Apple 宣布计划在 2021 年 8 月扫描您的 iCloud
内容以查找儿童性虐待材料 (CSAM),以保护儿童免受掠夺者的虐待。
该公司计划在 iCloud 照片中推出一项新的 CSAM
检测功能,该功能将扫描此类内容并向 Apple
报告匹配图像,同时保护用户隐私。
然而,这项新功能遭到了不同的反应。自最初宣布以来一年多,Apple
正式放弃扫描 iCloud 照片以获取 CSAM 的计划。
Apple 放弃扫描
iCloud 以查找虐待儿童材料的计划
根据 WIRED 的一份报告,Apple 正在放弃扫描您的 iCloud
以查找虐待儿童内容的计划。该工具将扫描存储在 iCloud
上的照片,以找到与儿童安全组织识别的已知 CSAM
图片相匹配的照片。然后它可以报告这些图像,因为在包括美国在内的大多数司法管辖区拥有
CSAM 图像是非法的。
为什么 Apple
取消了扫描 iCloud 照片的计划
在 2021 年首次发布后,Apple
遭到了全球范围内倡导数字隐私和安全的客户、团体和个人的强烈反对。iPhone
通常比 Android
设备提供更多的安全性,许多人认为这 ...
每个人都知道勒索软件很可怕。现在,一种名为 BlackCat
的聪明的新型勒索软件变体构成了更大的威胁。 与其他网络攻击不同,BlackCat
勒索软件使用一种难以解码的强大编程语言。BlackCat
勒索软件到底是什么?您有多大机会阻止它?
什么是 BlackCat 勒索软件?
BlackCat 是一种勒索软件即服务 (RaaS) 网络攻击模型。BlackCat
勒索软件的肇事者会破坏系统中的数据,并向受害者提出金钱要求以换取数据。BlackCat
勒索软件于 2021 年 11 月首次出现。 BlackCat
不是您的常规黑客组织。它与来自不同网络攻击组织的分支机构合作,并为他们提供高达
90% 的报酬。这是一个很大的吸引力,因为其他 RaaS 程序提供的不超过
70%。由于报酬高,BlackMatter 和 REvil 等其他团伙的黑客都渴望与 BlackCat
合作。 尽管 BlackCat 勒索软件在 Windows
中很普遍,但它也可能出现在其他操作系统中。
BlackCat 勒索软件如何运作?
作为一种勒索软件攻击,BlackCat
使用受恶意软件感染的电子邮件或网站 ...
加密平台是您可以交易、抵押、借出和借入资产的关键工具。虽然有很多值得信赖的加密服务,但也有一些虚假或管理不善的项目丢失或窃取了客户的钱。以下是使用加密平台时应注意的警告标志。
1.缺乏安全功能
如果您打算将您的资金、支付信息、私钥或其他敏感数据委托给加密服务,那么它可以为您提供足够的安全措施来保护您免受网络犯罪分子的侵害至关重要。
以 Coinbase
为例。这种集中式加密交换提供了一系列有用的安全功能,包括双因素身份验证、地址白名单、几乎所有资产的冷存储以及员工背景调查。这些措施可以更好地保护您免受诈骗。
如果给定的加密平台几乎不提供任何安全功能,则应将其视为危险信号。它要么运行不善,要么被恶意行为者控制,他们希望获得您的资金或数据。
2. 好得令人难以置信的承诺
在许多加密平台上,您可以通过您的资产赚取一些额外的钱。这可以通过流动性农业、质押、玩加密游戏、储蓄和借出您的资产来完成。虽然许多人被使用他们的加密货币赚钱的想法所吸引,但同样重要的是要注意网络犯罪分子知道这一点。他们愿意做出重大承诺以引诱受害者。
假设一个平台声明它可以通过单产农业为你提供 30% 的 APY
回报。这 ...
