一项新的内部审计建议，美国司法部和联邦调查局需要重新定义打击勒索软件获得成功的指标。 这份长达26页的审计报告于9月17日发布。美国司法部监察长Michael Horowitz在报告中详细阐述了该部门从2021年4月到2023年9月期间与勒索软件相关的行动，报告还涵盖了计划于2024年初对LockBit的打击行动。 调查发现，美国司法部和联邦调查局在更有效地打击勒索软件方面有三个需要改进的领域。 应改进衡量打击勒索软件成功的指标 司法部需要一种更好的方式“来确定哪些勒索软件威胁的指标（包括打击勒索软件行动的衡量指标）最为重要，且能够展示其打击勒索软件威胁行动的有效性。” 调查人员查阅的文件显示，司法部目前将与勒索软件相关的“成功”定义为：在报告的勒索软件事件中，“案件在72小时内立案、并入现有案件、解决或采取行动的比例提高到65%”。 联邦调查局表示，2023年，针对47%的勒索软件事件，在72小时内采取了行动，这一数字较2022年的39%有所上升。 此外，联邦调查局和司法部还设定目标，希望在2022年和2023年将与勒索软件相关的查封或没收案件数量增加10%。 调查人员指出：“我们认为，司法部现有的勒索软件指标并未真正反映其打击恶意行为者行动的有效性。” “无论司法部是否继续将勒索软件作为优先任务，都应确定哪些指标最具影响力，以确保能够准确衡量其打击行动的效果。” 报告肯定了司法部和联邦调查局多项基础设施破坏行动的成效，尤其针对LockBit、Hive和AlphV等勒索软件团伙的行动。通过这些行动，两家机构向当前和过去的受害者提供了数百个解密密钥。联邦调查局特别制定了一项战略，专门针对那些构成并推动勒索软件生态系统的行为者、基础设施和资金来源。 调查人员表示，他们认为司法部应该进一步追踪破坏勒索软件行动的成效，将破坏次数和向受害者提供的解密密钥数量作为衡量成功的重要指标。 应加强推进机构间协调和信息共享 审计报告指出，司法部尚未为未来两年制定关于勒索软件的行动计划，也未按要求在过去两个财年通过performance.gov报告任何进展。 Horowitz及其团队还发现，一些勒索软件调查因不同执法机构之间的内部矛盾而受阻，这些机构往往拒绝共享信息。 他们表示：“协调失败和冲突未能化解，损害了调查、起诉以及执法间的关键合作关系，也浪费了资源，破坏了公众对司法部的安全感、国家安全以及对政府的信任。” 联邦调查局的官员告诉调查人员，曾有两起相关勒索软件案件分别由不同联邦检察官监督，但“他们未按要求根据解除冲突政策共享信息。” 一位刑事部门官员还透露，全国各地的检察官办公室对这一政策的了解和执行情况存在差异。 应重新审视并制定NCIJTF机构的使命和职能 审计报告还指出，联邦调查局需要为其领导的国家网络调查联合工作组（NCIJTF）的刑事任务中心制定更加明确和具体的使命。 NCIJTF负责协调2021年和2022年整个政府的勒索软件行动计划，但在国会于2022年成立了新的多机构联合勒索软件工作组（JRTF）后，NCIJTF的职能陷入不确定的状态。 报告发现，NCIJTF“在打击勒索软件方面未产生任何有意义的成果”，自新的工作组成立以来，其作用变得模糊不清。 Horowitz表示：“我们发现，联合勒索软件工作组的成立削弱了刑事任务中心的作用，导致其在打击勒索软件方面的角色不再明确。” 美国司法部副助理检察长Bradley Weinsheimer在回复审计报告的信中表示，他认同调查结果，并承诺将致力于解决这些问题。 联邦调查局网络部门助理主任Bryan Vorndran也对相关建议表示赞同，并承诺联邦调查局将更明确地界定NCIJTF的角色。     转自安全内参，原文链接：https://www.secrss.com/articles/70544 封面来源于网络，如有侵权请联系删除

