安全快讯Top News

全球安全资讯一周速递 04-24

HackerNews.cc 与您一同回顾上周精彩内容 【国内要闻】 CNCERT 发布 2016 年我国互联网网络安全态势综述 国家计算机网络应急技术处理协调中心(简称“国家互联网应急中心”,英文简称“ CNCERT ”)发布《 2016 年我国互联网网络安全态势综述》,在对我国互联网宏观安全态势监测的基础上,结合网络安全预警通报、应急处置工作实践成果,着重分析和总结了 2016 年我国互联网网络安全状况,并预测 2017 年网络安全热点问题。 中国互联网协会发布的《 2016 中国网民权益调查报告》显示,84% 网民曾经遭受过因个人信息泄露带来的不良影响。而舆论关注的焦点,是个人信息如何在信息提供、采集加工和使用过程中得到有效保护。 央行明确个人征信业务三原则,信息是否被过度采集引关注 4 月 20 日,在由央行征信管理局、世界银行集团、APEC 工商理事会主办的个人信息保护与征信管理国际研讨会上,央行副行长陈雨露表示,正在积极稳妥地加快推进个人征信业务牌照发放工作,抓紧整理、研究和吸收,完善相关制度安排。   【国际动态】 世界顶级情报机构于新西兰举行秘密会议 ,或商讨网络威胁重要决策 外媒 21 消息,世界顶级情报机构领导人将于 4 月 22、 23 日在新西兰秘密举行会议。联邦调查局( FBI )局长詹姆斯·科米、美国中央情报局( CIA )局长麦克·蓬佩奥、新美国国家情报局局长以及新西兰政府通信与安全局( GCSB )和安全情报局( SIS )部长预计出席本次秘密会议。此外,新西兰总理比尔·英格利希证实,数名高级官员也将出席会议。 据《新西兰先驱报》报道,新西兰旅游圣地“皇后镇”目前已处于高度戒备状态,有消息透露此次会议或有某位“ VVIP ”重要人士出席。 NSA 利用微软产品漏洞监视客户,SWIFT 敦促全球银行用户增强安全意识 管理全球 1 万余家金融机构资金转移的 SWIFT 银行协会 4 月 17 日发表声明,敦促客户密切关注自身安全,在选择服务机构与其他第三方提供商时需慎重考虑。及时安装安全更新、补丁与安全软件是保护软件与系统免遭入侵的关键所在。 SWIFT 此前在系统更新中声明,希望与服务机构之间仍保持密切联系,以此提醒自身将具有网络犯罪威胁告知用户并实施全新安全检查的职责。 五角大楼投资 7,700万 美元安全计划,全力打击电网黑客 美国政府日益关注可使国家陷入瘫痪的大规模电网攻击行为。美国国防部( DoD )表示正着手开发一个自动化系统,计划赶在 2020 年前完工,以加快受攻击电网的恢复能力,实现一周内迅速恢复的目标。   【恶意软件】 NSA 泄露的恶意软件 DoublePulsar 已感染 3.6 万 Windows 设备 上上周末,Shadow Brokers (影子经纪人)再次泄露了一份 117.9 MB 的 NSA 机密文档,恶意软件 DoublePulsar 就是被泄露的黑客工具之一,主要为攻击者提供针对 Windows 系统的秘密后门访问。国外安全公司 Below0Day 指出,恶意软件 DoublePulsar 目前已被互联网滥用,全球至少有 3.6 万 Windows 设备已受感染。而微软方面对这一检测结果表示质疑。   【威胁预警】 新型钓鱼手段预警:你看到的 аррӏе.com 真是苹果官网? 研究人员发现一种“几乎无法检测”的新型钓鱼攻击,就连最细心的网民也难以辨别。黑客可通过利用已知漏洞利用 Punycode 钓鱼攻击手法在 Chrome、Firefox 与 Opera 浏览器中伪造显示合法网站域名(例如:苹果、谷歌或亚马逊等)。知道创宇 404 安全专家表示,倘若攻击者利用这一漏洞结合钓鱼邮件发至重要企事业单位,很有可能导致重要信息外泄。   【数据泄露】 洲际酒店集团数据泄露,影响范围扩大至全球 1200 家酒店 洲际酒店集团( IHG )近期发布了一份新数据泄露报告,指出至少 1200 家酒店支付卡系统遭黑客攻击。本次网络攻击后果远远要比最初设想的更加糟糕。 IHG 此前曾发表声明表示“攻击范围相当微弱,仅影响 IHG 管理的 12 家品牌公司。如今其发言人却证实已有 1,200 家 IHG 品牌特许经营酒店系统遭黑客攻击,攻击者利用恶意软件于 2016 年 9 月 29 日至 12 月 29 日期间入侵酒店前台电脑系统,窃取用户信用卡数据。 本文由 HackerNews.cc 整理发布,转载请注明来源。

