分类: 网络安全

Pwn2Own 2022 大赛第一天 Windows 11 和 Teams 被黑了好几次

在Pwn2Own一年一度的计算机黑客大赛活动中,参赛者和网络安全专家展示他们利用漏洞、零日漏洞和其他问题合法破解各种软件的技能,并获得奖励和认可。今年,在2022年温哥华Pwn2Own活动期间,参赛者在第一天就成功破解了微软Teams和Windows 11。 Hector”p3rro”Peralta是第一个黑掉Microsoft Teams的人。他展示了针对微软企业信使的不当配置,并因其发现而获得15万美元。后来,当Masato Kinugawa执行了一个由感染、错误配置和沙盒逃逸组成的3个漏洞链时,这一次Teams再次成为受害者。Daniel Lim Wee Soong、Poh Jia Hao、Li Jiantao和Ngo Wei Lin展示了对两个漏洞的零点击利用,并且更多针对Teams应用的漏洞发掘依然在继续。 Windows 11也未能幸免于黑客攻击。尽管微软在其最新的操作系统中大力强调安全,但马辛·维昂佐夫斯基还是在Windows 11中执行了一次越界写入的权限升级。为此,马辛获得了40000美元和微软的高度赞扬。 在2022年温哥华Pwn2Own比赛的第一天,微软的产品并不是黑客们唯一破解的软件。参赛者通过破解甲骨文Virtualbox、Mozilla Firefox、Ubuntu Desktop和苹果Safari,成功赚取积分和金钱。这样的活动有助于微软和其他公司提高其产品的安全性,并激励熟练的黑客保持在网络法律的正确一边。 在第一天,黑客们通过利用多个产品中的16个零日漏洞,总共获得了80万美元的收入。在第二和第三天,参赛者可以通过入侵其他软件、小工具和汽车(特斯拉Model 3和Model S)赚取超过100万美元的奖励。   转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1271383.htm 封面来源于网络,如有侵权请联系删除

继美国之后,欧盟推出关键领域网络安全新立法

近日,欧盟已就新的立法达成政治协议,将对关键行业组织实施共同的网络安全标准。 新指令将取代欧盟关于网络和信息系统安全的现有规定(NIS指令)。“因为社会的数字化和互联程度不断提高,全球网络恶意活动的数量不断增加”,原来的指令需要更新。 NIS2指令将涵盖在关键领域运营的大中型组织, 其中包括公共电子通信服务、数字服务、废水和废物管理、关键产品制造、邮政和快递服务、医疗保健和公共管理的供应商。 新立法要求有关部门在24小时内报告网络安全事件、修补软件漏洞和准备风险管理措施。 它还旨在制定更严格的执法要求,并协调成员国之间的制裁制度。如果不遵守规定,基础服务运营商将面临高达年营业额2%的罚款,而对于重要服务提供商,最高罚款将为1.4%。 这些措施最初是由欧盟委员会于2020年12月提出的,该政治协议需要得到欧盟成员国和欧洲议会的正式批准,一旦通过,成员国将需要在21个月内将新要求转化为国家法律。 欧洲数字时代组织(a Europe Fit for the Digital Age)执行副总裁玛格丽特·维斯塔格(Margrethe Vestager)在评论该公告时说:“我们一直在为社会的数字化转型而努力。在过去的几个月里,我们已经建立了一些基石,如《数字市场法》和《数字服务法》。今天,成员国和欧洲议会还就NIS 2达成了协议,这是欧洲数字战略的又一重要突破,这次是为了确保公民和企业受到保护并信任基本服务。” 欧盟委员会副主席希纳斯马加里蒂斯·希纳斯(Margaritis Schinas)表示:“网络安全对于保护经济和社会免受网络威胁始终至关重要,随着我们在数字化转型中不断前进,这一点变得越来越重要。当前的地缘政治环境使得欧盟确保其法律框架符合目的变得更加紧迫。我们正在履行提高欧盟网络安全标准的承诺。欧盟也已表明其决心,以提高防范和恢复针对经济、民主与和平的网络威胁的能力。” 该公告是在政府机构就网络安全采取一系列重大举措之后发布的,其中包括美国总统拜登的行政命令种对联邦机构的零信任要求、美国对关键基础设施组织施加报告义务的新立法以及英国的产品安全和电信基础设施(PSTI)法案,该法案将对互联网连接设备的制造商、进口商和分销商提出新的网络安全标准。 去年,欧盟制定了建立联合网络部门的计划,以提高应对成员国不断增加的网络攻击的能力。 转自 E安全,原文链接:https://mp.weixin.qq.com/s/OlhWd2GJ8IsoguXTsc2Xdg 封面来源于网络,如有侵权请联系删除