Tor是一种流行的隐私工具和暗网浏览器，通过将用户的互联网流量在全球多个计算机节点（即”中继”）之间反复转发，使得外界难以追踪到流量的来源。 十年前得益于斯诺登的大力推荐，Tor迅速成为活动人士、记者等职业人士青睐的隐私工具。然而，正是这种匿名性也让Tor成为网络犯罪分子青睐的平台，他们通过Tor进行（暗网）非法市场交易并逃避执法部门的追踪。 近日，德国执法部门成功锁定Tor网络用户身份的报道引发了广泛的关注和讨论。 德国执法部门通过时序分析攻击破获“Boystown”案件 根据德国媒体《Panorama》联合混沌计算机俱乐部（Chaos Computer Club，简称CCC）的调查报告披露，德国执法部门通过运行大量Tor节点并运用时序分析攻击技术，成功破获了儿童色情平台“Boystown”的案件。根据法院文件，执法部门多年来通过控制Tor节点，利用流量进入和离开网络的时间差异来确定目标用户的身份，从而成功进行逮捕。 时序攻击，又称计时攻击，是一种通过分析加密算法或敏感操作执行时间差异来推导出机密信息的攻击方式。在密码学中，这种攻击方式尤为有效，因为每个逻辑运算在计算机上执行都需要时间，而根据输入的不同，执行时间也会有所差异。攻击者正是利用这一特点，通过精确测量执行时间来反推出密码或其他敏感数据。 时间分析攻击最大优点是并不依赖软件漏洞，而是通过观察数据流动的时间点来实现去匿名化。如果攻击者控制了部分Tor节点或监视了进入和退出网络的节点，就可以通过比较数据流动的时间来跟踪回某个特定的用户。 Tor的回应与改进措施 面对这一报道，Tor项目团队表示，他们并未获得相关法院文件，无法进一步分析这些安全假设，但仍根据已有的信息向用户发布声明。Tor团队指出，这些攻击发生在2019年至2021年之间，自那时以来，Tor网络规模大幅扩大，时序分析攻击的难度也随之增加。此外，Tor团队还提到，过去几年他们对不良中继进行了广泛清理，进一步减少了网络集中化的问题。 关于报告中提到的匿名即时通讯应用Ricochet，Tor团队指出，攻击所针对的用户使用的是一个已于2022年6月停用的旧版本。新的Ricochet-Refresh版本则增加了针对时间分析和入口节点发现攻击的保护措施。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/km2RPBKiv0HX5BAGndO8cQ 封面来源于网络，如有侵权请联系删除

近日，美国乔治亚理工学院（Georgia Tech）的网络安全实验室陷入了一场法律诉讼。实验室负责人Antonakakis博士因长期拒绝遵守美国国防部（DoD）的网络安全规范（例如安装杀毒软件），导致学校被美国联邦政府起诉。 著名安全实验室被控欺诈 Antonakakis领导的网络安全实验室此前获得了数百万美元的国防部研究项目资金，其中包括为国防项目开发重大技术项目，例如“Rhamnousia：通过张量分解和数据抓取来追踪网络攻击者”。 联邦政府指控称，Antonakakis及其实验室多年来未遵守基本的安全规范，甚至在明知不合规的情况下，依旧提交了研究项目的费用发票，这种行为构成了欺诈。 “从根本上说，国防部为军事技术项目支付了费用，但被告将这些技术存储在不安全的环境中，无法防止未经授权的访问和泄漏。被告甚至没有监控是否发生了信息泄露，这意味着即便信息已经发生泄露，国防部也无从得知。最终，国防部认为在该项目的投入毫无价值，未能获得应有的利益。”联邦政府在起诉书中如此写道。 网安博士强烈反对安装杀毒软件 Antonakakis博士和他领导的网络安全实验室长期反对安装杀毒软件，这直接违反了DoD的安全规范规定。根据NIST发布的《非联邦信息系统与组织中受控未分类信息的保护》800-171号特别出版物，处理或存储涉密信息的设备必须安装终端杀毒软件。然而，Antonakakis博士对此持强烈反对态度。 