安联智库seczk.com--做最好网安新媒体! http://www.seczk.com 信息安全资讯,热点资讯,安全期刊,人物专访,安全事件,漏洞威胁,安全技术,攻防众测, Sun, 23 Jan 2022 21:19:46 +0800 zh-CN hourly 1 https://www.s-cms.cn/?v=4.7.5 加入我们 Sun, 23 Jan 2022 21:19:46 +0800

      欢迎有志从事信息安全的朋友,一起加入安联智库这个大家庭,有你们的到来安联智库将因你而出彩!

]]>
联系我们 Sun, 23 Jan 2022 21:19:46 +0800

安联智库&安联攻防实验室(简称:seczk)www.seczk.com
使命:让安全,更简单!
提出:攻击溯源、纵深防御的安全治理解决方案!
微信 、QQ:110468258
网站:www.seczk.com 
邮箱:110468258#qq.com 
地址:广州市天河区黄埔大道西505号A栋2519室 
机构:[广东-广西-海南-云南-贵州-四川-福建-江西-湖南-北京-深圳-重庆-上海.....] 


]]>
团队简介 Sun, 23 Jan 2022 21:19:46 +0800

    安联智库是为了(简称:seczk)是一个专注于信息安全、具有全面信息安全综合服务能力的专业服务团队。seczk立足自主研发,专注信息安全市场,为客户提供安全产品、安全服务、安全集成、安全培训等多项综合性信息安全服务。经过多年的发展已经成为一个理念先进、方案成熟、团队精干、客户认可的具有本土化特色的信息安全服务商。
    seczk立足于羊城广州,目前拥有一支20多人的专业队伍,团队拥有多名CISP、CISSP、CCIE、PMP等技术人员,核心团队成员都出自国内著名安全厂商与安全服务测评机构(如启明星辰、绿盟、天融信、蓝盾、竟远、南方信息安全研究院、中国信息安全测评中心等),积累了丰富的安全经验,其技术能力已获得过不同行业客户的认可。
    安联智库&安联攻防实验室(简称:seczk)使命:让安全,更简单!提出攻防纵深防御、攻击溯源的安全治理解决方案!




]]>
韩情报机构:全球1.17万终端被植入“墨子”恶意代码 中国占83% Sun, 23 Jan 2022 21:19:48 +0800 据韩联社1月19日报道,韩国国家情报院19日表示,近日发现全球72个国家的1.17万多台物联网终端被植入代号为“Mozi(墨子) Bot Net”的恶意代码,其中韩国有100多台。中国被植入上述恶意代码的终端占整体的83%。

报道称,韩国国情院去年12月从俄罗斯网络攻击应对小组(CERT)获取“黑客曾试图途径韩国IP地址入侵”的情报,经现场调查发现国内一个地方政府的广告终端被植入该代码。国情院还对国家机关和公共机构进行调查并采取保安管制措施,从中了解到国内外有线无线路由器、闭路电视、硬盘录像机(DVR)、广告终端等约1.17万多台被植入同一恶意代码。

国情院本月初通过网络威胁信息共享系统向公共机构和民间企业紧急传达了相关信息,并与有关机构共同采取保安措施,还向美国、日本和欧盟成员国提供相关信息,并向中国国家互联网应急中心(CERT)提供了有关资料。中国被植入上述恶意代码的终端占整体的83%。

]]>
印尼央行遭勒索软件袭击,超13GB数据外泄 Sun, 23 Jan 2022 21:19:48 +0800 作为印度尼西亚的国家中央银行,印度尼西亚银行(BI,简称印尼银行)日前证实,上个月其网络确实遭遇了勒索软件攻击。

据CNN Indonesia报道,攻击发生期间,网络犯罪团伙窃取到属于印尼银行员工的“非关键数据”,之后又在银行网络中的十余个系统上部署了勒索软件。

但据路透社报道,印尼银行一位发言人表示,在公共服务实际遭到攻击影响之前,事件就已经得到了缓解。

印尼银行通讯部门负责人Erwin Haryono表示,“我们确实遭遇到攻击。但到目前为止,我们采取了既定应对措施,印尼银行的公共服务没有受到任何影响。”

Haryono还在接受印尼当地媒体采访时补充道,“印尼银行上个月发现了这一波勒索软件攻击。我们了解攻击活动的存在,也确认我们已经暴露了。”

Conti勒索软件团伙对此负责,称已成功窃取到银行数据

Erwin Haryono没有将此次攻击黑手归咎于具体对象,但Conti勒索软件团伙却主动认领,在官方门户上发布了泄露通告,并表示已经从印尼银行网络中成功窃取到一批文件。

如果印尼银行不支付赎金,该团伙宣称将公开泄露13.88 GB的文件。

有媒体就此事联系到印尼银行一位发言人,但对方表示无法对此做出评论。

Conti勒索软件团伙是谁?

Conti是一项勒索软件即服务(RaaS)业务,与俄罗斯网络犯罪组织Wizard Spider有所关联。Wizard Spider曾先后使用过Ryuk、TrickBot以及BazarLoader等臭名昭著的恶意软件。

当受害组织的系统感染BazarLoader或TrickBot恶意软件后,Conti勒索软件附属团伙会进一步破坏目标网络,建立起通往受感染系统的远程访问通道。一旦掌握了对受害者内部网络的访问权,Conti就会顺藤摸瓜,入侵受害者网络中的更多其他设备。

通过这种方式,Conti团伙即可先收集并泄露数据信息,之后再跨网络部署勒索软件载荷。

Conti勒索软件向来以高调攻击知名组织而出名,其受害者名单中包括爱尔兰卫生部(DoH)、爱尔兰健康服务管理署(HSE)以及营销巨头RR Donnelly(RRD)等。

随着Conti攻击活动的增加,美国联邦调查局、网络安全与基础设施安全局以及国家安全局等最近也发布了关于Conti活跃度上升的安全警告。

]]>
又一银行因信息保护问题被罚超千万,千余毕业生莫名被开户 Sun, 23 Jan 2022 21:19:48 +0800 千余学生被开设农行账户,本人不知情

据媒体报道,一个月前,农行崇左江州支行被曝出在广西崇左幼儿师范高等专科学校(以下简称“崇左师专”)千余名毕业生不知情的情况,为其开设多个农业银行的Ⅱ类、Ⅲ类电子账户,平均每人名下近10个账户。

中国农业银行广西分行通报称,此事件系该行辖属崇左江州支行营业室违规操作所致。2020年6月24日,江州支行营业室批量开立12536户Ⅱ、Ⅲ类电子账户,涉及1457名学生。

据1月20日中国人民银行南宁中心支行官网消息,农行崇左分行未落实个人银行账户实名制管理规定;违规使用个人金融信息;未严格落实银行账户风险监测要求;未按规定完整保存客户身份资料,故处以警告并共处人民币1142.50万元罚款,作出行政处罚决定机关为中国人民银行崇左市中心支行。

同时,相关责任人也一并被罚。上述公示表示,因未按规定完整保存客户身份资料、未严格落实银行账户风险监测要求,时任农行崇左分行行长梁晓军和农行崇左江州支行行长的许亦猛均被处以警告,并分别被处人民币11万元罚款。

此外,因未按规定完整保存客户身份资料,时任农行崇左分行副行长高峰、农行崇左分行个人金融部/个人信贷部/消费者权益保护办公室总经理钟丽月、农行崇左江州支行行长助理赖学芳分别被罚5万元。

据了解,崇左师专在2013年至2018年间与农行崇左江州支行开展代收学杂费、代发放奖助学金等方面合作。合作期间,学校把学生的身份证、姓名信息交给银行,由银行录入系统用于开展业务。不过,崇左师专方面表示,学校没有通过任何渠道违法违规泄露学生个人信息。

中国农业银行广西分行通报称,开户所用信息为江州支行向学校提供代收学费服务时获得,江州支行营业室超范围使用,违规开立账户。崇左分行和江州支行存在严重违规、管理不力问题,已按照《中国农业银行员工违规行为处理办法》,对涉及管理、经营、操作层面的13名责任人进行了免职、记过等追责。

因信息保护问题,多家银行曾收到大额罚单

个人信息保护法规定,金融账户为敏感个人信息,只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息,且应当取得个人的单独同意。

农行崇左支行并非首家因信息保护问题被处罚的银行。据南都记者不完全统计,近年来,至少有十家银行因此类问题被处罚,罚单金额由数百万至上千万元不等。

1月10日,中国人民银行上海分行官网公示,东亚银行(中国)因违反信用信息采集、提供、查询及相关管理规定,被处以罚款人民币1674万元,并责令限期改正。

去年3月,因对客户信息管理不善等原因,中国银保监会消费者权益保护局对中信银行处以450万元罚款。在处罚信息中提及中信银行“未经客户本人授权查询并向第三方提供其个人银行账户交易信息”。

公开资料显示,中信银行的这项违规操作曾发生在脱口秀演员池子(本名:王越池)的身上。

池子此前曾发文称,由于笑果文化违约拖欠演艺报酬,自己已于今年1月提出解约,双方均就此提出仲裁。其中笑果文化发来的案件材料包含池子在中信银行近两年的个人账户交易明细,池子认为此举侵犯隐私,向中信银行和笑果文化发出律师函并报案。其后,中国银保监会消费者权益保护局通报称对此事启动立案调查。

2020年10月,中国建设银行、农行、中国银行的6家分支行因侵害消费者个人信息依法得到保护的权利等,被中国人民银行合计罚款超4000万。其中,建行德阳分行被罚1406万元,系被处罚的6家分支行中被罚款金额最高的银行,罚款原因系:侵害消费者个人信息依法得到保护的权利。

]]>
营销巨头RRD承认在Conti勒索软件攻击中数据被盗 Sun, 23 Jan 2022 21:19:48 +0800 美国营销巨头RR Donnelly(RRD)公司日前透露,该公司在一次12月的网络攻击中被窃取了数据。事后经BleepingComputer证实,这是一次Conti勒索软件攻击。

RRD是一家头部的综合服务公司,为企业客户提供通信、商业印刷和营销服务。公司在全球200多个地点拥有超33,000名员工,其2021年的收入为49.3亿美元。

2021年12月27日,RRD公司向美国证券交易委员会(SEC)提交了8-K表格,透露他们遭受了“技术环境中的系统入侵”,攻击使得他们不得不关闭网络以防止攻击蔓延。

IT系统的关闭导致公司的客户服务中断,一些客户无法收到供应商付款、支付支票和机动车辆证件所需的打印文件。

RRD公司表示,最初他们不知道在攻击期间有客户端数据被盗。直到2022年1月15日,Conti勒索软件团伙开始泄露从RRD公司窃取的用户数据,总计为2.5GB。随后,RRD公司就泄露的数据与Conti团队展开谈判,我们有理由相信,在交付赎金后,泄露数据已经得到删除了。

RDD公司的信息泄露与先前披露的系统入侵有关,而不是新事件。

对于本次攻击事件,RRD公司相关人士表示:“公司将持续向客户通报事件的最新进展,并计划采取一切适当措施保护客户数据。”

值得一提的是,本次勒索软件攻击发生在RRD公司宣布将被查塔姆资产管理公司收购的最终合并协议之后。

耐人寻味的是,去年11月美国联邦调查局(FBI)发布了一份“私人行业通知”(Private Industry Notification),警告称勒索软件团伙通常会在重大金融事件如并购发生时发起攻击,以此作为让受害者支付赎金的手段。

]]>
央视起底互联网占卜算命乱象!上传宠物狗照片:读书运很好 Sun, 23 Jan 2022 21:19:48 +0800 对于算命占卜的问题,年轻人中也有一些受众人群,不过算命方式,由线下同步升级到了网络上。

据央视新闻报道,农历新年将近,不少年轻人把占星卜卦当成转移焦虑的“灵丹妙药”,还有迷信活动蹭起了科技发展的热度。

记者扫描了一张“AI面相”海报中的二维码,按照提示拍了一张面部完整无遮挡、五官清晰无眼镜的照片。

类似于普通的人脸识别,仅用了不到30秒钟,页面就显示报告已生成,其中还包含着很多单项报告需付费查看。比如“鼻相解读”,需要付费26.8元解锁;获取事业运程报告,支付28.8元。

而截至发稿,其页面数据显示,所谓的鼻相解析报告就有61139人购买,事业运程报告有72301人购买,情感运程报告有98532人购买,仅此三项该账号收入就多达654万元。

更离谱的是,记者随机上传了一张宠物狗的照片,结果显示,宠物狗的面相得了96分,“读书运很好”。 一只狗子,“读书运很好”,这样的占卜结果,品牌方不是在糊弄人呢。

专家解读,AI类占卜,其实是通过手机摄像头,来进行有限的面部特征点采集,然后与有限的数据库的特征值进行对比,根据现成的话术编撰出一套似是而非的结果,看上去说了很多,其实又什么都没说。

此外,而在一家打着心理咨询旗号的占卜馆,记者花费19.9元预测事业运势,表示自己刚刚经历裁员,正在进行自主创业。

占星师立刻进行迎合称,记者的财源不定。对于不好的运势,占卜师则会介绍,可以通过购买“转运好物”来改变运势。而转运好物的特点是价格昂贵,一串“愿望”手链售价598元,一串“事业”手链的价格为888元。

有卖家声称:“利润率可以达到80%。”在占卜咨询的评论中,有消费者投诉,两个不一样的顾客得到的竟然是完全一致的解答。

]]>
新手机号注册账号却发现已被注册?中国联通给出解决办法 Sun, 23 Jan 2022 21:19:48 +0800 小伙伴们是否曾遇到这样的情况:用新手机号注册互联网公司的账号,却发现号码已被注册?

这个问题现在可以轻松解决啦!中国联通联合中国信息通信研究院码号服务推进组和部分互联网企业,推出互联网注册清理服务。

这些互联网企业包括微博、抖音、今日头条、美团、大众点评、小米等等,向中国联通用户开放“注册清理服务通道”,统一处理号码在多个互联网平台的已注册信息。

操作很简单,登录中国联通APP,在顶部搜索栏输入“注册清理”,进入该服务。填写身份信息,输入姓名、验证码后进入清理界面,选择互联网企业及应用进行申请,目前已有四家互联网企业支持,后续将持续增加。

该服务暂时在北京、江苏、浙江3个省市进行试点,暂不支持携号转网用户。

据了解,遇到新购买的手机号提示已被注册/绑定,这种情况是由于前机主在放弃使用该手机号前,没有换绑其账号号与手机 号的绑定关系导致的。

也有可能是手机维修时,被维修人员恶意注册。曾有报道称,乘客户不注意的时候,有维修人员将客户手机号码发到一个“拉新”群中,随即手机上会收到一条验证短信,再将验证码发到群里,群主确认成功后,他就会收到5至8元不等的红包。

因此,维修设备要看好手机,要注意是否被人窃取验证码,维修后要检查,看是否有增添新的未知应用。

]]>
Cisco StarOS漏洞或有远程代码执行和信息泄露风险 Sun, 23 Jan 2022 21:19:48 +0800 日前,思科公司(Cisco)宣布修补了一项远程代码执行漏洞,该漏洞的追踪编号为CVE-2022-20649,发现于公司旗下StarOS软件冗余配置管理器(RCM)中。

公司专家在内部安全测试期间发现了这项漏洞,未经身份验证的攻击者利用该漏洞可获取远程代码执行(RCE),并获得受攻击设备的root权限。

Cisco公司在官方公告中对该漏洞如此描述:“StarOS Software的RCM漏洞或能允许未经身份验证的远程攻击者在已配置的容器中获得root权限,以此对应用程序执行远程代码。特定服务的调试模式被错误地启用是导致这项漏洞的主要原因。攻击者可以通过连接设备导航到启用调试模式的服务来利用这个漏洞,一旦成功攻击者就能允许获得root权限以执行任意命令。”

思科公司的产品安全事件响应团队(PSIRT)对外证实了该公司尚未受到应用该漏洞的外部攻击。

此外,思科公司还解决了存在于StarOS RCM中的另一个信息泄露漏洞,其踪记标号为CVE-2022-20648。该漏洞存在于Cisco StarOS Software的Cisco RCM的调试功能中,未经身份验证的远程攻击者可以利用该漏洞执行调试操作,从而可能导致应受限制的机密信息被泄露。

对于这个漏洞,这家 IT 巨头发布的公告是这样描述的:“此漏洞存在的原因是调试服务错误地侦听和接受传入连接。攻击者可以通过连接到调试端口并执行调试命令来利用此漏洞。攻击成功的话公司敏感的调试信息就会在攻击者眼前一览无余。”

截至目前,思科公司已通过发布适用于StarOS 21.25.4的Cisco RCM补丁解决了这两个漏洞。

]]>
嵌入式设备是勒索软件的下一个目标吗? Sun, 23 Jan 2022 21:19:48 +0800 2021年将被记住,因为这一年勒索软件团伙将注意力转向关键基础设施,尤其是围绕制造业、能源分配和食品生产的公司作为目标。仅仅是Colonial Pipeline的勒索软件就导致了5500英里的管道关闭,因为人们担心对其IT网络的勒索软件攻击会蔓延到控制分配燃料的管道的操作网络。

运营技术(OT)网络控制着对生产线、发电厂和能源供应的持续运营至关重要的设备,因此通常与公司面向互联网的IT网络相分离,以更好地隔离关键硬件,避免网络攻击。针对OT网络的成功攻击很少,但在Colonial勒索软件攻击之后,CISA警告说,关键基础设施所有者面临的威胁越来越大。

现在,安全研究人员正在警告这些OT网络上的嵌入式设备所带来的风险。嵌入式设备安全供应商Red Balloon Security在新的研究中发现,有可能在现实世界网络中使用的嵌入式系统上部署勒索软件。

该公司说,它在施耐德电气Easergy P5保护继电器中发现了漏洞,该设备在发现故障时触发断路器,是现代电网运行和稳定的关键。

这个漏洞可以被利用来部署勒索软件的有效载荷,从而实现了一个"复杂但可重复的"过程。施耐德电气的一位发言人表示,"对网络威胁非常警惕,在得知施耐德电气Easergy P5保护继电器的漏洞后,立即着手解决这些问题"。

Red Balloon的创始人兼联合首席执行官Ang Cui表示,虽然勒索软件攻击已经袭击了关键基础设施供应商的IT网络,但成功破坏OT嵌入式设备可能"破坏性更大"。因为公司不习惯或没有经验从对嵌入式设备本身的攻击中恢复,如果设备被毁或无法恢复,那么就需要寻找替代设备,而这可能需要数周时间,因为供应有限。

安全专家Window Snyder去年推出了一家创业公司,帮助物联网制造商可靠和安全地提供软件更新到他们的设备,他说,嵌入式设备可能成为一个容易的目标,特别是当其他入口点变得更有弹性。谈到嵌入式系统,它们中的很多都没有权限分离,它们中的很多都没有在代码和数据之间进行分离,而且它们中的很多在开发时都认为它们会坐在有空气防护的网络上--这是不充分的。

研究表明,这些设备--许多都有几十年的历史--的安全性需要改进,并呼吁政府和商业部门的终端用户要求制造这些设备的供应商提高标准。发布固件修复是一种被动的、低效的方法,不会解决最关键任务的行业和服务的整体不安全问题。供应商需要将更多的安全降到嵌入式设备层面。政府需要在监管层面上做更多的工作,并认为需要给设备制造商施加更多的压力,因为他们目前没有动力在设备层面上建立更多的安全性。

]]>
红十字国际委员会遭受网络攻击 超51.5万名“高危人群”的数据遭泄露 Sun, 23 Jan 2022 21:19:48 +0800 据CNN报道,红十字国际委员会(ICRC)周三表示,该组织使用的一个承包商遭到的网络攻击已经泄露了超过51.5万名“高危人群”的个人数据,包括因冲突和灾难而与家人分离的人。

该人道主义组织说,黑客攻击迫使红十字会关闭了支持因冲突、移民或灾难而分离的家庭团聚的IT系统。

目前还不清楚谁是这次网络事件的责任人,但红十字会表示,它 “最担心的问题”是这些数据可能会被泄露。红十字会称,目前还没有迹象表明这种情况已经发生。

红十字国际委员会总干事罗伯特·马尔迪尼在一份声明中说:“我们都感到震惊和困惑,这些人道主义信息会成为目标并被泄露。”

该人道主义组织表示,黑客攻击了一家位于瑞士的公司,红十字会付钱给这家公司存储其数据。被泄露的数据来自至少60个“国家协会”,即红十字会在世界各地的志愿者和工作人员网络,红十字会将其作为灾难的第一反应者。

红十字会发言人Elizabeth Shaw在一封电子邮件中告诉CNN:“作为第一步,我们将与最相关的红十字会代表团以及当地的红十字会和红新月会合作,寻找方法通知那些数据可能已被泄露的个人和家庭,正在采取哪些措施来保护他们的数据以及他们可能面临的风险。”

Shaw说,这一事件与勒索软件无关,红十字会正在与“高度专业化”的网络安全公司合作,以应对黑客攻击。

日内瓦红十字会总部的前网络战顾问Lukasz Olejnik告诉CNN,这次事件“似乎是红十字会历史上最大和最敏感的漏洞,而且考虑到其敏感性,可能是迄今为止所有人道主义组织的漏洞”。

作为独立网络安全顾问的Olejnik告诉CNN,红十字会应该考虑向作为《日内瓦公约》缔约国的政府寻求帮助,以从网络攻击中恢复过来。

]]>
Crypto.com承认超过3000万美元被黑客窃取 Sun, 23 Jan 2022 21:19:48 +0800 在周四凌晨发表的一篇博客文章中,加密货币交易所Crypto.com承认,在1月17日发生黑客攻击后,该公司损失了远远超过3000万美元的比特币和以太坊。事件发生后,该公司被批评一直围绕网络安全问题对外模糊沟通,昨天才由首席执行官Kris Marszalek正式确认。

新的博客文章说,未经授权的提款总价值为4836.26ETH和443.93BTC--按照目前的汇率,分别大约相当于1520万美元和1860万美元,同时还有价值66200美元的其他法币,总共有483名Crypto.com用户的账户被泄露。

Crypto.com表示,所有受影响的客户的损失都得到了充分补偿。该公司的最新声明称已有了对安全漏洞的更深入了解,尽管确切入侵方法的细节仍不清楚。

"2022年1月17日星期一,约12:46 UTC,Crypto.com的风险监控系统检测到少数用户账户有未经授权的活动,在用户没有完成在2FA认证控件中输入凭据的情况下,交易被批准,"该帖子写道。"这引发了多个团队的立即响应,以评估其影响。在调查期间,平台上的所有提款被暂停。任何被发现受到影响的账户都被完全恢复。"

随后,该交易所已将其双因素认证系统迁移到一个新的架构,并撤销了所有现有的2FA令牌,这意味着所有客户将需要切换到新系统。

Crypto.com被黑是针对加密货币交易所的一连串攻击中的最新一次,这些交易所中存放的稳步增长的加密货币生态系统中价值最高的一些目标。根据NBC News的分析,2021年有超过20个交易所被黑,黑客以超过1000万美元的利润逃脱,还有6个案例,被盗资金价值超过1亿美元。

]]>
直播妇科手术被立案 医生呼吁规范直播很有必要 Sun, 23 Jan 2022 21:19:48 +0800 互联网时代任何隐私都有可能被暴露,网络直播带来的风险在医学界也进一步显现。

1月18日,山东省日照市公安局东港分局通报,接群众举报,一名医生疑似在网络上直播妇科手术片段,警方已对涉事医院相关人员展开调查并立案。

对此业内呼吁,直播有边界,网络空间不是“法外之地”,把公共场所涉及个人隐私的视频传到网上,不仅违背公序良俗,更涉嫌违法。

一位妇产科医生对第一财经记者表示:“呼吁如何规范直播很有必要,不能让一个人的劣行搅乱了整个行业的秩序。”

上述医生表示,手术直播用于医生之间的学术交流已经是非常常见的,但是直播的内容应该严格地区分场合。

“在学术交流过程中,直播是可以看到手术具体画面的,就是术者的视野范围。”他告诉第一财经记者,“但是对于像抖音或者B站这种面对普通公众的直播平台,就连一般的血肉画面也是禁止的,暴露生殖器这种隐私部位外观是绝对不行的。”

他还解释称,用于医生交流的直播主要是观看手术的操作步骤和过程,仅供内部人士分享,画面也是严格禁止外传的。

一位泌尿外科医生也对第一财经记者表示:“直播技术给学术交流提供了更好的手段,能够让术者把手术操作的过程分享给其他不在现场的专家。但是我们一定要注意保护患者的隐私,平衡好技术带来的好处和潜在风险。我们也期待着方面的法律规范更加完善。”

如今,除了正常的学术交流之外,有越来越多的“网红医生”通过抖音短视频等直播平台向大众进行医疗科普,这在帮助提高全民医疗常识,减少患者看病就医误区的同时,也带来了很多难以控制的隐患。比如一些医生如果在未征得患者同意的情况下,边问诊边直播,就可能侵犯到患者隐私以及合法权益,应引起高度重视。

外界高度关注日照警方立案后的调查和处理结果。一位律师告诉第一财经记者:“如果该案件要上刑法,那么可能还需要上‘口袋罪’和寻衅滋事。如果该案仅追究行政责任,那么最多只能是治安拘留15天。”所谓“口袋罪”,是指刑法界对于某些构成要件行为具有一定的开放性的罪名俗称,包括寻衅滋事罪。

第一财经记者向多方了解到,目前并没有完善的法律法规为医生直播划出清晰边界。但今年3月1日即将正式实施的最新修订的《医师法》,对医生严重违反医师职业道德和医学伦理,造成恶劣社会影响的,首次做出了“终身禁职”的规定。

《医师法》第五十八条规定:“严重违反医师职业道德、医学伦理规范,造成恶劣社会影响的,由省级以上人民政府卫生健康主管部门吊销医师执业证书或者责令停止非法执业活动,五年直至终身禁止从事医疗卫生服务或者医学临床研究。”

]]>
央视《焦点访谈》实地探访萝卜快跑:自动驾驶成为中国经济发展新动能 Sun, 23 Jan 2022 21:19:48 +0800 1月18日,央视《焦点访谈》栏目对2021中国经济年报进行解读。年报数据显示,2021年我国消费总量达到44万亿的新台阶,高新技术产业和全社会研究与试验发展经费均呈增长态势,新经济、新业态、新模式不断涌现,以自动驾驶为代表的高精尖产业正逐渐成为经济发展的新动能。百度“萝卜快跑”作为其中的代表,受到《焦点访谈》的重点关注,百度副总裁魏东出镜接受采访。

位于北京东南的经济技术开发区,2021年高精尖产业加速布局,预计工业总产值同比增长15%以上,是2021年经济高质量发展的一个缩影。央视《焦点访谈》记者在亦庄亲身体验了百度萝卜快跑自动驾驶出行服务,通过手机一键下单,萝卜快跑自动驾驶车可按乘客需求在路边站点停靠,待乘客上车扫码测温坐定后,点击屏幕上的自动驾驶按钮,自动驾驶车便可将乘客送往目的地。

在实际体验中,央视《焦点访谈》记者表示:“乘车体验已经非常接近人工驾驶,作为乘客我是一点感觉不到这辆车是在自动驾驶,包括它在接近红绿灯的时候,车辆刹车也是非常平稳,而且在车距上也控制得非常合理。”记者的科技出行体验对亦庄市民而言并不陌生,自2021年11月25日北京正式开放首个自动驾驶出行服务商业化试点以来,市民乘坐自动驾驶车出行的画面在亦庄60平方公里范围内每天都在上演,自动驾驶车已经成为人们出行的新选择。而以自动驾驶为代表的新能源汽车和智能网联汽车产业也已成为北京市经济技术开发区的重要产业集群。

2021年,我国自动驾驶出租车、卡车、配送车、巡逻车等陆续走出实验室和封闭测试车间,出现在开放道路上。这一技术的加速迭代离不开高精地图算法、芯片、激光雷达以及包含道路本身在内的全产业链智能改造升级,也离不开国家对科技研发的持续投入。数据显示,去年我国高技术制造业增长18%左右,快于全部工业增加值的增长,产业结构调整效果明显。北京经济技术开发区经济发展局局长金光泽表示:“到目前为止,新一代信息技术、高端汽车和智能网联汽车、生物医药和大健康、机器人和智能制造,这四大产业集群已经初具规模。”

魏东在接受《焦点访谈》采访时表示,“十四五规划中强调科技强国,强调对硬科技的全力投入,这也是让聚焦在科技投入的企业,更加有信心,有底气。”

“十四五”开局之年,中国经济交出了亮丽的成绩单。这张成绩单不仅反映出我国经济韧性强、潜力足、长期向好的基本面没有变,也反映出我们在贯彻新发展理念、构建新发展格局、推动高质量发展上取得的成效。在《交通强国建设纲要》指引下,我国交通运输业也取得了前所未有的发展,汽车产业进入深刻变革期。作为智能网联汽车产业发展的终极目标,自动驾驶技术已成为新时代下汽车产业布局的重点。百年汽车工业,将借助自动驾驶实现新一轮的快速变革,成为我国技术创新和经济发展新增长点,助力我国经济高质量发展。

]]>
突发!美国政府对阿里云开展“国家安全”审查 Sun, 23 Jan 2022 21:19:48 +0800 北京时间1月19日消息,据知情人士透露,拜登政府正在审查阿里巴巴集团的云业务,以确定它是否对美国国家安全构成风险,目前美国政府正加大对中国科技公司与美国公司之间交易的审查力度。

知情人士指出,此次调查的重点集中在阿里云如何存储美国客户的数据,包括个人信息及知识产权内容。其中一位知情人士还炒作称美方担心中国政府会在特定情况下阻止美国用户正常访问其存储在阿里云上的信息。

美国监管机构最终可能会强制要求阿里云采取相应措施,用以明确降低云业务带来的潜在风险,甚至有可能全面禁止美国用户在国内外继续使用阿里云服务。

据其中一位知情人士及另外一位前特朗普政府官员介绍,美国商务部早在特朗普时期就已经提出对阿里云业务的担忧,而正式审查工作则由拜登政府在今年1月着手启动。

根据咨询机构Gartner的数据,阿里巴巴在美云业务规模并不算大,年收入估计不足5000万美元。但如果监管机构最终决定阻止美国企业继续使用阿里云服务,无疑是对阿里巴巴当前最具前途的业务探索方向施以沉重一击。

阿里巴巴未对此事作出回应,但已经在最近的年度报告中表达了对于在美业务运营的担忧。阿里提到与其签订合同的美国企业“可能被禁止继续与我司开展业务,由我方云服务协议约定的客户方相关义务也将受到影响。”

根据研究企业Canalys公司的数据,阿里巴巴已经是全球第四大云服务供应商,目前拥有约400万客户,而且云业务成为公司“第二大业务增长支柱”。尽管阿里云业务在公司总销售额中的整体占比不过区区8%,但在2020年内收入增长达50%,总额为92亿美元。

]]>
美国5G服务上线或威胁飞行安全 航空界哗然 Sun, 23 Jan 2022 21:19:48 +0800 美国几家主要客运和货运航空公司组成的联盟敦促美国政府官员立即采取行动,阻止周三计划在C波段频谱上推出5G无线服务。 

这一消息是在外媒周二获得的一封联名信中披露的,其中美国航空公司、达美航空公司、联合航空公司、西南航空公司和其他航空公司声称此次发射可能“可能将数万名美国人滞留在海外”并造成“混乱”横跨美国的旅行和航运网络。航空公司继续说,在这封信发出前的星期天,“将有超过1100个航班和100000名乘客被取消、改道或延误。”

外媒指出,航空公司正在积极确定是否应该取消原定于周三举行的一些国际航班。 

在Verizon Wireless和AT&T两家美国无线运营商都同意在各自的1月19日推迟开启在机场附近的50个信号塔之后,向美国监管机构提出了最后一分钟的请求。该清单的目标是在六个月期间尽量减少主要旅游枢纽附近市场的干扰,在此期间,运营商和美国联邦航空管理局 (FAA) 和联邦通信委员会等政府机构可以共同确定哪些5G C波段真正的干扰或威胁某些飞机用于自动着陆程序的无线电高度计。 

美国联邦航空管理局(FAA)警告,潜在的5G干扰可能会影响高度读数,而高度数据在一些喷气式飞机于恶劣天气降落中发挥关键作用,航空公司表示,波音777是首先受到影响的机型之一。

尽管AT&T和威讯(Verizon)宣布他们将推迟开启机场附近的一些5G信号塔,但一些航空公司仍然取消了航班。其他航空公司则表示,除非FAA发布新的正式指南,否则可能会取消更多航班。

“虽然这是朝着防止大范围干扰航班运营的正面进展,但一些飞行限制可能仍然存在,”达美航空(Delta Air Lines)表示。

世界上最大的波音777飞机运营商、迪拜的阿联酋航空表示,将从1月19日,即5G无线服务的计划部署日期,暂停飞往美国九个目的地的航班。

阿联酋航空飞往纽约肯尼迪机场、洛杉矶和华盛顿特区的航班将继续运营。日本的两家主要航空公司,全日空和日本航空表示,将削减波音777航班。

全日空称,它将取消或调整部分美国航线的机型。据Skift报导,日本航空表示,“在确认安全之前”,不会在美国大陆航线使用777飞机。

大韩航空称,已经在六个美国客运和货运航班停用777和747-8机型,并预计周三还将更换另外六个航班使用的机型。

这些航空公司表示,他们是根据波音通知采取的行动,通知称5G信号可能会干扰777机型的无线电高度表。

波音发言人没有立即发表评论。

上述客运航空公司以及联邦快递、UPS和美国航空公司行业集团的首席执行官希望FCC主席杰西卡·罗森沃塞尔、交通部长皮特·布蒂吉格和其他人现在能够介入以阻止他们声称的“完全可以避免的经济灾难”。

]]>
关于部分网络安全等级测评与检测评估机构限期整改的公告 Sun, 23 Jan 2022 21:19:48 +0800 关于部分网络安全等级测评与检测评估机构限期整改的公告

为加强中关村信息安全测评联盟(以下简称“联盟”)自律管理,规范网络安全等级测评与检测评估机构(以下简称“测评机构”)行为,提高测评机构技术能力和规范化、标准化水平,促进网络安全等级保护测评行业健康发展,按照有关主管部门要求,联盟开展了2021年度全国测评机构项目抽查和能力验证工作。根据在项目抽查和能力验证中发现的问题及严重程度,依据《网络安全等级测评与检测评估机构自律规范》第二十九条规定,经研究决定:

一、西藏缘瑞网络科技有限公司、青海玉仑信息科技有限公司、黑龙江省信息安全测评有限公司、安徽信科共创信息安全测评有限公司、西安秦易信息技术有限公司、天津恒御科技有限公司、江苏安国信检测技术有限公司、山西省信息化和信息安全评测中心开展为期6个月的整改。整改期为2022年1月18日至2022年7月18日。

二、内蒙古网安等保测评有限公司、内蒙古信息系统安全等级测评中心、广州华南信息安全测评中心、固平信息安全技术有限公司、武汉明嘉信信息安全检测评估有限公司、安徽等保信息安全测评技术有限公司、武汉安域信息安全技术有限公司开展为期3个月的整改。整改期为2022年1月18日至2022年4月18日。

特此公告。

中关村信息安全测评联盟     

2022年1月18日  

]]>
勒索软件即服务是否过时了? Sun, 23 Jan 2022 21:19:48 +0800 勒索软件团伙似乎永远不会消停,2021年勒索软件攻击的数量有增无减。但仔细观察,会发现这个产值数十亿美元的行业也有缝隙:自2021年2月以来,七名与REvil和GandGrab有关联的勒索软件附属组织嫌疑人已被捕,包括一名据传参与Kaseya攻击的嫌疑人;美国司法部没收了REvil的600万美元;一个名为RAMP的新论坛设立,暗示了勒索软件团伙之间的冲突。勒索软件运营商与附属组织之间的冲突日益加剧,可能会影响勒索软件团伙在未来开展活动和发动攻击的方式。

勒索软件即服务(RaaS)的出现为网络犯罪团伙提供了一种更快捷、更有利可图的商业模式,且进入门槛更低。RaaS还促进了勒索软件行业的专业化程度,客户服务团队、声誉管理以及用于研发等项目的额外资源一应俱全。就像希腊神话中的伊卡罗斯那样,勒索软件团伙离太阳太近了,它们很快会被烧毁。

2021年5月的Colonial Pipeline攻击只是勒索软件团伙玩火自焚的一个例子。这起勒索软件事件取得了意料之外的结果:引发天然气短缺,政府正式下令打击网络犯罪。实施攻击的团伙DarkSide承认,它的本意不是要给社会制造问题,牟利才是它的唯一目的。Colonial Pipeline攻击的另一个副作用是使攻击者招募合作伙伴更难了,因为政府明令禁止从地下论坛招募勒索软件团伙。

勒索软件团伙感受到了重大政治化攻击带来的连锁效应,未来可能会有更多的余波。特别是在招募方面面临的挑战和政治压力可能会扰乱其攻击活动,最终减少利润,导致勒索软件团伙采取更野蛮的砸抢手段。勒索软件的受害者也会感受到这些影响,比如,勒索软件初始感染与加密的时间间隔可能会大幅缩短,协商的余地可能会更小。无论结果如何,企业都应该有所防备,因为威胁分子会放弃当前RaaS行业特有的传统作派,不择手段地发动攻击。

]]>
Cynerio报告:医院中一半的联网设备容易受到黑客攻击 Sun, 23 Jan 2022 21:19:48 +0800 根据医疗网络安全公司Cynerio的一份新报告,医院中使用的互联网连接设备有一半以上存在漏洞,可能会危及病人安全、机密数据或设备的可用性。

该报告分析了全球300多家医院和医疗机构的1000多万台设备的数据,该公司通过连接到设备上的连接器收集这些数据,作为其安全平台的一部分。

医院里最常见的互联网连接设备类型是输液泵。这些设备可以远程连接到电子医疗记录,提取正确剂量的药物或其他液体,并将其分配给病人。报告发现,输液泵也是最有可能存在可被黑客利用的漏洞的设备,73%的设备存在漏洞。专家们担心,像这些与患者直接相关的设备被黑客利用,可能会被用来直接伤害或威胁伤害人。例如,理论上有人可以进入这些系统并改变药物的剂量。

其他常见的与互联网连接的设备是病人监护仪,它可以跟踪心率和呼吸率等生理参数,以及超声波检查。就漏洞数量而言,这两种类型的设备都在前十名之列。

医疗机构现在是黑客的一个主要目标,虽然直接攻击与互联网连接的医疗设备似乎还没有发生,但专家认为这是一种可能性。更积极的威胁来自于一些团体,他们通过一个易受攻击的设备入侵医院系统,并锁定医院的数字网络--使医生和护士无法访问医疗记录、设备和其他数字工具--并要求支付赎金来解锁它们。这些攻击在过去几年中不断升级,它们减慢了医院的运作速度,甚至会伤害到病人。

Cynerio的报告指出,医疗设备中的大多数漏洞是很容易修复的:它们是由于弱密码或默认密码或组织没有采取行动的召回通知。许多医疗机构只是没有资源或人员来保持系统的更新,可能不知道是否有关于他们某个设备的更新或警报。

但专家说,像这样的报告,再加上日益频繁的勒索软件攻击,正在推动更多的医疗机构投资网络安全。网络安全公司Censinet的首席执行官兼创始人Ed Gaudet去年秋天对The Verge说:“我认为这已经达到了一个关键程度,正在引起首席执行官和董事会的注意。”

]]>
苹果 Safari浏览器新漏洞敲响跨站用户跟踪的警钟 Sun, 23 Jan 2022 21:19:48 +0800 防欺诈软件公司 FingerprintJS 日前披露, Safari 15中的IndexedDB API执行漏洞已经被恶意网站利用,它可能被用于跟踪用户的网络浏览数据。更糟糕的是,这个漏洞甚至有暴露用户的身份的风险。

FingerprintJS公司将该漏洞命名为IndexedDB Leaks, 并于2021 年 11 月 28 日向苹果公司报告了该问题。

IndexedDB是网络浏览器提供的低级 JavaScript 应用程序编程接口 (API),用于管理结构化数据对象(如文件和 blob类型数据)的NoSQL 数据库。

Mozilla组织在其API文档中指出:“和大多数网络存储解决方案一样,IndexedDB遵循同源策略,因此用户可以在一个域中访问存储的数据而不能在不同的域中访问数据。”

同源机制是一种基本的安全机制,它确保从不同来源获取的资源彼此隔离。也就是说,URL的方案(协议)、主机(域)和端口号是相互隔离的。通过限制一个源加载的脚本如何与另一个源加载的资源交互可以防止流氓网站运行任意JavaScript代码从另一个域(如电子邮件服务)读取数据,从而隔离潜在的恶意脚本,减少潜在的攻击矢量。

然而,Safari浏览器处理跨 iOS、iPadOS 和 macOS 系统中的 Safari IndexedDB API 的方式并非如此。每次网站与数据库交互时,都会在同一浏览器会话中的所有其他活动框、选项卡和窗口中创建一个具有相同名称的新的空数据库。

这种侵犯隐私的处理方式允许了网站获取用户在不同选项卡或窗口中访问的其他网站。这就更不用说在 YouTube 和 Google 日历等 Google 服务上准确识别用户了。因为这些网站创建的IndexedDB数据库包含了经过认证的谷歌用户ID,这是唯一标识单个 Google 帐户的内部标识符。

这不仅意味着不受信任的或恶意网站可以了解用户的身份,而且还允许网站将同一用户使用的多个单独帐户链接在一起。

雪上加霜的是,如果用户是从浏览器窗口的同一选项卡中访问多个不同的网站的,那么即使他使用的是Safari 15浏览器中的隐私浏览模式也并不能幸免遇难。

“这是一个巨大的漏洞,”谷歌 Chrome 浏览器的开发者倡导者 Jake Archibald 在推特上写道。“在 OSX 操作系统上,Safari 用户可以暂时切换到另一个浏览器以避免他们的数据跨源泄漏,可是iOS 用户没有这样的选择,因为苹果禁止其他浏览器引擎。”

]]>
央视曝光电商直播乱象:得物App产品不合格率高达50% Sun, 23 Jan 2022 21:19:48 +0800 科技先生1月17日讯,近日,上海市市场监督管理局对 9 家电商直播平台销售的婴幼儿服装、成人服装、服装配饰、鞋、箱包和床上用品等 6 类商品进行抽检,发现有 22 批次不合格,不合格率为 19.5%,其中,得物的抽样不合格率为 50%;快手为 40%,小红书为 28.6%。

今日凌晨,得物App 发文表示,对媒体报道的得物上商家所售商品在抽查中存在的问题,已第一时间核查。经核查,两个批次的两个问题商品使用标签说明存在不合格项目,商品已做下架处理。

根据品牌方提供的信息,商品本身的产品理化指标和安全性方面符合国家标准。得物后续会加强对商品标识的巡查和抽检。一旦发现问题,会及时对有问题的品牌进行处理。

央视指出,这6类产品的抽查结果显示服装配饰和成人服装这两类产品的不合格情况明显更高,这次网购的113批次样品中,成人服装是监督抽查的重点,有60批次,占比超过一半。检测发现,超过1/4的成人服装抽查不合格。

值得注意的是,此次抽查中,不合格的婴幼儿服装质量更为堪忧。例如一款从淘宝网购买的标称为“波波鹅”牌的套装经过检测,它的使用说明标签、纤维含量和绳带要求这 3 项指标不合格,是这次抽查中不合格项目最多的样品,属于比较严重的安全质量问题。

据第 47 次中国互联网络发展状况统计报告显示,2020 年,我国网上零售额达 11.76 万亿元,较 2019 年增长 10.9%。

截至 2020 年 12 月,我国电商直播用户规模为 3.88 亿,较 2020 年 3 月增长了 1.23 亿,占网民整体的 39.2%,其中 66.2% 的直播电商用户购买过直播商品。

]]>
B站回应视频监控被破解上传:已下架相关内容并封禁账号 Sun, 23 Jan 2022 21:19:48 +0800 IT之家 1 月 17 日消息,17日晚间,哔哩哔哩官方微博发布公告称,今日接到用户举报,称疑似有人使用非法手段破解摄像头,上传视频监控画面至B站。我们第一时间组织排查,下架了相关内容。同时,我们对上传相关内容的账号进行了封禁,并将账号信息报备给了主管部门。后续调查正在进行中。

B站处理公告

下面是B站处理公告全文:

处理公告

今日接到用户举报,称疑似有人使用非法手段破解摄像头,上传视频监控画面至B站。我们第一时间组织排查,下架了相关内容。

同时,我们对上传相关内容的账号进行了封禁,并将账号信息报备给了主管部门。后续调查正在进行中。

我们在此警告,此类行为涉嫌严重侵犯个人隐私,属于违法行为。我们一经发现,将会依法严肃处理。如果您发现此类内容,请立即联系在线客服。

哔哩哔哩公司

2022 年 1 月 17 日

]]>
微软警告称乌克兰计算机网络遭到具有潜在破坏性的网络攻击 Sun, 23 Jan 2022 21:19:48 +0800 微软周六晚间警告说,它在乌克兰的几十个政府和私人计算机网络中检测到一种极具破坏性的恶意软件,似乎在等待着一种未知行为的触发。该公司在一篇博文中说,周四,大约在乌克兰政府机构发现其网站被破坏的同一时间,监视微软全球网络的调查人员发现了该代码。微软说:"这些系统横跨多个政府、非营利组织和信息技术组织,都在乌克兰。"

这段代码似乎是在俄罗斯外交官与美国和北约就俄罗斯军队在乌克兰边境集结举行了三天会议之后,宣布谈判基本上陷入了死胡同时部署的。

乌克兰官员将其政府网站的污损归咎于白俄罗斯的一个团体,尽管他们说他们怀疑俄罗斯参与其中。但是,早期的攻击归因经常是错误的,而且目前还不清楚污损是否与微软所说的检测到的更具破坏性的代码有关。

微软表示,它还不能确定入侵背后的团体,但它似乎不是其调查人员以前见过的攻击者。根据该公司调查人员的描述,这段代码看起来像勒索软件--它冻结了所有的计算机功能和数据,并要求以付款作为回报。但没有接受金钱的基础设施,导致调查人员得出结论,其目的是造成最大的损害,而不是获取现金。

有可能的是,这种破坏性的软件并没有传播得太广,微软的披露将使这种攻击更难转移。但也有可能,攻击者现在会推出恶意软件,并试图尽可能多地破坏计算机和网络。乌克兰方面表示,对于俄罗斯黑客而言,乌克兰经常是网络武器的试验场。

在2014年的一次总统选举中,乌克兰中央选举委员会遭到攻击,这次攻击被认为是俄罗斯方面试图改变选举结果,但没有成功。美国政府方面后来发现,这种攻击还渗透到了美国民主党全国委员会的服务器。2015年,对乌克兰电网的两次重大攻击中的第一次,使该国不同地区的灯光关闭数小时,包括首都基辅。

而在2017年,乌克兰的企业和政府机构受到了名为NotPetya的破坏性软件的攻击,该软件利用了在该国广泛使用的一种报税软件的漏洞。这次攻击关闭了乌克兰的主要经济活动,并打击了联邦快递和马士基航运公司;美国情报官员后来追踪到它是俄罗斯人所为,且那一次攻击方式至少在其整体设计上与微软周六警告的有一些相似之处。新的攻击会将硬盘擦除并彻底摧毁文件。一些国防专家说,这种攻击可能是俄罗斯地面入侵的前奏。

]]>
《安联智库-网安周报》2022-01-16 Sun, 23 Jan 2022 21:19:48 +0800

1、新的跨平台"SysJoker"后门同时影响macOS、Windows、Linux

据报道,新的"SysJoker"后门可以攻击多个操作系统,包括macOS、Windows和Linux。来自Intezer的研究人员透露,他们发现了SysJoker,这个后门最初被发现是攻击Linux的。不久之后,同一后门的变种被发现,它们可以扩展出对Windows和macOS进行攻击。
这一发现是不寻常的,因为发现可以同时攻击多个平台的恶意代码是很罕见的。通常情况下,恶意软件只为攻击一个平台的特定漏洞而生成,而不是以类似的方式同时为多个平台开发。
2、美国阿尔伯克基的学校在网络攻击后继续停课

据CNET报道,美国新墨西哥州阿尔伯克基市的学校在周五继续停课,因为官员们继续调查关闭关键计算机系统的网络攻击事件。

阿尔伯克基公立学校最初在周四取消了课程,因为攻击破坏了用于考勤的学生信息系统,在紧急情况下与家庭联系,并确保所有学生都由授权的成年人接走。周四晚些时候,该学区官员称将需要更多时间进行调查。

近年来,学区已经成为网络攻击的热门目标,特别是勒索软件,这是因为许多学区运行的是过时的计算机系统,没有像许多私营公司那样拥有用于网络安全的财政或人员资源。

同时,像医院和关键基础设施一样,学校无法承受长时间的关闭,这使得他们更有可能支付赎金以解锁其系统。根据跟踪针对学校的网络攻击的K-12网络安全资源中心,在2020年,有超过400个公开披露的针对学校的网络攻击,这是最新的数据。

3、温州一超市遭“比特币勒索病毒”攻击,储值系统瘫痪

温州市一家超市收银台的储值卡电脑管理系统遭“比特币勒索病毒”攻击,无法使用已逾半月,商家被要求支付比特币后才能恢复。澎湃新闻(www.thepaper.cn)1月12日从温州市公安局鹿城区分局了解到,警方已以非法侵入计算机信息系统受案立案。

1月初,鹿城区“欧润达”生活超市(飞霞南路分店)贴出通知,称因系统升级,储值卡暂时无法使用,一些居民担心超市会关门,要求销卡退款。

“超市经营没有任何问题,就是储值卡不能使用,其他支付方式不受影响。”超市相关负责人告诉澎湃新闻。

据了解,去年12月下旬,超市收银台的储值卡管理系统突然瘫痪,服务器里所有数据库被“黑”,文件无法打开;系统里出现一个用英文命名的文档,意思是“如何解密我的文件”,里面有黑客的英文留言,大意为“在24小时内支付0.042枚比特币”,并附有境外邮箱地址、比特币收款账号。

比特币是一种数字货币,12日12时,国外市场上一枚比特币的价格为4.26万美元。目前,涉事超市已寻求第三方技术支持恢复数据库,警方已介入调查。

4、美光企业级SATA SSD曝安全漏洞 官方回应称问题难以被利用

日前美光针对数据中心市场的5200、5200系列SATA SSD硬盘被发现存在安全漏洞,随后美光方面证实了这个问题,表示利用这个漏洞发起攻击很难,但他们还是会推出固件更新帮助用户解决问题。

美光发表最新声明称,美光非常重视数据安全,并对此做了深入调查,确实发现了一个相关的潜在漏洞,理论上可能存在于两条产品线,即美光5200和 5300数据中心SATA SSD 中。

美光表示,为了利用这个潜在的漏洞,攻击者必须拥有特权授权才能向驱动器发出特殊命令,因此它不太可能暴露给虚拟化云基础设施或企业数据中心中的用户。

尽管如此,美光仍将发布可选固件更新,为任何担心受影响产品的此问题的客户解决此潜在漏洞。

]]>
美国阿尔伯克基的学校在网络攻击后继续停课 Sun, 23 Jan 2022 21:19:48 +0800 据CNET报道,美国新墨西哥州阿尔伯克基市的学校在周五继续停课,因为官员们继续调查关闭关键计算机系统的网络攻击事件。

阿尔伯克基公立学校最初在周四取消了课程,因为攻击破坏了用于考勤的学生信息系统,在紧急情况下与家庭联系,并确保所有学生都由授权的成年人接走。周四晚些时候,该学区官员称将需要更多时间进行调查。

这些学校原定于周一因马丁·路德·金日而关闭,现在预计将于周二重新开放。该学区是新墨西哥州最大的学区,有73000多名学生--根据其网站,约占该州所有公立学校学生的四分之一。

该学区负责人Scott Elder周四在一个视频信息中说:“我们现在所有的努力都集中在让学生尽快回到课堂。我们正在努力查明问题,确定暴露的程度,将修复措施落实到位,加强安全协议,并提高我们的监测水平,以防止未来的攻击。”

Elder补充说,当地和国家执法部门以及网络安全专家都提供了帮助。

近年来,学区已经成为网络攻击的热门目标,特别是勒索软件,这是因为许多学区运行的是过时的计算机系统,没有像许多私营公司那样拥有用于网络安全的财政或人员资源。

同时,像医院和关键基础设施一样,学校无法承受长时间的关闭,这使得他们更有可能支付赎金以解锁其系统。根据跟踪针对学校的网络攻击的K-12网络安全资源中心,在2020年,有超过400个公开披露的针对学校的网络攻击,这是最新的数据。

]]>
新的跨平台\"SysJoker\"后门同时影响macOS、Windows、Linux Sun, 23 Jan 2022 21:19:48 +0800 据报道,新的"SysJoker"后门可以攻击多个操作系统,包括macOS、Windows和Linux。来自Intezer的研究人员透露,他们发现了SysJoker,这个后门最初被发现是攻击Linux的。不久之后,同一后门的变种被发现,它们可以扩展出对Windows和macOS进行攻击。

这一发现是不寻常的,因为发现可以同时攻击多个平台的恶意代码是很罕见的。通常情况下,恶意软件只为攻击一个平台的特定漏洞而生成,而不是以类似的方式同时为多个平台开发。根据研究人员的技术分析,SysJoker被认为是在2021年下半年的一次攻击中启动的。安全研究员Patrick Wardle对其macOS变种进行了分析。该代码被发现是一个涵盖英特尔和arm64构建的通用二进制文件,这意味着它可以在Apple Silicon以及带有英特尔芯片的旧Mac上运行。该代码有签名,尽管是临时性的签名。

最初运行时,该软件将自己复制到用户的库中,作为macOS的更新,用于在受感染的系统上持续存在。

运行后,该恶意软件随后试图下载一个文件,形成一个Google Drice账户,并能够下载和运行一个可执行文件,这取决于来自指定控制服务器的命令。其他命令包括解压缩下载的可执行文件,以及改变解压缩的可执行文件的权限以允许其运行。

而Windows下的分析表明,它的操作方式实际上是一样的,即假装是一个更新,联系远程服务器下载一个载荷并接收其他命令,并在目标系统上执行代码。在被研究人员发现后,该后门开始被反病毒引擎标记出来。

至于它的目的,Intezer还没有看到攻击者发送的第二阶段或命令,这表明它有一个非常具体的目的,因此很可能是来自一个"高级行为者"。人们认为其目的是"间谍活动",尽管有可能作为后续阶段进行勒索软件攻击。

如何检测SysJoker

Intezer公布了一份系统被攻击的指标清单,包括创建哪些文件和允许代码持续存在的LaunchAgent。

SysJoker创建的文件和目录包括。

/Library/MacOsServices

/Library/MacOsServices/updateMacOs

/Library/SystemNetwork

/Library/LaunchAgents/com.apple.update.plist

持久性代码在LibraryLaunchAgents/com.apple.update.plist这个路径下。如果在Mac上发现这些文件,建议关闭所有相关进程并删除这些文件。

目前还不清楚用户如何成为SysJoker的受害者。

]]>
温州一超市遭“比特币勒索病毒”攻击,储值系统瘫痪 Sun, 23 Jan 2022 21:19:48 +0800 温州市一家超市收银台的储值卡电脑管理系统遭“比特币勒索病毒”攻击,无法使用已逾半月,商家被要求支付比特币后才能恢复。澎湃新闻(www.thepaper.cn)1月12日从温州市公安局鹿城区分局了解到,警方已以非法侵入计算机信息系统受案立案。

1月初,鹿城区“欧润达”生活超市(飞霞南路分店)贴出通知,称因系统升级,储值卡暂时无法使用,一些居民担心超市会关门,要求销卡退款。

“超市经营没有任何问题,就是储值卡不能使用,其他支付方式不受影响。”超市相关负责人告诉澎湃新闻。

据了解,去年12月下旬,超市收银台的储值卡管理系统突然瘫痪,服务器里所有数据库被“黑”,文件无法打开;系统里出现一个用英文命名的文档,意思是“如何解密我的文件”,里面有黑客的英文留言,大意为“在24小时内支付0.042枚比特币”,并附有境外邮箱地址、比特币收款账号。

比特币是一种数字货币,12日12时,国外市场上一枚比特币的价格为4.26万美元。目前,涉事超市已寻求第三方技术支持恢复数据库,警方已介入调查。

]]>
奥斯汀街头骗子盯上停车咪表:放置自制二维码以窃取付款信息 Sun, 23 Jan 2022 21:19:48 +0800 永远不要低估骗子的狡猾。不法分子从人们尤其是不太懂技术的人那里偷钱的方法多得令人眼花缭乱。最近在美国几个城市发现的一个做法是在停车咪表上贴上不属于设备本身的二维码,引导用户进入虚假网站,然后收集受害者的付款信息。

奥斯汀和圣安东尼奥的执法部门在假期期间发现了一些出现在停车表上的二维码贴纸,并发出了警告。Click2houston网站发布了一张这些代码所指向的现已下线的"Quick Pay Parking"网站的屏幕截图。

虽然许多人可能会认识到这个可疑的网站地址及其非常糟糕的页面设计本身就会提醒人们这是诈骗手法,二维码贴纸本身看起来也与计价器上的位置很不相符,但骗子很可能至少骗了几个人交出了他们的资料。

当局建议任何可能将自己的信息输入该欺诈性网站的人向警方报案,并联系他们的银行卡供应商以撤销任何付款。据悉,休斯顿市从没有在其停车计时器上使用二维码,也不接受通过这种方式付款。

对于那些不使用传统硬币、钞票或信用卡的人来说,最安全的停车支付方式是通过从Google Play或苹果应用商店下载的官方应用程序。

QR码自1994年诞生以来一直存在,最早是在制造过程中追踪车辆时用于高速部件扫描。将它们用于恶意目的并不是一个新现象;它们作为传播恶意软件的一种方式长期以来一直很受欢迎。

]]>
美光企业级SATA SSD曝安全漏洞 官方回应称问题难以被利用 Sun, 23 Jan 2022 21:19:48 +0800 日前美光针对数据中心市场的5200、5200系列SATA SSD硬盘被发现存在安全漏洞,随后美光方面证实了这个问题,表示利用这个漏洞发起攻击很难,但他们还是会推出固件更新帮助用户解决问题。

美光发表最新声明称,美光非常重视数据安全,并对此做了深入调查,确实发现了一个相关的潜在漏洞,理论上可能存在于两条产品线,即美光5200和 5300数据中心SATA SSD 中。

美光表示,为了利用这个潜在的漏洞,攻击者必须拥有特权授权才能向驱动器发出特殊命令,因此它不太可能暴露给虚拟化云基础设施或企业数据中心中的用户。

尽管如此,美光仍将发布可选固件更新,为任何担心受影响产品的此问题的客户解决此潜在漏洞。

此前报道,IEEE Xplore 发表的一篇题为“ Forensic Issues and Techniques to Improvement Security in SSD With Flex Capacity Feature ”的论文提出了有关使用ATA标准集max的行业设备中可变过度配置能力的安全问题地址命令,包括美光5200 SSD。

]]>
隔离也能“躺赚”?保费9块9的新冠隔离险真值得买吗 Sun, 23 Jan 2022 21:19:48 +0800 “只要9.9块,新冠隔离一天发150(元)?”随着多地出现散发新冠病例,新冠隔离险也成了不少社交平台“种草帖”的推广产品。

所谓“新冠隔离险”即指部分保险公司推出的新型特色保险,投保人若在保期内因为新冠疫情而被隔离,则可在隔离期内享受津贴补助,金额在每天150元到上千元不等。

“woo!免费隔离后新冠隔离津贴到账了”,在这些“种草帖”里,有些“博主”会分享自己的理赔日记,手把手“教”用户怎么通过买保险“薅羊毛”。然而,贝壳财经记者深入了解后发现,消费者投保完新冠隔离险后,想要理赔成功并不容易。多位消费者向贝壳财经记者表示,自己购买保险后申请理赔时遇到了一系列限制条件,最终理赔失败。

那么,目前市面上的新冠隔离险都有哪些营销套路?网红隔离险理赔到底有多难?这种网红险是否也是一种智商税呢?

01互联网营销套路下的网红保险

“多地疫情复发,赶紧入个隔离险护体”、“趁还在低风险区,这款保险不入可惜了”、“纯薅羊毛的产品,随着疫情加剧,随时可能停售”......去年12月中旬以来,在社交平台博主的“花式”推销下,小岳(化名)花费了59元购买了一款名为“复星联合爱无忧意外险”的保险,保期一年。

小岳告诉贝壳财经记者,去年12月初浙江绍兴疫情较为严重,而自己当时恰好被平台推荐了新冠隔离险的相关帖子,各种购买攻略非常详细。由于担心疫情扩散,再加上互联网上各种“理赔成功帖”刷屏,小岳毫不犹豫下单投保了,然而事后打电话询问时才发现“想要理赔条条框框特别多”。

贝壳财经记者打开小红书App,以“隔离险”为关键字进行搜索,发现笔记数多达2400+篇。此外,这类笔记的封面大多会放上保险理赔收款单、理赔通知书,或者干脆使用花式大字标注“隔离一天能领150-1000块”、“只要9.9块,新冠隔离一天发150(块)”等字样。

贝壳财经记者随机点进一条隔离险理赔经验帖后发现,发帖博主在正文中并未详细介绍自己的理赔经验,相反,简单重复完封面内容后,便开始介绍另外一款新冠隔离险产品,并在帖子结尾处特地强调自己推荐的产品属于“薅羊毛”类保险产品,“能买赶紧买”。在帖子下方的评论中,这名博主还宣称,自己推荐的这款保险仅在内部渠道销售,想要购买的网友可以私信购买。也就是说,所谓的理赔经验分享不过是博主吸引流量的方法,售卖保险才是其真正目的。

其实在社交媒体平台,打着理赔经验分享、保险测评的名义推销新冠隔离险的帖子不胜枚举。贝壳财经记者发现,小岳购买的复星联合爱无忧意外险在小红书、知乎、微信公众号等多个平台上均有相关介绍文章,“最宽松新冠隔离险”、“最好的新冠隔离险”等称呼层出不穷。此外,还有不少博主打出“产品月底停售,再不抢就来不及了”等限时停售的旗号。目前,该款产品已经下架。

其实早在去年八月,中国银行保险监督管理委员会就曾发布《关于专项整治北京地区互联网保险营销宣传有关问题的通知》,通知中要求各保险公司、保险中介停止在北京地区发布存在过度营销行为的互联网保险的广告,其中就包括“限时停售”等诱导性内容。

02网红隔离险赔付限制多

“万一旅游回来被隔离,岂不是躺着也能赚钱?”即将出发去外地游玩的小勋看到“隔离险”顿时来了兴趣。

从产品介绍来看,小勋看中的这款“复星联合爱无忧意外险”不仅覆盖常见高发意外,还扩展赔付新冠肺炎身故和强制隔离津贴。产品介绍显示,新冠隔离津贴每天赔付200元,最高赔付30天,被保险人因途经地被确认为中、高风险地区、自身确诊或成为疑似患者密接者而被当地防疫部门要求强制隔离即可赔付。

在价格方面,43元1年的保费也让小勋很满意,一顿饭的价格就能买个安心在小勋看来颇为划算。

仅浏览了一遍产品介绍界面后,小勋就被这款看起来高性价比的保险所吸引,再加上最近几个月新闻中不断出现确诊病例,小勋毫不犹豫地购买了这款隔离险。彼时,小勋目的地和居住地都属于低风险地区。

然而旅行回来后,因为旅行目的地出现疫情,升级为高风险地区,小勋与好友在居住地被隔离。申请保险理赔时,小勋却被保险公司告知,自己不在理赔范围内。保险公司解释称,小勋居住地并未升级为高风险地区,被居住地政府隔离并不在理赔范围。“本来是特地为了出去玩才买的,结果只有被目的地政府隔离才能理赔”,小勋告诉记者自己感到非常委屈。小勋认为,保险公司在产品介绍界面并未说清具体的理赔限制条件,自己被文字游戏“忽悠”了。

另一位购买了同款保险的王女士也表示,自己因为属于次密接人员也被保险公司拒赔,然而产品宣传界面中并未明确表示次密接人员无法进行理赔,保险的免责条款中也未明确出现该项。

除了上述热度较高的复星爱无忧意外险外,市面上比较流行的还有蚂蚁和众安联合推出的“新冠隔离津贴险”、众惠相互全民疫保通、泰康防疫关爱保等。

搜集相关资料后,贝壳财经记者发现,上述不同类型的隔离险均价在百元以内,隔离期每日赔付津贴在150元到上千元不等,参保门槛不高,理赔限制条件却多种多样。例如众安新冠隔离津贴险赔付前提是理赔者乘坐交通工具、与疑似感染者密接、政府强制集中隔离、投保人需自费隔离。也就是说,投保人在与新冠患者非乘车环境下直接接触、次密接、居家隔离、居家检测、非自费隔离等情况下均无法理赔。

贝壳财经记者查阅上述隔离险产品介绍界面后发现,部分保险公司并未详细列明免责条款,更多是将其放入“更多请查看”部分下的《保险条款及告知》中,消费者若不细心查看,很容易忽视这部分内容。

03网红隔离险是智商税吗?

贝壳财经记者查阅资料后发现,早在2020年2月国务院联防联控机制新闻发布会上,银保监会副主席梁涛就曾表示,为防止侵害消费者权益,银保监会禁止保险公司开发专属新冠肺炎保险此类单一责任产品,防止出现以疫情为营销噱头炒作保险产品。发布会过后,市面上下架了不少针对新冠肺炎的专属保险。而上述提到的“新冠隔离险”则是在去年初左右问世,将新冠隔离津贴纳入健康险或者意外险产品之中宣传售卖。

对此,保险业内专家杨帆对贝壳财经记者表示,新冠隔离险借助低价意外险打包售卖属于打擦边球的行为,有借助疫情噱头炒作的嫌疑。而所谓的“投保门槛低,理赔限制多”实则是多数网上保险的“通病”,只是严重程度各有不同。杨帆建议,消费者在投保前应仔细查看各家公司投保条件和保险免责条款。

清华大学五道口金融学院中国保险与养老金研究中心研究负责人朱俊生则认为,新冠隔离险是保险行业应对新冠疫情的产品创新之举。保险公司将新冠隔离津贴险和意外险相结合,相当于为意外险增加了新的保险责任,具有一定的积极意义。

至于消费者反映的隔离险理赔难这点,朱俊生表示,隔离险理赔限制条件多主要与保单价低有关,“保险公司想要把保费降下来,保险(产品)承担的责任就不可能太宽,产品责任范围的界定自然会更加严格”。同时,朱俊生提醒,保险产品的保障范围与免责条款紧密相关,消费者在选购保险产品时应注意阅读保单条款,弄清楚保险的免责条款后再做判断。而保险公司、保险中介在宣传保险产品时也有义务告知消费者产品的保障范围与免责范围,也就是“不仅要把保什么讲清楚,也要把不保什么讲清楚”。

]]>
美国科技巨头面临200亿索赔 被指收集4400万用户数据 Sun, 23 Jan 2022 21:19:48 +0800 北京时间1月14日消息,社交媒体巨头Facebook母公司Meta在英国面临一桩索赔金额超23亿英镑(约合32亿美元)的集体诉讼,该公司被指控滥用其市场支配地位,利用4400万用户的个人数据。

英国金融行为监管局(FCA)高级顾问、竞争法学者莉莎·洛夫达尔·戈姆森(Liza Lovdahl Gormsen)表示,她代表2015年至2019年期间使用Facebook的英国人提起此案。这桩诉讼将由伦敦竞争上诉法庭审理。诉讼称,Facebook通过强加不公平的条款和条件,要求消费者交出宝贵的个人数据以访问该网络,从而赚取了数十亿英镑。

“自创建以来的17年里,Facebook成为了英国唯一的社交网络,你在一个地方就能与朋友和家人联系,”戈姆森表示,“然而,Facebook也有阴暗的一面。它滥用其市场支配地位,对普通英国人施加不公平的条款和条件,使其有权利用他们的个人数据。”

Facebook表示,人们使用它的服务是因为公司为他们带来了价值,而且“他们能够有效控制在Meta的平台上分享什么信息以及与谁分享”。

就在几天前,Facebook尝试阻止美国联邦贸易委员会(FTC)对其发起反垄断诉讼的努力受挫,这是几十年来美国政府对一家科技公司发起的最大挑战之一。目前,美国政府试图限制大型科技公司拥有的广泛市场影响力。(作者/箫雨)

]]>
攻防最前线:利用电磁信号检测物联网恶意软件 Sun, 23 Jan 2022 21:19:48 +0800 法国研究实验室IRISA的安全研究人员的最新研究表明,可以通过记录分析电磁(EM)辐射来检测和识别物联网设备上运行的恶意软件。

这种新颖的恶意软件检测方法有一个非常棒的优点:无需在受监控的设备上安装扫描软件,这意味着恶意软件几乎无法感知和逃避检测活动。

“此外,由于恶意软件无法控制外部硬件或物理事件(例如电磁辐射、散热),因此即使恶意软件拥有设备的最高权限,也无法关闭依赖硬件功能的外部电磁分析检测系统。电磁辐射还能检测到隐蔽的恶意软件(例如内核级rootkit),这些恶意软件能够阻止传统的基于软件的分析方法。”研究人员指出。

电磁分析检测另一个优点是监控EM辐射不需要对目标设备进行任何修改,这意味着该方法不依赖于特定的设备架构、操作系统或计算能力。

一种检测物联网恶意软件的新方法

为了测试他们的方法,研究人员选择了一台Raspberry Pi单片机作为目标设备(题图),并使用示波器和H-field探头在恶意软件和良性应用程序(使用不同的混淆方法)执行期间采集其EM辐射信号。

电磁辐射信号采集中生成了数以万计的频谱图,被用于训练多个机器学习模型来分类恶意软件。

“恶意软件二进制文件是五个系列的变体:gongcry、keysniffer、maK_It、mirai和bashlite,包括七种不同的混淆技术。”研究人员分享道。

测试的目标是检验模型能否将执行的二进制文件正确分类到以下四个类别:勒索软件、rootkit、DDoS和良性。事实证明,所有模型都被证明在这方面非常有效(>98%准确率),尤其是卷积神经网络(CNN)(99.82%的准确率),不但能准确分类,还能准确识别真实的恶意软件家族。

恶意软件分析师的福音

物联网(IoT)设备的激增的趋势仍将持续,其中一些设备拥有强大的处理能力和具有多核处理器的操作系统,这意味着它们很可能面临与通用计算机类似的安全威胁。但业界目前针对物联网的恶意软件检测解决方案仍不够成熟。

基于电磁辐射分析的解决方案可能对恶意软件分析师特别有用,因为它能够检测新的恶意软件,无论恶意软件开发者使用何种混淆技术都难以逃避检测。

“新的物联网恶意软件虽然可以避开以前的解决方案,例如基于签名的加壳检测,但测试结果表明,仅凭借基于电磁辐射分析的跟踪技术来区分混淆技术,这为分析物联网恶意软件的演变提供了机会,因为新的混淆技术将能够绕过或阻止(传统)检测。”研究者指出。

“根据我们的实验结果,恶意软件分析师将从电磁辐射分析方法中获益,以更好地了解恶意软件组和活动的变体、类型/系列、取证和/或演变,特别是在软件系统失败的情况下(由于恶意软件规避)或传统检测不适用的场景(由于嵌入式设备上的资源或更新过程受限)。”

]]>
不怕忘带身份证!12306手机App电子临时乘车身份证明来了 Sun, 23 Jan 2022 21:19:48 +0800 相信经常乘坐火车出差、旅游的同学都遇到过忘带身份证的尴尬场面吧?虽然现在大部分火车站都提供自助打印临时身份证明的服务,但难免遇到人多排队的时候,耽误上车。

今日,据@央广网 消息,按照国家“一网通办”的相关要求落实便民利民措施,进一步提高旅客出行体验,自1月15日起,正式在12306手机App实现电子临时乘车身份证明的开具功能。

据介绍,旅客遗失或未携带身份证时可在12306手机App上在线提交电子临时乘车身份证明申请,通过后即可在车站完成购票、退、改签、进站、检票等业务服务。

如果忘带身份证,乘客仅需登陆12306手机App点击“更多”找到“温馨服务”栏,点击“临时身份证明”进入功能页面,输入姓名、证件号码,若用户处于登录状态则会自动填充当前注册用户信息。

同时,信息也可以自行手动修改,城市信息根据定位自动填充,输入完以上信息后,按提示进行人脸核验操作即可。

旅客在查看和使用电子临时乘车身份证明时需注意以下事项:

1.为确保信息安全准确,申请时需填写本人真实身份信息、完成本人操作确认后方可提交或查看申请;

2.每人每月仅可申请办理3次,每次申请成功电子临时乘车身份证明有效期为24小时;

3.电子临时乘车身份证明二维码每60秒自动更新一次,为了避免其他人冒用该二维码,30分钟后需要用户重新通过人脸核验确定本人操作;

4.当12306手机App被退出登录、缓存清理后,需要通过人脸核验再次确定本人操作,方可查看申请电子临时乘车身份证明;

5.为了方便旅客预先准备,旅客在当前电子临时身份证明失效前3个小时,可提前申请新的电子临时身份证明;

需要注意的是,电子临时乘车身份证明仅限于办理铁路各项业务使用,不得用于其他用途。

]]>
特斯拉惊爆软件缺陷 可远程控制车辆关闭安全系统 Sun, 23 Jan 2022 21:19:48 +0800 北京时间1月12日消息,据一名安全研究人员表示,部分特斯拉汽车软件存在“严重”缺陷,该缺陷能够远程解锁车辆门窗、在无钥匙状态下启动车辆并禁用安全系统。据悉,该名研究人员名叫大卫·科伦坡(David Colombo ),今年只有19岁,来自德国丁克尔斯比尔。

当地时间 1月11日早些时候,科伦坡在Twitter上发文称他能够在车主不知情的情况下远程访问部分特斯拉汽车,这些车辆分布在13个国家。

科伦坡称,该缺陷能够让黑客远程查询车辆位置,并可以远程关闭哨兵模式,而该模式使用运动传感器和摄像头作为车辆安全系统的一部分。科伦坡没有透露该缺陷的具体细节,但他在Twitter上发布了一系列有趣的线索。他指出,该缺陷虽然目前只让少数特斯拉车主受到影响,但这一发现或将给驾驶特斯拉汽车的司机带来用车风险,科伦坡表示,他可以在有人开车时远程操纵、突然将车内音乐音量调至最高,这可能导致司机失去对车辆的控制。

目前,特斯拉尚未对此消息做出回应。

]]>
2021年网络安全形势分析与2022年展望 Sun, 23 Jan 2022 21:19:48 +0800 2021年,网络安全发展态势如何?2022年,网络安全发展将面临哪些挑战?

