網安智庫|國內外最新網絡安全發展態勢
重要事件回顧,智覽網安行業發展。近日國內外網安行業發生了哪些重要事件,呈現出了怎樣的發展態勢呢?中國網安科技情報研究團隊將從行業大角度出發,帶領大家回顧近日國內外行業的重要事件,探究其中的發展態勢。
事件概覽:
1、個人信息保護法出爐,11月1日起施行
2、上海28家單位存在違反網絡安全防護行為
3、五部門發布《汽車數據安全管理若干規定》
4、工信部通報43款App違規:微信上榜
5、塔利班可能已掌握可識別美國盟友的數據
6、CISA發布勒索軟件防御和響應指南
7、上半年共發布了637個(ICS)產品漏洞
8、Mozi瞄準Netgear、華為、中興網關
9、思科警告服務器名稱識別數據滲出缺陷
10、IT 風險團隊發現Autodesk軟件中的漏洞
11、巴西國庫局遭勒索軟件攻擊
12、2021年7月越南遭受千余起網絡攻擊
13、黑莓軟件存在漏洞
14、Poly Network欲聘請黑客任首席安全顧問
15、白帽幫助福特汽車避免大規模數據泄露
國內
01 個人信息保護法出爐,11月1日起施行
十三屆全國人大常委會第三十次會議20日表決通過《中華人民共和國個人信息保護法》。個人信息保護法自2021年11月1日起施行。
其中明確:
1、明確個人信息的概念和處理規則
2、禁止商家通過自動化決策“大數據殺熟”;通過自動化決策方式向個人進行信息推送、商業營銷,應提供不針對其個人特征的選項或提供便捷的拒絕方式
3、處理生物識別、醫療健康、金融賬戶、行蹤軌跡等敏感個人信息,應取得個人的單獨同意
4、對違法處理個人信息的應用程序,責令暫停或者終止提供服務
5、對處理人臉信息等敏感個人信息進行規制
6、強調不得過度收集個人信息
7、對公共場所安裝圖像采集、個人身份識別設備作出規范
8、大型互聯網平臺應建立健全個人信息保護合規制度體系
個人信息保護法草案(三次審議稿)回顧
8月13日上午,全國人大常委會法制工作委員會舉行記者會。發言人臧鐵偉介紹了立法工作有關情況并回答記者提問。
據悉,8月17日至20日,十三屆全國人大常委會第三十次會議將于北京舉行,并且審議個人信息保護法草案在內的多個草案。
今年4月,常委會第二十八次會議對個人信息保護法草案進行了二次審議。根據各方面意見,提請本次常委會會議審議的草案三次審議稿擬作如下主要修改:
一是,我國憲法規定,國家尊重和保障人權,公民的人格尊嚴不受侵犯,公民的通信自由和通信秘密受法律保護。制定實施本法對于保障公民的人格尊嚴和其他權益具有重要意義。據此,擬在草案第一條中增加規定“根據憲法”制定本法。
二是,進一步完善個人信息處理規則,特別是對應用程序(APP)過度收集個人信息、“大數據殺熟”等作出有針對性規范。
三是,將不滿十四周歲未成年人的個人信息作為敏感個人信息,并要求個人信息處理者對此制定專門的個人信息處理規則。
四是,完善個人信息跨境提供的規則,對按照我國締結或者參加的國際條約、協定向境外提供個人信息、對轉移到境外的個人信息的保護不應低于我國的保護標準等作出規定。
五是,增加個人信息可攜帶權的規定,完善死者個人信息保護的規定。
六是,對完善個人信息保護投訴、舉報工作機制及違法處理個人信息涉嫌犯罪案件的移送提出明確要求。
利用個人信息進行自動化決策的針對性規范
在回答記者提問中,臧鐵偉指出:
當前,社會各方面對于用戶畫像、算法推薦等新技術新應用高度關注,對相關產品和服務中存在的信息騷擾、“大數據殺熟”等問題反映強烈。
因此,個人信息保護法草案立足于維護廣大人民群眾的網絡空間合法權益,對利用個人信息進行自動化決策作了有針對性規范:
一是,對自動化決策的概念作出界定,是指通過程序自動分析、評估個人的行為習慣、興趣愛好或者經濟、健康、信用狀況等,并進行決策的活動
