标签: 美国

美国中期选举将近 3500 万人资料泄漏 黑客:在政府有人

新浪科技讯 10月17日下午消息,据中国台湾地区媒体报道,随着美国中期选举即将于下个月展开,威胁情报业者Anomali Labs及网络安全业者Intel 471本周一联手揭露他们发现有人在某个黑客论坛中兜售美国19州的选民资料,其中3州的选民资料就高达2,300万人,估计总数将超过3,500万人,且根据研究人员的查证,这些资料的可信度很高。 每一州的选民资料价格不同,视州别及数量从150美元到12,500美元不等,例如路易斯安那州300万选民资料的价格为1,300美元,而德州的1,400万选民资料即要价12,500美元;资料内容包含选民的姓名、电话、地址及投票纪录等,卖家甚至承诺会每周更新资料。 根据卖家的说法,他们在州政府内部有人,可每周收到最新资料,有时还要亲自到该州取得资料。意谓着这些资料的外泄不一定是来自于技术上的入侵,而很可能是有心人士自合法管道取得选民资料后恶意进行的散布。 不管资料来源如何,暗网中已经有人发动众筹来购买这些名单,并打算于黑客论坛上公布所购得的选民资料,已成功集资200美元,买下了堪萨斯州选民名单,亦已开放论坛用户下载。 研究人员指出,选民名单应是不能用在商业目的,也不得在网络上公布,却有未经授权的组织企图利用这些名单获利,选民名单曝光的选民资料再加上诸如社会安全码或驾照等外泄资料,可能会被犯罪份子用来进行身分诈骗或其它非法行为。   稿源:新浪科技,封面源自网络;

加州通过物联网网络安全法 有专家质疑其进步意义

新浪科技讯 北京时间9月29日早间消息,加州州长杰里·布朗(Jerry Brown)在新的网络安全法上签字,这项法律覆盖智能设备,加州成为美国第一个拥有物联网网络安全法的州。法案编号SB-327,去年制定,8月末在州参议院获得通过。 从2020年1月1日开始,制造商如果制造直接或者间接连接互联网的设备,必须植入“合理”的安全技术,预防未授权访问、修改、信息披露。如果设备可以用密码从本地局限网外访问,必须为每一台设备设立一个独特密码,或者强迫用户在第一次连接时设置密码。这样一来就不会有一般默认凭证,黑客难以猜测。 关于新法案有人赞扬,有人批评,赞扬者认这是通往正确方向的第一步,而反对者则认为法案含糊不清。 网络安全专家罗伯特·格雷厄姆(Robert Graham)认为,它让安全问题倒退,只是一味增加好的东西,而没有尽力剔除坏的东西。关于密码要求,格雷厄姆赞赏,但是他认为没有覆盖多种多样的身份认证系统,有些系统可能叫作密码,有些可能不叫密码,因为规定不明确,制造商可能会给设备留下安全漏洞。 哈佛大学研究员布鲁斯·施奈尔(Bruce Schneier)则说这是有益的第一步。他认为:“可能前进的幅度不大,但是不能因此就否决它,不让法案通过。”法案虽然只针对加州,不过如果设备制造商想在加州销售产品,就要遵守规定,这种福利其它地方的客户也能享受到。   稿源:新浪科技,封面源自网络;

调查报告显示美国执法机构的 DHS 无人机数据易受黑客攻击和内部威胁

在国土安全部监察长办公室的一份报告中公布,海关与边境保护局(CBP)未能采取适当的保障措施来保护使用无人机系统(UAS)收集的监控信息。在审计之后,监察长办公室发现,根据国土安全部和联邦政策,作为支持CPB执法任务的无人机监视计划的一部分收集和传输的图像和视频没有得到充分保障。 安全监督的发生是因为CBP官员不知道无人机驱动的数据收集计划需要进行隐私评估,以确保CBP的隐私办公室实施法律,DHS政策和联邦法规所要求的适当保护措施。此外,用于收集监视数据的情报,监视和侦察(ISR)系统在审计开始之前受到外部和内部参与者侵害的风险增加。 CBP使用无人机收集各种监视材料,从原始图像数据到毒品走私者截获的和试图越过美国边境的无证移民。虽然UAS收集的材料不允许准确识别个人,但在与CBP代理人或执法人员会面时,它仍可用作积极调查的一部分。此外,如果没有向DHS隐私办公室提交隐私阈值分析,则存在潜在的隐私风险,这使得航空和海事处(AMO)无法确定所获取的数据是否需要隐私保护。 CBP未能实施适当的安全控制来保护通过其UAS程序收集的信息,可能导致存储在其电脑系统上的隐私敏感信息因内部或外部不良行为者而受到损害,被盗或丢失。     稿源:cnBeta,封面源自网络;

