近日，据彭博社的 Mark Gurman称，苹果在 iOS 17 中将首次允许 iPhone 用户下载在其官方 App Store 之外托管的应用程序。 什么是侧载？ 侧载，即允许客户下载应用程序而无需使用 App Store，意味着开发人员无需支付 Apple 的 15% 到 30% 的费用。 2022 年 11 月 1 日生效的欧盟《数字市场法》 (DMA) 要求“看门人”公司向其他公司和开发商开放其服务和平台。 《数字市场法》将对 Apple 的平台产生重大影响，它可能会导致 Apple 对 App Store、Messages、FaceTime、Siri 等进行重大更改。据 Gurman 称，Apple 计划在2023年实施侧载支持以符合新的欧洲法规。 彭博社称，Apple 的软件工程和服务员工正在努力开放“Apple 平台的关键元素”，而 Apple 使用“大量资源”来进行变革。Apple 计划在今年为iOS 17准备好该功能，这将提前截止日期。一些员工告诉彭博社，这些重大更新有可能影响为 iOS 17 设计的新功能的工作。 支持侧载有什么影响？ Apple 声称，侧载将“破坏 iPhone 用户所依赖的隐私和安全保护”，使人们容易受到恶意软件、诈骗、数据跟踪和其他问题的攻击。 为了保护用户免受上述侧载风险，Apple 正在考虑实施验证等安全要求，该过程可能会收取费用，而不是从应用程序销售中收取费用。Apple 在 Mac 上有一个验证系统，可以让用户安全地访问Mac App Store以外的应用程序。 Apple 可以向第三方应用程序开发人员开放底层应用程序框架和 API，从而提供对核心系统功能和硬件的更深入访问。第三方应用程序将来可以访问现在不可用的相机技术，Apple 正在努力以有限的方式开放 NFC，以允许Apple Pay替代方案。Apple 还在考虑进一步向 Tile 等配件制造商开放Find My网络。 截至目前，Apple 允许第三方设备制造商创建“Find My”配件，但有一项要求禁止他们使用非“Find My”应用和服务。 《数字市场法》的一个方面要求苹果允许开发者在其应用程序中安装第三方支付系统，而苹果尚未就是否遵守该规则“做出最终决定”。Apple 还未决定如何向第三方服务提供 Messages 应用程序，因为它需要消息传递平台之间的互操作性。 Apple 必须遵守《数字市场法》，因为如果违反该法律，欧盟可以对一家公司处以高达其全球收入 20% 的罚款。如果苹果不实施这些改变，罚款可能高达 800 亿美元。 古尔曼在 2022 年 12 月的一份报告中表示，苹果正在考虑实施验证等安全要求，苹果可以对这一过程收取费用，而不是从应用程序销售中收取费用。Apple 在 Mac 上有一个验证系统，可以让用户安全地访问 Mac App Store 以外的应用程序。 如果其他国家/地区引入类似立法，替代应用程序商店可能会扩展到欧盟以外。例如，美国正在考虑要求 Apple 允许侧载的立法。     转自 E安全，原文链接：https://mp.weixin.qq.com/s/KaWmdNLt7agsaOjjadwcag 封面来源于网络，如有侵权请联系删除

欧盟委员会发布内部争议巨大的《网络团结法案》提案，希望促进欧盟范围内合作，为重大网络攻击做好应对准备。 该提案是本周二（4月18日）提出的更广泛的网络安全一揽子计划的组成部分，旨在促进跨境与公私部门在预测和应对网络攻击方面的协调工作，相关预算为11亿欧元（约合人民币83亿元）。 此类立法建议最早出现于2022年3月，即俄乌战争爆发后不久，部分原因是欧盟委员会考虑到重大网络攻击的威胁正在持续增加。 该提案希望公共部门和私营实体能够相互配合，学习乌克兰已经实践的企业与政府当局合作应对网络威胁的模式。 但提案的某些内容引起了欧盟成员国的激烈争论和反对，特别是涉及情报共享以及私营企业认证和责任的条款。 欧盟委员会执行副主席玛格丽特·维斯塔格 (Margrethe Vestager)在提案发布会上表示，“近30%的欧洲中小企业在过去12个月中，至少经历过一次网络犯罪。”她补充称，《网络团结法案》标志着欧盟广泛的网络安全战略终于补齐了最后一块拼图，开始具备可操作性。 “我们将首次共同投资运营能力。网络安全能否成功将取决于我们是否能够携手并进，只有在整个欧洲的共同努力下才有可能实现。” 欧盟网络护盾 此次提案的首个核心要点，是建立起由欧盟各国和跨境安全运营中心（SOC）组成的欧洲网络护盾（Cyber Shield）。 