-
-
[推荐]【每日资讯】 | 北约成员国接连遭遇大规模网络袭击,何时触发集体军事反击? | 2022年10月28日 星期五
-
发表于: 2022-10-8 10:21 7623
-
2022年10月28日 星期五
今日资讯速览:
1、北约成员国接连遭遇大规模网络袭击,何时触发集体军事反击?
2、Windows曝出“最愚蠢的零日漏洞”
3、高通反诉 ARM:以诉讼作为谈判筹码,违反协议是无稽之谈
1、北约成员国接连遭遇大规模网络袭击,何时触发集体军事反击?
安全内参10月26日消息,网络攻击正日益成为现代战争中的关键部分。但按照北约规定,“对一个成员国的攻击,即代表对全体北约成员国的攻击”,并未涵盖网络攻击这种手段。
第五条款迟迟未在网络领域使用
多个北约成员国在近期遭受了网络攻击,但北约并未发出此类攻击在哪种情况下将触发第五条款的说明。第五条款规定,针对北约任一成员国的战争行为将促使整个联盟作出反击。
战略与国际研究中心战略技术项目高级副总裁兼主任James Lewis表示,“当初起草第五条款时,情况还不像现在这么复杂。”“我们对网络攻击其实不太清楚。”
专家们一直想了解,为什么政府官员们迟迟没有确定什么叫“重大网络攻击”,对网络攻击做出反击的门槛又是什么。
防务网络安全公司Telos战略项目副总裁Paul Capasso表示,“和五年前相比,我们现在对重大网络攻击的定义似乎没有任何进步。”
他还补充道,“没有明确的定义,自然无法确定反击门槛了。”
然而专家们也提到,政府官员可能是故意保持这种模棱两可的界限。毕竟一旦确定并建立起红线,政府方面必须对任何越线事件予以反击,否则敌人就会持续攻击下去,不会顾忌产生任何后果。
Lewis认为,“政府并不想定义‘网络战争’或网络攻击,因为这种方式束缚自己的手脚。”
北约秘书长Jens Stoltenberg也曾提到,尽管针对北约成员国的网络攻击可能触发第五条款规定,但北约不愿公开解释到底会在哪些情况下援引该条。
在今年2月布鲁塞尔召开的新闻发布会上,Stoltenberg告诉记者,“在网络方面,我们已经声明网络攻击可以触发第五条款,但截至目前我们还没给过潜在对手找到触发阈值的机会。”
通过这种开放性约定,北约把确定网络攻击破坏性的权利交给了成员国,允许他们在整个联盟的支持下决定是否启动第五条款。
多个成员国已遭受重大网络攻击,但未启用第五条款
阿尔巴尼亚自2009年起加入北约,该国近期遭遇一系列针对政府网站和执法部门计算机系统的大规模网络攻击。当时阿尔巴尼亚考虑过援引第五条款,但最终还是决定避免不必要的冲突升级。
阿尔巴尼亚总理Edi Rama最近在采访中表示,“对我们来说,要求北约触发第五条款是个艰难的选择,需要考虑太多因素了。”
阿尔巴尼亚将这波攻击归咎于伊朗,并立即断绝了与该中东国家的外交关系。伊朗否认此次攻击与自己有关。
尽管没有任何北约成员国触发过第五条款,但美国财政部仍据此对伊朗情报部门及其最高情报官员实施了制裁。
美国负责恐怖主义与金融情报事务的财政部副部长Brian Nelson表示,“我们不会容忍伊朗继续针对美国或我们的盟国/伙伴,发动日益激进的网络攻击。”
今年以来,受到国家支持黑客攻击的北约成员国并不止阿尔巴尼亚,立陶宛、爱沙尼亚、黑山以及近期的美国也都受到过影响。针对北约成员政府网站及关键基础设施的攻击活动仍在继续。
针对黑山政府,黑客攻击了该国供水系统、交通服务和线上政务设施。黑山官员指出,虽然这次网络攻击很严重,但没有对国家基础设施造成永久性破坏。
本月早些时候,亲俄罗斯黑客团伙Killnet向美国发动攻击,导致州政府及机场网站暂时离线。
该团伙还声称对立陶宛和爱沙尼亚遭受的网络攻击负责。
须造成等同武装攻击的重大损失?
但专家指出,近期针对北约成员国的网络攻击,均未达到让联盟认真考虑触发第五条款的程度。
Lewis提到,“俄罗斯几十年来一直在对北约使用网络行动,但从未达到触发第五条款的程度。”
尽管网络战的门槛一直不明确,但Lewis表示,能够触发第五条款的网络攻击,必须造成了相当于武装攻击的重大损害,包括对关键基础设施的永久性破坏、人员伤亡和生命财产损失。
但也有专家表示,即使达到了这些门槛,也不能保证北约会立即触发第五条款。各成员国仍需要权衡触发该条的风险,并确定是否值得为当前网络攻击发动战争。
约翰霍普金斯大学高级国际研究学院技术与国家安全讲师Melissa Griffith表示,在考虑要不要触发第五条款时,除了确定网络攻击造成的影响是否“达到武装攻击的程度”,还需要考虑到“这对本国意味着什么,又会给本国和整个北约同盟带来怎样的风险”。
Griffith还说,是否触发第五条款,是受攻击成员国及整个北约同盟的政治与战略举措,并不太取决于是否设定有明确的门槛。
Lewis表示,“各国希望保留灵活的开战决策空间。政府想要的不是自动化流程,而是自由裁量权。”
2、Windows曝出“最愚蠢的零日漏洞”
近日,卡内基梅隆大学CERT协调中心(CERT/CC)的前软件漏洞分析师Will Dormann发现多个微软Windows版本中普遍存在的两个零日漏洞超过90天仍未修补,这些漏洞使攻击者可绕过微软的Web标记(MoTW)安全功能投放恶意软件。
安全功能变漏洞
前微软威胁情报分析师Kevin Beaumont声称,他职业生涯中发现了许多零日漏洞,但Dormann发现的漏洞是他见过的“最愚蠢的零日漏洞”,导致微软对Office宏病毒的遏制措施形同虚设。
MotW是一个Windows安全功能,保护用户免受来自不受信任来源的下载文件的攻击。
MotW会给用户从互联网下载的文件自动添加隐藏标签,带有MotW标签的文件的权限和功能方面会受到限制。例如,从微软Office 10开始,被MotW标记的文件默认在受保护的视图中打开,如果是可执行文件在则会在运行之前首先由Windows Defender进行安全扫描。
“许多Windows安全功能,例如微软Office Protected view、SmartScreen、Smart App Control,和警告对话框,都依赖MotW功能。”Dormann指出。
Beaumont等研究人员透露,包括勒索软件在内的攻击者正在野外积极利用这两个漏洞,但到目前为止,微软还没有发布任何补丁程序,也没有提供任何解决方法帮助企业保护自己。
Beaumont在一条推文中表示,他想发布漏洞的检测指南,但担心潜在的后果:
第一个漏洞:MotW.ZIP绕过(已有非官方补丁)
Dormann曾于7月7日向微软报告了两个MotW绕过漏洞中的第一个:Windows的MotW安全功能不能有效标记从定制.ZIP文档中提取的文件。
“.ZIP文档中包含的任何文件都可以通过某种方式进行配置,以便在解压缩后不会包含MOTW标记,”Dorman说:“这意味着攻击者能把一个从网络下载的文件伪装成本地文件运行,更容易诱骗用户在系统上运行任意代码。”
Dormann不愿分享这个漏洞的更多细节,因为这会泄露漏洞利用方法。但他透露该漏洞会影响从XP开始的所有Windows版本。Dormann声称仍未收到微软的消息,可能是因为该漏洞是通过CERT的漏洞信息和协调环境(VINCE)向微软报告的,而微软拒绝使用该平台。
“我自7月下旬以来就没有在CERT工作过,所以我不能确定微软是否从7月起就从未联系过CERT,”Dormann警告说:“其他安全研究人员报告说看到攻击者已经在野外积极利用该漏洞。其中一位是安全研究员Kevin Beaumont,他曾是微软的威胁情报分析师。在本月早些时候的一条推文中,Beaumont报告称该漏洞已在野外被利用。”
微软发言人在一封电子邮件评论中表示,该公司“了解该技术并正在调查以确定解决该问题的适当步骤”。该声明没有说明微软正在调查或可能计划解决的两个与MoTW相关的漏洞中的哪一个。与此同时,总部位于斯洛文尼亚的安全公司Acros Security上周通过其0patch补丁平台发布了针对第一个漏洞的非官方补丁(https://blog.0patch.com/2022/10/free-micropatches-for-bypassing-mark-of.html)。
在回复Dark Reading的评论中,Acros Security首席执行官兼联合创始人Mitja Kolsek表示,他能够确认Dormann在7月向微软报告了该漏洞。
“一旦你知道漏洞细节就会非常容易利用,这就是为什么我们不想透露任何细节,”Kolsek透露:“执行.ZIP文件解压缩的代码存在缺陷,只有通过代码补丁修复,没有变通办法。”
Kolsek说这个漏洞虽然并不难利用,但仅靠这个漏洞不足以成功攻击。为了成功利用,攻击者仍然需要说服用户打开恶意制作的.ZIP存档中的文件,例如通过网络钓鱼电子邮件作为附件发送或从U盘等可移动驱动器复制。
“通常情况下,从带有MotW标记的.ZIP存档中提取的所有文件也会获得此标记,因此在打开或启动时会触发安全警告,”他说,“但该漏洞绝对允许攻击者绕过保护。”
漏洞2:篡改Authenticode签名骗过MotW
Kolsek指出,他的公司也为第二个漏洞准备了一个候选补丁,应该会在本周五之前发布。
第二个漏洞涉及处理带有格式错误Authenticode数字签名的MotW标记文件。Authenticode是一种Microsoft代码签名技术,可对特定软件的发布者身份进行身份验证,并确定该软件在发布后是否被篡改。
Dormann发现,如果一个文件带有格式错误的Authenticode签名,Windows会将其视为没有MotW标签。该漏洞导致Windows在执行JavaScript文件之前跳过SmartScreen和其他警告对话框。
“当Windows在处理Authenticode数据遇到错误时会‘打开失败’,”Dormann说:“它将不再对Authenticode签名的文件应用MotW保护,尽管它们实际上仍然带有MotW标签。”
Dormann指出,第二个漏洞影响从Windows 10开始的所有Windows版本,包括Windows Server 2016的服务器版本。该漏洞为攻击者提供了一种方法来给恶意文件(例如.exe文件和JavaScript文件)签署错误的Authenticode签名,从而绕过MOTW保护。
Dormann透露,他在阅读本月早些时候阅读惠普公司安全博客HP Threat Research报道Magniber勒索软件活动利用该漏洞的文章后才得知该漏洞被野外利用。
目前尚不清楚微软是否正在采取行动,但研究人员正在不断发出警报。“我没有收到微软的官方回复,但与此同时,我也没有正式向微软报告这个问题,因为我不再是CERT的员工,”Dormann说道:“由于攻击者已经开始在野外利用漏洞,所以我决定通过Twitter公开此事。”
3、高通反诉 ARM:以诉讼作为谈判筹码,违反协议是无稽之谈
北京时间 10 月 27 日晚间消息,据报道,高通公司今日反诉 ARM 称,ARM 之前指控高通违反授权协议和商标并无合法依据。
法庭文件显示,高通希望特拉华州的联邦法官认定,作为高通以 14 亿美元收购芯片初创公司 Nuvia 的一部分,该公司并未违反 ARM 的许可合同。
双方争论的焦点集中在 ARM 与 Nuvia 之间的芯片设计授权。上个月,ARM 对高通和 Nuvia 发起诉讼,指控这两家公司违反与 ARM 签订的授权许可协议。Nuvia 是高通去年以 14 亿美元收购的初创公司,主要设计基于 Arm 技术的芯片。
ARM 要求高通销毁根据 Nuvia 与 Arm 许可协议而开发的设计。ARM 还称,即使经过数月的谈判,高通也没有获得这一许可。而且,高通还在未经许可的情况下,将 Nuvia 的定制 CPU 设计植入自家芯片生产线。
而高通的律师对此表示,ARM 的目标是“以这起毫无根据的诉讼作为杠杆,强迫高通对双方长期以来一直在执行的许可协议的财务条款,进行重新谈判。”
过去,高通一直是 ARM 最大的客户之一。由于高通和 ARM 是世界上最具影响力的两家芯片公司,此案在科技行业引起了极大关注。
高通去年收购了 Nuvia,以加强其技术,并使其能够开发更强大的芯片。这也是高通 CEO 克里斯蒂亚诺・安蒙(Cristiano Amo)更广泛战略的一部分,目的是减少高通对智能手机行业的依赖,在笔记本电脑芯片和服务器处理器市场赢得份额。
高通的律师称,ARM 的诉讼旨在阻碍高通的这一计划。高通今日在反诉文件中称:“通过这起诉讼,ARM 明确地向市场表明,它将采取鲁莽和机会主义行动,将其作为一种谈判策略,从而扼杀产品的开发和创新。”
2022年10月27日 星期四
今日资讯速览:
1、广泛使用的 SQLite 数据库被曝高危漏洞
2、苹果首次公开承认会遵守欧盟法律要求 将iPhone改成USB-C接口
3、推特员工瑟瑟发抖中:马斯克抱着洗手盆进入推特大厦暗示即将完成收购
1、广泛使用的 SQLite 数据库被曝高危漏洞
Hackernews 编译,转载请注明出处:
SQLite数据库中已披露了一个高严重性漏洞,该漏洞是2000年10月代码更改的一部分,可能使攻击者崩溃或控制程序。
该漏洞被追踪为CVE-2022-35737(CVSS评分:7.5),已有22年历史,会影响SQLite版本1.0.12至3.39.1,并在2022年7月21日发布的版本3.39.2中得到解决。
“CVE-2022-35737在64位系统上是可利用的,可利用性取决于程序的编译方式。”Trail of Bits研究人员Andreas Kellas在今天发表的一篇技术文章中表示。
当编译库时没有堆栈金丝雀时,任意代码执行是确认的,但是当堆栈金丝雀存在时,任意代码执行是未确认的,并且在所有情况下都确认拒绝服务。
SQLite是用C语言编程,使用最广泛的数据库引擎,默认情况下包含Android、iOS、Windows和macOS,以及流行的web浏览器,如谷歌Chrome、Mozilla Firefox和Apple Safari。
Trail of Bits发现的漏洞涉及一个整数溢出漏洞,当超大字符串输入作为参数传递给printf函数的SQLite实现时,就会出现该漏洞,而PRINTF函数又会使用另一个函数来处理字符串格式化(“sqlite3_str_vappendf”)。
然而,漏洞库成功武器化的前提是字符串包含%Q、%Q或%w格式替换类型,当用户控制的数据写入超出堆栈分配缓冲区的边界时,可能会导致程序崩溃。
Kellas解释道:“如果格式字符串包含’!’特殊字符以启用unicode字符扫描,那么在最坏的情况下就有可能实现任意代码执行,或者导致程序无限期地挂起和循环。”
该漏洞也是几十年前被认为不切实际的一个例子——分配1GB字符串作为输入——随着64位计算系统的出现而变得可行。
Kellas说:“当系统主要是32位体系结构时,这个bug在编写时(可以追溯到SQLite源代码中的2000年)可能看起来并不是一个错误。”
2、苹果首次公开承认会遵守欧盟法律要求 将iPhone改成USB-C接口
在欧盟已经通过立法确立 USB-C 接口的地位后,和欧盟僵持已久的苹果也不得不遵守法律要求,除非苹果想要退出欧盟市场。
按欧盟新法律规定,自 2024 年起所有在欧盟市场销售的智能手机都必须使用 USB-C 接口,这不是一个可选项,而是只能使用 USB-C 接口。按此前传闻苹果已经在测试带有 USB-C 接口的 iPhone 了,预计明年推出的 iPhone 15 就会改用 USB-C 接口。
不过苹果并没有透露什么官方消息,直到现在 --- 苹果全球营销高级副总裁 Greg Joswiak 在接受媒体采访时确认相关传闻。
苹果首次公开承认会遵守欧盟法律要求 将iPhone改成USB-C接口
Greg Joswiak 表示:
如果苹果别无选择那就只能遵守欧盟新的立法要求,对于使用 Lightning 接口的苹果设备的用户来说,这种过渡将是破坏性的,过渡会造成大量的电子垃圾。
有趣的是 Greg Joswiak 并没有明确说明 iPhone 什么时候开始更换 USB-C 接口,他表示 “欧洲人是为苹果欧洲客户决定时间的人”。
这个措辞就有猜想空间了,难道苹果只为欧盟市场提供 USB-C 接口而其他市场继续使用 Lightning 接口?具体目前还不得而知,只能等待后续消息了。
3、推特员工瑟瑟发抖中:马斯克抱着洗手盆进入推特大厦暗示即将完成收购
推特与埃隆马斯克间的交易纠纷案目测已经落下帷幕:埃隆马斯克已将自己的推特账号信息修改为推特主席。
埃隆马斯克昨天参观位于美国旧金山的推特办公室,说是参观可能不准确,因为这看起来像是马斯克在示威。
马斯克抱着一个大的洗手盆进入推特大楼,配得推文是要把推特大楼沉入其中,这是暗示要对推特进行改革。
