马斯克称:美国政府及情报机构可监视推特所有私聊信息
推特首席执行官埃隆·马斯克近日在采访中表示,他上任之前得知美国政府可以完全访问推特用户的私聊信息,这让他感到非常震惊。 马斯克此前在接受塔克·卡尔森(Tucker Carlson)采访的片段中表示,之前推特管理层一直和政府机构有所联系,因为政府机构有时候会安排他们直接禁止推特上的一些内容。该采访将于周一和周二晚间播出。 马斯克告诉卡尔森:“政府机构几乎能访问推特上的任何信息,这个监管的程度让我感到震惊。”2022年10月27日,马斯克以440亿美元的价格收购了推特,之后他解雇了该公司超过70%的员工。 据The Verge报道,马斯克之前一再强调,他认为推特的政策应该设定的符合国家法律标准。并且他也表示此前收购推特的目的就是最大程度的实现言论自由。所以近几个月,他一直在批评推特前领导层涉嫌与美国政府勾结,压制政治言论的这件事。 随后记者公布出了一个账户,该账户通过公共数据能自动跟踪马斯克的私人飞机的航班信息。该报道一出,推特立即改变了对所有用户的规定,禁止在未经他人同意的情况下分享他人的当前位置信息。 但对于《纽约邮报》来说,限制推特上的内容具有特殊意义。有几名记者很同情马斯克的遭遇,所以公布了一系列据称来自推特内部的文件。这些文件透露出此前《华盛顿邮报》刊登的关于亨特·拜登笔记本电脑的相关报道被限制发布。 前《滚石》杂志记者马特·泰比透露,2021年1月6日国会大厦骚乱造成5人死亡的事件发生后,推特曾向几个政府机构征求指导意见,询问是否在推特上禁止前总统唐纳德·特朗普的相关言论。泰比表示,这些年来,中情局其实一直都有参与推特的内容审核工作。 而近日,马斯克又与独立新闻机构美国国家公共广播电台(NPR)发生了争执,因为他在推特上给该机构错贴了“国家附属媒体”的标签。这个月月初,白宫已经就该事件为这家公共广播电台和出版商进行了辩护。 NPR上周表示,其后面将停止在推特上发帖。因为这个打标签的行为暗示了该媒体机构不具备编辑独立性,损害了其信誉。目前,据最新报道推特已经将美国国家公共广播电台和其他接受公共资金的媒体标签由“国家附属媒体”改为了“政府资助”。 4月5日,白宫新闻秘书卡琳·让·皮埃尔(Karine Jean-Pierre) 公开表示,NPR的记者一直都工作很努力,并始终致力于让政府官员负起责任。她表示任何关注NPR报道的人都十分清楚,他们的确是一家独立的新闻机构。 转自 Freebuf,原文链接:https://www.freebuf.com/news/364090.html 封面来源于网络,如有侵权请联系删除
美国政府修订发布运输管道网络安全指令文件
安全内参消息,美国运输安全管理局(TSA,以下简称运安局)宣布,修订并重发关于石油及天然气输送管道的网络安全指令。经过修订之后,新指令将继续努力为美国关键输送管道建立网络安全弹性。 指令修订背景 针对关键管道公司重新发布的安全指令延续了2021年7月公布的原指令,制定过程得到了行业利益相关方及联邦合作伙伴(包括美国商务部、网络安全与基础设施安全局)的广泛支持。新指令将网络安全要求再延长一年,并把关注重点放在基于效能(而非规定)的关键网络安全成果实现措施上。 运安局长大卫·佩科斯奇(David Pekoske)表示,“运安局致力于保护国家交通系统免受网络攻击。修订后的安全指令将延续运安局同石油和天然气管道行业间的重大合作,期望建立一套新模型,适应系统与运营间的差异,满足我们的安全要求。” “我们意识到不同组织间存在诸多差异,因此我们开发出与这一事实相匹配的方法,并通过持续监控和审计来评估预期网络安全成果的实现情况。我们将继续与交通运输领域的合作伙伴携手,提高整个系统的网络安全弹性,也感谢过去一年各方为保护交通运输这一关键基础设施做出的重大努力。” 