-
-
[推荐]【每日资讯】 | 人大代表李雪莹:建议北京市中小学全面开设网络安全课程 | 2024年1月26日 星期五
-
发表于: 2024-1-2 14:25
-
2024年1月26日 星期五
今日资讯速览:
1、人大代表李雪莹:建议北京市中小学全面开设网络安全课程
2、后果严重:Sys:All 允许通过 Google 帐户接管 Kubernetes 集群
3、NSPX30 :通过植入应用软件更新绕过防病毒软件
1、人大代表李雪莹:建议北京市中小学全面开设网络安全课程
今年北京市两会期间,北京市人大代表、天融信科技集团董事长兼CEO李雪莹提交了《关于促进未成年人网络安全素养教育的议案》,提示应高度重视并着力解决这一问题。李雪莹建议应将网络安全素养教育全面纳入中小学课程体系;设立专项资金,搭建市级网络安全统一线上教育平台;政家校企合力,共同促进未成年人网络安全意识、能力提升。
2、后果严重:Sys:All 允许通过 Google 帐户接管 Kubernetes 集群
不正确的配置允许任何用户将木马引入集群。
安全公司Orca Security在Google Kubernetes Engine ( GKE )中发现了一个漏洞,该漏洞允许拥有 Google 帐户的攻击者获得对 Kubernetes 集群的控制权。该问题的代号为 Sys:All。据估计,大约有 250,000 个活跃的 GKE 集群受到该漏洞的影响。
根据 Orca Security 的一份报告,该问题是关于系统的一个常见误解: GKE 中的经过身份验证的组。system:authentiated 组是一个特殊的组,包含所有经过身份验证的对象,包括用户和服务帐户。许多人认为该群组只包含经过验证的用户,而事实上它包含任何 Google 帐户。此问题可能会产生严重后果,因为管理员可能会无意中授予该组过多的权力。
尤其危险的是外部攻击者,他们可以使用 Google OAuth 2.0 令牌来获取集群的控制权,然后将其用于各种目的,包括加密货币挖矿、拒绝服务 ( DoS ) 攻击和窃取敏感数据。此外,这种方法不会留下任何可以追溯到特定Gmail或Google Workspace帐户的痕迹。
各种敏感数据都面临风险,包括 JWT 令牌、GCP API 密钥、AWS 密钥、Google OAuth 凭证、私钥和容器注册表访问,这可能导致恶意代码被注入到容器映像中。
Google 已采取措施解决该缺陷,方法是在 GKE 1.28 及更高版本中禁用 system:authentiated group 与 cluster-admin 角色的关联。该公司还建议用户不要将 system:authentiated 组与任何 RBAC(基于角色的访问控制)角色关联起来,并检查其集群是否与该组关联。
此外,Google 还在事件威胁检测和主动策略控制器规则中包含了检测规则。与这些群组有关联的所有 GKE 用户都已收到电子邮件通知,要求他们重新考虑其配置。
Orca 研究人员警告说,尽管 Google 进行了改进,但仍有许多其他角色和权限可以分配给系统:经过身份验证的组。因此,组织应确保该组没有过多的权限,以避免可能的威胁。
3、NSPX30 :通过植入应用软件更新绕过防病毒软件
攻击者绕过防病毒软件并在受害者的系统中获得永久立足点。
斯洛伐克公司ESET 发现了 一个代号为 Blackwood的此前未知的黑客组织的活动,并将其。该组织自 2018 年以来一直活跃,专门从事中间对手 ( AitM ) 攻击,该攻击拦截更新合法软件的请求以提供复杂的 NSPX30 植入。
NSPX30植入物存在于腾讯QQ、WPS Office、搜狗拼音等知名程序的更新机制中。这些攻击针对的是中国、日本和英国的制造、贸易和工程公司以及个人。
根据安全研究员 Facundo Muñoz 的说法, NSPX30 是一个多阶段植入程序,包括植入程序、安装程序、下载程序、编排程序和后门,每个程序都有自己的一组插件。
该植入物能够拦截数据包,使 NSPX30 操作员能够隐藏其基础设施。该后门还能够通过将自身列入白名单来绕过许多防病毒解决方案。
该后门的起源与另一种名为 Project Wood (2005) 的恶意软件有关,该恶意软件用于收集系统和网络信息、记录击键并对受感染的系统进行屏幕截图。
当尝试通过未加密的HTTP协议 从合法服务器下载软件更新时,NSPX30 就会被激活,从而导致系统受到攻击并部署恶意DLL。
在受感染的更新过程中加载的恶意植入程序会在磁盘上创建多个文件,并启动“RsStub.exe”以使用DLL 侧载方法激活“comx3.dll” 。
NSPX30协调器创建两个线程来接收后门并加载其插件,并且还添加了例外以绕过中国的防病毒解决方案。
后门程序通过向中文搜索引擎百度网站发出 HTTP 请求来下载,将该请求伪装成 Windows 98 上的 Internet Explorer。此后,服务器的响应将保存在一个文件中,从中提取并下载后门组件。
NSPX30 还创建一个被动UDP套接字来接收来自管理器的命令并窃取数据,可能会拦截DNS请求数据包以匿名化其C2基础设施。
后门命令允许您创建反向 shell、收集有关文件的信息、终止某些进程、截取屏幕截图、记录击键,甚至将您自己从受感染的计算机中删除。
这一发现重要地提醒我们,网络威胁正在不断演变,需要世界各地的组织持续关注并改进防御,特别是在关键基础设施中。
2024年1月25日 星期四
今日资讯速览:
1、泰国5500万公民疫苗信息疑遭泄漏
2、Apple 发布 iOS 17.3,警告 WebKit 零日漏洞
3、阿根廷警察 259GB 数据泄露于暗网
1、泰国5500万公民疫苗信息疑遭泄漏
1月上旬泄漏的泰国公民信息数量几乎超过了去年全年的总和。
近日,泰国网站9near.org扬言泄漏从疫苗登记记录中获得的5500万泰国公民个人信息。泰国刑事法院紧急发布命令封锁了该网站,并警告任何其他被发现散布“9near.org”泄漏的泰国公民数据的网站也将面临封锁。
5500万公民疫苗信息泄漏
根据Resecurity的报告,9near.org网站的运营者名为“9Near–Hacktivist”,他在Breach Forum数据泄漏网站上发布公告,声称已经获取了5500万泰国公民详细个人信息(PII),包括全名、出生日期、身份证号码和电话号码。泰国乡村医生协会表示,这些信息可能源自卫生部免疫中心的数据泄露。
泰国是网络犯罪风险最高的国家之一,根据《2023年全球网络犯罪报告》,泰国在“十大网络犯罪风险最高国家”中排名高居第二:
近年来泰国积极发展信息和通信技术,正迅速成为亚太地区数字化领域的重要参与者,其网络安全态势正配合数字经济发展快速改善。
报告显示,从2022年下半年到2023年初,泰国数据泄露事件大幅下降。2022年第三季度,泰国每千人中约有6.8起数据泄露事件。令人印象深刻的是,到2023年第一季度,这一数字骤降至仅千分之一。
泰国两周数据泄漏超去年全年
但随着2024年的到来,泰国的数字安全态势急剧恶化。仅在2024年1月上旬,网络犯罪论坛上就至少发布了14起泄露泰国公民信息的重大数据泄露事件,几乎超过了去年的泄露记录的年度总量。
除9near.org窃取的5500万泰国公民数据外,一个名为Naraka的网络犯罪分子正在暗网传播大量被盗泰国公民个人身份信息和KYC用户信息。据信这些敏感细节来自各种被入侵的(泰国)数字平台。
就在元旦庆祝活动前夕,人们发现黑客在Telegram上积极出售被盗泰国公民数据。这些泄露数据包括数量惊人的53.8万条记录,其中包含包括公民身份证号码等详细信息。
安全专家指出,由于暗网中存在大量用于KYC用户认证的敏感个人信息,泰国的电子商务、金融科技和政府资源正在成为黑客的重点攻击目标。与2023年相比,1月份泰国发生的网络攻击频率有显著增加,暗网上涉及泰国消费者和企业的数据泄露事件数量不断增加。
参考链接:
https://www.resecurity.com/blog/article/cybercriminals-leaked-massive-volumes-of-stolen-pii-data-from-thailand-in-dark-web
2、Apple 发布 iOS 17.3,警告 WebKit 零日漏洞
Apple 正在推出其旗舰 iOS 和 macOS 平台的新版本,其中包含多个 WebKit 漏洞的补丁,这些漏洞在野外被用作零日漏洞。
该设备制造商表示,最新的 iOS 17.3 和 macOS Sonoma 14.3 更新修复了至少 16 个已记录的漏洞,这些漏洞使苹果用户面临代码执行、拒绝服务和数据泄露攻击。
这家库比蒂诺公司呼吁紧急关注已经在零日攻击中被利用的三个 WebKit 安全缺陷。
按照惯例,苹果没有公布技术细节或妥协指标来帮助防御者寻找妥协迹象。根据一份准系统的 iOS 17.3 通报,WebKit 缺陷之一——CVE-2024-23222——可能已被新版本的操作系统利用。
“处理恶意制作的网页内容可能会导致任意代码执行。苹果公司已获悉有关该问题可能已被利用的报告,”该公司表示。“通过改进检查解决了类型混淆问题。”
一份单独的公告记录了两个 WebKit 错误(CVE-2023-42916 和 CVE-2023-42917),Apple 表示这些错误可能已被针对 iOS 16.7.1 之前的 iOS 版本利用。
iOS 和 MacOS 更新还修复了 Apple Neural Engine、CoreCrypto、邮件搜索、重置服务、快捷方式和时区中的安全问题。
3、阿根廷警察 259GB 数据泄露于暗网
据知道创宇暗网雷达监测,阿根廷警察 (Policía Federal Argentina – PFA)259GB 数据被泄露。其内容包含电子邮件、文件、窃听录音、警察官方照片、犯罪案件记录等信息。
黑客发布的相关文件信息截图
黑客发布的相关文件信息
目前只有截图样本,从样本图片来看数据时间为2020年。
2024年1月24日 星期三
今日资讯速览:
1、“美证券交易委员会 X 平台账号遭黑案”调查出炉:黑客利用 SIM 卡交换技术发起攻击
2、英国公布司法人员使用AI的官方指南《人工智能司法指南》
3、超 260 亿条数据被泄露,涉及多家知名公司
1、“美证券交易委员会 X 平台账号遭黑案”调查出炉:黑客利用 SIM 卡交换技术发起攻击
IT之家 1 月 23 日消息,X 平台近日频繁曝出“账号盗用门”,日前黑客劫持美国证券交易委员会(SEC)账号发送虚拟货币诈骗信息,引发市场强烈震动。
事发当天,X 平台安全团队便声称目前已完成对于本次事件的调查,相关账号并未启用双重验证,黑客利用第三方渠道获得了账号绑定的号码控制权,之后便重置密码顺利入侵,“并非黑客利用了 X 平台的漏洞”。
而根据外媒 CNBC 报道,美国证券委员会昨日就本次黑客劫持事件作出报告,声称早在此次攻击发生的六个月前,工作人员“失误关闭”了 X 平台账号的 2FA 双重验证功能,此后黑客通过“SIM 卡交换技术”获得了账号绑定的号码控制权,之后便重置密码顺利入侵。
IT之家注:“SIM 卡交换技术”实际上就是黑客钓鱼电信运营商,让电信运营商以为账号主的 SIM 卡损坏 / 丢失,从而为黑客提供一张新的 SIM 卡,而在黑客激活新 SIM 卡后,账号主的 SIM 卡将被作废,短时间内无法进行号码验证,也同时给予黑客可乘之机。
2、英国公布司法人员使用AI的官方指南《人工智能司法指南》
2023年12月12日,英国公布了司法人员使用AI的官方指南,这份指南旨在协助司法工作人员使用人工智能,并列出了主要风险、问题以及降低风险的建议。指南强调了维护保密性和隐私的重要性,以及使用人工智能工具前必须检查其准确性。此外,还提到了人工智能工具可能存在的偏见和安全问题,司法人员需要最后对生成内容负责以及当事人或代理人可能使用了人工智能工具。最后,指南给出了人工智能潜在用途的示例和不被推荐的任务,并提醒司法人员注意可能是人工智能生成的迹象。
本公众号特提供全文翻译,详情请见下文。
人工智能司法人员使用指南
全社会对人工智能(AI)的使用在不断增加,其与法院和法庭系统的相关性也在不断增加。所有司法人员都必须意识到潜在的风险。正如指南所强调的,尤其重要的是,必须意识到这些工具的公开版本是开放性质的,因此不应在其中输入任何私人或机密信息。
在与所有司法人员协商后,一个跨司法管辖区的司法小组编制了本指南,以协助司法人员、其书记员和其他辅助人员使用人工智能。
我们要感谢所有对咨询做出回应的人,以及协助编写指南的跨司法管辖区工作组成员。
该指南是未来支持司法机构与人工智能互动的一整套拟议工作的第一步。随着技术的不断发展,将对所有工作进行审查。今后,司法小组打算考虑发布常见问题文件,为指南提供支持。将邀请法院和法庭的司法人员通过调查提交问题。这些问题将在常见问题文件中得到解答,并在司法内联网上公布。
英格兰及威尔士首席大法官:Sue Carr女爵
掌卷法官:Geoffrey Vos爵士
法庭高级庭长:Keith Lindblom爵士
民事司法司副司长:Colin Birss大法官
引言
本指南旨在协助司法工作人员使用人工智能。
其列出了使用人工智能所涉及的主要风险和问题,并提供了一些降低风险、减少问题的建议。本指南还包括人工智能潜在用途的示例。
司法机构或代表司法机构使用AI的任何行为都必须符合司法机构保护司法公正的首要义务。
本指南适用于由首席大法官和法庭高级庭长负责的所有司法官员、他们的书记员和其他司法辅助人员。
常用术语
人工智能(AI):能够执行需要人类智能才能完成的任务的计算机系统。
生成式人工智能:一种生成新内容的人工智能形式,可包括文本、图像、声音和计算机代码。某些生成式人工智能被设计用来执行操作。
生成式人工智能聊天机器人:使用生成式人工智能模拟在线人类对话的计算机程序。公开的例子有 ChatGPT、Google Bard 和 Bing Chat。
大型语言模型(LLM):LLM 是一种人工智能模型,通过大量文本进行训练,学会预测句子中的下一个最佳单词或部分单词。ChatGPT 和Bing Chat使用的是OpenAI的大型语言模型。
机器学习(ML):ML是人工智能的一个分支,它使用数据和算法来模仿人类的学习方式,逐步提高准确性。通过使用统计方法训练算法来进行分类或预测,并在数据挖掘项目中揭示关键见解。