此前马斯克已经透露如果此次交易完成,则他会将推特 75% 的员工都裁掉 , 只保留25%的员工约有1900人。
尽管有匿名推特员工称马斯克的这种想法非常疯狂,这可能会让推特陷入灾难,但马斯克确实能干出这种事。
根据现有消息,马斯克将在美国时间本周五初步完成对推特的收购,而接下来可能就是要对推特进行大换血。
2022年10月26日 星期三
今日资讯速览:
1、工业互联网总体网络架构国家标准正式发布
2、澳大利亚计划加大对重大网络攻击后数据泄露的处罚力度,最高罚款 2.3 亿元
3、韩国数据中心火灾事故后续,两大互联网巨头创始人向国民道歉
1、工业互联网总体网络架构国家标准正式发布
近日,国家标准化管理委员会发布2022年第13号中华人民共和国国家标准公告,批准发布国家标准GB/T 42021-2022《工业互联网 总体网络架构》,这是我国工业互联网网络领域发布的首个国家标准,标志着我国工业互联网体系建设迈出了坚实的一步。
《工业互联网 总体网络架构》国家标准围绕工业互联网网络规划、设计、建设和升级改造,规范了工业互联网工厂内、工厂外网络架构的目标架构和功能要求,提出了工业互联网网络实施框架和安全要求,有助于加快构建高质量的工业互联网网络基础设施,有助于引导全行业全产业的数字化、网络化、智能化水平提升,对于加速产业数字化转型具有重要意义。该标准由全国通信标准化技术委员会(SAC/TC485)归口,中国信息通信研究院、中国科学院沈阳自动化研究所、华为技术有限公司等单位联合起草。
下一步,工业和信息化部将联合国家标准化管理委员会做好标准的宣贯推广工作,统筹推进工业互联网关键技术国家标准和行业标准研制,加快推动工业互联网创新发展。
来源:工业和信息化部信息通信管理局
2、澳大利亚计划加大对重大网络攻击后数据泄露的处罚力度,最高罚款 2.3 亿元
IT之家 10 月 23 日消息,据路透社报道,澳大利亚总检察长马克-德雷福斯说,在最近几周高调的网络攻击袭击了数百万澳大利亚用户之后,澳大利亚将向议会提交法律,加大对遭受重大数据泄露公司的处罚。
自从澳大利亚第二大电信公司 Singtel 旗下的 Optus 于 9 月 22 日披露黑客攻击事件后,澳大利亚的电信、金融和政府部门一直处于高度戒备状态,该公司有多达 1000 万个账户的个人数据被盗。
IT之家获悉,在这次攻击之后,本月,覆盖六分之一澳大利亚人的医疗保险公司 Medibank Private 发生数据泄露事件,导致 100 名客户的个人信息被盗,包括医疗诊断和手术内容,这是 200GB 数据被盗的一部分。
德雷福斯在周六发表的一份官方声明中说,政府将在下周采取行动,通过修订隐私法“大幅提高对重复或严重侵犯隐私行为的处罚力度”。
他说,拟议的修改将把对严重或重复侵犯隐私的最高处罚从目前的 222 万澳元(约合人民币 1026 万元)提高到 5000 万澳元(约合人民币 2.3112 亿元),即通过滥用信息获得的利益价值的三倍,或相关时期营业额的 30%,以高者为准。
总检察长说,当澳大利亚用户被要求将个人数据交给公司时,他们有权期望这些数据会受到保护。
“最近几周的重大隐私泄露事件表明,现有的保障措施是不够的。对重大数据泄露事件的惩罚被看作是做生意的成本,力度是远远不够的。”
“我们需要更好的法律来规范公司如何管理他们收集的大量数据,以及更大的惩罚来激励更好的行为”。
在宣布这一消息之前,澳大利亚政府在本月早些时候透露了全面修订消费者隐私规则的计划,这将有助于促进电信公司和银行在 Optus 的违规事件后有针对性地分享数据。
在 Optus 攻击事件发生后,澳大利亚的两个监管机构对该公司展开了调查,该公司因没有阻止这次澳大利亚有史以来最大的黑客攻击事件而受到了严厉的批评。
3、韩国数据中心火灾事故后续,两大互联网巨头创始人向国民道歉
北京时间 10 月 25 日消息,当地时间 10 月 24 日,韩国两大互联网巨头 Kakao 和 NAVER 的创始人在国会科技信息广电通讯委员会综合国政监查会,就日前的大规模服务瘫痪事故向国民致歉。
韩国数据中心火灾事故后续,两大互联网巨头创始人向国民道歉
Kakao 创始人兼未来倡议中心主任金范洙表示,虽已构建双活数据中心,但此次事故仍暴露出服务方面的不足,就给国民带来不便致以诚挚的歉意。对免费为用户提供赔偿一事,他表示,将同受害用户或其代表团体尽快构建协商机制,努力制定赔偿标准。
NAVER 创始人兼全球投资负责人李海珍说,此次民间数据中心失火致使平台服务瘫痪,我感到非常抱歉。尽管员工们按照业务指南及时修复了问题,但仍给许多用户造成不便。今后将致力于防止类似事故再次发生。
据《韩国时报》报道,本次火灾导致了约 3.2 万个服务器瘫痪,数千万用户服务受到影响。
2022年10月25日 星期二
今日资讯速览:
1、暂停股票交易,Medibank信息安全事件升级
2、苹果修复了今年第 9 个积极利用的零日漏洞
3、伊朗原子能组织遭黑客攻击,大量敏感数据泄露
1、暂停股票交易,Medibank信息安全事件升级
澳大利亚医疗保险公司Medibank透露,有网络犯罪团伙发来消息宣称掌握了其客户的资料,并威胁将公开这些资料。
上周,英国科技新闻网站The Register报道称,原国有保险公司Medibank于10月13日透露,因“在其网络上发现了异常活动”,已下线旗下子品牌“ahm”的各个系统及为海外学生提供保险产品的应用。该公司表示,没有发现表明敏感数据被盗的证据,但聘用了网络安全公司确保其掌控局面。
10月17日,Medibank发布情况更新通告,称该事件“应验了勒索软件事件前兆”,并解释称,已出于谨慎下线了上述应用,还利用停机时间提升了整个运营的安全性。
该公司于10月19日发布的通报则揭示了更糟糕的情况:
今天,Medibank集团收到某团伙发来的消息,称其希望与公司就其所谓的客户数据删除事宜进行谈判。
“这是个新情况,Medibank立即紧急查证情况是否属实,尽管正在进行的调查取证表明我们当前已谨慎对待此事。”
Medibank原为国有非营利保险公司,国营近40年后才于2014年在澳大利亚证券交易所挂牌上市。该公司通告澳大利亚证券交易所称,由于服务可能中断,公司将暂停其股票交易。
澳大利亚媒体报道称,联系Medibank的团伙威胁要向数据库中的人发送这些个人数据,证明他们持有该保险公司客户的数据。如果Medibank不讨论花钱防止泄露范围扩大,所谓的攻击者表示将出售这些盗得的数据。
澳大利亚内政部长认为该事件堪称“重大”,并向澳大利亚国民发出警告,称此类网络攻击是令人不快的新常态。
关于Medibank网络事件的声明:
Medibank发生了重大网络安全事件。事实仍在证实中。
我已联系了Medibank首席执行官David Koczkar和澳大利亚国防信号局(@ASDGovAu )及澳大利亚联邦警察(@AusFedPolice)的负责人。
—— Clare O"Neil MP (@ClareONeilMP) 2022年10月19日
此事件升级之前,新加坡电信旗下澳大利亚电信运营商Optus才泄露了近1000万条记录,并因为前后不一致且毫无同理心的回应而引发众怒。
Medibank数据泄露、Optus黑客攻击和其他一些规模较小的安全事件,令信息安全话题在澳大利亚新闻媒体上此起彼伏了几乎一个月。所有企业都感受到了整顿自家网络的压力——如果他们能够整顿的话。
10月20日,Medibank又发布了关于当前情况的更新通告:
● 一名犯罪分子联系Medibank宣称盗取了200GB数据。
● 此人提供了包含100份保单的记录样本,我们认为样本中的记录出自ahm和国际学生系统。
● 样本数据中包含姓名、住址、生日、医保编号、保单号、电话号码和一些索赔数据。
● 这些索赔数据包括客户接受医疗服务的地点,以及与他们的诊断和治疗相关的规定。
● 这名犯罪分子宣称还盗取了其他信息,例如信用卡安全相关数据,但我们的调查尚未验证此事。
Medibank补充道,公司正在努力“了解还有其他哪些客户数据受到影响”,并已开始联系受影响的客户,“向其通告事件最新进展,以及提供后续支持和帮助”。
2、苹果修复了今年第 9 个积极利用的零日漏洞
Hackernews 编译,转载请注明出处:
自今年年初以来,苹果已经解决了在野外攻击中利用的第九个零日漏洞。该漏洞被跟踪为CVE-2022-42827,是一个越界写入漏洞,攻击者可以利用该漏洞以内核特权执行任意代码。
一位匿名研究人员向苹果报告了该漏洞,该公司通过改进iOS 16.1和iPadOS 16中的边界检查解决了该漏洞。
苹果公司发布的公告中写道:“苹果公司知道一份报告称,这个漏洞可能被积极利用。”
该漏洞影响了iPhone 8及更高版本、iPad Pro(所有型号)、iPad Air第3代及更高版本、iPad第5代及更高版本、iPad mini第5代及更高版本。
建议苹果用户立即更新其设备,以减少遭受攻击的风险。
自1月份以来,苹果已经解决了其他8个零日漏洞,下面是已修复问题的列表:
2022 年 1 月:CVE-2022-22587和CVE-2022-22594
2022 年 2 月:CVE-2022-22620
2022 年 3 月:CVE-2022-22674和CVE-2022-22675
2022 年 5 月:CVE-2022-22675
2022 年 8 月:CVE-2022-32894
2022 年 9 月:CVE-2022-32917
3、伊朗原子能组织遭黑客攻击,大量敏感数据泄露
伊朗原子能机构周日声称,由国家支持的黑客破坏了其子公司网络并自由进入电子邮件系统。目的是在Mahsa Amini死亡的抗议活动中引起 "注意"。伊朗政府尚未将此次攻击归因于某个特定的人。
9月16日,22岁的阿米尼因涉嫌违反该国严格的女性着装规定而被捕,她的死亡引发了长达数周的示威活动,使伊斯兰共和国陷入困境。
这个自称 "黑色奖赏 "的黑客组织在Telegram上宣布了对原子能组织的黑客攻击,并分享了布什尔工厂的合同、施工计划和设备细节的文件,作为入侵的证据。据称,该组织周六在社交媒体上发布的材料包括一个来自据称是伊朗的一个核基地的短片,以及包含协议、地图和工资单的文件。
Black Reward声称已经侵入伊朗政府,并渗出了与他们的核计划有关的敏感数据。10月21日,他们给了伊朗政府24小时的时间来释放在最近的抗议活动中被捕的政治犯,否则他们将公布这些文件。
Black Reward说他们的要求没有得到满足。在接下来的几个小时里,他们将公布伊朗原子能组织的大量数据。该组织宣布泄露了50千兆字节的敏感文件,目前仍不清楚这个巨大的数据库是否还包含机密信息。
"伊朗的民用核部门说,黑客入侵了一家在南部港口城市布什尔运营该国唯一核电站的公司所使用的电子邮件系统,但没有详细说明。美联社报道:"伊朗此前曾指责美国和以色列的网络攻击损害了该国的基础设施。
伊朗原子能组织说:"这些出于无奈的非法努力旨在吸引公众的注意,创造媒体氛围和心理行动。”
此前,伊朗于2015年与世界大国达成了一项具有里程碑意义的协议。该协议正式称为《联合全面行动计划》(JCPOA),给予伊朗制裁豁免,以换取对其核计划的限制。
2018年,当时任总统唐纳德-特朗普单方面退出该协议时,该协议遭到破坏,但自2021年4月以来,一直在进行断断续续的谈判,以努力恢复该协议。
2022年10月21日 星期五
今日资讯速览:
1、韩国:一场锂电池着火引发的“互联网大瘫痪”
2、Ring摄像头被指用来控制和监视过度劳累的送货员工
3、Ring 0级固件威胁:新型UEFI rootkit恶意软件BlackLotus曝光
1、韩国:一场锂电池着火引发的“互联网大瘫痪”
2万亿韩元市值蒸发。一场大火,导致了韩国网络大面积瘫痪。当地时间10月15日下午3点19分,位于韩国京畿道城南市盆唐区三平洞SK C&C板桥数据中心发生火灾。据韩国警方消息,起火地点为数据中心A栋地下3层电气室的锂电池架附近。电源堆放在五个电池架上,事发时,其中一个锂电池产生了火花并引发火灾,随后自动灭火设备启动并喷洒气体。
来源:京畿道议员李基仁的 Facebook
火灾发生后,数据中心电源被切断,锂离子不间断电源(UPS)开启了约30分钟。但随后不间断电源室也开始起火。
为控制火势,消防部门放弃使用高压气体灭火,转而准备使用水枪。为避免短路,消防部门要求数据中心运营商SK C&C切断所有电源。
八小时后,火灾最于15日晚上11:46左右被扑灭,事故虽未造成人员伤亡,但有消息显示,所有的电池都在这场大火中被烧毁。韩国警方表示:
我们将考虑电池和机架本身有问题或周围电线问题等引发火灾的可能性,以掌握火灾的确切经过。
这场火灾的影响远不止于此。
由于该数据中心由SK与IBM共建,主要管理SK电信,韩国国民社交软件Kakao、门户网站Naver等核心平台运营商的数据。因此火灾发生后,韩国互联网服务出现大面积瘫痪。
互联网服务瘫痪
尽管数据中心于次日上午9时恢复了90%的服务器电力供应,但在断电的大半天内,韩国互联网仍然蒙受了巨量损失。
Kakao首当其冲,这款软件是韩国应用最广泛的移动通讯工具,涵盖即时通讯、移动支付、在线交易、在线地图和打车,甚至公民纳税时使用的数字证书,以及新冠疫情期间的数字疫苗证书等功能。
据技术评论家金善贤(音)说,这款应用在新冠疫情期间扮演了“准政府”的角色。
该软件在韩国拥有4300-4700万的活跃用户(韩国全国人口约为5100万),影响力基本等同于我国的微信和支付宝的结合体。
而这次起火的数据中心里,不仅有着Kakao的3.2万个服务器,而且还是Kakao的主数据中心。
15日下午3点30分左右开始,Kakao Talk 发送或接收消息时,消息旁边开始出现“正在加载”指示,最终消息发送失败。PC端的Kakao Talk则直接无法登陆。此外,打车、电子商务等服务也因支付功能瘫痪而受到影响。
在事发10小时后的凌晨1点31分,Kakao才恢复了部分功能,直到16日下午,消息收发才逐渐恢复正常,但仍有相当一部分的服务器在修复中,这次事故也成为Kakao Talk上线12年来故障时间最久的一次。
据分析师预计,受火灾影响,Kakao第4季度的收入将遭受220亿韩元的损失。
Kakao的股价周一下跌了9%以上,市值蒸发2万亿韩元(约101亿元人民币)。子公司 KakaoPay 和 KakaoBank的股价也在早盘交易中暴跌了8%以上。
除Kakao外,“韩国版百度”Naver部分服务器和功能也受到影响,但由于Naver在异地有备份,故障在几小时内就被排除。
周三上午,Kakao联合首席执行官南宫勋(音)在发布会上向 Kakao 的用户道歉,并宣布引咎辞职。
追责
鉴于本次火灾影响范围之广,损失之大,一场在SK C&C、Kakao和韩国官方之间的问责就此展开。
据两家公司的管理人员称,SK C&C声称,大火只切断了Kakao服务器所在的数据室的部分电力,而Kakao坚称,SK C&C大楼的大部分服务器从火灾开始时就停止了。
SK C&C有关人士表示,当消防部门决定使用水枪灭火时,已经向现场的Kakao公司人员通报了这一决定,但Kakao方面却对此表示当时只是接到了“单方面通知”:
我在断电之前接到了SK C&C的电话,但这是通知而不是征求意见。
Kakao周一通过向投资者发布的公告表示,一旦Kakao和主要子公司的服务完全恢复正常,将与SK C&C就赔偿损失问题进行协商。一些业内人士猜测,在完成对用户的赔偿后,Kakao或将对SK C&C提起诉讼。
与此同时,韩国官员也就此次事件对Kakao发出批评。执政党议员朱浩英在与政府举行的政策协商会上表示:
10名市民中有9名是Kakao的客户,但Kakao的数据管理如此糟糕,没有做好应对灾难的准备,这让我感到震惊。
韩国科学信息通信部长官李钟镐表示:
政府严肃对待这一事件,因为这是Kakao等国内主要通信系统的安全问题,不仅给国民的日常生活带来不便,而且还会使经济和社会活动陷入瘫痪。
显然,此次火灾影响扩大的核心在于消防部门决定用水灭火,SK C&C切断所有电源这一行为。
但据韩国消防部门和警方称,韩国的数据中心、UPS、储能系统等大容量锂离子电池设备火灾扑救都没有单独的应急手册。在这类设备发生火灾时,施救人员没有办法根据火灾的危险程度执行相应的程序,如在哪个阶段应首先使用高压气体等灭火设施,在哪个阶段应切断电源并使用水灭火等。
2020年5月,韩国议会曾提出在《灾害安全管理基本法》中增列数据中心的法案,但被司法和立法委员会否决。韩国互联网相关协会以“过度管制”为由表示反对。
储能电池火灾之殇
事实上,随着锂电池的应用愈发广泛,数据中心的UPS电源正从铅酸电池向锂电池转变,储能设备也在不断增长。
