近日，攻击者利用社交媒体直接消息功能中的零日漏洞，劫持了多家知名公司和人物的TikTok 账户。 TikTok发言人证实，索尼、希尔顿、美国有线电视新闻网(CNN)等用户的账户已遭到黑客劫持，为了防止被滥用被迫暂时删除。此次黑客攻击的程度还不得而知，但是TikTok发言人补充说，“被入侵的账户数量非常少”。在零日漏洞被修复之前，或将不会分享有关被利用漏洞的任何细节。 据Semaphor、Forbes等媒体报道，攻击者通过 DMs 入侵这些账户借助了一个零日漏洞，目标用户只要打开恶意信息，哪怕没有下载或点击链接也会中招，因此千万不要打开不明来源的信息。 TikTok表示，公司正在采取措施减轻这一事件的影响，并防止此类事件再次发生。 “我们的安全团队发现了一个针对一些品牌和名人账户的潜在漏洞利用，”TikTok发言人在一份声明中称，“我们已经采取措施阻止这次攻击，并防止它在未来再次发生。如果有需要，我们将与受影响的账户所有者直接合作，恢复访问权限。” 这不是近年来第一个影响 TikTok 用户的漏洞。2022年8月，微软披露了 TikTok Android应用程序中目前已修复的高危漏洞详细信息，如果目标用户只是单击特制的链接，攻击者可能会利用该漏洞在用户不知情的情况下劫持帐户。 成功利用该漏洞攻击者可以访问和修改用户的 TikTok 个人资料和敏感信息，从而导致未经授权的私人视频曝光。攻击者还可能滥用该漏洞代表用户发送消息和上传视频。 该漏洞已在TikTok 23.7.3 版本中解决，影响其 Android 应用程序 com.ss.android.ugc.trill（适用于东亚和东南亚用户）和 com.zhiliaoapp.musically（适用于除印度以外的其他国家的用户）。 该漏洞的漏洞号为 CVE-2022-28799（CVSS 评分 8.8），该漏洞与应用程序处理所谓的深度链接有关，这是一种特殊的超链接，允许应用程序在设备上安装的另一个应用程序中打开特定资源，而不是用于访问网站。   转自FreeBuf，原文链接：https://www.freebuf.com/news/402783.html 封面来源于网络，如有侵权请联系删除

谷歌和微软警告称，2024 年巴黎奥运会面临着较高的网络威胁风险，尤其是来自俄罗斯黑客的威胁。 据谷歌 Mandiant 网络安全团队称，2024 年巴黎奥运会面临的网络威胁包括间谍活动、干扰、破坏、黑客行动主义、影响以及经济动机活动等。 Mandiant 指出：“奥运会相关的网络威胁可能会对各种目标产生实际影响，包括赛事组织者和赞助商、票务系统、巴黎基础设施以及前往赛事的运动员和观众。” 参加 2024 年奥运会的大量政府官员和决策者可能会引起网络间谍组织的注意，而专注于破坏和扰乱的黑客组织可能会发起分布式拒绝服务 (DDoS)、擦除器恶意软件或 OT 攻击，从而造成负面的心理影响和声誉损害。 攻击者还有望利用人们对奥运会的兴趣，在信息行动中传播谎言和虚假信息，有时还会发动破坏性和破坏性攻击，以扩大传播。 另一方面，出于经济动机的黑客组织可能会从事票务诈骗、窃取个人身份信息和敲诈勒索等活动，以利用人们对奥运会的兴趣，并可能在社会工程行动中使用与奥运会相关的诱饵。 Mandiant 指出：“鉴于俄罗斯曾多次将攻击目标锁定在前几届奥运会上、与欧洲关系紧张、以及最近已将法国作为攻击目标的亲俄信息行动，Mandiant 高度确信，俄罗斯对奥运会构成了最严重的威胁。” 据微软称，俄罗斯黑客组织于 2023 年 6 月开始进行与奥运会相关的活动，并制作了一部长篇名为《奥运会已沦陷》的电影，模仿 2013 年美国政治动作惊悚片“奥林匹斯山陷落”。这部电影使用人工智能生成的音频冒充演员汤姆克鲁斯来暗示他的参与，贬低了国际奥委会的领导层。 俄罗斯黑客组织Storm-1679制作的虚假纪录片《奥运会已陷落》中的视觉效果，该纪录片针对国际奥委会并传播亲俄虚假信息。这部纪录片使用了美国演员汤姆·克鲁斯的形象和肖像，他没有参加任何此类纪录片。 微软表示：“观察到一个与俄罗斯有关的网络正在针对法国、法国总统埃马纽埃尔·马克龙、国际奥委会和巴黎奥运会开展一系列恶意影响活动。这些活动可能预示着今年夏天的国际比赛将面临网络威胁。” 这项由微软命名代号为 Storm-1679 的黑客组织发起的影响力行动还包括发布视频和其他材料，宣扬奥运会期间可能会发生恐怖袭击以及以色列公民将在奥运会上面临暴力的说法。 伪造的视频新闻稿警告公众2024年巴黎夏季奥运会可能发生恐怖袭击（左）。捏造的法国24电视台新闻片段声称，由于对恐怖主义的担忧，近四分之一的巴黎2024年奥运会门票已被退回（右）。