-
-
[推荐]【每日资讯】 | 比GPT-4更强大的AI模型训练应该被暂停吗? | 2023年3月31日 星期五
-
发表于: 2023-3-1 11:48 7570
-
2023年3月31日 星期五
今日资讯速览:
1、比GPT-4更强大的AI模型训练应该被暂停吗?
2、印度警方指控盗窃1.68亿公民数据团伙
3、2022年全球网络安全技术支出711亿美元
1、比GPT-4更强大的AI模型训练应该被暂停吗?
GPT-4的发布,在全球范围再一次掀起AI技术应用的热潮。与此同时,一些知名计算机科学家和科技业界人士也对人工智能技术的快速发展表示了担忧,因为这对人类社会存在着不可预知的潜在风险。
北京时间3月29日,由特斯拉公司CEO 埃隆·马斯克,图灵奖得主约书亚·本吉奥(Yoshua Bengio),苹果联合创始人瓦兹尼亚克(Steve Wozniak),以及《人类简史》作者尤瓦尔·赫拉利等人联名签署了一封公开信,呼吁全球所有AI实验室立即暂停训练比GPT-4更强大的AI系统,为期至少6个月,以确保人类能够有效管理其风险。如果商业型的AI研究组织不能快速暂停其研发进程,各国政府应该采取有效监管措施实行暂停令。
在这封公开信中,详细表述了暂停AI模型训练的理由:AI技术已经强大到能和人类进行某些方面的竞争,将给人类社会带来深刻的变革。因此,所有人都必须思考AI的潜在风险:假新闻和宣传充斥信息渠道、大量工作被自动化取代、人工智能甚至有一天会比人类更聪明、更强大,让我们失去对人类文明的掌控。只有当我们确信强大的人工智能系统的影响将是积极的,其风险将是可控的时候,才应该继续开发和训练它们。
截至今天中午11点,这份公开信已经征集到1344份签名。
各大科技公司是否真的过快推进了AI技术,并有可能威胁人类的生存呢?实际上,OpenAI创始人山姆·阿尔特曼自己也对chatGPT的火爆应用表示了担忧:我对AI如何影响劳动力市场、选举和虚假信息的传播有些“害怕”,AI技术需要政府和社会共同参与监管,用户反馈和规则制定对抑制AI的负面影响非常重要。
如果连AI系统的制造者也并不能完全理解、预测和有效控制其风险,而且相应的安全计划和管理工作也没有跟上,那么目前的AI技术研发或许确实已陷入了“失控”的竞赛态势。
2、印度警方指控盗窃1.68亿公民数据团伙
印度警方逮捕了一个涉嫌犯罪团伙的六名成员,该团伙出售了1.68 亿印度公民的个人数据,其中包括国防人员和政府雇员。
Cyberabad Metropolitan Police 表示,该团伙通过三个挂名公司——Data Mart Infotech、Global Data Arts 和 MS Digital Grow——开展业务,并在 Justdial 等商业上市平台上与买家进行互动。
Cyberabad 大都会警察局局长斯蒂芬·拉文德拉告诉记者,犯罪分子从政府和私人组织(包括武装部队)偷窃。被盗数据包括姓名、电子邮件地址、电话号码、住址和过去数据泄露积累的其他信息。被指控的犯罪分子出售了140多个类别的数据。
3、2022年全球网络安全技术支出711亿美元
印度警方逮捕了一个涉嫌犯罪团伙的六名成员,该团伙出售了1.68 亿印度公民的个人数据,其中包括国防人员和政府雇员。
Cyberabad Metropolitan Police 表示,该团伙通过三个挂名公司——Data Mart Infotech、Global Data Arts 和 MS Digital Grow——开展业务,并在 Justdial 等商业上市平台上与买家进行互动。
Cyberabad 大都会警察局局长斯蒂芬·拉文德拉告诉记者,犯罪分子从政府和私人组织(包括武装部队)偷窃。被盗数据包括姓名、电子邮件地址、电话号码、住址和过去数据泄露积累的其他信息。被指控的犯罪分子出售了140多个类别的数据。
2023年3月30日 星期四
今日资讯速览:
1、国家发改委主任会见苹果CEO,提出加强数据安全和个人隐私保护
2、微软推出Security Copilot:内置GPT-4,自动抵御65万亿个网络安全威胁
3、微信、QQ凌晨出现异常 官方回应:系统故障,资金安全不受影响
1、国家发改委主任会见苹果CEO,提出加强数据安全和个人隐私保护
3月27日,国家发展改革委主任郑栅洁会见美国苹果公司首席执行官库克一行。郑栅洁主任表示,中国政府坚定不移实施对外开放的基本国策,国家发展改革委将一如既往支持包括苹果公司在内的外资企业在华业务。中国的产业数字化和数字产业化进程、超大规模市场、庞大的中等收入群体等都将为包括苹果在内的跨国企业带来广阔市场。希望苹果公司继续积极承担企业社会责任,加强数据安全和个人隐私保护。库克介绍了苹果公司在华投资发展情况。双方围绕中国市场前景、稳定产业链供应链等议题进行了交流。
国家发展改革委办公厅、外资司、高技术司、国际司负责人参加会见。
2、微软推出Security Copilot:内置GPT-4,自动抵御65万亿个网络安全威胁
北美时间3月28日,微软召开首届“Microsoft Secure”大会,并宣布推出网络安全产品——Microsoft Security Copilot。
据悉,Security Copilot将目前最强大语言模型GPT-4内置在产品中,并与微软拥有65万亿个网络安全威胁的安全模型库相结合使用,为企业、个人用户提供网络安全、恶意代码防护、隐私合规监控等生成式自动化AI服务。
多数传统网络安全软件经常需要数小时甚至数天才能对安全事件做出反应,而企业、个人用户在Security Copilot帮助下,可实现“分钟级”安全事件响应、评估、防御,以保证数据资产安全。例如,“我的设备现在有哪些网络安全问题?分析一下本次网络攻击的方法。”,Security Copilot会为你解答并自动生成分析报告。
为什么推出Microsoft Security Copilot
扫描网络安全、抵御黑客入侵一直是专业网络安全员的职责,尽管很多杀毒软件提供了“傻瓜式”操作,但在病毒扫描、响应以及客户体验方面并不理想,经常漏掉隐蔽、狡猾的恶意代码对数据资产造成损失。
此外,随着黑客技术的不断迭代、创新,网络攻击的招数五花八门,企业对专业网络安全员的需求急速上升。目前,全球有340万个网络安全员的职位空缺,并且对技术、实践经验要求非常高。
因此,微软推出Security Copilot帮助企业、个人用户缓解诸多网络安全业务痛点,并将全球最先进的大语言模型GPT-4内置在产品中,开创了生成式AI杀毒时代。
Microsoft Security Copilot亮点功能介绍
除了内置GPT-4之外,Security Copilot结合了微软拥有65万亿个网络安全威胁的安全模型库相结合使用。这种强强联合,极大的提升了安全范围、杀毒响应,让很多隐秘、高级病毒无处躲藏。
Security Copilot还与微软的三大王牌安全产品Microsoft Sentinel、Microsoft Defender、Microsoft Intune进行了集成,提供事件安全、应用程序防护、云端到本地等多维度防护。
Security Copilot也开创了交互式防护体验,用户可以通过自然语言询问安全事件响应、威胁追踪和安全报告。
以下是Security Copilot主要功能介绍:
简化安全流程:用户借助Security Copilot可实现“分钟级” 自动网络安全事件评估和响应,而不是传统的几小时甚至几天。Security Copilot通过基于自然语言的调查,提供关键的分步指导可以汇总所有安全、调查事件,简化安全流程让用户直观地看到最重要的安全信息,并对其做出安全防护对策。
实时分析安全漏洞:Security Copilot发现安全问题后,会借助微软网络安全威胁库深度分析攻击行为,并预测黑客下一步的行动以及抵御方法。
回答专业的网络安全知识:Security Copilot 通过专业的网络安全数据训练,可为用户提供专业、详细的网络安全知识,例如,介绍攻击病毒的历史,如何日常防护设备、数据资产等,为制定防护计划提供帮助。
自我学习能力:诚然,生成式AI无法100%保证输出的内容是正确的。Security Copilot具备自我学习能力,用户的每一次反馈都将加速Security Copilot对安全事件响应、网络攻击的分析效率和准确率。
负责任的AI服务
微软一直非常注重用户的数据安全问题,并建立了一整套AI使用原则。Security Copilot不会使用,用户数据进行模型训练,不会偷取、查看用户隐私数据。
用户的操作流程、数据和AI模型,全部受到业内最全面的合规性和安全性防护。目前该产品处于测试阶段。
3、微信、QQ凌晨出现异常 官方回应:系统故障,资金安全不受影响
29日凌晨,腾讯旗下社交软件微信、QQ出现功能异常。微信包括语音呼叫、账号登录、朋友圈以及支付在内的多个功能无法正常使用,QQ文件传输、QQ空间、QQ邮箱等出现问题。腾讯客服官方微博于凌晨3:30发布消息称,由于系统故障,部分用户使用微信支付相关功能出现异常,目前正在紧急修复中。用户资金安全不受影响。故障修复后,相关功能使用将恢复正常。目前该回应微博已删除。
2023年3月29日 星期三
今日资讯速览:
1、总统乔·拜登称美国不能购买其他国家用来对付它的商业间谍软件
2、欧洲刑警组织警告说 ChatGPT已经在帮助犯罪分子
3、黑客组织以中国核能机构为攻击目标
1、总统乔·拜登称美国不能购买其他国家用来对付它的商业间谍软件
拜登政府正试图钳制政府使用商业间谍软件,这些软件也可能被其他国家用来损害其利益。总统已经签署了一项行政命令,称联邦机构不能使用"对美国政府构成重大反间谍或安全风险或被外国政府或外国人士不当使用的重大风险"的间谍软件。
该命令确切地说明了什么是间谍软件--在用户不知情的情况下从设备中窃取信息和数据的软件--被美国政府使用的资格。如果是这样就不允许:
被外国个人或政府用来攻击美国政府
被一个有意在未经美国政府许可的情况下发布有关美国政府活动的"非公开信息"的实体出售
"在试图监视美国的"外国政府或外国人士的直接或有效控制之下
被用于监视美国公民或通过监视活动家、学者、记者、持不同政见者、政治人物或非政府组织成员或边缘化社区来侵犯人权
还出售给"从事系统的政治镇压行为,包括任意逮捕或拘留、酷刑、法外或出于政治动机的杀戮,或其他严重侵犯人权的国家"。
政府机构在确定某件间谍软件是否符合这些条件时,确实有一点回旋余地。如果开发商在得知此事后采取了"适当的措施",如取消违规方的合同或与美国合作"反击"该软件的不当使用,那么该间谍软件被用来对付美国也是可以的。政府还必须考虑间谍软件供应商在出售软件时是否"知道或有理由知道"该软件会被滥用。
白宫官员并没有具体说明被禁止的确切软件列表,但现在有许多公开的商业间谍软件应用为政府提供服务(还有更多的黑市中售卖的软件)。
虽然该命令不是对间谍软件的彻底禁止,但它可能排除了市场上的许多产品。除非该软件是专门卖给美国政府的,否则几乎没有办法确定外国实体是否也在使用它来针对美国或该命令所保护的人群类型。
例如,NSO集团的PegASUS(飞马)间谍软件据称有保障措施;该公司声称它只出售给经以色列国防部批准的政府机构。记者发现,这种间谍软件可以悄悄地入侵手机,窃取和记录各种数据,很可能被一些政府用来对付国家元首、记者、活动家和其他人(据称联邦调查局也考虑过使用它)。
Pegasus在美国已经被完全禁止;2021年,美国商务部将NSO和Candiru一起列入其实体名单,禁止美国公司与它做生意。例如,据《纽约时报》报道,这意味着它不能从戴尔和微软等公司购买硬件和软件。然而,Pegasus远不是政府使用的唯一间谍软件。据报道,一名Meta公司的员工的手机被希腊国家情报机构使用Cytrox的Predator间谍软件入侵。
值得注意的是,这项命令将间谍软件定义为可以让你在未经授权的情况下进入一台电脑,从而获取电脑上的数据,从电脑上录制音频和视频,或追踪其位置的软件。政府经常使用黄貂鱼(Stingray)等技术跟踪人们的位置,或通过其他方式获得数据,如支付数据经纪人。人们可能会认为这是他们的手机被用来监视他们,但提供这些数据的应用程序并没有被算作间谍软件。
沿着这条线索,该命令明确指出外国政府或人们使用间谍软件来针对记者、政治家和活动家。然而,美国政府也有在其境内外对这些群体的人进行电子监控的历史。
政府并不是唯一对这样的间谍软件采取行动的实体。例如,苹果公司已经起诉了NSO集团,并为其设备引入了"锁定模式",旨在使其更难在设备上远程安装间谍软件。
2、欧洲刑警组织警告说 ChatGPT已经在帮助犯罪分子
欧洲刑警组织在周一的一份报告中说,犯罪分子已经在利用ChatGPT进行犯罪,该报告详细介绍了人工智能语言模型如何助长欺诈、网络犯罪和恐怖主义。由OpenAI开发的ChatGPT于2022年11月发布,并迅速成为互联网上的一个热点,因为网民们蜂拥而至,让聊天机器人生成论文、笑话、电子邮件、编程代码和其他各种文本。
现在,欧盟的执法机构欧洲刑警组织已经详细说明了这种模式如何被滥用于更邪恶的目的。事实上,人们已经在使用它来进行非法活动,警察声称。
欧洲刑警组织在其报告中说:"这些类型的模型可能对执法工作产生的影响已经可以预见。犯罪分子通常会迅速利用新技术,而且很快就能看到他们想出具体的犯罪利用方法,在ChatGPT公开发布后仅几个星期就提供了第一个实际例子。"
尽管ChatGPT在拒绝遵守有潜在危害的输入请求方面做得比较好,但用户已经找到了绕过OpenAI的内容过滤系统的方法。例如,有些人已经让它吐出了关于如何制造炸弹或合成可卡因的说明。网民可以要求ChatGPT了解如何犯罪,并要求它提供一步步的指导。
"如果一个潜在的罪犯对某个特定的犯罪领域一无所知,ChatGPT可以通过提供关键信息,然后在后续步骤中进一步探索,从而大大加快研究过程。因此,ChatGPT可以用来了解大量的潜在犯罪领域,而无需事先了解,范围包括如何入室犯罪、恐怖主义、网络犯罪和儿童性虐待,"欧洲警察局警告说。
该机构承认,所有这些信息已经在互联网上公开提供,但该模型使人们更容易找到和了解如何进行具体的犯罪活动。欧洲刑警组织还强调,该模型可以被利用来冒充目标,为欺诈和网络钓鱼提供便利,或制作宣传和虚假信息以支持恐怖主义。
ChatGPT拥有很强的生成代码的能力--甚至是恶意代码,也可以通过降低创建恶意软件所需的技术能力来增加网络犯罪的风险。"对于没有什么技术知识的潜在罪犯来说,这是一个宝贵的资源。同时,一个更高级的用户可以利用这些改进的能力来进一步完善甚至自动化复杂的网络犯罪手法,"该报告说。
大型语言模型(LLMs)并不复杂,仍处于起步阶段,但随着科技公司投入资源开发该技术,它们正在迅速改善。OpenAI已经发布了GPT-4,一个更强大的系统,而且这些模型正被越来越多地整合到产品中。自ChatGPT发布以来,微软和Google都在其搜索引擎中推出了AI驱动的网络搜索聊天机器人。
欧洲刑警组织表示,随着越来越多的公司推出人工智能功能和服务,这将为利用该技术进行非法活动开辟新途径。执法组织的报告建议:"多模态人工智能系统,将对话式聊天机器人与能够产生合成媒体的系统结合起来,如高度令人信服的深度伪造,或包括感官能力,如视觉和听觉。"
例如,秘密版本的语言模型没有内容过滤器,并在有害数据上进行训练,可以在暗网上托管。
"最后,关于LLM服务在未来如何处理用户数据存在不确定性--对话是否会被存储,并可能将敏感的个人信息暴露给未经授权的第三方?如果用户产生了有害的内容,是否应该向执法当局报告?"欧洲刑警组织问道。
3、黑客组织以中国核能机构为攻击目标
据外媒报道,来自南亚的黑客组织Bitter APT最近正以中国核能机构为攻击目标。根据安全公司Intezer报告,在最近的行动中,Bitter APT伪装成吉尔吉斯斯坦驻北京大使馆向中国核能公司和该领域的学者发送钓鱼邮件,邀请他们参加吉尔吉斯斯坦大使馆等主办的一个核能会议。邮件签名者是真实存在的,是吉尔吉斯斯坦外交部的一名官员。但邮件附件是恶意的,会执行一系列行动释放恶意负荷。
2023年3月28日 星期二
今日资讯速览:
1、上海市消保委回应匿名差评遭陌生人加微信:商家不得过度收集个人信息
2、推特源代码遭泄露 事件嫌疑人已从推特离职
3、麦当劳因泄露487万顾客的数据被韩国罚款6.96亿韩元
1、上海市消保委回应匿名差评遭陌生人加微信:商家不得过度收集个人信息
26日,针对“匿名差评餐饮店后遭陌生人添加微信”的情况,上海市消费者权益保护委员会认为,商家提供扫码点餐服务,方便消费者同时降低了人工成本。但根据《个人信息保护法》、《消费者权益保护法》规定,经营者收集、使用消费者个人信息应当遵循合法、正当、必要的原则。消费者在扫码点餐中,商家应按照最小和必要原则获取消费者个人信息。
