如今，越来越多黑客开始利用微软图形应用程序接口（Graph API）逃避安全检测。博通公司旗下的赛门铁克威胁猎人团队在一份报告中提到，这样做是为了方便与托管在微软云服务上的命令与控制（C&C）基础设施进行通信。 自 2022 年 1 月以来，已观察到多个与国家结盟的黑客组织使用微软图形 API 进行 C&C。其中包括被追踪为 APT28、REF2924、Red Stinger、Flea、APT29 和 OilRig  等黑客组织。 在微软图形应用程序接口（Graph API）被更广泛地采用之前，第一个已知的微软图形应用程序接口滥用实例可追溯到 2021 年 6 月。当时一个被称为 Harvester 的组织使用了一个名为 Graphon 的定制植入程序，该植入程序利用 API 与微软基础架构进行通信。 赛门铁克称最近检测到了针对乌克兰一个未具名组织使用了相同的技术，其中涉及部署一个以前未记录的名为 BirdyClient（又名OneDriveBirdyClient）的恶意软件。 这是一个名称为 “vxdiff.dll “的 DLL 文件，与一个名为 Apoint 的应用程序（”apoint.exe”）的合法 DLL 文件相同，其目的是连接到 Microsoft Graph API，并将 OneDrive 用作 C&C 服务器，从中上传和下载文件。 目前尚不清楚 DLL 文件的确切传播方式，也不知道是否涉及 DLL 侧载，具体威胁方以及最终目的是什么目前也是未知。 赛门铁克表示：攻击者与 C&C 服务器的通信通常会引起目标组织的警惕。Graph API 之所以受到攻击者的青睐，可能是因为他们认为这种通信方式不太会引起怀疑。 除了看起来不显眼之外，它还是攻击者廉价而安全的基础设施来源，因为OneDrive 等服务的基本账户是免费的。Permiso 揭示了拥有特权访问权限的攻击者如何利用云管理命令在虚拟机上执行命令。 这家云安全公司表示：大多数情况下，黑客会利用信任关系，通过入侵第三方外部供应商或承包商，在连接的虚拟机或混合环境中执行命令，而这些外部供应商或承包商拥有管理内部云环境的权限。 通过入侵这些外部实体，黑客可以获得高级访问权限，从而在虚拟机或混合环境中执行命令。   转自FreeBuf，原文链接：https://www.freebuf.com/news/399970.html 封面来源于网络，如有侵权请联系删除

therecord 网站消息，研究人员发现，联邦政府维护的已知被利用漏洞（KEV）目录对联邦政府内外的组织机构产生了实质性的影响。 网络安全和基础设施安全局（CISA）的 KEV 目录已经运行了近三年，早已迅速成为全球黑客积极利用的软件和硬件漏洞的首选存储库。对此，网络安全扫描公司Bitsight 的专家提出了一个问题：”与不在 KEV 目录中的漏洞相比，企业修复 KEV 的速度是否更快？“ 答案明确是「是」。根据 Bitsight 的研究人员对 100 多万个实体（包括公司、学校、地方政府等）进行漏洞扫描的数据显示，KEV 所列漏洞的修复时间中位数为 174 天，而非 KEV 所列漏洞的修复时间为 621 天。换句话说，修补目录中列出的漏洞所需的时间中位数是非 KEV 漏洞的 3.5 倍。 该公司证实，KEV 列表通过帮助公司和地方政府从大量漏洞中筛选出真正重要的漏洞产生了实际效果。2023 年，在 Bitsight 观察到的所有组织中，有 35% 的组织处理过 KEV ，其中绝大多数的组织有一个以上的 KEV。 漏洞修复时间 每个添加到 KEV 列表中的漏洞都附带一个截止日期，该日期根据漏洞的严重程度和被定位的紧急性而有所不同。这个截止日期正式适用于联邦机构，但对于美国政府之外的组织，它可以作为漏洞严重程度的一个指南。 Bitsight 发现，受 CISA 约束性指令监管的联邦民事机构比其他组织更有可能在截止日期前解决 KEV 漏洞，概率高出 63% 。