乔治亚理工的系统管理员曾要求Antonakakis博士遵守规定，但他在2019年的一封内部邮件中明确表示，安装杀毒软件这件事“无法接受”。实验室的IT主管被允许采取其他“缓解措施”，例如依赖学校的防火墙来提供额外的安全保护。然而，事实证明，这种“假设”是错误的。学校的网络也从未提供过杀毒保护，而且实验室中使用的笔记本电脑经常离开学校网络环境，这进一步加剧了安全风险。 乔治亚理工校方意识到实验室为遵守国防部合同规定后，决定暂停实验室合同的发票提交，以避免被控提交虚假付款请求。然而，在发票暂停提交几天后，Antonakakis最终同意在实验室安装杀毒软件。 尽管如此，联邦政府指出，学校从未承认其长期不合规的事实，且在不合规的情况下依旧提交了大量发票，这属于欺诈行为。 安全评估弄虚作假 乔治亚理工面临的第二个问题是，该校在自我评估安全性时，提交了虚假分数。根据NIST的规定，学校需要评估110项安全控制措施的实施情况。乔治亚理工提交了一份全校的“总体安全计划”，分数为98分，但实际上这个分数是基于一个虚构的模型，而不是各个实验室的真实情况。 校方并没有对每个实验室进行单独评估，而是统一提交了编造的“98分”作为实验室项目的分数。联邦政府对此表示不满，认为这种安全评估形同虚设，根本不反映实际的安全状况。 技术骨干成安全文化“毒瘤” 联邦政府认为，乔治亚理工之所以会出现如此松懈的安全管理，主要原因是研究人员认为遵守安全规范“太麻烦”。当核心研究人员成为抵触网络安全规定的”毒瘤“时，校方管理层往往选择妥协，而不是强制执行安全措施。 据前员工透露，乔治亚理工的高级领导层之所以向研究人员的要求让步，主要是因为这些研究人员能为学校带来大量政府合同资金。一名前员工称，学校的网络安全合规文化充斥着“反正领导都不重视安全，所以我也可以无视（安全）规定”的态度。 不过，并非所有人缺乏基本的安全意识。这起案件之所以曝光，正是因为乔治亚理工的IT部门内部有几位吹哨人站出来揭发实情。 乔治亚理工学院网络安全实验室的合规问题再次凸显了安全合规在学术研究中的重要性。尽管安全规定可能会给研究工作带来不便，但高校学术实验室的开放性使其极易成为国家间间谍活动的目标。 通过起诉乔治亚理工学院，美国政府向其他依赖政府资金的大学实验室也发出了警告：“如果不能严格遵守网络安全规范，就别想再获得政府资金。”   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/Z2dfMvRs7q5Qk8xxo-nqWg 封面来源于网络，如有侵权请联系删除

据 The Cyber Express消息，臭名昭著勒索软件组织 LockBit 于9 月 18 日将美国在线报税服务 eFile.com 添加至受害者名单，要求在14天内支付赎金。eFile美国国税局（IRS）官方授权的税务申报平台。 人工智能驱动的威胁情报平台 Cyble 的研究人员表示，这次攻击LockBit 没有发布任何文件，通常勒索软件都会释放一些所窃取数据的样例来印证其真实性。 目前，除了14天的赎金支付期限，有关 Lockbit 勒索软件攻击的程度、数据泄露以及网络攻击背后的动机的详细信息仍未披露。此外， eFile.com 官方网站仍然功能齐全。为了确认攻击的真实性，The Cyber Express 已经联系了 eFile 官员，目前尚未收到任何回复。 对于数百万依赖 eFile.com 报税的美国人来说，该服务一旦遭受攻击恐将面临潜在的严重。如果 LockBit 的攻击被证明属实，纳税人的个人和财务数据可能落入犯罪分子手中。这些数据可用于各种恶意活动，包括身份盗窃、税务欺诈和帐户接管。 据悉，早在两年前eFile就已经成为LockBit的目标。 2022 年 1 月 19 日，Lockbit 声称入侵了eFile.com，且该日期正好处了税务申报截点，表明网络犯罪分子有意针对流量高峰期，以最大限度地发挥破坏力。 