最大的密码汇编包含近百亿个唯一密码，在一个流行的黑客论坛上被泄露。Cybernews 研究团队认为，此次泄露对倾向于重复使用密码的用户构成了严重威胁。 Cybernews 研究人员发现了似乎是最大的密码汇编，其中包含惊人的 9,948,575,739 个独特的明文密码。包含数据的文件名为 rockyou2024.txt，由论坛用户 ObamaCare 于 7 月 4 日发布。 虽然该用户于 2024 年 5 月下旬注册，但他们之前曾共享过 Simmons & Simmons 律师事务所的员工数据库、在线赌场 AskGamblers 的线索以及伯灵顿县罗文学院的学生申请。 Cybernews 研究人员将 RockYou2024 泄露事件中的密码与 Cybernews 泄露密码检查器的数据进行了交叉对照，结果显示这些密码来自新旧数据泄露的混合。 研究人员表示：“从本质上讲，RockYou2024 泄露的是世界各地个人使用的真实密码汇编，大大增加了凭证填充攻击（就是中国网民熟悉的撞库攻击）的风险。” 凭证填充攻击可能会对用户和企业造成严重损害。例如，最近针对Santander、Ticketmaster、Advance Auto Parts、QuoteWizard等公司的一波攻击就是受害者云服务提供商 Snowflake 遭受凭证填充攻击的直接结果。 该团队解释说：“攻击者可以利用 RockYou2024 密码汇编进行暴力攻击，泄露的数据集中包含各种个人用户使用的在线帐户密码。” 并非第一次 RockYou2024 密码汇编并非从天而降。三年前，Cybernews 发表了一篇关于RockYou2021密码汇编的文章，当时最大的密码汇编包含 84 亿个纯文本密码。 根据该团队对 RockYou2024 的分析，攻击者通过在互联网上搜索数据泄露来开发数据集，从 2021 年到 2024 年又增加了 15 亿个密码，使数据集增加了 15%。 RockYou2021 汇编是 2009 年数据泄露事件的扩展，其中包含数千万个社交媒体账户的用户密码。然而，自那以后，汇编数量呈指数级增长。最有可能的是，最新的 RockYou 版本包含了 20 多年来从 4,000 多个数据库收集的信息。 Cybernews 团队认为，攻击者可以利用多达 100 亿的 RockYou2024 汇编来攻击任何未受暴力破解攻击保护的系统。这包括从在线和离线服务到接入互联网的一切工业硬件。 “此外，结合黑客论坛和市场上其他泄露的数据库（例如包含用户电子邮件地址和其他凭证），RockYou2024 可能导致一系列数据泄露、金融欺诈和身份盗窃。”该团队表示。 如何防范 RockYou2024？ 显然，并没有灵丹妙药来保护已暴露密码的用户，但受影响的个人和组织可以采取缓解策略。安全研究人员建议： 1.使用随机密码管理器来随机生成复杂密码，比如Chrome浏览器自带的密码管理工具，可以随机生成密码，并可以对弱密码、已泄露密码进行检测； 2.使用多重验证工具进行身份验证，微软、谷歌均提供了Authenticator验证工具，建议网民通过苹果、安卓应用商店下载安装。 3.中国主流互联网服务均支持社交媒体工具（微信、支付宝、抖音等）扫码验证或手机短信验证，部分与金融服务相关的关键业务必须通过刷脸验证或人工验证。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/G4kMwOvDP1vbE4fT_mJ0CQ 封面来源于网络，如有侵权请联系删除

