由于采用了合法的非恶意软件的外观，木马开源软件隐蔽且有效的攻击很难被发现。但通过仔细调查可发现其可疑行为，从而暴露其恶意意图。 开源软件如何木马化？我们如何检测到它们？为了回答这些问题，让我们看一下最近的相关调查。 …… 更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/1429/       消息来源：trendmicro，封面来自网络，译者：小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

针对近期涌现的疑似具有国家级技术和资源背景的黑客攻击，微软其实已经在 2020 版《数字防御报告》中有所预料。虽然截止目前，微软尚未在相关调查中发现自家产品或云服务有漏洞被利用，但该公司还是在一篇博客文章中发出了提醒，希望客户能够采取切实有效重要步骤，以防其成为此类网络攻击的受害者。 微软在文中列出了恶意代理开展复杂网络攻击的一些技术细节，比如通过 SolarWinds Orion 产品中的恶意代码实施入侵。若被攻击者得逞，后续黑客可能以此为跳板，在网络中获得更高的权限。 其次，攻击者或利用本地窃取的管理员权限，获得对机构内受信任 SAML 签名证书的访问权限。然后通过伪造 SAML 令牌，假扮组织内任何现有用户的账户，甚至染指特权较高的账户。 为应对此类异常登录，建议客户在网络系统上进行适当的安全配置，以区分访问本地或云端任何资源的可信证书。由于 SAML 令牌使用了自签名证书，组织内很可能会忽视掉这部分异常。 利用上述或其它技术获得了搞特权账户的访问权限之后，攻击者还可将自己的登录凭证添加到现有的应用程序服务主体中，从而使之获得相关应用程序的权限调用 API 。 至于 COVID-19 大流行期间的完整事件分析、以及社区对网络安全的态度等问题，微软将在完整版的 2020 数字防御报告中进行阐述。       （消息及封面来源：cnBeta）

根据 Bugcrowd 公布的 2020 年最新报告，越来越多的企业选择部署众包网络安全计划，以便于及时应对不断变化的网络威胁。在过去 12 个月里面，Bugcrowd 发现在其平台上的提交量增加了 50%，其中 Priority One (P1，指最关键的安全漏洞) 提交量增加了 65%。 和 2019 年全年相比，前 10 个月的漏洞提交量增长了 24%。在整个行业中，计算机软件公司支付的提交费用几乎是其他行业的五倍。最值得注意的是，软件行业的 P1 提交量在2020年几乎增加了两倍。 Bugcrowd 的首席执行官 Ashish Gupta 表示：“我们的 Priority One 报告结果清晰地表明，所有行业的领先组织都在接受众包安全作为其安全战略的核心要素。对比过去两年的数据，我们发现，由于快速的数字化转型和COVID-19大流行造成的威胁增加，众包网络安全正在快速增长。漏洞提交量上升，其中关键漏洞数量较多，总赔付额每季度以15%-20%左右的速度稳步增长”。 在2020年提交的前10个漏洞中，有8个–由Bugcrowd的漏洞评级分类法（VRT）评定，这是一个广泛使用的开源标准，为每个通过Bugcrowd平台提交的漏洞提供基准风险评级–也出现在2019年的榜单上。这表明，管理已知的风险对大多数企业来说仍然是一个挑战。       （消息及封面来源：cnBeta）

