安联智库--网络安全新媒体资讯平台 http://www.seczk.com 信息安全资讯,热点资讯,安全期刊,人物专访,安全事件,漏洞威胁,安全技术,攻防众测, Thu, 23 Sep 2021 05:43:31 +0800 zh-CN hourly 1 https://www.s-cms.cn/?v=4.7.5 加入我们 Thu, 23 Sep 2021 05:43:31 +0800

      欢迎有志从事信息安全的朋友,一起加入安联智库这个大家庭,有你们的到来安联智库将因你而出彩!

]]>
联系我们 Thu, 23 Sep 2021 05:43:31 +0800

安联智库&安联攻防实验室(简称:seczk)www.seczk.com
使命:让安全,更简单!
提出:攻击溯源、纵深防御的安全治理解决方案!
微信 、QQ:110468258
网站:www.seczk.com 
邮箱:110468258#qq.com 
地址:广州市天河区黄埔大道西505号A栋2519室 
机构:[广东-广西-海南-云南-贵州-四川-福建-江西-湖南-北京-深圳-重庆-上海.....] 


]]>
团队简介 Thu, 23 Sep 2021 05:43:31 +0800

    安联智库是为了(简称:seczk)是一个专注于信息安全、具有全面信息安全综合服务能力的专业服务团队。seczk立足自主研发,专注信息安全市场,为客户提供安全产品、安全服务、安全集成、安全培训等多项综合性信息安全服务。经过多年的发展已经成为一个理念先进、方案成熟、团队精干、客户认可的具有本土化特色的信息安全服务商。
    seczk立足于羊城广州,目前拥有一支20多人的专业队伍,团队拥有多名CISP、CISSP、CCIE、PMP等技术人员,核心团队成员都出自国内著名安全厂商与安全服务测评机构(如启明星辰、绿盟、天融信、蓝盾、竟远、南方信息安全研究院、中国信息安全测评中心等),积累了丰富的安全经验,其技术能力已获得过不同行业客户的认可。
    安联智库&安联攻防实验室(简称:seczk)使命:让安全,更简单!提出攻防纵深防御、攻击溯源的安全治理解决方案!




]]>
近50%企业的数据库存在漏洞,法国位列漏洞数量排行榜第一 Thu, 23 Sep 2021 05:43:33 +0800 网络妥协对企业数据而言,不应该意味着“游戏结束”,但调查数据显示许多公司未能妥善保护他们“皇冠上的宝石”。

根据互联网安全公司Imperva过去五年收集的数据显示,几乎一半公司的内部数据库存在已知漏洞,而平均每个脆弱的数据库都有26个公开披露的漏洞,其中一半以上是关键或高危漏洞。

虽然易受攻击的本地数据库可以从企业防火墙中获得一定的保护,但那些留有已知/未修补漏洞的数据库的公司会将自身暴露给攻击者,这些攻击者可以通过漏洞访问公司的网络,或者能够使用公共应用程序向后端系统提供有效负载。该公司在一篇博文中表示,许多未修补的漏洞至少存在3年,超过一半(56%)是严重漏洞。

Imperva首席创新官EladErez表示,

“这种级别的漏洞代表着一个巨大的攻击面。从攻击者的角度来看,一旦他们进入网络,就可以扫描数据库,并且很可能会发现一个存在20多个漏洞的脆弱数据库。正如我们所知,查找已知漏洞的漏洞利用就像谷歌搜索一样简单。”

多年来,数据一直是网络犯罪分子和民族国家攻击者的关注重点。过去,攻击者可以访问内部网络并渗漏大量数据,从而导致大规模数据泄露。对零售巨头Target的攻击、对美国人事管理办公室的间谍攻击,以及最近曝光的米高梅酒店数千万条客户记录泄露,都是攻击者获取内部网络访问权限后发生的。

Imperva强调,向基于云的数据存储的转移同样转移了攻击者的注意力,但大多数组织仍在继续依赖本地数据库,尤其是内部业务数据和其他敏感信息。

该公司在其研究博客中表示,

“多年来,企业组织一直在优先考虑并投资周边和端点安全工具,并想当然地以为对数据周围的系统或网络进行保护就足够了。然而,这种方法根本行不通,因为这是一个广泛的全球性问题。企业组织需要重新考虑如何真正保护数据。”

据悉,这些研究数据是来自Imperva创新实验室在四年多前发布的一款数据库扫描工具,旨在更深入地了解内部数据库。该工具已经扫描了2.9万余个内部数据库,并为Imperva提供了匿名数据。

该工具发现,公司未能定期修补他们的数据库系统,但某些国家的公司做得比其他国家更好。

法国公司面临的风险最大,84%的数据库至少存在一个漏洞,脆弱数据库平均存在多达72个安全问题。

新加坡和澳大利亚分列第二和第三,分别有65%和64%的数据库存在漏洞,但两国的漏洞水平截然不同:澳大利亚的脆弱数据库平均只有20个漏洞,而新加坡的平均漏洞数为62个。

美国的企业做得好于平均水平,39%的数据库至少有一个漏洞,而脆弱数据库平均有25个漏洞。

EladErez认为,其中最重要的问题是身份验证绕过漏洞,该漏洞允许攻击者无需登录即可访问数据库。将数据移至云端将更一致地提供更高级别的安全性,但错误配置也会成为一个重大问题。在极少数情况下,当发现漏洞时,可能会产生可怕的后果。最近在微软Azure公共云中发现的两个漏洞可能导致其他公司的云基础设施和数据遭到大规模入侵。

EladErez表示,虽然有乐观的结论,但其中也存在一些令人担忧的问题。由于云数据库的管理和更新更加容易,我们发现暴露的数据库数量有所减少。但似乎太多人忘记了数据安全和基础网络安全。企业组织应该定期扫描数据库,扫描并获得结果只需不到两分钟,却可以帮助企业更好地了解自身的安全状态。此外,市场上也有多种工具可用于检查数据库的修补程序级别。

]]>
Anonymous曝光域名注册提供商Epik 180GB数据 Thu, 23 Sep 2021 05:43:33 +0800 黑客组织 Anonymous 声称从域名注册提供商 Epik 获得了大量数据,后者为各种客户提供域名、托管和 DNS 服务。这些客户包括德克萨斯州共和党、Gab、Parler 和 8chan 等右翼网站。被盗数据已经以种子的形式发布。该黑客组织说,这组数据的大小超过 180GB,包含“该公司十年的数据”。

Anonymous 表示,该数据集是“追踪互联网法西斯方面的实际所有权和管理所需的全部内容,而过去很长时间研究人员、活动家以及几乎所有人都避而不谈”。如果这个信息是正确的,Epik 的客户数据和身份现在可能落入活动家、研究人员和任何好奇的人手中,进行窥视。

Epik 是一家域名注册商和网络服务提供商,以服务右翼客户而闻名,其中一些客户由于客户所托管的令人反感的、有时是非法的内容而被更多的主流 IT 供应商拒绝。

Anonymous 的活动始于该组织本月德克萨斯州 Heartbeat Act 签署成为法律后所称的“Operation Jane”。这项限制性的堕胎法允许私人,而不一定是政府机构或警察,来执行六周的堕胎禁令。根据该法案,任何德克萨斯州的居民都可以对任何进行或帮助促成非法堕胎的人提起民事诉讼,并要求至少 1 万美元的赔偿。

在这组数据中,有各种 SQL 数据库,其中包含与 Epik 托管的每个域名相关的客户记录。外媒 Ars 分析了泄漏数据集的一小部分,包括一个消息来源所说的 Epik 员工的邮箱,其中包含 Epik 首席执行官 Rob Monster 的信件。

Epik 的一位代表告诉 Ars:“我们不知道有任何漏洞。我们对客户的数据安全极为重视,我们正在调查这一指控”。Anonymous 还篡改了Epik的知识库,嘲弄该公司对漏洞的否认。

]]>
研究发现制造业的计算机数据面临过度曝光的风险 Thu, 23 Sep 2021 05:43:33 +0800 数据安全公司Varonis根据对制造业50个组织的40亿个文件的分析发布了一项研究,发现该行业存在着数据过度暴露的巨大问题。每个员工在工作的第一天平均可以访问600万个文件,每10个组织中就有4个向每个员工开放1000多个敏感文件。

此外,44%的公司有超过1000个活跃的"幽灵用户"账户--这些账户的用户已经离开公司或转到另一个角色,但他们的账户仍处于活跃状态。此外,超过一半的公司有超过500个账户的密码从未设定过期日期。

"制造商持有敏感的、令人难以置信的宝贵数据,使他们处于危险之中。正如我们在WannaCry、DarkSide和许多其他攻击中看到的那样,勒索软件可以使生产线停止运转,使企业停滞不前。太多时候,信息被过度暴露,保护不足。"Varonis技术总监Matt Lock说:"为了限制攻击者可能造成的损害,你必须缩小你遇到意外时的'爆炸半径'。公司需要问自己三个问题,以更好地准备应对攻击。你知道你的重要数据存放在哪里吗?你知道只有正确的人可以访问它吗?你知道他们在正确使用数据吗?如果你不知道这三个问题的答案,你将无法识别网络攻击的早期阶段。"

]]>
南非司法部遭勒索软件攻击 导致无法使用所有电子服务 Thu, 23 Sep 2021 05:43:33 +0800 据外媒报道,南非司法和宪法发展部正在努力恢复其运作,因为最近的勒索软件攻击加密了其所有系统,导致内部和公众无法使用所有电子服务。作为攻击的后果,司法和宪法发展部表示,儿童抚养费的支付现在被搁置,直到系统重新上线。

该事件发生在9月6日,该部门启动了此类事件的应急计划,以确保该国的一些活动继续进行。

南非司法和宪法发展部发言人Steve Mahlangu表示:“(攻击)导致所有信息系统被加密,内部员工以及公众都无法使用。因此,该部门提供的所有电子服务都受到影响,包括签发授权书、保释服务、电子邮件和部门网站。”

上周,Mahlangu表示,在转为手动模式记录听证会后,法庭开庭继续进行。此外,还采取了手动程序来发布各种法律文件。

然而,勒索软件攻击影响了每月的儿童抚养费支付,这些支付被推迟到系统恢复之前。Steve Mahlangu称:“虽然该部门无法确定所需系统恢复的确切日期,但它将确保所有儿童抚养费的安全,以便在系统重新上线后支付给合法的受益人。”

该部门仍在恢复正常运作的过程中,但不能确定何时活动将再次变得正常。这项工作的一部分是建立一个新的电子邮件系统,一些工作人员已经迁移到该系统。再加上网络恢复需要很长的时间,这表明黑客没有得到报酬。

目前还不清楚谁是这次攻击的幕后黑手。许多勒索软件团伙在加密数据之前也会窃取数据,以迫使受害者在公开泄密的压力下支付赎金。

Mahlangu上周说,该部的IT专家已经发现“没有数据泄露的迹象”。到目前为止,还没有任何一个拥有数据泄露网站的团伙声称对这次攻击负责。

]]>
工信部:关于加强车联网网络安全和数据安全工作的通知 Thu, 23 Sep 2021 05:43:33 +0800 各省、自治区、直辖市及新疆生产建设兵团工业和信息化主管部门,各省、自治区、直辖市通信管理局,中国电信集团有限公司、中国移动通信集团有限公司、中国联合网络通信集团有限公司,有关智能网联汽车生产企业、车联网服务平台运营企业,有关标准化技术组织:

车联网是新一代网络通信技术与汽车、电子、道路交通运输等领域深度融合的新兴产业形态。智能网联汽车是搭载先进的车载传感器、控制器、执行器等装置,并融合现代通信与网络技术,实现车与车、路、人、云端等智能信息交换、共享,具备复杂环境感知、智能决策、协同控制等功能,可实现“安全、高效、舒适、节能”行驶的新一代汽车。在产业快速发展的同时,车联网安全风险日益凸显,车联网安全保障体系亟须健全完善。为推进实施《新能源汽车产业发展规划(2021-2035年)》,加强车联网网络安全和数据安全管理工作,现将有关事项通知如下:

  一、网络安全和数据安全基本要求

(一)落实安全主体责任。各相关企业要建立网络安全和数据安全管理制度,明确负责人和管理机构,落实网络安全和数据安全保护责任。强化企业内部监督管理,加大资源保障力度,及时发现并解决安全隐患。加强网络安全和数据安全宣传、教育和培训。

(二)全面加强安全保护。各相关企业要采取管理和技术措施,按照车联网网络安全和数据安全相关标准要求,加强汽车、网络、平台、数据等安全保护,监测、防范、及时处置网络安全风险和威胁,确保数据处于有效保护和合法利用状态,保障车联网安全稳定运行。

 二、加强智能网联汽车安全防护

(三)保障车辆网络安全。智能网联汽车生产企业要加强整车网络安全架构设计。加强车内系统通信安全保障,强化安全认证、分域隔离、访问控制等措施,防范伪装、重放、注入、拒绝服务等攻击。加强车载信息交互系统、汽车网关、电子控制单元等关键设备和部件安全防护和安全检测。加强诊断接口(OBD)、通用串行总线(USB)端口、充电端口等的访问和权限管理。

(四)落实安全漏洞管理责任。智能网联汽车生产企业要落实《网络产品安全漏洞管理规定》有关要求,明确本企业漏洞发现、验证、分析、修补、报告等工作程序。发现或获知汽车产品存在漏洞后,应立即采取补救措施,并向工业和信息化部网络安全威胁和漏洞信息共享平台报送漏洞信息。对需要用户采取软件、固件升级等措施修补漏洞的,应当及时将漏洞风险及修补方式告知可能受影响的用户,并提供必要技术支持。

 三、加强车联网网络安全防护

(五)加强车联网网络设施和网络系统安全防护能力。各相关企业要严格落实网络安全分级防护要求,加强网络设施和网络系统资产管理,合理划分网络安全域,加强访问控制管理,做好网络边界安全防护,采取防范木马病毒和网络攻击、网络侵入等危害车联网安全行为的技术措施。自行或者委托检测机构定期开展网络安全符合性评测和风险评估,及时消除风险隐患。

(六)保障车联网通信安全。各相关企业要建立车联网身份认证和安全信任机制,强化车载通信设备、路侧通信设备、服务平台等安全通信能力,采取身份认证、加密传输等必要的技术措施,防范通信信息伪造、数据篡改、重放攻击等安全风险,保障车与车、车与路、车与云、车与设备等场景通信安全。鼓励相关企业、机构接入工业和信息化部车联网安全信任根管理平台,协同推动跨车型、跨设施、跨企业互联互认互通。

(七)开展车联网安全监测预警。国家加强车联网网络安全监测平台建设,开展网络安全威胁、事件的监测预警通报和安全保障服务。各相关企业要建立网络安全监测预警机制和技术手段,对智能网联汽车、车联网服务平台及联网系统开展网络安全相关监测,及时发现网络安全事件或异常行为,并按照规定留存相关的网络日志不少于6个月。

(八)做好车联网安全应急处置。智能网联汽车生产企业、车联网服务平台运营企业要建立网络安全应急响应机制,制定网络安全事件应急预案,定期开展应急演练,及时处置安全威胁、网络攻击、网络侵入等网络安全风险。在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照《公共互联网网络安全突发事件应急预案》等规定向有关主管部门报告。

(九)做好车联网网络安全防护定级备案。智能网联汽车生产企业、车联网服务平台运营企业要按照车联网网络安全防护相关标准,对所属网络设施和系统开展网络安全防护定级工作,并向所在省(区、市)通信管理局备案。对新建网络设施和系统,应当在规划设计阶段确定网络安全防护等级。各省(区、市)通信管理局会同工业和信息化主管部门做好定级备案审核工作。

四、加强车联网服务平台安全防护

(十)加强平台网络安全管理。车联网服务平台运营企业要采取必要的安全技术措施,加强智能网联汽车、路侧设备等平台接入安全,主机、数据存储系统等平台设施安全,以及资源管理、服务访问接口等平台应用安全防护能力,防范网络侵入、数据窃取、远程控制等安全风险。涉及在线数据处理与交易处理、信息服务业务等电信业务的,应依法取得电信业务经营许可。认定为关键信息基础设施的,要落实《关键信息基础设施安全保护条例》有关规定,并按照国家有关标准使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。

(十一)加强在线升级服务(OTA)安全和漏洞检测评估。智能网联汽车生产企业要建立在线升级服务软件包安全验证机制,采用安全可信的软件。开展在线升级软件包网络安全检测,及时发现产品安全漏洞。加强在线升级服务安全校验能力,采取身份认证、加密传输等技术措施,保障传输环境和执行环境的网络安全。加强在线升级服务全过程的网络安全监测和应急响应,定期评估网络安全状况,防范软件被伪造、篡改、损毁、泄露和病毒感染等网络安全风险。

(十二)强化应用程序安全管理。智能网联汽车生产企业、车联网服务平台运营企业要建立车联网应用程序开发、上线、使用、升级等安全管理制度,提升应用程序身份鉴别、通信安全、数据保护等安全能力。加强车联网应用程序安全检测,及时处置安全风险,防范恶意应用程序攻击和传播。

 五、加强数据安全保护

(十三)加强数据分类分级管理。按照“谁主管、谁负责,谁运营、谁负责”的原则,智能网联汽车生产企业、车联网服务平台运营企业要建立数据管理台账,实施数据分类分级管理,加强个人信息与重要数据保护。定期开展数据安全风险评估,强化隐患排查整改,并向所在省(区、市)通信管理局、工业和信息化主管部门报备。所在省(区、市)通信管理局、工业和信息化主管部门要对企业履行数据安全保护义务进行监督检查。

(十四)提升数据安全技术保障能力。智能网联汽车生产企业、车联网服务平台运营企业要采取合法、正当方式收集数据,针对数据全生命周期采取有效技术保护措施,防范数据泄露、毁损、丢失、篡改、误用、滥用等风险。各相关企业要强化数据安全监测预警和应急处置能力建设,提升异常流动分析、违规跨境传输监测、安全事件追踪溯源等水平;及时处置数据安全事件,向所在省(区、市)通信管理局、工业和信息化主管部门报告较大及以上数据安全事件,并配合开展相关监督检查,提供必要技术支持。

(十五)规范数据开发利用和共享使用。智能网联汽车生产企业、车联网服务平台运营企业要合理开发利用数据资源,防范在使用自动化决策技术处理数据时,侵犯用户隐私权和知情权。明确数据共享和开发利用的安全管理和责任要求,对数据合作方数据安全保护能力进行审核评估,对数据共享使用情况进行监督管理。

(十六)强化数据出境安全管理。智能网联汽车生产企业、车联网服务平台运营企业需向境外提供在中华人民共和国境内收集和产生的重要数据的,应当依法依规进行数据出境安全评估并向所在省(区、市)通信管理局、工业和信息化主管部门报备。各省(区、市)通信管理局会同工业和信息化主管部门做好数据出境备案、安全评估等工作。

六、健全安全标准体系

(十七)加快车联网安全标准建设。加快编制车联网网络安全和数据安全标准体系建设指南。全国通信标准化技术委员会、全国汽车标准化技术委员会等要加快组织制定车联网防护定级、服务平台防护、汽车漏洞分类分级、通信交互认证、数据分类分级、事件应急响应等标准规范及相关检测评估、认证标准。鼓励各相关企业、社会团体制定高于国家标准或行业标准相关技术要求的企业标准、团体标准。

特此通知。


    工业和信息化部

2021年9月15日


]]>
惠普游戏本曝内核级漏洞,影响全球数百万台计算机 Thu, 23 Sep 2021 05:43:33 +0800 HP OMEN 驱动程序软件中存在一个严重漏洞,该漏洞影响全球数百万台游戏计算机。

该漏洞被命名为CVE-2021-3437(CVSS 评分:7.8),可能允许威胁行为者在不需要管理员权限的情况下将权限提升到内核模式,从而进行禁用安全产品、覆盖系统组件,甚至破坏操作系统的操作。

今年2月17日,网络安全公司 SentinelOne 发现并向惠普报告了这一漏洞,不过当时暂未发现在野利用的证据。5月14日,惠普向研究人员发送了一份拟议的修复方案,但后续发现该补丁并不充分。最后这家科技巨头的安全团队随后改变策略,禁用了易受攻击的功能来解决安全漏洞。7月27日,该软件的补丁版本可以在微软商店下载使用。

漏洞源于一个名为OMEN Command Center的组件,该组件预装在HP OMEN品牌的笔记本电脑和台式机上,也可以从Microsoft Store下载。该软件除了通过Vitals仪表板监控GPU、CPU和RAM外,原本还旨在帮助微调网络流量和超频游戏PC从而提高计算机性能。

值得注意的是,HP OMEN Command Center里的一个驱动HpPortIox64.sys,虽然表面上是由HP开发的,但实际上是基于另一个充满已知漏洞的驱动程序(OpenLibSys 开发的WinRing0.sys)进行修改开发的。因此,在特定的条件下,攻击者可以访问组织网络,同时可以在未打补丁的系统上执行代码并利用漏洞获得本地特权提升,最后还可以利用其他技术转向更广泛的网络进行横向移动。

注:WinRing0.sys在2020年被发现存在漏洞,可以允许低权限用户通过本地提权来读取和写入任意物理内存,读取和修改特定于模型的寄存器 ( MSR),并且读取/写入主机上的IO端口。即驱动程序接受输入/输出控制 ( IOCTL ) 调用而不应用任何类型的ACL实施。

为了减少攻击面,开发人员应该对设备对象实施强ACL,验证用户输入,而不是将通用接口暴露给内核模式操作。

整体来说,此次惠普游戏本曝内核级漏洞事件,也标志着WinRing0.sys 第二次因在HP产品中引起安全问题而受到关注。

]]>
泰国肾脏医院四万名患者数据被盗,接到攻击者勒索电话 Thu, 23 Sep 2021 05:43:33 +0800 9月8日,泰国一所肾脏专科医院系统遭攻击者入侵,四万多名患者的个人信息和病例信息被盗。攻击者曾向医院去电,试图通过电话谈判来勒索医院。

四万名患者信息泄露

泰国Bhumirajanagarindra肾脏专科医院院长蒂拉猜·尚塔罗西里(Thirachai Chantharotsiri)表示,医院的系统遭到网络攻击者入侵,四万多名患者的个人信息被黑客窃取,泄露的数据包括患者的个人信息和病例信息。

医院的高层坚持表示,泄漏的数据只包括患者的原始数据,并强调患者的诊断信息或医疗记录未被篡改。

蒂拉猜·尚塔罗西里博士在帕亚泰警察局接受当地媒体采访时表示,9月6日,曼谷Ratchathewi区一家医院的患者数据库无法访问。随后,安全技术人员在对系统进行了检查之后,发现有患者的数据被网络攻击者盗取。此次数据泄露事件破坏了医院的数据系统,导致医生无法正常访问患者的X光档案信息。

根据商业罪案调查局(CCBI)局长波尔·科恩猜·卡利克伦中将(Pol Lt Gen Kornchai Kalyklueng)透露的信息,此次数据泄露事件背后的攻击者目前其真正身份尚不清楚,调查机构将寻求美国当局和其他国际组织的支持,以追踪发动此次攻击的网络犯罪分子。

攻击者曾来电勒索,知情人士称攻击者可能来自印度或美国

蒂拉猜·尚塔罗西里博士表示,医院随后接到了一个自称是攻击者的外国人打来的电话,告知他们自己入侵了医院系统。据悉,这名外国人说的是英语,并试图通过电话谈判来勒索医院,以向其支付数据赎金并拿回被盗的患者数据。

医院负责人在报警的时候也将电话录音一起提交了上去,但此后他并没有再次接收到匿名电话了。

根据CCIB的调查,此次事件的网络犯罪分子很可能就是当时入侵Krungthai银行系统和泰国东北部一家医院系统的黑客团伙,当时他们成功获取并泄露了大量的用户信息。

有知情人士表示,此次网络攻击很可能是由印度黑客发起的,他们使用的是新加坡地区的服务器。不过也有调查显示,这一次的攻击者来自美国。

]]>
国家互联网信息办公室发布《关于进一步压实网站平台信息内容主体责任的意见》 Thu, 23 Sep 2021 05:43:33 +0800  15日,国家互联网信息办公室发布《关于进一步压实网站平台信息内容主体责任的意见》(以下简称《意见》),旨在充分发挥网站平台信息内容管理第一责任人作用,引导推动网站平台准确把握主体责任,明确工作规范,健全管理制度,完善运行规则,切实防范化解各种风险隐患,积极营造清朗网络空间。

  近年来,网站平台积极履行信息内容管理主体责任,在保障信息安全、规范传播秩序、维护良好生态等方面,发挥了主体作用。同时也要看到,网站平台还存在责任认识不充分、角色定位不准确、履职尽责不到位、制度机制不完善、管理操作不规范等问题,一定程度导致违法和不良信息禁而不绝,网络生态问题时有发生。为了促进网站平台自我规范管理,推动互联网行业健康有序发展,国家互联网信息办公室发布实施该《意见》。

  国家网信办有关负责人指出,出台《意见》的主要目的,是为了聚焦各类网络乱象,着力破解网站平台履行信息内容管理主体责任存在的认识偏差、管理失范、能力不足、效果不彰等突出问题,指导督促网站平台补短板、强弱项、提水平,确保网站平台始终坚持正确的政治方向、舆论导向和价值取向。

  《意见》首次系统提出网站平台履行信息内容管理主体责任的工作要求,主要包含10个方面具体内容。首先从4个维度明确把握主体责任的内涵,然后从完善平台社区规则、加强账号规范管理、健全内容审核机制、提升信息内容质量、规范信息内容传播、加强重点功能管理、坚持依法合规经营、严格未成年人网络保护、加强人员队伍建设等9个方面,对网站平台履行主体责任提出具体要求。

  《意见》要求,各地网信部门要充分认识此项工作的重要性和紧迫性,要切实履行属地管理责任,紧抓不放,要加大督导检查力度,跟踪评估工作效果。网站平台要提高思想认识,切实抓出成效,要每年主动向属地网信部门报告履行主体责任情况,及时报告涉及履行主体责任的重大事项。

]]>
近二十年,网络安全领域的6大“里程碑”事件! Thu, 23 Sep 2021 05:43:33 +0800 尽管热点安全事件层出不穷,但网络安全行业实际上只有大约35年历史。为了在过往的事件中吸取经验教训,这里总结了近20年来,重塑网络安全格局的6大“里程碑”事件:

1、互联网域名根服务器攻击

2002年,一场恶意软件攻击几乎让整个互联网系统瘫痪。黑客针对互联网域名系统的13台根服务器发起攻击,他们使用ICMP协议以超过正常水平10倍的速度对DNS服务器发送消息,也就是我们今天常说的DDoS攻击。这些域名(.edu、.com、.org无一幸免)是互联网的关键基础设施,DDoS攻击成功影响了整个互联网系统正常运行。虽然本次攻击总共只持续了大约一小时,但其在基于网络攻击的历史上可谓翻开了新的一页,它不再是针对具体的企业和组织,而是针对整个互联网本身。

2、震网(Stuxnet)病毒

Stuxnet是一个席卷全球工业界的病毒,于2010年6月首次被发现,也是第一个专门定向攻击真实世界中基础设施(控制伊朗核计划的工业控制系统)的“蠕虫”病毒。该病毒在伊朗工控系统潜伏了5年之久,并通过感染超过200,000台计算机以及导致1,000台机器物理降级,对伊朗整体核计划的约五分之一造成了重大损害。

据悉,这种病毒采取了多种先进技术,因此具有极强的隐身和破坏力。只要电脑操作员将被感染的U盘插入USB接口,这种病毒就会在神不知鬼不觉的情况下(不会有任何其他操作要求或提示出现)取得一些工业用电脑系统的控制权。

Stuxnet作为世界上首个网络“超级破坏性武器”,最终成功感染了全球超过45000个网络,其中伊朗遭到的攻击最为严重,60%的个人电脑受到感染。有专家大胆猜测称,Stuxnet是一种政府型网络武器,这也是第一次使用计算机病毒来操纵物理世界的事件。

3、雅虎数据泄露

作为早期互联网和网络邮件的领导者,雅虎透露其在2013年遭到了网络破坏,同时也创造了有记录以来史上最大数据泄露案,暴露了雅虎全部用户(超过30亿)的信息。据悉,被窃取的用户账号信息主要包括用户名、邮箱地址、电话号码、哈希密码、加密或未经加密的安全问题与答案。由于当时雅虎电子邮件账户正在风行,所以其受众之广也是前所未有的,此次数据泄露事件也算为不了解网络安全、不重视隐私防护的公众敲响了警钟。

4、苹果iPhone数据泄露

当iPhone于2007年首次推出时,我们永远无法想象它会如此深远地影响甚至改变人们通信、社交互动和在线数据共享的方式。2019年,研究人员在Apple iPhones上发现了可以绕过安全证书并访问加密数据(如保存的密码、财务信息和图片)的数据泄露事件。专家表示,漏洞实际上已经存在了几年时间,具体多少用户受到感染或有多少数据遭到泄露都无法确认。这起事件让人们重新重视移动设备带来的莫大隐患。

5、SolarWinds攻击

2019年,SolarWinds的系统被伪装成虚假软件更新的黑客入侵,然后黑客获取了SolarWinds客户的访问权限,其中包括美国国土安全局和财政部。具有讽刺意味的是,SolarWinds本身就是一家信息技术公司,但却几个月来都未曾察觉到这一漏洞的存在。这次攻击事件表明,即使是IT界和政府机构中最大的参与者也无法免受网络安全攻击的影响,而且鉴于他们雄厚的经济条件,反而有可能成为黑客更具吸引力的目标。

6、Colonial Pipeline攻击

今年早些时候,针对Colonial Pipeline的勒索软件网络攻击造成了大规模的天然气中断和燃料供应恐慌。多年来,网络安全界一直在讨论对公用事业基础设施进行攻击的可能性,这一事件证明了攻击的破坏性有多大,其造成的影响或其他自然灾害相当

Colonial Pipeline攻击事件在勒索软件史上也具有特殊意义,因为考虑到燃油供应中断对公众的广泛影响,Colonial Pipeline最终选择向攻击者支付了近500万美元赎金。虽然不久后美国司法部又宣称,已经帮助其追回了230万美元。

考虑到直面燃气短缺带来的恐慌和焦虑,此次攻击事件算是切实地激发了公众对网络安全的理解和迫切需求。

总结

 这些事件中的每一起,都真实再现了短短几年内网络安全格局可以发生的变化,以及网络安全专业人员需要与时俱进的必要性和重要性。不幸的是,网络攻击的数量只会随着更多数据在线可用而增加,并且这些攻击的影响将继续变得越来越严峻。

我们认为,网络攻击未来可能会更倾向于针对人类共同需求(例如水或电)的访问,因为黑客的目的是为了赚钱,而这些公用事业是人们愿意支付巨额赎金赎回的东西。大多数黑客的本质是逐利的,并且在不断寻找能够实现其利益最大化的目标。

]]>
工信部:互联网安全是底线,聚焦重点问题整治 Thu, 23 Sep 2021 05:43:33 +0800 9月13日上午,国务院新闻办公室举行新闻发布会,工业和信息化部部长肖亚庆,工业和信息化部党组成员、总工程师、新闻发言人田玉龙,工业和信息化部新闻发言人、信息通信管理局局长赵志国出席发布会,介绍“推进制造强国网络强国建设 助力全面建成小康社会”有关情况,并答记者问。

在回答记者有关互联网行业整治的问题时,肖亚庆表示,我国平台经济发展很快,总体态势良好,特别是在促进经济社会发展和方便群众生活方面,都起到非常重要的作用。在这个过程中也出现了一些问题,引起各方面的高度关注。有些是新问题,有些问题是在不断解决过程中的。解决这些问题,有的是需要从技术上来解决,有的是需要从管理上来解决,有些问题需要各方面联动、系统地解决,还有些问题需要从发展的角度来解决。总之,互联网安全是底线。互联网发展一定要能够使老百姓的生活更加方便,助力各方面发展,最终促进互联网行业、平台经济健康有序发展。

赵志国表示,工信部按照党中央、国务院有关决策部署,在前期开展APP专项治理基础上,经过深入调研、广泛听取各方意见,今年7月启动了为期半年的互联网行业专项整治行动。主要聚焦扰乱市场秩序,侵害用户权益、威胁数据安全、违反资源和资质管理规定的四个方面、八类问题进行集中整治。专项行动启动以来,部里通过召开宣贯会、组织政策解读、畅通线索举报渠道、指导企业自查整改等行动,推进各项工作或者专项任务有序开展,取得了阶段性进展,也得到了社会各方面的积极支持和响应。

治理中关注的一个重点是屏蔽网址链接,也是这次重点整治的问题之一。怎样保障合法的网址链接正常访问,这是互联网发展的基本要求,无正当理由限制网址链接的识别、解析、正常访问,影响了用户体验,也损害了用户权益,扰乱了市场秩序。用户对这方面反映强烈,收到举报、投诉也比较多。当前,我们正在按照专项行动的方案安排,指导相关互联网企业开展自查整改。但在自查整改中,我们了解到,部分互联网企业对屏蔽网址链接问题的认识与专项行动要求还有一定的差距。为此,我们采取了行政指导会等多种形式,进一步帮助企业认识到,互联互通是互联网行业高质量发展的必然选择,让用户畅通安全使用互联网也是互联网行业的努力方向。同时,也要求企业能够按照整改要求,务实推动即时通信屏蔽网址链接等不同类型的问题,能够分步骤、分阶段得到解决。

下一步,工信部将聚焦重点整治问题,一是加强行政指导,对整改不到位的问题继续通过召开行政指导会等多种方式,督促企业抓好整改落实。二是加强监督检查,将各种线索渠道收集到的问题纳入台账,并作为监督检查的重点,通过实地检查、拨测验证、技术检测等多种方式,确保问题能够整改到位。三是强化依法处置,对于整改不彻底的企业也将依法依规采取处置措施,整改一批典型违规行为,查处一批典型违规企业,推动形成互通开放、规范有序、保障安全的互联网发展良好环境。


]]>
超6100万可穿戴设备用户信息被曝光 Thu, 23 Sep 2021 05:43:33 +0800 随着更多的设备连接到互联网,不断存储和分享信息,数据安全已经成为一个长期关注的问题。网络安全研究员 Jeremiah Fowler 在 WebsitePlanet 上发布报告,表示由于一个集中式数据库并未受到保护,有超过 6100 万可穿戴设备的用户数据在网络上曝光。

Fowler 和他的团队通过扫描分析,发现 GetHealth 的数据库存在暴露风险。这是一个为从数百个可穿戴设备、医疗设备和应用程序访问健康和保健数据的统一解决方案的 API。

进一步的调查显示,这些数据包含潜在的敏感信息,包括人们的姓名、出生日期、体重、身高、性别,甚至地理位置。此外,研究人员发现,这些信息的流向可以追溯到 Fitbit、Microsoft Band、Misfit Wearables、Google Fit 和 Strava等来源,其用户来自世界各地。所有这些信息都是以纯文本形式存储的,而一个 ID 是加密的。

在确认了数据的所有权后,福勒私下联系了GetHealth,该公司对通知的反应很快。该公司在同一天晚些时候对研究人员表示感谢,声称该问题已经解决。不过,目前还不清楚这 16.71GB 的用户数据被暴露了多长时间,甚至也不清楚在此期间谁可能访问了该数据库。

]]>
奥林巴斯遭遇Black Matter勒索软件攻击 Thu, 23 Sep 2021 05:43:33 +0800 9月8日,医疗技术公司奥林巴斯的IT系统受到了攻击,攻击发生三天后,该公司发表声明表示正在调查此事件:“作为调查的一部分,我们已暂停受影响系统中的数据传输,并已通知相关外部合作伙伴。我们正在努力发现这次攻击造成的损害程度,并将尽快分享更多可用信息”。

负责奥林巴斯公司事务的公司发言人Christian Pott表示:“客户安全和服务没有受到事件的影响。由于正在进行的内部和外部调查过程,我们无法提供任何进一步的信息或声明。”

据TechCrunch报道,虽然奥林巴斯没有分享任何有关攻击者身份的详细信息,但在攻击期间受影响的系统上留下的赎金通知指向BlackMatter 勒索软件攻击。同样的赎金通知还指向BlackMatter团伙过去用来与受害者交流的Tor网站。

BlackMatter是一种相对较新的勒索软件,于2021年7月底浮出水面,最初被认为是改名后的DarkSide勒索软件。安全研究人员在随后的一些攻击后收集的样本中,证实BlackMatter勒索软件的加密程序与DarkSide使用的自定义程序相同。据了解,由于国际执法部门和美国政府的压力,DarkSide曾在攻击并瘫痪了Colonial Pipeline输油管道后关闭。

]]>
人民日报评论:屏蔽外链也是屏蔽方便 赢得用户才能赢得发展 Thu, 23 Sep 2021 05:43:33 +0800 给好友分享一个链接,好友在别的平台却显示“无法打开”,这样的情形,相信不少人都遇到过。今日,工信部回应互联网平台链接屏蔽,要求企业按照整改要求,务实推动即时通信屏蔽网址链接等不同类型的问题,能够分步骤、分阶段得到解决。

对此,相关企业也迅速回应,表示将在以安全为底线的前提下,分阶段分步骤地实施。

互联互通是互联网行业高质量发展的必然选择,让用户畅通、安全地使用互联网也是互联网行业必须努力的方向。

无正当理由限制网址链接的识别、解析和正常访问,既影响用户体验、损害用户权益,也扰乱市场秩序。

每一个平台都应该认识到,提升用户体检,才能赢得用户认可;促进形成互联网发展良好环境,才能让平台得到更好发展。

]]>
德国警察局秘密购买NSO的间谍软件 Thu, 23 Sep 2021 05:43:33 +0800 联邦刑事警察不顾律师的反对,购买并使用了备受争议的以色列监控间谍软件。

多年来,德国联邦刑事警察局 (BKA)一直使用自己的内部监控软件,但由于软件过时,当局开始转向NSO。2017年,BKA与NSO 集团进行了接触。2019年,BKA正式从以色列公司NSO购买了臭名昭著的 Pegasus间谍软件。

议会消息人士称,联邦政府在闭门会议上将此次购买行为告知了联邦议院内政委员会。

尽管律师们仍然保持犹豫态度——因为监控工具的功能远远超出了德国隐私法所允许的范围,但是该软件依旧在“极度保密”的情况进行了采购。

”可能意味着所有提到的德国当局都使用间谍软件“

2020 年底,BKA获得了一个版本的Pegasus软件。自今年3月以来,已被用于有关恐怖主义和有组织犯罪的特定行动。

德国联邦宪法法院裁定,安全部门只允许在特殊情况下对监控对象的手机和电脑使用间谍软件,并且只能启动某些特定功能。虽然法律有所限制,但在实际应用上似乎确实是无限的。

近年来,德国政府三度被专门询问NSO间谍软件的使用情况,并且在很大程度上拒绝解释其使用情况或接受对其进行审查。

围绕NSO 和Pegasus 的争议一直没有停止。一直以来,NSO 向全球的警察和情报机构出售Pegasus监视工具。该工具本身功能强大,可以实时监视iPhone和Android 智能手机,启用麦克风和视频功能来记录对话和设置,读取位置数据并绕过聊天消息的加密。

]]>
奥林巴斯遭遇BlackMatter勒索软件袭击 Thu, 23 Sep 2021 05:43:33 +0800 奥林巴斯在周日的一份简短声明中说,它"目前正在调查一起影响其欧洲、中东和非洲计算机网络的潜在网络安全事件"。"在发现可疑活动后,我们立即动员了一个包括取证专家在内的专门应对小组,目前我们正以最优先的方式解决这个问题。作为调查的一部分,我们已经暂停了受影响系统的数据传输,并通知了相关的外部合作伙伴,"该声明说。

但据一位知情人士透露,奥林巴斯正在从9月8日凌晨开始的勒索软件攻击中恢复。在奥林巴斯周日承认这一事件之前,该人士分享了事件的细节。

一张留在受感染电脑上的勒索赎金字条声称是来自BlackMatter勒索软件组。它写道:"您的网络已被加密,目前无法运行。"如果你付钱,我们将为你提供解密的程序。"赎金字条还包括一个只有通过Tor浏览器才能访问的网站的网址,众所周知,BlackMatter使用该网站与受害者交流。

EMSIsoft的勒索软件专家和威胁分析员Brett Callow表示,勒索信中的网站与BlackMatter集团有关。

BlackMatter是一个勒索软件即服务组织,它是作为几个勒索软件组织的继承者而成立的,包括DarkSide和REvil,前者在Colonial Pipeline受到高调勒索软件攻击后最近宣称金盆洗手,后者在Kaseya攻击使数百家公司充斥勒索软件后也沉寂了数月。这两次攻击都引起了美国政府的注意,政府承诺如果关键基础设施再次受到攻击,将采取行动。

像BlackMatter这样的组织出租其基础设施的访问权,附属机构利用这些访问权发动攻击,而BlackMatter则从支付的赎金中抽成。Emsisoft还发现Darkside和BlackMatter之间存在技术联系和代码上的交集。

自6月该组织出现以来,Emsisoft已经记录了40多起归因于BlackMatter的勒索软件攻击,但受害者的总人数可能要高得多。

像BlackMatter这样的勒索软件组织通常在加密前从公司的网络中窃取数据,然后威胁说如果不支付解密文件的赎金,就在网上公布这些文件。另一个与BlackMatter有关的网站,即该组织用来宣传其受害者和兜售被盗数据的网站,在发表时还没有出现奥林巴斯的条目。

总部设在日本的奥林巴斯为医疗和生命科学行业制造光学和数字照相技术。直到最近,该公司还在制造数码相机和其他电子产品,直到它在1月份出售了其陷入困境的相机部门。

奥林巴斯表示,它"目前正在努力确定问题的程度,并将在有新信息时继续提供更新信息"。奥林巴斯的发言人Christian Pott没有回复要求发表评论的电子邮件和短信。

]]>
安全人员发现涉及以色列NSO Group的iOS软件漏洞 苹果声称已修复 Thu, 23 Sep 2021 05:43:33 +0800 Citizen Lab周一表示,以色列网络监控公司NSO Group发现苹果iPhone有漏洞,黑客可以用一种之前未见过的技术入侵苹果设备。这一发现相当重要,它意味着不需要用户的参与黑客就能影响所有版本的iOS、OSX、watchOS。苹果发消息称,在周一的软件更新中已经修复漏洞。

Citizen Lab表示,在一名未透露姓名的沙特活动人士的手机上发现这种恶意软件,该手机在今年2月曾被间谍软件感染。不知道还有多少人的设备曾被感染。用户不需要点击任何东西就能被攻击,没有任何迹象表明受到攻击。

漏洞存在于iMessage的自动图像渲染图像方式。之前iMessage也曾多次成为NSO及其它网络安全公司的目标,虽然苹果升级了架构,但并不能完全保护系统。

Citizen Lab研究人员John Scott-Railton说:“流行聊天软件正在成为设备安全的软肋,保证它们的安全应该成为最优先事务。”

]]>
安全周报(09.6-09.12) Thu, 23 Sep 2021 05:43:33 +0800

1、遭遇大规模DDoS攻击,俄罗斯银行业集体曝出访问故障


近日,一次针对俄罗斯银行业的大规模DDoS攻击,致使当地电信运营商Orange Business Services陷入“瘫痪”状态,由此引发了连锁反应,多家头部银行的在线业务访问出现波动甚至故障。
9月2日深夜,一次大规模DDoS攻击导致多家俄罗斯银行系统宕机,部分服务无法正常使用。在此期间,各银行用户纷纷遭遇支付与卡片服务问题。俄罗斯最大银行Sberbank、第二大银行VTB以及最大私营商业银行Alfa-Bank虽然经受住了考验,但他们的互联网服务商Orange Business Services却遇上了不小的麻烦。
一位银行代表指出,“通过互联网服务商执行的所有操作,包括通过固网线路、自动取款机、POS终端所接入的登陆点,都出现了一段时间的服务瘫痪。”
VTB则报告称,“我们的合作伙伴及其通信服务商的IT服务遭遇DDoS攻击,导致我们远程服务渠道中的客户支付业务受到影响。”
2、Fortinet 近50万虚拟专用网络帐户密码被黑客泄露

一名网络攻击者泄露了一份Fortinet 虚拟专用网络帐户和密码的名单,包含近50万用户。据称这些帐户和密码是从去年夏天的设备上窃取的。虽然威胁行方声称被利用的Fortinet漏洞已经被修补,但他们声称许多虚拟专用网络凭证仍然有效。

这是一个严重的数据泄露事件,因为虚拟专用网络凭据可能允许威胁行为者访问网络执行数据外泄、安装恶意软件和执行勒索软件攻击。

Fortinet 虚拟专用网络服务器管理员应该怎么做?

虽然无法合法验证凭据列表,但作为 Fortinet 虚拟专用网络服务器的管理员,应该假设列出的许多凭据都是有效的并积极采取预防措施。这些预防措施包括强制重置所有用户的密码,以确保安全,并检查您的日志,以防可能的入侵。如果有任何可疑的地方,应该立即确保安装了最新的补丁,进行更彻底的调查,并确保重置了用户的密码。

3、广东省惠州警方:“黑客”入侵某公司系统?原来是弱口令惹的祸

李先生是广东一家珠宝公司的老板。他工作很细致。公司运作有序,在工作上有过大的失误。一天,李先生的下属小刘突然跑进办公室:“老板,我们的客户管理系统遭到黑客攻击,20多万客户数据被泄露!

李先生:“不可能啊!这系统是我花大价钱搞的!这么容易就被黑了?”

李先生不敢相信他的客户管理系统花费了大量的资金来建立专业的团队,而且每天都有技术人员来维护。怎么能被黑客入侵?

2021年8月,广东惠州网警接到报警,报案人称有“黑客”侵入其珠宝公司系统后台并大量获取客户信息。惠州网警经过深入研判分析最终锁定嫌疑人,并将其抓获。原来,这个犯罪嫌疑人朱某曾是该珠宝公司员工。

该员工自2020年7月离职。为了牟利,他用原公司账号密码(123456) 登陆公司客户管理系统,获取大量客户个人信息……对,你没看错,并不是什么高端的“黑客”入侵,过程就是这么简单。

可以说,因为账户密码过于简单而造成的信息泄露事件,比比皆是

从这些数据泄露事件中我们发现,人群规模大小不等,少则几万多则上千万,且被泄露的数据,内容维度多到难以想象,横跨医疗、教育、金融等多个行业。

而最大的数据泄漏原因,依旧是系统配置不当,包括身份验证和密码薄弱。

弱密码是个巨大的隐患,不能定期修改密码风险也很大。根据《我国公众网络安全意识调查报告》显示,被调查者中定期更换密码的仅占18.36%,而遇到问题才更换密码的被调查者占比64.59%,另外17.05%的被调查者从来不更换密码。

4、突发!联合国遭网络入侵,大量内部数据或泄露

联合国披露,内部网络在今年4月遭到入侵;

据报告该事件的安全公司Resecurity称,攻击者可能使用了暗网泄露的联合国员工账户,并窃取了大量内部数据(联合国未予置评);攻击者的身份和动机均未知,泄露账号在暗网仅售1000美元,未开启二次验证。

联合国秘书长发言人斯特凡·杜加里克在9月9日在一份声明中表示:“我们可以确认,不明身份的攻击者能够在2021年4月入侵联合国的部分基础设施。” “联合国经常成为网络攻击的目标,包括持续的入侵行动。我们还可以确认,已经发现并正在响应与之前的违规行为有关的进一步攻击。”

泄露账号未开启二次验证,联合国内部数据或泄露

泄露凭证属于联合国专有项目管理软件Umoja上的某个账户。据发现此次事件的网络安全公司Resecurity表示,黑客能够借此深入访问联合国网络。目前了解到,黑客掌握联合国系统访问权的最早日期为4月5日,截至8月7日他们在联合国网络上仍然保持活跃。

Resecurity公司在今年早些时候向联合国通报了此次最新违规事件,并与联合国内部安全团队合作确定了攻击的范围。联合国的杜加里克表示,内部已经发现了这次袭击。Resecurity公司称,联合国官员告知Resecurity公司,这次黑客攻击属于侦察行为,黑客只是在内部网络上截取了屏幕截图。而当Resecurity公司提交了失窃数据证据之后,联合国停止了与该公司联系。

]]>
Fortinet 近50万虚拟专用网络帐户密码被黑客泄露 Thu, 23 Sep 2021 05:43:33 +0800 一名网络攻击者泄露了一份Fortinet 虚拟专用网络帐户和密码的名单,包含近50万用户。据称这些帐户和密码是从去年夏天的设备上窃取的。

虽然威胁行方声称被利用的Fortinet漏洞已经被修补,但他们声称许多虚拟专用网络凭证仍然有效。

这是一个严重的数据泄露事件,因为虚拟专用网络凭据可能允许威胁行为者访问网络执行数据外泄、安装恶意软件和执行勒索软件攻击。

Fortinet 凭据在黑客论坛上泄露

Fortinet凭据列表由名为“Orange”的威胁行为者免费泄露,他是新成立的RAMP 黑客论坛的管理员,也是Babuk 勒索软件的前运营商。

在Babuk团伙成员之间发生争执后,Orange分道扬镳启动RAMP,现在被认为是新 Groove勒索软件行动的代表。

9月8日,威胁行为者在RAMP论坛上创建了一个帖子,其中包含一个指向据称包含数千个Fortinet 虚拟专用网络帐户的文件的链接。

与此同时,Groove勒索软件的数据泄露站点上出现了一篇帖子,也宣传Fortinet 虚拟专用网络泄露事件。

这两篇文章都指向了一个托管在Tor存储服务器上的文件,Groove团伙使用该服务器托管被盗文件,迫使勒索软件受害者支付赎金。

BleepingComputer对该文件的分析显示,它包含了超过12,856台设备的498,908名用户的虚拟专用网络凭据。

虽然我们没有测试泄漏的任何凭据是否有效,但BleepingComputer可以确认我们检查的所有IP地址都是Fortinet 虚拟专用网络服务器。

Advanced Intel进行的进一步分析表明,这些IP地址是用于全球设备的,其中2959个设备位于美国,还涉及大量中国用户。

Kremez在采访中表示,这些数据泄露由于Fortinet 存在的一个CVE-2018-13379 漏洞被利用导致。

一位网络安全行业的消息人士称,他们已经完成了合法验证,可以证明其中至少一部分泄露的凭证真实有效。

目前还不清楚攻击者为什么要公开凭证、而不是自行使用,但据称这么做是为了宣传RAMP黑客论坛,并帮助Groove勒索软件即服务打开市场。

Advanced Intel CTO Vitali Kremez表示,“我们非常有信心地相信虚拟专用网络SSL泄漏很可能是为了推广新的RAMP 勒索软件论坛,为想要成为勒索软件运营商的人提供“免费赠品”。

Groove是一个相对较新的勒索软件操作,目前在其数据泄露网站上只有一名受害者。然而,通过向网络犯罪社区提供免费赠品,他们可能希望招募其他威胁行为者加入他们的附属系统。

Fortinet 虚拟专用网络服务器管理员应该怎么做?

虽然无法合法验证凭据列表,但作为 Fortinet 虚拟专用网络服务器的管理员,应该假设列出的许多凭据都是有效的并积极采取预防措施。

这些预防措施包括强制重置所有用户的密码,以确保安全,并检查您的日志,以防可能的入侵。如果有任何可疑的地方,应该立即确保安装了最新的补丁,进行更彻底的调查,并确保重置了用户的密码。

数据是网络运营的核心,随着大数据时代加快社会发展,数据企业及个人数据在生产生活中不断传输运转。数据也是网络攻击者用以勒索的”筹码“,在多起重大勒索事件中,企业花费巨额赎金才确保数据安全。

]]>
遭遇大规模DDoS攻击,俄罗斯银行业集体曝出访问故障 Thu, 23 Sep 2021 05:43:33 +0800 近日,一次针对俄罗斯银行业的大规模DDoS攻击,致使当地电信运营商Orange Business Services陷入“瘫痪”状态,由此引发了连锁反应,多家头部银行的在线业务访问出现波动甚至故障。

9月2日深夜,一次大规模DDoS攻击导致多家俄罗斯银行系统宕机,部分服务无法正常使用。在此期间,各银行用户纷纷遭遇支付与卡片服务问题。

俄罗斯最大银行Sberbank、第二大银行VTB以及最大私营商业银行Alfa-Bank虽然经受住了考验,但他们的互联网服务商Orange Business Services却遇上了不小的麻烦。

一位银行代表指出,“通过互联网服务商执行的所有操作,包括通过固网线路、自动取款机、POS终端所接入的登陆点,都出现了一段时间的服务瘫痪。”

VTB则报告称,“我们的合作伙伴及其通信服务商的IT服务遭遇DDoS攻击,导致我们远程服务渠道中的客户支付业务受到影响。”

Sberbank则报告称,9月2日有外部服务商出现故障状况,可能导致个别服务的操作发生短暂延迟。

Afla-Bank也报告称,“Downdetector资源记录中的部分报告,可能与当地一家互联网服务商遇到的问题有关。”

Orange Business Services俄罗斯及独联体地区运营总监Olga Baranova表示,自8月9日以来,公司的网络威胁监控中心持续记录到使用放大式攻击等手段对金融客户发动攻击,并利用加密协议(HTTPS)实施其他攻击。

她补充道,“这些攻击甚至目前仍在持续,峰值状态下流量可达100 Gbps左右。另外,从检测到的攻击数量而言,今年8月单月的攻击总量就与去年全年持平。”

正如Qrator Labs创始人兼CEO Alexander Lyamin所言,放大攻击针对的是通信渠道,而HTTPS或应用层攻击则将矛头直接指向应用程序本体。他总结道,“这类DDoS攻击危险度最高,因为它们能够模拟合法流量,因此难以得到检测与消除。”

]]>
巴奴火锅储值卡遭黑客攻击,涉及储值卡金额超55万 Thu, 23 Sep 2021 05:43:33 +0800 近日,河南郑州有多位消费者向媒体求助,称自己通过闲置交易平台闲鱼购买的巴奴毛肚火锅储值卡被冻结无法使用。

对此,巴奴方面也做了详细解释:“由于系统被黑客入侵,手中的充值卡都是非法卡。”

值得注意的是,持有被冻结储值卡的三位消费者均是从闲鱼上的同一卖家处购买,且均享受了购买储值卡时的八折优惠,三人的充值卡金额加起来在十万元左右。其中,一位消费者充值金额达六万余元。

巴奴火锅储值卡遭攻击,黑客1块9盗刷54万

9月7日,据河南广播电视台民生频道《大参考》报道,接多省市消费者反映,自己八折价格通过二手平台购买的巴奴毛肚火锅储值卡被冻结,导致无法正常使用。

对于储值卡被冻结无法使用的原因,有报道称在今年6月,巴奴火锅20周年储值卡活动期间,用户购买如“1000元赠100元”、“2000元赠200元”等20周年纪念卡。

但巴奴称公司内部进行数据清理时,发现一批20周年纪念卡订单不正常,这些订单实际支付金额仅有1分钱。经统计,疑似“黑客”共花1.9元充值近54万元,然后在二手平台上售卖。巴奴发现这一违法行为后报警并冻结这部分非法充值卡。

目前公安机关已立案调查,案件还在进一步侦破当中。

企查查APP显示,巴奴火锅关联公司为巴奴毛肚火锅有限公司,法定代表人、执行董事为巴奴火锅创始人杜中兵。据官网显示,目前巴奴已拥有85家直营店、3个中央厨房、1个底料加工厂,5000多名员工。店面覆盖北京、上海、西安、苏州、南京、郑州等20多个城市。

巴奴:对受害消费者“全额补助”

9月8日,巴奴也发布了事件的声明。声明中,巴奴不仅通报了此事报警后的后续进展,还对受害消费者做了以储值卡“全额补助”的承诺,并宣布将对不法分子依法追责。据悉,此次事件共涉及消费者27名,第三方品牌售出金额为275500元,涉及储值会员卡金额共551900元。

巴奴相关负责人表示,虽然巴奴也是受害者,但考虑到顾客是相对弱势一方,巴奴愿意对顾客的损失进行相应的补助。目前巴奴已经成立了针对此事件的工作小组,会安排专人联系涉及此事件的顾客,对接后续的补助事宜。

该负责人告诉记者,巴奴已第一时间升级加固了系统,解决了系统漏洞,目前所有顾客的储值都是安全的,请大家放心。

巴奴发布的声明中显示,未来将进一步加强信息系统安全建设,不给不法分子可乘之机。同时,巴奴提醒顾客,为避免造成经济上的损失,请务必通过巴奴官方渠道进行储值卡购买。建议大家下载国家反诈中心APP,加强防范,避免上当受骗。

巴奴的声明也在网上也引起了强烈反响,网友纷纷为巴奴点赞:

“宁可自己亏,也不能亏了食客,巴奴好样的。”

“事不在巴奴,但是还是全额补助,为这样的企业点赞。”

“巴奴首先赔偿了消费者的损失,然后报案寻找非法攻击巴奴计算机漏洞的人,无论追偿结果如何,巴奴这次做得对,不能让客户受损失,展现出了企业的担当!”