而在2023年， eFile.com网站曾出现一个漏洞，让攻击者在其中植入了恶意 JavaScript，将用户重定向到恶意软件下载界面。 2023 年 eFile.com网站上的恶意软件下载诱导界面 该恶意软件被研究人员命名为“efail”，利用了报税平台中的漏洞，让攻击者可以访问敏感数据，包括纳税人的社会安全号码、家庭住址、收入信息和其他详细 个人信息。eFile在接到反馈的几天后删除了该恶意软件，但这一事件再次引发了人们对关键金融服务提供商网络安全措施水平的担忧。   转自Freebuf，原文链接：https://www.freebuf.com/news/411364.html 封面来源于网络，如有侵权请联系删除

根据美国联邦贸易委员会（FTC）工作人员的一份报告显示，社交媒体和视频流媒体公司一直在对用户，尤其是儿童和青少年进行广泛的监控，隐私保护不足，并通过数据货币化每年赚取数十亿美元。 此调查始于2020 年 12 月，联邦贸易委员会于2020 年 12 月公布了调查结果，并向亚马逊（Twitch 的所有者）、Meta（Facebook）、YouTube、Twitter（现为 X 公司）、Snapchat、TikTok（ByteDance 所有）、Discord、Reddit 和 WhatsApp（Meta）发出了 6(b) 命令。 这份报告调查了公司在2019年至2020年期间如何收集数据，追踪个人和人口统计信息，以及这些行为对未成年人造成了哪些影响。联邦贸易委员会今天公布的结果显示，这些做法在数据保留、数据共享和针对性广告方面引起了严重的担忧。 联邦贸易委员会（FTC）主席 Lina M. Khan 今日强调了这些调查结果的严重性，她指出报告揭露了这些公司如何将大量美国民众的个人资料转化为巨额利润，每年赚取数十亿美元。 她表示，尽管这些监控行为为公司带来了丰厚的利润，但它们可能侵犯个人隐私，威胁个人自由，并使人们面临从身份盗窃到跟踪等一系列风险。这些公司都未能妥善保护儿童和青少年的网络安全，这是非常令人担忧的。 FTC指出，这些平台收集了大量数据，并且大部分数据被无限期保留。一些公司在数据共享方面过于宽泛，往往缺乏必要的监管，即使用户要求删除数据，这些公司也未能完全遵守。此外，这些公司的商业模式鼓励他们大量收集用户数据，以推动针对性广告的投放，这为他们带来了大部分收入。报告指出，这种做法直接侵犯了用户隐私，并增加了个人信息被滥用的风险。 社交媒体公司收集的用户数据 此报告还突出强调了社交媒体和视频流平台如何将用户及非用户数据输入算法和人工智能系统，并且往往不提供用户退出的选项，这增加了对透明度、监管和潜在消费者伤害的担忧。 报告最显著的发现之一是这些平台上缺乏对儿童和青少年的保护措施，许多公司声称他们的服务不是针对儿童的，以此试图规避遵守《儿童在线隐私保护法》（COPPA）。 但是联邦贸易委员会的报告中指出，青少年在这些平台上通常与成人受到相同的对待，很少或根本没有额外的保护措施。 联邦贸易委员会的报告呼吁政策制定者采取行动，要求国会通过全面的联邦隐私法案，包括限制数据收集、实施更严格的数据最小化和保留政策，以及制定更透明、更有利于消费者理解的隐私政策。 报告还要求公司增强其平台上对青少年和儿童的保护措施，将COPPA作为最低标准，并提供额外的安全和隐私保护措施。 Khan 补充称，此报告的发现非常及时，尤其是在州和联邦政策制定者考虑通过立法来保护人们免受滥用数据行为影响的时候。   转自Freebuf，原文链接：https://www.freebuf.com/news/411354.html 封面来源于网络，如有侵权请联系删除

