美国白宫发布升级版网络安全行政令
HackerNews 编译,转载请注明出处: 特朗普政府于6月6日发布升级版网络安全行政令,包含近十二项指令以强化国家安全,涵盖人工智能应用、后量子密码技术、物联网设备认证及应对国家级别网络威胁等领域。该行政令是对奥巴马政府2015年签署的13694号行政令及特朗普今年1月25日签署的《促进国家网络安全创新》14144号行政令的补充。 特朗普在行政令序言中强调:“我下令采取新行动提升国家网络安全防御能力,重点包括:保护数字基础设施、确保关键数字服务安全、增强应对核心威胁的能力”。 核心指令要点: 人工智能整合 要求2025年11月1日前将AI技术整合至联邦网络用于漏洞管理,并在8月1日前推进安全软件开发。身份安全企业CyberArk创新高级副总裁凯文·博切克指出:“全球AI竞争加速催生了新型攻击面,AI防御技术能快速识别漏洞、扩大威胁检测规模并实现自动化防护”。该指令同时要求11月前向学术研究界开放网络安全研究数据集。 后量子密码技术 针对量子计算机未来可能破解现有公钥密码体系的威胁,行政令要求联邦政府过渡至抗量子破解的加密算法,并在2025年12月前建立支持后量子密码(PQC)的产品动态清单。博切克特别警示“机器身份泛滥”风险:“当前企业机器身份数量已达人类身份的82倍,但68%机构缺乏AI身份管控能力”。 物联网与系统加固 指令要求2027年1月起所有联邦采购的物联网设备必须携带“美国网络信任标记”认证标签;美国国家标准与技术研究院(NIST)需在2025年9月更新安全补丁部署指南;联邦预算管理局(OMB)则获三年期限制定政府IT系统现代化改造及风险应对框架。 消息来源: cybernews; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
物联网“僵尸网络 DDos 攻击”增长惊人,威胁全球电信网络
近日,正如诺基亚《2023年威胁情报报告》所揭示的那样,恶意活动的激增最初是在俄乌冲突期间观察到的,现在已经蔓延到全球各个地区。 除了僵尸网络驱动的 DDoS 攻击的增加外,威胁情报报告还强调了以移动设备上的个人银行信息为目标的木马数量翻了一番,目前占所有感染的 9%。 诺基亚威胁情报中心最近的一份报告揭示了针对全球电信网络的物联网僵尸网络 DDoS 攻击的惊人增长。该研究表明,在过去一年中,此类攻击增加了五倍,网络犯罪分子利用不安全的物联网设备和以利益为导向的黑客集体。 这种最初在俄罗斯-乌克兰冲突期间观察到的恶意活动激增,现在已经蔓延到全球各个地区,危及电信网络以外的关键基础设施和服务。 物联网设备在消费者中的激增极大地促进了僵尸网络驱动的 DDoS 攻击的升级。这些攻击中使用的受损物联网设备数量已从 20 万台激增至约 100 万台,目前占所有 DDoS 流量的 40% 以上。 该报告强调,攻击的增加源于越来越多的以利润为导向的黑客团体利用乌克兰危机。 电信网络中一种流行的恶意软件形式是机器人恶意软件,它会扫描易受攻击的设备——一种与多个物联网僵尸网络相关的策略。由于全球数十亿物联网设备普遍存在松散的安全措施,包括从智能冰箱到医疗传感器和智能手表的所有设备,网络犯罪分子找到了充足的利用目标。 除了僵尸网络驱动的 DDoS 攻击的增加外,威胁情报报告还强调了以移动设备上的个人银行信息为目标的木马数量翻了一番,目前占所有感染的 9%。这使全球数百万用户面临财务和信用卡详细信息泄露的更高风险。特洛伊木马是伪装成合法应用程序的恶意软件代码。 从积极的方面来看,该报告显示家庭网络中的恶意软件感染有所下降。在Covid-19 大流行期间达到 3% 的峰值后,感染率下降到 1.5%,接近大流行前 1% 的水平。