分类: 安全快讯

Mozilla 表示美国 ISP 向国会撒谎 散布有关 DNS 加密的不实信息

Mozilla今天在写给美国众议院委员会主席和高级成员的信中表示,互联网提供商反对浏览器DNS加密这一隐私功能,这些提供商的行为让外界质疑它们如何使用客户网络浏览数据。Mozilla还表示,互联网提供商一直在向立法者提供不准确的信息,并敦促国会公开调查当前ISP数据收集和使用政策。 基于HTTPS的DNS有助于防止窥视者看到用户浏览器正在进行的DNS查找。这会使ISP或其他第三方更加难以监控用户访问的网站。Mozilla信任与安全机构高级总监Marshall Erwin表示,毫无疑问,我们在DoH [基于HTTPS的DNS]上的工作促使ISP发起了一场运动,以阻止所有这些隐私和安全保护功能实施。 宽带行业声称,谷歌计划自动将Chrome用户切换到自己的DNS服务,但是Google公开宣布的计划是检查用户当前的DNS提供商是否在兼容DoH提供商列表中,如果用户选择的DNS服务不在该列表中,则Chrome不会对该用户进行任何更改。 而Mozilla实际上计划在默认情况下将Firefox用户切换到其他DNS提供商,特别是Cloudflare的加密DNS服务。但是,由于Firefox的市场份额较小,因此与Chrome相比,ISP显然不太关心Firefox。 Mozilla在致国会的信中说,ISP对加密DNS进行游说相当于电信协会明确主张ISP必须有能力收集用户数据并从中获利。目前,美国ISP对用户数据滥用包括在未经用户了解或未获得有效同意的情况下,向第三方出售实时位置数据,诸如Comcast之类的ISP、操纵DNS为消费者提供广告,Verizon使用超级Cookie来跟踪用户的Internet活动,AT&T每月向客户收取29美元的额外费用,以避免AT&T收集用户浏览历史记录并且从中获利。   (稿源:cnBeta,封面源自网络。)

GitLab 在产品中收集用户行为数据,遭遇强烈吐槽撤回

上周 GitLab 给所有用户发送题为《关于服务协议以及用户行为数据收集重要通知》的邮件(详情)。GitLab 希望借此来收集来自 GitLab 产品中的用户使用习惯,以改进产品从而为用户提供更好的产品体验。 GitLab 原计划不会针对所有产品都收集遥测数据。如下图所示,对于社区版和企业版,GitLab 都没有添加收集遥测数据的服务。唯一会收集数据的地方来自 GitLab.com 提供的服务。 但作为独立部署的产品,此举遭到来自社区开发者的强烈抗议。日前,迫于压力,GitLab 再次发布撤回并重新思考关于收集用户行为的措施以及道歉邮件。 GitLab 官方称将不会在产品中激活用户的产品使用行为的分析。同时希望用户根据此行为提供反馈意见。   (稿源:开源中国,封面源自网络。)

