内容转载

= ̄ω ̄= 内容转载

哈萨克斯坦周三开始实施互联网加密流量过滤政策

本周三(7 月 17 日)开始,哈萨克斯坦开始过滤境内基于超文本传输安全协议的互联网流量。接到政府指示的互联网服务提供商(ISP),亦开始强制用户在所有设备和每款浏览器中安装政府颁发的证书。一旦安装,有关部门将能够解密用户的加密流量,过滤其中的内容,然后通过证书再次加密,并将其发送到目的地。 (截图 via ZDNet) 昨日起,尝试通过台式机或移动设备访问互联网的哈萨克斯坦用户已被重定向到一个网站,上面详细介绍了如何在浏览器中安装政府颁发的根证书。 哈萨克斯坦数字发展、创新和航空航天部在其官网发布声明称,目前这项政策仅覆盖该国首都努尔苏丹的互联网用户。 该部官员称,这项措施旨在加强对公民、政府机构和私营企业的保护,使其免受黑客攻击、互联网欺诈和其它类型的网络威胁。 然而来自全国各地的用户报告称,在安装政府提供的证书之前,他们根本无法访问互联网。此外,某些用户甚至接收到了必须在智能机上安装证书的消息。 其实早在 2015 年 12 月,哈萨克斯坦政府就首次尝试让人们安装根证书,当时定下的截止期限为 2016 年 1 月 1 日之前。 但是这项政策一直未能付诸实施,因其遭到了包括 ISP、银行、外国政府等在内的多家组织的起诉,担心此举或削弱该国和邻近地区所有互联网流量的安全性。 此外,哈萨克斯坦政府还在 2015 年 12 月的同一时间,向 Mozilla 申请将其根证书包含在 Firefox 中,但遭到了这家浏览器开发商的拒绝。 目前,谷歌、微软、Mozilla 等浏览器开发商,正在商讨如何重新应对哈萨克斯坦政府的网站加密行动计划。截止发稿时,上述企业仍未作出任何决定。   (稿源:cnBeta,封面源自网络。)

商务电子邮件泄密事件频发 平均每月损失 3 亿美元

商务电子邮件泄密(BEC)频率正逐年增加,并且企图窃取的价值也在不断攀升,每月平均造成的损失就超过3亿美元。该数据是从自2016年以来每月的可疑活动报告(SAR)中分析获得的,从最初的500起在2018年增加到了1100起。 金融犯罪执法网络(FinCEN)对过去两年发生的BEC事件进行了统计,确认了最常见的目标类型、窃取资金的目标预期以及诈骗者所使用的技术。根据FBI互联网犯罪投诉中心(IC3)提供的《Internet Crime Report》报告,显示BEC诈骗已经成为网络犯罪的主要攻击方式。 诈骗者的主要手法是通过伪装成为公司的客户或者高级管理人员来骗取资金,以欺骗组织中的关键人员将资金连接到攻击者控制的银行账户,导致这些公司损失了12亿美元。 FinCEN剖析了以往的BEC诈骗案,发现在2016年诈骗者平均每月盗取1.1亿美元,但在2018年增加到了3.01亿美元。根据这些数据,仅去年一年,网络犯罪分子就一直在抢劫超过36亿美元的公司。 FinCEN表示:“2016年,金融机构提交了近6,000个与BEC相关的SAR,平均每月交易额达1.1亿美元。2017年,与BEC相关的SAR数量增加到11,000多个,平均每月为2.41亿美元。2018年,与BEC相关的SAR数量上升至近14,000件,平均每月可疑交易额为3.01亿美元。” 根据FinCEN的分析报告,诈骗者最喜欢的BEC攻击目标是制造业或建筑业的公司,占总受害者的25%。不过景观美化,零售,餐馆和住宿等专业服务的商业实体也成为诈骗者喜欢攻击目标,占比达到18%。而金融机构从16%下降到9%,房地产公司则快速攀升,占比达到了16%。 FinCEN指出,大多数来自BEC欺诈案件的最终攻击受益者都是在美国境内。在73%的案例中在美国,只有27%的交易有外国目的地。不过这并不表明大部分威胁都是从美国发起的,表明这些骗取的钱财可能会通过美国进行中转,然后再发送到全球各地。 骗子有不同的策略来实现他们的目标。 2017年,他们曾经冒充公司的首席执行官,这些公司的首席执行官有足够的权力指导负责付款的个人将资金汇入特定账户。 这种方法在2018年从33%下降到12%,表明欺诈者正在调整并寻找新方法来发挥他们的技巧。去年,他们似乎更喜欢冒充客户和供应商,并使用假发票试图获得报酬。他们还根据所解决的行业部门调整总和。 FinCEN表示“模仿供应商或客户发票的BEC平均交易金额为125,439美元,而假冒首席执行官的平均交易金额为50,373美元。” 报告中的一个例子是立陶宛男子使用假发票欺骗从跨国公司骗取了将近1亿的费用;这笔钱随后转到了他控制的海外账户。   (稿源:cnBeta,封面源自网络。)