“中招”的餐企真不少

线上营销对于餐饮企业来说已不稀罕,电子券、会员优惠储值已成为常用的营销辅助手段。然而,线上渠道也是黑客攻击的重灾区,网络安全事故频频发生,海底捞、麦当劳、肯德基等企业都曾出现线上“安全门”。

此前,肯德基被5名大学生“薅羊毛”20多万元,就是利用肯德基客户端点餐漏洞,套取套餐兑换券,然后将诈骗得来的套餐产品低价出售给他人,从中获利。最终,法院认定5人犯诈骗罪和传授犯罪方法罪,判处不同刑期有期徒刑并处罚金。

今年6月,全国扫黄打非办公室通报了一件诈骗案件,就是闹得沸沸扬扬的“海底捞红包”事件。某团伙采取散布“海底捞红包”等谣言方式非法引流,引导网民关注其微信公众号,再通过微信公众号传播淫秽色情小说,诱导用户充值进行非法牟利,涉案金额2000余万元。对此,海底捞表示,海底捞相关活动均通过官方渠道发出,这种假冒红包的跳转链接均不可信。

此前,麦当劳也遭到黑客攻击,造成其在美国、韩国和中国台湾地区的数据少量泄露。该公司发现内部安全系统中出现未经授权的活动,于是聘请了第三方顾问展开调查并切断了连接。

网络时代,企业、消费者需加强防范

针对巴奴此次事情,上海德禾翰通(郑州)律师事务所合伙人王枫律师表示,“黑客”的行为涉及两个罪名:第一,构成《刑法》第二百八十六条破坏计算机信息系统罪,侵害计算机信息系统的安全,就本事件而言就是破坏了巴奴公司储蓄卡系统,达到小额充值甚至不充值将储蓄金额篡改为50余万元的结果;第二,构成刑法第二百六十六条诈骗罪,将明知是非法充值的充值卡以打折名义销售,诈骗消费者的钱财。

遇到这样的情况,企业应如何维权和自保?王枫建议,首先应第一时间报警,这一点巴奴已经做到了。同时,企业应当第一时间冻结账户,设立举报、投诉、核验充值等渠道,分别在线上和线下提醒,尤其是在官网、微信公众平台、微博等发布声明提醒消费者不要上当受骗,非官方充值渠道均不可信。

网络时代,企业和消费者都应当关注信息数据安全,增强防范意识。王枫认为,企业应加强数字化建设,强化数字化运营,加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施,及时告知用户并向有关主管部门报告。而作为消费者,不要一味贪图便宜,应认准官方渠道、了解企业充值活动规则,不要相信较低折扣,看到第三方低价充值第一时间投诉举报。

]]>
上万台Fortinet VPN设备登录凭证泄露:超一成位于中国 Thu, 23 Sep 2021 05:43:33 +0800 日前,有攻击者在黑客论坛放出了一份近50万条Fortinet VPN设备登录凭证清单,据分析里边包含12856台设备上的498908名用户的VPN登录凭证;

安全研究人员发现,这些Fortinet VPN设备的IP分布在全球各地,其中位于中国(大陆+台湾)的设备占比11.89%,台湾占比8.45%,大陆占比3.44%;

掌握VPN凭证的攻击者很可能访问目标网络,进而实施数据窃取、恶意软件安装与勒索软件攻击等活动。

日前,一名威胁行为者泄露了一份包含近50万条Fortinet VPN登录名与密码的庞大清单,据称这些名称与密码窃取自去年夏天的一次网络入侵活动。

虽然威胁行为者宣称,当时利用的Fortinet漏洞已被修复,但其中相当一部分VPN凭证仍然真实有效。

此次泄露后果严重,掌握VPN凭证的攻击者很可能访问目标网络,进而实施数据窃取、恶意软件安装与勒索软件攻击等活动。

Fortinet凭证被公布在黑客论坛之上

这次泄露的Fortinet凭证清单来自一名昵称为“Orange”的攻击者,他也是新近上线的RAMP黑客论坛的管理员以及Babuk勒索软件团伙的前任成员。

在与Babuk团伙的其他成员发生争执之后,Orange决定分道扬镳并成立RAMP,如今已经成为新的Groove勒索软件团伙的代表。

昨天,这名攻击者在RAMP上发了个新帖,其中包含一条据称指向数千个Fortinet VPN账户文件的链接。

与此同时,Groove勒索软件的数据泄露站点上也出现了一篇帖子,宣称已经有大批Fortiner VPN外泄。

这两篇帖子都指向Groove团伙用于托管被盗文件的Tor存储服务器上的同一个文件,目的自然是逼迫勒索攻击受害者支付赎金。

根据对这个文件的分析,我们发现其中包含12856台设备上的498908名用户的VPN凭证。

虽然我们还没有测试这些泄露凭证是否有效,但至少可以确定被抽样的所有IP地址均来自Fortinet VPN服务器。

安全厂商Advanced Intel的进一步分析表明,这些IP地址来自全球各地的多台设备,其中有2959台位于美国。

Kremez在采访中表示,这些凭证的外泄源自Fortinet曝出的CVE-2018-13379漏洞。飞塔确认:2019年已公布漏洞修复方案。

一位网络安全行业的消息人士告诉我们,他们已经完成了合法验证,可以证明其中至少一部分泄露的凭证真实有效。

目前还不清楚攻击者为什么要公开凭证、而不是自行使用,但据信这么做是为了宣传RAMP黑客论坛,并帮助Groove勒索软件即服务打开市场。

Advanced Intel CTO Vitali Kremez在采访中表示,“我们有一定的信心认为,这一波信息VPN SSL泄露很可能是为了宣传新的RAMP勒索软件论坛,这份清单就是给那些想搞勒索软件攻击的潜在用户们的「免费赠品」。”

Groove是一股相对较新的勒索软件势力,此次泄露的数据中出现了他们的一位受害者。但通过向网络犯罪社区提供免费赠品,他们可能希望能将其他攻击者招募到自己的附属体系当中。

Fortinet VPN服务器管理员该如何应对?

虽然无法合法验证凭证清单,但作为Fortinet VPN服务器管理员,大家应当假设此次泄露的凭证真实有效并及时采取预防措施。

具体预防措施包括强制重置所有用户密码以确保安全,并检查日志以验证是否已经遭到入侵。

若有任何可疑之处,请保证安装最新补丁并进一步彻底调查,同时立即对用户密码进行重置。

]]>
广东省惠州警方:“黑客”入侵某公司系统?原来是弱口令惹的祸 Thu, 23 Sep 2021 05:43:33 +0800 李先生是广东一家珠宝公司的老板。他工作很细致。公司运作有序,在工作上有过大的失误。

一天,李先生的下属小刘突然跑进办公室:“老板,我们的客户管理系统遭到黑客攻击,20多万客户数据被泄露!”

李先生:“不可能啊!这系统是我花大价钱搞的!这么容易就被黑了??!”

李先生不敢相信他的客户管理系统花费了大量的资金来建立专业的团队,而且每天都有技术人员来维护。怎么能被黑客入侵?

2021年8月,广东惠州网警接到报警,报案人称有“黑客”侵入其珠宝公司系统后台并大量获取客户信息。

惠州网警经过深入研判分析最终锁定嫌疑人,并将其抓获。原来,这个犯罪嫌疑人朱某曾是该珠宝公司员工。

该员工自2020年7月离职。为了牟利,他用原公司账号密码(123456) 登陆公司客户管理系统,获取大量客户个人信息……对,你没看错,并不是什么高端的“黑客”入侵,过程就是这么简单。

可以说,因为账户密码过于简单而造成的信息泄露事件,比比皆是。

从这些数据泄露事件中我们发现,人群规模大小不等,少则几万多则上千万,且被泄露的数据,内容维度多到难以想象,横跨医疗、教育、金融等多个行业。

而最大的数据泄漏原因,依旧是系统配置不当,包括身份验证和密码薄弱。

弱密码是个巨大的隐患,不能定期修改密码风险也很大。根据《我国公众网络安全意识调查报告》显示,被调查者中定期更换密码的仅占18.36%,而遇到问题才更换密码的被调查者占比64.59%,另外17.05%的被调查者从来不更换密码。

]]>
突发!联合国遭网络入侵,大量内部数据或泄露 Thu, 23 Sep 2021 05:43:33 +0800 联合国披露,内部网络在今年4月遭到入侵;

据报告该事件的安全公司Resecurity称,攻击者可能使用了暗网泄露的联合国员工账户,并窃取了大量内部数据(联合国未予置评);

攻击者的身份和动机均未知,泄露账号在暗网仅售1000美元,未开启二次验证。

今年早些时候,黑客成功入侵联合国的计算机网络,并窃取到大量可用于攻击联合国组织的机构内部数据。

黑客获取联合国网络访问权的方法似乎非常简单:他们很可能使用了从暗网上购买到的联合国员工的失窃用户名与密码。

联合国秘书长发言人斯特凡·杜加里克昨天(9月9日)在一份声明中表示:“我们可以确认,不明身份的攻击者能够在2021年4月入侵联合国的部分基础设施。” “联合国经常成为网络攻击的目标,包括持续的入侵行动。我们还可以确认,已经发现并正在响应与之前的违规行为有关的进一步攻击。”

联合国和它的关联机构之前也曾沦为黑客攻击的目标。2018年,荷兰与英国执法部门联手挫败了俄罗斯对禁止化学武器组织实施的网络攻击,当时该组织正在调查俄罗斯在英国本土使用致使神经毒剂。据福布斯报道,2019年8月,在一次针对微软SharePoint平台已知漏洞的网络攻击中,联合国“核心基础设施”遭到破坏,在外部机构曝光前这次事件一直没有公开披露。

泄露账号未开启二次验证,联合国内部数据或泄露

泄露凭证属于联合国专有项目管理软件Umoja上的某个账户。据发现此次事件的网络安全公司Resecurity表示,黑客能够借此深入访问联合国网络。目前了解到,黑客掌握联合国系统访问权的最早日期为4月5日,截至8月7日他们在联合国网络上仍然保持活跃。

Resecurity公司在今年早些时候向联合国通报了此次最新违规事件,并与联合国内部安全团队合作确定了攻击的范围。联合国的杜加里克表示,内部已经发现了这次袭击。

Resecurity公司称,联合国官员告知Resecurity公司,这次黑客攻击属于侦察行为,黑客只是在内部网络上截取了屏幕截图。而当Resecurity公司提交了失窃数据证据之后,联合国停止了与该公司联系。

黑客使用的Umoja账户并未启用双因素身份验证,这是一项基础安全功能。根据今年7月Umoja网站上的公告,该系统已经迁移至微软Azure,这套云平台直接提供多因素身份验证机制。Umoja的迁移公告称,此举“降低了网络安全风险”。

Resecurity公司表示,在最近这次入侵中,黑客试图找出关于联合国计算机网络架构设计的更多信息,并妥协了53个联合国账户。目前尚无法确定黑客究竟是谁,他们又为什么要入侵联合国网络。

攻击者的身份和动机均未知,泄露账户在暗网仅售1000美元

黑客组织的侦察活动可能是为了筹备后续攻击,也可以是打算把信息出售给试图入侵联合国的其他团伙。

Resecurity公司的首席执行官Gene Yoo称,“像联合国这样的组织是网络间谍活动中的高价值目标。攻击者入侵的目的是窃取联合国网络中的大量用户数据,以进一步进行长期的情报收集。”

Recorded Future公司高级威胁分析师Allan Liska表示,“从传统上讲,像联合国这样的组织一直是民族国家攻击者的主要目标。但随着网络犯罪分子逐渐找到更有效的被盗数据货币化方法,也随着初始访问者频繁出售自己掌握的入侵资源,如今的攻击活动正表现出愈发明确的针对性与渗透趋势。”Liska还提到,他自己曾亲眼在暗网上见到过在售的联合国雇员用户名和密码。

威胁情报公司Intel 471首席执行官Mark Arena表示,这些凭证来自多名讲俄语的网络犯罪分子,售价则仅为区区1000美元。

Arena总结道,“自2021年初以来,我们已经发现多名出于经济动机的网络犯罪分子在出售联合国Umoja系统的访问权限。这些参与者会同时出售来自多个犯罪团伙的泄露凭证。结合之前的经验,这些被盗的凭证会被出售给其他网络犯罪分子,再由他们用于实施后续入侵活动。”

彭博社查看了相应的暗网广告,发现其中至少有三个市场,最晚到7月5日还仍在出售这些联合国账户凭证。

]]>
REvil勒索团伙疑似回归,服务器重新上线 Thu, 23 Sep 2021 05:43:33 +0800 9月8日,许多研究人员注意到,REvil勒索软件团伙的服务器在关闭约两个月后重新上线。

REvil勒索软件团伙的暗网网站(也被称为快乐博客,Happy Blog)已经重新上线,但其站点decoder[.]re仍处于离线状态。目前尚不清楚是REvil恢复了运作,还是执法部门(FBI)暂时上线了其服务器和网站。

REvil回归了?

当天,REvil的Tor支付/谈判网站和泄露数据交易网站 "快乐博客 "都突然重新上线了。

在快乐博客上,最新记录的受害者来自2021年7月8日。而Tor支付/谈判网站似乎只是部分恢复,虽然它显示了登录屏幕,但它不允许受害者登录该网站。

目前还不清楚,REvil是在Kaseya大规模勒索软件攻击后迫于执法部门的压力而关闭了业务,还是被执法部门查封。

REvil勒索软件团伙,又名Sodinokibi。7月2日,REvil利用Kaseya VSA远程管理软件的零日漏洞,加密了大约60个管理服务提供商(MSPs)和1500多家企业客户。

起初,REvil要求MSPs支付500万美元来换取解密器,或为每家企业的加密扩展程序支付44999美元。

后来,该团伙提出以打包价7000万美元解密所有被加密数据的企业,随后它又将赎金价格降至5000万美元。

攻击发生后,REvil面临着执法部门和白宫的双重压力。白宫向REvil组织者所在地施压,警告称,如果俄罗斯不对REvil勒索软件团伙采取行动,美国将自己采取行动。

不久之后,REvil勒索软件团伙在网络消失,他们所有的Tor服务器和基础设施都被关闭。

从7月13日开始,REvil勒索软件团伙使用的基础设施和网站都无法访问,包括Tor网站、支付网站 、decoder[.]re 和后台基础设施都同时下线。

]]>
微软警告,IE浏览器零日漏洞正被在野利用 Thu, 23 Sep 2021 05:43:33 +0800 9月8日,微软安全团队警告,IE浏览器中的一个零日漏洞正被积极利用,恶意的微软Office文档可以借用该漏洞对计算机发起攻击。

该漏洞被追踪为 CVE-2021-40444,影响到微软的 MHTML,也被称为 Trident,即IE浏览器引擎,该漏洞可造成远程代码执行,CVSS评分8.8。

MSHTML是IE浏览器的主要HTML组件,也被用于其他应用程序。在 Office 中用于在其中呈现 Web 内容Word、Excel 和 PowerPoint 文档。

该漏洞由Mandiant研究人员Bryce Abdo、Dhanesh Kizhakkinan和Genwei Jiang以及EXPMON的Haifei Li报告。

"微软公司意识到有针对性的攻击,试图通过使用特别制作的微软 Office 文档来利用这一漏洞。"微软在公告中写道。

攻击者可以制作一个恶意的ActiveX控件,由承载浏览器渲染引擎的微软Office文档来使用。然后,攻击者需要说服用户打开该恶意文件。

微软称,帐户被配置在系统上并拥有较少用户权限的用户,可能比以管理用户权限操作的用户受到的影响要小。

关于攻击的细节、目标,以及利用这个零日的攻击者,微软都没有公开。微软计划在下周的补丁星期二活动日中修复这个漏洞。微软敦促客户禁用IE中的所有ActiveX控件,以避免潜在的攻击。

]]>
与陌生人“屏幕共享”存在极大风险 Thu, 23 Sep 2021 05:43:33 +0800 近年来,随着线上会议的广泛运用,“屏幕共享”逐渐普及,给工作和生活带来便利的同时,也被不法分子利用以实施新型诈骗,出现在“冒充公检法”“快递理赔”“网购退款”“注销校园贷”等各类骗局中。9月8日,北京银保监局发布金融知识普及月系列活动第二则风险提示,提醒消费者奏响防范四部曲,远离“屏幕共享”骗局。

近日,沙女士接到“00”开头的陌生来电,对方自称是她户籍所在地的“警察”,让她登录“中华人民共和国公安部”网站查看“逮捕令”。对方称,目前案件由警方侦办,要求其添加办案民警QQ接受调查。沙女士登录网站后,一看到“逮捕令”,心里顿时慌起来。而后,对方以查验资金流水为由,要求沙女士下载某视频会议软件App,打开“屏幕共享”功能,登录银行账户,将余额展示给对方查验。对方并没有让沙女士转账至“安全账户”,而是让她将钱转至其本人名下另一张银行卡,沙女士完全信任对方并进行转账。过程中,对方获取了沙女士的脸部认证,进而直接盗转了沙女士银行卡内资金。

据了解,目前“屏幕共享”还出现在“快递理赔”“网购退款”“注销校园贷”等诈骗套路的环节之中。

原来,“屏幕共享”功能会把屏幕上显示的内容全都记录下来,并同步让对方看到,不法分子可以实时监控用户手机的所有操作,不仅包括输入密码、解锁的过程,还有弹框显示短信、微信、其他App推送的内容。由此,不法分子就轻松获得了受害人的银行账户信息及短信验证码等,从而转走受害人卡内资金。

提示防范四部曲

远离“屏幕共享”骗局

首先要知风险。与陌生人“屏幕共享”存在极大风险,对方能清楚地看到出现在自己屏幕上的所有内容,需保持警惕,切勿轻信不法分子说辞,不给不法分子可乘之机。

其次要不共享。提升个人信息保护意识,不与陌生人开启“屏幕共享”,不在“屏幕共享”的情况下打开支付软件、银行账户等操作界面或进行涉及输入密码、转账汇款等相关操作。另外,涉及本人面部、指纹、虹膜等生物识别信息等也千万不可泄露,避免重要信息被不法分子窥取。

第三要速报案。如发觉自己或家人可能被骗,请第一时间报警,善用法律武器维护自身合法权益。同时,请尽快致电银行客服热线办理卡片挂失,及时止损。

第四要勤更换。养成保护自身数据安全的习惯,建议在不同银行和不同网站中设置不同的用户名及登录密码,密码尽量复杂。同时,建议每个银行卡设置不同的交易密码,以防发生一个密码丢失,多个账户受损的情况。

]]>
黑客曝光50万Fortinet VPN用户的登录凭证 Thu, 23 Sep 2021 05:43:33 +0800 一份包含 50 万名 Fortinet VPN 用户的登录凭证近日被黑客曝光,据称这些凭证是去年夏天从被利用的设备上刮取的。该黑客表示,虽然被利用的 Fortinet 漏洞后来已经被修补,但他们声称许多 VPN 凭证仍然有效。

这次泄漏是一个严重的事件,因为 VPN 凭证可以让威胁者进入网络进行数据渗透,安装恶意软件,并进行勒索软件攻击。Fortinet 凭证清单是由一个被称为“Orange”的黑客免费泄露的,他是新发起的 RAMP 黑客论坛的管理员,也是 Babuk 勒索软件行动的前操作者。

在 Babuk 团伙成员之间发生纠纷后,Orange 分裂出来创办 RAMP,现在被认为是新的 Groove 勒索软件行动的代表。昨天,该黑客在 RAMP 论坛上创建了一个帖子,其中有一个文件的链接,据称该文件包含成千上万的 Fortinet VPN 账户。同时,Groove 勒索软件的数据泄漏网站上出现了一个帖子,也在宣传 Fortinet VPN 的泄漏。

这两个帖子都指向一个文件,该文件托管在Groove团伙用来托管被盗文件的Tor存储服务器上,以迫使勒索软件受害者付款。外媒 BleepingComputer 对这个文件的分析显示,它包含了 12856 台设备上 498,908 名用户的 VPN 凭证。

外媒没有测试任何泄露的凭证是否有效,但可以确认我们检查的所有 IP 地址都是 Fortinet 的 VPN 服务器。Advanced Intel 进行的进一步分析显示,这些 IP 地址是全球范围内的设备,有 2959 个设备位于美国。

目前还不清楚为什么威胁者发布了这些凭证,而不是为自己所用,但据信这样做是为了推广RAMP黑客论坛和Groove勒索软件即服务行动。高级英特尔首席技术官 Vitali Kremez 告诉 BleepingComputer:“我们高度相信,VPN SSL的泄漏很可能是为了推广新的RAMP勒索软件论坛,为想做勒索软件的人免费提供”。

]]>
联合国证实其网络曾于今年4月受到黑客攻击 Thu, 23 Sep 2021 05:43:33 +0800 联合国9月9日证实,今年早些时候联合国的网络受到了黑客攻击。根据彭博社的报道,黑客于4月初入侵了联合国的网络系统,利用从黑网购买的一名联合国雇员的登录账号窃取数据。联合国秘书长古特雷斯的发言人斯特凡纳·迪雅里克在一份声明中表示,“我们可以证实,身份不明的袭击者在2021年4月破坏了联合国的部分基础设施。”

彭博社援引网络安全公司Resecurity的调查结果报道了这一事件。Resecurity公司发现,黑客于8月初还在联合国网络上活动。

迪雅里克9日表示,联合国在Resecurity公司向其通报之前已经发现了黑客的攻击并做出了反应,以减轻影响。他补充道,联合国经常成为网络攻击的目标,联合国还检测到了与之前黑客攻击相关的进一步攻击,并正在采取措施。

]]>
全球超200万服务器仍运行过时IIS组件 Thu, 23 Sep 2021 05:43:33 +0800 根据市场调查机构 CyberNews 公布的最新研报,全球有超过 200 万台网络服务器依然在运行过时且容易受到攻击的微软互联网信息服务(IIS)旧版本。IIS 占全球市场的 12.4%,是第三大最受欢迎的网络服务器软件套件,用于支持至少 5160 万个网站和网络应用。

不过,早于 7.5 的旧版本 IIS 已经不再受到微软的支持。与其他类型的过时服务器软件一样,微软IIS的所有遗留版本都存在许多关键的安全漏洞,使它们成为威胁者的一个有吸引力的目标。

CyberNews 研究人员使用一个物联网搜索引擎,寻找容易受到已知 CVE 影响的未打补丁的 IIS 网络服务器。在过滤掉蜜罐(安全团队使用的诱饵系统)后,他们发现了 2,033,888 个易受攻击的服务器。由于承载公共网站的服务器必须是可公开访问的,以发挥其功能,它们也在广播其过时的 IIS 版本,供所有人看到。

CyberNews 安全研究员 Mantas Sasnauskas 说:“这意味着在明显有漏洞的软件上运行这些服务器,等于向威胁者发出了渗透到他们网络的邀请”。目前国内有 679,941 个运行传统版本 IIS 的暴露实例,位居易受攻击的服务器地点之首。美国有 581,708 台未受保护的服务器,位居第二。

ThreatX 的首席技术官 Andrew Useckas 表示:“中国之所以有如此多运行旧版 IIS 的服务器,是因为它们比 Linux 服务器更容易安装,而且由于使用盗版绕过了许可证费用。而这些安装盗版的用户也不知道如何进行维护,更别说进行升级了”。

]]>
南非司法部网络系统遭到黑客攻击陷入瘫痪 Thu, 23 Sep 2021 05:43:33 +0800 南非司法部当地时间9月9日宣布,其网络系统遭到黑客攻击,导致所有信息系统都被加密,内部员工和公众已无法使用。南非司法部称,没有迹象表明数据已泄露,其IT团队正在努力修复系统。目前签发授权书、保释服务、电子邮件和部门网站浏览等功能受到影响。

南非司法部已启动人工服务确保法庭如期开庭,并为需要死亡证明的家属提供相关文件。


]]>
大型组织防止勒索软件攻击需要做的九件事 Thu, 23 Sep 2021 05:43:33 +0800 勒索软件攻击已经成为影响所有行业和组织的大问题,考虑到这些攻击可能对各类组织造成的影响,安全专业人员需要以新的方式保护他们的系统、网络和软件。

勒索软件是一种特定类型的恶意软件,它通过破坏数据来要挟受害者。钓鱼邮件就是一种常见的传播方式,但勒索软件也可以通过偷渡式下载下载传播,即当用户访问一个受感染的网站时,攻击会在用户不知情或未同意的情况下,在计算机上安装有害应用程序。高级攻击需要几秒钟的时间来破坏终端,勒索软件攻击需要几秒钟的时间来破坏系统和基础设施。随着攻击变得越来越复杂,勒索软件的影响已经超越了财务损失的范畴。

企图攻击和数据泄露是不可避免的,没有组织愿意被迫在支付赎金和丢失重要数据之间做出选择。幸运的是,这并不是唯一的选择。最好的选择是从一开始就避免被迫做出这个决定。这种方法需要一个分层的安全模型,其中包括由主动的全球威胁情报提供支持的网络、终端、应用程序和数据中心控制。考虑到这一点,有9件事要考虑,以便让组织有最好的机会避免勒索软件攻击。

 1.电子邮件网关安全和沙箱

电子邮件是攻击者最常用的攻击手段之一,一个安全的电子邮件网关解决方案应该提供先进的多层保护,可抵御各种电子邮件传播的威胁。沙箱技术提供了额外的一层保护。任何通过电子邮件过滤器但仍然包含未知链接、发件人或文件类型的电子邮件,都可以在它到达网络或邮件服务器之前进行测试。

 2. Web应用安全/防火墙技术

web应用防火墙(WAF)通过过滤和监控进出web服务的HTTP流量来帮助保护web应用程序。它是一个关键的安全要素,因为它是缓解网络攻击的第一道防线。当组织执行新的数字计划时,攻击面也会随着扩大。由于web服务器漏洞、服务器插件或其他问题,新的web应用程序和应用程序编程接口(API) 可能会暴露在危险的流量中。WAF有助于确保这些应用程序及其访问内容的安全性。

 3.攻击情报共享

组织必须拥有实时可操作的情报,以帮助缓解杀毒软件等发现不了的威胁。必须在环境中的不同安全层和产品之间共享信息,以提供主动防御。此外,这种信息共享应扩展到组织之外的更广泛的网络安全社区,例如计算机应急响应小组(CERT)、信息共享和分析中心(ISAC)以及网络威胁联盟(Cyber Threat Alliance)等行业联盟。快速共享是在攻击发生变异或传播到其他系统或组织之前快速响应攻击并打破网络攻击链的最佳方式。

 4.保护终端设备

传统的反病毒技术并不总是做得很好,而且随着攻击技术越来越复杂,防御技术通常无法跟上安全的需要,组织需要确保使用终端发现和响应(EDR)解决方案和其他技术适当地保护终端设备。

在当前的威胁环境中,高级攻击可能需要几分钟或几秒钟才能攻击终端。第一代EDR工具根本跟不上,因为它们需要人工分类和响应。它们不仅应对速度太慢,无法应对今天迅速发展的攻击技术,而且还会产生大量的警报,给已经超负荷工作的网络安全团队带来大量负担。此外,传统的EDR安全工具可能会提高安全运营的成本,减缓网络处理和功能,这可能会对业务产生负面影响。

相比之下,下一代EDR解决方案为终端提供先进的、实时的威胁情报、可见性、分析、管理和保护,在感染前和感染后均可防御勒索软件。这些EDR解决方案可以实时检测和化解潜在威胁,主动减少攻击面,帮助防止恶意软件感染,并使用可定制的剧本自动化响应和修复程序。

 5.数据备份和事件响应

组织应该能够执行所有系统和数据的备份,并将其存储在网络之外,还应该测试这些备份,以确保能够正确地恢复。

每个组织都应该有一个适当的事件响应计划,以确保企业在遭受成功的勒索软件攻击时做好准备。人们应该提前分配具体的任务。例如,企业会向谁寻求安全分析方面的帮助? 企业有现成的专家来帮助你恢复系统吗? 企业还应该定期进行练习,重点是如何从勒索软件攻击中恢复过来。

 6.实现零信任

零信任安全模型假定试图连接到网络的任何人或任何事务都是潜在的威胁。这种网络安全理念指出,网络内外的任何人都不应该被信任,除非他们的身份被彻底检查过。“零信任”默认网络外部和内部的威胁是一个无处不在的因素。这些假设为网络管理员提供了思路,迫使他们设计严格的、不信任任何人的安全措施。

使用零信任方法,每个试图访问网络或应用程序的个人或设备都必须经过严格的身份验证,然后才授予访问权限。这种验证使用多因素身份验证(MFA),要求用户在被授予访问权限之前提供多个凭据。零信任还包括网络访问控制(NAC),用于限制未经授权的用户和设备访问公司或私人网络。它保证只有通过认证的用户和通过授权且符合安全策略的设备才能进入网络。

 7.防火墙和网络分段

随着云应用的增加,网络分段变得越来越重要,尤其是在多云和混合云环境中。通过网络分段,组织可以根据业务需求对网络进行分区,并根据角色和当前信任状态授予访问权限。根据请求者当前的信任状态检查每个网络请求,如果它们确实进入了网络,则对于防止在网络内横向移动非常有益。

 8.用户培训和良好的网络安全习惯是关键

具体的操作人员才是网络安全战略的核心,根据《2021年Verizon数据泄露调查报告》,85%的数据泄露都与操作习惯有关。理论上,你可以有世界上所有的安全解决方案,但如果组织忽视了培训员工的网络意识,你永远不会得到真正的安全。确保所有员工都接受了关于发现和报告可疑网络活动、保持良好的上网习惯以及保护个人设备和家庭网络安全的实质性培训。员工在被聘用时应该接受培训,在他们的任期内也应该定期接受培训。

 9.使用欺骗技术

组织还应该了解欺骗技术,尽管它不是主要的网络安全策略,但欺骗解决方案有时是可以帮助保护系统的。

欺骗技术可以模拟实际的服务器、应用程序和数据,从而欺骗攻击者,让他们相信他们已经渗透并获得了企业最重要资产的访问权。这种方法可以用来最小化损失并保护组织的真实资产。

]]>
蓝牙“BrakTooth”漏洞可能会影响数十亿台设备 Thu, 23 Sep 2021 05:43:33 +0800 9月3日消息,商业蓝牙堆栈中的一个新的安全漏洞系列BrakTooth,影响了包括英特尔、高通和德州仪器在内的11家供应商的13款蓝牙芯片组,专家估计可能有1400多种商业产品受到影响。

这一系列问题影响了从消费电子产品到工业设备的各种设备。相关风险范围从拒绝服务、设备死锁到任意代码执行。

受影响的产品种类繁多

新加坡科技设计大学的研究人员发布了有关BrakTooth的详细信息,这是商业蓝牙堆栈中的一个新的安全漏洞系列,他们的名字来自挪威语“Brak”,意为“崩溃”。

深入研究后,研究人员发现超过1400个产品列表受到BrakTooth的影响,该列表包括但不限于以下类型的设备:

  • 智能手机

  • 信息娱乐系统

  • 笔记本电脑和台式机系统

  • 音频设备(扬声器、耳机)

  • 家庭娱乐系统

  • 键盘

  • 玩具

  • 工业设备(例如可编程逻辑控制器 - PLC)

考虑到受影响的产品种类繁多,预计BrakTooth漏洞可能影响数十亿台设备。

研究人员表示,与BrakTooth安全漏洞集相关的风险范围包括通过破坏设备固件而导致的拒绝服务(DoS),或蓝牙通信出现死锁状态,以及任意代码执行。

要想发起BrakTooth攻击,需要一个ESP32开发工具包、一个定制的链路管理协议(Link Manager Protocol, LMP)固件和一台计算机来运行概念验证(proof-of-concept, PoC)工具。

研究人员发现了漏洞的三种主要攻击场景,其中最严重的会导致物联网 (IoT) 设备上的 ACE。

1.智能家居设备的任意代码执行

在BrakTooth的16个漏洞中,其中一个被跟踪为CVE-2021-28139,它的风险比其他漏洞更高,因为它允许任意代码执行。

该漏洞影响带ESP32 SoC电路的设备,该电路在许多用于家庭或工业自动化的物联网设备中使用。ESP32 SoC是一系列低成本、低功耗、集成Wi-Fi和双模蓝牙的SoC微控制器,由供应商Espressif提供。这些常见于用于工业自动化、智能家居设备、个人健身小工具等的物联网设备中。

2.DoSing 笔记本电脑和智能手机

第二种攻击场景可能会导致笔记本电脑和智能手机中的DoS。通过使用包含英特尔l AX200 SoC和高通WCN3990 SoC的设备可以触发这一点。攻击者可以通过 (a) 分页、(b) 发送格式错误的数据包和 (c) 在不发送 LMP_detach 的情况下断开连接来耗尽 SoC。

受影响的产品列表包括戴尔的笔记本电脑和台式机(Optiplex、Alienware)、微软Surface设备(Go 2、Pro 7、Book 3)和智能手机(例如 Pocophone F1、Oppo Reno 5G)。

3.BT音频产品冻结

在探测各种BT扬声器(特别是Mi便携式蓝牙扬声器 – MDZ-36-DB、BT耳机和BT音频模块)和无品牌BT音频接收器时发现了第三种攻击场景。

它们都受到一系列错误的影响(CVE-2021-31609 和 CVE-2021-31612,发送超大LMP 数据包时失败;CVE-2021-31613,截断数据包;CVE-2021-31611,启动程序外顺序;以及 CVE-2021-28135、CVE-2021-28155 和 CVE-2021-31717,功能响应泛滥)。

研究人员指出,对于小米MDZ-36-DB 和 JBL TUNE 500BT,这可以在用户播放音乐时实现攻击。

部分供应商或不进行修补漏洞

虽然其中一些供应商(例如乐鑫、英飞凌和 Bluetrum Technology)已经针对这些问题发布了补丁,但其他供应商已经承认存在缺陷并仍在开发补丁,或者正在调查影响。在某些情况下(例如高通的CSR8811和CSR8510 SoC或Texas Instruments的CC2564C),不会发布任何修复程序。

研究人员表示,攻击者可能能够通过使用运行自定义(不合规)LMP固件的廉价ESP32 开发工具包 (ESP-WROVER-KIT) 以及运行该漏洞的计算机来利用这些漏洞代码。

BrakTooth漏洞影响蓝牙栈的补丁状态

Braktooth收集中的漏洞针对的是LMP和基带层。目前,他们已经被分配了20个标识符,还有几个悬而未决,请参考以下16个问题:

  • 功能页面执行(CVE-2021-28139 - 任意代码执行/死锁)

  • 截断SCO链接请求(CVE-2021-34144 - 死锁)

  • 重复IOCAP(CVE-2021-28136 - 崩溃)

  • 功能响应泛滥(CVE-2021-28135、CVE-2021-28155、CVE-2021-31717 - 崩溃)

  • LMP 自动速率溢出(CVE-2021-31609、CVE-2021-31612 - 崩溃)

  • LMP 2-DH1 溢出(等待 CVE - 死锁)

  • LMP DM1 溢出(CVE-2021-34150 - 死锁)

  • 接受截断的LMP(CVE-2021-31613 - 崩溃)

  • 无效安装完成(CVE-2021-31611 - 死锁)

  • 主机连接泛滥(CVE-2021-31785 - 死锁)

  • 相同主机连接(CVE-2021-31786 - 死锁)

  • AU Rand洪路泛滥(CVE-2021-31610、CVE-2021-34149、CVE-2021-34146、CVE-2021-34143 - 崩溃/死锁)

  • 最大插槽类型无效(CVE-2021-34145 - 崩溃)

  • 最大插槽长度溢出(CVE-2021-34148 - 崩溃)

  • 计时精度无效(CVE-2021-34147 和另外两个待处理的 CVE - 崩溃)

  • 分页扫描死锁(等待 CVE - 死锁)

考虑到蓝牙漏洞可能影响范围广大,蓝牙漏洞尤其令人担忧。建议使用者密切关注蓝牙连接行为,并在确认有更新补丁时及时更新修补漏洞。

]]>
涉黄涉赌涉诈!非法引流:黑流量肥了黑产 Thu, 23 Sep 2021 05:43:33 +0800 看着是正常网站,鼠标一点就跳转到了色情网站;主播成为境外赌博网站“代理”,直播间引流招揽参赌人员;在招聘网站发布“招工帖”,实则为刷单类电信诈骗猎寻受害者……半月谈记者采访发现,作为网络黑灰产业的上游,非法推广引流正呈现高发态势,具有更为隐蔽、更高收益、更多危害的特点。

01 非法引流搅乱互联网安全

当前,短信群发、邮件群发、非法嵌入“暗链”、利用短视频和直播平台引流、通过招聘网站虚假招工等是不法分子非法引流的常见手段,这些“黑流量”绝大多数是为下游的网络赌博、电信诈骗提供“客源”。

记者从北京市公安局网安总队了解到,今年以来,按照公安部“净网2021”专项行动部署,北京警方已侦破非法推广引流类黑产案件85起,抓获嫌疑人320名,刑事拘留278名。

——非法嵌入暗链。 在一起案件中,多家单位、企业网站出现点击后自动跳转到境外赌博网站的情况。北京警方调查发现,有人利用黑客技术,将境外赌博网站“暗链”嵌入到正规网站上,使相关单位、企业网站点击或搜索访问时显示为赌博网站信息,以此达到为赌博网站引流的目的。

“不法分子通过黑客技术,先从海量网站中寻找目标,找出有安全漏洞的网站黑进去,再嵌入暗链。”北京市公安局网安总队办案民警说。

——利用短视频、直播平台非法引流。 今年5月,甘肃省兰州市七里河区人民法院对梁某开设赌场罪,判处有期徒刑6个月。据了解,梁某通过下载某赌博App的方式参与网络赌博,后申请成为该赌博网站的“代理”,并通过斗鱼直播平台招揽参赌人员。

知情人士告诉记者,目前,黑灰产利用平台非法引流的形式有三种,包括通过私信弹幕引流、在个人资料主页中通过“个性签名”等方式展示非法网站信息等,以及通过直播内容引流。“直播时主播通过口播、内容场景、公屏公告等方式,引导用户加入第三方粉丝群聊、交流群等,再通过群聊推送涉黄、涉赌、涉诈等内容。”

记者在浏览某直播平台时发现,除了有通过直播间向站外不法网站、涉赌涉黄的聊天群进行引流的行为,有的主播也会利用播放低俗视频或者查看低俗直播来提升直播人气,并在直播间讲述赌博玩法,向正在涉嫌赌博活动的站内直播间进行导流。

——招聘网站埋“坑”。 在北京警方今年5月侦破的一起案件中,4名嫌疑人在某招聘网站批量发布招聘打字员、小时工等信息,再给有意愿的应聘人员介绍“帮主播点赞增加人气”“给电商店铺增加销量”等兼职信息。“看似招聘,实则是刷单类电信诈骗。”民警说,为了能最大限度广撒网,嫌疑人往往需要大量购买招聘网站会员账号,部分还会使用虚假的营业执照进行注册。

02 逃避打击,“博弈”升级

在防范和打击非法引流过程中,一些互联网平台在不断升级风控能力和水平,但不法分子在利益面前,手段会更加隐蔽,企图逃避监管。

“有些引流犯罪中,不法分子通过改机软件隐藏自己作案工具,有的使用群控、云控平台控制多台设备多个账号,批量发送涉黄、涉赌、涉诈等文字内容,并且通过谐音、拆字等方式规避平台黑词库。”上述知情人士说。

记者了解到,从事此类违法活动的“收益”可观。在北京警方前往京外打掉的团伙案件中,该团伙以一个正常公司身份在某写字楼里办公,人员多为18岁到25岁年轻人,每个人都有多部手机和大量“黑卡”。在短视频平台注册运营账号进行引流,月收入在1万到3万元之间。“如果账号被查封或者有用户举报,就不用了,换卡重新开。”民警说。

在上述非法引流案件中,不法分子在批量聊天时会发送给当事人下一步进行联系的QQ号或微信号,这些联系方式实际上是下游电信诈骗团伙人员控制的。按照这些团伙之间的结算规则,经过引流,下游人员每添加一个好友,不管是否诈骗成功,都给上游人员几元至几十元不等的报酬。

实际上,非法引流也有上游。上述知情人士说,比如工具开发者、倒卖黑卡的卡商等。根据中游和下游的需求,生产和提供各类黑灰产资源,再通过中游账号代售平台、工具代售平台、地下黑市等渠道将生产和提供的各类黑灰产资源进行包装并批量转售给下游,最后下游以工作室形式去执行黑灰产行为,如刷量工作室、引流工作室等。

03 源头打击网络黑流

随着科技进步,网络违法犯罪手段不断翻新、方式更加隐蔽,组织化、规模化、产业化趋势明显。但网络不是法外之地,科技手段不能成为违法犯罪的工具,为各类网络违法犯罪提供技术支持的网络黑灰产,也是公安机关重点打击对象。

受访人士认为,在非法推广引流这条黑灰产中,整个链条中用于推广引流的账号是核心,如何成功注册账号很关键,有的通过购买黑卡注册,有的通过接码平台,甚至还有通过网上“众包”形式租赁其他网民账号的。针对此,源头端的打击非常关键。在公安机关加大对非法买卖“两卡”打击力度的同时,也在针对不法分子开办第三方授权登录平台,利用非法获取的微信“白号”资源注册网络账号的行为进行查处。这些不法分子可能会通过虚假“清粉工具”等形式,骗取用户授权微信登录,实际是从后台获取了加密的数据包。

此外,在严打严整基础上,对于在行业监管方面存在的突出问题,警方将及时通报相关主管部门,推动各部门齐抓共管,进一步加强安全管理、堵塞管理漏洞,各网络平台也需要落实主体责任。对于频繁更换头像、批量群发群聊、登录地异常等用户情况加强封控,进一步优化自身安全防范策略,提升对抗黑灰产的能力和水平。

]]>
“大数据”不等于“多数据” Thu, 23 Sep 2021 05:43:33 +0800 密接人群锁定、疫情地图绘制、食品安全追溯、智能交通调度……在疫情防控和城市治理中,大数据的作用日益凸显。但对大数据的认知和理解上,有一点必须厘清:“大数据”不等于“多数据”,不是简单地把大量数据堆积在一起,而是要进行深度加工处理,进一步加强系统整合、数据整合、功能整合,提高信息的精准度、可靠度,让数据真正发挥作用,产生价值。

有一种观点认为,大数据之“大”,就是多多益善、以量取胜。事实并非如此。大数据的“大”与大小没有关系,而是能级的高下,即对数据的“加工能力”。本轮疫情中,大数据虽然发挥了重要作用,但也暴露出一些问题。探究问题背后的原因,在于数据采集、处理不够精准,在贯通、集成、共享等方面也有待提高。市民对此提出批评建议,一方面是警醒我们更好地尽职履责,把工作谋深做细做实;另一方面,也凸显出挖掘用好大数据的重要性、紧迫性,使之更具实战性、实用性。同时要坚持法治思维,实现在有效保障个人信息安全前提下的智慧化治理。

大数据不仅是一种物态、一种技术,更是一种应用、一种思维。古人就已认识到“大数据”的作用。战国时期,魏国国相李悝把农民种地的收成,按年景分为“熟年”和“饥年”,具体又细分为“上中下”“小中大”等。国家根据不同的年景调整农产品价格,保护农民耕种的积极性。现代的大数据技术,无论是在归纳分析的广度和深度,还是在应用的场景、领域方面,都远远胜过古代版“大数据”。但本质是一样的:大数据的价值不在“多”而在应用,只有经过挖掘、加工的数据,才是有意义的数据,才能创造价值。

在现代城市治理中,大数据是一项系统工程,涉及科学技术、政府行政、社会治理、公共服务等方方面面。我们的城市每时每刻都在产生海量数据,要想让数据真正发挥作用,需要进一步完善顶层设计和整体规划,打破信息壁垒,拔掉“数据烟囱”,消除“数据孤岛”,促进互联互通、共用共享,形成以服务为导向的数据结构和应用体系。我们要从此轮疫情中总结经验教训,坚持需求导向、平战结合,加快建设符合南京实际、彰显特大城市特色的信息化应用平台,不断提高大数据应用的精细化、精准化水平,确保实用、管用、好用。

城市的核心是人。再庞大再详实的数据,如果不能为人所用,就等同于废纸。用好大数据,应瞄准市民最关心的问题,挖掘群众最现实的需求,将数据资源切实应用于交通、教育、医疗等民生领域。让枯燥冰冷的数据有温度、懂人心,群众才能拥有更多获得感、幸福感、安全感。

]]>
移民系统漏洞,导致加拿大超额接受7300份移民申请 Thu, 23 Sep 2021 05:43:33 +0800 8月31日,BLEEPINGCOMPUTER 披露,加拿大移民系统出现了漏洞,导致政府接受了额外的7300份移民申请,其中包括希望将临时签证身份更改为永久居留权的国际研究生申请。

漏洞导致系统额外接受约7300份申请

据加拿大移民局资料显示,加拿大移民法案通常会对每一种移民方式,每年可接受移民申请数量设定一个上限。符合条件的加拿大国际毕业生,可以通过在线申请将其临时居留身份调整为永久居留 (PR)。

事件发生后,加拿大移民、难民和公民局(IRCC)称,2021 年,接受国际研究生申请上限为 40000 份,但是漏洞导致系统将某些同时提交的两个或多个申请,视为一个申请,因此导致系统额外接受了7300份申请。

IRCC各路线PR申请上限

部长颁布临时政策以接受额外申请

根据政府部门共享的内部备忘录显示,政府要求移民部长马尔科·门迪奇诺正常处理额外的申请,因为如果没有部长批准,根据现行法律的规定,由于故障而超额接受的申请通常会连同费用一起退还给申请人。部长在今年6月28日批准了这项政策,允许接受7300个额外申请,这样避免了申请人因非自身过错而受到不必要的处罚。

移民部门表示,随着越来越多的人来到加拿大,申请量不断增加,IRCC 必须 一直在朝着更加集成、现代化和集中化的工作环境迈进,不断改进其运营,提供及时有效的服务,以吸引更多的移民和游客,并保持全球竞争力。预计IRCC会将制定一项单独的公共政策,处理需要住宿的人的申请,具体细节将公布。

]]>
新西兰全国大范围断网:因第三大电信运营商遭DDoS攻击 Thu, 23 Sep 2021 05:43:33 +0800 某家托管客户遭受DDoS攻击后,新西兰第三大电信运营商Vocus采取响应措施出现问题,致使发生严重网络中断;

该事件导致全国多地断网达30分钟,包括奥克兰、惠灵顿及基督城在内的多个大城市受到影响。

由于一家本土主要电信运营商遭遇DDoS攻击,新西兰部分地区遭遇严重的网络连接中断问题。

作为新西兰第三大电信运营商,旗下拥有Orcon、Slingshot及Stuff Fiber等品牌的Vocus公司证实,此次攻击是受到了某家托管客户的殃及。

根据官方网络状态更新,该公司表示,

“今天下午,Vocus某客户遭遇DDoS攻击……我们的Arbor DDoS平台更新了DDoS缓解规则,意在阻止针对此次最终客户的攻击。”

他们还补充道:

根据初步调查,正是这一规则变更导致众多Vocus客户遭遇服务中断。我们正在与平台供应商密切合作,希望了解引发这种状况的原因。

受到影响的Vocus客户被迫离线约30分钟。

虽然细节仍不明确,但考虑到新冠疫情之下大量居家办公的新西兰居民,此次断网恐怕在全国范围内都造成了严重破坏。

路透社报道称,Vocus公司对网络攻击的响应措施很可能引发了连锁反应,导致全国多地断网达30分钟,包括奥克兰、惠灵顿及基督城在内的多个大城市受到影响。我们已经就此事向Arbor DDoS保护供应商Netscout征求意见。

截至本文发稿时,网络服务似乎已经恢复正常。

而在遥远的欧洲,上周两家英国VoIP运营商的服务同样遭受DDoS攻击。此番攻击据信出自俄罗斯网络攻击团伙之手,对方还开出了“巨额赎金”要求。

另外,上周在英格兰东南部及威尔士部分地区发生的Sky Broadband网络中断事件现在似乎也得到了解决。

事件始于上周三,客户们开始投诉断网问题。尽管据称服务已经在逐步恢复,但周四一整天仍有Sky Broadband用户在陆续上报自己的服务问题。

一位Sky公司发言人告诉我们,他们“发现加的夫和英格兰东南部部分地区的Sky Broadband与Talk客户受到了影响”,而且工程师们正在着手解决问题。

但客户在Twitter和Down Detector上证实影响范围其实更远,包括东米德兰兹与西米德兰兹。

直到昨晚,Sky公司发言人终于告诉我们,“大部分受到Broadband与Talk间歇性问题影响的Sky客户,现在应该已经恢复正常使用。”

该公司对于“由此造成的任何不便”表示歉意。

]]>
安全周报(08.30-09.05) Thu, 23 Sep 2021 05:43:33 +0800

1、迎接新时代!数据安全法、关基保护条例、漏洞管理规定9月1日正式施行

《中华人民共和国数据安全法》已由全国人大常委会于2021年6月10日通过,自2021年9月1日起施行。
《关键信息基础设施安全保护条例》已经2021年4月27日国务院常务会议通过,自2021年9月1日起施行。
工业和信息化部、国家互联网信息办公室、公安部联合印发《网络产品安全漏洞管理规定》,自2021年9月1日起施行。
加上今年11月1日起施行的《个人信息保护法》,我国网络安全顶层设计基本建成。
从今天开始,我国网络安全行业将迈入新时代,网络安全不再是可有可无的附庸,而是组织经营需要坚守的底线。特别是重要行业、重点资产、关键弱点,需要着重监管,增强保护。
在构建好顶层制度后,国内组织将进入比拼安全建设的新阶段,满足的监管单位的合规要求只是最基本的要求,重能力、重效果方能取得更好的成绩。
2、WhatsApp图片过滤功能中存在高危漏洞,可致程序崩溃


9月3日消息,WhatApp的图片过滤功能中存在一个高危漏洞,可能被攻击者滥用来发送恶意图像,并读取该应用程序中存储的敏感信息。目前,该漏洞已被修复。

该漏洞被追踪为CVE-2020-1910(CVSS评分:7.8),涉及越界读写,源于对流氓图像应用特定的图像过滤器,并将改变后的图像发送给不知情的收件人,从而使攻击者能够访问存储在应用程序内存中的数据。

该漏洞是Check Point专家于2020年11月10日发现的,他们发现攻击者可以利用该漏洞切换恶意GIF文件,使WhatsApp程序崩溃。

3、勒索软件多次中断食品/农业供应链,FBI发布行业重要预警

FBI发布警告:勒索软件团伙正在积极瞄准和攻击食品与农业部门组织,造成经济损失并直接影响食品供应链的正常运作;

最近大半年来,多个美国食品/农业企业遭受勒索软件袭击,致使企业运营瘫痪,供应链被迫中断;特别是5月全球肉类加工巨头JBS的工厂瘫痪,导致牛肉与猪肉供应量下降,市场供需失衡,并在短时间内令美国肉品批发价格上涨达25%。

这些勒索软件攻击可能给整个行业的业务带来广泛影响,包括小型农场、市场、餐厅乃至大规模生产商、加工商与制造商。随着食品与农业组织越来越多地依赖于智能技术、工业控制系统(ICS)以及基于互联网的自动化系统,勒索软件团伙也迅速将攻击重点放在这一关乎国计民生的重要领域。

支付赎金只是权宜之计,无法避免再次被攻击

FBI还着重回顾了几个影响食品与农业行业组织的勒索软件攻击案例,包括:

2021年7月,由于IT支持托管服务商(MSP)使用的软件受到Sodinokibi/REvil勒索软件影响,一家美国面包供应商无法正常访问其服务器、文件及应用程序,进而导致生产和收发货全面停滞。这家面包商瘫痪约一周,大大延迟了客户订单并损害了公司声誉。

2021年5月,网络攻击者使用Sodinokibi/REvil勒索软件变体入侵了一家全球肉类加工公司位于美国本土及海外多地的计算机网络,导致企业数据面临外泄风险、部分美国工厂也被迫关停。根据相关报道,临时停工导致牛肉与猪肉供应量下降、市场供需失衡,并在短时间内令肉品批发价格上涨达25%。