因供应商未能按时删除用户数据并泄露，AT&T遭监管处罚超9000万元，并实施安全改进计划。 安全内参9月19日消息，美国联邦通信委员会（FCC）与AT&T就2023年1月发生的重大数据泄露事件达成了一项1300万美元（约合人民币9181万元）的和解协议。该事件源自AT&T的一家第三方云服务供应商。 供应商未能按时删除数据并泄露，FCC要求甲方严格落实审查责任 此次数据泄露导致AT&T超过890万名移动客户的信息被窃取。根据和解协议，一家未具名的公司，负责为AT&T提供用于营销、账单处理和生成个性化视频内容的服务，是此次事件的罪魁祸首。协议中提到，AT&T为了使用这家供应商的服务，与其共享了包括用户数据在内的大量客户信息。 AT&T与该供应商之间签署的合同中，明确规定了对这些数据进行保护和处理的要求。2016年至2020年间，经过多次审查和评估，表明该供应商遵循了数据删除政策。 然而，在2023年1月的泄露事件中，本应在2017年或2018年删除的数据被盗。FCC最终认定，AT&T对这一失误负有不可推卸的最终责任。 9月17日，在华盛顿召开的全球年度数据隐私会议上，FCC执法局局长Loyaan Egal指出，这份和解协议提醒企业，FCC正对企业在供应链中如何确保客户数据安全给予更为严格的审查。 他表示：“当我们调查美国境内企业的数据泄露事件时，若涉及到供应商，我们会重点关注这些供应商的所在地以及他们的数据保留情况。这些供应商是否有权保留被泄露的数据？你们能否有效追踪这些第三方所使用的数据？” AT&T推进数据泄露响应工作，并将实施改进计划 根据和解协议，AT&T于2023年1月6日向该供应商通报了数据泄露事件，并于同年2月7日通过在线报告表格向政府报告了此次事件。被盗数据包括客户账号中涉及的电话号码数量、账单余额、支付信息，以及针对约8.9万名受影响客户的1%的费率计划名称。 除了支付1300万美元的罚款外，AT&T还与政府达成了一项同意令，承诺对其在云端存储和保护客户数据的方式进行一系列改进。这些改进措施包括年度合规审计，以及制定一项“全面的”信息安全计划，以更好地保护敏感的客户数据。 此外，该协议要求AT&T加强对其第三方供应商生态系统的监管。具体措施包括限制对敏感客户数据的访问权限、改进对与供应商共享信息的追踪方式、严格执行数据处理要求，以及加强对供应商在其系统和网络中采用的数据保护政策和措施的监督。 在接受外媒CyberScoop采访时，AT&T发言人Alexander Byers表示，该公司从2023年3月开始通知客户此次数据泄露事件，且被盗的数据并不包括信用卡信息、社会安全号码或账户密码。 Byers在一份电子邮件声明中称：“尽管我们的系统并未在此次事件中遭到攻破，我们仍着手改进内部客户信息管理方式，并对供应商的数据管理实践实施了新的要求。” 尽管此次和解结束了FCC对2023年1月供应商云端泄露事件的调查，但FCC仍在继续调查另一宗规模更大的AT&T数据泄露事件。该事件于2023年7月曝光，黑客通过攻击第三方云平台Snowflake，窃取了几乎所有客户长达六个月的电话和短信记录。   转自安全内参，原文链接：https://www.secrss.com/articles/70402 封面来源于网络，如有侵权请联系删除

欧洲刑警组织和九个国家的执法部门成功捣毁了代号“Ghost”的加密通讯平台，该平台被用来作为开展各种犯罪活动的工具，包括大规模贩毒、洗钱、极端暴力事件和其他形式的严重有组织犯罪。 Ghost 应用程序具有先进的安全和匿名化功能，允许使用加密货币购买订阅，具有三层加密功能以及可从发送者和收件人的设备中删除证据的消息自毁系统。 全球有数千人每天使用 Ghost 平台交换大约 1,000 条消息，同时广泛的全球经销商网络向潜在客户推广该平台。 Ghost 应用程序通过广泛的经销商网络在犯罪生态系统中推广。经过修改的智能手机售价约为 2,350 美元，其中包括六个月的加密网络订阅和技术支持。 对该平台的调查由欧洲刑警组织行动工作组 (OTF) 牵头，于 2022 年 3 月开始，参与调查的特工来自美国、加拿大、法国、意大利、爱尔兰、澳大利亚、瑞典和荷兰。 