谷歌上调 Chrome 漏洞赏金额度 最高达 30000 美元

据外媒CNET,自2010年以来,谷歌已向一些报告Chrome浏览器安全漏洞的安全研究人员支付赏金。而现在谷歌宣布将提高赏金额度。据Chrome安全博客文章称,这将包括将最高基础赏金额度从5000美元增加到15000美元,并将“高质量报告”的最高赏金金额从15000美元增加到30000美元。 对于Chrome操作系统,谷歌基于浏览器的Chromebook软件基础,谷歌也将其常规赏金额度提高至15万美元,以揭露可能在更受限制的访客模式下危害Chromebook或Chromebox的攻击。谷歌周四表示,固件中发现的安全漏洞或让攻击者绕过Chrome OS锁定屏幕的安全漏洞也会产生奖励  。 最重要的是,谷歌正在增加对模糊测试的奖励,这是一种寻找漏洞的方法,它会在产品中投放随机数据,以便找到问题输入。谷歌在博客文章中称,“ 在 Chrome Fuzzer Program下提交Fuzzer的研究人员的额外奖励也增加到1000美元。” 谷歌表示,自2010年Chrome漏洞奖励计划创建以来,人们已经报告了超过8500个漏洞,谷歌已经为此支付了超过500万美元。 Google对其有资格作为“高质量报告”的具体规则进行了详细说明。 谷歌也为发现Google Play漏洞提供更高的赏金。该公司称,远程代码执行漏洞的赏金从5000美元增加到20000美元,将有关不安全私人数据窃取漏洞的赏金从1000美元上调至3000美元,以及将受保护应用程序组件相关漏洞的赏金从1000美元增加到3000美元。据谷歌称,如果你“负责任地”向参与的应用程序开发者披露漏洞,你将获得奖金。   (稿源:cnBeta,封面源自网络。)

FaceApp 可能面临 FBI 和 FTC 对其安全问题的调查

病毒式迅速传播的FaceApp正面临来自美国参议院少数党领袖Chuck Schumer的进一步审查。参议员要求联邦调查局和联邦贸易委员会对俄罗斯开发的AI照片编辑应用程序进行国家安全和隐私调查。 在给FBI主任Christopher Wray和FTC主席Joe Simons的公开信中,Chuck Schumer说他严重关切正在汇总数据的保护以及用户是否知道谁可以访问这些数据。Chuck Schumer要求联邦调查局评估上传到FaceApp的任何数据是否能够落入俄罗斯政府手中。他还要求联邦贸易委员会检查它是否有足够的保障措施来保护用户的隐私。 FaceApp目前在美国大受欢迎,已经有数百万美国用户。该应用程序可让您拍摄自拍照,或选择已有的照片,并应用AI年龄过滤器,让您看起来更老或者更年轻。该应用程序周三发表声明,回应了有关如何处理用户照片的隐私问题。该应用程序否认对用户数据的任何错误处理。   (稿源:cnBeta,封面源自网络。)

五角大楼希望加强网络安全队伍 为 2020 美国总统大选护航

周二的时候,国防部长提名人 Mark Esper 向参与元军事委员会表示,尽管仍有许多工作要完成,但其对于 2020 总统大选期间的网络安全充满信心:“我们坚信 2020 年的总统大选不会再受到影响,但鉴于总会有人来干扰,我们仍有许多工作要继续”。上个月的时候,一名高级情报官员在某次简报中向记者透露,2020 总统大选仍是该国网络安全的首要维护目标。 (图自:US DOD,via CyberScoop) 在讨论选举安全问题时,自 2017 年以来一直担任美国陆军部长的 Esper,特别强调了网络司令部的能力。其声称,2018 中期选举期间,该部门已经做得比以往更加出色。 此外,网络司令部已经做好了应对 2020 大选的准备。在今年春季的一次简报中,军方官员罕见地向记者透露了其正在保持密切的关注。 《华盛顿邮报》指出,2018 大选期间的另一场行动,中断了俄方对民主党全国委员会的互联网接入,但 Esper 未指明具体采取了哪些行动。 不过网络司令部和国家安全局证实,挫败俄方对美威胁的特遣部队,已于数月后获得正式提名。五年前,五角大楼获得了白宫和国会的更多授权,要求在其网络之外防御和阻断敌手。 在国会的年度国防授权法案中,议员们也对其中的措施展开了辩论,其中包括允许网络司令部和 NSA 采取新的动作。至于两个部门是否需要分工合作,Esper 尚未发表意见。 至于未来,Esper 希望美军网络司令部可以创建一支专业的军官队伍,在战术和作战层面上真正发挥相关工具的出色实力。但在防守方面,其认为政府和私企仍有些薄弱。 于是 Esper 在回应委员会的书面答复中称,政府应该向五角大楼分配更多资源,且目标是加强网络安全人员的招募。   (稿源:cnBeta,封面源自网络。)