多个网安执法机构警告:越来越多的黑客正瞄准 MSPs

近日,五眼情报联盟成员对管理服务提供商(MSPs)及其客户发出了警告,提醒他们可能正越来越多地成为供应链攻击的目标。对此,来自五眼国家的多个网络安全和执法机构(包括NCSC-UK、ACSC、CCCS、NCSC-NZ、CISA、NSA和FBI)共享了对MSPs的安全指南,以保护网络和敏感数据免受日益增长的网络威胁。 “英国、澳大利亚、加拿大、新西兰和美国的网络安全当局预计,各种恶意网络攻击者,包括由国家支持的APT组织,将加大对MSPs的攻击力度,以利用供应商与客户的网络信任关系”,五眼联盟的联合公告中这样写道,“成功入侵 MSPs的攻击者可能会针对整个MSPs的客户群发起后续攻击,例如勒索软件和网络间谍攻击。” 其实,在过去几年中,五眼联盟的网络安全主管部门一直不定期地向MSPs及其客户提供一般指导建议,只是如今除了指导建议更进一步提出了具体措施。 MSPs及其客户可采取的关键的战术行动可概括为如下3点: 识别和禁用不再使用的帐户。 对访问客户环境的MSP帐户强制执行MFA(失灵警报信号),并对无法解释的身份验证失败进行监视。 保证MSP客户合同透明地确认信息和通信技术(ICT)安全角色和职责所有权。 美国网络安全与基础设施网络安全局(CISA)主任Jen Easterly在接受采访时表示:“我们知道,易受攻击的MSPs会显著增加其支持的企业和组织的下游风险。因此,确保MSPs的安全对我们的集体网络防御至关重要,CISA以及我们的跨机构和国际合作伙伴正致力于加强其安全性并提高我们全球供应链的弹性。” 值得一提的是,在一年前,英国政府就防范软件供应链攻击和加强全国IT管理服务提供商网络安全防御的议题公开征求过建议。而就在不久前,美国总统拜登也发布了一项行政命令,以实现美国防御网络攻击的现代化。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/332915.html 封面来源于网络,如有侵权请联系删除

Google Chrome 增加虚拟信用卡号码功能 保证真实卡片的安全

Google今天宣布,其Chrome浏览器现在将为用户提供在网络上的在线支付表格中使用虚拟信用卡号码的功能。这些虚拟卡号允许用户在网上购买东西时保持你的”真实”信用卡号码的安全,因为如果商家的系统被黑客攻击,它们可以很容易被撤销。此前一些信用卡发卡机构已经提供了这些虚拟信用卡号码,但它们可能远没有成为主流。 Google表示,这些虚拟卡将于今年夏天晚些时候在美国推出。Google既与Capital One这样的发卡机构合作,后者是这项功能的启动伙伴,也与Visa和美国运通这样的主要卡组织合作,这些网络将在启动时得到支持,今年晚些时候将对万事达卡的支持将被引入。获得卡组织网络的支持绝对是一件事倍功半的事情,因为试图让每个发卡机构都加入进来将是一项艰巨的任务。 这项新功能将首先在桌面上的Chrome浏览器和Android系统上推出,iOS系统的支持将随后推出。 Google副总裁兼支付部总经理阿诺德-戈德堡说:”这是将虚拟卡的安全性带给尽可能多的消费者的里程碑式的一步。在桌面和Android系统上使用Chrome浏览器的购物者在网上购物时可以享受快速的结账体验,同时可以安心地知道他们的支付信息受到保护。” 从用户的角度来看,这个新的自动填写选项将简单地为你输入虚拟卡的详细信息,包括实体卡的CVV,然后你可以在pay.google.com上管理虚拟卡并看到你的交易纪录。 虽然这些虚拟卡通常用于一次性购买,但一样也能够使用这些卡进行订阅。 由于这是Google这样的公司在提供这种服务,一些用户显然会担心该公司会使用这些关于购买习惯的额外数据,但Google表示,它不会将这些信息用于广告定位目的。 转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1268241.htm 封面来源于网络,如有侵权请联系删除