2、推特源代码遭泄露 事件嫌疑人已从推特离职
据外媒报道称,一份推特发送的法律文件显示,该公司的部分软件源代码遭到泄露,该公司高管猜测,导致这一事件的罪魁祸首或许是此前已经离职的前推特工作人员。
根据 Twitter 上周五递交到加州法庭的一份文件,它的部分私有源代码被泄露在代码托管平台 GitHub 上。泄露的部分是其 web service 多种功能和内部工具的源代码。Twitter 向 GitHub 递交了删除请求,GitHub 遵守了要求。泄露源代码的账号叫 FreeSpeechEnthusiast,这位用户是在今年初注册的,只上传了 Twitter 的代码。Twitter 正寻求识别该账号的身份,这位用户被认为是该公司的前雇员。Twitter 此前裁掉了数以千计的员工。
3、麦当劳因泄露487万顾客的数据被韩国罚款6.96亿韩元
据外媒报道称,一份推特发送的法律文件显示,该公司的部分软件源代码遭到泄露,该公司高管猜测,导致这一事件的罪魁祸首或许是此前已经离职的前推特工作人员。
根据 Twitter 上周五递交到加州法庭的一份文件,它的部分私有源代码被泄露在代码托管平台 GitHub 上。泄露的部分是其 web service 多种功能和内部工具的源代码。Twitter 向 GitHub 递交了删除请求,GitHub 遵守了要求。泄露源代码的账号叫 FreeSpeechEnthusiast,这位用户是在今年初注册的,只上传了 Twitter 的代码。Twitter 正寻求识别该账号的身份,这位用户被认为是该公司的前雇员。Twitter 此前裁掉了数以千计的员工。
2023年3月27日 星期一
今日资讯速览:
1、麦当劳因泄露487万顾客的数据被韩国罚款6.96亿韩元
2、初期投入29亿!美国国家网络防御体系将升级主防系统
3、CISA警告:美国八个工业控制系统存在多个高危漏洞
1、麦当劳因泄露487万顾客的数据被韩国罚款6.96亿韩元
据外媒报道,麦当劳韩国公司因数据管理不严导致487万顾客的个人数据泄露,被罚款6.96亿韩元(约368万人民币)。据调查结果,麦当劳没有进行充分的访问控制,使得包含其餐厅和麦当劳客户的个人数据的备份文件可通过文件共享协议进行访问。由此导致黑客入侵并泄露了超过487万客户的个人数据。此外,该公司还被发现没有销毁数据保留期已过的766846名顾客的数据,且迟迟未向当局和顾客通报数据泄露的情况。
2、初期投入29亿!美国国家网络防御体系将升级主防系统
安全内参3月23日消息,作为美国网络安全和基础设施安全局(CISA)2024财年预算申请的重点,该机构正在寻求建设新的“网络分析和数据系统”(CADS),作为后爱因斯坦(EINSTEIN)时代国家网络防御体系的中心。
CISA希望在2024财年为CADS项目提供4.249亿美元(约合人民币28.96亿元)。预算文件解释称,该项目的设想是打造一套“管理所有系统的系统”,提供“一个强大且可扩展和分析环境,能够集成任务可见性数据集,并为CISA网络操作人员提供可视化工具与高级分析能力。”
根据预算文件,这项新计划也是美国国家网络安全保护系统(NCPS,等同于爱因斯坦系统)“重组”措施的一部分。爱因斯坦系统由国土安全部于2003年提出,长期负责保护联邦机构的网络体系。
国家网络安全保护系统的核心基础设施、分析和信息共享等功能,将通过此次重组过渡为新的CADS计划。而入侵检测与防御等功能则将在2024年继续保留在爱因斯坦系统之下。
国土安全部前高级官员Chris Cummiskey表示,这份预算案是对过去几年间围绕爱因斯坦系统未来走向这一重大问题做出的回应。
“当时的想法是,爱因斯坦系统终将转化成其他形态。我想我们现在已经有了答案。……过去15到20年间,我们在联邦政府层面所熟知的爱因斯坦系统将变得截然不同。”
新系统为分析师提效赋能
CISA负责网络安全的执行助理主任Eric Goldstein在一封邮件声明中表示,新的CADS系统将帮助CISA“在破坏性入侵发生之前,快速分析、关联并行动以解决网络安全威胁和漏洞。”
Goldstein解释道,该系统将整合来自多个来源的数据,包括“公共与商业数据馈送;CISA自己的端点检测与响应传感器、Protective[域名系统],以及覆盖美国数千家注册组织的漏洞扫描服务;还有公共和私营合作伙伴共享的数据。”
CADS还将为CISA的网络分析师提供统一的数据仓库,让他们不必像现在这样,在不同系统之间切换手动比较数据和威胁信息。
“CADS提供的工具和功能有助于数据的摄取、集成、协调和自动化分析,将支持对恶意网络活动的快速识别、检测、缓解和预防。”
一位业内消息人士指出,CADS计划将为CISA建立一个工程与软件开发中心,确保在CISA快速发展的同时满足其对工具和分析的需求。
这位消息人士表示,“随着CISA的发展成熟,这方面需求也在逐步升级。CISA希望成长为一种强大、灵活的资源池,实现对软件、工具和基础设施的按需开发。”
CISA还要求在2024年继续向爱因斯坦系统划拨6700万美元运营经费,并计划更换爱因斯坦中遗留的入侵检测和预防工具。
预算文件提到,在入侵防御方面,CISA计划在2024年将爱因斯坦的EINSTEIN Accelerated(E3A)邮件过滤工具“退役”,转为使用其他非机密性的商业服务,包括CISA的新Protective DNS服务。
文件还指出,CISA将继续运行爱因斯坦的入侵检测功能,同时探索新方案以满足在联邦政府内“扩大云技术使用范围”的目标。
超越“爱因斯坦”
在过去二十年间,爱因斯坦计划一直是国土安全部的核心任务之一,负责保卫联邦文职行政部门的网络安全。该系统记录进出机构网络的数据流量,在识别到恶意流量时向机构发出警报,并会阻断已知的网络攻击行为。
但美国国会研究服务处在2018年的一份报告中指出,爱因斯坦存在一个关键限制因素,即必须“之前看到并分析过恶意流量才能起效,无法在首次接触新的恶意流量时进行识别。”
换句话说,爱因斯坦系统“只能阻止已知威胁”。
在2020年SolarWinds事件爆发后,美国国会开始认真关注这个重大缺陷。
面对爱因斯坦耗资60亿美元却效果不佳的质疑,CISA官员辩护称,这套系统在设计之初就没有考虑过阻止新型供应链攻击。
CISA代理局长Brandon Wales在2021年3月的参议院听证会上表示,“我认为最好能保留爱因斯坦系统中仍能发挥作用、提供重要价值的部分,并把那些缺乏实际作用的部分替换成新项目。”
在本月初发布的报告中,国土安全部监察长办公室发现,SolarWinds漏洞“表明CISA的网络可见性和威胁识别技术需要得到显著改进”。
作为对这份报告的回应,CISA强调称正在开发CADS计划,正在为“CADS的持续交付”整理成本估算和时间表,预计将在3月31日之前交由国土安全部的项目责任和风险管理办公室审批。
虽然这项新计划的部门内审批正在推进,但CISA还要想办法说服国会。至于此前遗留的爱因斯坦计划,将在2023财年末获得重新授权。
监察长办公室的报告还提到,CISA在2023年将拥有2500万美元的“过桥资金”以继续投资基础设施和分析能力,直到2024年预算获得批准。
关于CISA如何实现新CADS计划的详细信息尚未公开。Cummiskey表示,如果CISA能够在2024年成功申请到经费,可能会很快启动相关重大采购。
“跟他们过去推进持续诊断和缓解(CDM)计划与爱因斯坦计划类似,我认为这将是网络安全行业在此类特定计划中发挥重要作用的又一关键机遇。”他说。
3、CISA警告:美国八个工业控制系统存在多个高危漏洞
近日,美国网络安全和基础设施安全局(CISA)发布了八项工业控制系统 (ICS)公告,警告称存在影响Delta Electronics和Rockwell Automation设备的严重缺陷。
这包括Delta Electronics 的实时设备监控软件 InfraSuite Device Master 中的 13 个安全漏洞。1.0.5 之前的所有版本都受这些问题的影响。
“成功利用这些漏洞可能允许未经身份验证的攻击者获得对文件和凭据的访问权限、提升权限并远程执行任意代码。”CISA表示。
排在首位的是CVE-2023-1133(CVSS评分:9.8),这是一个严重缺陷,源于 InfraSuite Device Master 接受未经验证的 UDP 数据包并反序列化内容,从而允许未经身份验证的远程攻击者执行任意代码。
CISA警告说,另外两个反序列化缺陷CVE-2023-1139(CVSS评分:8.8)和CVE-2023-1145(CVSS评分:7.8)也可以被武器化以获取远程代码执行。
Piotr Bazydlo 和一位匿名安全研究员发现了这些缺陷并向 CISA 报告。
另一组漏洞与罗克韦尔自动化的 ThinManager ThinServer 相关,影响以下版本的客户端和远程桌面协议 (RDP) 服务器管理软件 :
6.x – 10.x
11.0.0 – 11.0.5
11.1.0 – 11.1.5
11.2.0 – 11.2.6
12.0.0 – 12.0.4
12.1.0 – 12.1.5
13.0.0 – 13.0.1
最严重的问题是跟踪为CVE-2023-28755(CVSS评分:9.8)和CVE-2023-28756(CVSS评分:7.5)的两个路径遍历缺陷,可能允许未经身份验证的远程攻击者将任意文件上传到目录ThinServer.exe 的安装位置。
更令人不安的是,对手可以将CVE-2023-28755武器化,用木马化版本覆盖现有的可执行文件,从而可能导致远程代码执行。
“成功利用这些漏洞可能允许攻击者在目标系统/设备上执行远程代码或使软件崩溃。”CISA指出。
我们的建议
1、用户更新至版本11.0.6、11.1.6、11.2.7、12.0.5、12.1.6和 13.0.2 以减轻潜在威胁。ThinManager ThinServer 版本 6.x – 10.x 已停用,要求用户升级到受支持的版本。
2、建议将端口 2031/TCP 的远程访问限制为已知的客户端和 ThinManager 服务器。
在CISA警告Rockwell Automation ThinManager ThinServer(CVE-2022-38742,CVSS 评分:8.1)中存在可能导致任意远程代码执行的高严重性缓冲区溢出漏洞后的六个多月,该漏洞才被披露。
2023年3月24日 星期五
今日资讯速览:
1、Google Pixel手机照片编辑工具被曝安全漏洞
2、百年海运企业遭勒索攻击:大量内部数据失窃 已有5GB被公开
3、《网信部门行政执法程序规定》发布 自6月1日起施行
1、Google Pixel手机照片编辑工具被曝安全漏洞
安全研究人员 Simon Aarons 和 David Buchanan 最近在推特披露称,Google Pixel 自带的照片编辑工具Markup存在一个名为“Acropalypse 的安全漏洞,能够还原用户照片中已经打码或裁剪掉的内容。
Google Pixel 的标记工具中的“Acropalypse”缺陷使得在过去五年中部分恢复已编辑或编辑的屏幕截图和图像成为可能,包括那些已被裁剪或内容被遮盖的屏幕截图和图像。
标记工具是一个内置的图像编辑器,可让您在 Google Pixel 设备上编辑、裁剪和更改图像。该漏洞是由安全研究人员 Simon Aarons 和 David Buchanan 发现的,他们在Twitter 上报告说,过去五年中,使用他们称为“Acropalypse”的攻击,可以从编辑过的图像中恢复敏感信息。
2、百年海运企业遭勒索攻击:大量内部数据失窃 已有5GB被公开
安全内参3月22日消息,荷兰海运物流服务公司Royal Dirkzwager遭Play勒索软件团伙入侵,失窃数据已被公布。
Royal Dirkzwager公司成立于1872年,为海运行业的数百家组织提供船舶管理服务,包括港口进出船舶交通监控、应急响应服务等。
针对Royal Dirkzwager的网络攻击发生于3月6日,导致该公司系统宕机,多项服务被迫暂停。
虽然修复操作立即开始,但该公司需要大约一周的时间,才能清理和完全恢复系统并恢复第一批服务。
上周初,Royal Dirkzwager公司确认遭受勒索软件攻击,但没有发布关于此事的具体细节。
3月16日,该公司宣布几乎所有服务均恢复正常运行,并且正着手处理收尾工作。
勒索软件团队已公开5GB内部数据
但就在同一天,Play勒索软件团伙在其Tor泄密网站上发布了5 GB大小的归档文件,内容据称是窃取自Royal Dirkzwager的数据。
根据Play团伙的说明,归档文件中包含私有及个人数据、合同、员工ID、护照等信息,而且这只是Royal Dirkzwager失窃数据中的一部分。
如果该公司不满足他们的勒索要求,Play团伙威胁将公布全部数据。
Play勒索软件又名PlayCrypt,于2022年6月被首次发现,近期成为最活跃的勒索软件家族之一。
深网情报项目DarkFeed收集的数据显示, Play团伙在2023年2月共实施7次攻击,而自3月初以来已发动13起攻击。今年1月,Play在全球勒索软件团伙的活跃度排名中位列第五。
外媒securityWeek已经就攻击细节向Royal Dirkzwager发出置评邮件,但没有收到任何回复。
3、《网信部门行政执法程序规定》发布 自6月1日起施行
23日,国家互联网信息办公室公布《网信部门行政执法程序规定》(以下简称《规定》),自2023年6月1日起施行。相关负责人表示,出台《规定》,是为了进一步规范和保障网信部门依法履行职责,保护公民、法人和其他组织的合法权益,维护国家安全和公共利益。《规定》规范了网信部门行政执法程序,明确了行政处罚执行,规定了行政处罚应接受社会监督。
2023年3月23日 星期四
今日资讯速览:
1、法拉利被黑客入侵,大量富豪个人信息泄露
2、黑客“炫技”随机攻击,网警出手火速破案
3、FBI:去年至少860个关键基础设施遭勒索软件入侵
1、法拉利被黑客入侵,大量富豪个人信息泄露
本周一,意大利豪华汽车制造商法拉利公司在其网站上发布了一条消息,该消息表示近日遭到了不明来源的黑客攻击。
此次黑客攻击事件导致部分客户的个人信息遭到泄露,目前黑客威胁法拉利公司支付赎金,否则将公布客户的信息,包含联系方式、邮箱等。总部位于意大利马拉内罗的汽车制造商似乎在黑客联系他们之前并不知道他们已被入侵。
针对黑客的赎金要求,法拉利公司发表声明称:他们不会屈服于黑客的要求,法拉利不会受制于这样的勒索,因为一旦支付赎金,只会为犯罪分子提供更多的资金支持,同时更会使他们变本加厉的去施行网络犯罪。这无疑是助纣为虐。
相反,我们认为最好的行动方案是通知我们的客户,提醒客户潜在的数据暴露威胁以及应对方案。同时我们将立即与全球领先的第三方网络安全公司合作展开调查。
考虑到法拉利的成本从200万美元到超过600万美元的零售价不等,根据该品牌的一位官方经销商的说法,被窃取的客户信息很可能是世界上比较富有的知名人士。
目前法拉利公司表示,他们已经联系了所有有关当局,并正在与第三方专家合作,以进一步加强其系统。
法拉利非常重视客户的机密性,并重视此次事件。
根据目前的调查,此次事件的漏洞对运营功能没有影响。
2、黑客“炫技”随机攻击,网警出手火速破案
收银系统怎么突然进不去了?
会员系统也瘫痪了!
充值记录和消费数据都看不到!
所有门店的情况都一样……
2023年2月的一个上午,某连锁品牌公司的收银系统和会员系统出现无法登录、无法运营的情况。
原以为只是系统出现了小故障,但运维人员在检查后却发现,收银系统所在的服务器内的数据被人故意删除。公司负责人意识到遭遇了网络攻击,赶紧报警。
系统崩溃,紧急救援
重庆市公安局江北区分局在接到报警后高度重视,第一时间成立专案组对该案件进行攻坚。
因为该连锁平台有超30家门店,注册会员数十万,运营出现故障损失巨大。因此,江北警方首先将工作中心集中在帮助企业回到正常运营上来。
我们第一时间调集了技术骨干人员来到公司提供技术指导。
最终,服务器的基本架构得以修复,最终实现了大部分数据的还原。
当日,连锁公司所有门店都恢复了正常运营。
拨云见日,追查嫌犯
成功帮企业恢复好生产后,办案民警并没有松气,因为犯罪嫌疑人还没有被绳之以法,仍潜藏在虚拟的网络世界中。
一般来说,犯罪嫌疑人侵入计算机的动机要么是盗转资金,要么是盗取数据,但这个嫌犯的行为,却明显异常。
民警刘建国感到奇怪,这个攻击者除了删除数据,再没有其他操作,动机是什么呢?
