你好呀~欢迎来到“安全头条”！如果你是第一次光顾，可以先阅读站内公告了解我们哦。

欢迎各位新老顾客前来拜访，在文章底部时常交流、疯狂讨论，都是小安欢迎哒~如果对本小站的内容还有更多建议，也欢迎底部提出建议哦！

1、亚马逊S3将默认用AES-256加密数据

亚马逊 Simple Storage Service (S3)将默认在服务器端用AES-256自动加密新数据。

AWS的服务器端加密已经存在了十多年，但现在为了加强安全将默认启用。管理员无需采取任何行动，亚马逊表示加密不会对性能产生任何影响。默认的加密算法是AES-256，管理员可以选择SSE-C或SSE-KMS等替代方法。其中SSE-C 将由存储桶的所有者控制密钥，SSE-KMS将由亚马逊管理密钥。存储桶的所有者还可以为每个KMS密钥设置不同的权限以便于细化控制。[阅读原文]

2、Slack和CircleCI先后披露安全事故

在LastPass披露用户加密库被盗两周之后，消息应用Slack和软件测试和交付公司CircleCI先后披露了安全事故。

Slack称员工令牌凭证被盗，而CircleCI的事故可能更严重，其储存的客户秘密可能暴露，它建议客户轮换储存在其服务上的所有秘密。CircleCI同时通知客户其Project API令牌失效需要更换。CircleCI的服务被逾百万开发者使用，登录凭证、访问令牌等秘密暴露可能会对整个互联网的安全造成严重影响。CircleCI 建议客户检查下12月21日到1月4日期间的内部日志，看看是否有未经授权的访问。这可能意味着黑客在CircleCI的系统中可能潜伏了两周时间，如此长的时间足够收集行业最敏感的数据。[阅读原文]

3、Zoho修复ManageEngine中SQL注入漏洞

近日，Zoho已修复影响了多个ManageEngine产品的安全漏洞，漏洞追踪为CVE-2022-47523，是Password Manager Pro、PAM360和Access Manager Plus中发现的SQL注入漏洞。

据了解，攻击者可利用该漏洞获得后端数据库的访问权限，并执行自定义查询以访问数据库表条目。目前，Zoho称其已经通过转义特殊字符和添加适当的验证解决了该问题。鉴于此漏洞的严重性，该公司建议客户立即升级到最新版本。

4、NIST发布太空运营中地面部分网络安全指南

近日，美国国家标准与技术研究院 (NIST) 发布了一个网络安全框架，涵盖太空运营的地面部分（Satellite Ground Segment），针对卫星总线和有效载荷的指挥和控制。

该计划将为航天部门商业地面部分的运营商系统提供网络安全维护，以及一种评估其网络安全态势的方法。此外，还将有助于检测地面部分的机密性和完整性，响应遥测、跟踪和命令 (TT&C) 的违规，以及卫星命令或遥测的操纵或丢失，有助于及时、有效和有弹性地从异常中恢复。

5、WhatsApp推出代理支持，帮助用户绕过互联网审查

日前，即时通讯服务 WhatsApp 在其最新版本的 Android 和 iOS 应用中推出了对代理服务器的支持，让用户绕过政府强制的审查和互联网关闭。

这款消息服务应用由meta (Facebook的母公司)所有，人们可以通过代理服务器配置这款应用程序来访问互联网。代理服务器是用户和互联网服务之间的中介，可以帮助隐藏流量，避免控制。(用户将不得不研究自己的代理服务器，其中许多是由世界各地的志愿者和组织免费提供的。)

6、15人买黑客软件非法破解医院CT机涉案上千万元

利用软件破坏医学影像设备技术防护措施，还私自复制刻录盗版软件并制作非法破解工具，低价销售非法牟利1000余万元。日前，上海市公安局公布了全国首例销售盗版医学软件和非法破解工具案的办理情况。

经查，自2020年3月以来，以犯罪嫌疑人刘某、闫某等人为首的2个犯罪团伙为牟取非法利益，通过某网络论坛搭识“黑客”人员李某，以2万元的价格购得一款破解各类技术防护系统的计算机程序，并利用该程序侵入多个品牌医学软件著作权保护系统，窃取图形分析、辅助诊疗、设备维修等功能软件，私自复制刻录盗版软件，制作非法破解工具以配合上述盗版软件激活使用。

随后，刘某、闫某团伙以远低于市场价，每件7万元的价格将盗版软件销往全国20余家医疗机构，并以每件2000元到6000元不等的价格，向彭某等第三方医疗设备维修人员销售非法破解工具。彭某等人再以每次5000元至1万元不等的价格，对外提供医疗设备维修等非法服务。[阅读原文]