内容转载

= ̄ω ̄= 内容转载

最高法院将审理的案件或导致美国《计算机欺诈和滥用法》的全面变化

据外媒报道,美国最高法院将在当地时间周一听取一起案件的辩论,可能会导致美国有争议的计算机黑客法的全面变化–并影响数百万人如何使用他们的计算机和访问在线服务。美国《计算机欺诈和滥用法》(Computer Fraud and Abuse Act,CFAA)于1986年签署成为联邦法律,但至今仍在规范什么构成黑客行为–或 “未经授权 “访问计算机或网络。 这部有争议的法律旨在起诉黑客,但被批评者称为技术法律书籍中 “最糟糕的法律”,他们说,它的过时和模糊的语言无法保护善意的黑客发现和披露安全漏洞。 本案的核心是佐治亚州的前警察警长Nathan Van Buren。Van Buren利用他对警用车牌数据库的访问权限,搜索一个熟人以换取现金。Van Buren被抓,并以两项罪名被起诉:因访问警方数据库而接受回扣,以及违反CFAA。第一项罪名被推翻,但违反CFAA的罪名被维持。 Van Buren可能是通过警察工作的方式被允许访问数据库,但他是否超越了他的访问权限仍然是关键的法律问题。 加州大学伯克利分校的法学教授Orin Kerr说,Van Buren对美国案是最高法院受理的 “理想案件”。他在4月份的一篇博客文章中认为,”这个问题的提出再干净不过了”。最高法院将试图通过决定法律上所说的 “未经授权 “的访问是什么意思,来澄清这几十年来的法律。但这本身就不是一个简单的答案。 斯坦福大学法学院监控和网络安全副主任Riana Pfefferkorn说:“最高法院在本案中的意见可能会决定数百万普通美国人是否每当他们从事计算机活动时就会犯下联邦罪行,这些活动虽然常见,但不符合在线服务或雇主的使用条款。”(Pfefferkorn的同事Jeff Fisher在最高法院代表Van Buren)。 目前尚不清楚最高法院将如何确定 “未经授权 “的含义。法院可能会将未经授权的访问定义在任何地方,从违反网站的服务条款到登录一个没有用户账户的系统。 Pfefferkorn说,对CFAA的广义解读可能会将任何行为定为犯罪,包括在约会资料上撒谎、分享流媒体服务的密码,或者违反雇主的政策将工作电脑用于个人用途。 但最高法院的最终裁决也可能对善意的黑客和安全研究人员产生广泛的影响,这些人有目的地破坏系统,以使其更加安全。几十年来,黑客和安全研究人员一直在法律的灰色地带活动,因为成文的法律会让他们的工作受到起诉,即使目标是改善网络安全。 科技公司多年来一直鼓励黑客私下联系安全漏洞。作为回报,公司会修复他们的系统,并向黑客支付工作报酬。Mozilla、Dropbox和特斯拉是少数几家承诺不根据CFAA起诉善意的黑客的公司之一。并非所有的公司都欢迎这种审查,并逆势而上,威胁要就他们的研究结果起诉研究人员,在某些情况下还积极发起法律行动,以防止出现不光彩的头条新闻。 安全研究人员对法律威胁并不陌生,但如果最高法院作出不利于Van Buren的裁决,可能会对他们的工作产生寒蝉效应,并将漏洞披露推向地下。 “如果违反计算机系统的使用政策会有潜在的刑事(和民事)后果,那将使这些系统的所有者有权禁止善意的安全研究,并使研究人员噤若寒蝉,不敢披露他们在这些系统中发现的任何漏洞。”Pfefferkorn说。“即使是无意中在一套漏洞赏金规则的界限之外着色,也会使研究人员面临责任。” “法院现在有机会解决法律范围上的歧义,并通过对CFAA的狭义解释,让安全研究人员更安全地开展他们急需的工作。”Pfefferkorn说。“我们不能承受吓跑那些想要改善网络安全的人。” 最高法院可能会在今年晚些时候或明年初对此案作出裁决。       (消息及封面来源:cnBeta)

