安全内参5月27日消息，对于希望在部门内部署5G无线通信项目的联邦官员，这份最新发布的安全指南将帮助他们考量最重要的“运营授权”流程。 《5G安全评估》（5G Security Evaluation）指南由美国国土安全部（DHS）网络安全与基础设施安全局、国土安全部科技司、国防部（DoD）研究与工程司共同牵头，指派研究小组负责具体制定。 文件指出，“重要的是，政府应采用灵活、自适应且可重复的方法对任何5G网络部署的安全性和弹性做出评估。此外，具体评估可能需要在现行联邦网络安全政策、法规和最佳实践之外更进一步，以解决已知攻击向量、尚未发现的威胁和特定实施中存在的漏洞。” 整理评估方案的官员强调，这份指南并非新的安全要求或框架。相反，它只是为各级机关的5G系统评估工作，特别是评估其安全水平是否符合生产要求，制定出一个五步走流程。整个流程与美国国家标准、技术风险管理框架等现有评估机制挂钩。 网络与基础设施安全局网络质量服务管理办公室主管Vincent Sritapan在采访中表示，“我们经常面对各种各样的应用场景：用于训练的AR/VR，提供数据存储与分析功能的智能湖仓等。但关键在于，必须找到一种通行的方式来看待问题并理解政策。我们并不是要重新构建评估机制，而是立足于现有成果，比如风险管理框架。” 图：5G子系统面临的威胁 各级机关都希望能在未来几年内将5G系统部署落地，因此安全评估工作就成了通信升级的关键。作为联邦首席信息安全委员会授权负责发现常见无线与移动问题、开发解决方案并分享最佳实践的专项团队，联邦移动工作组（Federal Mobility Group）曾在2020年发表论文，确定了政府内60多项与5G技术相关的举措，其中包括数十项研发计划。 与其他新兴技术一样，在将5G引入生产环境之前，各团队必须首先获得运营授权（ATO）。此次发布的评估指南，就是以专项测试与传统运营授权流程为基础，面向5G技术提供评估调查指引。 Sritapan表示，“很多人单纯关注功能本身。他们可能会想，「太棒了，我想在技术新鲜出炉后立马用上。」但在摸清风险之前，大家不宜轻举妄动。换句话说，在把5G用例纳入业务的同时，我们又增添了哪些风险？” 5G安全评估的五个阶段 这个五步走评估流程的第一步是定义5G用例，包括5G系统、子系统及属性等关键参数。 美国国防部5G to NextG倡议的运营部分负责人Dan Massey在采访中指出，这个流程将帮助各级机构考量5G系统的复杂性，包括最终用户设备、无线接入网络、5G核心网络和边缘计算系统等。 Massey还提到，“该流程将帮助大家确定系统组件的风险级别、系统边界、已知指导方针等，避免从零开始自行摸索。” 第二步，定义安全评估的边界。考虑到5G技术极高的复杂性和相互关联性，这一部分可能会极具挑战。 Sritapan解释道，“要使用专用网络吗？是否包含云系统？作为边界的组成要素，应该选择怎样的端点和技术应用接口？” 第三步，要求对各个5G子系统开展“高级威胁分析”，并进一步确定安全要求，如是否采用身份、凭证和访问管理控制或网络安全控制等。 第四步，要求同联邦指导方针和行业规范相匹配，包括与美国国家标准技术研究所网络风险管理框架（NIST RMF）、联邦信息流程标准及其他相关指南挂钩。 第五步，评估安全指导方针中存在的差距。如果联邦指导意见确实存在差距，文件要求项目主管应求助于“由商业或贸易团队建立的行业认证、安全保障计划，或者其他最佳实践评估框架。”但文件同时强调，在采用这些方法之前，务必“认真”进行研究权衡。 Massey总结道，“我们不会引入全新的流程或指令。相反，我们认为现有方案已经够多，最重要的是把新流程跟现有指导方针匹配起来。当然，在实施过程中难免会发现差距。但大多数情况下，只要我们能够充分理解自身安全要求，就完全可以把新流程与原有指导意见联系起来。这里我想呼吁那些打算部署5G系统的同仁，这绝不是什么庞大、可怕、前所未见的事物。只要按照这份流程有序推进，大家就会发现它跟以往的工作没多大区别，基本原理也并不难理解。”   转自 安全内参，原文链接：https://www.secrss.com/articles/42887 封面来源于网络，如有侵权请联系删除