Passkey（通行密钥）是一种流行的无密码技术，多用于验证用户对云托管应用程序的访问。尽管Passkey被寄予厚望，号称密码终结者，但却容易受到中间对手（AitM）攻击。根据eSentire的一项研究，如果Passkey未能正确实施，例如提供不太安全的备份身份验证方法，容易遭受AitM攻击，攻击者通过修改向用户显示的提示来绕过身份验证流程。 大多数Passkey实现可被绕过 “在Passkey仅用作第一因素身份验证方法时，其备份身份验证容易受到AitM攻击，”eSentire威胁响应部门（TRU）的首席安全研究员Joe Stewart在博客文章中指出：“由于AitM可以通过修改登录页面中的HTML、CSS和图像或JavaScript来操纵呈现给用户的视图，当它被代理到最终用户时，他攻击者可以控制身份验证流程并删除对密钥身份验证的所有引用。” 这一发现意味着，在无密码密钥身份验证之后被认为更安全的帐户（例如银行、电子商务、社交媒体、云帐户和软件开发平台等在线平台上的帐户）仍然可以被入侵。 Stewart在博客中发布了POC并指出，开源AitM软件（如Evilginx）可用于欺骗GitHub，Microsoft和Google等流行IT服务的用户。 在Evilginx中，可以通过一些编辑（编辑显示文本）来部署特定的Phishlet，即通过从真实登录页面捕获身份验证令牌和会话cookie来启用AitM攻击的脚本，以诱骗用户进行密钥身份验证。 “我们使用了标准的GitHub网络钓鱼进行测试，”Stewart说道：“当目标用户访问诱饵URL时，除了URL栏中的主机名之外，他们看到的钓鱼页面与普通的GitHub登录页面一样，因为它就是真实的GitHub登录页面，只是通过Evilginx代理。” 然而，通过稍微修改网络钓鱼配置，攻击者可以删除“使用Passkey登录”的文本，Stewart补充说，这意味着攻击者可以很容易地诱骗用户选择基于密码的备份身份验证。 该研究指出，对于使用Passkey作为第一因素和第二因素身份验证方法的情况，都可实施此类攻击。除非用户安全意识极强，能够记得界面中（应该有）Passkey选项，否则很可能会直接输入用户名和密码，这些用户名和密码将与身份验证令牌/cookie一起被发送给攻击者，后者可以使用这些令牌/cookie来保持对帐户的持续访问。 根据Stewart的说法，passkeys.directory上列出的大多数Passkey实现都容易受到此类身份验证方法编辑攻击。 最安全的备份身份验证方法 该研究进一步强调，几乎所有的Passkey备份身份验证方法都容易受到AitM攻击，包括密码、安全问题、向受信任设备推送通知、社交受信任联系人恢复、短信代码、电子邮件、电话、KYC/文件验证或预定义电子邮件或短信号码上的魔术链接。其中，只有社交可信联系人恢复、KYC验证和魔术链接等选项才能通过繁琐的设置来阻止AitM。 研究者指出，第二密钥或FIDO2硬件密钥是最安全的方法。“显然，拥有多个密钥才是最安全的方法，最好是至少有一个密钥是由PIN安全存储和保护的硬件密钥，”Stewart指出：“Passkey的采用仍处于早期阶段，在密钥/安全密钥丢失或AitM身份验证流程被操纵的情况下，魔术链接可能是目前恢复用户帐户最安全的方法。”   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/Pcoh2uAb8nVIj4ephuQiyg 封面来源于网络，如有侵权请联系删除

据BleepingComputer消息，谷歌正在开发一项不受限制的 WebUSB 新功能，可允许受信任的隔离网络应用程序绕过 WebUSB API 中的安全限制。 WebUSB 是一种 JavaScript API，能够让网络应用程序访问计算机上的本地 USB 设备。作为 WebUSB 规范的一部分，某些接口，比如HID、大容量存储、智能卡、视频、音频/视频设备和无线控制器会受保护，不能通过网络应用程序访问，以防止恶意脚本访问潜在的敏感数据。 此外，WebUSB 规范还包括一个阻止列表，禁止通过 API 访问的特定 USB 设备，如用于多因素身份验证的 YubiKeys、Google Titan 密钥和 Feitian 安全密钥。 谷歌目前正在测试的 “无限制 WebUSB “功能，允许隔离的网络应用程序访问这些受限制的设备和接口。谷歌在 Chrome 浏览器的状态更新中指出：“WebUSB 规范定义了一个易受攻击设备的屏蔽列表和一个受保护接口类的列表，这些设备和接口类被禁止通过 WebUSB 访问。有了这项功能，拥有访问 ‘usb-un-restricted’ 权限策略功能的隔离网络应用程序将被允许访问这些列表中的设备和受保护的接口。” 