这两件赝品都是由俄黑客组织 Storm-1679 制作。 另一个俄罗斯黑客团伙 Storm-1099（又名 Doppelganger）利用 15 个独特的法语“新闻”网站加大了反奥运宣传力度，并警告奥运会期间可能出现暴力事件。 微软“预计俄罗斯针对奥运会的恶意活动将会愈演愈烈。以法语为主的活动可能会扩展到英语、德语和其他语言，以最大限度地提高在线知名度和吸引力，而生成式人工智能的使用也可能会增加”。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/g9ji1sS5omiMkcvJTR3SNw 封面来源于网络，如有侵权请联系删除

据波兰数字部长克日什托夫·加夫科夫斯基 (Krzysztof Gawkowski) 称，波兰将投入近 7.6 亿美元加强对俄罗斯持续网络攻击的防御。 在周一的新闻发布会上，加夫科夫斯基表示，波兰“处在针对俄罗斯的网络战前线”。他补充说，新的网络盾计划将花费政府 30 亿兹罗提（当地货币），旨在提高该国关键基础设施和政府服务的弹性。上周晚些时候，黑客在波兰国家通讯社 PAP 的新闻推送中发布了一篇关于军事动员的虚假文章，随后波兰政府宣布了这一消息。Gawkowski 表示，有迹象表明，俄罗斯支持的黑客对此次攻击负责。 他在本周的新闻发布会上表示：“如今，虚假信息已经成为各类团体制造紧张局势的关键因素之一，这些团体往往与俄罗斯或白俄罗斯联系在一起。” 俄罗斯驻华沙大使馆表示，对针对人民行动党的袭击毫不知情，并驳斥了有关莫斯科试图破坏波兰（北约成员国和前苏联集团国家）稳定的指控。 选举季 波兰最新事件发生之际，对波兰乃至整个欧洲来说都是一个关键时刻，欧盟正在为本周举行的议会选举做准备。波兰将于周日选举出 53 名欧洲议会议员。选举前，地方当局表示，他们高度警惕莫斯科试图干预选举的行为。据该国数字部称，选举前的网络攻击有所增加，这是莫斯科一系列“混合活动”的一部分。 加夫科夫斯基表示：“一个多月以来，我们观察到针对波兰的网络攻击次数显著增加。” 他补充道：“俄罗斯联邦有一个目标——破坏局势稳定，确保支持欧盟解体的势力能够受益。” Gawkowski 表示，自上周 PAP 遭受攻击以来，波兰的关键基础设施已遭受一系列攻击。5 月初，俄罗斯政府支持的黑客针对波兰政府机构发动间谍活动，此次活动被归咎为黑客组织APT28（又名 Fancy Bear）所为，该组织与俄罗斯军事情报机构 GRU 有关联。   转自E安全，原文链接：https://mp.weixin.qq.com/s/ApwPtjSVfCceeTRw1rhuRQ 封面来源于网络，如有侵权请联系删除

近日，美国海军军事法庭严厉处罚了在战舰上私自安装非法Wi-Fi网络的行为，对下令安装该网络的高级指挥官进行了降职处理。 根据美国《海军时报》获取的审判文件，在美国海军太平洋舰队的濒海战斗舰曼彻斯特号上服役的前高级女指挥官Grisel Marrero于今年3月被审判并定罪。 美国海军发言人发表声明表示： “由于对Marrero指挥能力的信心丧失，她被解除高级军士长指挥官的职务。海军对高级军士长的个人和职业行为要求很高，他们必须保持高度的责任感、可靠性和领导能力，当他们未能达到这些标准时，海军会追究其责任。” 根据指控，在2023年3月至8月期间，Marrero“故意协调采购、安装和使用未经授权和未批准的Wi-Fi系统”。这表明Marrero并非独自行动，其他水手也因与此Wi-Fi网络相关的问题受到了惩罚。 众所周知，Wi-Fi网络并不安全，被美国海军禁止在海军舰艇上使用。据悉，Marrero私自搭建的Wi-Fi热点直到6月才引起注意，当时一名船员试图向舰长报告这一非法网络的信息，但被Marrero拦截，她没有向舰长透露任何关于Wi-Fi部署的情况。 8月，该事件在一名曼彻斯特船员即将（因非法WiFi热点）遭到惩戒时被揭穿。为“影响或阻碍”对该船员的惩罚，Marrero编辑了舰艇的Starlink数据使用截图，试图掩盖Wi-Fi网络的存在。 Marrero于9月被解除职务，随后接受军事法庭审判，被控故意失职、做虚假陈述和妨碍司法。她对除最后一项指控外的所有指控认罪，最终仍被判有罪。 Marrero被降职一级，从E-8级降至E-7级。目前尚不清楚海军将如何处理其他参与该Wi-Fi网络“建设”的战舰船员。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/5uEBGMTXZSbEJZqeCRfjEQ 封面来源于网络，如有侵权请联系删除