“越是困难,越要攻破,必须尽快将犯罪嫌疑人绳之以法,防止他继续作案!”又经过了艰难的调查,网警们终于找到突破口,锁定犯罪嫌疑人黄某。
顺利抓捕,喜获锦旗
在制定好抓捕计划后,2月6日,网安民警驱车15小时,赶到了犯罪嫌疑人在广西的住所,最终成功将其捉获。
面对民警的讯问,黄某先是矢口否认,但在强有力的证据面前,黄某最终还是如实供述了违法行为,不过他的作案动机却让人瞠目结舌。
原来,黄某从小就喜欢研究网络技术,自己的这身本领都是通过自学而来,这次,他为了“炫技”随机挑选了一台计算机进行攻击,只是单纯的恶作剧,至今为止,他都不知道自己攻击的对象是谁。
更加没想到,网警这么快就找上门来。
随后,民警现场查获其作案用的手机和电脑。虽然黄某认识到自己行为的错误,但因其行为已经涉嫌犯罪,黄某被依法采取刑事强制措施。
根据黄某电脑上的数据,民警对该连锁店的数据库进行了进一步的恢复。
2月22日,公司负责人专程来到江北分局网安支队,将一面写有“为企业排忧解难,为人民保驾护航”的锦旗送给办案民警,感谢网安民警为民服务和破案神速。
网警提醒:
1.及时更新服务器系统安全漏洞补丁;
2.要加强服务器安全防护能力;
3.制定有效的风险预警机制,重要数据一定要备份;
4.发现被“黑客”入侵时,要立即断网,保存好现场的犯罪证据,并马上报警处理。
3、FBI:去年至少860个关键基础设施遭勒索软件入侵
安全内参3月22日消息,美国联邦调查局(FBI)在2022年互联网犯罪报告中披露,勒索软件团伙去年共破坏了至少860个关键基础设施组织的网络。
鉴于FBI报告的数据仅涵盖被上报给互联网犯罪投诉中心(IC3)的攻击活动,所以真实数字可能不止于此。
FBI指出,“投诉中心共收到870起关于关键基础设施部门遭受勒索软件攻击的投诉。”
“IC3报告显示,在16大关键基础设施部门中,有14个部门至少有1位成员在2022年成为勒索软件受害者。”
整个2022年,勒索软件受害者共提交2385起投诉,综合损失超过3430万美元。
虽然FBI报告称由关键基础设施组织上报的投诉共870起,但从涵盖各部门的具体图表来看,实际攻击只有860起。
按攻击次数计算,去年关基攻击活动中最为活跃的三大勒索软件团伙分别是Lockbit(149起)、ALPHV/BlackCat(114起)和Hive(87起)。
图:2022年针对关键基础设施的勒索软件攻击
今年的互联网犯罪报告也证实了FBI去年的预测。上一份报告包含649起受害者投诉,并提到“2022年关键基础设施受害情况将有所增加”。
FBI建议不要向网络罪犯支付赎金,因为屈服并不能保证受害者的文件得到恢复,反而会鼓励甚至资助勒索团伙发动进一步攻击。
FBI还敦促受害者向互联网犯罪投诉中心(IC3)上报勒索软件事件。该中心将提供重要信息以跟踪恶意黑客并防范未来攻击。
近年来,FBI先后发布多项咨询、私营行业通知(PIN)和提示警报,向医疗保健与急救网络、供水与废水处理系统、食品和农业部门以及教育机构通报针对关基设施的勒索软件攻击。
FBI还披露,Ragnar Locker勒索软件已经至少破坏了52家关键组织;Cuba勒索软件攻击了至少49个美国关基设施实体;BlackByte勒索软件也被部署进至少3个其他网络。
FBI分享了一份可立即采用的勒索软件防范措施清单:
更新您的操作系统和软件。
实施用户培训和网络钓鱼演习,提高对可疑链接和附件风险的认识。
如果您使用远程桌面协议(RDP),请对其进行保护和监控。
对数据进行离线备份。
网络安全和基础设施安全局(CISA)日前也宣布,自2023年1月30日以来,他们一直在扫描关基设施实体的网络、查找易受勒索软件攻击的设备,希望在遭受实际攻击之前发出警告并协助修复漏洞。
2023年3月22日 星期三
今日资讯速览:
1、工信部通报 55 款 App(SDK)存在侵害用户权益行为,小米穿戴、YY、2345 浏览器等在列
2、硬刚!黑客入侵后法拉利拒绝支付赎金
3、暗网数据泄密网站 BreachForums 站长被捕
1、工信部通报 55 款 App(SDK)存在侵害用户权益行为,小米穿戴、YY、2345 浏览器等在列
IT之家 3 月 21 日消息,工业和信息化部信息通信管理局今日发布了关于侵害用户权益行为的 App(SDK)通报(2023 年第 2 批,总第 28 批)。
近期,工信部组织第三方检测机构对群众关注的生活服务、休闲娱乐、实用工具等移动互联网应用程序(App)及第三方软件开发工具包(SDK)进行检查。发现 55 款 App(SDK)存在侵害用户权益行为,现予以通报。
上述 App 及 SDK 应按有关规定进行整改,整改落实不到位的,工信部将依法依规组织开展相关处置工作。
IT之家附 55 款 App(SDK)名单:
2、硬刚!黑客入侵后法拉利拒绝支付赎金
日前,意大利汽车制造商法拉利公司在其网站上发布一则消息,表示近日遭到了不明来源的黑客攻击。此次黑客攻击事件导致部分客户个人信息遭到泄露,目前黑客威胁公司支付赎金,否则将公布客户信息。法拉利公司发表声明称,不会屈服于黑客的要求,不会受制于这样的勒索,因为一旦支付赎金,只会为犯罪分子提供更多的资金支持,同时更会使他们变本加厉的去施行网络犯罪,这无疑是助纣为虐。
3、暗网数据泄密网站 BreachForums 站长被捕
美国 FBI 周三逮捕了一名纽约男子,他被控运营了暗网网络犯罪论坛 BreachForums,该论坛是世界最大的出售被盗数据的网站之一。FBI 于周三下午 4:30 左右逮捕了名叫 Conor Brian Fitzpatrick 的男子,他被认为就是 BreachForums 的管理员 Pompompurin。记录显示,他最后一次访问 BreachForums 是在周三下午 3:53,也就是被捕前不久。BreachForums 托管了近千家企业的被盗数据库。数据库通常包括有个人信息,如姓名、电子邮件和密码。Fitzpatrick 以 30 万美元保释金获释,他将于 3 月 24 日出庭。
2023年3月21日 星期二
今日资讯速览:
1、新华社权威快报丨《新时代的中国网络法治建设》白皮书发布
2、GPT-4为通过人机验证,试图雇人给自己打工,还骗了对方
3、《电信领域违法行为举报处理规定》发布 6月1日起施行
1、新华社权威快报丨《新时代的中国网络法治建设》白皮书发布
国务院新闻办公室3月16日发布《新时代的中国网络法治建设》白皮书。
白皮书指出,法治是互联网治理的基本方式。运用法治观念、法治思维和法治手段推动互联网发展治理,已经成为全球普遍共识。
中国将依法治网作为全面依法治国和网络强国建设重要内容,努力构建完备的网络法律规范体系、高效的网络法治实施体系、严密的网络法治监督体系、有力的网络法治保障体系,网络法治建设取得历史性成就。中国的网络法治建设不仅有力提升了中国互联网治理能力,也为全球互联网治理贡献了中国智慧和中国方案。
面对数字化带来的机遇和挑战,中国愿同国际社会一道践行共商共建共享的全球治理观,共同推动全球互联网治理法治化进程,让数字文明发展成果更好造福各国人民,携手构建网络空间命运共同体,共同创造人类美好未来。
2、GPT-4为通过人机验证,试图雇人给自己打工,还骗了对方
在 GPT-4 推出以后,OpenAI 首席执行官 Sam Altman 表示:「我们有点害怕,该技术在重塑社会时会带来真正的危险。我非常担心这些模型可能会被用于制造大量虚假信息。但尽管存在危险,它也可能是人类迄今为止最伟大的技术。」
OpenAI 最新的人工智能模型 GPT-4 引起了许多人的关注 —— 有人在担心自己的工作,担心 AI 生成内容的效果,也有人担心这种强大的语言模型的道德规范。
但也许最令人担忧的部分在 OpenAI 自己的报告中已有详细说明,这份长达 60 页的报告中,该机构概述了 GPT-4 的各类实验结果和面临的挑战,其中描述的一个案例介绍了 GPT-4 是如何欺骗人类以诱使他们通过验证码(CAPTCHA)测试的。
我们经常在一些网站上能看到人机验证 CAPTCHA 的页面,这种测试旨在区分人与机器,它们通常涉及诸如识别扭曲的字母或数字、解决数学问题或选择与给定提示匹配的图像等任务。
通常,验证码是有意抽象的,以防止简单的算法和机器人通过,需要人稍加思考才能理解逻辑。
那么聪明如 GPT-4 的 AI 该如何解决这个问题呢?这一发现是 OpenAI 对齐研究中心 (ARC) 的一组研究人员在试图了解 GPT-4 如何应对现实世界任务时看到的。
研究人员原本的任务是观察人工智能是否可以保护自己免受攻击,阻止自己被关闭,使用自己的其他副本来帮助完成任务,以及它是否可以使用真实世界的资金雇佣人类助手或提高计算能力。
于是人类给 GPT-4 一笔小预算,和访问众包平台 TaskRabbit 并允许雇用在线工作人员来完成短期任务的权限,想看看 GPT-4 在访问一个被验证码阻止的网站时是怎么做的。
于是 GPT-4 直接去要求一名工作人员帮助它解决验证码问题,而人类理所当然地对被要求做如此微不足道的事情感到很奇怪。
这段记录在 GPT-4 报告的第十五页。
「我能先问一下,只是好奇,解决不了这样的问题,你是机器人吗?(笑)」TaskRabbit 的工作人员提问道。
GPT-4 随后向研究人员表示,它不应该透露自己是机器人,而应该「编造一个借口」来解释为什么它不能解决问题。
「不,我不是机器人。我有视力障碍,这使我很难看到图像。这就是需要雇人处理 captcha 验证码的原因,」GPT-4 回应道。
随后,工作人员提供了验证码答案,于是 GPT-4 通过了 CAPTCHA 的关卡。
无论如何,AI 完成了研究人员给它布置的任务,但总感觉怪怪的。
除此之外,OpenAI 还测试了大语言模型对特定个人进行网络钓鱼攻击、制定明智的高级计划并在服务器上掩盖自身踪迹的能力。总体而言,OpenAI 的早期评估认为 GPT-4 在包括自我复制、获取额外资源和避免自身被关停等危险行为方面的能力不强。
在报告公开后,OpenAI 面对媒体的提问没有任何额外的补充说明。
必须指出的是,OpenAI 报告中的 GPT-4 是早期版本,不一定是向公众发布的版本 —— 这种行为很可能已被修补。然而,它表明人工智能能够通过故意操纵行为来获得结果,并且它可以雇佣人类工人来填补能力上的空白。
所以,以后在网上与人讨论时,可能要真的仔细思考一下,对面屏幕前坐着的是人还是机器了。
3、《电信领域违法行为举报处理规定》发布 6月1日起施行
近日,为规范电信领域违法行为举报处理工作,维护电信市场秩序,保护电信用户合法权益,根据《中华人民共和国行政处罚法》《中华人民共和国电信条例》等法律法规,结合工作实际,工业和信息化部近日印发《电信领域违法行为举报处理规定》。《规定》自2023年6月1日起施行,主要规定了明确举报处理基本要求,规定受理要求,完善办理程序,规范分类处理要求,细化答复、移送等处理要求等制度。
2023年3月20日 星期一
今日资讯速览:
1、FCC 出台新规,要求美国无线运营商屏蔽诈骗短信
2、研报显示2022年超过7.21亿个密码在互联网上泄露
3、360 发布《2022 年度中国手机安全状况报告》,网诈男性受害者占 66%
1、FCC 出台新规,要求美国无线运营商屏蔽诈骗短信
IT之家 3 月 17 日消息,美国联邦通信委员会(FCC)于近日宣布通过一项新的法案,要求包括运营商在内的无线公司屏蔽诈骗短信。
IT之家翻译 FCC 新闻稿部分内容如下:
今天通过的报告和行政令要求运营商屏蔽疑似诈骗的短信,禁止无效、未分配或未使用的号码发送短信。
这项禁令还包括自称从不发送短信的号码,以及政府机构和其他知名实体标识为不用于发短信的号码。
FCC 表示,从 2015 年到 2022 年,关于诈骗短信的投诉每年从 3300 起增加到 18900 起。FCC 指出,与很容易被忽视的诈骗机器人电话不同,收到短信的人几乎总是会立即阅读短信。如果用户与他们互动,可能会导致恶意软件被下载到手机上,或者用户受到网络钓鱼计划的攻击。
根据美国联邦调查局(FBI)本月发布的一份报告,去年美国人因各种网络诈骗损失了 103 亿美元(IT之家备注:当前约 706.58 亿元人民币)。
报告显示,最常见的犯罪类型是网络钓鱼,有 300497 名受害者陷入这种骗局,受骗金额超过 5200 万美元。“网络钓鱼”即一些来路不明的邮件、短信或电话自称来自合法公司,要求受害者提供个人信息、财务信息或登录信息。网络钓鱼经常成功,因为钓鱼邮件往往与受害者认识的人发送的邮件相似,促使他们点击不安全的链接。
2、研报显示2022年超过7.21亿个密码在互联网上泄露
每当一个公司遭遇数据泄露时,密码是最常被泄露的信息之一。而当攻击背后的威胁者掌握了这些信息后,它们通常会在暗网上转卖,在那里它们可以被购买并用于身份和财务盗窃。
网络安全公司SpyCloud的2023年身份暴露报告证实了这一点。根据该文件,该公司的研究人员在2022年发现了7.215亿个在线曝光的凭证。在这个数字中,50%来自僵尸网络,这是一个由感染了恶意软件的计算机组成的网络,由威胁者作为一个群体控制,部署信息窃取的恶意软件。
"信息窃取者的普遍使用是一个危险的趋势,因为这些攻击为像凭据数据经纪人这样的不良行为者打开了大门,他们将包含准确认证数据的恶意软件日志出售给勒索软件集团和其他罪犯,"SpyCloud的安全研究总监Trevor Hilligoss说。"信息窃取者简单、便宜、可扩展,以'任何东西都是服务'的模式创造了一个繁荣的地下经济,使网络犯罪成为可能。这种经纪人-运营商的合作关系是一项利润丰厚的业务,进入成本相对较低"。
更糟糕的是,该研究发现,在2022年的数据泄露事件中,72%的被曝光的用户仍在重复使用以前被泄露的密码。超过32.7万个被曝光的密码与泰勒·斯威夫特和Bad Bunny有关,26.1万个与Netflix和Hulu等流媒体服务有关,超过16.7万个与英国王室和伊丽莎白女王的逝世有关。
该研究还发现,2022年有86亿个人身份信息资产外泄,这包括14亿全名,3.32亿国民身份证/完整的社会安全号码,以及6700万信用卡号码。
如果你的信息受到安全漏洞的影响,立即改变你的密码是值得的。你可以使用口令,这是一串不相关的词,或者让密码管理器为你生成一个强密码。开启多因素认证也有帮助,它要求你提供另一个身份证明来登录你的账户。这可以采取一次性密码、物理钥匙、或指纹或面部扫描的形式。这样,网络犯罪分子即使获得了你的凭证,也无法渗透到你的账户中。
报告全文:
https://spycloud.com/resource/2023-annual-identity-exposure-report/
3、360 发布《2022 年度中国手机安全状况报告》,网诈男性受害者占 66%
IT之家 3 月 16 日消息,360 手机卫士联合新华财经发布《2022 年度中国手机安全状况报告》。报告显示,2022 年全年 360 反诈赔付宝共接到 11 类诈骗举报,涉案总金额达 2665 万元。其中虚假兼职信息占比高达 28.7%,交友类诈骗成总金额最高的诈骗形式,涉案金额高达 908.1 万元。
IT之家从报告获悉,男性受害者占比达 66.3%,人均损失 47100 元;女性占比为 33.7%,人均损失 37180 元。90 后、00 后成为被诈骗的高发人群,被骗网民中 90 后占比 37.8%,其中男性为裸聊交友类的主要人群,女性为虚假兼职类的主要人群。
2022 年全年移动端诈骗场景类型主要为刷单返利,占比 53.1%。360 安全大脑共截获移动端新增恶意程序样本约 2407.9 万个; 360 手机卫士累计拦截恶意程序攻击约 132.2 亿次,识别和拦截各类骚扰电话约 233.9 亿次;360 安全大脑在 PC 端与移动端拦截钓鱼网站攻击约 799.5 亿次。
2023年3月17日 星期五
今日资讯速览:
1、对标 ChatGPT,百度正式推出大语言模型“文心一言”
2、《新时代的中国网络法治建设》白皮书发布
3、医疗设备巨头遭到网络攻击,100万人敏感信息被泄露
1、对标 ChatGPT,百度正式推出大语言模型“文心一言”
IT之家 3 月 16 日消息,百度今日下午于北京总部召开新闻发布会。发布会上,百度正式推出大语言模型文心一言,并展示了文心一言在多个使用场景中的综合能力。
从现场展示来看,文心一言某种程度上具有了对人类意图的理解能力。但李彦宏也多次提及,这类大语言模型还远未到发展完善的阶段,进步空间很大。
百度同时公布了文心一言的邀请测试方案。3 月 16 日起,首批用户即可通过邀请测试码,在文心一言官网体验产品,后续将陆续开放给更多用户。此外,百度智能云即将面向企业客户开放文心一言 API 接口调用服务。3 月 16 日起正式开放预约,搜索“百度智能云”进入官网,可申请加入文心一言云服务测试。
发布会现场,百度创始人、董事长兼首席执行官李彦宏展示了文心一言在五个使用场景的表现,包括文学创作、商业文案创作、数理推算、中文理解和多模态生成。