独立网络应用程序是指不托管在实时网络服务器上，而是打包成网络捆绑包（Web Bundles）、由开发人员签名并分发给最终用户的应用程序。这些应用程序通常供公司内部使用。为使其正常运行，这些网络应用必须拥有使用 “USB-unrestricted “功能的权限。 当具有该权限的应用程序试图访问 USB 设备时，系统会首先检查该设备是否在易受攻击设备的拦截列表中。如果是，该设备通常会从访问列表中移除。但使用 “usb-unrestricted “权限的网络应用程序可以绕过这一限制。 这一功能无疑会让受信任的隔离网络应用程序能够访问更广泛的 USB 设备，从而在受信任的环境中实现更多功能。谷歌表示，它计划在将于 2024 年 8 月发布 Chome 128 版本中对其进行测试。   转自FreeBuf，原文链接：https://www.freebuf.com/news/404867.html 封面来源于网络，如有侵权请联系删除

美国网络安全和基础设施安全局(CISA)近日发布的报告调查了172个关键开源项目的内存安全问题。报告显示，超过半数项目的代码存在内存不安全的情况，尤其在资源限制和性能要求高的情况下，开发人员依然选择使用内存不安全的语言。 关键开源项目的内存安全状态分布 来源：CISA 内存安全的重要性 内存安全语言通过自动管理内存，防止常见的内存相关错误（如缓冲区溢出和释放后使用）。例如，Rust的借用检查器能够消除数据争用，语言如Golang、Java、C#和Python通过垃圾回收来防止内存被错误利用。相比之下，内存不安全的语言（如C、C++和Assembly）不提供内存管理机制，增加了开发人员出错的风险。 调查结果 根据CISA、联邦调查局(FBI)以及澳大利亚和加拿大安全机构的报告，关键的开源项目中存在大量内存不安全的代码。以下是主要发现： 52%的关键开源项目包含内存不安全的代码。 这些项目中55%的代码行数（LoC）是内存不安全的。 大型项目大多数使用内存不安全的语言。 暗LoC计算十大项目的内存不安全代码比例均超过26%，平均比例为62.5%，有些项目高达94%。 即使用内存安全语言编写的项目也常常依赖于用内存不安全语言编写的组件。 一些关键开源项目的内存不安全代码比例如下： Linux：95% Tor：93% Chromium：51% MySQLServer：84% glibc：85% Redis：85% SystemD：65% Electron：47% 建议措施 CISA指出，软件开发人员面临多重挑战，尤其在实现网络、加密和操作系统功能时，不得不使用内存不安全的语言。此外，开发人员有时为了性能和资源限制，故意或错误地禁用内存安全功能，即使这样做会带来风险。CISA建议软件开发人员使用内存安全的语言（例如Rust、Java和GO）编写新代码，并将现有项目（尤其是关键组件）转换为这些语言。 此外，CISA还建议开发人员遵循安全编码实践，仔细管理和审核依赖关系，并执行持续测试，包括静态分析、动态分析和模糊测试，以检测和解决内存安全问题。   转自goupsec，原文链接：https://mp.weixin.qq.com/s/8YHlFJa0ujhhdjt80i0gIw 封面来源于网络，如有侵权请联系删除

近日，首尔国立大学和三星研究院的研究人员发现，攻击者可成功绕过 ARM 芯片针对内存损坏的新防御功能，成功率接近 100%。发现的漏洞可导致多种网络攻击，包括权限升级、任意代码执行、敏感数据泄露或严重系统损坏。 ARM 是一种具有精简指令集的计算机处理器架构，在手机和平板电脑市场占据主导地位，为许多小工具提供动力，并在笔记本电脑和个人电脑中日益普及。 然而，研究人员发现，ARM 很容易受到内存损坏的影响，因为防范此类漏洞的功能很容易被绕过。 内存标记扩展（MTE）是 ARM 架构中引入的一项硬件功能，用于检测内存损坏漏洞。MTE 的工作原理是为不同内存区域分配唯一标签，并在内存访问期间检查标签是否匹配。 研究人员能够在不到 4 秒的时间内以 95% 的成功率泄露 MTE 标记，绕过基于 MTE 的缓解措施。 