调查发现 55% 的美国成年人担心政府机构通过手机追踪他们的行踪

据《华尔街日报》报道,一项新的调查发现,美国人普遍担心政府通过他们的数字设备追踪他们的行踪,绝大多数人认为应该需要有搜查令才能获得这些数据。哈里斯民调的一项新调查显示,55%的美国成年人担心政府机构通过手机和其他数字设备产生的位置数据来追踪他们。该民调还发现,77%的美国人认为,政府应该获得授权令,才能购买数据经纪人经常在商业市场上买卖的那种详细的位置信息。 《华尔街日报》曾报道,美国一些执法机构在没有任何法院监督的情况下,从经纪人那里购买地理定位数据,用于刑事执法和边境安全目的。联邦机构的结论是,他们不需要搜查令,因为这些位置数据可以在公开市场上购买。美国最高法院在2018年裁定,强制手机运营商将位置数据交给执法部门需要搜查令,但它没有解决消费者是否对应用程序而不是运营商产生的数据有任何隐私或正当程序的期望。 现代手机应用程序,如天气预报、地图、游戏和社交网络,通常会要求消费者允许记录手机的位置。然后,这些数据会被经纪人打包并转售。电脑、平板电脑、汽车、可穿戴健身技术和许多其他互联网设备也有可能产生被公司收集的位置信息。 从现代技术中提取的位置数据的买卖已经成为一项价值数十亿美元的业务–经常被企业用于定向广告、个性化营销和行为特征分析。华尔街公司、房地产开发商和许多其他公司使用这些信息来指导投资、开发和规划的决策。 执法部门、情报机构、国内税务局和美国军方也开始从同一个数据池中购买用于间谍、情报、刑事执法和边境安全。《华尔街日报》今年早些时候报道,国土安全部的几个机构正在通过专门的经纪人购买美国人的手机位置数据。 美国市场研究和全球咨询公司哈里斯的调查发现,一些美国人表示,他们会采取措施避免这种追踪。40%的受访者表示,他们会用软件屏蔽手机上的此类追踪,26%的受访者表示,他们会改变自己的习惯和日常工作,减少可预测性。另有23%的人表示他们会把手机更多地留在家里,而32%的人表示他们不会做任何不同的事情。 该调查还询问了人们对位置隐私的总体看法。大多数受访者不同意这样的说法:“只有那些关心保持自己位置数据隐私的人,才会有所隐瞒。”民调发现,60%的美国人有点或强烈不同意这一说法,39%的人强烈或有点同意。 与年轻人相比,年长的美国人对政府监控的关注度较低。在18至34岁的受访者中,65%的人表示担心政府的位置追踪。对于65岁及以上的受访者,只有39%的人表示担心。 非白人美国人比白人美国人更担心政府机构的位置数据监控。民调发现,65%的黑人受访者、65%的西班牙裔受访者和54%的受访亚裔美国人表示他们有些或非常担心,而白人受访者的比例为51%。 这项民调是哈里斯在11月19日至11月21日期间在线进行的,调查了2000名美国成年人。哈里斯没有提供误差范围,这种样本量的民调通常带有大约正负3%的误差。       (消息及封面来源:cnBeta)

黑客再发威 《生化危机8》少量剧情概要遭泄露

卡普空最近是屋漏又逢连夜雨,几乎每天都会有不同的消息泄露出来,而他们依然在与黑客苦战。匿名黑客团体Team Ragnar手持大量卡普空数据作为要挟,今天他们再次表达了自己的决心和实力,放出了一批19G大小的数据,其中大多数都是关于《生化危机》系列以及《生化危机8》的。 上周泄露的信息表明《生化危机8》将于2021年4月下旬发售,而这次泄露的数据中心包含了许多完成品过场动画。而过场动画里自然包含了许多关键剧透,所以想要亲自通过游戏体验剧情的玩家务必就此打住。 剧透警告 下列是本次泄露出来的过场动画标题,标题本身就已经概括了事件。 与Mia的回忆_次要 撞车,Elena和二楼_次要 前往Elena和阁楼_次要 Chris版本开场_次要 巨人Kadu炸弹安装_次要 巨人Kadu炸弹安装_导演检验 营救Mia_次要 所以《生化危机8》一共泄露了8个过场动画,基本上泄露了游戏剧情中的重要事件。类似的事也曾发生在《最后的生还者2》身上。虽然被剧透以后依然会存在一些悬念,但多多少少会减弱剧情发生时的冲击力,这对于剧情向单机游戏来说非常致命。         (消息来源:cnBeta;封面来源于网络)