2021年3月,一家美国饮料公司遭受勒索软件攻击,导致其业务体系(包括运营、生产与运输)严重中断。据相关报道,该公司为了防止恶意软件的进一步传播而选择将系统脱机,但员工也因此无法访问特定系统、致使业务陷入停摆。

2021年1月,一家美国农场遭遇勒索软件攻击、正常运营被迫中断,由此造成的损失约900万美元之巨。这拨身份不明的攻击者通过泄露的凭证获得了管理员级别的访问权限,进而对内部服务器发起了攻击。

2020年11月,一家总部位于美国的国际食品与农业企业上报称,OnePercent Group攻击团伙使用带有恶意zip附件的钓鱼邮件对其发动勒索软件攻击,导致该公司无法访问其多个网络相关计算机系统。在对数百个文件夹进行加密之前,网络犯罪分子还通过指定的云服务商下载了数TB数据。公司的管理系统同样受到影响。不过该公司并没有支付对方开出的4000万美元赎金,而是成功利用备份恢复了自己的系统。

正如FBI与CISA在本周联合意见中做出的陈述,组织可以采取多种措施保护自身系统免受勒索软件攻击,具体包括:

对数据进行离线备份。

避免点击可疑链接。

保护并监控远程桌面协议端点。

更新操作系统与软件。

使用高强度密码。

使用多因素身份验证。

4、纽约信贷联盟前雇员40分钟内报复性销毁2万份文件,多达21GB

9月2日消息,一家纽约信贷联盟的前雇员朱莉安娜·巴里尔(Juliana Barile)承认,她被解雇后曾未经授权进入前公司的计算机系统,报复性销毁了超过21GB的数据。

虽然信贷联盟的一名内部员工曾要求银行的信息技术支持公司,禁用巴里尔的远程访问凭证,但巴里尔的访问权并没有被取消。

5月21日,巴里尔登录了大约40分钟,在此期间她删除了共享驱动器商超过2万份文件和约3500个目录,总计约21.3 GB数据。删除的文件包括客户的抵押贷款申请和该金融机构的反勒索保护软件相关文件。巴里尔还打开了各种机密的Word文件,包括信贷联盟董事会会议记录文件。

5月26日,她还通过短信告诉一个朋友,她是如何销毁前雇主服务器上的数千份文件,她说:"他们没有撤销我的权限,所以我删除了他们的共享网络文件。"

虽然纽约信贷联盟对被删除的部分文件有备份,但它仍需花费超过1万美元来恢复被破坏的数据。

"巴里尔通过删除文件来报复她的雇主,但她的举动同样对客户造成了伤害。这给银行带来了巨大的安全风险,那些依赖信贷支付房租的客户也被弄得手忙脚乱。"联邦调查局主管助理德里斯科尔表示。

"内部威胁同样可以造成大破坏,甚至比外部罪犯更多。银行和客户现在面临着修复一个烂摊子。"


]]>
WhatsApp图片过滤功能中存在高危漏洞,可致程序崩溃 Thu, 23 Sep 2021 05:43:33 +0800 9月3日消息,WhatApp的图片过滤功能中存在一个高危漏洞,可能被攻击者滥用来发送恶意图像,并读取该应用程序中存储的敏感信息。目前,该漏洞已被修复。

该漏洞被追踪为CVE-2020-1910(CVSS评分:7.8),涉及越界读写,源于对流氓图像应用特定的图像过滤器,并将改变后的图像发送给不知情的收件人,从而使攻击者能够访问存储在应用程序内存中的数据。

该漏洞是Check Point专家于2020年11月10日发现的,他们发现攻击者可以利用该漏洞切换恶意GIF文件,使WhatsApp程序崩溃。

WhatsApp在2021年2月发布的公告中指出,该问题存在于安卓V2.21.1.13版本WhatsApp和WhatsApp Business。

具体来说,问题的根源在于一个处理图片过滤的 applyFilterIntoBuffer() 函数,该函数获取源图像后,应用用户选择的过滤,并将结果复制到目标缓冲区。

研究人员对 libwhatsapp.so 库进行逆向工程后发现,这个有漏洞的函数发挥作用的前提是,源图像和过滤后的图像具有相同的尺寸和相同的RGBA颜色格式。

一般来说,每个RGBA像素存储为4字节,而恶意制作的源图像每像素只有1字节。当该函数试图读取和复制4倍于已分配的源图像缓冲区的数量时,就会导致内存访问越界。

WhatsApp回应CheckPoint称, 触发和利用该漏洞需要多个步骤,用户不会受该漏洞影响。自WhatsApp 2.21.1.13版本以来,该公司在源图像和过滤图像上增加了两个新的检查,确保源图像和过滤图像都是RGBA格式,并且图像的每个像素有4个字节,以防止未经授权的读取。

]]>
勒索软件多次中断食品/农业供应链,FBI发布行业重要预警 Thu, 23 Sep 2021 05:43:33 +0800 FBI发布警告:勒索软件团伙正在积极瞄准和攻击食品与农业部门组织,造成经济损失并直接影响食品供应链的正常运作;

最近大半年来,多个美国食品/农业企业遭受勒索软件袭击,致使企业运营瘫痪,供应链被迫中断;

特别是5月全球肉类加工巨头JBS的工厂瘫痪,导致牛肉与猪肉供应量下降,市场供需失衡,并在短时间内令美国肉品批发价格上涨达25%。

美国联邦调查局(FBI)警告,勒索软件团伙正在积极瞄准和攻击食品与农业部门组织,造成经济损失并直接影响食品供应链的正常运作。

9月1日,FBI网络部门以“私营行业通知(PIN)”的形式发布了这份警告。

这些勒索软件攻击可能给整个行业的业务带来广泛影响,包括小型农场、市场、餐厅乃至大规模生产商、加工商与制造商。

随着食品与农业组织越来越多地依赖于智能技术、工业控制系统(ICS)以及基于互联网的自动化系统,勒索软件团伙也迅速将攻击重点放在这一关乎国计民生的重要领域。

FBI指出,“遭受勒索软件攻击之后,食品与农业企业将因支付赎金、生产力损失、补救成本等而蒙受重大经济损失。”

 “企业也有可能在此期间丢失专有信息与个人身份信息(PII),并因勒索软件攻击而遭受声誉损失。”

支付赎金只是权宜之计,无法避免再次被攻击

据FBI介绍,2019年至2020年期间,勒索软件攻击的赎金数额平均翻了一番。而在计算机巨头宏碁遭遇REvil勒索软件攻击之后,今年年内的最高赎金要求已经达到5000万美元。

根据FBI互联网犯罪投诉中心(IC3)发布的《2020年互联网犯罪报告》,该中心共收到各行业部门上报的2400多起勒索软件攻击投诉,调整后损失超过2910万美元,较上一年的投诉与损失额均大幅增长达100%。

FBI还补充道,“有单独研究表明,支付赎金的受害者中有50%到80%后续又遭受了相同或不同团伙发动的勒索软件攻击。”

FBI还着重回顾了几个影响食品与农业行业组织的勒索软件攻击案例,包括:

2021年7月,由于IT支持托管服务商(MSP)使用的软件受到Sodinokibi/REvil勒索软件影响,一家美国面包供应商无法正常访问其服务器、文件及应用程序,进而导致生产和收发货全面停滞。

这家面包商瘫痪约一周,大大延迟了客户订单并损害了公司声誉。

2021年5月,网络攻击者使用Sodinokibi/REvil勒索软件变体入侵了一家全球肉类加工公司位于美国本土及海外多地的计算机网络,导致企业数据面临外泄风险、部分美国工厂也被迫关停。

根据相关报道,临时停工导致牛肉与猪肉供应量下降、市场供需失衡,并在短时间内令肉品批发价格上涨达25%。

2021年3月,一家美国饮料公司遭受勒索软件攻击,导致其业务体系(包括运营、生产与运输)严重中断。

据相关报道,该公司为了防止恶意软件的进一步传播而选择将系统脱机,但员工也因此无法访问特定系统、致使业务陷入停摆。

2021年1月,一家美国农场遭遇勒索软件攻击、正常运营被迫中断,由此造成的损失约900万美元之巨。这拨身份不明的攻击者通过泄露的凭证获得了管理员级别的访问权限,进而对内部服务器发起了攻击。

2020年11月,一家总部位于美国的国际食品与农业企业上报称,OnePercent Group攻击团伙使用带有恶意zip附件的钓鱼邮件对其发动勒索软件攻击,导致该公司无法访问其多个网络相关计算机系统。在对数百个文件夹进行加密之前,网络犯罪分子还通过指定的云服务商下载了数TB数据。公司的管理系统同样受到影响。

不过该公司并没有支付对方开出的4000万美元赎金,而是成功利用备份恢复了自己的系统。

节假日和周末最易爆发勒索软件攻击

FBI与CISA(网络安全与基础设施安全局)还敦促各组织不要在周末或假期期间放松警惕,因为事实证明勒索软件团伙特别喜欢乘虚而入、针对目标网络发动攻击。

两家联邦执法机构还共同警告称,他们“观察到目前美国假期和周末期间爆发勒索软件攻击的风险有所增加,2021年7月4日美国国庆节就出现了此类事件。”

另外,近期针对科洛尼尔管道公司、JBS肉品加工公司以及Kaseya的攻击活动则全部发生在周末。

作为全球最大的牛肉生产商,JBS公司被迫向REvil勒索软件团伙支付了1100万美元赎金。而燃油管道运输公司科洛尼尔则向DarkSide团伙支付了400万美元。

7月4日周末,大规模REvil勒索软件攻击还侵袭数十家Kaseya客户以及多达1500家其他下游企业。

面对一浪高过一浪的勒索软件攻势与令人目眩的巨额勒索要求,美国副国家安全顾问Anne Neuberger敦促美国企业做好安全防范工作。

就在上个月,国际刑警组织也要求各行业合作伙伴与警察机构共同努力,遏止这波愈演愈烈的勒索软件流行之风。

正如FBI与CISA在本周联合意见中做出的陈述,组织可以采取多种措施保护自身系统免受勒索软件攻击,具体包括:

  • 对数据进行离线备份。

  • 避免点击可疑链接。

  • 保护并监控远程桌面协议端点。

  • 更新操作系统与软件。

  • 使用高强度密码。

  • 使用多因素身份验证。

]]>
纽约信贷联盟前雇员40分钟内报复性销毁2万份文件,多达21GB Thu, 23 Sep 2021 05:43:33 +0800 为了报复被解雇,她偷偷潜入前公司计算机系统,40分钟内销毁了2万份文件,多达21GB。

9月2日消息,一家纽约信贷联盟的前雇员朱莉安娜·巴里尔(Juliana Barile)承认,她被解雇后曾未经授权进入前公司的计算机系统,报复性销毁了超过21GB的数据。

美国代理检察官杰奎琳·卡苏里斯(Jacquelyn M. Kasulis)称,朱莉安娜·巴里尔删除了保存在文件服务器上的抵押贷款申请和其他敏感信息。

根据法庭文件,朱莉安娜·巴里尔是信贷联盟远程工作的兼职员工,于2021年5月19日被解雇。

虽然信贷联盟的一名内部员工曾要求银行的信息技术支持公司,禁用巴里尔的远程访问凭证,但巴里尔的访问权并没有被取消。

5月21日,巴里尔登录了大约40分钟,在此期间她删除了共享驱动器商超过2万份文件和约3500个目录,总计约21.3 GB数据。

被删除的文件包括客户的抵押贷款申请和该金融机构的反勒索保护软件相关文件。巴里尔还打开了各种机密的Word文件,包括信贷联盟董事会会议记录文件。

5月26日,她还通过短信告诉一个朋友,她是如何销毁前雇主服务器上的数千份文件,她说:"他们没有撤销我的权限,所以我删除了他们的共享网络文件。"

法庭文件中显示,巴里尔曾给朋友发短信告知此事

虽然纽约信贷联盟对被删除的部分文件有备份,但它仍需花费超过1万美元来恢复被破坏的数据。

"巴里尔通过删除文件来报复她的雇主,但她的举动同样对客户造成了伤害。这给银行带来了巨大的安全风险,那些依赖信贷支付房租的客户也被弄得手忙脚乱。"联邦调查局主管助理德里斯科尔表示。

"内部威胁同样可以造成大破坏,甚至比外部罪犯更多。银行和客户现在面临着修复一个烂摊子。"

]]>
曼谷航空公司200GB数据遭LockBit勒索软件运营商窃取 Thu, 23 Sep 2021 05:43:33 +0800 LockBit勒索软件运营商入侵曼谷航空公司

LockBit勒索软件团队窃取了超过200GB曼谷航空公司数据,并在其泄密网站上发布了一条消息,威胁说如果曼谷航空不支付赎金,就会泄露被盗数据,消息还显示他们有更多的数据要泄露。

8月29日,曼谷航空公司就数据泄露事件发布致歉声明。

声明显示,该公司于8月23日发现了安全漏洞,并立即在网络安全团队的协助下展开调查,以确定事件的严重程度。调查显示,泄露的数据可能包括乘客姓名、姓氏、国籍、性别、电话号码、电子邮件、地址、联系信息、护照信息、历史旅行信息、部分信用卡信息和特殊膳食信息。

为避免更大损失,对于近期乘坐此航空公司的旅客,公司强烈建议乘客联系银行或信用卡提供商,尽快更改任何可能泄露的密码。另外,曼谷航空公司提醒其客户保持警惕,并注意任何可疑或未经请求的电话或电子邮件,因为攻击者可能会尝试进行网络钓鱼攻击等恶意活动。

曼谷航空公司还表示,安全漏洞并未影响公司的运营或航空安全系统,但不确定攻击者是否已经访问了属于乘客的个人数据,曼谷航空公司也已向当局报告了这次事件。

"受害者" 不止一家

8月23日,LockBit勒索软件团队在其泄密网站上公布了从埃塞俄比亚航空公司窃取的数据。除此之外,据威胁参与者声称,LockBit运营商已经入侵了一个使用埃森哲软件的机场,并对其系统进行了加密。

值得一提的是,该团伙还曾窃取埃森哲6TB数据,并要求其支付5000万美金赎回数据。但埃森哲后续发表声明反驳称,已经对受攻击的埃森哲系统进行彻底的取证审查,确认这起事件对埃森哲的运营或客户系统没有任何影响。

]]>
2021年上半年工业控制系统漏洞分析 Thu, 23 Sep 2021 05:43:33 +0800 随着越来越多的企业通过将其工业流程连接到云计算来实现现代化,给攻击者提供了更多途径,通过勒索软件攻击来危害工业运营。

根据Claroty最新发布的报告,随着针对关键基础设施和工业企业的高调网络攻击将工业控制系统(ICS)安全问题提升为一个主流问题,工业控制系统的漏洞披露也急剧增加。

该报告涵盖了今年上半年披露的ICS和OT漏洞,不仅提供了关于工业设备中普遍存在的漏洞的数据,还提供了围绕它们的必要背景,以评估各自环境中的风险。

一、ICS安全研究和披露趋势

1、ICS漏洞披露

ICS漏洞披露正在显着加速,揭示了在运营技术(OT)环境中发现的安全漏洞的严重程度。2021年上半年披露了637个ICS漏洞,比2020年下半年披露的449个漏洞增加了41%。其中81%是由受影响供应商的外部来源发现的,包括第三方公司、独立研究人员、学者和其他研究组。此外,42名新研究人员报告了漏洞。

71%的漏洞被归类为高危或严重漏洞,反映了暴露的高度严重性和影响性质及其对运营的潜在风险。

90%的攻击复杂性较低,这意味着不需要特殊条件,攻击者每次都可以重复成功。

74%的攻击者不需要权限,这意味着攻击者未经授权且不需要访问任何设置或文件;66%的攻击者不需要用户交互,例如打开电子邮件、单击链接或附件或共享敏感的个人或财务信息。

61%是可远程利用的,这表明保护远程连接、物联网(IoT)和工业IoT(IIoT)设备的重要性。

65%可能会导致完全丧失可用性,从而导致资源访问被拒绝。

26%要么没有可用的修复程序,要么只有部分补救措施,这突显了与IT环境相比,确保OT环境安全的关键挑战之一。

在ICS-CERT警报和供应商建议中提到的最重要的缓解措施,包括网络分段(适用于59%的漏洞)、安全远程访问(53%)和勒索软件、网络钓鱼和垃圾邮件防护(33%)。

Team82在2021年上半年发现并披露了70个漏洞,超过了Claroty在2020年披露的所有漏洞。总的来说,Team82已经披露了超过150个影响ICS设备和OT协议的漏洞。

Team82的研究调查了影响该行业众多部门的各种供应商和产品。由于这些参数,Claroty还研究第三方产品。Team82在2021年上半年发现的70个漏洞影响了20家自动化和技术供应商。以下两个图表分别列出了受影响的供应商和ICS产品类型:

2、受影响的ICS产品

每个披露的漏洞都可标记为固件或软件漏洞。在某些情况下,一个漏洞会影响这两个方面的多个组件。在2021年上半年,大多数漏洞会影响软件组件,鉴于软件打补丁比固件打补丁相对容易,防御者有能力在其环境中优先打补丁。

在检查产品系列中的固件和软件漏洞时,重要的是要了解,虽然在可分为固件或软件的组件中发现漏洞,但需要考虑受其影响的产品。例如,HMI上可能存在易受攻击的软件配置,或者可能存在连接到泵的以太网模块。下图显示了受这些漏洞影响的产品系列,其类别如下所示:

由于23.55%的漏洞影响普渡模型的运营管理(第三层)层级,这就解释了为什么许多漏洞影响软件组件。此外,发现的大约30%的漏洞影响普渡模型的基本控制(第一层)和监督控制(第二层)层级。当然,在影响这些层级时,攻击者也可以到达较低的层级并影响过程本身,这使其成为有吸引力的目标。

二、评估2021年上半年披露的所有ICS漏洞

2021年上半年发布的所有工业控制系统漏洞的统计数据包括Team82发现和披露的漏洞,以及其他研究人员、供应商和第三方在2021年上半年公开披露的所有其他漏洞。Team82的信息来源包括:国家漏洞数据库(NVD)、ICS-CERT、CERT@VDE西门子、施耐德电气和MITRE。

在2021年上半年,发布了637个ICS漏洞,影响了76个ICS供应商。2021年上半年,80.85%的漏洞是由受影响供应商以外的来源发现的,外部来源包括许多研究机构,包括第三方公司、独立研究人员和学者等。

下图分析了以第三方公司为首的外部来源披露的漏洞数量,在2021年上半年发现了341个漏洞(占53.87%)。这些公开的漏洞中,有许多是由网络安全公司的研究人员发现的,这表明,在IT安全研究的同时,重点也转移到了工业控制系统。需要指出的是,一些披露是多个研究小组之间的合作,或者不同的研究人员分别发现和披露了相同的漏洞,在2021年上半年有139个漏洞。

2021年上半年披露的637个ICS漏洞影响了76家供应商的产品,受影响的供应商数量比2020年下半年有所增加(59家),该数据2020年上半年为53家。

西门子是报告漏洞最多的供应商,共有146个漏洞,其中许多漏洞是西门子CERT团队进行的内部研究披露的,其次是施耐德电气、罗克韦尔自动化、WAGO和研华科技。

重要的是要认识到,受到大量公开漏洞的影响并不一定意味着供应商的安全状况不佳或研究能力有限。一个分配了大量资源来测试其产品安全性的供应商,很可能比一个忽略了在相同程度上检查其产品的供应商发现更多的漏洞。每个供应商的目录和安装基础也往往会影响其产品所披露的漏洞的数量。

在2021年上半年,其产品未受到2020年披露的ICS漏洞影响的20家供应商受到了2021年上半年披露的至少一个ICS漏洞的影响。

这些供应商中有六家专门从事医疗技术,三家专门从事自动化,两家专门从事制造业。影响这些新受影响的供应商(20个供应商中的16个)的漏洞是由先前披露漏洞的研究人员发现的。

三、ICS漏洞带来的威胁和风险

虽然报告中的许多数字令人大开眼界,令人印象深刻,但确实说明了一种持续趋势:披露的漏洞数量及修补或缓解的漏洞持续呈上升趋势。这一增长背后有许多因素,首先是越来越多的研究人员正在寻找ICS产品和OT协议中的漏洞。

此外,在IT下集成了OT管理或将云引入OT的组织不仅提高了业务效率和分析能力,而且还在扩大了威胁攻击面,并将本不打算连接的设备暴露在互联网中。

最重要的是,深入研究了补丁和其他补救措施,包括供应商提供的缓解措施。软件漏洞的修补速度比固件漏洞高得多。在ICS和OT安全圈中,由于打补丁和产品更新需要停机时间,这在许多领域是无法接受的。因此,对于使用者来说,缓解措施具有重大意义。通过衡量供应商和行业CERT最推荐的缓解措施,发现网络分段和安全远程访问无疑是2021年上半年最主要的缓解措施。

随着气隙式OT网络成为过去,网络分段在缓解措施中占据了突出地位。虚拟分区(专为工程或其他面向流程的功能量身定做的特定于区域的策略)等技术也将成为不可或缺的缓解手段。

与此同时,安全远程访问是仅次于分段的首要缓解步骤。适当的访问控制和特权管理对于阻止下一个Oldsmar类型的事件有很长的路要走,更重要的是,防止以利润为导向的参与者通过IT和OT网络横向移动,窃取数据,并释放勒索软件等恶意软件。

针对固件修复的很少。几乎62%的固件漏洞没有得到修复或建议进行部分修复,而其中大多数漏洞都是部署在普渡模型第一层的产品中。

四、下半年值得关注的趋势

下半年会有三个重要的趋势:OT云迁移、针对关键基础设施和OT的勒索软件攻击,以及即将出台的美国网络立法。

1、OT云迁移

推动企业将云引入工业流程的势头是不可否认的。当公司开始从云计算管理OT和IT时,这种融合将带来许多共同的风险。

数据安全曾经是工业流程的一个风险较低的变量,但现在也将被提升为优先事项,特别是在监管严格的行业,组织不仅必须评估威胁,还必须评估风险。

例如,加密可能会使一些工具无法获得对网络资产的完全可见性。在气隙环境中,这可以被认为是可接受的风险,但一旦资产暴露在网上,情况就不同了。最好的做法是在传输过程中对数据进行加密,并在数据静止时进行加密,以确保在发生事故时能够充分恢复数据。随着公司开始将服务和应用放到云端,从第一层设备如PLC接收数据,这一点将尤为明显。

身份验证和身份管理也必须是组织的云OT深度防御计划的一部分。2019年新冠疫情大流行加速了远程工作,今年2月的Oldsmar事件已经证明了对系统访问和特权管理控制不力所带来的风险。

迁移到基于云的基础设施通常意味着组织基础设施(IT或OT)的一部分托管在第三方云提供商(如谷歌、Amazon和Microsoft)的远程服务器上。基础设施包括一个基于云的管理平台,以支持组织服务的不同用户,例如管理员或工程师。基于用户和角色的策略必须定义用户可以执行哪些功能,以及根据他们的角色拥有哪些特权。

云计算有三种类型:公共云计算、私有云计算和混合云计算。

2、勒索软件和勒索攻击

虽然目前还没有看到勒索软件专门影响第一层设备,但攻击者已经成功地影响了工业运营。最著名的例子是针对Colonial Pipeline的攻击,在IT系统被勒索软件感染后,该公司非常谨慎地关闭了美国东海岸上下的燃料输送。

攻击者在使用勒索软件时变得更加谨慎,他们会搜寻他们认为最有可能支付高额赎金的受害者。虽然市政府、医疗保健和教育部门一度被认为是勒索软件攻击的目标,但大型制造企业和关键基础设施现在成了众矢之的。

另一种在以盈利为目的的攻击团体中流行的策略是高级入侵,即窃取敏感的业务或客户数据,以及公开泄露这些信息的威胁,同时可能会使关键系统受到勒索软件的感染。再次,攻击者把目标对准了可能满足他们需求的高价值组织。据称,Colonial Pipeline和JBS Foods都向威胁参与者支付了数百万美元加密货币,以恢复加密系统。

随着越来越多的公司将ICS设备连接到互联网并融合OT和IT,对网络资产的可见性至关重要,关于可能被攻击者利用的软件和固件漏洞的信息也是如此。例如,运行在基于Windows的机器上的工程工作站的缺陷,可能会让攻击者破坏IT和OT网络之间的这些交叉点,并修改流程,或者投放勒索软件,阻碍可能影响公共安全或国家安全的关键服务的提供。

除了传播钓鱼攻击的基于电子邮件的威胁外,防御者还需要关注安全的远程访问,以及在虚拟专用网络和其他基于网络的攻击载体中发现的漏洞集合。Team82数据中超过60%的漏洞可以通过网络攻击载体进行远程攻击。这强调了保护远程访问连接和面向互联网的ICS设备的重要性,并在攻击者能够在网络和域之间横向移动以窃取数据和丢弃勒索软件等恶意软件之前将其切断。

3、悬而未决的美国网络立法

在2021年上半年,对Oldsmar、Colonial Pipeline和JBS Foods的攻击表明,关键基础设施和制造业暴露于互联网的脆弱性。这些攻击表明,攻击者可以找到弱点,改变公共饮用水中的化学物质含量,或者使用大宗商品勒索软件关闭燃料和食品运输系统。

这些恶意攻击活动也引起了美国政府的关注。许多政府支持的网络相关活动特别指出,工业网络安全对于国家安全和美国经济至关重要。

美国总统拜登在7月签署了一份关键基础设施国家安全备忘录,该备忘录建立了工业控制系统网络安全倡议,这是一项针对私营部门所有者和运营商的自愿行动,旨在使其系统与当前威胁保持一致。美国政府将在9月前制定性能目标,这些自愿计划将不可避免地成为强制性措施,以部署能够提供OT网络可视性和威胁检测的技术。

备忘录是在5月份签署的一项行政命令之后签署的,该命令旨在改善私营和公共部门之间的威胁信息共享、实现联邦网络安全标准的现代化,加强供应链安全、建立网络安全审查委员会,制定应对网络事件的标准手册,改进联邦网络上的事件检测,以及更好的调查和补救能力。

此前,为改善电网网络安全进行了为期100天的冲刺,这也强化了公共事业私营部门所有者和政府之间更好地共享信息的主题。拜登政府还通过TSA对殖民地管道事件做出了强烈反应,并发布了一项安全指令,要求提高管道网络的恢复能力,包括在检测后12小时内强制报告事件、定期进行脆弱性评估,以及防止勒索软件攻击。

展望未来,华盛顿的法案草案包括在事件发生后严格的报告要求。必须保持谨慎和耐心,确保这些规定不会给资源不足的小型公用事业和关键基础设施运营商,带来额外风险或不切实际的期望。

政府必须在识别和清除网络攻击者的目标与对公司监管之间取得平衡,而这些公司将从指导和资金中受益。此外,还必须了解OT漏洞管理的现实情况,以及在高可用性环境中为工业设备打补丁,或更新数十年未连接到互联网或更新的老设备所面临的挑战。

这是关键基础设施内的动态防御者必须面对的问题,以确保在没有立即修补选项的情况下,或在提供完整的软件或固件更新之前,能够为需要缓解措施的防御者提供缓解措施。

五、上半年关键事件

以下事件和趋势可能在一定程度上帮助塑造了2021年上半年的ICS风险和漏洞格局。

1、COLONIAL PIPELINE攻击事件

美国东海岸最大的汽油、柴油和天然气分销商Colonial Pipeline遭到勒索软件攻击,影响了石油和天然气运输。5月7日的停产对该行业造成了立竿见影的影响,因为东海岸大约45%的燃料由殖民地供应。停电导致汽油和家庭取暖油价格上涨,许多加油站燃料耗尽。这是殖民地公司57年历史上的第一次关闭。殖民地于5月13日恢复运营。

据称,俄罗斯网络犯罪集团DarkSide对此次攻击负责,该集团销售勒索软件即服务(RaaS)。DarkSide窃取敏感数据并勒索受害者,并威胁称,如果赎金要求得不到满足,就会公布这些数据。根据之前的报道,DarkSide似乎只寻找有能力支付高额赎金的受害者,他们声称不针对医疗机构、教育机构或政府机构。Colonial为此支付了440万美元的比特币赎金,但其中230万美元被美国政府追回,但据报道,攻击发生后不久,DarkSide就放弃了运营。

2、Oldsmar水利攻击事件

2月5日,佛罗里达州奥尔兹马尔的一个水处理设施遭到袭击。Oldsmar设施内的操作员检测到来自工厂外的两次入侵,第二次入侵涉及一名远程攻击者,该攻击者通过TeamViewer桌面共享软件连接,TeamViewer桌面共享软件是用于技术支持的合法远程访问解决方案。

远程攻击者将住宅和商业饮用水中的氢氧化钠含量,从百万分之100改变为百万分之1100。氢氧化钠(又名碱液)被添加到水中以控制酸度和去除某些金属。碱液也是下水道清洁剂中的主要试剂,是一种腐蚀性物质,如果食用就会有危险。

运营商切断了攻击者的连接,并在水处理系统固有安全措施的支持下,防止污染水进入公众。

3、JBS FOODS攻击事件

5月30日,全球最大的肉类供应商JBS遭到勒索软件攻击,导致澳大利亚、加拿大和美国的工厂关闭。美国的工厂关闭也导致近五分之一的肉类加工能力丧失。联邦调查局将这次攻击归咎于REvil,也被称为Sodinokibi。

Revil是一个提供RAAS的黑客组织。他们以敲诈巨额赎金、针对大公司、在加密之前窃取数据进行双重勒索而闻名,并将这些数据发布在一个名为Happy Blog的暗站上。

JBS维护一个备份系统,并能够使用它恢复操作以恢复数据。尽管如此,该公司为挽回损失,还是向攻击者支付了1100万美元的赎金。

]]>
2020年美国学校因勒索软件攻击损失66亿美元 Thu, 23 Sep 2021 05:43:33 +0800 根据Comparitech的报道,去年美国中小学和大学可能因为勒索攻击损失66亿美元。Comparitech分析了2020年美国教育机构汇报的77宗攻击事件,根据停机时间和恢复时间估算出受害者成本。Comparitech声称2020年有1740所中小学和大学受到影响,波及学生140万,相比2019分别增加39%和67%。到了今年趋势还在继续,例如4月份布劳沃德县公立学校收到勒索请求,索要金额高达4000万美元。研究人员分析2020年的77宗勒索案,发现当中有9宗提到勒索金额,介于1万美元至100多万美元。

从2018年1月到2021年6月,Comparitech收集到222起针对美国中小学和大学的独立勒索软件攻击案例,影响3880所学校和近300万名学生。

]]>
迎接新时代!数据安全法、关基保护条例、漏洞管理规定今日正式施行 Thu, 23 Sep 2021 05:43:33 +0800 9月1日起,我国多部网络安全相关法规文件纷纷生效实施,包括:

  • 《中华人民共和国数据安全法》已由全国人大常委会于2021年6月10日通过,自2021年9月1日起施行。

  • 《关键信息基础设施安全保护条例》已经2021年4月27日国务院常务会议通过,自2021年9月1日起施行。

  • 工业和信息化部、国家互联网信息办公室、公安部联合印发《网络产品安全漏洞管理规定》,自2021年9月1日起施行。

加上今年11月1日起施行的《个人信息保护法》,我国网络安全顶层设计基本建成。

从今天开始,我国网络安全行业将迈入新时代,网络安全不再是可有可无的附庸,而是组织经营需要坚守的底线。特别是重要行业、重点资产、关键弱点,需要着重监管,增强保护。

在构建好顶层制度后,国内组织将进入比拼安全建设的新阶段,满足的监管单位的合规要求只是最基本的要求,重能力、重效果方能取得更好的成绩。

]]>
勒索软件首次成功攻击国家核心金融系统,巴西国库惨遭攻击! Thu, 23 Sep 2021 05:43:33 +0800 据巴西经济部称,8月13日晚国库内部网络遭遇勒索软件袭击并立即采取了遏制措施,同时召集了联邦警察。这是勒索软件首次成功攻击国家核心金融系统,勒索软件已成为全球网络空间安全的重大破坏因素之一。

初步评估显示,包括公共债务管理平台在内的国库体系化系统没有受到损害。巴西经济部指出,有关该事件的新信息将会及时披露并具有适当的透明度。

8月16日,巴西经济部与巴西证券交易所联合发布的另一份声明则提到,此次攻击并未“以任何方式”影响到巴西政府的个人债券购买项目Tesouro Direto。

在此次巴西国库遭遇攻击之前, 2020年11月巴西高级选举法院也曾遭遇重大网络攻击,该袭击使该法院的系统停顿了两个多星期。就其复杂性和所造成损害的范围而言,当时该事件被认为是有史以来针对巴西公共部门机构精心策划的最全面的攻击。2021年,巴西境内有多家大型企业同样受到重大勒索软件攻击的影响,包括医疗保健企业Fleury、巴西航空工业公司等。

 勒索自救措施

勒索软件具有强破坏性。一旦运行起来,用户很快就会发现其特征,如部分进程突然结束、文件不能打开、文件后缀被篡改、屏保壁纸被更换等。

当我们已经确认感染勒索病毒后,应当及时采取必要的自救措施。之所以要进行自救,主要是因为:等待专业人员的救助往往需要一定的时间,采取必要的自救措施,可以减少等待过程中,损失的进一步扩大。

隔离中招主机

当确认服务器已经被感染勒索病毒后,应立即隔离被感染主机,防止病毒继续感染其他服务器,造成无法估计的损失。隔离主要包括物理隔离和访问控制两种手段,物理隔离主要为断网或断电;访问控制主要是指对访问网络资源的权限进行严格的认证和控制。

( 1 ) 物理隔离

物理隔离常用的操作方法是断网和关机。断网主要操作步骤包括:拔掉网线、禁用网卡,如果是笔记本电脑还需关闭无线网络。

( 2 ) 访问控制

加策略防止其他主机接入,关闭感染主机开放端口如 445、135、139、3389 等。修改感染主机及同局域网下所有主机密码,密码采用大小写字母、数字、特殊符号混合的长密码。

排查业务系统

在已经隔离被感染主机后,应对局域网内的其他机器进行排查,检查核心业务系统是否受到影响,生产线是否受到影响,并检查备份系统是否被加密等,以确定感染的范围。

联系专业人员

在应急自救处置后,建议第一时间联系专业的技术人士或安全从业者,对事件的感染时间、传播方式,感染家族等问题进行排查。

 勒索病毒预防建议

现在勒索病毒的勒索形式不断变化,一旦中招,想要无损解密相对来说比较困难。所以,勒索病毒主要还是预防为主,通过周期性的安全培训,增强人们的安全意识。做到未雨而绸缪,防止临渴而掘井。

( 1 ) 对重要的数据文件定期进行非本地备份,一旦文件损坏或丢失,也可以及时找回。

( 2 ) 及时给办公终端和服务器打补丁,修复漏洞,包括操作系统以及第三方应用的补丁,防止攻击者通过漏洞入侵系统。

( 3 ) 尽量关闭不必要的端口,如139、445、3389等端口。如果不使用,可直接关闭高危端口,降低被漏洞攻击的风险。

( 4 ) 不对外提供服务的设备不要暴露于公网之上,对外提供服务的系统,应保持较低权限。

( 5 ) 应采用高强度且无规律的密码来登录办公系统或服务器,要求包括数字、大小写字母、符号,且长度至少为8位的密码,并定期更换口令。对于各类系统和软件中的默认账户,应该及时修改默认密码,同时清理不再使用的账户。

( 6 ) 尽量关闭不必要的文件共享。

( 7 ) 提高安全运维人员职业素养,定期进行木马病毒查杀。

]]>
女子不满被公司开除“删库”:还在系统上留下脏话 Thu, 23 Sep 2021 05:43:33 +0800 大多数人听说过程序员“删库”跑路的,但有听说过人力资源经理“删库”的吗?

据外媒报道,美国佛罗里达州一名女子因不满被公司解雇,在离职时对公司系统中的数据进行了破坏,遭到公司起诉。

报道中指出,这位名叫梅德恩·卡隆格(Medghyne Calonge)的女子此前就职于一家总部位于曼哈顿的在线专业服务提供商,在该公司佛罗里达州圣彼得堡办事处担任人力资源经理。

2019年6月28日,卡隆格因“未能满足其职位的最低要求而被解雇,原因之一是她在与同事发生争执后不当地降低了同事对公司计算机系统的访问级别”。

不过,卡隆格对于被解雇十分不满,登录到公司用于管理就业申请的计算机系统,在两天的时间内删除了17000多份求职申请和简历,并在系统内留下带有污言秽语的信息。

在离开公司大楼之前,有两名公司员工看到卡隆格“反复敲击桌面电脑上的删除键”,最终,她销毁了该公司计算机系统中的所有数据。

而她的这一行为迫使该公司花费10多万美元重建该系统。随后,公司起诉了卡隆格,指责其故意损坏公司受保护的计算机系统。

目前,该案件审理中,还未做出最终判决。


]]>
Puma 1GB被盗数据,在暗网上进行公开拍卖 Thu, 23 Sep 2021 05:43:33 +0800 8月29日,Security affairs披露,Marketo (售卖 ”被盗数据“ 的经营商)声称从PUMA公司窃取了大约 1GB 的数据,这些数据将会在平台上进行公开拍卖。

从 Puma 窃取的一些文件已在 Marketo上进行了发布,其中包含可能链接到公司产品管理门户内部管理应用程序的源代码,分析代码的专家发现,有证据表明泄露的文件可能因第三方软件提供商,发生数据泄露而被盗。攻击者可以使用这些数据来策划对公司的更复杂的攻击。

Marketo作为一个有组织的“被盗数据市场”的运营商,不同于典型的勒索软件集团,他们是通过阻止受害者的网络,加密各种数据存储上的可用文件来分发恶意代码,破坏 IT 运营。 除此之外,Marketo具有对被盗数据“出价”的独特能力,这种行为会引起对数据获取感兴趣的各方(包括最终受害者),为了获取最后的数据而相互竞价。

截至8月29日,已有 157 个网络攻击者出价购买敏感数据。

]]>
盲目自信还是要面子?新加坡和马来西亚被指夸大网络安全能力 Thu, 23 Sep 2021 05:43:33 +0800 ISACA最近的一项调查显示,新加坡和马来西亚这两个东南亚国家的企业低估了威胁水平,或者说夸大了他们的防御能力。发生这种情况的原因大多是为了面子,但是网络安全能力差距也是真实存在的。

根据最新发布的ISACA调查显示,与世界其他地区的企业相比,新加坡、马来西亚和印度的企业非常有信心能够逃脱网络攻击。但是事实证明,这种信心可能没有充分的根据,尤其是对新加坡和马来西亚企业而言。

提供安全培训和咨询服务的ISACA在2020年底对全球3,659人进行了调查,其中154名受访者来自马来西亚和新加坡,这些受访者中65%的人来自拥有超过1,500名员工的组织;印度有210名受访者,其中80%来自拥有1,500多名员工的组织。

对防御的信心很大程度上与网络攻击预期相符——马来西亚和新加坡除外

在马来西亚和新加坡的受访者中,只有33%的人预计他们的组织将在明年遭遇网络攻击。同样,很少有印度企业(29%)预计明年会遭受网络攻击。相比之下,46%的非洲受访者和58% 的英国受访者预计他们的组织将在明年遭遇网络攻击。(非洲有119名受访者,其中55%所在的组织超过1,500人。英国有112名受访者,其中63%所在的组织有1,500名或更多员工。)

在新加坡和马来西亚的受访者中,67%的人表示他们对其网络安全团队检测和应对网络威胁的能力充满信心。在印度受访者中,69%的人对此充满信心。而相比之下,非洲的信心水平为75%,英国为81%。

那么问题来了,为什么与其他地区同行相比,马来西亚、新加坡和印度企业对自身抵御网络攻击能力的信心相对较低,却反倒认为自身不太可能遭受网络攻击呢?

ISACA内容开发高级总监Karen Heslop解释称,

“我们很难确切地知道是什么导致了印度、新加坡和马来西亚信心偏低的情况,但他们对其安全团队的信心可能是一个因素,因为对安全团队的信心较低通常会导致更多的担忧。同理,对安全团队更加放心往往意味着更少的担忧。”

尽管印度的整体信心水平(69%)与马来西亚和新加坡(67%)相似,但Heslop指出,印度企业“完全或非常有信心”的比例为 46%,而马来西亚和新加坡仅为27%。这一数据也解释了印度企业对自身遭受网络攻击的担忧降低的情况。

此外,32%的非洲企业和37%的英国企业表示对自身抵御网络攻击的能力完全或非常有信心,这两个地区明年的比例预计会更高。

这也使得新加坡和马来西亚的数据变得不太可信,它们一方面对自身抵御网络攻击的信心不足,另一方面又觉得未来遭受网络攻击的可能很低。这无论无何也解释不通。

是盲目自信还是为了面子?

总部位于新加坡的数字风险咨询公司Veqtor8的创始人Andrew Milroy认为,新加坡和马来西亚出现的数据偏差很可能与网络安全专业人士想要在回答问题时尽量说得体面点有关。他说,

“目前,ISACA正在报告其调查结果。调查受访者经常会误解问题,根据自身看法而非事实来作答,或者因为不想给人留下不好的印象而粉饰结果,造成数据不准确,这些都是完全可能发生的。他们可能确实对调查过于自信,这也不难理解——人们不想给别人一种不自信的印象,尤其是在新加坡。但是事实上,他们的防御水平漏洞百出。所有企业都面临着比以往更大的风险,而且很少在企业在管理风险方面做得到位。”

东南亚企业应采取哪些措施来强化网络安全

无论受访者是盲目自信还是面子主义,东南亚企业确实需要改善他们的网络安全防御能力。 位于新加坡和印度的网络安全公司Haltdos的董事长Ashish Saxena表示,

“在过去的18个月中,东南亚的网络攻击大幅增加,尤其是在COVID-19大流行期间。”

但网络安全投资却并未跟上节奏。IBM东盟集成安全负责人Derek Tay称,

“就ISACA研究中提出的观点而言,我可以分享我们最近的《2021年数据泄露成本报告》研究的调查结果,由于企业组织不得不通过更多地转向基于云的活动,并要求他们的员工远程工作来应对疫情大流行,因此对安全能力的投资出现了滞后的情况。”

Saxena表示,网络攻击的增加主要是由于远程工作及其对远程连接的依赖增加所致。如今,大多数员工和第三方员工都在使用Windows RDP(远程桌面协议)、AnyDesk和Windows TeamViewer等实用程序,但这些程序甚至缺乏强大的密码保护,这也导致为服务器上的攻击者提供了后门访问权限,从而增加了恶意软件在其他机器上传播的概率,并在某些情况下导致勒索软件攻击。

Saxena建议称,就企业组织而言,应该通过多因素身份验证在“最小访问权限”原则下提供安全的远程访问。就个人用户而言,应该了解社会工程攻击的类型及其作案手法,以免上当受骗。

Saxena还表示,Web应用程序是任何网络攻击的前线,因此保护Web应用程序对任何组织都至关重要。所以,除了应用程序的安全测试之外,Web应用程序防火墙也是企业组织应该采用的理想技术解决方案。

IBM的Tay称,

“IBM的研究还表明,由于大流行期间的剧烈运营变化,安全事件的成本变得更高且更难控制。在东盟,金融业受到的影响最大,每次数据泄露事件平均损失400万美元,其次是服务和科技行业。而在新加坡,每次事故的成本可能超过50万美元。我们的研究表明,在东盟,以人为本的控制措施——例如董事会层面的监督以及对事件响应计划的广泛测试——是降低数据泄露成本的两种最有效手段。此外,实施加密、人工智能平台和安全分析等技术控制也能够帮助降低网络攻击成本。不幸的是,企业需要应对多种经济挑战,并且在某种程度上,可能只有较大的企业才具备技术、流程和人力资源。中小型企业在应对网络攻击方面仍然需要付出很多努力。”

Veqtor8的Milroy还警告称,ISACA的一些调查结果和建议可能不会对企业产生很大的激励作用,尤其是在声誉受损成本方面。他认为,声誉受损并不是大多数公司的主要关注点。 新加坡的许多公司(例如大华银行、Grab和许多其他公司)都遭到过入侵,但并没有严重影响他们的声誉。他们更担心停电导致的运营成本或对违规行为的处罚。

]]>
企业安全漏洞管理失败的三大顽疾 Thu, 23 Sep 2021 05:43:33 +0800 新型冠状病毒给网络安全专业人员带来了巨大工作压力。随着网络安全预算紧张、远程办公的常态化,越来越复杂的威胁形势已经给漏洞管理提出了更加严峻的挑战。

很多企业对漏洞管理的定义从一开始就过时了。漏洞管理,绝不仅是扫描企业网络是否存在威胁这么简单。漏洞管理的整体方法包括识别、报告、评估和确定暴露的优先级。至关重要的是,它还涉及风险管理背景。漏洞管理的综合方法不仅是扫描安全漏洞,还包括展示攻击者如何利用这些漏洞以及可能发生的后果。

准确地说,漏洞管理应当采用全局方法,要求各方面协调工作,以降低关键业务资产的风险,这也是安全运营团队应该为之奋斗的目标。研究发现,企业安全漏洞管理工作失败主要有三大原因:

一、管理无序,未进行威胁优先级排序

无法对威胁进行正确优先级排序是企业目前在漏洞管理环境中面临的最严重的问题之一。太多企业通过扫描识别安全漏洞,然后直接进入修复阶段。在某种程度上,这种紧迫性是可以理解的。但未能有效地确定优先级可能会导致时间和资源的浪费,因为团队竞相解决的可能是那些对业务关键资产没有真正风险的漏洞。

更糟糕的是,无序的漏洞管理反而会使企业变得更为脆弱。一个更好的方法是优先关注于已确定的、可以被利用的漏洞风险。如果操作正确,这种优先级排序可以消除对业务敏感的系统99%的风险。使用先进的攻击补丁管理解决方案、使用以攻击为中心的关键风险上下文关联方法对漏洞进行优先级排序,能够全面显示漏洞对企业的真实威胁:每个漏洞被利用的可能性以及每个漏洞对企业的关键资产构成的风险。

二、不能坚持,缺乏连续性管理计划

有效的漏洞管理计划应该是持续的,而不是偶发的。如果企业不采取持续的方法,他们将难以控制漏洞的流动并积累大量“漏洞债务”。跟踪新涌现的漏洞往往会让安全团队疲于奔命,而处理不断积压的安全问题可能会使安全运营不堪重负。因此,漏洞管理应当使用以连续和自动化漏洞识别为中心的持续方法,而不是不定期的扫描和修复。这是企业持续改进安全态势的关键措施之一。

三、沟通不畅,管理团队架构不清晰

当安全团队没有明确的沟通渠道和正确的组织结构时,一般都会出现问题。团队成员经常没有明确的角色,他们不了解自己在整体漏洞管理框架中的职责。当团队成员有明确的角色定义和明确的职责、目标时,他们才可以有效地工作和协作,了解如何将工作与他人的角色和责任相关联,而避免错过更大的安全图景。

这种沟通需求也延伸到了最高管理层。鉴于强大的网络安全能力已成为一项重要的企业战略目标,公司领导层应当充分了解安全计划的重要性。数据泄露数量逐年增加,一次数据泄露就可能导致严重的声誉和财务损失,甚至企业关门倒闭。漏洞管理已经不再只是IT支出的一个分支,它应该是一个关键的业务目标。

为了实现高效漏洞管理,企业必须意识到漏洞管理应该是一个持续的、多阶段的过程。当然,在IT部门内部,也应该刮骨疗毒,彻底解决困扰漏洞管理效率的三大顽疾。

]]>
勒索软件首次成功攻击国家核心金融系统,巴西国库惨遭攻击! Thu, 23 Sep 2021 05:43:33 +0800 据巴西经济部称,8月13日晚国库内部网络遭遇勒索软件袭击并立即采取了遏制措施,同时召集了联邦警察。这是勒索软件首次成功攻击国家核心金融系统,勒索软件已成为全球网络空间安全的重大破坏因素之一。

初步评估显示,包括公共债务管理平台在内的国库体系化系统没有受到损害。巴西经济部指出,有关该事件的新信息将会及时披露并具有适当的透明度。

8月16日,巴西经济部与巴西证券交易所联合发布的另一份声明则提到,此次攻击并未“以任何方式”影响到巴西政府的个人债券购买项目Tesouro Direto。

在此次巴西国库遭遇攻击之前, 2020年11月巴西高级选举法院也曾遭遇重大网络攻击,该袭击使该法院的系统停顿了两个多星期。就其复杂性和所造成损害的范围而言,当时该事件被认为是有史以来针对巴西公共部门机构精心策划的最全面的攻击。2021年,巴西境内有多家大型企业同样受到重大勒索软件攻击的影响,包括医疗保健企业Fleury、巴西航空工业公司等。

 勒索自救措施

勒索软件具有强破坏性。一旦运行起来,用户很快就会发现其特征,如部分进程突然结束、文件不能打开、文件后缀被篡改、屏保壁纸被更换等。

当我们已经确认感染勒索病毒后,应当及时采取必要的自救措施。之所以要进行自救,主要是因为:等待专业人员的救助往往需要一定的时间,采取必要的自救措施,可以减少等待过程中,损失的进一步扩大。

隔离中招主机

当确认服务器已经被感染勒索病毒后,应立即隔离被感染主机,防止病毒继续感染其他服务器,造成无法估计的损失。隔离主要包括物理隔离和访问控制两种手段,物理隔离主要为断网或断电;访问控制主要是指对访问网络资源的权限进行严格的认证和控制。

( 1 ) 物理隔离

物理隔离常用的操作方法是断网和关机。断网主要操作步骤包括:拔掉网线、禁用网卡,如果是笔记本电脑还需关闭无线网络。

( 2 ) 访问控制

加策略防止其他主机接入,关闭感染主机开放端口如 445、135、139、3389 等。修改感染主机及同局域网下所有主机密码,密码采用大小写字母、数字、特殊符号混合的长密码。

排查业务系统

在已经隔离被感染主机后,应对局域网内的其他机器进行排查,检查核心业务系统是否受到影响,生产线是否受到影响,并检查备份系统是否被加密等,以确定感染的范围。

联系专业人员

在应急自救处置后,建议第一时间联系专业的技术人士或安全从业者,对事件的感染时间、传播方式,感染家族等问题进行排查。

 勒索病毒预防建议

现在勒索病毒的勒索形式不断变化,一旦中招,想要无损解密相对来说比较困难。所以,勒索病毒主要还是预防为主,通过周期性的安全培训,增强人们的安全意识。做到未雨而绸缪,防止临渴而掘井。

( 1 ) 对重要的数据文件定期进行非本地备份,一旦文件损坏或丢失,也可以及时找回。

( 2 ) 及时给办公终端和服务器打补丁,修复漏洞,包括操作系统以及第三方应用的补丁,防止攻击者通过漏洞入侵系统。

( 3 ) 尽量关闭不必要的端口,如139、445、3389等端口。如果不使用,可直接关闭高危端口,降低被漏洞攻击的风险。

( 4 ) 不对外提供服务的设备不要暴露于公网之上,对外提供服务的系统,应保持较低权限。

( 5 ) 应采用高强度且无规律的密码来登录办公系统或服务器,要求包括数字、大小写字母、符号,且长度至少为8位的密码,并定期更换口令。对于各类系统和软件中的默认账户,应该及时修改默认密码,同时清理不再使用的账户。

( 6 ) 尽量关闭不必要的文件共享。

( 7 ) 提高安全运维人员职业素养,定期进行木马病毒查杀。

]]>
《愤怒的小鸟》开发商被起诉:涉嫌侵犯销售儿童隐私 Thu, 23 Sep 2021 05:43:33 +0800 《愤怒的小鸟》是全球知名度最高、手机下载量最高的休闲益智手机游戏之一,但是最近却因为儿童隐私问题被起诉。

根据外媒报道,《愤怒的小鸟》开发商Rovio娱乐公司近期遭到美国墨西哥州总检察长Hector Balderas的起诉,指控该公司收集和出售13岁以下儿童的个人数据,并“积极”地针对此年龄段的少儿销售游戏内虚拟商品、游戏周边等相关商品。

Balderas还指责Rovio公司“秘密泄露儿童的个人信息,将这些数据出售给第三方营销公司,危及新墨西哥州的儿童,破坏了其父母保护儿童及其隐私的能力,并违反了相关法律”。

这种做法违反了《儿童在线隐私保护法(COPPA)》,该保护法要求公司在收集13岁以下儿童的任何个人信息之前,必须获得他们父母的许可。在面向所有年龄段的大众市场服务中,公司还必须采取措施确保不会收集该年龄段用户的数据。

墨西哥州政府要求法院对Rovio公司发出永久禁令,对其做出民事处罚和惩罚性赔偿,并且要求承担法律费用和其它相关费用。

]]>
美国第三大公共图书馆波士顿图书馆遭网络攻击,全系统技术中断 Thu, 23 Sep 2021 05:43:33 +0800 波士顿公共图书馆 (BPL) 8月28日透露,其网络在三天前(25日)遭到黑客攻击,导致整个系统技术中断。

BPL每年通过其中央图书馆和25个社区分馆为近400万游客提供服务,此外还有数百万在线用户。

按馆藏藏品总数计算,它是美国第三大公共图书馆,仅次于联邦国会图书馆和纽约公共图书馆。

影响所有需要登录的服务

图书馆网站上的一则通知写道:“图书馆目前正经历一次严重的系统故障,需要登录的在线图书馆服务无法使用。”

波士顿公共图书馆表示:“8月25日上午,由于网络安全攻击,波士顿公共图书馆经历了一次系统技术故障,公共计算机和公共印刷服务以及一些在线资源暂停。”

受到影响的系统立即下线,并采取主动措施隔离问题,关闭网络通信。”

执法部门和市长的IT专家合作进行的调查尚未发现任何证据表明受影响的系统中有员工或用户数据被盗。

波士顿公共图书馆在一份声明中称:“对于此次中断给您带来的任何不便,我们深表歉意。我们的 IT 部门正在努力恢复所有技术服务。BPL 位置保持开放,顾客仍然可以借书,并且一些在线服务保持运行。”

IT 人员现在正在恢复受影响的系统和服务

BPL的IT部门现在正在恢复所有受影响的设备和服务,一些物理位置的在线服务仍然可用。

波士顿公共图书馆的发言人娜塔莎·菲(Natasha Fee)27日表示,“现在我们所有的工作站点都在手动处理交易。” 目前,波士顿图书馆仍然开放,但大部分电子功能处于离线状态。波士顿市政府IT部门还未公布图书馆系统何时才能重启。

