-
-
[推荐]【每日资讯】 | 腾讯 QQ 惊现神奇 Bug,退出后密码变成“123456789”且可成功登录 | 2022年6月30日 星期四
-
发表于: 2022-6-1 09:20 7930
-
2022年6月30日 星期四
今日资讯速览:
1、腾讯 QQ 惊现神奇 Bug,退出后密码变成“123456789”且可成功登录
2、美法官裁定,被控掩盖黑客行为的Uber前安全主管必须面对欺诈指控
3、MITRE发布最危险软件漏洞TOP25榜单
1、腾讯 QQ 惊现神奇 Bug,退出后密码变成“123456789”且可成功登录
IT之家 6 月 29 日消息,据不少用户反馈,腾讯 QQ 出现 Bug,退出登录后,会显示密码为“123456789”,然后使用“123456789”密码竟然真的能够登录进去。随后“QQ 密码”登上微博热搜榜。
还有一些用户表示,安卓 QQ 客户端退出过后,可在登录界面输入“123456789”登录,经测试,其他设备 [PC / iOS] 均无法使用该密码登录,由此可见,腾讯当前只是将用户密钥缓存在了本地,读取了缓存,而非密钥框输入数值。
当前原因造成的可能只是 QQ 在某些版本区间使用了“123456789”作为数字占位符号,所以导致输入值为空值而直接访问使用本地缓存。
经测试,在腾讯 TIM 上未出现该问题。
近期,大量 QQ 用户反馈称遇到了自己或是身边的朋友、家人、同事等被盗号的情况。
腾讯 QQ 方面回应称,发现主要原因系用户扫描过不法分子伪造的游戏登录二维码并授权登录,该登录行为被黑产团伙劫持并记录,随后被不法分子利用发送不良图片广告。
2、美法官裁定,被控掩盖黑客行为的Uber前安全主管必须面对欺诈指控
一名美国联邦法官于当地时间周二表示,Uber Technologies Inc.的一名前安全主管必须面临电信欺诈指控,因为他被控在试图掩盖2016年的黑客攻击事件中所扮演的角色。据悉,该事件暴露了5700万名乘客和司机的个人信息。
美司法部在12月将对Joseph Sullivan的三项指控添加到先前的起诉书中,称他安排向两名黑客支付金钱以换取他们的沉默,同时试图向乘客、司机和美国联邦贸易委员会隐瞒黑客行为。
位于旧金山的美国地区法官William Orrick驳回了Sullivan的主张,即检察官没有充分指控他隐瞒黑客行为以确保Uber司机不会逃跑并继续支付服务费。
Orrick还拒绝了Sulllivan的说法,即被指控受骗的人是Uber当时的CEO Travis Kalanick及其总顾问而不是司机们。
Orrick写道:“根据起诉书,那些所谓的虚假陈述,虽然没有直接对Uber司机做出,但却是一个更大的欺诈计划的一部分。”
另外,Sullivan还面临两项妨碍公务的指控。
据悉,被告最初于2020年9月被起诉,据信是第一个被指控隐瞒黑客行为的企业信息安全官员。
检察官称,Sullivan安排向黑客支付10万美元的比特币并让他们签署保密协议以谎称他们没有窃取数据。
Uber的现任CEO Dara Khosrowshahi在得知漏洞的程度后解雇了Sullivan。
3、MITRE发布最危险软件漏洞TOP25榜单
MITRE今天发布了最常见和最危险的25个软件漏洞列表(CWE Top25),这些漏洞很容易被发现和利用,潜在破坏力很大,而且在过去两年中发布的软件中很常见。
软件漏洞指在软件解决方案的代码、架构、实现或设计中发现的缺陷、错误、漏洞或各种其他错误。他们可能会将正在运行的系统暴露在攻击之下,从而使攻击者能够控制受影响的设备、访问敏感信息或触发拒绝服务条件。
创建CWE Top25列表时,MITRE分析了NIST的国家漏洞数据库(NVD)和CISA的已知利用漏洞(KEV)目录中的37,899个CVE的数据后,根据其普遍性和严重程度对每个漏洞进行了评分。
“很多软件从业人员会发现CWE Top 25榜单是一种实用且方便的资源,有助于降低风险,”MITRE表示。“这可能包括软件架构师、设计师、开发人员、测试人员、用户、项目经理、安全研究人员、教育工作者和标准开发组织(SDO)的贡献者。”
以下是最新发布的CWE Top25榜单和排名变化情况:
2022年6月29日 星期三
今日资讯速览:
1、30 余款杀毒软件被 Adobe Acrobat Reader 屏蔽:无法扫描其加载的 PDF 文档
2、Uber前安全主管面临欺诈指控 曾隐瞒数据泄露事件
3、沃尔玛遭美监管机构起诉:涉嫌为诈骗提供转账服务
1、30 余款杀毒软件被 Adobe Acrobat Reader 屏蔽:无法扫描其加载的 PDF 文档
IT之家 6 月 26 日消息,根据 Minerva 实验室发布的一份安全报告称,Adobe 公司正在阻止大量杀毒软件扫描由其 Adobe Acrobat Reader 应用程序加载的 PDF 文件。
报告显示,Adobe 正在阻止大约 30 种不同的杀毒软件扫描加载的 PDF 文件。这个名单就像安全公司的名人录,包括了趋势科技、迈克菲、赛门铁克、ESET、卡巴斯基、Malwarebytes、Avast、BitDefender 和 Sophos 等一众主流杀软厂商的产品。但微软旗下的 Microsoft Defender 是一个例外,其仍可正常扫描 Adobe Acrobat Reader 加载的文档。
被阻止的杀毒软件产品被拒绝访问加载的 PDF 文件,这意味着恶意代码在加载阶段无法被杀毒软件检测或阻止,Minerva 实验室指出,这种屏蔽“有可能是灾难性的”。
Minerva 实验室联系了 Adobe,Adobe 称,“这是由于与 Adobe Acrobat 对 CEF 的使用不兼容,CEF 是一个基于 Chromium 的引擎,具有限制性的沙盒设计,可能导致稳定性问题。”
换句话说,Adobe 选择通过阻止安全进程来解决稳定性问题。Minerva 实验室指出,Adobe 没有选择彻底解决上述稳定性问题,而是选择了一个临时的方案,这个方案会导致恶意软件对用户的攻击。
Adobe 证实,其正在与安全产品的供应商合作,以解决上述不兼容的问题,并“确保 Acrobat 的 CEF 沙盒设计在未来有适当的功能”。
IT之家附被 Adobe Acrobat Reader 屏蔽的杀软产品名单:
Trend Micro, BitDefender, AVAST, F-Secure, McAfee, 360 Security, Symantec, Morphisec, Malwarebytes, Checkpoint, Ahnlab, Cylance, Sophos, CyberArk, Citrix, BullGuard, Panda Security, Fortinet, Emsisoft, ESET, K7 TotalSecurity, 卡巴斯基、AVG、CMC Internet Security、三星智能安全 ESCORT、Moon Secure、NOD32、PC Matic、SentryBay
2、Uber前安全主管面临欺诈指控 曾隐瞒数据泄露事件
2016年Uber曾遭遇黑客攻击,当时5700万乘客和司机的个人信息被黑客窃取,事发后Uber前安全主管约瑟夫·沙利文(Joseph Sullivan)试图隐瞒。美国联帮法官周二表示,沙利文必须面对电信诈骗指控。沙利文付钱给两名黑客让他们保持沉默,同时他还欺骗乘客、司机、FTC。
沙利文反驳称,检察官指控他隐瞒黑客事件,说他这样做的目的是想阻止司机逃离,让司机继续支付服务费,但检察这种指控并无切实证据。旧金山地区法官威廉·奥瑞克(William Orrick)显然不同意这种说法。
不只如此,沙利文还认为受到欺骗的是Uber当时的CEO和总法律顾问,不是司机,关于这点法官也不认同。奥瑞克说,虽然沙利文的虚假陈述并非直面司机,但这只是更大欺骗计划的一部分,欺骗对象正是司机。
检方声称沙利文向黑客支付比特币作为封口费,价值约10万美元。他还让黑客签署保密协议,说他们没有窃取数据。
了解到数据泄露事件后,Uber现任CEO达拉·科斯罗萨西(Dara Khosrowshahi)解雇了沙利文。
2018年9月Uber支付1.48亿美元与50个州及华盛顿DC和解索赔诉讼,原告认为Uber披露信息过慢。
3、沃尔玛遭美监管机构起诉:涉嫌为诈骗提供转账服务
据报道,当地时间周二,美国联邦贸易委员会(FTC)表示已起诉沃尔玛,称该公司在防止诈骗犯利用其转账服务实施诈骗方面做得太少,导致消费者每年损失数千万美元。沃尔玛公司提供一些金融服务,是速汇金(MoneyGram)和西联汇款(Western Union)等转账服务的代理。
FTC表示,多年来,沃尔玛即使在有欺诈嫌疑的情况下也会支付汇款,而未能采取其它措施防止消费者被欺诈。
“消费者报告称,沃尔玛员工每年经手有欺诈倾向的转账金额高达数千万美元,”FTC在向美国伊利诺斯州北部地区法院提交的诉状中称。
起诉书称,沃尔玛非常清楚,欺诈者伪装手段多样,利用沃尔玛的转账服务向诈骗团伙转移现金。尽管如此,沃尔玛仍在继续处理由欺诈引发的资金转移——为电话营销和其他骗局提供资金——而没有采取措施有效检测和阻止这些转账。”
沃尔玛在一份声明中表示,将迎战这场所谓的“有事实缺陷和没有法律依据”的诉讼。
FTC表示,它正在要求法院命令沃尔玛将损失的资金返还给消费者,并支付民事罚款。
委员会对提起诉讼的投票结果为3比2,委员会中三名民主党议员对此表示赞成,两名共和党议员反对。
2022年6月28日 星期二
今日资讯速览:
1、国家网信办发布《互联网用户账号信息管理规定》(附全文)
2、Harmony区块链桥被黑 价值1亿美元的Horizon加密货币遭掠夺
3、监管机构禁令频发,谷歌将被禁止追踪数百万用户数据
1、国家网信办发布《互联网用户账号信息管理规定》(附全文)
6月27日,国家互联网信息办公室发布《互联网用户账号信息管理规定》(以下简称《规定》),自2022年8月1日起施行。国家互联网信息办公室有关负责人表示,出台《规定》,旨在加强对互联网用户账号信息的管理,弘扬社会主义核心价值观,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益,促进互联网信息服务健康发展。
互联网用户账号信息管理规定
第一章 总 则
第一条 为了加强对互联网用户账号信息的管理,弘扬社会主义核心价值观,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益,根据《中华人民共和国网络安全法》、《中华人民共和国个人信息保护法》、《互联网信息服务管理办法》等法律、行政法规,制定本规定。
第二条 互联网用户在中华人民共和国境内的互联网信息服务提供者注册、使用互联网用户账号信息及其管理工作,适用本规定。法律、行政法规另有规定的,依照其规定。
第三条 国家网信部门负责全国互联网用户账号信息的监督管理工作。
地方网信部门依据职责负责本行政区域内的互联网用户账号信息的监督管理工作。
第四条 互联网用户注册、使用和互联网信息服务提供者管理互联网用户账号信息,应当遵守法律法规,遵循公序良俗,诚实信用,不得损害国家安全、社会公共利益或者他人合法权益。
第五条 鼓励相关行业组织加强行业自律,建立健全行业标准、行业准则和自律管理制度,督促指导互联网信息服务提供者制定完善服务规范、加强互联网用户账号信息安全管理、依法提供服务并接受社会监督。
第二章 账号信息注册和使用
第六条 互联网信息服务提供者应当依照法律、行政法规和国家有关规定,制定和公开互联网用户账号管理规则、平台公约,与互联网用户签订服务协议,明确账号信息注册、使用和管理相关权利义务。
第七条 互联网个人用户注册、使用账号信息,含有职业信息的,应当与个人真实职业信息相一致。
互联网机构用户注册、使用账号信息,应当与机构名称、标识等相一致,与机构性质、经营范围和所属行业类型等相符合。
第八条 互联网用户注册、使用账号信息,不得有下列情形:
(一)违反《网络信息内容生态治理规定》第六条、第七条规定;
(二)假冒、仿冒、捏造政党、党政军机关、企事业单位、人民团体和社会组织的名称、标识等;
(三)假冒、仿冒、捏造国家(地区)、国际组织的名称、标识等;
(四)假冒、仿冒、捏造新闻网站、报刊社、广播电视机构、通讯社等新闻媒体的名称、标识等,或者擅自使用“新闻”、“报道”等具有新闻属性的名称、标识等;
(五)假冒、仿冒、恶意关联国家行政区域、机构所在地、标志性建筑物等重要空间的地理名称、标识等;
(六)以损害公共利益或者谋取不正当利益等为目的,故意夹带二维码、网址、邮箱、联系方式等,或者使用同音、谐音、相近的文字、数字、符号和字母等;
(七)含有名不副实、夸大其词等可能使公众受骗或者产生误解的内容;
(八)含有法律、行政法规和国家有关规定禁止的其他内容。
第九条 互联网信息服务提供者为互联网用户提供信息发布、即时通讯等服务的,应当对申请注册相关账号信息的用户进行基于移动电话号码、身份证件号码或者统一社会信用代码等方式的真实身份信息认证。用户不提供真实身份信息,或者冒用组织机构、他人身份信息进行虚假注册的,不得为其提供相关服务。
第十条 互联网信息服务提供者应当对互联网用户在注册时提交的和使用中拟变更的账号信息进行核验,发现违反本规定第七条、第八条规定的,应当不予注册或者变更账号信息。
对账号信息中含有“中国”、“中华”、“中央”、“全国”、“国家”等内容,或者含有党旗、党徽、国旗、国歌、国徽等党和国家象征和标志的,应当依照法律、行政法规和国家有关规定从严核验。