2021年网络安全形势分析

2021年,百年变局和世纪疫情交织叠加,国际环境日趋复杂,网络霸权主义对世界和平与发展构成威胁,全球产业链供应链遭受冲击,网络空间安全面临的形势持续复杂多变。网络空间对抗趋势更加突出,大规模针对性网络攻击行为增加,安全漏洞、数据泄露、网络诈骗等风险增加。

世界主要国家和地区不断推出关键信息基础设施保护、供应链安全、数据安全、个人信息保护等方面法规和政策,平台反垄断监管不断强化。

网络安全企业积极探索以网络弹性技术为代表的网络风险防范能力、以安全多方计算为代表的数据隐私保护技术等。全球网络安全产业保持稳定增长,网络安全人才缺口不断增大。

1各国加强网络安全顶层设计、保障体系和能力建设

面对日益复杂严峻的网络安全形势,美国、俄罗斯、欧盟、日本、意大利等重点国家和地区强化网络安全在国家安全中的重要战略地位,不断完善网络安全战略布局,持续完善网络安全政策战略,重点加强供应链安全、关键信息基础设施保护、数据安全、个人信息保护等领域工作。

战略法规方面,美国发布《2021财年国防授权法案》《临时国家安全战略纲要》《改善国家网络安全行政令》等,将网络安全作为重中之重,致力于加强网络空间安全能力、就绪度和弹性。

俄罗斯总统普京签署的新版《国家安全战略》首次加入信息安全章节,对网络信息安全的重视程度日益增加。

欧盟发布《欧盟数字十年网络安全战略》等数字政策,打响“数字主权”保卫战。

英国发布《网络战略2022》《安全、防务、发展和外交政策综合评估报告》,将网络安全作为战略重点,以提升英国在全球网络空间的地位。

日本发布《未来三年网络安全战略纲要》,强化网络空间安全的战略指导。

体制机制建设方面,多国新设机构协调指导安全建设。美国设置国家网络总监作为总统在网络安全及相关新兴技术领域的首席顾问,负责监督和协调联邦政府给出网络威胁应对方案;日本设立数字厅指导制定日本网络安全战略方针;意大利批准成立了国家网络安全局。

安全投入方面,拜登政府推出“美国救援计划”和“美国就业计划”等,加强国内基础设施建设,增加对科研和教育的投入,增强网络安全和技术竞争优势。

美国2021财年IT总预算为922亿美元,其中网络安全领域总预算为188亿美元,比2020财年高出14亿美元,网络安全预算占IT预算的比例为20.4%。

西班牙政府将计划在三年内投资超过4.5亿欧元,以促进国家网络安全技术、产业和人才发展。

2关键信息基础设施成为攻击重点目标,安全保护举措持续出台

2021年,多国基础设施和重要信息系统遭受网络攻击,引发全球震荡,对国家安全稳定造成巨大风险,引发了全球关于加强关键信息基础设施安全保护的思考。

一是勒索软件成为主要威胁,破坏范围广、后果严重。勒索软件即服务(RaaS)型商业模式成为新的关注点,使得攻击者的溯源变得更加困难。勒索软件攻击呈现出破坏涉及行业领域增多、索要赎金增长、支付赎金机构比例上升、破坏后果严重等特点。

据相关报告不完全统计,2021年上半年全球就至少发生了1200多起勒索软件发起的攻击事件,接近2020年公布的1420起,其中针对医疗系统和教育行业的攻击增加了45%,平均赎金从2020年的40万美元提高到2021年的80万美元 。

二是金融、交通、医疗、能源等领域成为新的攻击对象。2021年5月,美国油管道运营商Colonial遭受勒索攻击引发全球高度重视。5月,爱尔兰卫生服务主管部门被勒索软件攻击,被迫暂时关闭IT系统,多家医院运营遭受影响。7月,伊朗铁路遭受网络攻击,数百辆列车被延误或取消。

三是国内外关键信息基础设施安全保护措施频出。美国除了大幅增加关键基础设施安全防护的资金投入,还推出多部有关强化关键基础设施网络安全、预防勒索软件攻击等方面的法案和指南文件。

2021年2月,美国网络安全与基础设施安全局(CISA)发布了《CISA全球参与》文件,通过加强国际合作以增强全球关键信息基础设施的安全性和韧性。此外,还分别于5月和7月出台针对关键信息基础设施安全防护的行政令,并于9月批准了一项修正案,为CISA增加8.65亿美元,用于相关行政令的落实、安全运营和人才培养。

欧盟也在《欧盟安全联盟战略》中将提升关键基础设施的保护和恢复能力作为未来五年网络安全工作的重中之重。

2021年5月,澳大利亚政府提出了关键基础设施提升计划(CI-UP),旨在识别和解决关键基础设施中的漏洞,提升网络安全成熟度。

我国也于2021年8月出台了《关键信息基础设施安全保护条例》,这是我国首部专门针对关键信息基础设施安全保护工作的行政法规,为开展关键信息基础设施安全保护工作提供了基本遵循。

3数据泄露事件持续频发,数据安全治理加快推进

2021年,工业制造、政务、医疗、金融、交通等领域数据泄露事件频发,数据交易黑色地下产业链活动猖獗。据相关统计,2021年公开报告的数据泄露事件1291起,已经超过2020年的1108起。

数据安全问题已成为全球的关注重点,各国纷纷将数据安全上升至国家安全层面,设立相关机构,完善数据安全法规和政策。美国、韩国、新加坡、日本等国针对个人信息相关法规进行修订,欧盟发布多个指南文件,明确和细化GDPR的相关要求。加拿大、澳大利亚、印度尼西亚等国家均已制定新的个人数据保护法规。

4供应链网络安全重要性凸显,安全审查和能力建设不断加强

2021年,软件供应链攻击事件频发,例如Codecov、Kaseya等遭受供应链攻击,直接影响关键基础设施和重要信息系统安全。

据欧盟网络安全局(ENISA)《供应链攻击威胁态势》统计, 2020年1月-2021年7月,共有24起供应链攻击事件。软件供应链安全影响重大,各国高度重视,纷纷推行政策法规推动软件供应链安全保护工作。

2021年1月,美国商务部等部门陆续发布了《确保信息通信技术及服务供应链安全》《出口管制条例》等文件,不断加强网络安全产品和服务对外依赖的安全风险识别、评估和处理等流程管理。5 月,拜登签署发布《改善国家网络安全行政令》,明确提出改善软件供应链安全。

2022年网络安全预测

1国家级网络攻击愈演愈烈

受地缘政治的影响,全球网络空间局部冲突将不断升级。以窃取敏感数据、破坏关键信息基础设施为目的的国家级网络攻击复杂性将持续上升。

2全球大规模数据泄露趋于常态化

随着数字化、网络化进程加快,越来越多的在线资产和数字系统收集了海量数据。大量数据和设备暴露在网上,它们被入侵的风险逐渐增大。数据泄露事件将愈加频繁,而且规模将更大,涉及各行各业,影响深远。

3供应链攻击持续高发

软件系统规模、程序逻辑和生产方式等越发复杂多元,极大增加了供应链的攻击面,供应链攻击将变得更加普遍。供应链攻击具有难发现、难溯源、不可避免的特点,已成为各国面临的最重要安全威胁之一。

各国政府应积极制定法规,建立联防联控体系,提升应对供应链攻击的发现、分析、响应处置和恢复能力。

4加密货币成为网络攻击的重要目标

加密货币平台Bitmart近日发表声明,称被黑客盗走了价值约1.5亿美元的资产。因具有匿名付款和不断升值的特点,加密货币正在被广泛使用,到 2022年,加密货币相关的攻击预计将会继续增加,成为黑客攻击的重要目标。

5网络安全保险市场规模将激增

网络攻击和数据泄露已成为商业领域的最大风险之一,敏感数据泄露给全球的公司和组织造成了巨大的财务损失和负面影响。据测算,单次数据泄露事件的平均损失为392万美元。网络安全保险通过分散和转移残余风险,成为重要的风险管理手段。

网络安全风险频出推高网络安全保险市场需求。美国、欧盟等国家和地区通过立法强化企业网络安全风险意识,优化网络安全保险服务,持续扩大市场规模。据测算,未来5年全球网络安全保险市场的年化复合增长率将达30%左右。2021年,我国网络安全保险保费规模突破 7000 万元,最高保额超 4 亿元,未来网络安全保险市场具有巨大的增长空间。

6数据合规成为企业的重要关心点

随着我国《网络安全法》《数据安全法》《个人信息保护法》等法规的相继出台,如何规范数据处理活动,保障数据安全,成为企业面临的一个重要的课题。

企业收集数据后的保管和使用都使得数据安全风险增大,需要认真研判法律法规、监管规定、行业准则、国际标准有关合规管理的新变化,建立健全企业数据合规管理体系。2022年,数据合规将逐渐发展成一个独立的行业或专业领域,数据合规人才需求旺盛。

7网络安全高端人才供给缺口巨大

根据Cybersecurity Ventures最新发布的全球网络安全人才报告,过去八年全球网络安全空缺职位的数量增长了350%,从2013年的100万个职位增加到2021年的350万个。

2021年8月,美国白宫称,美国大约有50万个网络安全职位仍然空缺。我国170余所高校设有与网络安全直接相关的专业,每年网络安全毕业生约2万人,缺口高达50万至100万人。2022年,网络安全行业高端人才供需矛盾将继续加剧,实战型、实用型等人才更加急缺。

8数字平台反垄断监管常态化

近年来,美国和欧盟先后掀起对数字平台的反垄断监管,表明监管常态化与执法严厉化已成为全球趋势。2021年,我国反垄断工作在顶层设计、立法、执法、司法、健全反垄断执法体制机制方面取得了突出成绩。2022年,反垄断相关制度建设还要继续推进,加强反垄断和反不正当竞争成为一项重要的常态化工作。

对策与建议

要深入贯彻落实习近平总书记关于网络强国的重要思想,坚持总体国家安全观和正确的网络安全观,贯彻新发展理念,构建网络安全新格局,全面加强网络安全保障体系和能力建设。

健全国家网络安全法律法规和制度标准。细化相关法律法规实施细则和相关指导意见,进一步完善配套标准规范体系,构建个人信息、重要领域数据资源、重要网络和信息系统安全保障体系。

加强网络安全风险评估和审查。强化新技术新应用安全评估管理。建立健全关键信息基础设施保护体系,提升安全防护和维护政治安全能力。

加强网络安全基础设施建设,提高网络安全综合治理能力。强化跨领域网络安全信息共享和工作协同,提升网络安全威胁发现、监测预警、应急指挥、攻击溯源能力。

推动网络安全教育、技术、产业融合发展。加强网络安全宣传教育和人才培养。强化网络安全关键技术创新,提升网络安全产业综合竞争力,形成人才培养、技术创新、产业发展的良好生态。

加强网络安全国际交流合作。积极参与网络安全、数据安全等国际规则和数字安全技术标准制定。深化在人才培养、技术创新、应急响应和网络犯罪打击等领域国际合作,推动国际网络安全保障合作机制建设。

]]>
新版《网络安全审查办法》发布实施 重在压实平台运营者网络安全主体责任 Sun, 23 Jan 2022 21:19:48 +0800 当前社会的网络化进程不断深化,网络已经深刻影响到我国经济发展和民众日常生活,一些大型网络平台甚至已成为支撑社会运转的数字基础设施。网络平台的兴起,体现在其所拥有的数字市场操控能力及其商业模式对传统行业的颠覆性影响。网络平台的繁荣发展,在为全球经济注入活力的同时,也引发了新问题。网络平台运营者已经将用户与数据作为一种新资本,把数据化和商品化作为平台的核心运行机制。放眼全球,当前网络巨头的平台权利不仅能通过流量分配来控制依附于平台的相关方,甚至在自身发展成为社会数字基础设施的过程中,如果缺乏监管可能会影响到国家的经济、文化、社会和政治安全,从而引发新的国家安全风险。

欧盟一直以来对大型网络平台公司坚持严格治理的态度。根据《欧盟外商直接投资审查条例》,欧盟从关键基础设施、关键技术、关键供应、敏感信息等方面,审查非欧盟投资对欧盟成员国国家安全和公共秩序的风险。2020年12月,欧盟发布了《数字服务法案》和《数字市场法案》提案,针对在数字市场充当“看门人”角色的大型网络平台,明确监管内容和方式,设定了确保公平竞争等责任义务,以构建更加安全、透明和值得信赖的在线网络环境,促进欧盟数字创新和数字经济发展。

美国近年来改革一系列法案要求,利用审查等手段维护本国大型网络平台企业商业及技术全球领先地位。2018年先后通过《外国投资风险审查现代化法案》(Foreign Investment Risk Review Modernization Act,FIRRMA)和《针对审查涉及外国人士和关键技术的若干交易的试点规定》,其中,FIRRMA明确要求对投资于美国技术、基础设施、数据等有关业务进行审查,突出了关键技术、关键基础设施和敏感个人数据在国家安全审查中的重要性。2020年8月,美国财政部发布《关于保护美国投资者防范中国公司重大风险的报告和建议》,针对包括中国在内的美国公众公司会计监督委员会(Public Company Accounting Oversight Board,PCAOB)无法实施检查的辖区,对美国证券监管机构(SEC)提出多项建议,包括对来自这些辖区的公司提高上市门槛,加强信息披露要求,强化投资风险提示等等,并建议SEC要求对已在美上市公司不满足PCAOB检查要求的进行摘牌。

2021年2月,拜登签署《美国供应链行政令》,要求六大部门在一年内提交国防、公共卫生、信息技术、能源、交通和农业供应链安全审查报告。2021年5月,美国公众公司会计监督委员会(Public Company Accounting Oversight Board,PCAOB)就《外国公司问责法案》(Holding Foreign Companies Accountable Act,HFCAA),有关实施细则征求意见,这意味着主要针对中概股的监管政策,即将进入实质性执行阶段。2021年6月,拜登签署《关于保护美国人敏感数据不受外国竞争对手侵犯的行政令》,要求采取规范的决策框架和严格的实证分析,防范交易可能对美国国家安全和美国人民带来的风险,包括被敌对国家管辖的人员设计、开发、制造或供应的软件应用程序等风险。2021年12月,为落实《外国公司问责法案》的立法要求,SEC公布了最终实施规则,对受监管公司范围、申报及披露义务、以及强制退市程序等备受关注的问题明确了实施细则,其中多项要求直指中概股。

相较于欧美等发达经济体,不断收紧对网络平台的监管要求,我国对网络平台运营者的监管要求逐步从“审慎包容”转向“强化督查”,以规范平台运营者健康发展。在这种新形势下,2022年1月,《网络安全审查办法》(以下简称《审查办法》)修订后正式发布。新版《审查办法》完善了国家网络安全审查有关要求,是坚持总体国家安全观,有效应对新形势下国家网络安全威胁,压实网络平台运营者国家安全和数据安全主体责任的重要举措。

一、新版《审查办法》维护国家安全的根本目的不变,制定依据增加了《数据安全法》和《关键信息基础设施保护条例》

新版《审查办法》的根本目的未变,表明建立实施审查制度“维护国家安全”的初心未改。《国家安全法》第五十九条要求国家建立国家安全审查和监管的制度和机制,对影响或者可能影响国家安全的外商投资、特定物项和关键技术、网络信息技术产品和服务、涉及国家安全事项的建设项目,以及其他重大事项和活动,进行国家安全审查,有效预防和化解国家安全风险。国家安全风险是动态的、相对的、多样的。在当前平台经济迅猛发展的时代背景下,网络平台对国家政治、经济、文化、社会以及公民合法权益等方面的影响不断增大,引发了新的网络安全风险,为了维护国家主权、安全和发展利益,需要完善审查有关要求,积极防御和有效应对。

2021年,我国发布《数据安全法》和《关键信息基础设施保护条例》(以下简称《关基保护条例》),新版《审查办法》增加了相应法律依据。其中,《数据安全法》第二十四条要求“对影响或者可能影响国家安全的数据处理活动进行国家安全审查”,新版《审查办法》配套《数据安全法》有关审查要求,明确了网络平台运营者赴国外上市等数据处理活动的规定。《关基保护条例》第十九条要求运营者“采购网络产品和服务可能影响国家安全的,应当按照国家网络安全规定通过安全审查”,新版《审查办法》在原有关键信息基础设施运营者采购活动审查要求基础上,在制度依据方面体现了与《关基保护条例》的衔接关系。

同时,新版《审查办法》立足维护国家安全根本目的,遵循的基本原则未变,仍为“防范网络安全风险与促进先进技术应用相结合、过程公正透明与知识产权保护相结合、事前审查与持续监督相结合、企业承诺与社会监督相结合”。其中,值得说明的是,新版《审查办法》仍坚持防范网络安全风险与促进先进技术应用相结合,是统筹安全与发展的核心思想的体现,说明审查并不是以追求闭关锁国、技术倒退为目的,而是要在开放的环境下,有效识别和防范国家安全风险。

二、新版《审查办法》关键信息基础设施运营者采购活动审查要求基本未变,审查对象增加了网络平台运营者赴国外上市活动

我国网络平台社会数字基础设施重要性日益凸显,对国家安全和社会公共利益影响逐渐突出。大型网络平台运营者具有服务供给者和市场监督者双重职能的特征日益凸显。网络平台不仅为供需双方提供数字基础设施服务,是服务提供者;更重要的是越来越多的大型网络平台已具备一定的社会治理功能,这些企业通常会围绕平台运营,构建一套市场、用户和规则的自有治理结构,承担“看门人”的职能。网络平台这种前所未有的影响力对传统行业监管带来了很大挑战,不仅导致监管盲区,还一定程度上弱化甚至替代了国家公共部门监管体系。

随着我国网络平台业务及技术能力的迅猛发展,近年来平台运营者选择赴国外上市的数量日益增多。例如,在美上市的中概股企业累计数量已达近三百家,其中约半数为网络平台运营者,仅以2021年上半年为例,就有近40家中概股企业在美上市。如何在促进企业发展的同时,保障国家安全和数据安全,迫切需要在制度层面明确企业主体责任。

为此,新版《审查办法》在对关键信息基础设施运营者的产品和服务采购活动进行审查的基础上,重点增加了网络平台运营者赴国外上市活动的审查要求。其中,包括在第二条中增加“网络平台运营者开展数据处理活动”,还增加第七条“掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查”。可以看出,新版《审查办法》的适用对象明确增加网络平台运营者赴国外上市活动,以适应当前平台经济发展引发网络安全新风险监管要求的形势需要。

三、新版《审查办法》启动方式和整体过程未变,审查中评估的重点因素补充了数据安全有关考虑

新版《审查办法》的制度框架未变:一是审查启动方式仍为2种,一种为关键信息基础设施运营者或平台运营者申报审查,另一种是中央网信委批准实施的审查;二是审查整体过程基本未变,主要包括审查申报、初步审查、特别审查等。

新版《审查办法》在第十条中补充了审查过程中需要评估的国家安全风险因素,包括“(五)核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险;(六)上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险,以及网络信息安全风险;(七)其他可能危害关键信息基础设施安全、网络安全和数据安全的因素”。补充这些因素,明确了审查过程中,重点关注赴国外上市网络平台运营者有关风险考虑,同时也体现审查立足国家层面网络安全和数据安全的监管视角。

]]>
网络空间威胁狩猎研究综述 Sun, 23 Jan 2022 21:19:48 +0800 近年来,随着网络的普及和信息化水平地不断提高,越来越多的公司把重要信息和机密文件存储在连接着网络的计算机上。但是,由于网络攻击的手段层出不穷,威胁狩猎的思想和理念孕育而生并且逐渐成熟。

由此,首先对网络空间威胁的定义和攻击流程模型进行介绍,再阐述了威胁狩猎的定义和核心技术,然后描述了威胁狩猎使用的工具;最后,概括总结现有的主流威胁狩猎的框架,比较各个框架的优缺点,并阐明了下一步的发展方向。

近年来,随着网络的普及和信息化水平地不断提高,越来越多的公司企业把重要信息和机密文件存储在连接网络的计算机上。由于计算机性能的不断提升、操作方式的持续优化以及网络传输速度的大幅提高,公司企业的运作效率得到了进一步地加强,劳动成本大幅度减少。

不可否认,稳定、安全的网络环境是保证公司企业长久发展的基石。然而,正是由于各大商业公司和政府部门内部网络中存储着重要信息和核心数据,获取这类信息带来的巨大收益使得攻击和窃取数据的事件层出不穷。

更重要的是,由于相关的网络空间威胁长期潜伏在主机中秘密搜集信息,用户和管理员难以及时发现,导致攻击发生时会造生更大的破坏和损失。

具体来说,攻击者通过连接内网与外网的边缘服务器,找到网络中存在的安全配置问题或者利用零日漏洞,获得进入内网的权限。之后通过提权、扫描等手段取得内网的完整信息,进而窃取用户的敏感数据。在这些网络空间威胁中,危害最大、波及范围最广的一类被定义为高级可持续性威胁(Advanced Persistent Threat,简称APT攻击)。

大量研究已经证实,APT攻击是对国家、政府、企业和个人的网络权益和信息产生破坏的主要攻击手段之一。

早在2018年初,印度政府为每个公民提供的12位生物特征身份认证凭证在跨平台社交媒体WhatsApp上被匿名出售。在2019年10月,俄罗斯发生了一起历史上最严重、泄露信息最多的事件,超过6000万条银行用户的个人信息在暗网上被公开出售。

由此可见,信息泄露与窃取的源头,也就是这些网络空间威胁产生的原因,一方面可能是内部不合理的网络配置和安全设置,另一方面还需要考虑外部的攻击和威胁手段,这样才能全方位地发现、处理并解决网络空间的威胁。

因此,建立网络空间的威胁狩猎平台来发现和防御攻击者的入侵和破坏直接关系到公司企业的发展和未来,具有十分重要的意义,已经成为国内外信息安全研究领域中备受关注的方向。

01网络空间的安全威胁

网络空间威胁指的是潜在的可以通过利用计算机漏洞产生危害的种种问题。而产生危害的方式包括未授权访问、数据破坏、机密数据公开、数据修改以及拒绝服务等。

由此,可以将网络空间威胁分为主动型和被动型两类。被动型威胁是被动地收集系统有意或无意公布或可获取的信息而不去尝试修改系统资源,而主动型威胁则是在被动型的基础上,主动篡改系统控制资源或者影响操作系统的正常运行。

实际上,早在2000年安全研究人员已经确立了网络空间威胁的标准

如图1所示,攻击主要可以分为三个部分,系统资源(攻击目标)、安全防御措施以及网络威胁(攻击行为)。首先,攻击者可以通过主动或被动方式获取攻击目标的信息。在掌握了足够信息的基础上,发现网络环境中存在的漏洞或者配置问题,选取相应的适用策略实现对目标机器的控制从而达到攻击者的目的。

目前,几种主流的攻击链模型都有着相似的流程,最先提出攻击链概念的是Lockheed Martin公司,并命名为Lockheed Martin空间攻击链。研究人员通过对攻击者的战术进行分析,将网络空间威胁攻击链分为三大阶段,分别是前攻击阶段、攻击阶段和后攻击阶段,如图2所示。

其中前攻击阶段是攻击者收集信息设计攻击方式的过程,包括侦测、武器化和传递三个步骤。攻击阶段是执行攻击的过程,包括利用和安装阶段。而后攻击阶段包括回连和控制目标的阶段。

总的来说,通过空间攻击链模型可以较快确定攻击情况,找到适用的的网络防御技术,实现一个智能反馈系统从而有效地减少攻击者实施攻击成功的概率。另外,安全公司FireEye也提出攻击生命周期。、MITRE开发了ATT&CK生命周期。

02威胁狩猎的概念和基础

曾经主流的安全防御软件是通过等待安全监控程序的警报时再执行紧急防御措施,而这种安全防御系统已经无法适应当前复杂的环境。因此,威胁狩猎防御机制则是在这个背景下被提出的。

2.1 威胁狩猎的定义

网络空间威胁狩猎指的是主动持续地在网络中搜索可以绕开安全检测或产生危害的威胁的过程。目前,一套网络空间威胁狩猎机制的核心竞争力包含三个方面:威胁攻击证据的数据质量、获取和分析数据的工具以及分析数据和使用工具的工作人员的技术。通过使用狩猎成熟度模型(Hunting Maturity Model)来检验一个防御机制的优质程度,狩猎成熟度模型定义了五个等级。

起步级:这个阶段主要由入侵检测系统、安全信息和事件管理系统(SIEM)或反病毒软件等工具侦查恶意行为。该过程主要基于自动报警系统,未实现从系统中收集数据的功能。

简易级:在初始级的基础上,会常规性地搜集最近的威胁情报信息来判断系统是否遭受相关攻击。

规程级:根据他人或其他更高级的狩猎模型制定的信息分析方法,根据输入的数据判断一些简单的恶意程序的行为或活动。

创新级:该阶段威胁狩猎具有制定特有的数据分析过程的能力,并涵盖了高级有效的技术例如相关数据分析、数据可视化以及机器学习等。

领路级:在创新级的基础上实现自动化改进现有数据分析方法。这样可以有效地减少运行相同进程的内存消耗,专注于改进现有的规程和创造新的规程。

狩猎成熟度模型不同阶段的最本质区别在于狩猎方式的差异。起步级的狩猎过程中,安全人员只能增加新的安全证书或者恶意文件的特征信息,因此从本质上来说起步级的威胁狩猎不是真正意义上的狩猎。而领路阶段的狩猎则是主动尝试新的方式来找到攻击者,根据已有信息从不同角度入手分析获得新的结论。

2.2 威胁狩猎的核心技术

一次完整的狩猎过程可以进行如下区分。在开始狩猎之前,需要明确网络结构、运行系统、防御机制可以抵御和侦测的攻击方式和准确性、潜在的攻击目标和工具使用的执行战略。之后则是需要明确相关数据信息的手段和技术。

目前来说,攻击者利用的漏洞、使用的工具和攻击方式相关的研究是最被重视的部分,大量相关问题被深入研究和详细记录,可以在各种最新的APT报告中获取。而最终的结果是使得每一次狩猎都可以拓展威胁狩猎防御机制的普适性,使得狩猎模式适用于更广泛更多样的攻击。

目前来看,威胁狩猎主要涉及到的技术可以大致分为取证技术和分析技术。

(1)取证技术

由上述内容可知,取证技术是实现威胁狩猎的基础。优质的指示器(IOC)可以快速定位攻击者的信息并及时地改进,具体分类如图3所示。

其中文件的哈希值是最简单最基础的指示器,即通过比对待检验的文件哈希值和恶意程序的哈希值来进行判断。目前仍然有大量杀毒软件使用哈希值来判断文件是否是恶意程序。随着金字塔高度的提高,金字塔模型越上层的信息收集工作越困难,需要对于数据的意义和攻击的手段有更深入的认识并进行总结概括,使用时的适用范围也更加广泛,而对于威胁狩猎来说也越重要。

(2)分析技术

丰富的分析技术可以使得威胁狩猎效果更加明显,具体可以分为如下几类。

日志分析技术:由服务或设备中获取的日志非常重要而且目前已有的安全防御系统并未合理充分地利用。与此同时,威胁狩猎平台的日志分析能力也直接影响了其抵御和防范攻击的能力。由于日志是威胁狩猎分析攻击的重要信息来源之一,因此明确可以获取日志的程序和出处十分重要。在Unix系统中,日志通常以文本文件的形式保存在/var/log中。Windows日志可以划分为4类:应用程序日志、安全日志、系统日志和转发的事件日志。这些日志大部分记录在%SystemRoot%\\System32\\Config下。

网络分析技术:包括读取理解捕获的数据包并判断网络流量是否异常的能力和熟悉网络中的不同设备的特性以及相互如何影响。

攻击分析技术:清楚攻击者在各个攻击阶段所使用的技术快速发现问题以及相关行为,了解攻击工具、恶意软件、鱼叉攻击以及软件配置问题可以帮助判断攻击者的思路来获取攻击行为的证据。

03威胁狩猎的工具和框架

目前,一套完整的威胁狩猎工具并不够全面,研究人员需要通过利用不同工具的特性来完成整个威胁狩猎的过程,本文将威胁狩猎的工具分为三个类别,分别是准备工具、分析工具和威胁模拟工具。

3.1 威胁狩猎准备工具

在准备阶段,安全研究人员需要通过还原攻击现场、保留攻击证据等方式筛选有价值的数据和信息。目前适用于各种平台的数据收集及整理工具是Facebook公司研发的Osquery。该工具将操作系统各种相关信息通过类似于SQL的方式汇总成表格方便研究人员快速获取和比对信息的系统分析工具。

其主要优势是可以像查询数据库信息一样查询操作系统,以此来查询错误配置、用户权限甚至文件可读性审核 。此外,其配套用户管理平台Doorman支持远程管理Osquery的节点,使得其支持分布式读取终端数据,获取全局信息的功能。

由于绝大多是攻击者会删除或毁坏攻击证据,所以磁盘恢复工具能有效的达到复现攻击现场和获取证据的目的。AccessData FTK Imager是一个从硬盘中恢复各种数据的取证工具。

该工具通过扫描硬盘驱动器,获取32位或64位系统的当前硬盘内容和分页文件信息。Bitscout是一款开源的基于Linux的包含一系列分析磁盘映像的工具,其允许用户创建自定义的磁盘镜像以及安全研究人员远程获取磁盘映像备份,方便研究人员分析。

而GetData Forensic Imager是一个基于Windows的可以获取、转换、修改取证镜像文件格式的工具。Magnet ACQUIRE是一个适用于各种主机和移动端操作系统的多类型镜像恢复工具。该工具拥有一系列可靠快速的数据提取技术,方便用户快速大量的获取恢复获取数据并有详尽的日志记录获取过程。X-Ways Forensics是一个基于Winhex十六进制磁盘编辑器的克隆和镜像取证工具,主要用于Windows主机和服务器上,相比较其他工具,该工具效率高、速度快硬件要求低且不依赖复杂数据库,使用较为广泛。

此外,网络流量的数据也是威胁狩猎的核心,有效地获取相关信息可以更加准确的进行威胁狩猎。因此,使用网络流量捕获工具可以实现对网络流量的数据的获取。Stenographer是数据包捕获程序,旨在快速将所有数据包缓存到磁盘。

该工具会在磁盘容量限制时删除最早的数据,适合在网络威胁发生之前和期间捕获流量,而无需明确需要记录的网络流量。其缺点是由于处理量大,难以高效处理复杂数据包。网络可视化工具AOL Moloch是一个开源的大型IPv4数据包捕获系统,并且可以方便地浏览搜索和导出捕获的数据。

该工具按照PCAP的形式存储所有网络流量,其优点是该工具强大的灵活性,缺点是配置复杂性较高。

3.2  威胁狩猎分析工具

威胁狩猎分析工具根据分析对象的类别,分为日志分析工具、内存分析工具和文件分析工具。

在日志分析工具中,Lorg是一个用于在大文件中提取关键日志信息的工具,通过基于签名的攻击和机器学习相关技术检测HTTP流量日志(例如Apache的access_log文件),判断是否存在可疑请求或异常情况。StreamAlert是由爱彼迎公司开发的基于无服务器的实时日志数据分析框架,能够使用用户定义的逻辑提取自定义数据源并触发警报。

其优点是有追踪溯源日志的能力,便于部署维护且能处理大量数据,自动融合类似警报并建立新的规则。此外,微软发布的Sysmon是专门为用户Windows操作系统和服务器设计的,用于记录详细日志信息的工具,其中包括进程创建、网络连接以及文件修改等重要操作。

Sigma则是一种方便用户定义开放签名格式、描述日志事件的工具,类似于指示器(IOC)和Yara规则用于检测恶意文件和网络连接,该工具可以使得研究人员共享、分析日志文件。Graylog是一个应用于分布式体系的日志管理系统,可以分析从不同服务器中记录的日志。

该系统的优势是支持大量数据格式,较好地控制授权和用户权限,并且能第一时间收到警报。缺点是该系统不能直接读取信息,需要手动导入,且生成的报告不够详细完整。

在三类静态分析工具中,内存分析工具常用于获取存储于内存中攻击信息。Memoryze是一款用于内存取证的命令行程序,在计算机运行过程中通过分析内存镜像,帮助用户检测恶意事件。

Windows SCOPE是用于分析易失性内存的取证和逆向工具,提供分析Windows内核,驱动程序,DLL以及虚拟和物理内存的功能。该工具还可以定期记录内存快照,跟踪系统内存的即时变化。Belkasoft Live RAM Capturer相比较之前介绍的工具更为轻量级,在受到主动反调试保护时仍然可以获取存储器的数据,提供不同版本减少空间占有。

除此之外,还有例如Linux Memory Grabber、Magnet RAM Capture、OS Forensics等内存获取和分析工具或脚本。

而在文件分析工具方面,目前绝大部分分析工具采用特征比对的方法进行威胁狩猎。采用IOC或Yara规则进行网络威胁识别的工具包括Fenrir、IOC Finder、rastrea2r、Fidelis Threat Scanner、 LOKI等。

另外一部分工具则采用自主收集计算机数据信息来进行分析。bulk_extractor是一个通过扫描数字证据文件提取例如电子邮件地址、信用卡号等信息的工具。其优势是可以处理压缩文件及部分损坏的数据,支持多线程分析文件内容构成单词表来进行数据展示。

此外,还有开放式计算机取证体系结构框架(Open Computer ForensicsArchitecture)基于Linux开发的后端平台并使用PostgreSQL进行数据存储。该框架集成了多个开源文件取证工具,包括The Sleuth Kit、Photorec等。其中The Sleuth Kit是一款用于Unix和Windows的文件分析工具,具有磁盘镜像分析、文件系统深度分析等功能,而Photorec则是帮助用户回复数据的工具。

RegRipper是用Perl编写的开源工具,用于从注册表中提取或解析信息(键,值,数据)并将其分析呈现。另外,专用于Windows的信息记录及文件分析工具还有AChoir、Crowd Response、IREC等。商业公司方面,Belkasoft公司开发的工具集Belkasoft Evidence Center可以通过分析硬件、硬件镜像、导出内存、分析IOS、黑莓和安卓机器的备份来提取各种电子证据。

3.3 威胁模拟工具

由于网络威胁并不是时常发生,而威胁狩猎的改善和提高需要大量的训练和总结,因此为了更有效地测试威胁狩猎平台的性能,安全研究人员开发公布了一系列的网络空间威胁模拟工具。

APTSimulator是执行Windows批处理脚本工具,它通过使用一组工具和输出文件模拟系统信息被泄露的情况,是一个小型且高度便携的检测测试系统。

AutoTTP是一个网络空间威胁攻击战术生成程序,通过手动重新运行复杂序列以进行回归测试,产品评估,为研究人员生成攻击数据。

此外,专门针对Windows企业环境的网络威胁仿真工具还包括Caldera、Cimsweep、BT3等。

04研究机构模型

但是当前现状的弊端也显而易见,大部分方法和工具只对网络空间威胁的一种技术或一个部分有较好的效果,而各种方法和工具不能相互兼容,这就导致了在整合到一起时无法起到真正的效果。

在这样的环境下,各个研究机构创立自己对办法建立威胁狩猎平台,本节将选取代表性的组织进行分析总结。

4.1 MITRE

通过ATT&CK攻击周期链,MITRE开发了基于ATT&CK分析方法,通过七个步骤实现威胁狩猎的开发工作,将分析方法分为七个步骤:确认行为、获取数据、建立分析、开发攻击仿真事件、模拟威胁、调查攻击、 评估效果。该方法的缺点是进攻防御非同时,导致不能做到即时对攻击事件进行反应,这会导致不能最大程度的减少损失。

明确行为:分析过程由明确攻击者的行为开始,找到共通行为、即时可用的数据以及可以指示恶意行为的证据。

获取数据:在分析之前,找到足够合适的数据非常重要。这就需要在系统上预安装适当的数据收集工具,例如Windows事件日志、Sysmon日志等。

建立分析:通过硬软件平台的支持,建立分析方法,例如建立安全信息和事件管理中心。分析分为四个部分:行为,这方面指攻击者常用的行为但并不违反安全规则不会报警;情况意识,在不同情况下不同的信息组合可以带来新的信息,例如单纯的用户登录记录并不能指出攻击者的存在,但是配合其他指示器就能产生不同的效果;异常,分析并非攻击行为但是异于一般行为的时间;取证,获取直接指示攻击者行为的证据。

开发攻击仿真事件:与传统渗透测试注重系统漏洞不同,攻击仿真者通过模拟确定的攻击行为,配合补充的攻击技术完成整个攻击的流程,核心目标是获取整个网络环境的控制权。

模拟威胁:在真实情况中根据上一步建立的攻击模型相对应地执行。在这个过程中研究人员可以检验威胁狩猎的效果并进行改进。

调查攻击:在攻击完成以后,研究人员通过威胁狩猎获得的数据和证据来倒推攻击的流程,找到缺陷加以改进。

评估效果:根据上两步的结果,综合整个实验过程评估威胁狩猎的效果,筛选数据并改进方法。

除了ATT&CK分析方法以外,MITRE公开分享了在网络空间威胁中存在的攻击手段,并总结各个国际APT组织擅长使用的战术战略,收集了相关的恶意程序样本,让安全研究人员可能更好的分享使用并进行威胁狩猎。

4.2 JPCERT/CC

结合目前成熟的网络空间威胁模型,日本计算机应急响应小组合作中心JPCERT/CC的研究人员根据攻击者使用工具和命令的阶段顺序进行深入调查,命令的使用频率进行研究。针对性的重点研究范围是攻击者在横向传播时Windows操作系统自带的命令行,特别是用户不常用但是攻击者需要使用的命令,区分这些命令的使用频率。

研究人员提出可以通过应用锁(Applocker)对系统所使用的命令指令进行限制,虽然不能阻止指令执行,但是记录的日志文件可以用于之后的取证。研究人员围绕日志记录审计规则和日志记录工具,例如Sysmon等,来建立针对Windows操作系统的威胁狩猎平台。

此外,该研究人员还基于Sysmon工具开发了Sysmon Search工具。Sysmon Search是一个基于ElasticStack的日志分析系统,通过将每条记录设置成一个节点可以直观的找到相互之间的关联。例如,如果明确了恶意程序的哈希值或者命令控制服务器,通过该工具能快速找到可能被感染相同恶意程序的其他主机,也可以通过指示器或者结构化威胁信息表达式(STIX)进行特殊查询。该工具也支持即时的查询,并对每台主机的网络交互、注册表和进程进行统计分析,找到可疑事件。

4.3 Sqrrl

Sqrrl于2012年成立专注于网络空间安全和威胁狩猎的公司。该公司建立了四步狩猎方法,建立假设、利用工具和技术调查、挖掘新的模式和战术以及自动化分析过程。

建立假设:狩猎由一个关于攻击行为的假设或合理的猜想开始。例如发现有用户异常地从外网访问内网核心资源,则去分析该用户账号是否被攻击。更高级的做法是根据用户的一系列活动和指令,对应计算这些指令相应的危险程度结合网络威胁攻击模型作为狩猎的开始。

工具和技术调查:使用例如相关数据分析以及可视化图形等技术调查分析假设。另一方面,通过对原始数据进行重组,实现构建新的恶意攻击模式和攻击流程以此明确攻击者的思路。

挖掘模式和战术:攻击者的模式和战术是最准确和重要的攻击信息。把第二步总结的战术技术和方法积累完善,根据信息的相关性,找到和恶意程序或三方服务有关的用户信息。

自动化分析过程:将已完成的狩猎过程由人工转向自动,并加入机器学习的方法使得威胁狩猎能适应更多的情况和环境。

Sqrrl公司的威胁狩猎平台通过对原始数据进行打散和重组,引入可视化图形来对复杂网络环境进行深入理解,通过大型数据分析实现即时查询实体行为,并且有自动化检测异常和攻击战术的功能。在商业公司中处于顶尖水平。

4.4 框架优劣比较

本节列举了三种不同的威胁狩猎平台以及对应的狩猎方式。其中MITRE的基于ATT&CK的方法较为全面,适用范围广,并且对已有的攻击组织使用的技术进行深入分析,较好地掌握了不同APT组织的战术技术和方法。该威胁狩猎平台的优点是集合了包括Windows,Mac以及Linux等多个平台的攻击方式和技术,缺点是主要的狩猎过程在攻击结束后,并不能即时狩猎降低攻击损失。

而日本的计算机应急响应小组合作中心的研究人员着重研究Windows内网环境的命令和执行工具,并收集攻击者的操作习惯通过对照以此对攻击者进行多层次的刻画和描述,可以较好组合和恶意行为相关的信息,但是只适用于Windows系统,目前只适用于部分企业内部网络环境,普适性有所欠缺。

第三个是Sqrrl公司开发的威胁狩猎平台,在收集攻击者的数据和战术的基础上,结合可视化图形、数据相关性分析以及机器学习等,目前来说是效果最好的威胁狩猎平台之一。

但由于商业软件技术封闭,若没有足够的交流合作和资金支持,未来发展前景并不清晰。除了上述三者外,还有如Splunk、HELK等开源的网络威胁狩猎平台,这类工具根据自身需求进行拓展和开发,同样形成初步的体系架构。

对比这些研究成果和技术的优缺点能够使得威胁狩猎的开发者有较全面的认识,促进相互之间优势互补,提升威胁防范和取证的全面性。

05结 语

在全球化大背景下的今天,网络的利用和普及越来越全面,人们也更加重视网络活动的安全性、对于威胁的防范能力。因此,对攻击者组织和技术的全面了解,建立一个威胁狩猎主动防御平台显得非常重要。

本文首先对网络空间威胁进行简要介绍和分析,列举了目前主流的攻击流程模型;再阐述了威胁狩猎产生的原因和意义,明确威胁狩猎的定位;然后,概述现有的威胁狩猎所涉及的技术并归纳分类,并论证了分析方法的理论正确性;之后,概括总结现有的各种威胁狩猎的框架,比较各个框架的优缺点。

目前来看,威胁狩猎的建立需要对攻击者全方位的了解,结合各种防御取证技术积累信息和数据。在拥有足够数据的情况下,利用机器学习等算法,实现自动化分析达到高成熟度狩猎过程。如何挖掘更多的可利用的数据,如何多元地利用已有的数据进行分析,还有如何提高狩猎的准确性和即时性有待进一步研究。

]]>
数百万路由设备因KCodes NetUSB漏洞面临RCE攻击威胁 Sun, 23 Jan 2022 21:19:48 +0800 日前,网络安全初创企业SentinelLabs的研究人员发现,KCodes NetUSB内核模块曝出了一个名为CVE-2021-45388的高危远程代码执行(RCE)漏洞,多家厂商的数百万路由器设备使用该内核模块。一旦该漏洞被成功利用,远程威胁分子就可以在内核中执行代码。

NetUSB是什么?

一些路由器厂商在设备上添加了USB端口,好让用户可以共享联网的打印机和USB驱动器。NetUSB是KCodes开发的一种内核模块连接解决方案,允许网络中的远程设备与直接插入到路由器的USB设备进行联系。

SentinelLabs在该内核模块中发现了一个易受攻击的代码段,该代码段没有验证内核内存分配调用的大小值,从而导致了整数溢出。“SoftwareBus_fillBuf”函数可能随后将这个新区域用于恶意越界写入(out-of-bounds write),写入来自由攻击者控制的网络套接字的数据。

当遇到如下所述限制时,该漏洞可能很难被利用:分配的对象始终位于内核堆的kmalloc-32 slab中,该结构的大小必须小于32个字节才能装得下;所提供的大小仅用作最大接收大小,而不是精确的大小;该结构必须可以从远处来喷射;该结构必须拥有可以被写入覆盖的部分,那样才能用作目标(比如Type-Length-Value结构或指针)。

然而,易受攻击的NetUSB模块有16秒的超时时间来接收请求,因而可以更灵活地利用设备。SentinelLabs在其报告中警告:“虽然这些限制使威胁分子很难编写利用该漏洞的代码或工具,但我们认为这并非不可能,因此使用Wi-Fi路由器的人可能需要更新路由器固件。”

漏洞影响及应对

据了解,目前多家一线路由器厂商都使用了易受攻击的NetUSB模块,包括网件、普联、Tenda、EDiMAX、友讯和西部数据。目前尚不清楚哪些型号受CVE-2021-45388的影响,但一般建议使用厂商积极支持的产品,它们会定期收到安全固件更新。

由于该漏洞影响众多厂商,SentinelLabs在2021年9月9日先向KCodes发出了警报,后来在2021年10月4日提供了PoC(概念证明)脚本,以验证当天发布的补丁。相关设备厂商在11月收到了告知,固件更新则定于2021年12月陆续发布。其中,网件公司在2021年12月14日发布了安全更新,以修补受影响的产品。

据网件公司2021年12月20日发布的安全公告显示,其已修复的路由产品包括D7800固件版本1.0.1.68、R6400v2固件版本1.0.4.122、R6700v3固件版本1.0.4.122。同时,网件公司实施的解决办法是向“supplied size”(所提供的大小)函数添加新的大小检查,防止越界写入。

]]>
乌龙!网络间谍组织因感染自家恶意软件而暴露 Sun, 23 Jan 2022 21:19:48 +0800 日前,一个与印度有关的网络间谍组织被自家的远程访问特洛伊木马( RAT )感染上后,意外地将行动暴露给了安全研究人员。据了解,自2015年12月以来,这伙威胁分子就一直很活跃,因使用复制粘贴代码而被称为 PatchWork 。

在 PatchWork 最近的一次活动中(2021年11月底至12月初), 安全厂商 Malwarebytes Labs 发现这伙威胁分子使用恶意的 RTF 文件冒充巴基斯坦当局,用 BADNEWS RAT 的新变种(名为 Ragnatela )感染目标。Ragnatela RAT 使威胁分子可以执行命令、获取屏幕快照、记录击键内容、搜集敏感文件和一长串运行中的应用程序、部署额外的有效载荷以及上传文件等。

Malwarebytes Labs 威胁情报团队解释道:“出人意料的是,我们之所以能收集到所有信息,归因于这伙威胁分子被其自己的 RAT 病毒感染,因而能获取他们的计算机和虚拟机上的击键内容和屏幕截图。”研究人员获得这一发现后,使用 VirtualBox 和 VMware 用于测试和 Web 开发,在拥有双键盘布局(即英文和印度文)的计算机上进行测试,同时监控该团伙的一举一动。

研究人员在观察对方行动的同时,还获得了该组织攻击的目标信息,这些目标包括巴基斯坦国防部以及多所大学,比如伊斯兰堡国防大学、 UVAS 大学生物科学院、卡拉奇 HEJ 研究所和 SHU 大学的教职员工信息。Malwarebytes Labs 补充道:“通过威胁分子恶意软件获取的数据,我们能够更清楚地了解谁在键盘后面搞破坏。”

据了解, PatchWork 团伙曾于 2018 年 3 月在多起鱼叉式网络钓鱼活动中攻击了美国多个智库,采用了同样的手法,即推送恶意 RTF 文件来渗入受害者系统,并推送 QuasarRAT 恶意软件的变种。在 2018 年1 月,有机构监测到他们通过投放 BADNEWS 恶意软件,对南亚地区的目标发动攻击。他们还在 2016 年 5 月底对一家欧洲政府组织的雇员发动了一起鱼叉式网络钓鱼活动。

]]>
展望:2022年端点安全十大发展趋势 Sun, 23 Jan 2022 21:19:48 +0800 转眼2022年已来临,2021年网络安全行业发生了众多变化,从年初的SolarWind供应链攻击,到Colonial Pipeline输油管道的勒索软件攻击,再到年末的Log4j2的超级危险漏洞,以及疫情常态化导致的远程办公暴露的各种安全问题,还有数据安全相关法律法规对各行各业提出了更多要求等,无不显示出网络安全形势的严峻。联软科技结合过去一年全球网络安全市场的变化以及自身对企业端点安全的理解,对2022年端点安全进行了以下趋势预测:

1、远程办公常态化,将加剧企业对BYODPC的安全投资

2020年全球COVID-19的突发,刺激了远程办公、移动办公、居家办公的增长。“2020年春节期间,中国有超过3亿人远程办公,企业规模超过1800万家。” 艾媒咨询的一项数据显示。

美国知名软件公司HUMU的一位数据工程师Yonatan Zunger曾分析,在未来10~15年,远程办公会渗透到更多的行业中,并开始影响到文化和社会。到2035年,当“千禧一代”开始大规模接管办公室的权力后,远程办公将变得不可避免。在Gartner发布的《2022年网络安全的八大趋势》中说道:向混合(或远程办公)的转变是一个持久的趋势,超过75%的知识工作者期待未来的混合办公环境。

而从安全角度来看,由于迫切需要在家办公并且缺乏可用硬件,再加之云服务的流行,BYOPC(Bring Your Own Device,指携带自己的设备办公)将持续被广泛采用,并继续构成新的重大安全风险。因为这些设备更易感染恶意软件或者勒索软件,并成为网络钓鱼攻击的受害者。因此企业IT部门必须充分控制BYOPC设备的访问权限,这就意味着企业将在安全建设(如ZTNA、CASB、DaaS)投入大量资金,以规避勒索软件等形式的更高潜在成本。

2、EDR将成为EPP持续增长的重要推手

据IDC发布的《IDC全球企业级终端安全预测,2018-2022》数据显示:2017年全球企业级终端安全市场规模达61.46亿美元,2022年将超过92亿美元,年复合增长率8.6%。IDC认为尽管传统终端安全防护平台(EPP)产品保持着平稳增长,但相对于全球整体网络安全市场的发展态势,增速已经明显偏低。核心原因在于作为最基础的安全产品之一,端点安全软件已经走过了漫长岁月,市场渗透率已经非常高。

Gartner连续两年都将Endpoint Protection Platforms(EPP)纳入端点安全技术成熟度曲线,并处于生产力高原阶段,这意味着EPP由于其有用的价值,市场渗透率已经达到一定高度。

随着企业数字化转型步伐不断加快,企业网络边界越来越模糊,网络安全防护难度持续提升。使得仅靠预防和保护技术的EPP工具不是处理当代威胁利用的可行办法,EDR作为传统安全防护产品的重要补充,凭借其对终端安全信息的持续监测与分析,受到全球技术提供商及技术买家的广泛关注。据Mordor Intelligence预测,2025年EDR市场规模将达到42.35亿美元,年复合增长率为22.97%。这意味着EDR将成为终端安全市场规模持续增长的重要驱动力。

在笔者看来,北美的EDR市场已经趋于成熟稳定,反观国内,EDR市场仍处于发展阶段:(1)当前国内EDR客户主要以大型企业为主,未来随着轻量级EDR以及云托管的EDR解决方案日趋成熟,EDR渗透至中小型企业将会带来更大的市场空间。(2)踏着国产化的浪潮,外资厂商纷纷退出本土市场,将为国内EDR厂商提供广阔的市场空间。(3)技术买家应选择在端点安全领域拥有长期技术积累的厂商。

3、企业数字化转型将摁下零信任部署 “加速键”

距Forrester的首席分析师约翰.金德维格(John Kindervag)提出零信任概念已有11年,国内零信任建设已从理论和技术探索的1.0阶段,正式迈入了零信任实践活动和快速发展的2.0阶段。

在国家政策及用户需求升级的驱动,企业正大步向数字化转型迈进,传统安全架构难以招架数字化转型带来的挑战,如下(仅举两例说明):(1)云计算成为数据基础设施重要支撑,导致安全边界模糊,基于传统的边界安全防护架构正在失效。(2)数据化转型提升员工生产力,资源安全存在隐患。如使用BYOD办公带来的数据安全隐患及VDI后端资源池共享的安全隐患等。

因传统安全架构存在上述缺陷,以信任为核心安全理念的兴起可弥补传统安全机制的缺陷,从2019年的中国《零信任安全技术参考框架》行业标准立项,2020年,Gartner发布《零信任架构及解决方案》,中国产业互联网发展联盟标准专委会零信任产业标准工作组发布《零信任实战白皮书》,2021年,中国电子工业标准化技术协会发布了零信任技术实现标准——T/CESA 1165-2021《零信任系统技术规范》团体标准等,可以看到,我国无论是政府还是企业对零信任架构都逐渐展现了高度关注。

英雄造时势,时势造英雄,未来的零信任安全将更全面护航企业数字化转型,而企业数字化转型也将会加速零信任安全应用落地,“用零信任重塑信任”。

4、ZTNA作为SASE的核心能力之一,将保障企业网络边缘安全接入

随着企业数字化建设的推进,企业纷纷拥抱云服务、边缘计算等新兴技术,历史的网络和安全体系架构是基于数据中心的技术堆栈,它无法有效满足数字化业务对动态安全的访问需求,而SASE的出现可以为这一事实提供了新的机遇。

Gartner在2019年8月发布的《网络安全的未来在云端》中提出Secure Access Service Edge(SASE)这一技术概念,安全访问服务边缘(SASE)是一种新兴服务,它将软件定义广域网(如:SD-WAN)与网络安全(如:ZTNA、CASB)融合,从而满足数字化企业的动态安全访问需求,它是一种可取代传统网络和安全模型的新兴技术。

在Gartner发布的文章中指出:“SASE是一种基于实体的身份、实时上下文、企业安全/合规策略,以及在整个会话中持续评估风险/信任的服务。实体的身份可与人员、人员组(分支办公室)、设备、应用、服务、物联网系统或边缘计算场地相关联。”SASE将网络接入和安全能力融合,统一在云端管理和交付,将安全执行点部署在离用户更近的边缘节点,克服了分支机构分散带来的成本及方案复杂性问题。

Gartner将ZTNA作为SASE网络安全的核心功能之一,意味着SASE必将践行零信任原则更好的保护基于云的服务,保障企业网络边缘安全接入。

5、数据安全产业将迎来“黄金”发展期

随着新一轮科技革命和产业变革深入发展,数字经济成为全球经济增长的新引擎。5G、大数据、区块链、云计算、人工智能等新兴技术在加快数字经济建设的同时,数据泄露、滥用等问题日益凸显,数据泄露成本显著增加,2021年IBM Security公布了一项全球研究成果《2021年数据泄露成本报告》,指出每次数据泄露事件平均为公司带来424万美元的损失,为17年来之最。

2021年12月,信息安全与通信保密杂志社根据公开资料整理了近一年的重大数据泄露事件,涵盖了医疗、金融、制造、互联网、政务系统等行业,其中包括微软云平台暴露3800万条客户数据、知名券商Robinhood泄露700万用户资料、新加坡电信巨头近13万客户信息遭泄露、亚马逊旗下直播平台Twitch遭入侵等重大安全事故等数据安全问题惹人深思。

面对数据安全事件的频发,赛迪顾问统计数据显示,2020年中国大数据产业规模达6388亿元,同比增长18.6%,预计未来三年保持15%以上的年均增速,到2023年产业规模超过1万亿元。2021年,随着《数据安全法》、《个人信息保护法》的相继出台,意味着国家对数据安全的重视达到了前所未有的高度。以法律增强企业安全责任,落实企业数据安全体系建设离不开数据安全产业的有力支撑,数据安全产业即将迎来新的元年。

6、信创产业从“分散”到“集中”

当前,我国信创产业呈现出百花争鸣的发展趋势:芯片领域以龙芯、飞腾、鲲鹏、海光、兆芯、申威等为代表的主流芯片;操作系统领域以麒麟、UOS为代表的主流操作系统。在此背景下,众多科技企业均开始积极布局信创产业。

我国CPU市场发展,当前X86占据我国CPU市场主导地位,市场份额基本被Intel及AMD俩家企业垄断。亿欧网指出,”目前,中国信创产业已形成集群式发展模式,一般由政府主导,科技企业牵头组成产业联盟,并打造信创产业园区及产业基地。各地区结合实际经济发展状况及需求,进一步设立了众多具备区域特色的信创产业园区及基地,整体发展态势良好”。笔者预测未来信创产业必将整合,以更为集中的力量打造核心国产化产业生态,这将大大降低信创云产业生态中安全厂商的适配成本。

7、端点攻击复杂性持续增长,将炒热XDR市场

据360网络安全响应中心发布的《2021年上半年全球高级持续性威胁(APT)研究报告》可知,2021年全球APT攻击态势:(1)攻击者利用“社会工程学”进行网络攻击已经呈现上升甚至泛滥趋势。(2)勒索攻击APT化,高级威胁技术、定向攻击手段层出不穷。(3)0day漏洞攻击频发(基于Google Project Zero项目统计,今年上半年利用的漏洞数量不仅已超2020年全年的总量,而且达到历史新高)。

为了应对高级攻击,在威胁搜寻时,关联来自端点和其他地方的数据变得至关重要,因此, Gartner今年将XDR列入端点安全技术成熟度曲线也是理所应当。

8、企业选择VDI/DaaS解决方案时,需同时考虑其带来的安全问题

全球COVID-19大流行已经成为虚拟桌面基础设施(VDI)和桌面即服务(DaaS)使用增加的催化剂。2021年10月,盖洛普(Gallup)对美国内部员工进行的最新调查得出了一个明确的标题:“远程工作持续存在,而且趋势是永久性的。”该调查公司的结论是基于45%的员工继续远程办公(25%是全职,20%是兼职)。同时,Gartner的分析认为,DaaS高速增长的首要原因之一是远程办公需求增加。

Gartner在今年的《Hype Cycle for Endpoint Security, 2021》中,将VDI/DaaS Endpoint Security纳入炒作周期,并定义为:“VDI/DaaS endpoint security covers security software that works in-line with or plugs into VDI and DaaS solutions, and provides additional security — such as session-hijacking protection, screen-capturing prevention and biometric user authentication.”

从定义来看,企业使用VDI/DaaS解决方案时,往往会带入额外的安全性考虑。如虚拟会话劫持、屏幕捕获造成的数据泄露、特权用户账户失陷等。笔者提醒企业安全建设者,在享受VDI/DaaS帮助企业解决远程员工、供应商和承包商能够从BYOPC设备访问公司应用和数据,实现业务连续性增长的同时,要加强对应的安全防护。

9、构建一体化安全能力&注重用户体验,是零信任落地有效的催化剂

零信任是一种安全理念,并非一个产品或者技术。企业建设零信任应该充分利用技术提供商及其生态合作的整体方案能力,在零信任架构中尽可能融入企业现有安全产品(准入控制、数据安全等能力),最大限度发挥现有安全产品作用。为有效应对不断涌现的新兴威胁,企业还应持续不断的向零信任架构中注入新鲜血液。

此外,在C端产品市场逐渐饱和的情况下,互联网大厂纷纷将资本转移至B端市场。“B端C化”的设计理念也应运而生。在笔者看来“B端C化”可以理解为:以C端的设计理念和模式来设计B端产品。这就意味着无论是市场的推动,还是出于买家装点企业形象,市场对B端产品审美进入2.0时代。

因为,企业安全建设者在建设零信任时,把握上述俩点,将有效促进零信任落地。

10、UEM+UES将是端点安全发展方向

实际应用中,许多中大型企业CISO为应对日益复杂的网络攻击,往往会采用大量不同厂商的安全设备。据2020年Gartner发表的CISO使用情况调查报告可知:78%的CISO同时使用超过16种来自不同安全厂商的安全产品,12%的CISO会同时使用超过46个安全产品。这将直接导致运维成本增加,效果却甚微。

Unified endpoint management(UEM)通过以员工为中心的运行PC端、移动端的端点设备视图,为计算机和移动设备提供基于有代理和无代理的管理,其强调通过整合不同的安全工具并简化跨设备和跨操作系统的流程来简化端点管理。

远程办公的流行,企业需要支持用户拥有的任何设备能快速访问业务,这导致了使用多个系统的安全挑战。继2020年,Gartner在端点安全技术成熟曲线中提出UES后,2021年继续将UES的最新概念纳入炒作周期。

Unified endpoint security(UES)将端点保护平台(EPP)、威胁检测与响应(EDR)、移动威胁防御(MTD)功能单一的控制台整合到一个统一的平台下,从而提供更好的安全概况和更简单的管理。采用UES企业将获得两点好处:(1)将传统笔记本电脑和台式机的威胁预防、检测、事件响应能力扩展到移动设备。(2)在单个控制台即可统一端点安全和管理工作流。

随着党政头部客户安全建设的成熟,未来能够提供一体化解决方案的厂商更受青睐。UEM与UES的融合发展,将是端点安全厂商的新方向。

]]>
中国台湾一元宇宙公司服务器被攻击,造成500万元新台币损失 Sun, 23 Jan 2022 21:19:48 +0800 据台媒报道,台北市一名具有电脑工程师背景的54岁彭某,涉嫌于2021年10月间骇入国内知名虚拟实境公司“爱实境”后台系统,使下游客户的精品虚拟商店、展间商品遭置换,甚至以僵尸网路进行DDoS(分散式阻断服务)攻击,瘫痪该公司服务器,导致消费者无法浏览虚拟商店,造成营运成本损失约新台币500万元。

提供VR线上编辑平台来创建元宇宙空间的爱实境公司,其客户包含知名精品等50家国内外公司,但2021年10月间却突传服务异常事件。刑事局查出,约在半年前失业的彭某,疑与该公司发生嫌隙,他为证明自己的专业能力,竟四度以隐藏网路位址方式侵入该公司资料库,致使购买VR商店服务的下游客户端呈现黑屏,让消费者无法浏览。

警方表示,彭某也利用专业技术,将该公司客户在VR商店中展售的虚拟商品置换成其他品牌,甚至以僵尸网路发动DDoS攻击,致使该公司服务器过载而无法正常连线运作,初步估计约造成新台币500万元的营运成本损失。

刑事局掌握相关事证后,于2021年11月3日前往彭某位于台北市中山区的住处搜索,现场查扣电脑主机、笔记型电脑、平板电脑、手机3支等赃证物,并将彭某带回侦讯;彭某向警方坦承犯行不讳。警讯后,依涉犯妨害电脑使用罪等罪嫌,移送台北地检署侦办。

爱实境则声明,云端服务日前出现数次不稳定现象,除正常流量快速成长外,也发现有不明人士试图攻击公司服务器,因此立即向刑事警察局报案;此事件对营业秘密并未造成任何影响,未来将持续提升资安防范。

]]>
防止“零元购” 苹果申请门店设备锁专利:更加稳固 Sun, 23 Jan 2022 21:19:48 +0800 IT之家 1月12日消息,据 MacRumors 报道,苹果正在为苹果零售店 Apple Store 探索新的安全措施,以防止“零元购”行为。

在专利公司向美国专利商标局提交的一项名为“产品显示系统”的专利中,苹果详细介绍了一些用于保护 iPhone、iPad 和 Apple Watch 的机械系统。

该专利涉及在 Apple Store 的大桌子上固定一个“固定器主体”和“展示杆”,这些桌子具有一个“固定器支架”来固定设备。某些设备可能具有连接到支架的可伸缩“固定缆线”,以提供电力并允许客户拿起设备。放置在显示杆顶部的磁铁可确保设备返回到预定位置。

为了保持安全性和美观性,在安装系统中“固定器的紧固件可能不可见或不可触及”。与目前在 Apple Store 中用于固定设备的系绳相比,杆和支架的重量要大得多,旨在使盗窃者更难以分离设备,从而阻止抢劫企图。

IT之家了解到,苹果已经尝试在其部分 Apple Store 中移除安全系绳,但该公司近年来遭受了大量的抢劫事件。苹果设备在从商店被盗时会自动进入丢失模式,使设备无法使用,但该文件表明,更基本的抢劫预防仍然是该公司正在进行的研究领域。

]]>
男子嫌网速慢烧毁电信光交箱 致通讯中断50小时 Sun, 23 Jan 2022 21:19:48 +0800 男子嫌网速慢烧毁电信光交箱,这操作也是没sei了,当然他也要为这样的行为买单。

近日,广西一男子因嫌网速慢烧毁电信光交箱,犯破坏公用电信设施罪获刑7年。2021年6月22日,岑溪男子蓝某在网吧上网,因感觉网速太差萌生破坏电信设备的想法。

随后蓝某用打火机点燃随身携带的纸巾,将路口处一个电信光交箱烧毁,造成岑溪市政府、人民医院及附近居民用户共3937户,通讯中断28至50小时。

一审法院依法作出上述判决,蓝某不服上诉,二审维持原判。对于上述行为,专家也是表示,行为人有故意破坏广播电视设施、公用电信设施,危害公共安全的行为就直接构成犯罪。

所以大家一定要爱护身边的公用电信设施....

]]>
在线预订服务平台 FlexBooker超370万账户数据遭泄露 Sun, 23 Jan 2022 21:19:48 +0800 据securityaffairs消息,在线预订服务平台 FlexBooker披露数据泄露事件,超370万账户遭到黑客入侵,被盗数据信息在暗网被出售。

FlexBooker 是一个自助在线日程排期平台,允许用户行程与日历同步。

攻击发生在圣诞节前夕,该事件由一个自称为 Uawrongteam 的组织发起,他们发布了包含身份证、驾照、照片的档案和文件链接。威胁者声称被盗的数据库包含客户信息,包括姓名、电子邮件、电话号码、散列密码和密码盐。

FlexBooker已经通知当地政府,并向受影响的客户发送了一份数据泄露通知。FlexBooker 建议用户保持警惕,并审查账户报表和信用报告中的可疑交易。根据该通知,造成此次攻击事件的原因是攻击者破坏了该公司的亚马逊云存储系统。

数据泄露查询网站 Have I Been Pwned 报告称,有 3,756,794 个帐户在攻击中遭到破坏。

“2021 年 12 月,在线预订服务 FlexBooker 遭遇数据泄露,暴露了 370 万个账户。这些数据包括电子邮件地址、姓名、电话号码以及少数帐户的密码哈希和部分信用卡数据。这些数据被发现在一个流行的黑客论坛上被积极交易。” Have I Been Pwned 称,“FlexBooker已经确定该漏洞来自他们AWS基础设施中一个被泄露的账户。”

根据Uawrongteam 公布的窃取数据,澳大利亚赛车媒体Racing.com,以及案件管理软件公司 rediCASE均在此次攻击事件中受到影响。

]]>
“脆弱”的车联网 Sun, 23 Jan 2022 21:19:48 +0800 随着上路的新能源车越来越多,关于车联网的讨论也越来越热,“车联网”、“智能驾驶”等词语正出现在新能源汽车厂商的宣传之中。

与之相匹配的是越来越长的“三联屏”,或是一整块可转动、可联网的“iPad”,一看就和传统的内燃机有着鲜明的差别,以及充满了所谓的“科技感”。

从传统内燃机到新能源,车联网仿佛一夜之间就出现了,一个不逊于物联网的庞大市场也正缓缓浮出水面。

其实,车联网的概念源于物联网,即车辆物联网,是以行驶中的车辆为信息感知对象,借助新一代信息通信技术,实现车与X(即车与车、人、路、服务平台)之间的网络连接。车联网能够提升车辆整体的智能驾驶水平,为用户提供安全、舒适、智能、高效的驾驶感受与交通服务,同旪提高交通运行效率,提升社会交通服务的智能化水平。

伴随着新能源汽车的蓬勃发展和互联网+空间的延伸,以及新一代信息通信技术的发展,车联网从简单的车机系统逐步成长为汽车和外界之间的网络连接平台和大脑。数字化、网联化、智能化的发展趋势已经成为未来汽车业转型升级的方向,也让智能化车辆驾驶和决策成为可能。

此外,5G、人工智能、大数据中心、工业互联网等新兴技术为车联网的腾飞注入了新的活力,短短几年内取得了翻天覆地的变化,车联网已经成为汽车产业下一轮转型升级的战略制高点。

如今,车联网智能化、平台化、生活化特征越来越明显,“开放融合”的车联网生态规模已经显现。但在笔者看来,新生的车联网正处于前所未有的不安全之中,其脆弱性一览无余。

车联网的萌芽

车联网的起源比我们想象中要早的多。

早在2G时代,车联网应用就已经出现,但是由于信号覆盖面、稳定性和数据传输速度的限制,那时的车联网还仅限于车辆和车企之间的连接,在信息采集方面几乎没有任何实质性作用,实际上颇为鸡肋。

但随着3/4G网络的出现,数据传输的速度日益上升,再加上新能源车的兴起,车联网才彻底改变了这一现象。

2012年,特斯拉Model S上市,全球新能源汽车就此拉开序幕。也许很多人认为特斯拉的革新点是新能源,但事实上,车联网和智能化才是特斯拉弯道超车的杀手锏,以技术引领用户需求才是其超越传统车企的利器。

此后,新能源造车新势力开始发力,越来越多的技术被赋能在汽车上,和传统车企完全不同的理念也让他们有了超车的资本。

在资本和科技的加持下,各大造车新势力纷纷开始了各自的表演,各类传感器、芯片和配套的车联网系统(包括MBUX、GKUI、小度车载OS、斑马智行等)纷纷配置到汽车上,新能源汽车的科技感和传统汽车拉开了距离,给用户提供了更加舒适的驾驶体验。

这和最早期的车联网有了质的区别,此时用户可以完全不依赖手机,而是直接通过车机系统、互联网完成了和外部的连接与访问。

它的另外一个特征是,车联网产生的数据大幅增长,并成为服务用户的载体。反过来,车企也可以通过数据分析以生产处真正满足消费者喜好的汽车,在辅助驾驶,数字化服务上给予用户更完善的用户体验。

当然,现在的它还仅仅是车联网最初级的形态,距离真正的车联网形态还有很长的一段路要走。但在成长的路上,车联网还面临一个重大的难点:如何解决车联网的安全问题?

脆弱的车联网

仅从近年的增速来看,车联网产业可谓风头正盛,但是在车联网的繁荣之下,隐藏着巨大且致命的威胁——安全性脆弱无比。

在美国旧金山Moscone Center举行的安全盛会RSAC 2020上,梅赛德斯奔驰E级轿车被曝存在19个关键漏洞,通过利用多个漏洞形成的攻击链,可实现对梅赛德斯-奔驰的非接触式控制,例如未授权的远程解锁车门、启动引擎等操作。据统计,这些漏洞会影响到在中国的200多万辆梅赛德斯-奔驰智能汽车。

2020年,一名黑客成功地为特斯拉汽车,开发了一种新的密钥克隆“中继攻击”(Relay Attack),并在特斯拉Model X电动汽车上进行了演示。黑客声称,只需大约90秒的时间,即可进入特斯拉汽车,然后还需花费大概1分钟左右的时间,他就可以注册自己的汽车钥匙,然后把车开走。

在2021年举办的第11届中国汽车论坛上,华为智能汽车解决方案BU首席技术官蔡建永表示,“在过去5年时间里,智能汽车被黑客攻击的次数增长了20倍,其中有27.6%的攻击涉及车辆控制。”

而据《证券日报》记者不完全统计,2019年,黑客通过入侵共享汽车App、改写程序和数据的方式,盗走包含奔驰CLA、GLA小型SUV、Smartfortwo微型车在内的100多辆汽车。相比于以盗窃汽车为目的的黑客攻击,智能汽车在网络安全和行驶过程中遭到黑客攻击带来的危险性显然更为严重。

知名汽车网络安全公司UpstreamSecurity发布的2020年《汽车网络安全报告》显示,自2016年至2020年1月份,汽车网络安全事件增长了605%,仅2019年一年就增长1倍以上。按照目前的发展趋势,随着汽车联网率的不断提升,预计未来此类安全问题将更加突出。

我们不得不开始正视一个问题,即车联网安全的发展速度已经远远落后于车联网产业的发展,当车企还在向着更好用、更方便、更智能的方向上努力时,却忽视了车联网首先得更安全。和互联网、物联网相比,车联网不安全所造成危害远比它们更严重,轻则被锁在车内,重则直接车毁人亡。

例如,在牵引力控制系统里安装一个攻击,会造成车辆失去控制等危险。如果攻击者的目标是自适应巡航系统,将会导致汽车不会按驾驶者预期的那样停止。

又如,CAN总线主要应用之一是支持主动安全系统的通信,恶意攻击者若在CAN总线中注入错误帧,将会让主动安全系统失灵。

此外,恶意攻击者勒索财物也是一个不得不防的事情。恶意攻击者若在CAN总线中某一目标帧中设置攻击,这将导致驾驶者无法控制节气门的位置,从而不能让汽车移动。并在车载娱乐系统屏幕上显示勒索消息,车主若想重新获取汽车操控权,则必须付出赎金。

如此严重的后果,细细思量令人不寒而栗。

一、车联网硬件安全薄弱

前文已经提及,和传统汽车相比,车联网采用了传感器、处理器等大量的设备,但是其硬件安全远没有我们想象的那么安全。从汽车钥匙、车载娱乐系统到远程信息处理器,可逆向的点多如牛毛,通过硬件逆向而入侵系统的事件比比皆是。

就拿关键的汽车钥匙来说,早在2007年,以色列和比利时的几个研究者找到的一种破解滚动码的方法。它需要先花大约一个小时的时间对钥匙进行65536次试探,解出64bit中的36个bit,然后再花几秒钟就可以完全破解钥匙的滚动码,可以轻松进入汽车。

2015年,两名美国黑客成功侵入一辆正在行驶的JEEP自由光SUV的CAN总线网络系统,向发动机、变速箱、制动、转向等系统发送错误指令,最终使这辆车开翻到马路边的斜坡下。这次攻击导致菲亚特克莱斯勒汽车公司大规模召回140万辆汽车并对汽车软硬件进行全面升级。

2017 年,三位安全研究人员发现,宝马、福特、英菲尼迪以及NISSAN汽车中使用的远程信息处理控制单元(简称TCU)存在安全漏洞。TCU其实是一种2G调制解调器,现在的汽车普遍用它来传输数据。利用这个模块汽车之间可以互相通讯,还可以用web控制台和手机app来远程控制汽车。

目前,大量的物联网设备的核心基本上由两部分组成,一是MCU或SoC,完成设备的基本数字化和控制能力,二是通讯模组,实现WIFI、蓝牙、ZigBee或以太网等连接能力。绝大多数设备都没有专用的安全芯片,因此,设备的安全性完全靠MCU或SoC和通讯模组的软件系统来保证,其效果可想而知。

此外,车联网设备种类多样,厂商的安全意识薄弱,大多关注功能叠加,较少有安全防护措施。同时,设备上使用的操作系统,大多基于开源的操作系统改编过来,厂商依赖于这些操作系统本身的进步来增强安全性,通常不会积极主动提供升级的能力。

二、软件安全依旧是大问题

在这个软件定义一切的时代,车联网想要为用户提供更好的服务就无法离开软件。时至今日,软件安全已经成为车联网最严重的威胁。

资料显示,一辆智能汽车的车载智能设备数量不小于100台,所有程序代码不小于5000万行,因此整个智能驾驶代码将达2亿多行。

Karamba Security公司首席执行官阿米·多坦曾表示:“每1800行代码就存在一些错误,其中80%是安全漏洞。一辆联网汽车和一辆自动驾驶汽车的潜在安全漏洞数目分别为5000和15000。其中,自动驾驶汽车的代码可能超过3亿行,这大约是拥有1500万行代码的波音787梦幻客机的20倍。可以说,自动驾驶汽车是目前最复杂的运输平台。”

众所周知,代码数量越是庞大,软件越是复杂,那么其中包含的漏洞就越多,由此被攻击的概率也就越高。

以系能源车代表特斯拉为例。

2016年9月,腾讯科恩实验室破解了特斯拉的系统,并向外界展示了他们入侵特斯拉Model S的全过程。内容包括在停车的过程中控制汽车遮阳板,信号灯,座椅,显示屏,门锁,挡风玻璃雨刷器,反光镜,汽车后备箱,甚至在行车过程中控制刹车。

在2018年Black Hat USA大会上,科恩实验室发表相关议题,面向全球首次公布了针对特斯拉Autopilot系统的远程无接触攻击。

2019年,科恩实验室再次发文称,在特斯拉Model S(版本2018.6.1)发现的已知漏洞可获取Autopilot控制权,并通过实验证明,即使Autopilot系统没有被车主主动开启,也可利用Autopilot功能实现远程操控方向盘,甚至可以通过攻击其车道检测系统,让行驶中的车辆迷惑从而驶进反向车道。

几乎每一年,特斯拉都要被腾讯科恩实验室拉出来暴打一番,究其原因,软件方面存在漏洞已经成为新能源汽车的硬伤,再加上开源软件的大规模使用,更让车联网软件安全雪上加霜。

三、数据安全始终难以解决

为有效确保智能网联汽车能够适应不同的场景、路况以提供便利、安全的服务,整车厂商、智能汽车制造商、服务提供商等会对各类数据进行采集和使用。

车联网实现的核心标志之一就是大规模的数据流通,然而,车联网数据安全问题呈现出越来越严峻的趋势。

工信部车联网动态监测情况显示,2020 年以来针对整车企业、车联网信息服务提供商等相关企业和平台的恶意攻击,达到 280 万余次,频次之高令人惊讶。

2015 年,某车企联网服务被曝存在信息泄露问题并被迫召回 220 万辆汽车,因该服务云平台在与车辆端进行通信时未采取有效加密手段,导致传输的车辆识别码 VIN、控制指令等信息可被攻击者搭建的伪基站截获,进而攻击者可利用相关指令信息对汽车进行恶意控制。

2020 年,一名国外的黑客发现,某车型被技术销毁的 MCU 媒体控制单元上仍储存着包括手机通讯列表、通话记录、Wi-Fi 密码、家庭住址以及导航记录等在内的大量的客户个人信息,且该 MCU 在国外电商网站上自由交易,价格低廉。

车联网数据安全问题之所以难以解决,究其原因是车联网数据全生命周期都存在不同程度的威胁,包括采集、传输、存储、使用、迁移、销毁等多个阶段都存在不同程度的安全风险。

例如在数据采集阶段,车联网数据主要面临着因过度采集引起的隐私泄露风险,以及采集设备故障或安全机制缺陷导致的数据投毒风险。在数据传输阶段,车联网数据安全所面临的风险可分为内部传输风险和外部传输风险。

车联网安全任重道远

随着市场需求不断释放,政策红利源源不断,车联网产业的未来几乎清晰可见。车联网是极富创新与融合的产业形态,集成了汽车、电子、信息通信、交通等新型技术,呈现出明显的数字化、网联化、智能化的发展趋势,已成为未来汽车业转型升级的方向。

正因为如此,我国开始不断增强车联网安全顶层设计。5月 12 日,国家互联网信息办公室发布《汽车数据安全管理若干规定(征求意见稿)》,旨在加强个人信息和重要数据保护,规范汽车数据处理活动;6 月 22 日,工业和信息化部发布《关于加强车联网(智能网联汽车)网络安全工作的通知(征求意见稿)》,旨在进一步提升车联网的安全性,促进产业规范健康发展。

一个产业在发展之初甩掉多余的包袱,以求获得更快的速度,这无可厚非。但随着入局者越来越多,车联网产业图谱已经逐渐明朗,此时,谁能做的更好、更安全,谁就能坚持到最后。

和快速奔跑的车联网产业相比,车联网安全显然是一个水磨工夫的活,车企必须学会慢下来,沉下去,方能真正解决车联网的安全问题。

也许到了那天,我们才能真正体会到真正的车联网,而不是车机连了网。

]]>
新型智慧城市网络安全协同防护框架研究 Sun, 23 Jan 2022 21:19:48 +0800 智慧城市自提出以来,在国际上引起广泛关注,全球都在加快推进智慧城市的发展。我国从党的十九大召开到现在,进入了新型智慧城市建设的全面发展期。随着新一代信息技术的发展,各地纷纷加速新型智慧城市落地,建设成果逐步向区县和农村延伸。新型智慧城市是新一代信息技术与城市现代化的深度融合与迭代演进,主要特征表现为泛在感知、高效传输、充分融合、协同运作、智能决策、精准防控,实现城市感知智能化、管理精准化、服务便捷化。新型智慧城市已经成为推进全球城镇化、提升城市治理水平、破解大城市病、提高公共服务质量、发展数字经济的战略选择。

随着云计算、物联网、大数据、5G等技术的引入,新型智慧城市发展面临机遇的同时,也存在网络安全风险,统筹推进现代城市发展的智慧化、安全化成为新型智慧城市网络安全保障的一个重要挑战。本文通过对新型智慧城市网络安全进行风险分析,提出构建包含指标体系、测评体系和技术体系的新型智慧城市网络安全协同防护框架,为新型智慧城市网络安全协同防护提供理论和方法参考,切实加强智慧城市网络安全防御能力。 

1 新型智慧城市网络安全协同防护风险分析

新一代信息技术的日新月异使得城市发展从信息化向更高的智慧化阶段靠拢,世界主要发达国家均已将新型智慧城市战略作为国家战略发展的一个重要组成部分。近年来,我国新型智慧城市建设取得了积极进展,但也面临严峻的网络安全风险和挑战,具体表现为面对网络安全威胁,从管理、技术、建设与运营方面的网络安全协同防护能力不能满足智慧城市网络安全协同防护要求:一是城市关键信息基础设施孤立分散,导致新型智慧城市网络安全保护各管理主体联动能力较弱、安全职责分担不明确,难以快速响应大规模、高强度的突发事件。二是云计算、大数据、物联网、5G、人工智能、区块链等新技术的快速发展,在促进智慧城市发展的同时也带来新的安全风险;我国智慧城市关键信息基础设施安全保护尚未完全形成自主可控能力,关键核心技术和芯片仍然受制于西方发达国家,自主创新不足、对外依存度高,难以应对智慧城市新型网络攻击。三是智慧城市网络系统复杂、分布式部署,多方参与安全运维,运维过程也存在灾难恢复预案不恰当、系统漏洞修复不及时、运维安全第三方责任划分不明、应急响应不及时、违规操作等协同防护安全风险。

1.1 新型智慧城市网络安全协同防护管理风险

智慧城市网络安全涉及电信、金融、交通、能源等多个重要领域,关键信息基础设施是城市运行的神经中枢,是智慧城市网络安全的重中之重,需要通过加强企业、政府管理部门和行业的协同形成管理合力。张大江等人指出,网络安全体系顶层设计和总体规划策略的缺失将导致在智慧城市中无法建立跨部门协调处理和统一管理以及网络安全评估和策略改进机制,不完善的管理监督机制也使得智慧城市安全管理、建设和运营实体职责不明确,各单位网络安全水平差异大,导致安全风险。郭骅等人认为,新型智慧城市在权责、边界、管理、目标等方面存在网络安全管理挑战。信息权属模糊使得新型智慧城市各管理主体在进行管理时存在权责不清的情况,从而在客观上导致网络安全管理规则的混乱。从管理目标来看,信息权属应从属于信息应用目标,且不同主体之间应协调统一,否则极易成为新型智慧城市的安全威胁。陆峰认为,城市社会治理、民生服务等需要加强协同联动,如果业务不衔接,易出现监管漏洞,影响智慧城市安全。连芷萱等人指出,在社会安全领域,海量数据虽然可以提供强有力的数据支持,但大量舆情数据容易导致不安全因素的快速传播,从而带来安全隐患,需要建立智慧城市社会安全风险防控与治理机制,以加强智慧城市网络安全协同防护的管理。

1.2新型智慧城市网络安全协同防护技术风险

在智慧技术充分运用于城市发展的过程中,人们常常秉持“技术理性至上”的理念对智慧技术进行思考,而其中的技术风险则被有意或无意地忽视或掩盖了。新型智慧城市的发展过程中,新一代信息技术的发展所造成的安全风险已成为不容忽视的问题。王润众指出,新型智慧城市发展所必须的物联网、云计算和大数据这三项技术支撑,恰恰就是新型智慧城市所面对的技术风险的源头所在。在新型智慧城市技术参考模型中,各个层面都存在安全隐患。在物联感知层,由于感知设备数量巨大、分类众多,且加密运算和存储能力有限等因素,存在信息泄露,数据被窃听、非法劫持和篡改的风险;在网络通信层,由于网络传输协议存在缺陷和漏洞、网络深度融合使病毒容易转移和扩散、关键信息基础设施不完备等因素,存在被攻击者攻击或拒绝服务的风险;在计算与存储层,由于计算资源基础设施缺乏物理防护、云平台界面和API接口可能错误等因素,存在云端数据泄露、业务中断、恶意代码植入等风险;在数据及服务融合层,由于政府部门的数据开放程度不够,数据来源真实性、时效性和准确性缺少安全保证,非结构化数据信息化程度不足等因素,存在恶意关联、信息泄露、服务瘫痪等风险;在智慧应用层,应用系统面临病毒、后门、木马、漏洞以及恶意软件安全风险,导致存在数据泄露、被篡改以及远程控制风险,甚至导致威胁通过网络向系统扩散。王青娥等人指出,基础设施作为新型智慧城市建设关键性和基础性的部分,在面临安全风险时首当其冲,且在目前互联互通的网络环境中,相较于传统的网络环境,遭受攻击的破坏力更大。

加强技术协同防护,加强自主创新,联合多方共筑网络安全是智慧城市建设和发展过程中必须考虑的关键性问题。王惠莅指出,目前关于智慧城市建设的标准是不够的,还需围绕大数据、云计算、区块链、人工智能等新技术继续建立相关安全标准,以进一步完善新型智慧城市安全保障体系。文献指出,新技术新业务带来新的网络安全挑战,面对复杂严峻的网络安全威胁,应多方协同,共建网络安全纵深防御体系。

1.3 新型智慧城市网络安全协同防护建设与运营风险

新型智慧城市万物互联,智能终端和网络用户数量的增加、数据来源的广泛以及数据的多样化和数据结构的复杂化,使得各种承载城市运行数据的关键信息基础设施难于维护,进而产生网络安全建设及运营风险。同时,关键信息基础设施各种软硬件系统的漏洞也难以避免黑客和病毒对其进行利用攻击。李贵鹏等人指出,智慧城市网络安全运营平台如果运营效率低、专业性不高,将给智慧城市网络安全运营平台带来安全风险。新型智慧城市的网络数据包括城市基础设施数据,人口、经济、公共服务数据等,这些数据分布存储在云计算平台、大数据挖掘等业务支撑系统中。李洋等人指出,智慧城市信息基础设施以云计算为中心的方式向集约化发展,其资源高度共享加大了安全风险,运行过程中容易因系统脆弱性、共享技术漏洞、恶意内部人员易遭受攻击等原因导致API篡改、账户劫持、DDoS攻击、 APT攻击、数据泄露与丢失。构建智慧城市纵深安全防御体系需从技术、人、运维3方面入手搭建。针对智慧城市关键信息基础设施,刘贤刚等人指出,运维阶段灾难恢复预案不恰当、安全责任划分制度不明确、缺乏对第三方业务的运维和安全管理等都会给业务运维带来风险。

2 新型智慧城市网络安全协同防护框架研究

基于上述分析,亟需建立新型智慧城市网络安全协同防护框架,明确新型智慧城市网络安全协同防护目标、机制、评价指标、评价方法、技术等,提升智慧城市安全防御能力。新型智慧城市网络安全协同防护框架如图1所示:

2.1 目的

新型智慧城市网络安全协同防护的主要目的是建立针对智慧城市关键信息基础设施全局的、协同的安全防护机制,从组织、管理和技术等方面加强对新型智慧城市关键信息基础设施的安全协同防护,建立相应的安全协同防护指标和评价方法,不断提升新型智慧城市关键信息基础设施安全防护能力,确保智慧政务、智慧交通、智慧制造、智慧电网、智慧教育、智慧农业等智慧产业应用在智慧城市关键信息基础设施上的正常运行,推动城市新型管理和服务智慧化,提升城市运行管理和公共服务水平,提升城市居民幸福感和满意度。

2.2 指标体系

新型智慧城市网络安全协同防护指标体系主要用于评价智慧城市关键信息基础设施安全协同防护水平,为智慧城市网络安全态势研判和宏观决策提供支持,为智慧城市关键信息基础设施安全协同防护工作的改进提供支持。新型智慧城市网络安全协同防护指标体系包括战略保障、管理组织保障、业务运行安全、技术防护安全和供应链安全5个方面,可实现对新型智慧城市网络安全协同防护的静态和动态评价,并为智慧城市关键信息基础设施安全协同防护的测量与评价提供指标基础。

(1)战略保障

战略保障相关指标主要用于评价新型智慧城市安全保障相关规划的制定情况和落实情况等,包括协同防护战略规划指标、制度建设指标、安全防护策略指标等。

(2)管理组织保障

管理组织保障相关指标主要用于评价与新型智慧城市网络安全协同防护相关的组织机构与责任制建设情况、标准制定与落实情况、专业人才队伍保障情况、资金投入保障情况等,包括协同防护管理组织指标、标准指标、人才储备指标、安全关键岗位指标、协同防护管理培训指标等。

(3)业务运行安全

业务运行相关指标主要用于评价新型智慧城市关键信息基础设施业务运行的安全协同防护能力,包括关键信息基础设施业务安全协同防护指标、安全监测指标、应急处置指标、协同防御指标等。

(4)技术防护安全

技术防护相关指标主要用于评价新型智慧城市网络安全协同防护的技术防范能力,包括智慧城市关键信息基础设施物联感知安全指标、信息通信网络安全指标,智慧城市服务融合安全指标,智慧城市应用安全指标等。

(5)供应链安全

供应链安全相关指标主要针对智慧城市关键信息基础设施恶意篡改、假冒伪劣、信息泄露、管理脆弱性以及供应链中断等风险,评价关键信息基础设施供应链安全协同防护能力,重点在智慧城市关键信息基础设施建设和运营期,包括产品供应链安全指标、关键元器件供应链安全指标、软件供应链安全指标等。

2.3 测评体系

新型智慧城市网络安全协同防护测评体系主要从多层次、多粒度、开放性、可定制的角度出发,引入多维度测量与评价策略,科学评估智慧城市关键信息基础设施安全协同防护能力。基于新型智慧城市网络安全协同防护指标体系设计新型智慧城市网络安全协同防护测量与评价方法,切实预防和减少新型智慧城市网络安全风险和事件的发生,为新型智慧城市网络安全协同防护提供有力抓手和落地工具。

2.3.1 评价准备

无论是从国家总体安全、数字经济发展、国计民生等宏观方面,还是从企业发展和人民生活方面,新型智慧城市网络安全协同防护都非常重要。只有理清不同主体对网络安全协同防护的要求,才能更准确地进行网络安全协同防护状况分析,从法规协同、政策协同、组织协同、标准协同、技术协同等维度形成网络安全协同防护测评要求。

2.3.2 测量方法研究

科学、可行、有效的网络安全测量方法对于新型智慧城市网络安全协同防护具有重要的作用。首先,全面梳理智慧城市关键信息基础设施安全协同防护测量要求;然后,提出基于法规、政策、组织、标准、管理、技术协同的新型智慧城市协同防护测量方法;最后,建立安全协同防护测评过程,实验验证所提算法的可行性、有效性、客观性。

2.3.3 评价模型

基于新型智慧城市网络安全协同防护指标体系对新型智慧城市网络安全协同防护进行综合评价,既可以获悉新型智慧城市网络安全协同防护所处的水平,从而发现优势和短板,也是对新型智慧城市网络安全协同防护指标体系的验证。通过试验模拟测算新型智慧城市网络安全协同防护效果,对综合结果进行分析,提出未来改进的方向。

2.4 技术体系

针对新型智慧城市关键信息基础设施层、数据及服务融合层和智慧应用层存在的安全风险,在新型智慧城市网络安全协同防护框架中采用各种安全协同防护技术来保障,实现智慧城市关键信息基础设施跨层级、跨行业、跨地域、跨系统、跨业务的预警、保护、检测、响应及恢复功能。

2.4.1 关键信息基础设施安全

新型智慧城市关键信息基础设施层主要包含物联感知安全、信息通信网络安全和计算存储安全3个方面。在物联感知安全方面,通过各种技术手段实现对设备的权限管理,确保设备和网络安全,从而获取并提供准确数据。在信息通信网络安全方面,通过各种通信技术保障多网融合的智慧城市网络设施和网络通信。在计算存储安全方面,实现对智慧城市关键信息基础设施和的安全保障,确保对存储数据的安全防护。

2.4.2 数据及服务融合安全

数据及服务融合层以新型智慧城市业务数据和应用服务的安全为核心,确保数据真实、有效且可用,确保数据控制权界限清晰,确保数据共享前进行了数据脱敏处理,确保数据在访问过程中无信息泄露风险,确保数据在开放共享过程中得到合法利用。

2.4.3 智慧应用安全

智慧应用层需要在智慧政务、智慧交通、智慧制造、智慧电网、智慧教育、智慧农业等智慧应用中做好业务协同防护。例如,清晰地定义网络安全协同防护的角色和职责,对应用系统实施严格的身份管理和访问控制,做到基于角色的访问控制,定期检测应用软件的漏洞或缺陷,避免在各种智慧应用中出现数据或信息的泄露、篡改、重放、复制等。

3 结束语

新型智慧城市网络安全协同防护框架中的指标体系、测评体系和技术体系相互作用、相互统一、层层衔接。针对新型智慧城市网络安全协同防护框架的研究有利于识别新型智慧城市网络安全风险,完善智慧城市网络安全协同防护理论,推动智慧城市跨层级、跨区域、跨行业、跨部门、跨业务的安全统筹和协调,实现智慧城市网络安全组织、管理、技术的协同防护,强化智慧城市关键信息基础设施的安全协同能力,提升智慧城市网络安全协同防护的效果。

]]>
《安联智库-网安周报》2022-01-09 Sun, 23 Jan 2022 21:19:48 +0800

1、预计 2025 年,反病毒软件市场规模将达到 45.4 亿美元

HelpnetSecurity 网站披露,2020 年全球防病毒软件市场规模约 38 亿美元,预计到 2021 年将达到 39.2亿美元,复合年增长率(CAGR)为 3.2%。另外,根据 ResearchAndMarkets 的数据显示,预计在 2025年市场规模会达到 45.4 亿美元,年复合增长率为 3.8%。
杀毒软件市场由实体(组织、独资企业和合伙企业)销售的杀毒软件组成,这些软件主要通过扫描、检测和删除病毒来保护计算机免受病毒侵害。现阶段,反病毒软件能够监控大部分程序的活动,对任何有问题行为进行标记,之后进行清除。大多数杀毒软件在后台运行,对病毒攻击提供实时保护。
云端防病毒软件越来越受欢迎
云杀毒软件或基于云的杀毒软件是一种将工作转移到云服务器的解决方案,不同于传统的使用杀毒软件套件,可以让计算机免于陷入困境。云杀毒软件主要筛选能够传输数据的恶意软件来保护个人电脑、笔记本电脑和移动设备。
根据印度软件公司 Tracxn Technologies Limited 发布的 2021 报告显示,Malwarebytes、Avast、熊猫安全、奇虎360科技、AVG科技等公司都在使用基于云的防病毒解决方案。
2、沃尔玛违反网络安全法被行政处罚

近日,沃尔玛(中国)投资有限公司新增行政处罚信息,处罚事由为发现该单位的网络系统存在可利用的网络安全漏洞共十九项,未及时处置系统漏洞,违反了《中华人民共和国网络安全法》第二十五条、第五十九条第一款之规定,处罚结果为决定给予警告的行政处罚,并责令改正。

3、诺顿防病毒强制在用户电脑安装挖矿软件

最近几日防病毒巨头诺顿因在其用户挖掘以太坊的设备上自动安装加密矿工而受到批评。 

据报道,加密货币矿工(Norton Crypto)于去年6月被纳入诺顿杀毒软件,以帮助诺顿360用户从他们的显卡中赚取额外的收入。该工具称为Norton Crypto,用于挖掘以太坊。用户可以保留85%的收入,而剩余的被NortonLifeLock抽成。

根据Norton360背后的母公司Norton的说法,负责激活防病毒程序的基于云的服务为用户提供了从该计划中获利的选项。然而,不少用户抱怨杀毒软件中嵌入的挖矿工具难以删除,导致设备出现问题。一位国外用户首先发布了有关该问题的帖子,声称Norton 360程序通过一个名为NCrypt.exe的程序在他的计算机上安装了该挖掘工具,该程序无法卸载。

“这TM的太疯狂了。诺顿“杀毒软件”现在偷偷地在你的计算机上安装加密软件,然后抽取佣金”  推特用户Cory Doctorow说。

诺顿,它将数百万可能不那么精明的互联网用户引入加密货币世界,严重的放大了能源消耗,这也带来了一系列独特的安全和隐私挑战。

4、FinalSite遭受勒索软件攻击,数千个学校网站无法访问

据BleepingComputer网站报道,知名学校网站服务供应商FinalSite 在本周遭受勒索软件攻击,导致全球数千所学校无法访问自家网站。

FinalSite 是一家软件即服务 (SaaS) 提供商,为 K12学校和大学提供网站设计、托管和内容管理解决方案。FinalSite 声称为 115 个不同国家的 8,000 多所学校和大学提供解决方案。

周二,使用 FinalSite 托管服务的学校发现网站不可用或显示错误,但FinalSite当时只表示他们的服务遇到了错误和性能问题,Composer内容管理系统受到了影响。

在服务中断3天后,FinalSite最新证实,由于勒索软件攻击使自身服务受到影响。FinalSite在新的致歉声明中表示,公司的安全团队在发现系统上存在的勒索软件后,已立即采取了保护措施,并在第三方取证专家的协助下开展调查,但要完全恢复服务可能需要比预期更长的时间。

近年来,学校已成为勒索攻击的热门目标,尤其是一些安全建设资金有限的K12学校。

]]>
沃尔玛违反网络安全法被行政处罚 Sun, 23 Jan 2022 21:19:48 +0800 近日,沃尔玛(中国)投资有限公司新增行政处罚信息,处罚事由为发现该单位的网络系统存在可利用的网络安全漏洞共十九项,未及时处置系统漏洞,违反了《中华人民共和国网络安全法》第二十五条、第五十九条第一款之规定,处罚结果为决定给予警告的行政处罚,并责令改正。

]]>
诺顿防病毒强制在用户电脑安装挖矿软件 Sun, 23 Jan 2022 21:19:48 +0800 最近几日防病毒巨头诺顿因在其用户挖掘以太坊的设备上自动安装加密矿工而受到批评。 

Norton360是全球流行的个人防病毒软件。然而,最近受到了抨击,因为它正在用户的设备上安装加密货币挖掘程序。

据报道,加密货币矿工(Norton Crypto)于去年6月被纳入诺顿杀毒软件,以帮助诺顿360用户从他们的显卡中赚取额外的收入。该工具称为Norton Crypto,用于挖掘以太坊。用户可以保留85%的收入,而剩余的被NortonLifeLock抽成。

强制安装的加密货币矿工?

