安联智库--网络安全新媒体资讯平台 http://seczk.com 信息安全资讯,热点资讯,安全期刊,人物专访,安全事件,漏洞威胁,安全技术,攻防众测, Sun, 15 Dec 2019 01:08:51 +0800 zh-CN hourly 1 https://www.s-cms.cn/?v=4.7.5 加入我们 Sun, 15 Dec 2019 01:08:51 +0800

      欢迎有志从事信息安全的朋友,一起加入安联智库这个大家庭,有你们的到来安联智库将因你而出彩!

]]>
联系我们 Sun, 15 Dec 2019 01:08:51 +0800

安联智库&安联攻防实验室(简称:seczk)www.seczk.com
使命:让安全,更简单!
提出:攻击溯源、纵深防御的安全治理解决方案!
微信 、QQ:110468258
网站:www.seczk.com 
邮箱:110468258#qq.com 
地址:广州市天河区黄埔大道西505号A栋2519室 
机构:[广东-广西-海南-云南-贵州-四川-福建-江西-湖南-北京-深圳-重庆-上海.....] 


]]>
团队简介 Sun, 15 Dec 2019 01:08:51 +0800

    安联智库是为了(简称:seczk)是一个专注于信息安全、具有全面信息安全综合服务能力的专业服务团队。seczk立足自主研发,专注信息安全市场,为客户提供安全产品、安全服务、安全集成、安全培训等多项综合性信息安全服务。经过多年的发展已经成为一个理念先进、方案成熟、团队精干、客户认可的具有本土化特色的信息安全服务商。
    seczk立足于羊城广州,目前拥有一支20多人的专业队伍,团队拥有多名CISP、CISSP、CCIE、PMP等技术人员,核心团队成员都出自国内著名安全厂商与安全服务测评机构(如启明星辰、绿盟、天融信、蓝盾、竟远、南方信息安全研究院、中国信息安全测评中心等),积累了丰富的安全经验,其技术能力已获得过不同行业客户的认可。
    安联智库&安联攻防实验室(简称:seczk)使命:让安全,更简单!提出攻防纵深防御、攻击溯源的安全治理解决方案!




]]>
市场监管厅一领导出售公民个人信息,被判刑 Sun, 15 Dec 2019 01:08:51 +0800 640.webp (9).jpg

江苏省南京市鼓楼区人民法院

刑 事 判 决 书


(2019)苏0106刑初1017号


公诉机关江苏省南京市鼓楼区人民检察院。


被告人郑某,男,1968年5月7日生,居民身份证号码******************,汉族,大学文化,住吉林省长春市。2019年5月16日因涉嫌犯侵犯公民个人信息罪被刑事拘留,同年6月21日被逮捕。现羁押于南京市第二看守所。


辩护人刘绍奎,北京观韬中茂(南京)律师事务所律师。


南京市鼓楼区人民检察院以宁鼓检诉刑诉〔2019〕1009号起诉书指控被告人郑某犯侵犯公民个人信息罪,于2019年10月29日向本院提起公诉,经向南京市中级人民法院请示,于2019年11月12日指定本院管辖。本院依法适用简易程序,实行独任审判,公开开庭审理了本案。南京市鼓楼区人民检察院指派检察员费某出庭支持公诉,被告人郑某及其辩护人刘绍奎到庭参加诉讼。现已审理终结。


南京市鼓楼区人民检察院指控,2018年8月至2019年4月,被告人郑某多次通过QQ,将其从吉林省市场监督管理厅的内网工作平台查询到的企业信息出售给张某(另案处理),获取违法所得人民币15万余元(以下币种同)。上述信息包含法定代表人和股东的身份证信息共计600余条,违法所得为9000余元。


2019年5月16日,被告人郑某在吉林省工商局的办公室内向公安机关投案自首。到案后,郑某如实供述了上述事实。


另查,被告人郑某作为吉林省市场监督管理厅信息中心副主任负责管理数据科和信息科两部门。案发后,公安机关扣押了被告人郑某名下用于收取违法所得的尾号4010的中国建设银行卡,内有余额7.7万余元。审理中,郑某通过亲属代为退出违法所得7.4万元。


上述事实,被告人郑某在开庭审理过程中亦无异议,并有其常住人口基本信息、案发经过、到案经过、银行账户交易流水、QQ聊天记录、情况说明等书证,证人郑某二、张某二、詹某、张某的证言,被告人郑某的供述,搜查笔录、电子数据检查笔录、手机及电脑检查笔录,电子数据等证据证实,足以认定。


本院认为,被告人郑某违反国家有关规定,向他人出售公民个人信息,情节严重,其行为已构成侵犯公民个人信息罪,依法应予惩处。郑某将在履行职责过程中获得的公民个人信息出售给他人,依法从重处罚;其案发后主动向公安机关投案,并如实供述犯罪事实,系自首,依法可从轻处罚;其积极退赃、自愿认罪认罚,可酌情从轻、从宽处理。南京市鼓楼区人民检察院指控被告人郑某犯侵犯公民个人信息罪,事实清楚,证据确实、充分,指控的罪名和适用法律正确,提请对其从重、从轻处罚的理由成立,予以采纳。辩护人提出的郑某系自首,归案后认罪认罚,积极退赃并预交罚金,建议对其从轻处罚的意见,予以采纳。据此,为维护公民的隐私权不受侵害,惩罚犯罪,结合被告人郑某的犯罪事实、性质、情节和对社会的危害程度,依据《中华人民共和国刑法》第二百五十三条之一第一款、第六十七条第一款、第五十二条、第六十四条之规定,判决如下:


一、被告人郑某犯侵犯公民个人信息罪,判处有期徒刑七个月,并处罚金人民币三万元。


(刑期从判决执行之日起计算。判决执行以前先行羁押的,羁押一日折抵刑期一日。即自2019年5月16日起至2019年12月15日止。罚金自判决生效之日起五日内缴纳。


二、被告人郑某违法所得人民币十五万元予以没收。


如不服本判决,可在接到判决书的第二日起十日内,通过本院或者直接向江苏省南京市中级人民法院提出上诉。书面上诉的,应当提交上诉状正本一份,副本两份。


审判员  张文菁

二〇一九年十一月二十日

书记员  陈笑笑

9999.jpg

]]>
加强个人信息保护,金融APP备案试点正式启动 Sun, 15 Dec 2019 01:08:51 +0800 日前,由央行通知要求、中国互联网金融协会牵头组织的金融业移动金融客户端应用软件(金融APP)备案试点工作正式启动,共有23 家金融机构进入首批试点名单。根据要求,各试点机构需要在 2019 年底前完成备案 APP 的材料提交和备案申请。未来,备案工作将在金融行业全面推广,并逐步落实风险信息共享、投诉处置机制以及行业公约、黑白名单、自律检查、违规约束等自律管理工作。

据记者了解,这次试点工作的备案要点主要有三方面:

1、依托备案管理系统开展全线上的资料上传和审核;

2、备案分为机构基本信息登记、APP 信息登记和 APP 软件上传三部分系统所有项目均需填写;

3、试点期间各试点单位至少提交 1 款有代表性的资金交易类或个人信息采集类 APP 进行备案。

首批试点名单涵盖了银行、证券、基金、保险、支付等领域 23 家金融机构,包括 16 家银行:中国工商银行、中国农业银行、中国银行、中国建设银行、交通银行、中信银行、民生银行、招商银行、广发银行、平安银行、西安银行、吉林九台农村商业银行、广州农村商业银行、重庆三峡银行、徽商银行、安徽省农信联社;4 家证券基金保险类机构:国泰君安证券、众安保险、海通证券、汇添富基金;3 家非银支付机构:蚂蚁金服、财付通、京东数科。

近年来,随着智能手机和移动互联网的快速发展,移动 App 已深入应用至大众生活,但移动 App 在给大众生活带来巨大便利的同时,相应安全隐患也随之而来。据信通信发布的《2019年金融行业移动App安全观测报告》数据显示,70.22% 的金融行业 App 存在高危漏洞,攻击者可利用这些漏洞窃取用户数据、进行 App 仿冒、植入恶意程序、攻击服务等,对 App 安全具有严重威胁。

如何应对移动 APP 的安全挑战,已经得到各级行业监管机构高度重视。今年以来,个人信息保护监管方面文件密集发布,包括了《数据安全管理办法(征求意见稿)》、《APP违法违规收集使用个人信息行为认定方法(征求意见稿)》、《个人信息安全规范(征求意见稿)》、《信息安全技术、移动互联网应用 (APP) 收集个人信息基本规范(草案)》、《移动金融 APP 应用软件安全管理规范》等。此次备案试点工作的启动,正是金融系统全面贯彻落实相关法规要求的重要体现,对于提升客户端软件安全防护能力,加强个人金融信息保护,保障金融消费者合法权益具有历史性的重要意义。

9999.jpg

]]>
新型恶意程序Snatch曝光:进入安全模式加密数据向受害者勒索比特币 Sun, 15 Dec 2019 01:08:51 +0800 Sophos的安全研究团队近日发现了名为Snatch的勒索软件,利用Windows的功能来绕过安装在PC上的安全软件。这款勒索软件会让你的PC崩溃,并迫使受感染设备重新启动进入安全模式。而在安全模式下,通常会禁用防病毒和其他安全软件,从而允许该恶意程序作为服务进行自启,对PC进行全盘加密,最后向受害者勒索比特币。

在过去3个月内,Sophos已经收到了12例关于该勒索软件的反馈报告,要求比特币赎金在2900美元至51,000美元之间。在安全公告中写道:“Snatch可以在常见的Windows系统上运行,从Windows 7到Windows 10,所有32位和64位版本都受到影响。我们观察到Snatch无法在Windows以外的平台上运行。”

tpclvgw9.jpg

9999.jpg

]]>
某单位花197万解密勒索病毒! Sun, 15 Dec 2019 01:08:51 +0800 就不说是那个单位了,看图!


22.jpg

很多公司愿意拿197万去解密,也不在网络安全前期多投入,大部分抱着这样的心理,倒霉事不会发生在我们公司身上,出事之后就后悔,只有后悔药才能解决此类公司的问题。

勒索病毒现在是一个暴利行业,前些天墨西哥毒品大佬转行勒索病毒,后来是被抓住了。几个月前有一黑客小组做了一年勒索病毒,赚了20亿美金接着金盆洗手成功上岸。就因为暴利行业就会有很多人从事这个行业,不乏专业人士。


研究勒索病毒行业,你会发现不光是技术很专业,营销也做很好,有推广,有代理,有分销。一个完整的行业,还有300人的客服团队在线接受谈判服务。

想防范勒索病毒,就得很了解是什么原因中勒索病毒,有很多方式中勒索病毒最主要的方式。


1,通过邮件传播

勒索病毒会请专门的人发送有病毒的邮件,并给于分成。


2,黑客渗透传播

勒索病毒会请专门的黑客,渗透重要机构之后,手动运行勒索病毒,并给于分成。


还有其它的U盘,恶意软件绑定等等。


企业主要防护邮件传播勒索病毒,防范黑客渗透公司重要主机,90%的勒索病毒问题都可以防护住。


我先说不花钱如何防护勒索病毒首先,给员工培训不花钱,提高安全意识,不要乱点邮件。

包括:个人主机防范须知、实验室公共主机防范须知、服务器防范须知、文件共享服务器防范须知。其次,公司所以主机安装杀病毒软件,有免费的杀病毒软件。有总胜于无。最后,需要有一个人定期备份,检查公司重要数据是否安全。

免费的只能做到上面几点了。

花钱的方案就有很多了,比如:

一,找专业人士做模拟勒索病毒爆发,让员工知道这个事的重要性。再跟上勒索病毒防护培训。二,落实等保测评的技术与制度。


三,有专门的勒索病毒防护软件与硬件,可以考虑提前防范。听说如果用了这样的软件或者是硬件,再中勒索病毒不能恢复数据是可以赔款的。

以上说的是事前防护,很多人讲防护都是说事前如何做,现在已经中勒索病毒怎么办?

一般解密勒索病毒,一台主机5万左右,大部分是这个价位。如果中勒索病毒,先看勒索病毒版本,不是所有勒索病毒都需要去给黑客交钱买密钥的。先看版本能不能解密。


如果是最新版本,找不到解密的工具,先评估如果花5万解密是否值得,不值的话先找数据备份,如果能还原数据就不用花钱了。

数据非常重要的情况下,先找朋友推荐,找一个专业的,最好找一家,不要网上乱找。有些公司是黑客定点入侵中的病毒,贸然去找黑客团队去要交钱买密钥,有可能惊动他们,结果很可能给你二次加密涨价。现实的例子,广东中山有一家公司中勒索病毒,网上找了4家去砍价,惊动了勒索病毒团队,勒索病毒团队的人发现这个公司应当有价值,用新算法进行二次加密,价格翻了三倍。

最后总结一下,勒索病毒的问题,分事前,事后两部分,做好事前防护是上上策,事后部分是下策。中勒索病毒别慌冷静处理.

解密勒索病毒花钱的只是在补之前没做安全防护的坑。

9999.jpg

]]>
卡巴斯基透露有黑客同时利用Windows 10和谷歌浏览器零日漏洞发动攻击 Sun, 15 Dec 2019 01:08:51 +0800 微软和谷歌都已经在昨天发布软件更新用于修复部分安全漏洞,这其中就包括某个在野外已遭到利用的零日漏洞。

这些零日漏洞由卡巴斯基发现但是高级黑客团体早已利用,黑客借助这些漏洞可以直接在计算机上安装间谍软件。

而经过溯源后卡巴斯基指出无法将攻击者归于任何特定攻击者,但攻击者使用的部分代码与拉撒路集团有相似性。

拉撒路集团是知名勒索软件WannaCry的始作俑者,而该集团也被安全公司认为是由北韩资助的国家级黑客团队。

利用漏洞攻击韩语新闻网站加载恶意软件:


卡巴斯基调查后发现最初攻击者利用某韩语新闻网站的漏洞嵌入恶意脚本,当用户浏览该网站时就会加载该脚本。

而这个恶意脚本里有代码是专门针对Google Chrome 的,黑客利用的漏洞是谷歌官方此前并未发现的零日漏洞。

恶意脚本被加载后会再调用Win32K 安全漏洞下载并安装恶意软件,该恶意软件会自动连接远程服务器获取指令。

也就是说主要用户浏览这个韩语网站就会被感染恶意软件,在这期间不需要用户执行任何交互动作即可完成攻击。

#攻击者将恶意脚本伪装成流行的jQuery库 卡巴斯基称这次攻击事件为Operation WizardOpium<script type="text/javascript" scr="hxxp://code.jquery.cdn.behindcorona.com/jquery-validates.js"></script>

潜在攻击者可能是拉撒路集团:


卡巴斯基在经过溯源和分析后表示没有确切证据能够将此次攻击事件与任何已知的高级持续性威胁团体关联起来。

但攻击者使用的相关代码与拉撒路集团有非常弱的相似性,这表明潜在的攻击团体可能是名声在外的拉撒路集团。

拉撒路集团曾发动过多次知名的网络攻击,包括WannaCry勒索软件、孟加拉国家银行失窃案、远东银行失窃案

而该集团也被证实是北韩资助的国家级黑客组织,这次攻击的载体是韩语新闻网站也就是说主要目标是韩国用户。

因此按常理推测的话此次攻击是拉撒路集团发动的可能性非常大,不过卡巴斯基称暂时没有足够多的确切的证据。

卡巴斯基认为相关攻击代码与拉撒路集团有非常弱的相似性也可能是其他攻击者试图将调查视线转到拉撒路身上

微软已经在例行更新中修复漏洞:


事实上这次安全漏洞不仅影响Windows 10, 据微软官方说明所有受支持的Windows版本包括服务器版均受影响

出现安全漏洞的依然是最近非常热门的Win32K 组件,该组件从去年年底到现在已经被发现多个高危的零日漏洞。

微软表示攻击者借助此漏洞可以在内核模式下运行任意代码,包括安装软件、删改数据或新增同权限的用户账户。

受影响的版本包括Windows 7 SP1~Windows 10所有版本、Windows Server 2008 R2 到Server 2019版等等。

当然Windows 7 SP1之前的版本例如XP以及Windows 10已经停止支持的版本比如1803之前的版本也会受影响。

不过这些已经停止支持的版本并没有安全更新用于修复漏洞,所以建议用户们还是尽早升级受支持的版本比较好。

谷歌也已经修复零日漏洞:


这次攻击者同时利用Windows操作系统和Google Chrome漏洞比较罕见,不过现在这个漏洞利用方式已被封堵。

谷歌浏览器开发团队在接到卡巴斯基报告后已经及时修复漏洞,用户只要开启自动更新就可以自动升级到最新版。

目前谷歌浏览器在国内已经部署服务器可以提供更新,用户也可以点击这里访问中国官网下载谷歌浏览器安装包。

9999.jpg

]]>
Elasticsearch27亿数据泄露,10亿明文,波及中国大厂 Sun, 15 Dec 2019 01:08:51 +0800 上次,小兮推了 Elasticsearch 服务器 12 亿个人数据遭泄露的事件,你们都说好怕怕。




640.webp (12).jpg




但是,泄露这事真的没有上限。


不到两周时间, Elasticsearch 服务器新一轮的数据泄露事件便再度发生。


是的,你没看错,又是Elasticsearch 服务器!



