分类: 国际动态

俄沙虫组织利用 Follina 漏洞,入侵乌克兰重点机构

近期,乌克兰计算机应急响应小组 (CERT) 警告说,俄罗斯黑客组织Sandworm可能正在利用名为Follina的漏洞,这是Microsoft Windows 支持诊断工具 (MSDT) 中的一个远程代码执行漏洞,编号为CVE-2022-30190,它可以通过打开或选择特制文档来触发其中的安全漏洞,威胁行为者至少自2022年4月以来一直在攻击中利用它。值得注意的是,乌克兰情报机构以中等可信度评估,认为这场恶意活动的背后是“Sandworm”黑客组织。 CERT-UA表示,俄罗斯黑客利用Follina针对乌克兰各种媒体组织的500多名收件人发起了一项新的恶意电子邮件活动,其中攻击目标包括广播电台和报纸。这些电子邮件的主题是“交互式地图链接列表”,其中还带有一个同名的 .DOCX 附件。当目标打开文件时,JavaScript 代码会执行以获取名为“2.txt”的有效负载,CERT-UA也因此将其归类为“恶意 CrescentImp”。 不过CERT-UA提供了一组简短的入侵指标,以帮助防御者检测CrescentImp感染。但是,目前还尚不清楚CrescentImp究竟属于哪种类型的恶意软件。 Sandworm在过去几年中一直以乌克兰为目标,尤其在俄罗斯入侵乌克兰后,其攻击频率明显增加。今年4月,人们发现Sandworm试图通过使用Industroyer恶意软件的新变种来攻击一家大型乌克兰能源供应商的变电站。安全研究人员还发现Sandworm是负责创建和运营Cyclops Blink 僵尸网络的组织,这是一种依赖固件操作的高度持久性恶意软件。为了找到该黑客组织中的六名成员的踪迹,美国还曾悬赏高达1千万美元的奖励。   转自 FreeBuf,原文链接:https://www.freebuf.com/news/336151.html 封面来源于网络,如有侵权请联系删除

FBI 捣毁出售大量被盗个人重要信息的网络黑市

美国执法官员已经关闭了一系列通过出售被盗数据获得1900万美元收入的网站。这些网站贩卖的黑市数据包括重要的个人信息,如被盗的社会安全号码和出生日期。因此,这一行动被捣毁绝对是一个大胜利。 美国司法部于6月7日宣布关闭“SSNDOB Marketplace”网站。除其他事项外,该公告还包括这个令人震惊的细节。这些网站正在出售约2400万个被盗的社会安全号码。就背景而言,这个数字超过了佛罗里达州的人口。 出售被盗社会安全号码的网站 根据美司法部的说法,SSNDOB网站的管理员在暗网犯罪论坛上创建了广告。这些广告宣传市场的服务,同时管理员提供客户支持并在买家将钱存入其账户时进行监控。 此外,SSNDOB的管理员使用了各种技术来保持匿名并防止对其活动的任何窥探。根据美国执法部门的说法,这包括“使用与其真实身份不同的在线名称,在不同国家战略性地维护服务器,并要求买家使用数字支付方式如比特币”。 美司法部的公告继续说道:“拆除和扣押这一基础设施的国际行动是与塞浦路斯和拉脱维亚的执法当局密切合作的结果。2022年6月7日,针对SSNDOB市场的域名执行了扣押令……有效地停止了该网站的运作。” 防止身份被盗 像这样的犯罪活动提醒人们,身份盗窃是一个永远存在的威胁,人们需要认真对待。下面,你会发现你可以采取的步骤来减少自己成为受害者的可能性(由USA.gov提供): 这第一个步骤应该不用多说。不要因为有人问你要个人信息(如你的出生日期、社会安全号码或银行账户号码)就分享这些信息; 一定要把旧的收据、信贷通知、账户报表和过期的信用卡撕掉; 此外,应该每年审查一次自己的信用报告。特别是要检查以确保它们不包括你没有开过的账户。你可以从Annualcreditreport.com免费订购你的报告; 最重要的是,创建身份窃贼无法猜测的复杂密码。此外,如果跟你有业务往来的公司的计算机系统出现漏洞请更改密码。 美国检察官Roger Handberg在SSNDOB公告中说道:“我赞赏我们的国内和国际执法伙伴为制止这一全球计划所做的大量工作和合作。盗窃和滥用个人信息不仅是犯罪行为,而且会在未来几年对个人产生灾难性的影响。” Handberg跟国税局刑事调查华盛顿特区外地办事处的主管特别探员Darrell Waldon和联邦调查局坦帕分部的主管特别探员David Walker一起宣布关闭这些网站。   转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1279811.htm 封面来源于网络,如有侵权请联系删除