根据Norton360背后的母公司Norton的说法,负责激活防病毒程序的基于云的服务为用户提供了从该计划中获利的选项。

不过,用户必须同意启用它。

然而,不少用户抱怨杀毒软件中嵌入的挖矿工具难以删除,导致设备出现问题。一位国外用户首先发布了有关该问题的帖子,声称Norton 360程序通过一个名为NCrypt.exe的程序在他的计算机上安装了该挖掘工具,该程序无法卸载。

“这TM的太疯狂了。诺顿“杀毒软件”现在偷偷地在你的计算机上安装加密软件,然后抽取佣金”  推特用户Cory Doctorow说。

Norton 360抽风发布挖矿软件

总部位于亚利桑那州坦佩的NortonLifeLock Inc.拥有Norton 360。该公司于2017年从赛门铁克公司手里收购身份盗窃保护公司LifeLock,并于2019年将其更名为Norton LifeLock。此功能现在是Norton 360软件的一部分。

根据公司网站上发布的常见问题解答,加密货币矿工(Norton Crypto)的新功能将在用户计算机空闲时挖掘以太坊加密货币,并仅在满足其硬件/软件要求的系统上运行,其中至少包括6GB内存和NVIDIA显卡。

“诺顿为每个用户创建了一个安全的数字以太坊钱包。钱包的密钥被加密并安全地存储在云中。只有你可以访问钱包,”常见问题解答中写道。

我们曾经进行过报道:不务正业?全球第一家杀毒发布挖矿软件!

NortonLifeLock已将Norton Crypto作为一项可选功能提供,并且根据公司的说法,未经用户许可不会启用它。

“如果用户打开了Norton Crypto但不再希望使用该功能,可以通过暂时关闭“篡改保护”(允许用户修改Norton安装)并从您的计算机中删除NCrypt.exe来禁用它。”

诺顿官方响应

当诺顿在推特上说诺顿加密是一项可选功能时,该公司遭到了强烈抨击。

“如果它是可选的,为什么它是默认安装的,并且在不卸载整个杀毒软件的情况下无法移除?”一位推特用户质疑道。

其他人则认为此功能不应成为防病毒工具的一部分。为了消除混乱,诺顿发表了另一份声明。

诺顿回应:“Norton Crypto仅是一项可选功能,未经用户许可不得启用。如果用户已打开 Norton Crypto但不再希望使用该功能,可以通过Norton 360暂时关闭“篡改保护”(允许用户修改Norton安装)并从您的计算机中删除NCrpyt.exe来禁用它。”

诺顿几乎放大了全球的能源消耗,他们的客户在电力使用上的成本比客户在采矿上的成本还要高,但诺顿却能赚取大量利润。这是令人作呕的,恶心的和品牌自杀。- 克里斯维克里 (@VickerySec) 2022年1月6日

如何彻底摆脱诺顿加密矿工?

根据Norton的社区页面,按照以下说明可以禁用设备上的Norton Crypto。

转到N360主界面并打开设备安全性 

 接下来点击“设置”

接下来禁用“Norton Tamper Protection”(选择时间范围,选择15分钟)

导航到/Program Files/Norton Security/engine/(产品版本)

在那里你会找到NCrypt.exe,你可以删除它。Norton Tamper Protection将在15分钟内重新开启,您也可以手动开启。

诺顿,它将数百万可能不那么精明的互联网用户引入加密货币世界,严重的放大了能源消耗,这也带来了一系列独特的安全和隐私挑战。

]]>
预计 2025 年,反病毒软件市场规模将达到 45.4 亿美元 Sun, 23 Jan 2022 21:19:48 +0800 HelpnetSecurity 网站披露,2020 年全球防病毒软件市场规模约 38 亿美元,预计到 2021 年将达到 39.2亿美元,复合年增长率(CAGR)为 3.2%。另外,根据 ResearchAndMarkets 的数据显示,预计在 2025年市场规模会达到 45.4 亿美元,年复合增长率为 3.8%。

杀毒软件市场由实体(组织、独资企业和合伙企业)销售的杀毒软件组成,这些软件主要通过扫描、检测和删除病毒来保护计算机免受病毒侵害。现阶段,反病毒软件能够监控大部分程序的活动,对任何有问题行为进行标记,之后进行清除。大多数杀毒软件在后台运行,对病毒攻击提供实时保护。

目前,杀毒软件市场主流供应商包括赛门铁克、McAfee、ESET、趋势科技、F-Secure、BitDefender、G Data CyberDefense、Fortinet、微软公司、Cheetah Mobile、AVG Technologies、奇虎360、Quick Heal、腾讯、Comodo Cybersecurity、卡巴斯基、AhnLab Inc、Ad-Aware、熊猫安全、Lavasoft等。

云端防病毒软件越来越受欢迎

云杀毒软件或基于云的杀毒软件是一种将工作转移到云服务器的解决方案,不同于传统的使用杀毒软件套件,可以让计算机免于陷入困境。云杀毒软件主要筛选能够传输数据的恶意软件来保护个人电脑、笔记本电脑和移动设备。

根据印度软件公司 Tracxn Technologies Limited 发布的 2021 报告显示,Malwarebytes、Avast、熊猫安全、奇虎360科技、AVG科技等公司都在使用基于云的防病毒解决方案。

网络攻击数量不断增加,是未来几年推动防病毒软件市场增长的主要驱动因素。(网络攻击是一种基于网络空间的攻击,旨在故意扰乱、禁用、破坏或操纵计算机或其他设备)。2020 年,北美成为了杀毒软件市场的最大地区。欧洲是反病毒软件市场的第二大地区。

随着网络技术发展,网络环境逐渐走向危险,使用病毒或恶意软件对计算机、笔记本电脑和手机进行黑客攻击和数据泄露的情况有所增加。防病毒软件的出现,可以很好阻止病毒或恶意软件进入设备,遏制网络攻击。

值得一提的是,2020 年,一家位于印度的承运航空公司称,黑客入侵了其内部服务器,访问了450万名乘客的个人数据。另外,在印度,仅在2020年就有116万起网络安全案件登记。

]]>
FinalSite遭受勒索软件攻击,数千个学校网站无法访问 Sun, 23 Jan 2022 21:19:48 +0800 据BleepingComputer网站报道,知名学校网站服务供应商FinalSite 在本周遭受勒索软件攻击,导致全球数千所学校无法访问自家网站。

FinalSite 是一家软件即服务 (SaaS) 提供商,为 K12学校和大学提供网站设计、托管和内容管理解决方案。FinalSite 声称为 115 个不同国家的 8,000 多所学校和大学提供解决方案。

周二,使用 FinalSite 托管服务的学校发现网站不可用或显示错误,但FinalSite当时只表示他们的服务遇到了错误和性能问题,Composer内容管理系统受到了影响。

据一位学校IT管理员透露,FinalSite 没有向他们提供有关何时恢复服务的时间框架,学校不得不向学上家长发送电子邮件,告知网站由于服务供应商遇到技术问题,不得不暂时关闭。

在服务中断3天后,FinalSite最新证实,由于勒索软件攻击使自身服务受到影响。FinalSite在新的致歉声明中表示,公司的安全团队在发现系统上存在的勒索软件后,已立即采取了保护措施,并在第三方取证专家的协助下开展调查,但要完全恢复服务可能需要比预期更长的时间。

目前尚不清楚是哪个勒索软件团伙对 FinalSite 进行了攻击,以及是否已经有数据被盗。

近年来,学校已成为勒索攻击的热门目标,尤其是一些安全建设资金有限的K12学校。

]]>
NoReboot恶意软件让iPhone假装关机 Sun, 23 Jan 2022 21:19:48 +0800 据Security Affairs消息,Zecops公司的安全研究人员发明了一种名为NoReboot新型的恶意软件,它可以让iPhone假关机。

该技术直接模拟了用户iPhone设备关机时的情景,专家表示,一般用户不会很认真的区分是真关机还是“假关机”。

“NoReboot”的工作原理是将恶意代码注入 InCallService、SpringBoard 和 backboardd 这三个后台进程,它们负责 iPhone 的重新启动过程。一旦攻击者劫持了重启过程,iPhone 在用户看来就像关闭了一样,但却完全清醒并连接到互联网。

“假关机”后,攻击者可悄悄远程访问用户手机的麦克风和摄像头,并在iPhone恢复开机状态时一直进行。这意味着即便用户重启手机也不会影响该恶意软件的运行。

Zecops 公司发布了该技术的相关分析报告,并指出他们通过挂钩Objective-C的方法 [FBSSystemService shutdownWithOptions:]来劫持信号。这样它就不会向SpringBoard 发送关闭信号,而是会通知 SpringBoard 和 backboardd 触发注入的代码。

在backboardd中,研究人员会隐藏旋转动画,只要SpringBoard停止运行就会自动出现[BKSDefaults localDefaults]setHideAppleLogoOnLaunch:1]。然后,他们会让SpringBoard 退出并阻止它再次启动。由于SpringBoard负责响应用户的操作和行为,一旦它不再反应,iPhone手机就表现的跟关机了一样。当用户试图按音量键和关机键来关闭设备时,攻击者可以将其代码注入上述组件的进程中,并禁用任何物理反馈,以此模拟iPhone关机的情形。

禁用的物理反馈如下:

来电铃声和信息通知

触摸反馈(3D触摸)

震动

屏幕

相机指示灯

安全专家表示,此时所有的物理反馈都已经被禁用,看起来就像已经关机了,但是手机的绝大部分功能依旧完整,且可以连接到互联网,攻击者可借此监控用户。目前该技术已经进行了PoC测试,安全专家公布了PoC测试视频,详细展示了攻击者是如何通过摄像头和麦克风监视受害者。

]]>
处置大量违规账号 抖音通报“清朗”落实情况 Sun, 23 Jan 2022 21:19:48 +0800 1月7日消息,昨日晚间,抖音发布《关于落实“清朗・互联网用户账号运营乱象专项整治行动”的公告》称,国家网信办“清朗・互联网用户账号运营乱象专项整治行动”开展以来,抖音针对转世账号、名称信息违法违规、网络名人虚假粉丝、恶意营销账号、向未成年人兜售网游账号等五类账号运营乱象深入开展治理,现将相关情况通报如下:

打击转世账号

针对广大用户经常反馈的“转世”账号问题,平台专门研究转世账号行为特征,训练相关风险识别模型,加强账号注册管理,严禁已被依法依约关闭的账号以相同名称、相似名称等关联名称重新注册。通过对被封禁账号的名称信息、发文内容、评论、设备等要素进行综合分析,由人工严格复核,确认为转世账号的,将从严封禁。自 2021 年 9 月底至今,累计处置转世账号 121 个。

严禁账号资料包含违法违规信息

平台全面收严账号名称信息审核标准,梳理出涉政有害、仿冒媒体、仿冒政务、仿冒官员、流量作弊、违背公序良俗、涉赌等 7 类违法违规类型,全面规范账号名称信息的使用。自 2021 年 10 月 19 日至今,回查关键词 8274 条,批量处理违规账号 26 万个。

深入清理大 V 账号虚假粉丝

虚假、违规、作弊粉丝,通过机器批量注册、发布垃圾评论、虚假行动、刷量刷粉、虚假关注等行动,对用户形成垃圾行为骚扰、存在虚假营销潜在风险,对平台内容生态造成不良影响,对社会公众产生误导误解。平台针对此情况深入开展虚假粉丝清理,目前已对 2 万余个 10 万粉以上账号的虚假粉丝进行清理。

同时,平台已建立异常涨粉监测机制,通过技术手段发现存在粉丝数量增长异常、粉丝关注路径异常等情况,将进行重点人工复核,对于买粉、刷粉、刷赞等作弊行为,将从严处置相关账号。

整治互联网用户账号恶意营销行为

部分账号利用同质化文案,发布不实信息和不当言论,博取平台流量,制造公众焦虑,严重破坏站内生态。平台针对以上违规内容进行了清理,同时上线“同质化内容黑库”,对违规内容智能分析,实时监控相关变体。自上线以来,共清理同质化博流量相关视频 25 万条,自动打压违规视频 3913 条。依据严重程度,对 842 个违规账号处以短期或长期封禁。

另外,平台严厉打击借热点事件无底线蹭热度、博流量、打造虚假人设,针对侵犯他人隐私、扰乱平台生态等行为,一经发现,将根据平台规则,对相关违规账号给予封禁投稿、封禁直播权限甚至封号处置。

如在 2021 年 12 月初,“孙海洋 14 年寻子成功”一事引发舆论广泛关注,在网民为此感动、庆祝的同时,部分主播却欲借此营销,聚集在孙海洋家附近,通过实时直播和发布短视频等方式蹭热点,干扰当事人正常生活和线下社会秩序,扰乱平台生态。关注到相关情况后,平台立即启动热点事件当事人保护机制,处置违规主播 49 个,封禁多次蹭热点相关账号 126 个。

禁止租售账号

长期以来,平台禁止在各个环节开展面向任何群体租售账号的行为,深入清理各类防沉迷破解教程类内容,从账号名称信息、发文投稿、评论等各个信息传播环节均进行严格打击。除清理拦截相关信息外,也会对违规账号进行从严处置。

IT之家了解到,2021 年 10 月 18 日,国家互联网信息办公室召开“清朗・互联网用户账号运营乱象专项整治行动”全国视频工作会议,对相关工作进行专题部署。

2021 年 10 月 21 日,抖音发布了《关于开展账号运营治理行动的公告》,重点整治违法违规账号“转世”、账号信息违法违规、大 V 账号虚假粉丝、恶意营销 / 炒作账号及向未成年人提供游戏账号租赁服务等问题行为与现象。

]]>
一码通多次发生故障 西安大数据资源管理局局长被停职检查 Sun, 23 Jan 2022 21:19:48 +0800 1月5日,西安市委组织部发布消息,西安市委决定:

刘鑫同志任市大数据资源管理局党组成员,为副局长人选(主持工作);

市大数据资源管理局党组书记、局长刘军同志因履职不力,停职检查。

据西安市大数据资源管理局网站“领导之窗”显示,刘军,1980年10月出生,中共党员,领导该局全面工作,分管数据标准与应用处、数据资源处、市12345市民热线管理办公室和“一码通”工作专班,联系西安大数据资产经营有限责任公司。

自2021年12月西安本轮疫情发生以来,“西安一码通”多次发生故障,很多市民反映在接受核酸检测中,无法打开个人健康二维码。

“西安一码通”首次出现大规模故障后,西安市大数据局局长刘军在12月20日的疫情防控发布会上回应称,“对于‘一码通’平台中断对市民造成的不便,我们深表歉意,在全员核酸检测的特殊时期,为减轻系统压力,建议广大市民非必要不展码、亮码,在出现系统卡顿时,请耐心等待,尽量避免反复刷新。

2022年1月4日9时,陕西西安市疫情防控指挥部决定启动全市新一轮核酸筛查工作。9时许,不少市民反映,“西安一码通又崩溃了”,核酸检测无法进行。

2022年1月4日,工信部官网当日发布消息,2021年12月30日至31日,工业和信息化部总工程师韩夏到陕西省通信管理局开展疫情防控工作调研。

韩夏强调,要切实加强网络和信息安全,西安“一码通”要加强技术改进和网络扩容,确保平台安全稳定运行。韩夏还来到西安“一码通”工作专班,了解核酸采样系统应急处置措施,要求系统再优化,细节再完善,确保不出现拥塞宕机现象。

]]>
新固件攻击可在 SSD 硬盘投放持久性恶意软件 Sun, 23 Jan 2022 21:19:48 +0800 近日,韩国研究人员针对某些固态驱动器 ( SSD ) 模拟了一系列攻击,这些攻击可能允许将恶意软件植入用户和安全解决方案都无法触及的位置。攻击模型针对具有灵活容量功能的驱动器,并针对设备上称为过度配置的隐藏区域——如今 SSD 制造商广泛使用该区域来优化基于 NAND 闪存的存储系统性能。硬件级攻击提供终极持久性和隐蔽性。过去,高级攻击者一直在努力尝试针对机械硬盘的此类攻击方法,将恶意代码隐藏在无法访问的磁盘扇区中。

SSD 工作原理

弹性容量是 SSD 中的一项功能,它使存储设备能够自动调整原始空间和用户分配空间的大小,通过吸收写入工作负载量来实现更好的性能。它是一个动态系统,可以创建和调整称为过度配置的空间缓冲区,通常占用总磁盘容量的 7% 到 25% 。当用户启动不同的应用程序时, SSD 管理器会根据工作负载自动调整此空间,具体取决于它们的写入或读取密集程度。操作系统和在其上运行的任何应用程序(包括安全解决方案和防病毒工具)都无法看到超额配置区域。

SSD 攻击模型

首尔高丽大学研究人员模拟攻击针对的是一个无效数据区域,该区域具有位于可用 SSD 空间和预留空间 ( OP ) 区域之间的未擦除信息,其大小取决于两者。其研究论文解释说,黑客可以通过使用固件管理器来更改 OP 区域的大小,从而产生可利用的无效数据空间。这里的问题是,很多 SSD 厂商为了节省资源,选择不擦除无效数据区。在假设断开映射表链接足以防止未经授权访问的情况下,该空间会在很长一段时间内保持充满数据。因此,利用此弱点的威胁行为者可以访问潜在敏感信息。

研究人员指出 ,对 NAND 闪存进行数字取证可以发现过去六个月未被删除的(无效数据区)数据。在另一种攻击模型中,威胁参与者将 OP 区域用作用户无法监控或擦除的秘密位置,并在其中隐藏恶意软件。

其研究论文将这种攻击描述为:假设两个存储设备 SSD1 和 SSD2 连接到一个通道。每个存储设备都有 50% 的 OP 区域。黑客将恶意代码存储到 SSD2 后,立即将 SSD1 的 OP 面积缩小到 25% ,将 SSD2 的 OP 面积扩大到 75% 。此时,恶意软件代码包含在 SSD2 的隐藏区域中。获得 SSD 访问权限的黑客可以随时通过调整 OP 区域大小来激活嵌入的恶意软件代码。由于普通用户在频道上保持 100% 的用户区域,因此黑客的这种恶意行为并不容易被发现。

这种攻击的明显优势在于它是隐蔽的。在 OP 区域检测恶意代码不仅耗时,而且需要高度专业化的取证技术。

防御对策

作为对第一种攻击的防御,研究人员建议 SSD 制造商使用不会影响实时性能的伪擦除算法擦除 OP 区域。对于第二种攻击,防止在 OP 区域注入恶意软件的潜在有效安全措施是实施有效-无效数据速率监控系统,实时观察 SSD 内部的比率。当无效数据比例突然显著增加时,用户可以得到警告并在 OP 空间选择可验证的数据擦除功能。

最后, SSD 管理应用程序应该具有强大的防御能力,对未经授权的访问采取防御措施。研究人员进一步解释说:“即使不是恶意黑客,被误导的员工也可以随时通过使用 OP 区域变量固件/软件轻松释放隐藏信息并泄漏它”。虽然研究表明 SSD 上的 OP 区域可用于存储恶意软件,但目前不太可能在野外发生此类攻击。

]]>
本田和讴歌汽车受千年虫影响,时钟倒退到2002年 Sun, 23 Jan 2022 21:19:48 +0800 据 Bleepingcomputer消息,日本本田及旗下讴歌汽车受到 Y2K22 漏洞影响,导致导航系统时钟被重置为2002年1月1日,且目前无法调整至正确的时间。

据受到影响的车主称,从2022年1月1日开始,导航系统日期就自动跳转为2002年1月1日,不同地区及不同车型的具体时间又不一样,存在2小时的时间差,如12:00、2:00、4:00等等。

Y2K22 漏洞几乎影响了所有旧车型,包括本田的Pilot、Odyssey、CRV、Ridgeline、Odyssey和讴歌的MDX、RDX、CSX以及TL车型。

虽然目前尚不清楚造成该漏洞的原因,但在上周末,微软的Exchange也受到了千年虫漏洞的影响,导致电子邮件账户被冻结,无法发送邮件。

微软的漏洞是由于日期被存储在一个int32变量中,该变量只能容纳2,147,483,647的最大数值。然而,2022年的日期在跳转至2022年1月1日时的最小值为2,201,010,001,最终导致软件崩溃。

本田和讴歌汽车系统中出现的漏洞很可能也是这个原因,但本田客户服务部在回复车主时却表示,这可能不是同一个问题,并且该漏洞应该会在 2022 年 8 月得到自动修复。

“我们的工程师正在调查这个问题,他们认为这可能与NAVI 时钟问题有关,当日期滚动到8月时它会自行解决,目前工程师们正在寻找对策尽快纠正它。”

本田和讴歌是否真的会让车主等待7个月的时间才能修复这一漏洞,本田及讴歌汽车官方也并未透露更多的漏洞信息及修复方案,但他们应该会通过发布新版本的导航系统来解决这一问题。

]]>
网信办: 应用程序提供者不得通过虚假宣传等行为诱导用户下载 Sun, 23 Jan 2022 21:19:48 +0800 1月5日,网信中国发布消息,国家互联网信息办公室发布关于《移动互联网应用程序信息服务管理规定(征求意见稿)》公开征求意见的通知。意见稿提出,应用程序提供者应当规范经营管理行为,不得通过虚假宣传、捆绑下载等行为,或者利用违法和不良信息诱导用户下载,不得通过机器或人工方式刷榜、刷量、控评,营造虚假流量。

附原文:

移动互联网应用程序信息服务管理规定(征求意见稿)

第一章 总则

第一条 为了规范移动互联网应用程序信息服务,保护公民、法人和其他组织的合法权益,维护国家安全和公共利益,根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国未成年人保护法》《互联网信息服务管理办法》《互联网新闻信息服务管理规定》《网络信息内容生态治理规定》等法律规定,制定本规定。

第二条 在中华人民共和国境内通过移动互联网应用程序(以下简称应用程序)提供信息服务,从事互联网应用商店等应用程序分发服务,应当遵守本规定。

本规定所称应用程序信息服务是指通过应用程序向用户提供文字、图片、语音、视频等信息制作、复制、发布、传播等服务的活动,包含即时通讯、新闻资讯、知识问答、论坛社区、网络直播、电子商务、网络音视频、生活服务等信息服务类型。

本规定所称从事互联网应用商店等应用程序分发服务是指通过互联网向用户提供应用程序发布、下载、动态加载等服务的活动,包含应用商店、快应用、互联网小程序、浏览器插件等平台分发服务类型。

第三条 国家互联网信息办公室负责全国应用程序信息内容的监督管理执法工作。地方互联网信息办公室依据职责负责本行政区域内应用程序信息内容的监督管理执法工作。

第四条 应用程序提供者和应用程序分发平台应当遵守宪法、法律和行政法规,遵循公序良俗,履行社会责任,坚持正确政治方向、舆论导向和价值取向,弘扬社会主义核心价值观,发展积极健康的网络文化,维护清朗网络空间,丰富人民精神文化生活,促进社会文明进步。

应用程序提供者和应用程序分发平台不得利用应用程序从事危害国家安全、扰乱社会秩序、侵犯他人合法权益等法律法规禁止的活动。

第五条 应用程序提供者和应用程序分发平台应当履行信息内容管理主体责任,建立健全信息内容安全管理、信息内容生态治理、网络数据安全、个人信息保护、未成年人保护等管理制度,确保信息内容安全,营造良好网络生态,强化用户权益保护。

第二章 应用程序提供者

第六条 应用程序为用户提供信息发布、即时通讯等服务的,应当对申请注册的用户进行基于移动电话号码、身份证件号码或者统一社会信用代码等方式的真实身份信息认证。用户不提供真实身份信息,或者冒用组织机构、他人身份信息进行虚假注册的,不得为其提供相关服务。

第七条 应用程序提供者通过应用程序提供互联网新闻信息服务,应当取得互联网新闻信息服务许可,禁止未经许可或者超越许可范围开展互联网新闻信息服务活动。

提供其他互联网信息服务,依法须经有关主管部门审核同意或者取得相关许可的,经有关主管部门审核同意或者取得相关许可后方可提供服务。

第八条 应用程序提供者应当制定并公开管理规则和平台公约,与注册用户签订服务协议,明确双方相关权利义务,要求注册用户遵守本规定及相关法律法规。

第九条 应用程序提供者应当建立健全信息内容审核管理机制,建立完善用户注册、账号管理、信息审核、日常巡查、应急处置等管理措施,配备与服务规模相适应的专业人员和技术能力。

对违反相关法律法规及服务协议的注册用户,应用程序提供者应当依法依约采取警示、限制功能、关闭账号等处置措施,保存记录并向有关主管部门报告。

第十条 应用程序提供者应当规范经营管理行为,不得通过虚假宣传、捆绑下载等行为,或者利用违法和不良信息诱导用户下载,不得通过机器或人工方式刷榜、刷量、控评,营造虚假流量。

第十一条 应用程序应当符合网络安全相关国家标准的强制性要求。应用程序提供者发现其应用程序存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。

第十二条 开展应用程序数据处理活动,应当履行数据安全保护义务,建立健全全流程数据安全管理制度,采取保障数据安全技术措施和其他安全措施,加强风险监测,不得危害国家安全、公共利益,不得损害个人、组织的合法权益。

第十三条 从事应用程序个人信息处理活动应当遵循合法、正当、必要和诚信原则,具有明确、合理的目的并公开处理规则,遵守必要个人信息范围的有关规定,规范个人信息处理活动,采取必要措施保障个人信息安全,不得以任何理由强制要求用户同意非必要的个人信息处理行为,不得因用户不同意提供非必要个人信息,而拒绝用户使用其基本功能服务。

第十四条 应用程序提供者应当坚持最有利于未成年人的原则,关注未成年人健康成长,履行未成年人网络保护各项义务,严格落实未成年用户账号实名注册和登录要求,不得以任何形式向未成年用户提供诱导其沉迷的相关产品和服务。

第十五条 应用程序提供者上线具有舆论属性或者社会动员能力的新技术、新应用、新功能,应当按照国家有关规定进行安全评估。

第三章 应用程序分发平台

第十六条 应用程序分发平台应当在业务上线运营三十日内向所在地省、自治区、直辖市互联网信息办公室备案。办理备案时,应当提交以下材料:

(一)平台运营主体基本情况;

(二)平台名称、域名、接入服务、服务资质、上架应用程序类别等信息;

(三)平台取得的经营性互联网信息服务许可或者非经营性互联网信息服务备案等材料;

(四)本规定第五条要求建立健全的相关制度文件;

(五)平台管理规则、公约、服务协议等。

省、自治区、直辖市互联网信息办公室对备案材料的真实性、完备性进行审核,符合条件的应当予以备案。

国家互联网信息办公室向社会公布已经履行备案手续的应用程序分发平台名单。

第十七条 应用程序分发平台应当建立分类管理制度,对上架的应用程序实施分类管理,并将应用程序向应用程序分发平台所在地省、自治区、直辖市互联网信息办公室备案。

第十八条 应用程序分发平台应当采取复合验证等措施,对申请上架的应用程序提供者进行基于移动电话号码、身份证件号码或者统一社会信用代码等多种方式相结合的真实身份信息认证。根据应用程序提供者的不同主体性质,公示提供者名称、统一社会信用代码等信息。

第十九条 应用程序分发平台应当对申请上架和更新的应用程序名称、图标、简介、信息服务、个人信息收集使用行为等进行审核,发现与注册主体真实身份信息不相符的,特别是违规使用党和国家形象标识或者假冒国家机关名义的,不得为其提供服务;发现含有违法违规和不良信息的,存在数据安全风险隐患、违法违规收集使用个人信息行为的,或者损害个人、组织合法权益的,应当停止提供服务。

应用程序提供的信息服务属于本规定第七条规定范围的,应用程序分发平台应当对相关许可等情况进行核验;属于本规定第十五条规定范围的,应用程序分发平台应当对安全评估情况进行核验。未通过核验的,应当停止提供服务。

第二十条 应用程序分发平台应当建立应用程序监测评估机制,提升技术能力和管理效能,坚决打击网络黑灰产,防范下载量、评价指标等数据造假行为,不得以虚构下载量、编造评价等方式进行虚假宣传。

第二十一条 应用程序分发平台应当与应用程序提供者签订服务协议,明确双方相关权利义务,并依法依约履行管理责任。

应用程序分发平台应当建立健全管理和技术措施,及时发现防范应用程序违法违规行为。

对违反相关法律法规及服务协议的应用程序,应用程序分发平台应当依法依约采取警示、暂停服务、下架等处置措施,保存记录并向有关主管部门报告。

第四章 监督管理

第二十二条 应用程序提供者和应用程序分发平台应当自觉接受社会监督,设置醒目、便捷的投诉举报入口,公布投诉举报方式,健全受理、处置、反馈等机制,及时处理公众投诉举报。

第二十三条 鼓励互联网行业组织建立健全行业自律机制,制定完善行业规范和自律公约,指导会员单位建立健全服务规范,依法依规提供信息服务,维护市场公平,促进行业健康发展。

第二十四条 网信部门会同有关主管部门建立健全工作机制,监督指导应用程序提供者和应用程序分发平台依法依规从事信息服务活动。

应用程序提供者和应用程序分发平台应当对有关主管部门依法实施的监督检查予以配合,并提供必要的技术支持和协助。

第二十五条 应用程序提供者和应用程序分发平台违反本规定的,由网信部门和有关主管部门在职责范围内依照相关法律法规处理。

第五章 附则

第二十六条 本规定所称移动互联网应用程序,是指运行在移动智能终端上向用户提供信息服务的应用软件。

本规定所称移动互联网应用程序提供者,是指提供信息服务的移动互联网应用程序所有者或者运营者。

本规定所称移动互联网应用程序分发平台,是指提供移动互联网应用程序发布、下载、动态加载等分发服务的互联网信息服务提供者。

第二十七条 本规定自2022年 月 日起施行。

]]>
希腊黑客“攻陷”NASA局长社交账号 Sun, 23 Jan 2022 21:19:48 +0800 据 Security Affairs 网站披露,美国宇航局(NASA)局长 Parimal Kopardekar 个人 Twitter 账户遭遇希腊黑客入侵。

据悉,相关人员联系该黑客组织后获悉,此团伙掌握了一个允许其接管 Twitter 账户的漏洞,但是这个说法现在还无法证实。

除此之外,黑客组织的一位发言人称,此次把美国国家航空航天局局长作为攻击目标并不是出于政治动机,只是单纯的好玩。之所以针对NASA局长,纯属因为机缘巧合,随机选取到的。

有意思的是,该组织称此次攻击活动只是单纯想向大众证明:没有人在网上是绝对安全的。

黑客组织曾多次作案

该组织曾多次“犯案”,据悉,2020 年 4 月,该希腊黑客组织破坏了希腊议会副议长和 KINAL 议员奥德赛斯-康斯坦丁-普洛斯宁的推特账户。

在获得账号权限后,发文表示,"警告政府不要再对本国人民撒谎",随后又发布另一条信息称:特此声明,该组织对被攻击者没有任何意见,只是对政府及其行为有意见”。

据了解,该希腊黑客组织自成立以来,发动了大量的网络攻击,受害者包括尼日利亚外交部和财政部、尼日利亚银行、北马其顿国家银行和阿塞拜疆国防部等。

]]>
美国无线运营商 UScellular批露了发生在年末的数据泄露事件 Sun, 23 Jan 2022 21:19:48 +0800 据Security affairs网站报道,美国最大的无线运营商之一——UScellular披露了一起发生在去年12月份的数据泄露事件。

据该公司调查,事件发生12月13日-19日之间,攻击者未经授权访问其计费系统,导致与客户帐户相关的数据暴露,包括姓名、地址、PIN 码和移动电话号码以及有关无线服务的信息。攻击者试图利用这些信息来欺诈性地移植号码。

UScellular透露,有405名客户受此次攻击的影响,事后,公司为每个受影响客户重置了登录凭据,并立即修改了PIN码和安全验证问题。

为进一步应对这起事件,UScellular还立即切断了攻击者计算机的访问路径,并要求删除攻击者为实施攻击配套使用的欺诈性网站。

该公司建议受影响的客户保持警惕,并联系 UScellular,以防他们收到可疑通信。

其实在去年1月,UScellular也曾发生过另一起数据泄露事件,攻击者诱骗公司门店员工下载安装恶意软件,窃取员工账户访问了公司客户信息。

UScellular是美国第四大无线运营商,截至2020年第二季度,在美23个州拥有超过490万名客户。

]]>
提高反诈意识 别让“共享屏幕”骗局得手 Sun, 23 Jan 2022 21:19:48 +0800 “没想到骗子会用平时常用的工作App诈骗。”据媒体报道,近期,不少人遭遇了“共享屏幕”类诈骗。在这类诈骗案件中,骗子一般先是假冒警察、法官或者银行员工等身份,骗取受害人信任,要求受害人下载某些常见或特定的会议类App,以协助为名,骗受害人打开共享屏幕,伺机盗取受害人的银行卡账号密码等财产信息。

在公安和媒体联动之下,铺天盖地的反诈宣传让人们反诈意识逐渐提高,会主动拒绝各类不常见的App,拒绝各类带有明显风险的操作,这使骗子的路越走越窄。但是,当人们接到骗子的电话,将信将疑之际,骗子要求人们下载平时常用的软件,就会让人们放松警惕,觉得“常用的软件应该没什么问题”。一些受害者不知道在共享屏幕时,骗子可以完全看到他们的各种操作和输入信息。

骗子的行为可恨可耻,在客观上表明:不仅公民的反诈意识需要继续提高和强化,多途径保护个人隐私也迫在眉睫。利用“共享屏幕”进行诈骗之所以能够得手,其实是利用了手机软件的安全“漏洞”,将全部信息都显示了出来,让骗子能够利用一块小小的屏幕获取到受害者的关键信息。

因此,各类会议软件和财务App应当尽快修复这些隐患。会议软件需要增设安全提示,在用户打开共享屏幕的时候,用高亮方式警示使用“共享屏幕”的情况下,用户可能会遇到哪些财产风险,唤起用户的防范意识。同时,在隐私政策许可的情况下,一旦检测到用户打开财务软件或进行财务操作,要主动屏蔽相关信息。

财务类的App也要采取相关防护措施:一方面,检测到共享屏幕等信息分享类软件运行时,应当提示用户立刻切断;另一方面,也应该加强安全键盘等应用的建设,对关键输入信息进行遮蔽,防止其他软件的“窥视”。仅在技术上修补安全漏洞是不够的,还要利用技术手段建立漏斗式的防报网络,当各类App检测到用户打开了共享屏幕,同时又存在给陌生人转账等行为时,应逐步提升警示,达到一定程度时,则尽快通知警方。

当然,防范电信诈骗,归根结底是要提升公民的反诈意识,既要见招拆招,也要防患未然。所谓见招拆招,是不断地发现新情况,解决新问题,对各类新型诈骗手法及时跟进,早日通报,并联合媒体进行全方位多角度宣传。

所谓防患未然,就是要对公民进行反诈训练,在人们遇到疑似诈骗情况时立刻想到要怎么做。不可否认的是,诈骗本质上是利用了人性的弱点,人们总有疏忽大意、思维盲区或一时不察的时候,骗子们编制各类剧本和话术,就是要扩大人们的认识错误,不给人们思维上“喘息”的时间。

万变不离其宗,骗子花样再多,核心都是要骗取受害者的信任,因此,配合着宣传提升人们的反诈意识,同时训练人们遇到几个关键动作时的应激反应,效果可能会更好。

]]>
报纸停印!挪威第二大媒体集团遭黑客勒索 Sun, 23 Jan 2022 21:19:48 +0800 挪威第二大媒体集团A传媒公司29日说,由于遭黑客勒索,公司在可预计的未来将暂停印刷部分报纸。

A传媒公司说,多名黑客27日夜间至28日入侵公司计算机系统,控制多台服务器,索要赎金。公司因此无法印刷部分报纸,广告和订阅系统也受到影响。广告商无法购买新广告,订阅用户也无法订购或取消订单。

按照公司说法,尚不清楚个人数据是否遭泄露。

A传媒公司信息技术部门主管波尔·内德雷戈滕告诉挪威国家广播电台,这是“典型的勒索软件病毒攻击,黑客入侵部分服务器、加密我们的数据”,但公司不会与其就赎金问题对话。

内德雷戈滕说,恢复服务器需要“下苦功”,预计这一过程将耗费“相当长时间”。

按照公司说法,它出版约100种报纸。目前部分地方性报纸的纸质版无法印刷,但电子版不受影响。公司表示,30日应该能恢复约20种报纸的印刷。

据美国《纪录报》报道,这是挪威近期发生的第三起较大规模网络攻击。挪威大型食品企业诺图拉公司本月21日说,由于旗下多个工厂遭遇网络攻击,公司已关闭信息技术系统,眼下正在警方帮助下展开调查。北部诺尔兰地区政府部门因遭黑客攻击、数据泄露而关闭计算机系统,部分牵涉学校和医疗领域的市政服务器受到影响,但官员称损失不大。

]]>
T-Mobile称:用户数据泄露由SIM卡交换攻击引起 Sun, 23 Jan 2022 21:19:48 +0800 据 Bleeping Computer 最新消息披露,美国电信运营商 T-Mobile 发生了一起数据泄露事件,有不明数量的客户遭受了SIM交换攻击。

T-Mobile 发言人称,数据泄漏事件发生不久后,就已经通知部分客户其SIM卡可能被非法重新分配,账户信息也可能被“不法分子”随意浏览。当公司意识到客户数据存在泄露风险时,立即采取正确的策略,利用现有保障能力,主动为客户采取了额外保护措施。

但是,T-Mobile拒绝透漏有关受影响客户总数以及攻击者成功完成SIM卡交换攻击所使用方法等具体细节。

更糟糕的情况是,SIM卡未经授权调换是通信行业存在的普遍现象。

 关于SIM交换 

SIM交换(也称为SIM劫持)允许攻击者通过欺骗或贿赂运营商的员工,将号码重新分配给攻击者控制的SIM卡,从而控制目标的手机号码。

当攻击者控制受害者号码后,可以利用账户信息绕过基于短信的多因素认证(MFA),窃取用户凭证,登录受害者的银行账户窃取资金,或通过改变密码劫持其在线账户。

因此,现阶段所有的T-Mobile用户需要警惕任何来自“T-Mobile”的可疑短信或电子邮件。当收到任何链接时,不要盲目点击,避免攻击者利用它们获取账户凭证。

好消息是,数据泄露事件后,T-Mobile公司采取了积极的应对措施,帮助保护所有可能受到此次网络攻击威胁的用户账户。

 T-Mobile数据泄露事件汇总 

过去四年时间里,T-Mobile多次成为数据泄露事件的受害者。其中2021年2月的的泄漏事件和此次非常相似,当时,攻击者利用T-Mobile的内部应用程序,尝试对约400名客户的SIM卡进行交换。

从媒体梳理的信息来看,2018年以后,T-Mobile总共披露了以下6起数据泄露事件。

2018年,数百万T-Mobile客户的信息被黑客访问;

2019年,T-Mobile暴露了预付费客户的个人数据;

2020年3月,黑客获取了部分T-Mobile员工的电子邮件账户;

2020年12月,黑客访问了T-Mobile暴露的客户私有网络信息(电话号码、通话记录等)。

2021年2月,攻击者获得T-Mobile内部应用程序访问权后,尝试对数百名用户的SIM卡进行交换攻击;

2021年8月,攻击者获得T-Mobile测试环境的访问权限后,强行闯入了其内部网络。

随着针对加密货币投资者和使用者的SIM卡劫持攻击数量不断增加,美国联邦调查局发布了关于如何防御SIM卡劫持攻击的指导文件。除此之外,联邦贸易委员会(FTC)同样发布了如何保护手机上的个人信息和网上个人信息安全的指导建议。

]]>
新型恶意软件 iLOBleed Rootkit,首次针对惠普 iLO 固件 Sun, 23 Jan 2022 21:19:48 +0800 据 securityaffairs 12月30日消息,某个首次发现的 rootkit 病毒(也称为 iLOBleed)正针对惠普企业服务器展开攻击,能够从远程感染设施并擦除数据。

集成灯控(iLO)是惠普旗下的嵌入式服务器管理技术,该模块可以完全访问服务器上安装的所有固件、硬件、软件和操作系统。

此次攻击由伊朗网络安全公司 Amnpardaz 发现,iLOBleed 是有史以来首次针对 iLO 固件的恶意软件。

专家解释说,针对 iLO 的恶意软件非常阴险,因为它以高权限运行(高于操作系统中的任何访问级别),可以做到不被管理员和检测软件察觉。通过篡改此模块,允许恶意软件在重新安装操作系统后继续存在。

自2020年被首次发现以来,该rootkit被运用于攻击中,不法分子可以使用iLOBleed rootkit来破坏使用惠普服务器的组织。

“我们分析了一个在野外发现的 rootkit,它隐藏在 iLO 内部,无法通过固件升级移除,并且可以长时间隐藏。该恶意软件已被黑客使用一段时间,我们一直在监控其性能。据我们所知,这是全球首次在 iLO 固件中发现真实存在的恶意软件报告。” 专家发表的报告显示。

据研究人员称,与其他擦除器不同,该恶意软件的擦除器就是设计用来进行长时间的隐身操作。iLOBleed 最突出的功能之一是操纵 iLO 固件升级例程,当系统管理员尝试升级 iLO 固件时,恶意软件会在阻止升级例程的同时模拟版本更改。

这些攻击的复杂程度已经构成APT级别。

研究人员说:“仅此一项就表明,该恶意软件的目的是成为具有最大隐蔽性并躲避所有安全检查的 rootkit。” “一种恶意软件,通过隐藏在强大且始终开启的处理资源中,能够执行从攻击者那里收到的任何命令,而不会被发现。” 报告显示,“当然,从其执行此类攻击投入的成本不难看出,此类攻击已经构成了高持续性威胁(APT)。”

专家总结道,攻击者可以通过网络和主机操作系统感染 iLO。

“这意味着即使 iLO 网线完全断开,仍然存在感染恶意软件的可能。有趣的是,在不需要iLO的情况下,却没有办法完全关闭或禁用它。”报告最后说。

]]>
地铁安防门被曝存在多个严重的安全漏洞 Sun, 23 Jan 2022 21:19:48 +0800 全球领先的安全研究团队Talos近日发现,Garrett 金属探测器的网络组件中存在许多严重的安全漏洞。这些漏洞可能允许远程攻击者绕过身份验证要求、篡改金属探测器配置,甚至在设备上执行任意代码。

资料显示,Garrett是美国著名金属探测器品牌,旗下有多款产品,包括手持式金属探测器、拱形金属探测器等,被广泛应用于机场、地铁、学校、法院、监狱、娱乐场所等多个场景。

Garrett公司金属探测器的网络安全漏洞主要集中在 Garrett iC模块上。该模块可以为Garrett公司旗下两款流行的步行式探测器(Garrett PD 6500i和Garrett MZ 6100)提供网络连接,用户可以通过网络和这两款产品进行连接和通信,可实现远程实时控制和监控设备,实时记录拱形下通过的人数并分析统计数据和图表,以优化安全检查站的安全措施。

Talos在近日的一份安全报告中指出,“利用这些漏洞,攻击者可以操控该模块,实现远程监控金属探测器的目标,并窃取其统计数据,比如有多少用户经过了该安防门,又有多少用户触发了警报等。同时攻击者还可以远程更改安防门的配置,例如提高或降低设备的灵敏度,这将会给很多依赖金属探测器的企业和用户带来安全风险。”

2021年8月17日,Talos 安全研究员 Matt Wiseman在Garrett 5.0版本中一共发现了多个漏洞,包括严重堆栈缓冲区溢出、允许绕过认证并获得管理员权限、修改文件命令行参数等。2021年12月13日,Garrett供应商发布了相关漏洞的安全补丁,并督促企业和用户尽快更新补丁。

安全漏洞列表如下:

CVE-2021-21901(CVSS 评分:9.8)、CVE-2021-21903(CVSS 评分:9.8)、CVE-2021-21905和CVE-2021-21906(CVSS 评分:8.2)——基于堆栈的缓冲区溢出漏洞,可以通过向设备发送恶意数据包来触发。

CVE-2021-21902(CVSS 分数:7.5)——身份验证绕过漏洞,可以通过发送一系列请求来触发。

CVE-2021-21904(CVSS 评分:9.1)、CVE-2021-21907(CVSS 评分:4.9)、CVE-2021-21908和CVE-2021-21909(CVSS 评分:6.5)——可以通过发送特定的命令进行触发,可窃取用户数据。

]]>
数字人民币APP正式上架各大应用商店 试点仅11个地区可注册 Sun, 23 Jan 2022 21:19:48 +0800 1月4日消息,数字人民币(试点版)App今日已上架各大安卓应用商店和苹果AppStore。

根据官方介绍,数字人民币(试点版)App是中国法定数字货币――数字人民币面向个人用户开展试点的官方服务平台,提供数字人民币个人钱包的开通与管理、数字人民币的兑换与流通服务。

不过,目前,数字人民币仅面向“深圳、苏州、雄安、成都、上海、海南、长沙、西安、青岛、大连以及冬奥会场景(北京、张家口)等11个地区开展试点。

新用户需根据所在定位判断是否符合注册条件,不在以上地点的用户,无法进行新用户注册。

数字人民币APP正式上架各大应用商店 试点仅11个地区可注册

此外,据此前报道,人民银行表示,数字人民币坚持数字人民币的M0(流通中的现金)定位,不计付利息,降低与银行存款的竞争;

其次,采取双层运营体系,即央行实施中心化管理,保证对货币发行和货币政策的调控能力;商业银行和支付机构作为中介,为公众进行数字人民币兑换并提供支付服务。

并且,数字人民币将与实物人民币并行发行,央行会对二者共同统计、协同分析、统筹管理。实物人民币将与数字人民币长期并存。

数字人民币APP正式上架各大应用商店 试点仅11个地区可注册

另外,设置了钱包余额上限、交易金额上限等制度摩擦,尽可能降低挤兑风险。

交易方式方面,数字人民币除了扫码,还支持“离线”支付,数字人民币在交易过程中,收款方或付款方的终端,处于离线无网络的情况下,仍然能够完成支付。

目前,数字人民币的双离线支付,采用NFC技术来实现,需要收付双方设备具备内置安全芯片的硬件钱包功能。

]]>
网络安全审查办法2022年2月15日起施行 Sun, 23 Jan 2022 21:19:48 +0800 《网络安全审查办法》已经2021年11月16日国家互联网信息办公室2021年第20次室务会议审议通过,并经国家发展和改革委员会、工业和信息化部、公安部、国家安全部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局、国家密码管理局同意,现予公布,自2022年2月15日起施行。

网络安全审查办法

第一条 为了确保关键信息基础设施供应链安全,保障网络安全和数据安全,维护国家安全,根据《中华人民共和国国家安全法》、《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《关键信息基础设施安全保护条例》,制定本办法。

第二条 关键信息基础设施运营者采购网络产品和服务,网络平台运营者开展数据处理活动,影响或者可能影响国家安全的,应当按照本办法进行网络安全审查。

前款规定的关键信息基础设施运营者、网络平台运营者统称为当事人。

第三条 网络安全审查坚持防范网络安全风险与促进先进技术应用相结合、过程公正透明与知识产权保护相结合、事前审查与持续监管相结合、企业承诺与社会监督相结合,从产品和服务以及数据处理活动安全性、可能带来的国家安全风险等方面进行审查。

第四条 在中央网络安全和信息化委员会领导下,国家互联网信息办公室会同中华人民共和国国家发展和改革委员会、中华人民共和国工业和信息化部、中华人民共和国公安部、中华人民共和国国家安全部、中华人民共和国财政部、中华人民共和国商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局、国家密码管理局建立国家网络安全审查工作机制。

网络安全审查办公室设在国家互联网信息办公室,负责制定网络安全审查相关制度规范,组织网络安全审查。

第五条 关键信息基础设施运营者采购网络产品和服务的,应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的,应当向网络安全审查办公室申报网络安全审查。

关键信息基础设施安全保护工作部门可以制定本行业、本领域预判指南。

第六条 对于申报网络安全审查的采购活动,关键信息基础设施运营者应当通过采购文件、协议等要求产品和服务提供者配合网络安全审查,包括承诺不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备,无正当理由不中断产品供应或者必要的技术支持服务等。

第七条 掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。    

第八条 当事人申报网络安全审查,应当提交以下材料:

(一)申报书;

(二)关于影响或者可能影响国家安全的分析报告;

(三)采购文件、协议、拟签订的合同或者拟提交的首次公开募股(IPO)等上市申请文件;

(四)网络安全审查工作需要的其他材料。

第九条 网络安全审查办公室应当自收到符合本办法第八条规定的审查申报材料起10个工作日内,确定是否需要审查并书面通知当事人。

第十条 网络安全审查重点评估相关对象或者情形的以下国家安全风险因素:

(一)产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或者破坏的风险;

(二)产品和服务供应中断对关键信息基础设施业务连续性的危害;

(三)产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;

(四)产品和服务提供者遵守中国法律、行政法规、部门规章情况;

(五)核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险; 

(六)上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险,以及网络信息安全风险; 

(七)其他可能危害关键信息基础设施安全、网络安全和数据安全的因素。

第十一条 网络安全审查办公室认为需要开展网络安全审查的,应当自向当事人发出书面通知之日起30个工作日内完成初步审查,包括形成审查结论建议和将审查结论建议发送网络安全审查工作机制成员单位、相关部门征求意见;情况复杂的,可以延长15个工作日。

第十二条 网络安全审查工作机制成员单位和相关部门应当自收到审查结论建议之日起15个工作日内书面回复意见。

网络安全审查工作机制成员单位、相关部门意见一致的,网络安全审查办公室以书面形式将审查结论通知当事人;意见不一致的,按照特别审查程序处理,并通知当事人。

第十三条 按照特别审查程序处理的,网络安全审查办公室应当听取相关单位和部门意见,进行深入分析评估,再次形成审查结论建议,并征求网络安全审查工作机制成员单位和相关部门意见,按程序报中央网络安全和信息化委员会批准后,形成审查结论并书面通知当事人。

第十四条 特别审查程序一般应当在90个工作日内完成,情况复杂的可以延长。

第十五条 网络安全审查办公室要求提供补充材料的,当事人、产品和服务提供者应当予以配合。提交补充材料的时间不计入审查时间。

第十六条 网络安全审查工作机制成员单位认为影响或者可能影响国家安全的网络产品和服务以及数据处理活动,由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后,依照本办法的规定进行审查。

为了防范风险,当事人应当在审查期间按照网络安全审查要求采取预防和消减风险的措施。

第十七条 参与网络安全审查的相关机构和人员应当严格保护知识产权,对在审查工作中知悉的商业秘密、个人信息,当事人、产品和服务提供者提交的未公开材料,以及其他未公开信息承担保密义务;未经信息提供方同意,不得向无关方披露或者用于审查以外的目的。

第十八条 当事人或者网络产品和服务提供者认为审查人员有失客观公正,或者未能对审查工作中知悉的信息承担保密义务的,可以向网络安全审查办公室或者有关部门举报。

第十九条 当事人应当督促产品和服务提供者履行网络安全审查中作出的承诺。

网络安全审查办公室通过接受举报等形式加强事前事中事后监督。

第二十条 当事人违反本办法规定的,依照《中华人民共和国网络安全法》、《中华人民共和国数据安全法》的规定处理。

第二十一条 本办法所称网络产品和服务主要指核心网络设备、重要通信产品、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务,以及其他对关键信息基础设施安全、网络安全和数据安全有重要影响的网络产品和服务。

第二十二条 涉及国家秘密信息的,依照国家有关保密规定执行。

国家对数据安全审查、外商投资安全审查另有规定的,应当同时符合其规定。

第二十三条 本办法自2022年2月15日起施行。2020年4月13日公布的《网络安全审查办法》(国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、国家安全部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、国家保密局、国家密码管理局令第6号)同时废止。

]]>
美医疗系统Broward Health披露数据泄露事件 影响超130万人 Sun, 23 Jan 2022 21:19:48 +0800 美国Broward Health公共卫生系统近日披露了一起大规模数据泄露事件,影响到1357879人。Broward Health是一个位于佛罗里达州的医疗系统,有三十多个地点提供广泛的医疗服务,每年接收超过60000名入院病人。

该医疗系统在2021年10月15日披露了一起网络攻击事件,当时一名入侵者未经授权访问了医院的网络和病人数据。该组织在四天后,即10月19日发现了这次入侵事件,并立即通知了美国联邦调查局和美国司法部。

同时,所有员工被建议更改他们的用户密码,Broward Health与第三方网络安全专家签约,帮助进行调查。

调查显示,入侵网站的黑客获得了病人的个人医疗信息,其中可能包括以下内容:

全名

出生日期

实际地址

电话号码

财务或银行信息

社会安全号码

保险信息和账户号码

医疗信息和历史

病情、治疗和诊断

驾照号码

电子邮件地址

尽管Broward Health确认黑客已经泄露了上述数据,但它指出,没有证据表明他们滥用了这些数据。值得注意的是,入侵点被确定为一个第三方医疗机构,他们被允许进入系统以提供服务。

“为了应对这一事件,Broward Health正在采取措施防止类似事件的再次发生,其中包括正在进行的调查,在整个企业中加强安全措施的密码重置,以及对其系统的所有用户实施多因素认证,”Broward Health在向受影响的病人和雇员数据泄露通知解释称。

“我们还开始对不由Broward Health信息技术公司管理的访问我们网络的设备实施额外的最低安全要求,这些要求将于2022年1月生效。”

由于暴露数据的关键性质,通知的接收者需要对所有形式的通信保持警惕。此外,该医疗系统正在通过Experian提供为期两年的身份盗窃检测和保护服务,信中还附有如何注册的详细信息。

]]>
物流企业 DW Morgan 暴露 100GB 客户数据,波及多家财富 500 强公司 Sun, 23 Jan 2022 21:19:48 +0800 据外媒报道,网络服务评测机构 Website Planet 安全团队日前发现了一个配置错误的 Amazon S3 存储桶,该存储桶属于供应链管理和物流企业 DW Morgan ,该公司总部位于加利福尼亚州普莱森顿,业务遍及全球。据研究人员称,该存储桶包含价值超过 100 GB 的数据和 250 万个文件,详细说明了属于 DW Morgan 全球员工和客户的财务、运输、运输、个人和敏感记录,波及多家财富 500 强公司。

尽管该存储桶于 2021 年 11月 12 日就被发现,但其详细信息直到近期才被 Website Planet 披露。更糟糕的是,该存储桶在没有任何安全身份验证或密码的情况下向公众公开暴露,这意味着任何了解 AWS 存储桶功能的人都可以访问数据。该存储桶错误配置期间暴露的数据类型完整列表包括签名、全名、附件、电话号码、订购的商品、货物损坏、处理照片、工艺细节、账单地址、发票日期、运输条码、未知文件、送货地址、设施位置、出货照片、为商品支付的价格、包装标签照片、现场文件图片、运输计划和协议(见图1示例)。

好消息是,目前尚不清楚该存储桶在暴露期间是否被恶意威胁行为者访问过。如果是 DW Morgan 的员工或客户之一,应该警惕网络钓鱼诈骗、垃圾邮件攻击或藏有恶意软件的恶意电子邮件会突然增加。

]]>
“年度恶人”扎克伯格 实至名归 Sun, 23 Jan 2022 21:19:48 +0800 2021年结束之际,扎克伯格可能有点扎心。

最近,美国老牌杂志《新共和》将这位Facebook创始人评为该杂志的“年度恶人”,并称他这个“笨蛋创始人”创建了“世界上最糟糕、最具破坏性的网站”。

不久前,雅虎财经做了个“年度最差公司”的网络评选,Facebook的母公司Meta高居榜首,得票数超第二名50%以上,成为“2021年度最差公司”。

今年下半年,扎克伯格宣布Facebook改名Meta,正式成立元宇宙公司,此举让元宇宙的概念在全球掀起新的热潮,但同时也面临争议。

在外界看来,Facebook改名Meta,只不过是扎克伯格躲避公众指责的手段。一直以来,Facebook都因操控舆论、泄露隐私等问题被诟病。如今,“年度恶人开最差公司”的评价,或许正是人们长久以来对扎克伯格及其背后公司不满的集中爆发。

这些年,扎克伯格和Facebook多次因为丑闻事件冲上新闻热搜,而扎克伯格的形象也因此一落千丈。从被人津津乐道的哈佛才子、硅谷最年轻的亿万富翁,到现在被骂作AI机器人、“年度恶人”,扎克伯格在“黑红”的路上一去不复返。

道德形象高楼,轰然倒塌

扎克伯格一定会深深记住2018年。

那一年是Facebook的至暗之年,也是扎克伯格的口碑急转直下的开始。

当年3月,震惊全球的“Facebook数据泄露门事件”爆发。有媒体曝光Facebook上超5000万用户信息在不知情的情况下,被出售给政治数据公司“剑桥分析”。而后事件升级,Facebook的首席技术官表示,约有8700万用户受到数据泄露事件影响,其中大部分是美国用户。

这些被泄露的用户数据甚至影响了2016年美国总统大选。在大选期间,剑桥分析向特朗普阵营提供了详尽的美国选民数据,并利用Facebook带有偏重的算法,有针对性地向用户投放广告。剑桥分析的总裁曾表示,正是使用了这样的技术,才让特朗普最终成功击败希拉里。

这一丑闻引发网友众怒,也让扎克伯格两次走进国会听证会,并接受了10个小时的“拷问”。扎克伯格承认,Facebook在过去的几年里犯了不少错误。

与此同时,在听证会期间,更让网友乐此不疲的则是有关“扎克伯格是不是个机器人”的讨论。面对参议员的质询,扎克伯格表现得极端冷漠、严肃,表演假装喝水,还露出了程式化的微笑。网友对扎克伯格的“是人非人”的争论,也暗示着他的形象开始崩坏。

除此之外,这些年来,Facebook逐渐收购了WhatsApp、Messenger和Instagram等热门应用。目前全球月活前五的APP中,有四个来自“Facebook家族”。从2019年开始,美国各地相继掀起对Facebook的反垄断调查。去年12月,美国联邦贸易委员会和来自48个州及地区的总检察长联合提交了两份针对Facebook的独立反垄断诉讼,并要求法官勒令Facebook拆分Instagram和WhatsApp的业务。

尽管诉讼最终被驳回了,但Facebook利用其优势地位和垄断力量,打压弱小竞争对手,扼杀竞争的行为被揭露在公众眼前。扎克伯格这位曾缔造“美国梦”的硅谷企业家,也变成了臭名昭彰的行业恶霸。

而真正给扎克伯格和Facebook带来致命一击的,要属前Facebook员工弗朗西斯·豪根的指控。

今年10月,豪根在美国国会上指控Facebook损害青少年身心健康、煽动分裂并削弱美国民主。她将多份内部文件曝光给媒体,揭露Facebook视利润高于一切,罔顾公众安全的行为。一时间,众人哗然。

豪根表示,Facebook为了流量,通过算法让用户看到更多能引起愤怒、激发恐惧、煽动仇恨的内容。它还主动关闭了“减少假消息”的安全系统,放任假新闻横行。

此外,Facebook旗下的Instagram对青少年的身心健康带来巨大负面影响,让他们陷入焦虑、患上饮食失调,甚至自杀。豪根引用的一项内部研究数据表明,13.5%的少女说INS使自杀念头更加强烈,17%的少女认为INS会使饮食失调恶化。

颇具戏剧性的一幕是,在豪根参加国会听证的前一天,Facebook、Instagram以及WhatsApp陷入大规模瘫痪,宕机延续近6小时,29亿全球用户受到影响。由此,Facebook股价盘中暴跌6%,扎克伯格个人财富一天之内蒸发超60亿美元。

一切仿佛是天意,Facebook的遮羞布被扯下,底下丑态被“公开处刑”。

押宝“元宇宙”

虽然Facebook丑闻缠身,但也没有阻碍扎克伯格追逐投资热点。

今年10月28日,扎克伯格宣布,将Facebook正式改名为Meta,同时更换了公司的图标,而原本的Facebook降级为Meta的子公司,与Instagram和WhatsApp并列。

Meta一词源于元宇宙(MetaVerse)。扎克伯格表示,元宇宙将会继承移动互联网,在未来5到10年内成为主流。从现在开始,Meta会以元宇宙优先,社交网络已成过去式。

在扎克伯格构想的图景里,元宇宙将融合游戏、工作、社交、教育等多个领域。每位用户只要戴上头显就能在元宇宙中畅游,而VR也将被纳入到元宇宙通用计算平台中,就像现在的智能手机、笔记本电脑一样。



在过去这些年,Facebook不断加大在硬件设施方面的投入。Facebook的第三季报透露,AR和VR将是其未来几年战略的一个关键部分,未来一年内将花费约100亿美元开发构建元宇宙所需的技术,而这一投资力度短期内还将持续。


眼下,许多业内人士表示,Meta公司提出的元宇宙,还只是个概念,以现在的技术水平,距离元宇宙的实现还差得很远。事实上,目前业内对“元宇宙”的概念还众说纷纭,不甚清晰。但可以确定的是,扎克伯格若要实现自己的元宇宙构想,还需要大量的技术支持,庞大的用户体量和生态环境,仅凭Meta一家公司恐怕难以实现。


对元宇宙巨大的投入,也未必能得到相应的产出。目前没人能确定,虚拟世界的某些功能是否有存在的必要。美国银行分析师贾斯汀·波斯特表示,元宇宙项目达到盈亏平衡点之前,Facebook的巨额投资可能超过500亿美元。由于投资过于庞大,部分投资者可能认为元宇宙项目价值为负。


一些科技巨头也始终不看好元宇宙。9月,库克在接受采访时,拒绝了“元宇宙”的说法,并表示会“远离那些流行语”。最近,马斯克更是公开表示对“元宇宙”的不屑。他把这件事形容为“整天怼个屏幕在脸前”,甚至调侃道:“我小时候妈妈总跟我说,别离电视太近……”




但不管外界声音如何,扎克伯格仍然把宝押在了“元宇宙”上。并且在不断地做尝试。


伦理的“达摩克利斯之剑”


2018年,Facebook曾发布三款不同类型的社交应用,试图培养用户VR社交习惯。今年12月,Meta推出名为Horizon Worlds的VR社交应用,向18岁以上的用户开放。用户能以高度定制的数字化身出现,与其他人会面、玩游戏。


Meta在当下已经构建出了一定程度的“虚拟社区”Horizon Worlds,但在相关法规和界限没有清楚之前,Meta的这个“虚拟世界”仍然备受争议。




前不久,在Horizon Worlds测试期间,一件不幸的事发生了。


某天,一位女性用户独自行走在Horizon Worlds的广场上,而一个陌生男人悄悄尾随,并伸手“摸”了她一下。


事后,这位女用户表示,“这种(不适的)感觉比在互联网上被骚扰更为强烈”。更令人气愤的是,当性骚扰行为发生时,同在Horizon Worlds的用户没有给予任何帮助,反而旁观支持,这让她感到孤立无援。




Meta内部对此事进行了审查。工作人员表示,他们在应用里设置了一个叫“安全区”的工具,用户一旦激活便无人可触碰,从“物理层面”避免了性骚扰问题。但是,这种方式过于简单粗暴,难以服众。


立法监管的空白,才是元宇宙上方真正的阴云。


在设想中,“元宇宙”一定是比当下图文、视频、直播等形式更加复杂的“虚拟社交世界”,虚拟价值也因此大大增加。但让一家公司掌控大量用户的虚拟财产、资源、信息,无疑是一件风险极大的事。


当越来越多的人从现实生活转向数字生活,人类的经济链条也会被完全纳入元宇宙里,到那时,像扎克伯格这样的科技巨头就会成为虚拟世界的领导者,拥有至高无上的权力。Facebook早期投资者罗杰·麦克纳米表示,他不相信扎克伯格不会滥用他在元宇宙中的权力。




来源:电影《黑客帝国》


因此,技术进步带来的元宇宙,未必会让人类的生活变得更好。《黑客帝国》里被高度控制的虚拟世界以及萧条不堪的现实荒漠,便是对技术乐观主义的警告。在绝对的权力和资源面前,没人能保证自己不成为一个“暴君”。况且,扎克伯格当下对社交产品Facebook的管理,已然被外界诟病。


]]>
日本惠普公司闯大祸 京都大学超算系统77TB重要数据被误删 Sun, 23 Jan 2022 21:19:48 +0800 IT之家 12 月 29 日消息,日本京都大学发布公报称,2021 年 12 月 14 日 17 时 32 分至 2021 年 12 月 16 日 12 时 43 分,由于备份超级计算机系统(日本惠普公司制造)的程序存在缺陷,超级计算机系统出现了意外,其中存储(/ LARGE0)中的某些数据被误删除。

京都大学表示,该错误使得 /LARGE0 目录下的约 77TB 文件被误删,约 3400 万个文件丢失。

IT之家了解到,日本惠普公司在备份程序的功能修复中,由于程序的粗心修改及其应用程序的问题,在删除旧的日志文件时,误删除了 /LARGE0 目录下的文件。

备份脚本包含使用 find 命令查找删除超过 10 天的日志文件。随着脚本功能的改进,传递给 find 命令的删除过程的变量名也有所改变,以提高可见性和可读性。

但修改后的脚本出现纰漏,bash 在 shell 脚本运行时通过覆盖脚本来释放脚本,从中间重新加载修改后的 shell 脚本执行了包含未定义变量的 find 命令。因此误删除了 / LARGE0 中的文件,而不是删除了原日志目录中保存的文件。

京都大学表示,备份过程目前已停止,预计 1 月底恢复备份。不过,在备份之前消失的文件已经无法恢复了,今后将保留增量备份等功能,还将改进操作管理,以防止再次发生。

日本惠普公司表示,对此次事件负全部责任,并承诺进行赔偿和善后。

]]>
Steam主域名被工信部拉黑!官方回应:有违规行为 Sun, 23 Jan 2022 21:19:48 +0800 你的Steam商店还能打开吗?

12月28日,@蓝鲸财经记者工作平台 官微发文称,在工信部域名信息备案管理系统查询发现,Steam游戏平台的主域名(steampowered.com)已被列入黑名单。

目前,在浏览器直接打开Steam主域名时,会被自动跳转到另一个商店域名(store.steampowered.com)。

据该媒体透露,他们致电了工信部咨询电话,工作人员回应称:并不清楚该域名被拉黑的原因,也没有收到相关通知,但肯定是有违法违规才会被拉黑,至于整改后域名能否被重新启用、是否会影响国内玩家登陆Steam平台等都无法确定。

Steam主域名被工信部拉黑!官方回应:有违规行为

截至发稿前,Steam方面暂未对此事做出任何回应。

不过,根据笔者实测来看,目前Steam平台不论是网页还是桌面客户端都可以正常使用,并且速度也基本与此前保持一致,对正常使用似乎并未造成太大影响。

你那边Steam还能正常用吗?

]]>
全球最大图片服务公司Shutterfly遭Conti 勒索软件攻击 Sun, 23 Jan 2022 21:19:48 +0800 据BleepingComputer消息,全球最大图片服务公司Shutterfly 遭Conti 勒索软件攻击。攻击者对数千台设备进行加密,并窃取了Shutterfly公司的数据。

资料显示,Shutterfly总部位于美国加利福尼亚州,主打产品是在线照片书线。 Shutterfly成立于1999年,并声称自己的在线图片存储是世界上最大的,拥有70PB的数据,约16亿张图片。

上周五(2021年12月24日),Shutterfly被曝大约在两周前遭受了Conti 勒索软件攻击,大约有4000多台设备和120台 VMware ESXi 服务器被加密,攻击者以此勒索数百万美元的赎金。截止到目前,Shutterfly依旧在和攻击者进行协商。

一般来说,勒索软件团伙对公司设备进行加密之前,通常会潜伏数天至数周,悄悄窃取公司的数据和文件。然后以这些数据或文件为条件,迫使受害者支付赎金,并威胁不付赎金就将这些数据、文件公开或出售给其他黑客。

这种操作被称为“双重勒索”,此次勒索攻击中,Conti勒索组织也有类似的操作。Conti创建了一个私人的Shutterfly数据泄漏页面,其中包含在勒索软件攻击期间被盗的文件截图。如果不支付赎金,Conti勒索组织威胁要公开这些数据。

这些数据包括法律协议、银行和商家帐户信息、公司服务的登录凭据、电子表格,以及其他用户私密的信息,包括信用卡最后四位数字等。此外,Conti勒索组织还表示以及拿到 Shutterfly 商店的源代码,但目前无法确定是不是Shutterfly.com网站。

对于此次勒索攻击事件,Shutterfly公司发表声明称,Shutterfly.com、Snapfish、TinyPrints 或 Spoonflower 网站均未受到攻击的影响。但是Lifetouch、BorrowLeneses 和 Groovebook 因为此次攻击中断了服务。目前Shutterfly公司已经聘请了第三方网络安全专家,通知了执法部门,正以最大的努力解决这一问题。

Shutterfly公司还强调,公司不会存储Shutterfly.com、Snapfish、Lifetouch、TinyPrints 的信用卡、金融账户信息或社会安全号码,因此在该事件不会泄露任何的信息。公司一直非常重视用户隐私信息安全,因此我们将优先调查这部分内容,并将持续更新事件最新进展。

]]>
威联通NAS设备在圣诞期间遭到了勒索攻击 Sun, 23 Jan 2022 21:19:48 +0800 据BleepingComputer网站消息,网络附加存储 (NAS)设备制造商威联通(QNAP)用户在圣诞节期间遭遇了eCh0raix 勒索软件(也称为 QNAPCrypt)攻击。

据悉,大规模的攻击始于圣诞节前一周,并于12月26日左右结束。目前,最初的感染媒介仍不清楚,一些用户承认可能是由于疏忽将NAS接入了不安全的网络链接,但也有不少用户认为这是源于QNAP Photo Station 中的一个漏洞所致。

无论攻击路径如何,eCh0raix 勒索软件攻击者似乎都在系统管理员组中创建了一个账号,从而加密NAS 系统上的所有文件。

除了攻击次数激增外,这次活动的一个突出表现为,攻击者似乎有意打错写有赎金说明的文本文件,其显示的扩展名为“txtt”。虽然这并不妨碍查看说明,但可能会给某些用户带来问题,他们将不得不使用特定程序(如记事本)指向操作系统打开文件,或将其加载到所述程序中。

在最近的这些攻击中,ech0raix勒索软件要求的赎金从0.024比特币(1200美元)到0.06比特币(3000美元)不等。由于一些用户没有额外备份文件,他们不得不支付赎金才能恢复文件。

需要注意的是,对于使用旧版本(2019 年 7 月 17 日之前)的 eCh0raix 勒索软件加密的文件,有一个免费的解密器。但是,没有免费的解决方案可以解密由最新版本(版本 1.0.5 和 1.0.6)加密的数据。

eCh0raix的攻击最早始于 2019 年 6 月,此后一直持续至今。今年年初,威联通曾向用户发出提醒,eCh0raix正对采取弱密码的设备展开攻击。

为了做好安全防范措施,威联通建议用户参考官网指南,检查 NAS 并配置系统设置,以更好地保护设备和数据。

]]>
东京警方丢失存有38位民众个人信息软盘,日网民:软盘是昭和时代的东西了吧 Sun, 23 Jan 2022 21:19:48 +0800 东京警视厅27日发布消息称,装有38名申请东京都目黑区公营住宅民众个人信息的两张软盘丢失。此事成为日本社交媒体当天热议的话题,有当地网民抨击警方工作不力,但更令他们震惊的是,警察居然还在使用软盘储存信息。

日本新闻网站“Your News Online”使用的软盘资料图

据日本《每日新闻》27日报道,根据东京警视厅和目黑区政府签署的一项协议,前者会定期保留存有目黑区公营住宅申请者个人信息的软盘,以确保其中不包括黑社会人士。此次丢失的两张软盘分别是2019年12月和2021年2月目黑区上报的部分,且都放在只能用钥匙打开的储藏室内。目前警方尚未找出丢失的原因。

不少日本网民对于警方、区政府等机构仍在使用软盘难以置信,纷纷表示,“我第一反应以为是假新闻”“这是昭和时代的东西了吧”“我还记得软盘的容量是1.44MB”……有网民揶揄道:“能够读取软盘的计算机系统会是什么?”还有人讽刺说:“即使软盘丢失了,(盗取的人)会因为没有读取软盘的机器而无法看到里面的内容,真是‘值得称赞’的防信息泄露对策。”也有人问道:“咱们政府的数字厅不是已经开始工作了吗?”