2022年6月6-9日，RSA Conference 2022将在美国旧金山召开。作为全球网络安全行业一年一度的盛宴，RSAC大会被誉为安全界的“奥林匹克”，是网络安全的重要风向标之一。 自1991年举办首届大会以来，RSAC大会即将迈入第31个年头，会议规模也从一个小型的密码学论坛，发展成如今的全球安全顶级信息安全大会，吸引着全球网安企业、大咖、极客和优秀创业者共聚一堂。 其中最吸引眼球的莫过于RSAC创新沙盒大赛，被誉为是网络安全行业技术创新的代表方向，也是资本投资的重点关注对象，吸引着全球网安产业的目光。 此前RSAC官方已经公布了创新沙盒10强名单，它们分别是Araali Networks、BastionZero、Cado Security、Cycode、Dasera、Lightspin、Neosec、Sevco Security、Talon Cyber Security和Torq，涉及云原生安全、接入安全、软件供应链安全、数据治理、API安全和安全运营多个赛道。 纵观历届RSAC大会，创新沙盒大赛的胜出者基本都得到了资本的追捧，被誉为网络安全行业的“未来之星”。 RSA Conference副总裁Linda Gray Martin也曾公开表示，RSA创新沙盒大赛被普遍认为是初创公司的跳板。自2005年以来，大赛的10强公司已总共完成69次收购，获得98亿美元投资。在过去两年中，已有两家10强公司，SentinelOne (2015年) 和 SumoLogic（2012年）完成IPO。 而在本次公布的10强名单中，Cado Security、Cycode、Dasera、Talon Cyber Security等多家企业在2021年就已经初现峥嵘，是年度炙手可热的网络安全初创企业。 2022年6月6日，这10家初创公司将向全球观众展示他们在网络安全行业上的技术创新。那么，哪家企业能够成为最后赢家，哪条赛道又将迎来新一轮的火热？ 欢迎各位读者讨论、预测，看谁能押中最后的王者。 创新沙盒10强初步介绍 为了让读者更好地了解RSAC 2022创新沙盒10强公司，FreeBuf特对该10强企业进行简要梳理和分析，仅供大家参考，如下图所示： （数据来源：奇安投资） Araali Networks Araali Networks成立于2018年，是一家为云原生环境提供威胁管理解决方案的公司，2020年获得了种子轮投资，可对威胁进行检测和拦截。在云原生环境中，Araali安装了一个分布式跟踪和执行模块作为Kubernetes守护程序集。策略会跟随应用程序的生命周期，而不是永久地运行在基础设施上。 这点与sidecar的模式相似，但是Araali基于高性能的eBPF实现，不需要将能力重新定向到sidecar中，从而降低系统开销。在eBPF技术支撑下，用户可以在自己的私有虚拟云中制定某个身份能够执行的动作，从而防止恶意代码建立后门或进入服务器。 BastionZero BastionZero成立于2019年，最初是一家区块链安全公司，受新冠疫情影响后业务重心转向了基础设施访问控制安全，成为一家云服务提供商，可为工程团队建立进入服务器、集群、数据库等基础设施的“零信任”机制， BastionZero可与访问目标进行集成，现阶段通过Web应用程序或zli（BastionZero的命令行界面）可以为远程主机、数据库、Kubernetes 集群和Web服务器提供零信任基础设施访问服务。公司在设计过程中使用了创新型加密协议，可保证网络攻击即使能够瘫痪公司提供的服务，也不会对用户的基础设施造成影响。 Cado Security Cado Security 是一家云原生网络取证和响应平台提供商，成立于2020年4月旨在为安全团队提供更智能、更快速的方式来调查和响应云中的网络安全事件。该公司成立不久便获得150万美元种子轮融资，2021年又获得1000万美元A轮融资。 代表产品Cado Response 是一个无代理的云原生数字取证平台。平台支持通过跨多云环境、临时容器、无服务器环境和本地系统进行事件响应取证调查。通过其自动化数据捕获和处理能力，可以轻松为安全团队提供取证级别的详细信息和前所未有的上下文搜索，以消除云调查的复杂性。 Cycode Cycode成立于2019年，专注于软件供应链安全，开发了业界首个源代码控制、检测和响应平台，并于2021年11月完成了5600万美元的B轮融资。Cycode提供一套完整的软件供应链安全解决方案，可保护软件开发生命周期各个阶段的可见性、安全性和完整性。 2021年5月，该公司发布了自己的知识图谱，Cycode通过与DevOps工具和基础设施提供商集成，使用一系列扫描引擎查找硬编码机密、代码错误配置、代码泄露等安全问题来降低SDLC各阶段的安全风险。 Dasera Dasera成立于2019年，是一家引领数据治理与运维的公司，成立当年即获得300万美元融资，并于2021年再次获得600万美金种子轮融资。至今共获得CRN的“十大最热门云安全初创公司”、2022年网络安全卓越奖云上数据安全金奖等在内的15个奖项。 Dasera通过紧密联动企业的安全团队、数据团队和合规团队，并持续自动监控上下文和执行数据治理策略，为企业存储于云上的数据提供全生命周期的防护，实现敏感数据的安全使用，同时可向员工提供更多数据库授权，应对大规模数据保护的挑战。 Lightspin Lightspin公司成立于2020年成立当年获得了400万美元的种子轮融资，2021年获得1600万A轮融资。公司提供了一个基于图表的云原生应用程序保护平台 (CNAPP)，该平台可以识别、确定优先级并修复云堆栈中的攻击路径。