Pay2Key勒索软件组织周日发布了似乎是从Habana Labs获得的内部文件的细节，Habana Labs是一家位于以色列的芯片初创公司，一年前被英特尔收购。这个被安全公司Check Point与伊朗人联系在一起的黑客组织通过Twitter发布了一张包含Habana Labs的源代码截图，同时还发布了一个Tor浏览器可访问的.onion地址的链接。 该网站包含与Habana Labs的Gerrit代码协作软件、DomainController数据相关的文件名，以及似乎来自这家AI芯片制造商的文件。 在撰写这篇报道时，@pay2key账户因违反Twitter的规则而被暂停。 发布到.onion网站上的Readme文件称，英特尔和Habana实验室有七十二小时的时间来阻止进一步的泄露，这位身份不明的作者表示，这些数据可能包括活动目录信息和相关密码，以及该公司Gerrit服务器的全部内容，据说这些数据由价值53GB的数据组成。 英特尔在2019年12月以20亿美元收购了用于数据中心的深度学习加速器芯片制造商Habana Labs。Check Point上个月报告称，Pay2Key勒索软件此前并未出现过。它表示，该名称已于6月在加密身份服务KeyBase.io注册，该勒索软件于10月开始出现。 据报道，自那以后，据Check Point称，至少有三家以色列公司被这种数据绑架软件感染，还至少有一家欧洲公司受害。 勒索软件通常涉及在未经授权的情况下访问计算机，对发现的文件进行加密，然后要求支付赎金以获得解密密钥。付款并不能保证解密后的文件，也不能保证这些文件没有被复制并提供给其他地方。 Check Point表示，Pay2Key组织进行 “双重敲诈”，威胁解密文件并公开发布，以此向受害者施压，迫使其付款。到目前为止，要求支付的赎金一般在7到9个比特币之间，目前折合成美元在13.5万到17.3万之间。 Check Point认为Pay2Key集团由伊朗人组成的原因是，过去的赎金支付是通过Excoino进行的，Excoino是一家伊朗加密货币交易所，拥有有效伊朗电话号码和伊朗身份证/Melli码的个人可以使用。         （消息来源：cnBeta；封面来源于网络）

据外媒Axios了解，美国联邦贸易委员会(FTC)将于当地时间周一宣布，将对包括亚马逊、TikTok所有者字节跳动、Twitter、YouTube和Facebook以及其子公司WhatsApp在内的大型科技公司的隐私和数据收集行为展开新的调查。 此举正值该行业受到更广泛的审查之际，它似乎是一项广泛的调查，目的是调查大型科技公司对用户的所有了解以及它们如何利用这些数据和它们更广泛的商业计划。 FTC要求从上述平台获取大量信息和文件，另外Discord、Reddit和Snap也都在调查范围内。 据悉，该机构需要这些平台收集的用户使用和参与数据以及它们用来衡量这些事情的指标、短期和长期的商业策略和其他许多领域的调查。 据了解，FTC启动这项研究则是在利用其职权展开广泛的研究，并没有具体的执法目的。 根据Axios看到的一份新闻稿，在这项研究中，该委员会特别想要调查技术的隐私和数据实践如何影响儿童和青少年。共和党委员Christine Wilson早在去年秋天就已经推动了这样一项研究。 该机构的五名委员以4比1的投票结果通过了这项调查，共和党委员Noah Phillips表示反对，其称这一调查的范围太大。         （消息及封面来源：cnBeta）

援引路透社报道，黑客滥用微软的 Microsoft 365 平台对美国财政部进行了长达数月的监控。作为回应，微软今天发布了 IT 管理员指南，帮助他们寻找和缓解潜在的恶意活动。 不过，微软否认云服务遭到入侵。在声明中表示：“我们还想要向所有客户澄清，在这些调查中我们并没有在微软任意产品和云服务中发现漏洞。”不过微软强调正在开展针对政府、私营企业的大规模调查活动，并警告安全人员注意以下迹象： ● 通过 SolarWinds Orion 产品中的恶意代码入侵 这导致攻击者获得了网络中的立足点，攻击者可以使用该立足点来获得更高的凭据。 Microsoft Defender 现在可以检测到这些文件。另请参见 SolarWinds 安全公告。 ● 伪造 SAML 令牌 入侵者使用通过本地折衷获得的管理权限来访问组织的受信任的SAML令牌签名证书。这样一来，他们就可以伪造SAML令牌，以模拟组织的任何现有用户和帐户，包括特权较高的帐户。 使用由受损的令牌签名证书创建的SAML令牌进行的异常登录，由于已对其进行了配置，因此可以将其用于任何本地资源（无论身份系统或供应商如何）以及任何云环境（无论供应商如何）信任证书。由于SAML令牌是使用其自己的受信任证书签名的，因此组织可能会遗漏异常。 ● 获取高权限账户 使用通过上述技术或其他方式获得的高特权帐户，攻击者可以将自己的凭据添加到现有的应用程序服务主体，从而使他们能够使用分配给该应用程序的权限来调用API。     （消息及封面来源：cnBeta）

美国国会两党提出了一项法案，该法案将取消对 “从事某些操纵行为”的公司的第230条法律保护，但实际上，将剥夺美国几乎所有与用户互动的互联网场所的保护。《通信正派法》第230条规定，网络平台可以为他人在其网站上发布的内容免于承担责任。这些保护措施让早期的平台得以蓬勃发展，但却受到了立法者和监管机构的关注。 众议员Tulsi Gabbard(D-HI)和众议员Paul Gosar(R-AZ)周三提出的《2020拆分科技巨头法案》(Break Up Big Tech Act of 2020)旨在剥夺公司的这一保护伞，一旦法律实施，如果他们采取所谓的行动如 “充当出版商和审查某些用户”，就会受到监管。 Gabbard议员和Gosar议员都将该法案定位为阻止所谓的审查用户和意见的方式。法案中也有一些内容是为了遏制定向广告和用户数据的商品化。”这项法案取消了服务提供商利用法律豁免权行事而不受惩罚的情况，同时为那些提供真正中立的社交媒体平台或搜索引擎而不使用操纵算法的人保留第230条保护。”Gabbard说。 更具体地说，该立法将取消对从事以下活动的网络公司的第230条保护： 在未经用户同意的情况下出售和显示目标广告。 为 “直接销售交互式计算机服务以外的商业目的”收集数据。 “通过’将物品放入商业信息流’而实现实际上的平台地位。 采用数字产品，目的是让用户”参与并沉迷于”该服务。 作为出版商，使用算法在没有用户选择的情况下对内容进行控制或审查。 该提案的范围足够广泛，因此限制适用于任何承载广告的场所–即使是来自谷歌线上广告市场的交易，也不是直接委托的–同时也有评论区或其他方式让用户对该场所发布的内容做出反应，或由其他用户分享。 近年来，第230条已经成为政治目标。例如，共和党人认为社交媒体公司在审查保守观点，而民主党人则认为当社交媒体公司扩散错误信息或误导性内容时，第230条就会对其进行保护。在实际操作中，随着230条款改革的提出，各场所将进行更多的节制，以保证它们仍然属于该法规的法律保护范围。 早在10月，联邦通信委员会主席Ajit Pai就表示，联邦通信委员会有能力解释法律，并表示计划这样做。9月，司法部概述了将改变某些230条款保护的立法。 唐纳德·特朗普总统在2020年早些时候签署了一项行政命令，因为Twitter将他的一条推文标记为误导性。在竞选活动中，当选总统乔·拜登也表示，他支持撤销该法律。 Facebook的马克-扎克伯格（Mark Zuckerberg）、谷歌的桑达尔-皮查伊（Sundar Pichai）和Twitter的杰克-多西（Jack Dorsey）都在2020年早些时候在国会作证，为第230条和其带来的审查制度的指控辩护。对保护措施的批评也浮现在本应在7月举行的反垄断听证会上。           （消息及封面来源：cnBeta）

