美国白宫的国家网络安全战略实施计划有69项举措供各机构执行，但缺乏任何关于数字身份的行动项目，这对想要采取行动的利益相关者来说感到非常震惊。曾在国家标准与技术研究所工作的长期数字身份专家杰里米格兰特表示，英国人发明了“目瞪口呆”这个词来描述这样的事情。 战略于3月发布，将“支持数字身份生态系统的发展”作为战略目标，并预览了政府对数字身份解决方案的投资，例如提供属性验证服务、更新标准和开发数字身份平台。但正如代理国家网络总监肯巴·瓦尔登在与记者的简报中所说的那样，新的“路线图”不包括任何关于数字身份的内容，这是除了数据隐私之外唯一被遗漏的目标。 当被问数字身份为何不在战略计划中时，白宫方面表示这是一份迭代文件，所以仅仅因为你今天没有看到与战略目标相关的倡议并不意味着它不会在下一轮中出现。白宫目前在数字身份方面的努力将来自围绕数字身份和欺诈的其他持续努力。一位官员在采访中说到：“政府致力于在这一领域采取行动，这仍然是决策前的活动，但我们预计，身份欺诈工作的后续行动将纳入实施计划的未来迭代中。”。拜登总统在2022年国情咨文中首次承诺就该主题发布行政命令，尽管至今尚未实现。 白宫高级顾问吉恩·斯珀林在1月份的电话会议上对记者说：“当你实际上有一个行政命令需要实际运行时，它需要司法部、法律顾问办公室和律师办公室的一定程度的审查，而6亿美元用于身份盗窃和欺诈预防的审查程度与其他行政命令相比要多一点。这需要每个律师办公室都完成签署所需的时间。”。 至于遗漏的影响，最初的策略指出，缺乏安全、保护隐私、导致欺诈泛滥，使排斥和不公平现象长期存在，并增加了我们的金融活动和日常生活的低效率。根据非营利组织身份盗窃资源中心的数据，2022年报告了14817起身份犯罪。该中心的总裁兼首席执行官Eva Velasquez表示，美国需要一个数字身份战略来减少身份欺诈和身份犯罪受害者的数量。 政府流行病应对问责委员会前副执行主任、精品咨询公司Audient Group的创始人兼首席执行官琳达·米勒也认为这是一个巨大的疏忽。她表示：“身份盗窃是联邦，州和地方政府各级政府欺诈的主要威胁载体。在疫情期间，我们在失业援助中看到了基于身份盗窃的欺诈行为达到了历史最高水平，民族国家行为者也利用被盗的身份来欺诈了许多疫情项目。” 2017年至2021年担任联邦首席信息官办公室前幕僚长、数字身份公司Socure现任副总裁兼公共部门战略主管的Jordan Burris表示，数字身份的遗漏令人深感担忧。他说：“我担心未能将数字身份纳入网络安全实施计划表明这项关键工作正在被推迟，与此同时，针对政府计划的身份盗窃、合成欺诈和人工智能驱动的攻击有所增加，在联邦层面，改变现状的动力似乎很小。”。 二月份的承诺行政命令草案主要集中在扩展总务管理局的身份服务Login.gov上，尽管在发布实际命令之前没有任何官方政策。此后，美国总务管理局的监察长在三月份发布了一份报告，发现美国总务管理局在Login.gov达到的身份证明标准水平上误导了各机构。与此同时，格兰特以身份为重点的贸易组织敦促白宫成立一个工作组专注于数字化身份凭证，并指出“白宫的领导至关重要”，因为身份证件的发行人分散在各级政府之间。格兰特表示，“希望在未来几周内，我们将看到政府的更多细节，概述他们将如何通过加强数字凭证的安全性和隐私性来保护数百万美国人免受与身份相关的网络犯罪和身份盗窃。”。 至于何时可以将数字身份的行动项目添加到实施计划中，没有明确回应，该文件将随着时间的推移而“发展”，明年将推出2.0版本。实施计划不会涵盖联邦政府的所有网络安全活动，它所做的是捕捉在短期内完成的关键举措。目前，白宫方面拒绝对承诺的行政命令发表评论。     转自E安全，原文链接：https://mp.weixin.qq.com/s/pEb86pAYQRqUhkusqH0qSA 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 一种新型恶意软件已持续暗中攻击小型办公室/家庭办公室(SOHO)路由器两年多，渗透了7万多台设备，并创建了一个跨越20个国家、4万个节点的僵尸网络。 