这次,研究人员在不安全的云存储桶中,总共发现了 27 亿个电子邮件地址,10亿个电子邮件账户密码以及一个装载了近80万份出生证明副本的应用程序。


研究人员称,过去一年里,一些企业无意识得让他们的Amazon Web服务S3和基于云计算的ElasticSearch存储桶暴露出来。它们没有任何适当的安全措施,也没有被试图锁定的迹象。


SecurityDiscovery网站的网络威胁情报总监鲍勃·迪亚琴科(Bob Diachenko)称,我们在上周发现了一个巨大的ElasticSearch数据库,包含超过27亿个电邮地址,其中有10个的密码都是简单的明文。


大多数被盗的邮件域名都来自中国的邮件提供商,比如腾讯、新浪、搜狐和网易。当然,雅虎gmail和一些俄罗斯邮件域名也受了影响。这些被盗的电邮及密码也与2017年那次大型的被盗事件有关,当时有黑客直接将它们放在暗网上售卖。


该ElasticSearch服务器属于美国的一个托管服务中心,后者在Diachenko发布数据库存储安全报告后于12月9日被关闭。但即使如此,它已经开放了至少一周,并且允许任何人在无密码的情况下进行访问。


Diachenko称,单就数字而言,这可能是我所看到的记录数据最庞大的一次(他自2018年以来发掘了多次数据泄露事件,其中包括2.75亿个印度公民信息的数据库)。


被泄露的27亿个电子邮件地址目前无法证实是否为有效地址,但其来源确属违规。Diachenko认为,这些电子邮件往往不会引起企业的重视但实际上电子邮件账户会受到攻击的可能性更高。


640.webp (14).jpg


因为这些电子邮件一旦引发攻击行为,用户通常不会受到警报,原因在于国内的防火墙阻止了检查电子邮件泄露的服务。


目前尚不清楚到底谁公开了数据库,这有可能是黑客,也有可能就是安全研究人员。但无论哪种方式,该行为都忽视了ElasticSearch原本提供的安全性选项,这只是许多忽略保护云存储安全重要性示例中的另一个。


Diachenko在研究中发现一个线索,数据库的所有者用每个地址的MD5、SHA1和SHA256散列对偷来的电子邮件地址进行了操作,这很有可能是为了方便在数据库中进行搜索。


这种情况很像是原本买下了该数据库的某人本试图启动其搜索功能,却被错误配置成了公开可用。


与此同时,英国渗透测试公司Fidus Information Security的研究人员在AWS S3存储桶中发现了近80万份美国出生证明复印件的在线申请,该存储桶属于一家提供出生和死亡证明复印件服务的公司。bucket没有密码保护,因此对任何人都是开放的。


有趣的是,据TechCrunch称,研究人员无法访问存储桶中的94000个死亡证明副本应用程序数据库。


TechCrunch发现,该应用程序中包含的数据可以追溯到2017年末,泄露数据的范围包括姓名、出生日期、地址、电子邮件地址、电话号码和其他个人数据。


Fidus主管Andrew Mabbitt称,他的公司在从事AWS S3项目时发现了数据。该存储桶经过配置,可以实现对外界的开放可读,允许具有URL的任何人获得所有文件的完整列表。


截止目前,该程序库仍然保持公开状态。研究人员称,在多次联系Amazon AWS安全团队后,后者表示已将报告传递给存储桶所有者,并建议尽快采取措施。但是,所有者似乎忽略了这些消息,至今没有任何回复。


位于公共互联网上的配置错误和暴露的数据,足以造成攻击事件发生。黑客可以对所有者进行信息欺诈或者盗取身份信息,这类有针对性的电子邮件网络钓鱼和黑进账户的案例已经很多。


Bitglass的首席技术官Anurag Kahol建议,企业应确保他们对客户数据有充分的了解和把控度。适当得采用实时访问控制、静态数据加密并配置可以检测任何配置错误的云安全设置。

9999.jpg

]]>
APT33同时利用多个僵尸网络攻击目标 Sun, 15 Dec 2019 01:08:51 +0800 APT33常以石油和航空业为攻击目标,最近的调查结果显示,该组织一直在使用大约12台经过多重混淆的C&C服务器来攻击特定目标。该组织主要在中东、美国和亚洲地区开展的针对性极强的恶意攻击活动。

每一个僵尸网络由12台以上受感染的计算机组成,用来攻击的恶意软件只有基本的功能,包括下载和运行其他恶意软件。2019年的活跃感染者包括一家提供国家安全相关服务的美国私营公司、受害目标包括美国大学、美国军方以及中东和亚洲的几名受害者。

在过去的几年里,APT33变得更具有攻击性。例如,两年来该组织利用一位欧洲高级政治家(该国国防委员会成员)的私人网站,向石油产品供应链公司发送鱼叉式钓鱼电子邮件。目标包括供水设施,美国陆军使用该设施为其一个军事基地提供饮用水。

这些攻击导致石油工业设施收到感染。例如,在2018秋季发现英国的石油公司服务器与APT33C&C服务器之间的通信。另一家欧洲石油公司在2018年11月和12月服务器上遭受了至少3周的与APT33相关的恶意软件感染。在石油供应链中,还有其他几家公司也在2018年秋季受到攻击。

上表中的前两个电子邮件地址(以.com和.aero结尾)是假冒地址,但是,以.ga结尾的地址来自攻击者自己。这些地址都是在冒充知名航空和油气公司。

除了APT33对石油产品供应链的攻击外,该组织使用了多个C&C来构建小型僵尸网络。

APT33攻击十分小心,追踪也更加困难。C&C托管在云服务器上,这些代理将受感染的机器URL请求转发到共享Web服务器,这些服务器可以承载数千个合法域,后端将数据发送到专用IP地址上的聚合节点和控制服务器。APT33利用不同的节点及变换规则来组成私人vpn网络,利用不同的连接来收集受感染机器的信息。

2019年秋统计了10台实时数据聚合节点和控制服务器数据,并对其中几个服务器进行了数月的跟踪。这些聚合节点从很少的C&C服务器(只有1个或2个)获取数据,每个C&C最多有12个受害者。下表列出了一些仍然存在的C&C。

在管理C&C服务器和进行侦察时,攻击者经常使用商业VPN服务来隐藏他们的行踪,还经常看到攻击者使用他们为自己设置的私有VPN网络。

通过从世界各地数据中心租用服务器,并使用open VPN等开源软件,可以轻松地建立私有VPN。尽管私有VPN网络连接来自世界各地不相关的IP地址,但这种流量实际上更容易跟踪。一旦我们知道退出节点主要由特定的攻击者使用,可以对退出节点的IP地址归属地进行查询。

已知相关IP地址如下:

这些私人VPN出口节点也用于侦察与石油供应链有关的网络,攻击者利用表3中的一些IP地址在中东石油勘探公司和军事医院以及美国石油公司网络上进行侦察。

APT33使用其专用VPN网络访问渗透测试公司的网站、网络邮件、漏洞网站和与加密货币相关的网站,以及阅读黑客博客和论坛。建议石油和天然气行业的公司将其安全日志文件与上面列出的IP地址交叉关联。

安全建议

石油、天然气、水和电力设施的不断现代化,保障这些设施更加困难。以下是这些组织可以采用的一些做法:

1、为所有系统建立定期修补和更新策略。尽快下载补丁程序,防止网络罪犯利用这些安全漏洞。

2、提高员工对网络罪犯使用的最新攻击技术的认识。

3、IT管理员应应用最小权限原则,以便更轻松地监视入站和出站流量。

4、安装多层保护系统,可以检测并阻止从网关到端点的恶意入侵。

IOCs

9999.jpg

]]>
安全研究人员发现亚马逊上销售的儿童智能手表存在严重安全漏洞 Sun, 15 Dec 2019 01:08:51 +0800        安全研究人员发现了亚马逊上销售的一系列儿童智能手表存在严重漏洞。研究人员警告说,潜在的黑客可以利用这些安全漏洞来接管设备,并且可以跟踪孩子,甚至与他们进行对话。

       安全公司Rapid7披露了在亚马逊上出售的三款儿童智能手表存在安全漏洞,这三款儿童智能手表是Duiwoim,Jsbaby和Smarturtle,价格不到40美元。它们被用作跟踪设备,以跟踪孩子并允许父母向孩子发送消息或者打电话。

但是Rapid7的安全研究人员发现,与佩戴手表的孩子保持联系的不仅仅是父母,因为它们内建的过滤器本来只允许白名单上的电话号码与手表联系,但是Rapid7发现此过滤器根本不起作用。

这些手表还通过短信接受了配置命令,这意味着潜在的黑客可以更改手表上的设置,从而使孩子处于危险之中。研究人员说,这三款手表都使用相同的软件,因此,这三款手表的漏洞会全面扩散。

Rapid7的研究人员还发现,这三款智能手表的默认密码完全相同,它们都是123456。Rapid7说,人们不太可能更改此密码,设备甚至不会告诉用户密码存在或如何更改。研究人员警告说,凭借这种简单的密码和通过短信更改配置的能力,潜在的黑客可以接管设备并跟踪孩子,甚至将智能手表与自己的手机配对。

Rapid7发现的另一个明显缺陷是,无法联系三款智能手表的制造商。 Rapid7的研究人员没有任何办法与制造商取得联系,因此担心无法解决这些漏洞。亚马逊目前没有回应是否要从商店中下架这三款儿童智能手表。

9999.jpg

]]>
人脸识别黑产:35元制作眨眼人像 4000元学习黑科技 Sun, 15 Dec 2019 01:08:51 +0800

  记者在卖家QQ远程的协助下,成功把制作好的“眨眼”人像投放在手机和电脑两段。 于伟力 摄

  “黑科技”后台操作自动动态人脸识别匹配成功。 于伟力 摄

  法治周末记者 于伟力

  “能过ⅹⅹ动态人脸识别的加我!需要1万单!”

  “ⅹⅹ带过动态人脸识别,100元试件远程操作!1800元出售全套‘黑科技’教程!”

  “打包出售上万张‘高质量料子’,保证质量,通不过不要钱!”

  凌晨两点,在一个名为“APP人脸识别”的500人QQ群里,不少买家和卖家正如火如荼地刷着屏,疯狂寻找“发财致富”的秘诀。有卖家公开吆喝,“可以通过‘黑科技’技术,破解多款APP动态人脸识别,帮助买家完成实名认证。”

  法治周末记者调查获知,如果买家提供APP账号,通过动态人脸识别的单价在20元至50元不等;如果买家要求卖家提供APP账号,过动态人脸识别的单价则在80元至300元不等。除此之外,买家还可以花费1800元至4000元不等的“学费”,让卖家传授“黑科技”技术,自己开辟“赚钱”的门道。

  为了核实真相,法治周末记者花了35元,提供给了卖家某社交APP的账号,不到10分钟,该APP中的动态人脸识别已成功通过。

  “黑科技”破解多款APP动态人脸识别技术

  “这个行业的水很深,价格全凭卖家自己定,有些‘贪婪’的卖家在中间环节倒手了好多轮后,漫天要价,造成市场混乱,一度引起有关部门的注意,导致一些‘无辜’卖家的‘黑科技’屡遭查封。但是,尽管查得严,需求量还是非常大,主要原因是这中间的利润相当可观。”在圈内做了快一年的卖家陈峰(化名)提到,他老家房子的首付是通过这个“副业”凑齐的。

  陈峰直言,由于买家的需求多样化,因此针对不同类型的APP,会有不同的“黑科技”破解之术。他举例:有的买家想过社交类APP的人脸识别是为了做引流;有买家想过支付类APP的人脸识别,则是为了获得高等级,提升额度;还有的买家想过泛娱乐类APP的人脸识别,是为了用多个账号,做项目薅羊毛。“目前市场上,买家需求主要集中在过支付类APP的动态人脸识别上。”陈峰自称,他一天可以做400个至500个(动态人脸识别)支付类APP号,一个号的成本在10元左右,但对外的零售价则在45元至100元。他给法治周末记者算了一笔账,除去“废号”(通过不了动态人脸识别的情况),一天收入8000元至10000元是没有问题的。

  “为了赚更多的钱,更多人渴望学到这门‘黑科技’技术。”陈峰除了“卖号”,也会把这门“黑科技”技术,以4000元作为“学费”教给有需求的人。

  经过几番交涉,他透露了用“黑科技”技术,破解某支付类APP动态人脸识别的全操作流程。但在正式操作前,他要求法治周末记者在网上购买“高质量料子”(一手高清静态正面人像大头照、身份证正反面照)、“VR过人脸技术7.0刷机包”和一部“小米4”手机。

  在陈峰的QQ远程协助下,法治周末记者先后通过刷机、下载脸部动画制作工具等流程,顺利制作出了“眨眼”动态人像照。

  对于上述操作,他解释,这是该“黑科技”的魅力所在,后台系统可以自动抓取脚本,读取文件,APP动态人脸识别匹配成功。

  关于上述“黑科技”破解动态人脸识别的操作,一位不愿具名的技术人员告诉法治周末记者,人脸识别的信息存储仍基于计算机可识别的语言,即数字或特定代码,而随着这些数据价值的提高,面临黑客攻击的风险也会越来越高。“所有带有动态人脸识别的APP,都有‘活体检测’功能,当该功能做得不够严谨时,则会出现系统无法区分真实和伪造数据的漏洞。”

  用户人脸照、身份信息在网上被兜售

  值得注意的是,要想破解多款APP的动态人脸识别,一方面要求“黑科技”技术过硬;另一方面则要求“料子”质量达标。群里一位只卖静态人脸照的卖家顾城(化名)解释,圈内普遍称“高质量料子”指的是,一手拿到的高清正面大头照、手持身份证半身照和身份证正反照。

  在顾城提供的多个文档中,法治周末记者注意到,有上万张不同角度的人脸照和身份证信息。“很多卖家出售的‘料子’,经过了反复使用,质量都不行。这种‘料子’导入后,系统在识别时会拦截,通过动态人脸识别的成功几率极低。”

  “市场上卖的‘料子’,价格高低不一。”顾城坦承,他手上大部分“高质量料子”都来自各地移动营业厅。“这种‘料子’价格普遍在100元上下,有的低质量‘料子’价格只要0.1元。但如果买家只是通过静态的人脸识别,一般质量的‘料子’都可以满足。”

  此外,法治周末记者调查中还发现,除了有不少像顾城这样兜售用户人脸照、身份证信息的卖家,还有很多卖家在做支付类APP“白号”(没有任何关联的空号)的生意。

  一位长期卖“白号”的卖家介绍,目前市场上,“白号”的单价均在10元左右,走量多的话,单价可优惠至5元,甚至更低。交易达成后,对方提供了邮箱地址、邮箱密码、支付密码、登陆密码、手机号和接码编码,同时,对方还附上了一个接码网址(把接码编码输入该网址后,可自动接收该手机短信验证码)。按照操作步骤,法治周末记者顺利登录了该支付类APP。

  事实上,用户的身份信息和人脸照片公开售卖的乱象从未停止过。此前,就有媒体报道,在“转转”APP上以关键词“人脸数据集”搜索相关信息时,弹出了标价10元的“人脸相关算法训练数据集”商品,内含5000多张不同表情的人脸照片。报道还称,在“快眼”的贴吧里,也有不少销售者正用低价兜售人脸数据。

  人脸识别应用的隐私安全引担忧

  当前,人脸识别技术作为人工智能技术发展的重要应用之一,已被多场景广泛应用。据多家媒体报道:在北京大兴国际机场,乘客只需要通过“人脸识别自助值机系统”进行刷脸,无需身份证件,就可以办理相应的登机手续值机。

  此外,法治周末记者走访中也注意到,北京市部分地区的超市、便利店等场所,也均安装了刷脸支付应用。

  有业内人士介绍,人脸识别是基于人的脸部特征信息,进行身份识别的一种生物识别技术,用摄像机或摄像头采集含有人脸的图像,并自动进行检测与追踪等一系列相关技术。

  在外界看来,人脸识别技术的应用将是大势所趋。据前瞻产业研究院数据显示:2019年,人脸识别市场规模达34.5亿元;未来5年人脸识别市场规模,还将保持20%以上的增长速度;预计2024年,市场规模将达100亿元左右。

  然而,对于人脸识别的落地应用,外界的声音各抒己见。有人认为该技术切实解决了一些生活场景中的不便捷,提高了效率;有人则认为该技术存在的安全隐患巨大,用户的个人隐私无法得到保障。

  不久前,“人脸识别第一案”引发广泛关注。事情的起因是,浙江理工大学特聘副教授郭兵收到了来自杭州野生动物世界的一条短信,提示他的动物园年卡如果不进行人脸识别将无法正常使用。郭兵不同意接受人脸识别,在双方未达成一致后,于10月28日向杭州市富阳区人民法院提起了诉讼。目前,该案已在当地法院正式受理。

  对于人脸识别存在的安全隐患,上述业内人士认为,一是人脸识别未经用户许可擅自采集用户人脸数据,并用作商业用途;二是人脸数据被采集后,通常有很长的生态链,商家不仅拥有了用户的人脸数据,还拥有了用户的消费习惯、财务状况等其他信息,这些信息一旦泄露,将对用户的隐私造成巨大的损害。

  国家网络安全基地培训中心专家李刚在接受法治周末记者采访时也表示,外界对人脸识别技术有所抵触,也主要基于两方面的担忧:一方面是智能化认知判断精准度;另一方面是认证和系统安全性。

  “首先,所谓智能化认知判断精准度,更多取决于人脸识别技术和应用本身的技术发展。精准度不高的识别技术,会给人们工作生活的便捷性、准确度造成影响,错误的判断和认证,也会从大安全的角度,影响到技术的使用和应用的推广;其次,认证和系统安全性,对伪造面孔的防伪和识别功能性,及人脸识别技术本身系统后台的安全性,不仅涉及整个系统的安全应用,更涉及个人隐私等系统数据的保护。”李刚指出。

  人脸识别应用亟需立法来规范

  事实上,对于人脸识别技术存在公众隐私和信息安全的争论,一直是国内外长期争论不休的话题。年初,微软CEO萨提亚·纳德拉曾提出,需要对人脸识别技术制定相关监管规则,以避免市场利用这项技术进行恶性竞争。而脸书、谷歌、亚马逊等科技巨头,也面临来自立法者和其他人对其隐私做法的强烈反对;6月份,微软更是悄然删除了此前全球最大公开人脸识别数据库。

  欧洲方面表示,按照欧盟《通用数据保护条例》(GDPR)规定:公司在收集用户包括面部等生物特征数据之前,必须经得个人同意,否则被罚金额可以达其全球收入的4%。

  而由于目前我国并没有针对人脸识别作出立法,因此,对于人脸识别数据的保护,也主要通过对公民信息和个人隐私的相关保护制度进行。

  对此,北京市中闻律师事务所合伙人赵虎强调,首先“隐私权”是一项私权利,对于侵犯隐私权的行为,被侵权人可以起诉到法院,寻求救济;其次,根据我国消费者权益保护法规定:经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意。倘若出现侵犯消费者个人信息的行为,有工商部门(市场监督部门)负责查处。

9月,针对媒体公开报道和用户曝光的“ZAO”App用户隐私协议不规范,存在数据泄露风险等网络数据安全问题,工业和信息化部网络安全管理局对北京陌陌科技有限公司相关负责人进行了问询约谈,要求其严格按照国家法律法规以及相关主管部门要求,组织开展自查整改。

  李刚表示,由于网络信息化发展超前,法律上还存在“真空”,网络安全法出台时间不长,而个人信息保护法还在制定过程中。因此,未来网络空间的治理,亟需通过立法来对政府执法、网络服务商、网安产品厂商、网民用户、网络空间行业机构等网络空间角色、标准和秩序进行根本的规范。

  北京市炜衡律师事务所上海分所高级合伙人邹晓晨也提出建议,企业和用户应谨慎使用、存储涉及人脸和肖像的应用场景。尤其是企业要落实网络安全法的相关规定,用户要减少使用各种猎奇类的APP。

9999.jpg

]]>
银行系App整改背后:金融机构个人信息采集监管开启 Sun, 15 Dec 2019 01:08:51 +0800 违规App查处整改风波,正迅速蔓延至银行领域。近日,国家网络安全通报中心称,集中查处整改了100款违法违规App及其运营的互联网企业,其中包括光大银行、天津银行等金融机构旗下手机银行,主要违规问题集中在缺乏隐私协议、收集使用个人信息范围描述不清、超范围采集个人信息和非必要采集个人信息等情形。这也令众多银行骤然感到“风声鹤唳”。

“近日总行高层已要求对手机银行App开展自查,尤其对是否超范围采集个人信息,将个人信息用于用户授权以外范畴进行重点核查,一经发现迅速暂停相关操作。”一家城商行IT部门负责人向21世纪经济报道记者透露。

业界人士认为,一些金融机构App之所以被“点名”整改,很可能是因为他们收集使用个人信息范围描述不清。

“我们也存在类似问题。”前述城商行人士坦言,比如当用户消费贷款偿还逾期后,银行内部会根据其在App端留存的手机号或家庭地址进行催收,但个别用户因此投诉银行“滥用”个人信息,原因是他们没有授权银行采用这些信息用于催收。

值得注意的是,在针对银行App违规行为进行查处整改同时,央行相关部门也启动首批金融业移动金融客户端应用软件(下称“移动金融App”)备案试点工作,包括16家银行、4家证券基金保险类金融机构,3家非银支付机构已参与备案试点的相关资料申报。

一位正在参与备案试点的股份制银行人士透露,目前银行内部已准备了大量备案申请资料,包括机构基本信息登记、App信息登记、App软件所有项目材料等,但备案申请能否尽早通过验收,主要取决于央行科技司、金融消费权益保护局与中国互联网金融协会的审核流程。

苏宁金融研究院研究员孙扬认为,随着移动金融App备案试点启动,此前金融App无序竞争、缺乏治理的局面将被打破,未来金融机构在获取、保存、使用、流转用户信息方面的各项操作都将纳入监管范畴,无疑对金融机构合规操作提出更高的要求。

银行个人信息采集的灰色地带?