这种减少可归因于随着人们返回办公环境,针对远程工作者的恶意软件活动有所减少。 报告中的调查结果基于从全球超过 2 亿台设备收集的数据,这些设备利用诺基亚的 NetGuard Endpoint Security 产品来监控网络流量。 加拿大的威胁情报中心、法国的诺基亚网络安全中心、印度的诺基亚安全运营中心以及专注于网络分析和 DDoS 安全的诺基亚 Deepfield 贡献了他们的专业知识来编写这份综合报告。 诺基亚业务应用高级副总裁 Hamdy Farid 在谈到报告的调查结果时强调,迫切需要在5G 网络中采取稳健的安全措施。Farid 强调了以电信为中心的威胁检测和响应的重要性,以及在各级组织(包括服务提供商、供应商和监管机构)实施严格的安全实践和意识的重要性。 物联网僵尸网络攻击的惊人激增为全球电信行业敲响了警钟,要求它们加强安全措施并密切合作以保护网络完整性并确保全球数百万用户的安全。 转自 E安全,原文链接:https://mp.weixin.qq.com/s/UFVCAhUvYCZkyJaEPhprtA 封面来源于网络,如有侵权请联系删除
TPM 2.0 爆出漏洞,数十亿物联网设备受到严重威胁
The Hacker News 网站消息,可信平台模块 ( TPM ) 2.0 参考库规范中爆出一个严重安全漏洞,这些漏洞可能会导致设备信息泄露或权限提升。 漏洞或影响数十亿物联网设备 2022 年 11 月,网络安全公司 Quarkslab 发现并报告漏洞问题,其中一个漏洞被追踪为 CVE-2023-1017(涉及越界写入),另一个漏洞追踪为 CVE-2023-1018(可能允许攻击者越界读取)。 Quarkslab 指出,使用企业计算机、服务器、物联网设备、TPM 嵌入式系统的实体组织以及大型技术供应商可能会受到这些漏洞的影响,并一再强调,漏洞可能会影响数十亿设备。 可信平台模块 (TPM) 可信平台模块 (TPM) 技术是一种基于硬件的解决方案,可为现代计算机上的操作系统提供安全的加密功能,使其能够抵抗篡改。 微软表示,最常见的 TPM 功能用于系统完整性测量以及密钥创建和使用,在系统启动过程中,可以测量加载的启动代码(包括固件和操作系统组件)并将其记录在 TPM 中,完整性测量值可用作系统启动方式的证据,并确保仅在使用正确的软件启动系统时才使用基于 TPM 的密钥。 可信计算组织(TCG) 漏洞事件发酵后,可信计算组织(简称:TCG,由 AMD、惠普、IBM、英特尔和微软组成)指出,由于缺乏必要的检查,出现漏洞问题,最终或引起本地信息泄露或权限升级。CERT 协调中心(CERT/CC)在一份警报中表示,受影响的用户应该考虑使用 TPM 远程验证来检测设备变化,并确保其 TPM 防篡改。 最后,安全专家建议用户应用 TCG 以及其它供应商发布的安全更新,以解决这些漏洞并减轻供应链风险。 转自 Freebuf,原文链接:https://www.freebuf.com/news/359428.html 封面来源于网络,如有侵权请联系删除
NIST 宣布 ASCON 为物联网数据保护加密算法