同时还可以减少DevOps和安全团队保证云服务平台安全性所需要的时间、成本及资源。公司可在不同安全问题之间建立联系，并对编译、执行以及操作过程中最重要的关键问题进行确定及修复。 Sevco Security Sevco Security成立于2020年，是一家提供网络安全服务和产品的公司。目前已经过两轮融资，总金额超过2千万美元。2020年9月17日，Sevco被Welp Magazine 评选为网络安全领域50家最佳初创公司之一。 Sevco Security核心产品Sevco资产管理平台，可通过集成现有资产管理平台的资产清单，对多源资产管理软件的数据融合，建立更全面的资产库，以识别企业网络中的脆弱资产，从而实时跟踪资产库中资产状态变化情况。 Talon Cyber Security Talon Cyber Security是为分布式劳动力（远程办公）提供网络安全解决方案的提供商，目前已经过两轮融资，总金额4300万美元。作为下一代解决方案提供商，Talon旨在抵御分布式工作带来的新型威胁。 该公司通过向企业提供专有安全浏览器，达到优化安全项目以及提升用户对混合工作体验的目的。Talon的主打产品是一款面向企业的安全浏览器TalonWork。TalonWork浏览器可为用户提供深度安全可见性以及SaaS应用的控制，以求简化未来工作对安全的需求。 Neosec Neosec公司可通过XDR技术对API进行保护，重塑了应用安全的保护能力。公司的SaaS平台可保证专业安全人员对所有API活动实现可视化监控，同时对其进行分析，阻止潜伏其中的威胁。 Torq Torq公司可为安全团队提供一个无代码自动化平台。该平台的无限制连接能力、拖放式编辑功能以及数百个模板，可完成任何处理的自动化。安全团队无论来自大型企业还是初创公司，都可以在Torq公司帮助下减少工作的复杂性，最大化的保障网络安全。 云原生安全赛道迎来爆发？ 看完RSAC 2022创新沙盒大赛10的相关介绍，我们会发现一个非常有意思的现象：在这10家公司中，有4家参赛企业选择了云原生安全细分领域，这在历届RSAC创新沙盒大赛中都比较少见。 正如上文所说，RSAC创新沙盒大赛代表着技术创新的发展方向，那么是否意味着云原生安全将会是接下来最有前景的细分领域？ 笔者对此表示赞同，随着云计算的广泛发展和应用，云原生安全必将迎来全面的爆发增长。 近年来，云原生技术发展势头极为迅猛，已有烽火燎原之势。这里先看几组数据。 据信通院发布的《云原生发展白皮书（2020）》数据显示，2019 年我国云原生产业市场规模已达350.2亿元，同时还指出，云计算的拐点已至，云原生成为驱动业务增长的重要引擎。 而根据Gartner的预测，到2025年，云原生平台将成为95%以上的新数字化计划的基础，而在2021年这个比例不到40%，云原生还有着极大的发展空间。 2022年，火山引擎联合IDC发布的《原生云应用 企业创新路》云原生白皮书指出，越来越多的中国企业开始接受云原生开发方式，采用云原生技术的中国企业已有接近50%将云原生技术应用到生产环境的核心和次核心系统，83%的企业未来两年将加大对云原生的投入。 值得一提的是，这两年由于疫情反复，我国疫情防控措施日渐趋严，很多企业被迫远程办公。此时，云原生技术让小程序和SaaS应用快速上线，让更多的政府机构和企业体验到了云原生技术的价值。 由于安全存在一定的滞后性，伴随着云原生的快速发展和应用，云上安全威胁也在快速增加。2022年，《Sysdig 2022年云原生安全和使用报告》发布并指出，越来越多的企业步入了云原生化的进程，然而由于很多已经使用云原生技术的企业急于求成，这也为后续运行埋下了不少的安全隐患。 众所周知，面对云原生应用的规模扩展以及快速变化，基于边界的传统安全保障已经显的力不从心。此时，云原生安全的作用开始凸显。作为一种新兴的安全理念，云原生安全不仅解决云计算普及带来的安全问题，更强调以原生的思维构建云上安全建设、部署与应用，推动安全与云计算深度融合，是解决云原生问题的最佳选择。 另一方面，经过几年的发展和实践，云原生安全也有了明显的进步。 Gartner曾提出三大云原生安全管理工具，分别是CWPP、CSPM和CASB。 其中，CWPP是对云工作负载进行保护，是对数据面的安全防护。随着云工作负载保护在云计算中重要性不断提升，CWPP已经可以和终端安全防护EPP扳手腕，也是目前国内很多安全厂商的重点发力方向。 而3CSPM是聚焦控制面的安全属性，包括配置策略和管理工作负载、DevOps集成、保障调用云运营商API完整性等。而CASB是专注于SaaS安全，为企业提供对SaaS使用情况的可视性和安全控制，随着云原生技术的发展，CASB在企业内的使用率将进一步上升。 除上述内容以外，自2020年以来，云原生安全技术又有了新的变化方向，那就是云原生应用保护平台（CNAPP），也是创新沙盒10强之一的Lightspin公司目前正在做的方向。 