]]>
安联智库网安周报(12.20-12.26) Sun, 23 Jan 2022 21:19:48 +0800

1、央视曝光部分App禁止全部权限仍可获取用户信息

近年来,用户隐私泄露成为民众广泛讨论的话题,虽然工信部多次通报、下架侵害用户权益行为的APP,但仍然有APP顶风作案。12月25日,据央视网快看报道,一个移动应用程序安全检测实验室的负责人现场演示了APP在后台运行时,是如何窃取用户的个人信息的。
汤啸骅是一个移动应用程序安全检测实验室的负责人,他告诉记者,一些APP在后台运行时可能就在偷偷窃取你的个人信息,他现场随机安装了一款APP,打开软件并禁止了所有权限,退出等待几分钟之后,检测系统有了惊奇的发现。
汤啸骅 手机安全工程师:“他(APP)推到后台的时候,还有对于位置的一些访问信息和访问动作”。此外,工程师还对另外一款APP设置了在使用期间可用位置信息,但是在没有对手机进行任何操作的情况下,这个APP依然在不断地获取用户位置信息,短短几分钟之内就多达14次。
据悉,《个人信息保护法》自今年11月1日开始正式实施,该法规明确规定了企业向个人进行信息推送、商业营销,应提供拒绝方式;处理用户敏感个人信息,应取得个人的单独同意等。
2、《蜘蛛侠3》盗版资源疯传 安全机构警告:发现挂马及带毒种子

上周,《蜘蛛侠:英雄无归(Spider-Man: No Way Home)》在北美等部分地区上映。因为索尼同时担任主要出品商的缘故,本片并未第一时间在Disney+等流媒体渠道上线。尽管如此,一些盗摄资源还是很快流出,甚至将自己包装成所谓720P/1080P MKV高清。

对此,安全机构Reason Cybersecurity警告表示,甄别发现,其中不乏一些挂马或者捆绑恶意软件的《蜘蛛侠》种子资源,甚至还有夹杂挖矿程序的存在。

狡猾的是,有的恶意程序并不能被Windows Defender检测到。

考虑到《蜘蛛侠:英雄无归》票房口碑极好(豆瓣8.1分、IMDb 9.0分),甚至是今年最卖座的好莱坞电影,打歪主意的不法分子定不会就此收手。这里提醒大家尽可能支持正版的同时,也应在网络世界牢固树立安全风险意识,不要被钻了空子。

3、西安新增确诊155例 全球最大闪存基地进入紧急状态

根据国家卫健委通报,昨天(12月25日)本土新增新冠确诊病例158例,其中155例在西安。严峻的疫情形势,让三星西安闪存制造基地的运营状况备受关注,该基地是全球最大的闪存芯片制造基地,任何风吹草动都可能影响市场价格。

12月24日,韩联社援引三星方面的消息报道称,西安的闪存工厂正在全面运营,虽然采取了紧急措施,但住在公司宿舍内的员工可以确保生产不受到影响。该公司官员表示,正在考虑采取措施,比如让关键员工留在生产设施内,以尽量减少他们与外界的接触,并与政府部门协商让他们继续工作。

集邦咨询的报告指出,受疫情影响,西安严格管控人流及物流,尽管三星2021年底至2022年1月中旬以前的闪存出货大多已经安排妥当,但无法排除接下来因物流延迟出货的可能,这或许会对采购端的物料安排造成影响。此外,该公司的原材料进货也有可能因物流受阻而延迟,但三星西安厂区内的库存仍保持在安全水准,可以应付未来数月的生产。

价格方面,NAND闪存现货价格尚未因为西安疫情而有明显的波动,目前现货市场的买卖双方库存量均偏高,近期交易量疲弱且价格波动较小,但不排除可能受到疫情影响而有短期小涨的情况发生。

4、因未删除被禁信息 谷歌被俄罗斯法院罚款6亿元

12月24日,据外媒报道,针对俄罗斯法院对谷歌进行72亿卢布(约合6亿元人民币)的罚款,谷歌声明称将在对法院的裁决进行研究后决定是否就未删除被禁信息而遭罚款提出上诉。

据报道,莫斯科一家法院今日宣布,已对谷歌处以72亿卢布(约合6.25亿元人民币)的罚款,原因是谷歌一再未能删除被俄罗斯视为非法的内容。值得一提的是,这是俄罗斯在此类案件中,首次基于营收对一家企业做出罚款。之前,俄罗斯也曾因谷歌未删除非法内而对其进行数次罚款,但罚款金额较小。

12月23日,Twitter被俄罗斯法院罚款300万卢布(约合26万元人民币),原因同样是未能删除被罗斯政府视为非法的内容。

近几个月来,俄罗斯已采取一系列措施,加强对美国科技公司的监管,限制网上信息的获取。为此,苹果、谷歌、Twitter和Facebook等均遭到不同程度的处罚。

]]>
《蜘蛛侠3》盗版资源疯传 安全机构警告:发现挂马及带毒种子 Sun, 23 Jan 2022 21:19:48 +0800 上周,《蜘蛛侠:英雄无归(Spider-Man: No Way Home)》在北美等部分地区上映。因为索尼同时担任主要出品商的缘故,本片并未第一时间在Disney+等流媒体渠道上线。尽管如此,一些盗摄资源还是很快流出,甚至将自己包装成所谓720P/1080P MKV高清。

对此,安全机构Reason Cybersecurity警告表示,甄别发现,其中不乏一些挂马或者捆绑恶意软件的《蜘蛛侠》种子资源,甚至还有夹杂挖矿程序的存在。

狡猾的是,有的恶意程序并不能被Windows Defender检测到。

数字风险保护公司Digital Shadows高级智囊Sean Nikkel则表示,这样通过热门电影或者媒体资源“挂羊头卖狗肉”的做法已经司空见惯。

考虑到《蜘蛛侠:英雄无归》票房口碑极好(豆瓣8.1分、IMDb 9.0分),甚至是今年最卖座的好莱坞电影,打歪主意的不法分子定不会就此收手。这里提醒大家尽可能支持正版的同时,也应在网络世界牢固树立安全风险意识,不要被钻了空子。


]]>
CISA发布Apache Log4j漏洞扫描器 以筛查易受攻击的应用实例 Sun, 23 Jan 2022 21:19:48 +0800 在 Log4shell 漏洞曝光之后,美国网络安全与基础设施局(CISA)一直在密切关注事态发展。除了敦促联邦机构在圣诞假期之前完成修补,国防部下属的该机构还发起了 #HackDHS 漏洞赏金计划。最新消息是,CISA 又推出了一款名叫“log4j-scanner”的漏洞扫描器,以帮助各机构筛查易受攻击的 web 服务。

据悉,作为 CISA 快速行动小组与开源社区团队的一个衍生项目,log4j-scanner 能够对易受两个 Apache 远程代码执行漏洞影响的 Web 服务进行识别(分别是 CVE-2021-44228 和 CVE-2021-45046)。

这套扫描解决方案建立在类似的工具之上,包括由网络安全公司 FullHunt 开发的针对 CVE-2021-44228 漏洞的自动扫描框架。

有需要的安全团队,可借助该工具对网络主机进行扫描,以查找 Log4j RCE 暴露和让 Web 应用程序绕过防火墙(WAF)的潜在威胁。

CISA 在 log4j-scanner 项目主页上介绍了如下功能:

 支持统一资源定位符(URL)列表。

可对 60 多个 HTTP 请求标头展开模糊测试(不仅限于 3-4 个)。

 可对 HTTP POST 数据参数开展模糊测试。

 可对 JSON 数据参数开展模糊测试。

支持用于漏洞发现和验证的 DNS 回调。

可筛查有效载荷的防火墙(WAF)绕过。

]]>
央视曝光部分App禁止全部权限仍可获取用户信息 Sun, 23 Jan 2022 21:19:48 +0800 近年来,用户隐私泄露成为民众广泛讨论的话题,虽然工信部多次通报、下架侵害用户权益行为的APP,但仍然有APP顶风作案。12月25日,据央视网快看报道,一个移动应用程序安全检测实验室的负责人现场演示了APP在后台运行时,是如何窃取用户的个人信息的。

汤啸骅是一个移动应用程序安全检测实验室的负责人,他告诉记者,一些APP在后台运行时可能就在偷偷窃取你的个人信息,他现场随机安装了一款APP,打开软件并禁止了所有权限,退出等待几分钟之后,检测系统有了惊奇的发现。

汤啸骅 手机安全工程师:“他(APP)推到后台的时候,还有对于位置的一些访问信息和访问动作”。此外,工程师还对另外一款APP设置了在使用期间可用位置信息,但是在没有对手机进行任何操作的情况下,这个APP依然在不断地获取用户位置信息,短短几分钟之内就多达14次。

据悉,《个人信息保护法》自今年11月1日开始正式实施,该法规明确规定了企业向个人进行信息推送、商业营销,应提供拒绝方式;处理用户敏感个人信息,应取得个人的单独同意等。

]]>
备案制来临!一文详解中企境外上市新规 Sun, 23 Jan 2022 21:19:48 +0800 12月24日,中国证监会公布《国务院关于境内企业境外发行证券和上市的管理规定(草案征求意见稿)》和《境内企业境外发行证券和上市备案管理办法(征求意见稿)》,就境内企业境外发行证券和上市向社会公开征求意见。

根据规则,在遵守境内法律法规的前提下,满足合规要求的VIE架构企业备案后可以赴境外上市。由此推测,中国企业境外发行上市将全面转向备案制。

需要注意的是,备案并非审核。通过设立了一定的底线条件及负面清单来审核企业是否满足境内监管要求,但不实质审查企业是否符合境外上市地发行上市条件等。拟境外上市的企业需前置取得审批,取得行业主管部门的监管意见书并通过安全评估审查。证监会也将与行业主管部门建立协作,减轻企业负担,不会要求企业多部门跑“路条”。

备案主体是谁?

根据新规要求,境内企业无论直接或间接在境外发行上市,均需履行备案程序。

境外直接发行上市,指的是注册在境内的股份有限公司在境外发行证券或者将其证券在境外上市交易。境外间接发行上市,指主要业务经营活动在境内的企业,以境外企业的名义,基于境内企业的股权、资产、收益或其他类似权益在境外发行证券或者将证券在境外上市交易。

间接发行上市的认定,原则上实质重于于形式,认定条件包括:

1、境内企业最近一个会计年度的营业收入、利润总额、总资产或净资产,占发行人同期经审计合并财务报表相关数据的比例超过50%;

2、负责业务经营管理的高级管理人员多数为中国公民或经常居住地位于境内,业务经营活动的主要场所位于境内或主要在境内开展。

新规首次将红筹企业上市纳入到证监会及有关主管部门监管范围,明确满足合规要求的VIE架构企业备案后可以赴境外上市。

哪些企业不得在境外上市?

以下几类企业不得在境外上市:

1、国家法律法规和有关规定明确禁止上市融资,例如学科类教育培训企业;

2、经国务院认定,境外发行上市威胁或危害国家安全,例如网络安全、数据安全审查不通过的企业;

3、存在股权、主要资产、核心技术等方面的重大权属纠纷的企业;

4、境内企业及其控股股东、实际控制人最近三年内存在贪污、贿赂、侵占财产、挪用财产或者破坏社会主义市场经济秩序的刑事犯罪,或者因涉嫌犯罪正在被司法机关立案侦查或涉嫌重大违法违规正在被立案调查;

5、企业董监高人员最近三年内受到行政处罚且情节严重,或者因涉嫌犯罪正在被司法机关立案侦查或涉嫌重大违法违规正在被立案调查;

6、有关交易存在可能导致境外上市公司主要资产为现金或者无具体经营业务。

哪些行为需要备案?

首次公开发行上市、境外已上市企业二次上市、多重上市、再融资、借壳上市、将其证券在境外上市交易(即SPAC等形式)等行为,需要履行备案程序。例如于香港双重主要上市或第二上市的红筹企业,同样应比照IPO提交备案材料。

另外,重大事项变更也需要履行备案程序。如上市前主营业务或业务牌照资质的重大变更、 股权结构的重大变更或控制权变更等;上市后,控制权变更、境外监管或有关主管采取调查处罚等措施、主动终止上市或强制终止上市等。

备案流程是怎样的?

规则对增量企业和发生再融资等活动的存量企业,按要求履行备案程序;其他存量企业备案将另行安排,给予充分的过渡期。

备案流程上,总体简化了企业申报时间。按规定,企业在提交境外发行上市申请材料后3个工作日内向中国证监会提交备案申请,其中应包括上面提到的行业审批以及网络数据安全审批。备案材料完备、符合规定要求的,证监会在20个工作日内出具备案通知书,如证监会认为材料反映的信息不完整、不充分,将要求企业进行补充说明。根据企业材料反映的情况,证监会视需征求有关主管部门意见,征求意见时间不计算在备案时限内,征求意见情况将及时反馈给申请人。

未按规定履行备案有何后果?

境外上市前发现不符合备案条件,证监会有权要求境内企业暂缓或者终止境外发行上市,已经备案的可以撤销备案;处在备案阶段的,证监会可以要求剥离境内企业业务、资产或采取其他有效措施,消除或避免境外发行上市对国家安全影响。

对于未按规定履行备案的企业,主管部门应给予警告,并处以一百万元以上一千万元以下的罚款;情节严重的,企业可能会遇到业务剥离、上市计划推迟、高额罚款、业务暂停等情况,控股股东、实际控制人、董监高也将受到处罚。同时,中介机构也面临罚款及执业禁止等的情况。境外证券公司将被纳入证监会监管体系黑名单。

]]>
西安新增确诊155例 全球最大闪存基地进入紧急状态 Sun, 23 Jan 2022 21:19:48 +0800 根据国家卫健委通报,昨天(12月25日)本土新增新冠确诊病例158例,其中155例在西安。严峻的疫情形势,让三星西安闪存制造基地的运营状况备受关注,该基地是全球最大的闪存芯片制造基地,任何风吹草动都可能影响市场价格。

据韩联社日前报道,三星在西安的闪存制造工厂本周五(12月24日)已进入紧急运营状态,该公司正考虑让关键员工留在工厂内,以减少和外界接触。报道称,这个拥有3300名员工的制造基地正想方设法保持工厂的正常生产。该公司一名官员表示,正密切关注事态发展,并就后续运营与当地政府保持沟通。

12月26日,观察者网从半导体咨询机构集邦咨询(TrendForce)获取的一份调查报告显示,目前西安的封闭式管理措施暂未影响三星当地工厂的正常运营。该公司在西安设有两座大型工厂,均用以制造3DNAND(三维闪存)高层数产品,投片量占该公司NAND闪存总产能的42.3%,全球产能占比也高达15.3%。

闪存是一种非易失性存储器,即断电数据也不会丢失,因此也是市场上最常见的存储芯片种类,无论是手机、电脑还是服务器中都会用到这种芯片。用最通俗易懂的话来说,手机参数8G+128G中的128G指的就是闪存容量,电脑中的固态硬盘(SSD)也会用到闪存芯片。

三星是全球最大的闪存芯片厂商,市场份额在30%以上。在这一领域,中国厂商的代表是位于武汉的长江存储,目前该公司在技术上已逐渐追上国际主流水准,但产能占比仍相当低(1%左右)。不过长江存储的出现,让领头羊韩国企业不敢在技术和产能上再掉以轻心。

12月24日,韩联社援引三星方面的消息报道称,西安的闪存工厂正在全面运营,虽然采取了紧急措施,但住在公司宿舍内的员工可以确保生产不受到影响。该公司官员表示,正在考虑采取措施,比如让关键员工留在生产设施内,以尽量减少他们与外界的接触,并与政府部门协商让他们继续工作。

集邦咨询的报告指出,受疫情影响,西安严格管控人流及物流,尽管三星2021年底至2022年1月中旬以前的闪存出货大多已经安排妥当,但无法排除接下来因物流延迟出货的可能,这或许会对采购端的物料安排造成影响。此外,该公司的原材料进货也有可能因物流受阻而延迟,但三星西安厂区内的库存仍保持在安全水准,可以应付未来数月的生产。

价格方面,NAND闪存现货价格尚未因为西安疫情而有明显的波动,目前现货市场的买卖双方库存量均偏高,近期交易量疲弱且价格波动较小,但不排除可能受到疫情影响而有短期小涨的情况发生。

观察者网梳理发现,早在10年前,三星就开始在西安布局闪存基地。2012年4月,总投资108亿美元的三星闪存芯片一期项目落户西安高新区;2017年8月,三星决定在西安建设闪存芯片二期项目,其中第一阶段投资约70亿美元,第二阶段投资80亿美元。

今年2月,三星(中国)半导体有限公司副总裁李尚炫曾公开透露,三星(中国)半导体自2012年落户西安以来,在社会各界及西安高新区的大力支持下,已完成闪存芯片一期项目及封装测试项目的投产运营,二期一阶段也于去年9月达到满产,二期二阶段2021年上半年将正式投产。

而根据西安日报2019底的报道,三星西安闪存二期项目建成后,西安将成为全球水平最高、规模最大的闪存芯片制造基地。

事实上,随着三星闪存芯片工厂的建成,西安已形成较完整的半导体产业链。据陕西省科技厅今年2月发布的消息,自2003年西安引进第一家集成电路外资企业英飞凌以来,西安已持续引进了英特尔、三星、美光、应用材料等国际半导体巨头,以及华为、中兴、华天、奕斯伟等国内龙头企业。

从产业链不同环节来看,西安已拥有克瑞斯、紫光国芯、兆易创新、龙芯中科等百余家半导体设计企业,排名全国第六,产品涵盖通信、存储器、物联网、功率器件等众多领域。目前陕西最高的设计水平达到7nm,正在进行10nm工业平台的SoC芯片设计研发工作。在集成电路制造业方面,规模不断扩大,西安具有8家半导体晶圆制造企业,其中,西安三星半导体2020年产值超过700亿元,多年位居全国第一,晶圆制造最高水平达到12英寸14nm级存储器晶圆制造技术。

疫情之下,西安市政府对半导体企业的需求也相当重视。今年2月,三星中国高管李尚炫在接受西安当地媒体采访时透露,2020年是三星(中国)半导体二期项目建设的关键时刻,突如其来的疫情打乱了项目的建设计划,但是在西安市委、市政府的帮助和支持下,成功申请并运营了包机航班,16班共计3500余名工程师顺利抵达西安,为二期项目的顺利运营、建设提供了有力保障。

]]>
淘宝改规则“刷好评返钱”不行了 Sun, 23 Jan 2022 21:19:48 +0800 “五星好评,晒图返现”,曾几何时,在电商平台购物的你们,是否频频收到过这些返现广告单?

但最近,卖家这种以利益为诱惑,主动向买家索要好评的行为就要行不通了。

2021年,12月21日,淘宝发布关于《淘宝网评价规范》规则变更公示通知,对“好评返现”“好评返优惠券”等行为作出明确规范。

其中提到,卖家不得自行或通过第三方要求买家只写好评、修改评价和追加评价。不得以物质或金钱承诺为条件鼓励、引导买家进行好评。

《财经天下》周刊发现,这种让买家晒图返现的现象,目前仍普遍存在于电商平台和外卖平台中,而大多数消费者甚至没有意识到这种行为的不妥之处,“反正到时候也是自动好评的,不如拿点小钱”、“是什么让我好评返现,是穷”,类似的言论代表了不少网友的心声。

2021年12月22日,中央网信办召开全国网信系统视频会议,部署开展“清朗·打击流量造假、黑公关、网络水军”专项行动。

据中央网信办相关负责人介绍,此次专项行动聚焦流量造假、黑公关、网络水军问题乱象,重点开展三方面整治任务。

其中,即包括分环节治理刷分控评、刷单炒信、刷量增粉、刷榜拉票等流量造假问题。紧盯短视频、直播、电商平台等商品营销环节,治理制造虚假销量、虚假好评等问题。

3元的诱惑

家住北京的大学生张玲(化名),每次收到快递包裹,都会熟练地拿出其中的“好评返现”卡,卡片提醒她“晒图的时候记得不要露出此卡哦!”。她通过这种方式领取了数十次商家红包,每次的金额在3-10元不等,“如果没有红包,我根本不会去评论,除非东西很差。”

消费者的心理早已被商家摸透。

《财经天下》周刊就在淘宝平台某消费品旗舰店发现,不断有客服私聊买家:“先不要点评,加微信,参加活动领回馈”,或是为了规避监管,客服在微信向买家描述好评返现活动时,故意将“点评”打成“点平”,“评论”打成“坪论”。

按照客服的指引,评论字数超50字并配上5张图和1条视频,即可领到红包。如果自己懒得拍照、写评论,客服可以全部为你准备好,图片从拍摄角度到画质都非常精美,文字也是紧贴生活、声情并茂,买家只需要复制到评论区。评论发布前,买家还需先向客服展示截图,等对方确认好后,最后拿到的奖励是3元。

目前,该店铺的这一款产品收货人数1万多,评论数却已达16万,而其他同销售量的品牌产品,评论数不到三分之一。

在商家眼中,买家的一个好评至关重要,关乎生意的好坏。经营了一年多淘宝店的店主周然(化名)告诉《财经天下》周刊,好评是促进下单转化率最重要的方法, “没有好评的时候,100个访客中可能只有10个人会买,但如果有了好评会有20个人下单,销量可能会因为好评而直接翻番。”

周然透露,当消费者搜索某类商品的时候,那些排在最前面的,要么是付费买了淘宝的“直通车”,要么是没付费但店铺权重很高,“淘宝在检测店铺权重时到底怎么计算的不知道,但我们店家的共识是,销量越高、退货率越低、好评越多的,权重就会越高,获得的曝光机会就会越多。”

周然的店铺刚起步时,评论和销量都非常少,如果不是特别好或特别差,顾客都不会去专门评论。于是,“好评返现”成了一个重要手段,“看上去不值钱,但毕竟也够骑一趟车了,这可以很好地刺激一些顾客打好评,并继续刺激其他消费者的购买意愿。”

采取了“好评返现”后,周然的店铺销量有了很大的提升,一款冬季的大衣在开春又多卖了一两个月,“看上去一件少赚了那么三五块钱,但是撬动的后期销量是很大的”。而且,周然发现,好评和差评中评不一样,差评中评要隔72小时才能显示出来,但好评是实时发布实时就能看到,效果立竿见影。

“好评返现,对那些还在初创期或中间水平的店铺来说还是很重要的。”周然对《财经天下》周刊说。在电商平台中,能在前几排曝光的,都是肯花钱或本来就权重很高的,对于那些后来入局者,要直面激烈的竞争,就要走一些“捷径”。所以,只要电商平台的流量曝光机制没有改变,这种“走捷径”的店家就很难断绝。

如今,“好评返现”的行为也从电商平台蔓延至美团、饿了么等外卖平台。2021年10月,江苏扬州三家餐饮店,因在美团外卖中放了“好评返现”的小卡片,被市场监管部门罚了1.2万元。

在2021年双11前夕,广东省消费者委员会也发布“双11”提醒:商家要求“好评返现”是违法的。

买卖好评将遭到严厉打击

虚假好评的产生大体有两种方式,除了“好评返现”,还有“买水军刷单”。“水军”多出现在一些兼职平台,他们雇佣大量人员通过频繁下单、给出好评来完成任务,而寄出的是一个空包裹,大家心知肚明,每一单都属于虚假交易。

类似的刷单行为一直是电商平台严厉打击的对象。

早在2018年7月,浙江杭州曾查获一起“刷单”案,涉事的第三方平台“美丽啪”,为3495家电商提供了“刷单”服务,产生的虚假交易记录63万余条。当事人雇佣线下“刷手”,在淘宝上虚构交易的商品销售额超9亿元。

我国2019年1月1日正式实施的《电商法》中明确规定,电子商务经营者不得以虚构交易、编造用户评价等方式进行虚假或者引人误解的商业宣传,欺骗、误导消费者。

经过这些年的发展,监管部门对“刷单”的整治越来越严格。2021年6月,大众点评重拳出击刷单炒信网络灰黑产,用5个月时间处罚“刷好评”用户账号5万个,处罚“刷单”“刷评”商户1万余家,协同执法机关打击了29个非法刷单网络灰黑产团伙。

一家提供刷单服务的中介曾向媒体透露,最基础的刷单服务,一般收费2元一单。为了规避平台监管,不少商家还会选择10元一单的“精刷”服务,减少刷单痕迹,如果刷的是实物商品,还需购买“空包件”发货服务,一件收费在1元以上。显然,好评返现的成本会远低于“精刷”的成本。

所以,相比于刷单,商家对“好评返现”的做法有着更强烈的驱动力,而且平台对“好评返现”的行为也似乎有着更高的容忍度。

《财经天下》周刊在与淘宝卖家的聊天框中输入“好评返现”,系统会自动弹出一句,“淘宝禁止任何形式的引导好评,请共同维护评价的客观公正性” 。在美团外卖中输入同样的内容,系统会自动显示,“您的消息包含敏感内容,消息发送失败”。

事实上,广东省消委会早在六年前就曾呼吁淘宝打击“好评返现”行为。2016年,淘宝颁布了禁止好评返现的规则,但商家的“好评返现”从线上转向线下,好评返现卡开始频繁出现在包裹里。

对此,2017年淘宝还曾专门抽查卖家,如果发现包裹内有好评返现卡会直接扣4分,且不给予申诉机会。淘宝表示,商品中如果出现“好评返现”的内容,将依据《淘宝规则》滥发信息条款中的“行业特殊要求”进行管控。

不过,淘宝后续对“好评返现”的打击力度有所下降。一位淘宝店主告诉《财经天下》周刊,“好评返现”之类的词汇虽然会触发淘宝的提示,但在店铺运营上来说,并不会对店铺进行什么限制,“所以一般都不太担心,而且如果只是把卡片塞进包裹,跟买家也说了晒图不要晒出卡片,淘宝也发现不了。”

在整治虚假好评上,最狠的还属亚马逊。2021,亚马逊关闭了大量电商店铺,理由是卖家“不当使用评论功能”“向消费者索取虚假评论”“通过礼品卡操纵评论”。据深圳市跨境电子商务协会统计,从5月开始,亚马逊平台上被封店的中国卖家超过5万家,已造成行业损失金额预估超千亿元。

在2021年,“好评返现”已成了一道清晰的红线。8月17日,市场监管总局发布《禁止网络不正当竞争行为规定》征求意见稿,其中对“好评返现”作出明确规定:经营者不得采取以返现、红包、卡券等方式诱导用户作出指定评价、点赞、转发、定向投票等互动行为。

据了解,本次《淘宝网评价规范》规则变更将于2021年12月28日生效,届时,对于违规卖家和违规买家,都有可能遭到淘宝平台下架商品、删除商品或限制买家行为等惩罚。

]]>
因未删除被禁信息 谷歌被俄罗斯法院罚款6亿元 Sun, 23 Jan 2022 21:19:48 +0800 12月24日,据外媒报道,针对俄罗斯法院对谷歌进行72亿卢布(约合6亿元人民币)的罚款,谷歌声明称将在对法院的裁决进行研究后决定是否就未删除被禁信息而遭罚款提出上诉。

据报道,莫斯科一家法院今日宣布,已对谷歌处以72亿卢布(约合6.25亿元人民币)的罚款,原因是谷歌一再未能删除被俄罗斯视为非法的内容。值得一提的是,这是俄罗斯在此类案件中,首次基于营收对一家企业做出罚款。之前,俄罗斯也曾因谷歌未删除非法内而对其进行数次罚款,但罚款金额较小。

12月23日,Twitter被俄罗斯法院罚款300万卢布(约合26万元人民币),原因同样是未能删除被罗斯政府视为非法的内容。

近几个月来,俄罗斯已采取一系列措施,加强对美国科技公司的监管,限制网上信息的获取。为此,苹果、谷歌、Twitter和Facebook等均遭到不同程度的处罚。

]]>
虚拟货币“挖矿”监管不能留死角 Sun, 23 Jan 2022 21:19:48 +0800 近期,浙江省纪委监委、省委网信办等部门组成联合检查组,抽查了全省7个地区20家国有单位的36个IP地址,查纠了一批利用公共资源参与虚拟货币“挖矿”与交易的违规违纪行为,地方整治虚拟货币“挖矿”工作取得新突破。

今年以来,针对虚拟货币“挖矿”的监管持续加码。早在5月份,国务院金融稳定发展委员会就定调打击比特币挖矿和交易行为,坚决防范个体风险向社会领域传递。紧接着,工信部、发改委等部门和各地区接连出台相关措施,加大核查整治“挖矿”力度,机构等规模化“挖矿”在国内基本被清除,大量“矿场”已关停或搬迁到海外。

但由于体量小、隐匿性强,一些个人“挖矿”行为依然存在。其中,既有网吧经营者利用配备的高性能显卡电脑“挖矿”,也有部分销售显卡、硬盘的商家自行“挖矿”,甚至还有国有单位工作人员利用公共资源参与“挖矿”,等等。

由于“挖矿”产业链长、专业性强,涉及矿机生产、能耗双控、数据监测、金融监管等多个部门,部分地区部门之间存在沟通衔接不畅、权责关系模糊等问题,对个人“挖矿”行为仍留有监管盲区,让部分散户钻了空子。

虚拟货币“挖矿”属于落后工艺,能源消耗和碳排放量大,加之生产交易环节衍生风险突出,其盲目无序发展对经济社会高质量发展带来不利影响。中央经济工作会议强调,要坚持节约优先,实施全面节约战略。在生产领域,推进资源全面节约、集约、循环利用。这更是对清理整顿虚拟货币“挖矿”提出高要求,即便是小体量的个人“挖矿”行为也不容忽视。

对虚拟货币“挖矿”不留监管死角。一方面需要相关部门形成联动,加强协调合作,共享监管信息,破解个人“挖矿”难监测、难排查等难题,形成整治合力;另一方面还要善用技术手段,从能耗、算力、资金流向等多方面跟踪侦破,做到全流程、全链条监管,让散户“挖矿”无处遁形。

总体来看,在各部门各地区的集中整治下,目前无论是规模化“挖矿”还是分散式“挖矿”均得到了有效治理,未来随着监管盲区的一一扫除,相信距离虚拟货币“挖矿”清零目标的实现不会太遥远。

]]>
中央网信办部署开展“清朗·打击流量造假、黑公关、网络水军”专项行动 Sun, 23 Jan 2022 21:19:48 +0800 12月22日,中央网信办召开全国网信系统视频会议,部署开展“清朗·打击流量造假、黑公关、网络水军”专项行动。中央网信办副主任、国家网信办副主任盛荣华出席会议并讲话,中央网信办有关部门负责同志和网站平台代表在主会场参会,各省(区、市)和新疆生产建设兵团党委网信办负责同志在分会场参会。

会议指出,当前,流量造假、黑公关、网络水军问题相互勾连、互为策应,损害网民合法权益,扰乱网络舆论环境,破坏公平竞争的市场秩序,人民群众深恶痛绝、反映强烈。对此,中央网信办决定在全国范围内开展为期2个月的“清朗·打击流量造假、黑公关、网络水军”专项行动。

会议强调,要提高政治站位,从规范传播秩序、保障人民群众合法权益、维护良好市场秩序等方面,充分认识专项行动的重要意义。会议明确,此次专项行动聚焦流量造假、黑公关、网络水军问题乱象,重点开展三方面整治任务。一是分环节治理刷分控评、刷单炒信、刷量增粉、刷榜拉票等流量造假问题。聚焦生活服务、书影音评分、社交、短视频等平台,重点整治雇佣专业写手和网络水军虚构“种草笔记”“网红测评”,或通过“养号”、占领前排好评、劝删差评等方式,对影视、歌曲、文学作品以及商品、美食、景点进行刷分控评等问题;紧盯短视频、直播、电商平台等商品营销环节,治理制造虚假销量、虚假好评等问题;重点关注社交资讯、论坛社区、视频直播、应用商店、小程序等平台环节,整治批量购买粉丝、增加“僵尸粉”“达人粉”,组织水军制造虚假阅读量、评论量、转发量、点赞量、下载量、曝光量等问题;密切关注各类网站平台“热搜榜”“排行榜”“热门推荐”等榜单位置,严肃查处利用人工或技术手段恶意炒作、刷榜拉票等问题。二是持续整治网络黑公关乱象。重点打击以在网上发布负面信息为由,对他人进行敲诈勒索,牟取不当利益的行为;整治蹭炒社会热点,炮制所谓的“热文”“爆款”,刻意煽动网民情绪进行恶意营销的问题;集中处置恶意假冒、仿冒或者盗用组织机构及他人账号发布信息内容,以吸引关注或实现自我炒作目的的问题;严肃查处网站平台及相关工作人员收受财物,为企业或个人删除负面信息的问题;打击商家编造竞争对手负面信息或误导性信息,有组织地炒作发布、助推上升热度,损害企业合法权益的行为。三是坚决查处涉网络水军信息、账号及相关操控平台。全面清理一批打着“网络兼职”“招募写手”名义推广引流或招募水军的信息;集中查处一批批量注册、发布同质信息,用于制造虚假数据、蹭炒热点话题、攻击诋毁他人、沉降负面信息的水军账号;严厉打击一批群控软件和提供刷量服务的挂机平台。

会议要求,打击流量造假、黑公关、网络水军乱象,是2021年“清朗”系列专项行动的收官之战,要强化组织领导,抓好督导落实,把握工作规律,层层压实责任,注重长效治理,推动专项整治工作取得扎实成效。

]]>
流行游戏《舞力全开》用户数据遭泄露 Sun, 23 Jan 2022 21:19:48 +0800 近日,游戏企业育碧(Ubisoft)已确认其IT基础设施遭受了针对性攻击,其流行游戏《舞力全开》( Just Dance)用户数据被泄漏。育碧解释说,该事件“是配置错误的结果,我们发现后很快就进行了修复,但未经授权的个人有可能已经访问并复制了一些玩家的个人数据。”但育碧没有透露具体有多少玩家受此事件影响。

《舞力全开》团队在育碧留言板上解释道:“疑遭泄漏的数据仅限于‘技术标识符’,其中包括玩家标签、个人资料 ID 和设备 ID ,以及录制和上传的《舞力全开》视频简介等,我们的调查并未显示育碧的任何帐户信息因此次事件而受到损害。”该团队敦促玩家启用双因素身份验证并重置密码。育碧补充说,它已采取“所有必要的主动措施”来保护其基础设施免受未来的网络攻击。

Axios报道称,育碧在过去18个月中面临一波离职潮,原因是薪酬低、组织功能失调和一系列丑闻。育碧员工称人才流失正在损害他们推出游戏的能力。一位离职的开发人员告诉 Axios,他的一位前同事联系其帮助修复游戏,因为公司里没有人知道该怎么做。

2020 年 10 月,勒索软件团伙Egregor称其入侵了育碧网络并窃取了数据,在其泄漏站点上发布了约 20 MB 的数据。但育碧从未对此次攻击事件发表评论。此外,育碧还曾在 2013 年遭到攻击。据BBC报道,当时有 5800 万人的账户被访问。

]]>
漏洞危机爆发时,企业该做什么? Sun, 23 Jan 2022 21:19:48 +0800 2021年,相关法律法规的完善极大促进了中国网络安全行业的发展,基于企业稳定运营、安全运营的原则,越来越多的领域投入到企业安全合规的建设中来。但现状是,随着安全建设的不断深入,各项出台的法规、政策并不一定能充分执行到位,这往往为企业和行业的安全发展埋下了隐患。

近日媒体就报道了有关「阿里云被暂停工信部网络安全威胁信息共享平台合作单位」的消息。事件的起因在于,阿里云作为工信部网络安全威胁信息共享平台合作单位,在发现阿帕奇Log4j2组件严重安全漏洞隐患后,未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理。因此,阿里云最终被工信部暂停作为合作单位6个月。

暂停期满后,再根据阿里云公司整改的情况,研究是否恢复其上述合作单位的资格。

事实上,有关安全漏洞事件,国家有一套详细的法律法规,约束相关企业“尽早申报”,协助相关行业的企事业单位即时“补漏”。 那么,对于网络安全漏洞管理,企业还有哪些硬性要求?FreeBuf和大家一起重温一遍《网络产品安全漏洞管理规定》。

漏洞防范,有规可依

早在2019年,国家工业和信息化部会同有关部门成立专项起草组,研究分析国内外漏洞管理现状,梳理相关漏洞管理需求,形成了初期的《网络产品安全漏洞管理规定》送审稿。几经优化后,终于在2021年9月,正式出台《网络产品安全漏洞管理规定》正式稿,第一次对我国漏洞发现、报告、修补和发布行为进行明确的流程和责任划分,让漏洞防范,有法可循、有规可依。

《网络产品安全漏洞管理规定》源于《网络安全法》,由工业和信息化部、国家互联网信息办公室、公安部联合制定,维护国家网络安全,保护网络产品和重要网络系统的安全稳定运行;在规范相关漏洞申报的同时,明确了网络产品提供者、网络产品运营者以及漏洞事件中涉及到发现、收集、发布的组织或个人的责任及义务。

网络产品提供者运营者:早申报早知道

《网络产品安全漏洞管理规定》提出,网络产品提供者和运营者应当建立健全网络产品安全漏洞信息接收渠道并保持畅通,留存网络产品安全漏洞信息接收日志不少于6个月。

当发现或者获知所提供网络产品存在安全漏洞后,网络产品提供者应当立即采取措施并组织对安全漏洞进行验证,评估安全漏洞的危害程度和影响范围;对属于其上游产品或者组件存在的安全漏洞,应当立即通知相关产品提供者。同时应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。

现在这也是此次阿里云被罚的真正起因。有消息表明,阿里云早在11月24日就已经发现了相关漏洞通报,但它并没有第一时间将漏洞情况上报于工业和信息化部,最终致使国内相关企业单位错过了最佳风险防范的机会。

《规定》同时也明确了在收到漏洞通报后,网络产品提供者和运营者的应对措施。相关产品的提供者和运营者应当及时组织对网络产品安全漏洞进行修补,对于需要产品用户(含下游厂商)采取软件、固件升级等措施的,应当及时将网络产品安全漏洞风险及修补方式告知可能受影响的产品用户,并提供必要的技术支持。

值得一提的是,当发现或者获知其网络、信息系统及其设备存在安全漏洞后,网络运营者应当立即采取措施,及时对安全漏洞进行验证并完成修补。

组织或个人也应即时申报漏洞详情

除去网络产品提供者和运营者外,相关漏洞挖掘组织或个人也应同时遵守《网络产品安全漏洞管理规定》。在《规定》中明确指出,任何组织或者个人设立的网络产品安全漏洞收集平台,应当向工业和信息化部备案。工业和信息化部及时向公安部、国家互联网信息办公室通报相关漏洞收集平台,并对通过备案的漏洞收集平台予以公布。

同时,鼓励发现网络产品安全漏洞的组织或者个人向工业和信息化部网络安全威胁和漏洞信息共享平台、国家网络与信息安全信息通报中心漏洞平台、国家计算机网络应急技术处理协调中心漏洞平台、中国信息安全测评中心漏洞库报送网络产品安全漏洞信息。

此外,在漏洞发布也有相应的要求,如下:

1. 不得发布网络运营者在用的网络、信息系统及其设备存在安全漏洞的细节情况

2. 不得在网络产品提供者提供网络产品安全漏洞修补措施之前发布漏洞信息。

3. 不得发布或者提供专门用于利用网络产品安全漏洞从事危害网络安全活动的程序和工具。

4. 不得刻意夸大网络产品安全漏洞的危害和风险,不得利用网络产品安全漏洞信息实施恶意炒作或者进行诈骗、敲诈勒索等违法犯罪活动。

5. 在国家举办重大活动期间,未经公安部同意,不得擅自发布网络产品安全漏洞信息。

6. 在发布网络产品安全漏洞时,应当同步发布修补或者防范措施。

7. 不得将未公开的网络产品安全漏洞信息向网络产品提供者之外的境外组织或者个人提供。

8. 法律法规的其他相关规定。

切莫踩在违规的红线上

近年来,网络安全漏洞威胁日益严峻,每一次重量级漏洞的爆发往往会在社会上快速传播,不断威胁企业和用户的安全。

《网络产品安全漏洞管理规定》的出台进一步规范漏洞发现、报告、修补和发布等行为,明确网络产品提供者、网络运营者、以及从事漏洞发现、收集、发布等活动的组织或个人等各类主体的责任和义务;使得漏洞管理工作变的更加制度化、规范化、法治化,对于提升漏洞管理水平,促进网络安全有着重要的作用。

而作为企业、组织和个人,也要认真了解《网络产品安全漏洞管理规定》的具体要求,并参照执行,切莫踩在红线上。

]]>
Microsoft Teams 允许网络钓鱼漏洞,自3月至今未被修复 Sun, 23 Jan 2022 21:19:48 +0800 12月22日bleepingcomputer消息,自今年3月以来,就有报道称 Microsoft Teams 链接预览功能存在一些安全漏洞,但微软却表示不会修复或者推迟这些漏洞的修补计划。

这些安全漏洞由德国 IT 安全咨询公司 Positive Security 联合创始人 Fabian Bräunlein 发现,分别是服务器端请求伪造 (SSRF)漏洞、URL 预览欺骗漏洞、IP 地址泄漏 (Android) 漏洞和被称为死亡消息 (Android) 的拒绝服务 (DoS) 漏洞。

Bräunlein 向 Microsoft 安全响应中心 (MSRC) 报告了四个漏洞,该中心负责调查有关 Microsoft 产品及服务的漏洞报告。

“这些漏洞允许访问微软内部服务,欺骗链接预览,并且,对于Android用户来说,泄露他们的IP地址和破坏他们的Teams应用程序/渠道,”研究人员说。

在这四个漏洞中,微软只解决了IP 地址泄漏 (Android) 漏洞,对于其他漏洞,微软表示他们并未在当前版本中修复 SSRF,而 DoS 也是计划在未来版本中考虑修复。

使用户暴露于网络钓鱼的漏洞未被修补

至于URL预览欺骗漏洞,虽然被标记为不会对 Teams 用户构成任何危险,但威胁者可以利用该漏洞伪装成恶意链接,进行钓鱼攻击。

微软表示:“MSRC 调查了这个问题并得出结论,认为这不会构成直接威胁,不需要紧急关注。因为一旦用户点击 URL,他们将不得不转到那个恶意 URL,这将是一个免费的样品,用户能看到不是其想打开的链接应该不会上当。”

研究人员补充说:“虽然所发现的漏洞影响有限,但令人惊讶的是,如此简单的攻击载体以前似乎没有被测试过,而且微软没有意愿或资源来保护他们的用户免受其害。”

自 7 月以来,Teams 还使用 Defender for Office 365 安全链接保护,来保护用户免受基于 URL 的网络钓鱼攻击,这在一定程度上解释了该公司决定不解决可能在网络钓鱼活动中滥用的欺骗漏洞。

虽然安全链接保护对所有Teams用户都可用,并且适用于跨对话、群组聊天和Teams渠道共享的链接,但它仍然需要通过在Microsoft 365 Defender门户中设置安全链接策略来启用。

]]>
阿里云被暂停工信部网络安全威胁信息共享平台合作单位 Sun, 23 Jan 2022 21:19:48 +0800 12月22日电,记者获悉,近期,工业和信息化部网络安全管理局通报称,阿里云计算有限公司(简称“阿里云”)是工信部网络安全威胁信息共享平台合作单位。近日,阿里云公司发现阿帕奇(Apache)Log4j2组件严重安全漏洞隐患后,未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理。经研究,现暂停阿里云公司作为上述合作单位6个月。暂停期满后,根据阿里云公司整改情况,研究恢复其上述合作单位。

]]>
研究发现,一个新漏洞正对自2G以来的通信网络构成威胁 Sun, 23 Jan 2022 21:19:48 +0800 据The Hacker News网站报道,来自纽约大学阿布扎比分校的研究人员在一篇论文中披露了一项基于移动网络切换的安全漏洞,攻击者可利用低成本设备发起拒绝服务(Dos)和中间人(MiyM)攻击,影响范围涉及自2G(GSM)以来的通信网络。

切换,即指呼叫或数据会话从一个基站转移到另一个基站,在这过程中不会失去连接,这对于建立移动通信至关重要。用户设备(UE)向网络发送信号强度测量值,以确定是否有必要进行切换,如果有必要,则在发现更合适的目标站点时进行切换。虽然这些信号的读取受到密码保护,但强度测量值本身未经验证,因此允许攻击者强制将设备移动到受其操作的基站。攻击的关键在于,源基站无法对测量数据中的错误值进行处理,增加了恶意切换且不被发现的可能性。

简而言之,这种攻击使基于上述加密测量报告和信号功率阙值的切换过程变得脆弱,能让攻击者建立中间人中继,甚至窃听、丢弃、修改和转发设备与网络之间传输的消息。

攻击的初始是侦察阶段,攻击者利用智能手机收集附近合法站点有关的数据,然后使用这些信息来配置恶意基站。随后,通过广播主信息块 (MIB) 和系统信息块 (SIB) 消息(帮助手机连接到网络所必需的信息),模拟出比真实基站更高的信号强度,使受害者设备优先连接到恶意基站。

在欺骗UE连接到恶意基站并迫使设备向网络报告虚假假的测量值时,其目的是触发一个切换事件并利用该过程中的安全缺陷,导致影响用户以及运营商的DoS、MitM攻击和信息泄露。这不仅损害了用户的隐私,而且还使服务的可用性面临风险。

研究人员表示,一旦用户设备连接到恶意基站,就会由于拒绝服务(DoS)攻击而进入营地模式(camped mode),变得毫无反应,或者攻击者可以建立一个中间人(MitM)中继,为其他高级漏洞奠定基础。

在实验设置中,研究人员发现所有测试设备都容易受到 DoS 和 MitM 攻击,调查结果已在月初举行的年度计算机安全应用会议 ( ACSAC ) 上公布。

]]>
Clop勒索软件团伙正在泄露英国警方机密数据 Sun, 23 Jan 2022 21:19:48 +0800 根据Security Affairs网站消息,Clop勒索软件团伙成功窃取了英国警方的机密数据,并在暗网上泄露。

据悉,Clop网络犯罪团伙首要攻击目标是IT公司Dacoll,网络犯罪分子利用网络钓鱼攻击破坏了该公司系统。糟糕的是,该公司可以访问英国警方计算机中心,勒索软件操作者成功进入系统后,盗取了一些英国警方掌握的机密信息。

周日,《邮报》披露,安全漏洞发生在10月,Clop勒索软件运营商获得了由Dacoll管理的数据,包括PNC(英国警察计算机网络)的数据,共包含有1300万人的个人信息和记录。该团伙正在暗网的泄漏网站上发布被盗数据。

Dacoll公司证实了数据泄露事件。

Dacoll发言人称。可以确认,公司在10月5日遭遇了网络攻击,但是已经迅速恢复了正常运营工作。此次事件仅仅影响了企业的内部网络,不影响任何客户的网络或服务。

据《每日邮报》报道,Dacoll公司拒绝付款,也没有透露勒索软件团伙所要求的赎金数额。该公司还没有透露安全漏洞的程度,以及还有哪些信息被盗。

但是根据媒体消息,Clop组织盗窃的文件包括从国家自动车牌识别(ANPR)系统中流出的驾驶者图像、录像以及犯有交通违法行为的驾驶者的面部特写图像。

因Dacol公司拒绝支付赎金,网络犯罪团伙Clop已经在暗网上公布了这些资料并威胁说接下来还会有更多的爆料。

该团伙多次作案,已有成员落网

Security Affairs指出,Dacoll子公司NDI技术公司为英国90%的警察部队提供 "关键 "服务,警察可以远程访问PNC。

国家网络安全中心的发言人称,已经联合执法部门进行调查,以期待充分了解和减轻任何潜在的影响。

根据媒体披露的信息,可以发现自201年2月以来,Clop勒索软件团伙一直非常活跃。多年来,组织了许多针对企业和大学的网络攻击,与其他勒索软件团伙一样,Clop运营商实施了双重勒索模式,在其泄密站点上泄露了从拒绝支付赎金受害者处窃取的数据。

值得一提的是,11月,国际刑警组织领导的名为 "旋风行动 "的国际联合执法行动中,六名涉嫌与Clop勒索软件行动有关的人员被逮捕。

]]>
黑客利用Log4Shell漏洞攻击比利时国防部 Sun, 23 Jan 2022 21:19:48 +0800 Security Affairs 网站披露,比利时国防部遭到了网络攻击,研究人员发现,威胁者似乎利用了Log4Shell漏洞。

此次网络攻击于上周四被发现,但是国防部一直到今天才披露了这一情况。随后比利时国防部发言人称,黑客利用了Log4j软件中被爆出的Log4Shell漏洞。并没有提供关于这次攻击更详细的信息。但据当地媒体报道,这一安全漏洞使国防部日常工作受阻数日。

比利时国防部长Ludivine Dedonder的发言人称:过去几天,国防部网络安全团队一直在努力工作,以确保其网络安全。为了防止未来发生类似事件,政府将继续投资于网络安全。

据悉,Log4Shell漏洞披露后,许多APT组织立即开始在其行动中利用该漏洞。

]]>
戴尔BIOS更新后可能导致电脑无法正常启动 Sun, 23 Jan 2022 21:19:48 +0800 据 Bleeping Computer 网站披露,戴尔最近发布的BIOS 更新在多个笔记本电脑和台式机型号上引起严重启动问题,部分用户反映更新后,电脑不能正常启动。

BIOS 更新后,电脑启动出现问题

根据用户在社交媒体平台和戴尔官方社区上反映的信息来看,受影响型号主要包括戴尔 Latitude 笔记本电脑(5320和5520),以及戴尔 Inspiron 5680和 Alienware Aurora R8 台式机。

Dell用户更新BIOS版本(Latitude笔记本电脑的1.14.3版本,Inspiron的2.8.0版本,Aurora R8的1.0.18版本)后,发现更新后的系统会启动,但外围灯和显示器不会打开,当电脑启动时,直接会进入蓝屏,然后会再次关闭。

一位受影响的用户称,将5320BIOS升级到新的1.14.3版本后,笔记本电脑将无法启动。当按下电源按钮时,按钮上的灯会显示10秒左右,然后再次关闭。偶尔整个键盘会亮起来,但笔记本很快就会关机,但有时笔记本会开机并显示“时间未设定--请运行SETUP程序”的错误,当用户按“继续”后,笔记本又会关机。有几次,它启动后,在关机前显示了一段时间的蓝屏。

可用BIOS降级解决问题

在戴尔发布更新以解决导致启动问题的错误之前,简单的修复方法是降级到以前的固件版本。

一些受影响的用户已经分享了详细的程序,可以使用SupportAssist OS Recovery将他们的BIOS降级到旧版本来解决这个问题。

值得一提的是,降级后的笔记本电脑可能仍然有启动问题,直到用户断开电池,按下电源按钮15秒,然后重新插入电池和充电器,再开机。

不过,用户可以选择尝试按照戴尔官方指导,了解如何降级系统BIOS,修复电脑无法启动的问题,排除POST问题,以及使用SupportAssist OS Recovery解决启动问题。

最后,当Bleeping Computer今天早些时候联系戴尔发言人时,没有收到回复。

]]>
英国国家打击犯罪局向HIBP披露5.85亿个被泄露的密码 Sun, 23 Jan 2022 21:19:48 +0800 和 Have I Been Pwned(一个索引安全漏洞数据的网站,简称 HIBP)共同展开的调查后,英国国家打击犯罪局(NCA)披露了超过 5.85 亿个被泄露的密码。在今年 5 月美国联邦调查局(FBI)展开和 HIBP 的类似合作之后,NCA 成为第二个正式向 HIBP 提供黑客密码的执法机构。

HIBP 创建者特洛伊·亨特(Troy Hunt)在今天的一篇博文中说,NCA 发现的 2.25 亿个被入侵的密码是新的和独特的。这些密码已经被添加到 HIBP 网站的一个名为 Pwned Passwords 的部分。该部分允许公司和系统管理员检查并查看他们当前的密码是否在黑客攻击中被泄露,以及它们是否有可能成为威胁者在暴力攻击和密码喷涂攻击中使用的公共名单的一部分。

目前,HIBP Pwned Passwords 集合包括 55 亿个条目,其中有 8.47 亿个是唯一的。所有这些密码都可以免费下载,因此公司可以在本地对照数据集检查他们的密码,而无需连接到 Hunt 的服务。

在 Hunt 分享的一份声明中,NCA说它在英国云存储设施的一个账户中发现了被泄露的密码,与电子邮件账户配对。NCA 告诉 Hunt:"通过分析,很明显,这些凭证是已知和未知的被破坏的数据集的积累"。

]]>
黑客入侵Fractal官方Discord频道:已骗取15万美元加密货币 Sun, 23 Jan 2022 21:19:48 +0800 新兴游戏物品 NFT 交易平台 Fractal 遭遇黑客的攻击。本周二,该平台通过官方 Discord 频道发送了一条购物链接,但实际上这是个窃取用户加密货币而设立的骗局。

遵循该链接并连接他们的加密货币钱包的用户,期望收到一个 NFT,却发现他们持有的 Solana(SOL) 加密货币被清空并转移到骗子的账户。另一个 NFT 游戏项目的创始人 Tim Cotten 在 Medium 上发布的分析报告估计,被盗的 SOL 价值约为 15 万美元。

Fractal 是 Twitch 联合创始人 Justin Kan 的一个创业项目,专门从事代表游戏内资产的 NFT 的买卖。它在 12 月初宣布成立,并迅速通过 Discord 积累了超过 10 万名用户的粉丝--这使得它成为自一开始就困扰 NFT 项目的那种骗子的目标。

消息传到了Twitter上,Kan的一条推文告诉粉丝们,Fractal的Discord服务器上的公告机器人被黑掉了。另一条来自FractalTwitter主账户的推文证实,一个欺诈性的链接已经通过该渠道发布。

尽管来自 Discord 机器人的帖子是假的,但 Fractal 的官方Twitter账户在被黑几个小时前发布了一条推文,暗示即将进行空投(airdrop):这是一个加密货币项目分发一些代币的过程,通常是向早期采用者的用户分发。由于对代币矿场和空投的需求通常非常高,当快照宣布时,用户快速行动的压力创造了一个攻击媒介,而骗子们都很乐意利用这一媒介。

]]>
CPU上为什么没有标记序列号?这是为了保护你 Sun, 23 Jan 2022 21:19:48 +0800 我们都知道CPU和显卡直接决定主机的性能,但是你对于CPU的了解可能没有显卡那么多,因为你连你的CPU序列号是多少都不知道。好了不开玩笑,今天我们的问题就是:为什么CPU上没有序列号呢?

序列号指的是Serial Number,也就是SN码,包括主板、显卡,甚至散热器上都会有一个标签进行标明,这是硬件的唯一识别码,但是在主流的CPU上,我们却看不到SN码,这是为什么呢?

序列号内包含了很多信息,而厂商通过序列号就能判断出产品的生产日期,产品批次,生产工厂甚至流水线号。当硬件出现问题时,就可以根据其制造信息去反推可能出现问题的地方,同时发现存在同样问题的同批次产品。

CPU包装盒上左下角就是序列号

那么CPU有序列号吗?答案是有的,在CPU的包装盒上,就可以看到序列号在内的一系列编码,一方面是方便产品追溯,同时也是提供保修的需求。

那么为什么CPU上不印SN码呢?这更多地是出于保护用户的隐私。

AIDA64读取到的CPU信息

早期在奔腾3处理器上曾经出现过PSN(Processor Serial Number),也就是处理器的序列号,但是因为CPU和个人电脑是高度绑定的,此举可能严重泄漏个人隐私,且一般用户都无法防范,所以从奔腾4开始就不再在CPU上印制SN码了。

CPU-Z读取到的信息

同样地,我们也无法通过系统读取到CPU的序列号,不管是CPU-Z还是AIDA64,都只能读到CPU的型号,步进以及修订编号,这也就意味着我们使用的软件是无法读取到这一信息的。

不开放CPU的SN码真的是在保护你的隐私?因为CPU基本上可以算一台设备的核心,所以其SN码就可以被当做用户的唯一识别码,一旦将用户和计算机分别对应,很容易就会出现隐私泄露。

不给权限就别用!

看看目前的手机app乱象就知道,一旦给予了软件的电话权限,它就能识别机主的信息,加上多个app共享信息,用户画像就描绘出来了,这就是为什么你和家人聊一句火锅,手机上马上就能给你推送相关的广告。


]]>
腾讯出手!网友:噩梦要结束了 Sun, 23 Jan 2022 21:19:48 +0800 “不管服务员忙不忙

就是让你扫码点餐

几顿饭下来

五花八门的公众号

和推送来了一大堆……”

近年来,扫码点餐这种看似先进的点餐

却存在较大的隐私泄露隐患,

其中“扫码点餐强制关注公众号”问题最为突出。

这一现象也在网上引发了争论,网友吐槽,难以忍受公众号里连番推送广告,但为了优惠还不敢取消关注。

12月18日,据“上海市消保委”微信公众号消息,近日,腾讯公司向开发者推送了关于自查“扫码点餐强制关注公众号”问题的通知。这意味着该问题将得到彻底解决。

通知指出:平台提醒开发者自查是否存在“扫码点餐强制关注公众号”问题,并及时进行整改,为用户提供良好的点餐体验。平台将于2022年1月17日开始对此类问题进行核查,违规的公众号将被限制二维码打开公众号能力。

这意味着“扫码点餐强制关注公众号”这个困扰消费者许久的问题将得到彻底解决。

事实上,早在今年八月,微信官方就曾发布《关于扫码点餐过程中强制关注公众号的限期整改通知》。倡议行业参与者完成商家服务流程的自查及限期整改优化,保护消费者权益,持续提升扫码点餐的体验。

通知称,商户在开展相关经营活动时应当做到两点。一是充分尊重用户的选择权,不得存在侵犯用户选择权的行为(包括但不限于强制扫码、强制关注公众号、强制发送商业信息等),二是严格保护用户信息安全,收集信息应当遵循合法、正当、必要的原则。

扫码点餐乱象丛生

目前,扫码点餐已经成为一种普遍现象。顾名思义,扫码点餐就是通过扫描二维码进行点餐。目前扫码点餐的路径主要分为几类:

第一类是扫码进入小程序点餐;

第二类是扫码进入一个H5页面点餐;

第三类则是扫码先关注公众号,公众号推送点餐链接,消费者再点击链接然后点餐。

但是,有些商家只提供扫码点餐不提供人工点餐,对老人十分不友好。而且在扫码点餐的过程中,部分商家还会强制消费者关注公众号,授权包括手机号、年龄、姓名等个人信息。引导消费者在页面中默认勾选用户协议,而如果不勾选,消费者则不能进入下一步扫码点餐的操作页面。

人民日报针对餐饮业的扫码点餐曾刊文指出,扫码点餐应是可选项,而不应该成为唯一选项,应当由消费者决定是否扫码点餐,而不是由商家“一刀切”。

其实,《消费者权益保护法》第九条第二款早就有明确规定:

“消费者有权自主选择提供商品或者服务的经营者,自主选择商品品种或者服务方式,自主决定购买或者不购买任何一种商品、接受或者不接受任何一项服务。”

换言之,如果商家强制消费者必须扫码才能点单,无疑是违法的。即便是消费者自愿扫码点单,部分餐厅强制关注公众号,甚至填写姓名、手机号等个人隐私信息的,更是严重违法。

依据《消费者权益保护法》第二十九条的相关规定,经营者具有在收集消费者个人信息时,应明确告知并对消费者的个人信息进行保密,且在消费者明确拒绝的情况下,不得向其发送商业性信息的义务。你被扫码点餐困扰过吗?

]]>
注意!电话卡开始“二次实人认证” Sun, 23 Jan 2022 21:19:48 +0800 “运营商给我发了二次实人认证的信息,是诈骗短信吗?”近日,有市民收到手机号需要“二次实人认证”的信息,这是咋回事儿?

12月20日,大河报·豫视频记者从河南省反电信网络诈骗中心了解到,该信息是国家“断卡”行动采取的一项措施,对有“问题”电话卡的清理行动。

注意!电话卡开始“二次实人认证”

【莫名收到电话号码被限制的信息】

“【二次实人认证提醒】尊敬的全球通银卡客户,根据国家‘断卡行动’要求,针对手机号码入网、换手机、被监测到异常通信或国家相关部门指定号码等场景,需进行二次实人验证,现已对您的号码进行临时通信限制(可接听电话,接收短信及登录以下验证页面)。如需复开,请机主本人持有效身份证件前往属地营业厅或使用本机网络在微信中登录http://dx.10086.cn/LMBhAg 进行验证,验证通过后,号码将恢复正常通信。”

近日,有市民反映称,其电话收到上述信息,不知道这是不是新的诈骗手法。

12月20日,大河报·豫视频记者从河南省反电信网络诈骗中心核实了解到,该条信息由运营商发送,是国家“断卡行动”采取的一项措施,市民不必惊慌。

如果对信息来源有所怀疑,可以就近选择营业厅当场咨询办理“二次实人认证”。

需要提醒的是,为了防止诈骗分子假冒运营商发布虚假“二次实人认证”短信,市民验证时注意,官方运营商所发链接不会涉及到任何银行账号、第三方支付软件等。

【哪些用户会收到“二次实人认证”信息?】

河南省反电信网络诈骗中心相关人士介绍说,首先普及一下“断卡”行动。

针对当前非法买卖电话卡、银行卡用于电信网络诈骗违法犯罪日益突出的问题,2020年10月起,最高检会同最高法、公安部、工信部、人民银行等部门在全国联合开展“断卡”行动。依法严惩非法出租、出售电话卡、银行卡的违法犯罪行为,重点打击职业收卡、贩卡团伙,以及与之内外勾结的电信、银行、网络支付等行业内鬼。

为积极响应国家打击治理电信网络新型违法犯罪相关要求,配合开展“断卡”行动,各运营商逐步对旗下的电话卡、物联网卡进行清理,着重关注“实名不实人”“信息不实”等电话卡及物联网卡,避免它们成为犯罪分子的工具,保障人民群众的财产安全。

“二次实人认证”涉及用户有哪些?

各运营商对旗下电话卡进行梳理后,针对涉诈电话卡、“一证(身份证)多卡”、“睡眠卡”、“静默卡”、境外诈骗高发地卡、频繁触发预警模型等高风险电话卡,通过短信方式提醒用户在24小时内前往营业厅或线上方式进行实人核验。同时,手机号码更换手机也需进行二次实人认证。

●睡眠卡:指90天以上无语音、无短信、无流量话单的卡片。

●静默卡:指卡片处于开通状态,没有电话和流量记录。停机保号也在静默卡和睡眠卡的范围内,大家可以根据自己手机卡的情况向运营商咨询。【法律普及】

●严禁买卖、出租、出借电话卡,此行为涉嫌《中华人民共和国刑法》规定的“帮助信息网络犯罪活动罪或诈骗罪”,公安机关将依法严厉打击。

●具有出租、出售、出借电话卡情形的个人(单位),请主动到运营商注销开户。情节轻微的,依法不予追究法律责任;情节严重的,依法从轻、减轻或免除处罚。

●群众若发现有此类违法犯罪线索,请及时拨打110或直接到当地公安机关进行举报。

]]>
四家运动装备网站遭受攻击,180万客户信用卡数据被盗 Sun, 23 Jan 2022 21:19:48 +0800 据 Security Affairs 网站披露,四家在线运动装备网站遭受网络袭击,超过180多万客户信用卡数据被盗。

以下是受影响的网站:

Tackle Warehouse LLC (tacklewarehouse.com) - 渔具;

Running Warehouse LLC (runningwarehouse.com)--跑步服饰;

Tennis Warehouse LCC (tennis-warehouse.com) - 网球服装;

Skate Warehouse LLC (skatewarehouse.com)--滑板和滑冰服装。

根据四家网站的代理律师事务所称,安全漏洞最早出现在2021年10月1日,但是在10月15日才被发现。专家普遍认为,这段时间里攻击者可以接触到客户完整得个人信息和信用卡信息.

直到2021年11月29日,这几家公司确认了其客户个人和财务数据被盗,主要包括:

姓名

金融账户号码;

信用卡号码(含CVV);

借记卡号码(含CVV);

网站账户密码。

2021年12月16日,四家网站通知了受影响客户。但是截至目前,这些网站还没有披露出现安全漏洞的具体原因。

令人惊讶的是,这几家网站没有向受影响的客户提供身份保护服务,只是单纯得建议受影响用户监控其银行账户和信用卡报表,注意可疑账户交易。

]]>
德国耳机巨头森海塞尔泄露55GB客户数据 Sun, 23 Jan 2022 21:19:48 +0800 德国专业话筒和耳机制造巨头森海塞尔(Sennheiser)将超过28000名客户的个人数据暴露在配置错误的Amazon Web Services (AWS)服务器上。

根据针对德国音频设备制造商森海塞尔的一份报告表述,森海塞尔在网上留下了一个不安全的亚马逊网络服务(AWS)服务器。该服务器存储了大约55GB的超过28000名森海塞尔客户的信息。

AWS存储桶在需要存储大型数据文件的企业中很受欢迎。但是,定义AWS S3存储桶的安全设置非常重要,根据报告说法,森海塞尔未能确保这一点。

森海塞尔客户的个人数据暴露

报告称 ,森海塞尔使用AWS S3存储桶来存储包含从其客户收集的数据的大型数据文件。根据研究人员Noam Rotem和Ran Locar的说法,该数据库是一个旧的云帐户,其中包含28000名客户的数据,并在2015-2018年间收集;然而,该数据库自2018年以来一直处于休眠状态。

研究人员在他们的报告中指出,该数据库可能很旧,但这些信息对网络犯罪分子来说是宝贵的。他们于2021年10月28日联系了森海塞尔,告知他们服务器未受保护和数据泄露。

关于泄露的数据

研究人员指出,该存储桶包含来自请求森海塞尔产品样本的个人和企业的数据。S3存储桶还包含一个4GB的数据库备份,但这是受到保护的,出于道德原因,研究人员没有尝试获取访问权限。

该数据库包括:

全名

电子邮件ID

家庭地址

电话号码

员工姓名

公司名称

虽然数据泄露影响了森海塞尔的全球客户和供应商,但大多数受影响的人都在北美和欧洲。

此类数据足以让网络犯罪分子执行各种攻击,例如网络钓鱼诈骗或身份盗用。暴露的数据足以让熟练的黑客实施许多最常见的欺诈形式,包括:

身份盗窃

税务欺诈

保险欺诈

邮件欺诈

银行账户接管

借记卡或信用卡欺诈

抵押贷款欺诈

还有很多…

暴露的AWS服务器接报后立即得到了森海塞尔的保护,但令人担忧的是,此类敏感数据对公众开放了这么长时间。

“当我们确认数据属于森海塞尔,我们就联系了该公司以通知它并提供我们的帮助。几天后,森海塞尔回复并要求我们提供调查结果的详细信息。我们向其公开了不安全的服务器URL,并提供了有关其包含内容的更多详细信息。尽管没有再次收到公司的回复,但几小时后该服务器就得到了保护,”报告中写道。

此次数据泄露影响

由于森海塞尔总部位于欧洲,并且此次泄密影响了许多欧洲公民,该公司在欧盟的GDPR管辖范围内。因此,它必须报告数据泄露并立即修复导致其服务器暴露的漏洞。否则,它可能面临监管机构的进一步调查和罚款。

森海塞尔还将可能面临公众和媒体的审查,因为他们将如此多的客户信息暴露在网络上(欺诈和在线攻击),该事件产生的任何负面宣传都可能将潜在客户引向其在音频行业的众多竞争对手之一(商业合作等)。

对这些质疑中的每一个不当反应都会对公司的财务造成代价高昂的后果。

]]>
把QQ群当做网盘用 这操作我服了 Sun, 23 Jan 2022 21:19:48 +0800 事情的起因还得从一条微博说起。

最近世超闲来无事逛微博时偶然刷到一条 “ 只有我才知道 QQ 群还能这么用吗 ” 的微博,简直让我大开眼界,我是真没想到竟然有人拿 QQ 群当网盘!

而且根据网友们的普遍反馈来看,把 QQ 群当做网盘用的体验还真不赖,它甚至都能媲美某些网盘:

怀着好奇的心理,世超也是实际上手体验了一番,体验完之后我还真不得不说上一句:真香!能想出这种办法的网友可真他娘的是个人才,绝了。

在我看来,把 QQ 群当做网盘用的好处有很多,其中最直观的好处,那必须是它非常的 “ 纯粹 ”。

这种纯粹体现在群文件尽管只是作为 QQ 群一项附属功能存在,把它当做网盘时该有的功能却是一个都不缺,而其它花里胡哨的功能则是一个都没有。

各位差友可以看到群文件除了支持我们上传任意格式的文件、照片和视频,它也允许我们创建文件夹来对它们进行归类或者根据文件名搜索文件,除此之外就没其它多余的功能,可以说是干净的一批。

而现在的很多网盘,它除了给我们提供最基本的备份功能外,还在网盘里加入了诸如照片故事、资源广场、文字识别、小说阅读等乱七八糟的功能,各种牛皮癣广告更是随处可见,几乎臃肿的不像话。

很多时候我打开网盘就只是想简单的备份下文件,其它功能我一概不需要,那些图标甚至看着就碍眼,QQ 群的群文件简直完美符合了我的要求。

而且很多人的电脑和手机可能没有安装网盘,但是很大概率会装一个 QQ。

这就意味着想传文件时我们只要打开对应的 QQ 群把文件往对话框里一拖,然后朝回车键那么一按,文件就会自动上传到云端,别提有多方便。

更重要的是,无论你是利用群文件来上传文件还是下载文件,它都不会故意来限你速。

经历过某度网盘龟速下载速度的差友应该都不会再想把大文件上传到网盘,它那一百多 KB/s 的下载速度摆明就是想让你开会员,不开你就慢慢下吧。

而群文件在同样的网络环境下,下载同一个文件,它可以做到 10 MB/s 以上的下载速度,比前者快了足足一百倍,两者一对比,高下立判好吧。

当然了,拿 QQ 群当网盘也不全是优点。

世超在使用过程中发现一旦我传一个大文件到 QQ 群文件里,它默认只在云端保存十天,这时候需要我手动操作一下它才会转为永久文件。

而且一个普通的 QQ 群,它允许我们上传的文件总大小不能超过 10GB,一旦超过 10GB,文件虽然还是能上传,但它也会只在云端保存十天。

这就让人有点难受了,相比起其它网盘动不动就给你几百 G 甚至几个 T 的空间,一个 QQ 群10GB 的空间绝对算得上小,不过存一些文稿倒是够用了。

扩容的办法也不是没有,多建几个群,然后再把每个群当成是一个文件夹,这样一来每个 “ 文件夹 ” 就等于是都拥有了 10GB 的云存储空间。

根据网友给出的说法,QQ 好像可以建好几百个人数两百人以下的群,如果真是这样的话,那这么多群叠加在一起所拥有的云空间大小就非常可观了。

不得不说跟 QQ 比,微信在这方面还是差了点意思啊~

]]>
安全周报(12.13-12.19) Sun, 23 Jan 2022 21:19:48 +0800

1、北美大型天然气供应商Superior遭遇勒索攻击

据inforisktoday消息,北美大型丙烷供应商 Superior在上周日(12月12日)遭遇了勒索软件攻击。
资料显示,Superior是北美地区的大型天然气供应商,业务范围包括天然气、石油蒸馏等相关的产品和服务,在美国和加拿大拥有78000多名客户。
攻击事件发生后,Superior暂时将机系统和应用程序下线,以免出现更大的损失。随后,Superior发表声明称,公司已经采取措施保护系统,降低勒索软件对公司数据和运营的影响,且正在与专业的网络安全公司一起调查此事,进一步了解攻击范围和损失情况。
截止到目前,Superior表示并没有任何客户和个人数据在攻击中遭遇损害,但是公司并未本次勒索攻击的范围以及其他具体信息。
有安全专家认为,虽然勒索攻击的规模尚不清楚,但是Superior因攻击而被迫下线系统,就意味着此次勒索攻击以及取得了一定的成果。
2、必应在内地暂停搜索自动建议功能:30天不能用

据相关报道显示,日前微软Bing搜索网站部分区域出现暂时无法打开的情况。

随后,微软Bing官方发布声明提到,根据中华人民共和国法律,Bing在中国内地暂停“搜索自动建议”功能30天。

微软Bing表示,Bing中国已经被关部门要求在中国内地暂停“搜索自动建议”功能30天。

作为全球性搜索平台,Bing将持续致力于尊重法治与用户获取信息的权利,在遵守法律的前提下最大限度地帮助客户寻找所需信息。

3、为什么“工资单”是公司安全下一个战场?

目前,“工资单”逐渐成为网络攻击者针对的主要目标之一,因其涉及金融机构间大量资金转移以及人工操作,很容易遭到黑客攻击。

薪资安全面临那些挑战?

长期以来,工资单一直都是公司财务系统的脆弱部分。企业基础环境下,财务和人力资源两个部门,对技术人才的吸引力远远落后落后于其他部门职能部门,接受变革方面也同样缓慢。

虽然准确的薪资管理一直是企业不能规避的关键问题,但是随着网络攻击增多,企业应该优先考虑数据安全。

财务部门在工作中需要处理大量员工薪资数据,一些企业虽然使用了各种软件“跨越”多个表格处理员工数据,但归根结底这些数据需要人工输入,会存在一些漏洞。

首先,由于数据是人工输入的,因此经常会出现人为错误。这些错误会给公司带来各种问题,从合规性来看会损害雇主和雇员之间的信任度。

其次,使用人工工资单时,缺乏一个清晰和安全的数据传输渠道。黑客可以通过创建类似工资单页面进行网络钓鱼攻击,利用企业与客户之间或企业与雇员之间在工资单数据方面来回交换。

最后,当企业有海外员工时,问题会变得更加复杂。工资单会涉及货币、税号、报告样式等方面,人工完成工资单会更加困难。

工资单安全之路在哪?

部分企业已经开始拥抱SaaS(软件即服务)技术,因其易于安装和使用,得到了许多企业青睐。现阶段,大部分企业不愿意使用资源繁重的现场服务,这些服务需要时间实施,而且很难与会计软件同步。

近几年,部分金融科技公司已经在市场上提供了一系列财务功能自动化解决方案,但在薪资流程方面,情况并没有改变,大多数企业仍旧使用excel和电子邮件来完成这项工作。

新的自动化解决方案是基于云的,并以一种无障碍方式与公司现有财务和会计平台整合,此外,这些解决方案是基于许可的,这增加了它们的便利性。

金融科技企业看到工资单自动化的市场潜力只是时间问题,随着智能SaaS解决方案将薪资管理自动化,企业可以考虑将薪资处理转移到云端,同时采用适当的网络安全措防御施,保障工资单安全。

4、3分钟看完一部电影凉凉?短视频或迎重磅新规

今日,据国内媒体报道,12月15日,中国网络视听节目服务协会发布了《网络短视频内容审核标准细则》(2021),协会组织有关短视频平台对2019版《细则》进行了全面修订。

新版《细则》规定,短视频节目等不得出现“展现‘饭圈’乱象和不良粉丝文化,鼓吹炒作流量至上、畸形审美、狂热追星、粉丝非理性发声和应援、明星绯闻丑闻的“未经授权自行剪切、改编电影、电视剧、网络影视剧等各类视听节目及片段的”等内容。”

相信经常看短视频平台的同学,都刷到过一些博主发布的"3分钟看完一部电影"、“x分钟快速看大片”的影视剪辑片段等短视频。

这些视频时长大多只有2到5分钟,并配以花式字幕进行注释,号称能以最短的时间让网友们看完相关影视剧。

值得一提的是,今年4月份,有50余家影视公司、五大长视频平台及影视行业协会发出联合声明。

他们在声明中呼吁,广大短视频平台和公众账号生产运营者尊重原创、保护版权,未经授权不得对相关影视作品实施剪辑、切条、搬运、传播等侵权行为。

]]>
苹果 iOS 15.2 修复远程越狱漏洞:黑客能 1 秒破解 iPhone Sun, 23 Jan 2022 21:19:48 +0800 苹果近日推送了 iOS 15.2 正式版更新,带来了多项新增内容和 Bug 修复。

据苹果越狱团队奇安盘古透露,苹果在 iOS 15.2 中还修复了一个远程越狱漏洞,该漏洞可一秒“远程越狱”iPhone。

盘古实验室白帽黑客 slipper 利用了 Safari 浏览器以及 iOS 内核等多个漏洞进行组合攻击,取得手机最高控制权限,1 秒远程破解 iPhone 13。

从攻击原理来看,当用户点击伪造链接后即可触发 Safari 浏览器远程代码执行漏洞,使得攻击者可远程执行攻击命令。

在绕过 Safari 浏览器防护机制之后,slipper 再次利用了 iOS15 内核以及 A15 芯片的多个漏洞进行了组合攻击,成功绕过了多项安全防护机制,取得了手机最高控制权,可以随意获取信息,包括相册、App 等,甚至可以直接删除设备上的数据或者执行其他任意命令。

用户点击一个链接即触发攻击,无需其他交互操作。整个破解过程只需 1 秒钟,这种攻击速度快、触发方式简单的漏洞对用户危害巨大


]]>
北美大型天然气供应商Superior遭遇勒索攻击 Sun, 23 Jan 2022 21:19:48 +0800 据inforisktoday消息,北美大型丙烷供应商 Superior在上周日(12月12日)遭遇了勒索软件攻击。

资料显示,Superior是北美地区的大型天然气供应商,业务范围包括天然气、石油蒸馏等相关的产品和服务,在美国和加拿大拥有78000多名客户。

攻击事件发生后,Superior暂时将机系统和应用程序下线,以免出现更大的损失。随后,Superior发表声明称,公司已经采取措施保护系统,降低勒索软件对公司数据和运营的影响,且正在与专业的网络安全公司一起调查此事,进一步了解攻击范围和损失情况。

截止到目前,Superior表示并没有任何客户和个人数据在攻击中遭遇损害,但是公司并未本次勒索攻击的范围以及其他具体信息。

有安全专家认为,虽然勒索攻击的规模尚不清楚,但是Superior因攻击而被迫下线系统,就意味着此次勒索攻击以及取得了一定的成果。

假期间的攻击

美国安全意思培训平台KnowBe4安全专家Erich Kron认为,这是假期前的适时攻击。

他表示在假期期间,类似的攻击可能会对消费者和组织造成严重后果。在美洲很多用户都依靠天然气来取暖和做饭,而且很多商业组织的车队也依靠天然气提供燃料,包括叉车、卡车等,一旦天然气供应不足,那么原本就十分紧张的供应链将进一步承压,而假期时又是一年中的购物高峰期,此时货物必定难以及时运输。

因此,Erich Kron建议,在未来的几周内,企业和个人要格外警惕,因为在假期期间企业往往只留下了值班人员,这将大大降低会网络攻击的检测和响应。

尝试响应和恢复

Synopsys 网络安全研究中心的首席安全策略师Tim Mackey表示,尚不清楚 Superior 是否已经部署了备份系统,但从这件事情中,我们应该加强对“关键基础实施应对网络攻击”进行模拟和响应。

如果企业尝试在恢复运营时进行响应,那么出现问题或者漏掉攻击的可能性将会更大。而提前进行模拟和响应,那么企业可以对所有软件、系统和流程进行评估,发现潜在的威胁,并随时进行监控。

此举对于企业来说百利而无一害,哪怕是出现最坏的结果,企业可以顺势改进业务运营方式,最好的情况是,企业及时发现了潜在的攻击威胁,将其消灭在萌芽状态。

]]>
Google研究人员:Pegasus iPhone攻击是有史以来最复杂的漏洞之一 Sun, 23 Jan 2022 21:19:48 +0800 现在已经打了补丁的Pegasus iPhone攻击是近年来看到的最复杂的攻击之一。在研究了多次成为头条新闻的iMessage安全漏洞后,来自Project Zero的Google研究人员将其描述为“技术上最复杂的漏洞之一”。

他们称,NSO集团的工具在复杂程度上跟民族国家间谍工具不相上下。而NSO的客户--包括极权主义政权--已经使用PegASUS来监视毫无戒心的iPhone用户。这种零日攻击通过iMessage在iPhone上安装恶意代码,而用户甚至没有都没有信息互动--这就是它的可怕之处。

Pegasus iPhone攻击已经给公司带来了相当戏剧性的后果。美国政府在Pegasus事件被披露后将这家以色列安全软件开发商列入禁止名单。此外,苹果在修补安全漏洞后起诉了这家公司。另外,苹果已经开始通知过去可能成为Pegasus目标的iPhone用户。

Pegasus受害者名单通常包括持不同政见者、记者或政治家,而非普通的终端用户。苹果已经发布了补丁以化解让Pegasus悄悄入侵iPhone的安全漏洞的风险。来自Project Zero的Google安全研究人员则获得了Pegasus的样本并确定了这个先进间谍工具在iPhone上的工作方式。

NSO集团可怕的复杂iMessage攻击

Project Zero的Google研究人员公布了Pegasus分析的第一部分。他们还跟The Wired分享了Pegasus如何在目标不知情的情况下入侵iPhone的简要说明。

Project Zero的Ian Beer和Samuel Groß告诉The Wired:“我们还没有见过这样一个被外部利用的漏洞从如此有限的起点建立起同等的能力,如不跟攻击者的服务器互动、无需加载JavaScript或类似的脚本引擎,等等。在安全界有许多人认为这种类型的利用--单次远程代码执行--是一个已解决的问题。他们认为,移动设备所提供的缓解措施的分量太重无法建立一个可靠的单次攻击的漏洞。这表明,它不仅是可能的,而且在野外被可靠地用来对付人。”

Pegasus如何攻击iPhone

ForcedEntry是iOS漏洞的名称,它让Pegasus的iPhone黑客攻击成为可能。NSO的黑客们想出了一个办法,利用iMessage处理GIF文件的播放方式将一个伪装成GIF的PDF文件偷偷带入。然后他们利用了一个压缩工具的漏洞,该工具处理来自物理扫描仪的图像中的文本。这个可以追溯到20世纪90年代的工具仍在像iPhone这样的现代计算机中找到它的方式。

如果这还不够,ForcedEntry建立了一种虚拟计算机,然后在iMessage中运行。这是因为恶意软件需要跟一个指挥和控制中心进行对话,而该中心会发出指令。这种行为使攻击更难被发现。

另外,Pegasus还不需要用户的任何输入,攻击者只需要一个电话号码或苹果ID就可以通过iMessage发送有效载荷。屏幕上不会显示任何信息。一旦无形的信息进入iPhone,iPhone攻击就会成功。从那时起,目标根本就不知道有人闯入他们的iPhone。

Project Zero研究人员在谈到ForcedEntry时感叹道:“这太不可思议了,同时也非常可怕。”

运行最新iOS版本的iPhone用户有反Pegasus的保护措施。这并不意味着类似的安全公司已经停止为iPhone设计间谍工具,只是ForcedEntry攻击将不再适用于运行最新软件的设备。

另外,Pegasus的目标已经开始收到苹果关于黑客攻击的通知。

]]>
必应在内地暂停搜索自动建议功能:30天不能用 Sun, 23 Jan 2022 21:19:48 +0800 据相关报道显示,日前昨天微软Bing搜索网站部分区域出现暂时无法打开的情况。

随后,微软Bing官方发布声明提到,根据中华人民共和国法律,Bing在中国内地暂停“搜索自动建议”功能30天。

必应在内地暂停搜索自动建议功能:30天不能用

微软Bing表示,Bing中国已经被关部门要求在中国内地暂停“搜索自动建议”功能30天。

作为全球性搜索平台,Bing将持续致力于尊重法治与用户获取信息的权利,在遵守法律的前提下最大限度地帮助客户寻找所需信息。

据了解,必应(Bing)是微软公司于2009年5月28日推出的全新搜索引擎服务。

必应在内地暂停搜索自动建议功能:30天不能用

必应集成了多个独特功能,包括每日首页美图,与Windows 8.1深度融合的超级搜索功能,以及崭新的搜索结果导航模式等。

用户可登录微软必应首页,打开内置于Windows操作系统的必应应用,或直接按下Windows Phone手机搜索按钮,均可直达必应的网页、图片、视频、词典、翻译、资讯、地图等全球信息搜索服务。

]]>
为什么“工资单”是公司安全下一个战场? Sun, 23 Jan 2022 21:19:48 +0800 目前,“工资单”逐渐成为网络攻击者针对的主要目标之一,因其涉及金融机构间大量资金转移以及人工操作,很容易遭到黑客攻击。

薪资安全面临那些挑战?

长期以来,工资单一直都是公司财务系统的脆弱部分。企业基础环境下,财务和人力资源两个部门,对技术人才的吸引力远远落后落后于其他部门职能部门,接受变革方面也同样缓慢。

虽然准确的薪资管理一直是企业不能规避的关键问题,但是随着网络攻击增多,企业应该优先考虑数据安全。

财务部门在工作中需要处理大量员工薪资数据,一些企业虽然使用了各种软件“跨越”多个表格处理员工数据,但归根结底这些数据需要人工输入,会存在一些漏洞。

首先,由于数据是人工输入的,因此经常会出现人为错误。这些错误会给公司带来各种问题,从合规性来看会损害雇主和雇员之间的信任度。

其次,使用人工工资单时,缺乏一个清晰和安全的数据传输渠道。黑客可以通过创建类似工资单页面进行网络钓鱼攻击,利用企业与客户之间或企业与雇员之间在工资单数据方面来回交换。

最后,当企业有海外员工时,问题会变得更加复杂。工资单会涉及货币、税号、报告样式等方面,人工完成工资单会更加困难。

工资单安全之路在哪?