而大约 40% 的组织（即那些不必遵守 CISA 规定的联邦政府以外的组织）能够在 CISA 的截止日期前解决漏洞。 报告指出，从 KEV 列表创建至今，给予漏洞修补的截止日期发生了巨大变化。该列表首次创建时，CISA 通常给联邦民事机构一周、两周或六个月的时间来修补漏洞。但到 2022 年春季，他们将截止日期调整为三周。直到最近几个月，又重新规定了一周的期限。 为什么会发生这种变化？早期的这些漏洞通常在添加到 KEV 目录时就已经存在了，考虑到这种情况，CISA 给组织时间解决问题似乎是合理的。 截止日期还可能受漏洞是否被勒索软件使用的影响：一周内需要解决的漏洞比其他漏洞更容易被用于勒索软件，因为这些漏洞非常紧急，如果黑客在组织机构系统上利用它们，可能会造成重大损失。 科技公司是最快解决漏洞的公司之一，部分原因是它们在 Bitsight 列出的暴露漏洞最多的行业中名列榜首。 在 Bitsight 追踪的行业中，教育机构和地方政府的情况最为糟糕，这两个行业受 KEV 列表漏洞影响较大，修复时间较慢。而保险公司、信用社和工程公司受 KEV 列表漏洞影响的程度相对较低，通常修复问题的速度也较快。 列表上的新漏洞 上周，CISA 在 KEV 列表中增加了两个漏洞。其中被命名为 CVE-2024-29988 的漏洞是微软在四月份发布的 “补丁星期二”（Patch Tuesday）中公布的，该漏洞会影响微软产品中包含的云端反钓鱼和反恶意软件组件 SmartScreen。 Immersive Labs 的首席网络安全工程师本·麦卡锡（Ben McCarthy）表示，SmartScreen 是一个大型弹出窗口，会警告用户有关运行未知文件的情况，它通常是网络钓鱼攻击的终端，用于吓唬用户，让他们不敢继续打开文件。 他补充说，该漏洞在使用文件下载作为获取初始访问权限的攻击技术的攻击者中很流行，因为他们想找到绕过 SmartScreen 等安全功能的方法。 CISA 指出，在攻击过程中，该漏洞可以与 CVE-2024-21412 链接。一位发现 CVE-2024-21412 和 CVE-2024-29988 漏洞的零日计划研究人员表示，通过直接手段（电子邮件和直接消息）进行的社会工程攻击需要某种用户交互，这是这类漏洞典型的利用途径。 CVE-2024-21412 被用作 DarkGate 活动的一部分，该活动利用假冒苹果 iTunes、Notion、英伟达（NVIDIA）等公司的虚假软件安装程序。Microsoft Defender SmartScreen 本应为终端用户提供额外保护，防止网络钓鱼和恶意网站，但由于这些漏洞绕过了安全功能，导致终端用户感染恶意软件。 上个月，《Bleeping Computer》报道称，一个出于经济动机的黑客组织利用该漏洞攻击了外汇交易论坛和股票交易 Telegram 频道。   转自FreeBuf，原文链接：https://www.freebuf.com/news/399968.html 封面来源于网络，如有侵权请联系删除

Forrester近日发布《2024年网络安全威胁预测报告》指出，人工智能正重塑网络安全格局，武器化大语言模型正成为首选攻击工具，安全团队在应对武器化人工智能攻击方面将面临日益严峻的挑战。此外，Forrester还预测2024年网络安全行业将面临诸多新兴威胁，热点包括深度伪造、APT组织和网络犯罪团伙兜售的“勒索软件即服务”、FraudGPT恶意大模型、物联网攻击服务，以及无痕攻击（无法被网络安全系统检测到的定制化恶意软件攻击）。 根据CrowdStrike最新发布的《2024年全球威胁报告》显示，无痕攻击在所有攻击事件中的占比从2022年的71%上升到2023年的75%。 数据泄露平均成本高达218万美元 2024年企业网络安全态势空前严峻。Forrester最近针对安全和风险管理专业人士的调查发现，近八成(78%)的受访者表示其组织的敏感数据在过去12个月中至少被泄露或入侵过一次。