首页
社区
课程
招聘
[推荐]【每日资讯】 | 测试结果表明Windows Defender是2021年最好的反病毒软件之一 | 2021年11月29日 星期一
发表于: 2021-11-9 10:24 29237

[推荐]【每日资讯】 | 测试结果表明Windows Defender是2021年最好的反病毒软件之一 | 2021年11月29日 星期一

2021-11-9 10:24
29237

2021年11月29日 星期一

今日资讯速览:

1、测试结果表明Windows Defender是2021年最好的反病毒软件之一


2、英国交通部官网遭黑,关键页面被蓄意篡改


3、为赚快钱 IT青年沦为新型电诈案“制刀者”



1、测试结果表明Windows Defender是2021年最好的反病毒软件之一


位于德国的IT安全研究机构AV-TEST发布了针对Windows 10家庭用户的2021年10月最佳反病毒程序评估报告。在这份报告中,该组织评测了来自不同公司的21个不同的反恶意软件程序,测试中还包括微软的Windows Defender。


结果,Windows Defender在这次评估中获得了非常高的分数。事实上,它是当今最好的反病毒软件之一,获得了18分的满分。因此,它获得了"AV-TEST顶级产品"认证,总分高于17.5分的产品才能获得这一称号。


然而,它并不是唯一的顶级产品,其他安全程序,如Avira、AVAST、AVG、Bitdefender、ESET等,也获得了这个认证,除了上述产品以外的测试结果都低于17.5分,因此只能获得"AV-TEST认证"的徽章。


测试中的18分满分构成了三个类别,每个类别最多6分。这些类别是:保护能力、运行性能、可用性。


下面的图片显示了21个被测试的反病毒程序在三个类别中的得分情况,并以蓝色的色调加以区分。

你可以在这里找到2021年10月的完整测试报告:

【阅读原文】



2、英国交通部官网遭黑,关键页面被蓄意篡改

当地时间11月25日早些时候,英国交通部(DfT)的一个网站被发现提供色情服务。正常情况下,被修改的特定DfT子域是为公众和部门的业务计划提供重要的DfT统计数据的。目前charts.dft.gov.uk页面仍然无法访问。英国交通部尚未回应媒体的置评请求!

图片

非常英式的感恩节


BleepingComputer证实,英国DfT的charts.dft.gov.uk网站今天被看到提供色情内容。


过去,Charts子域提供了关于各种DfT服务的商业计划文档和重要统计数据,如公共交通使用率、道路通达时间和驾驶测试。


尽管该网站已经无法访问,但就在几个小时前,访问charts.dft.gov.uk时会显示一些色情画面。

图片

这一事故最早是由The Crow首先发现的,它还发现整个dft.gov.uk域名本身被重定向到一个WordPress插件页面,而交通部似乎正在调查这个问题。这个网站不仅留存了交通部被修改页面的快照,还不忘在文章里对英国政府一通羞辱。

图片

在BleepingComputer的测试中,发现官方的dft.gov.uk网站出现了一个受密码保护的WordPress页面:eu-hauliers.dft.gov.uk。

图片

当天早些时候,整个dft.gov.uk被重定向到一个受密码保护的WordPress页面(BleepingComputer)。由此可见,此事件的影响还是很大的,至少官网的声誉受损严重。


虽然Charts页面被篡改的确切原因尚不清楚,但看起来子域确实有一个指向Amazon S3实例的CNAME DNS记录。



违规 (NSFW) 实例仍在 charts.dft.gov.uk.s3-website-eu-west-1.amazonaws.com,显示非法内容。幸运的是,charts.dft.gov.uk 不再领先于此。


尚不清楚的是,这是否仅仅是域名劫持的情况——即 Charts 站点指向的一个悬空的AWS S3 实例,被威胁行为者认领并用于提供成人内容,或者攻击者是否获得了足够的访问权限,访问到DfT 的注册商系统并更改了 charts.dft.gov.uk 的 DNS 条目。


第二种情况更具挑战性,并且会引发一些关于DfT数字基础设施安全性的严重问题。


政府官网遭黑频发


这也不是第一次有政府网站被攻击、页面遭篡改的事件。


今年9月,攻击者利用多个政府网站使用的Laserfiche Forms软件产品的一个漏洞,向美国政府网站发送了伟哥广告和成人内容的垃圾邮件。


今年7月,《华盛顿邮报》(The Washington Post)和《赫芬顿邮报》(HuffPost)等主要新闻网站的访问者看到,视频之后,新闻报道中的嵌入视频被换成了色情内容。域名被第三方接管。


DfT主要网站DfT .gov.uk的访问已经恢复。然而,系统管理员似乎已经完全禁止了charts.dft.gov.uk,再也无法访问。


BleepingComputer在发布消息之前通过电话和电子邮件联系了英国DfT,正在等待他们的正式回复。

【阅读原文】



3、为赚快钱 IT青年沦为新型电诈案“制刀者”


几个月前,湖北省黄冈市浠水县的陈女士在手机应用市场下载了一款炒虚拟货币的App,没想到,没用多久,这款App居然打不开了,她充值进去的74万元也随之“灰飞烟灭”。当地警方接到报案后顺藤摸瓜,在天津市一家科技公司抓获了开发该App的团伙。警方赶到时,一群年轻人正在电脑前埋头工作,墙上还贴着励志口号——“将来的你一定会感谢现在奋斗的自己!”


后经警方调查,该公司的技术负责人毕业于知名高校,这款涉诈App的开发团队成员大多是90后,都有本科以上学历,计算机相关专业毕业。


近期,中青报·中青网记者追踪调查国内多起相关案件发现,不法分子利用“技术中立”“可挣快钱”等借口利诱一些年轻技术人员,向他们订购涉诈App,使他们沦为新型电诈案背后的“制刀者”。

20210510111823335.png

急于挣快钱 想一夜暴富


陈女士是从一个“荐股”的微信群扫码下载该App的。民警了解到,该App通过虚构项目吸引受害人投资,操控后台数据给受害人造成“获利”假象,资金池内金额达到预期目标后,就关闭平台卷款而去。


无独有偶,今年4月底的一天,位于武汉市光谷创业街一写字楼内的湖北晟昌网络科技有限公司(以下简称“晟昌公司”)被查封。该公司案发与一款虚拟币投资平台“timega”有关。这一平台由刘某花8万元从晟昌公司购买,采取“拉人头”的方式,吸引客户“炒币”。上线仅1个多月,该平台就发展了2289个下线,累计转账交易13万余次。


“刘某‘割韭菜’,操纵‘杀猪盘’,晟昌公司相当于背后的‘制刀者’。”参与办案的武汉市公安局洪山分局民警张晟说。


经查,这家披着网络科技外衣的公司,3年间开发了150余个涉及区块链、虚拟货币、电子钱包、网络商城等的App与小程序,几乎全部由网络金融诈骗、传销团伙订制。晟昌公司10名嫌疑人被刑拘,基本都是大学毕业不久的年轻人。


张晟介绍,随着警方反电诈的不断深入,近年来诈骗分子转变犯罪手法,大肆使用不法App实施诈骗,危害巨大。


来自国家反诈中心的一项统计显示,今年1-3月,全国发生电信网络诈骗案件22万多起,损失达185亿元,其中利用虚假App实施诈骗的达六成以上,涉及诈骗、传销、赌博、色情、非法集资等多个领域。


晟昌公司技术总监余某,软件专业毕业,90后。参与开发涉诈App后,他每月进账达到4万元以上,比此前1万元的工资高出几倍。面对警方调查,余某坦承,“知道可能违法,但是在别的地方也拿不到这么高的工资”。


张晟介绍,晟昌公司开发的一系列涉诈App,平均售价10万元,价格最高的一款24万元。“每开发一个,公司通常可获利数万元”。


同样,陈女士下载的那款App的开发公司,2019年接下这单业务也是因为利润可观。“买主开出的价码是120余万元。”浠水县公安局网络安全监察大队民警闫运说。


涉诈App开发者接下订单,多是抱着赚快钱、期盼可以一夜暴富的心理。


在近期江苏省无锡市警方通报的一起制作虚假贷款App大案中,因常有客户询问能否“定制”贷款类App,涉案网络科技公司受利益驱使,在明知极有可能被用于非法活动,仍制作并出售了800余款App。


一名业内人士介绍,这些涉诈App背后,“活儿不难、来钱快”,成为一些网络科技公司或技术人员愿意铤而走险的最直接原因。

20210510111848957.png20210510111836454.png20210510111903111.png

用“技术中立”做挡箭牌,以身试法


在湖南,一家由多名年轻人创办的“明星”企业,最近一次出现在公众视野中,竟是因今年6月被公安部网安局通报为“组团犯罪”。


2019年11月,客户张某找到这家有诸多光环的科技企业,希望其能制作某证券App的“相似款”。该公司3名主要负责人明知这款App可能被用于犯罪,仍接下业务,帮助张某开发、维护两款虚假证券App。


这一团伙成员均毕业于国内著名高校,有的还拥有硕士、博士学历。他们通过基础源代码,分裂出多个投资诈骗类App,能做到“骗完一人即抛弃整个App”。


曾参与办理多起相关案件的北京市顺义区人民检察院检察官任巍巍为“制刀者”画像:90后IT男为主,大学以上学历,明知他人可能利用App实施违法犯罪行为,或积极配合“直接发力”,或放任不管“间接助攻”,并多以“技术中立”为挡箭牌,长期游走于法律的边缘。


“以为只是开发App,没有直接参与诈骗,问题不大。”面对警方调查时,晟昌公司一些涉案人员如此回答。据介绍,公司老板经常给他们“洗脑”,称公司只是“做刀”,“刀被客户买去是割韭菜还是切水果,都与公司无关”。


办案民警介绍,晟昌公司负责技术开发的员工平均年龄不到30岁,最小的只有22岁,他们都有光鲜的生活,但法律意识淡漠。案发时,一名年轻的工程师正准备迎接自己即将出生的小宝宝,她说:“从小到大没犯过什么错,没想到一下子违了法”。


陈女士被骗那款App开发公司的前端工程师王立(化名)在接受中青报·中青网记者采访时称,公司每年开发10余款软件,首先由销售与客户对接项目需求,开发团队进行研发、测试,再交由客户验收,团队根据验收意见对软件进行调整。王立称:“从没想到,自己会卷入刑事案件。”


王立介绍,开发一款软件需多环节合作,每个程序员一般参与其中某一两个环节。经此一案,他建议,相关专业大学生找工作时要多方了解求职公司背景,开发软件时,“尽量了解下游客户买去做什么、是否涉嫌违法”。


任巍巍介绍,公安部门对涉诈App案正在实行全链条打击,案件背后提供技术支持的“制刀”团伙,涉嫌罪名多为“帮助信息网络犯罪活动罪”。中国裁判文书网的一些判决书显示,类似案件中的技术开发人员被判处有期徒刑1至3年不等,“人生路途从此也蒙上一层阴影”。


近年来,各界对涉案专业技术人员从业禁止呼声渐起。今年10月下旬,反电信网络诈骗法草案提请十三届全国人大常委会第三十一次会议首次审议。有委员提出,电信诈骗手法越来越先进,其中有个重要因素即“部分特定的精通专业电信网络技术、具有专业资格的技术人员参与其中推波助澜”。还有声音呼吁,可参照证券市场对违法人员设定禁入制度,除追究相关刑事责任和刑事处罚外,还可增加禁业惩戒条款,取消和限制其专业资格。

【阅读原文】



2021年11月26日 星期五

今日资讯速览:

1、三星推送 11 月安全补丁:修复 30 余个漏洞,支持 Galaxy S9 之后多款产品


2、连续两天大规模宕机 星展银行遭遇11年来最大故障


3、超过30%的安卓设备出现窃听漏洞 联发科正在发布更新封堵漏洞



1、三星推送 11 月安全补丁:修复 30 余个漏洞,支持 Galaxy S9 之后多款产品


IT之家 11 月 25 日消息,三星近期为旗下的众多智能设备推送了 11 月安全补丁。本次补丁为例行升级,同时为 Android 12、11 系统推送。


根据三星的安全维护报告,11 月补丁修复了 20 多个 Android 漏洞,其中包含 3 个来自谷歌的高风险“关键”漏洞,20 个高风险漏洞,还有两个中风险漏洞。

除了谷歌为安卓提供的补丁之外,本次更新还修复了 Galaxy 系列手机的一些问题。三星表示,修复了 13 项设备上的漏洞,其中包含手机和平板电脑上的 1 个高风险、1 个严重和 2 个中风险漏洞。


IT之家了解到,本次安全补丁为 Galaxy S9 之后的大量智能手机、平板电脑推送,最新发布的 One UI 4.0 系统也会获得更新。

设备列表如下:

  • 三星 Galaxy S9、S10、S20、S21 系列

  • 三星 Galaxy Note 9、Note 10、Note 20 系列

  • 三星 Galaxy Z Fold 5G、Fold2、Fold3

  • 三星 Galaxy Z Flip 5G、Flip 3

  • 三星 Galaxy A12 之后的产品

  • 三星 Galaxy Tab A 10.5、Active 3 LTE、S7、S7+

【阅读原文】



2、连续两天大规模宕机 星展银行遭遇11年来最大故障


东南亚地区最大银行——新加坡星展银行的网上银行服务从23日上午开始出现大规模中断,遭到数千名客户投诉后,24日恢复服务几小时后再次遭遇中断。星展银行24日向客户保证,正在解决技术问题,客户的存款是“安全的”。


此次服务中断是星展银行自2010年以来遭遇的最大故障。2010年,星展银行的自动取款机出现故障,导致新加坡金融监管机构采取监管行动。


星展银行是东南亚地区规模最大的银行,拥有4919亿美元资产、员工数量超过24000人。该银行在50个不同城市有着250家分支机构和1100台ATM机。

【阅读原文】



3、超过30%的安卓设备出现窃听漏洞 联发科正在发布更新封堵漏洞


目前市场上有超过30%的安卓设备采用联发科技股份有限公司提供的解决方案 , 但目前这些设备出现严重的漏洞。


安全公司在联发科芯片上发现四个高危漏洞,部分漏洞已经修复然而前提是设备制造商需要向用户推送固件更新。


如果设备无法获得更新修复漏洞则可能会被攻击者利用,据安全公司的描述攻击者利用漏洞可以达到无交互感染。


即不需要用户做任何事例如点击链接就可以被感染,被感染后攻击者可以提权后安装后门程序并实现后台常驻等。


漏洞来自校验问题:

联发科使用数字信号处理器的专用音频单元来降低核心处理器负载,同时还可以提高音频内容播放质量和性能等。


这个专用音频单元通过驱动程序和IPC 系统从安卓用户空间中的应用程序接收音频处理请求,按理说这需要校验。


但在实际处理过程中音频驱动不直接与数字信号处理器通信 , 而是IPI消息直接转发到系统控制处理器再进行处理。


由于边界检查存在不正确进而导致越界写入,攻击者可以将处理流程中将恶意代码写入数字信号处理器进行常驻。


理论上说这个漏洞可以对任意联发科设备进行提权然后安装恶意软件,通过恶意软件实现对整个设备的完整监控。


老旧设备如何更新是个问题:

每次提到安卓漏洞那就不得不说老旧的设备如何更新,联发科已经积极对漏洞进行修复并提交给谷歌进行分发等。


例如此次发现的四个漏洞中的三个已经在十月份修复,对应的修复程序已经合并到安卓补丁等待制造商进行推送。


如果设备能够获得补丁更新那漏洞不会产生太大影响,问题在于很多老旧的设备压根无法获得更新无法修复漏洞。


比如蓝点网手头这台用于测试用途的国行 Nokia X6 已经两三年没有更新,这款设备使用的也是联发科解决方案。


联发科并没有提供潜在的缓解方案,即如果无法安装补丁的话是否有其他办法能够提升安全性避免漏洞遭到利用。


用户能做的也只有从受信任的地方安装应用,对于老旧的安卓设备这似乎也只是用户唯一能做提高安全性的做法。

【阅读原文】



2021年11月25日 星期四

今日资讯速览:

1、Unit 42 设置 320 个蜜罐,一天内 80% 受到攻击


2、苹果概述如何向遭受间谍软件攻击的客户发送通报


3、苹果正式起诉以色列商业间谍软件开发商NSO并寻求永久禁令



1、Unit 42 设置 320 个蜜罐,一天内 80% 受到攻击

研究人员设置了320个蜜罐,以观察攻击者攻击暴露的云服务的速度,发现80%的蜜罐在24小时内受到攻击。


攻击者不断扫描互联网,寻找可以利用于访问内部网络或执行其他恶意活动的公开服务。


为了追踪哪些软件和服务是黑客的目标,研究人员创建了可公开访问的蜜罐。蜜罐是一种服务器,配置成各种软件运行,作为诱饵来监控黑客活动。


在Palo Altos Networks的Unit 42 进行的一项新研究中,研究人员设置了320个蜜罐,发现80%的蜜罐在最初的24小时内受损。


部署的蜜罐包括带有远程桌面协议(RDP)、安全外壳协议(SSH)、服务器消息块(SMB)和Postgres数据库服务的蜜罐,在2021年7月至8月保持活动状态。这些蜜罐部署在世界各地,在北美、亚太和欧洲都有实例。

863078d7f2af02113c4e8b69c863d22

攻击者行动轨迹

第一次攻击的时间与服务类型被攻击的数量有关。


对于最具针对性的SSH蜜罐,第一次攻击的平均时间为3小时,两次连续攻击之间的平均时间约为2小时。

cb03cd312954ba943465c269552fd34
Unit 42还观察到一个值得注意的案例,即一名黑客在30秒内破坏了实验中80个Postgres蜜罐的96%。


这一发现非常令人担忧,因为在发布新的安全更新时,部署这些更新可能需要几天甚至更长的时间,而攻击者只需要几个小时就可以侵入公开的服务。


最后,关于地理位置是否有任何区别,结果显示,亚太地区受到黑客的最大关注。

5faa070d501f2abf11730014ae63734

防火墙有用吗?


