首页
社区
课程
招聘
[推荐]【每日资讯】 | Meta 组建顶级 AI 团队,欲开发自家 ChatGPT | 2023年2月28日 星期二
发表于: 2023-2-1 10:38 11354

[推荐]【每日资讯】 | Meta 组建顶级 AI 团队,欲开发自家 ChatGPT | 2023年2月28日 星期二

2023-2-1 10:38
11354

2023年2月28日 星期二

今日资讯速览:

1、Meta 组建顶级 AI 团队,欲开发自家 ChatGPT


2、网络安全AI投资进入爆发期


3、美国国防部发布《网络空间劳动力资格和管理计划手册》



1、Meta 组建顶级 AI 团队,欲开发自家 ChatGPT


北京时间 2 月 28 日早间消息,当地时间周一,Meta 公司首席执行官马克・扎克伯格宣布,Meta 将会组建一个顶级产品开发集团,专门关注内容生成式 AI 技术。

过去一段时间,科技行业普遍陷入增速放缓,上演了一场大规模裁员浪潮。面对行业低迷,一些科技企业也收缩了对新科技新产品的试验和“豪赌”。不过在一片阴霾之中,AI 已成为科技行业大举投资的新亮点。

在 Instagram 帖子中,扎克伯格表示,Meta 公司内部原来有很多研究生成式 AI 技术的团队,现在管理层开始把这些技术团队整合在一起,组建一个新的产品集团,目的是围绕这项技术开发出精彩的产品体验。

扎克伯格表示,Meta 的长远目标是开发 AI 机器人,可以通过各种方式给消费者提供帮助,但是在目前的阶段,Meta 正在开发有关文字(即有关旗下两大移动聊天工具 WhatsApp 和 Messenger)、图片(比如 Instagram 中创意性特效和广告产品)、视频以及混合多模式的产品体验。

Meta 公司发言人证实,这一 AI 产品研发集团的负责人是艾哈迈德・艾达尔(Ahmad Al-Dahle),艾达尔将会向公司首席产品官克里斯・考克斯(Chris Cox)汇报工作。这位发言人表示,这样的组织架构设计,可以让 Meta 旗下的产品以最快的速度整合 AI 研发集团的最新成果。

ChatGPT 的爆火再次引发了科技行业的一场 AI 大战。微软公司投资支持的 OpenAI 发布了 ChatGPT,能够对话和撰稿。在 ChatGPT 的刺激之下,Alphabet、百度等科技公司宣布,将推出自有的类似人工智能对话机器人。

上周,Meta 宣布将推出一个名为“LLaMA”的全新语言模型(语言模型是人工智能对话技术的核心组件)。Meta 表示,研究机构、政府实体、民间社会以及学术界可以通过非商业授权的方式,使用这个语言模型。

【阅读原文】



2、网络安全AI投资进入爆发期


AI(人工智能)正在成为黑客发动网络攻击的首选技术,而企业用户和安全厂商也争先恐后地投资网络安全AI技术,一场大规模的网络安全AI军备竞赛已经拉开帷幕。


根据IDC的预测,未来五年网络安全AI市场的复合年增长率为23.6%,2027年市值将达到463亿美元。


AI成黑客逃避检测的首选技术


全球的网络犯罪团伙和APT组织正在积极招募AI和ML专家设计可以逃避当前威胁检测系统的恶意软件。

从设计无法检测的恶意负载到编写定制的网络钓鱼电子邮件,人工智能和机器学习(ML)正在成为攻击者的首选技术。最近GoDaddy曝出的潜伏多年的网络安全事件中,攻击者利用了人工智能技术来逃避检测,并成功在GoDaddy的系统中驻留多年。

在CrowdStrike Threat Graph记录的所有威胁检测中,近四分之三(71%)是无恶意软件的入侵,越来越多的高级攻击者开始使用(合法)有效凭证来增强在受害者环境中的访问和持久性。

推动网络安全AI发展的另外一个重要因素是新漏洞披露的速度越来越快,与此同时越来越多的攻击者使用人工智能和机器学习技术来提高攻击速度。

例如,攻击者正在使用ChatGPT来改进恶意软件、批量制作个性化网络钓鱼电子邮件,并优化访问凭据窃取算法。

事实上,BlackBerry最近的一项调查发现,51%的IT决策者认为一年内ChatGPT就会被用于实施成功的网络攻击。


网络安全AI进入井喷期


根据IDC的预测,网络安全AI市场的年复合年增长率为23.6%,2027年市场规模将达到463亿美元。

IDC的另一项调查发现,网络安全是所有地区的首要投资领域,但需求各不相同。46%的北美受访者将网络安全视为高优先级事项,这是由对云应用程序和基础设施的高水平投资驱动的。相比之下,分别只有EMEA(28%)和亚太地区32%的EMEA和亚太地区受访者将网络安全视为首要投资领域。

IDC预测,全球基于AI的网络安全市场将从2022年的174亿美元增长到2023年的1027.8亿美元,复合年增长率为19.43%。

根据MarketsandMarkets的报告,预计2023年网络安全AI市场规模将达到224亿美元,到2028年将达到606亿美元,复合年增长率(CAGR)为21.9%。

根据Forrester的报告,到2025年,人工智能(AI)软件市场规模将从2021年的330亿美元增长到640亿美元。网络安全将是人工智能支出增长最快的细分市场,相关支出的复合年增长率(CAGR)高达22.3%。

根据Precedence Research的调查,到2022年,网络安全AI市场的欺诈检测和反欺诈部分占全球收入的22%。该研究公司预测AI增长最快的安全技术领域将包括:

  • 打击欺诈

  • 识别网络钓鱼电子邮件和恶意链接

  • 识别特权访问凭据滥用

其研究还发现,由多云和混合云配置组成的日益复杂的云基础设施推动了对基于人工智能的网络安全解决方案的需求,2032年网络安全AI市场的规模将超过1000亿美元:



安全厂商纷纷加入“AI军备竞赛”


亚马逊、CrowdStrike、谷歌、IBM、微软、Palo Alto Networks等网络安全头部厂商正在优先投资AI和ML研发,以应对日益复杂的威胁和企业客户对新功能的需求。

CrowdStrike去年在Fal.Con上发布大量新产品,Palo Alto Networks也在Ignite "22上动作频频,这些都表明头部安全厂商的工程团队正在紧锣密鼓地将AI投资转化为产品成果。

亚马逊AWS推出的数百种AI相关网络安全服务和微软Azure的零信任开发策略表明,AI和ML已经成为两大云计算巨头研发支出的重中之重。微软的安全业务的年收入约为150亿美元,去年在网络安全研发方面投入了10亿美元,并承诺在未来五年(从2021年开始)投入200亿美元用于网络安全研发。

根据Statista的数据,CrowdStrike在2017-2022财年的研发预算也增速惊人,在威胁图谱、资产图谱、CNAPP和XDR领域的研发投入不断加大。(下图)



AI显然已经成了网络安全头部厂商输不起的战争,各方争先恐后,马不停蹄地将AI和ML专业知识转化为网络弹性系统和解决方案,同时优化其平台的用户体验。


最具潜力的六大网络安全AI应用


AI和ML正在重新定义网络犯罪,犯罪团伙和APT组织不断加强AI技术黑客招聘力度,快速提升AI伪装技术,大力推广勒索软件即服务,企业正在面临输掉AI时代网络安全战争的危机。与此同时,全球企业网络安全支出继续持续强势,导致今年对网络安全AI的投资呈现井喷趋势,其中最热门的网络安全AI应用如下:


1.基于AI的行为分析确实有效


当今企业零信任框架的核心是对网络中所有活动的实时可见性和监控。

基于AI的行为分析通过识别和处理异常情况来提供有关潜在恶意活动的实时数据。事实证明,这种方法很有效,可以帮助CISO及其团队通过分析和理解历史行为,识别数据中的异常,并为正常行为设置基线。

领先的网络安全供应商开始利用AI和ML算法为每位用户的行为和模式实时分配个性化安全角色或配置文件。通过分析多个变量,包括用户尝试登录的地点和时间、设备类型和配置等,实时检测异常并识别潜在威胁。

该领域领先的供应商包括Blackberry Persona、Broadcom、CrowdStrike、CyberArk、Cybereason、Ivanti、SentinelOne、微软、McAfee、Sophos和VMWare Carbon Black。

很多CISO和CIO表示,这种基于AI的端点管理方法降低了设备丢失或被盗的风险,防止设备和应用程序克隆和用户假冒。借助这些技术,企业可以综合分析端点保护平台(EPP)、端点检测和响应(EDR)、统一端点管理(UEM)和交易欺诈检测数据,以提高身份验证的准确性。


2.端点发现和资产管理是当今最流行的网络安全AI用例


IBM商业价值研究院对网络安全中AI和自动化的研究发现,广开开展AI应用的企业正专注于更全面地了解其数字环境(资产)。35%的受访企业正在应用AI和自动化技术来发现端点并改进管理资产的方式,IBM预测这一用例将在三年内增加50%。

漏洞和补丁管理是第二受欢迎的用例(34%),预计在3年内采用率将增加到40%以上。

调查结果表明,越来越多的用户采用AI技术来提高数字资产可见性,帮助他们实现零信任计划。其中最热门的的应用包括端点发现和资产管理、漏洞和补丁管理、访问管理、威胁模拟、身份管理、数据库错误配置发现、数据安全生命周期管理等(下图):



3.IT团队借助AI来提高漏洞和补丁管理能力


在Ivanti的补丁管理调查中,71%的IT和安全专业人士表示,他们认为补丁过于复杂且占用了太多时间来处理紧急项目。超过一半(53%)的受访者表示,漏洞优先级分类占用了他们的大部分时间。

提供基于AI的补丁管理解决方案的领先供应商包括Blackberry、CrowdStrike Falcon、Ivanti Neurons for Patch Intelligence和微软。

“修补并不像听起来那么简单,”Ivanti首席产品官Srinivas Mukkamala说。“即使是人员充足、资金充足的IT和安全团队也会在面临紧迫需求时遇到优先级排序挑战。为了在不增加工作量的情况下降低风险,企业必须实施基于风险的补丁管理解决方案,并利用自动化来识别、确定优先级甚至解决漏洞,无需过多的人工干预。”


4.商业价值和可行性最高的网络安全AI应用:交易欺诈检测


Gartner通过评估商业价值和可行性对网络安全AI用例进行分类。其中交易欺诈检测是最可行的用例,同时具备很高的商业价值。基于文件的恶意软件检测可行性一般,但商业价值很高。

此外,值得关注的是流程行为分析,具有可观的商业价值和中等程度的实施可行性。最后,系统异常行为检测也具有很高的商业价值和可行性,Gartner认为该解决方案有望在企业中成功实施。


5.基于AI的攻击指标(IOA)是网络安全AI市场的催化剂


用AI富化IOA的上下文是推动AI在网络安全领域快速普及的核心催化剂之一。

IOA用于检测攻击者的意图并尝试确定他们的目标,不管攻击中使用的是什么恶意软件或漏洞;而危害指标(IOC)则提供所需的取证,作为攻击行为的证据。

IOA需要借助人工智能和自动化技术来提供关于攻击者意图的准确实时的数据。

CrowdStrike、ThreatConnect、Deep Instinct和Orca Security都是使用AI和ML简化IOC的领导者。其中,CrowdStrike是第一家也是唯一一家基于AI的IOA提供商。

CrowdStrike基于AI的IOA在一个通用平台上结合了云原生ML和人类专业知识,同时将AI生成的IOA(行为事件数据)与本地事件和文件数据相关联以评估威胁。CrowdStrike声称,其技术可与现有的传感器防御层(包括基于传感器的ML和现有的IOA)异步结合使用。


6.检测在网络安全AI用例中占主导地位


当AI集成到更广泛的零信任安全框架中时,将进一步发挥其潜力,因为零信任框架将身份视为新的安全边界。事实证明,基于AI和ML(机器学习)的技术可以有效地扩展以保护作为身份的每个用例,无论是特权访问凭证、容器、设备还是供应商或承包商的笔记本电脑。

ML是AI的一个分支,在基于数据分析检测网络威胁和信息系统漏洞被利用之前识别危险方面已被证明非常有效。AI检测技术能够帮助企业以前所未有的高效率提前识别网络攻击,及时阻止攻击(达成目标),大大缩短平均检测和响应时间,预防和减少企业在安全事件中的损失。

检测在网络安全AI用例中将占主导地位,因为越来越多的CISO清楚地知道,提高网络韧性是提升网络安全战略的最佳途径。企业最高管理层通常希望通过财务指标衡量风险管理的绩效,因此,借助AI快速提高网络韧性是眼下网络安全工作的大势所趋。

【阅读原文】



3、美国国防部发布《网络空间劳动力资格和管理计划手册》

【阅读原文】



2023年2月27日 星期一

今日资讯速览:

1、跨国水果和蔬菜公司Dole遭遇勒索软件攻击


2、谷歌大模型团队并入DeepMind!誓要赶上ChatGPT进度


3、谷歌发布Chrome 浏览器更新 修复10个漏洞



1、跨国水果和蔬菜公司Dole遭遇勒索软件攻击



世界上最大的水果和蔬菜生产商之一Dole(都乐食品)周三晚些时候宣布,它遭受了勒索软件攻击。这一事件迫使该公司暂时关闭了其在北美的生产厂,并停止了对杂货店的发货。


都乐公司在其网站上说:"得知这一事件后,多尔公司迅速采取行动控制威胁,并聘请了领先的第三方网络安全专家,他们一直在与多尔公司的内部团队合作,以补救这一问题并保护系统。"该公司补充说,它已经向执法部门通报了这一事件,并正在配合他们的调查。

美国有线电视新闻网(CNN)之前报道该公司经历了一次网络攻击,严重影响了其运营。都乐公司新鲜蔬菜部门的高级副总裁伊曼纽尔-拉佐普洛斯向零售商发出了以下备忘录:

都乐食品公司正处于网络攻击之中,随后关闭了我们在北美的系统。我们的IT团队正在努力缓解问题,以使我们的系统尽快恢复运行。我们的工厂已经关闭了一天,所有货物都被搁置。我们所有的业务都在执行我们的危机管理协议,以迅速恢复"正常业务",包括我们的手动备份计划(如果需要)。请在我们的导航过程中耐心等待,希望我们能将这一事件降到最低。

感谢你的耐心,你的销售人员将向你通报我们的最新进展。

此前没有报道的黑客事件导致一些杂货店购物者在社交媒体上抱怨,一些商店没有销售都乐预包装的沙拉包。CNN采访了新墨西哥州和德克萨斯州商店的经理,他们说,由于这次攻击,他们无法储存Dole产品。"他们[顾客]很不高兴,但它发生了,"新墨西哥州克莱顿牧场市场的一位农产品经理说。"除了[下订单],我们也无能为力。"

截至目前,还不知道都乐公司如何成为勒索软件攻击的受害者。

【阅读原文】



2、谷歌大模型团队并入DeepMind!誓要赶上ChatGPT进度



为应对ChatGPT,谷歌在大模型方面的动作还在继续。

最新消息,其旗下专注语言大模型领域的“蓝移团队”(Blueshift Team)宣布,正式加入DeepMind,旨在共同提升LLM能力!

图片

DeepMind科学家们在推特下面“列队欢迎”,好不热闹~

图片

蓝移团队隶属于谷歌研究,和谷歌大脑实验室同等级。

图片

之前谷歌耗时2年发布的大模型新基准BIG-Bench,就有该团队的重要贡献。

还有谷歌5400亿大模型PaLM,背后也有蓝移团队成员提供建议。

综合此前消息,DeepMind表示要在今年发布聊天机器人麻雀(Sparrow)内测版本。

如今又有擅长大模型研究的团队加入,强强联手,或许会加快谷歌应对ChatGPT的脚步?

这下有好戏看了。

蓝移团队是谁?

据官网介绍,蓝移团队主要关注的研究点是如何理解和改进大语言模型的能力。

他们专注于了解Transformer的局限性,并挑战将其能力扩展到解决数学、科学、编程、算法和规划等领域。

具体可分为如下几方面分支。

图片

团队的代表性工作有数学做题模型Minerva。

它曾参加数学竞赛考试MATH,得分超过计算机博士水平。

综合了数理化生、电子工程和计算机科学的综合考试MMLU-STEM,它的分数比以往AI高了20分左右。

图片

并且它的做题方法也是理科式的,基于谷歌5400亿参数大模型PaLM,Minerva狂读论文和LaTeX公式后,可可以按照理解自然语言的方式理解数学符号。

作者透露,让该模型参加波兰的数学高考,成绩都超过了全国平均分数。

图片

还有蓝移团队曾和MIT的科学家一起,通过训练大模型学会程序员debug时“打断点”的方式,就能让模型读代码的能力大幅提升。

图片

还有谷歌耗时2年发布的大模型新基准BIG-Bench,蓝移团队全部成员均参与了这项工作。

BIG-bench由204个任务组成,内容涵盖语言学、儿童发展、数学、常识推理、生物学、物理学、社会偏见、软件开发等方面的问题。

图片

以及如上提到的谷歌大模型PaLM,蓝移团队成员Ethan S Dyer也贡献了建议。

官网显示,蓝移团队目前有4位主要成员。

Behnam Neyshabur现在是DeepMind的高级研究员。他在丰田工业大学(芝加哥)攻读了计算机博士学位,后来在纽约大学进行博士后工作,同时是普林斯顿大学高等研究理论机器学习项目组的成员。

图片

研究领域是大语言模型的推理和算法能力、深度学习和泛化等。

Vinay Ramasesh在加州大学伯克利分校获得物理学博士学位,曾致力于研究基于超导量子比特的量子处理器,硕士毕业于麻省理工学院。

图片

最近他主要在研究语言模型,职位是研究科学家。

Ethan Dyer博士毕业于麻省理工学院,2018年加入谷歌工作至今。

图片

Anders Johan Andreassen同样是物理专业出身,博士毕业于哈佛大学。在哈佛大学、加州大学伯克利分校都做过博士后,2019年起加入谷歌。

图片

谷歌还有多少后手?

