-
-
[推荐]【每日资讯】 | 苹果邀请研究人员申请专为查找漏洞而设计的特殊 iPhone 14 Pro | 2023年8月31日 星期四
-
发表于: 2023-8-1 11:32
-
2023年8月31日 星期四
今日资讯速览:
1、苹果邀请研究人员申请专为查找漏洞而设计的特殊 iPhone 14 Pro
2、超 2000 家美国公司凭据遭到泄露!NASA、特斯拉、FBI、五角大楼无一幸免
3、8 家 AI 大模型产品今日起陆续上线,腾讯华为讯飞等后续开放
1、苹果邀请研究人员申请专为查找漏洞而设计的特殊 iPhone 14 Pro
IT之家 8 月 31 日消息,苹果公司今天宣布,开始接受 2024 年 iPhone 安全研究设备计划的申请,该计划将向安全研究人员提供专门的苹果设备,以便更容易地发现 iOS 系统的关键漏洞。
苹果安全研究计划(SRDP)于 2019 年上线,研究人员已通过该计划发现了 130 个高影响力的安全漏洞。苹果公司表示,研究人员帮助他们实施了“新颖的修补措施”,以保护 iOS 设备。
在过去的六个月里,计划参与者获得了 37 个 CVE 信用点,为 XNU 内核、内核扩展和 XPC 服务的改进做出了贡献。
参与 SRDP 的研究人员有资格获得苹果安全奖金。苹果公司已经奖励了来自 SRDP 研究人员的 100 多份报告,并表示“多个奖项”达到了 50 万美元(IT之家备注:当前约 364.5 万元人民币),中位数奖金接近 1.8 万美元(当前约 13.1 万元人民币)。
苹果公司提供给参与者的 iPhone 14 Pro 研究设备具有专为安全研究而设计的特殊硬件和软件。研究人员可以配置或禁用 iOS 安全保护,以便以标准 iPhone 无法实现的方式操纵它们。SRD 适用于在 iPhone 和其他平台上都有安全研究经验的安全研究人员,同时苹果公司也向想要将其作为计算机科学学生教学工具的大学教育者提供设备。
苹果公司每年选择有限数量的参与者接收研究设备,申请截止日期为 2023 年 10 月 31 日。选定的参与者将在 2024 年初收到通知。
2、超 2000 家美国公司凭据遭到泄露!NASA、特斯拉、FBI、五角大楼无一幸免
Hackernews 编译,转载请注明出处:
国家安全保障会议(NSC)泄露了近1万名会员的电子邮件和密码,包括政府机关和大企业在内的2000多家企业被曝光。
美国国家安全委员会(NSC)是一家提供工作场所和驾驶安全培训的非营利组织。NSC的数字平台为不同企业、机构和教育机构的近55,000名成员提供在线资源。
然而,该组织网站在长达5个月的时间里都暴露在网络攻击的危险中。Cybernews研究小组发现,公开访问网络目录暴露了数千个凭据。
在泄露的一长串证书清单中,大约有2000家公司和政府机构的员工信息,包括:
- 化石燃料巨头:壳牌、英国石油、埃克森(Exxon,)、雪佛龙(Chevron)
- 电子制造商:西门子、英特尔、惠普、戴尔、英特尔、IBM、AMD
- 航空公司:波音公司、美国联邦航空管理局(FAA)
- 制药公司:辉瑞、礼来
- 汽车制造商:福特、丰田、大众、通用、劳斯莱斯、特斯拉
- 政府机构:司法部(DoJ)、美国海军、联邦调查局、五角大楼、NASA、职业安全与健康管理局(OSHA)
- 互联网服务提供商:Verizon、Cingular、Vodafone、 ATT、Sprint、 Comcast
- 其他:亚马逊、Home Depot、Honeywell、可口可乐、UPS
这些公司可能在该平台上拥有账户,以获取培训材料或参加国家安全委员会组织的活动。
该漏洞不仅对NSC系统构成了风险,而且对使用NSC服务的公司也构成了风险。泄露的凭证可能被用于凭证填充攻击,这种攻击试图登录公司的互联网连接工具,如VPN门户、人力资源管理平台或公司电子邮件。
此外,凭据可能被用来获得进入公司网络的初始访问权限,以部署勒索软件、窃取或破坏内部文件或访问用户数据。Cybernews联系了NSC,并迅速解决了这个问题。
曝光的网页文件夹|来源:Cybernews
对网络目录的公共访问
该漏洞于3月7日被发现。Cybernews研究小组发现了NSC网站的子域名,该域名可能用于开发目的。它向公众公开了其网络目录列表,使攻击者能够访问对网络服务器运行至关重要的大多数文件。在可访问的文件中,研究人员还发现了存储用户电子邮件和散列密码的数据库备份。这些数据被公开访问了5个月,因为IoT搜索引擎在2023年1月31日首次对泄漏进行了索引。
总的来说,备份存储了大约9500个唯一帐户及其凭证,涉及到各个行业的近2000个不同的公司电子邮件域。
泄露的包含用户凭证的表|来源:Cybernews
一个对公众开放的开发环境显示出其开发实践有多糟糕。这样的环境应该与生产环境的域分开托管,并且必须避免托管实际的用户数据,更不应该是公开访问的。
用户表架构|来源:Cybernews
由于大量电子邮件被泄露,平台用户遇到垃圾邮件和网络钓鱼邮件的情况可能会激增。建议用户从外部验证电子邮件中包含的信息,并谨慎点击链接或打开附件。
可破译的密码
被暴露的密码使用SHA-512算法进行杂凑—该算法被认为对密码散列是安全的,另外还使用了一种额外的安全措施—salts。但是,salts与密码散列存储在一起,并且仅使用base64进行编码。这使得潜在的攻击者很容易检索到salts的明文版本,从而简化了密码破解过程。
破解数据库中发现的单个密码可能需要长达6小时的时间,这取决于密码的强度以及攻击者使用的先前泄露的密码或单词组合列表状况。
这并不意味着泄露的数据库中的每个密码都可以被破解,然而其中很大一部分可以被黑客获取。研究表明,80%的成功破解此类密码的概率是相对常见的。
出于这个原因,我们建议拥有NSC帐户的用户在nsc.org网站和使用相同密码的任何其他帐户上更改其密码。
3、8 家 AI 大模型产品今日起陆续上线,腾讯华为讯飞等后续开放
IT之家 8 月 31 日消息,今日,百度、字节、商汤、中科院旗下紫东太初、百川智能、智谱华章等 8 家企业 / 机构的大模型产品已经首批通过《生成式人工智能服务管理暂行办法》备案,可正式上线面向公众提供服务。
图源 Pixabay
而据贝壳财经报道,从多位独立信源处获悉,国内将有 11 家大模型陆续通过《生成式人工智能服务管理暂行办法》备案,首批将在 8 月 31 日起将陆续向全社会公众开放服务。其中北京 5 家,上海 3 家率先上线,广东省 2 家和其他省市 1 家也将陆续开放。据悉,广东地区获批公司分别为华为、腾讯,科大讯飞系其他地区获批产品。
IT之家附首批通过备案的大模型公司:
五家北京企业机构:百度(文心一言)、抖音(云雀大模型)、智谱 AI(GLM 大模型)、中科院(紫东太初大模型)、百川智能(百川大模型)
三家上海企业机构:商汤(日日新大模型)、MiniMax(ABAB 大模型)、上海人工智能实验室(书生通用大模型)
值得一提的是,阿里通义千问、360 智脑不在首批获批名单中。
2023年8月30日 星期三
今日资讯速览:
1、新研究利用人工智能将大脑信号转换成语音和动画表情
2、Windows更新导致大面积蓝屏死机,微软“甩锅”硬件厂商
3、杭州马拉松报名系统泄露个人信息,官方暂停报名
1、新研究利用人工智能将大脑信号转换成语音和动画表情
新华社北京8月28日电 美国加利福尼亚大学旧金山分校近日发布公报说,该校参与的研究团队开发出一种脑机接口,通过训练人工智能算法,成功将一名因脑干中风而严重瘫痪的女性的大脑信号转换成语音和动画表情,使这名女性患者能够通过“数字化身”与人交流。
加州大学旧金山分校和伯克利分校等机构研究人员在这名瘫痪女性大脑表面植入一个由253个电极组成的薄如纸张的矩形设备。这些电极覆盖了对语言功能至关重要的大脑区域。研究人员用一根电缆插入固定在患者头部的接口上,将电极与一组计算机连接起来。
构建这套系统后,研究团队在数周时间里对人工智能算法进行系统训练,以识别这名女性患者独特的大脑语音信号。这需要不断重复不同的语句,涉及1024个单词,直到计算机能识别与患者声音相关的大脑活动模式。
研究人员并没有训练人工智能识别完整的单词,而是创建了一个系统可根据最小的语音单位音素来解码单词。就像字母组成书面单词一样,音素组成了口语单词。例如,英文单词“Hello”包含HH、AH、L和OW四个音素。利用这种方法,计算机只要学习39个音素就能破译任何英文单词,这提高了系统的准确性和运算速度。
为了重现患者的声音,团队设计了一种语音合成算法,利用患者在自己婚礼上的讲话录音将语音个性化,使之听起来像她受伤前的声音。
研究人员还借助一款可模拟面部肌肉运动并制作动画的软件为患者制作动画头像。研究人员创建了定制的机器学习过程,使这款软件能够识别这名女性试图说话时大脑发出的信号,并将这些信号转换成能够表示快乐、悲伤和惊讶等情绪的面部动画。
相关论文近日发表在英国《自然》杂志上。团队下一步计划创建该系统的无线版本,使患者无需与脑机接口进行物理连接。
2、Windows更新导致大面积蓝屏死机,微软“甩锅”硬件厂商
近日,大量Windows用户在安装微软8月2日发布的Windows11和Windows10系统更新(KB5029351预览版)后遭遇蓝屏死机问题,错误提示为:“UNSUPPORTED_PROCESSOR”(不支持的处理器):
微软上周三首次承认了更新存在缺陷,称受影响的平台包括Windows11 22H2和Windows10 21H2/22H2。微软补充说,有缺陷的可选更新“可能会自动卸载,以允许Windows按预期启动”,并警告客户不要重新安装它,以避免出现进一步的问题。
但本周一微软态度转变,声称最近困扰部分Windows用户的蓝屏死机问题并不是由2023年8月发布的可选更新中的问题引起的。相反,微软暗示其根本原因是部分设备固件的不兼容问题。
微软表示:“在调查这些报告后,我们发现‘UNSUPPORTED_PROCESSOR’错误不是由KB5029351中的问题引起的,并且仅限于特定的处理器子集。”
微软建议用户:如果继续遇到(蓝屏死机)问题,应联系其设备的处理器制造商(例如英特尔和AMD)。但有趣的是,虽然蓝屏错误提示为“不受支持的处理器”,但目前只有中国台湾主板厂商微星公司(MSI)正式确认其某些主板型号的用户可能会受到此已知问题的影响。
微星上周正式确认使用其部分型号主板的Windows用户在安装8月的可选预览更新后蓝屏死机(BSOD)问题激增。微星建议已更新了系统并受到蓝屏影响的用户将主板BIOS恢复到以前的版本并卸载可选的(8月)Windows更新。
微星上周五表示:“已收到多份报告,称用户在安装Windows11更新KB5029351预览版后,MSI600/700系列主板用户遇到蓝屏死机问题,错误消息为‘UNSUPPORTED_PROCESSOR’。”
参考资料:
https://learn.microsoft.com/en-us/windows/release-health/status-windows-11-22h2#microsoft-received-reports-about-an--unsupported-processor--error
3、杭州马拉松报名系统泄露个人信息,官方暂停报名
杭州马拉松官网报名页面崩溃,显示大量报名者的个人信息,包括真实姓名、手机号码、身份证号等等。8月28日,杭州马拉松官网已紧急关闭报名入口,暂停报名。
截至29日早上7时,报名仍然没有恢复。
杭州马拉松官网公告暂停报名。图源:杭州马拉松官网
报名杭州马拉松的冯先生表示,他在官网登录自己的账号报名,却跳出来另一位参赛者刘先生的个人信息,包括姓名、身份证号、性别、出生日期、服装尺码等等。
官网显示其他参赛者的个人信息。图源:受访者供图
另有网友也在社交媒体表示,登录自己的账号查询是否成功报名,却显示了他人信息,包括姓名、身份证号、家庭住址、手机号等。
官网显示其他参赛者的个人信息。图源:网友社交媒体
官网信息显示,杭州马拉松的前身是西湖桂花国际马拉松和国际友好西湖马拉松赛,始于1987年10月,是中国历史上第三悠久的马拉松赛事。
杭马的历史仅次于1981年9月创办的北京马拉松,和1987年5月创办的大连马拉松,是中国田协和国际马拉松及路跑协会(AIMS)备案的国际级马拉松赛事。
据九派新闻查询,杭州马拉松的运营服务商有过多次变更。2017年年末,浙江省体育局和阿里体育在杭州联合召开发布会,宣布签署战略合作,在平台、场馆、赛事等多个领域展开合作,包括用高科技互联网特色提升杭州马拉松的影响力等。
随后,浙江采购网上公布了《2018-2021年杭州马拉松赛事市场开发和赛事运行服务合作方的中标候选人公示》。
公示显示,阿里体育以超过1个亿的价格,成为第一中标候选人,智美赛事运营管理(浙江)公司为第二中标候选人。
2022年,杭州马拉松与新的运营联合体,即浙江大丰体育文化发展有限公司、深圳赛格智美体育文化发展有限公司、浙江交通旅游传媒有限公司携手。官网显示,2023年杭州马拉松的运营商也是上述三家。
(来源:九派新闻)
2023年8月29日 星期二
今日资讯速览:
1、男子不思悔改,投放带木马链接致百万台电脑中
2、乌克兰独立日遭俄罗斯黑客组织袭击,200多家加油站深夜瘫痪
3、必应弹窗广告打扰游戏玩家,微软已暂停投放
1、男子不思悔改,投放带木马链接致百万台电脑中
近日,浙江杭州西湖网警在工作中发现,网上出现一些高仿即时办公通讯软件的“钓鱼网站”,其中携带木马病毒。
短短数日,被木马病毒远程非法控制的电脑已达一百多万台。
西湖网警立即开展调查,最终查明一个非法控制计算机信息系统的犯罪团伙。
案件回顾
经查,犯罪嫌疑人余某(化名),曾因传播带有木马病毒的链接被刑事处罚。
当时他的手法是通过“点对点”传播带有木马病毒的链接,先把链接分享给特定的人员,对方点开链接后,电脑就会“中毒”,在对方没有使用电脑时,余某就趁机操纵电脑,把对方微信或QQ通讯录里的好友拉入陌生群聊,再将群聊管理权卖给境外诈骗团伙,以此获利。
出狱后,余某非但不思悔改,反而“变本加厉”。他觉得以前“点对点”传播病毒的方式效率不高,来钱慢。
“若把带有病毒的链接放在公众平台,是不是会有更多的人点击呢?”余某心想。
想法虽好,但余某觉得自己一个人没有那么多精力,需要人手帮忙才能把“业绩”做大,赚更多的钱。
于是,余某便联系他的3位发小,张某、王某和陈某,邀请他们加入合伙干。念及多年情谊,3人都爽快地答应了。
其中,张某负责提供启动资金和办公场所,成立工作室。王某和陈某二人负责将网上常用App的正版链接,植入木马病毒,制作成新的链接,再将制作完成的链接发出去,迷惑用户下载。
用户以为自己下载的是正版的App,但实际上是带有病毒的。
下载完成的电脑或手机,就会“成功”中毒。余某故技重施,将机主的通讯录好友拉入陌生群聊。
好友以为自己是被朋友拉入了群聊,自然不会起疑心而退群。
中毒的电脑和手机越来越多,单一群成员、建成的群,数量都十分可观。就在余某等人准备捞钱发财的时候,警方已盯上他们。
抓捕落网
7月13 日,杭州市公安局网警分局会同西湖网警组织警力赴广东等地开展收网行动,抓获犯罪嫌疑人4名,均已依法刑事拘留,扣押手机、电脑、服务器等电子设备 24台。
目前案件正在进一步办理中。
网警提醒
如发现网页强行跳转,或电脑、移动设备发现病毒、木马感染等情况,请立即杀毒处理,并向警方举报。
网络不是法外之地,每一位网络活动参与者,都应遵守法律、不逾红线,更不能利用网络技术实施犯罪。否则,必将受到法律的严惩。
2、乌克兰独立日遭俄罗斯黑客组织袭击,200多家加油站深夜瘫痪
KillNet黑客组织自豪地声称对乌克兰三大加油站网络的网站遭受的有针对性的网络攻击负责。据称其对200个加油站进行了网络攻击并导致了瘫痪。这些加油站网络攻击再次加剧了俄罗斯和乌克兰之间持续的数字冲突,令安全专家和当局保持高度警惕。这些加油站网络攻击背后的动机仍然笼罩在神秘之中,因为这一与俄罗斯有关的组织尚未透露其行动的明确意图。这一事件加剧了两国之间网络战格局的一系列在线冲突。
随着黑客的其他帖子浮出水面,尽管目标加油站的完整列表仍未披露,但黑客已经挑选出三名主要受害者来展示他们的能力并发送信息。
奇怪的是,这次袭击恰逢乌克兰独立日,具有象征意义。黑客在他们的暗网频道上发帖纪念这一时刻,该帖子宣称:“作为我们团队为纪念乌克兰独立日的礼物——坚持住!袭击乌克兰的 3 个大型加油站网络。”
加油站网络攻击中列出的三名受害者是SOCAR Energy Ukraine,WOG和Amic Energy。