目前,影响图书馆网络安全因素主要体现在网络病毒攻击、操作系统及软件安全漏洞以及管理策略不完善等问题上,这些对个人用户信息及图书馆网络安全构成诸多威胁。

尤其在软件安全漏洞问题上,图书馆使用最频繁的系统通常简单易操作,但其中不乏存在安全漏洞,并且存在打补丁不及时的情况,这就给黑客提供了可以利用其发起网络攻击的机会,因此减少安全漏洞可以大幅降低遭到网络攻击的风险。


]]>
最新研究显示:海上钻井平台网络安全状况堪忧 Thu, 23 Sep 2021 05:43:33 +0800 工业网络安全公司Naval Dome与荷兰皇家壳牌(Royal Dutch Shell)的海上部门合作进行了针对海上深水钻井平台的网络安全风险研究,形成的研究报告在8月16日于休斯顿举行的海上技术大会上发布。报告认为,深水钻井平台通常没有做好保护自己免受网络攻击的准备,钻机需要的不仅仅是防火墙和杀毒软件。面对网络攻击泛化和勒索肆虐的态势,深水钻井平台面临真正的网络安全挑战和明显的应对不足。

海军圆顶(Naval Dome)是一家以色列公司,位于马萨诸塞州坎布里奇(Cambridge)。该公司与荷兰皇家壳牌(Royal Dutch Shell)的海上部门合作,识别并降低海上深水钻井平台的网络安全风险。他们在近期于休斯顿举行的海上技术大会上发表的报告发现,最低限度的指导方针、法规和安全技术与石油行业的步伐不一致,因为石油行业更多地依赖自动化和远程技术来高效、安全地钻探原油。

题为《Cyberdefence of Offshore Deepwater Drilling Rigs》的研究报告称,研究者介绍了一种使用新的预防技术来管理深水钻井平台资产网络安全风险的替代方法。在过去两年中,壳牌深水井业务一直在评估典型的网络防御方法,并进行网络安全风险评估和渗透测试。这些活动表明了实现钻井平台网络安全的环境挑战。虽然网络攻击的频率、适应性和启动成本越来越高,但监管和责任保险要求也在不断发展。为了实现网络弹性的目标,一家大型运营商与一家网络安全公司合作,试用技术以快速可靠地保护深水钻井平台。报告分享了深入了解的经验教训,从而更全面地了解如何保护钻井平台及其安全关键控制系统。除了使用基于风险与成熟度的方法解决技术属性外,该方法还满足短期钻机合同的业务需求,管理多供应商遗留系统,满足日益增长的数字化/远程访问需求,同时降低整体网络安全CAPEX支出。

作者在报告中表示,试点测试证实,传统的“边界型”IT安全解决方案移植到OT网络,如防病毒、网络监控和防火墙,不足以保护关键安全和处理设备免受攻击。这些解决方案使钻井平台易受攻击。论文还强调了OT网络领域技术人员的短缺;制定和实施缓慢的监管和控制措施;以IT为中心的方法应用于OT环境;以及钻机系统和设备与其支持软件之间的严重不协调和不匹配。

“海上平台上安装的系统传统上是孤立和不连接的,这限制了网络攻击的成功,而远程监控、自主控制、(物联网)和数字化的广泛使用,使钻机更容易受到攻击,”Naval Dome的战略主管亚当·里兹卡在一份声明中说。

今年夏天,美国东北部地区的石油供应因Colonial Pipeline遭黑客攻击而中断,石油和天然气行业正面临日益严重的网络攻击威胁。这家总部位于格鲁吉亚的管道公司向黑客支付了440万美元赎金,花费近一周时间才重新恢复管道运营。此次网络攻击突显出,石油和天然气行业在黑客面前是多么脆弱。

在过去的两年里,Naval Dome公司与壳牌公司合作,在墨西哥湾的钻井平台上安装和测试Endpoint网络防御系统。在测试系统的模拟网络安全攻击中,一名服务技术人员在不知情的情况下使用了带有恶意软件的U盘,渗入了内部系统和网络。

里兹卡说:“修改后的文件以与原始文件外观和行为相同的方式打包,并通过了反病毒扫描,而不会被识别为网络攻击,也不会被安装的网络网络流量监控系统发现。”“渗透测试证实,针对深水钻井平台的有针对性的网络攻击可能会导致严重的生产安全事故,并带来相关的财务和声誉影响。”

许多海上钻井平台和生产平台使用的是未连接到互联网或外部网络的遗留软件。然而,Naval Dome发现,传统的杀毒软件、网络监控和防火墙不足以保护海上钻井平台免受攻击。该公司对离岸行业的网络安全人员短缺、监管和控制不足表示担忧。

升级海上钻井系统的成本很高,即使进行了升级,钻井平台仍然容易受到网络攻击。里兹卡表示,随着越来越多的离岸公司使用远程技术和自动化操作,风险也在上升。

里兹卡说:“很明显,需要更先进的专用解决方案来更好地保护海上平台免受外部和内部网络攻击,无论是有目标的还是其他的。”

在评论该项目的成果时,Naval Dome首席执行官Itai Sela说:“项目和多层网络防御解决方案的成功试点测试,表明两个新的和遗留OEM系统可以更好的保护来自内部和外部的网络攻击向量,而不需要昂贵的设备升级,或更高的开销导致总成本的增加。“到目前为止的结果表明,终端系统是强大的,可以在不干扰正在进行的钻机作业的情况下运行。升级过时系统的成本很高,即使进行了升级,漏洞仍然存在。”

这表明多层次网络安全解决方案的测试和验证达到了预期有效果,具备了一定的成熟度和可用性。通过不同的方式解决问题,Naval Dome和石油巨头壳牌认为,在行业的关键时刻,可以加速海上设施的网络弹性环境的实现。


]]>
安全周报(08.23-08.29) Thu, 23 Sep 2021 05:43:33 +0800 1、网信办专项整治移动应用程序弹窗乱象,禁止PUSH弹窗推送娱乐八卦明星绯闻

国家网信办8月27日启动“清朗·移动应用程序PUSH弹窗突出问题专项整治”,重点面向新闻客户端、手机浏览器、公众账号平台、工具类应用等4类移动应用程序,分类施策,明确六项整改要求:

①禁止PUSH弹窗推送商业网站平台和“自媒体”账号违规采编发布、转载的新闻信息,推送新闻信息必须采用规范稿源。

②PUSH弹窗推送新闻信息不得渲染炒作舆情热点,断章取义、篡改原意吸引眼球、误导网民。

③未取得互联网新闻信息服务许可的工具类应用不得PUSH弹窗推送新闻信息。

④禁止PUSH弹窗推送娱乐八卦、明星绯闻、血腥暴力、奇闻异事、低俗恶俗等有悖社会主义核心价值观内容。

⑤禁止通过PUSH弹窗渠道放大传播失德艺人、负面争议人物的有关言论。

⑥遇突发事件、灾难事故,不得渲染血腥现场、过度强调案件血腥细节等,不得扎堆PUSH弹窗推送相关信息。

2、网信办拟出规定严管算法推荐服务提供者

近天,国家网信办就《互联网信息服务算法推荐管理规定(征求意见稿)》向社会公开征求意见,拟规定:算法推荐服务提供者

①不得利用算法实施流量造假、流量劫持;

②不得利用算法屏蔽信息、过度推荐、操纵榜单或者检索结果排序、控制热搜或者精选等干预信息呈现,实施自我优待、不正当竞争、影响网络舆论或者规避监管;

③不得向未成年人用户推送可能影响未成年人身心健康的信息内容,不得利用算法推荐服务诱导未成年人沉迷网络;

④算法推荐服务提供者应接受社会监督,设置便捷的投诉举报入口,及时受理和处理公众投诉举报。

3、我国互联网立法及监管方向日益明朗 网络安全问题出现下降趋势

数据安全受到社会各界的高度关注,互联网相关的立法和执法也在加速推进。随着《网络安全法》的施行,以及即将在今年先后施行的《数据安全法》和《个人信息保护法》,我国互联网立法及监管的方向日益明朗,网络安全问题也有下降趋势。

《报告》显示,截至今年6月,61.4%的网民表示过去半年在上网过程中未遭遇过网络安全问题,与2020年12月基本保持一致,遭遇个人信息泄露的网民比例最高为22.8%,遭遇网络诈骗的网民比例为17.2%。

2021年上半年,全国各级网络举报部门共受理举报7522.5万件,较2020年同期下降7.2%。

通过对遭遇网络诈骗网民的进一步调查发现,网民遭遇多种网络诈骗的比例均有所下降。其中,网民最常遭遇的虚拟中奖信息诈骗,占比为40.8%,较2020年12月下降7.1个百分点;遭遇网络购物诈骗的比例为31.7%,较2020年12月下降1.2个百分点;遭遇网络兼职诈骗的比例为28.2%,较2020年12月下降5.1个百分点。

4、云数据库严重漏洞或泄露密钥,微软警告数千客户抓紧处置

微软Azure云平台上的旗舰Cosmos DB数据库爆出严重漏洞,攻击者能够窃取数千家企业云上数据库的访问密钥,从而读取、篡改甚至删除企业的主数据库;

由于微软官方无法自行更改这些密钥,只能向广大云上客户发布安全警告,要求尽快更新密钥。

根据相关邮件及一位网络安全研究人员的证实,微软本周四(8月26日)向包括全球多家巨头企业在内的云服务客户发布广泛警告,称入侵者或有能力读取、篡改甚至删除其主数据库。

这项漏洞来自Microsoft Azure平台上的旗舰Cosmos DB数据库。云安全厂商Wiz的研究团队发现,攻击者能够借此漏洞掌握数千家企业日常使用的数据库的访问密钥。这里还有一段故事,Wiz公司首席技术官Ami Luttwak正是微软云安全团队的前任首席技术官。

由于微软无法自行更改这些密钥,因此只能于周四向客户发出邮件,提醒他们尽快创建新密钥。根据Wiz收到的微软邮件,微软公司愿意为此项漏洞的发现与上报支付4万美元奖励。

ChaosDB,史上最严重的云漏洞?

Luttwak在采访中表示,“这是我们所能想象到的最严重的云漏洞,也是个早已有之的潜在隐患。经由Azure中央数据库,我们能够访问任何客户的数据库。”

]]>
网信办专项整治弹窗乱象,禁止PUSH弹窗推送娱乐八卦明星绯闻 Thu, 23 Sep 2021 05:43:33 +0800 国家网信办8月27日启动“清朗·移动应用程序PUSH弹窗突出问题专项整治”,重点面向新闻客户端、手机浏览器、公众账号平台、工具类应用等4类移动应用程序,分类施策,明确六项整改要求:①禁止PUSH弹窗推送商业网站平台和“自媒体”账号违规采编发布、转载的新闻信息,推送新闻信息必须采用规范稿源。②PUSH弹窗推送新闻信息不得渲染炒作舆情热点,断章取义、篡改原意吸引眼球、误导网民。③未取得互联网新闻信息服务许可的工具类应用不得PUSH弹窗推送新闻信息。④禁止PUSH弹窗推送娱乐八卦、明星绯闻、血腥暴力、奇闻异事、低俗恶俗等有悖社会主义核心价值观内容。⑤禁止通过PUSH弹窗渠道放大传播失德艺人、负面争议人物的有关言论。⑥遇突发事件、灾难事故,不得渲染血腥现场、过度强调案件血腥细节等,不得扎堆PUSH弹窗推送相关信息。

]]>
网信办拟出规定严管算法推荐服务提供者 Thu, 23 Sep 2021 05:43:33 +0800 近天,国家网信办就《互联网信息服务算法推荐管理规定(征求意见稿)》向社会公开征求意见,拟规定:算法推荐服务提供者①不得利用算法实施流量造假、流量劫持;②不得利用算法屏蔽信息、过度推荐、操纵榜单或者检索结果排序、控制热搜或者精选等干预信息呈现,实施自我优待、不正当竞争、影响网络舆论或者规避监管;③不得向未成年人用户推送可能影响未成年人身心健康的信息内容,不得利用算法推荐服务诱导未成年人沉迷网络;④算法推荐服务提供者应接受社会监督,设置便捷的投诉举报入口,及时受理和处理公众投诉举报。

]]>
云数据库严重漏洞或泄露密钥,微软警告数千客户抓紧处置 Thu, 23 Sep 2021 05:43:33 +0800 微软Azure云平台上的旗舰Cosmos DB数据库爆出严重漏洞,攻击者能够窃取数千家企业云上数据库的访问密钥,从而读取、篡改甚至删除企业的主数据库;

由于微软官方无法自行更改这些密钥,只能向广大云上客户发布安全警告,要求尽快更新密钥。

根据相关邮件及一位网络安全研究人员的证实,微软本周四(8月26日)向包括全球多家巨头企业在内的云服务客户发布广泛警告,称入侵者或有能力读取、篡改甚至删除其主数据库。

这项漏洞来自Microsoft Azure平台上的旗舰Cosmos DB数据库。云安全厂商Wiz的研究团队发现,攻击者能够借此漏洞掌握数千家企业日常使用的数据库的访问密钥。这里还有一段故事,Wiz公司首席技术官Ami Luttwak正是微软云安全团队的前任首席技术官。

由于微软无法自行更改这些密钥,因此只能于周四向客户发出邮件,提醒他们尽快创建新密钥。根据Wiz收到的微软邮件,微软公司愿意为此项漏洞的发现与上报支付4万美元奖励。

微软在采访中证实,“我们立即修复了这个问题,确保我们的客户受到安全保护。我们也要感谢安全研究人员在漏洞披露方面提供的支持与协助。”

微软在写给客户的邮件中提到,并无证据证明此项漏洞已遭利用。“目前,没有迹象表明除Wiz研究人员之外的其他外部实体,能够访问数据库的主读写密钥。”

ChaosDB,史上最严重的云漏洞?

Luttwak在采访中表示,“这是我们所能想象到的最严重的云漏洞,也是个早已有之的潜在隐患。经由Azure中央数据库,我们能够访问任何客户的数据库。”

Luttwak的团队于8月9日发现了这项漏洞并将其定名为ChaosDB,随后于8月12日将问题上报给微软。

此项漏洞源自一款名为Jupyter Notebook的可视化工具。这款工具已经有多年历史,但从今年2月起才开始在Cosmos中默认启用。

Luttwak指出,即使是没有收到微软通知的客户,其密钥仍有可能遭到攻击者的窃取,因此请立即更改密钥以防遭到未授权访问。换言之,微软只是向那些他们认为可能受到影响的客户发出了警报。

微软则回应称,“可能受到影响的客户都已收到我们发布的通知”,但并未做出进一步解释。

微软近期频频曝出重大安全问题

就在几个月之前,微软才刚刚经历一轮安全危机的洗礼。曾经入侵SolarWinds的疑似俄罗斯政府支持黑客团伙再度出手,盗取大量微软产品源代码。而在发布补丁之后,仍有大批黑客成功闯入Exchange电子邮件服务器。

另外,微软最近发布的一个导致计算机被接管的打印机缺陷修复补丁也出现问题,需要回炉重造。上周,美国政府也就另一项Exchange漏洞向客户发布紧急警告,称已经有勒索软件团伙开始利用此项漏洞、呼吁各家客户马上安装几个月前就已发布的补丁。

但Azure上的问题尤其令人不安,毕竟微软及外部安全专家一直在催促企业客户放弃自有基础设施,依靠云环境提升业务安全性。

尽管云攻击确实较为罕见,然而一旦问题发生,引发的破坏性可能更强。更重要的是,不少攻击事件从未对外公开。

某家与联邦政府签约的研究实验室专门跟踪软件中的所有已知安全漏洞,并按严重程度对其进行评级。但Luttwak强调,目前还不存在针对云架构漏洞的同类系统,因此很多关键漏洞仍未向用户披露。

]]>
新型勒索软件已攻陷数十个组织,FBI紧急发布警告 Thu, 23 Sep 2021 05:43:33 +0800 截至目前,Hive勒索软件已经先后攻击了至少28个组织,包括8月15日刚刚遇袭的连锁医疗机构Memorial Health System。

本月中旬,美国连锁医疗机构Memorial Health System遭勒索攻击瘫痪,被迫缴纳赎金。就在今天,FBI发布了针对Hive勒索软件的警报。

Hive采取联合运营模式,今年6月首次出现

警报称,Hive是今年6月首次出现的联合运营形式勒索软件。Hive部署了“多种机制以入侵商业网络,包括使用网络钓鱼邮件中的恶意附件夺取访问权限,并配合远程桌面协议在网络中横向移动”。

FBI解释道,“在成功入侵受害者网络后,Hive勒索软件攻击者会窃取数据并加密网络上的文件。之后,攻击者会在受害者系统中每个受影响的目录内留下一份勒索信息,其中包含如何购买解密软件的说明。这份信息还威胁要在Tor网站「HiveLeaks」上公开受害者的数据。”

“Hive勒索软件会查找与备份、防病毒/反间谍软件及文件复制相关的进程,终止掉这些进程以实现文件加密。该软件加密的文件通常以.hive扩展名结尾。”

警报还解释了勒索软件如何破坏掉目标的系统与备份,再将受害者定向至只能通过Tor浏览器访问的团伙“销售部门”的链接页面。通过留下的链接,受害者可以与攻击团伙成员实时交流。FBI还指出,也有部分受害者接到了来自攻击方的敲诈电话。

大多数受害者只有2到6天的付款期限,但也有部分受害者能够通过谈判延长考虑时间。

该团伙拥有自己的泄密网站,专门用于威胁受害者尽快就范。FBI在警报中也展示了入侵指标、泄密站点链接以及发给受害者的勒索信息样本。

Hive勒索软件重点关注医疗健康领域

美国医院协会网络安全高级顾问John Riggi表示,新兴出现的Hive勒索软件已经得到医疗机构的高度关注。到目前为止,Hive已经攻击了至少28个组织,包括8月15日刚刚遭受袭击的Memorial Health System。这家非营利性组织在俄亥俄州与西弗吉尼亚州经营有多家医院、诊所及医疗保健站点。

Memorial Health System首席执行官Scott Cantley在一份声明中表示,目前玛丽埃塔纪念医院、塞尔比医院和姐妹县总医院这三家医院的员工暂时只能使用纸质材料,IT团队正在努力恢复原有系统。

受攻击事件影响,原定于8月16日星期一的所有紧急手术和放射学检查也都被取消。此外,Memorial Health System急诊部也被迫转移,玛丽埃塔纪念医院暂时只能接收突发中风和创伤的患者。

也就是说,其他病患只能被送往其他医院。美国FBI、CISA(网络安全与基础设施安全局)联合网络安全专家们已经出手,共同帮助院方应对攻击。

在三天后发布的声明中,Cantley表示医院系统“已经通过协商找到解决办法,将尽快、尽可能安全地恢复运营流程。”

他后来还在接受《玛丽埃塔时报》时坦言,医院其实是支付了赎金来换取解密密钥。

Cantley解释道,“我们双方达成一项协议,目前服务器的解密密钥已经收到,恢复工作开始正常处理。FBI怀疑对方可能是一个较新且技术水平很高的东欧黑客团伙。”

“对我们的员工来说,能快速恢复运营流程肯定是个好消息。我们有800台服务器和3000多台个人设备,医生需要依靠这些工具为患者服务。我们目前只能提供基础服务,计划从下周起恢复处理常规服务的能力。虽然困难重重,但我们仍会坚持为患者提供精心照料。”

该医院的系统已经于周末恢复上线,Cantley提到,“没有迹象表明有任何患者或者员工的数据遭到公开发布或披露。”

Cantley最后总结道,“不断变化的网络威胁格局正给医疗保健组织带来严重影响,我们对此感到非常遗憾。”

]]>
国家网信办启动清朗·移动应用程序PUSH弹窗突出问题专项整治 Thu, 23 Sep 2021 05:43:33 +0800   今天从国家网信办召开的清朗·移动应用程序PUSH弹窗突出问题专项整治部署会上获悉:针对网民反映强烈的移动应用程序PUSH弹窗违规推送、过滥推送等扰乱网络传播秩序问题,国家网信办决定8月27日启动“清朗·移动应用程序PUSH弹窗突出问题专项整治”,聚焦突出问题靶向施策,推动PUSH弹窗传播秩序短期内实现明显好转。

  国家网信办有关负责同志指出,一段时间以来,移动应用程序PUSH弹窗环节问题多发频发,突出表现在五个方面:一是推送来源不明或由“自媒体”违规生产的所谓“新闻”,造成虚假信息扩大传播;二是扎堆推送、渲染炒作恶性案件、灾难事故等,诱发社会恐慌情绪;三是片面追求流量,大肆炒作娱乐八卦、明星绯闻、血腥暴力、低俗恶俗等有悖社会主义核心价值观内容,传递错误价值取向;四是滥用算法推荐进行个性化PUSH弹窗,加剧“信息茧房”;五是未取得互联网新闻信息服务资质,违规PUSH弹窗推送新闻信息。

  据介绍,国家网信办此次专项整治,重点面向新闻客户端、手机浏览器、公众账号平台、工具类应用等4类移动应用程序,分类施策,明确六项整改要求:一是禁止PUSH弹窗推送商业网站平台和“自媒体”账号违规采编发布、转载的新闻信息,推送新闻信息必须采用规范稿源。二是PUSH弹窗推送新闻信息不得渲染炒作舆情热点,断章取义、篡改原意吸引眼球、误导网民。三是未取得互联网新闻信息服务许可的工具类应用不得PUSH弹窗推送新闻信息。四是禁止PUSH弹窗推送娱乐八卦、明星绯闻、血腥暴力、奇闻异事、低俗恶俗等有悖社会主义核心价值观内容。五是禁止通过PUSH弹窗渠道放大传播失德艺人、负面争议人物的有关言论。六是遇突发事件、灾难事故,不得渲染血腥现场、过度强调案件血腥细节等,不得扎堆PUSH弹窗推送相关信息。

  专项整治期间,网信部门将督促指导有关移动应用程序对照此次整治工作要求开展深入整改,并建立完善PUSH弹窗审核管理规范、PUSH弹窗推送每日台账制度等,将专项整治工作要求固化为网站平台长效管理机制,从制度层面防止PUSH弹窗乱象发生。对整改态度不端正、整改措施不彻底、整改后问题依然突出的移动应用程序,网信部门将依法依规严处,视情暂停平台PUSH弹窗功能,直至整改到位。

  专项整治期间,欢迎社会各界通过国家网信办违法和不良信息举报中心www.12377.cn网站提供线索,国家网信办将对有关举报及时进行核查处置,及时回应社会关切。

]]>
我国互联网立法及监管方向日益明朗 网络安全问题出现下降趋势 Thu, 23 Sep 2021 05:43:33 +0800 数据安全受到社会各界的高度关注,互联网相关的立法和执法也在加速推进。随着《网络安全法》的施行,以及即将在今年先后施行的《数据安全法》和《个人信息保护法》,我国互联网立法及监管的方向日益明朗,网络安全问题也有下降趋势。

《报告》显示,截至今年6月,61.4%的网民表示过去半年在上网过程中未遭遇过网络安全问题,与2020年12月基本保持一致,遭遇个人信息泄露的网民比例最高为22.8%,遭遇网络诈骗的网民比例为17.2%。

2021年上半年,全国各级网络举报部门共受理举报7522.5万件,较2020年同期下降7.2%。

通过对遭遇网络诈骗网民的进一步调查发现,网民遭遇多种网络诈骗的比例均有所下降。其中,网民最常遭遇的虚拟中奖信息诈骗,占比为40.8%,较2020年12月下降7.1个百分点;遭遇网络购物诈骗的比例为31.7%,较2020年12月下降1.2个百分点;遭遇网络兼职诈骗的比例为28.2%,较2020年12月下降5.1个百分点。

]]>
全新SideWalk后门攻击针对美国电脑零售业务 Thu, 23 Sep 2021 05:43:33 +0800 一家位于美国的电脑零售公司成为SideWalk攻击的目标,这种攻击以前从未被发现,是一个中国高级黑客组织最近开展的活动一部分,该组织主要以专门针对东亚和东南亚实体的网络攻击而闻名。

斯洛伐克网络安全公司ESET在持续跟踪名为SparklingGoblin的高级威胁过程当中发现了这个攻击,被认为与Winnti umbrella组织有关,并指出其与另一个被称为Crosswalk的后门相似,后者在2019年被同一黑客组织使用。

SideWalk是一个模块化的后门,可以动态加载从其C&C命令和控制服务器发送的附加模块,利用Google Docs作为死循环解析器,以及Cloudflare作为C&C服务器,它还可以适当处理代理背后的通信。自2019年首次出现以来,SparklingGoblin与几个针对香港大学的攻击有关,使用Spyder和ShadowPad等后门,后者近年来已成为多个中国黑客集团的首选恶意软件。

在过去的一年里,这些集团袭击了世界各地的广泛组织和垂直行业,特别是位于巴林、加拿大、格鲁吉亚、印度、澳门、新加坡、韩国、台湾和美国的学术机构,其他目标实体包括媒体公司、宗教组织、电子商务平台、计算机和电子产品制造商以及地方政府。

SideWalk被描述为一个加密的壳代码,它通过一个.NET加载器部署,该加载器负责从磁盘上读取加密的壳代码,对其进行解密,并使用进程空心化技术将其注入合法进程。感染的下一阶段是SideWalk与C&C服务器建立通信,恶意软件从Google Docs文档中检索加密的IP地址。

除了使用HTTPS协议进行C&C通信外,SideWalk还被设计为加载从服务器发送的任意插件,积累有关运行进程的信息,并将结果外泄回远程服务器。SideWalk是SparklingGoblin APT组织使用的一个以前没有记录的后门。它很可能是由CROSSWALK背后的相同开发者制作的,它与CROSSWALK共享许多设计结构和实施细节。

]]>
一起钓鱼网络攻击泄露了Revere Health 12000名患者的医疗信息 Thu, 23 Sep 2021 05:43:33 +0800 据外媒报道,根据医疗保健公司Revere Health上周五发布的新闻稿称,一名医疗保健员工沦为一个网络钓鱼邮件攻击的对象,由此泄露了约1.2万名患者的一些医疗记录--其中包括圣乔治的心脏病患者。

Revere Health营销和沟通主管Bob Freeze表示,6月21日,这名员工的电子邮件被侵入了约45分钟,并由此泄露了圣乔治迪克西心脏心脏病科患者的一些信息。该公司认为黑客的目的并不是公布病人的医疗信息,而是为了向Revere的其他员工发起更复杂的网络钓鱼邮件攻击。

Revere Health在对该漏洞进行了两个月的调查后得出了这一结论,他们发现患者的医疗信息没有被分享到网上分享,另外还认为该漏洞对受影响患者的影响为“低风险”。Freeze表示,该公司已经联系了受影响的患者并建议他们密切关注他们的任何医疗信息是否被共享。

据该新闻稿称,通过此次泄露获得的信息包括医疗记录号码、出生日期、提供者姓名、程序和保险提供者姓名。据Freeze披露称,此次数据攻击没有泄露信用卡等财务信息。

网络钓鱼邮件攻击是黑客获取敏感记录和信息的常见方式。据美国联邦贸易委员会(FTC)称,这些网络钓鱼攻击通常看起来像是来自可靠公司的合法邮件,它会要求用户打开一个附件--通常是一个网页链接,一旦用户打开附件就可能安装恶意软件窃取某人的信息。

钓鱼邮件诱使用户打开附件的常见原因有:账户有可疑活动、支付信息有问题、支付页面链接、免费商品优惠券和政府退款。钓鱼攻击也可以通过文本发送。

这些攻击相当普遍,在FBI的2020年网络犯罪报告中,有241342名该类型攻击的受害者,这些攻击造成了超过5400万美元的损失。2020年,网络钓鱼攻击比2019年增加了99.8%,2019年报告了114702起网络钓鱼攻击。2018年只有26379起网络钓鱼攻击事件。

Freeze表示,Revere Health进一步加强了技术安全协议并将向员工发送测试钓鱼邮件。如果员工点击了测试钓鱼邮件,他们将必须接受来自Revere HealthIT部门的培训。

据Freeze报道,Revere Health建议员工在阅读电子邮件之前要仔细检查邮件的所有内容,其中包括查看邮件地址。根据FTC的说法,网络钓鱼攻击的一种常见方法是将网络钓鱼的电子邮件地址显示为一个普通的名称,但一旦点击它它通常会有一个更复杂、不匹配的电子邮件地址。

FTC列举了防止成为网络钓鱼攻击受害者的常见方法,包括更新设备软件、安装安全软件、使用多因素识别及定期备份数据。此外,不要打开任何来自未被识别的电子邮件地址或电话号码的链接。

如果有人认为自己遭到了网络钓鱼攻击,他们应该登录IdentityTheft.gov网站,然后根据可能被窃取的信息按照上面列出的步骤进行操作,随后更新设备的安全软件。

]]>
国务院介绍《关键信息基础设施安全保护条例》,工信部公布重点工作方向 Thu, 23 Sep 2021 05:43:33 +0800 8月24日下午3时,国务院新闻办公室举行国务院政策例行吹风会,介绍《关键信息基础设施安全保护条例》(以下简称《条例》)有关情况,并答记者问。

国家互联网信息办公室副主任盛荣华解答,在确立《条例》保护工作总体思路上,主要是把握几点:

一是坚持问题导向。针对关键信息基础设施安全保护工作当中存在的短板问题、薄弱环节,在细化《中华人民共和国网络安全法》有关规定的基础上,将实践证明比较成熟的一些做法上升为法规制度,为保护工作提供法治保障。

二是压实责任。压实各方面的责任,运营者的主体责任、保护部门的监督管理责任、社会各方面的协同配合和监督责任。运营者的主体责任是基础、关键。运营者的主体责任落实好了,关键信息基础设施安全保护的工作就能够做得更好。

三是要做好与相关法律、行政法规的衔接配套。在网络安全法确立的总框架下,细化相关制度措施,处理好与其他相关法律、行政法规的关系。

国家互联网信息办公室网络安全协调局局长孙蔚敏表示《条例》9月1日实施以后,将重点要抓好以下几方面的工作:

首先,运营者要全面落实安全保护的主体责任,主要是从五个方面来开展:

一是建立健全网络安全保护制度和责任制,实行一把手负责制,保障人力、财力、物力的投入。

二是要设置专门的安全管理机构参与网络安全和信息化的决策,履行《条例》规定的8项工作职责。

三是开展网络安全检测和风险评估,并及时整改。

四是建立并落实网络安全事件和网络安全威胁的报告制度。

五是要优先采购安全可信的网络产品和服务,按照规定申报网络安全审查。

第二,保护工作部门要切实做好安全保护和监督管理工作,重点开展以下六方面的工作:

一是制定认定规则并组织认定。

二是制定安全规划,明确保护目标、基本要求、工作任务、具体措施。

三是建立健全网络安全监测预警制度,预警通报网络安全威胁和隐患,指导做好安全防范工作。

四是建立健全网络安全事件应急预案,定期组织应急演练。

五是指导运营者做好网络安全事件的应对处置,并视情提供技术支持和协助。

六是组织开展网络安全检查检测,指导监督运营者及时进行整改。

第三,国家有关职能部门在国家网信部门统筹协调下,各司其职,分工协作,合力做好关键信息基础设施安全保护工作

国家网信部门将牵头会同有关部门:

一是抓紧制定和完善关键信息基础设施安全法规制度和标准规范。

二是统筹协调网络安全检查检测,避免不必要的检查和交叉检查、重复检查。

三是建立关键信息基础设施的漏洞探测,渗透性测试活动的批准机制。

四是建立健全网络安全信息共享机制。

五是加强网络安全服务机构建设和管理。

六是推动形成人才培养、技术创新、产业发展的良性生态。

工业和信息化部网络安全管理局局长隋静表示,基础电信网络、重要互联网基础设施等电信行业网络设施,本身既是关键信息基础设施,同时又为其他行业的关键信息基础设施提供网络通信和信息服务,一旦遭到网络攻击和破坏,将会带来严重的影响。

工业和信息化部作为电信行业主管部门,在合力推进关键信息基础设施安全保护工作中,依法依规监督管理电信行业关键信息基础设施安全保护工作,重点从以下几个方面开展工作

一是切实履职尽责。对于基础电信网络,重要互联网基础设施的安全保护和监督管理工作,工业和信息化部将严格落实《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》《通信网络安全防护管理办法》等法律法规、部门规章的有关规定,切实履行保护工作部门职责,压实电信行业关键信息基础设施运营者的主体责任。

二是强化相关监督管理工作,持续完善电信行业安全监督管理机制,健全行业网络安全标准体系。加强网络安全防护、数据安全保护、监测预警、应急处置等技术能力建设,开展安全检查检测,督促运营者整改落实,强化网络安全产业支撑。特别是考虑到基础电信网络在国家经济社会活动中的极端重要性,以及公共通信和信息服务极高稳定性的要求,我部将加强监督管理,严格规范对基础电信网络的漏洞探测、渗透性测试活动。

三是做好优先保障和重点保障。工信部将联合有关部门加大资金投入、技术创新、人才培育,优先保障电信行业关键信息基础设施安全运行。同时,我部也将积极采取措施,为其他行业和领域的关键信息基础设施安全运行提供重点保障,根据保护工作部门的需要,及时提供技术支持和协助。

隋静强调,近年来,工信部认真贯彻落实《网络安全法》,陆续出台了《通信网络安全防护管理办法》等多项部门规章,发布了《公共互联网网络安全威胁监测与处置办法》《公共互联网网络安全突发事件应急预案》等近20项规范性文件,颁布实施了300余项网络与信息安全标准,持续组织开展电信和互联网行业网络安全监督检查,不断提升网络基础设施安全防护能力。

]]>
三星表示其能远程禁用任何三星电视机 Thu, 23 Sep 2021 05:43:33 +0800 三星公司表示,他们可以使用TV Block远程禁用任何三星电视机,该功能内置于全球销售的所有三星电视产品中。

韩国跨国公司在本月早些时候(8月3日)发布的一份新闻稿中透露了这一点,以回应7月份导致大规模抢劫的南非骚乱,这也影响了三星的仓库和商店。

三星表示:“TV Block 是一种远程安全解决方案,可检测电视设备是否被不当激活。并确保只有拥有有效购买证明的合法所有者才能使用电视机。”

“该技术的目的是减少与非法商品销售相关的二级市场的产生,无论是在南非还是在其境外。这项技术已经预装在所有三星电视产品中。”

正如三星解释的那样,远程禁用被盗电视机的目标是限制抢劫和“第三方购买”,并确保电视只能由“拥有有效购买证明的合法所有者”使用。

TV Block的工作原理

三星TV Block功能通过将序列号添加到三星服务器上的列表中,从其仓库或分销商中被窃取的所有电视机上屏蔽这些电视的系统。

被盗电视连接到互联网后,设备会检查三星服务器上的被盗设备列表,如果找到匹配项,它将自动禁用所有电视功能。

如果属于实际购买客户的三星电视被错误封锁,则可以在向三星零售商或 serv.manager@samsung.com发送购买凭证和有效电视许可证后48小时内恢复全部功能。

“为了与我们利用技术力量解决社会挑战的价值观保持一致,我们将不断开发和扩展我们的消费电子部门的战略产品,这些产品具有世界国防级安全性、专为新产品而设计的创新和直观的业务工具。”三星南非消费电子产品总监Mike Van Lier说。

“这项技术目前可以产生积极影响,未来也会对行业和客户有用。”

此类通过序列号或者识别码禁用在手机界相对成熟,但是在电视界尚属新鲜功能。虽然三星表示TV Block是一项产生积极影响的创新功能,但必须考虑:如果三星公司的服务器遭到黑客破坏并访问,篡改用于远程禁用被盗电视的阻止列表或集体禁用世界会发生什么。

]]>
窃国行动:黑客组织窃取国家敏感数据,试图扳倒现任总统 Thu, 23 Sep 2021 05:43:33 +0800 “白俄罗斯网络游击队”和前警察联合组织合作,窃取了本届政府的大量敏感数据,包括受到指控的警方线人名单以及政府间谍信息等;

数据泄露事件将破坏政府公信力,支持国际社会制裁,甚至是对卢卡申科总统及其下属发起诉讼;

近年来,黑客行动主义者们经常会在动荡时期入侵政府计算机系统,网络安全已经关乎政权安全。

作为推翻现任总统亚历山大·卢卡申科及其政权的斗争行动之一,白俄罗斯的反对派实施了一项大胆的黑客攻击,并成功入侵了数十个警察与内政部数据库。

黑客们自称为“白俄罗斯网络游击队”,并于最近发布了庞大数据库中的一部分窃取内容,包括该国最秘密的警察与政府数据库。根据采访以及审查结果,可以证实这些信息包含受到指控的警察线人名单、政府高级官员及间谍个人信息、收集自警用无人机与拘留中心的视频片段,以及来自政府窃听系统的秘密电话录音等。

被盗数据将引发严重的长期后果

在被盗文件中,还有关于卢卡申科核心权力图及情报官员的个人详细信息。文件显示,有死亡率统计数据表明,白俄罗斯死于新冠疫情的人数要比政府公开承认的多出数千。

黑客们通过采访和社交媒体指出,他们还入侵了白俄罗斯的240多个监控摄像头,并准备使用名为X-App的恶意软件攻陷政府计算机。

白俄罗斯内政部并没有回应我们的评论请求。7月30日,该国克格勃安全机构负责人Ivan Tertel在国家电视台播出的讲话中表示,确实存在“黑客攻击个人数据”并“系统性收集信息”的情况,并将问题照片于“外国特殊势力”。

虽然这次黑客攻击带来的直接影响还没有完全显现,但专家们表示,事件很可能带来严重的长期后果,包括破坏政府公信、支持国际社会制裁甚至是对卢卡申科及其下属发起诉讼。都柏林城市大学东欧抗议与数字权利问题研究副教授Tanya Lokot表示,“如果卢卡申科最终要面临国际刑事法院的指控,那么这些记录将非常重要。”

白俄罗斯数字安全专家Nikolai Kvantaliani则表示,网络游击队的公开数据表明,“官员们在明知对方无辜的情况下,仍然无故使用暴力。”因此他表示,“越来越多的人不再相信官方媒体的宣传”,特别是在媒体对去年反政府示威期间警察施暴的场景发动控评之后。

前警察组织联手合作

黑客们此次与名为BYPOL的组织联手,该组织由前白俄罗斯警察创建,并在去年极具争议的卢卡申科选举胜利之后出逃。选举后白俄罗斯国内发生了大规模示威活动,有警察被指控对数百名公民实施残酷镇压与折磨殴打。

Aliaksandr Azarau是白俄罗斯的一名前警察中校,负责领导有组织犯罪与腐败调查部门。他表示,在目睹严重的选举舞弊与警察暴力行为之后,他于去年辞掉了工作搬到波兰,并加入了BYPOL组织。从去年年底开始,他就一直在与网络游击队开展合作。Azarau表示,黑客此次发布的信息真实有效,BYPOL希望用它追查警察与政府官员的腐败行为。

根据Azarau的介绍,黑客获取的窃听电话录音显示,白俄罗斯内政部目前正在开展广泛的监控工作,包括普通/高级警察以及与总检察长合作的官员。他还提到,录音中甚至包含警察指挥官下令对抗议者施暴的音频证据。

Azarau指出,“我们正在与网络游击队开展密切合作。他们提供的信息对我们来说非常重要。他们成功入侵了大部分主要警察数据库并下载了所有信息,包括我们警察系统内最高机密部门的窃听信息。”

“我们发现,白俄罗斯政府对位高权重的执法负责人展开窃听,这也让我们掌握了他们下令实施犯罪的证据。”Azarau表示,他们希望以这些信息为依据,呼吁欧盟及美国对俄罗斯官员实施制裁。本月初,美国和英国都已宣布对与卢卡申科政权相关的个人及实体进行制裁。

政治动荡时期,黑客主义愈加盛行

近年来,黑客行动主义者们经常会在动荡时期入侵政府计算机系统。

2011年阿拉伯之春期间,隶属于“匿名者”(Anonymous)的黑客就开展了分布式拒绝服务攻击,令突尼斯与埃及的政府网站陷入瘫痪。

与此同时,名为RedHack的马克思主义黑客团伙曾于2012年至2014年期间对土耳其的警察、企业及政府数据库发起一系列攻击。

2016年,一群黑客建立起所谓乌克兰网络联盟,旨在对抗俄罗斯对乌克兰的侵略活动。他们入侵了俄罗斯国防部服务器,并窃取到关于俄罗斯激进分子及宣传人员的电子邮件。

麦吉尔大学教授、黑客行动主义专家Gabriella Coleman表示,网络游击队组织严密、持续发动攻击,而且他们最大的特征就是与前警察人员开展合作,因此脱离了大多数其他黑客团伙混乱、试探性的行动基调。Coleman表示,“我觉得他们跟其他组织没有多少相似之处。这群黑客非常老练而且会针对多个层面发动攻击,这种情况以往只在黑客电影里才会看到。”

出于安全考虑而要求匿名的网络游击队发言人在接受采访时表示,他们的组织目前约有15名成员,其中有3、4名成员专注于针对白俄罗斯政府计算机开展“正义的黑客攻击”。他还提到,其他工作包括数据分析等任务。

参与该组织的成员大多数是从事信息技术业务的白俄罗斯公民,一部分还拥有丰富的渗透测试经验——这是一种计算机与网络安全评估方法,通过模拟入侵攻击找到潜在漏洞。

这位发言人还提到,今年年初,该组织的附属机构获得了对白俄罗斯政府设施的物理访问权限,这就给他们后来进一步获取访问权奠定了基础。据他介绍,窃取到的材料包括大量秘密录制的电话对话归档,总时长在100到200万分钟之间。

白俄罗斯网络游击队的起家史

面对白俄罗斯极具争议的选举结果,黑客们于2020年9月联合起来。根据我们了解到的情况,他们最初的行动规模不大,可以说象征意义大于实际意义。

他们入侵了国家新闻网站,并插入展示警察暴行场景的视频。他们还公布了一份警方“头号通缉犯”名单,将卢卡申科和他的前内政部长尤里·卡拉尤的名字加入其中。他们甚至使用抗议者偏爱的红白国旗来污损政府网站,替换掉白俄罗斯官方的红绿旗。

这些初步行动吸引到更多黑客加入网络游击队,自身体量的发展也将他们的入侵行动更加激进、大胆。发言人表示,他们的目标是保护白俄罗斯主权和独立,并最终将卢卡申科赶下台。

流亡中的白俄罗斯反对派领导人斯维亚特兰娜·齐哈努斯卡娅的高级顾问Franak Viačorka表示,黑客们这是在进行“非暴力抵抗”。

Viačorka认为,“当人们面临恐怖与镇压时,特别是在无法用武器保护自己时,创造力就成了唯一的反抗工具。”

Viačorka还提到,黑客们拿到的政府官员与线人信息已经在Blackmap.org等多个白俄罗斯网站上发布,希望借此“点名并羞辱”那些与卢卡申科政府合作、出力镇压和平抗议的家伙。而本轮行动,也给卢卡申科政府的官员们带来了不小的压力。

Viačorka表示,“这轮行动的冲击性很强,甚至在政府内部造成了分裂。这让他们产生一种感觉,在这样的体制下人和人之间完全没有信任可言。”

网络游击队还表示,他们也在与其他团体合作,继续对政府基础设施发起入侵。他们还希望朝着Moment X新阶段迈进,即将计算机入侵与走上街头的民众起义结合起来,彻底推翻卢卡申科政府的统治。

前警察中校Azarau也抱有同样的目标,他正在与BYPOL合作建立一支“白俄罗斯卧底部队”。“我们正在设计内部结构,终有一天将颠覆政权、夺取胜利。”

]]>
苹果回应男子从iCloud窃取620000张女性私密照和视频 Thu, 23 Sep 2021 05:43:33 +0800 iCloud的问题不少,苹果也深知,不过目前依然有不少人利用漏洞窃取女性的私密照。

据美国媒体报道称,一名洛杉矶男子利用一定手段,盗取了不少iCloud帐户,而这让他收获了620000多张私人照片和视频,当然都是年轻女性的,其中部分受害者是女性名流。

报道出来后,有其中一些受害者表示,自己的私密照片已经被挂到了第三方有色网站上,而据不完全统计,受害的女性超过300名。

上述男子的作案手段是这样,在邮件中冒充Apple客户支持的员工,欺骗那种毫无戒心的受害者向他提供他们的Apple ID和密码。

对于这样的事情,苹果方面回应称,正在加强相关管理规定,杜绝此事再次出现。

]]>
雷蛇被曝0day,你的鼠标和键盘可能成为黑客工具 Thu, 23 Sep 2021 05:43:33 +0800 一个Razer Synapse的0day漏洞在Twitter上被披露,该漏洞允许攻击者仅仅通过插入Razer鼠标或键盘就能获得Windows的系统权限。

雷蛇(Razer)是一家游戏设备制造公司,其鼠标和键盘在国内,尤其是在国内游戏玩家中享有盛誉。

当把Razer设备插入Windows 10或Windows 11时,操作系统将自动下载并开始在电脑上安装Razer Synapse软件。Razer Synapse是一种允许用户配置他们的硬件设备、设置宏,或映射按钮的软件。并且,Razer声称在全球有超过1亿的用户使用该软件。

然而,安全研究员jonhat在该软件的安装中发现了一个0day漏洞。该漏洞是一个本地权限升级(LPE)的漏洞,这意味着攻击者需要有一个Razer设备,以及对电脑的物理访问。但这同样表示该漏洞很容易被利用,攻击者只需花20美元购买一个Razer鼠标,并将其插入Windows 10就可以成为获取系统权限。

系统权限是Windows中的最高用户权限,允许在操作系统上执行任何命令。从理论上说,如果一个用户在Windows中获得了系统权限,他就可以完全控制系统,安装任何他们想要的东西,包括恶意软件。

jonhat 在Twitter上披露了该漏洞,并通过一段视频解释了该漏洞的工作原理。

漏洞复现过程

BleepingComputer 通过现有的Razer鼠标,对该漏洞成功进行了复现,他们确认了在插入鼠标后,大约两分钟就可在Windows 10中获取系统权限。

为了复现该漏洞,首先在一台Windows 10电脑上创建了一个临时的 “测试 “用户,具有标准的、非管理员的权限,如下图所示。

在Windows 10中没有管理权限的测试用户

把Razer设备插入Windows 10,操作系统自动下载并安装了驱动程序和Razer Synapse软件。

由于RazerInstaller.exe可执行文件是通过一个以系统权限运行的Windows进程启动的,因此Razer安装程序也获得了系统权限。

RazerInstaller.exe以系统权限运行

当Razer Synapse软件被安装时,安装向导允许用户指定想安装的文件夹。而选择安装文件夹的操作是出现漏洞的源头。

当文件夹的位置被改变时,会出现一个 “选择文件夹”的对话框。当按下Shift键并右键单击该对话框,将被提示打开“在此打开PowerShell窗口”。

Razer Synapse的安装提示

由于这个PowerShell提示是由一个具有系统权限的进程启动的,因此该PowerShell提示也将拥有相同的权限。

一旦打开PowerShell提示并输入 “whoami ”命令,就会显示控制台具有系统权限,允许发布任何想要的命令。

具有系统权限的PowerShell提示

CERT/CC的漏洞分析师Will Dormann表示,类似的漏洞很可能会在其他通过Windows即插即用程序安装的软件中被发现。

雷蛇将修复该漏洞

该0day漏洞在Twitter上得到广泛关注之后,雷蛇已经联系了安全研究员,并且马上会发布修复方案。


此外,雷蛇还表示尽管该漏洞已经被公开披露,但是发现者jonhat仍将获得漏洞赏金。


]]>
诺基亚子公司遭遇勒索软件攻击 Thu, 23 Sep 2021 05:43:33 +0800 近日,诺基亚子公司SAC Wireless披露在遭遇勒索软件Conti攻击后发生了数据泄露事件。Conti勒索软件运营者成功入侵其网络、窃取数据(250GB)并加密了系统。

SAC Wireless公司与美国各地的电信运营商、主要信号塔所有者和原始设备制造商 (OEM) 合作。帮助客户设计、构建和升级蜂窝网络,包括5G、4G LTE、小基站和FirstNet。

在Conti勒索软件加密系统后检测到攻击

SAC Wireless公司直到Conti勒索软件部署了有效载荷并加密了无线系统之后,才发现其网络被勒索软件入侵。在外部网络安全专家的帮助下进行数字取证调查后,该公司发现,在勒索软件攻击期间,现任和离职员工(及其健康计划的家属或受益人)的个人信息也被盗。

“Conti勒索软件攻击者获得了SAC系统的访问权限,将文件上传到其云存储,然后在6月16日部署了勒索软件来加密SAC系统上的文件。” SAC在数据泄露通知信中说道。

在完成取证调查后,该公司认为被盗文件包含以下几类个人信息:姓名、出生日期、联系方式(如家庭地址、电子邮件和电话)、政府身份证号码(如驾照、护照或军人身份证)、社会安全号码、公民身份、工作信息(如头衔、工资和评估)、病史、健康保险政策信息、车牌号、数字签名、结婚或出生证明、纳税申报表信息和受抚养人/受益人姓名。

针对勒索软件攻击,SAC采取了多项措施来防止未来的攻击行为,包括:

  • 更改了防火墙规则;

  • 断开 VPN 连接;

  • 激活条件访问地理位置策略以限制非美国访问;

  • 提供额外的员工培训;

  • 部署了额外的网络和端点监控工具;

  • 扩展的多因素身份验证;

  • 并部署了额外的威胁搜寻和端点检测和响应工具。

虽然SAC没有提供更多相关信息,但Conti勒索软件团伙在他们的泄密网站上透露,他们窃取了超过250GB的数据。并可能将所有被盗文件泄露到网上。


]]>
微软云平台暴露3800万条客户数据:因默认配置不当 Thu, 23 Sep 2021 05:43:33 +0800 微软云平台暴露3800万条客户数据:因默认配置不当

微软低代码开发平台Power Apps默认配置不安全,导致上千款应用的3800万条记录在线暴露,记录中包括大量个人敏感信息,美国航空、福特、多个州政府机构等众多组织受影响;

该事件再次表明,流行技术平台中的一项错误设置,很可能引发深远的影响。

上千款Web应用程序错误暴露在开放互联网之上,涉及多个COVID-19接触者追踪平台、疫苗接种登记、工作申请门户以及员工数据库的多达3800万条记录已经确认暴露。数据中涵盖一系列敏感信息,包括电话号码、家庭住址、社保号码乃至COVID-19疫苗接种状态。

此次事件还给多家主要企业及组织造成影响,包括美国航空公司、福特、运输与物流企业J.B. Hunt、马里兰州卫生部、纽约市交通局以及纽约多所公立学校。虽然情况已经得到控制,但事件再次表明,流行技术平台中的一项错误设置很可能引发深远的影响。

微软Power Apps平台默认接口配置不当

此次曝光的数据全部存储在微软Power Apps门户服务当中。这是一套低代码开发平台,用户可以轻松创建供外部使用的Web或移动应用程序。如果您需要在疫情期间快速启动疫苗预约注册点,Power Apps门户可以快速生成面向公众的站点及数据管理后端。

自今年5月起,安全公司Upguard的研究人员就开始调查Power Apps门户中本应保密的大量数据为何被意外公开,其中甚至涉及一部分微软自己开发的Power Apps。从已知情况来看,并没有任何数据遭到滥用,但此次调查仍然揭示出Power Apps门户设计中的致命疏漏。现在问题已经得到修复。

除了管理内部数据库以及提供应用开发基础之外,Power Apps平台还提供现成的应用程序编程接口以实现数据交互。但Upguard的研究人员们意识到,在启用这些API时,平台会默认开放相应数据的访问权限。换句话说,必须手动操作才能启用隐私设置。结果就是,大量客户将这一默认配置错误地保留到了应用程序当中。

UpGuard公司网络研究副总裁Gerg Pollock表示,“我们发现其中一项配置错误会导致数据暴露。这实在是闻所未闻,我们很好奇到底是偶发事件还是系统性问题。由于Power Apps门户采取开放运作方式,所以快速调查的难度很低。我们很快发现存在大量此类数据暴露,情况相当普遍。”

研究人员还偶尔发现,暴露的信息类型非常广泛。J.B. Hunt暴露的是包括社保号码在内的求职者数据。微软自己也在Power Apps门户上公开了多个数据库,包括一套名为“全球薪资服务”的旧平台、两个“业务工具支持”门户外加一个“客户洞见”门户。

好在信息本身仍受一定限制。例如,印第安纳州虽然在Power Apps门户上公开了数据,但这只是该州全部持有数据中一部分,即州内部分新冠接触者追踪数据。

云平台配置不当已是行业多年顽疾

多年以来,云端数据库的错误配置一直是个大问题,经常导致人们意外将大量数据暴露给无关甚至是恶意人士。亚马逊AWS、Google Cloud Platform以及微软Azure等主流云巨头在起步阶段就采取了默认隐藏客户数据并标记潜在错误配置的方法;但直到最近,整个云计算行业才把这方面问题提上议事日程。

经历多年的云错误配置与数据暴露研究,UpGuard的研究人员们惊讶地发现,很多以往从未见过的平台上仍存在这些问题。UpGuard试图调查暴露情况并尽可能向受影响组织发出通告。然而,由于数量太大、他们无法与各家实体联系,最终只能向微软直接披露调查结果。

8月初,微软宣布Power Apps门户开始默认隐藏API数据及其他信息。微软方面还发布一款工具,可供客户检查自己的门户设置。我们就此事向微软发出评论请求,但对方并未回应。

虽然在理论上,受到此次事件影响的组织完全可以自行发现问题,但UpGuard的Pollock强调称,云服务商有责任提供安全、非公开的默认设置。否则,难免会有很多用户在无意之中公开自己的数据。

这是一项重要教训,整个行业往往需要经历坎坷甚至是痛苦才能真正掌握。

开放加密审计项目主管Kenn White表示,“保障默认设置的安全性非常重要。当一种模式出现在由特定技术构建的Web系统中时,一旦其中存在频繁出现的错误配置,必然会引发严重的后果。而如果来自不同行业、拥有不同技术背景的开发人员经常在同一平台上犯下同样的错误,那么整治的焦点就应该放在平台的构建者身上。”

Pollock证实,经历了UpGuard的通报与微软的积极修复,绝大多数暴露在外的门户——包括全部最为敏感的门户——目前都已转为非公开访问。

他总结道,“众所周知,云存储桶很容易发生配置错误,而我们安全研究者的职责并不在于保护这类数据。但问题客观存在、以往也没有人愿意关注,所以我们认为自己有责任在讨论系统层面的风险态势之前,至少先向那些最敏感的意外暴露数据施以援手。”

]]>
Microsoft Power的默认设置导致3800万份记录数据对外部暴露 Thu, 23 Sep 2021 05:43:33 +0800 据外媒报道,许多公司都在使用微软的Power App平台,由于默认安全设置较弱,所以这意味着3800万份记录的敏感数据向公众公开了好几个月。Upguard进行的调查显示,Power App用户中有相当多的人没有保护自己的数据库。