2021年Gartner发布的云安全技术成熟度曲线增加了CNAPP，其最大的优势在于可集成了多个云原生安全工具和数据源，同时还具备强大自动化和编排能力，通过实现标准化和更深层次的防御，以提高安全性；以及允许更频繁地访问工作负载。 随着我国数字化转型如火如荼地进行，以及东数西算工程的启动，上云已经成为企业必须的选择，此时因云而生的应用、技术大量落地，云原生基础设施不断完善的同时，也迫切需要一套云原生安全运维和治理的手段。 这也让云原生安全迎来了大爆发的契机，并将引领下一个云安全时代。   转自 FreeBuf，原文链接：https://www.freebuf.com/news/334473.html 封面来源于网络，如有侵权请联系删除

图：研究团队主要成员、布朗大学工程学教授Daniel Mittleman 研究人员发现，利用办公纸、喷墨打印机、金属箔转印机和层压机等设备，可在短短五分钟内制造出足以窃听某些6G无线信号的工具； 这项研究打破了无线通信行业中普遍存在的一种误解，即高频信号天然安全。 安全内参消息，由美国计算机协会组织的无线与移动安全/隐私年度会议，ACM WiSec 2022大会即将于本周在圣安东尼奥举行。美国莱斯大学及布朗大学的工程研究人员将在大会上展示，首次发现的针对6G网络的安全漏洞和攻击手法。 研究共同作者、莱斯大学电气与计算机工程系教授Edward Knightly表示，“意识到未来威胁的存在，是应付这种威胁的第一步。虽然易受攻击影响的频段尚未实际使用，但使用之期已经不远，我们必须做好准备。” “中间超颖表面”攻击 在研究当中，Knightly和布朗大学工程学教授Daniel Mittleman及其同事发现，恶意黑客可以轻松制作出一张覆盖有2D箔符号的办公纸（相当于一种超颖表面），并借此重新定向在两个用户之间传输的一部分150 GHz“笔形波束”。 他们将这种攻击方法称为“中间超颖表面”（Metasurface-in-the-Middle），既描述了工具本身的性质，也体现出其使用方法。 “超颖表面”器材是一种具有特定图案设计的薄膜材料，能够操纵光波或电磁波的传输方向。 “中间”则代表计算机安全行业做出的攻击分类，指恶意黑客秘密介入到通信双方之间。 150 GHz频率高于当前5G蜂窝或Wi-Fi网络中使用的频率。但Knightly表示，无线电信运营商计划在未来十年内推出采用150 GHz或类似频率的新服务，并称其为太赫兹波或毫米波技术。 Knightly解释道，“下一代无线通信将使用高频段与笔形波束来支持虚拟现实、自动驾驶汽车等宽频带应用。”在ACM WiSec大会上，Knightly将与共同作者、实验室研究生Zhambyl Shaikhanov一起介绍这项成果。 具体攻击过程 在此次实验中，研究人员用Alice和Bob来指代被黑客入侵的通信两方，这个窃听者则被称为Eve。 为了实施攻击，Eve首先设计了一个超颖表面，借此将部分窄波束信号衍射到自己的所在位置。在演示中，研究人员设计了一种带有数百行开环的图案。这些开环形似字母C，但彼此间又有所差异，其开口方向和大小各自不同。 Shaikhanov介绍称，“这些开口和方向，就是为了让信号能够按Eve的设计朝着特定方向衍射。在设计出超颖表面之后，Eve就可以在普通的激光打印机上将图像打印出来，之后再使用一种烫印制作技术。将金属箔放在打印好的纸上，送入层压机，热量和压力就会让金属和碳粉结合起来。” Mittleman和另一位共同作者、布朗大学博士后研究员Hichem Guerboukha已经在2021年的一项研究中表明，热冲压方法可以制造出共振频率高达550 GHz的开环超颖表面。 Mittleman指出，“我们开发的这种方法降低了超颖表面的制造难度，可以帮助研究人员快速、廉价地测试多种不同设计。但与此同时，这也拉低了窃听者们为非作歹的门槛。” 打破高频通信安全迷信 研究人员们表示，他们希望这项研究能消除无线通信行业中普遍存在的一种误解，即高频信号天然安全。 Shaikhanov强调，“总有人说毫米波频率「隐蔽」且「高度机密」，拥有「良好的安全性」。其实这种观点可以理解，毕竟「只要波束足够窄，就没人能物理介入到发射端到接收端之间来窃听信号。」但我们用研究证明了，Eve这边不用介入到中间也能发动攻击。” 研究表明，Alice或Bob两端目前很难检测出这种攻击。虽然超颖表面仍须被放置在Alice和Bob之间，但Knightly提到“它可能被隐藏在环境当中，例如混进纸张当中。” Knightly还认为，现在无线研究人员和设备制造商都知晓了这种攻击方法，因此可以开展进一步研究，开发出针对性的检测系统并整合到太赫兹网络当中。 Knightly强调，“如果我们能在互联网诞生的第一天就预见到拒绝服务攻击对Web服务器的巨大破坏，肯定会在设计上做出些调整。相比之下，先构建->等待攻击发生->之后再尝试修复这样的被动循环，显然要比安全预设计昂贵得多。” “毫米波频率和超颖表面都是新技术，都将给通信产业开辟出新的道路。但面对任何一种新的通信能力，我们首先应该问，「如果对手控制了这项技术，该怎么办？他们会因此获得哪些前所未有的新能力？我们又该如何建立起足以抵挡强大对手的安全网络？」” 注：这项研究得到了思科、英特尔、美国国家科学基金会、美国陆军研究实验室的资助。   转自 安全内参，原文链接：https://www.secrss.com/articles/42787 封面来源于网络，如有侵权请联系删除

