美国《联邦公报》上周发布有关“网络安全成熟度模型认证” CMMC 2.0的拟议规则，披露了国防部对承包商和其他组织实施五角大楼CMMC计划的最新成本预测。 根据该计划要求，处理联邦合同信息（FCI）和受控非机密信息（CUI）的国防承包商及分包商，必须根据信息类型和敏感程度，实施不同等级的网络安全标准，并评估自身合规满足情况 为了简化规则，CMMC 2.0具备三大特征：首先是采用分层模型，要求承包商根据信息敏感程度，按三个不同等级实施网络安全标准。其次是要求进行评估，允许国防部核验标准的实施情况。第三是以合同的形式落实，一旦CMMC规则生效，处理敏感信息的国防部承包商必须达到特定的CMMC等级才能取得合同。 一旦CMMC纳入《联邦法规第48编》，国防部将在招标书和随后的合同中指定所需的CMMC级别。新规则可能影响超过20万家国防工业公司。 五角大楼计划分阶段实施CMMC计划。第一步将在2026年10月1日或之后所有适用招标活动中纳入CMMC要求。当然，招标之前会视具体项目判断可否豁免。 承包商和分包商必须自我评估，判断是否达到规定的安全等级。评估也可以由第三方机构（称为C3PAO）或政府评估员实施。 评估规划、准备、实施和结果上报等活动将产生一定成本。 一级认证预计每年支出4000-6000美元 拟议规则表示，“估算公共成本时，国防部考虑了适用的非经常性工程成本、经常性工程成本、评估成本和每个CMMC等级所需的确认成本。” 规则指出，“对于CMMC 1级和2级，成本估算只考虑国防承包商、分包商或生态系统成员必须采取的评估、认证和确认活动，这些活动便于国防部核实相关基础安全要求是否得到落实。” “国防部没有考虑实施安全要求本身的成本。《联邦采购条例》（FAR）第52.204–21条款和《国防联邦采购条例补充》（DFARS）第252.204–7012条款规定的实施期限分别是2016年6月15日和2017年12月31日。因此，CMMC 1级和2级安全要求的实施成本应该已经发生，与本拟议规则无关。” 公司需每年进行一次1级自我评估和确认，证明已根据《联邦法规第32编》第170.14(c)(2)条款规定，落实了保护联邦合同信息的所有基本要求。 五角大楼估计，小型实体进行1级自我评估和确认的成本将近6000美元，较大实体约为4000美元。 二级认证预计支出10-12.8万美元 承包商每三年需进行2级自我评估和确认，证明已根据《联邦法规第32编》第170.14(c)(3)条款规定，落实了保护受控非机密信息的所有安全要求。每三年由第三方机构进行2级认证评估，亦可验证承包商符合安全要求。 拟议规则指出，“如实施合同时，需在组织信息系统中处理、存储或传输受控非机密信息，则该（寻求认证的）组织必须实施CMMC 2级评估。” 对于小型实体，2级自我评估和相关确认估计成本超过3.7万美元，较大实体约为4.9万美元（包括每三年一次的评估和确认，以及两次额外的年度确认）。对于小型实体，2级认证评估成本将近10.5万美元，较大实体约为11.8万美元（包括每三年一次的评估和确认，以及两次额外的年度确认）。 三级认证预计支出数百万美元 拟议规则表示，“进行CMMC 3级认证评估之前，用于CMMC 3级评估范围内的信息系统必须接受CMMC 2级最终认证评估。CMMC 3级认证评估由（国防合同管理局）国防工业基础网络安全评估中心（DIBCAC）负责实施，将核实（寻求认证的组织）是否按照《联邦法规第32编》第170.14(c)(4)条款规定，实施CMMC 3级安全要求。” 如执行合同时需处理、存储或传输受控非机密信息，公司信息系统必须每三年进行一次3级认证评估。 根据拟议规则，3级认证将要求“在先前规则之外，实施美国国家标准与技术研究院800–172号特别出版物（NIST SP 800-172）规定的安全要求。因此，此次成本评估包括了初步实施和维护NIST SP 800–172要求产生的非经常性工程成本和经常性工程成本。” 3级认证评估的总成本包括与2级认证评估相关的支出，以及实施、评估3级独有安全要求的支出。 对于小型组织，满足3级保障措施需承担的经常性和非经常性工程成本分别为49万美元和270万美元。认证评估的预计成本超过1万美元（包括每三年一次的评估和确认，以及两次额外的年度确认）。 对于较大组织，满足3级保障措施需承担的经常性和非经常性工程成本分别为410万美元和211万美元。认证评估及相关确认的预计成本超过4.1万美元（包括每三年一次的评估和确认，以及两次额外的年度确认）。 