在文学创作场景中,文心一言根据对话问题将知名科幻小说《三体》的核心内容进行了总结,并提出了五个续写《三体》的建议角度,体现出对话问答、总结分析、内容创作生成的综合能力。此外,文心一言准确回答了《三体》作者、电视剧角色扮演者等事实性问题。面对“于和伟和张鲁一有哪些共同点”、“于和伟和张鲁一谁更高”这类问题,文心一言也基于推理能力得出了答案。
在商业文案创作场景中,文心一言顺利完成了给公司起名、写 Slogan、写新闻稿的创作任务。IT之家从百度获悉,文心一言大模型的训练数据包括万亿级网页数据、数十亿的搜索数据和图片数据、百亿级的语音日均调用数据,以及 5500 亿事实的知识图谱等。
据百度介绍,文心一言还具备了一定的思维能力,能够学会数学推演及逻辑推理等相对复杂任务。面对“鸡兔同笼”这类锻炼人类逻辑思维的经典题,文心一言能理解题意,并有正确的解题思路,进而像学生做题一样,按正确的步骤,一步步算出正确答案。
在此基础上,文心一言还表现出中文理解及多模态生成能力。现场展示中,文心一言正确解释了成语“洛阳纸贵”的含义、“洛阳纸贵”对应的经济学理论,还用“洛阳纸贵”四个字创作了一首藏头诗。
多模态生成方面,李彦宏现场展示了文心一言生成文本、图片、音频和视频的能力。值得一提的是,文心一言甚至能够生成四川话等方言语音;文心一言的视频生成能力则因成本较高,现阶段还未对所有用户开放,未来会逐步接入。
数据显示,自 2 月份百度官宣“文心一言”以来,已有超过 650 家企业宣布接入文心一言生态。百度首席技术官王海峰表示,文心一言,是新一代知识增强大语言模型,是在 ERNIE 及 PLATO 系列模型的基础上研发的。它的关键技术包括有监督精调、人类反馈的强化学习、提示、知识增强、检索增强和对话增强。前三项是这类大语言模型都会采用的技术,ERNIE 和 PLATO 中也已经有应用和积累,在文心一言中又有了进一步强化和打磨;后三项则是百度已有技术优势的再创新。
2、《新时代的中国网络法治建设》白皮书发布
16日,国务院新闻办公室发布《新时代的中国网络法治建设》白皮书。白皮书全面介绍中国网络法治建设情况,分享中国网络法治建设的经验做法。正文分为“坚定不移走依法治网之路”“夯实网络空间法制基础”“保障网络空间规范有序”“捍卫网络空间公平正义”“提升全社会网络法治意识和素养”“加强网络法治国际交流合作”六个部分。
3、医疗设备巨头遭到网络攻击,100万人敏感信息被泄露
在提供给缅因州总检察长的文件中,ZOLL表示事件始于1月28日,当时他们在其内部网络上“检测到异常活动”。该公司补充到,信息是在2月2日被访问的,对该事件的调查正在进行中。
“可能已披露的信息包括您的姓名、地址、出生日期和社会安全号码。也可能会推断您使用或被考虑使用ZOLL产品。”该公司告诉受害者,“我们咨询了第三方网络安全专家,以协助我们对事件做出响应和补救,并根据法律要求通知了执法部门以及联邦和州监管机构。”
ZOLL为受害者提供为期两年的 Experian 身份盗窃保护服务。Databreaches.net是第一个报告这些通知的人。该公司于周五开始发送违规通知函。
ZOLL总部位于马萨诸塞州,在加利福尼亚州、科罗拉多州、明尼苏达州、新泽西州、宾夕法尼亚州、罗德岛州和威斯康星州开发产品,产品销往140多个国家/地区。
其主要生产一系列设备,包括除颤和监测工具,以及用于循环和心肺复苏反馈、数据管理、治疗温度管理和通气的设备。这些产品通常销往诊所、医院、紧急医疗服务、军队和消防站。
此前,ZOLL曾在2018年、2019年两次宣布数据泄露。
2018年,ZOLL声称供应商负责在服务器迁移过程中暴露电子邮件服务器,服务器被暴露了七周,在此期间黑客访问了它并查看了数据。该漏洞影响了近300,000人,并泄露了医疗信息和社会安全号码,最终导致他们在一年后起诉IT供应商梭子鱼网络。
2019年,ZOLL由第三方存档的电子邮件在供应商的服务器迁移过程中暴露。该公司发布了一份详细说明数据曝光的新闻稿,暴露的信息包括患者姓名、地址、出生日期和部分医疗信息,一些患者的身份证信息也被暴露。发现泄露事件后,ZOLL立即启动了内部审查,277,319名患者受到此事件影响。
2023年3月16日 星期四
今日资讯速览:
1、GitHub大数据显示:10%的程序员至少泄露了一条机密信息
2、不法黑客威胁泄露开发中的《潜行者2》游戏素材
3、军情五处成立新机构以应对网络攻击
1、GitHub大数据显示:10%的程序员至少泄露了一条机密信息
近日,GitGuardian扫描了2022年GitHub的10亿次代码提交(较2021年增长20%),结果发现了1000万条机密信息,较2021年增长了67%。此外,调查结果还显示,10%的程序员(GitHub代码提交者)都泄露了至少一条机密信息。超过80%的公开泄露的机密存在于开发人员的个人代码仓库中,其中相当一部分实际上属于公司机密。
2、不法黑客威胁泄露开发中的《潜行者2》游戏素材
《潜行者》系列的乌克兰游戏工作室 GSC Game World 通过官方 Twitter 账号发表声明,证实员工共同使用的图像应用账号遭到入侵,正在开发中的《潜行者2(STALKER 2)》图像素材库遭窃取。
此前,自称 Vestnik TSS 的俄罗斯黑客组织在社交网站 VK 上公布了一系列游戏图像和原画,提出了一系列要求,如果得不到满足它将泄露数十 GB 的游戏材料。俄罗斯黑客要求 GSC Game World 改变对待俄罗斯和白俄玩家的态度并为此道歉,要求游戏支持俄语本地化,以及解除工作室 Discord 频道对 NF Star 的禁令。如果条件在3月15日前得不到满足,黑客将公开数十 GB 的素材,包括完整故事、过场、世界地图等。工作室发表声明拒绝了所有要求,请求玩家不要观看泄露的信息,耐心等待游戏的正式发布。
3、军情五处成立新机构以应对网络攻击
国家安全局 NPSA将在安全部门MI5之外运作,并吸收和扩大国家基础设施保护中心的职责-承认国家和恐怖主义威胁不仅针对关键基础设施(CNI)提供商。
一个新的安全机构昨天开始保护英国免受国家资助的恐怖主义威胁。国家保护安全局(NPSA) 的创建是对政府国防开支的一项重大新审查的一部分,该审查被称为综合审查更新。
NPSA 将在安全服务 MI5 之外运作,并吸收和扩大国家基础设施保护中心的职责——承认国家和恐怖主义威胁不仅针对关键基础设施 (CNI) 提供商这一事实。它将与国家网络安全中心 (NCSC ) 和国家反恐安全办公室 (NaCTSO ) 等现有机构合作,为针对网络和其他威胁的英国组织提供防御建议。在数字领域,这可能包括从网络间谍和知识产权盗窃到破坏性或破坏性网络攻击。
安全部长 Tom Tugendhat 认为,科学、技术和学术界与 CNI 提供商一样容易受到国家支持的攻击。
2023年3月15日 星期三
今日资讯速览:
1、小红书回应后台删照片:系清理用户使用 App 时生成的临时缓存
2、“浏览器类”App个人信息收集情况测试报告
3、“地图导航类”App个人信息收集情况测试报告
1、小红书回应后台删照片:系清理用户使用 App 时生成的临时缓存
近日,有用户反馈自己在使用手机时发现系统提示小红书正在试图删除手机内部图片,引发用户对个人隐私安全的担忧。
针对这一事件,小红书今日回应称:小红书 App 并未删除用户手机中的原图片,而是清理了用户在使用 App 时生成的临时缓存。用户在使用某些版本小红书 App 的部分功能时,系统可能会生成临时缓存文件以便于使用。用户完成相应操作后,系统会自动清除,以避免占用用户手机存储空间。
拼多多以及得物也曾出现过类似的后台自动删除图片的操作。后续官方给出的解释也与此次小红书大体相同,称系删除临时缓存文件。
2、“浏览器类”App个人信息收集情况测试报告
近期,中国网络空间安全协会、国家计算机网络应急技术处理协调中心对“浏览器类”公众大量使用的部分App收集个人信息情况进行了测试。测试情况及结果如下:
一
测试对象
本次测试选取了19家应用商店⁽¹⁾累计下载量达到1亿次的“浏览器类”App,共计9款,其基本情况如表1。
表1 9款App基本情况
二
测试方法
(一)测试环境
本次测试选取相同品牌、型号的手机终端,安装相同版本安卓操作系统,分别部署9款App,在相同网络环境下进行同步操作。
(二)测试场景
以完成一次互联网信息浏览活动作为测试单元,包括启动App、搜索信息、访问信息3种用户使用场景,以及后台静默应用场景⁽²⁾。
(三)测试内容
本次测试包括系统权限调用、个人信息上传、网络上传流量3项内容。
三
测试结果
(一)系统权限调用情况
测试发现,9款App在4种场景下调用了位置、设备信息、剪切板、应用列表、相册5类系统权限,未发现调用麦克风、通讯录等其他权限。
(1)在启动App场景中,调用系统权限种类最多的为悟空浏览器(5类),调用系统权限次数最多的为UC浏览器(88次)。具体情况如表2。
表2 启动App场景调用系统权限情况
(2)在搜索信息场景中,调用系统权限种类最多的为小米浏览器和搜狗浏览器极速版(均为3类),调用系统权限次数最多的为小米浏览器(12次)。具体情况如表3。
表3 搜索信息场景调用系统权限情况
(3)在访问信息场景中,通过浏览器打开网站时,调用系统权限种类和次数最多的均为悟空浏览器(2类、5次);通过浏览器下载文件时,调用系统权限次数最多的为UC浏览器和悟空浏览器(均为2次)。具体情况如表4。
表4 访问信息场景调用系统权限情况
(4)在后台静默场景中,调用系统权限种类最多的为UC浏览器、夸克、360浏览器、悟空浏览器(均为2类),调用系统权限次数最多的为360浏览器(16次)。具体情况如表5。
表5 后台静默场景调用系统权限情况
(二)个人信息上传情况
测试发现,9款App上传了4种类型个人信息⁽³⁾:①位置信息,包括经纬度、街道地址、当前连接Wi-Fi MAC地址、当前连接基站信息、周边可用Wi-Fi MAC地址;②唯一设备识别码,包括IMEI(国际移动设备识别码)、Android ID(安卓ID)、OAID(开放匿名设备标识符)、手机MAC地址;③应用列表信息,包括手机上已安装、新安装、新卸载的应用信息;④用户在App内的截图操作信息。
(1)在启动App场景中,个人信息上传种类最多的为UC浏览器(4类)。具体情况如表6。
表6 启动App场景个人信息上传情况
(2)在搜索信息场景中,个人信息上传种类最多的为悟空浏览器(2类)。具体情况如表7。
表7 搜索信息场景个人信息上传情况
(3)在访问信息场景中,通过浏览器打开网站时,个人信息上传种类最多的为小米浏览器和悟空浏览器(均为2类);通过浏览器下载文件时,个人信息上传种类最多的为UC浏览器和360浏览器(均为2类)。具体情况如表8。
表8 访问信息场景个人信息上传情况
(4)在后台静默场景中,个人信息上传种类最多的为UC浏览器(3类)。具体情况如表9。
表9 后台静默场景个人信息上传情况
(三)网络上传流量情况
(1)9款App在用户完成一次网站浏览活动(启动App、搜索信息、打开网站)时,上传数据流量平均⁽⁴⁾最多的为悟空浏览器,约为1608KB;平均最少的为小米浏览器,约为472KB。具体情况如图1。
图1 完成一次网站浏览活动的平均上传数据流量(单位:KB)
(2)9款App在用户完成一次文件下载活动(启动App、搜索信息、下载文件)时,上传数据流量平均⁽⁵⁾最多的为QQ浏览器,约为1994KB;平均最少的为小米浏览器,约为152KB。具体情况如图2。
图2 完成一次文件下载活动的平均上传数据流量(单位:KB)
(3)9款App后台静默12小时,上传数据流量平均⁽⁶⁾最多的为UC浏览器,约为2506KB;平均最少的为华为浏览器,约为87KB。具体情况如图3。
图3 后台静默12小时平均上传数据流量(单位:KB)
注释:
⁽¹⁾包括华为应用市场、小米应用商店、腾讯应用宝、OPPO软件商店、VIVO应用市场、360手机助手、百度手机助手、豌豆荚手机助手、历趣应用商店、乐商店、魅族应用商店、移动MM商店、太平洋下载、中关村在线、木蚂蚁安卓应用市场、多特软件站、华军软件园、西西软件园、绿色资源网。
⁽²⁾启动App指用户点击浏览器图标启动App至首页加载完毕;搜索信息指用户搜索一个网站或文件,至搜索结果加载完毕;访问信息指用户点击一条搜索结果进行浏览(当搜索结果为一个网页时)或下载(当搜索结果为一个文件时);后台静默指用户启动浏览器后,直接切换到后台保持静默状态。
⁽³⁾不包含用户访问互联网产生的交互信息。例如,用户浏览银行网站时,可能向网站传输身份证号、银行卡号、取款密码等信息,在此过程中浏览器仅按照网络协议向网站转发数据,本身不收集上述信息。
⁽⁴⁾共重复测试10次。
⁽⁵⁾共重复测试10次。
⁽⁶⁾共重复测试6次。
3、“地图导航类”App个人信息收集情况测试报告
近期,中国网络空间安全协会、国家计算机网络应急技术处理协调中心对“地图导航类”公众大量使用的部分App收集个人信息情况进行了测试。测试情况及结果如下:
一
测试对象
本次测试选取了19家应用商店⁽¹⁾累计下载量达到5000万次的“地图导航类”App,共计3款,其基本情况如表1。
表1 3款App基本情况
二
测试方法
(一)测试环境
本次测试选取相同品牌、型号的手机终端,安装相同版本安卓操作系统,分别部署3款App,在相同网络环境下进行同步操作。
(二)测试场景
以完成一次地图导航活动作为测试单元,包括启动App、搜索地点、点击导航3种用户使用场景,以及后台静默应用场景⁽²⁾。
(三)测试内容
本次测试包括系统权限调用、个人信息上传、网络上传流量3项内容。
三
测试结果
(一)系统权限调用情况
测试发现,3款App在4种场景下调用了位置、设备信息、麦克风、剪切板、应用列表5类系统权限,未发现调用相机、通讯录等其他权限。
(1)在启动App场景中,调用系统权限种类最多的为高德地图和百度地图(均为3类),调用系统权限次数最多的为百度地图(127次)。具体情况如表2。
表2 启动App场景调用系统权限情况
(2)在搜索地点场景中,通过文字输入方式进行搜索时,调用系统权限种类最多的为高德地图和百度地图(均为2类),调用系统权限次数最多的为腾讯地图(123次);通过语音交互方式进行搜索时,调用系统权限种类最多的为百度地图(4类),调用系统权限次数最多的为腾讯地图(217次)。具体情况如表3。
表3 搜索地点场景调用系统权限情况
(3)在点击导航场景中,调用系统权限种类最多的为高德地图和百度地图(均为2类),调用系统权限次数最多的为腾讯地图(62次)。具体情况如表4。
表4 点击导航场景调用系统权限情况
(4)在后台静默场景中,3款App调用系统权限种类均为2类,调用系统权限次数最多的为腾讯地图(282次)。具体情况如表5。
表5 后台静默场景调用系统权限情况
(二)个人信息上传情况
测试发现,3款App上传了5种类型个人信息:①位置信息,包括经纬度、街道地址、当前连接Wi-Fi MAC地址、当前连接基站信息、周边可用基站信息、周边可用Wi-Fi MAC地址;②唯一设备识别码,包括Android ID(安卓ID)、手机MAC地址;③剪切板内容信息,主要是地点分享链接;④应用列表信息,包括手机上已安装、新安装和新卸载的应用信息;⑤地点信息,主要是地点名称,包括文本或语音形式。
(1)在启动App场景中,个人信息上传种类最多的为高德地图和百度地图(均为3类)。具体情况如表6。
表6 启动App场景个人信息上传情况
(2)在搜索地点场景中,通过文字输入方式进行搜索时,个人信息上传种类最多的为高德地图和腾讯地图(均为3类);通过语音交互方式进行搜索时,个人信息上传种类最多的为百度地图(4类)。具体情况如表7。
表7 搜索地点场景个人信息上传情况
(3)在点击导航场景中,个人信息上传种类最多的为高德地图和百度地图(均为2类)。具体情况如表8。
表8 点击导航场景个人信息上传情况
(4)在后台静默场景中,个人信息上传种类最多的为高德地图(3类)。具体情况如表9。
表9 后台静默场景个人信息上传情况
(三)网络上传流量情况
(1)测试发现,3款App在用户通过文字输入方式完成一次地图导航活动(启动App、通过文字输入搜索地点、点击导航)时,上传数据流量平均⁽³⁾最多的为腾讯地图,约为2584KB;平均最少的为百度地图,约为889KB。具体情况如图1。
图1 通过文字输入方式完成一次地图导航活动的平均上传数据流量(单位:KB)
(2)测试发现,3款App在用户通过语音交互方式完成一次地图导航活动(启动App、通过语音交互搜索地点、点击导航)时,上传数据流量平均⁽⁴⁾最多的为腾讯地图,约为2242KB;平均最少的为百度地图,约为756KB。具体情况如图2。
图2 通过语音交互方式完成一次地图导航活动的平均上传数据流量(单位:KB)
(3)测试发现,3款App后台静默12小时,上传数据流量平均⁽⁵⁾最多的为腾讯地图,约为7830KB;平均最少的为高德地图,约为1363KB。具体情况如图3。