2019年底，澳大利亚新南威尔士州(NSW)政府推出了数字驾照。新执照允许人们在路边警察检查时或在酒吧、商店、酒店和其他场所使用他们的iPhone或Android设备来展示身份和年龄证明。这个被政府称为ServiceNSW的服务承诺–跟公民使用了几十年的塑料驾驶执照相比，数字版将提供额外的安全和保护进而防止身份欺诈的发生。 现在，在经过30个月时间的检阅之后，安全研究人员指出，几乎任何人都可以利用数字驾照(DDL)伪造假身份。该技术允许未到饮酒年龄的人改变他们的出生日期并允许欺诈者伪造假身份。这个过程只需不到一个小时且无需任何特殊的硬件或昂贵的软件，另外还能生成通过警察和参与场所使用的电子验证系统检查的假身份证。 发现这些缺陷的研究员Noah Farmer在上周发表的一篇文章中写道：“明确地说，我们确实相信，如果数字驾照通过实施更安全的设计而得到改进那么代表ServiceNSW所作的上述声明确实是真实的，而且我们会同意，跟塑料驾照相比，数字驾照将提供额外的安全水平以防欺诈。” 他继续写道：“当毫无戒心的受害者扫描欺诈者的二维码时，一切都会检查出来，受害者不会知道欺诈者将他们自己的身份照片跟某人被盗的驾驶执照细节相结合。然而就过去30个月的情况来看，DDL使‘恶意用户有可能以最小的努力在已越狱和未越狱的设备上生成（一个）欺诈性的数字驾照，而无需修改或重新包装移动应用本身。” 据悉，DDL需要一个iOS或Android应用以显示每个人的凭证。同样的应用允许警察和场所验证凭证是否真实。应用中旨在确认ID是真实的和当前的功能包括： 模拟的NSW政府logo； 显示最后刷新的日期和时间； 一个过期和重新加载的QR码； 一个在手机倾斜时移动的全息图； 一个跟执照照片相匹配的水印； 无需滚动的地址地址。 而克服这些保障措施的技术居然出奇得简单，关键就是能暴力破解加密数据的PIN码。由于它只有四位数，只有一万种可能的组合。使用公开的脚本和一台商品电脑有人就可以在几分钟内学会正确的组合。 一旦欺诈者获得了某人的加密DDL许可证数据–无论是通过许可还是通过窃取存储在iPhone备份中的副本或通过远程妥协–蛮力使他们有能力读取和修改存储在文件中的任何数据。 以下为在iPhone上的精确操作步骤： 使用iTunes备份，复制存储有欺诈者想要修改的凭证的iPhone内容； 从存储在电脑上的备份中提取加密文件； 使用暴力软件来解密该文件； 在文本编辑器中打开文件，修改出生日期、地址或其他他们想要伪造的数据； 重新加密该文件； 将重新加密的文件复制到备份文件夹中； 将备份恢复到iPhone上。 这样一来，ServiceNSW应用就会显示假身份证并将其作为真品显示。   转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1273481.htm 封面来源于网络，如有侵权请联系删除

根据Microsoft 365 Defender 研究团队5月23日发表的研究文章，安全人员最近观察到使用多种混淆技术来避免检测的网页掠夺（Web skimming）攻击。这些攻击大多被用来针对电商等平台以窃取用户支付凭证。 网页掠夺攻击 网页掠夺通常针对 Magento、PrestaShop 和 WordPress 等底层平台，这些平台因其易用性和第三方插件的可移植性而成为在线电商网站的热门选择。但这些平台和插件带有漏洞正被攻击者利用。 掠夺攻击示意图 攻击者通过在 PHP 中编码来混淆略读脚本（skimming script），然后将其嵌入到图像文件中，通过这种方式，代码在加载网站的索引页面时执行。安全人员还观察到注入恶意 JavaScript 的受感染 Web 应用程序伪装成 Google Analytics 和 Meta Pixel脚本。一些浏览脚本还包括反调试机制。 在某个场景下，当用户在网站结帐页面继续输入他们的信用卡或借记卡详细信息以支付所下订单时，攻击代码将被激活。在该页面的表格上键入的任何内容都会被窃取并发送给攻击者，然后攻击者使用这些详细信息进行在线购买或将数据出售给他人。 隐蔽的攻击手法 微软的分析师报告称，目前三种十分隐蔽的攻击手法的使用正有所增加，分别是：在图像中注入脚本、字符串连接混淆和脚本欺骗。 图像注入脚本：内含base64 编码 JavaScript 的恶意 PHP 脚本，以图像文件的形式伪装成网站图标上传到目标服务器，能在识别出结账页面的情况下运行。 