首页
社区
课程
招聘
[推荐]【每日资讯】 | 关于Spring框架存在远程命令执行漏洞的安全公告 | 2022年4月2日 星期六
发表于: 2022-3-2 10:34 11316

[推荐]【每日资讯】 | 关于Spring框架存在远程命令执行漏洞的安全公告 | 2022年4月2日 星期六

2022-3-2 10:34
11316

2022年4月2日 星期六

今日资讯速览:

1、关于Spring框架存在远程命令执行漏洞的安全公告


2、加强医疗领域网络安全,美国提出2022年医疗网络安全法案


3、Facebook因算法漏洞连推糟糕内容 一直持续半年



1、关于Spring框架存在远程命令执行漏洞的安全公告


安全公告编号:CNTA-2022-0009

 

2022年3月30日,国家信息安全漏洞共享平台(CNVD)收录了Spring框架远程命令执行漏洞(CNVD-2022-23942)。攻击者利用该漏洞,可在未授权的情况下远程执行命令。目前,漏洞利用细节已大范围公开,Spring官方已发布补丁修复该漏洞。CNVD建议受影响的单位和用户立即更新至最新版本。


一、漏洞情况分析

Spring框架(Framework)是一个开源的轻量级J2EE应用程序开发框架,提供了IOC、AOP及MVC等功能,解决了程序人员在开发中遇到的常见问题,提高了应用程序开发便捷度和软件系统构建效率。

2022年3月30日,CNVD平台接收到蚂蚁科技集团股份有限公司报送的Spring框架远程命令执行漏洞。由于Spring框架存在处理流程缺陷,攻击者可在远程条件下,实现对目标主机的后门文件写入和配置修改,继而通过后门文件访问获得目标主机权限。使用Spring框架或衍生框架构建网站等应用,且同时使用JDK版本在9及以上版本的,易受此漏洞攻击影响。

CNVD对该漏洞的综合评级为“高危”。


二、漏洞影响范围

漏洞影响的产品版本包括:

版本低于5.3.18和5.2.20的Spring框架或其衍生框架构建的网站或应用。


三、漏洞处置建议

目前,Spring官方已发布新版本完成漏洞修复,CNVD建议受漏洞影响的产品(服务)厂商和信息系统运营者尽快进行自查,并及时升级至最新版本:

https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement

 

附:参考链接:

https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement

https://github.com/spring-projects/spring-framework/compare/v5.3.17...v5.3.18

 

特别感谢蚂蚁科技集团股份有限公司为本报告提供的技术支持,同时感谢奇安信科技集团股份有限公司、杭州安恒信息技术股份有限公司、安天科技集团股份有限公司、三六零数字安全科技集团有限公司、北京天融信网络安全技术有限公司。

【阅读原文】



2、加强医疗领域网络安全,美国提出2022年医疗网络安全法案


2022年3月23日,美国参议员Jacky Rosen和 Bill Cassidy提出了2022年医疗网络安全法案(S.3904),该法案将指导网络安全和基础设施安全局 (CISA) 与卫生和公共服务部(HHS)合作,改善医疗保健和公共卫生部门的网络安全。


医疗保健和公共卫生部门掌握着大量敏感的病人信息,并且恶意行为者认为其安全防御很脆弱。针对网络攻击的频率和严重程度加深的情况,公共部门和私营部门开展合作和信息共享,对于提高医疗健康领域的相关实体机构的网络复原力至关重要。


本周早些时候,拜登总统和白宫特别警告美国公司要要根据不断变化的威胁情报,立即采取行动来加强网络防御。根据本周发布的POLITICO对HHS数据的最新分析,2021年美国有近5000万人的敏感健康数据被泄露,仅在过去三年里就增加了三倍。


参议员Rosen称,鉴于俄罗斯网络攻击的威胁,必须采取积极措施来加强医疗保健和公共卫生实体的网络安全。医院和保健中心是关键基础设施的一部分,并日益成为恶意网络攻击的目标,这可能导致数据泄露、护理成本上升以及对患者健康造成负面影响。这一法案将有助于加强网络安全保护并保护生命。

Dr. Cassidy表示,健康中心拯救生命并保存大量敏感的个人信息,这使它们成为网络攻击的主要目标。这项法案通过加强对网络战的抵御能力来保护患者的数据和公共健康。


南内华达大学医学中心首席执行官 Mason Van Houweling称,UMC支持医疗网络安全法案,以进一步保护患者的私人医疗保健信息。作为最近网络安全攻击的受害者,应该了解与各机构合作保护有价值信息的重要性。


医疗网络安全法案(部分条例):

要求CISA和HHS进行合作,包括通过签订协议来改善CISA所定义的医疗保健和公共卫生部门的网络安全。

授权对医疗保健和公共卫生部门的资产所有者和经营者进行网络安全培训,使其了解网络安全风险以及降低风险的方法。

要求CISA对医疗保健和公共卫生部门面临的特定网络安全风险进行详细研究,包括分析网络安全风险如何具体影响医疗资产,评估医疗资产在确保最新信息系统安全方面面临的挑战,以及评估相关网络安全劳动力的短缺情况。

【阅读原文】



3、Facebook因算法漏洞连推糟糕内容 一直持续半年


新浪科技讯 北京时间4月1日消息,Facebook动态消息(News Feed)因为存在重大排序错误,过去6个月一直推送“糟糕”内容。由于排序算法存在漏洞,动态消息抬高了虚假、暴力信息的权重。


  去年10月,工程师发现推送有问题,当时动态消息中的虚假信息明显增多。虚假信息本来是经过事实核查员审查过的,应该早早得到抑制,但这些信息却四处传播。工程师找不到根本原因,只能眼睁睁看着虚假信息持续发酵,几个星期后平息,然后复发,最终工程师才发现是排序有问题,并于3月11日修复。


  内部文档显示,该技术问题最早可追溯到2019年,但直到2021年10月才造成重大影响。Meta新闻发言人乔·奥斯本(Joe Osborne)说:“我们追踪根本原因,最终发现是软件有漏洞,然后进行了修复。漏洞不会给我们的评估标准造成任何有意义的长远影响。”


  多年来,Facebook一直鼓吹公司开发的降序系统,认为它可以提高动态消息的质量,随着自动系统的优化未来能处理更多种类的内容。很明显,Facebook系统仍然不完美。(星海)

【阅读原文】



2022年4月1日 星期五

今日资讯速览:

1、透明部落黑客针对印度官员发动新一轮黑客攻击


2、Bitdefender 推出 REvil/Sodinokibi 勒索病毒解密工具


3、关键 SonicOS 漏洞影响 SonicWall 防火墙设备



1、透明部落黑客针对印度官员发动新一轮黑客攻击


 Hackernews 编译,转载请注明出处:

从2021年6月,一个可能来自巴基斯坦的攻击者与一个针对感兴趣目标的后门攻击有关,该攻击使用了一种基于 windows 的远程访问木马,名为 CrimsonRAT。

Cisco Talos公司的研究人员在与The Hacker News分享的一份分析报告中说: “透明部落黑客是印度次大陆高度活跃的 APT 组织。”“他们的主要目标是阿富汗和印度的政府和军事人员。这场攻击进一步加强了这种针对性,以及他们的核心目标是建立长期间谍渠道。”


上个月,该APT组织扩展了它的恶意软件工具集,用一个名为 CapraRAT的后门侵入了安卓设备,这个后门与 CrimsonRAT 有很高的“重合度”。


Cisco Talos 公司详细介绍的最新一系列攻击包括利用伪造的合法政府和相关组织的虚假域名来传递恶意有效负载,有效负载包含一个基于 python 的存储器,用于安装基于 .NET的侦察工具和RAT,以及一个原装的基于 .NET的植入,在受感染的系统上运行任意代码。

Transparent Tribe Hackers

除了不断改进他们的部署策略和恶意功能,透明部落黑客依赖于各种各样的分发方法,例如可执行程序冒充合法应用程序、文档、武器化的文档的安装程序,以攻击印度实体和个人。


其中一个下载程序可执行程序冒充为 Kavach (在印度语中意为“盔甲”) 以传递恶意程序,Kavach是一个印度政府授权的双因素身份验证解决方案,用于访问电子邮件服务。


另外还有 covid-19主题的诱饵图像和 VHD格式文件,这些文件被用作从远程命令和控制服务器(比如CrimsonRAT)检索额外有效载荷的发射台,CrimsonRAT用于收集敏感数据和建立进入受害者网络的长期访问。


研究人员表示: “使用多种类型的分发工具和新型定制易修改的恶意软件,以适应各种紧急操作,这表明该组织具有攻击性、持久性、灵活性,并不断改进他们的策略,以感染目标。”

【阅读原文】



2、Bitdefender 推出 REvil/Sodinokibi 勒索病毒解密工具


【阅读原文】



3、关键 SonicOS 漏洞影响 SonicWall 防火墙设备



Hackernews 编译,转载请注明出处:

SonicWall 发布了安全更新,其中包含一个跨多个防火墙设备的关键漏洞,未经身份验证的远程攻击者可以将其武器化,以执行任意代码并导致拒绝服务(DoS)情况。


根据CVE-2022-22274 (CVSS 得分: 9.4)的跟踪记录,这个问题被描述为SonicOS的 web 管理界面中基于堆栈的缓冲区溢出,可以通过发送特制的 HTTP 请求触发,导致远程代码执行或 DoS。


该漏洞影响了31个不同的 SonicWall 防火墙设备,这些设备运行的版本分别是7.0.1-5050和更早版本,7.0.1-r579和更早版本,以及6.5.4.4-44v-21-1452和更早版本。Hatlab 的ZiTong Wang报道了这一事件。

这家网络安全公司表示,目前还没有发现任何利用该漏洞进行主动攻击的实例,而且迄今为止也没有公开报道过PoC或恶意使用该漏洞的情况。


尽管如此,建议受影响的用户尽快应用补丁,以减少潜在的威胁。在修复程序到位之前,SonicWall 还建议客户限制SonicOS对可信源 IP 地址的管理访问。


网络安全公司 Sophos 警告说,其防火墙产品中的一个关键认证绕过漏洞(CVE-2022-1040,CVSS 得分: 9.8),已被用于对南亚一些组织的攻击。

【阅读原文】



2022年3月31日 星期四

今日资讯速览:

1、Lapsus$再出手:泄漏Globant软件公司70GB数据


2、360揭露美国NSA(APT-C-40)代表性网络武器:超常规网络“军火”无所不用其极


3、Windows Security获新功能:可阻止安装恶意驱动程序



1、Lapsus$再出手:泄漏Globant软件公司70GB数据


就在英国警方逮捕了 7 名嫌疑犯之后,近期非常猖獗的黑客组织 Lapsus$ 又有了新动作。在攻击微软、三星、NVIDIA 和 Okta 等公司之后,该组织再次宣布成功攻陷 Globant,后者是一家位于卢森堡的软件开发咨询公司。

在周三宣布自己“度假归来”之后,该组织在其 Telegram 频道上发布了一个 70G 的种子文件,其中包括据称从该公司窃取的数据,黑客声称其中包括其企业客户的源代码。


Globant 向 TechCrunch 证实,它已经“检测到我们公司代码库的一个有限部分受到了未经授权的访问”,并正在进行调查。

黑客们还公布了一份用于访问其源代码共享平台的公司凭证清单,包括 GitHub、Jira、Crucible 和 Confluence。恶意软件研究小组 VX-Underground 在Twitter上发布了黑客 Telegram 帖子的编辑截图,其中显示该小组发布了他们声称是Globant的密码,如果得到证实,攻击者很容易猜到这些密码。

在发布种子文件之前,Lapsus$ 还分享了一个文件目录的截图,其中包含据信是 Globant 客户的几个公司的名字,包括Facebook、花旗银行和C-Span。

Globant公司还在其网站上列出了一些高知名度的客户,包括英国大都会警察局、软件公司Autodesk和游戏巨头Electronic Arts。至少Lapsus$的一名成员参与了去年电子艺界的数据泄露事件,但目前还不清楚这两起事件是否有关联。

【阅读原文】



2、360揭露美国NSA(APT-C-40)代表性网络武器:超常规网络“军火”无所不用其极


【阅读原文】



3、Windows Security获新功能:可阻止安装恶意驱动程序


Windows 10/11 系统中的 Windows 安全中心现在变得更令人安心了。正如微软操作系统安全和企业副总裁 David Weston 所宣布的那样,内置的免费 Windows 杀毒软件现在提供了一个新的选项,可以防止脆弱的驱动程序。只不过目前还没有在 Windows 11 系统中看到这个选项。

1ap9khr5.webp

这个 Windows Security 的新选项叫做“Microsoft Vulnerable Driver Blocklist”(微软易受攻击的驱动程序阻止列表)。这听起来很简单,但它已经成为一个常见的问题。据微软称,恶意行为者正在利用合法的、经过签名的内核驱动程序中的漏洞,在 Windows 内核中运行恶意软件。


以下是该功能是如何帮助防止这种情况的:“微软与我们的 IHV 和安全社区密切合作,确保为我们的客户提供最高水平的驱动程序安全,当驱动程序出现漏洞时,它们会被迅速修补并推广到整个生态系统。然后,微软将有漏洞的驱动程序版本添加到我们的生态系统阻止策略中”。


这项功能应该会也登陆那些 Hypervisor-protected code integrity(HVCI)的设备或启动 S Mode 设备的 Windows 10 上。当你的系统准备好时,它应该显示在 Windows Security 的设备安全部分下。

【阅读原文】



2022年3月30日 星期三

今日资讯速览:

1、谷歌被法国巴黎商业法院罚款 200 万欧元,苹果一同被起诉但仍未判决


2、微软:元宇宙也会充斥黑客和犯罪集团 需提前制定“治安框架”


3、黑客正在利用伪造的执法机构传票窃取苹果、Google等公司的用户数据



1、谷歌被法国巴黎商业法院罚款 200 万欧元,苹果一同被起诉但仍未判决



IT之家 3 月 29 日消息,经过三年多的诉讼,谷歌周一被巴黎商业法院判处 200 万欧元(约 1400 万元人民币)的“民事罚款”,罪名是对移动 App 开发者的滥用商业行为。


根据法新社和《费加罗报》周二查阅的判决,谷歌有三个月的时间修改其分销合同的七项条款。


“我们对巴黎商业法院的决定感到遗憾,Android 和 Google Play 为开发者提供了比任何其他平台更多的选择,并有可能接触到更广泛的受众,”谷歌在发给《费加罗报》的一份声明中评论道,并表示保留上诉的权利。


2018 年,法国竞争、消费者事务和欺诈预防总局 (DGCCRF) 起诉了谷歌。法院在裁决中批评谷歌称,合同要求开发人员将 App 内购价格设置在谷歌定义的价格范围内,并要求从每笔销售中收取 30% 的佣金”。


IT之家了解到,法院总共列出了七项滥用条款,要求谷歌在三个月内将其从合同中删除,并将进行每天 1 万欧元(约 70000 元人民币)的延迟罚款。


谷歌辩称,自 2016 年以来,其合同发生了重大变化,一些有争议的条款已经消失。例如,文件现在规定谷歌和开发者都可以解除合同,从而结束了关系的不对称。谷歌还声称改变了佣金率。对于在 Google Play 上年收入低于 100 万美元的开发者来说,佣金比例从 30% 下降到 15%。


此外,DGCCRF 也将苹果告上了法庭,案件仍在调查中。

【阅读原文】



2、微软:元宇宙也会充斥黑客和犯罪集团 需提前制定“治安框架”



北京时间3月29日早间消息,据报道,日前,微软网络安全负责人呼吁,元宇宙平台们需要“武装”起来,在这个新技术刚开始发展时,就阻止黑客和犯罪集团破坏。


微软新上任的安全负责人查理·贝尔(Charlie Bell)表示,元宇宙领域将会有许多的创新,当然面对一些问题(如安全问题),行业也需寻找应对办法。


元宇宙是Meta等科技公司最近力挺的新概念。根据定义,元宇宙是一个完全虚拟的数字世界,每一个用户可以在其中生活、工作和玩耍。不过正如同现实的互联网世界,对于科技企业和网络安全公司来说,元宇宙也会带来一种独特、甚至更加严峻的安全挑战。


贝尔介绍说,比如在传统的电子邮件中,黑客会冒充某个用户的好友进行钓鱼欺诈,而在元宇宙中,黑客也可以盗用虚拟头像,冒充用户好友。 另外在元宇宙中,由于对于用户活动和内容缺乏中央化监管,这给“居民”的保护带来了更大的挑战。


在微软,贝尔的正式职务是负责安全、合规事务、身份管理的副总裁。本周一在微软官方网站发表的一篇博文中,贝尔表示,在元宇宙中,也会出现利用虚假头像的钓鱼攻击,比如黑客可能伪造一封来自银行的电子邮件,对方使用了银行柜员的虚拟头像,准备骗取用户机密信息。另外,黑客也有可能冒充用户所在公司的首席执行官,邀请他前往某个事先准备好的视频会议房间,从而实施犯罪活动。


微软、Meta等进入元宇宙领域的科技公司必须在产品开发阶段就倍加重视安全性,而不是在后期问题出现后再去修补。


贝尔介绍说,在元宇宙内,将需运行各种软件,包括游戏、娱乐或者企业视频会议。而所有软件的开发者或者使用者,都需提前考虑如何维护元宇宙的治安,杜绝黑客、滥用、骚扰和其它违规内容出现。另外,软件开发商也需要相互协作,实现用户账号的互联互通(这样用户可以使用同一个账号跨越多个元宇宙),并推出各种安全工具。


贝尔强调称,如果在安全性上不能未雨绸缪,则元宇宙只会遭到失败。


据报道,贝尔2021年加盟微软,在此之前,他在亚马逊云计算部门(当时的负责人是今天的亚马逊首席执行官贾西)效力多年,经验丰富。


贝尔在博文中表示,在元宇宙时代开启的时候,行业有一个机会,来建立明确的规范、核心安全原则,以便促进元宇宙居民之间的互信,保证元宇宙的使用体验。如果行业错失了现在的机会,则元宇宙概念的推广将会遭到阻碍,人类社会无法享受到元宇宙带来的联络、协作和商业开发机会。


未来将会出现多个元宇宙平台,以及建立在平台上的各种应用软件,科技公司需要展开协作,填补不同平台之间的缝隙。科技企业还需要开发各种工具,比如多步骤身份验证,以及无密码登录技术。


贝尔还建议元宇宙采用元计算安全领域出现的技术创新,即多家平台服务商推出一个统一的工具,来统一管理用户安全,以及用户对不同供应商不同应用软件的访问。


这位高层也表示,元宇宙有去中心化的特点,这也增强了安全性,即不同的公司可以带来自家独有的安全技术,解决身份验证以及透明的软件BUG报告等等。

【阅读原文】



3、黑客正在利用伪造的执法机构传票窃取苹果、Google等公司的用户数据



据报道,犯罪黑客正在通过一种有效的、狡猾的技术用偷来的执法部门的电子邮件从大型科技公司、ISP、运营商和社交媒体公司窃取用户数据。据网络安全记者Brian Krebs称,更具体地说,攻击者显然正在伪装成执法官员以获取传票特权数据。

legalrequest-768x638.png

一般来说,他们使用被破坏的执法部门电子邮件账户。


这种策略还依赖于一种叫做紧急数据请求(EDR)的政府调查。通常情况下,技术公司只有在有法院命令的情况下才会交出用户数据或发出传票。然而当局可以在涉及迫在眉睫的伤害或死亡威胁的情况下提出EDR--绕过法院批准的文件或官方审查的需要。