提案目标是让安全运营中心明年投入运营，并与波罗的海和比荷卢经济联盟等近邻建立起区域网络合作中心。安全运营中心将使用AI等多项技术监控与识别网络威胁，并提醒政府当局注意即将发生的攻击活动。 在提案发布会上，负责欧盟内部市场的执行委员Thierry Breton表示，网络护盾将被用于检测、缓解和应对网络威胁。 与此同时，他试图向欧洲各国政府保证，这些措施将以成员国现有的网络安全运营中心为基础并展开配合，而非取代关系。 Breton指出，“各国可以继续保留原有设施，只是会在整个欧洲层面上来匹配这些现有网络安全设施。” “各个国家都将有自己的中心，它们将充当对接原有设施的接口，并由此建立起覆盖整个欧洲的护盾或者护罩。” 网络安全预备队 该提案的第二大要点，是通过建立网络应急机制，提高欧盟在危机中的准备和应对能力。这项机制将测试能源和交通等关键部门的漏洞，并为欧盟各成员国间的互助工作提供财政支持。 该机制还将建立欧盟“网络安全预备队”，由可信赖和经过认证的私营企业参与，并随时准备应对重大网络事件。 Breton表示，虽然最初的计划是建立一支“网络军队”，但事实证明这项工作太过复杂。于是委员会选择建立储备力量，随时待命并在危机时刻进行干预。乌克兰已经采取了这样的制度。 该计划内容也引起了一些争议。据英国《金融时报》日前看到的一份文件，有24个欧洲国家政府（即除现任和之前连续两任欧盟主席国外的其他所有国家）呼吁欧盟委员会放缓这份网络团结提案，希望能将预备队的认证和部署维持在本国范围之内。 这一问题的症结在于，网络威胁情报可以被用来侵入任何一方的IT系统，不会区分目标具体是地缘政治对手、犯罪网络还是经济竞争对手。因此，各国政府都将威胁情报视为必须严密保护的信息。 欧盟委员会内部机构对公私合作问题也存在分歧。欧盟外交部门欧洲对外行动署（EEAS）目前在修订网络外交工具箱（Cyber Diplomacy Toolbox），该工具箱也会依靠私营企业来处理恶意网络活动。 《网络团结法案》的最后一个要素，是建立起网络安全事件审查机制。该机制要求对重大网络安全事件开展事后审查和分析，以指引欧盟网络防御方法的未来发展方向。 在提案发布会上，还公布了成立欧盟网络安全技能学院（EU Cybersecurity Skills Academy）的消息。该学院旨在提高网络技能，弥合现有网络人才缺口，帮助普通民众掌握必要网络安全能力，并培训该领域的专家。 转自 安全内参，原文链接：https://mp.weixin.qq.com/s/WHBY8Z83pRTALmjVWIMyZA 封面来源于网络，如有侵权请联系删除

根据颇具影响力的网络空间日光浴室委员会的一项研究，美国应正式将太空列为关键基础设施部门，并采取措施保护卫星和其他太空系统免受网络攻击。 报告指出，“将太空系统指定为美国的关键基础设施部门将缩小目前的差距，并向国内外发出信号，表明太空安全和弹性是重中之重。太空达到了指定的门槛，因为它越来越多地卷入美国的军事和经济。” 由于没有任何一个联邦实体负责保护空间系统（如地面站和卫星）免受黑客攻击，白宫应将空间指定为第 17 个关键基础设施部门，并将 NASA 作为其“部门风险管理机构”提供监督和小组争论。当前的关键基础设施部门包括水坝、运输系统、化学部门和通信。 根据该研究的执行摘要，美国太空系统的主要部分仍然没有被指定为关键基础设施，也没有得到这样的指定所需要的关注或资源，今天的大多数太空系统都是在太空是冲突避难所的前提下开发的，但情况已不再如此。 网络空间日光浴室委员会由国会于 2019 年创建，由两党立法者小组领导。它于 2021 年底停用，但作为非营利组织继续发布报告和建议。 最近的一系列事态发展可能会为委员会在国会山提出的新建议提供动力。 在莫斯科无端入侵乌克兰之初，俄罗斯黑客将目标对准了卫星公司Viasat，以中断通信。 国土安全部还建议政策制定者考虑为太空和生物经济创建新的关键基础设施部门。国家安全委员会目前正在敲定重写总统指令 PPD-21，该指令决定哪些部门获得关键基础设施标签。 该报告指出，“有必要减轻源于太空地理和技术特殊性的独特网络安全挑战，通过国会拨款进行大量投资将势在必行，因为没有资源的政策只是空谈。” 为此，委员会建议国会每年向 NASA 提供 1500 万美元的初始投资，以及 25 名全职员工，以承担其新的风险管理职责。然而，该小组告诫不要授予该机构任何新的监管权力，而是建议国会研究服务处梳理现有法规并提出立法构想。 它还敦促航天部门建立一个协调委员会，以帮助促进工业界与联邦政府之间的信息共享。 报告还指出，“来自俄罗斯和其他国家的威胁正在增加。这些国家都将美国和合作伙伴的太空系统置于他们的十字准线之下，正如他们对反卫星 (ASAT) 能力的测试所证明的那样。美国需要一种更加协调一致的方法来进行空间系统基础设施的风险管理和公私合作。”       转自 E安全，原文链接：https://mp.weixin.qq.com/s/E8PEHH78mZYLG78Yk2XXxw 封面来源于网络，如有侵权请联系删除