二是,自動化決策應當遵守個人信息處理的一般規則,包括應遵循合法、正當、必要和誠信原則,目的明確和最小化處理原則,公開透明原則,信息質量原則,責任原則等,自動化決策,包括用戶畫像、算法推薦等,應當在充分告知個人信息處理相關事項的前提下取得個人同意,不得以個人不同意為由拒絕提供產品或者服務。
三是,在上述規則下,草案對自動化決策作出專門規范,要求個人信息處理者保證自動化決策的透明度和結果的公平、公正,不得通過自動化決策對個人在交易價格等交易條件上實行不合理的差別待遇,并在事前進行個人信息保護影響評估。
四是,賦予個人充分的權利,要求個人信息處理者通過自動化決策方式向個人進行信息推送、商業營銷,應當同時提供不針對其個人特征的選項,或者向個人提供拒絕的方式;作出對個人權益有重大影響的決定,個人有權要求予以說明,并有權拒絕僅通過自動化決策的方式作出決定。
02 上海28家單位存在違反網絡安全防護行為
據8月20日報道,上海市通信管理局發布通報稱,檢查發現本市有28家單位存在未落實通信網絡安全防護管理要求等違規行為,這些單位須在通報發布之日起30日內落實整改工作。
根據《網絡安全法》《通信網絡安全防護管理辦法》等法律法規和《上海市通信管理局關于加強電信和互聯網行業通信網絡安全防護管理工作的通知》要求,市通信管理局定期對本市電信和互聯網企業的通信網絡安全防護管理情況進行督查審查,并對在本市行政區域內提供通信網絡安全評測、評估服務的網絡安全專業機構及其信息通信領域安全服務資質予以備案登記。
通報稱,截至2021年8月,上海市通管局共審核通過了67家單位的85個網絡單元定級結果,對51家網絡安全評測評估服務機構予以備案登記。
同時,檢查發現28家單位存在未落實通信網絡安全防護管理要求等違規行為,上述單位應當在2021年9月19日前(本通報發布之日起30日內)落實整改工作。逾期不整改的,市通管局將依法依規組織開展處置和執法工作。
03
五部門發布《汽車數據安全管理若干規定》
據2021-08-20報道,近日,國家互聯網信息辦公室、國家發展和改革委員會、工業和信息化部、公安部、交通運輸部聯合發布《汽車數據安全管理若干規定(試行)》(以下簡稱《規定》),自2021年10月1日起施行。國家互聯網信息辦公室有關負責人表示,出臺《規定》旨在規范汽車數據處理活動,保護個人、組織的合法權益,維護國家安全和社會公共利益,促進汽車數據合理開發利用。
隨著新一代信息技術與汽車產業加速融合,智能汽車產業、車聯網技術的快速發展,以自動輔助駕駛為代表的人工智能技術日益普及,汽車數據處理能力日益增強,暴露出的汽車數據安全問題和風險隱患日益突出。在汽車數據安全管理領域出臺有針對性的規章制度,明確汽車數據處理者的責任和義務,規范汽車數據處理活動,是防范化解汽車數據安全風險、保障汽車數據依法合理有效利用的需要,也是維護國家安全利益、保護個人合法權益的需要。
《規定》倡導,汽車數據處理者在開展汽車數據處理活動中堅持“車內處理”、“默認不收集”、“精度范圍適用”、“脫敏處理”等數據處理原則,減少對汽車數據的無序收集和違規濫用。
《規定》明確,汽車數據處理者應當履行個人信息保護責任,充分保護個人信息安全和合法權益。開展個人信息處理活動,汽車數據處理者應當通過顯著方式告知個人相關信息,取得個人同意或者符合法律、行政法規規定的其他情形。處理敏感個人信息,汽車數據處理者還應當取得個人單獨同意,滿足限定處理目的、提示收集狀態、終止收集等具體要求或者符合法律、行政法規和強制性國家標準等其他要求。汽車數據處理者具有增強行車安全的目的和充分的必要性,方可收集指紋、聲紋、人臉、心律等生物識別特征信息。