然而,与铅酸电池相比,锂电池的安全性始终是一个亟待解决的问题。
与一般火灾相比,锂电池发生起火后很难扑灭。
锂电池自燃后会产生大量可燃气体。这些气体基本全部堆积在储能箱内无法释放。随着浓度越来越高最终到达极限发生爆炸。如果不能尽早发现锂电池自燃现象的发生,几乎很难避免事故的发生。
近年来,锂离子储能电池导致的起火事故也屡见不鲜。仅今年上半年,全球发生的储能起火事故就已超过17起。
2、Ring摄像头被指用来控制和监视过度劳累的送货员工
根据数据与社会(Data & Society)技术研究机构最近的一份报告,像亚马逊的Ring这样的网络门铃监控摄像头随处可见,并且通过让客户扮演老板的角色来监督、控制和管教员工来改变快递工作的性质。
数据与社会组织的劳工未来项目主任Aiha Nguyen和研究分析师Eve Zelickson写道:“Ring和其他联网门铃摄像头的日益普及使以安全和安保为名的家庭和邻里监控正常化。但对送货司机来说,这意味着他们的工作越来越受到门铃摄像头的监视和客户的监督。其结果是美国人的私有财产观念和做工作的商业需要之间的碰撞。”
通过对监控摄像头用户和送货司机的采访,研究人员得以深入了解在此互动的几个主要发展,从而使这一问题得到解决。显然,第一个是像Ring这样的门铃监控摄像头的广泛采用。然而跟这些摄像头的采用同样重要的是,送货工作的兴起及其向临时工的转变。
联网门铃监控摄像头的普及并不是一个不可避免的结果,而是像亚马逊这样的公司通过各种有据可查的方法培养出来的发展。该公司多年来一直在煽动郊区的妄想症,然后提供环形监控摄像头作为救命稻草。它通过跟警察部门合作免费或以大幅折扣提供Ring摄像机。Ring监控摄像头在Prime Day期间提供折扣。该公司甚至还推出了一个Ring监控录像的电视节目。这些方法中的每一种也都是该公司垄断速成的一部分,该公司已将商业从实体店转移到电子商务和送货员。
正如报告所述,Ring摄像头允许客户监视送货员并通过在网上分享羞辱性镜头来约束他们的劳动。这在两个方面跟亚马逊送货员的“零工化”相吻合:劳动力动态和客户行为。
考虑到亚马逊的Prime项目,它承诺的近乎即时的交付给亚马逊带来了直接的物流问题。作为回应,该公司创建了一个按需送货的司机队伍:Amazon Flex。跟其他劳动平台(Uber、DoorDash等)一样,Flex司机被归类为独立承包商并被剥夺了加班费、带薪病假、失业保险和标准劳动权利或保护。作为交换,他们被赋予了“自由”,可以有不固定的工资,可以自己承担车辆维修费用,自己寻找医疗保险,还可以拿自己的身体冒险。
“包括Flex司机在内的零工都是以灵活、独立和自由的承诺为卖点,”Nguyen和Zelickson写道,“亚马逊告诉Flex司机,他们可以完全控制自己的时间表并可以按照自己的条件和空间工作。通过对Flex司机的采访,很明显,这些市场上的福利有隐藏的成本:司机往往不得不竞争轮班,花几个小时试图获得工资损失的补偿、支付他们的车辆磨损并对他们的工作地点没有控制。”
员工之间的竞争还表现在其他方面,即在将货物送到他们家时默许和遵守客户的要求。即使没有摄像头,客户也对Flex司机提出了苛刻的要求,而司机则被逼着满足不现实和危险的路线及不安全和苛刻的生产率定额。然而在送货目的地引入监控摄像头为“零工化”增加了另一个层面的监控。
亚马逊已经通过监视封闭的Facebook群组来监视其Flex司机,但由于其劳动条件造成的“安全”问题,亚马逊试图在送货车辆上增加监控摄像头。此举不会改变任何东西,但它将对员工引入更严格、更多的算法控制,这些员工在招聘时承诺具有灵活性和独立性--这是任何花时间关注或在零工经济中工作的人都熟悉的承诺。亚马逊在门口引入监控摄像头的做法与此类似。
Nguyen和Zelickson将客户的这种趋势确定为“老板行为”或“一系列通常以安全或包裹安全的名义进行也起到直接管理送货员工的作用的行动”,以作为监测、指导和惩罚送货员工的方式的一部分。
客户不仅得到了跟踪或监控的通知提示,而且认为它鼓励良性行为以及确保员工在其财产上有一定的行为。当涉及到指令时,客户 更有勇气纠正和指示送货员,因为这些活动发生在他们的财产上,而且通过门铃摄像头,他们可以从任何地方实时看到,即使这种被解释为命令的要求是不合理的要求或与司机的其他责任相冲突。客户还公开表示,监控摄像头的使用鼓励他们对司机进行更多的惩罚,无论是向亚马逊报告、提醒执法部门还是在网上分享录像以羞辱他们。所有这些形式的客户行为在大多数情况下都跟各种形式的工作场所管理没有区别。
正如Nguyen和Zelickson所指出的,亚马逊如何通过向居民出售门铃摄像头和订阅服务将曾经的劳动成本转化为收入来源,然后再由居民进行保护自己家门口的劳动,这是非常巧妙的一种做法。
该报告的结论非常明确:亚马逊已经将其客户委托给了他们并使他们成为一个鼓励对立的社会关系、破坏劳工权利并为迈向日益雄心勃勃的垄断性剥削提供掩护的计划中的合作伙伴。
3、Ring 0级固件威胁:新型UEFI rootkit恶意软件BlackLotus曝光
最近引发广泛讨论的“BlackLotus”,属于一款相当全能的固件级 rootkit 恶意软件。特点是能够躲过各种删除操作,以及绕过先进的 Windows 防护措施。此前这类高级攻击能力,仅被拥有深厚背景的机构所拥有,比如情报威胁组织。然而据报道,一款更新、更强大的 UEFT rootkit,正被人挂到暗网论坛上叫卖。
“防护环”示意(图自:Wikipedia / Hertzsprung)
卖家宣称 BlackLotus 是一款固件级 rootkit 恶意软件,能够绕过 Windows 防护措施、并在 x86 架构的最底层运行恶意代码。
率先曝光此事的安全研究人员指出,单个 rootkit 的许可证费用高达 5000 美元,而后续代码重建则只需 200 美元。
不过考虑到卖家罗列出来的功能,即使需要耗费重资,世界各地的网络犯罪分子和黑帽黑客也会趋之若鹜。
Scott Scheferman 总结道:
BlackLotus 采用了汇编与 C 语言编写,体量仅 80KB(约 81920 字节)。
通过在内核级别(ring 0)提供‘代理防护’(agent protection),该 rootkit 能够在 UEFI 固件中长期驻留。
此外 BlackLotus 具有反虚拟机、反调试和代码混淆功能,以阻碍研究人员对其展开分析尝试,且附带功能齐备的安装指南 / 常见问题解答。
黑市叫卖帖
与同类 rootkit 一样,BlackLotus 能够在 Windows 启动前的第一阶段被加载,因而能够绕过 Windows / x86 平台上的诸多安全防护措施。
除了无视 Secure Boot、UAC、BitLocker、HVCI 和 Windows Defender,该恶意软件还提供了加载未签名驱动程序的能力。
其它高级功能包括功能齐备的文件传输模式、以及易攻破的签名引导加载程序 —— 除非影响当今仍在使用的数百个引导加载程序,否则很难将它斩草除根。
Scott Scheferman 还强调了 BlackLotus 可能对基于固件的现代安全防护机制构成威胁。
而且新 UEFI rootkit 在易用性、扩展性、可访问性、持久性、规避和破坏潜力方面,都实现了相当大的跨越。
此前人们一度认为这类威胁相当罕见,但过去几天不断被打脸的攻击报告,已经指向了截然不同的未来趋势。
最后,安全社区将对 BlackLotus 恶意软件的实际样本展开更加细致、深入的分析,以确定传闻的真实性、还是说它只是某人精心编造的一个骗局。
2022年10月20日 星期四
今日资讯速览:
1、微软强调Edge网址拼写错误保护是实用安全功能
2、美国网络司令部执行新的全球网络空间防御行动
3、报告显示,软件供应链的攻击在三年内猛增742%。
1、微软强调Edge网址拼写错误保护是实用安全功能
在我们日常上网过程中,我们多少都会遇到网址拼写错误的情况,而网络犯罪分子则可能通过这种拼写错误来欺骗用户。通过和正规网址类似的 URL,黑客可以执行网络钓鱼、恶意软件传播等其他诈骗方式,因此微软在 Edge 浏览器中引入了拼写错误保护,当用户浏览某些有记录的伪装网站的时候就会发出提醒。
微软解释道:
今年,我们通过与 Microsoft Bing 索引团队合作开展网站错字保护,加强了对网络钓鱼和欺诈的保护。这种合作伙伴关系使我们能够不断地在网络上搜索新的“域名抢注者”(针对这些小错误的不良行为者)并动态更新 Microsoft Edge,从而在新发现的“域名抢注”网站被发现后立即保护您免受这些网站的侵害。
网站拼写错误保护是现有 Microsoft Defender SmartScreen 服务的补充以防御 Web 威胁。 Microsoft Defender SmartScreen 帮助保护用户免受参与网络钓鱼和恶意软件活动的网站的侵害。
域名抢注者往往会发起网络钓鱼活动,但可以通过多种方式错误输入地址。恶意行为者知道这一点,并选择在“typosquat”网址上托管不太严重的内容以避免被发现。假冒网站所有者通过将用户带到广告网站、附属链接、虚假产品、虚假搜索引擎结果,或者在某些情况下将用户重定向到为非常短暂的网络钓鱼活动保留的停放域,从而从用户的错误中获利。
2、美国网络司令部执行新的全球网络空间防御行动
编者按
美国网络司令部于10月3日至14日实施了一项新的防御性网络空间行动。全球网络防御行动是美国网络司令部领导的与合作伙伴的持久防御战役活动,以寻找和识别恶意网络空间行为者通常在指定网络上使用的危害指标,支持联合部队在全球的后勤和力量投送能力。
此项行动在美国防部各种网络执行,并与参与伙伴在全球范围内同时执行;以内部为重点,旨在搜索、识别和缓解可能影响网络安全的众所周知的恶意软件及相关变体,并改进与作战司令部、跨机构、国际、行业和学术合作伙伴的流程和协调;旨在突出和增强与合作伙伴的互操作性,加强与合作伙伴共享信息和见解,从而提高美国国家网络、系统和行动的安全性和稳定性;旨在加强美国防部信息网络和其他支持系统的弹性,通过维护可靠和防御性网络来支持和改善联合部队以及盟友和合作伙伴的任务保证,确保美国网络司令部和合作伙伴在网络空间中保持持久优势。
奇安网情局编译有关情况,供读者参考。
美国网络司令部10月17日发布消息称,美国网络司令部于10月3日至14日实施了新的防御性网络空间行动。
美国网络司令部表示,“该行动旨在突出和增强网络司令部与合作伙伴的互操作性。通过提高与统一行动合作伙伴共享信息和见解的一致性,我们在应对恶意网络活动时提高了我们国家网络、系统和行动的安全性和稳定性。”
此项为期10天的行动以内部为重点,旨在搜索、识别和缓解可能影响网络安全的众所周知的恶意软件及相关变体。从众所周知的恶意软件或其变体开始,操作人员可以改进与作战司令部、跨机构、国际、行业和学术合作伙伴的流程和协调。如果发现威胁,操作人员将与所有合作伙伴共享见解。
美国网络司令部J-3行动副主管马修·帕拉迪斯表示,“在此框架下,该行动是一项旨在加强国防部信息网络(DODIN)和其他支持系统的弹性的持续活动。防御性网络空间行动通过维护可靠和防御性网络,从而支持和改善联合部队以及我们的盟友和合作伙伴的任务保证,帮助网络司令部履行其任务职责。”
该防御性行动在美国防部各种网络执行,并与参与伙伴在全球范围内同时执行。通过与合作伙伴共享信息和见解,美国网络司令部增强了防御能力。此举确保了美国网络司令部和合作伙伴在网络空间中保持持久优势。
全球网络防御行动是美国网络司令部领导的与合作伙伴的持久防御性战役活动,以寻找和识别恶意网络空间行为者通常在指定网络上使用的危害指标,支持联合部队在全球的后勤和力量投送能力。
3、报告显示,软件供应链的攻击在三年内猛增742%。
今年到目前为止,专家们已经发现了88000个恶意开源包,比2019年的同一数字增加了三位数,表明企业的攻击面正在快速增长。这些数字来自Sonatype的第八次年度软件供应链状况报告,该报告是根据公共和专有数据分析编制的,包括1310亿次Maven Central下载和成千上万的开源项目。
报告详细介绍了企业系统面临的日益增长的风险,这些风险既来自于威胁者插入软件库的恶意软件包,也来自于开发团队不知不觉中下载的意外漏洞。恶意活动的激增证明了这些团队越来越多地使用开放源代码包来加快上市时间。Sonatype估计,今年的开源请求将超过三万亿。
该供应商认为,开放源码消费的巨大规模和软件依赖性带来的额外复杂性可能意味着威胁和漏洞会被开发者遗漏。目前,平均每个Java应用程序包含148个依赖项,比去年多了20个。据Sonatype估计,由于Java项目平均每年更新10次,开发人员必须为他们的每个应用程序每年跟踪近1500个依赖性变化的情报。
然而,对这些开发环境的可见性似乎是缺乏的:在过去的一年里,每七个影响开源项目的错误中,就有六个是由反式依赖引起的。
报告指出,总体而言,96%的含有已知漏洞的开源Java下载是可以避免的,因为有更好的版本,但由于某种原因没有被使用。不幸的是,许多组织似乎是在错误的安全意识下运作。
该报告显示,68%的调查对象确信他们的应用程序没有使用有漏洞的库。然而,对企业应用程序的随机抽样显示,68%的应用程序包含已知的漏洞。"不成熟的组织希望他们的开发人员在履行正常工作职责的同时,还能保持对许可证合规性的关注、多个项目的发布、依赖性的变化以及开源生态系统的了解。这是除了速度等外部压力之外,"Sonatype首席技术官Brian Fox解释说。
工作满意度与软件供应链实践的成熟度有很大关系。这一令人清醒的现实表明,企业急需优先考虑软件供应管理,以便更好地处理安全风险,提高开发人员的效率,并实现更快的创新。
2022年10月19日 星期三
今日资讯速览:
1、八块RTX 4090显卡阵列可在60分钟内破解八位密码
2、日本科技公司 Oomiya 受到 LockBit 3.0 的打击,多个供应链可能受到影响
3、谷歌推出开源操作系统KataOS,采用Rust和seL4微内核
1、八块RTX 4090显卡阵列可在60分钟内破解八位密码
暴力密码破解工具 Hashcat(最新版 6.2.6)的核心开发者山姆·克罗利(Sam Croley)和来自德克萨斯州奥斯汀的安全分析师合作,表示 NVIDIA GeForce RTX 4090 显卡运行 Hashcat 来破解某人密码,其效率是前代 RTX 3090 GPU 的两倍。
通过八块 NVIDIA RTX 4090 GPU 组成的显卡阵列,密码破解时间缩短至 60 分钟以内,是 RTX 3090 的二分之一。对于由数字、大小写字母和符号组合而成的标准八字符密码,如果仅使用一块 RTX 4090 GPU,成功破解该密码的时间为 6.1 小时,更别提可以使用多块显卡组成阵列。
更疯狂的是,它可以对抗身份验证协议,例如 Microsoft 的 NTLM(新技术 LAN 管理器)或 Niels Provos 和 David Mazières(在 1999 年创建的 Bcrypt 密码哈希函数)。
虽然这些数字令人难以置信,但想想有人可以用来协助入侵其他用户、企业等的邪恶用途,它们也令人恐惧。这么快破解的成本也难以承受。 NVIDIA RTX 4090 每台售价为 1,600 美元(估计含税),以这种速度工作的装备将花费超过 12,800 美元,其中不包括实现这一壮举所需的电量。
另一个注意事项是 Hashcat 是一个离线密码破解工具。它非常适合服务器和系统管理员以及网络安全专家。这种认识并不意味着您在 Internet 上仍然是安全的。Google已经实施了多项网络安全措施,包括苹果、微软等,以及软件安全包,以创建可靠且更难破解的密码。不幸的是,我们可能在多个网站和设备上使用相同的密码,这非常容易受到攻击。
2、日本科技公司 Oomiya 受到 LockBit 3.0 的打击,多个供应链可能受到影响
Hackernews 编译,转载请注明出处:
日本科技公司Oomiya的IT基础设施感染了LockBit 3.0勒索软件。
LockBit 3.0 RaaS的一家附属公司攻击了日本科技公司Oomiya。Oomiya专注于微电子和设施系统设备的设计和制造。
Omiya Kasei的业务分为四大领域,化学和工业产品的制造和设计、电子材料设计、药物开发和工厂制造。
Lockbit 3.0运营商声称窃取了该公司的数据,并威胁说,如果该公司不支付赎金,他们将在2022年10月20日前泄露数据。目前,勒索软件团伙尚未公布涉嫌被盗文件的样本。
这起事件可能会对第三方组织产生重大影响,因为Oomiya在全球多个行业的主要组织的供应链中,包括制造业、半导体、汽车、通信和医疗保健。