拟议规则指出，3级标准预计只适用于“一小部分”国防承包商和分包商。 国防工业企业预计每年需增加40亿美元支出 在计算成本时，官员们力求考虑小公司和较大国防承包商之间的组织差异。比如，他们假定小公司的IT和网络安全基础设施和运行环境较为简单、规模较小。拟议规则称，小公司更有可能将IT和网络安全外包给外部服务提供商。 此外，官员们预计参与2级评估的组织将咨询外部服务提供商，寻求实施支持，帮助他们为评估做好准备或参与第三方机构的评估。 根据预测，为实施CMMC 2.0，未来20年，承包商和其他非政府实体的年化成本将约为40亿美元。对于政府，年化成本将约为1000万美元。 五角大楼正在征求公众对拟议规则的反馈，截止日期为2024年2月26日。 CMMC的实施成本和程序要求一直是国防承包商和贸易协会重点关注的问题。 上周二，美国航空工业协会总裁兼首席执行官Eric Fanning发布声明，表示,“长期以来，繁重的监管一直是一大障碍。对于为国防工业基础做出贡献的中小型企业而言，尤为如此。就国防公司而言，必须获得合适的工具和标准，既能保护我们国家敏感非机密材料的安全，又能不阻碍公司为国防工业基础做出贡献。我们期待审查拟议规则并提供全面反馈，确保国防部制定的最终规则能够充分考虑到国防工业基础的复杂程度。” 转自安全内参，原文链接：https://www.secrss.com/articles/62444 封面来源于网络，如有侵权请联系删除

美国第二大保险公司 First American 面临严重的网络攻击 。对此，为了尽量减少此次事件的后果，部分公司系统被禁用，该公司的官方网站也暂时关闭。 First American 成立于 1889 年，专门为房地产行业提供金融和经纪服务。该公司年收入达 76 亿美元，拥有超过 21,000 名员工和数十万客户，是保险市场的重要参与者。 最近的一次是 11 月 28 日，First American 因 2019 年 5 月黑客攻击引发的网络安全违规行为支付了 100 万美元的罚款。据纽约州金融服务部称，该公司积累了大量客户的个人和财务数据，但没有为他们提供适当水平的保护，使其成为网络犯罪分子的有吸引力的目标。 到目前为止，还没有已知的黑客组织声称对 First American 的攻击负责。该公司的官方代表也没有发表评论。 除了First American之外，另一家保险公司富达国民金融公司最近也遭受了类似的网络攻击。 该公司上个月 报告的这一事件 还导致系统暂时中断。 Fidelity National Financial 表示，网络攻击已于 11 月 26 日得到遏制，目前仍在努力恢复正常业务运营。在攻击过程中，获得了某些凭证，但细节和可能的后果尚未披露。   转自安全客，原文链接：https://www.anquanke.com/post/id/292135 封面来源于网络，如有侵权请联系删除

用户启用APP推送功能就会被监控！此前苹果和谷歌都被告知要对这一做法保密，直到美国参议员Ron Wyden的信件首度披露此事。 有消息称：美国民主党参议员Ron Wyden日前致信司法部，表示美国联邦政府调查人员曾利用推送通知数据追踪关注对象，首次披露了美国人可以通过智能手机提供的一项基本服务而被追踪的事实。 Wyden在信中表示，司法部曾禁止苹果和谷歌讨论这项追踪技术，并要求这些公司修改规定。Wyden还指出，根据其办公室收到的消息，外国政府也开始要求获取推送通知数据。 用户启用APP推送功能就会被监控 这项追踪技术利用了许多人手机上收到电子邮件或短信时的常见提醒。《华盛顿邮报》通过查阅法庭记录发现，该技术曾用以收集2021年1月6日国会山暴动参与者和其他犯罪嫌疑人的信息。 应用程序利用推送通知向用户的手机或平板电脑提供最新消息或提醒。一旦用户启用了推送通知功能，苹果和谷歌会生成一小段名为“令牌”的数据，将用户设备与他们在这些公司提供的账户信息（例如姓名和电子邮件地址）进行关联。 Wyden在信中指出，联邦政府已开始要求苹果和谷歌提供与这些令牌相关的记录，因为这些公司类似于“数字邮局”，负责转发通知。 这些令牌可能会泄露大量细节信息，例如某人在消息或游戏应用程序中的通信对象、通信时间，甚至可能会透露通知消息的文本内容。 只要用户与联邦调查对象进行过电子邮件、短信或社交媒体消息的交流，调查人员就可以通过令牌数据获取到部分相关信息。获取的信息量取决于用户对推送通知的设定。 苹果谷歌将在透明度报告中公布情况 苹果在一份声明中表示，“联邦政府禁止我们分享任何信息”；鉴于现在这种追踪方法已经公开，苹果将更新即将发布的透明度报告，以“详细说明这类请求”。 