互联网信息服务提供者应当采取必要措施,防止被依法依约关闭的账号重新注册;对注册与其关联度高的账号信息,应当对相关信息从严核验。
第十一条 对于互联网用户申请注册提供互联网新闻信息服务、网络出版服务等依法需要取得行政许可的互联网信息服务的账号,或者申请注册从事经济、教育、医疗卫生、司法等领域信息内容生产的账号,互联网信息服务提供者应当要求其提供服务资质、职业资格、专业背景等相关材料,予以核验并在账号信息中加注专门标识。
第十二条 互联网信息服务提供者应当在互联网用户账号信息页面展示合理范围内的互联网用户账号的互联网协议(IP)地址归属地信息,便于公众为公共利益实施监督。
第十三条 互联网信息服务提供者应当在互联网用户公众账号信息页面,展示公众账号的运营主体、注册运营地址、内容生产类别、统一社会信用代码、有效联系方式、互联网协议(IP)地址归属地等信息。
第三章 账号信息管理
第十四条 互联网信息服务提供者应当履行互联网用户账号信息管理主体责任,配备与服务规模相适应的专业人员和技术能力,建立健全并严格落实真实身份信息认证、账号信息核验、信息内容安全、生态治理、应急处置、个人信息保护等管理制度。
第十五条 互联网信息服务提供者应当建立账号信息动态核验制度,适时核验存量账号信息,发现不符合本规定要求的,应当暂停提供服务并通知用户限期改正;拒不改正的,应当终止提供服务。
第十六条 互联网信息服务提供者应当依法保护和处理互联网用户账号信息中的个人信息,并采取措施防止未经授权的访问以及个人信息泄露、篡改、丢失。
第十七条 互联网信息服务提供者发现互联网用户注册、使用账号信息违反法律、行政法规和本规定的,应当依法依约采取警示提醒、限期改正、限制账号功能、暂停使用、关闭账号、禁止重新注册等处置措施,保存有关记录,并及时向网信等有关主管部门报告。
第十八条 互联网信息服务提供者应当建立健全互联网用户账号信用管理体系,将账号信息相关信用评价作为账号信用管理的重要参考指标,并据以提供相应服务。
第十九条 互联网信息服务提供者应当在显著位置设置便捷的投诉举报入口,公布投诉举报方式,健全受理、甄别、处置、反馈等机制,明确处理流程和反馈时限,及时处理用户和公众投诉举报。
第四章 监督检查与法律责任
第二十条 网信部门会同有关主管部门,建立健全信息共享、会商通报、联合执法、案件督办等工作机制,协同开展互联网用户账号信息监督管理工作。
第二十一条 网信部门依法对互联网信息服务提供者管理互联网用户注册、使用账号信息情况实施监督检查。互联网信息服务提供者应当予以配合,并提供必要的技术、数据等支持和协助。
发现互联网信息服务提供者存在较大网络信息安全风险的,省级以上网信部门可以要求其采取暂停信息更新、用户账号注册或者其他相关服务等措施。互联网信息服务提供者应当按照要求采取措施,进行整改,消除隐患。
第二十二条 互联网信息服务提供者违反本规定的,依照有关法律、行政法规的规定处罚。法律、行政法规没有规定的,由省级以上网信部门依据职责给予警告、通报批评,责令限期改正,并可以处一万元以上十万元以下罚款。构成违反治安管理行为的,移交公安机关处理;构成犯罪的,移交司法机关处理。
第五章 附 则
第二十三条 本规定下列用语的含义是:
(一)互联网用户账号信息,是指互联网用户在互联网信息服务中注册、使用的名称、头像、封面、简介、签名、认证信息等用于标识用户账号的信息。
(二)互联网信息服务提供者,是指向用户提供互联网信息发布和应用平台服务,包括但不限于互联网新闻信息服务、网络出版服务、搜索引擎、即时通讯、交互式信息服务、网络直播、应用软件下载等互联网服务的主体。
第二十四条 本规定自2022年8月1日施行。本规定施行之前颁布的有关规定与本规定不一致的,按照本规定执行。
2、Harmony区块链桥被黑 价值1亿美元的Horizon加密货币遭掠夺
2022年6月23日星期四,一名黑客成功地进行了一次恶意攻击,从Harmony的Horizon区块链桥上窃取了1亿美元,并通过11笔交易提取了存储在桥上的代币(HZ),但Harmony的比特币桥在这次攻击中仍然没有受到影响。
区块链桥的设计如Harmony的Horizon主要使用户能够在不同的区块链之间移动资产,包括代币、稳定币和NFT。
攻击发生后,Harmony立即停止了Horizon桥,以防止进一步的交易。然后,它联系了联邦调查局和多个网络安全和交易所合作伙伴,以调查、跟踪和协助检索被盗资产。在这些联系建立之后,Harmony才通过Twitter和其博客文章宣布了黑客攻击事件。
黑客的身份似乎已经确定,因为调查小组已经尝试用交易中的嵌入式信息与他们的地址进行沟通,并正在等待回应。
在一篇博文中,该公司说:
"本次事件是一次谦卑和不幸的提醒,我们的工作对这个空间的未来是多么重要,我们还有很多工作要做。... 我们正在夜以继日地工作,以确保以最有效的方式完成调查和追回被盗资金"。
仅在今年,区块链世界就发生了三起针对区块链桥的黑客事件,被盗的资金超过10亿美元。
3、监管机构禁令频发,谷歌将被禁止追踪数百万用户数据
鞭牛士 6月27日消息,欧盟一直在监管谷歌对于其在移动搜索引擎行业和应用程序中垄断权力的滥用,现在,欧盟中越来越多的国家正在追查谷歌数据分析工具(Google Analytics),因为它被发现违反了《通用数据保护条例》(GDPR)。
意大利数据保护机构发现,当地的一家网络出版商Caffeina Media Srl使用谷歌数据分析工具时不符合欧盟数据保护标准,该数据分析工具收集了许多类型的用户数据,包括设备IP地址、浏览器信息、操作系统、屏幕分辨率、语言选择以及访问网站的时间,最重要的是,这些用户数据会被转移到美国。
监管机构称,这是一个“没有足够数据保护水平的国家”。
目前,意大利监管机构给了该网络出版商Caffeina Media Srl公司90天的时间将其账户从谷歌数据分析工具转移出来,并且监管机构警告了其他正在使用谷歌数据分析工具的网站注意检查自己的合规性。
2022年6月27日 星期一
今日资讯速览:
1、网络安全审查办公室对知网启动网络安全审查
2、《中华人民共和国反电信网络诈骗法(草案二次审议稿)》全文
3、“链游之王”Axie Infinity开发商将赔偿用户损失 因黑客攻击损失超6亿美元
1、网络安全审查办公室对知网启动网络安全审查
网络安全审查办公室有关负责人表示,为防范国家数据安全风险,维护国家安全,保障公共利益,依据《国家安全法》《网络安全法》《数据安全法》,按照《网络安全审查办法》,2022年6月23日,网络安全审查办公室约谈同方知网(北京)技术有限公司负责人,宣布对知网启动网络安全审查。据悉,知网掌握着大量个人信息和涉及国防、工业、电信、交通运输、自然资源、卫生健康、金融等重点行业领域重要数据,以及我重大项目、重要科技成果及关键技术动态等敏感信息。
2、《中华人民共和国反电信网络诈骗法(草案二次审议稿)》全文
据悉,十三届全国人大常委会第三十五次会议对《中华人民共和国反电信网络诈骗法(草案二次审议稿)》进行了审议。社会公众可以直接登录中国人大网(www.npc.gov.cn)或国家法律法规数据库(flk.npc.gov.cn)查看并提出意见,征求意见截止日期:2022年7月23日。
3、“链游之王”Axie Infinity开发商将赔偿用户损失 因黑客攻击损失超6亿美元
越南视频游戏开发商Sky Mavis表示,他们预计在6月28日赔偿用户的损失,并重新开放攻击中被破坏的软件桥。今年3月,该公司在一次黑客攻击中损失超过6.2亿美元。黑客从被称为Ronin的软件桥上偷走了17.36万个以太币和2550万个USDC加密货币,这个软件桥让用户可以在不同区块链的币种之间进行交换。
总体而言,在攻击发生后,加密货币价格暴跌的情况下,这些加密货币现在的价值约为2.165亿美元。
Sky Mavis的发言人在一份声明中表示,在桥梁重新开放之后,用户可以根据他们在3月份持有的以太币数量获得赔偿。与区块链头部游戏Axie Infinity相关的DAO中丢失的56,000个以太币将继续处于未被抵押状态。
Sky Mavis在今年3月承诺将向损失资金的用户进行补偿。该公司在4月份由加密货币交易所币安牵头的一轮融资中筹集了1.5亿美元。当时,该公司表示,它计划用这笔钱以及Sky Mavis和Axie Infinity自己的资源来偿还用户的损失。
2022年6月24日 星期五
今日资讯速览:
1、上海市通报5起泄密典型案例
2、亚马逊宣布启动AWS量子网络中心研究项目
3、开源代码存在安全隐患:一个项目平均有49个漏洞
1、上海市通报5起泄密典型案例
近期,中共上海市委保密委员会办公室、市国家保密局依法依规查处了一批违反保密法律法规的案件。现通报其中5起典型案例。
1.未按规定保密提醒导致涉密敏感材料外泄。某区级机关干部路某在交付相关材料给招标代理公司时,未按规定进行保密提醒,招标代理人员戴某某将其中一份涉密敏感材料通过互联网上传并引发炒作。案件发生后,路某受到党内严重警告处分,所在部门主要负责人王某某被责令深刻检查,招标代理公司相关责任人戴某某被扣发绩效奖金。
2.在微信群中违规传发涉密文件。2022年3月,某区级部门工作人员经单位领导刘某某、董某某同意后,将两份秘密级文件通过区政务外网下发至街镇,某镇工作人员秦某某又通过政务外网下发至村居委,某村工作人员张某违规将文件下载并转发至微信工作群。案件发生后,张某受到政务警告处分,秦某某、刘某某被诫勉谈话,董某某被批评教育。
3.用手机拍摄涉密材料并通过微信转发。2022年4月,某市级机关干部曾某违规通过手机拍摄了1份机密级材料的部分内容,并通过微信转发给他人,造成扩散传播。案件发生后,曾某受到政务记大过处分。
4.通过QQ软件传输涉密文件。2022年6月,某区级机关干部宋某违规将1份机密级文件通过QQ软件传发给本单位同事顾某某。案件发生后,宋某受到政务警告处分及取消当年评优资格等处理。
5.在微信群中发布工作秘密。2022年6月,某高校工作人员倪某将1份内部敏感信息发布在微信工作群中,后造成扩散传播。案件发生后,倪某受到组织严肃批评教育,并被责令作出书面检查。
上述案例,暴露出部分机关、单位保密意识不强、保密纪律松懈、保密管理不严等问题。希望各地、各部门从中汲取深刻教训,举一反三,引以镜鉴,强化保密观念,落实主体责任,排查隐患漏洞,从严抓好保密法纪执行和保密措施落实,严防泄密事件发生,维护国家安全和发展利益。
2、亚马逊宣布启动AWS量子网络中心研究项目
近年来,亚马逊及其云服务(AWS)部门已在量子计算方面开展了多项重大投资。比如在 Amazon Braket 的加持下,该公司为开发者提供了对来自 IonQ、Oxford QUantum Circuits、Rigetti 和 D-Wave 等公司的量子计算机硬件和模拟器等软件工具的访问权限。本周二,亚马逊又宣布了将量子计算引入云端的最新努力、并启动了 AWS 量子网络中心。
(来自:AWS Blog)
作为一项新研究工作,AWS 量子网络中心致力于推动量子计算机的联网、以及相关科学工程项目,从而构建更强大的多处理器计算网络和安全的量子通信网络。
此外该公司位于加利福尼亚州帕萨迪纳的 AWS 量子计算中心,专注于构建更好的量子比特与纠错算法等基础科学研究项目,而亚马逊量子解决方案实验室则旨在帮助企业为量子计算的未来做好准备。
不同的是,Amazon Braket 与量子解决方案实验室侧重于近期的实际应用。而量子计算中心和新启动的量子网络中心,则更专注于长期的研究工作。
目前围绕量子网络的大部分研究工作,都处于受国家资助的研究实验室的水平,且大多数商业量子计算工作都停留在处理器级别(加上配套的周边生态系统)。
即便如此,亚马逊还是在公告中表示:“为释放量子设备的全部潜力,它们需要像当今的互联网设备一样被连接到一起,以形成一个量子网络”。
尽管没有像量子计算机那样受到同等程度的关注,但量子网络还是具有引人入胜的应用潜力。
其一是实现由量子密钥分发保护的全球通信网络,其能够达成传统加密技术无法实现的隐私与安全保护级别。
另外通过将大量强大且安全的云量子服务器连接到一起,还可充分放大单个量子处理器的能力。
3、开源代码存在安全隐患:一个项目平均有49个漏洞
虽然开源软件在开发人员和科技公司中日益受到欢迎,但最新报告披露了当前开源环境所存在的安全隐患。在最新《The State of Open-Source Security》报告中,开源代码的无限制部署正逐渐成为一种安全风险。
开发者安全公司 Snyk 和 Linux 基金会的研究声称,超过三分之一的组织对其开源软件的安全性没有很高的信心。 Snyk 开发者关系总监 Matt Jarvis 谈到这份报告时说:
今天的软件开发人员拥有自己的供应链——他们不是组装汽车零件,而是通过将现有的开源组件与其独特的代码拼凑在一起来组装代码。虽然这会提高生产力和创新,但它也带来了重大的安全问题。
这份史无前例的报告发现了广泛的证据,表明业界对当今开源安全的状态还很幼稚。我们计划与 Linux 基金会一起利用这些发现来进一步教育和装备世界上的开发人员,使他们能够继续快速构建,同时保持安全。
该研究声称,一个应用程序开发项目平均有 49 个漏洞和 80 个直接依赖项。此外,修复开源项目漏洞所需的时间也在稳步增加。早在 2018 年,修复安全漏洞平均需要 49 天。2021年,开发一个补丁大约需要 110 天。