2018年5月，欧盟《通用数据保护条例》（GDPR）正式生效。此后，法国对Google开出了高达5千万欧元的罚单，认为其服务条款不够透明，违背了取得用户“有效同意”的原则。瑞典数据监管机构也依据该条例对一所高中开出罚单，认为使用人脸识别记录出勤违背了“必要性原则”。 据统计，截至2020年1月，欧盟各国数据监管机构接到的违规举报超过16万件，而各国开出的罚单总金额达1.14亿欧元。 GDPR被誉为“史上最严格数据保护法”，也影响了其后多国的数据立法，包括中国刚刚出台的《个人信息保护法（草案）》。但面对更为敏感的生物识别数据，比如人脸数据，GDPR仍存在局限性。比如，它未能覆盖“数据生命全周期”，原始数据采集过程中的风险性就被大大低估了。 本文节选自纽约大学AI Now研究中心报告“Regulating Biometrics：Global Approaches and Urgent Questions”（生物识别技术监管：全球举措及关键问题）的第四章。为便于理解，我们对原文进行了必要的补充和修改。 2004年，欧盟颁布了一项法律，要求各成员国在公民的护照和旅行文件中存储面部图像和指纹信息。大约同时，欧盟建立了一个大型数据库，涵盖申根地区所有寻求庇护者和申请签证者的生物识别数据。 不久，生物识别的应用在公共部门和私人企业得到了进一步扩张，用于控制人流、公司的电子门禁，以及校园监控。技术的优越性得到了欧洲委员会的承认，但后者提醒，生物识别数据应被视为“敏感”信息，它包含个人的健康状况、种族等敏感信息，能识别人的身份，能轻易与其他信息扣连，且不可更改。 面对上述风险，法律层面的监管一度“缺位”，无论是一般意义上的数据保护法，还是大多数国家的立法，都未有专门针对生物识别数据使用和处理的具体规定。技术开发和应用的同时，法律相对滞后。 为弥补其间差距，一些国家的数据保护监管机构开始制定生物识别数据的使用框架。比如，强调数据的敏感性、数据库维护的风险性，以及 “功能潜变”（编者注：function creep，即出于某一特定目的采集的数据被用于其他目的）的可能性，还包括使用目的和手段之间是否相称（编者注：proportionality，相称性原则，即需考察为达成某一目的，是否有必要采用生物识别技术）。然而，这些法案在实际操作时留下了诸多不确定空间。 2016年，欧盟推出了《通用数据保护条例》(General Data Protection Regulation，下文简称GDPR)，适用于各成员国，涵盖了生物识别数据在公共和私人领域的应用。此外，欧盟还通过了《数据保护执法指令》（Data Protection Law Enforcement Directive，下文简称DP LED），专门针对执法部门，当执法者需为预防、监控、调查或起诉犯罪行为使用个人数据时，需遵守该指令。 DLA Piper律师事务所统计了2018年5月至2020年1月期间，各国数据监管机构依据GDPR所做出的判罚，其中，荷兰、德国、英国位列数据泄露案件数的前三位。图片来源：DLA Piper统计报告。 欧盟如何监管生物识别数据？ GDPR和DP LED首次对生物识别数据作出定义:“与自然人的身体、生理或行为特征相关、经特定技术处理而产生的个人数据，这些个人数据可用于确认该自然人的独特身份，如面部图像或皮肤（指纹）数据。” 值得注意的是，对“特定技术处理”（specific technical processing）的强调排除了那些存储和保留在数据库中的“原始”数据，如视频监控拍到的人脸或录音，以及用户发布在网站、社交媒体上的原始信息。 此外，GDPR提及，“照片处理不应被系统地视为处理特殊类别的个人数据……”私人的视频片段也不被视作生物识别数据，除非它经过特殊技术处理，可以识别出个人。 虽然GDPR规定，禁止“以唯一识别为目的进行生物特征数据处理”，但这项禁令仍存在许多例外。比如数据“明显公开”，或“出于重大公共利益的目的”。这些“例外情况”大量存在，模糊不清，实际上，GDPR允许了很多场景下生物识别数据的处理和技术应用。