据Krebs称,恶意黑客已经发现,技术公司和社交媒体公司没有简单的方法来验证EDR是否合法。“通过利用对警方电子邮件系统的非法访问,黑客将发送一个假的EDR,同时证明,如果不立即提供所要求的数据无辜的人将可能遭受巨大的痛苦或死亡。”

infinity-warrant.png

记者发现,网络犯罪分子会向潜在买家出售“搜查令/传票服务”的证据,这些人宣称可以从苹果、Google和Snapchat等服务中获取执法数据。


然而对于这样的情况,没有简单的方法来缓解这个问题。技术公司在面对EDR时不得不做出令人不安的选择,即遵从一个可能是假的请求或拒绝一个合法的请求--可能会使某人的生命受到威胁。


来自加州大学伯克利分校的安全专家Nicholas Weaver认为,清理这一漏洞的唯一方法是由FBI这样的机构充当所有州和地方执法机构的唯一身份提供者。

不过Weaver认为,即使是这样也不一定有效,因为FBI如何实时审查一些请求是否真的来自某个偏远的警察部门还是一个问题。

infinityrecursion.png

并且这种策略可能不会像其他方法那样普遍,因为许多网络犯罪分子认为它风险太大。


“如果你被抓到,风险很大,但这样做不是一个技巧问题。而是一个意志的问题。如果不在全美范围内彻底重做我们对互联网身份的思考,这是一个根本无法解决的问题,”Weaver说道。


2021年7月,美国立法者提出了一项可能有帮助的法案。该立法将要求向州和部落法院提供资金以便它们能够采用数字签名技术来打击伪造的法院命令。

【阅读原文】



2022年3月29日 星期二

今日资讯速览:

1、本田汽车曝重放攻击漏洞,可让黑客击解锁并启动汽车


2、西部数据My Cloud开源服务爆严重漏洞,可被滥用劫持设备


3、安全专家担忧欧盟DMA会破坏WhatsApp等应用的端到端加密



1、本田汽车曝重放攻击漏洞,可让黑客击解锁并启动汽车



研究人员披露了一个影响部分本田和讴歌车型的“重放攻击”漏洞,该漏洞允许附近的黑客解锁用户的汽车,甚至可以在很短的距离内启动它的引擎。攻击包括威胁行为者捕获从用户的遥控钥匙发送到汽车的射频信号,并重新发送这些信号以控制汽车的远程无钥匙进入系统。该漏洞在旧车型中基本上仍未修复。但本田车主或许可以采取一些行动来保护自己免受这种攻击。该漏洞被跟踪为 CVE-2022-27254,是一种中间人(MitM)攻击,或者更具体地说是一种重放攻击,其中攻击者拦截通常从远程遥控钥匙发送到汽车的射频信号,操纵这些信号,并在以后重新发送这些信号以随意解锁汽车。研究人员建议是用户选择被动无钥匙进入 (PKE) 而不是远程无钥匙进入 (RKE),这将使攻击者“由于距离很近而更难克隆/读取信号。


低成本的CVE-2022-27254漏洞攻击



无钥匙进入漏洞并不是什么新鲜事。任何配备正确设备的入侵者都可以确定锁定或解锁代码并重新传输。一些本田汽车遇到的问题清楚地表明,汽车制造商尚未将其技术用于已知威胁。


CVE-2022-27254漏洞是由四位研究人员发现的——马萨诸塞大学的Hong Liu和Ruolin Zhou 教授、计算机专家Blake Berry和CSO Cybereason的Sam Curry 。研究表明,2016年至 2020年间生产的本田思域LX、EX、EX-L、Touring、Si和Type R车辆存在此问题。


据专家介绍,“不同的本田汽车在每次打开或关闭车门、打开后备箱和远程启动时都会发送相同的未加密射频信号。这允许攻击者窃听请求并重新攻击。” 为该漏洞创建的GitHub页面包含三个单独的概念验证视频,展示了研究结果。



为了实施攻击,攻击者只需要几个易于访问的组件:一台笔记本电脑、GNURadio 开发套件、Gqrx 软件定义无线电 (SDR) 接收器软件、访问FCCID.io网站和HackRF One SDR。每次攻击的成本(除了拥有一台笔记本电脑)只有300美元,相当于一台HackRF One的成本 。攻击中使用的所有软件都是免费和开源的。

例如,在Berry的一项测试中,他记录了密钥卡发送的“锁定”命令,该命令由以下位组成。653-656, 667-668, 677-680, 683-684, 823-826, 837-838, 847-850, 853-854。Berry 然后“翻转”并将这些位重新发送到车辆,这反过来又具有解锁车辆的效果。


这已是一个老问题


已发现漏洞的 CVE 页面还提到了另一个 - CVE-2019-20626 。巴拉圭安全研究员Victor Casares 在 2017 年本田 HR-V 车辆中发现了这个问题,并在 2019 年的 Medium 帖子中披露。


2012 Honda Civics 中的一个不相关但类似的问题允许类似的攻击 ,但原因不同:滚动代码和计数器重新同步未过期。请注意,问题不仅涉及本田。2016 年,The Register报道 了一项实验,在该实验中,研究人员克隆了大众汽车钥匙扣,并能够使用它来解锁1亿辆汽车。


据发现该漏洞的研究人员称,只要制造商继续使用静态代码,车主就没有太多保护选项。根据研究人员的说法,每次按下按钮都会改变的滚动代码是“一种安全技术,用于为每个远程无钥匙进入 (RKE) 或被动无钥匙进入 (PKE) 系统身份验证提供新代码。”


据研究人员称,PKE系统比RKE 系统要好得多。不依靠钥匙扣来发射,汽车本身就一直在寻找无源射频钥匙扣,比如门钥匙卡,一旦足够近,汽车就会自动解锁。钥匙卡必须靠近汽车的强制性要求使得这种攻击更加困难。


2022 年1月,研究人员Kevin2600还披露了一个类似的漏洞,被跟踪为 CVE-2021-46145,但提到特定的无钥匙系统使用滚动代码,因此使攻击的效果大大降低。


本田“没有计划”更新旧车型


为了更好地了解此漏洞的影响以及本田解决该漏洞的计划,BleepingComputer 联系了本田。本田称,多家汽车制造商使用传统技术来实现远程锁定解锁功能,因此可能容易受到“坚定且技术成熟的窃贼”的攻击。


“目前,这些设备似乎只能在靠近目标车辆或物理连接到目标车辆时工作,当车辆在附近打开和启动时,需要本地接收来自车主钥匙扣的无线电信号,”本田的一位发言人告诉BleepingComputer。


请注意,在他们给BleepingComputer的声明中,本田明确提到它没有验证研究人员报告的信息,也无法确认本田的车辆是否真的容易受到这种类型的攻击。

但如果车辆易受攻击,“本田目前没有更新旧车辆的计划,”该公司告诉 BleepingComputer。


“值得注意的是,虽然本田随着新车型的推出而定期改进安全功能,但坚定且技术成熟的窃贼也在努力克服这些功能。”


此外,该公司辩称,附近的小偷可以使用其他方式进入车辆,而不是依赖像这样的高科技黑客,并且没有迹象表明所讨论的拦截设备类型被广泛使用。尽管如此,该漏洞的远程引擎启动方面仍然存在问题,因为它远远超出了简单的门解锁黑客攻击。


研究人员建议消费者在不使用时将他们的密钥卡存放在屏蔽信号的“法拉第袋”中,尽管这种方法仍然无法防止在使用密钥卡时确定的攻击者窃听信号。

研究人员提出的另一个建议是让消费者选择被动无钥匙进入 (PKE) 而不是远程无钥匙进入 (RKE),这将使攻击者“由于距离很近而更难克隆/读取信号”。

研究人员总结说:“如果您认为自己是这次攻击的受害者,目前唯一的缓解措施是在经销商处重置您的密钥卡。”

【阅读原文】



2、西部数据My Cloud开源服务爆严重漏洞,可被滥用劫持设备



西部数据发布 My Cloud OS 固件更新,修复了漏洞猎人在 2021年Pwn2Own黑客大赛中用于实现远程代码执行的漏洞 (CVE-2022-23121)。该漏洞当时由 NCC Group EDG团队成员利用攻陷西部数据My Cloud PR4100 设备且获得4万美元的奖励,它位于My Cloud OS 中包含的开源服务 “Netatalk Service”中。


该漏洞的CVSSv3 评分是9.8,可导致远程攻击者在无需认证的情况下,在目标设备(WD PR4100 NAS)上执行任意代码。ZDI 发布安全公告指出,“该漏洞位于 parse_entries 功能中,是因为在解析 AppleDouble 条目时缺少对错误处理造成的。攻击者可利用该漏洞在root上下文中执行代码。”


漏洞位于开源的 Netatalk 服务中


Netatalk 是一款免费开源的苹果文件协议 (AFP) 实现,可允许Unix 类操作系统作为 macOS 客户端的文件服务。

西部数据公司在2018年12月发布的某些NAS 设备使用的 Netatalk 服务版本是一个常见的半废弃开源项目,当时含有其它已知的可利用漏洞。更糟糕的是,西部数据 PR4100 默认具有公开的AFP分享,黑客无需任何认证即可获取。NCC Group EDG 团队当时使用该公开分享触及多个认证后句柄,加速并更轻松地破解了设备。


Pwn2Own 大赛结束后,Netatalk 开发团队发布版本 3.1.13 版本修复了这些漏洞。除了CVE-2022-23121 外,Netatalk 服务还修复了其它漏洞,其中某些漏洞也是CVSS 评分为9.8的RCE漏洞。


因此,建议使用Netatalk 开源工具的所有软件开发人员安装最新版本。


西部数据弃用 Netatalk


西部数据公司在固件更新版本 5.19.117 中将 Netatalk 完全从 My Cloud OS 中删除,因此建议 WD NAS 设备更新至该版本或后续版本。

如下设备均使用了可被利用的 Netatalk 服务,因此均易受攻击:

  • My Cloud PR2100

  • My Cloud PR4100

  • My Cloud EX2 Ultra

  • My Cloud EX 4100

  • My Cloud Mirror Gen 2

  • My Cloud EX2100

  • My Cloud DL2100

  • My Cloud DL4100


升级至最新固件版本后,虽然Netatalk 服务将不再可用,但仍可通过SMB继续访问网络共享。具体支持可见:https://support-en.wd.com/app/answers/detail/a_id/32003/

漏洞技术详情可见:https://research.nccgroup.com/2022/03/24/remote-code-execution-on-western-digital-pr4100-nas-cve-2022-23121/

【阅读原文】



3、安全专家担忧欧盟DMA会破坏WhatsApp等应用的端到端加密



3 月 24 日,欧盟管理机构宣布《数字市场法案》(Digital Markets Act,简称DMA)已达成共识,将会对欧洲的大型科技公司进行全面的监管。作为一项具有深远影响的雄心勃勃的法律,该法案中最引人注目的措施将要求每个大型科技公司(在欧盟拥有超过 750 亿欧元的市值或超过 4500 万人的用户群)创造可与小型平台互操作的产品。


ibc6y8tn.webp

对于信息应用来说,这将意味着让 WhatsApp 这样的端到端加密服务与 SMS 这样不太安全的协议混在一起--安全专家担心这将破坏在信息加密领域来之不易的成果。


DMA的主要关注点是一类被称为“守门人”(gatekeepers)的大型科技公司,这类公司的定义是其受众或收入的规模,并延伸到他们能够对较小的竞争对手行使的结构性权力。通过新的法规,政府希望“开放”这些公司提供的一些服务,以允许小型企业参与竞争。这可能意味着让用户在 App Store 之外安装第三方应用程序,让外部卖家在亚马逊搜索中排名更靠前,或者要求消息应用程序在多个协议中发送文本。


但这可能会给承诺端到端加密的服务带来真正的问题:密码学家的共识是,如果不是不可能,也很难在应用程序之间保持加密,这可能会对用户产生巨大影响。Signal 受到影响很小,不会受到 DMA 条款的影响,但 WhatsApp--使用 Signal 协议并由 Meta 拥有--肯定会受到影响。其结果可能是,WhatsApp 的部分(如果不是全部)端到端信息加密被削弱或取消,使 10 亿用户失去了私人信息的保护。


鉴于需要精确地执行加密标准,专家们说,没有一个简单的解决方案可以调和加密信息服务的安全性和互操作性。知名互联网安全研究员、哥伦比亚大学计算机科学教授史蒂文-贝罗文(Steven Bellovin)说,实际上,没有办法将具有不同设计特点的应用程序的不同加密形式融合在一起。


Bellovin 说:“试图调和两种不同的加密架构根本不可能做到;一方或另一方将不得不做出重大改变。一个只有在双方都在线的情况下才能工作的设计与一个在存储信息的情况下工作的设计看起来会非常不同....。你如何使这两个系统互通有无?”


Bellovin说,使不同的信息服务兼容可能会导致最低共同标准的设计方法,其中使某些应用程序对用户有价值的独特功能被剥离,直到达到一个共同的兼容性水平。例如,如果一个应用程序支持加密的多方通信,而另一个不支持,维持它们之间的通信通常需要放弃加密。


另外,DMA提出了另一种方法让隐私倡导者来说同样不满意:在两个加密方案不兼容的平台之间发送的信息在它们之间传递时被解密和重新加密,打破了"端到端"的加密链,为不良行为者的拦截创造了一个漏洞。


Muffett 表示:“这就像是你走进麦当劳,为了打破行业垄断现在要求你订单必须要有来自其他餐厅的寿司拼盘。当要求的寿司从表面上要求的寿司店通过快递到达麦当劳时,会发生什么?麦当劳能否以及是否应该向顾客提供这种寿司?快递员是合法的吗?它是安全准备的吗?”


目前,每个信息服务都对自己的安全负责--穆菲特和其他人认为,通过要求互操作性,一个服务的用户会暴露在可能由另一个服务引入的漏洞中。归根结底,整体安全只有在最薄弱的环节才是最强大的。

【阅读原文】



2022年3月28日 星期一

今日资讯速览:

1、谷歌浏览器发布紧急更新修复高危漏洞 已经在野外遭到黑客的利用


2、以色列阻止乌克兰购买NSO集团的“飞马”间谍软件


3、美联邦通信委员会将两家中企列入“威胁国家安全名单”



1、谷歌浏览器发布紧急更新修复高危漏洞 已经在野外遭到黑客的利用



谷歌浏览器稳定版通道目前更新至 Chrome v99.0.4844.84 版 , 该版本为漏洞修复版本没有增加任何新功能。


漏洞方面此次修复的漏洞包含高危漏洞,该漏洞在被谷歌发现前已经遭到黑客利用且可能是已经被广泛利用。


谷歌给出的描述是 v8 引擎中的类型混淆,对应漏洞编号编号为 CVE-2022-1096 , 漏洞报告时间为3月23日。


谷歌浏览器发布紧急更新修复高危漏洞 已经在野外遭到黑客的利用


漏洞细节暂时未公布:


按惯例只有多数用户已经升级到不受影响的版本后,谷歌才会公布披露漏洞细节给安全行业的人士进行研究。


因此当前谷歌尚未公布漏洞细节,不过从漏洞提交72小时内就发布新版本进行修复 , 可见该漏洞的潜在影响。


使用谷歌浏览器的用户请转到设置的关于页面,在这里可以检查更新并自动下载安装,只需按提示重启即可。


若无法使用在线更新亦可前往谷歌浏览器官方网站下载离线安装包覆盖安装,其他浏览器目前正在等待修复。


疑似与朝鲜黑客有关:


本周谷歌旗下威胁分析团队发布报告披露朝鲜黑客发起的网络攻击,黑客发起的攻击也主要是通过安全漏洞。


分析称这支朝鲜黑客集团面向美国新闻媒体、科技公司、加密货币以及金融行业的企业和机构发起网络攻击。


有趣的是谷歌发现发起攻击的有几组黑客,这些黑客使用的工具包类似,因此应该是隶属于相同的黑客集团。


至于本次修复的漏洞是否也是被朝鲜黑客利用的暂时未知,考虑到漏洞刚修复谷歌还不愿意披露太多的细节。

【阅读原文】



2、以色列阻止乌克兰购买NSO集团的“飞马”间谍软件



据熟悉此事的人士透露,以色列阻止乌克兰购买NSO集团开发的飞马(Pegasus)间谍软件,因为其担心俄罗斯官员会因此而感到愤怒。在《卫报》和《华盛顿邮报》的联合调查之后,这一启示为以色列跟俄罗斯的关系有时会破坏乌克兰的进攻能力提供了新的见解--并跟美国的优先事项相矛盾。


自俄罗斯于2月24日对乌克兰采取军事行动以来,乌克兰总统沃洛基米尔·泽伦斯基一直在批评以色列的立场。他在最近对以色列议会议员的讲话中称,以色列必须“给出答案”来说明其没有向乌克兰提供武器或对俄罗斯人实施制裁的原因。

 

据直接了解此事的人透露,这至少可以追溯到2019年,当时,乌克兰官员游说以色列以试图说服以色列许可乌克兰使用间谍软件工具。但这些努力遭到拒绝,受以色列国防部监管的NSO集团从未被允许向乌克兰推销或出售该公司的间谍软件。


据了解,当飞马被成功地部署在一个目标上时,它可以被用来入侵任何移动电话、拦截电话对话、阅读文本信息或查看用户的照片。另外它还可以被用作远程监听设备,因为间谍软件的政府用户可以用它来远程开启和关闭移动电话录音机。


最近的新闻报道都集中在NSO的政府客户如何使用间谍软件--包括飞马--来攻击世界各地的记者和人权维护者。该联盟的报告还表明,从匈牙利到沙特阿拉伯,飞马的销售跟以色列的外交政策相一致。


从西班牙到法国再到乌干达,该间谍软件还被用来对付高级政府和外交官员,这些案例被认为是一些国家试图利用该工具进行国内或国际间谍活动。


NSO表示,其间谍软件是为了让政府客户用来对付严重的罪犯和恐怖分子。另外它还表示,它对滥用的严重指控有展开调查。


知情人士透露,在大多数常规情况下,以色列国防部首先是允许NSO向政府客户销售飞马软件的,然后进行审查以确定究竟是允许还是阻止交易的进一步发展。


一位乌克兰高级情报官员指出,以色列的决定让乌克兰官员感到“困惑”。这名官员表示,他并不完全了解乌克兰为什么被拒绝使用这一强大的间谍工具,但他补充称,他相信美国政府支持乌克兰的努力。


接近此事的消息人士表示,以色列的决定反映了它不愿意激怒俄罗斯,而俄罗斯跟以色列有着密切的情报关系。消息人士称,以色列担心授予乌克兰通过飞马瞄准俄罗斯手机号码的能力会被视为对俄罗斯情报部门的一种侵略行为。


这并不是唯一一次俄罗斯的主要地区敌人之一被拒绝进入飞马的一些权限。熟悉此事的人说,爱沙尼亚作为北约成员国,在2019年获得了飞马的使用权,但在当年8月被NSO告知,该公司不允许爱沙尼亚官员使用间谍软件来打击俄罗斯目标。