技术辅助审查(TAR):TAR作为信息披露流程的组成部分部分,用于识别潜在相关文件的人工智能工具。在 TAR 中,机器学习系统会在律师手动识别相关文件所创建的数据上进行训练,然后该工具会使用训练得到的标准从大量的披露数据集中识别其他类似文件。
法院和法庭负责任地使用人工智能指南
1) 了解人工智能及其应用
在使用任何人工智能工具之前,确保对其功能和潜在限制有基本的了解。
以下是一些关键限制:
面向公众的AI聊天机器人不提供来自权威数据库的答案。它们会根据收到的提示和基于数据使训练的算法生成新文本。这意味着人工智能聊天机器人生成的输出是模型预测的最有可能的单词组合(基于作为源信息的文档和数据)。这不一定是最准确的答案。
与互联网上的任何其他信息一样,人工智能工具可能有助于查找您认为正确但手头没有的资料,但对于查找您无法验证的新信息的研究来说,这不是一种好方法。它们最好被视为是一种获得非定义性确认的方法,而不是提供直接正确的事实。
您收到的任何答案的质量都取决于您如何使用相关的人工智能工具,包括您输入的提示的性质。即使使用最好的提示,所提供的信息也是可能不准确、不完整、有误导性或有偏见的。
目前可用的大型语言模型似乎都是根据互联网上发布的材料训练出来的。他们对法律的“看法”往往在很大程度上基于美国法律,尽管有些大型语言模型声称能够区分美国法律和英国法律。
2) 维护保密性和隐私
不要在公共人工智能聊天机器人中输入任何尚未公开的信息。不要输入私人或保密信息。您输入到公共人工智能聊天机器人的任何信息都应被视为向全世界公布。
目前公开的人工智能聊天机器人会记住您向它们提出的每一个问题以及输入的任何其他信息。这些信息随后会被用于回复其他用户的询问。因此,您输入的任何信息都可能被公开。
如果人工智能聊天机器人中的聊天历史记录选项可用,您应该禁用该选项。目前,ChatGPT 和 Google Bard有此选项,Bing Chat 还没有。
请注意,某些人工智能平台(尤其是作为智能手机上的应用程序使用时)可能会请求用来访问您设备上信息的各种权限。在这种情况下,您应该拒绝所有此类权限。
如果意外泄露了机密或私人信息,您应当联系您的上级法官和司法办公室。如果泄露的信息中包括个人数据,则应将泄露作为数据事故进行报告。有关如何向司法办公室报告数据事故的详细信息,请访问此链接https://intranet.judiciary.uk/wp-login.php?redirect_to=%2Fpublications%2Fdata-breach-notification-form-for-the-judiciary%2F
未来可能会出现专为法院和法庭设计的人工智能工具,但在此之前,您应将所有人工智能工具视为会公开您输入其中的任何信息。
3) 确保责任和准确性
在使用或依赖人工智能工具提供的任何信息之前,必须检查其准确性。
人工智能工具提供的信息可能是不准确、不完整、具有误导性或过时的。即使它声称适用英国法律,但事实可能并非如此。
人工智能工具可能会:
虚构案例、引文或引语,或引用不存在的法律、文章或法律文本
提供有关法律或法律适用的错误或误导性信息
产生事实性错误。
4) 注意偏见
基于大型语言模型的人工智能工具会根据它们所训练的数据集生成回复。人工智能生成的信息将不可避免地反映其训练数据中的错误和偏差。
您应始终考虑到产生偏见的可能性以及纠正偏见的必要性。参考《平等待遇标准手册》(Equal Treatment Bench Book)可能会对您有所帮助。
5) 保持安全
遵守维护您自己和法院/法庭安全的最佳做法。
使用工作设备(而非个人设备)访问人工智能工具。
使用您的工作电子邮件地址。
如果您已付费订阅人工智能平台,请使用该平台的付费服务(付费订阅通常被认为比非付费订阅更安全)。然而需要注意的是,有一些第三方公司从其他公司获得了人工智能平台的授权,这些公司在使用您的信息方面可能不太可靠,最好避免使用。
如果存在潜在的安全漏洞,请参阅上文第2)段。
6) 承担责任
司法人员对以其名义生成的材料承担个人责任。
法官一般没有义务说明为作出判决而可能进行的研究或准备工作。只要适当遵守这些准则,生成式人工智能完全有可能成为一种潜在有用的辅助工具。
如果书记员、法官助理或其他工作人员在为您工作的过程中使用人工智能工具,你应与他们讨论,确保他们适当使用此类工具并采取措施降低风险。如果使用的是Dom 1型号的笔记本电脑,还应确保此类使用已获得英国法院及审裁处事务局(HMCTS)服务经理的批准。
7) 注意法院/法庭的当事人或代理人可能使用了人工智能工具
某些类型的人工智能工具已被法律专业人士无障碍使用了相当长的时间。例如,技术辅助审查(TAR)现已成为电子文件披露方法的一部分。撇开法律不谈,人工智能的许多方面已经被普遍使用,例如在搜索引擎中自动填充问题,在社交媒体中选择要提供的内容,以及在图像识别和预测性文本中。
所有委托代理人都要对他们提交给法院的材料负责,并有专业义务确保材料的准确性和适当性。只要负责任地使用人工智能,代理人就无须提及其使用了人工智能,但这也取决于具体情况。
不过,在法律界熟悉这些新技术之前,有时可能有必要提醒个别律师他们的义务,并确认他们已经独立核实了在人工智能聊天机器人协助下生成的任何研究或案例引文的准确性。
不过,在法律界熟悉这些新技术之前,有时可能有必要提醒个别律师注意其义务,并确认他们已独立核实在人工智能聊天机器人协助下生成的任何研究或案例引文的准确性。
无律师代理的诉讼当事人现在也在使用人工智能聊天机器人。它们可能是这些诉讼当事人获得建议或帮助的唯一来源。诉讼当事人很少有能力独立核实人工智能聊天机器人提供的法律信息的准确性,也可能不知道它们容易出错。如果在准备提交材料或者其他文件时可能存在对人工智能聊天机器人的使用,则应对此展开询问,并询问对准确性进行了哪些检查(如果有的话)。下文举例说明了以这种方式生成文本的迹象。
目前人工智能工具被用来制作虚假材料,包括文本、图像和视频。法院和法庭一直需要处理涉及不同复杂程度的伪造和伪造指控。法官应当意识到这种新的可能性以及深度伪造技术带来的潜在挑战。
示例:
法院使用生成式人工智能的潜在用途和风险
有潜在使用价值的任务
人工智能工具能够总结大量文本。与任何总结一样,需要注意确保总结的准确性。
人工智能工具可用于撰写演讲稿,例如就演讲主题提出建议。
人工智能可以完成撰写电子邮件和备忘录等行政工作。
不被推荐的任务
法律研究:人工智能工具是一种糟糕的研究方式,可以发现您无法独立验证的新信息。作为一种提醒方式,人工智能工具或许可以提醒您找到您认为正确的材料。
法律分析:目前的公共人工智能聊天机器人无法生成令人信服的分析或推理。
可能是人工智能生成的迹象:
引用听起来不太熟悉的案例,或有不熟悉的引文(有时来自美国)
当事人就相同的法律问题引用了不同的判例法体系
提交的材料不符合您对该领域法律的一般理解
提交的内容使用美式拼写或引用海外案例
内容(至少从表面上看)似乎具有很强的说服力且写得很好,但仔细检查却存在明显的实质性错误。
3、超 260 亿条数据被泄露,涉及多家知名公司
HackerNews 编译,转载请注明出处:
超大规模的泄露之母(简称 MOAB)中存储了超260亿条个人信息记录。
发现该事件的研究人员认为:其可能是黑客或某些处理数据服务的工作人员进行的泄露,这种行为非常危险,黑客可以利用聚合数据进行广泛的攻击,包括身份盗窃、网络钓鱼、有针对性的网络攻击以及未经授权访问个人和敏感帐户。
MOAB不仅包括新窃取的数据,而且很可能是多次泄露(COMB)集合。泄露的数据信息不仅仅是凭证,大多数都是敏感信息,这对恶意行为者来说具有极大的价值。
据称,此次数据泄露事件包括来自微博(504M)、MySpace(360M)、Twitter(281M)、Deezer(258M)、LinkedIn(251M)、AdultFriendFinder(220M)、Adobe(153M)、Canva(143M)、VK(101M)、Daily Motion(86M)、Dropbox(69M)、Telegram(41M)以及其他公司和组织的数亿条记录。
泄露内容还涵盖了美国、巴西、德国、菲律宾、土耳其和其他国家政府组织的记录。
该团队表示,MOAB对用户的影响可能是前所未有的,因为许多人重复使用用户名和密码,恶意行为者可能会发起大量凭证填充攻击。
“如果用户在Netflix账户上使用与Gmail账户相同的密码,攻击者可以利用这一点转向其他更敏感的账户。此外,被纳入MOAB的用户可能成为鱼叉式网络钓鱼攻击的受害者,其将收到大量垃圾邮件。”研究人员表示。
目前尚不确定此次泄露的规模。2021年,Cybernews报告了一个包32 亿条记录的 COMB ,仅仅是2024年MOAB的12%。
此次泄露事件完整列表可点击下方消息来源进行搜索。
2024年1月23日 星期二
今日资讯速览:
1、闲鱼、高德地图等开屏信息窗口“乱跳转”,31 款 App 侵害用户权益被通报
2、新的 Outlook 漏洞存在密码泄露风险
3、密码学家有望创建完全匿名的互联网搜索
1、闲鱼、高德地图等开屏信息窗口“乱跳转”,31 款 App 侵害用户权益被通报
IT之家 1 月 22 日消息,中华人民共和国工业和信息化部(下文简称“工信部”)今日发布《关于侵害用户权益行为的 App(SDK)通报(2024 年第 1 批,总第 36 批)》,称高度重视用户权益保护工作,并依据《个人信息保护法》《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规,持续整治 App 侵害用户权益的违规行为。
近期,工信部组织第三方检测机构对用户反映突出的开屏弹窗“乱跳转”、“关不掉”以及违规收集使用个人信息等问题进行检查,共发现 31 款 App 及 SDK 存在侵害用户权益行为(详见IT之家文末表格),现予以通报。
包含闲鱼、高德地图等 31 款 App 及 SDK 被通报,工信部在通报中表示,上述 App 及 SDK 应按有关规定进行整改,整改落实不到位的,将依法依规组织开展相关处置工作。
2、新的 Outlook 漏洞存在密码泄露风险
网络安全 公司Varonis在微软产品中发现了 一个新漏洞,以及多种允许攻击者获取用户密码哈希值的攻击方法。
该漏洞编号为 CVE-2023-35636,影响Outlook 中的日历共享功能,评级为“重要”( CVSS 6.5 )。在它的帮助下,攻击者可以向用户发送一封特制的信件,迫使 Outlook 连接到黑客控制的服务器,并向其发送 NTLM v2 哈希值以进行身份验证。
NTLM v2 是一种用于对远程服务器上的用户进行身份验证的协议。NTLM v2 用户的密码哈希对于攻击者来说可能很有价值,因为他们可以发起暴力攻击并以明文形式获取密码,或者直接使用哈希进行身份验证。
Microsoft 在 2023 年 12 月作为计划外安全更新的一部分修复了 CVE-2023-35636,但一些也可能允许攻击者获取身份验证哈希的攻击方法仍然有效。
因此,已确定的方法之一是使用开发人员经常使用的 Windows 性能分析器 (WPA) 实用程序。研究人员发现,与 WPA 相关的链接是使用特殊 URI 进行处理的,该 URI 尝试在 Internet 上使用 NTLM v2 进行身份验证,这会暴露 NTLM 哈希值。
此方法还涉及发送一封包含链接的电子邮件,该链接旨在将受害者重定向到攻击者控制的站点上的恶意 WPA 负载。
另外两种方法使用标准 Windows 文件资源管理器。与 WPA 不同,WPA 不是默认的系统组件,主要仅供软件开发人员使用,文件资源管理器已深度集成到 Windows 中,并被绝大多数用户日常使用。这两种攻击选项都涉及攻击者通过电子邮件、社交媒体或其他渠道向目标用户发送恶意链接。
“一旦受害者点击链接,攻击者就可以获得哈希值,然后尝试离线破解用户的密码,”瓦罗尼斯解释道。“一旦哈希被破解并获得密码,攻击者就可以使用它以用户身份登录组织。
如上所述,CVE-2023-35636 已于 12 月修复,但其他问题仍然存在。建议企业安装最新的安全更新,并采取额外措施防范网络钓鱼攻击,以免成为犯罪分子的受害者。
3、密码学家有望创建完全匿名的互联网搜索
我们在网上分享的对细节的关注始终是相关的。但我们正在寻找的信息可以告诉我们很多关于我们的信息。例如,搜索方向会导致猜测我们的位置,而检查密码是否泄露可能会导致其自我泄露。
这些情况在密码学领域提出了一个重要问题:如何从公共数据库中提取信息而不透露您到底在寻找什么?这类似于在图书馆员不知情的情况下从图书馆借书。
德克萨斯大学奥斯汀分校的密码学家 David Wu 指出,解决这个问题(称为“私人信息检索”)是许多数据隐私应用的关键。自 20 世纪 90 年代以来,研究人员一直致力于改进机密数据库访问策略。主要目标之一是创建类似谷歌私人搜索的东西,允许您匿名浏览大量数据,而无需大量计算工作。
最近,三位研究人员 提出了 期待已久的隐私信息检索版本,并将其扩展为更通用的隐私策略。他们的工作 于 2023 年 6 月在年度 计算理论研讨会上获得了最佳论文奖 ,克服了实现真正私人搜索的重要理论障碍。
“这是密码学领域的每个人都梦想但不相信会存在的东西,” 麻省理工学院的密码学家Vinod Vaikuntanathan说,他没有参与这项研究。“这是一个突破性的结果。”
数据库的机密访问问题在 20 世纪 90 年代开始出现。起初,人们认为唯一的解决方案是每次搜索时扫描整个数据库。这就像图书馆员在拿出你的书之前检查每个书架。毕竟,如果搜索遗漏了任何部分,图书馆员就会明白您要查找的书不在图书馆的该部分中。
这种方法在小规模上是可以接受的,但是随着数据库的增长,扫描它所需的时间也会成比例地增加。当处理大量数据时,该过程变得低效。
2000 年代初,研究人员开始怀疑他们可以通过预处理数据库来避免全面扫描。粗略地说,这意味着将整个数据库编码为特殊结构,以便服务器可以通过仅读取其中的一小部分来响应请求。从理论上讲,充分彻底的预处理意味着存储信息的一台服务器会执行一次此过程,从而允许所有后续用户无需额外工作即可私下检索数据。
东北大学密码学家、这本开创性出版物的作者之一丹尼尔·威克斯 (Daniel Wichs) 最初对这个想法持怀疑态度,认为它过于乌托邦,不可能成为现实。2011年,他尝试证明其不可能性,并对其不切实际充满信心。
然而,2017年,两组研究人员 发表的研究结果 让威克斯改变了主意。他们创建了第一个能够执行此类私人信息搜索的程序,但无法证明其安全性。