Lumen Black Lotus Lab 将这种恶意软件命名为AVrecon，这是继去年ZuoRAT和HiatusRAT之后，第三个针对SOHO路由器的恶意软件。 该公司表示:“AVrecon已成为了有史以来最大的SOHO路由器目标僵尸网络之一。该行动的目的似乎是建立一个秘密网络，从而悄无声息地进行一系列犯罪活动，例如密码喷洒、数字广告欺诈等。” 受感染最多的国家是英国和美国，其次是阿根廷、尼日利亚、巴西、意大利、孟加拉国、越南、印度、俄罗斯、南非等。 卡巴斯基高级安全研究员Ye (Seth) Jin在2021年5月首次强调了AVrecon，然而该恶意行为直到现在才被发现。 在Lumen详细介绍的攻击链中，成功感染的设备会枚举受害者的SOHO路由器，并将该信息泄露回嵌入式命令和控制(C2)服务器。 它还通过搜索端口48102上的现有进程并在该端口上打开监听器来检查主机上是否已经运行了其他恶意软件实例。绑定在端口48102的进程将被其终止。 下一阶段涉及到被破坏的系统与独立服务器（辅助C2服务器）建立联系，并等待进一步的命令。自2021年10月以来，Lumen确定了至少15个这样一直活跃的独特服务器。 值得注意的是，分层C2基础设施在Emotet和QakBot等臭名昭著的僵尸网络中得到了普遍应用。 AVrecon是用C语言编写的，因此很容易将恶意软件移植到不同的架构中。这类攻击之所以有效，一个关键原因是它们利用了缺乏安全解决方案支持的边缘基础设施。 目前收集到的证据表明，该僵尸网络被用来点击Facebook和谷歌的各种广告，并与微软Outlook进行交互。这可能表明，他们不仅在进行广告欺诈，还在泄露数据。 研究人员表示:“本次攻击方式主要集中在窃取带宽上，不影响端用户。其目的是创建一个住宅代理服务，帮助清洗恶意活动，避免吸引同tor隐藏服务或商用VPN服务同样程度的关注。”     消息来源：thehackernews，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 乌克兰和波兰的政府机构、军事组织以及平民用户已经成为一系列攻击的目标。这些攻击旨在窃取敏感数据，并获得对受感染系统的持久远程访问权限。 该入侵行为从2022年4月开始持续到了2023年7月，利用网络钓鱼诱饵和诱饵文件部署名为“PicassoLoader”的恶意软件。该恶意软件可以作为启动Cobalt Strike Beacon和jnrat的载体。 思科Talos研究员Vanja Svajcer在一份新报告中表示:“这些攻击使用了一个由恶意的微软Office文档发起的多级感染链，目前最常见的文档使用了Excel和PowerPoint格式。随后，该攻击会利用一个可执行的下载程序以及隐藏在图像文件中的有效载荷。这意味着检测难度可能会升级。” 其中一些活动被归因于一个名为GhostWriter(又名UAC-0057或UNC1151)的攻击者。据说该组织的优先级与白俄罗斯政府一致。 值得注意的是，在过去的一年中，乌克兰计算机应急响应小组(CERT-UA)和Fortinet FortiGuard实验室已经记录了该攻击的一个子集，其中一个在2022年7月使用了宏加载的PowerPoint文档来发布代理特斯拉恶意软件。     消息来源：thehackernews，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文