爱沙尼亚国防部女发言人Susan Lilleväli拒绝就此事发表评论。


不过NSO在回答一组详细的问题时发表了一份单行声明--“NSO继续受到有关所谓客户的不准确的媒体报道,这些报道是基于道听途说、政治暗示和不实之词。”


以色列国防部周二也对一连串的问题做出了回应,不过其发表的声明并没有直接解决大多数问题。声明说道:“以色列国根据2007年《国防出口管制法》对网络产品的营销和出口进行监管。”


另外它还补充称:“有关出口管制的政策决定考虑到了安全和战略因素,其中包括遵守国际安排。作为一项政策,根据获取政府提供的最终用途/最终用户声明,以色列国只批准向政府实体出口网络产品,用于合法用途并且只用于预防和调查犯罪和打击恐怖主义的目的。”


乌克兰官员拒绝对飞马或其寻求强大监控技术的整体努力发表评论。但主管乌克兰数字技术的副总理Mykhailo Fedorov表示:“以色列政府目前没有参与任何有关进攻性技术的讨论或促进,但我们与市场上的许多以色列公司有持续的对话,并且它们处于不同阶段。但我还是要说:我们有足够的能力继续获胜,我们每天都在增加新的工具,包括新兴工具。”

【阅读原文】


3、美联邦通信委员会将两家中企列入“威胁国家安全名单”



新华社华盛顿3月25日电(记者熊茂伶)美国联邦通信委员会(FCC)25日宣布,将中国电信美洲公司、中国移动国际(美国)公司,以及俄罗斯网络安全公司卡巴斯基实验室三家企业列入所谓“威胁美国国家安全”的电信设备和服务供应商名单。


  此次被列入名单的两家中国企业此前已经被FCC禁止进入美国市场。早在2019年,FCC就以安全隐患为由拒绝了中国移动提供电信服务的竞标。去年10月,FCC取消了中国电信美洲公司在美运营授权。


  FCC下属的公共安全与国土安全局负责人当天在一份声明中说,去年3月,FCC首次公布了对国家安全构成“不可接受的”风险的通信设备与服务商清单,并表示一直在审查、更新这份清单。


  2021年3月,华为、中兴、海能达、海康威视、大华5家企业被列入该清单。加上本次列入的3家企业,该清单上已有7家中国企业,1家俄罗斯企业。


  除了清单上的企业外,FCC还对其他中国电信运营商进行打压。


  中国商务部新闻发言人高峰上周表示,美方继续泛化国家安全概念,滥用国家力量,在缺乏事实依据的情况下恶意打压中国电信企业,违反最基本的非歧视和公平竞争原则,违反公认的国际经贸规则,扰乱正常的市场秩序。

【阅读原文】



2022年3月25日 星期五

今日资讯速览:

1、黑掉微软英伟达三星 黑客组织Lapsus$主谋疑似16岁英国少年


2、“让俄罗斯回到石器时代” 揭秘乌克兰的“IT大军”


3、NGINX宣布暂停在俄罗斯的销售活动 撤销俄罗斯开发者的访问权限



1、黑掉微软英伟达三星 黑客组织Lapsus$主谋疑似16岁英国少年



新浪科技讯 北京时间3月10日早间消息,据报道,日前,微软、英伟达等科技公司遭到一系列黑客攻击,而网络安全人员在调查中,把目标锁定在了英国英格兰牛津一位16岁少年。

  四名网络安全专家目前正代表微软等被攻击公司展开调查,对名为“Lapsus$”的黑客组织进行调查,专家们判断,上述16岁少年是这个黑客组织的主谋。

  这个黑客组织过去进行了多次高调攻击,引发了安全专家的关注。目前这些攻击事件的具体动机尚不祥,但是专家猜测可能是出于谋取金钱或是提高“行业”知名度。

  研究人员确信,这名英国少年和上述黑客组织的多次攻击事件有关,不过目前还不能证明他参与了Lapsus$的每一次攻击行为。据悉,网络安全专家使用了攻击事件留下的痕迹,再加上和公开信息进行比对,锁定了他的身份。

  这名黑客还是未成年,因此媒体没有公开他的姓名,在网络上,这位少年的代号是“White”或是“Breachbase”。迄今为止,英国司法部门尚未对他提出公开的指控。

  据报道,Lapsus$还有另外一位成员,也是个未成年人,居住在巴西。一位参与黑客事件调查的人士透露,调查人员目前一共锁定了和该组织有关的七个独立账号,这也表明该黑客组织可能还有其他成员。

  另一知情人士表示,该未成年人在实施攻击方面非常娴熟,以至于在最初,调查者认为一些观察到的攻击活动来自机器人软件。

  过去,Lapsus$组织对于一些受害者公司进行了公开嘲讽,在网上公开源代码或是内部文件。比如之前,该组织宣布已经攻破了Okta公司(一家身份识别和访问权限管理企业)的系统,导致该公司陷入一场公关危机。

  在多个官方博文中,Okta公司透露一家第三方供应商的一名工程师,其系统被攻破,导致公司2.5%的客户受到了影响。

  令人不可思议的是,Lapsus$组织甚至入侵了一些公司的Zoom视频会议。三名调查人员透露,黑客在视频会议上嘲讽了受害企业员工,以及帮助解决黑客攻击事件的外部IT咨询公司。

  微软之前也遭到Lapsus$攻击。该公司在官方博文中透露,该组织针对多家机构进行了大规模的“社会工程学攻击”和勒索。

  微软介绍说,这家黑客组织的动机就是攻击企业,盗取数据,然后获取赎金。在微软的监控系统中,这家黑客组织的代号是“DEV-0537”。据悉,为辅助攻击行动,他们有时还会在目标公司内部招募眼线。

  研究人员表示,这家黑客组织在运作安全方面表现糟糕,使得网络安全公司可以了解到这名英国未成年黑客的详细情况。

  微软在一篇博文中介绍说,许多黑客组织保持低调,但是EV-0537看上去不会掩盖自己的攻击活动痕迹,他们甚至在社交媒体上宣布自己的攻击行动,并且发布广告,要获取目标公司员工的账号密码。EV-0537一开始首先针对英国和南美洲的企业机构,开始开始进行全球范围攻击,他们瞄准了政府机构、科技、电信、媒体、零售和医疗健康领域的企业。

  一些黑客竞争对手,还在网络上公开了这名英格兰少年黑客的详细信息,比如住址,以及父母的详细情况。

  一名据称是这位少年母亲的女士和外媒通过门铃对讲系统交流了10分钟。少年黑客的住所外观普通,在一条安静的大街上,距离大名鼎鼎的牛津大学有大约八公里的距离。

  这位女士表示,自己不清楚网络泄露资料对于儿子的指控。孩子母亲和父亲的住所都在网络上公开,这给她带来了困扰。这位母亲表示,孩子的确住在这里,目前已经遭到了其他人的骚扰,另外一些网络公开资料中的事情无法得到证实。

  这位母亲不愿意让儿子接受采访。她表示,这属于执法部门的事情,目前她正在联系当地警方。

  调查英国地区Lapsus$黑客攻击事件的泰晤士谷警察局、英国犯罪局都没有对外就这名少年黑客表态。美国联邦调查局旧金山分部也在调查一宗涉及到Lapsus$的攻击事件,该机构也拒绝置评。

  Lapsus$过去还宣称攻击了韩国三星电子、沃达丰、Ubisoft等公司的网络。之前在攻击英伟达之后,该组织在移动聊天工具“电报”上公布了被盗取的英伟达源代码。

  当地时间周二,Lapsus$宣布攻击Okta公司在网上引发轩然大波。随后该机构还暗示,距离下一次攻击大公司可能有一段“休息时间”。该组织表示,若干黑客成员3月30日才有假期,因此本组织将安静一段时间,“谢谢你们理解,我们会尽快爆猛料。”

【阅读原文】



2、“让俄罗斯回到石器时代” 揭秘乌克兰的“IT大军”


【阅读原文】



3、NGINX宣布暂停在俄罗斯的销售活动 撤销俄罗斯开发者的访问权限



网络公司F5日前发布公开信称,该公司暂停在俄罗斯境内的所有销售活动 , 客户支持等也已迁移至其他地点。

而在2019年3月11日F5收购知名的开源软件 NGINX,这款开源软件作者乃是俄罗斯国籍的伊戈尔赛索耶夫。

这等于诞生于俄罗斯的 NGINX 现在站出来制裁俄罗斯 , 当然原作者伊戈尔赛索耶夫此前已经从F5公司离职。

伊戈尔赛索耶夫生于苏联的哈萨克斯坦阿拉木图,毕业于莫斯科国立鲍曼技术大学 ,  于2004年发布NGINX。



将源代码从俄罗斯迁出:

F5公司首席执行官该公司已经在俄罗斯境内暂停所有销售活动 , 同时所有客户支持案例也都迁出至其他地点。

比较迷惑的是这家公司还将俄罗斯开发者的访问权限移除,这意味着俄开发者无法再向该项目提交开源代码。

该公司称无论是商业代码还是开源代码都已经从俄罗斯迁出,现在所有代码都不会存放在俄罗斯境内服务器。

目前不少跨国公司都已经停止在俄罗斯境内进行销售活动 , 而F5是家美国公司变向制裁俄罗斯倒也可以理解。

只不过毕竟现在 NGINX 也是F5的了,所以就出现这么个诞生在俄罗斯的开源软件站起来制裁俄罗斯的情况。

【阅读原文】



2022年3月24日 星期四

今日资讯速览:

1、黑客组织匿名者入侵雀巢泄露大量数据 只因雀巢不愿意退出俄罗斯市场


2、盗版有风险:谨防BitRAT恶意软件伪装成Windows 10激活工具传播


3、乌克兰MacPaw公司发布SpyBuster 旨在帮助用户应对俄罗斯的数据管控



1、黑客组织匿名者入侵雀巢泄露大量数据 只因雀巢不愿意退出俄罗斯市场



国际黑客组织匿名者日前入侵国际饮品巨头雀巢,泄露的数据包括雀巢客户、各类邮件和密码、支付信息等。


此次攻击是很明显的政治行动,因为雀巢此前发布声明表示该公司不会退出俄罗斯市场并且会继续提供产品。


这段时间匿名者对俄罗斯政府网站和网络基础设施发起持续性攻击,但想到匿名者竟然也会对雀巢发起攻击。

黑客组织匿名者入侵雀巢泄露大量数据 只因雀巢不愿意退出俄罗斯市场


泄露的数据包含大量机密内容:


匿名者并没有提供从雀巢窃取的所有数据,但发布的数据样本可以看到匿名者窃取的是雀巢服务器的数据库。


数据库里包含的内容雀巢企业客户的订单记录、部分企业客户的账号和经过哈希后的密码、订单支付记录等。


其中订单记录里包含完整的企业名称、联系方式、详细地址、采购内容和金额,里面有不少眼熟的跨国企业。


账号密码方面看也是企业客户的,密码是经过哈希加盐的并非明文,应该也不会给雀巢客户造成太大的影响。


单纯从这些数据样本来看虽然牵涉机密但机密程度不算高,但不知道匿名者是否窃取其他更有价值的数据库。



雀巢表示未退出但也没挣钱:


目前很多西方公司宣布推出俄罗斯市场,雀巢已经停止向俄罗斯供应部分非必需品例如胶囊咖啡和矿泉水等。


不过这家瑞士公司在俄罗斯继续销售婴儿食品、谷物食品和宠物食品,雀巢同时表示剩下这业务都没有获利。


继续销售这些食品是因为雀巢认为有必要继续向人们提供重要的食品,在乌克兰雀巢同样在分发重要的物资。


雀巢表示该公司正在尽力提供帮助减轻这场人道主义灾难,至于数据泄露问题目前雀巢并没有发布官方回应。

【阅读原文】



2、盗版有风险:谨防BitRAT恶意软件伪装成Windows 10激活工具传播


【阅读原文】



3、乌克兰MacPaw公司发布SpyBuster 旨在帮助用户应对俄罗斯的数据管控



位于乌克兰的Setapp开发商MacPaw已经创建了一个Mac应用程序,供用户了解他们的数据是否被保存在俄罗斯服务器上,依照该国法律可以被当局读取。总部位于乌克兰基辅的MacPaw已经告诉用户,尽管俄罗斯入侵该国,但这家乌克兰公司开发的软件作品Setapp、CleanMyMac X等将继续提供支持。

47586-92901-000-lead-SpyBuster-xl.jpg

现在,该公司还发布了自己的一个内部安全工具,这是在入侵期间专门为了应对俄国的威胁开发的。


SpyBuster是一个免费的应用程序,用户可以用它来扫描他们的Mac。它确定是否有任何应用程序是俄罗斯的或来自白俄罗斯的,也确定是否有任何数据被发送到这些地区的服务器。


MacPaw指出,这些数据很重要,因为根据俄罗斯法律,当局可以命令当地服务商交出过去六个月的任何语音通话、数据、图像和文本信息。同样的法律要求这些信息的元数据,例如时间和地点,如果保存在俄罗斯的服务器上,则需要三年的时间才可以消除。


除了识别俄罗斯或白俄罗斯的软件,SpyBuster还让用户阻止任何发送到这两个地方的服务器的数据。


该应用程序的扫描结果被处理并存储在用户的设备上,而不是与MacPaw共享,然后由用户决定是否采取措施防止数据被存储在俄罗斯服务器上。

【阅读原文】



2022年3月23日 星期三

今日资讯速览:

1、FBI称2021年互联网犯罪给人们带来的损失超过69亿美元


2、南非几乎所有公民征信数据泄露:弱密码惹祸 预计损失超百亿元


3、俄罗斯Sber银行建议其客户暂时停止软件更新



1、FBI称2021年互联网犯罪给人们带来的损失超过69亿美元



根据FBI的年度互联网犯罪报告,2021年人们因互联网犯罪而损失了超69亿美元,这比2020年猛增了20多亿美元。该报告于周二发布,包含了向美联邦执法机构的互联网犯罪投诉中心报告的最普遍的互联网诈骗信息。


据FBI介绍称,2021年共有847,376起互联网犯罪投诉,虽然比2020年只增加了7%,但与2019年相比却猛增了81%。去年报告的前三大网络犯罪是网络钓鱼诈骗、不付款/不发货和个人数据泄露。


也许并不奇怪,过去两年中网络犯罪的激增大部分可归因于COVID-19大流行,正如联邦调查局在其报告中指出的那样,这导致了在家工作和虚拟会议的增加。2020年,FBI收到了28,500多份专门跟COVID-19有关的互联网犯罪活动的投诉,不过在2021年的报告中似乎没有对跟COVID-19有关的互联网犯罪进行详细统计。


虽然全美大部分地区对COVID-19的限制和授权正在放宽,但互联网上的犯罪活动尤其是以网络钓鱼和数据泄露的形式--在2021年达到历史最高水平--可能会继续上升。在加密货币世界中,诈骗和支持欺诈形式的犯罪可能会变得更加普遍,2021年约有32,400起投诉。其他需要警惕的常见互联网犯罪则包括网恋骗局、技术支持欺诈和勒索软件。

【阅读原文】



2、南非几乎所有公民征信数据泄露:弱密码惹祸 预计损失超百亿元


  • 美国征信巨头TransUnion的南非公司遭巴西黑客团伙袭击,5400万消费者征信数据泄露,绝大多数为南非公民,据了解南非总人口约6060万人;

  • 黑客团伙透露,通过暴力破解入侵了一台存有大量消费者数据的SFTP服务器,该服务器的密码为“Password”;

  • TransUnion公司称,将为受影响的消费者免费提供身份保护年度订阅服务,预计成本将超过114亿元。



国际知名消费者信用机构TransUnion日前证实,已沦为“第三方”黑客攻击的受害者,但不会支付任何勒索赎金。



因弱密码被黑,几乎所有南非民众征信数据泄露


巴西黑客团伙N4aughtysecTU声称对此次攻击负责,并表示已经成功访问到5400万消费者的个人信息,总数据量约达4 TB。


TransUnion南非公司证实,黑客团伙确实利用授权客户凭证窃取了访问权,目前相关账户已被封停。


N4aughtysecTU团伙透露,他们入侵了某台安全性较差的TransUnion SFTP服务器,从中窃取到大量消费者个人信息,其中大部分来自南非国内,也涉及一部分其他国家用户的记录。根据联合国统计数据,目前南非总人口为6060万人。


该团伙同时强调,他们并未像TransUnion官方说明的那样,窃取了什么用户凭证,而是对SFTP服务器发动了暴力攻击。据称,他们最终入侵账户时使用的密码为“Password”,如此简单的内容难怪可以快速完成暴力破解。


NordVPN在一份报告中将“password”列为2021年全球五大最常用密码之一,目前的暴力手段在1秒内就能将其破解。


TransUnion网站发表了以下声明:

  • 此次事件影响的是一台隔离服务器,此服务器中保存有我司在南非的部分业务数据。

  • 我们的团队正在与外部专家密切合作,以了解具体哪些数据受到了影响。

  • 受影响的数据可能包括消费者信息,例如电话号码、电子邮件地址、身份证号码、居住地址及某些信用评分。

在上周末发现黑客企图之后,TransUnion立即将服务中的“部分元素”下线,现在这些服务已经恢复上线。一位消息人士指出,由于黑客方并没有锁死数据以索取赎金,所以本次事件更多属于纯粹的敲诈,而非典型的勒索软件攻击。


TransUnion南非公司CEO Leek Naik解释道,“TransUnion的首要任务,就是保护好我们所持有信息。我们知道目前的情况可能令人不安,TransUnion南非将致力于帮助每一位信息受到影响的个人。”


为消费者提供免费身份保护,预计成本超百亿元


一位匿名消息人士告知媒体,TransUnion公司认为这5400万条记录泄露,似乎与2017年另外一起并未涉及TransUnion的数据安全事件有关。


这家全球消费者信用机构表示,他们将向“受影响的消费者”免费提供身份保护产品TrueIdentity的年度订阅服务,费用为每人499南非兰特。如果所有5400万个被黑账户全部照此办理,那么总成本将达到惊人的270亿兰特(约114亿元)。


奇怪的是,各家媒体报道的所谓勒索数额,也仅仅在2.23亿至2.25亿兰特之间。


无论赎金数额是多少,此次违规事件都给所有签订过信贷协议的南非人造成了影响。


当民众与银行、其他金融机构、信用卡公司、汽车信贷方、公共事业公司乃至其他债权人签订协议时,实际也就自动同意与征信机构共享信用与付款记录。根据协议约定,申请者的账户信息与付款历史将被上报给TransUnion这类信用分析机构。


行业协会发出警告,应建立联合防御阵线


南非储蓄与投资协会(缩写:Asisa)高级政策顾问Johann van Tonder表示,协会中的不少成员都在使用TransUnion信用验证服务,此次泄露的信息很可能涉及南非人寿保险的投保人与投资者。


他还提到,“虽然黑客获得的客户信息似乎仅限于姓名、联系方式和身份证号码,但我们担心犯罪分子会利用这些信息来欺骗消费者、诱导他们给出账户密码。”


Van Tonder表示,金融部门非常清楚自身行业当前面临的持续网络安全威胁。为此,储蓄与投资协会已经成立了网络安全事件响应小组,鼓励并促进网络犯罪趋势及其他相关信息的共享,借此帮助各协会成员企业应对网络安全风险。而这支响应小组也成为金融领域的三大现有行业响应小组之一。

