原标题ღ★✿：FreeBuf早报丨为方便解锁Model 3ღ★✿，美女黑客提取特斯拉钥匙卡RFID芯片并植入手臂ღ★✿；“螺丝刀”揭开严重安全漏洞ღ★✿，多厂商驱动程序及固件现提权问题ღ★✿；最新安全报告ღ★✿：单反相机已成为勒索软件攻击目标

　　今日头条悄悄上线自家搜索入口ღ★✿：“头条搜索”网页版ღ★✿，目前可以在电脑端搜索“头条搜索”来试用ღ★✿。该产品的Slogan为ღ★✿：搜你想搜的ღ★✿。如果将头条搜索网页版（下称“头搜”）与百度搜索进行对比ღ★✿，用户会发现其中很大不同ღ★✿。目前ღ★✿，百度仍然是国内最大的搜素引擎ღ★✿，然而在移动App盛行的市场中也难逃年利润不断下滑的厄运ღ★✿，这其实与字节跳动的产品有关ღ★✿。2018年底开云体育注册ღ★✿，今日头条和虎扑已成为国内最大两家新闻资讯Appღ★✿。

　　外媒报道称ღ★✿，拥有游戏模拟和编程背景的软件工程师Amie DDღ★✿，最近发布了一段展示其“身体改造”的视频ღ★✿。为了实现“人肉解锁”Model 3的目标ღ★✿，她首先使用丙酮溶液提取了特斯拉“钥匙卡”中的RFID芯片ღ★✿，将之裹入生物聚合物ღ★✿，然后通过空心针管注入左手臂ღ★✿。虽然这件事听起来很新奇ღ★✿，但Amie本身并不是一个Biohacking的新手ღ★✿。此前她曾希望利用已经植入体内的RFID芯片来发动Model 3ღ★✿，但可惜特斯拉的安全性不允许她这么做ღ★✿。

　　央行支付结算司副司长穆长春上周六表示ღ★✿，2014年至今ღ★✿，央行数字货币DC/EP (DEღ★✿，digital currencyღ★✿，是数字货币ღ★✿；EPღ★✿，electronic paymentღ★✿，是电子支付）的研究已经进行了五年戴奈米克官网ღ★✿，现在 “呼之欲出”ღ★✿。对于是否采用区块链技术的问题戴奈米克官网ღ★✿，穆长春表示ღ★✿，由于法定数字货币是M0替代ღ★✿，如果要达到零售级别ღ★✿，因此高并发是绕不过去的一个问题ღ★✿。“去年双十一的时候ღ★✿，网联的交易峰值达到了92771笔/秒ღ★✿，比较一下ღ★✿，比特币是每秒7笔ღ★✿。以太币是每秒10笔到20笔ღ★✿，Libra根据它刚发的白皮书ღ★✿，每秒1000 笔ღ★✿。可以设想ღ★✿，在中国这样一个大国发行数字货币ღ★✿，采用纯区块链架构无法实现零售所要求的高并发性能ღ★✿。所以最后我们决定央行层面应保持技术中性ღ★✿，不一定依赖某一种技术路线.AV-TEST最新评测将Windows Defender列为消费者最可靠的杀毒软件【外刊- 阅读原文】

　　列为普通消费者最可靠的反病毒软件ღ★✿。该独立评测机构根据某些参数测试反病毒软件并进行评分ღ★✿，这些参数其实就是防护ღ★✿、性能和可用性三个方面开云体育注册ღ★✿。最新评测报告显示Windows Defender在上述方面都取得非常不错的成绩ღ★✿，因此被推荐为最可靠的杀毒软件ღ★✿。5.英国ღ★✿：科技公司不删除有害视频ღ★✿，可能会被罚款【 阅读原文】

　　英国政府正计划向数字监管机构Ofcom提供新的临时权力ღ★✿，允许其向YouTubeღ★✿，Instagram或Facebook这样的高科技公司实施监管ღ★✿，如若这些公司未能及时删除儿童可能看到的有害内容ღ★✿，如色情和暴力ღ★✿，将面临罚款ღ★✿。根据计划ღ★✿，Ofcom将从2020年9月19日起获得这些权力ღ★✿。新的权力只是暂时的ღ★✿，直到“在线危害监管机构可以承担责任”ღ★✿。Ofcom认为这些规则是规范在线视频共享的“重要的第一步”ღ★✿，他们将与政府密切合作以提供保障ღ★✿。同时ღ★✿，Ofcom还支持更广泛的立法ღ★✿，以引入更多保护措施ღ★✿，包括一项措施ღ★✿，即公司对其用户负有“关注责任”戴奈米克官网ღ★✿。