Firefox 最安全?唯一通过德国联邦信息安全局考核的浏览器

在近期德国网络安全机构“德国联邦信息安全局(BSI)”针对几大 Web 浏览器进行的审查中,Firefox 在安全性上获得了最高分,并且是唯一通过所有强制性安全功能最低要求的浏览器。 不过前提是 BSI 只对 Mozilla Firefox 68(ESR)、Google Chrome 76、Microsoft Internet Explorer 11 和 Microsoft Edge 44 进行了测试,并不包括 Safari、Brave、Opera 与 Vivaldi 等浏览器。 此次测试是使用 BSI 于 2019 年 9 月发布的“现代安全浏览器”指南中详述的规则进行的。BSI 通常根据该指南就可以安全使用哪些浏览器向政府机构和私营公司提供建议。此次指南更新完善了现代浏览器新增和改进的安全措施与机制,例如 HSTS、SRI、CSP 2.0、遥测处理和改进的证书处理机制。 根据 BSI 的新指南,被认为安全的现代 Web 浏览器必须满足以下最低要求: 必须支持 TLS 必须具有受信任证书的列表 必须支持扩展验证(EV)证书 必须根据证书吊销列表(CRL)或在线证书状态协议(OCSP)验证加载的证书 浏览器必须使用图标或颜色高亮来显示通信何时加密到远程服务器或采用明文形式 仅在经过特定用户的批准后,才允许连接到使用过期证书运行的远程网站 必须支持 HTTP Strict Transport Security (HSTS) (RFC 6797) 必须支持 Same Origin Policy (SOP) 必须支持 Content Security Policy (CSP) 2.0 必须支持子资源完整性(SRI) 必须支持自动更新 必须为关键的浏览器组件和扩展支持单独的更新机制 必须对浏览器更新进行签名和验证 浏览器的密码管理器必须以加密形式存储密码 必须仅在用户输入主密码之后允许访问浏览器的内置密码库 用户必须能够从浏览器的密码管理器中删除密码 用户必须能够阻止或删除 cookie 文件 用户必须能够阻止或删除自动完成历史记录 用户必须能够阻止或删除浏览历史记录 组织管理员必须能够配置或阻止浏览器发送遥测/使用数据 浏览器必须支持一种机制来检查有害内容/URL 浏览器应允许组织运行本地存储的 URL 黑名单 必须支持一些设置,用户可以在其中启用/禁用插件、扩展或脚本 浏览器必须能够导入集中创建的配置设置,非常适合大规模企业部署 必须允许管理员禁用基于云的配置文件同步功能 必须在初始化后以最小的操作系统权限运行在操作系统中 必须支持沙箱 所有浏览器组件必须彼此隔离,并且与操作系统隔离。隔离组件之间的通信只能通过定义的接口进行,不能直接访问隔离组件的资源 网页需要彼此隔离,最好以独立进程的形式,还要允许线程级隔离 必须使用支持堆栈和堆内存保护的编程语言对浏览器进行编码 浏览器供应商必须在公开披露安全漏洞后不超过 21 天提供安全更新。如果主浏览器供应商未能提供安全更新,则组织必须移至新的浏览器 浏览器必须使用 OS 内存保护,例如地址空间布局随机化(ASLR)或数据执行保护(DEP) 组织管理员必须能够管理或阻止未经批准的附件/扩展的安装 根据 BSI 的说法,Firefox 是唯一支持以上所有要求的浏览器,其它浏览器测试不通过的原因包括: 缺少对主密码机制的支持(Chrome、IE、Edge) 没有内置的更新机制(IE) 没有阻止遥测收集的选项(Chrome、IE、Edge) 不支持 SOP(IE) 不支持 CSP(IE) 不支持 SRI(IE) 不支持浏览器配置文件/不同的配置(IE、Edge) 缺乏组织透明度(Chrome、IE、Edge)   (稿源:开源中国,封面源自网络。)

大多数 SSL 证书签发错误的主要原因是软件错误

最近的一项学术研究发现,软件错误和对行业标准的误解是大多数错误签发 SSL 证书的最主要原因,其所占比例高达所有错误事件的 42%。 这项研究是由印第安纳大学布卢明顿分校信息与计算学院的一个团队撰写的,他们研究了 379 起 SSL 证书签发错误的实例,并总共发现了 1300 多个事件。 研究人员从公共资源收集了事件数据,例如 Mozilla 的 Bugzilla 跟踪器与 Firefox 和 Chrome 浏览器安全团队的网上论坛讨论区。该研究的目的是研究证书颁发机构(CA)如何遵守行业标准,以及 SSL 证书签发错误背后的最常见原因。 研究小组得出了一个结论,即“大多数错误签发 SSL 证书的事件都是由软件错误引起的”。 在他们分析的 379 个案例中,有 91 个(占 24%)是由 CA 的一个软件平台中的软件错误引起的,导致客户收到不兼容的 SSL 证书。 第二个最常见的原因是 CA 误解了 CA/B 论坛规则,或者 CA 不知道规则已更改,有 69 起案件是这种情况,占所有 SSL 证书签发错误事件的 18%。 而恶意根 CA 导致的问题数据占比排在第三位,有 52 个 SSL 证书签发错误案例(占所有分析事件的 14%)是 CA 故意作恶,为了利润而破坏了行业规则,比如他们会给中间人攻击者出售证书。 第四大最常见的原因是人为错误,有 37 例(占总数的 10%)。 第五位是操作错误,其中错误是由于 CA 的内部程序错误,而不是软件或人为错误,这占了 29 例,占所有案例的 8%。 第六个根本原因是“非最佳请求检查(non-optimum request check)”,该术语描述了检查客户身份时所犯的错误,通常允许流氓客户假冒另一个实体,例如,恶意软件作者获得了 SSL 证书合法的公司。研究人员发现了 24 个此类事件,占所有 SSL 签发错误事件的 6%。 SSL 证书签发错误的第七个最常见的根本原因是“不正确的安全控制”,这是一个通用类别,其中包括所有 CA 被黑或失去对其基础结构的控制以允许第三方获得 SSL 证书的情况。   (稿源:开源中国,封面源自网络。)

