分类: 安全快讯

谷歌修复 Chrome 新创建文件被 Windows 10 反病毒软件锁定的 Bug

Google Chrome 刚刚修复了一个影响浏览器在 Windows 10 操作系统上创建新文件的 Bug 。此前在使用“ImportantFileWriter”输出某些文件时,反病毒软件可能会阻止 Google Chrome 浏览器执行包括新建书签等在内的操作。 据悉,为安全起见,反病毒软件通常会临时锁定系统上新生成的文件,直到对其完成了反病毒扫描、并排除了恶意活动的可能。 谷歌工程师 Bruce Dawson 解释称:“反病毒程序和其它扫描软件可能会暂时锁定新创建的文件,但这可能引发频繁的问题,比如在保存新建的浏览器书签、或其它基于 ImportantFileWriter 执行的操作时”。 好消息是,正如 Windows Latest 在本周早些时候首次报道的那样,即便启用了防病毒工具,Chromium 团队已经引入了一项增强功能,以便 Chrome 浏览器能够在 Windows 10 上平稳运行。 由提交的 Chromium 代码可知,修复程序通过多次重试 ReplaceFile 的方法来规避相关问题。在避免争抢文件访问权限的同时,防病毒程序可控制(并锁定)被 Chrome 同时访问的文件。 庆幸的是,这个 Important_file_writer.cc 的 Bug 仅影响 Windows 操作系统平台(修复如上图第 45 行所示)。 此外本次改进还引入了机器学习方面的新体验,意味着随着使用时间的增长,Chromium 将自动学会如何通过一些细微的操作来避开这种竞争条件(所需的失败尝试次数)。 自 2020 年 12 月 30 日起,该修复程序已合并到 Chromium 的项目代码存储库中,预计可在下一版本的 Google Chrome 浏览器中得到全面修复。 有需要的用户,还请及时留意 Google Chrome 浏览器的后续版本更新。           (消息来源:cnBeta;封面源自网络)

美调查机构发联合声明:SolarWinds 网络攻击可能源自俄罗斯

据外媒报道,美FBI、NSA、网络安全与基础设施安全局(CISA)和国家情报总监办公室(ODNI)于当地时间周二发表联合声明称,SolarWinds的黑客行为“可能来自俄罗斯”。这是这四家机构首次将网络攻击归咎于俄罗斯。 声明称:“这项研究表明,一个高级持续性威胁(APT)行为者可能来自俄罗斯,其对最近发现的大部分或全部政府和非政府网络正在进行的网络攻击负有责任。目前,我们认为,这是一项情报收集工作,而且将继续如此。” 美国务卿迈克·蓬佩奥上月曾在接受新闻采访时表示,SolarWinds袭击很可能来自俄罗斯,但直到现在都还没有做出正式声明。 最新的这份联合声明则补充称,在1.8万家受影响的公司和机构中迄今发现只有10家美国政府机构受到系统后续活动的影响。 由FBI、NSA、CISA、ODNI组成的网络统一协调小组仍在继续调查这起始于2020年的黑客入侵事件,当时黑客侵入了总部位于德克萨斯州奥斯汀的SolarWinds的IT管理软件。 据报道,此次入侵包括美国财政部高层使用的电子邮件系统。       (消息及封面来源:cnBeta)