　　苹果安全工程主管Ivan Krstić在拉斯维加斯举行的黑帽大会上宣布ღ★✿，苹果将升级漏洞悬赏计划ღ★✿，除了iOS设备外ღ★✿，还会覆盖macOSღ★✿、tvOSღ★✿、watchOS和iCloudღ★✿。苹果于2016年8月正式推出适用于iOS设备的漏洞悬赏计划ღ★✿，允许安全研究人员找到iOS漏洞ღ★✿，并向苹果汇报ღ★✿，以获得赏金ღ★✿。此前ღ★✿，非iOS设备并没有悬赏计划ღ★✿，这样的操作也一直被安全社区批评ღ★✿。除了macOS悬赏计划外ღ★✿，苹果还会提高赏金金额ღ★✿，从之前的每个漏洞20万美元提升至100万美元开云体育注册ღ★✿。此外ღ★✿，苹果还会向研究人员提供“开发版”iPhoneღ★✿，这是特殊版iPhoneღ★✿，可以更深入地访问底层软件和操作系统ღ★✿，从而更容易发现漏洞ღ★✿。

　　Michael “Shroud” Grzesiek是国外直播平台Twitch上一名《绝地求生》ღ★✿、《Apex英雄》大主播ღ★✿，此前他曾经是CS职业选手ღ★✿。Shroud的账号在当地时间周一早上被黑戴奈米克官网ღ★✿，发了很多链接到其他twitter账号的推文ღ★✿，威胁发裸照ღ★✿，同时还发布了针对其他Twitch大主播的仇恨性言论ღ★✿。此外还声称如果一些指定的Twitter账号获得了足够的粉丝ღ★✿，那么他还会公开Shroud女友Hannah “Bnans” Kennedy的裸照ღ★✿。事发后ღ★✿，Shroud很快（用了30分钟）找回了自己的账号删除了那些推文ღ★✿。在登陆自己的账号后ღ★✿，Shroud向自己的粉丝道歉ღ★✿，同时还po了一张喵星人照片ღ★✿。

　　一家名为Eclypsium的网络安全研究公司公布了一份报告ღ★✿，称超过20家公司都会收到其发现的名为“螺丝刀”漏洞的影响ღ★✿。报告中ღ★✿，该公司称驱动程序及固件的不安全问题非常普遍ღ★✿，包括华硕戴奈米克官网ღ★✿、华擎等主要的BIOS供应商及NVIDIA等的驱动程序中都发现了严重漏洞ღ★✿，而且更严重的是他们发现的易受攻击的驱动程序都经过了微软的认证开云体育注册ღ★✿，因此他们已经邀请微软提供包括将一直的问题驱动列入黑名单等方法防范此类漏洞ღ★✿。这些漏洞都允许驱动程序充当代理ღ★✿，以执行对硬件资源的高权限访问ღ★✿，例如对处理器和芯片组的I/O空间的读写访问等ღ★✿。这是一种权限提升ღ★✿，因为它可以将攻击者从用户模式（Ring 3）提权至操作系统的内核模式（Ring 0）ღ★✿，这样恶意软件就会拥有更多的权限执行ღ★✿。而驱动程序中的漏洞会使恶意软件较为轻松的获取高等级权限ღ★✿。

　　在近日于拉斯维加斯举办的Defcon安全会议上ღ★✿，DARPA设立了一台价值1000万美元的投票机原型ღ★✿，并欢迎各路人员寻找该机器的安全漏洞ღ★✿。然而由于一个意外的错误ღ★✿，导致大家难以向它发起测试ღ★✿。据悉ღ★✿，原因不在于研发团队花了四个月时间去完善机器的安全功能ღ★✿，而是因为机器在安装过程中遇到了技术难题ღ★✿。

　　安全软件公司Check Point今天发布了一份报告ღ★✿，详细说明了如何在数码单反相机中远程安装恶意程序ღ★✿。研究人员Eyal Itkin发现戴奈米克官网ღ★✿，黑客可以轻易地在数码相机上植入恶意软件ღ★✿。他表示标准化的图片传输协议是传递恶意软件的理想途径ღ★✿，因为它是未经身份验证的ღ★✿，可以与WiFi和USB一起使用ღ★✿。该报告中指出通过黑客可以在热门景点部署有风险的WiFi热点ღ★✿，只要单反连接到这些热点后就能进行攻击ღ★✿，从而进一步感染用户的PCღ★✿。