在他们研究的方法中,数据库中的信息可以转换为服务器可以评估以提取数据的数学表达式。作者建议可以提高评估过程的效率。他们在 2011 年尝试了这个想法,当时其他研究人员找到了一种通过预处理和创建紧凑的值表来快速评估此类表达式的方法。这允许跳过通常的评估步骤。
这种方法并没有带来任何改进,团队几乎放弃了这个想法。但他们想知道:如果这个工具仍然可以在单个服务器上运行怎么办?一旦他们选择了合适的多项式,他们发现一台服务器可以根据 2011 年的结果对其进行预处理,从而创建 Wichs 多年来一直在考虑的安全高效的搜索方案。突然间,他们解决了一个更困难的问题。
起初作者们并不相信。“让我们看看这里出了什么问题,”威克斯回忆道。“我们一直试图找出它的问题所在。”
但事实证明这个决定是正确的:他们实际上找到了一种安全的方法来预处理单服务器数据库,以便任何人都可以秘密提取信息。
“这确实超出了我们的预期,”未参与这项工作的以色列理工学院密码学家尤瓦尔·伊沙伊 (Yuval Ishai) 说道。他指出,这是“我们甚至不敢希望”的结果。
威克斯说,在创建秘密搜索方案后,作者转向私人互联网搜索的真正目的,这比从数据库中提取信息更复杂。
私人搜索设计本身确实允许类似谷歌的搜索,但它是极其劳动密集型的:你自己运行谷歌的算法,并根据需要秘密地从互联网上抓取数据。
Wichs 表示,真正的搜索,即发送请求并等待服务器收集结果,实际上是一种更广泛的方法(称为同态加密)的目标。它以一种其他人可以在不知情的情况下操纵数据的方式隐藏数据。
典型的同态加密策略将面临与通过搜索整个互联网来查找每个请求来搜索私人信息相同的问题。但以他们的私有搜索方案为基础,作者开发了一种新的同态加密方案。它执行计算更像日常程序,秘密检索数据而无需浏览整个互联网。这将提高互联网搜索和任何需要快速访问信息的应用程序的效率。
虽然同态加密是隐私搜索方案的有用扩展,但 Ishai 认为搜索隐私信息是一个更根本的问题。作者的解决方案是“神奇的构建块”,他们的同态加密策略是一个自然的扩展。
目前,这两种方案都没有实际用处:当数据库大小趋于无穷大时,预处理目前在极端情况下很有帮助。但实际实施意味着这些节省可能无法实现,并且该过程将需要太多时间和存储空间。
Vaikuntanathan 表示,幸运的是,密码学家长期以来一直在优化最初不切实际的结果。如果未来的工作能够简化这种方法,他相信对大型数据库的私人搜索将成为可能。“我们都以为我们被困在那里了,”他说。“丹尼尔的结果带来了希望。”
2024年1月22日 星期一
今日资讯速览:
1、基于Rust 语言:SPICA 后门隐藏在 PDF 文件中
2、VMware已确关键vCenter漏洞存在野外利用
3、西班牙地方政府遭勒索攻击,被索要1000万欧元巨额赎金
1、基于Rust 语言:SPICA 后门隐藏在 PDF 文件中
COLDRIVER 小组测试了他们自己的基于 Rust 的恶意软件。
黑客组织 COLDRIVER 改进了其方法,并开始分发其第一个用 Rust 编程语言编写的恶意软件。
这 是由Google TAG 威胁分析小组报告的,该小组分享了有关最新黑客活动的详细信息。据专家称,攻击者使用PDF文件作为诱饵来启动感染过程。陷阱是从虚假帐户发送的。
自 2022 年 11 月以来,攻击者一直使用 PDF 文档作为起点来引诱目标打开文件。COLDRIVER 将这些文档作为发件人想要发表的新文章呈现,并要求信件的收件人撰写评论。当用户打开 PDF 时,他们会看到加密文本。
带有加密文本的 PDF 文档
如果收件人回复消息称他们无法阅读该文档,则黑客会回复一个指向 Proton Drive云存储上托管的假定解密工具(“Proton-decrypter.exe”)的链接。事实上,解密器是一个后门称为 SPICA,它使 COLDRIVER 能够秘密访问设备,同时显示虚假文档以隐藏黑客行为,同时在后台 连接到C2服务器。
SPICA 是 COLDRIVER 开发和使用的第一个本机恶意软件,它使用基于 WebSockets 的 JSON 进行命令和控制 (C2),提供以下功能:
- 执行任意 shell 命令;
- 从网络浏览器窃取cookie;
- 上传和下载文件;
- 文件枚举和渗透;
- 通过计划任务实现一致性。
作为防止该活动和进一步利用的努力的一部分,Google TAG团队已将与 COLDRIVER 相关的所有已知网站、域和文件添加到 Google 安全浏览黑名单中 。谷歌表示,没有关于 SPICA 受害者人数的信息,但怀疑后门仅用于“非常有限的有针对性的攻击”,并补充说重点是高级非政府组织官员、前情报和军事官员以及官员来自国防部和各国政府。
2、VMware已确关键vCenter漏洞存在野外利用
VMware上周发布公告称,其已确认10月份修补的一个关键vCenter Server远程代码执行漏洞(CVE-2023-34048)现已受到积极利用。该漏洞由趋势科技漏洞研究员Grigory Dorodnov报告,是由vCenter的DCE RPC协议实施中的越界写入漏洞导致的。
3、西班牙地方政府遭勒索攻击,被索要1000万欧元巨额赎金
安全内参1月17日消息,西班牙马略卡岛卡尔维亚市议会宣布,该市于上周六遭受勒索软件攻击,市政服务受到影响。
卡尔维亚坐落于马略卡岛,历史悠久,拥有5万人口。卡尔维亚是该岛的旅游热点,年接待游客约160万人次。
市政在线服务瘫痪,议会成立危机委员会
上周末,卡尔维亚市各大系统遭受网络攻击,市议会被迫成立危机委员会,负责评估攻击造成的损害,并制定影响缓解计划。
卡尔维亚市发布声明,“上周六凌晨,本市遭受了一次勒索软件网络攻击,攻击者试图勒索市议会。市议会正在努力尽快恢复正常。”
该市市长Juan Antonio Amengual表示,一组IT专家正在进行取证分析,以估计未经授权访问的程度、恢复受影响的系统和服务。
由于IT故障,市政府将指控、申请等所有行政服务的受理截止日期,推迟到2024年1月31日。
如市民急需提交注册文件,仍可以通过西班牙国家综合行政门户网站办理业务。
与此同时,市政府已向警方网络犯罪部门通报这一事件、提交初步取证分析信息,并提出了必要的投诉。
声明末尾,市政府对给市民带来的不便致歉,提醒市民服务热点仍在运营。
声明还表示:“市议会对这种情况可能造成的不便深感遗憾,再次保证将坚定不移地以最有序、快速、高效的方式解决当前情况。”
“至少,电话沟通和当面沟通都保持正常。”
攻击者索要1000万欧元赎金遭拒
截至本文撰写之时,主要勒索软件团体均未宣布对卡尔维亚市攻击事件负责,因此肇事者身份仍然未知。
不过,当地一家媒体获悉,网络犯罪分子设定了1000万欧元的赎金,约合1100万美元。
市长告诉当地媒体,市政府在任何情况下都不会支付赎金。
勒索软件对包括小城镇在内的各种规模的实体构成重大风险,这是当今数字领域的一大隐忧。
勒索软件攻击可能使关键的市政服务陷入混乱,严重干扰日常运营和公共服务。如果在旅游旺季发生此类攻击,后果将不堪设想。
参考资料:https://www.bleepingcomputer.com/news/security/majorca-city-calvi-extorted-for-11m-in-ransomware-attack/
2024年1月19日 星期五
今日资讯速览:
1、PixieFAIL:数百万台 PC 和笔记本电脑容易受到 UEFI 攻击
2、OWASP发布开源AI网络安全知识库框架AI Exchange
3、5TB:台湾半导体巨头富士迈遭遇LockBit勒索攻击
1、PixieFAIL:数百万台 PC 和笔记本电脑容易受到 UEFI 攻击
Tianocore EDK II 中的 9 个漏洞为黑客提供了完全的恶意行动自由。
法国公司Quarkslab的研究人员在 Tianocore EDK II ( UEFI规范的开放实现)中发现了 许多严重漏洞,可利用这些漏洞进行远程代码执行。
9 个漏洞统称为 PixieFAIL,可导致拒绝服务、信息泄露、远程代码执行、DNS 缓存中毒和网络会话劫持。它们是在检查 NetworkPkg 时发现的,该 NetworkPkg 提供用于网络配置的驱动程序和应用程序。
该漏洞模块被许多制造商使用,包括微软、ARM、Insyde、Phoenix Technologies和AMI。Quarkslab 的 CTO 还确认了 Microsoft 的 Tianocore EDK II 改编项目 Project Mu 中存在易受攻击的代码。
这九个漏洞在以下 CVE 标识符下进行了描述:
CVE-2023-45229:处理 DHCPv6 Advertise 消息中 IA_NA/IA_TA 选项时存在整数缺陷;
CVE-2023-45230:由于长服务器 ID 选项导致 DHCPv6 客户端出现缓冲区溢出;
CVE-2023-45231:处理 ND 重定向消息中的截断选项时出现越界读取;
CVE-2023-45232:解析 Destination Options 标头中的未知选项时出现无限循环;
CVE-2023-45233:解析 Destination Options 标头中的 PadN 选项时出现无限循环;
CVE-2023-45234:处理 DHCPv6 通告消息中的 DNS 服务器时出现缓冲区溢出;
CVE-2023-45235:处理 DHCPv6 代理广告消息中的服务器 ID 参数时缓冲区溢出;
CVE-2023-45236:可预测的 TCP 起始序列号;
CVE-2023-45237:使用弱伪随机数生成器。
Quarkslab 发布了一个PoC漏洞来演示前七个漏洞,允许防御者创建签名来检测感染尝试。
CERT-CC 协调中心发布了 一份通知 ,列出了受影响和潜在易受攻击的制造商,以及实施补丁和保护措施的建议。中心代表确认 Insyde、AMI、Intel 和 Phoenix Technologies 受到影响,但其漏洞的具体状态仍不清楚。
2、OWASP发布开源AI网络安全知识库框架AI Exchange
面对人工智能安全相关工具、平台、法规、应用和服务的快速增长,在推出大语言模型十大漏洞TOP10列表后,OWASP近日又推出了AI开源网络安全知识库框架——AI Exchange,旨在推进全球AI安全标准、法规和知识的开发和共享。
考虑到人工智能环境安全防御的复杂性,AI Exchange的导航器可帮助用户快速查询包括各种威胁、漏洞和控制的有用资源。
AI Exchange导航器界面
OWASP AI Exchange还率先提出了一些通用AI安全建议,包括实施人工智能治理、将安全和开发实践扩展到数据科学以及根据人工智能的具体用例。
覆盖AI威胁、攻击面、生命周期和资产的AI安全矩阵 来源:OWASP
黑客攻击人工智能的方式有很多,并且涌现了很多新威胁,例如数据泄露、数据中毒,甚至对人工智能供应链的攻击。以下是AI Exchange给出的AI安全威胁与控制措施的威胁模型图:
AI威胁与控制模型图来源:OWASP
总之,AI Exchange为企业提供了一种全面的方法来识别AI相关威胁和对应的控制措施。首先通过威胁建模等方法识别威胁,确定企业内部应对威胁的责任,以及评估服务提供商、软件和供应商等外部因素。
然后,AIExchange框架会引导企业选择合适的威胁缓解措施,并将这些控制措施与现有和新兴标准交叉引用。遵循这些步骤,企业将能对AI风险的持续监控和维护做出明智决策。
与其他软件系统非常相似,人工智能系统开发也遵循生命周期,因此AIExchange建议企业遵循NIST的安全软件开发框架(SSDF),在人工智能软件开发生命周期(SDLC)的各个阶段进行安全防护,包括安全设计、开发、部署以及操作和维护。
参考链接:
https://github.com/OWASP/www-project-ai-security-and-privacy-guide/blob/main/owaspaiexchange.md
https://owasp.org/www-project-top-10-for-large-language-model-applications/
https://csrc.nist.gov/pubs/sp/800/218/final
3、5TB:台湾半导体巨头富士迈遭遇LockBit勒索攻击
LockBit团体的出乎意料的举动在网上引起了激烈的争议。
台湾最大的半导体制造商之一Foxsemicon遭受 了 据称由著名的 LockBit 勒索软件组织发起的 网络攻击。
在 Foxsemicon 官方网站上,黑客发布了有关该公司客户个人数据被盗的威胁信息。如果拒绝支付赎金,黑客承诺将在暗网上的网站上发布被盗信息。
“请记住,一旦您的数据出现在我们的泄露网站上,您的竞争对手就可以随时购买它。不要犹豫,”勒索软件消息中写道。犯罪分子声称他们能够访问 5 TB 的公司数据。
Foxsemicon 攻击中使用的技术对于 LockBit 来说是不寻常的:他们通常只是在勒索软件网站上发布受害者的姓名,而不是侵入他们的官方网页。因此人们怀疑 LockBit 是否真的参与了此次攻击。
据台湾媒体报道,Foxsemicon表示,发现攻击后将很快恢复其网站,并正在与安全专家合作。初步调查发现,该事件“预计不会对公司运营产生重大影响”。
然而,整个周三该公司的网站仍然无法访问,黑客缓存的消息仍然可以在谷歌搜索结果中看到。
事件发生后,Foxsemicon Integrated Technology Inc. 的股价下跌。台湾市场的FITI(FITI)下跌约3%。
该公司尚未透露所需赎金的金额,也尚未确认客户或员工的个人数据泄露。
总统选举期间,针对台湾的网络攻击数量急剧增加。专家将这些袭击归咎于中国,据信中国正在寻求击败台湾执政党。
与去年相比,台湾地区的 定向DDoS攻击增加了 3,370%。根据 最近的谷歌云分析 ,台湾现在是世界上第四大受攻击的国家。
LockBit 不是一个出于政治动机的黑客组织,因此,如果该组织确实是此次攻击的幕后黑手,那么它很可能有经济动机,而不是地缘政治利益。
2024年1月18日 星期四
今日资讯速览:
1、苹果、高通和 AMD芯片漏洞:可能导致AI模型数据泄露
2、半导体设备上市公司京鼎遭勒索攻击,官网“被留言”索要百万美元赎金
3、1分钟2000万美元:世界断网成本
1、苹果、高通和 AMD芯片漏洞:可能导致AI模型数据泄露
神经网络开发人员越来越多地使用 GPU 处理器,但它的安全性如何?
