导言：网安同期声，是安在为中国网络安全新媒体联盟专设栏目，上周网安要闻，各家媒体巡演，技管财政大全，笑看行业发展。
目录
1.安在：微软张美波：TOP GUN
2.一本黑：我在App Store花45元，查到了自己的开房记录
3.FreeBuf：「智能门锁安全分析报告」正式发布
4.中国信息安全：从频谱、供应链与标准看美国5G战略逻辑
5.E安全：某知名外媒发文称华为“正帮助非洲政客监听其对手”
6.看雪学院：Windows RDP再曝远程代码执行漏洞，几乎通杀所有受支持的Windows系统
7.网安视界：黄奇帆：认证识别系统属于重大国家安全范畴，应“先证后照”
8.游侠安全网：美国版HW？黑客2天成功入侵F-15战机，美军网络安全漏洞百出

01.安在：微软张美波：TOP GUN

一身转战三千里，一剑光寒四十州。男儿本自重横行，天下谁人不识君。这是张美波2009年写给自己的一首自喻诗，既体现了他的雄心壮志，也是对其自身经历最真实的描绘。
1997年，张美波以地区第二名的优异成绩进入四川省邮电学校，就读于当时极为热门的光纤通信专业，第一次接触到计算机的相关课程，从此打开了计算机的大门。
2004年张美波建立了 ISA中文站（ISACN.org），专门原创或翻译介绍ISA Server 的相关技术文章，因此获得了2005年ISA Server 类别的微软全球最有价值专家（MVP）称号。
2008年4月7日，张美波正式入职微软企业现场服务部（PFE），主攻方向是活动目录和系统安全。2012年，他获得了Exchange 服务器类别的“微软大师”称号。从2008年北京奥运会的现场支持，到参与全球最大活动目录环境的全球优化项目，成为全球最大On-premise企业Exchange服务器环境的架构师，再到多个全球Top Account的微软方安全架构师，他一直在勇攀高峰。

2019年1月1日起，张美波转任微软企业服务的大中华区Cybersecurity首席架构师，微软大中华区安全服务团队也就此成立。
在张美波看来，“小安全”才是未来的趋势。只有在重点的细分安全领域持续、深入地研究，才能更有效守护好企业核心资产的安全，提升企业安全防御水平，增加网络攻击的成本和难度，为企业带来真正的安全。
不论通往梦想的道路是多么曲折，但追求梦想的脚步从未停止。正如“Top Gun”这个名称，是电影“壮志凌云”的英文名称，也是张美波在微软所获得的第一个公司奖项的名称。
回首自己13年的微软职业生涯，张美波从心底感谢微软，正是在微软的大舞台上，他才得以实现人生的梦想。

02.一本黑：我在App Store花45元，查到了自己的开房记录

在所有的个人信息泄露里，仅仅只需要一个手机号码，就可以查到一个人的全部信息，毫无夸张。通过一个手机号，内鬼就可以在某某系统中调出这个号码的机主信息，包括身份证、名下房产、名下财产、出行轨迹、定位等信息。
有人会在App Store上进行搜索，看会不会有软件能做到查询开房记录。通过在App Store上进行搜索，我发现有多款售价45元左右的付费软件。

软件名字叫酒店入住记录，而且在App Store搜索后排在第一位，单价45，1000人下载就是四万五啊，这难道就是传说中的躺赚吗？再看看评论区，App Store是默认显示高星评价的，也就是最有帮助排序，但这些评论稍微有点意识的人都能看出来是刷的。
要想在不下载软件的前提下，知道该软件是否可信，最好的参照可能就是最低评价了，当把评论以最低评价排序时，你会发现，交智商税的人可真不少。不过有些软件并不需要先付费才能下载，比如有一款声称可以定位的软件。这款软件很多人在下载后，会出现自动扣费的情况，有人反馈说，这是在玩别的游戏时弹出的广告，下载后都没点进去看，结果连续扣费三个月。
App Store上的这些软件之所以能骗到人，其本质上就是强大的个人信息查询需求。