WikiLeaks 公开 CIA 入侵三星智能电视的方法

WikiLeaks 公布了最新的 CIA 机密文件,披露了入侵三星 F 系列智能电视的 Weeping Angel 工具的用户手册 。Weeping Angel 并非是 CIA 原创,而是基于 MI5/BTSS 的 Extending 工具,设计利用内置麦克风记录数据。 该工具需要通过物理接触方法使用 U 盘安装到目标的智能电视上,记录下的音频数据再通过物理接触方法收回,但利用附近的 WIFI 热点远程获取记录的音频数据也是可能的。运行在 Windows 上的另一个工具 Live Liston Tool 可用于实时获取监听的数据。Extending 还可以伪装电视屏幕关闭下继续监听。Weeping Angel 是 CIA 和 MI5/BTSS 在一个联合开发研讨会期间合作开发的。 稿源:solidot奇客,封面源自网络

世界顶级情报机构将于新西兰举行秘密会议 ,或商讨网络威胁重要决策

据外媒 21 日报道,世界顶级情报机构领导人将于 4 月 22、 23 日在新西兰秘密举行会议。“Five Eyes” 情报联盟也将出席此次会议。 “Five Eyes” 又称“五眼联盟”,是由英国、美国、加拿大、澳大利亚与新西兰五个国家级情报机构组成的秘密情报联盟。前身是英美战后多项秘密协议催生的多国监听组织“UKUSA”。 据报道,联邦调查局( FBI )局长詹姆斯·科米、美国中央情报局( CIA )局长麦克·蓬佩奥、新美国国家情报局局长以及新西兰政府通信与安全局( GCSB )和安全情报局( SIS )部长预计出席本次秘密会议。此外,新西兰总理比尔·英格利希证实,数名高级官员也将出席会议。 据《新西兰先驱报》报道,新西兰旅游圣地“皇后镇”目前已处于高度戒备状态,有消息透露此次会议或有某位“非常非常”重要人士出席。 战略研究中心高级研究员 Jim Rolfe 表示,此次会议或将讨论网络威胁渐增问题。参与此次会议的重要官员对网络威胁与网络安全极其重视,这也是全球面临的最大难题之一。 CIA 与 FBI 目前对于此次会议尚未发表任何声明。 原作者:India Ashok,译者:青楚,译审:狐狸酱 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

NSA 泄露的恶意软件 DoublePulsar 已感染 3.6 万 Windows 设备

上周末,Shadow Brokers (影子经纪人)再次泄露了一份 117.9 MB 的 NSA 机密文档,恶意软件 DoublePulsar 就是被泄露的黑客工具之一,主要为攻击者提供针对 Windows 系统的秘密后门访问。国外安全公司 Below0Day 指出,恶意软件 DoublePulsar 目前已被互联网滥用,全球至少有 3.6 万 Windows 设备已受感染。 △ 全球受感染主机设备地域分布 据 Below0Day 扫描结果显示,全球有 5,561,708 台 Windows 系统( SMB 服务)445 端口暴露于互联网中,已确认有 30,625 主机设备感染了恶意软件。目前被感染的主机设备绝大多数位于美国地区,其次为英国、中国台湾和韩国。 △ Below0Day 发布的全球受感染设备国家/地区 TOP 25 专家表示,其余设备虽未检测出恶意软件 DoublePulsar,但也存在被黑风险。目前网络犯罪组织、企业间谍甚至国家支持的黑客组织都有可能利用这一工具进行非法入侵,使用 Windows 系统的企业或个人最好不要存有侥幸心理。 原作者 Catalin Cimpanu,译者:狐狸酱 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