4月14日，谷歌正式公布了一系列举措，专门针对目前漏洞管理生态系统的不足，出台一些更透明度的制度和措施。 谷歌曾在一份公告中提到，零日漏洞作为头条新闻的“常客”，风险性确实是比较大的。即使我们一发现漏洞就立刻修复，它的风险仍然存在，而且可能出现的风险包括OEM采用的滞后时间、补丁测试的痛点、终端用户的更新问题等各个方面，所以如何去改善这件事，真的是个非常现实的问题。 不仅如此，安全威胁还可能来自于供应商应用不完整的补丁。有时候一些实验室和研究机构外部的零日漏洞有很大一部分会直接变成以前打过补丁的漏洞的“升级版本”。如果想要减轻此类风险，必须要从漏洞的根源解决问题。而在这个解决过程中，要优先考虑现代安全软件开发实践的情况，这样就能更好的消除所有同类型的威胁，同时还能阻止潜在的攻击路径。 基于上述因素，谷歌表示目前正在组建一个黑客政策委员会，该委员会将会确立新的政策和法规。同时，谷歌进一步强调，后面如果再出现某产品系列的漏洞被人利用的情况出现，掌握证据后，会直接将调查事件结果进行公开披露。 这家科技巨头表示，它还在筹备设立一个安全研究法律辩护基金，专为从事正向研究的优秀个人提供种子资金，以更好的促进网络安全问题的宣传，从而更好的发现安全问题并更加及时地报告漏洞信息。 谷歌最新的安全计划表明，如果想要漏洞不轻易被利用，那么就要加速已知漏洞的补丁应用，制定有针对性的政策，并且让用户及时了解这些讯息，以最大程度的确保产品的生命周期。另外，安全计划中还强调了在软件开发生命周期的任何阶段，应用设计安全原则都十分重要。 在公开宣布这一消息之后，谷歌还推出了一项名为deps.dev API的免费API服务，可以向人们提供对Go、Maven、PyPI、npm和Cargo存储库中约500万个开源包中，共计约5000多万个版本的安全元数据和依赖性信息访问的服务，从而确保软件供应链的安全性。 同时，谷歌的云计算部门也宣布将为Java和Python生态系统提供开源软件（Assured OSS）服务，以保证该系统的普遍可用性。 转自 Freebuf，原文链接：https://www.freebuf.com/news/363591.html 封面来源于网络，如有侵权请联系删除

美国网络司令部申请8940万美元(约合人民币6.14亿元)预算，计划在2024财年建设一个关键的进攻性网络平台——联合通用访问平台（Joint Common Access Platform，JCAP）。这是该部门首次公开此类项目的预算数字。 JCAP项目将使美国防部的网络作战人员能够在友方（friendly）防火墙之外与他们的目标进行连接。自2020年以来，JCAP一直由陆军负责运营，网络司令部担任执行机构。此前，JCAP在预算文件中被列为机密级，几乎不公布关于计划的任何细节或资金数额信息。到目前为止，有关该项目的公开信息只有国安服务提供商ManTech在2020年获得一份价值2.65亿美元的合同，负责为JCAP计划提供为期三年半的支持服务。 此次预算金额是在网络司令部的2024财年研发预算中列出。以往，各军种只负责为网络司令部提供资金和人员。但在2022财年国防授权法案中，国会增强了网络司令部的预算权限，允许其根据网络任务部队的维持需求直接控制和管理各类资源的规划、编排、预算及执行。 美国各大军种过去都有自己的网络支持平台。但网络司令部正在主动将这些能力纳入其联合网络作战架构，希望以该架构指导所有军种的联合网络任务部队的采办优先事项。出于这个目的，网络司令部必须将各军种的不同系统整合起来。 JCAP将作为联合网络火力平台，各大军种的系统预计将在2024年全部迁移到该平台。 鉴于这项计划的敏感性，此前几乎没有公布任何信息。美国政府问责局（GAO）将其描述为“供网络作战人员通过使用一套综合工具套件实现战斗力投送的通用访问平台。” JCAP采用敏捷软件方法，每两个月举行一次论坛，评估差距、威胁、要求和新兴技术，以期在更短周期内注入能力，以超越克服威胁。