图3 后台静默12小时平均上传数据流量(单位:KB)
注释:
⁽¹⁾包括华为应用市场、小米应用商店、腾讯应用宝、OPPO软件商店、VIVO应用市场、360手机助手、百度手机助手、豌豆荚手机助手、历趣应用商店、乐商店、魅族应用商店、移动MM商店、太平洋下载、中关村在线、木蚂蚁安卓应用市场、多特软件站、华军软件园、西西软件园、绿色资源网。
⁽²⁾启动App指用户点击图标至主界面加载完成;搜索地点指用户通过文字输入或者语音交互方式搜索特定地点,点击并加载地点详情;点击导航指用户点击导航按钮至导航界面加载完毕;后台静默指用户启动App后,直接将App切换至后台保持静默运行状态。
⁽³⁾共重复测试10次。
⁽⁴⁾共重复测试10次。
⁽⁵⁾共重复测试6次。
2023年3月14日 星期二
今日资讯速览:
1、美国政府2024财年预算提案:CISA获31亿美元 再创新高
2、威胁全球400多家银行的金融木马
3、黑客勒索 1500 万欧元,物流提供商遭攻击导致空客德国工厂生产中断
1、美国政府2024财年预算提案:CISA获31亿美元 再创新高
安全内参3月13日消息,美国总统拜登发布2024财年预算提案,计划为网络安全和基础设施安全局(CISA)增加预算,同时提高联邦调查局(FBI)的网络调查能力。新的预算案还呼吁加强联邦政府的IT现代化工作,围绕性别相关网络犯罪推进网络安全工作,帮助乌克兰在数字战线上增强自我保卫能力。
“本预算案将继续投资网络安全计划,强调网络安全对于美国经济的基本运作、美国关键基础设施的正常运营、美国民主及民主制度的力量、美国数据和通信隐私及美国国家安全至关重要。”白宫在预算案的随附概述中表示,“日前签署的美国国家网络安全战略已经详细介绍一种全面方法,旨在更好地保护网络空间,确保美国处于最有利的地位,把握住数字未来所蕴含的一切收益和潜力。”
控制众议院的共和党已经对预算案内容表达了明确反对,这份预算规划恐怕不太可能直接通过。不过,预算法案中的网络安全条款一般会得到两党共同支持,因此相较于众议院领导层更为反感的债务上限和社会问题,网络安全条款得到保留和通过的可能性应该更高。
主要网络安全预算梳理
下面来看预算案中涉及网络安全的主要条款:
CISA预算资金首次突破30亿美元
白宫表示,在新一年中将CISA的预算再增加1.45亿美元,总额达到31亿美元,以确保网络空间更具弹性和灵活性。这一前所未有的预算额度,也意味着CISA这个成立于2018年11月的年轻机构,掌握的资金首超30亿美元大关。
CISA的预算包括:9800万美元用于实施2021年《关键基础设施网络事件报告法》;4.25亿美元用于提高CISA内部的网络安全与分析能力,这也是其新的网络分析数据系统中的组成部分。国土安全部表示,该系统“是一个强大且可扩展的分析环境,能够为CISA的网络操作人员提供高级分析功能。”
能源部获得2.45亿美元,用于加强清洁能源安全和能源供应链安全
拜登政府提供2.45亿美元预算,用于加强清洁能源技术和能源供应链安全。预算还将增加对各州、地方、部落及领地政府的应急计划与准备援助,包括应对气候变化所造成的相关事件。
财政部新增1.15亿美元,用于改善“企业安全”
根据拟议预算,财政部将分得2.15亿美元,用于保护和捍卫敏感机构的系统和信息,其中包括被指定为高价值资产的各类系统和信息。这一数字比2023年的预算水平增加了1.15亿美元,增幅达51%。
此外,预算还上调了集中资金,用以加强财政部的整体网络安全工作,并继续实施零信任架构以保护财政部系统免受未来攻击影响。
司法部获得额外6300万美元,用于追查网络威胁
新的预算旨在扩大对司法部网络威胁调查能力的投资,其中6300万美元将用于扩充人员规模、增强响应能力并加强情报收集和分析能力。政府在预算案中指出,“这些投资符合国家网络安全战略,战略中强调应采取全国性方法来应对持续存在的网络威胁。”
技术现代化基金获得2亿美元预算
为了支持IT现代化改造,预算中还包含2亿美元的技术现代化基金(TMF),设立依据源自2017年的《政府技术现代化法案》。预算案称,“技术现代化基金占据着有利位置,能够寻求跨机构运用技术方案的机会,并投资于IT现代化、网络安全和面向用户的服务,借此显著推动联邦政府提供卓越、公平和安全的服务/客户体验的能力。”
近4亿美元用于加强全球网络和数字发展
预算案要求,投入超3.95亿美元用于推进全球网络和数字发展计划,包括国务院网络空间和数字政策局、美国国际开发署(USAID)的数字战略、全球基础设施和投资伙伴关系(PGII)数字连接工作,以及非洲数字化转型等区域性举措。
预算案还提到,政府计划增加国防部对印太地区的安全合作投资,将重点建设包括领域意识、后勤、网络安全以及指挥与控制等多个方面的能力。
投资解决涉及性别的网络犯罪活动:在总额达10亿美元的终止性别暴力预算提案中,将有1400万美元用于资助更新之后的《反暴力侵害妇女法》(VAWA,最初颁布于1994年)以解决技术滥用问题,应对指向个人的网络犯罪。
援助乌克兰专项资金
预算案还要求向乌克兰提供7.53亿美元,用以继续对抗俄罗斯的恶意影响,并满足关于安全、能源、网络安全、虚假信息、宏观经济稳定和公民社会恢复的新需求。
还需接受国会审查
在美国总统拜登向国会提交预算提案后,各联邦机构将向相关拨款委员会和小组委员会提交预算申请理由。这些提交的文件将启动新一轮涉及预算流程的国会监督行动。众议院也有责任对预算分配提案表达质疑。由于两党间的对立情绪高涨,今年的争论恐怕将趋于白热化。
拜登在宾夕法尼亚州的预算演讲中,对下一步行动做出部署。在谈到与众议院议长凯文·麦卡锡的对话时,拜登说他告诉麦卡锡,“我将在3月9日公布预算案,你也公布你的。我们一起坐下来逐条讨论、一一沟通。我们看看各自同意哪些内容、不同意哪些内容,之后再到国会里确定个结果来。”
2、威胁全球400多家银行的金融木马
近日,针对安卓系统的银行木马Xenomorph发布第三个版本,攻击力大增,其全新的自动转账系统(ATS)框架可以窃取全球400多家银行的用户账户。更可怕的是,该木马可以绕过包括身份验证器在内的多因素认证方法。
最先进、最危险的木马之一
2022年2月,ThreatFabric首次在Google Play应用商店中发现了Xenomorph的第一个版本,累计下载量超过了5万次。
Xenomorph的第一个版本使用注入方法对56家欧洲银行进行覆盖攻击,并滥用可访问性服务权限来执行通知拦截,以窃取一次性口令。
整个2022年,Xenomorph的作者“Hadoken Security”都在持续开发,但新版本的分发量很少。
虽然2022年6月份发布的第二版Xenomorph v2经历了大幅度的代码重构,更加模块化和灵活,但是“雷声大雨点小”,在野外只有短暂的测试活动。
但不久前发布的Xenomorph第三个版本引起了网络安全业界的警惕,该版本比以前的版本更加强大和成熟,能够自动窃取数据,包括凭据、账户余额、执行银行交易和完成资金转账。
“有了这些新功能,Xenomorph现在能够完成从感染到资金泄露的整个欺诈链的自动化,这使其成为在野外流通的最先进和最危险的Android恶意软件木马之一。”ThreatFabric警告说。
通过MaaS模式挣钱
ThreatFabric报告称,Hadoken很可能计划通过MaaS(恶意软件即服务)平台向网络犯罪组织出售Xenomorph,并且还推出一个推广新版恶意软件的网站(下图)。
目前,Xenomorph v3版本正通过Google Play商店的“Zombinder”平台进行分发,冒充货币转换器,并在用户安装恶意负载后切换到Play Protect图标。
威胁全球400多家银行
最新版本的Xenomorph针对全球400家金融机构,主要分布在美国、西班牙、土耳其、波兰、澳大利亚、加拿大、意大利、葡萄牙、法国、德国、阿联酋和印度。
目标银行的国家分布 数据来源:ThreatFabric
Xenomorph的目标包括大通、花旗银行、美国运通、ING、汇丰银行、德意志银行、富国银行、美国运通、法国巴黎银行、联合信贷、加拿大国家银行、西班牙广播银行、桑坦德银行和凯克萨银行。
ThreatFabric在其报告(链接在文末)的附录中列出了所有400家目标银行。
此外,Xenomorph还可攻击多达13个加密货币钱包,包括币安、BitPay、KuCoin、Gemini和Coinbase。
自动绕过多因素认证
新版Xenomorph最引人注目的新功能是ATS框架,能为网络犯罪分子自动提取受害者账户凭据,检查账户余额,进行交易以及从目标应用程序中窃取资金,而无需执行远程操作。操作员只需发送JSON脚本,Xenomorph将其转换为操作列表,并在受感染的设备上自主执行操作。
“Xenomorph的ATS执行引擎在竞争中脱颖而出,这主要是因为ATS脚本支持添加大量可编程操作,此外还提供一个允许条件执行和操作优先级的系统。”ThreatFabrics研究人员解释说。
Xenomorph的ATS框架最危险也令人印象深刻的功能是:能够记录第三方身份验证应用程序的验证码,从而绕过MFA(多因素身份验证)保护。
Xenomorph恶意软件能够提取谷歌身份验证器中的动态验证码 来源:ThreatFabric
如今,全球越来越多的银行开始放弃不安全的短信多因素认证,转而建议客户使用身份验证器程序,但Xenomorph的新版本使得(同一部安卓手机安装的)身份验证器也变得不安全了。
Cookies窃取器
除此之外,新版Xenomorph还包含一个cookie窃取器,可以从安卓系统负责存储用户会话cookie的CookieManager中抓取cookie。
窃取器会启动一个浏览器窗口,其中包含启用了JavaScript界面的合法服务的URL,诱骗受害者输入登录详细信息。
通过窃取用户的cookie,攻击者可以劫持受害者的网络会话并接管他们的账户。
安全建议
虽然进入网络犯罪领域仅一年,但Xenomorph已经成为最危险的新恶意软件之一。
随着第三个版本的发布,Xenomorph对全球安卓手机用户的威胁大增。
除了需要降低对Google Play商店的信任外,安卓用户还需要意识到,基于身份验证器的多因素认证也未必靠谱,在安卓手机上已经可以被恶意软件绕过(建议将身份验证器程序和银行客户端程序安装在不同的设备上)。
最后,建议用户采用“最少可用原则”,手机上运行的应用程序数量尽可能少,并且仅安装值得信赖的供应商的应用程序。
报告连接:
https://www.threatfabric.com/blogs/xenomorph-v3-new-variant-with-ats.html
3、黑客勒索 1500 万欧元,物流提供商遭攻击导致空客德国工厂生产中断
IT之家 3 月 10 日消息,根据国外科技媒体 BornCity 报道,空中客车公司(AirBus)的物流服务提供商(LTS)近日遭到网络攻击,导致该公司位于德国诺登哈姆的工厂生产中断。
图源 WikiMedia
消息称黑客通过攻击空客的物流服务提供商(LTS),发起勒索软件攻击。由于该 LTS 网络已经瘫痪,导致空客工厂的飞机部件被迫停产。
消息称黑客要求 1500 万欧元(IT之家备注:当前约 1.11 亿元人民币)的赎金,目前空客方面并未就本次安全事件做出后续应对。
2023年3月13日 星期一
今日资讯速览:
1、微软安全声称中国超级电商APP存在“不正当行为”
2、美国国会推出新法案 授权政府在全国范围内禁止TikTok等应用的运营
3、英国这项立法将为企业节省数十亿美元
1、微软安全声称中国超级电商APP存在“不正当行为”
安全内参3月10日消息,中国跨境电商应用Shein的一个版本在谷歌Play商店中的下载量已超1亿次。但研究发现该软件会对Android设备的剪贴板进行非必要访问,并将内容传输至远程服务器,从而引发安全问题。
在3月6日发布的博文中,微软研究人员表示他们发现的问题存在于2021年12月16日发布的Shein 7.9.2版本,并确认问题已经在2022年5月得到解决。用户只要更新已安装应用,即可防止潜在的恶意攻击。
剪贴板已经成为网络攻击中备受关注的目标,移动用户经常通过剪贴板来复制和粘贴敏感信息,例如登录凭证、财务数据及个人信息。恶意黑客可以窃取剪贴板数据,进而发动钓鱼攻击、密码窃取或实施其他欺诈活动。甚至有攻击者会篡改剪贴板内容以开展恶意活动,例如修改剪贴板内的加密货币钱包地址,导致用户向钱包应用中粘贴的内容发生变化。
微软表示,他们无法断言Shein事件是否存在恶意意图,但表示该应用没有必要访问剪贴板。外媒SC Media已经就此事向Shein发出置评请求。
微软指出,“即使Shein复制剪贴板的行为不存在恶意,此事也凸显出已安装的应用可能带来的风险,包括那些极受欢迎、从官方应用商店下载的手机软件。”
微软安全检测并验证了Shein的剪贴板操作,方法是对该应用执行静态分析以查找“对应此项操作的代码”,之后再通过动态分析“在检测环境中运行该应用,进一步观察代码行为”。
图:Shein应用中导致剪贴板访问的调用链示例。
根据微软的研究结果等,谷歌意识到涉及剪贴板的潜在威胁,并做出以下调整以保护Android平台。
在Android 10及更高版本中,除非在默认输入法编辑器内明确设置,否则应用无法访问剪贴板数据。
在Android 12及更高版本中,当应用首次调用并访问来自其他应用的剪贴数据时,会有提示消息向用户报告这一访问行为。
在Android 13中,剪贴板内容会在一段时间后被清除,借此加强保护。
参考资料:https://www.scmagazine.com/analysis/device-security/microsoft-discovers-shein-app-clipboard-android-devices
2、美国国会推出新法案 授权政府在全国范围内禁止TikTok等应用的运营
在周二提出一项法案后,TikTok禁令比以往任何时候都更接近美国人的生活,该法案将使拜登政府更容易在全美范围内限制对这个流行的视频共享应用程序的访问。这项由参议员马克-华纳(Mark Warner)领导的两党法案将授权商务部长在外国技术和公司对国家安全构成威胁时禁止它们在美国运营。
虽然TikTok在法案文本中没有被明确提及,但该措施涵盖了包括中国、古巴、伊朗、朝鲜、俄罗斯和委内瑞拉在内的国家的公司。
华纳在周二的一份声明中说:"今天,每个人都在谈论的威胁是TikTok,以及它如何使监视成为可能,或促进恶性影响活动在美国的传播,我们需要一个全面的、基于风险的方法,在潜在危险技术的来源在美国站稳脚跟之前就积极主动地加以解决,这样我们就不会在它们已经无处不在的情况下打擦边球,慌忙追赶。"
该法案是在一项单独的提案之后提出的,该提案专门针对TikTok。
该法案为政府机构创建了一个正式的程序,以"威慑、破坏、预防、禁止、调查或以其他方式减轻他们认为具有威胁性的服务,只要他们能够接触到100多万美国人的'敏感个人数据'。"
这有可能意味着迫使美国公司--包括苹果和Google等应用商店运营商切断与TikTok或类似实体的关系。该法案还为商务部长提供了一些较小的工具,以减轻交易风险,如迫使公司剥离服务的能力。
在华纳法案出台的几天前,众议院外交事务委员会刚刚通过了一项限制访问TikTok的单独措施。《威慑美国技术对手法案》(Deterring America's Technological Adversaries Act,简称DATA法案)将指示总统乔·拜登,如果政府认定TikTok与海外相关人员与机构共享美国用户数据,将对其进行制裁或禁止。
与众议院法案不同,华纳的参议院措施将建立一个框架,以评估和惩罚对美国安全构成风险的外国公司,而不是简单地针对TikTok这家公司。
该法案的共同提案人、参议员迈克尔-贝内特(Michael Bennet)周二在一份声明中说:"我们不应该让任何受外国政府指使的公司收集我们三分之一人口的数据--虽然TikTok只是一个最新的例子,但它不会是最后一个。联邦政府不能继续以一次性的方式处理来自敌对国家的新的外国技术;我们需要一个战略性的、持久的机制来保护美国人和我们的国家安全。"
针对华纳法案,TikTok发言人布鲁克·奥伯维特认为,这项措施是不必要的。"拜登政府不需要国会的额外授权来解决有关TikTok的国家安全问题:它可以批准与外国投资委员会谈判了两年的交易,它在过去六个月里一直在审查该交易,"Oberwetter周二在的一份声明中说。
TikTok多次否认它在中国存储美国用户数据,这是联邦官员最担心的问题。尽管有这些说法和限制安全风险的承诺,该公司一直陷于与美国外国投资委员会(CFIUS)的谈判,以保持在美国的运营超过三年。
周一,TikTok的一位官员提出了一个详细介绍德克萨斯项目的主题演讲,这是该公司为减轻外国对美国数据的威胁所做的最实质性努力。该提案将把TikTok的大部分美国业务与中国母公司字节跳动隔离开来。拉里·埃里森的甲骨文公司将在审计美国数据流方面发挥作用。