“光大、天津银行旗下手机银行被点名查处整改,也让我们惊出一身冷汗。”上述城商行IT部门负责人直言,为此,银行内部迅速启动银行App自查工作,包括对强制用户授权、用户过度授权、超范围采集使用个人信息等状况迅速“暂停操作”。

由于银行App作为居民理财、存款、汇款以及办理各项零售银行业务的重要载体,因此银行除了需要用户上传个人金融信息,还会根据自身业务特点与技术能力,额外要求用户上传“人脸”、“指纹”等个人信息,但这些信息保存是否存在安全隐患,或银行是否超范围使用这些个人信息,主要取决于银行自身的业务操作尺度。

“我们在自查过程也发现,其中的确存在一些灰色地带。”他透露,除了在用户消费贷款逾期后,银行零售部门根据App端用户留存的手机号进行电话催收,银行理财部门还会根据用户在App端提交的个人金融信息,不定期发短信提供各类金融理财产品信息,尽管这些产品信息未必是用户主动想要获得的。

这位城商行IT部门负责人表示,此前也有个别用户对此进行投诉,直指银行“滥用”个人信息,但鉴于理财业务发展需要,银行内部决定“睁一眼闭一眼”。但如今,这些理财产品信息推送已被叫停,避免成为下一个“被查处整改者”。

在他看来,随着相关部门从严规范各类App的个人信息采集使用,未来如何合规采集使用个人信息,将成为一门大学问。

“我们内部也有过讨论,是否要参照当前欧洲的个人信息保护法规,即每使用一次用户个人信息,都要事先征得用户同意并明示个人信息使用用途,等到下一次使用用户个人信息时,再去征求用户同意并明确用途。”他向记者透露,此举绝对能满足相关部门对个人信息规范采集使用的要求,但令金融服务体验大幅下降。

“关于数据使用的边界,不光是中国数字金融发展的问题,也是全世界都非常关注的重要问题。”北京大学数字金融研究中心副主任黄卓指出。在规范使用数据方面,需将数据使用与数据作为资产进行交易进行区分,前者需符合在一定授权的基础上,在合理范围内进行使用;后者则需更加严格的标准,其中涉及数据所有权,以及采集是否合规,利益如何分配等。

“此外,由于当前很多银行都在打造开放银行平台——积极与外部第三方场景开展合作并拓宽金融服务范畴,在这个过程里如何有效保护个人信息,如何与第三方场景在规范操作情况下共享个人部分信息,同样是一大挑战。”一家银行业务创新部门负责人向记者透露,此前个别银行手机银行被查处整改,不排除是其与外部场景合作过程,“不小心”将个人信息泄露,被外部场景用于其他业务谋取利益。

备案试点划定个人金融信息四大红线

值得注意的是,在银行App遭遇查处整改同时,央行相关部门已着手推进移动金融App的备案试点工作。

早在9月底,央行向部分金融机构定向发布的“移动金融App应用安全管理通知”(俗称237号文),针对移动金融App的安全问题,从提升安全防护、加强个人金融信息保护、提高风险监测能力、健全投诉处理机制、强化行业自律等5大方面进行管理规范,并对个人金融信息保护划定四大红线:第一,在收集、使用个人金融信息时,央行要求各金融机构不得以默认、捆绑、停止安装使用等手段变相强迫用户授权,不得收集与其提供金融服务无关的个人金融信息;第二,金融机构应采取数据加密、访问控制、安全传输、签名认证等措施,防止个人金融信息在传输、存储、使用等过程被非法窃取、泄露或篡改;第三,在信息使用结束后,各金融机构应立即删除敏感信息,在客户端软件卸载后不得留存个人金融信息;第四,金融机构不得违反法律法规与用户约定,不得泄露、非法出售或非法向他人提供个人金融信息。

与此同时,央行还发布了《移动金融App应用软件安全管理规范》,对2012年出台的《中国金融移动支付 客户端技术规范》相关技术标准进行了完善。其中包括将“人机交互安全”改成“身份认证安全”。即身份认证,认证信息安全,密码设定与重置三部分安全要求,此外还增加了“不收集与所提供服务无关的个人金融信息,收集个人金融信息前需经用户明示同意,不得变相强迫用户授权,不得违反收集使用个人金融信息等要求”。

“目前,中国互联网金融协会也作为重要参与方,对首批参与移动金融App备案试点的金融机构进行相关现场、非现场验收审核与资料收集等工作。”上述正在参与备案试点的股份制银行人士向21世纪经济报道记者透露,目前他所在的银行已根据备案试点相关要求及上述政策条款规定,准备了相关备案申请材料,选择提交2款资金交易类App进行备案。

他透露,按照规划,年底前,银行机构将完成试点备案申请,明年一季度有望完成相关备案审核工作。

“目前央行相关部门主要先针对持牌金融机构开展备案试点,等到相关备案流程完善后,可能会制定统一的行业标准与备案规则,要求其他类型金融机构参与备案。”他直言,这也意味着所有金融机构的个人信息采集使用,都将纳入相关部门的规范监管范畴内。

央行科技司司长李伟此前指出,针对当前一些金融机构客户端软件存在的安全防护能力参差不齐、超范围收集个人信息、仿冒钓鱼现象突出等问题,各金融机构要建立客户端软件安全管理全程覆盖机制,相关部门也将建立健全客户端软件监督处置机制。

9999.jpg



]]>
内贼难防,莫斯科警察出售面部识别数据库访问权 Sun, 15 Dec 2019 01:08:51 +0800

美国 “9.11” 之后,为了防止悲剧再次发生,政府研究出一个人工智能系统,把全国所有摄像头连接起来,通过抓取人的行为、包括过去的数据进行分析,判断其是否为犯罪嫌疑人,并预测他下一步动作,再以最快的速度调动安全部门、警察局资源,在犯罪发生前赶到现场,阻止悲剧发生。


这是美剧《疑犯追踪》虚构的故事,俄罗斯在2017年的时候就在把人脸识别技术放入莫斯科闭路摄像头系统中。



可是最近,这保障人们安全的系统却出了差错。只要你有钱,你就可以进入莫斯科的监控系统并查看五天之内的监控视频。交易非法数据的论坛上的卖家还可以提供面部识别查询服务。对不起,有钱真的可以为所欲为。


为了保障城市安全,莫斯科整座城市有超过16万台视频监控摄像头,覆盖在 95% 的建筑入口,人流量密集的地方监控摄像头越多。


从 2015 年开始,莫斯科就进入智能摄像头监控试验。2017年,莫斯科市长办公室表示与俄罗斯警察数据库结合的面部识别技术已经激活,会从3000个摄像头中提取数据。在过去的试验中,智能监控摄像头已经帮助莫斯科警察抓住 6 名罪犯。这样的成果让莫斯科政府部门备受鼓舞,以至于计划结束小范围的试验,进行整个城市全面部署。


政府网站表示,只有联邦政府机构的员工、莫斯科市长及其授权官员、执法和行政机关有权访问该视频监控系统。


然而,调查媒体MBKh却发现地下论坛和聊天室正在出售该视频监控系统的访问权。卖家既有执法人员,也有政府官员,他们可以登录数据处理和存储集成中心(YTKD),访问莫斯科视频监控系统中的数据。



政府官员和警察出售他们的登录凭据,价格大约是30000卢布(约3300人民币)。买了之后,你就拥有对所有监控摄像机的无限访问权限。


为了测试真实性,研究人员将他的照片发给了卖家。卖家将来自140个监控的238张长相差不多的人(有男有女)的照片发送了回来,以及他们被监控捕获的地点和时间列表。在照片的元数据中,还有标签表明这个人是否是第一次被监控捕获。


至于准确度,很不幸,238张照片中没有一个是研究人员的。但是系统评估的相似度为67%,效果不佳的原因可能是与面部识别技术相连的监控的数量有限。


研究人员表示,卖家还告诉他警察可以随意使用该技术,完全不要逮捕令之类的东西。


现在全球各个国家都在不同程度、不同范围内,使用智能视频监控,通过人工智能技术、大数据算法,提高城市安全,可是这种内部人员作案真是让人防不胜防。

9999.jpg

]]>
安全周报(12.02-12.08) Sun, 15 Dec 2019 01:08:51 +0800

安全周报(12.2-12.08)

1、等级保护2.0时代12月正式开启

网络安全等级保护2.0标准于2019年12月1日正式实施,等级保护2.0时代今日正式开启。

网络安全等级保护制度是我国网络安全领域的基本国策、基本制度,等级保护标准在1.0时代标准的基础上,注重主动防御,从被动防御到事前、事中、事后全流程的安全可信、动态感知和全面审计,实现了对传统信息系统、基础信息网络、云计算、大数据、物联网、移动互联网和工业控制信息系统等级保护对象的全覆盖。

等保不仅是一项合法合规工作,更是一项基本的安全工作,通过落实等级保护可以提高网络安全综合防御能力和水平,实现动态防御、主动防御、纵深防御、精准防护、整体防控以及联防联控。让更多的网络运营者从等保2.0时代中获取等保建设的红利。

996384441f064ed7b238b22dfcc9fd1d.jpg

 2、朋友微信语音借钱?别轻信,骗子新招!

“朋友们,小心新型诈骗!刚刚我们班有位同学微信号被盗,骗子登录他的微信给同学发语音借3000元钱,语音跟这位同学的声音简直一模一样。大家给班里同学讲一下,遇到借钱先打电话确认是否是本人,哪怕是微信语音也不能相信……”

马英杰收到同学发来微信借钱的语音,由于与该同学平时极少通过微信交流,虽然对方发来的微信语音与同学本人的声音几乎一样。

原来该同学之前手机扫码自动下载一个软件,并未注意,“通过安装第三方抢红包插件等操作,不法分子便能够从中获取用户本人的声音。随后,他们会借助特制的变声器对相近声音的音色、音调进行调整使之变无限与受害者的声音相近,通过特制的变声器,一个人的声音可以伪造出几百甚至上千种不同的声音频率。”

1575437786991796.jpg

 3、安卓新漏洞,让你真真假假分不清楚

近日,安全研究人员在安卓系统上发现了一个新的还没有被修复的漏洞。这个漏洞被称为Strandhogg,目前已经有几十个恶意应用利用了这个漏洞来窃取用户的银行信息和其他的登录数据,而且受害者还毫不知情。

这个Strandhogg漏洞是利用安卓的多任务处理功能,使安装在安卓系统上的恶意应用可以伪装成该设备上的任何其他应用程序,其中包括需要特权的系统应用程序。

研究人员对利用该漏洞的恶意软件进行了研究,发现前500个最流行的应用程序(根据应用程序情报公司42 Matters的排名)都有危险,而且所有版本的Android系统均受到影响。

d6c01c0cd84877f.png

 4、超过4400万微软账号使用已被泄露的密码 微软将把这些账号密码强制重置

微软安全团队日前对超过 30 亿个账号进行分析,分析目的在于找出微软用户使用的密码是否存在潜在安全问题。

微软通过公共数据库以及执法机构获得大量泄露的数据库进行比对,比对发现超过 4000 万账号使用已泄露密码。

所谓已泄露的密码指的是这些密码在其他数据库中被找到,这意味着用户在其他网站设置的密码可能早就被拖库。

但绝大多数用户都不知道自己的密码已经遭到泄露,如果继续使用这些密码的话很有可能会被攻击者们撞库攻击。

67670.png

 5、西班牙SOC供应商遭Ryuk勒索软件袭击

 11 月 28 日,西班牙安保监控系统公司 Prosegur 证实遭遇勒索软件攻击。该公司全球员工数 17 万人,运营着六个安全运营中心 (SOC),日前宣称遭到 Ryuk 勒索软件攻击,正在努力遏制此事件。

据报道,Prosegur 所有服务均暂时掉线。目前尚不清楚该勒索软件传播范围。

1LhxQIdJRMWgxmmNCkclgHNLCgDmzl3Q02pEmS0q.png

6、新的木马恶意软件被用来窃取密码并传播勒索软件

 据ZNDet报道,最近发现了一个黑客活动,目标是医疗和教育机构,他们使用定制的、基于Python的特洛伊木马恶意软件,让攻击者几乎可以控制Windows系统,从而能够监视操作和窃取敏感数据。

被称为PyXie RAT 的远程访问木马的恶意功能包括键盘记录,凭据收集,录制视频,cookie盗窃,执行中间人攻击的能力以及将其他形式的恶意软件部署到受感染系统上的能力。

1575438624960426.jpg



]]>
新Linux漏洞可让攻击者劫持VPN连接 Sun, 15 Dec 2019 01:08:51 +0800 22.jpg

近期,有安全研究人员在发现了Linux、Unix系统上一个新的漏洞,可让攻击者劫持受影响设备上的VPN连接,将任意payload注入IPv4和IPv6的TCP数据流中。

他们已向发行版Linux厂商和Linux内核安全团队,以及其他受影响的公司(例如Systemd,Google,Apple,OpenVPN和WireGuard)通报了该漏洞(CVE-2019-14899)。

根据研究人员的说法,该漏洞会影响绝大多数Linux发行版和类Unix操作系统,包括FreeBSD、OpenBSD、macOS、iOS和Android在内。

目前可以找到的受影响的操作系统如下所示,未来这个列表可能还会增长:

• Ubuntu 19.10 (systemd)
• Fedora (systemd)
• Debian 10.2 (systemd)
• Arch 2019.05 (systemd)
• Manjaro 18.1.1 (systemd)
• Devuan (sysV init)
• MX Linux 19 (Mepis+antiX)
• Void Linux (runit)
• Slackware 14.2 (rc.d)
• Deepin (rc.d)
• FreeBSD (rc.d)
• OpenBSD (rc.d)

所有VPN应用都受到影响

根据新墨西哥大学的研究人员William J. Tolley, Beau Kujath和Jedidiah R. Crandall所发布的报告,这个安全漏洞可让邻近网络攻击者了解到是否有另一个用户连接到VPN,其被分配的虚拟IP地址,是否访问了某个特定网站。

此外,攻击者可以通过计算加密包的数量或检查它们的大小来确定确切的seq和ack数目。这样就能将恶意数据注入TCP流,劫持连接。

目前已确定CVE-2019-14899可以对OpenVPN、WireGuard和IKEv2/IPSec发起攻击,研究人员正在测试如何对Tor进行攻击。

研究人员还指出,漏洞和所使用的VPN技术无关,即使VPN流量都经过了各种加密,但根据数据包的大小以及数据包的数量就足以确定数据包的类型。

在Ubuntu 19.10发布之前,这种攻击对我们所测试的任何Linux发行版都不起作用,此时我们注意到rp_filter被设置为loose模式,也就是在2018年11月28日,systemd存储库中的sysctl.d/50-default.conf的默认设置从“strict”模式更改为“loose”模式,而在此日期之后使用默认配置的systemd都会受到该攻击的影响。我们测试的大多数其他init系统的Linux发行版系统都将该值设置为0(Linux内核的默认值)。

总而言之,研究人员发现,在2018年11月28日之后发布的所有systemd版本的发行版系统都存在漏洞。

因此,在此日期之后出现的systemd版本的Linux发系统若没有更改默认配置,都容易受到攻击。

而且这个漏洞会影响各种init系统,并不仅是与systemd相关。

33.png

此外,网络安全顾问Noel Kuntze在回应漏洞报告时表示,只有基于路由的VPN应用受到该漏洞的影响。

一名据称是亚马逊网络服务的员工表示,亚马逊的Linux发行版系统和AWS VPN产品不受这一漏洞影响。

防御方法


根据研究人员的说法,可以通过启用反向路径过滤、伪造IP过滤或借助加密数据包大小和时间来实现防御。

以下是进行攻击所需的步骤,旨在劫持目标的VPN连接:

确定VPN客户机的虚拟IP地址

根据虚拟IP地址得到活动链接

使用加密回复主动发包,以确定连接的seq和ack数目,从而劫持TCP会话

关于漏洞的细节和说明可点击这里查看。

该研究小组已计划发表一篇论文,深入分析这一漏洞及其影响。

9999.jpg

]]>
超过4400万微软账号使用已被泄露的密码 微软将把这些账号密码强制重置 Sun, 15 Dec 2019 01:08:51 +0800 密码遭到泄露已经是互联网上比较平常的事情,而几乎每年都会发生重大安全事件让数以千万的账号密码被泄露。

同时还有用户使用强度非常低的简单密码和弱密码,这类低强度密码对于用户账号安全来说无异于是个定时炸弹。

超过4400万微软账号使用已被泄露的密码 微软将把这些账号密码强制重置

超过4000万微软账号使用已泄露的密码:


微软安全团队日前对超过 30 亿个账号进行分析,分析目的在于找出微软用户使用的密码是否存在潜在安全问题。

微软通过公共数据库以及执法机构获得大量泄露的数据库进行比对,比对发现超过 4000 万账号使用已泄露密码

所谓已泄露的密码指的是这些密码在其他数据库中被找到,这意味着用户在其他网站设置的密码可能早就被拖库。

但绝大多数用户都不知道自己的密码已经遭到泄露,如果继续使用这些密码的话很有可能会被攻击者们撞库攻击。

微软将强制重置这些账号密码:


作为安全策略的一部分微软目前正在推进无密码登录,用户可以通过PIN码或者指纹识别器等快速登录微软账号。

但这种方式并不能改变已经泄露密码的用户的安全,因此微软决定在服务器上直接对这些受影响的账号强制重置。

当用户登录微软账号时会看到提示要求必须修改密码,如果不修改密码的话微软账号将无法登录进而无法使用等。

微软并未透露具体在何时开始强制这些受影响的账号密码,不过若用户看到类似提示说明你的密码已经遭到泄露。

9999.jpg

]]>
2019年全球十大流行勒索病毒 Sun, 15 Dec 2019 01:08:51 +0800 2019年应该是勒索病毒针对企业攻击爆发的一年,这一年全球各地仿佛都在被“勒索”,每天全球各地都有不同的政府、企业、组织机构被勒索病毒攻击的新闻被曝光,勒索病毒已经成为了网络安全最大的威胁,利用勒索病毒进行攻击的网络犯罪活动也是全球危害最大的网络犯罪组织活动,勒索病毒成为了地下黑客论坛最流行、讨论最热门的恶意软件,下面我们来盘点一下2019年全球十大流行勒索病毒家族。

