网络安全资讯汇总（信息安全快讯12月17日-23日网络安全资讯汇总）

政府举措

中国发布关于加强中欧全面战略伙伴关系的政策文件

关键词：互联网治理体系建设

上周，中国发表《关于加强中欧全面战略伙伴关系、促进中欧关系更大发展的可能措施的政策文件》。该文件提出政治、安全和防御方面的相关合作问题,包括“中欧充分利用网络工作组,共同倡导在网络空间中社区共享未来,促进负责任的国家在网络空间的行为规范。在联合国框架下, 推进全球互联网治理体系改革，建设和平、安全、开放、合作、有序的网络空间。（来源：Digital Watch）

法国数据保护监管机构CNIL向Uber开出46万美元罚单

关键词：Uber

欧洲各国已经开始进入“围殴”模式，一个接一个地向Uber开出罚单，以惩戒其处理2016年数据泄露的方式。日前，法国的数据保护监管机构CNIL宣布将对Uber开出460000美元（400000欧元）的罚款。因早在2016年，Uber的大规模数据泄露影响了5700万用户，其中包括法国的140万用户。根据CNIL的报告，黑客正使用来自这些泄露数据的登录名和密码连接到Uber的GitHub存储库，然后再设法连接到Uber的亚马逊网络服务帐户并下载用户数据，更夸张的是AWS登录信息以纯文本格式存储在GitHub上，造成严重影响。（来源：cnbeta）

澳大利亚推出《儿童安全上网计划》

关键词：儿童安全上网

近日，澳大利亚政府宣布将拿出1700万澳元的预算用于《儿童安全上网计划》（The Early Years Online Safety Program），以帮助澳大利亚儿童安全使用互联网，据悉，该计划将由政府网络安全委员会（Government's Office of the eSafety Commissioner）负责，委员会将为家长和儿童提供相关培训，以提高他们对有害网络信息的辨识能力。此外，委员会还将与企业合作，以更好地解决有害网络信息对儿童的威胁。（来源：zdnet）

网络安全事件

华为未来五年将投资20亿美元强化网络安全，增加人员和实验室设施

关键词：网络安全

据报道，华为近日表示将在未来五年内投入20亿美元加强网络安全，在这方面增加更多人员和升级实验室设施。目前该公司面临对其网络设备相关风险的担忧。华为在其东莞园区举行的记者会上做出上述表示，有20多位国际记者到场。华为轮值董事长胡厚崑还介绍，华为已获得逾25份第五代移动通讯(5G)商业合同，略高于11月宣布的22份。胡厚崑表示，5G基站出货量已经超过10,000个，并称华为预计今年营收将超过1,000亿美元，比上年增长8.7%。（来源：TechWeb）

商业公司以制作病毒为主业，已有数十万台电脑被感染

关键词：流量劫持病毒

日前，火绒安全团队发现某商业公司制作的流量劫持病毒”FakeExtent”（产品名为”天馨气象”），正通过”WIN7之家”等下载站中的多款激活工具大范围传播。该病毒入侵电脑后，会释放多个恶意插件，篡改系统配置、劫持流量。 通过”火绒威胁情报系统”监测和评估，已有数十万台电脑被该病毒感染。

火绒工程师分析发现，病毒作者将病毒”FakeExtent”植入到 “KMSTools”、”暴风激活工具V17.0″等软件激活工具中，并上传到 “WIN7之家”等下载站中，用户一旦下载并运行上述软件，该病毒就会感染电脑，向用户浏览器中安装名为”天馨气象”和”星驰天气助手”病毒插件。并向IE浏览器中添加BHO插件。上述恶意插件进入用户电脑后，将会劫持浏览器流量、网页广告弹窗以及将下载的安装包替换为病毒作者提供的渠道包，然后挂上和上游公司分成的计费名，以和其分成。（来源：火绒）

