微软、Facebook等34家科技企业签署协议，不支持政府黑客行动；美国土安全部长称可以对资助网络攻击的国家发动网络攻击；因蓝屏概率提升，win10春季创意者更新推迟

各位早上好，今天是 2018 年  4 月 19 日星期四，农历三月初四，欢迎关注今天的 BUF早餐铺。今天的内容主要有：微软、Facebook等34家科技企业签署协议，不支持政府黑客行动；美国土安全部长称可以对资助网络攻击的国家发动网络攻击；微软发布定制芯片和自制版本的Linux系统，保护IoT设备；英特尔发布新技术，利用内置GPU扫描恶意程序；因蓝屏概率提升，win10春季创意者更新推迟；支付宝电子身份证上线。

【国际动态】

微软、Facebook等34家科技企业签署协议，不支持政府黑客行动

以微软为首的34家高科技公司组成的行业联盟今天签署了一项技术协议，将不惜一切代价保护用户信息安全，同时也不会为政府针对其它国家、公司或者个人的网络攻击提供协助。

微软，Facebook，思科，GitHub，Arm，Cloudflare，LinkedIn，惠普，戴尔，SAP，甲骨文和VMWare等公司已经签署了名为“ 网络安全技术协议”的协议，不过这份名单里暂时未包含苹果，Google ，亚马逊和英特尔。

该协议是微软首席法务官布拉德史密斯的想法，他近两年一直在谈论创建数字日内瓦公约的想法。史密斯一直主张政府不应将用户和私营部门作为针对其他国家的网络攻击的一部分。

今天在旧金山举行的RSA 2018安全会议上宣布的这项协议围绕四个主要原则而建立：

1）强大的防御 – 技术公司应尽全力保护用户免受任何类型的网络攻击，无论其来源或用户的本国。

2）没有违法 – 科技公司不应该为政府支持的网络攻击提供物质支持。

3）能力建设 – 企业应该建立并为客户提供必要的工具来保护他们的数据和他们自己免受国家资助的攻击。

4）团结行动 – 公司将相互协作共享攻击数据并向受影响的用户披露攻击。

如今，这些协议最困难的部分显然是政府机构的支持。世界上所有的技术协议在面对法院命令或一些政府可能用来追捕异见人士或政治对手的滥用搜查令时都是无效的。[来源：BleepingComputer]

美国土安全部长：美国可以对资助网络攻击的国家发动网络攻击

据外媒报道，当地时间周二，美国土安全部(DHS)部长Kirstjen Nielsen表示，美还没有排除对外国进行网络攻击并采取全方面回应的选择。在旧金山举行的RSA网络安全会议上，这位部长表示，美国需要采取强硬的立场来终止黑客对该国基础设施的攻击。

Nielsen称，为了阻止这种网络攻击，她个人会在政府应对其他政府机构的时候建议进行网络攻击。另外她还表示，如果有需要那么DHS绝不会是唯一一个将展开行动的机构。[来源：cnBeta]

【物联网安全】

微软发布定制芯片和自制版本的Linux系统，保护IoT设备

在 RSA 2018 大会首日，微软首席财务官发布了一款新的安全产品 Azure Sphere，主要用于保护 IoT 设备，包括智能家电、联网玩具等智能设备。

微软围绕 Azure Sphere 给出了详细解析，其中重点主要有 8 项：

» Azure Sphere 主要面向 IoT 制造商；

» Azure Sphere 由三个部分组成：新的定制微控制器；定制的基于 Linux 的操作系统；基于云的安全服务；

» 定制微控制器是基于微软 Xbox 产品上开发的定制芯片；是一种新型的固定功能微控制器芯片的交叉类别，将免费授权给制造合作伙伴，内置连接，网络和Pluton安全子系统以确保安全性未来的物联网设备；

» 首款微软 Azure Sphere 芯片将由联发科大量生产，代号为 MediaTek MT3620；将于今年晚些时候进入市场，与 IoT 设备共同使用；

» 该芯片的芯片设计免版税，这意味着其他厂商将能够在不额外付费的情况下创建类似的芯片组，并将其部署到自己的产品中，以防他们不想使用联发科芯片。

» 微软还发布了 Azure Sphere OS，这是一款专门为其定制芯片设计的 Linux 发行版；

» 微软还发布了 Azure Sphere 安全服务，这是一项云服务，可不断扫描 Azure Sphere 设备，及时发现安全异常情况；

» 此云服务将通过自定义仪表板显示并汇报供应商设备的错误或新威胁，使制造商能够尽快发现问题。

微软表示，首款 Azure Sphere 目前仅可作为私人预览版发放给特定客户，不过相关开发工具包会在 2018 年中期发布给开发者社区。此外，到今年年底，第一批 Azure Sphere 驱动的 IoT 设备将在商店上架。[来源：FreeBuf]