在2021年5月出现针对关键管道运输商的勒索软件攻击之后,运安局发布了多项安全指令,要求关键管道所有者及运营商实施几项紧急网络安全措施。在攻击之后的近14个月内,针对该领域的威胁不断演变加剧,而降低这一国家安全风险则需要公共及私营部门间开展广泛合作。 通过此次修订和重新发布的安全指令,运安局将继续采取措施,保护交通运输基础设施免受不断演变的网络威胁的侵扰。运安局还有意启动正式的规则制定流程,让公众也有机会考量现状、提交安全意见。 指令要求 此次重发的安全指令采用基于效能的创新方法增强安全水平,使行业能够利用新技术更好地适应不断变化的环境。安全指令要求运安局指定的管道及液化天然气设施所有者/运营商采取行动,防止基础设施遭受破坏和发生退化,实现以下安全结果: 制定网络分段政策和控制措施,确保在信息技术系统受到威胁的情况下,运营技术系统仍能继续安全运行,反之亦然; 建立访问控制措施,保护并防止针对关键网络系统的未授权访问; 建立持续监控和检测政策及程序,用以检测网络安全威胁并纠正影响关键网络系统运行的异常状况; 使用基于风险的方法,及时为关键网络系统上的操作系统、应用程序、驱动程序和固件等安装安全补丁和更新,降低未修复系统遭到利用的风险。 管道所有者和运营商必须: 制定并执行运安局批准的网络安全实施计划。此计划描述了在实现安全指令中规定的安全结果的过程中,管道所有者和运营商所需使用的具体网络安全措施。 制定并维护网络安全事件响应计划,其中包括在遭遇因网络安全事件引发的运营中断或业务严重退化时,管道所有者和运营商应当采取的措施。 建立网络安全评估计划,主动测试并定期审计网络安全措施的有效性,识别并解决设备、网络和系统中的安全漏洞。 以上要求,是对此前提出的向美国网络安全与基础设施安全局上报重大网络安全事件、建立网络安全联络点、开展年度网络安全漏洞评估等条款的额外补充。 转自 安全内参,原文链接:https://www.secrss.com/articles/45064 封面来源于网络,如有侵权请联系删除
美国政府发布 5G 安全评估指南
安全内参5月27日消息,对于希望在部门内部署5G无线通信项目的联邦官员,这份最新发布的安全指南将帮助他们考量最重要的“运营授权”流程。 《5G安全评估》(5G Security Evaluation)指南由美国国土安全部(DHS)网络安全与基础设施安全局、国土安全部科技司、国防部(DoD)研究与工程司共同牵头,指派研究小组负责具体制定。 文件指出,“重要的是,政府应采用灵活、自适应且可重复的方法对任何5G网络部署的安全性和弹性做出评估。此外,具体评估可能需要在现行联邦网络安全政策、法规和最佳实践之外更进一步,以解决已知攻击向量、尚未发现的威胁和特定实施中存在的漏洞。” 整理评估方案的官员强调,这份指南并非新的安全要求或框架。相反,它只是为各级机关的5G系统评估工作,特别是评估其安全水平是否符合生产要求,制定出一个五步走流程。整个流程与美国国家标准、技术风险管理框架等现有评估机制挂钩。 网络与基础设施安全局网络质量服务管理办公室主管Vincent Sritapan在采访中表示,“我们经常面对各种各样的应用场景:用于训练的AR/VR,提供数据存储与分析功能的智能湖仓等。但关键在于,必须找到一种通行的方式来看待问题并理解政策。我们并不是要重新构建评估机制,而是立足于现有成果,比如风险管理框架。” 图:5G子系统面临的威胁 各级机关都希望能在未来几年内将5G系统部署落地,因此安全评估工作就成了通信升级的关键。作为联邦首席信息安全委员会授权负责发现常见无线与移动问题、开发解决方案并分享最佳实践的专项团队,联邦移动工作组(Federal Mobility Group)曾在2020年发表论文,确定了政府内60多项与5G技术相关的举措,其中包括数十项研发计划。 