报告指出：“一次成功的网络攻击会成为未来攻击的信号弹。” 对比2022年和2023年的安全调查数据，过去12个月内经历过6到10次攻击的受访者比例增加了13%。48%的受访者曾遭遇过损失超过100万美元的网络攻击或数据泄露事件。其中大多数数据泄露事件的修复成本在200万至500万美元之间(27%)，还有3%的事件的修复成本超过1000万美元。 数据泄露的平均预估成本为218万美元。接受采访的每3位安全和风险管理专业人士中就有1位遭受过总损失额在200万至1000万美元以上的数据泄露事件。——Forrester Forrester评选的2024年五大安全威胁 利用虚假信息操纵舆论、日益增长的深度造假风险、生成式人工智能数据泄露、人工智能软件供应链漏洞以及太空安全是Forrester今年警告的五大安全威胁。下面将逐一进行概述。 1 大选年的叙事（舆论）操控攻击 舆论操控攻击通过操纵信息、破坏其可信度来抹黑或扭曲叙事的真实含义。Forrester的报告写道：“新技术使传播复杂的虚假信息和错误信息变得更加轻松快捷。2024年将有64个国家举行选举，因此旨在塑造舆论和影响行为的叙事操控攻击将尤为盛行。”Forrester指出，俄罗斯国家攻击者就曾利用舆论操控攻击试图在美国和墨西哥边境争论问题上挑动政治分歧。美国情报界最近发布的《2024年年度威胁评估》详细解释了国家攻击者如何利用舆论操控攻击和其他技术扰乱外交政策和选举。 2 深度伪造引发身份安全危机 深度造假是快速增长的威胁之一，其背后的推动力包括易于获取的廉价计算能力、生成式人工智能算法（包括生成对抗网络(GAN)和自动编码器）以及用于转换人物图像（例如换脸）的移动应用程序激增。其目标是创建具有高度音视频可信度的逼真人物形象。深度伪造通常用于创建用于欺诈、实施勒索软件攻击、窃取数据和知识产权(IP)的合成身份。Forrester指出，一些深度伪造案例被用于操纵股价、损害企业声誉和品牌、降低员工和客户体验以及放大错误信息。识别和阻止深度伪造威胁需要能够检测音频和图像篡改的算法。 Forrester建议IT和安全团队研究如何使用身份验证器应用程序来控制媒体源，并通过额外的验证和保护层封装面部和语音生物识别技术，包括行为生物识别、设备ID指纹识别/信誉、机器人管理和检测、数字技术欺诈管理和无密码身份验证。 3 生成式人工智能数据泄露 对于许多CISO来说，防御生成式人工智能泄露敏感数据的重点是提示工程、提示注入和重复提示攻击。随着越来越多的企业引入基于生成人工智能的应用程序，数据泄露风险正不断累积。鉴于微软Copilot、Salesforce Einstein GPT、Anthropic的Claude或Perplexity等大语言模型工具带来的生产力提升，CISO并不愿意完全禁止使用这些工具。Forrester指出，目前已经涌现出一些用于内容分析和过滤的新技术，包括PrivateAI、Prompt Security、ProtectAI和数据泄露防护(DLP)供应商，这些供应商正试图重新定位或转向提供此领域的安全控制。此外，思科、CradlePoint的Ericom生成人工智能数据泄露防护、Menlo Security、Nightfall A.I、Wiz和Zscaler是市场上提供此类安全方案的代表性厂商。 其中，CradlePoint的独特之处在于它依赖于无客户端方法，该方法在Ericom云平台内的虚拟浏览器中执行用户与生成人工智能网站的交互。CradlePoint表示，这种方法能够在其云平台中部署数据丢失防护和访问策略控制。通过将所有流量路由到专有云平台，可以防止将个人身份信息(PII)或其他敏感数据提交到ChatGPT等生成式人工智能网站。 4 人工智能软件供应链攻击 在人工智能软件供应链的源代码中嵌入恶意可执行程序是一种特别难以防范的威胁。攻击软件供应链并制造混乱是勒索软件攻击者偏爱的策略。国家黑客攻击者、网络犯罪集团和高级持续威胁(APT)组织也经常攻击软件供应链，因为它们从来都是软件公司或企业防御最薄弱的环节。