首页
社区
课程
招聘
[推荐]【每日资讯】 | 网信部门依法查处“夸克”、“网易CC”破坏网络生态违法案件 | 2023年10月31日 星期二
发表于: 2023-10-7 11:38 5562

[推荐]【每日资讯】 | 网信部门依法查处“夸克”、“网易CC”破坏网络生态违法案件 | 2023年10月31日 星期二

2023-10-7 11:38
5562

2023年10月31日 星期二

今日资讯速览:

1、 网信部门依法查处“夸克”、“网易CC”破坏网络生态违法案件


2、方程式重现江湖?复杂间谍软件平台StripedFly已控制100万受害者


3、报告称苹果低调布局 AI 领域:已收购 20 多家公司,其订阅模式比友商更有优势



1、 网信部门依法查处“夸克”、“网易CC”破坏网络生态违法案件


近日,针对“夸克”平台和“网易CC”直播平台破坏网络生态问题,国家网信办指导广东省网信办依法约谈相关平台负责人,对“夸克”平台实施50万元罚款处罚,责令“网易CC”暂停“舞蹈”版块信息更新7日,同时责令2家平台立即全面深入整改,严肃处理相关责任人。

经查,“夸克”平台未遵守相关管理要求,搜索结果呈现大量淫秽色情信息,并向用户推荐色情低俗关键词,违反《网络安全法》《网络信息内容生态治理规定》《互联网信息搜索服务管理规定》等有关规定,在平台信息内容安全审核管理方面存在严重漏洞,破坏网络生态,情节特别严重。“网易CC”直播平台多个账号主播在直播过程中存在言行低俗、打色情擦边球等问题。“网易CC”直播平台未对上述低俗直播进行有效整治,并在首屏“娱乐”频道“舞蹈”版块等重点环节呈现,反映其在网络信息内容安全管理责任上存在严重缺失,违反《网络安全法》《网络信息内容生态治理规定》等有关规定,破坏网络生态,性质恶劣,情节严重。

网信部门将持续聚焦破坏网络生态违法违规突出问题,进一步加强网络执法工作,督促网站平台切实履行主体责任和社会责任,健全管理制度,依法依规提供服务,不得为违法违规信息提供传播渠道,切实维护清朗网络空间。

【阅读原文】



2、方程式重现江湖?复杂间谍软件平台StripedFly已控制100万受害者


当地时间10月26日,卡巴斯基研究团队发布最新APT分析报告《StripedFly: Perennially flying under the radar》,解开了又一疑是方程式风格的恶意间谍平台StripedFly。报告称StripedFly软件平台在2017年首次被发现,被归类为一种基本上无效的加密货币挖矿恶意软件,并被广泛驳回。但从那时起,它实际上一直作为一种复杂的模块化恶意软件运行,允许攻击者实现网络持久性和全面可见性。卡巴斯基研究人员在10月26日发表的博客文章中透露,该恶意软件的活动并不简单,可随意窃取凭证和其他数据。表面看这只是一个加密货币挖矿程序的恶意软件,实际上是一个适用于Windows和Linux系统的复杂间谍平台;它已经感染了超过100万受害者。虽然StripedFly确实可以挖掘门罗币加密货币,但这只是其功能的冰山一角——研究人员去年发现了这一点,并在公开发布他们的发现之前进行了彻底调查。卡巴团队认为,尽管与Equation恶意软件有相似之处,但目前没有直接证据表明它们之间的关联。与Equation恶意软件系列相关的签名促进了恶意软件的发现,其编码风格和实践类似SBZ恶意软件。

方程式(Equation)的影子浮现

卡巴斯基的博文披露,2022年,他们在WININIT.EXE进程中发现了两个意外检测到的旧代码,该代码之前曾在Equation恶意软件中观察到。随后的分析揭示了可追溯到2017年的早期可疑代码实例。在那段时间,它有效地逃避了分析,并且之前被错误分类为加密货币矿工。然而,虽然它实际上是为了这个目的,但这并不是它的主要目标。

卡巴研究人员决定对收集的样本进行全面分析,唯一目的是解决任何不确定性。他们的发现是完全出乎意料的;加密货币矿工只是一个更大实体的一个组成部分。该恶意软件利用自定义的EternalBlue SMBv1漏洞来渗透受害者的系统。重要的是,他们的调查考虑了二进制时间戳,表明该漏洞是在2017年4月之前创建的。值得注意的是,Shadow Brokers组织于2017年4月14日公开披露了EternalBlue漏洞。

这种特定蠕虫与其他使用EternalBlue的恶意软件的区别在于其独特的传播模式。它悄然传播,使其能够避免大多数安全解决方案的检测。

卡巴斯基研究人员谢尔盖·贝洛夫(Sergey Belov)、维伦·卡马洛夫(Vilen Kamalov)和谢尔盖·洛日金(Sergey Lozhkin)在帖子中写道:“我们的发现完全出乎意料;加密货币矿工只是一个更大实体的组成部分。”

总体而言,该平台似乎是“APT恶意软件的标志”,其中包括用于与命令和控制(C2)服务器通信的内置Tor网络隧道,以及通过GitLab、GitHub等可信服务提供的更新和交付功能,和Bitbucket都使用自定义加密档案。

此外,根据研究人员从与该恶意软件相关的Bitbucket存储库获得的更新,StripedFly似乎已经感染了超过100万个系统,该存储库是在2018年6月21日由一个名为Julie Heilman的人创建的。


研究人员表示,StripedFly的广度的发现是“令人惊讶的”,特别是考虑到它已经成功逃避检测了大约六年。

解构StripedFly

该恶意软件的核心结构是一个整体的二进制可执行代码,支持各种可插入模块,因此攻击者可以扩展或更新其功能。每个模块(用于提供服务或扩展功能)负责实现和管理自己的回调函数,以便与C2服务器进行通信。


该平台首先在网络上表现为PowerShell,它似乎使用服务器消息块(SMB)漏洞作为其初始进入机制,该漏洞似乎是永恒之蓝-EternalBlue的自定义版本,该版本于2017年4月被泄露,并继续威胁未修补的Windows服务器。

StripedFly根据PowerShell解释器的可用性以及授予进程的权限,使用各种方法进行持久化。研究人员写道:“通常,恶意软件在通过漏洞安装时将以管理权限运行,在通过Cygwin SSH服务器传递时以用户级权限运行。”

就其模块而言,该恶意软件有三个模块用于执行与其功能相关的特定服务,还有六个模块实际执行该功能。服务模块用于配置存储、升级和卸载恶意软件以及反向代理。

功能模块多种多样且全面,为攻击者提供了一系列功能,使他们能够持续监视受害者网络的活动。除了前面提到的门罗币挖矿机之外,这些模块还有:各种命令处理程序;凭证收集器、可重复的任务,可以截取屏幕截图、记录麦克风输入以及按计划执行其他任务;编译大量系统信息的侦察模块;SMBv1和SSH感染器具有渗透和蠕虫功能。

研究人员还发现了一种名为ThunderCrypt的相关勒索软件变体,它与StripedFly共享相同的底层代码库并与相同的C2服务器进行通信。


未解之谜

该博客文章包含大量妥协指标以及与StripedFly相关的其他网站和相关数据,以帮助组织确定他们是否已被感染。

与此同时,围绕StripedFly的问题仍然悬而未决,包括其肇事者的真正动机——相关勒索软件组件的存在使这一问题进一步变得混乱。

研究人员写道:“虽然ThunderCrypt勒索软件表明其作者有商业动机,但它提出了一个问题:为什么他们不选择可能更有利可图的途径。”

目前还不清楚StripedFly是否仍然活跃,因为在撰写本文时,研究人员在Bitbucket存储库中仅观察到Windows系统的8个更新和Linux系统的4个更新。他们指出,这可能表明“活跃感染极少”,或者所有已被StripedFly感染的受害者仍在积极与其C2进行通信。

这些不同的数据点表明与Equation恶意软件有相似之处,尽管没有直接证据表明它们之间存在相关性。与Equation恶意软件系列相关的签名促进了恶意软件的发现,其编码风格和实践类似于SBZ恶意软件中的编码风格和实践。

研究人员承认:“只有那些制作这种神秘恶意软件的人才能找到答案。” “鉴于所有证据都表明事实并非如此,很难接受如此复杂且专业设计的恶意软件竟然会达到如此微不足道的目的。”


参考资源

1、https://securelist.com/stripedfly-perennially-flying-under-the-radar/110903/

2、https://www.darkreading.com/threat-intelligence/complex-spy-platform-stripedfly-bites-1m-victims-disguised-as-a-cryptominer

3、https://www.bleepingcomputer.com/news/security/stripedfly-malware-framework-infects-1-million-windows-linux-hosts/

【阅读原文】



3、报告称苹果低调布局 AI 领域:已收购 20 多家公司,其订阅模式比友商更有优势


IT之家 10 月 31 日消息,根据彭博社报道,苹果正在人工智能(AI)领域悄然追赶竞争对手,一方面加大了 AI 相关的招聘力度,另一方面还通过并购初创公司的方式,加速 AI 技术的成熟和落地,而且内部已着手开发大语言模型。

苹果低调布局 AI

手机品牌在升级硬件性能、优化系统交互体验之外,人工智能俨然成为新的衡量点,不少中国手机品牌应在大语言模型方面取得了明显进展。

例如小米推出了 60 亿参数的大语言模型 MiLM-6B,在 C-Eval 榜单(与清华大学、上海交通大学、爱丁堡大学合作开发的中文语言模型综合评估基准)中排名第十;vivo 推出了大语言模型 vivoLM,其中 vivoLM-7B 机型在 C-Eval 排名中稳居第二。

苹果在 AI 方面则显得低调很多,而根据集邦咨询统计的数据,自 2018 年以来,苹果已经悄悄收购了 20 多家人工智能技术相关的公司,而且只有少数公开了交易价格。IT之家在此附上集邦咨询图表:

另一方面,Apple 一直在谨慎地开发自己的大型语言模型,称为 Ajax。它承诺每天花费数百万美元来训练该模型,目的是使其性能比 OpenAI 的 ChatGPT 3.5 和 Meta 的 LLaMA 更加强大。

苹果在开发大语言模型付费订阅模式方面相比其他品牌的优势

2023 年 8 月,苹果首席执行官蒂姆・库克在苹果第三季度财报中强调,苹果的订阅服务,包括 Apple Arcade、Apple Music、iCloud、AppleCare 等,已经实现了创纪录的收入,并积累了超过 10 亿的付费用户。

与其他智能手机品牌相比,苹果凭借其已经相当庞大的付费订阅用户基础,更有能力实现大型语言模型服务的订阅盈利。

如果未来智能手机上出现涉及大型语言模型的杀手级应用,那么苹果将在建立基于订阅模式的服务方面拥有独特的优势。这一优势归因于苹果最近收入构成的变化,特别是“服务”收入的贡献不断增加。

【阅读原文】



2023年10月30日 星期一

今日资讯速览:

1、 警惕!一些境外SDK背后的“数据间谍”窃密


2、OpenAI、谷歌、微软等联合设立1000万美元AI安全基金


3、新的 iLeakage 攻击可利用 Safari 从 Mac、iPhone 上窃取敏感数据



1、 警惕!一些境外SDK背后的“数据间谍”窃密



你知道SDK是什么吗?SDK是英文Software Development Kit的缩写,即软件开发工具包,它的类型多种多样。如果把开发一个软件系统比作盖一所“三室一厅”的房子,那么不同的SDK就是这套房子的“客厅”“卧室”“卫生间”“厨房”等功能模块。盖好这套房子,我们只需要从不同的供应商那里选择这个功能模块拼装即可,而不再需要从“砌砖”“垒墙”做起,从而极大提高了软件开发的效率。近年来,国家安全机关工作发现,境外一些别有用心的组织和人员,正在通过SDK搜集我用户数据和个人信息,给我国家安全造成了一定风险隐患。

图片

SDK带来哪些数据安全问题?

当前,SDK以其多样化、易用性和灵活性等优势成为移动供应产业链中最重要的一项服务,与此同时也带来诸多数据安全问题。

——过度收集用户数据。有些SDK会收集与提供服务无关的个人信息,或强制申请非必要的使用权限,比如获取地理位置、通话记录、相册照片等信息以及拍照、录音等功能。当SDK的用户覆盖量达到一定规模时,可以通过搜集的大量数据,对不同用户群体进行画像侧写,从而分析出潜在的有用信息,比如同事关系、单位位置、行为习惯等。一些境外SDK服务商,通过向开发者提供免费服务,甚至向开发者付费等方式来获取数据。据相关网站披露,一款在美国拥有5万日活跃用户的应用程序,其开发者通过使用某SDK,每月可以获得1500美元的收入。作为回报,该SDK服务商可以从这款应用程序中收集用户的位置数据。

图片

SDK搜集个人信息类型

——境外情报机构将SDK作为搜集数据的重要渠道。据报道,美国特种作战司令部曾向美国SDK服务商Anomaly Six购置了“商业遥测数据源”的访问服务,而该服务商曾自称将SDK软件植入全球超过500款应用中,可以监控全球大约30亿部手机的位置信息。2022年4月,有关媒体曝光巴拿马一家公司通过向世界各地的应用程序开发人员付费的方式,将其SDK代码整合到应用程序中,秘密地从数百万台移动设备上收集数据,而该公司与为美国情报机构提供网络情报搜集等服务的国防承包商关系密切。

图片

《华尔街日报》:美国政府承包商在多个手机APP中嵌入跟踪软件

消除SDK背后的数据风险

我们应该怎么做?

据国内权威机构掌握,截至2022年12月,我国10万个头部应用中,共检测出2.3万余例样本使用境外SDK,使用境外SDK应用的境内终端约有3.8亿台。对此,我们又应该做些什么呢?

图片

SDK申请收集用户信息占比

——应用程序开发企业:应尽量选择接入经过备案认证的SDK,引入境外SDK前应做好安全检测和风险评估,深入了解SDK的隐私政策,并利用SDK demo以及APP测试环境对SDK声明内容进行一致性比对,并持续监测SDK是否有异常行为。

——个人用户:个人用户在使用手机应用程序时,要增强个人信息保护意识及安全使用技能,要选择安全可靠的渠道下载使用应用程序,不安装来路不明的应用,不盲目通过敏感权限的申请。特别是发现SDK申请与应用功能无关的权限时,需要保持高度警惕。

【阅读原文】



2、OpenAI、谷歌、微软等联合设立1000万美元AI安全基金


近日,谷歌、微软、OpenAI 和 Anthropic 发布联合声明,任命美国智库学会高管 Chris Meserole 为前沿模型论坛 (Frontier Model Forum) 首任执行董事。并宣布设立 1000 万美元的 AI 安全基金,“以推动正在进行的工具开发研究,帮助社会能够有效地测试和评估最有能力的 AI 模型。

【阅读原文】



3、新的 iLeakage 攻击可利用 Safari 从 Mac、iPhone 上窃取敏感数据









Hackernews 编译,转载请注明出处:

学术研究人员披露了一种新的类似Spectre的侧信道攻击的细节,该攻击利用Safari从Mac、iPhone和iPad中窃取敏感信息。







这种名为iLeakage的新方法,被描述为一种不定时的推测性执行攻击,它可以诱使Safari呈现任意网页,并从该页面获取信息。

攻击者需要引诱目标Safari用户访问恶意网站,然后该网站会自动打开他们想要窃取信息的网站。这是可能的,因为渲染过程同时处理iLeakage攻击网站和目标网站。

iLeakage是由密歇根大学、佐治亚理工学院和波鸿鲁尔大学的研究人员发现的,他们本周发表了一篇论文,详细介绍了他们的发现。

专家们展示了这种攻击如何用来获取密码和其他敏感信息。他们发布了视频演示,展示了iLeakage攻击如何被用来窃取由密码管理器自动填充的Instagram凭据、Gmail收件箱中的电子邮件主题行以及用户的YouTube观看历史。

研究人员在2022年9月向苹果公司报告了这一发现,但这家科技巨头迄今为止只为macOS上的Safari提供了缓解措施,而且它不是默认启用的,同时还不稳定。

苹果表示,研究人员开发的概念验证推进了该公司对这类威胁的理解。苹果计划在下一个预定的软件发布中进一步解决这个问题。

一方面,没有证据表明iLeakage在野外被利用,这种攻击并不容易进行。研究人员称,实现攻击需要对基于浏览器的侧信道攻击和Safari的实现有深入的了解。

另一方面,专家们指出,这种攻击难以检测,因为它在Safari中运行,不会在系统日志文件中留下任何痕迹。

在macOS上,iLeakage只影响Safari,因为其他浏览器如Edge、Firefox和Chrome使用不同的JavaScript引擎,然而,在iOS上,这种攻击也可以在其他浏览器中使用,因为Chrome、Edge和Firefox基本上是在Safari之上的封装。

研究人员指出,“iLeakage攻击方法表明Spectre攻击仍然是相关的,并且可以被利用,即使在Spectre攻击被发现以来已经进行了近6年的努力去缓解”。

【阅读原文】



2023年10月27日 星期五

今日资讯速览:

1、 黄牛变黑客!入侵交管12123系统!


2、新的 iLeakage 攻击可利用 Safari 从 Mac、iPhone 上窃取敏感数据


3、《未成年人网络保护条例》



1、 黄牛变黑客!入侵交管12123系统!



