分类: 网络安全

2021 年,苹果阻止了 160 万个欺诈用户的应用程序

Bleeping Computer 网站披露,2021 年,苹果 App Store 应用审核团队封杀了超过 34.3 万个违反隐私规定的 iOS应用程序,另外还有 15.7 万个应用程序因试图误导或向 iOS 用户发送垃圾邮件而被拒绝。 值得一提的是,苹果公司表示,有 34500 个应用程序因使用了未记录或隐藏功能,从而禁止在 App Store上获得索引。不仅如此,苹果还删除了 15.5 万个采用诱导性策略的应用程序。 整个 2021 年,应用程序审查团队“下架了”超过 160 多万个有风险或有漏洞的应用程序。 苹果公司在一份欺诈预防分析报告中宣称,前年,App Review 团队拒绝或删除了近 100 万个有问题的新应用程序和近 100 万个应用更新。 苹果公司表示,公司的目标是致力于使 App Store 成为值得用户信赖的地方,其保护客户免受欺诈的努力需要多个团队的监测和警惕,这些团队集中在应用审查,发现欺诈等几个领域。 去年,Avast 的研究人员发现,被称为 fleeceware 的欺诈性应用程序仍然是 iOS 应用商店的一个大问题。这类应用程序往往以免费试用为借口,引诱客户,之后就会要求用户每年支付数千美元的订阅费用。 Avast 表示,在苹果和谷歌的应用商店中,大约有 200 个这样的软件应用程序,预计产生了超过 4 亿美元的利益。 一年前,Sophos 的研究人员同样发现了几十个 fleeceware 应用程序, iOS 用户大约下载了 368 万次,使其成功跻身 App Store 最畅销应用程序之列。 阻止了 15 亿美元的潜在欺诈性交易 苹果公司表示,整个 2021 年,它保护其客户免受约 15 亿美元的潜在欺诈性交易。另外,还阻止了 330 多万张被盗卡在苹果在线商店平台上的使用,并禁止了近 60 万个账户在其平台上进行交易。 苹果公司强调,没有什么数据比用户的财务信息更敏感,这就是为什么 Apple 投入巨资,创建类似 Apple Pay 和 StoreKit 等更安全的支付技术。 据统计,超过 905000 个应用程序使用了这些技术在 App Store 上销售商品和服务。使用 Apple Pay,用户的信用卡号码永远不会与商家共享,这很好的消除了支付交易过程中产生的风险因素。   转自 FreeBuf,原文链接:https://www.freebuf.com/news/335320.html 封面来源于网络,如有侵权请联系删除

苹果称其应用商店阻止了价值 15 亿美元的欺诈性交易及 160 万个风险应用

苹果公司表示,其App Store安全机制阻止了近15亿美元的潜在欺诈交易,并使160万个”问题应用程序”远离客户。周三发布的这份报告是该公司在2021年发布的前一次预防欺诈分析报告的后续报告。根据这两份报告,苹果在2020年和2021年阻止了相同数额的欺诈交易–15亿美元。 与此同时,苹果还成功地打击了各类有问题的应用程序,它在2020年和2021年分别阻止了100万和160万个。 在整个2021年,苹果公司说它发现并阻止了超过9400万条虚假评论和1.7亿个评级,因为”没有达到审核标准”。它还删除了另外61万条通过客户报告或人工评估发现的无效评论。 苹果还因欺诈活动终止了80.2万个开发者账户,因类似理由拒绝了15.3万个账户。它还阻止了63500个涉嫌盗版侵权的非法应用程序。 “苹果公司为防止和减少App Store上的欺诈行为所做的努力需要多个团队的持续监测和警惕,”苹果公司写道。”从应用审查到发现欺诈,苹果公司不断致力于保护用户免受欺诈性应用活动的影响,这再次证明了为什么独立的、受人尊敬的安全专家说App Store是寻找和下载应用最安全的地方。” 除了最新的数字,报告还再次强调了苹果用来保护App Store客户的那种保护措施。这包括应用商店审查、支付和信用卡保护以及反账户欺诈机制。   转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1276213.htm 封面来源于网络,如有侵权请联系删除