论文写道：”攻击者可以绕过 MTE 的概率防御，将攻击成功率提高近 100%。”但这并不意味着会直接泄露密码或加密密钥等敏感数据。攻击者需要利用泄露的 MTE 标签来禁用安全措施，然后利用内存泄露漏洞实施实际攻击，即制作更复杂的攻击来执行任意代码。 研究人员演示了 TIKTAG-v1 和 TIKTAG-v2 两种技术，展示了现实世界中针对 Chrome 浏览器、Linux 内核和 Google Pixel 8 的攻击是如何发生的。 这种攻击利用处理器的投机行为，在所谓的投机执行攻击中泄露敏感信息，类似于 Spectre 和 Meltdown。通过诱使处理器泄漏内存中的秘密信息，攻击者就可以尝试通过注入恶意代码来操纵内存。 “使用 TIKTAG 小工具发起真实世界攻击存在几个挑战。首先，TIKTAG 小工具应在目标地址空间内执行，这就要求攻击者从目标系统中构建或查找小工具。其次，攻击者应控制并观察缓存状态，以泄露标签检查结果。”研究人员说。 安卓安全团队承认该问题是 Pixel 8 的硬件缺陷，决定在安卓基于 MTE 的防御中解决该问题，并为该报告提供了赏金奖励。 虽然 ARM 承认 CPU 保护的有效性可能会受到阻碍，但芯片设计者并不认为投机预言的风险会损害 ARM 提供的价值。 “ARM 的 MTE 分配标签不应该是一个秘密，因此，揭示正确标签值的机制并不是对架构原则的妥协。”该公司在一份文件中说。 研究人员提出了更好地保护芯片的措施，并声称基于 MTE 的保护措施仍然是缓解内存损坏攻击的一种有吸引力的解决方案。   转自FreeBuf，原文链接：https://www.freebuf.com/articles/404279.html 封面来源于网络，如有侵权请联系删除

2024 年 6 月，领先的网络安全公司卡巴斯基进行了一项突破性研究，在从暗网获取的 1.93 亿个密码中，有 45% 在一分钟内被破解。这一令人震惊的结果凸显了加强密码安全的迫切性。 在一分钟内破解密码？这是真的吗？ 正如网络安全报告预期的那样，研究结果非常令人担忧。在分析的 1.93 亿个密码中，卡巴斯基发现： 45%（8700 万个）的密码可以在一分钟内被破解 14%（2700 万个）的密码需要 1 分钟到 1 小时 8%（1500 万个）需要一天时间 6%（1200 万个）需要一个月 4%（800 万人）需要一个月到一年的时间 这些百分比约占所研究密码的 77%。其余 23%（4400 万个）的密码被卡巴斯基归类为 “抗性 “密码，这意味着使用暴力或智能猜测算法需要一年多的时间才能破解。 不要使用字典单词 卡巴斯基的研究还显示，57% 的密码包含字典单词，大大削弱了密码的强度。使用常用词会使密码更容易预测，也更容易被破解。 以下是研究中发现的一些最著名的序列： 姓名： 常见姓名，如 “Ahmed”、”Nguyen”、”Kumar”、”Kevin “和 “Daniel” 名言：如 “永远”、”爱”、”谷歌”、”黑客 “和 “游戏玩家” 标准密码：”password”、”qwerty12345″、”admin “和 “team “等常见选项 卡巴斯基注意到，只有 19% 的密码具有非字典单词、小写和大写字母、数字和符号的 “强组合”。不过，即使在这些密码中，也有 39% 的密码可以在一小时内通过算法破解。 运行密码猜测算法的门槛相对较低。卡巴斯基报告称，攻击者可以掌握深厚的技术知识并使用昂贵的设备。一个拥有强大笔记本电脑处理器的黑客只需 7 分钟就能猜出包含 8 个字符（小写字母或数字）的密码。此外，智能猜测算法可以处理常见的替换，如用”@”替换 “a “或用感叹号替换 “1”。 如何强化密码？ 要加强网络安全，遵循卡巴斯基和其他网络安全专家的建议至关重要。通过采取以下措施，可以更好地掌控数字安全： 使用密码管理器： 这有助于减少记忆多个密码的需要。阅读密码管理器指南，找到最适合自己的密码管理器 为每项服务设置唯一密码： 避免在多个账户中使用相同的密码，以最大限度地降低账户被泄露的风险 用短语代替密码： 创建长而独特的短语，自己能记住，别人却很难猜到 测试密码强度： 使用安全且经过验证的密码检查器来确保密码的强度 避免使用个人信息： 不要在密码中使用生日、宠物名或家庭成员的名字 启用双因素身份验证（2FA）： 这增加了一个额外的安全层，需要在输入密码后进行另一个验证步骤（在有 2FA 的地方使用它）   转自FreeBuf，原文链接：https://www.freebuf.com/news/404091.html 封面来源于网络，如有侵权请联系删除

