-
-
[推荐]【每日资讯】 | 复旦教授发现400+安卓漏洞,最严重可使手机变砖,谷“鸽”16个月后才修复 | 2021年12月31日 星期五
-
发表于: 2021-12-13 10:33
-
2021年12月31日 星期五
今日资讯速览:
1、复旦教授发现400+安卓漏洞,最严重可使手机变砖,谷“鸽”16个月后才修复
2、Telegram和Signal两位老大“互扇耳光”
3、T-Mobile证实:最新数据泄露事件源自SIM卡交换攻击
1、复旦教授发现400+安卓漏洞,最严重可使手机变砖,谷“鸽”16个月后才修复
2、Telegram和Signal两位老大“互扇耳光”
近期国外通信软件Telegram(以下部分简称TG)和Signal(以下部分简称SI)两位老大开启了一次互相打脸模式,开启了谁更隐私之战。
一起来看看。
缘起Signal老总马克西·马林史派克 (Moxie Marlinspike)心血来潮突然上来给Telegram狠狠来了一巴掌,多条推文diss Telegram,以下小编简单整理与君分享(非原话但原意):
Signal老总马克西·马林史派克
都叫TG是加密,噗嗤,我就笑了,其实是它糟透了。
TG将用户所有联系人、群组、媒体以及你曾经明文发送的消息都存储在服务器上,你手机只是个展示窗口,你能看到的一切,TG厂商都能看到。
测试:删除TG,再使用TG号码注册登录,立马能看到历史对话,联系人,媒体和群组,这就说明一切都以明文形式在TG服务器。
“秘密聊天”(无组、同步、无同步),名义上确实使用e2ee,e2ee协议安全性值得怀疑。
FB Messenger也有e2ee“秘密聊天”模式,实际上比TG的限制要少得多(并且还使用了更好的 e2ee协议),但没有人认为Messenger是一个“加密信使”。但FB Messenger和Telegram的构建方式几乎完全相同。
有些人可能会觉得允许Telegram访问他们的所有数据、消息、图像、联系人、群组等,因为他们“信任Telegram”。然而,“加密信使”的意义在于,除了与您通信的人之外,您不必信任任何人。
实际的隐私技术不是信任其他人的数据。您发送的消息应该只对您和收件人可见。一个组的详细信息应该只对其他成员可见。查找您的联系人不应将其透露给其他任何人。
隐私技术实际上是使技术与人机交互保持一致。但是,如果Telegram的人机交互与技术的工作方式一致,那么每次聊天都将是与在Telegram上每个人+每个攻击Telegram的人+每个访问Telegram的政府的群聊。
对于撰写有关此空间的人们,我的要求是,当您编写“加密信使”时,它应该在*最小* 表示默认情况下所有消息都是e2ee的应用程序。Telegram 和FB Messenger的构建方式完全相同,不是“加密的信使”。
外媒Winfuture首次报道此事简单描述就是:Telegram应用本质上是一个开放的窗口,它可以进入存储该平台上所有历史的服务器,使私人用户的一切可见,就像另一边的服务器运营商可见一样,需要额外零努力就能直接访问。重点是,如果任何人如黑客有任何兴趣窥探你在Telegram中的个人信息,那么他们可以很容易地做到这点。因此如果有任何关于Telegram是“安全”的陈旧观念挥之不去,最好是一劳永逸地删掉它。
总结观点的一句话:Telegram加密聊天是笑话。
面对突如其来的一巴掌,Telegram老大保罗·杜洛夫 (Pavel Durov)咬紧牙关,揭着老底一巴掌狠狠的扇了回去。
全文:
最近的一份报告证明Telegram坚持其保留用户数据的承诺隐私,而WhatsApp等应用程序向第三方提供实时用户数据,尽管他们无数关于“E2E加密”的说法,也都会泄露消息内容。
该报告证实,Telegram是少数不违反用户信任的消息传递应用程序之一。
我并不感到意外。大多数其他应用程序即使愿意也无法保证用户的隐私。因为他们的工程师居住在美国,所以当美国政府命令他们时,他们必须秘密地在他们的应用程序中安装后门。如果工程师公开谈论它,则可能因违反禁言令而入狱。
在大多数情况下,这些机构甚至不需要法院命令即可从WhatsApp等消息传递应用程序中提取私人信息,而在其他情况下,法庭文件被保密。一些据称安全的应用程序从一开始就由政府机构资助,例如Anom、Signal。
多年来,美国国家安全局(NSA)一直在确保国际加密标准与NSA可以破译的内容一致,所有其他加密方法都被标记为“非标准”或“自制”。通过他们在加密行业的代理,NSA将有缺陷的标准强加给了其他国家使用的加密。警告世界上其他人不要“推出自己的加密”。
难怪WhatsApp等基于美国的应用程序受到后门的困扰–故意植入政府(和其他任何人)的安全漏洞可以用来破解智能手机并从人们那里提取私人数据。
我听说我们在美国的竞争对手(Signal)感到沮丧,因为他们无法与Telegram的增长相匹配,尽管在营销方面投入了大量资金(Telegram从未被投资过)。但为了与我们的增长相匹配,他们必须首先确保他们的行为符合他们的营销主张。不幸的是,在此之前,他们应用程序中的数据泄露和安全问题将不可避免。
总结他观点的一句话:Signal就是美政府程序。
目前事态正在发展中,只有一来一回两巴掌,更多消息我们将持续关注,列位自行判断。
3、T-Mobile证实:最新数据泄露事件源自SIM卡交换攻击
新浪科技讯 北京时间12月30日早间消息,T-Mobile证实,最近有关一次新的数据泄露事件的报道与该公司发送给“极少数客户”的通知有关,这些客户成为了SIM卡交换攻击的受害者。
T-Mobile发言人表示:“我们通知了极少数客户,告知他们分配给其账户上的手机号码的SIM卡可能被非法重新分配了,或者被查看了有限的账户信息。不幸的是,未经授权的SIM卡交换在整个行业都很常见,但我们的团队通过此前就已准备好的保障措施迅速纠正了这个问题,积极主动地为他们采取了额外的保护。”
在被要求提供更多有关受影响客户总数和攻击者成功实施SIM卡交换攻击的方法等信息时,T-Mobile拒绝提供更多细节。
该公司发言人称:“我们目前不会提供任何额外的信息。谢谢!”
SIM卡交换(也称为SIM卡劫持)能让攻击者有可能通过欺骗或贿赂运营商的员工,将号码重新分配给攻击者控制的SIM卡,从而控制目标的手机号码。这会让攻击者能够控制受害者的电话号码,并借此绕过基于短信的多因素身份验证(MFA),窃取受害者的凭据,登录其银行账户窃取资金,或者通过更改密码的方式来劫持其在线账户。
因此,所有T-Mobile客户都需警惕任何冒充来自T-Mobile的可疑短信或电子邮件,不要点击打开收到的链接,以防受到攻击。
在过去4年时间里,T-Mobile已经曝出了多起数据泄露事件,其中包括2021年2月发生的一起非常类似的事件,当时攻击者使用内部T-Mobile应用,利用SIM交换攻击了多达400名用户。
自2018年以来,T-Mobile总共曝出了6起数据泄露事件:
- 2018年,数百万T-Mobile客户的信息被黑客窃取;
- 2019年,T-Mobile预付费客户的数据外泄;
- 2020年3月,黑客侵入了T-Mobile员工的电子邮件账号;
- 2020年12月,客户专有网络信息(包括电话号码和通话记录等)遭到黑客窃取;
- 2021年2月,黑客在获得对内部T-Mobile应用的访问权限后,利用SIM交换攻击了数百名用户;
- 2021年8月,攻击者在获得测试环境的访问权限后,强行闯入了T-Mobile的网络。
随着针对加密货币投资者和采用者的SIM劫持攻击数量不断增加,美国联邦调查局(FBI)已经发布了防范SIM劫持攻击的指导方针。另外,美国联邦贸易委员会(FTC)也发布了相关信息,指导用户保护手机上的个人信息和在线个人信息。(唐风)
2021年12月30日 星期四
今日资讯速览:
1、六部门“净网”行动成果数据公布:清理网络有害信息 1000 余万条,封堵关闭网站超 11 万个等
2、隐瞒数据泄露,前优步CSO面临重罪指控
3、帮忙?帮凶!电诈案件背后警惕“帮信”陷阱
1、六部门“净网”行动成果数据公布:清理网络有害信息 1000 余万条,封堵关闭网站超 11 万个等
IT之家 12 月 27 日消息,据新华社报道,从全国“扫黄打非”办公室获悉,“净网”集中行动共清理网络有害信息 1000 余万条,封堵关闭网站 11 万余个,查办网络案件超 2000 起。
按照全国“扫黄打非”工作小组部署,中央宣传部、中央网信办、工业和信息化部、公安部、文化和旅游部、国家广播电视总局 6 部门今年 6 月至 10 月共同开展“净网”集中行动。该行动重点整治网上涉历史虚无主义、涉黄涉非、涉低俗等有害信息,深度清理有悖社会主义核心价值观内容。
IT之家了解到,“净网”集中行动进行了多个领域的整治行动,包括:针对未成年人沉迷网络游戏问题,印发通知进一步严格管理;加强网络文化市场监督管理和执法检查;对重点网络视听平台开展内容安全检查,及时处置有害节目和不良内容等。
2、隐瞒数据泄露,前优步CSO面临重罪指控
近日,美国联邦大陪审团指控优步(Uber)的前首席安全官(CSO)约瑟夫·沙利文(Joseph Sullivan)犯有三项电汇欺诈罪,此前沙利文因隐瞒2016年的大规模数据泄露事件而被起诉。
现年52岁的沙利文2015年4月至2017年11月期间担任优步的CSO,目前还面临2020年八月被指控的妨碍司法公正和叛国罪等重罪指控。如果这些罪名成立,沙利文将面临最高8年的监禁和50万美元的罚款。
检察官声称沙利文向当局隐瞒和误导2016年的数据泄露事件,该事件暴露了5700万乘客的个人信息,其中包括约60万名优步司机的驾照等信息。
在这次数据泄露事件中,沙利文最引人注目的“骚操作”是通过漏洞赏金计划向黑客支付了价值10万美元的比特币。
在联邦贸易委员会(FTC)就此次泄露事件展开调查时,沙利文提供了书面答复并提供了宣誓作证。在他向FTC作证大约十天后,2016年11月14日,这位CSO收到了一封来自攻击者的电子邮件,通知他另一次网络攻击。这位优步前CSO选择了掩盖事件,向黑客支付了巨额“封口费”。
事后,沙利文还指示黑客销毁数据。不仅如此,沙利文甚至还寻求与攻击者签订保密协议(NDA),要求他们发布虚假消息称没有信息或数据被泄露。
事件最终以两名黑客身份败露落入法网告终,但是根据2019年10月美国司法部的新闻稿,由于沙利文未能及时披露优步数据事件,导致两名黑客继续作案成功入侵了其他公司和用户。
2018年,优步向50个州和哥伦比亚特区支付了1.48亿美元的和解金。尽管如此,对沙利文的单独刑事指控仍在继续。如果2020年的指控成立,沙利文将面临最高8年的监禁和50万美元的罚款。
目前担任Cloudflare首席安全官的沙利文的出庭日期尚未确定。
“存储他人个人信息的机构必须遵守法律,”加利福尼亚北区代理美国检察官斯蒂芬妮·海因兹说,沙利文曾在那里担任联邦检察官。
“当发生这样的黑客攻击时,州法律要求通知受害者,”Hinds说。联邦法律还要求企业对政府的官方调查作出如实回答。起诉书称,沙利文两者都没有做到。
“我们指控沙利文伪造文件以逃避通知受害者的义务,并向FTC隐瞒数据泄露的严重性,所有这些都是为了让他的公司受益。”
3、帮忙?帮凶!电诈案件背后警惕“帮信”陷阱
2021年12月29日 星期三
今日资讯速览:
1、有用户怀疑LastPass的主密码数据库可能已被泄露
2、施耐德电气EVlink电动汽车充电桩相关产品暴7个严重漏洞
3、Apache联合创始人呼吁合作防止Log4Shell问题再次发生
1、有用户怀疑LastPass的主密码数据库可能已被泄露
有使用LastPass的用户报告说,有多人试图使用正确的主密码从不同地点登录,表明该公司可能存在数据泄露。Hacker News论坛的多名用户报告称他们的LastPass的主密码似乎被泄露了。
目前还不知道这些密码是如何泄露的,但在用户中已经出现了一种类似的情形。
大多数报告似乎来自拥有过时的LastPass账户的用户,这意味着他们已经有一段时间没有使用该服务,也没有改变密码。这表明正在使用的主密码列表可能来自早期的数据库。
一些用户声称,修改密码并没有帮助,一个用户声称,每次修改密码时,他们都看到来自不同地点的新的登录尝试。目前还不清楚密码泄露的严重程度,也不清楚LastPass目前是否受到攻击。
到目前为止,LastPass还没有发表官方声明。如果有可能的话,建议LastPass用户更改密码,启用双因素认证,并留意可疑的登录尝试。也可以选择从该服务中删除密码,并迁移到1Password或苹果的iCloud Keychain。
LastPass是一个免费的密码管理器,可用于桌面和移动设备。
2、施耐德电气EVlink电动汽车充电桩相关产品暴7个严重漏洞
施耐德电气近日发布公告称已经修补了几个有关电动汽车充电站的新漏洞,这些漏洞使其EVlink电动汽车充电站容易受到远程黑客攻击。
施耐德于12月14日宣布了补丁的可用性,并敦促客户立即应用补丁或缓解措施。这些漏洞已经被发现影响了EVlink City (EVC1S22P4和EVC1S7P4)、Parking (EVW2、EVF2和EVP2PE)和Smart Wallbox (EVB1A)设备,以及一些已经到期的产品。
施耐德称,研究人员托尼·纳斯尔在这些充电站中发现了总共7个漏洞,包括1个严重问题和5个严重问题。