绝大多数(85%)的攻击者IP是在一天内发现的,这意味着攻击者很少(15%)在随后的攻击中重用相同的IP。


这种持续的IP变化使得“第3层”防火墙规则对大多数威胁参与者无效。


能够更好地缓解攻击的方法是通过从网络扫描项目中提取数据来阻止IP,这些项目每天识别数十万个恶意IP。


然而,Unit 42在48个蜜罐组成的子组上测试了这一方法,发现阻断700000多个IP之后,子组和对照组之间在攻击次数上没有显著差异

79dbeeb9182f250f8c7691fa34b9b02
为了有效地保护云服务,Unit42 建议管理员执行以下操作:

  • 创建护栏以防止特权端口打开。
  • 创建审核规则以监视所有打开的端口和公开的服务。
  • 创建自动响应和补救规则来自动修复错误。
  • 在应用程序前面部署下一代防火墙(WFA或VM系列)。

最后,始终在最新安全更新可用时安装这些更新,因为黑客在发布新漏洞时会迅速利用这些漏洞。

【阅读原文】



2、苹果概述如何向遭受间谍软件攻击的客户发送通报


早些时候,苹果已宣布对 Pegasus 间谍软件开发商 NSO Group 提起诉讼。可知该间谍软件会尝试利用 iOS 和其它平台的相关漏洞来渗透目标用户的设备,且已被用于全球多地的监视活动。与此同时,作为安全公告的一部分,苹果披露该公司正在“参照行业最佳实践”,向“少数用户”主动发去安全通报。

(来自:Apple Support)


在一份新分享的支持文件中,苹果概述了该公司是如何向这批疑似遭受 PegASUS 间谍软件攻击的用户发去安全通报的。


具体说来是:

通过 Apple ID 绑定的地址和电话号码,苹果将向用户发送一封电子邮件和 iMessage 消息通知,并建议采取额外的步骤来保护其设备。

此外当用户登录 Apple ID 门户网站时,苹果也将在页面顶部挂出显目的‘威胁通报’横幅。

在厂商和安全专家持续不断的建议下,广大用户已经深知不该随意点击不可信的邮件和 iMessage 消息链接、或安装未知来源的应用程序。


因而接收到苹果官方安全通报的用户,通常会第一时间访问苹果官网来验证他们的(Apple ID)账户是否受到影响。


不过苹果也承认,这类通知可能存在一定的误报几率。且随着供方双方技术的不断升级,某些类型的攻击是难以在第一时间被察觉到的。


最后,无论你是否受到 Pegasus 间谍软件攻击事件的影响,苹果都建议大家认真参照如下步骤,以更好地保护他们的设备。

● 将设备更新到最新软件版本,以打上最新的安全修复程序。

● 合理使用密码来保护设备。

● 对账户(Apple ID)启用双因素身份验证和强密码。

● 始终通过官方 App Store 获取应用。

● 为线上服务启用独特的强密码,以避免被攻击者一锅端。

● 不要轻易点击来自未知发件人的邮件附件或消息链接。

最后,苹果在“消费者报告安全计划”(Consumer Reports Security Planner)网站上分享了一份紧急资源清单,以供那些未收到安全通报、但怀疑自己可能中招的用户参考。

【阅读原文】



3、苹果正式起诉以色列商业间谍软件开发商NSO并寻求永久禁令


臭名昭著的以色列商业间谍软件开发商NSO集团此前被发现攻击iOS设备 ,  而受攻击的用户似乎也包括美国公民。


NSO使用的零日漏洞可以无交互感染目标iOS设备 , 即受害者无需点击任何链接就可能被安装NSO飞马间谍软件。


被安装飞马间谍软件后用户的通讯录、通话记录、短信、部分通讯软件、定位、摄像头、麦克风都会被随时监视。


按NSO的说法该公司的间谍软件是不会监视美国公民的 ,NSO 自然也怕因为监视遭到美国制裁影响其后续发展。


然而美国公民实验室研究分析后发现至少有十几名美国公民被飞马软件监视,这种行为可能违反美国相关的法律。


另外早些时候美国商务部已经宣布制裁 NSO 集团,美国公司或个人在未经批准的情况都不能与之发生任何交易。


苹果宣布起诉NSO:

苹果向来标榜自己追求隐私安全,而被飞马间谍软件无交互感染后苹果似乎也发现在这轮攻防战里自己颜面扫地。


为此苹果正式宣布起诉NSO集团,苹果希望寻求法院禁令永久禁止 NSO 集团使用苹果任何软件、服务或设备等。


苹果软件工程高级副总裁表示 , 像NSO这种由国家资助的参与者在没有有效责任划分的情况下使用复杂监控技术。


苹果表示自己的设备是目前市场上最安全的消费硬件,但这种由国家资助的间谍软件私营企业正在变得更加危险。


尽管这些网络安全威胁只影响苹果的极少数用户,但苹果重视任何针对苹果用户的攻击、要确保所有用户的安全。


潜在结果是什么:

这种起诉虽然可能流程会花费较长时间但苹果胜诉概率极大,法院可能会满足苹果要求发布苹果寻求的永久禁令。


如果法院颁发永久禁令禁止NSO使用苹果的任何软件、服务和设备,那NSO再尝试攻击iOS设备就属于违法行为。


在有禁令的情况下继续违反禁令那就会受到美国法律的打击 , 到时候NSO及其高管们可能会以为违法被苹果起诉。

【阅读原文】



2021年11月24日 星期三

今日资讯速览:

1、风电巨头维斯塔斯遭网络攻击并导致数据泄露


2、跑分软件UserBenchmark被23款安全软件误标记为“恶意软件”


3、微软研究人员发现网络攻击者对长密码进行暴力穷举的手段失去兴趣



1、风电巨头维斯塔斯遭网络攻击并导致数据泄露


丹麦风力涡轮机巨头Vestas Wind Systems遭遇网络攻击,这起事件破坏了其部分内部IT基础设施并导致尚未明确的数据泄露。维斯塔斯在 11月19日事件发生后关闭了其部分系统。该公司尚未提供攻击事件具体发生的细节,拒绝说明这是否是勒索软件攻击,调查仍在进行中。在最新的更新声明中,该公司称发生了数据泄露,部分IT设施正在恢复中,没有证据表明事件影响了第三方运营,包括客户和供应链运营。需要关注的是,中国是维斯塔斯最为重要的新兴市场之一,截至2021年6月30日,维斯塔斯在中国的装机总量超过8.8吉瓦。

图片

维斯塔斯在全球制造工厂拥有 25,000 名员工,该公司表示,它于 11 月 19 日星期五发现了“网络安全事件”,并立即关闭了多个业务部门和地点的 IT 系统。


在11月20的一份承认遭到攻击的初步声明中,维斯塔斯表示,客户、员工和其他利益相关者可能会受到其几个 IT 系统关闭的影响。

图片

11月22日发布的更新声明证实了数据泄露。“该公司的初步调查结果表明,该事件已经影响了维斯塔斯的部分内部 IT 基础设施,并且数据已被泄露。现阶段,工作和调查仍在进行中。”


维斯塔斯表示,没有迹象表明该事件影响了第三方运营,包括客户和供应链运营。


“维斯塔斯的制造、施工和服务团队能够继续运营,但作为预防措施,一些运营 IT 系统已被关闭。维斯塔斯已经开始逐步且有控制地重新开放所有 IT 系统,”该公司表示。 股价一度下跌 3.5%,至 11 月 8 日以来的最低点。

图片

这起事件是维斯塔斯的另一个头痛问题,该公司已经在应对原材料成本上升和供应链中断的问题。该公司——风能行业的领头羊——本月早些时候下调了今年的利润预期,并表示不利因素可能会持续到 2022 年。花旗集团 (Citigroup Inc.) 分析师马丁·威尔基 (Martin Wilkie) 表示,虽然现在评估事件的影响“还为时过早”,但注意力将放在可能的生产延迟和成本上。


安全周刊报道称,该事件具有勒索软件攻击的所有特征,即公司的数据被劫持和加密,并被用来从受害组织勒索数百万美元。


维斯塔斯并不是第一个遭受重大网络攻击的丹麦跨国组织。2017 年,集装箱航运巨头马士基遭受网络攻击,导致其系统关闭,恢复成本高达数亿美元。2019 年,助听器制造商 Demant A/S 因 IT 攻击损失了约 8500 万美元,清洁巨头 ISS A/S 去年也遭到袭击。


维斯塔斯是全球可持续能源解决方案的合作伙伴,业务覆盖风力发电机的设计、制造、安装和服务,在全球85个国家和地区装机逾140吉瓦。凭借业内领先的智能数据能力以及超过120吉瓦的运维服务规模,维斯塔斯运用大数据分析、预测和利用风资源,从而交付出色的风电解决方案。维斯塔斯于1986年来到中国,在山东安装了中国最早的风力发电机。1999年,维斯塔斯在北京设立代表处。2005年,维斯塔斯开始在天津建设其全球最大的风电设备一体化生产基地。


中国是维斯塔斯最为重要的新兴市场之一。2014年至今,维斯塔斯先后把技术先进的2兆瓦、4兆瓦产品和EnVentus™平台风机带到中国,并把自身运维服务灵活度提升至前所未有的高度,以满足客户的任何运维策略。截至2021年6月30日,维斯塔斯在中国的装机总量超过8.8吉瓦。目前尚不确定本次网络攻击导致的数据泄露对其海外分支机构的影响。

【阅读原文】



2、跑分软件UserBenchmark被23款安全软件误标记为“恶意软件”


反病毒软件主要根据各种病毒特征进行预防、隔离等操作,但有时候也会出现误杀的情况。UserBenchmark 就是最新案例。根据 VirusTotal,这个流行的免费基准测试工具已被近二十个网站标记为恶意软件。

UserBenchmark 是一个轻量级的免费软件,可以测试你的 CPU、GPU、内存、存储驱动器(SSD和/或HDD)和 USB 驱动器。该软件最近的一些版本还包括一个“技能工作台”(Skill Bench),基本上也是为用户提供基准测试。


但是,如上所述,目前有近20种反病毒软件,准确地说,有23种,将该软件标记为恶意软件,其中绝大多数将其识别为木马程序(如下图)。这个问题并不完全是新问题,因为像这样的案例是由用户在网上论坛上报告的。


微软也在这个反恶意软件的名单中,将UserBenchmark标记为一个恶意的木马。根据微软安全情报1.353.1394.0版本,UserBenchmark是"危险的,可以执行攻击者的命令"。该应用程序已被标记为"严重"威胁。


从上面的截图来看,由于 UserBenchmark 的 Nullsoft 脚本安装系统(NSIS)性质,它似乎被检测为恶意软件。事实上,NSIS的网站指出,这是一个常见的误报问题,因为许多反病毒程序将 NSIS 文件标记为潜在的恶意软件。但是,这可能确实是一个值得警惕的问题,因为在 NSIS 包内捆绑恶意软件也是可能的。

【阅读原文】



3、微软研究人员发现网络攻击者对长密码进行暴力穷举的手段失去兴趣


根据微软蜜罐服务器网络收集的数据,大多数暴力攻击者主要试图猜测短密码,很少有攻击是针对长密码或包含复杂字符的凭证的。"我分析了超过2500万次针对SSH的暴力攻击所输入的凭证。这大约是微软安全传感网络中30天的数据,"微软的安全研究员罗斯·贝文顿说。

0-Bevington-image.jpg

"77%的尝试使用了1到7个字符的密码。超过10个字符的密码只出现在6%的情况下。"他在微软担任欺诈主管,他的任务是创建看起来合法的蜜罐系统,以研究攻击者的趋势。在他分析的样本数据中,只有7%的暴力攻击尝试包括一个特殊字符。此外,39%的人实际上至少有一个数字,而且没有一个暴力尝试使用包括空格的密码。


研究人员的发现表明,包含特殊字符的较长密码很可能在绝大多数暴力攻击中是安全的,只要它们没有被泄露到网上,或者已经成为攻击者暴力攻击字典的一部分。


此外,根据截至今年9月针对微软蜜罐服务器网络尝试的140多亿次暴力攻击的数据,对远程桌面协议(RDP)服务器的攻击与2020年相比增加了两倍,出现了325%的增长。网络打印服务也出现了178%的增长,还有Docker和Kubernetes系统,也出现了110%的增长。


"关于SSH和VNC的统计数字也同样糟糕--它们只是自去年以来没有那么大的变化,"贝文顿说。"默认情况下,像RDP这样的解决方案是关闭的,但如果你决定打开它们,不要把它直接暴露在互联网上。记住,攻击者会对任何强行的远程管理协议进行攻击。如果你必须让你的东西在互联网上访问,请运用各种加固手段,例如强密码,管理身份,MFA,"这位微软经理说。

【阅读原文】



2021年11月23日 星期二

今日资讯速览:

1、NCSC向四千多家网店发警告:警惕Magecart攻击 会窃取客户支付数据


2、突发!伊朗私营航空公司马汉航空遭网络攻击,损害程度及幕后真相仍不明(更新)


3、数据代码里隐藏“猫鼠游戏” 公司数据合规到底难在哪



1、NCSC向四千多家网店发警告:警惕Magecart攻击 会窃取客户支付数据


英国国家网络安全中心(NCSC)近日向 4000 多家网店的店主发出警告,他们的网站受到了 Magecart 的攻击影响,会窃取客户的支付信息。Magecart 攻击也称网络盗取、数字盗取或电子盗取,攻击者将被称为信用卡盗取器的脚本注入被攻击的网店,以收获和窃取顾客在结账页面提交的支付和/或个人信息。

图片来自于 Picserver


攻击者随后将利用这些数据进行各种金融和身份盗窃欺诈计划,或在黑客或刷卡论坛上将其卖给出价最高的人。NCSC 表示截至今年 9 月底,已经发现有 4151 家网店被攻击,并提醒零售商注意这些安全漏洞。


NCSC 发现的大多数用于盗刷的网店都是通过流行的电子商务平台 Magento 的一个已知漏洞被攻破的。自2020年4月以来,NCSC监测了这些商店,并在通过其主动网络防御计划发现被入侵的电子商务网站后,向网站所有者和中小型企业(SMEs)发出警告。


受影响的在线零售商被敦促升级 Magento--以及他们使用的任何其他软件--的最新状态,以阻止攻击者在黑色星期五和网络星期一期间企图入侵他们的服务器并损害他们的在线商店和客户的信息。

负责经济和社会的 NCSC 副主任 Sarah Lyons 表示:“我们希望中小型在线零售商知道如何防止他们的网站在购物高峰期被投机取巧的网络犯罪分子利用。尽可能保持网站的安全是很重要的,我敦促所有企业主遵循我们的指导,并确保他们的软件是最新的”。


该机构还为希望在网上安全购物的个人和家庭提供指导,建议他们只在值得信赖的网上商店购物,使用信用卡进行网上支付,并始终注意可疑的电子邮件和短信,这些信息看起来好得不像真的。美国网络安全和基础设施安全局(CISA)也提供了关于如何在网上购物时保持安全的安全提示。

【阅读原文】



2、突发!伊朗私营航空公司马汉航空遭网络攻击,损害程度及幕后真相仍不明(更新)

【阅读原文】



3、数据代码里隐藏“猫鼠游戏” 公司数据合规到底难在哪


中国国家互联网应急中心发布的数据显示,2021年10月,网站安全方面,中国境内被篡改网站数量为9532个,较9月增长近3成;境内被植入后门的网站数量为2932个,较9月增长2.4%。按网站类型统计,被植入后门数量最多的是.COM域名类网站。按地区分布统计,被植入后门的网站数量排名前三位的分别是北京市、广东省和浙江省。

问题可能远不止于此。10月,木马或僵尸网络恶意活动情况方面,中国境内近442万个IP地址对应的主机被木马或僵尸程序控制,与9月相比增长4成。按地区分布感染数量排名前三位的分别是广东省、江苏省和河南省。


数据安全问题仍在不断发生。


11月8日,美国一款应用程序Robinhood有关负责人表示,一名入侵者上周(11月3日)进入了该公司的系统,盗窃了数百万用户的个人信息。包括大约500万用户的电子邮件地址外泄,另外200万用户的全名外泄。入侵者还获取了超过300个用户更广泛的个人信息。


Robinhood经过调查后在其官网宣称,“我们仍然认为该列表不包含社会安全号码、银行账号或借记卡号码,并且没有因事件给任何客户造成经济损失。”


个人信息作为数据安全的重要表现,Robinhood的这次个人信息泄露事件只是数据安全问题的一个缩影。因为不仅公司、机构内部存在泄露风险,外部攻击也是数据安全问题的重要威胁。


针对潜存的数据安全问题,我国先后颁布实施了相关法律。11月1日,《中华人民共和国个人信息保护法》正式实施。全国人大常委会法工委经济法室副主任杨合庆解读称,个人信息保护法确立了个人信息处理应遵循的基本原则,构建了以“告知-同意”为核心的处理规则,规范个人信息处理行为,为个人信息的利用提供了公开、透明、可预期的法律环境。


其实,面对无处不在的网络数据安全风险,我国近年来先后颁布出台了相关的法律法规。比如今年9月1日,《中华人民共和国数据安全法》正式实施。4年前,《网络安全法》已开始实施。


作为重要的风险源头,那些掌握着大量数据的互联网公司、快递公司、金融科技公司等面对实施的新法是否准备好了?做好风险防范可能面对什么挑战?

“缺乏数据安全意识”


王岩飞是北京市京师(深圳)律师事务所联合创始人、数据合规研究院执行院长。他接触的客户有头部的平台企业,也有中小规模的互联网企业,以及一些实体企业。


王岩飞告诉新京智库,他们最近接了一家制造业上市公司的新项目,这家公司涉及的个人信息数据量非常少,主要是内部员工的信息,但这家公司提出一定要做好个人信息保护的合规工作,“他们的合规意识很强,但有一点过于担心了”。


实际上,有很多企业,包括一些巨头的数据合规意识还很淡薄。这些企业的商业模式运转了这么多年,他们粗放式的数据运营和信息使用模式一时半会也难以改变。“老板、高管和公司员工对于个人信息保护的法律认知还没有到这个程度,这可能与执法还没有跟上有关”,王岩飞说。


以快递行业为例,2018年5月1日起实施的《快递暂行条例》第34条规定,经营快递业务的企业应当建立快递运单及电子数据管理制度,妥善保管用户信息等电子数据,定期销毁快递运单,采取有效技术手段保证用户信息安全。


新京智库观察发现,有一些快递公司已将寄、收双方手机号的中间四位数字隐去,但有一些快递公司的快递单仍然显示详细的寄、收双方的手机号码。


第34条还规定,经营快递业务的企业及其从业人员不得出售、泄露或者非法提供快递服务过程中知悉的用户信息。发生或者可能发生用户信息泄露的,经营快递业务的企业应当立即采取补救措施,并向所在地邮政管理部门报告。


新京智库梳理发现,仍有一些快递公司的用户信息在被贩卖。2021年11月7日《南方都市报》报道,该报记者通过一款即时通讯软件联系了多位买家,其中一名叫“橘子”的人报价,实时面单超过1000张每张价格3.5元,精品面单每张4元;而历史面单只收车载、童装童鞋、化妆品类的,每张1.5元。


另一名叫“悟空”的卖家声称,他手里有几十万历史快递面单,货源是一家物流“云仓”;为了证明自己的实力,他还给记者发了一份文档,里面按照化妆品、母婴、服装等进行分门别类,其中包括上百位消费者的姓名、所购商品、家庭住址和电话号码等隐私信息,甚至还有商品的价格。


中国政法大学传播法研究中心副主任朱巍对新京智库表示,《个人信息保护法》施行前,加密、去标识化的隐私面单还可以视为行业内的倡导,但随着该法的生效,加密、去标识化等安全技术措施已经成为快递平台必须履行的法定义务,因此隐私面单功能就必须强制推行。


中国科学院大学网络空间安全学院教授张锐告诉新京智库,其实技术上完全可以做到,只需要在源代码中加入若干行相关程序码而已,而且“真的很简单”。

现实是,“大老板认识不到,这事肯定做不好”,广东工业大学计算机学院特聘教授刘文印告诉新京智库,企业如何在管理过程中加强对公司数据、员工数据、产品用户数据的合法以及综合管理,有时会发现投入大量人力资源可能有些问题也无法解决。


代码里的“猫鼠游戏”

新京智库梳理发现,随着《个人信息保护法》的生效,几乎所有App、网站都更新了“隐私政策”——都有弹出相应弹窗需要用户按下“同意”键。尴尬的是,很多人可能是直接选择“同意”,而不会花时间去阅读这些网站或App的隐私政策到底都是什么内容。


“我也不看。因为你不同意的话他就直接退出,无法‘正常使用’”,上海大邦律师事务所高级合伙人游云庭告诉新京智库,用户看不看是用户的事情,但应用开发运营者必须告知用户权利义务,这是他们的责任。由于商业模式的多样性,这种事情也没法特别简化,现在的模式应该说,是目前情况下可以做到的比较好的方式。


新法实施下,企业该如何做到“无瑕疵”守法还存在类似的技术难题。刘文印表示,我国颁布的《个人信息保护法》被外媒称为“世界上最严格隐私法之一”。在此之前,欧盟《一般资料保护规范》(GDPR)被称为史上最严的隐私法。


《个人信息保护法》规定,收集和处理个人信息应取得个人的充分同意,在23、29、39条中,共5种特殊场景中,要求“取得个人的单独同意”,给用户充分的“知情权”和“决定权”,个人有权要求算法说明具体信息,有权知道两个第三方之间在用“我个人的什么信息,没有我个人授权,他们之间无权使用我的个人信息”。


“很多场景下,获取‘单独同意’是非常困难的”,刘文印表示,是“发邮件,亲手签字,还是要本人认证?这些信息沟通怎么自动解析?精度和效率怎么保证”,这些都是大问题。但是,如果使用已经开发的基于“登录易”的生态系统架构,网站每次都把“单独同意”的请求发到手机登录易App,即,可信用户代理,或个人信息管理终端,用户点击“同意”后,就带着目的地网站的账号密码去调用部署在目的地的API(应用程序接口),目的地网站收到后,验证账号密码“对”就表示确实是用户本人“同意”,很容易自动完成。


刘文印表示,如果“拒绝”,甚至可以自动投诉到监管机构。如果在登录易中设置自动授权“同意”的条件,自动检查信息请求是否满足,就可以自动授权,提高效率,同时留下“单次通知知情-单次同意”的日志记录,作为证据。


然而,“很多企业还不知道如何才能自动合规,实现上述规则,尤其是单独‘同意’的规则在实践中如何落地”,刘文印表示,因为这是一个全新规则,比普通的“同意”更难获得,需要有单独的通知,让用户知情,并明确授权“同意”,不能一开始在用户协议或隐私政策一次性打钩就算永久“同意”,“授权”了。

因为数量上加上技术上客观存在的难题,游云庭介绍,多数情况下,互联网公司会做“踩线”的事,比如在产品设计时就把它设计成一个容易混淆,方便他们在接受审查时有退路的架构,处理成一个看似合规合理的模式。


为什么这么做?游云庭表示,因为这涉及一个监管部门的审计能力问题。因为目前我们的监管机构缺乏相应的审计能力,即如何判定互联网公司的某个设计是否违法,或者一旦发生数据安全违法事件,如何判定违法还需要查看相应的产品设计方案及程序源代码。


“如果要加强执法的话,其实要提升相应的数据审计能力,这个成本由谁来承担”,游云庭表示,如果由平台公司承担,那就变成了一个“猫鼠游戏”,把“老鼠”都抓光了,“猫”也就不用活了。


数据出境到底怎么出

一个可能更为棘手的问题是,涉外企业的数据出境问题该如何解决?