此次行动导致发现了 Ghost 位于法国和冰岛的服务器、位于澳大利亚的平台所有者以及与该平台相关的位于美国的资产。 通过审查证据，当局能够在不同国家组织协同突袭，总共逮捕 51人，其中澳大利亚 38 人、爱尔兰 11 人、加拿大 1 人、意大利 1 人。 参与此次行动的澳大利亚警方在四个州的突袭行动中逮捕了 38 名嫌疑人，加拿大、瑞典、爱尔兰和意大利也逮捕了多名嫌疑人。 这些嫌疑人包括各种有组织犯罪集团的成员，他们涉嫌使用 Ghost 应用程序进行贩毒和杀人等犯罪活动。自 3 月以来，警方干预了 50 起潜在暴力案件，监控了 12.5 万条信息和 120 通视频通话。 澳大利亚联邦警察透露，警方能够破坏该应用程序使用的更新机制，并推出受污染的更新来危害客户的设备。 “管理员定期发布软件更新，就像普通手机所需的更新一样。但澳大利亚联邦警察能够修改这些更新，从而感染设备，使澳大利亚联邦警察能够访问澳大利亚设备上的内容。”澳大利亚联邦警察发布的新闻稿写道。 大多数使用 Ghost 的犯罪嫌疑人都在新南威尔士州，不过维多利亚州、西澳大利亚州、南澳大利亚州和澳大利亚首都领地也有 Ghost 用户。 主要经营者面临五项指控和可能的处罚，最高可判处 26 年监禁。 欧洲刑警组织执行主任凯瑟琳·德博勒评论道：“今天我们已经明确表示，无论犯罪网络认为自己有多么隐蔽，他们都无法逃脱我们的共同努力。” “9 个国家的执法部门与欧洲刑警组织携手，捣毁了一条严重有组织犯罪的生命线。” 除了逮捕之外，当局还捣毁了一个毒品实验室并缴获了武器、非法物质以及超过 100 万欧元（110 万美元）的现金。 查获的Ghost 手机 欧洲刑警组织表示，由于调查的复杂性，不得不在冰岛、爱尔兰和澳大利亚部署网络专家执行高度专业化的技术任务。 该机构还强调，诸如拆除 Ghost 以及之前的Sky ECC、EncroChat和Exlu等行动导致加密通信领域出现碎片化，这使得调查和犯罪追踪变得更具挑战性。 欧洲刑警组织在新闻稿中解释道：“作为回应，犯罪分子现在转向各种不太成熟或定制的通信工具，这些工具提供不同程度的安全性和匿名性。” “这一策略有助于这些行为者避免在单一平台上暴露他们的整个犯罪行动和网络，从而降低被拦截的风险。” 欧洲刑警组织最近呼吁对加密采取平衡的方法，主张采取措施确保隐私，同时不损害刑事调查中合法获取的数据。 该机构借此机会提醒私营公司，当刑事调查需要时，有责任提供合法的数据访问权。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/ls4lZa8niqVFyqNA6CPxjA 封面来源于网络，如有侵权请联系删除

伊朗情报和安全部（MOIS）下属的网络行动已成为该国黑客的复杂初始访问代理，为中东各地电信和政府组织的系统提供持续入口。 谷歌旗下的 Mandiant 公司周四发布了一份关于命名为 UNC1860 网络活动的报告。研究人员称，与该部门有关联的黑客开发了一系列令人印象深刻的专用工具和被动后门，这些工具和后门将继续协助伊朗的其他黑客行动。 Mandiant 解释说：“据报道，这些组织为针对以色列的破坏性和破坏性行动提供了初步途径，这些行动于 2023 年 10 月下旬使用 BABYWIPER 针对以色列，于 2022 年使用 ROADSWEEP 针对阿尔巴尼亚。” Mandiant 指出，虽然他们无法独立确认 UNC1860 是否参与了这两次行动，但他们发现了“可能旨在促进交接操作”的工具。 Mandiant 表示，UNC1860 的一个关键特性包括“维护这一系列多样化的被动/监听式设施，以支持该组织的初始访问和横向移动目标。” 这些工具旨在逃避反病毒软件的监控并提供系统的秘密访问，以用于各种目的。 