值得注意的是，在短短一年内，91%的企业成为软件供应链事件的受害者，这凸显了对持续集成/持续部署(CI/CD)管道采取更好保护措施的必要性。 GitHub和Hugging Face是最受欢迎的开源模型和框架之一。在人工智能软件供应链入侵尝试中，攻击者还会寻找利用供应链和框架的机会。Forrester援引了OpenAI的ChatGPT被泄露的事件，该事件是由于恶意行为者利用了Redis开源库中的漏洞造成的。大语言模型只是高度复杂的AI生态系统的一小部分。 5 太空成为安全战略高点 间谍卫星和先进技术是各国攻击武器库的核心组成部分。美国外交关系委员会发现，2022年78%的国家网络攻击的目的是间谍活动，到2023年这一比例上升到82%。卫星正成为越来越需要保护的关键威胁面。2023年4月，网络空间日光委员会敦促白宫将太空设施纳入关键基础设施范畴，此前俄罗斯在入侵乌克兰期间攻击了Viasat的卫星网络。2023年晚些时候，德国研究人员披露了卫星技术中发现的巨大漏洞。鉴于不断变化的地缘政治格局，卫星供应链正受到更严格的审查。 构建更具网络弹性的卫星离不开强大的安全网络为卫星供应链（包括地面和航天器）提供保护。截至2022年底，共有6718颗活跃卫星环绕地球运行，预计到2030年还将发射5.8万颗卫星。美国国防情报局在其2022年《太空安全挑战》报告中写道：“太空正变得越来越军事化。一些国家已经开发、测试和部署了各种卫星和反太空武器。中国和俄罗斯正在开发新的太空系统以提高其军事能力并减少对美国太空系统的依赖。”   转自会GoUpSec，原文链接：https://mp.weixin.qq.com/s/fLC-BdeFZ90YmsPrqc9DCg 封面来源于网络，如有侵权请联系删除

工业巨头霍尼韦尔发布了关于 USB 传播的恶意软件对工业组织构成威胁的第六份年度报告，警告其复杂性有所增加。 该报告基于该公司的全球分析、研究和防御 (GARD) 团队使用安全产品收集的数据进行的分析，该产品旨在检测和阻止客户工业环境中使用的 USB 驱动器上的恶意软件。 与前两年相比，过去一年的一些数据基本没有变化。在霍尼韦尔产品在 USB 驱动器上检测到的所有恶意软件中，31% 是已知针对工业系统或公司的攻击活动的一部分或与其相关。 与过去几年类似，超过一半的恶意软件旨在通过 USB 驱动器进行攻击或传播，这可以帮助恶意软件跨越隔离网络。此外，大约一半的恶意软件能够连接到远程 C&C 服务器。 同样与过去两年类似的是，80% 检测到的恶意软件能够对运营技术 (OT) 流程造成干扰，包括失去视野、失去控制或系统中断。这包括勒索软件、擦除器和专门设计用于操纵或破坏控制的恶意软件，例如Industroyer2和Black Energy。 霍尼韦尔在报告中表示：“这些指标共同支持了这样一种信念，即 USB 传播的恶意软件被故意利用作为针对工业目标的协调攻击活动的一部分，包括可能导致视野和/或控制丧失的功能。” 与往年相比，霍尼韦尔已开始监控更多指标。这揭示了向离地生活 (LotL) 策略的转变，以增加攻击者不被发现的机会。 霍尼韦尔表示：“新证据表明，对手正在追求 LotL 策略，将更复杂的检测规避和持久性技术与利用目标系统固有功能的执行技术相结合。” 大约 20% 的 USB 恶意软件是基于内容的，滥用现有的文档和脚本功能，而不是利用新的漏洞。 在被阻止的所有恶意软件中，超过 13% 专门利用了常见文档（如 Word 文档、电子表格、脚本等）的固有功能。另外 2% 的恶意软件专门针对常见文档格式中的已知漏洞，另外 5% 专门针对用于修改和创建这些文件类型的应用程序。 该公司还发现针对 Linux 和其他平台的恶意软件有所增加，其中包括专门为工业设施设计的恶意软件。 另一个令人担忧的趋势与恶意软件频率有关。霍尼韦尔表示，与去年相比，被阻止的恶意软件数量相对于扫描文件总数增加了约 33%，同比增长了 700%。 