分类: 安全快讯

美国政府正采取措施整改备受困恼的 CVE 系统

据外媒报道,美国政府正在采取措施修复近年来一直受到各种问题困扰的公共漏洞和暴露(CVE)系统。 CVE 由 MITRE 公司在美国政府资助下创建于1999年,它是一个包含安全漏洞识别符(追踪号码)的数据库。自创建以来,CVE 系统被公共和私营企业采用,广泛应用于全球各地。大多数现代网络安全软件使用 CVE 编号来识别和跟踪利用某些软件 bug 的网络攻击。 CVE 数据库一直受到各种问题的困扰 但近年来,CVE 系统饱受压力。从2015年末起,大量安全研究员反馈称在获取 CVE 编号时延迟严重。他们中的一群人甚至联合起来创建了一个替代的漏洞数据库,称为分布式弱点归档(DWF)。 当时,MITER 表示 CVE 号码分配延迟是由于软件供应商数量的增加,和软件驱动的工业(SCADA)设备和物联网设备的激增造成的。这两个因素导致漏洞报告的数量大幅增加,CVE 员工无法及时跟进。2016年末的一份报告发现,MITER 的 CVE 未能向2015年发现的 6000 多个漏洞分配编号。 美国参议院于 2017 年开始调查 CVE 项目 在媒体的大肆报道后,美国参议院能源和商务委员会于2017年3月底启动了对 CVE 项目的调查。 参议院之所以有权调查 CVE 的运行情况,是因为 MITRE 从美国国土安全部的国家网络安全处获得运行 CVE 数据库的资金。 经过长达一年的调查后,能源和商务委员本周一致函国土安全部(DHS)和 MITRE 公司,概述了调查结果和拟议的行动方案,以解决 CVE 中发现的问题。 原因#1:资金波动和减少 委员会表示,DHS 资助金额的不一致和大幅减少是该项目走下坡路并大量积压的原因之一。信中写道:“2012-2015年,项目收到的资金同比减少了37%。DHS 和 MITER 文档显示,CVE 合同既不稳定,又容易出现计划和资金上的剧烈波动。” 为解决这一问题,委员会建议国土安全部官员将 CVE 的资金从基于合同的资助计划转移到 DHS 的自身预算内,作为 PPA(计划、项目或活动)资助项目,让 MITRE 专注于运营 CVE 数据库而不用总是担心资助问题。 原因#2:缺乏监督 其次,委员会还确定了第二个问题来源,即缺乏对 CVE 项目的监督。 “管理 CVE 计划的历史实践显然是不够的。除非取得重大进展,否则它们可能会再次引发对整个社会利益相关者产生直接负面影响的问题和挑战”,委员会建议 DHS 和 MITER 进行两年一次的审查,以确保该项目在未来几年的稳定性和有效性,帮助在渗入下游网络安全行业之前发现问题。   稿源:开源中国社区,封面源自网络;

前 Facebook 安全主管:美国政府现在保护 2018 年选举已经太晚

据外媒theVerge报道,Facebook最近刚刚离职的安全主管指出,美国政府的不作为使得即将到来的中期选举很容易遭到黑客攻击和网络操作。据悉,Alex Stamos于本月早些时候离开公司,他在最近发表的文章中称,“保护2018年选举已为时已晚”。 这一言论则是对昨日两条新闻的回应:一条是微软发现了6个将为俄罗斯展开政治钓鱼攻击的,另一条是Facebook关闭了652个据称跟虚假信息运动相关的虚假账号和页面。 Stamos表示来自俄罗斯(现在是伊朗)的黑客并未被阻隔在干预选举之外,另外他对奥巴马政府、特朗普政府以及国会在2016年大选期间对操控选举行为作出的“僵化反应”提出了指责。他写道:“如果美国继续沿着这条道路下去,那么它就有可能让自己的选举变成信息站世界杯。” Stamos认为,对于2020年的美国选举,政府应该推动《诚实广告法》的推行,它将对网络政治广告提供更高的透明度要求。另外他还敦促美国政府创立一个专门的联邦网络安全机构以及直接预防选举攻击的州级安全部门。 这篇文章还对Facebook以及其他社交媒体平台因黑客操控其平台而受到的广泛批评进行了反驳。Stamos是一个对公司安全问题直言不讳的人,他曾因披露有关2016年的错误信息活动而惹怒了Facebook的一些高管。不过他指出,虽然包括其前雇主在内的社交媒体平台在2016年犯下了严重的错误,但在很大程度上政府需要为此负责。   稿源:cnBeta,封面源自网络;