Mandiant 称 UNC1860 是一个“强大的APT组织”，可能支持“从间谍活动到网络攻击行动等各种目标”。 该安全公司发现 UNC1860 的工具被其他与 MOIS 有关联的黑客组织使用的证据，例如APT34——一个著名的伊朗威胁组织，负责入侵约旦、以色列、沙特阿拉伯等国的政府系统。上周，研究人员发现了一项针对伊拉克政府官员的广泛 APT34 行动。 Mandiant 表示，该公司于 2020 年受聘应对 UNC1860 使用未具名受害者的网络扫描 IP 地址并暴露漏洞的事件，这些漏洞主要位于沙特阿拉伯。该公司还发现 UNC1860 对卡塔尔域名感兴趣的证据。 该公司补充说，2024 年 3 月针对以色列组织的擦除恶意软件活动中使用的工具也可能归因于 UNC1860。 Mandiant 表示：“在取得初步立足点后，该组织通常会部署额外的实用程序和一套选择性的被动植入物，这些植入物的设计比普通的后门更为隐蔽。” 其他公司过去也曾重点关注 UNC1860 的工具，其中包括思科、Check Point和Fortinet。 随着伊朗黑客组织网络行动变得越来越明目张胆，其受到安全研究人员和政府机构的越来越大的关注。 Mandiant 表示：“随着中东紧张局势持续起伏，我们认为，该攻击者在获取目标环境初始访问权方面的娴熟技能，对伊朗网络生态系统而言是一笔宝贵的资产，可随着需求的变化而用于应对不断变化的目标。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/IQKFQhb3RDBENKYQI62Qmw 封面来源于网络，如有侵权请联系删除

近日安全研究人员发现从游戏机到总统大选投标机的海量设备仍然使用不安全的测试密钥，容易受到UEFI bootkit恶意软件的攻击。 安全启动不安全 在近期的安全研究中，一项涉及设备制造行业安全启动（Secure Boot）保护机制的供应链失败问题引发了广泛关注。此次事件波及的设备型号范围远比之前已知的要广泛得多，受影响的设备涵盖了ATM机、POS机、甚至投票机等多个领域。 这一问题源自于过去十年间，数百种设备型号中使用了非生产环境的测试平台密钥，这些密钥在其根证书中标注了“DO NOT TRUST”（请勿信任）等警示语，此类密钥原本应仅用于测试环境，但设备制造商却将其应用于生产系统。 平台密钥作为加密的“信任根”锚定了硬件设备与其运行的固件之间的信任关系，确保安全启动机制正常运行。然而，由于大量用于测试安全启动主密钥的私钥被泄漏，极大地削弱了这一安全机制的有效性。研究发现，2022年甚至有人将一部分私钥在GitHub上公开发布。这些信息为攻击者提供了必要条件，能够通过植入“根工具包”（Rootkits）等恶意软件，破坏设备的UEFI（统一可扩展固件接口）安全启动保护。 500多种设备存在隐患 此次供应链安全事件被Binarly命名为“PKfail”（CVE-2024-8105），意指平台密钥（Platform Key）失效。此次失败展示了供应链复杂性已超出用户当前的风险管理能力，特别是在涉及第三方供应商时。不过，研究人员指出，这一风险完全可以通过“安全设计理念”进行规避和缓解。 根据Binarly的最新报告，受此问题影响的设备型号远超此前的认知。Binarly的研究工具在过去几个月中收集到了10095个固件样本，其中791个（约占8%）包含了非生产密钥。 受PKfail影响的固件数量 最初，Binarly识别出了大约513种设备型号使用了测试密钥，目前一数字已增长至972种。此外，最早报告的215个受影响型号中，有490个型号使用了在GitHub上公开的密钥。研究人员还发现了四个新的测试密钥，使得总数达到了约20个。 此前发现的密钥均来自AMI，这是一家为设备制造商提供UEFI固件开发工具包的主要供应商之一。自7月以来，Binarly还发现了AMI的其他两大竞争对手Insyde和Phoenix的密钥同样存在问题。 