该报告称,只有 49% 的组织制定了开源软件开发或使用的安全策略。而且,对于大中型公司来说,这个数字仅为 27%。大约 30% 的组织甚至承认,他们的团队中没有人直接负责,甚至没有解决开源安全问题。顺便说一句,这些公司没有专门的开源安全策略。
2022年6月23日 星期四
今日资讯速览:
1、学习通学生信息泄露事件追踪
2、工控安全火山爆发:“冰瀑”报告披露56个重大OT漏洞
3、微软屏蔽俄罗斯用户更新Windows Insider测试版
1、学习通学生信息泄露事件追踪
2、工控安全火山爆发:“冰瀑”报告披露56个重大OT漏洞
3、微软屏蔽俄罗斯用户更新Windows Insider测试版
2022年6月22日 星期三
今日资讯速览:
1、学习通被曝泄露1.7亿条信息!学生:骗子能报出自己身份证号
2、美国联邦贸易委员会:现阶段AI无法对抗网络虚假信息
3、警惕!Google Chrome 扩展程序被用来生成设备指纹,并实时在线追踪
1、学习通被曝泄露1.7亿条信息!学生:骗子能报出自己身份证号
6月21日消息,据“AI财经社”报道,大学生学习软件超星学习通的数据库信息被公开售卖一事引起热议。
其中泄露的数据包含姓名、手机号、性别、学校、学号、邮箱等信息1亿7273万条。
目前,“学习通信息泄露”一事已登上热搜,有大量超星学习通学生用户提到,近日有外地的手机号给自己发信息、打电话。
甚至有用户反映,自己前几天就接到了境外诈骗电话,对方能报出自己的身份证号、知道自己有支付宝学生认证。有用户吐槽称,“我好多账号用的都是这个密码”、“一会儿还要用学习通考试”。
据悉,超星学习通是在大学中普及率非常高的一款App,其功能包括网络课打卡、网课在线学习、考试监考等。
天眼查App显示,超星学习通是北京世纪超星信息技术发展有限责任公司旗下的项目。目前,上述公司未对学习通数据库发生信息泄露一事作出公开回应。
2、美国联邦贸易委员会:现阶段AI无法对抗网络虚假信息
美国联邦贸易委员会(FTC)就政府使用人工智能技术来打击虚假信息、深度伪造、犯罪和其他在线问题发出警告,理由是该技术存在偏见和歧视的固有局限性。FTC官员在提交给国会的一份报告中详细说明,人工智能技术不能在缓解在线社会问题方面发挥中立作用,并特别指出,以这种身份使用它可能会让位于从在线用户那里非法提取数据并进行不当监控。
这份报告阐述了九个方面。
首先,在监测旨在处理有害内容的人工智能工具的使用和决策时,仍然需要(或许永远都需要)人工干预。
其次,人工智能在这一领域的使用需要有意义的透明度,这包括它需要是可解释的和有争议的,特别是当涉及到人们的权利或个人数据被收集或使用时。
第三,与透明度交织在一起的是,平台和其他依赖人工智能工具清理其服务放大的有害内容的公司必须对其数据操作和结果负责。
第四,数据科学家及其制造人工智能工具的雇主——以及采购和部署这些工具的公司——对输入和输出都负有责任。
第五,平台和其他机构应利用可使用的一系列干预措施,如减缓病毒传播或以其他方式限制某些有害内容影响的工具。
第六,有可能赋予个人使用人工智能工具的能力,以限制他们接触某些有害或不受欢迎的内容。
第七,如果任何旨在打击在线危害的人工智能工具都能有效地工作,并且不会产生不公平或有偏见的结果,那么它将有助于较小的平台和其他组织获得这种工具,因为它们可能没有自己创造这种工具的资源。
第八,考虑到使用人工智能检测有害内容的局限性,重点放在关键的补救措施上是很重要的,特别是使用认证工具来识别特定内容的来源,以及它是否被篡改了。
最后,在人工智能和在线危害的背景下,任何法律或法规都需要仔细考虑。考虑到人工智能的各种限制和担忧,明确或有效地强制使用它来处理有害内容——例如对平台施加的过于迅速的下架要求——可能是非常有问题的。
FTC消费者保护局局长塞缪尔·莱文 (Samuel Levine) 表示,“我们的报告强调,任何人都不应将人工智能视为有害在线内容传播的解决方案,”。“打击网络伤害需要广泛的社会努力,而不是过于乐观地相信新技术——既有用又危险——将使我们摆脱这些问题。”
该报告特别强调了这项技术处于广泛的初级水平,主要是人工智能算法运行的数据集没有足够的代表性来成功识别有害内容。
人工智能软件开发人员的偏见也可能影响技术的决策,这是人工智能行业长期存在的问题。FTC报告的作者还补充说,大多数AI程序无法判断上下文,进一步使其在区分有害内容方面不可靠。
报告的主要结论是,政府、平台和其他方面必须非常谨慎地强制使用或过度依赖这些工具,即使是为了减少危害的重要目的。“虽然超出了人们的认知范围,但这一结论意味着,如果人工智能不是答案,并且如果规模使得有意义的人类监督变得不可行,那么必须寻找其他方式监管或其他方式来解决这些危害的传播。
FTC得出的另一个重要观察结果是,仍然需要人工干预来规范可能无意中针对和审查错误内容的AI功能。报告强烈建议围绕如何构建技术的透明度开展工作,而这一关键主要是在算法开发中。
该报告还指出,承载有害内容传播的平台和网站应努力减缓非法话题或错误信息的传播。FTC建议灌输工具,例如投票、标记或其他不一定是AI运行审查的目标操作。
报告的结论认为:“有效处理在线危害需要对商业模式和做法进行重大改变,以及人们如何使用或滥用在线服务的文化转变。” “这些变化涉及整个社会的大量时间和精力,其中可能包括技术创新、对该技术的透明和负责任的使用、有意义的人类监督、全球合作、数字素养和适当的监管。人工智能不是神奇的捷径。”
在《2021年拨款法案》(2021 Appropriations Act)中,国会指示联邦贸易委员会(Federal Trade Commission)研究并报告人工智能(AI)是否以及如何“可能被用于识别、删除或采取任何其他必要的适当行动,以应对”各种特定的“网络危害”。国会指的是欺骗性的、欺诈性的、被操纵的或非法的内容,特别是诈骗、深度造假、虚假评论、阿片类药物销售、儿童性剥削、复仇色情、骚扰、仇恨犯罪以及美化或煽动暴力的内容。此外,还包括误导或利用界面、恐怖主义和暴力极端分子滥用数字平台、与选举相关的虚假信息以及销售假冒产品。国会寻求关于此类人工智能使用的“合理政策、实践和程序”的建议,以及关于“推进人工智能用于这些目的的采用和使用”的立法建议。FTC委员们以4比1的投票结果一致同意将报告提交给国会。
3、警惕!Google Chrome 扩展程序被用来生成设备指纹,并实时在线追踪
研究人员创建了一个网站,该网站通过 Google Chrome 扩展程序来生成其设备的指纹,并进行跟踪。特征包括GPU性能、Windows应用程序、设备的屏幕分辨率、硬件配置,安装的字体,并可以使用相同的指纹识别方法跨站点跟踪设备。
已安装 Chrome 扩展程序的指纹
近日,网络开发者“z0ccc”分享了一个名为“Extension Fingerprints”的新指纹站点,该站点可以根据浏览器安装的 Google Chrome 扩展程序生成其设备指纹。在创建 Chrome 浏览器扩展时,可以将某些资产声明为网页或其他扩展可以访问的“网络可访问资源”。
这些资源通常是图像文件,它们是使用web_accessible_resources浏览器扩展清单文件中的属性声明的。
Web 可访问资源的示例声明如下所示:
早在2019年披露中,可以使用 Web 可访问资源来检查已安装的扩展程序,并根据找到的扩展程序的组合生成访问者浏览器的指纹。
为了防止检测,z0ccc表示某些扩展使用访问 Web 资源所需的秘密令牌。然而,研究人员发现了一种“资源时序比较”方法,该方法仍可用于检测是否安装了扩展。“与未安装的扩展资源相比,获取受保护扩展的资源需要更长的时间。通过比较时间差异,您可以准确地确定是否安装了受保护的扩展,”z0ccc 在项目的GitHub 页面上解释道。
为了说明这种指纹识别方法,z0ccc 创建了一个 Extension Fingerprints 网站 ,该网站将检查访问者的浏览器是否存在 Google Chrome Web Store 上可用的 1,170 个流行扩展中的 Web 可访问资源。
该网站将识别的一些扩展是 uBlock、LastPass、Adobe Acrobat、Honey、Grammarly、Rakuten 和 ColorZilla。根据已安装扩展的组合,网站将生成一个跟踪指纹,可用于跟踪该特定浏览器,如下所示。
一些流行的扩展,例如 MetaMask,不暴露任何资源,但 z0ccc 仍然可以通过检查“typeof window.ethereum 是否等于未定义”来识别它们是否已安装。
虽然那些没有安装扩展程序的人将具有相同的指纹并且对跟踪的用处较小,但那些具有许多扩展程序的人将有一个不太常见的指纹,可用于在网络上跟踪它们。
“这对于指纹识别用户来说绝对是一个可行的选择,”z0ccc 在给 BleepingComputer 的电子邮件中解释道。
“特别是使用'获取网络可访问资源'方法。如果将其与其他用户数据(如用户代理、时区等)结合使用,则可以很容易地识别出用户。”
Extensions Fingerprints 站点仅适用于从 Chrome Web Store 安装扩展的 Chromium 浏览器。虽然此方法适用于 Microsoft Edge,但需要对其进行修改以使用 Microsoft 扩展商店中的扩展 ID。
此方法不适用于 Mozilla Firefox 附加组件,因为 Firefox 扩展 ID 对于每个浏览器实例都是唯一的。
常用安装 uBlock
虽然 z0ccc 没有收集有关已安装扩展的任何数据,但他自己的测试表明,已安装 uBlock 是最常见的扩展指纹。
“到目前为止,最流行的是没有安装扩展。如前所述,我不收集特定的扩展数据,但在我自己的测试中,似乎只安装了 ublock 是一种常见的扩展指纹,”共享 z0ccc。
以下是 BleepingComputer 进行的测试中安装了各种流行扩展的用户百分比。
58.248% - 没有安装或启用扩展。
2.065% - 仅 Google Docs Offline,这是默认安装的唯一扩展。
0.528% - uBlock Origin + Google Docs Offline
0.238% - AdBlock + Google Docs 离线
0.141% - Adobe Acrobat + Google Docs Offline
0.122% - 谷歌翻译 + 离线谷歌文档
0.019% - Malwarebytes 浏览器防护
0.058% - Grammarly + Google Docs 离线
0.058% - LastPass + Google Docs 离线
0.051% - Honey + Google Docs 离线
0.013% - ColorZilla + Google Docs 离线
在我们的测试中,安装三到四个扩展程序使使用相同扩展程序的用户百分比低至 0.006%。显然,安装的扩展程序越多,安装相同组合的人就越少。
z0ccc 表示,0.006% 的百分比表明您是唯一拥有该扩展组合的用户,但随着更多人访问该网站,这种情况会发生变化。
Extension Fingerprints 已作为 开源 React 项目发布在 GitHub 上,允许任何人查看如何查询已安装扩展的存在。
2022年6月19日更新:澄清 、z0ccc没有发现检测已安装扩展的方法,而是发现了时序比较方法。
2022年6月21日 星期二
今日资讯速览:
1、争夺第三世界影响力!美欧拟向发展中国家提供网络安全援助
2、亚马逊前工程师因2019年Capital One网络攻击事件而被定罪
3、年损失18亿美元!去中心化金融遭网络犯罪重创
1、争夺第三世界影响力!美欧拟向发展中国家提供网络安全援助
2、亚马逊前工程师因2019年Capital One网络攻击事件而被定罪
3、年损失18亿美元!去中心化金融遭网络犯罪重创
2022年6月20日 星期一
今日资讯速览:
1、中国信通院:八成互联网电视系统存非法采集共享用户数据问题
2、Hermit细节披露:由政府操控的复杂间谍软件
3、前亚马逊工程师被定罪:曾盗窃曝光超 1 亿人数据,面临最高 20 年监禁
1、中国信通院:八成互联网电视系统存非法采集共享用户数据问题
IT之家 6 月 17 日消息,今日中国信通院联合电信终端产业协会发布的《OTT 终端数据安全和个人信息保护研究报告(2022 年)》显示,我国互联网电视用户数 10.83 亿户,并有 80% 的电视系统存在用户数据被非法采集共享的问题。
IT之家了解到,OTT 是“OverTheTop”的缩写,是指越过运营商,通过互联网向用户提供各种应用服务。OTT 终端,国内一般指的就是互联网电视。据国家广播电视总局《2021 年全国广播电视行业统计公报》显示,截至 2021 年底,互联网电视用户数 10.83 亿户,互联网视频年度付费用户达到 71 亿,互联网音频年度付费用户 15 亿,短视频上传用户超过 7 亿,OTT 集成服务业务收入 78.02 亿元,同比增长 9.73%。
《研究报告》指出,OTT 终端产业迅猛发展的同时,也带来了诸多安全问题,如漏洞修补不及时、控制模块越权操控、语音控制内容被篡改、应用软件 / SDK 过度索取权限、用户数据被非法采集共享、直接采集共享 MAC 等不可变更设备标识等。
