分类: 国际动态

接到法院裁决后 德国安全邮件运营商 Tutanota 被迫开始监控一个账户

德国e2e加密电子邮件提供商Tutanota被一家地区法院命令开发一种功能,使其能够监控个人账户。这家加密电子邮件服务提供商一直在其本国与一些此类命令作斗争。德国媒体上月末报道的这一裁决与汉诺威法院早些时候的裁决相矛盾,该法院认为Tutanota是一家基于网络的电子邮件提供商,但不是电信服务。 科隆法院的这一命令是根据德国的一项法律(称为 “TKG”)做出的,该法律要求电信服务提供商在收到合法的拦截请求时,必须向执法/情报机构披露数据。科隆法院的裁决也与欧洲最高法院CJEU在2019年的一项裁决相悖,该裁决认为另一个基于网络的电子邮件服务Gmail不是欧盟法律中定义的 “电子通信服务”–这意味着它不能受制于电信公司的欧盟共同规则。 Tutanota的联合创始人Matthias Pfau将科隆的裁决描述为 “荒谬”–并证实其正在上诉。原告方认为Tutanota虽然不是电信服务的提供商,但实质上参与提供了电信服务,因此仍然必须实现电信和流量数据收集。但法院既没有说明他们参与的是什么电信服务,也没有说出电信服务的实际提供商。”电信服务不可能是电子邮件,因为我们完全是自己提供的。而如果我们要参与,就必须与实际提供商有业务关系。” 尽管地区法院将电子邮件提供商视为ISP的做法很荒唐–这显然与CJEU早先的指导意见相矛盾,但Tutanota还是被要求遵守该命令,并为特定的收件箱开发监控功能。Tutanota的一位发言人证实,公司已经告诉法院,他们将在今年年底前开发该功能–而她表示,其上诉过程很可能需要 “几个月”才能完成。 科隆法院的命令是对一个曾被用于敲诈企图的Tutanota账户实施监控功能。Tutanota发言人表示,监控功能只适用于这个账户今后收到的电子邮件–它不会影响以前收到的电子邮件。但实际上,相关账户似乎已经不再使用。 上个月,欧盟理事会的一份决议草案引发了实质性的关注,作为反恐安全推进计划的一部分,欧盟立法者正在考虑禁止e2e加密。然而该文件草案只讨论了 “合法和有针对性的访问”–同时表示支持 “强加密”。 回到Tutanote监控令,只能使其适用于链接到特定账户的未加密电子邮件。这是因为电子邮件服务提供商对自己用户的内容应用了e2e加密–这意味着它并不持有解密密钥,因此无法解密数据–尽管它也允许用户从没有应用e2e加密的电子邮件服务中接收电子邮件(因此可以强制它提供该数据的纯文本)。 然而,如果欧盟立法强制e2e加密服务提供商提供解密数据,以回应合法的拦截请求,那么它将实际上取缔e2e加密的使用。这是最令人担忧的情况–虽然目前还没有任何欧盟机构提出这样的法律。而且很可能会在欧洲议会以及更广泛的学术界、民间社会、消费者保护以及隐私和数字权利团体等方面面临激烈的反对。       (消息及封面来源:cnBeta)

美国一 COVID-19 数据泄露者住宅遭警方突袭并被没收计算机

据外媒报道,8个月前,白宫新冠病毒特别工作组的Deborah Birx称赞佛罗里达的COVID-19仪表盘是“我们需要把知识和力量交到美国人民手中”的一个例子。据悉,该仪表盘由Rebekah Jones打造。然而在今年5月的时候,Jones被佛罗里达州卫生部门解雇,据称是因为其拒绝操控这些数据来证明该州能重新开放。 现在,佛罗里达州立警方突袭了她的家并拿走了她用来维护一个其个人版的新、独立COVID-19追踪的设备。 Jones在Twitter上发布了一系列关于这一事件的信息,其中包括一段警察持枪进入其房子的视频。 佛罗里达州执法部门(FDLE)向Miami Herald和Tallahassee Democrat证实,警方突袭Jones住宅的时候持有搜查证并没收了她的设备。 Tampa Bay Times上月报道称,有人神秘地向该州紧急公共卫生和医疗协调小组发送了一条未经授权的信息,上面写着“在1.7万人死亡之前大声说出来吧”。你知道这是错的。你不必参与其中。成为一名英雄。趁还来得及说出来。” 根据FDLE提供给媒体的一份宣誓书,执法部门认为是Jones或其住宅内的某个人发送了这条信息的。 尽管上个月有迹象表明该系统可能已经被黑客入侵,但它显然并没有特别强大的安全性:证词称所有的注册用户共享有相同的用户名和密码。 Jones没有立即回应记者的置评请求,但她在Twitter发文称,她买了一台新电脑并将继续更新她的新网站。       (消息来源:cnBeta;封面来自网络)