去年JCAP已经交付了首个最小可行功能版本。 美国网络司令部在预算申请中指出，“JCAP可提供一个受保护、被托管、已编排的环境与通用网络火力平台，支持网络司令部协调和执行对已获批网络目标的网络行动。这种能力使网络任务部队有能力在处理检测和归因工作的同时执行作战行动。JCAP计划利用现有服务访问平台项目，目标是通过组合、增强和发展现有项目基准，打造出‘同类最佳’JCAP。” 2024财年申请的8940万美元预算，将用于改进能力并增强网络任务部队的行动与支持任务准备水平。此外，预算还将用于联合网络作战架构及其他要素的进一步整合。 网络司令部将JCAP项目列入了研发预算的“健壮基础设施与访问”部分。计划内容还包括另一项工作，名为“其他网络作战基础设施”，目前仍属于高度机密。除了在2024财年内为其申请8070万美元预算之外，文件中没有提供任何相关细节。二者相加，令整个计划内容的预算申请总额达到1.701亿美元。 在采购方面，网络司令部为“健壮基础设施与访问（JCAP）”申请了5050万美元。不过文件提到，这笔资金将用于为联合任务作战中心（网络作战的指挥、控制与执行中心）内各系统提供服务台、技术支持、许可证及技术更新。 转自 安全内参，原文链接：https://mp.weixin.qq.com/s/jKWORCQ0Bc05kgJ3HSt-eA 封面来源于网络，如有侵权请联系删除

近日，有一个名为ARES的威胁组织突然名声大噪，该组织不仅窃取一些企业、公共机构的数据库信息，还会将窃取来的信息放在网站进行售卖。 不过事实上早在2021年底，Telegram上就出现了这类窃密事件。而且值得一提的是，这个事情还与此前RansomHouse勒索软件事件也有点关联，甚至还涉及到了KelvinSecurity、Adrastea这两个黑客组织。 ARES组织有自己的独立网站，网站内涵盖一些窃取来的数据信息以及一个黑客论坛。从另一个层面来看，这个论坛倒是有可能会成为此前宣布关停的知名地下黑客论坛Breached的替代品。 ARES展示了其合作项目（Cyfirma） 针对ARES目前的这一些列操作，知名网络情报公司Cyfirma在其报告中提到，这个组织的运营模式和之前的勒索软件卡特尔几乎可以说“一脉相承”。他们的都是先和这些实施窃取信息的人取得联系，然后再把他们汇聚到一起，然后对企业或其他组织的数据信息实施入侵窃取等行为。 ARES Leaks：只有想不到，没有它“窃不到” ARES Leaks是一个依托在网页上的平台，里面涉及到了包括美国、法国、西班牙、澳大利亚和意大利等65个国家的泄露信息。从电话号码、电子邮件地址、客户详细资料、B2B、SSN和公司数据库，到外汇数据、政府信息和护照信息等等，反正几乎人们能想到的信息，几乎都能在这找到。 如果有人想要访问这个网站的数据，或者是想要购买这个网站提供的某项服务，比如漏洞利用、应用入侵测试、恶意软件开发或分布式拒绝服务攻击（DDoS）等，必须要使用加密货币进行付费。 而且值得注意的是，在Breached关停后，Cyfirma就曾表示过，ARES Leaks的活跃度是有明显提升的。 2022年底ARES还发布信息称，希望能找到一些在叙利亚工作的恶意软件开发人员和专业做应用入侵测试的人，并为其提供加密货币的付款方式。 ARES寻求雇佣IT专家 (Cyfirma) 不仅如此，ARES还提供VIP服务，应该是售卖一些价值很高的权威机构数据信息。Cyfirma的报告中提到，ARES最近已经接触到了一些涉及到军事机密的数据库，并且还在网站上积极的打广告，说这些信息的价值“不菲”，希望能引来一些客户。 LeakBase：或成Breached的“继承者” 今年年初，ARES威胁组织又推出了一个名叫LeakBase的新论坛平台。之前因为正赶上Breached黑客论坛关停，不少论坛的用户“无处可去”，所以年初这个平台一登场，确实引来了不少人“驻足”。 这个平台是任何人都可以免费注册的，而且这里有个免费的数据库可供使用。但事实上这里其实是一个售卖泄密线索、漏洞和服务的全新平台。而在付款方式上，ARES动了点小心思。因为考虑到有的“消费者”可能会担心交易过程中存在一定支付风险，所以这个平台的收款方式设定的是代理收付业务，从而提升客户的“信任度”。 此外，这个平台专门为一些热衷讨论编程、黑客技巧、教程、社会工程、渗透、密码学、匿名和opsec指南等内容的用户提供了专属讨论空间。 