遭俄罗斯黑客攻击后 美国政府提高警惕

据《纽约时报》报道,美国网络司令部司令兼美国国安局局长保罗·中曾根在选举日曾报告说,反对俄罗斯干预总统竞选的战斗已经取得了重大成功,并暴露了对方的在线武器、工具和谍报技术。他对记者说:“我们拓宽了行动范围,感觉我们现在的情况非常好。”八周后, 中曾根将军和其他负责网络安全的美国官员现在被他们至少9个月来所忽略的事情所消耗:现在被认为影响到多达250个联邦机构和企业的黑客攻击,俄罗斯的目标不是选举系统,而是美国政府的其他部门和许多美国大公司。 入侵事件曝光三周后,美国官员仍在试图了解俄罗斯人的所作所为,究竟是简单的在美国官僚系统内部进行间谍活动,还是将“后门”接入政府机构、大公司、电网以及开发和运输新一代核武器的实验室。 《纽约时报》认为,至少这些事件已经引发了美国政府和私营部门网络易受攻击的警报,并提出了美国国家网络防御系统为何失败的问题。 鉴于此次漏洞并不是由任何一个分担网络防御责任的政府机构–军方的网络司令部和国家安全局(均由中曾根将军掌管)以及国土安全部–发现的,而是由一家私营网络安全公司FireEye发现的,因此这些问题显得尤为紧迫。 “这看起来比我最初担心的要糟糕得多,”弗吉尼亚州民主党参议员、参议院情报委员会排名成员马克·华纳说。“它的规模不断扩大。很明显,美国政府错过了它。”“而如果FireEye没有站出来,”他补充说,“我不确定我们到今天还能不能完全意识到这一点。” 对调查情报机构认为是俄罗斯S.V.R.情报部门行动的关键人物的采访显示了这些要点: 漏洞的范围比最初认为的要大得多。最初的估计是,俄罗斯只向18000个政府和私人网络中的几十个网络发起攻击,他们在德克萨斯州一家名为SolarWinds的公司制造的网络管理软件中插入代码,从而获得了访问权。但随着亚马逊和微软等提供云服务的企业深入挖掘证据,现在看来,俄罗斯利用供应链的多个层面获得了多达250个网络的访问权限。 黑客从美国境内的服务器进行管理入侵,利用国家安全局从事国内监控的法律禁令,躲过了国土安全部部署的网络防御措施。 美国网络司令部和国家安全局在外国网络深处放置的“预警 ”传感器,用于侦测酝酿的攻击,显然是失败的。目前也还没有迹象表明,有任何人类情报机构向美国发出了黑客攻击的警报。 美国政府对选举防御的重视虽然在2020年至关重要,但可能转移了资源和注意力,使其无法解决保护软件“供应链”等酝酿已久的问题。在私营部门,也是如此,像FireEye和微软这样专注于选举安全的公司,现在也透露他们被攻破,成为更大的供应链攻击的一部分。 据现任和前任员工以及政府调查人员称,被黑客用作攻击渠道的SolarWinds公司,其产品的安全性能历来不高,因此很容易成为目标。该公司首席执行官 Kevin B. Thompson已经回避了他的公司是否应该发现入侵的问题。 部分被入侵的SolarWinds软件是在东欧设计的,美国调查人员目前正在研究入侵是否源自那里,因为俄罗斯情报人员在那里根深蒂固。 攻击背后的意图仍被掩盖。但随着新政府在不到三周后上任,一些分析人士表示,俄罗斯人可能试图动摇华盛顿对其通信安全的信心,并展示他们的cyberarsenal,以便在核武谈判之前获得对当选总统拜登的影响力。 “我们仍然不知道俄罗斯的战略目标是什么,”曾在奥巴马政府期间担任国土安全部高级网络官员的Suzanne Spaulding说。“但我们应该关注的是,这其中的一部分可能超出了侦察的范围。他们的目标可能是让自己处于对新政府有影响力的地位,就像拿枪指着我们的脑袋,以阻止我们采取行动对抗普京。” 日益增长的打击名单 美国政府显然是攻击的主要焦点,财政部、国务院、商务部、能源部和五角大楼的部分机构都被证实被渗透。国防部坚持认为对其系统的攻击是不成功的,尽管它没有提供证据。 但黑客攻击也攻破了大量的公司,其中许多公司尚未出面。SolarWinds被认为是俄罗斯在黑客攻击中使用的几家供应链供应商之一。微软截至12月17日已统计出40名受害者,起初它说自己没有被入侵,但本周才发现自己被入侵了–而且其软件的经销商也被入侵了。亚马逊情报团队此前未报告的评估发现,受害者人数可能是其五倍之多,不过官员警告说,其中一些人可能被重复计算。 官员们在公开场合表示,他们不相信来自俄罗斯S.V.R.的黑客攻破了包含敏感通信和计划的机密系统。但私下里,官员们表示,他们仍不清楚可能被窃取的内容。 他们说,他们担心黑客可能从联邦能源监管委员会等受害者那里窃取了微妙但不保密的数据,包括 “黑启动(Black-Start) “,即美国计划在大停电时如何恢复电力的详细技术蓝图。 这些计划将给俄罗斯提供一个目标系统的命中名单,以防止其在2015年在乌克兰发动的攻击中恢复电力,在深冬时关闭电力6小时。莫斯科早就在美国电网中植入了恶意软件,美国也对俄罗斯做了同样的事情,以示威慑。 供应链受损 到目前为止,调查的一个主要焦点是SolarWinds,这家位于奥斯汀的公司,其软件更新被黑客入侵。但美国国土安全部的网络安全部门认为,黑客也是通过其他渠道工作的。而上周,另一家安全公司CrowdStrike透露,它也被同样的黑客盯上了,但没有成功,但通过一家转售微软软件的公司。 由于经销商经常受托设置客户的软件,他们–像SolarWinds一样–可以广泛进入微软客户的网络。因此,他们可以成为俄罗斯黑客的理想木马。情报官员对微软没有更早发现这次攻击表示愤怒;该公司周四表示,黑客查看了其源代码,但没有透露其哪些产品受到影响,也没有透露黑客在其网络内部停留了多长时间。 Obsidian Security公司创始人Glenn Chisholm表示:“他们瞄准了供应链中最薄弱的环节,并通过我们最信任的关系进行攻击。” 