美国宣布与澳大利亚携手开发网络攻击训练平台

外媒报道称,美国刚刚与澳大利亚签署了一份双边协议,以允许美国网络司令部(USCYBERCOM)与澳大利亚国防军信息战部门(IWD)共同开发和分享虚拟网络培训平台。通过将 IWD 的反馈意见纳入 USCYBERCOM 的模拟培训领域,两国将努力推动持久性网络训练环境(PCTE)的目标实现。 美方签字代表 Elizabeth Wilson 表示,该项目是美澳合作的一个里程碑,也是美国陆军与盟国之间建立的首个网络协议,凸显了澳大利亚在该领域的合作伙伴价值。 与以往每次都要耗费数月时间来搭建的虚拟场景相比,新方法能够极大地减少美国与盟军网络部队开发联合虚拟培训平台所需的时间。 此外通过调整陆军的战略思维,PCTE 旨在应对已知和潜在的威胁,并将精力集中到新兴和智能技术上,以增强战斗能力和克敌制胜。 PCTE 现提供了一个协作式培训平台,以便 USCYBERCOM、IWD 和盟军(包括但不限于“五眼”情报联盟情报合作伙伴)在单独或协作式培训期间重复使用或二次开发。 USCYBERCOM 指出,其长期目标是为相关作战人员提供网络空间培训、认证、以及任务演练等能力。可定制的模拟培训环境,还具有高保真和可伸缩的现实特性。 据悉,作为美军“联合网络作战架构”的一部分,该项目于 2020 年 2 月启动。而近日与澳大利亚签署的新协议,将在未来六年内投入 2.519 亿美元的开发资金。       (消息来源:cnBeta;封面来自网络)

不明身份的黑客盯上了 COVID-19 疫苗冷链

IBM安全团队X-Force的安全专家表示,目前黑客盯上了那些确保冠状病毒疫苗安全运输并储存在温控环境中的组织,这一过程被称为COVID-19冷链。攻击由一个跨越6个国家的钓鱼活动组成,虽然尚未确定责任集团,但之前的类似事件与相关政府有关。 鱼叉式钓鱼邮件使用海尔生物医药公司的一名业务主管的名字进行伪装,该公司是联合国官方冷链设备优化平台(CCEOP)项目的中国公司。这些钓鱼邮件发给 销售、采购、信息技术和财务岗位的高管,他们很可能参与了公司支持疫苗冷链的工作。它们看似要求CCEOP项目的报价,但实际上包含恶意的HTML附件,受害者需要下载并在本地打开。 该方法消除了设置在线钓鱼页面的要求,这些钓鱼页面可以被安全研究人员识别和删除。一旦接收者输入他们的凭证,攻击者就有可能进入公司的内部网络,让他们了解分发Covid-19疫苗的过程、方法和计划。国际刑警组织秘书长尤尔根-斯托克表示:”当各国政府准备推出疫苗时,犯罪组织正计划渗透或破坏供应链。”。 昨天,英国成为世界上第一个批准辉瑞/BioNTech疫苗的国家,该疫苗必须在-70C(-94F)左右的温度下保存。而阿斯利康的疫苗则要求在华氏36度到46度的温度下,要求不那么苛刻。据ZDNet报道,美国联邦调查局和网络安全与基础设施安全局已经发布了有关钓鱼活动的安全警报,而国际刑警组织则警告说,Covid-19疫苗受到了有组织犯罪的威胁。           (消息来源:cnBeta;封面来自网络)

