作为美国白宫保护国家关键基础设施免受民族国家攻击及其他网络威胁侵扰的总体举措之一，联邦政府开始要求各州评估其饮用水系统的网络安全能力。 美国环境保护署（EPA，以下简称环保署）梳理了公共供水系统官员在饮用水保护方面应当采取的步骤，并要求在供水系统的“卫生检查”中强制纳入网络安全评估。 在上周五（3月3日）发布的这些要求前，环保署进行了历时数月的安全调查工作。调查结果显示，虽然许多公共供水系统（PWS）都制定了网络安全计划，但仍有相当一部分系统没有。 环保署负责水资源的助理署长Radhika Fox在一份备忘录中写道，包括公共供水系统在内的美国关键基础设施面临日益增长的攻击威胁，但表现并不理想。这份备忘录名为《在卫生检查或类似过程中解决公共供水系统网络安全问题》。 Fox指出，“如今，公共供水系统经常成为恶意网络活动的目标。安全饮用水的处理和分配，面临着等同甚至高于物理形式攻击的网络风险水平。” “因此需要强调，各州必须在卫生检查期间对供水系统的装置及运行状况进行评估，这将有助于降低供水系统被成功攻击的可能性，并在发生网络事件时提高设施的恢复能力。” 拼凑而成的供水体系 这项调查凸显出美国饮用水供应环境“东拼西凑”的特性。也正是这一特性，导致网络安全标准的制定面临挑战。 根据美国参议院共和党政策委员会去年发布的一份报告，全美约有15.3万个公共饮用水系统，为80%的美国人口提供饮用水资源。 安全软件厂商Tripwire在2022年9月一份报告中表示，美国许多供水系统“规模很小，服务于低密度社区且运营预算有限。供水设施覆盖范围的分散，再加上低预算和专业技术知识不足，意味着其中大量系统已经陈旧过时且缺乏维护。” 令人头疼的不只是供水系统的数量。环保署的Fox表示，过去二十年间，公共供水管理者越来越依赖电子工具来操作其供水系统，但这些电子系统现在极易受到网络攻击影响。 供水与废水系统行业的重要组织水业协调委员会曾在2021年的报告中指出，该行业应当从培训到教育、再到评估和工具，将网络安全视为重中之重。 曾发生过安全事件 2021年，堪萨斯州埃尔斯沃思Post Rock农村水区的一名前雇员面临指控，涉嫌远程访问并试图关闭供水系统。 同年，未知人员远程访问了佛罗里达州奥兹马尔的供水系统，并试图将氢氧化钠含量提高到正常量的100倍以上来毒化水质。 目前，环保署正在敦促所有公共供水系统，要求建立起针对此类攻击的保护措施。 负责网络与新兴技术的副国家安全顾问Anne Neuberger在备忘录中指出，“美国人民应该对自己的供水系统在网络攻击下的恢复能力充满信心。”她还提到，环保署提出的方案预设了灵活空间，供水系统管理员可以通过细节调整在保持安全供应的同时符合自身实际。 命令已经下达 根据环保署的要求，如果公共供水系统在运营当中使用了工业控制系统（ICS）等运营技术，那么作为大规模卫生检查的一部分，评估工作必须涵盖对实践和控制等运营技术的网络安全保护。 如果在网络安全保护中发现“重大缺陷”，例如设计/运营缺陷，水处理、贮存或分配系统故障等，则所在州必须保证公共供水系统解决它。 环保署也为部分组织提供更灵活的回旋空间，具体取决于之前实施的计划，包括允许供水系统运营商对其系统开展自我评估、由第三方负责评估或者由各州进行评估。 环保署还提出通过饮用水州循环基金和大中型饮用水系统基础设施恢复力与可持续性计划等，为公共供水系统提供培训、技术援助和财务支持。 在拜登政府的领导下，网络安全和基础设施安全局（CISA）及其他政府实体一直在努力加强16个关键基础设施领域的网络安全水平，包括化工、石油、电力、天然气和水资源等。这是白宫于2021年启动的工业控制系统网络安全计划的一部分。 这项计划是在此前亲俄黑客团伙DarkSide对科洛尼尔管道运输公司发动勒索软件攻击后制定的，此次攻击导致美国东海岸多个主要市场的燃油供应发生中断。不久后，全球肉类加工公司JBS Foods也遭遇复杂网络攻击，美国、加拿大及澳大利亚的多处设施受到影响。     转自 安全内参，原文链接：https://www.secrss.com/articles/52577 封面来源于网络，如有侵权请联系删除