霍尼韦尔警告称：“连续第六年，试图进入工业/OT 环境的已知威胁的复杂程度、频率和潜在运营风险持续增加。” “USB 传播的恶意软件显然被用作针对工业目标的更大规模网络攻击活动的一部分。对 ATT&CK 技术的分析以及与主要网络物理攻击活动相关的恶意软件（例如 Stuxnet、Black Energy、Triton、Industroyer 和 Industroyer 2）的分析支持了这一迹象。” 霍尼韦尔国际（Honeywell International），是美国一家以电子消费品生产、工程技术服务和航空航天系统为主的跨国公司，总部位于北卡罗来纳州夏洛特。名列《财富》杂志100强公司，拥有约110,000名雇员，其中约44,000名在美国。 完整的2024 年霍尼韦尔 USB 威胁报告下载：https://www.securityweek.com/wp-content/uploads/2024/04/2024_Honeywell_Gard_USB_Threat_Report_Research_Paper.pdf   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/PLEBGh2rwNjL2FOS_EMntg 封面来源于网络，如有侵权请联系删除

Netacea 公司发布预警，93% 的企业网络安全负责人预计每天都会面临人工智能驱动的网络攻击，网络犯罪分子正在利用人工智能技术，策划更复杂、更智能化、更具威胁的网络攻击活动，智能化工具正迅速成为网络犯罪分子的惯用技俩。 人工智能技术自成熟以来就被网络犯罪分子盯上了，作为一种强大技术手段，威胁攻击者可以利用其构造出更复杂的网络攻击策略，从而规避受害者的网络防御检测机制，窃密敏感数据信息。 人工智能技术成为威胁攻击者的新“助力” 研究人员针对英国、美国等国的企业网络安全负责人，进行了一项有关“人工智能技术应用于网络攻击”的研究调查。结果显示，大多数安全负责人预计每天都会发生由人工智能驱动的网络攻击活动，甚至 65% 的受访者预计攻击性人工智能将成为网络犯罪分子最常用的手段，用于大多数网络攻击中。 此外，安全负责人还着重强调了进攻性人工智能的重要性。 由于时间紧迫，并且背负着保护其组织免受已知网络安全威胁以及潜在安全威胁，安全负责人必须确保企业董事会成员能够意识到进攻性人工智能可能带来的威胁。 在众多受访者中，有 11% 的安全负责人认为爬虫攻击是其业务面临的最大网络威胁，仅次于勒索软件、网络钓鱼和恶意软件（ Netacea 研究发现，对于大型企业来说，机器人攻击可能会导致其损失了 4.3% 的经营收入，这一数字相当于遭受了 50 次勒索软件要支付的赎金）。 人工智能技术改变了网络防御态势以及攻击方法 人工智能技术在被用作构造更具智能化的网络攻击工具的同时，也被用于网络防御。Netacea 调查的所有受访者都以某种方式将人工智能纳入了他们的安全堆栈，所有受访者都表示人工智能改善了他们的安全态势，其中 27% 的受访者表示这种改善非常显著。 人工智能技术在企业网络防御中具有很重要的作用，61% 的安全负责人认为人工智能大大降低了他们的运营开销。 调查表明，人工智能技术只能“赋能”防御高影响、低频率的攻击，例如 DDoS（62%），对于僵尸攻击（33%）起到作用相对较小，这种情况表明，虽然人工智能是一种值得欢迎的网络威胁防御手段，但它尚未得到普遍应用，也未被用于抵御最具破坏性的攻击。 有 90% 的受访者对其 Web 应用防火墙、DDoS 防护和 API 安全的人工智能防御能力充满信心，但只有 60% 的受访者对其僵尸管理工具持同样的看法。 最后，Netacea的 CTO Andy Still 强调，人工智能技术的强大能力和易于获取的特性使其成为攻击和防御的双刃剑，虽然目前许多安全负责人已经意识到了人工智能技术可能带来的潜在安全威胁，但对于这些威胁的来源仍有认识上的差距。   转自Freebuf，原文链接：https://www.freebuf.com/news/399865.html 封面来源于网络，如有侵权请联系删除