Facebook 清除上百个传播虚假信息的账号 伊朗疑卷入其中

据外媒报道,Facebook日前删除了另一批做出不真实行为的页面、群组和账号。这些页面主要针对的是生活在中东、拉丁美洲、英国以及美国的人,上面展示的政治内容旨在塑造他们的观点。就在几周前,Facbeook曾披露其已经从平台上删除了多个涉嫌具有可疑政治动机的页面。现在它又公布了第二次大规模的清除活动–删除了652个页面、群组和账号,据称这次来自伊朗。 这一可疑活动于上月首次披露,当时一家名为FireEye的网络安全公司通知Facebook,他们认为这是一场可疑的、有影响力的宣传活动。据称,这些账号来自伊朗,其目的是利用各种相关账号传播反沙特、反以色列和亲巴勒斯坦的内容。 FireEye在最初的分析报告中指出,总体来说,这一活动背后的意图似乎跟推动伊朗政治利益相关,包括反沙特、反以色列和亲巴勒斯坦的主题以及促进支持美国对伊朗有利的具体政策。这家公司还表示,由于这些干预运动的影响范围非常广,所以它的目标并非只是针对即将到来的美国中期选举,而是要更广泛地影响到世界各地的政治对话活动。 除了这批伊朗账号之外,Facebook还披露,他们删除了美国政府消息源确认跟俄罗斯情报服务机构相关的页面、群组和账号,至于清除了多少并未公布。据称,这些新的干预活动并没有明确表现出跟美国的关系,反而更加关注叙利亚和乌克兰并传播亲俄罗斯和亲阿萨德的宣传。 就在Facebook披露这一消息的前一天,微软数字犯罪部门表示他们已经向美国联邦法院提出申请,要求转移对据称跟一个叫做Strontium的俄罗斯军事情报组织有关的六个的控制权。 微软总裁兼首席法律官Brad Smith表示,Strontium对这些域名的收购暗示了2016年美国总统大选和2017年法国总统大选期间的类似活动。 Facebook网络安全政策主管(Nathaniel Gleicher在一份声明中说道:“我们正与美国执法部门密切合作,对他们的帮助表示感谢。调查工作正在进行中——考虑到敏感性,我们不会没有分享更多关于我们删除内容的信息。”   稿源:cnBeta,封面源自网络;

Chrome 隐身模式可能没有你想得那么能保护个人隐私

据外媒报道,大多数用户在用Chrome上网时都对它的隐身(Incognito)模式抱着合理的期待,但来自行业组织Digital Content Next委托的一项研究结果却呈现了不一样的情况。范德比尔特大学计算机科学教授、研究论文作者Douglas Schmidt指出,如果用户是通过像Gmail等这样的谷歌服务登录,那么从理论上来说即便是在隐身模式下,谷歌还是能通过cookies将用户的浏览情况跟其身份联系起来。 不过如果用户是在登录谷歌账号之前就启动了隐身模式那么跟踪数据就会被清除。 然而这份报告并没有明确指出谷歌是否需要为此负责,但从技术层面上来讲却是可以的。对此,谷歌很快反驳了这种说法。 在一封提供给AdAge的邮件中,谷歌发言人表示并没有把隐身浏览跟用户登录已经退出隐身模式的账号关联起来。另外他还表示,他们的广告系统不会知道Chrome何时处于隐身模式,同时也不知道其他浏览器何时处于类似模式。 这位发言人补充称,这份报告是由一个专业的DC游说团体委托由正与谷歌进行诉讼的一名甲骨文证人撰写。“因此,它包含大量误导信息也就不足为奇了。”   稿源:cnBeta,封面源自网络;