黑客正在出售数百名 C-level 高管的电子邮件账户和密码

目前,一个威胁行为者正在出售全球数百家公司的C-level高管的电子邮件账户密码。ZDNet本周获悉,这些数据正在一个名为Exploit.in的俄语黑客封闭式地下论坛上出售。 威胁行为者正在出售Office 365和微软账户的电子邮件和密码组合,他声称这些数据由占据职能的高级管理人员拥有,如: CEO–首席执行官 COO – 首席运营官 CFO – 首席财务官或首席财务总监 CMO – 首席营销官 CTO – 首席技术官 主席 副总裁 行政助理 财务经理 会计师 理事 财务总监 财务主任 付账人员 访问这些账户的价格从100美元到1500美元不等,这取决于公司规模和用户的角色。 一位同意与卖家联系以获取样本的网络安全界人士证实了数据的有效性,并获得了两个账户的有效凭证,这两个账户分别是一家美国中型软件公司的CEO和一家欧盟连锁零售店的CFO。 该消息人士要求ZDNet不要使用其名字,正在通知这两家公司,同时也在通知另外两家公司,卖家公布了这两家公司的账户密码,作为他们拥有有效数据的公开证明。 这些是英国一家企业管理咨询机构高管的登录信息,以及美国一家服装和配件制造商总裁的登录信息。 卖家拒绝分享他是如何获得登录凭证的,但表示他还有数百个登录凭证可以出售。 根据威胁情报公司KELA提供的数据,同一威胁行为者此前曾表示有兴趣购买 “Azor日志”,这个术语指的是从感染AzorUlt信息窃取者木马的计算机上收集的数据。信息窃取者日志几乎总是包含木马从安装在受感染主机上的浏览器中提取的用户名和密码。 这些数据往往是由信息窃取者运营商收集的,他们会对这些数据进行过滤和整理,然后在Genesis等专门市场、黑客论坛上出售,或者他们将这些数据卖给其他网络犯罪团伙。 “被篡改的企业电子邮件凭证对网络犯罪分子来说很有价值,因为它们可以以许多不同的方式被货币化,”KELA产品经理Raveed Laeb告诉ZDNet。 “攻击者可以将它们用于内部通信,作为‘CEO骗局’的一部分–犯罪分子操纵员工向他们汇入大笔资金;它们可以被用来访问敏感信息,作为敲诈计划的一部分;或者,这些凭证也可以被利用,以便访问需要基于电子邮件的2FA的其他内部系统,以便在组织中横向移动并进行网络入侵,”Laeb补充道。 但是,最有可能的是,这些被泄露的电子邮件将被购买和滥用,用于CEO诈骗或商业电子邮件攻击(BEC)诈骗。根据FBI今年的一份报告,到目前为止,BEC诈骗是2019年最流行的网络犯罪形式,已占去年报告的网络犯罪损失的一半。 防止黑客将任何类型的窃取凭证货币化的最简单方法是为您的在线账户使用两步验证(2SV)或双因素认证(2FA)解决方案。即使黑客设法窃取登录信息,如果没有适当的2SV/2FA附加验证器,这些信息也将毫无用处。         (消息来源:cnBeta;封面来源于网络)