第7个漏洞为CVE-2021-22822,CVSS评分为8.8。
这些安全漏洞包括跨站请求伪造(CSRF)和跨站脚本编写(XSS)漏洞,这些漏洞可以被利用来代表合法用户执行操作,还有一个可以被利用来通过蛮力攻击来访问充电站的web界面。最严重的问题——基于其CVSS评分9.3——是服务器端请求伪造(SSRF)漏洞。
施耐德警告称,对这批EVlink电动汽车充电站漏洞,如果不采取行动,可能会导致“充电站的设置和账户遭到篡改和泄露。”“这种篡改可能导致拒绝服务攻击,导致未经授权使用充电站,服务中断,未能发送收费数据记录的修改,以及信息披露监管体系和充电站的配置“。
尽管施耐德指出,利用这些漏洞需要对系统的内部通信端口进行物理访问。但其也承认,如果充电站可以通过网络访问,也可以从本地网络甚至互联网发起攻击。
研究人员托尼·纳斯尔告诉《安全周刊》说:“利用联网充电站不需要接入局域网,因此使攻击矢量非常强大和有效。”“在这种情况下,攻击者会在试图利用它们的漏洞之前,进行全互联网扫描,以搜索可行的EVCS(电动汽车充电站)。然而,应该注意的是,EVCS的连接在实际利用过程(即触发漏洞)方面并没有表现出任何差异。”
例如,如果无法通过Internet访问EVCS,则假设攻击者可以访问 LAN,这是一项相对简单的任务(例如,破解 Wi-Fi 网络密码、具有默认配置的网络等),在可以连接到EVCS 的地方,以便进行本地(远程的)漏洞利用。按照这两种方法,攻击者可以通过利用所讨论的漏洞发起各种网络攻击来控制底层的 EVCS。
研究人员指出,某些漏洞的利用,如SSRF漏洞,涉及发送特别精心设计的请求,不需要任何用户交互。
纳斯尔解释说,这样的攻击允许攻击者利用被破坏的EVCS作为网络代理,实际上是建立一个僵尸网络,并对其他设备进行分布式网络攻击,例如分布式拒绝服务(DDoS)。
另一方面,利用XSS和CSRF漏洞确实需要一些用户交互(例如单击链接)。
虽然最具破坏性的攻击媒介是针对面向 Internet的EVlink的远程网络攻击,但攻击者仍然可以通过跨LAN瞄准其管理系统对这些站点的生态系统构成巨大威胁,因为从根本上讲,EVlink设置需要网络连接以实现更高效的远程监测和管理。
根据Shodan和Censys等服务进行的互联网搜索,纳斯尔表示,有数千个暴露在互联网上的系统。
应该注意的是,当讨论目前不面向互联网但已配置网络的EVlink充电站时,这个数量会大大增加,例如,仍然可以通过LAN上的特定向量利用上述漏洞在本地进行攻击。
纳斯尔表示,这些漏洞是在一项针对电动汽车充电站管理系统的大型研究中发现的。这项研究的全部结果将在明年公布——研究人员目前不想透露研究中针对的其他供应商和产品的名称。
随着电动汽车的日益普及,充电站成为网络安全研究的热点。Pen Test Partners和Trend Micro今年也对这些系统的安全性进行了分析。特别是趋势科技专门研究了最近影响巨大的log4shelll漏洞在网联汽车和用于汽车的设备中的有关情况,特别是充电器、车载信息娱乐 (IVI) 系统和用于打开汽车的“数字遥控器”。
3、Apache联合创始人呼吁合作防止Log4Shell问题再次发生
Apache Web 服务器的主要开发人员布莱恩·贝伦多夫(Brian Behlendorf)近日发布文章,呼吁多个开源基金会紧密合作,防止 Log4Shell 此类问题再次发生。文章中提及了目前开源领域安全工作资源不足,在制定标准和要求以减少重大漏洞的机会方面受到束缚,并提出了几个建议来减轻安全风险。
为防止 Log4Shell 此类问题再次发生,Brian Behlendorf 倡议开源软件基金会们可以做以下几件事,以减轻安全风险:
● 建立一个组织范围内的安全团队,接收和分流漏洞报告,以及协调对其他受影响项目和组织的回应和披露。
● 通过CI工具执行频繁的安全扫描,以检测软件中的未知漏洞并识别依赖关系中的已知漏洞。
● 对关键代码进行不定期的外部安全审计,特别是在新的重大发布之前。
● 要求项目使用测试框架,并确保较高的代码覆盖率,这样就可以阻止没有测试的功能,并主动淘汰未被使用的功能。
● 要求项目删除已废弃或易受影响的依赖关系。(一些Apache项目没有受到Log4j v2 CVE的影响,因为他们仍在使用Log4j v1,该版本有已知的弱点,并且自2015年以来没有得到更新!)
● 鼓励并最终要求使用SBOM格式,如SPDX,以帮助每个人更容易和快速地跟踪依赖关系,从而使漏洞更容易被发现和修复。
● 鼓励并最终要求维护者展示对安全软件开发实践基础知识的熟悉程度。
其中的许多内容都被纳入了CII最佳实践徽章中,这是将这些内容编入客观可比的指标的首次尝试之一,这项工作现在已经转移到OpenSSF。OpenSSF还为开发者发布了一个关于如何开发安全软件的免费课程,而SPDX最近也被公布为ISO标准。
2021年12月28日 星期二
今日资讯速览:
1、PseudoManuscrypt:一场神秘的大规模网络间谍活动
2、波兰政府被指使用Pegasus入侵反对派团体成员设备
3、Windows 11又爆出新Bug!颜色显示可能不正常
1、PseudoManuscrypt:一场神秘的大规模网络间谍活动
导读
近日,据卡巴斯基研究人员报告称,全世界数以万计的设备,包括许多工业控制系统 (ICS)和政府组织,都受到了 PseudoManuscrypt 间谍软件的攻击。
详情
PseudoManuscrypt这个名字 来源于与 朝鲜有关联的Lazarus APT 组织在针对国防工业的攻击中使用的Manuscrypt 恶意软件有着相似之处 。
据专家透露,PseudoManuscrypt 恶意软件针对的所有系统中,至少有 7.2% 是多个行业组织使用的工业控制系统 (ICS) 的一部分,包括工程、能源、制造、建筑、公用事业和水管理等。
2021 年 1 月至 11 月期间,该恶意软件攻击了 195 个国家/地区的至少 35,000 个系统,这在行为者进行的针对性攻击中并不常见。
PseudoManuscrypt 加载程序通过恶意软件即服务 (MaaS) 平台提供,该平台将恶意代码分发到盗版软件安装程序存档中。专家还观察到通过Glupteba僵尸网络分发的间谍软件。
PseudoManuscrypt 支持广泛的间谍功能,例如窃取 VPN 连接数据、记录按键记录、捕获屏幕截图和视频、使用麦克风录音、窃取剪贴板数据和操作系统事件日志数据(这也使得窃取 RDP 身份验证数据可能),等等。
近三分之一 (29.4%) 的恶意软件针对的非 ICS 计算机位于俄罗斯 (10.1%)、印度 (10%) 和巴西 (9.3%),而被间谍软件攻击的大部分 ICS 计算机位于印度、越南和俄罗斯。
间谍软件使用 KCP 协议连接到 C2 服务器,这对于恶意软件来说并不常见。过去,与我国有关的APT41曾使用 KCP 协议攻击工业组织。
研究人员还注意到,恶意软件样本还包含中文评论,并且间谍软件连接到百度云存储服务。PseudoManuscrypt 将中文设置为联系 C&C 服务器时的首选语言。
尽管收集和分析了大量数据,但许多发现仍然无法解释,并且不符合任何已知方案。因此目前还不能确定该运动是追求犯罪的雇佣军目标还是与某些政府的利益相关的目标。
尽管如此,被攻击的系统包括不同国家知名组织的计算机这一事实使我们评估的威胁级别很高。大量工程计算机受到攻击,包括用于 3D 和物理建模的系统,数字孪生的开发和使用将工业间谍问题列为该活动的可能目标之一。
2、波兰政府被指使用Pegasus入侵反对派团体成员设备
3、Windows 11又爆出新Bug!颜色显示可能不正常
[PConline 资讯]Win11自发布以来,一直问题不断。现在,微软又证实了一个Win11的Bug。微软确认,升级到Win11后,使用图像编辑器等应用程序可能会遇到颜色渲染问题。此外,Win11最近的版本还存在其他Bug,微软正在对此进行调查。
根据报告,Win11中存在一个错误,会让一些图像编辑器程序在显示器中无法正确渲染颜色(主要和HDR有关)。当用户试图编辑纯白或者浅色背景的图片时,会观察到颜色错误的情况,图片可能会显示为亮黄色或者其他颜色。
微软证实,当Win32 API在特定条件下返回异常信息或者错误时,就会出现这个Bug。这是Win11本身的问题,在大多数情况下,更新应用程序并不会有所改善。按照微软的说法,Win11的Bug并不会影响到所有和色彩管理相关的应用程序。
微软预计,在Win11的稳定版当中,设置和控制面板中配置好的色彩管理文件会按照预设工作。
按照预期,在1月份下旬推出的Win11版本中,会解决HDR或图像编辑器相关的问题。如果你是Insider计划的成员,那么有机会在较新的预览版中获取修复。根据反馈中心的报告,运行预览版的时候,显示器渲染的错误似乎的确得到了修复。
除了现实颜色不正常的问题,Win11还存在其他Bug。在12月15日发布的Windows 11 KB5008215当中,一些用户声称,他们无法应用累积更新,因为补丁无法安装,导致出现了神秘的错误信息。
此外,一些用户遇到了某些存储器如SSD的性能问题。当前,Win11存在可能会降低存储驱动器的性能的Bug,这通常发生在试图在系统分区和其他分区之间移动文件时,这个错误只影响到安装Windows 11的分区。
目前还尚未清楚这些问题合适会得到完全修复,希望在1月份的可选更新中Win11能修正更多的Bug吧。
2021年12月27日 星期一
今日资讯速览:
1、讯飞语记回应多地网络服务异常:系国家反诈骗中心误封禁域名,大部分地区服务已恢复
2、央视曝光部分App禁止全部权限仍可获取用户信息
3、美国国土安全部对众测白帽子的要求
1、讯飞语记回应多地网络服务异常:系国家反诈骗中心误封禁域名,大部分地区服务已恢复
IT之家 12 月 24 日消息,今日上午,讯飞语记团队发布关于近期网络服务异常说明及补偿,称经排查此次网络服务异常原因是国家反诈骗中心误封禁域名,核实后已通知各地陆续解封。
此外,讯飞语记手机安卓端已上线补偿措施:1 分钱购买转写时长及月 VIP,补偿措施点击安卓端 App 首页 banner 即可领取(ios 用户需在安卓设备登录账号领取补偿)。
讯飞语记称,目前大部分地区服务已恢复,内蒙古、新疆等少数地区正在恢复中。
IT之家了解到,讯飞语记是一款说话就能变文字输入的云笔记,写文章、写日记、记者采访、会议记录、课堂笔记、记事的 App。
2、央视曝光部分App禁止全部权限仍可获取用户信息
近年来,用户隐私泄露成为民众广泛讨论的话题,虽然工信部多次通报、下架侵害用户权益行为的APP,但仍然有APP顶风作案。12月25日,据央视网快看报道,一个移动应用程序安全检测实验室的负责人现场演示了APP在后台运行时,是如何窃取用户的个人信息的。
汤啸骅是一个移动应用程序安全检测实验室的负责人,他告诉记者,一些APP在后台运行时可能就在偷偷窃取你的个人信息,他现场随机安装了一款APP,打开软件并禁止了所有权限,退出等待几分钟之后,检测系统有了惊奇的发现。
汤啸骅 手机安全工程师:“他(APP)推到后台的时候,还有对于位置的一些访问信息和访问动作”。此外,工程师还对另外一款APP设置了在使用期间可用位置信息,但是在没有对手机进行任何操作的情况下,这个APP依然在不断地获取用户位置信息,短短几分钟之内就多达14次。
据悉,《个人信息保护法》自今年11月1日开始正式实施,该法规明确规定了企业向个人进行信息推送、商业营销,应提供拒绝方式;处理用户敏感个人信息,应取得个人的单独同意等。
3、美国国土安全部对众测白帽子的要求
美国国土安全部(DHS)邀请安全研究人员寻找漏洞并侵入其系统,以期加强自身面对恶意攻击的防御能力。
美国国土安全部启动 “黑掉国土安全部”(Hack DHS)漏洞赏金计划,意图 “发现国土安全部某些系统中的潜在网络安全漏洞,提升部门的网络安全弹性。”
美国国土安全部部长亚历杭德罗・马约卡斯(Alejandro Mayorkas)在彭博技术峰会上宣布了该计划,称 “黑掉国土安全部” 将分为三个阶段:
1、黑客对国土安全部某些外部系统进行线上虚拟评估。
2、黑客亲身参与现场攻击活动。
3、国土安全部识别和审查暴露出来的问题,规划未来的漏洞赏金。
美国国土安全部部长马约卡斯表示,将根据漏洞的严重程度,为所发现的每个漏洞支付 500~5000 美元的赏金。想要获得奖励,安全研究人员必须向国土安全部披露漏洞的全部细节,包括漏洞利用方式,以及恶意黑客会怎么利用此漏洞来窃取信息。
当然,漏洞赏金也不是什么近些年才出现的新鲜事物。许多私营部门公司开展漏洞赏金计划推动负责任的漏洞披露,近年来,美国陆军和国防部等机构为预先批准的安全研究人员参与漏洞搜寻提供了经济奖励。
“黑掉国土安全部” 漏洞赏金计划不打算重新发明轮子,而是似乎想要吸取此类漏洞众测计划的经验,确保制定强有力的指导方针,防止随之而来的混乱。
因此,预期 “黑掉国土安全部” 会跟随 “黑掉五角大楼”(Hack the Pentagon)漏洞赏金计划的脚步,参考以下规则:
・白帽子黑客必须预先注册,并获得批准,才能参与此项计划。
・ 参与者必须具有在美国工作的资格。
如果你居住在目前正遭受美国贸易制裁的国家或地区,那你就不具备参与该计划的资格。所以,该计划不欢迎叙利亚黑客和朝鲜黑客!