美国会计公司 BerryDunn 遭第三方数据泄露，超过 100 万人的个人信息受影响。 2023年9月14日，BerryDunn收到通知，称其供应商之一的缅因州网络维护和监控公司Reliable Networks，有可能影响其网络的可疑活动。BerryDunn声称已立即执行其件响应协议，并聘请网络安全专家协助确定事件的性质以及是否有任何数据受到损害。 据调查，此次涉及泄露的数据包括： 姓名 地址 驾驶执照号码 非驾驶员身份证 调查显示，威胁行为者访问了Reliable的网络，并复制了存储在其系统上的数据。BerryDunn的内部调查于2024年4月2日结束，距该公司收到入侵通知近一年。 该会计师事务所已“采取措施保护 HAPG 数据，如停用 Reliable 控制下的所有 BerryDunn 系统，并将所有 HAPG 数据迁移到内部 BerryDunn 系统的安全，这些系统作为我们网络安全计划的一部分受到持续监控。” BerryDunn 通过Zero Fox公司IDX提供身份盗窃保护服务。   转自安全客，原文链接：https://www.anquanke.com/post/id/296095 封面来源于网络，如有侵权请联系删除

据知道创宇暗网雷达监测，美国大陆航空航天技术公司475GB数据遭泄露。据了解，本次泄露的数据包括：个人机密数据、客户文件、大量技术文档、客户数据库、预算、工资单、税收、身份证、财务信息等。 知道创宇暗网雷达截图 信息截图 美国大陆航空航天技术™ (Continental Aerospace Technologies™) 是通用航空领域的全球领导者。 美国大陆航空航天技术公司官网截图 他们是唯一一家提供全系列汽油和 Jet-A 发动机以及航空电子设备服务的公司。美国大陆航空航天技术公司成立于 1905 年，总部位于美国阿拉巴马州。 Hackernews 原创发布，转载请注明出处 消息来源：知道创宇暗网雷达

网络安全公司Securonix近日发现了一个名为“Dev Popper”的新型网络攻击活动，该活动针对软件开发人员，利用虚假的面试流程诱使受害者安装恶意软件，进而窃取受害者供职企业的机密信息。 攻击者会伪装成企业招聘人员，通过邮件或社交媒体联系目标开发者，提供虚假的软件开发职位。在面试过程中，攻击者会要求受害者下载并运行声称来自GitHub的“标准编码任务”，以此让整个过程看起来合法合规。 然而，该代码实际上是一个恶意压缩文件，其中包含一个恶意NPM软件包。这个软件包内嵌了一个名为“imageDetails.js”的混淆JavaScript文件，该文件会通过Node.js进程执行“curl”命令，从外部服务器下载另一个恶意存档“p.zi”。 “p.zi”存档中包含下一个阶段的攻击载荷，也就是一个混淆的Python脚本，充当远程访问木马(RAT)。 一旦RAT在受害者的系统上激活，它就会收集并发送基本系统信息到攻击者的控制服务器，这些信息包括操作系统类型、主机名和网络数据。 Securonix报告称，此RAT具备以下功能： 长期驻留，供攻击者持续控制受害者系统。 执行文件系统命令，以搜索并窃取特定文件或数据。 远程执行命令，用于实施额外的漏洞利用或部署恶意软件。 直接从“文档”和“下载”等重要文件夹窃取数据，通过FTP传输到攻击者服务器。 记录剪贴板内容和按键记录，以监控用户活动并可能窃取凭证。 虽然目前尚无法确定“DevPopper”攻击的幕后黑手，但利用虚假工作机会作为诱饵传播恶意软件的做法仍然屡见不鲜。软件开发人员在求职过程中应该保持警惕，不要轻易下载或运行来历不明的代码，以免遭受网络攻击。 值得注意的是，攻击者正是利用了软件开发人员（包括网络安全专业人士）的职业操守及其对招聘流程的信任。求职者担心拒绝面试官的要求会影响求职机会，因此更容易落入陷阱。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/EqwMS6e489XDpCEY_FEd6A 封面来源于网络，如有侵权请联系删除