库克致信参议院:敦促美国国会批准隐私保护立法草案

北京时间6月11日凌晨消息,苹果公司首席执行官蒂姆库克今天致信美国参议院,商业、科学运输委员会主席Maria Cantwell(D-WA)和美国众议院委员会主席Frank Pallone(D-NJ)。库克主张在联邦层面制定强有力的隐私立法。这封信似乎是对一项名为“美国数据隐私和保护法”的拟议两党法案的回应,该法案有关公司可以从个人那里收集的数据类型以及他们如何使用这些数据。 库克在信中表示,苹果将继续支持联邦层面的努力,为消费者建立强有力的隐私保护。库克重申了苹果的信念,即隐私是一项基本人权。库克表示,虽然苹果努力保护用户隐私,但“只有国会才能为所有美国人提供强有力的隐私保护。” 库克信函全文如下: 尊敬的Cantwell和Pallone主席以及Wicker和Mc Morris Rodgers的高级成员: 感谢您在隐私立法方面的持续工作。苹果继续支持联邦层面的努力,为消费者建立强有力的隐私保护,我们对你们办公室提出的提案草案感到鼓舞。 我们认识到有待解决的悬而未决的问题,但协议的领域似乎远大于分歧。您的草稿将为消费者提供实质性保护,我们写信是为了为实现这一共同目标提供强有力的支持。通过您的工作,再加上拜登总统呼吁更好地保护儿童隐私,美国人似乎比以往任何时候都更接近于获得有意义的隐私保护。 在苹果,我们相信隐私是一项基本人权。这就是为什么我们一直倡导全面的隐私立法,并尽可能为这一过程做出贡献。这也是我们始终构建默认情况下保护用户及其信息的产品和功能的原因。为此,我们通过最小化收集的数据、在用户设备上处理尽可能多的数据、让用户了解收集的数据和控制其使用方式的透明度以及构建强大的系统来保护我们所有的用户数据来做到这一点。产品与服务。 尽管苹果将继续创新和开发保护用户数据的新方法,但只有国会才能为所有美国人提供强有力的隐私保护。不幸的是,这项重要立法的持续缺失将使隐私权的拼凑方法永久存在,这使得太多人没有我们希望通过您的努力看到的严格标准。 我们强烈敦促您尽快推进全面的隐私立法,我们随时准备在未来几天协助这一进程。   转自 新浪科技,原文链接:https://finance.sina.com.cn/tech/2022-06-11/doc-imizirau7723380.shtml 封面来源于网络,如有侵权请联系删除

