图片来源：美国海军Flickr账号/CC BY 2.0 医疗设备基础设施复杂性和对传统技术的严重依赖，使得设备安全状态不断变化，很难找到解决方案； 高昂的价格使得医疗机构不可能仅因为“最新最好的安全功能”就下决心替换掉旧有设备； 美国国会和监管机构有望在降低医疗设备风险当中发挥关键作用。 业界正普遍达成共识，设备制造商、供应商及监管机构等角色正朝着正确方向推进改善医疗设备的安全性，但系统性挑战阻碍了这一进程。 在RSAC 2022现场，安全厂商Tenable运营技术安全副总裁Marty Edwards、医疗保险公司Humana业务信息安全官Ankit Patel以及健康信息共享与分析中心（Health-ISAC）首席安全官Errol Weiss，共同就医疗设备的安全现状和阻碍医疗保健行业安全提升的因素展开深入讨论。 Edwards表示，总体来看，医疗设备安全的延伸与教育工作仍有发展和改进的空间，但整个行业已经在为设备构建更多安全功能方面也取得了长足进步。 制造业社区的安全文化愈发向好。以往，研究人员在发现安全漏洞后，往往只能跟制造商的法律部门联系。Edwards提到，“过去制造商很少在官网上提供安全联络信息，只能通过法律部门回应相关漏洞披露。但现在，大多数制造商已经越来越成熟，开始朝着正确的方向靠拢。” 许多企业增设了首席产品安全官，专门负责管理产品安全问题。他补充道，虽然也有一些制造商做得还很不够，但“总体趋势正朝着积极的方向发展”。 Patel表示，“对于复杂的医疗设备或者物联网装置，我们部署的安全控制机制可能还不够全面……但至少过去五年来，行业已经取得了比以往多得多的进步。” 尽管在新设备保护方面表现积极，包括引入改进的身份验证机制等措施，但医疗设备基础设施的复杂性和对于传统技术的严重依赖，仍使得设备安全状态不断变化，很难找到解决方案。 医疗保健行业面临的最大安全问题：遗留技术 在Patel看来，真正的问题集中在遗留技术身上。例如，磁共振成像（MRI）设备和超声波设备的单台成本超过100万美元，高昂的价格使得医疗机构不可能仅因为“最新最好的安全功能”就下决心替换掉旧有设备。 新设备当然更加安全，但那些无处不在的传统设备和Windows XP系统也非常顽强。很多用户毫不犹豫地把这些设备接入网络，甚至认为“这有什么关系？哪来那么多人对医疗设备有想法？” Weiss称，“在医疗保健行业中，我们发现有大量磁共振成像系统在互联网上直接开放。网络上的每一台设备，都可能成为恶意黑客的突破口和恶意软件的传播起点。” 他强调，“这就是问题就在，最大的挑战就在这里。” Weiss还提到，过去几年来，医疗设备底层软件包也暴露出多个严重漏洞，如无线连接模块漏洞直接影响到数百万台设备。“漏洞似乎无穷无尽，总是不断涌现。” 而就在医疗保健努力解决这些长期遗留问题的同时，物联网趋势也在一刻不停地向前发展。 Patel表示，“家庭健康正在成为主流，许多卫生系统投入了大量技术资金，希望能持续监测患者体征。”另外，关于机器人远程手术的话题也得到广泛关注，“行业的创新成果和技术应用可谓进展迅速。” 降低医疗器械风险，监管与沟通将发挥重要作用 美国国会和监管机构有望在降低医疗设备风险当中发挥关键作用，同时也将在过程中持续助力各家供应商。目前，针对制造商、软件物料清单（SOMB）以及医疗保健行业多年来的种种安全诉求，已经有多项立法提案正积极酝酿。 从立法角度来看，Patel认为医疗设备安全已经有了不错的基础要素。但在制造商社区中，供应商和安全领导者需要开展更多对话，以就切实观点进行合作，并“确定更具体的实用性解决方案”。 在Weiss看来，如果能够改善医疗设备制造商和供应商间的沟通效果，那么设备的实用性乃至后续安全性的持续升级都将更有保证。 Patel说，目前看来，医疗保健行业自身也很清楚问题的存在。“但我们需要找到一种更加可行的解决方案设计思路，用分析解决问题，摒弃过去那些「人家供应商社区就是这么做的」、「操作人员根本不知道自己在干什么」之类既没意义、又没逻辑的托词。” Patel最后总结道，“制造商也面临着自己的挑战，但我们都在努力发现并解决问题。只要我们永远心系安全，并将安全视为流程中的固定组成部分，就一定能朝着正确的方向继续前进。”   转自 安全内参，原文链接：https://www.secrss.com/articles/43274 封面来源于网络，如有侵权请联系删除