这次蓝移团队的调动,也不免让外界猜测是否是谷歌为应对ChatGPT的最新举措。

ChatGPT引爆大模型趋势后,谷歌几乎是最先打响“阻击战”的大厂。

尽管加急发布的Bard效果确实有失水准,但这并不意味着谷歌会就此丧失竞争力。

诚如OpenAI之于微软,谷歌也有DeepMind。

DeepMind还是上一轮AI浪潮的引爆者。

消息显示,DeepMind手里也有聊天机器人。

去年9月,他们介绍了一个对话AI麻雀(Sparrow),它的原理同样是基于人类反馈的强化学习,能够依据人类偏好训练模型。

图片

DeepMind创始人兼CEO哈萨比在今年早些时候说,麻雀的内测版本将在2023年发布。

他表示,他们将会“谨慎地”发布模型,以实现模型可以开发强化学习功能,比如引用资料等——这是ChatGPT不具备的功能。

图片

但具体的发布时间还没有透露。

蓝移团队的加入公告中提到,他们是为了加速提升DeepMind乃至谷歌的LLM能力,不知这一动向是否会加速该对话模型的发布。

与此同时,谷歌也没有把目光完全局限在自家开发能力上。

本月初,劈柴哥重磅宣布,斥资3亿美元,紧急投资ChatGPT竞品公司Anthropic——由GPT-3核心成员出走创办。

1月底,该公司内测聊天机器人Claude,

图片

这是一个超过520亿参数的大模型,自称基于前沿NLP和AI安全技术打造。

它同ChatGPT一样,靠强化学习(RL)来训练偏好模型,并进行后续微调。

但又与ChatGPT采用的人类反馈强化学习(RLHF)不同,Claude训练时,采用了基于偏好模型而非人工反馈的原发人工智能方法(Constitutional AI),这种方法又被称为AI反馈强化学习(RLAIF)。

如今,Claude尚未作为商业产品正式发布,但已有人(如全网第一个提示工程师Riley Goodside)拿到了内测资格。有人说效果比ChatGPT要好。

图片

目前,这家公司的最新估值已经达到50亿美元。

总而言之,谷歌虽然在Bard上栽了跟头,但也没把鸡蛋放在一个篮子里。接下来它在大模型上还有哪些新动作?还很有看头。

【阅读原文】



3、谷歌发布Chrome 浏览器更新 修复10个漏洞


谷歌23日面向macOS、Linux 和 Windows 平台,发布了 Chrome 110.0.5481.177 .178 版本更新。本次更新主要修复了10个漏洞,其中包括1个“关键”级别的安全漏洞。在官方更新日志中仅罗列了8个漏洞,其中CVE-2023-0933 为奇安信集团Codesafe团队的Zhiyi Zhang报告,并获得了 11000 美元赏金。

【阅读原文】



2023年2月24日 星期五

今日资讯速览:

1、报告称 macOS 用户主要受广告软件困扰;Windows 用户易受勒索软件攻击


2、五分之一的英国人成为在线诈骗者的受害者


3、因卫星遭攻击,俄罗斯多地广播电台响起虚假空袭警报



1、报告称 macOS 用户主要受广告软件困扰;Windows 用户易受勒索软件攻击



IT之家 2 月 23 日消息,根据网络安全公司 Malwarebytes 公布的最新报告,macOS 和 Windows 用户所面临的网络安全风险存在差异,攻击者针对两个平台采取了不同的攻击策略。

攻击者已经放弃了诸如在 Word 文档中嵌入恶意的宏代码、或者利用 Flash 中的诸多漏洞等传统“广撒网”的攻击手段。

报告中指出,macOS 用户主要面临“欺骗性、复杂、难以删除的广告软件”攻击。Malwarebytes 在 macOS 平台上检测到的 10% 恶意软件,都是来自名为 OSX.Genio 的广告软件。

与许多类型的广告软件一样,Genio 会劫持用户的浏览器并使用它将自己的广告注入到他们的搜索结果中。

虽然从技术上讲是广告软件,但 OSX.Genio 的行为更像恶意软件。它利用系统漏洞授予自己更高的权限;操纵用户的钥匙串;并在未经同意的情况下安装浏览器扩展程序。

报告中指出 Windows 用户近年来主要受到勒索软件的攻击。仅在 2022 年,就有 71% 的公司受到过勒索软件的影响,比上一年增加了 10%。

在 Windows 平台上 2022 年影响最大的勒索软件是 LockBit,它占勒索软件即服务(RaaS)攻击的三分之一。

攻击者不需要自行开发勒索软件,通过购买 RaaS 服务发起攻击。如果攻击者得逞,他们会将一部分钱返还给勒索软件的开发者。

【阅读原文】



2、五分之一的英国人成为在线诈骗者的受害者








据 F-Secure 称,过去有数百万英国成年人成为数字诈骗者的受害者,但四分之一的人没有安全控制措施来保护他们的在线活动。







图片





这家芬兰安全供应商对 1000 名英国人进行了调查,这是一项针对网络安全意识和行为的全球Living Secure研究的一部分。

调查发现,19%(约 1260 万英国人)过去曾被网络欺诈等网络欺诈所骗。据 F-Secure 称,这些事件的影响范围从身份盗窃到数据和密码丢失,甚至毕生积蓄被盗。

然而,根据该报告,尽管有相当一部分人每天平均花八小时上网,但他们仍然没有在网上保护自己。一个原因可能是许多人对前景感到害怕:60% 的受访者表示他们发现网络安全过于复杂。

该报告还强调了受访者态度和意识的矛盾。虽然超过四分之三 (77%) 的人声称他们可以发现诈骗,但大约三分之二的人表示他们担心在线人身安全及其家人的安全,而一半 (48%) 的人表示他们不知道他们的设备是否安全或不。

F-Secure 首席执行官 Timo Laaksonen 表示:“我们的研究强调了我们在网上所做的事情和我们在网上感受到的脆弱程度与我们为减少这种脆弱性而采取的具体行动之间存在明显的脱节。”

“尽管许多英国人经常在网上感到不安全,但他们仍然没有采取足够的安全措施。在现实世界中,你不会愿意将密码和个人数据透露给陌生人,那么为什么要上网去做,冒着成为网络犯罪分子目标的风险呢?”




















根据 FBI 的数据,网络钓鱼是 2021 年报告的案件数量排名第一的网络犯罪类型,身份盗用、爱情欺诈、技术支持诈骗和投资欺诈也位列前 10 名。

同一份报告还发现,投资和爱情欺诈使网络犯罪分子当年的总收入达到 24 亿美元。 

F-Secure 报告的调查结果似乎也预示着企业面临风险,如果员工在企业领域表现出与在家中一样低的安全意识水平。




【阅读原文】



3、因卫星遭攻击,俄罗斯多地广播电台响起虚假空袭警报




安全内参2月23日消息,昨日上午,俄罗斯多个城市商业广播电台突然响起空袭和导弹袭击警报。俄罗斯紧急情况部表示,这些播报是“黑客攻击导致”。
























卫星基础设施被黑,导致多家广播电台播放内容遭劫持











据俄罗斯新闻社(RIA Novosti)报道,俄罗斯最大的媒体公司俄气传媒(Gazprom-Media)称,“针对卫星运营商基础设施的攻击”导致多家广播电台播报了这些假消息。俄气传媒是国有能源企业俄罗斯天然气工业股份公司的子公司。

紧急情况部在声明中指出,“今天早上,某些地区的听众可能从广播电台中听到了警报和指示,要求他们前往掩蔽所躲避空袭。”

紧急情况部称,这是因为卫星受到恶意行为的影响,“电台开始播报未经授权的消息”,并强调警报内容“与事实不符”。紧急情况部的声明中没有提及乌克兰。

俄罗斯地方当局不得不发表公开声明,否认存在导弹袭击威胁。俄罗斯别尔哥罗德州、沃罗涅日州等地区政府怀疑,此次攻击“来自乌克兰一方”。

《俄罗斯日报》援引一位官员的观点称,“其目标是为了传播恐慌”。

沃罗涅日州当局将此次事件描述为“乌克兰政权同伙发起的挑衅,播报内容并不属实。当地情况完全受控,并未发生袭击。”

此前2月21日,俄罗斯总统普京就乌克兰战争发表演讲,乌克兰黑客声称破坏了两家主要电视直播网站。
























空袭警报是真还是假?








俄罗斯政策研究者Oleg Shakirov在推特上发布了此次广播警报的视频,这份视频最初由Telegram用户分享。

图片

还不清楚谁是这场攻击的幕后黑手。但俄罗斯政府一再强调,整个国家和人民正面临危险,认为这是一场由乌克兰实施的特别行动。

上个月,莫斯科市中心的建筑物顶部安装了数个PANTSIR-S1机动防空系统,这里距乌克兰东部前线以北有近1000公里。

尽管有报道称,乌克兰部队已经开始针对俄罗斯领土之内的俄军展开行动,但乌并不具备能够直接打击莫斯科的武器。


【阅读原文】



2023年2月23日 星期四

今日资讯速览:

1、微软 Outlook 垃圾邮件过滤器出现故障,导致用户收到大量垃圾邮件


2、亚洲某两个数据中心被攻击 涉及苹果、微软和三星等公司


3、挪威当局查获Lazarus黑客584万美元加密货币



1、微软 Outlook 垃圾邮件过滤器出现故障,导致用户收到大量垃圾邮件



IT之家 2 月 21 日消息,根据国外科技媒体 The Verge、Windows Central 等多家媒体报道,微软电子邮件服务 Outlook 的垃圾邮件过滤器出现故障,导致用户收到大量垃圾邮件。

Windows Central 主编 Zac Bowden 在推文中表示:“我快要放弃 Outlook 了。我最近几天收到了数量离谱的垃圾邮件”。

论坛、社交媒体、以及文章报道中显示,目前该问题主要存在于 Outlook 个人帐户,企业用户目前暂未报告。

到目前为止的报告表明,该问题仅限于 Outlook 个人帐户,但目前尚不清楚漏洞的严重程度。微软尚未就垃圾邮件未经过滤进入人们收件箱的原因发表声明。

使用 Outlook 的IT之家网友,你近期也遇到这样的问题吗?欢迎在评论区留言。

【阅读原文】



2、亚洲某两个数据中心被攻击 涉及苹果、微软和三星等公司


据外媒21日报道,某黑客入侵了位于亚洲的两个数据中心,窃取了苹果、优步、微软、三星、阿里巴巴等科技公司的登录凭证,并远程访问了这些组织的监控摄像头。安全公司Resecurity最初在2021年9月确定了数据泄露事件,但是直到2023年2月20日,黑客Minimalman才在黑客论坛Breachforums上公开了这些数据。据悉,这两个数据中心都在2023年1月强制所有客户更改密码。

【阅读原文】



3、挪威当局查获Lazarus黑客584万美元加密货币



日前,挪威警察局 Økokrim 宣布,在 Axie Infinity Ronin Bridge 遭到黑客攻击后,没收了Lazarus Group在2022年3月窃取的价值6000万挪威克朗(约合584万美元)的加密货币。在美国财政部牵连朝鲜支持的黑客组织从Ronin跨链桥盗窃6.2亿美元之后的10个多月后,事态发展出现了。


然后在2022年9月,美国政府宣布追回价值超过3000万美元的加密货币,占被盗资金的10%。Økokrim 表示,它与国际执法伙伴合作追查和拼凑资金踪迹,从而使犯罪分子更难进行洗钱活动。

【阅读原文】



2023年2月22日 星期三

今日资讯速览:

1、印度又曝出新冠疫情患者数据泄露,该国卫生部未予置评


2、国家互联网信息办公室关于发布第十一批境内区块链信息服务备案编号的公告


3、印度火车票务平台遭遇大规模数据泄露,涉及超3100万人



1、印度又曝出新冠疫情患者数据泄露,该国卫生部未予置评



安全内参2月21日消息,印度再次曝光一起COVID-19患者数据泄露事件,由印度卡纳塔克邦维护的arogya.karnataka.gov.in数据库已被泄露。兜售的黑客声称,该数据库内包含个人ID、姓名、地址、电话号码、电子邮箱及密码等信息。

从帖子中列出的数据样本来看,泄露的数据包含来自班加罗尔(印度第三大城市)等地区的信息。据称这些数据的源头是由卡纳塔克邦政府维护的数据库,由当地私营实验室负责收集COVID-19相关信息。

迄今为止,卡纳塔克邦登记的COVID-19病例总数超过400万,超过美国俄克拉荷马州、康涅狄格州、犹他州、爱荷华州、内华达州及密西西比州等地的居民数量。

外媒Cyber Express已经就此事向印度卫生部及该邦卫生署发出置评请求,但目前尚未收到回复。


印度的新冠患者数据泄露史


这篇贴子在本周一发布,提供的样本数据包含了从个人ID到电子邮件等多种个人身份信息(PII)。自2022年9月以来,昵称为adma3的发布人就一直活跃在数据泄露论坛上。

此次事件也是新冠疫情爆发,印度着手维护感染数据库以来,政府方面泄露的最新一批患者数据。根据政府官方数据,截至今年2月20日,印度累计确诊病例4470万例,死亡53万人。

2022年1月,印度政府服务器就曾被攻破,导致逾2万民众的个人数据曝光,其中包括姓名、手机号码、居住地址和COVID检测结果。

网络安全研究员Rajshekhar Rajaharia当时发布推特称,这些敏感信息可通过在线搜索轻松访问。

大约同一时间,还曝光了另一起公共卫生数据泄露事件。牙科期刊The Probe当时的一项调查显示,地方卫生部门在未采取任何安全措施的情况下,直接向网站上传了民众的COVID-19数据。


新冠疫情数据泄露不是新鲜事


此前,有恶意黑客声称窃取了4850万新冠疫情相关应用的用户信息。2022年8月10日,有用户在数据泄露论坛上公布了这一消息,并以4000美元价格向潜在买家进行兜售。

贴子附带了一份被盗数据样本,其中包括公民姓名、电话号码、18位身份证号及健康码状态。数据样本里有47人的详细信息,路透社向其中列出的11人求证,发现数据属实。

与此同时,涉事机构某大数据中心表示他们只负责程序开发,否认数据是从他们那里泄露出来的。

【阅读原文】



2、国家互联网信息办公室关于发布第十一批境内区块链信息服务备案编号的公告


根据《区块链信息服务管理规定》,现发布第十一批共502个境内区块链信息服务名称及备案编号。任何单位或个人如有疑议,请发送邮件至bc_beian@cert.org.cn,提出疑议应以事实为依据,并提供相关证据材料。

【阅读原文】



3、印度火车票务平台遭遇大规模数据泄露,涉及超3100万人






RailYatri 黑客攻击发生在 2022 年 12 月,但被盗数据直到近日才在一个著名的黑客论坛上泄露。

在个人信息中,RailYatri 黑客攻击还暴露了印度数百万旅客的详细位置信息。






印度流行的火车票预订平台RailYatri遭遇大规模数据泄露,暴露了超过 3100 万 (31,062,673) 名用户/旅客的个人信息。据信,该漏洞发生在 2022 年 12 月下旬,敏感信息数据库现已在线泄露。

泄露的数据包括电子邮件地址、全名、性别、电话号码和位置,这可能使数百万用户面临身份盗用、网络钓鱼攻击和其他网络犯罪的风险。

目前可以确认该数据库已在 Breachforums 上泄露,Breachforums 是一个黑客和网络犯罪论坛,作为流行且 现已占领的 Raidforums 的替代品出现。




图片





#RailYatri 及其数据泄露 Yatra#















RailYatri 的意思是火车乘客,而 Yatra 代表旅程。RailYatri 数据泄露事件并非黑客利用漏洞窃取和泄露数据的典型案例。事实上,它始于2020 年 2 月,当时网络安全研究员 Anurag Sen 发现了一个配置错误的 Elasticsearch 服务器暴露在公众面前,没有任何密码或安全身份验证。

Sen 指出该服务器属于 RailYatri,并将此问题告知了该公司,该公司最初否认它属于他们。后来,该公司声称这只是测试数据。当时,服务器包含超过 700,000 条日志,总计超过 3700 万条条目,包括内部生产日志。

2020 年,只有在印度计算机应急响应小组 (CERT-In) 介入后,Railyatri 才设法保护其数据;然而,两年后,即 2023 年 2 月 16 日,由于新的漏洞,黑客再次让公司陷入安全漏洞。




图片




“早在 2020 年,当我联系 Railyatri 时,他们从未回复或联系过我,但在我联系 Cert-In 后,服务器关闭了,”Anurag 告诉 Hackread.com。“我报告了印度的各种数据泄露事件;我看到的最常见的问题是,由于印度没有任何类似 GDPR 的法律,这些公司没有被罚款。”Anurag 补充说到。

Anurag认为:“如果公司从一开始就实施适当的网络安全措施,本可以避免最新的数据泄露事件。”

建议所有用户更改密码并在其帐户上启用双因素身份验证作为预防措施,同时建议用户监控他们的银行账户和信用卡报表,以发现任何可疑活动。





这一漏洞清楚地提醒人们网络攻击的频率和严重程度不断增加,尤其是在COVID-19 大流行之后,这迫使数百万人依赖在线平台来满足他们的日常需求。它强调了公司需要优先考虑网络安全措施并采取一切必要措施来保护客户的个人信息。






【阅读原文】



2023年2月21日 星期二

今日资讯速览:

1、《工业和信息化部行政执法事项清单(2022年版)》公布,15项涉及数据安全


2、联邦调查局正在调查其内部网络上的网络入侵事件


3、全球关键半导体厂商因勒索攻击损失超17亿元



1、《工业和信息化部行政执法事项清单(2022年版)》公布,15项涉及数据安全



近日,工业和信息化部对外公布了《工业和信息化部行政执法事项清单(2022年版)》。其中,涉及数据安全的行政执法事项共计15条(第247-261条),具体如下:

1. 对工业和信息化领域数据处理者落实数据安全保护责任义务及管理措施落实的监督检查

2. 对工业和信息化领域数据处理者开展数据处理活动未依照法律、法规的规定,建立健全全流程数据安全管理制度的行政处罚

3. 对工业和信息化领域数据处理者开展数据处理活动未依照法律、法规的规定,组织开展数据安全教育培训的行政处罚

4. 对工业和信息化领域数据处理者开展数据处理活动未依照法律、法规的规定,采取相应的技术措施和其他必要措施,保障数据安全的行政处罚

5. 对工业和信息化领域数据处理者利用互联网等信息网络开展数据处理活动,未在网络安全等级保护制度的基础上,履行第二十七条数据安全保护义务的行政处罚

6. 对工业和信息化领域重要数据的数据处理者,未明确数据安全负责人和管理机构,落实数据安全保护责任的行政处罚

7. 对工业和信息化领域数据处理者开展数据处理活动,未加强风险监测,发现数据安全缺陷、漏洞等风险时,未立即采取补救措施的行政处罚

8. 对工业和信息化领域数据处理者发生数据安全事件时,未立即采取处置措施的行政处罚

9. 对工业和信息化领域数据处理者发生数据安全事件时,未按照规定及时告知用户并向有关主管部门报告的行政处罚

10. 对工业和信息化领域重要数据的处理者未按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告的行政处罚

11. 对工业和信息化领域重要数据的处理者报送的风险评估报告未包括处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等的行政处罚

12. 对工业和信息化领域关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,未落实《中华人民共和国网络安全法》的有关规定的行政处罚

13. 对工业和信息化领域非关键信息基础设施运营者的数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,未落实《数据出境安全评估办法》等有关规定的行政处罚

14. 对从事工业和信息化领域数据交易中介服务的机构,未要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录的行政处罚

15. 对境内的工业和信息化领域数据处理者未经工业、电信、无线电领域主管机关批准向外国司法或者执法机构提供存储于境内的数据的行政处罚

【阅读原文】



2、联邦调查局正在调查其内部网络上的网络入侵事件



美国联邦调查局已经证实,它正在调查自己网络上的恶意网络活动。美国有线电视新闻网(CNN)周五援引知情人士的话报道说,黑客入侵了该机构纽约外地办事处的一个联邦调查局的计算机系统。这份简短的报告还说,该事件涉及一个用于调查儿童性剥削图像的计算机系统。

在一份声明中,联邦调查局发言人Manali Basu证实,该机构已经控制了这一"孤立的事件",并继续进行调查。

"联邦调查局已经知晓这一事件,并正在努力获得更多信息,"该发言人说。"这是一个孤立的事件,已经得到控制。由于这是一个正在进行的调查,联邦调查局目前没有进一步的评论。"

关于这一事件仍有许多未知数。目前还不清楚入侵是何时发生的,也不清楚联邦调查局是如何被破坏的。该事件的性质,似乎还没有被任何主要的网络犯罪组织声称,在发表时也仍然不清楚。

联邦调查局拒绝回答媒体提出的具体问题。

这并不是联邦调查局第一次被入侵。2021年11月,一个威胁行为者破坏了联邦调查局的外部电子邮件系统,向数十万个组织发送了数千封警告虚假网络攻击的垃圾电子邮件。

【阅读原文】




3、全球关键半导体厂商因勒索攻击损失超17亿元



安全内参2月20日消息,作为全球最大的半导体制造设备和服务供应商,美国应用材料公司(Applied Materials)在上周的财报电话会议中表示,有一家上游供应商遭到勒索软件攻击,由此产生的关联影响预计将给下季度造成2.5亿美元(约合人民币17.17亿元)的损失。


应用材料没有透露供应商的具体信息,但多位行业分析师表示,这里指的应该是美国技术与工程公司MKS Instruments。MKS在上周一宣布,受2月3日发现的勒索软件攻击影响,其第四季度财报电话会议已经被迫延后。


供应商受影响设施仍未恢复运营,预计造成2.5亿美元损失


应用材料公司首席执行官Gary Dickerson在上周四的电话会议上称,“最近一家主要供应商遭受攻击,将对我们第二季度的出货造成影响。”

应用材料在发布的财报中表示,2023财年第二季度预计净销售额约为64亿美元,此结果“反映了持续存在的供应链挑战;另外有一家供应商近期遭受网络安全事件影响,相关损失可能达2.5亿美元”。

该公司没有回应置评请求,所以暂时无法确定受攻击影响的供应商是否为MKS Instruments。

MKS Instruments则表示,在经历所谓勒索软件攻击后,公司目前仍在“恢复当中”。

MKS方面指出,“MKS正持续努力,希望恢复受影响设施的正常运营。第一季度,勒索软件攻击给公司真空解决方案与光子解决方案部门的订单处理、产品运输和客户服务能力造成了严重影响。”

MKS还补充称,目前尚不确定此次勒索软件事件造成的损失与影响范围。公司仍在核算网络保险能否抵偿攻击带来的部分开销,财报电话会议暂定延后至2月28日。

MKS解释道,“公司希望通过延后财务业绩的发布时间,更好地解决勒索软件事件引发的财务影响。”

截至上周五,尚无勒索软件团伙公开对MKS攻击事件负责。


供应链安全问题难解


针对MKS的攻击再次凸显出近年来网络安全专家们的普遍担忧:随着大型企业在系统保障方面的逐步增强,恶意黑客开始将矛头指向供应链中体量较小、安全能力较弱的环节。

网络防御公司Horizon3.ai的Monti Knode说,越来越多的公司开始像MKS这样公开承认网络攻击造成的后果。

移动安全厂商Approv的CEO Ted Miracco则表示,半导体供应链仍然是全球经济当中最复杂、也最重要的部分之一。

“去年我们已经亲眼目睹半导体市场中断可能引发的长期后果,影响将波及从汽车到食品的多种产品价格。”

“相较于最近的中美气球事件,半导体供应链面临的攻击威胁无疑更值得关注。”

【阅读原文】



2023年2月20日 星期一

今日资讯速览:

1、ChatGPT遭港大「封杀」:罪同论文剽窃抄袭,使用须报备过审


2、欧盟首个!比利时为白帽黑客提供安全港法律保护框架


3、因数据泄露和网络中断 韩国运营商LG Uplus首席执行官公开道歉



1、ChatGPT遭港大「封杀」:罪同论文剽窃抄袭,使用须报备过审



ChatGPT太能写了,论文、作业,哪里不会就帮写哪里。

为此,香港大学明文禁止师生将ChatGPT用于教学用途,违规使用将被判为抄袭。

港大也成为国内首家对ChatGPT进行明文规定的高校。

图片

具体来说,负责教学工作的香港大学副校长何立仁在发给师生的内部信中是这样规定的:

(1)禁止在课堂、作业和其他评估中使用ChatGPT或其他AI工具;
(2)如果学生使用时没有获得课程教师书面许可,将被视同取用他人的作品,涉及欺骗,即被视为潜在抄袭处理。

使用ChatGPT一站式完成数学、代码、作文、论文作业的港大学生们,大概已经在以头抢地表示悲伤了。


如何判定是否使用ChatGPT


不支持用ChatGPT整体或部分替代自主完成作业,但以ChatGPT以假乱真的本事,禁得了吗?