部分企业已经开始拥抱SaaS(软件即服务)技术,因其易于安装和使用,得到了许多企业青睐。现阶段,大部分企业不愿意使用资源繁重的现场服务,这些服务需要时间实施,而且很难与会计软件同步。

近几年,部分金融科技公司已经在市场上提供了一系列财务功能自动化解决方案,但在薪资流程方面,情况并没有改变,大多数企业仍旧使用excel和电子邮件来完成这项工作。

新的自动化解决方案是基于云的,并以一种无障碍方式与公司现有财务和会计平台整合,此外,这些解决方案是基于许可的,这增加了它们的便利性。

金融科技企业看到工资单自动化的市场潜力只是时间问题,随着智能SaaS解决方案将薪资管理自动化,企业可以考虑将薪资处理转移到云端,同时采用适当的网络安全措防御施,保障工资单安全。

]]>
McMenamins 啤酒厂遭到 Conti 勒索软件攻击 Sun, 23 Jan 2022 21:19:48 +0800 12月16日,据bleepingcomputer消息,波特兰啤酒厂和连锁酒店McMenamins在周末遭受了Conti勒索软件攻击,使该公司的运营中断。

McMenamins 是一家受欢迎的连锁餐饮及酒店品牌,在美国俄勒冈州和华盛顿州有多家经营门店。

据媒体消息称,勒索软件攻击发生在上周末,也就是12月12日。此次网络攻击是由Conti 勒索软件团伙发起的,作为攻击的一部分,McMenamins公司包括销售点系统在内的服务器和工作站均被加密。

虽然这次攻击没有导致店面关闭,但McMenamins被迫关闭了他们的IT系统、信用卡销售点系统和公司电子邮件,以防止攻击的进一步扩散。

McMenamins 在事发当晚发表的声明中表示,公司正与联邦调查局和第三方网络安全公司合作调查此次攻击。”目前看来,当网络犯罪分子部署恶意软件锁定公司系统并阻止访问时,似乎没有客户支付数据受到影响。“

目前尚不清楚内部员工数据是否泄露,但不少员工信息可能已经受到影响,诸如:姓名、地址、电子邮件地址、电话号码、出生日期、存款银行账户信息和福利记录等等。

为了让员工安心,McMenamins 管理人员将直接向员工提供身份认证和信用保护服务,并通过 Experian 公司提供专门的帮助热线。

由于信用卡扫描仪已下线,McMenamins 不得不更改其支付处理方式。然而,这些变化仍无法满足客户购买或兑换礼品卡的需求。

有消息称McMenamins 公司数据及文件存在被盗的可能,但其中是否包括客户数据,McMenamins 表示,他们的初步调查并未表明任何客户信息在由第三方支付处理公司管理、收集和存储时遭到泄露。

然而,由于黑客可能在一段时间内访问了公司网络,因此威胁行为者可能安装了恶意软件来窃取信用卡,就像之前的勒索软件攻击一样。

在第三方网络安全公司完成调查之前,这仍然是个问号。

关于 Conti

Conti 是一个知名的勒索软件团伙,据称由俄罗斯黑客组织运行,该组织以其他臭名昭著的恶意软件感染而闻名。例如BazarLoader 、 TrickBot 。

该团伙通常通过网络钓鱼攻击安装恶意软件感染访问网络,利用暴露在 Internet 的设备(如 VPN 或防火墙)中的漏洞进行攻击。一旦获得内部系统访问权限,他们将通过网络传播,窃取数据并部署其赎金软件。

Conti 被认为是顶级勒索软件操作,之前曾入侵过知名组织,例如爱尔兰卫生服务执行局 (HSE) 和 卫生部 (DoH)、 塔尔萨市、 布劳沃德县公立学校、  FatFace、 研华和 Sangoma。

由于网络犯罪组织的活动增加,美国政府最近向企业发出警告 ,敦促各组织尽快更新系统,以应对Conti勒索软件攻击不断增加的现实威胁。

]]>
法国隐私监管机构向Clearview AI下达删除数据的命令 Sun, 23 Jan 2022 21:19:48 +0800 有争议的面部识别公司Clearview AI通过从互联网上搜罗自拍照片,积累了一个约100亿张图片的数据库,以便向执法部门出售身份匹配服务,今天,该公司再次被勒令删除人们的数据。法国的隐私监督机构CNIL今天说,这是因为Clearview违反了欧洲的《通用数据保护条例》(GDPR)。

在一份关于违规调查结果的公告中,CNIL还向Clearview发出正式通知,要求其停止"非法处理",并称其必须在两个月内删除用户数据。

该监督机构是根据2020年5月以来收到的对Clearview的投诉采取行动的。

这家美国公司在欧盟没有建立分公司,这意味着它的业务可以在欧盟范围内被任何成员国的数据保护监督机构采取监管行动。因此,虽然CNIL的命令只适用于它所持有的来自法国领土的人的数据--CNIL估计这涵盖了少数的互联网用户--但其他欧盟机构可能会发出更多这样的命令。

CNIL指出,它已经寻求与其他机构合作,分享其调查结果--这表明Clearview可能会面临其他欧盟成员国和欧洲经济区国家当局的进一步命令,停止处理数据,这些国家已将GDPR纳入国家法律(总共约30个国家)。

今年,Clearview的服务已经被裁定违反了加拿大、澳大利亚和英国的隐私规则(英国在英国脱欧后位于欧盟之外,但目前在国家法律中保留了GDPR)--它在那里同样面临着潜在的罚款,并在上个月被命令删除用户数据。

法国CNIL发现,Clearview有两项违反GDPR的行为--在没有法律依据的情况下收集和使用生物识别数据,违反了第6条(处理的合法性);以及违反了第12、15和17条规定的各种数据访问权利。

违反第6条是因为Clearview没有获得人们的同意来使用他们的面部生物识别技术,也不能依靠合法利益的法律依据来收集和使用这些数据--鉴于CNIL所描述的大规模和"特别侵入性"的处理。

CNIL写道:"这些人的照片或视频可以在各种网站和社交网络上看到,他们不会合理地期望他们的图像被[Clearview AI]处理,以提供一个可以被国家使用的面部识别系统,[例如用于]警察目的……"。监管机构还收到了来自个人的投诉,说他们在试图获得GDPR数据访问权时遇到了一些"困难"。

在这里,CNIL发现Clearview在很多方面都违反了规定--比如在"没有理由"的情况下,将个人的数据访问权限制在一年两次;或者将其限制在过去12个月内收集的数据;或者在"同一人提出过多的请求"后才对某些请求作出回应。

Clearview AI已被勒令确保其保护数据主体的权利,包括遵守删除人们数据的请求。

如果该公司不遵守法国的命令,CNIL警告说,它可能会面临进一步的监管行动--这将包括高额罚款的可能性。根据GDPR,监管机构可以发出高达2000万欧元的罚款,或高达公司全球年收入的4%,以较高者为准。然而,对没有欧盟公司的跨国企业如何执行罚款确实是一个监管挑战。

]]>
短视频内容审核标准细则发布:未经授权不得剪辑影视剧及片段 Sun, 23 Jan 2022 21:19:48 +0800 凤凰网科技讯 12月15日消息,中国网络视听节目服务协会发布了《网络短视频内容审核标准细则》(2021)。新版《细则》中规定,短视频节目等不得出现“展现‘饭圈’乱象和不良粉丝文化,鼓吹炒作流量至上、畸形审美、狂热追星、粉丝非理性发声和应援、明星绯闻丑闻的”。《细则》中还规定,未经授权自行剪切、改编电影、电视剧、网络影视剧等各类视听节目及片段”“引诱教唆公众参与虚拟货币‘挖矿’、交易、炒作的”等内容。

附:《网络短视频内容审核标准细则(2021)》全文:

网络短视频内容审核标准细则(2021)

为提升短视频内容质量,遏制错误虚假有害内容传播蔓延,营造清朗网络空间,根据国家相关法律法规、《互联网视听节目服务管理规定》和《网络视听节目内容审核通则》,制定本细则。

一、网络短视频内容审核基本标准

(一)《互联网视听节目服务管理规定》第十六条所列10条标准。

(二)《网络视听节目内容审核通则》第四章第七、八、九、十、十一、十二条所列94条标准。

二、网络短视频内容审核具体细则

依据网络短视频内容审核基本标准,短视频节目及其标题、名称、评论、弹幕、表情包等,其语言、表演、字幕、画面、音乐、音效中不得出现以下具体内容:

(一)危害中国特色社会主义制度的内容

比如:

1. 攻击、否定、损害、违背中国特色社会主义的指导思想和行动指南的;

2. 调侃、讽刺、反对、蔑视马克思主义中国化的最新理论成果和指导地位的;

3. 攻击、否定中国特色社会主义最本质的特征的,攻击、否定、弱化党中央的核心、全党的核心地位的;

4. 脱离世情国情党情,以一个阶段党和国家的发展历史否定另一个阶段党和国家的发展历史,搞历史虚无主义的;

5. 有违中共中央关于党的百年奋斗重大成就和历史经验的决议的,对新中国成立以来党和国家所出台的重大方针政策,所推出的重大举措,所推进的重大工作进行调侃、否定、攻击的;

6. 对宪法等国家重大法律法规的制定、修订进行曲解、否定、攻击、谩骂,或对其中具体条款进行调侃、讽刺、反对、歪曲的;

7. 以娱乐化方式篡改、解读支撑中国特色社会主义制度的根本制度、基本制度、重要制度,对其中的特定名词称谓进行不当使用的;

(二)分裂国家的内容

比如:

8. 反对、攻击、曲解“一个中国”“一国两制”的;

9. 体现台独、港独、藏独、疆独等的言行、活动、标识的,包括影像资料、作品、语音、言论、图片、文字、反动旗帜、标语口号等各种形式(转播中央新闻单位新闻报道除外);

10. 持有台独、港独、藏独、疆独等分裂国家立场的艺人及组织团体制作或参与制作的节目、娱乐报道、作品宣传的;

11. 对涉及领土和历史事件的描写不符合国家定论的;

(三)损害国家形象的内容

比如:

12. 贬损、玷污、恶搞中国国家和民族的形象、精神和气质的;

13. 以焚烧、毁损、涂划、玷污、践踏、恶搞等方式侮辱国旗、国徽的,在不适宜的娱乐商业活动等场合使用国旗、国徽的;

14. 篡改、恶搞国歌的,在不适宜的商业和娱乐活动中使用国歌,或在不恰当的情境唱奏国歌,有损国歌尊严的;

15. 截取党和国家领导人讲话片段可能使原意扭曲或使人产生歧义,或通过截取视频片段、专门制作拼凑动图等方式,歪曲放大展示党和国家领导人语气语意语态的;

16. 未经国家授权或批准,特型演员和普通群众通过装扮、模仿党和国家领导人形象,参加包括主持、表演、演讲、摆拍等活动,谋取利益或哗众取宠产生不良影响的(依法批准的影视作品或文艺表演等除外);

17. 节目中人物穿着印有党和国家领导人头像的服装鞋帽,通过抖动、折叠印有头像的服装鞋帽形成怪异表情的;

(四)损害革命领袖、英雄烈士形象的内容

比如:

18. 抹黑、歪曲、丑化、亵渎、否定革命领袖、英雄烈士事迹和精神的;

19. 不当使用及恶搞革命领袖、英雄烈士姓名、肖像的;

(五)泄露国家秘密的内容

比如:

20. 泄露国家各级党政机关未公开的文件、讲话的;

21. 泄露国家各级党政机关未公开的专项工作内容、程序与工作部署的;

22. 泄露国防、科技、军工等国家秘密的;

23. 私自发布有关党和国家领导人的个人工作与生活信息、党和国家领导人家庭成员信息的;

(六)破坏社会稳定的内容

比如:

24. 炒作社会热点,激化社会矛盾,影响公共秩序与公共安全的;

25. 传播非省级以上新闻单位发布的灾难事故信息的;

26. 非新闻单位制作的关于灾难事故、公共事件的影响、后果的节目的;

(七)损害民族与地域团结的内容

比如:

27. 通过语言、称呼、装扮、图片、音乐等方式嘲笑、调侃、伤害民族和地域感情、破坏安定团结的;

28. 将正常的安全保卫措施渲染成民族偏见与对立的;

29. 传播可能引发误解的内容的;

30. 对独特的民族习俗和宗教信仰猎奇渲染,甚至丑化侮辱的;

31. 以赞同、歌颂的态度表现历史上民族间征伐的残酷血腥战事的;

(八)违背国家宗教政策的内容

比如:

32. 展示宗教极端主义、极端思想和邪教组织及其主要成员、信徒的活动,以及他们的“教义”与思想的;

33. 不恰当地比较不同宗教、教派的优劣,可能引发宗教、教派之间矛盾和冲突的;

34. 过度展示和宣扬宗教教义、教规、仪式内容的;

35. 将宗教极端主义与合法宗教活动混为一谈,将正常的宗教信仰与宗教活动渲染成极端思想与行动,或将极端思想与行动解释成正常的宗教信仰与宗教活动的;

36. 戏说和调侃宗教内容,以及各类恶意伤害民族宗教感情言论的;

(九)传播恐怖主义的内容

比如:

37. 表现境内外恐怖主义组织的;

38. 详细展示恐怖主义行为的;

39. 传播恐怖主义及其主张的;

40. 传播有目的、有计划、有组织通过自焚、人体炸弹、打砸抢烧等手段发动的暴力恐怖袭击活动视频(中央新闻媒体公开报道的除外),或转发对这些活动进行歪曲事实真相的片面报道和视频片段的;

(十)歪曲贬低民族优秀文化传统的内容

比如:

41. 篡改名著、歪曲原著精神实质的;

42. 颠覆经典名著中重要人物人设的;

43. 违背基本历史定论,任意曲解历史的;

44. 对历史尤其是革命历史进行恶搞或过度娱乐化表现的;

(十一)恶意中伤或损害人民军队、国安、警察、行政、司法等国家公务人员形象和共产党党员形象的内容

比如:

45. 恶意截取执法人员执法工作过程片段,将执法人员正常执法营造成暴力执法效果的;

46. 传播未经证实的穿着军装人员打架斗殴、集会、游行、抗议、上访的,假冒人民军队、国安、警察、行政、司法等国家公务人员的名义在公开场合招摇撞骗、蛊惑人心的;

47. 展现解放军形象时用语过度夸张,存在泛娱乐化问题的;

(十二)美化反面和负面人物形象的内容

比如:

48. 为包括吸毒嫖娼在内的各类违法犯罪人员及黑恶势力人物提供宣传平台,着重展示其积极一面的;

49. 对已定性的负面人物歌功颂德的;

(十三)宣扬封建迷信,违背科学精神的内容

比如:

50. 开设跳大神、破太岁、巫蛊术、扎小人、道场作法频道、版块、个人主页,宣扬巫术作法等封建迷信思想的;

51. 鼓吹通过法术改变人的命运的;

52. 借民间经典传说宣扬封建迷信思想的;

(十四)宣扬不良、消极颓废的人生观、世界观和价值观的内容

比如:

53. 宣扬流量至上、奢靡享乐、炫富拜金等不良价值观,展示违背伦理道德的糜烂生活的;

54. 展现“饭圈”乱象和不良粉丝文化,鼓吹炒作流量至上、畸形审美、狂热追星、粉丝非理性发声和应援、明星绯闻丑闻的;

55. 宣传和宣扬丧文化、自杀游戏的;

56. 展现同情、支持婚外情、一夜情的;

(十五)渲染暴力血腥、展示丑恶行为和惊悚情景的内容

比如:

57. 表现黑恶势力群殴械斗、凶杀、暴力催债、招募打手、雇凶杀人等猖狂行为的;

58. 细致展示凶暴、残酷、恐怖、极端的犯罪过程及肉体、精神虐待的;

59. 细致展示吸毒后极度亢奋的生理状态、扭曲的表情,展示容易引发模仿的各类吸毒工具与吸毒方式的;

60. 细致展示恶俗行为、审丑文化的;

61. 细致展示老虎机、推币机、打鱼机、上分器、作弊器等赌博器具,以及千术、反千术等赌博技巧与行为的;

62. 展现过度的生理痛苦、精神歇斯底里,对普通观看者可能造成强烈感官和精神刺激,从而引发身心惊恐、焦虑、厌恶、恶心等不适感的画面、台词、音乐及音效的;

63. 宣扬以暴制暴,宣扬极端的复仇心理和行为的;

(十六)展示淫秽色情,渲染庸俗低级趣味,宣扬不健康和非主流的婚恋观的内容

比如:

64. 具体展示卖淫、嫖娼、淫乱、强奸等情节的,直接展示性行为,呻吟、叫床等声音、特效的;

65. 视频中出现以淫秽色情信息为诱饵进行导流的;

66. 以猎奇宣扬的方式对“红灯区”、有性交易内容的夜店、洗浴按摩场所进行拍摄和展现的;

67. 表现和展示非正常的性关系、性行为的;

68. 展示和宣扬不健康、非主流的婚恋观和婚恋状态的;

69. 以单纯感官刺激为目的,集中细致展现接吻、爱抚、淋浴及类似的与性行为有关的间接表现或暗示的,有明显的性挑逗、性骚扰、性侮辱或类似效果的画面、台词、音乐及音效的,展示男女性器官,或仅用肢体掩盖或用很小的遮盖物掩盖人体隐秘部位及衣着过分暴露的;

70. 使用粗俗语言,展示恶俗行为的;

71. 以隐晦、低俗的语言表达使人产生性行为和性器官联想的内容的;

72. 以成人电影、情色电影、三级片被审核删减内容的影视剧的“完整版”“未删减版”“未删节版”“被删片段”“汇集版”作为视频节目标题、分类或宣传推广的;

73. 以偷拍、走光、露点及各种挑逗性、易引发性联想的文字或图片作为视频节目标题、分类或宣传推广的;

(十七)侮辱、诽谤、贬损、恶搞他人的内容

比如:

74. 侮辱、诽谤、贬损、恶搞历史人物及其他真实人物的形象、名誉的;

75. 贬损、恶搞他国国家领导人,可能引发国际纠纷或造成不良国际影响的;

76. 侮辱、贬损他人的职业身份、社会地位、身体特征、健康状况的;

(十八)有悖于社会公德,格调低俗庸俗,娱乐化倾向严重的内容

比如:

77. 以恶搞方式描绘重大自然灾害、意外事故、恐怖事件、战争等灾难场面的;

78. 以肯定、赞许的基调或引入模仿的方式表现打架斗殴、羞辱他人、污言秽语的;

79. 内容浅薄,违背公序良俗,扰乱公共场所秩序的;

80. 以虚构慈善捐赠事实、编造和渲染他人悲惨身世等方式,传播虚假慈善、伪正能量的;

(十九)不利于未成年人健康成长的内容

比如:

81. 表现未成年人早恋的,以及抽烟酗酒、打架斗殴、滥用毒品等不良行为的;

82. 人物造型过分夸张怪异,对未成年人有不良影响的;

83. 利用未成年人制作不良节目的;

84. 侵害未成年人合法权益或者损害未成年人身心健康的;

(二十)宣扬、美化历史上侵略战争和殖民史的内容

比如:

85. 宣扬法西斯主义、极端民族主义、种族主义的;

86. 是非不分,立场错位,无视或忽略侵略战争中非正义一方的侵略行为,反而突出表现正义一方的某些错误的;

87. 使用带有殖民主义色彩的词汇、称谓、画面的;

(二十一)其他违反国家有关规定、社会道德规范的内容

比如:

88. 将政治内容、经典文化、严肃历史文化进行过度娱乐化展示解读,消解主流价值,对主流价值观“低级红、高级黑”的;

89. 从事反华、反党、分裂、邪教、恐怖活动的特定组织或个人制作或参与制作的节目,及其开设的频道、版块、主页、账号的;

90. 违规开展涉及政治、经济、军事、外交,重大社会、文化、科技、卫生、教育、体育以及其他重要敏感活动、事件的新闻采编与传播的;

91. 违法犯罪、丑闻劣迹者制作或参与制作的节目,或为违法犯罪、丑闻劣迹者正名的;

92. 违规播放国家尚未批准播映的电影、电视剧、网络影视剧的片段,尚未批准引进的各类境外视听节目及片段,或已被国家明令禁止的视听节目及片段的;

93. 未经授权自行剪切、改编电影、电视剧、网络影视剧等各类视听节目及片段的;

94. 侵犯个人隐私,恶意曝光他人身体与疾病、私人住宅、婚姻关系、私人空间、私人活动的;

95. 对国家有关规定已明确的标识、呼号、称谓、用语进行滥用、错用的;

96. 破坏生态环境,虐待动物,捕杀、食用国家保护类动物的;

97. 展示个人持有具有杀伤力的危险管制物品的;

98. 引诱教唆公众参与虚拟货币“挖矿”、交易、炒作的;

99. 在节目中植入非法、违规产品和服务信息,弄虚作假误导群众的;

100. 其他有违法律、法规和社会公序良俗的。

]]>
3分钟看完一部电影凉凉?短视频或迎重磅新规 Sun, 23 Jan 2022 21:19:48 +0800 今日,据国内媒体报道,12月15日,中国网络视听节目服务协会发布了《网络短视频内容审核标准细则》(2021),协会组织有关短视频平台对2019版《细则》进行了全面修订。

新版《细则》规定,短视频节目等不得出现“展现‘饭圈’乱象和不良粉丝文化,鼓吹炒作流量至上、畸形审美、狂热追星、粉丝非理性发声和应援、明星绯闻丑闻的“未经授权自行剪切、改编电影、电视剧、网络影视剧等各类视听节目及片段的”等内容。”

相信经常看短视频平台的同学,都刷到过一些博主发布的"3分钟看完一部电影"、“x分钟快速看大片”的影视剪辑片段等短视频。

这些视频时长大多只有2到5分钟,并配以花式字幕进行注释,号称能以最短的时间让网友们看完相关影视剧。

值得一提的是,今年4月份,有50余家影视公司、五大长视频平台及影视行业协会发出联合声明。

他们在声明中呼吁,广大短视频平台和公众账号生产运营者尊重原创、保护版权,未经授权不得对相关影视作品实施剪辑、切条、搬运、传播等侵权行为。

]]>
Log4j2 维护者吐槽没工资还要挨骂,GO 安全负责人建议开源作者向公司收费 Sun, 23 Jan 2022 21:19:48 +0800 基于 Java 的日志记录工具 Apache Log4j2 近日出现了一个高危漏洞,攻击者可以利用其 JNDI 注入漏洞远程执行代码,此漏洞牵涉面非常广,以至于国内外的个人或公司用户都对此高度关注,而 Log4j2 开发组在漏洞曝光后及时发布了 Apache Log4j 2.16.0 维护版本,默认禁用 JNDI,使此漏洞得到控制。

但小编在学(mo)习(yu)的时候,发现 Log4j2 的维护者之一 @Volkan Yazıcı 在推特上吐槽:Log4j2 维护者只有几个人,他们无偿、自愿地工作,没有人发工资,也没人提交代码修复问题,出了问题还要被一堆人在仓库里留言痛骂。

Log4j 维护者一直在为缓解措施而失眠:修复、文档、CVE、对查询的回复等。然而,没有什么能阻止人们痛骂(bush)我们,因为这份没有报酬的工作。其实我们都不喜欢这个出于向后兼容性问题而需要保留的功能(指 JNDI )。

这是一个非常现实的问题,我们姑且将这个问题称之为“开源可持续性问题”。通常来说,一个开源项目,要不就是反响平平无法形成生态,导致开发者热情逐渐降低、慢慢停掉;或者项目是大热门,很多个人和公司都在用,但 —— 除了出问题的时候问一下,几乎没有人会为开发者提供财务支持或贡献代码修复。

而那些使用免费资源而从不回馈社区的公司,他们对开源软件的利用一直是开源项目维护者的痛处。他们使用开源项目达到企业成本最小化和利润最大化,然而这些利润跟开发者一毛钱关系没有,甚至还有公司出了问题赶紧甩锅给开源作者,比如前段时间 curl 作者吐槽苹果把他当做免费工具人:

“想象一下,一家市值万亿美元的公司将各种开源组件应用到自己的产品中,每年赚取数十亿美元的利润。当这家公司的一个用户向它提供的产品寻求帮助时,公司却把用户推给开源项目。这个开源项目是由志愿者运营和维护的,这家公司从未赞助过一分钱。”

这样的情况已经持续了相当一段时间,不过现在已经有人在思考这个问题,并给出了一些权衡的建议。上周六,谷歌密码学家和 Go 语言安全负责人 Filippo Valsorda 在个人博客呼吁:开源项目维护者应当和那些使用软件的公司进行更专业的交流,以获得付费支持,使开源更具可持续性。

Filippo 指出一个问题:目前大多数开源项目维护者属于以下两类之一:志愿者或大公司员工,有时两者兼而有之,但这两种模式其实都不健康。一个成功项目的普通维护者其实有资格成为高级软件工程师,这些人每年可以轻松赚取 15W-300W+ 美元的年薪,但现在他们的开源项目经济来源只有 GitHub Sponsors 和 Patreon(一个募捐网站),这是两种不严肃且不稳定的薪资来源。

而被聘为大厂的全职开源员工也并非上策,踏入公司的第一步你就成为了资本的一部分,随着主管和绩效组的“如何证明你的工作和工资相匹配?”开发者开始背上各种 KPI ,主动或被动地卷,将越来越多的时间花在努力证明自己的工作和价值都非常重要 —— 在这种压力之下,大部分开发者将逐渐丧失对开源项目的热情,这种情况在多个公司和生态系统中一遍又一遍地上演。

综合目前的情况,Filippo 提出了一个新的观点:既然大公司需要项目供应链安全和质量达到标准,那么他们就有必要为使用的开源项目付费 —— 公司可以跟开源软件开发者建立合同关系,按照市场价的薪资支付,然后要求开发者保证项目的质量和漏洞问题。反过来,项目的维护者仍然可以自由地持续关注项目,优先考虑项目的长期健康状况,并满足公司对项目的要求。

这种流程和生态的建立需要一些时间,重点在于如何转变公司的态度 —— 公司,尤其是资本控制的上市企业,完全没有为大型产品、项目和服务核心的开源组件付费的热情,它们只会在开源许可证和法律底线的条件下做利益最大化的事情,而不是“公平交易”。而目前流行的一些许可证,像 Apache 、MIT,都是提供所有内容但要求的东西很少,更进一步满足了企业白嫖的需求。

目前世界 500 强企业所使用的许多重要的开源项目都由志愿者在下班后的业余时间维护,这些企业甚至连代码安全性都懒得审查和测试。开源维护者创造了大量价值,但几乎一无所获,这种开源文化是无法长久持续的,是时候做出一些改变了 —— 开源维护者这个角色应当成为一个真正的、有适当报酬的职业,而不是依赖寥寥无几的捐款的业余爱好者或者企业的免费劳动力。

题外话:

Log4j2 的开发者和维护者 Ralph Goers 在 GitHub 上仅有 3 名赞助者。

我是 Apache 软件基金会的成员,也是 Apache Commons、Apache Flume、Apache Logging Services 和 Apache Maven 的 PMC 成员。我创建了 Apache Log4j 2的初始版本,并继续将我的大部分精力放在提供支持和改进上,以使 Apache Log4j 2 成为目前从事软件架构师全职工作的 Java 开发人员的最佳日志记录框架。我在业余时间从事 Log4j 和其他开源项目,我通常从事我最感兴趣的那些问题。我一直梦想着全职从事开源工作,希望您的支持能实现这一梦想。

]]>
研究发现,数亿WIFI芯片存在数据窃取和流量操纵风险 Sun, 23 Jan 2022 21:19:48 +0800 据Security Affairs网站报道,来自姆施塔特大学、布雷西亚大学、CNIT 和安全移动网络实验室的一组研究人员发现了WiFi芯片中的安全漏洞,攻击者可利用这些漏洞通过定位设备的蓝牙组件来提取密码并操纵WiFi芯片上的流量。

根据专家发表的研究论文,现今的移动设备使用独立的无线芯片来管理蓝牙、Wi-Fi 和 LTE 等无线技术。但是,这些芯片共享组件和资源,例如相同的天线或无线频谱,以提高设备的效率,从而降低能耗和通信延迟。

研究人员表示,攻击者可以用这些共享资源跨无线芯片边界发起横向提权攻击。WiFi芯片会加密网络流量并保存当前的WiFi凭证,从而为攻击者提供更多信息。此外,攻击者可以在WiFi芯片上执行代码,即使它没有连接到无线网络。

根据论文,研究人员展示了数十亿台设备中的Broadcom、Cypress 和 Silicon Labs 芯片的实际共存攻击,可以此实现WiFi代码执行、内存读取和拒绝服务。在设计的攻击场景中,研究人员首先在蓝牙或 WiFi 芯片上执行代码,然后利用共享内存资源对同一设备上的其他芯片进行横向攻击。

研究人员已与芯片供应商共享了研究结果,其中一些已得到了解决,但修复过程缓慢且不充分,而且最核心问题仍未得到修复。

论文指出,虽然代码执行漏洞植根于特定芯片的架构问题并揭示了所需的逆向工程工作,但更普遍的DoS和信息披露攻击可以直接从公开的共存规范中得到。无线共存使新的升级策略基于硬接线的芯片间组件。由于攻击媒介直接位于芯片之间,它绕过了主操作系统。因此,一些漏洞在不改变硬件设计的情况下将无法修复。

]]>
Log4j漏洞可能需要数月甚至数年时间才能妥善解决 Sun, 23 Jan 2022 21:19:48 +0800 网络安全专家认为 CVE-2021-44228 的普遍性以及容易被利用,这个 Log4j 中的远程代码执行漏洞可能需要数月甚至数年时间才能得到妥善解决。McAfee Enterprise 和 FireEye 的高级威胁研究主管 Steve Povolny 表示,Log4Shell 的破坏力完全和 Shellshock、Heartbleed 和 EternalBlue 同一个级别。

Povolny 表示:“攻击者几乎立即开始利用该漏洞进行非法的加密货币挖掘,或利用互联网上的合法计算资源来产生加密货币以获取经济利益...... 进一步的利用似乎已经转向盗窃私人信息。可以预见,这种攻击即将会发生演变”。

Povolny 补充说,该漏洞的影响可能是巨大的,因为它是“可蠕虫式的,可以建立自己的传播”。即使有了补丁,也有几十个版本的脆弱组件。由于已经观察到的攻击数量巨大,Povolny 说“可以假定许多组织已经被攻破”,并需要采取事件响应措施。

Povolny 说:“我们相信 log4shell 漏洞将持续数月甚至数年,随着补丁越来越多地推出,在未来几天和几周内将会大幅减少”。自12月9日以来,Sophos 高级威胁研究员 Sean Gallagher 说,使用该漏洞的攻击从试图安装硬币矿工--包括Kinsing矿工僵尸网络--演变为更复杂的努力。

Gallagher 表示:“最近的情报显示,攻击者正试图利用该漏洞暴露亚马逊网络服务账户使用的密钥。还有迹象表明,攻击者试图利用该漏洞在受害者网络中安装远程访问工具,可能是Cobalt Strike,这是许多勒索软件攻击中的一个关键工具”。

]]>
小鹏汽车违规采集人脸数据被罚10万 43万张照片到底拿去做什么了? Sun, 23 Jan 2022 21:19:48 +0800 小鹏汽车摊上事儿了,装AI摄像头,违规搜集面部数据,被罚10万。

为此还受到官方的正式通报。

6个月内采集43万张客户照片,平均每张照片2毛3。

对此有网友表示:罚轻了。

而小鹏汽车也在第一时间进行回应:不存在泄露或违规使用个人信息的情况。

所以搁这儿搜集来玩儿呢?

小鹏被罚来龙去脉

上海徐汇区市场监管局出具的《处罚决定书》还原了整个事件的来龙去脉。

事件的起因是2019年3月份,小鹏汽车旗下上海小鹏汽车销售服务有限公司,向一家名为悠洛客的人脸识别公司购买了门店客流监测项目服务。

根据服务合同,小鹏汽车从悠洛客购买了22台F3型人脸识别摄像设备。

这些人脸识别摄像设备,分别被安装在小鹏上海的7家门店。

有了这些设备,小鹏就可以收集门店客户的人脸信息,包括性别、年龄、到店次数等等都一览无余。

这些收集到的数据,最后会打包上传到后台并,进行计算分析。

而分析结果,被小鹏用作提升服务和经营的参考。

但是就在这个过程中,小鹏摊上事儿了。

虽然小鹏搜集用户面部数据,并没有用于获利,但是这个操作并未经得消费者同意。

也没有明示、告知消费者收集、使用目的,违反了《消费者权益保护法》。

从今年1月到6月,小鹏就违规采集用户照片431623张。

在一系列的听证程序之后,上海市监局于12月3日向小鹏汽车做出罚款10万元、责令改正的处罚决定。

处罚事件一经曝出就激起千层浪。

作为违规收集人脸数据的当事人,小鹏汽车也在第一时间做出回应:

采集人脸数据的主要目的是为改善门店接待流程,更好的服务到店客户。

但是由于对相关法律条款的不熟悉,误采购并使用了违反了相关法律条款的第三方供应商(悠洛客)的产品。

并且表示上海小鹏门店在上海市监局3月18日检查之前,就通过内自查自纠工作主动撤下了所有的采集设备。

所采集的用户照片也已经全部删除。

对于网友关心的用户隐私泄露的问题,小鹏汽车否认存在泄露或违法使用个人信息的情况。

虽然官方回应没有泄露和违法使用个人信息,罚款也不多,但是由此事带来的人脸识别导致个人隐私泄露风险,再次被加粗描红放在公众眼前。

用户隐私问题再次推上风口浪尖

对于小鹏汽车的回应和上海市监局做出的处罚决定,大部分网友似乎并不买账。

有微博网友表示罚轻了:“平均每张照片才罚2毛3,小鹏赚翻了”。

虽然都是戏谑之言,但是也能看出公众对隐私泄露问题的担忧。

毕竟这样的事件并不是第一次。

尤其是在公众场所中,随处可见的摄像头可能会在不经意间未经个人同意就采集人脸数据。

去年11月,一段「济南某戴头盔男子进售楼处」的视频就在网上迅速走红。

逼着这位男子戴头盔买房的原罪,就是担心售楼处的摄像头随意收集人脸信息泄露个人隐私。

除了售楼部,人脸识别应用早已经走入各种场景。

买东西可以刷脸付账,坐地铁可以刷脸进站,就连回家进小区也要刷脸进门。

虽然极大便利了生活,但是个人隐私泄露的风险也是成倍增加。

对此有网友就表示:“应该深扒人脸识别黑产链”。

这样的担忧并不是空虚来风,毕竟这些公共摄像头采集的数据最后流向哪里,用作何用,当事人无法把控。

《新华社》就曾在调查中发现,人脸信息泄露后,有不法分子通过「照片活化」,将照片制作成动图,按照相应登录软件规定程序,图片可以完成点头、眨眼等认证动作,顺利通过部分软件的人脸认证。

也就是所谓的「过脸产业」。

这样看来,人脸识别带来的个人隐私泄露和非法使用事件,小鹏汽车被罚不是第一起,也绝不会是最后一起。

至于人脸识别如何能更好的应用于生活,消除隐私泄露风险?

现在还没有完备的方法。

只是对于小鹏来说,虽然这次更多是商场销售行为,但涉及隐私数据相关,影响可能不会止于此。

这样的处罚是个例,但最终汇集在一起,就会是品牌是否可信任?价值观是否可信任?

]]>
中消协点名20款不能顺利注销的App Sun, 23 Jan 2022 21:19:48 +0800 12月14日,中国消费者协会(以下简称“中消协”)发布的《50款APP账号注销及自动化推荐退订测评报告》显示,淘宝、饿了么等App存在注销条件设置不合理情况,南方航空、腾讯视频等App存在注销流程设置不合理情况,滴滴出行和支付宝则存在App内关闭自动化推荐的方式过于隐蔽的问题。

近年来,随着移动互联网的大规模广泛应用,用户个人信息权益保护也成为广大人民群众急难愁盼解决的问题。为推动《网络安全法》及2021年11月1日施行的《个人信息保护法》等相关法律法规和标准规范的落实,维护广大消费者个人信息权益,中国消费者协会近日组织开展了App账号注销及自动化推荐退订测评工作。

测评结果显示,在是否可以顺利注销App账号方面,50款App中有20款App存在不同程度问题,占总排查比例的40%。

存在的主要问题为:一是未注明注销条件。涉及的App为万顺叫车。二是注销条件设置不合理。涉及的App为嘀嗒出行、百合网、翼支付、淘宝、快乐购、饿了么、麦当劳、枫叶租车和1905电影网。三是注销流程设置不合理。涉及的App为Soul、TT语音、南方航空和腾讯视频。四是经人工审核方可注销,但人工审核存在无人受理、承诺时限过长(超过15个工作日)或者承诺时限不明的情况。涉及的App为爱抢购、禾适外卖、南方航空、萌果和抱抱直播。五是无法通过App直接注销。涉及的App为6人游、携程租车和腾讯视频。

在自动化推荐退订方面,50款App中有5款App存在不同程度问题,占总排查比例的10%。存在的主要问题为:一是App未向用户提供关闭自动化推荐的方式。涉及的App为曹操出行、翼支付和禾适外卖;二是App内关闭自动化推荐的方式过于隐蔽。涉及的App为滴滴出行和支付宝。其中,滴滴出行的“管理个性化推荐”或者关闭个性化推荐的入口隐藏在《隐私政策》第6.2条a款中;而支付宝则要根据《支付宝隐私政策》中提示的方式,才能对营销活动通知、商业性电子信息或广告进行退订或设置。

总体来看,网络约车类、餐饮外卖类在两项测评内容上存在问题的App数量较多,房屋租售类5款App表现较好,在两项测评内容上均没有发现问题。

针对测评中发现的问题,中消协建议所有App经营者依据《网络安全法》《个人信息保护法》等相关法律法规和标准规范,认真开展自查整改,明示合理的注销条件、提供便捷的注销路径,保障用户顺利注销账号,同时设置便捷的自动化推荐退订方式,持续完善相关用户协议及隐私政策。

中消协也提醒消费者,在接受个人信息条款或者向经营者提供个人信息后,还应随时关注经营者个人信息条款是否进行修改,经营者是否有保障个人信息安全的能力,经营者是否存在非法处理个人信息行为等。当消费者不同意经营者继续处理其个人信息时,要积极行使“撤回同意”权利,要求经营者停止处理或及时删除其个人信息。

针对本次测评中发现的问题,中消协还将向App所属企业分别发送限期整改建议并进行约谈劝谕。如相关企业未能及时整改,中消协将依法开展后续监督工作。

]]>
160万个WordPress 网站遭受大规模网络攻击 Sun, 23 Jan 2022 21:19:48 +0800 一场针对160多万个WordPress网站的网络攻击正在进行,安全研究人员发现,攻击者总计使用了16000个IP地址,利用四个不同的插件和几个Epsilon框架主题的漏洞进行攻击。

近日,知名安全公司 Wordfence进一步披露了此次攻击的细节。在短短36个小时内,他们检测并阻止了超过一千万次针对插件和主题的攻击,攻击者最终目的是接管网站并执行恶意操作。

有问题的插件主要是Kiwi Social Share (<= 2.0.10)、WordPress Automatic (<= 3.53.2)、Pinterest Automatic (<= 4.14.3) 和 PublishPress Capabilities (<= 2.3),其中一些已经修补日期一直追溯到 2018 年 11 月。因为这些插件而受影响的Epsilon框架主题及其相应版本如下所示:

Activello (<=1.4.1)

Affluent (<1.1.0)

Allegiant (<=1.2.5)

Antreas (<=1.0.6)

Bonkers (<=1.0.5)

Brilliance (<=1.2.9)

Illdy (<=2.1.6)

MedZone Lite (<=1.2.5)

NatureMag Lite (no known patch available)

NewsMag (<=2.4.1)

Newspaper X (<=1.3.1)

Pixova Lite (<=2.0.6)

Regina Lite (<=2.0.5)

Shapely (<=1.2.8)

Transcend (<=1.1.9)

Wordfence研究人员表示,在大多数情况下,攻击者会将“users_can_register”选项更新为启用,并将“default_role”选项设置为“administrator”,这使得攻击者有可能以管理员的身份在任何网站上进行注册,即有效地接管网站。

Wordfence公司Chloe Chamberlan指出,“据调查结果显示,针对WordPress网站的网络攻击在2021年12月8日后猛然暴增,这意味着最新修复的PublishPress Capabilities漏洞可能引发攻击者对任意选项更新漏洞进行大量的攻击。”

因此安全专家建议,倘若用户正在使用上述插件或主题的WordPress网站,那么应立即进行更新,以此降低被攻击的概率。

]]>
人民财评:“摇一摇”就跳转,APP开屏广告闹啥“幺蛾子”? Sun, 23 Jan 2022 21:19:48 +0800    打开手机APP,弹出开屏广告,明明没有点击屏幕,却跳转到广告详情或相关应用软件……如此诡异的事,近期被越来越多用户遇到。

       原来,这不是手机“抽风”,而是一些APP悄然上线“摇一摇”开屏广告。顾名思义,只要用户的手机稍有摇动,APP就会自动进入广告详情页。由于该功能十分灵敏,极易触发,用户很容易“被跳转”。

       对用户来说,如果不想“被摇进”广告,必须维持手部及身体平稳,保持手机在同一水平位置不变,待广告页关闭后才可变换身体及手部姿势。这个劲别说拿了,想想都够累的,更别说在走路起伏、乘车颠簸时,基本是不可能完成的“高难度动作”。

       显然,一些APP为了实现广告的打开率,真是挖空了心思。根据消费者投诉,江苏省消保委发现,“百度”“喜马拉雅”“豆瓣”“虎扑”“华为音乐”“番茄小说”“联享家”等软件均存在上述情况,相关广告跳转更多不是出于消费者本意。商家以“摇一摇”变相强迫消费者观看广告的行为,已涉嫌侵犯消费者的自主选择权。

       消费者受弹窗广告之烦久矣,有关部门也在展开治理行动。今年7月26日,国家工信部启动互联网行业专业整治行动,重点整治应用软件启动弹窗欺骗误导用户、强制提供个性化服务等问题,包括弹窗整屏为跳转链接、定向推送时提供虚假关闭按钮等场景。国家网信办也于8月27日启动“清朗·移动应用程序PUSH弹窗突出问题专项整治”。相关治理正在取得积极效果,又冒出来“摇一摇”式开屏广告,令人皱眉,也让大家看到了某些商家仍在耍花招、搞博弈。

       相关APP别拿已设置“跳过”和“关闭页面”按钮来搪塞。事实上,极易触发的“摇一摇”何尝不是“暗度陈仓”式强制跳转?有关部门的整治指向很明确,那就是尊重用户的选择权,底线是不欺骗误导用户。真正的整改应当是,尊重用户意愿和权益,而不是用另一种把戏将用户“诓”进弹窗广告里去。

       值得注意的是,APP要实现“摇一摇”功能,必须调取用户手机的相关传感数据。这种调取行为是否取得了用户的同意和授权,取得过程是否存在误导,同样存疑。从另一个角度来看,“摇一摇”式广告推送可能只是表象,相关软件是否侵犯了用户的隐私权,更加值得追问。前些天,工信部对106款侵害用户权益且未限期完成整改的APP进行下架处理,殷鉴不远。

       奉劝相关APP别再动歪心思,尽快“改邪归正”。不然,用户将用脚投票,管理部门也绝不会袖手旁观。

]]>
今年,美国人因礼品卡诈骗损失超1.48亿美元 Sun, 23 Jan 2022 21:19:48 +0800 根据Bleeping Computer 新闻网站披露,美国联邦贸易委员会(FTC)调查显示,2021年前三季度,美国发生的礼品卡诈骗事件涉及总金额高达1.48亿美金,相较去年大幅度增长。

前三季度诈骗涉及金额已超去年总和

在过去的一年里,近4万名消费者成为了礼品卡支付方式骗局的受害者,截至2021年9月底,骗子共诈骗了约1.48亿美元,超过了2020年报告的总损失。

针对近几年诈骗案件分析后,FTC称2018年以来,骗子以礼品卡支付作为诈骗手段的受害者和诈骗金额都在持续爆增。

过去三年时间,礼品卡类型的诈骗事件每年都在增加,无论是报告的数量还是损失的总金额都达到了惊人的数字。

Target 礼品卡,骗子的首要选择

政府机构披露的诈骗案件中显示,过去Google Play、苹果、eBay和沃尔玛的礼品卡是骗子们热门选择,但是现在 Target 成了他们得首选。

值得注意的是,美国政府机构称,大多数礼品卡诈骗案大都是诈骗者冒充社会安全局等政府机构或企业人员开始进行的。这些人员在电话中威胁称,可以冻结用户银行账户,并“偷偷”的透漏,必须购买礼品卡以避免被捕或解封自己的银行账户。

民众需要清楚的是,如果不想成为礼品卡骗局的受害者,最重要的一点是必须要牢牢记住,礼品卡往往是用来获取礼物的,并不是用来付款的。

如果接到自称是府机构或银行打来的“提醒”电话,要求你必须缴税来避免被捕,或偿还一笔未知的债务后才可以保持对银行账户的访问,大部分情况,这些人都是骗子。

]]>
因存在安全漏洞,沃尔沃研发数据被盗 Sun, 23 Jan 2022 21:19:48 +0800 据BleepingComputer消息,知名汽车公司沃尔沃近日披露信息,承认有攻击者入侵其服务器,并窃取了一定的研发数据。

12月10日,沃尔沃在公告中表示,“沃尔沃汽车已经意识到某个文件存储库被第三方非法访问,截止到目前,调查结果表明有一定数量的研发数据被攻击者盗取。参考周五早些时候相关信息得出的结论,该公司的运营可能会受到一定的影响。”

事件发生之后,沃尔沃已经通知有关部门,并正在与第三方网络安全专家一起调查该起数据泄露事件。沃尔沃也在公告中强调,“根据目前获得的信息,公司认为这起数据泄露不会对现在正在使用的车辆的信息安全产生影响。”

Snatch勒索软件攻击了沃尔沃?

虽然沃尔沃在公告中表示,此次攻击是未知攻击者,且没有透露出具体的细节,Snatch勒索软件组织却发文称,是他们策划了针对沃尔沃公司的网络攻击。

2021年11月30日,该勒索组织在其数据站点添加了一条条目,内容涉及入侵沃尔沃汽车公司的服务器并窃取文件,同时还附上了被盗文件的屏幕截图作为证据。此外,Snatch勒索组织还泄露了35.9 MB声称从沃尔沃服务器中窃取的数据。

对于Snatch勒索组织发布的这一消息,沃尔沃公司表示暂时拒绝发表任何评论。

“沃尔沃汽车不会对有关潜在网络安全攻击的猜测发表任何评论,但是会认真对待网络安全和财产盗窃相关的所有潜在威胁。网络安全是沃尔沃全球开发、运营工作的一个组成部分,也是我们工作的重中之重。一直以来,沃尔沃汽车积极参与网络安全标准化和最佳实践方面的工作,并为之做出了贡献,也在不断应用行业认可的网络安全建议。”

]]>
印度总理莫迪的Twitter账户\"短暂被入侵\"用于加密货币诈骗 Sun, 23 Jan 2022 21:19:48 +0800 印度总理纳伦德拉-莫迪的Twitter账户在周日"短暂受损",他的办公室在遭受攻击后今天对外公布。莫迪账号是@narendramodi的账户在周日午夜之后发布推文,称印度已经正式采用比特币作为法定货币,这迅速引起了人们对黑客攻击的怀疑,因为宣布这一消息与印度先行政策相悖,新德里在最近几个月暗示它将引入严格的监管来监督加密货币。该推文还包括一个简略的网站链接,称新德里购买了一些比特币,并计划在全国居民中分发。

总理莫迪的办公室周日在Twitter上说,经过技术处理,莫迪的账户已经完全安全,在此期间分享的任何推文"必须被忽略"。

莫迪在Twitter上拥有超过7300万粉丝,是该社交网络上最受欢迎的账户之一。Twitter和总理办公室表示,社交网络在意识到该活动后立即采取了必要的措施来保护该账户。

]]>
加拿大税务局等机构因安全漏洞威胁暂停网上服务 Sun, 23 Jan 2022 21:19:48 +0800 加拿大税务局当地时间12月11日发表声明表示,因安全漏洞的威胁,当天暂停了网上服务。声明表示,目前没有迹象表明加拿大税务局的系统遭到破坏,也没有迹象表明安全漏洞导致了纳税人的信息遭到未经授权的访问。

加拿大税务局没有说明这个安全漏洞的来源,但是最近公开了一个被广泛使用的软件工具的关键漏洞。这个软件工具在工业和政府部门中都有使用,其漏洞有可能让犯罪分子、黑客甚至编程新手轻易进入内部网络,不仅可以窃取数据,还能植入恶意软件,删除关键信息等等。

目前,税务局正在努力修补系统漏洞,网上服务也将尽快恢复。

除了税务局,加拿大福利机构也暂时关闭网上服务来应对这一威胁。

安大略省的一个公共交通管理系统在12月10日晚上关闭了其网上服务,直到11日下午才恢复。

]]>
核弹级漏洞log4shell席卷全球 修改iPhone名称就可触发 Sun, 23 Jan 2022 21:19:48 +0800 一时间,这个高危漏洞引发全球网络安全震荡!CVE-2021-44228,又名Log4Shell 。新西兰计算机紧急响应中心(CERT)、美国国家安全局、德国电信CERT、中国国家互联网应急中心(CERT/CC)等多国机构相继发出警告。

已证实服务器易受到漏洞攻击的公司包括苹果、亚马逊、特斯拉、谷歌、百度、腾讯、网易、京东、Twitter、 Steam等。据统计,共有6921个应用程序都有被攻击的风险,其中《我的世界》首轮即被波及。

其危害程度之高,影响范围之大,以至于不少业内人士将其形容为“无处不在的零日漏洞”。

这究竟是怎么一回事?

Java程序员都懵了

这个漏洞最早是由阿里员工发现。11月24日,阿里云安全团队向Apache报告了Apache Log4j2远程代码执行(RCE)漏洞。12月9日,更多利用细节被公开。

Apache,是当前全球最流行的跨平台Web服务器之一。

而作为当中的开源日志组件Apache Log4j2,被数百万基于Java的应用程序、网站和服务所使用。

据报道,此次漏洞是由于Log4j2在处理程序日志记录时存在JNDI注入缺陷。

(JNDI:Java命名和目录接口,是Java的一个目录服务应用程序接口,它提供一个目录系统,并将服务名称与对象关联起来,从而使得开发人员在开发过程中可以使用名称来访问对象。)

攻击者可利用该漏洞,向目标服务器发送恶意数据,当服务器在将数据写入日志时,触发Log4j2组件解析缺陷,进而在未经授权的情况下,实现远程执行任意代码。

以最先受到影响的《我的世界》为例,攻击者只需在游戏聊天中,发送一条带触发指令的消息,就可以对收到该消息的用户发起攻击。

目前已经有网友证实,更改iPhone名称就可以触发漏洞。

还有网友试了试百度搜索框、火狐浏览器里输入带${的特殊格式请求,就能造成网页劫持。

而像IT通信(互联网)、工业制造、金融、医疗卫生、运营商等各行各业都将受到波及,全球互联网大厂、游戏公司、电商平台等夜都有被影响的风险。

其中甚至包括美国国家安全局的逆向工程工具GHIDRA。

因此也就不奇怪,在9号当晚公开那天听说不少程序员半夜起来敲代码。

网络监控Greynoise表示,攻击者正在积极寻找易受Log4Shell攻击的服务器,目前大约有100个不同的主机正在扫描互联网,寻找利用 Log4j 漏洞的方法。

考虑到这个库无处不在、带来的影响以及触发难度较低,安全平台LunaSec将其称为Log4Shell漏洞,甚至警告说,任何使用Apache Struts的人都“可能容易受到攻击”。

不少网友对此惊叹于这史诗级别的漏洞,并担心恐要持续几个月甚至几年。

如何解决?

2021年12月9日,Apache官方发布了紧急安全更新以修复该远程代码执行漏洞。但更新后的Apache Log4j 2.15.0-rc1 版本被发现仍存在漏洞绕过。

12月10日凌晨2点,Apache再度紧急发布log4j-2.15.0-rc2版本。

与此同时,国家互联网应急中心还给出了如下措施以进行漏洞防范。

1)添加jvm启动参数-Dlog4j2.formatMsgNoLookups=true;

2)在应用classpath下添加log4j2.component.properties配置文件,文件内容为log4j2.formatMsgNoLookups=true;

3)JDK使用11.0.1、8u191、7u201、6u211及以上的高版本;

4)部署使用第三方防火墙产品进行安全防护。

]]>
安全周报(12.06-12.12) Sun, 23 Jan 2022 21:19:48 +0800

1、北京冬奥会测试赛期间处理网络安全事件300余个

据工业和信息化部官网消息,为营造测试赛期间安全稳定的网络环境,工业和信息化部网络安全管理局组织北京市、河北省通信管理局,中国信息通信研究院等行业单位1万余人全力协同做好值班值守和应急处置等保障工作。
据介绍,多方深入开展基础通信网络关键节点和重要设施,特别是北京、河北地区网络设施的安全风险排查和漏洞隐患整改,确保风险隐患清零;依托行业网络安全技术平台,做好相关重要业务系统网站、域名和IP地址的域名劫持、网页篡改和分布式拒绝服务攻击监测和防护,保障系统安全稳定运行;强化网络安全威胁治理,持续开展网络安全漏洞、移动恶意程序、恶意IP地址、僵尸网络等网络安全威胁监测与处置,累计屏蔽恶意程序发送端IP地址9000余个、组织修复漏洞隐患200余个,处置网络安全事件300余个。
测试赛期间,全国网络基础设施、域名系统和重点网站运行安全稳定,整体网络安全态势平稳,未发生重大网络安全突发事件。
2、USB驱动漏洞成为物理隔离网络的主要威胁

近日,ESET发布报告称,在针对物理隔离网络的17个间谍恶意软件框架的分析之后发现,这些软件全都利用了USB驱动器,并且都专门针对 Windows。其中13个恶意软件都是在长达15年的时间内逐个出现的,而另外4个则在去年一年最新涌现,这表明攻击者对物理隔离系统越来越感兴趣。

物理隔离网络被用来保护高度敏感的数据,这使得它们成为拥有充分资源的高级攻击者(例如国家黑客)垂涎的猎物。

报告还指出,大多数物理隔离系统攻击框架在公开披露后不久就变得不活跃,可能是因为它们的运营商停止使用它们。但也有可能是因为物理隔离系统上的反恶意软件解决方案没有更新并且无法再检测到它们。

3、白嫖党小心了,热门Windows激活软件KMSPico被植入恶意程序

据The Hacker News网站报道,一种名为CryptBot的恶意程序正伪装成时下热门的Windows系统第三方激活工具——KMSPico。

CryptBot是一种信息窃取程序,能够获取浏览器cookie、加密货币钱包、信用卡凭证,并从受感染的系统中捕获屏幕截图。研究人员分析发现,该恶意程序由CypherIT 打包程序进行包装,可混淆安装程序以防止其被安全软件检测到。然后,此安装程序会启动一个同样经过严重混淆的脚本,该脚本能够检测沙箱和 AV仿真,因此在研究人员的设备上运行时不会执行。

研究人员建议,不要为了省钱使用非法激活工具,稍有不慎往往得不偿失。

4、Moobot 僵尸网络正利用海康威视产品漏洞传播

据SecurityAffairs消息,Moobot 僵尸网络正在利用海康威视产品的漏洞进行快速传播。

资料显示,Moobot是一款基于Mirai的僵尸网络,2021年2月,Palo Alto Unit 42 安全研究人员首次发现并记录了Moobot僵尸网络,而最近频繁出现的网络攻击表明,黑客组织正在增强他们的恶意软件。

这是海康威视网络摄像机/NVR固件中,一个未经身份验证的远程代码执行(RCE)漏洞,编号为CVE-2021-36260。这个关键问题影响了海康威视旗下70多个款摄像头,由于对输入参数校验不充分,未经身份验证的攻击者通过构造带有恶意命令的报文发送到影响设备,可实现远程命令执行。

该漏洞有一位安全研究人员发现,花名“Watchful IP”。在攻破IP摄像机后,攻击者还可以通过受感染的设备访问内部网络,从而对使用这些设备的基础设施构成风险。需要注意的是,利用该漏洞不需要用户交互,攻击者只需要访问http(s)服务器端口(通常为80/443)即可。

海康威视表示,只有当攻击者访问的设备与Internet有直接接口时,才可以触发该漏洞。2021年9月,海康威视已经通过固件更新 (v 210628)修复了该漏洞 ,但并非所有用户都急于应用安全更新。

]]>
Moobot 僵尸网络正利用海康威视产品漏洞传播 Sun, 23 Jan 2022 21:19:48 +0800 据SecurityAffairs消息,Moobot 僵尸网络正在利用海康威视产品的漏洞进行快速传播。

资料显示,Moobot是一款基于Mirai的僵尸网络,2021年2月,Palo Alto Unit 42 安全研究人员首次发现并记录了Moobot僵尸网络,而最近频繁出现的网络攻击表明,黑客组织正在增强他们的恶意软件。

这是海康威视网络摄像机/NVR固件中,一个未经身份验证的远程代码执行(RCE)漏洞,编号为CVE-2021-36260。这个关键问题影响了海康威视旗下70多个款摄像头,由于对输入参数校验不充分,未经身份验证的攻击者通过构造带有恶意命令的报文发送到影响设备,可实现远程命令执行。

该漏洞有一位安全研究人员发现,花名“Watchful IP”。在攻破IP摄像机后,攻击者还可以通过受感染的设备访问内部网络,从而对使用这些设备的基础设施构成风险。需要注意的是,利用该漏洞不需要用户交互,攻击者只需要访问http(s)服务器端口(通常为80/443)即可。

海康威视表示,只有当攻击者访问的设备与Internet有直接接口时,才可以触发该漏洞。2021年9月,海康威视已经通过固件更新 (v 210628)修复了该漏洞 ,但并非所有用户都急于应用安全更新。

Fortinet 报告称,Moobot 僵尸网络正在利用这个缺陷来破坏未打补丁的设备并从受害者那里提取敏感数据。

“在我们(Fortinet)的分析过程中,发现大量有效载荷试图利用此漏洞从受感染的设备获取敏感数据。其中一个有效载荷还试图删除一个表现出的感染行为,并执行 Moobot 僵尸网络的下载程序。”

Fortinet安全研究人员还发现一个伪装成“macHelper”的恶意软件下载器,它使用“hikivision”参数获取并执行 Moobot。该恶意软件还会修改“重启”等基本命令,防止管理员重启受感染的设备。

在这个过程中,Fortinet 安全研究人员发现Moobot僵尸网络和Mirai 存在一定的相似之处,此外,Moobot还借鉴了Satori僵尸网络的一些元素,并最终成为一种支持多种攻击方式的 DDoS 僵尸网络。

]]>
中国发布 工信部:已对173家网站和APP完成适老化改造 Sun, 23 Jan 2022 21:19:48 +0800 中国网12月9日讯(记者 董小迪)工业和信息化部消费品工业司司长何亚琼在国新办9日举行的新闻发布会上表示,工信部加大政策支持力度,推动公共服务平台建设,集中解决老年人在使用智能化产品、享受智能化服务中遇到的困难。

何亚琼介绍,工信部已对173家网站和APP完成适老化改造,解决老年人看不懂、学不会、用不好的问题。印发《关于推进信息无障碍的指导意见》,专门解决老年人在终端设备、交费和寻求服务方面的困难和问题。

发布《智慧健康养老产品及服务推广目录》,遴选118项产品和120项服务。编制《智慧健康养老产业发展行动计划》,开展智慧养老应用试点示范,累计创建示范企业167家,示范街道(包括农村乡镇)297个,示范基地69个,树立了一批非常好的行业标杆。

针对老年人关心的就医问题,遴选了“医全通、全药通互联网平台”,专门选择了“AI智慧互联网医院”“面向老年人和亚健康人群的数字中医惠民服务”等示范项目,方便老年人数字化就医。

在电信服务中,除保留线下的“面对面”服务外,针对老年人使用智能手机困难问题,专门开发了“一键呼入”和“爱心通道”等服务。“一键呼入”已累计为7000万老年用户提供服务。

“下一步,工信部将锚定积极应对人口老龄化的重大战略目标,出台更多更好的政策、标准和规划,持续推进老年用品和服务创新,更好地满足老年人多元化、多层次的需求,加速构建老年友好型社会。”何亚琼说。

]]>
官方强烈督促!SMA 100系列设备急需打补丁 Sun, 23 Jan 2022 21:19:48 +0800 近日,知名防火墙品牌SonicWall发文表示,强烈敦促使用SMA 100 系列设备的客户及时安装安全补丁。这些补丁可以解决其产品面临的多个安全漏洞,其中一些漏洞被评为严重漏洞。

目前,SonicWall 已验证并修补了SMA 100 系列设备(包括 SMA 200、210、400、410 和 500v 产品)中的严重和中等严重 (CVSS 5.3-9.8) 的漏洞。毫无疑问,这些漏洞已经严重影响到SMA 100系列设备与WAF的功能,因此SonicWall 强烈敦促企业,务必遵循公司指南修补SMA 100系列产品,包括 SMA 200、210、400、410 和 500v 设备。

在这些已经被修复的漏洞中,最严重的是两个关键的基于堆栈的缓冲区溢出漏洞,漏洞编号分别是CVE-2021-20038 和 CVE-2021-20045。攻击者可以远程操作触发这两个漏洞,作为“nobody”用户在受感染的设备中执行代码。此漏洞影响了 SMA 200、210、400、410 和 500v 设备固件10.2.0.8-37sv、10.2.1.1-19sv、10.2.1.2-24sv和更早版本。

截止到目前,SonicWall尚不清楚这些漏洞是否已经在野外被利用。

值得注意的是,SonicWall公司表示,以上安全漏洞没有缓解措施,客户需尽快更新安全补丁。此外,有安全专家指出,还有一个高严重性的Authenticated命令注入漏洞,漏洞编号为CVE-2021-20039,目前尚未得到解决。

]]>
员工可以随意查看会员个人信息 世纪佳缘致歉 Sun, 23 Jan 2022 21:19:48 +0800 12月7日,澎湃新闻连发三篇调查报道,披露婚恋平台世纪佳缘一线下门店存在会员个人隐私信息在后台“裸奔”等问题,当天下午,世纪佳缘官方微博发布致歉声明,称实际工作中出现了滥用职权查阅用户信息的严重违规行为,目前公司已经在后台开始去除此功能。

致歉声明称,目前世纪佳缘正在进行三项整改:

1、报道中提及的门店即日起整改,全员再度深入学习相关法律法规以及公司的规章制度,考核通过后再上岗。

2、对调查中发现的相关责任人员按公司规定予以处罚。

3、全国各门店全面开展会员信息安全保护的培训和教育工作。

11月上旬,澎湃新闻通过应聘入职世纪佳缘网线下一家VIP服务中心(直营店),成为一名以电销为主的婚恋销售(以下称为“销售红娘”)。在半个月卧底调查中,记者经培训上岗后即获得了世纪佳缘网的会员管理后台权限,通过后台可以随意查看会员的个人信息,包括会员浏览的异性照片记录,以及发送的所有聊天记录。

对这种侵犯会员个人隐私信息的情况,一位销售不以为然,“这有什么,方便做人物刺激呗。他喜欢长头发的,你就说长发,照着他看过的异性条件描述就行了。”

还有销售红娘“告诫”记者,即便是看到聊天内容存在异常,有“杀猪盘”或是诈骗迹象,也当做没看到,否则被用户反手举报公司侵犯个人隐私,“那就麻烦了。”

婚恋平台为达“精准营销”目的,默许销售人员随意游览用户私密信息这一现象,多位行业专家学者向澎湃新闻直言,该行为已触碰法律红线,且性质极为恶劣。

随着卧底调查的不断深入,世纪佳缘“红娘”的更多“营销”秘密也逐一被揭开。除了会员个人隐私信息在后台“裸奔”,还存在销售红娘专业身份全靠作假“包装”、“牵红线”话里话外全靠话术吸引会员到店付费办卡等乱象。

]]>
北京冬奥会测试赛期间处理网络安全事件300余个 Sun, 23 Jan 2022 21:19:48 +0800 人民网北京12月7日电 (申佳平)据工业和信息化部官网消息,为营造测试赛期间安全稳定的网络环境,工业和信息化部网络安全管理局组织北京市、河北省通信管理局,中国信息通信研究院等行业单位1万余人全力协同做好值班值守和应急处置等保障工作。

据介绍,多方深入开展基础通信网络关键节点和重要设施,特别是北京、河北地区网络设施的安全风险排查和漏洞隐患整改,确保风险隐患清零;依托行业网络安全技术平台,做好相关重要业务系统网站、域名和IP地址的域名劫持、网页篡改和分布式拒绝服务攻击监测和防护,保障系统安全稳定运行;强化网络安全威胁治理,持续开展网络安全漏洞、移动恶意程序、恶意IP地址、僵尸网络等网络安全威胁监测与处置,累计屏蔽恶意程序发送端IP地址9000余个、组织修复漏洞隐患200余个,处置网络安全事件300余个。

测试赛期间,全国网络基础设施、域名系统和重点网站运行安全稳定,整体网络安全态势平稳,未发生重大网络安全突发事件。

]]>
警惕!台湾网攻组织今年持续攻击大陆,主要目标是这里 Sun, 23 Jan 2022 21:19:48 +0800 最新的一份网络安全事件分析报告显示,来自中国台湾地区的网络攻击组织“绿斑”在2021年持续对中国大陆发动攻击活动,从攻击目标地域分布来看,北京位居首位,其次是紧邻台湾岛的福建省。

这份分析报告来自中国网络安全公司微步在线,《环球时报》记者8日获得的这份报告显示,“绿斑” APT (定向威胁攻击)组织从 2007 年开始活动,2013年组织背景被曝光,显示来源于中国台湾地区,主要针对政府部门、航空、军事相关科研机构进行攻击,目标是窃取高价值数据和机密信息,“鱼叉”钓鱼邮件是其惯用攻击手段。

报告显示,从2021年年初至今,“绿斑” APT 组织对国内多家重点大学发动了大规模定向钓鱼攻击活动,通常目的为窃取目标用户的账密信息。从目前检测到的攻击情报分析,该组织无论目的是采集邮箱情报信息还是投放窃密木马,都是依托钓鱼邮件方式将采集邮箱信息的钓鱼链接投送到攻击目标。 

据微步在线网络安全研究响应中心负责人察罕介绍,今年捕获到的“绿斑”有针对性的攻击行动,无论是进行行业划分,还是地域划分,攻击范围都很广泛。从行业划分上看,攻击对象排名首位的是高校,占比 50%。其次是科研机构和政府单位,占比均为15%。针对“高校位居攻击对象首位”,察罕透露,“绿斑”在2021年攻击对象中有很大一部分是涉及台海两岸关系的研究人员。

此外,被攻击行业除了上述两大类之外,还涉及航空航天、能源、医疗等领域。就攻击目标的地域分布来看,主要目标集中在北京,占比53%;排名第二的是福建省,占比9%。不言而喻,北京是政治经济中心,而福建紧邻台湾,战略意义都非同一般。

根据察罕的介绍,“绿斑”组织攻击行为的特点很明显,攻击目标聚焦于热点事件及热点人物,敏感度高。比如,11月份以来,针对大陆地区疫情情况,“绿斑”开始以“疫情防控承诺书”“新冠变种病毒核酸应检人员及注意事项”“疫情期间单位门禁管制措施” 等内容为标题,对相关人员发起攻击。从2021 年上半年至今,“绿斑”还通过伪造攻击目标域名对攻击目标在职人员和关联单位/个人进行攻击,涉及到的攻击目标基本事关国家安全、稳健发展的职能或研究单位。

报告指出,由于该组织近期的攻击目标主要为大陆地区的高校、政府、航空航天、科研与海岸建设机构,建议相关行业提高安全意识、注意防护。

]]>
网络安全如何影响北京冬奥会? Sun, 23 Jan 2022 21:19:48 +0800 日本电报电话公司(NTT)帮助国际奥委会逃过一劫,幸运地躲开了东京奥运会网络安全“问题”。北京冬季奥运会即将到来,全世界拭目以待,看北京能否交出令人满意的网络安全答卷。

虽然在财务上并不成功(一些人估计耗资300亿美元),但2021年东京夏季奥运会在某个细分领域表现出色:网络安全。东京夏季奥运会的网络安全结果与前期威胁预测的匹配程度如何?这一情况对即将于2022年2月举行的北京冬季奥运会又意味着什么呢?

夏奥会网络安全预测

网络威胁联盟(CTA)的奥林匹克网络安全工作组在原定的2020年东京奥运会前夕举行了多次会议。CTA准备了奥运会威胁分析并报告了分析结果。遗憾的是,由于新冠肺炎疫情,东京奥运会被推迟到了2021年。 

一年之后,CTA在2021年4月的情况更新上指出,自2020年夏季奥运会报告发布以来,勒索软件团伙造成的危险显著上升了。新报告还预计,国家支持的黑客组织将加紧攻击奥运会或奥运会相关组织,采用数据盗窃与虚假宣传,或者针对性系统中断等技术。 

CTA工作组指出,鉴于东京奥运会最终的现场观众人数将比原计划少得多(并且没有国际观众),因此对直播报道的需求可能会增加。而由于恶意黑客可能会认为日本的网络安全能力因新冠肺炎和其他国内因素而削弱,CTA工作组警告称,东京奥运会面临的网络安全威胁会有所增加。

东京奥运会的网络安全状况

NTT Communications为东京夏季奥运会提供电信服务和网络安全保障,管理着约1.1万个Wi-Fi接入点。奥运会开幕前,该公司预计网络罪犯可能会利用分布式拒绝服务(DDoS)、勒索软件或其他针对关键基础设施的直接攻击。

在2021年10月的奥运会后新闻稿中,NTT公司指出,尽管黑客活动有所增加,但由于实现了网络安全措施,最终并没有网络事件影响到奥运会或残奥会。一起都没有! 

结果说明一切。被阻止的安全事件总数(包括奥运网站未授权通信)为4.5亿起——真是个难以想象的庞大数字。

坦率地说,这本身就是一项令人难以置信的成就,更不用说还遇上新冠肺炎疫情导致的比赛延期和现场观赛禁令引发的直播需求增加了。这4.5亿次攻击也比2012年伦敦夏季奥运会所经历的事件总数增加了2.5倍。 

NTT将网络安全胜利归功于其“网络安全战略总体观”。NTT表示,该方法包括持续的威胁情报监测与分析、安全运营中心(SOC)服务、完整的安全解决方案包,以及由200多名网络安全专家组成的团队。

北京冬奥会展望

与东京夏季奥运会相同,2月份举行的北京冬奥会和3月份举行的北京冬残奥会都不开放外国人入境观赛,因而世界其他地区的赛事直播需求再次凸显。由此,我们有理由预计,届时将有至少5亿起网络攻击事件直朝北京冬奥会袭来。我们还可以从NTT的报告中了解到:自2020年到2021年,包括恶意黑客及其战术、技术和程序(TTP)在内的威胁形势发生了重大变化,带来了新的挑战,并且这种趋势将延续到2022年冬季奥运会。 

NTT将再次为冬奥会提供安全保障,但该公司将不得不重新分配资源并重建部分安全基础设施,以便适应威胁形势的发展变化,并确保能够提供与东京奥运会同等水平的网络稳定性。除了大型DDoS攻击的威胁,NTT还必须特别关注小型DDoS攻击的危险,小型攻击多了,累积起来也能中断直播或关乎数字化奥运会成功与否的服务。

数字化奥运会仍将持续

虽然许多人希望亲身参与东京夏奥会和北京冬奥会,但新冠肺炎疫情迫使我们中的许多人,无论是体育迷还是信息安全专业人士,意识到数字化转型意味着我们将无法像以往那样经常去参加奥运会或安全大会这样的盛事了。相反,我们将更加依赖远程和流媒体服务来观看、交流和互动。因此,企业需要设置完善的网络安全策略,因为我们无力承担中断的后果。

]]>
USB驱动漏洞成为物理隔离网络的主要威胁 Sun, 23 Jan 2022 21:19:48 +0800 近日,ESET发布报告称,在针对物理隔离网络的17个间谍恶意软件框架的分析之后发现,这些软件全都利用了USB驱动器,并且都专门针对 Windows。其中13个恶意软件都是在长达15年的时间内逐个出现的,而另外4个则在去年一年最新涌现,这表明攻击者对物理隔离系统越来越感兴趣。

物理隔离网络被用来保护高度敏感的数据,这使得它们成为拥有充分资源的高级攻击者(例如国家黑客)垂涎的猎物。

事实上,已经发生的一些针对物理隔离系统的攻击被归因于国家黑客组织,例如 DarkHotel(Retro 和Ramsay框架)、Sednit(USBStealer)、Tropic Trooper(USBFerry)、Equation Group(Fanny)、Goblin Panda(USBCulprit)和野马熊猫(PlugX)。

而有些工具,例如Flame、miniFlame、Gauss、Agent.BTZ、ProjectSauron、Stuxnet病毒和USBThief与国家黑客的关系不是十分明朗(Agent.BTZ被认为是Turla的一部分),而Vault7收录的其他恶意软件框架(Brutal Kangaroo、Emotional Simian和EZCheese)还没有在野外检测到过。

在深入研究这些框架后,ESET 发现它们之间有很多相似之处,例如所有这些工具都针对 Windows系统进行某种形式的间谍活动,并且其中大多数都依赖恶意LNK或USB驱动器上的自动运行文件用于初始入侵或横向移动。

“尽管这些框架背后的威胁行为者多种多样,但他们都有一个共同的目的:间谍活动。甚至以其破坏性而闻名的 Stuxnet(震网病毒)也‘顺手’收集了受感染机器Siemens Simatic Step 7 工程软件项目中的信息。”ESET 指出。

报告还指出,大多数物理隔离系统攻击框架在公开披露后不久就变得不活跃,可能是因为它们的运营商停止使用它们。但也有可能是因为物理隔离系统上的反恶意软件解决方案没有更新并且无法再检测到它们。

]]>
服务器爆炸、数据中心失火:两人丧命 Sun, 23 Jan 2022 21:19:48 +0800 服务器爆炸后,数据中心技术人员和另外一名人员因吸入浓烟而丧命。

两名技术人员在印度尼西亚雅加达Cyber 1数据中心的火灾中不幸丧命。

这次火灾发生在周四中午(UTC时间05点00分),当时位于雅加达南部玛姆庞(Mampang)Cyber数据中心Cyber大楼二楼的服务器“发生了爆炸”,这是一个中立的数据中心,也是众多数字化服务的大本营。浓烟笼罩了整幢大楼,雅加达消防局紧急派出了22辆消防车和100名消防员,在半小时内控制住了火势。

据当地媒体报道,几项IT服务受到了火灾的影响。

服务器爆炸

南雅加达消防和救援服务负责人Herbert Flider Lumban告诉《印度尼西亚商报》(Bisnis),几台服务器爆炸后,开始着火:“大火源头是在二楼的服务器机房,我们的人员进入后发现,大火源头就来自服务器机房。”

三名工作人员被困在了烟雾缭绕的房间里,Lumban说:“一人当场死亡,我们团队进入时就躺在一个角落里,然后另外两人被紧急送往医院,但送到医院时,其中一人死亡,”他说。一名伤者是一名年仅19岁的技术员,另一人在送往玛姆庞综合医院的途中死亡。这两人显然都是这幢大楼的访客。

消防部门的另一位发言人Mulat Wijayanto告诉印尼《时代周刊》(Tempo),他们死于吸入浓烟:“「受害者」不是因受伤而死亡,而是因吸入了过量浓烟而死。”

火灾原因尚未确定,但雅加达副省长Ahmad Riza Patria在火灾发生后排除了有人访问这幢大楼时抽烟引发大火的可能性。据《时代周刊》报道,Riza说:“可以肯定的是,这幢大楼里面没有人抽烟,因为这幢大楼必须安全。有可能是电路短路。让我们等待检查结果出来。”

火灾并没有影响存储在不同楼层的政府数据,Riza说:“除了政府数据外,还有重要的私密数据,但谢天谢地,[大火] 只发生在二楼,”他补充道。

其他服务受到了火灾的影响,导致暂时停电。据印尼通信和信息部声称,印尼人和访客发现他们无法注册手机,因为IMEI(国际移动设备身份)服务是从大楼内数据中心的集中式设备身份注册(CEIR)运行的。

包括ShopeePay、IPOT和Magic在内的印尼当地服务也受到了干扰。

印度尼西亚互联网服务提供商协会(APJII)也表示,其在该大楼的数据中心是安全的,不过服务因火灾期间断电而中断。APJII主席Muhamad Arif Angga告诉《印度尼西亚商报》 “我们已经检查过[情况已经开始变得安全],电力出了问题,我们最终关闭了电源,因为我们担心温度会升高,我们在一楼,而失火是在二楼。”

AJPII服务器在检查损坏情况后于下午5点再次开启,现正常工作,Anga说:“目前,我们说APJII数据中心仍然是安全的,但我们当然会继续进行物理检查,我们的团队会继续待命,”他说。

这幢大楼内的其他供应商包括NTT。

这不是Cyber大楼第一次遭遇火灾了。《印度尼西亚商报》报道,2015年八楼曾发生过一场大火,但所幸没有影响任何IT设备,也没有导致任何人员伤亡。

]]>
白嫖党小心了,热门Windows激活软件KMSPico被植入恶意程序 Sun, 23 Jan 2022 21:19:48 +0800 据The Hacker News网站报道,一种名为CryptBot的恶意程序正伪装成时下热门的Windows系统第三方激活工具——KMSPico。

CryptBot是一种信息窃取程序,能够获取浏览器cookie、加密货币钱包、信用卡凭证,并从受感染的系统中捕获屏幕截图。研究人员分析发现,该恶意程序由CypherIT 打包程序进行包装,可混淆安装程序以防止其被安全软件检测到。然后,此安装程序会启动一个同样经过严重混淆的脚本,该脚本能够检测沙箱和 AV仿真,因此在研究人员的设备上运行时不会执行。

而带有恶意程序的KMSPico安装包有自解压可执行文件,如7-Zip,并且包含实际的KMS 服务器模拟器和CryptBot。

介于目前仍有大量用户在没有产品密钥的情况下,通过使用KMSPico来激活Windows系统,以获取完整的功能体验,网上不法分子便盯上了这款非官方激活工具。

即使KMSPico没有所谓真正的官方网站,不法分子仍在四处传播所谓来自“官方”的软件版本,用户一旦采信,就会落入圈套,而且植入恶意程序后的KMSPico也能和正常版本一样激活系统。

这远不是第一次破解软件成为恶意软件的目标。2021 年 6 月,捷克网络安全软件公司 Avast 披露了一项名为“ Crackonosh ”的活动,该活动涉及分发流行软件的非法副本,以侵入并滥用受感染的设备来挖掘加密货币,并为攻击者赚取了200多万美元。

研究人员建议,不要为了省钱使用非法激活工具,稍有不慎往往得不偿失。

]]>
国际零售集团SPAR遭受网络攻击,330家门店被迫改用现金支付甚至停业 Sun, 23 Jan 2022 21:19:48 +0800 国际零售集团SPAR遭受网络攻击,英格兰东北部330家商店运营受到影响,不少店铺被迫改用现金支付,更有甚者被迫关门停业。

SPAR是一个国际性零售集团,由全球各地独立持有及运营的零售商及批发贸易商们组成。截至2019年,SPAR在48个国家和地区经营着13320家商店。但此次网络攻击只袭击了兰开夏郡的商店。攻击发生在周末,截至周一,一些商店仍处于关闭状态。

在兰开夏郡设有25家分支机构的 Lawrence Hunt & Co Ltd 证实,网络中断导致SPAR整个网络瘫痪,收银机、信用卡和后台系统无法使用。

“不幸的是,由于IT全面中断,我们所有商店不得不选择在周日全天关闭营业,没有确定系统恢复上线的时间,给所有客户和商店团队带来的不便我们深表歉意。—— SPAR Lawrence Hunt (@lawrencehunts) ,2021年12月5日。 ”

据《兰开夏邮报》网站报道,为北英格兰的数百家SPAR商店提供库存服务的普雷斯顿食品分销商James Hall and Co,其公司网站也于12月6日下线。

“根据目前已知消息,我们的IT系统受到了一次在线攻击。在攻击事件发生24小时内,英格兰北部大约330家SPAR商店受到影响,我们正努力想办法尽快解决这一问题。”James Hall and Co公司发言人说,“网络攻击主要影响的是商店在处理卡支付方面的能力,这意味着许多SPAR商店目前只能选择关闭营业,或者仅接受现金支付。”

James Hall and Co公司没有提供有关此次攻击的细节,但通过相关公开信息推断,不难看出这是一次勒索软件攻击。

英国国家网络安全中心(NCSC)通知消费者:“我们已经知晓影响SPAR商店的问题,正在与合作伙伴沟通以充分了解这一事件。“NCSC发言人说:“NCSC已经发布了相关操作指南,旨在提高各组织网络攻击事件的响应能力。”

]]>
圣诞节,勒索软件正在活跃起来 Sun, 23 Jan 2022 21:19:48 +0800 12月5日,securityaffairs消息,德国网络安全局 BSI 警告称,勒索软件很有可能在圣诞节和年终假期期间发起攻击,类似Emotet僵尸网络将卷土重来,利用微软Exchange的漏洞来破坏德国组织的邮件服务器。

原因是在圣诞节休假期间,员工都在家里,办公室通常属于关闭状态,组织更容易遭受勒索软件的攻击。

“在Emotet再次变得活跃的同一时期,勒索软件即服务(RaaS)的运营商Conti开始积极招募新的分支机构。”BSI 在警报中写道,“从先前被清除的 Emotet行动轨迹分析来看,Emotet僵尸网络以及一系列的勒索软件操作将在未来几周内(尤其是圣诞节假期期间),将目标锁定在德国组织上,伺机而动。”

BSI还敦促德国组织修补他们的系统,并提前做好安全预防措施,以防止 Emotet及其他恶意软件的感染。

11月底,美国网络安全和基础设施安全局 (CISA) 和 FBI 提醒其合作伙伴,在周末或及假期保持对勒索软件攻击的高度防御。虽然目前CISA和FBI都没有发现任何具体的威胁,但从最近的勒索软件发展态势来看,攻击者很可能在假期发起有影响力的勒索软件攻击。

为提高基础设施的安全级别,各机构纷纷提出以下行动指南:

做好周末和假期的IT安全人员排班,当安全事件发生时能及时增援;

对远程访问的账户实施多因素认证;

强制使用强密码,确保密码的唯一性;

使用远程桌面协议(RDP)等有潜在风险的服务时,确保其安全受到监控;

提醒员工不要点击可疑链接,提前演习提高安全意识。

]]>
美国9名官员的iPhone遭到NSO集团间谍软件入侵 Sun, 23 Jan 2022 21:19:48 +0800 据路透社和华盛顿邮报报道,美国至少9名官员的iPhone被以色列著名间谍软件企业——NSO集团旗下的间谍工具攻破。

据报道,这些国务院官员主要常驻乌干达或者专职从事于该国事务,在过去几个月间,他们被一名身份不明的攻击者入侵。NSO集团已获知此事,但不清楚在攻击中使用的具体是哪种工具,以及攻击者身份。由于安装这些间谍软件是通过电话号码进行,一旦软件出售给获得许可的客户,NSO也没有办法知道客户的目标是谁。

NSO集团宣布将与任何政府机构合作调查这一事件,一旦确认事情真相,将永久终止使用者的账户并采取法律行动。

虽然NSO集团表示长期以来一直只坚持向政府执法和情报机构出售其产品,以帮助监控安全威胁,并对恐怖和犯罪分子进行监视,但多年来的证据表明,公司产品已被大量滥用。

11月初,美国制裁了包括NSO集团在内的4家公司,理由是它们开发的监视软件被大量用于监视少数群体、记者、异见人士等恶意行径。同样在上月,苹果公司也在美国联邦法院起诉NSO集团及其母公司 Q Cyber Technologies,指控其使用监视间谍软件非法监控iPhone用户。

]]>
通过入侵收据打印机 有人发出“反工作”宣言 Sun, 23 Jan 2022 21:19:48 +0800 通过入侵世界各地企业的票据打印机,有人正在发出“反工作”宣言。在 Reddit 社区有数十个帖子声称看到了这个宣言,还有一家网络安全公司正在分析通往不安全打印机的网络流量。

根据 Reddit 和 Twitter 上发布的几张截图,其中一份宣言写道:“你的付出大于工资回报吗?你有受保护的合法权利,可以与你的同事讨论你的薪酬。[低工资之所以存在,是因为人们'愿意'为其工作]”。

周二,一位 Reddit 用户在一篇帖子中写道,该宣言在他的工作中被随意打印。帖子中写道:“你们谁在做这个,因为这很搞笑。我和我的同事们需要答案”。

在r/Antiwork subreddit上有无数类似的帖子,其中一些有这个相同的宣言。其他的则有不同的信息,但都有相同的工人赋权的情绪。所有这些帖子都建议信息的读者去看看。

一个 Reddit 帖子写道:“停止使用我的票据打印机吧,伙计们。虽然很搞笑,但我希望它能停下来”。另一个帖子写道:“我喜欢r/antiwork,但请停止向我的票据打印机发送垃圾邮件”。

另一个帖子写道:“在过去的一周里,我在工作中随机收到了大约4条不同的信息。很有启发性,很有鼓励性,当我的老板不得不把它们从打印机上撕下来时,看到他的表情很有趣”。

Reddit上的一些人认为,这些信息是假的(即由能够使用票据打印机的人打印出来,并为Reddit的影响力而发布),或者是阴谋的一部分,使人觉得r/antiwork子版块在做一些非法的事情。

但监控互联网的网络安全公司GreyNoise的创始人安德鲁-莫里斯(Andrew Morris)告诉Motherboard,他的公司已经看到实际的网络流量进入不安全的票据打印机,而且似乎有人或多人在互联网上不分青红皂白地发送这些打印作业,就像到处喷洒或爆破。莫里斯在抓捕利用不安全打印机的黑客方面有一定的经验。

莫里斯在一次在线聊天中告诉 Motherboard:“有人正在使用一种类似于'大规模扫描'的技术,在互联网上直接向打印机服务大规模地喷射原始TCP数据。基本上是向每一个打开TCP 9100端口的设备,打印一份预先写好的文件,其中引用了/r/antiwork的一些工人权利/反资本主义的信息”。

]]>
读科研文献也能泄露隐私 用户发现爱思唯尔PDF阅读器收集用户信息 Sun, 23 Jan 2022 21:19:48 +0800 阅读科学文献也能泄露个人隐私吗?最近,一位名叫 Jonny Saunders 的程序员便爆了这么一个猛料:世界最大学术出版商之一爱思唯尔(Elsevier),就一直悄悄做着这件事。

当科研人员打开 ScienceDirect 网站,用着网页自带 PDF 阅读器,那么点击、阅读情况都会被一一记录下来,然后再传给爱思唯尔服务器。

原来我们在阅读科学文献的时候,一直被爱思唯尔监控着。

根据 Jonny Saunders 的分析,爱思唯尔不仅读取了你的行为,还记录你所在学校等信息,并在空闲时将一大串 base64 码发送到服务器。

虽然,这并不是爱思唯尔第一次被指责获取用户隐私。但这篇推文还是在社交网络上掀起轩然大波,一日转发量就超过 1000。

早在 2013 年,爱思唯尔收购参考文献管理器 Mendeley 时,就有 Mendeley 用户表达了这样的担忧。

事实上这种担忧并非杞人忧天,之后有人发现了 Mendeley 在后台的一些记录行为,包括:

姓名、电子邮件、密码、学习领域和学术状况等个人信息

阅读、管理的论文

意见和反馈

日志文件和设备数据

第三方帐户数据

阅读时间以及上传文章的摘要、参考文献等使用数据

在外界看来,出版商靠着收取出版费和订阅费,利润已经不菲了,为何还要收集用户数据呢?