环境光传感器 API 可泄露浏览器敏感数据

据外媒 20 日报道,安全专家 Lukasz Olejnik 发现一种新技术攻击方法,通过内置环境光传感器 API 从多台笔记本电脑或智能手机的浏览器中窃取敏感数据。环境光传感器以自动更改屏幕亮度安装于电子设备中。研究显示,攻击者可以利用该方法通过环境光传感器分析亮度变化窃取认证机制网页上包含 QR 码等敏感数据。 如何通过环境光传感器提取私人数据?主要基于以下两点: 1、用户屏幕的颜色能携带有用信息,而网站出于安全原因无法直接访问。 2、攻击者能够通过光传感器读数区分不同屏幕颜色。 作为例子,Olejnik 提醒用户,用户访问站点后链接颜色将会做相应改变,而专家可以通过环境光传感器检测到这些变化并获得用户历史访问记录。 不过专家也指出,该种攻击方法的速度极其缓慢,他们检测一个 16 位字符的文本字符串花费 48 秒,而识别一个 QR 码则耗时三分二十秒。Olejnik 解释道,原则上,浏览器传感器可以传输 60 Hz 读取速率。然而,并不意味着我们实际上每秒钟就能够提取 60 位,因为最终的检测极限与传感器检测屏幕亮度变化速率有关。 Olejnik 团队进行了屏幕亮度测试,结果表明读数延迟为 200 至 300 毫秒,而对于一个完全可靠的利用来说,假设每 500 毫秒传输一位更加实际。据悉,在某些情况下,该种攻击方法并不可行,因为用户不会在屏幕上长时间保持 QR 码搜索。 此外,Olejnik 还提出一个对策,通过限制环境光传感器 API 读数频率、量化其输出数据以减轻攻击。据悉,该对策不会影响传感器防止任何滥用行为。目前该提案足以限制传感器读数频率(低于 60Hz)与限制传感器输出精度(量化结果)。 原作者:Pierluigi Paganini,译者:青楚,译审:狐狸酱 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

特朗普上任 90 天未兑现俄罗斯黑客全面报告承诺

自从上台以来,特朗普曾在推特发表几则文章,承诺一定会把涉嫌干预美国大选的俄罗斯黑客风波查个水落石出。特朗普在 1 月 13 日发表推文写道:“我的幕僚会在上台 90 天内,针对遭网络攻击事件提出一份详尽的报告。”不过特朗普上任 90 天期限已至,并无任何证据显示该报告的调查计划正在进行中。 Politico 称 90 天计划可能目前都没有团队或主管参与其中,更不用说计划,也没有来自任何白宫的答复提及有人参与该计划。目前,并无白宫官员回应 Politico 的置评请求。 今年 1 月 31 日,特朗普曾在白宫罗斯福厅召开网络安全会议,还邀请前任纽约市长鲁道夫·朱利安尼作为高级网络安全官员。然而,朱利安尼目前正在私人企业任职,他的发言人对外澄清,朱利安尼与特朗普所说的 90 天计划,并没有任何关系。 哈佛大学贝尔佛中心 ( Belfer Center ) 网络安全计划部主任苏梅尔 ( Michael Sulmeyer ) 分析,总统上台后第一项意义重大网络安全计划,竟然无法在截止日期交出来,如此结果恐将创下“ 不幸的前例 ”。 对于特朗普曾经承诺要对俄罗斯干预 2016 年大选做出全面报告却食言,有民主党人士开始要求要求特朗普兑现承诺。 稿源:cnBeta  内容节选;封面源自网络