王岩飞介绍,他所感受到的是,企业对于数据出境问题还是有很多急需法律普及的盲点。“很多企业暂时不知道怎么做,而且有的是跨国公司”。


作为高校教师,刘文印所在的网络安全圈子也经常遇到来自企业界的类似困惑。因为很多境内外都有业务(或者国内运营,用户主要在境外)的公司就会遇到“数据出境”和“个人信息保护”的双重问题。


涉及这类业务的不仅有外资企业,还有中资企业,比如在境外设有子公司的,或境外只有贸易业务的。以外资企业为例,国家统计局《中国统计年鉴2021》的数据显示,2020年,我国共有外商投资企业户数总计63.54万家,同比增长1.3%。


随着数字经济全球化的推进,数字贸易日益成为区域经贸协定的重要内容,我国数字贸易金额也越来越大。商务部的数据显示,“十三五”时期我国数字贸易额由2015年的2000亿美元增长到2020年的2947.6亿美元(约合人民币2万亿元),增长47.4%,占服务贸易的比重从30.6%增长至44.5%。


“比如,有一家叫‘XX思维’的在线教育App,因为收集了太多个人信息,三天两头收到监管部门的通知整改”,刘文印说,因为该App的不少用户在境外,不仅要符合中国的法律,海外也得合规,包括符合欧盟GDPR的规定。


对于金融企业来说,也有一些问题亟待解决。王岩飞介绍,金融企业不仅要履行反洗钱法律责任,如果某家商业银行是在海外注册的,不仅要做好反洗钱合规工作,基于其归属地的法律,还需要把信息对冲过去,就又涉及数据出境问题在不同法律之间怎么协调处理问题。“我觉得是个难点”。


急需解决的问题不仅于此。游云庭表示,当企业在为数据出境感到困惑时,我们的监管部门力量还无法匹配。即当所有涉及数据出境的企业都要求到监管部门备案时,监管部门能否都及时审批过来?如果不能,那企业数据出境业务怎么开展?


游云庭表示,新法普及确实增加了企业运营成本,而且部分企业也出现了一些恐慌,尤其是做境内外投资的。现在找他们律师咨询或做合规工作的是还有钱的企业,如果本身就是微利经营,手里没有现金流的企业,“它可能就不做了”。


企业做好数据合规面临的挑战

面对新规,企业做好个人信息保护,数据合规又可能面临哪些挑战?


上市公司索信达控股有限公司(下称“索信达”)数据管理领域专家韦海晗告诉新京智库,新监管趋势及行业趋势对数据安全管理提出了更高要求,但像银行业要做好数据安全工作还面临不小的挑战。比如,要求管理内容更丰富,具体体现在非结构化数据纳入管理范畴、客户隐私数据保护成为重点、数据安全分级管理成为必要、海量数据脱敏比较关注、分布式的基础设施灾备、更多相关的法律法规保证等。


同时,对金融公司也提出了更高的管理能力要求。韦海晗介绍,比如对数据安全要求更高,数据泄露影响也更大,面对海量的数据进行全面的安全分级管理。一些新的大数据产品对于数据安全设计存在缺陷,更多依赖于企业自身数据安全管理能力,分布式的灾备和恢复要求也越来越多。


如果管理能力没有相应“升级”可能面对的就是管理成本急剧上升。IBM公司今年7月底发布的《2021年数据泄露成本报告》数据显示,数据泄露的平均成本从上一年度的386万美元上升到424万美元,同比增长近10%。这是近七年来最大的单年成本增长。也是IBM发布该报告17年来的最高成本。


该报告进一步指出,与无关远程工作的数据泄露相比,与远程工作有关的数据泄露事件的平均成本高出107万美元。因远程工作而导致数据泄露的企业百分比为17.5%。此外,与远程工作人员最多为50%的组织相比,远程工作人超过50%的组织识别和遏制数据泄露事件所需的时间要多出58天。


从行业来看,该报告指出,医疗保健行业的数据泄露平均总成本从2020年的713万美元增加到2021年的923万美元,增幅近3成。医疗保健行业的数据泄露成本连续11年位居首位。


“这就要求管理技术也要更先进”,韦海晗说,比如利用大数据技术获取企业不同类型的安全数据,识别潜在的数据安全风险和威胁,非结构化数据的安全保护策略和技术实现方案,分布式的数据加密技术、数据脱敏技术,以及更全面、灵活的数据文件访问技术,基础设施灾备和恢复技术等。


因而,韦海晗认为,数据安全管理的工作是贯穿于整个数据管理体系之中的,关系到整个数据管理体系的搭建。从整个数据管理角度看,数据安全管理工作包括数据安全管理标准、数据安全事故处理、数据安全分级、数据安全审计。


“数据安全分级是数据安全管理体系构建的重点核心,数据分类又是数据安全分级的基础和依据”,韦海晗建议,在系统技术支撑上,可以将数据安全分级管理体系嵌入到类似元数据平台、数据资产管理平台上去做。


而张锐表示,很多平台企业,即便是科技企业在技术上的投入还是太少,他们的系统也没有太先进。很多公司实际上的先进技术研发人员远没有他们所宣称的那么多,“可能是干体力活的居多”。


企业在做好数据合规工作时不仅内部,外部也同样面临挑战。


游云庭表示,在《数据安全法》和《个保法》等新的法律规范生效之下,执法能力不强也在一定程度上限制了企业的发展。比如,有的企业有数据跨境需求,但当他们咨询或者请相关部门予以指导时,相关部门告知“这块暂时不管”,因为这是“优化营商环境”的范畴。


游云庭介绍,这是他在《数据安全法》生效后两三天遇到的真实经历。他认为,这说明相关的监管部门不能说没有准备,而是新法生效后,一下子涌现那么多企业需要办理数据合规的相关业务,他们受理不过来。“他们也不会去接(企业)锅的,万一你(企业)这些数据有问题呢?”


企业要有国家安全思维

那企业该如何做到合规经营?


中国信息通信研究院互联网法律研究中心主任方禹向新京智库表示,企业首先要强化数据合规意识。《个人信息保护法》所构建的很多规则,在一定程度上是对企业进行“补课”,过去“重发展、轻保护”的经营思路需要做较大调整,而调整的起点就是个人信息保护意识的形成和强化。


“还要持续合规”,方禹说,个人信息保护本身具有动态性,合规也是一项持续性动作,企业确定个人信息保护总体框架后,需要结合技术发展、业务变化等持续开展合规工作,以符合个人信息保护的安全状态。


从技术操作层面而言,刘文印建议,企业需要优先梳理、盘点自己的数据资产。首先要知道自己都有什么(数据),才能有针对性地提出管理和合规的策略。同时,通过合规性检测来确定自身的问题点,然后再制定适当的、有效的治理手段和风险管理方式和目标计划,从而有效执行实现合规化。


“网络安全治理和风险管控每一个步骤都是为了减少安全威胁”,刘文印认为,企业经过有效的梳理后进行集中治理并定期不断循环升级,从而形成一种生态模式。网络安全的链条很长,主要涉及三个要素,即人员、流程和技术。因此,企业在培训和优化流程时,也需要在技术上提高,特别是着重提高可以优化、减少人员犯错流程的技术和能自动执行合规的技术。


对于金融机构而言,索信达的数据治理专家魏强向新京智库表示,需建立个人信息保护的制度体系,明确工作职责,规范工作流程,完善IT系统,设计并实施覆盖个人信息全生命周期的安全保护策略,需要从敏感个人金融信息的收集、传输、存储、使用、删除、销毁等处理的整个过程采取措施进行全生命周期的保护。“比如遵循明确和最小必要原则对个人信息收集进行规范;采用加密等安全措施传输和存储个人敏感信息,避免泄露等”。


王岩飞认为,做好新时代下的数据合规,企业还需树立两种思维。首先是树立国家安全思维,这对很多企业来说都是非常重要的,但是大部分企业都没有。因为平台企业采集的信息,不仅包括用户个人信息,还可能包括天气、地理等数据,只有树立了国家安全思维,才能在数据出境工作中不踩国家安全“红线”。

其次是树立刑事风险的思维。很多企业家可能都会想,如果可以赚10亿元,但只罚3000万元,那他就愿意去冒违法的风险。但是他们忽略了一个问题,就是《刑法》中有好几个涉及个人信息保护、数据安全的罪名。


有些违法行为可能就不只是罚钱了事,“我们去年接手的几起刑事案件,就是金融企业各板块的员工相互导数据,他们完全没有意识,认为这是合理的”,王岩飞说。


北京大学法学院教授薛军向新京智库表示,企业在遵守《个人信息保护法》,包括《数据安全法》的过程中,需要有一定的意识,即促进统一的执法标准的形成,比如一些指导性意见或行业准则的出台。这样才能使得大家在一个“水位线”上,在同等的、合规的标准上来展开竞争,这样才能真正促进行业的健康、良性发展。“特别是在个人信息保护的合规监管力度、标准的拿捏上,是不是能够实现一体的、统一的执法标准”。


方禹建议,从监管角度来说,行政指导就尤为重要。大多数国家和地区都组建了个人信息保护专门机构,其关键作用之一是对个人信息保护进行指导。行政指导的相对柔性,能够与法律的相对刚性实现有机结合,促进个人信息保护复杂性的解决。基于指导经验,将一些成熟的做法、普遍接受的做法固化为监管细则。

【阅读原文】



2021年11月22日 星期一

今日资讯速览:

1、研究人员发现核辐射可用于无线传输数字数据


2、承诺绝不泄露客户信息 台积电提交给美国的芯片机密公开


3、美国国家安全局(NSA)助学金促进大学网络安全培训



1、研究人员发现核辐射可用于无线传输数字数据


无线电波和移动电话信号依靠电磁辐射进行通信,但在一项新的发展中,来自英国兰卡斯特大学的工程师与斯洛文尼亚的Jožef Stefan研究所合作,利用 "快中子"来传输数字编码的信息。


研究人员测量了来自锎-252的快中子自发发射,这是一种在核反应堆中产生的放射性同位素。他们使用一个探测器测量了调制的发射,并记录在一台笔记本电脑上。在一个例子当中,一个单词、字母和一个盲选的随机数字,被连续编码到中子场的调制中,并在一台笔记本电脑上解码输出,在屏幕上恢复编码的信息。


研究者进行了一个双盲测试,在事先不知道上传者的情况下,对一个来自随机数发生器的数字进行编码,然后进行传输和解码。所有尝试的传输测试都被证明是100%成功的。研究人员证明了快中子辐射作为无线通信媒介的潜力,适用于传统电磁传输不可行或有内在限制的应用。


他说,快中子比传统电磁波有优势,因为传统电磁波通过包括金属在内的材料传输时,会被大大削弱。在一些对安全至关重要的情况下,例如涉及反应堆安全壳的完整性,以及海洋结构中的金属拱顶和舱壁,尽量减少穿透这些金属结构的通信电缆数量是很重要的。使用中子在这种结构中传输信息可以避免这种穿透的需要,也许也适用于在困难情况下需要进行有限传输的情况,如紧急救援行动。


快中子也可以被纳入混合信号的电子系统中,以实现电子和中子之间的信号混合。这可能有助于满足确保信息传输完整性的要求。

【阅读原文】



2、承诺绝不泄露客户信息 台积电提交给美国的芯片机密公开


11月8日是美国设定的要求全球各大半导体企业提交芯片机密的截至日期,台积电、三星等公司都在这一日期之前向美国商务部提交了芯片机密数据。


那么台积电到底提交了什么数据给美国呢?日前美国商务部上也公布了部分半导体公司提交的报告内容,主要涉及5家晶圆代工厂,其中包括四家台湾半导体工厂台积电、力积电、联电和VIS(世界先进),另外一家以色列企业TowerSemi(高塔半导体)。


台积电没有完全回应美国的要求,针对部分问题做了回答,主要集中于自身产能情况、2019至2021年集成电路产量及各分支占总产量的比例,以及订单积压量最大产品的最近一个月销售额,但并未透露订单积压量最大产品的具体名称。


此前台积电强调,公司长期以来与所有利害关系人积极合作并提供支持,以克服全球半导体供应上的挑战。


但没有也不会提供机密数据,如同公司法务长日前所说:“台积公司不会提供机密数据,更不会做出损及客户和股东权益之事。”

【阅读原文】



3、美国国家安全局(NSA)助学金促进大学网络安全培训


UNG 在蓝岭、卡明、达隆加、盖恩斯维尔和奥科尼设有校区,国家安全局向其提供了两笔总计 265,000 美元的补助金。


该大学将用这笔钱通过两种不同的途径提供免费网络安全教育:根西伯战士学院和北乔治亚州教师进步根西伯教育(AGENTs)变革营。


这两个培训项目都是在翁的达隆加校区的彭宁顿军事领导中心亲自学习的机会。


第一项倡议为高中生提供网络安全指导,第二项倡议向中学或高中教师提供网络安全培训。


明年夏天,在它的第六年运作,一年一度的 GenCyber 战士学院将容纳 40 名高中生从 6 月 5 日至 11 日。从 6 月 27 日至 7 月 1 日,将第二次举办 "变革之星",为 24 名教师提供 30 多个小时的网络和计算机科学专业发展。


2022 年,UNG 教职员工将首次提供额外的每月学前辅导课程,从 1 月开始,营地后指导将持续到 10 月。


学费和学习材料的增加是通过国家安全局破纪录的拨款实现的。


"新的全年格式让我们有机会分享更多的内容和背景,让每个人都达到相同的水平,"UNG 计算机科学教授、该大学网络项目协调员布莱森・佩恩博士说。


" 在他们来营地之前,他们已经做了一些有价值的实践活动。营地后的活动将帮助他们保持他们的技能敏锐。


中年教育副教授、UNG 教学、学习和领导中心助理主任林赛・林斯基博士说,变革的 AGENT 为教师提供了一个重要的机会。


林斯基说:"这可能是他们第一次有机会学习如何教授网络。" 需要更多的教师了解什么是网络安全,以及如何以道德的方式教给学生。


————————————————

原文作者:全球网络安全资讯

转自链接:https://www.wangan.com/p/7fygf3a018965de0

版权声明:著作权归作者所有。商业转载请联系作者获得授权,非商业转载请保留以上作者信息和原文链接。



2021年11月19日 星期五

今日资讯速览:

2、1块钱买个“有缘人”留神啊 交友盲盒存个人信息泄露风险


3、网盘空间大撤退 在免费用户不限速后百度网盘只提供10GB空间



2、1块钱买个“有缘人”留神啊 交友盲盒存个人信息泄露风险

  只要一元钱,就能获得一个“有缘人”的联系方式,或者将自己的联系方式“匹配”出去等待“有缘人”。最近,一种“盲盒交友”的社交方式出现。律师提醒:这种玩法有泄露个人信息的风险,不要盲目跟风。


  一元“脱单”吸引不少人

  盲盒交友源于在一些城市出现的抽陌生人纸条的街头摊位,花上一元钱就能盲抽一张写有他人自我介绍和联系方式的纸条。在电商平台上也有不少人经营此类业务,顾客既可以花钱留下自己的联系方式,等待商家“匹配”;也可以买一个陌生人的联系方式,价格再高一点可以看对方照片或选择对方地域,价格多在1元至5元之间。网上销量最高的一家店铺,月销量在3000笔以上。


  还有人将这套玩法开发成小程序,直接对外出售小程序的源码,称“只要付钱,就有人帮你搭建好系统,可以在线‘摆摊’赚钱”,一套系统价格在几百元不等。记者打开一款小程序,发现首页有根据性别划分的抽纸条、放纸条操作,使用者需要先上传自己的照片、联系方式、个人简介等信息,然后可以付费抽取一个陌生人的联系方式,抽取后可自行联系对方。这种玩法吸引了不少想“脱单”的年轻人尝试。但这种交友方式的效果颇让人怀疑,记者搜索发现,在电商平台此类商品的评价中,有不少人表示“留了联系方式之后,根本没人回”“买到的联系方式是个微商,就想让我买东西”等。


  盲目跟风易泄露信息

  北京市常鸿律师事务所彭艳军分析,参与者自愿提交自己的个人信息以对等地获得他人信息,并不涉及侵犯他人隐私权或者非法窃取他人信息的问题。但由于这类玩法一般会让参与者提供个人照片、简介、联系方式等,这就存在泄露个人信息的风险,而且难以保证商家不会将这类信息挪作他用。运营这种玩法的小程序系统,在技术层面也难以确定是否存在技术漏洞。


  彭艳军提醒,对于经营此类业务的商家或平台,若将盲盒里的大量个人信息贩卖给他人,情节严重的,将以出售、非法提供公民个人信息罪被追究刑事责任。“盲盒交友”虽然新鲜,但参与者仍需理性,尤其是要有个人信息保护意识,不要盲目跟风。

【阅读原文】



3、网盘空间大撤退 在免费用户不限速后百度网盘只提供10GB空间


昨天在工信部指导下百度网盘、腾讯微云、阿里云盘、迅雷云盘等签署个人网盘服务业务用户体验保障自律公约。


签署公约的网盘企业集体承诺将在年内推出无差别速率的产品,为各类用户提供无差别的上传以及下载速率服务。


无差别服务指的是在同等网络接入条件下,个人网盘经营者为各类用户包括免费用户提供无差别速率的上传下载。


但网盘经营毕竟需要庞大的硬盘空间和网络带宽支持,指望网盘企业既提供大容量空间又不限速下载显然不可能。


不限速可以但网盘空间大撤退:

据人民网发布的消息,网盘企业签约时还公布落实举措计划,从公示表里可以看到各家网盘的空间都出现大撤退。


例如百度网盘将推出百度网盘青春版,免费用户使用百度网盘青春版也不限制上传和下载速度但网盘空间非常小。


以往各家网盘动辄推出4TB甚至更高的免费空间,在前几年网盘倒闭大潮中部分网盘直接关闭或缩减空间和限速。


百度网盘倒是没有把已经发放的免费空间给收回,但百度网盘的经营策略就是疯狂限制下载速度逼迫用户开会员。


而此次百度网盘即将推出的青春版空间仅仅只有10GB ,  不限速网盘里最高的也就阿里云盘提供100GB云盘空间。


面向免费用户的网盘企业落实举措公示表:

网盘空间大撤退 在免费用户不限速后百度网盘只提供10GB免费空间

是否区别对待还有待观察:

在公示表里似乎只有百度网盘会推出新产品也就是青春版,按我们猜测青春版与普通版应该可以互通再限制空间。


这样的话可以将需要下载的文件转存到青春版里再下载,但百度也不傻如此简单绕过下载速度限制有点不太可能。


其他网盘例如阿里云盘、微云和迅雷云盘等提供的空间为100GB、5GB和10GB,但已经有大空间的用户怎么办?