一、STOP勒索病毒

STOP勒索病毒最早出现在2018年2月份左右,从2018年8月份开始在全球范围内活跃,主要通过捆绑其它破解软件、广告类软件包等渠道进行感染传播,最近一两年STOP勒索病毒捆绑过KMS激活工具进行传播,甚至还捆绑过其他防毒软件,到目前为止,此勒索病毒一共有160多个变种,虽然此前Emsisoft公司已经发布过它的解密工具,可以解密140多个变种,但最新的一批STOP勒索病毒仍然无法解密,此勒索病毒加密后的文件,如下所示:

勒索提示信息,如下所示:

二、GandCrab勒索病毒

GandCrab勒索病毒于2018年1月首次被观察到感染了韩国公司,随后GandCrab在全球迅速扩大,包括2018年初的美国受害者,至少8个关键基础设施部门受到此勒索病毒的影响,GandCrab也迅速成为最流行的勒索病毒,估计到2018年中期该勒索病毒已经占据勒索软件市场份额的50%,专家估计GandCrab在全球范围内感染了超过500,000名受害者,造成超过3亿美元的损失,GandCrab使用勒索软件即服务(RaaS)商业模式运营,通过将恶意软件分发给购买勒索病毒服务的合作伙伴,以换取40%的赎金,从2018年1月到2019年6月,此勒索病毒多现了多个不同的变种版本,2019年1月,此勒索病毒GandCrab5.1变种版本开始在全球流行,直到2019年6月1日,GandCrab勒索病毒运营团队宣布关闭他们的网站,并声称他们已经赚了20亿美元赎金,两周之后,Bitdefender与欧州刑警组织、联帮调查局、众多执法部门以及NoMoreRansom机构合作,发布了GandCrab勒索病毒的解密工具,可以适用于GandCrab1.0、4.0、5、5.2等版本,此勒索病毒的故事就此结束,加密后的文件,如下所示:

勒索提示信息,如下所示:

最近半年确实没有发现这款勒索病毒的最新变种了,取而代之的是另一款新型的勒索病毒REvil/Sodinokibi,而且这款勒索病毒全版本的解密工具也已经公布了

三、REvil/Sodinokibi勒索病毒

Sodinokibi勒索病毒(也称REvil),2019年5月24日首次在意大利被发现,在意大利被发现使用RDP攻击的方式进行传播感染,这款病毒被称为GandCrab勒索病毒的接班人,在短短几个月的时间内,已经在全球大范围传播,这款勒索病毒与GandCrab勒索软件存在很多关联,国外安全研究人员此前已发布了多篇关于这两款勒索病毒关联信息的相关的报道,Sodinokibi勒索病毒也是一种勒索即服务(RAAS)的模式进行分发和营销的,并采用了一些免杀技术避免安全软件检测到,主要通过Oracle WebLogic漏洞、Flash UAF漏洞、网络钓鱼邮件、RDP端口、漏洞利用工具包以及攻击一些托管服务提供商MSP等方式发起攻击,此勒索病毒加密后的文件,如下所示:

勒索提示信息,如下所示:

四、Globelmposter勒索病毒

Globelmposter勒索病毒首次出现是在2017年5月份,主要通过钓鱼邮件进行传播,2018年2月国内各大医院爆发Globelmposter变种样本2.0版本,通过溯源分析发现此勒索病毒可能是通过RDP爆破、社会工程等方式进行传播,此勒索病毒采用RSA2048加密算法,导致加密后的文件无法解密,在随后的一年多的时间里,这款勒索病毒不断变种,2018年8月份出现了此勒索病毒的“十二生肖”版,2019年7月出现了此勒索病毒的“十二主神”版,两大版相差正好一年的时间,“十二主神”版后面又出现了一些小的版本变化,主要是加密后的文件后缀出现了一些微小的变化,此勒索病毒加密后的文件,如下所示:

勒索提示信息,如下所示:

五、CrySiS/Dharma勒索病毒

CrySiS勒索病毒,又称Dharma,首次出现是在2016年,2017年5月此勒索病毒万能密钥被公布之后,之前的样本可以解密,导致此勒索病毒曾消失了一段时间,不过随后又马上出现了它的一款最新的变种样本,加密后缀为java,通过RDP暴力破解的方式进入受害者服务器进行加密勒索,此勒索病毒加密算法采用AES+RSA方式进行加密,导致加密后的文件无法解密,在最近一年的时间里,这款勒索病毒异常活跃,变种已经达到一百多个,此勒索病毒加密后的文件,如下所示:

勒索提示信息,如下所示:

六、Phobos勒索病毒

Phobos勒索病毒在2019年非常活跃,此勒索病毒首次出现是在2018年12月,国外安全研究人员当时发现了一种新型勒索病毒,加密后的文件后缀名为Phobos,这款新型的勒索病毒与CrySiS(Dharma)勒索病毒有很多相似之处,同样使用RDP暴力破解的方式进传播,两者使用了非常相似的勒索提示信息,所以很容易搞混淆,想要确认是哪个家族的勒索病毒,最好的方式就是捕获到相应的样本,然后通过人工分析进行确认,单纯的通过勒索提示信息,很难辨别,两款勒索病毒背后是否是相同的黑客团伙在运营,需要捕获到更多的证据,此勒索病毒加密后的文件,如下所示:

勒索提示信息,如下所示:

七、Ryuk勒索病毒

Ryuk勒索病毒最早于2018年8月被首次发现,它是由俄罗斯黑客团伙GrimSpider幕后操作运营,GrimSpider是一个网络犯罪集团,使用Ryuk勒索软件对大型企业及组织进行针对性攻击,C.R.A.M. TG Soft(反恶意软件研究中心)发现Ryuk勒索软件主要是通过网络攻击手段利用其他恶意软件如Emotet或TrickBot等银行木马进行传播,Emotet和TrickBot银行木马主要用于盗取受害者银行网站登录凭据,同时充当下载器功能,提供下载其它勒索病毒服务,为啥Emotet和TrickBot银行木马会传播Ryuk勒索病毒,因为TrickBot银行木马传播渠道的运营者是俄罗斯黑客团伙WIZARD SPIDER,GRIM SPIDER是俄罗斯黑客团伙WIZARD SPIDER的部门之一,此勒索病毒加密后的文件,如下所示:

勒索提示信息,如下所示:

八、Maze(迷宫)勒索病毒

Maze(迷宫)勒索病毒,又称Chacha勒索病毒,最早于2019年5月份由Malwarebytes安全研究员首次发现,此勒索病毒主要使用各种漏洞利用工具包Fallout、Spelevo,伪装成合法加密货币交换应用程序的假冒站点或挂马网站等方式进行分发传播,最近的一段时间里,Proofpoint的安全研究人员发现一个新型的黑客组织TA2101,通过垃圾邮件的方式对德国、意大利、美国发起网络攻击,传播Maze(迷宫)勒索病毒,此勒索病毒加密后的文件,如下所示:

勒索提示信息,如下所示:

九、Buran勒索病毒

Buran勒索病毒首次出现在2019年5月,是一款新型的基于RaaS模式进行传播的新型勒索病毒,在一个著名的俄罗斯论坛中进行销售,与其他基于RaaS勒索病毒(如GandCrab)获得30%-40%的收入不同,Buran勒索病毒的作者仅占感染产生的25%的收入,安全研究人员认为Buran是Jumper勒索病毒的变种样本,同时VegaLocker勒索病毒是该家族最初的起源,由于其丰厚的利润,使其迅速开始在全球范围内传播感染,Buran勒索病毒此前使用RIG Exploit Kit漏洞利用工具包进行传播,其利用了Internet Explorer的一个比较严重的漏洞CVE-2018-8174,近期发现此勒索病毒利用IQY(Microsoft Excel Web查询文件)进行传播,此勒索病毒加密后的文件,如下所示:

勒索病毒信息,如下所示:

十、MegaCortex勒索病毒

MegeCortex勒索病毒最早于2019年1月份被人在VT上发现,当时有人在VT上传了一个恶意样本,英国网络安全公司Sophos在5月份发布了一个关于MegaCortex勒索病毒的相关分析报告,笔者此前在分析的时候发现此勒索病毒早期的版本与去年非常流行的SamSam勒索病毒有一些类似,都使用了BAT脚本,同时都使用了密码参数,两款勒索病毒的负载加载的手法类似,不过暂时还没有更多的证据,证明两款勒索病毒存在关联,MegaCortex勒索病毒从1月份被人上传到VT之后,网络安全公司Sophos监控到此勒索病毒的数量一直在增加,并对此勒索病毒进行了详细的分析报道,该勒索病毒曾经对欧州和北美多个行业发起过勒索攻击,并要求支付高额的赎金,美国、加拿大、荷兰、爱尔兰、意大利和法国等国家的一些企业网络都曾受到此勒索病毒的攻击,2019年8月,发现MegaCortex勒索病毒V2.0版本,重新设计了负载的运行过程,它会自动执行不需要安装密码的要求,作者将密码硬编码在了二进制文件中,同时作者还加入一些反分析,以及阻止和杀死各种安全产品和服务的功能,此过程在之前的版本中是通过在在每个受害者主机上手动执行相关的批处理脚本来完成的,最新的版本不需要手动执行,都封装在了二进制程序中,此勒索病毒加密后的文件,如下所示:

勒索提示信息,如下所示:

全球这些主流的勒索病毒笔者都曾详细跟踪并研究过,相关的报告可以查看之前的文章,2019年下半年又出现了一些新型的勒索病毒,比方NEMTY勒索病毒、EvaRichter(GermanWiper)勒索病毒等,这几款新型的勒索病毒主要在国外比较流行,目前发现的大部分流行的勒索病毒暂时无法解密,重点在防御,针对勒索病毒的一般防范措施,笔者总结了以下几条建议,仅供参考:

1、及时给电脑打补丁,修复漏洞

2、谨慎打开来历不明的邮件,点击其中链接或下载附件,防止网络挂马和邮件附件攻击

3、尽量不要点击office宏运行提示,避免来自office组件的病毒感染

4、需要的软件从正规(官网)途径下载,不要用双击方式打开.js、.vbs、.bat等后缀名的脚本文件

5、升级防病毒软件到最新的防病毒库,阻止已知病毒样本的攻击

6、开启Windows Update自动更新设置,定期对系统进行升级

7、养成良好的备份习惯,对重要的数据文件定期进行非本地备份,及时使用网盘或移动硬盘备份个人重要文件

8、更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃,黑客会通过相同的弱密码攻击其它主机

9、如果业务上无需使用RDP的,建议关闭RDP,以防被黑客RDP爆破攻击

通过笔者一直跟踪与分析,预测勒索病毒攻击在明年可能会越来越多,而且使用的攻击手法会越来越复杂,攻击也会越来越具有针对性和目的性,不排除未来会有更多的新型黑客组织加入进来,通过勒索病毒迅速获利,各企业要做好相应的防范措施,提高自身员工的安全意识,以防中招

9999.jpg

]]>
英国核发电厂遭受网络攻击,疑似法国电力公司受影响 Sun, 15 Dec 2019 01:08:51 +0800 英国,以美国为首的“五眼联盟”成员之一,近年来在网络安全攻防方面投入了大量资源,但近日却被爆出其核工业设施被外部势力执行了网络攻击。

起因

事件原委由telegraph公司提供,该媒体称:GCHQ的子公司国家网络安全中心(NCSC)一直在秘密地向英国一家核电公司提供援助,因为该公司在遭受网络攻击后一直难以恢复。

核退役局(NDA)使用信息自由法获得的一份报告提到,核电公司的相关工作人员意识到核发电厂的一项重要业务已受到网络攻击,造成负面影响,目前必须依靠NCSC的专业知识来应对,帮助业务恢复”。该文件来自 2019年3月13日的董事会委员会会议,据信这是 首次成功证明对英国一家核公司进行网络攻击的证据。

目前尚不清楚网络攻击造成了什么损害或网络攻击是否使公共安全受到威胁。NCSC拒绝列出参与攻击的公司或提供有关攻击的详细信息。而负责清理旧核电厂和乏燃料的NDA说,提供详细信息是“不适当的”,理由是“该事件与NDA集团以外的组织有关”。

这些披露可能会促使人们猜测英国核电站的安全漏洞,无法提供详细信息引起了人们对英国核电部门透明度和安全性的担忧。独立核研究顾问戴维·洛瑞(David Lowry)表示,该部门将对透露的细节保持谨慎。他说:“他们非常清楚,他们只需要发生一次安全事件,就会破坏整个系统的安全声誉。”,“仅出于声誉原因,他们就承受不了失误的负担。”,因此不会过多披露细节。但从描述来看,此次网络攻击很有可能存在一定的“内网权限恢复机制”,甚至已经获取到极高的系统权限,否则仅靠隔离受害主机从而批量重装系统的方式即可进行业务恢复。

攻击目标分析

由于原文对攻击细节只字不提,奇安信威胁情报中心对英国的核电站分布情况进行了分析,发现目前以下红点处仍在运营。

其中,原文称关于攻击目标的猜测可能集中在法国电力公司(EDF)上,法国电力公司在英国主导着核能发电。而该公司却拒绝在本周末就此事发表评论。

EDF Energy是英国的一家综合性能源公司,业务范围涵盖发电以及向英国各地的家庭和企业销售天然气和电力。它拥有13331名员工,处理570万个客户帐户。

EDF能源客户公司(简称EDF能源公司)由法国国有EDF(法国电力公司)全资拥有,并于2002年1月通过SEEBOARD Plc(以前称为东南电力局)的收购和合并成立,伦敦电力公司(以前是伦敦电力局或LEB),SWEB能源公司(以前是西南电力局)和两个燃煤电站和一个联合循环燃气轮机电站。2009年,法国电力公司(EDF Energy)接管了英国的核能发电公司,即英国能源公司(British Energy),从政府手中购买了股本。这使EDF Energy成为英国最大的发电厂商之一,以及最大的配电网络运营商。

而该子公司在2009年收购英国能源公司之后,法国电力公司的能源业务包括八个核电站。它们是七个AGR电站(Dungeness B; Hinkley Point B; Hunterston B; Hartlepool; Heysham 1; Heysham 2&Torness)和一个PWR电站(Sizewell B),总装机容量接近9000兆瓦。

其中电站在上面的地图中均标为红点且正在运营,几乎占据整个核电,这也充分说明了,此次的网络攻击目标确实有极大可能性为法国电力公司英国子公司。

而其法国电力公司总部位于巴黎,生产了22%欧盟电力,主要来自核电。

而法国电力公司在中国开展业务已达十五年之久。自1997年以来,法国电力公司成为中国电力生产的投资者。此外还与中国核工业领域有深入合作关系。

因此,若该公司网络系统存在脆弱性,则可能影响到中国的相关系统,因此相关部门需要引起重视。

组织架构

1、政府通信总部(GCHQ)

GCHQ,是一个负责向政府和军队提供组织信号情报(SIGINT)和信息安全保障的英国机构,功能上类似美国NSA的情报单位。

GCHQ有两个主要组成部分:负责收集信息的复合信号组织(CSO)和国家网络安全中心(NCSC),负责保护英国自己的通讯。联合技术语言服务(JTLS)是一个小型部门和跨政府资源,主要负责跨政府部门的技术语言支持以及翻译和口译服务。

2013年,当前国家安全局承包商爱德华·斯诺登(Edward Snowden)透露该机构正在通过Tempora计划在英国收集所有在线和电话数据时,GCHQ受到了媒体的广泛关注。斯诺登的启示开始了对全球监视的不断披露。 随后,由于英国政府提起诉讼,《卫报》被迫销毁斯诺登提供给他们的所有有罪文件。

而近期,英国政府通讯总部(GCHQ)还曾经对ISIS发起了一次网络攻击,以将其网络基础设施功能锁定在核心位置。

2、国家网络安全中心(NCSC)

NCSC是由同在一栋建筑里的三家网络安全组织合并而成,并成立了一个紧急事件反应小组,以应对任何成功的网络攻击。其仍从属于英国政府通信总部(GCHQ),这是英国的第一大网络防御机构。建立NCSC,是因为英国政府曾在2015年宣布称将为网络安全提供19亿英镑的投资,英国财政大臣Phillip Hammond也将宣布与私营企业的一项新的合作,即邀请100名工作人员到国家网络安全中心工作。这些工作是兼职性质的,不会影响他们之前的工作。

该机构称,过去一年为英国进行了658次袭击,为英国提供了防御。

3、核退役管理局(NDA)

NDA是一个非政府部门公共机构中的部门商业,能源产业战略,所形成的2004年能源法案。它是由贸易和工业部的煤炭和核责任部门演变而成的。它于2004年底成立,并于2005年4月1日开始其主要职能。其目的是实现英国民用核武器的退役和清理。以安全和具有成本效益的方式进行遗留,并在可能的情况下加快减少危害的工作计划。NDA并不直接管理英国的核电站。它通过与专门设计的公司(称为“站点许可证公司”)的合同进行监督。NDA确定了管理退役的总体策略和优先级。

总结

10月30日,印度官员最初否认了该国最大的核电厂的网络攻击,但最终还是承认遭受了攻击并发布了相关信息(相关阅读:核心工业系统陷入危机?印度核电厂遭受网络攻击事件梳理与分析https://mp.weixin.qq.com/s/haCZK4m3JVpmgxXNMj30hQ )。

而英国核电公司3月份就已经内部发通告称被攻击,但最终无法彻底处理威胁,居然还请求国家力量帮助,直到现在才被爆出相关信息。其实都侧面反映出,当国际级背景网军,针对另一国家核设施进行攻击时,往往目的性很明确,无非为了核技术窃取,核电公司相关人员的主机权限,甚至是为了保持权限持久化,从而在“需要的时候”进行断电,甚至核爆炸等等极具威胁性的攻击行为。

此外,由于核电产业在创建之时会进行一定的安全处理,因此会架设在内网系统中,这也恰恰是一个致命弱点:当网络管理人员在认为攻击者无法进入内网之时,攻击便已经完成了。

安全是发展的前提,发展是安全的保障。核电,乃至核科技工业体系,是国家战略核力量的核心和国家核能发展与核电建设的主力军,肩负着国防建设和国民经济与社会发展的双重历史使命。奇安信威胁情报中心再次提醒:网络安全保障工作至关重要。

