你好呀~欢迎来到“安全头条”!如果你是第一次光顾,可以先阅读站内公告了解我们哦。
【安全头条公告】
安全头条主要发布时下最火热最新鲜的网安资讯,不同于正儿八经的权威消息。本站的资讯内容可能会更富趣味性、讨论性,工作劳累之余给大家来点趣闻,唠唠嗑,也可以一起充电涨姿势~目前每周二、周四营业。
欢迎各位新老顾客前来拜访,在文章底部时常交流、疯狂讨论,都是小安欢迎哒~如果对本小站的内容还有更多建议,也欢迎底部提出建议哦!
Poly Network为肇事黑客谋公差,封官授爵还是请君入瓮?
掀起过大事的人,也很容易摊上事。对于风光过的人,隐姓埋名可能是一种奢望,因为江湖有人不愿放手。
上周,某黑客利用安全漏洞,从区块链跨链互操作协议公司Poly Network窃取了价值超过6亿美元的加密货币资产,但出于安全考量,他在随后一段时间返还了到手的部分资金,数额超过2.6亿。
切换到Poly Network的视角里,这一两周的它像一列停不下来的过山车。巨额资金出走之后,它自然闲不下来脚步,马不停蹄地周旋游走在客户与黑客之间。作为事件中的乙方,Poly Network对黑客甲方相当殷勤,甚至有些讨好的意味,从口径统一的“白帽先生”称谓可见一斑。除了指称上的讲究,这家公司最近还向肇事者抛出橄榄枝,请求对方担任中国区块链业务的首席安全顾问。
Poly Network称,他们无意追究白帽先生的法律责任,因为公司相信他会尽快返还所涉资产的全部控制权。起初,由于沟通匮乏,他们与白帽先生间存在误解。公司现在认识到,对于加密领域 的未来,白帽先生与他们有着共同的愿景。
为了表明自己的诚意,Poly Network早前向这位黑客转账了50万美元以太币的漏洞奖金。尽管黑客称自己不打算接受这笔钱,但账户自有入口,并不需要持有人开口放行。因此,这笔钱目前算是妥善住进了黑客的钱包。此外,Poly Network又更近一步地表示,他们在公司内部为白帽先生谋得了首席安全顾问的差事,期待未来有更多像白帽先生这样的技术专家加入Poly Network,一起筑造更安全稳健的分布式系统。
搭起了戏台的Poly Network,能否请来它的白帽先生?根据双方目前的通信来看,白帽先生签约的可能性不大。首先,被窃取的加密资产中,还有2.38亿没有被吐出来,这位黑客表示自己还没有准备好交出存放资金钱包的密钥。其次,他曾说攻击Poly Network只是为了取乐,顺便奚落一下他们的编程系统。没准在他看来,“首席安全顾问”并非什么香饽饽,去了反而自降身价。
Poly Network和它的白帽先生各有各的算盘。由钱牵起的缘分,成分表里一开始就少了真诚。
阿富汗事件:塔利班会否被社交媒体另眼相待?
现如今的社交媒体,是政治家对外沟通和亲和选民的一个重要渠道。除了在Facebook,Twitter,YouTube等平台上开设私人帐户,他们也用这些平台充当了官方的发声筒。
主流媒体一直以来对恐怖主义组织保有明确的拒绝姿态。当塔利班时隔20年重新掌权阿富汗,社交媒体平台的困境也显而易见:若一个一直被视为叛乱的、由恐怖主义者簇拥而成的组织成为了一个独立国家的管理者,他们在社交媒体中的权益限度是否应该被重新审视?
这是一个两难的问题。恐怖组织与国家政府的身份在塔利班身上实现了重合,如果社交媒体集体对塔利班保持强硬立场,信息的屏蔽范围便不仅仅是一个政客,而是一个独立国家的政府。但如果向塔利班开放社交媒体这片广阔疆域,它们是否会沦为塔利班的练兵场?
Facebook和YouTube表示,根据美国的制裁政策,塔利班无法正当使用这两个平台。Twitter并没有明确的禁令,但它会删除平台上涉及暴力的内容。不过,专家表示,如果塔利班政权在国际社会获得公开承认,最终可能会有更多的社交媒体公司为其松绑。
Fortinet指责Rapid7提前公布漏洞细节
当一个产品漏洞被安全研究员察觉之后,通常都有一段保密期,以便推出补丁。有时候沟通不到位,可能出现漏洞详情先于补丁问世的情况,这种微妙关头,一场争执的酝酿不可避免。
本周二,网络安全公司Rapid7因提前公布Fortinet旗下网页应用防火墙产品FortiWeb的漏洞报告,受到了Fortinet的抨击。
Rapid7介绍,公司研究人员William Vu在FortiWeb管理界面的6.3.11及更早前版本中,发现了一个操作系统命令注入漏洞,这一漏洞允许远程的、经过身份验证的攻击者,通过SAML服务器配置页面,在系统上执行任意命令。
报告中的时间线表明,Rapid7就此漏洞与Fortinet初次交涉的时间是在今年6月。6月11日,Fortinet确认了该漏洞的存在。Rapid7声明,直到周二发布漏洞报告,期间他们再未和Fortinet取得进一步的联络。因此他们按照自己的保密期政策,在发现漏洞的60天后公布了细节。
Fortinet则表示,他们原本以为Rapid7会遵守Fortinet要求的90天保密期约定,等到保密期结束后才会公布漏洞细节。由于Rapid7行动太过突然,他们还没有准备好针对这一漏洞的修复补丁。