美国司法部查封了乌克兰 IT 军的网络攻击资源

图:安全内参访问ipstress[.]in网站的截图 美国司法部近日查封了一个涉网犯罪域名ipstress[.]in,据悉此前曾为乌克兰IT军服务; 目前尚不清楚,ipstress[.]in的网络攻击活动,是否与乌克兰IT军有关,美国查封行动是否对乌克兰政府提前通气; 这类攻击活动目前在乌克兰合法,但在全球其他地方应该都非法,该如何定性和定责还属于灰色地带。 安全内参6月10日消息,美国司法部在5月31日宣布,在一次国际网络犯罪执法行动中查封了三个涉案域名。 美国哥伦比亚特区检察官Matthew Graves在声明中表示,此次查封的ovh-booter[.]com、weleakinfo[.]to及ipstress[.]in三个域名已经引发了“两起令人痛心的威胁”,涉及贩卖被盗个人信息、攻击并破坏合法互联网服务网站。 被查封的网络攻击设施曾与乌克兰IT军合作 没过多久,有人注意到被查封的IPStress域名近期曾隶属于乌克兰IT军队。这支“网络部队”是乌克兰政府批准的民间志愿者组织,旨在鼓励对俄罗斯目标持续开展网络攻击,立足在网络空间帮助乌克兰抵御俄罗斯的军事攻击。 截至本周二(6月7日),乌克兰IT军队的英文网站上仍有指向IPStress网站及对应Telegram账号的链接。在美媒CyberScoop询问此事后,链接被删除。现在访问此域名,用户会收到警告,显示“域名已经被没收”(见上图)。 此前,该网站曾自称是“可以拿下任何游戏服务器”的“最强IP压力测试器”,并表示“可以利用我们极速的方法绕过一切保护措施,比如CloudFlare。现在购买,享受我们强大的僵尸网络之力吧。” 乌克兰IT军的目标是“针对敌国的信息资源和服务,开展自动化系统攻击”。IT军的官方网站提供乌克兰语和英语两个版本,其中列出大量可供下载的工具和说明,以便对各类目标发起分布式拒绝服务攻击(DDoS)。在这类攻击之下,目标计算机和网络流量将不堪重负,导致服务无法正常访问。 一位不愿透露姓名的知情人士表示,乌克兰IT军曾在今年5月与IPStress合作过几周,但“由于后者执行不力……而宣布终止”。 该人士解释道,IPStress本该负责“提供服务器状态服务并在我们的网站上获取参考信息。”合作解除后,IPStress网站链接已经从IT军的乌克兰语版本网站中删除。但“由于一个技术问题”,英文版本的链接没有删除。 “当然,在得知IPStress正面临FBI调查后,我们肯定不会与他们续约或扯上任何关系。我们也是刚刚听说这件事,而且是从你们的消息里了解的。” 此人还提到,“乌克兰IT军是个纯粹的自愿参与组织,意在鼓励乌克兰人民对抗俄罗斯在网络空间发动的攻击。在战争期间,它是完全合法的。” 我们也向IPStress相关Telegram账号发送了消息,但对方并未回复。 乌合法网络攻击 vs 美打击网络犯罪:该活动的事实与性质均未知 虽然这些攻击活动在乌克兰境内是合法的,但在其他几乎任何地方都属于非法。另外,也不清楚IPStress网站与乌克兰IT军之间的合作,是否与FBI、美国司法部、荷兰警方以及比利时联邦警察前段时间的国际执法行动有关。 在6月1日发布的声明中,比利时官员称在5月31日逮捕了一名20多岁的男子,罪名是“对比利时及多个国外目标发动、或授意发动计算机攻击”。声明提到,这项调查历时一年,线索来自之前发现的一个大量转售被盗密码和用户名的网站。 比利时方面拒绝透露案件的其他细节,包括被拘留男子的姓名、或者是否有律师参与到案件审理当中。 FBI和美国司法部曾在2020年1月宣布,作为涉及英国、荷兰、德国和北爱尔兰的国际执法行动中的一部分,他们已经查封了weleakinfo[.]com网站。比利时方面在6月1日的声明中又提到,就在原版网站陷落的三天之后,又有托管在荷兰服务器上的weleakinfo替代站点快速上线。 FBI与华盛顿特区检察官办公室都拒绝对此事发表评论。向荷兰司法和安全部提出的置评请求也未收到回复。乌克兰数字化转型部的一位发言人回应称,“本部门并不代表IT军,我们双方属于合作关系,拥有同一个敌人。” 这位发言人并没有回答,乌克兰政府察觉FBI调查行动和决定断绝与IPStress间合作关系这两件事,到底谁先谁后的问题。   转自 E安全,原文链接:https://www.secrss.com/articles/43387 封面来源于网络,如有侵权请联系删除