人工智能系统的发展势头强劲。越来越多的公司开始使用图形处理单元 ( GPU ) 来获取运行大型语言模型和快速处理大量数据所需的计算能力。GPU 的需求从未如此之高,芯片制造商正在积极增加供应。
然而,在最近的一项研究中,专家同时提请注意多个型号和品牌的漏洞,特别是苹果、高通和 AMD 芯片。此问题可能允许攻击者从处理器内存中窃取大量数据。
长期以来,制造商一直在提高中央处理单元的安全性,以避免内存中的敏感数据泄露。GPU 的设计优先考虑图形性能而不是信息安全。然而,随着 GPU 在生成型人工智能和机器学习领域的使用不断扩大, Trail of Bits 的专家 警告称,需要解决的威胁正在不断增加。
Trail of Bits 的人工智能和机器学习安全总监 Heidi Hlaaf 评论道:“这些 GPU 存在严重的安全问题——它们不够安全,可能会导致大量数据泄露。”
要利用这个分析师称之为LeftoverLocals 的 缺陷 ,攻击者必须已经对受攻击设备的操作系统具有一定级别的访问权限。
现代计算机和服务器经过专门设计,可以使用相同的计算资源隔离来自不同用户的数据。然而,LeftoverLocals 攻击打破了这些障碍。通过利用该漏洞,黑客能够从易受攻击的 GPU 的本地内存中获取正常条件下无法获取的任何信息。这些可以是来自语言模型的请求和响应,以及控制它们的权重。
去年夏天,研究人员测试了来自 7 家制造商的 11 款芯片以及几个相关的软件框架。他们在 Apple、AMD 和 Qualcomm 的处理器中发现了 LeftoverLocals。9 月,CERT 中心和 Khronos Group 合作开始大规模传播有关该漏洞的信息。
Nvidia、Intel 或 Arm 处理器没有发现任何问题。但苹果、高通和 AMD 的代表证实,他们的产品容易受到此缺陷的影响。这意味着 AMD Radeon RX 7900 XT 等知名芯片以及 iPhone 12 Pro 和苹果 MacBook Air M2 等设备都面临风险。
苹果发言人指出,该公司已发布针对 2023 年底推出的最新 M3 和 A17 处理器的修复程序。因此,该缺陷仍然存在于数百万使用旧芯片的前代 iPhone、iPad 和 MacBook 中。
1 月 10 日,Trail of Bits 重新测试了多款苹果设备。他们确认 MacBook Air M2 仍然存在漏洞,而第三代 iPad Air A12 似乎已经修复。
高通表示,该公司目前正在开发安全更新,并建议用户安装制造商提供的补丁。据 Trail of Bits 报道,高通已经发布了必要的固件。
1 月 10 日,AMD 发布了一份网络安全公告,详细介绍了该公司消除 LeftoverLocals 的计划。更正将于三月份进行。
谷歌还表示,它已经意识到一个影响 AMD、苹果和高通 GPU 的问题。该公司已经发布了针对具有易受攻击的 AMD 和高通 GPU 的 ChromeOS 设备的更新。
2、半导体设备上市公司京鼎遭勒索攻击,官网“被留言”索要百万美元赎金
1月16日消息,据台媒报道,富士康集团旗下半导体设备大厂京鼎遭黑客入侵,并被黑客勒索100万美元!
据悉黑客在京鼎官网发布信息,表示如果京鼎不支付费用,客户数据将被公开,员工也会因而失去工作。
根据台媒测试,进入京鼎官方网站,虽然起初页面正常,也可以点击财报等内容,但若从公司概述点击,会直接看到黑客信息。黑客更是直接在网页留下讯息,表示「你的数据被窃取并加密」,并对客户表示「如果你是京鼎客户,我们拥有您所有个人资料,如果京鼎不支付费用,你的所有个人资料都将在网络上免费提供」。
黑客也对京鼎员工说道,「如果你的管理层不与我们联系,你将失去工作,所有媒体包括 BBC、纽约时报、华尔街日报等都会告知你,公司已经不存在」。
该黑客称是全球历史最悠久的勒索软件联盟计划,没有政治动机,只想要钱,如果付款后会提供解密软件并销毁遭窃取的数据。
今天下午,京鼎精密针对黑客事件发布重大讯息指出,事件本身“目前初步评估对公司运作无重大影响”。京鼎精密的重讯声明证实,公司有「侦测到部份信息系统遭受黑客网络攻击,事发当下,信息部门已全面启动相关防御机制与复原作业,同时与外部资安公司技术专家协同处理。目前对所有网域(页)及相关档案做全面彻底的扫描检测,高标准确保信息安全后,即能以日常备份数据复原运作。」
京鼎表示,公司后续仍将持续提升网络与信息基础架构之安全管控,以确保信息安全。
京鼎最大客户为全球最大半导体设备制造商应用材料,占营收比重达8至9成,并连续多年获得应用材料颁发最佳供货商大奖。
3、1分钟2000万美元:世界断网成本
该研究表明哪些国家和公司将在全球互联网中断中损失最大。
在网站和在线企业 24/7 全天候运营的世界中,即使是短暂的互联网中断也会严重影响您的财务状况。这对于为数百万客户提供服务的大型科技公司尤其重要。根据 PCMag 和NetBlocks的一项研究,没有互联网的一分钟就会让大公司损失数百万美元。
虽然全球互联网完全中断的可能性不大,但此类事件的后果可能是灾难性的。PCMag 杂志计算了失败将如何影响全球经济、各个国家和大型科技公司。
据估计,互联网完全中断一分钟将使全球经济损失超过 2000 万美元。最大的损失将是:
- 美国——760万美元;
- 中国——680万美元;
- 英国——220万美元;
- 日本——180万美元;
- 德国——100万美元。
一天之内,这些数字可能会达到数亿美元,而在短短几天内,就会达到数十亿美元。如果停电持续一年,损失可能达到数万亿美元,尤其是美国——4万亿美元。
按国家/地区估算一分钟线下活动造成的财务损失
就具体公司而言,亚马逊损失最大。由于购物、云和流媒体服务不可用,如果没有互联网,该公司每分钟将损失近 100 万美元,如果没有互联网,一天将损失 14 亿美元,离线一年将损失近 5140 亿美元。
企业下线一分钟财务损失预估
值得注意的是,计算使用的是2022年的公司收入数据。如果使用最新的盈利数据,排名可能会有所不同。
PCMag选择了最依赖互联网的公司。如果互联网突然停止工作,英特尔、苹果、微软和英伟达等公司也会损失大量资金,但它们早在我们所知的 90 年代互联网出现之前就已经存在,当时互联网开始广泛使用。这些公司可能可以依靠其硬件和软件开发来生存。
2024年1月17日 星期三
今日资讯速览:
1、谷歌警告 Chrome 浏览器零日漏洞CVE-2024-0519被利用
2、Ivanti零日漏洞正被积极利用 全球已有1700台设备遭入侵
3、为贫民提供清洁用水的非营利组织遭勒索攻击
1、谷歌警告 Chrome 浏览器零日漏洞CVE-2024-0519被利用
谷歌推出了紧急 Chrome 浏览器更新,以修复三个高严重性安全缺陷,并警告其中一个错误已被广泛利用。
被利用的零日漏洞被标记为CVE-2024-0519,被描述为 V8 JavaScript 引擎中的越界内存访问问题。
按照惯例,谷歌没有提供有关所观察到的攻击范围的任何其他详细信息,也没有共享遥测数据来帮助防御者寻找妥协的迹象。
一份简单的公告简单地指出:“谷歌已获悉有关 CVE-2024-0519 漏洞存在的报告。”
该公司表示,零日漏洞是匿名报告的。
最新的Chrome 浏览器更新还解决了 V8 中另外两个被评为高风险的内存安全问题。谷歌表示,此次更新还包括通过审计、模糊测试和其他举措在内部发现的多项修复。
就在几周前,谷歌发布了针对多个内存安全问题的补丁,这些问题使用户面临代码执行攻击。
2023 年,谷歌修复了至少 7 个在野外利用过程中发现的零日漏洞。
2、Ivanti零日漏洞正被积极利用 全球已有1700台设备遭入侵
据外媒披露,Volexity已发布警告称,上周披露的Ivanti产品中的两个零日漏洞正在全球范围内被大规模利用,已经有超过1700台设备遭到入侵。Ivanti于1月10日首次发布了有关这两个零日漏洞的公告。当时,该公司表示只有不到10家客户受到CVE-2023-46805和CVE-2024-21887漏洞利用的影响,该公司称正在提供缓解措施,并确认最终补丁将于2月19日发布。
3、为贫民提供清洁用水的非营利组织遭勒索攻击
非营利组织Water for People宣布遭遇勒索软件攻击,称攻击没有影响业务运营,并已经与第三方开展合作已防止再次发生类似事件。勒索软件组织美杜莎已开出30万美元赎金,以换回被道数据。据报道,“人民之水”在九个不同国家开展业务,主要为欠发达地区贫民提供清洁用水,该非营利组织此前从亚马逊创始人杰夫·贝佐斯前妻麦肯齐·斯科特处获得了1500万美元的赠款。
2024年1月16日 星期二
今日资讯速览:
1、A股上市公司海普瑞意大利子公司遭遇电信诈骗损失9000万
2、瞻博网络SRX防火墙和EX交换机被发现关键RCE漏洞
3、物联网风险:博世智能恒温器容易受到接管攻击
1、A股上市公司海普瑞意大利子公司遭遇电信诈骗损失9000万
海普瑞(002399.SZ)1月14日晚间公告,全资子公司Techdow Pharma Italy S.R.L.(简称“天道意大利”)近期遭遇犯罪团伙电信诈骗,涉案金额约1170余万欧元(约合9100万人民币)。
案发后,公司第一时间向当地警方报案,警方已立案并开展案件调查办理工作。同时公司全力配合警方工作,争取最大限度避免损失。
这不是A股上市公司第一次遭遇电信诈骗。
来自国外的营收占比约90%
海普瑞表示,公司管理层已在第一时间向所有董事、独立董事及审计委员会通报,初步判断本次为偶发事件,并确认公司生产经营正常运转。管理层谨慎审视这一突发事件,积极采取措施加强内部控制管理,提高规范治理水平,提升风险防范意识。
公司管理层严肃对待此事,已派人前往子公司处理该事项。由于案件正积极侦办中,结果尚无法确认,或对2023年度财务报表造成潜在影响。
海普瑞于1998年成立于深圳,主要业务覆盖肝素全产业链、生物大分子CDMO和创新药物的投资、开发及商业化。肝素是一种从新鲜健康猪小肠提取加工的抗凝血药物,拥有抗凝血、抗血栓等多种功能。
来源:海普瑞官网
天道医药为海普瑞旗下全资子公司,是依诺肝素钠原料药及低分子肝素制剂出口商,公司旗下依诺肝素钠注射液是首个获欧洲药品管理局销售许可的依诺肝素钠注射液生物类似药。公司产品目前销往全球40多个国家和地区。
2023年7月,海普瑞曾发文称,迄今为止,作为天道意大利的独资股东,天道医药已经在欧洲累积提供4.5亿支依诺肝素钠注射液。
2022年,海普瑞营收71.59亿元(后文未特殊注明均为人民币),其中来自国外的营收65.1亿元,占比90.92%;2023年上半年,海普瑞营收27.13亿元,其中来自国外的营收24.12亿元,占比88.91%。
2023年4月,中国驻意大利大使馆网站曾发布消息,近期,驻意大利使馆陆续接到旅意侨胞和留学生反映,有不法分子假冒使领馆或国内司法机关工作人员,以各种名义实施电信诈骗。驻意大利使馆再次郑重提醒,电信诈骗手法千变万化,但不法分子诈取钱财的企图不变,请广大旅意同胞提高防范意识。请不要向陌生人透露自己的姓名、住址、家庭情况、银行账户等个人信息,更不要轻易转账汇款。
多家上市公司中招电信诈骗
居民个人遭遇电信诈骗屡见报端,但有着健全财务管理制度的上市公司,近年也多次曝出身陷电信诈骗。
2022年4月,上市公司大亚圣象在2021年年报中披露,孙公司被电信诈骗坑了2200多万元,损失计入营业外支出影响当年净利润约4%。年报显示,肇事者入侵该公司租用的微软公司365邮箱系统,伪造假电子邮件冒充该公司管理层成员,伪造供应商文件及邮件路径,实施诈骗。
而在2020年,有多家A股上市公司称遭遇了电信诈骗。
2020年11月,斯莱克公告称,全资子公司斯莱克国际有限公司遭遇犯罪团伙电信诈骗,导致银行账户内的205万余美元通过网络被骗取。稍显安慰的是,被骗资金已有150万余美元被申请冻结。
2020年6月,京投发展发布公告称,子公司银泰置业财务人员遭遇犯罪团伙电信诈骗,导致银行账户内2670万元于6月22日通过网络被骗取。案发后银泰置业财务人员已第一时间向公安机关报案并于2020年6月23日收到了公安机关出具的《受案回执》。
当年6月,世龙实业也公告称,公司近期因财务主管人员遭遇电信诈骗,导致公司银行账户内的298万元通过网络被盗取。
2、瞻博网络SRX防火墙和EX交换机被发现关键RCE漏洞
Juniper Networks(瞻博网络)已发布更新,以修复其SRX系列防火墙和EX系列交换机中的关键远程代码执行(RCE)漏洞。该漏洞被跟踪为CVE-2024-21591,在CVSS评分系统中的评级为9.8。这家网络设备巨头将被惠普企业(HPE)以140亿美元的价格收购,该公司表示,该问题是由于使用不安全的功能引起的,该功能允许不良行为者覆盖任意内存。
3、物联网风险:博世智能恒温器容易受到接管攻击
Bitdefender发现了 广泛使用的博世 BCC100家用Wi -Fi恒温器中的一个漏洞。该漏洞允许攻击者远程操纵设备设置(包括温度)并安装恶意软件。
所有物联网 ( IoT ) 设备,从咖啡机到安全摄像头,都可能面临黑客攻击的风险。Bitdefender 实验室创建了第一个智能家居网络安全中心,定期审核流行的物联网设备是否存在漏洞。他们的最新研究揭示了博世 BCC100 恒温器中影响版本 1.7.0 – HD 版本 4.13.22 的漏洞。
该安全漏洞于 2023 年 8 月 29 日被发现,但直到 2024 年 1 月 11 日该公司修复后才公布详细信息。CVE-2023-49722漏洞 允许攻击者用恶意固件替换设备的固件,然后自行决定使用受感染的恒温器,从而完全控制其功能。
BCC100温控器使用两个微控制器:用于Wi-Fi功能的海飞芯片(HF-LPT230)和用于设备主逻辑的意法半导体芯片(STM32F103)。STM芯片没有联网功能,依赖Wi-Fi芯片进行通信。Wi-Fi 芯片侦听本地网络上的TCP端口 8899,并通过 UART 数据总线将接收到的消息直接传输到主微控制器。
