联邦政府官员表示，乌俄冲突后后，对俄罗斯实施的制裁可能对美国的网络安全产生积极影响。 美国国家安全局 (NSA) 和联邦调查局的领导人都表示，俄罗斯的制裁正在减缓由国家支持的行为者和网络犯罪分子实施的勒索软件攻击和网络攻击。今年早些时候，白宫对该国实施了广泛的经济制裁。此外，联邦机构已经对俄罗斯政府以及私人实体（包括加密货币交易所和混合器）实施了网络安全制裁，原因是勒索软件活动和来自该地区的国家支持的攻击。 NSA 网络安全主管 Rob Joyce 上个月在威尔士举行的 CyberUK 活动中表示，从他的角度来看，勒索软件在过去两个月中已经下降。他认为，对俄罗斯的制裁是可能影响勒索软件数量的几个因素之一。 “与俄罗斯及其乌克兰问题有关的制裁已经影响了勒索软件的实施者，”乔NSA网络安全主管在题为“黑客状况：NSA 的观点”的会议上说。“他们发现很难从生态系统中提取资金、转换资金以及使用可接受的付款来购买他们运营所需的基础设施。”并表示，网络安全制裁导致的攻击减少可能会导致俄罗斯政府转向勒索软件即服务 (RaaS)提供商，以获取对其目标的访问权限。随着威胁行为者暴露潜在漏洞的速度越来越快，这种威胁将越来越大。 FBI 网络部门负责人 Mike Herrington上个月在商会的一次讲话中指出，尽管Conti等俄罗斯勒索软件团伙仍然发起了攻击，但直接来自政府机构的攻击已经放缓。“很多都集中在网络犯罪分子身上，而不是俄罗斯情报部门。这教会了我们很多关于他们如何将 [网络攻击] 视为对美国迄今采取的行动（包括制裁）的回应手段，在乌克兰的支持以及他们如何警惕将我们进一步卷入这场冲突。” 赫灵顿还表示，通过研究俄罗斯使用的策略，美国可以更好地为未来的潜在攻击做好准备。他说，虽然对乌克兰关键基础设施的破坏性攻击是最具新闻价值的，但对个人财务和金融机构的攻击也很常见。 虽然由于缺乏受害者的报告，联邦政府关于勒索软件攻击和其他网络威胁的数据不完整，但私营部门的研究支持勒索软件方面的一些调查结果。 威胁情报供应商 Recorded Future 的勒索软件研究员 Allan Liska 跟踪了 2022 年前五个月的全球勒索软件攻击，并将这些数字与 2021 年的相同范围进行了比较。 据 Liska 称，勒索软件攻击在全球范围内同比增长18.5%。Liska 还发现，虽然美国在 2021 年占所有受害者的 54%，但到 2022 年这一数字下降到仅 38.5%。 “有趣的是，有报道称一些勒索软件组织不太可能将一家美国公司放在他们的勒索网站上，美国组织也有可能在防御方面投入更多资金（我们看到这反映在对国家的攻击显着下降上）和美国地方政府），这意味着勒索软件组织可能会在其他地方寻找其他目标，”Liska 在给 SearchSecurity 的电子邮件中说。 SearchSecurity 最近发现勒索软件活动也出现了类似的减少。根据 SearchSecurity 收集的月度数据，针对美国组织的勒索软件攻击的公开报告和披露数量在 4 月和 5 月显着下降。 Herrington 在他的商会演讲中提到，虽然美国的攻击有所下降，但乌俄冲突开始以来，乌克兰及周边地区的网络威胁已显着上升。 他还表示，该地区的这些攻击可能会像在Viasat和NotPetya攻击期间一样蔓延到其他受害者。   转自 E安全，原文链接：https://mp.weixin.qq.com/s/L8X9o3LzSOcf_BMKCqRJIw 封面来源于网络，如有侵权请联系删除