谷歌高管在美国会低头:谷歌在隐私问题上犯过错误

新浪科技讯 北京时间9月26日上午消息,根据彭博社获取的一份文件,Alphabet的一位高管周三将在美国参议院委员会举办的听证会上发表证词,表示谷歌曾在隐私问题上犯过“错误”。 “我们承认在过去我们犯过错,我们从中吸取了教训并改进了隐私项目。”谷歌的首席隐私官基思·恩利特(Keith Enright)在书面证词中将这样说道。大众对于数据隐私问题的担忧日益增加,谷歌将会与AT&T、亚马逊、苹果以及其他公司一同出席作证。 谷歌的书面证词并没有明确指出先前发生的具体错误是什么,但是公司一直以来都因隐私问题而饱受抨击。 2012年,谷歌同意支付高达2250万美元的民事罚款,以解决美国联邦贸易委员会(FTC)对其的指控。指控称谷歌曾向苹果Safari互联网浏览器用户歪曲事实,称自己不会设置追踪“Cookie”文件或为其投放定向广告。 一年之前,当谷歌推出其社交网络Google Buzz时,政府指控其使用了欺骗性策略并且违反了消费者隐私承诺。之后,谷歌同意与FTC就隐私问题达成和解并接受长达20年的定期隐私审查。 八月,Alphabet被指控非法追踪数百万台iPhone以及Android手机用户的活动,即便用户已经设置了隐私权限阻止其获取信息。 美国商务部表示,在欧盟和加州陆续推出更严格的新规定之后,他们正就在全国范围内推出数据隐私规定征求意见。 此外,司法部表示自己也与州检察长举办了“意见听取会”,就政府可以如何在网络上保护消费者一事进行探讨。 美国参议院商务委员会主席约翰·图恩(John Thune)表示国会必须将消费者数据隐私保护落实到立法。 国会对于互联网公司是如何出售广告并利用邮件账户以及其他服务中的数据提出了质疑。图恩写道,有“越来越多的争议”让大家开始质疑科技公司是否能“自我管制并在收集和使用用户数字数据的问题上采取真正意义上的隐私保护措施”。 大规模侵犯数据隐私的事情已经危及到数百万美国互联网及社交媒体用户的个人信息,大型零售商和信用报告机构Equifax都曾遇过此类事件。 恩利特的证词表示:“就广告还有我们的产品来说,用户信任我们能够对其个人信息保密并将信息交由用户自己控制。我们不会出售个人信息。说完了。” 亚马逊的副总裁安德鲁·德沃尔(Andrew DeVore)将会告知委员会,新的欧盟隐私规定“要求我们将大量资源用于行政和记录保存任务上,而不是为用户发明新的功能”。 Twitter的数据保护官达米安·基兰(Damien Kieran)将敦促开发“一个强大的隐私框架,以期保护用户个人权利……与此同时也能留有创新的自由”。 美国商务部下属的国家电信和信息管理局(NTIA)今年夏天与科技公司、互联网供应商、隐私倡导者等进行了50多次会面,希望能够制定出一个在全国范围内推广的标准。 代表着40多家互联网和科技公司的互联网协会在本月表示,它支持数据隐私规定现代化并推出一个在全国范围内适用的方式,能够比在2020年生效的加州数据隐私法规抢先推出。 加州州长杰里·布朗(Jerry Brown)签署了这一法案,旨在让消费者可以更好地控制企业收集和管理其个人信息的方式。欧洲新出台的法律甚至更为严格。 欧盟的《通用数据保护条例》于5月份生效。违反隐私法的公司最高将面临其全球营收4%的罚款或是2000万欧元(折合2320万美元)罚款,按两者间的较高数额为准。   稿源:cnBeta,封面源自网络;

谷歌警告:美国参议员 Gmail 账号已成为国外黑客攻击目标

本周四谷歌证实,部分美国参议员和助手的Gmail账号已成为国外政府黑客重点针对的目标。但谷歌的发言人拒绝透露更多的细节,包括有多少人受到影响,这些有国家支持的攻击都来自哪里,以及何时发布警告等等。 本周三来自来自俄勒冈州的民主党参议员罗恩·怀登(Ron Wyden)致信参议院领导机构,称存在电子邮件攻击情况,但只是提及谷歌是“主要科技公司”。谷歌在本周四对外承认。 在2016年美国大选中浮出水面的假新闻案件,让谷歌、脸书和推特在内的诸多科技公司焦头烂额。为此在今年的中期选举中这些科技巨头都采取了相应的措施来杜绝此类事件再次发生。   稿源:cnBeta,封面源自网络;