9999.jpg

]]>
短短4年超80%韩国国民信息被盗取 姓名手机号全泄露 Sun, 15 Dec 2019 01:08:51 +0800 韩国日前捣毁了一个黑客组织,逮捕并起诉了三名犯罪嫌疑人。这个黑客组织在四年间共盗取了高达80%的韩国国民的个人信息,并以此非法谋利。韩国检方调查显示,三名犯罪嫌疑人将黑客程序伪装成正品软件在网上传播。受害人在下载并安装这些软件后电脑会被植入黑客程序,犯罪嫌疑人就可以远程查看并采集这台电脑的所有信息,最终形成了庞大的数据库。

韩国首尔市东部地方检察厅检察官 金奉贤:我们在搜查过程中,发现了嫌疑人远程非法控制他人电脑的证据。

此外,这个黑客组织还非法收集了此前韩国游戏运营商、通讯公司等泄露的大批用户个人信息,4年间以各种途径非法获取包括姓名、身份证号码、手机号码、家庭住址等在内的共74亿条个人信息,八成以上的韩国国民的个人信息都在其中,当中甚至还有不少中国公民的个人信息。

央视财经频道特约记者 张小娟:我们从韩国检方了解到,三名犯罪嫌疑人将这些非法盗取的个人信息进行打包销售、利用个人信息盗取用户的游戏币等,非法获利达1.4亿韩元,约合人民币82万元。目前韩国检方正在对案件进行进一步调查,并呼吁韩国民众及时修改网络账号密码、游戏账号密码等,以防止遭受经济损失。

韩国2018年共发生931万起个人信息泄露事件,是2017年的两倍多。其中,韩国公共机关工作疏忽导致的个人信息泄露事故频频发生。为此,韩国政府在今年加大了对个人信息泄露相关案件的处罚力度,并推出“个人信息损害赔偿责任保障制度”,规定涉及个人信息收集的相关企业必须提前储备一定金额的资金,以应对个人信息泄露带来的影响。

9999.jpg



]]>
这个D-Link不愿修复的高危漏洞,影响面被严重低估了! Sun, 15 Dec 2019 01:08:51 +0800 随着网络空间的规模和行动不断扩大,其与日常生活日益交织。往往在网络空间一起微小的安全事件可能带来一连串“蝴蝶效应”,譬如去年全球最大的半导体代工制造商台积电工厂意外“中毒”,造成工厂停工不说还连累了要发新品的苹果,三天亏了10亿。而这次煽动翅膀的是D-Link产品的一个漏洞。

这个D-Link 不愿修复的高危漏洞

2019年9月,集成自动化网络安全解决方案商Fortinet 的 FortiGuard Labs 发现并向官方反馈了 D-Link 产品中存在的一个未授权命令注入漏洞(FG-VD-19-117/CVE-2019-16920)。攻击者可以利用该漏洞在设备上实现远程代码执行(RCE),且无需通过身份认证。该漏洞被标记为高危级别漏洞。

640.webp (3).jpg

在 Fortinet 的报告中,受此漏洞影响的设备型号有 DIR-655C、DIR-866L、DIR-652 和 DHP-1565。

遗憾的是,D-Link 表示这些产品已超出服务周期(EOL),厂商不会再为该问题提供补丁,换句话说,D-Link不愿为这些产品修复这个补丁。

被严重低估的影响面

然而不久前,360安全研究院团队对该漏洞进行了深入分析,提炼出漏洞识别模式后,通过自研的 FirmwareTotal 对全网二十多万的固件进行全面扫描后,发现这个D-Link不愿修复的高危漏洞,影响面被严重低估了!

640.webp (4).jpg

发现众多疑似受漏洞影响的设备固件后,FirmwareTotal还能够进一步批量动态模拟固件、自动化执行漏洞验证POC,最终确认漏洞的存在:

640.webp (5).jpg

最终经过360安全研究院团队验证,该漏洞背后的真相是,13个 D-Link 不同型号中的58个版本固件,都存在该漏洞。

640.webp (6).jpg

在确认该安全问题后,360安全研究院团队第一时间通报了厂商。日前D-Link已在安全通报中更新了漏洞影响范围(https://supportannouncement.us.dlink.com/announcement/publication.aspx?name=SAP10124)。

这不是第一个,也不会是最后一个

类似D-Link这样的事件,不是第一个,也不会是最后一个。

过去,360安全研究院团队基于大规模固件数据做了很多的分析工作,发现第三方组件重复使用的问题在固件开发过程中非常普遍。

就如下图所示,一个第三方的库,常常被上千个固件所使用。这意味着一旦该库文件出现安全问题,将会影响成千上万的固件和相关设备。比如 openssl 的心脏滴血漏洞、 Busybox 的安全漏洞等。

640.webp (7).jpg

大多数厂商都在他们的不同产品里共用类似的供应链代码,包括在已结束生命周期的老设备和刚发布的新设备里,往往也使用着相似的代码库。

当安全问题出现时,如果只看到老设备已停止支持,就停止脚步,而不去进一步探究新设备是否还在使用这些代码库,将会带来许多安全风险。

特别是在路由器产品之外的领域,比如自动驾驶汽车、智能医疗设备、关键基础设施设备、工业控制设备等,一旦被黑客抢先一步发现类似的潜在缺陷,将会对正在运行中的大量关键设备造成重大威胁。

640.webp (8).jpg

在上图中是 2019 年 Busybox1.30.0 及之前版本存在的漏洞,包括 CVE-2019-5747和 CVE-2019-20679 等。有非常多的固件使用了Busybox组件,并且大部分使用的都是1.30.0之前的版本。经过360安全研究院团队从数万个固件样本中统计,96%的固件都使用了1.30.0之前的版本。

这会导致各种类型的设备都受其影响,包括与GE医疗心电图分析系统密切相关的串口设备服务器、智能楼宇的自动化控制系统设备、工控系统中的RTU控制器以及工业安全路由器等。

这本质上是一个信息不对称带来的重大安全威胁问题,通过FirmwareTotal则可以为厂商提供一种“看见的能力”,消除信息不对称,以及解决其带来的潜在威胁问题。

9999.jpg

]]>
知名杀毒软件卡巴斯基被发现安全漏洞 攻击者可利用漏洞绕过检测机制 Sun, 15 Dec 2019 01:08:51 +0800 日前有研究人员披露在卡巴斯基安全软件中发现的安全漏洞,当前卡巴斯基已经修复该漏洞因此用户不需要担心。

研究人员表示这枚安全漏洞主要是卡巴斯基某些产品处理不当造成的,而卡巴斯基安全软件本身倒是没发现漏洞。

处理不当的是卡巴斯基为用户提供的VXN虚拟专用网络 , 原本卡巴斯基的目的是加密连接为用户提供安全的环境。

只是这个组件没有严格校验文件导致攻击者可以利用此漏洞绕过卡巴斯基检测,因此可能会对用户引起安全问题。

知名杀毒软件卡巴斯基被发现安全漏洞 攻击者可利用漏洞绕过检测机制

漏洞影响到卡巴斯基所有桌面产品:


卡巴斯基提供的这个虚拟专用网组件被集成在各项产品中,进而也让这枚安全漏洞影响卡巴斯基的所有桌面产品。

研究人员称该组件由卡巴斯基签名的文件发起执行,但执行时只寻找特定文件名的文件而没有校验文件是否签名。

攻击者则可以利用这个漏洞伪造文件让卡巴斯基进行调用,同时调用过程还可以直接绕过卡巴斯基的检测机制等。

研究人员在七月份将此漏洞报告给卡巴斯基并获得确认,卡巴斯基已经在十一月份的更新中将这枚漏洞彻底封堵。

知名杀毒软件卡巴斯基被发现安全漏洞 攻击者可利用漏洞绕过检测机制

关于此漏洞的更多安全信息:


实际上该漏洞最大的危害在于可以随系统自动启动,只要计算机启动此服务就会启动因此也让恶意软件成功启动。

这样攻击者可以借助卡巴斯基的漏洞实现对用户计算机的持续性驻留,可以用来窃取信息或进行流量监听等操作。

权限方面由于卡巴斯基本身具有管理员权限因此恶意软件也可以获得管理员权限,所以不论执行什么操作都可以。

研究人员举例称攻击者可以利用管理员权限创建新的管理员账户、可以修改系统设置或者安装其他恶意软件等等。

用户可以检查自己安装的卡巴斯基附带的Kaspersky Secure Connection版本 , 若低于4.0 (2020) 则需立即更新。

9999.jpg

]]>
CrySiS勒索病毒最新变种来袭,加密后缀为kharma Sun, 15 Dec 2019 01:08:51 +0800 CrySiS勒索病毒,又称Dharma,首次出现是在2016年,2017年5月此勒索病毒万能密钥被公布之后,之前的样本可以解密,导致此勒索病毒曾消失了一段时间,不过随后又马上出现了它的一款最新的变种样本,加密后缀为java,通过RDP暴力破解的方式进入受害者服务器进行加密勒索,此勒索病毒加密算法采用AES+RSA方式进行加密,导致加密后的文件无法解密,在最近一年的时间里,这款勒索病毒异常活跃,变种已经达到一百多个,近日国外安全研究人员发现这款勒索病毒的最新的变种,与以往变种不一样,这款最新的变种使用NET语言进行编写,加密后的文件后缀为kharma,之所以采用NET语言进行编写,可能也是为了逃避杀毒软件的检测

安全研究人员公布的最新的CrySiS勒索病毒,如下所示:

从app.any.run上下载到相应的样本,通过分析发现这个样本仅仅是外壳程序,外壳程序使用了大量的sleep函数,如下所示:

获取加密数据的密钥,如下所示:

解密出来的密钥,如下所示:

通过密钥对程序资源中的数据进行解密,如下所示:

解密出CrySiS最新变种的核心代码,如下所示:

将解密出来的程序DUMP下来,进行查壳分析,发现核心代码使用Confuser进行加壳处理,如下所示:

导致代码混淆无法分析查看,如下所示:

对核心代码进行脱壳,去混淆处理之后,如下所示:

此勒索病毒会进行区域判断,如果为如下区域:

0419(LANG_RUSSIAN 俄语)

0422(LANG_UKRAINIAN 乌克兰)

0423(LANG_BELARUSIAN 白俄罗斯)

则不进行加密,直接退出,如果不为以上区域,则遍历磁盘文件进行加密,如下所示:

加密后的文件后缀为kharma,与这款勒索病毒的名称(Dharma)只差一个字母,如下所示:

生成的勒索提示信息文件RETURN FILES.txt,内容如下所示:

弹出勒索提示信息框,如下所示:

这款新型的CrySiS(Dharma)勒索病毒与以往CrySiS勒索病毒不同,采用了NET语言进行编写,以逃避部分杀毒软件的检测,黑客的邮件地址为:

teammarcy10@cock.li

justbtcwillhelpu@firemail.cc

发邮箱名称也很有趣:just btc will help u!

针对企业的勒索病毒攻击越来越多了,具有很强的针对性,攻击手法也是多种多样,旧的勒索病毒不断变种,新型的勒索病毒又不断出现,全球每天都有勒索病毒的变种被发现,同时每天都有不同的企业被勒索病毒攻击,真的是数不甚数,随着BTC等虚拟货币的流行,未来勒索病毒的攻击还会持续增多,而且后面可能会慢慢转向针对不同的平台进行攻击,勒索病毒已经成为了全球网络安全最大的威胁。

9999.jpg

]]>
国家标准《信息安全技术 关键信息基础设施网络安全保护基本要求》试点工作启动 Sun, 15 Dec 2019 01:08:51 +0800 2019年12月3日,全国信息安全标准化技术委员会(以下简称信安标委)秘书处在北京组织召开了国家标准《信息安全技术 关键信息基础设施网络安全保护基本要求》(报批稿)(以下简称《基本要求》)试点工作启动会。本次试点工作旨在验证《基本要求》标准内容的合理性和可操作性,为标准推广实施积累经验,为关键信息基础设施安全保护工作提供技术支撑。信安标委秘书长杨建军,试点专家组组长冯燕春出席会议并讲话。640.webp (2).jpg杨建军秘书长指出,关键信息基础设施网络安全标准在正式发布前进行试点,对标准指标的可行性、合理性、完备性和科学性进行综合验证,是提高标准质量的重要手段,也是推动标准应用实施的主要途径,需要试点单位、第三方测评机构在试点专家组的指导下共同合作实施。试点专家组组长冯燕春提出,标准要注重可操作性、可持续性和可发展性,标准试点工作是进行标准验证的很好的方式,具有重要意义。通过试点形成标准应用的过程文档和相应技术工具,为后续的标准推广和关键信息基础设施安全保护打好基础。

会上,信安标委秘书处介绍了去年开展的《信息安全技术 关键信息基础设施检查评估指南》(报批稿)国家标准项目试点情况,以及本次《基本要求》试点方案、标准基本内容及评价要点。试点专家组针对试点工作和标准应用提出了意见和建议,并对试点工作的开展进行了指导。试点单位分享了本单位相关系统的建设及安全防护情况,第三方测评机构针对标准试点工作介绍了测评实施的思路和建议。

本次试点工作在电信、广电、能源、交通、金融、卫生健康等重点行业和领域选取了12家单位作为标准应用试点单位。中国电子技术标准化研究院、中国信息安全测评中心、国家信息技术安全研究中心、国家计算机应急技术处理协调中心、公安部第三研究所、公安部第一研究所、国家工业信息安全发展研究中心、中国互联网络信息中心等8家标准编制单位作为第三方测评机构。来自关键信息基础设施安全防护相关领域的12位行业和地方专家组成标准试点专家组,指导试点工作开展。

试点专家组、试点单位及第三方测评机构等共40余人参加了启动会。

9999.jpg

]]>
当心!上亿条个人信息被建成“微信群”卖给骗子! Sun, 15 Dec 2019 01:08:51 +0800 江苏省南通市海门市公安局4日披露破获一起倒卖公民个人信息案。犯罪嫌疑人将上亿条公民个人信息进行筛选、重组,组建不同“微信群”,然后将“微信群”卖给各类诈骗团伙。

  
640.webp (1).jpg

据海门市公安局披露的信息,在“净网2019”专项行动中,海门市公安局根据线索,在辖区捣毁了一家打着“传媒科技有限公司”幌子的倒卖公民个人信息的犯罪窝点。这一“公司”在成立9个多月的时间里,收购了1亿余条公民个人信息,其中含有大量股民的联系方式。
  
随着案件深挖,海门市公安局发现这一案件不简单。犯罪嫌疑人低价收购公民个人信息后,不是简单地再高价倒卖出去,而是进行“加工”,生成不同的“微信群”,再卖给诈骗团伙。
  
海门市公安局办案人员介绍,这一犯罪链上,不同犯罪团伙配合有序,他们将从各种途径收购来的公民个人信息视作“原材料”,进行拆分、筛选、整理后,交由专职的“客服人员”,以提供“内幕信息”等各种借口,拉人入群,并进行“洗脑”,然后将作为“半成品”的“微信群”卖给各类诈骗团伙。
  
案件侦办中,海门市公安局依据这一线索,深挖出售公民个人信息的上家,又追查购买“微信群”实施诈骗犯罪的下家,先后抓获涉嫌侵犯公民个人信息罪的犯罪嫌疑人26名、涉嫌诈骗的犯罪嫌疑人197名,破获诈骗案件600余起。
  
目前,这一案件中被抓获的26名涉嫌侵犯公民个人信息罪的嫌疑人中,已有23人被移交海门市人民检察院提起公诉。针对此案,海门警方特别提醒,接到“加微信”“加群”的陌生客服电话请谨慎,不要轻信所谓的高收益、高回报的投资产品和项目。


9999.jpg

]]>
网络安全员变“黑客” 量身定做入侵工具 涉案金额200万 Sun, 15 Dec 2019 01:08:51 +0800 记者今日从广州市公安局获悉,今年以来,广州警方严厉打击网络突出违法犯罪,强力整治网络违法有害信息,整改网络安全风险隐患,取得显著成效。侦破网络主侦案件1500余起,打掉团伙224个,依法刑事拘留犯罪嫌疑人5313名,缴获被泄露窃取买卖的公民个人信息13亿余条,极大地震慑了网络犯罪分子的嚣张气焰。

%E7%BD%91%E7%BB%9C%E5%AE%89%E5%85%A8%E9%94%81%E8%B1%A1%E4%BF%A1%E6%81%AF%E4%BF%9D%E5%AF%86%E6%80%A7%E6%95%B0%E6%8D%AE%E4%BF%9D%E6%8A%A4%E4%BA%92%E8%81%94%E7%BD%91%E5%92%8C%E6%8A%80%E6%9C%AF%E6%A6%82%E5%BF%B5-127452164.jpg

据了解,今年以来,广州警方发起侦破“净网”专案7次,参与全国专项集群战役10次,全链条打击黑客攻击破坏、侵犯公民个人信息等突出网络违法犯罪。

同时,对未履行网络职责和未落实网络安全技术措施和超范围采集公民个人信息的266个违法主体开展行政处罚,全面清理违法违规APP,共下架5.6万余个违规恶意APP。

此外,还全网域整治涉“黄赌毒”、涉枪爆刀、涉网络虚假信息等网络违法有害信息,今年共清理处置各类违法信息10万余条,封堵关闭网站10192个。对发布违法有害信息的网民及时予以处理,从源头上防范违法有害信息传播蔓延,共依法处理传播发布有害信息网民592人次,其中,教育训诫567人,行政处罚23人,刑事处罚2人。

典型案例网络安全技术人员竟成为“黑客”,专“黑”金融类网站

今年2月,广州市公安局网警支队通过对个别黑客攻击行为进行侦查分析,挖出一条指向某安全技术公司人员刘某的线索,其所在地为海珠区。

经侦查,这是一个“制售黑客程序工具—非法侵入、出售网站系统权限—非法获取数据—数据交易中介—数据使用者”的链条式团伙。该团伙成员有8人,其中黑客嫌疑人2人,侵犯公民信息嫌疑人4人,下游犯罪嫌疑人2人。而刘某涉嫌多种网络黑客犯罪行为,包括非法制作、提供黑客入侵扫描工具、买卖网站“后门”、非法获取系统数据库(“拖库”)和倒卖金融网站数据。

该团伙按照下家的需求,“量身定做”针对特定系统漏洞的黑客入侵工具。同时,利用网络技术优势,非法入侵网络并获取网站“后门”权限,出售给下家客户。根据黑产市场的行情和下家的需求,多次拖取金融类网站(比如股票、基金、期货交易等)等具有高价值的数据库,出售给下家客户,1个网站的数据卖到10几20万元。

此外,该团伙还层层转卖、非法流转公民信息数据。经侦查,这些数据多用于网络黑灰产或犯罪,最后的用途主要集中在“业务引流”、荐股诈骗、期货交易平台诈骗等网络黑灰产或犯罪的业务上。

在查清团伙组织架构和锁定相关犯罪证据后,今年5月,公安机关开展专案集中收网行动,一举摧毁上述团伙,抓获嫌疑人8人,涉案金额约200万元,查获金融类公民信息上千万条。此次全链条打掉该团伙,极大震慑了网络黑客、黑产犯罪群体。