美国国家标准与技术研究所(NIST)宣布,名为Ascon的认证加密和散列算法系列将成为标准算法,用于轻量级密码学应用。 该算法旨在保护由物联网(IoT)创建和传输的信息,包括其无数的微型传感器和执行器。同时也被设计用于其他微型技术,如植入式医疗设备、道路和桥梁内的压力检测器以及车辆的无钥匙进入。 换句话说,这个算法是对在拥有 “有限的电子资源 “的设备中通过轻量级密码学进行安全保护。也就是说,NIST仍然推荐高级加密标准(AES)和SHA-256用于一般用途。 在此之前NIST 收到了 57 个提案,经过了几轮安全分析,最后一轮入围的 10 个候选算法都表现优异。ASCON 获胜是因为它更灵活,在弱硬件上速度更快,短报文消耗低。ASCON 由 Graz 理工大学、Infineon Technologies、Lamarr Security Research 和 Radboud University 密码学家团队联合开发。 从开发者那里我们了解到,ASCON主要针对受限制的设备,即使对手在数据处理过程中设法收集关于内部状态的敏感信息,也无法利用它来恢复秘钥。 同时,Ascon还为提供带有关联数据的验证加密(AEAD),AEAD保护消息的机密性,但它也允许在不加密的情况下包含额外的信息,例如消息的标头或设备的IP地址。该算法确保所有受保护的数据都是真实的,并且在传输过程中没有改变。AEAD可用于车对车通信,还有助于防止与射频识别(RFID)标签交换的消息被伪造,射频识别(RFID)标签通常有助于跟踪仓库中的包裹。 目前,该算法可以用不同的编程语言来实现,如C、Java、Python和Rust。 NIST团队下一步计划发布NIST IR8454,其中描述了选择和评估过程的细节;与Ascon设计师合作起草新的轻量级密码学标准以征求公众意见,最终确定标准化的细节;举办虚拟公共研讨会,进一步解释选择过程并讨论标准化的各个方面(例如,其他变体、功能和参数选择)以及轻量级密码项目范围的可能扩展。研讨会的暂定日期为2023年6月21日至22日。 转自 Freebuf,原文链接:https://www.freebuf.com/articles/357231.html 封面来源于网络,如有侵权请联系删除
微软发现:新的攻击手段已影响全球不同类型物联网设备一年之久
新发现的Zerobot僵尸网络继续发展,越来越多地针对连接设备。 根据微软发布的一份报告显示,最新版本Data to Drag的恶意软件Zerobot 1.1增加了新的漏洞和分布式拒绝服务攻击能力,将恶意软件的影响范围扩大到不同类型的物联网设备。研究人员曾于去年11月首次发现Zerobot。 Zerobot 影响各种设备,包括防火墙设备、路由器和摄像头,将受感染的设备添加到分布式拒绝服务 (DDoS) 僵尸网络中。使用多个模块,该恶意软件可以感染构建在不同体系结构和操作系统上的易受攻击的设备,找到要感染的其他设备,实现持久性并攻击一系列协议。Microsoft 将此活动跟踪为 DEV-1061。 Zerobot 的最新发行版包括其他功能,例如利用 Apache 和 Apache Spark 中的漏洞(分别为 CVE-2021-42013 和 CVE-2022-33891),以及新的 DDoS 攻击功能。 Microsoft 使用 DEV-#### 名称作为未知、新兴或发展中的威胁活动集群的临时名称,允许 Microsoft 将其作为一组独特的信息进行跟踪,直到对威胁的来源或身份达到高度信任为止活动背后的参与者。一旦满足定义的标准,DEV 组就会转换为指定的参与者。 据微软称,这种恶意软件主要通过未打补丁和保护不当的物联网设备传播,如防火墙、路由器和摄像头。黑客不断修改僵尸网络,以扩大和发现尽可能多的设备。 微软发现了Zerobot滥用的7个新漏洞,此外还有21个漏洞,如本月早些时候由Fortinet发现的Spring4Shell和F5 Big。 Zerobot 1.1 包含的几个新漏洞(不完全) Zerobot的升级版利用了Apache web服务器软件、Apache Spark数据处理引擎和通信设备制造商Grandstream等公司的漏洞。 