难不成还需要用户把多出来的空间配额还回去才能不限速下载么,这方面问题还得各个网盘落实举措后才能知道。


估计多数用户应该不想因为自己空间超额就被区别对待,所以这些网盘处理现有用户的空间应该也是个麻烦事情。


【阅读原文】



2021年11月18日 星期四

今日资讯速览:

1、微软警告NOBELIUM攻击技术愈加泛滥 谨防HTML代码夹带恶意软件


2、ESET:黑客借中东新闻网站对目标访客发起攻击


3、Emotet 垃圾邮件软件在全球范围内攻击邮箱



1、微软警告NOBELIUM攻击技术愈加泛滥 谨防HTML代码夹带恶意软件


早在 5 月,微软就认定有俄罗斯背景的 NOBELIUM 黑客组织要对持续数月的 SolarWinds 网络攻击事件负责,并同企业、政府和执法机构达成了合作,以遏制此类网络攻击的负面影响。早些时候,微软更进一步地剖析了 NOBELIUM 使用的一套更加复杂的恶意软件传送方法。可知其用于造成破坏,并获得“HTML Smuggling”系统的访问权。

1.png

HTML Smuggling 技术概览(图自:Microsoft Security)


微软表示,HTML Smuggling 是一种利用合法 HTML5 和 JavaScript 功能、以高度规避安全系统检测的恶意软件传送技术。

2.png

钓鱼邮件示例


近年来,这项技术已被越来越多地用于部署网银恶意软件、远程访问木马(RAT)、以及其它有针对性的钓鱼邮件活动。

3.png

Mekotio 活动中曝光的威胁行为


其实早在今年 5 月,这项技术就已经在 NOBELIUM 发起的钓鱼邮件活动中被观察到,最近的案例包括网银木马 Mekotio、AsyncRAT / NJRAT 和 Trickbot(控制肉鸡并传播勒索软件负载和其它威胁)。

4.png

HTML Smuggling 网页代码示例


顾名思义,HTML Smuggling 允许攻击者在特制的 HTML 附件或网页中“夹带私货”。当目标用户在浏览器中打开时,这些恶意编码脚本就会在不知不觉中被解码,进而在受害者的设备上组装出有效负载。

5.png

被 JavaScript 加花的 ZIP 文件


换言之,攻击者没有直接通过网络来传递可执行文件,而是绕过了防火墙、再在暗地里重新构建恶意软件。举个例子,攻击者会在电子邮件消息中附上 HTML Smuggling(或重定向)页面链接,然后提示自动下载序列。

6.png

钓鱼页面


为帮助用户辨别愈演愈烈的 HTML Smuggling 攻击,微软在文中给出了一些演示实例,告诫银行与个人采取必要的防御措施,同时不忘推销一下自家的 Microsoft 365 安全解决方案。

7.png

在浏览器中构造的、带有密码保护下载器的 JavaScript 实例


9.png


据悉,Microsoft 使用多层方法来抵御网络威胁,通过与一系列其它终端防御措施协同合作,以阻止在攻击链的更高层执行并减轻来自更复杂攻击的后果。

8.png

Trickbot 钓鱼活动的 HTML Smuggling 攻击示例


最后,微软强烈建议广大客户养成良好的习惯,抽空了解各类恶意软件感染案例,同时将非必要的本地 / 管理员权限调到最低。

【阅读原文】



2、ESET:黑客借中东新闻网站对目标访客发起攻击


经历了持续一年多的追踪,网络安全研究人员终于摸清了“中东之眼”新闻网站入侵事件的来龙去脉。由 ESET 周二发布的报告可知,一群黑客入侵了总部位于伦敦的这家热门新闻网站。这家网站着眼于中东地区的新闻报道,而攻击者的最终目标却是网站访客。


1.png

伊朗驻阿布扎比大使馆网站的脚本注入


据悉,这轮黑客活动一直从 2020 年 3 月活跃到 2021 年 8 月,期间波及大约 20 个网站,同时导致不少访客中招。

具体说来是,攻击者利用了所谓的“水坑攻击”(watering hole attacks)—— 借道合法网站,来瞄准它们的目标。

换言之,网站本身没有受到太大的破坏,但却让特定的访问者陷入了危险之中。

0.png

(图 via TechTarget)


ESET 研究员 Matthieu Faou 在接受 Motherboard 电话采访时称,他们一直没能摸清攻击者的最终有效载荷,显得它们在选择攻击目标时非常谨慎。


此外伊朗、叙利亚、也门等多国政府网站、一家位于意大利的航空航天企业、以及南非政府旗下的某国防集团站点 —— 它们都与“中东之眼”攻击事件有千丝万缕的联系。


ESET 推测,黑客可能是来自以色列的间谍软件供应商 Candiru 的一位客户,该公司已于早些时候被美国政府列入了黑名单。

2.png

Medica Trade Fair 克隆站点


作为业内最神秘的间谍软件供应商之一,Candiru 并无所谓的官网,且据说已多次变更名称。


不过由以色列《国土报》分享的一份文件可知,该公司“致力于提供渗透 PC 计算机、网络、手机的高端网络情报平台”。


在以色列纸媒于 2019 年首次曝光了 Candiru 的存在之后,包括卡巴斯基、微软、Google、Citizen Lab 在内的多家网络安全公司,纷纷对它的恶意软件展开了持续追踪。

3.png

FingerprintJS 主页


当 Motherboard 与“中东之眼”取得联系人,该网站数字开发负责人 Mahmoud Bondok 表示他们刚刚意识到这一切,同时在周二发布的一份新闻中对攻击事件予以谴责。


Matthieu Faou 表示,其计划于华盛顿特区举办的 CYBERWARCON 会议上展示更多发现。遗憾的是,尽管他尝试联系某些受影响的站点,但却迟迟没能收到任何答复。


虽然这些站点看起来都没有收到损害,但目前也不清楚是否相关网站已经逮住了黑客并删除了恶意代码,还是黑客自己动手清理了蛛丝马迹。

【阅读原文】



3、Emotet 垃圾邮件软件在全球范围内攻击邮箱


Emotet恶意软件在中断十个月后,于15日开始运行,该软件通过多次垃圾邮件攻击向全球邮箱发送恶意文档。


Emotet是一种恶意软件感染,通过带有恶意附件的垃圾邮件攻击传播。如果用户打开附件,恶意宏或JavaScript文件,将下载Emotet DLL并使用PowerShell将其加载到内存中。


一旦加载,恶意软件将搜索和窃取电子邮件,用于之后的垃圾邮件攻击,并植入额外的有效载荷,如TrickBot或Qbot,这些载荷通常会使设备遭勒索软件感染。

 

Emotet垃圾邮件攻击卷土重来

15日晚,网络安全研究人员布拉德·邓肯发表了一篇SANS-Handler日记,解释 Emotet僵尸网络是如何再一次滥发多个电子邮件,用Emotet恶意软件感染设备。


据邓肯说,垃圾邮件攻击使用重播链电子邮件诱使收件人打开附加的恶意Word、Excel文档和密码保护的ZIP文件。


回复链钓鱼电子邮件是指以前被盗的电子邮件线程与伪造的回复一起用于向其他用户分发恶意软件。


在邓肯分享的样本中,我们可以看到Emotet使用的回复链与“丢失的钱包”、网络星期一的促销、取消的会议、政治捐款活动以及牙科保险的终止有关。

2af8f9c4b53a80d921f7fc5a6cc5a01

948589786c6b6f3995110f1b4cc8da0


这些电子邮件的附件是恶意宏的Excel或Word文档,或包含恶意Word文档的受密码保护的ZIP文件附件,示例如下所示。

9b199c31713017b2ce9a4d4a3917a29

目前有两个不同的恶意文件正在新的Emotet垃圾邮件中分发。


第一个是Excel文档模板,该模板说明文档只能在台式机或笔记本电脑上起效,用户需要单击“启用内容”以正确查看内容。

3510519f79cc49c381b89f01d35ab11
恶意Word附件正在使用“红色黎明””模板,并表示由于文档处于“受保护”模式,用户必须启用内容和编辑功能,才能正确查看。

223a3eadafabeb9a45b275f11921e2c

 

Emotet附件如何感染设备

打开Emotet附件时,文档模板将声明预览不可用,您需要单击“启用编辑”和“启用内容”以正确查看内容。


但是,单击这些按钮后,将启用恶意宏,启动PowerShell命令,从受损的WordPress站点下载Emotet loader DLL并将其保存到C:\ProgramData文件夹。

735120b4204b9779f7b2077bb4d1e53
下载后,将使用C:\Windows\SysWo64\rundll32.exe启动DLL,它将DLL复制到%LocalAppData%下的随机文件夹中,然后从该文件夹重新运行DLL。

c30d2636a031c4b4c75cf4facda545d
一段时间后,Emotet将在HKCU\Software\Microsoft\Windows\CurrentVersion\Run下配置启动值,以便在Windows启动时启动恶意软件。

3ccf1b6a0ef370d518f578073df957b
Emotet恶意软件现在将在后台静默运行,同时等待从其C&C服务器执行命令。


这些命令可以用于搜索电子邮件以进行窃取邮件并传播到其他计算机,还可以安装其他有效负载,如TrickBot或Qbot特洛伊木马。

45df89608510e54e04919cbf5c637b7
目前,BleepingComputer还没有看到Emotet植入的任何额外有效载荷,这也得到了邓肯测试的证实。


邓肯告诉BleepingComputer:“我只在最近感染了Emotet的主机上看到过spambot活动。”“我认为Emotet本周刚刚重新开始活动。”
“也许我们会在未来几周看到一些额外的恶意软件有效载荷。”研究人员补充道。

 

防御Emotet

恶意软件和僵尸网络监控组织Abuse.ch发布了245个C&C服务器的列表,外围防火墙可以阻止与C&C服务器的通信。


阻止与C2s的通信也将防止Emotet在受损设备上植入更多有效负载。


在2021年1月,一次国际执法行动摧毁了Emotet僵尸网络,十个月以来,该恶意软件一直保持沉寂。


然而,从周日晚上开始,活跃的TrickBot病毒开始在已经感染的设备上植入Emotet加载程序,为垃圾邮件攻击重建僵尸网络。


Emotet的再次活动是所有网络管理员、安全专业人员和Windows管理员必须监控的重大事件,以了解新的动态。

【阅读原文】



2021年11月17日 星期三

今日资讯速览:

1、微软为Win 10推送KB5007253补丁 远程打印机问题终于得到修复


2、美国和以色列达成反勒索软件联盟


3、臭名昭著的Emotet僵尸网络在TrickBot恶意软件的帮助下卷土重来



1、微软为Win 10推送KB5007253补丁 远程打印机问题终于得到修复


快科技了解到,今天(11月17日),微软将正式为Windows 10 Release频道的用户推送了Build 19044.1379/19043.1379的Release预览版更新。


据悉,这两个更新中Build 19044.1379为21H2更新,Release预览频道的用户已经可以查看更新,而Build 19043.1379则是编号为KB5007253的21H1更新补丁,该补丁将修复维持数月之久的远程打印机问题。


从今年8月开始,Win 10就开始频繁的出现各类与打印机相关的Bug与漏洞,在当时微软就曾尝试推出多个更新来封堵,但却导致打印机的各类工作异常,在KB5006674号更新补丁之后甚至出现了多种导致远程打印机无法连接的Bug。


在此次推送的更新中,微软终于修复了连接与共享远程打印机时出现0x000006e4、0x0000007c或0x00000709错误代码的问题,而这一问题正是在上述的KB5006674更新之后出现的。


除了这个用户等待了数月之久的远程打印机问题外,在此次更新中微软还修复了数量众多的Bug与问题,如使用Microsoft Excel导出PDF文件时Excel崩溃的问题也在这次更新中得到了解决。


本次更新中微软修复的问题达到了30个,但需要注意的是,虽然Release频道的系统更新已经较为稳定,但仍有存在为发现的新Bug的可能,因此如无必要还请谨慎更新。

【阅读原文】



2、美国和以色列达成反勒索软件联盟


美国和以色列近日宣布了一项旨在对付勒索软件的双边合作伙伴关系。


这一举措是周日启动的新的美国—以色列特别工作组的一部分,该工作组将更广泛地涵盖金融科技创新和网络安全。


其参与者目前正在起草一份谅解备忘录(MoU),以支持联合活动,包括在威胁情报、安全指导和条例方面的信息共享。


还讨论了员工培训、考察访问和跨境能力建设举措,例如与金融和投资流动相关的网络安全演习。


该工作组将在政策、监管和外展方面开展一系列技术交流,以确保尽早将强大的网络安全融入金融科技创新中。它还将致力于推动遵守反洗钱、反恐融资和核扩散融资。


尽管财政部将其作为新双边协议的主要内容,但关于两国计划如何具体应对勒索软件的细节很少。


财政部副部长沃利·阿德耶莫(Wally Adeyemo)表示:“利用国际合作和技术创新的力量,将使我们能够支持经济竞争力、繁荣,并应对包括勒索在内的全球威胁。”。


“随着全球经济复苏,勒索和其他非法金融威胁对以色列和美国构成了严峻挑战,加强信息交流、政策、监管和执法方面的联合工作与合作对我们的经济和国家安全目标至关重要。”


这项交易是在上个月由白宫主办的一项虚拟反勒索软件倡议几周后达成的,来自欧盟和包括以色列在内的30个其他国家的代表出席了该倡议。


虽然美国经常被吹捧为勒索软件攻击者的头号目标,但以色列正受到其中东竞争对手越来越多的攻击。


今年5月,多家公司遭到疑似伊朗组织“Netorm”的袭击,而本月早些时候,另一家德黑兰支持的机构BlackShadow泄露了数十万名医疗患者和一个在线LGBTQ集体成员的敏感数据。

【阅读原文】



3、臭名昭著的Emotet僵尸网络在TrickBot恶意软件的帮助下卷土重来


Emotet 是个非常成熟的僵尸网络 ,这个僵尸网络的危害性在于其背后团伙经常将被感染的设备出售给其他黑客。


例如有黑客购买被感染的设备用来安装勒索软件,有的则用来钓鱼窃取企业信息,还有的则被用于发起网络攻击。


欧洲刑警组织将该僵尸网络称为世界上最危险的恶意软件,而在年初的联合执法行动已经将其主要基础设施摧毁。


但在消失10个月后现在Emotet正在借助TrickBot恶意软件卷土重来,目前研究人员正在密切关注Emotet的发展。


臭名昭著的Emotet僵尸网络在TrickBot恶意软件的帮助下卷土重来-第1张


TrickBot正在协助Emotet重新崛起:

在年初的联合执法行动中欧洲刑警组织成功摧毁该僵尸网络的主要基础设施,包括主要命令服务器等全部被下线。


而在4月份在执法机构的努力下,通过发送控制命令被Emotet感染的设备自动卸载恶意软件达到斩草除根的效果。


现在有研究人员发现Emotet似乎和 TrickBot 出现联手,TrickBot正在通过其恶意软件帮助Emotet重新感染设备。


TrickBot也是个臭名昭著的恶意软件,研究人员发现TrickBot正在分发新版Emotet , 新变种采用dll文件进行感染。


能检测到的初次部署是11月14日,目前无法确定有多少设备被感染 ,但研究人员正密切关注Emotet变种的发展。


为什么Emotet值得警惕:

如本文开头所说Emotet僵尸网络更像是其他恶意软件的分发入口,当被感染Emotet那也意味着将遭到更多攻击。


Emotet 通过控制大量被感染的设备组成庞大的僵尸网络 ,然后这些设备会被出售给其他黑客进行针对性的利用。


通常被 Emotet 感染后随后各种恶意软件就会到来,包括但不限于勒索软件,所以对企业来说危害还是非常高的。


此前就有勒索软件通过该僵尸网络感染大量企业进行勒索 , 而TrickBot、QakBot及Ryuk等也曾通过Emotet分发。


企业IT管理员可以访问此列表将Emotet相关实例IP进行封禁 , 封禁相关域名和IP地址后有助于提高企业网络安全。

【阅读原文】



2021年11月16日 星期二

今日资讯速览:

1、微软 Win11/Win10 Linux 子系统(WSL)0.50.2 更新,获得全新企鹅图标


2、美国教育行业勒索攻击猖獗,多位议员共同致函教育部


3、苦等12个月:研究人员正式披露评级9.8分的高危安全漏洞



1、微软 Win11/Win10 Linux 子系统(WSL)0.50.2 更新,获得全新企鹅图标


IT之家 11 月 16 日消息,微软今日向 Github 和 Microsoft Store 的 Windows Linux 子系统(WSL)发布了 0.50.2 版本更新,带来了诸多改进。

0.50.2 版本最显而易见的改变就是全新的 Tux 小企鹅图标,除此之外,该版本使用了更新的内核,并进行了诸多修复。


以下为完整日志:

  •  Windows Subsystem for Linux 添加新图标

  • 如果硬件支持,则启用硬件性能计数器,已在 opt-out 中添加了一个 USERPROFILE%\.wslconfig 选项:

[wsl2]
hardwarePerformanceCounters=false
  • 修复打印系统错误消息时包含插入内容的的问题。

  • 更新用户磁贴以在用户的主目录而不是 C:\WINDOWS\System32 中启动

  • 恢复 /etc/wsl.conf boot.command 进程的默认信号处理以防止僵尸进程

  • 切换到对 Windows 二进制文件使用静态 CRT

  • wsl.exe --install 使用商店 API 下载分发

  • 将 --no-launch 选项添加到 wsl.exe --install

  • 许多本地化字符串的更新

  • 切换到更新的 tar 以导入/导出 WSL2 发行版

  • 更新到官方 22000 sdk

  • 去除用于发布版本的 Linux symbols

  • 升级 Linux kernel 内核到 5.10.74.3

更新至上游稳定内核版本 5.10.74

启用 BPF Type Format (CONFIG_DEBUG_INFO_BTF) 以供 eBPF 工具使用

将 Dxgkrnl 版本更改为 2110

为 Dxgkrnl 使用启用缓冲区共享和同步文件框架(CONFIG_DMA_SHARED_BUFFER、CONFIG_SYNC_FILE)

IT之家小伙伴可以在 GitHub 页面查看更新并安装 0.50.2 版本的 WSL。

【阅读原文】



2、美国教育行业勒索攻击猖獗,多位议员共同致函教育部


美国教育部与国土安全部被敦促,应更积极地加强全国K-12(中小学)学校的网络安全保护能力,从而跟上当前猖獗的勒索攻击浪潮。


这项行动呼吁来自美国参议员Maggie Hassan(新罕布什尔州民主党人)、Kyrsten Sinema(亚利桑那州民主党人)、Jacky Rosen(内华达州民主党人)以及Chris Van Hollen(马里兰州民主党人)。


11月12日(上周五),美国政府问责局发布报告,评估了教育部用于应对K-12学校网络威胁的响应计划(制定于2010年),表示计划内容已经明显过时,仍在主要强调缓解物理威胁。


四位美国参议员表示,“K-12学校正越来越多地受到各类恶意团伙的网络攻击,这一波冲击的核心驱动力正是勒索软件的迅速崛起。”


“根据公开报告的K-12学校网络安全事件数据库,2019年发生的网络安全事件达到2018年的近三倍,2020年又比2019年进一步增加了18%。在此期间,内华达州、新罕布什尔州、亚利桑那州以及马里兰州的学区都曾遭遇过勒索软件攻击。”


安全公司Emsisoft的威胁分析师Brett Callow表示,勒索软件在整个2021年给美国教育机构带来了普遍影响。自今年年初以来,勒索软件攻击已经扰乱了约1000所大学、学院及学校的正常教育秩序。


虽然这一数字低于2020年同期水平(当时共有1681所教育机构遭到攻击),但并不代表安全状况有所改善,而是因为黑客开始攻击那些学校数量较少的小学区。


加强K-12网络安全建议与措施

美国政府问责局发现,教育部与国土安全部为K-12学校提供了关于免受持续网络攻击侵扰的指导计划、服务与支持,具体包括事件响应援助、网络监控工具以及面向家长/学生的行动引导。


但很明显,K-12学校需要额外的支援。从成功得手的攻击事件来看,影响到K-12学校的网络安全漏洞正在不断增加。


为了解决这个问题,政府问责局要求教育部同网络安全与基础设施安全局(CISA)组织会议,共同决定如何更新教育行业风险缓解计划,并确定是否需要发布专门的行业指导以应对网络威胁。


参议员们则表示,“我们强烈赞同政府问责局对教育部的建议,包括与国土安全部下辖的网络与基础设施安全局合作,为教育设施子行业更新专有安全计划,并确定是否需要发布特定子行业指导意见等。我们也很高兴看到教育部接纳了这份建议。”


“面向特定子部门的安全更新计划将帮助教育部及国土安全部切实有效地优先考虑教育设施子部门面对的网络风险及其他风险,而专项指导意见则将帮助K-12学校更好地利用现有网络安全框架并推进最佳实践。”


参议员们还敦促教育部和国土安全部建立教育设施协调委员会,鼓励联邦、州及地方一级部门实体同K-12学校私营机构之间更好地协同起来。


根据参议员们的介绍,上述举措将进一步加强网络攻击保护能力,让教育设施获得类似于选举设施的安全水平提升。

【阅读原文】



3、苦等12个月:研究人员正式披露评级9.8分的高危安全漏洞


ARSTechnica 报道称:约有上万台 Palo Alto Networks 的 GlobalProtect 企业虚拟专用网服务器,受到了 CVE-2021-3064 安全漏洞的影响。然而为了修复这个评级 9.8 / 10 的高危漏洞,Randori 也苦等了 12 个月。这家安全公司指出,在最初发现后的大部分时间里,他们一直在私下努力帮助客户努力应对现实世界的威胁。

1

(图自:Palo Alto Networks)


按照通用漏洞披露流程,安全专家更希望厂商尽快修复安全漏洞。至于 CVE-2021-3064 这个缓冲区溢出漏洞,它会在解析堆栈上固定长度位置的用户提供的输入时出现问题。


从 Randori 开发的概念验证方法可知,该漏洞或造成相当大的危害。研究人员在上周三指出:


我公司团队能够访问受影响目标 Shell、敏感配置数据、并提取相关凭证。一旦攻击者控制了防火墙,就可以在企业内网肆无忌惮地扩散。

2.png

由于过去几年,黑客积极利用了来自 Citrix、微软和 Fortinet 等企业的大量防火墙 / 虚拟专用网漏洞,政府已于今年早些时候发出过一份安全警示。

同样遭殃的还有来自 Pulse Secure 和 Sonic Wall 等厂商的产品,以及最新披露的 Palo Alto Networks 的 GlobalProtect 解决方案。


据悉,GlobalProtect 提供了一个管理门户,可锁定网络端点、保护可用网关信息、连接所需的可用证书、控制应用软件的行为、以及分发到 macOS 和 Windows 终端的应用。

3.jpg

庆幸的是,CVE-2021-3064 仅影响 PAN-OS 8.1.17 之前版本的 GlobalProtect 虚拟专用网软件。


尴尬的是,尽管已经过去了一年,Shodan 数据还是显示有上万台互联网服务器正在运行(早期预估为 70000)。


独立研究员 Kevin Beaumont 表示,其开展的 Shodan 检索表明,所有 GlobalProtect 实例中、约有一半是易受攻击的。


最后,安全专家建议任何使用 Palo Alto Networks 公司 GlobalProtect 平台的组织,都应仔细检查并尽快修补任何易受攻击的服务器。

【阅读原文】



2021年11月15日 星期一

今日资讯速览:

1、美国黑客入侵Booking.com 公司管理层却对此保持沉默


2、国家发展改革委组织召开虚拟货币“挖矿”治理专题视频会议


3、Abcbot - 一种新的可进化的蠕虫僵尸网络恶意软件瞄准 Linux



1、美国黑客入侵Booking.com 公司管理层却对此保持沉默


2016年初,一名美国黑客闯入酒店网站Booking.com的服务器,盗取了中东地区国家数千家酒店的预订细节。经过两个月的研究,四名Booking.com的IT专家确定,该黑客是一名与美国情报部门关系密切的人。