今年上半年的数据表明，勒索软件活动和赎金金额有望创下历史新高。 根据区块链分析公司Chainaanalysis的一份报告，勒索软件是今年唯一出现增长的加密货币犯罪类别，而其他所有犯罪类别，包括黑客、诈骗、恶意软件、违禁品销售、欺诈商店和暗网市场收入，均大幅下降（下图）。 报告称：“勒索软件是2023年迄今为止唯一呈上升趋势的基于加密货币的犯罪形式。勒索赎金有望创下新的纪录。截至6月份，勒索软件攻击者已勒索至少4.491亿美元。” 如下图Chainaanalysis所示，2023年上半年勒索软件的年度累计收入已达到2022年总收入的90%。 如果收入增长速度保持在这一水平，到2023年底，勒索软件攻击者将从受害者身上获利约9亿美元，有可能打破2022年创纪录的9.4亿美元。 分析人士认为，所谓的“大型狩猎”是勒索软件收入大幅增长背后的推动力，因为网络犯罪分子已重新瞄准可勒索大笔赎金的大型企业和机构。 这一趋势反映在赎金支付分布图上（下图），2023年上半年显示右侧出现前所未有的增长，对应于大笔支付。 BlackBasta、LockBit、ALPHV/Blackcat和Clop是高额赎金付款的主要接收者，其中Clop的平均赎金规模为170万美元，中位付款金额为190万美元。 Clop利用文件传输工具中的两个零日漏洞发起两波大规模攻击：今年第一季度的Fortra的GoAnywhere和二季度的Progress的MOVEit Transfer。 据NCC Group当时报道，Clop的GoAnywhere利用活动涉及129次攻击，直接导致2023年3月成为勒索软件活跃性破纪录的一个月。 MOVEit攻击浪潮规模更大，到目前为止已有296名受害企业，并且每周都有更多受害企业在Clop勒索网站上披露。 另一方面，2023年上半年小额勒索软件也呈增长趋势。大量小额勒索赎金支付给了Dharma、Phobos和STOP/DJVU等采用“喷射攻击”的勒索软件即服务(RaaS)，小额勒索赎金通常为数百美元（下图）。     转自Freebuf，原文链接:https://mp.weixin.qq.com/s/vCJuRA3mGAdomaEtOlcodQ 封面来源于网络，如有侵权请联系删除

安全内参7月12日消息，孟加拉国出生与死亡登记主管办公室网站泄露了大量公民个人信息，包括全名、电话号码、电子邮箱地址和国民身份证号码。 6月27日，Bitcrack网络安全公司研究员Viktor Markopoulos意外发现了此次数据泄露，随后联系了孟加拉国电子政务计算机事件响应小组（CIRT）。 Markopoulos表示，估计该网站泄露了约5000万孟加拉国公民的数据。据悉该国总人口约1.63亿。 他评价称，发现这些数据“太过容易”“我都没有特意去查找，这些数据就出现在谷歌搜索结果里。当时，我正在谷歌搜索一个SQL错误，这些数据就作为第二条搜索结果显示了出来。”SQL是一种用于管理数据库数据的计算机语言。 电子邮箱地址、电话号码和国民身份证号码被曝光本就很糟糕，然而后续影响会更严重。Markopoulos认为，获得此类信息后，还可以“在网络应用中访问、修改和/或删除申请，查看出生登记记录的核实情况”。 外媒TechCrunch检索了部分泄露数据进行验证，利用孟加拉国出生与死亡登记主管办公室网站提供的公共搜索工具进行反查，发现泄漏的的确是合法数据。经过反查，网站返回了泄露数据库包含的其他数据，例如申请注册的人的姓名，甚至他们父母的姓名。工作人员用10组不同的数据进行反查，结果都返回了正确的数据。 孟加拉国向年满18岁的每个公民颁发国民身份证，分配一个唯一的身份识别号码。身份证为强制持有，保证公民能获取多种服务，如获得驾照、申领护照、买卖土地、开设银行账户。 上周日（7月9日），孟加拉国政府移除了一直线上暴露的公民敏感数据电子政务计算机事件CIRT确认，这类数据现已下线。 CIRT在上周六的新闻稿中表示，已“迅速”应对了数据泄露事件，并“迅速启动全面调查，不遗余力地核实数据泄露的范围和影响，展示了其专业能力和专业知识。” 当地报纸《商业标准报》报道，孟加拉国信息和通信技术国务部长Zunaid Ahmed Palak表示：“没有任何政府网站被黑客攻击。公民信息是由于网站的漏洞而暴露的。”孟加拉国内政部长Asaduzzaman Khan Kamal透露，执法机构正在调查此事。     转自安全内参，原文链接:https://www.secrss.com/articles/56572 封面来源于网络，如有侵权请联系删除