创历史记录,英国网络安全中心向社会发送 3300 万条警报

近日,英国国家网络安全中心(National Cyber Security Centre,简称NCSC)发布了一份报告,为先前注册早期预警服务(the Early Warning service)的组织机构发送了3300多万条警报。 根据该报告统计,政府机构在2021年内共计化解了270多万起网络诈骗案件,这一数字创造了新的记录。而正是因为主动网络防御(Active Cyber Defense)项目在2021年的重大升级,使得组织机构可以从容应对新出现的威胁,使得成功狙击诈骗活动成为可能。 NCSC重点关注的攻击行为包括虚假名人代言的加密货币赠品、与COVID-19相关的活动、假冒NCSC或其他国家执法机构的虚假勒索电子邮件,以及虚假包裹递送通知。 创纪录之年 NCSC表示,扩大防御范围是致使成功识别与化解网络诈骗的数量创造新纪录的最主要原因。对此,在报告中是这样解释的:“这一增长反映了NCSC服务范围的扩大,化解了更多的恶意网络内容,比如虚假名人代言骗局,总体网络骗局的数量也得到控制。” 此外,NCSC也在报告中补充道,“公众对可疑电子邮件、短信和网站的报告使得这项工作得到补充,更多的骗局因此得到成功化解。” 报告同时提到一些具体的案例,比如NCSC在2021年内发现并化解了1400多起针对英国国家医疗服务体系(NHS)的钓鱼攻击,这一数字比2020年的整整高出11倍。 另一个值得注意的大规模攻击案例是针对Android设备的恶意软件Flubot,它通过显示状态为“未送达”短信发送给智能手机用户。NCSC成功阻止了它的扩散,并封锁了120多万个与它相关的域名。 就2021年全年被化解的诈骗案件数量而言,270万是2020年这一数字的4倍。 早期预警服务 NCSC在2021年最重要的工作可能是早期预警服务的增长,预计到2022年年底,这项服务的客户数量会达到4600。 平均而言,这项服务每天标记90,410个事件,表明在客户的系统上检测到潜在的恶意内容。 早期预警服务在以下三种情况下会发送警报: 系统已被恶意软件主动破坏。 存在潜在滥用迹象,例如激进的网络扫描。 存在暴露在互联网上的易受攻击的服务和开放端口。 关于更多关于早期预警服务的详情,可以浏览此网页。 转自 FreeBuf,原文链接:https://www.freebuf.com/articles/332815.html 封面来源于网络,如有侵权请联系删除

微软修复了所有 Windows 版本中的新 NTLM 零日漏洞

微软于近期解决了一个积极利用的Windows LSA零日漏洞,未经身份验证的攻击者可以远程利用该漏洞来强制域控制器通过Windows NT LAN Manager (NTLM)安全协议对其进行身份验证。LSA(Local Security Authority的缩写)是一个受保护的Windows子系统,它强制执行本地安全策略并验证用户的本地和远程登录。该漏洞编号为CVE-2022-26925,是由Bertelsmann Printing Group的Raphael John报告的,据调查,该漏洞在野已被利用,似乎是PetitPotam NTLM中继攻击的新载体。 安全研究员GILLES Lionel于2021年7月发现该变体,且微软一直在阻止PetitPotam变体,不过官网的一些举措仍然没有阻止其变体的出现。LockFile勒索软件组织就滥用PetitPotam NTLM中继攻击方法来劫持Windows域并部署恶意负载。对此,微软建议Windows管理员检查针对Active Directory证书服务(AD CS)上的NTLM中继攻击的PetitPotam缓解措施,以获取有关保护其系统免受CVE-2022-26925攻击的信息。 通过强制认证提升权限 通过使用这种新的攻击向量,威胁行为者可以拦截可用于提升权限的合法身份验证请求,这可能会导致整个域受到破坏。不过攻击者只能在高度复杂的中间人攻击(MITM)中滥用此安全漏洞,他们能够拦截受害者和域控制器之间的流量以读取或修改网络通信。 微软在其发布的公告中解释:未经身份验证的攻击者可以调用LSARPC接口并强制域控制器使用NTLM 对攻击者进行身份验证。此安全更新检测到LSARPC中的匿名连接尝试并禁止它。且此漏洞影响所有服务器,但在应用安全更新方面应优先考虑域控制器。在运行Windows 7 Service Pack 1和Windows Server 2008 R2 Service Pack 1 的系统上安装这些更新可能会带来不利影响,因为它们会破坏某些供应商的备份软件。 CVE-2022-26925影响所有Windows版本,包括客户端和服务器平台,从Windows7和 Windows Server 2008到Windows 11和Windows 2022。不过在今年五月份的微软Patch Tuesday,微软已经和其他两个漏洞一起修补了该零日漏洞,一个是Windows Hyper-V 拒绝服务漏洞 (CVE-2022-22713)、还有一个是Magnitude Simba Amazon Redshift ODBC 驱动程序漏洞 (CVE-2022-29972)。 转自 Freebuf,原文链接:https://www.freebuf.com/articles/332788.html 封面来源于网络,如有侵权请联系删除