作为后量子时代的标志性产品，谷歌首个抗量子加密浏览器Chrome 124的发布意外引发了网络安全业界的骚乱。 该Chrome版本默认启用全新的抗量子安全传输层安全(TLS)密钥封装机制X25519Kyber768，用于保护用户免受即将到来的量子破解威胁。然而，这项新技术却由于兼容性问题导致TLS连接中断，很多用户无法正常连接访问网站、服务器和多家安全厂商的防火墙。 “先存储，后解密”攻击 早在去年8月，谷歌就开始测试代号“Kyber768”的抗量子密钥协商算法，并计划将其整合至最新的Chrome版本中。理论上，Kyber768可以保护基于TLS 1.3和QUIC连接的Chrome流量，使其免遭未来量子计算机的破解。经过数月的兼容性和性能影响测试，我们决定在Chrome 124桌面版本中启用混合式抗量子TLS密钥交换，”谷歌Chrome安全团队解释道：“这项技术可以保护用户流量免受‘先存储，后解密’（黑客大量收集囤积加密的网络流量数据，等未来量子计算机成熟后进行解密）攻击的威胁。” “先存储，后解密”攻击是数据安全面临的一个巨大潜在威胁。为了防范此类攻击，许多企业已经开始在其网络架构中加入抗量子加密技术。苹果、Signal和谷歌等科技巨头均已率先采用了抗量子算法。 大量防火墙、服务器、网络设备产生兼容问题 然而，根据系统管理员们的反馈，自上周Google Chrome 124和微软Edge 124桌面版推出以来，一些网络应用、防火墙和服务器产品在执行Client Hello TLS握手时会断开连接。 “该问题似乎影响了服务器处理客户端问候消息中的额外数据的能力，”一位管理员表示：“同样的问题也出现在了新版Edge浏览器上，似乎与派拓网络（Palo Alto Networks）防火墙产品的的SSL解密功能存在冲突。” 据报道，该兼容性问题的影响面非常大，多个供应商（例如Fortinet、SonicWall、Palo Alto Networks、AWS）的安全设备、防火墙、网络中间件和各种网络设备都遭遇了类似的兼容性问题。 值得注意的是，这些错误并非源于Google Chrome本身的漏洞，而是由于部分网站服务器和网络设备未能正确实现传输层安全(TLS)协议，无法处理用于抗量子加密的更大ClientHello消息。 这些不支持X25519Kyber768算法的网络设备，不会尝试降级至经典加密方案，而是直接拒绝使用Kyber768算法建立的连接。 TLS连接中断问题的解决方法 一个名为tldr.fail的网站专门分享了有关抗量子ClientHello消息如何导致服务器连接错误的信息，并为开发者提供了修复漏洞的指南。 网站管理员也可以通过在Chrome浏览器中启用“chrome://flags/#enable-tls13-kyber”标记来手动测试服务器的兼容性。启用后，管理员可以尝试连接到自己的服务器，并查看是否会产生“ERR_CONNECTION_RESET”错误。 受影响的Google Chrome用户可以访问“chrome://flags/#enable-tls13-kyber”并禁用混合式Kyber支持来暂时规避该问题。 系统管理员还可以通过以下方式进行修复：在“软件>策略>Google>Chrome”路径下禁用“PostQuantumKeyAgreementEnabled”企业策略；或者联系网络设备供应商，获取适用于其服务器或中间件的更新补丁，以使其兼容抗量子加密标准。 微软也发布了相关信息，指导用户如何通过Edge浏览器组策略控制此功能。 需要注意的是，从长远来看，TLS协议终究需要采用抗量子安全密码。谷歌未来也将移除Chrome企业策略中禁用混合式Kyber支持的选项。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/gAIVGiENWMgkqyUJQefHRg 封面来源于网络，如有侵权请联系删除