对SolarWinds现员工和前员工的采访表明,它迟迟没有将安全作为优先事项,即使其软件被美国首屈一指的网络安全公司和联邦机构采用。员工们表示,在受过培训的会计师和前首席财务官汤普森先生的领导下,公司对业务的每一个部分都进行了检查,以节约成本,而普通的安全实践则因其费用而被摒弃。他的方法帮助SolarWinds的年利润率从2010年的1.52亿美元增加了近三倍,到2019年超过4.53亿美元。 但其中一些措施可能会使公司及其客户面临更大的攻击风险。SolarWinds将其大部分工程转移到捷克共和国、波兰和白俄罗斯的办公室,在那里,工程师可以广泛访问俄罗斯特工入侵的Orion网络管理软件。该公司仅表示,对其软件的操纵是人为黑客所为,而非计算机程序。该公司没有公开处理内部人员参与入侵的可能性。 《纽约时报》最近几周接触的SolarWinds客户中,没有一个人知道他们依赖的是在东欧维护的软件。许多人表示,他们甚至直到最近才知道自己使用的是SolarWinds软件。 即使在整个联邦网络中安装了它的软件,员工们说,SolarWinds只是在2017年,在新的欧洲隐私法的惩罚威胁下,才加装了安全防护措施。员工说,直到那时,SolarWinds才聘请了第一位首席信息官,并安装了一位 “安全架构 “副总裁。 SolarWinds的前网络安全顾问Ian Thornton-Trump表示,他当年曾警告管理层,除非它对内部安全采取更积极的态度,否则网络安全事件将是 “灾难性的”。在他的基本建议被忽视后,桑顿-特朗普先生离开了公司。 SolarWinds拒绝回应有关其安全性是否充分的问题。在一份声明中,它说它是 “高度复杂、复杂和有针对性的网络攻击的受害者”,并正在与执法部门、情报机构和安全专家密切合作进行调查。 但安全专家指出,在发现俄罗斯攻击后数天,SolarWinds的网站才停止向客户提供受影响的代码。 攻大于守 近年来,数十亿美元的网络安全预算流向了进攻性的间谍活动和先发制人计划,也就是中曾根将军所说的 “超前防御 “的需要,通过入侵对手的网络,尽早了解他们的行动,并在必要时,在他们发动攻击之前,在自己的网络内部进行反击。但这种方法虽然被誉为早就应该采取的先发制人的策略,但却错过了俄罗斯的漏洞。 据FireEye报道,俄罗斯人通过从美国境内的服务器发动攻击,在某些情况下,他们使用的计算机与受害者在同一个城镇或城市,利用了国家安全局的权力限制。国会没有赋予该机构或国土安全局任何进入或保卫私营部门网络的权力。正是在这些网络上,S.V.R.特工们不太小心,留下了他们入侵的线索,FireEye最终得以发现。 通过将自己插入到SolarWinds的猎户座更新中,并使用自定义工具,他们还避免了跳过国土安全局在政府机构中部署的 “爱因斯坦 “检测系统的警报,以捕捉已知的恶意软件,以及所谓的C.D.M.程序,该程序是明确设计用来提醒机构注意可疑活动的。 一些情报官员质疑,政府是否如此专注于选举干预,以至于在其他地方制造了空子。情报机构几个月前得出结论,认为俄罗斯已经确定无法渗透到足够多的选举系统来影响选举结果,而是将注意力转移到转移可能剥夺选民权利的勒索软件攻击,以及旨在播撒不和谐的影响行动,引发对系统完整性的怀疑,改变选民的想法。 早在2019年10月就开始的SolarWinds黑客攻击事件,以及对微软经销商的入侵,让俄罗斯有机会攻击多个联邦机构中最脆弱、最不设防的网络。 中曾根将军拒绝接受采访。但国家安全局发言人查尔斯-K-斯塔德兰德说。“我们不认为这是一个’非此即彼’的权衡。选举安全工作中构建的行动、见解和新框架,对国家和美国政府的网络安全态势有着广泛的积极影响。” 事实上,美国似乎已经成功说服了俄罗斯,即旨在改变选票的攻击将促使俄罗斯采取代价高昂的报复行动。但随着入侵规模的凸显,美国政府显然未能说服俄罗斯,执行对联邦政府和企业网络的大范围黑客攻击会有相当的后果。 把黑客“赶出去” 情报官员说,他们可能要花几个月甚至几年的时间才能对黑客攻击事件有一个全面的了解。 自2017年提取一名克里姆林宫高层线人以来,中情局对俄罗斯行动的了解已经减少。而情报官员说,S.V.R.通过避免可能向国家安全局暴露机密的电子通讯,一直保持着世界上最有能力的情报部门之一。 对S.V.R.最好的评估来自荷兰人。2014年,为荷兰情报和安全总局工作的黑客刺破了该组织使用的电脑,至少观察了一年,并一度将其拍下。 正是荷兰人在2014年和2015年帮助提醒白宫和国务院他们的系统遭到S.V.R.黑客攻击,上个月,他们抓住了两名被指控渗透到荷兰科技公司的S.V.R.特工,并将其驱逐出荷兰。虽然该组织并不以破坏性著称,但其渗透到的计算机系统中却很难驱逐。 当S.V.R.闯入国务院和白宫的非机密系统时,时任国家安全局副局长的理查德-莱杰特说,该机构进行的数字相当于“徒手搏斗”。有一次,S.V.R.获得了调查人员用来连根拔除俄罗斯后门的NetWitness Investigator工具的访问权限,以这样的方式操纵它,使黑客继续逃避检测。 调查人员说,他们会认为自己已经把S.V.R.“赶出去”了,却发现这群人从另一扇门“爬了进来”。 一些安全专家说,把这么多庞大的联邦机构赶出S.V.R.可能是徒劳的,唯一的出路可能是关闭系统,重新开始。其他人说,在大流行期间这样做将是非常昂贵和耗时的,新政府将不得不努力识别和控制每一个受损的系统,然后才能校准响应。 “S.V.R.是故意的,他们很复杂,而且他们没有像我们在西方国家那样的法律约束,”前政府情报分析师亚当-达拉说,他现在是安全公司Vigilante的情报总监。他补充说,制裁、起诉和其他措施都没能阻挡住S.V.R.,它已经显示出它可以迅速适应。 “他们现在正在非常密切地观察我们,”达拉说。“而且他们会相应地进行调整。”         (消息来源:cnBeta,封面来自网络)