英国通讯管理局发现社交媒体巨头们正在辜负女性的期望

英国通讯管理局今天公布了对全国网络习惯的新研究,称其发现英国女性网民对其网络安全的信心低于男性,而且受到歧视性、仇恨性和嘲弄性内容的影响更大。 这项研究涉及监管机构对约6000名英国人进行调查,以了解他们的在线经验和习惯,研究还表明,与男性同行相比,女性觉得在网络上的发言权和分享意见的能力较差,但是研究也发现,女性往往是互联网和主要社交媒体服务的更热心用户。 监管机构正在敦促科技公司听取其调查结果,并立即采取行动,使其平台对妇女和女孩更加友好和安全。虽然监管机构还没有正式的权力来迫使平台改变他们的运作方式,但根据目前提交给议会的在线安全法案,该法案将引入平台的注意义务,以保护用户免受一系列非法和其他类型的伤害,它将能够对违反规则者处以最高达其全球年营业额10%的罚款。 因此,通信管理局的言论可以被视为对Facebook和Instagram所有者Meta等社交媒体巨头的警告,一旦法律通过并生效,它们将面临监管机构的密切运营审查。英国通讯管理局敦促科技公司认真对待女性的在线安全问题,并将人们的安全置于其服务的核心。这包括在设计服务和提供内容的算法时,听取用户的反馈。 这项研究表明,在每一个方面,女性对上网的感觉不如男性积极。她们只是觉得不太安全,而且她们受仇恨言论和嘲弄的影响更深。因此,老实说,有一种寒蝉效应,让女性觉得不太能够在网上分享她们的意见,不太能够让人听到她们的声音。   转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1276187.htm 封面来源于网络,如有侵权请联系删除

悄无声息,Google 已禁止 Colab 上的 Deepfake 项目

有消息显示,Google已于近日悄悄禁止了其在 Colaboratory(Colab)服务上的深度伪造(Deepfake)项目,这代表以Deepfake为目的大规模利用平台资源的时代或已画上句号。 众所周知,Colab是一个在线计算资源平台,允许研究人员直接通过浏览器运行Python代码,同时使用包括GPU在内的免费计算资源来支持自己的项目。正由于GPU的多核特性,Colab是类似Deepfake模型机器学习项目或执行数据分析理想选择。 经过一定训练,人们将Deepfake技术用于在视频片段中交换面孔,并添加真实的面部表情,几乎能够以假乱真。然而,这项技术时常被用于传播假新闻,制作复仇色情片,抑或用于娱乐目的。在实际运用中缺乏伦理限制一直是这项技术存在争议的根源。 Deepfake遭禁 根据互联网资料馆网站archive.org的历史数据,这项禁令出台于本月的早些时候,Google Research部门悄悄将Deepfake列入了禁止项目的名单中。 正如DFL软件开发者“chervonij”在Discord社区平台上所指出的那样,那些现在仍尝试在 Colab平台上训练deepfake的用户会收到这样一条错误报告: “您可能正在执行不被允许的代码,这可能会限制你未来使用Colab的权限。关于更多禁止行为的信息,请留意我们的常见问题解答(FAQ)文档。” 分析人士预计,这一项新限制措施将在Deepfake世界中产生非常深远的影响,因为目前有许多用户都在运用Colab的预训练模型来启动他们的高分辨率项目。即使对于那些没有编码背景的人来说,Colab也可以让项目过程变得很平滑,这也就是为何那么多教程都建议用户运用Google的“免费资源”平台来启动自己的Deepfake项目。 资源的滥用 目前尚不清楚Google执行这项禁令是出于道德考虑还是由于项目所使用的免费计算资源被滥用。 Colab成立的初衷是对那些为了实现科学目标需要成千上万资源的研究人员提供帮助,这在当下这个GPU短缺的年代是尤为重要的。 然而却事与愿违,有报道显示,一些用户正在利用平台的免费资源大规模创建Deepfake模型,这在很长一段时间内都占用了Colab的大量可用资源。 以下是不被允许项目的完整列表: 与Colab交互式计算无关的文件托管、媒体服务或其他Web服务产品 下载种子或进行点对点文件共享 使用远程桌面或 SSH服务 连接到远程代理 加密货币挖矿 运行拒绝服务攻击 密码破解 使用多个帐户解决访问或资源使用限制 创建Deepfakes 不难看出,所有这些被禁止的项目都远没有资格进行常规科学研究。尽管有些项目属于合理使用的范畴,但Google发现被滥用的情况要远远多于合理使用的情况。   转自 FreeBuf,原文链接:https://www.freebuf.com/articles/334951.html 封面来源于网络,如有侵权请联系删除