更新后的恶意软件还具有七种新的DDoS功能。根据微软的说法,成功的DDoS攻击可能会被威胁行为者用来勒索赎金,分散其他恶意活动的注意力,或破坏运营。 之前已知的 Zerobot 功能 以前未公开的新功能 Zerobot是用Go编程语言编写的,主要影响Linux设备。微软声称发现了几个可以在Windows上运行的恶意软件样本。在Windows电脑上,恶意软件会将自己复制到名为FireWall.exe的启动文件夹中。 微软研究人员发现其中一个样本基于跨平台(Linux、Windows、macOS)开源远程管理工具(RAT),具有管理进程、文件操作、屏幕截图和运行命令等多种功能。该工具是通过调查恶意软件使用的命令和控制 (C2) IP 发现的。用于下载此 RAT 的脚本称为impst.sh: 用于下载远程管理工具的impst.sh脚本 Zerobot针对使用默认或弱凭据的不安全配置的物联网设备。恶意软件可能会试图通过使用8个常用用户名和130个密码的组合来获得设备访问权限。一旦获得对设备的访问权,Zerobot就会注入恶意有效载荷,下载并试图执行僵尸网络。 恶意软件在Linux和Windows上有不同的持久机制。黑客使用持久性策略来保持对设备的访问,并在未来寻找其他暴露在互联网上的设备进行感染。 当用户愿意付费发动DDoS攻击时,它就会作为恶意软件即服务方案的一部分提供。微软表示,购买Zerobot恶意软件的黑客可以根据目标修改攻击。 微软表示,恶意软件即服务的“商业模式”使网络攻击工业化,使威胁行为者更容易购买恶意软件,并保持对受损网络的访问。 研究人员在各种社交媒体网络上追踪了Zerobot僵尸网络的广告。去年12月,FBI查获了48个与DDoS-for-hire服务有关的域名,其中一个与Zerobot有链接。 转自 E安全,原文链接:https://mp.weixin.qq.com/s/t98vqpf97Rb0eXXwje58sw 封面来源于网络,如有侵权请联系删除
全球超过 100 万物联网设备受影响 安全专家发现 33 个漏洞
数百万智能家居和物联网设备所使用的基础开源软件被曝光存在大量漏洞,意味着你家中的智能设备就可能因这些漏洞而受到黑客攻击。网络安全公司 Forescout 今日披露了 33 个漏洞,对 4 个开源 TCP/IP 堆栈产生严重影响,而这些堆栈已经被全球超过 150 家供应商部署在诸多设备中。 根据Forescout的说法,这些漏洞会导致内存损坏,这可能使攻击者能够破坏设备,执行恶意代码,窃取敏感信息以及执行拒绝服务攻击。受影响的大多数设备都是面向消费者的产品,例如远程温度传感器和摄像机。但是,它们的范围从简单的智能插头和办公路由器到工业控制系统组件和医疗保健设备。 这些漏洞的危害极大,而且受影响范围非常广,因此网络安全和基础结构安全局(CISA)还特别发布了公告,向受影响的用户和制造商提供建议。在公告中建议采取它建议采取防御措施,例如从互联网上删除关键基础设施。尽管有被黑客利用的可能,但是 CISA 指出目前并没有证据表明有黑客利用这些漏洞对用户发起攻击。 Forescout表示,漏洞的令人担忧的方面之一是它们存在于开源软件中。这可能意味着解决这些问题要困难得多,因为开放源代码软件通常由志愿者维护,而某些易受攻击的代码已经使用了二十年。由设备制造商确定并修补漏洞。但是,由于某些泄露的代码存在于第三方组件中,因此必须已记录了组件的使用,以便设备制造商知道该组件的存在。 (消息来源:cnBeta;封面来源于网络)
微软警告黑客组织 Fancy Bear 正试图利用物联网设备漏洞