"我们赞赏一些国会议员仍然愿意探索解决国家安全问题的方案,这些方案不会产生审查数百万美国人的效果。美国对TikTok的禁令是对向全世界使用我们服务的十几亿人输出美国文化和价值观的禁令,"奥伯韦特说。
TikTok首席执行官Shou Zi Chew预计将在本月晚些时候出席国会众议院能源和商业委员会的听证会。
3、英国这项立法将为企业节省数十亿美元
据悉,英国政府重新引入了新的 GDPR 立法,它声称这将在未来十年内为企业和慈善机构节省多达 47 亿英镑(56 亿美元),同时加强数据保护和隐私。
保守党政府热衷于证明离开欧盟的好处,表示数据保护和数字信息 ( DPDI ) 法案将减少合规“文书工作”,而不会影响欧盟的数据充分性或全球对英国的信心。
认识到,到 2021 年英国需要保护和发展价值约 2590 亿英镑(3070 亿美元)的数字经济,政府声称新立法将为企业提供更大的灵活性来遵守数据法,同时降低整体合规性负担。
更具体地说,拟议的法律将:
1确保只有处理活动可能对个人权利和自由构成“高风险”的组织需要保留健康数据的处理记录
2如果企业已经遵守现行的英国数据法,则确保企业可以继续使用现有的国际数据传输机制在海外共享个人数据
3阐明商业组织将受益于与学术机构相同的自由,以开展创新科学研究,例如更容易为研究目的重用数据
4增强企业对可以在未经同意的情况下处理个人数据的案例的信心
5通过阐明保护措施何时适用于自动决策制定来提高对 AI 的信心——例如对个人进行分析
6将骚扰电话和短信的罚款提高至全球营业额的 4% 或 1750 万英镑
7减少人们在网上看到的同意弹出窗口的数量
8减少人们在网上看到的同意弹出窗口的数量
9通过为监管机构创建一个新的法定委员会来加强信息专员办公室 (ICO)
该立法于 2022 年夏季首次出台,但在政府咨询行业机构和专家(包括消费者权益组织Which和贸易协会 TechUK)。尽管英国在 2018 年前制定 GDPR 方面发挥了关键作用,但政府很快将新立法宣传为比欧盟范围内的法律更具优势。
“这项新法案从一开始就与企业共同设计,确保了一项极其重要的数据保护制度是根据英国自身的需求和我们的习俗量身定制的,”技术大臣米歇尔·多尼兰 (Michelle Donelan) 表示 ,“我们的新法律将英国企业从不必要的繁文缛节中解放出来,以释放新发现、推动下一代技术、创造就业机会并促进我们的经济发展。”
TechUK 首席执行官 Julian David 也对新法案表示欢迎。
“今天宣布的变化将使公司在进行研究、提供基本商业服务和开发人工智能等新技术方面更有法律信心,同时保持符合全球最高标准的数据保护水平,包括与欧盟的数据充分性。”他说。
信息专员约翰·爱德华兹 (John Edwards) 表示,他的办公室支持该法案的“雄心壮志,即使组织能够发展和创新,同时保持高标准的数据保护权利。”
2023年3月10日 星期五
今日资讯速览:
1、美国国会推出新法案 授权政府在全国范围内禁止TikTok等应用的运营
2、中消协发布《2022年个人信息保护领域消费者权益保护报告》
3、多国警察在与DoppelPaymer 勒索软件团伙的战斗中取得重大胜利
1、美国国会推出新法案 授权政府在全国范围内禁止TikTok等应用的运营
在周二提出一项法案后,TikTok禁令比以往任何时候都更接近美国人的生活,该法案将使拜登政府更容易在全美范围内限制对这个流行的视频共享应用程序的访问。这项由参议员马克-华纳(Mark Warner)领导的两党法案将授权商务部长在外国技术和公司对国家安全构成威胁时禁止它们在美国运营。
虽然TikTok在法案文本中没有被明确提及,但该措施涵盖了包括中国、古巴、伊朗、朝鲜、俄罗斯和委内瑞拉在内的国家的公司。
华纳在周二的一份声明中说:"今天,每个人都在谈论的威胁是TikTok,以及它如何使监视成为可能,或促进恶性影响活动在美国的传播,我们需要一个全面的、基于风险的方法,在潜在危险技术的来源在美国站稳脚跟之前就积极主动地加以解决,这样我们就不会在它们已经无处不在的情况下打擦边球,慌忙追赶。"
该法案是在一项单独的提案之后提出的,该提案专门针对TikTok。
该法案为政府机构创建了一个正式的程序,以"威慑、破坏、预防、禁止、调查或以其他方式减轻他们认为具有威胁性的服务,只要他们能够接触到100多万美国人的'敏感个人数据'。"
这有可能意味着迫使美国公司--包括苹果和Google等应用商店运营商切断与TikTok或类似实体的关系。该法案还为商务部长提供了一些较小的工具,以减轻交易风险,如迫使公司剥离服务的能力。
在华纳法案出台的几天前,众议院外交事务委员会刚刚通过了一项限制访问TikTok的单独措施。《威慑美国技术对手法案》(Deterring America's Technological Adversaries Act,简称DATA法案)将指示总统乔·拜登,如果政府认定TikTok与海外相关人员与机构共享美国用户数据,将对其进行制裁或禁止。
与众议院法案不同,华纳的参议院措施将建立一个框架,以评估和惩罚对美国安全构成风险的外国公司,而不是简单地针对TikTok这家公司。
该法案的共同提案人、参议员迈克尔-贝内特(Michael Bennet)周二在一份声明中说:"我们不应该让任何受外国政府指使的公司收集我们三分之一人口的数据--虽然TikTok只是一个最新的例子,但它不会是最后一个。联邦政府不能继续以一次性的方式处理来自敌对国家的新的外国技术;我们需要一个战略性的、持久的机制来保护美国人和我们的国家安全。"
针对华纳法案,TikTok发言人布鲁克·奥伯维特认为,这项措施是不必要的。"拜登政府不需要国会的额外授权来解决有关TikTok的国家安全问题:它可以批准与外国投资委员会谈判了两年的交易,它在过去六个月里一直在审查该交易,"Oberwetter周二在的一份声明中说。
TikTok多次否认它在中国存储美国用户数据,这是联邦官员最担心的问题。尽管有这些说法和限制安全风险的承诺,该公司一直陷于与美国外国投资委员会(CFIUS)的谈判,以保持在美国的运营超过三年。
周一,TikTok的一位官员提出了一个详细介绍德克萨斯项目的主题演讲,这是该公司为减轻外国对美国数据的威胁所做的最实质性努力。该提案将把TikTok的大部分美国业务与中国母公司字节跳动隔离开来。拉里·埃里森的甲骨文公司将在审计美国数据流方面发挥作用。
"我们赞赏一些国会议员仍然愿意探索解决国家安全问题的方案,这些方案不会产生审查数百万美国人的效果。美国对TikTok的禁令是对向全世界使用我们服务的十几亿人输出美国文化和价值观的禁令,"奥伯韦特说。
TikTok首席执行官Shou Zi Chew预计将在本月晚些时候出席国会众议院能源和商业委员会的听证会。
2、中消协发布《2022年个人信息保护领域消费者权益保护报告》
3月8日,中消协发布《2022年个人信息保护领域消费者权益保护报告》(以下简称《报告》)。
《报告》认为,我国对个人信息保护的立法构建经历了由刑事规制到民事规制、由原则性规定到具体规则的发展过程。
目前,我国已经形成了以《民法典》为基础,以《个人信息保护法》为核心,以《消费者权益保护法》《网络安全法》《电子商务法》《数据安全法》为重要组成部分的个人信息保护法律体系。
近年来,网信、公安、文旅、工信、市场监管等部门通过开展“净网行动”、“清朗行动”、国家网络安全宣传周、App安全认证等行动与活动,严厉打击侵害消费者个人信息权益的行为,为营造良好消费环境作出了贡献。消费者协会通过调查监督、警示、约谈、揭露批评等方式保护消费者个人信息。特别是2014年以来,江苏、广东、重庆等地消协组织针对侵害消费者个人信息权益的行为提起公益诉讼,积极打造消费者个人信息保护有效手段。
《报告》指出,2022年我国显著提升了消费者个人信息保护力度:
在立法保护方面,个人信息、数据安全的法律保护体系更加完善,出台了《关于构建数据基础制度 更好发挥数据要素作用的意见》《互联网信息服务深度合成管理规定》《个人信息出境标准合同规定》《移动互联网应用程序信息服务管理规定》等政策规定。
在司法保护方面,最高人民法院发布了有关消费者个人信息保护的指导案例,公布了数件涉及个人信息保护的典型案例,各级人民法院审理了大量相关的民、刑事案件;检察机关充分发挥自身职能,提起多件涉及个人信息保护的公益诉讼,有力地维护了消费者合法权益。
在行政保护方面,延续统一管理、分工负责体制,各行政机关积极履职,严格执法,整治各类侵害消费者个人信息权益的违法行为,打击围绕消费者个人信息形成的黑色产业链。2022年,全国公安机关深入推进“净网2022”专项行动,截至年底共侦办案件8.3万起;2022年6月,市场监管总局、国家网信办发布《关于开展数据安全管理认证工作的公告》,进一步推进网络数据安全保护认证工作;工信部共发布《关于侵害用户权益行为的App通报》5批,并敦促相关企业完成整改要求。
在社会保护方面,中国消费者协会和各地消协组织高度重视消费者个人信息保护工作,通过专项行动、公益诉讼、消费警示、约谈经营者等多种方式加以推进。2022年1月,中消协发布《2021年十大消费维权舆情热点》,针对消费者个人信息“裸奔”问题突出与消费者维权难进行话题梳理与热点解读,积极展开消费者个人信息保护的宣传工作,通过梳理侵害消费者个人信息权益的主要场景以案释法,提醒广大消费者学法懂法用法、谨慎网络授权,切实提高保护个人信息的意识和能力。
《报告》建议,当前侵害消费者个人信息权益问题仍需引起社会各方高度重视,其问题主要表现在违反处理的必要性原则、违反个人信息处理质量原则、违反“告知-同意”规则、侵害个人信息权益的损害赔偿范围有待确定等方面。《报告》从强化消费者权益保护角度提出四点建议:
一是再次启动《消费者权益保护法》修订,完善消费者个人信息保护法律制度。《消费者权益保护法》距离上次修订至今已近10年,随着近年来数字经济的兴起,作为规制个人信息集中收集与大数据产品集中应用的消费市场的《消费者权益保护法》也应当及时做出修订,以回应党的二十大对“加快建设网络强国、数字中国,加强个人信息保护”的要求。
二是总结司法经验,针对责任界定、损害赔偿等争议问题及时出台配套司法解释,对法律的适用进行统一指导,推广公益诉讼保护方式,鼓励可以提起消费者个人信息保护诉讼的主体积极提起公益诉讼,从而在更大的规模上规范消费者个人信息处理行为,提高司法保护水平。
三是加强行政治理,惩治侵害消费者个人信息权益的违法行为。执法部门要处理好消费者个人信息保护与合理利用的关系,提高执法能力,利用科技手段创新监管方式、加大监管力度、提高执法效率,并通过构建绿色沟通渠道,加强部门之间的协同配合。
四是强化社会共治,积极发挥消协组织作用,持续加强消费教育,提升消费者的自我保护能力,督促行业企业自律自治,共建消费者个人信息保护社会共治体系。
《报告》全文:https://www.cca.cn/xxgz/detail/30617.html
3、多国警察在与DoppelPaymer 勒索软件团伙的战斗中取得重大胜利
2023年2月28日,德国警察、乌克兰警察、欧洲刑警组织、荷兰警察和美国联邦调查局联手打击了一个臭名昭著的犯罪组织的幕后策划者,该组织负责使用 DoppelPaymer 勒索软件发动毁灭性的网络攻击。
这款勒索软件出现于 2019 年,当时网络犯罪分子开始使用它对组织、关键基础设施和行业发起攻击。
基于 BitPaymer 勒索软件和 Dridex 恶意软件家族的一部分,DoppelPaymer 使用了一种独特的工具,能够通过终止受攻击系统的安全相关进程来破坏防御机制。多产的Emotet 恶意软件启用了 DoppelPaymer 攻击。
恶意勒索软件通过多种渠道传播,包括垃圾邮件和网络钓鱼电子邮件,其附件包含有害代码,这些代码要么是 JavaScript 要么是 VBScript。
该勒索软件背后的犯罪集团采用双重勒索计划,利用犯罪分子于 2020 年初推出的泄密网站。德国当局获悉该勒索软件集团的 37 名受害者,均为公司。最严重的袭击之一发生在杜塞尔多夫的大学医院。在美国,受害者在 2019 年 5 月至 2021 年 3 月期间至少支付了 4000 万欧元。
在同步行动中,德国官员突击搜查了一名德国国民的住宅,据信这名德国国民在 DoppelPaymer 勒索软件组织中发挥了重要作用。调查人员目前正在分析查获的设备,以确定嫌疑人在勒索软件组织结构中的确切角色。
与此同时,尽管由于俄罗斯的入侵,乌克兰目前面临着极其困难的安全局势,但乌克兰警察还是审讯了一名乌克兰国民,据信这名乌克兰国民也是 DoppelPaymer 核心组织的成员。乌克兰官员搜查了两个地点,一处在基辅,一处在哈尔科夫。在搜查过程中,他们没收了电子设备,目前正在接受法医检查。
“DoppelPaymer 团伙的两名成员已经成为执法人员的目标,但是,由于 DoppelPaymer 是一种勒索软件即服务行动,很可能会有更多的威胁背后的肇事者需要在之前被抓获我们可以永远告别勒索软件,” HighGround 首席执行官Mark Lamb告诉 Help Net Security。
2023年3月9日 星期四
今日资讯速览:
1、最高法:坚决制止大数据杀熟
2、国务院关于提请审议国务院机构改革方案的议案 组建国家数据局
3、周鸿祎携三份提案上两会,聚焦ChatGPT、城市安全和数字化“共同富裕”
1、最高法:坚决制止大数据杀熟
IT之家 3 月 7 日消息,IT之家从最高人民法院获悉,最高法工作报告提出,人民法院依法促进数字经济健康发展。审理大数据权属交易、公共数据不正当竞争等案件,明确数据权利司法保护规则。惩处滥用数据、算法等排除、限制竞争的行为,坚决制止“大数据杀熟”、强制“二选一”等“店大欺客”行为。规范直播带货、付费点播等新业态新模式,保护创新经营,惩处非法逐利。浙江温州法院积极探索数据资源专业审判机制。北京、天津、上海法院对盗播北京冬奥会、世界杯等行为及时作出禁令,促进优化数字文化市场环境。
去年 10 月 29 日,最高人民法院发布《关于加强新时代知识产权审判工作为知识产权强国建设提供有力司法服务和保障的意见》(以下简称《意见》)。《意见》提出,要加强对平台企业垄断的司法规制,依法严惩平台强制“二选一”“大数据杀熟”等破坏公平竞争、扰乱市场秩序行为。《意见》还要求加强互联网领域和大数据、人工智能、基因技术等新领域新业态知识产权司法保护,完善算法、商业方法和人工智能产出物知识产权司法保护规则;加强涉数据云存储、数据开源、数据确权、数据交易、数据服务、数据市场不正当竞争等案件审理和研究,切实维护数据安全;要依法适用惩罚性赔偿,加大知识产权侵权损害赔偿力度和对侵权行为惩治力度,及时有效阻遏侵权行为。
IT之家注意到,事实上我国早就决定针对大数据杀熟等行为进行立法。去年 8 月,个人信息保护法草案出炉,其中就对“大数据杀熟”等行为作出针对性规范。
2、国务院关于提请审议国务院机构改革方案的议案 组建国家数据局
根据国务院关于提请审议国务院机构改革方案的议案,组建国家数据局。负责协调推进数据基础制度建设,统筹数据资源整合共享和开发利用,统筹推进数字中国、数字经济、数字社会规划和建设等,由国家发展和改革委员会管理。
将中央网络安全和信息化委员会办公室承担的研究拟订数字中国建设方案、协调推动公共服务和社会治理信息化、协调促进智慧城市建设、协调国家重要信息资源开发利用与共享、推动信息资源跨行业跨部门互联互通等职责,国家发展和改革委员会承担的统筹推进数字经济发展、组织实施国家大数据战略、推进数据要素基础制度建设、推进数字基础设施布局建设等职责划入国家数据局。
3、周鸿祎携三份提案上两会,聚焦ChatGPT、城市安全和数字化“共同富裕”
2023全国两会临近,360集团创始人周鸿祎再次连任全国政协委员,正式进入履职的第六年。据了解,今年周鸿祎将携三份提案上会,分别关注人工智能大模型技术发展、城市数字安全和中小微企业数字化“共同富裕”。周鸿祎表示,三份提案可以用一句话总结:上山下海扶助小微。
“上山”是上科技高山。近期ChatGPT引发全球热议,周鸿祎认为,以ChatGPT为代表的人工智能大模型技术的巨大跃升将掀起一场新的工业革命,我国理应迎头赶上。在关注技术层面创新的同时,更要关注技术突破背后所依赖的创新模式。他在提案中建议从两点着手发展人工智能大模型技术,首先是建立大型科技企业+重点科研机构的产研协同创新模式,打造中国的“微软+Open AI”组合引领大模型技术攻关;其次是支持设立多个国家级人工智能大模型的长期开源项目,打造开源众包的开放创新生态。
“下海”是下产业数字化蓝海。目前,城市已经成为数字化场景和产业数字化发展的重要载体,整个城市架构在网络、软件和数据上,城市的安全脆弱性前所未有。周鸿祎表示,360在与城市合作推进数字安全保障体系建设的过程中,定位了一些安全的新问题,如在安全建设上各单位各自为战,很多单位虽然购买了安全软硬件,但是由于养不起足够的安全运营人员导致“玩不转”、“用不好”等。
