【新聞集萃】

第三屆網(wǎng)絡(luò)信息安全研討會(huì)在南寧召開

9月13日，中國-東盟博覽會(huì)第三屆網(wǎng)絡(luò)信息安全研討會(huì)在南寧國際會(huì)展中心舉行。

本屆研討會(huì)以“開展國際合作，預(yù)防和打擊網(wǎng)絡(luò)犯罪，共治網(wǎng)絡(luò)空間”為主題，就當(dāng)前網(wǎng)絡(luò)信息安全熱點(diǎn)問題進(jìn)行研討，推動(dòng)?xùn)|盟區(qū)域網(wǎng)絡(luò)信息安全保障的技術(shù)發(fā)展，促進(jìn)東盟區(qū)域信息化建設(shè)的網(wǎng)絡(luò)信息安全。中國人民大學(xué)博士生導(dǎo)師石文昌教授作了關(guān)于“從數(shù)字武器看打擊網(wǎng)絡(luò)犯罪”的主題演講。香港大學(xué)計(jì)算機(jī)科學(xué)系副教授、資訊保安及密碼學(xué)研究中心副主任鄒錦沛博士，以“網(wǎng)絡(luò)犯罪調(diào)查和取證：技術(shù)，藝術(shù)還是科學(xué)”為題，討論網(wǎng)絡(luò)犯罪調(diào)查和取證面臨的挑戰(zhàn)。廣西網(wǎng)絡(luò)信息安全服務(wù)研究院高級(jí)網(wǎng)絡(luò)信息安全工程師鄭庚卓，作了“廣西移動(dòng)信息安全綜合解決平臺(tái)”的演講，為廣西移動(dòng)通信和互聯(lián)網(wǎng)深度融合新興業(yè)態(tài)的信息安全服務(wù)指出了一條切實(shí)可行的道路。

孟建柱會(huì)見首次中加高級(jí)別國家安全與法治對(duì)話加方代表團(tuán)

中共中央政治局委員、中央政法委書記孟建柱12日在京會(huì)見加拿大總理國家安全顧問丹尼爾·讓率領(lǐng)的首次中加高級(jí)別國家安全與法治對(duì)話加方代表團(tuán)。

孟建柱說，安全與法治領(lǐng)域合作是中加關(guān)系重要組成部分。希望雙方落實(shí)好兩國領(lǐng)導(dǎo)人達(dá)成的重要共識(shí)，充分發(fā)揮對(duì)話機(jī)制作用，加強(qiáng)在打擊恐怖主義、網(wǎng)絡(luò)犯罪、跨國有組織犯罪等方面務(wù)實(shí)合作，把安全與法治領(lǐng)域合作打造成為兩國關(guān)系發(fā)展新亮點(diǎn)。

丹尼爾·讓表示，愿在安全與法治領(lǐng)域與中方深化溝通合作。

上海警方偵破網(wǎng)絡(luò)詐騙案 涉案金額逾5000萬元

記者近日從上海奉賢警方獲悉，警方根據(jù)線索偵破了一起網(wǎng)絡(luò)詐騙系列案，涉案金額逾5000萬元，48名犯罪嫌疑人被依法刑事拘留。

上海奉賢公安分局西渡派出所副所長張亮介紹，日前，警方接到轄區(qū)群眾林先生報(bào)案，稱他在上網(wǎng)時(shí)收到一條申請(qǐng)加好友的信息，看到對(duì)方頭像是一個(gè)比較漂亮的女性，便同意了申請(qǐng)，之后兩人聊了幾天“感覺很投緣”。隨后，女方向其介紹了一個(gè)叫“重慶時(shí)時(shí)彩”的彩票，聲稱這個(gè)中獎(jiǎng)率高，容易贏錢，并曬出了自己贏錢的網(wǎng)絡(luò)截圖和鏈接。