苹果的执法指南详细规定了警方和政府调查人员获取用户信息的具体方式。根据当前的指南，可以凭借“传票或更高级的法律程序”获取与推送通知令牌相关联的Apple ID。 Wyden和苹果都没有详细说明已经审核的通知数量，涉及的目标人士，正在调查的犯罪类型，或是哪些政府提出了请求。 谷歌发布声明称，公司已发布透明度报告，详细列出其收到的用户数据请求的数量和类型，并表态支持Wyden提出的“让用户了解这些请求”的承诺。 美国司法部拒绝对此置评。这封信件最初由路透社报道。 美政府曾利用推送通知监控目标 《华盛顿邮报》在法庭记录中找到了二十多份与联邦政府请求推送通知数据相关的搜查令申请和其他文件。尽管许多文件都经过了删减，但仍然能够看出有9份文件涉及联邦政府对2021年1月6日暴动者的追踪行动。另外两份文件要求获取涉嫌洗钱和传播儿童色情材料的嫌疑人的数据。 这些搜查令要求获得与亚马逊、苹果、谷歌、微软等多家公司的应用有关的推送通知数据。 其中一份搜查令申请旨在获得爱达荷州男子Josiah Colt的Facebook账户相关数据。该男子曾在2021年1月6日暴动期间侵入参议院会议厅。提交申请的联邦调查局特工表示，推送通知令牌或能提供“有用信息”，帮助确定用户的账户。 今年早些时候，Colt被判处15个月监禁。暴动当日，他发布了一段视频宣称进入了国会大厦。目前尚不清楚推送通知数据请求在他案件中的作用。 其他国家也开始利用APP推送数据 Wyden在信中指出，他的办公室去年收到消息称，外国政府调查人员已开始向上述公司索取数据。Wyden的发言人拒绝具体指明是哪些政府。 Wyden写道，这些公司告诉他的工作人员，任何“有关这一做法的信息”都被“政府限制，不得公开发布”。Wyden敦促司法部废除任何禁止这些公司讨论“监视做法”的政策。 他强调，“苹果和谷歌应该被允许透明地公开它们所收到的法律要求，尤其是来自外国政府的要求，就像这些公司经常告知用户其他类型的政府数据要求一样。” 政府调查人员通常通过提交传票、搜查令或其他法院命令向科技公司施压，迫使它们提供信息。一些搜查令附带禁令，禁止公司告知用户他们的数据已被交出。 谷歌在最近的透明度报告中提到，去年下半年，他们收到了与全球超过40万个账户相关的19.2万次数据请求，其中约7万次请求来自美国国内。 报告未单独列出有关推送元数据请求的数据。但是指出，2022年1月至6月期间，美国援引《外国情报监视法》进行了多达500次“非内容信息”的请求。这个类别包括推送通知数据，牵涉到3.6万个账户。 谷歌指出，为了配合美国对推送通知和其他非内容信息的请求，需提供受司法监督的法院命令，而不是简单的传票。对于这样的法院命令，联邦官员还必须说服法官请求的数据与正在进行的刑事调查相关，并且具有重要意义。   转自安全内参，原文链接：https://www.secrss.com/articles/61752 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： 上周，美国网络安全和基础设施安全局（CISA）将两个Qlik Sense漏洞添加到其已知被利用漏洞（KEV）目录中。以下是添加到目录中的问题列表： CVE-2023-41265（CVSS评分9.6）- Qlik Sense HTTP隧道漏洞：Qlik Sense包含一个HTTP隧道漏洞，允许攻击者提升权限并在托管软件的后端服务器上执行HTTP请求。 CVE-2023-41266（CVSS评分8.2）- Qlik Sense路径遍历漏洞：Qlik Sense包含一个路径遍历漏洞，允许远程未经验证的攻击者通过发送恶意构造的HTTP请求创建匿名会话。这个匿名会话可能允许攻击者向未经授权的端点发送进一步请求。 网络安全公司Praetorian的研究人员在2023年8月发现了这两个漏洞。著名研究员Kevin Beaumont指出，攻击者开始利用Praetorian发布的完整漏洞链进行攻击。 Arctic Wolf的研究人员也观察到攻击者在Cactus勒索软件团伙发起的攻击中利用这两个漏洞。 根据绑定操作指令（BOD）22-01：减少已知被利用漏洞的重大风险，FCEB机构必须在截止日期之前解决已识别的漏洞，以保护其网络免受利用目录中漏洞的攻击。 专家还建议私人组织审查目录并解决其基础设施中的漏洞。 CISA要求联邦机构在2023年12月28日之前修复这些漏洞。   消息来源：SecurityAffairs，译者：Claire；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