Booking.com请求荷兰情报部门AIVD帮助其调查这一广泛的数据泄露事件,但没有通知受影响的客户或荷兰数据保护局(AP)。管理层称,根据霍金路伟律师事务所的建议,它当时没有法律要求这样做。


据相关人士透露,Booking公司IT专家对管理层对数据泄露保持沉默的决定感到不舒服。专家们对这一决定也持批评态度。根据当时适用的隐私法,当有关的数据泄露可能会对个人私人生活产生不利影响时,公司必须通知受影响的人。根据莱顿大学法律和数字技术教授Gerrit-Jan Zwenne的说法,Booking公司不能假设相关人员不会受到间谍活动的影响,这种被窃取的信息可以用来将人们列入禁飞名单,禁止他们进入特定国家或对他们进行窃听。


周四出版的《De Machine》(《机器》)一书中描述了美国的这种间谍行为。在书中,荷兰国家报纸NRC的三名记者调查了美国荷兰酒店预订网站的崛起、盛况和最近的(COVID-19)危机。Booking.com今年庆祝成立25周年,Booking.com是世界上最大的预订平台,拥有2800万个住宿提供给客户。


Booking.com在2016年初意外地发现了间谍活动。该公司阿姆斯特丹总部安全部门的一名员工发现,一个身份不明的人通过一个安全性差的服务器进入了Booking系统。该黑客进入了中东地区(包括沙特阿拉伯、卡塔尔和阿拉伯联合酋长国)的数千家酒店预订系统。该漏洞让黑客获得Booking客户的姓名和他们的旅行计划。


该事件在内部被称为"PIN泄露",因为预订的PIN被盗,该事件由Booking的三名前安全专家和一名管理层成员独立证实。在美国私人调查员的协助下,Booking.com的安全部门在两个月后确定了黑客的身份,他是一个美国人,在一家执行美国情报部门任务的公司工作。

【阅读原文】



2、国家发展改革委组织召开虚拟货币“挖矿”治理专题视频会议


11月10日下午,国家发展改革委组织召开虚拟货币“挖矿”治理专题视频会议,通报虚拟货币“挖矿”监测和整治情况,并对下一阶段工作进行部署。


会议强调,各省区市要坚决贯彻落实好虚拟货币“挖矿”整治工作的有关部署,切实负起属地责任,建制度、抓监测,对本地区虚拟货币“挖矿”活动进行清理整治,严查严处国有单位机房涉及的“挖矿”活动。


中央网信办、教育部、工业和信息化部、人民银行、国资委等部门相关工作负责同志参加会议。各省、自治区、直辖市发展改革委,以及整治虚拟货币“挖矿”活动牵头部门负责同志在分会场视频参会。

【阅读原文】



3、Abcbot - 一种新的可进化的蠕虫僵尸网络恶意软件瞄准 Linux


奇虎 360 的 Netlab 安全团队的研究人员公布了一种名为 "Abcbot" 的新型僵尸网络的细节,这种僵尸网络在野外被观察到具有蠕虫般的传播特征,以感染 Linux 系统,并针对目标发起分布式拒绝服务(DDoS)攻击。


虽然僵尸网络的最早版本可追溯到 2021 年 7 月,但最近观察到的 10 月 30 日的新变种已配备其他更新,以攻击密码较弱的 Linux Web 服务器,并且容易受到 N 日漏洞的影响,包括自定义实施 DDoS 功能,表明恶意软件正在不断发展。


Netlab 的发现也基于趋势科技上月初的一份报告,该报告宣传了针对华为云的攻击,包括加密货币挖掘和加密劫持恶意软件。入侵还值得注意的是,恶意外壳脚本特别禁用了旨在监控和扫描服务器以查找安全问题以及将用户密码重置到弹性云服务的过程。


现在,据中国互联网安全公司称,这些空壳脚本正被用来传播 Abcbot。迄今为止,总共观察到了僵尸网络的六个版本。


一旦安装在受损主机上,恶意软件将触发一系列步骤的执行,这些步骤导致受感染的设备被重新用作 Web 服务器,此外,还可以将系统信息报告给命令和控制 (C2) 服务器,通过扫描打开端口将恶意软件传播到新设备,并在运营商提供新功能时自行更新。


"有趣的是,10 月 21 日更新的样本使用开源 ATK Rootkit 来实现 DDoS 功能," 研究人员说," 这一机制要求 Abcbot 在执行 [a] DDoS 攻击之前下载源代码、编译和加载根基模块。


"这个过程需要太多的步骤,任何有故障的步骤都会导致 DDoS 功能的故障," 研究人员指出,导致对手在 10 月 30 日发布的后续版本中用自定义攻击模块替换现成的代码,该版本完全放弃了 ATK Rootkit。


此前一个多星期,Netlab 安全团队披露了 "粉红" 僵尸网络的细节,据信该僵尸网络感染了 160 多万台主要位于中国的设备,目的是发动 DDoS 攻击,并将广告插入不知情用户访问的 HTTP 网站。在相关开发中,AT&T 外星人实验室从一种名为 "BotenaGo" 的新 Golang 恶意软件中取出包装,该恶意软件已被发现使用超过 30 种漏洞攻击数百万路由器和物联网设备。


研究人员总结道:"这六个月的更新过程与其说是功能的不断升级,不如说是不同技术之间的权衡。"Abcbot 正在慢慢从婴儿期走向成熟期。我们不认为这个阶段是最终形式,显然有很多改进领域或功能要发展在这个阶段。


————————————————

原文作者:Simon

转自链接:https://www.wangan.com/p/7fygf362b40d7e8a

版权声明:著作权归作者所有。商业转载请联系作者获得授权,非商业转载请保留以上作者信息和原文链接。

【阅读原文】



2021年11月12日 星期五

今日资讯速览:

1、朝鲜组织使用带后门IDA软件攻击安全研究人员


2、CNN 民意调查:超过 3/4 的美国人认为 Facebook 会让美国社会变得更糟


3、快递面单屡成“泄密单” 快递小哥如何为个人信息添把“锁”?



1、朝鲜组织使用带后门IDA软件攻击安全研究人员


2021年初,朝鲜组织Lazarus通过养推特大V账号,配合定制开发的恶意软件+0day漏洞针对安全研究人员进行了一系列的网络攻击活动,详细可见:通过社交媒体针对安全研究人员的社会工程学攻击活动。


而就在2021年11月10日,国外安全厂商ESET曝光了该组织的另一起攻击活动,在该活动中,Lazarus组织使用了带有两个后门文件的IDA Pro 7.5软件,针对安全研究人员进行攻击。IDA(Interactive Disassembler)是Hex-Rayd公司的一款世界顶级的交互式反汇编工具,被安全研究人员常用于二进制分析逆向等用途。

图片


图片


攻击者用恶意 DLL 文件替换了在 IDA Pro 安装期间执行的内部组件 win_fw.dll。


图片


恶意 win_fw.dll 会创建一个 Windows 计划任务,该任务会从 IDA 插件文件夹中启动第二个恶意组件 idahelper.dll。


图片


启动idahelper.dll 后,其会尝试从

https://www[.]devguardmap[.]org/board/board_read.asp?boardid=01 下载并执行下一阶段的恶意Payload。


图片


以上图片均来自推特

@ESETresearch


请装有泄露版IDA的同学自行检查

win_fw.dll 

A8EF73CC67C794D5AA860538D66898868EE0BEC0 

idahelper.dll 

DE0E23DB04A7A780A640C656293336F80040F387 


在本地中定期捕获流量数据包查询是否有访问相关攻击使用的域名

devguardmap[.]org  


在本次活动中使用的域名在2021年3月就已经曝光,而此后也一直无法对该域名进行访问连接,有理由怀疑本次活动中涉及到的恶意软件为老版本,因此对于近期网络上泄露的IDA Pro新版软件也需要多加小心,防止被"黑吃黑"。

图片

除此之外,黑鸟回忆起有一个曾经在推特发布过泄露版IDA软件的推特ID,与在2021年10月推特封禁的两个新的朝鲜组织养的推特账号有相似之处,账号均以漏洞研究为噱头进行吸粉,提高信誉后再攻击研究人员的操作。

图片

图片


翻看后发现,Lagal1990在改名之前叫做mavillon1,目前mavillon1账号也已经被冻结。

图片


图片

黑鸟通过群组聊天记录找到了当时mavillon1账号发布的推文,犹记当时圈内传的火热,建议当时本地安装的同学自查一二。

图片


由于Lazarus组织作为黑客组织本身也非常了解黑客群体,因此有理由怀疑除了IDA外,其他安全分析工具也可能惨遭毒手,因此如果有同学使用了非官方渠道分发的安全工具或软件(例如BurpSuite),甚至是泄露的远控(例如Cobaltstrike),请务必自行检查,防止被黑客潜伏多年而不自知。

【阅读原文】



2、CNN 民意调查:超过 3/4 的美国人认为 Facebook 会让美国社会变得更糟


IT之家 11 月 12 日消息,美国有线电视新闻网(CNN)近期公布的最新民意调查中显示,超过 3/4(76%)的美国人认为 Facebook 正在让美国社会变得更糟。同时还有近半数的受访民众(49%)表示他们认识的人中有人因为 Facebook 而相信阴谋论信息,其中年轻人的比例更大。


然而这些认为 Facebook 正在影响美国社会的民众,并没有对该问题是否应由 Facebook 本身负责达成共识。调查显示,在这些人中,有 55% 的民众认为,出现这种问题是因为人们使用 Facebook 的方式有问题,只有 45% 的民众认为更多的是 Facebook 本身的运作方式导致出现该问题。


IT之家了解到,CNN 此次民意调查显示,在经常使用 Facebook 的用户中,有 70% 的受访民众认为 Facebook 在伤害而不是在帮助美国社会。在每个月都多次使用 Facebook 的美国人中,有 54% 的受访民众表示 Facebook 向他们推送了令他们反感的帖子,且在 35 岁以下的受访民众中,有 65% 的人表示该平台向他们推荐了令人反感的内容。调查结果还显示 53% 的受访群众认为,美国联邦政府应该加强对 Facebook 的监管力度,且 38% 的美国人表示,他们也不太相信大型科技公司(例如谷歌、亚马逊)对用户的善意行为。

【阅读原文】



3、快递面单屡成“泄密单” 快递小哥如何为个人信息添把“锁”?


《个人信息保护法》实施后的首个“双十一”,快递信息安全再次成为关注焦点。记者采访了解到,快递小哥掌握大量用户信息,“信息变现”诱惑很大,而隐私面单存在推广难的问题。对于如何保护个人信息,快递小哥表示,在坚守职业道德的同时,也会提醒消费者,尽可能减少信息泄露的环节,为个人信息添把“锁”。


一张快递面单,注明了姓名、电话、住址,由此可以找到你的社交账号,进一步推演出你的消费习惯、经济能力……日前,在浙江宁波警方破获的一起案件中,嫌疑人通过应聘获得快递员身份,“卧底”公司偷拍面单并批量倒卖,为犯罪团伙提供精准诈骗对象。


《个人信息保护法》实施后的首个“双十一”,快递信息安全再次成为关注焦点。作为快递服务的直接提供者,快递员时刻在和面单打交道。从揽收到配送各个环节,他们带着巨量信息在路上穿梭。那么,守护消费者个人隐私,快递员能做些什么?《工人日报》记者由此展开探访。


信息变现诱惑大

短短几行字,就能描摹出一个人的立体画像,快递面单蕴含的信息量惊人,因此也常被犯罪分子盯上,成为个人隐私泄露的重灾区。一起被盯上的,还有快递小哥。


在面单倒卖“黑产链”中,快递员通常处于最上游。去年“双十一”期间,不法分子买通圆通多位快递员,租用其账号盗取面单信息,再层层倒卖至各类下游诈骗团伙,超40万条个人信息被泄露。另一起案件中,在健身房销售人员的唆使下,上海韵达快递员私藏派送区域内面单万余张,两人以150元的价格成交。


“平均一位快递员负责5~7个小区,经手数万条居民信息。”快递员张璁说,自己就曾面临“信息变现”的诱惑。“片区内两家房产中介分别找过我,委婉提出想要面单上的住户信息,开价每条2元,我送一单的报酬才1.2元。”但他最终一口回绝,“保护客户隐私是我的职业道德,再说周边小区只有我一个人跑,很容易就会被发现。”


相较于线下信息买卖,网上交易手段隐蔽、指向性强、影响面广,对快递员的诱惑也更大。最近,快递小哥王雷被同事拉进一个“高端面单群”,依据面单商品的价格、类别,客户信息被分等级精细化售卖。“车载、保健品、母婴用品三类面单开价最高,因为‘转化率高’,卖家大多是快递员,也有电商平台和快递网点的人,一天能成交几千条。”


快递员蒋春霖告诉记者,“黑产”已存在多年,分为“实时”“历史”两种进行交易。当天流出的“实时面单”可卖到4元,已被联系过的“历史面单”只能卖几角钱。


隐私面单推广难

为应对信息泄露难题,2017年起,快递企业相继推出隐私面单。在隐私面单上,个人信息被加密处理,隐去姓名、住址以及电话号码部分数字。快递员派件时,必须通过APP扫码,以“虚拟电话”联系收件人,快递签收后,号码对应关系随即失效。


然而,今年“双十一”记者发现,在不少快递平台,隐私面单已经下线,即使仍在运行,也大多出现在增值服务中,而非默认选项。消费者需要手动选择“安全号码”“隐址寄件”,才能在面单上隐藏相关信息。为保护隐私而生,利用率不升反降,问题出在哪?


“每单都要扫码识别,配送效率至少降低10%。”张璁说,传统面单一目了然,一栋楼的包裹可以集中派送,如果使用隐私面单,就会在路上花费更多时间,配送费也应该相应上调。“比如这一单扫出1号楼,下一单可能是2号楼,如果紧接着又是1号楼,就要折回去。”


技术问题也是推广的阻碍。菜鸟裹裹负责人曾表示,隐私面单依托于电子面单和云打印技术,网购用户能否收到贴有隐私面单的快递,取决于商家是否安装云打印组件。


王雷所在的公司曾短暂地推出过隐私面单,去年“618”大促后又宣布下架。“当时业务量猛增,公司引入了一批众包快递员,但他们无法登录使用APP,后台技术支持也跟不上,‘隐私面单’就此被叫停。”王雷说。


如果无法投递到户,隐私面单还会间接影响用户体验。蒋春霖告诉记者,客户不在家时,一般会要求把快递放在快递架或收发室,他们下班后来取。但是,要在成堆的包裹中,透过模糊处理的信息,快速准确找到自己的快递,难度也直线上升。


守好信息安全“最后一公里”

11月1日,《个人信息保护法》正式施行,明确任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。在个人信息处理者义务中特别提到,企业在处理个人信息时,应当采取加密、去标识化等安全技术措施。


“这意味着,提供隐私面单成为法定义务。”快递物流专家赵小敏认为,保障信息安全是快递行业高质量发展的前提,企业的执行态度应当更加坚定,要升级隐私面单技术,调整末端激励机制,与平台电商形成联动。


站在物流环节末端,快递员与消费者面对面接触,能否堵住面单泄露“最后一公里”的漏洞,为个人信息撑起一把“保护伞”?


“首先是不成为‘漏洞’本身。”王雷笑称,虽然也动过心,但自己还是退出了“面单群”。“买卖面单是‘无本生意’,所以会有快递员陷进去,但这是把客户推向营销和诈骗。大家把信息交给我们,我们就有责任守护好,不违法是底线。”


蒋春霖熟知“面单黑产”的套路,因而经常提醒消费者,尤其是个人信息保护意识较弱的老年人。“寄快递的时候,尽量只提供必要信息,不暴露真实姓名、住址门牌号;取到快递之后,及时销毁单据,或者用涂码笔、热敏纸涂改液抹去关键信息。”


自从被人找上,张璁才知道面单还有“流通价值”,从此格外谨慎。“在快递量不大的时候,我会尽量配合客户的时间,给他们送到家门口,减少可能泄露信息的环节。如果放在驿站或快递架,我连着几天路过看见包裹还在,也会再打电话提醒他们。”

【阅读原文】



2021年11月11日 星期四

今日资讯速览:

1、多伦多交通委员会承认数万员工个人信息被泄漏


2、360:新式勒索病毒来袭 主要通过色情网站广告位传播


3、美国财政部正在购买私人应用程序数据以锁定调查对象



1、多伦多交通委员会承认数万员工个人信息被泄漏


多伦多交通委员会(TTC)近日承认,由于上个月其系统受到勒索软件的攻击,数万名员工的个人信息可能已经被泄露。TTC 负责运营多伦多公交车、地铁、有轨电车和辅助交通系统等等,在近日发布的声明中表示,泄漏的数据包括 25000 名离职和现职员工的姓名、地址和身份证号码等。该机构说,它正在继续调查是否有“少数”客户和供应商也受到了影响。


该机构补充说,虽然“没有证据”表明任何信息被滥用,但它正在通知那些受影响的个人,并将向他们提供信用监测和身份盗窃保护。TCC 还建议员工给他们的银行打电话,提醒他们注意安全漏洞。


TTC 首席执行官 Rick Leary 说,10 月 29 日的勒索软件攻击导致了车辆跟踪和“next bus”系统的瘫痪,以及 Wheel-Trans 在线预订系统的宕机。他补充说,这次事件导致 TTC 的一些服务器被加密和锁定。虽然大多数面向客户的系统已经恢复,但 TTC 的内部电子邮件系统仍然处于离线状态。


Leary 表示:“我想代表整个组织,向可能受到影响的所有人表达我对发生这种情况的深深遗憾。我不会忘记,像我们这样的组织被赋予了大量的个人信息,我们必须尽最大努力保护这些信息。在未来几周,我们将继续重建其余受影响的服务器和内部服务,如重新建立外部电子邮件功能。但事实上,根据其他组织的经验,这可能需要一些时间”。

【阅读原文】



2、360:新式勒索病毒来袭 主要通过色情网站广告位传播


11月10日晚间消息,近期,Magniber勒索病毒攻击事件频发,全国多地网民受到波及。360方面透露,该勒索病毒利用CVE-2021-40444漏洞进行传播,还使用PrintNightmare漏洞进行提权,危害程度更甚以往。根据分析,该病毒主要通过色情网站的广告位传播。


据360安全卫士团队介绍,11月5日开始,360反勒索服务收到大量感染Magniber勒索病毒的求助,同时检测到CVE-2021-40444漏洞攻击拦截量有较明显上涨。经分析追踪发现,这是一起挂马攻击团伙,从使用的技术、攻击手法可以看出,这也是一个技术精良的黑客组织,同时由于此次挂马网站主要面向国内,对普通网民都有重大影响。


360团队透露,该黑客团伙主要通过在色情网站(也存在少部分其它网站)的广告位上,投放植入带有攻击代码的广告,当用户访问到该广告页面时,就有可能中招,感染勒索病毒。


截止当前,360安全卫士仍能拦截到约500次每小时的挂马广告页面访问。而漏洞拦截量,最高单日超过1000次。目前,360产品已集成了针对CVE-2021-40444的微补丁。

【阅读原文】



3、美国财政部正在购买私人应用程序数据以锁定调查对象


美国财政部近几个月来扩大了其数字监控权力,一份泄露的合同显示,它转向了有争议的公司Babel Street,批评者说它帮助联邦调查员买通了第四修正案的规定。


通过《信息自由法》申请获得的两份合同,以及研究和倡导组织"技术调查"与"拦截者"分享的合同显示,在过去四个月中,财政部从Babel Street获得了两个强大的新数据源,其中一个用于其制裁执法部门,另一个用于国内税收局。这两个数据源使政府能够使用私人公司收集不受正当程序限制的敏感数据。批评者特别震惊的是,美国财政部获得了智能手机应用程序中获取的位置和其他数据;用户往往不知道应用程序是如何广泛分享这些信息。


第一份合同的日期为7月15日,费用为154982美元,是与美国财政部外国资产控制办公室(OFAC)签订的,该办公室是一个准情报部门,负责对伊朗、古巴和俄罗斯等外国政权实施经济制裁。纽约大学法学院布伦南司法中心(Brennan Center for Justice)6月份的一份报告发现,OFAC庞大的执法权力需要国会的更大监督。该报告批评对OFAC可以制裁的对象缺乏法律限制,并指出OFAC甚至在制裁授权后还可以自由地将人加入制裁名单。


根据合同文件,OFAC的调查人员现在可以使用名为Locate X的Babel Street工具,在没有搜查令的情况下追踪个人的行动。Locate X为客户提供从移动应用程序中收集的地理位置数据,这些应用程序通常通过广告或嵌入的预包装代码将你的坐标传递给难以计数的第三方,以提供应用程序的社交网络功能或研究用户的统计数据。这种商业位置数据在很大程度上存在于监管真空中,由无数的应用程序获得,并在世界各地的广告技术公司和数据经纪人当中一个令人难以置信的,巨大和不断增长的生态系统之间购买、出售和交换,最终落入Babel Street的手中,然后将搜索权限出售给政府客户,如OFAC。


该软件的批评者说,它基本上允许国家买通第四修正案,该修正案保护美国人免受不合理的搜查。合同指出,OFAC的全球目标办公室将使用Locate X来分析手机广告技术数据,以研究恶性活动和识别恶性行为者,进行网络开发,检查公司结构,并确定实际所有权,这是美国政府罕见地公开承认其使用用现金而不是法官手令获得的个人定位数据。该合同没有表明Locate X是否会被用来对付美国人或外国人。

【阅读原文】



2021年11月10日 星期三

今日资讯速览:

1、曾发动今年最严重网络攻击的勒索软件团伙被抓了


2、Deepfakes:正在成为网络犯罪的帮凶!