【系统安全】

英特尔发布新技术，利用内置GPU扫描恶意程序

英特尔昨天在RSA 2018安全会议上发布了几项新技术，其中一项功能是把病毒扫描嵌入了一些英特尔CPU的集成图形处理器上。

这项新技术的名称是英特尔加速内存扫描(Intel Accelerated Memory Scanning)。英特尔表示，这项新功能让杀毒引擎减少CPU利用率，为其他应用程序腾出资源，同时，使用嵌入式GPU还会节省电池寿命。

目前，所有安全软件都使用计算机的CPU来扫描本地文件系统中的恶意软件，但往往对系统资源消耗极大。“英特尔测试系统跑分显示，CPU利用率从20％下降到仅2％，”英特尔副总裁Rick Echevarria在新闻稿中提到。

Windows Defender的商业版本Microsoft Windows Defender Advanced Threat Protection (ATP)，已经使用该功能。[来源：BleepingComputer]

因蓝屏概率提升，win10春季创意者更新推迟

内部代号为RedStone 4的Windows 10功能更新原本应该在4月10日，也就是本月的补丁星期二活动日当天发布，然而在最后时刻微软发现了某个比较棘手的BUG，导致放弃原本已经到Release Preview通道中的Build 17133版本，今天更是面向Fast通道发布了Build 17134版本更新，需要再经历一个更新周期。

对此负责Windows Insider项目的Dona Sarkar表示：“在某些情况下，这些问题会提高PC的蓝屏几率。与其通过累积更新方式修复这个问题，我们决定创建已经修复这个问题的版本。”但是微软并未明确指出导致蓝屏增多的确切原因，也没有透露为何直到最后一刻才被发现的原因。

目前新版本已经出现在Fast通道中，相信应该很快会登陆Slow通道和Release Preview通道中。微软已经标记Build 17134为最终的RTM版本。[来源：cnBeta]

【漏洞】

CVE-2018-0737：花了一年的时间证明它是个漏洞，一周的时间修复

一些安全研究人员发现 OpenSSL 在 RSA 密钥生成时存在缓存时序攻击的安全隐患。在 RSA 私钥生成期间，原则上攻击者可以控制同一机器的其他程序获取 RSA 私钥。这在实践中几乎完全不是一个问题，而且在时序攻击方面，其他程序做的不一定比 OpenSSL 好——如果生成私钥的时候攻击者就已经盯上你机器了……

然而真正的问题在于，这个漏洞是 2017 年 1 月发现的，研究人员第一时间通知了 OpenSSL, LibreSSL 与 BoringSSL，LibreSSL 很快就修复了漏洞。然而 OpenSSL 官方居然回应说“要求漏洞能用来进行攻击的有力证据”，结果研究者们整整钻研了一整年，终于在今年 4 月开发出了 PoC，直到上周才修复了漏洞。

自 Heartbleed 后 OpenSSL 受到 Linux 基金会基础设施项目的大力资助，安全审计的人力、物力、财力都大大提升，受益于此，确实大大提高了 OpenSSL 的安全性。然而似乎这 OpenSSL 受到 Linux 基金会支持后，Linus Torvalds 一向对安全性的不重视，认为“安全漏洞只是 bug 的一种类型”，没有证据认为漏洞可以用来攻击，那就不叫漏洞（或者叫 DoS 漏洞）。[来源：微博@Libre盖子]

【国内新闻】

支付宝电子身份证上线

4月18日，由公安部第一研究所可信身份认证平台(CTID)认证的“居民身份证网上功能凭证”(以下简称“网证”)首次亮相支付宝，并正式在衢州、杭州、福州三个城市的多个场景同时试点。

网证的领取非常便捷，打开支付宝 “卡包→证件”，根据提示完成“刷脸”等相关身份认证，证明是本人，就可以拥有自己的网证了，使用时，可以打开网证二维码，通过扫一扫证明自己的身份。

那网证安全么，手机丢了怎么办，别人能用我的网证么？对于用户最关心的问题，支付宝表示，即便手机丢失，网证被冒用的可能性也微乎其微，因为使用网证时，用户需要先通过指纹或者刷脸验证，证明是本人后才能进入到网证页面，这还不够，在打开二维码时，还要再次刷脸验证。[来源：新华网]