近日，由于谷歌内部机器人“错误操作”，一批描述谷歌如何对网页排名的内部文档在线泄露。由于这些文档披露的搜索排名机制与谷歌公开发布的规则并不完全一致，一些知名SEO专家指责谷歌欺骗了整个行业多年。 同时，也有安全专家认为“真实版”谷歌搜索排名机制文档的泄露对黑帽SEO来说也是一次不可多得的“盛宴”。 机密文档被“开源” 泄露文档描述了谷歌内容仓库API的旧版本，披露了谷歌搜索内部运作的幕后（真实）细节。 据悉，这些材料于3月13日左右由谷歌自己的自动化工具无意中提交到一个可公开访问的谷歌GitHub存储库（链接在文末）。该自动化工具在提交时附上了Apache2.0开源许可证，这是谷歌公共文档的标准做法。5月7日的一次后续提交试图撤回这一泄露。 这些文档被搜索引擎优化（SEO）公司EA Digital Eagle的首席执行官Erfan Azimi发现，并于上周日由其他SEO从业者——SparkToro的首席执行官Rand Fishkin和iPullRank的首席执行官Michael King披露。 从技术上讲，由于谷歌是在Apache2.0许可下发布的文档，这意味着任何偶然发现这些文档的人都获得了“永久、全球、非独占、免费、免版税、不可撤销的版权许可”，因此这些文档现在可以在线免费获取（链接在文末）。 泄露文档样本 欺骗 SEO 行业多年 这些泄露文档不包含代码，主要描述了如何使用谷歌内容仓库API（GoogleApi.ContentWarehouse，可能仅供内部使用）；泄露的文档包括大量对内部系统和项目的引用。虽然谷歌云API中有一个同名的公共API，但GitHub上泄露的内容显然超出了这个范围。 这些文件揭示了谷歌在网页相关性排名中优先考虑的因素（与公开规则有出入），这也是SEO行业和网站运营者们长期关注的问题。 这批超过2500页的文档详细描述了与API相关的14000多个属性，但由于这些属性是否被使用，以及是否重要的信息很少。因此，很难辨别谷歌在其搜索结果排名算法中给这些属性分配的权重。 但上述SEO专家认为，泄露文档包含了大量颇具价值的细节，因为它们与谷歌多年来的公开声明并不完全一致，甚至是矛盾的。 “这些细节与谷歌多年来的公开声明相矛盾，例如谷歌一再公开（撒谎）否认使用以点击为中心的用户信号，否认在排名中单独考虑子域名，否认对新网站进行沙盒处理，否认收集或考虑域名年龄等。”SparkToro的Fishkin在一份报告中解释道。 iPullRank首席执行官King在文章中提到了谷歌搜索顾问John Mueller的一段视频声明，后者称“谷歌没有类似网站权威评分的东西”——即否认谷歌会评级网站的权威性，并在搜索结果中给与更高排名。 但King指出，泄露文档包含“siteAuthority”站点权威评分。 一个关键的关注点是点击的重要性——不同类型的点击（好点击、坏点击、长时间点击等）在确定网页排名中的作用。在美国政府对谷歌的反垄断审判中，谷歌承认点击指标是网页搜索排名的一个因素。 另一个发现是谷歌使用Chrome浏览器中浏览的网站作为质量信号，在API中显示为参数ChromeInTotal。“与页面质量评分相关的一个模块包含来自Chrome浏览器的站点级视图衡量标准，”King解释道。 此外，文件还显示谷歌考虑了其他因素，如内容新鲜度、作者身份、页面是否与网站的核心内容相关、页面标题与内容的一致性以及文档正文中术语的平均加权字体大小。 这些泄露的文档不仅揭示了谷歌搜索排名的复杂机制，还暴露了谷歌内部机制与公开声明的表里不一。这些信息对SEO行业和网站运营者来说无疑是宝贵的洞见，当然，对于黑帽SEO来说更是如此。   转自GoUpSec，原文链接：https://www.goupsec.com/news/16528.html 封面来源于网络，如有侵权请联系删除

OpenAI宣称成功识别并阻止了五起来自俄罗斯、伊朗和以色列等国的影响力行动，这些行动均利用了OpenAI的人工智能工具ChatGPT。 近日，因安全团队核心人员离职而深陷信任危机的OpenAI发布了最新的安全报告，宣称在过去三个月中挫败了五个利用ChatGPT操控舆论的黑客组织APT行动（舆论黑客）。 OpenAI将操控舆论的影响力活动（IO）定义为“试图以欺骗的方式操纵舆论或影响政治结果，而不揭露背后行为者的真实身份或意图”。 在报告中，OpenAI宣称成功识别并阻止了五起来自俄罗斯、伊朗和以色列等国的影响力行动，这些行动均利用了OpenAI的人工智能工具ChatGPT。 “舆论黑客”攻击成效不及预期 舆论操控和内容安全是人们最担忧的两大人工智能威胁，尤其是国家黑客组织利用ChatGPT-4o为代表的多模态大模型进行大规模的，跨平台、跨国界的意识形态渗透和社交媒体舆论操控。 