据Cybernews网站消息，美国伊利诺伊州居民对谷歌发起了一项集体诉讼，指控这家科技巨头未经其同意的情况下收集和存储个人生物特征，此举违反了伊利诺伊州的生物识别信息隐私法 (BIPA)。最终谷歌以同意支付1亿美元赔偿与诉讼达成和解。 根据原告们的说法，谷歌相册在未经充分的事先通知和同意的情况下，将照片中出现的相似人脸进行分组归类，谷歌认为，该功能主要是为了帮助用户组织归纳同一个人的照片，方便就某个人照片进行查阅。谷歌声称该功能仅用户个人可见，且可以轻松地关闭。 代表集体诉讼的网站声称，任何伊利诺伊州居民，只要在 2015 年 5 月 1 日至 2022 年 4 月 25 日期间内有任何面部影像出现在Google 照片中，都有资格申请获得赔付，申请赔付的截至日期为9月24日，最终的听证会将于9月28日举行。根据预估的申请赔付人数，每人将可获得200-400美元赔偿。   转自 FreeBuf，原文链接：https://www.freebuf.com/news/335570.html 封面来源于网络，如有侵权请联系删除

微软已获得法院命令，以扣押这家Windows巨头所使用的 41 个域名，该组织称这是一个伊朗网络犯罪组织，该组织针对美国、中东和印度的组织开展鱼叉式网络钓鱼活动。 微软数字犯罪部门表示，该团伙被称为Bohrium，对那些在技术、交通、政府和教育部门工作的人特别感兴趣：其成员会假装是招聘人员，以引诱标记在他们的 PC 上运行恶意软件。 “Bohrium 演员创建虚假的社交媒体资料，经常冒充招聘人员，”微软数字犯罪部门总经理 Amy Hogan-Burney 说。“一旦从受害者那里获得个人信息，Bohrium就会发送带有链接的恶意电子邮件，这些链接最终会用恶意软件感染目标的计算机。” 5月底，弗吉尼亚州东部的一家联邦地方法院向微软下达了紧急临时限制令；这使得该公司能够通过要求美国域名注册机构（例如 Verisign 和 Donuts）将域名转移到微软的控制之下来拆除Bohrium的基础设施。由于Microsoft命名的microsoftsync[dot]org等域已代表 Redmond转移到MarkMonitor，因此似乎扣押已经完成。 根据上周晚些时候公布的法庭文件 [ PDF ] Hogan-Burney ，微软声称不法分子利用网络域进行计算机欺诈、窃取帐户用户的凭据并侵犯微软的商标： Important work by the @Microsoft Digital Crimes Unit to share today. Our team has taken legal action to disrupt a spear-phishing operation linked to Bohrium, a threat actor from Iran. The court filings can be found here: https://t.co/jwZaRardcF — Amy Hogan-Burney (@CyberAmyHB) June 2, 2022 微软说指出Bohrium不仅在其网络钓鱼活动中滥用这家 IT 巨头的商标来欺骗人们交出他们的凭据，而且还试图破坏微软客户运行的计算机系统。工作人员还使用这些域来设置命令和控制服务器，以管理安装在这些计算机上的恶意软件。 此外，根据法庭文件，Bohrium 还破坏了“受害者计算机和微软服务器上的微软应用程序，从而利用它们来监控用户的活动并从他们那里窃取信息”。 微软牵头的行动取消了 ZLoader 僵尸网络域 微软跟踪锶域以阻止对乌克兰的攻击 微软将下一个 Exchange Server 版本推迟到 2025 年 拆除犯罪团伙基础设施的法院命令遵循了几个类似的法律策略，以破坏用于攻击微软客户的网络。