The Record 网站披露，西班牙巴塞罗那的一家医院遭遇勒索软件攻击，导致医院计算机系统故障，许多实验室、诊室和急诊室的电脑无法使用。据《国家报》报道，约 150 个非紧急手术和数千病人的预约检查被迫取消。 勒索事件严重影响医院开展工作 此次勒索攻击对医院正常运转产生了严重影响，由于无法进入电子病人数据共享系统，医疗人员只能被迫将诊断信息纸质化，一些紧急的病患也不得不转移到其它医院。 医院院长安东尼-卡斯特尔斯（Antoni Castells）告诉媒体，目前无法预测系统何时能够恢复正常，但好在内部有一个应急计划，基本可以保持医院持续运转几天。 勒索事件发生后，加泰罗尼亚地区网络安全局表示，Ransom House 勒索团伙“站出来”对此事负责，该团伙曾攻击过半导体公司 AMD，并声称出售了其“合作伙伴”窃取来的数据。 令人讽刺的是，在 Ransom House 团伙的泄露网站上赫然写着“与任何违规网络攻击没有联系，也没有生产或使用任何勒索软件”。 医院不会支付赎金 众所周知，勒索软件团伙在成功进行攻击活动后，通常会发送威胁邮件，提出在某个截止日期前没有支付勒索款，将公开泄露被盗数据。但截至当地时间周一，Ransom House 泄露网站上没有任何来自该医院的信息。 加泰罗尼亚地区政府的电信秘书 Segi Marcén 指出，目前医院还没有收到勒索要求，并一再强调即使受到勒索信息，医院也不会支付赎金。此外，《国家报》披露，地区政府正在统筹安全专家，以期快速恢复受攻击影响的计算机系统以及数据信息。       转自 Freebuf，原文链接：https://www.freebuf.com/news/359584.html 封面来源于网络，如有侵权请联系删除

拜登-哈里斯政府本周四发布了美国国家网络安全战略（以下简称《战略》）。该战略强调政府必须协调使用国家权力所有工具来保护国家安全、公共安全和经济繁荣；提供必要资源和工具确保关键基础设施安全；调整激励措施，对下一代网络空间弹性技术进行长期投资。 根据白宫发布的《战略》文本，新的美国国家网络安全战略将致力于使美国的数字生态系统： 可防御，网络防御更容易、更便宜、更有效。 弹性，最大限度避免网络安全事件产生广泛或持久的影响。 在此次以网络安全为主题的国家战略发布之前，拜登政府已经采取多项措施保护美国的网络空间和数字生态系统，包括： 国家安全战略 总统行政命令14028（改善国家网络安全） 国家安全备忘录5（改善关键基础设施控制系统的网络安全） M-22-09（使联邦政府转向零信任网络安全） 国家安全备忘录10（促进美国在量子计算方面的领导地位，同时降低易受攻击的密码系统的风险） 五大战略议题 《战略》包含五大关键议题，关键基础设施安全首当其冲，其余依次是：扰乱和摧毁威胁行为者、塑造市场力量推动安全和弹性、投资未来网络安全弹性和建立国际伙伴关系。 1.捍卫关键基础设施。让美国人民对关键基础设施的可用性和弹性及其提供的基本服务充满信心，包括： 在关键部门扩大最低网络安全要求的应用范围，以确保国家安全和公共安全，并协调法规以减轻合规负担 以保护关键基础设施和基本服务所需的速度和规模实现公私合作 联邦网络基础设施的防御和现代化，并更新联邦事件响应政策 2.扰乱和摧毁威胁行为者。美国将动用所有国家权力手段，使恶意网络行为者无法威胁国家安全或公共安全，包括： 战略性地使用国家力量的所有工具来破坏对手 通过可扩展的机制让私营部门参与颠覆活动 通过全面的联邦方法并与国际合作伙伴保持同步来应对勒索软件威胁 3.塑造市场力量以推动安全和弹性。