近日,无锡江阴市检察院办理了一起破坏计算机信息系统案。10名犯罪嫌疑人均为二手车“黄牛”,他们通过非法手段,侵入交管“12123”系统,为不能正常过户的二手车,非法办理改绑手机号、补办行驶证、补办车牌等业务。主犯杨某婷,在河北户籍地被警方抓获,其他9名二手车“黄牛”也相继在山东、北京等省市落网。



经查,主犯杨某婷通过网络与其他二手车“黄牛”勾结,通过上线张某,非法侵入交管12123信息系统,为无法正常过户的“二手车”,也就是俗称的“背户车”,办理车主信息变更、补办行驶证、补办车辆牌照等业务。






如果有一些人买了‘背户车’,车主登记的还是别人,车的实际驾驶人需要接受车辆的一些违规违章短信,要绑定交管平台的手机号码,但是这个需要原车主配合,而有些车可能经过了好几手原车主不知道在哪里,他们就想找一些车务‘黄牛’,‘黄牛’就采用一些技术手段可以在原车主不在的情况下,也可以达到变更绑定的号码或者补办行驶证的目的。——无锡江阴市人民检察院第三检察部检察官毛钥






图片


经查,主犯杨某婷进行相关非法操作300多次,向9名下线二手车“黄牛”收取共计118210元“手续费”。


2021年2月8日,交管“12123”APP工作人员发现登录异常,立即报警继而案发。案发后,交管“12123”及时进行了技术升级,排除了相关登录隐患。


图片


目前,杨某婷等10名二手车“黄牛”,因犯破坏计算机信息系统罪被判刑,其中主犯杨某婷被判3年6个月,其他9人被判缓刑,上线张某的案件另案办理。


【阅读原文】



2、新的 iLeakage 攻击可利用 Safari 从 Mac、iPhone 上窃取敏感数据









Hackernews 编译,转载请注明出处:

学术研究人员披露了一种新的类似Spectre的侧信道攻击的细节,该攻击利用Safari从Mac、iPhone和iPad中窃取敏感信息。







这种名为iLeakage的新方法,被描述为一种不定时的推测性执行攻击,它可以诱使Safari呈现任意网页,并从该页面获取信息。

攻击者需要引诱目标Safari用户访问恶意网站,然后该网站会自动打开他们想要窃取信息的网站。这是可能的,因为渲染过程同时处理iLeakage攻击网站和目标网站。

iLeakage是由密歇根大学、佐治亚理工学院和波鸿鲁尔大学的研究人员发现的,他们本周发表了一篇论文,详细介绍了他们的发现。

专家们展示了这种攻击如何用来获取密码和其他敏感信息。他们发布了视频演示,展示了iLeakage攻击如何被用来窃取由密码管理器自动填充的Instagram凭据、Gmail收件箱中的电子邮件主题行以及用户的YouTube观看历史。

研究人员在2022年9月向苹果公司报告了这一发现,但这家科技巨头迄今为止只为macOS上的Safari提供了缓解措施,而且它不是默认启用的,同时还不稳定。

苹果表示,研究人员开发的概念验证推进了该公司对这类威胁的理解。苹果计划在下一个预定的软件发布中进一步解决这个问题。

一方面,没有证据表明iLeakage在野外被利用,这种攻击并不容易进行。研究人员称,实现攻击需要对基于浏览器的侧信道攻击和Safari的实现有深入的了解。

另一方面,专家们指出,这种攻击难以检测,因为它在Safari中运行,不会在系统日志文件中留下任何痕迹。

在macOS上,iLeakage只影响Safari,因为其他浏览器如Edge、Firefox和Chrome使用不同的JavaScript引擎,然而,在iOS上,这种攻击也可以在其他浏览器中使用,因为Chrome、Edge和Firefox基本上是在Safari之上的封装。

研究人员指出,“iLeakage攻击方法表明Spectre攻击仍然是相关的,并且可以被利用,即使在Spectre攻击被发现以来已经进行了近6年的努力去缓解”。

 【阅读原文】



3、《未成年人网络保护条例》



中华人民共和国国务院令

第766号

《未成年人网络保护条例》已经2023年9月20日国务院第15次常务会议通过,现予公布,自2024年1月1日起施行。

总理  李强

2023年10月16日

未成年人网络保护条例

第一章 总  则

第一条 为了营造有利于未成年人身心健康的网络环境,保障未成年人合法权益,根据《中华人民共和国未成年人保护法》、《中华人民共和国网络安全法》、《中华人民共和国个人信息保护法》等法律,制定本条例。

第二条 未成年人网络保护工作应当坚持中国共产党的领导,坚持以社会主义核心价值观为引领,坚持最有利于未成年人的原则,适应未成年人身心健康发展和网络空间的规律和特点,实行社会共治。

第三条 国家网信部门负责统筹协调未成年人网络保护工作,并依据职责做好未成年人网络保护工作。

国家新闻出版、电影部门和国务院教育、电信、公安、民政、文化和旅游、卫生健康、市场监督管理、广播电视等有关部门依据各自职责做好未成年人网络保护工作。

县级以上地方人民政府及其有关部门依据各自职责做好未成年人网络保护工作。

第四条 共产主义青年团、妇女联合会、工会、残疾人联合会、关心下一代工作委员会、青年联合会、学生联合会、少年先锋队以及其他人民团体、有关社会组织、基层群众性自治组织,协助有关部门做好未成年人网络保护工作,维护未成年人合法权益。

第五条 学校、家庭应当教育引导未成年人参加有益身心健康的活动,科学、文明、安全、合理使用网络,预防和干预未成年人沉迷网络。

第六条 网络产品和服务提供者、个人信息处理者、智能终端产品制造者和销售者应当遵守法律、行政法规和国家有关规定,尊重社会公德,遵守商业道德,诚实信用,履行未成年人网络保护义务,承担社会责任。

第七条 网络产品和服务提供者、个人信息处理者、智能终端产品制造者和销售者应当接受政府和社会的监督,配合有关部门依法实施涉及未成年人网络保护工作的监督检查,建立便捷、合理、有效的投诉、举报渠道,通过显著方式公布投诉、举报途径和方法,及时受理并处理公众投诉、举报。

第八条 任何组织和个人发现违反本条例规定的,可以向网信、新闻出版、电影、教育、电信、公安、民政、文化和旅游、卫生健康、市场监督管理、广播电视等有关部门投诉、举报。收到投诉、举报的部门应当及时依法作出处理;不属于本部门职责的,应当及时移送有权处理的部门。

第九条 网络相关行业组织应当加强行业自律,制定未成年人网络保护相关行业规范,指导会员履行未成年人网络保护义务,加强对未成年人的网络保护。

第十条 新闻媒体应当通过新闻报道、专题栏目(节目)、公益广告等方式,开展未成年人网络保护法律法规、政策措施、典型案例和有关知识的宣传,对侵犯未成年人合法权益的行为进行舆论监督,引导全社会共同参与未成年人网络保护。

第十一条 国家鼓励和支持在未成年人网络保护领域加强科学研究和人才培养,开展国际交流与合作。

第十二条 对在未成年人网络保护工作中作出突出贡献的组织和个人,按照国家有关规定给予表彰和奖励。

第二章 网络素养促进

第十三条 国务院教育部门应当将网络素养教育纳入学校素质教育内容,并会同国家网信部门制定未成年人网络素养测评指标。

教育部门应当指导、支持学校开展未成年人网络素养教育,围绕网络道德意识形成、网络法治观念培养、网络使用能力建设、人身财产安全保护等,培育未成年人网络安全意识、文明素养、行为习惯和防护技能。

第十四条 县级以上人民政府应当科学规划、合理布局,促进公益性上网服务均衡协调发展,加强提供公益性上网服务的公共文化设施建设,改善未成年人上网条件。

县级以上地方人民政府应当通过为中小学校配备具有相应专业能力的指导教师、政府购买服务或者鼓励中小学校自行采购相关服务等方式,为学生提供优质的网络素养教育课程。

第十五条 学校、社区、图书馆、文化馆、青少年宫等场所为未成年人提供互联网上网服务设施的,应当通过安排专业人员、招募志愿者等方式,以及安装未成年人网络保护软件或者采取其他安全保护技术措施,为未成年人提供上网指导和安全、健康的上网环境。

第十六条 学校应当将提高学生网络素养等内容纳入教育教学活动,并合理使用网络开展教学活动,建立健全学生在校期间上网的管理制度,依法规范管理未成年学生带入学校的智能终端产品,帮助学生养成良好上网习惯,培养学生网络安全和网络法治意识,增强学生对网络信息的获取和分析判断能力。

第十七条 未成年人的监护人应当加强家庭家教家风建设,提高自身网络素养,规范自身使用网络的行为,加强对未成年人使用网络行为的教育、示范、引导和监督。

第十八条 国家鼓励和支持研发、生产和使用专门以未成年人为服务对象、适应未成年人身心健康发展规律和特点的网络保护软件、智能终端产品和未成年人模式、未成年人专区等网络技术、产品、服务,加强网络无障碍环境建设和改造,促进未成年人开阔眼界、陶冶情操、提高素质。

第十九条 未成年人网络保护软件、专门供未成年人使用的智能终端产品应当具有有效识别违法信息和可能影响未成年人身心健康的信息、保护未成年人个人信息权益、预防未成年人沉迷网络、便于监护人履行监护职责等功能。

国家网信部门会同国务院有关部门根据未成年人网络保护工作的需要,明确未成年人网络保护软件、专门供未成年人使用的智能终端产品的相关技术标准或者要求,指导监督网络相关行业组织按照有关技术标准和要求对未成年人网络保护软件、专门供未成年人使用的智能终端产品的使用效果进行评估。

智能终端产品制造者应当在产品出厂前安装未成年人网络保护软件,或者采用显著方式告知用户安装渠道和方法。智能终端产品销售者在产品销售前应当采用显著方式告知用户安装未成年人网络保护软件的情况以及安装渠道和方法。

未成年人的监护人应当合理使用并指导未成年人使用网络保护软件、智能终端产品等,创造良好的网络使用家庭环境。

第二十条 未成年人用户数量巨大或者对未成年人群体具有显著影响的网络平台服务提供者,应当履行下列义务:

(一)在网络平台服务的设计、研发、运营等阶段,充分考虑未成年人身心健康发展特点,定期开展未成年人网络保护影响评估;

(二)提供未成年人模式或者未成年人专区等,便利未成年人获取有益身心健康的平台内产品或者服务;

(三)按照国家规定建立健全未成年人网络保护合规制度体系,成立主要由外部成员组成的独立机构,对未成年人网络保护情况进行监督;

(四)遵循公开、公平、公正的原则,制定专门的平台规则,明确平台内产品或者服务提供者的未成年人网络保护义务,并以显著方式提示未成年人用户依法享有的网络保护权利和遭受网络侵害的救济途径;

(五)对违反法律、行政法规严重侵害未成年人身心健康或者侵犯未成年人其他合法权益的平台内产品或者服务提供者,停止提供服务;

(六)每年发布专门的未成年人网络保护社会责任报告,并接受社会监督。

前款所称的未成年人用户数量巨大或者对未成年人群体具有显著影响的网络平台服务提供者的具体认定办法,由国家网信部门会同有关部门另行制定。

第三章 网络信息内容规范

第二十一条 国家鼓励和支持制作、复制、发布、传播弘扬社会主义核心价值观和社会主义先进文化、革命文化、中华优秀传统文化,铸牢中华民族共同体意识,培养未成年人家国情怀和良好品德,引导未成年人养成良好生活习惯和行为习惯等的网络信息,营造有利于未成年人健康成长的清朗网络空间和良好网络生态。

第二十二条 任何组织和个人不得制作、复制、发布、传播含有宣扬淫秽、色情、暴力、邪教、迷信、赌博、引诱自残自杀、恐怖主义、分裂主义、极端主义等危害未成年人身心健康内容的网络信息。

任何组织和个人不得制作、复制、发布、传播或者持有有关未成年人的淫秽色情网络信息。

第二十三条 网络产品和服务中含有可能引发或者诱导未成年人模仿不安全行为、实施违反社会公德行为、产生极端情绪、养成不良嗜好等可能影响未成年人身心健康的信息的,制作、复制、发布、传播该信息的组织和个人应当在信息展示前予以显著提示。

国家网信部门会同国家新闻出版、电影部门和国务院教育、电信、公安、文化和旅游、广播电视等部门,在前款规定基础上确定可能影响未成年人身心健康的信息的具体种类、范围、判断标准和提示办法。

第二十四条 任何组织和个人不得在专门以未成年人为服务对象的网络产品和服务中制作、复制、发布、传播本条例第二十三条第一款规定的可能影响未成年人身心健康的信息。

网络产品和服务提供者不得在首页首屏、弹窗、热搜等处于产品或者服务醒目位置、易引起用户关注的重点环节呈现本条例第二十三条第一款规定的可能影响未成年人身心健康的信息。

网络产品和服务提供者不得通过自动化决策方式向未成年人进行商业营销。

第二十五条 任何组织和个人不得向未成年人发送、推送或者诱骗、强迫未成年人接触含有危害或者可能影响未成年人身心健康内容的网络信息。

第二十六条 任何组织和个人不得通过网络以文字、图片、音视频等形式,对未成年人实施侮辱、诽谤、威胁或者恶意损害形象等网络欺凌行为。

网络产品和服务提供者应当建立健全网络欺凌行为的预警预防、识别监测和处置机制,设置便利未成年人及其监护人保存遭受网络欺凌记录、行使通知权利的功能、渠道,提供便利未成年人设置屏蔽陌生用户、本人发布信息可见范围、禁止转载或者评论本人发布信息、禁止向本人发送信息等网络欺凌信息防护选项。

网络产品和服务提供者应当建立健全网络欺凌信息特征库,优化相关算法模型,采用人工智能、大数据等技术手段和人工审核相结合的方式加强对网络欺凌信息的识别监测。

第二十七条 任何组织和个人不得通过网络以文字、图片、音视频等形式,组织、教唆、胁迫、引诱、欺骗、帮助未成年人实施违法犯罪行为。

第二十八条 以未成年人为服务对象的在线教育网络产品和服务提供者,应当按照法律、行政法规和国家有关规定,根据不同年龄阶段未成年人身心发展特点和认知能力提供相应的产品和服务。

第二十九条 网络产品和服务提供者应当加强对用户发布信息的管理,采取有效措施防止制作、复制、发布、传播违反本条例第二十二条、第二十四条、第二十五条、第二十六条第一款、第二十七条规定的信息,发现违反上述条款规定的信息的,应当立即停止传输相关信息,采取删除、屏蔽、断开链接等处置措施,防止信息扩散,保存有关记录,向网信、公安等部门报告,并对制作、复制、发布、传播上述信息的用户采取警示、限制功能、暂停服务、关闭账号等处置措施。

网络产品和服务提供者发现用户发布、传播本条例第二十三条第一款规定的信息未予显著提示的,应当作出提示或者通知用户予以提示;未作出提示的,不得传输该信息。

第三十条 国家网信、新闻出版、电影部门和国务院教育、电信、公安、文化和旅游、广播电视等部门发现违反本条例第二十二条、第二十四条、第二十五条、第二十六条第一款、第二十七条规定的信息的,或者发现本条例第二十三条第一款规定的信息未予显著提示的,应当要求网络产品和服务提供者按照本条例第二十九条的规定予以处理;对来源于境外的上述信息,应当依法通知有关机构采取技术措施和其他必要措施阻断传播。

第四章 个人信息网络保护

第三十一条 网络服务提供者为未成年人提供信息发布、即时通讯等服务的,应当依法要求未成年人或者其监护人提供未成年人真实身份信息。未成年人或者其监护人不提供未成年人真实身份信息的,网络服务提供者不得为未成年人提供相关服务。

网络直播服务提供者应当建立网络直播发布者真实身份信息动态核验机制,不得向不符合法律规定情形的未成年人用户提供网络直播发布服务。

第三十二条 个人信息处理者应当严格遵守国家网信部门和有关部门关于网络产品和服务必要个人信息范围的规定,不得强制要求未成年人或者其监护人同意非必要的个人信息处理行为,不得因为未成年人或者其监护人不同意处理未成年人非必要个人信息或者撤回同意,拒绝未成年人使用其基本功能服务。

第三十三条 未成年人的监护人应当教育引导未成年人增强个人信息保护意识和能力、掌握个人信息范围、了解个人信息安全风险,指导未成年人行使其在个人信息处理活动中的查阅、复制、更正、补充、删除等权利,保护未成年人个人信息权益。

第三十四条 未成年人或者其监护人依法请求查阅、复制、更正、补充、删除未成年人个人信息的,个人信息处理者应当遵守以下规定:

(一)提供便捷的支持未成年人或者其监护人查阅未成年人个人信息种类、数量等的方法和途径,不得对未成年人或者其监护人的合理请求进行限制;

(二)提供便捷的支持未成年人或者其监护人复制、更正、补充、删除未成年人个人信息的功能,不得设置不合理条件;

(三)及时受理并处理未成年人或者其监护人查阅、复制、更正、补充、删除未成年人个人信息的申请,拒绝未成年人或者其监护人行使权利的请求的,应当书面告知申请人并说明理由。