03.FreeBuf：「智能门锁安全分析报告」正式发布

目前，“智能门锁”的国家标准已经远远落后于行业发展，对于功能更加复杂的手机App联网开锁等新型锁具，在工业标准上更是空白。对于这类新型智能锁，目前确实没有标准能够加以指导和约束，尤其是信息安全相关的内容基本缺失。
不少品牌在设备硬件、设备固件、设备物理接口、设备更新机制、设备Web接口、设备网络服务、本地数据存储、网络通信、移动APP应用、云端服务、认证与授权、隐私保护等层面存在多种问题，面临非授权读取设备、拒绝工作、恶意代码攻击、隐私泄露、网络中断、网络拦截、篡改、拒绝服务、中间人攻击、抵赖和否认、重放威胁、身份冒充、伪造等信息安全风险。
智能门锁做不好自己的“本职工作”，追求再多的“智能”消费者也不会买账。在这样的现实背景下，FreeBuf研究院联合斗象科技能力中心、漏洞盒子平台推出了《智能门锁安全分析报告》，回归到锁具的本质属性，重点关注物联网时代智能门锁的安全能力，进一步延伸到物联网的安全问题。

本报告包含对智能门锁的发展趋势的看法，对智能门锁按物联网进行逻辑分层，总结了智能门锁常见的组网方式和通信技术，梳理了多种智能门锁的开锁模式，以及智能门锁所面对的常见威胁和风险，最后结合具体的智能门锁安全漏洞进行案例验证分析。

04.中国信息安全：从频谱、供应链与标准看美国5G战略逻辑

特朗普政府从战略上推动一系列行动加速美国5G部署进程，甚至联合盟友打压中国通信企业，试图构建美国主导的全球5G生态体系。美国5G战略的出发点是其特有的频谱资源分配，寻求构建供应链体系和标准主导权是美国5G战略的直接目标。
一、5G频谱资源和频谱战略
美国之所以在5G建设中如此重视频谱政策，其原因是美国5G商用频谱资源集中在高频段（毫米波），而全球主要国家大多采用Sub-6 GHz频段，这一“轨道差异”为美国5G发展带来很多障碍。从三种频谱类型看，美国5G在低、中频频段资源非常有限。
二、构建新的供应链体系
5G产业链由上游基站升级(含基站射频、基带芯片等)、中游网络建设、下游产品应用及终端产品应用场景构成，包括器件原材料、基站天线、小微基站、通信网络设备、光纤光缆、光模块、系统集成与服务商、运营商等各细分产业链构成。为重新构建能体现美国优势的5G供应链体系，美国将在5G供应链方面“大做文章”。
三、寻求更大标准主导权
5G标准制定工作的两个核心组织是第三代伙伴关系项目（3GPP）和联合国国际电信联盟（ITU）。3GPP致力于移动通信技术规范达成共识，3GPP成员共同开发、测试和构建5G技术规范。ITU在2015年6月完成5G愿景研究，2017年6月完成IMT-2020（5G）最小技术指标要求的制定，确定了14项性能指标的详细定义、适用场景等，并完成一系列支持IMT-2020候选技术提交及技术评估工作的关键文件。

05.E安全：某知名外媒发文称华为“正帮助非洲政客监听其对手”

近日，外国一家知名媒体发布了一份有关华为的报告，称该公司正利用其电信供应商的身份来干涉非洲多国内政，并表示已经掌握了“相关证据”。

据报告披露，华为的技术人员不仅帮助了两名南非政客窃取其竞选对手的机密数据，还在为乌干达和赞比亚政府官员监视政治对手。作者声称，华为利用了诸如WhatsApp和Skype这样的通讯应用程序，以及相关移动数据来监测目标人物的活动。
该报告还援引了一名“不愿意透露姓名的华为内部人士”的话，称该公司的一个专家团队正在执行一项秘密计划，来帮助乌干达和赞比亚的政客们攻击和监控其对手。此外，报告中还提及了赞比亚执政党一名代表的言论。

06.看雪学院：Windows RDP再曝远程代码执行漏洞，几乎通杀所有受支持的Windows系统

2019年05月15日，微软公布了5月的补丁更新列表，其中存在一个被标记为严重的RDP（远程桌面服务）远程代码执行漏洞CVE-2019-0708的修复程序，影响Windows 7、Windows XP等一些旧版本的Windows系统，影响广泛而深远。
而在8月补丁星期二活动日中，微软共修复了5个安全问题。其中，在面向Windows 10发布累积更新的同时，微软还修复了存在于Remote Desktop Services组件中的两个远程代码执行漏洞CVE-2019-1181/CVE-2019-1182，这两个漏洞影响了几乎目前所有受支持的Windows系统。
漏洞详情
未经身份验证的攻击者利用该漏洞，向目标服务端口发送恶意构造请求，可以在目标系统上执行任意代码。无需用户进行任何输入的情况下在网络的电脑之间传播恶意软件。
利用此漏洞的任何恶意软件都可能从被感染的计算机传播到其他易受攻击的计算机，与2019年5月14日修补的远程桌面服务的远程代码执行漏洞CVE-2019-0708和2017年WannaCry恶意软件的传播方式类似。
影响范围
Windows 7 SP1，Windows Server 2008 R2 SP1，Windows Server 2012，Windows 8.1，Windows Server 2012 R2和所有版本的Windows 10（包括服务器变体）都受到漏洞的影响。
缓解措施
目前，微软官方已发布补丁修复此漏洞，建议用户将相关系统版本立即升级至最新版本：https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1181https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1182https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1222https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1226