・ 参与者不能出现在美国财政部的涉恐、涉毒、涉其他犯罪的邪恶个人与团伙黑名单上。
・ 每个参与者都必须同意接受背景调查。
此外,美国国土安全部将就纳入众测的系统范围和接受报告的漏洞类型设置严格的条件。
视野放宽,最高 5000 美元的漏洞赏金并不算特别慷慨,尤其是考虑到企业为其他漏洞搜寻计划支付的赏金时。但可以想见,如果能够帮助美国国土安全部消除其系统中潜藏的高危安全漏洞,一些安全研究人员应该会珍视由此获得的荣誉和成就感。
————————————————
原文作者:全球网络安全资讯
转自链接:https://www.wangan.com/p/7fy747ddefe5a638
版权声明:著作权归作者所有。商业转载请联系作者获得授权,非商业转载请保留以上作者信息和原文链接。
2021年12月24日 星期五
今日资讯速览:
1、英特尔针对“涉疆信件”发布道歉声明:公司初衷是遵守美国法律,并非它意或表达立场
2、工信部:App 弹窗信息关不掉等问题基本清零,工作取得阶段性进展
3、印度税务部门突然搜查小米、OPPO、一加、富士康等多家企业
1、英特尔针对“涉疆信件”发布道歉声明:公司初衷是遵守美国法律,并非它意或表达立场
IT之家 12 月 24 日消息,近日有媒体发现,英特尔官网以简体中文、繁体中文、英语、日语等多种语言向供应商写的一封信中,有一句话特别扎眼:我们的投资者和客户已询问英特尔是否从中国新疆地区采购产品或服务。多个国家与地区的政府已对来自新疆地区的产品实行限制。因此,英特尔需要确保我们的供应链不使用任何来自新疆地区的劳工、采购产品或服务。
对此,不少中国网友表示非常愤慨,纷纷涌入英特尔官方微博账号下方质问该公司:“你们是失了智吧,端起碗吃饭,放下碗骂娘?”“人民币里不是有新疆的长绒棉吗?英特尔这钱你怎么收的下啊? ”“英特尔你想咋滴?新疆问题什么意思?解释解释。”
昨日,微信公众号“知 IN”(英特尔中国自媒体) 发布声明称,对于给尊敬的中国客户、合作伙伴和公众带来的困扰,深表歉意。
声明称,英特尔向供应商发送的年度信函引发了相关的媒体报道和讨论,特别是针对信中相关政府对供应链运营提出的要求,引起热议和质疑。
声明指出,感谢大家提出的质疑和顾虑,并尊重该问题在中国的敏感性。虽然公司初衷是确保遵守美国法律,但这封信在中国合作伙伴中引起了诸多的疑问和顾虑,我们深表遗憾。借此澄清,信中的关于新疆的段落只出于表述合规合法的初衷,并非它意或表达立场。
英特尔还称,对于由此给我们尊敬的中国客户、合作伙伴和公众带来的困扰,我们深表歉意。英特尔致力于成为值得信赖的技术合作伙伴,加速与中国共同发展。
中国外交部发言人赵立坚当日在例行记者会上回应相关问询时表示,我们注意到有关声明,希望有关企业能够尊重事实,明辨是非。赵立坚说,我们已经多次强调有关新疆地区强迫劳动等说法,完全是美国反华势力炮制的谎言,目的是抹黑中国形象,破坏新疆稳定,阻遏中国发展。新疆的民众勤劳勇敢,新疆的产品质量优良,个别企业如果选择不用,也是他们的损失。
IT之家了解到,英特尔财报显示,中国大陆自 2015 年开始已是该公司第一大营收来源地。2020 年,该公司来自中国大陆(包括香港)的营收为 202.6 亿美元(约合人民币 1290.9 亿元),第二大营收来源地是新加坡,营收为 178.5 亿美元。
2、工信部:App 弹窗信息关不掉等问题基本清零,工作取得阶段性进展
IT之家 12 月 24 日消息,由中国信息通信研究院主办的“2022 年 ICT 深度观察报告会”昨日顺利在北京举办。工业和信息化部总工程师韩夏在会议上透露,今年以来,App“弹窗信息关不掉”等问题基本清零,工作取得阶段性进展。
IT之家了解到,今年 7 月工信部启动了为期半年的互联网行业专项整治行动,目的是遏制不正当竞争行为,保障用户权益,维护市场秩序。
韩夏指出,我国网络建设量质并进、融合赋能作用彰显、市场秩序规范有序,而且服务民生,精准降费深化落实,提前超额完成降费任务。
他表示,今年已累计检测 192 万台 App,企业违规行为得到有效治理。弹窗信息关不掉等问题基本清零,工作取得阶段性进展。互联网应用改造取得阶段性成果,现已完成 207 家网站和 App 的改造。
他认为,我们还需要持续营造行业健康生态,完善事前事中事后全链条监管,营造良好的营商环境,激发各类社会主体活力,坚持以人民为中心的思想,加大个人信息保护力度,持续推进 App 专项整治,加快信息无障碍工作的进程,切实提升人民群众的获得感、幸福感和安全感。
3、印度税务部门突然搜查小米、OPPO、一加、富士康等多家企业
IT之家 12 月 24 日消息,据环球时报援引印度《商业标准报》报道,印度财政部税收局近期在对全印手机制造商和分销商的一次重大打击行动中,对来自大中华区的手机制造商小米、OPPO、一加、富士康等在印度的办公室和制造厂进行了突击搜查。知情人士称,一些金融科技公司的 CEO 也在搜查之列,目前正在接受所得税当局的审讯。
印度《经济时报》报道,政府官员说,印度反走私机构税收情报局已经搜查了富士康印度分公司 Bharat FIH 和 Dixon Technologies 在印度南部的工厂。Bharat FIH 和 Dixon 是小米的合同制造商。
据知情人士透露,税务部门在国家首都地区、孟买、拉杰科特和卡纳塔克邦搜查了 20 多处与 OPPO 和小米有关的场所。OnePlus 的办公室也被搜查,这家中国公司已经并入 OPPO,但作为一个独立品牌运营。
小米发言人 12 月 22 日回应说,“作为一家负责任的公司,我们非常重视确保我们遵守印度的所有法律。作为印度的投资伙伴,我们正全力配合印度相关部门,以确保他们获得所需的所有信息。”
OPPO 在一份声明中同样表示,“作为在印度的投资伙伴,我们高度尊重并遵守印度的法律。我们将继续按照程序与有关部门全面合作。”
一加公司对此暂未回应,而富士康方面表示正在了解情况。
2021年12月23日 星期四
今日资讯速览:
1、黑客入侵Fractal官方Discord频道:已骗取15万美元加密货币
2、美英协助乌克兰应对潜在的俄罗斯网络攻击
3、PYSA :双重勒索攻击的幕后黑手
1、黑客入侵Fractal官方Discord频道:已骗取15万美元加密货币
新兴游戏物品 NFT 交易平台 Fractal 遭遇黑客的攻击。本周二,该平台通过官方 Discord 频道发送了一条购物链接,但实际上这是个窃取用户加密货币而设立的骗局。
遵循该链接并连接他们的加密货币钱包的用户,期望收到一个 NFT,却发现他们持有的 Solana(SOL) 加密货币被清空并转移到骗子的账户。另一个 NFT 游戏项目的创始人 Tim Cotten 在 Medium 上发布的分析报告估计,被盗的 SOL 价值约为 15 万美元。
Fractal 是 Twitch 联合创始人 Justin Kan 的一个创业项目,专门从事代表游戏内资产的 NFT 的买卖。它在 12 月初宣布成立,并迅速通过 Discord 积累了超过 10 万名用户的粉丝--这使得它成为自一开始就困扰 NFT 项目的那种骗子的目标。
消息传到了Twitter上,Kan的一条推文告诉粉丝们,Fractal的Discord服务器上的公告机器人被黑掉了。另一条来自FractalTwitter主账户的推文证实,一个欺诈性的链接已经通过该渠道发布。
尽管来自 Discord 机器人的帖子是假的,但 Fractal 的官方Twitter账户在被黑几个小时前发布了一条推文,暗示即将进行空投(airdrop):这是一个加密货币项目分发一些代币的过程,通常是向早期采用者的用户分发。由于对代币矿场和空投的需求通常非常高,当快照宣布时,用户快速行动的压力创造了一个攻击媒介,而骗子们都很乐意利用这一媒介。
2、美英协助乌克兰应对潜在的俄罗斯网络攻击
2015年末,由于俄罗斯黑客远程接管了一家电力公司的控制中心并关闭了一个又一个发电站,而该公司操作人员只能无助地盯着他们的屏幕,整个乌克兰的灯都熄灭了。第二年,同样的事情再度发生,这次是在乌克兰首都基辅。
现在,美国和英国已经悄悄地向乌克兰派遣了网络战专家,希望让乌克兰做好更好的准备,以应对他们认为俄罗斯总统普京(因为他再次对乌克兰发出威胁)可能采取的下一步行动:不是利用他在边境集结的175000名士兵进行的入侵,而是会破坏电网、银行系统以及乌克兰经济和政府的其他关键组成部分的网络攻击。
根据美国情报评估,俄罗斯的目标是让乌克兰总统泽伦斯基看起来既无能又无助,并可能为入侵提供借口。
美国官员表示,从某种意义上说,俄罗斯对乌克兰的网络攻击从未停止过,但直到最近才在低水平上活跃。但在接受采访时,美国官员和专家表示,尽管公众的注意力一直集中在军队集结上,但此类行动在过去一个月里已经加强。
美国华盛顿一家新研究团体“西尔维拉多政策加速器”的主席、俄罗斯网络活动的主要调查员德米特里·阿尔佩罗维奇表示,“这是一场针对众多乌克兰政府机构的广泛活动,包括内政部——国家警察——及其电力公司。”童年时期从俄罗斯移民到美国的阿尔佩罗维奇表示,俄罗斯领导人将网络攻击视为“战场准备”。
美国官员说,军事入侵远非确定无疑。美国总统拜登的国家安全顾问杰克·沙利文在外交关系委员会发表讲话时称,“美国政府目前的评估是他尚未做出决定。”沙利文没有提到俄罗斯的网络活动,但网络活动一直是美国白宫、中央情报局、国家安全局和美国网络司令部的一个重点。美国网络司令部部署了“网络任务部队”来识别世界各地的漏洞。
大约有十几名官员谈论了俄罗斯的网络活动,他们要求匿名,因为这些信息来自机密情报和关于如何减轻俄罗斯威胁的敏感讨论。这些谈话的重点是俄罗斯总统普京是否认为乌克兰基础设施的瘫痪可能是他实现主要目标的最大希望:推翻乌克兰政府并用傀儡领导人取而代之。
一位高级情报官员表示,权衡的是这样的袭击不需要他占领乌克兰——或者在实际入侵后几乎肯定会遭受许多制裁。
普京已经在努力在国内和非洲以及南美洲和中美洲建立支持。据美国和盟国官员称,俄罗斯领导的宣传活动一直专注于诋毁乌克兰政府,并指责其领导人在乌克兰东部制造人道主义危机,乌克兰政府军多年来一直在那里与俄罗斯领导的分裂主义分子作战。
美国官员拒绝描述已安插到乌克兰的网络团队。拜登政府在一份声明中仅表示,“我们长期以来一直支持乌克兰加强网络防御并提高其网络弹性的工作。”英国政府发言人表示,英国及其盟国提供的援助本质上是防御性的。
虽然英美两国政府都不会提供细节,但官员们表示,美国正在考虑开展更大规模的部署,包括来自美国网络司令部的资源。但目前尚不清楚一个更大的团队除了展示支持之外还能做得有多好。一位美国官员称,“要修补的东西太多了。”
乌克兰电网建于苏联时代,与俄罗斯电网相连。乌克兰电网已使用俄罗斯零件进行升级。攻击者和操作员对软件都很熟悉。虽然乌克兰一再发誓要修复其系统,但普京的黑客,或者至少是忠于他的团队,一次又一次地表明,他们知道如何让乌克兰的部分地区陷入停顿。
前美国能源部网络专家、现任DataRobot高管肖恩·普兰基表示,俄罗斯黑客了解设计中的每个环节,而且很可能有内部人员可以帮助他们。
正如乌克兰人所了解的那样,对关键基础设施的网络攻击尤其难以阻止。在网络世界中,对于什么构成战争行为未达成广泛共识,对普京可以在不引发西方反应的情况下对乌克兰造成多大伤害的问题也未达成共识。过去,他对乌克兰的攻击几乎引发任何响应。
2015年的攻击始于12月下旬,特别具有启发意义。它是针对乌克兰电网的一家主要运营商。攻击期间拍摄的视频显示,一群操作人员——攻击者知道假期将是一个特别脆弱的时期——努力了解黑客远程接管他们的屏幕时发生了什么。变电站被关闭。灯光一个街区接着一个街区熄灭。
为美国国土安全部负责网络应急响应并帮助调查袭击事件的安迪·奥兹门特当时表示,“这让我们大吃一惊,我们担心的确切情况并非妄想。它就在我们眼前上演。”
黑客们做出最后的惊人之举:他们最后关闭的是公用事业公司运营中心的应急电源,让乌克兰工人在黑暗中坐在他们的座位上咒骂。
随着假期的临近,美国官员表示他们处于高度戒备状态。但据知情人士透露,如果普京确实发起网络攻击,无论是作为独立行动还是作为物理世界攻击的先兆,它很可能会在2022年1月第一周末的东正教圣诞节之后发生。
美国和盟国官员讨论了可能威慑俄罗斯的各种制裁措施。但所有可能让俄罗斯痛彻心扉的措施也会给欧洲带来痛苦,欧洲在冬季能源供应方面高度依赖俄罗斯。
美参议院情报委员会成员安格斯·金表示,如果入侵确实发生,第一个迹象将发生于网络空间。他称,“我认为毫无疑问,如果乌克兰遭到入侵或其他形式的袭击,将从网络开始。”
安格斯·金长期以来一直认为,美国及其盟友需要更深入地思考如何阻止网络攻击。他表示,美国应该就此类袭击的后果发布一项宣言性政策。他称,“所以问题是,我们有什么手段可以阻止这种情况?”