对未成年人或者其监护人依法提出的转移未成年人个人信息的请求,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。

第三十五条 发生或者可能发生未成年人个人信息泄露、篡改、丢失的,个人信息处理者应当立即启动个人信息安全事件应急预案,采取补救措施,及时向网信等部门报告,并按照国家有关规定将事件情况以邮件、信函、电话、信息推送等方式告知受影响的未成年人及其监护人。

个人信息处理者难以逐一告知的,应当采取合理、有效的方式及时发布相关警示信息,法律、行政法规另有规定的除外。

第三十六条 个人信息处理者对其工作人员应当以最小授权为原则,严格设定信息访问权限,控制未成年人个人信息知悉范围。工作人员访问未成年人个人信息的,应当经过相关负责人或者其授权的管理人员审批,记录访问情况,并采取技术措施,避免违法处理未成年人个人信息。

第三十七条 个人信息处理者应当自行或者委托专业机构每年对其处理未成年人个人信息遵守法律、行政法规的情况进行合规审计,并将审计情况及时报告网信等部门。

第三十八条 网络服务提供者发现未成年人私密信息或者未成年人通过网络发布的个人信息中涉及私密信息的,应当及时提示,并采取停止传输等必要保护措施,防止信息扩散。

网络服务提供者通过未成年人私密信息发现未成年人可能遭受侵害的,应当立即采取必要措施保存有关记录,并向公安机关报告。

第五章 网络沉迷防治

第三十九条 对未成年人沉迷网络进行预防和干预,应当遵守法律、行政法规和国家有关规定。

教育、卫生健康、市场监督管理等部门依据各自职责对从事未成年人沉迷网络预防和干预活动的机构实施监督管理。

第四十条 学校应当加强对教师的指导和培训,提高教师对未成年学生沉迷网络的早期识别和干预能力。对于有沉迷网络倾向的未成年学生,学校应当及时告知其监护人,共同对未成年学生进行教育和引导,帮助其恢复正常的学习生活。

第四十一条 未成年人的监护人应当指导未成年人安全合理使用网络,关注未成年人上网情况以及相关生理状况、心理状况、行为习惯,防范未成年人接触危害或者可能影响其身心健康的网络信息,合理安排未成年人使用网络的时间,预防和干预未成年人沉迷网络。

第四十二条 网络产品和服务提供者应当建立健全防沉迷制度,不得向未成年人提供诱导其沉迷的产品和服务,及时修改可能造成未成年人沉迷的内容、功能和规则,并每年向社会公布防沉迷工作情况,接受社会监督。

第四十三条 网络游戏、网络直播、网络音视频、网络社交等网络服务提供者应当针对不同年龄阶段未成年人使用其服务的特点,坚持融合、友好、实用、有效的原则,设置未成年人模式,在使用时段、时长、功能和内容等方面按照国家有关规定和标准提供相应的服务,并以醒目便捷的方式为监护人履行监护职责提供时间管理、权限管理、消费管理等功能。

第四十四条 网络游戏、网络直播、网络音视频、网络社交等网络服务提供者应当采取措施,合理限制不同年龄阶段未成年人在使用其服务中的单次消费数额和单日累计消费数额,不得向未成年人提供与其民事行为能力不符的付费服务。

第四十五条 网络游戏、网络直播、网络音视频、网络社交等网络服务提供者应当采取措施,防范和抵制流量至上等不良价值倾向,不得设置以应援集资、投票打榜、刷量控评等为主题的网络社区、群组、话题,不得诱导未成年人参与应援集资、投票打榜、刷量控评等网络活动,并预防和制止其用户诱导未成年人实施上述行为。

第四十六条 网络游戏服务提供者应当通过统一的未成年人网络游戏电子身份认证系统等必要手段验证未成年人用户真实身份信息。

网络产品和服务提供者不得为未成年人提供游戏账号租售服务。

第四十七条 网络游戏服务提供者应当建立、完善预防未成年人沉迷网络的游戏规则,避免未成年人接触可能影响其身心健康的游戏内容或者游戏功能。

网络游戏服务提供者应当落实适龄提示要求,根据不同年龄阶段未成年人身心发展特点和认知能力,通过评估游戏产品的类型、内容与功能等要素,对游戏产品进行分类,明确游戏产品适合的未成年人用户年龄阶段,并在用户下载、注册、登录界面等位置予以显著提示。

第四十八条 新闻出版、教育、卫生健康、文化和旅游、广播电视、网信等部门应当定期开展预防未成年人沉迷网络的宣传教育,监督检查网络产品和服务提供者履行预防未成年人沉迷网络义务的情况,指导家庭、学校、社会组织互相配合,采取科学、合理的方式对未成年人沉迷网络进行预防和干预。

国家新闻出版部门牵头组织开展未成年人沉迷网络游戏防治工作,会同有关部门制定关于向未成年人提供网络游戏服务的时段、时长、消费上限等管理规定。

卫生健康、教育等部门依据各自职责指导有关医疗卫生机构、高等学校等,开展未成年人沉迷网络所致精神障碍和心理行为问题的基础研究和筛查评估、诊断、预防、干预等应用研究。

第四十九条 严禁任何组织和个人以虐待、胁迫等侵害未成年人身心健康的方式干预未成年人沉迷网络、侵犯未成年人合法权益。

第六章 法律责任

第五十条 地方各级人民政府和县级以上有关部门违反本条例规定,不履行未成年人网络保护职责的,由其上级机关责令改正;拒不改正或者情节严重的,对负有责任的领导人员和直接责任人员依法给予处分。

第五十一条 学校、社区、图书馆、文化馆、青少年宫等违反本条例规定,不履行未成年人网络保护职责的,由教育、文化和旅游等部门依据各自职责责令改正;拒不改正或者情节严重的,对负有责任的领导人员和直接责任人员依法给予处分。

第五十二条 未成年人的监护人不履行本条例规定的监护职责或者侵犯未成年人合法权益的,由未成年人居住地的居民委员会、村民委员会、妇女联合会,监护人所在单位,中小学校、幼儿园等有关密切接触未成年人的单位依法予以批评教育、劝诫制止、督促其接受家庭教育指导等。

第五十三条 违反本条例第七条、第十九条第三款、第三十八条第二款规定的,由网信、新闻出版、电影、教育、电信、公安、民政、文化和旅游、市场监督管理、广播电视等部门依据各自职责责令改正;拒不改正或者情节严重的,处5万元以上50万元以下罚款,对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款。

第五十四条 违反本条例第二十条第一款规定的,由网信、新闻出版、电信、公安、文化和旅游、广播电视等部门依据各自职责责令改正,给予警告,没收违法所得;拒不改正的,并处100万元以下罚款,对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款。

违反本条例第二十条第一款第一项和第五项规定,情节严重的,由省级以上网信、新闻出版、电信、公安、文化和旅游、广播电视等部门依据各自职责责令改正,没收违法所得,并处5000万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关部门依法吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处10万元以上100万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和未成年人保护负责人。

第五十五条 违反本条例第二十四条、第二十五条规定的,由网信、新闻出版、电影、电信、公安、文化和旅游、市场监督管理、广播电视等部门依据各自职责责令限期改正,给予警告,没收违法所得,可以并处10万元以下罚款;拒不改正或者情节严重的,责令暂停相关业务、停产停业或者吊销相关业务许可证、吊销营业执照,违法所得100万元以上的,并处违法所得1倍以上10倍以下罚款,没有违法所得或者违法所得不足100万元的,并处10万元以上100万元以下罚款。

第五十六条 违反本条例第二十六条第二款和第三款、第二十八条、第二十九条第一款、第三十一条第二款、第三十六条、第三十八条第一款、第四十二条至第四十五条、第四十六条第二款、第四十七条规定的,由网信、新闻出版、电影、教育、电信、公安、文化和旅游、广播电视等部门依据各自职责责令改正,给予警告,没收违法所得,违法所得100万元以上的,并处违法所得1倍以上10倍以下罚款,没有违法所得或者违法所得不足100万元的,并处10万元以上100万元以下罚款,对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款;拒不改正或者情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。

第五十七条 网络产品和服务提供者违反本条例规定,受到关闭网站、吊销相关业务许可证或者吊销营业执照处罚的,5年内不得重新申请相关许可,其直接负责的主管人员和其他直接责任人员5年内不得从事同类网络产品和服务业务。

第五十八条 违反本条例规定,侵犯未成年人合法权益,给未成年人造成损害的,依法承担民事责任;构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。

第七章 附  则

第五十九条 本条例所称智能终端产品,是指可以接入网络、具有操作系统、能够由用户自行安装应用软件的手机、计算机等网络终端产品。

第六十条 本条例自2024年1月1日起施行。

【阅读原文】



2023年10月26日 星期四

今日资讯速览:

1、 依法全链条打击!全国检察机关前三季度起诉电信网络诈骗犯罪3万人


2、可令 AI 模型“输入狗生成猫”,黑客展示为训练数据集“下毒”的 Nightshade 工具


3、Okta被黑后市值蒸发逾20亿美元,身份供应商成为攻击焦点



1、 依法全链条打击!全国检察机关前三季度起诉电信网络诈骗犯罪3万人



记者10月25日从最高人民检察院获悉,从前三季度办案数据看,全国检察机关聚焦维护网络安全,依法严惩危害计算机信息网络安全犯罪,依法全链条打击电信网络诈骗及关联犯罪。

最高检案件管理办公室负责人介绍,全国检察机关加大对关键信息基础设施的司法保护力度,1月至9月,依法严惩网络黑客非法侵入、非法控制、破坏计算机信息系统等犯罪,起诉近千人。检察机关推动压实网络运营者、数据处理者的信息网络安全管理义务,起诉拒不履行信息网络安全管理义务罪、非法利用信息网络罪1300余人;立案办理网络治理领域公益诉讼100余件。

1月至9月,针对电信网络诈骗持续高发态势,检察机关结合“断卡”“断流”“拔钉”等专项行动,依法全链条打击电信网络诈骗及关联犯罪,起诉电信网络诈骗犯罪3万人、帮助信息网络犯罪活动罪10.4万人,同比分别上升46.9%、12.3%。同时,检察机关严惩利用网络手段侵犯公民个人信息犯罪,起诉2300余人;充分履行检察公益诉讼职能,织牢个人信息安全“防护网”,办理侵犯公民个人信息安全领域公益诉讼案件5200余件。

据介绍,检察机关聚焦电商平台监管漏洞,打击网络销假制假、食品药品安全等犯罪,前三季度起诉1700余人;加强网络知识产权的司法保护,起诉利用网络实施的侵犯知识产权犯罪案件960余人;强化商业秘密保护力度,受理侵犯商业秘密罪同比上升1倍。

保持严惩相关犯罪态势的同时,检察机关更新履职监督模式,坚持综合履职,推动不同部门之间信息共享、线索移送,1月至9月,检察机关内部移送线索1.5万件;坚持一体履职,针对网络犯罪案件跨地域、涉众型、链条化特征,加强纵向指导和横向协作,形成打击网络犯罪的内部合力;发挥大数据技术优势,探索大数据法律监督模型发现违法犯罪线索。

最高人民检察院(资料图)

记者:刘硕

【阅读原文】



2、可令 AI 模型“输入狗生成猫”,黑客展示为训练数据集“下毒”的 Nightshade 工具



IT之家 10 月 25 日消息,AI 大模型训练数据源版权问题一直是一个令业界头疼的问题,日前有黑客展示了一款名为 Nightshade 的工具,该工具可在不破坏观感的情况下轻微修改图片,若有 AI 模型在训练时使用了这些被“下毒”的图片,模型生图结果便会被毁坏。

▲ 图源 Arxiv

据悉,Nightshade 工具是一种专从提示词入手的攻击手法,号称“手法相对目前‘在提示词中加入触发字’的后门攻击法更简单”,不需介入模型的训练及部署等过程。

Nightshade 工具的作用,主要是轻微修改图片内容,当这些被修改的图片内容成为 AI 模型训练数据后,整个 AI 模型就有可能被彻底破坏。黑客选择了 Stability AI 的 Stable Diffusion V2、SDXL 及 DeepFloyd 验证攻击效果。

测试显示,只需要少量“下毒样本”就扰乱 AI 模型的文生图模型。黑客使用不到 100 张经过修改的“狗的照片”,便污染了 SDXL 模型已经养成的“狗”概念,使该模型在接受外界输入“生成狗的图片”提示后,反而生成了猫的图片。

▲ 图源 Arxiv

此外,Nightshade 攻击并非针对单一实体“概念”,虽然黑客仅仅用一些“狗的照片”试图破坏模型对于“狗”的概念,但整个模型的生图结果,都会被彻底破坏。

▲ 图源 Arxiv

IT之家同时发现,黑客声称,经过 Nightshade 工具“下毒”的图片难以辨别,因为该工具主要影响训练数据集的“特征空间”。

Nightshade 是属于内容创作者及持有者的工具,是对待‘不尊重版权声明’、或‘故意绕过 do-not-scrape / crawl opt-out’的 AI 从业者的强大武器。

【阅读原文】



3、Okta被黑后市值蒸发逾20亿美元,身份供应商成为攻击焦点



安全内参10月25日消息,自Okta上周五(10月20日)披露其支持系统遭黑客攻击以来,公司市值已经减少超过20亿美元。

这一备受瞩目的事件是一系列与Okta或其产品相关安全事件的最新一起。这些事件影响广泛,包括近期多个国际赌场遭到侵入。

Okta上周五披露,一个不明身份的黑客组织能够通过支持系统访问客户文件。该公司股价应声下跌,跌幅超过11%。该公司只披露了一组技术检测指标,没有提供更多细节。本周一开盘后,该公司股价继续下跌,收盘时跌幅达8.1%。

Okta公司的品牌知名度不高,但在国际大型企业的网络安全系统中扮演了重要角色。Okta是一家身份管理公司,拥有超过18000名客户。这些客户使用Okta产品为具体公司使用多个不同平台提供单一登录点。例如,Zoom使用Okta实现“无缝”访问,通过单一登录可以访问公司的Google Workspace、ServiceNow、VMware和Workday等平台。

Okta表示,已经在上周五的公告中与所有受影响的客户进行了沟通。其中至少一家客户表示,数周前就已经提醒Okta可能发生了入侵。

身份管理公司BeyondTrust在上周五发帖表示,他们已经在10月2日向Okta的安全团队报告了BeyondTrust使用的Okta系统中存在可疑活动。尽管BeyondTrust表示担忧“Okta支持系统内很可能已被入侵,而且我们或许不是唯一受影响的客户”,但是Okta一开始并未承认这起事件是一次入侵。

云安全公司Cloudflare、密码管理软件1Password也发表声明,表示发现了与内部Okta系统相关的恶意活动。

图片

Okta承认支持系统入侵后近三天的股价下跌情况
























身份供应商成为攻击焦点








Okta曾经多次成为其他备受关注的事件的焦点。

今年早些时候,赌场巨头凯撒娱乐和美高梅都受到黑客攻击。消息人士表示,凯撒娱乐被迫向黑客组织支付数百万美元的赎金。美高梅在SEC文件中承认,不得不关闭对公司利润产生实质性影响的关键系统。

这些事件造成的直接和间接损失总额超过1亿美元。这两起攻击都以复杂的社交工程方式瞄准了美高梅和凯撒娱乐的Okta系统。Okta一名高管对路透社表示,在同一时期,黑客组织还针对其他三家公司进行了攻击。

Okta自身此前也曾多次遭受网络攻击。

2022年3月,一家自称Lapsus$的黑客组织曾试图入侵多个Okta系统。根据美国网络安全与基础设施安全局的报告,Lapsus$还曾参与对优步、《侠盗猎车手》制造商Rockstar Games的黑客攻击。

【阅读原文】



2023年10月25日 星期三

今日资讯速览:

1、 谷歌计划从Chrome119起测试IP隐私保护功能


2、Okta业务系统被黑导致客户遭入侵,公司股价暴跌11%


3、思科漏洞(CVE-2023-20198 和 CVE-2023-20273)已导致挪威“重要企业”遭到黑客攻击



1、 谷歌计划从Chrome119起测试IP隐私保护功能


目前,谷歌正为Chrome浏览器测试一项新的“IP保护”功能。因为该公司认为用户IP地址一旦被黑客滥用或秘密跟踪,都可能导致用户隐私信息泄露。而这项功能可通过代理服务器屏蔽用户的IP地址,以增强用户的隐私性,这样就可以尽量在确保用户的隐私和网络的基本功能之间取得平衡。

【阅读原文】



2、Okta业务系统被黑导致客户遭入侵,公司股价暴跌11%



安全内参10月23日消息,美国企业身份软件巨头Okta表示,攻击者使用窃取的凭证入侵其支持管理系统,访问了包含客户上传的Cookie和会话令牌的文件。

Okta首席安全官David Bradbury表示:“威胁行为者能够查看近期支持案例中某些Okta客户上传的文件。”

“值得注意的是,Okta支持案例管理系统与生产Okta服务是分开的,后者完全正常运行,没有受到影响。”

David Bradbury补充说,这一事件不影响Auth0/CIC案例管理系统。Okta通知所有受事件影响的客户,他们的Okta环境或支持工单受到了影响。如果客户没有收到警报,表明其未受影响。