美国 22 个州联名诉 FCC 要求恢复”网络中立”规则

网易科技讯 8月21日消息,据国外媒体报道,当地时间周一晚些时候,一个由22名州检察长和哥伦比亚特区组成的小组,要求美国一家上诉法院恢复奥巴马政府2015年出台的具有里程碑意义的网络中立规则(Net neutrality)。 美国联邦通信委员会(FCC)去年12月投票表决,废除了关于禁止互联网服务提供商阻塞、限制流量或提供付费快车道(也称付费优先次序)的规定。 FCC表决通过的新规定于6月初生效,新规定授予互联网服务提供商广泛的新权力,改变了美国人使用互联网的方式。 各州认为,FCC的新规定会伤害消费者。这些州还表示,FCC没有任何“有效权威”来越过州及其保护网络中立性的地方法律。截止目前为止,有六个州的州长签署了关于网络中立的行政命令,三个州颁布了网络中立法律。   稿源:网易科技,封面源自网络;

连年上涨,全球信息安全支出明年或超 1240 亿美元

(原标题:Global Information Security Spending To Exceed $124B In 2019, Privacy Concerns Driving Demand) 网易科技讯  8 月 20 日消息,据福布斯杂志报道,研究公司 Gartner 最新预测,2018 年的全球信息安全产品和服务支出将超过 1140 亿美元,比去年增长 12.4% 。该公司还预测,2019 年市场规模将增长 8.7% ,达到 1240 亿美元。相比之下,2017 年的支出为 1015.4 亿美元。 Gartner 研究总监悉达多·德什潘德(Siddharth Deshpande)表示:“安全公司正努力帮助自己的组织安全地使用技术平台,提高竞争力,推动业务增长。持续存在的技能短缺和欧盟《全球数据保护条例》(GDPR)等监管规则的变化,正在推动安全服务市场持续增长。” Gartner 在去年 9 月至 10 月间进行的调查显示,安全支出的三大驱动力分别是安全风险、业务需求以及行业变化。此外,调查发现,隐私问题也成为企业关注的“关键因素”。Gartner 认为,到 2019 年,隐私问题将“推动安全服务市场需求增长至少 10%” ,并影响到身份和访问管理(IAM)、身份治理和管理(IGA)以及数据丢失预防(DLP)等多个领域。 调查结果还显示,从 2017 年到 2022 年,信息安全市场的收入将以每年 7.8% 的复合增长率(CAGR)增长,以恒定汇率计算将达到 1430 亿美元。到 2019 年,在安全服务方面的支出将占全球整体安全支出的 51.75% 。德什潘德表示:“安全与风险管理必须成为任何数字业务计划的关键组成部分。”       稿源:网易科技,封面源自网络;

澳大利亚少年入侵苹果网络:非法下载 90GB 安全文件

澳大利亚的苹果应用商店 凤凰网科技讯 据科技博客 AppleInsider 北京时间 8 月 16 日报道,澳大利亚墨尔本一名十几岁的少年黑客,在他位于郊区的家中多次入侵苹果公司内部系统,进入他人账户非法访问隐私数据。在其黑客行径被发现之前,这名少年从苹果内部系统下载的安全文件容量竟然高达 90GB。 据澳大利亚《时代报(The Age)》周四援引当地法庭的消息称,这名少年黑客是位苹果粉丝,他的“梦想”是进入苹果公司工作。不过苹果公司对其行为并不买账。去年苹果获悉该情况后,立即向美国联邦调查局(FBI)发出求援警告,而 FBI 随后与澳大利亚当局进行沟通、协调,少年黑客很快被捕。 一名检察官表示,因苹果“对公众的关注非常敏感”,直到本周法庭开庭前,苹果未向媒体透露过关于此案的任何蛛丝马迹。 除了知道少年黑客非法下载了 90GB 数据,目前还不清楚这名少年黑客入侵的范围影响有多大,到底访问了哪些账户或其他信息;与此同时,目前尚不清楚这次黑客入侵事件影响到了澳大利亚,还是影响到了全球范围。 苹果尚未对此案发表评论。 去年,当地警方突击搜查了这名少年黑客的住处,并在他的电脑上一个名为“黑客黑客黑客”的文件夹中,发现了所窃取的苹果文件,随后该少年被捕。澳大利亚联邦警察还没收了这名少年的两台苹果笔记本电脑,发现被告获得了进入苹果系统的“授权密钥”。由于法律原因,媒体暂未公开这名少年黑客的姓名。作为被告,少年黑客承认自己有罪,该案将于下月宣判。 目前尚不清楚是否有任何获得的数据提供给了第三方。据了解,这名黑客在 Whatsapp 上与其他人就此事进行了沟通,但谈话内容并未公布。 本周早些时候,澳大利亚政府计划就是否迫使苹果和其他公司削弱加密进行辩论。今年 6 月,苹果因 iPhone 和 iPad 的维修政策被澳大利亚监管机构罚款 670 万美元。     稿源:凤凰网科技,编译:若水,封面源自网络;