与安格斯·金一起领导美国网络空间日光室委员会的美国众议员迈克·加拉格尔表示,美国应该努力防止对乌克兰的网络攻击,明确表明这会引发强烈反应。加拉格尔称,“我们应该准备自己的网络响应,我们在网络领域拥有非常强大的武器,如果普京选择做得过火,我们可以用来对付他。我们似乎有分歧,但我们有很多选择可以防止这演变成一场全面的危机。”
与全面军事行动相比,网络行动对莫斯科仍然有吸引力,因为俄罗斯可以在“薄薄的否认面纱”下操作。普京在过去十年中已经证明,最脆弱的伪装就足够了。在之前对乌克兰的网络攻击中,俄罗斯特工让入侵看起来像是犯罪集团所为。
前美国家情报总监办公室负责网络的国家情报主管、现安全公司Fortinet副总裁吉姆·里奇伯格表示,“事后,你可以很确定我们看到的是打着犯罪活动幌子的国家活动。他们希望对乌克兰的关键基础设施产生如此广泛的影响,并让活动看起来像是出了差错的犯罪行为。”
对于普京来说,一场他可以官方否认但无人怀疑是其杰作的网络攻击是两全其美的。里奇伯格称,“对于像普京来说,其中一部分是要被看到的,是为了传递信息,他们可以做得很好,但很好并不意味着他们想要隐身。”
3、PYSA :双重勒索攻击的幕后黑手
NCC集团的安全分析师报告说,2021年11月的勒索攻击增加,双敲诈不断成为攻击者武器库的有力工具。
攻击者的重点也转移到属于政府部门的实体,这些实体收到的攻击比10月份多400%。
11月的焦点显然是PYSA勒索软件组织(又名Mespinoza),该组织感染的设备呈爆炸性上升,增长了50%。
其他占主导地位的勒索软件组织是Lockbit和Conti,它们对关键实体发起了攻击,尽管数量比前几个月有所减少。
2021年3月,越来越明显的迹象表明,PYSA活动达到了威胁水平,导致联邦调查局发布了一个关于攻击者活动升级的警报。
与目前几乎所有勒索软件组一样,PYSA从受损网络中过滤数据,然后对原始数据进行加密以中断操作。
被盗文件被用作赎金谈判的筹码,攻击者威胁说,如果不支付赎金,将公开发布数据。
敲诈勒索新趋势及策略
NCC集团报告关注的另一个攻击者是Everest,一个讲俄语的勒索团伙,目前正在使用一种新的勒索方法。
只要他们的赎金要求在预计的谈判时间内得不到满足,Everest就会将受害者公司网络的访问权卖给其他黑客。
这种做法给受损实体带来了额外的麻烦,因为它们现在必须同时应对多个感染和重复攻击。
NCC 集团的报告评论道:“虽然把勒索软件当作商品售卖这一模式在过去一年中大受欢迎,但一个组织放弃勒索请求并提供IT基础设施访问权,这是一个罕见的例子——但我们可能会在2022年及以后看到模仿行为。”。
预计在12月和未来几个月内,另一个趋势是利用Log4Shell漏洞部署勒索软件有效载荷。
Conti已经致力于开发基于Log4Shell漏洞的感染链,并可能利用它对易受攻击的网络执行攻击。
勒索软件是一种不断变化的威胁,它会迅速演变为新的攻击,因此需要采取一些安全预防措施来充分防范它。
2021年12月22日 星期三
今日资讯速览:
1、谷歌开源洞察团队详解Apache Log4j漏洞造成的广泛影响
2、Log4j2漏洞后果首现!比利时国防部成为第一个备受瞩目的政府机构受害者
3、英国政府欲通过PSTI法案 以增强联网设备的安全性
1、谷歌开源洞察团队详解Apache Log4j漏洞造成的广泛影响
上周五,谷歌开源洞察团队在官方安全博客上发表了一篇文章,详细介绍了 Apache Log4j 漏洞对行业造成的广泛影响。James Wetter 和 Nicky Ringland 指出,超过 35000 个 Java 包、占总数 8% 以上的 Maven 中央存储库,尤其让我们对其留下的隐患感到担忧。
(来自:Google Security Blog)
据悉,这些漏洞允许攻击者利用 Log4j 日志库已被广为人知的不安全 JNDI 查找功能来执行远程代码。糟糕的是,这项功能在许多版本中都被默认启用。
自 12 月 9 日披露以来,Log4j 漏洞因其严重性和广泛影响,而引起了信息安全生态系统的高度关注。毕竟作为一款流行的日志工具,它已被数以万计的软件包(Java 里的 Artifacts)和项目所使用。
由于用户对 Log4j 的传递依赖项缺乏足够的远见,这不仅使得我们很难确定零日漏洞的影响范围、相关修复工作也变得相当困难。
期间,Google 开源洞察团队调查了 Maven 中央存储库中的 Java 工件的所有版本,最终将范围缩小到了基于 JVM 语言的开源生态系统,同时密切追踪事态的发展。
截至 2021 年 12 月 16 日,该团队发现来自 Maven Central 的 35863 个可用 Java 工件,有依赖于受影响的 log4j 代码。
这意味着,仅 Maven Central 平台上超过 8% 的软件包,都至少有一个版本受此漏洞的影响。
若放眼整个生态系统,漏洞威力更是不容小觑(Maven Central 的平均影响为 2% / 中位数低于 0.1%)。
直接受影响的依赖项,约占这部分工件中的 7000 个,意味着它们的任何版本都被 Log4j-core 或 Log4j-api 所波及(完整列表可见 CVE 漏洞披露公告)。
此外大多数受影响的工件,都来自间接的依赖项,即它们是作为传递依赖项而被牵扯进来的。
至于当前开源 JVM 生态系统的修复进展,若工件中至少有一个版本受到了影响,且发布了一个不受漏洞波及的更稳定版本,谷歌开源洞察团队就将之视作已修复。
比如受 Log4j 漏洞影响的工件已更新到 2.16.0、或完全剔除了对 Log4j 的依赖。庆幸的是,Log4j 维护者和更广泛的开源社区对此问题的响应是相当迅速的,并且付出了切实的巨大努力。
截止博客发表时,团队统计到了将近 5000 个已被修复的项目。至于剩余的那 30000 个工件,其中许多依赖于另一个工件。在传递依赖被修复前,暂时只有一刀切来阻止。
对于 Java 生态系统来说,修复难度主要体现在工件的互相连接。首先,依赖链越深,漏洞修复所需的步骤就越繁杂(超过 80% 软件包的深度都超过了一级)。
其次,依赖算法和需求规范中的生态系统级选择约定,也为事件埋下了较大的伏笔。在 Java 生态系统中,开发者的通常做法是指定软件版本方面的“软”要求(假设没有其它版本的相同包出现在依赖关系图中)。
此类修复通常需要维护人员采取更加明确的行动,以将依赖需求更新为修补后的版本。这种做法与其它生态系统形成了鲜明的对比,例如在 npm 软件包上,开发者通常会为依赖项指定敞开的范围。
最后,对于整个生态系统需要耗费多少时间来完成漏洞修复,目前也很难评估。在查看了所有公开披露的影响 Maven 包的关键建议中,我们发现只有不到一半(48%)得到了修复。
不过在 Log4j 方面,事情还算是相当积极的。不到一周后,就有 4620 个受影响的工件(约 13%)得到了修复。剩下的工作,仍需全球开源维护者、信息安全团队和广大用户付出巨大的努力。
2、Log4j2漏洞后果首现!比利时国防部成为第一个备受瞩目的政府机构受害者
据多个媒体报道称,比利时国防部网络最近受到不明攻击者的成功攻击,攻击者利用Apache日志库log4j的巨大漏洞实施攻击,该漏洞已成为一个全球安全问题。比利时国防部发言人奥利维尔·塞维林 (Olivier Séverin) 当地时间12月20日对比利时《标准报》说,国防部上周四发现其计算机网络受到攻击,该部已采取措施隔离受影响的网络区域。并且证实这次攻击是成功利用了log4j2的漏洞。比利时政府暂未将此次袭击归咎于任何团体或民族国家。
发言人说介绍军队一直在努力应对重大网络攻击的后果,部分计算机网络暂时无法使用,处于瘫痪状态。例如,邮件系统已经停机了好几天。计算机攻击是在上周才发现的,也是Log4j2软件安全漏洞披露之后发生的。目前尚不清楚谁是此次计算机攻击的幕后黑手。
“整个周末,我们的团队都被动员起来控制问题,继续我们的活动并警告我们的合作伙伴,”塞维林说。“当务之急是保持网络运行。我们将继续监测情况。”
上周,由于log4j2使用的广泛性,这个漏洞的影响无比严重。已经有关于这一问题的警告。问题仍然是为什么国防部仍然会成为网络攻击失陷的受害者。“现阶段,国防部不会提供任何进一步的信息,”塞维林说。
国防部当地时间周一在Facebook上发帖称,”由于技术问题,我们无法通过军方处理你们的请求,也无法通过Facebook回答你们的询问。”我们正在制定解决方案,感谢你们的理解。”
12月13日,来自27个欧盟国家的网络安全响应团队举行了虚拟会议,讨论该漏洞,并将监测努力升级为警报模式。来自欧盟国家的事故响应单位主席Gorazd Bozic曾表示,如果发生严重的漏洞,应急响应网络可能进入应急模式。就比利时国防部遇袭一事,Bozic没有立即回应置评的请求。
《国会山》联系了比利时国防部和比利时国防部长Ludivine Dedonder的发言人,请他们发表评论。
世界各地的网络安全专家都在争先恐后地修补log4j漏洞,以免它被利用。鉴于Log4j2在公共和私营部门流行的许多企业软件中无处不在,这肯定不是最后一个被攻陷的政府机构。
微软和网络安全集团Mandiant上周都报告称,发现有政府背景的黑客利用该漏洞攻击目标组织,其中包括朝鲜和伊朗的组织。
据以色列网络安全解决方案提供商 Check Point Software Technologies 称,一群与伊朗政权有关的黑客称为Charming Kitten或 APT 35,利用 Log4j2中的漏洞对以色列的七个目标发起攻击,包括政府网站。
美国政府也采取了行动,网络安全与基础设施安全局(CISA)上周发布了一项紧急指令,要求联邦机构立即为其系统打补丁,防范log4j2漏洞。
“log4j2漏洞对联邦网络安全构成了不可接受的风险,”CISA局长珍·伊斯特利(Jen Easterly)上周在一份声明中说。 “为了推动联邦民间机构 采取行动 现在就对其网络进行 保护,应首先关注最具直接风险的面向互联网设备。”
3、英国政府欲通过PSTI法案 以增强联网设备的安全性
本周一,英国政府向议会提交了一份专注于产品安全与电信基础设施的新法案(简称 PSTI),旨在加强智能手机 / 电视 / 扬声器 / 玩具等联网设备的安全性。若顺利通过,新法案将禁止预设通用的默认密码、强制企业向客户公开其安全漏洞解决方案、以及建立一套更好的设备漏洞公告系统。
截图(来自:GOV.UK)
媒体、数据和数字基础设施部长朱莉娅·洛佩兹(Julia Lopez)评论道:
每天都有黑客试图闯入人们的智能设备,但多数人总认为待售的产品是安全可靠的。然而现实并非如此,我们之中有许多人都面临着欺诈和盗窃等威胁风险。
庆幸的是,PSTI 法案将涵盖从电话、恒温器、洗碗机,到婴儿监视器、智能门铃、防火墙配置等日常科技产品,且会对违反严格的新安全标准的人处以巨额罚款。
此外《产品安全与电信基础设施法案》将允许宽带 / 移动网络运营商升级和分享基础设施,意味着客户能够更加轻松地获取快速、可靠的连接。
通过这项立法,不同企业可分享其基础设施,而无需再通过漫长的流程来搞定每一地块的法律纠纷。
随着联网设备采用率的激增,PSTI 有望在未来十年发挥重要作用。虽然目前英国家庭平均只有 9 台联网设备,但到 2030 年的时候,预计全球联网设备总数可达到 500 亿。
2021年12月21日 星期二
今日资讯速览:
1、国家计算机病毒应急处理中心监测发现十七款违法移动应用
2、英国国家打击犯罪局向HIBP披露5.85亿个被泄露的密码
3、CPU上为什么没有标记序列号?这是为了保护你
1、国家计算机病毒应急处理中心监测发现十七款违法移动应用
国家计算机病毒应急处理中心近期通过互联网监测发现17款移动应用存在隐私不合规行为,违反网络安全法、个人信息保护法相关规定,涉嫌超范围采集个人隐私信息。