F-Secure 开发平台让用户轻松找到各大科技公司收集的数据

据外媒报道,在现在这个时代当希望在网上得到的东西是免费的同时人们也必须要付出一定的代价,那就是自己的隐私。社交媒体显然就是个人数据收集者,但看起来它做的还远不止此。而这正是F-Secure希望能传达给网友的。 据悉,其最新开发的Data Discovery Portal就是为了向用户展示其在使用一些最受欢迎的免费网络服务的真实成本,其中涵盖了亚马逊、苹果、Facebook、谷歌、Snapchat和Twitter。 为了让用户们关注个人隐私这件事变得更加容易,于是F-Secure开发了Data Discovery Portal。虽然所有大型科技公司都让用户知道他们收集了哪些数据,但看起来他们对此的宣布做得并不好,很多时候人们并不知道应该去哪里找这些东西。数据发现门户就解决了这个难题。 F-Secure表示,它提供这一工具是公司日益关注身份保护的一部分工作。身份保护可以在数据泄露之前、期间和之后保护到消费者。   (稿源:cnBeta,封面源自网络。)

研究人员报告称在 Play 商店发现 7 个跟踪软件后 谷歌下架了这些应用

据外媒CNET报道,你可能认为找到一个可以秘密跟踪一个人一举一动的应用程序是很困难的。但研究人员已经在Google Play商店中发现它们。安全软件公司Avast周三表示,其在Android市场上发现了7个跟踪软件(stalkerware)。这些应用的安装次数已经超过13万次。在Avast周二报告隐私侵权行为后,谷歌下架了其中的四个应用程序,并在周三下架了剩下的三个。 谷歌表示,其政策禁止商业间谍软件应用程序,并鼓励人们报告任何违反其标准的应用程序。 跟踪软件应用程序通常构成为儿童安全或查找被盗手机而设计的软件,但它们主要用于在个人关系中跟踪人们的滥用者。他们能够跟踪和发送位置数据,以及提供联系人、通话记录和短信。 在“Spy Tracker”这个应用程序中,其可以将自己作为一种保护孩子安全的方式,但大多数评论都围绕着监视他们的重要人物。攻击者需要物理访问受害者的设备来安装这些应用程序,但是当他们秘密跟踪一个人的一举一动时,他们可以保持相对隐藏。 一旦安装在设备上,攻击者就可以获得实时位置数据并在受害者不知道的情况下调用日志。 “这些应用程序非常不道德且对人们的隐私造成影响,不应该存在于Google Play商店中,因为它们会促进犯罪行为,并且可能被雇主,追踪者或虐待伙伴滥用以监视他们的受害者,”Avast移动威胁情报和安全负责人Nikolaos Chrysaidos在一份声明中说道。“其中一些应用程序是作为家长控制应用程序提供的,但它们的描述描绘了不同的用途,告诉用户应用程序允许他们“关注骗子”。 在Chrysaidos发现的所有七个应用程序中,它们促使攻击者安装其他软件,然后删除初始下载。这允许这些跟踪软件在没有应用程序图标的情况下监视受害者,因此人们不会知道他们被跟踪。 今年4月,网络安全公司卡巴斯基宣布,其开始将跟踪软件标记为恶意程序 。仅在2018年,卡巴斯基实验室在58487台移动设备上检测到了跟踪软件。。其他反病毒公司,如赛门铁克,Malwarebytes和Lookout等,也指出他们正在加大阻止跟踪软件的力度。 这些跟踪软件的开发人员没有立即回复评论请求。   (稿源:cnBeta,封面源自网络。)

美民主党呼吁对来自俄罗斯的 FaceApp 应用展开安全调查

据外媒报道,照片编辑应用FaceApp作为一款全新的年龄滤镜应用再次在社交媒体上大受欢迎,然而美国民主党的人却不认为这是件令人高兴的事情。据称,出于该应用由俄罗斯开发人员开发,民主党全国委员会(DNC)向2020年民主党总统竞选团队发出慎用的警告。 另外,参议院少数党领袖Chuck Schumer也已经正式要求FBI和FTC对该应用展开国家安全调查。 “这款应用能让用户对照片里的人进行不同(年龄层面)的转化,比如让照片中的人变老。然而不幸的是,这种新奇并非没有风险:FaceApp由俄罗斯人开发,”DNC首席安全官Bob Lord发出警告。 Schumer则在信中写道:“如果将美国公民的敏感个人信息提供给一个积极参与针对美国的网络敌对行动的敌对外国势力,那将是非常令人不安的。” 据了解,FaceApp确实会把照片上传到服务器上以应用效果,但这家公司只上传正在修改的特定照片。FaceApp CEO Yaroslav Goncharov在2017年也曾告诉媒体,虽然公司有时会为了表现而短期存储图片,但大多数图片很快就会删除。另外,这家公司还曾表示:“大多数图片会在上传后48小时内从我们的服务器上删除。” 此外,针对近期对隐私的担忧,FaceApp指出,他们不会出售或跟任何第三方共享任何用户的数据,“即使核心研发团队位于俄罗斯,用户数据也不会转移到俄罗斯。” 不过鉴于2016年的教训,美国民主党还是打算更加小心谨慎为好。    (稿源:cnBeta,封面源自网络。)