Lockbit附属公司是这一时期最活跃的,DarkFeed共享的数据显示恶意软件已经袭击了数百个组织。
3、谷歌推出开源操作系统KataOS,采用Rust和seL4微内核
出品 | OSC开源社区(ID:oschina2013)
谷歌宣布推出安全操作系统 KataOS,作为他们最新专注于运行环境侧重于机器学习工作负载的嵌入式设备的操作系统。出于将安全性放在首位的宗旨,KataOS 专门使用 Rust 语言开发,并基于 seL4 微内核进行了构建。
通过 seL4 CAmkES 框架,我们还能够提供静态定义和可分析的系统组件。KataOS 提供了一个可验证安全的平台来保护用户的隐私,因为应用程序在逻辑上不可能违反内核的硬件安全保护,并且系统组件是可验证安全的。KataOS 也几乎完全用 Rust 实现,它为软件安全性提供了一个强有力的起点,因为它消除了 entire classes 错误,如 off-by-one errors 和缓冲区溢出。
目前,谷歌已经在 GitHub 开源了大部分 KataOS 核心部分。具体包括用于 Rust 的框架(例如 sel4-sys crate,它提供了 seL4 系统调用 API),一个用 Rust 编写的备用 rootserver(用于动态系统范围的内存管理),以及对 seL4 的内核修改,可以回收 rootserver 使用的内存。
谷歌方面透露,在内部,KataOS 还能够动态加载和运行在 CAmkES 框架之外构建的第三方应用程序。但运行这些应用程序所需的组件暂时还未开源,他们计划或将在不久的未来发布这些功能。
为了完整地证明一个安全的环境系统,谷歌还为 KataOS 构建了一个名为 Sparrow 的参考实现,它将 KataOS 与一个安全的硬件平台相结合。因此,除了逻辑安全的操作系统内核之外;Sparrow 还包括一个逻辑安全的信任根,该信任根是使用 OpenTitan 在 RISC-V 架构上构建的。但是就初始版本而言,其目标是使用 QEMU 在模拟中运行更标准的 64 位 ARM 平台。
公告称,谷歌的目标是开源所有 Sparrow,包括所有硬件和软件设计;现下发布的 KataOS 早期版本只是一个开始。
相关链接:
https://opensource.googleblog.com/2022/10/announcing-kataos-and-sparrow.html
https://github.com/AmbiML/sparrow-manifest
2022年10月18日 星期二
今日资讯速览:
1、墨西哥调查“飞马”间谍软件的购买是否经过授权
2、国际刑警组织领导的行动推翻了“ Black Axe”网络犯罪组织
3、微软发现:神秘的勒索软件 Prestige 正在针对乌克兰、波兰的运输和物流组织
1、墨西哥调查“飞马”间谍软件的购买是否经过授权
墨西哥检察官在一份声明中提到,他们一直关注前律师工会以2300万美元收购“飞马”(Pegasus )间谍软件的事件。墨西哥律师检察院提到它正在调查“飞马”间谍软件的收购,以及它是否是合法进行的。
在周日的声明中,检察官提到了目前对两个人和一位杰出的前官员对PegASUS 间谍软件的使用进行的调查,几天前,现任当局否认它对记者或评论家进行了间谍活动。
Pegasus属于以色列间谍软件机构NSO集团。该集团有时仅将软件程序出售给政府或执法机构。
在声明中,墨西哥检察官表示,他们一直关注前律师工会的工作场所以 4.57 亿墨西哥比索(2300 万美元)的价格收购 Pegasus。 他们一直试图确定这是否是在正确的理由下完成的,并采取了必要的公开招标程序。
在第二次调查中,工作场所提到司法当局已获得 NSO 一直在“非法推广”Pegasus 的证据,但没有提供额外的细节。
报道称,NSO没有立即回复评论请求。
NSO否认参与
本月早些时候,NSO 告知路透社信息公司, 在以色列当局批准后,它仅将 Pegasus 许可给主权国家和当局公司的执法和情报公司 ,并在发现不当行为时终止合同。
NSO称它没有运行 Pegasus,对其利用率没有任何可见性,也没有获取有关潜在客户的详细信息。
在监督机构报告称至少三名调查墨西哥侵犯人权行为的人的电话被“飞马”感染后,墨西哥总统安德烈斯·曼努埃尔·洛佩斯·奥夫拉多尔否认他的官员监视记者或反对者后近两周发布了律师工会的公告。
洛佩斯·奥夫拉多尔在 2018 年当选总统,他在整个竞选活动中承诺结束联邦政府对其居民的监视。
2、国际刑警组织领导的行动推翻了“ Black Axe”网络犯罪组织
Hackernews 编译,转载请注明出处:
国际刑事警察组织,也被称为国际刑警组织,宣布逮捕75人,这是针对有组织网络犯罪集团“Black Axe”的全球协调行动的一部分。
该机构表示:“‘Black Axe和其他西非有组织犯罪集团已经发展了跨国网络,诈骗数百万受害者,同时将获得的利润用于奢侈的生活方式和其他犯罪活动中,从贩毒到性剥削。”
代号为“豺狼行动”的执法行动有阿根廷、澳大利亚、科特迪瓦、法国、德国、爱尔兰、意大利、马来西亚、尼日利亚、西班牙、南非、阿联酋、英国和美国的参与。
其中两名被指控的网络诈骗犯上个月底在南非被捕,据信他们策划了一系列欺诈计划,从受害者那里净赚了180万美元。
调查进一步导致49起财产搜查,查封了12000张SIM卡和其他奢侈品资产,包括住宅、三辆汽车和数万现金。它还截获了嫌疑人银行账户中的120万欧元。
国际刑警组织的Stephen Kavanagh说:“非法金融资金是跨国有组织犯罪的生命线,我们目睹了像Black Axe这样的组织如何将从网上金融诈骗中获得的资金转移到其他犯罪领域,如毒品和人口贩运。”
3、微软发现:神秘的勒索软件 Prestige 正在针对乌克兰、波兰的运输和物流组织
微软报告称,新的 Prestige 勒索软件正被用于针对乌克兰和波兰的运输和物流组织的攻击。Prestige 勒索软件于10月11日首次出现在威胁环境中,所有受害者在一小时内相互攻击。
该活动的一个显著特点是,很少看到威胁行为者试图将勒索软件部署到乌克兰企业的网络中。微软指出,该活动与它正在跟踪的94个当前活跃的勒索软件活动组中的任何一个都没有关联。
微软威胁情报中心 (MSTIC) 发布的报告中写道:“该活动与最近与俄罗斯国家相关的活动,特别是在受影响的地区和国家,并与FoxBlade恶意软件(也称为HermeticWiper)的先前受害者重叠”。
HermeticWiper是网络安全公司ESET和博通旗下赛门铁克的研究人员于2月发现的破坏性擦除器,其恶意代码被用于袭击乌克兰数百台机器的攻击。
微软注意到,该活动不同于最近利用 AprilAxe (ArguePatch)/ CaddyWiper或Foxblade (HermeticWiper) 的破坏性攻击,这些攻击在过去两周袭击了乌克兰的几个关键基础设施组织。
MSTIC 尚未将这些攻击归因于已知的威胁组,同时,它正在跟踪该活动作为 DEV-0960。在目标网络中部署勒索软件之前,使用以下两个远程执行使用程序观察了威胁参与者:
RemoteExec – 一种用于无代理远程代码执行的商用工具
Impacket WMIexec – 一种基于开源脚本的远程代码执行解决方案
DEV-0960 在一些攻击中使用以下工具来访问高权限凭证:
winPEAS – 在 Windows 上执行权限提升的开源脚本集合
comsvcs.dll – 用于转储 LSASS 进程的内存并窃取凭据
ntdsutil.exe – 用于备份 Active Directory 数据库,可能供以后使用凭据
“在所有观察到的部署中,攻击者已经获得了对域管理员等高权限凭证的访问权限,以促进勒索软件的部署。” 继续报告。“目前尚未确定初始访问向量,但在某些情况下,攻击者可能已经从先前的妥协中获得了对高特权凭据的现有访问权限。”
MSTIC 研究人员观察到威胁参与者使用三种方法部署 Prestige 勒索软件:
方法一:将勒索软件payload复制到远程系统的ADMIN$共享中,使用Impacket在目标系统上远程创建Windows Scheduled Task来执行payload
方法二:将勒索软件payload复制到远程系统的ADMIN$共享,使用Impacket在目标系统上远程调用编码的PowerShell命令来执行payload
方法三:将勒索软件负载复制到 Active Directory 域控制器并使用默认域组策略对象部署到系统
部署后,Prestige 勒索软件会在其加密的每个驱动器的根目录中放置一个名为“README.txt”的勒索记录。
Prestige 使用 CryptoPP C++ 库对每个符合条件的文件进行 AES 加密,以防止数据恢复,勒索软件会从系统中删除备份目录。
Microsoft 发布了一份入侵指标 (IOC) 列表,高级搜索查询可检测 Prestige 勒索软件感染。微软将继续监控 DEV-0960 活动并为我们的客户实施保护措施。
2022年10月17日 星期一
今日资讯速览:
1、黑客利用Wi-Fi无人机远程渗透了金融公司内网
2、印度塔塔电力遭遇网络攻击 影响公司部分IT系统
3、韩国多个网络平台瘫痪 尹锡悦道歉并要求相关部门查明事故原因
1、黑客利用Wi-Fi无人机远程渗透了金融公司内网
本周早些时候,The Register 报道了今夏了一起无人机袭击事件。然而受害的私人投资公司却对此保持沉默,仅同意根据保密协议与安全人员展开探讨。据说当时网络管理员发现公司的 Confluence 页面在局域网内表现出了奇怪的行为,而 Confluence 则是 Atlassian 开发的基于 Web 的远程写作软件。
(图自:Confluence | Atlassian)
报道称,安保人员在大楼顶层发现了两架无人机 —— 其一是经过改装的 DJI Matrice 600,其二是经过改装的 DJI Phantom —— 前者炸机但仍在运行,而后者实现了安全着陆。
后续调查发现,Matrice 600 无人机被加装了渗透套件,包含一台树莓派、GPD 迷你笔记本电脑、4G 调制解调器、Wi-Fi 设备、以及几块电池。
此外 Phantom 无人机则打包了 Hak5 开发的一套名为 Wi-Fi Pineapple 的网络渗透测试设备。
与该公司 IT 团队沟通的安全研究员 Greg Linares 表示,攻击者在数日前使用 Phantom 无人机 + Wi-Fi 渗透装置拦截了员工的凭据。
Say hello to Confluence Confluence - Overview | Atlassian(via)
接着攻击者将窃取的信息编码到了 Matrice 无人机携带的穿透设备中,利用员工 MAC 地址和访问凭据、从屋顶侵入了公司的 Cnnfluence 页面。
可知其浏览了 Confluence 日志,试图窃取更多登录信息、以连接到公司内网的其它设备。庆幸的是,攻击者仅取得了有限的进展。
当管理员注意到受感染员工设备的 MAC 地址在本地和数英里外的远程地点登录时,立即意识到公司网络遭受了攻击。
在对 Wi-Fi 信号实施隔离后,安全团队带着福禄克测试仪追踪并定位了屋顶上的渗透设备。
Greg Linares 表示,这是他在近两年里看到的第三次基于无人机的网络攻击。
不过大家也无需惊慌,毕竟新案例得逞的前提,是受害企业启用了一套未妥善部署安全措施的临时网络。
而且就算是这套本就脆弱的网络,攻击者也蛰伏了数周时间来实施‘内部侦查’。
综上所述,该威胁行为者距离目标地点的物理距离肯定不太远,手头有足够预算、且知悉受害企业的物理安全限制。
2、印度塔塔电力遭遇网络攻击 影响公司部分IT系统
在周五发布的一份简短声明中,印度头部电力企业 Tata Power 证实其遭遇了网络攻击,并对其部分 IT 系统造成了影响。由提交给当地证券交易监管机构的 PDF 文档可知,该公司已采取措施来检索并恢复系统、所有关键操作系统都在运作。不过为了防患于未然,Tata Power 还是对员工、客户门户和接触点实施了限制访问和预防性检查。
在被问到网路攻击事件的性质、对组织的影响、以及是否有任何数据被盗等细节时,该公司未予置评。
Tata Power 公关代表回应称:“如声明所述,公司已采取措施来检索并恢复系统,所有关键的操作系统仍在运行中”。
【背景资料】
作为南亚地区的发电、输送与电力零售商,Tata Power 计划五年内,把清洁能源的投资占比从当前的 1/3 左右、翻番至 60%,以实现 2045 年的净零排放目标。该公司声称其安装和管理的发电量有 13974 兆瓦,目前为印度市场的龙头。
此外最近 Tata Power 还表现出了对通过光伏屋顶、微电网、储能方案、太阳能泵、电动汽车充电基础设施、以及家庭自动化等业务的浓厚兴趣。该公司通过其分销渠道,为超过 1200 万消费者提供着服务。
3、韩国多个网络平台瘫痪 尹锡悦道歉并要求相关部门查明事故原因
韩国SK公司C&C板桥数据中心15日发生火灾,导致包括韩国“国民聊天工具”Kakao Talk在内的多个网络平台服务中断。16日,韩国总统尹锡悦为此向公众表示歉意,并要求相关部门查明事故原因,制定事故预防对策避免此类事故再次发生。
发生火灾的SK公司C&C板桥数据中心有Kakao、NAVER、SK电信等企业入驻。韩联社报道称,15日下午3时19分左右,该数据中心发生火灾,3时22分服务电源被切断。韩国警方和消防部门16日表示,初步研判火灾是电气因素导致电气设备室电池周围起火所致。调查发现,安装在地下三层电气设备室的5个电池机架全部被烧毁。火灾并未造成人员伤亡,但通信软件Kakao Talk、门户网站Daum等大部分Kakao服务和NAVER的部分服务瘫痪。
《环球时报》驻韩国特派记者15日曾使用Kakao Talk与朋友联系,从下午3时13分后便未接收到对方的回复信息。16日上午10时许,记者在Kakao Talk上收到前一天朋友回复的信息,但电脑版客户端依然不能正常使用。16日下午5时左右,记者的电脑版Kakao Talk才能正常登录。
韩国《国民日报》16日报道称,16日下午2时,Kakao Talk的文字信息发送和接收功能才完全恢复正常,但照片和视频的发送功能仍在修复。Kakao公司表示,无法确定彻底恢复服务的时间。Kakao公司代表南宫勋称,整个数据中心受到影响是非常罕见的情况,采取相关措施需要比预期更长的时间。不过Kakao方面表示,此次事故导致数据损失的可能性为零。
《韩国时报》报道称,对韩国国内外数以千万计的Kakao用户来说,这是一场混乱,他们的日常生活在周末全乱套了。他们在很大程度上依赖该公司的在线服务,这些服务在过去10年变得越来越受欢迎。
报道称,纵观整个韩国IT业界,很难找到发生10小时左右服务故障的事例。因此,有人批评Kakao的灾难恢复系统不健全。SK公司C&C板桥数据中心是Kakao主要的数据中心,15日的火灾导致停电,造成约3.2万个服务器瘫痪。另一家韩国互联网企业NAVER也使用同一数据中心,却在几小时内恢复了服务。这是因为NAVER还在春川等其他数据中心分散储存数据,即使一处出现问题,也能通过其他数据中心恢复正常运营。
由于Kakao Talk是韩国人主要使用的即时通信软件,这一事故引起韩国总统尹锡悦和政府相关部门的重视。尹锡悦称,相关部门不仅要准确掌握事故原因,还要制定包括设置双数据中心在内的事故预防方案和事故发生时的应对策略。韩联社报道称,尹锡悦15日就要求科学技术信息通信部长官李宗昊迅速处置这一事故。李宗昊表示,作为主管相关事务的官员深感责任重大,对给国民带来巨大不便表示歉意。李宗昊还承诺,政府将完善通信服务相关设施的检查和管理体系,积极研讨所需的制度和技术对策,以防类似情况重演。
韩总统办公室一名高级官员接受媒体采访时表示,有必要调查Kakao等企业是否在国民遭受不便时采取放任态度。另据韩国纽西斯通讯社报道,就此事件,Kakao创始人金范洙将于24日作为国会科学技术信息广播通信委员会国政监察证人被传唤。而导致服务瘫痪的SK公司C&C板桥数据中心的代表预计也将接到传票。
2022年10月14日 星期五
今日资讯速览:
1、八种让人“意想不到”的数据泄露方式
2、西门子 SIMATIC PLC 中的关键漏洞可能让攻击者窃取加密密钥
3、拜登再次强调关键基础设施安全,要“锁紧数字大门”
1、八种让人“意想不到”的数据泄露方式
随着数字经济蓬勃发展,数据对于企业的价值与重要性不断攀升,随之而来的数据安全风险也不断涌现。近年来,数据泄露事件时有发生,对企业财产安全、声誉等构成极大威胁。虽然常见的数据泄露事件大多由于黑客攻击导致,但是还有一些你“意想不到”的途径,也在威胁着数据的安全!