林先生按照這個(gè)“女老板”提供的網(wǎng)站鏈接，注冊(cè)了一個(gè)賬號(hào)開始購買“重慶時(shí)時(shí)彩”，“女老板”甚至讓林先生將錢轉(zhuǎn)到她提供的“吉利賬號(hào)”購彩，都一直沒中獎(jiǎng)，前后共損失人民幣7萬余元。直到后來林先生發(fā)現(xiàn)對(duì)方提供的網(wǎng)址一直在換，才察覺自己被騙了，遂向警方報(bào)案。

警方經(jīng)過縝密偵查，于8月24日在上海浦東新區(qū)上南路某寫字樓內(nèi)一舉抓獲陳某、楊某等52名犯罪嫌疑人。經(jīng)審訊，自2016年3月以來，犯罪嫌疑人滕某（目前在逃）以非法占有為目的，伙同犯罪嫌疑人陳某、楊某開設(shè)兩家公司，駐點(diǎn)招募員工，利用聊天軟件冒充年輕貌美的女性在網(wǎng)絡(luò)平臺(tái)上尋找合適的男性被害人，通過日常聊天放松被害人警惕性，在適當(dāng)時(shí)機(jī)自稱購買“重慶時(shí)時(shí)彩”中獎(jiǎng)，隨后誘騙被害人登陸虛假網(wǎng)站投注購買。

警方查證，正規(guī)的“重慶時(shí)時(shí)彩”是地方彩票，并不能在網(wǎng)上進(jìn)行購買；犯罪團(tuán)伙利用虛假的網(wǎng)絡(luò)平臺(tái)進(jìn)行詐騙，已查實(shí)的被害人上百位，涉案資金超過5000萬元。目前，抓獲的52名涉案嫌疑人中已有48人被依法刑事拘留，警方正全力追捕在逃的該案主犯滕某。

賽可達(dá)發(fā)布2016最新全球中文PC殺毒軟件查殺能力橫評(píng)報(bào)告

近日，國際知名第三方測(cè)評(píng)認(rèn)證機(jī)構(gòu)——賽可達(dá)實(shí)驗(yàn)室發(fā)布了2016年8月份17款中文PC殺毒軟件查殺能力測(cè)評(píng)報(bào)告。本次橫評(píng)依然遵循賽可達(dá)實(shí)驗(yàn)室嚴(yán)格的測(cè)試方法，采用Windows 8.1簡體中文版作為測(cè)試平臺(tái)，使用了共計(jì)5,000個(gè)中國區(qū)常見的病毒樣本。實(shí)驗(yàn)室搭建并模擬了中國用戶真實(shí)的電腦使用環(huán)境，測(cè)試樣機(jī)安裝了超過16款中國用戶常用的軟件。參測(cè)的17款殺毒軟件都是從廠商官方網(wǎng)站下載的公眾版本。本次測(cè)試項(xiàng)目分為“靜態(tài)掃描”和“動(dòng)態(tài)測(cè)試”兩類。

在本次靜態(tài)掃描測(cè)試中，國內(nèi)外殺毒軟件得分基本持平，騰訊電腦管家11以99.18%的檢測(cè)率名列第一，比特梵德Bitdefender Internet Security 2016和百度殺毒分別以98.88%和98.62%的得分分列第二和第三名。

動(dòng)態(tài)測(cè)試的主要測(cè)試方式包括下載保護(hù)、文件復(fù)制和目錄瀏覽。在本次動(dòng)態(tài)測(cè)試中，科摩多Comodo網(wǎng)絡(luò)安全套裝以99.88%的檢測(cè)率摘得桂冠，騰訊電腦管家11和小紅傘Avira Free Antivirus分別以99.18%和98.24%的得分分列第二和第三名。

為了更全面的去衡量一款殺毒軟件的優(yōu)勢(shì)以及不足，建議長期關(guān)注賽可達(dá)實(shí)驗(yàn)室網(wǎng)站。本次完整測(cè)試報(bào)告，可在賽可達(dá)實(shí)驗(yàn)室官方網(wǎng)站下載(http://www.skdlabs.com/cert/cebg/)。

Dropbox再曝泄密危機(jī) 亞信安全建議企業(yè)用戶部署安全的私有云存儲(chǔ)