美国将把责任交给数字生态系统中最有能力降低风险的企业，以使数字生态系统更值得信赖，包括： 促进隐私和个人数据的安全 转移软件产品和服务的责任以促进安全开发实践 确保联邦拨款计划促进对安全且有弹性的新基础设施的投资 4.投资未来的网络安全弹性。通过战略投资和协调、协作行动，美国将继续引领全球的基础设施网络安全和弹性技术创新，包括： 减少互联网基础和整个数字生态系统中的系统性技术漏洞，同时使其更能抵御跨国数字压制 优先考虑后量子加密、数字身份解决方案和清洁能源基础设施等领域的下一代网络安全技术研发 培养多元化和强大的国家网络安全人才队伍 5.建立国际伙伴关系。美国将致力于建设一个新的全球网络安全空间世界（秩序）：在其中负责任的国家行为在网络空间得到期许和加强，不负责任的行为被孤立且代价高昂，包括： 利用国际联盟和伙伴关系，通过联合准备、响应和成本征收来应对数字生态系统面临的威胁 提高合作伙伴在和平时期和危机中抵御网络威胁的能力 与盟友和合作伙伴合作，为信息和通信技术以及运营技术产品和服务打造安全、可靠和值得信赖的全球供应链     转自 GoUpSec，原文链接：https://mp.weixin.qq.com/s/9EI7T1Nbaw-K3bDAMjSzow 封面来源于网络，如有侵权请联系删除

美国众议院外交事务委员会周三按照党派路线投票，授予乔·拜登总统禁止 TikTok 的权力，这将是美国对任何社交媒体应用程序的影响最深远的限制。立法者以 24 票对 16 票通过了这项措施，授予政府新的权力，以禁止字节跳动拥有的应用程序 。目前超过 1 亿美国人使用，以及其他被认为存在安全风险的应用程序。 发起该法案的委员会共和党主席、代表迈克尔·麦考尔 (Michael McCaul) 说：“TikTok 是一种国家安全威胁，是时候采取行动了。任何在他们的设备上下载 TikTok 的人都给了获取他们所有个人信息的后门。这是一个进入他们手机的间谍气球。” 民主党人反对该法案，称它仓促行事，需要通过与专家的辩论和磋商进行尽职调查。该法案没有具体说明该禁令将如何运作，但赋予拜登禁止与 TikTok 进行任何交易的权力，这反过来可能会阻止美国任何人在手机上访问或下载该应用程序。 该法案还要求拜登禁止任何“可能”将敏感个人数据转移到受中国影响的实体。 白宫本周给政府机构 30 天的时间来确保 TikTok 不在任何联邦设备和系统上。美国 30 多个州、加拿大和欧盟的政策机构也禁止 TikTok 被加载到国有设备上。 最新措施的命运仍不确定，在成为法律之前面临重大障碍。该法案需要由民主党控制的众议院和参议院全体通过，然后才能交给拜登。 “美国对 TikTok 的禁令是禁止向全球使用我们服务的十亿人出口美国文化和价值观，”TikTok 发言人在投票后表示。 拜登政府没有说明是否支持推进该法案，也没有回答是否认为拜登现在拥有禁止 TikTok 的合法权力。 该委员会的最高民主党代表格雷戈里米克斯表示，他强烈反对这项立法，但理解对 TikTok 的担忧。米克斯说：“共和党本能地禁止它害怕的事情，从书籍到言论，似乎不受约束。”他补充说，该法案将要求政府制裁 TikTok 和 TikTok 母公司的其他子公司。 美国政府的外国投资委员会（CFIUS）是一个强大的国家安全机构，由于担心用户数据可能会被传递，2020 年一致建议字节跳动剥离 TikTok。 TikTok 和 CFIUS 已经就数据安全要求进行了两年多的谈判。TikTok 表示，它已花费超过 15 亿美元（22 亿澳元）用于严格的数据安全工作，并拒绝接受间谍指控。米克斯希望会谈继续进行。 美国公民自由联盟呼吁立法者反对该法案，称其“严重侵犯了我们的第一修正案权利”。 麦考尔在投票后告诉路透社，他预计该法案将在本月由众议院进行表决。     转自 E安全，原文链接：https://mp.weixin.qq.com/s/CF54C7g3EthkXrmhNGaWjg 封面来源于网络，如有侵权请联系删除  