研究人员展示了传真机如何被轻易入侵

以色列网络安全公司 Check Point 昨天在拉斯维加斯举行的年度 Defcon 黑客活动上发表了一篇关于传真机漏洞的文章,称为 Faxploit。它发现攻击者需要的是一个传真号码,用于传输图像或文件,机器认为该图像,但实际上是嵌入恶意代码的图像。 Check Point 使用 HP Officejet Pro 一体式打印机/传真机来演示此漏洞,但惠普在调查结果公布之前发布了补丁。但问题在于传真协议,其他公司的设备也可能面临风险。由于大多数现代传真机是连接到家庭或办公室网络的一体化设备,因此传真发送的恶意软件有效负载可能会分布在整个连接的网络中。 Check Point 建议公司定期检查其一体化传真机是否有可用的固件更新,并尽快应用。它还建议将传真设备放在单独的安全网络上,但这可能会带来不便并限制其功能。但是,一旦获得未经授权的访问,网络分段可以提供有效的措施,以缓解下一阶段的网络入侵,并通过横向移动限制攻击的蔓延。 美国和英国的医疗行业都严重依赖通过传真进行的通信,据说美国仍在运营着 1700 万台传真机。     稿源:cnBeta.COM,封面源自网络;

美联社:谷歌在偷偷记录你的位置数据 即使你拒绝

(原标题:AP Exclusive: Google tracks your movements, like it or not) 网易科技讯 8 月 14 日消息,据美联社报道,谷歌非常想知道你要去哪里,以至于它会记录你的活动,即使你明确告诉它不要那样做。美联社的调查发现,Android 设备和 iPhone 上的许多谷歌服务都会存储用户的位置数据,即使你使用了隐私设置,也无法阻止谷歌这样做。(many Google services on Android devices and iPhones store your location data even if you’ve used a privacy setting that says it will prevent Google from doing so.) 消息一出,众多美国媒体跟进报道,毕竟在美国,个人隐私是一件“天大”的事。 在美联社的要求下,美国普林斯顿大学的计算机科学研究人员证实了这些发现。在大多数情况下,谷歌会请求许可使用你的位置信息。像谷歌地图这样的应用会提醒你,如果你用它导航,它就会访问位置信息。如果你同意让它记录你的位置,谷歌地图会在一个“时间轴”中为你显示历史,它会记录你的日常活动。而其他应用也会如此记录,最终你会在你的谷歌账号中查询到。 美联社称,存储你每分钟的旅行记录会带来隐私风险,并且已经被警方用来确定嫌疑人的位置。比如去年北卡罗来纳州罗利市的警方使用的搜查令,利用谷歌记录位置功能在谋杀现场附近寻找设备。 不过,谷歌称其推出了名为“位置历史”的设置,声称能停止记录你去过哪里。谷歌在支持页面上发表声明:“你可以随时关闭位置历史记录。如果没有位置历史记录,你去的地方就不再被储存了。”然而,事实并非如此。即使“位置历史”设置被暂停,许多谷歌应用程序也会自动存储有时间戳的位置数据,而无需询问用户。 例如,谷歌只需要打开地图应用程序,就能显示你的位置。Android 手机每天自动更新天气信息,也可以准确定位你的位置。还有些与位置无关的搜索,比如“巧克力饼干”或“儿童科学工具包”,可以确认你所在位置的精确纬度和经度,并保存到你的谷歌账户中。 美联社做了实验,用一部关闭了位置记录的安卓手机正常活动,最后导出Google帐户。几天内去过的地点清晰可见。 隐私问题影响了约 20 亿使用谷歌 Android 操作系统的设备用户,以及全球数亿依赖谷歌进行地图导航或搜索的 iPhone 用户。普林斯顿大学计算机科学家、美国联邦通信委员会(FCC)执法局前首席技术专家乔纳森·迈耶(Jonathan Mayer)说,存储违反用户喜好的位置数据是错误的。 谷歌发言人承认:“有许多不同的方式,谷歌可能使用位置信息来提高人们的体验,包括位置历史、Web 和应用活动,并通过设备级的位置服务。我们为这些工具提供了清晰的描述和强大的控制权,这样人们就能在任何时候打开或关闭它们,并删除相关记录。”       稿源:网易科技,封面源自网络;