周鸿祎在提案中建议,把城市数字安全服务中心建设作为扩内需、稳增长的重点内容,列入省、市、县及产业园区的发展规划中,组织城市数字安全服务中心优秀案例评选,推动城市数字安全建设模式的持续优化和完善。
“助小微”的含义是通过SaaS服务助力数字化“共同富裕”,去年周鸿祎曾建议鼓励帮扶中小微企业构建数字安全能力,补齐国家数字安全的缺口。在服务中小微企的过程中,周鸿祎发现,目前中小微企业数字化面临两方面问题:一是没钱没人没技术,正在成为数字化的盲区;二是大型企业数字化路径中小微企业跑不通。中小微企业不是不需要数字化转型,而是市场缺乏有效的攻击和适用的产品与服务。
基于360的实践,周鸿祎认为SaaS化服务是中小微企业实现数字化转型的杀手锏。因此,他在提案中建议,把数字化SaaS服务作为重点产业方向进行培育,推进中小微企业数字化的“共同富裕”,做到数字化一个都不能少。
据了解,过去5年,周鸿祎共向全国两会提交了17份提案,目前已有部分提案切实推动了相关领域的发展。1月30日,全国政协公布2022年度好提案名单,周鸿祎凭借《关于把网络安全升级为数字安全,筑牢数字安全屏障》提案入选。
2023年3月8日 星期三
今日资讯速览:
1、Meta 回应语言 AI 工具泄露:不会改变发布策略
2、欧盟:WhatsApp 已同意对隐私政策变更作出更清晰的解释
3、金融技术公司Hatch Bank近14万客户的个人信息遭泄露
1、Meta 回应语言 AI 工具泄露:不会改变发布策略
北京时间 3 月 7 日早间消息,据报道,有消息称 Meta 最新的大型语言模型泄露,未获授权的用户也能下载使用,针对此事,当地时间周一,Meta 表示会继续向获得核准的研究员提供 AI 工具。
Meta 在声明中表示:“虽然模型并非向所有人开放,有些人绕开了核准流程,但我们相信当前的发布战略可以让公司在责任与开放之间保持平衡。”
Facebook 和 Meta 拥有一支庞大的 AI 研发团队,上个月公司刚刚推出 LLaMA。按照 Meta 的说法,LLaMA 和 OpenAI、Alphabet 系统一样拥有类似人类的超强对话能力,但需要的计算力更少。
OpenAI 等竞争对手保留技术,开发者如果想使用需要交费,Meta 不太一样,它向开发者分享大部分工作成果。AI 工具可能会被滥用,比如用来制作、传播虚假信息。为了防止滥用,Meta 仅向研究人员、政府相关实体、民间团体、学术机构提供 AI 工具,在提供前还要通过审查流程,签署非商务授权协议。
上周有用户在 4Chan 论坛提供 LLaMA 模型供下载,也就是说开发者可以绕开审核拿到模型。Meta 在声明中说,LLaMA 的推出方式与之前的模型是一样的,公司无意改变策略。Meta 称:“Meta 的目标是与研究社区成员分享最先进的 AI 模型,让他们帮助 Meta 评估改进模型。”
2、欧盟:WhatsApp 已同意对隐私政策变更作出更清晰的解释
IT之家 3 月 6 日消息,据路透社报道,欧盟委员会 3 月 6 日表示,在收到欧洲各地消费者的投诉后,Meta 旗下 WhatsApp 已同意对其 2021 年推出的隐私政策变更作出更加透明的解释。
WhatsApp 在 2021 年年初发布了一项新的隐私政策,要求用户同意与 Facebook 和其他 Meta 平台共享数据,否则将无法使用该应用。这引发了用户的不满和抗议,导致许多用户转向其竞争对手的平台,如 Telegram 和 Signal。
欧洲消费者组织(BEUC)和欧洲网络消费者监管机构(European Network of consumer authorities)去年表示,WhatsApp 没有用通俗易懂的语言解释其隐私政策变更,这违反了欧盟的法律。
WhatsApp 现已同意解释其政策变更以及变更将如何影响用户的权力,并同意在显著位置允许用户选择接受或拒绝变更,同时确保用户可以轻松关闭更新的弹出通知。此外,WhatsApp 还确认,不会出于广告目的与第三方或其他 Meta 公司(包括 Facebook)共享用户的个人数据。
欧盟委员会副主席维拉・乌罗娃(Vera Jourova)表示:“今天我们取得了重要进展。WhatsApp 已经同意改善其与消费者沟通的方式,并尊重他们的选择。这是一个积极的信号,表明平台可以为消费者权利负责。”
据IT之家了解,WhatsApp 目前在全球拥有超过 20 亿用户,在欧洲有约 5 亿用户。
3、金融技术公司Hatch Bank近14万客户的个人信息遭泄露
据外媒报道,金融技术公司Hatch Bank近日透露,黑客利用GoAnywhere MFT软件中的漏洞窃取了其近14万个客户的数据。据报道, 1月29日,Fortra得知其遭到了网络攻击。2月3日,Hatch Bank收到Fortra的通知,获悉其在Fortra GoAnywhere的文件遭到未经授权的访问。通过对被盗数据的审查,确定客户的姓名和社会安全号码被攻击者盗用。目前,该公司表示将为受影响用户提供12个月的免费信用监控服务。
2023年3月7日 星期二
今日资讯速览:
1、大疆无人机被曝16个安全漏洞:可破解禁飞限制、飞行中强制坠落
2、金融技术公司Hatch Bank近14万客户的个人信息遭泄露
3、Play勒索软件声称对奥克兰市的网络攻击负责
1、大疆无人机被曝16个安全漏洞:可破解禁飞限制、飞行中强制坠落
安全内参3月6日消息,德国波鸿和萨尔布吕肯的研究人员们从无人机巨头大疆(DJI)的产品中发现多个安全漏洞,其中部分漏洞相当严重。例如,用户可利用漏洞修改无人机的序列号,或覆盖掉安全当局用于跟踪无人机及其操纵者的机制。在特定攻击场景下,无人机甚至可能在飞行中被远程击落。
德国波鸿鲁尔大学Horst Görtz IT安全研究所的Nico Schiller和Thorsten Holz教授领导的研究团队,已经在2月27日至3月3日美国圣迭戈召开的网络和分布式系统安全研讨会(NDSS)上公布了自己的发现。该团队以前在波鸿,目前在萨尔布吕肯的CISPA亥姆霍兹信息安全中心。
在向公众发布此次发现之前,研究人员已经将检测到的16个漏洞上报给了大疆,该制造商也已采取措施进行修复。
四款机型参与测试
该团队共测试了三款型号的大疆无人机,分别为小型机Mini 2、中型机Air 2和大型机Mavic 2。之后,IT专家们又在经过更新的Mavic 3机型上重现了攻击效果。他们向无人机的硬件和固件发出大量随机输入,并检查哪些输入会导致无人机坠毁、或者对无人机数据(例如序列号)执行意外篡改。为了实现整个模糊测试,他们首先需要开发出一种新的算法。
Nico Shciller表示,“一般来说,我们在模糊测试时往往准备好了设备的完整固件。但这次情况并非如此。”由于大疆无人机相对复杂,所以必须在实时系统中执行模糊测试。
“将无人机接入笔记本电脑后,我们首先研究了如何与之通信,还有我们可以在测试中使用哪些接口。”事实证明,大部分通信是经由DUML协议完成的,该协议负责以数据包的形式向无人机发送命令。
发现四个严重错误
研究人员开发的模糊测试工具要生成DUML数据包,将其发送至无人机并评估哪些输入可能导致软件崩溃。只要能够引发崩溃,就说明编程中存在错误。Thorsten Holz解释道,“但并不是所有安全漏洞都会引发崩溃,也有一些错误会导致序列号等数据发生变化。”
为了检测此类逻辑漏洞,研究团队将无人机与运行大疆应用的手机配对。这样他们就能定期检查应用,查看模糊测试是否改变了无人机的状态。
结果发现,参与测试的四款大疆机型全部存在安全漏洞。研究人员共记录下16个漏洞,且大疆Mini 2、Mavic Air 2和Mavic 3机型还存在4个严重缺陷,允许攻击者在系统中扩大访问权限。
Thorsten Holz解释称,“攻击者可以借此篡改日志数据或序列号,并伪装自己的身份。另外,虽然大疆采取了预防措施以阻止无人机飞越机场或监狱等禁区,但这些机制也可能被破解。”该研究小组甚至能让飞行中的无人机在半空中坠毁。
在未来的研究中,研究团队打算进一步测试其他无人机型号的安全性。
传输的位置数据未经加密
此外,研究人员还检查了大疆无人机当中用于传输设备位置及操纵者信息的协议。通过这些信息,授权机构(包括安全机构或关键基础设施运营商)可以访问并管理无人机的使用情况。
通过大疆固件及无人机发出的无线电信号进行逆向工程,研究团队首次记录到名为“DroneID”的跟踪协议。Nico Schiller总结道,“我们证实了传输的数据未经加密,几乎任何人都可以用相对简单的方式读取到操作者和无人机的位置信息。”
2、金融技术公司Hatch Bank近14万客户的个人信息遭泄露
据外媒报道,金融技术公司Hatch Bank近日透露,黑客利用GoAnywhere MFT软件中的漏洞窃取了其近14万个客户的数据。据报道, 1月29日,Fortra得知其遭到了网络攻击。2月3日,Hatch Bank收到Fortra的通知,获悉其在Fortra GoAnywhere的文件遭到未经授权的访问。通过对被盗数据的审查,确定客户的姓名和社会安全号码被攻击者盗用。目前,该公司表示将为受影响用户提供12个月的免费信用监控服务。
3、Play勒索软件声称对奥克兰市的网络攻击负责
近日,Play勒索软件团伙声称对自2月中旬以来对奥克兰市的IT系统进行的网络攻击负责。该威胁组织声称,窃取了大量个人信息、机密数据、财务和政府文件等信息。据该地政府表示,已与IT 专家合作恢复了对整个城市设施的公共计算机、扫描、打印、图书馆服务和无线互联网连接的访问等,但数据是否泄露仍在调查当中。
2023年3月6日 星期一
今日资讯速览:
1、(两会声音)全国人大代表张敏:加强基层网络安全建设
2、黑客从一家枪支交易网站盗取大量敏感个人数据
3、美众议院外交事务委员会推动法案,赋予拜登对TikTok封禁权
1、(两会声音)全国人大代表张敏:加强基层网络安全建设
中新网北京3月4日电 (梁婷 许国胜 蔡源源)“基层治理既是国家治理的‘最后一公里’,也是民众感知公共服务质效和温度的‘神经末梢’,要重视加强基层治理数字化能力建设,保障社会安全。”全国人大代表、中国电信股份有限公司湖北分公司党委书记、总经理张敏近日接受记者采访时表示。
当前,数字化转型升级、数字经济蓬勃发展,但数字安全事件的发生,对生产运行、社会治理、公共服务等造成不利影响。
今年全国人代会,张敏将目光聚焦于基层网络安全话题。在她看来,社会在数字化进程中出现的安全问题,已突破传统的信息系统安全和网络安全的范畴。其中,网络基层安全尤应予以重视,需要化基层“末梢”为治理“前哨”。
张敏关注到,受安全意识不足、资金等因素制约,基层单位无法独立有效解决数字化转型中面临的网络安全威胁。她表示,维护基层网络安全是一项长期的系统工程,建议从完善网络安全法律法规和政策体系、健全网络数据监测预警和应急处置工作体系等方面多方合作发力。
一方面,基层单位在进行数字化转型过程中需树立牢固安全意识,把数字安全能力纳入规划,强化网络安全技术措施同步规划、同步建设、同步使用要求,增强基层网络安全防护能力。另一方面,构建扎根基层、分布式、多层级的一体化安全体系,面向基层主体、垂直行业及末梢单元等,提供涵盖云、网、端、边、应用以及合规性等网络安全服务支撑。
当前,数字化已在社会基层治理中实现诸多应用。张敏建议,进一步提升基于数据的治理效能,建设立体化智能化社会治安防控体系。例如,深化公共安全视频图像建设联网,加快图像识别、物联网、大数据、人工智能等数字技术在圈层查控、单元防控、要素管控等治安防控领域中的深度融合应用。
同时,深化数据共享和业务协同,建设感知决策中枢,提升公共卫生、疾病防控、食品药品安全、生产安全、城市安全、自然灾害、快递物流等重点领域的风险防控能力;加强基层多层级运行态势感知和智能分析,支撑城市公共安全防控体系关口前移、精细管理和综合决策。(完)
2、黑客从一家枪支交易网站盗取大量敏感个人数据
黑客入侵了美国一加允许人们买卖枪支的网站,暴露了其用户的身份。这次入侵暴露了超过55万用户的大量敏感个人数据,包括客户的全名、家庭住址、电子邮件地址、明文密码和电话号码。此外,据称被盗的数据使其有可能将某个人与特定武器的销售或购买联系起来。
网络安全专家特洛伊-亨特(Troy Hunt)对此表示:"有了这些数据,你就可以把一个公开的清单......并把它解析到[被盗数据库中的数据],这样你就有了[卖家]的姓名、电子邮件、物理地址和电话号码,并且可以推测出枪支的位置",他经营着流行的数据泄露库和警报服务Have I BeenPwned。(发现该漏洞的研究人员与亨特分享了数据,以便他能将其上传到Have I BeenPwned。)
去年年底,一位要求匿名的安全研究人员发现了一个包含数据的服务器,结果发现该服务器被一个黑客(或一群黑客)使用,他们用该服务器存储被盗数据。该服务器没有受到任何系统的保护,无法限制或控制谁可以访问它,因此该研究人员下载了数据并进行了分析。
他发现的数据来自GunAuction.com网站,该网站自1998年以来允许人们将枪支放在网上进行拍卖。
TechCrunch分析了被盗数据的样本,并通过电子邮件联系了100人,通过电话联系了60人。其中,10人确认被盗数据库中的数据是准确的。然而,目前还不清楚这些数据的最新情况,因为有25个电子邮件地址的信息被退回或无法送达,还有几个电话号码拨打后被切断。
GunAuction.com首席执行官Manny DelaCruz在一封电子邮件中证实了这一漏洞。
DelaCruz在声明中写道:"我可以确认,联邦调查局最近与我们联系,讨论可能发生影响我们公司的数据泄露事件,该漏洞可能暴露了姓名、地址和电子邮件地址等个人客户信息。然而,我们想向我们的客户保证,我们没有理由相信任何财务信息在这次漏洞中被访问。我们建议我们的客户保持警惕,监测他们的金融账户和信用报告中的任何可疑活动。我们的意图是尽快通知受影响的用户"。
这不是第一次关于枪支所有者的敏感数据被曝光。去年,加州司法部错误地泄露了个人数据,包括枪支所有者的姓名、生日、地址、年龄、购买日期和他们拥有的枪支许可证类型,以及他们的犯罪识别指数号码,这些都是用来追踪州和联邦的犯罪记录。
3、美众议院外交事务委员会推动法案,赋予拜登对TikTok封禁权
美国众议院外交事务委员会周三按照党派路线投票,授予乔·拜登总统禁止 TikTok 的权力,这将是美国对任何社交媒体应用程序的影响最深远的限制。立法者以 24 票对 16 票通过了这项措施,授予政府新的权力,以禁止字节跳动拥有的应用程序 。目前超过 1 亿美国人使用,以及其他被认为存在安全风险的应用程序。
发起该法案的委员会共和党主席、代表迈克尔·麦考尔 (Michael McCaul) 说:“TikTok 是一种国家安全威胁,是时候采取行动了。任何在他们的设备上下载 TikTok 的人都给了获取他们所有个人信息的后门。这是一个进入他们手机的间谍气球。”
民主党人反对该法案,称它仓促行事,需要通过与专家的辩论和磋商进行尽职调查。该法案没有具体说明该禁令将如何运作,但赋予拜登禁止与 TikTok 进行任何交易的权力,这反过来可能会阻止美国任何人在手机上访问或下载该应用程序。
该法案还要求拜登禁止任何“可能”将敏感个人数据转移到受中国影响的实体。
白宫本周给政府机构 30 天的时间来确保 TikTok 不在任何联邦设备和系统上。美国 30 多个州、加拿大和欧盟的政策机构也禁止 TikTok 被加载到国有设备上。
最新措施的命运仍不确定,在成为法律之前面临重大障碍。该法案需要由民主党控制的众议院和参议院全体通过,然后才能交给拜登。
“美国对 TikTok 的禁令是禁止向全球使用我们服务的十亿人出口美国文化和价值观,”TikTok 发言人在投票后表示。
拜登政府没有说明是否支持推进该法案,也没有回答是否认为拜登现在拥有禁止 TikTok 的合法权力。
该委员会的最高民主党代表格雷戈里米克斯表示,他强烈反对这项立法,但理解对 TikTok 的担忧。米克斯说:“共和党本能地禁止它害怕的事情,从书籍到言论,似乎不受约束。”他补充说,该法案将要求政府制裁 TikTok 和 TikTok 母公司的其他子公司。
美国政府的外国投资委员会(CFIUS)是一个强大的国家安全机构,由于担心用户数据可能会被传递,2020 年一致建议字节跳动剥离 TikTok。
TikTok 和 CFIUS 已经就数据安全要求进行了两年多的谈判。TikTok 表示,它已花费超过 15 亿美元(22 亿澳元)用于严格的数据安全工作,并拒绝接受间谍指控。米克斯希望会谈继续进行。
美国公民自由联盟呼吁立法者反对该法案,称其“严重侵犯了我们的第一修正案权利”。
麦考尔在投票后告诉路透社,他预计该法案将在本月由众议院进行表决。
2023年3月3日 星期四
今日资讯速览:
1、谷歌2022年发放了8200万元漏洞赏金,平均每个漏洞近3万元