密码管理供应商LastPass日前公布了去年遭受“二次协同攻击”事件的更多信息，发现恶意黑客潜伏在其内网长达两个月的时间内，持续访问并窃取了亚马逊AWS云存储中的数据。 据安全内参了解，“二次协同攻击”事件，是指LastPass在2022年8月、12月先后披露的两起违规事件，这两起事件的攻击链有关联。 关键运维员工遭定向攻击 LastPass在去年12月透露，恶意黑客窃取到部分加密的密码保险库数据和客户信息。现在，该公司进一步解释了恶意黑客的攻击实施方法，称对方使用到了去年8月首次入侵时窃取的信息，还利用一个远程代码执行漏洞，在一名高级DevOps工程师的计算机上安装了键盘记录器。 LastPass表示，二次协同攻击利用到了首轮违规中外泄的数据，并访问了该公司经过加密的Amazon S3存储桶。 LastPass公司只有4位DevOps工程师有权访问这些解密密钥，因此恶意黑客将矛头指向了其中一名工程师。最终，黑客利用第三方媒体软件包中的远程代码执行漏洞，在该员工的设备上成功安装了键盘记录器。  “恶意黑客成功获取了员工在完成多因素身份验证（MFA）后输入的主密码（master password），借此获得了该DevOps工程师对LastPass企业密码保险库的访问权。”LastPass日前发布的最新安全警告称。 “恶意黑客随后导出了共享文件夹中的本地企业密码保险库条目和内容，其中包括能够访问LastPass AWS S3生产备份、其他云存储资源以及部分相关重要数据库备份的安全注释和加密密钥。” 由于恶意黑客窃取并使用了有效的访问凭证，LastPass的调查人员很难检测到对方活动，导致其顺利从LastPass的云存储服务器处访问并窃取到大量数据。恶意黑客甚至持续驻留达两个月以上，从2022年8月12日一直到2022年10月26日。 直到恶意黑客尝试用云身份和访问管理（IAM）角色执行未授权操作时，LastPass才最终通过AWS GuardDuty警报检测到这些异常行为。 该公司表示，他们已经更新了安全机制，包括对敏感凭证及身份验证密钥/令牌进行轮换、撤销证书、添加其他记录与警报，以及执行更严格的安全策略等。 大量数据已被访问 作为此次披露的一部分，LastPass还发布了关于攻击中哪些客户信息遭到窃取的具体说明。 根据特定客户的不同，失窃数据的范围很广且内容多样，包括多因素身份验证（MFA）种子值、MFA API集成secreet，以及为联合企业客户提供的Split Knowledge组件（K2）密钥。 以下是被盗数据内容的基本概括，更详细的失窃信息说明请参阅LastPass支持页面（https://support.lastpass.com/help/what-data-was-accessed）。 事件1中被访问的数据汇总 云端按需开发和源代码仓库——包括全部200个软件代码仓库中的14个。 来自各代码仓库的内部脚本——其中包含LastPass secrets和证书。 内部文档——描述开发环境运作方式的技术信息。 事件2中被访问的数据汇总 DevOps secrets——用于访问我们云端备份存储的受保护secrets。 云备份存储——包含配置数据API secrets、第三方集成secrets客户元数据，以及所有客户保险库数据的备份。除URL、用于安装LastPass Windows/macOS版软件以及涉及邮件地址的特定用例之外，全部敏感客户保险库数据均通过“零知识架构”进行加密，且只能通过各用户主密码提供的唯一加密密钥实现解密。请注意，LastPass永远不会获取最终用户的主密码，也不会存储或持有主密码——因此，泄露数据中不涉及任何主密码。 