美国司法部起诉了两名与俄罗斯联邦安全局（FSB）有关联的黑客，指控他们针对政府官员开展了长达数年的网络间谍活动。司法部周四指控联邦安全局情报部门官员鲁斯兰-亚历山大罗维奇-佩列季亚特科（Ruslan Aleksandrovich Peretyatko）和信息技术工作者安德烈-斯坦尼斯拉沃维奇-科里涅茨（Andrey Stanislavovich Korinets）在2016年10月至2022年10月期间试图入侵多个美国政府机构（包括国防部和能源部）雇员的电脑。 起诉书还称，公开名称为”Callisto Group”的共谋者针对英国和其他地方的军方和政府官员、智库研究人员和工作人员以及记者，使用了复杂的鱼叉式网络钓鱼电子邮件，这些电子邮件声称来自电子邮件提供商，暗示用户违反了服务条款。 根据司法部的起诉书，这些电子邮件包含 Callisto 集团为获取受害者的凭证而创建的恶意域，使共谋者能够在未经授权的情况下访问受害者的账户并获取“有价值的情报”，其中包括与美国国防、外交和安全政策有关的情报。 据司法部称，作为黑客和泄密造谣活动的一部分，“从其中某些目标账户”获取的信息还在2019年英国大选前被泄露给了俄罗斯和英国的媒体。 周四早些时候，英国政府宣布，它也发现了联邦安全局干预英国政治进程的“持续不成功企图”，并制裁了 Peretyatko 和 Korinets 的鱼叉式网络钓鱼活动和相关活动，这些活动“导致未经授权的访问和敏感数据外流，其目的是破坏英国组织，更广泛地说，是破坏英国政府”。 英国国家网络安全中心（隶属于 GCHQ）称，这些黑客“几乎肯定隶属于”俄罗斯联邦安全局，并有选择地泄露了他们获得的信息，“符合俄罗斯的对抗目标，包括破坏英国和类似国家对政治的信任”。 美国财政部也宣布了对佩列季亚特科和科里涅茨的制裁，美国国务院还悬赏1000 万美元征集线索，以查明这两人的身份和下落。 Callisto集团被微软追踪为”Star Blizzard”，被Google威胁分析小组追踪为”Cold Driver”，因长期针对北约国家，特别是美国和英国开展间谍活动而闻名。2022年5月，Google研究人员将一次黑客泄密行动归咎于该组织，该组织窃取并泄露了大量支持英国脱欧的高层人士的电子邮件和文件，其中包括英国外国情报机构军情六处（MI6）前负责人理查德-迪尔洛夫爵士（Sir Richard Dearlove）。   转自今日头条，原文链接https://www.toutiao.com/article/7309922472684454426/?log_from=28daf104df523_1702024201260&wid=1702024267135 封面来源于网络，如有侵权请联系删除

网络安全和基础设施安全局（CISA） 披露了 美国联邦机构的两台公共服务器遭受严重攻击的信息。犯罪分子利用了Adobe ColdFusion中的一个严重漏洞（编号为 CVE-2023-26360 ） 。 该漏洞 于 3 月份公开 ，并已于 4 月份被纳入 CISA 已知可利用漏洞目录中，美国联邦机构被要求在 4 月 5 日之前修复该漏洞。然而，在 6 月和 7 月， 有消息称该漏洞从未得到修补，这主要是由于 Adobe 的过错，使得攻击者随着时间的推移能够成功攻击易受攻击的系统。 CISA 没有提供有关该漏洞是否随后得到完全修补、谁是攻击幕后黑手，或者该机构对于错过修补最后期限的官方立场的信息。 对日志的分析结果表明，联邦服务器受到了两次单独的攻击。两台受攻击的服务器都使用过时版本的 ColdFusion，并且容易受到多个 CVE 的攻击。攻击者在受感染的服务器上启动了各种命令，包括利用该漏洞下载恶意软件。 虽然 CISA 无法确认数据是否被盗，但据信这两次攻击都是情报驱动的，目的是调查更广泛的网络。目前尚不清楚这些攻击是否涉及同一运营商。 第一次袭击发生在六月二日。攻击者利用CVE-2023-26360漏洞获得了服务器的访问权限并执行了各种侦察任务。然而，攻击的其他阶段，例如尝试收集凭据和更改受感染服务器上的策略，均未成功。 第二次违规发生在6月26日。攻击者利用了CVE-2023-26360，并花了很长时间探索该系统。然而，恶意代码无法解密密码，因为它是为旧版本的 ColdFusion 设计的。 CISA 强调，攻击者可能获得了种子值和 ColdFusion 加密方法的访问权限，理论上可以解密密码。