Chrome 无法识别大多数钓鱼网站?Google 质疑 Which? 的研究

消费者监察公司 Which? 近日表示,Chrome 浏览器无法识别绝大多数的钓鱼网站。而对于这项研究的有效性和使用方法,Google 提出了质疑。 根据 Which? 公司对新近发现的前 800 个钓鱼网站进行的研究,Windows 端 Chrome 浏览器只阻止了其中的 28%,而 macOS 端只阻止了 25%。这些数字与表现最好的浏览器 Firefox 形成鲜明对比,Firefox 在 Windows 中能将用户从这些网站中的 85% 重定向,在 Mac 上为 78%。   在发送给英国新闻媒体 The Independent 的声明中,Google 对 Which? 的调查结果持怀疑态度: 这项研究的方法和结果需要仔细审查。10 多年来,Google 一直帮助其他浏览器制定反钓鱼标准–并免费提供基础技术。Google 和 Mozilla 经常合作以提高网络的安全性,Firefox 浏览器主要依靠 Google 的 Safe Browsing API 来阻止网络钓鱼–但研究人员表示,Firefox 浏览器提供的网络钓鱼保护明显多于Chrome。使用相同技术检测网络钓鱼的浏览器在其提供的保护水平上存在有意义的差异是非常不可能的,因此我们对这份报告的发现仍然持怀疑态度。 网络钓鱼骗局几乎和互联网一样久远。它们通常采取电子邮件或短信的形式,其中有伪装成任何数量的合法公司的官方登录页面的欺诈性网站链接。Chrome、Firefox和其他浏览器试图过滤掉这些可疑的网站。 网络钓鱼骗局在用户层面最容易得到缓解。消费者应该对要求提供信息或要求他们登录某个网站的未经请求的电子邮件持怀疑态度,无论该电子邮件或网站看起来多么正式。糟糕的语法或拼写以及不寻常的URL是其他明显的迹象,表明电子邮件并非真正来自银行或其他用户经常访问的网站。   转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1274521.htm 封面来源于网络,如有侵权请联系删除

Meta 公司更新隐私政策 让用户更容易了解用户数据如何被使用

Facebook、WhatsApp和Instagram的母公司Meta宣布,其隐私政策将有一系列新变化。据Meta公司称,这些变化旨在更清楚地向用户传达该公司如何使用其收集的信息。 Meta公司强调,更新后的隐私政策并没有为该公司带来任何收集、使用或分享用户数据的新方式。相反,它只是简化了措辞,并对政策和其他数据做法提供了更详细和更清晰的解释。新的隐私政策以前被称为数据政策,将于7月26日生效。这项政策涵盖Facebook、Messenger、Instagram和其他Meta产品。然而,WhatsApp、Workplace、Free Basics和Messenger Kids并不包括在内。该公司也已经开始向用户发送关于新政策的通知。用户可以点击通知,查看变化并阅读更多细节。 更新的Meta隐私政策是为了让人们更容易理解。Meta已经重写和重新设计了隐私政策,使其更容易理解,更清楚地让用户了解如何使用相关信息。Meta还加入了更多Meta与之共享和接收信息的第三方细节,并解释了用户信息如何以及为什么在Meta产品中共享,以及其他变化。 此外,Meta也在更新其服务条款。在某些国家,用户将可以选择不接受新的隐私政策和服务条款。在印度,用户可以接受或不接受更新的隐私政策和服务条款,对用户访问Meta产品没有任何影响。Meta还推出了一个新的隐私设置,允许用户控制谁可以默认看到他们在Facebook上的帖子。   转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1274499.htm 封面来源于网络,如有侵权请联系删除