特别是在数据安全和个人信息安全方面,互联网电视上 App 和第三方 SDK 强制授权、过度索权、超范围收集个人信息的现象大量存在;流量欺诈方面,OTT 领域虚假作弊流量比例较高,榨取广告市场预算,威胁家庭用户的安全;内容方面,内容盗版侵权,二创、搬运等软盗版行为突出,影响视频付费市场发展;投屏安全方面,投屏更加便捷但也存在泄漏用户隐私的风险。
在互联网电视安全检测与分析方面,《研究报告》指出,对多款互联网电视产品开展安全评测,包括 6 个方面 66 项,测试表明 75% 的被测电视操作系统存在已知安全漏洞;80% 存在调试接口防护问题;应用安装、语音控制模块普遍存在安全隐患;60% 的预装 App 存在违规采集共享 MAC 地址等用户信息的问题;80% 电视系统的内置 SDK、预装应用存在未获得用户同意向第三方共享用户敏感数据的问题;App 隐私政策普遍存在内容展示不完善等问题。
《研究报告》介绍,近年来我国互联网电视安全管理动作频频。法规层面,国内颁布《数据安全法》和《个人信息保护法》及相关条例和部门规章,明确数据安全和个人信息保护管理要求;行业自律方面,中国电子视像行业协会牵头发布《智能电视开机广告服务规范》,中国网络视听节目服务协会和互联网电视工作委员推出《互联网电视应用商店 (应用) 管理规范》等行业规范;产业生态方面,电视终端与互联网公司安全团队跨行业合作,共建安全生态系统;检测认证方面,企业积极参加 TAG 流量反欺诈认证项目,帮助中国市场消除流量作弊风险。
《研究报告》建议加强行业管理,完善全链条监管;加快制定技术标准,解决行业痛点难点;利用隐私计算技术,发挥数据要素价值;推进安全检测认证,加强平台审核与管理;加强宣传教育,提高用户隐私保护意识等方面多管齐下,统筹发展。
2、Hermit细节披露:由政府操控的复杂间谍软件
3、前亚马逊工程师被定罪:曾盗窃曝光超 1 亿人数据,面临最高 20 年监禁
IT之家 6 月 19 日消息,美国西雅图陪审团裁定,前亚马逊软件工程师 Paige Thompson 被指控在 2019 年从 Capital One 窃取数据,犯有电信欺诈罪和五项未经授权访问受保护计算机的罪名。
Capital One 黑客攻击是美国最大的安全漏洞之一,该事件导致 1 亿美国人和 600 万加拿大人的数据泄露,包括姓名、出生日期、社保号码、电子邮件地址和电话号码。Thompson 于当年 7 月被捕,当时一名 GitHub 用户看到她在网站上分享有关从存储 Capital One 信息的服务器窃取数据的信息。
根据美国司法部的公告,Thompson 使用她自己构建的工具来扫描亚马逊网络服务以查找配置错误的账户。据称,她随后使用这些账户渗透了 Capital One 的服务器并下载了超过 1 亿人的数据。
陪审团裁定 Thompson 这样做违反了《计算机欺诈和滥用法》,但 Thompson 的律师辩称,她使用的工具和方法与道德黑客所使用的工具和方法相同。
IT之家了解到,美国司法部最近修改了《计算机欺诈和滥用法》,以保护道德或白帽黑客。只要研究人员“善意”地调查或修复漏洞,并且没有将他们发现的安全漏洞用于勒索或其他恶意目的,就不能再根据法律受到指控。
然而,美国当局不同意 Thompson 只是试图揭露 Capital One 漏洞的说法。司法部表示,她将加密货币挖掘软件植入银行的服务器,并将收益直接发送到她的数字钱包。据称,她还在论坛上吹嘘自己的黑客行为。
美国检察官 Nick Brown 表示:“她远不是一个试图帮助公司保护计算机安全的道德黑客,而是利用错误窃取有价值的数据并从中牟利。”Thompson 可能因电信欺诈被判处最高 20 年的监禁,每项非法访问受保护计算机的指控最高可判处 5 年监禁。她的量刑听证会定于 9 月 15 日举行。
2022年6月17日 星期五
今日资讯速览:
1、乌克兰将国家重要数据迁移至北约邻国
2、安全专家指责微软在修复关键漏洞上耗时长
3、美国NHTSA发布驾驶辅助技术事故数据 特斯拉成为其中主角
1、乌克兰将国家重要数据迁移至北约邻国
安全内参6月15日消息,乌克兰政府官员已经开始将敏感数据存储到国外上,希望保护其免受俄罗斯网络与物理攻击的影响。乌克兰还在与多个欧洲国家进行协商,旨在为后续更多数据库外迁做准备。
已有超百个数据库正在迁移,战争严重威胁国家数据安全
乌克兰数字化转型部副部长George Dubinskiy表示,自俄乌战争爆发以来,已有不同政府部门和办公室的约150个登记数据库或备份副本,正在商议或已被迁往国外。
Dubinskiy称,之前政府的大部分信息记录都保存在国内的数据中心,需要先迁移至云端,然后才能传输备份副本。为此,政府决定优先考虑将重要的数据库从旧的遗留数据存储系统中迁出,为其创建副本,以便存储到国外的云设施当中。
他解释道,“为了安全起见,我们希望把备份数据放在国外。”
他认为,将数据库迁移至云端将增加新的保护层,这样即使乌克兰的某个数据中心被俄罗斯武器摧毁,政府官员仍然可以访问数据内容。他还说,政府制定了法律和安全规定,将协助保护这些数据库免受网络和其他威胁的侵扰。
在俄乌战争初期,某个政府数据中心就曾遭俄罗斯导弹破坏。但由于备份副本的存在,没有造成数据丢失。
Dubinskiy表示,“这在我们看来绝对是个危险的信号,我们必须以某种方式保存和保护自己的关键数据存储。”
战争爆发后,这种威胁已经非常明显。2月24日开战首日,俄罗斯袭击了基辅郊外的一处军事基地,此后又多次袭击了乌克兰政府大楼。5月,美国、英国、欧盟及其他多国指责,俄罗斯在开战首日对一家卫星通信公司实施网络攻击,导致数千名乌克兰与欧洲民众的互联网服务中断,一家德国风力发电场的远程控制系统陷入瘫痪。
俄罗斯则一直否认曾发动网络攻击。但压力之下,乌克兰政府很快意识到必须着手保护数据资产。乌克兰国家特殊通信与信息保护局副局长Victor Zhora上个月说:“在紧急情况下,我们需要保证IT系统能够继续运行。”
部分数据成功迁移至波兰,迁移是一项昂贵的长期工程
Dubinskiy指出,乌克兰已经将部分政府数据存储在波兰,放在专门设计的私有云设施内。他拒绝透露更多技术细节,但表示这些服务器仅负责托管乌克兰信息,而且经过了乌克兰和波兰两国官员的共同测试。目前,他正与爱沙尼亚、法国等其他国家接洽,希望推进类似的数据外迁计划。
Dubinskiy团队决定优先转移“VIP”数据库,即支持乌克兰经济所必需的数据库。他认为,即使在战争期间,数字身份等公民服务也仍需要稳定运行,政府仍需要访问税收数据和其他信息。
“我们要对乌克兰公民的个人数据负责,我们也要对所有敏感数据负责。”他说,无论成本如何,“这是一个安全问题”。
华盛顿智库中东研究所(Middle East Institute)的网络战专家Chris Kubecka表示,如果政府只保留一份副本,那么数据有可能彻底丢失或被黑客操纵。这种物理和网络层面的风险在战争期间正持续增加。
“一旦这个单点故障被对方把握住,那将是攻击方的狂欢、受害者的灾难。乌克兰政府必须意识到这个严重的问题。”Kubecka表示。在俄乌战争爆发的最初几周,她曾走访乌克兰,部分事项是就网络安全提供咨询建议。
Kubecka女士还提到,在战争期间,政府对于数据是否敏感的分类标准或风险划分也将有所变化。俄罗斯可能会恶意利用乌克兰民众的个人数据,实现其接管目标地区的战略意图。例如,利用个人信息可以轻松跟踪民众的行动轨迹和联络。
Dubinskiy说,要将敏感政府数据转移到国外,需要进行数据保护审查并满足相关法律与安全要求,比如按相应级别加密。他表示,某些政府的登记数据库体量极为庞大,数据量高达1.5 PB。因此对于部分情况,官员们耗费了几周时间,进行数据存储系统设计、测试、调整。
Kubecka认为,负责监督此次数据外迁工作的政府官员,应当考虑用于同步云端数据的通信网络是否值得信赖。她补充称,官员们需要与迁移目标国家的同行们协商,明确对方的网络防御团队在这些数据遭受网络攻击时是否会提供协助。
这个过程可能会很昂贵,而且需要额外的支持人员监督出口的数据。Kubecka坦言,“这绝不是一项能够一蹴而就的工作。”
2、安全专家指责微软在修复关键漏洞上耗时长
多名安全专家近期指责微软,称其在回应威胁其客户的漏洞报告时缺乏透明度和足够的速度。在本周二发布的博文中就阐述了微软在这方面的失败,内容称微软在修复 Azure 中的一个关键漏洞用了 5 个月的时间,而且先后发布了 3 个补丁。
Orca Security 在 1 月初首次向微软通报了该漏洞,该漏洞位于云服务的 Synapse Analytics 组件中,并且还影响了 Azure 数据工厂。它使任何拥有 Azure 帐户的人都能够访问其他客户的资源。
Orca Security 研究员 Tzah Pahima 表示,攻击者可以实现
● 在充当 Synapse 工作区的同时在其他客户帐户中获得授权。根据配置,我们可以访问客户帐户中的更多资源。
● 泄露存储在 Synapse 工作区中的客户凭据。
● 与其他客户的集成运行时进行通信。可以利用它在任何客户的集成运行时上运行远程代码 (RCE)。
● 控制管理所有共享集成运行时的 Azure 批处理池。可以在每个实例上运行代码。
Pahima 说,尽管该漏洞很紧迫,但微软的响应者却迟迟没有意识到它的严重性。微软在前两个补丁中搞砸了,直到周二,微软才发布了完全修复该漏洞的更新。 Pahima 提供的时间表显示了他的公司花费了多少时间和工作来引导微软完成整治过程:
● 1 月 4 日 – Orca 安全研究团队向 Microsoft 安全响应中心 (MSRC) 披露了该漏洞,以及我们能够提取的密钥和证书。
● 2 月 19 日和 3 月 4 日——MSRC 要求提供更多细节以帮助其调查。每次,我们都会在第二天回复。
● 3 月下旬 – MSRC 部署了初始补丁。
● 3 月 30 日 – Orca 能够绕过补丁。突触仍然脆弱。
● 3 月 31 日 - Azure 奖励我们 60,000 美元用于我们的发现。
● 4 月 4 日(披露后 90 天)– Orca Security 通知 Microsoft 密钥和证书仍然有效。 Orca 仍然可以访问 Synapse 管理服务器。
● 4 月 7 日 – Orca 与 MSRC 会面,以阐明该漏洞的影响以及全面修复该漏洞所需的步骤。
● 4 月 10 日 - MSRC 修补绕过,最终撤销 Synapse 管理服务器证书。 Orca 能够再次绕过补丁。突触仍然脆弱。
● 4 月 15 日 - MSRC 部署第三个补丁,修复 RCE 和报告的攻击向量。
● 5 月 9 日 – Orca Security 和 MSRC 都发布了博客,概述了漏洞、缓解措施和针对客户的建议。
● 5 月底 – Microsoft 部署了更全面的租户隔离,包括用于共享 Azure 集成运行时的临时实例和范围令牌。
他表示:“任何使用 Azure Synapse 服务的人都可以利用这两个漏洞。在评估情况后,微软决定默默修补其中一个问题,淡化风险。只是在被告知我们将要上市之后,他们的故事才发生了变化……在最初的漏洞通知后 89 天……他们私下承认了安全问题的严重性。迄今为止,尚未通知 Microsoft 客户”。
3、美国NHTSA发布驾驶辅助技术事故数据 特斯拉成为其中主角
美国联邦政府发布了两份新报告,首次强调了涉及自动驾驶车辆(AV)和配备先进驾驶辅助系统(ADAS)的车辆碰撞和死亡事故。特斯拉涉及驾驶辅助技术的最多车祸,而Alphabet的Waymo涉及自动驾驶车辆的最多事件。
汽车和科技公司坚持认为这些技术可以拯救生命,但去年死于汽车事故的人比过去三十年都多。需要更多的数据来准确地确定这些新系统是否使道路更安全,或者只是使驾驶更方便。美国国家公路交通安全管理局(NHTSA)去年发布了一项常设总命令,要求汽车公司报告涉及自动驾驶汽车以及当今道路上数十万辆汽车中的二级驾驶辅助系统的碰撞事故。
在二级驾驶辅助系统当中,车辆可以控制转向和加减速,但它没有达到完全自主,因为人类坐在驾驶座上,可以在任何时候控制汽车。3-5级是指在特定条件下控制所有驾驶的自动驾驶车辆,或者在5级的情况下,在任何条件下都可以控制。(值得注意的是,目前还没有第5级车辆。)超过100家公司需要遵守新的报告要求,包括特斯拉、福特和通用汽车,以及Waymo和Cruise等自动驾驶汽车运营商。
可以肯定的是,这份报告数据是有限的,缺乏关键的细节,如生产的车辆数量,运行中的车辆数量,以及这些车辆行驶的距离。公司在报告事故时可能依赖不同的标准。例如,一些汽车制造商通过车辆远程信息处理系统收到碰撞报告,而其他公司必须依靠未经核实的客户索赔。
官员们告诫说,不要只根据报告中的数字来得出结论。NHTSA预计每个月都会发布新的碰撞数据,努力为以前不透明的技术带来更多透明度。这份报告显示,特斯拉的数字比其他公司高得多,很可能是由于它销售的配备二级系统的车辆比其竞争对手多。据估计,配备自动驾驶或"完全自动驾驶"的特斯拉汽车数量为825970辆。特斯拉从其客户那里收集实时远程信息处理数据,使其报告过程快得多。其他汽车制造商通常需要等待来自现场的报告,有时几个月都不会收到。
根据该报告,从2021年7月20日到2022年5月21日,有273起涉及特斯拉车辆使用自动驾驶的车祸。这家电动车公司的车祸占该期间报告的392起车祸总数的大部分。其他汽车制造商并没有接近特斯拉报告的车祸数量。本田公司以"Honda Sensing"品牌销售其ADAS功能,披露了90起车祸。斯巴鲁以"EyeSight"品牌包装其ADAS系统,报告了10起车祸。福特公司披露了5起事故,丰田公司报告了4起事故,宝马公司报告了3起事故,而超级巡航系统的制造商通用汽车公司只披露了2起事故。Aptiv、现代汽车、Lucid、保时捷和大众汽车各报告了一起事故。