大规模伪装成Apple Store 付款收据的 Apple ID 钓鱼攻击出现

关键词：Apple Store 钓鱼攻击

研究人员发现，有一大批钓鱼攻击假借 Apple Store 支付确认邮件窃取 Apple ID。这些钓鱼邮件正文很短，PDF 附件伪装成 Apple Store 中某个 APP 的支付确认单，并提醒受害者“如果没授权购买，就点击链接”，这些链接都是经过处理的短链接，无法看出网址来源。一旦受害者点击链接，就会跳转到新的页面。页面要求受害者使用 Apple ID 登录页面。如果受害者上当登录，就会看到提示：“由于安全原因，此 Apple ID 已经被锁定。若想继续登录，需要先解锁。”而解锁页面则要求受害者输入全名、地址、电话号码、社会安全号码、出生日期、付款信息、驾驶执照号码或护照号码等。如果这一步受害者还没产生怀疑，那么个人隐私信息就会被攻击者获取。这样的方式骗过了很多人，影响范围较大。（来源：freebuf）

安全人员:黑客可绕过双重认证 盗取Gmail或Yahoo账户

关键词：双重验证

双重认证是目前Gmail、Yahoo电子邮件等经常使用的认证方法，但据《香港经济日报》报道，安全公司Certfa Lab指出，即使用户使用双重认证，黑客仍能破解密码，从中取得Gmail或Yahoo账户资料。

Certfa Lab公布的最新研究报告指出，透过追踪伊朗黑客组织“Charming Kitten（迷人小猫）”的服务器，发现部分Gmail和Yahoo电子邮件地址，即使启用短信验证，也会被成功入侵。政客、科学家、记者的电邮账户都是目标。

不过，严格来说，黑客是绕过程序、避开双重认证机制。Certfa Lab表示，黑客通过电邮地址发送虚假警报，提醒用户检测到有人未经授权试图进入账户，并要求他们点击链接以检查账户安全。当用户点击链接后，便会进入黑客设计的钓鱼网站。此外，黑客会以图像代替文字，绕过Google的保护及反网络钓鱼攻击。（来源：新浪科技）

NASA服务器遭到网络攻击，员工信息泄露

关键词：NASA遭攻击

美国国家航空航天局（NASA）已确认旗下一台服务器在10月被黑客攻击，黑客从其中盗取了一些员工信息，包括社会安全号码等等。在12月18日发布的通知中，美国国家航空航天局表示，它目前正在通知那些可能因此受到损害的员工。调查已经开始，NASA表示社会安全号码和其他个人身份信息存储在被黑的服务器上。NASA表示，在发现这些事件后，NASA网络安全人员立即采取行动保护服务器及其中包含的数据。美国宇航局及其联邦网络安全合作伙伴正在继续检查服务器，以确定潜在数据泄漏的范围，并识别可能受影响的个人。NASA表示，调查需要时间，但强调它现在已成为NASA目前最重要的优先事项。（来源：darkreading）

数据统计

工信部：三季度网络安全形势严峻

关键词：第三季度网络安全形势

12月份，工信部网络安全管理局发布2018年第三季度网络安全威胁态势分析与工作综述。第三季度公共互联网网络安全形势依然严峻，发生多起严重危害用户合法权益的网络安全事件。工信部下一步工作重点包括：做好网络安全试点示范项目相关工作；开展移动恶意程序专项治理工作等。

第三季度，用户数据泄露事件多有发生，凸显加强网络安全防护重要性。第三季度，网曝多起用户数据泄露事件，涉及互联网、物流、酒店等多个行业企业，最高达上亿条信息记录，疑似是由于企业服务器或手持终端被植入恶意程序，以及内部安全管理机制不完善等问题导致。

第三季度，全行业共处置网络安全威胁约3397万个，包括恶意IP地址、恶意域名等恶意网络资源约653万个，木马、僵尸程序、病毒等恶意程序约2611万个，网络安全漏洞等安全隐患约4.8万个，主机受控、数据泄露、网页篡改等安全事件约127万个，其他网络安全威胁约1万个。

此外，三季度上海市通信管理局针对51家互联网企业的网站、应用系统、移动应用程序等存在网络安全漏洞的情况，约谈了相关企业，并督促其及时整改漏洞、消除安全隐患；广东省通信管理局开展网站后门链接专项打击，清理非法植入的网站后门链接606个。（来源：工信部）

加密货币恶意软件数量过去1年增长4000%

关键词：加密货币

根据McAfee实验室近期公布的最新研究报告，针对加密货币的恶意软件数量在过去一年中增长了4000%。在2018年12月威胁报告中，McAfee指出2018年第一季度针对加密货币矿工的恶意软件数量大幅增长。这一趋势在第二季度似乎略有减少，但在第三季度，环比增长近40％。在过去几个季度中，新型勒索软件的数量有所下降，这表明这些攻击者正转向更有利可图的加密劫持模式（cryptojacking）。