最近，在4月，美国巨人宣布了长达数月的努力，以控制ZLoader犯罪僵尸网络团伙一直用来传播远程控制恶意软件和编排受感染机器的65个域。 这家科技巨头的数字犯罪部门从佐治亚州的一名美国联邦法官那里获得了一项法院命令，以接管这些域名，然后这些域名被定向到微软控制的污水坑，因此恶意软件的策划者无法利用它们与他们的僵尸网络进行通信。征用了Windows计算机。 同月，雷德蒙德夺取了由与俄罗斯有关的威胁组织 Strontium（又名 APT28 和 FancyBear）运营的 7 个互联网域，该组织正在使用该基础设施针对乌克兰机构以及美国和欧盟的智囊团，显然是为了支持俄罗斯入侵其邻国. 在4月份的扣押之前，微软曾15次使用此流程接管由Strontium控制的100多个域，该域被认为由俄罗斯外国军事情报机构 GRU 运营。     转自 E安全 ，原文链接：https://mp.weixin.qq.com/s/Vo7MzoyTwr_sKwsBQ6D4MA 封面来源于网络，如有侵权请联系删除

据Bleeping Computer报道，至少有360万台MySQL服务器已经暴露在互联网上，这意味着这些服务器已经全部公开且响应查询。毫无疑问它们将成为黑客和勒索攻击者最有吸引力的目标。 在这些暴露、可访问的MySQL服务器中，近230万台是通过IPv4连接，剩下的130万多台设备则是通过 IPv6 连接。虽然Web服务和应用程序连接到远程数据库是较为常见的操作，但是这些设备应该要进行锁定，保证只有经过授权的设备才能连接并查询。 此外，公开的服务器暴露应始终伴随着严格的用户策略、更改默认访问端口 (3306)、启用二进制日志记录、密切监视所有查询并执行加密。 360万个暴露的MySQL服务器 网络安全研究组织 Shadowserver Foundation在上周的扫描中发现了360万台暴露的 MySQL 服务器，它们全部都使用默认的端口——TCP 3306。 对于这一发现，Shadow Server在报告进行了解释：“虽然我们不检查可能的访问级别或特定数据库的暴露程度，但这种暴露是一个潜在的攻击面，应该引起企业的警惕并关闭。” 这些暴露的MySQL 服务器广泛分布于全球，其中分布最多的是在美国，数量超过120万台，其余则大多分布在中国、德国、新加坡、荷兰、波兰等多个国家。如下图所示，热力图标注了通过IPv4连接的MySQL 服务器的分布情况。 IPv4 中暴露的 MySQL 服务器的热图 （Shadow Server） 具体来说，IPv4上的总暴露数量是3957457，IPv6上的总暴露数量是1421010，IPv4上的服务器响应总数为2279908，IPv6上的服务器响应总数为1343993，所有MySQL服务中有 67% 可从 Internet 访问。 同时，Shadow Server 在报告中还表示，了解如何安全地部署 MySQL 服务器并消除可能潜伏在系统中的安全漏洞，可以阅读5.7 版指南或8.0版指南。 事实上，数据库保护不当是数据被盗最主要的原因之一，因此数据库管理员应始终锁定数据库，严格禁止未经授权的非法的远程访问。 例如上文已经暴露的MySQL数据库服务器就处于巨大的安全威胁之中，可能导致灾难性的数据泄露、破坏性攻击、勒索攻击、远程访问木马(RAT) 感染，甚至 Cobalt Strike 攻击，这些都将给企业业务和运营带来十分严重的影响。 因此，企业数据库管理员应进一步做好安全建设，并尽可能加密数据库，避免赤裸裸地暴露在互联网上，使其无法通过简单的网络扫描进行访问。企业数据库服务器如同原料车间，防止其暴露是最基本，也是最重要的指标。   转自 FreeBuf，原文链接：https://www.freebuf.com/news/335070.html 封面来源于网络，如有侵权请联系删除