会话令牌和Cookie遭泄露


Okta尚未提供此次入侵泄露或访问的受影响客户信息。不过,此次攻击中被入侵的支持案例管理系统也存储了HTTP存档(HAR)文件,这些文件用于复制用户或管理员错误,从而排除用户报告的各种问题。

这些文件还包含敏感数据,例如Cookie和会话令牌。威胁行为者可能会使用这些数据来劫持客户帐户。

Okta在支持管理系统门户网站上解释:“HAR文件记录了浏览器活动,可能包含敏感数据,包括访问的页面内容、Header、Cookie等数据。”

“Okta员工使用这些文件可以复制浏览器活动,并排除问题。然而,恶意行为者可能利用这些文件冒充您。”

在事件调查期间,Okta与受影响的客户合作,吊销了嵌入共享HAR文件的会话令牌。现在,Okta建议所有客户清洗待分享的HAR文件,确保其中不包括凭证和Cookie/会话令牌。

Okta还分享了在调查期间观察到的感染指标列表,包括与攻击者相关的IP地址和Web浏览器用户代理信息。

外媒BleepingComputer联系Okta时,该公司发言人没有回应有关入侵日期以及受到影响的客户数量的问题。

不过,发言人表示,支持系统“与生产Okta服务分开,后者完全正常运行,没有受到影响。我们已通知受影响客户,并采取措施保护所有客户。”


入侵者首次尝试,即被ByondTrust发现


身份管理公司BeyondTrust表示,他们是受影响的客户之一,并对事件提供了更多见解。


2023年10月2日,BeyondTrust的安全团队检测到有人试图使用从Okta支持系统窃取的Cookie登录内部Okta管理员帐户,并及时阻止了这一企图。

BeyondTrust随后联系Okta,提供了显示其支持组织遭到入侵的取证数据。然而,Okta花了两个多星期才确认入侵。

BeyondTrust表示:“我们于2023年10月2日向Okta提出了关于入侵的担忧。由于Okta始终没有确认发生入侵,我们一直向Okta内部更高层级反映情况。直到2023年10月19日,Okta安全领导层才通知我们确实发生了入侵,我们也是受影响的客户。”

BeyondTrust表示,由于“Okta的安全模型存在限制”,尽管这次入侵被“自定义策略控制”阻止,但恶意行为者仍然能够执行“一些受限制的操作”。

尽管如此,该公司表示攻击者未能访问其任何系统,其客户也未受影响。

BeyondTrust还分享了以下攻击时间线:

  • 2023年10月2日 - 检测并消除对内部Okta管理员帐户的身份中心攻击,并通知Okta。

  • 2023年10月3日 – 由于初始取证数据说明Okta支持组织遭到入侵,请求Okta支持团队向更高层级的Okta安全团队反映情况。

  • 2023年10月11日、13日 - 与Okta安全团队进行Zoom会话,解释为什么认为他们可能受到入侵。

  • 2023年10月19日 - Okta安全领导确认他们发生了内部入侵,BeyondTrust是受影响的客户之一。


Cloudflare也受影响


2023年10月18日,Cloudflare也在服务器上发现了与Okta入侵有关的恶意活动。

Cloudflare表示:“尽管这起安全事件令人担忧,但是我们的安全事件响应团队(SIRT)进行实时检测、迅速响应,控制了事件范围,并尽量削弱了Cloudflare系统和数据受到的影响。”

“我们已经核实,此事件没有影响到Cloudflare的任何客户信息或系统。”

攻击者从Okta支持系统窃取身份验证令牌,利用令牌进行具有管理权限的开放会话,进入Cloudflare的Okta实例。

Cloudflare主动联系了Okta。24小时后,Cloudflare才收到通知,确认Okta系统遭到入侵。

Cloudflare表示:“拿我们的案例来说,威胁行为者似乎能够从Cloudflare员工创建的支持工单中劫持会话令牌。2023年10月18日,威胁行为者使用从Okta提取的令牌,访问了Cloudflare系统。”

“这次攻击十分复杂。我们观察到威胁行为者入侵了Okta平台内两个独立的Cloudflare员工帐户。”


两年内发生数起安全事件


Okta去年披露,Lapsus$数据勒索团体在2022年1月获得该公司管理控制台的访问权限,此后曝光了一些客户的数据。

2022年8月,Scatter Swine黑客组织窃取了Okta通过短信给客户发送一次性密码(OTP),该组织后续进一步入侵了云通信公司Twilio。

2022年9月,Okta旗下身份验证服务提供商Auth0披露,黑客采用未知方法从其环境中窃取了一些较早的源代码存储库。

2022年12月,Okta的私有GitHub存储库被黑客入侵。此后,公司披露了这起源代码失窃事件。


参考资料:https://www.bleepingcomputer.com/news/security/okta-says-its-support-system-was-breached-using-stolen-credentials/

【阅读原文】



3、思科漏洞(CVE-2023-20198 和 CVE-2023-20273)已导致挪威“重要企业”遭到黑客攻击



挪威国家安全局 (NSM) 负责人周一警告称,利用最近披露的两个思科漏洞已导致该国的“重要企业”遭到黑客攻击。

NSM 负责人 Sofie Nystrøm在接受挪威报纸Dagens Næringsliv采访时表示,她的机构正在协调国家应对措施,以应对影响 Cisco IOS XE 的两个零日漏洞。

尼斯特罗姆拒绝透露受影响的企业名称,只是将其描述为重要的企业并表示其中一些企业提供社区服务。她的机构没有提供该国有多少组织遭到黑客攻击的数量,也没有提供其中是否有公共部门的数据。

尼斯特罗姆表示,情况“非常严重”,然后称这次攻击比今年夏天影响挪威政府支持机构 DSS的事件“更严重” ,那次事件导致黑客访问了十几个政府部门的数据。

在最近的两份安全公告(首次发布于 10 月 16 日)中,网络技术巨头思科透露,攻击者正在积极利用两个漏洞(CVE-2023-20198 和 CVE-2023-20273),其中第一个漏洞在10/10 的通用漏洞评分系统。

思科表示,早在 9 月 28 日就发现了利用这些漏洞的攻击。该公司于 10 月 22 日(星期日)提供了初步补丁来修复该问题。

该公司的 Talos Intelligence 团队表示,他们观察到威胁行为者使用 CVE-2023-20198 访问客户的系统,并随后部署植入程序。在思科首次发布安全咨询后的几天里,多家安全公司表示,他们发现多达 40,000 台在线设备似乎受到了威胁。

在这种识别植入程序的初始技术传播之后,攻击者随后更新了其恶意代码以避免被检测到,并且外部可观察到的受感染系统的数量也随之下降。

尽管 Talos 团队表示,植入程序在设备重新启动后无法持续存在,但它警告说,攻击者还创建了具有管理员权限的新本地用户帐户。安全团队警告说:“组织应该在设备上寻找原因不明或新创建的用户,作为与此威胁相关的潜在恶意活动的证据。”

NSM 副主任 Gullik Gundersen 表示,NSM 已经意识到该漏洞“有一段时间了”。

Gundersen 表示:“由于该漏洞的严重性被评为严重,因此利用该漏洞造成的损害范围很大。攻击者可以创建一个用户来实现对受影响系统的完全控制。”

他表示,使用 Cisco IOS XE 的企业应立即更新其系统。

冈德森说:“在国外和挪威,已经出现了积极利用该漏洞的案例。” “这仍然是一个持续的事件,NSM 正在努力绘制受影响企业的地图。”

【阅读原文】



2023年10月20日 星期五

今日资讯速览:

1、 广州市中级人民法院通报利用“黑客技术”盗取虚拟货币案件


2、发现针对 Telegram、AWS 和阿里云用户的供应链攻击


3、D-Link 确认发生数据泄露



1、 广州市中级人民法院通报利用“黑客技术”盗取虚拟货币案件


10月18日,广州市中级人民法院通报了通过“黑客技术”盗取虚拟货币的案件。五名不法分子“自学成才”,通过聊天软件诱导目标点击木马网站,盗窃虚拟货币转卖获利,共盗得价值1.8万元的3000个USDT币。五名被告人违反国家规定,非法侵入计算机信息系统,获取计算机信息系统中存储、处理、传输的数据,其行为已构成非法获取计算机信息系统数据罪。

【阅读原文】



2、发现针对 Telegram、AWS 和阿里云用户的供应链攻击



网络安全公司 Checkmarx 发现了新一波利用流行通信和电子商务平台中的漏洞进行的供应链攻击。目标平台包括 Telegram、阿里云和 AWS。

攻击者正在将恶意代码注入开源项目并破坏系统。他们利用 Starjacking 和 Typosquatting 技术来引诱开发人员使用恶意软件包。该活动在 2023 年 9 月持续活跃。

网络安全公司 Checkmarx 将该攻击者被追踪为 kohlersbtuh15。

最近这些恶意攻击的激增促使开源安全基金会 (OpenSSF)于上周推出了其最新举措——恶意软件包存储库。

根据 Yehuda Gelb 撰写的 Checkmarx报告,攻击者使用 Python 编程软件存储库 (Pypi) 并使用 Starjacking 和 Typosquatting 技术发起攻击。

攻击是如何发起的?

进一步调查显示,该攻击者正在利用 Telegram、Amazon Web Services (AWS) 和阿里云弹性计算服务 (ECS) 等平台中的漏洞来攻击开发人员和用户。他们正在利用阿里云的服务,而这三个平台都是其中的一部分。

攻击者将恶意代码注入这些平台用来危害用户设备并窃取敏感数据、财务和个人信息以及登录凭据的开源项目中。恶意代码被注入特定的软件功能中,这使得检测恶意行为并解决问题变得非常困难。

嵌入到这些包中的代码不会自动执行,而是策略性地隐藏在不同的函数中,并在调用这些函数之一时触发。据报道,kohlersbtuh15 向 PyPi 包管理器启动了一系列针对开源社区的恶意包。

攻击者利用域名仿冒技术制作一个镜像合法包的包,但假包具有隐藏的恶意依赖项,从而触发在后台运行的恶意脚本。受害者不会怀疑任何事情,因为一切都发生在幕后。

Starjacking 是指将包管理器上托管的包链接到 GitHub 上不相关的包存储库。通过这种技术,毫无戒心的开发人员会被欺骗,认为它是一个真实的包。为了扩大这种攻击的范围,威胁行为者将这两种技术组合在同一个软件包中。

例如,Telethon 2 软件包是流行的 Telethon 软件包的误植版本,它还通过官方 Telethon 软件包的 GitHub 存储库执行明星劫持。这表明威胁行为者已完全复制官方包中的源代码,并将恶意行嵌入到 telethon/client/messages.py 文件中。恶意代码仅通过“发送消息”命令执行。

针对 Telegram、AWS 和阿里云用户的供应链攻击

“通过针对 Telegram、AWS 和阿里云等平台中使用的流行软件包,攻击者表现出了很高的精确度。这不是随机行为,而是故意损害依赖这些广泛使用平台的特定用户,可能影响数百万人,”盖尔布写道。

这种攻击造成的损害远远大于受感染的设备,因为与这些平台关联的所有类型的数据(例如来自 Telegram 或 AWS 云数据的通信详细信息以及来自阿里云的业务相关数据)都可以被访问和利用。

这次攻击凸显出供应链攻击仍然是一种威胁,因为攻击者正在寻找第三方服务/软件中的漏洞来访问目标系统并窃取数据。

【阅读原文】



3、D-Link 确认发生数据泄露



台湾网络设备制造商 D-Link 证实了一起数据泄露事件,该事件与从其网络中窃取的信息有关,并于本月早些时候在 BreachForums 上出售。

攻击者声称窃取了 D-Link 的 D-View 网络管理软件的源代码,以及数百万个包含客户和员工个人信息的条目,其中包括该公司首席执行官的详细信息。

 

据称,被盗数据包括姓名、电子邮件、地址、电话号码、帐户注册日期和用户的上次登录日期。威胁行为者提供了 45 条被盗记录的样本,时间戳在 2012 年至 2013 年之间,这促使该线程中的另一位参与者评论说这些数据看起来非常陈旧。

“我攻破了台湾D-Link的内部网络,我拥有300万行客户信息,以及从系统中提取的D-View源代码,”攻击者说。

“这确实包括台湾许多政府官员以及公司首席执行官和员工的信息。”

自 10 月 1 日起,这些数据就可以在黑客论坛上购买,威胁行为者索要 500 美元来购买被盗的客户信息和所谓的 D-View 源代码。

D-Link 窃取的数据被出售

与攻击者声称窃取数百万用户数据的说法相反,D-Link 表示,受感染的系统包含大约 700 条记录,其中包含至少 7 年的账户信息。

“然而,根据调查,它只包含大约 700 条过时且零散的记录,这些记录至少已经闲置了七年,”D-Link表示。

“这些记录源自于 2015 年到期的产品注册系统。此外,大部分数据由低敏感度和半公开信息组成。”

D-Link 还怀疑威胁行为者故意篡改最近的登录时间戳,以制造最近数据被盗的假象。此外,该公司表示,大多数现有客户不太可能受到此事件的影响。

【阅读原文】



2023年10月19日 星期四

今日资讯速览:

1、 2023年度(第一期)CNNVD漏洞奖励评选结果公布


2、黑客组织摧毁美国司法系统,法院宣布:全面退回纸质时代!


3、研究人员披露:攻击者利用Discord分发Lumma Stealer恶意软件



1、 2023年度(第一期)CNNVD漏洞奖励评选结果公布


据悉,CNNVD于近期开展了2023年度(第一期)接报漏洞奖励评选工作,23个漏洞在我国网络安全漏洞预警及风险消控工作中发挥了积极作用。其中,北京长亭科技、奇安信、北京神州绿盟、北京赛博昆仑、杭州安恒等23个公司或个人获得了奖项。

【阅读原文】



2、黑客组织摧毁美国司法系统,法院宣布:全面退回纸质时代!








      在过去的一周里,堪萨斯州的司法系统勒索软件攻击而陷入困境。对州法院日常运作至关重要的多个系统受到了影响,包括堪萨斯州法院用于律师提交案件文件的电子归档系统、电子支付系统(包括信用卡交易和电子支票),以及地区和上诉法院用于案件处理的案件管理系统。堪萨斯州最高法院已经转向使用纸质记录来支持工作。










      针对这种情况,该州最高法院发布了一项行政命令,确认上诉法院和大多数地区法院的书记官办公室已关闭。

      尽管问题仍在继续,但法院仍在运作。然而,办事员目前无法接受电子申报或付款,所有提交都是以纸质或传真形式提交的。纸质文件也可提供专人递送或邮寄服务。

      堪萨斯州最高法院周四表示:“由于法院因电子钓鱼而无法进入,根据适用的规则和法规,某些申请的截止日期可能会延长。”

      法院将接受纸质文件和传真文件。如果需要付款,则不能接受传真文件。法院也不能接受电子付款,无论是通过信用卡、电子支票还是其他电子方式。






图片






      目前正在调查事件发生时发生了什么,它是如何发生的,以及攻击者获得的访问级别。最高法院决定暂停以电子方式提交文件,以便专家有时间分析事件。州长办公室没有回答为解决这个问题提供了哪些资源,但最近宣布了300万美元的赠款。从联邦政府获得的资金用于更新州法院使用的数字系统。








      堪萨斯州司法部门因上周的事件中断了用户对以下在线系统的访问:

堪萨斯州法院电子归档,接受电子归档文件。

堪萨斯州保护令门户网站,接受电子存档文件。

堪萨斯地区法院公共访问门户网站,允许搜索地区法院案件信息。

上诉案件查询系统,允许搜索上诉法院的案件信息。

堪萨斯州律师注册,允许通过姓名或编号搜索律师。

堪萨斯州在线婚姻许可证申请。个人仍然可以申请,但申请不会通过电子归档系统发送到地区法院进行处理。

在司法行政办公室运作的中央支付中心将无法代表地区法院处理付款。

堪萨斯州电子法院案件管理系统,地区法院使用该系统处理案件。








      司法行政办公室正在与多名专家合作调查这起安全事件,分析违规行为的性质、原因和程度。只有在调查完成后,才能提供受影响系统何时恢复在线的时间表。首席大法官Marla Luckert表示:“网站上的其他信息将指导法院用户在我们的信息系统离线时进行操作,我们继续为用户提供服务,但在我们的系统恢复之前,我们将使用不同的方法。”










      上周一,ALPHV勒索软件团伙声称两周前发生了一起袭击事件,影响了佛罗里达州西北部的第一司法巡回州法院。佛罗里达州法院当局表示,所有设施继续运营,没有中断,尚未确认ALPHV网络犯罪行动提出的勒索软件攻击主张。






【阅读原文】



3、研究人员披露:攻击者利用Discord分发Lumma Stealer恶意软件


据外媒10月16日报道,研究人员最新调查显示攻击者正在利用 Discord分发Lumma Stealer 信息窃取恶意软件。攻击者通常使用随机Discord帐户向目标发送消息,通过为项目寻求帮助并提供10美元或Discord Nitro boost来诱惑目标。目标同意后会被要求下载一个文件,其中包含Lumma Stealer。用户在选择链接或从未知来源下载文件时,应小心意外或未经请求的直接消息。在打开任何附件或选择链接之前,用户应首先验证发件人的身份。