以下是企业员工可能意外泄露数据的八种不同寻常的途径,以及应对这些风险的建议。
01镜片反射泄露视频文本
Zoom和Microsoft Teams等视频会议平台已成为远程/混合工作模式的主要手段。然而新的研究发现,戴眼镜的视频参会者可能会因为眼镜镜片反射而意外泄露信息。
康奈尔大学的研究人员介绍了一种方法,通过参会者的眼镜及其他反射物可以重现视频会议期间的屏幕文本。研究人员使用数学建模和人体实验,进一步研究了网络摄像头通过眼镜等反射物,泄露的可识别文本和图形信息的严重程度。
研究发现,如今的720p网络摄像头可以让攻击者重现视频会议中的文本内容,而日益流行的4K摄像头更是大幅降低了泄露文本信息的门槛,让攻击者可以轻松窥视屏幕上的大多数文本。
如果恶意攻击者掌握这种能力,那么一些机密和敏感数据的安全性就岌岌可危。对此研究人员提出,可以使用软件为视频流的眼镜区域“打码”,从而防止数据的泄露。
02职业资讯触发钓鱼攻击
在LinkedIn等专业社交网站上,人们常常更新履职信息以表明最新的职业变动、经历和工作地点,然而这种看似无害的行为可能会为网络钓鱼攻击提供可趁之机。攻击者会在LinkedIn上搜索新职位,在数据中介网站上查找员工的电话号码,然后发送网络钓鱼信息,冒充是公司内部的高管,企图在受害者履新的最初几周行骗。
这种方法已经司空见惯,以至于许多企业停止在LinkedIn上宣布新员工入职信息,并建议新员工限制发布有关新职位的内容。这些措施可以有效降低新员工的被诈骗风险。与此同时,安全团队还应对新员工进行相关的网络安全意识宣传教育,并介绍企业的真实短信或邮件是什么样子和发送方式等。
03社交媒体泄密
朋友圈等社交媒体是当下“网民”分享生活的主要途径,人们可能觉得在个人社交媒体和消息传递应用软件上发布图片不会对企业的敏感信息构成风险,但通过社交应用软件意外泄露数据是切实存在的一大威胁,请各位“打工人”务必小心“隔墙有黑客”!
企业有必要针对这个问题加强对员工的安全意识教育。虽然无法完全阻止员工拍摄和分享办公场景下的照片,但是企业可以强调这么做带来的风险,从而让员工慎之又慎。
04错误使用数据库
对数据摄取脚本而言,IP地址或URL的简单拼写错误会导致使用错误的数据库。这会导致混合数据库在备份过程开始之前需要进行清理或回滚,否则将会发生个人身份信息泄露事件。
因此,安全团队应尽可能利用安全传输层协议的身份验证机制,降低错误识别服务器和数据库的风险,并确保准确存储相关的监控日志系统。同时,监测对象也应包括成功的事件和不成功的事件。
此外,企业还应就如何使用数据库系统,实施一套严格的规则流程和安全控制,减少数据混合事件,降低处理实际产品数据时的影响,确保因安全问题而发生的问题在测试环境中都能得到彻底全面的检验。
05证书透明度日志泄露敏感数据
证书透明度(CT)日志可以让用户以更高的信任度浏览Web,并让管理员和安全专业人员可以快速检测证书异常、验证信任链。但攻击者也可以利用此类日志证书中的各种详细信息,来追踪公司并详细列出有效的用户名或电子邮件地址,甚至攻击安全控制措施较少的应用系统,以便接管系统和横向移动。
由于CT日志中的数据是永久性的,建议培训开发人员和IT管理员等人员使用普通的电子邮件帐户来注册证书。同时管理员还应培训用户,了解什么样的内容能够进入CT日志,帮助避免信息意外泄露。
06看似无害的USB设备
夏日的USB小风扇可以为人们带来丝丝凉爽,“随手”就插在了公司的笔记本电脑上。殊不知,这些看似无害的设备却可以充当攻击后门,帮助攻击者潜入用户的设备和更广泛的企业网络。这类USB硬件攻击通常有三条主要的攻击途径:恶意设计的硬件(设备上预装恶意软件)、蠕虫感染以及硬件供应链感染。
在端点层面检测这类攻击很困难,但在新一代安全防护技术中,防病毒及端点检测和响应可以监控扩展设备的执行流程和验证代码完整性策略,从而防范诸多威胁。特权访问管理(PAM)解决方案也很重要,能够阻止非特权用户使用USB端口,并防止未经授权的代码运行。
07报废设备泄露隐私数据
如果旧的办公室打印机在丢弃回收时,没有事先擦除Wi-Fi密码等隐私数据,那么企业将会面临数据泄露风险。攻击者可以提取设备密码,并使用密码登录到企业的网络,以窃取个人身份信息。
企业应该对各种数据进行加密,确保由身份验证流程来保护端点设备的解密密钥,确保可移动介质受到有效控制,确保数据始终被加密,并确保可以借助必要的控制措施与正规流程来恢复数据。
08电子邮件泄密
员工出于疏忽发送的非恶意电子邮件经常也会导致数据泄露,例如员工的社会安全号码(SSN)等。企业有必要使用数据泄露防护(DLP)控制系统来监控所有员工的电子邮件,这可以检测到邮件附件中的多个SSN,阻止邮件,并向安全运营中心(SOC)发出警报。
此外,企业不能依过度赖被动的控制措施,应采用更好的数据分类预防控制措施,全面清楚地掌握SSN数据从生产环境传输到培训部门中某个文件的全过程,这种控制甚至可以阻止员工试图将附件通过邮件发送到个人帐户。
2、西门子 SIMATIC PLC 中的关键漏洞可能让攻击者窃取加密密钥
Hackernews 编译,转载请注明出处:
西门子Simatic可编程逻辑控制器(PLC)中的漏洞可以被用来检索硬编码的全局私有加密密钥,并获取对设备的控制权。
工业网络安全公司Claroty在一份新报告中表示:“攻击者可以使用这些密钥对西门子SIMATIC设备和相关的TIA Portal进行多次高级攻击,同时绕过其所有四个访问级别保护。”
“黑客可能会利用这些机密信息,以无法修复的方式破坏整个SIMATIC S7-1200/1500产品线。”
该关键漏洞被追踪为CVE-2022-38465,在CVSS评分为9.3,西门子已在2022年10月11日发布的安全更新中对其进行了处理。
受影响的产品和版本列表如下:
- SIMATIC 驱动控制器系列(2.9.2之前的所有版本)
- SIMATIC ET 200SP 开放式控制器 CPU 1515SP PC2,包括 SIPLUS 变体(21.9 之前的所有版本)
- SIMATIC ET 200SP 开放式控制器 CPU 1515SP PC, 包括 SIPLUS 变体(所有版本)
- SIMATIC S7-1200 CPU 系列, 包括 SIPLUS 变体(4.5.0 之前的所有版本)
- SIMATIC S7-1500 CPU 系列, 包括相关的 ET200 CPUs 和 SIPLUS 变体(V2.9.2 之前的所有版本)
- SIMATIC S7-1500 软件控制器(21.9 之前的所有版本)
- SIMATIC S7-PLCSIM 高级版(4.0 之前的所有版本)
Claroty表示,它能够通过利用西门子PLC中之前披露的漏洞(CVE-2020-15782)来获得对控制器的读写权限,从而恢复私钥。
这样做不仅可以让攻击者绕过访问控制并覆盖本机代码,还可以完全控制每个受影响的西门子产品线的PLC。
CVE-2022-38465反映了去年在罗克韦尔自动化PLC(CVE-2021-22681)中发现的另一个严重漏洞,该漏洞可能使对手能够远程连接到控制器,并上传恶意代码,从PLC下载信息或安装新固件。
Claroty在2021年2月指出:“该漏洞在于Studio 5000 Logix Designer软件可能允许发现秘密加密密钥。”
西门子建议客户仅在受信任的网络环境中使用传统PG/PC和HMI通信,并安全访问TIA Portal和CPU,以防止未经授权的连接。
这家德国工业制造公司还采取措施,使用TIA Portal版本17中的传输层安全性(TLS)对工程站、PLC和HMI面板之间的通信进行加密,同时警告“黑客滥用全球私钥的可能性越来越大。”
这些是在工业网络中使用的软件中发现的一系列重大漏洞中的最新发现。今年6月初,Claroty详细介绍了西门子SINEC网络管理系统(NMS)中的十几个漏洞,这些漏洞可能会被滥用以获得远程代码执行功能。
然后在2022年4月,该公司在罗克韦尔自动化PLC中发现了两个漏洞(CVE-2022-1159和CVE-2022-1161),这些漏洞可能被利用来修改用户程序并将恶意代码下载到控制器。
3、拜登再次强调关键基础设施安全,要“锁紧数字大门”
本周二,在亲俄黑客组织KillNet的攻击导致14个美国机场网站瘫痪后第二天,美国总统拜登在白宫发布加强美国关键基础设施网络安全的情况说明书,并宣布将“不懈关注”国家关键基础设施防御的改善,建立一个全面的方法来“锁定美国的数字大门”。
“情况说明书”强调的六项重点工作包括:
发布关键基础设施安全绩效考核指标
实施产品安全标签,帮助美国消费者了解他们购买的产品是否(网络)安全
大力培养国家网络安全人才并加强网络安全教育
扩大反勒索软件倡议联盟
推进联邦零信任架构实施战略
通过国家量子倡议和发布国家安全备忘录10(NSM-10)来开发抗量子加密,建立美国技术优势,从而保护从在线商务到国家机密的未来。
关键基础设施安全方面,由于美国的许多关键基础设施由私营部门拥有和运营,因此美国政府与交通、银行、水和医疗保健等各个部门密切合作,以帮助利益相关者了解关键系统的网络威胁并采用最低限度的网络安全标准。其中一些网络安全措施包括运输安全管理局(TSA)提出的多项基于性能的指令,以提高管道和铁路部门的网络安全弹性,并衡量航空部门的网络要求。
白宫的情况说明书指出:“我们正在发布网络安全绩效考核目标,这些目标将为推动投资朝着最重要的安全成果提供基准。我们将继续与关键基础设施所有者和运营商逐个部门合作,以加快网络安全和弹性的快速改进以及落实积极措施。”
拜登通过其2021年5月颁布的第14028号总统行政命令,要求相关部门采取有效的网络安全措施,例如多因素身份验证,提高联邦政府系统的安全性。白宫还发布了联邦零信任架构实施战略,并提供了预算指导,以确保联邦机构将资源与国家的网络安全目标保持一致。
去年,美国政府还发起了30多个国家和欧盟之间的“反勒索软件倡议”,目标是加快合作以应对严重威胁关键基础设施、基础服务、公共安全、消费者保护的勒索软件和隐私问题。
情况说明书称,白宫将于10月31日至11月1日接待国际合作伙伴,以加速和扩大“反勒索软件倡议”合作项目。目标是提高集体弹性,让私营部门参与进来,并破坏网络犯罪的基础设施。美国还加大了犯罪分子转移非法资金的难度,同时制裁了勒索软件犯罪分子经常使用的一系列加密货币混合器,以收缴和“清理”其非法收入。
除了反勒索软件倡议之外,拜登政府在北约建立一个新的虚拟快速反应机制,以确保美国的盟国能够高效地相互提供支持,以应对网络攻击事件。
根据情况说明书,白宫重点强调了培养国家网络安全人才和加强网络教育,为此举办了全国网络劳动力和教育峰会。在峰会上,拜登政府宣布了为期120天的网络安全学徒冲刺计划,以帮助增加网络安全就业机会。在峰会的推动下,美国政府将继续与合作伙伴合作,培养网络安全人才,改善以技能为基础的高薪网络安全就业路径,教育美国人掌握必要的安全技能,并在网络安全领域提高多样性、公平性、包容性和可及性。(DEIA)
拜登政府还计划通过开发抗量子加密来保护未来的数字社会。美国国家标准与技术研究院(NIST)宣布了四种新的后量子加密算法,这些算法将成为NIST后量子加密标准的一部分,预计将在大约两年内完成。这些算法是首批抵御未来量子计算机攻击的加密工具,保护在线银行和电子邮件等日常数字系统不受量子计算的威胁。
8月,美国网络安全和基础设施局(CISA)指出将ICS(工业控制系统)升级到后量子密码将是一个挑战,因为部署相关ICS硬件成本高昂,并且相关设备通常在地理上较为分散。但CISA仍然呼吁ICS组织确保其硬件更换周期和网络安全风险管理策略能够应对量子计算带来的风险。
拜登于5月发布了NSM-10,旨在发展美国在量子计算方面的技术优势,同时降低易受攻击的密码系统的风险。该措施使政府对量子技术的研发(R&D)投资增加了一倍以上,在全国范围内建立了新的研究中心和劳动力发展计划。
此外,NSM-10优先考虑“通过推进研发工作、建立关键合作伙伴关系、扩大劳动力和投资关键基础设施,确立美国在量子技术方面的领导地位,同时确保关键基础设施的加密升级到抗量子加密。”
2022年10月13日 星期四
今日资讯速览:
1、印度5G网络网速实测 最高可超过500Mbps
2、英国将耗资5000万英镑建立新的“国防网络学院”
3、Shein母公司将因数据泄露向纽约州支付190万美元
1、印度5G网络网速实测 最高可超过500Mbps
目前印度已经推进 5G 网络部署,预估将会在 2024 年全面部署完成。根据流行的互联网测试公司 Ookla 的最新数据,印度运营商 Jio 的 5G 速度达到 598.58Mbps,速度最快,而竞争对手 Airtel 在德里的速度为 197.98Mbps。不过伴随着 5G 在印度全国范围的铺开,这个网速应该会有所下降。
分析显示,印度电信运营商在 10 月 1 日推出之前一直在测试其网络,5G 速度在 16.27Mbps 至 809.94Mbps 之间。这表明电信公司正在重新校准他们的网络。
流行的互联网测试公司 Ookla 带来了一份关于印度 5G 数据速度的新报告。根据分析,Jio 的网络速度为 598.58Mbps,而 Airtel 在德里的网络速度为 197.98Mbps。
自 2022 年 6 月以来,Ookla 记录了四个大都市的 5G 下载速度,包括德里、加尔各答、孟买和瓦拉纳西。在孟买等热门城市,Airtel 以 271.07Mbps 的下载速度落后于 Jio,而后者的下载速度更快,为 515.38Mbps。
这两个电信网络的速度在加尔各答差异最大。 Airtel 的中位下载速度为 33.83 Mbps,而 Jio 的中位下载速度更快,为 482.02 Mbps。 Ookla 企业首席行业分析师 Sylwia Kechiche 表示“随着这些网络进入商业阶段,我们预计这些速度将更加稳定”。
2、英国将耗资5000万英镑建立新的“国防网络学院”
英国国防部近日宣布,将耗资5000万建立新的“国防网络学院”,以支持在国内外培养世界级的网络专家。
该学院将以英国较早建立的“国防网络学校”的经验为基础,以支持国家网络专业的更广泛发展。该机构具有三项主要目标:一是增加培训和教育的数量和范围,支持英军网络人员的增长;二是与全球盟友合作,确定并采用最佳实践,并提供国际产品和服务,三是与业界和学术界合作,以加强其高等教育和研究计划。
除培养本国人员外,该学院还将培养高素质国际盟军人员,使其处于网络技术、战略和作战准备的最前沿。英国政府表示,各国将通过共享经验和培训建立更紧密的联盟,使英国人员能够更好地为北约、未来的联合和多域作战做好准备。英国国防大臣本·华莱士表示,“国防网络学院”以美英深入广泛的国防合作为基础,更紧密的集成和共享能力,帮助英国和盟友应对全球网络安全威胁。英国战略司令部司令吉姆·霍肯赫尔表示,“国防网络学院”将使英国能够扩大并与国际盟友分享培训机会,从而共享专业知识,并更好地开展现代战场所需的综合行动。