字符串连接混淆：获取托管在攻击者控制的域上的浏览脚本，以加载虚假的结帐表单，该域是 base64 编码并由多个字符串连接而成。 脚本欺骗：将浏览器伪装成 Google Analytics 或 Meta Pixel ，将 base64 编码的字符串注入到欺骗性的 Google 跟踪代码管理器代码中，诱使管理员跳过检查，认为这是网站标准代码的一部分。 防范网页掠夺 微软提醒，鉴于攻击者在攻击活动中采用越来越多的规避策略，企业组织应确保其电商平台、CMS 和已安装的插件是最新版本，并且只下载和使用来自受信任来源的第三方插件和服务。此外，还必须定期彻底检查其网络资产是否存在任何受损或可疑内容。 对于用户而言，应当开启防病毒程序，在结账过程中，注意付款细节，对弹出的可疑窗口提高警惕。   转自 Freebuf，原文链接：https://www.freebuf.com/news/334211.html 封面来源于网络，如有侵权请联系删除

国家网络武器终将在暗网扩散，这一进程难以逆转。 图：国际刑警组织秘书长Jurgen Stock 国际刑警组织秘书长Jurgen Stock警告，由国家开发的网络武器会在“几年”后出现在暗网上； 他呼吁商界领袖加强与政府及执法部门的合作，上报网络安全事件，明晰威胁态势。 国际刑警组织高级官员警告称，军方在网络战中使用的数字工具，最终有可能落入恶意黑客手中。 国际刑警组织秘书长Jurgen Stock表示，他担心由国家开发的网络武器会在“几年”后出现在暗网上。所谓暗网，是指互联网上的一个隐藏部分，无法通过谷歌等搜索引擎直接访问。 周一（5月23日），在瑞士达沃斯举行的世界经济论坛上，Stock提出，“这已经成为现实世界中的一大主要问题——战场上使用的武器逐渐落入有组织的犯罪团伙手中。” 他还补充道，“数字武器也不例外。也许当前由军方开发使用的数字武器，明天就会被恶意黑客所利用。” 网络武器分为多种形式，其中可用于锁定目标计算机系统迫使受害者支付赎金的勒索软件，已经成为关键。长期以来，网络战一直是全球政府关注的焦点，并在此次俄乌战争中再次吸引整个世界的目光。 俄罗斯多次被归因指责，在俄乌战争前期先向乌克兰发动多次网络攻击。不过俄罗斯政府一直否认此类指控。与此同时，乌克兰得到了世界各地志愿黑客的支援，协助其应对俄罗斯的攻击。 Stock呼吁商界领袖加强与政府及执法部门的合作，确保更行之有效地监管网络犯罪。 他表示，“一方面，我们需要把握当前态势；而另一方面，我们需要私营部门数据的支持。” “我们需要企业的网络泄露报告。没有这些报告，我们将无法看到威胁形势。” Stock说，目前“大量”的网络攻击未被上报。“这不仅仅是执法部门要求我们打通的组织与信息孤岛，更是我们需要弥合的现实差距。” 根据世界经济论坛《全球网络安全展望》报告，2021年全球网络攻击数量增加了一倍以上。报告称，勒索软件仍是当下最流行的攻击类型，各受访组织每年平均被攻击270次。 参与讨论的企业高管和政府官员表示，网络安全事件正在令关键能源基础设施和供应链面临风险。 工控安全公司Dragos联合创始人兼CEO Robert Lee也敦促企业关注现实威胁场景，例如2015年由俄罗斯支持的对乌电网攻击，而非一味假设风险场景。乌克兰已经在今年4月成功抵挡住一次类似的能源基础设施破坏企图。 Lee总结道，“我们的问题用不着‘下一代’AI、区块链或者其他技术来解决。我们的问题在于，很多已经投资并开发完成的成果仍未得到实际应用。”   转自 安全内参，原文链接：https://www.secrss.com/articles/42740 封面来源于网络，如有侵权请联系删除

在刚刚过去的 2021 年，勒索软件依然是网络攻击的主角。相比较窃取数据，攻击者更愿意通过锁定数据收取赎金来牟利。根据 Verizon 的 2022 年数据泄露调查报告，勒索软件攻击（涉及恶意代码扰乱受害者计算机上的数据）今年增加了 13%，相当于过去五年的总和。 这是 Verizon 的第 15 次年度报告。研究人员分析了来自 5212 起勒索事件和 23896 起安全事件的数据。相比之下，Verizon 在 2008 年的第一份报告着眼于三年期间的 500 起事件。 在接受 CNET 采访的时候，该研究的主要作者之一亚历克斯·平托（Alex Pinto）表示：“这是一段非常疯狂的旅程”。他补充说，在 2008 年，没有人真正想过要量化和衡量网络攻击。 由于 Colonial Pipeline 和 JBS USA 等公司被攻击，勒索软件在 2021 年成为头条新闻。管道运营商和肉类加工商都支付了相当于数百万美元的费用来解锁他们的数据，但他们的业务关闭导致了恐慌性购买以及天然气和肉类价格的飙升。 Pinto 表示在 15 年前，勒索软件还是非常小众。