美国政府发布 5G 安全评估指南

安全内参5月27日消息,对于希望在部门内部署5G无线通信项目的联邦官员,这份最新发布的安全指南将帮助他们考量最重要的“运营授权”流程。 《5G安全评估》(5G Security Evaluation)指南由美国国土安全部(DHS)网络安全与基础设施安全局、国土安全部科技司、国防部(DoD)研究与工程司共同牵头,指派研究小组负责具体制定。 文件指出,“重要的是,政府应采用灵活、自适应且可重复的方法对任何5G网络部署的安全性和弹性做出评估。此外,具体评估可能需要在现行联邦网络安全政策、法规和最佳实践之外更进一步,以解决已知攻击向量、尚未发现的威胁和特定实施中存在的漏洞。” 整理评估方案的官员强调,这份指南并非新的安全要求或框架。相反,它只是为各级机关的5G系统评估工作,特别是评估其安全水平是否符合生产要求,制定出一个五步走流程。整个流程与美国国家标准、技术风险管理框架等现有评估机制挂钩。 网络与基础设施安全局网络质量服务管理办公室主管Vincent Sritapan在采访中表示,“我们经常面对各种各样的应用场景:用于训练的AR/VR,提供数据存储与分析功能的智能湖仓等。但关键在于,必须找到一种通行的方式来看待问题并理解政策。我们并不是要重新构建评估机制,而是立足于现有成果,比如风险管理框架。” 图:5G子系统面临的威胁 各级机关都希望能在未来几年内将5G系统部署落地,因此安全评估工作就成了通信升级的关键。作为联邦首席信息安全委员会授权负责发现常见无线与移动问题、开发解决方案并分享最佳实践的专项团队,联邦移动工作组(Federal Mobility Group)曾在2020年发表论文,确定了政府内60多项与5G技术相关的举措,其中包括数十项研发计划。 与其他新兴技术一样,在将5G引入生产环境之前,各团队必须首先获得运营授权(ATO)。此次发布的评估指南,就是以专项测试与传统运营授权流程为基础,面向5G技术提供评估调查指引。 Sritapan表示,“很多人单纯关注功能本身。他们可能会想,「太棒了,我想在技术新鲜出炉后立马用上。」但在摸清风险之前,大家不宜轻举妄动。换句话说,在把5G用例纳入业务的同时,我们又增添了哪些风险?” 5G安全评估的五个阶段 这个五步走评估流程的第一步是定义5G用例,包括5G系统、子系统及属性等关键参数。 美国国防部5G to NextG倡议的运营部分负责人Dan Massey在采访中指出,这个流程将帮助各级机构考量5G系统的复杂性,包括最终用户设备、无线接入网络、5G核心网络和边缘计算系统等。 Massey还提到,“该流程将帮助大家确定系统组件的风险级别、系统边界、已知指导方针等,避免从零开始自行摸索。” 第二步,定义安全评估的边界。考虑到5G技术极高的复杂性和相互关联性,这一部分可能会极具挑战。 Sritapan解释道,“要使用专用网络吗?是否包含云系统?作为边界的组成要素,应该选择怎样的端点和技术应用接口?” 第三步,要求对各个5G子系统开展“高级威胁分析”,并进一步确定安全要求,如是否采用身份、凭证和访问管理控制或网络安全控制等。 第四步,要求同联邦指导方针和行业规范相匹配,包括与美国国家标准技术研究所网络风险管理框架(NIST RMF)、联邦信息流程标准及其他相关指南挂钩。 第五步,评估安全指导方针中存在的差距。如果联邦指导意见确实存在差距,文件要求项目主管应求助于“由商业或贸易团队建立的行业认证、安全保障计划,或者其他最佳实践评估框架。”但文件同时强调,在采用这些方法之前,务必“认真”进行研究权衡。 Massey总结道,“我们不会引入全新的流程或指令。相反,我们认为现有方案已经够多,最重要的是把新流程跟现有指导方针匹配起来。当然,在实施过程中难免会发现差距。但大多数情况下,只要我们能够充分理解自身安全要求,就完全可以把新流程与原有指导意见联系起来。这里我想呼吁那些打算部署5G系统的同仁,这绝不是什么庞大、可怕、前所未见的事物。只要按照这份流程有序推进,大家就会发现它跟以往的工作没多大区别,基本原理也并不难理解。”   转自 安全内参,原文链接:https://www.secrss.com/articles/42887 封面来源于网络,如有侵权请联系删除

RSAC 2022 举办在即,创新沙盒大赛谁将成最大赢家?