Wing 对美国无人机监管新法案表达了隐私顾虑

过去一周,美国政府对无人机法案实施了一次相当大规模的修改,并且可能对个人用户的隐私造成巨大影响。新法案规定,美国领空中的几乎每一架无人机及其操控者,都必须广播自身的位置,以应对与领空安全、国家安全和执法等相关的问题。 现在看来,谷歌母公司 Alphabet 旗下的无人机交付企业 Wing,已经对新规表达了相当不满意的态度。 在一篇标题为《广播识别无人机或对消费者造成意想不到的后果》的文章中,Project Wing 团队认为:“新规或让观察者追踪消费者的位置、动作和去向意图,以及居住地、包裹交付时间和地点等隐私。社区不会接受给他们送货的地面车辆或出租载具受到此种监视,这种情况放到空中也是同理” 当然,Wing 不是完全反馈广播送货无人机的定位信息,只是不希望通过本地广播的形式来发送,反而更希望通过互联网来发送。 有趣的是,在 2019 年 12 月最初提出远程 ID 规则的时候,美国联邦航空管理局(FAA)本是打算启用基于互联网的无人机追踪的。 可由于后来收到了来自评论员的意见,其中谈到了基于互联网的追踪可能面临哪些问题,最终还是选择了放弃。 • 比如首先需要为无人机配备蜂窝移动网络的通讯模块; • 人们需要为每架无人机交付数据流量的月租费用; • 全美缺乏完整、可靠的蜂窝移动网络覆盖; • 需要向第三方代理缴纳追踪和存储数据的成本; • 第三方管理不善导致的数据泄露风险; • 以及数据代理网络和无人机可能遭受 DDoS 攻击等可能。       (消息及封面来源:cnBeta)