1、未向用户明示申请的全部隐私权限,涉嫌隐私不合规。涉及15款App如下:
《哈啰出行》(版本6.4.5,360手机助手)、《开卷》(版本3.3.2,360手机助手)、《和讯财道》(版本3.1.6,360手机助手)、《嘀一巴士》(版本3.9.5,360手机助手)、《驾考驾照准点学车》(版本2.65,OPPO软件商店)、《小雨农智》(版本3.5.2,OPPO软件商店)、《微师》(版本2.3.4,vivo应用商店)、《基金从业资格考试题库》(版本4.3,vivo应用商店)、《普象网》(版本2.3.1,百度手机助手)、《帮帮洗衣》(版本0.3.3,华为应用市场)、《易购》(版本11.7.0512,乐商店)、《倒数纪念日》(版本2.0.5,乐商店)、《亿通行》(版本5.0.4,豌豆荚)、《洋老板》(版本5.4.5,豌豆荚)、《花漾搜索》(版本4.0.9,应用宝)。
2、App向第三方提供个人信息未做匿名化处理,涉嫌隐私不合规。涉及3款App如下:
《哈啰出行》(版本6.4.5,360手机助手)、《58同城》(版本10.24.2,乐商店)、《易购》(版本11.7.0512,乐商店)。
3、App在征得用户同意前就开始收集个人信息,涉嫌隐私不合规。涉及3款App如下:
《中原直销银行》(版本3.0.7,乐商店)、《驾考驾照准点学车》(版本2.65,OPPO软件商店)、《帮帮洗衣》(版本0.3.3,华为应用市场)。
4、未提供有效的更正、删除个人信息及注销用户账号功能,或注销用户账号设置不合理条件,涉嫌隐私不合规。涉及6款App如下:
《嘀一巴士》(版本3.9.5,360手机助手)、《驾考驾照准点学车》(版本2.65,OPPO软件商店)、《小雨农智》(版本3.5.2,OPPO软件商店)、《微师》(版本2.3.4,vivo应用商店)、《帮帮洗衣》(版本0.3.3,华为应用市场)、《倒数纪念日》(版本2.0.5,乐商店)。
5、未建立并公布个人信息安全投诉、举报渠道,或超过承诺处理回复时限,涉嫌隐私不合规。涉及2款App如下:
《基金从业资格考试题库》(版本4.3,vivo应用商店)、《倒数纪念日》(版本2.0.5,乐商店)。
针对上述情况,国家计算机病毒应急处理中心提醒广大手机用户首先谨慎下载使用以上违法、违规移动App,同时要注意认真阅读App的用户协议和隐私政策说明,不随意开放和同意不必要的隐私权限,不随意输入个人隐私信息,定期维护和清理相关数据,避免个人隐私信息被泄露。
2、英国国家打击犯罪局向HIBP披露5.85亿个被泄露的密码
和 Have I Been Pwned(一个索引安全漏洞数据的网站,简称 HIBP)共同展开的调查后,英国国家打击犯罪局(NCA)披露了超过 5.85 亿个被泄露的密码。在今年 5 月美国联邦调查局(FBI)展开和 HIBP 的类似合作之后,NCA 成为第二个正式向 HIBP 提供黑客密码的执法机构。
HIBP 创建者特洛伊·亨特(Troy Hunt)在今天的一篇博文中说,NCA 发现的 2.25 亿个被入侵的密码是新的和独特的。这些密码已经被添加到 HIBP 网站的一个名为 Pwned Passwords 的部分。该部分允许公司和系统管理员检查并查看他们当前的密码是否在黑客攻击中被泄露,以及它们是否有可能成为威胁者在暴力攻击和密码喷涂攻击中使用的公共名单的一部分。
目前,HIBP Pwned Passwords 集合包括 55 亿个条目,其中有 8.47 亿个是唯一的。所有这些密码都可以免费下载,因此公司可以在本地对照数据集检查他们的密码,而无需连接到 Hunt 的服务。
在 Hunt 分享的一份声明中,NCA说它在英国云存储设施的一个账户中发现了被泄露的密码,与电子邮件账户配对。NCA 告诉 Hunt:"通过分析,很明显,这些凭证是已知和未知的被破坏的数据集的积累"。
3、CPU上为什么没有标记序列号?这是为了保护你
我们都知道CPU和显卡直接决定主机的性能,但是你对于CPU的了解可能没有显卡那么多,因为你连你的CPU序列号是多少都不知道。好了不开玩笑,今天我们的问题就是:为什么CPU上没有序列号呢?
序列号指的是Serial Number,也就是SN码,包括主板、显卡,甚至散热器上都会有一个标签进行标明,这是硬件的唯一识别码,但是在主流的CPU上,我们却看不到SN码,这是为什么呢?
序列号内包含了很多信息,而厂商通过序列号就能判断出产品的生产日期,产品批次,生产工厂甚至流水线号。当硬件出现问题时,就可以根据其制造信息去反推可能出现问题的地方,同时发现存在同样问题的同批次产品。
CPU包装盒上左下角就是序列号
那么CPU有序列号吗?答案是有的,在CPU的包装盒上,就可以看到序列号在内的一系列编码,一方面是方便产品追溯,同时也是提供保修的需求。
那么为什么CPU上不印SN码呢?这更多地是出于保护用户的隐私。
AIDA64读取到的CPU信息
早期在奔腾3处理器上曾经出现过PSN(Processor Serial Number),也就是处理器的序列号,但是因为CPU和个人电脑是高度绑定的,此举可能严重泄漏个人隐私,且一般用户都无法防范,所以从奔腾4开始就不再在CPU上印制SN码了。
CPU-Z读取到的信息
同样地,我们也无法通过系统读取到CPU的序列号,不管是CPU-Z还是AIDA64,都只能读到CPU的型号,步进以及修订编号,这也就意味着我们使用的软件是无法读取到这一信息的。
不开放CPU的SN码真的是在保护你的隐私?因为CPU基本上可以算一台设备的核心,所以其SN码就可以被当做用户的唯一识别码,一旦将用户和计算机分别对应,很容易就会出现隐私泄露。
不给权限就别用!
看看目前的手机app乱象就知道,一旦给予了软件的电话权限,它就能识别机主的信息,加上多个app共享信息,用户画像就描绘出来了,这就是为什么你和家人聊一句火锅,手机上马上就能给你推送相关的广告。
2021年12月20日 星期一
今日资讯速览:
1、谷歌安全研究员直呼复杂 | iMessage 零点击漏洞利用细节公开
2、美国和澳大利亚签订CLOUD法案协议
3、Log4j漏洞威胁升级:非联网本地系统也存在被攻击风险
1、谷歌安全研究员直呼复杂 | iMessage 零点击漏洞利用细节公开
2021年9月中旬,苹果发布紧急更新,推出适用于iPhone、iPad的iOS14.8,以及适用于Apple Watch和macOS的补丁,用于修补一个零点击漏洞(CVE-2021-30860)。这是Citizen Lab 团队发现的针对 iMessage 的零点击漏洞ForcedEntry,能绕过Apple的BlastDoor,并用于NSO公司开发的Pegasus间谍软件,实施监视活动。
近日,Google Project Zero 发布了关于一个在野ForcedEntry漏洞利用的详细分析,并感慨称这是他们见过最复杂的漏洞利用之一。
令人头疼的NSO
安全从业者很少有人不知道NSO组织的大名,作为知名的以色列黑客方案供应商,其”飞马(Pegasus)”间谍软件被诸多国外政府机构购买并用于窃听。近些年来,也有诸多与NSO有关的攻击活动曝光,iOS设备常常成为被攻击的目标。不过,最近倒是有新闻报道,迫于财务和诉讼的压力,NSO正在考虑中止运营Pegasus。
在分析的文章中,研究人员称,这个在野利用前所未见,也反映出NSO这种组织所具备的实力已经与一些国家政府支持的精英团队的实力不分伯仲。
一次点击 vs. 零点击
在早期的攻击案例中,攻击者还需要攻击者点击链接或者做出其他交互动作之后才能实现入侵,也就是说要使用 one-click 漏洞利用方式,例如常见的钓鱼短信等:
而利用NSO的零点击技术发起的攻击,则防不胜防:即使被攻击的目标有防范意识,不会点击钓鱼链接,也会在不知不觉中受到攻击。这也就是零点击攻击的特点:攻击者连网络钓鱼信息都不用发,就能让exploit在后台暗中运行。除非受害者不再使用手上的设备,否则就无法避开……
漏洞背景与利用
Pegasus 攻击 iPhone 的切入点是 iMessage。这意味着只需知道电话号码或 AppleID 用户名即可锁定受害者。iMessage 本就支持对 GIF 图像,GIF 体积小且画质低。在 iMessage 聊天中发送和接收 的GIF可以直接显示在聊天窗口中。苹果公司想让这些 GIF 无休止地循环而不是只播放一次,因此在iMessage 解析和处理的早期(在收到消息之后但在消息显示之前),iMessage 会在IMTranscoderAgent 进程中调用以下方法 (在“BlastDoor”沙箱之外),将收到的扩展名为.gif 的图像文件传递出去:
[IMGIFUtils copyGifFromPath:toDestinationPath:error]
通过选择器名称可以看出,这么做可能只是在编辑循环计数字段之前复制GIF文件,但是这种方法的语义是不同的。在后台,它使用 CoreGraphics API 将源图像渲染 为目标路径上的新 GIF 文件。但是,就算源文件名必须以.gif结尾,也并不意味着它真的是一个 GIF 文件。这也就是问题所在。
ImageIO 库用于猜测源文件的正确格式并对其进行解析,完全忽略了文件扩展名。使用这种“假 gif”技巧,攻击者就能让 20 多个图像编解码器变成 iMessage 零点击攻击链的一部分,包括一些非常晦涩和复杂的格式,同时可能因此远程暴露数十万行代码。
不过,苹果公司表示,他们从 iOS 14.8.1(2021 年 10 月 26 日)开始限制了 IMTranscoderAgent 可访问的 ImageIO 格式,并从 iOS 15.0(2021 年 9 月 20 日)开始完全删除了 IMTranscoderAgent 中的 GIF 代码路径。GIF 解码将完全在 BlastDoor 沙箱内进行。
NSO 正是钻了“假GIF”这个空子, 对 CoreGraphics PDF 解析器中的漏洞进行了利用。
在 1990 年代后期,带宽和存储空间比现在稀缺得多,因此,JBIG2 标准应运而生。JBIG2 是一种特定领域的图像编解码器,专用于压缩像素只能为黑色或白色的图像。
它的开发目的是高效压缩文本文件扫描结果,并在高端办公扫描仪/打印机设备(如下所示的 XEROX WorkCenter)中实施和使用。如果在十年前使用此类设备的扫描到 PDF功能,那么 PDF 中可能就包含 JBIG2。
这些扫描仪生成的PDF文件特别小,可能只有几千字节。JBIG2使用了两种新技术来实现这些超高的压缩率,并且这些技术都与本文介绍的漏洞有关。
分割和替换
JBIG2会将每页文本文件分割成字形,然后使用简单的模式匹配来匹配看起来一样的字形;然后将所有相似的字形替换为一个字形的副本。最终生成的文档,不仅内容很容易辨认,而且压缩率也很高。这种方法带来的问题就是,有些功能差的编码器会将相似的字符弄混,导致出错。
精细化编码
JBIG2还能通过存储(和压缩)替换字形和每个原始字形之间的差异来实现压缩。可以分步骤、精细化编码,最终实现可控的压缩结果。
利用位图上的异或算子计算差分图像
JBIG2格式是由一系列的段组成的。CoreGraphics JBIG2解析器支持19种不同的段类型,包括定义新页面、解码Huffman表或将位图渲染到页面上给定的坐标处等操作。
ForcedEntry 漏洞就作为一个典型的整数溢出漏洞,出现在对引用的段进行排序的代码中:
通过一系列代码操作,造成溢出之后,攻击者可以使用一系列JBIG2段命令,实现应用于页面的一系列逻辑位操作。此外,由于页面缓冲区是无界的,所以,这些位操作可以在任意内存上进行。
只要有AND、OR、XOR和XNOR逻辑运算符,就可以实现任何可计算的函数,最终形成一个通用逻辑门,用来构建相应的电路去实现任何可计算的函数。