与其他新兴技术一样,在将5G引入生产环境之前,各团队必须首先获得运营授权(ATO)。此次发布的评估指南,就是以专项测试与传统运营授权流程为基础,面向5G技术提供评估调查指引。 Sritapan表示,“很多人单纯关注功能本身。他们可能会想,「太棒了,我想在技术新鲜出炉后立马用上。」但在摸清风险之前,大家不宜轻举妄动。换句话说,在把5G用例纳入业务的同时,我们又增添了哪些风险?” 5G安全评估的五个阶段 这个五步走评估流程的第一步是定义5G用例,包括5G系统、子系统及属性等关键参数。 美国国防部5G to NextG倡议的运营部分负责人Dan Massey在采访中指出,这个流程将帮助各级机构考量5G系统的复杂性,包括最终用户设备、无线接入网络、5G核心网络和边缘计算系统等。 Massey还提到,“该流程将帮助大家确定系统组件的风险级别、系统边界、已知指导方针等,避免从零开始自行摸索。” 第二步,定义安全评估的边界。考虑到5G技术极高的复杂性和相互关联性,这一部分可能会极具挑战。 Sritapan解释道,“要使用专用网络吗?是否包含云系统?作为边界的组成要素,应该选择怎样的端点和技术应用接口?” 第三步,要求对各个5G子系统开展“高级威胁分析”,并进一步确定安全要求,如是否采用身份、凭证和访问管理控制或网络安全控制等。 第四步,要求同联邦指导方针和行业规范相匹配,包括与美国国家标准技术研究所网络风险管理框架(NIST RMF)、联邦信息流程标准及其他相关指南挂钩。 第五步,评估安全指导方针中存在的差距。如果联邦指导意见确实存在差距,文件要求项目主管应求助于“由商业或贸易团队建立的行业认证、安全保障计划,或者其他最佳实践评估框架。”但文件同时强调,在采用这些方法之前,务必“认真”进行研究权衡。 Massey总结道,“我们不会引入全新的流程或指令。相反,我们认为现有方案已经够多,最重要的是把新流程跟现有指导方针匹配起来。当然,在实施过程中难免会发现差距。但大多数情况下,只要我们能够充分理解自身安全要求,就完全可以把新流程与原有指导意见联系起来。这里我想呼吁那些打算部署5G系统的同仁,这绝不是什么庞大、可怕、前所未见的事物。只要按照这份流程有序推进,大家就会发现它跟以往的工作没多大区别,基本原理也并不难理解。” 转自 安全内参,原文链接:https://www.secrss.com/articles/42887 封面来源于网络,如有侵权请联系删除
微软总裁在新书中透露:特朗普顾问希望微软帮助美国政府监视其他国家
据外媒MSPoweruser报道,微软总裁兼首席法律顾问布拉德·史密斯(Brad Smit)最近发行了他的新书《工具和武器:数字时代的希望和危机》(Tools & Weapons: The Promise and the Peril of the Digital Age),而这本书打开了“潘多拉魔盒”。 本周早些时候,外媒曾报道称布拉德·史密斯认为美国政府对待华为的方式一点也不美国(un-American)。史密斯在其新书中还透露,泰勒·斯威夫特的律师曾在2016年威胁要起诉微软。因为微软的聊天机器人Tay的名字和Taylor很相似。 现在,Geekwire引用了他的书中的一段话,其中揭示了特朗普政府如何希望微软帮助其监视其他国家。史密斯在书中写道:“作为一家美国公司,你为什么不同意帮助美国政府监视其他国家的人?”他指出,微软向美国政府明确表示他们不愿意接受有关这个问题的任何讨论。 我指出,特朗普酒店刚刚在中东和宾夕法尼亚大街的街道上开设了新房产。“这些酒店是否会对那些留在那里的其他国家的人进行监视活动?这对家族企业来说似乎不太好。 – 当特朗普顾问询问为什么微软不帮助他们监视其他国家的人时,布拉德·史密斯如是说 布拉德·史密斯在新书中还介绍了微软等公司面临的类似复杂的法律和道德挑战。他指出,特朗普并不是第一个对微软提出异议的总统。该书的内容还包括微软与奥巴马政府就隐私与面部识别政策等问题存在分歧的情况。 政府如何管理比自己更大的技术?这可能是技术监管未来面临的最大难题。但是一旦你提出这个问题,答案的一部分就变得清晰了:政府需要共同努力。 – 布拉德·史密斯 (稿源:cnBeta,封面源自网络。)