爱思唯尔为何这样做?

爱思唯尔对自己的定位,不仅是一家学术出版商,也是一家学术数据供应商。

今年 9 月,爱思唯尔在 Twitter 上说:

他们不仅是一家出版商,还提供“知识和分析”服务。

推文最后的链接指向了一个官方页面,上面显示着“数据分析”、“证据主导决策”等关键词。

而且爱思唯尔母公司 RELX 本身就是全球最大信息中介商,过去 20 年收购了大量数据分析公司。

有人整理了一张爱思唯尔旗下品牌和产业生态链,在这个庞大的产业链中,每一个都会为公司贡献利润。每当你使用这些工具交互时,Elsevier 都可能收集和分析您的用户数据。

Jonny 认为,来自研究人员的数据很可能从 SciVal(爱思唯尔旗下数据业务)卖出。

由于论文数量越来越多,研究人员的注意力时间越来越短,为了保持研究项目的进展,他们需要推荐系统,而出版商有利可图,也开始推出相应业务。

如何关闭爱思唯尔阅读器

如果不想被爱思唯尔获取个人信息,可以在网页中关掉默认的 PDF 阅读器。

登录 ScienceDirect 设置页时,将默认启用爱思唯尔阅读器一项关掉。

最简单直接的方法是直接将 PDF 下载到本地再阅读。

如果希望能够系统阅读管理文献,建议使用 Zotero 等第三方文献阅读器替代。Zotero 是由非营利组织创建和维护的,并且是免费和开源的,隐私政策友好很多。

]]>
豆瓣网被网信办共罚150万,责令整改并严处相关责任人 Sun, 23 Jan 2022 21:19:48 +0800 12月1日,国家互联网信息办公室负责人约谈豆瓣网主要负责人、总编辑,针对近期豆瓣网及其账号屡次出现法律、法规禁止发布或者传输的信息,情节严重,依据《中华人民共和国网络安全法》等法律法规,责令其立即整改,严肃处理相关责任人。北京市互联网信息办公室即对豆瓣网运营主体北京豆网科技有限公司依法予以共计150万元罚款的行政处罚。2021年1月至11月,国家互联网信息办公室指导北京市互联网信息办公室,对豆瓣网实施20次处置处罚,多次予以顶格50万元罚款,共累计罚款900万元。

国家互联网信息办公室负责人强调,网站平台应当切实履行主体责任,健全信息发布审核、公共信息巡查、应急处置等信息安全管理制度,加强对其用户发布信息的管理,不得为违法违规信息提供传播平台。国家互联网信息办公室将坚持依法管网治网,进一步强化监督管理执法,压实网站平台依法办网的主体责任,保障人民群众合法权益,维护网络空间天朗气清。

]]>
安全周报(11.29-12.05) Sun, 23 Jan 2022 21:19:48 +0800

1、9个WiFi路由器存在226个漏洞,TP-Link漏洞数量最多

据BleepingComputer消息,近日安全研究人员对当下9种流行WiFi 路由器进行测试分析,共发现了226个漏洞,其中包括一些路由器刚刚更新使用了最新的固件。
这些测试的路由器分别来自Asus、AVM、D-Link、Netgear、Edimax、TP-Link、Synology 和 Linksys品牌。其中漏洞数量最多的也是我们最熟悉的路由器品牌TP-Link旗下产品,TP-Link Archer AX6000,共有32 个安全漏洞;排名第二的是Synology RT-2600ac,共有30 个安全漏洞。
影响 TP-Link Archer AX6000 的高严重性缺陷
据悉,此次测试由IoT Inspector 安全研究人员和 CHIP 杂志联合完成,他们重点对小公司和家庭用户使用的WiFi型号进行了安全测试。
IoT Inspector首席执行官Jan Wendenburg 指出,用户应该在首次配置路由器修改默认密码,这是确保路由器安全必不可少的重要操作。同时尽可能启用自动更新功能,这也是所有物联网设备都应保持的标准做法。
2、央行将开展金融数据安全评估,标准已在制定

12月3日,全国金融标准化技术委员会(以下简称“金标委”)发布公告,就《金融数据安全 数据安全评估规范》金融标准征求意见,明确了数据安全管理、数据安全保护、数据安全运维三个主要评估域及其安全评估主要内容和方法。

该标准适用于金融业机构开展金融数据安全评估使用,并为第三方安全评估机构等单位开展金融数据安全检查与评估工作提供参考。 

金融数据复杂多样,新技术背景下的金融数据应用形态多样、生态各异,并逐步实现与金融产品和服务的深度融合,而当前各金融业机构数据安全管理能力尚处于参差不齐的状态,金融业整体数据安全保护仍有待进一步统筹协调,逐步实现规范化和标准化。

金标委表示,开展金融数据安全评估,一方面能够推动金融业机构落实金融业数据安全管理要求,提升金融业数据安全保护工作的规范化和标准化程度;另一方面有助于金融业机构及时全面掌握本机构数据安全管理水平,预测并确认所面临的数据安全威胁和风险,为金融业机构制定防范措施及应对安全事件提供科学依据和指导,可有效防控数据安全事件风险和危害,为金融数据的应用和流动提供有力保障。 

标准主要内容包括: 

1.范围及规范性引用文件。描述了标准制定的参考依据、行业需求和标准制定的目的,明确了标准的适用机构。 

2.金融数据安全评估概述。明确了金融数据安全评估的触发条件、评估原则、评估参与方、评估内容、评估流程与评估方法。 

3.金融数据安全管理评估。明确了金融业机构数据安全管理相关组织架构及制度体系建设相关安全评估的具体内容、评估方法和结果判定依据。 

4.金融数据安全保护评估。明确了金融业机构数据资产分级管理、数据生命周期安全保护相关安全评估的具体内容、评估方法和结果判定依据。 

5.金融数据安全运维评估。明确了金融业机构边界管控、访问控制、安全监测、安全审计、安全检查、应急响应与事件处置等数据安全运维相关安全评估的具体内容、评估方法和结果判定依据。 

6.金融数据安全评估结果。对数据安全评估结果确定过程中的数据安全问题等级、评估判定原则及评估结果判定等问题进行了详细说明。

3、安全研究人员公开了影响多款惠普打印机的两个严重漏洞

据The Hacker News网站报道,安全研究人员周二揭露了影响惠普公司150款多功能打印机(MFP)的两个安全漏洞,攻击者可利用这些漏洞窃取敏感信息,并渗透进企业网络以发起其它攻击。

这两个漏洞统称为Print Shellz,由F-Secure 实验室的研究人员 Timo Hirvonen 和 Alexander Bolshev于今年4月29日首次发现:

CVE-2021-39237(CVSS 评分:7.1)- 影响某些 HP LaserJet、HP LaserJet Managed、HP PageWide 和 HP PageWide Managed 打印机的信息泄露漏洞。

CVE-2021-39238(CVSS 评分:9.3)- 影响某些 HP Enterprise LaserJet、HP LaserJet Managed、HP Enterprise PageWide 和 HP PageWide Managed 产品的缓冲区溢出漏洞。

Hirvonen 和 Bolshev 解释说:“漏洞在于设备中的通讯板和解析器,攻击者可以利用它们来获得代码执行权,前者需要物理访问,后者可通过远程完成。当攻击成功实施后,攻击者以此实现他们的各种目的,包括窃取信息或将受感染的设备作为滩头阵地对企业组织系统进行攻击。”

CVE-2021-39238高达9.3的CVSS评分也源于这是一个“可蠕虫级”的高危漏洞,能够被利用来自我传播到受感染网络上的其它多功能打印机设备。

研究人员设想了可能的攻击场景:攻击者可在包含社会工程的钓鱼恶意PDF文档中利用字体解析器漏洞,让目标打印文件。另一种方式是把目标引诱访问至恶意网站,网站会自动在受漏洞影响的的多功能打印机上远程打印含有恶意字体的文档,为攻击者提供设备上的代码执行权,这种攻击手段被称为跨站打印攻击。

目前惠普公司已在11月初发布了修复补丁,强烈建议受影响的设备立刻安装补丁。除此以外,在日常使用中也建议在默认状态下强制网络分段,并禁用从USB驱动器进行打印。

4、洛杉矶计划生育协会遭勒索攻击 数十万患者个人信息被泄露

援引《华盛顿邮报》报道,发生于今年 10 月的勒索软件攻击中,黑客获取了包含数十万名洛杉矶计划生育协会患者个人信息的文件。在致受影响患者的致歉信中,计划生育协会表示该文件包含患者的姓名、地址、保险信息、出生日期和临床信息,如诊断、手术和/或处方信息。

计划生育协会表示,该机构网络是在 10 月 9-17 日之间感染勒索软件的。17日,该组织注意到了这一入侵,将其系统下线,并联系了执法部门和网络安全调查人员。据 CNN 报道,到 11 月初,该组织已经确定了黑客访问的内容,但对攻击的实施者仍然一无所知。

洛杉矶计划生育协会的一位发言人告诉《华盛顿邮报》,这些信息似乎没有被“用于欺诈目的”,并告诉 CNN,这似乎不是一次有针对性的攻击。但是,如果黑客选择出售这些数据,鉴于其极其敏感的性质,这些数据可能很有价值--计划生育协会不仅提供堕胎服务,还提供生育控制、性病检测和对变性患者的激素治疗,以及其他一系列医疗服务。据 CNN 报道,这些数据只限于洛杉矶的计划生育协会。

]]>
央行将开展金融数据安全评估,标准已在制定 Sun, 23 Jan 2022 21:19:48 +0800 12月3日,全国金融标准化技术委员会(以下简称“金标委”)发布公告,就《金融数据安全 数据安全评估规范》金融标准征求意见,明确了数据安全管理、数据安全保护、数据安全运维三个主要评估域及其安全评估主要内容和方法。

该标准适用于金融业机构开展金融数据安全评估使用,并为第三方安全评估机构等单位开展金融数据安全检查与评估工作提供参考。 

金融数据复杂多样,新技术背景下的金融数据应用形态多样、生态各异,并逐步实现与金融产品和服务的深度融合,而当前各金融业机构数据安全管理能力尚处于参差不齐的状态,金融业整体数据安全保护仍有待进一步统筹协调,逐步实现规范化和标准化。

金标委表示,开展金融数据安全评估,一方面能够推动金融业机构落实金融业数据安全管理要求,提升金融业数据安全保护工作的规范化和标准化程度;另一方面有助于金融业机构及时全面掌握本机构数据安全管理水平,预测并确认所面临的数据安全威胁和风险,为金融业机构制定防范措施及应对安全事件提供科学依据和指导,可有效防控数据安全事件风险和危害,为金融数据的应用和流动提供有力保障。 

标准主要内容包括: 

1.范围及规范性引用文件。描述了标准制定的参考依据、行业需求和标准制定的目的,明确了标准的适用机构。 

2.金融数据安全评估概述。明确了金融数据安全评估的触发条件、评估原则、评估参与方、评估内容、评估流程与评估方法。 

3.金融数据安全管理评估。明确了金融业机构数据安全管理相关组织架构及制度体系建设相关安全评估的具体内容、评估方法和结果判定依据。 

4.金融数据安全保护评估。明确了金融业机构数据资产分级管理、数据生命周期安全保护相关安全评估的具体内容、评估方法和结果判定依据。 

5.金融数据安全运维评估。明确了金融业机构边界管控、访问控制、安全监测、安全审计、安全检查、应急响应与事件处置等数据安全运维相关安全评估的具体内容、评估方法和结果判定依据。 

6.金融数据安全评估结果。对数据安全评估结果确定过程中的数据安全问题等级、评估判定原则及评估结果判定等问题进行了详细说明。

]]>
9个WiFi路由器存在226个漏洞,TP-Link漏洞数量最多 Sun, 23 Jan 2022 21:19:48 +0800 据BleepingComputer消息,近日安全研究人员对当下9种流行WiFi 路由器进行测试分析,共发现了226个漏洞,其中包括一些路由器刚刚更新使用了最新的固件。

这些测试的路由器分别来自Asus、AVM、D-Link、Netgear、Edimax、TP-Link、Synology 和 Linksys品牌。其中漏洞数量最多的也是我们最熟悉的路由器品牌TP-Link旗下产品,TP-Link Archer AX6000,共有32 个安全漏洞;排名第二的是Synology RT-2600ac,共有30 个安全漏洞。

据悉,此次测试由IoT Inspector 安全研究人员和 CHIP 杂志联合完成,他们重点对小公司和家庭用户使用的WiFi型号进行了安全测试。

IoT Inspector首席技术官&创始人 Florian Lukavsky表示,“这次和Chip联合进行的路由器测试,供应商为他们提供了测试样品,并且这些样品已经全部升级至最新的固件版本。我们随后用IoT Inspector 进行自动检测、分析,发现了5000多个安全问题。”

这意味着,市面上很多路由器即使已经更新至最新版本,但依旧免不了存在安全问题,甚至很多都是已经公开披露的漏洞,这将导致他们很容易受到攻击。

其中最常见的问题主要包括:

固件中过时的 Linux 内核;

过时且不安全的VPN 功能;

过度依赖旧版本的BusyBox;

弱口令密码,比如“admin”;

以纯文本形式存在硬编码凭据。

对此,IoT Inspector首席执行官Jan Wendenburg 指出,用户应该在首次配置路由器修改默认密码,这是确保路由器安全必不可少的重要操作。同时尽可能启用自动更新功能,这也是所有物联网设备都应保持的标准做法。

测试过程

在本次路由器测试中,安全研究人员仅公布了一个案例,即提取了D-Link 路由器固件映像的加密密钥,除此之外并未公布其他的技术细节。

在该案例中,他们在D-Link DIR-X1560上获得了本地权限,再通过物理 UART 调试接口获得shell访问权限。随后它们使用内置的 BusyBox 命令转储整个文件系统,并找到负责解密例程的二进制文件。

通过分析相应的变量和函数,研究人员最终提取出了用于固件加密的AES密钥。利用该秘钥,攻击者完全可以实现,在路由器上植入恶意软件,以达到后续目的。

所幸,测试之后,各路由器厂商反应非常迅速,第一时间对这些存在的问题发布了固件补丁。但CHIP杂志的某位作者指出,供应商提供的方案只是解决了大部分安全漏洞,还有部分漏洞未能修复。

安全人员表示,一般来说,未修补的漏洞大多是重要性较低的漏洞。但他们也提醒用户关注厂商发布的漏洞修复公告,因为他们并未进行后续测试,确认安全更新修复了报告的问题。

]]>
美FBI称古巴勒索软件团伙从赎金支付中赚取了4390万美元 Sun, 23 Jan 2022 21:19:48 +0800 据The Record 报道,美国联邦调查局(FBI)周五表示,古巴勒索软件的操作者在今年进行的攻击中至少赚取了4390万美元的赎金。FBI在周五发出的紧急警报中说,古巴团伙已经“损害了五个关键基础设施部门的至少49个实体,包括但不限于金融、政府、医疗保健、制造业和信息技术部门”。

FBI表示,它追踪了古巴勒索软件的攻击,发现系统感染了Hancitor,这是一种恶意软件操作,利用钓鱼邮件、微软Exchange漏洞、受损的凭证或RDP爆破工具来获得对脆弱的Windows系统的访问。

一旦系统被添加到他们的僵尸网络中,Hancitor运营商就会以典型的恶意软件即服务(MaaS)的模式向其他犯罪团伙出租这些系统的访问权。

虽然2021年4月McAfee关于古巴勒索软件的报告(PDF)发现这两个团伙之间没有任何联系,但FBI的报告强调,在整个2020年其他勒索软件行动达成类似的伙伴关系之后,MaaS供应商和勒索软件团伙之间似乎形成了新的伙伴关系。

周五早些时候发布的FBI文件(PDF)强调了一个典型的Hancitor-to-Cuba感染是如何发生的,并提供了公司可以用来加强防御的入侵指标。

FBI还提到,古巴勒索软件团伙也是在加密文件之前从受感染公司收集和窃取敏感文件的勒索软件组织之一。。如果公司不付钱,这些团队会威胁将敏感文件公布在他们自今年1月以来一直在暗网上运营的网站上。

根据Recorded Future分析师汇编的数据,今年到目前为止,至少有28家公司在拒绝付款后被列入这个网站。

FBI

表示,4390万美元的数字代表了受害者的实际付款,该组织要求受害者支付超过7400万美元,其中一些受害者拒绝付款。这个数字属于迄今为止报告的大多数勒索软件收入的通常范围:

Darkside:2020年10月至2021年5月期间为9000万美元;

Maze/Egregor:7500万美元;

Ryuk:1.5亿美元;

REvil:2020年为1.23亿美元;

Netwalker:2020年3月至7月期间为2500万美元;

Conti:2021年7月至11月之间的2550万美元。

]]>
去中心化金融平台BadgerDAO遭黑客攻击 损失超过1.2亿美元 Sun, 23 Jan 2022 21:19:48 +0800 周三晚间,有黑客从连接到去中心化金融平台 BadgerDAO 的多个加密货币钱包中窃取了价值 1.2 亿美元的各种代币。目前 Badger 已经和区块链安全和数据分析公司 Peckshield 合作调查本次事件。

目前相关的调查仍在进行中,不过 Badger 团队基于初期的调查结果告诉用户,这个问题来自于有人在其网站的用户界面中插入了一个恶意脚本。对于任何在脚本激活时与网站互动的用户,它将拦截 Web3 交易并插入一个请求,将受害者的代币转移到攻击者选择的地址。

由于交易的透明性,我们可以看到一旦攻击者扑空后发生了什么。PeckShield 指出,有一次转账将 896 个比特币拖入攻击者的库房,价值超过 5000 万美元。根据该团队的说法,恶意代码早在 11 月 10 日就出现了,因为攻击者在看似随机的时间间隔内运行它以避免被发现。

去中心化金融(DeFi)系统依靠区块链技术,让加密货币所有者进行更典型的金融操作,如通过借贷赚取利息。BadgerDAO 向用户承诺,他们可以“高枕无忧地知道你永远不必放弃你的加密货币的私钥,你可以随时提款,而且我们的战略家正在日夜工作,让你的资产发挥作用”。其协议允许拥有比特币的人通过其代币将他们的加密货币"桥接"到以太坊平台上,并利用他们可能无法获得的DeFi机会。

Badger 在发现这些未经授权的转移之后,它就暂停了所有的智能合约,基本上冻结了它的平台,并建议用户拒绝向攻击者的地址进行所有交易。周四晚上,该公司表示,它已经“聘请了数据取证专家 Chainalysis 来探索事件的全部规模,美国和加拿大的当局已经被告知,Badger 正在与外部调查充分合作,并继续进行自己的调查”。

]]>
洛杉矶计划生育协会遭勒索攻击 数十万患者个人信息被泄露 Sun, 23 Jan 2022 21:19:48 +0800 援引《华盛顿邮报》报道,发生于今年 10 月的勒索软件攻击中,黑客获取了包含数十万名洛杉矶计划生育协会患者个人信息的文件。在致受影响患者的致歉信中,计划生育协会表示该文件包含患者的姓名、地址、保险信息、出生日期和临床信息,如诊断、手术和/或处方信息。

计划生育协会表示,该机构网络是在 10 月 9-17 日之间感染勒索软件的。17日,该组织注意到了这一入侵,将其系统下线,并联系了执法部门和网络安全调查人员。据 CNN 报道,到 11 月初,该组织已经确定了黑客访问的内容,但对攻击的实施者仍然一无所知。

洛杉矶计划生育协会的一位发言人告诉《华盛顿邮报》,这些信息似乎没有被“用于欺诈目的”,并告诉 CNN,这似乎不是一次有针对性的攻击。但是,如果黑客选择出售这些数据,鉴于其极其敏感的性质,这些数据可能很有价值--计划生育协会不仅提供堕胎服务,还提供生育控制、性病检测和对变性患者的激素治疗,以及其他一系列医疗服务。据 CNN 报道,这些数据只限于洛杉矶的计划生育协会。

]]>
脱单盲盒里能找到爱情?成功率微乎其微 还会泄露隐私被收智商税 Sun, 23 Jan 2022 21:19:48 +0800 继剧本杀后,又一年轻人社交新方式出现了。

近几个月来,脱单盲盒风靡各大社交平台,引起无数年轻人争相种草打卡,从线上电商到路边摊再到实体店都开始打起“卖脱单盲盒致富”的主意。

所谓“脱单盲盒”即指单身男女将含有个人联系方式的信息放入盒中,然后盒子被经营者以盲盒的形式出售,售价从1元到上百元不等,以达到盲盒交友的目的。通常,这类盲盒会显示性别、星座等信息,其余则全凭运气。你可能抽到一个1.87米的帅气小哥哥,也可能抽出一个根本不存在的信息。

正是这种运气色彩浓郁和线上社交“零尴尬”的特点,使得盲盒交友的形式一时间成为年轻人交友新潮流,甚至有人靠卖盲盒月入过万。然而,新京报贝壳财经记者调查发现,目前规模较大的脱单盲盒便利店主要营收并非来自1元或者9.9元脱单盲盒,而是其所带来的流量变现;而年轻人想要脱单也并非仅靠一个盲盒就能实现,甚至有的留下联系方式后被别人反复骚扰。

“脱单盲盒就是个附属品,最低8888元,最高6万元即可成为我们的付费会员,享受一对一红娘服务。如果想要私人订制另一半,会员费没有上限。”一家线下的脱单盲盒实体店的红娘对记者表示。

脱单盲盒热如何兴起的?靠脱单盲盒真的可以找到对象吗?其背后的流量变现生意能否长期运转,脱单盲盒生意现状如何?

单身经济下的脱单盲盒,成年轻人社交新方式?

“29.9元写一个盲盒,3块钱看一个盲盒。”成都一家脱单便利店负责人施先生告诉新京报贝壳财经记者,其已将生意开到了全国各地。记者探访的这家店铺于今年8月份正式营业,是最早做“脱单盲盒”生意的店铺之一。

据施先生介绍,他们的团队属于大学生创业团队,早在2017年就开始从事年轻人单身经济方面的生意,并创造了红极一时的“失恋博物馆”,最多的时候在全国拥有16家加盟店。后来施先生的一位朋友借失恋博物馆脱单,再加上受到盲盒的启发,团队又推出了“脱单盲盒便利店”,并选择在成都这一年轻人聚集的城市试点推广。前期,施先生的团队投入了15万元左右在小红书、抖音、大众点评、美团、高德地图等平台推广宣传。

由于“脱单盲盒”创意富有特色,迎合年轻人交友猎奇心理,再加上一点运气成分的加持以及团队之前积累的人脉资源和营销、宣传经验,施先生的脱单便利店一经推出便在全网引起了一阵模仿热潮。

如今施先生的店中已经积攒了4000多个盲盒,除了成都总店,还在全国各地拥有四家加盟店。“疫情影响下实体店人流量减少了,但现在每天仍有很多人来咨询加盟开店,我们预计脱单便利店热潮将在明年的3、4月份达到顶峰”。

其实,除了线下实体店外,脱单盲盒还有几种其他玩法。

一是“一元路边摊”。在城市热闹的商圈,一张标牌,两个纸盒,一支笔,再加点吸引人的噱头,简易版脱单盲盒小摊就搭建起来了。写一个纸条一块钱,抽一个纸条一块钱。这种一块钱就可能碰到“真命天子/天女”的新奇刺激感让不少年轻人选择为之买单。由于这种商业模式成本低、易操作且流量高,使得不少年轻人蜂拥而至,由购买者摇身一变成为了售卖者,还给自己的小摊起了一个雅致的名字——“月老办事处”。抖音上有博主曾经测评过,开一个“月老办事处”一晚上可以净赚300元左右。

不过,如今这股热潮已经过去,“一元路边摊”已经很难找到。

另一种是线上脱单盲盒小程序。无须认证,不受时间空间限制,依旧是几块钱写一个盲盒,几块钱抽一个盲盒,用户即可享受“偶遇的爱情”。一微信脱单盲盒小程序负责人伍先生向记者介绍,像脱单盲盒这类小程序源码开源,只需要花200-500元找人帮忙修改即可上线。而对于线上脱单盲盒商家来说,靠小程序赚钱是其次,“重点在于私域引流”。伍先生的小程序上线一个月便积累了7000多名用户。此外,伍先生还向记者介绍称,圈内一家做脱单盲盒付费H5的商家利用分销商推广,在10月1日到3日三天的时间内积累了30多万名用户,收入不菲。

脱单盲盒可以“解救”年轻人脱单焦虑吗?成功率微乎其微,有的入局后被骚扰

来自河南的北漂青年小立今年21岁了,因为成绩一般,小立自初中毕业后就辍学打工补贴家用。今年9月份,抖音上突然掀起了一阵脱单盲盒热潮,刷到抖音的小立出于好奇便在小程序上留下了一张写有个人信息的纸条,跟风参加了盲盒游戏。

“过了年我就22了,工作后一次对象都没有谈过,家里催的紧,我又比较社恐,脱单盲盒当时很火,我就跟风玩了一下”。小立告诉记者,自己工作后没有时间找对象,再加上性格内向,人生地不熟,下班后的生活一直都很单调,也没有谈过恋爱。然而,小立并没有通过脱单盲盒找到另一半,事实上,通过小程序添加小立的人屈指可数。

莉莉是成都一位刚参加工作不久的姑娘。她在网上刷到了一家脱单便利店探店帖,“成都首家脱单便利店”、“很适合社恐单身狗”等描述吸引了她。下班后,莉莉兴奋地拉着好友跑到店中打卡,并掏钱放置了一个写有自己信息的盲盒。在这家线下脱单便利店中,每个盲盒外层都会写明瓶主的一些基础信息——生活/工作地区、出生年月日、理想型、投瓶日期等以便顾客进行初步筛选。除了这些基础信息,一些“小心机”也会增加被选中的概率,例如男生在瓶外标注180+等。

然而,想象中甜甜的恋爱却并没有来临。相反,有一位男性在添加莉莉后,像查户口般不断盘问莉莉个人信息,持续不断骚扰莉莉,被莉莉删除后,又多次重复添加莉莉。随后,莉莉与便利店老板取得了联系并让老板下架了这个男生的瓶子。

雯雯刚开始与莉莉相同,都是只花了29.9元留下了一个装有个人信息的瓶子,然而为了提高曝光率,雯雯又花了99元成了这家店里的“日推女孩”,其信息被店铺运营发在了微信朋友圈。在朋友圈里,雯雯的脸部被遮挡,仍是以“盲盒”的形式出现,但照片中的她身穿jk制服,高挑纤细的身材吸引了不少店铺顾客。而想要获得雯雯的联系方式,每位顾客需要支付29.9元的费用。

成为“日推女孩”后的雯雯在后续一段时间每天都会收到几十个好友申请。在高频次的交流中,雯雯挑选了一位各方面都比较满意的异性,并发展成了恋人。

实际上,通过脱单盲盒找到另一半可能性微乎其微,雯雯的例子仍是少数。成都脱单便利店负责人施先生告诉记者,自己店铺三个月时间内积累了4000多个盲盒,第一个月撮合成功了十五对情侣。平均下来,脱单成功的概率为1.1%。然而,在进一步了解中,记者发现,施先生所说的这十五对情侣中包含了通过进一步付费朋友圈推荐认识的、来店里参加线下活动认识的以及店里员工介绍认识的等等。莉莉也告诉记者,自己通过脱单盲盒认识的异性都只是断断续续聊了几天就再未联系过。

也就是说,即使是增加了认识的机会,社恐的年轻人也不得不面对线上聊天的尴尬。再加上盲盒形式下另一半信息的不确定性,实际上也增加了年轻人择偶时的筛选成本。北京云嘉律师事务所副主任、中国政法大学知识产权研究中心研究员赵占领告诉记者,以脱单盲盒的形式交友虽然不违反法律规定,但在实际操作过程中,若出现顾客被骚扰、个人信息被泄露等现象很难追责,只能顾客个人承担后果。“年轻人出于好奇心参加这种活动,纯粹为了好玩没有什么问题;但出于交友、谈恋爱来参加这种活动是非常非常不理智的”。赵律师说。

脱单盲盒店背后的生意经:

脱单盲盒导流,靠婚恋服务等收费,一对一红娘会员费最高6万

开脱单便利店赚钱吗?其实,卖盲盒并非这类店铺的主要业务,店铺营收也不靠新顾客流量贡献,而是靠老顾客的持续消费。

“29.9元写一个盲盒,3元看一个盲盒,一个年轻人进店消费,写一个盲盒再花钱看几个,差不多每人的平均消费在50元左右。”施先生向记者算了一笔账。仅美团数据显示,施先生的店铺开业以来“看脱单盲盒”累计消费3658笔、“写脱单盲盒”累计消费2482笔。此外,据施先生介绍,由于疫情原因,店铺到店数据下滑,但线上转账代写业务依旧火爆,成都总店每个月仅脱单盲盒业务营收在5万元左右。

事实上,脱单盲盒业务在施先生店中营收占比不到40%。除了脱单盲盒,施先生的店铺还提供一系列其他交友服务:每星期,盲盒店都会举行线下活动,邀请店铺老顾客参加,并收取相应的门票费;倘若顾客想要进一步提高匹配成功率,还可以付费成为“日推”顾客,其盲盒信息曝光率将会大大提高,付费日推每人99元,而想要获得某位日推顾客联系方式则需要支付29.9元;脱单欲望更强烈的顾客还可以选择成为付费会员,由店中的一对一红娘团队服务,会员费用根据每个人需求而有所不同,199元是入门价格,最高没有上线,两三万一位都是正常价位。

通过社交平台搜索,记者走访了位于北京望京SOHO的一家提供脱单盲盒服务的店铺“超级喜欢”。这家店与成都脱单便利店相似,盲盒业务并非这家店的主营业务,后期的相亲活动与个性化红娘服务才是店铺营收的主要来源。

据店铺工作人员介绍,店中的脱单盲盒业务仅作为附属品供顾客娱乐,只需要花费9.9元便能带走一个盲盒。平时,店铺提供剧本杀、狼人杀、桌游、线下观影活动、高薪专场相亲活动、高颜值专场相亲活动等服务,而这些活动的门票价格从59元、79元、99元、199元、399元不等。

交谈中,店铺红娘还热情地向记者介绍店铺的付费会员制度,称“最低8888元,最高6万元即可成为我们的付费会员,享受一对一红娘服务。如果想要私人订制另一半,会员费没有上限。”

记者留下联系方式后,也遭到了店铺红娘的多次安利,诱导记者到店进行身份验证并成为“被动会员”。

这也意味着,很多“脱单盲盒”商业模式最后的一环仍是传统的一对一婚恋服务。施先生也向记者表示,自己团队未来将会推出“脱单便利店2.0版本”,以脱单为主旨,新增剧本杀、桌游、DIY体验、私密电影院、情感咨询室,乃至婚纱摄影、亲子活动等一条龙服务。

]]>
微软在Windows 11上出手:又阻止用户下载非官方浏览器 Sun, 23 Jan 2022 21:19:48 +0800 为了在Windows 11平台上推荐更多用户使用基于Chromium的新版Microsoft Edge浏览器,微软的某些激进做法让不少用户反感。

当Windows 11用户在Edge浏览器上尝试安装Chrome的时候,微软就会发出一条警告,试图阻止用户下载。

该信息中写道:“Microsoft Edge 运行在与 Chrome 相同的技术上,并额外提供来自微软的信任”。它还包括一个名为"现在安全使用浏览器"的按钮,它将用户重定向到一个网页,强调Edge的性能、安全和其他优于其他浏览器的优点。这条信息目前不会出现在大多数稳定使用Edge的人身上,而该通知提示是由服务器端的更新触发的,所以它与Windows 11的构建修订号无关。

当用户试图使用任何搜索引擎(Bing或Google本身)访问Chrome的下载页面时,该警报出现了。

]]>
4种Android 银行木马已在今年感染超30万台设备 Sun, 23 Jan 2022 21:19:48 +0800 据The Hacker News网站报道,2021年8月至10月间,4种不同的Android系统银行恶意程序以通过官方Google Pllay商店传播的方式,感染了超过30万台设备,这些应用伪装成各类正常APP,一旦中招,就能悄然控制受感染的设备。

网络安全公司 ThreatFabric表示,这4种恶意软件被称为Anatsa(又名 TeaBot)、Alien、ERMAC 和 Hydra,目前它们的活动显得十分精细化,能够仅针对特定地区的设备部署有效载荷,并防止恶意软件在发布过程中被其它地区下载。

虽然在月初,谷歌制定了限制使用可访问性权限,旨在遏制恶意应用程序从 Android 设备捕获敏感信息,但此类应用程序越来越多地通过其他方式改进他们的策略,其中最主要的一种方式为版本控制技术,即首先在应用商店中上传一个正常版本,然后通过后续更新的方式逐步加入恶意功能。自今年 6 月以来,ThreatFabric在Google Play 商店中发现了六个植入有Anatsa银行木马的恶意程序,这些应用程序通过“更新”的方式,提示用户授予其安装应用程序的权限和辅助功能服务权限。

另一种策略是设计一种与命令和控制(C2)网站相匹配的外观,以避开传统的检测方法。安全人员在今年7月发现名为Vultur的远程访问木马,巧妙地伪装成一个可以创建二维码的应用程序,以此来向美国用户投放Hydra和ERMAC恶意软件,而这两个恶意软件以前并未针对美国市场。

此外,一款下载次数超过1万次的健身软件——GymDrop,被发现通过引导下载新的健身运动包来植入Alien银行木马的有效载荷,甚至合法的开发者网站还充当了C2服务器来获取下载恶意软件所需的配置。

]]>
新型僵尸网络EwDoor来袭,AT&T客户5700台设备受感染 Sun, 23 Jan 2022 21:19:48 +0800 近期,奇虎360 Netlab研究人员发现一个新的僵尸网络—— EwDoor,该僵尸网络利用四年前的一个严重漏洞(编号CVE-2017-6079),针对未打补丁的AT&T客户发起猛烈攻击,仅三个小时,就导致将近6000台设备受损。

“2021年10月27日,我们的 Botmon 系统发现攻击者通过 CVE-2017-6079 攻击 Edgewater Networks 的设备,在其有效载荷中使用相对独特的挂载文件系统命令,这引起了我们的注意,经过分析,我们确认这是一个全新的僵尸网络,基于它针对 Edgewater 生产商及其后门功能,我们将其命名为 EwDoor。” 奇虎360发布报告分析。

EdgeMarc 设备支持高容量 VoIP 和数据环境,弥补了运营服务提供商在企业网络服务上的缺陷。但同时,这也要求设备需公开暴露在 Internet 上,无可避免地增加了其受远程攻击的风险。

三小时内发现近6000台受损设备

研究人员通过注册其备份命令和控制 (C2) 域,监控从受感染设备发出的请求,以确定僵尸网络的规模。不幸的是,在遇到主 C2 网络故障后,EwDoor 重新配置了其通信模型。

在短短三小时内,研究人员发现受感染的系统是 AT&T 使用的EdgeMarc Enterprise Session Border Controller。并且专家已经确定了位于美国的5700台受感染设备(IP)。

“通过回查这些设备使用的 SSl 证书,我们发现大约有 10 万个 IP 使用相同的 SSl 证书。我们不确定与这些 IP 对应的设备有多少可能被感染,但我们可以推测,由于它们属于同一类设备,因此可能的影响是真实的。”

EwDoor主要目的是 DDoS 攻击

研究发现,EwDoor已经经历了3个版本的更新,其主要功能可以概括为DDoS攻击和Backdoor两大类。基于被攻击设备与电话通信相关,研究人员推测EwDoor主要目的是 DDoS 攻击,以及收集通话记录等敏感信息。

EwDoor支持六大功能(基本逻辑如下所示):

自我更新

端口扫描

文件管理

DDoS 攻击

反壳

执行任意命令

为了躲避安全专家的分析,EwDoor竟采取了一系列保护措施,例如使用TLS协议防止通信被拦截,敏感资源加密等。“修改ELF中的'ABIFLAGS'PHT以对抗qemu-user和一些高内核版本的linux沙箱。这是一个比较少见的对策,说明EwDoor的作者对Linux内核、QEMU、Edgewater设备非常熟悉。”研究报告提到。

专家还在报告中提供了有关 EwDoor 僵尸网络的其他技术细节,并分享了针对此威胁的入侵指标 (IOC)。

]]>
安全研究人员公开了影响多款惠普打印机的两个严重漏洞 Sun, 23 Jan 2022 21:19:48 +0800 据The Hacker News网站报道,安全研究人员周二揭露了影响惠普公司150款多功能打印机(MFP)的两个安全漏洞,攻击者可利用这些漏洞窃取敏感信息,并渗透进企业网络以发起其它攻击。

这两个漏洞统称为Print Shellz,由F-Secure 实验室的研究人员 Timo Hirvonen 和 Alexander Bolshev于今年4月29日首次发现:

CVE-2021-39237(CVSS 评分:7.1)- 影响某些 HP LaserJet、HP LaserJet Managed、HP PageWide 和 HP PageWide Managed 打印机的信息泄露漏洞。

CVE-2021-39238(CVSS 评分:9.3)- 影响某些 HP Enterprise LaserJet、HP LaserJet Managed、HP Enterprise PageWide 和 HP PageWide Managed 产品的缓冲区溢出漏洞。

Hirvonen 和 Bolshev 解释说:“漏洞在于设备中的通讯板和解析器,攻击者可以利用它们来获得代码执行权,前者需要物理访问,后者可通过远程完成。当攻击成功实施后,攻击者以此实现他们的各种目的,包括窃取信息或将受感染的设备作为滩头阵地对企业组织系统进行攻击。”

CVE-2021-39238高达9.3的CVSS评分也源于这是一个“可蠕虫级”的高危漏洞,能够被利用来自我传播到受感染网络上的其它多功能打印机设备。

研究人员设想了可能的攻击场景:攻击者可在包含社会工程的钓鱼恶意PDF文档中利用字体解析器漏洞,让目标打印文件。另一种方式是把目标引诱访问至恶意网站,网站会自动在受漏洞影响的的多功能打印机上远程打印含有恶意字体的文档,为攻击者提供设备上的代码执行权,这种攻击手段被称为跨站打印攻击。

目前惠普公司已在11月初发布了修复补丁,强烈建议受影响的设备立刻安装补丁。除此以外,在日常使用中也建议在默认状态下强制网络分段,并禁用从USB驱动器进行打印。

]]>
北京银行被罚40万:发生重要信息系统突发事件未向监管部门报告 Sun, 23 Jan 2022 21:19:48 +0800 11月29日银保监会官网更新行政处罚显示,北京银行因发生重要信息系统突发事件但未向监管部门报告,严重违反审慎经营规则,被罚款40万元。北京银保监局于2021年11月24日作出上述行政处罚决定,行政处罚依据为《中华人民共和国银行业监督管理法》第四十六条。

信息安全是当前我国非常重要和紧迫的一项任务。不仅仅是银行,各行各业都必须把信息安全放在首位,设置专门的信息安全岗,并定期进行检查。

临近年底,金融行业监管部门加大了对银行业的检查力度,被罚机构当中,既有国有大行,也有全国股份制银行,也有城商行农商行,以及村镇银行等。在这些被罚的银行当中,因发生重要信息系统突发事件被罚并不多见。《银行业重要信息系统突发事件应急管理规范(试行)》规定,银行应在重要信息系统突发事件发生后60分钟之内将突发事件相关情况上报银监会或其派出机构信息系统应急管理部门,并在事件发生后12小时内提交正式书面报告。而重要信息系统,是指银行业金融机构支撑关键业务,其信息安全和系统服务安全关系公民、法人和组织的权益或社会秩序和公共利益,甚至影响国家安全的信息系统。主要包括面向客户、涉及账务处理且时效性要求较高的业务处理类、渠道类和涉及客户风险管理等业务的管理类信息系统,支撑上述系统运行的前置机、客户端、机房、网络等基础设施也应作为重要信息系统的一部分。因此分析,北京银行本次罚单所说的“发生重要信息系统突发事件但未向监管部门报告“,大概率是核心系统或信贷系统出现了生产事故,没有及时向监管部门报告。

值得关注的是,北京银行上海张江支行在11月19日也被处罚,违规案由是“2017年6月至2019年1月,该支行信息安全和员工行为管理严重违反审慎经营规则”。被处以罚款50万元。

北京银行本次的两个罚单均与信息安全强相关,盘点一下,今年年内农业银行也收到相关罚单。更早之前,广发银行和珠海华润银行也因此被罚。今年1月,农业银行因网络安全问题被罚420万元,被罚原因中包括发生重要信息系统突发事件未报告,此外,农业银行还涉及多项违规:制卡数据违规明文留存;生产网络、分行无线互联网络保护不当;数据安全管理较粗放,存在数据泄露风险;网络信息系统存在较多漏洞;互联网门户网站泄露敏感信息。在2017年,广发银行收到的7亿巨额罚单也牵扯“未向监管部门报告重要信息系统突发事件”。其他银行应该以此为戒,汲取教训,让信息安全工作落实到实处。如果金融行业的信息安全出现了问题,会影响到整个国家经济层面的安全。

《网络安全法》第三十一条规定,国家对金融等重要行业和领域,在网络安全等级保护制度的基础上,实行重点保护。根据《关键信息基础设施确定指南(试行)》要求,银行运营为金融行业中的关键业务。因此,银行一般应被认定为关键信息基础设施运营者,在履行网络运营者的一般安全保护义务的基础上,还需履行关键信息基础设施运营者的特殊义务。作为客户资金和信息的重要载体,保障客户的网上交易安全和信息安全责任重大。

建议银行从业者切实提高安全风险防范意识,加强对《网络安全法》和 、网络安全等级保护制度、《个人金融信息保护技术规范》(JR/T 0171—2020)等法律法规或技术规范的学习宣传和培训,认真做好相关专业人员的安全意识教育,而且常抓不懈。每年应进行至少一次警示教育,通过宣传和培训,提高所有参与管理的人员信息安全和风险防范意识,关键是要重点培养信息安全的业务骨干。定期做好测评与整改工作,开展信息系统自定级工作,并将定级情况报公安机关备案,按期推进并完成信息安全等级保护工作。开展应急演练和建立信息安全应急管理机制,发现存在的问题和安全防护体系的薄弱环节,组织整改工作建立有效的安全防御体系。比如加强病毒防范工作,使用的储存介质要定期杀毒,防止中病毒导致黑客入侵盗取数据,着实增强银行防范风险能力。

]]>
娱乐同时能赚钱?“新型赌场”这些套路要小心 Sun, 23 Jan 2022 21:19:48 +0800 近期,以周焯华为首的跨境赌博犯罪集团被查获一案引发社会关注。11月29日,最高人民检察院召开新闻发布会介绍,2021年1-9月,全国检察机关起诉开设赌场罪63238人,同比上升40%,上升趋势明显。值得注意的是,随着互联网的发展,有不法分子将网络棋牌类软件、App进行包装,以娱乐、返利等形式招赌、吸赌,各类“新型赌场”对人民群众财产安全和社会秩序造成了严重威胁。

套路多样:新型赌场犯罪高发

今年1-9月与2018-2020年三年同期平均办案数相比较,全国检察机关批准逮捕18739件、36780人,分别上升17.79%和6.4%;提起公诉25140件、63238人,分别上升49.27%和45.71%,开设赌场犯罪呈高发态势。

“开设赌场犯罪的行为和表现有了新的变化。相较其他犯罪,涉国(境)外因素多。主要表现为境外赌博犯罪集团以高额回报为诱惑,发展我境内人员成为代理,由代理组织我境内公民赴境外赌博以及为逃避打击将服务器放在境外,借助互联网在我境内招赌吸赌,实施网络开设赌场犯罪。”最高人民检察院检察委员会委员、第一检察厅厅长苗生明介绍。

从办案数据上看,今年1-9月,全国检察机关起诉涉国(境)外犯罪(涉外犯罪、涉港澳犯罪)13329人,其中开设赌场罪1376人,占比10.32%,仅次于偷越国(边)境罪,居第二位。

不仅如此,盈科律师事务所高级合伙人高同武告诉北京商报记者,随着信息技术的高速发展,一些新型赌博方式甚嚣尘上,主要表现为建群赌博、利用技术手段专门为境外赌博网站提供资金结算服务、利用手机App开设赌场等。有不法分子将网络棋牌类软件、App进行包装,以娱乐、返利等形式,招赌、吸赌,诱骗他人一步一步走进赌博的圈套。

据最高检发布的典型案例,“德扑圈”App是一款网络德州扑克软件。2018年3月,被告人唐某某、王某某在“德扑圈”App内通过平台的分组功能建立了“云巅俱乐部”,招揽赌客利用该款软件在俱乐部内以德州扑克的形式进行赌博。

赌客可以与其他赌客对赌,也可以与系统对赌,唐某某等人用联盟币(该应用软件中的“虚拟币”)为赌客结算,1个联盟币对应1元人民币,赌客充值到客服提供的微信或支付宝,客服就会在赌客俱乐部账户内增加相应的联盟币数量。赌博结束后赌客可以找客服提现,把联盟币转化成真实钱款。仅在一年内,“云巅俱乐部”共接受赌客赌资697万余元,唐某某等9人非法获利300万余元。

严加整治:最高检挂牌督办14起案件

新型开设赌场犯罪中,犯罪分子充分利用信息网络技术,将相关的软件、平台研发,赌场、代理与赌客之间的勾连,赌场的宣传、推广,实施赌博活动以及赌博后的赌资结算等环节分割开,由不同的人员分工合作,利用不同的途径进行赌博活动。这也给司法机关对相关的犯罪取证工作和事实认定带来困难。

高同武告诉北京商报记者:“在司法实务中,如何区分是合法游戏网站还是赌博网站,存在认定难度;形成完整证据链存在困难。赌博网站服务器通常设置在境外,司法机关无法进行查扣,对于代理账号体系、结构、明细等数据难以调取,对于涉案人员的赌资,抽头渔利数额、参赌人数都无法通过服务器数据来确定,定罪量刑存在困难;此外,中国司法机关是否具有管辖权,后续执行也存在困难。”

苗生明表示,检察机关将不断加强对新型赌博类犯罪规律、法律适用等方面的研究。同时,主动参与社会治理,会同有关部门共同加强出入境管理和推进网络空间法治化建设,整治网络黑灰产业链,净化网络空间,使赌博犯罪在“线上”“线下”无处遁形。

北京商报记者注意到,为了依法严厉打击该类犯罪,今年3月1日生效实施的刑法修正案(十一)对刑法第303条进行了修改,将开设赌场犯罪第一档法定最高刑从原来的有期徒刑三年,提高到五年,并增加了组织参与国(境)外赌博罪的新规定。

2020年以来,最高人民检察院分两批次,对涉及16个省级地区的14起开设赌场系列案件挂牌督办,以确保案件办理的质量和效果。

“如何区分网络赌博和网上娱乐,避免落入犯罪分子圈套?最简单的一点,我们只要不被虚假宣传蒙住双眼,不要相信娱乐的同时还能赚钱,就不会落入这类陷阱。在网上使用棋牌类游戏软件时,要从正规的渠道下载使用;同时,涉嫌赌博的应用软件,有一个显著的特征,就是具有相关的提现功能,如果大家发现能够提取现金或者获得有价值实物之类的软件、应用时,请不要使用并及时向公安机关举报。”最高检第一检察厅副厅长张晓津提醒称。

对于个人参与赌博是否构成犯罪,张晓津表示,我国对于赌博一直坚持“禁赌”的政策。如果不是以赌博为业,仅仅是个人参与赌博,不构成赌博犯罪,但是如果赌资数额较大,也是违法行为。

]]>
券商巨头遭遇“撞库攻击”,有人自动下单秒亏33% Sun, 23 Jan 2022 21:19:48 +0800 你遭遇过网络攻击,并因此损失了数十万的财产吗?

对于这个问题,大多数普通人给出的答案是否定的,即使企业遭受了网络攻击,所造成的后果无非是个人隐私信息泄露,基本不会涉及任何钱财的损失。

但是,中国台湾的用户对此却有了血与泪的体会。

近日,包括券商巨头元大证券在内的多家券商的交易系统,疑似遭遇了猛烈的“撞库攻击”,大量用户的证券账号被暴力破解。而且这些证券账户开始自动“下单”,大批量地买入港股股票,这些股票随即下跌,导致用户损失惨重。

其中,损失最严重的莫过于购买了“深蓝科技”的用户,该股票在买卖过程中出现“闪崩”,直线下跌33%,用户证券账户内的财富也因此直接缩水33%。

目前,这一消息已经得到官方证实,中国台湾当局要求各大券商进行清查,确保投资人权益不受损失,并要求各大券商对系统进行强化升级。

据多家媒体消息,此次证券交易系统攻击事件始于11月25日下午3点,有投资者在中国台湾社区平台PTT论坛上爆料,其名下的证券帐户被系统自动下单买入了港股。随后,这则帖子在社区引发炸锅,大量投资者纷纷回帖表示,自己的证券帐户也出现了类似的情况,被迫买入了港股。

元大证券表示,元大一直都非常重视客户的信息安全,于2021年11月25日下午3时许主动发现有疑似异常的港股委托后,担心为港股诈骗案,故于联系部分客户确认属非本人交易后,为确保客户权益,紧急采取措施,自当天3点45分起,暂停受理复委托电子交易,改为人工接单。

此外,有投资者透露,之前曾收到元大营业员电话,要求更改证券账户的密码。不仅如此,元大证券在11月26日下午发布公告称,由于复委托电子交易系统异常,将暂停行动精灵的复委托电子交易,这也让投资者怀疑,元大证券的资金安全出现了问题。

事实上,这已经不是黑客第一次入侵券商。11月初,美国在线券商Robinhood Markets披露公司遭遇了网络攻击,导致700万用户的信息被泄露,攻击者向Robinhood索要赎金,声称如果不支付赎金将公布所有的数据。详细的信息可点击“美在线券商Robinhood承认被攻击,泄露700万用户数据”查看。

值得庆幸的是,这次攻击并没有给用户造成任何的财产损失。但是在2020年10月,大约有2000个Robinhood账户被黑客入侵,并接管了账户内的资金,最终导致有的账户余额被转走,有的账户被随意交易,不少投资者直接被洗劫一空。

对于此次“券商被攻击事件”,不少用户表示难以想象,作为券商的根本,它们的交易系统竟然如此脆弱不堪,以至于黑客可以通过“撞库攻击”破解账号密码,并给用户带来严重的经济损失。

]]>
“私下”收集人脸信息,英国一公司或面临1700万英镑罚款 Sun, 23 Jan 2022 21:19:48 +0800 11月30日,据BuzzFeed News网站透露,英国信息专员办公室表示,人脸识别技术公司 Clearview AI 可能面临1700万英镑(约2300万美元)的罚款,原因是其在未取得大量英国人授权的情况下,私自收集了他们的人脸信息。

疯狂窃取人脸信息,Clearview AI 或面临巨额罚款

当地时间周一,相关管理机构联合网络安全专家展开了对Clearview AI 公司的详细调查,发现这家面部识别公司严重涉嫌违反英国数据保护法,恶意收集英国民众信息。经过评估,监管机构要求该公司立即删除其数据库中英国公民的个人数据。

随后,英国信息专员办公室发布声明中称,Clearview AI 公司数据库中存储了庞大的数据信息,其中可能包括大量英国民众的人脸数据。令人震惊的是,这些英国公民人脸数据可能是在民众不知情的情况下,该公司从社交媒体等公开渠道收集而来。

早在2020年2月,BuzzFeed News 新闻网站就已经首次披露了Clearview AI 在收集英国民众信息。

该公司主要是从网络和社交媒体上抓取人们的照片,将其索引到一个庞大的面部识别数据库后,开展自己的业务。值得警惕的事,根据英国信息专员办公室获得的内部数据来看,国家犯罪署、大都会警察局和英国其他一些警察部队的部分职员可能使用了Clearview AI 的面部识别技术。

Clearview AI面临危机

Clearview AI “私下”收集民众信息不仅发生在英国,在其他国家同样存在。早些时候,澳大利亚信息专员办公室(OAIC)做了详细的调查后,要求Clearview AI 立刻销毁该国民众的所有图像和面部模板。

英国信息专员办公室(ICO)在与澳大利亚的隐私监管机构进行联合进行调查后,做出了要求该公司立即删除其数据库中英国民众人脸数据的决定。

Clearview AI 首席执行官Hoan Ton-That表示,对英国这一做法 "深感失望",Clearview AI 的技术被社会误读令人感到沮丧,希望有机会与领导人和立法者进行对话,使这项对执法非常重要的技术,能够继续为社区安全稳定做出巨大贡献。

除此之外,Clearview AI 公司律师 Kelly Hagedorn 表示,公司不会放弃自身利益,正在考虑上诉和进行下一步行动,确保其能够正常开展业务。

]]>
生物制药公司Supernus遭遇勒索软件攻击 Sun, 23 Jan 2022 21:19:48 +0800 日前,生物制药公司 Supernus Pharmaceuticals证实,它已成为勒索软件攻击的受害者,导致大量数据从其网络中泄露。这家位于马里兰州罗克维尔的公司表示,这次攻击很可能发生在 11 月中旬,当时一个勒索软件组织访问了某些系统上的数据,部署了恶意软件以阻止访问文件,然后威胁要泄露的文件。

尽管如此,Supernus Pharmaceuticals表示其业务并未受到重大影响,因为其运营并未受到该事件的严重干扰。“公司继续不间断地运营,目前,预计不会向任何犯罪勒索软件集团支付任何赎金。”Supernus Pharmaceuticals 进一步指出,它能够恢复受影响的文件,并已采取措施提高其网络和文件的安全性。但是,该公司确实认为不法分子可能会试图利用不当获取的信息。

在感恩节,Hive 勒索软件组织声称对此次攻击负责,称其于 11 月 14 日入侵了 Supernus Pharmaceuticals 的网络,并成功窃取了 1,268,906 个文件,总计 1.5 TB 的数据。黑客组织在 Tor 网络的泄密网站上宣布,被盗信息将很快在线发布,并指出该公司未能在向美国证券交易委员会 (SEC) 提交的最新 8-K 表格中提及该事件。

随后,Supernus Pharmaceuticals 向美国证券交易委员会提交了另一份8-K 表格,特别提到了勒索软件攻击。尽管 Supernus Pharmaceuticals 声称它没有支付赎金的计划,但 Hive 勒索软件运营商声称,自攻击发生以来,该公司一直在与他们进行谈判。

]]>
松下集团发生严重数据泄漏,涉客户资料等重要信息 Sun, 23 Jan 2022 21:19:48 +0800 日前,日本跨国企业集团松下披露遭遇网络攻击并发生数据泄漏,原因是未知的威胁行为者访问了其服务器。松下表示:“公司已确认网络于 2021 年 11 月 11 日被第三方非法访问,作为内部调查的结果,确定攻击者在入侵期间已经访问并获取了文件服务器上的一些重要数据。”

本次松下遭遇的黑客攻击是近年来日本跨国企业一系列网络攻击中的最新案例,此前,富士通、本田、川崎、NEC、 三菱电机以及国防承包商神户制钢和帕斯科等也曾披露网络安全事件。尽管松下官方并未公布包含有关攻击时间表的细节,但据Mainichi 和 NHK等日本媒体报道,攻击者在6月22日至11月3日长达四个多月的时间内访问了松下服务器 ,泄漏的敏感信息可能包括客户详细信息、员工个人信息、Panasonic 技术文件等。

松下表示已向有关当局报告了该事件,并已采取措施防止外部服务器访问其网络。除了自己发起的调查,目前松下正与一家专业的第三方机构合作,调查并确定是否存在违反客户个人信息和/或相关社会基础设施敏感信息的泄漏,以及黑客在入侵期间访问的数据是否包括客户个人信息等。

值得注意的是,松下印度公司早在一年前就曾被黑客入侵。根据BankInfo Security的报道,去年10月中旬黑客在俄语地下论坛出售松下网络访问权限和数据,2020年11月3日,攻击者发布了属于松下印度公司的 4GB 数据档案。这些数据是大量敏感材料,包括供应商的未清账户余额、银行帐号、会计电子表格、敏感软件系统的密码列表、电子邮件地址等。

根据Resecurity首席执行官 Gene Yoo分析,攻击松下印度公司的黑客会说俄语,而且技术含量很高,这名攻击者还声称对富士康遭遇的勒索软件攻击负责。Yoo 表示,很难评估松下印度子公司的违规行为是否对整个松下公司构成了威胁。目前也尚无证据表明松下印度公司安全事件与松下公司此次遭遇的黑客攻击是否有直接联系。

在印度公司发生数据泄漏后,松下日本全球通信办公室发言人韩英曾表示:“印度子公司的安全需要加强,我们也将在全球范围内确认和加强相关公司的信息安全对策。”Yoo表示,对于拥有子公司的大公司来说,控制安全的各个方面是一项挑战。有时,这些分支可能会被用作更广泛的基础设施入侵点,以针对总部的员工、敏感文件等。

]]>
宜家遭遇黑客持续网络攻击,接管员工账户发送钓鱼邮件 Sun, 23 Jan 2022 21:19:48 +0800 今年以来,全球不少知名企业都遭受到黑客的攻击,比如全球知名快餐品牌麦当劳,黑客窃取了麦当劳在美国、韩国和中国台湾地区的部分数据,包含员工和餐厅的信息;远程 IT 服务管理软件开发商 Kaseya 也遭到了大规模勒索软件攻击,黑客组织 REvil 利用漏洞访问了 Kaseya 的服务器,随后在暗网上发布贴文,向 Kaseya 索取赎金,要求对方以支付 7000 万美元赎金换取修复资料;全球最大石油生产商沙特阿美(Saudi Aramco)也遇到大量数据遭盗窃,勒索者向其索要 5000 万美元的赎金。

更被广大 DIY 爱好者熟悉的是板卡厂商被黑客盗取机密文档,涉及英特尔和 AMD 众多未发布产品的资料外泄,一度让 AMD 通过法律途径的方式禁止其传播。虽然类似的事件以往都不时发生,但今年的黑客袭击规模更大,且次数更多,遭殃的也是全球性的跨国大型企业。在沉寂一段时间后,近期又有业界巨头爆出同类事件,这次不幸中招的是来自瑞典的家具品牌宜家。

据 HotHardware 报道,近期宜家(IKEA)遭遇黑客的持续攻击,入侵电子邮件系统后,盗取信息接管了员工的电子邮件账户,然后冒充该员工向宜家相关合作伙伴发送电子邮件,进行网络钓鱼。这种方法非常凑效,因为收件人看到发件人是可信任的宜家工作人员,很大机会下载或打开邮件内的链接。

更为棘手的是,目前还没有弄清到底是入侵了宜家的员工账户,还是进入了宜家内部的微软 Exchange 服务器。宜家出于谨慎考虑,已关闭了电子邮件系统的部分功能,提高网络警戒等级,以避免进一步的资料外泄风险,并查清相关情况。

]]>
安全周报(11.22-11.28) Sun, 23 Jan 2022 21:19:48 +0800

1、肉夹馍协会官网被黑!央视:协会起诉商家是维权还是敛财?

近几日,各种协会将商户告上法庭一事引发广泛关注,其中包括、逍遥镇胡辣汤、库尔勒香梨,以及最新出现的潼关肉夹馍。
据此前报道,全国上百家商户因卖的肉夹馍因带“潼关”俩字,被陕西“潼关肉夹馍协会”告了,要求他们赔偿3至5万元不等,想要使用“潼关肉夹馍”这个商标,需缴纳99800元。
事情被曝光后,有媒体发现,潼关肉夹馍协会官网疑似被黑,黑底绿字飘屏“无良协会”,神似《黑客帝国》名场面。
据央视新闻客户端消息,国家知识产权局发声,称商标注册人无权收费,此前声称维权的协会,要么被责令暂停,要么公开道歉。
2、攻击者变管理员?微软曝Windows 11漏洞

据外媒消息,近日计算机安全组织Cisco Talos发现了一个新的漏洞,包括Windows 11和Windows Server 2022在内的所有Windows版本均受影响。

该漏洞存在于Windows安装程序中,允许攻击者提升自己的权限成为管理员。利用该漏洞,拥有部分权限的用户可以提升自己的权限至系统管理员。这家安全公司已经在互联网上发现了恶意软件样本,这表明可能已经有黑客利用该漏洞发起攻击。

此前,微软的安全研究员Abdelhamid Naceri向微软报告了这个漏洞,据说在11月9日用CVE-2021-41379修复了该漏洞。然而,这个补丁似乎并不足以解决这个问题,因为这个问题仍然存在,导致Naceri在GitHub上发布了概念证明。

微软将该漏洞评为"中等严重程度",基本CVSS(通用漏洞评分系统)评分为5.5,时间评分为4.8。现在有了功能性的概念验证漏洞代码,其他人可以尝试进一步滥用它,可能会增加这些分数。目前,微软还没有发布一个新的更新来缓解这个漏洞。

3、连续两天大规模宕机 星展银行遭遇11年来最大故障

东南亚地区最大银行——新加坡星展银行的网上银行服务从23日上午开始出现大规模中断,遭到数千名客户投诉后,24日恢复服务几小时后再次遭遇中断。星展银行24日向客户保证,正在解决技术问题,客户的存款是“安全的”。

此次服务中断是星展银行自2010年以来遭遇的最大故障。2010年,星展银行的自动取款机出现故障,导致新加坡金融监管机构采取监管行动。

星展银行是东南亚地区规模最大的银行,拥有4919亿美元资产、员工数量超过24000人。该银行在50个不同城市有着250家分支机构和1100台ATM机。

4、Oracle VirtualBox存在安全漏洞,快升级到最新版!

近期,专家披露了甲骨文VirtualBox 中的漏洞(编号为 CVE-2021-2442),该漏洞可能会被用于破坏虚拟机管理程序并触发拒绝服务 (DoS) 条件。

CVE-2021-2442由 SentinelLabs 的 Max Van Amerongen 发现,其 CVSS 评分为 6.0。该漏洞可能影响到VirtualBox 6.1.24 之前的版本。

美国国家标准与技术研究院(NIST)对漏洞进行了详细描述:“该漏洞很容易被高权限攻击者利用,一旦夺取VirtualBox的漏洞权限,可能导致VirtualBox 挂起或频繁崩溃。”

]]>
攻击者变管理员?微软曝Windows 11漏洞 Sun, 23 Jan 2022 21:19:48 +0800 据外媒消息,近日计算机安全组织Cisco Talos发现了一个新的漏洞,包括Windows 11和Windows Server 2022在内的所有Windows版本均受影响。

该漏洞存在于Windows安装程序中,允许攻击者提升自己的权限成为管理员。利用该漏洞,拥有部分权限的用户可以提升自己的权限至系统管理员。这家安全公司已经在互联网上发现了恶意软件样本,这表明可能已经有黑客利用该漏洞发起攻击。

此前,微软的安全研究员Abdelhamid Naceri向微软报告了这个漏洞,据说在11月9日用CVE-2021-41379修复了该漏洞。然而,这个补丁似乎并不足以解决这个问题,因为这个问题仍然存在,导致Naceri在GitHub上发布了概念证明。

微软将该漏洞评为"中等严重程度",基本CVSS(通用漏洞评分系统)评分为5.5,时间评分为4.8。现在有了功能性的概念验证漏洞代码,其他人可以尝试进一步滥用它,可能会增加这些分数。目前,微软还没有发布一个新的更新来缓解这个漏洞。

]]>
肉夹馍协会官网被黑!央视:协会起诉商家是维权还是敛财? Sun, 23 Jan 2022 21:19:48 +0800 近几日,各种协会将商户告上法庭一事引发广泛关注,其中包括、逍遥镇胡辣汤、库尔勒香梨,以及最新出现的潼关肉夹馍。

据此前报道,全国上百家商户因卖的肉夹馍因带“潼关”俩字,被陕西“潼关肉夹馍协会”告了,要求他们赔偿3至5万元不等,想要使用“潼关肉夹馍”这个商标,需缴纳99800元。

事情被曝光后,有媒体发现,潼关肉夹馍协会官网疑似被黑,黑底绿字飘屏“无良协会”,神似《黑客帝国》名场面。

商户卖肉夹馍带潼关俩字被告 潼关肉夹馍协会官网疑被黑:满屏绿字

据央视新闻客户端消息,国家知识产权局发声,称商标注册人无权收费,此前声称维权的协会,要么被责令暂停,要么公开道歉。

那么,协会起诉商户,到底是维权还是敛财?

北京大学法学院教授张平透露称,“潼关肉夹馍”商标纠纷例案例中,该商标是由一个协会作为集体商标注册的地理标志,它就必须得按照商标法的规定来行使权利。

既然是一个集体商标,它就应该在集体成员内部来使用,不应该在集体之外去使用。是无权向潼关特定区域外的商户许可使用这一商标并收取加盟费。

同时,在潼关地区内也无权禁止别的商家集体商标中这一地名的使用权利。

官方回应潼关肉夹馍等商标侵权事件:注册方无权收加盟费

张平教授还指出,潼关肉夹馍事件问题可能出在商标注册人在商标保护方面已经越界。

国家给其注册后,注册人确实就会享有商标权,可以去维权。

但是商标权也有它自己的边界,不光是在核准注册的时候会有一定的限制,在日后维权的时候,比如说商标的保护范围方面,也有一定的限制。而现在的所谓维权行为,已经越界。

维权不是不可以,也是商标保护的应有之义,问题是怎么维权,目的、方式都很重要。

]]>
将数据泄露风险降至最低的简单五步框架 Sun, 23 Jan 2022 21:19:48 +0800 统计数据表明,一般企业都没有时间对其数据进行防御,但是数据又非常重要,根据国外安全网站总结的五个步骤,我们一起看看如何保护各类规模企业的数据。

数据依然成为企业运行的血液,其每次互动时从客户那里收集信息,并以此提高效率、提高敏捷性并提供更高水平的服务。数据收集越多、越重要,大数据环境下,数据自然成为黑客眼馋的目标。

随着时间一天天过去,证据越来越多显示数据越来越重要,对数据的攻击越来越频繁。根据国外有关报道,在过去几个月中,我们看到了针对Neiman Marcus、Facebook和Robinhood股票交易应用程序的大规模数据泄露。当然,这些都不是孤立安全事件,通观近年来,全球数据泄露事件的数量平均每天接近 3 起。统计数据表明,一般企业都没有时间对其数据进行防御,但是数据又非常重要,根据国外安全网站总结的五个步骤,我们一起看看如何保护各类规模企业的数据。

第一步:审查和调整数据收集标准

企业提高客户数据安全性,需要采取的第一步是审查自身收集的数据类型以及原因。大多数进行这项工作的公司最终都会发现,随着时间的推移,收集到的客户信息的数量和种类远远超出了企业的原始意图。例如,收集客户姓名和电子邮件地址等信息是相当标准的。如果这就是企业存档的全部内容,基本上就不会成为攻击者的有吸引力的目标。但是,如果企业拥有云呼叫中心或任何类型的高接触销售周期或客户支持,可能会收集家庭住址、财务数据和人口统计信息,然后会收集一个非常适合身份盗用的数据集到野外。因此,在评估每个收集到的数据点以确定其价值时,企业应该问自己:这些数据促进了哪些关键业务功能。如果答案是否定的,应该清除数据并停止收集。如果有一个有效的答案,但不是关键的功能,企业应该权衡数据创造的好处与如果数据在泄露中暴露可能遭受的损害。

第二步:最小化数据访问

减少要保护的数据量后,下一步是通过最大限度地减少访问数据的人员来减少数据的攻击面。访问控制在数据保护中发挥着巨大的作用,因为窃取用户凭据是恶意行为者进入受保护系统的主要方式。出于这个原因,企业需要将最小特权 (PoLP) 原则应用于其数据存储库以及连接到系统。最小化对数据的访问还有另一个有益的副作用:它有助于防止内部威胁导致数据泄露。研究公司 Forrester 预测,今年有31% 的数据泄露事件是由内部威胁导致的,同时这一数字只会在此之后继续增长。因此,首先通过将敏感的客户数据从大多数员工手中排除,企业可以同时应对内部和外部威胁。

第三步:尽可能消除密码

即使在减少了可以访问客户数据的人数之后,企业仍然可以通过另一种方式让黑客更难获得这些数据。为了尽可能避免将密码作为主要身份验证方法。根据 2021 年 Verizon 数据泄露调查报告,去年所有数据泄露中有 61%涉及使用凭据、被盗或其他方式。因此,从逻辑上讲,需要担心的凭据越少越好。还有一些方法可以减少对传统密码身份验证系统的依赖。一种是使用双因素身份验证。这意味着账户需要密码和限时安全令牌,通常通过应用程序或短信提供。但更好的方法是使用硬件安全密钥。依靠牢不可破的加密凭证来控制数据访问的物理设备。双因素身份验证的使用,网络钓鱼和其他社会工程攻击的威胁大大减少。双因素身份认证是当前最好的安全身份验证方法,至少在像 Hushmesh 这样的解决方案成为主流之前是这样。

第四步:加密静态和动态数据

虽然凭证泄露确实是造成数据泄露的最大威胁,但不是唯一的威胁。攻击者总是有可能利用软件缺陷或其他安全漏洞绕过正常的访问控制方法并访问客户数据。最糟糕的是,此类攻击既难以检测,而且一旦发生就更难阻止。这就是为什么任何称职的数据保护计划的第四步是确保所有客户数据始终保持加密状态。这意味着使用在数据通过时采用强加密的软件、采用加密的网络硬件和组件,以及允许静态数据加密的数据存储系统。可以最大限度地减少攻击者在没有凭据的情况下可以获得的数据访问权限,并且可以在确实发生违规时帮助控制损害。

第五步:制定数据泄露响应计划

不管你怎么看,这世界从来都不存在完美的网络安全。攻击者总是在努力寻找可以利用的弱点。做好准备的企业将消除或减少其中的许多风险。但这并不意味着数据安全固若金汤,没有泄露的可能性。这就是客户数据保护框架的最后一步是制定数据泄露响应计划的原因。如果攻击者确实获得了对客户数据的访问权限,应该为企业提供路线图以帮助其做出响应。该计划应不遗余力地详细说明内部 IT 团队应如何应对、首选的 3rd 方安全顾问是谁以及如何将违规通知客户通知等所有内容。最后一部分很可能是最重要的。在数据泄露之后,企业如何让其客户变得完整可以决定反弹程度(如果有的话)。例如,与消费者安全公司合作,在数据泄露后为受影响的客户提供金融欺诈保护和身份保护可能是明智之举。这将降低任何进一步损害企业声誉的后续事件的风险。

底线

一个简单的事实是,尚未遭受数据泄露的企业可以说是正在用借来的时间运营。而且他们的数据泄露的可能性很大。但应用框架将大大有助于将赔率转回对他们有利的局面。将最大程度地降低数据泄露的风险,限制确实发生的损害,并帮助公司处理后果。在网络安全这个不完美的世界中,没有任何企业可以要求更多。

]]>
微软又双叒被曝光漏洞啦? Sun, 23 Jan 2022 21:19:48 +0800 2021年 11 月22日,微软修复了一个“Windows 安装程序特权提升漏洞”漏洞,该漏洞编号为 CVE-2021-41379。安全研究员 Abdelhamid Naceri在检查该漏洞修复情况后,发现了一个补丁绕过漏洞和一个更强大的新零日特权提升漏洞。并在推特公开披露了后者的漏洞利用代码项目,该漏洞可在 Windows 10、Windows 11 和 Windows Server系统上直接提权到system最高权限。

Naceri 在GitHub上发布了新的0day漏洞的概念验证,并表示该漏洞适用于所有受支持的 Windows 版本,且目前暂未被修复。使用此漏洞,只需几秒就可从具有“标准”权限的测试帐户获得 SYSTEM 权限。

将作者公开的项目编译成x86版本,直接双击exe,可以在最新版Windows 10 20H2,Windows 10 21H1,Windows 11系统上直接提权到system最高权限。

Naceri表示,他公开披露该零日漏洞是因为微软自2020年4月以来减少了其漏洞赏金计划的支出,在2020年4月以前,该类型的漏洞价值20000刀,而削减之后变成2000刀。Naceri还警告称,不建议通过尝试修补二进制文件来修复该漏洞,因为它可能会破坏安装程序。

如果这家软件巨头没有下调赏金价值,以 Abdelhamid Naceri 为代表的安全研究人员,也不会怒而曝光零日漏洞。其他安全研究人员附和道:Naceri 披露的漏洞,很容易让普通用户提取并获得 SYSTEM 系统权限。更让人感到震惊的是,该漏洞利用是基于微软的补丁而开发的。

目前的最佳解决方法是等待微软发布安全补丁。

]]>
连续两天大规模宕机 星展银行遭遇11年来最大故障 Sun, 23 Jan 2022 21:19:48 +0800 东南亚地区最大银行——新加坡星展银行的网上银行服务从23日上午开始出现大规模中断,遭到数千名客户投诉后,24日恢复服务几小时后再次遭遇中断。星展银行24日向客户保证,正在解决技术问题,客户的存款是“安全的”。

此次服务中断是星展银行自2010年以来遭遇的最大故障。2010年,星展银行的自动取款机出现故障,导致新加坡金融监管机构采取监管行动。

星展银行是东南亚地区规模最大的银行,拥有4919亿美元资产、员工数量超过24000人。该银行在50个不同城市有着250家分支机构和1100台ATM机。

]]>
物联网安全市场持续扩大,2026年将超400亿美金 Sun, 23 Jan 2022 21:19:48 +0800 未来5年,物联网安全市场将迎来稳速增长,预估年复合增长率22.1%。据HelpnetSecurity网站披露,ResearchAndMarkets在发布的一份报告中表示,预计到2026年,物联网安全的整体市场规模将达到403亿美元。

规模增长,易遭黑客攻击

专家分析,在商业改造的主要推动下,到2026年,全球最大的部署模式、基于云的物联网安全解决方案将达到303.3亿美元。特别强调的是,到 2026 年,网络安全仍将是全球最大的组成部分,大于端点或应用程序安全。

随后几年,在期待物联网安全市场规模扩大同时,应该注意到物联网网络系统具有供应商繁多、多节点和复杂的分布式环境等特点,给网络攻击者提供了了许多攻击点,容易遭到黑客攻击。

黑客在进行网络攻击时,主要是非法捕获和滥用物联网数据,其中包括用户的活动、个人健康或财务信息、资产的位置(人、设备、车辆等)、企业和个人信息。

物联网“家族”再添新丁

经历了新冠疫情情肆虐后,各国政府重新意识到,工业才是一个国家发展的基础,然而工业设备上存在的安全漏洞不胜枚举。一种兴的物联网类别—工业互联网(IIoT),因其通过实时分析简化业务的高可用性,在全球范围内受到广泛赞赏。

IIoT 中使用的机器设备和资源具有特殊性,特定于行业需求。 例如,油井和矿山中使用的传感器经过独特处理,以适应高温、低压等恶劣条件并保持工作。 这些设备在提高生产效率的同时,同样给物联网系统的安全运营带来了巨大的挑战。

网络分析师认为,最近十年,针对物联网安全保障相关的投资在迅猛增在增长。不仅如此,经过长时间的调研分析,他们发现企业、工业和政府部门对保护其企业和产品免受恶意攻击意识正在迅速提升。

市场驱动成长,机遇挑战“并存”

在未来的长时间内,得益于各国迅速加入到工业发展的浪潮中,专家相信物联网安全市场将会蓬勃发展,主要的原因有以下几点:

1.IT和OT安全政策的融合;

2.基础设施技术的快速变化 ;

3.市场对具有连接性能力设备的需求增加;

4.网络安全政策逐渐朝着标准化发展;

5.为了正常生产,企业需要确保移动设备和移动应用的安全;

6.保障云的安全;

当然,事物的发展永远具有两面性,在得益于以上助力时,物联网安全市场发展期间,同样会出现许多挑战。主要有以下这些:

1.企业需求的物联网业务可能需要多厂商协同完成;

2.现阶段,缺少标准的安全实践;

3.在没有太多的安全措施应对网络威胁时,物联网设备已经进入了市场;

4.目前,黑客的网络攻击技术变得更加专业;

5.物联网已经成为了数据泄密和隐私泄露的目标;

6.物联网中的数据盗窃和隐私泄露往往会被长期忽视。

]]>
联发科曝“窃听漏洞”,影响全球37%的智能设备 Sun, 23 Jan 2022 21:19:48 +0800 据the hacker news消息,联发科芯片被曝出在AI 和音频处理组件中存在安全漏洞,攻击者可以利用该漏洞提升本地权限,并在音频处理器的固件中执行任意代码。这意味着,所有使用了联发科芯片的智能设备都有可能受影响,甚至在用户不知情的情况下“被大规模窃听”。

2021年11月,以色列网络安全公司 Check Point Research通过对音频数字信号处理器 ( DSP ) 进行逆向工程后发现了这个漏洞。随后,研究人员发现,该漏洞还可以和联发科其他的漏洞进行组合,最终可使得黑客提升 Android 应用程序本地权限,甚至可以在在音频 DSP 芯片上隐藏恶意代码。