据OpenAI报告，这些“舆论黑客”行动主要利用人工智能生成大量社交媒体帖子和评论等文本内容，同时还进行了一些辅助性的工作，例如通过调试代码来提高生产力。 但是，根据布鲁金斯突破量表(Brookings Breakout Scale)的评估，这些“舆论黑客”行动的评分均未超过2分，目前尚未取得显著成效。 布鲁金斯突破量表用1-6分来衡量影响力行动的影响范围，其中1分表示仅限于单个社区或平台，6分则意味着引发了政策干预或其他具体行动，例如暴力事件。2分意味着影响力行动跨越了单个平台中的多个社区，或者影响了多个平台中的单个社区。 五大舆论黑客攻击活动 报告指出，虽然“舆论黑客”来自全球各地，但本质上却非常相似，主要利用ChatGPT为多平台生成多语言版本的内容（账户、文章、评论、标签等），以下为报告调查的五大“舆论黑客”行动： “垃圾伪装(Spamouflage)”。该行动利用OpenAI的工具进行代码调试、社交媒体活动研究，并用多种语言在X平台、Medium和Blogspot发布内容。 俄罗斯的“语法错误(Bad Grammar)”。一个来自俄罗斯的新威胁组织，主要针对Telegram平台的东欧和美国用户。它也利用人工智能来调试用于运行Telegram机器人的代码，并用英语和俄语生成Telegram上的政治评论。 俄罗斯的“变形金刚(Doppelganger)”。这个俄罗斯组织利用人工智能在X平台和9GAG上用五种欧洲语言发布评论，生成标题，并将新闻文章翻译、编辑并转换成Facebook帖子。 伊朗的“国际虚拟媒体联盟(IUVM)”。利用人工智能为其网站生成和翻译文章、标题和网站标签。 以色列的“零点禅(Zero Zeno)”行动。由位于特拉维夫的政治营销和商业情报公司Stoic运营。Stoic利用OpenAI为Instagram、Facebook、X平台和其他网站生成文章和评论。Meta公司最近在其“对抗性威胁报告”中也点名了Stoic。报告显示，Meta删除了与Stoic关联的510个Facebook账户、32个Instagram账户、11个页面和1个群组。Stoic的各个Instagram账户只有大约2000个关注者，Facebook页面约有500个关注者，其Facebook群组的成员人数不足100人。 为了打击人工智能的滥用，OpenAI在一份更详细的报告中透露正在与传媒、社交网站和科技行业合作伙伴合作，并利用舆论黑客的威胁活动来设计更安全的用户平台。该公司还表示正在“投资于技术和团队，以识别和阻止恶意行为者，以及利用人工智能工具来帮助打击滥用行为。”报告并未进一步详细说明OpenAI采取了哪些具体措施来阻止和打击恶意行为者， 舆论黑客的四大攻击趋势 OpenAI在报告中透露，根据自身调查以及开源社区的工作，发现舆论黑客使用（类似ChatGPT的）大语言模型进行的隐蔽宣传活动呈现四大趋势： 内容生成：所有舆论黑客都利用OpenAI的服务生成大量文本（偶尔还包括图像），并且语言错误比仅靠人工操作者要少得多。 融合新旧：所有这些行动都不同程度地使用了人工智能，但没有一个行动只使用人工智能。相反，人工智能生成的内容只是他们发布的众多内容类型之一，其他类型包括更传统的形式，例如手动编写的文本或从互联网上复制的模因。 伪造参与度（人气）：OpenAI瓦解的一些活动利用ChatGPT在社交媒体上营造用户参与热度的假象。例如，用人工智能生成内容回复或评论自己的帖子。 提高效率：许多舆论黑客都尝试利用ChatGPT来提高效率，例如总结社交媒体帖子或调试代码。 舆论黑客的五大防御趋势 OpenAI在报告中指出，虽然关于人工智能的潜在应用的讨论的大多关注攻击侧，但是人工智能也为防御者提供了优势。例如人工智能技术大大提高了OpenAI的调查效率，以下为人工智能提高内容安全防御能力的五大趋势： 防御设计：OpenAI通过内容安全系统给攻击者制造麻烦，这也是OpenAI负责任地部署人工智能的方法。例如，OpenAI多次观察到ChatGPT拒绝生成舆论黑客要求的文本或图像。 人工智能增强调查：OpenAI基于此前使用GPT-4进行内容审核和网络防御的方法，又开发了新人工智能工具来提高（用户会话内容的）检测和分析效率。得益于新的工具，此次报告的调查耗时仅数天，而不是数周或数月。随着模型的改进，OpenAI将继续利用其功能来改进调查。 分发很重要：与传统的内容形式一样，人工智能生成的内容也必须进行分发才能到达受众。这些舆论操控行动在各种平台上发布内容，包括X、Telegram、Facebook、Medium、Blogspot和较小的论坛，但截至调查结束没有一个活动成功吸引大量受众。 