图片

此前,港大校长张翔已经发表过言论,称校方将推动AI及数据科学领域发展,但同时也会面临AI挑战。

这给我们带来的挑战是,该如何分辨学生的中期论文和期中论文(是自己完成还是AI完成)。

此次下令禁止,相应的判定标准同时在邮件中注明。

如果学生有使用ChatGPT等AI工具完成作业的嫌疑,教师可以要求学生介绍有关论文或作品。教师还可以补充设立口试、增加课堂考试等措施来检验。

并且邮件中还提到,本次(禁止使用AI软件)是采取短期措施,因为要将AI工具纳入学习教学中仍需要较长时间考量。何立仁在邮件中强调,校方认识到AI的重要性,也正计划举行校园辩论,邀请教师和师生就此进行讨论。

围观网友讨论,多数持赞成意见,认为在学术这条路上走捷径,会变成不会思考的木桩脑袋。

图片

基于ChatGPT的响应效率,也有学生网友表示用它查找资料真的贼方便。

图片

港大是国内第一所明文规定使用ChatGPT规则的大学,而香港其他高校虽没有出具明文规定,但也或多或少表明过态度。

香港浸会大会声明“极度重视学生和教学人员的学术诚信”,期望学生进行学术探究和创作时善用科技。如果有学生把并非由他们自己完成的功课或作品,讹称由他们自己完成,均会被视为抄袭。

香港城市大学则表示,大学有既定机制和程序处理事务,现阶段未有定论。香港中文大学也表示已成立一个新委员会,将在下周讨论相关政策。


9成学生用它做作业,多国大学禁用


港大的担心无不道理。基于ChatGPT生成内容的不稳定,有教师表示ChatGPT还不能完成高水平的作业,但仍然有学生冒着引用ChatGPT瞎编论文来源的可能,铤而走险。

美国一项对1000名18岁以上大学生的调查结果显示,高达89%的受访者承认在完成作业时用过ChatGPT。

共青团中央公众号推文中也举过现实案例,大二学生输入仅20字的提问,凭借ChatGPT生成1200多字课程论文,成功取得90多分的期末成绩,拿到该门课程的绩点满分。

图片

林林总总的现象早已引发教育界的议论和恐慌,港大已经不属于最先出手的一波。

此前已有多国多所高校和教育系统禁止学生使用ChatGPT。

早在去年12月上旬,洛杉矶联合学区就暂停了对ChatGPT网站的访问;步入1月后,陆续有国外院校推进禁制令,包含但不限于纽约市公立学校、法国顶尖大学巴黎政治学院等,澳大利亚部分大学火速增加新的考试规则,甚至考虑恢复纸笔考试方式。

上述提及所有学校如此“恐惧”ChatGPT,原因无不与“涉及抄袭和欺诈”相关。

纽约市教育部发言人Jenna Lyle在一份声明中表示:

ChatGPT可能会对学生学习产生负面影响,并且其生产内容的安全性和准确性没有保证;
虽然它可以提供快速简单的答案,但并不能培养学生批判性思维和解决问题的技能。

学术界对ChatGPT的“抵制”并不局限在学校内部,许多期刊也下场表明态度。

Nature在去年12月初就发文,表达了对ChatGPT沦为学生代写论文工具的担忧,继而在1月底下场,针对ChatGPT代写学研文章、列为作者等系列问题作出了规定,ChatGPT和其他任何LLM工具都不可以成为论文作者。

图片

国内业已有多家C刊声明,暂不接收ChatGPT等LLM单独或联合署名的文章,隐瞒ChatGPT使用情况将被退稿或撤稿。

但他们和港大统统面临同一个难题:怎么分辨和判定ChatGPT是否在学生作业、论文中曾出力?

纽约时报曾向作家和教育工作者展示了ChatGPT的写作样本和人类学生的写作样本,他们中没有人能够可靠地分辨出机器人和真实的东西。Nature上一篇论文也显示,ChatGPT瞎写的医学摘要,甚至能把专业审稿人唬住。

而“反ChatGPT作弊神器”,无论是官方出品的鉴别器,还是斯坦佛大学的DetectGPT、华人小哥出品的GPTZeroX,都不能完全保证没有漏网之鱼。

禁用ChatGPT这件事真的操作起来,仍是路漫漫。

当然,除了被浇一盆冷水的学生外,也不是所有人都反对ChatGPT加入到作业完成过程中。

剑桥大学负责教育的副校长Bhaskar Vira在接受校报采访时就申明过自己的立场,AI在他眼中是一种供人们使用的工具,大学禁用ChatGPT等AI工具的举措并不明智。

他的观点是“堵不如疏”,学校应该对学校、教学和考试过程进行调整,以保证学生在使用类似工具时保证学术诚信。

图片

甚至还有与使用AI工具的学生们“意气相投”的老师——

网红哲学家Slavoj Zizek就非常乐观地支持大伙儿使用各种AI工具,兴奋地表示:可别禁用啊!

我的学生用AI写论文,交上来后,我用AI给他们打分。
这样我们全都轻松自由了不是吗?!

【阅读原文】



2、欧盟首个!比利时为白帽黑客提供安全港法律保护框架



安全内参2月17日消息,比利时政府网络安全机构称,该国已经成为首个采用国家全面安全港框架的欧洲国家。

比利时网络安全中心(CCB)公布了一项新制度,将在符合特定“严格”条件的前提下,保护那些上报可能影响比利时各类系统、网络或应用程序的安全漏洞的个人或组织免受起诉。

无论易受攻击的系统/技术属于私营或公共部门,这套框架都适用。
























安全港框架具体细则








根据新规要求,按照国家协调漏洞披露政策(CVDP)中规定的程序,作为国家计算机应急响应团队(CSIRT),比利时网络安全中心现可收取关于IT漏洞的报告,并在符合以下条件时为安全研究人员提供合法保护:

  • 尽快通知易受攻击系统/技术的所有者,至少不晚于通知比利时网络安全中心;

  • 尽快按照规定的格式向比利时网络安全中心提交书面漏洞报告;

  • 不存在欺诈或故意破坏等行为;

  • 严格以必要和相称的方式行动,以证明脆弱性的客观存在;

  • 未经比利时网络安全中心同意,不公开关于漏洞和脆弱系统的信息。

比利时网络安全中心曾在2020年制定了相关指南,鼓励国内组织采取漏洞披露政策或漏洞奖励计划。

如果相关组织已经拥有漏洞披露政策(VDP),那么白帽黑客无需通知比利时网络安全中心;但如果该漏洞会影响到其他不具备漏洞披露政策的组织,或者在披露和补救中“出现困难”,可以选择上报。

根据大多数漏洞披露和漏洞奖励计划的认定,网络钓鱼、社会工程和暴力破解攻击等进攻性技术“被视为不相称及/或不必上报的行为”。
























欧盟其他国家的进度








欧洲网络与信息安全局(ENISA)2022年发布的一份关于国家协调漏洞披露(CVD)政策的报告显示,法国、立陶宛和荷兰当前也在“开展漏洞披露工作,并实施了政策要求”。

但根据比利时网络安全中心法律官员Valéry Vander Geeten的说法,比利时的政策全面程度达到了迄今为止的最高水平。

他在接受外媒The Daily Swig采访时称,荷兰的态度是“检察官办公室不会起诉道德黑客”,法国和斯洛伐克尚未提供“全面的法律保护”,而立陶宛的法律安全港则“仅限于关键基础设施领域”。

他还强调,无论是否为受影响系统/技术所在的组织工作,比利时都会保护这些上报脆弱性问题的研究人员。

目前,其他多个欧盟成员国也在开发或有意开发类似的道德黑客保护方案。
























漏洞披露远非常态








尽管比利时电信公司Telenet、布鲁塞尔航空和安特卫普港等知名机构都拥有漏洞披露政策,但这远非常态。截至2021年,即使在财富500强企业当中,也只有不到20%具备漏洞披露政策(但仍已远高于2019年的9%)。

比利时漏洞奖励平台Intigriti黑客事务负责人Inti De Ceukelaire告诉The Daily Swig,“我希望相关立法能带来类似「GDPR」的效应,最终迫使更多企业采用这项政策。”

“但矛盾的是,大多数安全研究人员为之贡献价值和改进意见的企业,正是那些愿意主动倾听的组织。这些组织往往早已参与到最新的安全趋势当中,包括漏洞披露政策。”

“不过我也相信,如果能把这项政策引入其他组织,也会产生有趣的结果。荷兰就提出了类似的立法,推特上有位名叫Victor Gevers(ID:0xDUDE)的黑客就据此上报了5000个漏洞。”

【阅读原文】




3、因数据泄露和网络中断 韩国运营商LG Uplus首席执行官公开道歉



今天,韩国第三大移动运营商LG Uplus为最近的数据泄露和网络攻击事件道歉,并承诺在未来几年每年将投资1000亿韩元(7790万美元)来提高其网络安全能力。

LG Uplus首席执行官Hwang Hyeon-sik在其首尔总部的新闻发布会上说:“由于我们的网络服务中断给客户带来的不便,我向他们致以诚挚的歉意。我们认为这些事件是严峻的挑战。作为一家电信服务提供商,我们本应更关注网络安全。”


图片


图:LG Uplus首席执行官Hwang Hyeon-sik就数据泄露和网络中断公开道歉。来源:YONHAP。

过去几个月,这家无线运营商一直因信息泄露和服务中断而备受抨击。


在1月2日被推测为黑客攻击的网络安全事件当中,LG Uplus的29万名客户的个人信息(包括姓名、出生日期和电话号码)遭到泄露。韩国互联网安全监管机构直在调查此案,但数据泄露的原因尚未确定。


此外,由于疑似分布式拒绝服务(DDoS)攻击,LG Uplus的网络在1月29日和2月4日共发生了五次部分网络中断。


LG Uplus高层表示,为了防止类似的网络攻击再次发生,该公司将把每年用于信息安全方面的支出增加到1000亿韩元。根据该公司提交给监管机构的文件显示,2021年LG Uplus在该领域的支出为292亿韩元。


作为提高网络安全性计划的一部分,LG Uplus将聘请安全专家来对其网络系统进行审查,并加强其响应能力。该运营商还将举办白帽黑客国际比赛,用于发现人才。


Hwang Hyeon-sik表示,LG Uplus将组建一个咨询机构,为因DDoS攻击导致的服务故障而遭受损失的客户制定有效的赔偿计划。


“我们认识到,网络和信息安全是电信业务的基本任务,它关系到客户信心。”Hwang Hyeon-sik说,“我们将不断努力,成为一家更值得信赖、能力更强的公司。”

【阅读原文】



2023年2月17日 星期五

今日资讯速览:

1、粤康码下线部分服务,将删除所涉数据!健康码会彻底退出吗?


2、微软为 Office 发布 2 月更新:修复 Word 中高危远程代码执行漏洞


3、内蒙古通报 19 款侵害用户权益行为的 App



1、粤康码下线部分服务,将删除所涉数据!健康码会彻底退出吗?



2月14日,广东省健康码“粤康码”发布公告称,其老幼助查、健康申报、防疫工作台等服务入口将于今年2月16日11时起关闭,同时承诺其将按照有关法律法规规定,彻底删除、销毁服务相关所有数据。不过,核酸检测和新冠疫苗信息查询等功能不受影响。


“粤康码”公告

南都记者实测其他省(市、自治区)的健康码发现,目前31个省(市、自治区)(除港、澳、台)健康码均可正常使用,不过关于健康码数据的存储、删除等问题的规定存在较大差别,有的承诺用户注销即删除数据,有的则没有提及。

事实上,已经有地方开始探索对健康码进行升级,与其他便民服务合并。然而,对于健康码“退”还是“留”仍存在争议。有专家告诉南都记者,如果要保留,必须做到理由正当且充分,给用户选择是否交出个人信息的权利。


“粤康码”部分服务将于本月16日下线


据了解,健康码是以真实数据为基础,通过自行网上申报,经后台审核后生成的个人二维码,是个人在当地出入通行的电子凭证。健康码旨在让复工复产更加精准、科学、有序,其诞生后迅速成为各地防疫的重要工具。此前数据显示,我国已有近9亿人申领“健康码”,使用次数超600亿次。

“粤康码”便是广东省基于“粤省事”微信小程序开发的地方健康通行码,提供健康码、核酸检测、疫苗接种信息查询等服务。根据“粤康码”页面的介绍,该功能是由数字广东公司提供技术支持,广东省政务服务数据管理局进行管理。

随着我国疫情防控政策的调整,对新冠病毒感染实施“乙类乙管”后,健康码逐渐退出公众的生活。据《财经》报道,广州市12345称,“粤康码”此次下线的服务仅包括抗原自测、老幼助查、健康申报、电子证照、防疫工作台五项,核酸检测、新冠疫苗等服务暂时保持正常运作。下线的五项功能主要包含的个人信息有个人姓名、身份证号码、联系方式、详细居住地、电子证照等。

“粤康码”下线部分服务似乎有迹可循。去年12月,“通信行程卡”下线,其后几大运营商先后表示将同步删除用户行程相关数据。1月15日,据珠海发布官微消息,自今年1月19日零时起,“粤康码”系统停止提供通关凭证转码服务,珠澳口岸出入境人员使用“海关旅客指尖服务”小程序进行健康申报。

南都记者查阅“粤省事”小程序《个人信息保护政策》时发现,其中声明“通常,我们仅在为您提供服务期间保留您的信息,保留时间不会超过满足相关使用目的所必需的时间。”同时,列举了五项需要“较长时间保留您的信息或部分信息”的例外情况。


各省健康码均可使用,数据删除条款各异


个人信息保护法规定,存在处理目的已实现、无法实现或者为实现处理目的不再必要情形的,个人信息处理者应当主动删除个人信息;法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的,个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。

早在疫情防控政策调整之前,有关健康码数据“善后”的讨论就一直存在,广东此次“先行先试”无疑将这一话题再度推上风口浪尖。那么,在健康码退出人们生活数月以后,如今全国各省(市、自治区)的健康码处于何种状态?它们在处理健康码数据方面又是如何规定的?

为此,南都记者从微信和支付宝入口查看了全国31个省(市、自治区)(除港、澳、台)的健康码存续情况,发现除宁夏外均可正常使用。不过,宁夏健康码仍可在“我的宁夏”App正常使用。

在查看全国健康码小程序的过程中,南都记者发现,各省(市、自治区)对健康码数据的存储、删除等问题的规定存在三种不同情况。其中较多省(市、自治区)并未专门为健康码小程序提供隐私政策或数据协议,少数提供了隐私政策,但内容也存在较大差别。

比如,陕西健康码“陕西一码通”的《隐私政策》中写道,通常仅在提供服务期间保留信息,保留时间不会超过满足相关使用目的所必需的时间,以及数种需要较长时间保留用户信息的例外情况。“浙江健康码”则不仅承诺保留信息的时间不会超出必要,还提到如遇用户注销,其会停止收集、使用并删除个人信息。此外,湖南、山西等省(市、自治区)健康码相关协议未提及数据删除问题。

此外,还有一种情况为健康码小程序是该省(市、自治区)其他便民服务小程序的一个功能分支,服务小程序有隐私政策,但健康码小程序没有。比如,河南健康码在相关协议中详细描述了数据删除、账号注销等方面情况;上海健康码相关协议则称暂未开放在线删除个人信息权限,若想删除信息,需致电12345联系客服协助处理。

在健康码功能转型方面,南都记者梳理发现,目前有较多省(市、自治区)在健康码小程序中增加、合并了多项便民服务功能,如社保、公积金查询,公交乘车,医保服务等。贵州将“贵州健康码”与“贵人码”合并后,“贵人码”沿用“贵州健康码”功能,提供更全面的便民健康服务;海南省健康码不仅与海口公交实现“一码通行”,并且与多家免税店对接。


健康码“退”还是“留”?专家:给用户选择权


从防疫政策调整后,有关健康码退出的争议不断可以看出,其退出并非数据“一删了之”这么简单。

南都记者在实测过程中发现,各省(市、自治区)健康码功能模块嵌入小程序的情况存在差别,有的省(市、自治区)健康码小程序是作为单独模块后来才嵌入其他便民服务小程序中的,删除健康码相关数据可能不会影响其他功能的运行,而有的省(市、自治区)则情况相反。那是否意味着,数据删除的难易程度与健康码功能模块的嵌入情况有关?