LastPass MFA/联邦数据库备份——包含LastPass Authenticator的种子值副本，作为MFA备份选项（如果启用）的电话号码，以及供LastPass联邦数据库（如果启用）使用的Split Knowledge组件（即K2「密钥」）。该数据库经过加密，但在第二次违规事件中，恶意黑客窃取了单独存储的解密密钥。 本次发布的支持公告还相当“隐蔽”，由于LastPass公司在公告页面的HTML标签添加了<meta name=”robots” content=”noindex”>，因此该页面无法通过搜索引擎直接检索。 LastPass还发布一份题为“安全事件更新与建议操作”的PDF文档，其中包含关于违规和失窃数据的更多信息。 该公司也整理了支持文件，面向免费、付费和家庭客户以及LastPass Business管理员提供应对建议。 通过公告中的建议操作，应可进一步保障您的LastPass账户与相关集成。 转自 安全内参，原文链接：https://mp.weixin.qq.com/s/zvrwVei6Jy-zEDTkks7Ptg 封面来源于网络，如有侵权请联系删除  

一个被称为 “SCARLETEEL “的高级黑客行动针对面向公众的网络应用，其主要手段是渗透到云服务中以窃取敏感数据。 SCARLETEEL是由网络安全情报公司Sysdig在应对客户的云环境事件时发现的。 虽然攻击者在受感染的云环境中部署了加密器，但黑客在AWS云机制方面表现出更专业的技术，进一步钻入该公司的云基础设施。 Sysdig认为，加密劫持攻击仅仅是一个诱饵，而攻击者的目的是窃取专利软件。 SCARLETEEL攻击 SCARLETEEL攻击开始时，黑客利用了托管在亚马逊网络服务（AWS）上的Kubernetes集群中面向公众的服务。 一旦攻击者访问容器，他们就会下载一个XMRig coinminer（被认为是诱饵）和一个脚本，从Kubernetes pod中提取账户凭证。 然后，被盗的凭证被用来执行AWS API调用，通过窃取进一步的凭证或在公司的云环境中创建后门来获得持久性。然后这些账户被用来在云环境中进一步传播。 根据AWS集群的角色配置，攻击者还可能获得Lambda信息，如功能、配置和访问密钥。 攻击者执行的命令 接下来，攻击者使用Lambda函数枚举和检索所有专有代码和软件，以及执行密钥和Lambda函数环境变量，以找到IAM用户凭证，并利用它们进行后续枚举和特权升级。 S3桶的枚举也发生在这一阶段，存储在云桶中的文件很可能包含对攻击者有价值的数据，如账户凭证。 Sysdig的报告中说：”在这次特定的攻击中，攻击者能够检索和阅读超过1TB的信息，包括客户脚本、故障排除工具和日志文件。这1TB的数据还包括与Terraform有关的日志文件，Terraform在账户中被用来部署部分基础设施。这些Terraform文件将在后面的步骤中发挥重要作用，也就是攻击者可能转到另一个AWS账户”。 SCARLETEEL攻击链 为了尽量减少留下的痕迹，攻击者试图禁用被攻击的AWS账户中的CloudTrail日志，这对Sysdig的调查产生了不小的困难。 然而，很明显，攻击者从S3桶中检索了Terraform状态文件，其中包含IAM用户访问密钥和第二个AWS账户的密钥。这个账户被用来在该组织的云计算中进行横移。 由TruffleHog发现的Terraform秘密 基于云的基础设施安全 随着企业越来越依赖云服务来托管他们的基础设施和数据，黑客们也在与时俱进，成为API和管理控制台方面的专家，继续他们的攻击。 SCARLETEEL攻击证明，企业在云环境中的任何一个薄弱点都足以让攻击者利用它进行网络渗透和敏感数据盗窃，当然这些攻击者可能技术更高。 