虽然 Check Point Research 和联发科方面都未披露受影响芯片的确切列表,但相关漏洞似乎影响了天玑(Dimensity)全系 SoC —— 包括 Helio G90 / P90 等芯片组、甚至波及“Tensilica”APU 平台。

具体受影响的芯片组包括MT6779、MT6781、MT6785、MT6853、MT6853T、MT6873、MT6875、MT6877、MT6883、MT6885、MT6889、MT6889、MT6891、MT6873、0709、0709、190900000000的Android版本。

Check Point Research表示,由于全球很多智能设备(约37%的智能手机和物联网设备)都使用了联发科的芯片,该漏洞很有可能引起黑客的注意,并以此发起大规模攻击。

安全研究人员还在联发科的音频硬件抽象层(又名HAL)中发现的第四个问题(CVE-2021-0673),目前已经修复,预计将在2021 年 12 月的联发科安全公告中发布。

对于该漏洞,联发科则表示,目前已经向所有的设备制造商提供了漏洞修复措施,并且强调该漏洞并没有被黑客利用。此外,联发科建议用户在第一时间内进行补丁升级,且尽量安装来自可信赖的安卓应用商店的APP。

]]>
Oracle VirtualBox存在安全漏洞,快升级到最新版! Sun, 23 Jan 2022 21:19:48 +0800 近期,专家披露了甲骨文VirtualBox 中的漏洞(编号为 CVE-2021-2442),该漏洞可能会被用于破坏虚拟机管理程序并触发拒绝服务 (DoS) 条件。

CVE-2021-2442由 SentinelLabs 的 Max Van Amerongen 发现,其 CVSS 评分为 6.0。该漏洞可能影响到VirtualBox 6.1.24 之前的版本。

美国国家标准与技术研究院(NIST)对漏洞进行了详细描述:“该漏洞很容易被高权限攻击者利用,一旦夺取VirtualBox的漏洞权限,可能导致VirtualBox 挂起或频繁崩溃。”

今年7月, Oracle 已发布补丁将CVE-2021-2442修复。此前, Amerongen还发现了甲骨文VirtualBox NAT 中的2个提权漏洞,分别编号为CVE-2021-2145和CVE-2021-2310。

CVE-2021-2145 是 Oracle VirtualBox NAT 中的整数下溢出提权漏洞,而 CVE-2021-2310 则是基于堆的缓冲区溢出提权漏洞。这2个漏洞影响VirtualBox 6.1.20 之前的版本,甲骨文已在今年4月进行修复。

以上的漏洞有源于VirtualBox缺乏必要的数据验证手段,攻击者可以利用这些漏洞提升权限,并在VirtualBox执行任意代码。

为避免这一漏洞被不发分子利用,专家建议企业尽快将其 VirtualBox 安装升级到最新版本。

]]>
实验表明,易受攻击的蜜罐可以在 24 小时内被攻破 Sun, 23 Jan 2022 21:19:48 +0800 Palo Alto Networks的研究人员部署了一个由 320 个节点组成的蜜罐基础设施,以对公共云服务的攻击进行分析。结果发现,320 个蜜罐中有 80% 在 24 小时内被攻破,其它蜜罐也都在一周内被攻破。

研究人员在这一设施内设置了多项实例,包括暴露远程桌面协议 (RDP)、安全外壳协议 (SSH)、服务器消息块 (SMB) 和 Postgres 数据库系统。他们故意在其中配置了一些使用弱凭证的帐户,例如 admin:admin、guest:guest、administrator:password。当攻击者通过其中一个凭证成功进行身份验证并获得相应的访问权限时,蜜罐将被重置并重新部署。专家根据结果,发现:

1.受攻击最多的是 SSH

2.受攻击最多的 SSH 蜜罐在一天内被攻破 169 次

3.每个 SSH 蜜罐平均每天被入侵 26 次

4.专家观察到,研究人员部署的 80 个 Postgres 蜜罐,被一名攻击者破坏了其中的96%,并且所有实例都在 30 秒内被黑客入侵。

5.85%的攻击者IP只在一天内被观察到,这表明基于第三层IP的防火墙对这些攻击是无效的,因为攻击者轮流使用相同的IP来发动攻击

根据统计,安全外壳协议 (SSH)受攻击次数最多

专家们分析了不同实例首次被攻破的时间,发现Samba为2485分钟,RDP为667分钟,Postgres为511分钟,SSHD为184分钟。此外,专家们还关注了针对同一实例,两次连续入侵之间的平均时间,平均入侵时间与针对该实例的攻击者数量成反比。通常越是容易被攻击的目标,会吸引越多的攻击者。但为了尽可能多地争夺资源,攻击者一般会试图清除其他同行(如Rocke、TeamTNT)留下的恶意软件或后门。

在最终形成的报告中,专家们认为,易受攻击的网络服务对于公共云来说并不新鲜,但由于这写服务大多与其它服务相连,任何攻击都可能导致整个云端系统的正常运行。

为此,Palo Alto Networks发布了针对云服务的保护措施:

1.创建保护特权端口的防护工具

2.创建审计规则,监测所有开放的端口和暴露的服务

3.创建自动响应和补救规则,自动修复错误配置

4.部署新一代防火墙,如VM系列或WAF,以阻止恶意流量

]]>
虚拟货币Pi币磨刀霍霍向老人 Sun, 23 Jan 2022 21:19:48 +0800 自虚拟货币严打以后,有一些山寨币、传销币瞄准了下沉市场,甚至拿中老年人“开刀”。近日,北京商报记者接到读者李明(化名)反映,在他的老家新疆,兴起了一个名为Pi币的虚拟货币,宣称不用投钱可以“零撸”,教用户通过手机挖矿,并以“推荐返利”等方式发展下线,据李明称,这个币种的参与者大多是中老年人,后者对这类投资方式深信不疑……

“零撸”与裂变收益套路

“最近我老妈迷上了挖矿和炒币,你说这个Pi币靠谱吗?”11月24日,老家新疆、现住北京的李明向北京商报记者问道。他告诉北京商报记者,近几个月在新疆不少人都开始接触虚拟货币,其中这个号称“0成本、高收益”的Pi币,尤其被待业或退休的中老年人群青睐,玩得可谓是不亦乐乎。

吸引这些中老年人的第一点是可以“零撸”。所谓“零撸”,用李明的话来说就是不用投资本金,主要用手机签到,就可以进行挖矿,获得少部分代币。但 “零撸”仅是作为一点小甜头吸引中老年人参与的第一步。要想获得更多代币,该平台还要求用户通过“邀请可信赖的朋友和家人加入社区来提高小时费率”。

公开信息显示,Pi币的总量将由三部分组成,分为挖矿收益、裂变收益和开发者奖励。其中挖矿收益将越来越少,直到消失。如果网络的总人数始终不上涨,Pi将会无限增发,一旦总人数达标,挖矿奖励将减少,Pi的发行量将进行通缩,获取Pi将变难,这种设计使得每一个用户和持币者都不断发展新用户,直到挖矿奖励归零。

同时,该团队还创造了“大使”角色,当新成员注册Pi Network时,每邀请一个人加入网络便可成为大使,基本采矿率将获得25%的奖金。团队中的每个成员在进行挖矿时,都会使“大使”的收入提高25%。

“这其实是币圈资金盘的典型套路,我们一般将其分为‘静态挖矿’和‘动态挖矿’。”一业内资深人士向北京商报记者介绍,“所谓静态挖矿一般是指投资买算力收益。根据用户投资的算力大小来决定挖到的代币及收益,另外动态挖矿就是通过邀请增加收益,既能提升自己的挖矿等级,享受挖矿加成,也能额外享受邀请好友的收益。”

在上海对外经贸大学区块链技术与应用研究中心主任刘峰看来,这种“推荐返利”的方式引诱用户发展下线,其实就是典型的“传销模式”。很多传销币都是直接拿传销的一套直接套在自己发行的加密货币上,就成了宣传中的数字货币或者XXX项目币。需要注意的是,看似投资者通过吸引新的成员挖矿,可在短时间内获利,但随着更多人加入,资金流入不足时,最下线的投资者很容易蒙受损失。

提高警惕谨慎参与

针对李明讲述的Pi币,北京商报记者通过邮箱采访了该币种运营人员,但截至发稿未收到回复。

需要注意的是,国内针对虚拟货币的挖矿活动已被禁止,虚拟货币交易等行为已被认定为非法金融活动。

北京市中闻律师事务所律师李亚提醒,山寨币市场是风险的高发区域,极易涉及非法发售代币票券、擅自公开发行证券、非法集资等违法犯罪行为。从投资的角度上,建议中老年人慎入虚拟货币市场,尽量选择境内持牌金融机构所发行的金融产品。

刘峰同样指出,对于这一类瞄准下沉市场、老年人群体为主的山寨、传销币,一方面需要直接打击犯罪分子,强化相关监管及执法环节;另一方面还需要对三四线及以下的下沉市场投入更多的普法宣传、以社区为单位来加强虚拟货币相关知识、普及以虚拟货币为噱头的反诈知识,保障普通大众尤其是老年人的财产安全。

]]>
工信部、公安部约谈阿里云和百度云,接入涉诈网站数量居高不下 Sun, 23 Jan 2022 21:19:48 +0800 近日,工业和信息化部网络安全管理局、公安部刑事侦查局联合约谈阿里云、百度云两家企业相关负责人,通报了近期两家企业在防范治理电信网络诈骗工作中存在的接入涉诈网站数量居高不下等问题,要求两家企业切实履行网络与信息安全主体责任,严格落实《网络安全法》等法律法规要求,对相关问题限期予以整改;拒不整改或整改不到位的,将依法依规从严惩处。两家企业表示将认真落实监管要求,进一步加强网站接入、域名注册、信息服务等管理,切实防范化解电信网络诈骗风险。

下一步,工业和信息化部将会同公安部坚持以人民为中心的发展思想,聚焦广大人民群众反映的难点痛点问题,出实招、下重拳,指导督促互联网企业严格落实安全责任,强化互联网基础资源管理和涉诈互联网账号监测处置,加大行业监督及违规处罚力度,多措并举全力推进互联网领域的电信网络诈骗防范治理工作,更好维护人民群众财产安全与合法权益。

]]>
微软研究人员发现网络攻击者对长密码进行暴力穷举的手段失去兴趣 Sun, 23 Jan 2022 21:19:48 +0800 根据微软蜜罐服务器网络收集的数据,大多数暴力攻击者主要试图猜测短密码,很少有攻击是针对长密码或包含复杂字符的凭证的。"我分析了超过2500万次针对SSH的暴力攻击所输入的凭证。这大约是微软安全传感网络中30天的数据,"微软的安全研究员罗斯·贝文顿说。

"77%的尝试使用了1到7个字符的密码。超过10个字符的密码只出现在6%的情况下。"他在微软担任欺诈主管,他的任务是创建看起来合法的蜜罐系统,以研究攻击者的趋势。在他分析的样本数据中,只有7%的暴力攻击尝试包括一个特殊字符。此外,39%的人实际上至少有一个数字,而且没有一个暴力尝试使用包括空格的密码。

研究人员的发现表明,包含特殊字符的较长密码很可能在绝大多数暴力攻击中是安全的,只要它们没有被泄露到网上,或者已经成为攻击者暴力攻击字典的一部分。

此外,根据截至今年9月针对微软蜜罐服务器网络尝试的140多亿次暴力攻击的数据,对远程桌面协议(RDP)服务器的攻击与2020年相比增加了两倍,出现了325%的增长。网络打印服务也出现了178%的增长,还有Docker和Kubernetes系统,也出现了110%的增长。

"关于SSH和VNC的统计数字也同样糟糕--它们只是自去年以来没有那么大的变化,"贝文顿说。"默认情况下,像RDP这样的解决方案是关闭的,但如果你决定打开它们,不要把它直接暴露在互联网上。记住,攻击者会对任何强行的远程管理协议进行攻击。如果你必须让你的东西在互联网上访问,请运用各种加固手段,例如强密码,管理身份,MFA,"这位微软经理说。

]]>
商户卖肉夹馍带潼关俩字被告 潼关肉夹馍协会官网疑被黑 Sun, 23 Jan 2022 21:19:48 +0800 “逍遥镇胡辣汤”维权一波未平,“潼关肉夹馍”一波又起。据河南媒体报道,11月21日,河南几十家小吃店的商户们求助@大参考 ,称他们卖的肉夹馍因带“潼关”俩字,被陕西“潼关肉夹馍协会”告了,要求他们赔偿3至5万元不等,想要使用“潼关肉夹馍”这个商标,需缴纳99800元。

商户们称,和他们有类似经历的小吃店,全国有上百家。

24日上午,有媒体发现,潼关肉夹馍协会官网疑似被黑,黑底绿字飘屏“无良协会”。

天眼查App显示,潼关肉夹馍协会成立于2016年6月,注册资本5万,法定代表人为王华锋,业务范围为潼关肉夹馍培训、推广、宣传。

开庭公告信息显示,自今年7月,该协会以“侵害商标权”为由,将200余家小吃店、快餐公司等诉至法院。

知识产权信息显示,潼关肉夹馍协会持有方便食品类“潼关肉夹馍”商标,该商标于2014年4月申请,并于2015年12月完成注册。

此外,该协会近年来一直在申请注册“老潼关”“潼关肉夹馍”等商标,国际分类为餐饮住宿、广告销售,但目前相关商标状态多为无效及等待实质审查。

]]>
提取指纹并不难:新安全实验表明只需少量成本就能解锁你的手机 Sun, 23 Jan 2022 21:19:48 +0800 相比较传统密码,在业内指纹被认为是更安全的数据保护形式。但事实上,指纹欺骗可能要比电影情节中所描述的操作要简单得多。根据 Kraken 安全实验室的说法,你所需要的只是一点木头胶水、一台激光打印机和一张醋酸纤维板。

几天前,这家加密货币交易公司在其官方博客上发表了一份报告,描述了如何进行“指纹破解”攻击。你需要的东西是可以负担得起的,而且步骤简单到几乎任何人都可以完成,只要他们有动力这样做,这是一个相当可怕的想法。

那么要如何攻击呢?潜在的黑客需要你的指纹,或者更准确地说,你的指纹照片。他们实际上不需要实际接触你接触过的任何东西,只需要一张留有你指纹的照片,比如说,笔记本屏幕上的污迹或反光的桌面键盘。Kraken还举了一些例子,比如当地图书馆的桌子或健身器材。

在这两种情况下,一旦获得了一张相当清晰的照片,你就需要在Photoshop中制作一张底片--Kraken说其团队能够在大约一个小时内制作出一张“优秀”的底片。

接下来,Kraken用一台标准的激光打印机将底片图像打印到"醋酸纤维板"上。据该公司称,这种墨粉模仿了真实指纹的三维结构。下一步,也是最后一步,是从你当地的五金店拿一些木头胶水,在伪造的指纹上面喷一些,然后让它干。你可以稍后把它剥掉,这样你就有了:一个(希望不是)可以使用的指纹副本。

]]>
伊朗第二大航空公司内部系统遭到网络攻击 Sun, 23 Jan 2022 21:19:48 +0800 本周一,据伊朗官方媒体报道,伊朗第二大航空公司马汉航空(Mahan Air)在官方推特账号上发布声明,称公司已确认遭受网络攻击,但该航空公司的航班运营并未受到本次攻击的影响。

据马汉航空公司表示,本次网络攻击是在上周日早上发起的,攻击者是一个鲜为人知的黑客组织“Hooshyarane Vatan”。攻击者渗透了马汉航空公司的内部系统,并向马汉航空的客户发送了警告信息。

据报道,尽管马汉航空公司的网络安全团队及时发现了本次攻击并采取了响应措施。然而,黑客在Twitter上发布了一份声明,表明他们已经获得了有关该航空公司及其与IRGC相关联的敏感信息,他们将很快公开这些信息。

马汉航空相关负责人Amirhossein Zolanvary表示:“公司内部系统是攻击者本次袭击的目标,并没有影响其国内和国际航班运营,没有任何业务中断。”但是,马汉航空的网站在受到攻击后下线了。

近期以来,与伊朗有关的网络攻击接连不断,据不完全统计:

01、今年7月,伊朗国家铁路被针对性攻击,攻击者通过使用Meteor文件擦除恶意软件来扰乱该国的铁路运输系统。

02、今年10月下旬,网络攻击导致伊朗各地的加油站瘫痪,全国的燃油供应系统都受到这次袭击的影响。

03、伊朗黑客自身也参与到网络组织的攻击中去。今年11月上旬,伊朗黑客组织“黑影”对以色列的互联网基础设施发起了网络攻击,干扰了以色列最大的LGBTQ 交友网站和一家保险公司的运营。此前,伊朗黑客还攻击了以色列航空航天工业公司(IAI),盗取了该企业的内部数据。


]]>
安全周报(11.15-11.21) Sun, 23 Jan 2022 21:19:48 +0800

1、国家等保办宣布撤销网络安全等级测评机构推荐证书

从11月21日起,国家等保办撤销等保评测机构推荐证书
国家网络安全等级保护工作协调小组办公室今日发布公告,宣布正式撤销网络安全等级测评机构推荐证书。在未来也不再发布《全国网络安全等级测评机构推荐目录》。
为了保障网络安全等级测评和检测评估工作的顺利开展,经公安部第三研究所(国家认证认可委员会批准的认证机构)认证发布的《网络安全等级测评与检测评估机构服务认证证书》自颁布之日起即可使用,同步使用新的认证证书。
外界普遍认为,撤销等保机构推荐证书是政府简化职能、归化管理的又一案例。这一举措将从根本进一步落实互联网安全等级测评机构的管理工作,维护巩固互联网安全环境。
2、索尼PS5曝两个内核漏洞,可用来窃取根密钥

继Xbox主机曝出外挂后,索尼PS5也在同一日曝出两个内核漏洞,攻击者利用这两个漏洞窃取了PS5的根密钥,这引发了大众对游戏主机的新一轮担忧。

11月8日,攻击者在推特上公布了PS5的两个内核漏洞,在此之前索尼公司并不知道该漏洞。

游戏主机内核漏洞可以利用来安装盗版游戏和运行模拟器,因此这类漏洞在游戏社区很受欢迎。

FailOverFlow黑客组织在推特上发布了一条状态,晒出PS5固件的对称根密钥。之前该组织还在推特上公布了其他几个主机的越狱方法。该组织声称已经从软件中获得了所有PS5的根密钥,并强调是每台主机。

3、英特尔曝出多款处理器存在高危漏洞

据BleepingComputer网站报道,英特尔公布了三个影响范围广泛的自家处理器高危漏洞,能够允许攻击者和恶意软件在设备系统上获得增强权限。

其中两个漏洞为CVE-2021-0157 和 CVE-2021-0158,CVSS v3得分均为 8.2,属高严重性级别,它们由反病毒预警软件开发商SentinelOne 发现。其中前者涉及某些英特尔处理器的 BIOS 固件中的控制流管理不足,而后者则依赖于对同一组件的不正确输入验证。

根据英特尔提供的信息,受影响的处理器有如下系列:

英特尔至强E系列处理器

英尔至强E3 v6系列处理器

英特尔至强W系列处理器

英特尔第3代至强可扩展处理器

英特尔第 11 代智能酷睿处理器

英特尔第10代智能酷睿处理器

英特尔第7代智能酷睿处理器

英特尔酷睿 X 系列处理器

英特尔赛扬N系列处理器

英特尔奔腾Silver系列处理器

英特尔尚未就这两个缺陷公布更多的技术细节,他们建议用户通过可用的 BIOS 更新来修补漏洞。但由于主板供应商并不会长期为其产品提供安全支持,比如在5年前问世的英特尔第7代酷睿处理器,因而这些问题并不能在上述受影响的产品中得到根本性修复。

这个漏洞的特殊之处,在于它还影响了一些汽车产品,比如搭载了英特尔凌动 E3900的特斯拉 Model 3。

4、8家网盘企业承诺年内推出“无差别速率”产品

11月17日,在工业和信息化部信息通信发展司指导下,中国互联网协会、中国信息通信研究院组织百度网盘、腾讯微云、天翼云盘、和彩云、阿里云盘、迅雷云盘、360安全云盘和网易网盘等首批8家网盘企业在京共同签署《个人网盘服务业务用户体验保障自律公约》,承诺2021年内将推出“无差别速率”产品,为各类用户提供无差别的上传/下载速率服务。

]]>
8家网盘企业承诺年内推出“无差别速率”产品 Sun, 23 Jan 2022 21:19:48 +0800 11月17日,在工业和信息化部信息通信发展司指导下,中国互联网协会、中国信息通信研究院组织百度网盘、腾讯微云、天翼云盘、和彩云、阿里云盘、迅雷云盘、360安全云盘和网易网盘等首批8家网盘企业在京共同签署《个人网盘服务业务用户体验保障自律公约》,承诺2021年内将推出“无差别速率”产品,为各类用户提供无差别的上传/下载速率服务。

]]>
国家等保办宣布撤销网络安全等级测评机构推荐证书 Sun, 23 Jan 2022 21:19:48 +0800 从今天起,国家等保办撤销等保评测机构推荐证书

国家网络安全等级保护工作协调小组办公室今日发布公告,宣布正式撤销网络安全等级测评机构推荐证书。在未来也不再发布《全国网络安全等级测评机构推荐目录》。

为了保障网络安全等级测评和检测评估工作的顺利开展,经公安部第三研究所(国家认证认可委员会批准的认证机构)认证发布的《网络安全等级测评与检测评估机构服务认证证书》自颁布之日起即可使用,同步使用新的认证证书。

外界普遍认为,撤销等保机构推荐证书是政府简化职能、归化管理的又一案例。这一举措将从根本进一步落实互联网安全等级测评机构的管理工作,维护巩固互联网安全环境。

]]>
尴尬的网盘:徘徊于提速与盈利之困 Sun, 23 Jan 2022 21:19:48 +0800 11月17日,在工业和信息化部信息通信发展司指导下,中国互联网协会、中国信息通信研究院组织百度网盘、腾讯微云、天翼云盘、和彩云、阿里云盘、迅雷云盘、360安全云盘和网易网盘等首批8家网盘企业在京共同签署《个人网盘服务业务用户体验保障自律公约》(以下简称《公约》)。

《公约》从提供无差别上传/下载速率服务、加强技术产品和商业模式创新、优化资费介绍、规范宣传行为、畅通咨询投诉渠道等方面作出了明确约定。会上,8家网盘企业发布了落实《公约》的具体举措,承诺2021年内将推出“无差别速率”产品,为各类用户提供无差别的上传/下载速率服务。

在此之前,个人网盘限速问题频频遭到用户吐槽,而随着《公约》的推出,也将为网盘服务带来变化。“我真的很期待调整后的网盘服务,”有用户向21世纪经济报道记者表示,“最重要的就是下载速度不要慢于网速。”

网盘传输速率频遭吐槽

所谓个人网盘,又称云盘,是基于云计算、为用户提供数据储存、备份、访问和分享功能的在线储存服务应用。与U盘、移动硬盘等传统储存方式相比,网盘具有储存空间无上限、数据信息自动备份、多端同步、储存安全和功能多样的特点。

当前,个人网盘发展前景十分广阔。一方面,全球数字经济蓬勃发展,以互联网、大数据、云计算为代表的网络信息技术加速创新,为网盘提供了技术支持。另一方面,移动互联网时代下人人都是创作者,网民对网盘的储存需求较大。

根据iiMedia Research(艾媒咨询)数据显示,2020年中国个人云存储用户规模预计超过4亿人。网民对于各类信息的存储备份的巨大需求,促使网盘成为存储日常文件的重要渠道,分别有61.5%及58.8%的受访用户使用网盘备份和储存文件。

然而,此前用户的网盘体验颇多槽点。个人网盘业务过度限速、误导宣传、会员价格过高等问题一直以来都是网盘用户的不满所在。

“下载速度实在是太慢了。”江女士向21世纪经济报道记者表示。作为百度网盘的长期用户,江女士时常感到无奈,“有时候一个软件的压缩包可能需要两三天才能下完,中间还经常下载失败。”

江女士的体验并不偶然。小范同样向记者吐槽称,自己使用网盘时,上传和下载速度都很慢,“我是做新媒体的,经常要存一些视频、图片资料。但我没有开会员,所以速度特别慢,太影响我的工作效率了。”

面对用户呼吁,网盘市场有所改善,但仍难言完美。中国移动实验室早前对网盘类应用进行了测试并表示:“5G网络下,网盘类应用上传和下载速度都有一定提升,除百度网盘外的其它网盘提升明显,充分体现了5G优势。”

之所以百度网盘的体验提升慢于其它网盘类应用,与其网盘的市场地位相关。根据艾媒咨询数据显示,2020年7月,中国云盘存储APP月活跃用户分布中,百度网盘月活达3983.2万人,而排名二三的微云及115分别为437.4万人及386.7万人。这也就意味着,百度网盘一旦全面提速,对于其而言将是一笔不小的成本开支。

不过如今,提速已经箭在弦上。本月2日,工信部发布了《关于开展信息通信服务感知提升行动的通知》(以下简称《通知》)。通知决定,自11月1日起开展信息通信服务感知提升行动,其中提出推动优化包括网盘类服务提供方式等服务举措。

《通知》还提到,相关网盘企业应优化产品服务资费介绍,清晰明示存储空间、传输速率、功能权益及资费水平等内容,不得进行误导宣传。在同一网络条件下,向免费用户提供的上传和下载的最低速率应确保满足基本的下载需求。

因此,17日网盘企业们所签署的《公约》,正是对工信部要求提升信息通信服务感知的落实,是网盘企业回应用户关切、履行社会责任、强化自我约束的集中体现。

此外,《公约》的签署也是打通网速瓶颈,巩固网络提速降费成果的具体行动,对于鼓励各市场主体突破现有相对单一的发展模式,加强技术、产品和商业模式创新,增强核心竞争力和产业价值具有重要作用。

“推出这个公约,对整个行业来说是一件大好事,”艾媒咨询CEO张毅向21世纪经济报道记者表示,“通过这样的方式可以改善用户体验,让行业推出更好的服务、研讨更多可创新的商业模式,从而推动(网盘)行业健康快速发展。”

商业模式待变

提速将成为事实。下一个问题是,由提速引发的一系列横亘在网盘企业面前的成本问题,将如何解决?

事实上,网盘作为信息高速公路中的一个基础设施,长期以来并没有得到长足发展。曾经的网盘市场内,360、115、UC、新浪、迅雷,甚至华为、腾讯等巨头曾纷纷入场,然而自2016年开始,包括UC网盘、新浪微盘、迅雷快递(原金山快盘)、华为网盘、360网盘纷纷宣布暂停或停止个人网盘业务。

百度则是为数不多甚至可以说是唯一一个坚持下来的企业。这也就不奇怪,为何百度网盘能够在当前的网盘市场内一家独大。然而尽管百度已经坐上了“头把交椅”,但网盘成本开支高昂的问题,并没有得到解决。因此,通过牺牲用户体验来让用户付费,也在所难免。

艾媒咨询集团CEO张毅认为,究其原因,是因为网盘商业模式单一、不清晰。“目前这些网盘企业基本都将开通会员作为唯一的商业模式,以有差别的速率产品吸引用户付费。而用户方面常常因为网盘服务单一且质量一般,不愿意付费。”

在接受21世纪经济报道记者采访时,多名用户表示了类似的态度。由于会员价格较高,并且除传输速度有所不同外,其他方面的权益并不多,大多数用户不太愿意开通。“我每次都想着(下载)慢就慢吧,忍忍就好。”小梁告诉记者。

王女士则指出,自己曾经因为要传输多个大体量文件,选择了购买百度网盘的会员,“但也就只购买了一个月,因为这样大量文件传输的情况并不多。”

21世纪经济报道记者查询发现,目前百度网盘超级会员一年费用为298元,单季和单月的费用分别为88元和30元。此外,百度网盘还推出了包括工作套餐、备份套餐、娱乐套餐在内的多个套餐服务,价格从单月10元到包年218元不等。

从网盘企业的角度而言,网盘服务需要巨大的建设成本,单从储存和流量成本来看,这确实是一个高投入的行业。然而,以牺牲用户体验来让用户“选择”付费,又槽点颇多。长期来看,这样一个矛与盾的问题不利于行业健康、持久发展。

张毅认为,会员付费只是网盘的商业模式之一。“其实可以跟企业的云计算中心、网络流量等等综合起来,进行高低峰错行。”他表示,“目前(网盘)体验不佳主要还是因为依靠消费者买单,企业不敢投入,形成了一个不良的循环,从而影响这个行业的健康发展。”

在张毅看来,高消耗、光投入、产出低并非网盘的现状。“只要能设计好商业模式,有创新的技术模式,理顺并经营好网盘在信息高速公路中的角色,它一定会是一个健康、协同发展的网络基础设施。”

]]>
成人视频网站StripChat数据库泄漏,模特信息“一览无余” Sun, 23 Jan 2022 21:19:48 +0800 大家浏览“网页”时要注意了!据Security Affairs可靠消息,成人视频网站StripChat出现了安全漏洞,导致数百万注册用户和成人模特的个人数据泄露。

数据库信息泄露,用户隐私“荡然无存”

11月5日,安全研究员Bob Diachenko在试图访问ElasticSearch数据库集群时,发现并没有被要求进行身份验证。

Diachenko通过对数据库详细扫描分析,意识到数据库集群中大量数据信息可以自由访问。一番探究之后,Diachenko发现包含电子邮件地址、用户名和IP 地址等详细信息的数据记录,似乎与StripChat成人网站注册用户和模特有关。

泄露数据规模庞大,StripChat尚未“正面回应”

针对这一泄漏事件,网络安全专家指出,数据库存储信息泄露,可能会给Stripchat用户和模特带来重大隐私风险,威胁行为者可以利用这些数据对他们实施勒索活动。

对于Stripchat注册用户和成人模特来说,泄露数据中包含的IP地址等信息,可能已经暴露了其具体居住位置,攻击者可以利用这些信息跟踪、骚扰甚至攻击他们。

更让人担忧的是,Diachenko曾多次尝试通过电子邮件和Twitter等媒介联系Stripchat,遗憾的是,都没有成功。

数据库中公开泄露的信息主要包括以下这些:

1.6500万网站注册用户的详细数据信息,包括用户名、电子邮件、IP 地址、ISP 详细信息、小费余额、帐户创建日期、上次登录日期、帐户状态等;

2.包含约42.1万条数据记录(用户名、性别、工作室 ID、现场状态、提示菜单/价格、)的成人模特数据库 ;

3.聊天数据库中保存了约71.9万条用户聊天记录(对话中涉及到用户和成人模特ID信息) ;

4.超过1.34亿笔交易记录,其中包含用户向模特支付的视频金额和小费等具体信息。

数据库信息泄漏事件经过几天持续发酵后,安全研究人员发现该成人网站已经保护了数据库。遗憾的是,在撰写本文时,StripChat尚未披露安全漏洞的具体事宜。

]]>
“十四五”信通行业发展规划发布,将全面加强网络安全建设 Sun, 23 Jan 2022 21:19:48 +0800 11月16日,工信部召开“十四五”信息通信行业发展规划新闻发布会,正式发布《“十四五”信息通信行业发展规划》(以下简称《规划》)。

《规划》包括4大部分、26条发展重点、近3万字,描绘了信息通信行业的发展蓝图,是未来五年加快建设网络强国和数字中国、推进信息通信行业高质量发展、引导市场主体行为、配置政府公共资源的指导性文件。

《规划》提出,到2025年,信息通信行业整体规模进一步壮大,发展质量显著提升,基本建成高速泛在、集成互联、智能绿色、安全可靠的新型数字基础设施,创新能力大幅增强,新兴业态蓬勃发展,赋能经济社会数字化转型升级的能力全面提升。

此外,在此次《规划》中,还着重提到了网络安全发展的重要性。在《规划》的第三章“发展重点”中明确提出要“全面加强网络和数据安全保障体系和能力建设”。

总的来说,《规划》坚持安全可控的原则,坚持统筹发展与安全,以总体国家安全观为指引,树立正确的网络安全观,将安全发展贯穿信息通信发展各领域和全过程,为促进信息通信行业高质量发展、维护国家安全与社会稳定提供强有力的保障与支撑。

《规划》提出以“网络和数据安全保障能力有效提升”为发展目标。实现行业关键信息基础设施安全保障体系更加健全,新型数字基础设施融合安全保障能力显著增强,网络数据安全治理能力明显提高。防范化解重大网络安全风险机制更加有效,突发安全事件应急处置和重大活动网络安全、通信保障水平显著提高。网络安全产业更加强大,创新能力和供给水平有效提升。

《规划》提出着力建设网络基础设施保护和网络数据安全体系,持续提升新型数字基础设施安全管理水平,打造繁荣发展的网络安全产业和可信的网络生态环境,全面提升行业网络安全应急处置,构建国家网络安全新格局等6项重点任务,以支撑国家网络安全新格局形成。

《规划》将行业关键信息基础设施及新型数字基础设施安全保障提到新的战略高度,通过深化网络安全防护和风险管理、防范遏制重大网络安全事件,提升行业关键信息基础设施及新型数字基础设施保障水平。

《规划》首次将创新发展网络安全产业作为重要任务之一,通过开展创新示范应用、繁荣网络安全产业生态培育工程等措施,进一步提升网络安全产业核心技术掌控水平,为网络安全保障提供扎实支撑,为数字经济健康发展保驾护航。

以下是《规划》网络安全部分内容原文。

全面加强网络和数据安全保障体系和能力建设

1.增强行业关键信息基础设施安全保障能力

深入落实《网络安全法》及国家关键信息基础设施安全保护要求,建立实施网络基础设施安全防护能力认证及成熟 度评价制度,构建行业关键信息基础设施网络安全风险管理 框架和效果评估体系。推动网络安全保障体系与能力建设同 规划、同建设、同运行,深化网络产品安全漏洞管理、网络 安全风险评估、网络安全监测通报等机制,建设国家级网络 安全公共服务体系,持续增强基础网络安全防护水平。加快 形成覆盖重要网络节点和关键业务系统安全监测防御能力,着力增强大规模网络攻击防御能力,加强公共域名服务安全 保障能力建设,防范遏制重特大网络安全事件。健全行业网 络安全审查体系,推进网络关键设备安全检测认证,建立供 应商网络安全成熟度认证等供应链风险管理制度,稳妥有序 推进商用密码应用,提升网络基础设施安全保障水平。

2.系统完善网络数据安全治理体系

深入落实国家数据安全等法律制度,制定出台信息通信行业网络数据安全部门规章,建立健全行业数据分类分级保护、重要数据目录、数据泄露通知、跨境传输等基础管理制度规范。建立完善大数据平台和算法安全规则,推动出台人工智能技术应用安全规范。深化数据安全合规评估体系建设,推动建立数据安全治理能力评估、认证评测、行业自律等机制,持续提升电信企业和重点互联网企业数据安全合规水平,打造一批数据安全能力达到国际领先水平的标杆企业。推动数据安全关键技术研发和应用,提升企业数据安全技术保障能力,促进数据要素安全流通和使用。积极参与数据安全领域国际规则和标准制定,促进形成跨境数据流动 “朋友圈”。

3.持续提升新型数字基础设施安全管理水平

3.1.打造国际领先的 5G 安全保障能力

建立完善5G网络、 设备、应用安全评测体系,打造国际一流水平的 5G 安全检测实验室。强化企业主体地位和作用,加强标准规范指引,全面提高5G 应用安全水平,形成技术领先、应用丰富、可持续发展的 5G 应用安全保障生态。面向 5G 大连接融合应 用场景,强化物联网基础安全管理,健全物联网卡全生命周期安全监管机制,研究建立物联网终端、网关、平台安全标签机制,全面构建基础安全管理体系。

3.2.护航工业互联网安全创新发展

健全实施工业互联网企 业网络安全分类分级管理制度,推动企业加快网络安全能力建设,强化企业网络安全责任落实。鼓励重点网络安全企业和工业企业联合攻关,突破一批工业互联网安全关键核心技术,打造具备内嵌安全功能的设备产品。持续建设完善覆盖 广泛、多方联动、运行高效的工业互联网安全技术监测服务体系,健全工业互联网安全威胁监测、分析通报、处置溯源闭环机制,高效防范应对工业互联网安全威胁。支持地方政府、重点行业企业创新打造集约化的工业互联网安全运营服 务中心等公共服务平台,提高工业互联网安全公共服务供给 水平。

3.3.同步构建融合应用和新型设施网络安全保障体系

加快建立车联网网络安全保障体系,扎实推进车联网卡实名登记 管理,建立完善车联网卡安全管理技术手段,健全车联网网 络安全防护、检查、通报、处置等制度,建设车联网产品安 全漏洞专业库,推动建设车联网身份认证和安全信任能力,加快构建车联网安全态势感知技术平台,增强车联网安全保 障能力。实施企业“安全上云”工程,提升云网一体、云边协 同、云化应用下的大数据中心等云设施安全保障水平。同步 建立卫星互联网网络安全保障体系,前瞻布局 6G、量子通 信、人工智能等新技术安全。建立健全与工业、能源、交通、 医疗等重点行业跨部门、跨领域协同安全工作机制,提高融 合应用协同安全水平

4.大力推动网络安全产业创新发展

4.1.强化网络安全产业供需对接

加强网络安全技术创新, 推动构建先进完备的网络安全产品体系。创新网络安全服务 模式,健全网络安全公共服务体系,鼓励企业从提供网络安全产品向产品和服务并重转变。加大新型基础设施安全需求场景化应用,加快推动 5G、工业互联网、车联网、物联网、 智慧城市等重点领域网络安全解决方案部署。

4.2.加强网络安全创新示范应用

深化开展网络安全技术应用试点示范,遴选优秀安全技术、产品、服务及解决方案并 推动落地应用,打造安全技术产品和解决方案资源池。健全网络安全产品评价体系,创新“安全+行业”、“安全+区域”服 务模式。打造网络安全卓越验证示范中心,支持建设网络安 全创新应用先进示范区,引领促进网络安全产品服务规模化应用。

4.3.繁荣网络安全产业生态

统筹国家网络安全产业园区布局,支持建设网络安全公共服务平台,形成“多点支撑、辐射全国、协同发展”的园区发展格局,推动网络安全产业集聚发展。强化网络安全企业的主体地位,优化产业政策环境,打造一批“专精尖”网络安全特色企业。加强网络安全产融合作,加强创新型、应用型、技能型网络安全人才培养,充分发挥联盟协会作用,完善网络安全产业生态。

5.全面提升网络安全应急处置水平

推动建设网络安全响应中心,汇聚行业网络安全应急响应和重大活动保障人才、数据资源和技术手段,打造高水平指挥枢纽。统筹推动政府和行业企业网络资产、基础资源、威胁情报等数据资源汇聚,推动网络安全技术手段联通融合,打造完善全域全网一体协同的监测预警、态势感知、信息通报、应急处置的技术保障和指挥体系。完善重大活动网络安全保障和突发网络安全事件工作预案,持续完善公共互 联网应急响应机制,加强行业与国家网络安全应急处置联动,提高重大网络安全风险防范应对能力水平。

6.积极营造安全可信网络生态环境

创新完善以大数据决策驱动、基础电信企业网络和信息 安全责任考核、“双随机、一公开”执法检查、信用管理等为 有效抓手的行业安全监管新格局。深化新技术新业务安全评 估和成果转化应用。加强电话用户实名登记、物联网卡安全 等基础管理,建设电信大数据共享平台和信息通信行业网络可信服务平台,依法建立安全有序的电信用户身份信息多方 共享机制。加快推动建设城市安全 5G 网络智慧大脑等,防 范重点城市网络安全风险。建设完善信息通信行业反诈技术 手段,深化电信网络诈骗、跨境赌博、侵犯公民个人信息、 网络黑灰产等网络环境综合治理,营造清朗网络环境。加强 网络安全国际合作,积极推进网络基础设施保护、网络安全 应急、网络安全标准、网络安全人才教育培训等领域合作。

]]>
央广网啄评:540款违规APP下架 APP套路该叫停了 Sun, 23 Jan 2022 21:19:48 +0800 网络时代"套路”深。

你被陌生人“骚扰”过吗?因为注册一款婚恋APP,被该网站销售人员不分日夜、不分场合电话骚扰长达数年之久;你被“自动续费”了吗?本想体验一把短期会员试用福利,一不小心被“自动续费”,想要停止却找不到关闭按钮;你被“信息收集”了吗?打电话无意之中跟朋友聊了聊近期想去的景点,几天后,APP不断发来该景点各种消息……这些都是套路,无一例外,都是APP花式“氪金”的方式。目的只有一个,就是扣你的钱。一些互联网企业为了提高利润,视规则于无物,一次又一次刷新下限。

治理顽疾还需雷霆手段,2021年11月16日,国家工信部信息通信管理局副局长王鹏在“十四五”信息通信行业发展规划新闻发布会上再次表态,近年来,聚焦人民群众反映强烈的APP违规处理用户个人信息、设置障碍、骚扰用户、欺骗误导用户等问题,已组织检测21批次共244万APP,累计通报2049款违规APP,下架540款拒不整改APP。可以看出,国家工信部对此类违规行为进行强势管理的扎实举措和坚定决心。

与此同时,工信部也部署开展了服务感知提升行动,推动全行业优化服务举措、提升服务能力,建立个人信息保护“双清单”,持续加大用户信息保护力度,进一步提升人民群众使用信息通信服务的获得感、幸福感、安全感。

科技造福人类,同时存在风险。只有心存敬畏、善加利用,才能规避伤害、取得成果。所以,无论是大互联网,还是小APP,都应有底线,公开透明面对用户,归还选择权。与其说将小聪明用在花式APP“套路”上,不如花心思在产品设计、用户体验、信息安全上。

说到底,唯有正道,才得长远。

]]>
白俄罗斯政府被指对Ghostwriters运动负部分责任 Sun, 23 Jan 2022 21:19:48 +0800 白俄罗斯政府被指控至少对欧洲的Ghostwriters攻击事件负有部分责任。虽然网络安全公司在涉及威胁集团的归属时通常会谨慎行事,但Mandiant表示,它有高度的信心认为Ghostwriter--同时跟UNC115活动也有关联--是一个可能代表该国政府的网络犯罪组织。

今年早些时候,在一架商业飞机被迫转入白俄罗斯领空以逮捕一名乘客(一位名为Roman Protasevich的持不同政见的记者)之后,白俄罗斯受到了制裁。现在,作为报复,该国总统亚历山大·卢卡申科被指控策划移民危机以破坏欧盟的稳定。

此前,欧洲理事会还曾指控俄罗斯参与了Ghostwriter。

根据网络安全研究人员的说法,不能排除俄罗斯的干扰,但其他指标表明,白俄罗斯的利益是该行动的核心,其中乌克兰、立陶宛、拉脱维亚、波兰和德国的政府和私营部门实体成为目标。

此外,Ghostwriter还参与了针对白俄罗斯持不同政见者、媒体和个别记者的攻击。

UNC1151--自2016年以来一直很活跃--和Ghostwriter曾经都专注于通过网络钓鱼、欺骗和劫持脆弱网站来宣传反北约材料。然而,从2020年开始,这些组织扩大了他们的行动以试图影响波兰的政治并通过盗取凭证窃取敏感信息。

UNC1151还在2020年大选前针对白俄罗斯的媒体机构和反对派成员发起了攻击,这是一场有争议的压倒性胜利。目前还没有针对俄罗斯或白俄罗斯国家实体的攻击记录。

“此外,在几个案例中,UNC1151在2020年白俄罗斯选举前针对的个人后来被白俄罗斯政府逮捕,”Mandiant说道。

Ghostwriter的许多活动都集中在反北约的叙述上。自2020年中期以来,该组织传播的内容指责北约腐败、军方传播COVID-19以及立陶宛和波兰政治的腐败。欧盟在最近的运动中也受到了批评。

研究人员还补充称:“Ghostwriter的叙述,特别是那些批评邻国政府的叙述,在白俄罗斯国家电视台作为事实出现。我们无法确定这是否是一个协调战略的一部分,还是仅仅是白俄罗斯国家电视台在宣传符合政权利益的叙事但对准确性却不屑一顾。”

]]>
顾客银行卡数据疑似被盗,零售巨头Costco遭遇信任危机 Sun, 23 Jan 2022 21:19:48 +0800 警惕了,大家周末都喜欢去剁手的Costco出事了!据Bleeping Computer最新消息,上周,一家位于加拿大的Costco零售商店发生顾客银行卡信息被盗事件。

Costco作为一家美国跨国公司,主要经营大型连锁会员制零售店,是全球第五大零售商,在全球拥有超过730个仓储式商店。除此之外,核心业务还涉及主要面向美洲、欧洲和亚洲等多个地区的电子商务网站。

例行检查看出“猫腻”

Costco内部网络安全人员例行检查时,发现公司其中一个商店的刷卡设备存在漏洞。安全人员立刻移除了该设备,并通知公司高层人员和相关监管部门,经过公司研究决定,立即成立内部调查组,联合监管人员调查此事。

随后,公司给可能受影响的顾客发送了提醒信息。

顾客付款信息可能已经被盗

针对此事件,Costco发言人称:如果安装盗卡设备的攻击者在安全研究员发现并移除盗刷设备之前访问了客户信息,那么受此事件影响的个人付款信息可能已经被盗。

据调查,顾客信息可能包括姓名、卡号、消费记录等,网络安全专家建议顾客监控其个人的信用卡是否存在欺诈性收费,如果发现,应立即向相关金融机构报告可疑交易。

媒体披露,在给可能受影响顾客发送的提醒信息中,Costco没有透露受影响顾客的总数、付款信息被盗时间、存在盗刷设备商店的具体位置等信息。

虽然该公司没有披露顾客信息泄露的具体时间,但早在今年2月份,Costco顾客就在网上爆料称自己的银行卡出现了未经授权的交易。

]]>
英特尔曝出多款处理器存在高危漏洞 Sun, 23 Jan 2022 21:19:48 +0800 据BleepingComputer网站报道,英特尔公布了三个影响范围广泛的自家处理器高危漏洞,能够允许攻击者和恶意软件在设备系统上获得增强权限。

其中两个漏洞为CVE-2021-0157 和 CVE-2021-0158,CVSS v3得分均为 8.2,属高严重性级别,它们由反病毒预警软件开发商SentinelOne 发现。其中前者涉及某些英特尔处理器的 BIOS 固件中的控制流管理不足,而后者则依赖于对同一组件的不正确输入验证。

根据英特尔提供的信息,受影响的处理器有如下系列:

  • 英特尔至强E系列处理器

  • 英特尔至强E3 v6系列处理器

  • 英特尔至强W系列处理器

  • 英特尔第3代至强可扩展处理器

  • 英特尔第 11 代智能酷睿处理器

  • 英特尔第10代智能酷睿处理器

  • 英特尔第7代智能酷睿处理器

  • 英特尔酷睿 X 系列处理器

  • 英特尔赛扬N系列处理器

  • 英特尔奔腾Silver系列处理器

英特尔尚未就这两个缺陷公布更多的技术细节,他们建议用户通过可用的 BIOS 更新来修补漏洞。但由于主板供应商并不会长期为其产品提供安全支持,比如在5年前问世的英特尔第7代酷睿处理器,因而这些问题并不能在上述受影响的产品中得到根本性修复。

在同一天,英特尔单独公布了第三个漏洞——CVE-2021-0146,由网络安全公司Positive Technologies发现。这也是一个高严重性 (CVSS 7.2) 特权提升漏洞,可能允许攻击者访问高度敏感的信息,英特尔多款奔腾和凌动系列处理器因此受到影响。

这个漏洞的特殊之处,在于它还影响了一些汽车产品,比如搭载了英特尔凌动 E3900的特斯拉 Model 3。

英特尔已发布固件更新以缓解此缺陷,用户可通过系统制造商提供的补丁进行修补。

]]>
索尼PS5曝两个内核漏洞,可用来窃取根密钥 Sun, 23 Jan 2022 21:19:48 +0800 继Xbox主机曝出外挂后,索尼PS5也在同一日曝出两个内核漏洞,攻击者利用这两个漏洞窃取了PS5的根密钥,这引发了大众对游戏主机的新一轮担忧。

11月8日,攻击者在推特上公布了PS5的两个内核漏洞,在此之前索尼公司并不知道该漏洞。

游戏主机内核漏洞可以利用来安装盗版游戏和运行模拟器,因此这类漏洞在游戏社区很受欢迎。

FailOverFlow黑客组织在推特上发布了一条状态,晒出PS5固件的对称根密钥。之前该组织还在推特上公布了其他几个主机的越狱方法。该组织声称已经从软件中获得了所有PS5的根密钥,并强调是每台主机。

同一天,谷歌安全工程师Andy Nguyen(又名theflow0)在推特上宣布发现了PS5的另一个漏洞。Andy Nguyen表示,他已使用该内核漏洞访问了PS5的“调试设置”,但他不打算公开披露该漏洞。

据Zecoxao称,TheFlow利用PS5的分享功能分享了一张屏幕截图,图片上就是“调试设置”菜单。这张图片在推特上引起了强烈反响,它意味着该漏洞确实存在PS5最新的固件上。

据了解,截图中的“调试菜单”仅在测试套件的PS设备上可用,并且可以通过在固件的特定地址上打补丁来启动主机。

]]>
能源行业移动网络安全威胁态势 Sun, 23 Jan 2022 21:19:48 +0800 能源行业与社会安全和福祉息息相关,是全球基础设施的重要组成部分,从食品供应、教育、到医疗保健和经济增长等各个方面,能源行业都处于中心位置。正因如此,该行业也处于网络攻击的中心。全球17.2%的移动网络攻击以能源组织作为攻击目标,使得该行业成为黑客组织、网络罪犯、和民族国家威胁者的最大攻击目标。

由于复杂的供应链关系和数字化转型计划,能源组织的攻击面不断增加,组织正在将工作负载转移到移动设备和云应用程序。这一举措使得员工、合作伙伴和第三方供应商能够随时随地保持联系。然而该生态系统也使能源组织面临重大的网络风险,单一漏洞就可能会暴露整个供应链,例如2020年的SolarWinds和2021年的Microsoft Exchange攻击。

为了更好地了解能源行业面临的网络安全挑战,Lookout研究人员分析了2020年7月1日至2021年6月30日期间的研究数据。该数据包括来自超过2亿台设备、1.5亿个应用程序的遥测数据,以及来自Lookout安全网关的检测数据。Lookout研究人员针对燃料提取、制造、精炼及分销等能源生产及销售组织进行了分析。

 一、 主要发现

Lookout研究人员发现,能源行业针对移动设备的网络钓鱼攻击激增,反映出威胁面的扩大。与其他行业相比,能源行业移动应用程序的威胁暴露率要高得多。尽管勒索软件和监视软件备受关注,但与复杂的恶意软件相比,高风险应用程序及漏洞是更常见的威胁。研究人员还发现,许多组织仍然没有妥善保护移动设备,仍然在运行存在已知漏洞的老旧操作系统。

网络钓鱼攻击激增。2021年上半年,20%的能源员工遭受了移动网络钓鱼攻击,比2020年下半年增加了161%。

能源行业威胁暴露率最高。能源行业的平均移动应用威胁暴露率为7.6%,几乎是所有其他行业平均水平的两倍。

使用老旧的操作系统。56%的Android用户仍然在使用老旧版本的Android操作系统,存在近300个可利用漏洞。

员工教育。62.5%经过教育的员工不会再次点击移动网络钓鱼链接。

获取凭据。67%的网络钓鱼攻击获取了用户凭据,而不是仅仅关注恶意软件传播。

应用程序存在风险。能源行业面临的95%的移动应用程序威胁要么是风险软件,要么存在漏洞。

非托管移动设备增加。在过去12个月中,非托管和BYOD移动设备的使用增加了41%。

最佳实践降低风险。可以实施三个基本的移动安全保护措施,以更好地保护组织,同时增加移动设备和云解决方案的使用。

 二、 能源行业对移动安全需求增加

能源行业对网络攻击并不陌生。事实上,针对能源组织的移动网络攻击占全球所有移动攻击的17.2%。然而,由于重大的数字化转型举措,过去的气隙系统现在连接到IT网络、云应用程序和移动设备。这使组织及其合作伙伴能够创建提高效率的新流程,包括网络、资产和设施的维护、管理、监控和控制。

移动设备处于这种转变的最前沿:在过去12个月中,连接到能源组织的移动设备增加了44%。员工和合作伙伴都使用移动设备连接到OT、工业控制系统和敏感信息。这些设备提高了生产效率,是能源供应链不可或缺的延伸,但许多设备都装载了大量个人和工作应用程序。

现如今随着远程办公逐渐成为主流,员工越来越多地使用个人智能手机和平板电脑进行工作。Lookout发现,行业中非托管移动设备在过去一年中增加了41%,这意味着组织正在失去对这些设备使用方式的控制和可见性。这就更加强调了移动安全的必要性,以防范设备、应用程序、网络钓鱼等于移动设备相关的网络威胁及风险。

 三、 移动网络钓鱼攻击激增

威胁行为者利用网络钓鱼等社会工程方法来操纵用户执行一些操作,通常是点击恶意链接,以窃取凭据或在设备上传播恶意软件。一旦获得凭据,威胁行为者就可以访问系统、网络、应用程序或其他敏感数据。攻击者利用这种隐蔽访问在公司基础设施中横向移动,试图识别其他漏洞和有价值的信息。

移动网络钓鱼是攻击者破坏组织基础设施的最简单方法之一,能源行业也发现了的此类攻击激增。在过去的12个月中,七分之一的员工(13.6%)遭受了移动网络钓鱼攻击,比所有其他行业的总和还要高出三个百分点。

更令人惊讶的是,在2021年上半年,每五名员工中就有一名(近20%)遭受了移动网络钓鱼攻击,这比前六个月大幅增长了161%,上钩率大幅上升。

亚太地区四分之一的员工(24.2%)在2021年第二季度遭受了移动网络钓鱼攻击,与过去一年相比增长了734%。这一飙升导致该地区的年平均暴露率达到了13.2%的历史最高水平,即八分之一的员工,这可能是由于该地区的经济困境,导致一些人转向网络和其他类型的犯罪。

 四、 网络钓鱼攻击的主要目标

网络钓鱼攻击的目标可以分为两类:凭据获取和传播恶意软件。

由于智能手机和平板电脑同时用于个人和工作用途,因此移动设备使攻击者很容易通过网络钓鱼获取凭据并传播恶意软件。由于移动设备屏幕较小,用户界面简单,因此很难识别典型的网络钓鱼迹象。

威胁行为者通过使用受感染的电子邮件、短信、消息应用程序、社交媒体平台和移动网站来针对员工。移动网络钓鱼还可以利用与外部站点通信的应用程序,如游戏、约会应用程序、甚至供应链工具。收集到的信息可用于跟踪人员的行踪,并捕获其他登录和密码信息。

在能源行业,三分之二(67%)的网络钓鱼攻击的目标是凭据获取,威胁行为者三分之一(33%)的目标是传播恶意软件。凭据窃取提供了威胁行为者所需的一切,可以像员工一样悄悄登录到组织的基础设施。一旦获得访问权限,就可以在很长一段时间内不被发现,从而识别漏洞并利用敏感数据。

事实上,研究人员发现,工业控制系统中的漏洞在被识别和修复之前平均存在五年以上。

威胁行为者通常使用VPN访问来进行网络钓鱼并获取凭据。这是因为VPN提供了无限制的访问权限,使攻击者可以免费且开放地访问组织基础设施中的任何应用程序。此外,很难检测到VPN中账户或设备受损的异常活动。

恶意软件传播,即诱骗员工在设备上安装恶意应用程序,是一种利润丰厚的网络犯罪。虽然勒索软件只是众多恶意软件中的一个例子,但在2020年,公司向FBI报告了2,474起事件,造成了2,910万美元损失。

与凭据获取类似,恶意软件可以通过多个移动渠道传播。通过利用社会工程技术,攻击者诱使员工下载、安装或点击带有恶意软件的链接。因此,快速检测入侵者和其他移动安全漏洞对于减少和减轻漏洞的影响至关重要。

例如,Flubot银行木马于2020年末发现,该恶意软件操纵用户认为其需要安装应用程序才能验证、跟踪或接收有关来自Deutsche Post、DHL、Saturn、UPS和其他公司的货件的更新。安装后,该应用程序会拦截并发送短信、显示覆盖屏幕、并窃取联系人信息。每个组织的恶意软件攻击平均成本为250万美元。

油气管道公司Colonial Pipeline在2021年5月遭受了勒索软件攻击,导致美国东部汽油短缺了五天。攻击针对Colonial Pipeline使用的计费系统,利用众多安全漏洞,包括存在漏洞的VPN、未修补的Microsoft Exchange服务器、及可能被利用的和公开网络协议。

 五、 APP风险及分类

能源行业中的应用程序威胁远超所有其他行业。在过去一年中,平均每14名员工中就有1名(7.6%)遭受了移动应用程序威胁。能源行业员工遇到应用程序威胁的可能性几乎是所有其他行业员工总和的两倍。

全球能源行业的应用程序遭受威胁比率在2020年最后一个季度创下历史新高,飙升超过15%,然后在2021年上半年回落至接近4.4%的更稳定的水平。北美地区的设备暴露率低于其他地区。虽然EMDA地区的暴露率略高,但亚太地区的组织面临更大的风险,暴露率高达11.4%。

在能源行业遇到的应用程序威胁中,存在风险的应用程序和漏洞占所有威胁的95%,其余为恶意软件。随着能源行业越来越多地利用移动设备和应用程序来管理运营,组织必须更好地了解哪些应用程序威胁最普遍、这些威胁的性质以及如何防御这些威胁。

从历史上看,包括能源行业在内的所有行业的整体应用威胁暴露率一直在1%左右。这种情况在2020年第三季度发生了变化,广泛使用的广告软件开发工具包(SDK)SourMint被嵌入到各种移动应用程序中,因其对用户浏览习惯的过度洞察,被重新归类为风险软件。这将能源行业的全球应用威胁暴露率提高至近7%。

事实上,能源行业面临的近95%的移动应用威胁要么是风险软件,要么是漏洞。风险软件是由于软件不兼容、安全漏洞、或违反合规性而带来潜在风险的合法程序。风险软件与漏洞不同,漏洞是软件代码中可以被攻击者利用的缺陷。

应用程序威胁导致的一些能源行业风险包括:

由于数据处理实践而导致违规;

允许应用跟踪位置、访问短信和辅助功能的过多权限;

访问摄像头和麦克风来监视用户;

访问设备的文件系统;

与国外服务器的连接。

另一方面,恶意软件是可对设备、服务器、客户端或网络造成损害的软件。移动恶意软件有多种类型,包括木马、间谍软件、广告软件、键盘记录软件和勒索软件等。每种类型的软件都旨在实现特定目标,例如勒索软件会加密受害者数据,直到支付赎金为止,而间谍软件可能会访问摄像头、麦克风或消息来监视用户。

今年重新出现的一种先进的移动恶意软件是Pegasus,由NSO Group开发。NSO Group是一家总部位于以色列的公司,是不受监管的间谍软件行业的知名领导者。该间谍软件会感染iOS和Android设备,并使运营商能够获取GPS坐标、消息、加密聊天、照片和电子邮件。还可以记录通话,并在用户不知情的情况下秘密打开麦克风和摄像头。Pegasus自2016年被Lookout和Citizen Lab发现以来一直在进化,现在能够在目标的移动设备上安装和执行,而无需用户进行任何交互。

这种类型的恶意软件可以让威胁行为者查看能源工厂内部的操作或获取机密信息。有了这些内部信息,可能会发起更广泛的攻击,破坏关键基础设施,并威胁公民的安全和福祉。

 六、 APP及操作系统漏洞

漏洞占所有应用程序威胁的近40%,并无意中为攻击者打开了大门。几乎每天都会发现新的漏洞,不断增加能源组织的威胁面。在移动设备上,存在两种主要类型漏洞:应用程序漏洞和操作系统漏洞。

例如在去年在Android版Chrome浏览器中发现的漏洞CVE-2020-16010,要利用此漏洞,攻击者只需向设备发送恶意构建的HTML页面即可。一旦成功利用,攻击者就可以访问应用程序的任何功能,包括摄像头和麦克风、位置数据和浏览历史记录。有超过50亿台设备运行Chrome,这个漏洞对包括能源行业在内的所有行业都构成了严重风险。

在Google Play核心库中发现的另一个漏洞对应用程序威胁暴露率有显著影响。该库使移动应用程序能够从Google Play商店获取高级功能和更新。该漏洞使威胁行为者能够使用该库将代码注入任何应用程序,从而窃取凭据、财务详细信息并阅读电子邮件。为了应对应用程序威胁,能源组织需要通过强大的应用威胁检测能力来实施移动安全。

此外,能源组织需要根据应用程序权限和功能做出明智的应用程序审查决策,应设置应用程序策略,以根据风险承受能力发送自动警报,如标记与高风险地区的服务器通信,或缺乏适当数据传输安全性的应用程序。

能源行业仍在使用老旧版本的谷歌和苹果操作系统,使组织面临数百个漏洞,这些漏洞可被威胁行为者利用访问组织环境。超过一半(55.9%)的Android设备尚未升级到2020年9月推出的最新可用操作系统。好消息是,只有15%的iOS设备自发布以来没有升级到最新版本。过时的操作系统使能源组织面临数百个已经修复的漏洞。

虽然能源组织可能会选择推迟更新,直到其专有应用程序经过测试,但移动操作系统应该尽快更新,以修复漏洞并解决安全问题。任何延迟都会产生漏洞窗口,在此期间,威胁行为者可以使用移动设备访问基础设施并窃取敏感数据。

与特定操作系统版本相关的漏洞数量代表了保留在该版本上的风险。虽然漏洞可以修补,但仍有一些问题需要克服:

漏洞发现和补丁发布之间存在漏洞窗口期;

修复通常需要用户操作来更新设备;

很难了解操作系统版本和已安装的安全补丁。

只有了解端点和应用程序漏洞,才能确切知道这些漏洞存在的位置,以及何时需要更新,以防止安全漏洞被威胁行为者利用。

 七、缓解建议

员工只需点点鼠标,就可能导致重大违规。因此员工教育应该是应对网络钓鱼最好的方式。员工是企业的第一道防线,因此,员工识别网络钓鱼邮件的能力是组织抵御网络钓鱼攻击最重要的防御措施。

然而,随着网络钓鱼尝试变得越来越复杂,并且与台式计算机的关联越来越少,员工可能很难识别网络钓鱼链接。幸运的是,威胁行为者会重复使用多种网络钓鱼技术,员工可以学习如何在移动设备上轻松识别。通过更好地了解移动网络钓鱼攻击,员工将很快学会不与网络钓鱼攻击互动。数据显示,经过培训后,超过一半(56.4%)曾点击过网络钓鱼链接的员工在12个月内没有再点击过后续的移动网络钓鱼链接。

令人极为担忧的是,过去一年中,许多用户成为攻击目标的次数超过五次,但好消息是,到第六次网络钓鱼尝试时,只有5.2%的员工与威胁进行了交互,减少了50%以上点。

针对应用程序的教育越多,员工与潜在威胁互动的可能性就越小。能源组织需要确保其网络钓鱼培训不仅仅包括台式机和电子邮件,还要包括与移动网络钓鱼相关的培训。

随着能源组织进行数字化转型,保护员工用来访问公司资源和运营技术的移动端点安全势在必行。网络钓鱼攻击、移动应用程序威胁、和老旧的操作系统给紧张的能源行业带来了更高的风险。为了降低这种风险,Lookout研究人员建议立即采取以下步骤:

确保移动设备包含在整体网络安全计划中。通常,这些设备不包含在正式程序中。必须将移动设备包含在整体网络安全计划中,以确保移动操作系统和应用程序保持最新状态,从而降低风险和漏洞。程序还应就特定于移动设备的威胁对用户进行教育。

确保移动网络钓鱼防护在每台移动设备上运行。大多数攻击始于网络钓鱼,而移动设备提供了多种攻击途径。反网络钓鱼解决方案必须阻止来自移动设备上已知网络钓鱼站点的任何通信,包括短信、应用程序、社交平台和电子邮件。

确保连接到公司资源的设备上的移动应用程序的可见性。在同一设备上使用个人应用程序和工作应用程序时,个人应用程序中的任何恶意软件都可能为威胁行为者打开大门。利用移动安全解决方案来了解正在使用的应用程序,并做出负责任的应用程序审查决策。

]]>
安全周报(11.08-11.14) Sun, 23 Jan 2022 21:19:48 +0800

1、国家发改委:坚决查处国有单位机房涉及的“挖矿”活动

11月10日下午,国家发展改革委组织召开虚拟货币“挖矿”治理专题视频会议,通报虚拟货币“挖矿”监测和整治情况,并对下一阶段工作进行部署。
会议强调,各省区市要坚决贯彻落实好虚拟货币“挖矿”整治工作的有关部署,切实负起属地责任,建制度、抓监测,对本地区虚拟货币“挖矿”活动进行清理整治,严查严处国有单位机房涉及的“挖矿”活动。
中央网信办、教育部、工业和信息化部、人民银行、国资委等部门相关工作负责同志参加会议。各省、自治区、直辖市发展改革委,以及整治虚拟货币“挖矿”活动牵头部门负责同志在分会场视频参会。
2、美国FBI系统被入侵!黑客向10万邮箱发送假冒邮件

北京时间11月14日消息,美国当地时间周六,黑客入侵了美国联邦调查局(FBI)的外部邮件系统。根据跟踪垃圾邮件和相关网络威胁的非营利组织Spamhaus Project提供的信息,黑客使用FBI的电邮账号发送了数万封电子邮件,就可能发生的网络攻击发出警告。

FBI表示,该局和美国网络安全与基础设施安全局“已经注意到今晨发生的使用@ic.fbi.gov电邮账号发送虚假邮件的事件”。“目前,事件还在发展中,我们此刻无法提供更多额外信息。”FBI在一份声明中称。FBI督促消费者保持谨慎,报告任何可疑活动。

非机密邮件系统

网络安全公司BlueVoyant专业服务主管奥斯汀·巴格拉斯(Austin Berglas)表示,FBI拥有多个邮件系统,周六疑似被入侵的是面向公众的系统,被FBI探员和员工用来与公众进行邮件沟通的。他表示,当探员传输机密信息时,他们需要使用另外一个不同的邮件系统。

“被入侵的不是机密系统,”巴格拉斯称,他还是前助理特别探员,负责FBI纽约办公室网络分部,“这是一个对外帐户,用于共享和交流非机密信息。”

Spamhaus称,这次攻击事件始于纽约时间周六午夜,随后的活动从凌晨2点开始。该组织预计,黑客发送的垃圾邮件最终到达了至少10万个邮箱中。

3、澳大利亚供水设施被植入后门长达9个月,直到年审才发现

黑客在存放昆士兰州供水运营商客户数据的服务器上潜伏达9个月,再次凸显出关键基础设施存在严重的网络安全隐患。

作为澳大利亚国有供水运营商,SunWater公司负责运营19处主要水坝、80个泵站及总长1600英里的输水管道。

据澳大利亚昆士兰州审计署日前发布的年度财务审计报告,SunWater公司遭遇入侵长达9个月,自己却始终毫无察觉。虽然报告中没有直接点名,但澳大利亚广播公司就此事向当局发出质询,确认受害者正是SunWater。

该事件发生于2020年8月至2021年5月之间,攻击者设法侵入了用于存储供水商客户信息的Web服务器。黑客似乎对窃取敏感数据并不感兴趣,只是植入了自定义的恶意软件,以增加某个在线视频平台的访问量。

报告显示,攻击者入侵的是较为陈旧、存在安全缺陷的系统版本,现代且更加安全的Web服务器则没有受到影响。报告还指出该供水商在账户安全方面实践不足的问题,例如没能做到仅为用户分配完成工作所必需的最低访问权限。

事实上,SunWater公司中有多个账户能够访问多个系统,大大增加了单点入侵的风险。

4、新浪微博遭遇反垄断诉讼:因限制数据访问 被起诉数据垄断

近期,因认为新浪微博运营商北京微梦创科网络技术有限公司(以下简称“微梦公司”)拒绝许可数据的行为构成垄断,长沙高新区企业湖南蚁坊软件股份有限公司及其北京分公司(以下合称“蚁坊公司”)向长沙市中级人民法院提起诉讼,请求法院判令微梦公司以合理条件允许蚁坊公司使用新浪微博数据,并赔偿蚁坊公司经济损失及合理费用合计550万元。

据了解,这是国内首例因互联网平台拒绝数据许可引发的反垄断民事诉讼。

此案的另一大主角,蚁坊公司,是一家从事互联网大数据分析的企业。旗下拥有“鹰击早发现系统”等网络舆情监测分析系统。该类系统以各级政府机构为服务对象,通过对海量网络数据的分析,为主管部门提供包括网络不良信息监管在内的各类舆情发现与分析服务。

起诉状显示,蚁坊公司提起这一诉讼的主要理由是,微梦公司拒绝许可其使用新浪微博数据提供政务舆情监测服务。

蚁坊公司认为,随着网易微博和腾讯微博的正式关停以及搜狐微博的实际停运,国内已不存在能与新浪微博形成有效竞争的微博平台。规模庞大的用户群体也导致新浪微博上的信息良莠不齐。因对不良信息监管不力,微梦公司曾多次被主管部门警告或处罚。而蚁坊公司开发的舆情监测分析系统在主管部门及时发现、消除不良信息,净化网络环境的过程中发挥了重要作用。

蚁坊公司称,微梦公司拒绝蚁坊公司使用微博数据,实质上逃避了主管部门的监管,变相将监管权力紧握在自己手中,扮演着“既是运动员又是裁判员”的角色,为有害信息的传播提供温床,严重损害了社会公共利益。同时,微梦公司的上述行为也将直接摧毁蚁坊公司的商业模式,损害蚁坊公司的合法权益,并将严重限制相关市场的竞争及技术创新,构成滥用市场支配地位的垄断行为。

据了解, 《反垄断法》第十七条第一款第三项规定,具有市场支配地位的经营者没有正当理由,不得拒绝与交易相对人进行交易。尽管《民法典》第五条规定“民事主体从事民事活动,应当遵循自愿原则”,经营者通常都有拒绝交易的权利。但在经营者具有市场支配地位的情况下,其随意拒绝交易的行为可能会将其市场支配力传导到上下游市场,影响相关市场的竞争,因此,《反垄断法》对这种行为进行了限制,在一定条件下强制相关经营者进行交易。

]]>
新浪微博遭遇反垄断诉讼:因限制数据访问 被起诉数据垄断 Sun, 23 Jan 2022 21:19:48 +0800 在反垄断监管措施日趋严厉和平台数据竞争白热化的大背景下,作为微博平台一家独大的新浪微博也遭到了反垄断的诉讼。

近期,因认为新浪微博运营商北京微梦创科网络技术有限公司(以下简称“微梦公司”)拒绝许可数据的行为构成垄断,长沙高新区企业湖南蚁坊软件股份有限公司及其北京分公司(以下合称“蚁坊公司”)向长沙市中级人民法院提起诉讼,请求法院判令微梦公司以合理条件允许蚁坊公司使用新浪微博数据,并赔偿蚁坊公司经济损失及合理费用合计550万元。

据了解,这是国内首例因互联网平台拒绝数据许可引发的反垄断民事诉讼。

作为新浪微博的运营商,微梦公司管理着国内规模的大的社交媒体平台。根据微博最新发布的财报显示,截至9月底,微博平均月活跃用户5.73亿,同比净增6200万,移动端用户比例为94%。日均活跃用户为2.48亿,同比净增2300万。

此案的另一大主角,蚁坊公司,是一家从事互联网大数据分析的企业。旗下拥有“鹰击早发现系统”等网络舆情监测分析系统。该类系统以各级政府机构为服务对象,通过对海量网络数据的分析,为主管部门提供包括网络不良信息监管在内的各类舆情发现与分析服务。

起诉状显示,蚁坊公司提起这一诉讼的主要理由是,微梦公司拒绝许可其使用新浪微博数据提供政务舆情监测服务。

蚁坊公司认为,随着网易微博和腾讯微博的正式关停以及搜狐微博的实际停运,国内已不存在能与新浪微博形成有效竞争的微博平台。规模庞大的用户群体也导致新浪微博上的信息良莠不齐。因对不良信息监管不力,微梦公司曾多次被主管部门警告或处罚。而蚁坊公司开发的舆情监测分析系统在主管部门及时发现、消除不良信息,净化网络环境的过程中发挥了重要作用。

蚁坊公司称,微梦公司拒绝蚁坊公司使用微博数据,实质上逃避了主管部门的监管,变相将监管权力紧握在自己手中,扮演着“既是运动员又是裁判员”的角色,为有害信息的传播提供温床,严重损害了社会公共利益。同时,微梦公司的上述行为也将直接摧毁蚁坊公司的商业模式,损害蚁坊公司的合法权益,并将严重限制相关市场的竞争及技术创新,构成滥用市场支配地位的垄断行为。

据了解, 《反垄断法》第十七条第一款第三项规定,具有市场支配地位的经营者没有正当理由,不得拒绝与交易相对人进行交易。尽管《民法典》第五条规定“民事主体从事民事活动,应当遵循自愿原则”,经营者通常都有拒绝交易的权利。但在经营者具有市场支配地位的情况下,其随意拒绝交易的行为可能会将其市场支配力传导到上下游市场,影响相关市场的竞争,因此,《反垄断法》对这种行为进行了限制,在一定条件下强制相关经营者进行交易。

事实上,蚁坊公司和新浪微博之间的纠纷由来已久。

2018年,微梦公司认为蚁坊公司采集、使用微博数据的行为涉嫌不正当竞争,在北京海淀法院提起诉讼。微博称,蚁坊软件旗下鹰击系统对微博内容进行获取、存储和展示,并基于这些数据形成数据分析报告,损害了微博的合法权益。

今年3月,北京知产法院经过一审和二审,最终判决蚁坊公司败诉。两审法院均认为,蚁坊软件多项被诉行为均具有不正当性,破坏了微博的正常运行,违反了反不正当竞争法第十二条第二款第四项的规定,构成不正当竞争。蚁坊软件应立即停止构成不正当竞争的被诉行为,即不得继续通过非正常手段抓取、存储、展示并分析微博公开和非公开数据,并删除其此前非法抓取的数据。

蚁坊公司向微梦公司赔偿巨额损失,具体赔偿金额为:经济损失500万元、合理开支28万元,承担二审案件受理费48760元。

值得一提的是,早在2015年时,微博与脉脉之间的大数据引发不正当竞争纠纷案就曾轰动一时。脉脉在上线之初,曾以微博合作方身份抓取微博数据。此后,微博认定脉脉抓取信息越界,双方合作破裂,对簿公堂。法院判決显示,脉脉运营方淘友天下公司被判连续48小时刊登声明,向微博方面道歉,并赔偿微博200万元。

2016年4月,北京市海淀区人民法院审结该案,认定脉脉方面侵权,做出上述判决。此后,原被告双方均提出上诉。2017年1月11日,北京知产院公开了脉脉与微博之间的终审宣判结果。脉脉此前上诉被法院驳回,维持原判。

据了解,自“脉脉案”以来,微梦公司提起了一系列数据不正当竞争诉讼,几无败绩。

]]>
美国FBI系统被入侵!黑客向10万邮箱发送假冒邮件 Sun, 23 Jan 2022 21:19:48 +0800 凤凰网科技讯 北京时间11月14日消息,美国当地时间周六,黑客入侵了美国联邦调查局(FBI)的外部邮件系统。

根据跟踪垃圾邮件和相关网络威胁的非营利组织Spamhaus Project提供的信息,黑客使用FBI的电邮账号发送了数万封电子邮件,就可能发生的网络攻击发出警告。

FBI表示,该局和美国网络安全与基础设施安全局“已经注意到今晨发生的使用@ic.fbi.gov电邮账号发送虚假邮件的事件”。“目前,事件还在发展中,我们此刻无法提供更多额外信息。”FBI在一份声明中称。FBI督促消费者保持谨慎,报告任何可疑活动。

非机密邮件系统

网络安全公司BlueVoyant专业服务主管奥斯汀·巴格拉斯(Austin Berglas)表示,FBI拥有多个邮件系统,周六疑似被入侵的是面向公众的系统,被FBI探员和员工用来与公众进行邮件沟通的。他表示,当探员传输机密信息时,他们需要使用另外一个不同的邮件系统。

“被入侵的不是机密系统,”巴格拉斯称,他还是前助理特别探员,负责FBI纽约办公室网络分部,“这是一个对外帐户,用于共享和交流非机密信息。”

Spamhaus称,这次攻击事件始于纽约时间周六午夜,随后的活动从凌晨2点开始。该组织预计,黑客发送的垃圾邮件最终到达了至少10万个邮箱中。

这些邮件使用的主题是“紧急:系统中存在威胁行动者”,由美国国土安全部签署。黑客在邮件中警告收件人称,威胁行动者似乎是网络安全专家维尼·特罗亚(Vinny Troia)。去年,特罗亚曾对黑客组织“黑暗霸王”(Dark Overlord)进行过调查。

Spamhaus表示,这些邮件并没有附带恶意软件。该组织推测称,黑客可能试图在抹黑特罗亚,或者发动骚扰攻击用公众打来的大量电话让FBI应接不暇。

]]>
国家数据分级分类保护制度如何落地?《网络数据安全管理条例》公开征求意见 Sun, 23 Jan 2022 21:19:48 +0800 安全内参按:2021年11月14日,网信办发布《网络数据安全管理条例(征求意见稿)》公开征求意见。《条例》落实了《数据安全法》的国家数据分类分级保护制度,对一般数据、个人信息、重要数据等如何保护给出了具体要求。

此前2019年5月,网信办曾发布《数据安全管理办法》公开征求意见,新版由部委级别的《办法》升格至中央政府级别的《条例》,极大提升了法律地位,将成为保障我国网络空间安全的基石制度。

经安全内参梳理,目前国务院共有四项网络安全领域的《条例》文件,除上述外还有网络安全等级保护条例(征集意见阶段)、关键信息基础设施安全保护条例、商用密码管理条例(正在修订)。

以下为《网络数据安全管理条例(征求意见稿)》全文:

  为落实《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律关于数据安全管理的规定,规范网络数据处理活动,保护个人、组织在网络空间的合法权益,维护国家安全和公共利益,根据国务院2021年立法计划,我办会同相关部门研究起草《网络数据安全管理条例(征求意见稿)》,现向社会公开征求意见。公众可通过以下途径和方式反馈意见:

  1.通过电子邮件将意见发送至:shujuju@cac.gov.cn。

  2.通过信函将意见寄至:北京市西城区车公庄大街11号国家互联网信息办公室网络数据管理局,邮编:100044,并在信封上注明“网络数据安全管理条例征求意见”。

  意见反馈截止时间为2021年12月13日。

网络数据安全管理条例

(征求意见稿)

网络数据安全管理条例

(征求意见稿)

第一章  总则

  第一条 为了规范网络数据处理活动,保障数据安全,保护个人、组织在网络空间的合法权益,维护国家安全、公共利益,根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律,制定本条例。

  第二条 在中华人民共和国境内利用网络开展数据处理活动,以及网络数据安全的监督管理,适用本条例。

  在中华人民共和国境外处理中华人民共和国境内个人和组织数据的活动,有下列情形之一的,适用本条例:

  (一)以向境内提供产品或者服务为目的;

  (二)分析、评估境内个人、组织的行为;

  (三)涉及境内重要数据处理;

  (四)法律、行政法规规定的其他情形。

  自然人因个人或者家庭事务开展数据处理活动,不适用本条例。

  第三条 国家统筹发展和安全,坚持促进数据开发利用与保障数据安全并重,加强数据安全防护能力建设,保障数据依法有序自由流动,促进数据依法合理有效利用。

  第四条 国家支持数据开发利用与安全保护相关的技术、产品、服务创新和人才培养。

  国家鼓励国家机关、行业组织、企业、教育和科研机构、有关专业机构等开展数据开发利用和安全保护合作,开展数据安全宣传教育和培训。

  第五条 国家建立数据分类分级保护制度。按照数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度,将数据分为一般数据、重要数据、核心数据,不同级别的数据采取不同的保护措施。

  国家对个人信息和重要数据进行重点保护,对核心数据实行严格保护。

  各地区、各部门应当按照国家数据分类分级要求,对本地区、本部门以及相关行业、领域的数据进行分类分级管理。

  第六条 数据处理者对所处理数据的安全负责,履行数据安全保护义务,接受政府和社会监督,承担社会责任。

  数据处理者应当按照有关法律、行政法规的规定和国家标准的强制性要求,建立完善数据安全管理制度和技术保护机制。

  第七条 国家推动公共数据开放、共享,促进数据开发利用,并依法对公共数据实施监督管理。

  国家建立健全数据交易管理制度,明确数据交易机构设立、运行标准,规范数据流通交易行为,确保数据依法有序流通。

第二章  一般规定

  第八条 任何个人和组织开展数据处理活动应当遵守法律、行政法规,尊重社会公德和伦理,不得从事以下活动:

  (一)危害国家安全、荣誉和利益,泄露国家秘密和工作秘密;

  (二)侵害他人名誉权、隐私权、著作权和其他合法权益等;

  (三)通过窃取或者以其他非法方式获取数据;

  (四)非法出售或者非法向他人提供数据;

  (五)制作、发布、复制、传播违法信息;

  (六)法律、行政法规禁止的其他行为。

  任何个人和组织知道或者应当知道他人从事前款活动的,不得为其提供技术支持、工具、程序和广告推广、支付结算等服务。

  第九条 数据处理者应当采取备份、加密、访问控制等必要措施,保障数据免遭泄露、窃取、篡改、毁损、丢失、非法使用,应对数据安全事件,防范针对和利用数据的违法犯罪活动,维护数据的完整性、保密性、可用性。

  数据处理者应当按照网络安全等级保护的要求,加强数据处理系统、数据传输网络、数据存储环境等安全防护,处理重要数据的系统原则上应当满足三级以上网络安全等级保护和关键信息基础设施安全保护要求,处理核心数据的系统依照有关规定从严保护。

  数据处理者应当使用密码对重要数据和核心数据进行保护。

  第十条 数据处理者发现其使用或者提供的网络产品和服务存在安全缺陷、漏洞,或者威胁国家安全、危害公共利益等风险时,应当立即采取补救措施。

  第十一条 数据处理者应当建立数据安全应急处置机制,发生数据安全事件时及时启动应急响应机制,采取措施防止危害扩大,消除安全隐患。安全事件对个人、组织造成危害的,数据处理者应当在三个工作日内将安全事件和风险情况、危害后果、已经采取的补救措施等以电话、短信、即时通信工具、电子邮件等方式通知利害关系人,无法通知的可采取公告方式告知,法律、行政法规规定可以不通知的从其规定。安全事件涉嫌犯罪的,数据处理者应当按规定向公安机关报案。