在392份车祸报告中,只有98份包括有关严重性的信息。在9个月的报告期内,有6起事故导致重伤,5起事故导致死亡。NHTSA官员没有透露报告死亡事故的制造商,但表示这一信息将包括在周三发布的原始数据中。
2022年6月16日 星期四
今日资讯速览:
1、智能商业建筑网络安全风险凸显,自动化巨头联合OT安全厂商纷纷布局
2、Bumblebee 恶意软件通过电子邮件劫持在韩国传播
3、美国国防承包商L3Harris正在就收购NSO集团进行谈判
1、智能商业建筑网络安全风险凸显,自动化巨头联合OT安全厂商纷纷布局
据知名研究机构Memoori Research评估,到2050年,当今50%的建筑物可能仍在使用中。这正在推动商业建筑将其资产数字化,包括对其BMS进行现代化改造。事实上,建筑物联网技术预计将从2020年底现有的17亿台连接设备增长到2025年的超过30亿台。随着这些商业建筑演变为未来的智能建筑,它们至少具有一个共同特征,即风险暴露面增加。
该行业必须解决智能建筑带来的安全挑战。研究表明,57%的物联网设备容易受到中度或高度严重的攻击。网络攻击已经损害了多家企业,包括医院、数据中心和酒店等关键基础设施。商业建筑部门必须设法保护其对公司 IT 系统及其关键任务基础设施的访问。
随着越来越多的物联网设备部署在建筑物的空间内,并且以前孤立的操作技术(OT)、BMS及其IT对应物之间的连接性增加,这使它们成为有吸引力的目标,并且容易受到网络攻击。此外,设施经理以分散的方式监督数百家供应商、服务承包商和技术人员,增加了复杂性和风险。
Memoori对智能建筑物联网 (BIoT) 市场的第4版研究侧重于智能商业建筑的市场规模和机遇。它根据最新信息对行业进行了全新的市场评估。本期研究的地区分为5个类别,分别代表北美、拉丁美洲、欧洲、亚太地区以及中东和非洲的国际市场。
Memoori预测与2019年相比收入将下降。但是在其预测期内(至2025年),该机构预测在最好的情况下全球增长11.6%,整体市场收入从2019 年的428亿美元上升到2025年的827亿美元,而在最坏的情况下增长7.3%,到2025年总收入将达到652亿美元。
6月13日,施耐德电气与以色列知名网OT安厂商Claroty合作推出了一种解决方案,可帮助客户保护其楼宇管理系统 (BMS) 并保护其人员、资产和运营。该联合解决方案被称为建筑网络安全解决方案,将技术与施耐德电气的专业知识和服务相结合,以识别设施范围内的资产,提供风险和漏洞管理功能,并提供持续的威胁监控以保护企业投资。
Schneider-Claroty解决方案为设施管理人员提供了一个简单的、与供应商无关的解决方案,他们可以使用该解决方案满足建筑物所有者和资产管理人员的安全远程访问、资产库存、效率和其他相关要求。此外,自动化资产发现和网络映射解决方案有助于识别和编目系统资产,例如BMS、IoT、UPS和电力系统。
楼宇网络安全解决方案涵盖资产发现、风险评估、远程访问控制、威胁检测和响应。它为建筑业主、设施运营商和安全团队提供了一个简单的解决方案,而不会增加额外的工作量。该解决方案还确定了不断降低网络和资产风险的基线风险。它还可以在服务中断之前检测并修复其环境中的威胁。
施耐德电气数字企业解决方案副总裁Annick Villeneuve当地时间6月13日在一份媒体声明中表示:“物联网在建筑中的整合正在引发整个行业的激动人心的转变,但与任何创新一样,它也带来了新的风险。” “对于希望破坏运营、经济利益和/或实现其他目标的威胁行为者,并以此将个人置于危险之中,建筑物似乎是完美的目标。”
Villeneuve补充说:“考虑到这一点,我们正与Claroty合作,为我们的客户提供全面的、行业领先的解决方案,以应对当今和未来建筑物面临的独特安全和运营风险。”
“在保护包括BMS在内的网络物理系统时,首要任务是保持物理过程的运行和安全,”Claroty全球渠道和联盟副总裁Keith Carter说。“通过将Claroty深厚的领域专业知识和专用技术与施耐德电气的知名服务和推动全球数字化转型的承诺相结合,我们使我们的客户能够在不增加网络风险的情况下获得智能建筑技术的好处,从而采取深刻的朝着为世界创造一个更高效、更可持续的未来迈进。”
Schneider-Claroty解决方案提供了一个持续的威胁检测解决方案,该解决方案持续监控建筑物网络,以识别、评估和预警网络和资产级别异常的最早指标。它还允许智能建筑资产和系统的供应商创建外部安全隧道,以轻松连接和维护建筑网络中的特定资源和资产,而不会带来额外的风险。
该解决方案还提供仪表板和报告功能,使管理和安全团队能够了解当前情况,接收量身定制的建议,并采取适当的行动来减少建筑物面临的安全、运营、财务和声誉风险。
通过部署楼宇网络安全解决方案解决方案在楼宇OT和资产环境上获得的额外可见性和智能为楼宇业主和运营商带来了额外的好处,以通过可行的见解提高他们的楼宇运营效率和生产力。
楼宇网络安全解决方案产品提供安全远程访问(SRA)解决方案,专为楼宇和 OT环境构建,以在供应商、承包商和技术人员执行远程维护活动时提高楼宇安全性。
今年早些时候,霍尼韦尔和Acalvio Technologies发布了一个集成解决方案,旨在检测商业建筑OT环境中已知和未知的零日攻击。新产品使用Acalvio欺骗技术,可以部署一种主要有效、易于使用和企业规模的主动防御方法。霍尼韦尔在2021年的一项调查中发现,大约27%的接受调查的建筑设施管理人员在去年经历了其OT系统的网络入侵,66%的受访者认为管理OT网络安全是他们最困难的职责之一。
基于由Acalvio欺骗技术提供支持的霍尼韦尔威胁防御平台 (HTDP),新解决方案将采用复杂的主动防御,包括自主欺骗策略,以智取攻击者并为用户提供高保真威胁检测。该解决方案还将帮助阻止黑客并为建筑物的 OT 环境提供准确的威胁检测。
Acalvio的自主欺骗技术通过早期检测高级威胁来帮助减少攻击者的驻留时间,并通过利用复杂的调查和主动威胁搜寻功能提高安全运营中心(SOC)的效率。
2、Bumblebee 恶意软件通过电子邮件劫持在韩国传播
ASEC 分析团队最近发现,许多下载器类型的恶意软件 Bumblebee 正在传播。Bumblebee 下载器正在通过网络钓鱼电子邮件作为 ISO 文件分发,该 ISO 文件包含一个快捷方式文件和一个恶意 dll 文件。此外,还确认了通过电子邮件劫持向国内用户分发的案例。
以下是分发 Bumblebee 下载器的网络钓鱼电子邮件。这封电子邮件会截获一封正常的电子邮件,并在回复用户时附上恶意文件。在收到电子邮件的用户的情况下,判断为正常回复,可以毫无疑问地执行附件,因此需要注意。额外确认的网络钓鱼电子邮件也正在使用电子邮件劫持方法进行分发。除了通过附件进行传播之外,还有一种传播方法是通过在电子邮件正文中包含恶意 URL 来诱导下载。在通过恶意 URL 进行分发的方法中使用 Google Drive 有一个特点。
在钓鱼邮件附件的压缩文件中设置了密码,密码显示在邮件正文中。该文件伪装成发票或请求相关文件名,可见压缩文件内部存在ISO文件。
执行 ISO 文件时,会在 DVD 驱动器中创建 lnk 文件和 dll 文件。lnk文件执行加载通过rundll32.exe创建的恶意dll文件的特定功能的功能。dll 文件是一个实际执行恶意操作并设置了隐藏属性的文件。如果关闭显示隐藏属性文件的选项,则只出现lnk文件,因此很有可能在不知道恶意dll文件存在的情况下运行lnk文件。
lnk 命令
%windir%\system32\rundll32.exeneval.dll,jpHgEctOOP
最近确认的ISO文件有一些变化,但是除了lnk文件和dll文件之外,还增加了bat文件。bat文件执行与现有lnk文件相同的功能,并且lnk文件的命令已更改为执行该类型的bat文件。此时为dll文件和bat文件设置了隐藏属性,所以用户只能查看lnk文件,和之前一样。
lnk 命令
%windir%\system32\cmd.exe /c 启动请求pdf.bat
bat 命令
@start rundll32 da4nos.dll,ajwGwRKhLi
通过lnk文件执行的恶意dll是打包形式的,解包后会进行多次反沙盒和反分析测试。多个检查过程中的一些如下,它是一个代码,检查用于恶意代码分析的程序是否正在运行,虚拟环境中使用的文件是否存在,以及是否通过mac地址与特定制造商匹配。除了相应的检查外,还通过注册表值、窗口名、设备、用户名、是否存在特定的API来检查是虚拟环境还是分析环境。
如果上述所有过程都通过,则执行了实际的恶意操作。首先,对编码数据进行解码,得到如下的多个C2信息。之后,它通过收集用户PC信息来尝试连接和传输C2。
解码 C2
73.214.29[.]52:443,78.112.52[.]91:443,21.175.22[.]99:443, 107.90.225[.]1:443, 212.114.52[.]46 :443、101.88.16[.]100:443、19.71.13[.]153:443、108.16.90[.]159:443、103.175.16[.]122:443、121.15.221[.]97:443、19.71.13[.]153:443、22.175.0[.]90:443、19.71.13[.]153:443、146.19.253[.]49:443、38.12.57[.]131:443、191.26.101[.]13:443
目前无法连接相关的C2,但如果连接成功,可以根据攻击者的指令进行以下动作。将文件名为“my_application_path”的恶意DLL复制到%APPDATA%文件夹,创建执行复制的dll的vbs文件,将恶意数据注入正常程序,保存并执行从C2接收到的文件名恶意数据“wab.exe” 还有各种附加功能,例如
注入目标程序
\\Windows Photo Viewer\\ImagingDevices.exe
\\Windows Mail \\wab.exe
\\Windows Mail\\wabmig.exe
近期,Bumblebee 下载器数量大幅增加,存在通过 Bumblebee 下载器下载 Cobalt Strike 等恶意数据的案例。另外,国内用户已经确认使用邮件劫持的方式进行分发,需要用户注意,对邮件中的附件和网址进行限制阅读和访问。目前,在V3中,恶意代码诊断如下。
【文件诊断】
Dropper/Win.DropperX-gen.C5154946 (2022.06.02.02)
木马/Win.BumbleBee.R497004 (2022.06.11.01)
Dropper/ISO.Bumblebee (2022.06.13.02)
木马/BAT.Runner (2022.06.13.02)
木马/LNK.Runner (2022.06.13.02)
[IOC ]
11999cdb140965db45055c0bbf32c6ec
b7936d2eed4af4758d2c5eac760baf1d
e50fff61c27e6144823dd872bf8f8762
2c9a4291387fd1472081c9c464a8a4caed20bfa
3、美国国防承包商L3Harris正在就收购NSO集团进行谈判
据《卫报》报道,美国国防承包商L3Harris正在就收购NSO集团进行谈判,这项可能的交易将使一家美国公司控制世界上最复杂和最有争议的黑客工具之一。多个消息来源证实,讨论的中心是出售这家以色列公司的核心技术,以及可能将NSO的人员转移到L3Harris。但任何协议仍然面临重大障碍,包括需要美国和以色列政府的支持,而美国和以色列政府尚未对交易开绿灯。
白宫一位高级官员在一份声明中说:“这样的交易如果发生,会给美国政府带来严重的反间谍和安全问题。”
这个故事是由《卫报》、《华盛顿邮报》和以色列《国土报》联合报道的。
如果达成协议,这笔交易将标志着NSO的惊人转变,在拜登政府将该公司列入美国黑名单并指责其行为“违反美国的外交政策和国家安全利益”后不到一年。
据了解,NSO的政府客户使用监视技术来针对记者、人权活动家、与美国结盟的国家的高级政府官员和世界各地的律师。
《卫报》和其他媒体还详细报道了NSO的监控技术PegASUS是如何被该公司的政府客户用来针对美国公民,包括卢旺达持不同政见者 Paul Rusesabagina 的女儿 Carine Kanimba,以及在国外工作的记者、活动人士和美国国务院官员。
当被问及对会谈的评论时,L3Harris的一位发言人说:“我们知道这种能力,我们不断评估我们客户的国家安全需求。在这一点上,除此之外的任何事情都是猜测。”
L3和NSO之间的会谈首先由 Intelligence Online 报道。
白宫表示,它没有以“任何方式参与这项报道的潜在交易”。白宫高级官员还表示,美国政府 “反对外国公司规避美国出口管制措施或制裁的努力,包括将恶意网络活动列入美国商务部的实体名单”。