北京时间6月11日凌晨消息，苹果公司首席执行官蒂姆库克今天致信美国参议院，商业、科学运输委员会主席Maria Cantwell（D-WA）和美国众议院委员会主席Frank Pallone（D-NJ）。库克主张在联邦层面制定强有力的隐私立法。这封信似乎是对一项名为“美国数据隐私和保护法”的拟议两党法案的回应，该法案有关公司可以从个人那里收集的数据类型以及他们如何使用这些数据。 库克在信中表示，苹果将继续支持联邦层面的努力，为消费者建立强有力的隐私保护。库克重申了苹果的信念，即隐私是一项基本人权。库克表示，虽然苹果努力保护用户隐私，但“只有国会才能为所有美国人提供强有力的隐私保护。” 库克信函全文如下： 尊敬的Cantwell和Pallone主席以及Wicker和Mc Morris Rodgers的高级成员： 感谢您在隐私立法方面的持续工作。苹果继续支持联邦层面的努力，为消费者建立强有力的隐私保护，我们对你们办公室提出的提案草案感到鼓舞。 我们认识到有待解决的悬而未决的问题，但协议的领域似乎远大于分歧。您的草稿将为消费者提供实质性保护，我们写信是为了为实现这一共同目标提供强有力的支持。通过您的工作，再加上拜登总统呼吁更好地保护儿童隐私，美国人似乎比以往任何时候都更接近于获得有意义的隐私保护。 在苹果，我们相信隐私是一项基本人权。这就是为什么我们一直倡导全面的隐私立法，并尽可能为这一过程做出贡献。这也是我们始终构建默认情况下保护用户及其信息的产品和功能的原因。为此，我们通过最小化收集的数据、在用户设备上处理尽可能多的数据、让用户了解收集的数据和控制其使用方式的透明度以及构建强大的系统来保护我们所有的用户数据来做到这一点。产品与服务。 尽管苹果将继续创新和开发保护用户数据的新方法，但只有国会才能为所有美国人提供强有力的隐私保护。不幸的是，这项重要立法的持续缺失将使隐私权的拼凑方法永久存在，这使得太多人没有我们希望通过您的努力看到的严格标准。 我们强烈敦促您尽快推进全面的隐私立法，我们随时准备在未来几天协助这一进程。   转自 新浪科技，原文链接：https://finance.sina.com.cn/tech/2022-06-11/doc-imizirau7723380.shtml 封面来源于网络，如有侵权请联系删除

FBI发现有美国大学的VPN证书在俄罗斯网络犯罪论坛上被出售，被盗的大学网络和服务器的登录凭证可能被用于勒索软件、鱼叉式钓鱼、加密劫持或间谍活动。即使是通常成功率低于1%的凭证填充攻击，在谈到数以万计的被盗密码时也会成为一个严重的问题。 根据联邦调查局的一份新报告，网络犯罪分子正在窃取美国高校网络的登录凭证。这些凭证随后被卖给其他犯罪分子或用于凭证填充攻击，即攻击者利用受害者在多个网站上重复使用相同的凭证，特别是银行服务。 2017年，该机构发现网络犯罪分子克隆了大学的登录页面，并在钓鱼邮件中嵌入了一个凭证收集工具的链接。然后，收集到的凭证通过自动电子邮件从他们的服务器发送给黑客。凭证收集也可能是其他网络攻击的副产品，如鱼叉式网络钓鱼或勒索软件。 今年早些时候，美国多所大学的网络凭证和虚拟私人网络访问权在俄罗斯网络犯罪论坛上被出售。列出的价格高达数千美元。 去年，在一个公开的即时通讯平台上发现了超过36000个使用.edu顶级域名的电子邮件地址及其相关密码。此前一年，该机构在暗网上发现了大约2000个证书对，卖家要求向其比特币钱包付款。 该文件还概述了学院和大学可以采取的一些策略，以减少此类攻击的可能性。   转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1274965.htm 封面来源于网络，如有侵权请联系删除

根据美国参议院委员会的一份新报告，美国政府缺乏关于勒索软件攻击的全面数据，而且现有的报告比较分散。美国国土安全部和公共事务委员会近日发布了一份 51 页的报告，呼吁政府迅速实施新的授权，要求联邦机构和关键基础设施组织在遭遇勒索软件之后必须上报，以及需要支付的赎金。 为了撰写这份报告，委员会进行了为期 10 个月的调查，并重点关注加密货币在勒索软件支付中的作用。结果发现有关攻击的报告是“零散且不完整”的，部分原因是 FBI 和 CISA 都声称拥有“一站式服务” 报告攻击的网站——分别是 IC3.gov 和 StopRansomware.gov。 新法律要求关键基础设施组织在 72 小时内向 CISA 报告网络攻击，并在 24 小时内向 CISA 报告勒索软件的赎金。