华为决定起诉美国政府 称其涉嫌入侵华为服务器
华为今天在深圳总部宣布,正起诉美国政府,并要求对禁止使用公司设备的政策进行合宪性审查,这是华为在美国市场持续战斗中的最新进展。该诉讼指控国会去年以国防开支计划的一部分违宪地捆绑对华为实施的惩罚。国会通过立法阻止中国制造的电信设备在联邦网络中使用的规定,阻止了主要政府承包商使用华为设备,该措施主要针对华为和中兴,以及其他一些中国公司。 华为本次起诉的对象是去年美国国会通过、并由白宫签署的“国防授权法案”中的一项条款。 华为表示,该措施违反了制定“剥夺公权法案”的法律标准,同时还指控政府侵犯了公司的正当程序权,因法案中的条款对华为构成了明显的 “未审先判”,而美国的宪法则禁止美国国会通过这样的法律。 华为在深圳总部发布会上同时向外界透露,有证据表明美国政府涉嫌入侵华为服务器。 美国官员多次将华为称为潜在的安全威胁,并称该公司可能被用作间谍工具。华为一直否认这种可能性,并称美国未能提供其担忧的证据。 近年来,总部设在俄罗斯的网络安全公司卡巴斯基实验室也美国政府认为其存在潜在的间谍活动为由而受到阻拦,该公司也曾提起了类似华为的诉讼,但尚未成功。不过华为要求法院裁定美国目前的政策违宪,这与卡巴斯基的案例并不相同。 作为全球最大的电信设备供应商,华为面临着立法者和情报官员对其运营的严格审查,这一切似乎没有尽头。特朗普政府一直在考虑一项进一步限制华为产品销售的订单,美国也一直在敦促盟国放弃该公司的设备。 (稿源:cnBeta,封面源自网络。)
GovPayNet 凭证系统存在漏洞 1400 万交易记录被曝光
GovPayNet是总部位于美国印第安納波利斯市(Indianapolis)的私营企业,为美国35个州的2300多个美国政府机构提供在线支付服务。根据最新信息,自2012年以来大概有1400万条包含收据信息的记录被泄露。据安全研究员Brian Krebs报道,公司网站GovPayNow.com允许任意人访问收据数据,其中包括法院下达的罚款、保释金以及交通罚款等等。 美国用户在完成付款处理之后,GovPayNow.com就会发出确认收款的数字收据,而用户可以通过修改不同的ID来轻松访问其他用户的收据信息。Krebs实际演示中,通过简单地修改收据URL中的ID数字,就能轻松访问GovPayNet支付系统中的任意凭证,包括收据所有者的全名、居住地址、手机号码以及交易所使用行用卡的后四位数字。 在发现安全问题后,研究人员向GovPayNet发出了关于该问题的警报,并在两天后收到答复,确认他发现的“潜在问题”已得到解决。“目前没有迹象表明有黑客利用任何不正当访问的信息来伤害任何客户,收据中不包含可用于启动金融交易的信息。” 稿源:cnBeta,封面源自网络;
路透社:博通正安抚美国政府担忧的通信安全问题