有消息显示，Google已于近日悄悄禁止了其在 Colaboratory（Colab）服务上的深度伪造（Deepfake）项目，这代表以Deepfake为目的大规模利用平台资源的时代或已画上句号。 众所周知，Colab是一个在线计算资源平台，允许研究人员直接通过浏览器运行Python代码，同时使用包括GPU在内的免费计算资源来支持自己的项目。正由于GPU的多核特性，Colab是类似Deepfake模型机器学习项目或执行数据分析理想选择。 经过一定训练，人们将Deepfake技术用于在视频片段中交换面孔，并添加真实的面部表情，几乎能够以假乱真。然而，这项技术时常被用于传播假新闻，制作复仇色情片，抑或用于娱乐目的。在实际运用中缺乏伦理限制一直是这项技术存在争议的根源。 Deepfake遭禁 根据互联网资料馆网站archive.org的历史数据，这项禁令出台于本月的早些时候，Google Research部门悄悄将Deepfake列入了禁止项目的名单中。 正如DFL软件开发者“chervonij”在Discord社区平台上所指出的那样，那些现在仍尝试在 Colab平台上训练deepfake的用户会收到这样一条错误报告： “您可能正在执行不被允许的代码，这可能会限制你未来使用Colab的权限。关于更多禁止行为的信息，请留意我们的常见问题解答（FAQ）文档。” 分析人士预计，这一项新限制措施将在Deepfake世界中产生非常深远的影响，因为目前有许多用户都在运用Colab的预训练模型来启动他们的高分辨率项目。即使对于那些没有编码背景的人来说，Colab也可以让项目过程变得很平滑，这也就是为何那么多教程都建议用户运用Google的“免费资源”平台来启动自己的Deepfake项目。 资源的滥用 目前尚不清楚Google执行这项禁令是出于道德考虑还是由于项目所使用的免费计算资源被滥用。 Colab成立的初衷是对那些为了实现科学目标需要成千上万资源的研究人员提供帮助，这在当下这个GPU短缺的年代是尤为重要的。 然而却事与愿违，有报道显示，一些用户正在利用平台的免费资源大规模创建Deepfake模型，这在很长一段时间内都占用了Colab的大量可用资源。 以下是不被允许项目的完整列表： 与Colab交互式计算无关的文件托管、媒体服务或其他Web服务产品 下载种子或进行点对点文件共享 使用远程桌面或 SSH服务 连接到远程代理 加密货币挖矿 运行拒绝服务攻击 密码破解 使用多个帐户解决访问或资源使用限制 创建Deepfakes 不难看出，所有这些被禁止的项目都远没有资格进行常规科学研究。尽管有些项目属于合理使用的范畴，但Google发现被滥用的情况要远远多于合理使用的情况。   转自 FreeBuf，原文链接：https://www.freebuf.com/articles/334951.html 封面来源于网络，如有侵权请联系删除

近日，网络安全研究人员发现了一个新的 Microsoft Office 零日漏洞，编号 CVE-2022-30190。只需打开 Word 文档即可通过 Microsoft 诊断工具 (MSDT) 执行恶意 PowerShell 命令，也可以运行任意代码。这也就意味着，攻击者可以安装程序、查看、更改或删除数据，或者在用户权限允许的上下文中创建新帐户。 所幸，微软方面很快有了应对措施。5月30日，微软发布了相关的缓解措施，可阻止攻击者利用该零日漏洞发起远程攻击，具体如下： 其余缓解措施 由于攻击者使用MSDT URL协议来启动故障排除程序并在易受攻击的系统上执行代码，因此管理员和用户也可以通过禁用该协议来规避CVE-2022-30190零日漏洞带来的威胁。 具体操作方式如下： 1、以管理员身份运行命令提示符； 2、备份注册表项，请执行命令“reg export HKEY_CLASSES_ROOT\ms-msdt ms-msdt.reg” 3、执行命令“reg delete HKEY_CLASSES_ROOT\ms-msdt /f” 在微软发布CVE-2022-30190漏洞补丁后，用户也可以通过启动提升的命令提示符并执行 reg import ms-msdt.reg 命令来撤消解决方法（文件名是禁用协议时创建的注册表备份的名称）。 虽然微软表示 Microsoft Office 的受保护视图和应用程序防护将阻止CVE-2022-30190攻击，但 CERT/CC 漏洞分析师 Will Dormann发现，如果目标预览恶意文档还有可能是Windows资源管理器，因此还建议禁用 Windows 资源管理器中的“预览”窗格以删除此攻击媒介。   转自 FreeBuf，原文链接：https://www.freebuf.com/news/334919.html 封面来源于网络，如有侵权请联系删除