意大利某市欲关闭系统以抵抗网络攻击

近期,意大利南部巴勒莫市遭受网络攻击,这给城市的运营、市民以及游客带来了巨大影响。 这座拥有约130万人口的城市是意大利人口第五大城市,该地区每年还有约230万游客到访,所以此次网络攻击对整个城市的冲击可想而知。 在网络攻击发生之后,当地所有的服务、公共网站和在线门户都处于离线状态,尽管当地的专家也一直在试图恢复系统。据当地多家媒体报道,受此次网络攻击影响的系统包括公共视频监控管理、市警察行动中心以及市政府的所有服务。在当时,所有依靠网络系统进行的服务都一度陷入瘫痪,以至于公民必须使用过时的传真机来传递信息。对游客来说,他们也无法在线预订博物馆和剧院(马西莫剧院)的门票。而且限行地区的证件也没办法办理,因此没有进行监管,也没有对相关违规行为进行罚款。不幸的是,历史悠久的市中心需要这些通行证才能进入,因此游客和当地居民受到了严重影响。 鉴于意大利最近收到了来自Killnet组织的威胁,因此有人猜测此次针对巴勒莫市的网络攻击有可能是黑客组织Killnet,但人们发现这次攻击更偏向于勒索攻击,而非DDoS攻击,Killnet的一个特点就是擅长发动DDoS攻击,该组织是一个亲俄罗斯的黑客活动家,也曾对支持乌克兰的国家发起过DDoS攻击。 巴勒莫市创新议员 Paolo Petralia Camassa表示,为应对此次攻击,目前所有系统都已关闭并与网络隔离,且中断可能会持续一段时间。不过这种措施也是常见的应对勒索软件攻击的做法,网络被脱机是为防止恶意软件传播到更多计算机并加密文件。目前还无法确定此次网络攻击的类型,如果这种网络攻击被证明是勒索软件,那么该黑客团伙很可能已经窃取了大量数据,并有可能对该市进行勒索。如果这种假设成立,那巴勒莫可能面临双重打击,一是泄露大量公民个人数据,二是违反欧盟的GDPR。   转自 Freebuf,原文链接:https://www.freebuf.com/news/335462.html 封面来源于网络,如有侵权请联系删除  