对此,北京汉华飞天信安科技有限公司总经理彭根表示,同一个平台上健康码、医疗、交通等服务的相关数据在收集和存储过程中存在较高交叉的可能性很小。据他了解,目前上述数据大多存于独立的数据模块,各模块只与相应功能绑定,其之间并不存在很紧密的联系,只是在同一个小程序或公众号平台上集中呈现出来。

“从代码的开发规范来看,不同数据模块之间呈现低耦合的特征是开发程序趋于规范的标志之一,如果耦合度很高是不太科学的。”他进一步解释道。

去年11月发布的《“十四五”全民健康信息化规划》提出,到2025年,每个中国居民将拥有一个功能完备的电子健康码,基本形成卫生健康行业机构数字化、资源网络化、服务智能化、监管一体化的全民健康信息服务体系。有观点认为,这是要保留、升级健康码机制的一个信号。

事实上,多地已经开始探索将健康码和便民功能合并,建立数据共享机制。在今年陕西省两会上,有政协委员提交了《关于完善健康码功能 建立居民电子健康档案的建议》的提案,其认为就此告别健康码会造成社会资源的浪费,建议保留“陕西一码通”,在微信小程序内建立全省统一的个人健康档案管理系统,与各级医院、健康体检中心、药房、诊所等公众健康医疗机构建立数据共享机制。

但是,多位专家对南都记者表示,即使保留用于医疗健康服务的电子健康码可能会给社会生活带来部分便利,但是否交出个人信息从而获取这些服务的决定仍应由用户自主作出。

彭根补充道,如果需要保留数据,必须做到理由正当且充分,而不能笼统或模糊;同时,在数据安全防护方面,也必须具备符合相应数据安全防护级别的防护措施。“可以告诉大家保留会有什么好处,但用户要有选择用或不用的权利。”

【阅读原文】



2、微软为 Office 发布 2 月更新:修复 Word 中高危远程代码执行漏洞



IT之家 2 月 16 日消息,微软在今年 2 月的补丁星期二活动日中,除了给 Win10 和 Win11 系统发布更新之外,还为仍处于支持状态的 Microsoft Office 版本发布了多个安全更新。

微软在本月安全更新中,修复了存在于 Word 中的高危远程代码执行漏洞。感兴趣的IT之家网友,可以点击本文下方的链接,访问微软官方更新日志。

微软向 Office 2016 推送了 KB5002323 更新,主要修复了 Word 中的一个高危远程代码执行漏洞。未经身份验证的攻击者可以发送包含 RTF 负载的恶意电子邮件,用户打开该邮件附件之后会被黑客劫持,用于执行任何命令。有关此漏洞的更多信息,请参阅 CVE-2023-21716。

微软向 Office 2013 推送了 KB5002316 更新,更新内容和 Office 2016 相同。Office 2019 由于采用 click-to-run 分发方式,通过 Office Update 来接收安全更新,因此并未出现在本次列表中。

【阅读原文】



3、内蒙古通报 19 款侵害用户权益行为的 App



内蒙古通信管理局今日发布了关于 App 侵害用户权益行为的通报(2023 年第 1 批,总第 3 批)。

依据《个人信息保护法》《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规,按照《工业和信息化部关于开展纵深推进 App 侵害用户权益专项整治行动的通知》(工信部信管函〔2020〕164 号)文件部署,组织第三方检测机构对部分属地活跃移动 App 进行侵害用户权益安全检测,截止目前尚有 19 款 App 未完成整改,现予以社会公示。

内蒙古通信管理局表示,上述 App 应在 2023 年 2 月 24 日前完成整改落实工作,逾期整改不到位的,该局将依法依规开展相关处置工作,具体措施包括组织 App 下架、停止 App 接入服务,以及将受到行政处罚的违规主体依法纳入电信业务经营不良名单或失信名单等。

附完整名单:

图片

【阅读原文】



2023年2月16日 星期四

今日资讯速览:

1、网空对抗重大变量:俄罗斯拟豁免亲俄黑客行动的法律责任


2、报告显示:2022年西门子ICS漏洞数量暴涨


3、大规模 HTTP DDoS 攻击创下每秒 7100 万次请求的历史新高



1、网空对抗重大变量:俄罗斯拟豁免亲俄黑客行动的法律责任


安全内参2月15日消息,自俄乌战争爆发以来,俄罗斯网络前线得到多个黑客组织的支持。其中一部分与俄官方关系密切,还有一些与国家利益保持着较为松散的独立状态。


后一部分黑客组织在西方甚至是俄罗斯的法律条款中,已经属于网络罪犯。不过这种情况似乎正在改变。


俄议会讨论豁免亲俄黑客法律责任


据俄罗斯广播电台Govoritmoskva在上周五(2月10日)报道称,杜马信息政策委员会正在考虑这类亲俄派黑客的“罪责”问题。

杜马信息政策委员会主席Alexander Khinshtein向俄国有通讯社塔斯社表示,“总的来说,我们正在讨论免除那些在我国境内外的计算机信息领域,出于俄罗斯联邦利益而行动的黑客们的罪责。”

据Govoritmoskva的报道,目前这个想法仍在讨论中。

按照俄罗斯的现行法律条款,网络罪犯将面临最高七年的监禁。消息如果属实,将标志着俄罗斯对于黑客组织的立场迎来重大转变。

这是个影响深远的议题,特别是在当下这个历史时刻,俄罗斯与乌克兰间持续不断的冲突在网络空间中激起众多非国家支持黑客。他们的攻击行动,正在重塑整个威胁格局。


频遭美国指责,新规是否会坐实网络犯罪“避风港”?


在塔斯社上周五(2月10日)报道的一份声明中,俄罗斯驻美国大使Anatoly Antonov谴责了近期美方对Trickbot黑客组织及成员实施的制裁。

Antonov大使认为,“美国财政部似乎只知道对俄罗斯公民实施制裁。而所有这一切,都是以非常粗糙的方式完成的——既没有论据,也没有证据支持。”

Antonov还进一步谴责华盛顿方面“冻结”了近期关于网络犯罪的对话与合作,还不断将俄罗斯称为犯罪天堂。

“至于美国财政部关于俄罗斯是网络犯罪分子「避风港」的指控,这是错误且不负责任的。所有这一切,都是其对我们发动混合战的一部分。”

“2022年,我们的国家遭遇前所未有的大量外部网络攻击,期间共击退约5万次黑客入侵,其中大部分来自美国领土。所以我们可以公平地质问,也许美国才是网络犯罪的「避风港」吧?”

如果俄罗斯最终批准对出于俄国家利益的黑客组织做出豁免,那么可能会被坐实了“避风港”的身份。

【阅读原文】



2、报告显示:2022年西门子ICS漏洞数量暴涨


根据工业网络安全公司 SynSaber 的一份新报告,在工业控制系统 (ICS) 中发现的漏洞数量持续增加,其中许多漏洞的严重性等级为“严重”或“高”。


该报告比较了 CISA 在 2020 年和 2022 年期间发布的 ICS 和 ICS 医疗咨询数量。虽然 2021 年和 2022 年的咨询数量大致相同,均为 350 个,但去年发现的漏洞数量达到 1,342 个,而 2021 年为 1,191 个前一年。




评级为“严重”的漏洞数量增长更为显著,从 2021 年的 186 个增加到 2022 年的近 300 个。根据其 CVSS 评分,总共有近 1,000 个漏洞为“严重”或“高严重性”。


虽然CVSS 分数在 ICS 缺陷的情况下可能会产生误导,并且不应单独使用它们来确定修补程序的优先级,但这些分数仍然可用于对满足组织适用性标准的问题进行排名。


Synsaber 的报告显示,西门子在 ICS 漏洞数量方面脱颖而出。不仅 2022 年发现的许多安全漏洞影响了西门子的产品,这家德国工业巨头还自报了最多的漏洞,远远超过其他供应商。


西门子的产品安全团队在 2022 年报告了 544 个漏洞,高于上一年的 230 个。第二个供应商是日立,有 64 个错误。


“西门子产品安全团队继续提高报告频率,同比增长近 3 倍。虽然与其他产品相比,这确实增加了影响西门子产品线的已知 CVE 的数量,但这不应被视为西门子产品的安全性较低。相反,成熟且可重复的 OEM 自我报告流程是所有其他 OEM 应该努力实现的目标,”SynSaber 指出。


西门子通常每个月都会解决数十个漏洞,但其中许多会影响公司产品使用的 第三方组件。


虽然去年发现的漏洞数量很多,但近三分之一的漏洞需要用户交互才能成功利用,大约四分之一需要对目标系统进行本地或物理访问。然而,值得注意的是,与 2021 年相比,需要用户交互和本地访问的缺陷百分比有所下降。


从过去三年的数据来看,一个令人担忧的方面是“永远存在的漏洞”——这些漏洞可能永远不会得到补丁——的数量从 2021 年的 14% 增加到 2022 年的 28%。


ICS 漏洞会影响软件、固件或协议。在 2020 年至 2022 年期间,在这些类别中发现的问题百分比一直相当稳定,软件占 56%,固件占 36%,协议占 8%,这三年平均而言。

【阅读原文】



3、大规模 HTTP DDoS 攻击创下每秒 7100 万次请求的历史新高




图片




网络基础设施公司 Cloudflare 周一披露,该公司挫败了一次创纪录的分布式拒绝服务 (DDoS) 攻击,该攻击的峰值超过每秒 7100 万个请求 (RPS)。

 

“大多数攻击在每秒 50-70 百万个请求 (RPS) 的范围内达到峰值,最大的超过 7100 万,”该公司称其为“超容量”DDoS 攻击。这也是迄今为止报告的最大的 HTTP DDoS 攻击,比谷歌云在 2022年6月缓解的4600万次 RPS DDoS 攻击高出 35% 以上。

 

Cloudflare 表示,这些攻击针对的是受其平台保护的网站,它们来自一个僵尸网络,该僵尸网络包含属于“众多”云提供商的 30,000 多个 IP 地址。

 

目标网站包括流行的游戏提供商、加密货币公司、托管提供商和云计算平台。

 

此类 HTTP 攻击旨在向目标网站发送大量 HTTP 请求,通常数量级高于网站可以处理的数量,目的是使其无法访问。

 

“如果请求数量足够多,网站的服务器将无法处理所有攻击请求以及合法用户请求,”Cloudflare 说。

 

“用户会遇到这种情况,因为网站加载延迟、超时,最终根本无法连接到他们想要的网站。”

 

随着 DDoS 攻击的规模、复杂性和频率不断上升,公司取得了进展,该公司记录到2022年最后一个季度的 HTTP DDoS 攻击同比激增 79%。

 

更重要的是,与前三个月相比,持续超过三个小时的容量攻击数量激增了 87%。

 

在此期间,一些主要受到攻击的垂直行业包括航空、教育、游戏、酒店和电信。格鲁吉亚、伯利兹和圣马力诺成为 2022 年第四季度 HTTP DDoS 攻击的主要目标国家之一。

 

另一方面,网络层 DDoS 攻击针对中国、立陶宛、芬兰、新加坡、中国台湾、比利时、哥斯达黎加、阿联酋、韩国和土耳其。


【阅读原文】



2023年2月15日 星期三

今日资讯速览:

1、2022年美国因 (网络) 婚恋诈骗损失超13亿美元,人均近2万美元


2、2022年数据泄露最严重的国家(地区)盘点


3、中东版“清华大学”遭勒索攻击,被索要超千万元赎金



1、2022年美国因 (网络) 婚恋诈骗损失超13亿美元,人均近2万美元



安全内参2月14日消息,美国联邦贸易委员会(FTC)表示,全美2022年内与婚恋相关的欺诈损失高达13亿美元,人均损失近2万美元,人均损失中位数为4400美元。

根据此前联邦贸易委员会消费者哨兵网络(Consumer Sentinel Network)发布的消息,2019年婚恋相关欺骗损失为4.93亿美元,2020年为7.3亿美元,2021年已经攀升至13亿美元。

FTC指出,“去年的婚恋欺骗数字与2021年相近,情况仍然相当糟糕。2022年,近7万人上报了婚恋骗局,造成的损失达到惊人的13亿美元。”

欺诈损失的统计数据除基于民众向哨兵网络上报的欺诈活动以外,在2019年之后还包括美国联邦调查局(FBI)互联网犯罪投诉中心(IC3)接收到的报告。

遗憾的是,这些数字所反映的只是婚恋欺诈损失中的一小部分。据安全内参了解,绝大多数相关行为并没有被真正上报。
























网络平台成婚恋诈骗主要阵地








根据提交的报告,欺诈分子用于联系潜在受害者的主要平台是Facebook(28%)和Instagram(29%),最常用的支付方式则是加密货币(34%)和银行电汇/付款(27%)。

FTC提到,“民众报告称,加密货币和银行电汇成为婚恋欺诈中的主要支付手段,二者总计占2022年已上报损失总额中的六成以上。”

“而出现频率最高的支付方式则是礼品卡。尽管总额不算突出,但有24%的婚恋欺诈上报者属于这个类型。”

图片

图:2022年婚恋欺诈中的主要支付方式
























避免成为婚恋骗局中的受害者








这类骗局也被称为信任欺诈,除了造成相当大的经济损失之外,往往还会给受害者带来毁灭性的情感创伤。

欺诈分子会利用社交媒体平台或交友网站,凭借虚假的网络身份获得潜在受害者的信任。一旦目标“上钩”,他们就会以恋爱关系为假象操纵受害者,包括给他们汇款或者提供敏感的财务信息(可用于其他欺诈活动,例如投资欺诈)。

FBI还发出警告,这种不正常的感情关系可能令受害者沦为“钱骡”,在诱导下为欺诈分子非法转移资金。

为了进一步凸显这类持续性重大问题的紧迫性,司法部网站目前已列出数百起涉及婚恋欺诈的起诉或被判有罪案件,全部涉及或属于有预谋的针对美国民众的大范围欺诈。

FTC提醒称,大家可以通过以下几点在网恋过程中及时发现欺诈迹象:

  • 正常婚恋对象不会要求你帮助发送加密货币、提供礼品卡编号或者银行电汇,也不会坚持要求你参与投资。任何此类行为都可证明对方的骗子身份。

  • 如果对方要求你先汇款才能收取其寄出的包裹,这肯定是个骗局。

  • 与朋友或家人分享你的感情关系,如果他们表示担心,请务必留意。

  • 试着在网上搜索对方发布的个人图片,如果细节上不匹配,就肯定是骗局。

如果你已成为婚恋欺诈的受害者,FBI建议应立即停止所有联系,并在国家举报网站上提交投诉。

大家还应立即联系所在银行,咨询能否停止或撤销在接触欺诈分子后执行的一切金融交易。

【阅读原文】



2、2022年数据泄露最严重的国家(地区)盘点




随着数字化时代的来临,信息数据赋能千行百业,为维护社会安全和经济稳定做出了重要贡献。但是,随之而来的数据泄露威胁也逐渐凸显,数据安全已成为事关国家安全与经济社会发展的重大问题。


日前,国际数字化运营服务提供商Proxyrack基于2022年度的观测数据,对全球主要国家和地区的数据泄露情况进行了统计和分析。研究结果显示,几乎所有被调研国家(地区)都在面临数据泄露引发的重大经济损失威胁,而经济发达国家的数据泄露损害将会更高。





数据泄露频率Top10国家




据Proxyrack给出的研究说明,2022年数据泄露频率的前十大国家是按照平均每百万人的数据泄露数量排名的。统计数据显示,美国以每百万人7221177起数据泄露事件排名第一,法国以每百万人6488574起数据泄露事件紧随其后,而非洲国家南苏丹则以每百万人6184061起数据泄露事件排名第三。



图片



Proxyrack表示,这个排名统计是由多个因素共同影响决定的,包括国家的规模和财富、网络安全基础设施水平以及可用数据的商业价值。美国是目前全球最大的经济体,可用数据的商业价值较高,会成为数据窃取活动的主要目标;法国和德国拥有了大量规模巨大的全球化公司,具有大量可用的业务数据,因而也成为诱人的目标;而南苏丹尽管是发展中国家,但是数据安全基础设施薄弱,因此也更容易成为攻击者的目标。





数据泄露数量Top10国家




除了按每百万人数据泄露数量对各国进行排名外,Proxyrack还分析了一些主要国家的数据泄露事件总数。统计数据显示,俄罗斯在2022年的数据泄露总数最高,泄露事件数量为96724450起。美国的数据泄露事件数量紧随其后,为63716758起。


在本次调查中,我国在2022年共被Proxyrack统计到51309972起数据泄露事件。尽管对该数据的准确性需要进一步确认,但该数据在一定程度上显示出,当前我国数据安全的发展态势仍然较为严峻。



图片



研究人员表示,国家受到数据窃取攻击的总数量,同样会受到诸多因素的影响,包括国家的规模和财富、网络安全基础设施水平以及可用数据的价值。美国和中国均为经济活动发展活跃的国家,存在大量高价值的可用数据,它们是攻击者眼中的重点目标国家。而俄罗斯由于受到地缘性政治冲突的影响,也成为了攻击者眼里重要的潜在攻击目标。





数据泄露损失Top10国家(地区)




Proxyrack统计分析了每个国家数据泄露的平均损失成本。数据显示,2022年美国的平均数据泄露损失成本最高,达到905万美元;其次是中东地区,平均数据泄露损失成本为693万美元;加拿大排名第三,平均数据泄露损失成本为479万美元。



图片



为了更直观地看待数据泄露的平均损失成本,我们可以将其与响应国家的GDP或其他经济指标进行比较。比如在美国,数据泄露成本占GDP的比例约为0.0056%;而在法国,数据泄露成本占GDP的比例约为0.0087%。这些比例可能看起来很小,但事实上,它们对这些国家的企业和个人产生了重大的经济影响。


另外值得思考的是,数据泄露可能对较小的经济体或行业造成不成比例的影响,数据泄露对较小经济体的经济影响可能更大。





数据泄露影响Top10行业




Proxyrack的研究还分析了主要国家中各行业的平均数据泄露成本。数据显示,医疗健康行业的平均数据泄露成本最高,达到923万美元;其次是金融行业,平均数据泄露成本为527万美元。



图片






►►►





结语









通过分析数据泄露对全球主要国家及行业的经济影响,可以让企业用户更好认知到自身所面临的数据安全风险和隐患。数据泄露正在给企业和国家造成重大经济损失,特别是医疗、金融和零售三大行业的企业需要尽快重视起来。


对于数据泄露频发国家的企业和个人来说,优先应用新一代数据安全防护措施,以尽量降低数据泄露的风险及其潜在的财务损失,这点很重要。如果遵循数据安全防护最佳实践,企业和个人将可以降低数据泄露的风险,并防范财务后果。此外,企业还需要定期对所有员工进行数据安全方面的安全意识培训,并定期审查和更新数据安全政策的有效性。


【阅读原文】



3、中东版“清华大学”遭勒索攻击,被索要超千万元赎金




安全内参2月14日消息,一个不为人知的网络犯罪团伙在上周末入侵了以色列顶尖科技大学,索要价值170万美元的比特币。该团伙声称,这笔钱是要让以色列政府为其在侵占领土、战争罪以及技术裁员等行为中的“谎言和罪行”付出代价。

遭受攻击的是以色列理工学院(又称Technion),成立于1912年,被誉为中东的MIT。

上周日(2月12日)中午,院方已经在推特上确认了此次攻击,并在周一发布了进一步状况。根据谷歌翻译,推文称该学校仍“处于严重的网络攻击威胁之下”,院方称这是一次“复杂事件”。

大约在同一时间,在线恶意软件仓库vx-underground发布的一张照片公开了勒索要求,该团伙自称“DarkBit”并索要80个比特币。

以色列理工学院称,各项服务自周一开始正逐步恢复正常,但学校网站在美国时间周一上午仍然无法访问。院方在一条推文中称,“主动封锁了全部通信网络”。

DarkBit在上周六还开通了一个Telegram频道,宣称对此次攻击事件负责。该团伙将以色列理工学院称为“种族隔离制度的技术核心”,并威胁将对与以色列有关的其他实体发动更多攻击。

图片

图:DarkBit团伙在Telegram频道中发布的图片

目前还不清楚DarkBit团伙的真实底细。但从名称上看,这可能是老牌勒索软件变体DarkSide与LockBit的合并产物,80个比特币的赎金要求也符合之前的攻击模式。而根据现有勒索说明,DarkBit对战争罪和领土侵占问题的强调,似乎是在塑造其黑客行动主义者的形象。


【阅读原文】



2023年2月14日 星期二

今日资讯速览:

1、伊朗总统在国庆日电视直播的讲话遭黑客中断篡改


2、奥克兰市遭遇勒索软件攻击 但称 "核心功能"完好无损


3、半导体设备制造商MKS Instruments成为勒索软件攻击的受害者



1、伊朗总统在国庆日电视直播的讲话遭黑客中断篡改



安全内参2月13日消息,“阿里的正义”(Edalat-e Ali)黑客团伙声称,对入侵伊朗国家电视台及广播电台的现场直播负责。这次攻击中断并篡改了伊朗总统易卜拉欣·莱希在革命日仪式上的演讲画面。

2月11日,伊朗总统易卜拉欣·莱希在德黑兰的阿扎迪广场发表演讲,与聚集在这里的大批民众庆祝国家成立44周年。本是政府展示群众基础的大好时机,但此次活动却遭到黑客团伙“阿里的正义”的破坏。

黑客干扰了国家电视台的正常播报,转而放送“哈梅内伊去死”的口号,并敦促民众从政府银行中取出资金。此外,他们还鼓励公民参加定于2023年2月16日举行的反政府抗议活动。

图:“阿里的正义”中断了伊朗国家电视台的直播节目,安全内参截取

驻德国的伊朗记者Bamdad Esmaili已经在自己的推特账户上证实了此次网络攻击。另一方面,阿里的正义团伙也在其Telegram频道上公布了攻击活动。根据外媒Hackread看到的一份声明,该团伙宣称对入侵广播和电视直播负责。

“我们阿里的正义组织已入侵伊朗伊斯兰共和国的广播与电视播报。首先,阿里的正义要向伊朗这个热爱自由的国家表示哀悼,既悼念这新的十年、也哀悼刽子手哈梅内伊对这个国家的不洁玷污。”

“阿里的正义”组织


“阿里的正义”是谁?