3、英国民众对"共同数字身份"(CDI)的愿景持怀疑态度



1、曾发动今年最严重网络攻击的勒索软件团伙被抓了


国际执法机构已经先后逮捕了至少五名涉嫌与REvil勒索软件团伙相关的人员。今年早先,REvil团伙曾针对Kaseya软件公司和JBS食品公司发起过灾难性的网络攻击。


欧洲刑警组织11月8日发布的一份声明显示,罗马尼亚当局于11月4日逮捕了两名涉嫌与REvil有所关联的人士。此外,今年上半年还有另外三名REvil团伙嫌疑人落入法网,因此目前共有五人被缉拿归案。


这些黑客嫌疑人被指控发动约5000次勒索软件攻击,并收取到约50万欧元(57.9万美元)赎金。许多勒索软件团伙将自己的恶意软件提供给附属团伙,再由他们用于攻击受害者,这就是所谓的“勒索软件即服务/RaaS”。


美国也起诉了一名REvil团伙成员

根据周一在达拉斯公布的法庭文件,一名乌克兰人在美国被起诉,他参与了2500次勒索软件攻击,并累计索要了高达数亿美元的赎金。


起诉书提到,Yaroslav Vasinskyi涉嫌与REvil团伙发起的多次勒索软件攻击活动有关,因此面临共谋实施欺诈罪与其他计算机犯罪等多项指控。检察官强调,Vasinskyi是在“明知故犯”的情况下合谋破坏美国的计算机系统。目前尚不清楚Vasinksyi是否就是这五名被捕REvilt团伙成员之一。


REvil是“Ransomware-Evil”的缩写,被认为是世界上最为活跃的勒索软件团伙之一。该团伙被指控在今年对多家企业及机构发动一系列攻击活动,知名受害者包括巴西肉类供应商JBS、总部位于迈阿密的技术厂商Kaseya等。JBS支付了1100万美元赎金,而Kaseya则表示拒绝向黑客屈服。


全球密集联合执法

美国总统拜登已经把打击勒索软件作为本届政府的优先事项。今年早些时候,白宫邀请30多个国家加入《反勒索软件倡议》,其既定目标包括改善网络安全和破坏勒索软件经济体系(特别是勒索中常用的数字加密货币)。


欧洲刑警组织也提到,执法机构在扣押了REvil所使用的基础设施并开展监视等调查行动之后,已经确定了从他们手中租用勒索工具的其他附属团伙。


除了REvil成员遭到逮捕之外,欧洲刑警组织今年还狠狠打击了另一个高产勒索软件团伙GandCrab发展出的两个附属团伙。


周一公布的这项逮捕行动属于GoldDust大规模国际调查的一部分。此项调查由全球17个国家的执法机构共同参与,成员包括美国、英国、法国以及德国。


VMware公司网络安全战略负责人Tom Kellermann表示,“这代表着17个国家已经向网络犯罪联盟发起历史性的集体攻势。GoldDust行动已经在打击勒索软件攻击方面产生了极富意义的影响。”


但他也补充称,“破坏性的网络攻击仍将继续存在,并变得更加系统化。必须加强志同道合的各国家间的集体行动,同时增强对涉及网络犯罪活动的数字货币的没收力度。”


REvil也被称为Sodinokibi,于2019年初次崭露头角。这个俄语团伙以惊人的赎金数额、咄咄逼人的攻击态势以及引人注目的高调目标选择而臭名昭著。他们还在地下网络当中维护一个名为“Happy Blog”的页面,专门用于泄露或拍卖从受害者计算机中窃取到的文件。


根据IBM威胁情报指数的统计,该团伙在2020年内的利润至少为1.23亿美元,并窃取到约21.6 TB的数据。


今年7月,REvil网站从地下网络中消失,并于9月重新出现,但之后很快再次消失。据《华盛顿邮报》报道,今年10月美国网络司令部曾联合某外国政府入侵该团伙服务器并封锁其网站,REvil的网站在恢复后并没能坚持多久。


多个勒索软件被打击

随着针对关键基础设施、医疗保健、企业和教育机构的勒索软件攻击不断升级,全球执法部门今年一直在对犯罪活动施加巨大压力。


这些执法活动导致了多个勒索软件团伙成员被逮捕、基础设施被拆除,包括:


Netwalker勒索软件网站遭到破坏,加拿大分支机构被逮捕;


两名勒索软件攻击团伙成员被逮捕,涉嫌参与约一百起网络攻击;


12名勒索软件攻击人员被逮捕,曾攻击了71个国家1800名受害者;


Clop勒索软件6名成员被逮捕。


执法行动也导致勒索软件团伙主动关闭其业务,因为他们感到执法部门开始严打这类活动。这包括最近关闭的REvil和BlackMatter网站,以及6月关闭的Avaddon勒索软件。


虽然勒索软件团伙可能会暂停他们的行动,但这并不意味着执法部门已经放弃了将他们绳之以法。本周,美国国务院宣布悬赏1000万美元,以识别或找到DarkSide/BlackMatter勒索软件团伙的主要领导人。

【阅读原文】



2、Deepfakes:正在成为网络犯罪的帮凶!


Deepfakes(深度伪造)技术对企业组织来说是一种不断升级的网络安全威胁。如今,网络犯罪分子正在大力投资人工智能和机器学习等Deepfakes技术,以创建、合成或操纵数字内容(包括图像、视频、音频和文本),进行网络攻击和欺诈。这种技术可以真实地复制或改变外观、声音、举止或词汇,目的是进行欺诈,让受害者相信他们所看到、听到或阅读的内容真实可信。


2021年3月,美国联邦调查局警告称,在现有的鱼叉式网络钓鱼和社交工程活动中,恶意行为者利用合成或操纵的数字内容进行网络攻击的势头正呈增长趋势。鉴于所用合成介质的复杂程度,这可能会造成更严重且广泛的影响。因此,企业组织必须认识到这种不断增长的Deepfakes网络威胁,并采取有效措施抵御Deepfakes强化型网络攻击和欺诈。


网络犯罪分子正在采用Deepfakes技术

信息安全论坛的高级研究分析师Mark Ward表示,“人们常说色情推动了技术的采用,这句话对于Deepfakes技术而言也是正确的。现在,这项技术正在其他领域中流行起来——特别是在有组织的网络犯罪团体中。”


事实上,Deepfakes衍生的网络攻击很少见,它们通常只由专业团伙或背后有政府支持的团伙执行,目前只有少数记录在案的成功案例。然而,当工具、技术和潜在回报广为人知时,它将像所有此类技术一样传播开来。


事实证明,地下网络论坛现在就遇到这种情况,犯罪分子正在地下网络分享Deepfakes技术和专业知识。云基础架构厂商VMware研究人员就曾发现很多介绍Deepfakes工具和技术的地下网络教程,这表明威胁行为者已经转向地下网络提供定制服务和教程,这些服务和教程结合了旨在绕过和瓦解安全措施的视觉和音频Deepfakes技术。


Deepfake是一种强化型社交工程技术

Mark Ward引用了包括地下网络聊天在内的证据,表明专门从事复杂社交工程的犯罪集团对Deepfakes技术愈发感兴趣。这些团伙倾向于利用Deepfakes技术开展商业电子邮件欺诈(BEC)活动,诱骗大型企业组织的财务和会计人员向诈骗者控制的账户转移资金。据悉,目前在犯罪聊天室中讨论的工具能够利用高级管理人员的公开资料获取视频、音频和博客文章,来创建令人信服的虚假信息,这些信息随后将被用于发布转移现金或快速付款的要求。


网络犯罪分子利用Deepfakes技术生成的内容能够重建可识别特征(例如某人的口音和讲话方式),并提供额外的可信度。有了Deepfakes技术的助力,攻击者更容易实施攻击活动,这种攻击更难防范。事实证明,Deepfakes音频模拟在追踪企业数据和系统访问的社交工程攻击中特别有效——它可以通过冒充正在出差或不在办公室的高管,要求受害者重置密码或执行允许欺诈者访问企业资产的操作,这也是网络犯罪分子利用Deepfakes技术实施诈骗的常见伎俩。


鉴于网络犯罪分子正在利用员工在家远程办公的空子,未来这种攻击只会增多。如今,我们已经目睹Deepfakes被用于网络钓鱼攻击或破坏商业电子邮件和平台(如Slack和Microsoft Team等)。犯罪分子通过商业通信平台进行的网络钓鱼活动为Deepfakes提供了一种理想的交付机制,因为企业组织及其用户不自觉地信任它们。


Deepfakes旨在绕过生物识别身份验证

另一个有风险的Deepfakes趋势是,创建内容并用于绕过生物特征验证。当前,面部和语音识别等生物识别技术提供了额外的安全层,可用于根据某人的独特特征自动验证某人的身份。然而,可以准确重现一个人外表或声音的Deepfakes技术,却成功规避了这种身份验证技术,为依赖生物识别特征进行身份和访问管理策略的企业组织带来重大风险。目前,在广泛的远程工作环境中,犯罪分子正在投资这一技术。


新冠肺炎疫情的大流行和远程工作时代的到来,催生了大量音频和视频数据,这些数据可以输入机器学习系统以创建引人注目的复制品。


身份识别与认证公司Onfido反欺诈副总裁Albert Roux承认,Deepfakes确实对基于生物识别的身份验证构成了显著风险。他解释称,“任何利用身份验证来开展业务,并保护自身免受网络犯罪分子侵害的企业组织都可能受到Deepfakes攻击。欺诈者已经注意到一些热门视频,例如Tom Cruise的Deepfakes视频以及流行的YouTube创作者(如Corridor Digital)等,并利用Deepfakes工具和代码库绕过在线身份验证检查。此外,一些免费的开源应用程序也允许技术知识有限的欺诈者更轻松地生成Deepfakes视频和照片。”


防御Deepfakes网络威胁

无论是通过文本、语音还是视频操作,欺诈者都会投资Deepfakes技术来扭曲数字现实以获取非法收益,而且,这种技术正在混乱和不确定的环境因素中蓬勃发展。


虽然借助Deepfakes技术的网络攻击所构成的威胁看起来很严重,但企业组织仍然可以采取多种措施来抵御它们,包括培训和教育、先进技术以及威胁情报等,所有这些都旨在应对恶意的Deepfakes活动。


首先,教育和培训员工有关Deepfakes社交工程攻击(尤其是那些最有针对性的攻击)的知识是降低风险的一个重要因素,而且必须将重点放在财务部门员工身上,并且提醒他们注意这种可能性,并允许其在怀疑时放慢付款进程。


其次,在技术方面,建议企业组织部署更多的分析系统,以及时发现异常行为等。同样地,威胁情报也可以提供帮助,因为它可以显示企业组织是否正沦为攻击目标,某个部门是否正遭受监视,或者某一特定群体是否正在这一领域变得活跃。Deepfakes欺诈需要时间来设置和执行,这让潜在受害者有足够的时间来发现警告信号并采取行动。


除此之外,企业组织还可以通过随机分配用户指令来实现有效防御。因为Deepfakes创作者无法预测数以千计的可能请求,例如朝不同的方向看或阅读一个短语等。虽然网络犯罪分子可以实时操纵Deepfakes,但视频质量会显著下降,因为Deepfakes技术所需的强大处理能力使其无法快速做出反应。在此情况下,反复响应错误的用户可以被标记,并进行进一步调查。

【阅读原文】



3、英国民众对"共同数字身份"(CDI)的愿景持怀疑态度


允许使用一系列服务的"共同数字身份"(CDI)的框架,在为消费者提供更好、更快、更可靠的核验过程方面给金融机构带来了巨大的好处。然而,消费者却不太买账。RegTech Associates代表PassFort进行的一项调查发现,只有17%的英国受访者说他们非常赞成CDI。1.jpg


34%的人谨慎地赞成,31%的人对其持怀疑态度,而在天平的另一端,6%的人表示他们非常反对拥有CDI。


英国政府今年早些时候对CDI进行了咨询,但只有15%的受访者说他们对CDI感到很了解。年轻的受访者最了解围绕数字身份的争论,即使如此,只有36%的人认为自己对CDI"很了解"。


"目前在银行业,我们看到每10个人中就有7个人使用独特的ID和密码进行身份识别。约67%的人使用安全问题。虽然这些方法在过去运作良好,但这些技术所提供的安全性有其局限性。生物识别技术,或数字身份,提供了更高的安全水平。有趣的是,我们调查的人中有21%使用过生物识别技术。"PassFort的首席执行官Donald Gillies说:"在使用过的人中,80%的人说体验很好。"


研究还表明,那些认为他们在合规性核验方面的体验比预期要好的客户更有可能推荐他们的供应商(77%),更有可能购买更多产品(62%)。因此,不难理解为什么该行业热衷于简化这一过程。但是,由于所有年龄段的受访者中只有27-37%的人声称对英国数字身份辩论有所了解,看来消费者的认同还有一段路要走。


"鉴于共同数字身份在打击欺诈方面的明显好处,金融机构在帮助向其客户解释这些问题方面有既得利益,"RegTech Associates的研究主管Rob Stubbs说。"这不仅可以帮助阻止英国不断上升的金融犯罪浪潮,而且结合生物识别技术的最新发展,它还可以帮助为消费者提供更好、更快、更可靠的合规检查,这符合所有人的利益。"


2021年8月6日,英国政府官方网站发布数字文化传媒体育部政策文件预览版本“英国数字身份和属性信任框架Alpha V2”(以下简称“信任框架”),针对如何提供安全、可信的数字身份和属性解决方案,提出一整套可供遵循的规则,并将全球法人识别编码(LEI)列为数字身份和属性共享过程中可能需要核验的信息之一。

【阅读原文】



2021年11月9日 星期二

今日资讯速览:

1、黑客正利用高效语音机器人骗取双因素身份验证码


2、Robinhood遭黑客袭击致700万用户数据泄露


3、美国基建法案获两院通过,将投入19亿美元建设网络安全



1、黑客正利用高效语音机器人骗取双因素身份验证码


每当大规模数据泄露登上新闻头条时,安全专家总是不厌其烦地提醒保护线上资产的重要性。比如避免使用弱密码,借助靠谱的密码管理器,为每个不同的服务 / 网站 / 应用程序配备不同的唯一密码,以及灵活应用双因素身份验证(2FA)或一次性密码(OTP)等措施。然而近日,我们又见到了一种新鲜出炉的高效定制语音机器人。它们能够自动发出呼叫,以骗取用户的临时验证码。


如此一来,在受害者没有充分意识到的情况下,他们的线上账户或数字资产就已被攻击者染指。


当然,即使没有用到这种新颖的语音机器人讨论,双因素身份验证(2FA)也不是万无一失的,因为一些黑客可能会采取社工手段来忽悠用户。


另一方面,语音机器人的攻击手段要复杂许多,首先就是让受害者相信他们正在与其想要渗透的相关服务的自动化安全系统交谈。


为此,Motherboard 借用了一个简单的例子来演示此类攻击,期间收到了一通自称来自 PayPal 防欺诈系统的来电。


自动语音告诉账户持有人,称有人试图消费特定的金额,因而系统需要验证身份以阻止转账,从而骗取 2FA / OTP 验证码。


为保护您的账户,我们现正给您的移动设备发送验证码。在输入一串六位数字后,语音会提示 ——‘谢谢合作,您的账户已被保护,此请求已被阻止’。


然后为了避免用户立即回过神来,系统还会进一步忽悠用户 ——‘若您的账户已被扣除任何款项,请不要担心。我们将在 24 - 48 小时内予以退还,本次记录的编号为 1549926,通话到此结束’。


然而现实是,骗得用户个人数据(包括真实姓名、电子邮件地址、电话号码)的黑客,仍可利用这些数据来确定他们是否拥有对应地址的 PayPal 账户(或任何类型的其它线上账户)。


Motherboard 解释称,为了定制这些针对亚马逊、PayPal、网银等特定服务的机器人,攻击者将担负每月数百美元的使用成本,灰产从业者甚至允许黑客自定义任何类型的机器人呼叫体验。


作为预防措施,安全研究人员希望用户充分意识到 2FA / OTP 语音机器人攻击这件事的存在。凡是主动向你致电索取验证码的电话,都应立即挂断并联系正版的官方客服,必要时可临时紧急冻结账户资产。

【阅读原文】



2、Robinhood遭黑客袭击致700万用户数据泄露

11月9日消息,据外媒报道,美国在线券商Robinhood Markets于美国当地时间周一证实,在上周的黑客袭击事件中,大约700万人(约占其客户总数三分之一)的个人信息被泄露,并且黑客索要了赎金。


Robinhood发布声明承认,黑客获得了大约500万人的电子邮件地址以及大约200万人的全名。对于某些客户来说,更多的个人数据被曝光,包括大约310人的姓名、出生日期和邮政编码,以及属于大约10人的更广泛信息。

 

Robinhood表示,该公司认为11月3日的黑客袭击事件没有泄露用户的社保账号、银行账户或借记卡号码,也没有客户遭受经济损失。该公司发言人说,尽管这不是勒索软件攻击,但黑客威胁要利用获得的信息做些什么。这位发言人拒绝透露该公司是否付钱给了黑客。


在周一纽约盘后交易中,Robinhood股价下跌了3%,至每股36.84美元。截至收盘,收涨2.62%。


根据Robinhood的声明,这次黑客攻击是通过与一名客服代表打电话时进行的,入侵者利用这名代表获得了支持系统的访问权限。该公司已经控制住了入侵,通知了执法部门,并聘请了安全公司Mandiant调查这起入侵事件。


Mandiant首席技术官查尔斯·卡马卡尔(Charles Carmakal)表示,Robinhood“进行了彻底的调查以评估影响”,他的公司预计入侵黑客将在未来几个月继续以其他组织为目标进行敲诈勒索。


在去年的另一起事件中,近2000个Robinhood账户在一场黑客袭击狂潮中被攻破,客户账户被洗劫一空。许多人抱怨没有人可以求助。从那时起,Robinhood始终在努力证明,对于新投资者来说,它是可靠的经纪公司。高管们经常重复Robinhood奉行“安全优先”策略。


这家帮助普及自由交易的经纪公司正大举招聘客户服务人员,2020年该团队的规模增加了2倍多。作为扩张的一部分,该公司在亚利桑那州、得克萨斯州和科罗拉多州开设了办事处。上个月,Robinhood还推出了全天候电话支持服务。

【阅读原文】



3、美国基建法案获两院通过,将投入19亿美元建设网络安全


11月5日,美国众议院批准了1.2万亿美元的基础设施法案,其中近20亿美元将被用于提升整个联邦政府内的网络安全水平。


终获两院通过

经过民主党在国会上长达一天的艰苦谈判,最终投票结果为228:206。其中,13名共和党议员加入民主党阵营投票支持,6名民主党议员加入共和党阵营投票反对。


这样的结果意味着,此份提案将正式在拜登总统的办公桌上被签署为法律。


美国参议院早在今年8月就通过了这项立法,但由于民主党试图就另外一项单独的1.9万亿经济支出计划开展谈判(其中同样包含网络安全相关条款),导致这份基建法案也被迫陷入停滞。


在基建议案通过之后,立法者们又以221:213票通过一项程序规则,为推迟到本月晚些时候进行的社会支出立法建立起基本辩论框架。


拜登总统称赞了这项法案的最终通过。他在步入白宫国宴厅时打趣道,“基础设施周终于顺利结束了。我们做出了早该做出的重要决定,这些事情在华盛顿被谈论了很久,但一直没能真正落地。”


资金如何分配?

