS 憑證進行身份驗證。這一安全漏洞的嚴重性更在於它可以遠程執行，攻擊並不複雜，不需要用戶交互或特殊權限。

更糟糕的是，在 Kubernetes 的默認配置中，允許所有用戶（經過身份驗證和未經身份驗證的用戶）執行允許此升級的發現 API 調用。也就是說，任何瞭解這個漏洞的人都可以掌控你的 Kubernetes 集群。（來源：開源中國）

其他漏洞

12月3日-12月9日：

國家信息安全漏洞共享平臺（簡稱 CNVD）共收集、整理信息安全漏洞194個，其中高危漏洞85個，中危漏洞87個，低危漏洞22個。

信息安全快訊的內容及圖片出於傳遞更多信息之目的，屬於非營利性的轉載。如無意中侵犯了某個媒體或個人的知識產權，請聯繫我們，我們將立即刪除相關內容。其他媒體、網絡或個人從本網下載使用須自負版權等法律責任。

閱讀更多 e安教育 的文章

關鍵字: 信息安全 移動互聯網 威脅