值得注意的是,阿里的正义是一个知名的黑客团伙,过去几年来一直在与伊朗政府作对。他们近期曾发动一系列黑客攻击,包括在2022年10月导致伊朗国营电视台发生直播中断。

2021年8月,该团伙还曾入侵了德黑兰北部一处监狱设施的计算机系统和安保摄像头,导致内部恶劣关押条件与严重侵犯人权行为的录像泄露。


伊朗、抗议、黑客与黑客行动主义者


自2022年9月以来,伊朗一直饱受网络攻击侵扰。当时,有匿名黑客发起了OpIran行动,支持伊朗民众因22岁库德族女孩玛莎·艾米妮(Mahsa Amini)之死发起的抗议。

艾米妮因未按规定佩戴头巾而遭到“指导巡逻队”,即德黑兰道德警察的逮捕,并在拘留期间死亡。

艾米妮之死引发了抗议者与政府当局间的冲突,对抗导致部分民众被捕和死亡。阿里的正义发动的这次最新攻击,也是为了支持伊朗方面的抗议者。

但伊朗政府坚持要对付抗议者,同时世界各地的黑客行动主义者也已经把矛头指向伊朗的关键基础设施。

【阅读原文】



2、奥克兰市遭遇勒索软件攻击 但称 "核心功能"完好无损



奥克兰市证实了有关其网络被勒索软件攻击的报道,此前网上出现了一些机构在周四出现系统问题的传言。市政府官员没有回应评论请求,但在周五下午发表了一份声明,称勒索软件攻击始于周三晚上。


"信息技术部正在与执法部门协调,并积极调查该问题的范围和严重性。我们的核心功能是完整的。911、财务数据以及消防和应急资源没有受到影响,"官员说。

"本市正在遵循行业的最佳做法,并制定一个应对计划来解决这个问题。为谨慎起见,ITD已将受影响的系统下线,同时他们正在努力确保和安全地恢复服务。在此期间,公众应该期待本市因此而出现的延误。我们正在积极监测情况,并在有消息时发送最新信息"。

奥克兰警察局的一位发言人向《记录报》证实,他们仍然能够接收911紧急电话,但指出,如果需要,人们也可以在网上提交犯罪报告。

奥克兰的记者Jaime Omar Yassin是第一个报道市政府官员正在处理勒索软件事件的人。

周四晚间,亚辛说,市政府官员向政府工作人员发送了一封电子邮件,将信息技术的中断归因于周三开始的勒索软件攻击。

"ITD正在遵循行业的最佳实践,并制定一个应对计划来解决这个问题。在这个时候,VPN访问是离线的,城市计算机与城市网络断开了连接,"该电子邮件说。"为了谨慎起见,ITD要求工作人员在进一步通知之前不要重新接入网络。据了解,911调度中心、城市移动设备、Office365、NeoGov、OakWiFi、城市网站、Oracle和其他服务都没有受到影响。"

亚辛指出,该市长期以来一直面临着留住IT人才的问题,据说去年被警告有网络安全方面的缺陷。一些城市工作人员在社交媒体上抱怨停电,这甚至影响到了当地图书馆。

据报道,每个奥克兰公共图书馆的电脑都出现了故障,迫使图书管理员使用路由单在各分馆之间转移图书。

《圣何塞太阳报》还报道,距离奥克兰约一个半小时车程的莫德斯托市也在处理全市范围内的勒索软件攻击,迫使警察部门重新使用无线电。

该市的一位发言人向《记录报》证实,它最近在其数字网络上发现了可疑的活动。


"在得知这一可疑活动后,出于谨慎,我们战略性地切断了部分网络的连接。我们还与领先的网络安全专家启动了一项调查。莫德斯托市立法事务经理安德鲁-冈萨雷斯说:"目前,该市的一些系统连接有限。不过,我们城市服务基本的能力,包括紧急服务和接听911电话是完全可以运作的。"

近年来,随着各国政府加强网络安全保护,以及一些团体针对资源较少的小政府,像奥克兰这样大的城市受到的勒索软件攻击已经变得越来越少。新奥尔良、亚特兰大和巴尔的摩在2018年和2019年应对了异常的破坏性攻击。塔尔萨在2021年也报告了康蒂勒索软件集团的攻击。亚特兰大被迫花费超过950万美元从该事件中恢复,巴尔的摩据说花费了1900万美元处理他们的攻击。

一个月前,旧金山处理了对其湾区地铁的勒索软件攻击,后来导致掌管公共交通的警察部队的大量敏感信息泄露。

【阅读原文】



3、半导体设备制造商MKS Instruments成为勒索软件攻击的受害者



半导体设备制造商万机仪器集团(MKS Instruments)在近日提交给美国证券交易委员会(SEC)的一份文件中表示,该公司正在调查发生在2月3日的一起影响其生产相关系统的勒索软件攻击事件。

万机仪器集团是一家总部位于马萨诸塞州安多弗的子系统供应商,其子系统用于半导体制造、晶圆级封装、封装基板和印刷电路板。

安全外媒《CSO》在第一时间向万机仪器集团发去了一封电子邮件,欲了解攻击方面的更多信息,但仍未得到回复。该公司的官网在本文发稿时依然无法访问,错误通知显示:“很遗憾,www.mks.com遇到了非计划停运。请稍后再访问网站。”

万机仪器集团高级副总裁、总法律顾问兼秘书Kathleen F Burke在提交给SEC的这份文件中表示:“2023年2月3日,万机仪器集团发现自己沦为了勒索软件事件的受害者,已立即采取行动,启动事件响应和业务连续性规程,以遏制这起事件。”

该公司表示,它已通知执法部门,同时聘请“合适的事件响应专业人员”,调查和评估事件造成的影响。

Burke表示:“这起事件影响了某些业务系统,包括与生产相关的系统。作为遏制这起事件的一项工作,本公司已决定暂停某些生产设施的运营。”

该公司表示,正在努力尽快恢复系统和受影响的运营。Burke说:“尚未确定这起事件造成的全部成本和相关影响,包括本公司的网络安全保险可以在多大程度上抵消其中部分成本。”


勒索软件攻击日益猖獗


就在万机仪器集团报告这起勒索软件事件的前一天,全球各地的国家网络安全机构和安全专家发出了警告,称一起全球性的勒索软件攻击袭击了在VMware ESxi上运行的数千台服务器。

美国、法国和新加坡的国家网络安全机构和组织都发布了有关这起攻击的警报。在法国、德国、芬兰、美国和加拿大,一些服务器已遭到了入侵。据网络安全公司Censys声称,迄今为止,全球已有超过3200台服务器遭到了这起勒索软件攻击。

据网络安全公司Blackfog的数据显示,1月份有33起公开披露的勒索软件攻击,是1月份有记录以来的最高数量。该公司特别指出,约438%的勒索软件攻击并没有对外公开披露,以避免监管处罚、声誉受损和集体诉讼。

另一方面,网络安全保险公司Coalition预测,2023年,平均每月将有1900个严重的常见漏洞和暴露(CVE),数量比2022年增加13%。1900个CVE将包括270个高危险漏洞和155个严重漏洞。预计漏洞数量会进一步增加,其中一些漏洞可能会被用于勒索软件攻击。

【阅读原文】



2023年2月13日 星期一

今日资讯速览:

1、国内10家大厂争做ChatGPT,逐鹿群雄,谁能笑到最后?


2、俄罗斯"WhisperGate"黑客正使用新的数据窃取恶意软件攻击乌克兰


3、美国、英国制裁俄罗斯网络犯罪团伙 Trickbot



1、工信部:关于防范利用VMware ESXi高危漏洞实施勒索攻击的风险提示



    近期,工业和信息化部网络安全威胁和漏洞信息共享平台监测发现,全球多个国家数千台使用VMware ESXi的服务器因存在堆溢出高危漏洞遭受ESXiArgs勒索攻击,造成系统文件被加密后无法使用的事件。

    VMware ESXi是美国威睿公司的一款服务器虚拟化软件,在全球被广泛使用,其OpenSLP服务存在堆溢出高危漏洞,该漏洞发现于2021年2月,可导致远程代码执行,从而获得目标系统管理权限。受影响的产品版本为7.0、6.7、6.5,威睿公司已在2021年2月23日发布相关修复措施(链接:https://www.vmware.com/security/advisories/VMSA-2021-0002.html)。

    为防范利用该漏洞的勒索攻击,建议相关单位和用户排查使用的VMware ESXi产品,及时升级存在漏洞隐患的VMware ESXi版本,同时建议采取禁用OpenSLP服务、严格端口访问控制、升级杀毒软件病毒库、加强病毒查杀、做好重要数据备份等安全措施。

    工业和信息化部网络安全威胁和漏洞信息共享平台将持续做好相关情况监测。相关组织或个人可向平台报送网络产品安全漏洞的情况,共筑安全网络环境。

【阅读原文】



2、俄罗斯"WhisperGate"黑客正使用新的数据窃取恶意软件攻击乌克兰



安全研究人员说,他们最近观察到一个俄罗斯黑客团队,他们是破坏性的WhisperGate恶意软件网络攻击的幕后黑手,以一种新的信息窃取恶意软件为手段攻击乌克兰实体。

赛门铁克的威胁猎手团队将这一活动归因于一个与俄罗斯有关的网络威胁行为者,它之前被称为TA471(或UAC-0056),自2021年初以来一直活跃,该组织支持俄罗斯政府的利益,虽然它主要针对乌克兰,但该组织也一直活跃在北美和欧洲的北约成员国。

TA471与WhisperGate有关,这是一种破坏性的数据清除恶意软件,在2022年1月针对乌克兰目标的多个网络攻击中使用。该恶意软件伪装成勒索软件,但使目标设备完全无法操作,即使支付赎金要求也无法恢复文件。

据赛门铁克称,该黑客组织的最新活动依靠以前未曾见过的信息窃取恶意软件,这被称之为"Graphiron",特别用于针对乌克兰组织。据研究人员称,该恶意软件被用来从2022年10月至至少2023年1月中旬的受感染机器中窃取数据,有理由认为它仍然是[黑客]工具包的一部分。"

这种窃取信息的恶意软件使用的文件名旨在伪装成合法的微软Office文件,与其他TA471工具类似,如GraphSteel和GrimPlant,它们之前被用作专门针对乌克兰国家机构的鱼叉式钓鱼活动的一部分。但赛门铁克表示,Graphiron旨在渗出更多数据,包括屏幕截图和私人SSH密钥。

赛门铁克威胁猎手团队首席情报分析师迪克-奥布莱恩(Dick O'Brien)表示:"从情报角度来看,这些信息本身可能是有用的,或者可以用来深入目标组织或发起破坏性攻击。虽然对这个黑客组织的来源或战略知之甚少,但TA471已经成为俄罗斯对乌克兰持续进行的网络活动中的关键角色之一。"

TA471的最新间谍活动的消息是在乌克兰政府对另一个俄罗斯国家支持的黑客组织(被称为UAC-0010)敲响警钟后的几天,该组织继续对乌克兰组织进行频繁的网络攻击活动。

乌克兰国家网络保护中心说:"尽管主要使用重复的技术和程序,但对手缓慢但坚持地发展他们的战术,重新开发使用的恶意软件变体,以保持不被发现。因此,它仍然是我们国家的组织所面临的关键网络威胁之一"。

【阅读原文】



3、美国、英国制裁俄罗斯网络犯罪团伙 Trickbot


美国和英国周四对俄罗斯网络犯罪集团Trickbot的七名成员实施了联合制裁。尽管美国此前已对俄罗斯网络罪犯采取行动,但Trickbot制裁是英国首次实施此类制裁。英国政府周四发布的新闻稿称,Trickbot制裁是第一波新协调行动的一部分打击国际网络犯罪。 Trickbot 是一个臭名昭著的俄罗斯网络犯罪团伙,与俄罗斯情报部门关系密切。据美国财政部称,Trickbot 一直在协调其攻击以符合“俄罗斯国家目标”,包括对美国政府进行攻击。根据Chainalysis 的数据,Trickbot 至少赚取了 7.24 亿美元的加密货币,使其成为利润第二大的网络犯罪团伙,仅次于朝鲜的 Lazarus Group。

【阅读原文】



2023年2月10日 星期五

今日资讯速览:

1、因网络攻击造成近亿元损失,这家半导体厂商股价大跌


2、近20年全球网络安全专利数据分析:美国第一、中国第二


3、匿名者泄露了俄罗斯 128GB 数据,揭露了FSB 的秘密



1、因网络攻击造成近亿元损失,这家半导体厂商股价大跌



安全内参2月8日消息,英国半导体材料厂商摩根先进材料(Morgan Advanced Materials)日前披露,上月发生的网络攻击可能造成高达1200万英镑(约合人民币9799万元)的损失。消息一出,公司股价旋即跳水。

摩根先进材料主要为半导体制造业供应陶瓷与碳部件,是伦敦证券交易所上市的350家最具价值企业之一。他们在今年1月曾宣布,“从企业网络上检测到了未经授权的活动,目前正在处理相关网络安全事件。”


符合勒索软件攻击特征,部分工厂改为手动操作运营


此次事件的性质尚未得到证实,但从监管新闻服务(Regulatory News Service)上发布的投资者公告来看,事件影响部分的描述基本可以断定是勒索软件攻击。

摩根先进材料公司表示,旗下所有制造工厂均在正常运营。“只是在系统恢复期间,部分制造工厂临时转为手动操作流程。”

该公司承认,“经过论证,少数系统已经无法恢复”,应对办法则是引入云端企业资源规划解决方案,也就是利用SaaS产品取代所有内部部署的IT系统。

昨日消息公布后,摩根先进材料的股价立即下跌超5%,收盘时跌幅为4.91%。

图:摩根先进材料当日股价变化,安全内参截取


该公司宣布,“此次事件造成的额外损失可能达到800万至1200万英镑,其中包括专家咨询费,以及恢复整个摩根集团下众多相关系统的成本。”

摩根先进材料成立于1856年,是英国领先的专业材料制造商之一,主要设计工业部件,以及用于电动汽车、太阳能电池板和半导体制造工艺的各类材料。公司在全球拥有近7800名员工,年收入超过9.5亿英镑(约合人民币77.6亿元)。

该公司警告称,目前已经有多处单位“受到网络安全事件影响,致使生产和运输重启出现了延迟。”再加上处理事件的额外成本,预计公司的利润率将遭受打击。

“虽然今年1月的市场需求依然强劲,但我们在复工期间出现了生产效率低下的情况。根据当前估计,在对2023财年的预期营业利润做出调整之后,结果可能比原本预期低出10%至15%。”

另外一家英国工程陶瓷材料商Vesuvius Plc也在本周一透露,他们正在处理一起“网络事件”。

【阅读原文】



2、近20年全球网络安全专利数据分析:美国第一、中国第二




安全内参2月9日消息,过去十年来,全球网络安全专利申请激增,其中美国企业处于领先地位。



根据法国软件公司IS Decisions公布的数据,21世纪以来全球共提交约2270项网络安全专利申请。该数据基于世界知识产权组织PATENTSCOPE检索系统统计,统计的主要关键词有“cyber security”和“cybersecurity”。
























按申请年份统计









绝大多数网络安全专利申请(约97%)都是自2010年之后提交的,这也正是全球网络攻击激增的标志性一年。

卡巴斯基的一份早期报告显示,2010年全球网络攻击总数增加了约8倍,破坏伊朗核武器计划的恶意蠕虫病毒“震网”(Stuxnet)更是为接下来的网络安全瞩目十年拉开了帷幕。此后,还出现了朝鲜Lazarus团伙入侵索尼,暗网毒品市场“丝绸之路”(Silk Road)被取缔。

面对不断升级的威胁,各国争相寻求能够抵御网络攻击的创新方法。从数据上看,网络安全专利申请的数量确实已经拉开了差距。

图片

图:新世纪以来每年网络安全专利申请数量
























按申请国家统计








美国专利商标局在2000年至2022年收到1087项与网络安全相关的专利申请,位居榜首。研究人员表示,美国拥有全球最大的网络安全从业者规模,总数约110万,自然在网络创新方面处于领先地位。

根据专利合作条约的跨国申请,在全球网络安全专利申请中位列第二,自2000年以来共有326件。国际专利持有人可以在世界知识产权组织的全部156个成员国内,捍卫和保护自己的知识产权。

专利申请数量位列第三(按国家排名第二)的中国,在全球网络安全专利申请的占比仅为13%。2014年中科院的一项研究发现,中国的专利申请质量低于世界平均水平,中国政府已经要求优先改善这方面问题。

图片

图:各国网络安全专利申请数量
























按申请公司统计








在申请网络安全专利最多的10家公司中,有5家来自美国,包括IBM、波音、微软、霍尼韦尔及Qomplx。

不过,来自中国的中国电子科技集团公司(简称中国电科,CETC)表现很是亮眼,该公司以135项专利申请数量摘得桂冠,位列前三的还有美国工业巨头霍尼韦尔和以色列汽车网络安全公司Argus Cyber Security。

图片

图:网络安全专利申请数量Top 10公司
























按攻击类型统计








根据IS Decisions统计,大部分专利集中在应对拒绝服务(DoS)和分布式拒绝服务(DDoS)攻击的工具方面。研究人员表示,“此类攻击的实施成本、先进程度和风险水平都已超过以往任何时候,因此对预防方法的需求比以往更加迫切。”

图片

图:按照攻击类型统计的网络安全专利申请

DDoS与DoS相关专利的主要申请方来自电信行业,日本Nippon Telegraph & Telephone(NTT)、韩国电子与电信研究所(ETRI)以及中国移动都是其中典型。

华为、IBM、三星和飞利浦等公司申请的专利,则大多与窃听攻击、跨站点脚本和重播攻击的防范有关。恶意黑客可以通过这些手段冒充真实客户,进而接管受害者账户。

研究人员还发现,针对高级持续性威胁和恶意软件攻击的工具,在全部专利申请中所占比例不足2%。


【阅读原文】



3、匿名者泄露了俄罗斯 128GB 数据,揭露了FSB 的秘密




匿名者组织上周发布了 128 GB 的文件,据称这些文件是从俄罗斯互联网服务提供商 Convex 窃取的。庞大的数据宝库由 Anonymous 附属集团 Caxxii 的附属机构租用。被盗文件包含情报部门 FSB 进行的天罗地网监视活动的证据。

 

据称,这种监视活动被归类为未经授权的窃听、间谍活动和对平民的无证监视,这些都是违反该国法律的。

 

2015 年,在Zakharov 诉俄罗斯一案中,欧洲人权法院警告称,管辖该国调查活动系统监控系统的法律并未提供充分有效的保障,防止任意和滥用任何秘密监控系统,敦促克里姆林宫规避法定授权要求。

 

2016 年 Yarovaya 法的通过允许当局在不需要法院命令的情况下获取通信信息。

 





什么数据被转储了?










 

据悉,公民的互联网和电话使用情况,以及尚未公开的绿色原子监视计划的独家细节,匿名者组织声称,是由俄罗斯联邦安全局运营。该数据还包含数千名俄罗斯公民的记录,他们是该计划针对的俄罗斯公司的客户。

 

根据匿名者组织的说法,Green Atom 数据提供了俄罗斯政府滥用其法律结构的程度的证据,因为 Convex 几乎捕获了全部数据。Anonymous 还指出,他们有更多关于 FSB 情报收集活动的未公开信息。

 





什么是绿色原子监督计划?