LeakBase论坛（BleepingComputer） 虽然LeakBase目前还在初期建设运营阶段，无法媲美此前知名的Breached。但不得不承认的是，LeakBase的名声已经日益开始“响亮”起来了，它可能很快就会成为网络犯罪分子的重要信息和服务枢纽。 现在看来，ARES似乎是一个组织精密、部署完善的威胁组织。它现在不仅正在快速扩张，而且甚至野心勃勃地想要垄断整个行业的利益链。Cyfirma也表示，Breached的关停，从一定程度上对于ARES来说，似乎成为了其发展的垫脚石，正好给ARES的发展提了速，还为其在市场站稳脚跟提供了一个“良机”。     转自 Freebuf，原文链接：https://www.freebuf.com/news/363224.html 封面来源于网络，如有侵权请联系删除

美国空军认为，过去数年，他们在武器系统网络安全这一新兴领域的提升取得重大进展，足以让他们开始向太空军推广长期使用的策略。 近年来，人们越发深刻地认识到武器平台容易受到网络威胁，需要不同于传统信息技术系统的安全策略加以应对。为此，美国空军于2017年首度采取措施，成立了武器系统网络弹性办公室（CROWS）。 兼顾新旧系统 过去三四年间，美国空军主要采用将专家团队“嵌入”采购办公室，帮助项目经理将网络安全问题纳入采购和维护方案。这些方案不仅针对新系统，也针对已经服役数十年的老系统。 这些专家团队被美国空军称作网络焦点小组，现在分别驻扎在马萨诸塞州汉斯科姆空军基地、俄亥俄州怀特-帕特森空军基地、犹他州希尔空军基地，佛罗里达州埃格林空军基地、俄克拉荷马州廷克尔空军基地、佐治亚州罗宾斯空军基地。 “对于我们的新系统，我们不受任何旧系统的限制，可以从零开始设计。”CROWS项目主管Joe Bradley在接受美媒联邦新闻网采访时说，“所以，我们正在和项目经理、后勤人员、测试和评估人员、系统工程师，甚至我们的财务人员合作，因为他们有切身利益。我可以开发一个非常复杂的解决方案，但如果它在财务上不可行，那么我就浪费了时间和金钱。这就需要整个采购团队从一开始就正确地构建它……网络安全不仅仅是工程问题，而是全局性问题。” 对于已部署系统，CROWS也一直在想方设法“补强”老旧武器平台的网络弹性。这些武器平台是数年乃至数十年前设计的。当时，网络威胁还不是多么重要的问题。 “CROWS通过我们的网络焦点小组推动对网络健康进行多方面评估，具体包括项目保护方案、获得操作授权需提交的各类信息和文档、风险管理框架的相关元素、网络威胁演化如何影响我们的应对方式。”CROWS物资主管Zach Lehmann中校表示，“我们会通过年度报告披露这些信息，同时也提供给项目执行人员和他们的工程总监，让大家思考‘怎样才能更好地理解采购实践，合理应用资源，逐步改进产品？’” 将网络安全融入采购流程 一直以来，整个美国国防部都面临一大难题——应该怎样将网络安全问题融入采购流程，比如怎样拟定合适的合同。美国政府问责署（以下简称“问责署”）在2021年报告中指出，大多数军种没有制定指导方针，说明如何为武器系统采购订立网络安全需求合同。问责署指出，美国空军是唯一的例外。2019年以来，美国空军通过CROWS办公室，持续发布《武器系统项目保护和系统安全工程指南》。该《指南》的最新版（5.0版）即将公开发布。 “在涉及网络安全的行业领域，我敢说，有一万多页的政策和指导方针散见于不同的职能部门。少数指导意见已经触达了部分从业人员。” Lehmann说，“这份《指南》视角广阔，提出了一系列问题‘我们如何从纷繁的信息中提炼出系统安全工程最佳实践？我们如何简化所有这些指导方针，消解重复或矛盾之处？我们如何只编制一份文件，就能覆盖任何盲点？我们如何整合不同职能视角，初步拟定采购时间表，并确定在哪里应用这些最佳实践？’” 当然，Lehmann表示，美国空军的供应商也是这份《指南》的目标读者。 “《指南》本质上是进行预期管理。打个比方，我们要在需求里塞入一个标准的关键绩效参数，用来衡量系统生存能力。具体的项目办公室决定了参数描述会转化为怎样的合同措辞。不同的办公室会有不同的解读。”他说，“《指南》告诉我们如何对采购流程中的设计审批加以管理，如何为政府采购方和行业伙伴简化设计审批流程，因为各方需要携手走完整个收购流程。” 至于CROWS具体如何推广到太空军，大多数细节仍然有待明确。Bradley表示，他们办公室在一月份和太空军官员进行了初步讨论，太空军系统可能采取空军的既有策略：引入多学科团队协助项目办公室，保证大型复杂系统可以逐渐提升网络弹性。 “我们正与太空军合作，确定他们希望将哪些系列、类别、级别的工件加入他们的项目组合”，他说，“我们在讨论的是在非太空军项目组合中使用过，并被证明行之有效的模板。因此，尽管还在起步阶段，我们已经开始借鉴我们与非太空军人员的合作经历，逐步将架构丰富起来。” 转自 安全内参，原文链接：https://mp.weixin.qq.com/s/O6uzo6UDEfJELWiamxdGUg 封面来源于网络，如有侵权请联系删除