SOCAR能源乌克兰是石油和天然气产品批发领域的突出力量。它拥有为乌克兰广袤地区各种规模的企业提供各种产品的能力。
WOG拥有由400多个加油站组成的网络,是乌克兰加油站景观的基石。在天然气和石油工业的推动下,这条链条已成为该国基础设施的重要组成部分。
Amic Energy来自奥地利,负责监督包括乌克兰在内的多个国家的470个移动和固定加油站以及20个电动汽车充电站的网络。该公司总部位于维也纳,业务遍及多个国家。
这些加油站网络攻击突显了企业和国家每天应对的网络威胁的危险格局。除了直接影响之外,KillNet黑客组织的行动也散布了数字不和,在网络空间留下了不确定性和脆弱性。
3、必应弹窗广告打扰游戏玩家,微软已暂停投放
IT之家 8 月 29 日消息,近日,微软在 Windows 11(和 10)系统中加大了对必应搜索引擎和 Edge 浏览器的推广力度,最新的一个广告试图让用户在谷歌 Chrome 浏览器中默认使用必应而不是谷歌搜索。
据 Windows Latest 报道,该弹出窗口出现在桌面的右下角,覆盖在所有应用和游戏之上。该广告提醒用户使用必应的好处,如支持人工智能聊天和获得微软奖励。
微软的一位发言人在接受 Windows Latest 采访时证实,该公司已经意识到这个弹窗会出现在游戏之上(绕过了通知设置),并已经暂停了这个广告的投放,同时将调查这一情况。
上述弹窗针对的是安装了谷歌 Chrome 浏览器和使用谷歌搜索的设备,其绕过了所有的通知和专注辅助设置,有用户称在玩游戏或者观看视频时也出现了这个弹窗。
这个弹窗与一个名为“BGAUpsell.EXE”的工具有关,该工具与微软必应服务 2.0 有关,这是一个后台进程,旨在增强 Windows 11 和 10 上的必应功能。这个文件可能与集成了必应的各种功能有交互,包括 Windows 搜索。这个工具引用了“IsEdgeUsedInLast48Hours”,表明如果微软 Edge 在过去 48 小时内没有被使用,那么弹窗可能会被触发。也有可能微软可以检测到谷歌或其他搜索引擎是否在谷歌浏览器中激活,这就解释了为什么弹窗只出现在部分设备上。
IT之家注意到,谷歌也做过类似的事情。当用户使用微软 Edge 打开 YouTube、Gmail 等服务时,经常会看到谷歌推荐使用 Chrome 的广告。
2023年8月28日 星期一
今日资讯速览:
1、华为、中国移动联合完成 5G 车联网技术验证,平均时延最低小于 17ms
2、近九成企业遭受人工智能增强钓鱼邮件攻击
3、50 亿美元的隐私大战!揭秘谷歌无痕浏览的现实
1、华为、中国移动联合完成 5G 车联网技术验证,平均时延最低小于 17ms
IT之家 8 月 28 日消息,“华为中国”官方公众号周六晚间宣布,近日在中国移动研究院组织下,华为协同重庆移动、江苏移动、上海移动在全国多地完成基于 5G 商用网(全 Uu 空口)的车联网摸底测试。
测试结果显示,空口端到端通信平均时延低于 17ms,结果符合预期。这一测试结果,也标志着 5G 商用网络承载车联网业务成为可能。
报道称,5G 网络可为自动驾驶、精准定位、高精度导航等智能网联汽车的典型应用场景赋能。其具有超大带宽、超低时延、超大规模连接能力,可为多行业、多维度数据交互提供全方位连接能力。
华为方面在综合评估车联网市场需求、技术成熟度等因素的背景下,筛选了 23 个高优先级场景开展测试验证(IT之家注:包含 11 个自动驾驶场景和 12 个辅助驾驶场景)。测试结果如下:
基于地市通用 UPF 架构,空口端到端通信平均时延小于 20ms;
基于创新 UPF 下沉架构,空口端到端通信平均时延小于 17ms。
官方表示,测试结果有效验证了 5G 网络支撑车联网典型业务的能力,标志着 5G 商用网络承载车联网业务的创新技术方案可行,为 5G 车联网商用提供了详实的数据支撑。
▲ 图源华为中国
2、近九成企业遭受人工智能增强钓鱼邮件攻击
根据Perception Point和Osterman Research的最新调查,越来越多的网络犯罪分子在网络钓鱼和BEC(商业电子邮件泄露)等电子邮件攻击中使用了(生成式)人工智能技术,九成受访企业表示已经遭受过人工智能增强的电子邮件攻击。与此同时,越来越多的电子邮件安全解决方案也开始使用人工智能技术来应对此类攻击。
调查显示,91.1%的受访企业表示他们已经遇到过人工智能增强的电子邮件攻击,84.3%的企业预计人工智能将继续被用来绕过现有的邮件安全系统。因此,基于人工智能技术的电子邮件安全防护比以往任何时候都更加重要。
人工智能已经成为电子邮件安全的“刚需”
调查显示,近80%的受访企业认为电子邮件安全是网络安全的三大优先事项之一。但随着时间的推移,传统电子邮件安全方法已被证明效果较差。96.9%的受访者实施了人工智能电子邮件安全方案,因为传统的邮件安全防御措施无法有效应对紧急威胁。
在过去12个月中,认为人工智能技术对于电子邮件防御“极其重要”的受访者比例增加了4倍多。几乎所有受访企业都认为人工智能技术将在电子邮件防御体系中发挥中等或极其重要的作用。
人工智能电子邮件安全的三大趋势如下:
人工智能增强的网络安全技术不仅仅适用于电子邮件:购买人工智能增强邮件安全方案的企业还希望人工智能技术能更好地保护其他通信和协作应用程序,例微软的Teams、SharePoint、OneDrive,以及Zoom、Slack、Salesforce等应用。
没有响应和缓解功能的人工智能检测是误导性的:通过人工智能检测电子邮件中威胁的能力是至关重要的第一步,但不是全部。企业需要培训网络安全专业人员和SOC团队,以充分利用人工智能技术对已识别的安全事件做出快速有效的响应。
企业正在利用新的人工智能工具加强防御:随着电子邮件威胁环境的变化,企业正在实施新的防御。九成受访企业已经在云电子邮件提供商提供的解决方案之外实施了人工智能电子邮件安全解决方案。
3、50 亿美元的隐私大战!揭秘谷歌无痕浏览的现实
Hackernews 编译,转载请注明出处:
你真的隐身了吗? 深入谷歌私人浏览,揭开网络隐身的神话和真相。
长期以来,谷歌的隐身模式一直是那些希望对共享设备和有意跟踪在线活动的公司的用户的首选保密工具。它通常被称为私人浏览,或色情模式。
与流行的观点相反,隐私功能不仅仅是为了隐藏网上的成人内容。例如,大多数在线航班搜索引擎使用cookie来跟踪搜索,在多次搜索同一行程后,机票价格会慢慢上涨,从而诱使用户提前预订。用户可以通过打开单独的隐身浏览窗口来节省潜在的巨大成本。
“隐形页面”的真相
许多用户仍然没有意识到,隐身浏览窗口并没有向雇主、互联网服务提供商或他们访问的一些网站隐藏他们的浏览历史。在私人窗口登录Facebook、亚马逊或Gmail等任何网站时,大型科技公司仍然可以将你的在线活动与其他账户和个人资料联系起来。虽然对许多人来说,这是显而易见的,但其他人仍带着虚假的安全感继续使用这个功能。
然而,在技术人员沾沾自喜之前,即使你相信你的在线行为被匿名所掩盖,看不见的力量可能仍然在起作用。即使没有登录到一个平台,你的虚拟足迹仍然很容易被追踪,这要归功于“指纹识别”。这种高级形式的跟踪结合了您的IP地址、屏幕分辨率、安装的字体和浏览器版本等详细信息。指纹识别技术创造了一个独特的轮廓—就像一个侦探从分散的线索中拼凑出一个难以捉摸的人物的身份。
这个数字身份可以跨会话和设备持久存在。它通常不受试图清除浏览器历史记录或使用隐身模式的影响。这对用户来说意味着,让你的设备成为“你的”的那些方面—那些个人定制和调整—也可能是泄露你在线匿名性的因素。所以,即使你在“隐身”的保护伞下浏览网页,也要记住:你的数字身份影子可能仍然是可见的。
隐私审判:谷歌的隐身模式面临50亿美元的赔款
自从将“不作恶”(Don’t be evil)的座右铭从公司行为准则中删除后,许多人对信任这家科技巨头变得越来越谨慎。从2020年起,谷歌将面临一场50亿美元的巨额诉讼,这是一项开创性的法律行动,给其吹捧的“隐身模式”蒙上了阴影。原告强烈认为,尽管谷歌保证了隐私,但其复杂的cookie网络、分析工具和基于应用程序的工具未能暂停跟踪,即使用户认为他们在隐身保护伞下受到了保护。
相比之下,谷歌坚定地为自己辩护,强调其网站一贯有清晰的声明。他们指出,Chrome的隐身功能并不是一种隐形的面纱,而只是一种防止浏览数据被存储在本地的功能。事实上,每次用户打开私人浏览会话时,都会出现警告。问题是很少有人读到这个警告,这意味着这场诉讼的关键在于一个经典的论题:感知安全与实际安全。
这家科技巨头将法庭案件视为小麻烦。从局外人的角度来看,潜在的罚款似乎只是他们巨大收入海洋中的沧海一粟。对这类公司来说,处罚已成为他们在数据驱动的帝国中开展业务的另一项成本。但随着一场50亿美元的诉讼越来越接近审判,这家科技巨头会受到的可能不仅仅是流个鼻血这么简单了。
谷歌是否歪曲了隐身模式的作用?
从技术角度来看,谷歌的隐身模式的主要功能似乎一直是透明的:保护用户的浏览历史不被其他使用同一设备的人看到。如果你的设备在多个设备上同步,这个功能可以确保隐私不被窥探。
精通技术的人很清楚它的局限性。然而,普通用户往往会被迫接受冗长的条款和条件。这些文件有时用密密麻麻的法律术语写成,似乎是为了鼓励用户盲目地同意。
对许多用户来说,“历史”一词可能包含了更广泛的理解。他们可以假定“没有历史”意味着没有任何痕迹—在网络空间的沙滩上没有留下脚印。这种感知到的隐私和实际功能之间的差异可能会导致虚假陈述。如果这是故意混淆以误导普通用户,那么问责制问题就出现了。
2018年,谷歌Chrome工程师的内部通信揭示了他们对隐身模式的看法,这为这场辩论增加了另一层含义。谷歌员工开玩笑说,使用“间谍”图标是不合适的。另一个人将其与《辛普森一家》中的一个搞笑角色“Guy Incognito”联系起来,这个角色以其可笑而无效的伪装而闻名。这个玩笑虽然轻松愉快,但可能无意中强调了一个事实:隐姓姓名对隐私的承诺可能就像“Guy Incognito”的胡子伪装一样肤浅。虽然表面上来看是幽默的,但这种内部玩笑可以被视为淡化隐私问题。
隐私逐渐成为这个时代的奢侈品,但结合VPN浏览器扩展可以在保护在线匿名性方面发挥关键作用。它提供了一个强大的屏障,防止互联网服务提供商跟踪你的一举一动。这是阻止广告商从你在网站上的浏览中获取利益一个屏障。
虽然隐身面纱看起来不透明,但真正的在线隐身可能比你想象的更难以捉摸。读者可以常常自省:我的数字身份是否真的隐藏起来了。
2023年8月25日 星期五
今日资讯速览:
1、国家总统大选遭网络攻击冲击:在线投票服务故障 选民无法访问
2、Akira勒索团伙利用思科VPN产品对各个行业发起攻击
3、如何处理 Windows 上的恶意软件:“重组和铺路”往往是唯一的方法
1、国家总统大选遭网络攻击冲击:在线投票服务故障 选民无法访问
安全内参8月23日消息,南美洲国家厄瓜多尔在上周日举行全国大选,然而海外居民远程在线投票遇到困难。该国选举机构将这些事件归因于来自七个不同国家的网络攻击。
选举当天,远程选民纷纷在社交媒体上表示,他们无法通过政府创建的在线投票系统投票,感到十分沮丧。大选前,约有12万名生活在国外的厄瓜多尔人注册投票。但是,其中很多人在投票截止前无法访问投票系统。
厄瓜多尔国家选举委员会主席Diana Atamaint在上周日召开新闻发布会,将远程投票的问题归咎于网络攻击,但是并没有详细说明攻击的性质。
她说:“我们通知厄瓜多尔人民,根据初步报告,远程投票平台遭受了网络攻击,投票系统访问流畅性受到影响。我们还需要重点澄清,已经投下的选票没有受到侵扰。”她继续表示,“已确认”这些攻击“来自七个国家:印度、孟加拉国、巴基斯坦、俄罗斯、乌克兰、印度尼西亚和中国。”
Diana Atamaint接受美国有线电视网西班牙语频道采访时表示,旅居欧洲的厄瓜多尔选民受到的影响最为严重。
她说,“选举当局将在法律框架内分析应该采取哪些适当措施。”
但是,厄瓜多尔国家选举机构没有对评论请求做出回应。
截至周一下午,计票工作已经完成80%。左翼候选人Luisa Gonzalez暂时领先。但是,她需要在今年十月参加第二轮对决,面对首轮选举第二名Daniel Noboa的挑战。
本月早些时候,厄瓜多尔总统候选人Fernando Villavicencio在首都基多举行竞选活动时遭到暗杀,反映该国民主状况堪忧。在地方层面,投票进展较为顺利,但海外投票系统出现的问题在侨民中引发了愤怒和质疑。
旅居西班牙马德里的厄瓜多尔人在社交媒体上发布视频,显示他们在举行示威,抗议无法投票。
参考资料:https://therecord.media/ecuador-election-cyberattacks-absentee-voting
2、Akira勒索团伙利用思科VPN产品对各个行业发起攻击
据外媒报道,Akira勒索软件团伙以思科VPN产品为目标,以获得对企业网络的初始访问权限并窃取其数据。Akira勒索软件自2023年3月以来一直活跃,该恶意软件背后的威胁行为者声称已经入侵了多个行业的多个组织,包括教育、金融和房地产。2023年6月底,Avast发布了针对 Akira 勒索软件的免费解密程序,但从那之后威胁者已经给加密程序打了补丁,Avast的工具只能帮助那些旧版本的受害者。
3、如何处理 Windows 上的恶意软件:“重组和铺路”往往是唯一的方法
Hackernews 编译,转载请注明出处:
最近的Discord.io漏洞表明,游戏社区成为了越来越有吸引力的目标,因为他们经常使用高性能的机器,并且有资源可以窃取。DomainTools的研究人员写道,大多数恶意软件的目标是Windows系统,并通过Discord发送。可能需要格式化磁盘并重新安装操作系统才能解决恶意攻击。
利用Discord.io漏洞,恶意行为者可以挖掘被入侵的账户和社区列表,以确定可能的感染目标。
研究人员警告说:“只需点击一下,目标玩家的电脑就能被完全破坏。电脑通常被安上信息窃取程序,但远程访问木马、加密矿工或其他恶意软件也可能被释放出来。”
如果发生这种情况,用户不应该浪费时间试图用好的软件来清除有害的软件。
DomainTools研究和数据副总裁肖恩•麦克尼表示:“有时候,解决的唯一途径就是从头开始重新格式化机器——重新组装和铺路(nuke and pave)。”
为什么擦除硬盘是最好的方法
“Nuke and pave”意味着彻底清除受感染设备的硬盘驱动器,从而删除所有数据和软件,然后重新安装一个干净版本的Windows。但事情并不总是那么简单,因为网络骗子正在寻找隐藏他们肮脏代码的新方法。
恶意软件通常会深入到系统中,躲避监控,还可能包括防御防篡改措施。
尽管你会努力尝试使用杀毒软件来清除受感染的系统病毒,但你永远无法完全确定你是否已经清理干净。研究人员警告说:“事实上,你可能经常运行多个反病毒产品—每个产品都得意洋洋地向你报告‘没有发现恶意软件’,结果系统仍然表现出不可否认的严重的问题。”
如今,用户必须牢记,即使是重新格式化驱动器和重新安装系统也变得更加复杂。
DomainTools的研究人员写道:“我们知道你会给你的系统消毒(尽管我们都知道这行不通)。”
在这种情况下,研究人员建议用户了解不同类型的恶意软件之间的细微差别。它可能是机器人程序、真正的计算机病毒、蠕虫、后门、特洛伊木马、rootkit、潜在的不需要的程序、广告软件、犯罪软件、勒索软件、间谍软件等,不同类型决定了清洁工具的不同。
你必须“为清洁工作选择正确的工具并确保设置了所有正确的选项,”研究人员警告说:“许多杀毒软件供应商只使用一个工具,并未提供一个全面的方法来发现和清除所有类型的恶意软件。”
此外,用户应该扫描其系统上的所有数据卷(volumes)。但即便如此,目前无论使用什么工具都无法得到保证。例如,即使杀毒产品宣称计算机是干净的,最好的做法也是使用其他工具(如MalwareByte的ADWCleaner)检查系统中留下的与恶意软件相关的工件。
研究人员注意到:“在一台感染了Discord恶意软件的样本电脑上,ADW发现并标记了三个注册表项,但没有删除。”
恶意软件作者以操纵注册表项而闻名。注册表中有问题或混淆的设置可能被深埋,难以修复。例如,搜索劫持恶意软件可能会将浏览器的默认搜索引擎更改为向劫持者支付重新路由流量的搜索引擎。
其他恶意软件可能隐藏在浏览器扩展中,这些扩展可能被防病毒软件扫描,也可能不被扫描,并且可能在启动时通过主要通过msconfig可见的条目自动启动并在后台运行。恶意软件的创建者一直在寻找新的方法来在受感染的系统上实现“持久性”。
为什么是游戏玩家?为什么是Discord?