07.网安视界：黄奇帆：认证识别系统属于重大国家安全范畴，应“先证后照”

08.游侠安全网：美国版HW？黑客2天成功入侵F-15战机，美军网络安全漏洞百出



报道称，在美国军方授权下，7名经过严密审查的“白帽子”黑客大显身手，仅用两天时间就成功入侵美空军现役主力战机F-15的关键飞行支持系统。据介绍，当F-15处于飞行状态时，该系统负责从机载摄像头和传感器收集飞行数据。一旦这些后门漏洞被敌人掌握，就可能关闭美军重要的“可信赖飞机信息下载站”。
这些“白帽子”黑客全部来自五角大楼国防数字服务部门的外包商Synack网络安全创业公司，尽管这是他们首次获得授权测试入侵F-15战机实体系统，但他们去年已在不接触军用设备的情况下，入侵过类似的军用信息系统，事后美国空军试图“亡羊补牢”，却被证明是徒劳无功。

负责采购、技术和后勤的美国空军部长助理威尔·罗珀证实，美军已改变过去的保守思维，放宽“白帽子”黑客测试入侵、攻击军用敏感设备系统漏洞的限制。
威尔·罗珀表示，美军所有战机都有数以百万计的代码行数，只要其中一行存在缺陷，就有可能被对手入侵。即便是一个无法制造先进战机的国家，也能通过键盘入侵搞垮美军战机。

「推荐阅读」

网安同期声 | E安全：2019要这样培养网安人才网安同期声 | E安全：网络安全措施最佳的六个国家网安同期声 | 数说安全：仙儿深度解读：RSAC2019创新沙盒大赛网安同期声 | 一本黑：10分钟赚60万，在中国，算命到底有多野？网安同期声 | 中国信息安全：电子政务安全保障应全局考量网安同期声 | 数说安全：华为VS思科：华为胜！网安同期声 | 一本黑：伪装的血样，“被消失”的女婴，我找胎儿鉴定机构聊了聊网安同期声 | 中国信息安全：国资委发文，网络安全列入央企负责人业绩考核网安同期声 | 中国信息安全：App违法违规收集使用个人信息专项治理重点工作概述网安同期声 | 数说安全：中国网络安全公司服务能力图谱网安同期声 | FreeBuf：“等保2.0”将于今年5月13日正式发布网安同期声 | 游侠安全网：等保2.0正式发布！标准的“变”与“不变”网安同期声 | 数说安全：上市网络安全企业人均产值与人均毛利分析网安同期声 | 数说安全：全球网络安全公司的数量将下降近40％，市场格局或变化网安同期声 | 一本黑：刚从酒店出来，就发现自己成了色情网站的AV主角？网安同期声 | 看雪学院：打破国内 0 根服务器，网络管理将不再受限于人
网安同期声 | 中国信息安全：鲁传颖：5G之争折射出中美大国博弈网安同期声 | 一本黑：菲律宾干博彩日入上万？你他娘的可醒醒吧网安同期声 | 中国信息安全：CNCERT：《2018年中国互联网网络安全报告》网安同期声 | 数说安全：谭晓生履新正奇学院，谭校长兼任院长网安同期声 | FreeBuf：本田汽车云端数据库未保护，CEO及全球员工大量资料险遭泄露
     ▼加入诸子云                                  ▲加入粉丝群




点【在看】的人最好看








长按二维码向我转账


受苹果公司新规定影响，微信 iOS 版的赞赏功能被关闭，可通过二维码转账支持公众号。


















已同步到看一看



取消
发送


我知道了








朋友会在“发现-看一看”看到你“在看”的内容
确定













已同步到看一看写下你的想法



最多200字，当前共字
发送







已发送







朋友将在看一看看到
确定



写下你的想法...









取消
发布到看一看
确定




最多200字，当前共字








发送中













微信扫一扫
使用小程序







取消
允许






即将打开一个新页面

取消
允许








确定