分类: 安全快讯

大多数 SSL 证书签发错误的主要原因是软件错误

最近的一项学术研究发现,软件错误和对行业标准的误解是大多数错误签发 SSL 证书的最主要原因,其所占比例高达所有错误事件的 42%。 这项研究是由印第安纳大学布卢明顿分校信息与计算学院的一个团队撰写的,他们研究了 379 起 SSL 证书签发错误的实例,并总共发现了 1300 多个事件。 研究人员从公共资源收集了事件数据,例如 Mozilla 的 Bugzilla 跟踪器与 Firefox 和 Chrome 浏览器安全团队的网上论坛讨论区。该研究的目的是研究证书颁发机构(CA)如何遵守行业标准,以及 SSL 证书签发错误背后的最常见原因。 研究小组得出了一个结论,即“大多数错误签发 SSL 证书的事件都是由软件错误引起的”。 在他们分析的 379 个案例中,有 91 个(占 24%)是由 CA 的一个软件平台中的软件错误引起的,导致客户收到不兼容的 SSL 证书。 第二个最常见的原因是 CA 误解了 CA/B 论坛规则,或者 CA 不知道规则已更改,有 69 起案件是这种情况,占所有 SSL 证书签发错误事件的 18%。 而恶意根 CA 导致的问题数据占比排在第三位,有 52 个 SSL 证书签发错误案例(占所有分析事件的 14%)是 CA 故意作恶,为了利润而破坏了行业规则,比如他们会给中间人攻击者出售证书。 第四大最常见的原因是人为错误,有 37 例(占总数的 10%)。 第五位是操作错误,其中错误是由于 CA 的内部程序错误,而不是软件或人为错误,这占了 29 例,占所有案例的 8%。 第六个根本原因是“非最佳请求检查(non-optimum request check)”,该术语描述了检查客户身份时所犯的错误,通常允许流氓客户假冒另一个实体,例如,恶意软件作者获得了 SSL 证书合法的公司。研究人员发现了 24 个此类事件,占所有 SSL 签发错误事件的 6%。 SSL 证书签发错误的第七个最常见的根本原因是“不正确的安全控制”,这是一个通用类别,其中包括所有 CA 被黑或失去对其基础结构的控制以允许第三方获得 SSL 证书的情况。   (稿源:开源中国,封面源自网络。)

皮尤:大部分美国人缺乏网络安全基础知识

据外媒报道,皮尤研究中心的一份新研究报告显示,许多美国人在数字安全方面的知识尤其是在隐私网页浏览方式、双重认证是什么等方面存在差距。这些结果则是基于一项包含有10个问题的调查得出,据悉,调查问题主要集中在社交媒体和网络安全方面。 皮尤研究中心在其报告中总结称,人们对网络安全的认识各不相同。美国绝大多数的成年人了解诸如网站cookies是什么、网络钓鱼诈骗性质等知识,但几乎超1/4的受访成年人并不了解能够大大提高在线账户安全的双重认证功能。 另外,只有约一半的受访成年人了解隐私浏览的功能,只有不到1/4的人知道隐私浏览只会阻止其他用户查看会话的浏览历史。皮尤研究中心在最终汇总了所有的回答之后发现只有20%的美国成年人能正确回答至少七个问题。 不到一半的受访者能够正确回答有关隐私政策、网络中立、网络安全中“https”含义、拥有Instagram和WhatsApp的2FA公司、隐私网页浏览以及杰克·多尔西是谁等问题。 据了解,在这项研究中总共有4272名美国成年人参加了调查。     (稿源:cnBeta,封面源自网络。)