北京时间 3 月 12 日消息,根据路透报道,博通承诺倘若收购高通一案被批准,将不会出售重要的国家安全资产给外国买家。总部位于新加坡的博通,正试图安抚美国担忧的安全问题。 另外,高通公司也宣布取消了执行董事长的位置,并任命了一名新的非执行董事长,因为该公司打算在与博通的代理竞争之前讨好股东。高通还表示,Tom Horton 将继续作为首席董事。Horton 自 2008 年 12 月以来一直在该公司的董事会成员,此前曾担任美国航空公司董事长兼首席执行官。 博通以 1170 亿美元收购高通一案进一步涉及监管部门,而卷入了更复杂的战争。所需考量的问题包括了美国对于自身在全球移动网络影响力的担忧,以及对于一家全球领先、具影响力的芯片公司的财务问题。 在星期五给美国国会的一封公开信中,博通承诺每年投资 30 亿美元用于研究和工程,并在美国投资 60 亿美元。它没有说明这些数字与两家公司目前的支出相比如何。博通公司在 2017 年度的研发支出约为 33 亿美元,2016 年为 27 亿美元;相较之下,高通公司的研发投入在 2017 年度为 55 亿美元,在 2016 年为 52 亿美元,高通的研发投入显著高过于博通。 在美国外国投资委员会(CFIUS)本周下令进行国家安全审查之后,高通公司的年度股东大会已推迟了 30 天,将定于 4 月 5 日举行。美国政府还担心,中国企业包括大的网络设备和手机制造商华为,会在下一代移动网络领跑世界。 根据美国财政部网站的数据,CFIUS 在 2016 年调查了 79 宗交易,其中有 5 笔交易是出于国家安全考虑而放弃的,另有 7 笔交易因其他原因被撤回,包括未能满足监管机构的流程要求。半导体交易受到 CFIUS 的特别审查,因为芯片可以存储外国政府可能对美国使用的敏感数据。 之前有业界人士表示,审查很可能会扼杀博通收购高通的机会,并称 CFIUS 的行动是对尚未同意的交易史无前例的举措。克里斯滕森认为,要想达成这项收购协议,博通必须改变很多商业理论。这削弱了协议的意义。“我不认为他们会去做这件事。” 稿源:cnBeta,封面源自网络
美参议员炮轰 CBP 电子护照系统存在长达十年的漏洞
据外媒报道,过去十年,美国边境检查人员一直未能有效加密地验明入境人员的护照信息,原因是政府没有合适的软件。在写给美国海关与边防局(CBP)代理司长 Kevin K. McAleenan 的信中,参议员 Ron Wyden 和 Claire McCaskill 要求其就此事作出答复。电子护照的芯片中嵌入了包含机器可读文本和加密信息,可以轻松验证护照的真实性和完整性。 自 2007 年引进以来,所有新发放的护照都是电子护照。在免签名单上的 38 个国家的公民,也都必须持有电子护照,才被允许进入美国。 加密信息使得一本护照几乎不可能被伪造,此外也有助于防止身份盗窃。然而参议员在本周四的这封信中指出,边防人员“缺乏验证电子护照芯片的技术能力”: 即便他们已经在大部分入境口岸部署了电子护照阅读器,CBP 依然没有必要的软件,来验证电子护照芯片上存储的信息。 特别是 CBP 无法验证存储在电子护照上的数字签名,这意味着 CBP 无法判断智能芯片上储存的数据是否被篡改或伪造。 令人震惊的是,早在 2010 年的时候,海关和边防部门就已经意识到了这个安全漏洞。 当年,政府问责办公室在一份报告(PDF)中首次点名批评了 CBP 的上级(国土安全部),指责其“在信赖数据之前,还没有实现验证数字签名所必须的全部功能”。 换言之,在国土安全部门堵住疏漏之前,边防人员只得继续依赖缺乏合理保证的系统,被电子护照芯片上可能被伪造的计算机数据给欺骗。 那么,8 年过去了,CBP 是否已经亡羊补牢了呢?遗憾的是,该机构仍不具备在电子护照上验证机器可读数据的技术能力! 新闻炸锅之后,约翰霍普金斯大学密码学讲师 Matthew Green 在一条推文中写到: 如果你持有一本来自免签国家的护照,那么边防人员只会从电子芯片上读取你的照片和旅行信息,而这些数据的可信度是无法保证的。 马修·格林继续评论道: 令人谛笑皆非的是,尽管这种电子护照是美国在经历了 9/11 恐袭后强行向全球推出的,我们却一直未能正确地使用它。 参议员们希望,有关部门可以在明年年初之前,提出一项对电子护照进行适当的身份验证的计划。不过截止发稿时,CBP 的发言人并没有回应媒体的置评请求。 稿源:cnBeta,原文编译自:ZDNet , 来源:Wyden-Security-Letter(PDF)