公有云脆弱的安全性再次成為風(fēng)口浪尖上的熱門話題。近日，美國云存儲(chǔ)服務(wù)公司Dropbox確認(rèn)，2012年時(shí)發(fā)現(xiàn)并披露的一次數(shù)據(jù)泄露事故影響要比之前預(yù)計(jì)的更嚴(yán)重，此次數(shù)據(jù)泄露事故影響范圍超過6800萬賬號(hào)。亞信安全建議企業(yè)用戶在對(duì)數(shù)據(jù)資產(chǎn)進(jìn)行共享、協(xié)同辦公時(shí)，應(yīng)選擇高安全、強(qiáng)加密的私有云存儲(chǔ)解決方案。

據(jù)外媒報(bào)道，從數(shù)據(jù)交易社區(qū)和Leakbase掌握的消息中發(fā)現(xiàn)了68,680,741 條Dropbox的賬戶憑證，其中包括用戶的郵件地址、Hash值、密碼等信息，一位匿名Dropbox員工證實(shí)了這些數(shù)據(jù)的真實(shí)性。雖然這是一個(gè)“歷史遺留問題”，但這一次Dropbox官方高度關(guān)注此事，并要求用戶立即更改自己的密碼，也可以增設(shè)雙重步驟驗(yàn)證機(jī)制。

Dropbox是一個(gè)擁有上億級(jí)用戶的在線存儲(chǔ)服務(wù)商，通過云計(jì)算實(shí)現(xiàn)互聯(lián)網(wǎng)上的文件同步。盡管Dropbox仍然向用戶保證，他們的賬號(hào)是安全的，但在這起事件中，Dropbox僅僅重置了已知存在風(fēng)險(xiǎn)的賬號(hào)密碼，而沒有重置其他密碼。實(shí)際上，許多公有云存儲(chǔ)或稱為“網(wǎng)盤”服務(wù)常常無法洞悉數(shù)據(jù)泄露事故的細(xì)節(jié)，這讓大批個(gè)人和企業(yè)用戶開始質(zhì)疑“網(wǎng)盤”服務(wù)的安全性。

針對(duì)此次數(shù)據(jù)泄露事件，亞信安全業(yè)務(wù)發(fā)展及產(chǎn)品研發(fā)總經(jīng)理童寧也表示了擔(dān)憂，他表示：“我們還無法將這次事件與其他泄露事故準(zhǔn)確關(guān)聯(lián)，因此普通用戶如果將Dropbox 賬號(hào)+密碼的組合用于其它網(wǎng)絡(luò)服務(wù)中，也應(yīng)該進(jìn)行更改，防患于未然。而在大量媒體曝光的數(shù)據(jù)泄露案件中，相關(guān)企業(yè)幾乎無法準(zhǔn)確評(píng)估有多少數(shù)據(jù)真正被泄露出去，只能通過黑客地下市場(chǎng)的數(shù)據(jù)交易量進(jìn)行評(píng)估。因此，對(duì)于涉及企業(yè)內(nèi)部核心機(jī)密的數(shù)據(jù)，應(yīng)該采用更加安全的云存儲(chǔ)技術(shù)手段進(jìn)行防護(hù)?！?/p>

而在此之前，亞信安全剛剛發(fā)布了最新的《2016第二季度安全威脅報(bào)告》，從中我們可以發(fā)現(xiàn)，數(shù)據(jù)泄漏在2016年幾乎成為了一種“常態(tài)化”的安全事故。比如卡塔爾國家銀行被黑、導(dǎo)致1.4GB數(shù)據(jù)庫泄露，1.54億美國選民信息泄露，2.7億個(gè)谷歌和微軟電子郵件賬號(hào)泄露，1.17 億 LinkedIn用戶數(shù)據(jù)在暗網(wǎng)被出售等等。那么，如果企業(yè)用戶已經(jīng)決定從公有云存儲(chǔ)圈中“撤離”，在自建數(shù)據(jù)交換平臺(tái)時(shí)，又當(dāng)如何選擇呢?