尽管JBIG2不具备脚本功能,但当它与漏洞结合时,它确实能够模拟在任意内存上运行的任意逻辑门电路。这相当于在一个不支持脚本的环境下实现了一个图灵完备的“计算机”,创造了一个可编程的环境。这也是这个exploit的实际利用情况。攻击者使用了70,000多个段命令来定义各种逻辑位操作,并在此基础之上定义了一个小型计算机架构,实现了寄存器和完整的64位加法器和比较器等功能,用于搜索内存和执行算术运算。
总结来说,通过将“上古”计算机时代专门用于压缩二值化(黑白图像)的JBIG2扫描件的过程中的逻辑运算变成逻辑门电路而创建一个模拟的编程环境,这个漏洞实现了利用。这个过程,着实不可思议,毕竟最开始,只是一个图片渲染库的“整数溢出漏洞”而已。
关于漏洞利用的更详细解析及后续内容,可以关注
https://googleprojectzero.blogspot.com/2021/12/a-deep-dive-into-nso-zero-click.html
2、美国和澳大利亚签订CLOUD法案协议
美国已与澳大利亚签订协议,共享电子数据,以便利对严重犯罪的调查。
属于严重类别的犯罪包括恐怖主义,勒索软件攻击和对儿童的性虐待。
这项具有里程碑意义的协议得到了国会于 2018 年通过的 "澄清合法海外使用数据(CLOUD)法案" 的授权。
在周三发布的一份声明中,司法部公共事务办公室表示,该协议将为法治,隐私和公民自由提供强有力的保护,同时帮助警方更快,更有效地获得所需的数据。
"CLOUD 法案协议将有助于确保澳大利亚和美国执法机构能够及时访问电子数据,以防止,检测,调查和起诉严重犯罪,包括儿童性虐待,勒索软件攻击,恐怖主义以及通过互联网破坏关键基础设施," 该办公室表示。
随着新的数据共享协议的到位,每个国家的当局将能够更有效地从在对方管辖范围内运营的通信服务提供商那里获得 "某些电子数据"。
"这项协议为美国和澳大利亚之间更有效的跨境数据传输铺平了道路,以便我们的政府能够更有效地打击包括恐怖主义在内的严重犯罪,同时坚持我们共同的隐私和公民自由价值观," 美国司法部长梅里克加兰说。
加兰和澳大利亚内政部长凯伦・安德鲁斯(Karen Andrews)表示,该协议将加强两国执法机构之间的合作,并有助于在不侵犯任何一国的价值观,原则和主权的情况下保持两国社区的安全。
"正如我们在" 铁边行动 "(在美国被称为" 特洛伊盾牌行动 ")中看到的那样,澳大利亚联邦警察和联邦调查局已经能够使用复杂的数字技术粉碎严重的有组织犯罪网络," 安德鲁斯说。
她补充说:" 通过加强两国打击犯罪的能力,并让我们的执法机构更有效地获取证据,我们正在确保我们公民的安全,保障和繁荣。
CLOUD 法案协议现在将在两国进行议会和国会审查程序。
————————————————
原文作者:全球网络安全资讯
转自链接:https://www.wangan.com/p/7fy7470c56405e49
版权声明:著作权归作者所有。商业转载请联系作者获得授权,非商业转载请保留以上作者信息和原文链接。
3、Log4j漏洞威胁升级:非联网本地系统也存在被攻击风险
在过去的一周时间里,对于 IT 管理员来说无疑是非常忙碌的,他们正在争分夺秒地应对影响世界各地系统的 Log4j 漏洞。随着安全专家不断发现日志工具中的更多漏洞,IT 管理员不知疲倦地工作,以确定和关闭任何可能使漏洞被利用的潜在访问。不幸的是,一个新发现的载体已经证明,即使是没有互联网连接的孤立系统也可能有同样的脆弱性,这使已经很严重的问题进一步复杂化。
Blumira 公司的研究人员提供了更多坏消息。虽然以前的发现表明,受影响的系统需要某种类型的网络或互联网连接,但这家安全公司最近的发现,作为本地主机运行、没有外部连接的服务也可以被利用。这一发现为研究人员指出了更多的使用案例,概述了破坏运行 Log4j 的未打补丁资产的其他方法。
Blumira 首席技术官 Matthew Warner 的一篇技术文章概述了恶意行为者如何影响脆弱的本地机器。Warner 说,WebSockets 是允许网络浏览器和网络应用程序之间快速、高效通信的工具,可以用来向没有互联网连接的脆弱应用程序和服务器提供有效载荷。这种特定的攻击媒介意味着,只要攻击者利用现有的 WebSocket 发送恶意请求,就可以破坏未连接但脆弱的资产。Warner 的帖子详细介绍了恶意行为者发起基于 WebSocket 的攻击的具体步骤。
Warner 指出,有可用的方法,组织可以用来检测任何现有的Log4j漏洞。
1. 运行 Windows PoSh 或者 cross platform,旨在识别本地环境中使用Log4j的地方
2. 寻找任何被用作"cmd.exe/powershell.exe"的父进程的.*/java.exe实例
3. 确保你的组织被设置为检测Cobalt Strike、TrickBot和相关常见攻击工具的存在。
受影响的组织可以将其 Log4j 实例更新到 Log4j 2.16,以缓解该工具的漏洞。这包括任何组织可能已经应用了以前的补救措施,即2.15版,该版本后来被发现包括其自身的一系列相关漏洞。
2021年12月17日 星期五
今日资讯速览:
1、法国隐私监管机构向Clearview AI下达删除数据的命令
2、今年全球加密货币诈骗造成损失达77亿美元,飙升81%
3、Meta公司提醒5万名用户:他们已成为“雇佣监视”公司的目标
1、法国隐私监管机构向Clearview AI下达删除数据的命令
有争议的面部识别公司Clearview AI通过从互联网上搜罗自拍照片,积累了一个约100亿张图片的数据库,以便向执法部门出售身份匹配服务,今天,该公司再次被勒令删除人们的数据。法国的隐私监督机构CNIL今天说,这是因为Clearview违反了欧洲的《通用数据保护条例》(GDPR)。
在一份关于违规调查结果的公告中,CNIL还向Clearview发出正式通知,要求其停止"非法处理",并称其必须在两个月内删除用户数据。
该监督机构是根据2020年5月以来收到的对Clearview的投诉采取行动的。
这家美国公司在欧盟没有建立分公司,这意味着它的业务可以在欧盟范围内被任何成员国的数据保护监督机构采取监管行动。因此,虽然CNIL的命令只适用于它所持有的来自法国领土的人的数据--CNIL估计这涵盖了少数的互联网用户--但其他欧盟机构可能会发出更多这样的命令。
CNIL指出,它已经寻求与其他机构合作,分享其调查结果--这表明Clearview可能会面临其他欧盟成员国和欧洲经济区国家当局的进一步命令,停止处理数据,这些国家已将GDPR纳入国家法律(总共约30个国家)。
今年,Clearview的服务已经被裁定违反了加拿大、澳大利亚和英国的隐私规则(英国在英国脱欧后位于欧盟之外,但目前在国家法律中保留了GDPR)--它在那里同样面临着潜在的罚款,并在上个月被命令删除用户数据。
法国CNIL发现,Clearview有两项违反GDPR的行为--在没有法律依据的情况下收集和使用生物识别数据,违反了第6条(处理的合法性);以及违反了第12、15和17条规定的各种数据访问权利。
违反第6条是因为Clearview没有获得人们的同意来使用他们的面部生物识别技术,也不能依靠合法利益的法律依据来收集和使用这些数据--鉴于CNIL所描述的大规模和"特别侵入性"的处理。
CNIL写道:"这些人的照片或视频可以在各种网站和社交网络上看到,他们不会合理地期望他们的图像被[Clearview AI]处理,以提供一个可以被国家使用的面部识别系统,[例如用于]警察目的……"。监管机构还收到了来自个人的投诉,说他们在试图获得GDPR数据访问权时遇到了一些"困难"。
在这里,CNIL发现Clearview在很多方面都违反了规定--比如在"没有理由"的情况下,将个人的数据访问权限制在一年两次;或者将其限制在过去12个月内收集的数据;或者在"同一人提出过多的请求"后才对某些请求作出回应。
Clearview AI已被勒令确保其保护数据主体的权利,包括遵守删除人们数据的请求。
如果该公司不遵守法国的命令,CNIL警告说,它可能会面临进一步的监管行动--这将包括高额罚款的可能性。根据GDPR,监管机构可以发出高达2000万欧元的罚款,或高达公司全球年收入的4%,以较高者为准。然而,对没有欧盟公司的跨国企业如何执行罚款确实是一个监管挑战。
2、今年全球加密货币诈骗造成损失达77亿美元,飙升81%
区块链数据平台Chainalysis周四表示,今年全球加密货币诈骗使投资者损失了77亿美元,较2020年飙升81%,其中最突出的是一种被称为“拉地毯”(rug pull)的新骗局。Chainalysis表示:“作为基于加密货币的最大形式的犯罪,一种专门针对新用户的犯罪,诈骗对加密货币的持续采用构成了最大的威胁之一。”
今年的损失激增在一定程度上是由于“拉地毯”骗局的出现,让很多加密货币项目的投资者血本无归。
Chainalysis表示,这已经成为去中心化金融(DeFi)生态系统中的“首选”骗局。在这种骗局中,加密货币项目(通常是一个新的代币)的开发者中途毫无征兆地放弃项目,卷走投资者的资金,这是该领域一个典型的退出骗局。
“拉地毯”骗局造成的损失达到28亿美元,占了今年加密货币骗局损失总额的37%,而2020年这一比例仅为1%。
不过,今年最大的“拉地毯”骗局并非始于DeFi项目。土耳其加密货币交易所Thodex的首席执行官在该交易所暂停用户提款后不久就失踪了,用户损失了超过20亿美元的加密货币。
第二大“拉地毯”骗局是AnubisDAO,价值超过5800万美元的加密货币被盗。
3、Meta公司提醒5万名用户:他们已成为“雇佣监视”公司的目标
2021年12月16日 星期四
今日资讯速览:
1、开源软件对世界如此重要!欧盟将推动开源软件发展并开源其私有软件
2、小鹏汽车回应“非法收集人脸数据被罚10万”:误购第三方设备 数据已删除
3、窃取信息恶意软件 TinyNuke 再次攻击法国用户
1、开源软件对世界如此重要!欧盟将推动开源软件发展并开源其私有软件
话说欧盟推动开源软件的发展是有目共睹的,此前欧盟拿出不少公共资金帮助开源软件寻找并修复潜在安全漏洞。
如此做的原因是欧盟本身使用大量开源软件并从开源软件里节省公共资金,因此欧盟决定继续推动开源事业发展。
欧盟委员会宣布已经采纳有关开源软件的新规则,而欧盟自己将在新的开源软件规则下将部分私有软件逐渐开源。
例如率先被开源的是欧盟电子签名系统和用于起草法律文书的立法编辑开放软件,这些软件现在都已经进行开源。
开源软件对世界如此重要!欧盟将推动开源软件发展并开源其私有软件
欧委会预算专员表示:
开源可以让欧盟在其发挥主导作用的领域提供巨大优势,而新规则有助于提高公共资金和私有软件开发的透明度。
这可以帮助欧洲委员会及其机构和欧洲各地的公民、企业以及公共服务机构等从开源软件的开发过程中获得好处。
通过共同努力改进软件和打造新功能可以有效降低社会运行成本,最终让每个人都受益于其他开发者提交的改进。
此外开源还有助于增强安全性,因为外部人员和独立安全专家都可以自由参与软件开发并从中找出潜在安全问题。
目前已经开源的电子签名系统作为免费标准、工具和服务,可以加速在欧盟内部创建和使用合法有效的电子签名。
欧盟和成员国的开源事业:
值得注意的是在欧盟宣布该政策前德国已经率先作出表率,德国政府宣布将推动公共资金和公共代码的概念采用。
部分德国地方政府也在积极将付费私有化软件替换为开源软件,尽管此前慕尼黑政府采用开源软件时曾遇到困难。
更早的时候欧盟通过公共资金拿出约合人民币668万元作为奖金,吸引研究机构和安全专家寻找开源软件的漏洞。
例如被广泛使用的开源播放器VLC就从该计划中受益,当时VLC被发现13个安全漏洞欧盟发放 1.3 万美元的奖励。
其他受资助寻找漏洞的开源软件还包括PuTTY,FileZilla,7-Zip,KeePass,Apache Tomcat 以及Drupal等等。