澳大利亚网络安全勇攀高峰,志在引领全球移动网络安全

澳大利亚网络安全发展机构( ACSGN )于本周四在悉尼宣布目标发展路线图——网络安全行业竞争力计划( SCP ),旨在使全国网络安全行业规模翻三番,从今年的 20 亿澳元收益增长至 60 亿澳元。 SCP 由工业、创新与科学部部长 Arthur Sinodinos 参议员发起,旨在识别澳大利亚组织机构在本地与国际网络安全市场竞争中所面临的严峻挑战,为加强澳大利亚网络安全行业发展、构建充满活力与创新的生态系统铺平道路。SCP 阐明了将澳大利亚打造成全球网络安全解决方案领导者以促进投资、提供更多就业机会、振兴澳大利亚经济所需的步骤与行动。 Sinodinos 表示,此项计划目标明确而宏大,但考虑到澳大利亚所拥有的人才、技术与系统在全球网络安全方面均处于领先地位,成为全球领域领导者的梦想并非遥不可及。经 ACSGN 报道,澳大利亚构建网络安全行业时将面临三个具体挑战: 首先,虽然澳大利亚表现出优秀与世界领先的网络安全研究能力,但目前的研究与商业化进展仍处于低效状态。 其次,为制定该计划与公开招标数据而进行的专家访谈表明,当前市场环境限制了澳大利亚小型网络安全企业与初创公司的发展前景。 第三,严重的技能短缺限制了澳大利亚网络安全行业的发展。虽然高校近期已经开始引进几门新型研究课程,但在不久的将来未必能够输出足够的毕业生以满足行业需求。 ACSGN 宣布任命两名董事会成员,并在堪培拉创建了第二个网络安全创新节点,加入在墨尔本创建的首个节点。 澳大利亚工业集团前首席执行官、在众多商业社区机构担任主席的Heather Ridout AO与澳大利亚信号理事会(ASD)前高级成员、近期担任Telstra首席信息安全官的Mike Burgess为新董事会成员。据悉,他们与 Data61 首席执行官 Adrian Turner、IBM 前全球销售与分销业务高级副总裁兼集团执行官 Doug Elix、ACSGN 首席执行官 Craig Davies 共同担任主席。Davies 仍对澳大利亚网络安全部门的潜力持乐观态度,并再次强调需要加快发展的步伐。 Davies 团队于今年 2 月将 20 家澳大利亚网络安全创业公司带到 RSA 信息安全会议。他的目标是在 2018 年将 50 家公司带到 RSA 会场。Davies 被告知 ACSGN 正寻找下一个 “ Atlassian ”(常指代澳大利亚成功的创业公司,Davies 本人也曾经担任 Atlassian 安全主管的角色。Davies 表示,事实并非如此,他们正寻找接下来 50 个 Atlassians。此外,ACSGN 还宣布两款在澳大利亚开发的网络安全硬件产品。 原作者:Stilgherrian,译者:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

俄黑客推出“人性化” RaaS 业务,连小孩都能发起勒索软件攻击了

据外媒 21 日报道,安全研究人员近期发现暗网市场中正在出售一种新型勒索软件 Karmen 以及其衍生出的“勒索软件即服务(RaaS)模式”。调查显示,俄罗斯网络犯罪组织 DevBitox 以用户名 Dereck1 的身份在顶级暗网中出售这款勒索软件。 勒索软件 Karmen 于 2017 年 3 月在暗网中被发现出售,但首次感染事件可追溯至 2016 年 12 月。与其他变体一样,该勒索软件加密受害者数据,并要求缴纳赎金方可提供解密密钥。目前攻击者主要针对美国与德国用户设备。 攻击者除了将勒索软件 Karmen 设计为人性化通用技能与知识外,还采用了先进的安全逃避技术。例如,在系统中检测到沙箱环境或任何其他类型的安全分析软件,Karmen 将自动删除解密部分,重新获取受害者文件访问权限。 此外,勒索软件还具备专用控制面板功能,允许人们定制个性化攻击服务。Recorded Future 研究人员表示,对于购买勒索软件 Karmen 的网络犯罪分子来说,使用控制面板是极其简单的事情,因为仅需极少的技术与知识。 Recorded Future 安全团队主管 Andrei Barysevich 透露,目前只要花个 175 美元,就连五岁小孩都能进行勒索软件攻击了。而勒索软件 Karmen 附带的“ 客户端 ” 页面还能让购买者跟踪已感染设备,并提供支付赎金的更新状态。 至今为止,DevBitox 组织已销售 20 份勒索软件 Karmen ,还剩 5 份可供潜在客户购买。据统计显示,暗网上利用 RaaS 模式出售勒索软件的趋势显著增长,网络犯罪分子通过定制出售恶意软件,旨在允许技术知识有限的人员发起大规模攻击。   原作者:India Ashok,译者:青楚,译审:狐狸酱 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