比利时研究人员今日表示:WPA2 安全加密协议已经被破解。
如果你朋友圈里有一两个略懂一些技术的好友,那么他一定在昨天已经转发过了相关的新闻。也许你对这条充满技术词语的新闻并不关心,除非我们换一种说法:你能连接到的绝大多数
WIFI 在一夜之间都不安全了,甚至你通过自己家路由器的 WIFI
上网,都有可能被盗号。 安全专家 Mathy Vanhoef
表示:“该漏洞影响了许多操作系统和设备,包括
Android,Linux,Apple,Windows
等。”这个概念验证攻击被称作“KRACK”(密钥重装攻击),详细破解方法和视频演示已在
krackattacks.com 网站上公布。
WPA2 是什么?
WPA 全称为 Wi-Fi Protected Access,有 WPA 和 WPA2
两个标准,是一种保护无线网络安全的加密协议。用更通俗一点的话来说,我们都知道连接到大多数
WIFI
是要输入密码的,这一过程不止用于防止蹭网,其实更重要的事验证你的手机和路由器之间的通信没有被别人窃取。毕竟,对于满世界乱飘的无线数据来说,就好像是你从手机端寄一个快递到同一个小区的路由器家。因为你手机 ...
TIPS
未读安全左移(Shift Security
Left)
这是一个 DevSecOps
时代非常关键的思路转变,其实也很容易理解。持续的发布不停地进行,靠以往把所有的检查在发布之前进行根本跟不上这个速度。所以需要更多的关注研发流程的“左”边,在更早的环节中(设计、编码、自动测试)也要进行安全介入和管控。但安全工作必须从工程师的角度出发,制定更加轻量级可迭代的措施,并以有效、可重复和易于使用的方式实现自动化。这个想法虽好,但并不是那么容易落地,主要的原因是安全人员数量并不足够,所以需要让开发和运维人员承担更多的安全责任,这里需要安全人员对他们进行更多的安全培训(意识和能力),还有就是提供有效的工具来帮助构建更安全的系统。
这一思想诞生了众多的尝试。对需求和架构设计中的快速安全评估机制以及简易威胁建模方法论和工具集等,例如
PayPal 曾在 2016 年的 RSA
大会上分享他们每个团队都必须进行初步的风险评估,并在每一个新应用或微服务开始工作时填写一份自动化的风险调查问卷。又如沉寂多年的源代码安全扫描手段和工具重新被重视(如
GitHub 推出的 CodeQL 等产品),在 IDE
中做更好 ...
TIPS
未读传统安全 SDL
传统的基于瀑布和敏捷开发的研发模式下,有很多软件安全开发的管理理论方法,比如
BSIMM(Building Security In Maturity Model)、SAMM(SoftwareAssurance
Maturity Model)等。其中,一个行之有效并且大量地被
IT/互联网行业所使用的最佳安全实践被微软发明并向业界推荐,名称为安全开发生命周期(Security
Development
Lifecycle,俗称“SDL”),这套方法论和其中的最佳实践已经成为一些行业事实上的标准,国内外各大
IT
和互联网公司包括腾讯也都在基于这套理论和实践,结合自己的研发实际情况来进行研发安全管控。如下图可以看到整个过程,需要注意的是,SDL
本身并未关注运维,为了弥补这个缺陷,微软也推出了 OSA(Operational
Security Assurance)。
SDL
在研发、测试之外定义了安全的角色,通过流程上的保证,使安全人员及其工作能够嵌入到研发过程中的各个环节,以此来降低产品中出现安全漏洞的风险。
DevOps 对 SDL 的挑战
DevOps
出现之后, ...
早在 2008
年,在软件研发领域敏捷开发的国际会议上,已经有人开始反思研发流程中
Development 和 Operations 等角色之间的合作和效能问题。2009 年,在
O’Reilly 集团举办的“VelocityConference”会议上,两名 Flickr
员工(技术运营高级副总裁 John Allspaw 和工程总监 Paul
Hammond)做了题为“10+ Deploys per Day: Dev and Ops Cooperationat
Flickr”的演讲,从考古的角度来说这次演讲非常有价值和纪念意义,可以看做开创了我们现在所说的“DevOps”概念。其后,这个概念不断地被美国硅谷等地的一些大小互联网公司所采用和发展,创造出了一种新的软件研发思维模式和行动指南。
维基百科上,DevOps(Development 和 Operations
的组合词)是一种重视“软件开发人员(Dev)”和“IT
运维技术人员(Ops)”之间沟通合作的文化、运动或惯例。透过自动化“软件交付”和“架构变更”的流程,来使得构建、测试、发布软件能够更加地快捷、频繁和可靠。
现在,即使 ...