注意,NIST 更新了网络安全供应链风险指南

近日,美国国家标准与技术研究所(NIST)再次更新了《网络安全供应链风险管理》(C-SCRM)指南,提供了与供应链攻击相关的趋势和最佳实践,指导企业有效管理软件供应链风险,以及在遭受供应链攻击时该如何进行应急响应。 网络供应链风险管理(C-SCRM)是识别、评估和减轻ICT产品和服务供应链分配和互联性相关风险的过程。C-SCRM覆盖了ICT的整个生命周期:包括硬件、软件和信息保障,以及传统的供应链管理和供应链安全实践。 目前,NIST发布了“系统和组织网络安全供应链风险管理实践”,以此响应“改善国家网络安全”的美国第14028号行政命令。 系统和组织网络安全供应链风险管理实践明确指出,本刊物的目的是为企业提供有关如何识别、评估、选择和实施风险管理流程以及减轻企业控制措施的指导,以帮助管理整个供应链的网络安全风险。” 修订后的指南主要针对产品、软件和服务的收购方和最终用户,并为不同的受众提供建议:网络安全专家、负责企业风险管理人员、采购人员、信息安全/网络安全/隐私、系统开发/工程/实施的领导和人员等。 NIST 的Jon Boyens表示,管理供应链的网络安全是一项一直存在的需求,当供应链遭到勒索软件攻击时,制造商可能因缺乏重要组件而停摆,连锁商店也可能只是因为维护其空调系统的公司得以访问其共享资料而爆发资料外泄事件,该指南的主要读者群将是产品、软件及服务的采购商与终端用户,倘若政府机关或组织尚未着手管理供应链的风险问题,那么这就是一个从零到有的完整工具。 NIST的专家们进一步强调了现代产品和服务供应链安全的重要性。毕竟,一种设备可能是在一个国家/地区设计的,但是它的组件可能在全球多个国家/地区制造,只要生产这些组件的公司其中一个出现安全事件,那么就有可能会对整个供应链的产品和服务产生重大影响,大大增加了全球组织的攻击面和受影响的连锁性。 例如制造商可能会因为其中一个供应商受到勒索软件攻击,而导致关键制造组件的供应中断,或者零售连锁店可能会因为维护其空调系统的公司可以访问商店的数据共享网站而遭遇数据泄露事件。 转自 FreeBuf ,原文链接:https://www.freebuf.com/news/332505.html 封面来源于网络,如有侵权请联系删除