Van Tonder提到,负责打击网络犯罪的各部门之间必须建立合作。“为此,储蓄与投资协会正在与南非银行业风险信息中心(缩写:Sabric)密切合作,共同评估TransUnion南非数据泄露事件给南非消费者造成的整体影响。”


风险信息中心首席执行官Nischal Mewalall表示,该中心已经与TransUnion南非合作,希望协调银行业内的多方面努力、保障银行客户资料免受利用。他提到,“南非各银行高度重视客户数据安全,所以随着调查的推进已经制定出一系列强有力的风险缓解策略,意在检测潜在的账户欺诈行为并保护客户个人信息。”

Mewalall还补充道,个人信息泄露不代表攻击者一定可以访问到客户的银行资料或账户,但犯罪分子可以利用这些信息冒充成客户、或者诈骗受害者交出自己的银行机密信息。


为此,风险信息中心敦促各银行客户及其他消费者严格遵循全面的身份管理实践,借此降低身份盗用与欺诈活动风险,同时建议银行客户采取以下预防措施:

  • 对于任何通过电话、传真或电子邮件提出的机密信息要求,请勿透露密码、PIN码等个人信息。

  • 定期变更密码,切勿将密码与他人共享。

  • 对提供个人信息的要求进行充分验证,确保仅在有正当理由时提供这些信息。

  • 不继续使用可能已经泄露的信息,而应使用之前未用过的其他个人信息进行身份确认。

【阅读原文】



3、俄罗斯Sber银行建议其客户暂时停止软件更新



受俄乌冲突影响,俄罗斯 Sber 银行建议其客户暂时停止安装任何应用程序的软件更新,因为担心这些软件可能包含专门针对俄罗斯用户的恶意代码,被一些人称为“抗议软件”(protestware)。


Sber 的公告写道:“目前,挑衅性媒体内容被引入免费分发的软件的情况已经变得更加频繁。此外,各种内容和恶意代码可以被嵌入到用于软件开发的免费分发的库中。使用此类软件可能导致个人和企业计算机以及IT基础设施感染恶意软件”。


在迫切需要使用该软件的情况下,Sber建议客户用杀毒软件扫描文件或对源代码进行人工审查--这个建议对大多数用户来说可能不切实际,甚至不可能。虽然公告的内容很笼统,但很可能是指 3 月早些时候发生的事件,当时一个广泛使用的 JavaScript 库的开发者添加了一个更新,覆盖了位于俄罗斯或白俄罗斯机器上的文件。据称,该更新是为了抗议战争而实施的,它引起了开源社区许多人的警觉,担心它会破坏对开源软件整体安全性的信心。


该更新是在一个名为node-ipc的JavaScript模块中进行的,根据NPM软件包管理器的数据,该模块每周被下载约100万次,并被流行的前端开发框架Vue.js用作依赖。


据The Register报道,3月7日和3月8日对node-ipc的更新增加了一些代码,检查主机的IP地址是否位于俄罗斯或白俄罗斯,如果是,就用一个心形符号尽可能多地覆盖文件。该模块的后期版本取消了覆盖功能,而是在用户的桌面上投放了一个文本文件,其中包含一条信息:"战争不是答案,不管它有多糟糕",并附有Matisyahu的一首歌的链接。

【阅读原文】



2022年3月22日 星期二

今日资讯速览:

1、黑客称入侵了微软:拿到Bing和Cortana项目源代码


2、俄罗斯Sber银行建议其客户暂时停止软件更新


3、智库快讯丨俄罗斯参战军人个人信息泄露,网络战愈演愈烈



1、黑客称入侵了微软:拿到Bing和Cortana项目源代码



近日,据Reddit上的帖子和Cyber Kendra上的一份报告显示,LAPSUS$ (Lapsus) 组织入侵了微软的DevOps帐户,该组织此前入侵了NVIDIA和三星。下面的截图由Lapsus发布,但很快被删除,由Cyber Kendra保存了下来。该组织声称可以访问微软的一些DevOps资源。


据报道,该帖子在发布几分钟后删除,并补了一条消息“暂时删除,稍后再发布”。


从图中可以看到部分有关Bing和Cortana项目源代码的DevOps资源。

虽然对NVIDIA和三星电子的攻击让LAPSUS$有了知名度,但它其实早已臭名昭著。


去年12月,LAPSUS$攻击了巴西卫生部的网站,窃取了50TB的数据,导致数百万人无法获得疫苗数据。


元旦期间LAPSUS$攻击了葡萄牙最大的传媒集团Impresa,集团网站、SIC TV频道和Expresso网站被迫下线,电信网络运营商沃达丰此前也遭受了该黑客组织的攻击。


随着全球信息化的普及,黑客攻击的数量正在急剧增加,个人PC、企业官网、公共服务数据库等都已成为黑客攻击的目标,日益泛滥的黑客入侵已成为全球信息安全的重要挑战。

【阅读原文】



2、俄罗斯Sber银行建议其客户暂时停止软件更新



受俄乌冲突影响,俄罗斯 Sber 银行建议其客户暂时停止安装任何应用程序的软件更新,因为担心这些软件可能包含专门针对俄罗斯用户的恶意代码,被一些人称为“抗议软件”(protestware)。

anb6ycjy.webp

Sber 的公告写道:“目前,挑衅性媒体内容被引入免费分发的软件的情况已经变得更加频繁。此外,各种内容和恶意代码可以被嵌入到用于软件开发的免费分发的库中。使用此类软件可能导致个人和企业计算机以及IT基础设施感染恶意软件”。


在迫切需要使用该软件的情况下,Sber建议客户用杀毒软件扫描文件或对源代码进行人工审查--这个建议对大多数用户来说可能不切实际,甚至不可能。虽然公告的内容很笼统,但很可能是指 3 月早些时候发生的事件,当时一个广泛使用的 JavaScript 库的开发者添加了一个更新,覆盖了位于俄罗斯或白俄罗斯机器上的文件。据称,该更新是为了抗议战争而实施的,它引起了开源社区许多人的警觉,担心它会破坏对开源软件整体安全性的信心。


该更新是在一个名为node-ipc的JavaScript模块中进行的,根据NPM软件包管理器的数据,该模块每周被下载约100万次,并被流行的前端开发框架Vue.js用作依赖。


据The Register报道,3月7日和3月8日对node-ipc的更新增加了一些代码,检查主机的IP地址是否位于俄罗斯或白俄罗斯,如果是,就用一个心形符号尽可能多地覆盖文件。该模块的后期版本取消了覆盖功能,而是在用户的桌面上投放了一个文本文件,其中包含一条信息:"战争不是答案,不管它有多糟糕",并附有Matisyahu的一首歌的链接。

【阅读原文】



3、智库快讯丨俄罗斯参战军人个人信息泄露,网络战愈演愈烈



俄乌战事正酣之际,乌克兰媒体《乌克兰真理报》3月1日在其网站发布了在乌克兰作战的12万俄罗斯军人的个人信息,称这些信息由乌克兰国防战略中心获取,来源可靠。这12万条个人资料详细记录了12万俄军的名字、注册编号、服役地点、职务等信息,页数多达6616页。美国约翰霍布金斯大学高等国际研究院教授Thomas Rid在其社交媒体中表示,如果该泄露信息被证实,这将是有史以来最严重的个人信息泄露事件。前以色列外交官Elad Ratson认为,如果信息属实,这将是以人肉搜索作为武器在战争中的首次使用。


乌克兰国防战略中心是一家智库机构,由前乌克兰国防部长Andriy Zahorodniuk担任主任,主要成员包括乌克兰安全领域研究学者和前政府官员。此外,前美国驻乌克兰大使William Taylor、美国欧洲司令部司令Wesley Clark、来自英国的前乌克兰特别国防顾问Phil Jones、国王学院战争研究系教授Neville Bolt等,也是该中心的研究员。


事实上,俄乌在冲突爆发前,俄乌在网络上的斗争已如火如荼展开。在俄罗斯2月24日对乌克兰采取“特别军事行动”之前,就出现乌克兰政府机构和银行的网站遭遇DDoS攻击与黑客入侵、乌克兰政府网站和总统办公室主网页被克隆、乌克兰计算机上发现数据擦除恶意软件等网络攻击事件。乌克兰也在网络上招募了一支由安全研究人员和黑客组成的志愿“IT军队”,对俄罗斯进行网络攻击。据报道,美国政府也在通过黑客或者自身的网络战武器来对俄发动大规模网络攻击。国际黑客组织“匿名者”(Anonymous)则宣布对俄发动“网络战争”。


随着实体战争开打,网络空间和数据世界战况也日趋激烈,情势也比地面更加混乱。俄多个政府网站被黑下线,总统普京的官方网站克里姆林宫、俄罗斯国防部、俄罗斯议会、国营媒体今日俄罗斯等核心政府门户关闭;俄罗斯与全球互联网断开,启动自己的“大局域网”Runet;由于被西方制裁,最近俄罗斯媒体称本国的数据储存空间只够使用2个月,本国IT产业发展和智慧城市建设面临着巨大危机。而在乌克兰方面,部分军事官员和公众人物的社交帐号被黑,发出与俄乌战争相关的假消息,如乌军投降的假影片。国际方面,“匿名者”入侵俄罗斯流媒体服务,播放战争画面…… 。


俄乌军事冲突升级后,围绕战事的各种虚假消息满天飞,让人真假难辨。这虽然是一种舆论战、心理战,但也是网络战的进攻形式。因为进攻型网络行动包括了网络破坏和网络影响行动两类,这次乌克兰公开俄罗斯参战军人的个人信息和传播虚假信息一样,同属于网络影响行动这一类进攻型网络行动,国家间的斗争“精细化”到了对作战个人的“网络暴力”。总体而言,通过网络空间发布有利于己方和不利于对方的虚实信息,既可以试探对手反应,也可以起到震慑的作用,最终达到瓦解人心、加速作战进程的意图。从历史上看,大量个人信息泄露会对当事人及其所在组织产生极大的心理影响。乌克兰网民打算利用这种对俄罗斯军人个人的信息战和心理战,来击溃俄军的作战意志。由此可见,个人信息泄露不仅会损害当事人利益,在特殊时期大规模泄露甚至可能危害国家安全和利益。保护个人信息,特别是保护包括特定身份的个人敏感信息由此也就有了更重要的战略意义。

【阅读原文】



2022年3月21日 星期一

今日资讯速览:

1、俄乌冲突下,美国对“关基”的未雨绸缪


2、新型LokiLocker勒索软件会擦除整个PC上的文件


3、CISA与FBI在Viasat网络攻击后发出警告 美国卫星通讯亦面临安全威胁



1、俄乌冲突下,美国对“关基”的未雨绸缪








自2月24日起,俄乌冲突持续焦灼,关键基础设施成为网络攻击重点。战前乌克兰政务、金融基础设施多次受损,开战后乌克兰电信基础设施经常性中断服务,俄罗斯政务等基础设施也出现无法访问情况。在俄乌冲突升级背景下,3月11日,美国众议院通过《关键基础设施网络事件报告》法案,该法案要求关键基础设施所有者和运营商在遇到重大网络攻击72小时内、被勒索软件勒索付款的24小时内向网络安全和基础设施安全局(CISA)报告。这项法律将使联邦机构更深入地了解攻击趋势,并可能有助于在重大漏洞或攻击蔓延之前提供早期预警。在俄乌混合战争引爆全球“关基”网络安全危机的时刻,美国通过《关键基础设施网络事件报告法案》不愧为未雨绸缪,为应对网络安全态势现代化的需求提前做好准备。













俄乌冲突间接推动美国网络安全立法变革







随着科技不断发展,现代战争的形式已经不再局限于热战。作为第二种战争模式的“网络战争”虽不见硝烟,但它让现代战争变得更加快速且具有破坏力,可能不费一兵一卒,但它所带来的危害其实并不亚于现实战争,可对目标国重要基础设施实现精准打击。此次俄乌对战,以国家为打击目标、摧毁国防、军工、能源关键基础设施,公共通信、金融、电子政务等各种关键信息基础设施“断网”的背后,无不透露出新型网络战已经具备实体攻击的能力。


(一)美国国家网络安全立法发展进程主要事件


俄乌冲突引发的一系列网络安全问题,间接推动了美国网络安全立法的变革,有助于立法者克服时间和权限障碍通过立法,要求关键基础设施的私营部门所有者向政府报告网络安全事件,并推动《网络安全增强法》的更新。


表1美国国家网络安全立法主要事件追溯

图片

(二)《网络安全增强法(2022)》重点更新内容


3月1日,美国参议院通过《美国网络安全增强法(2022)》。该法由《网络事件报告法案》、《联邦信息安全现代化》和《 联邦安全云改进和就业法案》三项网络安全法案措施组成。总体来看,该法包含旨在使美国联邦政府的网络安全态势现代化的若干措施。试图通过简化之前的网络安全法案来改善联邦机构之间的协调,并要求所有民事机构向CISA报告网络攻击。法案的通过将有助于确保银行、电网、供水网络和交通系统等关键基础设施实体能够在网络遭到破坏时迅速恢复并向人们提供基本服务。


《网络事件报告法案》更新了各机构向国会报告网络事件的规定,并赋予CISA更多权力,以确保其是民用网络安全事件主要负责机构。“最重要的”措施要求关键基础设施的运营商在攻击发生后七十二小时内通知CISA;在勒索软件支付后二十四小时内通知CISA。《联邦信息安全现代化》重点集成了更有效的网络安全实践。《 联邦安全云改进和就业法案》加速部署云计算产品和服务,并大力推动采用安全云能力、创建工作并减少对遗留信息技术依赖。








美国对关键基础设施保护的布







美国作为网络技术的发起国和强大网络空间势力的拥有国,也是关键基础设施保护起步最早的国家。美国国土安全部作为关键基础设施的主管部门,也肩负着保障国家安全的重要职责,基于此,美国关键基础设施安全保障的战略思路和法律政策,从一开始就与国家安全挂钩,相比其他国家,站得更高,布局更加宽广。


(一)站位高瞻,战略地位挂钩国家安全


结合2015年美国政府《网络安全法案》、 3月1日参议院通过《美国网络安全增强法(2022)》,以及NIST根据法案提出针对关键基础设施的具体框架指南,美国关键基础设施安全的战略地位全面与国家安全挂钩。近几年,安全威胁呈现出线上线下联动的态势,加之此次俄乌冲突中暴露出来的关键基础设施成为网攻重点对象,关键基础设施战略地位呈不断抬升之势。美国参议院国土安全和政府事务委员会主席加里·彼得斯认为,《美国网络安全增强法(2022)》的通过,是具有战略里程碑意义的,是确保美国能够反击的重要一步,将确保 CISA 成为主要的政府机构,负责帮助关键基础设施运营商和民用联邦机构应对重大网络漏洞并从中恢复,并减轻黑客对运营的影响。


(二)明确范围,重视物理与网络空间安全保护


美国在保护关键基础设施物理空间安全的同时更加重视网络空间安全,并且不断调整变化关键基础设施的范围以适应新时期的需要,最终固化形成了16个美国关键基础设施行业范围。


表2 美国关键基础设施行业范围与对口机构

图片

(三)自顶向下,行成网络安全保护体系规范


1996年,第一个针对关键基础设施的行政令,13010号行政令拉开了对关键基础设备保护的序幕。2013年3636号行政令《增强关键基础设施网络安全》提出网络安全已成为关键基础设施保护的重点,应当长期巩固关键基础设施的安全性和弹性能力。2015年颁布《网络安全法》,明确了国土安全部在网络安全领域的主责地位。2016年《网络安全国家行动计划》,要求加强公共和私营部门的网络安全合作,制定网络安全框架以提高关键基础设施网络安全。2018年NIST发布新的《关键基础设施网络安全改进框架》V1.1版本,提出了自我风险评估、供应链安全、认证授权、漏洞管理等方面框架要求,为关键基础设施提供了更细粒度的指导。


通过发布《2015网络安全法》、《2016网络安全国家行动计划》《2018设施网络安全改进框架》《2022网络安全增强法》等,美国构建了一个自顶向下的以国土安全部为主责部门、以风险评估管控为准则、以公私合作信息共享为基础的关键基础设施保护体系规范。








结 语







前事不忘,后事之师。这次俄乌之间的网络战争给了我们很多启发,美国此刻“加急”一致通过《网络安全增强法》以推动适应网络安全态势现代化的需要。在国际纠纷日益激烈的今天,中国庞大的关键基础设施也同样面临着各种各样的网络攻击威胁,全力提升关键基础设施安全保护能力,掌握更加先进的技术,加强网络安全人才教育与培训考核,提升关键信息基础设施人才技术与管理能力势在必行。


另方面近年来,我国也持续在重要行业和领域加大网络安全保障建设的投入,发布《中华人民共和国网络安全法》,《关键信息基础设施安全保护条例》也于2021年9月1日起正式施行,但是关键信息基础设施的具体保护范围也有待进一步明晰, 建议借鉴美国经验对极其重要的关键基础设施划分保护范围,明确对应责任机构,规定强制性的监管义务和标准。从美国《关键基础设施网络事件报告》最重要的改革措施看出对关键基础设施安全事件响应精准及时的重要性,而我国也可能存在政府职能部门、科研机构、教育机构、骨干企业、测评机构之间在关键基础设施保护体系的协调配合不够流畅的情况,建议通过网络安全测评、动态演练、逐步优化,提升关键基础设施动态防护水平的同时,改善政府、企业、测评机构之间的沟通协调,形成言简意赅的“上传下达”的机制,能及时发现、完整响应、缓解并提醒关键基础设施相关人员注意正在发生以及即将发生的攻击。

【阅读原文】



2、新型LokiLocker勒索软件会擦除整个PC上的文件



黑莓威胁情报(BlackBerry Threat Intelligence)团队刚刚发出警报 —— 一款自 2021 年 8 月存续至今的 LokiLocker 勒索软件,正在互联网上传播肆虐。据悉,该恶意软件采用了 AES + RSA 的加密方案,若用户拒绝在指定期限内支付赎金,它就会擦除其 PC 上的所有文件 —— 包括删除所有非系统文件、以及覆盖硬盘上的主引导记录(MBR)。

(图自:BlackBerry Threat Intelligence)


目前尚不清楚 LokiLocker 勒索软件的起源,但代码分析发现它是用英语编写的,这点让安全研究人员感到很是疑惑。

lokilocker-fig01.png

图 1 - KoiVM 混淆器版本号


至于 LokiLocker 的受害者,世界各地都有分散,但主要分布在东欧和亚洲地区。

lokilocker-fig02.png

图 2 - Koi、NETGuard 与混淆类名


不过黑莓威胁情报团队认为,用于开发 LokiLocker 的工具,是由名为 AccountCrack 的伊朗破解团队开发的。

lokilocker-fig03.png

图 3 - Loki 函数为空或无法反编译


当然,仅凭这一点,还无法最终认定 LokiLocker 勒索软件的起源。

lokilocker-fig04.png

图 4 - WinAPI 包装器


对于普通用户来说,还请始终对各种不明链接保持警惕、确保开启 Windows 安全中心、并在启用受控文件夹访问策略。

lokilocker-fig05.png

图 5 - Loki 配置


最后,为了在不幸中招后有机会恢复文件,平日里也可通过 OneDrive 等网盘服务进行定期同步备份。

lokilocker-fig06.png

图 6 - KoiVM 虚拟化功能

【阅读原文】



3、CISA与FBI在Viasat网络攻击后发出警告 美国卫星通讯亦面临安全威胁



因担心俄乌冲突引发的近期针对欧洲卫星网络发起的攻击可能很快蔓延到美国本土,政府机构已经向卫星通信网络运营商发出了“潜在威胁”预警。在美国网络安全与基础设施安全局(CISA)和联邦调查局(FBI)本周联合发布的一份公告中,其敦促卫星通讯(SATCOM)网络提供商和基础设施组织加强安全防御。若被入侵,或对其客户造成难以预知的风险。