攻击者已经进行了成本效益分析,而游戏玩家在他们的清单上名列前茅。
首先,游戏电脑通常比非游戏电脑更强大,而且往往拥有一流的网络连接。如果攻击需要付出同等精力,网络犯罪分子将瞄准更快的系统来安装他们的加密矿工,控制中心或其他货币化选项。
游戏电脑通常不受保护,因为防病毒软件和其他措施可能会“减慢系统速度”。
Discord是一款面向游戏玩家的即时通讯服务,免费且广受欢迎,拥有超过1.5亿活跃用户。该软件的通信是加密的,因此流量对网络监控和攻击检测工具是隐藏的。Discord的用户拥有可以被攻击者变现的资产。
Sophos将Discord描述为一个“粗鲁的社区”和“恶意软件的垃圾场”。甚至对于没有托管在Discord上的恶意软件,Discord API也是恶意命令和控制网络功能的沃土,这些功能隐藏在Discord的tls保护的网络流量中。
一种流行的攻击方式是“新游戏”,当队友或其他人要求尝试新软件时,这实际上可能是恶意软件。
2023年8月24日 星期四
今日资讯速览:
1、国标《信息安全技术 数据安全风险评估方法》公开征求意见
2、谷歌惊现广告陷阱:合法亚马逊链接暗藏技术骗局
3、日本谋求网络作战“出海”,对全球网络安全造成严重威胁
1、国标《信息安全技术 数据安全风险评估方法》公开征求意见
8月21日,全国信安标委发布《信息安全技术 数据安全风险评估方法》(征求意见稿),标准给出了数据安全风险评估的基本概念、要素关系、分析原理、实施流程、评估内容、分析与评价方法等,明确了数据安全风险评估各阶段的实施要点和工作方法。意见征集截至10月20日。
2、谷歌惊现广告陷阱:合法亚马逊链接暗藏技术骗局
谷歌搜索结果中一个看起来合法的亚马逊广告将访问者重定向到Microsoft Defender技术支持骗局,该骗局会锁定他们的浏览器。
谷歌搜索结果中亚马逊有效广告显示了亚马逊的合法URL,就像该公司的典型搜索结果一样,如下所示。
但是,点击Google广告会将此人重定向到技术支持骗局,伪装Microsoft Defender的警报,说明电脑感染了ads(exe).finacetrack(2).dll恶意软件。
这些技术支持骗局将自动进入全屏模式,因此很难在不终止谷歌浏览器进程的情况下退出页面。但是,当Chrome以这种方式终止时,在重新启动时,它会提示用户恢复以前关闭的页面,重新打开技术支持骗局。
2022年6月,Malwarebytes发现了一个看起来合法的YouTube广告,该广告也使用了该平台的URL,导致了同样的技术支持骗局。目前尚不清楚谷歌为什么允许广告商模仿其他公司的URL来制造这些令人信服的广告骗局。
在过去的一年里,谷歌广告被黑客严重滥用,以传播恶意软件,这有时会导致勒索软件攻击。黑客会创建合法网站的副本,但交换下载链接以分发安装恶意软件的木马程序。皇家勒索软件公司还制作谷歌广告,宣传安装Cobalt Strike信标的恶意网站。这些信标用于提供对公司网络的初始访问,以进行勒索软件攻击。
3、日本谋求网络作战“出海”,对全球网络安全造成严重威胁
据日媒8月中旬报道,日本政府将与印太地区相关国家联合搭建情报网络,以便快速感知和共享网络攻击征兆和方式等信息。日本计划将包括自身在内的美澳等网络防御“先进国”与印太地区其他国家网络防御系统连接起来,构建区域网络作战预警体系,扩大网络感知空间和监视范围。
拓展网络作战“出海”边界
据报道,日本外务省已在2024年度预算概算要求中列入在海外加强网络防御的经费。其中,印太地区被视为重点区域,日本将通过政府开发援助,对东南亚和太平洋岛国提供该领域软硬件支援。除直接提供相关设备外,日本还将通过举办联合演习、给予定向资金扶持等方式,向相关国家传授经验。
据悉,日本已将网络空间视为继陆、海、空和太空之后的“第五战场”,认为当前针对各国政府机构、电力基础设施等目标的网络攻击手段复杂多样,相关案例层出不穷,网络防御和反制已成为各国面临的重要课题。日本将深化与拥有共同外交和安全诉求的所谓“友好国家”的合作,以印太地区国家为主,在网络领域实现合作突破。
此前,日本已加入北约卓越网络防御中心,自2021年开始常态参与北约“锁盾”系列网络安全演习。该演习虽冠名网络防御演练,但参演成员分为红、蓝两队进行对抗,相互之间进行网络攻击和防御课目演练,模拟的攻击对象既包括军事部门,也包括基础设施、公共和私营部门。今年4月,日本第3次参加该演习,除防卫省机构和各自卫队网络相关部队外,内阁网络安全中心、总务省、警察厅以及重要基础设施运营商等均派员参加。
此次日本出资出力在印太地区打造所谓网络防御预警情报网,目的是通过基础设施援助、人才培养培训等方式,将美国、日本等针对网络作战的标准、设备和设计,推广到东南亚国家和太平洋岛国,将其纳入美日等网络作战体系,甚至打上排他性标签。目前,日本已开始在日美澳印四方安全对话机制中推动建立网络防御“共同原则”,并以此为基准推广构建印太地区情报网络,打造符合日本意图的情报预警体系。同时,日本计划在2024年后引入“主动网络防御”机制,将网络防御扩展为包括监视预警、防御和反制为一体的网络作战,目前正在着手相关立法工作。
强化“主动网络防御”机制
实际上,“主动网络防御”并非新概念,日本在2022年12月新修订的《国家安全保障战略》等安保政策文件明确指出,自卫队将加速构建“主动网络防御”机制。所谓“主动网络防御”,指日本有关部门常态化巡逻网络空间,提前发现可疑威胁,依据相关权限采取瘫痪攻击源数据等反制措施。这与日本当前虽口头称坚持“专守防卫”战略,却转头成体系发展所谓“反击能力”的思路一致,其本身已超越防御范畴,是“先发制人”作战思路在网络空间的延续和体现。近年来,日本自卫队采取多种措施,为构建“主动网络防御”机制提供基础条件。
在政策设计上,新修订的《国家安全保障战略》等安保政策文件,明确强调自卫队要强化网络防护能力建设,构建与美欧同等以上水平的网络安全能力等,并将网络作战能力列入未来10年自卫队七大支柱能力之一,予以重点发展。
在力量编制上,2022年3月,日本大幅扩编专门开展网络攻防任务的网络防卫队,预计2023年度由890人扩充至2230人,2027年度前扩充至4000人左右。今年7月1日,日本防卫省在大臣官房新设负责应对网络攻击的参事官一职,在整备计划局新设“网络整备课”,健全力量和指挥机制。
在人才培养上,日本防卫省计划在2023年度将位于神奈川县横须贺市的陆上自卫队通信学校改编为“陆自系统通信和网络学校”,并增设“网络教育系”,以加强网络防卫专业人才培养和网络安全技术开发。同时,防卫省还计划于2024年前建立更为灵活的人才机制,可直接录用具备网络领域专业知识和相关经验的民间人才,以快速形成作战能力。
在技术支撑上,日本今年6月发布的《防卫技术指针2023》强调,日本防卫省将重点发展网络空间防御能力,聚焦网络攻防技术、未知攻击检测应对技术、自动阻断和应对网络杀伤链技术等。7月,日本在防卫装备厅新设用于强化装备供应商网络安全对策的“装备保全管理课”,对相关军工企业进行针对性扶持。
综合来看,日本不断翻新网络作战力量“出海”花样,以“先进带后进”方式延伸触角、编织网络作战预警情报网的同时,以所谓“主动网络防御”为幌子,不断发展网络空间“先发制人”作战能力。这种做法将对全球网络安全造成严重威胁,值得关注和警惕。(子歌)
【责任编辑:王金志 】
2023年8月23日 星期三
今日资讯速览:
1、微软宣布 Designer 已集成到 Edge 浏览器:使用 AI 打造惊艳视觉设计
2、计提5.5亿元成本!澳洲知名金融公司因网络攻击损失惨重
3、网络攻击迫使英国数百家零售商业务瘫痪
1、微软宣布 Designer 已集成到 Edge 浏览器:使用 AI 打造惊艳视觉设计
IT之家 8 月 23 日消息,微软在 2022 年 10 月宣布了一款新的设计工具,名为 Designer,其利用生成式 AI 技术提供了强大的功能。2023 年 4 月 Designer 推出了公开预览版,今天微软宣布 Designer 已经成为 Edge 浏览器的一个完全集成的功能,目前仅在美国市场上线。
微软在博客文章中表示:
使用 Edge 中的 Designer,你可以在浏览器窗口中只需几次点击,就可以创建出令人惊艳的视觉设计。在 Edge 上,只需在侧边栏中使用 + 图标找到 Designer 即可开始使用。启用后,在搜索栏中输入你想要创建的内容,比如你的活动主题或标题,Designer 就会为你生成出色的视觉设计选项供你选择,甚至包括使用 DALL-E 技术生成的独特图片。之后你可以选择保存或复制,并在你的社交媒体平台上使用。
IT之家注意到,微软支持页面称,虽然 Designer 目前处于公开预览阶段,免费使用,但当其正式发布时,某些功能将需要额外付费才能使用。目前还没有关于 Designer 何时会在美国以外的 Edge 中上线的消息。
微软还宣布,其为 Edge 浏览器中的 Bing Chat AI 聊天机器人增加了一些新功能。微软称:
例如,它可以通过组织许多打开的标签页(例如“组织与新闻相关的标签页”)来帮助你专注于任务。你还可以使用 Bing Chat 中的撰写功能来帮助你平静而自信地给教授写电子邮件。无论你身在何处,Bing Chat 都可以帮助你提高工作效率。
Edge 浏览器最新的 116 稳定版本周发布,并增加了对 Edge for Business 的支持。
2、计提5.5亿元成本!澳洲知名金融公司因网络攻击损失惨重
安全内参8月22日消息,澳大利亚企业在2023财年遭受了一系列网络攻击。从健康保险公司Medibank到电信运营商Optus,各家企业都面临人力短缺和应对网络犯罪能力不足的严峻现实。虽然可以通过网络保险减轻损失,但是网络攻击会切实影响运营,导致企业无法关注核心业务。
公司因为网络攻击计提7600万美元损失
澳大利亚数字支付和贷款服务上市公司Latitude就是一家受到网络攻击严重影响的企业。
今年3月16日,Latitude报告称,在系统上发现了一些恶意活动,并表示“这些活动据信源自Latitude合作的一家主要供应商。”该事件导致800万客户的个人信息被窃取,公司业务被迫中断。
图:公司花费了数月时间进行事件响应
Latitude为此付出了1180万美元的直接成本,并额外筹集了6410万美元,主要用于赔偿客户。这还不包括潜在的监管罚款、集体诉讼、未来系统增强成本,也没有考虑保险赔款。
事件发生六周以来,网络攻击对Latitude业务运营造成了重大影响。在此期间,Latitude无法开立新的客户账户,这对金融业务的业务量产生了影响。
事件对业务造成了极大干扰
据2023年上半年财报数据,Latitude的净利润下降了479.5%,亏损达到1.163亿美元。尽管年初1月/2月的新业务量同比增长了12.5%,但上半年的总业务量仅有36亿美元,同比下降3%。下降原因是网络事件导致业务中断。
Latitude总裁兼首席执行官Bob Belan表示:“2023年前六个月,Latitude经历了历史上最具挑战性的时期。同事们展示出了非凡的恢复力和应对能力,我感到十分骄傲。现在,我们开始看到的强劲复苏,令人欣慰。Latitude上半年的业绩说明,金融服务行业长期面临困难的大环境。这种困境当然也包括2023年3月网络攻击造成公司的运营中断。”
Latitude在澳大利亚和新西兰地区的销售金融业务(包括GO Mastercard和Gem Visa)的销售额达18亿美元,较2022年下半年下降了14%。这反映了通货膨胀压力对消费者的影响、零售销售额的下降趋势,以及网络事件对信贷发放系统的干扰。
公司积极改善业绩,降低事件影响
从积极的方面来看,公司的28°万事达全球白金卡业务继续从世界旅游热潮中受益。这一业务的销售额达到10亿美元,较上一年增加了29%。这些数据大有追赶疫情爆发前销售额的趋势(约为20亿美元)。
Latitude还和一些新商家签约,包括JB Hi-Fi新西兰和BSR 集团。此外,Latitude还有一个强大的潜在新商家项目。其与David Jones的战略合作伙伴关系计划预计将于2024年初启动。
谈到网络攻击事件和公司前景,Bob Belan表示,“我们将继续努力,对我们的系统进行持续审查,增强系统安全性。更重要的是,我们会加快更新战略,专注于改善客户体验,提升支付和金融等核心部门的财务业绩。”
“我们不仅进一步整合了全新的Symple贷款平台,还完成了Hallmark保险出售工作,交出了亮眼的成绩单。藉此,我们释放了约9900万美元的资本,增强了资产负债表。”
Latitude将继续与监管机构合作,对其信息处理实践进行审查,并与保险公司合作,研究是否能通过保险赔付减轻部分或全部成本。公司确认其全年现金净利润的指导范围为1500万至2500万美元,其市值将保持在10亿美元以上。
参考资料:https://thesentiment.com.au/latitude-reels-in-losses-98-2-million-in-hy-losses-as-cyberattack-costs-big/
3、网络攻击迫使英国数百家零售商业务瘫痪
安全内参8月21日消息,英国IT软件公司Swan Retail在上周日遭受网络攻击,导致超过300家英国商户无法处理付款或完成订单。截至当前,该公司服务器仍处于离线状态,尚无明确迹象表明该公司何时能重新提供服务。
Swan Retail主要服务于零售和餐饮行业,提供处理在线订单、销售点(POS)交易、库存管理和会计服务的软件。该公司正在与与执法机构、英国国家欺诈和网络犯罪报告中心(Action Fraud)以及英国国家网络安全中心(NCSC)合作,对此次攻击展开调查。
攻击事件影响多达300名客户
Swan Retail发言人表示,上周日,公司系统遭“未经授权的第三方”访问。
攻击发生后,公司已尽快通知了内部团队和受影响的零售商,目前正与执法部门以及外部顾问团队(Action Fraud和NCSC等)保持联系,对此次数据泄露事件进行全面取证调查。
发言人表示:“Swan Retail遭遇了一起犯罪网络攻击事件,严重破坏了我们的服务,影响了部分客户的业务。我们正在全天候工作,努力解决这个问题,并与执法部门保持联络。”公司表示,调查“取得了良好的进展”,但尚不能确认服务何时能够恢复正常。
这家IT服务供应商尚未公开披露遭受的网络攻击类型,但是攻击造成服务中断,影响了百货商店和园艺中心等一系列独立零售商。
2020年11月,Swan Retail被技术品牌集团ClearCourse收购,该集团提供综合性软件解决方案和综合性支付平台。
第三方支付安全问题不断
Swan Retail平台整合了多项领先的在线支付服务,其中不少服务在近年来都遇到过网络安全问题。
最近几周,其中一项名为WooCommerce的服务一直在应对相关问题。7月14日,研究人员在WordPress的WooCommerce支付插件中发现了漏洞。根据记录,尝试破坏该插件的行为已经超过一百万字。自曝光以来,漏洞在短短几天内就被用来对157000个站点发动了130万次攻击。
目前,该漏洞编号为CVE-2023-28121,严重程度评级为9.8(严重)。根据安全供应商Wordfence发布的新闻稿,该漏洞是WooCommerce支付身份验证绕过漏洞,“允许未经身份验证的攻击者冒充任意用户,以假身份执行一些操作,可能导致网站被接管。”
参考资料:https://techmonitor.ai/technology/cybersecurity/swan-retail-cyberattack
2023年8月22日 星期二
今日资讯速览:
1、《纽约时报》屏蔽 OpenAI 的网络爬虫,禁止将其内容用于 AI 训练
2、苹果iOS16曝出新漏洞:飞行模式下依旧可连接网络
3、特斯拉公开影响超过7万名员工信息的数据泄露事件
1、《纽约时报》屏蔽 OpenAI 的网络爬虫,禁止将其内容用于 AI 训练
IT之家 8 月 22 日消息,《纽约时报》已经屏蔽了 OpenAI 的网络爬虫,这意味着 OpenAI 不能使用该出版物的内容来训练其人工智能模型。
查看《纽约时报》的 robots.txt 页面,就可以看到《纽约时报》封禁了 GPTBot,这是 OpenAI 本月早些时候推出的爬虫程序,据悉《纽约时报》早在 8 月 17 日就屏蔽了这个爬虫。
值得一提的是,《纽约时报》本月初更新了其服务条款,该条款禁止使用其内容来训练人工智能模型,《纽约时报》还在考虑对 OpenAI 提起知识产权侵权的法律诉讼。
IT之家注意到,此前演员 Sarah Silverman 和另外两位作家在 7 月份就 OpenAI 使用 Books3 训练 ChatGPT 而起诉该公司,Books3 是一个用于训练 ChatGPT 的数据集,可能包含数千部受版权保护的作品,还有一位程序员兼律师 Matthew Butterick 指控该公司的数据抓取行为构成软件盗版侵权。
2、苹果iOS16曝出新漏洞:飞行模式下依旧可连接网络