COVID19 疫苗制造商阿斯利康公司疑似遭遇朝鲜黑客攻击

两名知情人士告诉路透社记者,最近几周,疑似朝鲜黑客试图入侵英国制药商阿斯利康公司的系统,因为该公司正在部署COVID-19疫苗。消息人士称,这些黑客在社交网站LinkedIn和WhatsApp上冒充招聘人员,以虚假的工作机会接近阿斯利康员工。然后,他们发送了自称是工作描述的文件,这些文件中掺杂着恶意代码,旨在获取受害者电脑的访问权限。 其中一名消息人士说,黑客针对的攻击对象广泛,包括从事COVID-19研究的工作人员,但据认为攻击没有成功。朝鲜驻日内瓦联合国代表团没有回应置评请求。平壤此前一直否认实施网络攻击。已成为COVID-19疫苗三大研发商之一的阿斯利康公司拒绝发表评论。研究浙这次攻击的安全人员认为,此次攻击中使用的工具和技术表明,黑客来自于朝鲜。 据三名曾调查过攻击事件的人士称,该活动此前主要针对国防公司和媒体机构,但最近几周转而针对COVID-19相关目标。在COVID-19大流行期间,由于国家支持的黑客组织和犯罪黑客组织争相获取有关疫情的最新研究和信息,针对卫生机构、疫苗科学家和制药商的网络攻击激增。任何被盗的信息都可能被出售以获取利润,用于敲诈受害者,或者给外国政府提供宝贵的战略优势,因为全球政府都在努力遏制一种已经导致全球140万人死亡的疾病。 微软本月表示,它已经看到两个朝鲜黑客组织针对多个国家的疫苗开发者发动攻击。韩国政府上周五表示,该国情报机构挫败了其中一些企图。路透社此前曾报道,黑客今年曾试图入侵领先的制药商甚至世界卫生组织。其中一位消息人士说,在对阿斯利康的攻击中使用的一些账户使用了俄罗斯的电子邮件地址,可能是为了误导调查人员。 朝鲜一直被美国检察官指责发动了世界上一些最大胆和最具破坏性的网络攻击,包括2014年索尼影业黑客攻击和电子邮件泄露,2016年孟加拉国中央银行8100万美元盗窃,以及2017年释放Wannacry勒索病毒。         (消息来源:cnBeta;封面来源于网络)

黑客勒索曼联:不给钱不让进系统 英国政府帮忙也没辙

据英国媒体报道,曼联俱乐部上周遭到了黑客攻击,黑客控制了俱乐部的计算机系统,导致工作人员无法接入网络。英国国家网络安全中心(NCSC)已经介入提供技术援助。在媒体曝光之后,曼联俱乐部承认自己遭到了黑客攻击,但却表示“没有发现任何球迷和消费者个人数据泄露的情况”。 曼联发言人今天再次重申,球迷数据目前尚未遭受影响。“在近期遭受网络攻击之后,俱乐部的IT部门和外部专家正在加固网络,进行司法调查。……此次攻击是破坏性的,但目前没有发现球迷数据遭受影响。老特拉福德球场的关键系统依然安全,球赛也照常进行。” 在遭受黑客攻击之后,曼联俱乐部已经通知了英国信息主管部门。他们之所以要强调球迷数据的原因是,按照英国法律,即便是黑客攻击导致消费者数据泄露,被攻击目标依然要承担责任,甚至要面临处罚。此前订票网站Ticketmaster在2018年遭受黑客攻击,用户数据泄露,他们最后收到了125万美元的罚金。 英国国家网络安全中心的数据显示,过去一年英国已经报告了700多次网络攻击事件。而在这些网络攻击事件中,勒索攻击在不断增加,即黑客锁定攻击对象的计算机系统,要求支付赎金之后才解锁。曼联俱乐部遭受的就是勒索攻击。或许黑客对曼联计算机系统的球迷数据并没有兴趣,只是想从红魔勒索一笔钱。曼联也是全球豪门俱乐部中第一个遭受勒索攻击的。 勒索攻击在美国更加猖獗,企业、大学、医院、政府机构都曾经被黑客锁定计算机系统,要求支付比特币赎金之后才肯解锁。底特律市政府、加州大学伯克利分校、洛杉矶长老会医院都曾经被黑客勒索,疯狂的黑客甚至连美国的警察局都不放过。 尽管英国国家网路安全中心已经提供了技术帮助,但直到今天(11月26日),曼联工作人员依然无法进入自己的工作邮件系统。曼联拒绝对外透露黑客的勒索金额。但据英国《每日邮报》报道,黑客要求得到数百万英镑。         (消息及封面来源:新浪科技)