这位官员说,任何美国公司--特别是通过审核的美国国防承包商--应该意识到,与黑名单上的公司进行的交易“不会自动将指定实体从实体名单上删除,而是会刺激密集的审查,以检查该交易是否对美国政府及其系统和信息构成反间谍威胁,美国与国防承包商的其他股权是否可能面临风险,外国实体或政府在多大程度上保留了一定的访问或控制,以及更广泛的人权影响”。
一位熟悉谈判的人士说,如果达成协议,它可能涉及将NSO的能力出售给一个大幅缩减的客户群,其中包括美国政府、英国、澳大利亚、新西兰和加拿大--它们组成了“五眼”情报联盟,以及一些北约盟国。
该人士还表示,该交易面临几个未解决的问题,包括技术将被安置在以色列还是美国,以及以色列是否被允许继续作为客户使用该技术。
该人士表示,现在确认任何可能的交易的价格也为时过早。这项交易将需要美国政府的批准,因为NSO在美国商务部的所谓实体名单上。专家表示,任何此类交易都可能需要创建一个新的实体,以获得美国的批准。
任何交易在以色列也将面临障碍。以色列网络行业的一个假设是,它将不得不把对以色列制造的技术的监督留在以色列,并把Pegasus的所有开发和人员留在以色列。
NSO由以色列国防部监管,国防部对该公司的政府客户有最终决定权。以色列过去曾因同意向包括沙特阿拉伯和阿联酋在内的人权记录不佳的国家出售监控技术而面临激烈的批评。
正被苹果和WhatsApp在美国法院起诉的NSO过去曾表示,它认真对待所有关于滥用其工具的指控,并对此类索赔进行调查。
以色列国防部和NSO拒绝发表评论。
对NSO黑客技术的任何收购都将增加L3Harris目前的监控工具套件,这些工具已经出售给美国政府和执法部门客户。该公司位于佛罗里达州,年销售额约为180亿美元,客户包括联邦调查局和北约。任何潜在的交易都面临着数字权利倡导者和人权团体的强烈反对。
多伦多大学蒙克学院公民实验室的高级研究员John Scott-Railton说,他怀疑美国机构以及美国最亲密盟友的机构是否会信任NSO技术用于其最敏感的行动,因此它更有可能被出售给地方当局。
“那么大市场会在哪里?我担心合理的消费者会是美国的警察部门。这将是对我们公民自由的前所未有的威胁,”他说。
Scott-Railton表示,这笔交易还将引起人们对拜登政府承诺追究“不良行为者”责任的严重质疑。
“现在所有的目光都集中在NSO上。”他说:“如果白宫不阻止这笔交易,许多人将得出结论,认为政府在执法方面软弱无力,或者他们见利忘义,帮助一家美国公司以低价收购NSO,因为它受到制裁。”他补充说,任何此类交易将表明美国的制裁没有发挥作用,并将鼓励在“雇佣黑客领域”的更多投资。
2022年6月15日 星期三
今日资讯速览:
1、安全工程师发现索尼 PS5、PS4、PS3 主机重大漏洞,可执行任意代码
2、美国国防承包商L3Harris正在就收购NSO集团进行谈判
3、萨尔瓦多持有的比特币损失了一半价值
1、安全工程师发现索尼 PS5、PS4、PS3 主机重大漏洞,可执行任意代码
IT之家 6 月 11 日消息,索尼历来非常保护 PlayStation 系列主机的安全性,不断推出补丁防止机器被破解。
然而,据 GameRant 报道,安全工程师 Andy Nguyen 在 Hardwear.io 安全会议上披露了一个漏洞,该漏洞允许在 PS4 和 PS5 系统上执行任意代码。报道称,这是将自制软件安装到 PS5 上的重要一步,并开辟了一个可能破解主机的可靠起点。PPT 还显示,理论上讲,该漏洞也适用于 PS3 主机,不过并不能保证可靠性。
该漏洞很快引起了改装社区知名人士的注意,一些人将其与 PlayStation 2 的 FreeDVDBoot 破解软件进行了比较。FreeDVDBoot 使游戏可以从“刻录”的备份光盘上运行,而无需对主机的硬件进行任何修改,该方案与新发现的破解方法类似。
IT之家了解到,该漏洞有望为 PS4、PS5 带来蓬勃发展的自制社区,目前索尼官方还没有回应,我们可以期待一下后续。
2、美国国防承包商L3Harris正在就收购NSO集团进行谈判
据《卫报》报道,美国国防承包商L3Harris正在就收购NSO集团进行谈判,这项可能的交易将使一家美国公司控制世界上最复杂和最有争议的黑客工具之一。多个消息来源证实,讨论的中心是出售这家以色列公司的核心技术,以及可能将NSO的人员转移到L3Harris。但任何协议仍然面临重大障碍,包括需要美国和以色列政府的支持,而美国和以色列政府尚未对交易开绿灯。
白宫一位高级官员在一份声明中说:“这样的交易如果发生,会给美国政府带来严重的反间谍和安全问题。”
这个故事是由《卫报》、《华盛顿邮报》和以色列《国土报》联合报道的。
如果达成协议,这笔交易将标志着NSO的惊人转变,在拜登政府将该公司列入美国黑名单并指责其行为“违反美国的外交政策和国家安全利益”后不到一年。
据了解,NSO的政府客户使用监视技术来针对记者、人权活动家、与美国结盟的国家的高级政府官员和世界各地的律师。
《卫报》和其他媒体还详细报道了NSO的监控技术PegASUS是如何被该公司的政府客户用来针对美国公民,包括卢旺达持不同政见者 Paul Rusesabagina 的女儿 Carine Kanimba,以及在国外工作的记者、活动人士和美国国务院官员。
当被问及对会谈的评论时,L3Harris的一位发言人说:“我们知道这种能力,我们不断评估我们客户的国家安全需求。在这一点上,除此之外的任何事情都是猜测。”
L3和NSO之间的会谈首先由 Intelligence Online 报道。
白宫表示,它没有以“任何方式参与这项报道的潜在交易”。白宫高级官员还表示,美国政府 “反对外国公司规避美国出口管制措施或制裁的努力,包括将恶意网络活动列入美国商务部的实体名单”。
这位官员说,任何美国公司--特别是通过审核的美国国防承包商--应该意识到,与黑名单上的公司进行的交易“不会自动将指定实体从实体名单上删除,而是会刺激密集的审查,以检查该交易是否对美国政府及其系统和信息构成反间谍威胁,美国与国防承包商的其他股权是否可能面临风险,外国实体或政府在多大程度上保留了一定的访问或控制,以及更广泛的人权影响”。
一位熟悉谈判的人士说,如果达成协议,它可能涉及将NSO的能力出售给一个大幅缩减的客户群,其中包括美国政府、英国、澳大利亚、新西兰和加拿大--它们组成了“五眼”情报联盟,以及一些北约盟国。
该人士还表示,该交易面临几个未解决的问题,包括技术将被安置在以色列还是美国,以及以色列是否被允许继续作为客户使用该技术。
该人士表示,现在确认任何可能的交易的价格也为时过早。这项交易将需要美国政府的批准,因为NSO在美国商务部的所谓实体名单上。专家表示,任何此类交易都可能需要创建一个新的实体,以获得美国的批准。
任何交易在以色列也将面临障碍。以色列网络行业的一个假设是,它将不得不把对以色列制造的技术的监督留在以色列,并把Pegasus的所有开发和人员留在以色列。
NSO由以色列国防部监管,国防部对该公司的政府客户有最终决定权。以色列过去曾因同意向包括沙特阿拉伯和阿联酋在内的人权记录不佳的国家出售监控技术而面临激烈的批评。
正被苹果和WhatsApp在美国法院起诉的NSO过去曾表示,它认真对待所有关于滥用其工具的指控,并对此类索赔进行调查。
以色列国防部和NSO拒绝发表评论。
对NSO黑客技术的任何收购都将增加L3Harris目前的监控工具套件,这些工具已经出售给美国政府和执法部门客户。该公司位于佛罗里达州,年销售额约为180亿美元,客户包括联邦调查局和北约。任何潜在的交易都面临着数字权利倡导者和人权团体的强烈反对。
多伦多大学蒙克学院公民实验室的高级研究员John Scott-Railton说,他怀疑美国机构以及美国最亲密盟友的机构是否会信任NSO技术用于其最敏感的行动,因此它更有可能被出售给地方当局。
“那么大市场会在哪里?我担心合理的消费者会是美国的警察部门。这将是对我们公民自由的前所未有的威胁,”他说。
Scott-Railton表示,这笔交易还将引起人们对拜登政府承诺追究“不良行为者”责任的严重质疑。
“现在所有的目光都集中在NSO上。”他说:“如果白宫不阻止这笔交易,许多人将得出结论,认为政府在执法方面软弱无力,或者他们见利忘义,帮助一家美国公司以低价收购NSO,因为它受到制裁。”他补充说,任何此类交易将表明美国的制裁没有发挥作用,并将鼓励在“雇佣黑客领域”的更多投资。
3、萨尔瓦多持有的比特币损失了一半价值
很多人都在为比特币价格的暴跌捏一把汗,几个小时前比特币距离2万美元只有800美元,但很少有人像萨尔瓦多那样损失惨重。它去年采用BTC作为官方货币,在撰写本报告时持有2301个比特币,价值约为5010万美元。
不幸的是,该国为这种数字货币总共支付了1.056亿美元。不过它的财政部长并不担心:他说这次崩溃给这个南美国家带来的财政风险"极其微小"。萨尔瓦多总统Nayib Bukele对比特币寄予了很大的信心。从最初的400个币的投资,当时价值约2090万美元,Bukele已经多次"买入下跌",每次价格下跌都会购买更多。它支付的最高价是每枚硬币60300美元,而最低价是上个月的30700美元,当时Bukele又购买了500枚。几小时前,比特币跌至20834美元,是2020年12月初以来的最低点。
价格下跌意味着萨尔瓦多的投资现在的价值还不到它为比特币支付的一半。上个月有报道称该国可能无法满足其下一次债务支付,但财政部长亚历杭德罗-塞拉亚对这些担忧置之不理。塞拉亚在一个新闻发布会上说:"当他们告诉我,由于比特币,萨尔瓦多的财政风险真的很高,我唯一能做的就是微笑,财政风险是非常小的。"
德国威尔斯公司的估计,萨尔瓦多持有的比特币已经贬值4000万美元,但是亚历杭德罗-塞拉亚表示:"4000万美元甚至不占我们国家一般预算的0.5%。"萨尔瓦多已经推迟了原定于3月推出的10亿美元"火山债券",以资助比特币城市项目。人们希望这笔钱也可以用来帮助履行其财政义务。穆迪公司将该国的债务评级下调至CAA1,这一投资等级被评为质量差,信用风险非常高。
2022年6月14日 星期二
今日资讯速览:
1、Google Talk将于6月16日正式关闭 在线运行16年
2、高精度智能线虫诞生可蠕动前行
3、俄罗斯知名媒体电台遭黑客攻击:奏响乌克兰国歌
1、Google Talk将于6月16日正式关闭 在线运行16年
援引科技媒体 Android Police 报道,Google 宣布 Google Talk (也称之为 GChat)服务将于 6 月 16 日正式关闭。在 Talk 支持页面上,Google 表示“正逐步关闭 Google Talk”,将不再支持第三方应用程序。
虽然早在 2017 年,Google 就开始将 Talk 用户迁移到 Hangouts(现已淘汰),但是该服务仍然可以被 Pidgin 和 Gajim 等第三方 XMPP 客户端访问。而在 6 月 16 日之后,试图登录 GChat 的用户将看到一个登录错误。如果你仍然想通过 Pidgin 来使用 Google 服务,那么 Pidgin 建议使用这个插件来代替 Google Talk。
Google Talk 出现于 2005 年,是一种让用户直接通过 Gmail 发送即时信息的方式。它后来扩展到语音和视频通话,甚至允许群聊。Google在 2017 年停止了这项服务,转而支持Hangouts,这是Google在2014年推出的一项消息服务。
但以典型的 Google 方式,它只得再次为用户改变东西,在2020年将Hangouts Chat改名为Google Chat,然后在今年早些时候为工作区用户用Google Chat取代了原来的Hangouts。免费的Google账户用户仍然可以在网上使用Hangouts,但他们也会看到"Hangouts即将消失"的警告,并有链接将他们推到Google聊天。
2、高精度智能线虫诞生可蠕动前行
近日,在2022智源大会开幕式上,北京智源人工智能研究院(以下简称智源研究院)发布了天演团队最新科研成果高精度智能线虫天宝1.0。画面中,一条“秀丽隐杆线虫”(以下简称秀丽线虫)正在蠕动前行,就像真的一样。这一幕,让屏幕前的很多观众瞪大了眼睛。
◎本报记者 付丽丽
智源研究院生命模拟研究中心负责人马雷介绍,通过计算秀丽线虫神经电动力学信号,将其传到肌肉模型,通过肌肉模型不断地传导到前面与环境互动的部分,然后通过线虫的肌肉和水流环境的互动,就可以实现蠕动前行。
“现在,它只是初步表现出类似生物线虫的趋利(食物)避害(毒物)能力,下一阶段将逐步实现拐弯、避障、觅食等复杂智能行为。”马雷说。
据了解,作为一种无毒害、可独立生存的最小模式动物,秀丽线虫结构简单却功能完备:仅约1毫米体长、302个神经元,却足以完成感知、逃逸、觅食、交配等一系列通用智能行为。
这只透明小生物,是科学研究界的“常客”,近20年来3次诺贝尔奖都与它有关。它是“最简单的生命智能体”,也是通过生物神经机理模拟实现通用人工智能的最小载体。
2020年10月,《自然》子刊发表了一篇关于神经元的论文,媒体在报道时使用的标题是“19个神经元控制了一辆自动驾驶汽车”。
“这虽然有些夸张,但也反映了生物神经元计算的巨大潜力。”马雷说,之所以要做高精度的秀丽线虫神经元模型,是因为生物神经元表征生物智能性,精细化程度越高,意味着智能水平也越高,通过实现更高精度的秀丽线虫神经系统,可帮助深挖生物智能更多潜力。
“从事智能生命的模拟,可以说是一个长远但是又充满希望的工程。”智能研究院院长黄铁军说。
目前,高精度秀丽线虫模型已突破了神经系统与肌肉动力学结合的关键技术,有望推动生物神经元精细模拟进入新领域。“我们的目的是通过构建生命智能模型挖掘生物智能机制机理,启发和探索新一代人工智能。”黄铁军强调。