奇安网情局编译有关情况,供读者参考。
英国国防部9月28日宣布,将耗资5000万英镑在牛津郡的什里文纳姆建造新的“国防网络学院”(Defence Cyber Academy),以支持培养国内外世界级的网络专家。该学院将于年内开始运作,并将以较早的“国防网络学校”(Defence Cyber School)的经验为基础,为发展国家网络专业提供课程和支持。
作为英国国家网络战略的一部分,该学院将支持国家网络专业的更广泛发展。该机构有三项主要目标:
增加培训和教育的数量和范围,支持国防部网络劳动力的增长
与全球盟友合作,确定并采用最佳实践,并提供国际产品和服务
与业界和学术界合作,以加强其高等教育和研究计划
该学院将加强英国和包括美国在内的国际盟友的队伍,培养高素质的国防人员,使其处于网络技术、战略和作战准备的最前沿。英国政府表示,各国间通过共享经验和培训建立更紧密的联盟,将使英国人员能够更好地为北约、未来的联合和多域作战做好准备。
该学院不仅将培训英国人员,还将培训国际盟军人员。特别是,英国政府强调该学院将加强美英国防合作,并指出美国网络专家将在该学院接受培训。根据英国国防大臣本·华莱士的说法:
“英国和美国之间的国防合作是世界上任何两个国家中最广泛和最深入的,并将在未来几十年继续扩大。国防网络学院以这种合作为基础,定义了更紧密的集成和共享能力,帮助我们和我们的盟友应对全球网络安全威胁,保持领先一步,并站在这一尖端军事领域的前沿。”
自2020年英国时任首相鲍里斯·约翰逊宣布了一系列举措以来,英国就将在太空和网络等高科技领域开发战略资产列为优先事项,例如一个军事人工智能机构、跨部门的“国家网络部队”和一个军事太空司令部。
英国战略司令部司令吉姆·霍肯赫尔将军进一步强调了这一防御优先事项的关键性质:
“作为国防部网络领域的领导者,战略司令部致力于确保我们的人员具备保持与对手竞争优势所需的网络技能。国防网络学院将使我们能够扩大我们提供的培训机会,并与我们的国际盟友分享这些机会。这一新发展将帮助我们分享我们的专业知识,并更好地开展现代战场所需的综合行动。”
3、Shein母公司将因数据泄露向纽约州支付190万美元
据The Verge报道,超快速时尚品牌Shein和Romwe背后的公司将向纽约州支付190万美元,因为数据泄露影响了数百万客户。罚款源于对Zoetop公司的指控,即该公司未能保护客户的数据,没有适当地通知客户数据泄露,并试图对泄露的程度保持沉默。
罚款是在司法部长办公室对2018年的一次黑客攻击进行调查后作出的,其中信用卡和个人信息,如姓名、电子邮件和哈希密码被盗。该数据泄露事件影响了3900万Shein和700万Romwe账户,包括属于纽约人的80多万个账户。
据OAG称,在Zoetop得知黑客攻击后,该公司只联系了部分受影响的客户,没有为任何账户重置密码。对于3250万个Shein账户,Zoetop没有提醒用户他们的登录信息已被暴露。该公司还被指控虚报数据被盗的客户数量,并说它没有证据表明信用卡信息被盗。
两年后,在Zoetop在暗网上发现据信来自2018年黑客攻击的客户登录信息后,Romwe的客户被告知有数据泄露。当Zoetop最终在2020年12月为所有Romwe客户重新设置密码时,调查发现它告诉客户他们的密码在一年内没有被更改后就过期了。次年2月,它用一条不同的信息取代了这一信息,只说:“我们发现了可疑的活动,请核实您的身份,以便恢复您的账户。”
OAG的调查还发现,Zoetop在黑客攻击时“未能保持合理的安全措施”,包括使用不充分的密码管理系统,以及未能监测安全问题或在发生网络攻击时有一个全面的计划。
该电子商务网站深受世界各地年轻人的欢迎,以最低的价格不断推出服装和配件。据Politico报道,Shein今年的估值超过1000亿美元。
2022年10月12日 星期三
今日资讯速览:
1、伊朗社会抗议引发信息战:国家电视台又遭篡改 播放“杀死最高领袖”
2、暗网市场BidenCash公开超120万信用卡用户信息
3、3000万元采购威胁检测产品,美国农业部向主动安全转型
1、伊朗社会抗议引发信息战:国家电视台又遭篡改 播放“杀死最高领袖”
安全内参10月10日消息,支持伊朗女性抗议浪潮的黑客劫持了该国国家电视台的新闻播报,在画面中放出最高领袖阿亚图拉·阿里·哈梅内伊 (Ayatollah Ali Khamenei)头部被十字准星瞄准并在火焰中燃烧的形象。该视频在互联网上广泛传播。
在上周六晚间的电视转播期间,屏幕上出现了一条简短视频,“你的双手,沾满我们年轻人的鲜血。” “加入我们,站起来。”黑客组织Edalat-e Ali(阿里的正义)宣称对此负责。
在这波抗议浪潮中,活动人士在伊朗首都德黑兰各处公共广告牌上喷涂“哈梅内伊之死”和“警察谋杀人民”等字样。
伊朗库德族22岁女孩玛莎·艾米妮(Mahsa Amini)之死是本轮抗议浪潮的导火索。该事件曝光后,街头抗议再次震动德黑兰等多处伊朗城市。。
伊朗国家通讯社IRNA报道称,“警方使用催泪瓦斯驱散了德黑兰数十个地点的抗议人群”,示威者们“高呼口号,还放火烧毁了公共财产,包括一处警察亭。”
艾米妮9月16日身故以后,民众的愤怒被彻底点燃。就在三天前,这位年轻的库尔德女性因涉嫌违反伊斯兰共和国严格的女性着装规定,而被臭名昭著的道德警察逮捕。
篡改视频还播放了艾米妮和另外三名在镇压中丧生的女性的照片。据总部位于挪威的伊朗人权组织称,这场镇压活动已经夺走至少95人的生命。
伊朗人权组织援引总部位于英国的俾路支激进主义者运动的消息称,9月30日,锡斯坦-俾路支斯坦省一名警察局长强奸一名少女的事件引发了骚乱,导致另外 90 人丧生。
伊斯兰革命卫队一名成员上周六在库尔德斯坦省萨南达吉被杀,另一名卫队成员在德黑兰死于“暴徒武装袭击导致的头部重伤”。根据IRNA的统计,目前革命卫队方面的死亡人数已经增加至14人。
“到处都是抗议”
伊朗遭受了近三年来最严重的一波社会震荡,包括大学生及年轻女学生在内的抗议人群高呼“女性、生活、自由”口号。
美国活动家兼记者奥米德·梅马里安(Omid Memarian)在推特上说,“来自德黑兰的视频表明,这座城市里到处都是抗议,已经蔓延到了每一个角落。”
根据亨沃格人权组织称于上周六录制的视频,在艾米妮的家乡库尔德斯坦萨基兹,女学生们高呼口号并走上街头,在空中挥舞着头巾。
尽管伊朗已经全面中断了国内互联网连接,封锁了各大主要社交媒体平台,但该国惨烈的对抗、特别是令人毛骨悚然的血腥镜头仍然在网络之上广为流传。
其中一段视频显示,在库尔德斯坦首府萨南达吉,一名男子被枪杀在自己的车内,该省警察局长阿里·阿扎迪(Ali Azadi)随后称此人是“被反革命势力所杀害”。
另一段在网上引起轩然大波的视频中,愤怒的男人们似乎将一名巴斯基民兵围住,并疯狂殴打。
还有视频片段显示,据称在伊朗东北部的马什哈德,一名年轻女性被枪杀。
社交媒体上许多用户表示,这让人想起妮达-阿迦-索尔坦的遭遇。这位年轻女性在2009年的抗议活动中被枪杀,随后长期成为伊朗反对派的象征。
抗议者的对抗策略
面对暴力与网络限制,抗议者们采取了新策略,开始在公共场所传播自己的抵抗信息。
德黑兰莫达雷斯高速公路立交桥上挂起一面巨大的横幅,写道“我们不再害怕,我们将要抗争。”法新社核实了图片的真实性。
在其他画面中,还能看到一名手持喷漆罐的男子将一条高速公路上的政府广告牌,从“警察服务人民”改成了“警察谋杀人民”。
有传言称,伊朗首都多个喷泉景观被染成血红色。但德黑兰市政公园组织负责人阿里·穆罕默德·莫赫塔里(Ali Mohamad Mokhtari)反驳道,“这种说法纯属造谣,德黑兰的喷泉颜色没有任何变化。”
伊朗指责有外部势力在煽动抗议活动,否则全球数十个城市不可能同时组织起群体示威。与此同时,美国、欧盟及其他多国政府都对伊朗出台了新的制裁。
关于艾米妮的死,伊朗政府上周五公布了法医的调查结果,表示她的死因是长期健康问题,并非活动人士宣称的头部受到打击。
艾米妮的父亲则向总部位于伦敦的伊朗国际组织驳斥了官方的说法,“我亲眼看到玛莎的耳朵和后颈流出了鲜血。”
2、暗网市场BidenCash公开超120万信用卡用户信息
暗网市场 BidenCash 近日公开了超过 120 万信用卡用户细节。援引国外科技媒体 BleepingComputer 报道,这些泄漏的信息包括卡号、过期时间、CVV 号码、卡片持有人名称、银行名称、卡片类型、家庭住址、电子邮件地址、身份证号码和手机号码等等。这些信息足以让网络犯罪分子进行财务欺诈和身份盗窃。
这些泄露的信用卡持卡人主要来自美国,此外还有来自印度、巴西、英国、墨西哥、澳大利亚、西班牙和中国。其中大部分信用卡的有效期到 2023 年,有些甚至到 2026 年。
此次泄密似乎是 BidenCash 在其此前商店域遭受分布式拒绝服务(DDoS)攻击后对其新商店域的促销活动。为了确保更广泛的范围,网络犯罪分子通过公共网络域以及各种黑客和卡片论坛分发 URL。
像这样的暗网信用卡转储通常是骗局,因为其他信用卡转储仅包含虚假数据或以新名称打包的旧转储中的回收数据。然而,网络安全公司 D3Labs 证实,大约 30% 的信用卡是有效的,这意味着大约 350,000 张信用卡仍然有效。
3、3000万元采购威胁检测产品,美国农业部向主动安全转型
安全内参10月11日消息,美国农业部首席信息安全官Ja’Nelle DeVore称,该部门在SolarWinds漏洞期间发现其安全运营存在隐患。为此,农业部向联邦技术现代化基金(TMF)申请440万美元(约人民币3160万元)经费,款项已经于今年5月到账。
在上周四(10月6日)的ACT-IAC网络研讨会上,Ja’Nelle DeVore发表讲话称,农业部虽未直接受到SolarWinds漏洞的影响,但期间曾经历一次次生攻击。因此,农业部决定申请资金,用于强化自身威胁监控、检测与响应能力。
SolarWinds漏洞事件影响了9家美国联邦政府机构,致使其在9个月内处于易受攻击状态。该问题直到2020年12月才被发现。此后,农业部意识到必须采用新的软件工具来加强网络态势,并实施零信任安全架构。
DeVore解释道,“我们发现了自身安全缺口,而之所以选择申请专项资金,是因为我们凑不足这笔用于购置安全工具的款项。于是,我们决定向基金会求助。”
该项目正在进行当中,美国农业部还在努力对其安全运营中心(SOC)进行认证,将其作为共享服务提供给其他机构。DeVore表示,距离这一SOC即服务方案的孵化还需要几年时间。
农业部还邀请国土安全部对其安全运营中心开展独立评估,并提出成熟化改进建议。
DeVore指出,“他们给出了非常好的独立评估意见,也整理出路线图以补充调查结果,并对部分发现做出了修正。”
此外,美国农业部还在考虑建立内部蓝队,即保护性网络安全团队。但眼下最大的难题,就是每当网络安全与基础设施安全局(CISA)发布新的指令或审计要求时,农业部都需要定期重新确定该要求的优先级。
农业部还成立了一支由不同任务领域的企业架构师及网络雇员组成的综合项目团队(IPT),负责管理2021年网络行政令及后续指南中提出的140多项要求的具体实施。DeVore指出,组建综合项目团队是一种灵活方法,能够帮助农业部在2024年之前按计划完成联邦政府零信任战略划定的五大安全支柱。
各级机关此前已经针对网络供应链威胁的应对工作开发出合同语言,农业部得以借此将采购团队也纳入综合项目团队,并针对行政令中的不同要求开发用例。
除了技术现代化基金项目之外,农业部还有意划拨部分现有预算,来完成威胁监控工作。
DeVore总结道,“目前,我们还未真正开始申请大笔资金。但可以想象,随着我们依照行政令要求和零信任原则指明的路线前进,农业部还将需要额外的资金支持。”
2022年10月11日 星期二
今日资讯速览:
1、网信办:9 月全国受理网络违法和不良信息举报 1518.8 万件,同比下降 0.4%
2、日本IPA发布2022年版《信息安全白皮书》
3、美国第四大医疗系统CommonSpirit Health疑似遭勒索软件攻击
1、网信办:9 月全国受理网络违法和不良信息举报 1518.8 万件,同比下降 0.4%
IT之家 10 月 10 日消息,中央网信办举报中心数据显示,2022 年 9 月,中央网信办举报中心指导全国各级网信举报工作部门、主要网站平台受理举报 1518.8 万件,环比下降 5.2%、同比下降 0.4%。
其中,中央网信办举报中心受理举报 58.9 万件,环比下降 30.1%、同比增长 31.1%;各地网信举报工作部门受理举报 76.2 万件,环比下降 7.7%、同比下降 29.0%;全国主要网站平台受理举报 1383.7 万件,环比下降 3.6%、同比增长 0.8%。
IT之家了解到,在全国主要网站平台受理的举报中,主要商业网站平台受理量占 52.3%,达 723.8 万件。
2、日本IPA发布2022年版《信息安全白皮书》
2022年7月15日,日本信息处理推进机构(IPA)发布了2022年版《信息安全白皮书》。IPA自2008年开始发布年度《信息安全白皮书》,内容包括与信息安全有关的日本国内外政策、威胁动向、发生事件情况、所受影响情况等。除了这些固定内容之外,IPA每年还会选择代表性事件,采用官方和民间的各种数据和资料并进行分析。
今年白皮书以“动摇的常识,增强的威胁:面对预想之外”为年度标题,分章节阐述了信息安全事件及脆弱性的现状和对策;介绍了日本国内和国际的信息安全政策、信息安全人才的现状、信息安全措施;最后概述了控制系统、物联网、云的信息安全,以及美国和欧洲的信息安全政策等。本文对其中部分内容进行译介评论,仅供参考。
2022年版《信息安全白皮书》
情報セキュリティ白書2022
编译:学术plus高级观察员 乔
本文主要内容及关键词
1.2022年信息安全十大威胁:钓鱼欺诈成为个人信息安全最大威胁,组织信息安全威胁中,“勒索软件攻击”位居榜首,“零日攻击”是最新威胁
2.信息安全事件与应对策略
①表:2021.4-2022.3主要信息安全事件与政策动向
②信息安全事件特点:网络犯罪损失日益加剧,供应链相关事故与漏洞攻击数量翻倍;信息泄露主要由于web应用数量增加;新增针对工业控制系统的病毒;疫情下远程办公使得VPN和远程桌面病毒比例增加
③应对对策
3.日本政府网络安全政策:政府发布《网络安全2021》,各省厅的具体政策与措施
4.评析:日本最新版信息安全白皮书对全球信息安全进行了整体描述与分析,近一年内,勒索软件手段复杂程度加剧,针对系统漏洞和供应链攻击成为热点,远程办公相关攻击成为新的安全问题,需要及时更新防护技术手段并增强安全意识
内容主要整理自外文网站相关资料
仅供学习参考,欢迎交流指正!