近日,网络安全研究人员发现iOS 16存在一种新的漏洞利用后持久化技术,即使受害者的苹果设备处于离线状态,也可以利用该技术悄无声息地访问该设备。研究人员称,当用户打开飞行模式时,网络接口 pdp_ip0(蜂窝数据)将不再显示 ipv4 ipv6 ip 地址。蜂窝网络断开就无法使用,虽然底层更改由 CommCenter 执行,但用户界面(UI)的修改,如图标转换,则由 SpringBoard 负责。这一原理给用户造成一种 "飞行模式 "已开启的假象,但同时又允许恶意行为者悄悄地为恶意应用程序链接蜂窝网络。
3、特斯拉公开影响超过7万名员工信息的数据泄露事件
8月21日,特斯拉表示,此前发生的大规模数据泄露事件泄露了超过7.5万人的个人信息,这是“内部不法行为”的结果。特斯拉在发给员工的通知中表示,被泄露的文件包含100GB的机密数据,其中包括员工的姓名,以及地址、手机号码和电子邮件地址等联系信息,甚至包含特斯拉CEO埃隆·马斯克的社保号码。泄露的数据还包括大量关于特斯拉突然加速的客户投诉,以及关于刹车问题的投诉。此前,2名特斯拉前员工向德国《商报》泄露了这些信息,目前特斯拉已对这两名前员工提起了诉讼。
2023年8月21日 星期一
今日资讯速览:
1、黑掉卫星:首次成功移动轨道、劫持摄像头偷拍
2、2023年各行业数据泄露平均成本为445万美元
3、最火爆的武器化人工智能工具:FraudGPT
1、黑掉卫星:首次成功移动轨道、劫持摄像头偷拍
安全内参8月18日消息,美国拉斯维加斯,今年DEF CON黑客大会的主会场凯撒论坛会议中心,在一个挤满观众的房间里,来自世界各地的五支黑客团队正焦急地等待全球首次太空CTF竞赛的结果,看哪只队伍能够获得殊荣。
难得有这么多人聚集起来庆祝安全研究人员的工作,但这不是一场普通的黑客比赛。作为主办方美国空军多年策划和投资的成果,这次比赛破天荒地公开鼓励黑客,破解正以每小时17000英里的速度飞越地球的卫星。
今年DEF CON黑客大会在航空航天村举办Hack-A-Sat(黑掉卫星)比赛。参赛团队都有同样的目标:一颗由NASA和SpaceX于6月发射的小方形卫星Moonlighter,上面设置了各种挑战和“Flags”。
现场一片火热
从上周五早上到周六晚上,五支团队聚集在DEF CON黑客大赛的比赛区域。那是一个挤满设备、汽车的巨大空间,到处是嘈杂刺耳的声音。几百名黑客在这里破解任何带有电线和电流的东西。
在黑掉卫星比赛区域,竖立着一只巨大的赛博朋克风格记分牌,显示分数、Moonlighter的位置,以及下一次与卫星联系的倒计时。
比赛竞争激烈,吸引了多支CTF团队。虽然为夺旗赛组队并不鲜见,但是破解在轨卫星带来的挑战是一般夺旗赛参赛者从未见过的。有五支团队击败了数百支由成千上万名玩家组成的竞争对手,一路挺进在拉斯维加斯举办的决赛。
如果在决赛中独占鳌头,团队将获得首个太空CTF竞赛冠军的殊荣,并领取5万美元奖金。难怪宣布赛果的房间几乎挤得水洩不通。
但前一晚,宣布会场也发生了戏剧性的事情。因为受到一只可疑的包裹,整个凯撒论坛会议中心被迫疏散(根据闭幕式上的讲话,这可能是第五次疏散事件)。
美国空军上尉Kevin Bernert表示,当时,黑掉卫星竞赛组织者仍在收集来自Moonlighter的数据。团队被迫在紧急楼梯间聚集,然后退到一间酒店房间,连接到Moonlighter收集数据并确定最终得分。Kevin Bernert 说,“活动必须继续。”
冠军及三强出炉
逆向工程软件Binary Ninja创始人、黑掉卫星竞赛主持人Jordan Wiens在现场宣布获胜者。他透露第二名将获得3万美元,第三名将获得2万美元。听到奖金的信息,人群开始喧闹起来,有几个人还吹起了口哨。
第三名是jmp fs:[rcx]团队,该团队是参加2020年首届黑掉卫星竞赛获胜者PFS与RTX联合组成的。据该团队成员介绍,团队名称是一段有效的汇编代码。
第二名是“波兰能进入太空”(Poland Can Into Space)团队,由CTF团队Dragon Sector和p4组合而成。这个名字玩了波兰球的梗,也模仿了去年黑掉卫星竞赛的获胜者名称。
最后,Jordan Wiens宣布第一名:“祝贺mHACKeroni团队”,欢呼声、掌声和一些尖叫声响起。mHACKeroni团队不仅赢得了荣誉,还赢得了奖金。根据他们的简介,这只团队由60名意大利学术界人士组成。
Jordan Wiens继续说:“祝贺所有参与者。能够进入决赛,真的令人印象深刻。”
安全内参截图,参赛团队在十项测试项目中的表现(黄色为冠军团队)
测试项目难度高
此次比赛设置的挑战环节并不容易。一项名为“八月圣诞节”的挑战要求,让Moonlighter离开常规轨道飞近北极。如何移动一个没有推进系统的卫星?当然是通过脚本注入来欺骗GPS接收器。
另一项挑战要求参赛者入侵卫星摄像头,并从太空拍摄照片。还有一项名为“铁银行”的加密挑战,只有冠军团队mHACKeroni完成了这次挑战。
安全内参截图,mHACKeroni团队拍摄的地球照片
这次CTF竞赛是美国空军研究实验室、太空系统司令部、航空航天公司和Cromulence的合作项目。
参赛队伍面临一大挑战,Moonlighter并非一直可用。根据其在轨位置,卫星在比赛期间只有几个时间窗口,可供下载或上传文件、遥测、执行脚本。由于挑战赛在真实世界的条件下运行,即使比赛运营者也无法保证,一定能在预定的联系时间窗口内和卫星建立连接。
为了将网络安全和太空专家聚集在一起,黑掉卫星被设计为一场充满趣味的比赛。但是,太空系统面临的威胁是真实存在的。在拉斯维加斯举办的DEF CON黑客大赛和Black Hat网络安全大会上有多场讨论会,聚焦当前太空网络安全状态的危险性、俄乌战争初期Viasat系统遭大规模入侵等议题。
Black Hat大会期间,一位Viasat高管和美国国家安全局官员透露,俄罗斯对卫星通信的攻击手段非常多样化,不仅采用了名为“酸雨”的恶意软件擦除器,还对Viasat特定服务器发动了DDoS攻击,迅速压垮了他们的网络。
鉴于能源和农业等关键领域高度依赖太空系统,业界多次呼吁将太空列为关键基础设施。专家们指出,所谓的“新一代”太空公司和现成零部件正在激增,意味着太空系统面临的风险在不断增加。
参考资料:https://cyberscoop.com/mhackeroni-hackasat-space-def-con/
2、2023年各行业数据泄露平均成本为445万美元
8月16日,IBM发布了2023年数据泄露成本的分析报告,分析了2022年3月至2023年3月收集的数据。各行业数据泄露的平均成本为445万美元,而医疗行业的平均成本是最高的,为1093万美元。过去三年,医疗保健的成本增加了53.3%。与单一存储方法相比,跨多个环境存储的数据泄露成本最高,检测和应对的平均时间为291天。钓鱼活动成为最常用的初始攻击载体,占比16%,其次是凭证泄露和云配置错误。医疗保健行业数据泄露往往会持续231天才被发现,而其它行业则为204天。
3、最火爆的武器化人工智能工具:FraudGPT
FraudGPT的“成功“标志着生成式人工智能武器化和黑客攻击技术民主化的危险时代已经到来。
FraudGPT是一种通过Telegram疯传的基于订阅的新型生成式人工智能黑客工具,订阅费用为每月200美元或每年1700美元。2023年7月份被Netenrich的安全研究人员发现时,FraudGPT已经拥有超过3000个订阅者。研究人员推测FraudGPT基于开源大语言模型开发,并去除了模型中的一些道德和安全限制。
FraudGPT之所以快速流行,是因为它将过去复杂的黑客攻击技术通过生成式人工智能工具变成了技术小白也能轻松使用的自动化服务,例如编写恶意代码、创建无法检测的恶意软件、编写令人信服的网络钓鱼电子邮件等。
武器化人工智能程序成为暗网最畅销黑客工具
包括CrowdStrike、IBM Security、Ivanti、Palo Alto Networks和Zscaler在内的领先网络安全供应商警告称,甚至早在2022年11月下旬ChatGPT发布之前,包括国家支持的网络黑客组织在内的攻击者就开始将生成式人工智能武器化。
CrowdStrike首席科学家兼高级副总裁Sven Krasser指出,攻击者正在加速将大语言模型和生成人工智能武器化,此类程序已经成为暗网最畅销黑客工具。网络犯罪分子正纷纷采用大语言模型技术进行网络钓鱼和恶意软件,但“虽然这提高了对手发起攻击的速度和数量,但它并没有显著改变攻击的质量。”
Krasser表示,目前的生成式人工智能目前并没有显著提升攻击技术,但它确实提高了平均水平,让技术水平较低的对手也能发起有效攻击。
FraudGPT开启了一个危险的时代
FraudGPT的定位是网络攻击者的入门工具包,它利用一些经过验证的攻击工具,例如自定义黑客指南、漏洞挖掘和零日攻击。FraudGPT提供的任何工具都不需要其使用者具备高级黑客技术知识。FraudGPT还为订阅者提供了初级攻击者必须具备的基线水平的间谍技术,包括:
编写网络钓鱼电子邮件和社会工程内容
创建漏洞利用、恶意软件和黑客工具
发现漏洞、泄露的凭证和存有信用卡信息的网站
提供有关黑客技术和网络犯罪的建议
FraudGPT标志着一个危险的,民主化和武器化生成人工智能工具时代的开始。虽然FraudGPT当前的迭代版本还无法与朝鲜陆军精锐侦察总局网络战121部队等国家黑客组织的先进情报技术媲美,但其快速提升入门级攻击者的能力有目共睹。
凭借订阅模式,FraudGPT的用户数在短短数月内就超过了最先进的国家网络战部队,例如朝鲜的121部队,据《纽约时报》报道,仅该部队就拥有约1700名黑客。
虽然FraudGPT目前还不能像规模更大、更复杂的国家黑客部队那样构成迫在眉睫的威胁,但它推动的新手攻击尝试正呈指数级增长,此类攻击通常从“最软”的目标开始,例如教育、医疗和制造业。
武器化人工智能改变网络安全的五大方式
基于生成式人工智能的网络攻击工具正在推动网络安全供应商及其企业客户加快步伐,力图在这场人工智能军备竞赛中保持竞争力。随着FraudGPT的异军突起,网络攻击者数量快速增加,首先受到冲击的就是“身份”。
生成式人工智能对基于身份的安全方法构成了真正的威胁。事实证明,前者可以有效地利用深度造假技术冒充首席执行官,并精心策划社会工程攻击,以获取特权访问凭证。FraudGPT正在通过以下五种方式颠覆网络安全攻防态势,为我们勾勒出武器化人工智能的未来:
1.自动化社会工程和网络钓鱼攻击
FraudGPT展示了生成式人工智能生成“高质量”、令人信服的社会工程和网络钓鱼剧本(或场景)的能力,这些剧本和场景能够误导受害者,窃取他们的身份和公司网络访问权限。例如,攻击者要求ChatGPT编写有关成功的社会工程或网络钓鱼策略如何运作的科幻故事,欺骗大语言模型提供攻击指导。
据VentureBeat报道,网络犯罪团伙和国家黑客组织经常用外语(非英语)查询ChatGPT和其他大语言模型,这样该模型就不会像英语查询那样有效地拒绝潜在攻击场景的上下文。暗网上还有一些专门从事提示工程的团体,教攻击者如何绕过大语言模型的护栏来生成社会工程攻击和支持电子邮件。
2.挖掘漏洞、生成恶意软件
FraudGPT已被证明能够生成针对特定受害者的网络端点和更广泛的IT环境量身定制的恶意脚本和代码。新手攻击者也可以使用FraudGPT来快速了解最新的威胁技术,以学习并部署攻击场景。这意味着企业必须加倍努力确保其网络卫生和端点安全。
人工智能生成的恶意软件可以绕过大多数传统网络安全系统,因为后者在设计上并不能识别和阻止这种新威胁。根据最新发布的CrowdStrike威胁指数,无恶意软件攻击占的所有检测的攻击的71%,这表明攻击技术在广泛采用生成式人工智能之前就已经开始变得日益复杂。整个网络安全行业近期发布的新产品也表明了对抗恶意软件是网络安全行业当下的高优先级任务,包括AmazonWebServices、Bitdefender、Cisco、CrowdStrike、Google、IBM、Ivanti、Microsoft和PaloAltoNetworks等公司都发布了基于人工智能的安全平台增强功能,以识别恶意软件攻击模式,减少误报。
3、网络犯罪资源自动发现
相比手动研究,生成式人工智能将大大缩短漏洞挖掘、收集受损凭证、学习新的黑客工具以及掌握复杂网络犯罪技能所需的时间。各种技能水平的攻击者都将使用人工智能工具来发现未受保护的端点,攻击未受保护的威胁面,并根据人工智能工具的建议发起有效网络攻击。
除了身份之外,端点也面临更多攻击威胁。一些CISO选择将自愈端点作为整合策略和提高网络弹性能力的核心,尤其是在依赖物联网传感器的混合IT和运营技术(OT)环境中。目前宣称拥有自我修复端点技术产品的供应商包括AbsoluteSoftware、Cisco、CrowdStrike、Cybereason、ESET、Ivanti、Malwarebytes、微软、Sophos和趋势科技等。
4.人工智能驱动的防御规避才刚刚开始
武器化的生成式人工智能仍处于初级阶段,FraudGPT也才刚刚起步。但没有人怀疑,更先进、更致命的工具即将到来。不久的将来,攻击者将大量使用生成式人工智能技术来逃避端点检测和响应系统,并开发可以绕过静态签名检测的恶意软件变体。(防御者根据云端实时遥测数据识别异常行为以及监控每个端点将变得尤为关键)。
网络安全供应商必须优先考虑统一端点和身份,以保护端点攻击面。此外,使用人工智能来保护身份和端点至关重要。许多CISO正致力于将进攻驱动的战略与技术整合相结合,以获得对所有威胁面更加实时、统一的视图,同时提高技术堆栈的效率。96%的CISO计划整合其安全平台,其中63%表示XDR(扩展检测和响应)是他们解决方案的首选。
5.检测和归因更加困难
FraudGPT和未来的武器化生成式人工智能工具将使检测和归因变得更加困难。由于不涉及硬编码,安全团队将很难根据取证工件或证据将人工智能驱动的攻击归因于特定的威胁组织或活动。更强匿名能力和更低的检测率意味着更长的攻击驻留时间,攻击者将能执行“低而慢”的攻击,这是针对高价值目标的高级持续威胁(APT)攻击的典型方法。武器化的生成式人工智能工具最终将使每个攻击者都具备APT攻击能力。
2023年8月18日 星期五
今日资讯速览:
1、游戏黑产账号量达8.1亿 同比增长26%
2、谷歌推出首个抗量子硬件密钥
3、俄乌冲突下APT29黑客组织再度活跃,欧美外交使团遭恶意袭击
1、游戏黑产账号量达8.1亿 同比增长26%
最新发布的《2022上半年游戏安全洞察报告》显示,2023年上半年,检测到的黑产帐号量超过8.1亿次,同比上升26%。该数据由腾讯游戏安全统计所得,据称,游戏黑产账号主要通过一些违规脚本在游戏进行各类违规行为,破坏游戏的平衡性。这份报告揭示了当前游戏行业面临的复杂安全环境,也是业务安全的游戏行业的突出体现。
2、谷歌推出首个抗量子硬件密钥
谷歌本周三宣布推出首个开源的抗量子(量子弹性)FIDO2安全密钥,该产品是谷歌OpenSK安全密钥计划的一部分。
谷歌研究人员Elie Bursztein和Fabian Kaczmarczyck表示:“该密钥的开源硬件优化实现使用了一种新颖的ECC/Dilithium混合签名模式,该模式受益于ECC面对常规攻击的安全性以及Dilithium抵御量子攻击的弹性。”
OpenSK是用Rust编写的安全密钥的开源实现,支持FIDO U2F和FIDO2标准。
不到一周前,谷歌表示计划在Chrome116中添加对抗量子加密算法的支持,以在TLS连接中设置对称密钥。
抗量子硬件密钥的问世是网络安全业界推广和普及抗量子加密算法的一次重大突破。
谷歌表示:“幸运的是,随着最近包括Dilithium算法在内的公钥量子弹性加密技术的标准化,我们现在有了一条明确的途径来保护安全密钥免受量子攻击。”
与Chrome的混合机制(X25519和Kyber-768的组合)类似,谷歌提出的FIDO2安全密钥实现是椭圆曲线数字签名算法(ECDSA)和最近标准化的抗量子签名算法Dilithium的混合。
谷歌与苏黎世联邦理工学院合作开发的混合签名模式是一种基于Rust的内存优化实现,仅需要20KB内存,非常适合在安全密钥受限的硬件上运行。
谷歌表示:“希望看到这种实现(或其变体)能作为FIDO2密钥规范的一部分进行标准化,并得到主要网络浏览器的支持,以便保护用户的凭据免受量子攻击。”
参考链接:
https://security.googleblog.com/2023/08/toward-quantum-resilient-security-keys.html
3、俄乌冲突下APT29黑客组织再度活跃,欧美外交使团遭恶意袭击
最新研究表明,黑客对北约国家政府机构进行间谍活动的最新尝试包括与俄罗斯相关的Duke恶意软件的变种。根据荷兰网络安全公司EclecticIQ的一份报告,最近的一次攻击活动利用两个恶意PDF文件针对北约联盟政府的外交部。
其中一份PDF 提供了Duke的一种变体,该恶意软件与俄罗斯国家资助的APT29网络间谍活动(也称为Nobelium、Cozy Bear和The Dukes)有关。另一个文件可能用于测试或侦察,因为它不包含有效负载,但如果受害者打开电子邮件附件,则会通知黑客。