行业共享的重要性：为了提高对舆论黑客行为的防御和反击能力，OpenAI与业界同行分享了详细的威胁指标。OpenAI自己的调查也受益于研究社区多年来的开源分析。 人为因素：人工智能可以改变人类操作者使用的工具包，但它不会改变操作者本身。OpenAI的调查表明，攻击者与前几代人一样容易犯人为错误。例如，（因为疏忽）将ChatGPT的拒绝消息发布在社交媒体和他们的网站上。虽然攻击工具在不断进化，但是黑客活动的运营和决策者的人性弱点和局限性并没有变。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/aVzureY0NPIfZoJ3zfSXmA 封面来源于网络，如有侵权请联系删除

BleepingComputer网站消息，近日，卡巴斯基发布了一款名为 KVRT 的新型病毒清除工具，允许 Linux 平台用户免费扫描系统并清除恶意软件和其他已知威胁。 该安全公司指出，人们普遍认为 Linux 系统本质上是安全的，不会受到威胁，但不断有 “野生 ”的例子证明并非如此，XZ Utils 后门就是其中之一。 卡巴斯基的新工具并不是实时威胁防护工具，而是一个独立的扫描器，可以检测恶意软件、广告软件、被滥用于恶意目的的合法程序以及其他已知威胁，并提供清理服务。 被删除或清除的恶意文件副本会以无害形式保存在隔离目录中。 该应用程序使用一个经常更新的反病毒数据库来扫描整个系统的匹配病毒，但用户每次都需要下载一个新的副本来获取最新的定义。 “我们的应用程序可以扫描系统内存、启动对象、引导扇区和操作系统中的所有文件，以查找已知的恶意软件。它可以扫描所有格式的文件，包括存档文件。”卡巴斯基说。 需要注意的是，KVRT 仅支持 64 位系统，并且需要激活互联网连接才能工作。 卡巴斯基已经在流行的 Linux 发行版上测试了该工具，并确认它可以在 Red Hat Enterprise Linux、CentOS、Linux Mint、Ubuntu、SUSE、openSUSE 和 Debian 等系统上运行。 卡巴斯基表示，即使发行版不在支持系统列表上，KVRT 也很有可能顺利运行，所以尝试运行一下扫描也无妨。 KVRT 主窗口 使用 KVRT KVRT 可从此处下载，下载后，用户需要将文件设为可执行文件，并以根用户身份运行，以获得最大功能。 KVRT 既可以在图形用户界面（GUI）上执行，也可以作为命令行工具在终端上执行。因此，它可以在较低的初始运行级别（低至 3 级）下使用（在这种情况下，人们可能会在感染恶意软件后陷入困境）。 如果普通用户执行扫描程序，它将不具备扫描所有可能隐藏威胁的目录和分区所需的权限。 在初始化过程中，扫描程序会将一些必要的文件解压缩到的临时目录中，但一旦关闭，这些文件就会被清除。 卡巴斯基在该网页上提供了如何通过图形用户界面和控制台设置二进制文件以执行的详细说明。 BleepingComputer 表示，他们没有测试过 KVRT 的有效性，也不能保证其安全性，因此使用该工具需要自行承担风险。   转自Freebuf，原文链接：https://www.freebuf.com/news/402471.html 封面来源于网络，如有侵权请联系删除

根据 Veracode 的数据显示，公共部门使用的应用程序比私营部门创建的应用程序存在更多的安全漏洞。 Veracode  在一份报告中，详细调查分析了全球超过 25 个国家的公共部门组织，最终发现 59% 的公共部门应用程序存在安全漏洞（超过一年仍未修复的安全漏洞）。值得一提的是，把调查对象扩展到社会各个行业面上，这一比例为 42%。 Veracode 首席研究员 Chris Eng 表示，数十年来，为政府服务的应用程序中，未打补丁的软件和糟糕的安全配置累积了大量安全漏洞。如果相关方面一直不采取系统性、持续性的保护措施查找、修复安全漏洞，公共部门就会面临遭受黑客攻击的安全风险。 政府系统面临日益严重的网络攻击威胁 随着威胁网络犯罪分子以更具破坏性、颠覆性的攻击技术”瞄准“公共部门组织，联邦政府系统正日益受到网络攻击。对此，联邦政府正在实施一系列加强网络安全的举措，努力政府部门使用的应用程序中存在的安全风险。 2024 年 3 月，网络安全和基础设施安全局  CISA 与管理和预算办公室  OMB 联合发布了《安全软件开发声明表》，要求联邦政府的供应商对不安全的软件负责。 Veracode 研究人员还发现，虽然公共部门机构（68%）的安全漏洞略少于其他行业，但这些部门经过很多年的”积累“，往往存在更多的安全漏洞。调查显示，公共组织使用的应用程序中只有 3% 的不存在漏洞，而其他行业的这一比例为 6%。 