微软威胁情报中心报道称,俄罗斯黑客组织 Fancy Bear 一直试图利用 VoIP 电话和打印机等物联网设备,对企业网络展开渗透。外界普遍猜测,该组织拥有俄罗斯官方背景,又名 Strontium Group 或 APT 28 。该组织已成功地在 50 多个不同的国家 / 地区,感染了超过 50 万台消费级路由器。 (题图 via MSPU) 今年 4 月,黑客试图将企业的物联网设备作为目标,借助这些“跳板”来渗透规格更大、安全措施更严格的企业网络。 三起事件中的两件,归咎于物联网设备使用了默认的出厂设置。另一件则是设备使用了过时的固件,其中包含了已知的漏洞。 获得物联网设备的访问权限后,攻击者会进一步破坏网络上其它易受攻击的设备和节点。 通过简单的扫描,该组织可在企业内网畅通无阻地移动,寻找获得更高级别账户的访问权限,以窃取高价值的数据。 此外,黑客可执行“tcpdump”,以发现本地子网上的网络流量。幸运的是,袭击事件被迅速扼杀在了萌芽状态。 在调查结束后,我们已于所涉特定设备的制造商分享了这些信息,希望它们能够借此来探索其产品的全新保护措施。 物联网设备制造商需要对安全威胁保持更广泛的关注,了解此类威胁类型的组织和安全团队,以提供更好的企业支持和监控功能,让技术团队更轻松地保障网络安全。 据悉,同一黑客组织还与针对民主党全国委员会(DNC)、法国 TV5 Monde 电视台、以及德国外交部等机构的攻击事件有关。 安全研究人员指出,该组织还攻击了正在调查与俄方有关的网络犯罪事件的调查人员的电子邮件账户,比如 Skripal 中毒和马航 MH17 空难事件的调查者。 显然,这些未遂攻击的揭露,是微软对行业需加强物联网设备安全性的最新警告,否则后续攻击事件还会接踵而至。 (稿源:cnBeta,封面源自网络。)
美国会议员提出了改善物联网设备安全性的新法案
预计到 2020 年,联网设备的数量会增加到 204 亿台,但它们的安全水平却不尽相同。那些没有内置安全特性的物联网设备,成为了黑客眼中的一道脆弱防线。在默认的密码和无法修复的漏洞等问题面前,形势显得非常严峻。去年的参议院听证会上,国防情报局长罗伯特·阿什利中将(Lt. General Robert Ashley)向议员们表示:“对美国国家安全来说,不安全的物联网设备,是需要被重点考量的新兴网络威胁之一”。 有鉴于此,美参众两院议员在本周一提出了一项《物联网网络安全改进法案》,希望能够对缺乏国家标准的新兴技术展开立法。 除了要求每家企业都提升其制造的联网设备的安全性,该法案还希望对联邦政府使用的任何物联网设备设定最低的安全标准。 来自弗吉尼亚州的民主党参议员 Mark Warner 在一份声明中称: 虽然对它们改变生活的潜力感到兴奋,但我也担心许多物联网设备在缺乏适当的安全保障措施的情况下被出售。市场更多地考虑性价比和便利性,而忽略了安全性。 需要指出的是,该法案并为物联网企业制定全面的安全标准,而是针对那些想要向美国政府出售物联网设备的情况。 联邦政府作为该市场的大客户之一,其带头提升的安全标准,有望带动整个物联网行业的安全保障水平。 与加州去年 9 月通过的全美首个物联网安全法案(SB 327)不同,加州法律要求制造商必须遵守特定的安全措施,比如不得使用默认密码、要用用户在访问设备前设置新密码等。 如果本周一提出的《物联网安全法案》获得通过,下一步将交由美国国家标准与技术研究院(NIST)去制定相应的联邦安全标准。 据悉,向美国政府出售的所有物联网设备供应商,必须制定漏洞披露政策,以便政府官员及时了解到相关状况。此外根据该法案,NIST 将每隔五年重新审查一次相关政策。 (稿源:cnBeta,封面源自网络。)
物联网火爆背后隐藏的巨大安全风险