由于普遍缺乏适当的安全控制，类似于IP摄像头等物联网设备和路由器等设备非常容易受到攻击。这些设备虽然没有强大的CPU，但庞大的数量依然可以为黑客带来有价值的回报。在过去两年中，恶意软件总体上已经出现了稳定和可预测的增长，这一趋势没有显示出放缓的迹象。（来源：McAfee）

人才培养

网络安全人才百万缺口亟待填补

关键词：网络安全人才缺口

北京电子科技学院院长毛明近日在接受采访时表示，当前我国网络信息产业出现的“缺芯少魂”“被卡脖子”等问题，归根到底是高端人才匮乏、原始创新能力不足的一种反映。因此，必须高度重视与加快培养高素质的网络空间安全人才，为推进网络强国建设和维护网络空间安全提供人才支撑。

权威数据显示，我国对网络空间安全人才的需求在2017年上半年飙升了232%，当前网络空间安全人才数量缺口高达70万，预计到2020年将超过140万。目前，高校作为网络空间人才培养的主渠道，我国在该领域仅有160多所院校开设相关专业，乐观估计每年培养规模也仅在两万人左右，不足以支撑这百万量级的人才需求。而且，由于网络安全产业发展迅速，网络空间安全学科与专业建设不能及时跟上，导致网络空间安全人才培养模式不成熟、体系不完善等矛盾较为突出。

从国家和社会层面上讲，要进一步加大人才体制机制改革力度，创新选才、引才、育才及留才的举措和办法。改革和完善人才引进各项配套制度，健全具有全球竞争力的人才制度体系，为网络空间安全人才发挥和施展创造良好的条件、提供广阔的平台，形成网络空间安全人才创造力迸发的良好局面。（来源：经济参考报）

陆宝华：建立科学的网络安全人才评价体系

关键词：网络安全人才评价体系

网络安全离不开人才的支撑，网络对抗说到底也是人才的对抗。如何培养网络安全人才，对人才的评价是至关重要的，建立一个合理的人才评价体系，对于培养网络安全人才的重要性是不言而喻的。

建立网络安全人才评价体系的必要性

目前，国内网络安全人才的培养，还处在一个不断探索和完善的阶段，还没有形成科学的人才培养体系。虽然我们的高等院校开办 了网络安全人才专业，并设置为一级学科，各类培训机构也不算少。但是，我们的网络安全人才培养体系，还不能说是真正的建立起来了。

建立科学的网络安全人才评价体系

首先我们要建立一个科学的网络安全人才分类体系，有了分类作为基础，还要考虑分级，应该制定每一类人员的不同级别要求作为网络安全人才的分级体系，同时分类和分级与社会实践的目标要一致，并且能有对应的岗位级别的限制，低一级的人员不能从事高一级的工作。最后，要制定一个合适的科学的考核评价标准，基于理论知识、技术技能两大方面对人才进行考查。（来源：关键信息基础设施技术创新联盟）

漏洞速递

研究人员发现新的 Windows 0-day 漏洞

关键词：0-day漏洞

近日，推特名为 SandboxEscaper 的研究人员披露了一个新的 Windows 0-day 漏洞的 POC，这是他几个月内披露的第三 Windows 0-day 漏洞。这个漏洞是任意文件读取漏洞，可被低权限用户或恶意程序利用，读取目标 Windows 计算机上的任意文件内容。而这一功能原本只能通过管理员权限才能实现，所以也有媒体称之为Windows 系统提权漏洞。漏洞存在于“MsiAdvertiseProduct”函数中，由于存在某些错误，会让安装服务以系统权限复制任意文件，进而读取文件内容。该研究人员发布演示视频后，也在 GitHub 上发布了 POC，但该账号随后被关闭。（来源：zdnet）

其他漏洞

12月10日-12月16日：

国家信息安全漏洞共享平台（简称 CNVD）共收集、整理信息安全漏洞215个，其中高危漏洞69个，中危漏洞128个，低危漏洞18个。

免责声明：

信息安全快讯的内容及图片出于传递更多信息之目的，属于非营利性的转载。如无意中侵犯了某个媒体或个人的知识产权，请联系我们，我们将立即删除相关内容。其他媒体、网络或个人从本网下载使用须自负版权等法律责任。

,