皮尤:大部分美国人缺乏网络安全基础知识

据外媒报道,皮尤研究中心的一份新研究报告显示,许多美国人在数字安全方面的知识尤其是在隐私网页浏览方式、双重认证是什么等方面存在差距。这些结果则是基于一项包含有10个问题的调查得出,据悉,调查问题主要集中在社交媒体和网络安全方面。 皮尤研究中心在其报告中总结称,人们对网络安全的认识各不相同。美国绝大多数的成年人了解诸如网站cookies是什么、网络钓鱼诈骗性质等知识,但几乎超1/4的受访成年人并不了解能够大大提高在线账户安全的双重认证功能。 另外,只有约一半的受访成年人了解隐私浏览的功能,只有不到1/4的人知道隐私浏览只会阻止其他用户查看会话的浏览历史。皮尤研究中心在最终汇总了所有的回答之后发现只有20%的美国成年人能正确回答至少七个问题。 不到一半的受访者能够正确回答有关隐私政策、网络中立、网络安全中“https”含义、拥有Instagram和WhatsApp的2FA公司、隐私网页浏览以及杰克·多尔西是谁等问题。 据了解,在这项研究中总共有4272名美国成年人参加了调查。     (稿源:cnBeta,封面源自网络。)

U盘仍是企业计算机安全风险的主要威胁

一份最新报告显示,尽管云存储兴起,87%企业仍在使用USB驱动器。加密驱动器制造商Apricorn的研究表明,58%的公司和组织不使用端口控制或白名单软件来管理USB设备的使用,而26%的用户不使用基于软件的加密。 此外,只有不到一半的组织(47%)要求对存储在USB驱动器上的数据进行加密,但是有91%的员工表示公司要求他们必须使用加密的USB驱动器。 Apricorn最新这份调查显示,只有不到一半的组织(47%)制定了USB驱动器丢失/被盗政策,而2017年这一比例为50%。53%的被调查者声称他们的组织没有适当技术来防止或检测将机密数据下载到USB驱动器上,而Apricorn在2017年的调查显示,54%的人声称他们的组织确实拥有这些技术。 该报告还暗示,云存储也不是万灵药。对将最敏感数据迁移和存储到云上,超过一半(57%)的公司和组织存在信心不足的问题。Apricorn认为,考虑到当今企业面临安全威胁的数量、复杂程度和严重程度日益增加,雇主必须为员工配备安全的USB驱动器,以防止发生严重破坏性的数据泄露。尽管现在90%的员工使用USB设备,但近60%的雇主未能使用端口控制或白名单软件来管理USB设备使用,这一事实令人震惊。     (稿源:cnBeta,封面源自网络。)

Windows 7 平台 Office 365 ProPlus 安全更新将持续至 2023 年

微软已经敲定将于2020年1月14日之前停止对Windows 7系统的支持,不过之后Office 365 ProPlus订阅用户依然能够在该系统上继续运行3年时间。换句话说,Office 365 ProPlus的安全更新周期将会持续到2023年1月,在这段时间内微软希望给客户提供更充足的时间迁移到Windows 10平台上。 虽然Windows 7用户在2023年1月之前能够继续使用Office 365 ProPlus,但是不会获得任何新的功能,而且微软还会敦促订阅用户尽快迁移到更高的Windows系统中,例如Windows 8.1或者Windows 10。 微软解释道:“即使Windows 7系统在2020年1月之后不再获得支持,我们还是决定在后续3年内继续为Office 365 ProPlus用户提供安全更新,直至2023年1月。我们这样做是为了给您更多的时间,以便于您能从Windows 7系统升级迁移到支持的Windows系统上,例如Windows 10。不过,在这段时间内,依然运行Windows 7的设备上,Office 365 ProPlus不会接受任何新的功能更新。”   (稿源:cnBeta,封面源自网络。)