【阅读原文】



2023年10月18日 星期三

今日资讯速览:

1、 国家互联网信息办公室等部门公布《生成式人工智能服务管理暂行办法》


2、乌克兰电信崩溃!俄黑客组织联合武装部队,摧毁11家电信公司


3、人民网发布《智能互联网发展报告》



1、 国家互联网信息办公室等部门公布《生成式人工智能服务管理暂行办法》



为促进生成式人工智能健康发展和规范应用,国家互联网信息办公室等部门公布《生成式人工智能服务管理暂行办法》(以下简称《办法》),充分表明支持生成式人工智能健康发展的态度,针对生成式人工智能发展的数据安全、个人隐私、虚假信息、知识产权等关键问题作出制度安排,是贯彻落实党中央对新技术新应用领域决策部署的重要举措,是全球首部针对生成式人工智能的专门立法,在促进产业发展和规制风险方面,形成了中国式立法探索。



《办法》充分表明了支持生成式人工智能发展的立法导向



习近平总书记强调,人工智能是新一轮科技革命和产业变革的重要驱动力量,加快发展新一代人工智能是事关我国能否抓住新一轮科技革命和产业变革机遇的战略问题。我国高度重视人工智能的健康发展,在生成式人工智能飞速发展的背景下,中共中央政治局召开会议强调“要重视通用人工智能发展,营造创新生态,重视防范风险”。《办法》贯彻落实党中央有关人工智能发展的重要指示,充分表明了我国支持生成式人工智能发展的态度。一是《办法》确立了促进生成式人工智能健康发展和规范应用的立法目的。《办法》在总则中首先将“促进健康发展”作为立法目的之一,同时明确了“国家坚持发展和安全并重、促进创新和依法治理相结合的原则,采取有效措施鼓励生成式人工智能创新发展,对生成式人工智能服务实行包容审慎和分类分级监管”。二是《办法》明确了以《科学技术进步法》为上位法依据。《科学技术进步法》是促进高水平科技自立自强的法治保障,《办法》以其为上位法,展示了我国健全生成式人工智能创新保障措施,促进生成式人工智能技术发展应用的导向。三是《办法》提出了鼓励生成式人工智能技术发展的具体举措。《办法》专门就“技术发展与治理”作出专章规定,特别是第五条、第六条提出了鼓励生成式人工智能技术发展的措施,明确国家鼓励生成式人工智能技术在各行业、各领域的创新应用;支持行业组织、企业、教育和科研机构、公共文化机构、有关专业机构等在生成式人工智能技术创新、数据资源建设、转化应用、风险防范等方面开展协作;鼓励生成式人工智能相关基础技术的自主创新,平等互利开展国际交流合作;推动生成式人工智能基础设施和公共训练数据资源平台建设等。总体来看,《办法》作为我国在生成式人工智能领域的专门立法,充分考虑了创新发展的客观需要,就生成式人工智能健康发展的关键问题规定了促进措施、明确了发展方向。



《办法》积极回应生成式人工智能可能带来的风险



国际社会积极关注生成式人工智能可能产生的数据安全、版权纠纷、算法治理等问题,表达了对由此带来的数据安全、国家安全风险的担忧。欧盟迅速在其备受关注的《人工智能法案》中区分了“基础模型”和生成式人工智能应用,并考虑将生成式人工智能应用纳入“高风险”管理,提出相应合规义务。英国注重引导生成式人工智能发展,特别强调了数据保护、透明度、风险评估、算法治理等8个方面的监管重点。世界主要国家和地区的立法及监管实践,对我国促进和规范生成式人工智能提供了相应经验和参考。

我国坚持发展与安全并重,在强调促进生成式人工智能发展的同时,也注重防范生成式人工智能可能带来的风险。《办法》对生成式人工智能可能产生的风险进行了规制。生成式人工智能对人工智能领域国家竞争力产生深远影响,但同时也对安全带来挑战。《办法》精准应对其带来的相关风险,明确义务和责任,对各界普遍关注的问题进行了回应,既符合现实需求,也符合国际趋势。第一,内容安全风险。生成式人工智能在训练过程中,如使用有偏见的数据进行训练,最终可能生成具有偏见或歧视的内容;同时,主导者的意志、观念对于生成式人工智能输出的内容具有较大影响,主导者如按照主观意愿与偏见对生成式人工智能进行训练,生成式人工智能将会延续偏见,最终造成潜在的社会隐患和危害。应对上述问题,《办法》提出了采取有效措施防止产生民族、信仰、国别、地域、性别、年龄、职业、健康等歧视以及其他法律、行政法规禁止的内容的要求。第二,侵害个人信息权益风险。《办法》明确了训练数据涉及个人信息的,应当取得个人同意或者符合法律、行政法规规定的其他情形,并要求生成式人工智能服务提供者及时受理和处理个人关于查阅、复制、更正、补充、删除其个人信息等的请求。第三,数据安全风险。用户在生成式人工智能中输入的数据可能会被用作进一步迭代的训练数据,并出现在后续生成式人工智能生成的内容中。由此,一旦用户输入的信息中包含个人信息、商业秘密等数据,将面临无形之中被泄露的风险。对此,《办法》规定,生成式人工智能服务提供者对生成式人工智能服务使用者的输入信息和使用记录应当依法履行保护义务。



《办法》进一步强化了生成式人工智能发展治理的法律制度



《办法》针对数据、内容安全、知识产权等生成式人工智能发展的关键问题,作出了明确的制度安排。一是在数据领域,《办法》鼓励公共数据的有序开放,推动公共数据分类分级有序开放,拓展高质量的公共训练数据资源;明确训练数据的处理规则,要求数据和基础模型的来源合法,并采取有效措施提高训练数据质量;衔接个人信息保护规则,规定个人信息的收集、留存、向他人提供等均应依法进行。二是在内容领域,《办法》鼓励生成积极健康、向上向善的优质内容,要求不得生成法律、行政法规禁止的内容,并要求对图片、视频等生成内容进行标识。三是在知识产权领域,《办法》明确了尊重知识产权的原则性要求,明确训练数据处理活动不得侵害他人依法享有的知识产权。《办法》衔接了《网络安全法》《数据安全法》《个人信息保护法》《科学技术进步法》有关网络安全、数据安全、个人信息保护等的要求,科学处理了与现有立法之间的关系,为生成式人工智能发展治理进行了全面系统的制度安排。

综上所述,《办法》是全球首部专门规范生成式人工智能服务的立法,是我国在新兴领域立法的最新成果,体现了我国对新技术新应用发展规制策略的持续推进。我国高度重视新兴领域立法工作,应对新技术新应用快速发展趋势,围绕算法、深度合成等突出领域及时开展立法工作,出台相应管理规定,促进和规范行业发展。对算法歧视、“大数据杀熟”、诱导沉迷、深度伪造等国内外关注的问题,及时作出立法回应。《办法》立足于我国新兴领域立法经验和基础,以促进生成式人工智能健康发展为目标,积极构建符合我国实际的治理制度,有助于促进人工智能产业健康发展。

【阅读原文】



2、乌克兰电信崩溃!俄黑客组织联合武装部队,摧毁11家电信公司






 2023年5月至9月期间,被追踪为“Sandworm”的俄罗斯国家支持的黑客组织在乌克兰入侵了11家电信服务提供商。这是基于乌克兰计算机应急小组(CERT-UA)的一份新报告,该报告引用了“公共资源”和从一些被破坏的供应商那里检索到的信息。








图片






      该机构表示,俄罗斯黑客“干扰”了该国11家电信公司的通信系统,导致服务中断和潜在的数据泄露。

      Sandworm是一个非常活跃的间谍威胁组织,与俄罗斯武装部队有联系。它在整个2023年都将注意力集中在乌克兰,攻击中使用了网络钓鱼诱饵、安卓恶意软件和数据擦除器。











瞄准电信公司











      攻击开始于Sandworm使用“masscan”工具对电信公司的网络进行侦察,对目标的网络进行扫描。






图片



质量扫描脚本示例






      Sandworm寻找开放端口和未受保护的RDP或SSH接口,可以利用这些接口破坏网络。

      此外,攻击者使用“ffuf”、“gowitness”等工具来查找Web服务中的潜在漏洞,这些漏洞可用于获取访问权限。未受多因素身份验证保护的受损VPN帐户也被用来获得网络访问权限。

      为了让他们的入侵更加隐蔽,Sandworm使用“Dante”、“socks5”和其他代理服务器通过他们之前入侵过的乌克兰互联网区域内的服务器来进行他们的恶意活动,使其看起来不那么可疑。CERT-UA报告称,在被破坏的ISP系统中发现了两个后门,即“Poemgate”和“Poseidon”。

      Poemgate捕获试图在受损端点中进行身份验证的管理员的凭据,为攻击者提供访问其他帐户的权限,这些帐户可以用于横向移动或更深层次的网络渗透。Poseidon是一个Linux后门,乌克兰机构称其“包含全套远程计算机控制工具”。Poseidon的持久性是通过修改Cron以添加流氓作业来实现的。






图片



Cron 二进制修改以增加 Poseidon 的持久性






      Sandworm使用Whitecat工具删除攻击痕迹并删除访问日志。

      在攻击的最后阶段,黑客部署了会导致服务中断的脚本,尤其是关注Mikrotik设备,并擦除备份,使恢复更具挑战性。






图片



损害 Mikrotik 设备的脚本






      CERT-UA建议乌克兰所有服务提供商遵循指南中的建议,使网络入侵者更难入侵其系统。



【阅读原文】



3、人民网发布《智能互联网发展报告》


10月16日,在 2023(第八届)党媒网站发展论坛上,人民网研究院发布了《智能互联网发展报告》的主要内容。指出当前比较突出的智能互联网应用主要体现在AIGC、智慧医疗、智慧农业、智能制造、智慧科研等十个方面。《报告》阐述了智能互联网内涵特征、行业应用、发展挑战及未来展望等,以期助力智能互联网健康发展,推动网络强国与数字中国建设。

【阅读原文】



2023年10月17日 星期二

今日资讯速览:

1、 微软计划在 Windows 11 中取消 NTLM ,使用 Kerberos 进行更强大的身份验证


2、思科披露新漏洞 系在产品中使用了硬编码密码导致


3、关基安全重大挫折!美国水务行业叫停强制性网络安全规定



1、 微软计划在 Windows 11 中取消 NTLM ,使用 Kerberos 进行更强大的身份验证



微软本周早些时候宣布,未来将在 Windows 11 中取消 NTLM 身份验证协议。


NTLM(新技术 LAN 管理器的缩写)是一系列用于验证远程用户身份并提供会话安全性的协议。


Kerberos 是另一种身份验证协议,它已取代 NTLM,现在是 Windows 2000 以上所有 Windows 版本上域连接设备的当前默认身份验证协议。


虽然 NTLM 是旧 Windows 版本中使用的默认协议,但如今仍在使用,并且如果出于任何原因 Kerberos 失败,将改用 NTLM。


威胁参与者在NTLM 中继攻击中广泛利用 NTLM ,迫使易受攻击的网络设备(包括域控制器)对攻击者控制下的服务器进行身份验证,从而提升权限以获得对 Windows 域的完全控制。


尽管如此,NTLM 仍然在 Windows 服务器上使用,允许攻击者利用ShadowCoerce、DFSCoerce、PetitPotam和RemotePotato0等漏洞,这些漏洞旨在绕过 NTLM 中继攻击缓解措施。


NTLM 还成为哈希传递攻击的目标,网络犯罪分子利用系统漏洞或部署恶意软件从目标系统获取 NTLM 哈希(代表哈希密码)。


一旦拥有哈希值,攻击者就可以利用它来验证受感染用户的身份,从而获得对敏感数据的访问权限并在网络上横向传播。


微软表示,自 2010 年以来,开发人员不应再在其应用程序中使用 NTLM ,并一直建议 Windows 管理员禁用 NTLM 或配置其服务器以使用 Active Directory 证书服务 (AD CS) 阻止 NTLM 中继攻击。


不过,微软现在正在开发两个新的 Kerberos 功能:IAKerb(使用 Kerberos 进行初始和传递身份验证)和本地 KDC(本地密钥分发中心)。


“Kerberos 的本地 KDC 构建在本地计算机的安全帐户管理器之上,因此可以使用 Kerberos 完成本地用户帐户的远程身份验证,”微软的 Matthew Palko 解释道。


“这利用 IAKerb 允许 Windows 在远程本地计算机之间传递 Kerberos 消息,而无需添加对其他企业服务(如 DNS、netlogon 或 DCLocator)的支持。IAKerb 也不需要我们在远程计算机上打开新端口来接受 Kerberos 消息”。


Microsoft 打算在 Windows 11 中引入两项新的 Kerberos 功能,以扩大其用途并解决导致 Kerberos 回退到 NTLM 的两个重大挑战。


第一个功能 IAKerb 使客户端能够在更广泛的网络拓扑中使用 Kerberos 进行身份验证。第二个功能涉及 Kerberos 的本地密钥分发中心 (KDC),它将 Kerberos 支持扩展到本地帐户。


Redmond 还计划扩展 NTLM 管理控制,为管理员提供更大的灵活性来监控和限制其环境中的 NTLM 使用。


“所有这些更改都将默认启用,并且在大多数情况下不需要配置。NTLM 将继续作为维持现有兼容性的后备方案,”Palko 说。


“减少 NTLM 的使用最终将导致它在 Windows 11 中被禁用。我们正在采用数据驱动的方法并监控 NTLM 使用的减少情况,以确定何时可以安全地禁用它。


“与此同时,您可以使用我们提供的增强控件来抢占先机。默认情况下禁用后,客户还可以出于兼容性原因使用这些控件重新启用 NTLM。”

【阅读原文】



2、思科披露新漏洞 系在产品中使用了硬编码密码导致



近日,思科披露了 Cisco Emergency Responder 的一个漏洞 CVE-2023-20101,此漏洞是由于 root 帐户存在静态用户凭据,这些凭据通常保留供开发期间使用。攻击者可通过使用该帐户登录到受影响的系统来利用此漏洞。成功利用此漏洞可使攻击者以根用户身份登录受影响的系统并执行任意命令。此漏洞仅影响思科紧急响应程序版本 12.5(1)SU4,目前思科已发布解决此漏洞的软件更新。

【阅读原文】



3、关基安全重大挫折!美国水务行业叫停强制性网络安全规定



安全内参10月16日消息,美国环保署将不再强制要求,美国供水设施在卫生检查过程中执行网络安全审计。这对于正在努力改进美国关键基础设施网络安全的拜登政府不啻为重大打击。

上周四,环保署给各州饮用水管理机构致信表示,由于共和党执政州和贸易协会提起诉讼,质疑对供水设施网络安全进行监管的提案不具备长期法律可行性,环保署决定废除3月要求实施水务部门网络安全规定的备忘录。


环保署的上述声明,标志着白宫加强关键基础设施部门网络安全法规的努力遭受了重大挫折。拜登政府的国家网络安全战略将改善关键基础设施的数字防御能力视为重要任务。

关键基础系统的所有者和运营商正努力应对泛滥的勒索软件攻击和国家网络攻击,以及对美国最敏感网络的渗透行为。在关键基础设施领域,一次重大网络攻击可能会造成极其严重的后果。美国的供水设施在网络安全方面尤为薄弱。

环保署发言人在声明中表示:“尽管备忘录因诉讼而撤销,改善水务部门的网络安全依然是环保署的最高优先事项之一。供水和废水设施面临严重网络安全威胁,这种威胁在不断增加。”

环保署表示,他们鼓励“所有州自愿审查公共供水系统的网络安全计划,确保发现并纠正任何漏洞,并为需要帮助的系统提供支持。”



推动强制性网络安全阻力重重


对于未来如何协调现有16个关键基础设施领域的各项法规而言,水务部门网络安全管理规定的撤销并不是一个好兆头。许多关键基础设施领域,譬如供水和废水领域,缺乏网络安全法规。美国国家网络安全战略认为,如果这些行业按照自愿原则来规范网络安全,会面临“成效不充分或不平衡”等问题。

通过环保署规范供水设施网络安全是拜登政府的创造性政策举措。然而,此举从一开始就备受争议。水务行业强烈反对使用环保署现有权限增加网络安全法规。一些专家质疑卫生检查并非执行网络安全法规的正确工具,因为传统上卫生检查并不涉及任何了解保护工业系统复杂性的审计人员。

水务部门网络安全规定颁布后一个月,密苏里、阿肯色和艾奥瓦州即提起诉讼,试图阻止环保署通过卫生检查执行网络安全规定。美国第八巡回上诉法院裁定在诉讼期间停止实施该措施。

美国供水协会和全国农村供水协会也提起诉讼,导致水务部门网络安全规定实施受阻。两家协会发表声明,表示他们“对(法院)决定感到满意,并再次呼吁在水务部门采用与电力部门类似的合作性网络安全措施。”

这两家贸易团体再次呼吁采用与电力部门相似的共同监管模式。该模式将赋予环保署对标准的监督和审计权,并与业界合作制定标准。

环保署因未能保护美国供水与废水系统而受到批评。一些人建议设立新的水务部来承担这项任务。


参考资料:https://cyberscoop.com/epa-calls-off-cyber-regulations-for-water-sector/

【阅读原文】



2023年10月16日 星期一

今日资讯速览:

1、 Steam游戏被黑客植入恶意软件,Valve紧急启动双重认证


2、阿里云、华为、金山办公等发起,人工智能安全治理专业委员会成立


3、密码泄露及时通知,谷歌为自家搜索 App 添加一系列隐私功能



1、 Steam游戏被黑客植入恶意软件,Valve紧急启动双重认证



近日,多名游戏开发者的 Steam 账号被黑客入侵,之后黑客通过游戏更新散播恶意软件。


图片据 Valve 公司称,只有不到 100 名 Steam 用户安装了这些被植入恶意软件的游戏,并且他们已经通过电子邮件通知了这些用户。


虽然黑客这次利用 Steam 分发恶意软件并没有取得很大成功,但 Valve 已经采取了重大措施来防止此类事件再次发生。据 IT 之家了解,从 10 月 24 日开始,游戏开发者在更新已发布游戏的默认分支(即 Steam 会自动在自动更新中向大多数安装了该游戏的玩家提供的版本)之前,必须通过双重认证(Two Factor Authentication)检查。


图片短信将是接收双重认证代码的唯一方式,因此开发者必须注册一个手机号码,以便在他们想要更新他们游戏的主要发布版本时使用。


Steam 合作伙伴还需要使用短信验证来添加他们组织中的新用户,并且 Valve 称计划在未来为其他 Steam 后台操作添加两步安全检查。

【阅读原文】



2、阿里云、华为、金山办公等发起,人工智能安全治理专业委员会成立



IT之家 10 月 15 日消息,“中国网络空间安全协会”官方公众号昨日下午宣布,10 月 12 日上午,中国网络空间安全协会人工智能安全治理专业委员会正式成立。

据介绍,该委员会由国家互联网应急中心、北京智源研究院、上海人工智能实验室、阿里云、华为、金山办公等单位发起,首批成员单位共 58 家,包含有关领域高校、研究院所、企业等。

该委员会将组织人工智能领域产学研单位开展技术创新、产业协作、成果转化和行业自律,并在模型安全、内容安全、数据安全、隐私保护和知识产权保护方面不断提升人工智能安全治理能力。

首批成员单位在成立大会上还建言表示,面向高质量中文语料库开发、模型安全评测、垂直领域大模型安全应用等人工智能安全治理工作扎实攻关、开放交流、深度合作。

另据IT之家此前报道,全国信息安全标准化技术委员会宣布《生成式人工智能服务安全基本要求》面向社会公开征求意见,该文件对生成式人工智能服务在语料安全、模型安全、安全措施、安全评估等方面给出了基本要求。

【阅读原文】



3、密码泄露及时通知,谷歌为自家搜索 App 添加一系列隐私功能



IT之家 10 月 13 日消息,谷歌此前为 Chrome 浏览器推出多项新安全措施,声称可“强化用户隐私功能”,IT之家昨日曾报道,谷歌已为 Android 版 Chrome 浏览器引入了一项“删除 15 分钟内浏览数据”特性。

谷歌目前表示,任何拥有谷歌账号的用户,近日都可以在“谷歌手机软件”中启用“暗网报告”功能,谷歌在今年 5 月公布这项功能,可在用户密码泄露时告知用户,谷歌声称,这一“暗网报告”功能即将全面上线,将会先提供给 Android 版用户,之后将“很快推向 iOS 版用户”。

▲ 图源 谷歌

此外,谷歌还宣布,密码管理器(Password Manager)已经内置在“谷歌手机软件”中,并支持跨平台同步,相关用户可以借助这一应用,在多平台间同步密码信息。

▲ 图源 谷歌

【阅读原文】



2023年10月13日 星期五

今日资讯速览:

1、 微软针对 Bing AI 启动 Bug 悬赏计划,奖金最高 15000 美元


2、杭州某科技公司未履行数据安全保护义务受处罚


3、CURL数据传输项目维护人员发布针对严重损坏内存漏洞的补丁



1、 微软针对 Bing AI 启动 Bug 悬赏计划,奖金最高 15000 美元



IT之家 10 月 13 日消息,微软安全响应中心今天发布新闻稿,宣布启动新一轮 BUG 悬赏计划,不过本次悬赏的重点是以 Bing AI 为主的 AI 产品,最高赏金为 15000 美元(IT之家备注:当前约 11 万元人民币)。

本次悬赏计划主要面向 AI 产品,IT之家在此附上内容如下:

  • 包括 Bing Chat、Bing Chat for Enterprise 和 Bing Image Creator 在内,网页版 Bing 提供的 AI 体验。

  • 包括 Bing Chat for Enterprise,Microsoft Edge (Windows) 中基于 AI 的 Bing 集成

  • 在 iOS 和安卓版 Microsoft Start 应用中整合的 Bing 功能

  • 在 iOS 和安卓版 Skype 应用整合的 Bing 功能。

微软表示,这个新计划是“过去几个月进行的一系列关键投资”的结果。这些改进包括专门针对其人工智能服务的公司漏洞严重性分类的新更新,以及人工智能安全研究挑战。

【阅读原文】



2、杭州某科技公司未履行数据安全保护义务受处罚


近日,浙江省网信办依据《数据安全法》《行政处罚法》等法律法规,对杭州某科技公司作出罚款5万元的行政处罚,对该公司直接负责人作出罚款1万元的行政处罚。报道指出,根据国家网信办移交的问题线索,浙江省网信办依法对杭州某科技公司未履行数据安全保护义务的问题进行立案调查。经查实,该公司旗下某生活类APP相关数据库服务端口直接暴露在互联网环境中,存在未授权访问漏洞,未按要求履行数据安全保护义务,违反《数据安全法》第二十七条之规定。

【阅读原文】



3、CURL数据传输项目维护人员发布针对严重损坏内存漏洞的补丁


10月11日,CURL数据传输项目的维护人员发布了针对严重损坏内存漏洞的补丁,该漏洞使数百万企业操作系统、应用程序和设备面临恶意黑客攻击。该错误编号为CVE-2023-38545,存在于处理设备和服务器之间数据交换的libcurl库中。受影响的版本已标记libcurl版本 7.69.0至8.3.0。该项目人员表示问题已在CURL 8.4.0中得到修复。

【阅读原文】



2023年10月12日 星期四

今日资讯速览:

1、 黑客公开HelloKitty源码并称在开发更强大的加密器


2、利用“黑科技”APP获利4795万元,南通一团伙被抓!


3、超140亿元资金失窃?印度一支付网关服务被黑,损失创纪录



1、 黑客公开HelloKitty源码并称在开发更强大的加密器


据外媒10月9日报道,黑客kapuchin0在XSS论坛上公开了勒索软件HelloKitty的源代码,并声称正在开发一种新的更强大的加密器。发布的hellokitty.zip压缩包包含一个Microsoft Visual Studio解决方案,可构建HelloKitty加密器和解密器以及NTRUEncrypt库。勒索软件源代码的公开虽有助于安全研究,但也容易被攻击者滥用开发自己的恶意软件。

【阅读原文】



2、利用“黑科技”APP获利4795万元,南通一团伙被抓!



“只要在APP中输入手机号码,就能知道对方的定位,你还不赶紧下载?”家住南通市崇川区的王先生在某短视频平台刷到这样的广告不由心动,于是通过广告的链接下载了该款APP。当王先生想使用手机号码定位功能时,APP提示需要充值成为会员才能使用。于是他充值118元成为了会员,但是当他输入对方手机号码想使用定位功能时,APP却又弹出界面显示“双方均安装该APP并且添加好友对方同意后才能显示对方位置”。王先生才意识到自己被骗了,立刻报警。10月10日,南通崇川法院发布了这起案件。

图片

  2020年12月起官某、黄某等人利用公司员工、朋友身份等信息在深圳市注册多家公司,将公司营业执照用于上架多款定位类、数据恢复类APP。上述公司上架了“闪电定位”7款定位类APP,核心功能为用户下载后需付费使用,且对方也必须下载该APP,授权同意后,用户方可输入手机号定位对方,即使用该类定位APP的前置条件为“定位需要双方下载授权同意”。上述公司还在市场上架“数据恢复王”3款数据恢复APP,核心功能为用户下载后需付费使用,仅可恢复用户有备份或缓存的数据,即使用该数据恢复类APP的前置条件为“用户需对数据有备份或缓存才可进行恢复”。

  “现在,大家不管是工作还是生活都离不开手机,手机里存储的电子数据信息、文件要是被删除,影响很大,都急于恢复;还有一部分人出于各种目的,想知道他人的具体位置,跟踪定位的市场需求也很突出。”案发后,官某供述开发定位类和数据恢复类APP的“灵感”。

  官某等人明知APP并不具备无前置条件定位及数据恢复功能的情况下,依旧对上述APP进行开发、维护,在推广、宣传时使用的图片、视频中,将前置条件的提示语置于隐蔽地方,且使用的字体较小,引诱被害人下载并充值。他们将APP客服设置成自动回复等方式,拒不给发现被骗的被害人退款。

  涉案APP因投诉被市场下架后,官某等人对涉案APP更换马甲重新上架,以此继续通过同样手段实施诈骗。他们分工合作,逐渐形成了包括APP源代码开发、封装上架、推广宣传、应对投诉在内的一条完整产业链,采取上述方式共计骗得人民币4795万余元。

  官某供述:“我们的收费标准一般是几十块钱,最多一百块钱出头,不算多,大部分人发现被骗了也懒得追究。”还有一个重要原因是,很多被害人下载定位类APP的动机不纯,想用这种软件实施盯梢、窥探隐私等违背道德和法律的行为,所以即使发现被骗也只能“哑巴吃黄连”。

  崇川法院经审理认为,官某等人利用虚假广告的方法行为实施诈骗,数额特别巨大,应当以诈骗罪定罪处罚,最终判处官某等人有期徒刑十二年到五年不等。

【阅读原文】



3、超140亿元资金失窃?印度一支付网关服务被黑,损失创纪录



安全内参10月11日消息,近日一起重大网络犯罪事件浮出水面。黑客成功入侵印度支付网关服务提供商Safexpay公司(STPL)账户,窃取了超过1618亿卢比(约合人民币141.84亿元,19.44亿美元)资金。

据报道,攻击者对Safexpay发动攻击后进行非法操作,系统性地从各种银行账户中挪去资金,其中一些已经非法转移到国外,转移过程持续了很长一段时间。印度马哈拉施特拉邦塔那警察当局披露了STPL公司遭遇的网络攻击事件。

当地高级官员宣布,该邦的斯利那加警察局已将Safexpay网络攻击事件记录在案,塔那警察网络犯罪小组正在合作调查此事。


黑客攻击事件详情


这起骗局曝光得益于一次客户投诉。投诉者指控不明身份人士成功侵入有六年历史的STPL支付网关,随后将资金转移到数百个银行账户。

调查STPL网络攻击的人员追踪到,从STPL挪至他处的款项高达2.5亿卢比(约合300万美元)之巨。这些款项存入了Riyal Enterprises公司在印度发展信贷银行(HDFC)开设的账户。

Riyal Enterprises公司总部位于塔那,在塔那市及其郊区设有五家分支机构。警方表示:“黑客控制了该公司在一家著名国有银行开设的托管银行账户,并将大约2.5亿卢比转移到不同的未知账户。”

通过对Riyal Enterprises进一步调查,警方发现一张至少由260个账户构成的网络。这些账户分散在各个银行,都与这起金融欺诈有牵连。

警方对这260个账户展开初步调查,发现约1600亿卢比(约20亿美元)遭大规模挪用,其中相当一部分被转移到国外账户。

塔那警方发布声明,他们实地走访了Riyal Enterprises公司,发现了多个银行账户和协议。


此类网络攻击并非新事


根据对STPL网络攻击的相关报道,这一骗局已经持续了一段时间。直到今年4月有人发起投诉,称有超过2.5亿卢比资金被非法转移,攻击事件才为人所知。

后续调查显示,最初的投诉只是冰山一角。这一骗局涉及的总金额可能超过1600亿卢比。

上周五,瑙伯达警方依据印度刑法和信息技术法多项条款,对多名个人正式出具“第一信息报告”(FIR),包括Jitendra Pandey、Sanjay Singh、Amol Andhale(化名Aman)和Sameer Dighe(化名Kedar)。

塔那警方及其网络犯罪小组正在对Safexpay网络攻击事件展开持续调查。

不过,值得注意的是,目前尚未有人被逮捕。被指控的人里,Jitendra Pandey或许是关键人物。他在银行业拥有近十年工作经验。

执法机构怀疑,对Safexpay的网络攻击影响广泛,可能牵扯到很多其他个体。他们有的使用伪造文件开设银行账户,有的利用虚假材料成立了五家合伙企业,目的都是要欺骗政府。


印度掀起网络犯罪浪潮


在此事件发生之前,来自喜马偕尔邦的一个诈骗团伙从2018年开始行骗,五年内欺骗了数百名投资者,非法获利超过20亿卢比。

被指控与该团伙有关的人士许诺投资比特币可在短期内获得大额收益,吸引了一大批投资者。

这说明STPL网络攻击并不是单一事件。相反,它反映了印度网络犯罪威胁不断增长的现实。此类事件说明,数字领域迫切需要加强网络安全措施、提高警惕。


参考资料:https://thecyberexpress.com/safexpay-hacked-financial-fraud-unveiled/

【阅读原文】



2023年10月11日 星期三

今日资讯速览:

1、 Curl库两个新安全补丁将于10月11日发布


2、全球众多黑客组织加入巴以冲突数字斗争战局


3、全球最大移动虚拟运营商遭网络攻击,导致数百万用户通信中断



1、 Curl库两个新安全补丁将于10月11日发布


据外媒10月9日报道,Curl库的维护人员披露了该开源工具中存在的两个安全漏洞。标识符分别为CVE-2023-38545和CVE-2023-3 8546。研究人员尚未透露有关漏洞和受影响版本范围的更多信息,但表示新版本curl 8.4.0以及有关两个漏洞的详细信息将于10月11日06:00左右发布。

【阅读原文】



2、全球众多黑客组织加入巴以冲突数字斗争战局






全球黑客组织正在“选边站队”,对以色列和巴勒斯坦数字基础设施开展网络攻击,在网络空间塑造了巴以冲突的第二战场。


“孟加拉国神秘团队”“匿名者苏丹”“巴基斯坦疯狂团队”“Garnesia团队”“甘诺赛团队”“摩洛哥黑客网络军”“网络行动联盟”等伊斯兰黑客组织发起了代号为OPISRAEL和OpIsraelV2的行动,对以色列国家电力局、《耶路撒冷邮报》、总会计师等网站发起网络攻击,导致部分网站无法访问。“匿名者苏丹”甚至攻击了以色列“铁穹”导弹防御系统和以色列“警报”应用程序。亲俄罗斯黑客组织Killnet等也开始攻击以色列多个目标机构,并导致以色列政府网站下线。印度黑客组织则对巴勒斯坦国家银行和电信公司等目标发动网络攻击,其中黑客组织“印度网络力量”声称攻击致瘫了哈马斯官方网站。包括 SilenOne、Garuna Ops和Team UCC Ops等其他亲以色列黑客组织也很活跃。


黑客组织的网络攻击构成了现代战争的数字冲突新前沿。新加坡网络安全公司 Group-IB表示,在巴以冲突升级期间,各种威胁组织正在加入战局,并对政府网站和IT系统发起攻击。地面和网络空间的战斗愈演愈烈,以色列正在地面和网络空间两条战线上开展反击。


奇安网情局编译有关情况,供读者参考。




















图片




随着巴以冲突升级,战事也转移到网络领域。在火箭弹升空、平民迅速逃离之际,服务器群和计算机屏幕上正在出现一个不同的战场。伊斯兰黑客组织和以色列间的网络战不断升级,印度黑客团体正在加入其长期盟友的战局。








OPISRAEL和OpIsraelV2:网络空间的武装号召




















伊斯兰黑客组织发起的针对以色列数字基础设施的行动,加剧了已经使以色列陷入战争状态的冲突。


“孟加拉国神秘团队”(Mysterious Team Bangladesh)、“匿名者苏丹”(Anonymous Sudan)、“巴基斯坦疯狂团队”(Team Insane Pakistan)、“Garnesia团队”(Garnesia Team)、“甘诺赛团队”(Ganosecteam)、“摩洛哥黑客网络军”(Moroccan Black Army)、“网络行动联盟”(Cyber Operations Alliances)等伊斯兰黑客组织发起了代号为OPISRAEL和OpIsraelV2的行动。随着哈马斯发动导弹袭击,伊斯兰黑客组织正在将这场战斗演变成一场多线战斗。相关组织正在撒下一张大网,包括攻击以色列总会计师网站和以色列国家电力局。




图片






图片








不仅仅是网络:黑客还在瞄准“铁穹”




















“匿名者苏丹”正在加紧行动。该组织不满足于摧毁网站,他们的目标是以色列的移动全天候防空系统“铁穹”。“匿名者苏丹”10月7日声称袭击了以色列“铁穹”导弹防御系统,并表示攻击了以色列的“警报”应用程序。“匿名者苏丹”甚至还对以色列重要媒体《耶路撒冷邮报》网站(Jpost.com)发起攻击,导致该网站瘫痪超过5个小时。


《耶路撒冷邮报》10月8日在社交媒体X(前身为 Twitter)上表示,“《耶路撒冷邮报》今天早上遭到多次网络攻击,导致我们的网站崩溃。我们很快就会回来,并将继续成为有关‘铁剑行动’和哈马斯凶残袭击的主要信息来源。”




图片








动荡混乱:亲俄罗斯黑客加入战局




















在哈马斯武装分子发动武装袭击后,包括亲俄罗斯黑客组织 Killnet 等网络团伙,开始瞄准以色列的多个目标机构。以色列政府网站(gov.il)10月8日晚下线,Killnet 迅速在社交网络Telegram上宣布对此次攻击承担全部责任。


Killnet在被黑网站上声称,“以色列政府,你们要为这场流血事件负责。早在2022年,你们就支持了乌克兰的恐怖政权,你们背叛了俄罗斯。今天,Killnet正式通知你们!以色列的所有政府系统都将受到我们的攻击!”