《規定》強調,汽車數據處理者開展重要數據處理活動,應當遵守依法在境內存儲的規定,加強重要數據安全保護;落實風險評估報告制度要求,積極防范數據安全風險;落實年度報告制度要求,按時主動報送年度汽車數據安全管理情況。因業務需要確需向境外提供重要數據的,汽車數據處理者應當落實數據出境安全評估制度要求,不得超出出境安全評估結論違規向境外提供重要數據,并在年度報告中補充報告相關情況。
《規定》提出,國家有關部門依據各自職責做好汽車數據安全管理和保障工作,包括開展數據安全評估、數據出境事項抽查核驗、智能(網聯)汽車網絡平臺建設等工作。對于違反本規定的汽車數據處理者,有關部門將依照《中華人民共和國網絡安全法》、《中華人民共和國數據安全法》等法律、行政法規的規定進行處罰。
國家互聯網信息辦公室有關負責人指出,汽車數據安全管理需要政府、汽車數據處理者、個人等多方主體共同參與。省級以上網信、發展改革、工業和信息化、公安、交通運輸等有關部門在汽車數據安全管理過程中,將加強協調和數據共享,形成工作合力。
04 工信部通報43款App違規:微信上榜
8月18日下午消息,工信部網站刊登了信息通信管理局的最新通報,內容是介紹了APP違規調用通信錄、位置信息以及開屏彈窗騷擾用戶等問題“回頭看”相關情況。工信部稱,近期,我部針對用戶反映強烈的APP違規調用通信錄、位置信息以及開屏彈窗騷擾用戶等三方面突出問題,組織開展了“回頭看”。
共發現43款APP(詳見附件)仍存在問題整改不徹底、技術手段對抗、同一問題在不同地域整改不一致的情況。
通報要求,上述APP應在8月25日前完成整改,逾期不整改或整改不到位的,我部將依法依規進行處置。
據悉,存在問題的應用軟件包括微信、企業微信、攜程、搜狐視頻、騰訊視頻、騰訊地圖、鳳凰新聞、易車、書旗小說、愛奇藝、觸寶電話、WiFi萬能鑰匙、豆瓣FM、懂球帝等。
以微信為例,此次上“黑榜”的是蘋果App Store的8.0.10版本,存在違規調用通信錄和地理位置權限。
國外
01 塔利班可能已掌握可識別美國盟友的數據
一份報告顯示,美國軍方在阿富汗建立了一個龐大的生物識別數據數據庫——作為追蹤阿富汗恐怖分子的一部分,美國軍方的目標有2500萬條條目。現在美國已經從阿富汗撤軍,據《攔截報》和路透社的報道表明,塔利班可能利用它來攻擊留下的盟友。
正如《攔截報》所指出的那樣,生物識別數據的收集主要被用于軍事項目,但據報道,為美國大使館和聯合政府工作的阿富汗平民的生物識別數據也被列入了數據庫。據截獲的消息來源稱,軍方使用的手持式身份檢測設備(HIIDE)收集了他們從虹膜到指紋的所有信息,而這些裝置現在被塔利班擁有。
關于塔利班是否真的能夠利用收集到的信息來獲取和采取行動還不確定,因為這些信息中存在著一些相互矛盾地方。一名前陸軍特種作戰官員告訴《攔截報》:"塔利班沒有使用這些數據的裝備,訪問已經收集的生物識別數據可能會是其他人,如巴基斯坦情報機構、三軍情報局。據路透社報道,當地報道說,塔利班在過去五年中利用政府的生物識別數據"以安全部隊成員為目標,根據數據庫檢查他們的指紋",這只會使事情進一步變得復雜。
無論眼前的情況多么緊迫,廣泛濫用所收集數據的可能性使得逃避生物識別掃描和確保平民的數字身份變得更加重要。人權組織"人權第一"已經出版了關于生物識別和保護的英語、波斯語和普什圖語版本指南,這應該是一個良好的開端。
02 CISA發布勒索軟件防御和響應指南
據2021年08月20日報道,在過去幾個月里,美國企業遭受了一系列破壞性的勒索軟件攻擊,有鑒于此,國土安全部的網絡安全和基礎設施安全局(CISA)發布了一份防止和應對此類攻擊的建議清單。這份名為《保護敏感信息和個人信息免受勒索軟件導致的數據泄露》的信息表包含許多建議。此外,該文件建議公司如果成為勒索軟件攻擊的目標,不要支付贖金。
《保護敏感信息和個人信息免受勒索軟件導致的數據泄露》全文:
概況介紹中寫道:"勒索軟件對所有政府和私營部門組織,包括關鍵基礎設施組織,都是一個嚴重且日益增長的威脅。作為回應,美國政府推出了StopRansomware.gov網站,這是一個集中各種資源的政府網頁,提供勒索軟件資源、指導和警報"。
根據該機構的文件,為防止成為勒索軟件攻擊的受害者,企業應采取如下步驟:
- 解決面向互聯網的漏洞和錯誤配置,減少攻擊者利用這一攻擊面的可能性
- 制定、維護和行使基本的網絡事件響應計劃、彈性戰略和相關的通信計劃
- 保持數據的離線、加密副本,并定期驗證備份
- 減少收到網絡釣魚郵件的可能性
- 堅持正確的網絡健康準則
有些預防措施很容易采取,例如經常進行離線備份。這種保護策略的一個重要組成部分是在發生勒索軟件事件時避免感染、刪除或加密所帶來的損失。實現這一目標的方法之一是確保所有軟件都是最新的,無論是固件、應用程序、操作系統、框架,還是其他類型的軟件。CISA還建議定期進行漏洞掃描,以確定和解決漏洞,重點是那些影響互聯網相關設備的漏洞。
03 上半年共發布了637個(ICS)產品漏洞
工業網絡安全公司 Claroty 發布了其第三份半年一次的 ICS 風險與漏洞報告,該報告分析了與 ICS 領域使用的主要自動化產品相關的漏洞情況。
該公司報告說,在2021年上半年,637個影響工業控制系統(ICS)產品的漏洞被公布,影響到76家供應商的產品。
這家網絡安全公司警告稱,超過70%的已公布漏洞被指定為嚴重或高嚴重性評級。在公司發布的上一份報告和 2020 年 2H 報告中披露的漏洞數量為 449 個,影響 59 家供應商。
有趣的是,2021年上半年披露的大部分漏洞(80.85%)是由受影響供應商外部來源報告的,包括第三方安全公司、獨立專家和學者。
對每家供應商披露的漏洞的分析顯示,西門子是報告漏洞最多的供應商家,其中許多是作為西門子CERT進行的內部研究的一部分披露的。缺陷最多的供應商是施耐德電氣(65)和羅克韋爾自動化(35)。
大多數缺陷會影響產品在操作管理級別,其次是基本控制(PLC、RTU) 和監督控制 (HMI、SCADA) 級別。
"2021年上半年披露的漏洞比例最大,影響了模型的第 3 級:運營管理(23.55%),其次是第1級:基本控制(15.23%)和第 2 級:監督控制(14.76%)。
這家證券公司表示,61.38%的披露漏洞可能被利用在來自 IT 或 OT 網絡以外的攻擊中,好在這一比例低于 2020年2月2日,當時為 71.49%。通過本地攻擊載體可利用的漏洞上升到 31.55%,在 2020 年 2 月,這一比例為 18.93%。
"在 94.38% 的運營管理漏洞中,是通過利用本地用戶交互攻擊載體。這強化了對網絡釣魚和垃圾郵件預防的需求,以及有助于阻止勒索軟件和其他潛在致命攻擊技術。
專家指出,更新工業控制系統或SCADA軟件往往具有挑戰性,原因有很多,這意味著很容易找到在工業環境中未更新的ICS-SCADA系統,威脅行為者可能會針對它們。
以下是一些與緩解和補救有關的統計數據:
2021 年上半年披露的 637 個 ICS 漏洞中,25.59% 沒有修復或僅進行部分補救。
在沒有或部分補救的漏洞中,61.96% 存在于固件中。
在沒有或部分補救的漏洞中,55.21% 可能導致遠程代碼執行,并且:
47.85% 如果被成功利用,可能導致拒絕服務。
在 74.4% 的漏洞修復中,59.49% 需要軟件修復。
637 漏洞的6.43% 影響不再支持的廢品,影響過期產品的漏洞有 51.22% 存在于固件中。
專家警告勒索軟件和敲詐勒索攻擊,特別是針對1級設備,大型制造商和運營商的關鍵基礎設施正在成為勒索軟件的重點攻擊目標。
克拉羅蒂的ICS風險與脆弱性報告報告了2021年H1的其他數據。