根据DDoS防护公司StormWall发布的2023年二季度报告，全球分布式拒绝服务（DDoS）攻击大幅激增，与上一年相比增长了68%，令人震惊。该报告揭示了网络威胁格局演变的几个关键趋势： 多向量攻击增加了136%，这表明网络犯罪分子正在采用更复杂的策略来攻击目标。此外，StormWall发现虚拟专用服务器(VPS)僵尸网络的使用有所增加，这增加了缓解这些攻击的复杂性。 最令人担忧的是：DDoS攻击目标开始转向关键基础服务，包括医疗、金融机构和政府机构。报告显示，仅针对金融行业的出于政治动机的攻击就同比增长了110%，达到惊人的水平，占所有攻击的26%。这一令人震惊的趋势凸显了网络威胁对关键金融基础设施稳定性的潜在影响。 电信行业在2023年第二季度也面临重大攻击，成为第二大目标行业，攻击数量同比增长83%。这表明通信网络的脆弱性日益增加，以及重要连接服务的潜在中断风险。这与诺基亚的最新报告一致，即针对电信行业的DDoS攻击有所增加，恶意活动的激增，这种趋势最初是在俄乌冲突期间观察到的，但现在已蔓延到全球各个地区。 针对各国政府服务的攻击激增168%，是所有行业中增幅最高的。StormWall的报告显示，大多数此类事件都是出于政治动机的威胁行为者精心策划的，近几个月的攻击规模创下历史新高。 交通运输和医疗行业DDoS攻击分别同比增长了137%和126%。这表明关键基础设施面临的威胁日益严重。 娱乐行业也出现了显著的增长，攻击次数同比增长了72%。流行的视频流平台和游戏服务器是主要目标，导致《暗黑破坏神 4》等备受期待的游戏发布期间出现中断。 虽然电商行业的增幅相对较低，为68%，但StormWall的报告强调，旨在扰乱竞争对手是这些攻击背后的主要驱动力。 制造业虽然只占攻击的2%，但同比增长了18%。这表明威胁行为者正在将其关注范围扩展到传统目标行业之外。物流和教育行业分别占DDoS攻击事件的7%和3%。 从地域上看，美国、印度和中国是DDoS攻击的重灾区。值得注意的是，法国已成为该名单中引人注目的新成员，其遭受的攻击大幅增加，成为受攻击第四多的国家。     转自GoUpSec，原文链接:https://mp.weixin.qq.com/s/4T-ngytKScMbhwolAr9OxQ 封面来源于网络，如有侵权请联系删除

全球数万个太阳能光伏发电站所采用的太阳能发电监控系统曝出严重漏洞，远程攻击者目前正积极利用该漏洞破坏运营或在系统中驻留。 曝出漏洞的设备是日本大阪的Contec（康泰克）公司生产的SolarView太阳能发电监控系统，可帮助太阳能光伏电站内的人员监控产生、存储和配电。Contec表示，全球大约3万个发电站已经引进了这些设备，根据运营规模和使用的设备类型不同，SolarView设备提供不同的封装形式。 Solar View此次共曝出两个漏洞（CVE-2022-29303和CVE-2023-293333），严重性评分高达9.8，其中CVE-2022-29303是一个未经身份验证的远程命令注入漏洞，影响Contec SolarView系列。该漏洞源于未能消除用户输入中包含的恶意内容，攻击者可执行恶意命令发动远程攻击。 CVE-2022-29303影响Web服务器的conf_mail.php端点，但版本6.20（曝出漏洞的6.00版本之后的版本）并未修复该问题。不仅6.00版本受到影响，6.20也受到影响。研究人员发现至少从4.00版本conf_mail.php开始就存在非常直接的命令注入漏洞。 