黑客瞄准巴西金融机构进行 DNS 劫持

据外媒 Securityaffairs 报道,黑客瞄准巴西 D-Link DSL 的调制解调路由器,将用户重定向到伪造的银行网站进行 DNS 劫持。 据 Radware 研究人员报道,通过这个手段,网络犯罪分子就会窃取银行账户的登录凭据。攻击者将指向网络设备的 DNS 设置更改为他们控制的 DNS 服务器,在此活动中,专家观察到黑客使用两个 DNS 服务器(69162.89185和1982 .50.222.136)。这两个 DNS 服务器解析 BANCO de BrasiL(www. bb.com.br)和 ITAUBANCOO(hostname www.itau.com.br)的逻辑地址,来伪造克隆。 “自 6 月 8 日以来,该研究中心一直在跟踪黑客针对巴西 DLink DSL 调制解调路由器的恶意活动。通过对 2015 年漏洞的追溯,恶意代理试图修改在巴西路由器居民中的DNS配置,通过恶意 DNS 服务器对所有 DNS 请求进行重定向。”据 Radware 发布分析。 黑客正在使用 2015 年的旧漏洞,它们可以在某些型号的 DLink DSL 设备上运行,并且只需要在线运行存在漏洞的路由器并更改其 DNS 设置。 专家强调,劫持是在没有任何用户交互的情况下进行的。 “用户对于变化是完全不知情的,从某种意义上来说,这种攻击是潜在的。劫持工作无需在用户浏览器中建立或更改 URL。用户可以使用任何浏览器及它的常规快捷方式,用户可手动输入 URL ,甚至可以从移动设备(如智能手机或苹果电脑)使用它。” 据 Radware 发布警告。 攻击者通过精心设计的网址和恶意广告进行网络钓鱼系列活动企图更改用户浏览器中的 DNS 配置。这种类型的攻击并不新鲜,黑客自 2014 年以来一直在使用类似的技术,2016 年,一个名为 RouterHunterBr 2.0 的漏洞开发工具在线发布并使用了相同的恶意网址,但 Radware 目前还没有发现此工具的滥用行为。 自 6 月 12 日起,Radware 多次记录了针对 D-Link DSL 路由器漏洞的感染攻击。         此活动中的恶意网址显示为: 自2015年2月以来,多个DSL路由器(主要为D-Link)的若干漏洞可在线提供: Shuttle Tech ADSL 调制解调器 – 路由器 915 WM / 未经身份验证的远程 DNS 更改 Exploit 代码:http://www.exploit-db.com/exploits/35995/ D-Link DSL-2740R / 未经认证的远程 DNS 更改 Exploit 代码:http://www.exploit-db.com/exploits/35917/ D-Link DSL-2640B未经身份验证的远程 DNS 更改 Exploit 代码:https://www.exploit-db.com/exploits/37237/ D-Link DSL-2780B DLink_1.01.14  – 未经身份验证的远程 DNS 更改 https://www.exploit-db.com/exploits/37237/ D-Link DSL-2730B AU_2.01  – 身份验证绕过 DNS 更改 https://www.exploit-db.com/exploits/37240/ D-Link DSL-526B ADSL2 + AU_2.01  – 未经身份验证的远程 DNS 更改 https://www.exploit-db.com/exploits/37241/ 一旦受害者访问虚假网站,他们会被要求提供银行信息,包括代理商号码,账号,手机号,手机卡、八位的 PIN 码和一个 CABB 号码。 Radware 向攻击所针对的金融机构报告了这些活动,目前钓鱼网站地址已被标记为不安全,虚假网站已下线。 “通过 http://www.whatsmydnsserver.com/ 等网站检查设备和路由器使用的DNS服务器是一种很便捷的方式。只有在过去两年未更新过的调制解调器和路由器才能被利用。更新将保护设备的所有者,并防止设备受到 DDoS 攻击或用于隐藏有针对性的攻击。” Radware 建议。     消息来源:Securityaffairs,编译:xiange,审核:吴烦恼; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。