拜登政府宣布禁用卡巴斯基杀毒软件，美国公司和消费者 2024 年 9 月 29 日前需要找到替代软件。 美国商务部工业与安全局（BIS）宣布了一项政令，禁止俄罗斯反病毒软件和网络安全公司卡巴斯基直接或间接向美国人提供反病毒软件和网络安全产品服务。 禁令主要涉及了卡巴斯基产品的销售，阻止该公司向客户提供杀毒软件和安全更新，客户必须在 9 月底之前找到替代软件。值得一提的是，禁令划定的范围非常广泛，不仅涉及卡巴斯基母公司，其它附属公司、子公司等都处于禁令范围内。 美国商务部长吉娜-雷蒙多（Gina Raimondo）表示，拜登-哈里斯政府一直以来致力于美国国家安全保障体系建设，俄罗斯种种行为一次又一次地表明，其有能力也有意图利用卡巴斯基实验室等俄罗斯公司，收集美国公民的敏感信息并将其武器化。美国政府会继续利用所掌握的一切工具，保护美国的国家安全和美国人民。 卡巴斯基方面否认与俄罗斯政府存在某种关系，但美国政府指出，由于俄罗斯政府的网络攻击技术高超以及能够影响卡巴斯基的运营，如果不全面禁止该公司在美国的服务，就无法降低网络安全风险，可能会在美国境内引发新的网络安全危机。 从禁令内容来看，美国方面的担忧很大程度上源于卡巴斯基获得了与 Equation Group 有关的秘密安全工具和安全漏洞，Equation Group 又被认为是美国国家安全局的网络行动部门。当时，卡巴斯基表示，他们的杀毒软件在检测到此前未曾出现的恶意文件后，会自动检索 NSA 的文件。 美国政府认为，俄罗斯 FSB 特工或其他卡巴斯基内部人员可能会利用卡巴斯基杀毒软件作为交互式搜索引擎，扫描全球计算机，查找感兴趣的文件。因此，美国政府就开始慢慢禁止在联邦机构内使用卡巴斯基产品。随着禁令发布，卡巴斯基产品在美国全境范围内都将被禁止使用。 禁令中明确指出，自美国东部时间 2024 年 7 月 20 日午夜起，卡巴斯基被禁止与美国企业签订任何新协议（包括该公司的任何软件或白标签产品）。美国东部时间 2024 年 9 月 29 日午夜，禁止卡巴斯基或其任何代理商向客户分发软件和杀毒软件更新，并禁止在美国或任何美国人的系统上运行卡巴斯基安全网络 (KSN)。 虽然此次禁令不会对在上述期限后继续使用卡巴斯基软件的美国个人采取法律行动，但这些用户需要自行承担使用该软件的安全风险。 据悉，除禁令外，BIS 还将三个与卡巴斯基有关联的实体，OO 卡巴斯基实验室、OOO 卡巴斯基集团（俄罗斯）和卡巴斯基实验室有限公司（英国）列入实体名单，理由是这些实体涉嫌与俄罗斯政府开展了非法合作。   转自FreeBuf，原文链接：https://www.freebuf.com/news/404079.html 封面来源于网络，如有侵权请联系删除

近日，来自三星、首尔国立大学和佐治亚理工学院的韩国研究团队的研究人员发现一种以 ARM 的内存标记扩展（MTE）为目标的，名为 “TIKTAG “的新型攻击，黑客可利用这种方式绕过安全防护功能，这种攻击专门针对谷歌浏览器和 Linux 内核的攻击，导致数据泄露几率超过 95%。 MTE是ARM v8.5-A架构（及更高版本）新增的一项功能，旨在检测和防止内存损坏。系统采用低开销标签技术，为 16 字节内存块分配 4 位标签，确保指针中的标签与访问的内存区域相匹配，从而防止内存损坏攻击。 MTE 有三种运行模式：同步、异步和非对称，兼顾了安全性和性能。 研究人员发现，通过使用两个小工具（代码），即 TIKTAG-v1 和 TIKTAG-v2，他们可以利用投机执行在短时间内泄露 MTE 内存标记，成功率很高。 标签泄露图 泄露这些标签不会直接暴露敏感数据，如密码、加密密钥或个人信息。