U盘仍是企业计算机安全风险的主要威胁

一份最新报告显示,尽管云存储兴起,87%企业仍在使用USB驱动器。加密驱动器制造商Apricorn的研究表明,58%的公司和组织不使用端口控制或白名单软件来管理USB设备的使用,而26%的用户不使用基于软件的加密。 此外,只有不到一半的组织(47%)要求对存储在USB驱动器上的数据进行加密,但是有91%的员工表示公司要求他们必须使用加密的USB驱动器。 Apricorn最新这份调查显示,只有不到一半的组织(47%)制定了USB驱动器丢失/被盗政策,而2017年这一比例为50%。53%的被调查者声称他们的组织没有适当技术来防止或检测将机密数据下载到USB驱动器上,而Apricorn在2017年的调查显示,54%的人声称他们的组织确实拥有这些技术。 该报告还暗示,云存储也不是万灵药。对将最敏感数据迁移和存储到云上,超过一半(57%)的公司和组织存在信心不足的问题。Apricorn认为,考虑到当今企业面临安全威胁的数量、复杂程度和严重程度日益增加,雇主必须为员工配备安全的USB驱动器,以防止发生严重破坏性的数据泄露。尽管现在90%的员工使用USB设备,但近60%的雇主未能使用端口控制或白名单软件来管理USB设备使用,这一事实令人震惊。     (稿源:cnBeta,封面源自网络。)

Windows 7 平台 Office 365 ProPlus 安全更新将持续至 2023 年

微软已经敲定将于2020年1月14日之前停止对Windows 7系统的支持,不过之后Office 365 ProPlus订阅用户依然能够在该系统上继续运行3年时间。换句话说,Office 365 ProPlus的安全更新周期将会持续到2023年1月,在这段时间内微软希望给客户提供更充足的时间迁移到Windows 10平台上。 虽然Windows 7用户在2023年1月之前能够继续使用Office 365 ProPlus,但是不会获得任何新的功能,而且微软还会敦促订阅用户尽快迁移到更高的Windows系统中,例如Windows 8.1或者Windows 10。 微软解释道:“即使Windows 7系统在2020年1月之后不再获得支持,我们还是决定在后续3年内继续为Office 365 ProPlus用户提供安全更新,直至2023年1月。我们这样做是为了给您更多的时间,以便于您能从Windows 7系统升级迁移到支持的Windows系统上,例如Windows 10。不过,在这段时间内,依然运行Windows 7的设备上,Office 365 ProPlus不会接受任何新的功能更新。”   (稿源:cnBeta,封面源自网络。)

英美澳施压 要求 Facebook 停止端到端加密计划

近年来,跨数字平台的端到端加密已经日渐普及。但是对于监管机构来说,这也为他们的调查取证和执法行动带来了极大的麻烦。近日,美国、英国和澳大利亚政府共同签署了一封公开信,要求 Facebook 停止在其所有平台上推行端到端加密计划,且矛头直指该公司首席执行官马克·扎克伯格。 (via New Atlas) 据悉,这封公开信来自美国司法部长 William Barr、代理国土安全部部长 kevin McAleenan、英国内政大臣 Priti Patel、以及澳大利亚内政部长 Peter Dutton,呼吁 Facebook“不要继续在其消息传递服务中实施端到端加密的计划”。 三国政府仍对强加密措施表示支持,因其认识到在银行和商业等处理服务中使用加密技术的必要性。与此同时,他们也指出了端到端加密通讯的弊端,尤其是妨碍执法机构对儿童剥削等不法行为的司法打击。 信中写到:“企业不应有意采用这类系统设计,以排除针对任何形式的内容访问、防止甚至阻碍重罪的调查。这样会严重削弱企业对不法内容和活动的管控,使公民和社会面临更大的风险”。 其实早在 2016 年的时候,WhatsApp 就已经因为率先部署端到端加密而遭到政府代表的抨击。比如英国内政大臣 Amber Rudd 就在 2017 年表示,其并不希望这类应用平台成为恐怖分子的交流场所。 2018 年底的时候,澳大利亚政府通过了一项有争议的反加密法案,迫使一加私营企业打造新的拦截功能,以免政府无法完全访问任何通信数据。 澳政府声称这并不是开后门,但安全专家称这只是文字游戏,此举仍会削弱端到端加密的基础,双方矛盾从根本上就难以调和。 作为一家致力于公民数字权益的非盈利组织,电子前沿基金会(EFF)称这封公开信无异于“一项旨在破坏数十亿人使用的通信工具的安全性和隐私性的惊人尝试”。 今年 3 月,扎克伯格发表了一篇评论,其中概述了 Facebook 的愿景。尽管其曾经无视过隐私概念,但后来还是转向了致力于为更多人提供私密性的加密服务。   (稿源:cnBeta,封面源自网络。)