这是目前生物精度最高的仿真秀丽线虫。马雷介绍,他和团队已完成了秀丽线虫全部302个神经元及其连接关系的精细建模,对其中106个感知和运动神经元进行了高精度建模,整体精细程度达到国际最高水平;神经元结构模拟采用多舱室模型,单神经元舱室最多2313个,神经元生理模拟支持14种离子通道,实现了亚细胞级别的精细突触位点连接。
“环境是智能的摇篮。”马雷说,极致的环境模拟对于数字智能生命研究至关重要。环境变了,对应的生命体的结构、行为、智慧,复杂程度都大不一样。
为此,团队还实现了仿真秀丽线虫与仿真环境的全闭环模拟,训练出由高精度神经系统控制的、与环境实时交互的仿真秀丽线虫,使其能够像真实线虫一样嗅探并控制身体蠕动到感兴趣的目标。
“高精度智能线虫的诞生,也许只是向生命智能迈出的第一步,却代表了一种计算智能生命的诞生。”黄铁军说。
黄铁军表示,未来,天演团队还将致力实现多个神经系统规模的生命数字孪生,从果蝇、斑马鱼、小鼠、直至最高智慧的人类大脑,沿着模式动物的神经系统规模进化路线,把生命模拟的规模做得越来越大。
“当然,规模大仅仅是一方面,更重要的是精细,要贴近生物,逼近生物,才能重新认识生物智能机理,打造从生命智能到通用人工智能的可行性路径,从而对新一代人工智能真正起到支撑作用。”黄铁军说。
3、俄罗斯知名媒体电台遭黑客攻击:奏响乌克兰国歌
安全内参消息,上周三(6月8日),俄罗斯的生意人报电台(Kommersant FM)的播报出现中断,转而播放乌克兰国歌和其他反战歌曲。
之后,广播很快中止。官方发布声明,确认遭受黑客攻击:
“广播电台遭到了黑客攻击。网络实时播报将很快恢复。”
生意人报电台主编Alexey Vorobyov对俄媒塔斯社表示,黑客入侵发生在上周三,目前内部技术专家正在核查攻击来源。
被黑客篡改的是生意人报电台的午间播报节目,该电台是俄罗斯知名私营媒体生意人报的广播版。英媒BBC记者Francis Scarr在推文中提到,当时生意人报电台播放了乌克兰著名爱国民歌、曾经的国歌《哦,草地上的红荚蒾》。
黑客还播放了俄罗斯摇滚乐队Nogu Svelo!的歌曲《我们不需要战争》。歌词中引用了俄罗斯外交部长Sergei Lavrov的话,“硬汉永远信守诺言”。
此次遭到攻击的目标,生意人报电台归属乌兹别克裔俄罗斯富豪Alisher Usmanov所有。由于涉及与俄罗斯总统普京有关联,美国和欧盟在俄乌战争爆发后对Usmanov进行了制裁。Usmanov对制裁提出了质疑,表示将使用一切法律手段保护自己。
2022年6月14日 星期一
今日资讯速览:
1、市场监管总局、网信办关于开展数据安全管理认证工作的公告
2、俄罗斯警告西方:俄基础设施遭网络攻击可能引发直接军事对抗
3、安全工程师发现PS主机重大漏洞 用光盘能在系统中执行任意代码
1、市场监管总局、网信办关于开展数据安全管理认证工作的公告
国家市场监督管理总局
国家互联网信息办公室
公 告
2022年第18号
关于开展数据安全管理认证工作的公告
根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国认证认可条例》有关规定,国家市场监督管理总局、国家互联网信息办公室决定开展数据安全管理认证工作,鼓励网络运营者通过认证方式规范网络数据处理活动,加强网络数据安全保护。从事数据安全管理认证活动的认证机构应当依法设立,并按照《数据安全管理认证实施规则》(见附件)实施认证。
特此公告。
附件:数据安全管理认证实施规则
国家市场监督管理总局 国家互联网信息办公室
2022年6月5日
附件
数据安全管理认证实施规则
1 适用范围
本规则依据《中华人民共和国认证认可条例》制定,规定了对网络运营者开展网络数据收集、存储、使用、加工、传输、提供、公开等处理活动进行认证的基本原则和要求。
2 认证依据
GB/T 41479《信息安全技术 网络数据处理安全要求》及相关标准规范。
上述标准原则上应当执行国家标准化行政主管部门发布的最新版本。
3 认证模式
数据安全管理认证的认证模式为:
技术验证+现场审核+获证后监督
4 认证实施程序
4.1 认证委托
认证机构应当明确认证委托资料要求,包括但不限于认证委托人基本材料、认证委托书、相关证明文档等。
认证委托人应当按认证机构要求提交认证委托资料,认证机构在对认证委托资料审查后及时反馈是否受理。
认证机构应当根据认证委托资料确定认证方案,包括数据类型和数量、涉及的数据处理活动范围、技术验证机构信息等,并通知认证委托人。
4.2 技术验证
技术验证机构应当按照认证方案实施技术验证,并向认证机构和认证委托人出具技术验证报告。
4.3 现场审核
认证机构实施现场审核,并向认证委托人出具现场审核报告。
4.4 认证结果评价和批准
认证机构根据认证委托资料、技术验证报告、现场审核报告和其他相关资料信息进行综合评价,作出认证决定。对符合认证要求的,颁发认证证书;对暂不符合认证要求的,可要求认证委托人限期整改,整改后仍不符合的,以书面形式通知认证委托人终止认证。
如发现认证委托人、网络运营者存在欺骗、隐瞒信息、故意违反认证要求等严重影响认证实施的行为时,认证不予通过。
4.5 获证后监督
4.5.1 监督的频次
认证机构应当在认证有效期内,对获得认证的网络运营者进行持续监督,并合理确定监督频次。
4.5.2 监督的内容
认证机构应当采取适当的方式实施获证后监督,确保获得认证的网络运营者持续符合认证要求。
4.5.3 获证后监督结果的评价
认证机构对获证后监督结论和其他相关资料信息进行综合评价,评价通过的,可继续保持认证证书;不通过的,认证机构应当根据相应情形作出暂停直至撤销认证证书的处理。
4.6 认证时限
认证机构应当对认证各环节的时限作出明确规定,并确保相关工作按时限要求完成。认证委托人应当对认证活动予以积极配合。
5 认证证书和认证标志
5.1 认证证书
5.1.1 认证证书的保持
认证证书有效期为3年。在有效期内,通过认证机构的获证后监督,保持认证证书的有效性。
证书到期需延续使用的,认证委托人应当在有效期届满前6个月内提出认证委托。认证机构应当采用获证后监督的方式,对符合认证要求的委托换发新证书。
5.1.2 认证证书的变更
认证证书有效期内,若获得认证的网络运营者名称、注册地址,或认证要求、认证范围等发生变化时,认证委托人应当向认证机构提出变更委托。认证机构根据变更的内容,对变更委托资料进行评价,确定是否可以批准变更。如需进行技术验证和/或现场审核,还应当在批准变更前进行技术验证和/或现场审核。
5.1.3 认证证书的注销、暂停和撤销
当获得认证的网络运营者不再符合认证要求时,认证机构应当及时对认证证书予以暂停直至撤销。认证委托人在认证证书有效期内可申请认证证书暂停、注销。
认证机构应当采用适当方式对外公布被暂停、注销和撤销的网络运营者认证证书。
5.2 认证标志
“ABCD”代表认证机构识别信息。
5.3 认证证书和认证标志的使用
在认证证书有效期内,获得认证的网络运营者应当按照有关规定在广告等宣传中正确使用认证证书和认证标志,不得对公众产生误导。
6 认证实施细则
认证机构应当依据本规则有关要求,细化认证实施程序,制定科学、合理、可操作的认证实施细则,并对外公布实施。
7 认证责任
认证机构应当对现场审核结论、认证结论负责。
技术验证机构应当对技术验证结论负责。
认证委托人应当对认证委托资料的真实性、合法性负责。
2、俄罗斯警告西方:俄基础设施遭网络攻击可能引发直接军事对抗
据路透社9日报道,俄罗斯周四警告西方,针对其基础设施实施的网络攻击有引发直接军事对抗的风险。俄方还表示,企图在网络领域挑战莫斯科,将会得到有针对性的反制措施回应。
报道称,这一警告是在俄罗斯建设、住房和公用事业部的网站在上周末疑似遭到黑客攻击后发出的。在互联网上搜索该网站,就会出现一个用乌克兰语写的“光荣属于乌克兰”的口号。
俄罗斯外交部在一份声明中表示,俄罗斯的关键基础设施和国家机构此前遭受到网络攻击,并指出美国和乌克兰的一些人对此负有责任。
声明写道:“请放心,俄罗斯不会对挑衅行动置之不理。我们将根据我国法律和国际法衡量并采取有针对性的举措。”
由俄罗斯外交部国际信息安全司司长克鲁茨基赫起草的这份声明还提到,华盛顿方面“有意降低(信息技术)被用于作战的门槛”。
“西方将信息空间军事化,并试图把信息空间变成国家间对抗的舞台,这些都加大了直接军事对抗的风险,并带来不可预测的后果。”声明称。
自俄罗斯2月24日对乌克兰发起特别军事行动以来,许多俄罗斯国有企业和新闻机构的网站陆续遭到黑客攻击。
据央视新闻报道,俄罗斯总统普京今年5月份表示,一场针对俄罗斯的战争已经在信息空间展开,针对俄罗斯的网络攻击是从不同国家发起的,并且明显是协调一致的,都是政府机构的行动,在某些国家网络部队已经正式地进入了军队行列。普京强调,近年来,对俄罗斯IT基础设施的网络攻击数量不断增加,自从发起特别军事行动以来,挑战变得更加严峻。他提议建立一个国家信息安全系统,采取措施来确保政府和公共行政部门信息基础设施的可持续性。
3、安全工程师发现PS主机重大漏洞 用光盘能在系统中执行任意代码
据外媒gamerant报道,安全工程师发现了PS系列主机的一个重大漏洞。在今日举办的Hardwear.io安全会议上,安全工程师Andy Nguyen披露了一个PS4|5的安全漏洞。该漏洞允许通过使用光盘在PS4和PS5系统上执行任意代码,这也会给黑客可乘之机。
根据他的PPT演示,该漏洞理论上也可以在PS3主机上运行。
这也很快引起了改装社区知名人士的注意,一些人将其与PS2的FreeDVDBoot进行了对比,该工具可以让游戏在刻录的备份光盘上运行,且无需对主机进行任何修改,与该工程师的发现的漏洞类似。
截止目前,索尼官方尚未对此漏洞问题做出回应,请关注后续报道。
2022年6月10日 星期五
今日资讯速览:
1、Cloudflare推出PAT技术:摆脱恼人的CAPTCHA
2、RSAC 2022现场热议医疗设备安全:遗留技术是最大难题
3、微软查获 41 个与“伊朗网络钓鱼圈”相关的域名
1、Cloudflare推出PAT技术:摆脱恼人的CAPTCHA
Cloudflare 近日宣布了名为 Private Access Tokens 的新技术,允许站长以私人的方式验证访客是否真实。操作系统将增加对这项新技术的支持,包括即将推出的 macOS 和 iOS 版本,并将消除完成恼人的 CAPTCHAs 验证。这应该会使移动浏览变得更加愉快。
Cloudflare 概述了 PATs 的几个好处,对用户来说,它使访问网站不那么麻烦,对网络和应用程序开发人员来说,它让你知道用户是在一个真实的设备和签名的应用程序上,对 Cloudflare 客户来说, PATs 不需要设置,非常易用。
苹果是首批宣布在 iOS 16、iPadOS 16 和 macOS 13 中支持 Private Access Tokens 的主要厂商之一。而其他厂商也有望在不久的将来宣布支持,因此更多的人在未来能够避免 CAPTCHAs。
在 Cloudflare 这边,PAT 已经被纳入其管理挑战平台,所以使用这一功能的客户已经在他们的网站上支持 PAT。Cloudflare 表示,其 65% 的客户已经使用托管挑战而不是传统的验证码作为其防火墙规则中的一个响应选项。
2、RSAC 2022现场热议医疗设备安全:遗留技术是最大难题
业界正普遍达成共识,设备制造商、供应商及监管机构等角色正朝着正确方向推进改善医疗设备的安全性,但系统性挑战阻碍了这一进程。
在RSAC 2022现场,安全厂商Tenable运营技术安全副总裁Marty Edwards、医疗保险公司Humana业务信息安全官Ankit Patel以及健康信息共享与分析中心(Health-ISAC)首席安全官Errol Weiss,共同就医疗设备的安全现状和阻碍医疗保健行业安全提升的因素展开深入讨论。
Edwards表示,总体来看,医疗设备安全的延伸与教育工作仍有发展和改进的空间,但整个行业已经在为设备构建更多安全功能方面也取得了长足进步。
制造业社区的安全文化愈发向好。以往,研究人员在发现安全漏洞后,往往只能跟制造商的法律部门联系。Edwards提到,“过去制造商很少在官网上提供安全联络信息,只能通过法律部门回应相关漏洞披露。但现在,大多数制造商已经越来越成熟,开始朝着正确的方向靠拢。”
许多企业增设了首席产品安全官,专门负责管理产品安全问题。他补充道,虽然也有一些制造商做得还很不够,但“总体趋势正朝着积极的方向发展”。
Patel表示,“对于复杂的医疗设备或者物联网装置,我们部署的安全控制机制可能还不够全面……但至少过去五年来,行业已经取得了比以往多得多的进步。”
尽管在新设备保护方面表现积极,包括引入改进的身份验证机制等措施,但医疗设备基础设施的复杂性和对于传统技术的严重依赖,仍使得设备安全状态不断变化,很难找到解决方案。
医疗保健行业面临的最大安全问题:遗留技术
在Patel看来,真正的问题集中在遗留技术身上。例如,磁共振成像(MRI)设备和超声波设备的单台成本超过100万美元,高昂的价格使得医疗机构不可能仅因为“最新最好的安全功能”就下决心替换掉旧有设备。
新设备当然更加安全,但那些无处不在的传统设备和Windows XP系统也非常顽强。很多用户毫不犹豫地把这些设备接入网络,甚至认为“这有什么关系?哪来那么多人对医疗设备有想法?”