文章观点不代表本机构立场
*****
机构介绍
日本IPA致力于研究IT界技术动向、强化信息安全对策、培养优秀IT人才,追求实现安全且便利的“可依赖的IT社会”;下设有产业网络安全中心、安全中心、社会基础中心、IT人才培养中心等。
01 2022年信息安全十大威胁
日本IPA从2006年开始,每年都会由信息安全专家投票,从上一年度发生的安全事故中选出对信息安全的十大威胁,并向社会公布。具体分为“个人”和“组织”信息安全威胁两类。
2022年版个人信息安全威胁排名依次为:钓鱼骗取个人信息、网络诽谤中伤造谣、使用邮件和短消息服务工具通过胁迫和诈骗等手法获利、信用卡信息的非法使用、手机支付的非法使用、伪装成虚假警告的网络欺诈、非法app对手机用户的损害、网络服务窃取个人信息、网络银行的非法使用、因特网上服务的非法登录。
2022年版组织信息安全威胁排名依次为:勒索软件攻击、被标靶型攻击窃取机密信息、滥用供应链弱点的攻击、针对远程办公等新型办公方式的攻击、内部非法泄露信息、随着脆弱性对策信息的公开而导致滥用、针对补丁公开前的攻击(零日攻击)、商务邮件诈骗导致金钱损失、IT基础故障导致业务停止、不慎而导致信息泄露。
图:2022年版信息安全十大威胁
“钓鱼欺诈”成为个人信息最大威胁。2022年版“个人信息威胁”方面排名虽然有变动,但是威胁内容与去年及前年都基本相同。从2019年开始连续两年排名第二的“钓鱼骗取个人信息等”,此次首次获得第一名。钓鱼欺诈是指通过发送伪称实际存在的官方机构或著名企业的邮件和短消息服务(SMS)等,将受害者引导到模仿正规网站的钓鱼网站上,使其输入个人信息和认证信息等。2021年还发现了很多伪装大型EC网站和金融机构等的手法。
“受到勒索软件攻击”位居“组织信息威胁”榜首。2021年,日本的企业和医院也多次遭遇勒索软件攻击,从而引起社会关注。近年来的勒索软件攻击,以与标靶型攻击同样的手段侵入企业组织的网络,不仅加密数据,还威胁将数据公开,从而导致受害者不得不支付赎金。2022年版白皮书称,针对勒索软件的猖獗,须切实进采取多方面措施,例如病毒对策、非法访问对策、脆弱性对策等。另外,考虑到任何组织都有可能遭受袭击,须做好事前准备,例如制定备份和恢复计划等。
“针对补丁公开前的攻击(零日攻击)”成为组织信息安全最新威胁。“组织信息威胁”方面10项威胁中有9项和去年相同。“针对补丁公开前的攻击(零日攻击)”首次上榜,且位列第7,取代了去年排在第8位的“非法登录互联网服务”。零日攻击是一种利用打补丁前脆弱性的攻击。2021年12月,Java用的日志输出库“Apache Log4j”的脆弱性对策信息与已经观测到攻击的信息同时公开。“Apache Log4j”具有记录网站后端的Web服务器等所进行操作的功能,在全世界的程序中广泛使用,因此广受关注。在零日攻击的情况下,在提供补丁的时候已经进行了攻击,所以除了脆弱性对策之外,引进检测/防御外部入侵的机器等准备措施也很重要。
02 信息安全事件与应对策略
该白皮书内列出了2021年4月至2022年3月发生的主要信息安全事件、信息安全政策等,其中引人注目的是勒索软件、非法访问等。2021年发生了多起影响广泛的供应链事件,例如2021年5月,美国东海岸的燃料运输停止了6天,在社会上产生了巨大影响。
表:2021年度信息安全概况(2021年4月至2022年3月)
信息安全事件表现出以下主要特点:
网络犯罪的申报件数和损失金额每年都在增加。美FBI称,网络犯罪的数量和损失金额过去5年持续增长,2021年受害总额达到69亿美元。2021年勒索软件的手法日益巧妙,针对供应链相关的事故和漏洞攻击也不断发生。日本警察厅称,2021年下半年的报案件数是前一年同期的4倍
信息泄漏的原因主要是由于Web应用数量的不断增加;还发现了对工业控制系统产生影响的病毒
勒索软件所导致的损失也在扩大,其主要感染手法是“钓鱼”和“恶意利用脆弱性”;作为勒索软件病毒的感染途径,VPN和远程桌面的占比正在增加。白皮书中称,这是由于疫情扩大导致远程工作而显现出来的威胁
信息安全事件的应对对策包括:
应对标靶型攻击,用户需要提高对“事前调查”和“初期侵入”阶段中可疑邮件的警惕(标靶型攻击分为“事前调查”、“初期侵入”、“系统调查”、“构筑攻击基础”、“完成攻击最终目的”等阶段)
应对勒索软件攻击时,可安装检测病毒的杀毒安全软件
应对攻击邮件的措施如:邮件过滤功能、检测和隔离可疑邮件、应对非法应用的措施等
在已经感染勒索软件时,应对措施包括:从备份恢复数据;通过加密文件来管理访问,控制受害范围;将处理机密信息的网络与普通业务分离;强化企业的应对体制等
应对以钓鱼和病毒感染为目标的商业邮件欺诈的措施包括:平时加强员工网络安全意识的培养;实现信息共享,尽快发现可疑邮件等
应对恶意利用VPN和Microsoft产品漏洞的攻击的措施包括:每天收集关于新漏洞的信息;在漏洞公开时迅速采取相应措施等
03 日本政府网络安全政策
日本政府“网络安全战略”。日本政府关于网络安全的整体政策,是根据每3年修订一次的“网络安全战略”展开的,且每年都会制定年度计划,作为具体措施。2021年9月政府通过的《网络安全战略》中,列举了4个项目的概要,并根据各政策项目制定了2021年度计划《网络安全2021》,其主要内容是:经济社会活力的提升及持续发展,实现国民安全安心生活的数字社会,国际社会的和平与稳定,日本的安全对保障的贡献等。
日本各省厅的具体政策与措施。例如经济产业省负责建设融合网络空间和物理空间的整体供应链的安全对策,从制度、标准化、经营、人才、商务等各种观点来研究和实施。
相关机构包括:产业网络安全研究会、企业隐私治理模式研讨会、安全经营及人才确保措施研究工作组、网络救援队(J-CRAT)等;制度方面则包括技术等信息管理认证制度、信息安全服务审查登记制度、J-CSIP(网络信息共享倡议)等。
04 评析
日媒有评论称,此次最新版信息安全白皮书概述了信息安全方面的内容,包括国内和国际威胁、实际事件、政策趋势等。2021年,勒索软件的手段越来越复杂,危害不断扩大,供应链相关事件和针对漏洞的攻击不断发生。日本受到的勒索软件危害也迅速增加,其中54%为中小企业,双重勒索则占总数的85%。
总体而言,2021年的攻击变得更加巧妙,主要通过系统漏洞和供应链进行入侵的方式进行,并构成了严重的威胁。另一方面,用于远程办公的VPN等应对漏洞的措施还不充分。随着远程办公的推进,数字化在生活和工作中不断深入,原本认为安全可靠的设备和系统可能会被发现漏洞遭到攻击,所以需要进一步提升信息安全的风险意识并不断更新防护技术与手段,以应对不断变化的新的生活和工作方式与新的安全威胁。
3、美国第四大医疗系统CommonSpirit Health疑似遭勒索软件攻击
美国大型连锁医院之一疑似遭到勒索软件攻击,导致手术延迟、患者护理中断以及在全国范围内重新安排医生预约。拥有逾 140 间医院、被《贝克尔医院评论》(Becker's Hospital Review)杂志评为全美第四大医疗系统的 CommonSpirit Health 本周二宣布遭遇“IT 安全问题”,迫使某些系统宕机。
虽然 CommonSpirit 拒绝透露具体细节,但一位熟悉其补救措施的人士向 NBC 新闻证实,它遭受了勒索软件攻击。CommonSpirit 也拒绝分享有关其有多少设施出现延误的信息。然而,包括田纳西州的 CHI 纪念医院、德克萨斯州的一些圣卢克医院和西雅图的弗吉尼亚梅森方济会健康中心在内的多家医院都宣布受到影响。
一位不愿透露姓名以保护家人的医疗隐私的德克萨斯州妇女说,她和她的丈夫已于周三抵达 CommonSpirit 附属医院进行此前计划的大手术,但医生推荐等待医院的技术问题修复之后再进行手术。
对医疗保健链的勒索软件攻击相对普遍,两年多来一直是美国医疗系统的频繁部分。即使攻击没有关闭医院,它也可以使部分或全部数字系统脱机,从而切断医生和护士对数字信息的访问,例如患者记录和护理建议。
2022年10月10日 星期一
今日资讯速览:
1、拜登签署行政命令 制定新框架保护美国和欧盟之间的数据传输
2、厌倦了数据泄露让印尼人破罐破摔 开始反向支持暴露13亿张SIM卡信息的黑客
3、Telegram创始人称WhatsApp是被植入了后门的“监视工具”
1、拜登签署行政命令 制定新框架保护美国和欧盟之间的数据传输
据CNBC报道,白宫周五宣布,美国总统拜登签署了一项行政命令,以实施一个新的框架,保护美国和欧洲之间共享的个人数据隐私。新框架填补了大西洋两岸数据保护方面的一个重大空白,因为欧洲法院在2020年撤销了之前的版本。法院认为,美国有太大的能力来监视通过先前的系统传输的欧洲数据。
时任美国商务部副部长James Sullivan在裁决后不久的一封公开信中写道:“这个被称为Schrems II的法庭案件,对公司以符合欧盟法律的方式将个人数据从欧盟转移到美国的能力产生了巨大的不确定性。” Sullivan写道,这一结果使得美国公司需要临时使用不同的“欧盟批准的数据传输机制”,为企业带来更多的复杂性。
所谓的隐私保护2.0旨在解决欧洲对美国情报机构可能进行监控的担忧。3月,在美国和欧盟原则上同意新框架后,白宫在一份概况介绍中说,美国 “承诺实施新的保障措施,以确保信号情报活动在追求确定的国家安全目标时是必要和相称的”。
新的框架将允许欧盟的个人通过一个由美国政府以外的成员组成的独立数据保护审查法庭寻求补救。根据3月份的概况介绍,该机构 “将有充分的权力对索赔进行裁决,并根据需要指导补救措施”。
在提交给DPRC之前,美国国家情报总监办公室的公民自由保护官员也将对投诉进行初步调查。其决定也具有约束力,但须经独立机构的评估。
该行政命令指示美国情报界更新政策和程序,以适应框架中的新隐私保护措施。它还指示隐私和公民自由监督委员会(一个独立机构)审查这些更新,并对情报界是否完全遵守具有约束力的补救决定进行年度审查。
“欧盟-美国数据隐私框架包括加强信号情报的隐私和公民自由保障的有力承诺,这将确保欧盟个人数据的隐私,”美国商务部长吉娜·雷蒙多周四告诉记者。
雷蒙多说,她将把美国相关政府机构的一系列文件和信件移交给她的欧盟同行、专员迪迪埃·雷恩德斯,概述该框架的运作和执行情况。
白宫表示,欧盟随后将对这些措施进行“充分性鉴定”。它将评估数据保护措施的充分性,以恢复数据传输机制。
美国科技公司和行业团体对这一措施表示赞赏,其中Meta的全球事务总裁尼克-克莱格在Twitter上写道:“我们欢迎美国法律的这一更新,这将有助于维护开放的互联网,使家庭、企业和社区保持联系,无论他们在世界何处。”
行业组织TechNet的总裁兼首席执行官Linda Moore在一份声明中说:“我们赞扬拜登政府采取积极措施,确保美国和欧洲跨境数据流动的效率和效果,并将继续与政府和两党国会议员合作,通过一项联邦隐私法案。”
但一些消费者和数据隐私监督机构批评了数据保护的程度。
欧洲消费者团体BEUC在一份新闻稿中说,该框架 “很可能仍然不足以保护欧洲人的隐私和个人数据,当它跨越大西洋时”。该组织补充说,“在解决与个人数据的商业使用有关的问题方面没有实质性的改进,在这个领域,以前的协议,即欧盟-美国隐私盾牌,没有达到GDPR的要求”,其指的是欧洲的《通用数据保护条例》。
美国公民自由联盟国家安全项目的高级律师Ashley Gorski在一份声明中说,该命令 “走得不够远。它未能充分保护美国人和欧洲人的隐私,也未能确保隐私受到侵犯的人的诉求将由完全独立的决策者解决”。
2、厌倦了数据泄露让印尼人破罐破摔 开始反向支持暴露13亿张SIM卡信息的黑客
8月31日,一个名为Bjorka的用户在一个名为Breached Forums的鲜为人知的网站上发布了一条信息,标题很平淡。"印度尼西亚SIM卡(电话号码)注册13亿"。这几个字预示着对13亿张SIM卡注册的巨大数据黑客攻击--它揭示了国民身份号码、电话号码、电信供应商的名称等等。
印度尼西亚人在混乱中惊醒,并迅速转为愤怒。通信和信息技术部(Kominfo)的回应是,告诉公民他们有责任定期更换密码。这一甩锅的做法让印尼政府部门成了顶流,网民们并开起了苦涩的玩笑。一位官员在一次新闻发布会上无奈地恳求Bjorka。"如果你可以,请不要攻击。""别再当白痴了,"比约卡在他们的Breach账户上反唇相讥。
数字权利组织Safenet将Bjorka事件称为亚洲有史以来最大的数据泄露案件,如果不是如此普遍,可能会更令人震惊。
印度尼西亚人的数据以如此快速和有规律的速度曝光,以至于公民们开玩笑地称其为"开源国家"。
2020年,包括电子商务巨头Tokopedia和Bukalapak在内的公司泄露了超过1亿用户的个人数据。第二年,一名黑客攻破了BPJS Kesehatan的数据库,这是该国的医疗保健和社会保障机构,暴露了2.79亿人的国民身份证号码等,其中一些人已经去世。
经过多年来越来越肆无忌惮的泄密事件,印度尼西亚人的挫败感达到了沸点--这足以促使9月份匆忙通过一项拖延已久的个人数据保护法案,并成立了一个专门负责追捕黑客Bjorka的特别小组。
在一个转折点上,许多印度尼西亚人甚至站在了黑客一边,黑客声称实施这次入侵是为了暴露数据管理的不完善。伴随着又一次公民数据泄漏,Bjorka在Kominfo部长Johnny G. Plate生日当天公开挑战:"生日快乐!"据报道,攻击者在他们的Telegram频道,Bjorkanism发布了一系列主管官员的身份细节,从他的地址到家庭电话号码到疫苗ID。
"2018年,[Kominfo]强迫我们用[政府身份证]注册电话号码,承诺我们没有垃圾邮件,"网络安全顾问Teguh Aprianto在Twitter上指出。"[不仅]我们没有摆脱垃圾邮件,[而且]注册数据......反而被泄露和出售。"这条推文迅速被分享了17000多次,并被大约27000个账户所点赞--这只是在社交媒体上飞舞的一系列针对Kominfo的愤怒帖子和标签中的一个。
Kominfo和国家网络和加密机构(BSSN)没有对评论请求作出回应。
东爪哇省马朗市的讲师玛丽亚姆-贾梅拉(Maryam Jameelah)承认,当在新闻上看到最近的数据泄露案件时,感到很受打击。两年前,Jameelah是Tokopedia数据泄露事件的受害者之一,几个月来,她会收到从未做过的交易账单。
"我不得不改变我的号码和我所有的账户,"Jameelah告诉Rest of World。"这非常令人不安。"
Mulyadi是一家四大公司的IT审计师,他认为印尼政府有责任,并希望采取进一步行动。Mulyadi说:"聘请一名顾问,调查哪些数据被入侵,根本原因是什么,以及下一步是什么,"他还对发送到他私人号码的垃圾邮件感到沮丧。"对我们来说,重要的是知道有一个具体的行动。"
尽管个人数据保护法案已经通过,其中详细规定了在数据泄露的情况下对数据处理者和公司的刑事制裁,但专家们说,这些新措施是暂时的,旨在冷却印度尼西亚人的愤怒。
"这取决于谁是[工作队]的成员。他们有能力吗?"媒体追踪网站Drone Emprit的创始人Ismail Fahmi告诉Rest of World。"这只是短期的。"
这个问题的核心是对数据安全的拼凑方法。一位政府官员向媒体表示,公司经常与印尼内务部门分享国民数据,以核实他们的身份。一些国家部门被授权保护公民私人数据的某些部分,这些部门包括Kominfo、BSSN、内政部和国家警察。因此,当泄漏发生时,并不总是清楚泄漏的源头:是来自政府机构还是公司本身。