微软将 SSD 默认加密切换到 BitLocker 软件加密

去年,微软发布了有关固态硬盘驱动器(SSD)新漏洞的安全公告,该漏洞会影响SSD上基于硬件的加密。该漏洞是由荷兰拉德堡德大学的荷兰安全研究人员Carlo Meijer和Bernard von Gastel首次发现的,他们发表了一篇题为“自我加密欺骗:固态硬盘中的加密缺陷”的论文。 事实证明,微软相信SSD可以自我加密以确保安全,但是其中许多驱动器所用加密系统中的漏洞可被黑客用于轻松解密数据,这导致将驱动器的内容暴露给了黑客。 微软建议Windows 10 Admins切换到受影响驱动器的软件加密,现在,在KB4516071更新中微软默认切换到软件加密,即使SSD声称提供硬件加密也是如此。 微软指出:“在加密自加密硬盘驱动器时,更改BitLocker为默认设置。现在,默认设置是对新加密的驱动器使用软件加密。对于现有的驱动器,加密类型不会改变。” 当然,软件加密速度较慢,而且处理器的处理强度更高,并且如果用户信任驱动器,则仍可以切换到硬件加密,但是默认情况下,对所有相关人员而言,默认设置都应该更安全。   (稿源:cnBeta,封面源自网络。)

谷歌发布全新数据库 以帮助检测深度假冒视频音频

许多人担心全新深层伪造技术出现,让人很难分辨音频、视频和图像真假。现在,谷歌希望更轻松帮助人们地知道这些东西是真实的还是伪造的,并为检测音频、视频和图像真伪做出贡献。谷歌表示,尽管许多假冒视频和图像本来是幽默的,但它们有可能对个人和社会造成危害。 谷歌认为这些问题非常严重,并已经发布了一个合成语音数据集,支持开发相关软件,以检测音频真假。谷歌表示,150多家研究机构和行业组织下载了该数据集。同样的数据集现在也可以供公众使用。 本周,谷歌与Jigsaw合作推出了一个全新可视化深度虚假数据集。新的数据集已被集成到相关基准测试软件当中,这将将有助于识别伪造的视频。现在用户可以在FaceForensics Github页面上下载这个数据集。 谷歌表示,该领域进展迅速,随着DeepFake技术发展,它将被添加到数据集中。谷歌还承诺将继续与该领域的合作伙伴合作。谷歌坚信支持一个蓬勃发展的研究社区,将减轻滥用合成媒体造成的潜在危害。   (稿源:cnBeta,封面源自网络。)

研究发现与俄罗斯情报部门有关的黑客之间很少共享代码

两家安全公司Check Point和Intezer Labs共同撰写了一份报告。这份报告显示,俄罗斯政府资助的黑客组织很少彼此共享代码,他们如果共享代码,这些代码通常是由同一情报机构管理的组织内部代码。 两家公司研究了将近2千个恶意软件样本,这些样本均来自于俄罗斯政府资助的黑客组织。研究人员对这些恶意软件样本之间的关系调查发现,恶意软件之间共享了22000个连接和385万条代码。这项庞大研究工作做出的结论是,人们发现俄罗斯APT(高级持续威胁,用于描述政府支持的黑客组织的术语)之间通常不会彼此共享代码。 此外,在极少数情况下,代码重用通常发生在同一情报服务内部,这表明负责对外国进行网络间谍活动的俄罗斯三个主要机构,它们通常不会进行协作。该报告证实了以前对俄罗斯网络间谍运作进行的新闻调查,也证实了其他外国情报部门在这方面的发现。之前大部分报告发现,俄罗斯所有网络间谍活动,主要由三个俄罗斯FSB(联邦安全局),SVR(外国情报局)和GRU(俄罗斯军事情报总局)负责进行,并且彼此之间没有合作或协调。 俄罗斯政府促进了三个机构之间彼此竞争,这三个机构彼此独立运作,并争夺政府拨款资金。这就导致黑客小组彼此独立开发工具,而不是与同行共享工具。     (稿源:cnBeta,封面源自网络。)

谷歌赢得具有里程碑意义的诉讼 不必在全球范围内执行“被遗忘权”