 匿名者组织表示数据是从 Convex 窃取的,这导致该公司一直在运行一个名为 Green Atom 的项目,该项目涉及安装和维护监控设备以监控俄罗斯公民和私营公司的在线活动。

 



图片




通过绿色原子计划,政府可以执行广泛的监视活动,使用 Convex 的设备来监视他们的进出流量。

 

在发布本文时,数据可在 DDoSecrets 的官方网站上获得。

 



图片



 

匿名 - 俄罗斯和乌克兰冲突

 

随着对俄罗斯网络的匿名网络攻击,乌克兰与俄罗斯的冲突达到了一个新的水平。致力于打击审查制度和腐败的国际黑客组织匿名者迄今已声称对针对俄罗斯政府和私营部门的多起网络和社会工程攻击负责。

 

该集体的一些攻击包括入侵 Yandex 出租车应用程序(1)、支付处理器 Qiwi (2)、文化部(3)、国营广播公司(4)、俄罗斯中央银行(5)、不安全的打印机(6)、安全摄像头(7)、媒体审查机构 Roskomnadzor (8)、90% 的俄罗斯错误配置数据库(9)、电视传输(10)、电动汽车充电站(11)等等。


【阅读原文】



2023年2月9日 星期四

今日资讯速览:

1、外媒:黑客利用向日葵软件漏洞部署远控木马


2、难以置信!两周,微软遭遇两次重大故障


3、PlugX恶意软件隐藏在USB设备上,以感染新的Windows主机



1、外媒:黑客利用向日葵软件漏洞部署远控木马



安全内参2月8日消息,外媒黑客新闻报道称,恶意黑客正在利用向日葵(Sunlogin)软件的已知漏洞来部署Silver C2框架,以实施后续入侵活动。

这一安全事件调查由韩国安全公司AhnLab的安全应急响应中心(ASEC)发布。该中心发现,中国远程桌面控制软件向日葵的安全漏洞已遭到利用,攻击者正借此部署各种恶意载荷。

研究人员表示,“恶意黑客不仅使用了Silver后门,还使用了BYOVD(自带易受攻击驱动程序)来破坏安全产品并安装反向shell。”

攻击者首先利用向日葵v11.0.0.33及更早版本中的两个远程代码执行漏洞(CNVD-2022-03672 和 CNVD-2022-10270)打开局面,然后借此传播Silver或其他恶意软件,例如Gh0st RAT和XMRig加密货币采矿程序。

在相关案例中,恶意黑客据称利用向日葵漏洞安装了PowerShell脚本,该脚本又利用BYOVD技术使得系统中已安装的安全软件失效,最后使用Powercat投放了反向shell。

BYOVD技术滥用了合法但却易受攻击的Windows驱动程序mhyprot2.sys。该驱动程序经过有效证书的签名,可获得更高权限并终止反病毒进程。

值得注意的是,趋势科技此前曾经披露过,有攻击者利用原神冲击(Genshin Impact)游戏的反作弊驱动程序(包括mhyprot2.sys)部署勒索软件。

研究人员指出,“目前还不确定,这次是否出自同一批恶意黑客之手,但几个小时之后,日志显示被攻击系统确实由于向日葵远程代码执行漏洞而被装上了Silver后门。”

从调查结果来看,这批黑客打算利用由Go语言编写的合法渗透测试工具Silver,替代以往的Cobalt Strike和Metasploit。

研究人员总结道,“Silver提供必要的分步功能,例如账户信息窃取、内部网络横移以及企业内网越界,跟Cobalt Strike非常相似。”

【阅读原文】



2、难以置信!两周,微软遭遇两次重大故障



周一晚间,据微软总部所在地华盛顿州雷德蒙市报道:北美及其他地区的用户无法访问某些服务,包括 Outlook.com 网络邮件。这一故障一直持续到星期二。

随后,微软在Office.com服务状态页面写道:"位于北美地区的用户试图访问Outlook.com,可能无法发送、接收或搜索电子邮件。其他功能,如 Microsoft Teams 等其他服务所使用的日历也会受到影响。

众包网站和服务中断报告的Downdetector网站显示,从世界标准时间凌晨 3 点 24 分开始,用户报告 Outlook 问题的数量激增。

这次故障似乎只影响到微软以消费者为中心的服务。Outlook.com是其免费的网络邮件服务,以前称为Hotmail,与Outlook for Web和OWA不同,后者是以企业为中心的网络邮件。

微软表示,“Microsoft Teams 等其他服务使用的 Outlook.com 功能(例如日历 API)也受到影响。” 这似乎只是对其消费者版本的 Teams 的引用。

微软上一次遭受重大故障是在13天前,当时其内部团队所做的 "广域网络路由变更 "导致微软365用户的全球中断。具体来说,许多Azure云服务变得无法访问,包括Outlook、Microsoft Teams、SharePoint Online、OneDrive for Business等(见:Microsoft 365云服务中断扰乱了全球用户)。


Outlook的访问和服务问题


微软周二凌晨4点04分(UTC)首次确认其最新的故障,20分钟后发推文表示“正在调查Outlook的访问和服务问题"。

此后不久,微软表示此次故障与最近更改的服务器有关,并开始 "有针对性地重新启动基础设施中受最近变化影响的部分",以尝试解决这个问题。

微软在UTC上午6点46分发布推文"我们的目标资源正在取得进展,我们在一些环境中看到了轻微的改善,"。另外,我们正在寻找其他方式,以加快解决。

此次故障不仅涉及北美的基础设施,在全球范围内仍然可以看到中断现象。对此,微软在报告中解释道:"由于北美基础设施的受影响部分,北美以外其他地区的用户可能会经历一些残余的影响”。

随后,随着微软继续重新启动许多系统一些受影响地区的用户逐渐得到改善。"

截至UTC上午9:37,微软报告称,服务尚未完全恢复。"我们正在对受影响的基础设施的一个子集应用有针对性的缓解措施,并验证它已经减轻了影响。我们还在进行流量优化工作,以减轻用户的影响,并加快恢复"。


服务恢复


周二晚些时候,微软报告说,在问题开始约12小时后,问题已基本得到解决。微软说:"我们可以从遥测数据中看到,大部分影响已经得到补救,服务可用性达到99.9%。"我们正在继续监测环境,并对显示有残留影响的后端邮箱组件进行有针对性的重新启动,以确保所有用户的恢复。"

【阅读原文】



3、PlugX恶意软件隐藏在USB设备上,以感染新的Windows主机



安全研究人员近日分析了PlugX恶意软件的一个变种,这个变种可以将恶意文件隐藏在可移动USB设备上,然后伺机感染USB设备所连接的Windows主机。

这种恶意软件使用了研究人员所说的“一种新颖技术”,可以让它在较长时间内不被发现,并且有可能传播到严加保护的系统。

派拓网络公司(Palo Alto Network)的Unit 42团队在响应Black Basta勒索软件攻击时发现了这个PlugX变种的样本,而Black Basta勒索软件攻击依赖GootLoader和Brute Ratel后利用(post-exploitation)工具包用于红队攻击活动。

Unit 42团队在寻找类似的样本时还在Virus Total扫描平台上发现了PlugX的一个变种,它可以找到受攻击系统上的敏感文件,并将它们复制到USB驱动器上的一个隐藏文件夹中。


将PluxX隐藏在USB驱动器中


PlugX是一种颇有些年头的恶意软件,至少从2008年开始使用,最初只被亚洲的黑客组织使用。如今其中一些黑客组织将其与数字签名软件结合使用,以便侧加载加密的攻击载荷。

然而随着时间的推移,PlugX变得极其广泛,多个威胁组织在攻击中采用了它,因而对其的使用进行追根溯源显得困难重重。

在Unix 42团队观察到的近期攻击中,威胁分子使用了“x64dbg.exe”这个Windows调试工具的32位版本和“x32bridge.dll”被投毒的版本,后者加载PlugX攻击载荷(x32bridge.dat)。

图片

图1. 感染链示意图(图片来源:Unit 42团队)

撰写本文时,Virus Total扫描平台上的大多数防病毒引擎都并未将该文件标记为恶意文件,61个产品中只有9个检测出了它。

图片

图2. VirusTotal扫描结果(图片来源:BleepingComputer.com)

PlugX恶意软件的最近样本被Virus Total上数量更少的防病毒引擎检测出来。其中一个样本(去年8月份添加)目前仅被该平台上的三个产品标记为是威胁。很显然,实时安全代理依赖多种检测技术,这些技术查找由系统上的文件生成的恶意活动。

研究人员解释道,他们遇到的PlugX版本使用Unicode字符在被检测的USB驱动器中创建一个新目录,这使得它们在Windows资源管理器和命令shell中不可见。这些目录在Linux上是可见的,但在Windows系统上隐藏起来。

Unit 42团队称:“恶意软件为了实现从隐藏的目录执行代码,在USB设备的根文件夹上创建了一个Windows快捷方式(.lnk)文件。”

“恶意软件的这个快捷路径含有Unicode空白字符,这是一个不会导致断行,但在通过Windows资源管理器查看时不可见的空格。”

恶意软件在隐藏目录上创建一个“desktop.ini”文件,以指定根文件夹上的LNK文件图标,使其看起来像一个USB驱动器,以欺骗受害者。与此同时,“RECYCLER.BIN”子目录起到了伪装作用,在USB设备上存放恶意软件的副本。

图片

图3. 快捷方式文件属性(图片来源:Unit 42团队)

Sophos研究人员在2020年底分析PlugX的旧版本时已经目睹了这种技术,不过当时研究的重点是作为执行恶意代码的一种方式的DLL侧加载。

受害者点击USB设备根文件夹上的快捷方式文件,该文件通过cmd.exe执行x32.exe,从而导致主机感染上PlugX恶意软件。

同时,一个新的资源管理器窗口将打开,显示用户在USB设备上的文件,使一切看起来很正常。

在PlugX潜入设备后,它会持续监测新的USB设备,一旦发现它们,就企图感染。

图片

图4. 干净的USB驱动器与被感染的USB驱动器比较(图片来源:Unit 42团队)

Unit 42团队在研究过程中还发现了PlugX恶意软件同样针对USB驱动器的的窃取文档的变种,但这个变种多了一项本领:可以将PDF和微软Word文档复制到隐藏目录中一个名为da520e5的文件夹。

目前还不清楚这伙威胁分子如何从USB驱动器中获取这些“从本地向外泄露”的文件,但物理访问可能是其中一种手段。

虽然PlugX通常与政府撑腰的威胁分子有关联,但这种恶意软件可以在地下市场上买到,网络犯罪分子也使用过它。

Unit 42团队的研究人员表示,鉴于新的发展动向使PlugX更难被发现,因而得以通过可移动驱动器传播开来,它有可能进入到严加保护的网络。

【阅读原文】



2023年2月8日 星期三

今日资讯速览:

1、“网上购物类”App个人信息收集情况测试报告


2、瑞星发布《2022年中国网络安全报告》


3、警惕:2023年每月新增1900个危险漏洞



1、“网上购物类”App个人信息收集情况测试报告



  近期,中国网络空间安全协会、国家计算机网络应急技术处理协调中心对“网上购物类”公众大量使用的部分App收集个人信息情况进行了测试。测试情况及结果如下:






  一、测试对象






  本次测试选取了19家应用商店⁽¹⁾累计下载量排名前10位的“网上购物类”App。10款App基本情况如表1。

表1  10款App基本情况

图片






  二、测试方法






  (一)测试环境

  本次测试选取相同品牌、型号的手机终端,安装相同版本安卓操作系统,分别部署10款App,在相同网络环境下进行同步操作。

  (二)测试场景

  以完成一次网上购物活动作为测试单元,包括启动App、搜索商品、购物下单3种用户使用场景,以及后台静默应用场景⁽²⁾。

  (三)测试内容

  本次测试包括系统权限调用、个人信息上传、网络上传流量3项内容。






  三、测试结果






  (一)系统权限调用情况

  测试发现,10款App在4种场景下调用了位置、设备信息、剪切板、应用列表4类系统权限,未发现调用相机、麦克风、通讯录等其他权限。

  在启动App场景中,调用系统权限种类最多的为拼多多(4类),调用系统权限次数最多的为苏宁易购(357次)。具体情况如表2。

表2  启动App场景调用系统权限情况

图片

  在搜索商品场景中,调用系统权限种类最多的为淘宝(3类),调用系统权限次数最多的为苏宁易购(152次)。具体情况如表3。

表3  搜索商品场景调用系统权限情况

图片

  在购物下单场景中,调用系统权限种类最多的为手机天猫(3类),调用系统权限次数最多的为苏宁易购(255次)。具体情况如表4。

表4  购物下单场景调用系统权限情况

图片

  在后台静默场景中,调用系统权限种类最多的为拼多多(4类),调用系统权限次数最多的为苏宁易购(1199次)。具体情况如表5。

表5  后台静默场景调用系统权限情况

图片

  (二)个人信息上传情况

  测试发现,10款App上传了6种类型个人信息:①位置信息,包括经纬度、街道地址、当前连接WiFi MAC地址、当前连接基站信息、周边可用WiFi MAC地址等;②唯一设备识别码,包括IMEI(国际移动设备识别码)、IMSI(SIM卡国际移动用户识别码)、Android ID(安卓ID)、OAID(开放匿名设备标识符)、手机MAC地址等;③剪切板内容信息,包括商品分享链接、最近复制的文本等;④应用列表信息,包括手机上已安装、正在运行、新安装和新卸载的应用信息等;⑤购物信息,包括商品搜索词、订单信息等;⑥登录信息,包括用户ID、登录状态等。

  在启动App场景中,个人信息上传种类最多的为拼多多(4类)。具体情况如表6。

表6  启动App场景个人信息上传情况

图片

  在搜索商品场景中,个人信息上传种类最多的为拼多多和手机天猫(均为4类)。具体情况如表7。

表7  搜索商品场景个人信息上传情况

图片

  在购物下单场景中,个人信息上传种类最多的为淘宝、京东、苏宁易购(均为4类)。具体情况如表8。

表8  购物下单场景个人信息上传情况

图片

  在后台静默场景中,个人信息上传种类最多的为拼多多(3类)。具体情况如表9。

表9  后台静默场景个人信息上传情况

图片

  (三)网络上传流量情况

  测试发现,10款App在用户完成一次网上购物活动(启动App、搜索商品、购物下单)时,上传数据流量平均⁽³⁾最多的为苏宁易购,约为653KB;平均最少的为荣耀亲选,约为115KB。具体情况如图1。

图片

  图1  完成一次网上购物活动平均上传数据流量(单位:KB)

  测试发现,10款App后台静默12小时,上传数据流量平均⁽⁴⁾最多的为手机天猫,约为92KB;平均最少的为唯品会,约为1.4KB。具体情况如图2。

图片

  图2  后台静默12小时平均上传数据流量(单位:KB)

  注释:

  ⁽¹⁾包括华为应用市场、小米应用商店、腾讯应用宝、OPPO软件商店、VIVO应用市场、360手机助手、百度手机助手、豌豆荚手机助手、历趣应用商店、乐商店、魅族应用商店、移动MM商店、太平洋下载、中关村在线、木蚂蚁安卓应用市场、多特软件站、华军软件园、西西软件园、绿色资源网。

  ⁽²⁾启动App指用户点击图标至主界面加载完成;搜索商品指用户选中搜索框,输入搜索词,点击搜索并选择第一项搜索结果;购物下单指用户点击购买按钮,选择收货地址,提交订单至确认付款页面;后台静默指用户将App切换至后台保持静默运行状态。

  ⁽³⁾共重复测试24次。

  ⁽⁴⁾共重复测试7次。

【阅读原文】



2、瑞星发布《2022年中国网络安全报告》



政府、军工领域成为APT攻击主要目标

近日,瑞星公司发布《2022年中国网络安全报告》,该报告综合瑞星“云安全”系统、瑞星安全研究院、瑞星威胁情报平台等部门的数据与资料,针对恶意软件、恶意网址、移动安全、企业安全、勒索软件等领域作出详尽分析,并对未来网络安全趋势提出建设性观点。

2022年病毒总体数量呈下降趋势

报告指出,2022年瑞星“云安全”系统共截获病毒样本总量7,355万个,比2021年同期下降了62.19%,病毒感染次数1.24亿次。新增木马病毒4,515万个,为第一大种类病毒,占到总体数量的61.39%。其中,勒索软件样本57.92万个,感染次数为19.49万次;挖矿病毒样本总体数量为261万个,感染次数为79.75万次。另外截获手机病毒样本152.05万个,病毒类型以信息窃取、远程控制、恶意扣费、资费消耗等类型为主。

 

图片

图:2022年病毒类型统计

2022年政府、军工领域成为APT攻击主要目标

2022年,APT攻击组织依然猖獗,引发的攻击事件层出不穷,如APT-C-23、Lazarus Group、Patchwork等威胁组织频繁发起有针对性的攻击,目标多涉及政府、军工等重要领域,攻击手段依然以钓鱼邮件为主;BlueNoroff组织则采用了能够绕过Windows Mark of the Web(MotW)保护的新型技术;而APT37组织利用了CVE-2022-41128漏洞来发起攻击。这些APT组织最终均以信息窃取和远程控制为目的,窃取受害者的文件列表、键盘记录和存储的Web浏览器登录凭据等各类隐私信息。

 

图片

图:Patchwork组织在攻击中使用的诱饵文档

2022年勒索攻击依然活跃且危害严重

据瑞星“云安全”系统显示,2022年勒索软件感染次数比2021年下降了68.77%,在这种情况下,仍有很多政府机构和企业成为勒索组织的攻击目标。著名的勒索软件BlackCat和LockBit甚至在暗网罗列了受害者名单以昭告天下,这些受害机构一旦遭到攻击,轻则造成业务系统瘫痪,蒙受经济损失,重则导致社会性服务的停止,影响城市甚至国家正常运行。在本次报告中,瑞星就根据特性、攻击方式、攻击事件等角度详细介绍了年度十大勒索软件,如Lapsus$、LockBit、RansomHouse、Hive等。

 

图片

图:Lapsus$组织泄露的微软Azure DevOps帐户屏幕截图

2023年网络安全趋势预测

在《2022年中国网络安全报告》中,瑞星针对APT攻击、勒索软件、钓鱼邮件、新老漏洞等方面,给出了相应的建设性建议,供广大用户参考。同时还提到开源软件生态被“投毒”现象,软件开发者应引起重视,在自身软件中引入开源项目时务必谨慎,要确保开源软件的来源可靠,并保持持续性监测。相关行业也应积极推动开源生态监测系统、软件成分分析(SCA)、软件物料清单(SBOM)等安全手段和安全措施的应用,以帮助企业和开发者更好地规避、更快地解决开源软件带来的软件安全风险。

目前,《2022年中国网络安全报告》已可下载,广大用户可关注瑞星企业安全(官方微信:
risingqiyeanquan)获取,便于了解更加详细的网络安全数据、攻击事件详细分析及未来网络安全形势。

【阅读原文】



3、警惕:2023年每月新增1900个危险漏洞



根据网络安全保险公司Coalition最新发布的网络威胁指数报告,预计2023年平均每月将有1900个危险漏洞披露,比2022年增长13%,其中高危漏洞270个、严重高危漏洞155个。



最新的“网络威胁指数”预测基于Coalition公司过去十年通过其主动风险管理与预防技术收集的数据,这些数据来自承保和索赔、其全球蜜罐传感器网络以及对超过52亿个IP地址的扫描。


报告称,2023年绝大多数漏洞利用发生在公开披露后90天内,其中大多数利用集中在漏洞披露后30天内。

据Coalition介绍,该预测模型基于其季节性自回归综合移动平均模型,分析了过去十多年的漏洞和季节性数据,在此基础上对2023年的新增漏洞数量、类型和严重性进行了预测。



Coaliton还分析了蜜罐监测到的22000次网络攻击,以了解攻击者的技术。


94%的企业至少有一个未加密服务公开暴露


报告指出,在2022年扫描的组织中,94%的企业至少有一个未加密的服务暴露在互联网上。远程桌面协议(RDP)仍然是网络攻击者最常扫描的协议,这表明攻击者仍然更喜欢利用旧协议的新漏洞访问系统。

此外,Elasticsearch和MongoDB数据库的攻击率很高,有信号显示大量数据库已被勒索软件攻击得手。

未经身份验证的数据库访问在2022年有所增加,尤其是Redis。报告称,这是因为Redis易于使用和扩展。许多企业可能缺乏安全重点或专业知识,这导致数据库配置错误或缺乏安全控制。这使得大量数据暴露在互联网上,面临被盗或被勒索赎金的风险。

报告建议企业IT和安全团队在漏洞补丁发布后的30天内优先修补面向公众开放的基础设施和面向互联网的软件漏洞,并遵循定期升级周期来缓解旧软件中的漏洞。


新的漏洞评估模型:CESS


2023年Coalition开发了一个全新的漏洞评分机制,名为联盟漏洞利用评分系统(CESS)。其目标是创建一个评分机制完全透明,更加准确的漏洞评估系统,以便安全社区可以提供改进建议。

CESS的灵感来自漏洞预测评分系统(EPSS)和通用漏洞扫描系统(CVSS),侧重于提供定制信息,可根据攻击者利用漏洞的可能性来辅助网络安全承保业务。

CESS系统的核心是能够为安全研究人员提供两个关键信息:漏洞利用的可用性和漏洞利用的可能性。

EPSS专注于两个核心指标:效率和覆盖范围。效率值显示企业利用资源来解决已修复漏洞的百分比。EPSS指出,与仅通过CVSS基于严重性评分的随机漏洞相比,将企业的大部分资源用于修复大多数已知利用的漏洞更有效。覆盖范围则是查看已修复的被利用漏洞的百分比。

EPSS专注于利用概率最高的漏洞,能帮助企业最大化利用稀缺的安全资源来降低风险,并最大限度地减少开发团队摩擦。

报告地址:

https://info.coalitioninc.com/rs/566-KWJ-784/images/Coalition_Cyber-Threat-Index-2023.pdf

【阅读原文】



2023年2月7日 星期二

今日资讯速览:

1、任天堂游戏疑遭数据泄露?16岁黑客声称破解任天堂NX


2、美国能源部三大实验室遭网络攻击,已引起立法者注意


3、北欧国家联手加强网络防御的最新举措



1、任天堂游戏疑遭数据泄露?16岁黑客声称破解任天堂NX



一名BreachForums成员声称已经入侵了日本跨国视频游戏公司Nintendo NX的游戏机。化名netbox的自称16岁的人在帖子中表示,任天堂的开发者门户网站被黑客入侵,任天堂网络的文档、开发工具、源代码和后端代码等机密信息已被获取。

“这可能是我有史以来最大、最夸张的泄密事件。我向您展示了最终的漏洞,一个比Discord漏洞更大的漏洞。这是Nintendo NX LEAK,”黑客在帖子中写道。

据称泄露的内容与Nintendo Switch有关,可能包括有关其内部运作、游戏源代码和图形文件的信息。泄漏的总大小估计超过50GB。

Nintendo Switch最初被称为NX,于2015年3月首次向公众推出,作为任天堂与手机游戏开发商DeNA合作的一部分。

在一年半的时间里,这款游戏机在正式命名为Nintendo Switch之前一直以这个代号为人所知。

Cyber Express已联系游戏公司以确认黑客的说法。目前尚未得到确认的回复。

少年黑客炫技?