尽管如此，在受感染的服务器上没有发现恶意代码，表明有人尝试使用这些值进行解密。 这些事件凸显了及时更新软件以防止此类网络攻击的必要性。即使软件供应商无法立即完全消除安全漏洞，也肯定会在后续更新中这样做。这就是为什么管理员及时安装任何安全更新极其重要的原因。“如果有用就不要碰它”的原则在这里绝对不适用。   转自安全客，原文链接：https://www.anquanke.com/post/id/291725 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 美国和以色列当局说，与伊朗有关联的黑客攻击了一个特定的工业控制设备，因为它是以色列制造的，美国宾夕法尼亚州西部的一个小型水务局（黑客劫持美国自来水公司的工业控制系统）只是其中一个。 美国联邦调查局(FBI)、美国环境保护局、美国网络安全和基础设施安全局(CISA)以及以色列国家网络管理局上周五在一份报告中表示：“受害者遍及美国多个州。”但他们没有说明有多少组织遭到了黑客攻击。 阿利基帕市水务局的主席马修·莫特斯在11月25日发现遭到了黑客攻击，他表示，联邦官员告诉他，同一组织还入侵了另外四家公用事业公司和一家水族馆。 网络安全专家说，虽然没有证据表明伊朗参与了10月7日哈马斯对以色列发动的袭击，那次袭击引发了加沙的战争，但他们预计，政府支持的伊朗黑客和亲巴勒斯坦的黑客活动分子会在事件发生后加强对以色列及其盟友的网络攻击。这确实发生了。 这份多机构咨询报告解释了 CISA 在周三确认宾夕法尼亚州遭到黑客攻击时没有提到的问题——除供水和水处理设施外的其他行业也使用同样的设备，Unitronics 公司生产的 Vision 系列可编程逻辑控制器，并且也存在潜在的漏洞。 该报告称，这些行业包括“能源、食品和饮料制造以及医疗保健”。这些装置用来调节压力、温度和流体流量等。 阿利基帕的黑客事件促使工人暂时停止在一个偏远的泵站抽水，该泵站负责调节附近两个城镇的水压，导致工作人员改用人工操作。黑客在被入侵的设备上留下了一张数字名片，称所有以色列制造的设备都是“合法目标”。 该公告称，这些自称“Cyber Av3ngers”的黑客隶属于伊朗伊斯兰革命卫队，美国在 2019 年将其列为外国恐怖组织。该组织称，至少从11月22日起，该组织就盯上了 Unitronics 的设备。 通过 Shodan 搜索，发现美国有200多台这样的联网设备，全球有1700多台。通过 ZoomEye 搜索”Unitronics Web”，发现该 PLC 设备的 Web 界面相关资产，美国有40条，全球共有640条。 上图均为 “Unitronics控制系统” 更多资产信息可以访问www.zoomeye.org查看   该报告指出，Unitronics 的设备出厂时带有默认密码，专家不赞成这种做法，因为这会使设备更容易受到黑客攻击。最佳的要求是在开箱即用时创建唯一的密码。该公司表示，黑客可能是通过“利用网络安全漏洞，包括密码安全性差和暴露于互联网”来访问受影响的设备的。 专家表示，许多水务公司对网络安全的重视不够。 作为对阿利基帕黑客事件的回应，宾夕法尼亚州的三名国会议员在一封信中要求美国司法部进行调查，他们说，美国人必须知道，他们的饮用水和其他基础设施是安全的，不会受到”民族国家对手和恐怖组织”的威胁。“Cyber Av3ngers”在10月30日的社交媒体帖子中声称，他们入侵了以色列的10个水处理厂，但目前尚不清楚他们是否关闭了任何设备。 自从以色列和哈马斯开战以来，该组织扩大并加速了对以色列关键基础设施的袭击。在10月7日之前，伊朗和以色列进行了低级别的网络冲突。Unitronics 没有回应美联社关于黑客攻击的询问。 据了解，这次攻击发生不到一个月前，联邦上诉法院的一项裁决促使美国环保署废除了一项规定，该规定要求美国公共供水系统将网络安全测试纳入联邦授权的定期审计中。联邦上诉法院对密苏里州、阿肯色州和爱荷华州提起的一起案件的裁决引发了这一回调，一家水务公司贸易集团也加入了这一裁决。 拜登政府一直在努力加强关键基础设施的网络安全，其中80%以上是私人拥有的，并对电力公用事业、天然气管道和核设施等部门实施了监管。但许多专家指出，太多重要行业被允许进行自我监管。       Hackernews 编译，转载请注明出处 消息来源：securityweek，译者：Serene