04 Mozi瞄準Netgear、華為、中興網關
據2021 年 8 月 20 日報道,最新發現表明,以物聯網設備為目標的點對點(P2P)僵尸網絡Mozi已經獲得了新的功能,使其能夠在Netgear、華為和中興制造的網絡網關上持久性存在。
微軟安全威脅情報中心的研究人員和物聯網Azure Defender的研究人員在一份技術說明中說:"網絡網關對于對手來說是一個特別的目標,因為它們是企業網絡的初始接入點。通過感染路由器,它們可以通過 HTTP 劫持和 DNS 欺騙進行中間人 (MITM) 攻擊,以破壞端點并部署勒索軟件,或在 OT 設施中造成安全事故”。
2019 年 12 月 360網絡實驗室首次記錄了Mozi 感染路由器和數字錄像機的情況,以便將其組裝到物聯網僵尸網絡中,這些僵尸網絡可能被濫用于發動分布式拒絕服務(DDoS)攻擊、數據滲透和有效載荷。僵尸網絡是從幾個已知惡意軟件家族的源代碼演變而來的,如 Gafgyt、Mirai 和物聯網收割機。
Mozi 通過使用弱密碼和默認的遠程訪問密碼以及未修補的漏洞傳播,物聯網惡意軟件使用 BitTorrent 樣分布式哈希表(DHT)進行通信,以記錄僵尸網絡中其他節點的聯系信息,這與文件共享 P2P 客戶端使用的機制相同。受損設備會監聽控制器節點的命令,并嘗試感染其他易受攻擊的目標。
2020 年 9月發布的IBM X-Force 分析指出,從 2019 年 10 月到 2020 年 6 月,Mozi 占觀測到的物聯網網絡流量的近 90%,這表明威脅行為者正越來越多地利用物聯網設備提供不斷擴大的攻擊面。在上個月公布的另一項調查中,彈性安全情報和分析小組發現,迄今為止至少有24個國家成為攻擊目標,其中保加利亞和印度居于領先地位。
現在,微軟物聯網安全團隊的一項最新研究發現,惡意軟件"在重新啟動或遭受其他軟件干擾其操作后,會采取特定行動增加其生存機會",包括在目標設備上實現持久存在性和阻止 TCP 端口(23, 2323、7547、35000、50023 和 58000)用于網關遠程訪問。
此外,Mozi 已升級以支持新的命令,使惡意軟件能夠劫持 HTTP 會話并執行 DNS 欺騙,以便將流量重定向到攻擊者控制的域。
建議使用Netgear、華為和中興路由器的企業和用戶使用強密碼保護設備,并將設備更新到最新的固件。微軟說:"這樣做將減少僵尸網絡利用的攻擊面,并防止攻擊者進入一個新的可以使用的位置。
05 思科警告服務器名稱識別數據滲出缺陷
據2021年8月20日報道,思科警告稱,未經授權的攻擊者可能會繞過多個產品中的 TLS 檢查過濾解決方案,以從以前受損的服務器中滲出數據。
思科警告服務器名稱識別 (SNI) 請求過濾中的漏洞,該漏洞會影響多個產品(思科網絡安全設備 (WSA)、思科火力威脅防御 (FTD) 和 Snort 檢測引擎),這些漏洞可能被未經授權的遠程攻擊者利用,繞過受影響設備上的過濾技術,并從受損服務器中滲出數據。
思科發布的公告說:"此漏洞是由于 SSL 握手過濾不足造成的。攻擊者可以通過使用來自 SSL 客戶端 hello 數據包的數據與外部服務器進行通信來利用此漏洞。成功的漏洞利用可以使攻擊者能夠對受損主機執行命令和控制攻擊,并執行額外的數據滲透攻擊”。
據供應商稱,使用 SNIcat 或類似工具,遠程攻擊者可以滲出 SSL 客戶家 hello 數據包中的數據,因為未過濾來自受阻止列表中服務器的返回服務器 hello 數據包。一旦建立了通信,攻擊者就可以對受損主機或擬合數據執行命令和控制攻擊。
思科產品安全事件響應團隊 (PSIRT) 確認,它不知道其它攻擊利用了此漏洞。思科正在調查該問題以確定受影響的產品,思科表示,以下產品正在積極調查,以確定它們是否受到影響:
1000 系列集成服務路由器 (ISR)
4000 系列 ISR
Catalyst 8000V 邊緣軟件
Catalyst 8200 系列邊緣平臺
Catalyst 8300 系列邊緣平臺
Catalyst 8500L 邊緣平臺
云服務路由器 1000V 系列 (CSR 1000V)
集成服務虛擬路由器 (ISRV)
Meraki安全設備,所有型號
隨著調查的進行,思科將更新有關受影響產品的信息。公司已確認此問題不影響以下產品:
自適應安全設備 (ASA) 軟件
Catalyst 8500 邊緣平臺
火力管理中心 (FMC) 軟件
開源Snort 3
06 IT 風險團隊發現Autodesk軟件中的漏洞
2021年8月18日報道,在最近的客戶參與中,DGC(迪西科、古爾曼和公司)滲透測試團隊發現了一個以前未知的漏洞,影響到Autodesk許可服務,這是一個軟件組件,幾乎與幾乎所有獲得許可的Autodesk產品捆綁在一起。
該漏洞存在于大多數Autodesk產品常見的軟件組件中,并影響幾乎所有以任何身份使用許可的Autodesk軟件的單位。常見漏洞和曝光號碼為 CVE-2021-27032,Autodesk許可服務:本地特權升級。
由于這些軟件產品在公共和私營部門部署得如此廣泛,因此Autodesk產品的漏洞對許多組織構成重大風險,因為Autodesk產品通常用于生成和處理知識產權和其他敏感數據。雖然任何一個Autodesk產品中的漏洞都對碰巧使用該特定軟件的組織構成風險,但影響幾乎所有Autodesk應用程序的漏洞被認為是一個需要立即關注的關鍵問題。
Autodesk 是 3D 設計和開發軟件的全球領導者,其產品在建筑、工程、建筑、設計和制造等許多行業垂直領域隨處可見。世界各地的組織都依賴Autodesk產品,包括 AutoCAD,幫助設計、開發和制造各種產品。此外,Autodesk軟件廣泛部署在國防工業基地和關鍵基礎設施領域。
問題
問題在于分配給作為本地特權操作系統帳戶運行的Autodesk許可服務的默認權限。分配給此服務的默認特權允許任何經過驗證的用戶修改服務配置。這意味著,任何低特權用戶都可以濫用此易受攻擊的服務配置,在高度特權帳戶的情況下執行代碼,從而導致本地特權升級。因此,攻擊者可以安裝程序:查看、更改或刪除數據;或創建具有完全用戶權的新帳戶。此帳戶需要本地系統訪問,這意味著攻擊者首先必須獲得對系統的初始訪問權限,然后才能使用此漏洞升級其特權。
識別和開發
與不安全的服務配置相關的漏洞在信息安全領域并不新鮮,因此,有許多進攻性和防御性工具可用于識別和利用此類漏洞。
最好的工具之一是采用視窗系統內部套件的一部分來訪問。除了能夠識別各種類型的服務配置缺陷外,此工具還比其他某些產品提供額外的優勢。其中包括此可執行功能由 Microsoft 簽署的事實,這意味著它不太可能被防病毒供應商標記為潛在的惡意,甚至可能繞過某些應用程序白名單限制,這些限制要求代碼由授權開發人員簽署才能在端點運行。更好的是,由于這些工具的實時版本在互聯網上可用,此工具可以"實時"運行,而無需可執行工具本身在目標系統上觸摸磁盤。
解決方案
DGC 在滲透測試過程中發現此漏洞后,立即向Autodesk 產品安全事件響應團隊(PSIRT) 報告并披露了此漏洞。由于此漏洞影響了整個 Autodesk 產品套件,因此對漏洞的分析和修補需要相當長的時間,但 PSIRT 團隊在整個過程中反應迅速且協作。Autodesk 已在受影響服務的 10.2.0.4231 版本中修復了此漏洞,并為其客戶提供了詳細描述該漏洞和受影響軟件版本的安全咨詢。
如果您的組織利用 Autodesk 產品,請立即修補以降低與此漏洞相關的風險,然后攻擊者才能利用它在安裝受影響軟件的系統上獲得管理特權!