針對(duì)用戶希望云存儲(chǔ)“更安全”的需求，亞信安全TSG產(chǎn)品管理副總經(jīng)理劉政平表示：“亞信安全企業(yè)安全云盤(SafeSync)是亞信安全提供給用戶實(shí)現(xiàn)跨設(shè)備文件同步及云端服務(wù)的企業(yè)私有云服務(wù)，可以幫助用戶在原有文件服務(wù)器基礎(chǔ)架構(gòu)上，擁有跨終端設(shè)備平臺(tái)、便利存取、同步無界限、權(quán)限控管、協(xié)同合作、傳輸及文件加密安全的特性。在考慮的便捷性的同時(shí)，SafeSync更是在安全管理方面實(shí)現(xiàn)了顆?；刂乒δ?，比如在客戶端與企業(yè)私有云數(shù)據(jù)中心的數(shù)據(jù)傳輸均采用了 AES 256 位加密通信保護(hù)，通過文檔備份策略還可以有效防范勒索軟件，并擁有先進(jìn)的防毒過濾功能和數(shù)據(jù)防泄密保護(hù)功能，并且可以避免因移動(dòng)終端遺失、失竊或設(shè)備故障所造成的數(shù)據(jù)損失。”

安全遭質(zhì)疑 專家建議蘋果更換iMessage協(xié)議

據(jù)外媒MacRumors報(bào)道，美國約翰·霍普金斯大學(xué)的研究人員發(fā)現(xiàn)，蘋果消 息服務(wù)iMessage的安全協(xié)議存著了不少風(fēng)險(xiǎn)。

研究人員發(fā)現(xiàn)，新漏洞中有一種名為“密文攻擊”的攻擊方法，只要收發(fā)雙方有 一方在線，黑客就可以對(duì)某種類型的信息和附件解密。

這種攻擊方法同樣適用于采用相同加密格式的其他協(xié)議，例如蘋果Handoff 特性。專家指出，被應(yīng)用在即時(shí)通訊應(yīng)用中時(shí)，OpenPGP協(xié)議也可能面臨類似攻 擊。

據(jù)了解，這種攻擊方法要求黑客利用竊取的TLS證書，或通過訪問蘋果服務(wù) 器，攔截消息。雖然攻擊對(duì)技術(shù)水平要求相當(dāng)高，研究人員指出，它仍然能被獲 得國家資助的黑客所掌握。

事實(shí)上，蘋果的加密技術(shù)并不像OTR和Signal等現(xiàn)代加密協(xié)議那樣定期更換 密鑰。也就是說，相同攻擊方法可以用于iMessage歷史數(shù)據(jù)。

警惕！智能路由器或存在安全漏洞

近年來，隨著無線終端的大量普及，無線路由器產(chǎn)品也不斷推陳出新，其中能夠?yàn)橄M(fèi)者帶來便捷應(yīng)用的智能路由器，更成為該產(chǎn)品線上的一類重要分支。不過，近期以智能路由器為噱頭的必虎（BHU）智能路由器，卻被曝出存在多個(gè)安全漏洞，甚至引發(fā)國外媒體的關(guān)注。

按照研究人員在IOActive上發(fā)布的安全公告顯示，必虎智能路由器在用戶的身份驗(yàn)證機(jī)制上存在漏洞，攻擊者無需身份驗(yàn)證，即可訪問存儲(chǔ)在系統(tǒng)日志中的敏感數(shù)據(jù)。不僅如此，攻擊者還能以root權(quán)限在路由器上執(zhí)行系統(tǒng)級(jí)別的控制命令。

按照研究人員在IOActive上發(fā)布的安全公告顯示，必虎智能路由器在用戶的身份驗(yàn)證機(jī)制上存在漏洞，攻擊者無需身份驗(yàn)證，即可訪問存儲(chǔ)在系統(tǒng)日志中的敏感數(shù)據(jù)。不僅如此，攻擊者還能以root權(quán)限在路由器上執(zhí)行系統(tǒng)級(jí)別的控制命令。