与美国国安局、缉毒局的监控计划相比，执法部门的DAS计划规模上并不逊色。 有消息称：美国参议员Ron Wyden近日向司法部致信，质疑美国政府一项监视计划是否合法。《连线》杂志获得了这封信件。信件写道，美国政府通过这项鲜为人知的监视计划，每年追踪境内超过一万亿条电话记录。 根据这封信件，过去十多年间，一项名为数据分析服务（DAS）的监视计划，允许联邦、州和地方执法机构挖掘美国人的通话细节，分析无数美国人的电话记录。这些人并非犯罪嫌疑人，有时甚至还是受害者。监视计划使用链式分析技术，不仅针对与犯罪嫌疑人有直接电话联系的人，还监视任何与这些联系人有关联的人。 白宫资助、AT&T实施，全美执法人员均可使用 根据《连线》查阅的一份白宫备忘录，DAS计划前身为半球（Hemisphere）计划，由美国政府与电信巨头AT&T公司合作实施。 该计划捕获并分析美国电话记录，为美国各地执法机构服务。服务对象包括地方警察和警长部门、美国海关办公室，以及全国各地的邮政检查员。记录显示，白宫为该计划提供超过600万美元的资金。该计划允许定位任何使用AT&T基础设施的通话记录，而AT&T的路由器、交换机等基础设施遍布美国全境。 在写给美国司法部长Merrick Garland的信中，Ron Wyden表示，“严重关切”DAS计划的合法性，并补充说他收到的“信息令人不安，理应激起许多美国人和其他国会议员的愤怒”。 根据参议员的信件，美国司法部秘密提供给他的这些信息，被美国政府视为“非机密敏感”信息。这意味着，尽管这些信息对国家安全没有风险，但联邦官员（如Ron Wyden）不得向公众透露。 AT&T发言人Kim Hart Jonson拒绝了《连线》要求他对DAS计划评论的请求，表示公司只有遵守合法传票的法律义务。 然而，并没有法律要求AT&T ，为执法目的存储美国几十年的通话记录。《连线》查阅的文件显示，AT&T官员多次前往得克萨斯州参加执法会议（最近一次是2018年），培训警方官员如何最大化利用该公司自愿提供的协助信息。当然，这种协助是收费的。 2020年，透明度活动组织“全球拒绝保密”（Distributed Denial of Secrets）公开了从美国各地政府机构窃取的数十万兆字节执法数据。《连线》查阅相关文件后，发现了各地机构监控通话记录的详细流程和理由。监视对象不仅仅是犯罪嫌疑人，还包括他们的配偶、子女、父母和朋友。虽然DAS计划本身隶属于一个毒品交易专项监控计划，但北加州地区情报中心（NCRIC）泄露的一份文件显示，戴利城和奥克兰等地的地方警察机构要求提供待破案件的DAS数据，而这些案件明显与毒品无关。 比如，奥克兰警察局的一名警官要求进行“半球分析”，希望通过分析嫌疑人密友的通话记录确定嫌疑人的电话号码。再比如，圣何塞执法人员要求北加州地区情报中心确定一个未指明案件中的受害者和实物证人。一名官员根据监视计划下向AT&T索取信息，写道，“我们获取了[嫌疑人]以及几个亲友（他的女友、父亲、姐姐、母亲）半年的手机通话数据。”相关记录并未显示AT&T如何对每个请求做出回应。 泄露的执法文件进一步显示，从美国邮政服务的检查员到纽约监狱管理局的官员，各级官员都参加了DAS计划的培训课程。其他参与者就职于港口管理局、美国移民和海关执法局、国民警卫队、加州公路巡逻队，以及众多较小机构。 该项目存在至少十年，监控数据超过法律授权 《纽约时报》在2013年9月首次披露了半球计划。该计划于2013年更名为DAS计划，此后基本上未引起关注。当年，《纽约时报》获得了有关该计划保密性的内部记录。记录显示，执法机构长期被告知永远不要在“任何官方文件中提及半球计划”。 《纽约时报》发布报道之后，美国前总统奥巴马据称于2013年暂停向半球计划拨款。然而，《连线》获得的一份白宫备忘录显示，在随后三年里，虽然自主性拨款被暂停，美国各地的个别执法机构获准直接与AT&T签约，维持对数据挖掘服务的访问。根据白宫备忘录，前总统特朗普任下恢复向计划拨款，但在2021年再度停止。去年，拜登总统再次恢复拨款。 白宫承认了《连线》提出的问题，但尚未发表评论。 DAS计划在一个名为高强度毒品走私地区（HIDTA）的相关计划下维护。后者由白宫国家毒品控制政策办公室（ONDCP）资助。根据白宫的说法，HIDTA包括美国33个不同地区。最早的五个地区在1990年划定，包括洛杉矶、休斯敦、迈阿密、纽约以及整个美墨边境地区。它们都是美国最活跃的毒品走私地区。 DAS计划下的通话记录收集行为并非监听。在美国境内，必须有合理原由并获得授权才能进行监听。AT&T存储的通话记录不包括任何对话录音。这些记录包含的是一系列识别信息，如来电者和接收者的姓名、电话号码以及他们的通话日期和时间。