美国特朗普总统签署《国家网络战略》 应对来自网络的威胁

美国总统特朗普的国家安全事务助理约翰·博尔顿20日表示,特朗普当天签署了国家网络战略[PDF],以加强应对网络威胁。博尔顿在对媒体的吹风会上表示,国家网络战略将指示美国政府采取行动确保长期改善所有美国人的网络安全。 白宫新闻办公室发表声明称,国家网络战略的核心是增强美国网络安全,该战略将有助于保护网络空间成长为经济增长和创新的引擎,同时遏制在网络空间造成不稳定的行为,此外还将保持互联网的长期开放性,支持并加强美国利益。 美国媒体分析称,当天发布的国家网络战略最值得注意的是,美国将采取“进攻性”的行动来制止和应对网络攻击。博尔顿在吹风会上说,对于任何正在对美国采取网络行动的国家来说,他们应该意识到,我们将同时从进攻和防守两个方面进行回应。   稿源:cnBeta,封面源自网络;

美国起诉朝鲜男子发起索尼网络攻击和 WannaCry 勒索软件攻击

据外媒报道,美国司法部日前对朝鲜一名人员发起诉讼,指控其涉嫌参与了2014年索尼影业的黑客攻击以及2017年具有毁灭性的WannaCry勒索软件攻击。早在2014年年底,美国就曾将索尼影业遭遇黑客攻击的事件归咎于朝鲜。据称,这次网络攻击则是对赛斯·罗根和詹姆斯·弗兰科拍摄的影片《刺杀金正恩》的回应。 美国检方称,被控男子Park Jin-hyok是代表朝鲜政府进行广泛、长时间阴谋行动的组织的一份子。据称,该名男子以及其他一些人通过一个幌子组织进入了索尼影业并了WannaCry 2.0勒索软件。该软件一经发布之后就在150个国家破坏了计算机系统。美国官员此前也曾将该网络攻击归咎于朝鲜。 据悉,Park被控合谋进行电脑欺诈和滥用以及合谋进行电信欺诈。美国财政部宣布,在起诉书公布之后他们已经对Park以及幌子公司实施了制裁。 这条消息可以说是在美国和朝鲜关系处于尴尬时刻发布的。在金正恩和特朗普举行了首次峰会之后,无核化谈判似乎陷入僵局。然而今日,在金正恩赞赏了特朗普之后,这位总统也在社交媒体平台上发文赞赏了这位朝鲜领导人–“我们会一起完成的!”   稿源:cnBeta,封面源自网络;

美国政府正采取措施整改备受困恼的 CVE 系统

据外媒报道,美国政府正在采取措施修复近年来一直受到各种问题困扰的公共漏洞和暴露(CVE)系统。 CVE 由 MITRE 公司在美国政府资助下创建于1999年,它是一个包含安全漏洞识别符(追踪号码)的数据库。自创建以来,CVE 系统被公共和私营企业采用,广泛应用于全球各地。大多数现代网络安全软件使用 CVE 编号来识别和跟踪利用某些软件 bug 的网络攻击。 CVE 数据库一直受到各种问题的困扰 但近年来,CVE 系统饱受压力。从2015年末起,大量安全研究员反馈称在获取 CVE 编号时延迟严重。他们中的一群人甚至联合起来创建了一个替代的漏洞数据库,称为分布式弱点归档(DWF)。 当时,MITER 表示 CVE 号码分配延迟是由于软件供应商数量的增加,和软件驱动的工业(SCADA)设备和物联网设备的激增造成的。这两个因素导致漏洞报告的数量大幅增加,CVE 员工无法及时跟进。2016年末的一份报告发现,MITER 的 CVE 未能向2015年发现的 6000 多个漏洞分配编号。 美国参议院于 2017 年开始调查 CVE 项目 在媒体的大肆报道后,美国参议院能源和商务委员会于2017年3月底启动了对 CVE 项目的调查。 参议院之所以有权调查 CVE 的运行情况,是因为 MITRE 从美国国土安全部的国家网络安全处获得运行 CVE 数据库的资金。 经过长达一年的调查后,能源和商务委员本周一致函国土安全部(DHS)和 MITRE 公司,概述了调查结果和拟议的行动方案,以解决 CVE 中发现的问题。 原因#1:资金波动和减少 委员会表示,DHS 资助金额的不一致和大幅减少是该项目走下坡路并大量积压的原因之一。信中写道:“2012-2015年,项目收到的资金同比减少了37%。DHS 和 MITER 文档显示,CVE 合同既不稳定,又容易出现计划和资金上的剧烈波动。” 为解决这一问题,委员会建议国土安全部官员将 CVE 的资金从基于合同的资助计划转移到 DHS 的自身预算内,作为 PPA(计划、项目或活动)资助项目,让 MITRE 专注于运营 CVE 数据库而不用总是担心资助问题。 原因#2:缺乏监督 其次,委员会还确定了第二个问题来源,即缺乏对 CVE 项目的监督。 “管理 CVE 计划的历史实践显然是不够的。除非取得重大进展,否则它们可能会再次引发对整个社会利益相关者产生直接负面影响的问题和挑战”,委员会建议 DHS 和 MITER 进行两年一次的审查,以确保该项目在未来几年的稳定性和有效性,帮助在渗入下游网络安全行业之前发现问题。   稿源:开源中国社区,封面源自网络;