截图(来自:CISA)


虽然安全公告中没有列出受威胁的具体部门,但鉴于卫星通讯在美国各地的普遍性,各大卫星通讯服务提供商仍不可掉以轻心。据估计,全美约有 800 万人在依靠 SATCOM 网络访问互联网。


专门从事卫星通信系统的网络安全专家 Ruben Santamarta 指出,卫星网络被广泛应用于航空、政府、媒体、军事,以及位于偏远地区的天然气设施、以及电力服务站等行业。


对于美国军方来说,尤其应该对此类攻击提高警惕。Santamarta 指出,2 月针对 Viasat 的网络攻击,已导致数以万计的客户离线,表明这类手段足以造成相当大的损害。


此外乌克兰军方的一名代表承认,该国正在使用这种卫星终端,攻击对其造成了通讯方面的巨大损失,且军方也是当前受到影响的最重要部门之一。

最后,海运等行业同样面临着此类安全威胁,而且事情不仅仅与网络安全有关。由于传播使用卫星通讯来开展安全操作,若未能顺利通过无线电频率或卫星通讯频道发送遇险呼叫信息,后果也将不堪设想。

【阅读原文】



2022年3月18日 星期五

今日资讯速览:

1、俄罗斯管道巨头Transneft遭攻击 79GB数据泄露


2、数百个GoDaddy托管的网站,短时间内被部署了后门


3、Microsoft Defender出现严重误报:自家Office更新被检测为勒索软件



1、俄罗斯管道巨头Transneft遭攻击 79GB数据泄露



俄乌冲突进入第 3 周,一些非常规行为者继续针对俄罗斯国家支持的企业发起攻击,进行一连串的黑客攻击和数据泄露。而由俄罗斯国家控制的石油管道巨头 Transneft 无疑成为了重点攻击对象。

fnghcaqs.webp

Transneft总部


本周四,泄密托管网站 Distributed Denial of Secrets 发布了一个 79GB 的电子邮件链接,这些电子邮件来自 Transneft 的研发部门 Omega 公司。

Transneft的总部设在莫斯科,是世界上最大的管道公司。作为一家俄罗斯国有企业,根据对俄罗斯的制裁条款,它现在被阻止接受来自美国市场的投资。

cidgnu0t.webp

它的内部研发单位 Omega 公司生产一系列用于石油管道的高科技声学和温度监测系统,具有讽刺意味的是,这些系统主要用于泄漏检测。


泄露的电子邮件似乎包含了公司员工的多个电子邮件账户的内容,不仅包括电子邮件信息,还包括包含发票和产品发货细节的文件附件,以及显示服务器机架和其他设备配置的图像文件。


不寻常的是,根据分布式拒绝秘密组织随同电子邮件上传的一份说明,消息来源将泄漏的数据献给希拉里·克林顿。在 2 月份接受 MSNBC 采访时,克林顿采取了非常规的措施,鼓励 Anonymous 对俄罗斯发动网络攻击。克林顿说:“热爱自由的人,了解我们的生活方式取决于支持那些也相信自由的人,可以参与对俄罗斯街头的人进行网络支持”。

【阅读原文】



2、数百个GoDaddy托管的网站,短时间内被部署了后门



Bleeping Computer 网站披露,网络安全分析师发现 GoDaddy 管理服务器上托管的部分 WordPress 网站,被部署了大量后门,所有网站都具有相同的后门有效载荷。

据悉,这次网络攻击可能影响到许多互联网服务经销商,已知的包括 MediaTemple、tsoHost、123Reg、Domain Factory、Heart Internet和Host Europe Managed WordPress 等。


2022 年 2 月 11 日,Wordfenc 安全团队首次观察到此次恶意活动。经过一段时间追踪,发现 24 小时内约有 298 个网站感染后门,其中 281 个网站托管在 GoDaddy。

网络安全研究员透漏,感染后门的网站允许攻击者从 C2 中获取垃圾邮件链接模板,用于将恶意网页注入到用户搜索结果中,进行虚假宣传,诱导受害者购买假冒产品。


此外,攻击者还能够通过更改网站内容等明显违规行为,损害网站声誉,但这些似乎都不是威胁者最终目的。


糟糕的是,这种模式的网络攻击发生在服务器上而不是浏览器上,很难从用户端检测到和阻止,因此本地网络安全工具不会检测到任何可疑的东西。


供应链攻击


此次网络攻击的入侵载体还没有得到确定,虽然看起来很接近供应链攻击,但目前不能证实。


无论如何,如果用户的网站托管在GoDaddy的WordPress管理平台上,请务必尽快扫描wp-config.php文件,查找潜在的后门注入。

值得注意的是,2021 年 11 月,GoDaddy 披露一起数据泄露事件,影响范围涵盖 120 万客户和多个WordPress 管理服务经销商,包含上文提到的六个。


Bleeping Computer 已经联系了 GoDaddy,期望获取更多关于攻击活动的信息,但没有收到回复。

【阅读原文】



3、Microsoft Defender出现严重误报:自家Office更新被检测为勒索软件



Microsoft Defender for Endpoint 今天出现了非常严重的误报事件,竟然将自家的 Office 应用程序更新 OfficeSvcMgr.exe 检测为勒索软件。今天早些时候,系统管理员在更新 Microsoft Defender for Endpoint 时注意到了恶意程序误报。随后微软承认确实存在这个问题。

QQ截图20220317102543.jpg

在 Reddit 社区上,安全与合规首席技术专家 Steve Scholz 在那里的一个帖子中解释了这个问题。他写道:

请注意:

这是一个误报,现在已经被纠正了。

从3月16日上午开始,客户可能经历了一系列的假阳性检测,这归因于文件系统中的勒索软件行为检测。微软已经调查了这一检测高峰,并确定它们是假阳性结果。微软已经更新了云逻辑,以抑制误报结果。

说明

- 客户可能遇到了一系列误报检测,这些检测可归因于文件系统中的勒索软件行为检测。

- 微软已经更新了云计算逻辑,以防止今后产生警报,并清除以前的误报。

在同一主题的另一个回应中,Scholz解释说,这个问题是由一个代码问题引起的,后来已经被修复。

【阅读原文】



2022年3月17日 星期四

今日资讯速览:

1、俄罗斯面临IT危机 距离数据存储空间耗尽只剩下两个月


2、育碧:经历一起网络安全事件,但未泄露玩家信息


3、谷歌解释野外攻击为何增加 浏览器安全形势在稳中向好



1、俄罗斯面临IT危机 距离数据存储空间耗尽只剩下两个月



在西方云计算供应商撤出俄罗斯后,俄罗斯面临严峻的IT存储危机,在数据存储耗尽之前,俄罗斯只剩下两个月的时间。这些解决方案是在数字转型部举行的一次会议上提出的,出席会议的有Sberbank、MTS、Oxygen、Rostelecom、Atom-Data、Croc和Yandex的代表。

QQ图片20220317012837.png
据俄罗斯新闻媒体《生意人报》(Kommersant)声称有消息来源证实了这一提议,各方估计在可用存储空间耗尽之前,他们大约还有两个月的时间。由于受到制裁,在西方云存储服务切断与该国的业务联系后,所有俄罗斯公司被迫转向国内云存储服务提供商。


例如,俄罗斯移动运营商MegaFon对本地存储容量的需求增加了五倍,MTS增加了十倍,而VK在短短一周内不得不寻求增加20%的存储资源。这造成了一个无法克服的实际问题,因为俄罗斯没有足够的数据中心来满足当地运营商的需求;因此,需要一个全国性的解决方案来解决俄罗斯的存储危机。


Kommersant进一步解释说,这种情况正好与俄罗斯公共机构的存储需求成倍增长相吻合,因为"智慧城市"项目涉及广泛的视频监控和面部识别系统。上周,数字发展部修改了Yarovaya法(2016年),暂停要求电信运营商每年为反恐监控目的增加15%的存储容量分配。


另一个可以释放空间的举措是要求互联网服务供应商放弃媒体流媒体服务和其他在线娱乐平台,这些服务会吞噬宝贵的资源。第三,可以选择买断国内数据处理中心的所有可用存储。然而,这很可能会给需要额外存储来增加服务和内容的娱乐供应商带来更多问题。


俄罗斯还在考虑收缴从俄罗斯撤出的公司留下的IT服务器和存储,并将其纳入公共基础设施。据当地媒体报道,该部目前正在分析,如果政府颁布此类政策,将有多少资源可以利用。如果这些资源足以支持关键的国家行动,那么将制定一个快速通道程序。

【阅读原文】



2、育碧:经历一起网络安全事件,但未泄露玩家信息



【环球网科技综合报道】3月15日消息,据外媒报道,游戏开发商和发行商育碧近日发布公告,称该公司经历了一起网络安全事件,但玩家信息没有被泄露。

根据公告,这起网络安全事件导致育碧的一些游戏、系统和服务暂时中断。育碧的 IT 团队已与外部专家合作调查该问题。作为一项预防措施,育碧启动了全公司范围的密码重置。



育碧方面表示,“我们可以确认,所有的游戏和服务都在正常运行,并且目前没有证据表明任何玩家的个人信息被访问或暴露。”


据外媒介绍,这已不是育碧第一次卷入网络攻击。2014 年 2 月,育碧论坛遭遇数据泄露。2018 年 7 月,育碧成为一系列大规模 DDoS 攻击(分布式拒绝服务攻击)的受害者。

【阅读原文】



3、谷歌解释野外攻击为何增加 浏览器安全形势在稳中向好



上周,Chrome Security 团队的 Adrian Taylor,在一篇谷歌安全博客文章中解释了“为何在野外被利用的 CVE 漏洞似乎有所增加”。对于这种漏洞利用的可见性增长趋势,归咎于多个方面的因素。而谷歌旗下的 Project Zero 团队,也有对包括 WebKit、IE、Flash、Firefox 和 Chrome 在内的所有已识别的浏览器零日漏洞展开追踪。

(来自:Google Security Blog)


从 2019 到 2021 年,Chrome 上的这些漏洞利用增势非常明显。但在 2015 到 2018 年,Chrome 却没有记录到零日漏洞。


Chrome Security 团队解释称,虽然这并不意味着完全没有针对 Chromium 内核的浏览器漏洞利用,但由于缺乏完整的归纳试图,可用数据或存在抽样偏差。


那为何大家还是感觉漏洞变多了呢?Chrome Security 将之归结于四个可能的原因 ——(1)供应商透明度、(2)攻击者焦点的演变、(3)站点隔离项目的完工、以及(4)软件错误的复杂性。

● 首先,许多浏览器厂商都在一改往日的做法,主动通过各自的渠道来披露此类漏洞利用的详情。

● 其次,攻击者的关注点发生了转移。随着 Microsoft Edge 于 2020 年初切换至 Chromium 渲染引擎,攻击者也自然地盯上了更广泛的受众群体。

● 第三,错误的增加,或源于最近完成的持续多年的站点隔离项目 —— 其使得一个 bug 的出现,不至于对全局造成过大的伤害。

● 第四,基于软件存在 bug 这一简单事实,我们必须承认其中有一小部分可被攻击者拿来利用。随着浏览器与操作系统变得日益复杂,更多的错误也是难以避免。

0day blog image 1 .png

零日漏洞趋势


综上所述,漏洞数量已不再和安全风险直接画等号。即便如此,Chrome 团队仍保证他们会在发布前,努力检测并修复错误。


在利用已知漏洞的 n-day 攻击方面,其“补丁空窗期”已显著减少(Chrome 为 35 天 / 平均 76~18 天)。此外为了防患于未然,Chrome 团队还在努力让攻击变得更加复杂和代价高昂。


在具体正在实施的改进中,包括了不断增强的站点隔离,尤其是针对 Android、V8 heap sandbox 沙箱、MiraclePtr / Scan 项目、内存安全编程语言等新组件,以及被野外利用后的缓解措施等。


最后,对于普通用户来说,最简单的应对方法,就是在看到 Chrome 更新提醒的第一时间执行操作。

【阅读原文】



2022年3月16日 星期三

今日资讯速览:

1、多款App上线算法关闭键 媒体点赞:理应把算法开关交给消费者


2、丰田供应商遭遇网络攻击,大量内部信息外漏


3、以色列政府数个网站遭遇网络攻击:现正从瘫痪中恢复



1、多款App上线算法关闭键 媒体点赞:理应把算法开关交给消费者


网络安全、数字安全是托起数字经济的底层逻辑,不能建立在侵害消费者知情权与选择权的基础上。算法开关给了消费者选择权,还应进一步保障消费者知情权。数据收集透明、规范,不仅是对消费者的保护,更是对企业自身的一种保护。


改了改了,他们都改了!据不完全统计,截至3月15日,抖音、今日头条、微信、淘宝、百度、大众点评、微博、小红书等App均已上线算法关闭键,允许用户在后台一键关闭“个性化推荐”。在“3·15”国际消费者权益日到来之际,个人隐私保护跨出一大步、消费者权益得以保障,令人欣慰。


近几年,不少App打着“千人千面”的口号,基于算法为用户提供精准推送。市场也很认可这种商业模式,谁把用户的心思猜得准,谁的广告就赚得多。但App们极少主动提示“千人千面”会大规模收集和使用用户个人信息,更不会冒着断自己财路的风险,设计算法关闭键。


直到今年1月,《互联网信息服务算法推荐管理规定》出台,明确了算法推荐服务提供者应当以显著方式告知用户其提供算法推荐服务的情况;向用户提供不针对其个人特征的选项,或者向用户提供便捷的关闭算法推荐服务的选项。该规定自3月1日起施行,App们不想改也不行了。


个性化推荐有助于改善用户体验。用户不管是喜欢小动物、美食还是美妆,都不用到处去搜索资源,算法会源源不断地推荐。不太美好的一面在于,算法很了解用户,但用户对算法几乎一无所知;算法强大到能控制用户的眼睛,甚至基于算法实施“大数据杀熟”,但用户对此几乎无计可施。


北京大学互联网发展研究中心发布的《中国大安全感知报告(2021)》显示,受访者中,60%担心自己的信息在数字环境中有泄露风险,70%担心个人喜好、兴趣被算法“算计”,50%表示在算法束缚下想要逃离网络、远离手机。这意味着算法构建的不只是“信息茧房”,还可能是“信息囚笼”,用户明知不妥又挣不脱。算法新规就是要求App们给笼门配一把钥匙,并交到用户手中。


目前大部分App都把算法关闭键埋得比较深,这点小心思可以理解。其实,“算法开关”不是自废武功,而是补地基上的漏洞,有利于合规企业进一步发挥优势。网络安全、数字安全是托起数字经济的底层逻辑,不能建立在侵害消费者知情权与选择权的基础上,企业对此心知肚明。有一个有意思的现象——按理说,以算法起家的字节跳动系应该最忌惮关闭算法,可偏偏它旗下产品设置的算法开关位置最显眼、分类最齐全。一方面,这说明企业对自己的服务有信心,相信消费者会自愿打开;另一方面,这也在一定程度上表明部分企业已经意识到数据收集越透明、越规范,对自己越是一种保护。


算法开关给了消费者选择权,还应进一步保障消费者知情权。算法不该是企业手里的“黑匣子”,而应是用户眼前的透明鱼缸。用户不用弄懂鱼缸的生态系统如何运转,但有权知道鱼缸里装了什么。这方面,微信、大众点评等App列出了“个人信息收集清单”,告诉消费者自己收集了哪些信息,以及如何使用这些信息。这种明确告知有必要成为行业共识。


设置算法开关只是保障数字安全的第一步。如果得到消费者信任,企业可以继续优化算法,推荐向上向善的内容,增强用户黏性;如果消费者选择关闭,企业也可以采用其他方式改善消费者体验,但要注意不能故意提供过时、低质信息逼消费者打开算法,实质上侵害消费者选择权。总之,消费者的心思可以猜,但猜的企业要合法合规,被猜的用户得心甘情愿。

【阅读原文】



2、丰田供应商遭遇网络攻击,大量内部信息外漏


【阅读原文】



3、以色列政府数个网站遭遇网络攻击:现正从瘫痪中恢复


以色列似乎正在从一场大规模的网络攻击中恢复过来。据Haaretz和Kan的Amichai Stein报道,攻击者在周一晚上攻陷了几个以色列政府网站,其中包括卫生部、内政部、司法部和福利部网站。总理办公室的网站也受到了影响。以色列国家网络管理局在一份声明中称,现在所有的网站都已重新上线。


虽然以色列政府还没有正式确定可能的肇事者,但它指出这些网站是拒绝服务攻击的受害者,该攻击使它们的流量泛滥。消息称,网络攻击的目标是拥有gov.il域名的网站,另外还怀疑是一个国家行为者或一个“大型组织”所为。另外获悉,一个跟伊朗有联系的黑客组织据称对这些攻击负责,而且这可能是对以色列针对伊朗核设施的行动的报复。不过,这两件事都没有得到证实。


据该国的一位国防人士透露,目前还不清楚这是否是迄今为止针对以色列的最大的网络攻击。然而,据报道,国家武装部队和国防官员的担忧足以宣布进入紧急状态并审查可能的损害,其中包括任何可能危及其他关键网站和关键基础设施的情况。


据了解,这些拒绝服务攻击不太可能造成很大的损害。它们只是让网站更难访问,但没有证据表明肇事者破坏了网站或泄露了数据。

【阅读原文】



2022年3月15日 星期二

今日资讯速览:

1、流行软件包管理器中发现多重安全漏洞


2、YouTube上的 Valorant 骗局:RedLine 感染


3、浏览器要天下大同的节奏?谷歌浏览器也学习微软推出侧边搜索功能



1、流行软件包管理器中发现多重安全漏洞



Hackernews 编译,转载请注明出处:

Software Package Managers

在流行的包管理器中已经揭露多个安全漏洞,如果被潜在黑客利用,可能被滥用来运行任意代码和访问敏感信息,包括受感染设备的源代码和访问令牌。


然而,值得注意的是,这些漏洞要求目标开发人员同时处理一个受影响的软件包管理器和一个恶意软件包。


SonarSource 的研究员 Paul Gerste 说: “这意味着攻击不能远程直接针对开发人员的机器,并且需要欺骗开发人员来加载格式不正确的文件。”“但你是否总是足够了解并信任来自互联网或公司内部仓库的所有软件包的提供者呢?”