美网络司令部负责人:美军黑客为支持乌克兰而开展进攻性行动

美国网络司令部负责人告诉Sky News,美军黑客已经开展了支持乌克兰的进攻性行动。在一次独家采访中,Paul Nakasone将军还介绍了单独的hunt forward行动是如何让美国在外国黑客被用来对付美国之前搜索出他们的工具。 这位同时也是美国安局(NSA)局长的将军在爱沙尼亚塔林发表讲话时告诉Sky News,他“每天”都在关注针对美国的俄罗斯网络攻击的风险,并表示 hunt forward是保护美国和盟友的有效方式。 Nakasone将军首次证实,美国正在进行进攻性黑客行动以对乌克兰应对俄罗斯的军事行动表示支持。 他表示:“我们已经进行了一系列全方位的行动;进攻性、防御性、(和)信息行动。” 这位四星将军没有详细说明这些活动,但解释了这些活动是如何合法的及如何在完全由文职人员监督军队并通过国防部决定的政策进行的。 “我的工作是向国防部长和总统提供一系列选择,所以这就是我所做的,”Nakasone说道,但他拒绝描述这些选择。 不过他指出,跟以谎言开始进行信息行动的俄罗斯相比,美国的目的是在战略上讲真话。 另外,Nakasone将军表示不同意那些认为俄罗斯对乌克兰的攻击的网络方面被夸大了的评论观点,并且赞扬了基辅政府和保卫者的复原力。“如果你问乌克兰人,他们不会说这是被夸大了。如果你看一下他们遇到的破坏性攻击和分裂性攻击–你写的是对(卫星公司)Viasat的攻击–这是一直在进行的事情。” 这位将军继续说道:“而我们已经看到了这一点,对他们的卫星系统的攻击、一直在进行的雨刷攻击以及对他们的政府程序的破坏性攻击。这是一种我认为有时被公众所忽视的部分。他们并不是没有很忙,他们一直非常忙。而且我认为,你知道,他们的复原力也许是最吸引我们所有人的故事。” 当被问及俄罗斯针对美国的攻击的风险有多高时,Nakasone将军说道:“我们每天都保持警觉。每一天都是如此。我一直在想这个问题。” 另外,他还补充称:“这就是为什么我们正在跟一系列伙伴合作以确保我们防止这种情况,这不仅针对美国而且也针对我们的盟友。” Hunt forward–在Nakasone将军的领导下开发的一项活动–是美网络司令部伙伴关系的一个关键方面。 Nakasone将军表示,网络司令部的专家已经被部署到国外的16个国家,他们可以从盟国的计算机网络中寻求情报–通常都在协商一致和邀请的基础上。而网络司令部会跟东道国分享他们发现的情报,这对hunt forward的运作至关重要。 据悉,在一次这样的hunt forward部署中,美国军事专家在非常接近入侵日期的时候出现在乌克兰。 “我们在2021年12月应基辅政府的邀请去了那里,和他们一起狩猎。我们在那里停留了近90天,”这位将军说道。 一位发言人证实,这支队伍在2月跟国防部其他人员一起在俄罗斯对乌克兰采取军事行动前撤出。   转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1276353.htm 封面来源于网络,如有侵权请联系删除

路透社:英国脱欧泄密网站幕后推手与俄罗斯黑客有关

根据路透社报道,与俄罗斯有关的网络威胁攻击者支持一个名为 Very English Coop d’Etat 的新网站,该网站发布了英国脱欧支持者泄露的电子邮件。 据谷歌网络安全员和英国前外国情报部门负责人称,“Very English Coop d’Etat”网站的设立是为了发布英国脱欧支持者的私人电子邮件。其中比较知名的包括前英国军情六处负责人理查德·迪尔洛夫、英国脱欧活动领袖吉塞拉·斯图尔特、和历史学家罗伯特·汤姆斯等。 路透社强调,目前已经有泄密受害者证实了这些信息的真实性,并透露泄密活动与俄罗斯黑客有关。 泄密网站与俄罗斯黑客组织有关 谷歌威胁分析小组(TAG)负责人谢恩-亨特利(Shane Huntley)告诉路透社,该网站与俄罗斯一个名为 Cold River(又名 Coldriver 或 Callisto)的黑客组织有关。 路透社指出,目前尚不清楚该网站是如何获得这些敏感邮件,经过专家分析发现,大多数被盗邮件是使用 ProtonMail 发送的。 值得一提的是,”English Coop “网站中提出了各种奇奇怪怪的指控,其中一项指控称,迪尔洛夫是英国强硬脱欧派的中心人物,围绕他的这些人想要推翻在 2019 年初与欧盟谈判达成脱欧协议的英国前首相特雷莎-梅,以立场更强硬的约翰逊取代她。 据路透社透漏,迪尔洛夫表示应该“谨慎”处理这些电子邮件,他认为这些电子邮件涉及的都是合法的“游说活动”,但是以目前这种对立的视角来看,已经受到了扭曲。   转自 FreeBuf,原文链接:https://www.freebuf.com/news/334676.html 封面来源于网络,如有侵权请联系删除