SolarWinds 被黑事件比预期更严重 超 250 家机构受影响

援引《纽约时报》报道,SolarWinds 被黑事件对美国政府机构、私营企业造成的危害可能比预期的更加严重。根据目前掌握的最新信息,大约有超过 250 家美国联邦机构和企业受到影响。 微软表示,黑客入侵了 SolarWinds 的 Orion 监控和管理软件,从而让他们能够冒充该组织现有的任意用户和帐号,包括拥有高级别权限的账户。纽约时报报道称,疑似有俄罗斯政府背景的黑客组织利用供应链的层级来访问这些机构的系统。 纽约时报在报道中指出,美国网络司令部和国家安全局在外国网络内部放置的用于检测潜在攻击的预警传感器似乎在这次事件中失效了。此外,报道中还指出在今年总统大选期间,政府还利用了 SolarWinds 的资源和技术来进行检测,从而让黑客躲过了美国国土安全部门的检测。 本周早些时候,微软发现多个系统被渗透,其中不仅仅只是 SolarWinds 恶意代码。黑客能够 “查看一些源代码库中的源代码”,但授予访问权限的黑客账户并没有修改任何代码或系统的权限。 不过一个好消息是,微软发现“没有证据表明生产服务或客户数据被访问”,“没有迹象表明我们的系统被用来攻击他人”。         (消息及封面来源:cnBeta)

Zyxel 超级管理员帐号曝光 超 10 万台设备受影响

超过 10 万台 Zyxel 防火墙、VPN 网关和接入点控制器中包含一个写死(hardcoded)的管理员后门帐号,能够让攻击者通过 SSH 接口或者网页管理员控制面板对设备进行 root 级别访问。 这个后门帐号是来自荷兰 Eye Control 安全研究团队发现的,被认为是最糟糕的漏洞,建议设备拥有者在时间允许的情况下尽快更新系统。 安全专家警告说,从DDoS僵尸网络运营商到国家支持的黑客组织和勒索软件团伙,任何人都可以滥用这个后门账户来访问脆弱的设备,并转入内部网络进行额外的攻击。 据悉,Zyxel 大部分主打产品均存在这个漏洞,受影响的产品型号包括:“Advanced Threat Protection (ATP) 系列:主要用于防火墙 Unified Security Gateway (USG) 系列:主要用于混合防火墙或者 VPN 网关 USG FLEX 系列:主要用于混合防火墙或者 VPN 网关 VPN 系列:主要用于 VPN 网关 NXC 系列:主要用于 WLAN 接入点控制” 这些设备很多都是在公司网络的边缘使用,一旦被入侵,攻击者就可以转而对内部主机发起进一步的攻击。目前只有ATP、USG、USG Flex和VPN系列的补丁。根据Zyxel的安全咨询,NXC系列的补丁预计将在2021年4月推出。 在安装补丁之后,Eye Control 表示可以删除后门帐号–用户名为“zyfwp”,密码为“PrOw!aN_fXp”。 研究人员表示,该账户拥有设备的root权限,因为它被用来通过FTP向其他相互连接的Zyxel设备安装固件更新。           (消息及封面来源:cnBeta)  

新型 Golang 蠕虫传播恶意软件

自12月初以来,一种新发现的、基于Golang的自我传播的恶意软件一直在Windows和Linux服务器上主动运行XMRig加密货币矿机程序。Intezer安全研究员Avigayil Mechtinger透露,这个多平台的恶意软件还具有蠕虫功能,可以通过用弱密码强行使用面向公众的服务(即MySQL、Tomcat、Jenkins和WebLogic)传播到其他系统。 自首次发现该蠕虫以来,背后的攻击者一直通过其命令和控制(C2)服务器积极更新该蠕虫的功能,这暗示着该蠕虫依然是一个积极维护的恶意软件。 C2服务器用于托管bash或PowerShell滴管脚本(取决于目标平台),一个基于Golang的二进制蠕虫,以及部署的XMRig矿工,以在受感染的设备上偷偷挖掘不可追踪的Monero加密货币(门罗币)。 该蠕虫通过使用密码喷洒式攻击和硬编码凭证列表扫描和强行通过MySQL、Tomcat和Jenkins服务传播到其他计算机。该蠕虫的旧版本还试图利用CVE-2020-14882 Oracle WebLogic远程代码执行漏洞。一旦它成功入侵其中一台目标服务器,就会部署加载器脚本(Linux的ld.sh和Windows的ld.ps1),该脚本的载荷会同时投放XMRig矿工程序和基于Golang的蠕虫二进制代码。 如果恶意软件检测到受感染的系统正在监听52013端口,它将自动杀死自己。如果该端口未被使用,蠕虫将打开自己的网络套接字。 要防御这种新的多平台蠕虫发动的蛮力攻击,网络管理员应该限制登录条件,并在所有暴露在互联网上的服务上使用难以猜测的密码,以及尽可能使用双因素认证。       (消息来源:cnBeta;封面来自网络)  

