百度网盘也要实名认证了

百度网盘对外发布公告，称应国家相关政策法规要求，自2017年6月1日起，使用互联网服务需进行帐号实名认证。目前，百度已禁止使用邮箱注册账号，必须使用手机号，且用户必须是国内手机号注册。用户如果不绑定手机号实名认证，6月1日之后就会限制登录。

《中国人民共和国网络安全法》第二十四条规定：网络运营者为用户办理网络接入、域名注册服务，办理固定电话、移动电话等入网手续，或者为用户提供信息发布、即时通讯等服务，在与用户签订协议或者确认提供服务时，应当要求用户提供真实身份信息。用户不提供真实身份信息的，网络运营者不得为其提供相关服务。国家实施网络可信身份战略，支持研究开发安全、方便的电子身份认证技术，推动不同电子身份认证之间的互认。

自 Google 宣布 OSS-Fuzz 之后的五个月内，这款工具在开源项目中嗅探出超过 1000 个 bug，其中包括 264 个潜在的安全漏洞。

其中，FreeType 2（10 个）、FFmpeg（17 个）、LibreOffice（33 个）、SQLite 3（8 个）、GnuTLS（10 个）、PCRE2（25 个）、gRPC（9 个）、Wireshark（7 个）。此外，OSS-Fuzz 还与另一个独立安全研究工具碰上了同一个 bug，它就是 CVE-2017-2801 。

OAuth 协议是什么呢？

OAuth 允许第三方应用程序在未触及用户帐号信息（如用户名与密码）时，申请获取用户资源授权。为用户资源授权提供一个安全、开放而又简易的标准。

据外媒报道，黑客于近期针对 Gmail 用户伪造 Google Docs 展开大规模网络钓鱼攻击后，Google 表示将强化 OAuth 协议以防止此类事件再度发生。

调查显示，Gmail 用户于上周收到内含伪造 Google Docs 链接的电子邮件，其发件人源自用户所熟悉的账户名称。用户点击链接后将会跳转至要求授予 Google Docs 权限的页面，然而这并非真实的 Google Docs 页面，而是由企图获取用户权限的黑客伪造所伪造的。此外，伪造应用程序使用 Google 自身的 OAuth 协议实现访问 Gmail 账户的请求，若成功获得用户许可，程序将自动向受害者联系人发送相同钓鱼邮件。所幸删除应用程序的方式较为简单。目前，也只有不到 0.1％ 的 Gmail 用户受到此次攻击事件的影响。

干预美国与法国选举的黑客组织 Fancy Bear 也曾采用过同样的技术手段。

Persirai针对1000多种互联网摄像头机型发起攻击，而多数用户并未意识到这一点。结果攻击者就能通过TCP端口81轻易访问设备的web接口。

通过访问这些设备易受攻击的接口，攻击者能够注入命令强制设备连接至某个站点，并下载执行恶意shell脚本。

Persirai在易受攻击的设备上执行后就会自删除并持续仅在内存中运行。另外它还会拦截自己使用的0day利用代码以阻止其他攻击者攻击同样的互联网摄像头。由于恶意代码在内存中运行，因此重启还会导致设备易受攻击。

受影响的互联网摄像头向多个C&C服务器汇报（load.gtpnet.ir、ntp.gtpnet.ir、185.62.189.232和95.85,38.103）。一旦从服务器中接收到命令，受感染设备就会自动开始利用一个公开的0day漏洞攻击其它互联网摄像头，攻击者能从用户那里获得密码文件并执行命令注入。Persirai僵尸网络能够通过UDP洪水发动DDoS攻击并且在不欺骗IP地址的情况下通过 SSDP 包发动攻击。

这个代码是由一家伊朗研究机构管理的而且只能由伊朗人使用。此外，这款恶意软件的代码包含一些特别的波斯字符。

Persirai 似乎构建于 Mirai 源代码基础之上，后者披露于去年的10月份。Persirai还会针对安装了最新固件版本的设备，并且无法通过使用强密码得到延缓，因为它会利用一个窃取密码的漏洞。因此，互联网摄像头所有人应当执行其它安全措施来保护设备安全。