美国政府发布 5G 安全评估指南

安全内参5月27日消息,对于希望在部门内部署5G无线通信项目的联邦官员,这份最新发布的安全指南将帮助他们考量最重要的“运营授权”流程。 《5G安全评估》(5G Security Evaluation)指南由美国国土安全部(DHS)网络安全与基础设施安全局、国土安全部科技司、国防部(DoD)研究与工程司共同牵头,指派研究小组负责具体制定。 文件指出,“重要的是,政府应采用灵活、自适应且可重复的方法对任何5G网络部署的安全性和弹性做出评估。此外,具体评估可能需要在现行联邦网络安全政策、法规和最佳实践之外更进一步,以解决已知攻击向量、尚未发现的威胁和特定实施中存在的漏洞。” 整理评估方案的官员强调,这份指南并非新的安全要求或框架。相反,它只是为各级机关的5G系统评估工作,特别是评估其安全水平是否符合生产要求,制定出一个五步走流程。整个流程与美国国家标准、技术风险管理框架等现有评估机制挂钩。 网络与基础设施安全局网络质量服务管理办公室主管Vincent Sritapan在采访中表示,“我们经常面对各种各样的应用场景:用于训练的AR/VR,提供数据存储与分析功能的智能湖仓等。但关键在于,必须找到一种通行的方式来看待问题并理解政策。我们并不是要重新构建评估机制,而是立足于现有成果,比如风险管理框架。” 图:5G子系统面临的威胁 各级机关都希望能在未来几年内将5G系统部署落地,因此安全评估工作就成了通信升级的关键。作为联邦首席信息安全委员会授权负责发现常见无线与移动问题、开发解决方案并分享最佳实践的专项团队,联邦移动工作组(Federal Mobility Group)曾在2020年发表论文,确定了政府内60多项与5G技术相关的举措,其中包括数十项研发计划。 与其他新兴技术一样,在将5G引入生产环境之前,各团队必须首先获得运营授权(ATO)。此次发布的评估指南,就是以专项测试与传统运营授权流程为基础,面向5G技术提供评估调查指引。 Sritapan表示,“很多人单纯关注功能本身。他们可能会想,「太棒了,我想在技术新鲜出炉后立马用上。」但在摸清风险之前,大家不宜轻举妄动。换句话说,在把5G用例纳入业务的同时,我们又增添了哪些风险?” 5G安全评估的五个阶段 这个五步走评估流程的第一步是定义5G用例,包括5G系统、子系统及属性等关键参数。 美国国防部5G to NextG倡议的运营部分负责人Dan Massey在采访中指出,这个流程将帮助各级机构考量5G系统的复杂性,包括最终用户设备、无线接入网络、5G核心网络和边缘计算系统等。 Massey还提到,“该流程将帮助大家确定系统组件的风险级别、系统边界、已知指导方针等,避免从零开始自行摸索。” 第二步,定义安全评估的边界。考虑到5G技术极高的复杂性和相互关联性,这一部分可能会极具挑战。 Sritapan解释道,“要使用专用网络吗?是否包含云系统?作为边界的组成要素,应该选择怎样的端点和技术应用接口?” 第三步,要求对各个5G子系统开展“高级威胁分析”,并进一步确定安全要求,如是否采用身份、凭证和访问管理控制或网络安全控制等。 第四步,要求同联邦指导方针和行业规范相匹配,包括与美国国家标准技术研究所网络风险管理框架(NIST RMF)、联邦信息流程标准及其他相关指南挂钩。 第五步,评估安全指导方针中存在的差距。如果联邦指导意见确实存在差距,文件要求项目主管应求助于“由商业或贸易团队建立的行业认证、安全保障计划,或者其他最佳实践评估框架。”但文件同时强调,在采用这些方法之前,务必“认真”进行研究权衡。 Massey总结道,“我们不会引入全新的流程或指令。相反,我们认为现有方案已经够多,最重要的是把新流程跟现有指导方针匹配起来。当然,在实施过程中难免会发现差距。但大多数情况下,只要我们能够充分理解自身安全要求,就完全可以把新流程与原有指导意见联系起来。这里我想呼吁那些打算部署5G系统的同仁,这绝不是什么庞大、可怕、前所未见的事物。只要按照这份流程有序推进,大家就会发现它跟以往的工作没多大区别,基本原理也并不难理解。”   转自 安全内参,原文链接:https://www.secrss.com/articles/42887 封面来源于网络,如有侵权请联系删除