Sysdig建议企业采取以下安全措施，以保护其云基础设施免受类似攻击： 及时更新你所有的软件 使用IMDS v2而不是v1，这可以防止未经授权的元数据访问 对所有用户账户采用最小特权原则 对可能包含敏感数据的资源进行只读访问，如Lambda 删除旧的和未使用的权限 使用密钥管理服务，如AWS KMS、GCP KMS和Azure Key Vault Sysdig还建议实施一个全面的检测和警报系统，以确保及时报告攻击者的恶意活动，即使他们绕过了保护措施。     转自 Freebuf，原文链接：https://www.freebuf.com/news/358975.html 封面来源于网络，如有侵权请联系删除  

联邦网络安全和基础设施安全局局长Jen Easterly敦促微软和Twitter改进其安全协议，以更好地保护用户的安全。伊斯特利说，使用这些公司的多因素认证（MFA）的用户数量”令人失望”，但赞扬了苹果公司在iCloud用户中的MFA高使用率。 周一，伊斯特利在卡内基梅隆大学发表演讲，其中提到苹果是为其客户执行安全实践的榜样。据这位美国官员称，95%的苹果iCloud用户使用多因素认证，并解释说，高采用率是由于该公司决定将该功能作为默认功能。据此，Easterly将这一数字与微软和Twitter目前的MFA使用率进行了比较，其中前者只有四分之一的企业客户使用，而后者只有不到3%的用户使用。 虽然Easterly称赞这些公司分享了他们服务中的MFA使用数字，但她表示需要新的立法来坚定地对待这些必须提供有效安全做法的企业。根据Easterly的说法，法律需要”防止技术制造商通过合同免除责任，为特定的关键基础设施实体的软件建立更高的护理标准，并推动安全港框架的发展，使那些安全地开发和维护其软件产品和服务的公司免于承担责任。” 多因素认证只是用户在网络安全领域可以采取的确保安全的步骤之一。然而，如果没有公司本身的启动，大多数客户确实倾向于忽视采用这样的安全措施。尽管如此，向客户推送这样的功能，只是像微软这样的公司为确保客户的安全应该做的许多事情之一。但是，即使有一堆不同的安全努力，一时的失败似乎也是任何企业的一部分。 例如，微软在2019年遇到了其MFA的一个普遍问题，尽管该公司在经过数小时的调查后设法解决了这个问题。同时，在去年10月，据透露，由于过时的脆弱驱动程序阻止列表和低效的安全保护功能，其用户已经被暴露在恶意驱动程序中三年了。     转自 CnBeta，原文链接：https://www.toutiao.com/article/7205129143225319991/ 封面来源于网络，如有侵权请联系删除

美国加州大学伯克利分校的最新论文表明，如果没有创新的新保障措施来保护用户，元宇宙中也许将没有隐私可言。 这项在负责任去中心化智能中心（RDI）进行的研究由研究员Vivek Nair带领，重点关注用户在虚拟现实（VR）中的最大交互数据集，是否如以往分析认定的存在隐私风险。 结果令人惊讶，研究发现只需要最基础的数据，即可实现对元宇宙内用户身份的识别，可以说是消除了在虚拟环境中保持匿名的可能性。 运动数据看似简单但并不简单 大多数元宇宙隐私研究人员和政策制定者，都将注意力集中在现代VR头显及其摄像头/麦克风上。这些摄像头和麦克风能够捕捉用户面部特征、声纹及眼动等信息，同时也会记录下关于用户住宅或办公室中的环境情况。 部分研究人员甚至担心，能通过头皮检测大脑活动的干式脑电图（EEG）传感器等新兴技术也会构成威胁。尽管这些丰富的数据流确实会在元宇宙中构成严重的隐私风险，但即使将其全部关闭，恐怕仍无法保障用户匿名性。 这是因为与虚拟世界交互所需的最基本数据流（即简单运动数据），可能足以从大量人群中识别出特定某一用户。 所谓“简单运动数据”，也就是虚拟现实系统所跟踪的三项基础数据点：用户的头戴、左手与右手数据点。研究人员一般将其统称为“遥测数据”，它表示允许用户在虚拟环境中进行自然交互所需要的最小数据集。 