2022年6月6-9日,RSA Conference 2022将在美国旧金山召开。作为全球网络安全行业一年一度的盛宴,RSAC大会被誉为安全界的“奥林匹克”,是网络安全的重要风向标之一。 自1991年举办首届大会以来,RSAC大会即将迈入第31个年头,会议规模也从一个小型的密码学论坛,发展成如今的全球安全顶级信息安全大会,吸引着全球网安企业、大咖、极客和优秀创业者共聚一堂。 其中最吸引眼球的莫过于RSAC创新沙盒大赛,被誉为是网络安全行业技术创新的代表方向,也是资本投资的重点关注对象,吸引着全球网安产业的目光。 此前RSAC官方已经公布了创新沙盒10强名单,它们分别是Araali Networks、BastionZero、Cado Security、Cycode、Dasera、Lightspin、Neosec、Sevco Security、Talon Cyber Security和Torq,涉及云原生安全、接入安全、软件供应链安全、数据治理、API安全和安全运营多个赛道。 纵观历届RSAC大会,创新沙盒大赛的胜出者基本都得到了资本的追捧,被誉为网络安全行业的“未来之星”。 RSA Conference副总裁Linda Gray Martin也曾公开表示,RSA创新沙盒大赛被普遍认为是初创公司的跳板。自2005年以来,大赛的10强公司已总共完成69次收购,获得98亿美元投资。在过去两年中,已有两家10强公司,SentinelOne (2015年) 和 SumoLogic(2012年)完成IPO。 而在本次公布的10强名单中,Cado Security、Cycode、Dasera、Talon Cyber Security等多家企业在2021年就已经初现峥嵘,是年度炙手可热的网络安全初创企业。 2022年6月6日,这10家初创公司将向全球观众展示他们在网络安全行业上的技术创新。那么,哪家企业能够成为最后赢家,哪条赛道又将迎来新一轮的火热? 欢迎各位读者讨论、预测,看谁能押中最后的王者。 创新沙盒10强初步介绍 为了让读者更好地了解RSAC 2022创新沙盒10强公司,FreeBuf特对该10强企业进行简要梳理和分析,仅供大家参考,如下图所示: (数据来源:奇安投资) Araali Networks Araali Networks成立于2018年,是一家为云原生环境提供威胁管理解决方案的公司,2020年获得了种子轮投资,可对威胁进行检测和拦截。在云原生环境中,Araali安装了一个分布式跟踪和执行模块作为Kubernetes守护程序集。策略会跟随应用程序的生命周期,而不是永久地运行在基础设施上。 这点与sidecar的模式相似,但是Araali基于高性能的eBPF实现,不需要将能力重新定向到sidecar中,从而降低系统开销。在eBPF技术支撑下,用户可以在自己的私有虚拟云中制定某个身份能够执行的动作,从而防止恶意代码建立后门或进入服务器。 BastionZero BastionZero成立于2019年,最初是一家区块链安全公司,受新冠疫情影响后业务重心转向了基础设施访问控制安全,成为一家云服务提供商,可为工程团队建立进入服务器、集群、数据库等基础设施的“零信任”机制, BastionZero可与访问目标进行集成,现阶段通过Web应用程序或zli(BastionZero的命令行界面)可以为远程主机、数据库、Kubernetes 集群和Web服务器提供零信任基础设施访问服务。公司在设计过程中使用了创新型加密协议,可保证网络攻击即使能够瘫痪公司提供的服务,也不会对用户的基础设施造成影响。 Cado Security Cado Security 是一家云原生网络取证和响应平台提供商,成立于2020年4月旨在为安全团队提供更智能、更快速的方式来调查和响应云中的网络安全事件。该公司成立不久便获得150万美元种子轮融资,2021年又获得1000万美元A轮融资。 代表产品Cado Response 是一个无代理的云原生数字取证平台。平台支持通过跨多云环境、临时容器、无服务器环境和本地系统进行事件响应取证调查。通过其自动化数据捕获和处理能力,可以轻松为安全团队提供取证级别的详细信息和前所未有的上下文搜索,以消除云调查的复杂性。 Cycode Cycode成立于2019年,专注于软件供应链安全,开发了业界首个源代码控制、检测和响应平台,并于2021年11月完成了5600万美元的B轮融资。Cycode提供一套完整的软件供应链安全解决方案,可保护软件开发生命周期各个阶段的可见性、安全性和完整性。 2021年5月,该公司发布了自己的知识图谱,Cycode通过与DevOps工具和基础设施提供商集成,使用一系列扫描引擎查找硬编码机密、代码错误配置、代码泄露等安全问题来降低SDLC各阶段的安全风险。 Dasera Dasera成立于2019年,是一家引领数据治理与运维的公司,成立当年即获得300万美元融资,并于2021年再次获得600万美金种子轮融资。至今共获得CRN的“十大最热门云安全初创公司”、2022年网络安全卓越奖云上数据安全金奖等在内的15个奖项。 Dasera通过紧密联动企业的安全团队、数据团队和合规团队,并持续自动监控上下文和执行数据治理策略,为企业存储于云上的数据提供全生命周期的防护,实现敏感数据的安全使用,同时可向员工提供更多数据库授权,应对大规模数据保护的挑战。 Lightspin Lightspin公司成立于2020年成立当年获得了400万美元的种子轮融资,2021年获得1600万A轮融资。公司提供了一个基于图表的云原生应用程序保护平台 (CNAPP),该平台可以识别、确定优先级并修复云堆栈中的攻击路径。