迎接 2022 世界密码日:保持良好使用习惯、善用多因素认证与密码管理器

为了迎接今年 5 月首个周四的“世界密码日”的到来,USA Today 觉得很有必要继续提醒大家提升安全意识。首先是尽量为工作、娱乐、网银、网购等各种在线活动配备强密码,且需避免使用同一个密码,以免所有账号被攻击者一锅端。 资料图(来自:Bitwarden) 业内知名开源密码器(US News & World Report 赋予 A 级评价)开发商 Bitwarden 首席执行官 Michael CranDELL 表示: 最重要的一点,是用户个人必须要有安全方面的意识。与此同时,他们可通过触手可得且免费的密码管理器等工具来更好地保护自己,以减轻跨多个站点的账号服务的强密码记忆负担。 该公司的第二次年度调查发现: ● 超八成(85%)美国人会在多个网站上使用重复的密码、且超半数受访者都纯靠记忆力来管理密码。 ● 此外约六成(60%)美国人使用了长度 9~15 个字符的密码,不过出于安全方面的考量,Bitwarden 还是建议 14 位起步。 ● 还有近 1/3(31%)受访者在过去 18 个月中经历过数据泄露,相比之下,全球平均仅为 1/4 左右(23%)。 作为参考,一些简单的预防措施,就在密码保护工作上起到很好的作用,尤其是避免使用名字、或生日等特征信息,来为多个账户重复设置相同的密码。 微软指出,15% 用户的密码灵感来自于他们的宠物。而且俗话说得好 —— 密码就像内衣,不该轻易与他人(其它服务)分享。 此外我们建议大家定期(比如每隔 60 天)修改一次密码,以降低数据泄露的风险。如果觉得这方面的工作太过劳心劳力,一款功能强大且值得信赖的密码管理器,就是一个不错的选择。 以 Bitwarden 为例,这项服务就使用了银行级的 AES-256 加密,来妥善保管用户的所有账密,且其受到单个长主密码的保护。 错误示例“宾果卡”(图自:Microsoft) 有趣的是,一些网络安全专家认为“密钥”(passphrase)比“密码”(password)更实在且易于记住。 前者可以是一串词汇,也能够包含数字与符号 —— 比如“Barking up the wrong tree”就可演变为“Bark1ngupthewr0ngtree!”。 不过在微软看来,最安全的密码,不如直接弃用密码 —— 而该公司的免密登录方案,就允许用户爽快地删除 Microsoft 账户的密码。 作为替代,该微软提供了 Microsoft Authenticator 验证器 App、Windows Hello 生物验证、安全密钥、或验证码等‘无密码’登录方式。 基于此,用户可安全、便捷地访问 Outlook 和 OneDrive 等内容,且有一段视频来简洁明了地介绍。 视频链接:https://tv.sohu.com/v/dXMvODIyMjQwNTMvMzQ2MzczMzc5LnNodG1s.html 对于注重网购、网银、云存储安全的人们来说,还可借助“多因素认证”,来为账户添加一层额外的防御措施。 在常用的密码之外,多因素方案还会要求通过一次性的短信验证码、或指纹 / 面容等生物识别解决方案来作为额外的验证。 Bitwarden 指出,这一策略已经变得相当流行。79% 的美国受访者表示已在工作账户上启用,另有 77% 的个人账户在使用。 即使持卡人无需对未经其手的盗刷交易买单,支付商还是希望唤醒广大客户的主动风险规避意识 —— 尤其注意甄别短信验证码的使用场景、以及浏览器网址前是否带有 https 的安全超文本传输协议前缀。 Visa 副总裁兼全球反欺诈服务负责人 Michael Jabbara 补充道,一些简单技巧有助于您加强抵御网络犯罪分子的‘第一道防线’,例如多因素身份验证和订阅消费提醒(避免盗刷)。 另外在日常生活中,用户也得养成良好的网上冲浪习惯,包括不要点击可疑链接 / 邮件附件、或低价到离谱的促销广告,以免泄露密码或 PIN 码。 最后、但并非最不重要的一点,就是在设备上安装信誉良好的反病毒软件、并在安全性欠佳的公共网络环境中合理使用虚拟专用网软件。 前者能够将避免间谍、勒索、蠕虫、rootkit、木马等恶意软件尽力挡在门外,而后者有助于抵御复杂的中间人攻击等事件。 而且在企业、家庭网络环境中,也需注意及时更新无线路由器、打印机等物联网设备的操作系统和打上安全补丁。 转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1266129.htm 封面来源于网络,如有侵权请联系删除