近日，网络安全研究员nao_sec发现了一个从白俄罗斯上传至分析服务网站VirusTotal的恶意Word文档（文件名为” 05-2022-0438.doc “）。这个文档使用远程模板特性获取HTML，然后使用“ms-msdt”方案执行PowerShell代码。 随后，知名网络安全专家Kevin Beaumont发表了对该漏洞的分析。“该文档使用 Word远程模板功能从远程网络服务器检索HTML文件，该服务器又使用ms-msdt MSProtocol URI方案加载一些代码并执行一些 PowerShell”，在他的分析中这样写道，“这里发生的一些事情比较复杂，而首当其冲的问题是即使禁用了宏，Microsoft Word 也会通过msdt（一种支持工具）执行代码。受保护的视图确实起了作用，可尽管如果您将文档更改为RTF形式，它甚至无需打开文档，仅通过资源管理器中的预览选项卡即可运行，更不用说受保护的视图了。” 据了解，该零日漏洞会影响多个Microsoft Office版本，包括Office、Office2016和Office 2021。   转自 FreeBuf，原文链接：https://www.freebuf.com/articles/334861.html 封面来源于网络，如有侵权请联系删除

近日，在2022年世界经济论坛（WEF）年会上， 沙特国有石油巨头沙特阿美公司等18家石油和天然气公司共同做出网络弹性承诺，联合采取措施以应对网络攻击。 为了应对过去两年突显关键基础设施脆弱性的重大安全漏洞，领先的石油和天然气利益相关者呼吁整个行业应该团结起来，以阻止有害的网络攻击。 沙特阿美公司首席执行官Amin H Nasser表示：“随着世界数字化的发展，网络威胁也变得越来越复杂。如果一家公司单枪匹马地应对网络威胁，实际上就像锁上了前门，而后门却敞开着。” 如果想要真正保护全球数十亿人所依赖的关键能源基础设施，各公司必须共同努力。 世界经济论坛网络安全中心负责人Alexander Klimburg说：“网络弹性承诺首先得到了石油和天然气价值链中主要CEO的支持，这是具有里程碑意义的，因为它标志着人们意识到建立网络弹性行业生态系统的复杂性，并承诺要采取集体行动来实现这一目标。世界经济论坛网络安全中心很荣幸能够与合作伙伴一起领导这项工作，我们期待在未来将承诺扩大到其他行业。” 在世界经济论坛石油和天然气网络弹性倡议组织的支持下，该承诺旨在授权各组织采取具体措施，以提高整个行业的网络弹性。 美国知名工业网络安全公司Dragos的首席执行官兼联合创始人Robert M. Lee表示：“随着世界变得更加数字化，我们必须确保基础设施安全可靠地运行，尤其是对于工业和运营技术而言。” 哥伦比亚国有石油公司Ecopetrol的首席执行官Felipe Bayón说：“石油和天然气行业正在经历一场数字革命，这已经成为能源转型和可持续发展的催化剂。网络弹性是这场革命的关键，因为领先于漏洞是我们业务的基础。该承诺通过集体的努力，在整个能源行业嵌入网络弹性和网络风险意识文化。” 已作出承诺的组织有：挪威控股公司Aker ASA、挪威石油和天然气勘探和生产公司Aker BP、沙特阿美石油公司Aramco、以色列安全厂商Check Point、 以色列工业网络安全公司Claroty、美国工业软件创新公司Cognite、美国知名工业网络安全公司Dragos、哥伦比亚国家石油公司Ecopetrol、意大利国有能源公司Eni、英国油气公司EnQuest、葡萄牙油气公司Galp、全球弹性联盟Global Resilience Federation、意大利国际工业集团领导者Maire Tecnimont、美国西方石油公司、OT信息共享与分析中心、马来西亚国家石油公司Petronas 、西班牙国家石油公司Repsol和加拿大能源公司Suncor。 