同时还可以减少DevOps和安全团队保证云服务平台安全性所需要的时间、成本及资源。公司可在不同安全问题之间建立联系,并对编译、执行以及操作过程中最重要的关键问题进行确定及修复。 Sevco Security Sevco Security成立于2020年,是一家提供网络安全服务和产品的公司。目前已经过两轮融资,总金额超过2千万美元。2020年9月17日,Sevco被Welp Magazine 评选为网络安全领域50家最佳初创公司之一。 Sevco Security核心产品Sevco资产管理平台,可通过集成现有资产管理平台的资产清单,对多源资产管理软件的数据融合,建立更全面的资产库,以识别企业网络中的脆弱资产,从而实时跟踪资产库中资产状态变化情况。 Talon Cyber Security Talon Cyber Security是为分布式劳动力(远程办公)提供网络安全解决方案的提供商,目前已经过两轮融资,总金额4300万美元。作为下一代解决方案提供商,Talon旨在抵御分布式工作带来的新型威胁。 该公司通过向企业提供专有安全浏览器,达到优化安全项目以及提升用户对混合工作体验的目的。Talon的主打产品是一款面向企业的安全浏览器TalonWork。TalonWork浏览器可为用户提供深度安全可见性以及SaaS应用的控制,以求简化未来工作对安全的需求。 Neosec Neosec公司可通过XDR技术对API进行保护,重塑了应用安全的保护能力。公司的SaaS平台可保证专业安全人员对所有API活动实现可视化监控,同时对其进行分析,阻止潜伏其中的威胁。 Torq Torq公司可为安全团队提供一个无代码自动化平台。该平台的无限制连接能力、拖放式编辑功能以及数百个模板,可完成任何处理的自动化。安全团队无论来自大型企业还是初创公司,都可以在Torq公司帮助下减少工作的复杂性,最大化的保障网络安全。 云原生安全赛道迎来爆发? 看完RSAC 2022创新沙盒大赛10的相关介绍,我们会发现一个非常有意思的现象:在这10家公司中,有4家参赛企业选择了云原生安全细分领域,这在历届RSAC创新沙盒大赛中都比较少见。 正如上文所说,RSAC创新沙盒大赛代表着技术创新的发展方向,那么是否意味着云原生安全将会是接下来最有前景的细分领域? 笔者对此表示赞同,随着云计算的广泛发展和应用,云原生安全必将迎来全面的爆发增长。 近年来,云原生技术发展势头极为迅猛,已有烽火燎原之势。这里先看几组数据。 据信通院发布的《云原生发展白皮书(2020)》数据显示,2019 年我国云原生产业市场规模已达350.2亿元,同时还指出,云计算的拐点已至,云原生成为驱动业务增长的重要引擎。 而根据Gartner的预测,到2025年,云原生平台将成为95%以上的新数字化计划的基础,而在2021年这个比例不到40%,云原生还有着极大的发展空间。 2022年,火山引擎联合IDC发布的《原生云应用 企业创新路》云原生白皮书指出,越来越多的中国企业开始接受云原生开发方式,采用云原生技术的中国企业已有接近50%将云原生技术应用到生产环境的核心和次核心系统,83%的企业未来两年将加大对云原生的投入。 值得一提的是,这两年由于疫情反复,我国疫情防控措施日渐趋严,很多企业被迫远程办公。此时,云原生技术让小程序和SaaS应用快速上线,让更多的政府机构和企业体验到了云原生技术的价值。 由于安全存在一定的滞后性,伴随着云原生的快速发展和应用,云上安全威胁也在快速增加。2022年,《Sysdig 2022年云原生安全和使用报告》发布并指出,越来越多的企业步入了云原生化的进程,然而由于很多已经使用云原生技术的企业急于求成,这也为后续运行埋下了不少的安全隐患。 众所周知,面对云原生应用的规模扩展以及快速变化,基于边界的传统安全保障已经显的力不从心。此时,云原生安全的作用开始凸显。作为一种新兴的安全理念,云原生安全不仅解决云计算普及带来的安全问题,更强调以原生的思维构建云上安全建设、部署与应用,推动安全与云计算深度融合,是解决云原生问题的最佳选择。 另一方面,经过几年的发展和实践,云原生安全也有了明显的进步。 Gartner曾提出三大云原生安全管理工具,分别是CWPP、CSPM和CASB。 其中,CWPP是对云工作负载进行保护,是对数据面的安全防护。随着云工作负载保护在云计算中重要性不断提升,CWPP已经可以和终端安全防护EPP扳手腕,也是目前国内很多安全厂商的重点发力方向。 而3CSPM是聚焦控制面的安全属性,包括配置策略和管理工作负载、DevOps集成、保障调用云运营商API完整性等。而CASB是专注于SaaS安全,为企业提供对SaaS使用情况的可视性和安全控制,随着云原生技术的发展,CASB在企业内的使用率将进一步上升。 除上述内容以外,自2020年以来,云原生安全技术又有了新的变化方向,那就是云原生应用保护平台(CNAPP),也是创新沙盒10强之一的Lightspin公司目前正在做的方向。 2021年Gartner发布的云安全技术成熟度曲线增加了CNAPP,其最大的优势在于可集成了多个云原生安全工具和数据源,同时还具备强大自动化和编排能力,通过实现标准化和更深层次的防御,以提高安全性;以及允许更频繁地访问工作负载。 随着我国数字化转型如火如荼地进行,以及东数西算工程的启动,上云已经成为企业必须的选择,此时因云而生的应用、技术大量落地,云原生基础设施不断完善的同时,也迫切需要一套云原生安全运维和治理的手段。 这也让云原生安全迎来了大爆发的契机,并将引领下一个云安全时代。   转自 FreeBuf,原文链接:https://www.freebuf.com/news/334473.html 封面来源于网络,如有侵权请联系删除