你被人欺负了，第一反应可能是还手，那在网络世界中，被攻击的受害者能够采取同样的反制措施吗？ 答案是否定的。目前绝大多数国家尚未制定相关法律，来支持企业或组织对黑客发起反击。“禁止任何人在未获得授权的情况下侵入别人的电脑”几乎是所有国家法律的共识，这意味着，反击黑客就如同黑客入侵一样，同样是违法行为。换句话说，你可以关门，但不能去开别人家的门，不论门后面是否藏着犯罪组织。 听起来是不是很玄幻？现实生活中，只要手续合法，警察可以选择破门而入抓捕犯罪分子，但是网络空间却万万不行。“顺着网线去抓你”实现的难点在于合法性，而非技术性。 或许正因为攻防处于不对称的地位，导致全球网络攻击愈演愈烈。仅2022年一年，全球网络攻击数量就增长了38%，造成大量业务损失，其中包括财务和声誉损失。勒索攻击更是如此。 深信服发布《2022年勒索软件态势分析报告》指出，随着RaaS(勒索软件即服务)模式的日渐成熟，勒索攻击的门槛越来越低,越来越多的无技术者均可以加入到勒索攻击行业中，并且攻击成功的概率越来越高,数据能够通过分析解密还原的情况越来越少。攻击者不再单纯加密数据，更多的勒索攻击开始窃取受害者敏感数据，挂到自己的“官网”上进行双重勒索，获得更大的收益。 随着近年来网络攻击越发猖獗，反击黑客合法化的呼声日益强烈。近期，深受网络攻击困扰的澳大利亚宣布将通过政府层面的举措，对以该国组织为攻击目标的黑客进行反击，引发了行业担忧，这一做法究竟是能真正打击并震慑黑客，还是给网络空间带来更多风险和混乱？ 向黑客宣战 2022年11月12日，澳大利亚总理安东尼·阿尔巴内斯宣布了澳大利亚联邦警察和澳大利亚信号局的联合倡议，该倡议提出要“调查、瞄准和破坏网络犯罪集团，并优先针对勒索软件威胁团体”。 澳大利亚政府之所以做出如此决定，很大程度上与针对该国的两次重大网络攻击事件有关。2022年9月，澳大利亚电信巨头Optus因为勒索攻击暴露了近1000万用户的敏感数据，并被勒索100万美元赎金；而仅仅一个月后，又有黑客攻击了澳大利亚健康保险公司Medibank，其所有390万用户的数据都遭到了泄露。据统计，两起事件受影响的人数超过了澳大利亚总人口的三分之一，造成了严重的社会影响，尤其是在Medibank拒绝支付要求的1000万美元赎金后，黑客泄露了包括堕胎记录在内的医疗记录，引发了社会的强烈愤怒和担忧。 如此看来，对黑客进行反击是在一定程度上顺应澳大利亚国内民意的行为，政府将优先考虑那些对国家利益构成重大威胁对黑客组织。根据英国《卫报》援引澳大利亚内政和网络安全部长克莱尔·奥尼尔的表述，她将日复一日、坚定不移地追捕那些发起攻击事件的“人渣”，国家会派最聪明、最顽强的人去入侵黑客。 澳大利亚内政和网络安全部长克莱尔·奥尼尔 伴随着澳方的强硬态度，一系列新举措正随之而来，但目前还不清楚政府到底会在多大程度上超越常规措施来发起反制，特别是来自其管辖范围之外的网络威胁。Bugcrow创始人兼首席技术官凯西·埃利斯表示，尽管网络犯罪集团经常处于“有罪不罚”的地步，但也很容易受到执法行动的干扰，并认为积极主动出击是可行的，就像Cont和REvil等勒索软件组织被执法部门打击取缔一样，而澳大利亚的做法就是旨在采取更加严厉的措施。 反黑客为何要谨慎行事？ 正如本文开头所述，真正的反黑客行为在一些国家很难付诸实施，因为没有法律为这种反击提供支持。比如美国立法者曾经试图几次通过相关法案，为反击网络攻击者的组织提供一些法律支持，但都以失败告终。 毕竟，如果说两人打架，一人还手，被还击的对象铁定就是目标清晰的另一个人，但网络攻击不同。“一般来说，真正确定攻击的来源非常困难，”Rapid首席研究员埃里克加林金说道。这意味着网络攻击者可以利用多个肉机作为跳板进行分布式攻击。换句话说，攻击者善于利用受害者来攻击其它受害者，而当受害者进行反击时，实际上是在针对另外未知的无辜人员。虽然国际间已有捣毁如Conti 和 REvil在内的勒索软件组织的成功案例，但这类专项行动往往需要专业团队付出数月的调查及分析，在高度精确锁定目标后才开展行动。