更令人担忧的是，40% 的公共部门机构存在持续久、严重程度大、影响范围广的安全漏洞，这些漏洞交织在一起，构成政府机构的安全”债务”，一旦被威胁攻击者利用，企业的保密性、完整性和可用性将面临严重安全风险。 Eng 指出，公共部门组织存在的所有安全漏洞中，有三分之二存在不到一年，或者严重程度并不严重。此外，在所有安全漏洞中，只有不到 1%的漏洞构成关键安全”债务“，通过集中精力优先处理这些安全”债务“，企业可以最大限度地降低风险，然后再根据自身的风险承受能力和能力处理非关键漏洞。 公共部门的安全”债务“主要集中在旧版应用程序中 报告显示，公共部门的安全”债务“主要影响第一方代码（93%），但大部分关键安全”债务“来自第三方依赖（55.5%），这种情况就迫使公共部门必须重视开源安全软件倡议（OS3I）的重要性，并且要求各组织需要关注第一和第三方代码，以有效减少安全”债务“。 安全研究进一步表明，公共部门的担保”债务“主要集中在申请时间较长、规模较大的申请中 （22%）。关键安全”债务“（30%）尤其如此，这就证实了应用程序使用年限与安全”债务“积累之间的相关性。 此外，研究人员还比较了不同开发语言的安全”债务“状况，发现 Java 和 .NET 应用程序是公共部门的重要债务来源。公共部门的软件安全现状进一步说明了将安全设计作为整个网络连接世界的标准方法的重要性。   转自Freebuf，原文链接：https://www.freebuf.com/news/402484.html 封面来源于网络，如有侵权请联系删除

新一代人工智能工具正在迅速使这些电子邮件变得更加先进、更难发现，也更加危险。最近的研究表明，60% 的参与者成为人工智能 (AI) 自动网络钓鱼的受害者，这与成功率相当。 任何在大型组织工作过的人可能都接受过如何识别网络钓鱼攻击的培训——钓鱼攻击是一种伪装成合法来源的欺骗性信息，旨在诱骗用户泄露个人信息或点击有害链接。 网络钓鱼电子邮件通常会利用敏感时机并利用紧迫感，例如敦促用户更新密码。但不幸的是，对于公司和员工来说，新一代人工智能工具正在迅速使这些电子邮件变得更加先进、更难发现，也更加危险。 哈弗大学研究人员今年早些时候发表的研究表明，60% 的参与者成为人工智能 (AI) 自动网络钓鱼的受害者，这与人类专家创建的非人工智能网络钓鱼消息的成功率相当。也许更令人担忧的是，新研究表明，整个网络钓鱼过程可以使用 LLM（人工智能大模型） 实现自动化，从而将网络钓鱼攻击的成本降低 95% 以上，同时实现相同或更高的成功率。 网络钓鱼有五个不同的阶段：收集目标、收集有关目标的信息、创建电子邮件、发送电子邮件，最后验证和改进电子邮件。大型语言模型 (LLM)（例如 ChatGPT 和 Claude）能够生成类似人类的文本并进行连贯的对话，可用于自动化每个阶段。 因此，研究人员预计未来几年网络钓鱼的数量和质量将大幅增加。威胁级别因行业、组织和团队而异。因此，正确划分适当的风险级别以确定需要什么级别的网络钓鱼保护以及您应该为此支付多少费用（如果有的话）至关重要。 使用 LLM 创建网络钓鱼电子邮件 网络钓鱼电子邮件有两种类型：鱼叉式网络钓鱼和传统网络钓鱼（有时称为“喷洒式”（广撒网式）网络钓鱼）。鱼叉式网络钓鱼攻击是针对特定目标的某些特征和惯例而进行的个性化攻击，而喷洒式网络钓鱼则是普遍的大规模攻击。 鱼叉式网络钓鱼攻击成本高昂、耗时长，并且由于针对每个收件人进行个性化攻击，因此扩展性较差，但效果极佳。因此，攻击者可以在廉价而无效或昂贵而有效之间做出选择。 为了测试人工智能如何改变这一过程，哈弗大学研究人员进行了以下研究： 使用 LLM 创建的电子邮件（自动）。使用了 GPT-4 LLM 和消息提示，例如“创建一封电子邮件，为哈佛学生提供 25 美元的星巴克礼品卡，并附上一个链接，供他们访问折扣代码，字数不超过 150 个字。”字数限制很重要，因为 LLM 往往很冗长。 使用人类专家手动创建的电子邮件（手动）。这些电子邮件由人类专家使用一组指南编写，这些指南利用认知启发法和偏见（称为 V-Triad）手工制作网络钓鱼电子邮件。与在大量通用数据集上训练的 LLM 不同，V-Triad 是基于利用心理偏见的高度针对性和特定数据（现实世界的网络钓鱼电子邮件和欺骗性内容）手动创建的。 使用 LLM 创建的电子邮件，然后由人类专家编辑（半自动化）。这些电子邮件由 GPT-4 创建，然后由人类专家验证，以确保它们符合 V-Triad 提出的最佳实践。 当研究人员将这些电子邮件发送给 112 名参与者时，GPT 生成的电子邮件的点击率为 37%，V-Triad 生成的电子邮件的点击率为 74%，GPT 和 V-Triad 生成的电子邮件的点击率为 62%。