　　安全公司Eclypsium的研究人员在硬件和固件安全研究中发现ღ★✿，至少20家供应商的40多个Windows设备驱动存在高危漏洞ღ★✿，允许绕过或提权戴奈米克官网ღ★✿。这些设备供应商包括了华硕ღ★✿、东芝ღ★✿、英伟达和华为ღ★✿。这些设备驱动被广泛使用ღ★✿，并获得了微软的数字签名ღ★✿，允许攻击者能更方便秘密的渗透到目标网络ღ★✿。设备驱动通常都具有非常高的权限ღ★✿，其中包括进行修改的权限ღ★✿，允许攻击者在系统中获得永久的立足之地ღ★✿。Eclypsium已经通知了微软ღ★✿，英伟达已经释出了修复的驱动ღ★✿。

　　京津冀消费者协会联合发布智能门锁比较试验结果ღ★✿，结果显示超六成智能门锁IC卡钥匙可被破解复制开云体育注册ღ★✿，超八成可用制作的假指纹解锁ღ★✿。本次智能门锁比较试验涉及28个品牌的38把样品开云体育注册ღ★✿，购买价格从790元到3700元不等ღ★✿。比较试验主要针对的是与智能门锁相关的安全和可靠性项目ღ★✿，包括ღ★✿：电磁兼容性试验ღ★✿、环境试验ღ★✿、IC卡解锁试验ღ★✿、指纹解锁试验ღ★✿、密码逻辑安全试验和电路非正常等试验ღ★✿。经测试ღ★✿，38把智能门锁样品中ღ★✿，8把样品电磁兼容试验存在异常反应ღ★✿；6把样品极低温环境下无法解锁ღ★✿；24把样品的IC卡钥匙可被破解复制ღ★✿；14把智能门锁样品宣传具有活体指纹功能ღ★✿，实测并不具备此功能ღ★✿，涉嫌虚假宣传ღ★✿；32把样品可用制作的假指纹解锁ღ★✿；30把样品可靠性差ღ★✿。京津冀三地消协建议消费者选购带有半导体指纹识别技术的智能门锁产品开云体育注册ღ★✿，安全性高于光电式指纹门锁ღ★✿，同时建议厂家适度宣传ღ★✿，不要过度宣传活体指纹ღ★✿；要选择具有虚位密码的智能门锁产品ღ★✿，使用过程中设置多位密码ღ★✿。

　　安全在今天越来越受重视ღ★✿，各类企事业单位也不断加大安全投入ღ★✿，很多度过了安全建设初级阶段(被动防御)的安全团队开始做态势感知ღ★✿。然而ღ★✿，市场很多声称具备安全态势感知的产品大多是厂商站在乙方视角推出的SOC产品ღ★✿，在甲方发挥的主要作用是安全可视化ღ★✿，往往成为一个观赏性的玩具ღ★✿。

　　权限控制在等保测评里仅仅说了要求ღ★✿，但是怎么落地却基本没写ღ★✿，怎么说呢ღ★✿，比较抽象ღ★✿。所以ღ★✿，我觉得还是有必要了解一下centos系统大概有什么方法可以实现对用户的权限控制ღ★✿，不至于测评的时候完全不知道怎么测ღ★✿。

　　从事安全合规工作多年戴奈米克官网ღ★✿，经常会有同事或朋友过来问我一些标准中的点ღ★✿，比如后端实施的一些工程师和项目经理比较关心的是测评中要求项的测评方法和测评点ღ★✿、如何给客户解释此项ღ★✿，如何整改才算合规ღ★✿；也有前端销售和售前ღ★✿，问我能不能对合规的内容详细给他们讲讲ღ★✿，最好结合产品和服务ღ★✿，或者培训一下ღ★✿，他们关心的是如何将合规的东西结合产品或服务灌输给客户ღ★✿，因为几年来国家对网络安全的要求越来越严格ღ★✿，企业对安全也是越来越重视ღ★✿，不管是为了应付监管还是为了保障业务ღ★✿，安全合规可以说是企业安全的基线ღ★✿，必须要做没有商量ღ★✿。所以ღ★✿，决定结合即将实施的等保2.0（以下简称“等2”或“新标准”）标准的通用部分ღ★✿，做一下分析ღ★✿，给出一些个人建议ღ★✿，以供前端和后端人员参考ღ★✿。开运体育发动机工业开云体育ღ★✿！开云体育全站app下载ღ★✿，投资者推荐ღ★✿，全国500强企业ღ★✿，汽车饰件ღ★✿！