近日，Bitwarden对来自美国、英国、澳大利亚、法国、德国和日本的2400位用户进行调查，以研究当前用户的密码使用习惯。 调查结果显示，全球有超过25%的受访者在11-20个以上的账户中重复使用密码，36%承认在他们的账号密码中使用个人信息，这些信息在社交媒体（60%）平台和在线论坛（30%）上是公开可访问的。 由此可见，即便是到了2024年，用户在账户中使用弱密码/不安全的密码依旧十分普遍。2023网络安全成熟度报告的数据显示，身份管理最常见的风险点top1就是弱密码，占有率高达32%。弱密码策略与弱身份验证机制的组合让黑客入侵更加便捷，或者说这样的攻击并不需要黑客技术，攻击者只需要登录即可。而当访问权限“允许访问包含敏感信息”时，黑客可以毫不费力气地访问敏感数据。 2022年最弱密码排行榜公布，第一名是password，也就是密码的英文拼写，而去年的第一名是123456，密码的英文拼写仅排在第五位。 这也意味着在培养用户网络安全意识方面还需持续加强。尽管60%的用户声称他们有信心识别网络钓鱼攻击，68%的用户觉得他们准备好识别并缓解由AI增强的网络攻击，但许多受访者仍然采用风险较高的密码管理方法。 这可能也解释了，为什么个人安全漏洞持续存在。全球19%的用户承认由于他们的密码习惯，经历过安全漏洞或数据丢失，23%的用户确认密码在过去被盗用或受到损害。但即便如此，很多人依旧使用不安全的密码方式，其网络安全认知与实际做法互相矛盾。有趣的是，调查显示美国的发生率更高，有23%的美国受访者承认遭遇过安全漏洞，26%确认他们的密码被盗用或受到损害。 另外一个调查结果也非常有意思。大多数受访者承认依靠记忆（53%）和笔和纸（34%）来管理他们工作场所的账户；将近一半（48%）的人透露他们有时或非常频繁地在工作平台或账户之间重用密码。 全球用户仍然坚持使用弱密码或基于个人信息的密码（39%），不安全地存储工作密码（35%），不使用双因素认证（2FA）（33%），以及不安全地共享密码（32%）。 尽管存在密码安全挑战，但越来越多的用户开始使用密码管理器，也更加注重隐私与数据安全。工作中使用密码管理器的积极影响在受访者的个人生活中也很明显，52%的人承认在家中的安全意识增强，密码重用的频率降低（41%）。 此外，采用双因素认证（2FA）的趋势在上升，80%的全球受访者使用它保护大多数个人账户或某些重要账户，66%的人在大多数工作账户或仅限重要账户上使用它。 全球范围内，人们对其作为第二安全层的重要性有很好的认识，有57%的受访者使用2FA来增强他们的安全姿态，原因是网络钓鱼攻击的增加。针对员工账号密码的网络攻击日益频繁也未被忽视。65%的受访者已经进行了一些改进或增加了防护措施以增强安全姿态。 尽管只有45%的全球调查受访者采用了通行证，但超过一半（52%）的人认为他们对其安全优势有很好的了解，这标志着向无密码的更大转变即将到来。尽管采用率在增长，但对隐私和安全的担忧仍然存在。 用户同样担心数据滥用（31%）、监控不确定性（31%）、未经授权的访问（31%），同时还有29%的人对安全存储表示怀疑。透明的沟通和强有力的安全保证对于解决这些问题、提升用户信心和推动通行证更广泛接受至关重要。 如果组织采用通行证，62%的受访者认为他们对公司安全韧性的信任会增加，如果工作场所实施通行证，66%的人会更倾向于个人使用通行证。51%的受访者预见通行证和密码将共存，而只有17%的人预期通行证将使密码过时。不管个人对通行证未来的看法如何，几乎一半（44%）的人认为行业需要加强努力，向公众教育通行证技术的好处。   转自Freebuf，原文链接：https://www.freebuf.com/news/399631.html 封面来源于网络，如有侵权请联系删除