这项基础设施法案将分配19亿美元的网络安全资金,其中将有10亿美元用于建立新的资助计划,帮助各州、地方、部落及领地政府提升网络安全水平。


这笔资金将由联邦紧急事务管理局(一直负责国土安全部的各项拨款计划)负责管理,从2022财年开始并持续四年,网络安全与基础设施安全局(CISA)为资金调配提供指导意见。


基建法案合并了《网络响应与恢复法案》,后者授权在五年之内拨款1亿美元,用于支持联邦政府的网络事件响应工作。此外,它还允许国土安全部部长与国家网络总监合作,宣布发生重大网络事件。网络与基础设施安全局将协调事件响应工作,并使用应急基金帮助私营企业及政府机关从网络攻击中恢复过来。


立法者们还将为国家网络总监Chris Inglis的新办公室预留2100万美元。此前,该办公室仅依靠白宫应急预算运作。


拜登表示,他相信国会未来还将通过独立的安全网络议案。


“当人们在参议院斩钉截铁地表示「绝无可能」时,我总能打破僵局、找到出路。这完全可以做到,只是需要个过程。”

【阅读原文】



2021年11月8日 星期一

今日资讯速览:

1、Google允许用户通过密码来保护搜索历史记录


2、台积电回应向美国提交芯片供应链信息的要求:保留客户特定数据


3、研究人员发布针对BrakTooth蓝牙批量漏洞的PoC工具



1、Google允许用户通过密码来保护搜索历史记录


经历数十年的发展,互联网已经相当紧密地融入了我们的日常生活。然而保持联网的代价,就是在网络上做过的几乎任何事情,都可能被跟踪、存储或分享。若是被网络犯罪分子利用,你的线上账户或本地计算机上的各种内容信息,都可能被攻击者所染指。庆幸的是,搜索巨头 Google 已经提供了一种通过添加密码、来保护这些结果的方法。


Google 已成为人们在线查找信息的最实用的方式之一,你不仅能够检索产品、还可通过搜索引擎找到很多问题的答案。


然而搜索所有内容的一个不幸副作用,就是 Google 会收集并存储相关信息,以改善未来的搜索体验。


虽然听起来很方便,但这块将所有信息都集中于一处的“香饽饽”,也很容易被别有用心的人给接触到。


现阶段,用户已有多种方法能够清理搜索历史记录。但在默认情况下,Google 仍会收集大量与用户查找相关的内容信息。


好消息是,这家搜索巨头并没有一黑到底,而是为用户提供了一种保护这些信息的方法 —— 允许你给 Google 搜索历史记录上一把密码锁。


3.png


有需要的朋友,可参考如下操作:


(1)前往 myactivity.google.com,打开‘活动设置’页面。


(2)找到屏幕左侧的‘活动’控件选项。


(3)在下一页找到‘网络与应用活动’,并选择底部的‘管理活动’磁贴。


(4)点击‘管理我的活动验证’,以添加密码、或设置双因素身份验证。


在添加了某种形式的验证措施之后,你将需要在任何时候尝试访问该页面时,都验证一遍自己的身份。


此外你能够随时访问这些页面,以删除个人活动数据、甚至更改 Google 保存的数据量。

【阅读原文】



2、台积电回应向美国提交芯片供应链信息的要求:保留客户特定数据


芯片代工巨头台积电发言人周日表示,台积电已经回应了美国商务部关于提交供应链信息的要求,以协助解决全球芯片短缺问题,同时确保没有客户特定数据在此次提交中被披露。


台积电发言人高孟华 (Nina Kao) 在一封邮件中表示,台积电仍致力于“一如既往地保护客户的机密”。


另外,韩国财政部在周日稍早时候表示,该国科技公司将向美国提交部分半导体数据。韩媒此前报道称,韩国公司只会“部分遵守”美国商务部的索取信息要求。


美国商务部在 9 月份要求半导体供应链的公司在 11 月 8 日之前填写调查问卷,以了解目前芯片短缺的相关信息。

【阅读原文】



3、研究人员发布针对BrakTooth蓝牙批量漏洞的PoC工具


美国网络安全和基础设施安全局 (CISA) 近日警告说,BrakTooth蓝牙漏洞的概念验证 (PoC) 代码现已公开可用。研究人员也公布了所有漏洞利用(C/C++)的源代码,包含在文件夹中modules/exploits中。该POC针对9月份公开的相关的24个BT蓝牙漏洞,可验证演示部分漏洞的利用及后果,相关的细节还在进一步完善中。POC的公布,不仅仅是用于测试检验漏洞的存在和利用的后果,恶意攻击者也可利用此研究成果从事非法的破坏活动。

图片

2021年9月2日安全周刊报道,新加坡科技设计大学的一组研究人员披露了影响商业蓝牙经典 (Bluetooth Classic,BT) 堆栈的16个新漏洞家族。研究人员在评估了11家供应商的13款蓝牙设备后发现了这批安全漏洞。总共分配了20个CVE,还有4个漏洞等待英特尔和高通分配 CVE。由于在各种智能手机、笔记本电脑、车辆和其他类型的设备中发现了易受攻击的产品,因此数百万设备可能会受到这些漏洞的影响BrakTooth就是新加坡科技与设计大学的研究人员对商用蓝牙经典 (BT) 堆栈中大约24个漏洞的一组名称,这些漏洞影响运行蓝牙 3.0 + HS 到蓝牙 5.2 的片上系统 (SoC)。


参见:BrakTooth:新的蓝牙漏洞可能会影响数百万台设备


这些漏洞可被利用来导致拒绝服务 (DoS) 条件,通过死锁崩溃,并且在某些情况下,还可能导致任意代码执行。利用这些缺陷需要攻击者在易受攻击的设备的蓝牙范围内。


在8月的一篇详细介绍安全漏洞的论文中,研究人员表示,他们已经确定了 1,400 个受影响的产品,但也指出实际数量可能要高得多,因为 BT堆栈通常在多个产品之间共享。总体而言,数以百万计的设备可能容易受到攻击。


在本周早些时候发布了利用 BrakTooth的PoC 代码后,CISA 敦促制造商、供应商和开发人员尽快审查代码并对其易受攻击的蓝牙系统级芯片 (SoC) 应用程序应用必要的更新或解决方法。

图片

图片

图片

CISA在11月4日发布的通告中称,2021 年11月1日,研究人员公开发布了一个BrakTooth 概念验证 (PoC) 工具,以使用研究人员的软件工具测试支持蓝牙的设备是否存在潜在的蓝牙漏洞。攻击者可以利用 BrakTooth漏洞造成从拒绝服务到任意代码执行的一系列影响。

【阅读原文】



2021年11月5日 星期五

今日资讯速览:

1、法国CERT首次预警勒索软件附属团伙:已攻陷多家法国公司


2、美政府正在对量子计算机对加密技术构成的威胁做准备


3、NSO Group遭封杀!美国宣布制裁四大黑客工具公司



1、法国CERT首次预警勒索软件附属团伙:已攻陷多家法国公司

法国网络安全官员首次预警一个勒索软件附属团伙,称其曾在过去两年中对法国企业展开一系列攻击活动。勒索软件附属团伙是指使用勒索软件即服务(RaaS)平台的网络犯罪组织。


作为法国国家网络安全机构ANSSI的下辖部门,法国计算机应急响应小组(法国CERT)在11月3日发布了一份综合报告,详细介绍了被命名为Lockean的恶意团伙的过往活动与运作方式。


据法国官员介绍,该团伙兴起于2020年6月,并表现出“针对法国实体目标的倾向”,至少与七家法国企业的攻击活动有关。其中包括运输物流公司Gefco、制药集团Fareva与Pierre Fabre以及当地报纸Ouest-France。

Lockean曾使用多种不同勒索软件


法国CERT官员表示,该团伙通常会租用已经被Emotet网络钓鱼邮件所感染的企业网络访问权限,然后部署QakBot恶意软件与CobaltStrike后渗透框架。

Lockean团伙随后会使用AdFind、BITSAdmin以及BloodHound等工具,在网络内横向移动,借以扩大对目标企业系统的访问与控制范围。

再往后,该团伙会使用RClone工具程序从受害者网络内复制敏感文件,最后部署文件加密勒索软件。

基于对几轮入侵活动的调查,法国CERT官员发现Lockean团伙多年来使用了多种不同的勒索软件,包括DoppelPaymer、Maze、Egregor、REvil(Sodinokibi)以及ProLock等。

Lockean在活跃期间使用了多个勒索软件


攻击过程的恶意软件使用情况统计



第二个被认定的勒索软件附属团伙


鉴于Lockean曾先后使用多种不同的勒索软件,官员们认为该团伙符合安全研究员认定的“勒索软件附属团伙(ransomware affiliate)”定义,即注册并使用勒索软件即服务(RaaS)平台的网络犯罪组织。


通过这些平台,附属团伙能够随时访问、筹备并部署新的勒索软件,将这些勒索软件部署在已侵入的网络之上,最后与勒索软件的开发者按比例瓜分勒索赎金。


如果受害者方面拒绝付款,则其数据将被发布在RaaS平台运营的所谓“泄密网站”之上。这种行为堪称游街示众,往往会激起公众舆论对于被黑企业的口诛笔伐。


Lockean也成为继今年8月由FBI揭露的OnePercent之后,第二个被执法机构公开认定的勒索软件附属团伙。

【阅读原文】



2、美政府正在对量子计算机对加密技术构成的威胁做准备


在现在跟黑客直接对抗之时,美国政府官员正在为另一个更长期的威胁做准备:攻击者现在正在收集敏感的加密数据并希望他们能在未来的某个时候将其解锁。这种威胁来自于量子计算机,它的工作方式跟我们今天使用的经典计算机非常不同。

 

它们使用的不是由1和0组成的传统比特,而是可以同时代表不同数值的量子比特。量子计算机的复杂性可以让它们在执行某些任务时速度更快、使它们能够解决现代机器几乎不可能解决的问题--包括破解目前用于保护个人、商业和国家机密等敏感数据的许多加密算法。


虽然量子计算机仍处于起步阶段且令人难以置信得昂贵并充满问题,但官员们指出,保护国家免受这一长期危险的努力需要现在就开始。


美国家标准与技术研究所(NIST)的数学家Dustin Moody指出:“民族国家的对手得到一台大型量子计算机并能够获取你的信息,这种威胁是真实的。威胁是他们复制下你的加密数据并保留它,直到他们拥有一台量子计算机。”


面对这种“现在收获,以后解密”的策略,官员们正在试图开发和部署新的加密算法以保护机密能够对抗一类新兴的强大机器。这当中包括国土安全部,其称自己正在领导一个漫长而艰难的过渡,即所谓的后量子密码学。


Tim Maurer表示:“我们不希望出现这样的情况:某天早上我们醒来,发现有一个技术突破,然后我们不得不在几个月内完成三或四年的工作--与此相关的所有额外风险。”


美国土安全部最近发布了一份过渡路线图,它首先是呼吁对政府内部和商业世界的最敏感数据进行分类。Maurer表示,这是至关重要的第一步,“看看哪些部门已经在这样做了,哪些部门需要援助或意识从而确保他们现在采取行动”。


提前做好准备


专家表示,量子计算机要完成任何有用的工作可能还需要十年或更长时间,但随着资金的涌入,为实现这一目标而进行的竞赛正在让一切发生。


领导NIST后量子密码学项目的Moody表示,美国通过NIST自2016年以来一直在举行一项竞赛,其目的是在2024年之前产生第一个防量子计算机的算法。


过渡到新密码学则是一项众所周知的棘手而漫长的任务,并且很容易遭到忽视。要让营利性组织在抽象的未来威胁成为现实之前的几年里为这种威胁花钱是很困难的。


Maurer表示:“如果组织现在不考虑转型,那么他们会在NIST程序完成时变得不知所措,紧迫感也会随之而来,这就增加了意外事件的风险......匆忙进行任何此类转型都不是一个好主意。”


随着越来越多的组织开始考虑迫在眉睫的威胁,一个小而有活力的行业已经兴起,已经有公司在销售承诺后量子加密技术的产品。但美国国土安全部官员已经明确警告不要购买这些产品,因为对这种系统需要如何工作仍没有共识。该部门在上个月发布的一份文件中明确表示:“各组织应该等待,直到有强大的、标准化的商业解决方案来实施即将到来的NIST建议,以此来确保互操作性以及经过严格审查和全球接受的解决方案。”


专家们对过渡期会如何进行则持悲观态度。


如果量子计算机需要很长时间才能达到解决有用问题的程度,“我认为公司将要忘记炒作、实施NIST提出的最弱的东西,一直到30年后突然想起这个问题,”正在跟NIST研究后量子加密算法的IBM密码学家Vadim Lyubashevsky说道。


而这正是美国家安全官员想要避免的情况。

【阅读原文】



3、NSO Group遭封杀!美国宣布制裁四大黑客工具公司



10月20日,美国商务部曾发布新的出口管制规定,要求各企业除非获得商务部许可,禁止向中俄等国出售黑客工具。时隔不到两周,今天美国商务部“扔下了第二只鞋”,宣布美国政府已经制裁了四家主要的开发和销售间谍软件和其他黑客工具的公司。


这四家主要的黑客工具公司包括以色列的NSO Group和Candiru、俄罗斯安全公司Positive Technologies和新加坡的Computer Security Initiative Consultancy(CSIC)。


美国官员表示,这四家公司从事“违反美国国家安全或外交政策利益的活动”。


商务官员表示,NSO Group和Candiru“开发并向外国政府提供间谍软件,这些软件使用这些工具恶意针对政府官员、记者、商人、活动家、学者和大使馆工作人员。”


美国官员表示,这些工具被外国政府滥用,在这些政府主权边界之外对持不同政见者、记者和活动家进行跨国监控。


同样,Positive Technologies和CSIC被指控创建和销售后来用于攻击全球个人和组织的“网络黑客工具”。



图片






这四家公司,包括他们的别名(详见上表),已被添加到目前由美国商务部工业和安全局(BIS)维护的恶意网络活动实体名单中。


美国公司和机构在购买、出口或转让这四家公司开发的任何网络工具之前,必须获得BIS的特别许可。商务官员表示,所有申请人在申请此许可证时都应该期待“默认拒绝”。


商务部没有透露它用来制裁这四家公司的细节和证据,但对于四家被制裁公司中的三家,有一些公开报道称他们的黑客工具在过去几年中是如何被滥用的:


  • NSO Group开发了Pegasus(飞马)黑客软件,该公司将其出租给外国政府。多年来,Pegasus的滥用已被很好地记录在案;

  • Candiru是微软和公民实验室近日发布的报告中指认的Windows间谍软件DevilsEye的创造者。该公司的hack-for-hire(黑客攻击租用服务)已为人所知多年,据信该公司还针对Chrome、IE浏览器和Windows系统开发和销售零日漏洞;

  • Positive Technologies被指控开发并向俄罗斯情报机构出售漏洞。该公司自今年4月以来就已受到美国财政部的制裁。


关于总部位于新加坡的CSIC的详细信息较少,但该公司以运行名为Pwn0rama的漏洞获取程序而闻名。除了美国商务部今天发布的新闻稿之外,目前还没有任何公开报告将通过该程序购买的漏洞利用与已知攻击联系起来。


【阅读原文】



2021年11月4日 星期四

今日资讯速览:

1、Clearview AI被指违反澳大利亚隐私法 已收集至少30亿人面部数据


2、网络攻击×虚假新闻引发银行挤兑!巴基斯坦央行紧急澄清


3、DoorDash推出SafeDash 为外卖平台送货员提供应用内安全工具



1、Clearview AI被指违反澳大利亚隐私法 已收集至少30亿人面部数据

澳大利亚信息专员发现,Clearview AI 在许多方面违反了澳大利亚的隐私法。在此前的双边调查中发现,该公司的面部识别工具未经同意并以不公平的方式收集澳大利亚人的敏感信息。由澳大利亚信息专员办公室(OAIC)和英国信息专员办公室(ICO)进行的调查发现,Clearview AI 的面部识别工具不加选择地从网络上抓取生物识别信息,并收集了至少 30 亿人的数据。


OAIC 还发现,一些澳大利亚警察机构用户在 Clearview AI 的数据库中搜索并识别了自己的图像,并找到了很多澳大利亚未知相关人员的图像。

 

综合考虑这些因素,澳大利亚信息专员 Angelene Falk 得出结论,Clearview AI 未经同意和以不公平的手段收集澳大利亚人的敏感信息,违反了澳大利亚的隐私法。在她的裁决中[PDF],Falk 解释说,尽管受影响的澳大利亚人的面部图像已经可以在网上获得,但没有提供同意,因为 Clearview AI 收集这种生物识别数据的意图是模糊的。


信息专员写道:“我认为,将图像上传到社交媒体网站的行为并不明确表示同意由未知的第三方为商业目的收集该图像。如果个人没有被充分告知提供或拒绝同意的影响,也不能默示同意。这包括确保个人被适当和明确地告知他们的个人信息将如何被处理,以便他们能够决定是否给予同意”。


福尔克发现的其他违反澳大利亚隐私法的行为是,Clearview AI 没有采取合理的步骤通知个人收集个人信息或确保其披露的个人信息是准确的。她还抨击该公司没有采取合理的步骤来实施实践、程序和系统,以确保符合澳大利亚隐私原则。

【阅读原文】



2、网络攻击×虚假新闻引发银行挤兑!巴基斯坦央行紧急澄清


据两位消息人士披露,巴基斯坦国民银行(National Bank of Pakistan,NBP)刚刚遭遇了一次“破坏性”网络攻击。


这起事件发生在上周五和周六(10月29-30日)夜间,受到影响的包括银行后端系统,以及用于实现各级分行间互连、控制银行ATM网络并支持银行手机应用的后端基础设施。


一位来自国民银行且熟知攻击及调查内情的人士透露,虽然部分系统遭受攻击后陷入瘫痪,但尚未发现资金丢失。


国民银行在周六的一份声明中强调,“已立即采取措施隔离受到影响的系统。”


ATM机和部分分行在周一恢复运行

巴基斯坦国民银行报告称,上周末开始全面展开恢复工作,到本周一已经有1000多家分行/支行恢复营业,并为客户提供服务,全国所有ATM机也全面上线。

虽然国民银行发布了公告,但仍有部分惊慌失措的客户在听到黑客攻击的消息后,抢在周一清早使用ATM提取现款。


从周一开始,国民银行各地ATM机的工作压力很大,看起来服务还没有全面恢复,不少客户急需现钞。


——Essa Malik

再加上当地媒体发布了一些不准确的报道,称多达九家不同银行遭遇黑客攻击。为了平息民众情绪并防止出现大范围银行挤兑风潮,巴基斯坦政府不得不介入并发表澄清声明。


目前网上一些关于银行网络攻击的虚假新闻正在流传,包括首席发言人Abid Qamar先生的言论。假新闻声称,有9家银行遭到网络攻击,资金被盗、数据外泄。


巴基斯坦国家银行(SBP,即巴基斯坦央行)对此予以澄清。除巴基斯坦国民银行外,并无其他银行遭受网络攻击。截至目前,也没有发现任何经济损失或者数据泄露问题。我们正在密切监控局势,并将通过官方渠道持续发布关于攻击事件的更新与进展。


——巴基斯坦国家银行

据知情人士透露,此次事件初步被定性为破坏性攻击活动,而非勒索软件攻击。


巴基斯坦安全研究员Rafay Baloch曾在Twitter上发布一张截图,其中展示的正是某个受到影响的国民银行系统。从截图来看,这台Windows计算机由于缺少引导配置文件而无法正常启动。

经验证,Baloch提供的这张截图确实来自巴基斯坦国民银行网络。


该恶意软件通过活动目录(AD)的特权账户进行推送,它破坏了计算机的启动序列,从而阻止系统正常启动。


——Rafay Baloch

【阅读原文】



3、DoorDash推出SafeDash 为外卖平台送货员提供应用内安全工具


DoorDash正在推出SafeDash,这是一个新的应用内安全工具包,旨在帮助其送货员在工作时感到安全。SafeDash将在纽约、芝加哥、费城、底特律、旧金山和洛杉矶推出。全美国的平台配送方的用户将在年底前获得SafeDash。

该公司已与ADT合作,在工具包中推出了两项新功能。安全保证电话"功能让用户在可能感到不安全的情况下通过Dasher应用程序与ADT代理联系。ADT代理将保持通话,直到个人认为自己脱离险境。如果事件升级,并且该人在一段时间内没有反应,ADT将联系911,根据智能手机的GPS,要求对他们最后的已知位置进行紧急响应。


DoorDash也在推出一个"紧急援助按钮",允许用户在需要时寻求帮助。一旦送餐员点击该按钮,ADT代理将联系911,并通过短信与他们保持谨慎联系。然后,代理人将把关键信息,如该人的位置,传递给911接线员。该公司指出,这一功能使用户无需通过电话就能获得911的帮助。

doordash-header.webp

DoorDash通信和政策副总裁Elizabeth Jarvis-Shean在一份声明中说:"SafeDash是在Dashers的反馈中诞生的,我们希望通过使用这些工具,我们给Dashers提供另一种资源,让他们在路上感到安全和放心。"


DoorDash表示,它计划为工具包开发更多的功能,并希望在未来推出虚拟教育资源、直接沟通、教育材料和应用内指导。值得注意的是,DoorDash的SafeDash工具包与Uber的司机安全工具包类似,后者也包括一个应用内紧急援助按钮和其他一些功能。


在推出SafeDash之前,DoorDash预测第三季度业绩可能会比较疲软,理由是与大流行病有关的消费者行为可能会继续影响其业务,这一点持续存在不确定性。

【阅读原文】



2021年11月3日 星期三

今日资讯速览:

1、11月Android安全补丁发布:还修复Pixel设备上诸多非安全问题


2、一项研究显示各家汽车制造商收集了海量个人信息


3、加拿大最大城市遭勒索攻击,公共交通IT系统几乎全部瘫痪



1、11月Android安全补丁发布:还修复Pixel设备上诸多非安全问题


按照以往惯例,Google 在每月的第 1 个星期一发布了适用于 Android 的安全更新。和以往不同的是,本月 Google 修复多个安全问题之外,还解决了 Pixel 设备上的很多非安全问题。说到 Pixel 设备,Pixel 3 和 Pixel 3 XL 在推出三年后,在系统更新方面已经走到了尽头。2021 年 11 月的新更新只针对 Pixel 3a(2019 年 5 月推出)及以后的设备。