研究人员表示,这些PDF伪装成德国大使馆的外交邀请,似乎是针对全球外交使团的更广泛活动的一部分。该报告并未直接将德国大使馆的诱饵归因于APT29,但确实指出了其他研究人员在该组织的活动中发现的一些操作细节。
恶意PDF中的电子邮件地址引用了真实的Web域bahamas.gov.bs。在7月中旬的一份报告中,网络安全公司Lab52注意到,黑客利用同一域名冒充挪威大使馆,通过邀请诱饵攻击外交实体。EclecticIQ研究人员“高度确信”冒充德国大使馆的PDF文件很可能是由同一威胁行为者制作的。
自俄乌战争爆发以来,莫斯科在欧洲的网络间谍活动不断升级。距离基辅最近的国家,如波兰、立陶宛和拉脱维亚,受到的影响最大。
APT29以利用合法的网络服务(如Microsoft OneDrive和Notion)进行恶意软件命令和控制(C2)而闻名。据EclecticIQ报道,在最近的这场战役中,攻击者使用了Zulip应用程序进行C2。
Zulip是一款开源聊天应用程序,使用亚马逊网络服务接收和发送聊天消息。黑客利用其API功能规避并将其活动隐藏在合法的网络流量后面。
APT29被认为是由俄罗斯对外情报局指挥的,该局从其他国家收集政治和经济信息。该黑客组织的主要目标是美国和欧洲的政府、政治组织、研究公司以及能源、医疗保健、教育、金融和技术等关键行业。在俄乌战争期间,APT29对乌克兰军方及其政党、外交机构、智库和非营利组织进行了网络攻击。
2023年8月17日 星期四
今日资讯速览:
1、南昌某高校发生数据泄露 因数量较大被罚款80万
2、房源数据服务商遭勒索软件攻击,美国房地产市场陷入混乱
3、中国科学院自动化所成功打造通用类脑 AI 引擎,登上《Patterns》期刊
1、南昌某高校发生数据泄露 因数量较大被罚款80万
8月16日,“南昌网警巡查执法”官方公号披露了一起高校数据泄露事件。通报称,涉案高校在开展数据处理活动中,未建立全流程数据安全管理制度,未采取技术措施保障数据安全,未履行数据安全保护义务,导致学校3000余万条含各类信息的数据库被黑客非法入侵。事件处罚依据《数据安全法》第四十五条,触发“造成大量数据泄露等严重后果”,为此,监管部门已对该校作出责令改正、警告并处80万元人民币罚款的处罚,对其主要责任人作出人民币5万元罚款的处罚。
2、房源数据服务商遭勒索软件攻击,美国房地产市场陷入混乱
安全内参8月16日消息,过去五天,美国加州一家房源挂牌服务提供商遭遇网络攻击,导致全国各地房屋买家、卖家、房地产经纪人和房源网站业务受阻。该公司提供一项关键在线工具,帮助房地产专业人士挂牌房源、查看待售房源、追踪挂牌房源。
这次攻击始于上周三(8月9日),袭击对象是位于加州的软件和服务提供商Rapottoni公司。该公司为加州乃至全美各地区房地产集团提供多重房源挂牌服务(也叫MLS),房地产经纪人可以实时获取各类房屋的销售数据,包括即将入市的房屋、购房报价以及已入市房屋的销售信息。多重房源挂牌服务在买家与卖家、经纪人和房源挂牌网站之间架起了重要桥梁。
公司遭受勒索软件攻击,持续多天系统仍未恢复
弗雷斯诺房地产经纪协会主席Brian Domingos在周一表示,Rapottoni公司在8月9日遭受黑客攻击,持续多天后服务器仍然处于离线状态。
加州索诺玛县房地产经纪人Peg King在上周五向客户发出电子邮件,写道:“如果你经常在房地产网站上刷新页面,你可能已经注意到,过去几天里这些网站活跃度明显降低。上周三以来,全国范围内的房地产多重房源挂牌服务系统一直无法使用,因为主要的多重房源挂牌服务提供商Rapattoni公司遭受了一次大规模网络攻击。这意味着房地产市场无法挂出新房源、修改价格、标记房源状态(待售/在售/已售),或列出可带看日期。”
据辛辛那提市WCPO电视台报道,Rapattoni公司代表向各地区多重房源挂牌服务提供商发送备忘录,写道“正如我们先前通报所说,Rapattoni的生产网络受到了网络攻击。我们正不分昼夜,努力采取措施,尽快恢复系统。我们也在积极调查事件的性质和范围。我们高度重视所掌握信息的机密性、隐私性和安全性。我们将所有技术资源都投入其中。目前,恢复时间暂时还不能确定。但是,我们将继续发布最新通告,让您了解我们的应对措施。”
Rapattoni公司在上周日披露:“我们在继续调查这次网络攻击的性质和范围。这次攻击导致系统中断。我们正在不懈努力,全力恢复系统。我们所有可用的技术人员都在周末加班工作,直到问题解决为止。目前,恢复时间暂时还不能确定。但是,我们将继续发布最新通告,让您了解我们的应对措施。”
虽然Rapattoni公司将此事称为网络攻击,但媒体普遍报道这是一次勒索软件攻击。比如房地产信息网站Inman报道称,勒索软件攻击是导致系统中断的原因。Inman援引Rapattoni向其客户发送的消息,称联邦当局正在展开调查,其保险公司正在与“勒索软件个体”进行协商。
美国数十万房产经纪人工作受影响
这次攻击影响了全美数十万名多重房源挂牌服务会员经纪人。到目前为止,Rapattoni尚未公布关闭事件的具体类型或其他细节,也没有说明个人信息是否遭到了泄露。
这次系统中断明确提醒大家,一旦重要服务被黑,大批依赖这项服务的人员或企业将面临现实干扰。
人们纷纷采取各种措施以减少影响,房地产经纪人Peg King在一封电子邮件中写道:“我们被迫多开面对面会议,在会上分享新挂牌房源、降价信息、买家需求等等。当然,针对个人客户,我们也会打电话谈这些事情。”
“根据Rapattoni官网,至少有34个来自12个州的其他房地产组织订阅了该公司的实时信息服务。除了弗雷斯诺房地产经纪协会,此次攻击还影响了加州多重房源挂牌服务系统,系统会员包括贝克斯菲尔德、湾区房地产信息服务、旧金山房地产经纪协会等。弗雷斯诺房地产经纪协会以及许多其他受影响的多重房源挂牌服务系统正在寻找解决方案。Brian Domingos表示,“我们正在手动将新房源和可带看日期提交给弗雷斯诺房地产经纪人协会人员,他们会每小时更新信息,向员经纪人提供最新信息。”他还写道。
BAREIS是一家经纪人拥有的多重房源挂牌服务商,专门为北加州房地产专业人士提供服务。BAREIS总裁兼首席执行官KB Holmgren表示,8月8日以来,他们提供的多重房源挂牌服务数据没有更新。她还没有收到Rapattoni关于何时会更新数据的消息。
KB Holmgren写道,“BAREIS已经采取了许多变通方法,让会员保持信息畅通。比如让会员访问包含其所在县多重房源挂牌数据的备选数据库。我们已经建立了临时系统,用于发布新房源、可带看日期和经纪人参观活动。”
并不是所有地区的房源挂牌服务都受到影响,因为一些地区的数据供应商并不是Rapattoni。全美范围内有数百家多重房源挂牌服务商。数据显示,Rapattoni提供了其中约5%的服务。如果未来几天内无法恢复服务,这次系统中断可能会给经纪人、买家、租户和卖家造成更严重的影响。
参考资料:https://arstechnica.com/security/2023/08/5-days-on-cyberattack-on-data-provider-stymies-realty-markets-throughout-the-us/
3、中国科学院自动化所成功打造通用类脑 AI 引擎,登上《Patterns》期刊
IT之家 8 月 17 日消息,据《科技日报》周二报道,中国科学院自动化研究所的研究人员成功打造类脑认知智能引擎“智脉”,并全面开源、开放。
据报道,“智脉”是一个基于类脑脉冲神经网络的 AI 与脑模拟计算平台,以多尺度生物可塑性原理为基础,支持全脉冲神经网络建模,具备脑启发的 AI 模型及脑功能和结构模拟能力。同时,该平台还将为探索面向通用 AI 的类脑智能研究提供基础支撑,并将助力探索自然智能的计算本质和新一代 AI 的发展。
此外,“智脉”的相关研究成果也已经以封面文章的形式在《Patterns》期刊上发表。(IT之家注:《Patterns》期刊是《细胞》(Cell)旗下主打生物学、化学和药学领域数据科学的子刊)
据论文通讯作者、中国科学院自动化研究所研究院曾毅表示,“智脉”旨在深入探究大自然的智慧如何形成,并希望通过其模拟乃至超越人类的高级认知能力:如类人概念学习、复杂决策、认知与情感共情以及道德和利他等社会智能。
其称,该团队的长远科学愿景,是通过计算建模研究生物智能并研制结构与机制类脑、认知功能类人的类脑 AI,最终实现 AI 与人和谐共生。
2023年8月16日 星期三
今日资讯速览:
1、微信公众平台:开发者需同意小程序隐私保护规则,才可调用隐私接口
2、全球最大金矿和钼矿厂遭网络攻击:生产受到部分影响
3、研究人员披露macOS后台任务管理机制的漏洞
1、微信公众平台:开发者需同意小程序隐私保护规则,才可调用隐私接口
IT之家 8 月 14 日消息,微信公众平台运营中心宣布,自 2023 年 9 月 15 日起,对于涉及处理用户个人信息的小程序开发者,微信要求,仅当开发者主动向平台同步用户已阅读并同意了小程序的隐私保护指引等信息处理规则后,方可调用微信提供的隐私接口。
开发者首先需确定小程序是否涉及处理用户个人信息,如涉及,则需配置用户隐私授权弹窗,且仅有在平台《小程序用户隐私保护指引》中声明了所处理的用户个人信息,才可以调用平台提供的对应接口或组件。
IT之家附隐私协议设置整体流程:
一、设置《小程序用户隐私保护指引》
开发者需在「小程序管理后台」设置《小程序用户隐私保护指引》。
图源微信公众平台运营中心(下同)
二、填写《小程序用户隐私保护指引》
只有在指引中声明所处理的用户个人信息,才可以调用平台提供的对应接口或组件。若未声明,对应接口或组件将无法调用成功。
三、配置用户隐私授权弹窗
微信提供了 wx.onNeedPrivacyAuthorization(function callback) 接口,意为用户触发了一个微信侧未记录过同意的隐私接口调用,开发者可通过响应该事件选择提示用户的时机。
此外,微信还提供了 wx.requirePrivacyAuthorize(Object object) 接口,可用于模拟触发 onNeedPrivacyAuthorization 事件。小程序开发者可自行设计提示方式与触发时机。
四、如要进行代码提审,开发者需先自行声明是否有采集用户隐私,如有,则需在提审页面-「用户隐私保护设置」选择“采集用户隐私”
2、全球最大金矿和钼矿厂遭网络攻击:生产受到部分影响
安全内参8月15日消息,美国矿业巨头自由港·麦克莫兰铜金公司(Freeport-McMoRan Inc. 简称FCX)在上周五宣布,正在调查一起影响其信息系统的网络安全事件。公司表示,正在评估事件影响,积极采取解决措施,并与“第三方专家和执法部门密切合作”。
自由港·麦克莫兰铜金公司总部位于美国亚利桑那州凤凰城的自由港·麦克莫兰中心,通常被称为自由港公司。
该公司在网络安全动态通报中称:“事件对生产影响有限。”正在计划和实施过渡性解决方案,以尽快保护信息系统的安全。公司将继续将安全和负责任的生产实践放在首位。
据The Gila Herald报道,一位匿名的自由港公司员工表示,攻击发生在上周四夜间,导致公司计算机系统关闭。讽刺的是,这位工人表示,公司网络本身就不稳定,反而有助于他们解决网络攻击问题。公司几年前与微软合作,要求员工使用应用程序进行身份验证。但是,这个应用程序似乎的效果并不理想。
作为世界上最大的钼生产商、主要铜生产商,自由港公司业务并不局限于南北美洲。他们还经营着全球最大金矿——位于印度尼西亚巴布亚省的格拉斯伯格矿。公司表示,如果事件造成持续干扰,未来运营会受到影响。
今年早些时候,加拿大铜山矿业公司发布运营动态通报,表示去年12月份,铜山矿山和办公室的信息技术系统收到勒索软件攻击影响。该公司确认已经恢复生产;即便在停工期间,公司也始终按照计划好的装运时间表,利用矿山库存向温哥华港运送铜精矿。
去年6月,威胁情报公司Mandiant确认并调查了一系列信息操作行动,将它们归因于席卷各大社交媒体的Dragonbridge活动。该活动针对的是澳大利亚稀土矿业公司莱纳斯稀土有限公司(Lynas Rare Earths Ltd.),主要批评该公司的环境表现,呼吁人们抗议该公司计划在美国德克萨斯州建设的稀土加工设施。
上周,微软网络物理系统团队研究人员确认,CODESYS V3 SDK中存在多个高危漏洞。这是一款广泛用于编程和设计可编程逻辑控制器(PLC)的软件开发环境。如果这些漏洞被利用,会影响版本号为3.5.19.0之前的所有CODESYS V3软件,可能使OT基础设施面临远程代码执行和拒绝服务等攻击。
参考资料:https://industrialcyber.co/mining-oil-gas/hackers-strike-mining-company-freeport-leading-to-limited-impact-on-production/
3、研究人员披露macOS后台任务管理机制的漏洞
安全研究人员发 Apple macOS后台任务管理机制存在漏洞,该机制可能被利用来绕过该公司最近添加的监控工具。Apple的后台任务管理工具专注于监视软件“持久性”。恶意软件可以设计为短暂的,仅在设备上短暂运行或直到计算机重新启动为止。但它也可以被构建为更深入地建立自身并“坚持”目标,即使计算机关闭并重新启动也是如此。当某些东西持续自行安装时,可能导致任何复杂的恶意软件都可以轻松绕过监控。
2023年8月15日 星期二
今日资讯速览:
1、攻击我国地震监测系统的美国黑手已被锁定
2、欧美联手拆除防弹托管服务提供商Lolek Hosted,数十万实体遭攻击
3、福特、林肯汽车信息娱乐系统爆漏洞 官方表示不影响驾驶安全
1、攻击我国地震监测系统的美国黑手已被锁定
聚中央政法委14日消息,针对7月26日武汉市应急管理局地震监测中心报警的网络攻击事件,国家计算机病毒应急处理中心和360公司组成的联合调查组已取得新进展,发现了符合美国情报机构特征的后门恶意软件。下一步有关机构将向外界公开披露美国政府一直处于高度保密的某全球侦察系统,其对我国和世界各国国家安全和世界的和平安全都构成严重安全威胁。
2、欧美联手拆除防弹托管服务提供商Lolek Hosted,数十万实体遭攻击
欧洲和美国执法机构的联合行动拆除了防弹托管服务提供商Lolek Hosted。Lolek Hosted用于促进信息窃取恶意软件的分发,以及发起DDoS(分布式拒绝服务)攻击、管理虚拟网店、管理僵尸网络服务器和在全球范围内分发垃圾邮件。
这场行动中波兰当局逮捕了五名行政人员。嫌疑人用“你可以在这里托管任何东西!”和“禁止登录政策”等口号为该服务做广告,他们接受加密货币付款。
欧洲刑警组织发布的公告中写道:“本周,在卡托维兹地区检察官办公室的监督下,波兰中央网络犯罪局对LolekHosted.net采取了行动,它的五名管理员被逮捕,所有服务器都被没收,LolekHosted.net不再可用。这是在欧洲刑警组织和美国联邦调查局(FBI)支持的一项复杂调查之后,在打击网络犯罪方面取得的最新成功。”
据波兰警方称,Lolek Hosted服务被用于针对数十万私人实体和公共机构,他们遭受的损失高达数百万美元。
应卡托维兹地区检察官办公室的请求,卡托维兹沃绍德地区法院对两名被拘留者采取了审前拘留三个月的预防措施。其余3名被拘留人采取了警察监督、财务担保和禁止出境等预防措施。
该服务的创始人Artur Karol Grabowski(36岁)提供了“防弹”网络托管,通过允许客户使用虚假信息注册账户,不维护客户服务器的互联网协议(IP)地址日志,为LolekHosted客户的犯罪活动提供了便利,频繁更改客户端服务器的IP地址,无视第三方对客户端的滥用投诉,并通知客户端从执法部门收到的法律查询。域名“LolekHosted.net”于2014年注册,他允许客户托管“除儿童色情外的所有内容”。
据司法部称,NetWalker勒索软件运营商也使用了该服务。NetWalker勒索软件的部署是针对大约400个组织和企业的攻击,包括市政当局、医院、执法和应急服务部门、学区、学院和大学,导致支付了5000多个比特币赎金(目前价值约1.46亿美元)。
据估计,LolekHosted客户端使用这些服务执行了大约50次NetWalker勒索软件攻击。
如果所有罪名成立,格拉博夫斯基将面临最高45年监禁的处罚。起诉书还通知格拉博夫斯基,美国正在寻求没收2150万美元的犯罪所得。目前,格拉博夫斯基仍然在逃。
3、福特、林肯汽车信息娱乐系统爆漏洞 官方表示不影响驾驶安全
福特警告称,许多福特和林肯汽车所使用的YNC3信息娱乐系统存在缓冲区溢出漏洞,编号CVE-2023-29468,位于系统集成的WiFi子系统的WL18xx MCP驱动程序中,该漏洞允许WiFi范围内的攻击者使用特制的帧触发缓冲区溢出,但官方表示车辆驾驶安全不会受到影响。SYNC3是一款现代信息娱乐系统,支持车载 WiFi 热点、电话连接、语音命令、第三方应用程序等。
2023年8月14日 星期一
今日资讯速览:
1、开发下一代网络安全技术!白宫发起人工智能网络安全挑战赛
2、120,000封钓鱼邮件窃取微软365账户,高管成主要目标
3、下一个 Netflix?迪士尼可能打击密码共享行为