包管理器指的是用于自动安装、升级和配置开发应用程序所需的第三方依赖项的系统或一组工具。


虽然流氓库将存储库打包存在自带的安全风险——需要对依赖关系进行适当的审查,以防止出现类型定义错误和依赖混淆攻击——但“管理依赖关系的行为通常不被视为具有潜在风险的操作”


但是,在各种软件包管理器中新发现的问题表明,攻击者可以将这些软件包武器化,诱骗受害者执行恶意代码。这些漏洞已经在以下软件包管理器中被识别出来:

  • Composer 1.x < 1.10.23 and 2.x < 2.1.9
  • Bundler < 2.2.33
  • Bower < 1.8.13
  • Poetry < 1.1.9
  • Yarn < 1.22.13
  • pnpm < 6.15.1
  • Pip (no fix), and
  • Pipenv (no fix)

其中最主要的漏洞是 Composer 的 browse 命令中的命令注入漏洞,这个漏洞被滥用,通过向已发布的恶意程序包插入 URL 来实现任意代码执行。


如果包利用类型定位或依赖关系混淆技术,它可能会导致这样一种情况,即运行库的浏览命令可能导致检索下一阶段的有效负载,然后该有效负载用来发动进一步的攻击。


在 Bundler、 Poetry、 Yarn、 Composer、 Pip 和 Pipenv 中发现的附加参数注入和不可信搜索路径漏洞意味着,黑客可以通过添加恶意软件的 git 可执行文件或攻击者控制的文件(如用于指定 Ruby 程序依赖项的 Gemfile)获得代码执行。


在2021年9月9日的披露之后,针对 Composer,Bundler,Bower,Poetry,Yarn 和 Pnpm 中的问题已经发布了修复程序。但是 Composer、 Pip 和 Pipenv 都受到不可信搜索路径漏洞的影响,他们选择不解决这个 bug。


“开发者是网络犯罪的香饽饽,因为他们可以访问公司的核心知识产权资产: 源代码,”Gerste 说。“攻击他们可以让攻击者进行间谍活动,或者在公司的产品中嵌入恶意代码。这甚至可能被用来实施供应链攻击。”

【阅读原文】



2、YouTube上的 Valorant 骗局:RedLine 感染



Hackernews 编译,转载请注明出处:

7d5cab096d6289c79e8f83c89100b18

韩国安全分析人士在YouTube上发现了一场恶意软件传播活动,攻击者使用Valorant当做诱饵,诱骗玩家下载RedLine——一个强大的信息窃取工具。


这种类型的滥用是相当普遍的,因为黑客发现绕过YouTube的新内容提交审核,或者在被举报和禁号时创建新账户都是很容易的。


ASEC发现的这一活动针对的是Valorant游戏社区,这是一款免费的Windows第一人称射击游戏,在视频描述中提供了一个自动瞄准机器人的下载链接。

734b90d2f1bcde423e28e62a2ed5103

假自动瞄准机器人(ASEC)宣传视频


据称,这些骗术是安装在游戏中的外挂,以帮助玩家快速精准瞄准敌人,不用任何技巧就能爆头。


自动瞄准机器人在 Valorant 等热门多人游戏中非常受欢迎,因为它们可以自动瞄准,玩家轻松排名进步。


植入 Redline


试图下载视频描述中的文件的玩家将被带到anonfiles页面,在那里他们会获取一个RAR存档,其中包含一个名为“Cheat installer.exe”的可执行文件。


实际上,这个文件是RedLine 信息窃取程序的副本,RedLine stealer 是最广泛使用的窃取密码的恶意软件感染之一,它从受感染的系统窃取以下数据:

  • 基本信息:计算机名、用户名、IP地址、Windows版本、系统信息(CPU、GPU、RAM等)、进程列表
  • Web浏览器:密码、信用卡号码、自动填充表单、书签和Chrome、Firefox中的cookie
  • 加密货币钱包:Armory、AtomicWallet、bitcoinore、byteccoin、DashCore、Electrum、Ethereum、LitecoinCore、Monero、Exodus、Zcash和Jaxx
  • VPN客户端:ProtonVPN、OpenVPN、NordVPN
  • 其他:FileZilla(主机地址、端口号、用户名和密码),Minecraft(帐户凭据,级别,排名),Steam(客户端会话),Discord(令牌信息)


在收集了这些信息之后,RedLine巧妙地将其打包到一个名为“().zip”的ZIP压缩包中,并通过WebHook API POST请求将其导出文件到一个Discord服务器。

381a60ae294267a83a8a4219d79248d

不要相信YouTube视频中的链接


除此之外,电子游戏中的作弊行为会破坏游戏的乐趣,另外,它总归是一个潜在的严重的安全风险。


这些作弊工具都不是由可信的实体编写的,也没有数字签名(所以反病毒警告肯定会被忽略),而且很多确实是恶意软件。


ASEC的报告包含了最近的一个例子,但这只是恶意下载链接的海洋中的一小部分,它们藏在在YouTube宣传各种各样的免费软件的视频中。


宣传这些工具的视频通常是从其他地方偷来的,并在新创建的渠道上恶意转发,充当诱饵。


即使这些视频下面的评论称赞上传者,并声称该工具如宣称的那样有效,它们也不应该被信任,因为这些很容易被伪造。

【阅读原文】



3、浏览器要天下大同的节奏?谷歌浏览器也学习微软推出侧边搜索功能



微软很早就在其浏览器里支持侧边搜索功能,当用户使用侧边搜索时可以停留在当前页面然后边栏显示搜索。


谷歌似乎觉得这个功能也不错,所以在谷歌浏览器金丝雀版里谷歌也增加实验性选项可以用来启用侧边搜索。


微软将搜索边栏放在页面右侧,谷歌则将搜索边栏放在左侧;微软使用右键菜单,谷歌则使用专用搜索按钮。

谷歌浏览器也学微软开发侧边搜索功能 查看页面同时查看搜索结果

▲图片来自Techdows



侧边搜索的实际意义:


对于经常使用搜索引擎的用户来说侧边搜索还是有用处的,尤其是边看资料同时还需要查询其他关键词结果。


当用户使用侧边搜索时不必切换到新标签页,也不需要关闭当前的页面,而侧边搜索看完后就可以直接关闭。


蓝点网极少数时候会使用微软的侧边搜索功能,一方面是使用习惯问题,另一方面则是好像也没有这类需求。


所以关于侧边搜索是否有用取决于用户实际使用需求,只不过比较讨厌的是微软和谷歌都不能禁用侧边搜索。


例如在 Microsoft Edge 中侧边搜索按钮是放在右键菜单中的,本来微软右键选项就非常多还不能按需删除。


谷歌的边栏搜索是在主页按钮旁边加上谷歌搜索的按钮,启用实验性功能后也无法直接设置里关闭这个按钮。


未来谷歌正式推出该功能且无法通过实验性设置禁用后,那这个侧边搜索按钮很有可能就会一直被保留下去。



启用侧边搜索功能:


需升级至Google Chrome Canary 101.0.4942.0版,升级完成后地址栏输入chrome://flags/#side-search


将这个实验性选项开启后按提示重启浏览器即可,重启后谷歌浏览器左上角主页按钮旁边出现侧边搜索按钮。


不过蓝点网测试时启用此功能也看不到侧边搜索按钮,有可能当前谷歌仅面向部分市场的用户提供这个功能。

谷歌浏览器也学微软开发侧边搜索功能 查看页面同时查看搜索结果

【阅读原文】



2022年3月14日 星期一

今日资讯速览:

1、APC智能UPS发现“爆炸性”漏洞


2、欧洲立法者对欧盟国家使用Pegasus软件展开调查


3、日本电装德国分部大量机密数据被窃取 黑客威胁将公开



1、APC智能UPS发现“爆炸性”漏洞


【阅读原文】



2、欧洲立法者对欧盟国家使用Pegasus软件展开调查


【阅读原文】



3、日本电装德国分部大量机密数据被窃取 黑客威胁将公开


丰田汽车旗下零部件制造商日本电装于13日宣布,其德国当地法人受到了网络攻击。该公司确认其网络感染了勒索软件。被认定发动了此次攻击的黑客集团已经发布了勒索声明。公司称虽然目前并没有立刻对公司经营造成影响,但是“关于受害的详细情况正在调查中”。公司已向德国当地政府提交了受害报告。

20220313_23_1091155_L.jpg

据信息安全公司三井物产安全咨询的吉川孝志说,13日,在操纵勒索软件的新兴网络犯罪集团“Pandora(潘多拉)”的主页上刊登了“盗取并公开电装的机密数据”的声明。


数据为1.4TB,文件超过15万7千份,内容为设计图、订购书扫描件、邮件和打印机的印刷数据等。电装并未明确表示有无被索要赎金,只称“详细情况正在确认中”。另一方面,公司未确认对其全球所有生产基地的影响,表示将继续正常运行。

abff-f993c9148527a102a53daf29bce0c92e.png

近段时间黑客勒索事件猖獗,从英伟达到三星、环球晶等跨国公司,都受到了来自黑客组织的威胁。近期英伟达与黑客组织Lapsus$的攻防战让很多人开了眼界,尽管最终英伟达并未能挽回数据,但也让各行各业意识到了构建自身网络安全的重要性。

3912-bc39b0eac2102b6cc7700e0d133a186d.png

【阅读原文】



2022年3月11日 星期五

今日资讯速览:

1、3月份近90%的网络攻击是针对俄罗斯和乌克兰的


2、2023年网络安全市场规模将达到809.11亿


3、因支付系统无法使用谷歌在俄罗斯暂停Google Play购买/订阅/充值服务



1、3月份近90%的网络攻击是针对俄罗斯和乌克兰的



我们已经习惯了来自俄罗斯的大量网络攻击,但在乌克兰被入侵后出现了一个有趣的转变,3月份70%的网络攻击反过来都是针对俄罗斯的。Atlas VPN的研究显示,还有19%的攻击是针对乌克兰的。美国是第三大目标,但国际局势让针对该国的攻击只占总数的5%。


3月5日,随着匿名黑客宣布对俄罗斯进行全面的网络战争,共有50亿次攻击涌向俄罗斯。他们泄露了政府雇员的数据,并入侵了俄罗斯国家电视频道。


在其他发现中,全球90%的攻击使用DDoS来造成服务中断。银行和其他支付处理公司遭受了全球72%的网络攻击。商业部门是21%的攻击目标,计算机和IT部门遭受了全球2%的网络攻击,所有其他行业占5%的攻击。


你可以在Atlas VPN博客上阅读更多细节:

https://atlasvpn.com/blog/nearly-90-of-cyberattacks-worldwide-are-targeting-russia-or-ukraine


以下是图形形式展现的统计数据:

Russia-attacks.png

【阅读原文】



2、2023年网络安全市场规模将达到809.11亿



日前,华安证券分析师尹沿技发布的《科技赋能、新基建,数字经济大有可为》报告指出,数据保护、政策与新技术三方推动,网络安全已成刚需。网安未来3-5年将保持高景气,将迎来新一波投资机遇。

在网安2.0时代,网安厂商围绕数据的采集、传输、使用等环节提供安全解决方案,保证数据全生命周期的安全防护。网安行业驱动力主要来自于政策要求,如等保2.0实战演练;(2)防御需求:政企及个人用户需面对来自外界的安全攻击事件;安全运营需求:用户自身系统在使用和升级的过程中,不可避免会产生安全漏洞。


目前产业链下游用户分为三类:国家安全客户:党政军及政府;行业安全用户:电信、金融、制造等关键基础设施;商业安全用户:个人用户及中小民企。前两类用户为主要客户,其资金投入主要来自于国家网络安全预算、政府运营开支及自身收入,这两类用户对网络安全多数有强合规需求、信息敏感、防御等级要求高的特点。最后一类客户偏好成本低的手段。但在未来规范化、数字化的环境下,这一类客户群体对网络安全的投入将会扩大。


数字经济时代,数据成为生产的关键要素,华安证券预见,上游硬件与软件系统技术水平将会为网安赋能;下游应用场景随着产业数字化得到拓展,跟随数据伴生的网络安全市场也将得到相应增长。


“用户与网安事件结构性错配,未来市场潜力可期。”报告指出,从需求来看,2020年网安下游市场营收结构CR5约为74%,主要来自于传统的党政军、政府与八大支柱产业,包括金融、运营商、教育和医疗卫生等。其中金融、运营商、教育及医疗等行业占比均超过7%,最高达15%,其他行业总和仅为 19%,而各行业相应网安事件占比最高仅6%。


华安证券分析师尹沿技认为,“各行业的网安事件的占比某种程度上代表了各行业的网络安全需求占比,而未来我国全行业的数字化有望在除金融、运营外的其他行业催生新的安全需求,扩大市场规模,下游格局有望改变。”

工信部数据显示,过去三年我国信息安全漏洞数量不断攀升,2021年共有26,591个信息安全漏洞,同比增长28.33%,维持高增速增长态势。


网络安全漏洞数量上升代表了相对应的网络安全产品需求增长。尹沿技认为,“十四五”期间,由“东数西算”等政策引导的产业数字化、数字产业化,将有效推动下游的应用场景增加及上游的技术能力提升,同时信息安全漏洞的数量或将随着数字经济规模扩大而增长,网络安全市场潜力无限。


根据CCIA数据,2023年网络安全市场规模预计达到809.11亿元,同比增速15%。华安证券预计,网安未来3-5年将保持高景气,将迎来新一波投资机遇。

【阅读原文】



3、因支付系统无法使用谷歌在俄罗斯暂停Google Play购买/订阅/充值服务



谷歌目前已经在俄罗斯暂停其应用商店的任何付费内容销售,包括但不限于应用购买、订阅、游戏充值服务。


出现这种情况的主要原因是由于俄罗斯被踢出SWIFT环球银行金融协会系统后,谷歌已经无法正常收取费用。


例如俄罗斯用户使用当地银行发行的单币种或多币种卡片都无法通过维萨和万事达等金融系统转账或收款等。


而Apple Pay 和 Google Pay等移动支付服务也早已暂停,受制于结算系统无法使用这影响大量俄罗斯用户。


谷歌发布两份不同的声明:


谷歌在安卓开发者官网上发布声明称,应支付系统中断该公司不得不暂停应用商店对俄罗斯用户的计费系统。


这意味着用户将无法在俄罗斯使用谷歌应用商店购买任何应用程序和游戏,包括但不限于订阅或游戏充值等。


谷歌称任何数字产品的购买都将被暂停,但这不会影响所有免费应用和游戏,用户仍然可以正常下载和安装。


而在名为国际制裁的声明中,谷歌表示该公司致力于遵守所有适用的制裁限制和国际贸易合规相关法律要求。



该公司将继续监测最新的指导 ,  受影响地区的用户仍然可以通过Google Play下载免费应用程序但无法购买。



现有订阅将会被自动取消:


如果用户已经订阅相关服务会怎么样呢?谷歌称对于已经订阅的服务用户仍然可以使用直到订阅到期后终止。


当订阅到期后无论用户是否已经设置自动续订,相关订阅都会被自动终止不会再尝试自动续费和自动扣费等。


被终止后用户当然也无法重新订阅因此可能会影响大量需要订阅服务的软件,除非用户寻找破解版类的代替。


值得注意的开发者们也同样受到制裁的严重影响,因为苹果和谷歌当前可能已经没有正常渠道能够支付费用。


这可能会严重打击独立开发者和应用或游戏开发商,毕竟这些开发者和开发商们主要依靠销售软件获取收入。


另外谷歌旗下的YouTube视频网站也开始在俄罗斯停用增值服务,用户无法再购买任何频道的付费增值服务。

【阅读原文】



2022年3月10日 星期四

今日资讯速览:

1、微软退出,谷歌正式宣布54亿美元收购Mandiant


2、意大利对Clearview AI罚款2000万欧元并令其删除数据


3、英特尔和Arm的CPU再被发现存在重大安全漏洞Spectre-HBB



1、微软退出,谷歌正式宣布54亿美元收购Mandiant




谷歌云、AWS和微软Azure是全球三大公有云玩家,每家都在致力于成为最安全的云服务提供商。据外媒3月8日报道,谷歌正式宣布以54亿美元收购威胁情报和网络安全服务公司Mandiant,以构建更完善的云安全业务能力。谷歌云首席执行官Thomas Kurian表示:“希望此次收购可以在保护云安全、加快云计算应用等方面带来深远的影响。”


本次收购还需得到Mandiant股东和监管部门的批准,预计收购将于今年完成,Mandiant将会完全并入到谷歌云。这也将是谷歌成立23年来的第二大收购,仅次于2012年谷歌斥资125亿美元收购摩托罗拉移动公司。


事实上,今年初就有媒体报道微软洽谈收购Mandiant的事宜。然而,微软最终没能完成与Mandiant的谈判,给出的原因是担心Mandiant的安全业务在战略上不够合适。而谷歌云则表示:收购Mandiant的目的是将谷歌云网络安全和威胁情报能力提升到新的水平。未来谷歌云计划结合其云原生安全产品与Mandiant的安全咨询和事件响应服务,以提供深入的威胁情报,帮助全球企业在安全生命周期的每个阶段都受到保护。


谷歌云特别强调了Mandiant并入到其云安全业务后的五大技术协同效应:


1、由于Mandiant具有成熟的专业知识,可提供全面的事件响应、战略准备和技术保证,以帮助客户在事件发生之前、期间和之后减轻威胁并降低业务风险,谷歌的咨询服务业务将得到大幅提升。


2、Mandiant在检测和响应高级威胁方面有着丰富的威胁检测和情报经验,现在将为谷歌云客户提供了解实时威胁、并采取相应措施的能力。


3、谷歌云的Chronicle、Siemplify解决方案和Mandiant的Automated Defense有一套安全运营工具,将更好地帮助客户分析和简化威胁响应,能够充分利用Mandiant的专长。


4、谷歌云将合并Mandiant的安全验证部门,该部门帮助客户持续验证和衡量云环境和本地环境下的网络安全控制机制的有效性。Mandiant安全验证部门将与谷歌云的安全指挥中心互补,帮助确保强大的风险管理。


5、谷歌云现在可以利用Mandiant的托管检测和响应服务,该服务充当了客户安全团队的无缝扩展,提供与客户端点和网络工具无关的持续监控、事件分类和威胁搜寻。


Mandiant首席执行官Kevin Mandia表示:“网络安全是一项使命。谷歌云与我们奉行同样以使命为导向的文化,为企业用户确保安全。我们将通过并入谷歌云安全产品组合的Mandiant Advantage SaaS平台,提供我们的专长能力和安全情报。”






参考链接:

https://www.crn.com/slide-shows/cloud/google-cloud-to-buy-mandiant-the-5-biggest-things-to-know


【阅读原文】



2、意大利对Clearview AI罚款2000万欧元并令其删除数据



一家欧洲隐私监督机构已经制裁了有争议的面部识别公司Clearview AI,该公司从互联网上搜刮自拍,积累了约100亿张脸的数据库,为其出售给执法部门的身份匹配服务。意大利的数据保护机构今天宣布对Clearview AI违反欧盟法律的行为处以2000万欧元罚款。

 QQ图片20220310010602.png

同时命令这家有争议的公司删除其持有的任何意大利人数据,并禁止其进一步处理公民的面部生物识别数据。这项调查是在 "投诉和报告"之后启动的,它说,除了违反隐私法之外,它还发现该公司一直在跟踪意大利公民和位于意大利的人。


调查结果显示,该公司持有的个人数据,包括生物识别和地理定位数据,是非法处理的,没有充分的法律依据。它发现的其他违反《通用数据保护条例》(GDPR)的行为包括透明度义务,因为Clearview没有充分告知用户它对用户自拍所做的事情。 因此,Clearview AI的活动违反了数据主体的自由,包括保护机密性和不被歧视的权利。