然而,如果消息格式良好,则微控制器无法区分恶意消息和云服务器发送的真实消息。攻击者可以利用它向恒温器发送任意命令,包括恶意更新。
恒温器通过WebSocket 使用 JSON 数据包与服务器“connect.boschconnectedcontrol[.]com”进行通信,这很容易被欺骗。设备在端口8899上发出“device/update”命令,导致恒温器向云服务器查询信息。
尽管存在错误代码,设备仍接受带有更新详细信息的虚假响应,包括自定义URL 、大小、 MD5校验和和固件版本。然后,设备请求云服务器下载固件并通过 WebSocket 传输,确保指定的 URL 可用。收到文件后,设备会执行更新,完成攻击。
为避免可能出现的风险,建议用户采取必要的安全措施,包括定期更新温控器固件、更改默认管理密码、避免未经授权的温控器连接互联网、使用防火墙限制未经授权的设备访问等。
值得注意的是,就在上周,另一家网络安全公司的专家 透露了 博世生产的另一款产品——广泛应用于各行业的联网工业冲击扳手——的多个漏洞细节。利用这些漏洞的后果是生产完全停止以及昂贵的设备损坏。
类似的研究再次提醒我们,即使看似无害的联网智能设备也可能给用户带来非常具体的安全风险。
随着智能设备市场的增长,制造商必须优先考虑安全性并确保安全可靠的连接环境,用户必须负责制造商的定期更新和其他建议。
2024年1月15日 星期一
今日资讯速览:
1、泄露和贩卖9700余条学生的个人信息,两男子获刑
2、NoaBot:危害全球 Linux 设备
3、思科Unity Connection 中的严重错误 CVE-2024-20272 允许无密码提权
1、泄露和贩卖9700余条学生的个人信息,两男子获刑
近日,惠水县人民法院开庭审理了一起侵犯公民个人信息罪案件,被告人张某、王某犯侵犯公民个人信息罪被判刑。
简要案情
2023年5月,王某向张某借了1700元急用,同年6月,在张某催要借款时,王某将自己于2022年在贵阳某学校从事招生工作时获得的一份9700余条学生的个人信息提供给张某,二人因此默认抵消借款。之后,张某将这份个人信息非法出售给了何某,并从中赚取8800元。案发后,王某和张某经公安机关电话传唤到案并如实供述了犯罪事实。
案件审理
惠水县人民法院审理认为,被告人张某、王某违反国家有关规定,非法出售公民个人信息,情节严重,二人的行为构成侵犯公民个人信息罪。根据被告人张某、王某犯罪的事实、性质、情节、社会危害程度及悔罪表现,依法判处被告人张某拘役二个月,缓刑三个月,并处罚金人民币9000元;判处被告人王某拘役二个月,缓刑三个月,并处罚金人民币2000元;没收违法所得,上缴国库。
法条链接
《中华人民共和国刑法》第二百五十三条之一【侵犯公民个人信息罪】违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。
窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。
单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。
2、NoaBot:危害全球 Linux 设备
安全公司Akamai在一份 新报告中表示 ,在过去的一年里,以前未知的自我修复恶意软件已经危害了世界各地的 Linux设备,安装了加密货币挖掘程序,以不寻常的方式隐藏其工作。
该蠕虫是Mirai僵尸网络 的修改版本,该恶意软件会感染基于 Linux 的服务器、路由器、网络摄像头和其他物联网 ( IoT ) 设备。Mirai于2016年首次出现,被用来进行大规模DDoS攻击。与 Mirai 的目标是 DDoS 攻击不同,这种名为 NoaBot 的新蠕虫安装了加密挖矿程序,允许攻击者使用受感染设备的资源来挖掘加密货币。
据 Akamai 专家称,NoaBot 展示了隐藏其行为的非凡能力。恶意软件使用非标准库和加密方法使恶意软件难以检测和分析。
以下是新蠕虫病毒的特点:
- 与通过 Telnet 攻击设备的标准 Mirai 不同,新蠕虫利用SSH连接中的漏洞;
- NoaBot使用弱SSH密码进行传播,而不是像Mirai那样Telnet;
- 该蠕虫没有执行 DDoS 攻击,而是安装了XMRig 加密货币挖矿程序的修改版本;
- 将矿工连接到矿池的配置以加密形式存储,并在启动XMRig之前立即解密,这使得跟踪攻击者钱包地址变得困难;
- 该蠕虫很可能使用私人矿池进行挖矿。
- NoaBot 使用非标准库和字符串混淆来掩盖其活动,这使得防病毒软件难以检测和分析代码。
尽管 NoaBot 很简单,但它展示了隐藏其活动并使其难以分析的复杂技术。Akamai 跟踪该蠕虫的活动长达一年,记录了来自全球 849 个不同 IP 地址的攻击,几乎所有设备都可能已被感染。
该公司发布了详细的妥协指标(Indicator of Compromise,IoC),可用于检查设备是否受到感染。目前尚不清楚该蠕虫病毒的传播范围有多大,但其非常规的传播方式引起了研究人员的担忧。
Akamai 指出,限制对网络的随机 SSH 访问可以显着降低感染风险。此外,使用强(非标准或随机生成)密码也可以提高安全性,因为恶意软件使用可猜测密码的基本列表。专家已 在 GitHub 存储库中发布了 NoaBot 使用的凭证集 。
乍一看,NoaBot 并不是一个非常复杂的活动。这是 Mirai 和 XMRig 加密货币挖矿程序的变种 – 现在有大量此类恶意软件。然而,混淆和源代码增强技术描绘了攻击者能力的完全不同的画面。
3、思科Unity Connection 中的严重错误 CVE-2024-20272 允许无密码提权
思科已修复 Unity Connection 中的一个严重漏洞,该漏洞可能允许未经身份验证的攻击者远程获取未修补设备上的root访问权限。Unity Connection 是思科统一通信产品套件中包含的消息传递平台和语音邮件系统。
漏洞 CVE-2024-20272 (CVSS 评分:7.3)是由于特定API 中缺乏身份验证以及对用户提供的数据验证不当造成的。该漏洞是在 Unity Connection Web 管理界面中发现的,允许网络犯罪分子在底层操作系统上执行命令、在目标系统上下载和存储任意文件以及将权限升级为 root。
该漏洞影响 Cisco Unity Connection 的以下版本:
- 12.5 及更早版本(在版本 12.5.1.19017-4 中修复);
- 4(在版本 14.0.1.14006-5 中修复)。
思科产品安全事件响应团队(PSIRT)表示,该公司没有证据表明该漏洞正在被广泛利用,但建议用户更新到已修补的版本以减少潜在威胁。
2024年1月12日 星期五
今日资讯速览:
1、Android 2024 年 1 月安全更新修补了 58 个漏洞
2、神漏洞!热门扳手感染勒索软件,秘密破坏工厂设备组装
3、学富五车:大众汽车集成ChatGPT
1、Android 2024 年 1 月安全更新修补了 58 个漏洞
谷歌发布了针对 Android 平台 58 个漏洞的补丁,并修复了 Pixel 设备中的 3 个安全漏洞,拉开了 2024 年的序幕。
Android 2024 年 1 月更新的第一部分以 2024 年 1 月 1 日安全补丁级别发布在设备上,解决了框架和系统组件中的 10 个安全漏洞,所有漏洞均被评为“高严重性”。
谷歌在其公告中指出:“这些问题中最严重的是框架组件中的一个高安全漏洞,可能会导致本地权限升级,而无需额外的执行权限。”
该安全更新解决了框架组件中的五个缺陷,包括四个权限提升和一个信息泄露错误。系统组件中还解决了其他五个问题,包括一项特权提升和四项信息泄露缺陷。
更新的第二部分,即 2024 年 1 月 5 日安全补丁级别,包括针对 Arm、Imagination Technologies、MediaTek、Unisoc 和 Qualcomm 组件中的 48 个漏洞的补丁。
虽然大多数已解决的错误的严重性评级为“高”,但高通组件中的三个问题被评级为“严重”。
所有运行安全补丁级别为 2024 年 1 月 5 日的设备都已针对所有这些缺陷以及之前的 Android 安全更新解决的漏洞进行了修补。
本月,谷歌修复了影响 Pixel 设备的三个安全缺陷,所有缺陷均由高通组件构成,且全部被评为“中等严重性”。
运行安全补丁级别为 2024 年 1 月 5 日的 Pixel 设备已针对这些缺陷以及 Android 2024 年 1 月安全公告中详细介绍的所有错误进行了修补。
谷歌还宣布修复了 Wear OS 中的一个高严重性漏洞,该漏洞作为更新的一部分得到解决,该更新还包括 Android 2024 年 1 月安全更新的补丁。
所有这些缺陷也通过 Pixel Watch 设备的 2024-01-05 补丁级别更新得到解决。
这家互联网巨头没有提及任何这些漏洞在攻击中被利用。不过,建议用户尽快更新他们的设备。
2、神漏洞!热门扳手感染勒索软件,秘密破坏工厂设备组装
安全内参1月10日消息,研究人员发现了23个漏洞,黑客可以利用这些漏洞破坏或禁用一套非常流行的联网扳手系列产品。全球各地的工厂都在使用这些产品组装敏感仪器和设备。
安全公司Nozomi的研究人员在周二报告了这些漏洞,它们存在于博世力士乐(Bosch Rexroth)生产的NXA015S-36V-B型手持螺帽扳手。
这款无绳设备能够无线连接到使用者的本地网络,帮助工程师将螺栓等机械紧固件拧紧到安全、可靠的扭矩水平。如果紧固件过松,会有过热和火灾风险。如果过紧,螺纹可能会断裂,导致扭矩过松。
该型号螺帽扳手配有扭矩级别指示器显示屏,显示屏由德国工程师协会认证,并于 1999 年被汽车业界采用。运行在设备上的固件是NEXO-OS,可以通过基于浏览器的管理界面加以控制。
图:NEXO-OS的Web管理应用程序
Nozomi的研究人员表示,这款设备存在23个漏洞。某些情况下,攻击者可以利用这些漏洞安装恶意软件。一旦安装成功,恶意软件能够禁用整个设备系列,或在紧固件过松或过紧时让设备不显示关键设置出现错误。
博世官方通过电子邮件发表了声明。他们首先按惯例强调安全是首要任务,随后表示,Nozomi几周前联系博世,指出了这些漏洞。声明中说:“博世力士乐立即采纳了这些建议,并正在研究解决问题的补丁。该补丁将于2024年1月底发布。”
Nozomi的研究人员发帖称,在博世力士乐NXA015S-36V-B上发现的漏洞,允许未经身份验证的攻击者向目标设备发送网络数据包,以root权限远程执行任意代码,完成对设备的彻底入侵。攻击者一旦能够未经授权地访问设备,就有可能实施多种攻击方案。Nozomi在实验室环境中成功重建了以下两种情景。
勒索软件:我们能够阻止本地操作员通过设备上的显示屏控制钻孔并禁用触发按钮,导致设备完全无法使用。此外,我们可以更改图形用户界面,在屏幕上显示任意消息,要求支付赎金。鉴于勒索软件攻击可以轻松地自动应用于众多设备,攻击者可能会迅速使生产线上的所有工具无法访问,导致最终资产所有者遭受重大损失。
图:测试扳手上运行的概念验证(PoC)勒索软件
控制和视图操纵:我们秘密地更改了紧固程序的配置,比如增加或减少目标扭矩值。同时,通过在内存中修补设备显示屏的显示界面,我们可以向操作员显示正常数值,悄然篡改系统设置。
图:操纵视图攻击,紧固时施加的扭矩为0.15 Nm
Nozomi一共披露了23个漏洞,其严重程度评级从5.3分到8.8分不等(满分为10分)。
对于大多数漏洞来说,攻击者首先必须获得设备的Web管理界面访问权限。Nozomi 表示,即使只是具有最低权限,攻击者也可以创建攻击链,利用称为遍历漏洞的缺陷向敏感目录上传恶意代码,然后执行该代码。未经身份验证的攻击者仍然可能将遍历漏洞与其他漏洞(如硬编码帐号)结合起来黑掉设备。
攻击链的示意图如下:
图:未经身份验证的攻击链导致生产线停工的流程图
如果设备的通信协议(如OpenProtocol)已集成到网络流中,攻击者可以利用多个缓冲区溢出漏洞之一来远程执行恶意代码。
图:通过未经身份验证的攻击完成控制和视图操纵
这些漏洞很可能不会被大规模利用。成功入侵网络之后,勒索软件攻击者或许有更有效的方法提升权限、造成中断或破坏。但是,在没有其他漏洞的情况下,攻击者只要大规模禁用扳手就足以达成目的。不仅如此,国家支持的黑客以及受到激进思想或特殊目的鼓动的黑客活动分子可能会利用这些漏洞干扰或破坏对手的设备运行。
不管是哪种情况,停工风险都切实存在,关键设置有可能被篡改,建议所有用户在补丁发布后选择尽快安装。
参考资料:https://arstechnica.com/security/2024/01/network-connected-wrenches-used-in-factories-can-be-hacked-for-sabotage-or-ransomware/
3、学富五车:大众汽车集成ChatGPT
大众汽车 宣布计划从 2024 年第二季度开始将OpenAI开发的ChatGPT 聊天机器人集成到其车辆中。该功能将适用于整个大众汽车系列,包括 Tiguan、Passat、Golf 和 ID 系列电动汽车。它首先将在欧洲推出,也正在考虑在美国市场推出。
ChatGPT将用于增强IDA的内部语音助手,使汽车和驾驶员之间的沟通更加自然。通过更新后的助手,驾驶员将能够控制供暖和空调等基本功能,并获得常见问题的解答。
大众汽车强调,未来的 ChatGPT 功能可能会特别有用。其中包括:各种主题的对话、直观的交互、获取有关汽车的特定信息等等 – 所有这些都无需使用您的双手。
该公司保证,要使用聊天机器人,您无需创建新帐户或安装应用程序。只需说:“你好,IDA”或按下方向盘上的按钮即可。OpenAI 将无法访问驾驶统计数据,因为所有问题和答案都将立即删除,以确保高水平的数据保护。