巴西卫生部官网存严重漏洞 2.43 亿巴西人个人信息被泄露

在一周前报道 1600 万巴西 COVID-19 患者个人数据被曝光之后,巴西当地媒体 Estadao 再次放出重料–包括在世和已故的在内,有超过 2.43 亿巴西人的个人信息已经在网络上曝光。这些数据来自于巴西卫生部官方网站的源代码,开发者在其中发现了重要政府数据库。 今年巴西非政府组织 Open Knowledge Brasil(OKBR)曾在今年 6 月份提交了一份报告,指出政府网站的源代码中保留了另一个政府数据库的公开登录信息。受这份报告的启发,Estadao 对巴西卫生部的官网进行了调查,发现了这个数据库。由于任何人在浏览器中按 F12 键都可以访问和查看网站的源代码,因此 Estadao 记者在其他政府网站中搜索了类似的问题。 他们在 e-SUS-Notifica(一个门户网站)的源代码中发现了类似的泄漏,巴西公民可以在此注册并接收有关COVID-19大流行的官方政府通知。 记者说,该网站的源代码包含存储在Base64中的用户名和密码,该编码格式可以轻松解码以获取初始用户名和密码,而几乎不需要付出任何努力。SUS(SistemaÚnicodeSaúde),该数据库存储了所有签署了该国公共资助的医疗系统的巴西人的信息,该数据库于 1989 年建立。 该数据库包含巴西人提供给政府的所有个人信息,从全名到家庭住址,从电话号码到医疗详细信息。现在已经从站点的源代码中删除了凭据,但是尚不清楚是否有人访问过该系统并窃取了巴西公民的数据。       (消息来源:cnBeta;封面来自网络)

黑客组织利用黑匣子攻击技术从意大利 ATM 机中盗走了 80 万欧元

黑客组织利用黑匣子攻击技术从至少35台意大利ATM机中盗窃了80万欧元。 意大利人Carabinieri证实该黑客组织有12人,其中6人已经被捕,3人目前在波兰被押制,1人在被逮捕之前返回摩尔多瓦,还有2人可能已离开意大利。 据当地媒体报道,该团伙在米兰、蒙扎、博洛尼亚、摩德纳、罗马、维泰博、曼托瓦、维琴察和帕尔马省设有众多后勤基地。 黑匣子 攻击技术旨在通过“黑匣子”设备发送命令强制ATM分配现金。在此攻击中,黑匣子设备(移动设备或Raspberry)物理连接到ATM以向计算机发送命令。 没有采取良好保护措施的ATM更容易遭受此类攻击,因为黑客很容易就连接上移动设备。 7月,ATM机领先制造商Diebold Nixdorf向客户发出了警报:黑匣子攻击产生了新变种。比利时的Agenta银行在被攻击后被迫关闭143台ATM。 比利时当局观察到,所有受感染的机器都是 Diebold Nixdorf ProCash 2050xe 设备。 根据 Diebold Nixdorf发布在ZDNet上的安全警报描述:黑匣子攻击的新变种已在欧洲的某些国家/地区被黑客利用。           消息及封面来源:securityaffairs;译者:小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

Omnisec 成第二家涉嫌出售加密间谍设备的瑞士公司

瑞士公共电视台SRF发现,除了Crypto AG之外,还有第二家公司参与制造涉嫌被外国情报部门用于间谍活动的操纵设备。据SRF消息人士称,瑞士公司Omnisec AG与美国情报部门有联系。此前,SRF、德国ZDF电视台和《华盛顿邮报》在2月份披露,总部位于楚格的Crypto AG公司是由美国中央情报局(CIA)领导的大规模国际间谍行动的核心,其次是德国BND间谍机构。Omnisec是Crypto AG的最大竞争对手之一。 瑞士密码学家、教授Ueli Maurer曾为Omnisec担任顾问多年,他告诉SRF,1989年美国情报部门(国家安全局)通过他与Omnisec联系。值得关注的是OC-500系列设备。这些设备被卖给了几个瑞士联邦机构。然而,瑞士当局在2000年代中期才注意到这些设备不安全。 一些瑞士公司也收到了来自Omnisec的操纵设备,包括瑞士最大的银行UBS。目前还不清楚当局是否在2000年代中期就将这些薄弱设备告知了瑞银。瑞银集团告诉SRF,它不对安全问题发表评论,但当时没有迹象表明敏感数据被暴露。 Omnisec公司成立于1987年,生产语音、传真和数据加密设备。它在几年前解散了。该公司最近的负责人Clemens Kammer告诉SRF,Omnisec的客户“已经并将继续高度重视商业关系中的安全性、保密性、谨慎性和可靠性””。 一些政治家呼吁进一步调查这些最新的指控,这些指控可能会揭示联邦政府中可能有人知道Omnisec与外国情报部门的商业事务。 密码事件 本月早些时候,瑞士议会审计委员会(GPDel)进行了为期九个月的调查,发现瑞士情报部门早在1993年就知道美国中央情报局是瑞士Crypto AG的幕后黑手。报告称,瑞士情报部门后来与他们合作,从国外收集信息。 有100多个国家从这家总部设在楚格的公司购买了加密设备,该公司打着瑞士中立的幌子开展业务。实际上,该公司属于美国中央情报局和德国情报部门,他们可以自由读取其加密的内容。在Crypto公司设备的帮助下截获的信息改变了事件的进程,包括1979年的伊朗人质危机。       (稿源:cnBeta;封面来自网络)