NSO 被指仍无视用户隐私

据外媒TechCrunch报道,研究人员得出结论,间谍软件制造商NSO集团在向政府和记者展示其新型COVID-19接触者追踪系统时使用了数千名不知情的人的真实手机定位数据。NSO是一家私营情报公司,以开发并向各国政府出售其Pegasus间谍软件而出名。 今年早些时候,该公司继续展开攻势推销其名为Fleming的联系人追踪系统,旨在帮助各国政府追踪COVID-19的传播。Fleming的设计目的是让政府能从手机公司获取位置数据进而可视化和跟踪病毒的传播。NSO分别向几家新闻媒体展示了Fleming,NSO表示,它可以帮助政府在不损害个人隐私的情况下做出公共卫生决策。 然而在5月的时候,一位安全研究员告诉TechCrunch,他发现了一个暴露的数据库,其存储着数千个NSO用来演示Fleming如何工作的位置数据点—。 为此TechCrunch向NSO报告了这一明显的安全漏洞,该公司虽然对该数据库采取了保护措施,但表示这些数据并非是基于真实的数据。 NSO声称这些位置数据是假的,这跟以色列媒体的报道有所出入。以色列媒体报道称,NSO使用了从广告平台获得的手机位置数据来“训练”该系统。学术和隐私专家Tehilla schwartz Altshuler也参加了Fleming的演示,她披露NSO告诉她,这些数据是从数据中间商那里获得的。据悉,这些中间商出售从数百万部手机上安装的应用中收集的大量综合位置数据。 针对这一情况,TechCrunch邀请了伦敦大学金史密斯学院研究和调查侵犯人权行为的学术机构Forensic Architecture的研究人员展开调查。研究人员于周三公布了他们的研究结果,他们得出的结论是,这些暴露的数据可能是基于真实的手机定位数据。研究人员指出,如果这些数据是真实的,那么NSO相当于侵犯了NSO间谍软件客户–卢旺达、以色列、巴林、沙特阿拉伯和阿拉伯联合酋长国的32,000个个人的隐私。 研究人员分析了一个暴露的手机位置数据样本,通过寻找他们期望在真实的人的位置数据中看到的模式,比如人们在大城市的集中程度以及测量个人从一个地方到另一个地方的旅行时间。研究人员还发现,跟真实数据相关的空间不规则性如当跟卫星的视线被高楼挡住时手机会试图精确定位其位置,此时就会产生类星星的模式。 研究人员指出:“我们样本中的空间‘不规则’–真实移动位置轨迹的常见特征–进一步支持了我们的评估,即这是真实数据。因此,数据集很可能不是‘虚拟的’也不是计算机生成的数据,而是反映了可能从电信运营商或第三方来源获得的实际个人的移动(数据)。” 研究人员绘制了地图、图表并通过可视化手段来解释他们的发现,同时他们还保留了那些将位置数据输入到NSO的Fleming演示中的个人的匿名性。 移动网络安全专家、网络情报公司Exigent Media创始人Gary Miller查看了一些数据集和图表并得出了这是真实手机位置数据的结论。 Miller表示,人口中心周围的数据点数量有所增加。“如果你在一个给定的时间点上做一个手机位置的散点图,郊区和城市的位置点数将会是一致的。”另外Miller还发现了人们一起旅行的证据,他指出这“看起来跟真实的手机数据一致”。此外,Miller还表示,即使是“匿名化”的位置数据集也可以用来透露一个人的很多信息,如他们在哪里生活和工作以及他们拜访过谁。 Citizen Lab高级研究员John Scott-Railton认为这些数据可能来自手机应用,这些应用混合使用了直接的GPS数据、附近Wi-Fi网络和手机内置的传感器以提高定位数据的质量。“但它从来都不是完美的。如果你看广告数据,它看起来很像这个。”Scott-Railton还表示,使用模拟数据进行接触追踪系统将会“适得其反”,因为NSO想要让Fleming掌握尽可能真实和有代表性的数据。”“整个情况表明,一家间谍软件公司再次无视敏感和潜在的个人信息。” 不过NSO否认了研究人员们的发现。“我们没有看到所谓的检查,必须质疑这些结论是如何得出的。尽管如此,我们仍坚持我们在2020年5月6日做出的回应。该演示材料并非基于跟COVID-19感染者有关的真实数据,”一位不愿透露姓名的发言人回应称,“正如我们上一份声明所述,演示所用的资料并不包括任何可辨识个人身分的资料。而且,如前所述,这个演示是基于模糊数据的模拟。Fleming系统是一套分析由终端用户提供的数据以在全球大流行期间帮助医疗保健决策者的工具。NSO不会为系统收集任何数据,也无权访问所收集的数据。” NSO没有回答TechCrunch提出的具体问题,包括数据从何而来以及如何获得。该公司在其网站上称,Fleming已经在世界各国运营,但当被问及其政府客户时,该公司拒绝证实或进行了否决。 这家以色列间谍软件制造商推动接触追踪被视为修复其形象的一种方式,眼下,该公司正在美国打一场官司,而该官司可能会揭露更多关于购买其PegASUS间谍软件的政府的信息。据悉,NSO卷入了一场跟Facebook旗下WhatsApp的诉讼,后者去年指责NSO利用WhatsApp的一个未披露的漏洞让约1400部手机感染了Pegasus,其中包括记者和人权捍卫者。NSO表示,它应获得法律豁免权,因为它是在代表各国政府行事。但微软、谷歌、思科和VMware本周提交了一份法庭之友陈述书以表示对WhatsApp的支持,另外它们还呼吁法庭驳回NSO的豁免权要求。           (消息及封面来源:cnBeta)