概述
DevSecOps
代表开发、安全和运营。它是一种文化、自动化和平台设计方法,将安全性集成为整个
IT 生命周期中的共同责任。
DevSecOps 与 DevOps
DevOps 不仅仅是开发和运营团队。如果您想充分利用 DevOps
方法的敏捷性和响应能力,IT
安全还必须在应用程序的整个生命周期中发挥综合作用。
为什么?过去,安全的角色在开发的最后阶段被隔离到特定的团队。当开发周期持续数月甚至数年时,这并没有那么成问题,但那些日子已经过去了。有效的
DevOps
可确保快速且频繁的开发周期(有时为数周或数天),但过时的安全实践甚至会破坏最高效的
DevOps 计划。 现在,在 DevOps
的协作框架中,安全是端到端集成的共同责任。这是一种非常重要的心态,它导致一些人创造了“DevSecOps”这个术语来强调在
DevOps 计划中建立安全基础的必要性。 DevSecOps
意味着从一开始就考虑应用程序和基础架构的安全性。它还意味着自动化一些安全门,以防止
DevOps
工作流程变慢。选择合适的工具来持续集成安全性,例如商定具有安全功能的集成开发环境
(IDE) ,可以帮 ...
概述
CI/CD
是一种通过在应用程序开发阶段引入自动化来频繁向客户交付应用程序的方法。CI/CD
的主要概念是持续集成、持续交付和持续部署。CI/CD
是解决集成新代码可能给开发和运营团队带来的问题(又称“集成地狱”)的解决方案。
具体来说,CI/CD
在应用程序的整个生命周期(从集成和测试阶段到交付和部署)引入了持续自动化和持续监控。总而言之,这些相互关联的实践通常被称为“
CI/CD 管道”,并得到开发和运营团队的支持,以敏捷的方式与 DevOps
或站点可靠性工程 (SRE)方法一起工作。
CI 和 CD(以及其他
CD)有什么区别?
首字母缩略词 CI/CD 有几个不同的含义。CI/CD
中的“CI”始终指的是持续集成,它是开发人员的一个自动化过程。成功的 CI
意味着对应用程序的新代码更改会定期构建、测试并合并到共享存储库。它解决了同时开发的应用程序有太多分支可能相互冲突的问题。
CI/CD
中的“CD”指的是持续交付和/或持续部署,这些相关概念有时可以互换使用。两者都是关于自动化管道的进一步阶段,但有时单独使用它们来说明发生了多少自动化。
持续交付通常意味着开发人员对应用 ...
暗网是互联网的一部分,不被常规搜索引擎索引,只能使用专门的软件访问。由于暗网比表面互联网更私密,因此对网络犯罪分子很有吸引力,他们利用暗网分享和出售窃取的信息。
如果发生数据泄露,您的凭据可能会出现在暗网市场或论坛上。但是你怎么知道你的电子邮件地址是否泄露了呢?您可以采取哪些措施来保护自己?
如何知道您的电子邮件地址是否在暗网上
浏览暗网以确定您的电子邮件是否已泄露不是一种选择 -
彻底调查将需要无数小时和巨大的努力,但很可能不会产生任何结果。不过,您还可以执行其他操作来检查您的电子邮件帐户是否已被盗用。这是三种方法。
1.注意可疑活动
可疑和不寻常的活动是您的电子邮件帐户已被黑客入侵的可靠迹象。例如,如果您发现您的辅助邮箱地址或电话号码发生了变化,您的帐户很可能已被盗用。显然,由于密码更改而无法登录您的帐户是另一个明显的违规迹象,就像您的发件箱和已发送文件夹中的未知邮件一样。
2.检查我是否被 Pwned Have I Been Pwned
是一个网站,您可以使用它来检查您的数据是否因违规而受到损害。该工具是免费的,可扫描网络以查找数据库转储并收集信息。要检查您的电子邮件或密码是否 ...