调查发现 55% 的美国成年人担心政府机构通过手机追踪他们的行踪

据《华尔街日报》报道,一项新的调查发现,美国人普遍担心政府通过他们的数字设备追踪他们的行踪,绝大多数人认为应该需要有搜查令才能获得这些数据。哈里斯民调的一项新调查显示,55%的美国成年人担心政府机构通过手机和其他数字设备产生的位置数据来追踪他们。该民调还发现,77%的美国人认为,政府应该获得授权令,才能购买数据经纪人经常在商业市场上买卖的那种详细的位置信息。 《华尔街日报》曾报道,美国一些执法机构在没有任何法院监督的情况下,从经纪人那里购买地理定位数据,用于刑事执法和边境安全目的。联邦机构的结论是,他们不需要搜查令,因为这些位置数据可以在公开市场上购买。美国最高法院在2018年裁定,强制手机运营商将位置数据交给执法部门需要搜查令,但它没有解决消费者是否对应用程序而不是运营商产生的数据有任何隐私或正当程序的期望。 现代手机应用程序,如天气预报、地图、游戏和社交网络,通常会要求消费者允许记录手机的位置。然后,这些数据会被经纪人打包并转售。电脑、平板电脑、汽车、可穿戴健身技术和许多其他互联网设备也有可能产生被公司收集的位置信息。 从现代技术中提取的位置数据的买卖已经成为一项价值数十亿美元的业务–经常被企业用于定向广告、个性化营销和行为特征分析。华尔街公司、房地产开发商和许多其他公司使用这些信息来指导投资、开发和规划的决策。 执法部门、情报机构、国内税务局和美国军方也开始从同一个数据池中购买用于间谍、情报、刑事执法和边境安全。《华尔街日报》今年早些时候报道,国土安全部的几个机构正在通过专门的经纪人购买美国人的手机位置数据。 美国市场研究和全球咨询公司哈里斯的调查发现,一些美国人表示,他们会采取措施避免这种追踪。40%的受访者表示,他们会用软件屏蔽手机上的此类追踪,26%的受访者表示,他们会改变自己的习惯和日常工作,减少可预测性。另有23%的人表示他们会把手机更多地留在家里,而32%的人表示他们不会做任何不同的事情。 该调查还询问了人们对位置隐私的总体看法。大多数受访者不同意这样的说法:“只有那些关心保持自己位置数据隐私的人,才会有所隐瞒。”民调发现,60%的美国人有点或强烈不同意这一说法,39%的人强烈或有点同意。 与年轻人相比,年长的美国人对政府监控的关注度较低。在18至34岁的受访者中,65%的人表示担心政府的位置追踪。对于65岁及以上的受访者,只有39%的人表示担心。 非白人美国人比白人美国人更担心政府机构的位置数据监控。民调发现,65%的黑人受访者、65%的西班牙裔受访者和54%的受访亚裔美国人表示他们有些或非常担心,而白人受访者的比例为51%。 这项民调是哈里斯在11月19日至11月21日期间在线进行的,调查了2000名美国成年人。哈里斯没有提供误差范围,这种样本量的民调通常带有大约正负3%的误差。       (消息及封面来源:cnBeta)

在 Web 托管软件 cPanel 中发现 2FA 旁路

来自Digital Defense的安全研究人员发现了托管软件 cPanel中的一个安全问题。黑客可以利用此漏洞绕过帐户身份验证(2FA)并管理关联网站。 “漏洞和威胁管理解决方案的领导者宣布,其 漏洞研究团队(VRT) 发现了一个未披露的漏洞,该漏洞影响了cPanel&WebHost Manager(WHM)网络托管平台。” “ c_Panel&WHM版本11.90.0.5(90.0 Build 5)具有两因素身份验证绕过漏洞,易受到攻击,从而导致了解或访问有效凭据的黑客可以绕过两因素身份验证。” 该漏洞可能会产生巨大影响,因为Web托管提供商当前正在使用该软件套件来管理全球超过7,000万个域。   “双重身份验证cPanel安全策略并未阻止攻击者重复提交双重身份验证代码。这使黑客可以使用技术绕过两因素身份验证检查。” “现在,将两因素身份验证代码验证失败的情况等同于帐户的主密码验证失败以及cPHulk限制的速率。” 研究人员补充说,攻击者可以在几分钟内绕过2FA。通过发布以下内部版本解决了此问题: 11.92.0.2(ZoomEyes搜索结果) 11.90.0.17(ZoomEyes搜索结果) 11.86.0.32(ZoomEyes搜索结果) 网站管理员敦促检查其托管服务提供商是否已更新相关cPanel版本。     消息来源:securityaffairs ;封面来自网络;译者:小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