图片




另一俄罗斯黑客组织“俄罗斯网络军”(Cyber Army of Russia)正在开展一项民意调查,以确定其应该支持何方。




图片








出手相援:印度黑客崭露头角




















亲以色列黑客活动分子也很活跃。印度黑客组织加大力度支持以色列,对国家银行(tnb.ps/en)和电信公司(paltel.ps)等巴勒斯坦目标发动网络攻击。他们声称摧毁了哈马斯官方网站(harmas.ps)。


据悉,哈马斯官方网站由黑客组织“印度网络力量”(India Cyber Force)所关闭。其他亲以色列黑客组织包括 SilenOne、Garuna Ops和Team UCC Ops等。




图片








以色列:数字堡垒




















在网络安全方面,以色列并非新手。以色列拥有一些世界领先的网络安全公司,其网络防御是全球最强大的。因此尽管一些黑客组织可能希望快速取得一些胜利,但摧毁以色列的数字基础设施并非易事。








网络攻防:现代冲突的新战线




















这不仅仅是一场数字冲突,这是现代战争的新前沿,陆地和网络空间的战斗愈演愈烈。以色列不仅面临军事威胁,还面临网络攻击,并且正在两条战线上进行反击。与此同时,印度黑客表明,当涉及他们的盟友时,他们已经准备好运用最佳策略,即使这意味着陷入网络战争。


总部位于新加坡的网络安全公司 Group-IB 表示,各种威胁组织已介入以色列和哈马斯间的冲突。该公司研究人员10月8日在X上表示:“我们看到,在巴以冲突升级期间,威胁组织正在加入战局,并对政府网站和IT系统发起攻击。”




图片


【阅读原文】



3、全球最大移动虚拟运营商遭网络攻击,导致数百万用户通信中断



安全内参10月9日消息,英国移动虚拟运营商巨头莱卡移动(Lyca Mobile)确认遭遇网络攻击,导致数百万用户的服务中断。

莱卡移动自称是全球最大的移动虚拟运营商,基于英国网络运营商EE的基础设施开展业务,业务覆盖23个国家/地区,拥有超过1600万客户。

莱卡移动日前发布声明,确认安全事件导致客户无法通过其网站、应用程序或商店完成充值,一些国内、国际通话也受到干扰。

根据莱卡移动的简短声明,除美国、澳大利亚、乌克兰和突尼斯外,上述问题影响了该公司其他所有市场。莱卡移动称,攻击者至少访问了系统中保存的部分个人信息,正在“紧急调查”是否还有个人信息在此期间遭到泄漏。

莱卡移动在声明中说:“我们有信心所有记录都已完全加密。我们将与专业合作伙伴一起核实情况,并随时向客户提供更新。”

莱卡移动发言人Cara Whitehouse在接受采访时,拒绝就网络攻击的性质发表评论,但表示公司“重点是将我们所有的运营服务恢复正常运行。” 莱卡移动未透露具体与哪家第三方事件响应者合作调查事件,也未回答其使用何种加密方式的问题。

莱卡移动补充说,已经在所有地区市场恢复移动电信服务,但表示某些运营服务尚未彻底恢复。

英国信息专员办公室发言人Adele Burns表示,该数据保护监管机构尚未收到莱卡移动的数据泄露报告。一般情况下,公司必须在发现数据泄露后72小时内通知信息专员办公室。

莱卡移动官网声明网页含有“noindex”代码。这条代码告知搜索引擎忽略该网页,导致受影响的客户难以通过搜索引擎找到这条声明。莱卡移动承认这一情况,但没有解释为什么要在官网隐藏这条声明。

在报道这次网络攻击时,TechCrunch发现另外一起与莱卡移动有关的潜在安全事件——莱卡移动的内容管理系统可公开访问。系统包括各种新闻发布稿,其中就有莱卡移动关于前述网络攻击的声明。本文发布之前,TechCrunch已将这一潜在事件告知莱卡移动。

莱卡移动发言人Whitehouse表示,该系统是“供应商和合作伙伴使用的测试环境”。莱卡移动已将受影响的内容管理系统下线。


参考资料:https://techcrunch.com/2023/10/04/lyca-mobile-blames-cyberattack-for-network-disruption/

【阅读原文】



2023年10月10日 星期二

今日资讯速览:

1、日本AI指导方针草案提出使用方也担责


2、金融监管部门提示:谨防“AI 换脸”等新型诈骗手段


3、科技部等十部门联合印发《科技伦理审查办法(试行)》



1、日本AI指导方针草案提出使用方也担责



  【共同社10月7日电】为了妥善利用生成文章和图像的生成式人工智能(AI),日本政府正推进制定面向企业等的指导方针。共同社6日获悉了草案,其中显示不仅是AI开发商和服务提供商,使用AI开展业务的企业和团体也将承担一定的责任。

  指导方针明确了创造AI基础性技术的“算法开发者”、提供基于AI的服务和软件的“服务实施者”以及运用AI开展业务的企业等五大业务主体须共同担负责任和义务。

  其中指出,社会所追求的方向是“开发和使用AI是为了拓展人们的能力,使追求幸福成为可能”,“不得以企图侵犯人权、实施恐怖主义及犯罪为目的、或助长上述行为的不当输入输出方式提供或使用AI”。由于使用AI可能导致个人信息泄露和侵犯著作权,指导方针提醒恪守法令。

  指导方针还要求各业务主体的经营层共同关注侵犯人权、信息外泄及侵犯著作权等风险,建议与企业内的法务部门等合作,研究制定“AI政策”。此外强调,应维持公平的竞争环境以推进AI技术革新,为提升全社会的AI素养做出贡献。(完)

【阅读原文】



2、金融监管部门提示:谨防“AI 换脸”等新型诈骗手段



IT之家 10 月 9 日消息,近年来,不法分子不断翻新诈骗手段,让金融消费者防不胜防,个人财产安全受到严重威胁。IT之家注意到,国家金融监督管理总局北京监管局近日发布风险提示,提醒消费者近期重点防范三种新型欺诈手段,守护家人亲朋财产安全。


骗局一:校园贷款连环套,又欠钱来又被骗

国家金融监督管理总局北京监管局近期监管发现,不法分子往往以“零门槛、无抵押、无利息”等不实信息为噱头,诱导学生盲目借贷,刻意隐瞒手续费与服务费、还款期限、逾期赔偿等关键信息,导致借贷学生背负高额利息。在学生无力偿还欠款时,不法分子再次出动,诱骗学生从新的平台贷款,以贷还贷,周而复返形成连环贷。一些不良校园贷机构、不良培训机构、职业中介机构还会打着专业培训、兼职实习介绍、就业推荐等幌子,捆绑推荐借贷业务,诱骗学生通过高息借贷缴纳培训费、中介费。或是伪装成政府工作人员,以“禁止大学生网贷”“查询征信”为由,诱导学生将网络贷款转至所谓的“清查账户”,导致借贷学生陷入资金和信用的双重危机。


骗局二:眼见不为真,“AI 换脸”迷人眼

不法分子利用非法获取的个人信息,通过计算机算法仿真合成受骗者亲人、领导同事或公职人员的肖像面容与声音,冒充上述人员身份行骗。在获得受害者信任后使用事先准备好的套路话术向受害人发送银行卡转账、虚拟投资理财、刷单返利等诈骗信息,并利用视频通话、语音轰炸等手段进一步降低受害者的防备心,受害者往往在短时间内难以察觉异样,一旦听信诈骗分子的骗术并完成转账,对方便杳无音信。


骗局三:冒充监管行骗

近期,有不法分子冒充金融监管部门或其工作人员打着“保护资金”“消除不良征信”“受理投诉”等旗号实施诈骗。在具体的诈骗手段上,不法分子通过冒用金融监管部门身份,通过短信、快递信函、互联网等渠道发布虚假“保护资金”信息,引诱消费者向其缴纳保证金等作为回款条件实施诈骗; 更有甚者,利用非法获取的消费者个人信息,以“解决投诉”等理由联系消费者,诱导其进入不法分子制作的诈骗网站或 App,进而骗取消费者银行卡号、网银密码及验证码等重要信息,盗取消费者资金。


国家金融监督管理总局北京监管局提示:


一是树立正确消费观念,选择正规金融机构,不超前借贷、不通过非正规金融机构渠道借贷。有借款、理财、保险等金融需求的,应通过具备相应业务资质的正规金融机构获取金融服务,切勿盲目相信广告短信、陌生电话、不明网址、街头广告、“专家大师”推荐等非正规途径。


二是加强个人信息保护,谨防重要信息泄露。广大金融消费者要在日常生活中仔细辨识存在个人信息泄露的风险点。妥善保管好自己与家人的身份证号、电话住址、银行卡号及密码等重要信息,不点击不明链接、不下载不明软件、不扫描不明二维码; 谨慎参与网络问卷调查、授权手机 App 协议、连接公共热点 Wi-Fi; 积极学习《中华人民共和国个人信息保护法》,发现信息泄露的行为时,勇于向有关部门举报反映,共同维护、营造良好的信息保护环境。


三是提高反诈意识,学习反诈知识。随着人工智能的蓬勃发展,文字、声音、图像甚至视频都可能是深度合成的,因此在涉及转账汇款等资金往来时,要通过拨打对方手机号、当面核实等渠道多方核实、查验真伪,一定不要仅凭单一沟通渠道未经核实就转账汇款。同时,积极参与消费者权益保护主题教育活动,接受反诈知识科普。关注官方网站、公众号、主流宣传专栏等发布的日常反诈提醒及真实案例,认识诈骗手段手法。手机下载全民反诈 App,发现可疑情况时及时报警,陷入骗局时也切莫慌张,注意留存证据,积极配合公安机关案件侦查,全力挽回损失。


四是了解自身合法权益,通过官方渠道合理维权。主动了解咨询金融机构与监管部门的常态工作流程,个人权益受损时,首先选择金融机构公布的官方投诉受理渠道进行处理,未达成一致时,可向当地金融纠纷调解组织申请调解或者向金融监管部门反映,通过官方渠道合法合理解决金融消费问题,正当维护自身权益,坚决抵制“代理维权”“征信修复”“协商还款”“代理退保”等非法行为。

【阅读原文】



3、科技部等十部门联合印发《科技伦理审查办法(试行)》


10月8日,由科技部、教育部、工信化部等十部门联合印发的《科技伦理审查办法(试行)》正式公布。审查办法划定了科技伦理审查的主要范围,明确了科技伦理审查的责任主体、科技伦理(审查)委员会的设立标准和组织运行机制,明确了科技伦理审查的基本程序,确定了伦理审查内容和审查标准。

【阅读原文】



2023年10月09日 星期一

今日资讯速览:

1、单个漏洞利用链最高近1.5亿元!零日漏洞收购价格暴涨


2、国家密码管理局发布《商用密码应用安全性评估管理办法》


3、索尼确认最近两次黑客攻击中数据被盗



1、单个漏洞利用链最高近1.5亿元!零日漏洞收购价格暴涨



安全内参10月8日消息,一家收购并出售零日漏洞的公司出价2000万美元(约合人民币1.46亿元),向安全研究人员购买黑客工具,帮助该公司的客户入侵iPhone和安卓设备。

这家名为Operation Zero的公司总部位于俄罗斯,于2021年成立。

9月底,Operation Zero在Telegram和X(即推特)官方帐户上宣布,他们将发现主流移动平台零日漏洞的报酬从20万美元提高到2000万美元。


该公司称:“我们提高赏金,并为合同工作提供有竞争力的计划和奖金,意在鼓励开发团队与我们的平台合作。和以前一样,我们的最终用户是非北约国家。公司在其官方网站上表示:“我们的客户仅为俄罗斯的私人和政府组织。”

当被问及他们为什么只向非北约国家售卖产品,Operation Zero首席执行官Sergey Zelenyuk拒绝透露原因。他说:“除了显而易见的原因外,没有其他原因。”

Zelenyuk还表示,Operation Zero目前提供的赏金金额可能是暂时的,反映了这段时间特殊的市场行情,以及入侵iOS和安卓系统的难度。

Zelenyuk在一封电子邮件中写道:“特定项目的定价在很大程度上取决于在零日市场上获取产品的难易程度。目前,移动智能手机的全链条漏洞是最昂贵的产品,主要由政府行为者使用。有时,需要某种产品的行为者愿意出高价,赶在他方之前获得产品。


零日漏洞市场中介层出不穷


至少近十年以来,世界各地的各种公司一直向安全研究人员提供赏金,鼓励出售漏洞和利用这些漏洞的黑客技术。与HackerOne或Bugcrowd等传统漏洞赏金平台不同,Operation Zero这样的公司不会向产品易受攻击的供应商发通知,而是将这些漏洞出售给政府客户。

这本质上是一个灰色市场,价格波动大,客户身份通常保密。但是,也有公司像Operation Zero这样公开发布价格表。

比如,Zerodium成立于2015年,提供250万美元的赏金,鼓励寻找让客户无需与目标互动即可入侵安卓设备的漏洞链。打个比方,目标不必点击钓鱼链接就会被黑。Zerodium官网表示,对于上述类型的漏洞链,他们会提供最高200万美元的赏金。

由于现代移动设备的安全缓解措施和防御不断增强,黑客可能需要一系列零日漏洞才能完全入侵并控制目标设备。

总部位于阿联酋的Crowdfense是Zerodium的竞争对手。他们为安卓和iOS系统相同类型的漏洞链开出最高300万美元的赏金。

Zelenyuk表示,他认为Zerodium和Crowdfense提供的赏金不至于降低到如此低的水平。Zelenyuk说:“Zerodium的价格表已经过时。他们不可能还用这么低的价格购买漏洞。他们只是懒得更新价格表。更不更新都不影响零日业务的正常运行。”

零日市场基本上不受监管。但在某些国家,公司可能需要从所在国政府获得出口许可证。本质上,这个过程是请求批准向某些可能受限制的国家出售产品。如此一来,零日市场已被割裂,受政治影响越来越大。


参考资料:https://techcrunch.com/2023/09/27/russian-zero-day-seller-offers-20m-for-hacking-android-and-iphones/

【阅读原文】



2、国家密码管理局发布《商用密码应用安全性评估管理办法》


10月7日,国家密码管理局发布了《商用密码应用安全性评估管理办法》,对依法应当使用商用密码进行保护的重要网络与信息系统,明确要求同步规划、同步建设、同步运行商用密码保障系统,并定期进行商用密码应用安全性评估,并明确了商用密码应用安全性评估活动的实施依据。自2023年11月1日起与《商用密码检测机构管理办法》同步实施。

【阅读原文】



3、索尼确认最近两次黑客攻击中数据被盗


外媒10月5日消息,索尼证实今年遭遇两次重大数据泄露,可能导致大量个人信息泄露。第一次数据泄露由Clop勒索软件集团通过MOVE it Transfer平台中的零日漏洞发起,索尼在发现攻击后暂时断网并修复了相关漏洞,但已经导致美国6791人的个人信息被泄露。第二次数据泄露勒索攻击组织窃取了超过3.14GB包含大量用户详细信息的数据,目前调查仍在继续当中。

【阅读原文】



2023年10月08日 星期日

今日资讯速览:

1、消息称数百个 GitHub 存储库被黑客注入恶意代码,安全公司呼吁用户使用新版令牌


2、全球网络安全专家联名抗议欧盟“24小时”漏洞披露规定


3、Sonatype:市面上 1/8 的开源组件存在已知漏洞,相关项目维护积极性正逐步减少



1、消息称数百个 GitHub 存储库被黑客注入恶意代码,安全公司呼吁用户使用新版令牌



IT之家 10 月 5 日消息,网络安全公司 Checkmarx 日前发现,GitHub 上有数百个储存库遭到黑客注入恶意代码。据悉,除了公开储存库之外,这次攻击事件也影响一些私人储存库,因此研究人员推测攻击是黑客利用自动化脚本进行的。

据悉,这起攻击事件发生在今年 7 月 8 日到 7 月 11 日,黑客入侵数百个 GitHub 储存库,并利用 GitHub 的开源自动化工具 Dependabot 伪造提交信息,试图掩盖恶意活动,让开发者以为提交信息是 Dependabot 所为,从而忽视相关信息。

IT之家经过查询得知,攻击总共可分为三个阶段,首先是确定开发者“个人令牌”,安全公司研究人员解释,开发者要进行 Git 操作,就必须使用个人令牌设置开发环境,而这一令牌会被储存在开发者本地,很容易被获取,由于这些令牌不需要双重验证,因此黑客很容易就能确定这些令牌。