前 Facebook 安全主管:美国政府现在保护 2018 年选举已经太晚

据外媒theVerge报道,Facebook最近刚刚离职的安全主管指出,美国政府的不作为使得即将到来的中期选举很容易遭到黑客攻击和网络操作。据悉,Alex Stamos于本月早些时候离开公司,他在最近发表的文章中称,“保护2018年选举已为时已晚”。 这一言论则是对昨日两条新闻的回应:一条是微软发现了6个将为俄罗斯展开政治钓鱼攻击的,另一条是Facebook关闭了652个据称跟虚假信息运动相关的虚假账号和页面。 Stamos表示来自俄罗斯(现在是伊朗)的黑客并未被阻隔在干预选举之外,另外他对奥巴马政府、特朗普政府以及国会在2016年大选期间对操控选举行为作出的“僵化反应”提出了指责。他写道:“如果美国继续沿着这条道路下去,那么它就有可能让自己的选举变成信息站世界杯。” Stamos认为,对于2020年的美国选举,政府应该推动《诚实广告法》的推行,它将对网络政治广告提供更高的透明度要求。另外他还敦促美国政府创立一个专门的联邦网络安全机构以及直接预防选举攻击的州级安全部门。 这篇文章还对Facebook以及其他社交媒体平台因黑客操控其平台而受到的广泛批评进行了反驳。Stamos是一个对公司安全问题直言不讳的人,他曾因披露有关2016年的错误信息活动而惹怒了Facebook的一些高管。不过他指出,虽然包括其前雇主在内的社交媒体平台在2016年犯下了严重的错误,但在很大程度上政府需要为此负责。   稿源:cnBeta,封面源自网络;

Facebook 清除上百个传播虚假信息的账号 伊朗疑卷入其中

据外媒报道,Facebook日前删除了另一批做出不真实行为的页面、群组和账号。这些页面主要针对的是生活在中东、拉丁美洲、英国以及美国的人,上面展示的政治内容旨在塑造他们的观点。就在几周前,Facbeook曾披露其已经从平台上删除了多个涉嫌具有可疑政治动机的页面。现在它又公布了第二次大规模的清除活动–删除了652个页面、群组和账号,据称这次来自伊朗。 这一可疑活动于上月首次披露,当时一家名为FireEye的网络安全公司通知Facebook,他们认为这是一场可疑的、有影响力的宣传活动。据称,这些账号来自伊朗,其目的是利用各种相关账号传播反沙特、反以色列和亲巴勒斯坦的内容。 FireEye在最初的分析报告中指出,总体来说,这一活动背后的意图似乎跟推动伊朗政治利益相关,包括反沙特、反以色列和亲巴勒斯坦的主题以及促进支持美国对伊朗有利的具体政策。这家公司还表示,由于这些干预运动的影响范围非常广,所以它的目标并非只是针对即将到来的美国中期选举,而是要更广泛地影响到世界各地的政治对话活动。 除了这批伊朗账号之外,Facebook还披露,他们删除了美国政府消息源确认跟俄罗斯情报服务机构相关的页面、群组和账号,至于清除了多少并未公布。据称,这些新的干预活动并没有明确表现出跟美国的关系,反而更加关注叙利亚和乌克兰并传播亲俄罗斯和亲阿萨德的宣传。 就在Facebook披露这一消息的前一天,微软数字犯罪部门表示他们已经向美国联邦法院提出申请,要求转移对据称跟一个叫做Strontium的俄罗斯军事情报组织有关的六个的控制权。 微软总裁兼首席法律官Brad Smith表示,Strontium对这些域名的收购暗示了2016年美国总统大选和2017年法国总统大选期间的类似活动。 Facebook网络安全政策主管(Nathaniel Gleicher在一份声明中说道:“我们正与美国执法部门密切合作,对他们的帮助表示感谢。调查工作正在进行中——考虑到敏感性,我们不会没有分享更多关于我们删除内容的信息。”   稿源:cnBeta,封面源自网络;