Weiss称,“在医疗保健行业中,我们发现有大量磁共振成像系统在互联网上直接开放。网络上的每一台设备,都可能成为恶意黑客的突破口和恶意软件的传播起点。”
他强调,“这就是问题就在,最大的挑战就在这里。”
Weiss还提到,过去几年来,医疗设备底层软件包也暴露出多个严重漏洞,如无线连接模块漏洞直接影响到数百万台设备。“漏洞似乎无穷无尽,总是不断涌现。”
而就在医疗保健努力解决这些长期遗留问题的同时,物联网趋势也在一刻不停地向前发展。
Patel表示,“家庭健康正在成为主流,许多卫生系统投入了大量技术资金,希望能持续监测患者体征。”另外,关于机器人远程手术的话题也得到广泛关注,“行业的创新成果和技术应用可谓进展迅速。”
降低医疗器械风险,监管与沟通将发挥重要作用
美国国会和监管机构有望在降低医疗设备风险当中发挥关键作用,同时也将在过程中持续助力各家供应商。目前,针对制造商、软件物料清单(SOMB)以及医疗保健行业多年来的种种安全诉求,已经有多项立法提案正积极酝酿。
从立法角度来看,Patel认为医疗设备安全已经有了不错的基础要素。但在制造商社区中,供应商和安全领导者需要开展更多对话,以就切实观点进行合作,并“确定更具体的实用性解决方案”。
在Weiss看来,如果能够改善医疗设备制造商和供应商间的沟通效果,那么设备的实用性乃至后续安全性的持续升级都将更有保证。
Patel说,目前看来,医疗保健行业自身也很清楚问题的存在。“但我们需要找到一种更加可行的解决方案设计思路,用分析解决问题,摒弃过去那些「人家供应商社区就是这么做的」、「操作人员根本不知道自己在干什么」之类既没意义、又没逻辑的托词。”
Patel最后总结道,“制造商也面临着自己的挑战,但我们都在努力发现并解决问题。只要我们永远心系安全,并将安全视为流程中的固定组成部分,就一定能朝着正确的方向继续前进。”
3、微软查获 41 个与“伊朗网络钓鱼圈”相关的域名
微软已获得法院命令,以扣押这家Windows巨头所使用的 41 个域名,该组织称这是一个伊朗网络犯罪组织,该组织针对美国、中东和印度的组织开展鱼叉式网络钓鱼活动。
微软数字犯罪部门表示,该团伙被称为Bohrium,对那些在技术、交通、政府和教育部门工作的人特别感兴趣:其成员会假装是招聘人员,以引诱标记在他们的 PC 上运行恶意软件。
“Bohrium 演员创建虚假的社交媒体资料,经常冒充招聘人员,”微软数字犯罪部门总经理 Amy Hogan-Burney 说。“一旦从受害者那里获得个人信息,Bohrium就会发送带有链接的恶意电子邮件,这些链接最终会用恶意软件感染目标的计算机。”
5月底,弗吉尼亚州东部的一家联邦地方法院向微软下达了紧急临时限制令;这使得该公司能够通过要求美国域名注册机构(例如 Verisign 和 Donuts)将域名转移到微软的控制之下来拆除Bohrium的基础设施。由于Microsoft命名的microsoftsync[dot]org等域已代表 Redmond转移到MarkMonitor,因此似乎扣押已经完成。
根据上周晚些时候公布的法庭文件 [ PDF ] Hogan-Burney ,微软声称不法分子利用网络域进行计算机欺诈、窃取帐户用户的凭据并侵犯微软的商标:
Important work by the @Microsoft Digital Crimes Unit to share today. Our team has taken legal action to disrupt a spear-phishing operation linked to Bohrium, a threat actor from Iran. The court filings can be found here: https://t.co/jwZaRardcF
— Amy Hogan-Burney (@CyberAmyHB) June 2, 2022
微软说指出Bohrium不仅在其网络钓鱼活动中滥用这家 IT 巨头的商标来欺骗人们交出他们的凭据,而且还试图破坏微软客户运行的计算机系统。工作人员还使用这些域来设置命令和控制服务器,以管理安装在这些计算机上的恶意软件。
此外,根据法庭文件,Bohrium 还破坏了“受害者计算机和微软服务器上的微软应用程序,从而利用它们来监控用户的活动并从他们那里窃取信息”。
微软牵头的行动取消了 ZLoader 僵尸网络域
微软跟踪锶域以阻止对乌克兰的攻击
微软将下一个 Exchange Server 版本推迟到 2025 年
拆除犯罪团伙基础设施的法院命令遵循了几个类似的法律策略,以破坏用于攻击微软客户的网络。最近,在4月,美国巨人宣布了长达数月的努力,以控制ZLoader犯罪僵尸网络团伙一直用来传播远程控制恶意软件和编排受感染机器的65个域。
这家科技巨头的数字犯罪部门从佐治亚州的一名美国联邦法官那里获得了一项法院命令,以接管这些域名,然后这些域名被定向到微软控制的污水坑,因此恶意软件的策划者无法利用它们与他们的僵尸网络进行通信。征用了Windows计算机。
同月,雷德蒙德夺取了由与俄罗斯有关的威胁组织 Strontium(又名 APT28 和 FancyBear)运营的 7 个互联网域,该组织正在使用该基础设施针对乌克兰机构以及美国和欧盟的智囊团,显然是为了支持俄罗斯入侵其邻国.
在4月份的扣押之前,微软曾15次使用此流程接管由Strontium控制的100多个域,该域被认为由俄罗斯外国军事情报机构 GRU 运营。
2022年6月9日 星期四
今日资讯速览:
1、Facebook首次任命首席信息安全官 副总裁上任
2、FBI查封了出售数百万被盗SSN的臭名昭著的网络黑市
3、任天堂希望破解Switch黑客的刑期能让人眼前一亮
1、Facebook首次任命首席信息安全官 副总裁上任
Facebook母公司Meta周一任命公司副总裁盖伊·罗森(Guy Rosen)担任首席信息安全官(CISO),这是这家社交媒体公司第一个担任该职位的人。罗森自2013年以来一直在Facebook任职,最近领导公司在产品安全性和完整性上的努力。
他在推特上表示,他在新角色上“将继续监督和纵览使用我们服务的用户、我们的公司以及行业面临的安全保障风险”。这是Facebook的第一个CISO。Facebook于2021年10月更名为Meta,但其社交媒体应用保留了“Facebook”的名称。
Meta CEO马克·扎克伯格(Mark Zuckerberg)在一份备忘录中表示,他已经要求罗森担任该职位,并表示此举是“提升我们DNA中这一安全工作的又一步,并加强我们在安全问题上的领导和治理。”
扎克伯格写道,罗森在扩大的角色中“将对平台滥用以及我们的产品、基础设施和公司信息的安全保障负责,关注内部和外部风险”。Facebook前任首席安全官亚历克斯·斯塔莫斯(Alex Stamos)于2018年离职。
2、FBI查封了出售数百万被盗SSN的臭名昭著的网络黑市
3、任天堂希望破解Switch黑客的刑期能让人眼前一亮
任天堂将今年早些时候对黑客加里鲍泽的宣判描述为一个 "独特的机会",向所有玩家发出关于视频游戏盗版的信息。加里鲍泽是加拿大人,去年因其作为Xecuter团队的高级成员而对美国政府的网络犯罪指控认罪。
该组织出售规避版权保护的技术,使任天堂Switch和其他系统能够播放盗版游戏。当局估计,在近十年的时间里,盗版给任天堂带来了高达6500万美元的损失,甚至迫使该公司花费资源发布了更安全的Switch型号。
任天堂表示,是购买视频游戏支撑着任天堂和任天堂的生态系统,是游戏让人们微笑,正是由于这个原因,我们尽一切努力防止任天堂系统上的游戏被盗。任天堂因Xecuter团队的盗版行为而遭受的损失,并对那些作品也被盗版的小型非任天堂游戏制造商表示同情。
任天堂还对作弊行为进行了抱怨,它表示,Team Xecuter的黑客行为使作弊成为可能。作弊可能会吓跑诚实的玩家。在听证会上,美国地区法官罗伯特-拉斯尼克指出:“电视和电影将黑客美化为坚持到底的人,暗示大公司正在收获巨大的利润,小人物有这样的机会是好事。我们还能做什么来说服人们,这种黑客/盗版并不光荣?"任天堂律师回答表示:”对公众的进一步教育会有很大好处。
黑客加里鲍泽则对法官表示说,更长的监禁时间不会吓跑黑客,从盗版中可以赚到的钱太多了,以至于无足轻重。加里鲍泽被判处40个月的刑期,而加里鲍泽律师要求的刑期是19个月,他说黑客在等待审判时已经服了大部分的刑期。由于COVID-19和其他健康问题,其中近6个月是加里鲍泽独自在牢房中度过的,每天23小时。当天晚些时候,任天堂发布了一份新闻稿,感谢当局对加里鲍泽的起诉。
2022年6月8日 星期三
今日资讯速览:
1、外交部:美国是名副其实的黑客帝国、窃听帝国、窃密帝国
2、CISA发出警告|Atlassian紧急推出针对Confluence高危零日漏洞的修复程序
3、国家安全部公布部门规章《公民举报危害国家安全行为奖励办法》(附全文)
1、外交部:美国是名副其实的黑客帝国、窃听帝国、窃密帝国
2、CISA发出警告|Atlassian紧急推出针对Confluence高危零日漏洞的修复程序
3、国家安全部公布部门规章《公民举报危害国家安全行为奖励办法》(附全文)
2022年6月7日 星期二
今日资讯速览:
1、导致手机无法联网:紫光展锐处理器出现9.4级严重网络漏洞
2、
3、美国承认发动网络攻击“支援”乌克兰,细节曝光
1、导致手机无法联网:紫光展锐处理器出现9.4级严重网络漏洞
近日,网络安全公司Check Point Research公布了紫光展锐芯片组基带处理器中的一个新漏洞。
在对摩托罗拉Moto G20手机内的紫光展锐T700芯片上的LTE协议栈的逆向工程中,Check Point Research发现了该漏洞。
这个漏洞会影响作为芯片一部分,并直接负责网络连接的网络解调器。
这意味着,攻击者将能够通过该漏洞,向用户发送损坏的网络数据包,从而禁用或中断设备的网络连接。
目前,Check Point Research已经向紫光展锐提交了发现的漏洞,紫光展锐官方也已经确定漏洞的存在,并将其划分为9.4级的严重漏洞。
对此,紫光展锐方面已经承诺,将针对该问题进行修补,而谷歌方面也已经确认了该漏洞,并表示,针对它的补丁有望在下一个Android安全补丁中,得到修复。
2、
3、美国承认发动网络攻击“支援”乌克兰,细节曝光
俄乌冲突爆发以来,除了现实中的战火,还有一个隐秘的战场,那就是“网络战” 。俄罗斯屡次遭到来自境外的网络攻击。而近日,美国国家安全局局长在接受采访时首次承认,在这轮乌克兰危机中,美国发起过多次网络攻击。
据英国媒体当地时间6月1日报道,美国网络司令部司令兼国家安全局局长保罗·中曾根在爱沙尼亚接受采访时承认,在这轮俄乌冲突中,美国发起过网络攻击,以支持乌克兰。中曾根称,他的任务是为美国总统和国防部提供一系列选项,但他没有透露行动的更多细节。
美国方面此次承认发动网络攻击,以支持乌克兰,被舆论认为是美国卷入俄乌冲突的直接证据。然而,面对记者的质问,白宫矢口否认。
有记者提问,具体说说美国针对俄罗斯发起的网络攻击,这与总统之前说过的不想直接介入俄乌冲突不矛盾吗?
白宫新闻秘书卡琳·让-皮埃尔回应,不,这不矛盾,我们不这么认为。
中曾根接受采访时表示,其实在2021年12月美方就向乌克兰派遣了网军,在当地停留了近三个月。一名发言人证实,这些人在今年2月份俄罗斯开展特别军事行动前离开了乌克兰。此前,在美国国会参议院4月5日举行的一场听证会上,中曾根也曾透露说,美方曾于去年年底派遣“前出狩猎”小组前往乌克兰。
所谓“前出狩猎”,是美国开展“网络战”的行动框架,于2018年开始部署。它是指通过向海外派遣网络力量,采取情报共享等,并进行主动攻击。据美国网络司令部公布的消息,截至2022年5月,美国网络司令部已在全球16个国家开展了28次“前出狩猎”行动,其中包括爱沙尼亚、立陶宛、黑山、北马其顿和乌克兰。
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)