进一步的调查显示,这个问题是由薄弱的默认安全设置造成的,如果用户不采取手动操作数据就会暴露在外面。

根据Wired的一份报告,美国航空公司、福特公司、纽约市公立学校和多个州的COVID-19接触者追踪数据库等来源的数据都被暴露。Upguard最初的发现是在2021年5月,但微软的修复程序直到8月才全面推出。

UpGuard负责网络研究的副总裁Greg Pollock表示:“我们发现其中一个被错误配置为暴露数据,我们从没听说过这种情况,我们想,这是一次性问题,还是一个系统性问题?由于Power Apps门户产品的工作方式,所以很容易快速进行调查。我们发现有很多这样的东西暴露在外。这是疯狂的。”

Upguard开始调查大量的Power App门户网站,这些网站本应是私有的--甚至是微软开发的应用也存在配置错误的情况。然而,尽管这些数据是向公众开放的,但据知没有任何数据被泄露。

问题的核心在于默认的安全设置。比如在设置Power App和连接API时,平台默认使相应的数据可以公开访问。

由于8月份的更新,Power Apps将默认设置安全设置以保护数据隐私。虽然Upguard努力跟公开敏感数据的平台进行沟通,但安全问题的规模太大、无法涵盖每一家企业。

“安全的默认设置非常重要,”开放加密审计项目(Open Crypto Audit Project)主任Kenn White指出:“当一个模式出现在使用特定技术构建的面向网络的系统中而该系统仍配置错误时就会出现非常严重的问题。如果来自不同行业和技术背景的开发者继续在一个平台上犯同样的错误,那么这个平台的创造者就应该受到关注。”

据悉,暴露的数据包括几个COVID-19接触者追踪平台、疫苗接种注册、工作申请门户和员工数据库。从社会安全号码到姓名和地址的所有信息都留在了开放的数据库中。

Upguard再次表示,目前还没有任何数据被泄露。

Microsoft Power应用的安全设置问题跟该领域的许多其他平台的问题相呼应。像亚马逊和Google这样的公司经常也面临默认设置不佳而导致数据泄露的问题。

]]>
美国国务院遭到网络攻击:网络司令部可能发生严重违规 Thu, 23 Sep 2021 05:43:33 +0800 美国国务院近期遭受网络攻击,国防部网络司令部可能受到严重破坏。据悉,攻击活动并没有影响国务院的正常运作。

美国国务院近期遭受网络攻击,国防部网络司令部正在通知受到影响的个人。白宫记者兼福克斯新闻替补主持人Jacqui Heinrich在推特上透露了该消息。

目前还不清楚攻击事件的具体时间,但分析人士认为应该发生在几周之前。

突发!美国国务院受到网络攻击,国防部网络司令部发出了可能出现严重违规的通知。

目前还不清楚攻击事件的具体时间,但据信应该发生在几周之前。一位知情人士向福克斯爆料,国务院目前正在进行的美国人与阿富汗亲美难民撤离任务“没有受到影响”。

@JacquiHeinrich

推文中还提到,美国国务院目前正在进行的美国人与阿富汗亲美难民撤离任务没有受到影响。

路透社的消息人士也证实了此次事件,并补充称攻击活动并没有影响国务院的正常运作。

据路透社报道,“在没有证实任何攻击事件的情况下,一位知情人士告知路透社,国务院方面没有经历任何严重宕机、也没有发生任何形式的职能运作障碍。”

国务院发言人则在一份声明中强调,“国务院在信息保护方面抱有认真负责的态度,而且持续采取措施以确保信息得到严密保护。出于安全原因,我们目前无法讨论任何所谓网络安全事件的性质或影响范围。”

Jacqui Heinrich还指出,参议院国土安全委员会在本月发布的一份报告当中,将国务院的整体信息安全水平评为“D”级。这是整个评估模型当中最低的评级,据称国务院在五大安全职能领域中有四个未能通过。

在某种意义上,此次攻击的影响范围可以通过国会的通知要求来推断。

根据联邦法律,各机构需要确定遭遇的网络攻击或信息安全事件是否符合“重大事件”标准——如果符合,则必须在7天之内向国会通报

]]>
阿里云未经用户同意擅自泄露信息给第三方,浙江省通信管理局:属实 Thu, 23 Sep 2021 05:43:33 +0800 中华网财经8月23日讯,近日,网络流传一份浙江省通信管理局7月5日对投诉人的答复函,内容为此前阿里云计算有限公司未经用户同意擅自将用户留存在的注册信息泄露给第三方合作公司。

  阿里云擅自向第三方泄露用户注册信息,被责令改正 

  浙江省通信管理局答复称,经调查核实,2019年11月11日阿里云计算有限公司未经用户同意擅自将用户留存的注册信息泄露给第三方合作公司,阿里云计算有限公司的行为违反了《中华人民共和国网络安全法》第四十二条规定,根据《中华人民共和国网络安全法》第六十四条规定,我局已责令阿里云计算有限公司改正。 

  《中华人民共和国网络安全法》第四十二条规定,网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。 

  《中华人民共和国网络安全法》第六十四条规定,网络运营者、网络产品或者服务的提供者违反本法第二十二条第三款、第四十一条至第四十三条规定,侵害个人信息依法得到保护的权利的,由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。 

  据媒体消息,8月23日,浙江省通信管理局相关负责人回应称,该份编号为【2021】483号的答复函属实。 

  今年7月14日,北京天特信科技有限公司(以下简称“IPIP.net”)状告阿里云涉嫌侵害计算机软件著作权。该案件目前已经受理。IPIP.net认为,阿里云的行为已直接违背了《反不正当竞争法》第八条、第十一条、第十二条第二款第四项和第二条等相关规定,应承担相应法律责任。 

  据IPIP.net称,在合作上,阿里云违反了与IPIP.net签署的《协议》的数据使用范围限制,通过后台抓取IPIP.net的数据库信息并作为自己的产品销售获取利益。此外,阿里云同时也在销售“阿里云IP地理位置库”产品,向公众和商家提供与其类似的“IP地理位置查询”业务。阿里云与IPIP.net构成具有直接竞争关系的市场经营者。 

  7月32日,关于阿里云“IP地理位置库”产品事宜,阿里云与IPIP.NET发布联合声明,确有员工在该产品开发过程中存在违反公司规范的行为。这种行为,是阿里云坚决反对的。 

  此外,今年2月,射手科技(珠海)有限公司(以下简称“自记账”)以侵害公司著作权为由将阿里云告上法庭,称阿里云全面抄袭了自记账产品。射手科技指出,阿里云在创意、页面设计、产品使用教程上与自记账高度相似。2021年6月7日,该案开庭。

  阿里云擅自向第三方泄露用户注册信息,被责令改正 

  公开资料显示,阿里云成立于2009年9月10日,由阿里巴巴集团投资创办,在杭州、北京和硅谷等地设有研发中心和运营机构。经过多年的实际生产运行的检验和双十一的海量业务冲击,阿里云成为国内第一个可用、可靠、可信的云计算平台。阿里云的目标是要基于云计算和大数据技术打造互联网数据分享的第一平台,成为以数据为中心的领先的云计算服务公司。

]]>
新规落地:个人车内敏感数据可要求删除 汽车数据滥用将终结? Thu, 23 Sep 2021 05:43:33 +0800 在保护隐私的前提下,数据应该如何被使用 ?在征求意见稿出炉三个月后,《汽车数据安全管理若干规定》(以下简称《规定》)正式出台,并在多处做出修改。其中,新增条款提出更为细化的要求,包括汽车数据被个人要求删除应在十个工作日内处理,应当建立投诉举报渠道等。

新京报贝壳财经记者对比征求意见稿看到,这一试行《规定》仍然倡导,汽车数据处理者在开展汽车数据处理活动中要坚持“车内处理”、“默认不收集”、“精度范围适用”、“脱敏处理”等数据处理原则,减少对汽车数据的无序收集和违规滥用。

对此,相关人士表示,随着新一代信息技术与汽车产业加速融合,智能汽车产业、车联网技术的快速发展,以自动辅助驾驶为代表的人工智能技术日益普及,汽车数据处理能力日益增强,暴露出的汽车数据安全问题和风险隐患突出。

该人士称,在汽车数据安全管理领域出台有针对性的规章制度,明确汽车数据处理者的责任和义务,规范汽车数据处理活动,是防范化解汽车数据安全风险、保障汽车数据依法合理有效利用的需要,也是维护国家安全利益、保护个人合法权益的需要。

中国乘联会秘书长崔东树表示,随着规定的发布和实施,智能电动车加速发展将有更好的法律边界,这对行业规范发展意义重大,防止出现走弯路和走错路的风险,有利于中国汽车行业的智能电动化更好发展,也规范了网联化过度发展问题。

01

新增条款划出哪些红线?

要求删除数据应在十个工作日内响应

汽车数据滥用同样严重

相比于《征求意见稿》,本次正式出炉的《意见》新增内容划出的红线更为明确,其中关于汽车数据处理者处理敏感个人信息,提出细化要求,个人要求删除的,汽车数据处理者应当在十个工作日内删除。

此外,《规定》新增了国家加强智能(网联)汽车网络平台建设,开展智能(网联)汽车入网运行和安全保障服务等,协同汽车数据处理者加强智能(网联)汽车网络和汽车数据安全防护。

《规定》称,汽车数据处理者开展汽车数据处理活动,应当建立投诉举报渠道,设置便捷的投诉举报入口,及时处理用户投诉举报。开展汽车数据处理活动造成用户合法权益或者公共利益受到损害的,汽车数据处理者应当依法承担相应责任。

“汽车数据存在无序收集和违规滥用现象”,崔东树向记者表示,目前相关智能设备违规收集个人信息、过度索权、侵害用户权益等问题早已成为了互联网行业的顽疾。汽车行业也面临同样问题。手机中下载各类 App,被要求要获取相机、定位、通讯录等等权限。然后莫名其妙收到售楼、保险、贷款等各种骚扰电话。这样的问题风险在智能网联汽车同样存在,而且可能更严重。很多驾驶者甚至都无法知道个人信息是如何被泄露出去的。

崔东树介绍,据研究机构估算,一辆自动驾驶测试车辆每天产生的数据量最高可达10TB,数据类型包括车辆行驶数据、车身数据、操控数据等几十种。当车主在车内大屏上,打开各种应用的时候,同样会产生相应的数据。

“对汽车数据安全进行管理极其迫切”,崔东树表示,智能汽车产生的数据主要分为两部分,一类是用户数据,主要关于用户个人隐私,如微信上车会涉及用户账号和访问记录,车内摄像头、车内麦克风等也可能侵犯用户隐私。另外一类是车辆数据,包括地理位置、系统信息、业务相关的数据。

《规定》将如何对违规行为进行监管 ?

《规定》指出,国家有关部门依据各自职责做好汽车数据安全管理和保障工作,包括开展数据安全评估、数据出境事项抽查核验、智能(网联)汽车网络平台建设等工作。

相关人士则表示,《规定》明确汽车数据处理者违反本规定的,由省级以上网信、工业和信息化、公安、交通运输等有关部门依照《网络安全法》、《数据安全法》等法律、行政法规的规定进行处罚;构成犯罪的,依法追究刑事责任。

“信息安全如今愈发受到国家重视”,中国政法大学传播法中心研究员、副教授朱巍对贝壳财经记者表示,本次规定的法律位阶比较低,但是国家网信管理部门可以以此作为抓手进行管理。规定中尚未提及的处罚办法,可以依据个人信息保护法进行处罚和处理,这对于汽车数据安全管理具有重大意义。

02

汽车数据应如何使用?

新规对用户隐私尤为看重

车企使用数据要保障用户知情权

贝壳财经记者注意到,《规定》明确,汽车数据处理者应当履行个人信息保护责任,充分保护个人信息安全和合法权益。开展个人信息处理活动,汽车数据处理者应当通过显著方式告知个人相关信息,取得个人同意或者符合法律、行政法规规定的其他情形。

对于处理敏感个人信息,汽车数据处理者还应当取得个人单独同意,满足限定处理目的、提示收集状态、终止收集等具体要求或者符合法律、行政法规和强制性国家标准等其他要求。汽车数据处理者具有增强行车安全的目的和充分的必要性,方可收集指纹、声纹、人脸、心律等生物识别特征信息。

实际上,今年3月国家互联网信息办副主任杨小伟在答记者问时也提及,随着数字经济时代的到来,数据成为一种新型的生产要素和社会财富被不断分享、分析、利用,随之而来的个人隐私安全问题也成为数字社会首要关注点。

杨小伟表示,几年来,我国持续加强在当前大数据快速发展环境下的数据安全和个人隐私保护,其中就包括全国范围内深入实施网络安全法,进一步加强了在政策、法律、监管等多方面的统筹协调工作,从而在法律层面为数据安全和个人隐私保护提供法律保障。

而业内对此也早有呼声。今年3月,第十三届全国人大代表,上汽集团党委书记、董事长陈虹针对智能网联汽车对于数据泄露的防范不足等情况,提出对于数据违法的处罚力度不够等问题建议建立准入制度。

陈虹建议制定过程审查制度,应当要求智能网联汽车的制造和销售企业建立完备的数据安全管理和软件升级流程。同时借鉴互联网信息管理制度,智能网联汽车提供的数字服务内容也需要接受政府部门的监管和审查,并对所涉及的敏感数据及个人隐私数据出境问题做出明确的规定。

在保护隐私的前提下,数据应该如何被使用 ?

对此,中国汽研专家郑光伟解释道,对用户来讲,汽车数据安全相关规定最大的价值之一就在于可以管理个人车内敏感数据,以前运营商对数据的采集、使用几乎跳过用户授权。用户被收集的信息是个黑盒,更别提怎么用了。这一规定保障了用户对车辆数据的使用权,用户可时常查看自己被采集的数据,并有选择地管理部分数据,在卖车时,也可以提前删除车内个人数据。

郑光伟表示,一方面汽车数据的保护应当是全生命周期的,设计、生产、销售、运维、管理汽车过程中,另一方面企业要加强用户的知情权,车企利用大数据进行商业化运作不可避免,但在使用数据时,要保障用户的知情权的同时,对关键信息进行脱敏处理。

]]>
安全周报(08.16-08.22) Thu, 23 Sep 2021 05:43:33 +0800

1、微信/腾讯视频等违规被工信部通报!

近期,工业和信息化部针对用户反映强烈的APP违规调用通信录、位置信息以及开屏弹窗骚扰用户等三方面突出问题,组织开展了“回头看”,共发现43款APP(详见附件)仍存在问题整改不彻底、技术手段对抗、同一问题在不同地域整改不一致的情况。上述APP应在8月25日前完成整改,逾期不整改或整改不到位的,工业和信息化部将依法依规进行处置。

此次通报涉及多款国内热门应用,包括腾讯旗下的微信、企业微信、腾讯视频、腾讯地图均因为违规问题被通报。通报显示腾讯公司这些应用均存在违规调用通讯录和违规调用地理位置权限,而腾讯视频还存在开屏弹窗信息骚扰用户等问题。

爱奇艺视频也因为违规调用通讯录和地理位置权限被通报,而搜狐视频则和腾讯视频相同都是因为开屏弹窗广告骚扰用户被通报。阿里巴巴旗下的书旗免费小说因为开屏弹窗广告骚扰用户被通报,2345多款应用因开屏广告骚扰和违规调用权限被通报。

值得注意的是这已经是经过整改后的回头看,也就是说这些应用此前已经被发现问题但没有完成整改才会被通报。

另外工信部提到的同一问题地域整改不一致的情况,这种实际上以前在PC软件上比较常见,即开发商利用技术手段识别用户所在地区,如果非一线城市那就无视用户选择或监管规定进行违规操作,而一线城市的IP地址访问则表现正常。此前提到过驱动XX就是这种情况,对非一线城市即便用户取消各类软件捆绑勾选也会被静默安装,显然这种情况也是违规的。

2、黑客拍卖7000万用户数据库后 AT&T否认数据泄露

在一个知名黑客声称要出售一个包含7000万用户个人信息的数据库后,AT&T表示并没有遭遇数据泄露事件。这个被称为ShinyHunters的黑客昨天开始在一个黑客论坛上拍卖这个数据库,起价20万美元,递增报价3万美元。

该黑客表示,愿意立即以100万美元的价格出售。从该黑客分享的样本来看,该数据库包含客户姓名、地址、电话号码、社会安全号码和出生日期。一位不愿透露姓名的安全研究员表示,样本中的四个人中有两个被证实在AT&T有账户。除了这几个细节之外,关于这个数据库如何获得,以及它是否是真实的,目前所知不多。

3、日本加密货币交易所Liquid遭网络攻击,9400万美元失窃

日本加密货币交易所Liquid遭网络攻击,热钱包遭攻击者控制,价值9400万美元的加密资产被窃取;

这是该交易所近一年来第二次遭到大型网络攻击,上一次攻击者通过劫持其DNS基础设施窃取了部分用户数据。

总部位于东京的加密货币交易所Liquid表示,有黑客入侵其服务器,并窃取了按当前汇率估算至少价值9400万美元的加密资产。

Liquid公司表示,这起事件中黑客控制了他们的热钱包,这些钱包实际上属于加密货币账户,供交易平台为日常交易预留资金。该公司还在其日文博客上表示,此次入侵可追溯至Liquid位于新加坡的子公司Quoine。

去年11月,Liquid就曾遭遇黑客攻击,攻击者对Liquid的DNS服务商开展社会工程攻击,进而控制了这家交易所的DNS基础设施。当时,黑客利用相关访问权限发动网络钓鱼并成功获得Liquid员工的工作凭证,由此顺利侵入公司内部网络。入侵者设法窃取了部分Liquid客户的数据。

4、日本最大财险公司遭勒索软件攻击:保险行业已成为主要攻击目标

日本国内收入最高的的财险集团东京海上披露称,新加坡分公司遭到了勒索软件袭击;

今年已有多家大型保险公司遭到勒索软件毒手,REvil勒索软件团伙的一名代表表示,保险公司已经成为勒索攻击者眼中极具吸引力的目标。

作为日本国内收入最高的财产与意外伤害保险集团,东京海上无疑是网络犯罪分子眼中极具吸引力的目标。他们也一直在寻求可行漏洞,希望从东京海上的客户身上榨取收益。目前还不清楚攻击发动于何时、如何展开,也不明确具体造成了怎样的后果。但新加坡分部在发现问题后立即实施了网络隔离,并向当地政府机构发出通报。

保险公司成主要攻击目标

外媒CyberScoop的Tim Starks表示,东京海上是本周第二家宣布遭受网络攻击的保险企业。周一,Ryan Specialty Group表示今年4月曾检测到部分员工账户遭到未授权访问。

此外,今年年初还有其他几家大型保险公司沦为勒索软件攻击的受害者。

今年3月,美国第七大商业保险公司CNA Financial Corporation遭遇Phoenix CrypotoLocker勒索软件攻击,攻击方还窃取了包含客户信息的文件。

今年5月,Avaddon勒索软件团伙攻击了AXA在泰国、马来西亚、香港及菲律宾的多家分支机构,并宣称成功窃取到3 TB数据。

]]>
黑客拍卖7000万用户数据库后 AT&T否认数据泄露 Thu, 23 Sep 2021 05:43:33 +0800 在一个知名黑客声称要出售一个包含7000万用户个人信息的数据库后,AT&T表示并没有遭遇数据泄露事件。这个被称为ShinyHunters的黑客昨天开始在一个黑客论坛上拍卖这个数据库,起价20万美元,递增报价3万美元。

该黑客表示,愿意立即以100万美元的价格出售。从该黑客分享的样本来看,该数据库包含客户姓名、地址、电话号码、社会安全号码和出生日期。一位不愿透露姓名的安全研究员表示,样本中的四个人中有两个被证实在AT&T有账户。除了这几个细节之外,关于这个数据库如何获得,以及它是否是真实的,目前所知不多。

然而,ShinyHunters是一个著名的黑客,在破坏网站和开发者资源库以窃取凭证或API密钥方面有很长的历史。这种认证然后被用来窃取数据库,然后他们直接卖给其他黑客或通过中间人进行出售。在许多情况下,当一个数据库最终没有卖出去的情况下,ShinyHunters会在黑客论坛上免费发布。在过去,ShinyHunters已经入侵了许多公司,包括Wattpad、Tokopedia、微软的GitHub账户、BigBasket、Nitro PDF、Pixlr、TeeSpring、Promo.com、Mathway等等。目前媒体联系了AT&T,在多封电子邮件中,AT&T表示,这些数据不是来自自己的系统,最近也没有自己的数据库被攻破。

当被问及这些数据是否可能来自第三方合作伙伴时,AT&T选择不做猜测。ShinyHunters表示,对AT&T否认信息泄露并不感到惊讶。虽然ShinyHunters表示没有联系AT&T,但表示愿意与该公司进行谈判。

]]>
安全机构汇总上半年600多处工控系统(ICS)缺陷 Thu, 23 Sep 2021 05:43:33 +0800 今年上半年,ICS产品(工业控制系统)中发现了600个漏洞,影响到76家供应商。根据Claroty的ICS风险和漏洞报告,同期的漏洞数量增加了41%。随着设备与互联网连接的需求增加,被网络犯罪分子攻击的风险也在增加。

公司需要推动其业务发展,并投资于运营技术(OT)设备,而威胁者正利用这种增长的优势,试图通过利用拥有脆弱IT系统的公司来发动黑客攻击。

研华(22)、WAGO(23)、罗克韦尔自动化(35)、施耐德电气(65)和西门子(146个漏洞)是受影响最大的制造商。一个重要的方面是,受影响的制造商名单还包括20家新加入的公司,他们的产品没有受到去年报告的任何漏洞的影响。

Claroty的研究副总裁Amir Preminger表示:"随着越来越多的企业通过将工业流程连接到云端来实现现代化,他们也给了威胁者更多的方法,通过勒索软件攻击来破坏工业运营"。

"最近对Colonial Pipeline、JBS Foods和佛罗里达州Oldmsar水处理设施的网络攻击不仅显示了暴露在互联网上的关键基础设施和制造环境的脆弱性,而且还激发了更多的安全研究人员将他们的努力特别集中在ICS上"。

以下是该研究的主要结果:

2021年上半年相比2020年下半年发现的漏洞,今年多出151个

在所有的漏洞中,81%是由非厂商来源发现的,包括不同的研究机构、独立研究人员、第三方公司和学术界人士

大多数漏洞被评为严重或高度危险,对工业控制系统构成严重威胁

大多数漏洞(90%)被发现可被利用,而不需要任何专门的知识

只有61%的漏洞是可以从外部远程利用的

可能在不需要用户互动的情况下就可以利用66%的漏洞

74%的漏洞不需要使用管理权限

]]>
日本加密货币交易所Liquid遭网络攻击,9400万美元失窃 Thu, 23 Sep 2021 05:43:33 +0800 日本加密货币交易所Liquid遭网络攻击,热钱包遭攻击者控制,价值9400万美元的加密资产被窃取;

这是该交易所近一年来第二次遭到大型网络攻击,上一次攻击者通过劫持其DNS基础设施窃取了部分用户数据。

总部位于东京的加密货币交易所Liquid表示,有黑客入侵其服务器,并窃取了按当前汇率估算至少价值9400万美元的加密资产。

该公司在一条推文中解释称,“我们目前正在展开调查并将定期提供更新。此外,交易所的存款与取款服务也将暂停。”

Liquid公司表示,这起事件中黑客控制了他们的热钱包,这些钱包实际上属于加密货币账户,供交易平台为日常交易预留资金。该公司还在其日文博客上表示,此次入侵可追溯至Liquid位于新加坡的子公司Quoine。

作为回应,Liquid公司表示将采取行动将黑客驱逐出内部网络,并正在将其余资金转移至冷钱包(离线账户)当中。

事件公开后,该公司连续发布了多条推文,其中包括黑客盗窃加密货币后转移的地址。

被盗资产总价值估计超9400万美元

区块链分析公司Elliptic表示,这些账户中容纳着按当时兑换比率计算超过9400万美元的加密资产。但随着黑客攻击消息的流出,其中各种货币的价格也应声下跌。

Elliptic补充道,“其中包括价值4500万美元的各类以太坊代币,黑客目前正通过Uniswap及SushiSwap等去中心化交易所(DEX)将其兑换为以太币。如此一来,黑客就能避免这部分资产遭到冻结、及时完成提现。”

在攻击事件之前,Liquid在CoinMarketCap加密货币交易所列表中排名第19位。

去年11月,Liquid就曾遭遇黑客攻击

这也是Liquid近一年来遭遇的第二起重大安全事件。

2020年11月,攻击者对Liquid的DNS服务商开展社会工程攻击,进而控制了这家交易所的DNS基础设施。

当时,黑客利用相关访问权限发动网络钓鱼并成功获得Liquid员工的工作凭证,由此顺利侵入公司内部网络。入侵者设法窃取了部分Liquid客户的数据,但未发生任何资金盗窃。

就在一周之前,有报道称黑客成功入侵Poly Network并窃取了价值超过6.11亿美元的加密货币资产。事后,Poly Network加密货币交易所在Twitter上大求放过并同意支付50万美元的安全漏洞奖励金,黑客方最终退还了这笔赃款。

]]>
美国人口普查局去年遭受入侵,官方称普查数据未受影响 Thu, 23 Sep 2021 05:43:33 +0800 根据美国监察长办公室 (OIG) 最近披露的一份报告显示,美国人口普查局使用的Citrix设备存在零日漏洞,该漏洞导致服务器在2021年1月11日遭到攻击,黑客利用未修补的 Citrix ADC 零日漏洞入侵服务器。

报告中表明,被攻击的服务器向该局提供远程访问能力,使其工作人员能够访问生产、开发和实验室网络。被攻击后,系统人员表示,这些服务器无法接入2020年十年一次的人口普查网络。

攻击行为未全部成功

虽然攻击者能够破坏该局的服务器,并建立了允许他们远程执行恶意代码的流氓管理员帐户,幸运的是他们无法部署后门来保持对服务器的长期访问。据 OIG 称,此次美国人口普查局未能及时处理关键漏洞,才导致其服务器易受攻击。此外,在服务器被攻陷后,该局也未能及时发现和报告攻击行为,没有维护足够多的系统日志,这些行为都阻碍了事件的调查。

美国监察长办公室 (OIG)称,没有迹象表明2020年十年人口普查系统受到任何损害,也没有任何其他的恶意行为影响 2020 年的十年人口统计数据。此外,美国人口普查局代表公众维护和管理的系统或数据没有受到损害、操纵或丢失。

报告中还表明,在2020年1月13日,黑客对远程访问服务器攻击时,试图与远程服务器进行通信,美国人口普查局的防火墙已经阻止了部分攻击。然而,直到2周多后的1月28日,该局才知道服务器被攻击者入侵。

攻击者利用了一个严重的 Citrix 漏洞

OIG提到该漏洞是在2019年12月17日披露的,因此有可能将其准确定位为CVE-2019-19781,这是一个影响Citrix的应用程序交付控制器(ADC)、网关和SD-WAN WANOP设备的严重漏洞。不幸的是OIG的报告中删除了漏洞和软件供应商的名字,显示被删除的供应商是Citrix,但是人口普查局对攻击的回应没有被修改。

美国人口调查局称,因为 COVID-19和缺少工程师(已经满负荷为联邦政府的客户提供支持),迁移工作未完成。

如果成功利用CVE-2019-19781漏洞,远程攻击者可以在未打补丁的服务器上执行任意代码,无需身份验证即可访问内部网络。

仍在积极利用的 Citrix 漏洞

Citrix于2019年12月17日披露了安全漏洞,并提供了缓解措施,并于2020年1月24 日发布了解决该漏洞的产品更新。

然而,在1月8日检测到Citrix服务器存在漏洞后两天,针对CVE-2019-19781的概念验证漏洞被公开。攻击者趁机开始攻击未打补丁的 Citrix 服务器,安全研究人员观察到攻击者在受感染的服务器上部署恶意软件,包括Sodinokibi和Ragnarok勒索软件负载等。

今年2月,DoppelPaymer勒索软件团伙还利用同样的漏洞,入侵了法国的一家电信公司Bretagne Télécom的网络。自那以后,CVE-2019-19781漏洞被美国联邦调查局(FBI)列入过去两年的头号目标漏洞名单,并被美国国家安全局(NSA)列入黑客滥用的前五名漏洞。


]]>
2021年上半年3亿多次勒索软件攻击量创纪录,已超2020全年数据 Thu, 23 Sep 2021 05:43:33 +0800 在2021年上半年,美国、英国、德国、南非和巴西在受勒索软件影响最严重的国家中名列前茅。

SonicWall的一份新报告发现,勒索软件攻击量在2021年上半年猛增,多达3.047亿次。SonicWall研究人员查看了4月和5月的攻击数量,发现这两个月份都低于6月的7840万次勒索软件攻击数量。

SonicWall在2021年上半年看到的勒索软件攻击总数超过了2020年的3.046 亿。2021 年的前六个月已经超过了2020年全年数量总和,同比增长了151%,这一事实让SonicWall的研究人员感到震惊。

报告称:“SonicWall记录有史以来,即使我们在整个下半年没有记录一次勒索软件尝试(这是非理性乐观的),2021年也将成为勒索软件最糟糕的一年。”

根据2021年SonicWall网络威胁报告,年初至今,该公司发现的勒索软件数量在美国和英国分别达到了185%和144%的大幅飙升。在2021年上半年,美国、英国、德国、南非和巴西在受勒索软件影响最严重的国家中名列前茅。

在美国,勒索软件受灾最严重的州是佛罗里达州,该州发生了1.111亿次勒索软件尝试攻击。纽约有2640万,爱达荷州有2050万,罗德岛和路易斯安那州有近900万。

该报告是根据SonicWall Capture Threat Network收集的信息编制的,该网络“监控和收集来自全球设备的信息”,包括215个国家和地区的超过110万个安全传感器。该报告还介绍了在SonicWall安全系统之间共享的交叉向量、威胁相关信息,包括防火墙、电子邮件安全设备、端点安全解决方案、蜜罐、内容过滤系统和SonicWall Capture高级威胁防护多引擎沙箱。

该网络从全球数以万计的防火墙和电子邮件安全设备收集恶意软件和IP信誉数据。该报告还收集了来自50多个行业协作小组和研究组织的共享威胁情报。

报告指出,勒索软件问题持续恶化。数据证明,2021年Q2远比Q1严重。Q2是公司有史以来最糟糕的一个季度,勒索软件数量为1.889亿,远远超过Q1的1.158 亿。

勒索软件攻击也在全球范围内日益蔓延。欧洲勒索软件数量增加了234%,而北美增加了 180%。亚洲在3月份达到了高点。

但美国仍是全球受灾最严重的国家,几乎是受灾国家Top10中其他9个国家的总和。

2021年,最常受到攻击的是政府组织,其遭受的攻击数量是去年的三倍。政府组织每月面临的攻击几乎比其他所有行业都要多。到6月,政府遭遇的勒索软件攻击次数增加了10倍,总体激增了917%。

教育领域也遇到了大量的勒索软件攻击,增长了615%。SonicWall Capture Labs威胁研究人员还发现,医疗保健 (594%) 和零售 (264%) 组织中的勒索软件激增同样令人震惊。

根据SonicWall捕获实验室的数据,Ryuk、Cerber和SamSam勒索软件组织占所有勒索软件攻击的64%。仅Ryuk就有9390万次,是2020年前六个月的Ryuk攻击次数的三倍。

Cerber在2020年末成为第二大勒索软件家族,并延续了这一趋势,在2021年前六个月进行了5250万次未遂攻击,并在4月和5月加大了攻击力度。 SamSam的攻击量达到了 4970万次,比2020年翻了一番。仅在6月份,该组织就发起了1570万次攻击。

SonicWall首席执行官Bill Conner表示,最新数据显示,手法老练的勒索软件运营商正在调整他们的策略并采用勒索软件来获取经济利益。目前远程工作仍然普遍,企业继续面临高度风险,犯罪分子敏锐地意识到整个网络领域的不确定性。

该报告还跟踪了恶意软件,与2020年相比,发现自2018年的105 亿的峰值数据以来,攻击次数在持续下降。

恶意软件在2020年达到了六年的最低点,攻击次数为56亿次,而2021年今年前六个月的恶意软件攻击次数为25亿次。

报告提及:“很显然,更少的恶意软件并不等同于更少的网络犯罪。相反,这表明以往的广撒网式攻击的传统恶意软件正在被抛弃......通常开展更专业、更复杂和更有针对性的攻击,犯罪分子可以赚更多的钱,并造成更大的破坏力。”

北美和欧洲的恶意软件数量均有所下降,但亚洲国家的恶意软件数量增加了23%。

今年上半年,印度和德国的恶意软件数量猛增,印度恶意软件攻击次数为1.472亿次,同比增长83%,德国恶意软件攻击次数为1.504亿次,增长幅度为465%。

SonicWall研究人员指出,前10名之外的一些国家/地区仍然会受到恶意软件的侵害。越南组织恶意软件攻击概率为36.4%,高于任何其他国家/地区。

该公司的实时深度内存检查还发现了185945个“前所未见”的恶意软件变种,比2020年上半年增加了54%。恶意PDF文件和Office文件的数量自2018年以来首次下降。 针对物联网的恶意软件在2021年猛增,攻击次数超过3200万次。美国的物联网的攻击增加了 15%。

报告指出:“许多物联网设备修复漏洞的能力较弱(甚至根本没有),这意味着在未来几年我们将会看到更多的攻击。“

2021年上半年,加密劫持攻击的数量增长惊人。在2021年的5110万次加密劫持攻击中,亚洲的攻击次数增加了118%,欧洲增加了248%。

SonicWall平台架构副总裁Dmitriy Ayrapetov表示:“勒索软件、加密劫持和其他以货币化为目标的独特恶意软件形式持续增加,它们的策略不断演变,这表明了网络犯罪活动始终追随金钱利益,并且能够抓取新的机会和迅速适应不断变化的环境。”

]]>
日本瑞穗银行又现大规模系统故障 所有分行暂停交易 Thu, 23 Sep 2021 05:43:33 +0800 日本瑞穗金融集团周五表示,在一次IT硬件故障后,其日本的所有分行都暂停了交易。这是这家日本第二大银行今年遭遇的一系列系统故障中的最新一起。

瑞穗表示,由于前一天晚上发生的系统问题,其460家分行从19日营业开始,全部无法进行交易。但所有在线交易和自动取款机仍可正常运行。瑞穗发言人称,该行正在寻找事故原因,并努力恢复系统。

今年2月底,瑞穗曾出现一次大规模系统故障,导致其约5900台自动取款机中的4318台不能使用。日本金融厅将在审查其调查结果后,决定是否对瑞穗采取惩罚性行动。

瑞穗过去曾因电脑故障而受到处罚,包括10年前日本地震和海啸后的一次电脑故障,那次故障导致资金转移延迟。

]]>
《中华人民共和国个人信息保护法》将于11月1日起施行 Thu, 23 Sep 2021 05:43:33 +0800 8月20日,十三届全国人大常委会第三十次会议表决通过《中华人民共和国个人信息保护法》,将于2021年11月1日起施行。

其中明确:1、通过自动化决策方式向个人进行信息推送、商业营销,应提供不针对其个人特征的选项或提供便捷的拒绝方式。2、处理生物识别、医疗健康、金融账户、行踪轨迹等敏感个人信息,应取得个人的单独同意。3、对违法处理个人信息的应用程序,责令暂停或者终止提供服务。

]]>
开发者发现苹果 CSAM 系统漏洞,可能导致哈希原像攻击 Thu, 23 Sep 2021 05:43:33 +0800 据MacRumors 8月18日报道,苹果早前发布的用于检测iCloud照片中是否存在儿童色情图片(CSAM)的NeuralHash算法存在漏洞,可能被利用进行原像攻击。

开发者Asuhariet Yvgar 在Reddit上表示,他发现了iOS 14.3中CSAM检测使用的苹果NeuralHash算法的一个版本,容易发生哈希碰撞,导致原像攻击。该攻击可能导致普通用户被诬陷持有儿童色情图片并招致苹果调查审核。

同日,苹果回应媒体Motherboard称,在 iOS 14.3 中发现的 NeuralHash 版本并不是与 iOS 15 一起发布的最终版本。苹果还表示,它已将该算法公开以供安全研究人员验证,但还有第二个非公开算法将在用户超30张匹配阈值后开启检查以及人工验证。

据了解,该算法是在隐藏的API中发现的,NeuralHash的容器被称为MobileNetV3。Asuhariet Yvgar对代码进行了逆向工程,并在Python中重建了一个工作模型,可以上传图像测试。目前,该代码和脚本已上传至GitHub供大家查证。

利用这个工作的Python脚本,GitHub用户已经开始研究这个算法是如何工作的,以及它是否可以被滥用。

一位名叫dxoigmn的用户发现,如果知道CSAM数据库中发现的结果哈希值,人们可以创建一个产生相同哈希值的假图像。理论上,一个用户可以将这些图片发送给随机的苹果用户,以触发该算法。

目前还没有人发现iOS 15测试版中存在CSAM数据库或匹配算法。苹果也还没有提供CSAM检测功能的确切发布时间表。

]]>
T-Mobile承认超过4700万用户个人信息被窃取 Thu, 23 Sep 2021 05:43:33 +0800 虽然相关的调查仍在进行中,不过美国电信运营商 T-Mobile 确认有超过 4000 万申请过信贷的“前客户或潜在客户”以及 780 万后付费客户(目前有合同的客户)的记录被盗。而此前有黑客在暗网上出售 1 亿条用户信息,虽然目前承认的数字仅为一半,但依然是非常惊人的。

被盗文件中的数据包含重要的个人信息,包括姓名、出生日期、社会保险号码和驾驶执照/身份证号码--你可以用这些信息以他人的名义建立账户或劫持现有账户。显然,它不包括"电话号码、账户号码、个人识别码或密码"。

而且本次泄漏规模并不仅限于此,有超过 85 万名预付费的 T-Mobile 用户也是该漏洞的受害者,对他们来说,暴露的数据包括"姓名、电话号码和账户密码"。

受影响的客户已经重新设置了他们的密码,并将"立即"收到通知。还有一些不活跃的预付费账户的信息也被访问了,具体信息不详。然而,T-Mobile 表示,"在这个非活动文件中没有客户的财务信息、信用卡信息、借记卡或其他支付信息或SSN"。

T-Mobile 回应道:“客户把他们的私人信息信任给我们,我们以最大的关切来保护这些信息。最近的一次网络安全事件使一些数据受到伤害,我们对此表示歉意。我们非常重视这个问题,我们努力使我们的调查状况和我们正在做的事情具有透明度,以帮助保护你”。

]]>
美国官方曝网络摄像头大漏洞 超 8300 万台设备受影响 Thu, 23 Sep 2021 05:43:33 +0800 智东西 8 月 19 日消息,本周二,美国联邦网络安全和基础设施安全局 (CISA) 公布了一个影响数以千万计的物联网设备的严重漏洞,攻击者不仅能够通过该漏洞看到安全网络摄像头等设备拍摄的实时视频,还能利用该漏洞控制这些设备。

美国网络安全公司 Mandiant 在 2020 年末发现了这一漏洞。该公司称,这一漏洞影响了超过 8300 万台网络设备,不过他们无法确定受到漏洞影响的产品和公司的完整名单。

一、SDK 出漏洞 ,8300 万台智能设备受影响

一个漏洞潜伏在包括网络摄像头等多种智能设备中,可能会使攻击者通过互联网访问其实时视频和音频流,甚至远程获得该设备的完全控制权。更糟糕的是,这个漏洞不仅限于单个制造商,它出现在一个软件开发工具包 (SDK) 中,这个工具包渗透到超过 8300 万台设备之中,每个月都产生超十亿次互联网连接。

有问题的 SDK 是 ThroughTek Kalay, 它提供了一个即插即用的系统,用于将智能设备与其相应的移动应用程序连接起来 。Kalay 平台为智能设备和其相应的应用程序提供代理,可以处理身份验证,并来回发送数据和命令。

美国网络安全公司 Mandiant 的研究人员在 2020 年底发现了这个漏洞,并于本周二与 CISA 一起公开披露了这个漏洞。

Mandiant 的主管 Jake Valletta 说 :“Kalay 为这些智能设备提供必要的连接和相应的功能,然而攻击者可以随意连接到这些设备,检索音频和视频,然后使用远程 API 执行注入触发固件更新、更改相机角度或重启设备等操作,并且用户还不会知道发生了什么问题。”

二、攻击者可获取用户账号密码,用户无法重置设备摆脱入侵

该漏洞存在于设备与其移动应用程序之间的注册程序中。研究人员发现,这种设备与应用程序的连接取决于每个设备的 UID, 这是一个唯一的 Kalay 标识符。据 Valletta 所说,攻击者可以很容易的从制造商的其他网络漏洞中获取到这些 UID。

拥有设备 UID 并对 Kalay 协议有所了解的攻击者可以重新注册设备的 UID 以覆盖 Kalay 服务器上现有的设备。当设备的拥有者尝试重新将设备连接到网络时,攻击者就可以劫持并获取该设备的账号与密码。

这个过程中,用户可能会经历几秒钟的延迟,但是从他们的角度来看,一切都在正常运行。但是,掌握了 UID 和账号密码的攻击者可以通过 Kalay 远程控制这些设备,还能以这些被侵入的设备为起点,更加深入目标网络。

利用该漏洞,攻击者可以实时观看网络设备拍摄到的视频,还可以在目标设备上安装恶意固件。此外,由于攻击是通过获取凭据,然后通过 Kalay 远程管理设备进行的,因此设备的所有者无法通过重置设备或擦除数据来摆脱入侵者,因为攻击者很容易再次发起攻击并重新控制。

“受到影响的设备可能会受到不当的访问控制,此漏洞可允许攻击者访问敏感信息或执行远程代码 。CISA 建议用户采取防御措施,以最大限度地降低此漏洞带来的风险 。”CISA 在周二的公告中写道。

三、更新固件能避免攻击,三年过去仍有大量设备未更新

然而,与许多物联网安全漏洞一样,确认了漏洞存在的位置并不等于修复了漏洞 。Kalay 的提供商 ThroughTek 只是需要参与解决这一漏洞的众多相关方之一。

智能设备的白牌制造商在他们的产品中加入 Kalay, 然后产品会被别的公司买走,贴上特定的品牌出售。这意味着即使 ThroughTek 提供了修复该漏洞的方法,也很难确切地知道有多少公司依赖 Kalay, 并需要修复这个漏洞。

Mandiant 的研究者没有发布他们对于 Kalay 协议的分析或利用该漏洞的细节,他们说他们的目标是在不向潜在的攻击者提供思路的情况下提高人们对这一问题严重性的认识。

ThroughTek 和 Mandiant 称,要堵住这一漏洞,厂商必须开启两个可选的 Kalay 功能:加密通信协议 DTLS 和 API 身份验证机制 AuthKey。

“我们已经从 Mandiant 那里得知了这个漏洞,并且已通知使用旧 SDK 的客户更新其设备固件 。”ThroughTek 的产品安全事件响应团队成员 Yi-Ching Chen 说。

不过,与 Mandiant 的发现一致,他们很难让客户集体更新。尽管 ThroughTek 在三年前就已经发布了能够一定程度上避免这种攻击的 SDK 版本,但是现在仍然存在大量易受攻击的设备。

“在过去的三年里,我们一直在通知我们的客户升级他们的设备,但是一些旧设备缺乏空中下载技术 (OTA) 功能,这使得他们无法进行升级。此外,我们有些客户不想启用 DTLS, 因为这会减慢建立连接的速度,因此他们对升级犹豫不决 。”Yi-Ching Chen 补充道。

Jake Valletta 称,这次的公开的披露这个漏洞就是希望能够让客户认识到这一漏洞的严重性,并让大型制造商在其产品中更新 Kalay。 但是实际上小公司制造的设备可能永远无法修复这些漏洞,因为他们在安全方面没有大量的资金和设备投入,或者他们仅仅是从白牌产品供应商哪里购买完整的产品然后打上自己的品牌名称。

结语:网络信息安全要得到更多重视

近些年来,随着互联网技术的迅速发展,各类智能设备得到迅速的普及。但是信息泄露问题一直在伴随着这一过程。家用网络摄像头被破解,个人隐私遭泄露的事件时有发生。

现在不论是国家层面立法保护公民的个人信息安全,还是各智能设备厂商自发的加码用户的隐私保护,都说明个人的信息安全正在得到越来越多的重视。

家用的智能设备尤其是网络摄像头作为一个私密性较强的设备,如果被入侵,对于设备的拥有者来说后果是较为严重的。因此,相关监管机构以及设备的生产商、经销商等相关角色对此类信息安全更应加倍重视。

]]>
无视“国家反诈中心”App预警,装了之后又卸载,银行职工被骗30余万 Thu, 23 Sep 2021 05:43:33 +0800 “我现在肠子都悔青了,以为民警给我说的“国家反诈中心”么啥用,结果又被骗这么多,我该咋办呀”,柞水一银行工作的小伙子王某在乾佑派出所哭诉着报警说。

今年初,身为银行工作人员的王某想着自己有丰富的金融专业知识,又在金融部门工作,于是在一款名为“PPmoney出借”投资平台理财,投入十几万元后结果平台倒闭导致无法提现被骗。

王某报案后民警在加快案件侦办的同时,向王某宣传防骗反诈知识,要求其安装“国家反诈中心”APP亡羊补牢以防再次被骗。

2021年7月,心有不甘的王某仍幻想着“PPmoney出借”投资平台能够返款,于是加入该平台返款QQ联络群。

看着群里别人发的一张张返款成功的截图,心动不已的王某与群里的“热心”客服联系起来,按照客服要求连续三次向对方提供不同账号转款共十七万余元。

殊不知该群也是骗子雇托实施诈骗的双簧计,最为荒诞的是在王某同对方联系汇款期间,“国家反诈中心”APP多次向王某预警对方为诈骗信息。

一心只想返款的王某竟然想着不被打扰,卸载了“国家反诈中心”APP。

直到“热心”客服将王某榨干取尽将其踢出QQ群拉黑一切联系后,王某才如梦初醒,悔不当初将民警相劝安装“国家反诈中心”APP预警提醒置之脑后,结果遭遇连环骗局损失共计达三十余万元。

目前,乾佑派出所对该诈骗案受立案调查的同时,根据《企事业单位内部治安保卫条例》有关规定向王某所在单位下发治安隐患整改通知书,责令迅速采取有效措施加强该单位员工防骗反诈等宣传,要求所有员工安装“国家反诈中心”APP,避免同类案件再次发生。

]]>
南京一女子收到两次反诈提醒,结果还是被骗 Thu, 23 Sep 2021 05:43:33 +0800 暑假兼职

不料落入刷单骗局

反诈小程序两次提醒账户存在风险

南京女子视而不见

转账近万元后意识被骗

案件回顾

近日,南京市民小章在QQ上收到了一条自称是某化妆品品牌工作人员的信息,对方称可提供刷单兼职。随后,对方给小章发送了一个网址,表示只要支付购买产品并将订单编号发送给对方后便可返还订单金额,无需成本。

小章见是对方给的是正规官网网址,购买的也是正规产品,便按照对方的指示操作。接着,对方给小章发送了一个二维码。

扫码后,小章立即收到了之前注册的“金钟罩”反诈小程序的提醒,提示“账户有风险,可能存在刷单行为”。

但小章没注意看,忽略反诈提醒,按照对方要求支付了899元。按照约定,对方因退还支付金额,并支付相应的刷单佣金。

此时,对方却表示,钱可以退,但订单因刷单存在风险异常,需要解封风险,然后再刷一笔,核实是否为本人操作。

按照对方的指示,小章下载了一款借贷软件,将里面的额度转入自己的账户中。就在她扫对方发来的二维码时,再次收到了风险提示

她再次忽略反诈提醒,在微信转账11900元后,才反应过来可能上当受骗,随后报了警。

据小章回忆,当时自己陷在里面了,自动忽略了风险提示。目前,警方已经立案调查。

刷单就是诈骗

刷单就是诈骗

刷单就是诈骗

小苏提醒

广大网友注册了“金钟罩”反诈程序后,一定要留心发出的“被诈骗风险提醒”

注册后如果收到诈骗电话、诈骗二维码、诈骗链接,公众号小程序会立刻弹出,提示你注意防范网络诈骗!