葡萄牙油气公司Galp的首席执行官Andy Brown表示：“该承诺通过在全球能源部门提高对网络弹性的认识和统一立场，推动了Galp对管理网络风险和保护关键能源基础设施网络安全联合行动的承诺。” 论坛将继续在多个行业生态系统中推广这一承诺，以促进网络弹性原则的实施。 马来西亚国家石油公司Petronas的首席执行官Tengku Muhammad Taufik说：“Petronas将人员、资产和环境的安全作为首要任务，包括加强网络安全和安全实践。Petronas致力于并将全力支持世界经济论坛的网络弹性承诺及原则，以负责任和安全的方式提供能源。在这方面，我们认为解决风险和增强网络弹性至关重要，因为石油和天然气行业正面临着更大规模的数字化转型，以在这个数字时代抓住宝贵的机会。”   转自 E安全，原文链接：https://mp.weixin.qq.com/s/Fi67cE8lBDInbTpMY-nlyg 封面来源于网络，如有侵权请联系删除

根据路透社报道，与俄罗斯有关的网络威胁攻击者支持一个名为 Very English Coop d’Etat 的新网站，该网站发布了英国脱欧支持者泄露的电子邮件。 据谷歌网络安全员和英国前外国情报部门负责人称，“Very English Coop d’Etat”网站的设立是为了发布英国脱欧支持者的私人电子邮件。其中比较知名的包括前英国军情六处负责人理查德·迪尔洛夫、英国脱欧活动领袖吉塞拉·斯图尔特、和历史学家罗伯特·汤姆斯等。 路透社强调，目前已经有泄密受害者证实了这些信息的真实性，并透露泄密活动与俄罗斯黑客有关。 泄密网站与俄罗斯黑客组织有关 谷歌威胁分析小组（TAG）负责人谢恩-亨特利（Shane Huntley）告诉路透社，该网站与俄罗斯一个名为 Cold River（又名 Coldriver 或 Callisto）的黑客组织有关。 路透社指出，目前尚不清楚该网站是如何获得这些敏感邮件，经过专家分析发现，大多数被盗邮件是使用 ProtonMail 发送的。 值得一提的是，”English Coop “网站中提出了各种奇奇怪怪的指控，其中一项指控称，迪尔洛夫是英国强硬脱欧派的中心人物，围绕他的这些人想要推翻在 2019 年初与欧盟谈判达成脱欧协议的英国前首相特雷莎-梅，以立场更强硬的约翰逊取代她。 据路透社透漏，迪尔洛夫表示应该“谨慎”处理这些电子邮件，他认为这些电子邮件涉及的都是合法的“游说活动”，但是以目前这种对立的视角来看，已经受到了扭曲。   转自 FreeBuf，原文链接：https://www.freebuf.com/news/334676.html 封面来源于网络，如有侵权请联系删除

FBI发现有美国大学的VPN证书在俄罗斯网络犯罪论坛上被出售，被盗的大学网络和服务器的登录凭证可能被用于勒索软件、鱼叉式钓鱼、加密劫持或间谍活动。即使是通常成功率低于1%的凭证填充攻击，在谈到数以万计的被盗密码时也会成为一个严重的问题。 根据联邦调查局的一份新报告，网络犯罪分子正在窃取美国高校网络的登录凭证。这些凭证随后被卖给其他犯罪分子或用于凭证填充攻击，即攻击者利用受害者在多个网站上重复使用相同的凭证，特别是银行服务。 2017年，该机构发现网络犯罪分子克隆了大学的登录页面，并在钓鱼邮件中嵌入了一个凭证收集工具的链接。然后，收集到的凭证通过自动电子邮件从他们的服务器发送给黑客。凭证收集也可能是其他网络攻击的副产品，如鱼叉式网络钓鱼或勒索软件。 今年早些时候，美国多所大学的网络凭证和虚拟私人网络访问权在俄罗斯网络犯罪论坛上被出售。列出的价格高达数千美元。 去年，在一个公开的即时通讯平台上发现了超过36000个使用.edu顶级域名的电子邮件地址及其相关密码。此前一年，该机构在暗网上发现了大约2000个证书对，卖家要求向其比特币钱包付款。 该文件还概述了学院和大学可以采取的一些策略，以减少此类攻击的可能性。   转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1274965.htm 封面来源于网络，如有侵权请联系删除