安全帮每日资讯：IBM突破量子加密算法；百度统计：已上线白名单过滤功能解决代码被盗用问题；半马报名首日遭黑客入侵

安全帮每日资讯

江苏丹阳半马报名首日遭黑客入侵 运营方：已报警

RubyGems 软件包存储库的维护者近期移除了 11 个 Ruby 库中出现的 18 个恶意版本，这些版本包含了后门机制，可以在使用 Ruby 时启动加密货币挖掘程序。恶意代码最初发现于 4 个版本的 rest-client 库中，rest-client 是一个非常流行的 Ruby 库。这些库中的恶意代码会将受感染系统的 URL 和环境变量发送到乌克兰的远程服务器。同时代码还包含一个后门机制，允许攻击者将 cookie 文件发送回受感染对象，并允许攻击者执行恶意命令。研究者调查后发现，这种机制被用于挖矿。除了 rest-client，还有其它 10 个 Ruby 库也中招，但它们都是通过使用另一个功能齐全的库添加恶意代码，然后以新名称在 RubyGems 上重新上传而创建的。

参考来源：

https://www.cnbeta.com/articles/tech/882323.htm

IBM突破量子加密算法

近日，IBM研究人员突破了量子计算安全算法，并已研制出一种使用此类算法的安全磁带驱动器。据了解，量子计算是一种新兴的计算形式，它利用量子力学现象来解决在传统计算机上无法解决的难题。专家表示，量子计算的成熟将帮助科学家在化学、生物信息学和人工智能等领域取得巨大进步。然而，量子计算的进步带来的不仅仅是人类技术水平的提高，还会使现有数据保护措施面临更大挑战，因为传统安全措施可能无法有效应对量子计算攻击。因此，IBM开发出了两种量子加密算法。第一种算法被称为Kyber，属于安全密钥封装机制；第二种算法叫做Dilithium，属于数字签名安全算法。二者都是由点阵密码学（Lattice Cryptography）演变而来，并共同组成了代数点阵密码套件（Cryptographic Suite for Algebraic Lattices）。

参考来源：

https://nosec.org/home/detail/2902.html

百度统计：已上线白名单过滤功能解决代码被盗用问题

昨日，中文网站分析工具百度统计发布公告称，近期收到客户反馈关于某非法网站恶意盗用百度统计用户代码，进行恶意攻击的行为，目前百度统计正联合法务正积极配合工信部、公安部门予以彻查到底，对于违法犯罪的行为绝不姑息。此外，百度统计称，已正式上线白名单过滤功能。该功能旨在解决网站的百度统计代码被恶意盗用，导致百度统计后台出现他人网站的情况。

参考来源：

https://www.cnbeta.com/articles/tech/883343.htm

DNS-over-HTTPS的下一代是DNS ON BLOCKCHAIN

上个月，英国互联网服务提供商行业协会提名Mozilla获得今年互联网恶棍奖，因为Mozilla计划支持DNS-over-HTTPS，绕过英国过滤义务和家长控制规定，从而破坏英国的互联网规范。Diode的区块链工程师PETER LAI认为 Mozilla 的 DNS-over-HTTPS 是增强最终用户隐私保护的一个好举措。但它却不是保护开放互联网的最佳选择，因为DNS-over-HTTPS 至少目前是由 CloudFlare 和 Google 控制的。PETER LAI建议的是使用“DNS-on-Blockchain”，这是安全，隐私保护和分散式DNS的替代方案。

参考来源：

https://my.oschina.net/javayou/blog/3096245

Facebook天秤币发起赏金计划发现漏洞奖1万美元

Facebook和其合作伙伴正在推进他们的Libra（天秤币）加密货币项目，并宣布他们正与HackerOne合作，针对Libra区块链上的应用程序，推出漏洞赏金计划。尽管政府监管机构已经要求公司暂停该项目，以便评估Libra的合法性和其可能对全球金融系统带来的威胁，但Facebook的脚步似乎并未停止，同时又发起漏洞赏金计划以证明公司决心承担责任的态度，好照着公司期望的样子重塑全球金融体系。据悉，针对在该加密货币基金的测试网上开发的项目，任何在项目代码中发现漏洞的安全专家，都可以获得一笔高达1万美元的赏金。

参考来源：

http://hackernews.cc/archives/27162

荷兰称Windows 10远程收集用户数据或违反隐私法

据路透社报道，荷兰数据保护局（DPA）今日表示，微软远程收集Windows 10家庭版和专业版用户的数据，这可能违反了荷兰的隐私保护法。事实上，DPA早在2017年10月就曾表示，Windows 10违反了该国的数据保护法。在使用默认设置时，微软不断收集有关应用程序的使用记录。DPA表示，虽然微软按照要求在去年对相关设置进行了而调整，但在测试这些调整后的隐私保护措施时，又发现了新的问题。DPA称：“测试发现，微软还远程收集用户的其他信息。因此，微软还是潜在地违反了隐私保护法。”DPA还表示，已将这一发现转交给爱尔兰数据保护机构，因为微软在爱尔兰设有欧洲总部。微软对此表示，公司始终致力于保护用户隐私。最近几年，微软已针对个人和小企业用户对Windows 10的隐私功能进行了改进。

参考来源：

http://hackernews.cc/archives/27159

堪培拉为危机事件建立内容屏蔽制度

澳大利亚电子安全专员将获得权力，迫使该国的电信公司在危机事件中阻止某些内容的公开与传播。总理斯科特·莫里森表示，这将用于“保护澳大利亚人免受基督城恐怖袭击等网上暴力事件的影响”。此外，政府还将建立一个24 x 7危机协调中心，向政府机构通报“在线危机事件”，并协助电子安全专员进行“快速评估”。

参考来源：

https://www.freebuf.com/