欧洲刑警组织:Deepfakes 对网络安全和社会的威胁越来越大

近日,欧洲刑警组织发布了其首份深度伪造研究报告–《面对现实?执法和深度伪造的挑战》(Facing reality? Law enforcement and the challenge of deepfakes),这是欧洲刑警组织创新实验室就新兴技术的风险、威胁和机遇等方面技术发展研究形成的报告。该报告详细概述了deepfake技术的犯罪用途,包括其在CEO欺诈、证据篡改和制作未经同意的色情制品等严重犯罪中的潜在用途。它还详细阐述了执法部门在检测和防止恶意使用deepfakes方面面临的挑战。它表明执法部门、在线服务提供商和其他组织需要制定政策并投资于错误信息的检测和预防解决方案,政策制定者也需要适应不断变化的技术现实。特别是,研究者确定了与数字化转型、新技术的采用和部署、犯罪分子滥用新兴技术、适应新的工作方式和在虚假信息增加的情况下保持信任相关的风险。报告的调查结果基于广泛的案头研究和通过战略前瞻性活动与执法专家进行的深入探讨磋商。这些战略远见和情景方法是欧洲刑警组织创新实验室研究和准备新技术对执法的潜在影响的一种手段。Deepfake已经是一个问题,但在未来几年内可能会成为一个更大的问题。 Deepfake技术使用人工智能技术来改变现有的或创建新的音频或视听内容。它有一些非恶意目的——例如讽刺和游戏——但越来越多地被不良行为者用于不良目的。然而,在2019年, iProove的研究表明,72% 的人仍然没有意识到 deepfakes。 Deepfake被用来创建一个明显来自可信来源的虚假叙述。两个主要威胁是针对公民社会(传播虚假信息以操纵舆论以达到预期效果,例如特定的选举结果);并针对个人或公司获得财务回报。对公民社会的威胁是,如果不加以制止,整个人群的观点和意见可能会受到深度伪造传播的虚假信息活动的影响,这些活动歪曲了事件的真相。人们将不再能够辨别真假。 对公司的网络安全威胁是,深度伪造可能会提高网络钓鱼和 BEC 攻击的有效性,使身份欺诈更容易,并操纵公司声誉导致股票价值不合理地崩盘。 Deepfake技术 Deepfake是通过使用神经网络来检查和发现生成令人信服的图片所必需的模式,并以此开发机器学习算法来开发的。与所有机器学习一样,可用于训练的数据量至关重要——数据集越大,算法越准确。大型训练数据集已经在互联网上免费提供。 目前的两项发展改善并增加了深度伪造的质量和威胁。首先是生成式对抗网络(GAN)的适应和使用。GAN使用两种模型进行操作:生成模型和判别模型。判别模型针对原始数据集反复测试生成模型。欧洲刑警组织的报告写道,“根据这些测试的结果,模型不断改进,直到生成的内容与训练数据一样可能来自生成模型。” 结果是人眼无法检测到但处于攻击者控制之下的虚假图像。第二个威胁来自5G带宽和云计算能力,允许实时操纵视频流。因此,Deepfake技术可以应用于视频会议环境、实时流媒体视频服务和电视。 网络安全威胁 很少有犯罪分子具备必要的专业知识来开发和使用引人注目的深度伪造——但这不太可能延迟他们的使用。欧洲刑警组织表示,犯罪即服务 (CaaS)的持续发展和演进“预计将与当前技术同步发展,从而实现黑客攻击、对抗性机器学习和深度伪造等犯罪的自动化。” Deepfake威胁分为四大类:社会(引发社会动荡和政治两极分化);合法(伪造电子证据);个人(骚扰和欺凌、非自愿色情和在线儿童剥削);和传统的网络安全(敲诈勒索和欺诈以及操纵金融市场)。 带有深度伪造照片的伪造护照将很难被发现。然后,这些可用于助长其他多种犯罪,从身份盗窃和贩运到非法移民和恐怖分子旅行。 令人尴尬或非法活动的深度伪造可用于敲诈勒索。如果诱饵包括可信赖朋友的视频或语音,则网络钓鱼可能会上升到一个新的水平。BEC攻击可以通过与真正 CEO相同的视频消息和语音来支持。但真正严重的威胁可能来自市场操纵。 VMware的Tom Kellermann最近告诉SecurityWeek,市场操纵已经超过了勒索软件对犯罪分子的价值。目前,这是通过使用被盗信息来实现的,这些信息使犯罪分子能够从本质上是内幕交易中获利。但是,使用deepfake可以为犯罪分子提供更直接的方法。虚假信息、令人尴尬的披露、非法出口指控等可能导致公司股价急剧下跌。财大气粗的犯罪团伙,甚至是寻求抵消制裁的流氓国家,可以在股价下跌时购买股票,并在股价不可避免地再次上涨时进行大规模“杀戮”。 安全基于信任。Deepfakes在不应该存在的地方提供信任。 检测深度伪造 Deepfake的质量已经超过了人眼检测伪造品的能力。有限的解决方案使用原始源材料的出处原则——但这将有利于执法部门将深度伪造排除在刑事证据程序之外,而不是防止深度伪造网络犯罪。 技术是另一种潜在的方法。示例包括基于血流引起的肤色自然变化缺陷的生物信号;音素-视位不匹配(即口语对应之间的不完美相关性);面部动作(面部和头部动作没有正确关联);以及寻找组成视频的各个帧之间的不一致性的循环卷积模型。 但也有困难。就像恶意软件的轻微变化可能足以欺骗恶意软件签名检测引擎一样,对用于生成深度伪造的方法的轻微改变也可能欺骗现有的检测。这可能只是简单地更新GAN 中用于生成deepfake的判别模型。 压缩deepfake视频可能会导致另一个问题,这将减少检测算法可用的像素数量。 欧洲刑警组织建议避免深度伪造可能比试图检测它们更有效。第一个建议是依靠视听授权而不仅仅是音频。这可能是一个短期的解决方案,直到deepfake技术、云计算能力和5G带宽使其失效。这些发展也将否定第二个建议:要求实时视频连接。 最后的推荐是一种验证码;也就是说,欧洲刑警组织说,“要求在镜头前现场进行随机复杂的动作,例如在脸上移动手。” 未来之路 简单的现实是,deepfake生产技术目前的改进速度比deepfake检测技术要快。威胁是对社会和企业的。 对于社会,欧洲刑警组织警告说,“专家担心这可能会导致公民不再拥有共同的现实,或者可能造成社会对哪些信息来源可靠的混乱;这种情况有时被称为‘信息启示录’或‘现实冷漠’。” 公司处于稍强的地位,因为它们可以在决定是否接受或拒绝音频/视频方法的任何决定中包含上下文关联。他们还可以坚持机器对机器的通信而不是人与人之间的通信,使用零信任原则来验证机器所有者而不是通信。 然而,当深度造假被用来对抗社会(或至少是社会的持股部分)来操纵公司股价暴跌时,变得特别困难。“这个过程,”欧洲刑警组织警告说,“由于人类倾向于相信视听内容并从默认真相的角度进行工作,因此情况会变得更加复杂。” 公众不太可能立即相信该公司坚持认为这只是假新闻——至少不能及时防止股价崩盘。 Deepfake已经是一个问题,但在未来几年内可能会成为一个更大的问题。 转自 安全内参,原文链接:https://www.secrss.com/articles/42015 封面来源于网络,如有侵权请联系删除