安全公司VulnCheck研究人员在Shodan上搜索发现，目前可通过开放互联网访问其中600多个光伏发电站（上图）。研究人员指出，目前超过三分之二的使用Contec设备的光伏电站尚未安装漏洞CVE-2022-29303的补丁更新。 安全公司Palo Alto Networks上个月曾透露，该漏洞正被Mirai的运营商积极利用，Mirai是一个由大量路由器和其他物联网设备组成的开源僵尸网络。Contec设备的漏洞可能会导致使用它们的光伏电站设施失去对运营的可见性，可能会导致严重后果，具体取决于易受攻击的设备的部署位置。 VulnCheck研究员Jacob·Baines指出：“事实上，光伏电站的许多类似系统都是面向互联网的，而且漏洞利用公开的时间已经足够长，足以被纳入Mirai变体中，这并不是一个好消息。光伏发电企业应注意哪些系统出现在公共IP空间中，并密切跟踪其这些系统的公开漏洞。” Baines表示，许多Solar View类似设备也容易受到漏洞CVE-2022-29303影响，后者是一种较新的命令注入漏洞，严重性评分高达9.8。自今年2月份以来，该漏洞的利用代码已公开发布。 Baines指出，由于漏洞CVE-2022-29303和CVE-2023-293333的CVE描述有误，导致很多光伏发电企业的漏洞修补失败。这两个漏洞的描述中声称SolarView 8.00和8.10版本都已修复漏洞，但事实上只有8.10版本针对上述两个漏洞进行了修补。 Palo Alto Networks表示，对漏洞CVE-2022-29303的利用只是更大规模的攻击活动的一部分。该活动利用了一系列物联网设备中的22个漏洞，试图传播Marai变种。这些攻击始于今年3月份，攻击者试图利用这些漏洞安装shell接口远程控制设备。一旦被利用，设备就会下载并执行为各种Linux架构编写的bot客户端。 有迹象表明漏洞CVE-2022-29303可能更早之前就已成为攻击目标，其漏洞利用代码自2022年5月起就已出现。当时有黑客在youtube上公布了用Shodan搜索并攻击SolarView系统的视频（下图）。 对于第二个漏洞CVE-2023-23333，虽然没有迹象表明攻击者正在积极利用，但GitHub上已经发布了该漏洞的多个利用代码。 截止发稿，Contec的官方网站上尚没有关于这两个漏洞的安全咨文，任何使用受影响设备的企业都应尽快更新（到Solar View 8.10版本）。光伏电站还应检查存在漏洞的设备是否暴露在互联网上，如果是，则需要更改其配置确保仅能从内网访问这些设备。     转自GoUpSec，原文链接:https://mp.weixin.qq.com/s/ZF2evkQrVxZRhwajtOAXOQ 封面来源于网络，如有侵权请联系删除

一名研究人员最近发现，孟加拉国政府的一个网站泄露了公民的个人数据。 研究人员Viktor Markopoulos发现孟加拉国政府的一个网站正在泄露数百万孟加拉国公民的个人信息。 据TechCrunch报道，泄露的数据包括姓名、电话号码、电子邮件地址和身份证号码。 Markopoulos在6月27日发现了这一泄漏事件，并将这一发现报告给孟加拉国政府计算机事件响应小组（CERT）。 这位研究人员解释说，找到泄露的数据很容易，他告诉TechCrunch，这些数据出现在与SQL错误有关的谷歌查询结果中。 “TechCrunch通过使用部分查询受影响的政府网站公共搜索工具来验证泄露的数据是否是合法的。通过这样做，该网站返回了泄露的数据库中包含的其他数据，如申请注册的人的名字，以及他们的父母的名字等。随后他使用了10组不同的数据进行了尝试，都返回了正确的数据。” TechCrunch试图联系孟加拉国的几个政府组织，但没有成功。 目前，该政府网站的名称无法公开透露，因为它仍在泄露公民的数据。 上述信息的泄露可能使受影响的公民面临网络钓鱼攻击的威胁。 Markopoulos补充说，攻击者可以利用这类信息代表公民访问网络应用，并 修改和删除应用以及查看生成的验证。     转自Freebuf，原文链接：https://www.freebuf.com/news/371520.html 封面来源于网络，如有侵权请联系删除