这种攻击方式直到 2008 年才开始崛起，到 2013 年已经受到了各界关注。 Pinto 表示如今，许多网络犯罪分子发现，他们可以通过锁定公司数据而不是窃取数据进行财务欺诈或身份盗窃，从而以更少的工作赚更多的钱。他说，尽管数据盗窃案件仍然存在，但出售窃取的信息会增加网络攻击者的时间和风险。 无论是勒索软件攻击还是数据泄露，人类仍然是攻击的薄弱环节。在过去的 15 年中，涉及网络犯罪分子说服人们下载恶意软件或交出凭据的社会工程的使用已从违规总数的 10% 上升到 25%。   转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1273281.htm 封面来源于网络，如有侵权请联系删除

Mozilla刚刚发布了一个新的Firefox浏览器版本，这次的小改版在安全方面却并不小。新的更新使浏览器达到了100.0.2版本，包括两个关键的安全修复。Mozilla已经将这两个安全修复标记为严重等级，它们是由趋势科技的零日计划的研究员Manfred Paul报告的，建议大家尽快安装。 下载地址： http://ftp.mozilla.org/pub/firefox/releases/100.0.2/ 第一个漏洞涉及顶级审计实施中的一个原型污染。 Mozilla说：”如果攻击者能够通过原型污染破坏JavaScript中Array对象的方法，他们就可以实现在特权环境下执行攻击者控制的JavaScript代码。” 第二个漏洞被记录在CVE-2022-1529中，是一个用于Javascript对象索引的不可信任的输入，Mozilla说它也导致了原型污染。 “该公司说：”攻击者可能向父进程发送一条消息，其中的内容被用来对一个JavaScript对象进行双重索引，导致原型污染，最终在有特权的父进程中执行攻击者控制的JavaScript。” 如前所述，建议所有用户尽快更新到最新的Firefox版本，特别是考虑到安全问题。 第三方统计数据显示，Google Chrome浏览器是市场上的头号选择，市场份额接近70%，亚军目前是由微软Edge拥有，而Firefox浏览器是市场上唯一的具有较大影响力的非Chromium浏览器。 转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1272291.htm 封面来源于网络，如有侵权请联系删除

为解决开源软件安全这项特殊的挑战，近期，科技大厂、开源社群与美政府持续商讨，如今已有具体行动，在两次峰会举办之后，《开源软件安全动员计划白皮书》正式发布，首年投入经费将达6,840万美元，次年为7,950万美元。 面对开源软件安全的议题，全球都在关注，如今美国政府与科技巨头正积极采取行动，希望能改善相关风险。今年1月，美国白宫曾举行开源软件安全峰会，邀请多家科技巨头，商讨这个独特的安全挑战，近期，5月中旬二度举办开源软件安全峰会，这场会议，由Linux基金会与开源安全基金会（OpenSSF）召开，集结37家科技巨头的高层主管，以及美国白宫等多个联邦机关官员，共90人参会，这次会议不仅达成很多的共识，并具体指出将解决开源软件的十大挑战，同时这些科技巨头也承诺，在未来两年内，将投入1.5亿元经费解决相关问题。 值得一提的是，这次会议的召开时间可以说是别具意义，去年同一时间，美国总统拜登签署了一份改善国家网路安全的行政命令EO 14028中，就包括了提高开源软件供应链的安全。 参与这次会议的成员，来自多个重量级行业从业者，包括亚马逊、谷歌、微软、威睿、戴尔、英特尔、摩根大通、GitHub等，同时也有多个美国政府机关的官员出席，包括来自美国白宫、美国国家安全委员会（NSC）、美国网路安全及基础设施安全局（CISA）、美国国家标准暨技术研究院（NIST）、白宫网路主任办公室（ONCD）、能源部（DOE）与美国行销管理和预算局（OMB）的官员。这样的组合，其实也显现出开源社群、科技巨头，以及美国联邦政府之间加强合作的态势与重要性。 面对开源软件安全议题，聚焦解决10大问题 该如何改善开源软件安全？Linux基金会与开源安全基金会在收集多方意见后，现已发布首个广泛解决开源软件安全的计划项目，名为”开源软件安全动员计划”（The Open Source Software Security Mobilization Plan），当中最受关注的焦点就是，不仅详细说明解决开源软件的3大议题与10大问题，也公布解决各项问题将投入的经费。 基本上，在首次开源软件安全峰会上，当时讨论了3个主要目标，包括：首先，确保开源软件生产的安全，重点放在防止程式码与开放原始码套件（Open Source package）的缺陷与漏洞；其次，改善漏洞发现与修补；最后，缩短整个生态体系的修补应变时间。 如今，随着第二次开源软件安全峰会的召开，现已进一步总结出开源软件十大问题，分别是：（一）安全教育、（二）风险评估、（三）数位签章、（四）记忆体安全、（五）资安应变、（六）强化扫描能力、（七）程式码稽核、（八）资料分享、（九）软件物料清单SBOM，以及（十）供应链改善。 