其中涉嫌非法获取计算机信息系统数据罪的2名数据源头黑客,刘某是广州某安全技术公司员工,吕某是职业黑客,长期从事黑客活动并曾因黑客犯罪被判刑。据悉,刘某和吕某学历都不高,依靠网络论坛和自我摸索,掌握黑客技术后,专门研究网站的攻防漏洞。

警方提醒广大群众,针对黑客入侵,不要轻易点击他人在论坛、电子邮箱、聊天软件、手机短信中留下的链接;不轻易连接来历不明的WIFI网络;不轻易运行来历不明的软件,对不了解网页ActiveX控件与JAVA程序采取严防的态度;及时给电脑和手机系统加装补丁,安装安全软件,并保持更新;定期备份并删除重要资料,降低被侵入时的损害;没有文件共享需求的电脑,可关闭硬盘和文件夹共享。日常生活中,警惕收集个人信息的企业、个人或网站,一旦遇到侵权情况,及时记录相关信息,向有关部门提供有价值的线索。

为推广业务买卖、交换公民信息,缴获个人信息文稿达1800页

近年来,侵犯公民个人信息的犯罪活动日益猖獗,严重扰乱公民正常生活,甚至成为许多违法犯罪活动的上游犯罪。广州警方对公民个人信息的犯罪线索进行集中梳理,发现两个主要从事非法买卖、交换工商类公民信息团伙,其成员众多,分布在天河区、黄埔区等地。

经侦查,这两个团伙从事网上代运营的业务,团伙成员为满足业务推广的需要,通过加入QQ微信等交换、买卖资料的通讯群组,群内的都是全国各地、各行各业的从业人员或是专门从事买卖信息的人,通过在群里的交流,把自己整理的公民信息与有需要的人员买卖或者交换从而牟利。

公民个人信息种类繁多,包含公民身份信息、企业法人信息、工商注册信息、行业人员名册等信息。涉案人员每次买卖交换数据量均超5000条以上,有时甚至达十几万条,主要以微信转账的方式支付,购买5000条价格1万元。

今年4月,公安机关开展专案集中收网行动,一举摧毁上述团伙。现场抓获嫌疑人124人,扣押涉案手提电脑17台、台式电脑8台、手机51部及公民个人信息文稿1800页,折合信息约100万余条。经审讯,嫌疑人对非法获取公民个人信息的作案事实供认不讳。

警方提醒,任何在互联网上交换、买卖从而非法获得公民个人信息的行为,已构成涉嫌侵犯公民个人信息罪,需要承担经济损失和法律责任。请市民群众特别是掌握大量有价值信息的各行业从业人员,不要为蝇头小利而成为网络违法犯罪活动的工具。

QQ群里发红包“赌博”? 机器人软件操控后台

2018年12月,天河区公安分局接到举报,有一个利用QQ群组开设赌场,以发红包“埋雷”的形式进行网络赌博的团伙。该团伙参赌人数多、红包数目多、金额大,初步估算涉案金额超3000万元,经初查是一个跨及14个省市,数十人组成的“开发推广—代理销售—开设赌场”全链条犯罪团伙。

通过深入排查,该赌博团伙开发一款名为“盛X面对面红包”的赌博机器人软件,并搭建vps服务器。该机器人软件通过图像比对及发送虚拟口令等方式,实现接收红包赌注,自动抢红包并统计抢包日志及金额,自动计数赔付,流水输赢情况查询、清屏,及踢出QQ群等操作。通过使用该款机器人软件,可以在短时间内聚集大量参赌人员在群里发送大量赌博红包,且金额不受限制。

今年7月,公安机关在广州、惠州、中山、江西宜春等地统一收网,打掉这个开发推广、代理销售机器人软件并帮助开设QQ红包赌博群的犯罪团伙,共抓获犯罪嫌疑人47名,对软件开发人员、代理人员、开设赌场人员、参赌人员进行全链条打击。

警方提醒广大群众,利用微信、QQ等平台进行赌博属违法行为,开发售卖赌博软件、帮助他人搭建赌博平台性质更加恶劣,切勿以身试法。如发现相关赌博情况,请及时向公安机关举报。

9999.jpg

]]>
StackOverflow被复制最多的Java代码存在一个Bug Sun, 15 Dec 2019 01:08:51 +0800 22.png

史上被复制最多的StackOverflow Java代码片段其实存在bug。

公开这件事的是代码本身的作者,Palantir的Java开发人员Andreas Lundblad,他是StackOverflow(编程开发相关的问题网站)排名最高的贡献者之一。

根据2018年发表的一篇学术论文中的统计数据,Lundblad在该网站上发布的一段代码被认为是StackOverflow有史以来被复制最多的Java代码,在多个开源项目中被反复使用。

33.png

这段代码是2010年9月StackOverflow上某个编程问题的答案。主要和数据转换有关,以人类可读的格式(如123.5 MB)打印字节数(123456789字节)。

研究人员发现,这段代码被复制到6000多个GitHub Java项目中,超过其他任何被引用的StackOverflow Java代码片段。

44.png

在上周发表的一篇文章中,Lundblad承认那段代码有缺陷,转换逻辑存在漏洞。

Lundblad表示,在得知自己的代码应用的如此广泛后,他再次查看了代码,并在博客上发布了更正后的版本。

StackOverflow代码的安全漏洞

虽然此次Lundblad代码只是存在一个微不足道的转换错误,只会对文件大小的计算结果产生些许影响,但类似情况有可能会更严重。

例如,一旦代码中存在安全漏洞。那么修复所有受影响的应用将花费数月或数年时间,期间无数用户的安全都将受到威胁。

不过,即使大家都知道从StackOverflow直接复制粘贴代码是很不安全的,不少开发人员仍然会这么做。

2018年就有相关研究报告展示了这种做法在Java开发中是多么的普遍,许多抄袭StackOverflow答案的开发人员懒得去追溯代码的来源。

严格来说,这种从StackOverflow复制代码而不注明实际出处的行为是严重违规的,相当于开发人员往项目中引入了未经审核的代码。

也许这听起来有点危言耸听,但2019年10月发表的另一项学术研究表明,StackOverflow不少代码片段确实包含安全漏洞——这不仅仅是用来吓唬开发者的“神话”。

55.png

66.png

该研究发现,在过去十年中,StackOverflow上发布的69个最流行的C++代码片段存在重大安全漏洞。

研究人员在总计2859个GitHub项目中发现了这69个存在漏洞的代码片段,这表明一个糟糕的StackOverflow答案可能会破坏整个开源应用的系统安全。

9999.jpg

]]>
GoAhead Web服务器又现关键漏洞 Sun, 15 Dec 2019 01:08:51 +0800 近日,思科Talos专家在GoAhead嵌入式服务器上发现了两个漏洞,其中一个是关键的远程代码执行漏洞。



第一个漏洞为CVE-2019-5096与处理多部份/表单数据请求相关,该漏洞可被未经身份验证的攻击者触发、通过编写定制HTTP请求在服务器上执行任意代码;第二个名为CVE-2019-5097,其能够被未验证身份的攻击者利用、通过定制HTTP请求进行DDoS攻击。


这已经不是第一次在该服务器上发现漏洞了,2017年12月,Elttam专家就曾在该Web服务器上追踪到CVE-2017-17562漏洞,当时影响了成千上万的物联网设备。


GoAhead Web服务器是为嵌入式实时操作系统量身打造的Web服务器,其构建在设备管理框架之上,用户可以像标准的Web Services一样来部署自己的应用,无需额外编程。Shodan搜索引擎上查看GoAhead安装量已超过130万。


说了这么多,什么是Web服务器?Web服务器是是一种“网站服务器”,不仅能存储信息,还能再用户通过Web浏览器所提供信息的基础上运行脚本和程序。其主要功能是提供网上信息浏览服务,是目前使用最为广泛的服务。


其特点如下:该服务器是一种被动程序,只有当互联网上运行、其他计算机中浏览器发出了请求后,Web服务器才会响应;其还是在互联网上具有独立IP地址的高性能计算机,可以像互联网上的客户机提供万维网、电子邮件和FTP等各种互联网服务;指驻留在互联网上某种类型计算机的程序,当Web浏览器连到Web服务器上并请求文件时,Web服务器会处理该请求,并将文件发送到Web浏览器上,附带的信息会告诉浏览器如何查看该文件。由于Web服务器,使用超文本传输协议(HTTP)与客户机浏览器进行信息交流,人们常称其为HTTP服务器;其不仅能存储信息,还能通过Web浏览器向用户提供信息的基础上运行脚本和程序。


Web服务器的工作原理不复杂:连接、请求、应答和关闭四个过程就能将其概括。


什么是嵌入式实时操作系统?其是用于控制、监视或辅助操作机器和设备的装置。在工业控制、军事设备、航空航天等领域对系统响应时间有苛刻要求的领域需要使用这种实时系统。随着计算机技术的迅猛发展和芯片制造工艺的不断进步,这些嵌入式系统广泛应用于民用的电视、手机等电路设备、军用飞机、坦克武装系统等等。



再来看看这种Web服务器的主要分布国家:哈萨克斯坦323,870台、美国186,532台、韩国173,528台、巴西153825台、秘鲁54,705等。中国呢?目前看到使用该服务器的机构有腾讯云计算、北京联通等。


这样一看,潜在的危害还挺严重。

9999.jpg

]]>
恶意 Python 库被发现会窃取 SSH 和 GPG 密钥 Sun, 15 Dec 2019 01:08:51 +0800 Python 安全团队从  PyPI (Python Package Index) 移除了两个被发现会窃取 SSH 和 GPG 密钥的恶意 Python 库。两个库都由同一名开发者创建,利用名字相似的方法去模仿已知的流行库的:python3-dateutil 试图模仿流行的 dateutil 库,jeIlyfish 模仿 jellyfish 库。

德国开发者 Lukas Martini 上周日发现了这两个恶意库,在通知安全团队之后它们被立即移除。

https://zdnet4.cbsistatic.com/hub/i/2019/12/04/9d6de096-5c14-4888-976b-6bb4a36a5c61/3b8da917af66d7d01f9849156e6d6e04/olgired2017.png

Martini 称,恶意代码只存在于 jeIlyfish 中,python3-dateutil 本身不包含恶意代码,但它会导入  jeIlyfish 库。

dateutil 开发团队成员 Paul Ganssle 分析后认为,恶意代码是尝试从用户计算机上窃取 SSH 和 GPG 密钥,然后发送到一个 IP 地址。                    

9999.jpg



]]>
100款违法违规APP下架整改 光大银行、微店、更美等在列 Sun, 15 Dec 2019 01:08:51 +0800 据国家网络安全通报中心的通报,11月以来,公安部组织开展APP违法违规采集个人信息集中整治,重点针对无隐私协议、收集使用个人信息范围描述不清、超范围采集个人信息和非必要采集个人信息等情形,集中发现、侦办、查处整改了100款违法违规APP及其运营的互联网企业,光大银行、更美、考拉海购、微店、晋江小说阅读、飞牛网等在列。

120a1108d11178f.jpg

9999.jpg

]]>
新的木马恶意软件被用来窃取密码并传播勒索软件 Sun, 15 Dec 2019 01:08:51 +0800 640.webp.jpg

据ZNDet报道,最近发现了一个黑客活动,目标是医疗和教育机构,他们使用定制的、基于Python的特洛伊木马恶意软件,让攻击者几乎可以控制Windows系统,从而能够监视操作和窃取敏感数据。
被称为PyXie RAT 的远程访问木马的恶意功能包括键盘记录,凭据收集,录制视频,cookie盗窃,执行中间人攻击的能力以及将其他形式的恶意软件部署到受感染系统上的能力。
所有这些都是在清除可疑活动的证据以确保恶意软件不被发现的同时实现的。 
然而,Blackberry Cylance的网络安全研究人员发现并详细描述了这些攻击的痕迹,他们将恶意软件命名为PyXie,因为其编译代码使用“.pyx”文件扩展名,而不是通常与Python关联的“.pyc”。
PyXie RAT至少自2018年以来一直处于活动状态,并且高度定制,这表明在构建它方面已经花费了很多时间和资源。
Blackberry Cylance研究与情报副总裁Josh Lemos 告诉ZDNet:“定制工具以及它长期以来一直被关注的事实,无疑表明了一种与复杂的网络犯罪行动相一致的模糊和隐秘程度。
该恶意软件通常通过侧向加载技术发送给受害者,该技术利用合法应用程序感染受害者设备。研究人员发现的其中一个应用程序是一款开源游戏的特洛伊木马版本,如果下载了该版本,将开始秘密安装恶意负载,使用PowerShell提升权限并在机器上获得持久性。
在多级下载的第三个阶段,PyXie RAT利用代码中称为“Cobalt Mode”的东西连接到命令和控制服务器,并下载最终的负载。
下载的这一阶段利用Cobalt Strike(一种合法的渗透测试工具)来帮助安装恶意软件这是一种经常被网络犯罪团伙使用的策略,而且这种策略有助于使攻击更加难以定性。
这个特定的下载程序与另一个用于下载Shifu banking特洛伊木马程序的下载程序也有相似之处,不过,它可能只是一个犯罪分子为了自己的目的而获取开源代码或窃取代码的案例。
“使用广泛使用的工具(如钴打击)的一个优点是,由于许多不同的威胁行为体以及合法的戊酯都使用它,因此很难确定其归属。由于Shifu banking特洛伊木马的相似性,目前尚不清楚它是否是同一个参与者,或者是否有其他人重用了它的一些代码,”Lemos说。
一旦成功安装到目标系统上,攻击者就可以在系统中随意移动并执行命令。研究人员指出,除了被用来窃取用户名、密码和进入系统的任何其他信息外,还有一些PyXie被用来向受损网络发送勒索软件的案例。
“这是一种功能全面的RAT,可以用于广泛的目标,参与者根据目标环境的不同会有不同的动机。事实表明,它已与勒索软件一起在少数环境中使用,这表明参与者可能至少在那些情况下要有经济动机。
PyXie RAT攻击的全部范围仍不确定,但是研究人员已经确定了针对30多个组织的攻击,主要是医疗和教育行业,据信已感染了数百台机器。
除了可能是资源丰富的网络犯罪集团之外,目前尚不清楚谁是PyXie RAT的幕后黑手,但该活动仍被认为很活跃。
但是,尽管恶意软件具有复杂的性质,研究人员表示,可以通过标准的网络卫生和企业安全最佳实践来保护它,包括操作系统和应用程序修补,端点保护技术,审核,端点和网络活动的日志记录和监视以及审核使用凭证。

9999.jpg

]]>
韩黑客组织盗取八成个人信息 伪装微软认证程序 Sun, 15 Dec 2019 01:08:51 +0800 近日,韩国警方捣毁了一个大型黑客组织,据悉,该组织通过把黑客程序伪装成微软官方认证应用程序共盗取了韩国多达80%的个人信息,其中甚至还包含部分中国公民的个人信息。

据韩国媒体报道,该黑客组织将黑客程序伪装成微软认证的正品软件进行传播,共窃取了74亿条个人信息;据了解大约80%的韩国民众的个人信息都被保存在该组织的数据库里。目前这一非法黑客组织已被检方捣毁。

该组织的作案手法是,只要用户的电脑感染了伪装成微软软件的黑客程序,该组织成员就能远程查看该台电脑的所有信息。使用者每次输入个人信息时,黑客程序就会进行采集,最终形成了庞大的数据库。

通过该手段采集到的个人信息达到74亿条,只要搜索网站域名就能检索到用户名密码,身份证号码甚至是住址等信息。此外,某个包含54亿条个人信息的中国电信诈骗团伙的电脑,也被该黑客团伙控制了。因此,中国许多用户的个人信息也可能遭到泄露。

9999.jpg

]]>
安卓新漏洞,让你真真假假分不清楚 Sun, 15 Dec 2019 01:08:51 +0800 近日,安全研究人员在安卓系统上发现了一个新的还没有被修复的漏洞。这个漏洞被称为Strandhogg,目前已经有几十个恶意应用利用了这个漏洞来窃取用户的银行信息和其他的登录数据,而且受害者还毫不知情。



Strandhogg这个名字源自古挪威北欧海盗袭击沿海地区掠夺物资和奴隶的古老战术。


这个Strandhogg漏洞是利用安卓的多任务处理功能,使安装在安卓系统上的恶意应用可以伪装成该设备上的任何其他应用程序,其中包括需要特权的系统应用程序。


也就是说,当用户点击一个正常应用程序的图标时,利用Strandhogg漏洞的恶意应用可以劫持这个任务并且向用户显示一个虚假的应用界面,而不是启动那个正常的应用程序。


误导用户让他们以为打开的是一个正常的应用程序之后,恶意软件就像用户请求权限。这实在是太太太太正常了,平时我们打开一些应用程序都得进行授权,所以受害者丝毫没有意识到他们这是在给黑客授权,反而还认为他们在使用真正的应用程序。



获得权限之后,黑客就可以为所欲为了,包括:

通过麦克风监听受害者;

利用照相机拍照;

阅读和发送短信;

窃取凭证;

访问设备上的私密照片或文件;

获得定位以及GPS信息;

访问手机联系人;

访问手机日志。

Strandhogg之所以独特,是因为攻击者无需获得设备的root权限就可以发起一系列复杂的攻击。它利用Android的多任务系统中的一个弱点来实施强大的攻击,使恶意应用程序可以伪装成该设备上的任何应用程序。


攻击者通过利用如taskAffinity和allowTaskReparenting等的任务状态转换条件,成功骗过系统并启动虚假界面。当受害者在这个假界面中输入他们的登录信息时,攻击者会立即收到这些信息,随后可以登录并控制那些应用程序。


研究人员对利用该漏洞的恶意软件进行了研究,发现前500个最流行的应用程序(根据应用程序情报公司42 Matters的排名)都有危险,而且所有版本的Android系统均受到影响。


目前没有任何可靠的方法来阻止或者检测这种攻击方式,不过用户可以通过注意任何异常情况来发现这类攻击,例如已经登录的应用要求再次登录、不包含应用程序名称的要求授权窗口、应用程序请求不需要的权限、用户界面中的按钮和链接点不了没反应、以及返回键失灵了等等异常现象。


说句题外话,早在2015年的时候,宾夕法尼亚州立大学的研究人员就从理论上描述了该漏洞的某些方面。当时谷歌还说这个漏洞没那么严重,结果现在被无情打脸。

9999.jpg

]]>
明年5G将改变一切 但网络犯罪也将无所不在 Sun, 15 Dec 2019 01:08:51 +0800 看过太多老科幻片后,忍不住就会想,为什么路上的车还靠人驾驶,为什么人行道上的垃圾还没被无人机清扫干净,为什么机器人还没拎着大包杂货呼啸而过……似乎,当下还没能兑现过去对未来的承诺。

当然,这些承诺也并非全无可行性,自动驾驶汽车、智能无人机和其他智能机器已经发展多年。然而,尽管有些定义了当代社会的即时生效技术,真正的即时通信却仍难以掌握。自动驾驶汽车之类的创新在高速公路上错身而过之时,是容不得哪怕一分钟的延迟的,这一弱点让我们至今尚未完美实现科幻小说中的未来场景。