“我一直在进行黑客攻击,直到我获得了一个可以访问Nintendo Switch的帐户的凭据。然后我开始弄清楚他们的技术是如何工作的。然后我发现他们的CDN上可能有超过50GB的内容,”黑客在论坛上的帖子中写道。

一个应用程序保护着该网站的Nintendo Switch,令人垂涎的内容受到牢不可破的加密保护——一个唯一的标识符(UID),它拒绝了所有的发现尝试。黑客声称他使用了任天堂提供给其信任的开发商NDI的工具。

这个在线工具专为创建“开发环境”和管理开发硬件而设计,是打开信息宝库之门的钥匙。文档、SDK代码、工具等——黑客能够下载所有内容。

黑客还发现了以ZARF格式打包的文件,大多数文件浏览器都无法破解这些文件。黑客能够成功解锁加密任天堂文件夹中的文件和文档。

[Zarf是一种免费的开源工具,可简化应用程序和资源在AirGap或断开连接的环境中的设置和部署。Zarf 使您能够在不依赖互联网连接的情况下快速安全地将现代软件部署到这些类型的系统上。它还简化了DevSecOps功能的安装、更新和维护,例如Kubernetes集群、日志记录和开箱即用的SBOM合规性。最重要的是,即使应用程序和系统断开连接,Zarf也能保持运行。]

通过绕过传统方法并利用Windows 10虚拟机,黑客从安全的ZARF档案中提取了令人垂涎的ZIP文件,并从游戏巨头那里获取了机密内容。

“我现在可以下载所有内容而无需以合法方式安装它,这让我首先构建了这个漏洞。所有这些都是在Windows 10虚拟机下完成的,这是一件很痛苦的事情。但现在我要把它带给你!”黑客在结束帖子时写道。

哪些数据遭到泄露?

当黑客旨在在线存在而不是赎金或金钱利益时,这并不新鲜。一些网络犯罪分子侵入公司以向在线社区证明他们的价值和技能,在这起特定事件中似乎就是这种情况,因为这位16岁的黑客通过要求任何付款来展示他的技能。但是,下载数据的人确实需要解密密钥。

泄露的数据包括以下信息:

  • NX系统内部运作相关的文档(NX是Nintendo Switch的代号)

  • 任天堂游戏开发相关开发工具(Nintendo SDK 和 Unity for NX)

  • 许多Nintendo Switch游戏中使用的Nintendo工具相关的源代码!

  • 任天堂网络(NPLN、NEX、Pia)的后端代码

  • 图形、文件和其他重要数据

黑客想让接收者享受泄露的信息而不期望得到补偿。该个人建议通过使用#NXLeaks标签使其成为社交媒体上的热门话题来传播对泄密事件的认识。

【阅读原文】



2、美国能源部三大实验室遭网络攻击,已引起立法者注意




在针对美国能源部掌管的三个国家实验室的一系列网络攻击之后,众议院立法者要求获得有关黑客事件的相关文件,以调查其范围和该机构当前的网络安全态势。这些攻击据称是由俄罗斯进行的,发生在 2022 年 8 月和 2022 年 9 月,可能会暴露美国敏感的科学研究。

 

据悉,这些攻击是由名为 Cold River 的黑客组织实施的,立法者指出该组织“卷入”了为俄罗斯政府谋利的行动。Cold River 采用的黑客策略包括为三个目标实验室创建虚假登录页面并将其发送给相关科学家,然后提示他们输入密码信息。

 

众议院监督与问责委员会和科学、空间与技术委员会的领导层在致能源部长詹妮弗·格兰霍姆的一封信中概述了 2022 年 8 月至 9 月期间发生的三起独立网络攻击,目标是与美国国家安全和科学竞争力相关的信息。据报道,袭击发生在布鲁克海文国家实验室、阿贡国家实验室和劳伦斯利弗莫尔国家实验室。

 

信中写道:“尽管尚不清楚入侵是否成功,但令人震惊的是,对手竟将从事对美国国家安全和至关重要的从事科学研究的政府实验室作为目标。委员会要求提供与这些事件相关的文件和信息,以确定其影响,并评估美国能源部为确保其国家实验室敏感科学研究和开发的持续安全所做的工作。”

 



图片



图片



立法者正在寻求每个实验室关于 2022 年 7 月至今的黑客攻击企图的通信细节。包括支持 Energy 的承包商和分包商之间就黑客攻击以及其他联邦机构进行的沟通。一位机构发言人向Nextgov重申,该机构正在认真考虑其网络防御。

 

“作为我们正在进行的审查的一部分,能源部没有发现信息被泄露的证据。能源部将继续与我们的联邦合作伙伴合作,以应对和调查任何潜在的威胁和违规行为,确保在美国国家实验室进行的科学研究保持安全。”发言人说。

 

网络攻击的背景是俄罗斯和美国以及双边北大西洋公约组织中的其他国家之间的地缘政治冲突,这是由持续不断的俄乌冲突引起的。

 

一些受到这些网络攻击的联邦政府资助的研究实验室在最近几个月也取得了突破性的科学成就。位于加利福尼亚州的劳伦斯利弗莫尔实验室利用聚变点火技术产生能源,成为全球新闻。Brookhaven 和 Argonne 实验室也分别在核物理和粒子物理以及工程研究方面进行关键研究。


【阅读原文】



3、北欧国家联手加强网络防御的最新举措



据美国防新闻网站2023年1月18日报道,挪威作为2023年北欧理事会轮值主席国,正率先为北欧地区制定一项以防御为重点的共同的网络安全战略。制定该战略的多国协议是在北欧理事会执行委员会于12月举行会议之后达成的。本文梳理了近期北欧国家网络安全相关的战略与行动。


图:2022 年 11 月 3 日,在芬兰赫尔辛基举行的该组织会议期间,挪威政治家 Jorodd Asphjell(左)是 2023 年北欧理事会新任主席。(Heikki Saukkomaa/Lehtikuva/AFP 来自 Getty Images)


应对网络安全,北欧国家联手加强网络防御

编译:网安观察员 徐秉君

全文摘要与关键词

1. 背景:北欧防务集团《2025年愿景计划》与网络安全框架开发项目

2. 俄乌冲突推动北欧建设“网络安全新框架”:政府正在加大投资力度,以同时应对国防和混合威胁领域的网络安全问题

3. 北欧各国网络安全建设新进展:芬兰,挪威,瑞典,冰岛

4. 简评:网络安全已成为北欧国家的防御重点。俄乌冲突强化了北欧国家在网络安全方面的防御合作。具体从北欧网络安全战略制定、完善组织架构、增加资金投入三方面行动,以加强情报共享、提升北欧整体网络防御能力,其后续动态与成效值得关注。


1. 北欧网络防务愿景


北欧防务集团《2025年愿景计划》与网络安全框架开发项目


近年来,北欧理事会为应对网络安全问题,一直在探索制定共同网络安全战略的可能性。之前,媒体报道,北欧各国政府已批准瑞典、丹麦、芬兰和挪威军队在网络防御战略和响应领域内开展更深入的合作。而北欧防务集团 (NORDEFCO)作为北欧武装部队之间联合军事合作的主要工具,也承担起加强州际网络防御和安全的任务。

其中,“网络安全框架开发项目”作为北欧防务集团2025年愿景计划的一部分,将外包给北欧防务集团(NORDEFCO:丹麦,芬兰,冰岛,挪威和瑞典组成)。

● 北欧防务集团 (NORDEFCO) 由丹麦、芬兰、冰岛、挪威和瑞典组成。NORDEFCO 的总体目标是加强参与者的国防,探索共同的协同效应并促进有效的共同解决方案。

● 2018年11月,北欧国防部长签署了“2025年愿景”,通过一些总体指导方针和16个具体目标,为北欧地区2025年的防务合作制定了政治框架和愿景。2025 年愿景提高了北欧防务合作的雄心,指出它不仅适用于和平时期,而且适用于发生危机或冲突时。除其他外,其目的是使 NORDEFCO 成为密切政治对话、信息共享以及在可能的情况下协调北欧对可能出现的危机情况的共同立场的平台。


2.北欧网安新框架


俄乌冲突推动北欧建设“网络安全新框架”

自2016年以来,北欧国家一直在探索共同网络安全战略的潜力。但是俄乌冲突及高北和波罗的海地区潜在的不稳定局势推动了对深度合作的关注。

北欧防务集团 (NORDEFCO)的 2025 年愿景计划现在将适应这一新使命,即开发一个网络安全框架,以加强北欧抵御网络威胁的能力。为此,NORDEFCO 将与北欧国家的军事网络威胁部门和国家网络安全机构建立广泛的联系,共同完成这一使命。

此前,NORDEFCO 已经开展了一些初步的网络防御合作项目。其中包括确定加深北欧军队之间合作的可能的法律和不明障碍。在新背景下,北欧合作的深化与所有四个国家政府增加国防和混合威胁网络安全投资是并行的。


3.北欧各国网安进展


总体来说,网络防御在北欧武装部队中的作用不断扩大,目前,北欧国家将继续投资于新的网络能力新项目,相应的军事预算中资本支出不断增加。

芬兰

应急响应团队:在北欧防务合作集团内部,芬兰在发展计算机应急响应团队能力方面发挥了主导作用,该团队有能力更好地保护北欧国防信息技术、核心部队系统和关键基础设施免受网络攻击。

欧洲应对混合威胁卓越中心:芬兰建立了总部位于赫尔辛基的欧洲应对混合威胁卓越中心(Hybrid CoE ),旨在开发先进的解决方案,提高军民能力、弹性和准备能力,以应对混合威胁,并特别关注欧洲安全。此外,该中心还将与NORDDEFCO 和北约以及北欧国家的国家和军事网络防御单位展开合作。

与美国合作联合网络研究项目:芬兰还与美国合作启动了一项联合网络研究项目。该计划包括一个位于芬兰北部奥卢的新网络研究所。美国的合作伙伴是美国国家科学基金会的工业大学合作研究中心项目。芬兰-美国网络安全研究合作项目的资金主要来自国有的芬兰创新资助机构的注资。

投资预算:2023-2024年芬兰的网络安全预算翻了一番,达到8000万美元。

挪威

国际网络战略:挪威接任北欧理事会轮值主席国后,率先为北欧地区制定共同网络安全战略,以应对网络安全带来的威胁。之前,挪威就已经启动了一项国际网络战略,以应对和管理混合数字安全挑战和漏洞。该综合战略旨在利用军事、民防和国际专业知识来开发系统,以加强对关键基础设施的保护,使其免受来自网络空间的威胁。

瑞典

瑞典将在2023-2024年的军事预算中额外投资1.3亿美元,以加强网络能力。

冰岛

冰岛于2022年启动了一项国家网络安全发展战略,该战略将持续到2037年。该举措将包括与北欧合作伙伴的联合演习,以测试防御性和进攻性网络威胁解决方案。


4. 简评


网络安全已成为北欧国家的防御重点。欧洲安全危机,尤其是俄乌冲突进一步强化了北欧国家在网络安全方面的防御合作。

首先是制定北欧国家共同网络安全战略,从战略上构建网络安全框架,加强成员国之间的合作,以加强北欧抵御网络威胁的能力。其次是完善组织架构,北欧各成员国都分别建立了国家安全网络机构,同时形成NORDEFCO 与北欧国家的军事网络威胁部门和国家网络安全机构的联络机制。再就是不断增加投入,以保证网络安全战略目标的实施和落实。

由此看来,随着北欧国家联手合作及推进网络安全战略的实施,北欧国家之间的情报共享程度以及北欧整体的网络防御能力将会得到大幅度提升。

【阅读原文】



2023年2月6日 星期一

今日资讯速览:

1、安全专家提醒:有黑客利用谷歌搜索广告传播恶意 Mac 软件


2、VMware已修复的堆溢出漏洞被勒索软件利用攻击ESXi服务器


3、两男子开发取不出钱的“贷款APP”骗取注册费、倒卖信息获利超460万元!



1、安全专家提醒:有黑客利用谷歌搜索广告传播恶意 Mac 软件



IT之家 2 月 4 日消息,根据国外科技媒体 Ars Technica 报道,安全公司 Spamhaus 和 abuse.ch 联合发布的报告中指出,黑客试图通过 Google 搜索结果来传播恶意的 Mac 软件。

黑客利用 Google 搜索软件时跳出的广告进行传播。IT之家了解到,通常情况下这些广告会出现在搜索结果的顶部,用户在未留意情况下可能误认为是合法网站,然后在跳转的页面中下载了含有恶意代码的 Mac 软件。

Spamhaus 在报告中指出,黑客在 Mozilla Thunderbird 和 Microsoft Teams 等几款热门 Mac 应用中植入了诸如 XLoader 之类的恶意软件,可以记录用户键盘敲击,窃取用户的个人隐私数据。

IT之家的 Mac 用户,如果你想要在 Mac 下载安装某款应用,请尽量通过 Mac App Store 方式下载,可以避免此类问题。

【阅读原文】



2、VMware已修复的堆溢出漏洞被勒索软件利用攻击ESXi服务器



最近的网络安全观察中,VMware ESXi 管理程序是新一波黑客攻击的目标,旨在在受感染的系统上部署勒索软件。这些攻击活动利用了VMware的 CVE-2021-21974 漏洞,该漏洞在VMware官方的公告描述为 OpenSLP 堆溢出漏洞,可能导致任意代码的执行。已在 2021 年 2 月 23 日已经提供了安全补丁。



根据中国网络安全行业门户极牛网(GeekNB.com)的梳理,与 VMware ESXi 位于同一网段且有权访问端口 427 的攻击者可能会触发 OpenSLP 服务中的堆溢出问题,从而导致远程代码执行。

安全研究人员表示,正在全球范围内检测到这些攻击,人们怀疑这些攻击与 2022 年 12 月出现的一种名为 Nevada 的基于 Rust 的新型勒索软件有关。已知采用 Rust 的其他勒索软件包括 BlackCat、Hive、Luna、Nokoyawa、RansomExx 和 Agenda。

值得注意的是,Nevada勒索软件背后的组织也在自己购买受损的访问权限,该组织有一个专门的团队进行后期开发,并对感兴趣的目标进行网络入侵。



然而,在攻击中看到的赎金票据与 Nevada 勒索软件没有任何相似之处,该病毒正在以 ESXiArgs 的名义进行跟踪。

建议用户升级到最新版本的 VMware ESXi 以降低潜在威胁,并将对 OpenSLP 服务的访问限制为受信任的 IP 地址。

【阅读原文】



3、两男子开发取不出钱的“贷款APP”骗取注册费、倒卖信息获利超460万元!



图片


“在APP平台缴纳39元会员费,就可贷款10万元?”90后的冯某、潘某本是大学同窗好友,毕业后又同在一家科技公司做起了“码农”,从事编程开发APP。然而二人却在工作中不满足于自己的本职工作,辞去工作后自主创业,走上了开发APP诈骗的不归路。近日,浦东警方成功破获一起电信网络诈骗案,涉案人员均因涉嫌诈骗罪被警方依法采取刑事强制措施。


取不出钱的贷款APP


2022年10月,浦东公安分局刑侦支队在工作中发现一条线索,手机应用中有一款名为“迅捷易借”的APP,页面显示只要支付39元会员费,成为会员后就能轻松贷款8至10万余元。有市民按提示登记个人信息,之后再缴纳所谓“会员费”,以为这样就能拿到贷款,不料这39元的会员费一去不复返,而且所贷的款项也一直取不出来。


民警也下载这款APP多次操作后发现,该款软件实际没有贷款功能,背后的开发者一心想通过各种套路,骗取被害人的会员费39元与个人信息。浦东公安分局刑侦支队迅速成立专案组,经缜密调查,警方发现该款APP的资金流就位于本地,遂通过资金流等关键线索开展循线追踪,最终锁定幕后的冯某、潘某的经营窝点,并抓获该诈骗APP主要开发者冯某、潘某及后台维护员等11人。


图片


1年生成10万余单充值订单


据犯罪嫌疑人冯某、潘某供述,二人此前在同一家科技公司上班,从事的也是开发APP工作,后因不满足每月固定的收入,便辞职创业,共同组建APP开发公司。二人招募多名技术人员,并开发借款APP,通过虚构放款金额,在网上诱骗有借款需求的人员充值注册。经警方初步查证,在2021年至2022年这一年多时间里,后台涉及充值订单达十万余单,涉案金额达460余万元。


上海市公安局浦东分局刑侦支队四大队大队长邬继青介绍,该APP通过话术包装,诱导需要贷款的受害人充值会员,让他们误以为39元购买的是贷款流程中的各种附加服务。不仅如此,随着专案组不断深挖线索,发现这一APP还为同类APP导流,“在黑灰行业内,他们互为推广渠道,从中获得返利,并辩称这一行为只是赚取广告流量”,邬继青说,这一团伙还将受害人填写的个人信息售卖给贷款公司,这一行为涉嫌侵犯公民个人信息,相关取证调查工作还在进行中。


图片


目前,犯罪嫌疑人冯某、潘某等11名犯罪嫌疑人因涉嫌诈骗罪已被警方依法采取强制措施。


警方提示:不管骗子伪装成什么身份,绕多少圈最终目的都是“转账、汇款”,凡是涉及到钱财问题的信息一定要提高警惕,多加核实确认,切勿轻信他人,以免财产受到损失。一旦发现上当受骗,请及时报警并为警方提供线索。

【阅读原文】



2023年2月3日 星期五

今日资讯速览:

1、中国网络空间安全协会发布《“网上购物类”App个人信息收集情况测试报告》


2、苹果在 iOS 16.3 中修复 Apple Maps 的隐私 BUG:未经用户允许,应用可收集位置数据


3、巴勒斯坦黑客喊话以色列化学公司,并威胁雇员生命



1、中国网络空间安全协会发布《“网上购物类”App个人信息收集情况测试报告》



近期,中国网络空间安全协会、国家计算机网络应急技术处理协调中心对“网上购物类”公众大量使用的部分App收集个人信息情况进行了测试。测试情况及结果如下:


一、测试对象


本次测试选取了19家应用商店⁽¹⁾累计下载量排名前10位的“网上购物类”App。10款App基本情况如表1。


表1 10款App基本情况



二、测试方法


(一)测试环境


本次测试选取相同品牌、型号的手机终端,安装相同版本安卓操作系统,分别部署10款App,在相同网络环境下进行同步操作。


(二)测试场景


以完成一次网上购物活动作为测试单元,包括启动App、搜索商品、购物下单3种用户使用场景,以及后台静默应用场景⁽²⁾。


(三)测试内容


本次测试包括系统权限调用、个人信息上传、网络上传流量3项内容。


三、测试结果


(一)系统权限调用情况


测试发现,10款App在4种场景下调用了位置、设备信息、剪切板、应用列表4类系统权限,未发现调用相机、麦克风、通讯录等其他权限。


在启动App场景中,调用系统权限种类最多的为拼多多(4类),调用系统权限次数最多的为苏宁易购(357次)。具体情况如表2。


表2 启动App场景调用系统权限情况




在搜索商品场景中,调用系统权限种类最多的为淘宝(3类),调用系统权限次数最多的为苏宁易购(152次)。具体情况如表3。


表3 搜索商品场景调用系统权限情况





在购物下单场景中,调用系统权限种类最多的为手机天猫(3类),调用系统权限次数最多的为苏宁易购(255次)。具体情况如表4。


表4 购物下单场景调用系统权限情况









在后台静默场景中,调用系统权限种类最多的为拼多多(4类),调用系统权限次数最多的为苏宁易购(1199次)。具体情况如表5。


表5 后台静默场景调用系统权限情况





(二)个人信息上传情况


测试发现,10款App上传了6种类型个人信息:①位置信息,包括经纬度、街道地址、当前连接WiFi MAC地址、当前连接基站信息、周边可用WiFi MAC地址等;②唯一设备识别码,包括IMEI(国际移动设备识别码)、IMSI(SIM卡国际移动用户识别码)、Android ID(安卓ID)、OAID(开放匿名设备标识符)、手机MAC地址等;③剪切板内容信息,包括商品分享链接、最近复制的文本等;④应用列表信息,包括手机上已安装、正在运行、新安装和新卸载的应用信息等;⑤购物信息,包括商品搜索词、订单信息等;⑥登录信息,包括用户ID、登录状态等。



在启动App场景中,个人信息上传种类最多的为拼多多(4类)。具体情况如表6。



表6 启动App场景个人信息上传情况





在搜索商品场景中,个人信息上传种类最多的为拼多多和手机天猫(均为4类)。具体情况如表7。



表7 搜索商品场景个人信息上传情况




在购物下单场景中,个人信息上传种类最多的为淘宝、京东、苏宁易购(均为4类)。具体情况如表8。



表8 购物下单场景个人信息上传情况




在后台静默场景中,个人信息上传种类最多的为拼多多(3类)。具体情况如表9。



表9 后台静默场景个人信息上传情况




(三)网络上传流量情况


测试发现,10款App在用户完成一次网上购物活动(启动App、搜索商品、购物下单)时,上传数据流量平均⁽³⁾最多的为苏宁易购,约为653KB;平均最少的为荣耀亲选,约为115KB。具体情况如图1。




图1 完成一次网上购物活动平均上传数据流量(单位:KB)


测试发现,10款App后台静默12小时,上传数据流量平均⁽⁴⁾最多的为手机天猫,约为92KB;平均最少的为唯品会,约为1.4KB。具体情况如图2。





图2 后台静默12小时平均上传数据流量(单位:KB)


注释:


⁽¹⁾包括华为应用市场、小米应用商店、腾讯应用宝、OPPO软件商店、VIVO应用市场、360手机助手、百度手机助手、豌豆荚手机助手、历趣应用商店、乐商店、魅族应用商店、移动MM商店、太平洋下载、中关村在线、木蚂蚁安卓应用市场、多特软件站、华军软件园、西西软件园、绿色资源网。

⁽²⁾启动App指用户点击图标至主界面加载完成;搜索商品指用户选中搜索框,输入搜索词,点击搜索并选择第一项搜索结果;购物下单指用户点击购买按钮,选择收货地址,提交订单至确认付款页面;后台静默指用户将App切换至后台保持静默运行状态。

⁽³⁾共重复测试24次。

⁽⁴⁾共重复测试7次。

【阅读原文】



2、苹果在 iOS 16.3 中修复 Apple Maps 的隐私 BUG:未经用户允许,应用可收集位置数据



IT之家 2 月 2 日消息,Apple Maps 存在一个隐私 BUG,可以在未经用户许可的情况下,允许应用收集用户位置数据。苹果在最新发布的 iOS 16.3 更新中已经修复了这个 BUG。

根据巴西记者 Rodrigo Ghedin 报道,当地外卖应用 iFood 在 iOS 16.2 系统中,即便用户关闭了该应用访问位置的权限,但该应用依然可以利用上述 BUG 来追踪用户位置。

IT之家了解到,iFood 是巴西最大的外卖应用程序,公司估值 54 亿美元。该应用在关闭访问位置的权限之后,iFood 的应用程序依然可以获取用户的位置信息。

Arstechnica 安全作家 Dan Goodin 则提出了诸多问题:这个漏洞存在了多久? 还有哪些其他应用程序利用了它? 使用它收集了多少位置数据?

可能还有很多尚未曝光的应用利用这个 BUG 来追踪用户的位置信息,推荐IT之家的 iPhone 用户尽快升级到 iOS 16.3,防止有应用利用这个 BUG 来追踪你。

【阅读原文】



3、巴勒斯坦黑客喊话以色列化学公司,并威胁雇员生命




威胁行为者针对在“被占领土地上”运营的以色列化学公司发起了大规模黑客攻击活动。一个名为 Electronic Quds Force 的组织正在威胁公司的工程师和工人,并邀请他们辞职。

 

这次攻击是对以色列政府及其针对巴勒斯坦人的政策的报复,黑客指责特拉维夫的暴力行为。

 

电子圣城军发出信息:“我们对在化工厂工作的科学家的建议是辞掉他们的工作,寻找一份新工作,并在我们不在的地方找到避难所。我们确认你在化工厂的工作对你的生命构成威胁;下次对巴勒斯坦人实施暴力行为时,我们会毫不犹豫地用化学制品熔化你们的身体。”

 

消息很明确,黑客声称能够干扰化学公司运营的工厂的运营,可能导致人员伤亡。

 

这段时期的紧张局势非常严重,巴勒斯坦卫生部表示,1 月是“自 2015 年以来西岸最血腥的一个月。迄今为止,已有 35 名烈士被以色列占领军和定居者杀害,其中包括 8 名儿童,一位妇人。

 

这些消息与据称属于网络攻击目标之一的化学公司的工业控制系统 (ICS) 图像一起发布在该组织的 Telegram 频道上。

 



图片




据联合国称,上周以色列军队在巴勒斯坦村庄开展的行动数量有所增加,根据过去 16 年的数据,2022 年是巴勒斯坦人死亡人数最多的一年。

 

双方的网络攻击都在增加,2022 年 9 月,亲巴勒斯坦黑客组织 GhostSec 声称已经破坏了以色列组织使用的 55 个 Berghof 可编程逻辑控制器 (PLC),作为自由巴勒斯坦运动的一部分。

 

GhostSec 还发布了一段视频,展示了成功登录到 PLC 的管理面板以及 HMI 屏幕的屏幕截图,其中显示了攻击的某些阶段,包括 PLC 的块。

 

该组织还分享了其他截图,声称已经获得了另一个控制面板的访问权限,该面板可用于修改水中的氯含量和 pH 值。2022 年 8 月,黑客组织 ALtahrea Team 攻陷雅法、海法、阿卡和埃拉特港口网站。

 

据悉,该组织还在针对数百个以色列网站,包括 Sderot 市政府的网站。


【阅读原文】



2023年2月2日 星期四

今日资讯速览:

1、欧盟正评估新提案:要求苹果、谷歌等宽带资源占用大的公司投钱建设网络基础设施


2、黑客发现漏洞 允许任何人绕过Facebook和Instagram的二次验证


3、Github被黑! 紧急吊销签名证书 开发者需升级软件



1、欧盟正评估新提案:要求苹果、谷歌等宽带资源占用大的公司投钱建设网络基础设施



IT之家 2 月 1 日消息,根据彭博社报道,欧盟正在评估一项新的提案:让苹果、Netflix 和 Alphabet 等占用宽带资源最多的几家科技公司投钱,建设下一代互联网基础设施。

该提案是欧盟执行机构从“公平分享”(fair-share)的愿景出发提出的,该愿景要求提供流媒体视频和其他数据密集型服务的大型科技企业帮助支付它们产生的流量。

该文件草案是与行业磋商的一部分,建议企业可以捐助一个基金来抵消建设 5G 移动网络和光纤基础设施的成本,并且建立一个强制性的系统,来引导科技巨头向电信运营商付费。

距离这项提案落地还有很长的路要走,但是这项提案已经引起了诸多争议。欧盟电子通信监管机构在去年 10 月份发现,“没有证据”表明 Netflix 或 YouTube 等平台应该向电信公司支付费用以投资互联网基础设施,并表示此举可能“对互联网生态系统造成重大损害”。

这就相当于你平时玩游戏、看视频占用了大量的宽带资源,那么腾讯等科技公司就需要向运营商支付费用吗?各位IT之家的网友,你怎么看,欢迎在评论下方留言。

【阅读原文】



2、黑客发现漏洞 允许任何人绕过Facebook和Instagram的二次验证



Meta公司为用户管理其Facebook和Instagram的登录而创建的一个新的集中式系统中的一个错误可能使恶意的黑客仅仅通过知道他们的电子邮件地址或电话号码就能关闭一个账户的双因素保护措施。

来自尼泊尔的安全研究员Gtm Mänôz意识到,当用户在新的Meta账户中心输入用于登录账户的双因素验证内容时,Meta没有设置尝试次数的限制,该中心帮助用户连接他们所有的Meta账户,如Facebook和Instagram。

有了受害者的电话号码或电子邮件地址,攻击者就会到集中的账户中心,输入受害者的电话号码,将该号码与他们自己的Instagram或Facebook账户连接起来,然后用暴力破解双因素短信代码。这是关键的一步,因为某人可以尝试的次数是没有上限的。

一旦攻击者获得正确的代码,受害者的电话号码就会与攻击者的账户联系起来。一次成功的攻击仍然会导致Meta公司向受害者发送一条信息,说他们的双因素被禁用,因为他们的电话号码被链接到了别人的账户上。在这个过程中,影响最大的是仅仅知道电话号码就可以取消任何人的基于短信的2FA。

Meta公司发给一个用户的电子邮件的截图,上面写着:"我们想让你知道,你的电话号码在Facebook上被另一个人注册和验证了。"

理论上,鉴于目标不再启用双因素,攻击者可以尝试通过网络钓鱼获取密码来接管受害者的账户。

Mänôz去年在Meta账户中心发现了这个漏洞,并在9月中旬向公司报告。Meta公司在一个月后修复了该漏洞,并向Mänôz支付了27200美元的奖励。

目前还不清楚怀有恶意的黑客是否也发现了这个漏洞,并在Facebook修复它之前利用了它,Meta公司没有立即回应评论请求。

【阅读原文】



3、Github被黑! 紧急吊销签名证书 开发者需升级软件



据 Github 发布的安全公告,2022 年 12 月 6 日黑客使用受损的个人访问令牌克隆了 Github Desktop、Atom 和其他已弃用的存储库。存储库里则包含 Github 的代码签名证书,Github 次日发现异常后,立即撤销了这个访问令牌。

Github 对这两份签名证书进行了加密,所以黑客没法解密的话还是没法使用,目前 Github 也没有外部发现有利用这些签名证书的迹象。

图片


受此次时间影响。如下版本将被停用。

Github Atom 以下版本将被停用:1.63.1 和 1.63.0。

Github Desktop for Mac 以下版本将被停用:3.0.2~3.0.8、3.1.0~3.1.2


Github Desktop for Windows 版不受影响。

本次安全事件不涉及任何客户的个人资料,泄露的存储库主要是 Github 自己的部分数据。

另外目前尚不清楚黑客是如何获得个人访问令牌的,Github 估计还在进行调查所以没有公布细节。

【阅读原文】



2023年2月1日 星期三

今日资讯速览:

1、架设“某某魔域”游戏私服牟利 260 余万元,4 名犯罪嫌疑人被抓获


2、开创历史!乌克兰运作将俄罗斯网攻行为定性为战争罪


3、Facebook 被爆存在安全漏洞,可暴力破解绕过双因素身份认证



1、架设“某某魔域”游戏私服牟利 260 余万元,4 名犯罪嫌疑人被抓获


湖南省益阳市南县公安局近日成功破获一起侵犯著作权案件,抓获犯罪嫌疑人 4 名。

2022 年 10 月 30 日,南县公安局华阁派出所接到某网游公司举报,称网上有一款名为“某某魔域”的私服游戏涉嫌侵权。民警接警后高度重视,立即对该私服游戏进行调查。

经过数据研判及分析,民警成功锁定该私服游戏的运营商、客服和推广人员。随即,办案民警迅速前往怀化和安徽、广东多地,将团伙成员抓获归案。

经查,该私服游戏由犯罪嫌疑人周某经营。2020 年 6 月以后,周某未经相关网游公司的允许,通过在网上寻找技术人员修改其拥有的游戏源代码,运营了上述私服游戏。同时,周某招聘相关人员负责给玩家解答、引导玩家进行游戏下载和充值,并对该私服游戏进行宣传。

IT之家了解到,通报显示,该私服游戏运营期间,周某等非法获取玩家充值资金达 260 余万元。目前,公安机关依法已对相关犯罪嫌疑人采取刑事强制措施,案件正在进一步侦办中。

【阅读原文】



2、开创历史!乌克兰运作将俄罗斯网攻行为定性为战争罪


安全内参1月30日消息,乌克兰官员正在创造历史,甚至可能重塑网络战的未来。近期,他们正试图说服位于海牙的国际刑事法院(ICC),调查俄罗斯的网络攻击行为是否构成战争罪。

近年来,网络攻击正逐步成为现代战争中的组成部分,也在俄乌战争中被俄军多次用于攻击乌克兰关键基础设施。

不过,网络攻击并未被《日内瓦公约》明确定性为战争罪。法律专家和研究人员此前曾就俄网络攻击向国际刑事法院提出指控,此次乌克兰官员的推动则标志着主权政府首次向法院提出此类请求,并可能改变现行规则。

网络安全公司iboss首席执行官兼首席技术官Paul Martini表示,“关于乌克兰官员将网络攻击视为潜在战争罪的报道,反映出政府对于这类不断增长、不断演变的威胁的高度重视。”


乌克兰正在收集相关证据,已向国际刑事法院提出指控


1月上旬,乌克兰首席数字化转型官Victor Zhora在采访中透露,乌克兰政府正在收集与俄军事行动相关的网络攻击证据,并与国际刑事法院共享调查结果,希望据此对俄方罪行提出指控。

Zhora认为,由于俄罗斯将网络攻击作为针对乌克兰关键基础设施及平民群体的动能军事行动,因此数字攻击也应被视为对乌克兰公民犯下的战争罪。

Zhora表示,“观察网络空间的情况,我们注意到动能打击与网络攻击之间存在某种协同。再考虑到大多数动能攻击是针对平民群体组织的——也就是战争罪的直接行为,所以网络层面的支持行动也应被定性为战争罪。”

他还提到,“我们正在讨论如何用全新的术语和思路对此类攻击进行分类。本次战争期间出现的攻击手段可谓前所未有。”

Zhora还指出,去年俄罗斯曾对乌克兰最大私营能源投资方DTEK发动攻击,这正是网络攻击与动能战相结合的典型案例。

“他们的火力发电厂遭到炮击,同时企业网络也受到攻击。这些活动是由俄罗斯方面策划和引导的,而且采取了常规领域与网络领域两路进攻的方式。”


未被列入条款,不意味着网络犯罪不属于战争罪


但匹兹堡大学网络法律、政策与安全研究所创始所长David Hickton认为,说服国际刑事法院可能困难重重。毕竟根据《日内瓦公约》,网络攻击并未被明确认定为战争罪。

按照成文于1949年的条约内容,战争罪包括故意杀害平民、实施酷刑或不人道待遇,如进行生物实验;故意造成巨大痛苦;以及劫持人质等行为。但所有条款均成文于现代技术时代之前,因此并未涵盖数字战争情形。

Hickton认为,虽然未被明确列入条款,但网络攻击仍可被定性为战争罪。

“根据事实,网络犯罪很可能构成战争罪。如果网络这一载体被非法用于战争,我会支持努力收集证据。”

他还补充称,“我认为,未被列入条款并不意味着网络犯罪不属于战争罪。”

目前还不清楚国际刑事法院是否或如何回应了乌克兰官员上报的请求。

如果国际刑事法院确实认定俄罗斯针对关键基础设施和平民群体的破坏性网络攻击构成战争罪,则有望为针对此类攻击者的起诉和对受害者的赔偿提供依据。


国际刑事法院正在考虑启动该事项


除乌克兰官员之外,国际刑事法院还收到过其他网络攻击诉讼。去年,加州大学伯克利分校法学院人权中心的人权律师和调查人员也曾向国际刑事法院提出过类似要求,敦促院方调查Sandworm俄罗斯黑客团伙。据外媒连线杂志报道,该团伙曾在2015年和2016年对乌克兰发动破坏性网络攻击。

国际刑事法院首席检察官Karim Khan在俄乌战争爆发的几天之后曾表示,他正对俄罗斯军队可能犯下的战争罪展开调查。

Khan当时指出,“我对调查现状很满意。通过检方对相关事件的初步审查和评估,有合理的依据可以认为,俄军在乌克兰境内犯下了战争罪和危害人类罪。”

他同时提到,随着俄乌战争的持续,他将继续扩大调查范围,包括任何符合国际刑事法院管辖范围的后续潜在罪行。

鉴于俄罗斯联邦以往曾在乌克兰实施一系列敌对网络活动,伯克利研究人员要求Khan“扩大调查范围,在陆、海、空和太空等传统战争空间之外,还应纳入网络领域。”

人权中心技术、法律与政策主任Lindsay Freeman在采访中指出,国际刑事法院检察官办公室已经回应了这一要求,而且正在研究具体建议。


也有专家表示不同意见


但也有专家认为,没有必要证明某些网络攻击是否属于战争罪,因为已经有证据表明俄军在常规战层面犯有战争罪。

乔治梅森大学安东宁斯卡利亚法学院国家安全研究所创始所长兼执行主任Jamil Jaffer认为,“我不确定是否有必要把问题延伸到网络层面。”

“在我看来,还有很多其他情况需要追查。”他补充道,俄方犯下的其他类型战争罪行,在法庭上的证明难度要低于网络攻击。

尽管他也同意,俄方确实改进了对陆战、空战和网络作战的协同方式,但表示仍须进行大量评估和分析,才能确定这些针对平民和关键基础设施的破坏性网络攻击是否能被定性为战争罪。

Jaffer认为,“网络攻击更像是战争罪的一种新形式,确实可以开展相关调查。但除此之外,还存在很多非常明显的其他战争法违法行为。”

“如果目标是控诉俄方犯有战争罪,那并不需要进行网络分析,看看他们在战场上的所作所为就够了。”

【阅读原文】



3、Facebook 被爆存在安全漏洞,可暴力破解绕过双因素身份认证


来自尼泊尔的安全研究人员近日在 Meta 的 Facebook、Instagram 等应用的登录系统中发现新的漏洞,任何人都可以绕过 Facebook 的双因素身份验证。

图片

研究员 Gtm Mänôz 向 TechCrunch 表示:“任何人都可以利用这个漏洞,只要在知道对方电话号码的情况下,就能绕过基于 SMS 的双因素认证”。

Mänôz 表示这个漏洞存在于 Meta 集团的统一登录系统中,用户在输入用于登录其帐户的双因素代码时,Meta 没有设置尝试限制。

这就意味着只需要了解攻击目标的电话号码或者电子邮件,那么攻击者就可以通过暴力破解的方式来输入双因素短信代码。一旦攻击者获得正确的验证码,那么攻击者就可以展开后续的攻击行为。

图片

了解到,攻击者即便成功攻击之后,Meta 也会向用户发出提醒,称账号已链接到他人账户中,因此禁用双因素身份认证。

Mänôz 去年向公司报告了该错误,Meta 公司目前已经修复这个漏洞。Meta 公司为了奖赏他的发现,最终向其支付了 27200 美元(当前约 18.4 万元人民币)。

【阅读原文】



[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

最后于 2023-2-28 11:08 被Editor编辑 ,原因:
收藏
免费 1
支持
分享
最新回复 (1)
雪    币: 29182
活跃值: (63621)
能力值: (RANK:135 )
在线值:
发帖
回帖
粉丝
2
今日资讯已更新!
2023-2-2 11:11
0
游客
登录 | 注册 方可回帖
返回
//