美国最大连锁生育诊所宣称遭遇黑客勒索攻击 数据被盗

美国最大连锁生育诊所之一的U.S. Fertility已经确认遭到勒索软件攻击并且数据被盗。该公司成立于5月,由Shady Grove Fertility和主要投资于医疗领域的私募股权公司Amulet Capital Partners合作成立,前者在美国东海岸拥有数十家生育诊所。作为一家合资企业,U.S. Fertility目前宣称在美国各地拥有55家诊所。 U.S. Fertility在一份声明中表示,黑客在9月14日发动勒索攻击之前,在其系统中活动了一个月时间,获得了数量有限的文件。这是一种常见的数据窃取勒索技术,它在加密受害者的网络之前窃取数据以获取赎金。如果不支付赎金要求,一些勒索组织就会在其网站上公布被盗文件。 U.S. Fertility表示黑客在攻击中盗取了一些个人信息,如姓名和地址。一些患者的社会安全号码也被黑客盗走。U.S. Fertility表示,这次攻击可能涉及受保护的健康信息。根据美国法律,这些信息可能包括一个人的健康或医疗状况信息,如测试结果和医疗记录等。U.S. Fertility没有说明为何要花两个多月的时间才公开披露这起黑客袭击事件,但表示,其披露时间并非应执法部门的要求而延迟。 这是最新一起针对医疗行业的攻击事件。9月,美国最大医院系统之一环球医疗服务公司(Universal Health Services)遭到Ryuk勒索软件袭击,迫使一些受影响急诊室关闭,并将病人拒之门外。最近几个月,其他几家生育诊所也遭到了勒索软件的攻击。       (消息来源:cnBeta;封面来自网络)

0patch 发布免费补丁:修复 Windows 7 中的本地提权漏洞

Windows 7 尽管已经停止支持,但全球依然有数百万人在使用它。本月初,一位安全研究人员在 Windows 7 和 Windows Server 2008 R2 上发现了本地提权漏洞。虽然尚不清楚微软是否会为付费扩展支持用户提供补丁修复,但肯定的是当前仍在使用 Windows 7 的普通用户依然非常容易受到攻击。 不过为了修复这个漏洞,第三方补丁服务团队 0patch 发布了适用于 Windows 7 和 Windows Server 2008 R2 的免费补丁,能够保护数百万台仍运行这些系统的设备免受该漏洞的影响。 值得注意的是,本次 0patch 发布的微型补丁并不仅仅提供给那些付费用户,任何有需求的用户都可以免费下载。发现安全漏洞的安全研究员 ClémentLabro 分享了此发现的详细信息,0patch 巧妙地总结了这一发现: Clément 为 Windows 编写了一个非常有用的权限检查工具,该工具可以发现 Windows 中的各种错误配置,这些错误配置可能允许本地攻击者提升其特权。在典型的 Windows 7 和 Server 2008 R2 计算机上,该工具发现所有本地用户都对两个注册表项具有写权限: HKLM \ SYSTEM \ CurrentControlSet \ Services \ Dnscache HKLM \ SYSTEM \ CurrentControlSet \ Services \ RpcEptMapper 这些似乎无法立即被利用,但是克莱门特做了很多工作,发现可以使Windows性能监视机制从这些键中读取-并最终加载本地攻击者提供的DLL。 简单来说就是,计算机上的本地非管理员用户只需在上述键之一中创建一个Performance子键,并用一些值填充它,然后触发性能监控,这将导致本地系统WmiPrvSE.exe进程加载攻击者的DLL并执行代码。         (消息来源:cnBeta;封面来自网络)