但理论上，它可以让攻击者破坏 MTE 提供的保护，使安全系统无法抵御隐蔽的内存破坏攻击。 TIKTAG 攻击 TIKTAG-v1 利用 CPU 分支预测和数据预取行为中的推测收缩来泄漏 MTE 标记。 TIKTAG-v1 代码 研究人员发现，这个小工具在攻击 Linux 内核时，对投机性内存访问的功能格外有效，不过需要对内核指针进行一些操作。 攻击者使用系统调用调用投机执行路径，并测量缓存状态以推断内存标签。 TIKTAG-v2 利用了投机执行中的存储到加载转发行为，这是一个将值存储到内存地址并立即从同一地址加载的序列。 TIKTAG-v2 代码 如果标签匹配，值将被转发，加载成功，并影响缓存状态；如果标签不匹配，转发将被阻止，缓存状态保持不变。 因此，通过探测投机执行后的缓存状态，可以推断出标签检查结果。 研究人员展示了 TIKTAG-v2 小工具对谷歌 Chrome 浏览器，尤其是 V8 JavaScript 引擎的有效性，为利用渲染器进程中的内存破坏漏洞开辟了道路。 通过 MTE 旁路实现的攻击场景 行业响应和缓解措施 研究人员在 2023 年 11 月至 12 月期间向受影响的企业报告了他们的发现，并得到了普遍积极的回应。 发表在 arxiv.org 上的技术论文提出了以下针对 TIKTAG 攻击的缓解措施： 修改硬件设计，防止投机执行根据标签检查结果修改高速缓存状态。 插入投机障碍（如 sb 或 isb 指令），防止关键内存操作的投机执行。 添加填充指令，以扩展分支指令和内存访问之间的执行窗口。 增强沙箱机制，将投机性内存访问路径严格限制在安全内存区域内。 虽然 ARM 认识到了情况的严重性，并在几个月前发布了公告，但它并不认为这是对功能的妥协。 ARM 在公告中写道：由于 Allocation Tags 对地址空间中的软件来说并不是秘密，因此揭示正确标签值的投机机制并不被视为对架构原则的破坏。 Chrome 浏览器的安全团队承认存在这些漏洞，但目前并未打算修复。因为他们认为 V8 沙盒的目的不是保证内存数据和 MTE 标记的机密性。 此外，Chrome 浏览器目前默认不启用基于 MTE 的防御功能，因此修复的优先级较低。 Pixel 8 设备中的 MTE 标记已于今年 4 月报告给了安卓安全团队，并被确认为符合悬赏条件的硬件漏洞。   转自Freebuf，原文链接：https://www.freebuf.com/news/403690.html 封面来源于网络，如有侵权请联系删除

乌克兰安全局 SBU拘留了两名据称帮助俄罗斯情报部门传播亲克里姆林宫宣传和窃听乌克兰士兵手机的人员。 这两名嫌疑人运营所谓的机器人农场，使用特殊服务器和 SIM 卡来创建和管理虚假的社交媒体账户。 其中一个机器人农场位于西部城市日托米尔，位于一名身份不明的乌克兰女子的公寓内。根据乌克兰安全局的声明，她注册了 600 多个虚拟手机号码以及数量不详的虚假 Telegram 账户，然后在专门的俄罗斯犯罪网站上出售或出租这些号码以换取加密货币。 乌克兰安全局称，俄罗斯情报部门利用这些账户和电话号码向乌克兰军方发送钓鱼邮件，入侵其设备。这些邮件包含恶意文件，一旦打开，就会在目标手机上安装间谍软件，以收集机密数据。 乌克兰安全局称，俄罗斯还利用这些账户传播据称代表普通乌克兰公民的亲克里姆林宫言论。 另一名嫌疑人是来自乌克兰中东部城市第聂伯罗的一名 30 岁男子，他使用乌克兰移动运营商的 SIM 卡在各种社交网络和即时通讯应用上注册了近 15,000 个虚假账户。乌克兰安全局称，他随后在暗网论坛上将这些账户卖给了俄罗斯情报机构。 如果罪名成立，两名嫌疑人将面临最高三年监禁或罚款。调查仍在进行中。 俄罗斯此前曾利用机器人农场在战争期间进行宣传和制造恐慌。参与运营机器人农场的人通常会收到俄罗斯卢布的报酬，而卢布是乌克兰禁止使用的货币。 今年 4 月早些时候，乌克兰安全局在基辅逮捕了两名黑客，他们涉嫌通过冒充乌克兰政府官员的社交媒体账户传播俄罗斯宣传。同月，一名乌克兰男子因制作和传播俄罗斯宣传被判处15 年监禁。 今年 1 月，乌克兰安全局拘捕了一名亲俄黑客，他涉嫌对乌克兰国家网站发动网络攻击并泄露战略信息。如果罪名成立，他可能面临最高 12 年的监禁。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/T9IibyYHilKsSVLQid3TrQ 封面来源于网络，如有侵权请联系删除