如果这类权力得到下放，默许民间团体采取草率或更激进措施反制，其滥用导致的后果将可想而知。 这其中还涉及到双方究竟谁才是第一个出手的人。一个比较典型的例子是2017年美国《主动网络防御确定性法案》（ACDC），该法案中的某项条款称“只要是以‘主动防御’的情形对另一实体进行黑客攻击，就可以免于承担法律责任。”也就是说，在ACDC法案下，公司和个人将能够使用“主动防御”来识别、破坏甚至销毁他们被盗的数据。该法案一经提出就遭到共和党、科技界乃至立法界诸多人士的反对，比如 “主动防御”很难用某种特定或清晰的情况进行解释，即如何确定到底谁采取了第一个攻击行动，因而存在被滥用的风险。比如闯入某嫌疑人电脑，确认系统中是否存有被盗的账户密码，这些密码能用来进行未授权的访问。如果这类行为被证实为误判，轻则容易构成涉嫌侵犯隐私、危害他人信息安全，如果是由国家授权的针对他国的行为，则会引发国际事件。 美国共和党众议员汤姆·格雷夫斯极力反对 ACDC 法案 而在2021年，另一项名为《网络攻击响应选项研究法》的法案要求美国国土安全部评估并修订现行的《计算机滥用法》，为反击黑客的攻击者谋取适当规则和好处，但这项法案也在争议中付之东流。 安全防御大趋势——从“守”到“攻” 毫无疑问，近来澳大利亚网络安全战略正处在不断变革的过程之中， 2022年4月，澳大利亚宣布要制定一项为未来10年“铺路”的数据安全框架，计划累计投资超90亿澳元进一步建设国家网络安全。虽然到目前为止澳大利亚接连遭受了多次重大网络攻击，但在总体框架下，从“守”到“攻”的趋势越发明显。 战略升级：强化攻击本色 2022 年 8 月 31 日，澳大利亚国防部正式发布该国第一份专门的国防网络安全战略——《国防网络安全战略》（2022），概述了未来10年加强网络安全能力的计划措施。该战略被认为是自《2016 年国防战略白皮书》《2020 年国防战略更新》以来的进一步升级，对网络安全地重视程度正逐渐加强。在2016年版战略中，对网络安全还仅仅是当做一种对国防安全的新型威胁，而在2022年版战略中，已经将网络安全置于完成国防使命所需的必要条件的高度，并视为未来冲突的可能前兆和关键因素，是澳大利亚成功或失败的决定性因素。 在网络进攻能力建设方面，2016年版战略主要强调情报、监视、侦察等防御体系建设，而2022年版战略开始加强对进攻性网络能力的建设，以提高威慑力，推动国防转型。战略提出，将支持塑造威慑和应对的能力，通过制定标准和加强工业伙伴关系来塑造网络安全环境，通过提高对手活动的可见性来提高威慑能力，通过加强网络安全态势监测和限制对手网络活动来强化应对能力。 全面改革：力图实现所谓2030愿景 据美国广播公司今年2月的报道，澳大利亚将全面改革前政府制定的 17 亿美元网络安全计划，这项改革源自2022年12月8日宣布制定的2023-2030年澳大利亚网络安全战略，致力于在2030年让澳大利亚成为网络最安全的国家。根据公开的讨论文件，政府为应对数据泄露时面临的网络安全挑战，致力于与业界合作，建立一个全国一致的网络安全框架。政府还宣布将任命一名国家网络安全协调员“确保以中央协调的方式”处理政府的网络安全责任。 讨论还涉及是否需要进一步修改《2018年关键基础设施安全法》（SOCI法案），根据该法，政府拥有“最后介入”的权力，可以应对与关键基础设施领域、关键基础设施资产相关的严重网络安全事件。但奥尼尔认为这些权力目前过于有限且定义非常狭窄，并没有实际的协助作用。在接受美国广播公司采访时，奥尼尔甚至表示“（现在）这条法律根本没用，当它真正用于网络事件时，它根本不值得被印在纸上”。可以预见，改革将提升政府在面对安全事件时的干预能力，尤其是在重大网络事件发生后进行的事后审查和后果管理方面。在Optus和Medibank两起重大数据泄露事件发生后，政府就开始考虑禁止向受害企业向攻击者支付赎金，如果违规支付赎金将被视为违法行为。 角色转换：在合作中谋求独立 澳大利亚在网络威胁防御体系方面一贯重度依赖美英等国，从最早的五眼联盟到2022年由拜登政府提出的印太战略都参与其中。但澳大利亚已经开始试图提升应对网络安全风险的独立性与自主性。比如2022年版战略中曾提到“国防部如何应对网络威胁并确保其能力免受对手的攻击，需要整个国防系统的一致和协调努力，从澳大利亚国防军（ADF）和澳大利亚公共服务人员（APS）到国防的行业合作伙伴和供应链。这个系统的每个部分都在确保网络安全方面发挥作用。需要整合国防供应链和加强国防供应链上的自主性，来确保国防网络安全。” 