百秒内即可确定唯一身份 下面来看伯克利发表的最新研究，《通过头和手部运动数据对5万多名虚拟现实用户进行身份识别》（Unique Identification of 50,000-plus Virtual Reality Users from Head and Hand Motion Data）。该研究分析了流行应用Beat Saber的5万名参与者留下的250万条VR数据记录（完全匿名化）。结果发现，只使用短短100秒内的运动数据，即可获得超过94%的用户身份识别精度。 更令人惊讶的是，就算运动数据只有短短2秒，仍可将身份识别精度维持在50%左右。达到这样的准确性需要创新AI技术的加持，但可以看到这里使用的数据非常稀疏。随时间推移，未来识别用户身份也许只需要3个空间点。 换句话说，每当用户戴上混合现实头显、握住两只标准控制器，开始在虚拟或增强世界中进行交互之时，都会留下一系列可反映其身份的数字指纹。这就引出了新的问题：这些数字指纹与身份识别间的对应关系，跟真实世界中的指纹相比是高是低？ 相信大家都听过所谓“世界上没有两个指纹是相同的”这种说法。也许是对的，但其实并不重要。指纹的真正意义，在于以一定的精度通过犯罪现场或扫描元件处捕捉到的指纹识别出对方身份。事实证明，无论是物理采集还是设备扫描，获得的指纹信息并不像我们认为的那么唯一。 我们可以考虑一下指纹扫描元件的工作方式。根据美国国家标准技术研究所（NIST）的规定，指纹扫描装置只要达到特定的匹配精度基准——即从10万人中识别出1人，就算是切实有效。 也就是说，NIST等机构的实际测试发现，大多数指纹扫描装备的实际准确率可能低于1/1500。尽管如此，这已经足够把偷手机的贼或者意外接触到设备的其他人挡在门外了。 匿名性不存在 另一方面，伯克利的研究表明，当VR用户挥动虚拟刀劈砍飞来的物体时，留下的运动数据可能比真实世界中的指纹更具身份识别能力。 这构成了严重的隐私风险，甚至可能彻底消灭在元宇宙中保持匿名的可能性。此外，还可以使用这些运动数据准确推断出关于用户的一系列个人特征，包括其身高、惯用手和性别。 在与虚拟和增强环境中经常被追踪记录的其他数据相结合后，这种基于运动的“指纹采集”方法将获得更高的精度。 运动数据是元宇宙的基础 针对此事，笔者邀请论文作者Nair对传统指纹和虚拟/增强环境下的运动数据这一“数字指纹”做出比较。 他这样描述相关风险，“在虚拟世界中四处走动时，基础运动数据会一刻不停地保持实时传输；这就像是在浏览传统互联网时，把自己的指纹随时共享给所访问的各个网站。其中的区别在于，网络浏览并不需要共享指纹，但运动数据流却是当前元宇宙环境的实现基础。” 为了真正理解这种基于动作的“数字指纹”中存在多大隐患，我们不妨假想这样的场景：未来用户会经常在虚拟和增强环境中购物。到那时，我们可能会在虚拟门店中浏览产品，也可能是在自己的居所内通过混合现实眼镜把新家具投射在真实的物理背景上。 伯克利的研究表明，这些常见动作对于每位用户都如同指纹一样独特。如果真是如此，我们也许可以将其称为“动作指纹”，就是说休闲购物者将无法在保持匿名的情况下访问虚拟门店。 那么，我们要如何解决这个固有的隐私问题？ 一种方法是在采集结果从用户硬件传往任何外部服务器之前，对运动数据作模糊化处理。遗憾的是，这意味着引入噪音，即在保护用户隐私的同时也降低身份运动的精度和灵活性，最终损害用户在各类虚拟现实应用中的体验。对很多人来说，用体验来换取匿名性可能并不值得。 另一种办法是制定合理的法规，防止元宇宙平台随时间推移不断存储和分析人类运动数据。这样的法规有助于保护公众，但执行起来很困难并可能引发行业倒退。 出于这些原因，伯克利的研究人员们正在探索更复杂的防御技术，希望借此掩盖物理运动中的独特特征，同时不影响用户在虚拟和增强世界中的灵活性。 笔者仍然贯彻长久以来的消费者保护理念，强烈建议并行探索所有方法，包括技术和政策等多种思路。 对个人隐私的保护不仅是用户的头等大事，也将决定整个行业的未来命运。毕竟如果用户无法安全放心地使用元宇宙，就不可能接受虚拟与增强环境成为其数字生活中的重要组成部分。 转自 安全内参，原文链接：https://mp.weixin.qq.com/s/2kq57ffECmeuFP9KxMzGxQ 封面来源于网络，如有侵权请联系删除