作为一个基础性框架，GDPR也提及，各个成员国可以引入进一步的法规或禁令。 而DP LED则对执法机关使用生物识别数据提出了限制，只有在以下三种情况下执法机关可以使用生物识别数据：获得了法律授权、保护关键利益，或处理已被数据主体公开的数据。 当新技术的应用“可能导致高风险”时，或大规模处理特定类型的个人数据时， GDPR和DP LED要求启动“数据保护影响评估”（Data Protection Impact Assessments， DPIA）。此外，当公共部门系统性监控某个可公开进入的区域时，同样需要启用这种评估。 “数据保护影响评估”是一个综合性评估，包括数据处理的风险性、必要性，以及目的与手段是否相符。某些情况下，当私人机构或公共部门想要使用生物识别技术时，他们需要事先向当地或本国的数据监管部门咨询，获得许可。 英国信息委员会办公室（Information Commission Office）列出的“数据保护影响评估”的基本步骤，其中包括向有关部门咨询、评估必要性、评估手段与目的是否相符、风险评估、考虑降低风险的手段等。ICO表示，该评估应先于技术的应用。图片来源：ICO官网 此外，生物识别数据的处理和技术应用需尊重公民的基本人权和自由，当隐私权或个人数据保护权受到侵害时，与人权相关的法律框架也会被启用。 以下各节概述从这些监管尝试中获得的主要经验教训，讨论了它们的有效性，并重点介绍了未来监管应吸取的经验。 模糊的定义：原始数据在采集阶段的风险性被大大低估 GDPR和DP LED中，生物识别数据被定义为“经过特定技术处理”的数据，（编者注：由于过多强调数据的处理环节）。在采集和存储环节，除了获得用户同意、满足必要性等原则之外，相较于其他一般意义上的个人数据，生物识别数据并不享有更高级别的保护。 正因如此，生物识别数据在采集环节的风险性被大大低估了。一些理应受到保护的敏感数据由于尚未被处理编者注：即尚不符合GDPR对生物识别数据的定义），而无法被保护。这一点尤为关键，特别在执法部门使用时，透明度受限，数据可能在不通知有关个人或公众的情况下使用。这是GDPR和DP LED法律文本中的漏洞，公司和政府可以收集大型图像数据库，这些数据以后可能用于执法目的。 2020年，Clearview AI公司引发了巨大争议，通过一张人脸信息就可以识别出其身份和电子足迹，这也让更多人意识到现有法律框架的局限。图片来源：Clearview AI官网。 这也与欧洲人权法院的判例法相违背，后者一再强调，从数据库中捕获、收集和储存人类特征信息的做法妨碍了个人私生活被尊重的权利。此前，英国人Gaughran就将英国政府告上欧洲人权法庭，（编者注：2008年Gaughran因酒驾被捕，在警局留下了照片、指纹和DNA信息。其DNA样本在2015年被销毁，但其DNA资料、指纹信息和照片仍被无限期保留在警方记录中。Gaughran将英国告上法庭，要求警方销毁个人数据或退还给自己。）欧洲人权法院将人脸识别和面部特征比对等技术考虑在内，最终判决“保留申请人的DNA档案、指纹和照片等构成了对他私生活的干扰。” 更恰当的定义应能为人类特征数据提供法律保护，这些数据可用于身份识别目的，或可供自动化识别过程， 法规还应对数据的存储提出限制 。我们尝试提出另一种生物识别数据的定义：所有满足以下条件的个人数据：(a)直接或间接与人类独特的生物或行为特征有关的数据；(b)可使用或可通过自动化手段使用的数据；(c)可用于身份识别、身份验证或验证自然人主张的数据。” 生物识别“禁令”的模糊性 现有的法律未能对不同的生物识别系统进行区分，也未能对不同的数据处理方式设置针对性规范。例如，虽然GDPR的第9.1条列出了一些禁止使用和处理的规定，但它并没有区分“一对一” 的“验证”（编者注：1：1，比如通过电子门禁时，确认进入者身份）和“一对多”的“识别”。 