安全内参7月4日消息，美国海军为水兵们制定了全新的网络战兵种，希望藉此加强培训，打造一支专业的网络作战力量。 美国海军曾长期借用其他信息战人员执行网络空间行动，比如密码学家和负责网络和网络安全的IT专业人员。将来，网络作战力量将全部由海军网络战人员组成。大约300名海军人员将专注于攻击性和防御性网络空间行动。 美国海军信息战负责人、海军信息部队指挥官Kelly Aeschbach中将表示：“过去，我们的密码学家主要关注的领域包括信号情报、电子战、机动、电磁频谱和信息行动。考虑到他们在电子和信号方面的专长，海军最初进军网络角色时，我们将大部分网络相关的职责分配给了这些密码专家。” 专门设置网络战兵种，原有人员全部转入 新的网络战工作人员将接管其他专业所分担的攻击性和防御性行动。Kelly Aeschbach认为，这意味着美国海军将“拥有专注于网络战机动性的全职人员……这将降低我们对其他类别已经承担重要职责人员的需求。这些人员将继续提供与网络相关的支持。” 2200多名专注于网络战的士兵也会面临一些改变。美国海军将用网络战技术员（CWT）取代密码学网络技术员（CTN）这一工作类别。尽管名称有所变化，工作职责将保持不变。具体包括以下内容： 1. 网络战技术员将沿用原密码学网络技术员的等级控制号（RCN）1677。 2. 网络战技术员角色将保留密码学网络技术员的所有职业标准（OCCSTDs），与密码学网络技术员正式脱钩，突出海军在网络空间进行军事行动的能力。网络战技术员角色适用于现役和选定预备役（SELRES）水兵及相关岗位。 3.新角色的设立自2023年6月28日起生效。在此日期，所有密码学网络技术员将转变为网络战技术员。所有密码学网络技术员人员需要在本通告发布后的十二个月内将其徽章更换为新的网络战技术员徽章。网络战技术员将享受密码学网络技术员水兵当前享受的全部特定等级激励津贴。 4. 密码学网络技术员晋升考试将更改为网络战技术员晋升考试。密码学网络技术员的所有晋升要求对网络战技术员仍然有效。E7/8/9评估和选拔委员会流程将不会发生任何变化。如无更新的网络战技术员职业路径（ECP），选拔委员会将沿用密码学网络技术员的职业路径。与密码学网络技术员类似，网络战技术员的职业路径不会以海上/陆上任务界定。现行政策将继续保持不变。 加强海军网络战能力专精化建设 Kelly Aeschbach表示，密码学网络技术员们“已经在从事所有网络相关工作。我们并非要改变他们的工作内容，而是继续提高他们的培训水平，让他们比以前更加出色。” 上述变化的法律依据是2023财年《国防授权法案》的一项国会授权。此前，海军领导人曾告知国会议员，海军在吸引、培训和留住网络人才方面存在困难。 Kelly Aeschbach表示，新的工作类别将在海军各层级引发更多讨论，确保水兵们的头衔与他们的工作职责相匹配。 位于弗吉尼亚州萨福克的海军网络防御行动司令部2号密码学网络技术员Kennedy Bullard为水兵们设计了全新的网络战技术员徽章。至于海军军官，可在2024年申请海军网络战军官（MCWO）头衔。 Kelly Aeschbach认为：“这将引发大量关于指导培训的讨论——我们应该提供哪些建议？候选人是否优秀？我们怎样能在年底前初步建成团队？只有这样，我们才能着手关注身份、团队精神和培训等问题，保证他们的能力日渐出色。”     转自安全内参，原文链接：https://www.secrss.com/articles/56282 封面来源于网络，如有侵权请联系删除