记录会保存半年或更长时间。 根据《公共记录法》解密的文件显示，DAS计划已被用来获取犯罪嫌疑人及其已知关联人员的位置信息。2018年，这种做法属于违宪行为，必须得到法庭授权方可实施。 AT&T发言人Hart Jonson说，“关于位置信息的请求需要最高级别的法律许可。除非是紧急情况，必须获得法庭签发的授权。”针对关联人员的法院命令被称为“连坐型”传票。在隐私倡导者眼里，这与大规模监视是同义词。 该计划绕过了美国联邦隐私监管机制 Ron Wyden 在致Merrick Garland的信中写道，“半球项目获得的数据规模惊人，经常被执法部门访问、检索。” 根据去年白宫官员撰写的一份备忘录，自2013年以来，白宫已经为DAS计划提供了至少610万美元的自主性拨款。通过查阅HIDTA内部《参与者指南》，《连线》获悉，2020年HIDTA获得超过2.8亿美元拨款。目前尚不清楚HIDTA拨款有多少用于支持AT&T大范围收集美国通话记录。 目前也不清楚DAS计划能够访问多久之前的通话记录。根据2014《信息自由法案》发布的幻灯片显示，DAS计划可以查询长达10年的记录，这一数据与其他内部文件相矛盾。后者声称AT&T可以查看几十年前的记录。与此同时，AT&T的竞争对手通常只保留不超过两年的通话记录。（随着长途通话费的消失，电话公司越来越没有必要长期跟踪通话记录。） DAS计划让人想起几十年来多个大规模监视计划。1992年，美国缉毒局计划启动，迫使电话公司交出几乎所有与100多个其他国家往来的通话记录。2014年，美国国家安全局的大规模元数据收集计划被美国第二巡回上诉法院裁定违法。还有通话详单记录计划，由于“技术异常”，美国国家安全局收集了数百万条其“无权获取的”电话记录。 但是，DAS计划并不像过去的这些计划那样接受国会监督。Ron Wyden的高级助手告诉《连线》，DAS计划利用了联邦隐私法律中的许多“漏洞”。比如，计划事实上是由白宫运行，因此不受规定限制，无需对隐私影响进行评估。白宫也豁免于《信息自由法案》，降低了公众对该计划进行审查的能力。 因为AT&T在电信“主干网”上收集电话记录，所以《电子通信隐私法》的保障条款并不适用于该计划。 本月初，Ron Wyden和其他参众议员提出了名为《政府监视改革法案》的全面隐私立法。该法案包含许多条款，如果生效，将修补绝大多数甚至所有上述漏洞，明确认定当前的DAS计划性质为非法。   转自安全内参，原文链接：https://www.secrss.com/articles/61265 封面来源于网络，如有侵权请联系删除

又一例勒索攻击严重扰乱医疗服务的案例，此次事件的特殊之处在于，美国CISA曾联系Ardent公司警告存在恶意活动，但此时为时已晚，该公司已经中招。 有消息称：由于遭受网络攻击，美国得克萨斯州东部地区多家医院在感恩节当天被迫转移救护车。这次网络攻击影响范围广泛，远超初期判断。医院代表表示，这次攻击还迫使新泽西州、新墨西哥州和俄克拉荷马州的医院转移救护车。 所有受影响医院都由Ardent健康服务公司全资或部分拥有。该公司总部位于田纳西州，在至少五个州拥有二十多家医院。 目前，部分医院无法接收救护车，包括新墨西哥州阿尔伯克基市中心一家拥有263张床位的医院、新泽西州蒙特克莱尔一家拥有365张床位的医院，以及得克萨斯州东部地区服务数千名患者的几家医院。 勒索软件严重扰乱医疗服务 勒索软件攻击曾在新冠疫情期间严重扰乱了医疗服务，本次网络攻击提供了新的例证。 本周一，Ardent健康服务公司发表声明，确认勒索软件攻击导致服务中断，并称其下属医院“在系统恢复在线之前，将部分急诊患者转移到其他地区医院”。医院也被迫重新安排非紧急手术日程。公司还表示，“下属医院、急诊室和诊所将继续提供安全有效的患者护理。” 一位在受影响的新泽西州医院工作的护士告诉CNN，当医院决定因黑客事件关闭网络时，工作人员赶紧“尽可能多地打印出患者信息”。因为医院不允许工作人员向记者透露情况，她选择匿名发言，“我们所有工作都在纸上进行。” 这位护士表示，由于不能使用计算机，只能依赖纸追踪患者化验等工作进度，“一切都慢了很多。我们每年都会进行几次这样的演练，但效果还是很差。” Chiara Marababol是受黑客攻击影响的两家新泽西州医院（山腰医疗中心和帕斯卡克谷医疗中心）的发言人。她表示，这些医院会继续为患者提供急诊护理。她在一封电子邮件中告诉CNN，“但是，在我们解决系统问题期间，我们要求当地急救系统暂时将需要紧急护理的患者转移到其他地区。” 