2、小鹏汽车回应“非法收集人脸数据被罚10万”:误购第三方设备 数据已删除
【TechWeb】近日,小鹏汽车被徐汇区市场监督管理局罚款10万元一事登上热搜。
处罚事由为,当事人购买具有人脸识别功能的摄像设备22台安装在旗下门店,以此统计进店人数并分析男女比例、年龄等;今年1月至6月,共采集上传人脸照片431623张。该行为未经得消费者同意,也无明示、告知消费者收集、使用目的,违反消费者权益保护法。
12月14日下午,TechWeb获悉小鹏汽车对此事件的正面回应。
小鹏汽车表示,此事出于上海区域的门店希望通过对于门店客流等数据的收集与分析,改善接待流程,更好的服务于到店客户,但由于对相关法律条款的不熟悉,误采购并使用了违反了相关法律条款的第三方供应商(悠洛客)的产品。
小鹏汽车对本次行政处罚表示完全服从,并对此事做出深刻反省。
目前,小鹏汽车的上海门店已在3月18日上海市监局检查之前,就通过内自查自纠工作主动撤下了所有的采集设备。且已将人脸数据由第三方软件提供商收集和分析,数据已经全部删除。小鹏汽车不存在泄露或违法使用个人信息的情况,仅通过客流到访量等非个人关联的数字数据作为经营状况的参考。
小鹏汽车表示,将严格遵守国家关于消费者个人信息保护的各项规定,确保维护客户的合法权益不受侵害。我司对因此事件给公众和客户造成的困扰深表歉意。诚信合法经营是我司一直秉承的经营基石,我们将以实际行动规范经营行为,完善客户体验,为消费者提供安全、周到的服务。
3、窃取信息恶意软件 TinyNuke 再次攻击法国用户
窃取信息的恶意软件TinyNuke在一项针对法国用户的新攻击中重新出现,该攻击向企业和从事制造、技术、建筑和商业服务的个人发送账单陷阱的电子邮件。 此攻击的目标是窃取凭据和其他私人信息,并在受损系统上安装额外的有效负载。
TinyNuke 的重新出现
TinyNuke恶意软件活动最早出现在2017年,在2018年活动最为频繁,然后在2019年大量减少活动,在2020年几乎消失。 在2021再次发现恶意软件部署的新攻击令人惊讶,但并非完全出乎意料。
Proofpoint一直关注这些活动,根据其研究人员的说法,这种重新出现通过两类不同的活动表现出来,分别是C2基础设施有效载荷和陷阱诱惑。 这也可能表明恶意软件由两个不同的攻击者使用,一个与TinyNuke最初的操作者相关,另一个与通常使用商业工具的操作者相关。
最后,TinyNuke与2018年的PyLocky分发或任何其他勒索软件感染没有相似之处。
托管在合法站点上的有效负载
攻击者通过合法的法国网站来托管有效负载URL,而可执行文件则被伪装成无害的软件。
对于C2通信,最近的攻击活动使用Tor,这与其中一个字符串“nikoumouk”使用的方法相同, 而“nikoumouk”在这些通信中使用的方法与2018年的分析中发现的俚语相同,我们可以进一步将该攻击活动与最初的攻击者联系起来。
“Proofpoint研究人员发现字符串“nikoumouk”被发送到C2服务器,但目的不明。根据信息共享合作伙伴和开源信息,攻击者在2018年以来的C2通信活动中使用了该字符串,”Proofpoint的报告解释道。
“该字符串在流行阿拉伯语中含侮辱意思,主要用于欧洲讲法语的郊区。”
在当前的攻击活动中,电子邮件包含下载ZIP文件的URL。这些ZIP文件包含一个JavaScript文件,该文件将执行PowerShell命令以下载和执行TinyNuke恶意软件。
就功能而言,TinyNuke loader可以通过Firefox、Internet Explorer和Chrome的表单抓取和web注入功能窃取凭据,还可以安装其他有效负载。
通过添加一个新的注册表项来保证持久性,如下所示:
Persistence is secured by adding a new registry key as shown below:
key: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\x00E02BC647BACE72A1\xe4\x8d\x82
data: C:\Users\[User]\AppData\Roaming\E02BC647BACE72A1\firefox.exe
Μise en garde
虽然正在进行的攻击活动使用特定的诱饵,攻击者可以更新他们的信息,以呈现新的受害者。此外,如果有新的攻击者使用TinyNuke,这可能意味着原始作者在暗网上出售它,或者它的代码可能在几年前在GitHub上发布后独立流通。不管怎样,它的部署次数可能会增加更多,针对目标部署的电子邮件诱饵的范围可能会变得非常广泛。
因此,保持警惕和避免点击嵌入式按钮是非常重要的,一旦点击嵌入式按钮,将导致网站托管恶意可执行压缩文件。由于这些站点在其他方面是合法的,您的Internet安全解决方案可能不会引起任何警告,因此需要您极端谨慎。
2021年12月15日 星期三
今日资讯速览:
1、沉痛悼念游戏开发大神毛星云
2、谷歌发布Chrome计划外更新 紧急修复CVE-2021-4102高危零日漏洞
3、供应商遭勒索攻击,南澳大利亚政府8万员工信息泄漏
1、沉痛悼念游戏开发大神毛星云
惟愿所有的“爆料”都是造谣,惟愿我们能够一起去创造并让大家都能玩到蕴藏着中国上下五千年本土文化的优质游戏大作,惟愿我们能等到你的好消息......
让人难过的是,据银柿财经报道,针对近日“网传腾讯天美员工离世”的消息,腾讯确认天美 F1 工作室员工毛星云于 12 月 11 日上午意外身故。
据腾讯发给员工的内部邮件显示,“今年 8-9 月,毛星云已经因身体原因住院休养,病情稳定后曾出院复工,继续投入工作之中,但‘没想到最终发生了如此不幸的事件’。”
一直以来,星云以“浅墨”为网络 ID,活跃于分享技术的一线,他也是一位拥有 10 年码龄的 CSDN 认证博客专家(https://qianmo.blog.csdn.net/),帮助了大量对 IT 技术有困惑的开发者们。
“90 后,热爱游戏开发、游戏引擎、计算机图形、实时渲染等技术”是他给自己的一个简单身份介绍,在他的人生信条中,「Keep Reading , Keep Writing , Keep Coding.」是一件非常快乐且愿意长期坚持的事情。
在他的 CSDN 博客主页,博客访问量 808w+、161 篇长篇原创稿件、等级:8、粉丝:3 万+......等显眼的数字,以及著有《Windows游戏编程之从零开始》、《OpenCV3编程入门》、“《Real-Time Rendering 3rd》 提炼总结”开源电子书等,都是这位无数游戏开发者领路人的宝贵心血。
回看他的最新博文,还停留 2 个月前的“绝世武功”分享:
回看他的知乎最新动态,还在有些无奈的与网友解释“尴尬的事情”:
星云的突然离世,CSDN 和所有程序员们痛失挚友,更失去了一位深受网友喜欢与爱戴的“游戏引路人”。无数网友纷纷悼念:
还记得他曾在《逐梦旅程:Windows游戏编程之从零开始》分享过(https://blog.csdn.net/poem_qianmo/article/details/12895487):
我有一个梦想,将来的某一天,大家都能玩到蕴含着中国上下五千年本土文化的优质游戏大作。
我有一个梦想,有一天,西游记能出ACT,让老外去体会中国文化西游记中”斗战胜佛”的打击快感,那一定比西方的动作巅峰之作《战神》、《鬼泣》更加深邃。
我有一个梦想,有一天,上海滩能出沙盒游戏,而不是玩《GTA》感受美国梦,亦或是玩着《热血无赖》体验国外公司强行塞给我们的“中国文化”。
我有一个梦想,有一天,不少3A大作不需要汉化,因为是我们自己的游戏,配音是中文,文化也是中国的。
我有一个梦想,将来的某一天,国产游戏能像中国的其他产业一样,以一个领跑者的姿态,面对全世界,面对全宇宙,器宇轩昂,扬眉吐气。
这会是由我们一起去完成的梦想。
我等着我们的好消息。
浅墨 2013年5月于乌克兰
而在他的坚持路途中,他也曾写道,“这句话一直写在我 C++ 笔记本的扉页上。每当我对前路迷茫的时候,就会翻开扉页,看着这段文字淡淡的笔迹发一会儿呆,然后就渐渐释然了。今天我把它留在自己的博客里,希望它也能帮助到那些迷茫的朋友们。”
浅墨大神,一路走好。
2、谷歌发布Chrome计划外更新 紧急修复CVE-2021-4102高危零日漏洞
Google 刚刚向 Windows、Mac 和 Linux 平台推送了 Chrome 浏览器的一个计划外更新,以修复正在被广泛利用的高危零日漏洞。Google 在周一的安全公告中指出,其已收到有关 CVE-2021-4102 漏洞的野外利用报告,可知问题源于 Chrome V8 JavaScript 引擎中的一个在“Use-After-Free”漏洞。
(来自:Google Blog)
Bleeping Computer 指出,UAF 是一个与程序运行过程中“不正确使用动态内存”相关的漏洞。
若在释放内存位置后,程序没有清除指向这里的指针,攻击者便可利用这一 bug 来入侵该程序,然后拿来执行任意代码、或逃脱浏览器安全沙箱的控制。
据悉,一位匿名安全研究人员向 Google 提交了这份漏洞报告。但在大多数用户都落实了更新修复程序之前,官方暂不会披露 CVE-2021-4102 漏洞的全部细节。
如果你的 Chrome 浏览器版本尚未更新到 96.0.4664.110(比如 96.0.4664.93),还请尽快点击窗口右上角的“竖直三点”按钮(┆)。然后移步“帮助 -> 关于 Google Chrome”获取更新,重启软件后即可生效。
3、供应商遭勒索攻击,南澳大利亚政府8万员工信息泄漏
12月10日,南澳大利亚州政府披露,由于外部薪资软件提供商Frontier Software的系统于上个月遭到Conti勒索软件攻击,因此州政府的数万名员工的敏感个人信息遭到泄露。
11月13日,Frontier Software公司遭到勒索攻击,据悉,此次事件的攻击者为Conti勒索团伙。11月16日,Conti曾在其数据泄露网站上列出了Frontier Software公司,但该列表目前已被删除,这可能意味着谈判已经结束。Frontier Software称,威胁并未通过其产品转移到客户端系统,数据泄露仅影响特定的分段环境。
Conti是一项长期存在的勒索软件即服务 (RaaS) ,曾针对爱尔兰卫生部发起攻击。该团伙疑似与 Emotet 僵尸网络的复兴有关,这可能会导致新一波的勒索软件感染浪潮。Conti数据泄露网站上曾列出Frontier Software公司,如下图:
根据南澳大利亚州政府的说法,已泄露的数据包括以下内容:
姓名
出生日期
税号
家庭地址
银行账户明细
就业开始日期
发薪期
报酬
预扣税款
付款类型
一次性付款类型和金额
退休金
可申报的附加福利税额
南澳大利亚州政府唯一没有受到影响的公共组织是教育部,因为该部门不使用Frontier的产品。南澳大利亚州财政部长表示,除了教师和教育部之外,南澳大利亚政府的任何雇员都可能受到影响。
州政府正采取一切可能的措施来审查其网络安全措施,以防止将来发生此类事件。研究人员建议受此事件影响的政府雇员谨慎对待收到的电子邮件、电话和短信,重置密码并在可能的情况下开启双因素身份验证。
2021年12月14日 星期二
今日资讯速览:
1、仅凭聊天频率 这个算法就能辨别谁是潜在网络违法者
2、微软发布新工具协助开发者在Edge中检测内存泄漏情况
3、以色列举行多国金融系统网络攻击防御演习
1、仅凭聊天频率 这个算法就能辨别谁是潜在网络违法者
研究者认为,借助AI,系统管理员能更好地维护网络安全和用户权益。尽管目前的AI不能进一步预测违法事件的具体类型,但它或许能抓住网络上“隐形”的违法者,更好地保护我们的安全。