百度搜索和地图应用被 Google Play 商店下架 回应称并非因数据收集问题

在美国网络安全公司 Palo Alto Networks 报告发布后,谷歌随机对两款来自百度的 Android 应用展开了调查。报告称百度搜索框和地图应用内含收集用户信息的代码,而谷歌也在 2020 年 10 月将之从 Play 商店下架。不过上周,百度搜索框再次出现在了广大用户的面前。 具体说来是,Palo Alto Networks 称数据收集代码存在于百度推送 SDK 中,用于在两款 App 内显示实时通知。然而数据收集行为研究员 Stefan Achleitner 和 Xuchengcheng 指出: “该代码会收集包括电话型号、MAC 地址、运营商信息、国际移动订阅用户身份(IMSI)等在内的详细信息。 Achleitner 和 Xu 补充道,尽管这种行为看似无害,但诸如 IMSI 代码之类的数据,仍可被用于精准识别和追踪用户,即使该用户切换到了另一设备也无解。” 一方面,尽管向谷歌报告了此事,但尴尬的是,该公司的 Android 应用政策并未特别禁止收集个人用户的详细信息。 不过另一方面,Play 商店安全研究团队还是在两次调查中发现了百度 App 的其它未指明的违规情况,最终导致两款 App 于 2020 年 10 月 28 日被官方应用商店下架。 “百度发言人在今日的一封电子邮件中称,最初报告提到的数据收集行为引发了谷歌团队的调查,但这并不是两款 App 被 Play 商店下架的原因,因为该公司已从用户那里获得了收集此类信息的许可。 与此同时,百度团队表示正在努力解决谷歌发现的其它问题。截止发稿时,百度搜索框应用已经重返 Play 商店,而地图应用也会在修复相关问题后尽快回归。” 10 月下架之前,两款百度 App 的下载量总计超过了 600 万。此外 Palo Alto Networks 研究人员在中国广告技术巨头 MobTech 开发的 ShareSDK 中发现了类似的数据收集代码。 Achleitner 和 Xu 表示,该 SDK 已被 37500 多款应用程序使用,且允许开发者收集包括电话型号、屏幕分辨率、MAC 地址、Android ID、广告 ID、运营商 / IMSI / IMEI 等在内的个人信息。 显然,这类事件并非孤立发生,而是围绕 Android 生态的一个老大难问题。       (消息来源:cnBeta;封面来自网络)

TMT 网络犯罪集团三名成员在尼日利亚被捕

据国际刑警组织周三报道,三名涉嫌参与一个网络犯罪集团的尼日利亚人在尼日利亚首都拉各斯被捕,该集团在全球范围内使数万人受害。安全公司Group-IB在一份披露参与调查的报告中称,这三名嫌疑人是他们自2019年以来一直追踪的TMT网络犯罪集团的成员。 Group-IB表示,该集团主要通过发送大量含有恶意软件文件的电子邮件垃圾邮件活动进行运作。 为了发送他们的电子邮件垃圾邮件,该团伙使用Gammadyne Mailer和Turbo-Mailer电子邮件自动化工具,然后依靠MailChimp追踪收件人受害者是否打开了他们的邮件。 这些文件附件中掺杂着各种恶意软件,使黑客能够进入受感染的电脑,并从那里集中窃取浏览器、电子邮件和FTP客户端的证书。 Group-IB表示,该组织 “完全依靠各种公开的”恶意软件,如AgentTesla、Loky、AzoRult、Pony、NetWire等,这些恶意软件都可以免费下载或在地下论坛上廉价出售。 一旦黑客获得了凭证,TMT集团就会从事商业电子邮件欺诈 (BEC) ,这是一种在线诈骗,他们会试图欺骗公司向错误的账户付款–由该集团成员控制。 TMT集团用多种语言发送电子邮件垃圾邮件,并成功感染了美国、英国、新加坡、日本、尼日利亚等国的公司。 虽然调查仍在进行中,但国际刑警组织和Group-IB表示,他们能够追踪到超过5万个被该组织恶意软件感染的组织。据国际刑警组织称,总共有150多个国家的50多万家政府和私营企业收到了该组织的电子邮件。 Group-IB表示,该集团是由多个小的子集团组织起来的,它们共同合作,TMT的许多成员仍然在逃。Group-IB发言人表示,这个组织并不是AdvIntel 2019年报告中提到的那个TMT组织(是REvil勒索软件的主要传播者之一)。         (消息及封面来源:cnBeta)