]]>
日本最大财险公司遭勒索软件攻击:保险行业已成为主要攻击目标 Thu, 23 Sep 2021 05:43:33 +0800 日本国内收入最高的的财险集团东京海上披露称,新加坡分公司遭到了勒索软件袭击;

今年已有多家大型保险公司遭到勒索软件毒手,REvil勒索软件团伙的一名代表表示,保险公司已经成为勒索攻击者眼中极具吸引力的目标。

日前,日本跨国保险公司东京海上控股(Tokio Marine Holdings)披露称,新加坡分公司新加坡东京海上保险(TMiS)遭受勒索软件攻击。

该公告于本周初发布,除了披露应对措施之外,公告中几乎没有任何事件细节。

攻击影响不大

作为日本国内收入最高的财产与意外伤害保险集团,东京海上无疑是网络犯罪分子眼中极具吸引力的目标。他们也一直在寻求可行漏洞,希望从东京海上的客户身上榨取收益。

东京海上指出,此次勒索软件攻击主要影响的是其新加坡东京海上保险分部,集团在新加坡国内的其他公司并未受到波及。

目前还不清楚攻击发动于何时、如何展开,也不明确具体造成了怎样的后果。但新加坡分部在发现问题后立即实施了网络隔离,并向当地政府机构发出通报。

母公司则表示,目前可以“确认没有迹象表明集团的任何客户信息或机密信息遭到泄露。”

目前,大部分勒索软件攻击事件也伴随有数据泄露问题,越来越多的攻击者会在加密之前从受害者网络中窃取敏感文件。

然而,东京海上已经引入第三方机构开展系统分析并评估攻击影响。

该公司在官方网站上以日文及英文通报披露了此次事件,就并“造成的一切不便及担忧”向广大客户致歉。

保险公司成主要攻击目标

外媒CyberScoop的Tim Starks表示,东京海上是本周第二家宣布遭受网络攻击的保险企业。周一,Ryan Specialty Group表示今年4月曾检测到部分员工账户遭到未授权访问。

此外,今年年初还有其他几家大型保险公司沦为勒索软件攻击的受害者。

今年3月,美国第七大商业保险公司CNA Financial Corporation遭遇Phoenix CrypotoLocker勒索软件攻击,攻击方还窃取了包含客户信息的文件。

今年5月,Avaddon勒索软件团伙攻击了AXA在泰国、马来西亚、香港及菲律宾的多家分支机构,并宣称成功窃取到3 TB数据。

在早些时候,REvil勒索软件团伙的一名代表还接受了Recorded Future情报分析师Dmitry Smilyanets的采访,并坦言保险公司已经成为勒索攻击者眼中极具吸引力的目标。

这位代号“未知”(Unknown)的代表宣称,保险公司是“最鲜嫩多汁的美味”。他们可以通过黑客攻击触及保险公司的客户群体,并以客户为要挟向保险企业施压。

 “没错,他们是最鲜嫩多汁的美味。最好的办法是先入侵保险公司,触及他们的客户群体并据此收集针对性的攻击方式。在整理好策略之后,即可向保险企业发动冲击。”

]]>
黑莓隐瞒漏洞BadAlloc,暂无解决方法:影响宝马、福特等近2亿汽车 Thu, 23 Sep 2021 05:43:33 +0800 CISA就黑莓产品中的BadAlloc漏洞发布警报,该漏洞影响近2亿辆汽车以及成千上万的工业控制、医疗工具等设备。

漏洞影响近2亿辆汽车

8月17日,黑莓公司发布公告称其用于医疗设备、汽车、工厂甚至国际空间站的QNX实时操作系统可能受到漏洞BadAlloc的影响。前不久,黑莓公司刚刚宣传该实时操作系统已在2亿辆汽车上投入使用。

BadAlloc是一个整数溢出漏洞集合,涵盖了超过25个漏洞,影响多个黑莓QNX系统的C语言运行库中的calloc()函数。利用该漏洞可以使受影响设备出现拒绝服务的情况或执行任意代码。

要利用这一漏洞,攻击者必须控制调用 calloc()函数的参数,并能控制分配后的内存访问。如果受影响的产品正在运行,并且受影响的设备暴露在互联网上,那么有网络访问权的攻击者可以远程利用这个漏洞。

据黑莓称,该漏洞没有解决方法,但他们指出,用户可以通过启用ASLR地址空间随机化来降低受攻击的可能性。

目前,CISA还没有捕捉到对这一漏洞的利用,但关键基础设施组织和其他开发、维护、支持或使用受影响的基于QNX的系统的组织,应当尽快修补受影响的产品。

黑莓曾试图隐瞒该漏洞

据Politico消息,两名相关人士(其中一名是政府官员)表示,黑莓最初否认 BadAlloc漏洞对其产品有影响,并且拒绝公开声明承认此事。在CISA的督促下,黑莓才承认该漏洞的存在。

今年4月,微软的安全研究人员就发现了该漏洞,并且发现该漏洞存在于多家公司的操作系统和软件中。5月,一些受影响的公司与国土安全部的网络安全和基础设施安全局合作,公开披露了漏洞并敦促用户修补他们的设备。

但是黑莓却不在其中。

据透露,黑莓打算私下直接联系客户,以提醒该漏洞的存在。

事实上,黑莓并不是唯一这么做的公司。许多企业喜欢私下提醒用户修复,因为这样可以避免让攻击者趁机攻击,也可以减少因漏洞带来的负面评价以及经济损失。

但是私下通知的形式只能提醒一小部分受影响的公司。黑莓告诉CISA,他们无法识别每一个使用该系统的个人、企业,以向他们发出警告。并且,随着时间的推移,黑莓也意识到了公开披露或许会带来更多的好处。

因此,最终黑莓同意了发布公告以督促用户进行升级。

]]>
test Thu, 23 Sep 2021 05:43:33 +0800 \"1628831777_61160021d89f9d265c48d.jpg\"/

]]>
白帽黑客帮助福特汽车避免大规模数据泄露 Thu, 23 Sep 2021 05:43:33 +0800 据知情人士称,今年较早时,网络安全研究人员提醒福特,其充满敏感专有信息的内部系统存在漏洞,无法抵御网络攻击的威胁,该公司之后加强了网络安全措施,确保了客户和员工记录的安全,避免了大规模数据泄露。

福特网站允许在线安全“研究人员”访问机密的公司记录、数据库和机密客户信息。福特发言人T.R.里德(T.R. Reid)表示:“根据提供给福特的证据和我们的内部调查,我们不认为有关员工或客户的任何敏感个人信息在这起事件中被访问或泄露,这一事件在近六个月前就已被发现并得到处理。客户和员工的安全和信任是我们福特网络安全团队和流程的重中之重。”

网络安全专家在全球被广泛认为是友好的黑客(“白帽黑客”),他们在今年第一季度发现了福特内部网络系统令人担忧的问题。

但伦敦的网络安全专家阿克斯·夏尔马(Ax Sharma)表示,福特从未正式声明其系统是否存在数据泄露。夏尔马一直在撰写有关该事件的文章,他说:“他们等了整整六个月才披露这一消息。有没有数据泄露,这不是重点。你通常会在HackerOne上公布调查结果,HackerOne是一个让研究人员在安全情况下向公司报告事情的平台。”

“福特从未正式披露过此事。他们沉默了,”夏尔马表示。

]]>
加州一医疗初创公司的网站漏洞使大量COVID-19测试结果面临泄露风险 Thu, 23 Sep 2021 05:43:33 +0800 一家位于加州的医疗创业公司在整个洛杉矶提供COVID-19测试,在一位客户发现允许访问其他人的个人信息的漏洞后,该公司已经关闭了一个用于允许客户访问其测试结果的网站。Total Testing Solutions在整个洛杉矶有10个COVID-19测试点,每周在工作场所、体育场馆和学校处理"数千次"COVID-19测试。

当测试结果准备好后,客户会收到一封电子邮件,其中有一个网站链接,以获得他们的结果。

但一位客户说,他们发现了一个网站漏洞,允许他们通过增加或减少网站地址中的一个数字来访问其他客户的信息。这使得该客户可以看到其他客户的名字和他们的测试日期。该网站也只需要一个人的出生日期就可以访问他们的COVID-19测试结果,发现该漏洞的客户说"不需要很长时间"就可以暴力破解,或者简单地猜测。(对于30岁以下的人来说,这只是11000次生日猜测而已)

虽然测试结果网站有一个登录页面,提示客户提供他们的电子邮件地址和密码,但允许客户更改网址和访问其他客户信息的网站漏洞部分可以直接从网上访问,完全绕过了登录提示。

通过有限的测试发现,该漏洞可能使大约6万个测试处于危险之中。TTS首席医疗官Geoffrey Trenkle确认了这一漏洞,他对穷举破解的漏洞没有异议,但表示该漏洞仅限于一台用于提供传统测试结果的内部服务器,该服务器后来被关闭并被一个新的基于云的系统取代。公司在一份声明中说:"我们最近意识到我们以前的内部服务器存在一个潜在的安全漏洞,它可能允许利用URL操作和出生日期编程代码的组合来访问某些病人的名字和结果。"该漏洞仅限于在创建基于云的服务器之前在公共测试场所获得的病人信息。为了应对这一潜在的威胁,我们立即关闭了企业内部的软件,并开始将这些数据迁移到安全的云端系统,以防止未来数据泄露的风险。我们还启动了漏洞评估,包括审查服务器访问日志,以检测任何未被识别的网络活动或不寻常的认证失败。目前,TTS没有发现由于其先前服务器的问题而导致的任何不安全的受保护健康信息的泄露。据我们所知,实际上没有病人的健康信息被泄露,而且所有的风险都已经被减轻了。"

Total Testing Solution表示将遵守国家法律规定的法律义务,但没有明确表示该公司是否计划通知客户这一漏洞。虽然公司没有义务向本州的总检察长或客户报告漏洞,但许多公司出于谨慎而报告,因为并不总是能够确定是否有不当访问。

]]>
FBI的恐怖分子秘密观察名单曝光,包含190万条记录 Thu, 23 Sep 2021 05:43:33 +0800 安全研究员 Bob Diachenko 发现了一个秘密恐怖分子观察名单,名单中包含的190万条信息在互联网上从2021年7月19日到8月9日,曝光了大约三周时间。

7月,Diachenko 发现了一个不安全的 Elasticsearch 集群,通过分析,发现其中包含用户个人敏感信息记录。Diachenko 在 LinkedIn 上写道,暴露的 Elasticsearch 集群包含190万条记录,不清楚它存储了多少完整的 TSC 观察列表,但有理由怀疑整个列表已经曝光,监视列表中的每条记录都包含以下部分或全部信息:

  • 全名;

  • TSC 监视列表 ID;

  • 国籍;

  • 性别;

  • 出生日期;

  • 护照号码;

  • 发行国;

  • 禁飞指示器;

据悉,这份名单由联邦调查局恐怖分子筛查中心(TSC)提取,该数据库自2003年以来一直被美国联邦调查局与其他机构用来追踪已知或者有嫌疑的恐怖分子。

2021年7月19日,搜索引擎 Censys 和 ZoomEye 将暴露的服务器编入索引,令人担忧的是有专家在巴林 IP 地址上发现了 TSC 数据库的副本。

据Diachenko称, 当发现数据曝光后,他立即向美国国土安全部 (DHS) 报告了此次发现,但是经过了大约三周后,该数据库实例才被删除,这种情况表明服务器不是由 FBI 直接操作的。

后来Diachenko补充道,不清楚为什么要花这么长时间,长时间的曝光不能确定是否有任何未经授权的人员访问了服务器,加上搜索引擎 Censys 和 ZoomEye 索引了暴露的 DA, 意味着其他人可以访问秘密列表。

相关研究人员认为,曝光名单中的人即使尚未被指控犯有恐怖主义和其他罪行,此次曝光行为仍有可能会给他们带来许多个人问题,更可怕的是如果落入不法分子手中,这份名单可能会用来压迫、骚扰和迫害名单上的人及其家人。最后研究人员总结称,这种数据泄露也可能对国土安全带来严重影响。

TSC 观察名单极具争议,美国公民自由联盟多年来一直反对未经正当程序使用政府秘密禁飞名单。

在撰写本文时,尚不清楚曝光的三周时间内,不安全的服务器是由美国政府机构、第三方直接操作,还是最由获得它的不法分子在操作。

]]>
福特汽车专有数据或被泄露 Thu, 23 Sep 2021 05:43:33 +0800 近日,福特汽车被曝存在一个较为严重的安全漏洞,黑客可通过该漏洞访问其配置错误的Pega Infinity系统,从而获取包括客户数据库、员工记录、内部票证等在内的专有数据信息。黑客还可以借此执行账户接管操作。

从数据泄露到账户接管

该漏洞由Robert Willis 和 break3r发现, 并得到了Sakura Samurai组织成员Aubrey Cottle、Jackson Henry和John Jackson的进一步验证和支持 。

该问题是由CVE-2021-27653漏洞引起的,它是一个信息泄露漏洞,存在于福特公司配置不当的Pega Infinity客户管理系统中。研究人员分享了该系统和数据库的许多截图。例如,该公司的

要利用该漏洞,攻击者首先必须访问配置错误的Pega Chat Access Group用户的后端Web面板:

作为URL参数提供的不同负载可能使攻击者能够运行查询、检索数据库表、获取OAuth访问令牌和执行管理操作。

研究人员表示,泄露的数据资产包含敏感的个人身份信息:

  • 客户和员工记录

  • 财务账号

  • 数据库名称和表

  • OAuth访问令牌

  • 内部支持票

  • 组织内的用户个人资料

  • 脉冲动作

  • 内部接口

  • 搜索栏历史

耗时六个月才被披露

早在2021年2月,研究人员就向Pega报告了他们的发现,并尽快地修复了聊天门户中的CVE漏洞。大约在同一时间,这个问题也通过他们的HackerOne漏洞披露计划报告给了福特。

Jackson表示,随着披露时间表的进一步推进,研究人员在发布有关该漏洞的推文后收到了HackerOne的回复,但没有提供任何敏感细节:

研究人员等待了六个月后才得到了该漏洞的披露详情。目前,福特的漏洞披露计划不提供金钱激励或漏洞奖励,因此根据公共利益进行协调披露是研究人员希望的唯一“奖励”。

目前,福特并没有对本次事件的特定安全相关行为发表评论。虽然福特宣称在接到报告后24小时内关闭了端点,但研究人员指出,他们在福特宣称关闭了端点之后发现此端点仍可访问,并要求福特再次审查并采取缓解措施。

目前尚不清楚是否有任何攻击者利用该漏洞破坏福特的系统,或者是否访问了客户或福特员工的个人身份信息。

]]>
巴西经济部内部网络遭遇勒索软件攻击 Thu, 23 Sep 2021 05:43:33 +0800 近日,巴西经济部的发布声明称国库秘书处内部网络遭遇勒索软件攻击,声明内容如下:

  • 周五晚上(13 日)发现了针对国库秘书处内部网络的勒索软件攻击;

  • 已经立即采取了遏制措施,并召集了联邦警察;

  • 目前,巴西国家财政部秘书处和数字政府秘书处(DGS)的安全专家正在评估此次攻击的影响;

  • 在第一阶段,评估认为该行动没有损害国库秘书处的结构系统,例如综合财务管理系统(SIAFI)和与公共债务相关的系统,正在采取安全措施。

据了解,DGS在经济部管理和数字政府特别秘书处下运作,在巴西网络部署中发挥战略作用。DGS 还是SISP的中央机构,该系统被用于规划、协调、组织、运营、控制和监督联邦政府200多个机构的信息技术资源。

据报道,迄今为止的初步评估发现,国库的结构系统没有受到损害,例如与公共债务管理相关的平台。巴西经济部指出,有关该事件的新信息将会及时披露并具有适当的透明度。

16日,财政部与巴西证券交易所联合发布的另一份声明指出,此次攻击不会影响Tesouro Direto项目的运营,该项目向个人销售巴西政府债券。

在巴西财政部之前, 2020年11月巴西高级选举法院也曾遭遇重大网络攻击。这次袭击使该法院的系统停顿了两个多星期。就其复杂性和所造成损害的范围而言,当时该事件被认为是有史以来针对巴西公共部门机构精心策划的最全面的攻击;在巴西的私营领域,今年出现的重大勒索软件攻击涉及大型公司,例如医疗企业Fleury和航空航天集团巴西航空工业公司。

]]>
广东省佛山市禅城区人民法院判决一使用JAVE语言非法接入12123官网非法获利案件 Thu, 23 Sep 2021 05:43:33 +0800 2019年2月,郭建华出资购买交管12123官网接口并交予从事软件开发的廖永乐,廖永乐利用交管12123官网(交通安全综合服务管理平台)技术漏洞,使用JAVA语言,在“风清扬”查号软件基础上,接入交管12123官网,调用第三方(超级鹰)接口进行识别,绕过人工识别,改进、开发用于查询全国各地市交通安全综合服务管理平台汽车号牌的软件MIUMIU及网站CI。开发完成后,郭建华向他人出售MIUMIU软件及CI网站全国、省、市三级查询权限,从中非法获利约人民币425000元。上述款项由郭建华、廖永乐二人按比例分成。

2019年9月,被告人代胜涛向郭建华购买MIUMIU软件全国权限一年期会员账号,通过郭建华、廖永乐或者自己登陆MIUMIU软件获取交管12123网站的车牌使用信息,帮助他人查号上牌获利人民币78500元。2019年10月,被告人代胜涛通过将从郭建华处购买的三套MIUMIU软件使用权转卖给他人,赚取差价,从中非法获利人民币6120元。

2020年8月6日,民警在湖北省孝感市云梦县某车库内抓获被告人代胜涛,并扣押了其手机六台、硬盘两个及记事本一本。

审判结果

代胜涛无视国家法律,违反国家规定,侵入国家事务的计算机信息系统,其行为已构成非法侵入计算机信息系统罪。公诉机关的指控成立。被告人代胜涛归案后能如实供述犯罪事实,自愿认罪认罚,依法可以从轻处罚。辩护人据此请求对被告人代胜涛从轻处罚的辩护意见成立,予以采纳。被告人代胜涛及其辩护人提出公诉机关指控被告人代胜涛通过MIUMIU软件帮助他人查号上牌获利的数额为130000元的证据不足,应认定为78500元的辩解、辩护意见成立,予以采纳。公诉机关建议判处被告人代胜涛九个月有期徒刑的量刑意见适当,本院予以采纳。依照《中华人民共和国刑法》第二百八十五条第一款、第六十七条第三款、第六十四条之规定,判决如下:

一、被告人代胜涛犯非法侵入计算机信息系统罪,判处有期徒刑九个月。

(刑期从判决执行之日起计算;判决执行以前先行羁押的,羁押一日折抵刑期一日,即自2020年8月6日起至2021年5月5日止。)

二、对扣押的作案工具华为手机一台、金色苹果手机一台及三星牌硬盘一个予以没收,由扣押机关依法处理。

如不服本判决,可在接到判决书的第二日起十日内,通过本院或者直接向佛山市中级人民法院提出上诉。书面上诉的,应当提交上诉状正本一份,副本二份。

]]>
勒索凶猛!美国数十家医院诊所系统瘫痪,患者紧急转移 Thu, 23 Sep 2021 05:43:33 +0800 因遭遇勒索软件攻击致使IT系统瘫痪,美国西弗吉尼亚州及俄亥俄州的三家医院和数十家诊所取消手术预约,并被迫将患者通过救护车转移至其他医疗机构。

上周日(8月15日)凌晨,美国医疗连锁机构Memorial Health System遭遇勒索软件攻击,致使IT系统瘫痪,旗下三家医院无法正常运营。

Memorial Health System旗下拥有64家诊所,以及位于西弗吉尼亚州与俄亥俄州玛丽埃塔-帕克斯堡都市区的玛丽埃塔纪念医院、塞尔比将军医院以及锡斯特斯维尔将军医院。

自上周日夜间开始,三家医院着手将急诊病患转移至卡姆登克拉克医疗中心。这里距离拥有25张病床的锡斯特斯维尔将军医院有一小时车程,与另外两家遭受攻击的纪念医院间的车程则在25分钟左右。除此之外,位于俄亥俄州贝尔普雷市贝尔普雷医学园区一处独立急诊室的重症监护设施也受到了同一波攻势的影响。

Memorial Health System下辖的大部分医院诊所还取消了安排在本周一的所有非紧急手术和放射性检查,并建议已经与外科医生或专家预约的患者提前来电沟通、商议应对办法。

官员们在一份声明中表示,“我们将继续在玛丽埃塔纪念医院接收急性心梗、中风及创作患者。贝尔普雷及塞尔比医院正在对全体患者进行转移,努力保证患者能够被送往符合其最佳利益的周边医疗机构。如果所在地区的医院均无法接收,患者将被送往距离最近的急诊室。本次应急调度将持续至IT系统恢复为止。”

医院机构已成勒索攻击重灾区

过去三年以来,勒索软件攻势可谓愈演愈烈,先后致使关键燃料管道、大型肉类加工企业以及其他对于民众日常生活与安全至关重要的基础设施陷入瘫痪。

近期医院与诊所的沦陷,也标志着勒索软件又找到了新的攻击对象。Emsisoft安全公司威胁分析师Brett Callow表示,今年年内已经有38轮针对医疗保健服务商或系统的攻击活动出现,共导致约963个区域内的病患护理体系被迫中断;相比之下,2020年全年共有560个区域受到影响,独立攻击事件总计为80起。

作为其中一家医疗服务商,Eskenazi Health在印第安纳州印第安纳波利斯经营着一家拥有315个床位的医院、住院设施与社区健康综合体。但在上周遭遇勒索软件攻击之后,他们只能将救护车拒之门外。本月初,位于南达科他州苏福尔斯的Sanford Health同样遭受勒索软件攻击,迫使他们在IT抢修的数天期间只能将急诊患者转移到其他医院。

已经有部分勒索软件团伙承诺不对医院、学校及其他关键基础设施开展攻击,但从最近爆发的一系列事件来看,关键医疗服务商并没能免受勒索活动的侵扰。如果不是意外误伤,我们恐怕只能认定勒索软件组织并不打算遵守自己对医疗机构“手下留情”的诺言。

]]>
瑞昱WiFi芯片曝出严重漏洞,华硕网件全中招 Thu, 23 Sep 2021 05:43:33 +0800 近日,物联网和网络设备市场传来噩耗,海量联网设备采用的无线芯片——芯片厂商瑞昱(Realtek)的Realtek RTL819xD模块曝出一个严重漏洞,攻击者可完全访问设备、操作系统和其他网络设备。

Realtek提供的无线芯片几乎被所有知名电子产品制造商使用,产品类别覆盖VoIP和无线路由器、中继器、IP摄像机和智能照明控制等等具备无线联网功能的设备。受影响的硬件制造商名单包括 AsusTEK(华硕)、Belkin(贝尔金)、D-Link、Edimax、Hama、Netgear(网件)等。

“我们的安全研究人员发现并分析了这个漏洞,它影响了数十万台设备。我们通知了Realtek,他们立即回复并提供了适当的补丁。强烈建议使用易受攻击的Wi-Fi模块的制造商检查他们的设备并向用户提供安全补丁,”IoT Inspector董事总经理Florian Lukavsky说。

Realtek漏洞:攻击者可以做什么

要使漏洞利用成功,攻击者通常需要位于同一个Wi-Fi网络上。但是,错误的ISP配置也会将许多易受攻击的设备直接暴露给Internet。

成功的攻击将提供对Wi-Fi模块的完全控制,以及对嵌入式设备操作系统的根访问。总共在芯片组中发现了十几个漏洞。

“目前对这些类别的设备的安全意识太少——无论是用户还是制造商,他们都盲目依赖供应链中其他制造商的组件而不进行测试。结果,这些组件或产品成为不可预测的风险,”Lukavsky警告说。

据Forrester的报告,全球只有38%的企业安全决策者拥有足够的策略和工具来正确管理物联网设备。多数制造商迫切需要实施物联网供应链安全指南。

受影响的版本

Realtek的安全公告列出了下列产品版本存在漏洞:

  • rtl819x-SDK-v3.2.x系列

  • rtl819x-SDK-v3.4.x系列

  • rtl819x-SDK-v3.4T系列

  • rtl819x-SDK-v3.4T-CT系列

  • rtl819x-eCos-v1.5.x系列

已修复版本

Realtek SDK分支2.x:Realtek不再支持

Realtek“Jungle”SDK:补丁将由Realtek提供,需要向后移植

Realtek“Luna”SDK:1.3.2a版包含修复

漏洞编号

  • CVE-2021-35392

  • CVE-2021-35393

  • CVE-2021-35394

  • CVE-2021-35395

]]>
英国教育巨头培生因掩盖数据泄露被罚款 100 万美元 Thu, 23 Sep 2021 05:43:33 +0800 8月16日,美国证券交易委员会(SEC)宣布,英国跨国教育出版服务公司培生(Pearson),已就2018年数据泄露事件中披露程序处理不当的指控达成了和解。

Pearson未及时披露违规行为

据SEC宣布,Pearson公司同意支付 100 万美元的民事罚款,以解决“不承认或否认调查结果”的指控,该指控试图掩盖和淡化 2018 年发生的数据泄露事件,此次泄露事件导致美国1.3万所学校的学生和管理员登陆凭证信息泄露。

据SEC表示,Pearson于2019年7月提交的半年审查中,将该数据泄露事件称为“假想风险”,即使在数据泄露已经发生后同样如此。在同月的一份声明中,Pearson集团宣称,泄露的信息可能包括出生日期和电子邮件地址,事实上,当时Pearson公司已经知道这些记录被窃取。

SEC执法部网络部门负责人克里斯汀娜•利特曼表示: “正如该声明所发现的,Pearson选择在媒体接触到泄漏事件之前不向投资者披露这一违规行为,即使这样,Pearson还是低估了事件的性质和影响范围,夸大了公司的数据保护能力“;“随着上市公司面临日益严重的网络入侵威胁,它们必须向投资者提供有关重大网络事件的准确信息。”

媒体询问后才披露违规行为

Pearson公司于2019 年 7 月在与美国证券交易委员会沟通中表示,公司可能面临数据隐私泄露的风险。即便如此,Pearson公司也没有披露一年前发生的数据泄露事件。它在将泄露事件通知受影响的客户后,才把风险因素披露递交给美国证券交易委员会。

美国证券交易委员会在8月16日发布的声明中解释道,“Pearson公司在2019年7月26日提交给委员会的报告中,指出公司存在数据泄露的风险,但并未披露 Pearson事实上已经发生了数据泄露事件。”

2019年7月31日,在Pearson向受影响的客户发送违规通知两周后,Pearson发布了一份事先准备好的媒体声明,该声明包含泄露数据的行数和数据类型。

据美国证券交易委员会的新闻稿透露,尽管这家教育巨头在收到AIMSweb1.0安全更新后至少6个月,未能修补导致黑客入侵的关键漏洞,但仍表示公司有严格的“保护措施”来保护其客户的数据。

]]>
test Thu, 23 Sep 2021 05:43:33 +0800 \"640

]]>
国务院发布《关键信息基础设施安全保护条例》 Thu, 23 Sep 2021 05:43:33 +0800

中华人民共和国国务院令

第745号

《关键信息基础设施安全保护条例》已经2021年4月27日国务院第133次常务会议通过,现予公布,自2021年9月1日起施行。

总理  李克强

2021年7月30日


关键信息基础设施安全保护条例

第一章 总  则
第一条 为了保障关键信息基础设施安全,维护网络安全,根据《中华人民共和国网络安全法》,制定本条例。
第二条 本条例所称关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
第三条 在国家网信部门统筹协调下,国务院公安部门负责指导监督关键信息基础设施安全保护工作。国务院电信主管部门和其他有关部门依照本条例和有关法律、行政法规的规定,在各自职责范围内负责关键信息基础设施安全保护和监督管理工作。
省级人民政府有关部门依据各自职责对关键信息基础设施实施安全保护和监督管理。
第四条 关键信息基础设施安全保护坚持综合协调、分工负责、依法保护,强化和落实关键信息基础设施运营者(以下简称运营者)主体责任,充分发挥政府及社会各方面的作用,共同保护关键信息基础设施安全。
第五条 国家对关键信息基础设施实行重点保护,采取措施,监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁,保护关键信息基础设施免受攻击、侵入、干扰和破坏,依法惩治危害关键信息基础设施安全的违法犯罪活动。
任何个人和组织不得实施非法侵入、干扰、破坏关键信息基础设施的活动,不得危害关键信息基础设施安全。
第六条 运营者依照本条例和有关法律、行政法规的规定以及国家标准的强制性要求,在网络安全等级保护的基础上,采取技术保护措施和其他必要措施,应对网络安全事件,防范网络攻击和违法犯罪活动,保障关键信息基础设施安全稳定运行,维护数据的完整性、保密性和可用性。
第七条 对在关键信息基础设施安全保护工作中取得显著成绩或者作出突出贡献的单位和个人,按照国家有关规定给予表彰。
第二章 关键信息基础设施认定
第八条 本条例第二条涉及的重要行业和领域的主管部门、监督管理部门是负责关键信息基础设施安全保护工作的部门(以下简称保护工作部门)。
第九条 保护工作部门结合本行业、本领域实际,制定关键信息基础设施认定规则,并报国务院公安部门备案。
制定认定规则应当主要考虑下列因素:
(一)网络设施、信息系统等对于本行业、本领域关键核心业务的重要程度;
(二)网络设施、信息系统等一旦遭到破坏、丧失功能或者数据泄露可能带来的危害程度;
(三)对其他行业和领域的关联性影响。
第十条 保护工作部门根据认定规则负责组织认定本行业、本领域的关键信息基础设施,及时将认定结果通知运营者,并通报国务院公安部门。
第十一条 关键信息基础设施发生较大变化,可能影响其认定结果的,运营者应当及时将相关情况报告保护工作部门。保护工作部门自收到报告之日起3个月内完成重新认定,将认定结果通知运营者,并通报国务院公安部门。
第三章 运营者责任义务
第十二条 安全保护措施应当与关键信息基础设施同步规划、同步建设、同步使用。
第十三条 运营者应当建立健全网络安全保护制度和责任制,保障人力、财力、物力投入。运营者的主要负责人对关键信息基础设施安全保护负总责,领导关键信息基础设施安全保护和重大网络安全事件处置工作,组织研究解决重大网络安全问题。
第十四条 运营者应当设置专门安全管理机构,并对专门安全管理机构负责人和关键岗位人员进行安全背景审查。审查时,公安机关、国家安全机关应当予以协助。
第十五条 专门安全管理机构具体负责本单位的关键信息基础设施安全保护工作,履行下列职责:
(一)建立健全网络安全管理、评价考核制度,拟订关键信息基础设施安全保护计划;
(二)组织推动网络安全防护能力建设,开展网络安全监测、检测和风险评估;
(三)按照国家及行业网络安全事件应急预案,制定本单位应急预案,定期开展应急演练,处置网络安全事件;
(四)认定网络安全关键岗位,组织开展网络安全工作考核,提出奖励和惩处建议;
(五)组织网络安全教育、培训;
(六)履行个人信息和数据安全保护责任,建立健全个人信息和数据安全保护制度;
(七)对关键信息基础设施设计、建设、运行、维护等服务实施安全管理;
(八)按照规定报告网络安全事件和重要事项。
第十六条 运营者应当保障专门安全管理机构的运行经费、配备相应的人员,开展与网络安全和信息化有关的决策应当有专门安全管理机构人员参与。
第十七条 运营者应当自行或者委托网络安全服务机构对关键信息基础设施每年至少进行一次网络安全检测和风险评估,对发现的安全问题及时整改,并按照保护工作部门要求报送情况。
第十八条 关键信息基础设施发生重大网络安全事件或者发现重大网络安全威胁时,运营者应当按照有关规定向保护工作部门、公安机关报告。
发生关键信息基础设施整体中断运行或者主要功能故障、国家基础信息以及其他重要数据泄露、较大规模个人信息泄露、造成较大经济损失、违法信息较大范围传播等特别重大网络安全事件或者发现特别重大网络安全威胁时,保护工作部门应当在收到报告后,及时向国家网信部门、国务院公安部门报告。
第十九条 运营者应当优先采购安全可信的网络产品和服务;采购网络产品和服务可能影响国家安全的,应当按照国家网络安全规定通过安全审查。
第二十条 运营者采购网络产品和服务,应当按照国家有关规定与网络产品和服务提供者签订安全保密协议,明确提供者的技术支持和安全保密义务与责任,并对义务与责任履行情况进行监督。
第二十一条 运营者发生合并、分立、解散等情况,应当及时报告保护工作部门,并按照保护工作部门的要求对关键信息基础设施进行处置,确保安全。
第四章 保障和促进
第二十二条 保护工作部门应当制定本行业、本领域关键信息基础设施安全规划,明确保护目标、基本要求、工作任务、具体措施。
第二十三条 国家网信部门统筹协调有关部门建立网络安全信息共享机制,及时汇总、研判、共享、发布网络安全威胁、漏洞、事件等信息,促进有关部门、保护工作部门、运营者以及网络安全服务机构等之间的网络安全信息共享。
第二十四条 保护工作部门应当建立健全本行业、本领域的关键信息基础设施网络安全监测预警制度,及时掌握本行业、本领域关键信息基础设施运行状况、安全态势,预警通报网络安全威胁和隐患,指导做好安全防范工作。
第二十五条 保护工作部门应当按照国家网络安全事件应急预案的要求,建立健全本行业、本领域的网络安全事件应急预案,定期组织应急演练;指导运营者做好网络安全事件应对处置,并根据需要组织提供技术支持与协助。
第二十六条 保护工作部门应当定期组织开展本行业、本领域关键信息基础设施网络安全检查检测,指导监督运营者及时整改安全隐患、完善安全措施。
第二十七条 国家网信部门统筹协调国务院公安部门、保护工作部门对关键信息基础设施进行网络安全检查检测,提出改进措施。
有关部门在开展关键信息基础设施网络安全检查时,应当加强协同配合、信息沟通,避免不必要的检查和交叉重复检查。检查工作不得收取费用,不得要求被检查单位购买指定品牌或者指定生产、销售单位的产品和服务。
第二十八条 运营者对保护工作部门开展的关键信息基础设施网络安全检查检测工作,以及公安、国家安全、保密行政管理、密码管理等有关部门依法开展的关键信息基础设施网络安全检查工作应当予以配合。
第二十九条 在关键信息基础设施安全保护工作中,国家网信部门和国务院电信主管部门、国务院公安部门等应当根据保护工作部门的需要,及时提供技术支持和协助。
第三十条 网信部门、公安机关、保护工作部门等有关部门,网络安全服务机构及其工作人员对于在关键信息基础设施安全保护工作中获取的信息,只能用于维护网络安全,并严格按照有关法律、行政法规的要求确保信息安全,不得泄露、出售或者非法向他人提供。
第三十一条 未经国家网信部门、国务院公安部门批准或者保护工作部门、运营者授权,任何个人和组织不得对关键信息基础设施实施漏洞探测、渗透性测试等可能影响或者危害关键信息基础设施安全的活动。对基础电信网络实施漏洞探测、渗透性测试等活动,应当事先向国务院电信主管部门报告。
第三十二条 国家采取措施,优先保障能源、电信等关键信息基础设施安全运行。
能源、电信行业应当采取措施,为其他行业和领域的关键信息基础设施安全运行提供重点保障。
第三十三条 公安机关、国家安全机关依据各自职责依法加强关键信息基础设施安全保卫,防范打击针对和利用关键信息基础设施实施的违法犯罪活动。
第三十四条 国家制定和完善关键信息基础设施安全标准,指导、规范关键信息基础设施安全保护工作。
第三十五条 国家采取措施,鼓励网络安全专门人才从事关键信息基础设施安全保护工作;将运营者安全管理人员、安全技术人员培训纳入国家继续教育体系。
第三十六条 国家支持关键信息基础设施安全防护技术创新和产业发展,组织力量实施关键信息基础设施安全技术攻关。
第三十七条 国家加强网络安全服务机构建设和管理,制定管理要求并加强监督指导,不断提升服务机构能力水平,充分发挥其在关键信息基础设施安全保护中的作用。
第三十八条 国家加强网络安全军民融合,军地协同保护关键信息基础设施安全。
第五章 法律责任
第三十九条 运营者有下列情形之一的,由有关主管部门依据职责责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处10万元以上100万元以下罚款,对直接负责的主管人员处1万元以上10万元以下罚款:
(一)在关键信息基础设施发生较大变化,可能影响其认定结果时未及时将相关情况报告保护工作部门的;
(二)安全保护措施未与关键信息基础设施同步规划、同步建设、同步使用的;
(三)未建立健全网络安全保护制度和责任制的;
(四)未设置专门安全管理机构的;
(五)未对专门安全管理机构负责人和关键岗位人员进行安全背景审查的;
(六)开展与网络安全和信息化有关的决策没有专门安全管理机构人员参与的;
(七)专门安全管理机构未履行本条例第十五条规定的职责的;
(八)未对关键信息基础设施每年至少进行一次网络安全检测和风险评估,未对发现的安全问题及时整改,或者未按照保护工作部门要求报送情况的;
(九)采购网络产品和服务,未按照国家有关规定与网络产品和服务提供者签订安全保密协议的;
(十)发生合并、分立、解散等情况,未及时报告保护工作部门,或者未按照保护工作部门的要求对关键信息基础设施进行处置的。
第四十条 运营者在关键信息基础设施发生重大网络安全事件或者发现重大网络安全威胁时,未按照有关规定向保护工作部门、公安机关报告的,由保护工作部门、公安机关依据职责责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处10万元以上100万元以下罚款,对直接负责的主管人员处1万元以上10万元以下罚款。
第四十一条 运营者采购可能影响国家安全的网络产品和服务,未按照国家网络安全规定进行安全审查的,由国家网信部门等有关主管部门依据职责责令改正,处采购金额1倍以上10倍以下罚款,对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款。
第四十二条 运营者对保护工作部门开展的关键信息基础设施网络安全检查检测工作,以及公安、国家安全、保密行政管理、密码管理等有关部门依法开展的关键信息基础设施网络安全检查工作不予配合的,由有关主管部门责令改正;拒不改正的,处5万元以上50万元以下罚款,对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款;情节严重的,依法追究相应法律责任。
第四十三条 实施非法侵入、干扰、破坏关键信息基础设施,危害其安全的活动尚不构成犯罪的,依照《中华人民共和国网络安全法》有关规定,由公安机关没收违法所得,处5日以下拘留,可以并处5万元以上50万元以下罚款;情节较重的,处5日以上15日以下拘留,可以并处10万元以上100万元以下罚款。
单位有前款行为的,由公安机关没收违法所得,处10万元以上100万元以下罚款,并对直接负责的主管人员和其他直接责任人员依照前款规定处罚。
违反本条例第五条第二款和第三十一条规定,受到治安管理处罚的人员,5年内不得从事网络安全管理和网络运营关键岗位的工作;受到刑事处罚的人员,终身不得从事网络安全管理和网络运营关键岗位的工作。
第四十四条 网信部门、公安机关、保护工作部门和其他有关部门及其工作人员未履行关键信息基础设施安全保护和监督管理职责或者玩忽职守、滥用职权、徇私舞弊的,依法对直接负责的主管人员和其他直接责任人员给予处分。
第四十五条 公安机关、保护工作部门和其他有关部门在开展关键信息基础设施网络安全检查工作中收取费用,或者要求被检查单位购买指定品牌或者指定生产、销售单位的产品和服务的,由其上级机关责令改正,退还收取的费用;情节严重的,依法对直接负责的主管人员和其他直接责任人员给予处分。
第四十六条 网信部门、公安机关、保护工作部门等有关部门、网络安全服务机构及其工作人员将在关键信息基础设施安全保护工作中获取的信息用于其他用途,或者泄露、出售、非法向他人提供的,依法对直接负责的主管人员和其他直接责任人员给予处分。
第四十七条 关键信息基础设施发生重大和特别重大网络安全事件,经调查确定为责任事故的,除应当查明运营者责任并依法予以追究外,还应查明相关网络安全服务机构及有关部门的责任,对有失职、渎职及其他违法行为的,依法追究责任。
第四十八条 电子政务关键信息基础设施的运营者不履行本条例规定的网络安全保护义务的,依照《中华人民共和国网络安全法》有关规定予以处理。
第四十九条 违反本条例规定,给他人造成损害的,依法承担民事责任。
违反本条例规定,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。
第六章 附  则
第五十条 存储、处理涉及国家秘密信息的关键信息基础设施的安全保护,还应当遵守保密法律、行政法规的规定。
关键信息基础设施中的密码使用和管理,还应当遵守相关法律、行政法规的规定。
第五十一条 本条例自2021年9月1日起施行。


]]>
因买不到票,17 岁少年攻击航空系统,瘫痪四个小时,5000余万用户受影响:判 4 年 Thu, 23 Sep 2021 05:43:33 +0800 受疫情影响,一些国际航线机票紧缺,有的航线花高价也是一票难求,官网订票、APP购票、找黄牛抢票,能想到的方法都用了,可还是买不到票,怎么办?

因为买不到回国机票,一气之下,身处境外的17岁少年小陈竟多次、持续攻击某航空公司计算机系统,致使该航空公司对外服务网络全面瘫痪近四小时,5000余万用户受到影响!

广州日报记者今日从广州白云法院了解到,小陈因犯破坏计算机信息系统罪,被判处有期徒刑4年。

买不到回国机票,他找黑客攻击航空公司系统

2020年6月初,17岁的小陈因疫情影响被强制留滞在国外疫情重区,因在境外无法买到回国机票而产生不满情绪。冲动之下,他在境外网站购买攻击套餐,利用DDOS(黑客通过远程控制服务器或计算机等资源,对目标发动高频服务请求,使目标服务器因来不及处理海量请求而瘫痪)等攻击手段,多次、持续攻击某航空公司客票等计算机系统。

此次黑客入侵,造成某航空公司对外服务网络全部瘫痪,包括客票业务、微信直播平台销售、机场旅客服务、飞行、运控等系统无法正常运作,导致为5000余万用户提供服务的客票等计算机系统不能正常运行累计四小时,给该航空公司造成巨大经济损失与负面网络舆论评价。 

同年7月,归国的小陈在广州一酒店办理解除隔离手续时,被公安机关抓获。

落网后,小陈声称,当时人在国外,疫情非常严重,自己年纪小又发烧,害怕被感染。加之女朋友怀孕,压力较大,因此特别想回国。在购买机票失败后,情绪低落,心情焦虑,一时冲动,才充值购买境外网站攻击套餐,没有想到后果。对于自己的行为,他感到非常后悔!如果能与航空公司达成和解,愿意继续赔偿。

法院经审理认为,小陈无视国家法律,违反国家规定,对计算机信息系统功能进行干扰,造成计算机信息系统不能正常运行,后果特别严重,其行为已构成破坏计算机信息系统罪。

量刑上,鉴于小陈犯罪时已满十六周岁不满十八周岁,依法应当减轻或者从轻处罚。综合考虑小陈犯罪行为的性质、情节、危害后果及认罪态度,判决小陈犯破坏计算机信息系统罪,判处有期徒刑四年;缴获的作案工具笔记本电脑一台予以没收。

法官说法:受疫情影响不是违法犯罪借口

2020年至今,境内外疫情持续蔓延,国内外航空限行政策与疫情防控要求各不相同,且不断变化调整。经办法官指出,纵归国心切、纵“一票难求”,也应通过正常途径购买机票,购买不到机票时,应通过寻求使领馆帮助等法律途径解决问题,而非剑走偏锋,在危险的边缘试探。否则稍有不慎,便可能是违法犯罪、贻误终身、自食恶果。

本案中,根据小陈的供述,其上完小学三年级后便辍学打工,自15岁起自学数字货币开发、大数据、区块链技术、人工智能,本是一名努力上进的青少年,由于出国后受疫情影响滞留国外,归国心切的他冲动之下实施违法行为。考虑到小陈实施犯罪时未成年,案发时情境特殊,其主观恶性较小,犯罪后也能够如实供述自己的罪行,结合未成年人对犯罪的认知能力,实施犯罪行为的动机和目的、年龄、是否是初犯、偶犯、悔罪表现、个人成长的一贯情况等方面,予以从宽处罚。

法庭上,小陈虽有悔罪态度,怪自己年幼无知。但是,受疫情影响不是违法犯罪的借口,每个人都要对自己的行为承担相应的后果。

法律知多D

最高人民法院 最高人民检察院《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》:

第四条 破坏计算机信息系统功能、数据或者应用程序,具有下列情形之一的,应当认定为刑法第二百八十六条第一款和第二款规定的“后果严重”:

(一)造成十台以上计算机信息系统的主要软件或者硬件不能正常运行的;

(二)对二十台以上计算机信息系统中存储、处理或者传输的数据进行删除、修改、增加操作的;

(三)违法所得五千元以上或者造成经济损失一万元以上的;

(四)造成为一百台以上计算机信息系统提供域名解析、身份认证、计费等基础服务或者为一万以上用户提供服务的计算机信息系统不能正常运行累计一小时以上的;

(五)造成其他严重后果的。

实施前款规定行为,具有下列情形之一的,应当认定为破坏计算机信息系统“后果特别严重”:

(一)数量或者数额达到前款第(一)项至第(三)项规定标准五倍以上的;

(二)造成为五百台以上计算机信息系统提供域名解析、身份认证、计费等基础服务或者为五万以上用户提供服务的计算机信息系统不能正常运行累计一小时以上的;

(三)破坏国家机关或者金融、电信、交通、教育、医疗、能源等领域提供公共服务的计算机信息系统的功能、数据或者应用程序,致使生产、生活受到严重影响或者造成恶劣社会影响的;

(四)造成其他特别严重后果的。 

《中华人民共和国刑法》第二百八十六条:

违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。

违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照前款的规定处罚。

故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的,依照第一款的规定处罚。

单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照第一款的规定处罚

]]>
美国电信巨头T-Mobile遭遇重大安全事件,超1亿用户数据泄露 Thu, 23 Sep 2021 05:43:33 +0800 综合多家外媒,美国电信巨头T-Mobile遭遇了一起重大安全事件,生产环境被打穿,超106GB敏感数据失窃,超过1亿用户的个人信息被泄露售卖;

攻击者声称,此举是为了对美国进行报复,打击美国的基础设施。

美国电信巨头T-Mobile表示,正在调查一篇宣称“出售大量电信用户个人数据”的帖子。

地下论坛的帖子中并没有明确提及T-Mobile。但卖家接受外媒Vice采访时表示,他们拿到了超1亿用户的数据,全部来自T-Mobile服务器。

卖家宣称,这些数据包括用户的社保号码、电话号码、姓名、居住地址、国际移动电话识别码(IMEI)以及驾照信息。Vice已经看到了数据样本,并确认其中包含关于T-Mobile用户的有效信息。

T-Mobile生产环境被打穿,超106GB敏感数据失窃

卖家通过在线聊天向Vice说,“这批数据来自T-Mobile美国,包含完整的客户信息。”卖家表示,他们成功入侵了与T-Mobile相关的多台服务器。

外媒BleepingComputer报道,卖家声称在两周前入侵了T-Mobile的生产、部署和开发服务器,包括一台有用户数据的Oracle数据库服务器。“可以追溯到2004年的IMEI历史数据库全部被盗。”

威胁情报公司Cyble透露,攻击者声称窃取了多个数据库,总计106GB的数据,其中包括T-Mobile的客户关系管理(CRM)数据库。

卖家在地下论坛上开出6枚比特币的售价,约27万美元,购买者可以得到包含3000万个社保号码与驾照数据的信息子集。卖方还强调,他们也在私下出售其余数据。

攻击者疑似为了实施报复,T-Mobile正在紧急调查

卖家还表示,“我认为对方已经发现了问题,因为现在我们没法访问后门服务器了。”这里指T-Mobile公司对入侵行为做出了反应。

虽然T-Mobile似乎是把他们从被黑服务器踢了出去,但卖家已经将数据下载到了本地,并在多个位置保留了数据备份。

威胁情报公司Hudson Rock的CTO Alon Gal表示,攻击者的这次行动是为了进行报复,打击美国的基础设施。对方在线上交流中曾表示,此次违规行为是为了报复美国中央情报局和土耳其情报人员2019年在德国绑架和拷问John Erin Binns。

T-Mobile在发给媒体的声明中表示,“我们已经了解到地下论坛上发布的数据出售信息,并一直在积极调查事件的真实性。我们目前还无法提供其他更具体的消息。”

]]>
T-Mobile 大规模客户数据泄露,黑客发帖大胆售卖 Thu, 23 Sep 2021 05:43:33 +0800 T-Mobile 一再拒绝回答有关数据泄露的后续问题。

据了解,T-Mobile 正在调查一个出售大量个人数据的论坛帖子。帖子的内容没有提到T-Mobile,但卖家透露,自己已经获得了超过1亿人的数据,而且这些数据来自T-Mobile的服务器。

另外,这些数据包括社会安全号码、电话号码、姓名、实际地址、唯一的 IMEI 号码和驾驶执照信息。主板已经看到了数据样本,而且卖家确认其中包含有关 T-Mobile 客户的准确信息。

卖家在与 Motherboard的线上聊天中表示,自己破坏了与 T-Mobile 相关的多台服务器。

并且在地下论坛上,卖家要求 6 比特币,约合 270,000 美元,以获取包含 3000 万个社会安全号码和驾驶执照的数据。卖家表示,他们正在私下出售其余数据。

值得一提的是,T-Mobile 对违规行为已经有了反应,卖家现在已经无法访问后门服务器。而且 T-Mobile 已经将卖家踢出了被黑的服务器,但卖家表示已经在本地下载了数据。

T-Mobile 发表声明称:“在得知地下论坛提出的声明后,我们一直在积极调查其有效性。暂时没有任何其他信息可以分享。” T-Mobile 拒绝回答有关后续问题。

]]>
安全周报(08.09-08.15) Thu, 23 Sep 2021 05:43:33 +0800

1、最新!个人信息保护法草案三审稿6大修改

8月13日上午,全国人大常委会法制工作委员会举行记者会。发言人臧铁伟介绍了立法工作有关情况并回答记者提问。今年4月,常委会第二十八次会议对个人信息保护法草案进行了二次审议。根据各方面意见,提请本次常委会会议审议的草案三次审议稿拟作如下主要修改:
一是,我国宪法规定,国家尊重和保障人权,公民的人格尊严不受侵犯,公民的通信自由和通信秘密受法律保护。制定实施本法对于保障公民的人格尊严和其他权益具有重要意义。据此,拟在草案第一条中增加规定“根据宪法”制定本法
二是,进一步完善个人信息处理规则,特别是对应用程序(APP)过度收集个人信息、“大数据杀熟”等作出有针对性规范。
三是,将不满十四周岁未成年人的个人信息作为敏感个人信息,并要求个人信息处理者对此制定专门的个人信息处理规则。
四是,完善个人信息跨境提供的规则,对按照我国缔结或者参加的国际条约、协定向境外提供个人信息、对转移到境外的个人信息的保护不应低于我国的保护标准等作出规定。
五是,增加个人信息可携带权的规定,完善死者个人信息保护的规定。
六是,对完善个人信息保护投诉、举报工作机制及违法处理个人信息涉嫌犯罪案件的移送提出明确要求。
利用个人信息进行自动化决策的针对性规范
在回答记者提问中,臧铁伟指出:
当前,社会各方面对于用户画像、算法推荐等新技术新应用高度关注,对相关产品和服务中存在的信息骚扰、“大数据杀熟”等问题反映强烈。
因此,个人信息保护法草案立足于维护广大人民群众的网络空间合法权益,对利用个人信息进行自动化决策作了有针对性规范:
一是,对自动化决策的概念作出界定,是指通过程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,并进行决策的活动。
二是,自动化决策应当遵守个人信息处理的一般规则,包括应遵循合法、正当、必要和诚信原则,目的明确和最小化处理原则,公开透明原则,信息质量原则,责任原则等,自动化决策,包括用户画像、算法推荐等,应当在充分告知个人信息处理相关事项的前提下取得个人同意,不得以个人不同意为由拒绝提供产品或者服务。
三是,在上述规则下,草案对自动化决策作出专门规范,要求个人信息处理者保证自动化决策的透明度和结果的公平、公正,不得通过自动化决策对个人在交易价格等交易条件上实行不合理的差别待遇,并在事前进行个人信息保护影响评估。
四是,赋予个人充分的权利,要求个人信息处理者通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供拒绝的方式;作出对个人权益有重大影响的决定,个人有权要求予以说明,并有权拒绝仅通过自动化决策的方式作出决定。
2、英政府IT支出50%维护老旧系统 且面临巨大风险支出

英国政府近半数IT支出耗费在支持老旧IT系统上,每年仅此项支出就高达23亿英镑。

英国内阁办公室新发布的报告显示,2019年中央政府的技术支出为47亿英镑,用于支持老旧IT系统的支出就占了近一半,老旧系统的维护成本问题引发关注。

报告指出:“政府安全部最近的一项分析表明,目前政府IT支出中近50%(2019年中央政府47亿英镑总支出中的23亿英镑)用于维护过时老旧系统,且未来五年还面临此项支出高达130-220亿英镑的风险。” 

正如报告所强调的,纳税人背负的技术债务包括由过时老旧系统提供的重要运营服务,这些系统通常构建在过时的技术平台上,或者所用编程语言不再受到广泛支持。

除了成本,该报告还承认,因为政府觉得“有价值但乏味”比冒险引入新IT系统更有吸引力,导致不仅增加了网络安全风险,还无法引入新型政府服务。 研究指出:“一些部门服务甚至无法满足最低要求的网络安全标准,不能从这些老旧系统提取有用数据。” 

3、黑客利用拖拉机可以做什么?乱开车

高科技进入农业,提高生产力的同时也带来了网络风险。

拖拉机制造商约翰迪尔(John Deere)公司的系统中被曝含有安全漏洞,攻击者可以借此破坏农作物、损害财产安全、影响收成甚至破坏农田。

8月8日,一名澳大利亚研究人员在一个名为Pega的业务流程管理工具中发现了一个漏洞。Pega的该漏洞与未改变的默认管理凭证有关,允许远程访问Pega的聊天访问组门户。这个漏洞允许攻击者访问众多资源,包括Pega的安全审计日志,甚至是Okta的签名证书。研究人员还能够导出约翰迪尔公司的单点登录SAML服务器的私钥。

拖拉机中都含有哪些数据?