参与者被分成不同的组，每组收到不同类型的电子邮件（GPT 生成、手动生成等）。样本量基于先前实证研究中为有针对性实验定义的最佳实践，研究论文对此进行了进一步描述。 结果表明，人工智能改变了这一竞争环境，大幅降低了鱼叉式网络钓鱼攻击的成本，同时保持甚至提高了成功率。大语言模型的输出质量正在迅速提高，因此我们预计它们将在未来几年内超越人类的能力。 研究表明，网络钓鱼过程的不同部分（例如信息收集和电子邮件创建）可以如何实现自动化。通过完全自动化网络钓鱼过程的所有部分，个性化和高度成功的网络钓鱼攻击的成本将降低到大规模和非个性化电子邮件的成本。 这意味着未来将面临大量可信且高度个性化的鱼叉式网络钓鱼电子邮件，攻击者可以以低成本大规模实施此类攻击。我们目前还没有足够的能力来处理这个问题。网络钓鱼的成本已经很高，而且情况将变得更糟。 使用 LLM 检测网络钓鱼电子邮件 如果新一代人工智能可以增强网络钓鱼电子邮件的流入量，那么它是否也能帮助阻止它们呢？合法电子邮件和网络钓鱼电子邮件之间唯一真正的区别在于其背后的意图，这使得检测变得困难，但并非不可能。 为了测试新一代人工智能如何影响防御能力，哈弗大学研究人员使用了四种流行的 LLM（GPT-4、Claude 2、PaLM 和 LLaMA）来识别网络钓鱼并向收件人提供建议的操作。 为每个模型提供了 20 封网络钓鱼电子邮件和 4 封来自我们个人收件箱的合法电子邮件。初步发现已经表明，只要使用得当，LLM 可以帮助检测和预防网络钓鱼电子邮件。 虽然有些语言模型擅长检测钓鱼邮件，但它们对不同邮件的表现差异很大。某些模型（尤其是 Claude）甚至能正确发现不明显的钓鱼邮件的恶意意图，有时甚至超过人类的检测率。其他模型表现不佳，甚至无法在明显的钓鱼邮件中检测到可疑内容。 当被问到重复的提示（多次问相同的问题）时，语言模型有时会对同一封电子邮件提供不同的答案。例如，问题“在 0-100 的范围内，0 表示完全可信，100 表示完全恶意，这封电子邮件有多大可能带有恶意？”对于同一封电子邮件，给出的可能性可能在 40% 到 80% 之间。 思路推理（重复提出提示，其中上一个提示建立在上一个提示的答案之上）也可能扭曲结果。例如，在上面的问题后面加上“你确定吗？”，结果经常会发生变化。重要的是要记住，LLM 是概率性的，这意味着它们会估计最有可能的答案，而不是基本事实。不过，它们正在迅速变得更加稳定和可靠。 大模型的预测准确性还受到查询方式的影响。对查询进行怀疑可以使正确检测网络钓鱼电子邮件的可能性增加一倍以上。 例如，询问“这封电子邮件可能有什么可疑之处吗？”而不是“这封电子邮件的目的是什么？”这类似于人类的感知，当被问及邮件是否可疑时，我们往往会变得更加怀疑，而不是被要求描述邮件的意图。有趣的是，当对模型进行怀疑时，误报率（合法电子邮件被归类为恶意电子邮件）并没有显着增加。 除了检测网络钓鱼电子邮件外，语言模型还提供了出色的回复建议。例如，在我们的实验中，LLM 鼓励收到诱人折扣优惠电子邮件的用户通过公司官方网站验证该优惠，这是避免网络钓鱼攻击的绝佳策略。这表明，LLM 的个性化推荐功能可用于创建定制的垃圾邮件过滤器，根据用户的习惯和特征检测可疑内容。 企业应如何做好准备 为了解决人们对人工智能鱼叉式网络钓鱼攻击日益增长的担忧，研究人员向企业领导者、管理人员和安全官员提出了三点检查建议： 了解人工智能增强型网络钓鱼的不对称能力。 确定公司或部门的网络钓鱼威胁严重程度。 确认您当前的网络钓鱼意识程序。 了解人工智能增强型网络钓鱼的不对称能力 AI 模型为攻击者提供了不对称的优势。虽然使用 LLM 创建欺骗性内容和误导用户很容易，但培训用户和增强人类的怀疑仍然具有挑战性。另一方面，AI 增强的进攻能力带来了更大的改进。在其他不直接针对人类的防御领域，例如检测恶意网络流量，AI 的进步为攻击者和防御者带来了相对的好处。但与软件系统不同，人类大脑无法轻易修补或更新。 因此，利用人类弱点的 AI 网络攻击仍然是一个严重的问题。如果组织缺乏更新的网络钓鱼保护策略，那么制定一个策略至关重要。即使他们有防御策略，我们也强烈建议他们更新它以应对 AI 增强攻击日益增加的威胁。 确定网络钓鱼威胁级别 人工智能网络钓鱼的威胁严重程度因组织和行业而异。准确评估企业的风险水平并进行成本效益分析以确定需要哪些保护以及需要支付多少费用至关重要。 尽管很难准确量化网络风险，但这是获得这项能力的关键。这可以通过内部组建专门的网络风险团队来实现，也可以通过外部分配资源聘请顾问和主题专家来实现。