1、开发下一代网络安全技术!白宫发起人工智能网络安全挑战赛
本周四,在拉斯维加斯举行的BlackHat黑客大会上,拜登政府宣布启动为期两年的“人工智能网络安全挑战赛”(AIxCC),探索如何基于AI开发颠覆性的下一代网络安全解决方案,用来保护美国最重要的软件,包括运行互联网和关键基础设施的计算机代码。
用AI开发下一代网络安全技术
“人工智能网络安全挑战赛”由国防高级研究计划局(DARPA)牵头,Anthropic、谷歌、微软和OpenAI合作。两家公司将为参赛者提供业界最强大AI模型用于设计全新的和颠覆性的网络安全方案,并为获胜者提供近2000万美元的高额奖金。为了确保广泛的参与和公平的竞争环境,DARPA还将向想要参赛的小企业提供700万美元经费。
AIxCC的预选赛将于2024年春季举行,得分最高的队伍(最多20支)将受邀参加DEFCON2024的半决赛。其中得分最高的队伍(最多5支)将获得奖金并继续进入DEFCON2025举行的决赛阶段。决赛中得分前三名的选手将获得额外的奖金。
白宫表示,顶级参赛者将开发下一代网络安全解决方案,为美国乃至全球网络安全市场带来意义重大的变革。
根据一份新闻稿,AIxCC挑战“将展示人工智能的潜在优势,帮助保护整个互联网和整个社会使用的(关键基础设施)软件,从美国的电网到驱动日常生活的交通系统。”
用AI加强关键基础设施软件安全
白宫科技政策办公室主任阿拉蒂·普拉巴卡尔(AratiPrabhakar)在媒体吹风会上表示:“这项竞赛将吹响号召各类创意人才积极参与加强美国企业和社会关键软件安全的号角。”
普拉巴卡尔指出,近二十年来,DARPA不断发起此类有奖挑战赛,以广泛吸引“企业中有才华的人参与竞争,解决极其困难的问题。这是政府和私营企业共同努力改变未来的发展方式之一,这也是白宫要求DARPA关注网络安全人工智能这一关键议题的原因。”
Linux基金会的一个项目开源安全基金会(OpenSSF)将担任挑战顾问,这有助于确保获胜的软件代码立即得到使用,保护美国最重要的软件和美国人民的安全。
从AI安全到安全AI
DARPA信息创新办公室项目经理PerriAdams表示,网络防御者“的任务是保护令人畏惧的技术迷宫,而如今,他们没有能够实现大规模安全防护的工具。”尽管当今的IT技术存在大量漏洞,但最先进的人工智能技术在保护代码方面已经展现出巨大潜力。”
新闻稿补充说,这一声明是“拜登-哈里斯政府更广泛承诺的一部分,旨在确保利用人工智能的力量来应对国家面临的巨大挑战,并安全、负责任地开发人工智能,以保护美国人免受伤害和歧视。”
上个月,拜登政府获得了七家领先人工智能公司的自愿承诺,以管理人工智能模型的短期和长期风险。来自OpenAI、亚马逊、Anthropic、谷歌、Inflection、Meta和微软的代表在白宫签署了此项承诺。这些承诺包括确保产品在向公众推出之前是安全的——在发布之前对人工智能系统进行内部和外部安全测试,以及管理人工智能风险的信息共享。
今年早些时候,拜登政府宣布多家人工智能公司承诺将在DEFCON2023上参与对大型语言模型(LLM)的独立公开评估(符合负责任的披露原则)。这项活动将于本周晚些时候开始,这也将是网络安全行业首次对业界最顶尖的大语言模型进行公开评估,这有利于推进更安全、更透明的人工智能开发。
此外,白宫表示正在制定一项行政命令,并将寻求两党立法,以帮助美国在全球负责任的人工智能创新方面发挥引领作用。
2、120,000封钓鱼邮件窃取微软365账户,高管成主要目标
据观察,EvilProxy向100多个组织发送了120000封钓鱼电子邮件,以窃取微软365账户。Proofpoint注意到,在过去五个月里,云账户泄露激增,令人担忧。大多数袭击的目标是高级管理人员。这场运动的目标是全球100多个组织,共影响150万员工。
大约39%的受害者是C级高管,其中17%是首席财务官,9%是总裁和首席执行官。Proofpoint发布的帖子中写道:“黑客利用了EvilProxy,这是一种基于反向代理架构的网络钓鱼工具,黑客可以窃取受MFA保护的凭据和会话cookie。”这种日益严重的威胁将复杂的中间对手网络钓鱼与先进的账户接管方法相结合,以组织越来越多地采用多因素身份验证。
研究人员观察到,在拥有MFA保护的租户中,账户接管显著增加,在过去一年中,至少35%的受损用户启用了MFA。大规模的黑客依赖于品牌模仿、规避技术和多步骤感染链。
ReSecurity研究人员于2022年9月发现了EvilProxy,它与几位著名的地下行为者开发的网络钓鱼工具包有一定联系,他们以前曾针对金融机构和电子商务部门。
EvilProxy使用反向代理和Cookie注入方法绕过2FA身份验证——代理受害者的会话。此前,此类方法已在APT和网络间谍组织的有针对性的活动中出现,然而,现在这些方法已在EvilProxy中成功生产,这突出了针对在线服务和MFA授权机制的攻击增长的重要性。
该活动中使用的攻击链始于从伪造的电子邮件地址发送的网络钓鱼电子邮件。黑客模拟已知的可信服务,如Concur、DocuSign和Adobe。网络钓鱼邮件包含指向恶意Microsoft 365网络钓鱼网站的链接。点击嵌入链接后,收件人会通过YouTube或SlickDeals进行开放重定向,然后进行一系列重定向以避免被发现。
最终,用户流量会被引导到EvilProxy网络钓鱼框架。登录页起到反向代理的作用,模仿收件人品牌,并试图处理第三方身份提供商。如果需要,这些页面可能会请求MFA凭据,以便于代表受害者进行真实、成功的身份验证,从而验证收集到的凭据是否合法。
研究人员注意到,袭击的流量取决于受害者的地理位置。来自土耳其IP地址的用户流量被引导到合法网页,这种情况表明,这场运动背后的黑客总部似乎设在土耳其。
报告最后总结道:“黑客不断寻求新的方法来窃取用户的凭据并访问有价值的用户帐户。他们的方法和技术不断适应新的安全产品和方法,如多因素身份验证。即使是MFA也不是应对复杂威胁的灵丹妙药,可以通过各种形式的电子邮件绕过MFA攻击。”
3、下一个 Netflix?迪士尼可能打击密码共享行为
Hackernews 编译,转载请注明出处:
迪士尼可能成为第二家打击密码共享的公司。Netflix从今年年初就开始这么做了,而且相当成功。
迪士尼首席执行官鲍勃·伊格尔在周三的财报电话会议上表示,该公司正在“积极探索解决账户共享问题的方法”。
艾格表示,迪士尼“将在今年晚些时候开始用额外的条款和分享政策更新我们的订阅协议”,并将在2024年“推出货币化的策略”。
业内专家表示,这只意味着迪士尼对流媒体平台Disney+和其他服务上的密码共享进行打击。Netflix已经对用户向家庭以外的人共享自己的账户行为收取额外费用。
令人惊讶的是,许多用户被Netflix威胁取消他们的会员资格,此举似乎奏效了。这家流媒体巨头在美国—其最大的市场,开始实施新规则后,新订阅量大幅增加。
在打击行动之前,Netflix估计全球有超过1亿户家庭存在共享账户行为。
艾格没有透露有多少用户在迪士尼的频道上做同样的事情,但他补充说,这个数字很大。他还表示,该公司拥有监控登录的“技术能力”,并计划在2024年“解决这个问题”。
迪士尼最近的订阅量大幅下降,这或许可以解释为什么该公司要从订阅者那里榨取更多的钱。
迪士尼+的全球订阅量从1.578亿下降到第二季度的1.461亿,下降了1170万,是上个季度纪录降幅的两倍多。美国和加拿大用户减少了30万,用户数量降至4600万。
不过,大部分的订户损失来自印度。迪士尼+ Hotstar在印度的订户减少了24%,从5290万减少到4040万。
由于迪士尼失去了印度重要板球联赛—印度超级联赛(Indian Premier league)的转播权,这一降幅在意料之中。维亚康姆(Viacom)和印度信实工业(Reliance Industries)的合资企业Viacom18以26亿美元的高价获得了这些权利。
2023年8月11日 星期五
今日资讯速览:
1、DARPA启动为期两年的竞赛 以建立人工智能驱动的网络防御系统
2、航旅业大地震:常旅客积分系统曝严重漏洞
3、印度通过数据保护法案
1、DARPA启动为期两年的竞赛 以建立人工智能驱动的网络防御系统
美国国防部高级研究计划局(Defense Advanced Research Projects Agency,DARPA)计划发起一项为期两年的竞赛--人工智能网络挑战赛(AI Cyber Challenge),作为白宫正在实施的提高软件安全性计划的一部分,该竞赛将要求参赛者利用人工智能识别并修复软件漏洞。
人工智能网络挑战赛将与人工智能初创公司Anthropic和OpenAI以及微软和Google合作,让美国的参赛团队利用人工智能来确保"重要软件"(特别是关键基础设施代码)的最佳安全。Linux 基金会的开源安全基金会(OpenSSF)将担任挑战赛顾问,1850 万美元的奖金将颁发给最优秀的参赛者。
DARPA 表示,它还将为最多七家希望参赛的小型企业提供每人 100 万美元的奖金。
"我们希望创建能够自动防御任何类型软件攻击的系统,"DARPA 项目经理佩里-亚当斯(Perry Adams)在昨天的新闻发布会上对记者说,他是人工智能网络挑战赛的构想者。"最近在人工智能方面取得的成果,如果以负责任的方式加以利用,我认为在保护我们的代码安全方面具有非凡的潜力。"
亚当斯指出,关键软件中越来越多地使用开源代码。GitHub 最近的一项调查显示,高达 97% 的应用程序利用了开源代码,90% 的公司正在以某种方式应用或使用开源代码。
开放源代码的普及带来了创新的爆炸式增长。但同时也为破坏性的新漏洞和漏洞利用打开了大门。Synopsys 公司 2023 年的一项分析发现,84% 的代码库至少包含一个已知的开源漏洞,91% 的代码库拥有过时版本的开源组件。
Sonatype 的一项研究发现,2022 年,供应链攻击的数量同比增长了 633%。
去年,拜登-哈里斯政府发布了一项行政命令,以提高软件供应链的安全性,并成立了一个网络安全安全审查委员会,负责分析网络攻击,并就未来的保护措施提出建议。2022 年 5 月,白宫联合开源安全基金会和 Linux 基金会,呼吁在两年内提供 1.5 亿美元资金,以解决突出的开源安全问题。
但随着人工智能网络挑战赛的启动,拜登政府显然认为人工智能在网络防御中可以发挥更大的作用。
亚当斯说:"人工智能网络挑战赛提供了一个机会,让我们探索当网络安全和人工智能领域的专家能够获得一套前所未有的跨公司综合资源时,会有哪些可能。如果我们取得成功,我希望看到人工智能网络挑战赛不仅能在这一领域产生下一代网络安全工具,还能展示如何通过在这里捍卫人工智能的关键基础来利用人工智能改善社会。"
虽然关于人工智能协助网络攻击的潜力--例如通过生成恶意代码--的文章已经写了很多,但一些专家认为,人工智能的进步可以使安全专业人员更高效地执行安全任务,从而有助于加强组织的网络防御。根据 Kroll 公司对全球商业领袖进行的一项调查,超过半数的商业领袖表示,他们正在最新的网络安全工作中使用人工智能。
参加人工智能网络挑战赛的团队将参加 2024 年春季的资格赛,得分最高的团队(最多 20 个)将受邀参加 2024 年年度 DEF CON 大会的半决赛。最多有 5 个团队将获得 200 万美元的奖金,并继续参加 2025 年 DEF CON 大会的决赛。最后一轮比赛的前三名将获得额外奖励,其中第一名将获得 400 万美元奖金。
所有获胜者都会被要求开源他们的人工智能系统--但不是必须。
人工智能网络挑战赛以白宫之前在今年的 EF CON 上宣布的模型评估为基础,该评估旨在确定类似 OpenAI 的 ChatGPT 的大型语言模型可被恶意利用的方式,如果运气好的话,还能找到解决这些漏洞的方法。此外,该评估还将衡量这些模型如何与拜登-哈里斯政府的"人工智能权利法案"蓝图和美国国家标准与技术研究院的人工智能风险管理框架中最近概述的原则和实践保持一致。
2、航旅业大地震:常旅客积分系统曝严重漏洞
Points.com是全球航空公司和酒店常旅客积分计划的主要数字基础设施提供商之一。近日,安全研究人员发现Points.com的API中存在可利用漏洞,攻击者可利用这些漏洞泄漏客户数据、窃取客户的“忠诚货币”(例如里程),甚至接管Points全球管理帐户获得对整个忠诚度计划的控制权。
知名航空公司和酒店通常有自己的常旅客或所谓忠诚度(积分)奖励计划,许多此类计划的数字基础设施(包括达美航空的“飞凡里程常客计划”、美联航的前程万里(MileagePlus)、希尔顿的荣誉客会和万豪旅享家)都搭建在Points.com的平台上,后端系统和服务套件包括API也都由Points.com提供。
黑客可授予任何用户无限里程
研究人员IanCarroll、ShubhamShah和SamCurry在今年3月至5月期间向Points报告了一系列严重漏洞,此后所有漏洞均已得到修复。
其中一个漏洞允许研究人员从PointsAPI基础设施的一个部分遍历到另一个内部系统,进而能够查询奖励计划客户订单。该系统包含2200万条订单记录,其中包含客户奖励帐号、地址、电话号码、电子邮件地址和部分信用卡号码等数据。Points.com对系统一次可以返回的响应数量进行了限制,这意味着攻击者无法立即转储整个数据库。但研究人员指出,随着时间的推移,查找特定个人或慢慢从系统中吸取数据是可能的。
研究人员发现的另一个漏洞是API配置问题,攻击者可能仅凭姓名和会员编号即可为任何用户生成帐户授权令牌。这两条数据可以来自以前的数据泄漏事件,也可以通过利用第一个漏洞获取。有了这个令牌,攻击者就可以接管客户帐户,并将里程或其他奖励积分转移给自己,从而“掏空”受害者的帐户。
研究人员还发现另外两个类似的漏洞,其中一个仅影响维珍航空的VirginRed常旅客计划,另一个仅影响美联航的前程万里常旅客计划。(Points.com已经修复了这两个漏洞)
最重要的是,研究人员在Points.com全球管理网站中还发现了一个漏洞,其中分配给每个用户的加密cookie使用了易于猜测的秘密(“秘密”一词本身,即secret)进行加密,这使得研究人员可以轻松解密Points.com的cookie,重新分配网站的全局管理员权限,重新加密cookie,并可开启“上帝模式”访问任何积分奖励系统,甚至授予帐户无限里程或其他好处。
行业共享平台成黑客重点目标
“令我惊讶的是,世界上几乎每个大品牌都使用Points的忠诚度积分系统,”Shah说道:“从这一点来看,我很清楚,发现Points系统中的漏洞将对每家使用其忠诚度后端的公司产生连锁效应。我相信,一旦其他黑客意识到以Points为目标意味着他们能在忠诚度系统上窃取无限的积分,Points.com将成为热门攻击目标。”
Points发言人CarrieMumford在一份声明中表示:“作为我们正在进行的数据安全活动的一部分,Points最近与一群熟练的安全研究人员合作,研究系统中潜在的网络安全漏洞。”“没有证据表明这些信息存在恶意或滥用行为,安全研究人员访问的所有数据均已被销毁。与任何负责任的披露一样,Points在得知该漏洞后立即采取行动,解决并修复所报告的问题。我们的补救措施已经通过第三方网络安全专家的审查和验证。”
发现漏洞的研究人员证实,Points的修复措施有效,而且Points在解决这些披露问题方面反应非常积极且协作。该小组之所以发掘Points的系统漏洞,部分原因是长期以来对忠诚奖励计划的内部运作感兴趣,其中一位安全研究人员本人甚至经营着一个优化里程和销售机票的旅游网站。该事件也从侧面表明安全研究人员开始将关注重点放在那些向众多企业或机构提供共享基础设施的行业平台上。
与此同时,越来越多的不法分子也开始将行业关键业务平台作为重点目标,进行供应链攻击并开展间谍活动,或发现广泛使用的软件和设备中的漏洞并利用它们进行网络犯罪攻击。
“我们正在努力寻找高影响力的系统和平台,因为这些平台一旦遭到攻击者入侵,可能会造成重大损失,”Curry说:“我认为很多公司掌握了超过预期的海量数据和系统,但他们不一定会认真评估自己的数据安全能力。”
参考链接:
https://samcurry.net/points-com/
3、印度通过数据保护法案
印度议会周三通过了数据保护法案,政府称需要该法案来监管大型科技公司并保护公民,但维权组织称该法案赋予新德里方面过大的权力。法案规定公司在收集用户的个人数据之前需征得同意,并规定公司仅能将数据用于既定目的。该法案允许政府限制将数据传输到印度境外,并对违反规定的公司进行处罚。数字平台维权组织 Access Now 指出,该法案并未设立独立的监管机构,而且让政府不必遵守该法案规定的义务。其中一项条款增加了政府封锁网络信息的能力,另一项条款则在一定程度上削弱了让公民从公共机构获取信息的透明度法律。
2023年8月10日 星期四
今日资讯速览:
1、黑帽大会焦点:风险投资减少、生成式AI炒作周期终结?
2、“每天100万克朗”挪威威胁重罚Meta
3、Google Messages应用现在将默认使用 RCS 并对群组聊天进行加密
1、黑帽大会焦点:风险投资减少、生成式AI炒作周期终结?