数据一直对农业至关重要,在全球数字化转型潮流中,农业现在正以前所未有的规模为了智能农业或精准农业收集数据。约翰迪尔的拖拉机与我们印象中的传统拖拉机有些许不同,就像现代汽车一样,它运行复杂的嵌入式专用软件,可以连接到互联网,并且具有 GPS以及自主功能,甚至可以由约翰迪尔客户服务代表远程控制,以帮助客户解决问题。

约翰迪尔的拖拉机不断将数据传输到云端,包括:农民何时坐在驾驶室中的信息、土壤中的水分含量以及收成大小的指标等。显然,这种无缝的、持续的数据收集和分析对农民来说十分便捷,但是在一个单一的平台上保存世界上所有现代农场的数据,一旦其被攻破,所带来的大范围数据泄露危害性可想而知。

4、最离奇加密货币盗窃案:攻击者返还价值6.1亿美元资产

Poly Network 是历史上最大的加密货币盗窃案之一,但现在已成为最离奇的盗窃案:因为攻击者将几乎所有价值 6.1 亿美元的资产重新返还给了 Poly Network。

本周早些时候,去中心化金融平台 Poly Network 遭到黑客攻击,估计价值 6.1 亿美元的加密货币被盗刷。该公司恳求攻击者,敦促他们退还资金并避免被起诉。

援引华尔街日报报道,在本周三攻击者先是返还了价值 2.6 亿美元的资产。随后 CNBC 在后续报道中表示,攻击者再次返还了价值 3.42 亿美元的资产。

周五,大部分收益被返还给 Poly Network,尽管目前有 2.68 亿美元的资产存在于一个需要公司和攻击者的密钥才能访问的账户中。据 CNBC 报道,在加密货币交易中嵌入的一条或多条被指控的黑客表示,他们将“在所有人准备就绪时提供最终密钥”。

据称黑客通过抢劫中使用的区块链帐户进行通信,声称最终目标是暴露 Poly Network 系统中的漏洞。他们声称,计划一直是退还这笔钱。攻击者表示:“我们对钱不是很感兴趣。我知道当人们被攻击时会很痛,但他们不应该从那些黑客中学到一些东西吗?”周五,Poly Network 表示,它向一个被称为“白帽先生”的实体提供了 50 万美元的“漏洞赏金”,以协助提高公司的安全性。

Poly Network 表示:“我们现在要感谢他对帮助我们提高 Poly Network 安全性的承诺,并希望他在接受漏洞赏金后能够为区块链行业的持续发展做出贡献”。


]]>
黑客从保利网络窃取价值超过6亿美元的加密货币 Thu, 23 Sep 2021 05:43:33 +0800 8月11日,据外媒报道,黑客从一个基于区块链的金融网络中盗取了价值6.11亿美元的加密货币,这被认为是针对数字资产行业的最大盗窃案之一,比近年来针对交易所Coincheck和Mt.Gox的盗窃案还要多。

保利网络(Poly Network)平台披露,“身份不明的黑客利用了合同呼叫之间的漏洞,掠夺数千个数字代币。”

据称,被盗的Binance链、以太坊和Polygon资产已转移到三个不同的钱包中,该公司敦促受影响区块链和集中加密交换的矿工,使用来自这些地址的区块名单代币。

事件发生后,保利网络在一封公开信中敦促盗窃者“联系我们并归还盗窃的资产。”

信中表达了保利网络的观点“你们获取的攻击金额是DeFi历史上最大的一笔。任何国家的执法部门都会将此视为重大经济犯罪,您将受到追查等。”

针对这件事,许多业内人士发表了观点,ether的首席技术官保罗·阿尔多诺(Paolo Ardoino)在推特上说,stablecoin公司冻结了价值3300万美元的代币,这些代币是在运输过程中被拿走的;Binance首席执行官赵昌鹏在推特上表示:“我们知道今天发生的poly.network漏洞攻击。虽然没有人控制BSC(或ETH),但我们正在与所有安全合作伙伴协调,主动提供帮助,我们将尽我们所能。”

目前,黑客的身份仍不清楚,尽管区块链安全公司SlowMist声称能够追踪攻击者的电子邮件地址、IP地址和设备指纹,并且知道他们最初的资金来源是Monero硬币,之后这些硬币被兑换成ETH、MATIC和其他货币,但仍不能追踪到黑客的身份。

据报道,保利网络(Poly Network)在8月11号表示,此次攻击背后的嫌犯已退回价值2.61亿美元的加密资产,包括以太坊、BSC、多边形等平台被盗资产。虽然返还被盗数字资金的动机仍不得而知,但在通过交易记录进行的“问答”的过程中,黑客声称单纯是“为了好玩”。

区块链分析平台ChainAnalysis表示:“保利网络发生的黑客行为和随后的资金返还表明,大规模加密货币盗窃越来越难以成功。由于区块链固有的透明度,可以确定的是加密货币盗窃比法定资金盗窃更难逃脱。”

]]>
多年未执行安全检查,潜艇成美海军网络安全“真空区” Thu, 23 Sep 2021 05:43:33 +0800 美国海军审计署报告显示,2016-2018年期间,由于人手不足,海军潜艇被排除在网络安全检查之外,成为海军的网络安全“真空区”;

审计人员称,此举可能令美国国防部信息网络的风险上升至不可接受的水平。

近年来,针对民用和军用网络的黑客、入侵及攻击活动正不断增加,包括海军在内的美国各军种开始高度重视网络安全,着力增强自身系统以尽可能抵御恶意攻击者的侵害。

但据外媒《海军时报》获得的一份美国海军内部审计结果,太平洋海军潜艇部队及其麾下的潜艇近年来并没有接受必要的内部与外部网络安全检查,这无疑给强大的海上武装力量带来了存在网络漏洞的隐忧。

安全检查人手不足,致使潜艇网络被排除在外

去年9月发布的美国海军审计署报告发现,海军舰队网络司令部并没有按照2016年至2018年期间的要求,对太平洋潜艇部队总计41艘潜艇与2艘潜艇勤务舰实施网络安全检测与评估,也未能记录检测缺失的具体原因。

根据审计报告的说明,在向负责漏洞评估与IT网络入侵评估的工作人员提出质询时,对方表示,按计划每三年进行一次的测试计划,目前因为人手不足而陷入了停滞。

《海军时报》依照《信息自由法案》中的条款申请查看审计结果,发现其中记录称,

“对方人员告诉我们,他们没有足够的人手完成每三年一次的全体信息系统检查要求,因此只能将海军潜艇网络排除在检查范围之外。”

他们还告诉审计人员,之所以决定削减子网络检查,是因为这些潜艇在行动过程中会与网络断开连接。另外,他们还得出一个“非正式的结论”,即使用频率越高的海军网络,越容易受到攻击,所以据此做出了检查工作的优先级排序。

工作人员还表示,因为没有政策做出明确的检查要求,所以他们也没有把潜艇勤务舰纳入记录范畴。

审计人员在报告中写道,“将海下网络排除在安全检查之外,有可能令美国国防部信息网络的风险上升至不可接受的水平。”

审计报告还提出几项整改建议,舰队网络司令部也已经认可了这部分建议。

司令部发言人David Benham指挥官在本周四的一封邮件中表示,舰队网络司令部已经“对检查对象的选择与优先级排序过程做出了全面审查,并重新努力把包括潜艇及潜艇勤务舰”在内的水上部队纳入检查范围。

仅半数设施开展过安全检查

审计人员还发现,太平洋潜艇部队的网络检查工作存在一些其他的不足。

尽管制定了正式的网络安全检查政策,但审计人员发现,潜艇部队“缺乏充分的监督控制与明确的执行程序,也没有实施任何正式的培训以保证正确执行网络安全检查并记录结果。”

总体而言,从太平洋潜艇部队及各下辖中队缺失的文件来看,他们在2016年至2018年期间只对53%的必要网络设施开展过强制网络安全检查。

报告指出,“由此可见,太平洋潜艇部队未能良好保证潜艇及潜艇勤务舰的网络准备与安全水平。另外,检查人员的检查工作可能并不一致、彻底,也可能没有及时跟进此前发现的缺陷。”

审计报告发现,太平洋潜艇部队既没有确保纠正措施的落实贯彻,也没有明确的程序来执行并记录网络安全检查结果。

报告提到,“此外,根据潜艇部队网络部门的介绍,其检查人员并没有接受过正式的相关培训,所以并不清楚如何为司令部直属上级提供正确的网络安全检查记录与维护流程文件。”

审计人员们建议通过多项变更加强潜艇部队的网络安全流程,包括制定监督流程并加强检查系统,严格按照司令部的处置意见修改安检实施程序。

太平洋潜艇部队的官员并没有立即回应关于这份审计意见的评论请求。

]]>
最新!个人信息保护法草案三审稿6大修改 Thu, 23 Sep 2021 05:43:33 +0800 8月13日上午,全国人大常委会法制工作委员会举行记者会。发言人臧铁伟介绍了立法工作有关情况并回答记者提问。

据悉,8月17日至20日,十三届全国人大常委会第三十次会议将于北京举行,并且审议个人信息保护法草案在内的多个草案。

个人信息保护法草案(三次审议稿)

今年4月,常委会第二十八次会议对个人信息保护法草案进行了二次审议。根据各方面意见,提请本次常委会会议审议的草案三次审议稿拟作如下主要修改:

一是,我国宪法规定,国家尊重和保障人权,公民的人格尊严不受侵犯,公民的通信自由和通信秘密受法律保护。制定实施本法对于保障公民的人格尊严和其他权益具有重要意义。据此,拟在草案第一条中增加规定“根据宪法”制定本法。

二是,进一步完善个人信息处理规则,特别是对应用程序(APP)过度收集个人信息、“大数据杀熟”等作出有针对性规范。

三是,将不满十四周岁未成年人的个人信息作为敏感个人信息,并要求个人信息处理者对此制定专门的个人信息处理规则。

四是,完善个人信息跨境提供的规则,对按照我国缔结或者参加的国际条约、协定向境外提供个人信息、对转移到境外的个人信息的保护不应低于我国的保护标准等作出规定。

五是,增加个人信息可携带权的规定,完善死者个人信息保护的规定。

六是,对完善个人信息保护投诉、举报工作机制及违法处理个人信息涉嫌犯罪案件的移送提出明确要求。

利用个人信息进行自动化决策的针对性规范

在回答记者提问中,臧铁伟指出:

当前,社会各方面对于用户画像、算法推荐等新技术新应用高度关注,对相关产品和服务中存在的信息骚扰、“大数据杀熟”等问题反映强烈。

因此,个人信息保护法草案立足于维护广大人民群众的网络空间合法权益,对利用个人信息进行自动化决策作了有针对性规范:

一是,对自动化决策的概念作出界定,是指通过程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,并进行决策的活动。

二是,自动化决策应当遵守个人信息处理的一般规则,包括应遵循合法、正当、必要和诚信原则,目的明确和最小化处理原则,公开透明原则,信息质量原则,责任原则等,自动化决策,包括用户画像、算法推荐等,应当在充分告知个人信息处理相关事项的前提下取得个人同意,不得以个人不同意为由拒绝提供产品或者服务。

三是,在上述规则下,草案对自动化决策作出专门规范,要求个人信息处理者保证自动化决策的透明度和结果的公平、公正,不得通过自动化决策对个人在交易价格等交易条件上实行不合理的差别待遇,并在事前进行个人信息保护影响评估。

四是,赋予个人充分的权利,要求个人信息处理者通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供拒绝的方式;作出对个人权益有重大影响的决定,个人有权要求予以说明,并有权拒绝仅通过自动化决策的方式作出决定。


]]>
最离奇加密货币盗窃案:攻击者返还价值6.1亿美元资产 Thu, 23 Sep 2021 05:43:33 +0800        Poly Network 是历史上最大的加密货币盗窃案之一,但现在已成为最离奇的盗窃案:因为攻击者将几乎所有价值 6.1 亿美元的资产重新返还给了 Poly Network。

       本周早些时候,去中心化金融平台 Poly Network 遭到黑客攻击,估计价值 6.1 亿美元的加密货币被盗刷。该公司恳求攻击者,敦促他们退还资金并避免被起诉。

援引华尔街日报报道,在本周三攻击者先是返还了价值 2.6 亿美元的资产。随后 CNBC 在后续报道中表示,攻击者再次返还了价值 3.42 亿美元的资产。

周五,大部分收益被返还给 Poly Network,尽管目前有 2.68 亿美元的资产存在于一个需要公司和攻击者的密钥才能访问的账户中。据 CNBC 报道,在加密货币交易中嵌入的一条或多条被指控的黑客表示,他们将“在所有人准备就绪时提供最终密钥”。

另外还有 3300 万美元的 Tether 未偿还,这些资金被冻结以试图追回被盗的代币。据称黑客通过抢劫中使用的区块链帐户进行通信,声称最终目标是暴露 Poly Network 系统中的漏洞。他们声称,计划一直是退还这笔钱。

攻击者表示:“我们对钱不是很感兴趣。我知道当人们被攻击时会很痛,但他们不应该从那些黑客中学到一些东西吗?”周五,Poly Network 表示,它向一个被称为“白帽先生”的实体提供了 50 万美元的“漏洞赏金”,以协助提高公司的安全性。

Poly Network 表示:“我们现在要感谢他对帮助我们提高 Poly Network 安全性的承诺,并希望他在接受漏洞赏金后能够为区块链行业的持续发展做出贡献”。


]]>
埃森哲被黑客攻击,索要 3.2 亿元赎金:6 TB文件被盗 Thu, 23 Sep 2021 05:43:33 +0800 全球IT咨询巨头埃森哲遭到了LockBit 勒索软件团伙发动的勒索软件网络攻击。

埃森哲是一家以服务于汽车、银行、政府、技术、能源和电信等众多行业而闻名的IT巨头。

埃森哲2020年收入443亿美元,市值2032亿美元,是全球最大的科技咨询公司之一,在全球50个国家或地区雇有约569000名员工。

勒索软件团伙扬言要泄露窃取的数据

一个名为LockBit 2.0的勒索软件团伙扬言要发布据称在最近的一次网络攻击中从埃森哲窃取而来的文件数据。

威胁分子表示,如果受害者没有支付赎金,他们将在今天晚些时候发布数据:

LockBit勒索软件运营商泄露网站泄露数据已进入倒计时

虽然LockBit没有出示所窃取数据的证据,但他们声称愿意将其出售给任何感兴趣的组织或个人。

LockBit在其数据泄露网站上称:“这些人无视隐私和安全。我确实希望他们的服务比我这个内部人员看到的做得更好。如果你有兴趣购买一些数据库,请联系我们。”

至于泄露何时发生、何时被检测到、其范围或利用漏洞的技术原因,这些方面的具体细节尚不清楚。

埃森哲告诉BleepingComputer,受影响的系统已通过备份恢复过来:“通过我们的安全控制和协议,我们在自己的一个环境中发现了异常活动。我们立即遏制了事态,并隔离了那些受影响的服务器。”,“我们通过备份完全恢复了受影响的系统。埃森哲的业务运营或我们客户的系统并没有受到影响,”

6 TB文件被盗,索要5000万美元赎金

在Cyble研究团队看到的对话中,LockBit勒索软件团伙声称已从埃森哲窃取了6 TB的数据,要求支付5000万美元(约3.2亿人民币)的赎金。

这伙威胁分子声称已通过公司“内部人员”访问了埃森哲的网络。

熟悉这次攻击的消息人士告诉BleepingComputer,埃森哲已向至少一家CTI供应商确认了遭到勒索软件攻击,这家 IT服务提供商也正在通知更多的客户。

此外,网络犯罪情报公司Hudson Rock透露,埃森哲有2500台属于员工和合作伙伴的计算机已中招:

LockBit此前攻击过许多受害者,包括英国的默西铁路网络。

本周早些时候,澳大利亚政府警告LockBit 2.0勒索软件攻击升级,此前有人看到该团伙大肆搜罗他们计划攻击的那些公司的内部人员,以数百万美元作为奖励。

]]>
中国境内约531万台主机被攻击 做好防护是关键 Thu, 23 Sep 2021 05:43:33 +0800 中国国家互联网应急中心数据显示,2020年位于境外的约5.2万个计算机恶意程序控制服务器,控制了中国境内约531万台主机,就控制中国境内主机数量来看,美国及其北约盟国分列前三位。此外,美国中央情报局的网络攻击组织APT-C-39,2008年9月-2019年6月期间,曾对中国航空航天科研机构、石油行业、大型互联网公司以及政府机构等关键领进行了长达11年的网络渗透攻击。严重损害了中国的国家安全,经济安全,关键基础设施安全和广大民众的个人信息安全。

境外组织采取APT高级持续威胁攻击是希望借助于0day漏洞这攻击利器,对目标进行持续渗透攻击,以突破主机安全防线,对主机进行攻击。因为,服务器是任何IT环境的支柱,是所有业务活动的核心,一旦被攻破,将对被攻击目标造成难以估量的损失。那么,围绕服务器构建广泛、持久的安全防护策略则至关重要。

内存保护,从内核级守护服务器(主机)安全!

内存保护技术可防止或阻止恶意软件的执行和未经授权的企图通过缓冲区溢出获得系统控制权的情况。 而且,内存保护技术可以实现:

内存保护:利用内存保护技术来检测和保护工作负载运行时攻击者的shell代码

Web保护:利用内存保护技术来检测和保护工作负载运行时攻击者提供的字节代码。

主机保护:利用文件完整性功能来防止任何未经授权的可执行文件、库和脚本中的单个指令执行。

漏洞防护:利用内存保护技术解决0day漏洞、无文件攻击、缓冲区溢出攻击、ROP攻击、傀儡进程等高级威胁攻击。

针对主机被攻击的安全风险,未知威胁是难以预料的,做好安全防护是关键。这样才能最大化的保障核心数据安全,确保业务正常运行。

]]>
亚马逊将监控客服人员键盘输入和鼠标点击以提升安全性 Thu, 23 Sep 2021 05:43:33 +0800       根据Motherboard网站获得的一份亚马逊机密文件显示,亚马逊计划监控客户服务员工的键盘和鼠标动作,以试图阻止流氓员工、冒名顶替者或黑客访问客户的数据。虽然该文件说亚马逊已经考虑部署一个能捕捉所有按键的解决方案,但该公司似乎倾向于购买的工具并不是为了准确记录员工的输入内容或监控他们的通信。

相反,该系统根据员工的自然键盘和鼠标动作生成一个档案,然后不断验证是否似乎是同一个人在控制员工的账户,以抓住可能随后窃取数据的黑客或冒名者。此举凸显了在持续新冠疫情期间,随着在家或远程工作的继续,公司可能会越来越多地部署这类工具,以及亚马逊已经面临客户数据被盗的问题。该文件认为,亚马逊需要键盘和鼠标监控来对抗几种不同的威胁。根据该文件,一个是冒充客服人员的人已经成功访问了亚马逊的客户数据。文件补充说,根据一组人工审计,亚马逊安全团队发现了4起冒充者访问此类数据的案例。

该文件还指出,随着越来越多的员工在家工作,数据外流的风险很高,该公司的安全工具有限,无法具体核实外部外包员工的身份。 文件中的柱状图列出了亚马逊在哪些国家运营时面临最高数量的安全威胁事件。排名第一的是印度,超过120起,其次是菲律宾,不到70起,然后是美国,接近40起。该图表没有提供这些事件具体发生的背景。

这份文件显示,亚马逊安全、财务、法律和其他亚马逊团队就使用一家名为BehavioSec网络安全公司的产品达成了共识。这款产品使用行为生物识别技术,利用人类行为的特点,根据个人如何以数字方式接触他们的设备和应用程序,如鼠标动作、打字节奏、触摸和刷卡手势,或他们如何持有他们的设备,来进行身份验证。

]]>
黑客利用拖拉机可以做什么?乱开车 Thu, 23 Sep 2021 05:43:33 +0800 高科技进入农业,提高生产力的同时也带来了网络风险。

拖拉机制造商约翰迪尔(John Deere)公司的系统中被曝含有安全漏洞,攻击者可以借此破坏农作物、损害财产安全、影响收成甚至破坏农田。

8月8日,一名昵称为Sick Codes的澳大利亚研究人员在拉斯维加斯的Def Con安全会议上远程展示了他的最新发现。攻击者可以利用这些漏洞获得约翰迪尔公司的运营中心的root权限,该运营中心是一个用于监控和管理农用设备的综合平台。

与他同一研究小组的John Jackson和另一个研究者Robert Willis在一个名为Pega的业务流程管理工具中发现了一个漏洞。Pega工具广受欢迎并且拥有广泛的权限,不仅可以远程监控,而且对其他系统拥有管理权限。

Pega的该漏洞与未改变的默认管理凭证有关,允许远程访问Pega的聊天访问组门户。这个漏洞允许攻击者访问众多资源,包括Pega的安全审计日志,甚至是Okta的签名证书。研究人员还能够导出约翰迪尔公司的单点登录SAML服务器的私钥。

Sick Codes表示该漏洞几乎可以让我们向任何用户上传文件、以任何用户身份登录、上传任何我们想要的东西、下载任何我们想要的东西、破坏任何数据、登录任何第三方账户,也就是说攻击者可以在约翰迪尔的运营中心为所欲为。

然而,约翰迪尔公司在提供给《安全导报》的一份声明中表示,Sick Codes声称能够进入客户账户、农艺数据、经销商账户或敏感的个人信息的主张都是不存在的,并且Sick Codes提出的问题都不会影响正在使用的机器。

拖拉机中都含有哪些数据?

数据一直对农业至关重要,在全球数字化转型潮流中,农业现在正以前所未有的规模为了智能农业或精准农业收集数据。越来越多的农场通过 Wi-Fi、5G、无线电传感器等监控农场的每一项操作并收集其数据以进行分析。约翰迪尔的拖拉机也具有数据收集的功能。

约翰迪尔的拖拉机与我们印象中的传统拖拉机有些许不同,就像现代汽车一样,它运行复杂的嵌入式专用软件,可以连接到互联网,并且具有 GPS以及自主功能,甚至可以由约翰迪尔客户服务代表远程控制,以帮助客户解决问题。

约翰迪尔的拖拉机不断将数据传输到云端,包括:农民何时坐在驾驶室中的信息、土壤中的水分含量以及收成大小的指标等。

此外,根据约翰迪尔的说法,目前正在销售的拖拉机与一个名为HarvestLab的湿度传感器监测器和一个名为Harvest Monitor的整体监测软件系统相连接,该系统在显示器上显示实时生产力测量。

还有HarvestDoc软件,它可以读取作物数据,如产量和GPS位置,随后可以发送到Apex农场管理软件中进行分析。同时,还有一个叫做AutoLOC的功能,它可以读取HarvestLab的水分读数,并对拖拉机切割作物的时间进行调整,以达到最佳效果。

显然,这种无缝的、持续的数据收集和分析对农民来说十分便捷,但是在一个单一的平台上保存世界上所有现代农场的数据,一旦其被攻破,所带来的大范围数据泄露危害性可想而知。

]]>
100万张被盗信用卡在暗网曝光 Thu, 23 Sep 2021 05:43:33 +0800        据外媒softpedia报道,根据Threat Post的说法,一群网络罪犯建立了一个专门在线销售支付卡数据的网站--AllWorld.Cards。威胁行为者泄露了100万张被盗信用卡(收集于2018年至2019年期间)以帮助宣传他们的犯罪活动。

来自Cyble的网络安全研究人员在对暗网市场和网络犯罪活动进行定期检查时发现了这一漏洞。据研究人员称,该市场在2021年5月左右开始运营,可以通过TOR网络和Clearnet访问。意大利D3实验室的研究人员在一篇帖子中指出:“可以想象,这些数据是免费共享的,目的是从毫无防备的受害者那里购买额外的被盗数据以引诱其他犯罪分子频繁访问他们的网站。”

正如网络犯罪分子所说的那样,在他们的平台上暴露的信用卡信息包括从一个人的姓名到他们居住的地址、邮政编码、电话号码、信用卡号码和到期日等所有信息。信用卡及一些礼品卡在用于付款时很难追溯到交易的来源。

信用卡数据盗窃在黑市上是一项利润丰厚的业务,黑客可以通过各种方法获取信用卡信息,包括社交工程。针对网站的Magecart攻击和从网站窃取信息的木马则是最常用的技术。

根据Cybersixgill的数据,在2020年的最后六个月里,有超4500万张被泄露的信用卡可以在地下信用卡市场上销售。虽然目前尚不清楚有多少卡遭到滥用,但样本中27%的卡是活跃的并且可能被用于非法购买。

Cyble根据被发现的信用卡被盗数量编制了500强金融公司名单。根据最新数据显示,这一名单包括西班牙对外银行(24307张卡)、摩根大通银行(27441张卡)、萨顿银行(30480张卡)、桑坦德银行(拥有38010张卡)、印度国家银行(72937张卡)。


]]>
英政府IT支出50%维护老旧系统 且面临巨大风险支出 Thu, 23 Sep 2021 05:43:33 +0800 英国政府近半数IT支出耗费在支持老旧IT系统上,每年仅此项支出就高达23亿英镑。

英国内阁办公室新发布的报告显示,2019年中央政府的技术支出为47亿英镑,用于支持老旧IT系统的支出就占了近一半,老旧系统的维护成本问题引发关注。

报告指出:“政府安全部最近的一项分析表明,目前政府IT支出中近50%(2019年中央政府47亿英镑总支出中的23亿英镑)用于维护过时老旧系统,且未来五年还面临此项支出高达130-220亿英镑的风险。” 

正如报告所强调的,纳税人背负的技术债务包括由过时老旧系统提供的重要运营服务,这些系统通常构建在过时的技术平台上,或者所用编程语言不再受到广泛支持。

除了成本,该报告还承认,因为政府觉得“有价值但乏味”比冒险引入新IT系统更有吸引力,导致不仅增加了网络安全风险,还无法引入新型政府服务。 

研究指出:“一些部门服务甚至无法满足最低要求的网络安全标准,不能从这些老旧系统提取有用数据。” 

报告还特别提到了技术预算最大的内政部,指出“他们根本无法停用12个大型老旧运营系统中的任何一个。”

该报告发布之际,隶属间谍机构英国政府通信总部(GCHQ)的国家网络安全中心(NCSC)已经针对勒索软件和数据泄露事件敲响了警钟。5月份,目睹近期发生的软件供应链攻击事件后,NCSC新上任的首席执行官Lindy Cameron呼吁董事会将CISO的地位提升到与首席法律顾问和首席财务官相同的级别。 

英国还试图通过新成立的政府数字服务(GDS)部门推动政府在线服务,该部门正寻求改善在线报税服务。 

英国至今还没有弄清楚怎么实现类似瑞典BankID那样的系统。BankID系统通过瑞典各家银行提供了基于网络和智能手机的全国性身份识别方案,用于实现电信公司、所有政府机构,甚至小企业的有效网站签账和登录。 

报告点出了各机构缺乏系统性审查运营指标的问题,如正常运行时间、网络攻击次数和系统效率。 

针对机构数字主管进行的调查还发现了采购问题、“对重复程度感到沮丧”,以及部门之间缺乏信息共享。 

而且,英国政府为做出更好决策而收集数据的努力基本上是白费的。 

报告指出:“我们的调查表明,许多政府部门在收集和存储通常非常巨大的数据集方面投入了大量资金,但很少利用这些数据来影响决策行为。”

]]>
可窃听视频会议的萤火虫攻击 Thu, 23 Sep 2021 05:43:33 +0800 肆虐全球的新型冠状病毒让远程办公和视频会议成了常态,同时也放大了企业的被攻击面,其中包括一些新颖的、鲜为人知的攻击方法。

近日,以色列本古里安大学的一组研究人员发表了一篇关于萤火虫(Glowworm)攻击的论文(链接在文末),它在技术上被称为电信电子材料杂散传输 ( TEMPEST ) 攻击,TEMPEST也是美国国家安全局对非故意泄露数字信号的定义,但这些信号可以被远距离监听并危及数据安全。

简单来说,在杂散传输攻击中,包括扬声器、USB集线器、分配器等设备上的LED电源灯的闪烁都可泄露机密信息。

“我们的实验表明,不同制造商的许多产品都容易受到萤火虫攻击。Glowworm能够通过利用难以察觉的、由设备功耗变化引起的设备电源指示灯LED强度变化来恢复语音。”该研究团队解释道。

萤火虫攻击的实验验证

研究人员将35米外带有光电传感器的望远镜指向连接到笔记本电脑的扬声器来演示萤火虫攻击的工作原理。传感器瞄准扬声器的电源指示灯LED,笔记本电脑屏幕不可见(下图)。

该团队成功地通过萤火虫攻击设备远程捕捉到了现场扬声器上播放的语音。

虽然Skype等视频会议平台上的大多数会议都远不足以吸引配备望远镜和萤火虫攻击设备的窃听者,但这一发现也为人们敲响了警钟,提醒人们,尽管政府有相关法规和监管,但是依然不要盲目相信任何厂商的设备对TEMPEST攻击是免疫的。

“这是一次非常有趣的攻击,对于绝大多数用户来说没有真正的风险。”论文的作者指出:“但是,这也证明了设备和环境对于间谍活动来说很重要,物理安全仍然是关键。在高度敏感的环境中,不受保护空间的安全可见性是不靠谱的,并且设备应该被设计为分段隔离的,这样就无法收集敏感信息,这一切麻烦和威胁仅仅是因为制造商们懒得将LED指示灯放在一条独立的线路上。”

]]>
越南知名安全厂商Bkav源代码泄露,售价25万美元 Thu, 23 Sep 2021 05:43:33 +0800 又一例内部威胁案例!

越南大型网络安全公司Bkav旗下产品的源代码遭到窃取,在一个数据泄露论坛上被出售,总价为25万美元。

被出售的源代码包括反病毒等产品,以每个1万至3万美元的价格出售,其中一个人工智能程序的源代码标价10万美元。

8月4日,泄露论坛上一个名为"chunxong"的账户发贴称,已经成功入侵了Bkav的服务器病窃取了产品源代码。

该贴子还展示了相关源代码的截图和Bkav的详细内部文件。

8月6日,Bkav公司确认泄露的源代码是真的,但都是旧代码,泄漏不会影响到客户。

该公司还声称,这些泄露是一名前雇员造成的,其"收集注册信息以访问内部聊天服务,并用这些信息截取内部消息"。

Bkav公司表示,这种情况已经发生了一年多时间了。

]]>
咨询巨头埃森哲遭勒索软件攻击数据外泄,官方称未影响运营 Thu, 23 Sep 2021 05:43:33 +0800 勒索软件团伙LockBit发布公告,已攻破咨询巨头埃森哲内网,窃取了一批内部数据;

埃森哲随后承认,确实遭到勒索软件攻击,但公司运营未受到影响,相关系统已通过备份副本恢复。

全球财富五百强、咨询行业巨头埃森哲已沦为勒索软件的最新受害者。但该公司表示,勒索攻击没有影响到公司正常运营,已使用备份副本顺利恢复了受到影响系统。

这次事件的曝光,源自勒索软件团伙LockBit在暗网博客上的公告。埃森哲的大名赫然在列,这个秘密自然也就隐藏不住了。

LockBit团伙宣称,他们获得了埃森哲公司的网络访问权限,并准备在8月11日17:30(GMT)将窃取自埃森哲服务器的文件公之于众。

在一封邮件声明中,埃森哲公司证实了此次攻击的真实性,同时表示这次事实的影响其实非常有限。

通过我们的安全控制与协议,我们发现内部环境中存在一起异常活动。我们立即施以控制,隔离了受到影响的服务器。我们已经使用备份副本顺利恢复了受到影响的系统,埃森哲公司的运营体系及客户系统都没有遭到波及。

埃森哲公司发言人

虽然埃森哲公司强调事件很快就得到了控制,但黑客一方仍然放出狠话,威胁将发布他们窃取自内部网络的文件。

就在本文发布前,LockBit团伙泄密网站的倒计时已经归零,该团伙如约公开了埃森哲的内部文件。经过粗略审查,其中主要涉及埃森哲公司的产品手册、员工培训课程及各类营销材料。泄露的文件中似乎并不包含任何敏感信息。

与此同时,整个事件中的最大疑团仍然没有解除:LockBit团伙如何成功入侵埃森哲这家全球顶尖跨国企业的内部网络?

针对这次事件,几家网络安全厂商开始在推特上推测并交流,关于埃森哲被黑的理论可能性。但一切仍停留在纯推测阶段,并不存在任何实质性证据。其中甚至有人认为,此次勒索软件攻击源自埃森哲公司的内鬼。

虽然埃森哲公司表示问题不大,但这起攻击的成功实现还是或多或少给这家全球知名的网络保险服务商造成了一些负面影响。

当然,埃森哲也绝不是唯一一家遭受勒索软件攻击的网络保险服务商;今年年初,AXA Group也经历了类似的侵袭。

就在上周,澳大利亚国家网络安全中心(ACSC)发出警报,LockBit团伙的活动频率正在快速增长。

]]>
因程序员少打一个字符,大量用户电脑出现严重Bug! Thu, 23 Sep 2021 05:43:33 +0800 如果要问,程序员的劲敌是什么?


不容置疑,答案一定是Bug的出现。


前几日,就连互联网大厂谷歌的程序员都犯了低级错误。


近期,谷歌为Chromebook推送了Chrome OS 91版本,版本号91.0.4772.165。


没想到,就是这次更新,出现了重大Bug。


安装更新后,有大量用户反馈称,自己的Chrome笔记本笔记本陷入无限重启状态,只能恢复出厂设置然后再重新更新,但数据会全部丢失。


明明输入的开机密码是对的,但就是一直提示“无法验证您的密码”,进入不了系统。


一旦重启笔记本,就将陷入无法登陆的死循环,反复重启的状态。


还有部分用户的Chrome OS在重新启动后,会自动下载更新并切换到新版本。


因此,重启设备的用户会突然被锁在外面,无法正常使用设备。



那么,究竟是什么引起的这次Bug的出现呢?


一位Reddit网友从谷歌官网源码中发现,该问题是由一个极其低级的错误引发的。


简单来说,就只是因谷歌程序员少输了一个字符“&”。


原本正确的代码应该是:

if (key_data_.has_value() && !key_data_->label().empty()) {


结果程序员写成了

if (key_data_.has_value() & !key_data_->label().empty()) {


而这串代码是保存用户加密密钥的部分,所以,这个错误直接导致系统无法将存储的密钥与输入的密钥进行比较。


此事传出后,许多网友评论称,“谷歌没有进行代码测试吗?”


“谷歌的测试团队这两个月是在休假吗?”


还有网友庆幸自己没有及时更新系统的习惯:“这就是我讨厌强制更新的原因。一般像我这样经验丰富的IT专业人士选择更新时,通常是在一大群人都更新了并且没有报告任何问题之后。


其实,Chrome OS共有三个测试渠道:“金丝雀”渠道、“开发”渠道和“beta测试”渠道,代码变更应经过这三个渠道的审查,版本发布之间进行数周的测试。


所以,这个Bug的出现也属实有些匪夷所思!


不过,在接到反馈后,谷歌也迅速发布了解决办法,删除了91.0.4472.165版本,并将Chromebook的系统版本退回至91.0.4472.147。


虽然这个版本也不是太安全,但起码用户可以登入电脑了。


另外,谷歌也在7月20日的声明中说已经确定了问题所在,并发布新版本91.0.4472.167以解决该问题,只要Chromebook系统更新至此新版本,用户就可以顺利登入电脑进行正常操作。


受糟糕更新版影响的用户可以等待设备再次更新,或者“强力清洗”设备(即擦除所有本地数据),以便能够正常登录。


说起来,不只是谷歌,国内外的各大科技巨头,实际上或多或少都出现过一些“匪夷所思”的Bug事件。


比如,Gab公司经验丰富的CTO曾将代码中“reject”和“filter”拆分,导致一些知名人士(比如特朗普)在内的、70GB大小的信息数据被泄露,公司还被黑客敲诈了50万美元。


比如,苹果的iOS 14.7出现Bug,导致App Store无法更新应用,用户设备电池健康降低。


比如,王者荣耀test邮件事件,该Bug可令玩家免费领取到多个英雄,皮肤,以及英雄碎片,皮肤碎片。


更不用说,每次更新都会带来一系列Bug的Windows 10。


这些层出不穷的例子都表明,再缜密的程序,归根结底都是由一个个活生生的程序员亲自码出来的,出错也是在所难免。


]]>
无间道!勒索软件团伙Conti攻击手册泄露 Thu, 23 Sep 2021 05:43:33 +0800

Conti是近年来最为活跃和危险的勒索软件团伙之一。该组织采用勒索软件即服务 (RaaS) 的运营模式,其中核心团队管理恶意软件和Tor站点,而招募的联盟机构则执行网络漏洞和数据加密攻击。核心团队赚取赎金的20~30%,而附属公司赚取其余部分。


近日,安全研究人员pancak3分享了一个反水的Conti加盟机构成员发布的论坛帖子,该成员公开泄露了有关勒索软件操作的信息。该信息包括Cobalt Strike C2服务器的IP地址(下图,pancak3强烈建议立刻封锁图片中的IP地址)和一个113MB的档案,其中包含大量用于进行勒索软件攻击的工具和培训材料。


该成员还表示,他发布这些材料的原因是在一次攻击后的分赃中只获得了1,500美元,而团队的其他成员却将赚取数百万美元。一位威胁情报专家指出,此次泄露的攻击手册与Conti的活跃案例相符,基本可以确认是真实泄露。


此次泄密暴露出勒索软件团伙的组织熟度,以及他们在针对全球公司发动攻击时使用的流程和经验。同时也暴露了勒索软件即服务操作的脆弱性,因为任何一个不满意的加盟成员都可能会导致攻击中使用的精心制作的培训信息和资源暴露。


作为勒索软件的顶级玩家,Conti勒索软件“渗透测试”团队的操作手册同时也是渗透测试操作的“圣杯”。因此这次泄露将产生积极的影响,防御端的渗透测试人员可以通过这些资料来逐步提高渗透测试技能以应对勒索软件。


]]>
苹果新功能SCAM要扫描用户iCloud相册引发隐私争议,数千安全专家联名反对 Thu, 23 Sep 2021 05:43:33 +0800 北京时间8月5日,苹果宣布上线一系列新的儿童安全功能,其中包括扫描用户iCloud相册中暗含的儿童色情内容。但该功能遭到爱德华·斯诺登等众多安全专家反对,称该功能的本质是一个加密后门,是苹果为政府获取公民数据扫清道路。

新功能SCAM要扫描用户的iCloud相册

该系列儿童安全功能主要有三个。其中最饱受争议的是新版照片甄别系统(Child Sexual Abuse Material,儿童性虐待内容,简称为 "CSAM"),该系统可以扫描用户的iCloud相册,旨在鉴别其中的儿童色情内容。

除了CSAM,新的儿童安全功能还包括通过iMessage向父母发送孩子浏览的敏感内容通知、更新Siri和搜索功能,帮助孩子和家长处理不安全的情况。这一系列功能将在iOS 15、iPadOS 15、watchOS 8 和 macOS Monterey 的更新中推出。

在上述功能下,未成年人账户的iMessage会受到重点监测,如果他们的iMessage中有色情照片,苹果会发出警告并通知其父母。

密码学家、网络安全专家和隐私倡导者表示,苹果的CSAM系统是一个密码学应用,它扫描用户的iCloud相册后,以一种新的加密形式,将这些照片与现有的CSAM库中的图像进行比较,然后将这些情况告给国家失踪和受虐儿童中心(NCMEC)。


遭数千名安全和密码专家联名反对

首席密码学家马修·格林(Matthew Green)在推特上发长帖表示“这是个糟糕的主意”。他称这一系统在本质上是一个加密后门,而这正是美国自上世纪90年代以来一直在寻求的加密后面。格林在推特上表示:“这一系统可以帮助人们在手机中查找儿童色情内容,但想象一下它在政府手中会被用来做什么。”

随着争议越来越激烈,超过4000名安全和隐私专家、密码学家、研究人员、教授、法律专家和苹果客户,签署了一封反对苹果侵犯隐私的内容扫描技术的公开信。

此前曾曝光美国棱镜计划的前美国中央情报局(CIA)雇员爱德华·斯诺登(Edward Snowden)也参与了相关联署。他还在推特上表示,“苹果的技术引入了一个后门,可能会破坏苹果产品所有用户的基本隐私保护。”

苹果的计划也遭到了一些科技高管的反对。例如,WhatsApp的负责人威尔·卡斯卡特(Will Cathcart)在推特上写道:“苹果开发了一款软件,可以扫描你手机上的所有私人照片——甚至是你没有与任何人分享的照片。”

育碧游戏首席执行官蒂姆·斯维尼(Tim Sweeney)在推特上表示:“我一直努力从苹果的角度看待这一问题。但无法辩驳的是,这是苹果基于有罪推定而安装的软件。虽然代码是苹果编写的,但其功能可能是扫描个人数据并向政府报告。”

苹果回复:坚决拒绝政府监控要求

针对上述质疑,苹果公司在8月9日发布了长达六页的回应文件,旨在消除用户对SCAM功能和iMessage信息通信安全功能的隐私担忧。

在题为“扩大对儿童的保护”的常见问题(FAQ)的文件中,苹果表示,iMessage信息通信安全检测“只对家庭共享中设置的儿童账户在iMessage中发送或接收的图像有效”。

而 iCloud 照片中的 CSAM 检测“只影响使用 iCloud 储存照片的用户,对其他设备上的数据没有影响。”也就是说,如果用户不将照片上传到iCloud,该功能便不会扫描用户照片。

对于专家认为该功能可能成为政府监控软件的担忧,苹果回应,已经设计了一些功能来防止这种情况发生。若政府要求将此项功能拓展到儿童性虐待以外的领域,苹果表示也会坚定拒绝。

苹果还在文件中表示,未来会将该系列儿童安全功能扩展到第三方应用程序


]]>
勒索软件eCh0raix衍生出新变种:可感染QNAP和群晖NAS设备 Thu, 23 Sep 2021 05:43:33 +0800        根据安全公司 Palo Alto Networks 的最新报告,知名勒索软件 eCh0raix(也称 QNAPCrypt)近日衍生出一个新变种,现在可以感染 QNAP 以及 Synology 网络附加存储(NAS)设备。

       去年 9 月,Palo Alto Networks 就发现了这种新型 eCh0raix 变种,该勒索软件活动的项目名称为“rct_cryptor_universal”,表明该恶意软件可以影响任何供应商。早些时候,该项目名称为"qnap_crypt_worker",因为它将使用不同的变体经常在不同的实例上感染 QNAP 和 Synology 设备。

eCh0raix 是在 2016 年肆虐的一款勒索软件,当时它只是攻击 QNAP NAS 系统,因此也被称之为 QNAPCrypt。随后该勒索软件不断进化,在 2019 年和 2020 年再次对 QNAP 设备进行了攻击。

新型 eCh0raix 变种目前编号为 CVE-2021-28799。早在4月,QNAP 已经确认该漏洞是 HBS 3(混合备份同步3)中的"不当授权漏洞"。该公司进一步补充说,它已经在以下HBS 3版本中修复了这个黑客。

QTS 4.5.2: HBS 3 v16.0.0415及以后的版本

 QTS 4.3.6: HBS 3 v3.0.210412及以后版本

QTS 4.3.3和4.3.4: HBS 3 v3.0.210411及以后版本

QuTS hero h4.5.1: HBS 3 v16.0.0419及以后版本

QuTScloud c4.5.1 ~ c4.5.4: HBS 3 v16.0.0419及以后版本

与受影响的Synology系统的安全固件版本相关的信息还不存在。根据Cortex Xpanse的数据,QNAP和Synology总共有大约25万台受影响的设备。


]]>
美国爱达荷州国家实验室开发新技术 可阻止黑客攻击国家电网 Thu, 23 Sep 2021 05:43:33 +0800        来自爱达荷州国家实验室和新墨西哥州Visgence公司研究人员设计并演示了一项技术,它可以阻止网络攻击影响破坏国家电网。最近在爱达荷州国家实验室关键基础设施试验场综合体的现场演示中,受限网络通信设备(C3D)针对一系列属于网络攻击的远程访问尝试进行了测试。该设备提醒操作人员注意异常指令,并自动阻止它们,防止攻击进入和破坏关键电网组件。

C3D设备使用先进的通信能力,自主地审查和过滤发送到继电保护装置的命令。继电器是国家电网的核心和灵魂,被设计用来在检测到干扰时迅速命令断路器关闭电力流。例如,继电器可以防止昂贵设备在暴风雨导致的电力线故障中损坏。然而,继电器的传统设计并不能阻止网络攻击的速度和隐蔽性,网络攻击可以在几毫秒内向电网设备发送疯狂的命令。为了防止这种攻击,需要一种智能和自动过滤技术和设备。

这种C3D设备位于公用事业网络的深处,在网络攻击影响中继运行之前,对其进行监控和阻断。在彻底评估了行业需求并分析了现代网络威胁构成后,研究人员设计了一个可以连接到保护性继电器通信网络的电子设备。然后,他们建造了一个36英尺的移动变电站,并将其连接到爱达荷州国家实验室全尺寸电网试验台,以建立一个大规模的电网环境。

随着整个系统的上线,研究人员向变电站的继电器发送了一个突然的电力尖峰指令,并从附近的指挥中心监测其效果。瞬间,C3D设备阻止了该命令,并阻止了攻击对更大规模电网的破坏。该装置开发受美国能源部电力办公室资助,属于美国能源部保护性继电器许可通信项目。该技术和一个相关的软件包将在未来几个月内进行进一步测试,然后提供给私营企业使用。


]]>
摄像头黑产治理进展:京东淘宝等下架摄像设备1600余件 Thu, 23 Sep 2021 05:43:33 +0800 今年5月以来,中央网信办会同工业和信息化部、公安部、市场监管总局深入推进摄像头偷窥等黑产集中治理工作,对人民群众反应强烈的非法利用摄像头偷窥个人隐私画面、交易隐私视频、传授偷窥偷拍技术等侵害公民个人隐私行为进行集中治理。


中央网信办指导各地网信办督促各类平台清理相关违规有害信息2.2万余条,处置平台账号4000余个、群组132个,下架违规产品1600余件。其中,百度、腾讯、UC等重点网站平台,清理有害信息8000余条、处置违规账号134个;京东、淘宝、闲鱼等电商平台,下架违规宣传或违规售卖摄像设备1600余件、处置违规账号3700余个、清理违规信息1.2万余条。对存在隐私视频信息泄露隐患的14家视频监控App厂商进行了约谈,并督促其完成整改。


工业和信息化部组织各省、自治区、直辖市通信管理局、专业机构、基础电信企业,以及18个重点视频监控云平台、摄像头生产企业代表,召开全国电视电话会议,部署摄像头网络安全集中整治工作;组织开展智能音视频采集设备应用安全、网络安全、数据安全等有关标准宣传普及,督促摄像头生产企业对照安全标准开展自查自纠,组织检测机构进入5家摄像头生产企业开展现场巡查和产品抽检;组织对18家具有行业代表性的视频监控云平台开展检查,发现处置SQL注入、越权操作等一批高危漏洞;全面排查联网摄像头存在的安全隐患,发现4万多个弱口令、未授权访问、远程命令执行等摄像头漏洞,取证并处置500余个。


公安部组织全国公安机关依法严打提供摄像头破解软件工具、对摄像头设备实施攻击控制、制售窃听窃照器材等违法犯罪活动,共抓获犯罪嫌疑人59名,查获非法控制的网络摄像头使用权限2.5万余个,收缴窃听窃照器材1500余套。


市场监管总局组织召开互联网平台企业行政指导会,要求平台企业严格履行主体责任,强化对平台内假冒伪劣摄像头等商品的治理,并要求限期一个月完成全面整改。


中央网信办有关负责人强调,此次集中治理工作已进入后半程,存在问题的企业、平台要尽快整改,不留死角。下一步,中央网信办将会同有关部门继续加强治理,坚决遏制摄像头偷窥等黑产生存空间,切实保护公民个人隐私安全。


]]>
新漏洞正被在野利用,影响数百万路由器 Thu, 23 Sep 2021 05:43:33 +0800 CVE-2021-20090是一个由Tenable发现并在2021年8月3日公布的漏洞。现在,研究人员发现了其正在被在野利用。

该漏洞是一个路径绕过漏洞,可导致认证绕过,攻击者可以利用其接管受影响设备的控制权。

根据 Tenable 的相关信息披露,CVE-2021-20090 漏洞被发现实际存在于 Arcadyan 固件中,这不仅影响了最初发现的 Buffalo 路由器,还影响了更多的设备。

影响范围如下所示:

厂商设备版本
ADBADSL wireless IAD router1.26S-R-3P
ArcadyanARV751900.96.00.96.617ES
ArcadyanVRV95176.00.17 build04
ArcadyanVGV75193.01.116
ArcadyanVRV95181.01.00 build44
ASMAXBBR-4MG / SMC7908 ADSL0.08
ASUSDSL-AC88U (Arc VRV9517)1.10.05 build502
ASUSDSL-AC87VG (Arc VRV9510)1.05.18 build305
ASUSDSL-AC31001.10.05 build503
ASUSDSL-AC68VG5.00.08 build272
BeelineSmart Box Flash1.00.13_beta4
British TelecomWE410443-SA1.02.12 build02
BuffaloWSR-2533DHPL21.02
BuffaloWSR-2533DHP31.24
BuffaloBBR-4HG
BuffaloBBR-4MG2.08 Release 0002
BuffaloWSR-3200AX4S1.1
BuffaloWSR-1166DHP21.15
BuffaloWXR-5700AX7S1.11
Deutsche TelekomSpeedport Smart 3010137.4.8.001.0
HughesNetHT2000W0.10.10
KPNExperiaBox V10A (Arcadyan VRV9517)5.00.48 build453
KPNVGV75193.01.116
O2HomeBox 64411.01.36
OrangeLiveBox Fibra (PRV3399)00.96.00.96.617ES
SkinnySmart Modem (Arcadyan VRV9517)6.00.16 build01
SparkNZSmart Modem (Arcadyan VRV9517)6.00.17 build04
Telecom (Argentina)Arcadyan VRV9518VAC23-A-OS-AM1.01.00 build44
TelMexPRV33AC1.31.005.0012
TelMexVRV7006
TelstraSmart Modem Gen 2 (LH1000)0.13.01r
TelusWiFi Hub (PRV65B444A-S-TS)v3.00.20
TelusNH20A1.00.10debug build06
VerizonFios G31001.5.0.10
VodafoneEasyBox 9044.16
VodafoneEasyBox 90330.05.714
VodafoneEasyBox 80220.02.226

在野利用

Juniper 威胁实验室近期也发现攻击者正在在野利用编号为 CVE-2021-20090 的身份验证绕过漏洞,攻击者通过其传播 Mirai 恶意软件。

不止 CVE-2021-20090,新发现的攻击团伙也频繁利用新漏洞扩充军火库:

CVE-2020-29557(DLink routers)

CVE-2021-1497(Cisco HyperFlex)

CVE-2021-1498(Cisco HyperFlex)

CVE-2021-31755(Tenda AC11)

CVE-2021-22502(MicroFocus OBR)

CVE-2021-22506(MicroFocus AM)

exploit-db 未分配 CVE 编号但存在 PoC 的 exploit


]]>
工业控制系统攻击五大经验教训 Thu, 23 Sep 2021 05:43:33 +0800 工业控制系统攻击越来越频繁,但了无新意。


假设现在是1903年,你站在波尔杜(英国康沃尔郡)偏远半岛崖边的一家大旅社前。尽管旅社旁矗立着巨大的天线,还有大型风筝不时将天线带得更高,但你可能不会意识到自己面前是历史性无线电报通信的地点,或者说,首位无线网络攻击受害者的伤心地。古列尔莫·马可尼(Guglielmo Marconi),一位被誉为无线电发明家和无线传输之父的意大利人,正准备无线传输电报消息到300英里外的伦敦皇家科学院。在马可尼开始发送电报前,接收装置发出了来自另一更强无线电信号的莫斯电码信号:


“老鼠……老鼠……老鼠……老鼠。”


很快,针对马可尼的恶言接踵而至。原来,一家有线电报公司聘请了英国魔术师、无线电爱好者内维尔·马斯克林(Nevil Maskelyne)破坏马可尼的演示,想要证明开放无线电通信不是“安全和私密”的信道。


美国能源部的《工业控制系统网络事件历史》报告显示,这是历史上有记录的对工业控制系统(ICS)最早的攻击之一。尽管当时无线电报尚未完全“工业化”,但这一事件仍然表明了社会仰赖的关键ICS所引入的潜在风险。


ICS是控制电厂、水厂、燃气设施、通信基础设施和制造业等工业技术运营的计算机,有时候是相当专业化的专用计算机。ICS还包括监视控制与数据采集(SCADA)系统,此类系统是远程监控ICS运营技术(OT)的计算机。


虽然ICS设备通常非常专业化,但折磨传统计算机的软件和硬件漏洞同样会侵袭ICS设备。长期以来,安全专家一直提醒企业注意黑客也会攻击ICS,而近期Colonial Pipeline勒索软件攻击之类的事件证明了这一点(WatchGuard等很多技术观察者多年前就预测了这一情况)。更令人担忧的是,过去五年间,ICS攻击频频得手,攻击后果也愈趋严重。


不过,我们可以保护这些系统,尤其是在我们吸取历史经验教训的情况下。下面我们就列出从以往ICS攻击中可以学到的五大重要安全经验:


1. 恶意内部人甚至能威胁到最安全的系统


2008年,澳大利亚昆士兰马鲁奇供水服务公司(MWS)开始遭遇污水泵,造成上百万加仑未处理废水意外排放。故障发生时没有任何警报发出。最终调查发现,是一名心怀不满的承包商盗走了计算机和无线电设备,通过故意破坏这些污水泵来发泄自己没有得到长期职位的愤懑之情。 

保护自身免遭恶意内部人的侵害并不容易,但设置强大的资产管理控制措施和快速撤销前雇员权限的过程能够有所帮助。此外,这次攻击也让MWS意识到了其设备的无线通信没有加密。如果想使用可公开访问的通信媒介,就必须做好加密保护。


2. 秘而不宣和物理隔离不等同于无法渗透的安全


2010年,伊朗核设施遭受的震网攻击打开了国家支持的ICS网络攻击的潘多拉魔盒。这一复杂攻击导致伊朗浓缩铀离心机疯狂旋转,最终碎裂。攻击中用到了利用四个零日漏洞的超先进恶意软件、针对专用设备的史上首个可编程逻辑控制器(PLC)rootkit,甚至还有所谓的双面间谍携恶意软件突破物理隔离。 

若说能从震网事件中学到什么,那就是:投入足够的时间、金钱、意志,即使最安全的设施也可以突破。如果要保护的是关键系统,就得设置非常先进的安全控制措施和规程,抵挡黑客国家队奇计百出的不断攻击。


3. 小心鱼叉式网络钓鱼


据称,2014到2015年间,俄罗斯黑客通过鱼叉式网络钓鱼(内置诱饵Word文档)将BlackEnergy恶意软件安装到乌克兰电力公司的计算机上。该恶意软件使黑客得以中断近25万乌克兰的电力供应长达六小时。(同样的事件在2016年再次出现,用的是CRASHOVERRIDE恶意软件。)这还只是始于鱼叉式网络钓鱼的众多ICS攻击的案例之一,其他案例还包括2012年Shamoon数据删除恶意软件、2012年美国天然气管道攻击和2014年德国钢铁厂黑客事件。 

经验教训非常明显:鱼叉式网络钓鱼是ICS攻击中极其常用的战术。一定要经常就如何识别和避免鱼叉式网络钓鱼邮件做好员工培训。


4. 数字攻击可导致物理伤害和死亡


2017年,专家在调查一家沙特阿拉伯石油化工厂的系统故障时发现了非常专业的ICS恶意软件。该恶意软件旨在关停紧急停机与安全系统,造成物理破坏。业界普遍认为TRITON是意在造成人员伤亡的首个网络攻击。 

保护ICS系统之所以那么重要,不仅仅是因为我们需要这些系统所提供的服务,还出于对我们人身安全的考量。


5. ICS易遭遇索软件破坏


从以往事例来看,ICS攻击似乎属于黑客国家队和恐怖主义黑客的“业务”范畴,但如今,网络罪犯也加入了发起ICS攻击的行列。比如,全球铝业巨头 Norsk Hydro 遭遇勒索软件感染,导致其关闭部分产品线并恢复到手动过程。此类事件就生动验证了2019年的ICS预测。至于更近期的事件,参考Colonial Pipeline遭遇的勒索软件攻击。 

尽管这些事件的根源各不相同,但表明了网络罪犯的技术现在足以攻破ICS公司,而ICS是个不错的勒索目标。同时,这也反映出2020年的ICS运营技术很大程度上形同虚设。若要经营ICS公司,最好配备详细的业务连续性计划和灾难恢复计划,从而在遭遇勒索软件攻击之类的灾难时能够快速恢复服务。

以上只是我们从几次ICS网络攻击中得到的几条教训。还有很多其他经验教训,且同样的案例似乎会在未来更加频繁地出现。


]]>
大陆游戏商被台湾黑客组织攻击,不到24小时就被迫关服 Thu, 23 Sep 2021 05:43:33 +0800 一款游戏的公测虽然对开发团队来说是一件值得庆幸的事,但是也是一道难关,因为要面对未知的BUG,要防止服务器奔溃,尽可能的给玩家留下好印象,做到开门红。但是现在小团队制作的游戏不但要防止玩家涌入,还要防备黑客趁火打劫。


青度互娱研发的《弈剑行》是一款类似《流星蝴蝶剑》的硬核动作手游,玩家用不同兵器搓招对决。因为游戏硬核的玩法,高质量的内容,3年前曝光到现在获得30万玩家的关注,评分高达9分。


但是就在游戏8月6日开测的那天,游戏受到来自台湾的黑客团队ACCN的DDOS攻击,服务器崩溃,玩家无法登陆。猖狂的黑客直接联系官方进行勒索。


虽然当时官方得到了taptap平台的协助,但是因技术问题终究没能抵挡下所有的DDOS攻击,1天后打造了三年的《弈剑行》不得不关停服务器。


官方停服公告宣布已充值的玩家充值金额全数返回,游戏暂时变更为单机模式。


玩家得知情况后纷纷对官方表示支持,对黑客进行了谴责,官方表示感谢玩家支持,还撑得住,等缓过气来后江湖再见。


其实《弈剑行》不是第一款被ACCN这个黑客团队攻击的小团队游戏,此前还有《超级幻影猫2》《离玥传》《古代战争?》《通感纪元》等游戏,勒索金额不高从几千到几万不等。


虽然勒索金额不高,但是影响却非常恶劣,不过多数游戏公司都选择不支付赎金,因为给了一次就有第二次,给了就是助纣为虐。


早在就有ACCN攻击的事件出现了,不知道是不是因为新冠影响,经济压力大,在去年ACCN展开了疯狂的勒索,有《富豪闯三国》《汉家江湖》《无极仙途》等十多款游戏遭到了DDOS进攻。


ACCN是一个非常卑鄙且狡猾的黑客团队,他们会根据taptap热门榜上选择目标,一般是没有大厂做靠山,服务器防备不充分的小团队游戏作为目标,然后展开DDOS进攻,造成服务器崩溃,然后通过taptap上的官方联系方式找官方索要赎金。


缺乏经验和资金支持的小团队,面对突如其来的DDOS进攻基本上没有招架之力,大多只能选择暂时关闭服务器,一些没抗过的游戏只能凉了。


因为这黑客团队不在大陆区域内,所以要根除比较难。但是俗话说的话,天网恢恢疏而不漏,常在河边站哪有不湿鞋,苍天不曾饶过谁,所以难保坏事做多的家伙,哪天出门就被酒驾的飞碟给砸了脑袋,一头栽进粪坑里了。


]]>
安全周报(08.02-08.08) Thu, 23 Sep 2021 05:43:33 +0800

1、技嘉遭勒索软件攻击 黑客威胁称不支付赎金就公开112GB内部数据


硬件厂商技嘉(Gigabyte)本周遭到勒索软件攻击。黑客威胁称如果公司不支付赎金,将公开 112GB 的公司内部数据。技嘉在公告中表示,公司于本周二晚上遭到勒索软件攻击,但没有对生产系统产生影响,因为攻击的目标是位于总部的少量内部服务器。

技嘉表示由于安全团队的迅速行动,服务器已从备份中恢复并重新上线,但事件远未结束。援引外媒 The Record 报道,勒索软件团伙 RansomExx 对本次攻击负责,该团伙声称拥有 112GB 的数据,其中包括技嘉和 Intel、AMD 和 American Megatrends 的机密通信,以及根据保密协议。该组织威胁要公开所有内容,除非技嘉愿意支付赎金。

目前技嘉仍在调查本次攻击是如何发生的,不过初步猜测可能是网络钓鱼电子邮件活动或者从在线来源购买的被盗凭据,这类攻击通常来自于这些问题。这并不是 RansomExx 团队发起的首次攻击,在 2018 年前该团队以“Defray”的名称运营,并攻击了包括佳明、宏碁、仁宝、广达和研华等公司。上个月,它还攻击了意大利和厄瓜多尔国营电信公司 CNT 的 Covid-19 疫苗接种预订系统。