美国财政部警告 COVID-19 疫苗研究组织遭攻击

美国财政部的金融犯罪执行网络(FinCEN)发布了通知,警告金融机构针对COVID-19疫苗研究组织的勒索软件攻击。 FinCEN通知表示:“发布此通知,旨在提醒金融机构有关与COVID-19疫苗研究组织的勒索软件攻击等网络犯罪活动。 FinCEN发现了针对疫苗研究的勒索软件,要求金融机构保持警惕。”  美国食品和药物管理局(FDA)还发布了两项 紧急使用COVID-19疫苗授权,提供了有关与COVID-19疫苗及其分发的可疑活动的报告(SAR)归档说明。 FinCEN敦促金融机构对针对COVID-19疫苗交付操作以及供应链开发疫苗的勒索软件攻击保持警惕,金融机构及其客户也应警惕有关COVID-19疫苗的网络钓鱼活动。FinCEN已于10月发布了有关勒索软件的咨询报告,包含相关洗钱活动的趋势、类型和潜在指标。 欧洲刑警组织 等国际机构也发出了类似的警告:“网络罪犯已经迅作出反应,新型勒索软件已成为COVID-19大流行期间最突出的犯罪活动。”           消息来源:Security Affairs,封面来自网络,译者:江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.c

SolarWinds 黑客旨在窃取用户的云数据

微软表示,日前SolarWinds黑客正部署Solorigate后门,以破坏相关用户的云基础架构。 Microsoft 365 安全团队透露,SolarWinds供应链攻击幕后黑客旨在利用Sunburst / Solorigate后门感染受害者网络,进而破坏用户的云基础架构。 微软表示:“黑客可以随意挑选目标受众群体。根据调查,此网络攻击的下一阶段涉及本地活动,其目标是非本地访问云资源。” 一旦部署后门,黑客就可以窃取凭据、提升特权并在目标网络内获得创建有效SAML的权限,进而来访问云资源并窃取电子邮件及相关敏感数据。   专家表示:“这种网络攻击是具有极强的的隐身能力,因此我们很难发现相关活动。”  基于此,CISA和网络安全公司Crowdstrike都发布了用于审核Azure和MS 365安全环境的免费工具。           消息来源:Security Affairs,封面来自网络,译者:江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.c