具体而言，以确保开源软件生产安全的目标而言，在安全教育面向，透过教育与认证让所有人提升安全软件开发的水准；在风险评估面向上，为最热门的1万个或更多开源软件元件建立一个公开、中立且基于客观指标的风险评估仪表板；在数位签章方面，加速软件发布采用数位签章；在记忆体安全方面，透过替换「不具记忆体安全（non-memory-safe）」的程式语言，来消除许多漏洞的根源。 针对改善漏洞发现与修补的目标而言，在网安应变方面，强调建立OpenSSF开源安全事件回应小组，网安专家可在应对漏洞了解关键时刻介入协助开源项目；在强化扫描能力面向，透过进阶的安全工具与专家指引，加速开源项目维护者与专家对新漏洞的发现；在程式码稽核方面，每年将针对两百多个关键的开源软件元件，进行一次第三方程式码审查以及必要的修补工作；在资料分享方面，将协调所有产业共享相关资料，帮助确定出最关键的开源软件元件并改善研究。 以缩短整个生态体系的修补应变时间的目标而言，在软件物料清单方面，将改善SBOM工具，并且推动这类工具的培训与采用；在供应链改善方面，将运用更好的供应链安全工具与最佳实践，来强化10个最关键的开源软件开发系统、套件管理器与部署系统。 特别的是，这次计划已确定改善这十大问题的投入经费，其中，对于「强化扫描能力」一项的首年投入金费最高，达1,500万美元，后续每年投入1,100万美元，「程式码稽核」的首年投入金额也达1,100万美元，后续每年将投入更多，达4,200万美元。 整体而言，为解决这十大问题，这项计划的首年投入经费将达到6,840万美元，次年将为7,950万美元。 目前，在这1.5亿美元的经费中，已由亚马逊、爱立信、谷歌、微软、威睿共同认捐超过3,000万美元，作为此计划的前期资金。 自今年一月白宫召开开源软件安全峰会后，近日Linux基金会与开源安全基金会（OpenSSF）二度召开此会议，同时发布了开源安全动员计划白皮书，具体商讨出强化开源软件安全需解决10大问题。 美国解决开源软件安全十大问题的经费配置 Linux基金会，iThome整理，2022年5月 在开源软件安全动员计划白皮书中，针对解决开源软件安全的10大问题，都提供了详细的说明。以第一项安全教育而言，当中指出，从历史上看，传统的软件工程课程很少关注、强调，或是通过良好的网络安全教育与安全Coding技术的重要性。因此，OpenSSF提出了以下多管齐下的方法来解决这个问题，包括：收集与策划内容、扩大培训，以及并奖励与激励开发者。同时，白皮书中也具体拟定出各项问题所需花费的预算。这十项内容均值得国内思考。 转自 E安全，原文链接：https://mp.weixin.qq.com/s/FGgMo_pk2GrFENBv-LfGIw 封面来源于网络，如有侵权请联系删除

在 2022 年 Pwn2Own 温哥华黑客大赛的第三天，也就是最后一天，参赛者使用零日漏洞再次将Windows 11 操作系统连续黑了3次。 由于 Double Dragon 团队无法在规定的时间内演示他们的漏洞利用，当天针对 Microsoft Teams 的第一次尝试失败，但第二次是来自 Viettel Cyber Security 的 nghiadt12，利用了 Windows 11 零日权限升级（通过整数溢出）漏洞；第三、第四次是来自 REverse Tactics 和 vinhthp1712 的Bruno Pujos ，分别使用 Use-After-Free 和 Improper Access Control 漏洞提升了 Windows 11 的权限。 在 Pwn2Own 的第一天， 参赛者成功利用 16 个零日漏洞入侵多个产品，包括微软的 Windows 11 操作系统和 Teams 通信平台、Ubuntu Desktop、Apple Safari、Oracle Virtualbox 和 Mozilla Firefox，总共赢得了80 万美元奖金。 在比赛的第二天，参赛者也对车企特斯拉展开了攻势，来自Synacktiv 的 David BERARD 和 Vincent DEHORS ，展示了位于Model 3 信息娱乐系统中的两个独特漏洞 (Double-Free & OOBW)，并以此获得了75000美元奖金。 据悉，本届Pwn2Own被针对的产品类别包括 Web 浏览器、虚拟化、本地权限升级、服务器、企业通信和汽车，在为期三天的比赛中，参赛者们可以累计获得超过 100万美元的现金和奖品。同时，这些在大赛期间利用和报告的漏洞，在直到主办方趋势科技公开披露前，厂商们可以有90天的时间对这些漏洞进行修复。 转自 Freebuf，原文链接：https://www.freebuf.com/news/333967.html 封面来源于网络，如有侵权请联系删除