2、亚马逊/谷歌DNS托管服务爆严重漏洞,可窃取企业内网敏感信息

研究发现,亚马逊、谷歌等多款DNS托管服务存在问题,攻击者可以劫持平台解析节点,拦截部分传入的DNS流量,并据此映射出企业的内部网络;


这次事件再次引发担忧,持续收集敏感信息的托管DNS平台,很可能成为恶意人士理想的网络间谍与情报数据收集目标。

这项漏洞也让人们再次意识到,持续收集敏感信息的托管DNS平台,很可能成为恶意人士理想的网络间谍与情报数据收集目标。


3、大学生因缺钱1000元贩卖自己身份信息 成网上逃犯

贩卖别人身份信息的人不少,贩卖自己身份信息的人你听过吗?安徽就有一名98年出生的大学生,因为缺钱,竟将自己的身份信息贩卖给诈骗分子,结果自己成了网上逃犯(视频)。近日,安徽芜湖警方发现,一名被湖北警方通缉的网上逃犯陈某在芜湖南陵县有活动轨迹。


进一步调查发现,陈某是名在校大学生,之前因为缺钱,就把自己的身份信息以几百元到1千元不等的价格卖给了别人。


据其交代,他把自己的身份证、银行卡,包括身份证的正反面都拍给了那个让他刷单的那个人,“因为缺钱,当时别人说用我的身份信息去刷单,我也不知道他干嘛的,先给了一千又给了几百。”


没想到,这些身份信息为诈骗分子实施犯罪提供了便利,陈某也成了网上逃犯。目前,该案已移交湖北警方作进一步处理。


警方提醒,要保护好自己的个人信息,任何贩卖公民个人信息的行为都属于违法犯罪。


4、vpnMentor报告显示6300万美国用户的信息遭泄露

据外媒报道,VPNMentor近日发现了一起重大数据泄露事件,估计有6300万美国公民的信息被泄露。这个数据库属于OneMoreLead,它被指控将用户信息(工作地点、电子邮件地址和姓名)储存在一个没有保护的数据库中。



据报道,好消息是,网络犯罪分子没有发现这个数据库,因为如果他们发现了,这将是一个网络犯罪活动的“金矿”,包括但不限于身份信息盗窃、金融欺诈,甚至针对美国机构和企业的大规模网络钓鱼行动。


vpnMentor在4月16日注意到这起数据泄漏事件,并在四天后通知OneMoreLead。由于他们未能保证这个数据库的安全,至少有6300万人可能被诈骗,他们的身份信息被盗,甚至更糟。


据vpnMentor的研究团队称:“在这个案例中,vpnMentor的网络安全团队在一个常规研究项目中发现了这个数据库。我们很快确定OneMoreLead是该数据库的所有者。然而,数据的来源,或者它是如何落入OneMoreLeads手中的,仍然是未知数。”


]]>
搞瘫美国最大燃油管道的黑客软件卷土重来 Thu, 23 Sep 2021 05:43:33 +0800        在今年5月,黑客团队“黑暗面”(DarkSide ransomware group)导致美国“输油大动脉”一度瘫痪,甚至让宣布进入国家紧急状态,也因此声名大噪。在成功获得了赎金后,迫于多方压力最终DarkSide宣布解散。

       据外媒报道,日前,网络安全公司声称一个新的危险黑客组织已经成立,该组织融合了DarkSide和另外两种著名勒索软件的功能。

根据网络安全公司Recorded Future的说法,新成立的黑客团队名为黑物质集团(BlackMatter Group),该组织声称其已经成功融合了DarkSide和勒索软件“REvil”和“Lockbit”的最佳功能。

目前,BlackMatter正在活跃在各大黑客论坛上,但是它并不是为了出售自己的软件,而是在搜集那些已经被其他黑客攻击的企业。

Recorded Future指出,BlackMatter的目标主要是已经被黑客入侵的澳大利亚、加拿大、英国和美国的公司网络,并要求这些公司的收入至少1亿美元以上,拥有500-15000台网络主机。

此外,网络安全公司Malwarebytes表示,BlackMatter在其网站发表声明称,并不会针对医院、关键基础设施、国防工业和政府部门等特定行业发动攻击。

而这一声明与之前黑客组织DarkSide的声明颇为相似,该组织在今年5月曾表示,其目的是为了赚钱,而不是制造社会混乱。以后将对每一家公司进行核查,以避免造成不必要的社会问题。


]]>
5G时代无线电的新威胁 Thu, 23 Sep 2021 05:43:33 +0800 无线电攻击并不是一种新的攻击手段,但是在5G时代,随着智能手机的更广泛应用,其造成的影响与破坏将大幅增长。5G时代,当智能手机开始成为黑客无线电攻击的主要目标时,每个智能手机用户都有必要了解手机各种无线功能所面临的安全“新威胁”。


智能手机已经成为功能强大的计算设备,但与PC不同的是,智能手机包含大量无线电技术——通常是蜂窝、Wi-Fi、蓝牙和近场通信 (NFC),可在各种环境下实现无线通信,同时也潜伏着大量安全威胁,手机无线接口的安全漏洞,无论是在协议中还是在特定实现中发现,都可以让攻击者强制连接到不受信任的设备,让他们有机会提取数据甚至控制目标设备。


据报道,老练的攻击者在使用这种基于射频的技术方面非常熟练,尤其是针对机场和其他人流密集的地点。但是,许多网络上唾手可得的RF黑客工具也可供普通黑客使用。


攻击手段种类繁多


首当其冲的是蜂窝通信。这里的一个关键风险是IMSI捕捉器(伪基站),也称为蜂窝站点模拟器、流氓基站、StingRay或dirtbox。IMSI捕捉器是能够模拟真实基站的设备,以便目标智能手机连接到它而不是真正的蜂窝网络。伪基站可以伪装成邻近的基站或用白噪声干扰竞争的5G/4G/3G频率等各种技术来实现上述攻击。


在捕获目标智能手机的IMSI(与其SIM卡相关联的ID号)后,IMSI捕获器会将自己置于手机与其蜂窝网络之间。从那里,IMSI捕捉器可用于跟踪用户的位置,从手机中提取某些类型的数据,在某些情况下甚至可以向设备发送间谍软件。


不幸的是,对于普通的智能手机用户来说,没有万无一失的方式来注意和发现他们连接到了一个假手机基站,尽管可能有一些线索:例如连接速度明显变慢或手机状态栏中的频段变化(例如LTE到2G)。


值得庆幸的是,独立模式下的5G有望使IMSI捕获器失效,因为5G的IMSI等效项——订阅永久标识符(SUPI),从未在智能手机和基站之间的握手中公开。然而,这些部署仍然只占所有蜂窝网络的一小部分,这意味着在可预见的未来IMSI捕获器在大多数情况下仍将有效。


在Wi-Fi方面,需要注意的一个关键风险是恶意接入点发起的Karma攻击。流氓接入点通常只是一个Wi-Fi渗透测试设备:Wi-Fi Pineapple,这是一种流行的模型,这种模型不是用于审计Wi-Fi网络的,而是用来引诱毫无戒心的智能手机连接。


在Karma攻击中,流氓AP会利用智能手机(以及所有支持Wi-Fi的设备)的基本功能:只要其Wi-Fi开启但未连接到网络,智能手机就会广播首选网络列表(PNL) ,其中包含设备先前连接的接入点的SSID(Wi-Fi网络名称),并且愿意在无需用户干预的情况下自动重新连接。


收到此列表后,恶意AP会从PNL为自己分配一个SSID,诱使智能手机认为它已连接到熟悉的Wi-Fi网络。一旦目标智能手机连接,攻击者就可以窃听网络流量以收集敏感信息(如密码或信用卡详细信息),甚至将恶意软件推送到设备或将受害者重定向到恶意站点。


除了不断检查状态栏中的Wi-Fi图标外,这种类型的攻击很难被可靠地发现。


蓝牙漏洞利用是一种稍微不同的方式,因为攻击者不依赖协议标准操作程序中固有的限制,而是利用协议或其实现中的特定漏洞来进行攻击。蓝牙是一个众所周知的长而复杂的标准,这意味着在协议的实际代码中出现错误的机会更多,开发人员在实现中出错的机会也更多。虽然大多数蓝牙连接的范围约为10米,但众所周知,攻击者会使用定向、高增益天线进行更远距离的通信。


BlueBorne漏洞是基于蓝牙攻击的一个强有力实例。BlueBorne漏洞于2017年披露并从那时起进行了大量修补,它是一种攻击媒介,允许攻击者完全控制目标设备,而无需与之配对,甚至不需要设备处于可发现模式。这种控制是可实现的,因为蓝牙在几乎所有操作系统上都有较高权限,包括从硬件级别到应用程序级别的组件。


最后,还有NFC,它通常用于在智能手机和零售商终端之间进行支付。尽管由于其很小的范围(约1.5英寸)和有限的用例,对于黑客来说不太实用,但NFC攻击是可能的。


攻击者的一个攻击途径是使用恶意NFC标签,这些标签放置在可近距离接触手机的地方,例如拥挤的公交站入口处。对于Android、恶意NFC标签可以在用户浏览器中自动打开恶意站点,前提是设备已解锁。在iOS中,将恶意标签武器化还需要一些社会工程,因为需要用户通过标签打开给定的应用程序,例如,在火车中转站,标签可以请求用户在浏览器中打开最新的火车时刻表。


风险缓解措施


尽管针对智能手机的基于无线电的攻击通常对用户来说是不可见的,并且在很大程度上超出了大多数移动安全工具的范围,但用户可以采取一些措施来确保智能手机和数据安全。但最有效的方法或许就是在不使用或处于公共场合时关闭无线电(特别是Wi-Fi和蓝牙)。


但自从进入到5G网络时代以后,国内三大运营商正式宣布,2021年底将会清退2G、3G网络,其中中国移动将会清退3G网络,而中国联通则会清退2G网络,中国电信则同时清退2G、3G网络。因此,为了降低IMSI捕捉器的风险,如果用户的智能手机允许,最好关闭2G支持选项。


对于Wi-Fi,用户应该养成定期清理无线自动连接记录的习惯,不连接开放的及非可信热点。


对于蓝牙,用户应该及时安装安全更新,以确保已修补任何已知的蓝牙错误。特殊情况下,如果用户经常穿越阻塞点或已知的敌对环境,那可能需要考虑使用顶级法拉第外壳来屏蔽射频攻击(但法拉第包通常不足以抵御强信号)。


]]>
5G时代无线电的新威胁 Thu, 23 Sep 2021 05:43:33 +0800

无线电攻击并不是一种新的攻击手段,但是在5G时代,随着智能手机的更广泛应用,其造成的影响与破坏将大幅增长。5G时代,当智能手机开始成为黑客无线电攻击的主要目标时,每个智能手机用户都有必要了解手机各种无线功能所面临的安全“新威胁


智能手机已经成为功能强大的计算设备,但与PC不同的是,智能手机包含大量无线电技术——通常是蜂窝、Wi-Fi、蓝牙和近场通信 (NFC),可在各种环境下实现无线通信,同时也潜伏着大量安全威胁,手机无线接口的安全漏洞,无论是在协议中还是在特定实现中发现,都可以让攻击者强制连接到不受信任的设备,让他们有机会提取数据甚至控制目标设备。


据报道,老练的攻击者在使用这种基于射频的技术方面非常熟练,尤其是针对机场和其他人流密集的地点。但是,许多网络上唾手可得的RF黑客工具也可供普通黑客使用。


攻击手段种类繁多


首当其冲的是蜂窝通信。这里的一个关键风险是IMSI捕捉器(伪基站),也称为蜂窝站点模拟器、流氓基站、StingRay或dirtbox。IMSI捕捉器是能够模拟真实基站的设备,以便目标智能手机连接到它而不是真正的蜂窝网络。伪基站可以伪装成邻近的基站或用白噪声干扰竞争的5G/4G/3G频率等各种技术来实现上述攻击。


在捕获目标智能手机的IMSI(与其SIM卡相关联的ID号)后,IMSI捕获器会将自己置于手机与其蜂窝网络之间。从那里,IMSI捕捉器可用于跟踪用户的位置,从手机中提取某些类型的数据,在某些情况下甚至可以向设备发送间谍软件。


不幸的是,对于普通的智能手机用户来说,没有万无一失的方式来注意和发现他们连接到了一个假手机基站,尽管可能有一些线索:例如连接速度明显变慢或手机状态栏中的频段变化(例如LTE到2G)。


值得庆幸的是,独立模式下的5G有望使IMSI捕获器失效,因为5G的IMSI等效项——订阅永久标识符(SUPI),从未在智能手机和基站之间的握手中公开。然而,这些部署仍然只占所有蜂窝网络的一小部分,这意味着在可预见的未来IMSI捕获器在大多数情况下仍将有效。


在Wi-Fi方面,需要注意的一个关键风险是恶意接入点发起的Karma攻击。流氓接入点通常只是一个Wi-Fi渗透测试设备:Wi-Fi Pineapple,这是一种流行的模型,这种模型不是用于审计Wi-Fi网络的,而是用来引诱毫无戒心的智能手机连接。


在Karma攻击中,流氓AP会利用智能手机(以及所有支持Wi-Fi的设备)的基本功能:只要其Wi-Fi开启但未连接到网络,智能手机就会广播首选网络列表(PNL) ,其中包含设备先前连接的接入点的SSID(Wi-Fi网络名称),并且愿意在无需用户干预的情况下自动重新连接。


收到此列表后,恶意AP会从PNL为自己分配一个SSID,诱使智能手机认为它已连接到熟悉的Wi-Fi网络。一旦目标智能手机连接,攻击者就可以窃听网络流量以收集敏感信息(如密码或信用卡详细信息),甚至将恶意软件推送到设备或将受害者重定向到恶意站点。


除了不断检查状态栏中的Wi-Fi图标外,这种类型的攻击很难被可靠地发现。


蓝牙漏洞利用是一种稍微不同的方式,因为攻击者不依赖协议标准操作程序中固有的限制,而是利用协议或其实现中的特定漏洞来进行攻击。蓝牙是一个众所周知的长而复杂的标准,这意味着在协议的实际代码中出现错误的机会更多,开发人员在实现中出错的机会也更多。虽然大多数蓝牙连接的范围约为10米,但众所周知,攻击者会使用定向、高增益天线进行更远距离的通信。


BlueBorne漏洞是基于蓝牙攻击的一个强有力实例。BlueBorne漏洞于2017年披露并从那时起进行了大量修补,它是一种攻击媒介,允许攻击者完全控制目标设备,而无需与之配对,甚至不需要设备处于可发现模式。这种控制是可实现的,因为蓝牙在几乎所有操作系统上都有较高权限,包括从硬件级别到应用程序级别的组件。


最后,还有NFC,它通常用于在智能手机和零售商终端之间进行支付。尽管由于其很小的范围(约1.5英寸)和有限的用例,对于黑客来说不太实用,但NFC攻击是可能的。


攻击者的一个攻击途径是使用恶意NFC标签,这些标签放置在可近距离接触手机的地方,例如拥挤的公交站入口处。对于Android、恶意NFC标签可以在用户浏览器中自动打开恶意站点,前提是设备已解锁。在iOS中,将恶意标签武器化还需要一些社会工程,因为需要用户通过标签打开给定的应用程序,例如,在火车中转站,标签可以请求用户在浏览器中打开最新的火车时刻表。


风险缓解措施


尽管针对智能手机的基于无线电的攻击通常对用户来说是不可见的,并且在很大程度上超出了大多数移动安全工具的范围,但用户可以采取一些措施来确保智能手机和数据安全。但最有效的方法或许就是在不使用或处于公共场合时关闭无线电(特别是Wi-Fi和蓝牙)。


但自从进入到5G网络时代以后国内三大运营商正式宣布,2021年会清退2G、3G网络,其中中国移动将会清退3G网络,而中国联通则会清退2G网络,中国电信则同时清退2G、3G网络。因此,为了降低IMSI捕捉器的风险,如果用户的智能手机允许,最好关闭2G支持选项。


对于Wi-Fi,用户应该养成定期清理无线自动连接记录的习惯,不连接开放的及非可信热点。


对于蓝牙,用户应该及时安装安全更新,以确保已修补任何已知的蓝牙错误。特殊情况下,如果用户经常穿越阻塞点或已知的敌对环境,那可能需要考虑使用顶级法拉第外壳来屏蔽射频攻击(但法拉第包通常不足以抵御强信号)。


]]>
vpnMentor报告显示6300万美国用户的信息遭泄露 Thu, 23 Sep 2021 05:43:33 +0800        据外媒报道,VPNMentor近日发现了一起重大数据泄露事件,估计有6300万美国公民的信息被泄露。这个数据库属于OneMoreLead,它被指控将用户信息(工作地点、电子邮件地址和姓名)储存在一个没有保护的数据库中。

据报道,好消息是,网络犯罪分子没有发现这个数据库,因为如果他们发现了,这将是一个网络犯罪活动的“金矿”,包括但不限于身份信息盗窃、金融欺诈,甚至针对美国机构和企业的大规模网络钓鱼行动。

vpnMentor在4月16日注意到这起数据泄漏事件,并在四天后通知OneMoreLead。由于他们未能保证这个数据库的安全,至少有6300万人可能被诈骗,他们的身份信息被盗,甚至更糟。

据vpnMentor的研究团队称:“在这个案例中,vpnMentor的网络安全团队在一个常规研究项目中发现了这个数据库。我们很快确定OneMoreLead是该数据库的所有者。然而,数据的来源,或者它是如何落入OneMoreLeads手中的,仍然是未知数。”

该信息的来源尚不清楚

这些信息的来源尚不清楚。不过研究人员指出,如果要收集1.26亿美国公民的数据,OneMoreLead公司必须在该公司启动之前很久开始收集数据。无论他们是如何掌握这些数据的,该公司都要对因未能保护这些记录而造成的任何损失负责。

由于这次数据泄露的严重性、范围和奇怪的情况,OneMoreLead有可能不得不解决对其能力和声誉的担忧。潜在客户可能不愿意与新公司合作,因为他们处理数据的方式,以及在公司网站还未运行时就将数百万人暴露在欺诈行为和网络攻击中。

此外,该公司可能因此而受到法律诉讼。受数据泄露影响的大多数人都是加利福尼亚的居民,这意味着他们受到该州数据隐私法—《加利福尼亚州消费者隐私法案(CCPA)》的保护。



]]>
爱德华·斯诺登和EFF抨击苹果扫描信息和iCloud照片计划 Thu, 23 Sep 2021 05:43:33 +0800        苹果公司计划将用户iCloud照片库与儿童性虐待材料(CSAM)数据库进行扫描,以寻找匹配的内容,这遭到了爱德华斯诺登和电子前线基金会(EFF)的抨击。在一系列推文中,著名的隐私活动家和揭密者爱德华斯诺登强调,人们担心苹果正在推出一种"对整个世界的大规模监控"项目,并开创了一个先例,可能允许该公司在未来扫描其它任意内容。

爱德华斯诺登表示,不管用意如何,苹果公司正在向整个世界推行大规模监控。如果苹果今天可以扫描儿童色情内容,明天就可以扫描任何内容。爱德华斯诺登还指出,在数字隐私方面,苹果公司历来是行业领先者,甚至拒绝解锁2015年12月加州圣贝纳迪诺袭击案的枪手之一赛义德法鲁克拥有的一部iPhone。现在苹果公司采取相反的做法,这将成为一个危险的先例。

知名的国际非营利性数字权利组织EFF对苹果扫描用户的iCloud库和信息的举动发表了谴责,表示它对一个"端到端加密的倡导者"正在进行扫描用户的行为感到非常失望,并且表示这是令人震惊的转变。儿童色情是一个严重的问题,苹果公司并不是第一个为打击这种现象而改变其隐私保护立场的科技公司。但是,这种选择将为整个用户隐私付出高昂的代价。苹果公司可以详细解释其技术实现,如何在其提议的后门中保护隐私和安全,但即使是一个彻底记录、仔细考虑的、范围狭窄的后门仍然是一个后门。

EFF表示,不可能建立一个客户端扫描系统,只用于扫描儿童色情图片。因此,即使是建立这样一个系统的善意努力,也会破坏苹果对加密本身的关键承诺,为更广泛滥用打开大门。要扩大苹果正在建立的狭窄后门,只需扩大机器学习参数,以寻找更多类型的内容,或调整配置标志,扫描不仅是儿童色情图片,而且是任何人的账户。

EFF强调了世界各国政府如何通过法律要求对各种平台上的内容进行监控和审查,包括信息应用,而苹果扫描信息和iCloud照片的举动在法律上可能被要求包括更多的材料,或者很容易被扩大。EFF警告表示,苹果此举这是对所有iCloud用户隐私的减少,而不是改进。

自苹果公司昨天宣布这些变化以来,安全研究人员和用户在社交媒体上提出了大量的谴责,引发了敦促苹果公司收回其计划并确认其对隐私承诺的请愿活动。


]]>
技嘉遭勒索软件攻击 黑客威胁称不支付赎金就公开112GB内部数据 Thu, 23 Sep 2021 05:43:33 +0800        硬件厂商技嘉(Gigabyte)本周遭到勒索软件攻击。黑客威胁称如果公司不支付赎金,将公开 112GB 的公司内部数据。技嘉在公告中表示,公司于本周二晚上遭到勒索软件攻击,但没有对生产系统产生影响,因为攻击的目标是位于总部的少量内部服务器。

       技嘉表示由于安全团队的迅速行动,服务器已从备份中恢复并重新上线,但事件远未结束。援引外媒 The Record 报道,勒索软件团伙 RansomExx 对本次攻击负责,该团伙声称拥有 112GB 的数据,其中包括技嘉和 Intel、AMD 和 American Megatrends 的机密通信,以及根据保密协议。该组织威胁要公开所有内容,除非技嘉愿意支付赎金。

       目前技嘉仍在调查本次攻击是如何发生的,不过初步猜测可能是网络钓鱼电子邮件活动或者从在线来源购买的被盗凭据,这类攻击通常来自于这些问题。这并不是 RansomExx 团队发起的首次攻击,在 2018 年前该团队以“Defray”的名称运营,并攻击了包括佳明、宏碁、仁宝、广达和研华等公司。上个月,它还攻击了意大利和厄瓜多尔国营电信公司 CNT 的 Covid-19 疫苗接种预订系统。

]]>
亚马逊/谷歌DNS托管服务爆严重漏洞,可窃取企业内网敏感信息 Thu, 23 Sep 2021 05:43:33 +0800 研究发现,亚马逊、谷歌等多款DNS托管服务存在问题,攻击者可以劫持平台解析节点,拦截部分传入的DNS流量,并据此映射出企业的内部网络;


这次事件再次引发担忧,持续收集敏感信息的托管DNS平台,很可能成为恶意人士理想的网络间谍与情报数据收集目标。


在日前召开的美国黑帽安全大会(Black Hat USA 2021)上,云安全厂商Wiz公司两位安全研究员Shir Tamari与Ami Luttwak披露一项影响托管DNS服务商的新问题。利用这个bug,攻击者可以劫持平台节点、拦截部分传入的DNS流量并据此映射客户的内部网络。

这项漏洞也让人们再次意识到,持续收集敏感信息的托管DNS平台,很可能成为恶意人士理想的网络间谍与情报数据收集目标。


漏洞原理


如今,不少DNS即服务供应商会将DNS服务器出租给企业客户。虽然运行自有DNS名称服务器难度不算高,但为了摆脱DNS服务器基础设施管理负担、享受更稳定的运行时间与一流服务安全保障,很多企业还是更倾向于选择AWS Route53、Google Cloud Platform等托管服务。

要登录至托管DNS服务商,企业客户一般需要在服务商处注册自己的内部域名。最常见的方式就是前身后端门户,并将company.com及其他域名添加至服务商指定的名称服务器之一(例如ns-1611.awsdns-09.co.uk)。

在完成此项操作之后,当企业员工需要接入互联网应用程序或网站时,他们的计算机就会查询第三方DNS服务器,以获取连接目标的IP地址。

Wiz团队发现,某些托管DNS服务商并没有将后端中的DNS服务器列入黑名单。

在上周的一次采访中,Wiz研究人员表示他们已经确认可以在后端添加托管DNS服务商自身的名称服务器(例如ns-1611.awsdns-09.co.uk),并将其指向自己的内部网络。

如此一来,Wiz团队就能顺利劫持被发送至托管DNS服务商服务器处的DNS流量。但从实际测试来看,Wiz团队并没有收到经由该服务器的所有DNS流量,只是收到了大量动态DNS更新。

所谓动态DNS更新,是指工作站在内网中的IP地址或其他详细信息发生变更时,被发送至DNS服务器的特殊DNS消息。


Wiz团队强调,虽然无法嗅探目标企业的实时DNS流量,但动态DNS更新已经足以绘制使用同一托管DNS服务器的其他企业的内网结构图。


一座“大宝藏”


这些数据看似人畜无害,实际却并非如此。

Tamari与Luttwak表示,在进行测试的14个小时当中,他们成功从15000多个组织处收集到动态DNS更新,其中涉及130多家政府机构与不少财富五百强企业。

这部分泄露数据包括各系统的内部与外部IP地址、计算机名称,在某些极端情况下甚至涉及员工姓名。

两位研究员将收集到的数据形容为一座情报“大宝藏”。

他们还在采访中强调,这类数据有着广泛的用途,包括确定高价值企业的内部结构、识别域控制器,而后以远超传统随机发送垃圾邮件的高针对性精准攻击向目标发起冲击。

例如,研究团队能够确定哪些企业系统正在运行受NAT保护的IPv4地址,哪些系统运行的是IPv6地址——由于IPv6的天然特性,这些系统会始终在线并持续暴露在攻击视野之下。

除了网络安全之外,这些数据还有其他用途。情报机构可以利用这部分数据将各企业与政府机构交叉关联起来,快速找到对应的政府承包商。

此外,Wiz团队表示在将收集到的数据绘制在地图上之后,还可以用于识别违反美国外国资产控制办公室(OFAC)规定,在伊朗及科特迪瓦等受制裁国家开展业务的企业。


亚马逊与谷歌迅速发布更新


Wiz团队提到,他们发现有三家DNS即服务供应商容易受到这个问题的影响。其中的亚马逊与谷歌快速行动,已经发布了相应更新,第三家服务商也正在着手修复。

在本周的邮件采访中,亚马逊与谷歌发言人回应称,已经修复了Wiz发现的攻击薄弱点,现在企业客户已无法在后端上注册服务商自己的域名。

我们还询问两家企业是否进行过回溯调查,明确客户之前是否曾借此收集其他企业的数据。亚马逊发言人没有做出回应,但谷歌表示并未发现“平台上有任何恶意滥用的证据”。

此外,Wiz团队还怀疑另有十余家DNS即服务供应商也有可能受到类似攻击的影响。

但他们也提到,这里的问题绝不仅仅是服务商忘记在后端注册系统中将自己的DNS服务器列入黑名单那么简单。

首先,为什么动态DNS更新会首先到达互联网?为什么这部分更新信息没有被限定在本地网络之内?

研究人员们也提出了自己的假设,即微软Windows服务器中的一个默认选项,允许此类DNS流量通过本地网络传输至互联网,这可能才是造成问题的元凶。

在就此事向微软方面求证时,微软发言人建议企业客户按照以下指南操作,防止动态DNS更新接触公共互联网:


关于启用安全Windows Server DNS更新的指南

https://docs.microsoft.com/en-us/troubleshoot/windows-server/networking/configure-dns-dynamic-updates-windows-server-2003


其他网络安全最佳实践信息

https://social.technet.microsoft.com/wiki/contents/articles/34981.active-directory-best-practices-for-internal-domain-and-network-names.aspx#Using_a_single_namespace_for_internal_an


]]>
亚马逊/谷歌DNS托管服务爆严重漏洞,可窃取企业内网敏感信 Thu, 23 Sep 2021 05:43:33 +0800

研究发现,亚马逊、谷歌等多款DNS托管服务存在问题,攻击者可以劫持平台解析节点,拦截部分传入的DNS流量,并据此映射出企业的内部网络;


这次事件再次引发担忧,持续收集敏感信息的托管DNS平台,很可能成为恶意人士理想的网络间谍与情报数据收集目标。


在日前召开的美国黑帽安全大会(Black Hat USA 2021)上,云安全厂商Wiz两位安全研究员Shir Tamari与Ami Luttwak披露一项影响托管DNS服务商的新问题。
利用这个bug,攻击者可以劫持平台节点、拦截部分传入的DNS流量并据此映射客户的内部网络
这项漏洞也让人们再次意识到,持续收集敏感信息的托管DNS平台,很可能成为恶意人士理想的网络间谍与情报数据收集目标。
漏洞原理
如今,不少DNS即服务供应商会将DNS服务器出租给企业客户。虽然运行自有DNS名称服务器难度不算高,但为了摆脱DNS服务器基础设施管理负担、享受更稳定的运行时间与一流服务安全保障,很多企业还是更倾向于选择AWS Route53、Google Cloud Platform等托管服务。
要登录至托管DNS服务商,企业客户一般需要在服务商处注册自己的内部域名。最常见的方式就是前身后端门户,并将company.com及其他域名添加至服务商指定的名称服务器之一(例如ns-1611.awsdns-09.co.uk)。
在完成此项操作之后,当企业员工需要接入互联网应用程序或网站时,他们的计算机就会查询第三方DNS服务器,以获取连接目标的IP地址。
Wiz团队发现,某些托管DNS服务商并没有将后端中的DNS服务器列入黑名单
在上周的一次采访中,Wiz研究人员表示他们已经确认可以在后端添加托管DNS服务商自身的名称服务器(例如ns-1611.awsdns-09.co.uk),并将其指向自己的内部网络。
如此一来,Wiz团队就能顺利劫持被发送至托管DNS服务商服务器处的DNS流量。但从实际测试来看,Wiz团队并没有收到经由该服务器的所有DNS流量,只是收到了大量动态DNS更新
所谓动态DNS更新,是指工作站在内网中的IP地址或其他详细信息发生变更时,被发送至DNS服务器的特殊DNS消息。

Wiz团队强调,虽然无法嗅探目标企业的实时DNS流量,但动态DNS更新已经足以绘制使用同一托管DNS服务器的其他企业的内网结构图
一座大宝藏
这些数据看似人畜无害,实际却并非如此。
Tamari与Luttwak表示,在进行测试的14个小时当中,他们成功从15000多个组织处收集到动态DNS更新,其中涉及130多家政府机构与不少财富五百强企业。
这部分泄露数据包括各系统的内部与外部IP地址、计算机名称,在某些极端情况下甚至涉及员工姓名。
两位研究员将收集到的数据形容为一座情报“大宝藏”。
他们还在采访中强调,这类数据有着广泛的用途,包括确定高价值企业的内部结构、识别域控制器,而后以远超传统随机发送垃圾邮件的高针对性精准攻击向目标发起冲击。
例如,研究团队能够确定哪些企业系统正在运行受NAT保护的IPv4地址,哪些系统运行的是IPv6地址——由于IPv6的天然特性,这些系统会始终在线并持续暴露在攻击视野之下。
除了网络安全之外,这些数据还有其他用途。情报机构可以利用这部分数据将各企业与政府机构交叉关联起来,快速找到对应的政府承包商。
此外,Wiz团队表示在将收集到的数据绘制在地图上之后,还可以用于识别违反美国外国资产控制办公室(OFAC)规定,在伊朗及科特迪瓦等受制裁国家开展业务的企业。

 亚马逊与谷歌迅速发布更新
Wiz团队提到,他们发现有三家DNS即服务供应商容易受到这个问题的影响。其中的亚马逊与谷歌快速行动,已经发布了相应更新,第三家服务商也正在着手修复。
在本周的邮件采访中,亚马逊与谷歌发言人回应称,已经修复了Wiz发现的攻击薄弱点,现在企业客户已无法在后端上注册服务商自己的域名。
我们还询问两家企业是否进行过回溯调查,明确客户之前是否曾借此收集其他企业的数据。亚马逊发言人没有做出回应,但谷歌表示并未发现“平台上有任何恶意滥用的证据”
此外,Wiz团队还怀疑另有十余家DNS即服务供应商也有可能受到类似攻击的影响。
但他们也提到,这里的问题绝不仅仅是服务商忘记在后端注册系统中将自己的DNS服务器列入黑名单那么简单。
首先,为什么动态DNS更新会首先到达互联网?为什么这部分更新信息没有被限定在本地网络之内?
研究人员们也提出了自己的假设,即微软Windows服务器中的一个默认选项,允许此类DNS流量通过本地网络传输至互联网,这可能才是造成问题的元凶。
在就此事向微软方面求证时,微软发言人建议企业客户按照以下指南操作,防止动态DNS更新接触公共互联网:

关于启用安全Windows Server DNS更新的指南
https://docs.microsoft.com/en-us/troubleshoot/windows-server/networking/configure-dns-dynamic-updates-windows-server-2003

其他网络安全最佳实践信息
https://social.technet.microsoft.com/wiki/contents/articles/34981.active-directory-best-practices-for-internal-domain-and-network-names.aspx#Using_a_single_namespace_for_internal_an



]]>
思科爆出严重漏洞!黑客可远程执行任意代码 Thu, 23 Sep 2021 05:43:33 +0800
近日,网络设备巨头思科已经推出补丁来解决影响其小型企业 VPN 路由器的关键漏洞,远程攻击者可能会滥用这些漏洞来执行任意代码,甚至导致
拒绝服务 (DoS) 条件。
 

跟踪为 CVE-2021-1609(CVSS 评分:9.8)和 CVE-2021-1610(CVSS 评分:7.2)的问题存在于小型企业 RV340、RV340W、RV345 和 RV345P Dual运行版本 1.0.03.22 之前的固件版本的 WAN 千兆 VPN 路由器。这两个问题都源于缺乏对 HTTP 请求的正确验证,从而允许不法分子向易受攻击的设备发送特制的 HTTP 请求。


成功利用 CVE-2021-1609 可能允许未经身份验证的远程攻击者在设备上执行任意代码或导致设备重新加载,从而导致 DoS 条件。CVE-2021年至1610年,关注一个命令注入漏洞,如果利用,可允许经认证的对手到受影响的设备上远程执行与根特权任意命令,该公司指出在其咨询。


思科还解决了一个影响小型企业 RV160、RV160W、RV260、RV260P 和 RV260W VPN 路由器的高严重性远程代码执行错误(CVE-2021-1602,CVSS 评分:8.2),未经身份验证的远程攻击者可以利用该漏洞在受影响设备的底层操作系统上执行任意命令。运行早于 1.0.01.04 的固件版本的小型企业 RV 系列路由器容易受到影响。


“此漏洞是由于用户输入验证不足造成的。攻击者可以通过向基于 Web 的管理界面发送精心设计的请求来利用此漏洞,”思科表示。“成功的利用可能允许攻击者使用 root 级权限在受影响的设备上执行任意命令。由于漏洞的性质,只能执行没有参数的命令。”


该公司指出,没有证据表明存在针对任何这些缺陷的积极利用尝试,也没有任何解决漏洞的变通方法。


CVE-2021-1602 标志着思科第二次修复了与同一组 VPN 设备相关的关键远程代码执行缺陷。今年 2 月初,该公司修补了 35 个漏洞,这些漏洞可能允许未经身份验证的远程攻击者以 root 用户身份在受影响的设备上执行任意代码。


]]>
大学生因缺钱1000元贩卖自己身份信息 成网上逃犯 Thu, 23 Sep 2021 05:43:33 +0800        贩卖别人身份信息的人不少,贩卖自己身份信息的人你听过吗?安徽就有一名98年出生的大学生,因为缺钱,竟将自己的身份信息贩卖给诈骗分子,结果自己成了网上逃犯(视频)。近日,安徽芜湖警方发现,一名被湖北警方通缉的网上逃犯陈某在芜湖南陵县有活动轨迹。

进一步调查发现,陈某是名在校大学生,之前因为缺钱,就把自己的身份信息以几百元到1千元不等的价格卖给了别人。

据其交代,他把自己的身份证、银行卡,包括身份证的正反面都拍给了那个让他刷单的那个人,“因为缺钱,当时别人说用我的身份信息去刷单,我也不知道他干嘛的,先给了一千又给了几百。”

没想到,这些身份信息为诈骗分子实施犯罪提供了便利,陈某也成了网上逃犯。目前,该案已移交湖北警方作进一步处理。

警方提醒,要保护好自己的个人信息,任何贩卖公民个人信息的行为都属于违法犯罪。



]]>
以隐私的名义,一场数据的战争打响了 Thu, 23 Sep 2021 05:43:33 +0800        在旧金山的“新硅谷”SOMA 区,通往海湾大桥的高速公路旁,伫立着一块鸭子广告牌,上面写着:“谷歌在追踪你。我们不会。”说这话的鸭子来自 DuckDuckGo,一家主打隐私保护的搜索引擎公司。在美国,DuckDuckGo 有 2245 块广告牌,在欧洲是 2261 块。这对于一家科技公司来说并不寻常。

通常,科技公司更倾向于在线上投放广告。根据用户数据生成的定向广告可以让公司更高效地找到他们的目标用户。DuckDuckGo 选择了广告牌这种老派的方式——这是为了以行动树立这家企业的价值观:不追踪用户。

去年,DuckDuckGo 的应用下载量超过了 5000 万次,比之前所有年份的总和还多,年收入也相应突破了 1 亿美元(约合 6.5 亿元人民币)。要知道,这家成立于 2008 年的公司,在上一轮融资过后,估值也就 7480 万美元(约合 4.86 亿元人民币)。看起来,它主打隐私的价值观奏效了。

最近,DuckDuckGo 凭借 2.42% 的市占率,超越必应、雅虎成为了美国第二的移动搜素引擎。而第一名的谷歌,是 94.36%,DuckDuckGo 的 39 倍。

这是一个大卫挑战哥利亚的故事,但在这个故事中,“大卫”挥舞的不是石子,而是“隐私”这杆大旗。

种种数据表明:在巨头格局确立,新秀创业公司本没有多少增长空间的当下,以隐私为名的新一代数据之争已经拉开序幕。

苹果掀起的数据战争

2020 年 6 月,苹果的隐私工程经理凯蒂·史金纳(Katie Skinner)在 WWDC(世界开发者大会)上用 20 秒介绍了 iOS 14 的一个“小小更新”:App 在搜集用户数据之前,必须征求用户同意。一旦用户不同意,就会关闭 IDFA 码(Identifier For Advertisers),苹果的广告主标识符。

这个搜集用户数据的 IDFA 开关,在去年 6 月之前还是默认开启的。但在 iOS 14 上,这成为了一个显性的可选项。当用户第一次打开 App 时,iOS 会弹窗询问:“是否同意 App 对你进行跨网站、App 的追踪?”显然,多数用户并不会同意,这就直接切断了定向广告的数据来源。

这是苹果应用追踪透明度(App Tracking Transparency,ATT)的一部分。2021 年 5 月,一项针对美国 300 名 iPhone 用户的调查指出,73% 的受访者对这项隐私政策都表示赞同。苹果的 CEO 蒂姆·库克(Tim Cook)也在 2021 年第三季度的财报电话会议上回应,在 ATT 推出之后,苹果受到了相当积极的回馈。

但对于所有以线上广告为商业模式的公司来说,这可能是一场性命攸关的大震荡。反应最激烈的是 Facebook。2020 年 12 月,它买了下了《纽约时报》的一整个版面,公开反对苹果。

在 Facebook 的口径中,苹果的做法严重限制了中小企业的生存。大企业有足够的财力进行大规模广告投放,但中小企业如果没有精准投放技术,就很难找到潜在的用户群,广告投放的效率会大大降低。根据 Facebook 说法,这会平均降低中小企业 60% 的收入。

虽然 Facebook 的言论看起来是纯粹利他的,但和大众印象不同,表面上是一家科技公司的 Facebook 其实是一家广告公司。2020 年四季度财报显示,Facebook 的 280.7 亿美元(约合 1825.84 亿元人民币)的收入中,96.8% 都来自广告。Facebook 曾在 iOS 14 测试版上小规模测试过,结果广告收入出现了 50% 的下跌。

在财报公布后的电话会议上,Facebook 的 CEO 扎克伯格更是直白地说道:“苹果嘴上说他们在帮助用户,但实际上这件事显然是利益驱使。”

Facebook 和苹果的本质矛盾在于这两家公司商业模式的不同。广告是 Facebook 的核心业务,广告商是它的主要客户。但苹果是一家电子消费品公司,面向的是 C 端用户,包括 iPhone、iPad、Mac 和其他可穿戴式设备的硬件销售才是它的主要收入。

实际上,让业界如此在意的 IDFA 就是苹果隐私政策的产物。在 IDFA 问世之前,App 可以直接读取到手机的唯一识别码,无论是 MAC 地址、UDID 还是 UUID。IDFA 的不同之处在于用户可以重置或者关闭这个识别码。虽然 IDFA 的关闭入口隐藏得很深,但苹果给了用户一个选择:是否要让 App 给你推送定向广告。需要注意的是,关闭 IDFA 并不会减少广告数量,只是定向广告的精度会下降。

但扎克伯格的“攻击”不是没有来由,苹果并非隐私保护的“天使”。在打击竞争对手广告业务的同时,苹果也在扩大自身的广告版图。

苹果的广告业务主要有两种,App Store 的搜索广告和新闻、股市应用的展示广告。目前,苹果的搜索广告业务(Apple Search Ads)已经在中国上线。这项在 2016 年就推出的业务允许开发者以竞价的方式投放广告。

而根据 FT 中文网的报道,苹果正在计划为 App Store 增加第二个广告位。

以抖音为例,在App Store搜索“抖音”后,排名第一的是“快手”的广告

事实上,苹果一直在试图进入广告业务。早在 2010 年,苹果就推出了移动广告平台 iAd。在乔布斯看来,当时的移动广告“实在太烂了”。他不想把 iAd 做成低俗的广告平台,而是希望这个平台上可以呈现优雅的、不会让用户反感的广告。也因此,iAd 设立了 50 万美元的高门槛,这让很多中小公司望而却步。最终 iAd 于 2016 年 6 月关闭。

三年前,苹果也自己设计了一套广告追踪框架——SKAdNetwork。它和 IDFA 一样可以追踪广告投放的效果,但出于种种数据保护方面的限制,也很难称得上好用。但是在眼下“严苛”的苹果新政面前,SKAdNetwork 可能是广告主们最好的选择了。

虽然目前广告业务只占苹果营收中非常小的一部分,但是对于既当“裁判”又做“守门员”的苹果来说,它用一套新的隐私规则,完成了“清场”。

根据投资管理公司 Alliance Bernstein 的分析师托尼·萨克纳吉(Toni Sacconaghi)估计,苹果公司在 2021 财年的广告收入将从 2017 财年的 3 亿美元增加到 30 亿美元左右。到 2023 或 2024 财年,苹果广告的年销售额可能会增至 70 亿至 100 亿美元之间,这将推动苹果服务业务的增长高达 3 个百分点。

自 2011 年 iPhone4 问世以来已经过去了 10 年,苹果领先业界的硬件优势逐渐被各大安卓手机厂商追平,甚至超越。当用户需要一个“为什么非得是苹果而不是安卓”的理由时,隐私保护可能就是非常重要的一环。

在乔布斯选择封闭系统开始,就为 iOS 种下了隐私保护的基因。苹果的隐私政策并非横空出世,而是在逐步收紧。IDFA 的风波切中了一个我们当下这个时代必须回应的问题:技术在侵犯用户隐私吗?

个人数据,21 世纪的石油?

2006 年的时候,英国数学家克莱夫·汉比(Clive Humby)首次把“数据”比喻成了“新的石油”。此后,这种说法就在经济学家、学者和 CEO 的口中频频出现。

石油的珍贵在于它是不可再生的能源,但数据是可以无限产生和重复利用的,今天的互联网上每天都在产生海量的数据。

这个比喻成立的逻辑在于,整个 20 世纪,标准石油、荷兰皇家壳牌、英国石油公司,这些控制着石油的公司也控制着经济的命脉。放在今天,是谷歌、Facebook 这些科技巨头。

本世纪初,手握海量数据的科技巨头们发展出了一门新生意——线上定向广告。到 2019 年,全球网络广告的市场规模已经突破 3000 亿美元(约合 1.95 万亿元人民币)。

在广告业一直流传着这么一句话:“我知道在广告上的投资有一半是无用的,但问题是我不知道是哪一半。”说这话的是百货业之父约翰·沃纳梅克 (John Wanamaker),那是 100 多年前,传统广告的黄金时代。

情况在互联网时代发生了变化,科技的进步让广告成为了一件很高效的事情。某种程度上,沃纳梅克的迷思已经不再成立,各大科技公司可以很方便地追踪用户行为、记录广告投放所获得的下载或购买转化次数,而广告主以此决定向各流量平台支付多少广告费用。

你或许有过这样的经历,在网页搜索咖啡之后,就会在电商平台发现咖啡相关的推荐商品,手机 App 似乎在时刻监视你的网络生活。很多人甚至怀疑 App 在窃听用户,这在理论上可行,但实际上并不成立。

实时监听对话有很高的带宽成本,巨大的流量很容易被用户察觉,也会给公司带来很高的存储和人员压力,是一笔不划算的买卖。并且,仅就定向推荐而言,已经有很成熟的技术支持,亚马逊在二十年前就使用的邻近算法推荐在今天依旧在广泛运用。

最为关键的是,窃听用户本身就是违法的,越是大公司,对数据合规就越谨慎。

而科技公司之所以能做到这种近乎监控式的广告推送,都建立在对用户的信息采集上。科技公司通常会搜集三类用户数据——行为数据:比如网页浏览历史、停留时长、使用了哪些在线服务;消费记录:比如你购买了哪些商品、退换货记录;个人信息:用户的年龄、学历、性别、所在地区等。

这些信息在后台就是一个个事实标签。通过算法,这些标签就形成了所谓的用户画像。在大公司内部,这些数据是流通的。这也就是为什么你在谷歌搜索的商品会出现在 Youtube 的前插广告中,早在 2006 年,谷歌就以 16.5 亿美元(约合 107.25 亿元人民币)的价格收购了 Youtube。

除此之外,这些大公司也会为中小 App、网站提供相似的用户分析服务,并通过平台联系广告主投放广告,形成广告联盟。

这种做法最早由亚马逊发明,时至今日,大型的科技公司几乎都创建了类似的广告联盟,Facebook 的 Audience Network,谷歌的 Adsence,阿里巴巴的友盟,腾讯的广点通和字节跳动的穿山甲。

在这些公司对外的口径中,所有的数据都是经过脱敏处理的,所输出的是一个群体画像,无法从中反推出个人信息。但这些信息是如何采集的,又是如何在公司的内部和外部流通的,对于普通用户来说依旧是一个无法打破的黑箱。而目前也并没有一家科技公司明确地地向用户披露这个过程。

当科技公司频频爆出数据泄漏丑闻时,这种“不透明”就成为了用户恐惧的源头。2018 年,英国咨询公司剑桥分析(Cambridge Analytica)就被爆出在未经 Facebook 用户同意的情况下,利用 5000 万用户数据为美国前总统唐纳德·特朗普(Donald Trump)的竞选活动提供帮助。

事后,有人在 Twitter 上发起了 #DeleteFacebook 的运动,好莱坞导演罗素兄弟甚至以此为题材拍摄了一部电影。

“为什么我的数据,成为了你牟利的工具?”这可能是绝大多数 Facebook 用户的心声。尤其当数据交易已经成为一门事实上的生意时,数据的归属权,就成为了一个绕不开的问题。

尚无定论的“数据确权”问题

等价交换是通行千年的交易准则,买卖双方一手交钱,一手交货,完成价值交换。

而对于定向广告而言,交易的双方发生在公司和广告主之间,用户并不从中获利。很多用户对于信息采集的反感都来自于此:我好像失去了什么东西,但并没有得到相应的回报,而那些科技公司却轻松赚取了上亿的利润。

关于数据的归属权,主流的评论大致有两种观点。

有一方观点认为数据的归属权应该归平台所有,因为用户享受了科技公司提供的免费服务。经济学家薛兆丰曾经引用过著名的“科斯定律”。

一项有价值的资源,不管从一开始他的产权归谁,最后这项资源都会流动到最善于利用他、能最大化利用其价值的人受理区。这是科斯定律的一个重要含义。而在制度设计中,我们应该尽量让这种资源的流动和分配更方便、容易,从而提高各项经济资源的使用效率。

简单来说,薛兆丰的结论是,(资源)谁用得好,就应该归谁。从经济学的角度来说,这是效率最高的方式。

市场研究公司爱德曼·博岚(Edelman Berland)曾对全球 15 个国家的 1.5 万名用户展开调查:“你愿意以牺牲一些隐私为代价,换取更多便利与舒适吗?”有 51% 的受访者表示不愿意,27% 表示愿意,剩下的受访者没有意见或不知道如何回答。

这揭示了一个关于隐私的悖论:公众越来越意识到在线共享数据的风险,但是,为了某种便利,人们依旧在披露自己的数据。

因为用户往往是最没有话语权的,也很难对数据使用产生有效的监督。当科技公司的产品已经成为了某种意义上的基础设施时,用户没有别的选择。举个例子,即使你不同意微信的隐私条款,也很难不使用微信,因为你所有的社交关系几乎都在微信上。

另一方观点认为数据理所当然应该归用户所有。2018 年 5 月 25 日生效的《欧盟通用保护数据条列》(General Data Protection Regulations,GDPR)号称“史上最严格的隐私保护法”。在这部条列中,人类首次在法律层面上明确了用户数据的所有权属于用户,而平台只能管理及合理使用这些数据。

但是在我国,数据的归属权问题还没有明确的结论。我国 2021 年实施的《民法典》明确了“个人信息”的定义和处理原则,必须征得个人同意才能处理个人信息,但没有明确个人信息的归属权。而 2017 年生效的《网络安全法》,包括正在审议的《数据安全法》和《个人信息保护法》,也都未明确个人信息的归属权。法律的缺位,造成了个人数据确权的模糊。

技术带来的问题,最终要靠技术来解决

20 世纪 30 年代,由于摄影技术的进步,新闻业开始在报纸中大量使用照片。但这些照片往往未经个人同意。

1980 年,律师萨缪尔·沃伦(Samuel D. Warren)和路易斯·布兰戴斯(Louis Brandeis)就这个问题在《哈佛法学评论》发表文章《隐私权》,这是法学界首次提出了隐私权的概念。


沃伦和布兰戴斯发表在《哈佛法学评论》上的文章:《隐私权》|图片来源:布兰戴斯大学

技术的扩张侵犯了个人的边界,从一开始,技术就与隐私相伴而生。

在眼下数据流通越来越严格,而数据红利将尽的情况下,包括谷歌、英特尔、微众银行在内的许多公司都在开发一种叫做联邦学习或者共享学习的技术。

由于数据合规或者商业竞争的关系,许多数据在行业甚至公司内部都无法流通,这就是公司们头疼的“数据孤岛”问题。

联邦学习是隐私计算的一种。在手机上训练模型后,它只将模型加密上传,而把用户的数据留在了本地。

微众银行的首席 AI 官杨强曾经把这个模型比作是“羊”,而数据就是“草料”。

过去训练模型的做法是从各个草场运草过来喂羊。但是在运送过程中,草有丢失的风险,这就是数据泄漏。

联邦学习的做法是,让这头“羊”走起来,到各个草场自己吃草。这样,草就永远只留在本地,也就没有了丢失的风险。

其实把模型训练比作“耕牛”可能更好理解,这些耕牛原来是吃八方来的数据草料,变得强壮后再成为企业服务客户的“生产力”。而现在是把“耕牛”送到用户的田地里,吃用户数据草料,也直接更好地服务用户。加上“数据模型的集体升级能力”,这让你家的牛也和其他的牛可以一起成长,更好地服务你。

显然,通过技术模式的进步,才可以根本上避免数据泄露和恶意使用。对于日趋白热化的数据争夺而言,有了这种根本性的改变,才可以让公司间的数据共享成为可能。而在技术上建立一套数据保护的制度,也才能赢得用户的信任。

说到底,没有任何的公司,可以依靠价值观来成为个人数据问题的救世主。这些由技术带来的问题,最终还是需要由技术来解决它。


]]>
vpnMentor报告显示6300万美国用户的信息遭泄露 Thu, 23 Sep 2021 05:43:33 +0800        据外媒报道,VPNMentor近日发现了一起重大数据泄露事件,估计有6300万美国公民的信息被泄露。这个数据库属于OneMoreLead,它被指控将用户信息(工作地点、电子邮件地址和姓名)储存在一个没有保护的数据库中。

据报道,好消息是,网络犯罪分子没有发现这个数据库,因为如果他们发现了,这将是一个网络犯罪活动的“金矿”,包括但不限于身份信息盗窃、金融欺诈,甚至针对美国机构和企业的大规模网络钓鱼行动。

vpnMentor在4月16日注意到这起数据泄漏事件,并在四天后通知OneMoreLead。由于他们未能保证这个数据库的安全,至少有6300万人可能被诈骗,他们的身份信息被盗,甚至更糟。

据vpnMentor的研究团队称:“在这个案例中,vpnMentor的网络安全团队在一个常规研究项目中发现了这个数据库。我们很快确定OneMoreLead是该数据库的所有者。然而,数据的来源,或者它是如何落入OneMoreLeads手中的,仍然是未知数。”

该信息的来源尚不清楚

这些信息的来源尚不清楚。不过研究人员指出,如果要收集1.26亿美国公民的数据,OneMoreLead公司必须在该公司启动之前很久开始收集数据。无论他们是如何掌握这些数据的,该公司都要对因未能保护这些记录而造成的任何损失负责。


由于这次数据泄露的严重性、范围和奇怪的情况,OneMoreLead有可能不得不解决对其能力和声誉的担忧。潜在客户可能不愿意与新公司合作,因为他们处理数据的方式,以及在公司网站还未运行时就将数百万人暴露在欺诈行为和网络攻击中。

此外,该公司可能因此而受到法律诉讼。受数据泄露影响的大多数人都是加利福尼亚的居民,这意味着他们受到该州数据隐私法—《加利福尼亚州消费者隐私法案(CCPA)》的保护。


]]>
刷QQ空间警惕贷款广告 转卖个人信息谁来管? Thu, 23 Sep 2021 05:43:33 +0800 “最高可借20万”“最快放款1小时”“没钱来这里,不下App不刷脸,灵活分期不催还”……

作为互联网上的超级流量端口,QQ空间的“广告位”价值不言而喻,但这块流量宝地,近日被各类助贷平台盯上了。

8月3日,北京商报记者注意到,近日,QQ空间密集推送各类贷款广告,基本每刷10条QQ动态,就会出现1条贷款信息。

其宣称“最快放款1小时”“最长可分96期”“年化利率最低6%”,点开链接后,页面显示贷款资金来源于小贷公司,综合年化利率为7%-24%(单利),甚至有广告宣称可低至6%(单利)