近日，趋势科技发现了一波新的攻击，目的是将PlugX远程访问木马伪装成一个名为x32dbg的开源Windows调试器工具进行传播。该合法工具允许检查内核模式和用户模式代码、故障转储及CPU寄存器。 经研究人员分析x32dbg.exe有一个有效的数字签名，因此它被错认为是安全的。这让攻击者能够逃避检测，保持持久性，提升权限，并绕过文件执行限制。 该RAT使用DLL侧面加载，如x32dbg调试工具（x32dbg.exe）时，恶意加载自身有效载荷DLL。 攻击者通过修改注册表和创建计划任务来实现持久性，即使在系统重新启动时也能保持访问。 专家报告说，x32dbg.exe被用来投放一个后门，一个UDP shell客户端，收集系统信息，收集主机信息，并创建一个线程来持续等待C2命令，并使用硬编码的密钥来解密C&C通信。 最后，报告总结说，尽管安全技术有所进步，但攻击者继续使用这种技术，因为它利用了对合法应用程序的基本信任。只要系统和应用程序继续信任和加载动态库，这种技术对于攻击者提供恶意软件和获取敏感信息仍然是可行的。     转自 Freebuf，原文链接：https://www.freebuf.com/news/358876.html 封面来源于网络，如有侵权请联系删除

本周，美国国防部的美国特种作战司令部 (USSOCOM) 展开了一项调查，此前有报道称，该部队有一个暴露的服务器正在在线泄露敏感但非机密的电子邮件。 据悉，USSOCOM 是国防部内的一个单位，负责在陆军、海军、海军陆战队和空军等军种中执行和监督特种作战。据率先报道泄密事件的TechCrunch 称，在过去两周被曝光后，该开放服务器于周一得到保护。 据 TechCrunch 称，暴露的服务器托管在微软的 Azure 政府云上，供国防部客户使用，该云使用与其他商业客户物理隔离的服务器，因此可用于共享敏感但非机密的政府数据。暴露的服务器是内部邮箱系统的一部分，该系统存储了大约 3 TB 的内部军事电子邮件，其中许多与美国特种作战司令部或 USSOCOM 有关。 该服务器充满了可追溯至多年前的内部军方电子邮件信息，其中一些包含敏感的人事信息。其中一份暴露的文件包括一份完整的 SF-86 问卷，由寻求安全许可的联邦雇员填写，其中包含高度敏感的个人和健康信息，用于在个人获准处理机密信息之前对其进行审查。这些人员调查问卷包含大量关于对外国对手有价值的安全许可持有人的背景信息。 USSOCOM 是负责执行特种军事行动的美国军事单位。这意味着互联网上的任何人都可以通过服务器的 IP 地址访问数据。美国特种作战司令部发言人肯麦格劳周二告诉 TechCrunch，没有迹象表明有人入侵了该单位的信息系统。 美国网络司令部发言人向 The Hill 发送了以下声明： “出于实践和操作安全的考虑，我们不会对我们的网络和系统的状态发表评论。我们的防御性网络运营商主动扫描和缓解他们管理的网络。如果在这些常规操作中发现任何事件，我们将全面缓解、保护和捍卫我们的网络和系统。如果合适，任何信息或见解都会与相关机构和合作伙伴共享。” 据报道，安全研究员阿努拉格·森 (Anurag Sen) 在周末发现了开放服务器，并通知了新闻机构，后者随后通知了该机构。     转自 E安全，原文链接：https://mp.weixin.qq.com/s/sua7v35oIr3Cj4rRxWYHfw 封面来源于网络，如有侵权请联系删除