据英国广播公司(BBC)报道,欧洲最高法院已裁定谷歌不必在全球范围内执行“被遗忘权”。这意味着该公司仅在收到适当的请求后才需要从其在欧洲的搜索结果中删除链接,而无需在其他地方删除该链接。 该裁决源于谷歌与法国数据保护监管机构“法国国家信息与自由委员会(CNIL)”之间的纠纷。 2015年,CNIL命令该公司在全球范围内删除该搜索引擎平台上的链接,如果这些链接指向包含破坏性或虚假信息。2016年,谷歌推出了“地理封锁”功能,该功能可阻止欧洲用户看到遭限制的链接。 但是谷歌拒绝在全球范围内执行“被遗忘权”,该公司对CNIL试图施加的10万欧元罚款提出质疑。 “目前,根据欧盟法律,对于允许数据主体取消引用的搜索引擎运营商没有义务……对其所有版本的搜索引擎进行这种取消引用,”欧洲法院在裁决中说道。 谷歌曾辩称,如果这项裁决要在欧洲以外实施,则专制政府可能会掩盖这项侵犯人权的行为。该公司在欧洲法院裁决后发表声明说:“自2014年以来,我们一直努力在欧洲执行被遗忘权,并在人们的信息获取权与隐私权之间取得合理的平衡。很高兴看到法院同意我们的论点。” 该技术公司得到了微软、维基媒体基金会,非营利的新闻自由记者委员会以及英国言论自由运动组织 Article 19等组织的支持。 欧洲法院顾问Maciej Szpunar还得出结论,在今年早些时候向法院提出的不具约束力的建议中,被遗忘权仅限于欧洲。 自2014年5月欧洲法院首次确定欧洲公民在某些情况下可以迫使搜索公司从使用其姓名的查询中删除包含有关他们的敏感信息的网页时,谷歌便开始执行被遗忘权。 谷歌表示,自那时以来,该已经收到了超过84.5万个请求,总共删除了330万个网址,其中大约45%的链接最终被删除。这包括从其欧洲网站(例如Google.fr,Google.co.uk和Google.de)中删除结果,以及在其检测到正在搜索的情况下,从其其他网站(例如Google.com)中限制结果。但是,这意味着,如果用户使用虚拟专用网络(VPN)或其他工具掩盖其位置,则仍然可以绕开该操作。     (稿源:cnBeta,封面源自网络。) 相关阅读:谷歌再次面临欧盟隐私裁决 或将在全球范围删除链接

STOP:过去 1 年最猖獗的勒索软件 通过破解软件肆意传播

你是否听说到STOP勒索软件?或许答案是否定的,毕竟目前没有太多关于该勒索软件的报道,也没有大多数安全研究人员涉及,而且它主要是通过破解软件、广告软件包和暗网等渠道进行感染传播的。 Ryuk,GandCrab和Sodinkibi等之所以能够受到媒体的广泛关注,是因为它们需要支付巨额的赎金,并能中止企业和地方政府的正常运转,而这些受影响的企业用户是防病毒公司赖以生存的重要服务对象。 基于Michael Gillespie的ID Ransomware提交报告,在过去1年中最活跃的勒索软件就是STOP软件。勒索软件识别服务ID Ransomware每天大约收到2500个勒索软件提交,其中,60-70%是STOP勒索软件提交。这种数量的提交超过了用户在寻求帮助时提交给服务的其他勒索软件。 为了分发STOP,勒索软件开发人员已经与黑幕站点和广告软件捆绑在一起。这些网站宣传一些破解的软件程序,不过实际内含广告程序,可在用户计算机上安装各种不需要的软件和恶意软件。通过这些捆绑软件安装的程序之一是STOP Ransomware。 目前已经发现STOP勒索软件的“破解软件”中,包括KMSPico,Cubase,Photoshop,甚至还有防病毒软件。不仅如此,这些网站还提供一些免费软件下载,同样内置安装勒索软件的广告软件捆绑包。更糟糕的是,其中一些变种还将Azorult密码窃取木马与勒索软件捆绑在一起,对受害者进行了双重攻击。 Stop勒索病毒还具有以下特性: 1.    加密时,禁用任务管理器、禁用Windows Defender、关闭Windows Defender的实时监控功能 ; 2.    通过修改hosts文件阻止系统访问全球范围内大量安全厂商的网站; 3.    因病毒执行加密时,会造成系统明显卡顿,为掩人耳目,病毒会弹出伪造的Windows 自动更新窗口;     (稿源:cnBeta,封面源自网络。)