CISA 在 3 月份表示将立即与 FBI 分享事件报告，但调查发现这种安排存在缺陷。 报告指出：“虽然这些机构声明他们彼此共享数据，但在与委员会工作人员的讨论中，勒索软件事件响应公司质疑此类通信渠道对协助攻击受害者的影响的有效性”。 除了 FBI 和 CISA 的双重报告职能之外，财政部的 FinCEN、运输安全管理局和证券交易委员会还有针对特定部门的报告制度，以及通过 FBI 外地办事处和一些州政府的报告。报告指出：“这些机构没有统一捕获、分类或公开共享信息。” 它指出，专家认为 FBI 关于勒索软件的 IC3 数据是数据的“子集”。 FBI 在其年度 IC3 报告中承认其勒索软件数据“人为地低”，因为受害者只是自愿向 FBI 报告事件。与此同时，收集勒索软件受害者报告的 FBI 外地办事处在后续调查期间与约 25% 的受害者失去了联系。 转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1273865.htm 封面来源于网络，如有侵权请联系删除

为解决开源软件安全这项特殊的挑战，近期，科技大厂、开源社群与美政府持续商讨，如今已有具体行动，在两次峰会举办之后，《开源软件安全动员计划白皮书》正式发布，首年投入经费将达6,840万美元，次年为7,950万美元。 面对开源软件安全的议题，全球都在关注，如今美国政府与科技巨头正积极采取行动，希望能改善相关风险。今年1月，美国白宫曾举行开源软件安全峰会，邀请多家科技巨头，商讨这个独特的安全挑战，近期，5月中旬二度举办开源软件安全峰会，这场会议，由Linux基金会与开源安全基金会（OpenSSF）召开，集结37家科技巨头的高层主管，以及美国白宫等多个联邦机关官员，共90人参会，这次会议不仅达成很多的共识，并具体指出将解决开源软件的十大挑战，同时这些科技巨头也承诺，在未来两年内，将投入1.5亿元经费解决相关问题。 值得一提的是，这次会议的召开时间可以说是别具意义，去年同一时间，美国总统拜登签署了一份改善国家网路安全的行政命令EO 14028中，就包括了提高开源软件供应链的安全。 参与这次会议的成员，来自多个重量级行业从业者，包括亚马逊、谷歌、微软、威睿、戴尔、英特尔、摩根大通、GitHub等，同时也有多个美国政府机关的官员出席，包括来自美国白宫、美国国家安全委员会（NSC）、美国网路安全及基础设施安全局（CISA）、美国国家标准暨技术研究院（NIST）、白宫网路主任办公室（ONCD）、能源部（DOE）与美国行销管理和预算局（OMB）的官员。这样的组合，其实也显现出开源社群、科技巨头，以及美国联邦政府之间加强合作的态势与重要性。 面对开源软件安全议题，聚焦解决10大问题 该如何改善开源软件安全？Linux基金会与开源安全基金会在收集多方意见后，现已发布首个广泛解决开源软件安全的计划项目，名为”开源软件安全动员计划”（The Open Source Software Security Mobilization Plan），当中最受关注的焦点就是，不仅详细说明解决开源软件的3大议题与10大问题，也公布解决各项问题将投入的经费。 基本上，在首次开源软件安全峰会上，当时讨论了3个主要目标，包括：首先，确保开源软件生产的安全，重点放在防止程式码与开放原始码套件（Open Source package）的缺陷与漏洞；其次，改善漏洞发现与修补；最后，缩短整个生态体系的修补应变时间。 如今，随着第二次开源软件安全峰会的召开，现已进一步总结出开源软件十大问题，分别是：（一）安全教育、（二）风险评估、（三）数位签章、（四）记忆体安全、（五）资安应变、（六）强化扫描能力、（七）程式码稽核、（八）资料分享、（九）软件物料清单SBOM，以及（十）供应链改善。 具体而言，以确保开源软件生产安全的目标而言，在安全教育面向，透过教育与认证让所有人提升安全软件开发的水准；在风险评估面向上，为最热门的1万个或更多开源软件元件建立一个公开、中立且基于客观指标的风险评估仪表板；在数位签章方面，加速软件发布采用数位签章；在记忆体安全方面，透过替换「不具记忆体安全（non-memory-safe）」的程式语言，来消除许多漏洞的根源。 