美国阻止中国投资科技行业法案遭企业反对 或将缓和
北京时间 2 月 9 日早间消息,据路透社援引知情人士消息称,在多家美国大公司因为担心营收降低而提出抗议后,美国国会的一项旨在阻止中国购买敏感技术的立法提案在态度上有所缓和。参众两院的这两份提案希望扩大美国外商投资委员会(CFIUS)的权力,阻止中国收购美国的复杂技术。这份两党提案也获得了特朗普政府的支持。 “我们认为这极大地扩大了 CFIUS 的触角和司法权。”国际投资组织(Organization for International Investment)CEO 南希·麦克莱诺(Nancy McLernon)说,该组织代表了在美国经营的跨国公司。 作为众议院议案的牵头人,美国众议员罗伯特·皮腾格(Robert Pittenger)表示,需要进行一些澄清来避免企业受到意外的影响。但他补充道,这项议案仍然符合其保护美国国家安全的目标。 CFIUS 目前负责审批可能危害美国国家安全的海外收购,或者股票交易。部分批评人士表示,这项议案会扩大它的权力,使之可以监督部分收购和销售行为。 美国对涉及中国的高科技交易疑心越来越重,并且已经封杀了一些可能让中国获得复杂半导体或美国公民数据的交易。 皮腾格说:“某些美国公司需要决定他们究竟真正在乎谁的国家安全:美国的还是中国的?” 自从特朗普就职以来,面对中美两国之间日益紧张的政治和经济关系,CFIUS已经更加谨慎。美国信息技术产业协会高级副主席约什·卡尔莫(Josh Kallmer)说:“此事很重要。我们在上面花了很多时间。”该协会代表了一些希望美国国会调整议案的企业,其会员包括谷歌母公司Alphabet、IBM、Facebook、英特尔和高通等。 议案的争议点集中在两项内容,其中一项要求,如果与“关键技术”或“关键基础设施”公司有关,CFIUS 就可以对外商投资进行审查。行业代表认为,这会形成不确定性,导致监管者的审查余地过大。 另外一项担忧在于,CFIUS 的权力扩大之后,将对高科技的销售或软件授权进行审查,与现有的出口管制有所重叠,而且会给销售流程带来不确定性。这两项变化会令 CFIUS 本已十分繁重的工作进一步增多,导致审批延迟,加大美国企业与海外企业竞争的难度。 美国国会议员可能在议案中明确所谓的“关键技术”,以便将受到影响的企业进行细化。也有可能直接删除这一段,让负责控制出口控制的部门来具体实施。 稿源:cnBeta,封面源自网络
美方宣称朝鲜为 WannaCry 幕后黑手,白宫今日将发布声明
据外媒报道,美国方面宣布,朝鲜是今年 5 月席卷全球的大规模且具有金融毁灭性的勒索软件 WannaCry 网络攻击的幕后黑手。该声明来自特朗普领导班子的国土安全局顾问 Thomas Bossert在《华尔街日报》上发表的文章。 获悉,白宫将就这一结果在明日发布正式声明。报道称,今年 6 月,美NSA曾拥有指向朝鲜的证据,而 Bossert 的评论公开证实了 NSA 这一发现。NSA 掌握的证据来自外国政府、独立网络安全公司以及直接受到网络攻击的公司。 目前还不清楚特朗普政府是否会将 WannaCry 作为对待朝鲜施加更大压力的另一个方式。Bossert 则在文章中表示,美国政府将为遏制平壤发动更多攻击–网络或其他施加最大的压力战略。这表明特朗普政府已经开始公开寻求能够打压朝鲜网络攻击能力的措施。另外,Bossert 还表示,黑客将必须要接受对网络犯罪的严厉惩罚,而那些沦为受害者的公司将需要加强安全措施并采取主动的反击措施。 稿源:cnBeta,封面源自网络;编辑:FOX