首个针对 6G 网络的攻击手法曝光:自制简易器件实现通信窃听

图:研究团队主要成员、布朗大学工程学教授Daniel Mittleman 研究人员发现,利用办公纸、喷墨打印机、金属箔转印机和层压机等设备,可在短短五分钟内制造出足以窃听某些6G无线信号的工具; 这项研究打破了无线通信行业中普遍存在的一种误解,即高频信号天然安全。 安全内参消息,由美国计算机协会组织的无线与移动安全/隐私年度会议,ACM WiSec 2022大会即将于本周在圣安东尼奥举行。美国莱斯大学及布朗大学的工程研究人员将在大会上展示,首次发现的针对6G网络的安全漏洞和攻击手法。 研究共同作者、莱斯大学电气与计算机工程系教授Edward Knightly表示,“意识到未来威胁的存在,是应付这种威胁的第一步。虽然易受攻击影响的频段尚未实际使用,但使用之期已经不远,我们必须做好准备。” “中间超颖表面”攻击 在研究当中,Knightly和布朗大学工程学教授Daniel Mittleman及其同事发现,恶意黑客可以轻松制作出一张覆盖有2D箔符号的办公纸(相当于一种超颖表面),并借此重新定向在两个用户之间传输的一部分150 GHz“笔形波束”。 他们将这种攻击方法称为“中间超颖表面”(Metasurface-in-the-Middle),既描述了工具本身的性质,也体现出其使用方法。 “超颖表面”器材是一种具有特定图案设计的薄膜材料,能够操纵光波或电磁波的传输方向。 “中间”则代表计算机安全行业做出的攻击分类,指恶意黑客秘密介入到通信双方之间。 150 GHz频率高于当前5G蜂窝或Wi-Fi网络中使用的频率。但Knightly表示,无线电信运营商计划在未来十年内推出采用150 GHz或类似频率的新服务,并称其为太赫兹波或毫米波技术。 Knightly解释道,“下一代无线通信将使用高频段与笔形波束来支持虚拟现实、自动驾驶汽车等宽频带应用。”在ACM WiSec大会上,Knightly将与共同作者、实验室研究生Zhambyl Shaikhanov一起介绍这项成果。 具体攻击过程 在此次实验中,研究人员用Alice和Bob来指代被黑客入侵的通信两方,这个窃听者则被称为Eve。 为了实施攻击,Eve首先设计了一个超颖表面,借此将部分窄波束信号衍射到自己的所在位置。在演示中,研究人员设计了一种带有数百行开环的图案。这些开环形似字母C,但彼此间又有所差异,其开口方向和大小各自不同。 Shaikhanov介绍称,“这些开口和方向,就是为了让信号能够按Eve的设计朝着特定方向衍射。在设计出超颖表面之后,Eve就可以在普通的激光打印机上将图像打印出来,之后再使用一种烫印制作技术。将金属箔放在打印好的纸上,送入层压机,热量和压力就会让金属和碳粉结合起来。” Mittleman和另一位共同作者、布朗大学博士后研究员Hichem Guerboukha已经在2021年的一项研究中表明,热冲压方法可以制造出共振频率高达550 GHz的开环超颖表面。 Mittleman指出,“我们开发的这种方法降低了超颖表面的制造难度,可以帮助研究人员快速、廉价地测试多种不同设计。但与此同时,这也拉低了窃听者们为非作歹的门槛。” 打破高频通信安全迷信 研究人员们表示,他们希望这项研究能消除无线通信行业中普遍存在的一种误解,即高频信号天然安全。 Shaikhanov强调,“总有人说毫米波频率「隐蔽」且「高度机密」,拥有「良好的安全性」。其实这种观点可以理解,毕竟「只要波束足够窄,就没人能物理介入到发射端到接收端之间来窃听信号。」但我们用研究证明了,Eve这边不用介入到中间也能发动攻击。” 研究表明,Alice或Bob两端目前很难检测出这种攻击。虽然超颖表面仍须被放置在Alice和Bob之间,但Knightly提到“它可能被隐藏在环境当中,例如混进纸张当中。” Knightly还认为,现在无线研究人员和设备制造商都知晓了这种攻击方法,因此可以开展进一步研究,开发出针对性的检测系统并整合到太赫兹网络当中。 Knightly强调,“如果我们能在互联网诞生的第一天就预见到拒绝服务攻击对Web服务器的巨大破坏,肯定会在设计上做出些调整。相比之下,先构建->等待攻击发生->之后再尝试修复这样的被动循环,显然要比安全预设计昂贵得多。” “毫米波频率和超颖表面都是新技术,都将给通信产业开辟出新的道路。但面对任何一种新的通信能力,我们首先应该问,「如果对手控制了这项技术,该怎么办?他们会因此获得哪些前所未有的新能力?我们又该如何建立起足以抵挡强大对手的安全网络?」” 注:这项研究得到了思科、英特尔、美国国家科学基金会、美国陆军研究实验室的资助。   转自 安全内参,原文链接:https://www.secrss.com/articles/42787 封面来源于网络,如有侵权请联系删除