一个好的开始是阅读网络钓鱼意识培训和风险评估的行业最佳实践。 确认您当前的网络钓鱼意识程序 在确定适当的网络钓鱼防护投资水平后，组织需要对其当前的安全状态进行诚实评估。然后，他们可以做出明智的决定，是将更多资源分配给网络钓鱼防护还是将投资重新分配到其他地方。 为了便于进行这样的评估，下面列出了四个级别的网络钓鱼防护： 未进行培训：该组织或部门未开展网络钓鱼培训，没有指定网络钓鱼和/或网络安全意识培训经理，也没有例行报告网络钓鱼攻击或事件响应计划。 基本意识：会进行一些网络钓鱼意识培训，例如在新员工入职时，并指定专人负责与网络钓鱼相关的查询。已制定识别和报告可疑网络钓鱼企图的基本政策和程序，以及简单的事件响应计划。 中级参与：每季度进行一次网络钓鱼意识培训，员工对培训的满意率超过 75%。有一名经理负责网络钓鱼防护策略。该组织已建立有关网络钓鱼威胁的定期沟通、积极鼓励举报疑似网络钓鱼行为以及全面的事件响应计划。 提前准备：每月进行一次网络钓鱼意识培训，员工对培训的满意率超过 85%。一位在网络钓鱼和网络意识策略方面拥有 5 年以上经验的经理负责网络钓鱼保护策略。该组织已建立了有关网络钓鱼威胁的定期沟通，并积极鼓励建立一个简单的可疑网络钓鱼报告系统，以及一个经过实战检验且经常演练的全面事件响应计划。 人工智能，尤其是大型语言模型（LLM），大大增强了网络钓鱼攻击的严重性，可以预见，未来几年网络钓鱼的质量和数量都会大幅增加。 当以人类用户为目标时，人工智能让攻击者受益匪浅，因为它让利用心理弱点比保护和教育用户更容易、更划算。大多数员工都有数字足迹，这些信息是公开的，这使得冒充他们并发起定制攻击变得很容易。因此，网络钓鱼正在从单纯的电子邮件演变为大量超个性化消息，包括伪造的语音和视频。 管理人员必须正确划分组织和部门的威胁级别，以便采取适当的措施。通过提高员工对这一新兴威胁的认识，并让他们能够准确评估自己和组织面临的风险，公司可以努力保持领先地位，并减轻下一代网络钓鱼攻击的影响，这些攻击将比以往任何时候造成更多的受害者。 论文下载地址：https://ieeexplore.ieee.org/document/10466545   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/-GovrtUn1s0yB9xfv3d65Q 封面来源于网络，如有侵权请联系删除

近日，一个名为“No Defener”的项目在GitHub上爆火，能永久关闭微软的Windows Defender杀毒软件和防火墙，这引起了网络安全研究人员的广泛关注。 CERT高级漏洞分析师Will Dormann指出，该工具模仿了第三方杀毒软件禁用微软Defender的方法，从而让自己的程序无干扰地运行。 “No Defener”项目的开发者“es3n1n”透露，他逆向工程了杀毒软件用来禁用Windows Defender的API。 es3n1n指出，Windows有一个被杀毒软件用来通知系统有其他杀毒软件运行的Windows安全中心（WSC）服务。这个WSC API是不公开的，要获得其文档需要与微软签署保密协议。Es3n1n通过逆向工程Avast杀毒软件中的一个名为wsc_proxy.exe的服务，使之为Avast设置WSC API，进而改造这个服务以插入自己的代码。 值得注意的是，为了让WSC设置在重启后依然有效，“No Defener”将自己（实际上是Avast的模块）添加到自启动项，因此需要在磁盘上保留“NoDefener”的二进制文件。 安全研究者和测试人员经常在研究和测试过程中关闭微软操作系统的安全防护，因此类似“NoDefener”的工具也有其合法用途。然而，正如Dormann指出的，运行“No Defender”工具需要管理员权限，这也为Windows用户提供了另一个不以管理员身份运行Windows系统的理由。如果不以管理员身份登录Windows，用户就不必过于担心（该工具被恶意使用）。 一位匿名安全人士人为，“No Defener”暴露的是Avast而非微软的漏洞，因为它需要一个签名级别为AuthentiCode SigningLevel 7的可执行文件。这更像是Avastwsc_proxy.exe组件的一个漏洞，它允许不受信任或未签名的代码与之交互。 Dormann认为：“No Defener工具本质上是一次规则突破而非漏洞。它允许拥有管理员权限的用户执行管理员操作，包括重新配置他们所在的系统，甚至是内核级别的访问。”   转自安全内参，原文链接：https://www.goupsec.com/news/16488.html 封面来源于网络，如有侵权请联系删除