07 巴西國庫局遭勒索軟件攻擊
據Solidot.com網報道,巴西政府發表聲明稱該國的國庫局上周五遭勒索軟件攻擊,表示立即采取了措施遏制網絡攻擊的影響,初步評估未發現國庫局的結構系統有任何損壞。安全專家正對此進行分析。巴西證交所本周稱攻擊沒有影響到個人購買政府債券的 Tesouro Direto 程序的運行。此次事件被認為是至今對巴西政府公共部門最龐大的一次網絡攻擊。
08 2021年7月越南遭受千余起網絡攻擊
據越南通信與傳媒部信息安全局的消息,2021年7月,越南遭受1019起網絡攻擊。2021年前7月,越南共遭受3900多起網絡攻擊。
越通社河內——據越南通信與傳媒部信息安全局的消息,2021年7月,越南遭受1019起網絡攻擊。2021年前7月,越南共遭受3900多起網絡攻擊。
2021年前7月,越南共遭受3900多起網絡攻擊。據越南通信與傳媒部信息安全局國家網絡空間安全監測中心(NCSC)的統計數據,網絡攻擊的欺詐內容包括偽造Zimbra電子郵件服務器和客戶端、WesternUnion國際匯款系統和河內食品安全公司等軟件系統的網站,出現BIDV、Sacombank、Vietcombank等銀行虛假網站, 有關申請新冠疫苗接種補貼、銀行賬戶確認詐騙、在線招聘詐騙錢財的信息等。
同時,該中心警告與新冠肺炎疫情相關的各種欺詐形式,例如冒充政府官員、銷售來源不明的保健品、竊取個人資料、騙捐、營銷欺騙性產品和服務等。
網絡安全專家認為,當諸多地方按政府總理第16號指示實施社交距離后,互聯網用戶數量和在社交網絡上花費的時間同時增加。因此,利用人們對疫情形勢的關注,不法分子借機增加了網絡攻擊,傳播惡意代碼,破壞和竊取用戶、組織和企業的信息。
行內專家建議互聯網用戶提高警惕,采取安全措施,保護自己和親人,免受日益復雜的在線欺詐形式的侵害。
09
黑莓軟件存在漏洞
新浪科技訊 北京時間8月18日早間消息,因為黑莓公司(BlackBerry)開發的軟件存在漏洞,大量汽車及醫院、工廠的一些關鍵設備有可能會被黑客攻擊;對此黑莓公司閉口不言,保密幾個月。
本周二,黑莓公司對外透露說,QNX操作系統存在一個漏洞,可能會被黑客利用。QNX是一款很老的操作系統,至今仍有許多地方還在使用。這個漏洞名叫BadAlloc,還有其它一些公司也受到影響,但它們早在5月就已經公布。
知情人士透露說,黑莓最開始不承認產品受到BadAlloc的影響,后來又拒絕發表公開聲明。
黑莓曾是知名智能手機制造商,現在它主要向工業設備提供軟件,一些工廠機械、醫療設備、鐵路設施都會用到黑莓軟件,甚至連國際空間站的組件也會用到。黑莓將QNX授權給OEM使用,就像微軟將Windows授權給戴爾、聯想使用一樣。黑莓告訴政府工作人員它們并不能全面知道軟件裝到哪些設備,很多使用者也不知道軟件來自哪里。
6月份,黑莓曾說大約有1.95億輛汽車安裝QNX軟件,還說它安全可靠。
10 Poly Network欲聘請黑客任首席安全顧問
區塊鏈互通平臺Poly Network稱,由于黑客已經歸還了大部分數字資產,決定不再追究其法律責任。不僅如此,還要聘請他擔任公司首席安全顧問。上周,Poly Network遭受黑客攻擊,價值6.1億美元的加密資產被盜。