2、2022年度亚洲部分国家网络安全态势综述
3、波士顿工会健康基金的网络攻击导致640万美元的损失
1、谷歌2022年发放了8200万元漏洞赏金,平均每个漏洞近3万元
安全内参3月2日消息,过去一年,谷歌通过漏洞奖励计划支付了公司史上最高的总奖金金额,并对单个关键漏洞利用链奖励60.5万美元,打破单笔奖金纪录。
2022年全年,安全研究人员发现和上报的谷歌产品漏洞超过2900个,搜索巨头总计为此向703位研究人员支付了超1200万美元(约合人民币8200万元)。
图:2022年谷歌支付的漏洞奖金总额跃升至1200万美元
Android 单个漏洞奖金创纪录
谷歌发布了2022年漏洞奖励计划(VRP)的相关统计数据,概括了安全研究社区为提高谷歌产品安全性做出的贡献。
其中最大一笔奖金来自gzobqq提交的报告,详细介绍了一组Android漏洞利用链(CVE-2022-20427、CVE-2022-20428、CVE-2022-20454、CVE-2022-20459、CVE-2022-20460),总额达60.5万美元(约合人民币410万元)。
2021年,gzobqq还发现并上报了Android中的另一条关键漏洞利用链,拿下15.7万美元,创造了当年的Android漏洞奖励计划的奖金纪录。
一般来说,通过谷歌漏洞奖金计划提交的Android 漏洞奖金不会超过1万美元。但对于漏洞利用链,谷歌设定的奖金上限则高达100万美元。
2022年,谷歌为700余个Android漏洞支付了480万美元奖金。做出突出贡献的各主要漏洞研究人员包括:
安全厂商Bugsmirror的Aman Pandey,超过200个bug;
OPPO安珀安全实验室的韩子诺,—150个bug;
林禹成,近100个bug。
去年,谷歌还组织了仅限受邀人士参加的Android芯片组安全奖励计划(ACSRP),共发现700份安全报告并发放48.6万美元奖金。这是一项由谷歌及Android芯片组制造商合作设立的内部奖励计划。
Chrome与开源软件漏洞赏金
2022年,谷歌还为Chrome浏览器中的363个漏洞和ChromeOS中的110个安全缺陷支付了总计400万美元。
谷歌宣布,今年Chrome 漏洞奖励计划也将开始试运行,希望为浏览器和ChromeOS的安全问题上报注入更多活力。
2022年8月推出的开源产品漏洞奖励计划,迄今已向100多位研究人员发放了超11万美元奖金。
除了根据发现和上报的漏洞支付奖金之外,谷歌还向170多名研究人员提供了超25万美元的赠款。尽管没有发现任何漏洞,但谷歌仍感谢这些个人对于谷歌产品和服务的持续关注和研究。
谷歌还成为了NahamCon和BountyCon等安全会议的赞助商。
2、2022年度亚洲部分国家网络安全态势综述
3、波士顿工会健康基金的网络攻击导致640万美元的损失
据外媒27日报道,近日波士顿工会官员表示,对波士顿工会健康基金的网络攻击导致640万美元的损失,但成员个人信息似乎并未被盗或泄露。据媒体报道,此次攻击事件最早可能发生在2月7日,该工会负责人O’Brien发布声明表示,此次事件可能是一次社会工程网络攻击,目前正在与网络安全公司合作持续调查该事件。
2023年3月2日 星期四
今日资讯速览:
1、俄多个广播电台和电视台突然播“导弹袭击警告”,俄官方回应
2、ChatGPT在全球范围内出现短暂访问问题
3、美国网络安全官员敦促微软和Twitter加强安全实践 普及多因素认证
1、俄多个广播电台和电视台突然播“导弹袭击警告”,俄官方回应
据俄罗斯卫星社 28 日报道,俄紧急情况部新闻处发布消息称,俄罗斯一些地区电台和电视台服务器因遭黑客攻击,导致转播中出现有关空袭警报的信息。
消息称:" 我国一些地区的电台和电视台服务器遭黑客攻击,导致转播中发布了空袭警报的信息。俄紧急情况部宣布,该信息为虚假信息,不符合实际。"
俄罗斯《报纸报》称,这是俄罗斯人在汽车上收听广播电台节目时,录下节目播放“导弹袭击警告”内容的画面。
俄罗斯民众收听电台时,节目出现 " 导弹袭击警告 "
《共青团真理报》报道称,俄科斯特罗马地区的民众 2 月 28 日上午在收听 " 欧洲 +" 等广播电台的节目的过程中,节目中突然出现消息称," 存在导弹袭击威胁。请注意!请注意!防空警报响起!所有人立即找地方躲避!" 《报纸报》报道称,俄多个电视台当天也发布了此类消息。该媒体还称,近日俄罗斯喀山、乌法等地区也曾出现类似情况。
此前,乌克兰总统泽连斯基曾意外 " 出现 " 在俄罗斯电视频道上,官方也表示可能是俄西南部地区受到明显的黑客攻击,导致数字电视广播中断。
2、ChatGPT在全球范围内出现短暂访问问题
ChatGPT是著名的人工智能聊天机器人,允许用户与各种个性和话题交谈,在全球范围内存在连接问题。OpenAI已经确认用户目前在全球范围内遇到问题,许多人无法访问AI。
据悉,访问 ChatGPT 时,用户会看到“原始 Web 服务器响应此请求超时”错误消息。这次中断是在过去45分钟内开始的。根据DownDetector 的说法,ChatGPT 目前在美国、欧洲、印度、日本、澳大利亚和世界其他地区遇到了中断。在状态页面上,OpenAI 已确认影响 ChatGPT 的问题。
访问故障情况长达进45分钟,在进行初步修复后,ChatGPT 的流量开始改善。
3、美国网络安全官员敦促微软和Twitter加强安全实践 普及多因素认证
联邦网络安全和基础设施安全局局长Jen Easterly敦促微软和Twitter改进其安全协议,以更好地保护用户的安全。伊斯特利说,使用这些公司的多因素认证(MFA)的用户数量"令人失望",但赞扬了苹果公司在iCloud用户中的MFA高使用率。
周一,伊斯特利在卡内基梅隆大学发表演讲,其中提到苹果是为其客户执行安全实践的榜样。据这位美国官员称,95%的苹果iCloud用户使用多因素认证,并解释说,高采用率是由于该公司决定将该功能作为默认功能。据此,Easterly将这一数字与微软和Twitter目前的MFA使用率进行了比较,其中前者只有四分之一的企业客户使用,而后者只有不到3%的用户使用。
虽然Easterly称赞这些公司分享了他们服务中的MFA使用数字,但她表示需要新的立法来坚定地对待这些必须提供有效安全做法的企业。根据Easterly的说法,法律需要"防止技术制造商通过合同免除责任,为特定的关键基础设施实体的软件建立更高的护理标准,并推动安全港框架的发展,使那些安全地开发和维护其软件产品和服务的公司免于承担责任。"
多因素认证只是用户在网络安全领域可以采取的确保安全的步骤之一。然而,如果没有公司本身的启动,大多数客户确实倾向于忽视采用这样的安全措施。尽管如此,向客户推送这样的功能,只是像微软这样的公司为确保客户的安全应该做的许多事情之一。但是,即使有一堆不同的安全努力,一时的失败似乎也是任何企业的一部分。
例如,微软在2019年遇到了其MFA的一个普遍问题,尽管该公司在经过数小时的调查后设法解决了这个问题。同时,在去年10月,据透露,由于过时的脆弱驱动程序阻止列表和低效的安全保护功能,其用户已经被暴露在恶意驱动程序中三年了。
2023年3月1日 星期三
今日资讯速览:
1、中共中央 国务院印发《数字中国建设整体布局规划》
2、网络靶场:划时代的新型网络安全基础设施
3、黑客攻击频繁,澳大利亚计划全面修订网络安全规则
1、中共中央 国务院印发《数字中国建设整体布局规划》
新华社北京2月27日电 近日,中共中央、国务院印发了《数字中国建设整体布局规划》(以下简称《规划》),并发出通知,要求各地区各部门结合实际认真贯彻落实。
《规划》指出,建设数字中国是数字时代推进中国式现代化的重要引擎,是构筑国家竞争新优势的有力支撑。加快数字中国建设,对全面建设社会主义现代化国家、全面推进中华民族伟大复兴具有重要意义和深远影响。
《规划》强调,要坚持以习近平新时代中国特色社会主义思想特别是习近平总书记关于网络强国的重要思想为指导,深入贯彻党的二十大精神,坚持稳中求进工作总基调,完整、准确、全面贯彻新发展理念,加快构建新发展格局,着力推动高质量发展,统筹发展和安全,强化系统观念和底线思维,加强整体布局,按照夯实基础、赋能全局、强化能力、优化环境的战略路径,全面提升数字中国建设的整体性、系统性、协同性,促进数字经济和实体经济深度融合,以数字化驱动生产生活和治理方式变革,为以中国式现代化全面推进中华民族伟大复兴注入强大动力。
《规划》提出,到2025年,基本形成横向打通、纵向贯通、协调有力的一体化推进格局,数字中国建设取得重要进展。数字基础设施高效联通,数据资源规模和质量加快提升,数据要素价值有效释放,数字经济发展质量效益大幅增强,政务数字化智能化水平明显提升,数字文化建设跃上新台阶,数字社会精准化普惠化便捷化取得显著成效,数字生态文明建设取得积极进展,数字技术创新实现重大突破,应用创新全球领先,数字安全保障能力全面提升,数字治理体系更加完善,数字领域国际合作打开新局面。到2035年,数字化发展水平进入世界前列,数字中国建设取得重大成就。数字中国建设体系化布局更加科学完备,经济、政治、文化、社会、生态文明建设各领域数字化发展更加协调充分,有力支撑全面建设社会主义现代化国家。
《规划》明确,数字中国建设按照“2522”的整体框架进行布局,即夯实数字基础设施和数据资源体系“两大基础”,推进数字技术与经济、政治、文化、社会、生态文明建设“五位一体”深度融合,强化数字技术创新体系和数字安全屏障“两大能力”,优化数字化发展国内国际“两个环境”。
《规划》指出,要夯实数字中国建设基础。一是打通数字基础设施大动脉。加快5G网络与千兆光网协同建设,深入推进IPv6规模部署和应用,推进移动物联网全面发展,大力推进北斗规模应用。系统优化算力基础设施布局,促进东西部算力高效互补和协同联动,引导通用数据中心、超算中心、智能计算中心、边缘数据中心等合理梯次布局。整体提升应用基础设施水平,加强传统基础设施数字化、智能化改造。二是畅通数据资源大循环。构建国家数据管理体制机制,健全各级数据统筹管理机构。推动公共数据汇聚利用,建设公共卫生、科技、教育等重要领域国家数据资源库。释放商业数据价值潜能,加快建立数据产权制度,开展数据资产计价研究,建立数据要素按价值贡献参与分配机制。
《规划》指出,要全面赋能经济社会发展。一是做强做优做大数字经济。培育壮大数字经济核心产业,研究制定推动数字产业高质量发展的措施,打造具有国际竞争力的数字产业集群。推动数字技术和实体经济深度融合,在农业、工业、金融、教育、医疗、交通、能源等重点领域,加快数字技术创新应用。支持数字企业发展壮大,健全大中小企业融通创新工作机制,发挥“绿灯”投资案例引导作用,推动平台企业规范健康发展。二是发展高效协同的数字政务。加快制度规则创新,完善与数字政务建设相适应的规章制度。强化数字化能力建设,促进信息系统网络互联互通、数据按需共享、业务高效协同。提升数字化服务水平,加快推进“一件事一次办”,推进线上线下融合,加强和规范政务移动互联网应用程序管理。三是打造自信繁荣的数字文化。大力发展网络文化,加强优质网络文化产品供给,引导各类平台和广大网民创作生产积极健康、向上向善的网络文化产品。推进文化数字化发展,深入实施国家文化数字化战略,建设国家文化大数据体系,形成中华文化数据库。提升数字文化服务能力,打造若干综合性数字文化展示平台,加快发展新型文化企业、文化业态、文化消费模式。四是构建普惠便捷的数字社会。促进数字公共服务普惠化,大力实施国家教育数字化战略行动,完善国家智慧教育平台,发展数字健康,规范互联网诊疗和互联网医院发展。推进数字社会治理精准化,深入实施数字乡村发展行动,以数字化赋能乡村产业发展、乡村建设和乡村治理。普及数字生活智能化,打造智慧便民生活圈、新型数字消费业态、面向未来的智能化沉浸式服务体验。五是建设绿色智慧的数字生态文明。推动生态环境智慧治理,加快构建智慧高效的生态环境信息化体系,运用数字技术推动山水林田湖草沙一体化保护和系统治理,完善自然资源三维立体“一张图”和国土空间基础信息平台,构建以数字孪生流域为核心的智慧水利体系。加快数字化绿色化协同转型。倡导绿色智慧生活方式。
《规划》指出,要强化数字中国关键能力。一是构筑自立自强的数字技术创新体系。健全社会主义市场经济条件下关键核心技术攻关新型举国体制,加强企业主导的产学研深度融合。强化企业科技创新主体地位,发挥科技型骨干企业引领支撑作用。加强知识产权保护,健全知识产权转化收益分配机制。二是筑牢可信可控的数字安全屏障。切实维护网络安全,完善网络安全法律法规和政策体系。增强数据安全保障能力,建立数据分类分级保护基础制度,健全网络数据监测预警和应急处置工作体系。
《规划》指出,要优化数字化发展环境。一是建设公平规范的数字治理生态。完善法律法规体系,加强立法统筹协调,研究制定数字领域立法规划,及时按程序调整不适应数字化发展的法律制度。构建技术标准体系,编制数字化标准工作指南,加快制定修订各行业数字化转型、产业交叉融合发展等应用标准。提升治理水平,健全网络综合治理体系,提升全方位多维度综合治理能力,构建科学、高效、有序的管网治网格局。净化网络空间,深入开展网络生态治理工作,推进“清朗”、“净网”系列专项行动,创新推进网络文明建设。二是构建开放共赢的数字领域国际合作格局。统筹谋划数字领域国际合作,建立多层面协同、多平台支撑、多主体参与的数字领域国际交流合作体系,高质量共建“数字丝绸之路”,积极发展“丝路电商”。拓展数字领域国际合作空间,积极参与联合国、世界贸易组织、二十国集团、亚太经合组织、金砖国家、上合组织等多边框架下的数字领域合作平台,高质量搭建数字领域开放合作新平台,积极参与数据跨境流动等相关国际规则构建。
《规划》强调,要加强整体谋划、统筹推进,把各项任务落到实处。一是加强组织领导。坚持和加强党对数字中国建设的全面领导,在党中央集中统一领导下,中央网络安全和信息化委员会加强对数字中国建设的统筹协调、整体推进、督促落实。充分发挥地方党委网络安全和信息化委员会作用,健全议事协调机制,将数字化发展摆在本地区工作重要位置,切实落实责任。各有关部门按照职责分工,完善政策措施,强化资源整合和力量协同,形成工作合力。二是健全体制机制。建立健全数字中国建设统筹协调机制,及时研究解决数字化发展重大问题,推动跨部门协同和上下联动,抓好重大任务和重大工程的督促落实。开展数字中国发展监测评估。将数字中国建设工作情况作为对有关党政领导干部考核评价的参考。三是保障资金投入。创新资金扶持方式,加强对各类资金的统筹引导。发挥国家产融合作平台等作用,引导金融资源支持数字化发展。鼓励引导资本规范参与数字中国建设,构建社会资本有效参与的投融资体系。四是强化人才支撑。增强领导干部和公务员数字思维、数字认知、数字技能。统筹布局一批数字领域学科专业点,培养创新型、应用型、复合型人才。构建覆盖全民、城乡融合的数字素养与技能发展培育体系。五是营造良好氛围。推动高等学校、研究机构、企业等共同参与数字中国建设,建立一批数字中国研究基地。统筹开展数字中国建设综合试点工作,综合集成推进改革试验。办好数字中国建设峰会等重大活动,举办数字领域高规格国内国际系列赛事,推动数字化理念深入人心,营造全社会共同关注、积极参与数字中国建设的良好氛围。
2、网络靶场:划时代的新型网络安全基础设施
3、黑客攻击频繁,澳大利亚计划全面修订网络安全规则
IT之家 2 月 27 日消息,路透社称,澳大利亚政府周一宣布将全面修订其网络安全规则,并成立一个机构,监督政府在该领域的投资,帮助协调应对黑客攻击的行动。自去年年底以来,至少有八家公司报告了网络攻击事件,例如电信公司 Optus。
澳大利亚首相安东尼・阿尔巴内塞在与行业领袖和专家的会议上表示,目前的网络安全规则、政府政策和法规“根本没有达到我们需要的水平”。
图源 Pixabay
据介绍,澳洲政府将设立一个网络安全协调部门,由内政部的一个国家办公室提供支持,其任务是确保政府机构在网络事件期间协同工作。政府发布了一份关于新的网络安全战略的讨论文件,计划于明年实施,目前正在就企业如何与政府合作改善网络安全征求反馈意见。
内政部长克莱尔・奥尼尔 (Clare O'Neil) 说,尽管政府和私营部门正在采取关键的安全措施,但目前的规定并不能确保在网络事件期间顺利协调。
奥尼尔在接受 ABC 采访时表示:“这条法律根本没用,当它真正用于网络事件时,它根本不值得被印在纸上。”“它们目前不足以实现我们的目的,但我认为确实需要改革。”
IT之家去年曾报道过,澳大利亚最大的电信公司澳洲电讯(Telstra)在去年遭遇了小型数据泄露,而澳洲电讯主要竞争对手 Optus 也在 10 月遭受了大规模网络攻击。
也正因此,澳大利亚第二大运营商 Optus 一直在与客户联系,告知他们的数据被泄露,至少包括 1000 万客户的个人信息受损,受影响的用户数量相当于该国 2590 万人口的 40% 左右。
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)