事实证明,“难以伪造”的数字驾照并不难伪造

2019年底,澳大利亚新南威尔士州(NSW)政府推出了数字驾照。新执照允许人们在路边警察检查时或在酒吧、商店、酒店和其他场所使用他们的iPhone或Android设备来展示身份和年龄证明。这个被政府称为ServiceNSW的服务承诺–跟公民使用了几十年的塑料驾驶执照相比,数字版将提供额外的安全和保护进而防止身份欺诈的发生。 现在,在经过30个月时间的检阅之后,安全研究人员指出,几乎任何人都可以利用数字驾照(DDL)伪造假身份。该技术允许未到饮酒年龄的人改变他们的出生日期并允许欺诈者伪造假身份。这个过程只需不到一个小时且无需任何特殊的硬件或昂贵的软件,另外还能生成通过警察和参与场所使用的电子验证系统检查的假身份证。 发现这些缺陷的研究员Noah Farmer在上周发表的一篇文章中写道:“明确地说,我们确实相信,如果数字驾照通过实施更安全的设计而得到改进那么代表ServiceNSW所作的上述声明确实是真实的,而且我们会同意,跟塑料驾照相比,数字驾照将提供额外的安全水平以防欺诈。” 他继续写道:“当毫无戒心的受害者扫描欺诈者的二维码时,一切都会检查出来,受害者不会知道欺诈者将他们自己的身份照片跟某人被盗的驾驶执照细节相结合。然而就过去30个月的情况来看,DDL使‘恶意用户有可能以最小的努力在已越狱和未越狱的设备上生成(一个)欺诈性的数字驾照,而无需修改或重新包装移动应用本身。” 据悉,DDL需要一个iOS或Android应用以显示每个人的凭证。同样的应用允许警察和场所验证凭证是否真实。应用中旨在确认ID是真实的和当前的功能包括: 模拟的NSW政府logo; 显示最后刷新的日期和时间; 一个过期和重新加载的QR码; 一个在手机倾斜时移动的全息图; 一个跟执照照片相匹配的水印; 无需滚动的地址地址。 而克服这些保障措施的技术居然出奇得简单,关键就是能暴力破解加密数据的PIN码。由于它只有四位数,只有一万种可能的组合。使用公开的脚本和一台商品电脑有人就可以在几分钟内学会正确的组合。 一旦欺诈者获得了某人的加密DDL许可证数据–无论是通过许可还是通过窃取存储在iPhone备份中的副本或通过远程妥协–蛮力使他们有能力读取和修改存储在文件中的任何数据。 以下为在iPhone上的精确操作步骤: 使用iTunes备份,复制存储有欺诈者想要修改的凭证的iPhone内容; 从存储在电脑上的备份中提取加密文件; 使用暴力软件来解密该文件; 在文本编辑器中打开文件,修改出生日期、地址或其他他们想要伪造的数据; 重新加密该文件; 将重新加密的文件复制到备份文件夹中; 将备份恢复到iPhone上。 这样一来,ServiceNSW应用就会显示假身份证并将其作为真品显示。   转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1273481.htm 封面来源于网络,如有侵权请联系删除