大多数汽车语音助手的功能有限,与 ChatGPT 不同,ChatGPT 可以处理更复杂的查询,甚至进行对话。尽管 ChatGPT 假设可以响应虚假数据,但大众汽车是第一家决定集成该聊天机器人的汽车制造商。
ChatGPT 与大众汽车本身的集成之所以成为可能,要归功于“汽车”ChatGPT 集成软件开发商 Cerence。他们的产品 Cerence Chat Pro 将显着提高大众汽车内置语音助手的功能。
在经历了销量下降、软件故障和裁员等困难的 2023 年之后,全球最大的汽车制造商之一大众汽车正在寻求通过拥抱人工智能的最新进展来刷新其形象。
2024年1月11日 星期四
今日资讯速览:
1、AI 插件中的缺陷导致 50,000 个 WordPress 网站遭受远程攻击
2、巴西公民 2.23 亿条敏感信息遭泄露
3、2024年全球网络保险市场预计达148亿美元规模
1、AI 插件中的缺陷导致 50,000 个 WordPress 网站遭受远程攻击
WordPress 的 AI Engine 插件中发现了一个严重漏洞,特别影响其拥有超过 50,000 个活跃安装的免费版本。
该插件因其多样化的人工智能相关功能而受到广泛认可,允许用户创建聊天机器人、管理内容并利用各种人工智能工具,如翻译、搜索引擎优化等。
根据 Patchstack 今天发布的公告,所涉及的安全缺陷是 files.php 模块中插件的 rest_upload 函数中未经身份验证的任意文件上传漏洞。
该漏洞允许任何未经身份验证的用户上传任意文件,包括潜在的恶意 PHP 文件,这可能导致在受影响的系统上远程执行代码。
值得注意的是,相关REST API端点的permission_callback参数设置为__return_true,允许任何未经身份验证的用户触发易受攻击的函数。代码中缺乏正确的文件类型和扩展名验证,允许上传任意文件,从而构成重大安全风险。
了解有关 WordPress 安全性的更多信息:备份迁移 WordPress 插件缺陷影响 90,000 个站点
为了缓解此漏洞,该插件的开发团队在 1.9.99 版本中引入了补丁。该补丁对自定义 REST API 端点实施权限检查,并使用 wp_check_filetype_and_ext 函数合并文件类型和扩展名检查。
鉴于这些发现,强烈建议用户将其 AI Engine 插件更新到至少 1.9.99 版本,以确保他们的系统免受潜在的利用。已分配标识符 CVE-2023-51409 来跟踪该问题。
Patchstack 公告中写道:“始终检查插件或主题代码中 $_FILES 参数的每个进程。 ” “在上传文件之前,请务必检查文件名和扩展名。另外,请特别注意自定义 REST API 端点的权限检查。”
2、巴西公民 2.23 亿条敏感信息遭泄露
WordPress 的 AI Engine 插件中发现了一个严重漏洞,特别影响其拥有超过 50,000 个活跃安装的免费版本。
该插件因其多样化的人工智能相关功能而受到广泛认可,允许用户创建聊天机器人、管理内容并利用各种人工智能工具,如翻译、搜索引擎优化等。
根据 Patchstack 今天发布的公告,所涉及的安全缺陷是 files.php 模块中插件的 rest_upload 函数中未经身份验证的任意文件上传漏洞。
该漏洞允许任何未经身份验证的用户上传任意文件,包括潜在的恶意 PHP 文件,这可能导致在受影响的系统上远程执行代码。
值得注意的是,相关REST API端点的permission_callback参数设置为__return_true,允许任何未经身份验证的用户触发易受攻击的函数。代码中缺乏正确的文件类型和扩展名验证,允许上传任意文件,从而构成重大安全风险。
了解有关 WordPress 安全性的更多信息:备份迁移 WordPress 插件缺陷影响 90,000 个站点
为了缓解此漏洞,该插件的开发团队在 1.9.99 版本中引入了补丁。该补丁对自定义 REST API 端点实施权限检查,并使用 wp_check_filetype_and_ext 函数合并文件类型和扩展名检查。
鉴于这些发现,强烈建议用户将其 AI Engine 插件更新到至少 1.9.99 版本,以确保他们的系统免受潜在的利用。已分配标识符 CVE-2023-51409 来跟踪该问题。
Patchstack 公告中写道:“始终检查插件或主题代码中 $_FILES 参数的每个进程。 ” “在上传文件之前,请务必检查文件名和扩展名。另外,请特别注意自定义 REST API 端点的权限检查。”
3、2024年全球网络保险市场预计达148亿美元规模
根据market . us的一项分析,到2024年底,全球网络保险市场预计将达到148亿美元,比2023年预计的121亿美元估值大幅上升。到2033年,全球网络保险市场预计将达到906亿美元,比2023年的复合年增长率为22.3%。2023年,北美以45亿美元规模占有最大的网络保险市场份额(为37.6%)。
2024年1月10日 星期三
今日资讯速览:
1、联合国《打击网络犯罪公约》草案基本完成
2、微软2024年首个“星期二补丁” 共披露解决53个安全漏洞
3、台湾虎航 85.8 万数据泄露
1、联合国《打击网络犯罪公约》草案基本完成
联合国毒品和犯罪问题办公室(UNODC)认为,网络犯罪主要集中在与计算机相关和内容相关的犯罪行为,以及与侵犯版权等相关的犯罪行为。由于各国对网络犯罪的定义和界定都不相同,一直以来联合国都缺乏相关领域的公约,也难以达成一致。
事实上,由于网络犯罪助长了武器贩运、人口贩卖等恶性行为,网络犯罪也实质性阻碍了联合国全球可持续发展目标的实现。例如 GandCrab 勒索软件在全球狂揽数十亿美元,各国关键基础设施也因层出不穷的勒索软件攻击而中断。
欧盟从 2001 年起就推动谈判达成了全球网络犯罪公约(布达佩斯公约)。但由于该公约的缔约国目前仅有近七十个,并未得到世界上其他国家的广泛参与,许多国家认为应该由联合国推动全球合作打击网络犯罪公约的建立。此前非盟也制定了适用于非洲范围的《网络安全与个人数据保护公约》,全球各国政府都开始重视网络犯罪的打击与治理。
俄罗斯在 2017 年向联合国大会提议建立《联合国打击网络犯罪合作公约》,并且给出了草案案文。
2019 年 11 月,俄罗斯、白俄罗斯、柬埔寨、中国、伊朗、缅甸、尼加拉瓜、叙利亚和委内瑞拉九国发起旨在建立打击网络犯罪的国际公约的提案。2019 年 12 月,联合国大会中的各成员国对该提案进行表决,结果为 79 票赞同、60 票反对、33 票弃权。(注:附图不是该提案的表决结果,而是其他事项的表决结果)
联合国大会通过决议后,正式启动联合国打击网络犯罪公约的起草进程。为此联大成立了特设委员会起草该公约,预计需要至少三年的时间在 2024 年年初基本完成该国际公约的草案。
2019 年之前,联合国只在政府间专家组(GGE)对网络安全相关问题进行讨论。而在 2020 年,联合国大会设置了政府间专家组(GGE)、开放式工作组(OEWG)与特设开放式政府间专家委员会(OECE)对网络安全相关内容进行研究与讨论。OEWG 的主要目标是“继续推动规则、规范和原则制定这项重点工作,以规范各国在网络中的行为”;GGE 的主要目标是:“应对信息安全领域的现有和潜在威胁,包括制定用于规范各国行为的规范、规则和原则、采取信心建立和能力培养措施,以及通过国际法规来约束各国对信息和通信技术的使用”;OECE 则专门负责起草联合国打击网络犯罪公约(联合国官方名为《关于打击使用信息和通信技术实施犯罪行为的全面国际公约》)。
由于 GGE 只有 25 个成员国能够表达意见,各国便在 OEWG 讨论要保护互联网关键基础设施。例如我国在多次会议中指出:“当前关键互联网资源的不均衡分配和不公正管理体系对关键基础设施的顺利运行构成了严重的安全威胁“、”各国应平等参与国际互联网资源的管理和分配、各国应建立民主透明的多边互联网治理体系、关键互联网资源(比如根服务器)的管理者不应受任何政府的控制“。
2021 年 5 月,特设委员会召开首轮会议,一百六十多个国家的代表就谈判方式和谈判内容达成了一致。后续还要举行至少六轮磋商会,但各国间明显缺乏共识,仍然存在较大分歧。
2024 年 1 月,特设委员会将在纽约举行闭幕会议,对公约草案进行最终修订并将草案提交给联合国大会进行表决。
争议焦点
起草过程中,公约草案引发了广泛的争议。公约从网络犯罪进一步扩大,可能会与部分国家的隐私保护法律相抵触。业界普遍认为联合国打击网络犯罪公约在打击网络犯罪的同时,也扩大了监视权力并存在侵犯人权的风险。
具体争议的内容大多属于法学专业范畴,笔者不仅不懂相关内容,而且网络空间中国际法的适用性本身就仍有待研究,所以也不在本文讨论范围内。这里只提及草案中部分条目只限定了攻击本身是“故意“实施的,没有区分”恶意“或者”犯罪“意图,这有可能会将白帽黑客或者其他研究人员的活动定性为刑事犯罪。这一点可能是与技术人员关系最为密切的。
草案本身争议很大,而且每个国家都互相有基于自身立场争取的利益点,可能在这一条目中都赞成的两个国家在另一条目中立场是对立的。例如塞拉利昂表示,如果某些国民居住在一个国家还持续利用社交媒体等数字方式传播和煽动国内的暴力行为,利用信息通信技术在另一个国家制造混乱,这种犯罪行为可能干扰国家主权以及国家的和平稳定,难道这种犯罪不应该被管辖吗?
总结
国际公约的谈判通常不是一朝一夕能够完成的,去年联合国通过的《公海生物多样性条约》就经过了长达近二十年的漫长谈判。来自新加坡的会议主席 Rena Lee 在谈判完成后泪洒现场,正是各国工作人员付出了不懈的努力才为全球携手保护公海生物多样性树立了多边合作的典范。
我国一贯是国际合作的参与者,也是联合国《打击网络犯罪公约》的主要推动者。与各国一同携手打击网络犯罪,有助于推动构建网络空间命运共同体迈向高质量发展。
2、微软2024年首个“星期二补丁” 共披露解决53个安全漏洞
微软发布了2024年第一个“星期二补丁”,共披露解决了53个安全漏洞,其中包含2个“严重”等级漏洞,及47个“重要”等级漏洞。本月修补的漏洞官方口径上未被列为公开已知或受到积极攻击。关键漏洞包括:CVE-2024-20700 – Windows Hyper-V 远程代码执行漏洞,以及CVE-2024-20674 – Windows Kerberos 安全功能绕过漏洞。
3、台湾虎航 85.8 万数据泄露
据知道创宇暗网雷达监测,2024年1月9日,台湾虎航 85.8 万数据泄露,泄露的数据包含客户数据和航班预定数据,样本可下载。
泄露数据的详细类型包括:
客户数据: id,账户,密码,国籍,姓名,性别,生日,电子邮件,护照号码,护照过期日期,重置密码代码,创建时间
预定数据: id,创建者,创建日期,更新者,预订Id,预订参考号,电子邮件地址,乘客数量,产品类别,已创建的代理名称
数据被泄露的截图
台湾虎航是一家廉价航空公司 (LCC),总部位于桃园国际机场。 它是中华航空集团与廉价航空控股有限公司的合资企业。
Hackernews在12月27日曾报道,中华航空航空公司的2400万条数据被公开贩卖。
2022年7月22日,台湾虎航在其官网发表公告称,公司遭受了一次网络攻击事件,所幸未造成重大运营影响。
2024年1月9日 星期二
今日资讯速览:
1、开启双重认证后依然遭黑客入侵,安全公司曝光 X 平台存在未知零日漏洞
2、Ivanti 修复了 EPM 软件中的严重缺陷
3、瑞星捕获东南亚黑客组织对中国能源行业发起的APT攻击
1、开启双重认证后依然遭黑客入侵,安全公司曝光 X 平台存在未知零日漏洞
IT之家 1 月 8 日消息,谷歌旗下安全公司 Mandiant 日前声称自家的 X 平台账号遭到黑客入侵,黑客将账号名称改为 Phantom 并发送加密货币诈骗广告,目前相关账号已经被 Mandiant 公司成功收回。
据悉,Mandiant 公司声称他们“作为一家安全公司”,自然为自家 X 账号启用了双重验证,结果他们却在“匪夷所思”“毫不知情”的情况下遭到黑客入侵,黑客将公司账号名称改为“Phantom”后发布了一系列“加密钱包”钓鱼网站广告,并声称会向新注册用户发放免费的加密货币。
此后 Mandiant 公司就此事件展开调查,结果发现这可能是黑客利用 X 平台上一个未知零日漏洞绕过双重验证,据称当下已经有不少非营利组织、公众人物的 X 平台账号遇到类似的劫持事件,不过黑客的具体攻击手法目前还在调查中。
IT之家注意到,Mandiant 声称自家账号除了被黑客用来发送钓鱼广告外,没有发现其他恶意活动的迹象,因此可能是黑客利用脚本批量入侵了一系列账号,而非“不识货”将安全公司的账号改名后再推广诈骗广告。
2、Ivanti 修复了 EPM 软件中的严重缺陷
Ivanti 于 1 月 4 日修复了其端点管理器 (EPM) 软件中的一个严重漏洞 (CVSS 9.6),该漏洞可能会让具有内部访问权限的攻击者启动远程代码执行 (RCE)。
该漏洞(CVE-2023-39336)如果被利用,可能会让攻击者利用未指定的 SQL 注入来执行任意 SQL 查询并检索输出,而无需进行身份验证。
Ivanti在博客文章中表示,这可以让攻击者控制运行 EPM 代理的计算机,并且当核心服务器配置为使用 SQL Express 时,这可能会导致核心服务器上出现 RCE。
Ivanti 明确表示,没有迹象表明客户受到该漏洞的影响。不过,该公司表示,该错误会影响该产品的所有受支持版本,并已在Ivanti EPM 2022 服务更新 5中得到解决。供应商将hir0ot归功于识别和报告 Ivanti EPM 问题。
安全专业人员应注意,Ivanti 在过去几个月中其产品遇到了问题。8 月,Ivanti披露其 Ivanti Sentry 网关中的一个零日漏洞正在被广泛利用。2023 年夏天,其端点管理器移动 (EPMM) 平台面临两个备受瞩目的严重漏洞,其中一个漏洞在对挪威政府12 个部委的攻击中被利用。
太多 IT 资产忽视端点保护?