攻击者部署后门,窃取 Exchange 电子邮件

网络安全研究人员将该 APT 组织追踪为 UNC3524,并强调在某些情况下,该组织可以对受害者环境进行超过 18 个月的访问,展示了其 “先进 “的隐匿能力。 在每一个 UNC3524 受害者环境中,攻击者都会针对一个子集的邮箱,集中其注意力在执行团队和从事企业发展、兼并和收购的员工或 IT 安全人员身上。 获取权限后,立刻窃取数据 Mandiant 表示,一旦 UNC3524 成功获得受害者邮件环境特权凭证后,就立刻开始向企业内部的 Microsoft Exchange 或 Microsoft 365 Exchange Online 环境提出 Exchange 网络服务(EWS)API 请求。 另外,UNC3524 在不支持安全监控和恶意软件检测工具的网络设备上,部署一个被称为 QUIETEXIT 的后门(以开源的 Dropbear SSH 软件为灵感开发),以保持长期攻击。 在一些攻击中,UNC3524 也会在 DMZ 网络服务器上部署 reGeorg 网络外壳(注:该版本与俄罗斯赞助的 APT28/Fancy Bear 组织有关联),以创建一个SOCKS 隧道作为进入受害者网络的替代接入点。 UNC3524 隧道 UNC3524 通过这些设备(如无线接入点控制器、SAN 阵列和负载平衡器)上部署的恶意软件,大大延长了初始访问与受害者检测到其恶意活动,并切断访问之间的时间间隔。 值得一提的是,Mandiant 表示,即使延长了时间,UNC3524 组织也没有浪费时间,一直使用各种机制重新破坏环境,立即重新启动其数据盗窃活动。 QUIETEXIT 后门命令和控制服务器是僵尸网络的一部分,该僵尸网络通过默认凭证,破坏暴露在互联网上的 LifeSize和D-Link IP视频会议摄像机系统。 在获得访问权并部署其后门后,UNC3524 获得了受害者邮件环境的特权凭证,并开始通过 Exchange 网络服务(EWS)API请求,瞄准企业内部的Microsoft Exchange或Microsoft 365 Exchange Online邮箱。 值得注意的是,UNC3524 组织通常窃取执行团队和从事企业发展、并购或 IT员工的所有电子邮件,而不是挑选感兴趣的电子邮件。   转自 FreeBuf ,原文链接:https://www.freebuf.com/news/332061.html 封面来源于网络,如有侵权请联系删除