伴随着越来越多的美国家庭、企业和政府推进、购买和部署智能设备,而这些价格相对低廉的物联网设备引发了新的安全问题。目前物联网设备规模突破百亿,在营造更舒适、更高效的生活方式同时由于缺乏真正的安全保护,也成为僵尸网络的一员,被黑客劫持参与各种攻击。 根据 The Conversation 制作的预估图表数据显示,2018 年物联网设备规模已经达到70亿台,非物联网设备数量在 108 亿台,而预估 2025 年物联网设备数量将突破至 215 亿台。这些物联网设备涵盖网络摄像头、血压传感器、温度计、麦克风、智能音箱和毛绒玩具等等,这些产品很多都是由不为人知的小型工厂设计生产,通常没有妥善的安全保护。 2016 年 10 月利用僵尸网络对全球网络发起的攻击 这就意味着大量物联网设备存在非常严重且广泛的漏洞,包括使用弱密码、对通信不加密以及不安全的 Web 界面等等。而黑客往往会劫持数千甚至是数十万个遍布全球的设备来发起 DDoS 在内的攻击。如果制造商在特定类型的设备上设置了不可更改的管理密码,黑客就可以在网络上搜索这些设备,在登陆控制和安装自己的恶意程序之后将设备招募到僵尸网络中。 稿源:cnBeta,封面源自网络;
打造更加安全的物联网:黑莓向智能家居设备制造商开放技术授权
近年来,智能家居设备已经变得日渐普及。但是安装专家们频频发出警告,物联网基础设施存在着巨大的安全隐患。好消息是,为了让物联网世界变得更加安全,曾经在智能手机领域叱咤多年的黑莓(BlackBerry),已决定向智能家居设备制造商们,开放自家的安全技术授权。在激烈的市场竞争下,消费者已经能够享受到包括灯泡、冰箱、电视等在内的“物美价廉”的智能产品。不过黑莓提供的付费安全技术(BlackBerry Secure),能够为你的体验加上一道“放心锁”。 随着黑莓逐渐远离智能手机制造这项“主营业务”,此举标志着该公司移动技术的一次重大转型。 黑莓高级副总裁、兼移动解决方案经理 Alex Thurber 在一份声明中称 —— 2019 将是消费者开始用钱包投票,寻找更高的安全性和数据隐私性的一年。 BlackBerry 的其中一项产品,是在制造时,为智能小工具嵌入微处理器的加密密钥 —— 如遭受黑客攻击,芯片会改变其密钥,并导致设备停止工作。 此外,黑莓还发布了一款软件,能够阻止未经批准的代码在设备上运行。2016 年的时候,全球曾爆发过针对物联网设备的 Mirai 攻击。 当时黑客将大量的联网设备(比如家用路由器和安防摄像头)纳入了僵尸网络,以便将一台重要的互联网服务器搞得宕机。不过黑莓的安全方案,有望阻止类似事件的再次发生。 此外,黑莓还为工厂或企业环境里的设备,提供了一套管理服务。其旨在让企业更加严格地控制存储在设备上的信息,制定允许设备通过 Wi-Fi 或蓝牙等协议进行通信的规则。 当然,黑莓并不是这方面的先行者。早在 4 月份的时候,微软就已经发布了 Azure Sphere 微芯片。 其允许企业在联网设备上部署安全芯片和软件,此外亚马逊和谷歌也提供了各自的解决方案(Android IoT / AWS IoT),以便为联网设备提供充分的防护。 不过,对于黑莓及其合作伙伴来说,目前正是一个不错的介入时机。 在经历了 2018 年的 Facebook 数据收集、谷歌隐私、以及前一年的大规模 Equifax 漏洞之后,消费者终将渴望寻求更加安全的替代品。 物联网市场分析机构 J. Gold Associates 负责人 Jack Gold 表示: 鉴于黑莓手机的‘安全性’已深深植入每个人的脑海,该公司显然可以顺水推舟,将这一标签打向物联网世界。 稿源:cnBeta,封面源自网络;