WTT日報：維基解密放出朝鮮核試驗2,380份文檔；不懂編程也能當黑客？華為手機引導程序漏洞

維基解密放出朝鮮核試驗2,380份相關文檔

今天，維基解密官網放出朝鮮核試驗2,380份相關文檔。

其中1,770份為全球各國情報機構對朝鮮核試驗的分析檔案，582份為美國大使館和領事館相關文件，還有12份為美國國會關於朝鮮核試驗的機密報告。

9月3日，朝鮮進行第六次核試驗，此次核爆當量為108.3±48.1千噸，高度疑似氫彈。

（左）朝鮮2017年9月3日核爆定位位置（五角星標記為2017/09/03)相對於其2016年9月9日的核爆位置 (五角星標記為2016/09/09)，及其定位誤差（橢圓）。（右）Google地圖中朝鮮2017年9月3日及其歷次核爆的位置（紅圈），引爆時刻（紅標誌）和當量（藍標誌）。

中國對此次核試驗予以堅決反對並強烈譴責，但依舊強調中方不允許半島生戰生亂，中方提出的「雙暫停」和俄聯邦提出的「分步走」方案是實現半島和平穩定的有效路線圖。

而美國駐聯合國代表再次拒絕接受「雙暫停」和「分步走」倡議，並稱只有實施更加嚴厲的制裁方能解決問題。

微軟表示：每個企業都應該有一個網路安全應急計劃

數據對現代企業比以往任何時候都更為重要。

但安全漏洞和數據泄露事件幾乎每周都會成為新的頭條新聞。今天的防禦系統遠未完備，我們建立了一個城堡，但只要其中一塊磚頭出問題，「城堡」就會被攻破。

作為最流行的操作系統，很多病毒的傳播都利用了微軟windows系統的漏洞。例如今年曾肆虐全球的Wannacry和Notpetya勒索病毒。

Gartner的一份報告指出，美國企業停機的平均成本為每分鐘5,600美元，每小時超過30萬美元。

但即使是大型企業，也不可能完全防禦來自各個方面的攻擊。

所以微軟建議，企業不僅要有防範安全漏洞的計劃，還要有一個在安全漏洞發生後保持業務運行的計劃，保證公司業務的連續性和及時的災難響應，盡量減少損失。

加拿大警方查獲盜用銀行卡在線商店

加拿大警方已經封鎖http://Fazny.ca域名；http://Fazny.ca是一家在線電子商店，竊取用戶的付款卡數據，並使用它進行欺詐性購買。

受害者在http://Fazny.ca商店購買產品時收到重複的錯誤，表示無法處理付款。受害人說，不久之後，他的銀行賬戶的財務報表出現了幾次可疑的購買。

該網站使用Facebook廣告來吸引用戶到其商店。警方表示，該網站是一個虛假的電腦配件產品網站，圖片都是從其他網站竊取的。

希拉里支持的fact-checking網站Verrit被黑了

希拉里·柯林頓剛剛在推特上發文支持政治新聞fact-checking網站Verrit之後，它馬上就被黑了。

在推特中，希拉里邀請粉絲註冊Verrit；不過僅一個小時過後，該網站就被DDoS攻擊癱瘓了。

隨著去年美國總統大選中「假新聞」不斷出現，fact-checking網站逐漸開始流行。

目前比較有名的有：

http://www.snopes.com/

http://www.politifact.com/

http://www.factcheck.org/

http://hoaxy.iuni.iu.edu/

黑客似乎與希拉里天生八字不合，仇怨由來已久。

在去年美國大選中，以維基解密為首的黑客團隊360度各種黑希拉里，其敗選也與之有一定關係。

惡意軟體：

不懂編程也能當黑客？

不懂編程，但還是想當黑客怎麼辦？

不用著急，現在黑客服務商已經貼心到為你開發了以智能手機為平台的「傻瓜式」木馬開發套件（TDKs: Trojan Development Kits）。

這些TDK應用程序可以從黑客論壇，或者很多「秘密」的QQ群中獲得，免費。

該應用程序具有易於使用的界面，與其他Android應用程序沒有任何區別，除了它被用來創建惡意軟體。

為了生成惡意軟體，所有用戶只需要做的是填寫屏幕上的表單來選擇他們想要的定製選項。

該應用程序還允許用戶與該程序的開發人員在線聊天，解答疑難問題。

當然，生成最終的惡意軟體時，還是有一次小小的付費的。

最後是：黑客有風險，入行需謹慎。

數據泄露：

拉丁美洲社交媒體巨頭Taringa被黑客入侵，2800萬帳號被盜

拉丁美洲Reddit類社交網站Taringa遭受了巨大的數據泄露，其中有2800萬用戶帳戶被盜。

據Taringa目前的統計，該平台擁有28,512,139名註冊用戶，這表明黑客從該網站竊取了100％的記錄。

Taringa證實此次數據泄露。在安全通知中，該網站表示事件發生在8月1日，但沒有電話號碼和比特幣錢包地址被盜取，網站的伺服器也沒有被訪問。

這是2017年發生的最大的數據泄露事件之一。

2017年5月，餐館搜索引擎巨頭Zomato遭受了巨大的數據泄露，其中1700萬個帳戶被盜並在黑暗網上銷售。

上周，一名安全研究人員發現了一個組合列表，其中包含7.11億個電子郵件和和密碼，被網路犯罪分子用來傳播危險的銀行木馬。

安全漏洞：

Android手機主要晶元組供應商代碼中發現了多個引導程序錯誤

加利福尼亞大學聖巴巴拉分校的一組研究人員發現Android手機主要晶元組供應商代碼中存在五個漏洞，這些缺陷使得流程變得易受攻擊。

他們構建了一個名為BootStomp的工具來自動檢測引導程序中的安全漏洞，從而在啟動設備時載入操作系統內核。

該工具在分析了包括高通、聯發科、Nvidia和華為在內的四個大型晶元組製造商的代碼之後，確定了兩個引導程序中的6個零日漏洞，其中5個已經被供應商確認。

這五個引導程序漏洞來自使用三種不同晶元組的設備，其中包括華為P8 ALE-L23，華為/ HiSilicon晶元組，索尼Xperia XA以及聯發科技晶元組，以及Nexus 9和Nvidia的Tegra晶元組。

研究人員指出，華為的引導載入程序的設計使錯誤「相當嚴重」，因為它們允許攻擊者破壞信任鏈，並在設備上獲得難以被用戶檢測到的控制許可權。

詳細分析見：

http://www.zdnet.com/article/android-security-multiple-bootloader-bugs-found-in-major-chipset-vendors-code/#ftag=RSSbaffb68

http://www.wttech.org/

http://leaks.wttech.org/

推薦閱讀：