针对改善漏洞发现与修补的目标而言，在网安应变方面，强调建立OpenSSF开源安全事件回应小组，网安专家可在应对漏洞了解关键时刻介入协助开源项目；在强化扫描能力面向，透过进阶的安全工具与专家指引，加速开源项目维护者与专家对新漏洞的发现；在程式码稽核方面，每年将针对两百多个关键的开源软件元件，进行一次第三方程式码审查以及必要的修补工作；在资料分享方面，将协调所有产业共享相关资料，帮助确定出最关键的开源软件元件并改善研究。 以缩短整个生态体系的修补应变时间的目标而言，在软件物料清单方面，将改善SBOM工具，并且推动这类工具的培训与采用；在供应链改善方面，将运用更好的供应链安全工具与最佳实践，来强化10个最关键的开源软件开发系统、套件管理器与部署系统。 特别的是，这次计划已确定改善这十大问题的投入经费，其中，对于「强化扫描能力」一项的首年投入金费最高，达1,500万美元，后续每年投入1,100万美元，「程式码稽核」的首年投入金额也达1,100万美元，后续每年将投入更多，达4,200万美元。 整体而言，为解决这十大问题，这项计划的首年投入经费将达到6,840万美元，次年将为7,950万美元。 目前，在这1.5亿美元的经费中，已由亚马逊、爱立信、谷歌、微软、威睿共同认捐超过3,000万美元，作为此计划的前期资金。 自今年一月白宫召开开源软件安全峰会后，近日Linux基金会与开源安全基金会（OpenSSF）二度召开此会议，同时发布了开源安全动员计划白皮书，具体商讨出强化开源软件安全需解决10大问题。 美国解决开源软件安全十大问题的经费配置 Linux基金会，iThome整理，2022年5月 在开源软件安全动员计划白皮书中，针对解决开源软件安全的10大问题，都提供了详细的说明。以第一项安全教育而言，当中指出，从历史上看，传统的软件工程课程很少关注、强调，或是通过良好的网络安全教育与安全Coding技术的重要性。因此，OpenSSF提出了以下多管齐下的方法来解决这个问题，包括：收集与策划内容、扩大培训，以及并奖励与激励开发者。同时，白皮书中也具体拟定出各项问题所需花费的预算。这十项内容均值得国内思考。 转自 E安全，原文链接：https://mp.weixin.qq.com/s/FGgMo_pk2GrFENBv-LfGIw 封面来源于网络，如有侵权请联系删除

美国司法部(DOJ)于当地时间周四修订了有关美国最重要的反黑客法–《计算机欺诈和滥用法（Computer Fraud and Abuse Act，以下简称CFAA）》的政策。该部门指示检察官不要用CFAA来起诉网络安全研究人员–有时被称为“白帽黑客”，他们有改善技术的良好意愿。 CFAA是于1986年颁布的一项联邦法规，其禁止未经授权或超出授权的情况下访问计算机。长期以来，该法律一直被批评使用了过于宽泛和模糊的语言，即什么是对受保护的计算机的授权访问或什么是超过授权的意思。 直到去年最高法院的一个案件缩小了该法律的范围，人们担心该法可能允许对看似无害的活动进行起诉，如分享Netflix密码或使用工作的Zoom账号拨打私人电话。 随着DOJ对政策的修订，事情变得更加细化，并为那些试图改善技术的网络安全研究人员减轻了压力。 副司法部长Lisa Monaca在一份新闻稿中说道：“计算机安全研究是改善网络安全的一个关键驱动力。该部门从未对将善意的计算机安全研究作为犯罪进行起诉感兴趣。另外，今天的公告通过为善意的安全研究人员提供明确的规定以促进网络安全的发展，这些人为共同的利益铲除漏洞。” 转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1271439.htm 封面来源于网络，如有侵权请联系删除