更多的受影响设备还包括： Hardkernel的odroid-h2、odroid-h3和odroid-h4 Beelink Mini 12 Pro Minisforum HX99G Binarly进一步指出，受影响的设备不仅限于桌面电脑和笔记本电脑，还包括大量医疗设备、游戏机、企业级服务器、ATM机、销售终端设备，甚至包括投票机！由于目前尚无修复方案，研究人员基于保密协议未披露具体的设备型号。Binarly发布了“PKfail扫描仪”，供应商可以自行上传固件映像查看是否使用了测试密钥。 此次事件表明，安全启动作为一种设备预启动阶段的加密保护机制，尽管被广泛应用于政府承包商和企业环境中，但其安全性依然存在隐患，其供应链管理中存在重大漏洞。   转自安全内参，原文链接：https://www.secrss.com/articles/70379 封面来源于网络，如有侵权请联系删除

近日，Discord 推出了 DAVE 协议，这是一个定制的端到端加密 (E2EE) 协议，旨在保护平台上的音频和视频通话免遭未经授权的拦截。 DAVE 是在 Trail of Bits 网络安全专家的帮助下创建的，该专家还对 E2EE 系统的代码和实施进行了审核。 新系统将涵盖用户在私人频道中的一对一音频和视频通话、小型群组聊天中的音频和视频通话、用于大型群组对话的基于服务器的语音频道以及实时流媒体。 Discord 在公告中写道： 他们将开始将 DM、群组 DM、语音频道和 Go Live 流中的语音和视频迁移至使用 E2EE。用户将能够确认通话何时进行了端到端加密，并对这些通话中的其他成员进行验证。 Discord 最初是为游戏玩家在游戏过程中进行交流而建立的，现在已发展成为世界上最流行的交流平台之一，满足了具有共同兴趣爱好的群体、创作者、企业和各种社区的需求。 DAVE 的推出是该平台加强数据安全和隐私保护的重要举措，该平台的使用人数已超过 2 亿。 最重要的是，Discord 决定将协议及其支持库开源，以便安全研究人员进行审查。此外，还发布了一份包含完整技术信息的白皮书，以确保对社区的透明度。 DAVE 技术概述 DAVE 使用 WebRTC 编码转换 API，允许在媒体帧（音频和视频）编码后和打包传输前对其进行加密。接收端对帧进行解密，然后解码。 只有特殊的编解码器元数据（如标题和保留序列）未加密。 DAVE 的运行概况 在密钥管理方面，信息层安全（MLS）协议用于安全和可扩展的群组密钥交换，每个参与者都有一个按发送者计算的对称媒体加密密钥。椭圆曲线数字签名算法（ECDSA）则用于生成身份密钥对。 当一个群组的组成发生变化时，比如一个成员离开或一个新成员加入，这时候群组的加密状态会通过生成新密钥，这个过程应该在不会对参与者造成明显干扰的情况下完成。 Discord 表示，MLS 会增加密钥交换的延迟，但 DAVE 的设计能将延迟控制在几百毫秒以内，即使在大型群组通话中也是如此。 最后，在用户验证方面，有一些带外方法，如比较从群组的 MLS 时序状态得出的验证码（称为 “语音隐私码”）。 由于每次通话都会为用户分配一个新的密钥，因此通过使用短暂的身份密钥可以防止持续跟踪。 语音隐私代码屏幕 分阶段推出 Discord 现已开始将所有符合条件的频道迁移到 DAVE，用户可以通过查看界面上的相应指示器来确认他们的通话是否经过端到端加密。 预计还需要一段时间，所有用户才能在所有设备和频道上完全访问新的 E2EE 系统。 用户除了升级到最新的客户端应用程序外无需做任何其他操作，老版本的客户端将仅限于传输加密。最初推出的版本将涵盖 Discord 的桌面和移动应用程序，网络客户端后续也将面世。   转自Freebuf，原文链接：https://www.freebuf.com/news/411234.html 封面来源于网络，如有侵权请联系删除