  发生重要数据或者十万人以上个人信息泄露、毁损、丢失等数据安全事件时,数据处理者还应当履行以下义务:

  (一)在发生安全事件的八小时内向设区的市级网信部门和有关主管部门报告事件基本信息,包括涉及的数据数量、类型、可能的影响、已经或拟采取的处置措施等;

  (二)在事件处置完毕后五个工作日内向设区的市级网信部门和有关主管部门报告包括事件原因、危害后果、责任处理、改进措施等情况的调查评估报告。

  第十二条 数据处理者向第三方提供个人信息,或者共享、交易、委托处理重要数据的,应当遵守以下规定:

  (一)向个人告知提供个人信息的目的、类型、方式、范围、存储期限、存储地点,并取得个人单独同意,符合法律、行政法规规定的不需要取得个人同意的情形或者经过匿名化处理的除外;

  (二)与数据接收方约定处理数据的目的、范围、处理方式,数据安全保护措施等,通过合同等形式明确双方的数据安全责任义务,并对数据接收方的数据处理活动进行监督;

  (三)留存个人同意记录及提供个人信息的日志记录,共享、交易、委托处理重要数据的审批记录、日志记录至少五年。

  数据接收方应当履行约定的义务,不得超出约定的目的、范围、处理方式处理个人信息和重要数据。

  第十三条 数据处理者开展以下活动,应当按照国家有关规定,申报网络安全审查:

  (一)汇聚掌握大量关系国家安全、经济发展、公共利益的数据资源的互联网平台运营者实施合并、重组、分立,影响或者可能影响国家安全的;

  (二)处理一百万人以上个人信息的数据处理者赴国外上市的;

  (三)数据处理者赴香港上市,影响或者可能影响国家安全的;

  (四)其他影响或者可能影响国家安全的数据处理活动。

  大型互联网平台运营者在境外设立总部或者运营中心、研发中心,应当向国家网信部门和主管部门报告。

  第十四条 数据处理者发生合并、重组、分立等情况的,数据接收方应当继续履行数据安全保护义务,涉及重要数据和一百万人以上个人信息的,应当向设区的市级主管部门报告;数据处理者发生解散、被宣告破产等情况的,应当向设区的市级主管部门报告,按照相关要求移交或删除数据,主管部门不明确的,应当向设区的市级网信部门报告。

  第十五条 数据处理者从其他途径获取的数据,应当按照本条例的规定履行数据安全保护义务。

  第十六条 国家机关应当依照法律、行政法规的规定和国家标准的强制性要求,建立健全数据安全管理制度,落实数据安全保护责任,保障政务数据安全。

  第十七条 数据处理者在采用自动化工具访问、收集数据时,应当评估对网络服务的性能、功能带来的影响,不得干扰网络服务的正常功能。

  自动化工具访问、收集数据违反法律、行政法规或者行业自律公约、影响网络服务正常功能,或者侵犯他人知识产权等合法权益的,数据处理者应当停止访问、收集数据行为并采取相应补救措施。

  第十八条 数据处理者应当建立便捷的数据安全投诉举报渠道,及时受理、处置数据安全投诉举报。

  数据处理者应当公布接受投诉、举报的联系方式、责任人信息,每年公开披露受理和收到的个人信息安全投诉数量、投诉处理情况、平均处理时间情况,接受社会监督。

第三章  个人信息保护

  第十九条 数据处理者处理个人信息,应当具有明确、合理的目的,遵循合法、正当、必要的原则。基于个人同意处理个人信息的,应当满足以下要求:

  (一)处理的个人信息是提供服务所必需的,或者是履行法律、行政法规规定的义务所必需的;

  (二)限于实现处理目的最短周期、最低频次,采取对个人权益影响最小的方式;

  (三)不得因个人拒绝提供服务必需的个人信息以外的信息,拒绝提供服务或者干扰个人正常使用服务。

  第二十条 数据处理者处理个人信息,应当制定个人信息处理规则并严格遵守。个人信息处理规则应当集中公开展示、易于访问并置于醒目位置,内容明确具体、简明通俗,系统全面地向个人说明个人信息处理情况。

  个人信息处理规则应当包括但不限于以下内容:

  (一)依据产品或者服务的功能明确所需的个人信息,以清单形式列明每项功能处理个人信息的目的、用途、方式、种类、频次或者时机、保存地点等,以及拒绝处理个人信息对个人的影响;

  (二)个人信息存储期限或者个人信息存储期限的确定方法、到期后的处理方式;

  (三)个人查阅、复制、更正、删除、限制处理、转移个人信息,以及注销账号、撤回处理个人信息同意的途径和方法;

  (四)以集中展示等便利用户访问的方式说明产品服务中嵌入的所有收集个人信息的第三方代码、插件的名称,以及每个第三方代码、插件收集个人信息的目的、方式、种类、频次或者时机及其个人信息处理规则;

  (五)向第三方提供个人信息情形及其目的、方式、种类,数据接收方相关信息等;

  (六)个人信息安全风险及保护措施;

  (七)个人信息安全问题的投诉、举报渠道及解决途径,个人信息保护负责人联系方式。

  第二十一条 处理个人信息应当取得个人同意的,数据处理者应当遵守以下规定:

  (一)按照服务类型分别向个人申请处理个人信息的同意,不得使用概括性条款取得同意;

  (二)处理个人生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等敏感个人信息应当取得个人单独同意;

  (三)处理不满十四周岁未成年人的个人信息,应当取得其监护人同意;

  (四)不得以改善服务质量、提升用户体验、研发新产品等为由,强迫个人同意处理其个人信息;

  (五)不得通过误导、欺诈、胁迫等方式获得个人的同意;

  (六)不得通过捆绑不同类型服务、批量申请同意等方式诱导、强迫个人进行批量个人信息同意;

  (七)不得超出个人授权同意的范围处理个人信息;

  (八)不得在个人明确表示不同意后,频繁征求同意、干扰正常使用服务。

  个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,数据处理者应当重新取得个人同意,并同步修改个人信息处理规则。

  对个人同意行为有效性存在争议的,数据处理者负有举证责任。

  第二十二条 有下列情况之一的,数据处理者应当在十五个工作日内删除个人信息或者进行匿名化处理:

  (一)已实现个人信息处理目的或者实现处理目的不再必要;

  (二)达到与用户约定或者个人信息处理规则明确的存储期限;

  (三)终止服务或者个人注销账号;

  (四)因使用自动化采集技术等,无法避免采集到的非必要个人信息或者未经个人同意的个人信息。

  删除个人信息从技术上难以实现,或者因业务复杂等原因,在十五个工作日内删除个人信息确有困难的,数据处理者不得开展除存储和采取必要的安全保护措施之外的处理,并应当向个人作出合理解释。

  法律、行政法规另有规定的从其规定。

  第二十三条 个人提出查阅、复制、更正、补充、限制处理、删除其个人信息的合理请求的,数据处理者应当履行以下义务:

  (一)提供便捷的支持个人结构化查询本人被收集的个人信息类型、数量等的方法和途径,不得以时间、位置等因素对个人的合理请求进行限制;

  (二)提供便捷的支持个人复制、更正、补充、限制处理、删除其个人信息、撤回授权同意以及注销账号的功能,且不得设置不合理条件;

  (三)收到个人复制、更正、补充、限制处理、删除本人个人信息、撤回授权同意或者注销账号申请的,应当在十五个工作日内处理并反馈。

  法律、行政法规另有规定的从其规定。

  第二十四条 符合下列条件的个人信息转移请求,数据处理者应当为个人指定的其他数据处理者访问、获取其个人信息提供转移服务:

  (一)请求转移的个人信息是基于同意或者订立、履行合同所必需而收集的个人信息;

  (二)请求转移的个人信息是本人信息或者请求人合法获得且不违背他人意愿的他人信息;

  (三)能够验证请求人的合法身份。

  数据处理者发现接收个人信息的其他数据处理者有非法处理个人信息风险的,应当对个人信息转移请求做合理的风险提示。

  请求转移个人信息次数明显超出合理范围的,数据处理者可以收取合理费用。

  第二十五条 数据处理者利用生物特征进行个人身份认证的,应当对必要性、安全性进行风险评估,不得将人脸、步态、指纹、虹膜、声纹等生物特征作为唯一的个人身份认证方式,以强制个人同意收集其个人生物特征信息。

  法律、行政法规另有规定的从其规定。

  第二十六条 数据处理者处理一百万人以上个人信息的,还应当遵守本条例第四章对重要数据的处理者作出的规定。

第四章  重要数据安全

  第二十七条 各地区、各部门按照国家有关要求和标准,组织本地区、本部门以及相关行业、领域的数据处理者识别重要数据和核心数据,组织制定本地区、本部门以及相关行业、领域重要数据和核心数据目录,并报国家网信部门。

  第二十八条 重要数据的处理者,应当明确数据安全负责人,成立数据安全管理机构。数据安全管理机构在数据安全负责人的领导下,履行以下职责:

  (一)研究提出数据安全相关重大决策建议;

  (二)制定实施数据安全保护计划和数据安全事件应急预案;

  (三)开展数据安全风险监测,及时处置数据安全风险和事件;

  (四)定期组织开展数据安全宣传教育培训、风险评估、应急演练等活动;

  (五)受理、处置数据安全投诉、举报;

  (六)按照要求及时向网信部门和主管、监管部门报告数据安全情况。

  数据安全负责人应当具备数据安全专业知识和相关管理工作经历,由数据处理者决策层成员承担,有权直接向网信部门和主管、监管部门反映数据安全情况。

  第二十九条 重要数据的处理者,应当在识别其重要数据后的十五个工作日内向设区的市级网信部门备案,备案内容包括:

  (一)数据处理者基本信息,数据安全管理机构信息、数据安全负责人姓名和联系方式等;

  (二)处理数据的目的、规模、方式、范围、类型、存储期限、存储地点等,不包括数据内容本身;

  (三)国家网信部门和主管、监管部门规定的其他备案内容。

  处理数据的目的、范围、类型及数据安全防护措施等有重大变化的,应当重新备案。

  依据部门职责分工,网信部门与有关部门共享备案信息。

  第三十条 重要数据的处理者,应当制定数据安全培训计划,每年组织开展全员数据安全教育培训,数据安全相关的技术和管理人员每年教育培训时间不得少于二十小时。

  第三十一条 重要数据的处理者,应当优先采购安全可信的网络产品和服务。

  第三十二条 处理重要数据或者赴境外上市的数据处理者,应当自行或者委托数据安全服务机构每年开展一次数据安全评估,并在每年1月31日前将上一年度数据安全评估报告报设区的市级网信部门,年度数据安全评估报告的内容包括:

  (一)处理重要数据的情况;

  (二)发现的数据安全风险及处置措施;

  (三)数据安全管理制度,数据备份、加密、访问控制等安全防护措施,以及管理制度实施情况和防护措施的有效性;

  (四)落实国家数据安全法律、行政法规和标准情况;

  (五)发生的数据安全事件及其处置情况;

  (六)共享、交易、委托处理、向境外提供重要数据的安全评估情况;

  (七)数据安全相关的投诉及处理情况;

  (八)国家网信部门和主管、监管部门明确的其他数据安全情况。

  数据处理者应当保留风险评估报告至少三年。

  依据部门职责分工,网信部门与有关部门共享报告信息。

  数据处理者开展共享、交易、委托处理、向境外提供重要数据的安全评估,应当重点评估以下内容:

  (一)共享、交易、委托处理、向境外提供数据,以及数据接收方处理数据的目的、方式、范围等是否合法、正当、必要;

  (二)共享、交易、委托处理、向境外提供数据被泄露、毁损、篡改、滥用的风险,以及对国家安全、经济发展、公共利益带来的风险;

  (三)数据接收方的诚信状况、守法情况、境外政府机构合作关系、是否被中国政府制裁等背景情况,承诺承担的责任以及履行责任的能力等是否能够有效保障数据安全;

  (四)与数据接收方订立的相关合同中关于数据安全的要求能否有效约束数据接收方履行数据安全保护义务;

  (五)在数据处理过程中的管理和技术措施等是否能够防范数据泄露、毁损等风险。

  评估认为可能危害国家安全、经济发展和公共利益,数据处理者不得共享、交易、委托处理、向境外提供数据。

  第三十三条 数据处理者共享、交易、委托处理重要数据的,应当征得设区的市级及以上主管部门同意,主管部门不明确的,应当征得设区的市级及以上网信部门同意。

  第三十四条 国家机关和关键信息基础设施运营者采购的云计算服务,应当通过国家网信部门会同国务院有关部门组织的安全评估。

第五章  数据跨境安全管理

  第三十五条 数据处理者因业务等需要,确需向中华人民共和国境外提供数据的,应当具备下列条件之一:

  (一)通过国家网信部门组织的数据出境安全评估;

  (二)数据处理者和数据接收方均通过国家网信部门认定的专业机构进行的个人信息保护认证;

  (三)按照国家网信部门制定的关于标准合同的规定与境外数据接收方订立合同,约定双方权利和义务;

  (四)法律、行政法规或者国家网信部门规定的其他条件。

  数据处理者为订立、履行个人作为一方当事人的合同所必需向境外提供当事人个人信息的,或者为了保护个人生命健康和财产安全而必须向境外提供个人信息的除外。

  第三十六条 数据处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外数据接收方的名称、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外数据接收方行使个人信息权利的方式等事项,并取得个人的单独同意。

  收集个人信息时已单独就个人信息出境取得个人同意,且按照取得同意的事项出境的,无需再次取得个人单独同意。

  第三十七条 数据处理者向境外提供在中华人民共和国境内收集和产生的数据,属于以下情形的,应当通过国家网信部门组织的数据出境安全评估:

  (一)出境数据中包含重要数据;

  (二)关键信息基础设施运营者和处理一百万人以上个人信息的数据处理者向境外提供个人信息;

  (三)国家网信部门规定的其它情形。

  法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。

  第三十八条 中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的,可以按照其规定执行。

  第三十九条 数据处理者向境外提供数据应当履行以下义务:

  (一)不得超出报送网信部门的个人信息保护影响评估报告中明确的目的、范围、方式和数据类型、规模等向境外提供个人信息;

  (二)不得超出网信部门安全评估时明确的出境目的、范围、方式和数据类型、规模等向境外提供个人信息和重要数据;

  (三)采取合同等有效措施监督数据接收方按照双方约定的目的、范围、方式使用数据,履行数据安全保护义务,保证数据安全;

  (四)接受和处理数据出境所涉及的用户投诉;

  (五)数据出境对个人、组织合法权益或者公共利益造成损害的,数据处理者应当依法承担责任;

  (六)存留相关日志记录和数据出境审批记录三年以上;

  (七)国家网信部门会同国务院有关部门核验向境外提供个人信息和重要数据的类型、范围时,数据处理者应当以明文、可读方式予以展示;

  (八)国家网信部门认定不得出境的,数据处理者应当停止数据出境,并采取有效措施对已出境数据的安全予以补救;

  (九)个人信息出境后确需再转移的,应当事先与个人约定再转移的条件,并明确数据接收方履行的安全保护义务。

  非经中华人民共和国主管机关批准,境内的个人、组织不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。

  第四十条 向境外提供个人信息和重要数据的数据处理者,应当在每年1月31日前编制数据出境安全报告,向设区的市级网信部门报告上一年度以下数据出境情况:

  (一)全部数据接收方名称、联系方式;

  (二)出境数据的类型、数量及目的;

  (三)数据在境外的存放地点、存储期限、使用范围和方式;

  (四)涉及向境外提供数据的用户投诉及处理情况;

  (五)发生的数据安全事件及其处置情况;

  (六)数据出境后再转移的情况;

  (七)国家网信部门明确向境外提供数据需要报告的其他事项。

  第四十一条 国家建立数据跨境安全网关,对来源于中华人民共和国境外、法律和行政法规禁止发布或者传输的信息予以阻断传播。

  任何个人和组织不得提供用于穿透、绕过数据跨境安全网关的程序、工具、线路等,不得为穿透、绕过数据跨境安全网关提供互联网接入、服务器托管、技术支持、传播推广、支付结算、应用下载等服务。

  境内用户访问境内网络的,其流量不得被路由至境外。

  第四十二条 数据处理者从事跨境数据活动应当按照国家数据跨境安全监管要求,建立健全相关技术和管理措施。

第六章  互联网平台运营者义务

  第四十三条 互联网平台运营者应当建立与数据相关的平台规则、隐私政策和算法策略披露制度,及时披露制定程序、裁决程序,保障平台规则、隐私政策、算法公平公正。

  平台规则、隐私政策制定或者对用户权益有重大影响的修订,互联网平台运营者应当在其官方网站、个人信息保护相关行业协会互联网平台面向社会公开征求意见,征求意见时长不得少于三十个工作日,确保用户能够便捷充分表达意见。互联网平台运营者应当充分采纳公众意见,修改完善平台规则、隐私政策,并以易于用户访问的方式公布意见采纳情况,说明未采纳的理由,接受社会监督。

  日活用户超过一亿的大型互联网平台运营者平台规则、隐私政策制定或者对用户权益有重大影响的修订的,应当经国家网信部门认定的第三方机构评估,并报省级及以上网信部门和电信主管部门同意。

  第四十四条 互联网平台运营者应当对接入其平台的第三方产品和服务承担数据安全管理责任,通过合同等形式明确第三方的数据安全责任义务,并督促第三方加强数据安全管理,采取必要的数据安全保护措施。

  第三方产品和服务对用户造成损害的,用户可以要求互联网平台运营者先行赔偿。

  移动通信终端预装第三方产品适用本条前两款规定。

  第四十五条 国家鼓励提供即时通信服务的互联网平台运营者从功能设计上为用户提供个人通信和非个人通信选择。个人通信的信息按照个人信息保护要求严格保护,非个人通信的信息按照公共信息有关规定进行管理。

  第四十六条 互联网平台运营者不得利用数据以及平台规则等从事以下活动:

  (一)利用平台收集掌握的用户数据,无正当理由对交易条件相同的用户实施产品和服务差异化定价等损害用户合法利益的行为;

  (二)利用平台收集掌握的经营者数据,在产品推广中实行最低价销售等损害公平竞争的行为;

  (三)利用数据误导、欺诈、胁迫用户,损害用户对其数据被处理的决定权,违背用户意愿处理用户数据; 

  (四)在平台规则、算法、技术、流量分配等方面设置不合理的限制和障碍,限制平台上的中小企业公平获取平台产生的行业、市场数据等,阻碍市场创新。

  第四十七条 提供应用程序分发服务的互联网平台运营者,应当按照有关法律、行政法规和国家网信部门的规定,建立、披露应用程序审核规则,并对应用程序进行安全审核。对不符合法律、行政法规的规定和国家标准的强制性要求的应用程序,应当采取拒绝上架、督促整改、下架处置等措施。

  第四十八条 互联网平台运营者面向公众提供即时通信服务的,应当按照国务院电信主管部门的规定,为其他互联网平台运营者的即时通信服务提供数据接口,支持不同即时通信服务之间用户数据互通,无正当理由不得限制用户访问其他互联网平台以及向其他互联网平台传输文件。

  第四十九条 互联网平台运营者利用个人信息和个性化推送算法向用户提供信息的,应当对推送信息的真实性、准确性以及来源合法性负责,并符合以下要求:

  (一)收集个人信息用于个性化推荐时,应当取得个人单独同意;

  (二)设置易于理解、便于访问和操作的一键关闭个性化推荐选项,允许用户拒绝接受定向推送信息,允许用户重置、修改、调整针对其个人特征的定向推送参数;

  (三)允许个人删除定向推送信息服务收集产生的个人信息,法律、行政法规另有规定或者与用户另有约定的除外。

  第五十条 国家建设网络身份认证公共服务基础设施,按照政府引导、网民自愿原则,提供个人身份认证公共服务。

  互联网平台运营者应当支持并优先使用国家网络身份认证公共服务基础设施提供的个人身份认证服务。

  第五十一条 互联网平台运营者在为国家机关提供服务,参与公共基础设施、公共服务系统建设运维管理,利用公共资源提供服务过程中收集、产生的数据不得用于其他用途。

  第五十二条 国务院有关部门履行法定职责需要调取或者访问互联网平台运营者掌握的公共数据、公共信息,应当明确调取或者访问的范围、类型、用途、依据,严格限定在履行法定职责范围内,不得将调取或者访问的公共数据、公共信息用于履行法定职责之外的目的。

  互联网平台运营者应当对有关部门调取或者访问公共数据、公共信息予以配合。

  第五十三条 大型互联网平台运营者应当通过委托第三方审计方式,每年对平台数据安全情况、平台规则和自身承诺的执行情况、个人信息保护情况、数据开发利用情况等进行年度审计,并披露审计结果。

  第五十四条 互联网平台运营者利用人工智能、虚拟现实、深度合成等新技术开展数据处理活动的,应当按照国家有关规定进行安全评估。

第七章  监督管理

  第五十五条 国家网信部门负责统筹协调数据安全和相关监督管理工作。

  公安机关、国家安全机关等在各自职责范围内承担数据安全监管职责。

  工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。

  主管部门应当明确本行业、本领域数据安全保护工作机构和人员,编制并组织实施本行业、本领域的数据安全规划和数据安全事件应急预案。

  主管部门应当定期组织开展本行业、本领域的数据安全风险评估,对数据处理者履行数据安全保护义务情况进行监督检查,指导督促数据处理者及时对存在的风险隐患进行整改。

  第五十六条 国家建立健全数据安全应急处置机制,完善网络安全事件应急预案和网络安全信息共享平台,将数据安全事件纳入国家网络安全事件应急响应机制,加强数据安全信息共享、数据安全风险和威胁监测预警以及数据安全事件应急处置工作。

  第五十七条 有关主管、监管部门可以采取以下措施对数据安全进行监督检查:

  (一)要求数据处理者相关人员就监督检查事项作出说明;

  (二)查阅、调取与数据安全有关的文档、记录;

  (三)按照规定程序,利用检测工具或者委托专业机构对数据安全措施运行情况进行技术检测;

  (四)核验数据出境类型、范围等;

  (五)法律、行政法规、规章规定的其他必要方式。

  有关主管、监管部门开展数据安全监督检查,应当客观公正,不得向被检查单位收取费用。在数据安全监督检查中获取的信息只能用于维护数据安全的需要,不得用于其他用途。

  数据处理者应当对有关主管、监管部门的数据安全监督检查予以配合,包括对组织运作、技术系统、算法原理、数据处理程序等进行解释说明,开放安全相关数据访问、提供必要技术支持等。

  第五十八条 国家建立数据安全审计制度。数据处理者应当委托数据安全审计专业机构定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。

  主管、监管部门组织开展对重要数据处理活动的审计,重点审计数据处理者履行法律、行政法规规定的义务等情况。

  第五十九条 国家支持相关行业组织按照章程,制定数据安全行为规范,加强行业自律,指导会员加强数据安全保护,提高数据安全保护水平,促进行业健康发展。

  国家支持成立个人信息保护行业组织,开展以下活动:

  (一)接受个人信息保护投诉举报并进行调查、调解;

  (二)向个人提供信息和咨询服务,支持个人依法对损害个人信息权益的行为提起诉讼;

  (三)曝光损害个人信息权益的行为,对个人信息保护开展社会监督;

  (四)向有关部门反映个人信息保护情况、提供咨询、建议;

  (五)违法处理个人信息、侵害众多个人的权益的行为,依法向人民法院提起诉讼。

第八章  法律责任

  第六十条 数据处理者不履行第九条、第十条、第十一条、第十二条、第十三条、第十四条、第十五条、第十八条的规定,由有关主管部门责令改正,给予警告,可以并处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;拒不改正或者导致危害数据安全等严重后果的,处五十万元以上二百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。

  第六十一条 数据处理者不履行第十九条、第二十条、第二十一条、第二十二条、第二十三条、第二十四条、第二十五条规定的数据安全保护义务的,由有关部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

  有前款规定的违法行为,情节严重的,由有关部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。

  第六十二条 数据处理者不履行第二十八条、第二十九条、第三十条、第三十一条、第三十二条、第三十三条规定的数据安全保护义务的,由有关部门责令改正,给予警告,对违法处理重要数据的系统及应用,责令暂停或者终止提供服务;拒不改正的,并处二百万元以下罚款,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。

  有前款规定的违法行为,情节严重的,由有关部门责令改正,没收违法所得,并处二百万元以上五百万元以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处二十万元以上一百万元以下罚款。

  第六十三条 关键信息基础设施运营者违反第三十四条的规定,由有关部门责令改正,依照有关法律、行政法规的规定予以处罚。

  第六十四条 数据处理者违反第三十五条、第三十六条、第三十七条、第三十九条第一款、第四十条、第四十二条的规定,由有关部门责令改正,给予警告,暂停数据出境,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;情节严重的,处一百万元以上一千万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。

  第六十五条 违反本条例第三十九条第二款的规定,未经主管机关批准向外国司法或者执法机构提供数据的,由有关主管部门给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;造成严重后果的,处一百万元以上五百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上五十万元以下罚款。

  第六十六条 个人和组织违反第四十一条的规定,由有关主管部门责令改正,给予警告、没收违法所得;拒不改正的,处违法所得一倍以上十倍以下的罚款,没有违法所得的,对直接负责的主管人员和其他直接负责人员,处五万元以上五十万元以下罚款;情节严重的,由有关主管部门依照相关法律、行政法规的规定,责令其暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;构成犯罪的,依照相关法律、行政法规的规定处罚。

  第六十七条 互联网平台运营者违反第四十三条、第四十四条、第四十五条、第四十七条、第五十三条的规定,由有关部门责令改正,予以警告;拒不改正,处五十万元以上五百万元以下罚款,对直接负责的主管人员和其他直接负责人员,处五万元以上五十万元以下罚款;情节严重的,可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。

  第六十八条 互联网平台运营者违反第四十六条、第四十八条、第五十一条的规定,由有关主管部门责令改正,给予警告;拒不改正的,处上一年度销售额百分之一以上百分之五以下的罚款;情节严重的,由有关主管部门依照相关法律、行政法规的规定,责令其暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;构成犯罪的,依照相关法律、行政法规的规定处罚。

  第六十九条 互联网平台运营者违反第四十九条、第五十四条的规定,由有关主管部门责令改正,予以警告;拒不改正,处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,可由有关主管部门责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。

  第七十条 数据处理者违反本条例规定,给他人造成损害的,依法承担民事责任;构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。

  第七十一条 国家机关不履行本法规定的数据安全保护义务的,由其上级机关或者履行数据安全管理职责的部门责令改正;对直接负责的主管人员和其他直接责任人员依法给予处分。

  第七十二条 在中华人民共和国境外开展数据处理活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任。

第九章  附则

  第七十三条 本条例下列用语的含义:

  (一)网络数据(简称数据)是指任何以电子方式对信息的记录。

  (二)数据处理活动是指数据收集、存储、使用、加工、传输、提供、公开、删除等活动。

  (三)重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据。包括以下数据:

  1.未公开的政务数据、工作秘密、情报数据和执法司法数据;

  2.出口管制数据,出口管制物项涉及的核心技术、设计方案、生产工艺等相关的数据,密码、生物、电子信息、人工智能等领域对国家安全、经济竞争实力有直接影响的科学技术成果数据;

  3.国家法律、行政法规、部门规章明确规定需要保护或者控制传播的国家经济运行数据、重要行业业务数据、统计数据等;

  4.工业、电信、能源、交通、水利、金融、国防科技工业、海关、税务等重点行业和领域安全生产、运行的数据,关键系统组件、设备供应链数据;

  5.达到国家有关部门规定的规模或者精度的基因、地理、矿产、气象等人口与健康、自然资源与环境国家基础数据;

  6.国家基础设施、关键信息基础设施建设运行及其安全数据,国防设施、军事管理区、国防科研生产单位等重要敏感区域的地理位置、安保情况等数据;

  7.其他可能影响国家政治、国土、军事、经济、文化、社会、科技、生态、资源、核设施、海外利益、生物、太空、极地、深海等安全的数据。

  (四)核心数据是指关系国家安全、国民经济命脉、重要民生和重大公共利益等的数据。

  (五)数据处理者是指在数据处理活动中自主决定处理目的和处理方式的个人和组织。

  (六)公共数据是指国家机关和法律、行政法规授权的具有管理公共事务职能的组织履行公共管理职责或者提供公共服务过程中收集、产生的各类数据,以及其他组织在提供公共服务中收集、产生的涉及公共利益的各类数据。

  (七)委托处理是指数据处理者委托第三方按照约定的目的和方式开展的数据处理活动。

  (八)单独同意是指数据处理者在开展具体数据处理活动时,对每项个人信息取得个人同意,不包括一次性针对多项个人信息、多种处理活动的同意。

  (九)互联网平台运营者是指为用户提供信息发布、社交、交易、支付、视听等互联网平台服务的数据处理者。

  (十)大型互联网平台运营者是指用户超过五千万、处理大量个人信息和重要数据、具有强大社会动员能力和市场支配地位的互联网平台运营者。

  (十一)数据跨境安全网关是指阻断访问境外反动网站和有害信息、防止来自境外的网络攻击、管控跨境网络数据传输、防范侦查打击跨境网络犯罪的重要安全基础设施。

  (十二)公共信息是指数据处理者在提供公共服务过程中收集、产生的具有公共传播特性的信息。包括公开发布信息、可转发信息、无明确接收人信息等。

  第七十四条 涉及国家秘密信息、核心数据、密码使用的数据处理活动,按照国家有关规定执行。

  第七十五条 本条例自  年  月  日起施行。

]]>
沙箱已死!? Sun, 23 Jan 2022 21:19:48 +0800 十年前,沙箱是网络安全领域的奇迹。今天,它被安全研究人员广泛使用,内嵌在端点检测和响应 (EDR) 和下一代防病毒 (NGAV) 等现代安全解决方案中,用作软件开发工作流程的一部分,并被众多最终用户用来测试未知或安全环境中的不受信任软件。沙箱市场预计将从 2016 年的 29 亿美元增长到2022 年的 90 亿美元。

然而,沙箱从未真正兑现其承诺:将未知变为已知。沙箱经常会漏检威胁,这样做会给组织一种虚假的安全感。在本文中,我将讨论安全沙箱的工作原理、沙箱如何演变成今天的样子、沙箱概念有什么问题,以及为什么今天我们不应该把沙箱作为可信赖安全解决方案。

沙箱如何工作?

沙箱可阻止应用程序访问当前运行环境的系统资源和用户数据,并提供主动恶意软件检测能力。沙箱测试是在安全隔离环境中执行或触发代码,在该环境中可以安全地观察代码运行和输出活动的行为。

沙箱解决方案声称增加了新一层安全性,可以帮助检测或规避未知的威胁。沙箱可以检测其他工具遗漏的威胁,并帮助管理员快速从生产环境中删除这些威胁。

有几种主流的沙箱技术路线,包括:

  • 全系统仿真:模拟主机物理硬件的沙箱,包括内存和 CPU。

  • 操作系统仿真:模拟最终用户操作系统的沙箱。它不模拟机器硬件。

  • 虚拟化:基于虚拟机 (VM) 的沙箱,包含并检查可疑程序。

  • 常见的沙箱解决方案类型包括:

  • 浏览器沙箱,例如Google Chrome、Firefox 和 Safari 中内置的沙箱。

  • 浏览器 EDR,它使安全团队能够了解端点浏览器上的攻击,并使用沙箱隔离威胁(一种新兴产品类别)。

  • VirtualBox 等通用虚拟机 (VM) 也可用于隔离可疑的恶意软件。

沙箱(几乎)消亡的 5 个原因

在沙箱时代开始时——大约十年前,沙箱被视为解决许多安全问题的神奇解决方案。然而,像任何流行的安全控制一样,它们已经成为攻击者的必攻点,现在沙箱与它们打算保护的软件一样容易受到攻击。

以下是沙箱不再安全且无法在企业环境中用作有效安全控制的五个原因:

  1. 沙箱可用于调查,但不能用于检测。大多数沙箱技术需要时间(通常以分钟为单位)来执行和触发可疑程序。这使得它们无法检测安全威胁,因为检测需要分析目标系统遇到的所有软件。沙箱只能用于调查已经可疑的软件,这意味着必须有一个预先检测机制。

  2. 攻击者可以从沙箱中逃逸。有大量的漏洞利用可以实现特权提升,其中许多都涉及 Windows 内核。攻击者只需要发现提权漏洞,即可突破沙箱控制本地设备。

  3. 沙箱容易受到社会工程的影响。几乎所有情况下,沙箱环境的某些部分都在用户控制之下。例如,如果用户可以通过任何方式手动批准或拒绝沙箱中的软件,或授予沙箱中软件的权限,则攻击者可以设计一种社会工程攻击,使用户执行该操作,从而令沙箱无用。

  4. 沙箱界面并不完美。沙箱用户界面中的一个问题、一个没有经验的用户,甚至是专家用户的一次意外点击,都足以将沙箱中的恶意软件释放到生产环境中。

  5. 现代恶意软件大多内置规避功能。多年来,攻击者一直致力于沙箱规避。许多类型的恶意软件使用诸如延迟执行、鼠标和键盘模式分析、硬件环境评估和其他检查等技术,来识别恶意软件是在沙箱中还是在真实用户环境中。如果恶意软件能够躲避沙箱,那么依靠沙箱作为安全控制是不可能的。

更高级的沙箱可以解决这些问题吗?

答案是否定的。

在攻击者和沙箱开发者之间的这场“军备竞赛”中,一方开发更复杂的措施来逃避或逃离沙箱,而另一方则改进检测和遏制此类攻击的措施。但是,沙箱开发人员处于劣势。

恶意软件只运行一次,理论上可以使用任意数量的资源来逃避或破坏沙箱。但是,沙箱必须非常高效,因为它们需要执行大量扫描。随着沙箱变得越来越复杂,它们也变得越来越重和资源密集型,这使得它们在持续的生产使用中变得不那么实用。

这场战斗还没有失败,但很快就会失败。组织应该开始评估其他安全措施,以取代或补充曾经久负盛名的安全沙箱。


]]>
黑客在昆士兰供水系统驻留9个月未被发现 Sun, 23 Jan 2022 21:19:48 +0800 11月10日,澳大利亚昆士兰审计署发布了年度财务审计报告,显示昆士兰的用水供应商SunWater竟被黑客入侵整整9个月,且始终未被发现。

SunWater由政府所有,负责运营19个水坝、80个泵站以及长达2500多千米的管道。报告显示,在2020年8 月至 2021 年 5 月之间,攻击者设法侵入了用于存储供水商客户信息的网络服务器,但所幸黑客似乎对窃取敏感数据并不感兴趣,仅仅只是植入自定义恶意软件,将大量访问流量重定向到了某在线视频平台。目前没有证据表明有任何客户或财务等信息泄露。

报告强调,黑客破坏了网络中老旧或存在漏洞的系统版本,而较新且更安全的网络服务器未受影响,且认为SunWater允许用户用单个账号访问多个系统,权限过高,增加了单点入侵的风险。

为了应对入侵,SunWater已采取措施来加固安全防线,包括更新软件、使用更加复杂的密码以及进行网络流量监控。除此以外,报告还提出多项更进一步的安全建议,包括搭建安全威胁检测和报告系统、对系统的公用部分启用多重身份验证、进行安全意识培训、建立关键安全漏洞识别流程等措施。

通常,这类攻击往往会造成巨额的财产损失,比如在2017年,英国一用水供应商遭遇入侵并损失了64.5万美元,但最令人担忧的是利用攻击对公共安全造成威胁。今年2月,一名黑客获得了美国佛罗里达州奥兹马水处理系统的访问权限,并试图向水中增加氢氧化钠 (NaOH,也称为烧碱)的浓度。

由此可见,黑客的攻击目的可能多样,但都应以最高的安全规格进行防范,尤其是关乎人们生命财产安全的基础设施。

]]>
澳大利亚供水设施被植入后门长达9个月,直到年审才发现 Sun, 23 Jan 2022 21:19:48 +0800 黑客在存放昆士兰州供水运营商客户数据的服务器上潜伏达9个月,再次凸显出关键基础设施存在严重的网络安全隐患。

作为澳大利亚国有供水运营商,SunWater公司负责运营19处主要水坝、80个泵站及总长1600英里的输水管道。

据澳大利亚昆士兰州审计署日前发布的年度财务审计报告,SunWater公司遭遇入侵长达9个月,自己却始终毫无察觉。

虽然报告中没有直接点名,但澳大利亚广播公司就此事向当局发出质询,确认受害者正是SunWater。

该事件发生于2020年8月至2021年5月之间,攻击者设法侵入了用于存储供水商客户信息的Web服务器。

黑客似乎对窃取敏感数据并不感兴趣,只是植入了自定义的恶意软件,以增加某个在线视频平台的访问量。

审计报告还提到,没有证据表明攻击者窃取过任何客户或财务信息,相关漏洞目前已得到修复。

报告显示,攻击者入侵的是较为陈旧、存在安全缺陷的系统版本,现代且更加安全的Web服务器则没有受到影响。

报告还指出该供水商在账户安全方面实践不足的问题,例如没能做到仅为用户分配完成工作所必需的最低访问权限。

事实上,SunWater公司中有多个账户能够访问多个系统,大大增加了单点入侵的风险。

这是个普遍性问题

审计人员检查了澳大利亚六个水务部门的内部控制系统,发现其中三个存在缺陷(但未明确公布是哪三个)。

报告主要强调了几个普遍问题,例如缺乏保护金融交易免受BEC欺诈影响的保障措施、IT系统中存在大量漏洞等。

总之,审计人员发现各大公共实体已经根据去年的建议采取了积极调整,但仍需要:

实施安全威胁检测与报告系统

在面向公众的一切外部系统上启用多因素身份验证

设定最少八个字符的密码长度

组织安全意识培训

实施关键安全漏洞识别流程

这份审计报告还提到,“我们再次发现涉及信息系统的多个控制缺陷。面对COVID-19疫情影响给实体工作环境带来的持续变化,网络攻击仍然构成重大风险。”

虽然财务损失确实可怕,例如2017年针对某英国供水运营商的袭击事件曾造成64.5万美元损失,但真正令人胆寒的在于网络攻击给公共安全带来的威胁。

2021年2月,某黑客获得了佛罗里达州奥兹马水处理系统的访问权限,并试图增加该公共供水网络中的氢氧化钠浓度。

此事给美国政府敲响了警钟,敦促他们通过有条不紊的升级措施保护这些存在感不强、但却关乎民众日常生活的关键基础设施。

]]>
国家网信办:不得将人脸等生物特征作为唯一的个人身份认证方式 Sun, 23 Jan 2022 21:19:48 +0800 财联社11月14日电,国家互联网信息办公室发布关于《网络数据安全管理条例(征求意见稿)》公开征求意见的通知。《意见搞》提出,数据处理者利用生物特征进行个人身份认证的,应当对必要性、安全性进行风险评估,不得将人脸、步态、指纹、虹膜、声纹等生物特征作为唯一的个人身份认证方式,以强制个人同意收集其个人生物特征信息。

]]>
国家发改委:坚决查处国有单位机房涉及的“挖矿”活动 Sun, 23 Jan 2022 21:19:48 +0800 11月10日下午,国家发展改革委组织召开虚拟货币“挖矿”治理专题视频会议,通报虚拟货币“挖矿”监测和整治情况,并对下一阶段工作进行部署。

会议强调,各省区市要坚决贯彻落实好虚拟货币“挖矿”整治工作的有关部署,切实负起属地责任,建制度、抓监测,对本地区虚拟货币“挖矿”活动进行清理整治,严查严处国有单位机房涉及的“挖矿”活动。

中央网信办、教育部、工业和信息化部、人民银行、国资委等部门相关工作负责同志参加会议。各省、自治区、直辖市发展改革委,以及整治虚拟货币“挖矿”活动牵头部门负责同志在分会场视频参会。

]]>
快递面单屡成“泄密单” 快递小哥如何为个人信息添把“锁”? Sun, 23 Jan 2022 21:19:48 +0800 《个人信息保护法》实施后的首个“双十一”,快递信息安全再次成为关注焦点。记者采访了解到,快递小哥掌握大量用户信息,“信息变现”诱惑很大,而隐私面单存在推广难的问题。对于如何保护个人信息,快递小哥表示,在坚守职业道德的同时,也会提醒消费者,尽可能减少信息泄露的环节,为个人信息添把“锁”。

一张快递面单,注明了姓名、电话、住址,由此可以找到你的社交账号,进一步推演出你的消费习惯、经济能力……日前,在浙江宁波警方破获的一起案件中,嫌疑人通过应聘获得快递员身份,“卧底”公司偷拍面单并批量倒卖,为犯罪团伙提供精准诈骗对象。

《个人信息保护法》实施后的首个“双十一”,快递信息安全再次成为关注焦点。作为快递服务的直接提供者,快递员时刻在和面单打交道。从揽收到配送各个环节,他们带着巨量信息在路上穿梭。那么,守护消费者个人隐私,快递员能做些什么?《工人日报》记者由此展开探访。

信息变现诱惑大

短短几行字,就能描摹出一个人的立体画像,快递面单蕴含的信息量惊人,因此也常被犯罪分子盯上,成为个人隐私泄露的重灾区。一起被盯上的,还有快递小哥。

在面单倒卖“黑产链”中,快递员通常处于最上游。去年“双十一”期间,不法分子买通圆通多位快递员,租用其账号盗取面单信息,再层层倒卖至各类下游诈骗团伙,超40万条个人信息被泄露。另一起案件中,在健身房销售人员的唆使下,上海韵达快递员私藏派送区域内面单万余张,两人以150元的价格成交。

“平均一位快递员负责5~7个小区,经手数万条居民信息。”快递员张璁说,自己就曾面临“信息变现”的诱惑。“片区内两家房产中介分别找过我,委婉提出想要面单上的住户信息,开价每条2元,我送一单的报酬才1.2元。”但他最终一口回绝,“保护客户隐私是我的职业道德,再说周边小区只有我一个人跑,很容易就会被发现。”

相较于线下信息买卖,网上交易手段隐蔽、指向性强、影响面广,对快递员的诱惑也更大。最近,快递小哥王雷被同事拉进一个“高端面单群”,依据面单商品的价格、类别,客户信息被分等级精细化售卖。“车载、保健品、母婴用品三类面单开价最高,因为‘转化率高’,卖家大多是快递员,也有电商平台和快递网点的人,一天能成交几千条。”

快递员蒋春霖告诉记者,“黑产”已存在多年,分为“实时”“历史”两种进行交易。当天流出的“实时面单”可卖到4元,已被联系过的“历史面单”只能卖几角钱。

隐私面单推广难

为应对信息泄露难题,2017年起,快递企业相继推出隐私面单。在隐私面单上,个人信息被加密处理,隐去姓名、住址以及电话号码部分数字。快递员派件时,必须通过APP扫码,以“虚拟电话”联系收件人,快递签收后,号码对应关系随即失效。

然而,今年“双十一”记者发现,在不少快递平台,隐私面单已经下线,即使仍在运行,也大多出现在增值服务中,而非默认选项。消费者需要手动选择“安全号码”“隐址寄件”,才能在面单上隐藏相关信息。为保护隐私而生,利用率不升反降,问题出在哪?

“每单都要扫码识别,配送效率至少降低10%。”张璁说,传统面单一目了然,一栋楼的包裹可以集中派送,如果使用隐私面单,就会在路上花费更多时间,配送费也应该相应上调。“比如这一单扫出1号楼,下一单可能是2号楼,如果紧接着又是1号楼,就要折回去。”

技术问题也是推广的阻碍。菜鸟裹裹负责人曾表示,隐私面单依托于电子面单和云打印技术,网购用户能否收到贴有隐私面单的快递,取决于商家是否安装云打印组件。

王雷所在的公司曾短暂地推出过隐私面单,去年“618”大促后又宣布下架。“当时业务量猛增,公司引入了一批众包快递员,但他们无法登录使用APP,后台技术支持也跟不上,‘隐私面单’就此被叫停。”王雷说。

如果无法投递到户,隐私面单还会间接影响用户体验。蒋春霖告诉记者,客户不在家时,一般会要求把快递放在快递架或收发室,他们下班后来取。但是,要在成堆的包裹中,透过模糊处理的信息,快速准确找到自己的快递,难度也直线上升。

守好信息安全“最后一公里”

11月1日,《个人信息保护法》正式施行,明确任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。在个人信息处理者义务中特别提到,企业在处理个人信息时,应当采取加密、去标识化等安全技术措施。

“这意味着,提供隐私面单成为法定义务。”快递物流专家赵小敏认为,保障信息安全是快递行业高质量发展的前提,企业的执行态度应当更加坚定,要升级隐私面单技术,调整末端激励机制,与平台电商形成联动。

站在物流环节末端,快递员与消费者面对面接触,能否堵住面单泄露“最后一公里”的漏洞,为个人信息撑起一把“保护伞”?

“首先是不成为‘漏洞’本身。”王雷笑称,虽然也动过心,但自己还是退出了“面单群”。“买卖面单是‘无本生意’,所以会有快递员陷进去,但这是把客户推向营销和诈骗。大家把信息交给我们,我们就有责任守护好,不违法是底线。”

蒋春霖熟知“面单黑产”的套路,因而经常提醒消费者,尤其是个人信息保护意识较弱的老年人。“寄快递的时候,尽量只提供必要信息,不暴露真实姓名、住址门牌号;取到快递之后,及时销毁单据,或者用涂码笔、热敏纸涂改液抹去关键信息。”

自从被人找上,张璁才知道面单还有“流通价值”,从此格外谨慎。“在快递量不大的时候,我会尽量配合客户的时间,给他们送到家门口,减少可能泄露信息的环节。如果放在驿站或快递架,我连着几天路过看见包裹还在,也会再打电话提醒他们。”

]]>
美国黑客入侵Booking.com 公司管理层却对此保持沉默 Sun, 23 Jan 2022 21:19:48 +0800 2016年初,一名美国黑客闯入酒店网站Booking.com的服务器,盗取了中东地区国家数千家酒店的预订细节。经过两个月的研究,四名Booking.com的IT专家确定,该黑客是一名与美国情报部门关系密切的人。

Booking.com请求荷兰情报部门AIVD帮助其调查这一广泛的数据泄露事件,但没有通知受影响的客户或荷兰数据保护局(AP)。管理层称,根据霍金路伟律师事务所的建议,它当时没有法律要求这样做。

据相关人士透露,Booking公司IT专家对管理层对数据泄露保持沉默的决定感到不舒服。专家们对这一决定也持批评态度。根据当时适用的隐私法,当有关的数据泄露可能会对个人私人生活产生不利影响时,公司必须通知受影响的人。根据莱顿大学法律和数字技术教授Gerrit-Jan Zwenne的说法,Booking公司不能假设相关人员不会受到间谍活动的影响,这种被窃取的信息可以用来将人们列入禁飞名单,禁止他们进入特定国家或对他们进行窃听。

周四出版的《De Machine》(《机器》)一书中描述了美国的这种间谍行为。在书中,荷兰国家报纸NRC的三名记者调查了美国荷兰酒店预订网站的崛起、盛况和最近的(COVID-19)危机。Booking.com今年庆祝成立25周年,Booking.com是世界上最大的预订平台,拥有2800万个住宿提供给客户。

Booking.com在2016年初意外地发现了间谍活动。该公司阿姆斯特丹总部安全部门的一名员工发现,一个身份不明的人通过一个安全性差的服务器进入了Booking系统。该黑客进入了中东地区(包括沙特阿拉伯、卡塔尔和阿拉伯联合酋长国)的数千家酒店预订系统。该漏洞让黑客获得Booking客户的姓名和他们的旅行计划。

该事件在内部被称为"PIN泄露",因为预订的PIN被盗,该事件由Booking的三名前安全专家和一名管理层成员独立证实。在美国私人调查员的协助下,Booking.com的安全部门在两个月后确定了黑客的身份,他是一个美国人,在一家执行美国情报部门任务的公司工作。

]]>
报告:医院处于网络攻击的高风险中,但患者没有意识到 Sun, 23 Jan 2022 21:19:48 +0800 俄亥俄州朴茨茅斯的一家非营利性医院--南方俄亥俄医疗中心在当地时间周四遭到网络攻击后取消了今日(当地时间 1月12日 )的预约并将救护车改道行驶。这是过去两年中对医疗机构一系列不断升级的攻击的一部分--这一趋势可能对病人护理产生严重后果。

但根据网络安全公司Armis的一份新报告,虽然信息技术专家清楚地意识到损害病人数据和关闭计算机系统的网络攻击的风险正在上升,但病人似乎并不清楚。事实上,在新报告中接受调查的公众中,超60%的人称他们在过去两年中没有听说过任何医疗领域的网络攻击。

尽管2020年对医疗机构的网络攻击增加了一倍,像对连锁医院Universal Health Services的攻击这样高调的事件以及来自使用勒索软件Ryuk的团体的重大威胁。COVID-19大流行期间的攻击规模令专家们震惊,他们表示,勒索软件团伙比以前更积极地针对医院。跟对银行或学校的攻击不同,这些攻击也很常见,有可能直接伤害到人。

网络安全咨询公司CynergisTek的CEO Caleb Barlow去年告诉The Verge:“它跨越了一条我认为整个网络安全界都认为不会很快被跨越的界限。”

Armis的报告调查了400名医疗行业的IT专业人士和2000多名可能成为美国各地医疗机构病人的普通民众。虽然被调查的人数不多,但调查结果表明,公众一般不知道医疗行业的网络攻击,除非他们直接受到网络攻击的影响。

虽然61%的受访潜在患者没有听说过近年来医疗行业的网络攻击,但约有1/3的受访者表示,他们曾是医疗系统网络攻击的受害者。

Armis的医疗保健首席技术官Oscar Miranda表示:“对医院系统的攻击在直接影响到你之前真的不是最重要的。”

该报告还指出了人们对医疗网络攻击的认识和他们对该问题的关注程度之间的差距。大约一半的受访者表示,如果发生网络攻击他们会更换医院,超70%的人说他们认为攻击会对他们的治疗产生影响。

这些担忧是有道理的:医疗机构表示,勒索软件会拖延病人的手术并可能导致住院时间延长。美国网络安全和基础设施安全局的一项分析也表明,在COVID-19大流行期间,跟勒索软件攻击作斗争的医院比没有处理过的医院更快达到与超额死亡有关的临界点。

网络安全历来不是医疗机构的优先事项,许多医疗机构没有资源来投资该领域。但在过去的两年里,对医院的勒索软件攻击激增,再加上新的研究显示网络攻击和健康结果之间的联系正在推动集团做出改变。在Armis的调查中,3/4的IT专家表示,关于勒索软件攻击的新闻的稳定脉动导致推动了对网络安全的更多投资。

Miranda说道:“我相信我们在最终真正解决勒索软件方面正在取得进展。”

]]>
研究发现,13个安全漏洞对西门子医疗设备构成威胁 Sun, 23 Jan 2022 21:19:48 +0800 据bleepingcomputer网站报道,研究人员于11月9日公布了西门子 Nucleus 实时操作系统 (RTOS) 中 的13 个漏洞,该系统为医疗、工业、汽车和航空航天领域使用的设备提供支持。

这13个漏洞被统称为“NUCLEUS:13”,由专注于医疗保健设备安全的网络安全公司 Forescout和Medigate发现。这些漏洞因为影响Nucleus TCP/IP 堆栈,让攻击者可获得远程执行代码、创建拒绝服务条件或获取数据信息。

这些漏洞都至少获得了中等危险性评级,部分还是高危险性,其中最严重的是CVE-2021-31886,CVSS评分高达9.8(满分10分),属FTP 服务器组件的关键错误,可能允许攻击者控制目标设备。除此以外还有另外两个评分为8.8分的高危漏洞——CVE-2021-31887和CVE-2021-31888。

Forescout在11月9日发布的一份报告中道出了漏洞产生的原因,是由于 FTP 服务器对“USER”命令长度的错误验证造成,并使基于堆栈的缓冲区溢出,从而导致潜在的DoS攻击和远程代码执行 (RCE) 条件。

Forescout指出,目前有超过30亿台运行Nucleus 实时操作系统的设备,其中超5000台运行着最易受攻击的系统版本,其中大部分集中在了医疗保健领域。

为了展示“NUCLEUS:13”漏洞的严重性,Forescout 描述了两种攻击场景。其一是医院的楼宇自动化使控制器崩溃,当有人进入病房时,控制器将不能自动打开风扇和电灯;其二是铁路基础设施的存在传感器部分,它检测火车何时到达车站并控制它的停车时间,攻击可能会导致火车越过车站,并与另一列火车发生碰撞。

目前,西门子已发布更新修复 Nucleus ReadyStart 版本 3和版本 4中的“NUCLEUS:13”漏洞,美国网络安全和基础设施安全局 (CISA) 也在9日发布了缓解措施:

1.尽量减少所有控制系统设备或系统不能从 Internet 访问;

2.定位防火墙后的控制系统网络和远程设备,并将它们与业务网络隔离;

3.当需要远程访问时,使用安全方法,例如虚拟专用网络 (VPN),前提是应将VPN更新到最新版本,并确保所连接设备的安全性;

4.Forescout 的开源 Project Memoria Detecto工具可以帮助供应商识别受“NUCLEUS:13” 漏洞影响的产品以及该公司之前对TCP/IP研究时发现的问题。

对于受关键性质影响而暂时无法修复的设备,Forescout 提供了以下缓解策略:

1.使用 Project Memoria Detector的主动指纹识别技术来发现和清点运行 Nucleus 的设备;

2.限制外部通信路径并隔离易受攻击的设备

3.关注设备供应商发布的渐进补丁,制定相应的补救计划,平衡业务风险和业务连续性要求

4.警惕试图利用已知或零日漏洞的恶意数据所产生的网络流量,及时阻止异常流量。

]]>
360:新式勒索病毒来袭 主要通过色情网站广告位传播 Sun, 23 Jan 2022 21:19:48 +0800 11月10日晚间消息,近期,Magniber勒索病毒攻击事件频发,全国多地网民受到波及。360方面透露,该勒索病毒利用CVE-2021-40444漏洞进行传播,还使用PrintNightmare漏洞进行提权,危害程度更甚以往。根据分析,该病毒主要通过色情网站的广告位传播。

据360安全卫士团队介绍,11月5日开始,360反勒索服务收到大量感染Magniber勒索病毒的求助,同时检测到CVE-2021-40444漏洞攻击拦截量有较明显上涨。经分析追踪发现,这是一起挂马攻击团伙,从使用的技术、攻击手法可以看出,这也是一个技术精良的黑客组织,同时由于此次挂马网站主要面向国内,对普通网民都有重大影响。

360团队透露,该黑客团伙主要通过在色情网站(也存在少部分其它网站)的广告位上,投放植入带有攻击代码的广告,当用户访问到该广告页面时,就有可能中招,感染勒索病毒。

截止当前,360安全卫士仍能拦截到约500次每小时的挂马广告页面访问。而漏洞拦截量,最高单日超过1000次。目前,360产品已集成了针对CVE-2021-40444的微补丁。

]]>
多伦多交通委员会承认数万员工个人信息被泄漏 Sun, 23 Jan 2022 21:19:48 +0800 多伦多交通委员会(TTC)近日承认,由于上个月其系统受到勒索软件的攻击,数万名员工的个人信息可能已经被泄露。TTC 负责运营多伦多公交车、地铁、有轨电车和辅助交通系统等等,在近日发布的声明中表示,泄漏的数据包括 25000 名离职和现职员工的姓名、地址和身份证号码等。该机构说,它正在继续调查是否有“少数”客户和供应商也受到了影响。

该机构补充说,虽然“没有证据”表明任何信息被滥用,但它正在通知那些受影响的个人,并将向他们提供信用监测和身份盗窃保护。TCC 还建议员工给他们的银行打电话,提醒他们注意安全漏洞。

TTC 首席执行官 Rick Leary 说,10 月 29 日的勒索软件攻击导致了车辆跟踪和“next bus”系统的瘫痪,以及 Wheel-Trans 在线预订系统的宕机。他补充说,这次事件导致 TTC 的一些服务器被加密和锁定。虽然大多数面向客户的系统已经恢复,但 TTC 的内部电子邮件系统仍然处于离线状态。

Leary 表示:“我想代表整个组织,向可能受到影响的所有人表达我对发生这种情况的深深遗憾。我不会忘记,像我们这样的组织被赋予了大量的个人信息,我们必须尽最大努力保护这些信息。在未来几周,我们将继续重建其余受影响的服务器和内部服务,如重新建立外部电子邮件功能。但事实上,根据其他组织的经验,这可能需要一些时间”。

]]>
被忽视的风险:打印机安全防护的7点建议 Sun, 23 Jan 2022 21:19:48 +0800 长期以来,企业打印机一直是IT安全的事后考虑事项,但今年早些时候发生的PrintNightmare事件改变了这一切。PrintNightmare是微软Windows Print Spooler服务中的一个漏洞,当Windows Print Spooler服务错误地执行特权文件操作时,远程代码执行漏洞就会出现。攻击者利用该漏洞,可以将普通用户权限提升至System权限,进行一系列破坏活动。

为此,微软发布了一系列安全补丁,企业安全团队也纷纷开始评估其网络上打印机的安全性。鉴于大多数公司将长期采用混合办公模式——员工会在家中使用个人打印机,或通过远程连接到企业的打印机开展工作,在这种情况下,打印机安全评估变得尤为重要。

共享评估(Shared Assessments)北美指导委员会主席Nasser Fattah表示,过去,打印机并没有被视为安全问题,尽管它们每天都在打印一些敏感文件,并且每天都连接到企业网络上。而且,打印机还带有许多应用程序,包括Web服务器——与其他应用程序一样,这些应用程序可能具有默认密码和漏洞,以及可容纳大量敏感信息的存储空间。

此外,办公室打印机还可以连接到企业的身份存储库,以便验证用户打印和电子邮件系统,这将带来严重的安全问题,使攻击者能够访问企业网络、敏感信息和资源等。例如,攻击者可以通过打印默认密码,将打印重定向到未经授权的位置,开展攻击活动。此外,网络上易受攻击的打印机也为攻击者提供了一个切入点。

基于上述事实,企业组织需要掌握保护打印机安全的七种方法。

1、将打印机视为暴露在网络中的物联网设备

惠普打印网络安全首席技术专家Shivaun Albright表示,安全团队需要像对待PC、服务器和物联网(IoT)设备一样考虑打印机安全。这意味着他们需要更改默认密码并定期更新固件。Albright解释称,“太多企业组织未将打印机安全视为整体IT治理的一部分,它甚至不被视为安全流程的一部分,因此没有配备合适的人员,也没有获得适当的安全预算。”

网络安全公司Coalfire副总裁Andrew Barratt表示,企业常犯的错误是没有像对待其他数据入口和出口点一样对待打印机,尤其是在企业组织具备大型多功能设备的情况下。他指出,打印机本质上是复杂的嵌入式计算设备,其安全足迹与许多其他物联网设备相似,但它可以访问更多数据。

Barratt表示,“许多打印机都有相当大的存储设备,可以包含许多打印作业或扫描副本,而且通常没有任何加密或其他访问控制。它们通常联网,但很少经历过安全测试,在企业网络中可能有Wi-Fi连接的打印机,它们不仅可以访问企业网络,而且可以使用较低的限制就能允许更多用户访问设备。对于入侵者来说,它们是一个受欢迎的枢纽点。”

2、启用打印服务日志记录

日志记录是了解网络上发生事情的必要部分。事件响应软件公司BreachQuest联合创始人兼首席技术官Jake Williams表示,随着居家办公(WFH)的持续推进,建议在企业端点上启用打印服务日志记录(默认情况下禁用),以确保安全团队在WFH情况下查看打印作业。事实证明,此日志记录还能捕获新打印机的安装进程,甚至是尝试行为,并为PrintNightmare提供可靠的检测。

3、将打印机放在单独的VLAN上

Haystack Solutions公司CEO Doug Britton表示,企业安全团队应该将打印机放在自己的VLAN中,并在网络的其余部分设置虚拟防火墙,打印机VLAN应该被视为不受信任的网络。Britton表示,“这将在确保打印机正常运行的同时,限制其损坏能力。如果打印机被黑客入侵并开始‘监听’或试图窃取数据,这一切都能够被防火墙观察到,任何来自打印机‘协议外’的探测都将被立即检测到。”

惠普的Albright指出,超过一半的打印机可以通过常用开放端口进行访问。她建议,企业安全团队关闭所有未使用的打印机端口,禁用未使用的互联网连接,并关闭经常不用的telnet端口。Gurucul首席执行官Saryu Nayyar给出的另一个建议是,尽可能对打印机进行标准化设置,在减少IT人员工作量的同时,减少其出错的可能性。

4、提供更好的培训和安全意识

惠普最近的研究结果显示,自新冠肺炎疫情流行以来,约有69%的办公室工作人员使用个人笔记本电脑或个人打印机/扫描仪工作,这无疑进一步扩大了企业的攻击面。Digital Shadows战略副总裁兼CISO Rick Holland表示,安全团队必须就“在家使用打印机的风险”对员工进行培训。而且,这些打印机应该由IT部门进一步加固。

Holland 补充说:“与任何潜在入侵的成本相比,由IT维护并配备标准化具有强大安全和隐私功能的打印机,所付出的成本微不足道。企业组织应考虑消除打印法律文件和利用电子签名服务的活动。如果员工需要在家打印,务必坚守‘阅后即焚’原则,企业组织也应该考虑为敏感文件提供碎纸机。”

5、使用正确的工具获得网络可见性

企业安全团队对于攻击者对其网络的可见性通常认识不清。惠普的Albright表示,安全团队可以首先使用像Shodan这样的公开可用工具,来了解有多少物联网设备(包括打印机)暴露在互联网上。如果防御者不了解设备,就谈不上保护设备。

此外,企业安全团队还应该将打印机日志信息集成到安全信息和事件管理(SIEM)工具中。

不过,SIEM的好坏取决于提供给它们的信息。因此,企业安全团队应该寻找提供可靠数据的打印机管理工具。通过这种工具,企业安全分析师可以真正判断打印机是否已被用作发起攻击的入口点,或是否已授予横向移动访问权限。

6、执行打印机侦察和资产管理

根据ThreatModeler创始人兼CEO Archie Agarwal的说法,传统意义上,攻击打印机被视为黑客攻击中更幽默的一面:它们并不会造成损害,而是打印出有趣或挑衅的信息等。但现在的情况不同了,因为这些打印机开始连接到企业内部网络,而且企业组织通常会忘记或忽略这些潜在的门户,犯罪分子也并没有忘记它们的存在。

当这些打印机上的服务拥有可以通过远程代码执行征用的强大特权时,危险便一触即发。这就是安全团队需要对企业组织环境进行严格侦察的原因所在。企业安全团队需要清点正在侦听入站连接的内部网络所有资产,并采取必要措施来保护它们,这意味着可能需要锁定设备或定期修补它们。

7、利用漏洞扫描器

New Net Technologies首席技术官Mark Kedgley表示,打印机通常被视为良性设备,没有任何凭据或严重的机密数据可以公开,但情况可能不一定如此。虽然国家漏洞数据库(NVD) 报告给出的打印机漏洞,并不像其他计算平台和设备报告的漏洞那么常见,但仍然存在可能导致麻烦的问题,尤其是在今天的环境中。

Kedgley补充道,最危险的漏洞是那些可能让攻击者访问打印文档的漏洞。他指出,3月份报告的许多漏洞影响了主要用于CAD或GIS输出的Canon Oce ColorWave 500打印机。企业安全团队可以像测试其他漏洞一样,通过使用基于网络的漏洞扫描器来测试这些漏洞,不过,这些扫描器需要进行修补或强化,以缓解或修复威胁。

]]>
飞利浦电子病历系统被曝出高危漏洞,可泄露患者敏感数据 Sun, 23 Jan 2022 21:19:48 +0800 据the hacker news网站报道,美国网络安全和基础设施安全局 (CISA) 发出警告称,飞利浦的电子病例系统Tasy EMR存在严重漏洞,攻击者可远程利用这些漏洞从患者数据库中提取敏感的个人数据。

受影响的主要是Tasy EMR HTML5 3.06.1803及之前的版本,其中的两个SQL注入缺陷——CVE-2021-39375和CVE-2021-39376可让攻击者修改SQL数据库命令,从而进行未经授权的访问并泄露敏感信息,甚至执行任意的系统命令:

CVE-2021-39375:允许通过WAdvancedFilter/getDimensionItemsByCode FilterValue 参数进行 SQL 注入

CVE-2021-39376:允许通过 CorCad_F2/executaConsultaEspecifico IE_CORPO_ASSIST 或 CD_USUARIO_CONVENIO 参数进行 SQL 注入

这两个漏洞的严重性评分高达8.8分(满分10分),但是,利用这些漏洞需要攻击者已经拥有访问系统的凭证。

飞利浦 Tasy EMR主要用于拉美地区的950多家医疗机构,其设计为集成的医疗信息学解决方案,可实现临床、组织和行政流程的集中管理,包括整合分析、计费以及医疗处方的库存和供应管理。

飞利浦在一份咨询报告中指出,目前已经获取了相关的问题信息,但尚未收到有关利用这些漏洞或相关临床使用事件的报告,认为漏洞不太可能影响临床使用,也不会对患者造成伤害。

但为了以防万一,专家还是建议,所有使用该系统的医疗机构应尽快更新到最新的系统版本。

]]>
德国医疗软件巨头遭遇勒索攻击,用户数据存在泄露风险 Sun, 23 Jan 2022 21:19:48 +0800 11月10日,Bleeping Computer网站披露,德国医疗软件巨头Medatixx遭遇了勒索攻击,波及众多医疗中心,给疫情肆虐的德国带来了巨大危机。

Medatixx用户密码可能丢失

Medatixx是德国最大的医疗软件供应商之一,其产品在全球2.1万家医疗机构中使用。据悉,德国全境大约25%的医疗中心使用了Mediatixx 公司产品,此次勒索事件可能是该国医疗系统遭受的最大网络攻击。

遭受此次勒索攻击后,公司内部网络安全人员立即展开调查,根据结果显示,勒索攻击仅破坏了公司内部的it系统,没有影响任何管理系统(PVS),对用户目前使用的软件没有造成恶劣的影响。

但是,网络安全人员发现,此次勒索攻击可能造成客户数据丢失,攻击者可能已经获取了Medatixx客户的应用软件密码。

随后,经过高层研究,决定立刻通知客户,建议他们执行下述步骤来确保医疗系统管理软件的网络安全:

1.更改应用程序密码;

2.更改所有工作台和服务器上的 Windows 登录密码;

3.更改 TI 连接器密码。

攻击造成的影响依旧在蔓延

据Bleeping Computer 最新消息,此次Mediatixx 遭受的勒索软件攻击实际发生的时间是上周,但经历了约一周时间,该公司各业务线仍未完全恢复正常运营。

该公司发言人称,公司目前只恢复了电子邮件和中央通讯系统。 此外,区域销售合作伙伴和所有客户支持热线也已启动运行。 但是,公司何时完全恢复正常运营状态尚无定论。

最后,网络安全人员无法确定攻击者是否窃取了任何客户、医生或患者的个人数据,因此,不能排除公司内部存储的客户数据被盗的可能性。该公司表示,已将此事告知德国数据保护机构,成立了联合调查组,并在调查结束后发布最新消息。

]]>
Robinhood遭黑客袭击致700万用户数据泄露 Sun, 23 Jan 2022 21:19:48 +0800 11月9日消息,据外媒报道,美国在线券商Robinhood Markets于美国当地时间周一证实,在上周的黑客袭击事件中,大约700万人(约占其客户总数三分之一)的个人信息被泄露,并且黑客索要了赎金。

Robinhood发布声明承认,黑客获得了大约500万人的电子邮件地址以及大约200万人的全名。对于某些客户来说,更多的个人数据被曝光,包括大约310人的姓名、出生日期和邮政编码,以及属于大约10人的更广泛信息。

Robinhood表示,该公司认为11月3日的黑客袭击事件没有泄露用户的社保账号、银行账户或借记卡号码,也没有客户遭受经济损失。该公司发言人说,尽管这不是勒索软件攻击,但黑客威胁要利用获得的信息做些什么。这位发言人拒绝透露该公司是否付钱给了黑客。

在周一纽约盘后交易中,Robinhood股价下跌了3%,至每股36.84美元。截至收盘,收涨2.62%。

根据Robinhood的声明,这次黑客攻击是通过与一名客服代表打电话时进行的,入侵者利用这名代表获得了支持系统的访问权限。该公司已经控制住了入侵,通知了执法部门,并聘请了安全公司Mandiant调查这起入侵事件。

Mandiant首席技术官查尔斯·卡马卡尔(Charles Carmakal)表示,Robinhood“进行了彻底的调查以评估影响”,他的公司预计入侵黑客将在未来几个月继续以其他组织为目标进行敲诈勒索。

在去年的另一起事件中,近2000个Robinhood账户在一场黑客袭击狂潮中被攻破,客户账户被洗劫一空。许多人抱怨没有人可以求助。从那时起,Robinhood始终在努力证明,对于新投资者来说,它是可靠的经纪公司。高管们经常重复Robinhood奉行“安全优先”策略。

这家帮助普及自由交易的经纪公司正大举招聘客户服务人员,2020年该团队的规模增加了2倍多。作为扩张的一部分,该公司在亚利桑那州、得克萨斯州和科罗拉多州开设了办事处。上个月,Robinhood还推出了全天候电话支持服务。

]]>
美国财政部正在购买私人应用程序数据以锁定调查对象 Sun, 23 Jan 2022 21:19:48 +0800 美国财政部近几个月来扩大了其数字监控权力,一份泄露的合同显示,它转向了有争议的公司Babel Street,批评者说它帮助联邦调查员买通了第四修正案的规定。

通过《信息自由法》申请获得的两份合同,以及研究和倡导组织"技术调查"与"拦截者"分享的合同显示,在过去四个月中,财政部从Babel Street获得了两个强大的新数据源,其中一个用于其制裁执法部门,另一个用于国内税收局。这两个数据源使政府能够使用私人公司收集不受正当程序限制的敏感数据。批评者特别震惊的是,美国财政部获得了智能手机应用程序中获取的位置和其他数据;用户往往不知道应用程序是如何广泛分享这些信息。

第一份合同的日期为7月15日,费用为154982美元,是与美国财政部外国资产控制办公室(OFAC)签订的,该办公室是一个准情报部门,负责对伊朗、古巴和俄罗斯等外国政权实施经济制裁。纽约大学法学院布伦南司法中心(Brennan Center for Justice)6月份的一份报告发现,OFAC庞大的执法权力需要国会的更大监督。该报告批评对OFAC可以制裁的对象缺乏法律限制,并指出OFAC甚至在制裁授权后还可以自由地将人加入制裁名单。

根据合同文件,OFAC的调查人员现在可以使用名为Locate X的Babel Street工具,在没有搜查令的情况下追踪个人的行动。Locate X为客户提供从移动应用程序中收集的地理位置数据,这些应用程序通常通过广告或嵌入的预包装代码将你的坐标传递给难以计数的第三方,以提供应用程序的社交网络功能或研究用户的统计数据。这种商业位置数据在很大程度上存在于监管真空中,由无数的应用程序获得,并在世界各地的广告技术公司和数据经纪人当中一个令人难以置信的,巨大和不断增长的生态系统之间购买、出售和交换,最终落入Babel Street的手中,然后将搜索权限出售给政府客户,如OFAC。

该软件的批评者说,它基本上允许国家买通第四修正案,该修正案保护美国人免受不合理的搜查。合同指出,OFAC的全球目标办公室将使用Locate X来分析手机广告技术数据,以研究恶性活动和识别恶性行为者,进行网络开发,检查公司结构,并确定实际所有权,这是美国政府罕见地公开承认其使用用现金而不是法官手令获得的个人定位数据。该合同没有表明Locate X是否会被用来对付美国人或外国人。

]]>
调研:有子公司的企业更容易遭遇网络攻击 Sun, 23 Jan 2022 21:19:48 +0800 CyCognito委托Osterman Research进行调研的结果表明,相比没有子公司或子公司数量较少的企业,子公司数量众多的跨国企业更容易受到网络安全威胁,且更难以管理风险。

这项调研的目标对象是至少拥有10家子公司和3000多名雇员或年收入在10亿美元以上的201家企业。

尽管对自家子公司风险管理的有效性极具信心,但约67%的受访者表示,其所在企业要么经历过攻击链包括子公司的网络攻击,要么无法排除这种可能性。

约半数受访者承认,即使“明天”就发生数据泄露,他们也毫不惊讶。这些受访者身居网络安全、合规或风险方面的管理职位。每家受访企业都有员工专职监测子公司风险。

Osterman Research高级分析师Michael Sampson表示:“我们希望了解企业面临的威胁和风险,不仅仅是企业刚刚收购或兼并的子公司,更重要的是那些已经存在多年或更长时间的子公司。而且鉴于网络安全挑战、风险和问题不断变化,即使公司当下的网络安全事件历史清白,我敢打赌,随着新漏洞的发现或凸显,这种安全状态会不断下滑。”

Sampson称,如果子公司不知道资产和数据源暴露情况,或者选择向母公司隐瞒此类情况,这些漏洞就会被忽视,并在以后发展成重大问题。

子公司面临多重安全风险

调研报告强调,以牺牲安全为代价的合规、复杂的并入流程、不常执行且冗长的风险管理过程、过度使用手动工具,以及修复与检测结果之间的滞后,这些都是子公司风险管理中的主要障碍。

报告称,宏观趋势和业务运营环境正在影响安全运营现实。例如,在子公司的首要问题方面,69%的受访者提到了新冠肺炎疫情引发的数字转型,56%的受访者则指向全球近期频频发生的重大供应链攻击事件。

Sampson称:“我认为,我们将看到企业越来越重视网络安全,而且过去五年中,一些网络安全威胁也已经广为人知了。供应链勒索软件和商务电邮入侵(BEC)就是其中最常见的两种。”

报告强调,企业更重视子公司风险监测中的合规方面而非安全方面,这就在子公司并入和管理过程中留下了漏洞,导致面临更多攻击。

子公司并入本身是一项复杂的任务,只有大约5%的受访者确认拥有无缝整合新业务部门的成熟流程,而其他受访者则抱怨,母公司和子公司两方面都背负着巨大的工作量。

受访者表示,目前实行的子公司管理操作太过稀少,某种意义上讲,由于收集的数据具有即时性,因此只能提供快照视图,很快就会过时。此外,大多数受访者认为,当前的流程不足以覆盖企业的潜在攻击面,留有漏洞,还经常会大量产生需费时费力处理的误报。

风险评估耗时太久

另一项重要考虑是子公司相关风险的评估耗时。目前,54%的受访企业平均花费一周到三个月的时间进行风险评估,其中71%想将风险评估时间缩短至一天以内。

受访者还指出了安全漏洞检测与修复之间的滞后问题。大约73%的受访者称,检出安全漏洞与修复安全漏洞之间存在一周到一个月的时间差。这种滞后可能造成十分危险的攻击机会。更糟的是,管理安全风险所需的大量工具不过是增加了总处理时间。

根据该报告,相比子公司数量较少的企业,拥有大量子公司的企业多花费一个月以上才能修复所检出安全漏洞的可能性要高50%。而所在母公司下辖子公司数量不少于17家的受访者,表示子公司不止一次卷入网络攻击链的可能性,比所在企业子公司数量较少的受访者高出近一倍。

网络安全公司CyCognito创始人兼首席执行官Rob Gurzeev称:“子公司风险管理面临的挑战是,母公司和子公司可能分处不同的国家/地区,可能使用完全不同的技术栈、流程、沟通方式和文化。如果我是企业甚至整个集团的首席安全官,我对这些其他企业的资产可能一无所知,进而即便我知晓了某种风险,我也缺乏着手应对的相关上下文。”

虽然上世纪90年代末的漏洞管理和渗透测试通常仅限于公司几台接入互联网的服务器,但过去几十年间的上云工作向成千上万的工程师、供应商、合作伙伴和第三方开放了系统框架。Gurzeev表示,在已延伸的网络架构中加入子公司只会增加攻击面,需要更加有效的应对措施。

]]>
警惕!无人机攻击电网并非异想天开,针对宾州变电站未遂攻击已让美国人惊出一身冷汗! Sun, 23 Jan 2022 21:19:48 +0800 美最新联合情报公报显示--针对电网的未遂无人机攻击凸显类似威胁监管挑战。

据CNN近日获得的一份联邦执法公报显示,2020年7月一架无人机在宾夕法尼亚州一个变电站附近坠毁,可能是为了损坏或扰乱电力设备。联邦调查局、国土安全部和国家反恐中心10月28日的备忘录称,这起事件是已知的首个“可能在美国用于专门针对能源基础设施的改装无人机系统”的案例。该声明是基于对2017年无人机事件的审查。备忘录显示,电力供应或设备没有受到损害。目前还不清楚谁负责操控坠落在变电站附近屋顶上的无人机。目前已有ABC、CNN、连线、TheDrive等多家媒体进行了报道。这一蹊跷的可能针对宾夕法尼亚州变电站的明显有袭击意图的事件,凸显了无人机对关键基础设施构成的真正威胁。同时,对航空、国土安全、情报等机构对无人机的有效监管提出了重大挑战。

事件曝光

美国广播公司新闻率先报道了2020年在宾夕法尼亚州发生的事件的联合情报公报 (JIB),即国土安全部 (DHS)、联邦调查局 (FBI)和国家反恐中心(NCTC) 在2021年10月28日公布的报告。美国广播公司获得了一份副本——但只发布了其中的一小部分——的文件被标记为未保密,但有些部分被标记为执法敏感(LES)和仅供官方使用(FOUO)。其他媒体此后获得了这份文件的副本,据报道称这次未遂袭击可能发生在 2020年7月16日,但没有确定相关变电站的位置。

情报机构的官员们认为,DJI Mavic 2,一种小型四轴飞行器型无人机,其下方通过尼龙线连接了一根粗铜线,很可能是去年对宾夕法尼亚州一座变电站进行的一次未遂袭击的武器。美国国家反恐中心10月28日发布这份内部报告称,这是此类事件首次被正式评估为可能是无人机对美国能源基础设施的袭击,但随着时间的推移,这种情况可能会变得更加普遍。类似事件过去曾敲响过警钟,包括2019年thedrive首次报道的亚利桑那州帕洛佛得角核电站附近一系列不明原因的无人机飞行。

(来自美国联合情报公报的带注释的卫星图像的一部分,内容涉及2020年可能企图无人机袭击宾夕法尼亚州的一个变电站。)

JIB表示:“这是已知的第一个可能在美国用于专门针对能源基础设施的改进型 UAS(无人机系统)实例。” “根据设计和回收位置,我们评估在变电站附近回收的UAS可能旨在通过造成短路损坏变压器或配电线路来破坏运营。”

ABC和其他媒体报道称,JIB表示该评估部分基于可追溯到2017年的其他涉及无人机的未定性事件。正如已经指出的,thedrive此前报道了2019年围绕亚利桑那州帕洛佛得角发电站的另一组令人担忧的事件,该站是美国最大的核电站。在报道这个故事的过程中,我们发现了其他报道的无人机飞行,这些报道引发了当年早些时候宾夕法尼亚州利默里克核电站附近的安全问题。

JIB 补充说:“迄今为止,尚未确定任何运营者,我们现在正在制作此评估,以扩大对可能遇到类似改装后的UAS的联邦、州、地方、部落和领土执法和安全合作伙伴的这一事件的认识。”

据报道,除了挂在其下方的铜线之外,无人机的摄像头和内部存储卡也被移除了。已努力去除任何识别标记,表明操作员或操作者努力隐藏身份,否则难以追踪无人机的来源。目前尚不清楚这架特定无人机在其修改后的配置中构成了多大的威胁。表面上有意的攻击方法似乎至少在某种程度上是基于实际科学的。 1991 第一次海湾战争期间,美国军方使用装有高导电碳纤维线轴的战斧巡航导弹打击电力基础设施,在伊拉克造成停电。F-117夜鹰隐形战斗机投下装有BLU-114/B的集束炸弹 1999年在塞尔维亚上空装填石墨细丝的炮弹药达到同样的效果。

实施此类攻击的门槛很低

无论如何,这一事件凸显了小型无人机对美国关键基础设施以及其他民用和军事目标构成的日益增长的威胁。如果这种改装过的无人机确实构成了真正的风险,它也会突出表明至少尝试进行此类攻击的进入门槛很低。现在可以在线购买新的DJI Mavic 2s,价格在2,000到4,000美元之间。

该技术非常容易获得,以至于世界各地的非国家行为者,从中东的恐怖分子到墨西哥的贩毒集团,已经在使用配备简易爆炸物有效载荷的商用四轴和六轴飞行器型无人机,断断续续地打击各种目标更传统的战场。这包括企图暗杀知名人士。

美国政府终于接受了这些威胁,并且肯定正在采取一些措施,至少在联邦层面,以保护国内民用和军事设施免受小型无人机的侵害。与此同时,同样清楚的是,仍有许多工作要做。

去年在宾夕法尼亚州发生的这起特殊事件凸显了与中国制造的小型无人机有关的单独安全问题,这些无人机现在在美国广泛使用,甚至在美国政府内部使用。大疆创新,或称大疆创新,是目前在美国商业销售产品的最大中国无人机制造商,近年来一直处于这些争论的中心。

无论修改后的Mavic 2在这种情况下是否构成真正的危险,或者这是否真的是美国有史以来第一次尝试无人机攻击能源基础设施,它肯定反映了现在威胁是真实的,并且只会随着时间的推移变得更加危险。

后续进展

根据JIB提供的部分地图,读者能够识别变电站的位置和无人机被回收的位置。变电站和相邻的建筑就在宾夕法尼亚州好时公司的旧巧克力工厂的对面。这里离Hersheypark游乐园也比较近。

如何应对无人机的威胁

当谈到民用无人机造成破坏的可能性时,专家们至少6年前就已经发出了的警告,称它们广泛的可用性和能力为坏人提供了机会。2018年,一架装满炸药的无人机对委内瑞拉总统尼古拉斯·马杜罗(Nicolas Maduro)实施了一次明显的暗杀行动。ISIS和其他恐怖组织使用消费级四轴飞行器进行监视和进攻行动。

美国以前也发生过类似事件:2015年一架无人机降落在白宫草坪上。

最近在机场和其他关键地点发现的无人机数量激增,这让美国联邦航空局(FAA)陷入了紧急状态。到目前为止,这些入侵可能被认为是偶然的。但宾夕法尼亚事件表明,美国国内无人机使用的升级令人担忧。

这种日益严重的威胁没有得到相应的缓解。虽然美国联邦航空局确实对民用无人机的飞行范围进行了限制,但安