【编者按】今年是Black Hat USA举办的第26个年头,Black Hat USA重返拉斯维加斯曼德勒湾会议中心,举办为期6天的活动。该活动将以为期四天的专门网络安全培训(当地时间8月5日至10日)拉开帷幕,课程涵盖所有技能水平。为期两天的主题会议(8月9日至10日)将包括100多个精选演讲、数十个开源工具演示、丰富的商务、网络和社交活动等等。
以下内容摘编自SecurityWeek的特约编辑Ryan Naraine。
网络安全行业本周将在经济紧缩、混乱和兴奋的状态下前往拉斯维加斯参加黑帽大会。人工智能的前景能否克服炒作周期,真正解决安全问题?黑帽大会曾经是无可争议的最具突破性技术安全研究的中心,但现在不再像老前辈眼中那样享有盛誉。然而,尽管“黑客夏令营”失去了光彩并慢慢变成了网络安全企业产品的宣传与兜售,但它仍然是网络安全状况的重要晴雨表,因为有关裁员和风险投资资金减少的传言与零日漏洞、APT攻击和最新的黑客魔法。
2023年黑帽大佬将于本周在拉斯维加斯开幕,承诺将举行一系列主题演讲和技术会议,反映最新的进攻和防御趋势,但网络安全业务将成为焦点,因为陷入困境的初创公司将通过闪亮的展位和后期技术争夺注意力。
总体而言,网络安全正处于震惊和混乱的状态。该行业遭受了大规模裁员的打击,甚至在思科、微软和谷歌等现金充裕的公司也是如此。LinkedIn上,带有#OpenForWork徽章的个人资料照片明显增多,而美国政府则继续哀叹网络安全技能短缺。
风险投资资金减少
在风险投资融资方面,投资大幅放缓,特别是对于中后期初创企业而言,而交易价值持续下降。追踪风险投资活动的网站 Crunchbase的数据显示,今年第二季度对网络安全公司的投资降至略高于16亿美元,比去年同期下降了63%,当时初创公司的融资额为43亿美元。
Crunchbase表示:“这些数字只是最新的一次提醒,提醒我们风险投资环境在短短24个月内发生了多么巨大的变化。”他指出,投资数字标志着2019年第四季度以来的最低点,当时初创公司筹集了不到16亿美元。
Crunchbase数据与Pinpoint Search Group的计算结果同步,显示网络安全初创公司的资金同比下降了55%,DataTribe 的研究警告称,收入指标不佳、未盈利的初创公司“将需要寻找其他生存方式”。
尽管融资前景黯淡,但仍有风险投资公司对IAM、软件供应链和云安全细分领域进行了异常大的早期押注。与此同时,思科开始收购安全初创公司,投资者表示,经济环境迫使企业家对估值预期“更加现实”。
这些经济现实将成为Black Hat的前沿和中心,因为预算削减迫使营销团队在同事被解雇的情况下小心翼翼地回避超支的情况。在展会现场,展位预计会更小,并且没有昂贵的花哨的东西,而诸如CISO峰会等会外活动的议程则以网络安全经济学为特色。
生成式人工智能炒作
尽管如此,曼德勒湾不乏声称已经建立了世界上最伟大的平台来解决最大安全问题的供应商。从我收件箱中的公关宣传来看,安全供应商已经抓住了ChatGPT的炒作,推广“人工智能驱动”的新集成、工具和功能。
虽然人工智能的炒作可能很难被接受,但安全领导者仍然看好人工智能在网络安全领域创造跨越式技术的前景。
Jason Chan是一位资深安全主管,最后一次在Netflix负责IT和安全工作,他也是这一观点的信徒之一。“我认为现在我们看到了很多非常简单的效率提升。“帮助我更好地写这个东西”,或者“看看这个东西,创建一些测试数据”,一些非常非常简单的用例,”陈在最近的一次采访中告诉我。
“如果我尝试想象,比如说,十年后,我想你会看到更多真正智能的代码生成,你开始将计算机视为软件工程师。计算机将为你构建代码。”现担任风险投资机构Bessemer Venture Partners顾问的Chan说道。
“我很高兴看到BlackHat即将推出的产品,我认为您已经看到安全公司添加了ChatGPT集成,以使事情变得更加顺利,我期待看到一些非常有趣的自动化和分类技术来真正加快事情的进展,”陈补充道。
GitHub首席安全官兼工程高级副总裁Mike Hanley预计人工智能将成为今年黑帽大会的一大主题。
“这将是黑帽大会的一个大主题,我认为这将是未来几年的一个大主题。如果你看看人工智能在现实世界中的实施进展,我可以告诉你,Copilot在GitHub上的需求和兴趣正在蓬勃发展,这非常棒。但当你想象其他用例时,我的意思是,我真的很兴奋这对错误猎人、其他生产力需求、其他安全建议和功能意味着什么,”汉利宣称。
“这种体验不会因基于聊天的互动而停止。我认为这是人们可以与人工智能互动并从中受益的一种方式。”GitHub安全主管补充道。
“能够提出诸如‘这段代码中有多少错误?’之类的问题。或“告诉我这段代码的历史以及解决缺陷需要多长时间。” 我的意思是,在未来几年内,通过不同的人工智能体验,可能会得到一系列问题的答案。”
【闲话观点】
组织行为、心理学和认知科学教授理查德·博亚茨斯 (Richard Boyatzis) 博士认为:“你需要消极的关注才能生存,但积极的关注才能蓬勃发展。”这有助于解释大量关于生成式人工智能(通常被理解为ChatGPT、Google Bard、Microsoft Bing Chat等)的好、坏与丑陋。不可否认,生成式人工智能应用前景广阔,但仍处于早期阶段。现在思考好、坏和丑陋是一个过程,它为我们提供了“生存的消极焦点,以及蓬勃发展的积极焦点”。
2、“每天100万克朗”挪威威胁重罚Meta
挪威监管机构Datatilsynet7日表示,如果社交媒体脸书母公司Meta在8月14日前不能采取有效措施,妥善解决用户隐私泄露问题,将对其处以每天100万挪威克朗(约合70万元人民币)的罚款。
此前,Meta被控擅自利用挪威用户位置定向投放广告。Datatilsynet随后要求Meta进行整改,并禁止该公司利用旗下社交平台投放广告。Datatilsynet于7月17日宣布,Meta若无法满足该机构监管要求,解决用户隐私泄露问题,将被处以罚款。
报道称,如果相关处罚措施生效,Datatilsynet可以将罚款决定提交给欧洲数据保护委员会,并推动其成为永久性罚款,这可能导致处罚范围扩大到欧洲其他地区。(李昊霖)▲
3、Google Messages应用现在将默认使用 RCS 并对群组聊天进行加密
Google今天宣布,将通过改进 RCS(富通信服务)使其"Google信息"(Messages by Google)应用程序更加安全。RCS 是一种旨在取代短信的协议,其功能更接近苹果 iMessage 的高级功能。该公司表示,现在将把 RCS 作为"信息"应用新用户和现有用户的默认设置。此外,群组聊天的端到端加密现在已全面推广到所有 RCS 用户。
后者在今年经过早期测试后推出了开放测试版,但直到现在才全面推出。Google表示,通过这次更新,用户在信息中的所有对话,无论是一对一还是群聊,现在都将保持私密。
自2019年向美国Android用户推出RCS以来,Google一直在努力向苹果施压,希望苹果在自己的信息服务iMessage中采用这项技术。去年,Google甚至推出了一个网站,解释为什么 RCS 能让消费者受益,并指出:"这与气泡的颜色无关。而是模糊的视频、中断的群聊、丢失的已读收据和打字指示器、无法通过 Wi-Fi 发短信等等"。
Google接着指责苹果拒绝采用现代短信标准,损害了自己客户的体验,希望将消费者拉入自己的斗争中。
然而,苹果并不像Google所说的那样,只是在采用现代技术方面落后了。它知道,iMessage 是生态系统锁定的最大来源之一。对于苹果用户,尤其是年轻人来说,绿色气泡并不受欢迎。此外,正如该公司在法庭文件中表示的那样,它对制作 Android 版 iMessage 没有兴趣,因为它认为这对公司的伤害大于帮助。
苹果公司首席执行官蒂姆-库克(Tim Cook)甚至曾在一次会议上被问及,苹果公司是否会采用 RCS,以便用户的母亲能更好地看到他发送给她的视频。对此,他回答说:"给你妈妈买一部 iPhone吧。"
无论如何,Google在推进 RCS 方面的努力仍在继续。
Google表示,现在所有用户都将默认启用该功能,除非他们之前在设置中关闭了 RCS。帮助文档显示,在今天推出之后,用户还可以通过在"设置"中关闭 RCS 来继续选择退出。
启用 RCS 后,用户可以利用更高级的信息功能,如共享高清照片和视频;查看打字提示;获取已读回执;通过移动数据和 Wi-Fi 发送信息;重命名、编辑和从群聊中删除自己;以及使用端到端加密--iMessage 用户多年来一直拥有这些功能。
2023年8月9日 星期三
今日资讯速览:
1、国家网信办就《人脸识别技术应用安全管理规定(试行)》公开征求意见
2、英国内阁:网络领域风险巨大,未来两年关基设施或发生重大网络攻击
3、Facebook企业账号危机:Salesforce漏洞成黑客入侵新通道
1、国家网信办就《人脸识别技术应用安全管理规定(试行)》公开征求意见
据“网信中国”微信公众号8月8日消息,为规范人脸识别技术应用,根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规,国家互联网信息办公室起草了《人脸识别技术应用安全管理规定(试行)(征求意见稿)》,现向社会公开征求意见。《征求意见稿》共二十五条,重点针对公共场所使用人脸识别技术的场景进行了规定。
2、英国内阁:网络领域风险巨大,未来两年关基设施或发生重大网络攻击
安全内参8月8日消息,英国政府在近期发布的《2023年国家风险登记报告》中发出警告,严重网络攻击威胁正逼近国家关键基础设施。
这份综合报告涵盖了恶意和非恶意风险,共列出了9大领域的89种风险,其中网络领域仅次于恐怖主义,位列第二。报告中,英国面对的潜在网络威胁前景令人担忧。
该报告的主要依据是英国政府内部的国家安全风险评估。报告显示,未来两年内,关键基础设施有高达5-25%的概率遭遇重大网络攻击。
报告强调,网络攻击风险日趋复杂化,可能会对多个经济领域造成重大损害。具体来说,报告确定了一系列可能易受网络攻击威胁的目标。这包括天然气基础设施、电力基础设施、民用核设施、燃料供应基础设施、政府机构、卫生保健系统、交通运输系统和电信系统。
此外,报告还强调了国家行为者对英国金融基础设施(如零售银行)的潜在网络威胁。
报告预测的大多数攻击,会操纵、窃取或销毁对关键系统运营至关重要的数据。如果攻击目标是政府,还存在破坏公众信任和干扰选举的附加风险。
此外,报告还将人工智能标记为“长期风险”,引入了这一全新关注维度。报告指出,人工智能提出了持续挑战,可能会影响经济、社会和国家安全。
这也标志着英国首次将人工智能视作战略风险。英国政府认为人工智能具有深远的影响,可能会加剧错误信息传播并导致经济竞争力下降。因此,英国政府计划召开全球峰会,解决人工智能安全问题。
尽管报告内容较为全面,但一些批评人士表示,报告对人工智能风险的评估的缺乏细节。反对党议员Darren Jones批评称,该报告仅简要提到了人工智能,指责部长们未能制定应对人工智能危险的具体计划。Jones建议在国家安全委员会内设立一个人工智能小组委员会,负责监测人工智能相关风险。
英国副首相Oliver Dowden赞扬这份报告是有史以来最全面的风险评估。他强调,评估报告提供的见解,有助于政府及其合作伙伴制定强有力的计划和应对措施,从而确保国家安全。
3、Facebook企业账号危机:Salesforce漏洞成黑客入侵新通道
近期黑客挟持企业的facebook帐号的攻击行动,有不少是通过脸书广告,打着提供生成式AI机器人应用程序的名义,散布窃资软件来进行,但最近出现了更为复杂的手法。有人透过云端CRM平台Salesforce的漏洞下手,并将钓鱼网站架设于脸书脸书内嵌应用程序平台的域网域上,从而回避系统的侦测,并骗取受害组织的脸书帐号。
云平台的系统管理工具有可能遭到滥用,因此成为黑客的“木马程序”, 研究人员揭露利用AWS EC2系统管理工具System Manager的攻击手法,攻击者有可能透过这项工具管理其他组织的AWS EC2实体。
已被用于攻击Citrix NetScaler系统存在的零时差漏洞CVE-2023-3519,有研究人员揭露初步调查结果,他们找到640台服务器已被部署了后门,并强调这可能仅是受害范围的冰山一角。
Guardio揭露CRM平台Salesforce的漏洞PhishForce,黑客借此漏洞绕过该CRM平台的寄件人验证措施,并滥用脸书内嵌应用程序平台,来大规模发送钓鱼邮件。
研究人员指出,黑客滥用了Email-to-Case的功能,该功能主要是让组织能将客户寄入的电子信件转换为Salesfoce系统传递的处理工单,但黑客将其用来设置新的工作流程,进而控制Salesforce产生的电子邮件信箱,并产生 salesforce.com 域的内部信箱,且将其设置为组织全局的电子邮件信箱,然后用于发送钓鱼邮件, 而能绕过Salesforce的验证措施,以及组织设置的邮件安全系统。
在其中一起攻击行动里,黑客假借Meta的名义,声称收信人的脸书帐号出现异常,一旦依照指示点选信中链接,就会被带往架设在脸书内嵌应用程序平台(apps.facebook.com)的钓鱼网页。
对此,Salesforce获报后着手修补漏洞,Meta移除钓鱼网页,并着手调查黑客如何滥用该脸书内嵌应用程序平台。
2023年8月8日 星期二
今日资讯速览:
1、攻击者使用动态代码加载来绕过Google Play商店的恶意软件检测
2、Facebook企业账号危机:Salesforce漏洞成黑客入侵新通道
3、CBIZ公司被黑导致美国政府承包商Serco上万人信息泄露
1、攻击者使用动态代码加载来绕过Google Play商店的恶意软件检测
谷歌网络安全行动小组(GCAT)透露,发现有攻击者正在使用一种称为版本控制的技术来逃避恶意软件检测,该技术旨在绕过Google Play商店的恶意代码检测功能。GCAT称,攻击者首先会在谷歌商店中上传无害的安卓应用程序,随后利用动态代码加载(DCL)技术从攻击者控制的服务器推送更新以在最终用户设备上提供恶意代码来实现的,从而有效地将应用程序变成后门。谷歌建议Android用户仅从受信任的商店下载应用程序,并使设备的软件保持最新状态。
2、Facebook企业账号危机:Salesforce漏洞成黑客入侵新通道
近期黑客挟持企业的facebook帐号的攻击行动,有不少是通过脸书广告,打着提供生成式AI机器人应用程序的名义,散布窃资软件来进行,但最近出现了更为复杂的手法。有人透过云端CRM平台Salesforce的漏洞下手,并将钓鱼网站架设于脸书脸书内嵌应用程序平台的域网域上,从而回避系统的侦测,并骗取受害组织的脸书帐号。
云平台的系统管理工具有可能遭到滥用,因此成为黑客的“木马程序”, 研究人员揭露利用AWS EC2系统管理工具System Manager的攻击手法,攻击者有可能透过这项工具管理其他组织的AWS EC2实体。
已被用于攻击Citrix NetScaler系统存在的零时差漏洞CVE-2023-3519,有研究人员揭露初步调查结果,他们找到640台服务器已被部署了后门,并强调这可能仅是受害范围的冰山一角。
Guardio揭露CRM平台Salesforce的漏洞PhishForce,黑客借此漏洞绕过该CRM平台的寄件人验证措施,并滥用脸书内嵌应用程序平台,来大规模发送钓鱼邮件。
研究人员指出,黑客滥用了Email-to-Case的功能,该功能主要是让组织能将客户寄入的电子信件转换为Salesfoce系统传递的处理工单,但黑客将其用来设置新的工作流程,进而控制Salesforce产生的电子邮件信箱,并产生 salesforce.com 域的内部信箱,且将其设置为组织全局的电子邮件信箱,然后用于发送钓鱼邮件, 而能绕过Salesforce的验证措施,以及组织设置的邮件安全系统。
在其中一起攻击行动里,黑客假借Meta的名义,声称收信人的脸书帐号出现异常,一旦依照指示点选信中链接,就会被带往架设在脸书内嵌应用程序平台(apps.facebook.com)的钓鱼网页。
对此,Salesforce获报后着手修补漏洞,Meta移除钓鱼网页,并着手调查黑客如何滥用该脸书内嵌应用程序平台。
3、CBIZ公司被黑导致美国政府承包商Serco上万人信息泄露
据外媒日前报道,美国政府软件承办商Serco Group公司的美洲分公司Serco Inc披露了一起涉及上万人的数据泄露事件。Serco的客户包括美国国土安全部、司法部、国务院、美国情报机构和多个武装部队。本次数据泄露源于其福利管理提供商CBIZ的 MoveIT托管文件传输(MFT)服务器遭到攻击。攻击始于5月份,CBIZ在6月5日采取措施缓解该事件,Serco于6月30日获悉此次攻击和泄露事件。
2023年8月7日 星期一
今日资讯速览:
1、半数人工智能开源项目引用存在漏洞的软件包
2、新型数据盗窃恶意软件Rilide被曝光 针对Chrome浏览器
3、黑客利用电邮服务漏洞向Facebook用户发起钓鱼攻击
1、半数人工智能开源项目引用存在漏洞的软件包
根据EndorLabs的数据,开源在AI技术堆栈中发挥着越来越重要的作用,但大多数项目(52%)引用了存在已知漏洞的易受攻击的依赖项。
EndorLabs在最新的《软件依赖管理状态报告》声称,在发布仅五个月后,ChatGPT的API就被超过900个npm和PyPI软件包调用,其中70%是全新的软件包。
然而,EndorLabs警告说,任何开源项目,都必须重视和管理与易受攻击的依赖项相关的安全风险。
OstermanResearch首席分析师MichaelSampson表示:“EndorLabs的这份报告证明了风光无限的人工智能技术的安全性并未跟上其发展步伐。”