▲ 图源 Checkmarx

第二阶段则是窃取凭据,研究人员目前还不确定黑客如何获取开发者凭据,但是他们猜测最有可能的情况,是受害者的电脑被恶意木马感染,再由恶意木马将第一阶段的“个人令牌”上传到攻击者的服务器。

▲ 图源 Checkmarx

最后阶段便是黑客利用窃取来的令牌,通过 GitHub 验证对储存库注入恶意代码,而且考虑本次攻击事件规模庞大,研究人员推断黑客利用自动化程序,进行相关部署。

安全公司 Checkmarx 提醒开发者,即便在 GitHub 这样的可信任平台,也要谨慎注意代码的来源。之所以黑客能够成功发动攻击,便是因为许多开发者在看到 Dependabot 消息时,并不会仔细检查实际变更内容。

而且由于令牌存取日志仅有企业账号可用,因此非企业用户也无法确认自己的 GitHub 令牌是否被黑客获取。

研究人员建议,用户可以考虑采用新版 GitHub 令牌(fine-grained personal access tokens),配置令牌权限,从而降低当令牌泄露时,黑客所能造成的损害。

▲ 图源 Checkmarx

【阅读原文】



2、全球网络安全专家联名抗议欧盟“24小时”漏洞披露规定




近日,来自Google、电子前沿基金会、CyberPeace Institute、ESET、Rapid7、Bugcrowd和趋势科技等多个组织的数十位网络安全专家联名签署并发表了一封公开信,反对欧盟《网络韧性法案》中关于“漏洞利用后24小时内披露”的要求,声称该漏洞披露规定会适得其反,制造新的威胁,并损害数字产品及其用户的安全。


欧盟的《网络韧性法案》(CRA)旨在为包含数字元素的产品设定新的网络安全要求,以加强硬件和软件的网络安全规则,保护消费者和企业免受(网络)安全缺陷的影响。该法案由欧洲委员会主席乌苏拉·冯·德莱恩在2021年9月首次提出,并在2022年9月发布了初始提案。目前,该法案正在由欧盟的共同立法者制定中。







新法案要求企业在24小时内披露未修补的漏洞















CRA的第11条要求制造商和软件发布商在漏洞被利用后的24小时内向(欧盟成员国)政府机构披露未修补的漏洞。这意味着(欧盟成员国)数十个政府机构将能够访问一个实时的漏洞数据库,这个“24小时漏洞库”将包含大量未修补漏洞的信息,成为黑客垂涎欲滴的目标。








“24小时漏洞库”的风险














CRA的漏洞披露规则带来的风险包括情报和监控滥用、暴露给黑客以及对合法安全研究的负面影响等。专家们的公开信中指出:“CRA没有限制通过其披露的漏洞的攻击性用途,几乎所有欧盟成员国都没有透明的监督机制,这为潜在的滥用打开了大门。”








建议的措施














专家们在信中建议CRA采取基于风险的漏洞披露方法,考虑诸如漏洞的严重性、缓解措施的可用性、对用户的潜在影响和更广泛利用的可能性等因素。他们提出了一些修改建议,包括:

  • 禁止机构使用或分享通过CRA披露的漏洞进行情报、监视或攻击性活动;

  • 只有在有效的缓解措施(例如,补丁)公开可用后,才要求在72小时内报告可以缓解的漏洞;

  • CRA不应要求报告通过善意安全研究利用的漏洞等。


今年7月,多个IT和科技行业团体还曾发布一份改进欧盟CRA的建议清单,敦促联合立法者不要将速度置于质量之上,以避免出现意想不到的结果,并建议“漏洞利用后24小时内汇报”仅限于已修复且被积极利用的高危漏洞,以减轻制造商的漏洞报告负担。








结论














在数字化日益普及的今天,如何平衡漏洞披露和安全防御,如何确保信息安全的同时又不妨碍安全研究和技术进步,成为亟待解决的问题。欧盟的网络韧性法案在保护消费者和企业方面迈出了一步,但在漏洞披露的具体规则和实施上,显然还需要进一步的探讨和完善。


参考链接:

https://www.centerforcybersecuritypolicy.org/insights-and-research/joint-letter-of-experts-on-cra-and-vulnerability-disclosure

https://www.itic.org/documents/europe/FINAL20230712JointRecommendationsforaFeasibleCyberResilienceAct%5B26%5D.pdf


【阅读原文】



3、Sonatype:市面上 1/8 的开源组件存在已知漏洞,相关项目维护积极性正逐步减少



IT之家 10 月 6 日消息,软件提供商 Sonatype 日前发布了《2023 年软件供应链状况》报告,号称“深入探讨了如何在充满选择的世界中定义更好的软件,并探究了 AI 对软件开发的深远影响,还研究了开源供应、需求和安全之间错综复杂的相互作用,阐明了监管部门应对网络安全风险而采取的措施”等内容。

IT之家从 Sonatype 报告中得知,其认为“开源项目在近年来经历了显著的增长,表明了正在进行的业界创新浪潮”。

据悉,报告跟踪了 Java(Maven)、JavaScript(npm)、Python(PyPI)、.NET(NuGet Gallery)四大开源生态系统的开源应用增长情况,2022 年至 2023 年间,开源项目的数量平均增长了 29%。

▲ 图源 Sonatype 

2023 年,开源项目平均发布了 15 个可供使用的版本,不同开源注册中心的特定生态系统平均有 10 到 22 个版本。这意味着每个月都会发布 1-2 个新版本,在观察到的生态系统中总共发布了 6000 万个新版本。

不过 Sonatype 同时指出,虽然开源项目在逐步增加,但用户群体数量“并没有跟上步伐”,2023 年,开源项目用户的平均增长率为 33%,相对于 2021 年的 73% 大幅下降。

而在安全方面,该软件提供商认为,开源项目的安全问题并没有“放缓的迹象”。截至 2023 年 9 月,研究团队共发现了 245032 个恶意软件包,是往年总和的 2 倍。1/8 的开源下载存在已知风险,且仍有 23% 的 Log4j 下载存在严重漏洞。

▲ 图源 Sonatype 

在开源项目的维护方面,Sonatype 认为,相关开源项目的“维护参与度”变得越来越少。去年有近五分之一(18.6%)的项目停止维护,影响了 Java 和 JavaScript 生态系统。只有 11% 的开源项目实际上得到了积极维护。尽管存在这些缺陷,但该软件公司仍然表示,近 96% 存在已知漏洞的组件下载可以通过选择“无漏洞版本”来避免。

而在软件供应链成熟度方面,当下软件物料清单的需求正在上升,而相关软件的“安全优势”愈发突出。不过考虑到软件供应商自我报告的成熟度水平,与第三方评估的软件成熟度水平存在显著差距,Sonatype 认为,需要以中立第三方的方式对各软件供应链成熟度进行评估。

▲ 图源 Sonatype 

在 AI 方面,97% 的受访 DevOps 和 SecOps 领导者表示,他们目前在工作流程中某种程度上使用了人工智能,大多数人每天使用两个或更多工具。去年,企业环境中 AI 和 ML 组件的采用率增加了 135%。

【阅读原文】



2023年10月07日 星期六

今日资讯速览:

1、利用木马软件远程控制电脑,涉案金额达298.2万元,警方抓获30人!


2、BBC 阻止 OpenAI 抓取数据,但对人工智能用于新闻持开放态度


3、GPU.zip最新研究公布!几乎影响所有GPU制造商



1、利用木马软件远程控制电脑,涉案金额达298.2万元,警方抓获30人!






人在家中坐得好好的

怪事悄然发生









灯火阑珊处,夜深人静时

你的电脑开始自主搜索

滑动、翻找你的聊天记录

选择“心仪”的对象发送消息

发送人显示是熟睡中的你

监控摄像头捕捉到的

只有无尽的黑夜和空洞










图片












近日,浙江温州平阳县公安网安部门破获一起案件,抓获涉案犯罪嫌疑人30名,退赔退赃118万元。









图片








案情回顾


















今年4月,平阳县公安局网安大队接辖区内某公司财务人员小陈报警,称其电脑被他人非法控制,嫌疑人利用其微信指令出纳小张往不同的银行卡转账,造成经济损失298.2万元。













案件深挖

















原来,境外诈骗团伙先是通过网络招募境内黑客技术员,制作了木马程序。


随后他们将伪装成“***政策计划”的木马程序邮件群发至国内企业邮箱,企业工作人员打开程序,便感染了木马病毒,黑客远程控制其电脑,伪装身份,伺机作案。


案发当天,出纳小张就是接收到微信上的”财务小陈“指示,从而进行了三次大额转账。微信上的”小陈“说话语气和断句习惯与平时发邮件时一模一样。






图片



不仅如此

该木马程序可自主呈“几何式扩散”







利用企业邮箱传播达到远程控制目的后,黑客利用被控制电脑登录企业员工聊天工具,再进行二次传播,并重复上述作案过程,致使该病毒达到量级传播。


危害程度可想而知,案件侦破迫在眉睫。






图片










线索浮出

















结合受害方财务室内监控和涉案电脑勘验结果,民警排除了公司内部人员作案的嫌疑。


随后,民警通过对远控软件的层层追踪,彻底弄清楚其流程。


犯罪团伙利用微信、邮箱传播,致使受害企业财务人员的计算机被控制,企业财务秘密“一览无遗”。


在时机成熟之际,黑客就会模仿财务人员的口吻向出纳发出转账指令,让企业蒙受巨额损失。







图片










收网行动

















对案情抽丝剥茧后,专案民警分别在浙江、广西、河南、江西等地组织开展收网行动,一举捣毁了一个以廖某为首的黑客工作室和以葛某为首的洗钱团伙,抓获涉案犯罪嫌疑人30名。


经审讯,犯罪嫌疑人对其违法犯罪的行为供认不讳。


民警结合案件病毒以及远控端数据源分析,发现辖区内另有预警风险企业23家。


平阳公安已实地走访排查13家,并做好对企业财务人员转账规范的提醒工作。






图片



图片















案件特点



























01







作案目标明确,迷惑性强。







该类犯罪主要针对企业财务人员。犯罪团伙制作木马程序后,伪装成国家相关政策文件木马程序,并发送至企业邮箱,从而降低了企业员工的防范意识,达到植入木马的目的。

















02







木马呈几何式扩散,溯源较难。







该木马程序利用企业邮箱传播达到远程控制目的后,犯罪嫌疑人利用被控制电脑登录企业员工聊天工具进行二次传播,并重复上述作案过程,致使该病毒达到量级传播。





03







木马伪装性强,不易被发现。







犯罪团伙对木马实时更新,普通杀毒软件无法查杀该木马程序。企业电脑中毒后,犯罪嫌疑人将使用远程控制端窥视该电脑使用情况,进一步判断电脑使用人员的身份、作息规律、聊天语气等,并伺机作案。







提示














(一)普及安全防范意识教育














企业需加大对重点岗位工作人员的信息安全知识普及教育,不随意点击下载陌生人发布的链接、文件。

























(二)加强信息安全技术支持














企业电脑需配置防火墙、入侵检测等防护技术,定期更新软件、查杀木马,一旦发现电脑出现不明文件或异常操作,要立刻切断网络,并向公安机关报案。

























(三)健全完善内部管理制度













企业需进一步完善信息安全管理制度,明确内部职责和管理流程,如设置多道审批确认程序,加强财务审批、出纳确认等关键环节的日常防范管理,确保企业财产安全。






【阅读原文】



2、BBC 阻止 OpenAI 抓取数据,但对人工智能用于新闻持开放态度


IT之家 10 月 7 日消息,英国最大的新闻机构 BBC 发布了其在评估使用生成型人工智能(Gen AI)的原则,包括用于新闻、档案和“个性化体验”的研究和制作。

BBC 国家事务总监罗德里・塔尔凡・戴维斯在一篇博客文章中表示,该广播公司认为人工智能技术提供了“为我们的观众和社会带来更多价值”的机会。

他提出了三个指导原则,即 BBC 将始终以公众的最大利益为出发点,通过尊重艺术家的权利来优先考虑人才和创造力,并对 AI 生成的内容保持开放和透明态度。

BBC 表示,将与科技公司、其他媒体组织和监管机构合作,安全开发生成式人工智能,并重点维护对新闻行业的信任。

但是,在 BBC 确定如何最好地使用生成型人工智能的同时,也阻止了 OpenAI 和 Common Crawl 等网络爬虫访问 BBC 网站。该广播公司加入了 CNN、《纽约时报》、路透社等新闻机构的行列,阻止网络爬虫访问其受版权保护的内容。戴维斯说,这一举措是为了“维护许可费支付者的利益”,并且未经 BBC 许可就用 BBC 数据训练 AI 模型不符合公众利益。

IT之家注意到,其他新闻机构也提出了他们对这项技术的看法。美联社今年早些时候发布了自己的指导方针,其还与 OpenAI 合作,分享其内容来训练 GPT 模型。

【阅读原文】



3、GPU.zip最新研究公布!几乎影响所有GPU制造商


最近,来自四所美国大学的研究人员开发出了一种新的 GPU 侧通道攻击,可利用数据压缩技术在访问网页时从现代显卡中泄漏敏感的视觉数据。

研究人员通过 Chrome 浏览器可执行跨源 SVG 滤镜像素窃取攻击,这也证明了这种 "GPU.zip "攻击的有效性。研究人员于 2023 年 3 月向受影响的显卡制造商披露了该漏洞。截至 2023 年 9 月,受影响的 GPU 厂商,包括AMD、苹果、Arm、英伟达、高通、谷歌Chrome 浏览器等均未推出解决该问题的补丁。

德克萨斯大学奥斯汀分校、卡内基梅隆大学、华盛顿大学和伊利诺伊大学厄巴纳-香槟分校的研究人员在一篇论文中详细概述了这一新漏洞,该论文于第 45 届电气和电子工程师学会安全与隐私研讨会上正式发表。


通过压缩泄密


一般来说,数据压缩会产生明显的数据依赖性 DRAM 流量和缓存利用率,这可能会被滥用于数据泄露,因此软件在处理敏感数据时会关闭压缩功能。

GPU.zip 研究人员解释说,所有现代图形处理器单元,尤其是集成的英特尔和 AMD 芯片,即使没有明确要求,也会执行软件可见的数据压缩。

现代图形处理器将这种危险的做法作为一种优化策略,因为它有助于节省内存带宽,并能够在不使用软件的情况下提高性能。

这种压缩通常不会留下记录,但研究人员已经找到了一种数据可视化的方法。他们演示了一种可以在各种设备和 GPU 架构上通过网络浏览器提取单个像素数据的攻击方式,如下图所示:

不同系统的测试结果


概念验证攻击演示了从维基百科 iframe 中窃取用户名的过程,使用 Ryzen GPU 和英特尔 GPU 分别可在 30 分钟和 215 分钟内完成,准确率分别为 97% 和 98.3%。

找回用户名


iframe 承载了一个跨源网页,其像素被分离并转换成二进制,即可转换成两种颜色。然后这些像素会被放大,并应用专门的 SVG 过滤器堆栈来创建可压缩或不可压缩的纹理。研究人员可以通过测量纹理渲染所需的时间,推断出目标像素的原始颜色/状态。

GPU.zip 攻击概念


在 "Hot Pixels "攻击中,SVG 过滤器被用以诱导数据的执行,JavaScript 则被用来测量计算时间和频率,以辨别像素的颜色。

Hot Pixels 利用的是现代处理器上依赖数据的计算时间,而 GPU.zip 则利用未注明的 GPU 数据压缩来实现类似的结果。


GPU.zip 的严重性


GPU.zip 几乎影响了所有主要的 GPU 制造商,包括 AMD、苹果、Arm、英特尔、高通和英伟达,但并非所有显卡都受到同样的影响。

事实上,所有受影响的厂商都没有选择通过优化数据压缩的方法并将其操作限制在非敏感情况下,来修复该问题,因为这可能会进一步提高风险。

尽管 GPU.zip 有可能影响全球绝大多数笔记本电脑、智能手机、平板电脑和台式电脑,但由于执行攻击十分复杂并且需要大量时间,所以对用户的直接影响并不明显。

此外,拒绝跨源 iframe 嵌入的网站也无法通过这种或类似的侧信道攻击泄漏用户数据。

研究人员在该团队网站上的常见问题中解释说:大多数敏感网站已经拒绝被跨源网站嵌入,因此它们并不容易受到 GPU.zip 安装的像素窃取攻击。

最后,研究人员指出,Firefox 和 Safari 并不符合 GPU.zip 运行所需的所有条件,例如允许跨源 iframe 使用 cookies 加载、在 iframe 上呈现 SVG 过滤器以及将呈现任务委托给 GPU。

【阅读原文】




[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

最后于 2023-10-31 13:32 被Editor编辑 ,原因:
收藏
免费 1
支持
分享
最新回复 (2)
雪    币: 2119
活跃值: (1890)
能力值: ( LV5,RANK:70 )
在线值:
发帖
回帖
粉丝
2
感谢分享
2023-10-7 16:52
1
雪    币: 136
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
3
感谢
2023-11-2 09:05
0
游客
登录 | 注册 方可回帖
返回
//