新报告指出美国政府缺乏关于勒索软件攻击的全面数据

根据美国参议院委员会的一份新报告,美国政府缺乏关于勒索软件攻击的全面数据,而且现有的报告比较分散。美国国土安全部和公共事务委员会近日发布了一份 51 页的报告,呼吁政府迅速实施新的授权,要求联邦机构和关键基础设施组织在遭遇勒索软件之后必须上报,以及需要支付的赎金。 为了撰写这份报告,委员会进行了为期 10 个月的调查,并重点关注加密货币在勒索软件支付中的作用。结果发现有关攻击的报告是“零散且不完整”的,部分原因是 FBI 和 CISA 都声称拥有“一站式服务” 报告攻击的网站——分别是 IC3.gov 和 StopRansomware.gov。 新法律要求关键基础设施组织在 72 小时内向 CISA 报告网络攻击,并在 24 小时内向 CISA 报告勒索软件的赎金。CISA 在 3 月份表示将立即与 FBI 分享事件报告,但调查发现这种安排存在缺陷。 报告指出:“虽然这些机构声明他们彼此共享数据,但在与委员会工作人员的讨论中,勒索软件事件响应公司质疑此类通信渠道对协助攻击受害者的影响的有效性”。 除了 FBI 和 CISA 的双重报告职能之外,财政部的 FinCEN、运输安全管理局和证券交易委员会还有针对特定部门的报告制度,以及通过 FBI 外地办事处和一些州政府的报告。报告指出:“这些机构没有统一捕获、分类或公开共享信息。” 它指出,专家认为 FBI 关于勒索软件的 IC3 数据是数据的“子集”。 FBI 在其年度 IC3 报告中承认其勒索软件数据“人为地低”,因为受害者只是自愿向 FBI 报告事件。与此同时,收集勒索软件受害者报告的 FBI 外地办事处在后续调查期间与约 25% 的受害者失去了联系。 转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1273865.htm 封面来源于网络,如有侵权请联系删除