针对GDPR制裁,在Clearview CEO Hoan Ton-That发表的声明中,Clearview表示Clearview AI在意大利或欧盟没有营业场所,它在意大利或欧盟没有任何客户,也没有从事任何受GDPR约束的活动。它只从开放的互联网上收集公共数据,并遵守所有的隐私和法律标准。


这是欧洲隐私监督机构最强有力的执法行动,英国ICO早在去年11月就警告说可能会针对Clearview进行罚款,当时它还命令Clearview停止处理数据。去年12月,法国的CNIL也命令Clearview停止处理公民的数据,并给它两个月的时间来删除它所持有的任何数据,但没有提到经济制裁。然而,意大利是否能够从总部设在美国的实体Clearview收取2000万欧元的罚款还是一个问题。

【阅读原文】



3、英特尔和Arm的CPU再被发现存在重大安全漏洞Spectre-HBB



BHI是一种影响大多数英特尔和Arm CPU的新型投机执行漏洞,它攻击分支全局历史而不是分支目标预测。不幸的是,这些公司以前对Spectre V2的缓解措施也无法保护BHI的威胁,尽管AMD处理器大多是免疫的。消息传出后,供应商应该很快就会发布安全补丁,而最新得Linux内核已经打了补丁。

maxresdefault.jpg

VUSec安全研究小组和英特尔周二联合披露了一个新的Spectre类投机执行漏洞,称为分支历史注入(BHI)或Spectre-HBB。


BHI是对Spectre V2(或Spectre-BTI)类型攻击的概念重新实现的证明。它影响到任何同样易受Spectre V2攻击的CPU,即使Spectre V2的缓解措施已经实施;它可以绕过英特尔的eIBRS和Arm的CSV2缓解措施。这些缓解措施可以保护分支目标注入,而新的漏洞允许攻击者在全局分支历史中注入预测器条目。BHI可以用来泄露任意的内核内存,这意味着像密码这样的敏感信息可以被泄露。


VUSec对此的解释如下:"BHI本质上是Spectre v2的扩展,我们利用全局历史来重新引入跨权限BTI的利用。因此,攻击者的基本原理仍然是Spectre v2,但通过跨权限边界注入历史(BHI),我们可以利用部署新的硬件内缓解措施的系统(即英特尔eIBRS和Arm CSV2)。"


该漏洞影响到自Haswell以来推出的任何英特尔CPU,包括Ice Lake-SP和Alder Lake。受影响的Arm CPU包括Cortex A15/A57/A65/A72/A73/A75/A76/A77/A78/X1/X2/A710、Neoverse N2/N1/V1和博通Brahma B15。


Arm的CVE ID是CVE-2022-23960,Intel使用的是CVE-2022-0001和CVE-2022-0002的ID。两家公司都发布了有关其受影响CPU的更多细节:

https://www.intel.com/content/www/us/en/developer/topic-technology/software-security-guidance/processors-affected-consolidated-product-cpu-model.html

https://developer.arm.com/support/arm-security-updates/speculative-processor-vulnerability/spectre-bhb


英特尔发布了关于BHI漏洞的以下声明。"正如研究人员所证明的那样,这种攻击以前在大多数Linux发行版中都被默认缓解了。Linux社区已经从Linux内核5.16版本开始实施英特尔的建议,并正在将缓解措施回传到Linux内核的早期版本。英特尔发布了技术文件,描述了那些使用非默认配置的人的进一步缓解方案,以及为什么LFENCE; JMP缓解措施在所有情况下都是不够的"。


AMD CPU似乎对BHI有免疫力。据Phoronix称,默认使用Retpolines进行Spectre V2缓解的AMD处理器应该是安全的。


供应商的安全补丁应该很快就会发布。除了安装它们之外,研究人员建议禁用无特权的eBPF支持作为额外的预防措施。Linux已经将安全更新合并到其主线内核中。这些安全缓解措施是否会影响性能尚不清楚。


VUSec的漏洞的源代码可以在这里找到:

https://github.com/vusec/bhi-spectre-bhb

【阅读原文】



2022年3月9日 星期三

今日资讯速览:

1、三星证实遭黑客入侵:Galaxy 手机源代码泄露,用户信息不受影响


2、英伟达泄露数据正被用来制作伪装成驱动的病毒


3、TerraMaster 操作系统漏洞可能使 NAS 设备遭到远程黑客攻击



1、三星证实遭黑客入侵:Galaxy 手机源代码泄露,用户信息不受影响


IT之家 3 月 7 日消息,据专门收集恶意软件样本的网站 vx-underground 称,攻击英伟达的黑客组织 LAPSUS$ 又攻击了三星,并且公布了从三星服务器窃取的 190GB 的部分源代码信息。

今日,三星向媒体 SamMobile 发表声明:

我们最近被告知存在与某些公司内部数据相关的安全漏洞。发现事件后,我们立即加强了安全系统。根据初步分析,此次泄露涉及一些 Galaxy 设备操作相关的源代码,但不包括消费者或员工的个人信息。目前,预计不会对业务或客户产生任何影响,已采取措施防止此类事件进一步发生,并将继续为客户提供服务。

黑客组织公开发布了 190 GB 的数据,但三星也没有证实总共被窃取了多少数据。此外,该漏洞包含三星如何保护其设备的大量信息,因此尽管三星官方承诺个人信息没有泄露,但IT之家小伙伴最好还是改一下三星服务相关的密码,并启用双重认证。

据此前报道,该黑客组织暂时没有提及赎金,也没有表示与三星进行任何类型的沟通。该黑客组织获取了三星 TrustZone 环境中安装的受信任小程序的源代码、生物特征解锁操作的算法、最新三星设备的引导加载程序源代码、高通的机密源代码等。

【阅读原文】



2、英伟达泄露数据正被用来制作伪装成驱动的病毒


由于自称为 Lapsus$ 的组织泄露了与英伟达黑客攻击相关的数据,被盗的代码签名证书被用于远程访问未受保护的 PC,其他情况下则被用来部署恶意软件。

根据 Techpowerup 的报道,这些证书被用于“开发一种新型恶意软件”,BleepingComputer 将 Cobalt Strike 信标、Mimikatz、后门和远程访问木马 (RAT) 列为通过这种方式部署的一些恶意软件。

代码签名证书是开发人员在将可执行文件和驱动程序发布给公众之前用来签署它们的东西。对于 Windows 和其他系统用户来说,这是一种更安全的方式来验证原始文件的所有权。微软要求对内核模式驱动程序进行代码签名,否则操作系统将拒绝打开文件。


如果某些流氓使用来自英伟达的正版代码签署恶意软件,用户的 PC 可能无法在恶意软件解包,对系统造成严重破坏之前拦截它。

现在,这些代码与 Quasar RAT 一起被用于签署 Windows 驱动程序的证书。VirusTotal 目前显示“46 家安全供应商和 1 个沙箱将此文件标记为恶意文件。”

由于安全研究人员 Kevin Beaumont 和 Will Dormann 的热心报道,BleepingComputer 注意到以下序列号需要注意:

· 43BB437D609866286DD839E1D00309F5

· 14781bc862e8dc503a559346f5dcc518

这两个代码实际上都是过期的英伟达签名,但您的操作系统仍会让它们以同样的方式通过。

【阅读原文】



3、TerraMaster 操作系统漏洞可能使 NAS 设备遭到远程黑客攻击


Hackernews 编译,转载请注明出处:

研究人员披露了 TerraMaster NAS设备的关键安全漏洞的细节,这些设备可以链接到未经身份验证的远程代码执行,且具有最高权限。


埃塞俄比亚网络安全研究公司 Octagon Networks 的 Paulos yibello 在分享给 The Hacker News 的一份声明中表示,这些问题存在于 TerraMaster 操作系统(TOS)中,“只要知道受害者的 IP 地址,就能让未经认证的攻击者进入受害者的保险箱。”


TOS 是为 TNAS 设备设计的操作系统,使用户能够管理存储、安装应用程序和备份数据。经过严谨的披露,上周3月1日发布的 TOS 版本4.2.30中,这些漏洞被修补。


其中一个漏洞被追踪为 CVE-2022-24990,与一个名为“ webNasIPS”的组件中的信息泄露案例有关,导致 TOS 固件版本、默认网关接口的 IP 和 MAC 地址以及管理员密码的散列暴露。


另一方面,第二个漏洞涉与一个名为“ createRaid”(CVE-2022-24989)的 PHP 模块中的命令注入漏洞有关,导致出现这样一种情况,即这两个漏洞可以同时出现,以提交一个特别制作的命令来实现远程代码执行。


“总而言之,这是一个非常有趣的任务,”Yibelo说。“我们使用了信息泄漏的多个组件,另一个是机器时间的信息泄漏,并将其与经过身份验证的操作系统命令注入链接起来,以根用户身份实现未经身份验证的远程代码执行。


TerraMaster NAS 设备也受到 Deadbolt 勒索软件的攻击, 与 QNAP 和  ASUSTOR 一样也是受害者,该公司称,它解决了 TOS 版本4.2.30 中可能被黑客利用来部署 勒索软件的漏洞。


目前尚不清楚 Octagon Networks 发现的一系列漏洞和被武器化用于 Deadbolt感染的漏洞是同一种。我们已经联系 TerraMaster 进行进一步的查验,如果有进展,我们将更新相关报道。


“修正了与 Deadbolt 勒索软件攻击有关的安全漏洞,”该公司声明,并建议用户“重新安装最新版本的 TOS 系统(4.2.30或更高版本) ,以防止未加密文件被加密。

【阅读原文】



2022年3月8日 星期二

今日资讯速览:

1、工信部印发《车联网网络安全和数据安全标准体系建设指南》


2、Adafruit 披露了前员工 GitHub 储存库中的数据泄露


3、巧合?欧洲数以千计卫星网络遭到网络攻击致用户离线



1、工信部印发《车联网网络安全和数据安全标准体系建设指南》










工业和信息化部近日印发《车联网网络安全和数据安全标准体系建设指南》,提出到2023年底,初步构建起车联网网络安全和数据安全标准体系。重点研究基础共性、终端与设施网络安全、网联通信安全、数据安全、应用服务安全、安全保障与支撑等标准,完成50项以上急需标准的研制。到2025年,形成较为完善的车联网网络安全和数据安全标准体系。完成100项以上标准的研制,提升标准对细分领域的覆盖程度,加强标准服务能力,提高标准应用水平,支撑车联网产业安全健康发展。

















关于印发车联网网络安全和数据安全标准体系建设指南的通知












工信厅科〔2022〕5号










各省、自治区、直辖市及计划单列市工业和信息化主管部门、通信管理局,有关行业协会、标准化技术组织和专业机构:


  现将《车联网网络安全和数据安全标准体系建设指南》印发给你们,请结合本行业(领域)、本地区实际,在标准化工作中贯彻执行。


工业和信息化部办公厅

2022年2月25日




























图片

图片

图片

图片

图片

图片

图片

图片

图片

图片

图片

图片

图片

图片

图片



来源:工业和信息化部科技司

【阅读原文】



2、Adafruit 披露了前员工 GitHub 储存库中的数据泄露


Adafruit 披露了一个数据泄露事件,这个事件是由于一个可公开查看的 GitHub 存储库引起的。


该公司怀疑这可能允许攻击者对2019年或之前对某些用户的信息进行“未经授权的访问”。


Adafruit 总部位于纽约市,自2005年以来一直是开源硬件组件的供应商。该公司设计,制造和销售电子产品,工具和配件。


前雇员的 GitHub 储存库拥有真实的客户数据


On Friday, March 4th, Adafruit announced that a publicly-accessible GitHub repository contained a data set comprising information on some user accounts. This information included:


3月4日,星期五,Adafruit 宣布一个可公开访问的 GitHub 存储库包含了一个包含一些用户账户信息的数据集。这些信息包括:

  • 名字
  • 邮件地址
  • 运输/帐单地址
  • 订单详情
  • 支付程序或PayPal上的订单状态

根据 Adafruit 的说法,这些数据集不包含任何用户密码或信用卡等财务信息。然而,包括订单细节在内的真实用户数据可能会被垃圾邮件黑客和网络钓鱼者用来攻击 Adafruit 的客户。


有趣的是,数据泄漏并不是来自 Adafruit 的 GitHub 存储库,而是来自一位前雇员。一名前雇员在他们的 GitHub 储存库 中使用真实的客户信息进行培训和数据分析操作。


该公司解释说: “ Adafruit 在得到关于意外泄露信息的通知后15分钟内,就与这名前雇员取得联系,删除了相关的 GitHub 存储库,Adafruit 团队开始了检测程序,以确定是否有任何访问权限,以及哪类数据被影响了。”


用户需要正确的通知


目前,Adafruit 并不知道这些暴露的信息被对手滥用,并声称其披露这一事件是为了“透明度和责任感”。


然而,该公司决定不向每一位用户发送这一事件有关的电子邮件。


Adafruit 解释说,尽管所有的安全信息都公布在公司的博客和安全页面上,但用户并没有采取任何行动,因为数据集中没有显示任何密码或支付卡信息。


“我们评估了风险,咨询了我们的隐私律师和法律专家,并采取了我们认为合适的解决问题的方法,同时保持公开和透明,我们并不认为直接发送电子邮件在这种情况下有帮助,”Adafruit 的常务董事Phillip Torrone和创始人 Limor“ Ladyada” Fried说。


But, not all Adafruit customers are convinced, with some demanding email notifications be sent out with regards to the incident:

但是,并不是所有的 Adafruit 用户都信服了,他们提出了自己的需求:

8b08bd882bcff25a5987ebb4c6d9862

用户的一个主要担心是在前团队成员的 GitHub repo 中使用了真实的客户信息,而不是使用自动生成的“假”临时数据,以及这些信息如何被网络钓鱼者滥用:

e2fff354097cf680052432ea31f5348

值得注意的是,在 GitHub 存储库中保存真实的客户数据,即使是私有的存储库,也是十分危险的。


去年,电子商务巨头 Mercari 遭遇了一起数据泄露事件,这起事件是他们的 GitHub 储存库泄露了超过17000份客户记录,其中包括银行信息。Rapid7还遭受了一次私人 GitHub 储存库制造成的数据泄露,影响到了“一小部分客户”。


Adafruit 表示: “此外,我们正在实施更多的协议和访问控制,以避免未来可能出现的任何数据曝光,并限制员工培训使用的访问权限。”


用户应对任何可能接收到冒充 Adafruit 职员的钓鱼诈骗或通信保持警惕。该公司特别敦促人们注意可能诱使受害者泄露密码的虚假“重置密码”提醒。

【阅读原文】



3、巧合?欧洲数以千计卫星网络遭到网络攻击致用户离线



近日,欧洲数以千计的卫星互联网断开连接,专家怀疑是网络攻击。Orange 证实,其在法国的子公司 Nordnet 提供的卫星互联网服务的“近 9,000 名用户”在2月24日为欧洲运营商提供服务的美国巨型卫星运营商Viasat发生的“网络事件”后离线。

 

德国、法国、匈牙利、希腊、意大利和波兰的40,000名bigblu卫星互联网服务用户中,约有三分之一受到同一网络事件的影响。

 

Viasat周三宣布,“网络事件”导致“乌克兰和欧洲其他地方”依赖其KA-SAT卫星的客户出现部分网络中断的情况。目前,有关执法部门正在进行调查此次恶意事件包括技术细节。

 

法国太空司令部司令米歇尔·弗里德林将军证实,此次中断的根本原因是网络攻击。“几天来,在开始运营后不久,我们拥有一个覆盖欧洲和乌克兰的卫星网络,这是网络攻击的受害者,数以万计的终端在攻击后立即无法运行”米歇尔·弗里德林将军说。

 

网络安全和情报专家担心,乌克兰和俄罗斯的冲突可能会引发外溢效应,参与网络争端的威胁行为者使用的网络攻击和网络武器可能针对全世界的基础设施。

 

虽然俄罗斯通过擦除器、DDoS 攻击和虚假信息活动瞄准乌克兰,但像Anonymous这样的黑客活动分子正在向乌克兰提供支持,目标是俄罗斯和白俄罗斯的政府组织和私营企业。

【阅读原文】



2022年3月7日 星期一

今日资讯速览:

1、又一数码巨头成受害者!三星遭NVIDIA同一组黑客攻击


2、苹果公司写信向国会议员解释"侧载"易引发恶意软件威胁


3、申请系统漏洞 日本6万人份外籍入境者信息遭泄露



1、又一数码巨头成受害者!三星遭NVIDIA同一组黑客攻击



今天,专业收集恶意软件样本的网站vx-underground在社交媒体发布消息,称目前正在攻击NVIDIA的黑客组织LAPSUS$将矛头指向了三星。

又一数码巨头成受害者!三星遭NVIDIA同一组黑客攻击

据悉,目前LAPSUS$已经公布了部分从三星服务器中窃取的源代码信息,用以展示自己的“战果”。


不过与攻克NVIDIA后高调宣布,并威胁其开放GPU驱动源代码的行径不同,目前LAPSUS$尚未对攻克三星一事进行如此大规模的宣扬,也没有提出任何要求。

又一数码巨头成受害者!三星遭NVIDIA同一组黑客攻击

不过,从已经放出的信息来看,LAPSUS$已经成功获取了三星TrustZone环境中安装的受信任小程序的源代码。


此外,三星目前采用的生物特征解锁操作的算法、设备的引导加载程序源代码、甚至高通的机密源代码等重要数据也都被LAPSUS$攥在手中。

又一数码巨头成受害者!三星遭NVIDIA同一组黑客攻击

根据此前报道,LAPSUS$在攻克NVIDIA后,曾先后放出了RTX 40系显卡参数、DLSS技术代码等重要信息,并再今天威胁NVIDIA完全开源GPU驱动,否则公开其共计1TB的机密数据。


从此来看,如果三星在后续不与LAPSUS$达成妥协,那么或许类似的情况会再次上演。

【阅读原文】



2、苹果公司写信向国会议员解释"侧载"易引发恶意软件威胁



苹果公司已致函美国参议院司法委员会,对一个关于App侧载的说法提出异议,苹果方面坚持认为其关于该技术是一种恶意软件载体的论点是合理的。

今年2月,参议院司法委员会投票决定推进《开放市场法》,该立法可能迫使苹果公司允许App的侧载。为了继续努力对抗这项措施,苹果公司已经写信给国会议员,说明恶意软件的危险。


这封信是在周四发出的,其中提及了计算机安全专家布鲁斯·施耐德的评论,他说苹果对侧载的担忧是"没有根据的"。


作为回应,苹果公司认为,侧载对恶意软件生产商是有利的,因为它依靠用户被欺骗下载,而不需要黑客更直接地破坏设备安全。苹果公司写道,App Store的审查过程"对用来传播恶意软件的最常见的骗局形成了很高的门槛"。


尽管苹果公司确实接受了施耐德的意见,即国家支持的黑客有可能直接破坏设备安全,但他们认为这种攻击对消费者是一种"罕见的威胁"。"有充分的证据表明,在支持第三方应用商店的平台上,第三方应用商店才是一个关键的恶意软件载体"。


苹果公司的信被寄给了参议院司法委员会主席迪克-德宾(Dick Durbin),以及查克-格拉斯利(Chuck Grassley)。这封信还发给了反垄断小组委员会主席艾米-克洛布切(Amy Klobuchar)和迈克-李(Mike Lee)。