昨天，Apple 加入了约 80 个组织和行业专家的行列，这些组织和行业专家已提交声明，批评拟议的英国《在线安全法案》，该法案将通过强制平台根据政府要求查看通信的能力，从本质上终止真正安全的加密消息传递。此前，苹果公司对这一法案表示了公开反对。苹果公司认为，任何削弱端到端加密的做法都会让所有用户面临安全风险。   苹果公司发表声明称，加密消息对于隐私和在线安全至关重要，特别是对于可能成为专制政府目标的群体而言。这一立场是苹果公司持续转变的一部分，该公司曾独立提议在 2021 年为 iPhone 添加非常类似的功能（同样以扫描儿童性虐待材料为理由），但公众强烈反对促使其改变计划。   英国政府一直在推动备受争议的《在线安全法案》，因为该法案对于保护儿童至关重要。如果获得通过，该法案将授权电信监管机构通信办公室 (Ofcom) 指示加密消息平台扫描受调查人员的私人消息，对不遵守规定的人处以最高年营业额 10% 的罚款。   政府声称这对常规加密消息不会构成威胁，Ofcom 只会在“最后手段”和“严格的隐私保护措施”的情况下才会提出这些请求。但唯一可行的技术实现是客户端扫描方法，强制安装到每部手机和设备上并安装任何这些应用程序。这样，用户就永远无法确定公司是否有人拦截了他们的私人消息，而且这还会为黑客试图利用的潜在安全漏洞创造一个巨大的漏洞。   此前2021年8月，苹果公司就自己提出了这样一个客户端扫描计划，尽管它的范围更为有限。苹果希望扫描上传到 iCloud 的所有照片，以查找儿童性虐待的标记。在对该想法被进行了几周的严厉批评后，苹果公司宣布无限期暂停，并于 2022 年 12 月正式撤销。苹果公司针对这种性质的滥用材料采取的新计划是“通信安全”功能，该功能也是在 2022 年 12 月推出的。十二月。这些控件可在家庭 iCloud 帐户中使用，如果在本地设备上检测到儿童虐待材料或使用这些材料的人搜索到儿童虐待材料，它们将向用户发出警告。该系统还可以检测未成年人是否发送或接收包含裸露的图像。   苹果在声明中使用了强硬的语气，但没有承诺如果《在线安全法案》通过，将从英国撤出任何业务，也没有拒绝遵守新法律（加密消息应用程序 Signal 和 Whataspp 就是如此）。印度最近也出现了类似的情况，印度政府禁止任何不允许根据要求检查流量的VPN 服务；迄今为止，市场上主要参与者的反应是完全将其业务从该国撤出，并为这些客户提供位于另一个国家的 VPN，并分配了印度 IP 地址。   目前，《在线安全法案》已获得下议院批准，预计很快将在上议院获得批准，但在通过之前还需返回下议院批准任何修正案。观察家确实预计在这一过程完成之前将会有进一步的修订，尽管它可能会在今年某个时候以某种形式通过。   加密消息的命运是修正案提案预计要解决的主要问题之一，尽管客户端扫描授权的命运仍然悬而未决。开放权利组织是目前在线安全法案的反对者，它建议可以通过排除私人消息应用程序（默认情况下启用端到端加密的应用程序）来修复该法案，以保护加密消息的隐私和安全。   部分批评者还指出，在线虐待儿童团伙经常被标准的警方调查工作所瓦解，这些调查工作不涉及渗透加密的消息应用程序，即使它们基于暗网并使用 Tor 和加密货币支付等额外的安全层。苹果公司的声明还指出，人权活动家、记者和举报人极其依赖已知的安全端到端加密通信。   Vaultree首席执行官兼联合创始人 Ryan Lasmaili指出，该法案缺乏关键的平衡。他说：“随着在线安全法案的进展，认识到加密的重要作用至关重要防止监视、身份盗窃、欺诈和数据泄露。随着《在线安全法案》逐步成为法律，我们敦促政策制定者考虑加密技术受损的长期影响。在维护网络安全和尊重个人和企业的隐私和安全需求之间取得平衡至关重要。我们可以共同打造一个数据保持加密、隐私得到保护、创新蓬勃发展的未来。”     转自E安全，原文链接：https://mp.weixin.qq.com/s/jZxAM6-H0ufeFAj7j_moDw 封面来源于网络，如有侵权请联系删除