至于修复的内容,不幸的是,广泛报道的 Pixel 6 和 6 Pro 的屏幕闪烁问题并没有出现在本次修复之列,但 Google 已发表声明,称这些修复将随着 12 月的更新到来。遗憾的是,这对新的 Pixel 6/6 Pro 用户来说,又是一个月的等待。

本次针对 Pixel 设备的修复包括:

● 在某些情况下阻止通知声音的问题

● 在某些情况下的音频质量

● 改善无线充电

● 改善第三方应用的稳定性

● 在某些照明条件下有了更好的自动亮度响应

● 在某些条件下改善了概览屏幕的过渡动画性能

● 改善了某些应用程序的画中画媒体播放

● 改善了连接稳定性

● 修复安装后不正确地显示应用程序的图标

● 修复在某些情况下键盘在应用程序上的显示方式

● 修复 UI 元素被隐藏

【阅读原文】




2、一项研究显示各家汽车制造商收集了海量个人信息

大多数人都知道,现代电子设备,如智能手机、平板电脑和计算机,存储了我们个人和私人生活的一系列信息,我们不希望陌生人得到这些信息。然而,许多人没有考虑到他们的车辆信息娱乐系统和其他系统内到底储存了多少个人信息。


现在一份报告研究了全球15大汽车制造商,并调查了它们之间的数据共享政策。该研究对每个品牌28个不同的数据点进行了评估,重点是对司机收集的数据,看看哪个汽车制造商收集的信息最多。


研究显示,特斯拉是收集用户数据最多的汽车制造商之一,它拥有市场上一些最智能和最联网的车辆。一辆汽车提供的个性化服务越多,它需要的用户数据就越多。这使得特斯拉在收集最多用户数据的汽车制造商名单中名列前茅,在28分中得到20分。


奥迪紧随特斯拉之后,在28分中得了19分。宝马和迷你并列第三位,在28分中得到16分。保时捷以14分排在第四位,但值得注意的是,在所有汽车制造商中,保时捷收集的个人信息范围最广。排在第五位的是大众汽车,在28分中得到12分。有趣的是,美国制造商福特坐在第14位,在28分中得到7分。收集司机个人信息最少的汽车制造商是达契亚,在28分中得到5分。


所有汽车制造商中最常收集的信息包括姓名、电话号码和地址等个人详细资料。这些信息大部分是为导航系统而储存的,以便轻松选择上班或回家的路线,避开交通。然而,如果你忘记删除这些信息,你的车的新主人就会知道你住在哪里,你在哪里工作,你的名字和你的电话号码。一些汽车制造商存储了位置记录。在这种情况下,新车主会知道你经常去的地方,让他们很清楚在你一天中的任何时候都能找到你。


在调查涉及的所有汽车制造商中,保时捷是复制个人信息范围最广的一个,包括电子邮件、电话号码、地址、位置历史、当前位置、联系人、日历和你的手机位置。它是研究中列出的唯一一家收集所有类别数据的汽车制造商。名单上的每个汽车制造商都以某种形式收集信息,包括电子邮件、电话号码、地址、位置历史和当前位置。


许多汽车制造商还收集了驾驶特征大量数据,到目前为止,特斯拉收集的数据最多,包括制动和加速、碰撞、安全气囊部署和充电历史等数据。相比之下,福特只收集了速度、制动和加速方面的信息。

【阅读原文】



3、加拿大最大城市遭勒索攻击,公共交通IT系统几乎全部瘫痪


一次突如其来的勒索软件攻击,扰乱了加拿大最大城市多伦多的公共交通机构正常运行,导致司机及通勤乘客使用的多个系统陷入瘫痪。


多伦多交通委员会(TTC)表示,在10月28日(上周四)晚上发现这起攻击,上报者为委员会内部的一位IT人员,他发现了“异常网络活动”。


委员会在10月29日的新闻稿中表示,“截至当天中午,黑客开始扩大对网络服务器的攻击时,影响已经被控制到最低水平。”


据委员会发言人Stuart Green透露,此次攻击影响到多个内部系统,比如委员会的内部邮件服务器、基于视频的驾驶员通信系统TTC Vision等。在彻底消除攻击影响之前,委员会决定使用传统的无线电通信系统顶替一阵子。


除了委员会的后端系统,此次攻击还影响到面向客户的服务器。截至本文撰写时,Wheel-Trans预订门户(专为残疾人提供的交通工具)仍处于离线状态。

根据发言人的说明,此次攻击还影响到车站站台屏幕、内部出行规划应用以及委员会网站上的车辆实时信息显示功能。


委员会工作人员和外部网络安全专家继续对昨天的勒索软件攻击进行排查。


受攻击影响的系统仍处于关闭状态,但我们正努力以安全可靠的方式推进恢复工作。


——TTCStuart

尽管遭到袭击,但公共交通线路并未中断。官员们强调,公共汽车、电车及地铁列车仍然保持正常运行。


加拿大多个核心城市交通系统曾被勒索过


目前还没有勒索软件团伙表示对此次事件负责。


多伦多是加拿大人口最多的城市。算上本次攻击,勒索软件团伙已经对加拿大三个最大城市的公共交通系统完成了袭击。之前的两起类似案例分别是2020年10月针对蒙特利尔交通公司(STM)的攻击,以及2020年12月指向温哥华地铁的事件。


黑客曾经向蒙特利尔交通公司勒索280万加元、向温哥华地铁索取750万加元,但两家机构均未支付赎金。作为最新受害者,多伦多公共交通委员会没有透露收到的赎金要求数额。


近年来,针对公共交通系统的勒索软件攻击日益增多:

  • 2016年11月,针对旧金山城市铁路

  • 2017年11月,针对萨克拉门托区域公交

  • 2020年7月,针对沃斯堡市Trinity地铁

  • 2020年10月,针对费城宾州东南部交通管理局(SEPTA)

  • 2021年10月,针对安娜堡地区交通管理局

幸运的是这些攻击都没有中断公共交通的正常运营。因为即使没有计算机系统的帮助,公共交通机构也能按时将乘客送达目的地。

【阅读原文】



2021年11月2日 星期二

今日资讯速览:

1、工信部网盘类企业确保免费用户下载最低速率满足基本下载要求


2、美国乳制品巨头遭勒索攻击:工厂瘫痪数天 食品供应链被扰乱


3、报告:来自印度的网络攻击者攻击我国国防军事企业单位



1、工信部网盘类企业确保免费用户下载最低速率满足基本下载要求


工信部日前发布《关于开展信息通信服务感知提升行动的通知》为推动信息通信行业改善服务质量提高服务水平。


在通知中工信部对运营商套餐资费、宽带网络、隐私政策和权限调用、开屏弹窗、网盘服务方式等作出明确要求。


同时工信部要求企业建立已收集个人信息清单、共享个人信息清单放在APP菜单里公开展示供用户直接查询清单。


关于开展信息通信服务感知提升行动的通知全文可点击这里查看:art_43cac3bb5cc94e988f19969215b181de


重点提到网盘下载速度问题:

就国内部分网盘下载速率问题工业和信息化部在提升行动通知中指出,相关企业应当优化网盘类服务的提供方式。


网盘类企业应优化服务资费介绍,清晰明示存储空间、传输速率、功能权益及资费水平等内容不得进行误导宣传。


在同一网络条件下,向免费用户提供的上传和下载最低速率应确保满足基本的下载需求 , 且在12月底前完成整改。


目前国内使用量最大的网盘就是百度网盘,而百度网盘多年前已经开始对免费用户进行限速和强制使用客户端等。


只有开通超级会员的情况下用户下载速率才能提升,多数免费用户下载速率通常只有100KB/S难以保证正常使用。


解决限速问题还得靠工信部:

尽管百度网盘限速问题长期遭到用户吐槽但百度网盘并未进行改善,百度网盘给出的理由是存储和下载成本太高。


诚然这种理由从某些方面来说确实有道理,不过这些网盘靠着高速下载和超大空间吸引用户再限速难免像割韭菜。


指望百度网盘自己优化企业经营提升免费用户的下载速度是没希望了,没想到最后还是靠工信部来解决这个问题。


按工信部要求网盘类企业应当在12月底前完成整改 , 所以仍然还使用百度网盘的用户下载速率很快就可以提升喽。

【阅读原文】



2、美国乳制品巨头遭勒索攻击:工厂瘫痪数天 食品供应链被扰乱


近日,美国乳制品供应商Schreiber Foods遭到勒索软件攻击,导致系统宕机。在瘫痪4天后,工厂与配送中心终于再度恢复运行。


这家乳制品生产巨头已沦为近几个月勒索软件攻击下的又一家关键行业受害者。很明显,网络犯罪分子在袭击各行各业时毫不手软,对这家主要加工酸奶、天然奶酪及奶油奶酪的食品供应商同样痛下重手。


Schreiber Foods公司对外联络主管Andrew Tobisch表示,这次“网络攻击”自10月22日(周五)开始、一直持续了整个周末。


Tobisch解释道,“我们的工厂和配送中心无法使用必要的运营支持系统。问题影响到我们的所有运营区域,好在我们拥有一支专门的响应团队,他们立即采取行动并努力解决问题。”


“我们也因此取得了很大进展,并让工厂成功于10月25日(星期一)晚间重新上线。”


由于高度数字化,牛奶供应链遭受重大打击

据当地媒体Wisconsin State Farmer报道称,作为威斯康星州规模最大的乳制品加工商之一,在遭遇攻击之后,Schreiber Foods收到了价值250万美元的赎金要求。


受到攻击的第二天(周六),Schreiber Foods开始向乳制品运输商通报计算机系统发生的问题,提醒运输商及时将牛奶运往别处。有员工透露,公司在处理攻击事件期间甚至不允许雇员进入办公大楼。


由于Schreiber Foods使用了大量数字系统与计算机管理牛奶加工流程,此次攻击给整个供应链造成了重大打击。


Schreiber Foods拥有数千名员工,年销售额达数十亿美元,业务遍及欧洲及南美洲等多地。


食品供应链勒索攻击形势严峻

Schreiber Foods只是最近几个月来勒索软件攻击阴影之下的又一位食品行业受害者。就在上个月,美国网络安全与基础设施安全局(CISA)将9月发生的 New Cooperative及 Crystal Valley两起攻击事件归因为BlackMatter勒索软件团伙所为。


位于爱荷华州的农场服务商New Cooperative于9月20日遭遇勒索软件攻击,BlackMatter方面要求支付590万美元赎金。两天之后,位于明尼苏达州的Crystal Valley也应声沦陷,而且两次攻击都发生在即将收获的重要农忙阶段。


CISA、FBI和NSA在咨询意见中表示,自今年7月以来,BlackMatter已经先后对多个美国关键基础设施实体发动攻击。


今年9月,FBI发布通报,警告各食品及农业部门企业应注意那些意在破坏供应链的勒索软件攻击。FBI的报告也提到,勒索软件团伙正在寻求“破坏运营、引发经济损失,并对食品供应链产生负面影响。”


FBI的这份通知还列出了自去年11月以来爆发的多起针对食品及农业部门的攻击事件,包括美国面包店公司Sodinokibi/REvil勒索软件攻击事件、今年5月全球肉类加工商JBS攻击事件、今年3月针对一家美国饮料厂商的攻击事件,以及1月给美国某农场造成约900万美元损失的攻击事件。

【阅读原文】



3、报告:来自印度的网络攻击者攻击我国国防军事企业单位



安天科技集团副总工程师李柏松介绍,从今年 3 月份以来,安天捕获了多起针对我国和南亚次大陆国家的钓鱼攻击活动。该活动涉及网络节点数目众多,主要攻击目标为中国、巴基斯坦、尼泊尔等国家的政府、国防军事以及国企单位。“攻击者将自身伪装成目标国家的政府或军队人员,向对方邮箱投递挂有钓鱼附件或嵌有钓鱼链接的攻击邮件,并诱导目标通过链接访问攻击者通过各种方式搭建的钓鱼网站,收集受害者输入的账号密码以供情报收集或横向攻击所用。”  


安天发现,这一批次的钓鱼攻击活动的最早时间可追溯至 2019 年 4 月份,攻击组织来自印度。攻击者主要运用社会工程学(如鱼叉式钓鱼邮件、伪装成政府军队人员的钓鱼 PDF 文档)手段开展大规模钓鱼攻击行动。其使用的钓鱼攻击手法狡猾多变,制作的钓鱼邮件、钓鱼 PDF 文档也十分逼真。同时其使用的钓鱼网站形式也多种多样,钓鱼网页与仿冒对象视觉上基本一致,让人防不胜防。 


根据介绍,在攻击者使用钓鱼邮件发起攻击时,攻击者伪装成目标国家政府工作人员等向目标人群发送邮件正文嵌入钓鱼网站链接的邮件,邮件内容以下载文件资料为由,诱骗目标登录假冒的邮件系统。 当受害者输入账户密码后,钓鱼网站便会将受害者的账户密码信息回传至钓鱼后台,并且自动下载与该目标政府以及军队有关的 PDF 文件作为掩护。


攻击者使用钓鱼网站进行攻击时,包括自动跳转型和直接展示型。其中自动跳转型是受害者通过钓鱼链接访问钓鱼网页时,钓鱼网页首先会展示“受限制”、“ 更新电子 邮件系统”等名义的静态网页。在等待攻击者设置的时间后,该钓鱼网页会弹出“您的邮箱登录超时,已退出,请重新登录”、“您账户所在的域已经过期”等弹窗。当受害者确认弹窗后,便会跳转至攻击者仿冒的邮箱登录页面。




图片




《环球时报》记者了解到,截至目前,安天监测发现该组织钓鱼仿冒网站已过百个,其中部分是针对我国的各大高校、国企以及政府等重要单位,另有大部分是针对南亚地区如巴基斯坦、尼泊尔等国的军政国防外交等领域。


李柏松表示,  一旦钓鱼攻击奏效,失陷的信箱地址就会成为新一波社会工程攻击的起点,被植入木马的端点就成为了 进一步攻击的“桥头堡”,对国家安全、社会安全、政企机构安全和公民个人安全都会造成巨大危害。




图片


【阅读原文】



2021年11月1日 星期一

今日资讯速览:

1、《个人信息保护法》今起实施:不得大数据杀熟、过度收集个人信息等


2、攻击航空公司信息系统、观测军事基地气象数据……国家安全机关披露三起境外数据窃密案


3、团伙破解8600多个摄像头账号密码打包售卖




1、《个人信息保护法》今起实施:不得大数据杀熟、过度收集个人信息等


11月起,一批新法新规将陆续施行,其中最引人的关注的还是《中华人民共和国个人信息保护法》。


今天,《中华人民共和国个人信息保护法》将正式施行。该法明确不得过度收集个人信息、“大数据杀熟”,对人脸信息等敏感个人信息的处理作出规制,完善个人信息保护投诉、举报工作机制。


具体来看,针对“大数据杀熟”,该法明确,个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。


《个人信息保护法》的实施还能够对数据使用者的行为进行约束。从静态来说,《个人信息保护法》是在保护个人信息,但是从动态和实际看,它已经不再是单单的一个保护性法律,而将演变成平台监管的一个工具,实际上将促使平台更加合规,对平台的无序发展进行规制,从而保护数字经济整体的健康发展。


合理利用和发掘数据的价值,是进一步发挥数字经济优势的关键。数字经济的优势在于从大数据中挖掘市场需求,从而引导产品和服务的生产规划,促进市场上供需平衡的形成,满足差异化的需求,动态解决供需失衡的时滞问题,显著提升市场效率,而这些目标实现的一个前提就是数据价值的发现。可以说,数据才是数字经济上层建筑的地基,数据挖掘和利用的深度以及与其他产业的关联程度,决定了数字经济优势发挥的程度。


信息保护与合理利用并不冲突,两者之间存在着互相促进的关系。信息保护是合理利用的前提条件,合理利用是信息保护的最终目的。只有做好信息保护,才能让数据所有者愿意授予其他主体对数据的使用权利,从而实现数据的合理利用,进一步促进数字经济的发展。

【阅读原文】



2、攻击航空公司信息系统、观测军事基地气象数据……国家安全机关披露三起境外数据窃密案


【环球时报-环球网报道 记者 范凌志】手段高超的黑客隐藏在世界上某个角落的屏幕后,重要数据瞬间被窃取……这并不是只在电影中出现的场景。进入信息化时代,数据被广泛采集、汇聚,并被深度挖掘、利用,在促进科技进步、经济发展的同时,安全风险不断凸显。有的数据“看似非密、实则胜密”,一旦被窃取将威胁我国家安全。有的数据关系国计民生,一旦遭篡改破坏将威胁我国公众利益。近日,《环球时报》记者从国家安全机关了解到三起危害我国重要数据安全的案件情况,实际上,境外间谍情报机关运用人力、技术等方式,“公开掩护秘密、合法掩护非法”搜集窃取我国重要数据的行为屡见不鲜。


境外间谍情报机关精心谋划针对某航空公司进行网络攻击


2020年1月,某航空公司向国家安全机关报告,该公司信息系统出现异常,怀疑遭到网络攻击。国家安全机关立即进行技术检查,确认相关信息系统遭到网络武器攻击,多台重要服务器和网络设备被植入特种木马程序,部分乘客出行记录等数据被窃取。在进一步排查中发现,另有多家航空公司信息系统遭到同一类型网络攻击和数据窃取。经深入调查,确认相关攻击活动是由某境外间谍情报机关精心谋划、秘密实施,攻击中利用了多个技术漏洞,并利用多个国家和地区的网络设备进行跳转,以隐匿行踪。


《环球时报》记者获悉,针对这一情况,国家安全机关及时协助有关航空公司全面清除被植入的特种木马程序,调整技术安全防范策略、强化防范措施,制止了危害的进一步扩大。


某境外咨询调查公司秘密搜集窃取我国航运数据


2021年5月,国家安全机关工作发现,某境外咨询调查公司通过网络、电话等方式,频繁联系我国大型航运企业、代理服务公司的管理人员,以高额报酬聘请行业咨询专家之名,与境内数十名人员建立“合作”,指使其广泛搜集提供我国航运基础数据、特定船只载物信息等。进一步调查掌握,相关境外咨询调查公司与所在国家间谍情报机关关系密切,承接了大量情报搜集和分析业务,通过我境内人员所获的航运数据,都提供给该国间谍情报机关。


《环球时报》记者了解到,国家安全机关及时对有关境内人员进行警示教育,并责令所在公司加强内部人员管理和数据安全保护措施。同时,依法对境外咨询调查公司的违法活动进行了查处。


李某私自架设气象观测设备,采集并向境外传送我气象数据


2021年3月,国家安全机关工作发现,我国某重要军事基地周边建有一可疑气象观测设备,具备采集精确位置信息和多类型气象数据的功能,所采集数据直接传送至境外。调查掌握,有关气象观测设备由李某网上购买并私自架设,类似设备已向全国多地售出100余套,部分被架设在我重要区域周边,有关设备所采集数据被传送到境外某气象观测组织的网站。该境外气象观测组织实际上由某国政府部门以科研之名发起成立,而该部门的一项重要任务就是搜集分析全球气象数据信息,为其军方提供服务。


《环球时报》记者获悉,国家安全机关会同有关部门联合开展执法,责令有关人员立即拆除设备,消除了风险隐患。


“近年来,因数据泄露所带来的安全问题也越来越突出,我国各产业、重要企业的基础性数据一直是境外间谍情报机构觊觎的目标。”相关专家在接受《环球时报》记者采访时表示,数据安全不仅关系公民权益,更关乎国家安全,是非传统安全的重要方面,如果社会各界和人民群众对此没有警惕,在不知不觉中被境外不法人员和机构利用,让这些数据泄漏到境外,将会对各领域国家安全造成重大危害,“因此,全社会应进一步增强数据安全意识,提升数据安全能力,自觉维护国家安全。”

【阅读原文】



3、团伙破解8600多个摄像头账号密码打包售卖


作为家庭安防设备的智能摄像头正走进千家万户。有不法分子利用一些智能摄像头存在的安全漏洞,窥视他人家庭隐私生活,录制后在网上公开贩卖。10月30日消息,据媒体报道,今年6月,泰州网警巡查发现,有人大量网售客厅、卧室、试衣间等隐私场所的涉黄监控录像。


经过调查发现,这些不法分子将破解的摄像头账号、密码打包售卖。随后,警方陆续抓获主犯马某和代理下线等34人,查获被控的摄像头账号8600多个、涉案110余万元。


安全专家认为,堵住智能摄像头里的隐私安全黑洞,需要多方联防联治、密切协同。构建立体防御体系,才能为智能摄像头的安全漏洞打上“补丁”。


厂商是堵住隐私安全漏洞的第一道关,厂商不能只为市场竞争,削减在恶意代码防护、云加密、弱口令校验、访问控制等方面的技术安全投入,一旦安全事故来临,商家将丧失更多消费者。

【阅读原文】



[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

最后于 2021-11-30 11:25 被Editor编辑 ,原因:
收藏
免费 1
支持
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回
//