日前，美国总统拜登签署了《国家网络安全防范联盟法案》。 该法案将使国土安全部能够与非营利实体合作，开发、更新和主办网络安全培训，以支持防御和应对网络安全风险。 参议员约翰·科尔尼和帕特里克·莱希在周四发表的一份声明中说，新法律的目的是确保关键基础设施免受网络攻击，网络准备就绪。 国土安全部和由德克萨斯大学圣安东尼奥分校、德克萨斯农工大学工程推广服务中心、阿肯色大学、孟菲斯大学、诺维奇大学和其他大学培训组织组成的国家网络安全防范联盟（NCPC）将合作，对州及地方政府的响应责任人（first responders）和官员进行网络安全培训，支持创建信息共享计划，并帮助扩大州和地方应急计划的网络安全风险和事件预防及响应。 除州和地方政府外，他们还将为私营企业和关键基础设施所有者和经营者提供技术援助并举办模拟演习。 “有了这项新的法律，国土安全部和NCPC将能够通过多年的工作，来提高他们所帮助的人的网络技能，”莱希参议员说。   转自 安全内参，原文链接：https://www.secrss.com/articles/42542 封面来源于网络，如有侵权请联系删除

据悉，美国林肯学院定于周五关闭，这使其成为该国第一所部分因勒索软件攻击而关闭的高等教育机构。发布在该学校网站上的一封信件写道，虽然这所学校经历了两次世界大战、西班牙流感和大萧条，但却无法处理新冠大流和发生于去年12月的勒索软件攻击的组合。 学校在公告中写道：“林肯学院是2021年12月网络攻击的受害者，它挫败了招生活动、阻碍了对所有机构数据的访问并造成2022年秋季招生预测的情况不明确。招聘、维持和筹款工作所需的所有系统都无法运行。幸运的是，没有个人身份信息被暴露。在2022年3月完全恢复后，预测会显示出巨大的招生缺口，需要一个变革性的捐赠或合作来维持林肯学院在本学期之后的发展。” 这所伊利诺伊州的学校以亚伯拉罕·林肯总统的名字命名，该校在林肯总统于1865年的生日那天破土动工，是美国教育部认定的仅有的几所以黑人乡村的农村学院之一。 转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1267645.htm 封面来源于网络，如有侵权请联系删除

据Bleeping Computer网站5月7日消息，为了能帮助识别和定位臭名昭著的勒索软件团伙 Conti 的主要核心人员及同谋，美国国务院开出了1500 万美元的高额赏金。 根据国务院发言人内德·普莱斯（Ned Price）发表的一份声明，截至 2022 年 1 月， Conti 已经攻击了 1000 多名受害者，所支付的赎金超过 1.5 亿美元，Conti及其相关组织已成为有史以来“最昂贵”的勒索软件 。 这次悬赏由美国国务院跨国有组织犯罪奖励计划 (TOCRP)提供，该计划自 1986 年以来已支付了超1.35亿美元的悬赏额。此次针对 Conti 的1500万美元，其中1000 万美元用于悬赏提供有关 Conti 领导层人员身份和位置的信息，另外500万美元则针对参与 Conti 犯罪活动的同谋人员。 Conti团伙以RaaS（勒索软件即服务）的形式运营，在过去一年中就已对多家企业和机构“下毒手”。 2021年5月，Conti攻击爱尔兰卫生服务执行局并窃取了700GB的敏感文件，开出的赎金达2000万美元；9月，攻击了日本跨国电子产品供应商JVCKenwood，窃取了1.5TB的数据并要求支付700万美元的赎金；10月，攻击了英国的高端珠宝商Graff，窃取了大量名人、政治家和国家元首的数据文件。而就在刚刚过去的2022年4月，Conti攻击了哥斯达黎加的政府系统，包括海关、财政、人力资源等多部门业务受到严重影响，并从中窃取了850GB的数据。 据多家网络安全公司的分析师称，Conti 现在正在通过各种关联组织经营各种副业，以维持其勒索软件的运营费用。但由于内部分赃不均，2021年8月，其中一个关联组织泄露了 Conti 的内部培训材料，包括部署各种恶意工具的手册，以及据称提供给该团伙关联组织的大量帮助文件。 转自 FreeBuf ，原文链接：https://www.freebuf.com/news/332492.html 封面来源于网络，如有侵权请联系删除