蓝牙漏洞导致 Windows/iOS/macOS 系统易被追踪 Android 设备不受影响

本周三,瑞典斯德哥尔摩举办了第 19 届隐私增强技术研讨会。来自波士顿大学的两名研究人员,讨论了他们的最新研究成果。其声称,蓝牙通信协议中的一个缺陷,或导致使用现代设备的用户泄露身份凭证,导致其易被识别和追踪。别有用心者可借此实现对用户的监视,配备蓝牙模块的 Windows 10、iOS 和 macOS 设备均受到影响。 (截图 via ZDNet) 该漏洞影响包括 iPhone / iPad / Apple Watch / MacBook,以及微软平板与笔记本电脑在内的诸多设备。值得庆幸的是,Android 设备并未受到影响。 在这篇题为《追踪匿名蓝牙设备》的研究论文(PDF)中,其宣称许多蓝牙设备都存在着 MAC 地址。 即便有随机 MAC 地址的选项,但他们发现了可以绕过这一层的方法,以实现对特定设备的永久性监控。 识别令牌通常与 MAC 地址搭配使用,而 David Starobinski 和 Johannes Becker 开发的“地址携带”新算法,能够利用有效载荷的异步特性和地址变化,来实现超越设备地址随机化的追踪方案。 其写到,该算法无需消息解密、或已任何方式破坏蓝牙的安全性,因其完全基于公共、未加密的‘广播流量’(advertising traffic)。 这项研究主要针对 2010 年引入的低功耗蓝牙规范(同样被用于蓝牙 5.0),在实验室中,研究人员建立了基于苹果和微软设备的测试平台,以分析 BLE 广播频道和标准蓝牙接近度内的‘广告事件’。 测试期间,研究人员使用了 Xianjun Jiao 的 BTLE 软件套件和定制版本的嗅探器。通过被动收集一段时间内的广告事件和日志文件,分析相关信息并引出显示设备 ID 令牌的数据结构。 研究指出,多数计算机和智能手机操作系统都会默认实施 MAC 地址的随机化,以防止被长期被动追踪,因为永久标识符是不会被广播的。 然而研究人员在运行 Windows 10、iOS 或 macOS 的设备上发现,系统会定期发送包含自定义数据结构的广告事件,它们会被用于与 BLE 范围内其它设备 / 特定平台的交互。 结果就是,通过为攻击者提供所谓的“临时 / 次要伪装身份”数据,研究人员可以通过算法筛出这些标识符,实现规避地址随机化的设备追踪。 有趣的是,这一缺陷并不影响 Android 设备,因为该移动操作系统不会不间断地发送广告信息。相反,Android SDK 会扫描附近的广播,而不是持续地暴露自身。 研究人员总结道:“如果不改变老旧的算法策略,任何定期发布广播信息的数据设备都会受到影响”。 预计 2019 至 2022 年间,蓝牙设备数量会从 42 亿增加到 52 亿。想要在未加密的通信信道上建立反追踪方法,将是至关重要的。   (稿源:cnBeta,封面源自网络。)

微软称其软件能在选举期间保护电子投票系统免受黑客攻击

据外媒CNET报道,微软周三开始展示其ElectionGuard软件,旨在保护电子投票系统免受黑客攻击。这家科技巨头表示,随着对网络攻击持续升级的担忧,该软件将能使电子投票系统更加安全。在过去的一年中,微软向10000名客户发出警告,称他们成为外国攻击的目标。 微软周三在一篇博客文章中表示,网络攻击被用来获取信息并影响政治。该公司补充说,攻击主要来自伊朗、朝鲜和俄罗斯ElectionGuard允许人们直接在屏幕上投票,获得跟踪代码以确认他们的投票被计算在内并且未被更改,然后获得实际的打印确认。 微软表示,“ElectionGuard将成为保护投票过程和确保所有选民都信任自由民主选举结果的重要工具。” 该公司已经与两家投票机技术公司签订了合作协议,另有第三家公司也在考虑使用微软的软件。微软补充说,哥伦比亚大学将在2020年总统大选期间测试ElectionGuard软件。   (稿源:cnBeta,封面源自网络。)