美国联合 37 家科技巨头共同发布《开源软件安全动员计划白皮书》

为解决开源软件安全这项特殊的挑战,近期,科技大厂、开源社群与美政府持续商讨,如今已有具体行动,在两次峰会举办之后,《开源软件安全动员计划白皮书》正式发布,首年投入经费将达6,840万美元,次年为7,950万美元。 面对开源软件安全的议题,全球都在关注,如今美国政府与科技巨头正积极采取行动,希望能改善相关风险。今年1月,美国白宫曾举行开源软件安全峰会,邀请多家科技巨头,商讨这个独特的安全挑战,近期,5月中旬二度举办开源软件安全峰会,这场会议,由Linux基金会与开源安全基金会(OpenSSF)召开,集结37家科技巨头的高层主管,以及美国白宫等多个联邦机关官员,共90人参会,这次会议不仅达成很多的共识,并具体指出将解决开源软件的十大挑战,同时这些科技巨头也承诺,在未来两年内,将投入1.5亿元经费解决相关问题。 值得一提的是,这次会议的召开时间可以说是别具意义,去年同一时间,美国总统拜登签署了一份改善国家网路安全的行政命令EO 14028中,就包括了提高开源软件供应链的安全。 参与这次会议的成员,来自多个重量级行业从业者,包括亚马逊、谷歌、微软、威睿、戴尔、英特尔、摩根大通、GitHub等,同时也有多个美国政府机关的官员出席,包括来自美国白宫、美国国家安全委员会(NSC)、美国网路安全及基础设施安全局(CISA)、美国国家标准暨技术研究院(NIST)、白宫网路主任办公室(ONCD)、能源部(DOE)与美国行销管理和预算局(OMB)的官员。这样的组合,其实也显现出开源社群、科技巨头,以及美国联邦政府之间加强合作的态势与重要性。 面对开源软件安全议题,聚焦解决10大问题 该如何改善开源软件安全?Linux基金会与开源安全基金会在收集多方意见后,现已发布首个广泛解决开源软件安全的计划项目,名为”开源软件安全动员计划”(The Open Source Software Security Mobilization Plan),当中最受关注的焦点就是,不仅详细说明解决开源软件的3大议题与10大问题,也公布解决各项问题将投入的经费。 基本上,在首次开源软件安全峰会上,当时讨论了3个主要目标,包括:首先,确保开源软件生产的安全,重点放在防止程式码与开放原始码套件(Open Source package)的缺陷与漏洞;其次,改善漏洞发现与修补;最后,缩短整个生态体系的修补应变时间。 如今,随着第二次开源软件安全峰会的召开,现已进一步总结出开源软件十大问题,分别是:(一)安全教育、(二)风险评估、(三)数位签章、(四)记忆体安全、(五)资安应变、(六)强化扫描能力、(七)程式码稽核、(八)资料分享、(九)软件物料清单SBOM,以及(十)供应链改善。 具体而言,以确保开源软件生产安全的目标而言,在安全教育面向,透过教育与认证让所有人提升安全软件开发的水准;在风险评估面向上,为最热门的1万个或更多开源软件元件建立一个公开、中立且基于客观指标的风险评估仪表板;在数位签章方面,加速软件发布采用数位签章;在记忆体安全方面,透过替换「不具记忆体安全(non-memory-safe)」的程式语言,来消除许多漏洞的根源。 针对改善漏洞发现与修补的目标而言,在网安应变方面,强调建立OpenSSF开源安全事件回应小组,网安专家可在应对漏洞了解关键时刻介入协助开源项目;在强化扫描能力面向,透过进阶的安全工具与专家指引,加速开源项目维护者与专家对新漏洞的发现;在程式码稽核方面,每年将针对两百多个关键的开源软件元件,进行一次第三方程式码审查以及必要的修补工作;在资料分享方面,将协调所有产业共享相关资料,帮助确定出最关键的开源软件元件并改善研究。 以缩短整个生态体系的修补应变时间的目标而言,在软件物料清单方面,将改善SBOM工具,并且推动这类工具的培训与采用;在供应链改善方面,将运用更好的供应链安全工具与最佳实践,来强化10个最关键的开源软件开发系统、套件管理器与部署系统。 特别的是,这次计划已确定改善这十大问题的投入经费,其中,对于「强化扫描能力」一项的首年投入金费最高,达1,500万美元,后续每年投入1,100万美元,「程式码稽核」的首年投入金额也达1,100万美元,后续每年将投入更多,达4,200万美元。 整体而言,为解决这十大问题,这项计划的首年投入经费将达到6,840万美元,次年将为7,950万美元。 目前,在这1.5亿美元的经费中,已由亚马逊、爱立信、谷歌、微软、威睿共同认捐超过3,000万美元,作为此计划的前期资金。 自今年一月白宫召开开源软件安全峰会后,近日Linux基金会与开源安全基金会(OpenSSF)二度召开此会议,同时发布了开源安全动员计划白皮书,具体商讨出强化开源软件安全需解决10大问题。 美国解决开源软件安全十大问题的经费配置 Linux基金会,iThome整理,2022年5月 在开源软件安全动员计划白皮书中,针对解决开源软件安全的10大问题,都提供了详细的说明。以第一项安全教育而言,当中指出,从历史上看,传统的软件工程课程很少关注、强调,或是通过良好的网络安全教育与安全Coding技术的重要性。因此,OpenSSF提出了以下多管齐下的方法来解决这个问题,包括:收集与策划内容、扩大培训,以及并奖励与激励开发者。同时,白皮书中也具体拟定出各项问题所需花费的预算。这十项内容均值得国内思考。 转自 E安全,原文链接:https://mp.weixin.qq.com/s/FGgMo_pk2GrFENBv-LfGIw 封面来源于网络,如有侵权请联系删除