目前，欧洲委员会和许多国家的数据监管部门表示，验证比识别的风险性小，因为验证不需要数据库。 一对多的身份识别存在额外的风险，包括在数据库中大规模收集和存储生物识别信息、基于概率的匹配（这引起了人们对准确性和误报的担忧），以及对隐私监视的担忧。但GDPR和DP LED并未区分这两种功能，这也造成了技术开发者的顾虑，对于希望投资生物识别验证技术和隐私增强方法的公司来说，这些操作存在法律上的不确定性。 恰当的监管应该更积极地区分不同处理方式的风险性差异，禁止那些构成真正风险的技术，鼓励那些有可能提供真正隐私和安全保护的功能。 什么是“例外情况”？ 最后，法律中含糊的“例外情况”也存在漏洞，为一些高风险的技术使用方式打开了大门。 GDPR对“例外”的定义极为宽泛，允许基于“重大公共利益”进行生物识别数据处理（编者注：由于未对“重大公共利益”进行具体界定，它会成为一个宽泛的“筐”）。 由于对“例外”情况的界定笼统宽泛，目前尚不清楚其是否可作为授权公共部门或私人机构部署人脸识别技术的法律依据（例如，在大型体育场活动中）。GDPR和DP LED无法回答这些问题的，还需要制定更针对性的法律。         （消息来源：cnBeta；封面来自网络）

外媒报道称，欧洲药品管理局（EMA）刚刚经历了一次网络攻击事件，黑客或许已经窃取了与 COVID-19 疫苗认证相关的文件。生物技术公司 BioNTech 在周三的一份声明中称，攻击者“非法获取”了该公司及其合作伙伴（辉瑞）提请的与候选新冠病毒疫苗有关的监管文件。 负责审查疫苗有效性的欧洲药品管理局（EMA）在官方声明中证实了本次攻击，目前相关调查仍在进行中，因此不方便披露更多细节。庆幸的是，EMA 表示黑客入侵并不会影响相关疫苗的审核与上市安排。 BioNTech 补充道，该公司的服务器并未受到本次攻击事件的影响，目前也没有发现 4.35 万例测试者中有任何人的数据被盗。 目前尚不清楚幕后黑手的真实意图和身份，但一些人猜测可能与正在研发 COVID-19 疫苗的其它制药公司有关。 与此同时，英国已在本周二开启了大规模的疫苗接种计划。其计划使用在临床试验中具有高达 95% 有效率的 BioNTech 和辉瑞疫苗，预计可在 12 月底覆盖 400 万人。           （消息及封面来源：cnBeta）

根据 Risk Based Security 公布的最新报告[PDF]，虽然在今年第一季度披露的漏洞数量同比有所下降，但全年漏洞数量达到甚至超过 2019 年的水平。虽然第一季度已披露的漏洞数量同比下降了 19.2%，不过根据 Risk Based Security 的 VulnDB 团队对今年前三季度的统计，累计披露漏洞数量为 17129 个，和去年同期相比仅差 4.6%。 Risk Based Security 漏洞情报副总裁 Brian Martin 表示：“在今年第一季度末，漏洞数量比 2019 年同期锐减 19.2%。从统计学角度来说，这是非常巨大的变化。但随着 2020 年的推移，我们可以看到新冠疫情对漏洞的影响有多大”。 该报告还指出，仍有600个漏洞处于CVE保留状态，这意味着依赖CVE数据库的组织和安全产品无法找到它们的详细信息。微软在第三季度的漏洞数量增加了39％，跃升至前十名中的第九名，跃升至其他供应商。补丁星期二活动修复的漏洞数量也有所增加。 Martin 表示：“补丁星期二活动已经成为一项非常严肃的工作，可能会对 IT 团队造成难以置信的负担，这些团队的补救工作可以持续数周时间。毋庸置疑，随着星期二补丁程序工作量的增加，补救所需的时间也会随之而来。仍仅依靠 CVE / NVD 的组织，他们可能会发现，由于 MITER ‘遗漏’的漏洞数量保持一致，他们的时间表可能会进一步延长”。         （消息及封面来源：cnBeta）