在2月3日给参议院议员的信中,苹果公司表示,《开放市场法》将损害用户的安全和隐私。侧载"将使不怀好意者能够通过分发没有关键隐私和安全检查的应用程序来逃避苹果的隐私和安全保护"。


《开放市场法》是一项审议中的反垄断法案,旨在对苹果、Google和其他平台持有者实施限制。它将禁止防止侧载的政策,以及基本上强迫接受第三方支付系统以及其他措施。

【阅读原文】



3、申请系统漏洞 日本6万人份外籍入境者信息遭泄露



中新网3月3日电 据日本共同社2日报道,鉴于日本政府放宽新冠病毒边境口岸措施,在线办理技能实习生和留学生等入境申请手续的厚生劳动省专用系统“ERFS”存在漏洞,最多约6万人份的外籍入境者姓名、出生年月日、护照号码一度处于入境申请者可以阅览的状态。

点击进入下一页

资料图:日本东京国际机场。


  日本厚生劳动省表示,赶在3月起放宽边境口岸措施之前,该系统于当地时间2月25日上午10点启用。经外部人士指出,2月28日发现存在申请时进行特定操作即可阅览入境者信息的漏洞,信息可见状态一直持续到当天晚上8点。


  厚劳省负责人表示:“虽说是急忙构建起来的系统,但对于存在漏洞已深刻反省。将努力强化功能。”


  据报道,该系统截至3月1日收到约2.7万份申请,日本政府发放已受理证明的外国人约有13.9万人。

【阅读原文】



2022年3月4日 星期五

今日资讯速览:

1、美国参议院通过《加强美国网络安全法》


2、ESET携手英特尔:通过基于硬件勒索软件检测加强终端安全


3、微软:乌克兰遭遇的网络攻击“不太明显”



1、美国参议院通过《加强美国网络安全法》


2022年3月1日,美国参议院通过《加强美国网络安全法》(Strengthening American Cybersecurity Act)。


法案于2月8日由参议员罗伯·波特曼和参议院国土安全和政府事务委员会主席加里·彼得斯提出,旨在加强美国的网络安全。在俄乌冲突升级背景下,美国参议院选择一致通过《加强美国网络安全法》。


该法由《网络事件报告法案》《2021年联邦信息安全现代化法案》和《 联邦安全云改进和就业法案》三项网络安全法案措施组成。


《网络事件报告法案》‍更新了各机构向国会报告网络事件的规定,并赋予CISA更多权力,以确保其是民用网络安全事件主要负责机构。多数党领袖查克·舒默(Chuck Schumer)强调,《网络事件报告法案》是“最重要的”措施。具体包括:

  • 要求关键基础设施的运营商在攻击发生后七十二小时内通知国土安全部;

  • 在勒索软件支付后二十四小时内通知国土安全部。


事实上,这一报告措施已从几个月前通过的美国年度国防政策法案中删除,但这次一致投票表明,该措施仍将被快速实施。


此外,《加强美国网络安全法》还更新了《联邦信息安全现代化法案》,将国家网络主管等高级网络官员的职责编成法典,将要求政府采取基于风险的网络安全方法,授权联邦风险和授权管理计划(FedRAMP)以确保联邦机构能够采用基于云的技术。


总体来看,《加强美国网络安全法》包含旨在使美国联邦政府的网络安全态势现代化的若干措施。试图通过简化之前的网络安全法案来改善联邦机构之间的协调,并要求所有民事机构向CISA报告网络攻击。法案的通过将有助于确保银行、电网、供水网络和交通系统等关键基础设施实体能够在网络遭到破坏时迅速恢复并向人们提供基本服务。


该法案还未签署成为法律,但现已提交美国众议院进一步审议。

【阅读原文】



2、ESET携手英特尔:通过基于硬件勒索软件检测加强终端安全


携手英特尔,ESET 宣布将通过基于硬件的勒索软件检测加强终端安全。在双方的合作下,ESET 试图将英特尔威胁检测技术(TDT)整合到其多层次的网络安全技术套件中。

在谈到本次合作的时候,英特尔公司生态系统合作伙伴授权高级总监 Carla Rodriguez 表示:

勒索软件对小型企业和大型企业都产生了影响,并可能导致全球范围内的经济损失。我们很高兴能与 ESET 合作,它能提供真正的全球部署足迹。

ESET 的勒索软件优化将适用于英特尔 vPro 企业版和我们针对中小企业的新英特尔 vPro Essentials。这提供了一个引人注目的硬件和软件组合,为任何规模的企业提供合适的安全,并在基于英特尔的PC上运行ESET软件时提供更高的安全功效。这是扭转勒索软件局面的一个重要步骤。

将勒索软件的检测增强功能整合到 ESET 端点安全资源中,将为大多数检测绕过提供升级的免疫力。随着英特尔 TDT 机器学习的进步和发展,ESET 端点安全资源识别勒索软件威胁的衍生变种的潜力将得到改善。

ESET 的端点解决方案和安全技术主管 Előd Kironský 表示。

通过本次合作,我们意识到整合英特尔基于硬件的勒索软件检测技术可以立即提升勒索软件的保护。挖掘 CPU 层面的遥测数据是我们可以采取的一个有效步骤,以实现对恶意加密的改进跟踪。基本上,对于 ESET 来说,这意味着能够检测曝光勒索软件,因为它试图在内存中避免检测。ESET 一直相信多层次的方法,通过增加硅层,我们认识到基于硬件的安全是与威胁作斗争的下一个里程碑。

对于 ESET 及其客户来说,这种合作关系的价值主张在于采用英特尔TDT机器学习框架来帮助识别勒索软件,并将处理需求同步卸载到英特尔集成图形控制器(GPU),从而保持系统的整体高性能。

对系统性能的低影响是 ESET 在其多层软件架构中一直优先考虑的一个领域,也是我们许多客户的一个关键卖点。利用能够帮助我们进行预防和保护的技术,同时保持性能是一个双赢的选择。

在今年晚些时候即将发布的ESET端点安全解决方案中,将会为用户提供这项优势。该公司在发布的初始阶段,将重点关注具有第九代和更新的英特尔酷睿以及基于英特尔vPro的Windows电脑的端点,这些电脑能够具有利用英特尔TDT"开箱即用"的潜力。

【阅读原文】



3、微软:乌克兰遭遇的网络攻击“不太明显”


近日,微软总裁兼副主席布拉德史密斯在微软官方博客中发布了题为《数字技术与乌克兰战争》的文章,指出乌克兰战争期间针对乌克兰的网络攻击“不太明显”,没有使用类似NotPetya这样的“大规模杀伤性恶意软件”,虽然监测到针对乌克兰民用设施的攻击,但过去一周乌克兰还没有记录到达到违反日内瓦规定的网络攻击案例。以下为微软官方博客译文摘录:


在2月24日(俄罗斯)发射导弹或坦克移动前几个小时,微软的威胁情报中心(MSTIC)就检测到针对乌克兰数字基础设施的新一轮进攻性和破坏性网络攻击。我们立即向乌克兰政府通报了这一情况,包括我们发现攻击者使用了一种新的恶意软件包(我们将其命名为FoxBlade),并提供了防御恶意软件攻击的技术建议。(在此发现后的三个小时内,检测此新漏洞的签名已写入并添加到微软Defender反恶意软件服务中,有助于防御此新威胁。)最近几天,我们向乌克兰人提供了威胁情报和防御建议官员关于对一系列目标的袭击,包括乌克兰军事机构和制造商以及其他几个乌克兰政府机构。这项工作正在进行中。


我们没有看到在2017年NotPetya攻击中使用的遍布乌克兰经济和境外的不分青红皂白的恶意软件技术。但我们仍然特别关注最近对乌克兰民用数字目标的网络攻击,包括金融部门、农业部门、应急响应服务、人道主义援助工作以及能源部门组织和企业。这些针对平民目标的袭击引起了《日内瓦公约》下的严重关切,我们已与乌克兰政府分享了有关这些袭击的信息。我们还向乌克兰政府提供了有关最近网络窃取大量数据的建议,包括健康、保险和与交通有关的个人身份信息(PII)。


微软指出,对于乌克兰战争,微软主要提供以下四个方面的支持:保护乌克兰免受网络攻击;防止国家赞助的虚假宣传活动;支持人道主义援助;以及对微软员工的保护。


根据互联网故障监测机构IODA的数据,2月24日战争打响时,乌克兰主要互联网服务商Triolan经历了短暂的断网,主要受影响地区是哈尔科夫北部地区,不过第二天Triolan的网络中断就得以恢复。


互联网监测公司Kentik的分析总监Doug Madory指出,在过去几年多次经历俄罗斯的黑客攻击后,乌克兰的互联网设施变得更加富有弹性,乌克兰目前有超过4900个ISP,与欧洲互联网的链接更加紧急,其中一些在战争发生前就已做好准备,设置了备份链接和网络中心。俄罗斯想要将体量如此大的国家级互联网基础设施整体关闭几乎是不可能的。


与此同时,根据Wired报道,乌克兰政府正在利用Telegram这样的加密通信软件通过公共群账号UkraineNOW发布战争信息,甚至招募和管理来自全球的,人数已经超过20万的“IT志愿军”,号召他们收集俄军情报甚至直接发起网络攻击。


【阅读原文】



2022年3月3日 星期四

今日资讯速览:

1、俄媒:俄准备启用本国互联网


2、以太网发明者之一 David Boggs 去世,享年 71 岁:他的成果造福了全球用户


3、高危木马Xenomorph曝光:专门窃取用户银行凭证



1、俄媒:俄准备启用本国互联网


【环球时报记者 柳玉鹏】俄罗斯已做好启用本国互联网系统的准备。俄《消息报》3月1日报道称,俄罗斯对乌克兰发起特别军事行动后,西方国家正对俄实施各种制裁。一些国家的黑客频繁对俄罗斯发动网络攻击,以阻止它们正常运行。未来几天,俄罗斯可能与全球互联网断开。


针对网络威胁,俄罗斯政府准备启动自己的“大局域网”Runet。俄联邦消费者权益保护和公益监督局称,目前正在与国家计算机事故协调中心进行协调,以应对黑客对关键信息基础设施的攻击,并做好启用Runet的准备。


Runet是俄罗斯出于国家网络防御目的而构建的一个脱离全球互联网的内部局域网。俄总统普京早在2019年5月就签署了《互联网主权法》,根据这一法律,俄罗斯互联网基础设施将逐步摆脱对境外网络的依赖,尤其是在遭受外部攻击时,俄罗斯可以独立运行国内互联网。此前,俄罗斯相关部门多次进行过互联网断网测试并取得成功。俄罗斯认为,在社交媒体影响力和网络攻击日益增加的背景下,建立“主权互联网”是必不可少的举措。

【阅读原文】



2、以太网发明者之一 David Boggs 去世,享年 71 岁:他的成果造福了全球用户


IT之家 3 月 1 日消息,据《纽约时报》报道,先驱者施乐 PARC 计算机研究员 David Boggs 去世,享年 71 岁。他最出名的是共同发明了以太网 PC 连接标准,用于通过有线和无线连接将 PC 与其他计算机、打印机和互联网紧密相连。

位于帕洛阿尔托的施乐 PARC 研究实验室开发了许多我们今天常用的 PC 技术,比如图形用户界面、鼠标和文字处理器。Boggs 于 1973 年加入该团队,并开始与研究员 Bob Metcalfe 合作开发一个系统,用于向实验室的计算机发送信息和从计算机发送信息。

经过大约两年时间,他们设计了第一版以太网,这种链路可以通过同轴电缆以 2.94Mbps 的速度传输数据。它借用了一个由夏威夷大学开发的无线网络系统,叫做 ALOHANET。


IT之家了解到,当时已经有一个名为 Arpanet 的网络系统,但它是为远距离连接而设计的。由于以太网巧妙的分组技术,其在近距离连接方面击败了 Arpanet。

Metcalfe 最终创立了以太网网络巨头 3Com,而 Boggs 则留在 PARC 担任研究员。他后来去了微型计算机巨头 DEC,然后创办了一家名为 LAN Media 的以太网公司。


以太网在上世纪 80 年代成为有线设备的标准协议,是 WiFi 的基础技术,在 90 年代首次普及。近 50 年后,它也没有被取代,几乎存在于所有数字设备中。

【阅读原文】



3、高危木马Xenomorph曝光:专门窃取用户银行凭证


本月早些时候,ThreatFabric 安全研究人员发现了一个危险程度很高的新木马 -- Xenomorph。该木马和 2020 年秋季开始流行的 Alien 恶意软件存在关联。虽然相关代码和 Alien 相似,但是 Xenomorph 恶意软件的破坏力要强得多。

yzlr0p8z.jpg

据 ThreatFabric 称,超过 5 万名 Android 用户安装了一个包含银行应用程序恶意软件的恶意应用程序。据报道,该恶意软件背后的威胁者正针对欧洲 56 家不同银行的用户。


正如 ThreatFabric 所指出的,黑客们总是在寻找新的方法,通过 Google Play 商店分发恶意软件。Google 正在反击,但黑客似乎总是领先一步。最近的一个邪恶的例子是“Fast Cleaner”应用程序。它声称能够通过清除杂乱无章的东西来加快 Android 手机的速度。但实际上,Fast Cleaner 是 Xenomorph 银行应用程序恶意软件的一个投放器。


以下是 ThreatFabric 分析该应用程序后发现的情况:

经过分析,我们认识到这个应用程序属于 Gymdrop 投放器系列。Gymdrop 是 ThreatFabric 在 2021 年 11 月发现的一个投放器家族。之前它被观察到部署了 Alien.A 的有效载荷。

从该投放器下载的配置中,ThreatFabric 能够确认该投放器家族继续采用该恶意软件家族作为其有效载荷。然而,与过去不同的是,托管恶意代码的服务器还包含另外两个恶意软件家族,根据特定的触发器,它们也被返回,而不是 Alien。

ThreatFabric 说,Xenomorph仍在开发中,但破坏力已经显现。该恶意软件的主要目标是使用覆盖式攻击来窃取银行应用程序的凭证。它还可以拦截短信和通知,以记录和使用 2FA 令牌。ThreatFabric 还指出,Xenomorph 被设计成“可扩展和可更新的”。


ThreatFabric 的安全研究人员在文章中表示:“这种恶意软件的记录能力所存储的信息非常广泛。如果发回 C2 服务器,可用于实施键盘记录,以及收集受害者和已安装应用程序的行为数据,即使它们不属于目标列表”。

【阅读原文】



2022年3月2日 星期三

今日资讯速览:

1、AV-TEST公布2021年最佳杀软:三大奖项均无Defender


2、三星Galaxy系列手机被曝安全漏洞 涉及上亿部设备


3、普利司通遭遇网络攻击部分业务中断



1、AV-TEST公布2021年最佳杀软:三大奖项均无Defender


根据反病毒评估公司 AV-Comparatives 公布的 2021 年最新榜单,Microsoft Defender 并没有取得足够亮眼的成绩,至少和一些竞争对手相比是如此的。但是另一家评测机构 AV-TEST 的看法有些不同,其报告显示 Microsoft Defender 在下半年的报告中表现异常出色,在 2021 年 10 月的测试和 2021 年 12 月的评估中都得到了满分。

2u12aud3.jpg

尽管如此,Microsoft Defender 的用户依然可能会感到失望。因为该产品的消费者版本未能赢得 AV-TEST 授予它认为是 2021 年最佳反病毒解决方案的产品的任何奖项。在 Windows 平台上,AV-TEST 提供了 3 种不同的奖项类别,包括“最佳保护”(Best Protection)、“最佳性能”(Best Performance)、“最佳使用性”(Best Usability)。


如上所述,Microsoft Defender 并没有获得上述三个奖项中的任意一个,完整的获奖名单如下:

最佳保护

● Bitdefender

● Kaspersky

● Norton 360

最佳性能

● ESET

● G DATA

● Kaspersky

● Norton 360

● PC Matic

● Protected.net Total AV

最佳使用性

● Avira

● ESET

【阅读原文】



2、三星Galaxy系列手机被曝安全漏洞 涉及上亿部设备

3月1日消息,研究发现,三星已经出货的上亿部Android智能手机存在安全漏洞,攻击者可能利用漏洞从相关设备中获取敏感和加密信息。


以色列特拉维夫大学(Tel Aviv University)研究人员发现的这个漏洞是三星Galaxy系列手机ARM TrustZone系统中密钥存储方式的一个特定问题。Galaxy S8、Galaxy S9、Galaxy S10、Galaxy S20、Galaxy S21多款三星手机均受影响,涉及至少1亿部Android智能手机。


TrustZone是一种用硬件将敏感信息与主要操作系统隔离开来,用以保护敏感信息的技术。三星设备上的TrustZone操作系统(TZOS)与Android系统同时运行,执行安全任务和加密功能,与普通应用程序的运行区分开来。


这一漏洞对用户产生了广泛影响。攻击者可以利用漏洞提取加密的敏感信息,比如存储在用户设备上的密码等等。特拉维夫大学研究人员还利用这个漏洞绕过基于硬件的双因素身份验证。


研究人员在2021年5月份就向三星报告了这一漏洞。三星于2021年8月修补了这一漏洞,这意味着运行最新操作系统的Galaxy手机将不再受到影响。


鉴于这一安全漏洞的严重性,使用受影响设备的Android手机用户应该尽快更新操作系统。


研究人员计划在2022年度安全技术会议Real World Crypto and USENIX Security上发表论文,披露这一研究结果。(辰辰)

【阅读原文】



3、普利司通遭遇网络攻击部分业务中断






据Southern Standard报道,全球最大的轮胎制造商普利司通的美洲公司在上周日(美东时间2月27日)遭受网络攻击后,已经“断开”了其许多制造和翻新设施。










普利司通沃伦县工厂的一些员工于周日被送回家,目前没有迹象表明员工何时可以重返工作岗位。沃伦县的工厂主要生产卡车和客车子午线轮胎。


这家汽车行业巨头表示,到目前为止,它无法“确定任何潜在事件的范围或性质”。


普利司通美洲公司在发给多家媒体的声明中说:


“普利司通美洲公司目前正在调查一起潜在的信息安全事件。自2月27日凌晨得知可能发生的事件以来,我们已展开全面调查,以迅速收集事实,同时努力确保我们的IT系统的安全性。”


“出于谨慎考虑,我们将拉丁美洲和北美的许多制造和翻新设施与我们的网络断开连接,以遏制和防止任何潜在影响。”


该公司补充说:“在我们从这次调查中了解更多信息之前,我们无法确定任何潜在事件的范围或性质,但我们将继续努力解决任何可能影响我们的运营、数据、员工和客户的潜在问题。”


母公司普利司通公司是一家日本跨国公司,也是世界上最大的轮胎制造商。普利司通美洲公司在加拿大、中美洲、拉丁美洲和加勒比地区拥有50多个生产设施,并雇佣了大约55,000名员工。


【阅读原文】



[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

最后于 2022-4-2 09:36 被Editor编辑 ,原因:
收藏
免费 0
支持
分享
最新回复 (1)
雪    币: 29182
活跃值: (63621)
能力值: (RANK:135 )
在线值:
发帖
回帖
粉丝
2
1
2022-4-1 14:00
0
游客
登录 | 注册 方可回帖
返回
//