欧洲打算破解 WhatsApp 等通讯服务的数据加密方式

据报道,在巴黎、维也纳、尼斯发生一连串恐怖袭击之后,欧盟(EU)似乎正在为打击已接受端到端加密数据的行动做准备。在本月早些时候发表的一份联合声明中,欧盟成员国内政部长呼吁各国元首“慎重思考数据加密问题,以便主管部门能够合法收集和使用数字证据。” 在这份声明发表之前,有几份关于加密数据的欧盟内部文件遭遇泄露。最开始是由Politico发布的一份声明,提出了反对端到端加密的一些措施,并以此作为打击虐待儿童内容的一种方式。声明中说道:“对于此类非法内容的打击是争议最小的。” 端到端加密(End-to-end encryption)是一些应用程序和服务(包括WhatsApp、Signal和Facebook Messenger)使用的一种安全工具,旨在提供更高级别的隐私保护服务。 使用端到端加密工具发送的信息在离开发送者的手机或电脑之前会被加密,使用的密钥是交换双方设备的唯一密钥。即使这些信息在传输过程中被黑客或政府机构截获,这些信息也是不可读的,因为只有来自发送方和接收方的设备才能解码这些信息。 这种保密形式给试图监控犯罪团伙通信情况的国家带来了一个问题:只有当你真正能够读取非法信息内容时,拦截非法信息的能力才是有用的。 欧盟的一名发言人表示,长期以来,欧盟立法者一直在公民隐私权和警察机构工作范围之间寻求更妥善的平衡。 欧盟成员国已经在多个场合“呼吁采取解决方案,允许执法部门和其他主管部门在不禁止或削弱加密的情况下合法获取数字证据。” 正如7月安全联盟策略(Security Union Strategy)所述,欧盟选择支持这样一种方式:“既保持加密在保护隐私和通信安全方面的有效性,又能对严重犯罪和恐怖主义做出有效回应。” 欧盟反恐协调员吉尔斯·德克尔乔夫(Gilles de Kerchove)试图通过避开“后门(back-door)”的方式来达到这一目的,他认为这是与“前门(front-door)”相对应的方法,即与第三方加密提供商展开正式合作,而不是在尚未获得其同意的情况下擅自行动。 而隐私教育评论网站ProPrivacy的研究员雷·沃尔什(Ray Walsh)却表示,这种方法时不可能的。他在接受媒体采访时表示:“无论你是选择将一个专门开发的辅助接入点称为‘前门’还是‘后门’,其结果都是消除了数据所有权和访问控制,这将会不可避免地会导致一个根本性的漏洞。” 他补充说:“部长们想要鱼与熊掌兼得,但他们似乎不明白,也不想承认,这是不可能的,而且这种行为会有意识地造成数据加密系统的脆弱。如果这类立法获得通过,那么普通公众将会受到极大损害。” 伦敦国王学院(King’s College London)的德语区、欧洲与国际研究讲师亚历克斯•克拉克森(Alex Clarkson)指出,类似这种正在讨论中的措施“已经成为政府议程中持续进行的一部分。” 但他和沃尔什都强调,目前还只是讨论而已。 克拉克森将这些提议简单地描述为“官僚机构正在做什么”,是由一系列决策组成的政治“愿望清单”中的一部分。他表示:“这些系统中的某些部分会催生一种冲动,而系统的另一部分会对这种冲动进行制衡。但这并不一定意味着,他们会选择这些决策。” 尽管如此,沃尔什还是担心这种所谓“后门”的方式会引起争论。他说:“这将给国家安全和数据隐私带来问题,但实际上却并不会降低犯罪分子找到秘密通信方式的可能性,比如通过暗网或其他加密方式。” 他表示:“在任何自由开放的社会中,能够进行私下的自由交流是一项基本人权。剥夺公民在不被观察的情况下分享信息的能力,将导致更大程度的自我审查,使人们无法行使言论自由的权力。”       (消息来源:cnBeta;封面来自网络)