随着网络的普及,网络违法事件也成为了不容忽视的社会问题。互联网消弭了潜在违法者和受害者之间的时空距离,使得人人都有客观条件违法,而人人也有被伤害的危险。中国司法大数据研究院发布的《网络犯罪特点和趋势(2016.1—2018.12)》报告指出,社交类平台,尤其是QQ、微信等已经成为虚拟犯罪的主要工具,不法分子通过它们在网络上策划、实施犯罪行为。这种过程不需要现实接触,因此非常难捕捉,给执法带来了许多困难。
近日,日本德岛大学的计算机研究者联合日本大型网络公司代理商Cyber Agent在《人类行为计算》上发表论文,他们用机器学习的方法,分析了Cyber Agent旗下一款社交类游戏的使用数据,并且在不监测聊天内容的情况下,仅基于聊天次数、聊天对象、聊天时间等基本信息,就能较为精准地识别出潜在网络违法者,并预测出违法行为的大概时间。
“疑犯追踪”的理论基础
这不是一个异想天开的想法。尽管在游戏中大家只是依靠网线交流,但我们在网上的行为也留下了海量数据,为预测网络违法行为提供了丰富的材料。
研究者基于两种传统犯罪学理论开发了这套算法:日常活动理论和社会传染理论。
日常活动理论提出,许多犯罪行为并不是随机发生的,犯罪者和被害人往往在日常活动中有交集。例如,在现实生活中,小偷在盗窃前会去目标地点踩点,并观察目标人物的行为规律;同样的,网络上的犯罪者更需要提前与“猎物”取得联系,套取信任。因此,玩家的社交活动数据中或许就藏着“犯罪预告”。
另外,社会传染理论还补充了重要的一点:违法倾向或违法行为也会传染。最常见的例子就是网络暴力。网络暴力往往来源于某种过激情绪的广泛传播:在群体的裹挟下,有的人不知不觉就失去了独立判断能力,无意间成为了网上的施暴者。有研究指出,在“目睹”群体内其他人的网络骚扰行为后,旁观者也很容易对同一名受害者发起攻击,或者尝试骚扰其他人。这样的传染行为也为预测网络违法事件提供了重要的对象和时间线索。
在这两种理论的基础上,研究者选择了是一款名叫Pigg Party的手机游戏。它主打社交功能,用户登录账号后,可以装扮虚拟的房间和个人形象,与朋友或陌生人以私聊、群聊、公聊的方式进行交流。研究人员采用擅长从复杂数据中提取特征的算法——多层非线性模型,对55万用户6个月内产生的聊天数据,包括每名用户的聊天频率、聊天时间、消息的接收者等进行了分析。
想做坏事的心逃不过AI的眼
研究者组合多种神经网络模型和算法,搭建了预测违法事件的人工智能。性能测试结果显示, AI能根据用户数据,较为准确地预测未来的违法者和受害者账户。输入用户两个月内聊天的时间、频率、对象,AI对接下来两个月内违法账户的预测准确率可以达到84.85%,对受害者账户的预测准确度也接近85%。
除了对个体账户违法或受害的风险有较好的预测能力外,只需提供一周内的用户活动数据,AI就能基本精准地预测接下来的一周网络社区里发生违法事件的时间,对小时和日期的预测准确率高达95.83%和85.71%,并且结果与预测受害给出的时间相吻合。更有趣的是,AI分析数据后预警发生违法事件的时间,并不一定处在以往发生违法事件的时间段中,可见它掌握的并不仅仅是固定的规则,还有违法者言行中的真正“逻辑”。
可进行违法预测的AI将海量、零散分布的用户日常活动记录压缩转化成可以定量分析的数据,并从中提炼、理解规律,最终形成了强大的预测能力。研究者认为,借助AI,系统管理员能更好地维护网络安全和用户权益。尽管目前的AI并且不能进一步预测违法事件的具体类型,但它或许能抓住网络上“隐形”的违法者,更好地保护我们的安全。
(据《环球科学》)
2、微软发布新工具协助开发者在Edge中检测内存泄漏情况
内存泄漏是编程中的一个常见问题,即一段代码在停止运行后没有正确地回收和取消分配内存。这在长期运行的应用程序中尤其不可取,大量的未释放内存随着时间的推移而累积,拖累系统整体性能显著下降。为了解决这个问题,微软在其Edge浏览器中公布了一个新工具,为开发者提供调试功能。
在一篇博客文章中,微软透露,其Edge DevTools套件中的Detached Elements工具可以让开发者调查文档对象模型(DOM)的泄漏。顾名思义,它将向程序员展示一个分离元素的列表以方便以进一步调查。
例如一些应用程序如Twitter在加载信息时故意附加和分离元素,一个分离元素的列表可以确保开发人员可以深入到他们自己的应用程序的细节部位,并修复有问题的DOM泄漏。
微软在这里发布了一个演示用聊天程序,展示如何通过Edge测试分离元素:
https://microsoftedge.github.io/Demos/detached-elements/
该公司的博文还包含了关于如何在这个应用程序以及真实世界的应用程序中进一步调查DOM泄漏的广泛信息,请在这里查看:
https://blogs.Windows.com/msedgedev/2021/12/09/debug-memory-leaks-detached-elements-tool-devtools/
分离元素面板从Edge 97开始提供,你可以通过Edge DevTools右上方的反馈图标向微软提交关于它的反馈。
3、以色列举行多国金融系统网络攻击防御演习
2021年12月13日 星期一
今日资讯速览:
1、加拿大税务局等机构因安全漏洞威胁暂停网上服务
2、西部数据闪迪SecureAccess 漏洞允许暴力破解和字典攻击
3、俄罗斯经济部提出公开移动通讯数据以打击犯罪
1、加拿大税务局等机构因安全漏洞威胁暂停网上服务
加拿大税务局当地时间12月11日发表声明表示,因安全漏洞的威胁,当天暂停了网上服务。声明表示,目前没有迹象表明加拿大税务局的系统遭到破坏,也没有迹象表明安全漏洞导致了纳税人的信息遭到未经授权的访问。
加拿大税务局没有说明这个安全漏洞的来源,但是最近公开了一个被广泛使用的软件工具的关键漏洞。这个软件工具在工业和政府部门中都有使用,其漏洞有可能让犯罪分子、黑客甚至编程新手轻易进入内部网络,不仅可以窃取数据,还能植入恶意软件,删除关键信息等等。
目前,税务局正在努力修补系统漏洞,网上服务也将尽快恢复。
除了税务局,加拿大福利机构也暂时关闭网上服务来应对这一威胁。
安大略省的一个公共交通管理系统在12月10日晚上关闭了其网上服务,直到11日下午才恢复。
2、西部数据闪迪SecureAccess 漏洞允许暴力破解和字典攻击
西部数据发布了其 SanDisk SecureAccess 软件的更新,以修复多个漏洞,这些漏洞可被利用来通过暴力破解和字典攻击来访问用户数据。
SanDisk SecureAccess 软件,现在更名为 SanDisk PrivateAccess,允许在 SanDisk USB 闪存驱动器上存储和保护关键和敏感文件。
对用户私人保管库的访问受个人密码保护,所有文件均自动加密。
据供应商称,SanDisk SecureAccess 3.02 版使用的是带有可预测盐的单向加密散列,这意味着该软件容易受到字典攻击。该软件还使用计算量不足的密码哈希,因此,攻击者可以暴力破解用户密码,从而导致对用户数据的未授权访问。
“SanDisk SecureAccess 3.02 使用单向加密散列和可预测的盐分,使其容易受到恶意用户的字典攻击。该软件还使用了计算量不足的密码哈希,这将允许攻击者暴力破解用户密码,从而导致对用户数据的未授权访问。” 读取咨询由 SanDisk 发布。
“上述两个密钥派生函数问题都已在 SanDisk PrivateAccess 版本 6.3.5 中得到解决。SanDisk SecureAccess 已更名为 SanDisk PrivateAccess。”
这些漏洞被追踪为 CVE-2021-36750,由研究员 Sylvain Pelissier 发现。西部数据通过发布 SanDisk PrivateAccess 版本 6.3.5 解决了这个问题。
“密钥派生函数问题已经通过使用 PBKDF2-SHA256 和随机生成的盐来解决,” 该建议继续说道。
————————————————
原文作者:全球网络安全资讯
转自链接:https://www.wangan.com/p/7fy747ec0d28d66d
版权声明:著作权归作者所有。商业转载请联系作者获得授权,非商业转载请保留以上作者信息和原文链接。
3、俄罗斯经济部提出公开移动通讯数据以打击犯罪
据俄罗斯《生意人报》报道,俄罗斯经济部提出公开用户通信连接、流量和支付信息,这样将允许运营商在征得用户同意的情况下将信息转给第三方,如银行用于信用评级或打击诈骗。目前运营商只能根据法庭裁决或以不记名形式传递信息。
提议的实质
俄经济部已经草拟并在网站上公布包含上述内容的信息法修正案。修正案规定,公开的完整信息清单及提供这些信息的规程将由政府确定。俄经济部在解释性说明中说,根据目前用户数据库管理规程规定,企业不能随意使用掌握的信息,包括提供综合服务框架内的信息。
但经济部认为,例如向银行转交其用户的数据将有助于打击诈骗犯罪。电信运营商整理出一个潜在诈骗电话号数据库,收到库中号码来电时,手机将提醒用户该号码涉嫌诈骗。此外,向银行提供电信用户与运营商结算的数据也有助于对其进行信用评级。俄经济部认为,旅游服务运营商可能也对此类数据感兴趣,如用户进入某个特定地区,如果他同意将自己的电信服务数据传递给旅游服务运营商,他就可以收到运营商合作伙伴发来的关于此地发生事件的信息或一些旅游参观建议。
俄罗斯“保密通讯信息”是指受不同法规规范的三类信息。第一类是通话或通信内容本身,受隐私权法保护;第二类是用户姓名,被视为个人数据;第三类是关于通信连接的信息,即来电来自哪里、通话持续多长时间、通信费多少等。
主要结果
Finam金融集团的杰里岑说:“数据无法传递阻碍移动商务发展。如果运营商根据法庭判决才能将用户数据传给提供服务的公司,用户就不得不每次重新填写这些数据,很不方便,有时用户可能就会因此放弃某个购买行为。运营商能自动将客户允许传递的数据传递给服务提供商就方便多了。”他说,为此必须完善法律,于是经济部提出公开某些类型的信息。
杰里岑说:“增加信息传递机会有助于我们获得更多在线服务。当然也会有些不便。毕竟运营商无法真正确定用户位置。运营商可以确定的是手机而非手机主人所在位置。如权利扩大到足够大,‘到底谁是主人——人还是他的手机’这一问题就会变得很复杂。告诉我你的IMEI码,我就能说出你是谁”。杰里岑认为,手机换个人使用,就可能出现错误及滥用的情况。杰里岑说:“当然,这些问题不太可能会大过移动服务发展所带来的好处。”
俄数字发展、通信和大众媒体部支持经济部的提议,但为排除政府发布额外法律法规的必要,提议在法案文本中确立向第三方提供用户及向其提供的通信服务信息的规程。解释说明说,新法律使用户可以经同意向第三方提供自己的数据。但法案文本却与解释说明相去甚远。它赋予政府单方面确立第三方访问用户信息(既包括话单信息,也包括用户本人信息)规则的权利。
根据2020年12月通过的规范灰色SIM卡流通的信息法修正案,各运营商所有新法人用户6月1日起必须在统一身份识别和验证系统中登记每张SIM卡的用户。为检查该要求的执行情况,俄联邦通信监管局有权索要通话、数据传输及用户相对于最近基站的位置等信息。运营商均驳斥这一规定,因为部分传输的信息涉及保密通信信息。预计他们会将所有用户话单数据传递给俄联邦通信监管局监控中心。尽管它可以要求提供的数据清单并没有变,但新版法案规定,部分信息俄联邦通信监管局只有根据法庭决议才能获取,包括用户国际识别码、向其提供服务的日期和时长以及发送和接收的数据量。俄联邦通信监管局像以前一样,仍可以在没有法庭裁定的情况下要求提供有关数据传输、通话、短信和地理位置信息。根据每日电信公司提供的资料,俄罗斯共有1100万张灰色SIM卡,但数量正逐年减少。公司总经理库斯科夫认为,买到这种SIM卡的问题不太可能会最终得到解决。
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
|
|
|---|---|