英美澳施压 要求 Facebook 停止端到端加密计划

近年来,跨数字平台的端到端加密已经日渐普及。但是对于监管机构来说,这也为他们的调查取证和执法行动带来了极大的麻烦。近日,美国、英国和澳大利亚政府共同签署了一封公开信,要求 Facebook 停止在其所有平台上推行端到端加密计划,且矛头直指该公司首席执行官马克·扎克伯格。 (via New Atlas) 据悉,这封公开信来自美国司法部长 William Barr、代理国土安全部部长 kevin McAleenan、英国内政大臣 Priti Patel、以及澳大利亚内政部长 Peter Dutton,呼吁 Facebook“不要继续在其消息传递服务中实施端到端加密的计划”。 三国政府仍对强加密措施表示支持,因其认识到在银行和商业等处理服务中使用加密技术的必要性。与此同时,他们也指出了端到端加密通讯的弊端,尤其是妨碍执法机构对儿童剥削等不法行为的司法打击。 信中写到:“企业不应有意采用这类系统设计,以排除针对任何形式的内容访问、防止甚至阻碍重罪的调查。这样会严重削弱企业对不法内容和活动的管控,使公民和社会面临更大的风险”。 其实早在 2016 年的时候,WhatsApp 就已经因为率先部署端到端加密而遭到政府代表的抨击。比如英国内政大臣 Amber Rudd 就在 2017 年表示,其并不希望这类应用平台成为恐怖分子的交流场所。 2018 年底的时候,澳大利亚政府通过了一项有争议的反加密法案,迫使一加私营企业打造新的拦截功能,以免政府无法完全访问任何通信数据。 澳政府声称这并不是开后门,但安全专家称这只是文字游戏,此举仍会削弱端到端加密的基础,双方矛盾从根本上就难以调和。 作为一家致力于公民数字权益的非盈利组织,电子前沿基金会(EFF)称这封公开信无异于“一项旨在破坏数十亿人使用的通信工具的安全性和隐私性的惊人尝试”。 今年 3 月,扎克伯格发表了一篇评论,其中概述了 Facebook 的愿景。尽管其曾经无视过隐私概念,但后来还是转向了致力于为更多人提供私密性的加密服务。   (稿源:cnBeta,封面源自网络。)

微软将 SSD 默认加密切换到 BitLocker 软件加密

去年,微软发布了有关固态硬盘驱动器(SSD)新漏洞的安全公告,该漏洞会影响SSD上基于硬件的加密。该漏洞是由荷兰拉德堡德大学的荷兰安全研究人员Carlo Meijer和Bernard von Gastel首次发现的,他们发表了一篇题为“自我加密欺骗:固态硬盘中的加密缺陷”的论文。 事实证明,微软相信SSD可以自我加密以确保安全,但是其中许多驱动器所用加密系统中的漏洞可被黑客用于轻松解密数据,这导致将驱动器的内容暴露给了黑客。 微软建议Windows 10 Admins切换到受影响驱动器的软件加密,现在,在KB4516071更新中微软默认切换到软件加密,即使SSD声称提供硬件加密也是如此。 微软指出:“在加密自加密硬盘驱动器时,更改BitLocker为默认设置。现在,默认设置是对新加密的驱动器使用软件加密。对于现有的驱动器,加密类型不会改变。” 当然,软件加密速度较慢,而且处理器的处理强度更高,并且如果用户信任驱动器,则仍可以切换到硬件加密,但是默认情况下,对所有相关人员而言,默认设置都应该更安全。   (稿源:cnBeta,封面源自网络。)

谷歌发布全新数据库 以帮助检测深度假冒视频音频

许多人担心全新深层伪造技术出现,让人很难分辨音频、视频和图像真假。现在,谷歌希望更轻松帮助人们地知道这些东西是真实的还是伪造的,并为检测音频、视频和图像真伪做出贡献。谷歌表示,尽管许多假冒视频和图像本来是幽默的,但它们有可能对个人和社会造成危害。 谷歌认为这些问题非常严重,并已经发布了一个合成语音数据集,支持开发相关软件,以检测音频真假。谷歌表示,150多家研究机构和行业组织下载了该数据集。同样的数据集现在也可以供公众使用。 本周,谷歌与Jigsaw合作推出了一个全新可视化深度虚假数据集。新的数据集已被集成到相关基准测试软件当中,这将将有助于识别伪造的视频。现在用户可以在FaceForensics Github页面上下载这个数据集。 谷歌表示,该领域进展迅速,随着DeepFake技术发展,它将被添加到数据集中。谷歌还承诺将继续与该领域的合作伙伴合作。谷歌坚信支持一个蓬勃发展的研究社区,将减轻滥用合成媒体造成的潜在危害。   (稿源:cnBeta,封面源自网络。)