美国联邦政府曾联系并警告 知情人士告诉CNN，在感恩节前一天（11月22日），美国联邦网络安全与基础设施安全局（CISA）官员联系了Ardent健康服务公司，警告该公司计算机系统受到恶意网络活动影响。 Ardent健康服务公司发言人Will Roberts确认，CISA官员曾与该公司联系，“他们提醒我们系统中存在可疑活动。” Will Roberts告诉CNN，但是，CISA发出警告之前，Ardent健康服务公司已经在11月20日检测到计算机系统出现“异常”，“我们已经聘请了更多外部网络安全人士展开调查”。感恩节当天，公司意识到他们遭受的是勒索软件攻击。 当被问及上述沟通情况，CISA发言人建议记者直接联系Ardent健康服务公司。 CISA于今年启动一项计划，意在警告关键行业的组织，如果他们不采取防御措施，就将面临勒索软件攻击的风险。向Ardent健康服务公司发出预警正是这一计划的一部分。CISA官员声称，这项计划挫败了多次勒索软件攻击。 Ardent健康服务公司遭遇黑客攻击造成了广泛的影响。这表明如果母公司或关键服务提供商受到网络攻击，会对医院等关键基础设施运营商产生连锁影响。 主要位于东欧或俄罗斯的网络犯罪分子在整个新冠疫情期间多次扰乱美国医疗组织，锁定计算机并索要赎金。许多黑客攻击针对的都是设备不足以应对威胁的小型健康诊所。 仅在过去九个月，其他网络攻击已经迫使康涅狄格州、佛罗里达州、爱达荷州和宾夕法尼亚州的医院转移救护车。 CISA专家在2021年的一项研究中发现，勒索软件攻击可能会阻碍患者护理，并让医院面临数周甚至数月的资源紧张。   转自安全内参，原文链接https://mp.weixin.qq.com/s/O3pDrhYsQ8t5-BQMBQwWsQ 封面来源于网络，如有侵权请联系删除

Security Affairs 网站披露，美国汽车配件零售商巨头 AutoZone 称其成为了 Clop MOVEit 文件传输网络攻击的受害者，导致大量数据泄露。 AutoZone 是美国最大的汽车零配件售后市场经销商之一，在美国、墨西哥、波多黎各、巴西和美属维尔京群岛经营着 7140 家门店。遭受网络攻击后，AutoZone 立刻通知了 184995 名民众，大规模黑客攻击活动泄露了他们的个人信息。 经调查研究，AutoZone 发现一个未经授权的第三方利用了与 MOVEit 相关的漏洞，并从支持 MOVEit 应用程序的 AutoZone 系统中“过滤”了某些数据。目前，相关机构已经对受影响的系统和相关数据进行了分析，以确定用户的信息是否受到了潜在影响。 2023 年 8 月 15 日左右，AutoZone 确定有威胁攻击者利用 MOVEit 应用程序中的漏洞盗取了其系统中的大量数据信息，虽然后来 AutoZon 公司没有发现任何滥用被暴露的个人信息的情况，但还是强烈建议用户对欺诈和身份盗窃时刻保持警惕。 针对此次数据泄露事件，AutoZon 公司已经采取了技术措施来解决该漏洞，其中主要包括暂时禁用 MOVEit 应用程序、重建受影响的系统以及修补漏洞，以及为受影响的客户提供免费的信用监控和身份保护服务。 Cl0p 勒索软件组织滥用 MOVEit 漏洞 今年 8 月，网络安全公司 Emsisoft 分享了 Cl0p 勒索软件组织如何滥用 MOVEit Transfer 文件传输平台漏洞的具体细节。网络安全专家表示，此次攻击影响了约 1000 个组织和 60144069 名个人，Cl0p 勒索软件团伙利用零日漏洞 CVE-2023-34362 成功入侵了许多实体组织，并盗取大量数据信息。 以下是受影响人数最多的组织名单： Emsisoft 在发布的报告指出，已知的受害者中美国机构占 83.9%，德国占 3.6%，加拿大占 2.6%，英国占 2.1%。受影响最严重的行业是金融与专业服务和教育，分别占事件总数的 24.3% 和 26.0%。值得一提的是，网络安全公司 Resecurity 的研究人员在发布的报告中证实了 Emsisoft 分享的数据，截至 8 月 23 日，Resecurity 报告声称 MOVEit 活动已经袭击了 963 家公共和私营的实体组织。 此外，Resecurity 报告指出受影响最大的行业是金融、专业服务和教育，这些行业合计占报告受害者的48% 以上，Cl0p 预计将产生 750 万至 1 亿美元赎金收入。   转自Freebuf，原文链接：https://www.freebuf.com/news/384758.html 封面来源于网络，如有侵权请联系删除