亞馬遜S3將默認用AES-256加密數據

1、亞馬遜S3將默認用AES-256加密數據

亞馬遜 Simple Storage Service (S3)將默認在服務器端用AES-256自動加密新數據。

AWS的服務器端加密已經存在了十多年，但現在為了加強安全將默認啟用。管理員無需采取任何行動，亞馬遜表示加密不會對性能產生任何影響。默認的加密算法是AES-256，管理員可以選擇SSE-C或SSE-KMS等替代方法。其中SSE-C 將由存儲桶的所有者控制密鑰，SSE-KMS將由亞馬遜管理密鑰。存儲桶的所有者還可以為每個KMS密鑰設置不同的權限以便于細化控制。

2、Slack和CircleCI先后披露安全事故

在LastPass披露用戶加密庫被盜兩周之后，消息應用Slack和軟件測試和交付公司CircleCI先后披露了安全事故。

Slack稱員工令牌憑證被盜，而CircleCI的事故可能更嚴重，其儲存的客戶秘密可能暴露，它建議客戶輪換儲存在其服務上的所有秘密。CircleCI同時通知客戶其Project API令牌失效需要更換。CircleCI的服務被逾百萬開發者使用，登錄憑證、訪問令牌等秘密暴露可能會對整個互聯網的安全造成嚴重影響。CircleCI 建議客戶檢查下12月21日到1月4日期間的內部日志，看看是否有未經授權的訪問。這可能意味著黑客在CircleCI的系統中可能潛伏了兩周時間，如此長的時間足夠收集行業最敏感的數據。

3、Zoho修復ManageEngine中SQL注入漏洞

近日，Zoho已修復影響了多個ManageEngine產品的安全漏洞，漏洞追蹤為CVE-2022-47523，是Password Manager Pro、PAM360和Access Manager Plus中發現的SQL注入漏洞。

據了解，攻擊者可利用該漏洞獲得后端數據庫的訪問權限，并執行自定義查詢以訪問數據庫表條目。目前，Zoho稱其已經通過轉義特殊字符和添加適當的驗證解決了該問題。鑒于此漏洞的嚴重性，該公司建議客戶立即升級到最新版本。

4、NIST發布太空運營中地面部分網絡安全指南

近日，美國國家標準與技術研究院 (NIST) 發布了一個網絡安全框架，涵蓋太空運營的地面部分（Satellite Ground Segment），針對衛星總線和有效載荷的指揮和控制。

該計劃將為航天部門商業地面部分的運營商系統提供網絡安全維護，以及一種評估其網絡安全態勢的方法。此外，還將有助于檢測地面部分的機密性和完整性，響應遙測、跟蹤和命令 (TT&C) 的違規，以及衛星命令或遙測的操縱或丟失，有助于及時、有效和有彈性地從異常中恢復。

5、WhatsApp推出代理支持幫助用戶繞過互聯網審查

日前，即時通訊服務 WhatsApp 在其最新版本的 Android 和 iOS 應用中推出了對代理服務器的支持，讓用戶繞過政府強制的審查和互聯網關閉。

這款消息服務應用由meta (Facebook的母公司)所有，人們可以通過代理服務器配置這款應用程序來訪問互聯網。代理服務器是用戶和互聯網服務之間的中介，可以幫助隱藏流量，避免控制。(用戶將不得不研究自己的代理服務器，其中許多是由世界各地的志愿者和組織免費提供的。)

6、15人買黑客軟件非法破解醫院CT機涉案上千萬元

利用軟件破壞醫學影像設備技術防護措施，還私自復制刻錄盜版軟件并制作非法破解工具，低價銷售非法牟利1000余萬元。日前，上海市公安局公布了全國首例銷售盜版醫學軟件和非法破解工具案的辦理情況。

經查，自2020年3月以來，以犯罪嫌疑人劉某、閆某等人為首的2個犯罪團伙為牟取非法利益，通過某網絡論壇搭識“黑客”人員李某，以2萬元的價格購得一款破解各類技術防護系統的計算機程序，并利用該程序侵入多個品牌醫學軟件著作權保護系統，竊取圖形分析、輔助診療、設備維修等功能軟件，私自復制刻錄盜版軟件，制作非法破解工具以配合上述盜版軟件激活使用。

隨后，劉某、閆某團伙以遠低于市場價，每件7萬元的價格將盜版軟件銷往全國20余家醫療機構，并以每件2000元到6000元不等的價格，向彭某等第三方醫療設備維修人員銷售非法破解工具。彭某等人再以每次5000元至1萬元不等的價格，對外提供醫療設備維修等非法服務。