這是迄今為止,DeFi(去中心化金融)行業史上最嚴重的安全事故。Poly Network允許用戶將令牌從一個數字賬簿交換到另一個數字賬簿,而黑客則利用了Poly Network代碼中的一個漏洞,將數字資產轉移到自己的加密錢包中。
該事件被認為是有史以來最大的一起數字貨幣搶劫案,超過了2018年日本Coincheck交易所被盜的5.348億美元數字貨幣,以及2014年東京Mt. Gox交易所4.5億美元的比特幣失蹤案。
但在這起入侵案件中,黑客做出了一個非同尋常的舉措,歸還了大部分被盜資金。除了3300萬美元之外,所有的數字產都已經歸還。但是,有超過2億美元的資金目前被鎖定在一個賬戶中,需要Poly Network和黑客提供密碼才能訪問。
Poly Network已懇求這名黑客交出密碼,即所謂的“私鑰”。上周,Poly Network懸賞50萬美元,希望黑客退回全部資金。最初,該該黑客拒絕了賞金提議,但周一又表示:“如果有黑客能夠侵入Poly Network,我正考慮將這筆賞金作為獎勵。”
Poly Network今日還表示,希望實施“重大系統升級”,以防止未來再次發生此類攻擊事件。但在歸還所有剩余資產之前,還不能這么做。
Poly Network還稱,獎勵該黑客50萬美元的承諾仍然有效。不僅如此,Poly Network甚至邀請這名黑客成為其“首席安全顧問”。
Poly Network在一份聲明中稱:“為了表達我們的謝意,并鼓勵該黑客繼續與我們一起為區塊鏈世界的安全進步做出貢獻,我們誠摯地邀請他擔任我們的首席安全顧問。”
“我們此前承諾獎勵他50萬美元,但他沒有接受,并公開表示,他已經考慮將這筆資金提供給為區塊鏈安全做出貢獻的技術社區。我們完全尊重他的想法,為了表達我們的感激之情,我們仍將把這50萬美元的賞金轉移到他的錢包地址,讓他自行決定將其用于網絡安全事業,并支持更多項目和個人。”
Poly Network最后還表示,無意追究此次黑客攻擊的法律責任。
11 白帽幫助福特汽車避免大規模數據泄露
據2021年08月18日報道,據知情人士稱,今年較早時,網絡安全研究人員提醒福特,其充滿敏感專有信息的內部系統存在漏洞,無法抵御網絡攻擊的威脅,該公司之后加強了網絡安全措施,確保了客戶和員工記錄的安全,避免了大規模數據泄露。
福特網站允許在線安全“研究人員”訪問機密的公司記錄、數據庫和機密客戶信息。福特發言人T.R.里德(T.R. Reid)表示:“根據提供給福特的證據和我們的內部調查,我們不認為有關員工或客戶的任何敏感個人信息在這起事件中被訪問或泄露,這一事件在近六個月前就已被發現并得到處理。客戶和員工的安全和信任是我們福特網絡安全團隊和流程的重中之重” 。
網絡安全專家在全球被廣泛認為是友好的黑客(“白帽黑客”),他們在今年第一季度發現了福特內部網絡系統令人擔憂的問題。
但倫敦的網絡安全專家阿克斯·夏爾馬(Ax Sharma)表示,福特從未正式聲明其系統是否存在數據泄露。夏爾馬一直在撰寫有關該事件的文章,他說:“他們等了整整六個月才披露這一消息。有沒有數據泄露,這不是重點。你通常會在HackerOne上公布調查結果,HackerOne是一個讓研究人員在安全情況下向公司報告事情的平臺” 。
“福特從未正式披露過此事。他們沉默了” ,夏爾馬表示。