Sevco Security 联合创始人 Greg Fitzgerald 解释说,恶意行为者已经非常擅长劫持易受攻击的端点并利用它们访问数据和企业网络。Fitzgerald 表示,Ivanti 漏洞的好消息是,似乎没有人利用了该漏洞。坏消息:这种类型的漏洞只是端点安全的冰山一角。
Fitzgerald 指出,Sevco 最近的 研究 发现了一个更深层次的问题:许多公司对缺少端点保护等关键控制的 IT 资产视而不见。研究发现,11% 的 IT 资产一开始就缺少端点保护。同一数据显示,15% 的 IT 资产未被企业补丁管理解决方案覆盖,31% 的 IT 资产未被企业漏洞管理系统覆盖。
“这些数据点结合起来讲述了一个可怕的故事,”菲茨杰拉德说。“太多的 IT 资产对于安全团队来说是不可见的。您无法保护或修补您不了解的 IT 资产。这就是为什么反映公司动态且不断变化的攻击面的准确、最新的 IT 资产清单至关重要。”
Ontinue 威胁响应负责人 Balasz Greksza 补充道,除了启动 RCE 之外,最新的缺陷还可能通过卸载/禁用运行 EPM 代理的主机上的安全产品、部署恶意驱动程序或勒索软件,以及留下持久性植入来删除它们。在组织的关键主机上。
Greksza 表示:“该漏洞的利用噪音相对较低,并且需要安全事件响应人员直接监控 SQL 查询。”
3、瑞星捕获东南亚黑客组织对中国能源行业发起的APT攻击
近日,瑞星威胁情报平台捕获到一起针对中国的APT攻击事件,根据关联分析发现,攻击者为Patchwork组织。该组织以国内某超大型水电能源企业的新闻为诱饵,对国内用户(特别是能源行业用户)进行钓鱼邮件攻击,一旦有用户激活邮件附件中的恶意代码,就会被攻击者远程控制,盗取电脑内所有的机密信息。
2024年1月8日 星期一
今日资讯速览:
1、尼康、索尼和佳能针对深度造假的新技术
2、《GTA6》“佛罗里达小丑”对应人物向 R 星索赔 1000 万美元,威胁将释放此前泄露游戏的黑客
3、西班牙第二大移动运营商因弱密码被黑客入侵纂改路由表
1、尼康、索尼和佳能针对深度造假的新技术
鉴于图像造假问题日益严重,尼康、索尼集团和佳能 等主要相机制造商正在采取积极措施打击深度造假 。他们正在努力在相机中实现数字签名,作为图像来源和完整性的证明。
据 Nikkei Assia 称,这些数字签名将包括有关日期、时间、地点和摄影师的信息,并且不会被篡改。这对于摄影记者和其他工作需要认证的专业人士来说尤其重要。尼康将在其无反光镜相机中提供此功能,索尼和佳能将在其专业无反光镜单反相机中包含此功能。
三个照片行业巨头已同意制定与基于网络的验证工具兼容的数字签名全球标准。该工具由全球新闻机构、科技公司和相机制造商联盟推出,任何人都可以免费验证图像的真实性。如果图像是使用人工智能创建或修改的,Verify 会将其标记为“无内容凭据”。
美国前总统唐纳德·特朗普和日本首相岸田文雄等名人的深度伪造品的激增凸显了此类技术的重要性。此外,中国清华大学的研究人员开发了一种新的生成式人工智能模型,每天能够生成约 70 万张图像。
其他科技公司也加入了反对篡改图像的斗争。谷歌发布了一种工具,可以在人工智能生成的图像中添加隐形数字水印,英特尔也开发了可以分析照片中肤色变化的技术,以帮助确定其真实性。日立正在研究防止在线身份欺诈的技术。
新的相机技术预计将于 2024 年推出。索尼将于 2024 年春季发布,佳能紧随其后。索尼也在考虑将此功能添加到视频中,佳能正在开发类似的视频技术。佳能还发布了一款图像管理应用程序,可以检测照片是否由人拍摄。
索尼计划向其他媒体推广该技术,并已于 10 月份与美联社进行了现场测试。佳能正在与汤森路透和斯塔林数据完整性实验室(斯坦福大学和南加州大学创建的研究所)合作开发这项技术。
相机制造商希望他们的技术能够帮助恢复人们对图像的信任和信心,这些图像塑造了我们对世界的看法。
2、《GTA6》“佛罗里达小丑”对应人物向 R 星索赔 1000 万美元,威胁将释放此前泄露游戏的黑客
IT之家 1 月 8 日消息,前段时间,R 星新作《GTA6》预告片中出现了一个满脸纹身的“小丑”角色,这一角色在现实中具有对应人物 —— 劳伦斯・沙利文(Lawrence Sullivan),也就是“佛罗里达小丑”。
IT之家此前曾报道,劳伦斯・沙利文声称 R 星在《GTA6》中使用了基于他的形象角色,侵犯了肖像权,要求索赔 200 万美元(IT之家备注:当前约 1436 万元人民币),后来涨价到 500 万美元(当前约 3580 万元人民币)。
如今劳伦斯・沙利文向 R 星又发布一份“最后通牒”,并把赔偿提升到了 1000 万美元(当前约 7160 万元人民币),同时威胁要“释放”去年入侵 R 星的黑客,让 R 星“吃苦头”。
▲ 图源 劳伦斯・沙利文发布的 TikTok(下同)
据悉,在劳伦斯・沙利文发布的最新 TikTok 中,他声称自己甚至不能吃披萨,因为自己去披萨店就会被人认出来,这“充满了痛苦与煎熬”,他同时表示将“释放”此前泄露《GTA6》的少年黑客,联手再次入侵 R 星,“我会把那少年黑客从精神病院弄出来,我们会再次黑进你的系统。”
据早前报道,劳伦斯・沙利文所说的《GTA6》黑客即去年黑进 R 星员工聊天账号的 Arion Kurtaj 。他患有自闭症,去年在英国被捕时仅 17 岁,是国际黑客集团 LAPSU$ 的成员之一。该团伙曾对 Uber、NVIDIA、R 星等多家公司发起攻击,造成数千万美元的损失,不过目前 Arion Kurtaj 已被判处终身入院看护。
IT之家附前情提要:
上月初,劳伦斯・沙利文喊话 R 星:我们得谈谈!
上月中旬,劳伦斯・沙利文再度喊话,并索取 200 万美元的赔偿。“GTA!R 星!请回答我!”
随后,劳伦斯・沙利文将索赔金额加码至 300 万美元,并表示“如果 R 星在三天内不提供 300 万美元赔偿,也无法在佛罗里达州找到另一个与预告片中相似的人,那就将起诉 R 星。”
上月末,劳伦斯・沙利文声称自己请了律师团队,并同时将赔偿加价到 500 万美元。
3、西班牙第二大移动运营商因弱密码被黑客入侵纂改路由表
西班牙第二大移动运营商 Orange España 周三因黑客获取了弱密码“ripeadmin”登录了它用于管理全球路由表的账号而遭遇严重网络故障。Orange 在欧洲网络协议中心(RIPE Network Coordination Center)的账号用户名是 adminripe-ipnt@orange.es,密码是 ripeadmin。安全公司 Hudson Rock 的调查发现,该账号凭证已被去年 9 月安装在 Orange 员工电脑上的信息窃取恶意程序窃取并在网上出售。化名为 Snow 的黑客在社交媒体上公布了 Orange 的管理账号截图。Snow 在登陆 Orange 的账号之后修改了其全球路由表,大部分修改对网络流量没有产生影响,因为这些路由地址都在 Orange 自己的自治系统 AS12479 内,但其中一个修改 149.74.0.0/16 引发了问题,它将最大前缀长度设为 16,导致了使用该地址范围的较小的路由无效,比如 149.74.100.0/23 被认为无效并被过滤掉。BGP 专家 Doug Madory 认为黑客只是在恶搞。黑客对全球路由表的纂改很快被 RPKI(Resource Public Key Infrastructure)阻止——其它骨干运营商拒绝了黑客发布的路由公告。
2024年1月5日 星期五
今日资讯速览:
1、“一案双查” 西安三家公司因未履行网络安全保护义务遭处罚
2、游戏开发商Ateam因配置错误Google云盘,使百万人敏感数据在6年内可被任意访问
3、德国能源署被 LockBit 勒索,数据全量公开
1、“一案双查” 西安三家公司因未履行网络安全保护义务遭处罚
西安网警近日发布了数个网络安全监管处罚案例,其中三个案例均按照“一案双查”原则,三家公司均因未履行网络安全保护义务遭到不同程度上的处置。网警提示:希望各企事业单位引以为戒,立足自身切实做好网络安全防范工作。
2、游戏开发商Ateam因配置错误Google云盘,使百万人敏感数据在6年内可被任意访问
这家日本公司是一家手机游戏公司,旗下拥有 Ateam Entertainment,该公司在 Google Play 上拥有多款游戏,如 War of Legions、Dark Summoner、Hatsune Miku – Tap Wonder,以及 Memory Clear |Game Boost Master 和 Good Night's Sleep Alarm。
2023年12月初,Ateam 通知其客户、员工和业务合作伙伴,它错误地将 Google Drive 云存储账户设置为“任何有链接的人都可以查看”,而这个错误早在2017 年 3 月就发生了。
这个配置不安全的 Google Drive账户中包含了 1369 个文件,包括 Ateam 客户、Ateam 业务合作伙伴、前任和现任员工,甚至实习生和申请公司职位的人员的个人信息。
Ateam 已确认 935779 人的数据被泄露,其中 98.9% 是客户。具体到Ateam Entertainment,已经有735710人被曝光。
曝露个体分析(Ateam)
此错误配置曝露的数据因每个人与公司的关系类型而异,可能包括以下内容:
全名
电子邮件地址
电话号码
客户管理号码
终端(设备)标识号
该公司表示,目前没有找到威胁行为者窃取曝露信息的具体证据,但人们还是应该对未经请求的可疑通信保持警惕。
将 Google 云盘设置为“任何知道链接的人都可以查看”,则只有具有确切网址的人才能查看该云盘,该网址通常保留给处理非敏感数据的工作人员。
如果员工或其他拥有该链接的人失误公开了它,它可能会被搜索引擎索引并被广泛访问。
虽然任何人都不太可能自行发现曝露的 Google 云端硬盘网址,但此通知表明,公司需要妥善保护其云服务,以防止数据被错误地曝露。
对于威胁参与者和研究人员来说,查找暴露的云服务(例如数据库和存储桶)并下载其中包含的数据是很常见的。
虽然研究人员通常会负责任地披露暴露的数据,但如果威胁行为者发现它,可能会导致更大的问题,因为他们使用它来勒索公司或将其出售给其他黑客以用于他们自己的攻击。
2017 年,安全研究员 Chris Vickery 发现配置错误的 Amazon S3 存储桶暴露了包含全球用户发布的 18 亿条社交和论坛帖子的数据库。
十天后,同一位研究人员发现了另一个配置错误的 S3 存储桶,该存储桶暴露了似乎是来自 INSCOM 的机密信息。
虽然这些违规行为被负责任地披露,但其他云服务错误配置导致数据被泄露或在黑客论坛上出售。
配置错误的 Amazon S3 存储桶已成为一个很大的问题,以至于研究人员已经发布了扫描暴露存储桶的工具。
美国网络安全和基础设施安全局 (CISA) 还为公司发布了关于如何正确保护云服务的指南。
3、德国能源署被 LockBit 勒索,数据全量公开
据知道创宇暗网雷达监测,2024年1月2日,德国能源署 Dena 被勒索数据遭全量公开。
据报道,德国能源署Dena成为国际 LockBit 勒索软件组织的新受害者,黑客组织在暗网平台上披露了针对 Dena 的网络攻击。在该帖子中,黑客披露了数据泄露事件并将受影响的实体添加到他们不断增长的受害者名单中。据悉,黑客声称已对该机构的网站发起攻击,Dena于 11 月 14 日证实了这次网络攻击,袭击发生后不久,能源署基本上无法正常办公,无法通过电话或电子邮件联系。11月23日,Dena发布了一份新声明,称可以再次通过电子邮件和电话联系到该机构,但不能排除其业务联系人处理的数据因网络攻击而受到损害的可能性,敏感信息(如银行帐号)也可能遭到泄露。该黑客组织发出了威胁性的最后通牒,截止日期为2023年12月26日。
- 此次勒索事件时间轴如下:
- 2023年12月6日,Dena被 BlackCat/ALPHV公告勒索;
- 2023年12月12日,Dena被 LockBit 公告勒索,此期间 BlackCat/ALPHV 疑似关停;
- 2023年12月27日,Dena勒索公告被 LockBit下架;
- 2023年12月29日,Dena被LockBit重新公告勒索;
- 2024年1月2日,Dena被LockBit公开全量数据;
德国能源署Dena被公开的数据截图
德国能源署Dena
德国能源署Dena 成立于2000年,是一个由政府和行业联盟支持的公共机构,旨在促进全球清洁能源转型,并协助实现可持续能源的供应、使用和存储。该组织与企业、政治家、科研人员和民间社会团体合作,推动创新解决方案的开发和实施来达到减少碳排放和气候变化等可持续目标。
勒索组织 BlackCat/ALPHV 和 LockBit 的关系
在此次勒索事件中,Dena 先后出现在了BlackCat/ALPHV 和 LockBit 的勒索公告中。
2023年12月6日,Dena被 BlackCat/ALPHV公告勒索。
2023年12月7日,多方消息称,因为警方的执法行动,位于 Tor 的 blackcat 泄露网站一直无法访问。威胁情报公司 RedSense 第二天报告称,该网站已被执法部门关闭。在此期间。包括数据泄露和谈判站点在内的所有基础设施都处于离线状态。2023年12月11日,该数据泄露网站恢复,但所有数据都被删除了。
紧接着,2023年12月12日,Dena 被 LockBit 公告勒索。
正如FalconFeeds在推特上写得:“LockBit 勒索组织将德国能源署 Dena 添加到他们的受害者名单中,该机构之前是 BlackCat/ALPHV 勒索软件组织的受害者。”
现在还不能确定 LockBit 和 BlackCat/ALPHV 的组织人员有多少是相同的,但据报道,LockBit 运营经理 LockBitSupp 已经开始从 BlackCat/ALPHV 中招募分支机构。
2024年1月4日 星期四
今日资讯速览:
1、倒卖明星网红身份信息,幕后黑客年仅19岁
2、《未成年人网络保护条例》元旦起施行 织密未成年人网络保护立体“安全网”
3、普京竞选网站刚刚上线就遭多起境外攻击
1、倒卖明星网红身份信息,幕后黑客年仅19岁
随着人工智能等新技术新应用迅猛发展,黑客攻击破坏、贩卖公民个人信息类案件发案更为频繁。近日,浙江杭州公安召开新闻发布会,通报多起案件破获情况。
其中一起“倒卖明星网红身份信息”的案件引发关注,令人没想到的是,幕后黑客,年仅19岁。
案涉百位当红明星
如今,明星和网红的隐私信息俨然成为“热门商品”,并形成一条产业链。一些卖家会明码标价出售明星的航班信息,甚至他们的住址、身份证号码、微信号等私人信息。近日,杭州富阳区公安分局网警大队就侦破了一起黑客性质的侵犯公民个人信息案。