央行明确个人征信业务三原则,信息是否被过度采集引关注

4 月 20 日,在由央行征信管理局、世界银行集团、APEC 工商理事会主办的个人信息保护与征信管理国际研讨会上,央行副行长陈雨露表示,正在积极稳妥地加快推进个人征信业务牌照发放工作,抓紧整理、研究和吸收,完善相关制度安排。陈雨露透露,在个人征信业务活动中,强调注重把握独立性、公正性、个人信息隐私权益保护等三方面的原则。 中国互联网协会发布的《 2016 中国网民权益调查报告》显示,84% 网民曾经遭受过因个人信息泄露带来的不良影响。而舆论关注的焦点,是个人信息如何在信息提供、采集加工和使用过程中得到有效保护。 目前,中国多数第三方征信机构所从事的是企业征信。企业征信业务为备案制,个人征信业务则为许可制。截至目前,个人征信牌照尚未正式放开。2015 年 1 月,央行准许 8 家征信机构开展个人征信业务准备,准备时间为六个月。 世界银行集团国际金融公司东亚及太平洋地区的首席金融部门专家指出,征信监管有三个基本目的:第一,个人数据保护;第二,维护征信行业发展的秩序;第三,维护金融稳定和促进金融普惠服务。 据悉,在个人数据保护方面,最高人民法院研究室法官喻海松透露,最高人民法院于今年3月底审议通过“侵犯公民个人信息罪司法解释”。目前,该法规正在接受最高人民检察院检察委员会审议,审议完成后将尽快对外发布。 稿源:cnBeta  内容节选;封面源自网络

五角大楼投资 7,700万 美元安全计划,全力打击电网黑客

据外媒 19 日报道,美国政府日益关注可使国家陷入瘫痪的大规模电网攻击行为。美国国防部( DoD )表示正着手开发一个自动化系统,计划赶在 2020 年前完工,以加快受攻击电网的恢复能力,实现一周内迅速恢复的目标。 美国能源部于今年 1 月发布了一份长达 494 页的报告, 描述网络攻击如何为美国生命线网络、国防关键基础设施与经济发展带来重要威胁、甚至可能危及数百万公民健康与安全,并详细介绍了美国电网面临的严峻风险。 五角大楼研究机构 Darpa 项目经理 John Everett 在一份声明中指出,如果今天国家电网遭到一次精密策划的网络攻击,那么恢复供电所需时间将引发一场令人生畏的国家安全挑战。据悉,未及时恢复电网除了会对国内经济与人力成本方面造成影响,还将阻碍军事动员与物流、削弱政府为国际危机解决方案投入的力量。 调查表明,DoD 推出的这项新举措名为“ 黑客行为迅速检测、隔离与界定 ”(RADICS)计划,旨在打击针对电网的主要黑客攻击行为。Darpa 打算为 RADICS 计划花费 7,700 万美元,主要目标是恢复民用电力与通信功能。据报道, BAE 系统公司( BAE Systems )于上月获得 860 万美元资金,专门用于开发检测与控制电网攻击事件的安全应急网络(SEN)技术。 经美国军方新防御系统网站报道,BAE 系统公司 SEN 技术主要依靠收音机、无线网络或卫星功能帮助受攻击电网迅速恢复应急电源与通信。Darpa 表示,由于存在互联网基础架构在遭受攻击后无法运行或黑客在电力公司 IT 系统中嵌入恶意代码的情况,建立允许电源供应商在发生电力攻击后进行通信的安全应急网络可谓至关重要的决策。 BAE 系统公司通信与网络部高级首席工程师兼经理 Victor Firoiu 表示,该计划的主要目标是提供一种快速隔离企业 IP 网络与电力基础设施网络、摧毁恶意网络攻击的先进技术。 原作者:India Ashok,译者:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接