但是,2020 年 5G 的全球部署将改变一切。第五代蜂窝网络将交付前所未有的无线速度,彻底变革我们的设备、我们的城市;最终,以我们完全无法预测的方式改变我们的生活。5G 到底有多快?今天的 4G 连接可以每秒 100 Mb 的速度下载数据,而 5G 设备,理论上最高可达每秒 10 Gb。做个直观的对比,其间差距就好像一个普通成年人的跑速对标 F-22 猛禽喷气式战斗机的最高飞行速度。喷气式战机那么快的互联网不仅仅会带来变革性技术、连接性增加和智慧城市新时代,还会带来新一波针对我们关键基础设施的网络攻击。

5G 星球

预测 2020 年将是 “5G年” 不再是大胆预言。数十亿美元价值的 5G 发布已排上明年日程,世界各国将陆续用上该新兴技术。

即时 5G 通信的好处怎么说都不为过。连接延迟从秒级降至毫秒级可促成泛都市网,将现有智能传感器与新的自动驾驶汽车网、AI 监视摄像头、维护机器人和无数其他联网设备融合——所有设备实时共享数据。

虽然甚少讨论,却同样重要的一个方面,是 5G 的推出将给智慧城市基础设施面临的网络安全挑战带来怎样的影响,再延伸一点,会对日常依赖这些基础设施的数十亿人带来怎样的影响。

防御城市复杂联网系统的传统方法使用历史数据预测针对熟知机器的已知威胁,这种策略在利用动态互联网的新型攻击面前已溃不成军。智慧城市早已广泛采用此类物联网设备,包括旨在提升公共服务效率的交通传感器和智能电表。

5G 的到来将激发前所未见的物联网机器大爆发,引入未知漏洞,为网络罪犯打开入侵我们日渐不分彼此的城市的大门。无论他们是想盗取敏感纳税人数据、劫持交通网络,还是破坏关键基础设施,这些都是我们必须主动解决的风险。而且,由于他们的攻击将以机器速度袭来并传播,遏制攻击将需要超出人类处理能力的响应速度。

凡事预则立不预则废

物联网设备数量已经超过全球人口总数,而在 5G 创新推动下,到 2025 年,全球物联网设备数量将超 640 亿。肩负保护如此多新设备重任的安全团队面临的明显挑战,就是知道这些东西什么时候上线。公司企业和政府机构已经难以获取物联网设备的可见性了。5G 革命只会指数级放大该问题,我们必须立即做出战术转变。

除了可见性,矗立在安全 5G 世界道路上最大的障碍,是此类 5G 设备的异构性。没人知道这些智能传感器和物联网机器人具体会长什么样,网络威胁将如何利用这些设备也有待猜测。鉴于这种不确定性,我们必须摒弃基于历史数据预测未来威胁本质,再仰赖人工及时响应的旧模式。

一些最新安全工具采用了完全不同的方法:利用网络 AI 算法,不做任何预定义,在每个设备加入网络之时,即时学习其工作机制。这种常态理解可以揭示伴随网络攻击的微小行为改变,AI 便可在伤害造成前自主阻断攻击。而且,随着罪犯开始运用自身 AI 驱动的攻击袭击城市,以人工智能反制的必要性只会愈显突出。

此类网络 AI 系统可能是我们防御明日城市的最佳机会,但无论如何,各大城市都必须从现在开始重新思考自己的安全方法了。5G 终将带给我们电影中的科幻未来。问题是,我们有没有准备好保护这样的未来。

9999.jpg

]]>
西班牙SOC供应商遭Ryuk勒索软件袭击 Sun, 15 Dec 2019 01:08:51 +0800 据称 Prosegur 启用了 “最大安全措施”……

11 月 28 日,西班牙安保监控系统公司 Prosegur 证实遭遇勒索软件攻击。该公司全球员工数 17 万人,运营着六个安全运营中心 (SOC),日前宣称遭到 Ryuk 勒索软件攻击,正在努力遏制此事件。

此攻击发生时间距离西班牙同样提供多种全球网络安全服务的 NTT Data 子公司 Everis 被勒索软件关停不足一个月;11 月初,西班牙一家主流广播公司也遭遇了网络攻击;一个月之内,西班牙频遇网络攻击。

据报道,Prosegur 所有服务均暂时掉线。目前尚不清楚该勒索软件传播范围。

Prosegur 2018 年收入接近 40 亿欧元,在全球 25 个国家经营,业务范围横跨四个关键细分行业(见下图)。

Prosegur 被黑

媒体 Bleeping Computer 报道中表示,据 Derecho de la Red 发布的信息,该恶意软件是通过 Emotet 投送的。这家西班牙网站还证实,整个公司的网络都掉线了,员工也放假回家了。

客户对 Prosegur 服务的信心也因其 SSL 证书过期而遭遇了打击,其网站访客会在浏览该网站时看到公司宣传语 “您可信赖的安全” 上方明显的安全警告。

11 月初对 Everis 攻击的响应,引发了公众对西班牙网络安全部门帮助该国公司企业巩固安全措施工作的质疑(作为网络安全服务供应商的 Prosegur 和 Everis 均请求了帮助)。

该国国土安全部曾在 11 月 4 日的博客帖子中轻描淡写地说:此类攻击的发生很频繁。2016 年,国家网络安全研究所处理了约 2,100 起类似事件……此次事件既没破坏数据安全,也不是数据泄露。

网络安全公司 CrowdStrike 指出,Ryuk 专用于企业环境,Hermes 勒索软件与 Ryuk 各版本代码对比分析表明,Ryuk 是从 Hermes 源代码派生的,且自发布起一直仍在稳定开发中。

该安全公司称:Hermes 是论坛有售的商业勒索软件,为多个威胁团伙所用。自 8 月份 Ryuk 现身以来,其背后运作黑客团伙已从 52 笔交易中获利 705.80 比特币,当前总价值约 370.19 万美元。

今年欧洲几十家公司企业遭遇勒索软件攻击,包括伦敦都会区警察局的主要鉴证服务供应商、挪威铝业巨头和芬兰石油公司。

9999.jpg

]]>
朋友微信语音借钱?别轻信,骗子新招! Sun, 15 Dec 2019 01:08:51 +0800 “朋友们,小心新型诈骗!刚刚我们班有位同学微信号被盗,骗子登录他的微信给同学发语音借3000元钱,语音跟这位同学的声音简直一模一样。大家给班里同学讲一下,遇到借钱先打电话确认是否是本人,哪怕是微信语音也不能相信……”


这是出现在新疆某高校大学生马英杰微信朋友圈的一段文字,当天晚上,这段内容在校园中广泛传播。

陌生同学发语音借钱

11月25日下午,在新疆上大学的马英杰突然收到了同学刘新(化名)发来的微信语音:“你现在方便借我3000块钱吗?我买点东西有急用,完后晚点还给你。”

这让马英杰感到莫名其妙。“我跟他不是一个班的,只因一次社团活动添加了对方的微信,但平时极少通过微信交流。”马英杰说道。

虽然对方发来的微信语音与刘新本人的声音几乎一样,但马英杰还是很疑惑,“依我对他的了解,他不会说出这种借钱的话。”

果然,8分钟后,马英杰收到了刘新发来的文字信息:“我的账号刚刚被盗,不要相信任何信息,千万不要扫码转账。骗子现在技术很强,可以模仿我的声音,大家引以为戒。”刘新说道。

当天,马英杰与其他同学聊天得知,几乎在同一时间,刘新的微信好友都收到了这条借钱语音信息。“骗子给同学们发的信息几乎一样,大家都知道他的微信号被盗了。”马英杰说。

刘新告诉《IT时报》记者,自己此前找考研资料时用手机微信扫过一个二维码,扫码之后手机里自动下载了一个软件,但自己并未注意。“应该就是那时被骗子盯上的。”刘新说。

清粉工具成泄漏微信隐私元凶

实际上,通过微信语音诈骗的案例并不稀奇。有媒体报道,今年10月南京的陈先生收到好友王某发来的一条微信语音,让他转钱到某个收款码上买个东西,陈先生因此被骗走了5000元。

刘新的微信账号是如何被盗的?《IT时报》记者向微信方面进行了求证。

“用户11月25日发现微信账号被盗,后台显示用户11月24日是通过微信密码登陆,并通过短信二次验证。”微信方面相关人士表示,鉴于极少可能出现突破账号密码以及短信验证双重保障的盗号情况,推测用户可能遭遇了欺诈,向冒充身份的诈骗嫌疑人透露了个人密码和验证码,造成微信号被盗。

微信方面人士表示,常见的微信号被盗的情况有几种,例如,微信密码设置过于简单、手机安装木马、非法客户端导致隐私泄露、转发登陆短信可能导致微信账号被坏人登陆以及设置了与其他产品一致的密码,当其他地方泄密,微信可能连带被盗。

在国内民间非企运营互联网安全组织网络尖刀安全团队创始人曲子龙看来,微信清粉、下载第三方插件等操作是微信账号密码被盗用的元凶。

不少人会经常收到这样一条清粉信息:“清粉进行中,勿回消息,免费清理:http://info…”。

“一旦有用户因为好奇点开了类似的链接,在清粉过程中,不法分子会利用爬虫悄无声息地偷走用户的微信账号密码、聊天记录中的语音、常联系好友的信息,甚至更多的隐私内容,”曲子龙表示,目前大部分的清粉工具都存在安全隐患。

微信方面也表示,批量清理僵尸粉工具,本质上就是一个外挂。利用微信PC或网页端登录授权功能,将用户的微信授权给外挂软件进行操作。这个过程相当于用户把微信的控制权授权拱手让人。

“另外,用户在使用微信时打开了钓鱼网页,需要用户使用微信账号授权给第三方,或是输入自己的微信账号和密码才能正常使用的应用,也可能导致自己的微信账号密码等隐私信息泄漏。”曲子龙补充道。

特制变声器伪造上千种语音

不法分子获取了用户的微信账号、密码之后,便能通过物理手段登陆用户的微信。

曲子龙表示,所谓物理手段就是,用户使用某个终端授信登录过一次微信,此时微信会主动将这一终端视为允许登录微信的白名单,当这一终端下次登陆用户微信时,只要用户在自己的手机上点击了同意登陆,不出3秒便能登陆成功。

针对用户案例中提到的“怀疑扫了来历不明的二维码而造成盗号”,微信方面表示,“我们对这种情况有安全提醒及系统异常拦截,用户通过微信扫描二维码访问网页时,微信将判断该网站是否属于数据库白名单,如果网址在白名单上,用户可直接访问;如不是,则会被判断为非安全网址,用户需通过复制操作才能继续访问。”

需要注意的是,如果不法分子拿到了这些终端,他们极有可能使用这些终端重复登陆用户微信,甚至将用户本人从微信的另一端挤下来进行诈骗。

令马英杰疑惑的是,不法分子是如何模仿出与刘新声音相似度极高的语音的?

“通过清理僵尸粉、安装第三方抢红包插件等操作,不法分子便能够从中获取用户本人的声音。随后,他们会借助特制的变声器对相近声音的音色、音调进行调整使之变无限与受害者的声音相近,通过特制的变声器,一个人的声音可以伪造出几百甚至上千种不同的声音频率。”曲子龙说道。

实际上,在用户眼中与自己声音相似度很高的中性语音,不法分子眼中相似度不到20%。

曲子龙表示,中性声音有很多方式,比如女生在睡不醒、生病状态时的声音就基本都是一个音,很难分辨。即便对方产生了怀疑,不法分子在诈骗的过程中也可以以一句生病、感冒、嗓子不舒服等原因蒙混过关,轻易骗过对方的信任。

被盗号了怎么办?

如何保护自己的微信隐私?

微信官方建议,在使用微信的过程中,如用户发现任何违法乱纪的行为,应当第一时间向公安机关报案,并通过微信客户端的投诉功能向微信举报,我们将积极配合公安机构进行处理。

另外,鉴于微信账号已经成为用户个人重要标识,账号安全是微信安全的根基,我们建立了微信“帐号保护”机制、紧急冻结功能,以及防诈骗提醒机制等。

所谓帐号保护机制,即用户开启“帐号保护机制”后,更换设备登录需要提供短信验证码,即使密码被盗,由于骗子无法接收到短信验证码,也是无法在其他手机上登录自己的微信帐号的,从而大幅度提高微信安全系数。

防诈骗提醒机制则是,微信从最初的产品设计就针对诈骗等有害信息设置有效的应对措施。 曾有诈骗记录的帐号在添加好友的时候,系统会根据安全策略向被添加用户发送防诈骗提醒。

需要注意的是,除了不要乱用第三方的“清粉”、不要随意下载第三方插件如“抢红包”“微商辅助”等,还能如何保护自己的微信安全?

曲子龙表示,通过微信自身的安全机制就能很容易排查出非安全授信设备,具体排查可以在微信【我-设置-账号与安全-登陆设备管理】中查看,将不是自己的设备及时删除。

另外,在一些公共场所使用WiFi上网时也要特别注意,恶意软件会通过某种特殊的方式,在微信软件上“套”一层壳,来获取用户的隐私内容,尤其是从事微商或代购的人员在电商平台上购买的第三方微信辅助,同样存在很高的泄漏隐私的风险。

另外,微信方面也为避免用户号码被盗提出了建议:

微信密码不要设置过于简单,不要设置成与其他产品相同的密码;手机上不要安装非官方微信客户端,或非法插件;不要随意点开广告链接以避免手机被植入木马;微信绑定的邮箱或其他绑定关系一旦出现泄密,请尽快修改绑定关系的密码;无论他人以任何理由索要你的微信账号、密码、短信验证码等个人信息,坚决不要提供。

9999.jpg

]]>
“薅羊毛”黑灰产链调查:犯罪群体低龄化明显 Sun, 15 Dec 2019 01:08:51 +0800 近日,多名在校学生利用“闪电退款”服务规则诈骗网购平台被起诉,引起社会关注。有网友评论称,“把自己前途都薅没了”。今年以来,办理该案的上海市长宁区人民检察院已受理相关案件35件40人,诈骗金额6000余元到24万余元不等,目前已对其中18人提起公诉。检察机关在办案过程中发现,相关案件的犯罪群体低龄化明显,其中不乏在校学生。

 随着网络商品交易日益发达,“薅羊毛”现象越来越常见。类似“双11”这样的大型促销活动,更是“羊毛党”的盛宴。检察机关在办案过程中发现,相关案件的犯罪群体低龄化明显,其中不乏在校学生

“薅羊毛”不仅对电商平台经营者的发展不利,也损害了消费者的权益。防治“薅羊毛”,最重要的是平台和商家要做好相关工作,包括相关规则、制度的制订。一旦出现问题,或被别人恶意解释,可以寻求法律帮助,申请撤销

此前,还有一家水果网店因为操作失误,将“26元4500克水果”设置成了“26元4500斤”。某up主发现后,带领粉丝涌入网店疯狂下单,导致店铺相关商品产生了高达700万元的订单金额。之后,被“薅羊毛”的店铺发出公告,声称因为此次操作失误,店铺已无力承担,即将倒闭。

随着网络商品交易日益发达,“薅羊毛”现象越来越常见。近日,《法制日报》记者对此进行了采访。

羊毛党骗退款牟利 或超低价买入商品

据介绍,根据“闪电退款”服务规则,符合要求的会员申请退货并寄出商品后,即可收到平台的退款,无需等待商品抵达平台仓库。此次在校学生利用“闪电退款”服务规则诈骗网购平台一案中,犯罪嫌疑人均是通过申请退货骗取平台的退款,但实际上并未将商品退回,而是占为己用或者出售牟利。

《法制日报》记者在采访中了解到,“薅羊毛”现象不只存在于电商平台,通常情况下,在涉及卡券优惠、优惠码、现金红包类等情况时,都可能会产生“薅羊毛”现象。

此前,根据北京市海淀区人民检察院发布的消息,1993年出生的黄小天使用脚本程序,批量虚假注册了某母婴App的20万个账号,并筛选出两万多个可以参加“奶粉买一赠一活动”的账号出售谋利。通过这个途径买奶粉的的“羊毛党”,“薅”走奶粉约两万多桶。

今年1月,某社交电商被曝出存在优惠券bug,发出大量可重复领取的100元无门槛通用券。随后,该社交电商发表声明称,1月20日晨,有黑灰产团伙通过一个过期的优惠券漏洞盗取数千万元平台优惠券,进行不正当牟利。针对此行为,平台已在第一时间修复漏洞,并对涉事订单进行溯源追踪。同时,已向公安机关报案,并将积极配合相关部门对涉事黑灰产团伙予以打击。

今年7月,不少“薅羊毛”群疯传一条某视频网站免费赠送一年VIP年卡的链接,该链接被分享到社交网站后,大量用户涌入该视频网站领取会员,导致网站崩溃。随后,该视频网站官方表示,这是黑灰产恶意冒领以及转售该网站VIP会员权益的行为。

类似“双11”这样的大型促销活动,更是“羊毛党”的盛宴。“双11”过后,《法制日报》记者加入到一个“薅羊毛”社交群中,不少成员分享了在同一家女包店铺的“神价”订单。

据了解,在“双11”当天,多名该群成员从某女包网络旗舰店,仅花费10元左右便购买到了价格200多元的女包。群内首先发现此项优惠漏洞的成员说:“我买了两个包,除了号召群里的朋友们去买,还告诉两个亲戚朋友去买,就是不知道卖家会不会发货”。

随后,《法制日报》记者联系到该女包旗舰店工作人员。对方称,已注意到了这些超低价订单,但并不清楚“羊毛党”是如何操作的,竟能购买到如此超低价的女包。“好在这些订单数量不算太多,而且其中有些款式是清仓款,亏损自然有,但还是会正常发货,以避免被投诉造成的更大损失。”

该社交群内的一名资深“羊毛党”告诉《法制日报》记者:“我关注了特别多的‘羊毛’博主,都是能人。搞活动的时候就得一直盯着他们的微博,要不然就会错过优惠。‘双11’前一天和‘双11’当天,我足足盯了26个小时,非常不容易,但买到低价商品会很有成就感。”

定时发布优惠信息

粉丝众多商家追捧

《法制日报》记者发现,网上有不少专门“薅羊毛”的博主。这些博主除了发布优惠信息外,还拥有自己组织的一个或多个社交群,多平台运营,带领粉丝“薅羊毛”。

萧明(化名)是一个拥有70万粉丝的“薅羊毛”博主,每天会发布15条左右的优惠信息。她告诉《法制日报》记者,自己运营这样一个账号纯粹是“无心插柳柳成荫”。

“我有自己的工作,‘薅羊毛’这件事完全是我的业余工作。刚开始就是自己喜欢通过一些返利软件寻找优惠信息,后来看到特别便宜的优惠信息就会分享到微博,赚取一定的返利,然后就逐渐把这个账号发展到了现在。”萧明说。

萧明说,目前她获得商品优惠信息的方式主要有三种,一是粉丝投稿,二是商家主动合作,三是通过软件发现优惠信息。

“现在的推广费往往大于低价商品的成本。就店铺而言,除了一些网红开的店,其他店铺如果要做起来,前期需要投进去的推广费数额非常大,所以很多商家选择赔钱赚流量,先把店铺流量刷上去再说。这样一来,他们也会找到我们这些拥有一定粉丝数量的博主,将优惠给我们,让我们号召粉丝去购买这些低价商品,帮助店铺增加流量。”萧明说。