这些国家部门也应该一起工作。但是缺乏协调,而泄密却很猖獗。例如,Kominfo主持通信、信息和互联网法律;BSSN的任务是改善系统,防止黑客攻击;而警方的网络犯罪部门则负责执行网络犯罪相关法律,包括黑客攻击、网络污损、仇恨言论、欺诈和数据盗窃。同时,内务部作为所有印度尼西亚人的民事记录的持有者,预计将拥有一个无懈可击的安全系统。
这位政府官员向Rest of World解释说,当数据泄露发生时,Kominfo、国家网络安全机构BSSN和平台都在进行调查,但没有系统让他们充分协调结果。
这位官员说:"不幸的是,[国家部门]几乎从不与Kominfo分享他们的调查结果,所以该部往往被迫只根据合规信息提出建议,"这样松散的部门构成了基本的安全框架。
现在,印尼人的大部分希望似乎都取决于个人数据保护法案和随后将建立的新的权力机构。总统将有特权决定谁将成为新机构的成员。
政策研究和宣传研究所(ELSAM)的执行主任Wahyudi Djafar告诉Rest of World,他支持法案中关于建立数据保护机构的规定。但是,贾法尔警告说:"如果该机构不是作为一个独立的机构建立的,就很难保证法案的有效性"。
"挑战在于这个机构的权力有多大,[这]将完全取决于总统的诚意,"贾法尔补充说。
3、Telegram创始人称WhatsApp是被植入了后门的“监视工具”
WhatsApp在全球拥有20多亿月度活跃用户,是世界上最受欢迎的移动信息应用。但竞争对手Telegram的创始人认为人们应该远离Meta的产品,他称其是一个不断存在安全问题的监视工具。
当地时间周四,Pavel Durov在他的Telegram频道中写道,人们应该使用他们喜欢的任何消息应用,但一定要远离WhatsApp--因为它现在已经成为一个监视工具13年了。
Durov指的是上周在WhatsApp中发现的两个安全问题,这些问题可能允许在特定设备上远程执行代码。黑客只需要跟受害者建立视频通话或向他们发送一个专门制作的视频文件即可。此后,WhatsApp发布了安全更新以解决这些漏洞。
这位现在自我流放的俄罗斯人指出,即使将WhatsApp升级到最新版本也不能完全保证安全。他指出,在2017年、2018年、2019年和2020年都发现了跟最近的补丁相同的安全问题。另外他还指出,WhatsApp在2016年之前并没有端到端的加密功能。
“黑客可以完全访问WhatsApp用户手机上的一切,”Durov写道,“每年我们都会了解到WhatsApp的一些问题,从而使他们的用户设备上的一切都处于危险之中。”
Durov指出,这些安全问题不是偶然的,而是被植入了后门,每当发现和删除以前的后门就会增加一个新的后门。“如果你是地球上最富有的人,这并不重要--如果你的手机上安装了WhatsApp,那么你的设备上的每一个应用的所有数据都可以访问。”
这句“地球上最富有的人”指的是前世界首富杰夫·贝佐斯。这位亚马逊创始人的手机在2018年通过一条据称来自沙特王储穆罕默德-本-萨勒曼账户的WhatsApp视频信息被黑。
很容易想象Durov贬低WhatsApp以吸引更多用户到他的平台。但这位CEO指出,Telegram的7亿活跃用户和200万日注册用户意味着这项注重隐私的服务不需要任何额外的宣传。
当被问及Durov的说法时,Meta的一位发言人告诉媒体:“这完全是胡说八道。”
Meta并不是第一个面临Durov批评的科技巨头。他还称在2021年抨击过苹果,称其销售来自“中世纪”的“价格过高、过时的硬件”。最近,他有称库比蒂诺通过不更新WebKit来故意削弱网络应用。
除了安全漏洞之外,WhatsApp还面临着大量关于其侵犯用户隐私的指控,包括有争议的Facebook数据共享政策。去年,它还因违反GDPR而被处以创纪录的2.67亿美元的罚款。
2022年10月9日 星期日
今日资讯速览:
1、英特尔第12代Alder Lake CPU的源代码据称在黑客攻击中被泄露
2、科技公司因担心泄密 每年物理销毁数百万个可运行的服务器和硬盘
3、前Uber安全主管Joe Sullivan因向当局隐瞒黑客行为而被判有罪
1、英特尔第12代Alder Lake CPU的源代码据称在黑客攻击中被泄露
VX-Underground在Twitter上表示,在经历一次重大的黑客攻击之后,英特尔第12代Alder Lake的源代码(包括BIOS文件等)在网上泄露。英特尔的Alder Lake CPU于去年11月4日发布,2021年,数据包括容量2.8GB的压缩源代码(完整文档5.86GB),据称泄漏来自4chan。据说该代码库非常庞大,但内容还有待核实。
在第二条推文中,glowingfreak发布了一个GitHub链接,显示了BIOS文件的样貌,并表示它在8天前被分享。根据这些文件,看起来这些数据和文件主要与BIOS和芯片组有关,目前还不知道这一黑客行为是发生在英特尔还是其他供应商,如主要的OEM厂商,因为有文件提到了联想的"功能标签测试信息"。无论这些文件是否是通过黑客攻击英特尔或他们的合作伙伴获得的,它们仍然非常重要,足以给英特尔带来重大的麻烦。
这不会是第一次类似的攻击主流科技厂商的黑客行为。NVIDIA、AMD和Gigabyte最近都被黑客行动影响。
英伟达在2022年初被黑客攻击,一些公司文件和提示未来技术的源代码被泄露出来。
AMD则受到勒索软件攻击,价值450GB的数据被盗,板卡厂商技嘉也有112GB的数据泄露,包括英特尔和AMD产品的机密文件被获取。这些信息泄露了所有三个供应商正在开发的下一代GPU和CPU的细节。
2、科技公司因担心泄密 每年物理销毁数百万个可运行的服务器和硬盘
为了防止数据被盗,有必要完全销毁电脑或硬盘吗?专家们说没有,但科技公司却不相信。Google、微软、亚马逊以及银行、政府机构或执法部门等科技公司每年都会销毁数百万台完全可以运行服务器和硬盘,因为担心黑客会从回收的正常设备当中窃取数据。
《金融时报》的一份报告估计,每年有数以千万计的服务器、硬盘、固态硬盘等被销毁,这些都是公司或政府机构不再需要的,他们并不会清空复写它们,然后转手出售或捐赠。这种做法不仅产生了大量的技术垃圾,而且还产生了强烈的污染效应,因为销毁和制造新硬件都是高能耗的污染过程。
在许多情况下,这些被销毁的设备状况良好,完全可以使用,但公司将其丢弃,因为更好的设备已经出现,或者他们不再需要它们。原本这些使用过的服务器和硬盘可以完全擦除,然后把它们卖给二手、回收企业,或者捐给处境不利的国家、非政府组织或学校。
这些公司的员工声称,这样做是为了防止黑客窃取存储在上述硬件上的客户数据,因为一旦发生数据泄露,可能导致法律诉讼或使公司名誉受损。
这也意味着技术公司自己都不信任数据清除软件。有趣的是,在许多情况下,这些号称可以阻止泄密的软件是他们销售的。
但专家认为,如欧盟委员会的Felice Alfieri所说,保证使用高质量的擦除软件,存储介质上的数据实际上已经被破坏,无法恢复。而另一方面,对公司本身来说,销毁服务器和硬盘比重新部署和调节硬件再换下备件出售或捐赠更快、更省钱。
3、前Uber安全主管Joe Sullivan因向当局隐瞒黑客行为而被判有罪
前优步(Uber)首席安全官乔·沙利文(Joe Sullivan)因掩盖 2016 年大规模数据泄露,近日被美国联邦法院被判有罪。在这起数据泄露中,有黑客下载了超过 5700 万用户/网约车司机的个人信息。
从优步窃取的信息包括 5000 万用户和 700 万网约车司机的姓名、电子邮件和联系方式等,此外还有 60 万网约车司机的行驶证信息。
据《纽约时报》和《华盛顿邮报》报道,陪审团判定沙利文犯有两项罪名:一项是未向 FTC 披露违规行为而妨碍司法公正,另一项是藐视罪,向当局隐瞒重罪。
沙利文原本面临三项电汇欺诈罪,但检察官在 8 月驳回了这些指控。沙利文曾在包括 Facebook 和 Cloudflare 在内的其他公司担任安全主管,正如《华盛顿邮报》指出的那样,在这种情况下,他与旧金山美国检察官办公室对峙,他之前曾在该办公室起诉网络犯罪。
沙利文的律师 David Angeli 告诉媒体“不同意”判决,并且他的委托人“在这起事件中以及在他杰出的职业生涯中,唯一关注的是确保人们在互联网上的个人数据的安全。”
2022年10月8日 星期六
今日资讯速览:
1、美国官员透露:黑客在军事组织的网络中保持着“深度存在”
2、一个勒索软件团伙正在发布被黑客获取的洛杉矶学童的数据
3、俄罗斯人躲避征兵动员给诈骗犯罪分子可乘之机
1、美国官员透露:黑客在军事组织的网络中保持着“深度存在”
美国网络安全、执法和情报官员周二透露,复杂的黑客渗入了一个可能的美国军事承包商,并对其系统保持"持续、长期"的访问。国家安全局、网络安全和基础设施安全局和联邦调查局发布了一份详细的、包含通知的联合咨询,解释说在2021年11月,CISA对一个匿名的"国防工业基地(DIB)部门组织的企业网络的恶意活动报告做出了回应"。
CISA发现了一个可能的妥协,并说一些入侵者有"长期访问环境"。官员们说,在闯入后,黑客们利用一个被称为Impacket的开源工具包,"以编程方式"构建和操纵网络协议。
Impacket是一个Python库的集合,它"插入漏洞扫描器等应用程序,使它们能够与Windows网络协议一起工作",Red Canary公司的威胁情报总监Katie Nickels通过电子邮件说。她说,黑客喜欢Impacket,因为它能帮助他们检索凭证、发布命令和向系统发送恶意软件。
官员们说,本案中的数字入侵者还使用了一个定制的数据渗出工具CovalentStealer来窃取敏感数据,并利用国防组织服务器上的一个微软Exchange漏洞来获得远程访问权。在那里,黑客利用被入侵的公司账户进一步渗透到目标组织中。
尼克尔斯说,黑客可能通过利用Exchange的漏洞获得访问权,但"现在没有证据支持这一点,也没有证据表明对手知道ProxyNotShell,"这是指一个新的Exchange服务器零日漏洞。
在过去的几年里,已经有许多Exchange漏洞被报告。她说,鉴于给内部部署的Exchange服务器打补丁有多困难,这些漏洞中有许多没有被修复,并成为攻击的载体。
该公告包括由CISA和第三方事件响应组织发现的损害迹象的细节。CISA、联邦调查局和国家安全局建议国防工业基地和其他关键基础设施组织实施咨询中详述的缓解措施。
访问以获取完整报告:
https://media.defense.gov/2022/Oct/04/2003090705/-1/-1/0/CSA_IMPACKET_AND_EXFIL_TOOL_STEAL_SENSITIVE_INFO_FROM_DEFENSE_INDUSTRIAL_BASE.PDF
2、一个勒索软件团伙正在发布被黑客获取的洛杉矶学童的数据
在一个网络犯罪团伙发布了在勒索软件攻击中获得的数据后,有关洛杉矶联合学区(LAUSD)学生的敏感信息于周六开始出现在网上。洛杉矶联合学区校长阿尔贝托-卡瓦略(Alberto M. Carvalho)在周日通过Twitter发布的一份声明中证实了数据的公布。
该声明说:"不幸的是,正如预期的那样,数据最近被一个犯罪组织发布了,"声明说。"与执法部门合作,我们的专家正在分析这一数据发布的全部内容。"
针对LAUSD--美国第二大学区的勒索软件攻击发生在四个星期前的劳动节周末。虽然没有立即得到官方消息,但许多迹象表明,一个被称为Vice Society的勒索软件团伙专门针对K-12教育机构;被黑的数据现在已经在Vice Society的暗网上公布。
该团伙于9月22日向学区发出勒索要求,这距离攻击发生仅有两个多星期。当时,Carvalho告诉当地记者,Vice Society窃取的信息被认为包含学生姓名和出勤记录,但"很可能缺乏个人身份信息或非常敏感的健康信息"。
不幸的是,这一评估可能过于乐观了。虽然没有正式确认数据泄露内容的细节,但来自NBC洛杉矶的报道援引一位执法部门的消息称,公布的数据包括法律记录、商业文件和一些对学生的机密心理评估。Bleeping Computer还报道说,泄露的数据中的一些文件夹名称表明内容包括社会安全号码、护照信息和"秘密和机密"文件。
根据执法部门的建议,Carvalho从一开始就表示,学区不会通过支付赎金来合作。周五,在数据被发布的前一天,校长向《洛杉矶时报》重申,学区不会与黑客进行谈判。这一声明似乎促使了部分数据的公布,这些数据在黑客最初给出的付款期限前两天被公布。
如果得到证实,敏感的学生信息的发布将是相当具有破坏性的,但也许也是不可避免的勒索软件攻击的升级。对于任何受该事件影响的家长、员工或学生,洛杉矶教育局已经设立了一条热线,以回答问题或处理支持请求。该热线将在周一至周五早上6点至下午3点30分之间提供服务,电话是855-926-1129。
3、俄罗斯人躲避征兵动员给诈骗犯罪分子可乘之机
自从俄罗斯总统弗拉基米尔-普京在乌克兰前线面临挫折后下令进行部分动员以来,俄罗斯男子和国家征兵官员正在进行一场涉及技术和网络犯罪服务的 "猫捉老鼠"游戏。
更具体地说,许多有资格入伍的俄罗斯男子求助于为他们提供捏造豁免权的非法渠道,而那些逃离该国到邻近地区的人则转向使用身份掩饰工具。这种情况为非法服务的卖家创造了一个非常有利可图的环境,使其蓬勃发展。同样,骗子和欺诈者也看到了一个极好的机会,可以利用恐慌的人们大干一场。
试图利用这种情况的第一类骗子是在暗网、电报和其他私人渠道出售伪造文件的网络犯罪分子。骗子们甚至在社交媒体上积极宣传他们的假服务,并在讨论动员的渠道上直接与人们联系。根据俄新社的一份报告,这些骗子向个人提供不适合服兵役的证明,据说可以帮助他们逃避征兵。
承诺包括在48小时内更新地区征兵办公室的数据库,这样征兵官员就不会去找买家了。作为交换,欺诈者要求提供客户的护照复印件和27000卢布(470美元)。一旦支付了这笔钱,骗子就会停止与受害者的沟通,并可能利用窃取的个人资料进行进一步的欺诈,或在暗网上出售这些资料。
以色列网络情报公司KELA也发现了几个在暗网上提供伪造文件制作服务的帖子,声称能够分别以33000和38000卢布(630美元)的价格伪造艾滋病毒和肝炎证书。据俄罗斯新闻媒体《生意人报》报道,俄罗斯人大规模出境后出现的另一个有趣的趋势是,对所谓的"灰色"SIM卡的需求增加了50%。
这些SIM卡是人们无需出示身份证件或向电信服务提供商登记真实用户信息就可以获得的。消息人士称,这些SIM卡在MTS、MegaFon、Beeline、Tele2和Yota的网络中运行,并涉及"即用即付"项目。俄罗斯人正在疯狂地寻找这些卡,因为国家可以使用普通的SIM卡来追踪有资格服兵役的年轻人,并有可能在边境阻止他们。
所有这些导致俄罗斯边境官员现在根据人们的IMEI(国际移动设备身份)进行追踪,这是一个与设备的硬件而不是SIM卡相关的独特的15位数字标识。据俄罗斯互联网权利组织Roskomsvoboda称,有多份报告显示,FSB特工在穿越格鲁吉亚、哈萨克斯坦和芬兰边境时,强迫人们交出他们的IMEI号码。
IMEI追踪的工作原理是利用电信天线进行近似的位置三角测量,这要归功于移动运营商将号码储存在他们的数据库中。IMEI包含在每一个数据交易和通信请求中,从设备到相邻的天线,所以它是一个持久的标识符。追踪软件也使用这个系统,承诺找到你丢失或被盗的设备,而执法部门也已经使用IMEI多年了。
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)