侵犯公民个人信息的黑客姓韦,19岁,半年时间已经获利50多万元,网警在现场就获取了80余万条公民个人信息。2023年11月7日,富阳网警在日常工作中发现,有人在境外社交平台上建立了一个“个人信息库”机器人,大肆贩卖公民个人信息,而嫌疑人就是韦某。
图源:“杭州公安”微信公众号
网警调查后发现,韦某高中辍学后继续自学计算机,半年前他在境外社交平台上看到一条“个人信息库”寻找合作的消息,想着这不仅能看到别人的个人信息,还能转手赚钱,就联系上了对方。
图源:杭州综合频道微信公众号
很快上家提供源代码接口,韦某又自制了能够自动进行收费交易的“机器人”,可以大量转发到各类社交群,特别是明星的粉丝群。
富阳区公安分局网警大队民警 杨名:“信息库中包含了大量明星、网红的数据,当红的明星有一百位左右,相当于现在很火的人工智能,你只要输入名字,就会自动返回关联的数据。你输入的信息越多,提供的信息就越精准。查询公民个人信息是需要购买会员的,十天100元,一个月330元,永久的权限是1600元,这些个人信息存在被二次贩卖的情况。”
随着大量公民个人信息交易的成功实现,韦某觉得风险很大。于是他又招揽了两名交易代收人员,并通过虚拟币转换获利,但最终在11月底,富阳网警赶赴广西,将主犯韦某在内的三名嫌疑人抓获,目前已采取刑事强制措施。
明星信息泄露并非个例
事实上,明星信息泄露的消息多次引发热议。
前不久,5名高铁站员工因侵犯公民个人信息罪,被广东佛山市南海区人民法院判刑。
2019年1月起,被告人陈某等人利用铁路车站客运员的职务便利,查询销售“明星”的乘车时间、车次、座位等个人信息,陈某共计获利约19万元。法院以侵犯公民个人信息罪判处被告人陈某等人三年八个月至九个月不等的有期徒刑并处罚金。案件一审宣判后,被告人陈某等人均提起上诉,最终被裁定驳回上诉,维持原判。
图源:央视新闻视频截图
佛山市南海区人民法院刑事审判庭审判员钟绮文介绍,如果公民非法出售、提供或获取通信内容、征信信息、财产信息以及行踪轨迹信息,50条以上就已经构成犯罪。
“根据司法解释的规定,违法所得达到5000元以上追究刑事责任,达到5000元的10倍,即5万元以上,属于情节特别严重。如果是收集处理个人信息的特殊从业人员,违法所得的数额是折半计算的,一半以上就达到从重标准了。”
法官介绍,在相关案件的审理过程中,交通、快递、住宿、中介等服务行业是个人信息泄露的“重灾区”。
综合:中国新闻社、南方日报、广州日报等
2、《未成年人网络保护条例》元旦起施行 织密未成年人网络保护立体“安全网”
新华社北京1月1日电(记者白阳)《未成年人网络保护条例》自2024年1月1日起正式施行。作为我国首部专门性的未成年人网络保护综合立法,这部条例的施行标志着我国未成年人网络保护法治建设进入新阶段。
条例聚焦突出问题,重点规定了健全未成年人网络保护体制机制、促进未成年人网络素养、加强网络信息内容建设、保护未成年人个人信息及防治未成年人沉迷网络等内容,具有较强的针对性和可操作性。
“条例坚持社会共治,确立与未成年人密切关联的各方主体在未成年人网络保护工作中的责任义务,全面构筑起未成年人网络保护防线,对促进未成年人健康成长具有重大意义。”北京师范大学法学院教授袁治杰说。
随着条例落地施行,各地各部门近日纷纷进社区、进校园,普及条例有关知识。
“上网的时候看到弹出来的链接,可以点吗?”“不能!”在湖北十堰,市“扫黄打非”办组织网信办、公安、检察、司法、团市委等单位来到茅箭区实验学校,联合开展“‘e’‘童’守护,保‘未’成长”宣讲主题活动,现场气氛热烈。
北京海淀区某市民活动中心工作人员面向辖区内小区居民开展普法教育,提醒家长强化监护人网络素养教育责任;天津南开区、河北区等网信部门联动未成年人检察工作室,将法治宣讲平台由“线下”搬至“线上”;重庆丰都县教委组织开展《网络成瘾预防与矫正》优秀课例评选活动……各具特色的宣传活动,让未成年人网络保护的各方主体充分了解自身义务。
在防治网络沉迷方面,条例要求提高教师对未成年学生沉迷网络的早期识别和干预能力,加强监护人对未成年人安全合理使用网络的指导;网络服务提供者要合理限制未成年人网络消费数额,防范和抵制流量至上等不良价值取向。
许多老师表示,条例强化了学校在未成年人网络保护工作中的职责,对一线教师提出更高要求。在今后的工作中,要加强教育、引导,把网络素养教育纳入学校素质教育内容。
据悉,下一步,网信部门将集中整治编造传播违法和不良信息、利用新技术新应用生成低俗内容等突出问题,持续净化网络环境;检察机关将针对违反条例规定、侵犯未成年人合法权益的行为,进一步加强检察司法保护,为未成年人营造清朗安全的网络环境。
3、普京竞选网站刚刚上线就遭多起境外攻击
据塔斯社12月29日报道,俄罗斯总统普京的竞选总部新闻秘书亚历山大·苏沃罗夫29日向记者透露,普京的竞选网站刚投入使用就遭到多起境外分布式拒绝服务攻击(DDoS攻击),但该网站目前工作正常。
报道称,普京竞选网站29日投入使用。
苏沃罗夫说:“发生了针对普京总统竞选网站的DDoS攻击。”据他称,普京的竞选网站在上线伊始就遭受“多起境外DDoS攻击”。苏沃罗夫强调,“为保护网站采取了各种必要措施”,网站目前工作正常。
据俄罗斯卫星社此前报道,普京15日在会见俄国家杜马(议会下院)各党团领袖和杜马高层时表示,俄罗斯总统竞选活动一切都必须依法进行,必须取缔任何来自外部的干涉。
普京称:“竞选活动即将开始,有必要明确几项原则性立场。首先,一切都应该在竞争基础上进行,并完全遵守俄罗斯联邦的法律。”
普京指出,肇事者将被追究干预选举的责任。他还说:“根据俄罗斯联邦法律,任何对俄罗斯内政的干涉都将受到严惩。”
2024年1月3日 星期三
今日资讯速览:
1、音乐翻录软件因配置错误或造成280GB数据泄露
2、澳大利亚和新西兰领先的汽车经销商Eagers Automotive遭受网络攻击停摆
3、云安全Google Kubernetes Engine 中的漏洞可能允许集群接管
1、音乐翻录软件因配置错误或造成280GB数据泄露
据外媒报道,音乐翻录软件TuneFab被曝出因数据库配置不当疑似可能导致280GB数据泄露。TuneFab在今年9月26日错误地配置了MongoDB数据库文件,从而使自家数据库处于“无密码”状态。据称,事件涉及的280GB数据包含用户个人数据,内含超过 1.51亿条用户IP、ID、邮箱地址等信息。
2、澳大利亚和新西兰领先的汽车经销商Eagers Automotive遭受网络攻击停摆
澳大利亚和新西兰领先的汽车经销商Eagers Automotive宣布,由于最近的网络攻击,证券交易所暂停交易。公司经营丰田、宝马、日产、奔驰、奥迪、福特、大众、本田等知名品牌零售店300多家,并拥有多家专门从事二手车销售的分公司。
Eagers Automotive 拥有 8,500 多名员工,2023 年上半年营收为 48.2 亿澳元(32.5 亿美元)。
12月28日,该公司 宣布 需要暂停所有交易操作,以防止信息泄露。该公司在随后的声明中表示,其在澳大利亚和新西兰的多个系统受到网络事件的影响。
Eagers Automotive 表示,信息系统中断正在影响澳大利亚和新西兰的一些工作场所。当地媒体报道称,“网络事件的全面规模尚无法确定。”
外部专家已介入并展开紧急调查。Eagers Automotive已将该事件通知澳大利亚网络安全中心和新西兰国家网络安全中心。
该公司的规模和业务性质引起了人们对潜在数据泄露的担忧,该数据泄露会影响多个客户并可能泄露敏感的财务信息。尽管该公司对给客户带来的不便表示遗憾,并强调保护客户和员工数据的重要性,但该公司并未在新闻声明中解决可能的数据泄露问题。
截至撰写本文时,尚无主要黑客组织声称对 Eagers Automotive 的攻击负责。
今年早些时候,澳大利亚主要公司包括迪拜环球港务集团 (DP World)、必胜客澳大利亚 (Pizza Hut Australia)、Dymocks Booksellers、悉尼大学 (University of Sydney)、HWL Ebsworth、Latitude Financial、维多利亚消防救援队 (Fire Rescue Victoria) 和昆士兰科技大学 (Queensland University of Technology) 等澳大利亚主要公司遭受了其他一些网络攻击。
3、云安全Google Kubernetes Engine 中的漏洞可能允许集群接管
网络安全公司 Palo Alto Networks 报告称,有权访问 Kubernetes 集群的攻击者可以串联 Google Kubernetes Engine (GKE) 中的两个漏洞来提升权限并接管集群。
这些问题本身可能不会构成重大风险,但已在 FluentBit(GKE 中的默认日志记录代理)和 Anthos Service Mesh (ASM)(用于控制服务间通信的可选插件)环境中发现。
FluentBit 是一种轻量级日志处理器和转发器,自 2023 年 3 月以来一直是 GKE 中的默认日志记录代理,从一开始就被部署为 DaemonSet(控制器)。ASM是Google对Istio Service Mesh开源项目的实现,用于服务的管理和可视化。
Palo Alto Networks 表示,最近在 FluentBit 和 ASM 中发现的漏洞可以作为第二阶段攻击的一部分被利用,前提是攻击者已经在 FluentBit 容器中实现了远程代码执行,或者他们可以突破另一个容器。
“如果攻击者有能力在 FluentBit 容器中执行并且集群安装了 ASM,他们就可以创建一个强大的链来完全控制 Kubernetes 集群。攻击者可以利用此访问权限进行数据盗窃、部署恶意 Pod 并破坏集群的运行。” Palo Alto Networks 解释道。
FluentBit 中的错误配置可能允许攻击者使用节点中任何 pod 的令牌来冒充该 pod,获得对集群的未经授权的访问,并列出所有正在运行的 pod。
“除了获得对集群的未经授权的访问之外,攻击者还可以升级他们的权限或执行有害的操作。事实上,这为攻击者提供了巨大的攻击面,具体取决于节点中相邻 Pod 的权限。”Palo Alto Networks 表示。
此外,网络安全公司发现,安装后,ASM 的容器网络接口 (CNI) DaemonSet 保留过多的权限,允许攻击者使用这些权限创建新的 pod,并获得对集群的特权访问。
通过利用FluentBit问题,攻击者可以映射集群以找到Istio容器,并滥用ASM CNI DaemonSet的过多权限来创建“强大”的pod,瞄准具有高权限的服务帐户,并获得充当集群管理员的权限。
12 月 14 日,谷歌宣布针对这两个问题发布补丁,敦促用户手动更新集群和节点池。GKE 版本 1.25.16-gke.1020000、1.26.10-gke.1235000、1.27.7-gke.1293000 和 1.28.4-gke.1083000,以及 ASM 版本 1.17.8-asm.8、1.18.6- asm.2 和 1.19.5-asm.4 解决了这些错误。
“这些漏洞在 GKE 中无法单独利用,需要进行初步妥协。我们不知道有任何利用这些漏洞的实例,”谷歌在其公告中指出。
2024年1月2日 星期二
今日资讯速览:
1、杭州上城网警破获一起重大勒索病毒案件
2、曼谷航空 106.5GB 数据泄露,文件可公开下载
3、阿尔巴尼亚议会遭网络袭击导致多个政府系统中断
1、杭州上城网警破获一起重大勒索病毒案件
新华社杭州12月28日电(记者马剑)记者28日从浙江杭州市公安局获悉,杭州上城区网警近日破获一起重大勒索病毒案件,犯罪团伙成员均有网络安防相关资质,且在实施犯罪过程中借助ChatGPT进行程序优化。
11月20日,上城网警接到辖区某公司报案称,该公司名下相关服务器遭勒索病毒攻击,导致公司所有系统无法正常运行,对方勒索2万USDT(泰达币)。警方随即组建技术攻坚团队开展侦查。专案组对被攻击服务器进行细致勘验、提取木马程序进行分析和对嫌疑人勒索使用的虚拟币地址进行多维度研判,成功锁定2名犯罪嫌疑人。
11月30日,专案组在内蒙古自治区呼和浩特市成功抓获韩某、祁某,并于次日在北京抓获2名同案犯罪嫌疑人李某、郝某。至此,该团伙4名犯罪嫌疑人全部落网。
该团伙4人均有网络安防相关资质,且有供职大型网络科技公司经历。他们对分工负责编写勒索病毒版本、借助ChatGPT进行程序优化、开展漏洞扫描、渗透获取权限、植入勒索病毒、实施敲诈勒索的犯罪事实供认不讳。
勒索病毒攻击是与广大网民和企业日常生产生活密切相关的黑客类犯罪手法之一。黑客通过电子邮件、即时通讯工具等途径传播勒索病毒,以加密用户文件、破坏用户的计算机功能、公布或删除用户敏感数据为要挟,逼迫用户支付赎金,实施敲诈勒索。
2、曼谷航空 106.5GB 数据泄露,文件可公开下载
据知道创宇暗网雷达监测,12月27日,曼谷航空(Bangkok Airways) 106.5GB 数据被泄露,包含122000份文件,包括机场、就业和合同信息。数据可全量下载。
在此次攻击中,黑客发布了此次泄露数据的全部文件。
黑客发布的文件截图
曼谷航空公司(Bangkok Airways)成立于1968年,是泰国颇具知名度的航空公司之一。最初作为一家私人航空公司,后来逐渐发展成为一家颇具规模和影响力的航空企业。
这并不是该公司第一次发生如此大规模的数据泄露事件,在2021年9月,曼谷航空公司就曾被 LockBit 勒索软件团队窃取了超过 200 GB 的数据。LockBit 勒索软件团队还在其泄密网站上发布了一条消息,威胁说如果曼谷航空不支付赎金,就会泄露被盗数据,消息还显示他们有更多的数据要泄露。
3、阿尔巴尼亚议会遭网络袭击导致多个政府系统中断
12月26日,阿尔巴尼亚议会宣布遭遇大规模网络攻击。黑客试图从政府信息系统获取机密数据,导致其运行暂时中断。声明指出,目前没有信息表明攻击者能够获取任何有价值的信息并将其用于自己的目的。专家们正在对事件进行彻底调查,并努力恢复基础设施。
当地媒体报道称,该国最大的移动运营商之一和国家航空公司周一遭受了类似的网络攻击,但该信息尚未得到独立证实。据推测,此次攻击的组织者是总部位于伊朗的黑客组织“国土正义”。
让我们回想一下,2022年7月,阿尔巴尼亚就已经面临过类似事件,该国当局将此事归咎于伊朗情报部门。这次袭击发生之际,阿尔巴尼亚向反对派组织“人民圣战者”成员提供庇护,这被视为伊朗的报复。此后,两国彻底断交。
伊朗外交部否认参与对阿尔巴尼亚的袭击。德黑兰将这些事件归咎于圣战者组织本身,称伊朗经常受到反对派的攻击。
六月,阿尔巴尼亚当局突袭了圣战者营地,没收了他们所说的用于非法政治活动的计算机设备。圣战者组织流亡阿尔巴尼亚,无权参与政治。
美国、北约和欧盟均表示支持阿尔巴尼亚在此问题上与伊朗对抗。
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
|
|
|---|---|