在国际合作型事务中，澳大利亚也正谋求从参与者角色转向自主领导型角色的转变。2023年1月27日，由澳大利亚担当首任主席国，包括美国、英国、法国、德国等36个成员国在内的的国际反勒索软件工作组正式开始运作，旨在破坏、打击和防御日益增加的勒索软件威胁。 随着网络威胁对澳大利亚造成的持续创伤，这个地广人稀的南半球大国正试图对黑客亮出自己的铁腕姿态，至于有多铁，是否会使国际网络环境变得更为复杂严峻，还有待观察它在反击之路上如何走出下一步。     转自 Freebuf，原文链接：https://www.freebuf.com/articles/363092.html 封面来源于网络，如有侵权请联系删除

Google正在继续其在Play Store的数据安全工作，要求开发者为用户提供删除其账户数据的方法。目前，Play Store的数据安全部分只是让开发者声明：”你可以要求删除数据”。今后，允许创建账户的应用程序（在应用程序内），”也必须允许用户要求删除其账户”。 这种删除选项必须在应用程序内部和外部（如网络）”易于发现”。后面的要求意味着”用户可以要求删除账户和数据，而不必重新安装一个应用程序”。 开发者将不得不向Google提供这些链接，由Play Store直接在应用列表中呈现该URL。   规则原文如下： Google规定，Play开发者必须”删除与该应用账户相关的用户数据”。 暂时停用账户、禁用或”冻结”应用账户并不符合删除账户的条件。如果出于安全、防止欺诈或遵守法规等合法原因需要保留某些数据，开发者必须明确告知用户的数据保留做法（例如在隐私政策内）。 影响到全球所有的应用程序，考虑到开发人员必须投入的工作，Google正在慢慢推出这一政策要求： 作为第一步，我们要求开发者在12月7日前在你的应用程序的数据安全表格中提交对新的数据删除问题的答案。明年年初，Google Play用户将开始在应用商店列表中看到反映的变化，包括数据安全部分刷新的数据删除徽章和新的数据删除区域。 政策中还包括让开发者申请延期（通过Play Console），直到2024年5月31日。     转自 cnBeta，原文链接：https://www.toutiao.com/article/7218663387306131972/ 封面来源于网络，如有侵权请联系删除

据报道，美国加州一家法庭裁决称，在一宗安卓操作系统反垄断诉讼过程中，科技巨头Alphabet旗下的谷歌公司故意毁灭员工的内部聊天证据，谷歌将为此遭到罚款，并且在后续审判过程中面临进一步惩罚。 美国加州洛杉矶的一家联邦地方法庭法官James Donato在裁决书中表示，在保存案件有关证据方面，谷歌没有履行自己的责任。 据报道，这宗复杂的反垄断诉讼涉及到多个司法管辖区，其中包括了一个有关2100万名美国人的消费者集体诉讼，覆盖了美国38个州和哥伦比亚特区，涉及到的公司包括游戏厂商Epic以及相亲约会服务商Match集团。 这一反垄断诉讼的关键点，是消费者和厂商原告指控谷歌公司的Play应用商店在发行安卓应用软件上的垄断做法，所有原告索取的赔偿金总额高达47亿美元。不过谷歌否认这一垄断指控。 作为对谷歌破坏证据行为的罚款，法庭已经要求所有原告方的律师，在4月21日之前提供相关的律师费数字。 这一诉讼的原告方将获得一个机会，让Donato法官告知所有的陪审团成员，谷歌故意损坏不利于该公司的证据。 Donato表示，他将会在这一诉讼的后期阶段再次了解谷歌的表现。他提到，谷歌千方百计淡化破坏证据这个问题，对这个违规做法态度不屑。 在去年提交的法庭文件中，谷歌公司律师团则表示，公司采取了各种有力措施，保存案件相关的聊天记录。 对于Donato法官的裁决，原告律师团尚未作出评论。 在提交的法庭文件中，原告律师团表示，之前他们曾经寻找和本案核心问题有关的谷歌员工内部聊天证据，结果发现谷歌内部每隔24小时，就会让员工删除聊天记录，即使是在本次诉讼的流程开始启动之后，谷歌依然继续删除不利证据。 Donato法官表示，在哪些内部聊天证据和本次诉讼有关的问题上，谷歌让员工们自己去做决定，未尽到保留证据的义务。 据悉，这一案件的审判将会在今年11月开始。 众所周知的是，谷歌公司同时还面临美国司法部的反垄断诉讼，由华盛顿的一家联邦地方法庭审理。在这一诉讼中，谷歌同样被指控毁灭聊天证据，该公司正在极力抗辩。       转自 E安全，原文链接：https://mp.weixin.qq.com/s/ODkhMjP34oRT20RicztI0g 封面来源于网络，如有侵权请联系删除