美国政府削减国家漏洞库的预算，导致无人处理富化CVE属性信息，全球网络防御基础数据出现缺失状况，引发业界广泛关注。目前，CISA、NIST正在着手解决这一问题。 有消息称，最新研究显示，自今年2月美国政府宣布削减国家漏洞数据库（NVD，由NIST运营，以下简称NVD漏洞库）预算以来，超过90%提交至该数据库的漏洞尚未完成分析或补充信息（即在创建漏洞编号后添加完善各类元信息）。 因资金短缺和漏洞激增，NVD漏洞库不得不缩减运营规模。作为网络安全防御方的重要信息来源，该数据库运转放缓后，通用漏洞披露（CVE）信息完善流程受到了严重影响。 网络安全公司VulnCheck的研究人员分析发现，NVD漏洞库自2月12日预算削减以来，期间新增了12720个漏洞，其中高达11885个“尚未完成分析或或补充关键数据，而这些数据能帮助安全专业人士确定哪些软件受到漏洞影响。” 大量漏洞基础信息缺失 VulnCheck表示，NVD漏洞库运行放缓以来，已被利用漏洞列表中有近一半漏洞尚未得到分析。该公司还称，82％的存在公开概念样本（POC）的已被利用漏洞也未经检查。 NVD漏洞库每周发布CVE的处理状况（2024年2月12日至5月19日） VulnCheck的Patrick Garrity表示：“众多知名和有影响力的业内人士已经警告，这种情况将为恶意威胁者提供可乘之机，将漏洞武器化，从而大幅增加多个关键领域的供应链风险。” “近期，NVD漏洞库运行速度放缓，我们必须认清这一状况的严重性。国家级威胁分子和勒索软件集团一直在持续攻击各大组织，造成破坏性后果，而我们却自乱阵脚。” Garrity补充说，20多年来，NVD漏洞库一直向网络安全专家提供了关键信息，包括严重性分数、参考标签、漏洞分类，以及其他影响流行软件的简明漏洞数据。 他表示，没有这些数据，“NVD漏洞库的前景就将一片黯淡”。 数据消费方该如何应对？ 未来，网络安全公司将不得不填补NVD漏洞库留下的空白。Garrity建议，为了帮助下游消费者，有权创建CVE编号（即漏洞标签）的机构应添加更完整的关于漏洞的数据。 全球共有379家CVE编号机构（CNAs），分布在40个国家。它们通常是网络安全公司、政府网络安全机构、技术供应商等。 Garrity还特别提及了严重程度评分和漏洞分类：“CVE编号机构应尽最大努力完整补充CVE记录，包括提交产品名称、供应商名称、版本号、详细描述、广泛参考、CPE、CVSS和CWE。” 根据Garrity的说法，NVD漏洞库还应该尽可能自动补充CVE信息，从而填补信息空白。他补充说，NVD漏洞库应该“不再分析每个CVE提交情况，转而建立与CNAs和CVE程序的信任模式，无需人工逐个审核。” 他指出，第三方也应被允许为CVE记录添加信息。 CISA&NIST提出解决办法 4月底，NVD漏洞库表示，正在“努力组建联盟，应对所面临的挑战，并开发更好的工具和方法。” 5月上旬，美国网络安全和基础设施安全局（CISA）表示理解安全社区的担忧和愤慨，并表示正在启动新的漏洞信息富化项目“Vulnrichment”，为CVE添加Garrity所述的大部分内容。 CISA表示：“最近，我们为1300个CVE补充了信息，并将继续努力确保为所有提交的CVE补充信息。我们要求所有CVE编号机构在向CVE.org提交初始信息时就提供完整详细的CVE数据。” CISA承诺采取其他措施为漏洞管理流程补充信息。立法者已建议为负责维护NVD漏洞库的NIST提供充足预算，以摆脱当前的困境。 5月29日，NVD漏洞库发布状态更新称，已授予一份合同，以支持NVD CVE信息富化工作。据悉，美国安全公司Analygence赢得了这份合同，项目底价为86万美元。   转自安全内参，原文链接：https://www.secrss.com/articles/67059 封面来源于网络，如有侵权请联系删除