【安全帮】德国IT监管部门发声：“无证据”证明华为参与间谍活动

国内首家 360 浏览器推出自有根证书计划 随着黑客攻击手段的层出不穷，网络劫持现象愈演愈烈，且手段日益升级。与此同时，目前国内仍有大量网站未全站支持SSL证书，更有不少网站仅支持http访问，使用明文网络协议传输敏感信息，如同裸奔。近年来全球范围内屡次爆出赛门铁克等CA机构未经授权错误签发大量SSL证书的事件，也让传统老牌CA机构的权威性和安全性频频遭遇信任危机。去年，Google正式宣布推出自有CA根证书，摆脱对由第三方签发的中级证书颁发机构的依赖。在12月17-18日召开的2018网络空间可信峰会上，360 PC浏览器事业部总经理梁志辉公布360浏览器将创建自有根证书计划，全面提升用户上网的安全性。据了解，这是距谷歌宣布推自有CA证书后，国内首家创建自有根证书的浏览器厂商。

参考来源：

https://www.cnbeta.com/articles/tech/799725.htm

德国 IT 监管部门发声： “ 无证据 ” 证明华为参与间谍活动 据《明镜（Spiegel）》周刊上周五报道，德国IT监管部门对抵制中国电信巨头华为这一呼吁持怀疑态度，认为目前并无证据表明该公司可能利用其设备协助中方进行监视。“宣布像禁令这类重要决定，你需要证据。”德国联邦信息安全局（简称BSI）局长阿恩·肖恩波姆（ArneSchoenbohm）这样告诉《明镜》，并补充道，安全局并未掌握此类证据。华为因涉嫌联系中国情报局，正面临日益严厉的安全审查，这促使美国、澳大利亚与日本等国禁止华为加入建设其国内新一代的超高速5G互联网。《明镜》写道，美国正向德国施压，要求德国对华为发出禁令。

参考来源：

https://www.secrss.com/articles/7200

Signal 表示它不会遵守澳大利亚的反加密法案 澳大利亚国会最近通过的一项受争议法案本质上是要求科技公司在其产品和服务内加入后门，知名端对端加密消息应用 Signal 的开发商 Open Whisper Systems 明确声明它不会遵守澳大利亚的反加密法案，在产品中包含后门。开发者 Joshua Lund 称，根据设计，Signal 没有记录用户的联系人、社交图谱、会话列表、位置，用户头像、用户名、群组成员、群组头衔或头像，而他们也无法访问到加密消息或语音/视频的密钥。Lund 说，虽然他们不能在产品中加入后门，但澳大利亚可能会尝试屏蔽该服务或限制访问其应用。但这种策略通常效果不佳，因为用户可以通过 VPN 绕过封锁。

参考来源：

https://www.solidot.org/story?sid=58983

PewDiePie 粉丝向《华尔街日报》官网发动了黑客攻击 此前有媒体报道称，为了帮助 PewDiePie 稳坐 YouTube“网红一哥”的位置，激进的粉丝曾动用黑客手段，向全球 5 万台网络打印机发起了攻击。但是今天早些时候，《华尔街日报》又成为了最新的目标。黑客编辑了附属网站的一篇赞助帖，称代表 WSJ 向 PewDiePie 致歉，并表示会帮助后者在与 T-Series 的竞争中胜出。对于此事，WSJ一名代表向外媒TheVerge澄清，称他们已经意识到这个问题，并展开了全面的调查：“该页面确属WSJ所有，但定制业务由广告部门负责，与新闻编辑部无关”。为了与异军突起的T-Series竞争，狂热的粉丝还积极在线下开展活动，在时代广场和各地购买广告牌，以吸引他人订阅PewDiePie的 YouTube频道。

参考来源：

http://hackernews.cc/archives/24633

西门子 SINUMERIK 产品曝多个漏洞，允许攻击者远程执行任意代码

西门子于上周告知用户，其SINUMERIK数控系统被安全研究人员确认受到10个安全漏洞的影响，包括拒绝服务（DOS）、特权提升和代码执行漏洞。其中，有四个漏洞的安全风险等级均被评定为“Critcial（紧急）”。据称，这些漏洞是由卡巴斯基实验室的研究人员发现的，它们分别存在于SINUMERIK 808D、828D和840D数控系统（其中部分产品已停产）中。

参考来源：

https://www.secrss.com/articles/7193

美国国会： Instagram 成俄罗斯 “ 信息战 ” 最重要阵地 据彭博社报道，美国参议院情报委员会委托的一份报告显示，Facebook旗下Instagram在俄罗斯操纵美国选民的行为中，扮演的角色比该公司此前讨论的情况要大得多，并且将会成为在2020年选举中俄罗斯的一个关键工具。俄罗斯互联网研究所（IRA）被认为试图在2016年美国大选前后通过虚假信息来分裂美国选民。三组研究人员发布的联合报告显示，这家机构在Instagram上的参与度要远远超过包括Facebook主站在内的任何其它社交媒体平台。

参考来源：

http://hackernews.cc/archives/24638

爆 Twitter 存在安全漏洞，可泄漏电话号码的国家 / 地区代码 据悉，Twitter被爆存在一个安全漏洞，不法分子可以通过该漏洞提取帐号电话号码的国家代码，并查看该帐号是否被Twitter锁定。这一消息令舆论产生担忧，不法分子可能会利用该安全漏洞来查看帐号所属国家，并可能会对举报人或异见者产生影响。该问题来自Twitter联系公司的支持表格。该公司发现，通过该表格的大量查询来自位于中国和沙特阿拉伯的IP地址。Twitter写道：“虽然我们无法确定某些意图或归属，但有些IP地址可能与国家行为有关系。”我们已经请求Twitter提供更多有关信息。目前对这一问题的产生原因可能是模糊不清的，指出特定国家或暗示国家行为参与其中，会产生严重影响。

参考来源：

https://m.lieyunwang.com/archives/450207

关于安全帮®

安全帮®，是中国电信北京研究院旗下安全团队，致力于成为“SaaS安全服务领导者”。目前拥有“1+4”产品体系：一个SaaS电商(www.anquanbang.vip) 、四个平台（SDS软件定义安全平台、安全能力开放平台、安全大数据平台、安全态势感知平台）。