不幸的是,企业不仅低估了开源依赖项中人工智能API的风险,而且还低估了安全敏感API的风险。
报告称,超过一半(55%)的应用程序在其代码库中调用了安全敏感API,如果包含依赖项,这一比例将上升至95%。
EndorLabs还警告说,ChatGPT等大型语言模型(LLM)技术在对可疑代码片段的恶意软件潜力进行评分方面表现不佳。结果发现,OpenAIGPT3.5的准确率仅为3.4%,而VertexAItext-bison的表现也好不到哪里去,为7.9%。
“这两种模型都会产生大量误报,这需要手动审查工作,并阻止自动通知相应的程序包存储库以触发程序包删除。也就是说,模型似乎确实正在改进,”报告指出。
“这些发现说明,目前将大语言模型用于安全敏感用例的难度很大。大语言模型肯定可以帮助人工审核人员,但即使评估准确率可以提高到95%甚至99%,也不足以实现自主决策。”
报告指出,开发人员可能会花费大量时间修复代码中的漏洞,而这些(依赖项的)漏洞甚至没有在他们的应用程序中使用。
报告声称,71%的典型Java应用程序代码来自开源组件,但应用程序仅使用了这些软件包中的12%的代码。
“未使用的代码中的漏洞很少可被利用;如果能了解整个应用程序中哪些代码是可访问的,企业可以消除或调低高达60%的修复工作的优先级。”报告指出。
2、新型数据盗窃恶意软件Rilide被曝光 针对Chrome浏览器
近日,安全研究人员发现了一种名为Rilide的新型恶意软件,该恶意软件以基于Chromium的网络浏览器为目标,窃取敏感数据并窃取加密货币。研究还发现,该恶意软件功能较为强大,可以禁用其他浏览器加载项、收集浏览历史记录cookie、收集登录凭据、截取屏幕截图以及注入恶意脚本以从各种加密货币交易所提取资金。
3、黑客利用电邮服务漏洞向Facebook用户发起钓鱼攻击
据外媒报道,黑客组织正利用Salesforce电子邮件服务和SMTP服务器中的漏洞,针对一些特定的Facebook账户发起复杂的网络钓鱼活动。此前,Guardio Labs的分析师发现该漏洞问题,随后向Salesforce报告并帮助进行了漏洞修复,然而Facebook游戏平台上的漏洞问题仍悬而未决,Meta的工程师仍在努力寻找现有缓解措施不能有效阻止攻击的原因。
2023年8月4日 星期五
今日资讯速览:
1、亚马逊云新漏洞曝光 SSM代理成远程访问木马
2、微软称俄黑客组织针对多国政府机构发起网络钓鱼攻击
3、国际船舶制造巨头因网络攻击损失超6.1亿元
1、亚马逊云新漏洞曝光 SSM代理成远程访问木马
3日消息,Mitiga的安全研究人员在亚马逊云平台(AWS)中发现了一种新的后渗透漏洞,能允许 AWS 系统管理器代理(SSM 代理)作为远程访问木马在 Windows 和 Linux 环境中运行。Mitiga建议企业从防病毒解决方案相关的允许列表中删除 SSM 二进制文件,以检测任何异常活动迹象,并确保 EC2 实例响应仅来自使用系统管理器虚拟私有云 (VPC) 端点的原始 AWS 账户的命令。
2、微软称俄黑客组织针对多国政府机构发起网络钓鱼攻击
近日,微软称有一个与俄罗斯对外情报局有关的名为APT29的黑客组织,针对全球数十个组织包括政府机构等进行了网络钓鱼攻击。黑客利用被入侵的 Microsoft 365 租户创建了新的技术支持主题域并发送技术支持诱饵,试图利用社交工程策略欺骗目标组织的用户。根据目前调查显示,此次攻击活动影响了全球约40个组织。并且此次攻击活动表明该黑客组织将政府、非政府组织(ngo)、IT服务、技术、离散制造业和媒体部门等设置成了特定间谍目标。
3、国际船舶制造巨头因网络攻击损失超6.1亿元
安全内参8月3日消息,美国船舶制造巨头宾士域集团(Brunswick Corporation)的首席执行官上周向投资者透露,公司因一次网络安全事件蒙受高达8500万美元(约合人民币6.1亿元)的损失。
这家拥有数十亿美元资产的船舶制造公司在2021年创造了近60亿美元的收入,业务遍及24个国家,是海洋休闲产业的全球领导者。
6月13日,宾士域集团宣布遭受了一次网络攻击,其系统和部分设施受到影响。官方并未确认这是一次勒索软件攻击,但他们表示在专家和执法部门处理该事件期间,已被迫停止部分地区的运营。
在上周的财报电话会议上,首席执行官Dave Foulkes向投资者和董事会成员表示,这次攻击对公司第二季度的财务展望带来了毁灭性的影响。
2023年第二季度财报电话会议纪要
Foulkes解释道,“信息技术安全事件”导致“第二季度的财务结果不及最初预期”。宣布攻击事件后,该公司花费了九天时间恢复正常运营。对宾士域这样规模的制造企业来说,这是巨大的时间损失。
Foulkes表示:“信息安全事件干扰了我们的业务,特别是推进和发动机零部件及配件业务。由于靠近季度末尾,我们很难在同一季度内完全恢复。”
“我们有机会恢复各项业务损失的部分产量和分销量,这将在一定程度上抵消第二季度的损失。然而,高功率外航发动机的生产损失将难以弥补,因为下半年的生产计划已经排满。
Foulkes估计,这次攻击将使该公司全年损失6千万至7千万美元,其中第二季度的收入损失高达8500万美元。
首席财务官Ryan Gwillim表示,这次网络攻击对宾士域在2021年收购的Navico船舶电子公司造成了重大影响。
除推进和发动机零部件业务,其他部门的大部分财务损失来自Navico的停工。Gwillim估计,该部分损失约为1300万美元。
目前尚无黑客团体或勒索软件团伙宣布对宾士域攻击事件负责。宾士域的最大客户之一是执法机构。该公司同时也向商业用户提供引擎和小型船只。
这次网络攻击反映了黑客和勒索软件团伙攻击制造业公司的大趋势。
Dragos统计各行业工业控制系统(ICS)勒索软件攻击数据
网络安全公司Dragos表示,在2023年第二季度追踪的253起勒索软件事件中,有177起涉及制造业公司。
2023年8月3日 星期四
今日资讯速览:
1、Meta 发布开源 AI 工具 AudioCraft,用户可通过文本提示创作音乐、音频
2、网信办:全面升级“青少年模式”为“未成年人模式”
3、微软 Win11 Beta Build 22621.2129(KB5029359)更新,新增 Copilot 预览版
1、Meta 发布开源 AI 工具 AudioCraft,用户可通过文本提示创作音乐、音频
IT之家 8 月 3 日消息,美国东部时间 8 月 2 日,Meta 开源了一款生成式 AI 工具 AudioCraft,可帮助用户通过文本提示创作音乐和音频。
根据 Meta 官方介绍,AudioCraft 包含了三个核心组件:
MusicGen:使用 Meta 拥有 / 特别授权的音乐进行训练,根据文本提示生成音乐。
AudioGen:使用公共音效进行训练生成音频或扩展现有音频,后续还可生成环境音效(如狗叫、汽车鸣笛、木地板上的脚步声)。
EnCodec(改进版):基于神经网络的音频压缩解码器,可生成更高质量的音乐并减少人工痕迹,或对音频文件进行无损压缩。
该工具经过开源之后,相关研究人员和从业人员可以使用自己的数据集训练模型。官方宣称 AudioCraft 系列模型能够长期稳定地生成高质量音频,而且易于使用,能够为音乐家和声音设计师“提供灵感”,帮助他们快速集思广益,并“以新的方式迭代他们的作品”。
另据IT之家此前报道,今年 6 月份 Meta 开源了 AI 语言模型 MusicGen,该模型基于谷歌 2017 年推出的 Transformer 模型。如同模型名称所示,MusicGen 主要用于音乐生成,它可以将文本和已有的旋律转化为完整乐曲。
2、网信办:全面升级“青少年模式”为“未成年人模式”
2日消息,为进一步强化未成年人网络保护,立足未成年人网络保护新形势新要求,国家网信办研究起草了《移动互联网未成年人模式建设指南(征求意见稿)》,将全面升级“青少年模式”为“未成年人模式”,推动模式覆盖范围由 App 扩大到移动智能终端、应用商店,实现软硬件三方联动,方便用户一键进入模式,为未成年人营造安全健康的网络环境。
3、微软 Win11 Beta Build 22621.2129(KB5029359)更新,新增 Copilot 预览版
IT之家 8 月 3 日消息,微软发布了最新的 Windows 11 预览版,为内测人员带来了多项新功能和改进。
其中,Windows 11 Dev 23516 增加了 HDR 背景支持、语音访问扩展、更多自然语音的屏幕阅读器等功能。Windows 11 Beta 22631.2129(KB5029359)则包含了部分 Dev 版的新功能,同时还向部分内测人员推出了 Windows Copilot 预览版。这是一款人工智能助手,可以根据用户的需求和习惯提供智能建议和服务,这也意味着这项功能有望在今年晚些时候随着 Windows 11 版本 23H2 一起发布。
IT之家附 Windows 11 Beta 版 22631.2129 的主要变化:
Windows Copilot 预览版:这款新的人工智能助手正在向部分 Beta 频道的内测人员推出。
Dev Drive:开发者可以使用这个功能创建一个存储卷(最小 50GB),以提高关键开发工作负载的性能。
语音访问中的纠错命令:内测人员现在可以使用命令来纠正语音访问(Voice Access)误识别的单词。
Windows Hello for Business 无密码体验:IT 管理员可以使用一项新策略来隐藏某些 Windows 身份验证场景中的密码,强制用户使用 Windows Hello for Business 代替密码。
语音访问(Voice Access)扩展到锁屏界面:Voice Access 辅助功能现在可用于登录到电脑和锁屏的其他区域。这将允许用户使用带有数字标签的适配键盘口述其密码或 PIN。
屏幕投射的改进发现性:Windows 11 现在建议预览体验成员在其电脑上执行多任务处理活动时使用投射。“快速设置”中的“投射”浮出控件现在将提供启用该功能的分步说明。
在场感知的改进:新的自适应调光设置现在可在具有支持注意力检测的在场感知传感器的电脑上使用。该功能将在用户移开视线时智能地调暗屏幕,并在回头时将其取消。
系统托盘中新增铃声图标:在系统托盘中,一个新的铃声图标会根据 PC 的重点色彩着色,以提醒用户有新通知到达。
重新设计的任务管理器设置页面:微软重新设计了这个页面,现在遵循 Windows 11 的设计语言。
2023年8月2日 星期三
今日资讯速览:
1、动视暴雪否认《变形金刚》游戏源代码丢失,孩之宝为虚假言论道歉
2、网信办通报上半年网上各类违法违规行为情况
3、佳能警惕丢弃喷墨打印机时注意Wi-Fi安全风险
1、动视暴雪否认《变形金刚》游戏源代码丢失,孩之宝为虚假言论道歉
IT之家 8 月 2 日消息,近日,孩之宝公司的一位代表在接受采访时表示,动视暴雪公司已经丢失了一些之前开发的《变形金刚》系列游戏的源代码。这些游戏包括《变形金刚:赛博坦之陨》和《变形金刚:毁灭》等,都是在动视暴雪拥有《变形金刚》游戏版权时制作的。
孩之宝公司的代表声称,动视暴雪“不确定这些源代码在他们大楼里的哪些硬盘上”,暗示源代码是在动视暴雪与其他公司合并的过程中遗失的。这引发了外界的猜测,认为如果微软成功收购动视暴雪,那么这些“丢失”的游戏可能会被重新发行,因为微软或许能够找到这些游戏的源代码。孩之宝公司的代表还表示:“希望现在微软和 Xbox 正在推进的交易能够顺利进行,他们会搜索所有的档案和每一个硬盘,找到所有的源代码,因为这对于 Xbox Game Pass 来说是一个很好的增值。我们希望这些游戏能够重新上架,让玩家有机会体验。”
然而,动视暴雪公司对此予以了坚决否认,并表示这些游戏的源代码并没有丢失。IT之家注意到,动视暴雪公司首席内容官兼企业事务执行副总裁 Lulu Cheng Meservey 还在 X 上发表了声明,指出相关的报道是错误的,并且源代码从未丢失过。她还进一步指出,“公司拥有这些源代码,并没有遗失。”
最后,孩之宝公司也道歉并澄清,称之前的说法是错误的。孩之宝公司在一份发给 VGC 的声明中说:“为了澄清,我们之前所说的《变形金刚》游戏已经丢失是错误的。我们向动视暴雪道歉,并对造成的困惑表示歉意 —— 他们一直是我们很棒的合作伙伴,我们期待着未来有机会继续合作。”
尽管孩之宝公司已经道歉并澄清了事实,但《变形金刚》游戏的未来究竟如何,仍然不得而知。
广告声明:文内含有的对外跳转链接(包括不限于超链接、二维码、口令等形式),用于传递更多信息,节省甄选时间,结果仅供参考,IT之家所有文章均包含本声明。
2、网信办通报上半年网上各类违法违规行为情况
31日,国家网信办通报2023 年上半年全国网信系统依法查处网上各类违法违规行为的情况,累计约谈网站 5518 家、暂停功能或更新网站 188 家,下架移动应用程序 120 款,关停小程序 87 款,会同电信主管部门取消违法网站许可或备案、关闭违法网站 7704 家,督促相关网站平台依法依约关闭违法违规账号 39100 个。
3、佳能警惕丢弃喷墨打印机时注意Wi-Fi安全风险
8月1日消息,佳能警告家用、办公室和大幅面喷墨打印机的用户,在丢弃喷墨打印机时要注意其存在一定的Wi-Fi安全风险。因为他们存储在设备内存中的Wi-Fi连接设置不会被清除,而在初始化过程中,这些设置应该被清除,从而允许其他人访问数据。一旦维修技术人员、临时用户或设备的未来买家提取打印机内存,获得用户的Wi-FI网络的连接细节,极可能给用户带来安全和隐私风险。
2023年8月1日 星期二
今日资讯速览:
1、以色列炼油厂遭遇黑客攻击
2、Android 恶意程序使用光学字符识别密码
3、俄乌冲突下的网络威胁:BlueBravo针对东欧外交机构攻击再升级
1、以色列炼油厂遭遇黑客攻击
31日消息,伊朗黑客组织Cyber Avengers通过Check Point防火墙的漏洞入侵了BAZAN的网络,并泄露了BAZAN SCADA系统的截图,SCADA系统是用于监控和操作工业控制系统的软件应用程序。目前BAZAN Group全球各地的炼油厂网站均已无法访问。BAZAN发言人称,BAZAN的网络安全措施是警惕的,目前集团正在与以色列国家网络管理局和其他合作伙伴密切合作,监控任何可疑活动,以确保行动的安全和完整性。
2、Android 恶意程序使用光学字符识别密码
安全公司趋势科技的研究人员发现了一种被称为 CherryBlos 的 Android 恶意程序,能使用光学字符识别窃取手机屏幕上显示的凭证。恶意程序主要通过第三方传播的 Android apps 传播。研究人员发现恶意程序的开发者也在 Google Play 官方市场发布了相同的应用,但并不含有恶意负荷。一旦安装,当用户打开币安等合法加密货币应用,CherryBlos 的覆盖窗口会模拟这些应用,在提款时将受害者接受资金的钱包地址替换成攻击者控制的钱包地址。当合法应用显示密码口令时,恶意程序会截图然后使用光学字符识别将图像翻译成文本格式,然后攻击者可以窃取账号的资金。
3、俄乌冲突下的网络威胁:BlueBravo针对东欧外交机构攻击再升级
与俄罗斯有联系的BlueBravo被发现通过GraphicalProton后门瞄准东欧的外交实体。据观察,该组织正在进行鱼叉式网络钓鱼活动,最终目标是用一个名为GraphicalProton的新后门感染收件人。
该活动是在2023年3月至5月期间观察到的,黑客利用合法互联网服务(LIS)进行指挥控制,扩大了滥用的服务范围。早在2023年1月,Insikt的研究人员就观察到BlueBravo使用一种名为GraphicalNeutrino的主题诱饵来传递恶意软件。GraphicalProton是该组织武器库中的另一个恶意软件,与GraphicalNeutrino不同的是,它使用微软的OneDrive或Dropbox进行C2通信。
Recorded Future表示:“该组织滥用LIS是一种持续的策略,因为他们使用了Trello、Firebase和Dropbox等各种在线服务来逃避检测。BlueBravo似乎优先进行针对欧洲政府部门的网络间谍活动,这可能是因为俄罗斯政府在乌克兰战争期间对战略数据感兴趣。”
GraphicalNeutrino和GraphicalProton都被用作加载程序,后者被放置在钓鱼电子邮件传递的ISO或ZIP文件中。
2023年5月,Insikt Group首次为客户端描述了GraphicalProton恶意软件。Graphical质子充当加载程序,与之前描述的GraphicalNeutrino样本非常相似,它在ISO或ZIP文件中暂存,并依赖于新识别的受损域来传递到目标主机。与之前使用Notion进行C2的GraphicalNeutrino的一些分析样本不同,观察到 新确定的GraphiicalProton样本使用了Microsoft OneDrive。
攻击中使用的ISO文件包含LNK文件,这些文件伪装成要出售的宝马汽车的PNG图像。单击该文件后,它将启动GraphicalProton感染链。黑客将Microsoft OneDrive用作C2,并定期轮询存储服务中的文件夹以获取额外的有效载荷。
报告总结道:“随着乌克兰战争的持续,几乎可以肯定的是,在可预见的未来,BlueBravo将继续以政府和外交机构为高价值目标。BlueBravo以及依赖BlueBravo提供数据的俄罗斯情报消费者,很可能认为这些机构为与乌克兰结盟的政府的决策过程提供了战略洞察力。”
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