《法制日报》记者在采访中注意到,一些超低价“薅羊毛”订单产生的背后,的确也可能暗藏商家的营销意图。

连日来,随着被“薅羊毛”到闭店的水果网店事件不断发酵,有网友曝出,该网店系抄袭他人店铺信息致使错误发生,且店铺负责人称自己是四川果农的身份也被质疑是伪造。

萧明认为,针对此次引发大众关注的“薅羊毛”事件,不论店铺是否有意借“羊毛党”恶意炒作,该up主明知卖家设置存在错误,还带领粉丝恶意下单,寻求赔付,对于这样的行为,她是不赞同的。

“当时我也看到了这条优惠信息,但是没有发。闭着眼睛想想也知道,26元4500斤橘子肯定不会发货,这样还拍下订单的目的,肯定是为了赔偿。我是喜欢‘薅羊毛’,但绝对不会‘杀羊’。我们只是业余‘薅羊毛’占小便宜的人,但一定要对得起良心。”萧明说。

北京理工大学法学院副教授、中国法学会民法学研究会副秘书长孟强认为,“羊毛党”的行为可能会侵犯其他消费者应有的权益。“有一些优惠是商户愿意给所有消费者的福利,但是被‘羊毛党’都拿走之后,就可能导致商户不敢再提供给消费者正常优惠,损害了其他消费者应该得到的合法权益,同时也会助长社会上占便宜、不诚信的风气。”

中国政法大学传播法中心研究员朱巍认为,“薅羊毛”除了对正常消费的用户利益有所损害之外,对于电商平台经营者来说,也不利于其长期发展。

“对于一些电子商务经营模式,比如电商平台、微商、社交电商等,在发展过程中也难免会出现一些漏洞,这些漏洞可能是技术漏洞,也可能是经营者粗心大意导致的。如果发生了这种情况,没有给予善意的提醒,而是一拥而上‘薅羊毛’,可能就会把处于发展阶段的商家扼杀在摇篮里。”朱巍说。

防治关键在经营者

运用法律积极维权

近日,北京互联网法院在网络购物典型问题新闻通报会中点名“羊毛党”。相关负责人直言此类案件的司法困难,“对于消费者的行为是否为恶意‘薅羊毛’行为,商家很难举证,其调查取证对法院来说也存在很大困难。”

孟强认为,随着移动终端的普及,我国手机用户数量飞速增长,再加上电商快速发展,这些都导致信息传播更加便捷。一旦“薅羊毛”有利可图的消息广泛传播,将形成一种放大效应。“其实这些‘薅羊毛’的案例并不鲜见,发生此类情况可以通过对合同效力的解释来解决问题。”孟强说,“羊毛党”违反了民事法律之中的诚实信用原则。

“现在所说的‘薅羊毛’,其实大多数恐怕很难说是违法犯罪,主要还是不符合民法中的诚实信用原则。因为‘薅羊毛’分好几种情况,有一种就是商家自己定价错误或计量单位标记错误,比如10000元标成1元,或者100克标成100斤等,这种情况确实是卖家自己的错误。如果消费者看到之后正常下单,很难界定这种行为是违法的,但属于违反诚实信用原则。”孟强说。

朱巍则认为,明显看出是商家标错价,却依旧钻空子,还要其兑现承诺,不仅违反诚实信用原则,如果数额很大,还可能涉及敲诈勒索,情节严重的也有可能会触犯刑法。

“如果卖家是基于重大误解挂出的商品信息,比如以为自己写的是4500克,没想到写的是4500斤,相当于对自己的行为产生了重大误解,在订立合同时就已经对自己显失公平。对于这种重大误解,根据合同法,是可以请求法院去变更或者撤销合同的。或根据民法总则,也可以请求法院撤销合同,双方互相返还商品金额和商品即可。”孟强说。

“防治‘薅羊毛’,最重要的还是平台和平台内的商家要做好相关工作,包括规则、制度的制订,不要犯标错价这种错误,这是一个最基本的要求。同时,商家也要诚信,不要搞恶意营销。在互联网环境下,要求零差错不太现实,一旦出现问题,或被别人恶意解释,可以寻求法律帮助,申请撤销。”朱巍说。

孟强认为,网络平台应该积极作为,担负起责任,不能完全按照平台流程,任由系统自行处理。“假设商家被投诉了,平台直接扣保证金,这就太不负责任。人工客服要及时跟进、分清是非,查看双方提供的证据,判断哪方更有道理。如果一味指望店主自己起诉到法院,这种方法过于耗费人力物力成本。如果交易平台能及时介入,会更加便捷、有效率,也节省成本。归根结底,更多的还是要提高网络经营者的法律意识和风险意识,搞优惠活动时谨慎一点,一旦出错,要加强自我保护意识。”

9999.jpg



]]>
无孔不入: NextCry勒索病毒利用PHP最新漏洞攻击传播 Sun, 15 Dec 2019 01:08:51 +0800 概述

近日,奇安信病毒响应中心在日常样本监控过程中发现NextCry Ransomware的新进入渠道,其正在利用PHP-fpm远程代码执行漏洞(CVE-2019-11043)针对Linux服务器发起攻击尝试入侵。

NextCry勒索是一种新型勒索软件,该勒索由Python编写并使用PyInstall打包成Linux ELF二进制文件,采用RSA-2048和AES-256-CBC算法加密指定目录下的文件,无法解密,从勒索名可以看出,作者试图致敬2017年的WannaCry勒索蠕虫。

基于奇安信威胁情报中心的多维度大数据关联分析,目前该勒索主要攻击安装有Nextcloud软件的服务器,不排除后面会扩大攻击范围,为了避免恐慌情绪产生,我们披露此次攻击事件的部分细节,并给出解决方案。

漏洞分析

Nextcloud是一款开源的用于创建网络硬盘的客户端-服务器软件,常被用来搭建私有云盘,类似于我们熟知的Dropbox。

CVE-2019-11043是一个十月底刚被披露出来的PHP相关漏洞,相应的技术细节已经公开,利用此漏洞可以非常简单稳定在受影响的服务器上远程执行任意命令,在启用PHP-Fpm的Nginx服务器上运行某些版本的PHP 7有可能受到攻击。没有运行Nginx服务器理论上则不会产生影响,但值得关注的是Nextcloud软件默认情况下开启Nginx服务器,所以几乎所有的基于Nextcloud的云盘都会受到影响,这或许是攻击者选择Nextcloud的原因,Nextcloud官方在第一时间已经发布公告。


漏洞出现在fpm_main.c中,当path_info被%0a字符截断时,值会被归零:



由于path_info可控,通过将指针地址归零,从而将_fcgi_data_seg结构体中的pos指针归零,控制FCGI_PUTENV函数的结果:



通过分析FCGI_PUTENV的内部实现,我们发现只要构造合理的数据包,就可以控制PHP任意全局变量:



一旦攻击者控制了PHP全局变量,便可以在相应目录下包含NextCry勒索程序,进而执行勒索。


样本分析


文件名称nextcry
文件类型Linux  ELF
MD58c6ed96e6df3d8a9cda39aae7e87330c
打包程序PyInstaller

通过对PyInstaller解出来的pyc进行反编译后得到了勒索的源代码,从mian函数中可以看出,一旦入侵成功之后,便会读取nextcloud的配置文件来搜索Nextcloud文件共享并同步数据目录。



之后开始使用AES加密文件,并使用内置RSA公钥加密AES密钥:



将加密后的AES密钥保存到keys.ENC文件中,最后生成勒索信index.php:



勒索信如下,要求支付0.025比特币,目前无法在不支付赎金的情况下解密。



结论


奇安信威胁情报中心目前已经检测到有用户中招,请网站管理员更新PHP软件包并更新Nginx配置文件,将相关项改为:



IOC


MD5:


8c6ed96e6df3d8a9cda39aae7e87330c

勒索比特币钱包地址:


1K1wwHCUpmsKTuDh9TagfJ4h2bKMxLkjpY

联系邮箱:


aksdkja0sdp@ctemplar.com

参考链接


[1]https://help.nextcloud.com/t/urgent-security-issue-in-nginx-php-fpm/62665

[2]https://paper.seebug.org/1063/

[3]https://blog.qualys.com/webappsec/2019/10/30/php-remote-code-execution-vulnerability-cve-2019-11043

9999.jpg

]]>
Palo Alto Networks 员工个人信息泄露 Sun, 15 Dec 2019 01:08:51 +0800 著名网络安全公司 Palo Alto Networks 遭遇不寻常数据泄露,现雇员及前雇员个人信息均流出。令这家加州圣克拉拉市知名网络安全公司更为蒙羞的是,这些包含雇员身份证号的数据甚至曝光网上。

据报道,2019 年 2 月 Palo Alto Networks 的安全防线即出现缺口,与该公司有关的一家第三方供应商无意将数据暴露到了网上。首先报道此事的媒体 Business Insider 宣称,此数据泄露的消息来源是该公司的一名前雇员。

在报道中,Business Insider 指出,遭泄数据库包含该公司员工姓名和生日,而且雇员独家个人信息只是该数据库中的一部分内容。

Palo Alto Networks 证实了遭遇数据泄露的消息。该公司披露,约有七名雇员的个人数据遭到泄露,该供应商的合约也在事发后立即终止了。但该公司选择不披露此第三方供应商的名称。

该事件已向相关部门通报,并告知了受影响的个人。Palo Alto Networks 发言人在声明中称:

他们非常重视我们雇员信息的保护,采取了措施防止类似事件再次发生。

就在几天前,趋势科技证实,一名 “恶意内部人” 用 “欺骗方式” 访问了其内部系统,将约 6.8 万客户的个人数据盗取并贩卖给了未知第三方。(数据包含姓名、电子邮件 ID 和公司票号。)尽管官方调查仍在进行,趋势科技立即禁用了对其账户的非授权访问,并终止了与涉事员工的合约。

Business Insider 报告:

https://www.businessinsider.com/cybersecurity-firm-palo-alto-networks-employee-data-breach-2019-11?r=US&IR=T

9999.jpg

]]>
勒索行为很难被抓住,2020年勒索软件将继续流行 Sun, 15 Dec 2019 01:08:51 +0800 640.webp (11).jpg

勒索软件将在2020年继续困扰组织,因为网络加密恶意软件攻击背后的网络罪犯几乎没有被抓住的风险。因此,对攻击者而言,风险很小,但潜在的回报却很大。

在过去的一年中,有许多勒索软件攻击的例子,已经有受害者屈服于攻击者的勒索要求,他们通常支付数十万美元的比特币以换取其网络的安全。

在许多情况下,受害者会支付赎金,因为赎金被视为恢复网络最快,最便宜的手段。

但是,使勒索软件真正吸引网络犯罪分子的原因在于,勒索攻击不仅相对容易实施,而且具有极高的回报潜力,并且几乎没有机会对勒索行为负责。

只有在少数情况下,发起勒索软件活动的网络犯罪分子会被绳之以法。

在大多数情况下,那些使用勒索软件的人不必担心因其行为而入狱,尤其是当他们对世界另一端的组织发起攻击时。

例如,某些类型的恶意软件在东欧不会执行,如果勒索软件发现位置处于东欧且系统配置为俄语,通常会自行终止。

这并不是在国际上对勒索软件进行监管的唯一例子。美国司法部指责两名伊朗人  制造和分发SamSam勒索软件的行为极不可能被德黑兰送往美国。美国还对一名朝鲜男子提出了起诉书,他们认为朝鲜人是全球性的WannaCry勒索软件爆发和其他袭击的罪魁祸首 - 但平壤却表示该人不存在。

因此,勒索软件将继续是一种有利可图且相对无风险的网络犯罪形式,随着我们进入2020年,这种流行只会持续下去。

9999.jpg

]]>
等级保护2.0时代今日正式开启 Sun, 15 Dec 2019 01:08:51 +0800 网络安全等级保护2.0标准于2019年12月1日正式实施,等级保护2.0时代今日正式开启。

网络安全等级保护制度是我国网络安全领域的基本国策、基本制度,等级保护标准在1.0时代标准的基础上,注重主动防御,从被动防御到事前、事中、事后全流程的安全可信、动态感知和全面审计,实现了对传统信息系统、基础信息网络、云计算、大数据、物联网、移动互联网和工业控制信息系统等级保护对象的全覆盖。

(以上信息整理于微信公众号:信息安全国家工程研究中心)


关于等保2.0的若干问题小结:

1、单位自建的云计算平台如何开展等级保护工作?

在云计算环境中,将云计算平台作为基础设施、云租户系统作为信息系统,分别作为定级对象进行定级。对于大型云计算平台,当运管平台共用时,可将云计算基础设施与运管平台系统分开定级,责任分离,分别定级、各自备案。云计算基础设施的安全保护等级不低于其所支撑的业务系统的最高等级。


针对私有云用户,也要按照云平台和云租户信息系统,分别进行定级。并且云平台的安全等级不低于其所支撑的业务系统的最高等级。


对于云计算平台和云租户信息系统,则分别依据等保2.0基本要求中的通用要求和云计算安全扩展要求来开展等级保护工作。对于私有云,定级流程为云平台先定级测评,再将已定级应用系统向云平台迁移。

2、部署在公有云上的信息系统如何开展等级保护工作?

依据等保2.0,在对公有云环境下开展等级保护工作应遵循如下原则:

(1)应确保云计算平台不承载高于其安全保护等级的业务应用系统。


(2)应确保云计算基础设施位于中国境内。


(3)云计算平台的运维地点应位于中国境内,如需境外对境内云计算平台实施运维操作应遵循国家相关规定。


(4)云计算平台运维过程产生的配置数据、鉴别数据、业务数据、日志信息等存储于中国境内,如需出境应遵循国家相关规定。


公有云开展等级保护一般分为两个部分:

(1)是云平台本身,在等保2.0里面明确提出:对于公有云定级流程为云平台先定级测评,再提供云服务。


(2)是云租户信息系统,比如政府单位门户网站系统,在迁入公有云平台后,还需要对这个门户网站独立定级备案、进行等保测评。其中,涉及云平台部分的内容可以不重复测评,测评结论直接引用即可。


不同云计算服务模式需要采取不同职责划分方式:

(1)对于IaaS(基础设施即服务)模式,云服务商的职责范围包括虚拟机监视器和硬件,云租户的职责范围包括操作系统、中间件和应用数据。


(2)对于PaaS(平台即服务)模式,云服务商的职责范围包括硬件、虚拟机监视器、操作系统和中间件。云租户的职责范围为应用和数据。


(3)对于SaaS(软件即服务)模式,云服务商的职责范围包括硬件、虚拟机监视器、操作系统、中间件和应用,云租户的职责范围包括部分应用职责及用户使用职责。

3、对于工业控制系统如何开展等级保护工作?

依据等保基本要求中的安全通用要求和工控扩展要求来对工业控制系统开展等级保护工作。


工业控制系统主要包括现场采集/执行、现场控制、过程控制和生产管理等特征要素。其中,现场采集/执行、现场控制和过程控制等要素应作为一个整体对象定级,各要素不单独定级;生产管理要素可单独定级。


对于大型工业控制系统,可以根据系统功能、责任主体、控制对象和生产厂商等因素划分为多个定级对象。


工控扩展要求保护主要包括:室外控制设备防护、工业控制系统、网络架构安全、拨号使用控制无线使用控制、控制设备安全、漏洞和风险管理、恶意代码防范管理等方面内容。


工业控制系统安全扩展要求主要针对现场控制层和现场设备层提出特殊安全要求,其他层次使用安全通用要求条款,对工业控制系统的保护需要根据实际情况使用基本要求。


4、等保2.0测评是否更加严格?

等保测评结论由1.0时代的符合、基本符合、不符合改为2.0时代的优、良、中、差四个等级。其中测评结论“差”的判别依据是被测对象中存在安全问题,而且会导致被测对象面临高等级安全风险,或被测对象综合得分低于70分。

640.webp (10).jpg

简单而言,“差”是在系统中存在高危风险或得分低于70分。相当于等保1.0时代中的不符合。但是可以看出来等保的及格线已经由原先的60分提高到了70分,等保对安全的最低要求已经在显然提高。因此,未来想通过等保测评需要扎扎实实地把安全工作做好才行。当然,等保不仅是一项合法合规工作,更是一项基本的安全工作,通过落实等级保护可以提高网络安全综合防御能力和水平,实现动态防御、主动防御、纵深防御、精准防护、整体防控以及联防联控。让更多的网络运营者从等保2.0时代中获取等保建设的红利。

9999.jpg

]]>
黑五半价?2100万Mixcloud用户数据暗网售价2000美元 Sun, 15 Dec 2019 01:08:51 +0800 本月初,一名黑客入侵了英国在线音乐流媒体服务Mixclouud,窃取了超过2100万个用户账户。这些数据目前在暗网上出售,从最开始的4000美金降价到2000美金。

上周五,代号为“A_W_S”黑客与部分外媒联系透露了该数据泄露的消息,并提供了部分数据样本,包含用户名、电子邮件、Hash密码、用户国籍信息、注册日期、最后登陆日期以及IP地址等。

根据数据转储中包含的最后一个用户账户信息,数据泄露似乎是发生在11月13日或者更早的时候。经过验证,黑客提供的这些数据样本确实是真实的。

在11月30日,Mixcloud官方发布安全公告回应了这次数据泄露的消息,表示正在积极调查这件事情。此外,Mixcloud补充说明:“大多数Mixcloud用户通过Facebook身份验证进行了注册,在这种情况下,我们不存储密码。”

同时,Mixcloud也表示不会存储完整的信用卡号和邮寄地址之类的信息。而Mixcloud存储的密码也是使用Hash加密的,基本不大可能被黑客破解。即便如此,Mixcloud仍然建议用户修改密码,尤其是在多个服务中使用相同密码的情况下。

值得注意的是,这名“A_W_S”黑客在今年8月份声称负责入侵了Canva(1.37亿用户)、Chegg(4000万用户)、Poshmark(3600万用户)、PromoFarma(2600万用户)、RoadTrippers(2500万用户)、StockX(680万用户)、Storenvy(2300万用户)和Wirecard巴西(4800万用户)多个服务。这些网站的数据也随即在暗网中以不同的价格出售哦。

当被要求提供数据样本是,黑客只提供了Canva、Chegg、PromoFarma和RoadTrippers四家样本。在上述提到的8个公司中,只有Canva、Chegg和StockX公开承认发生了数据泄露。

9999.jpg

]]>
美商用短信服务商TrueDialog数据泄露 涉数千万条短信 Sun, 15 Dec 2019 01:08:51 +0800 由美国企业短信服务提供商TrueDialog管理的一个包含有数千万条企业向潜在客户发送短信的数据库被泄露到网上。该数据库存储有TrueDialog客户数年来收发的短信,由于没有密码,数据也没有经过加密,任何人都可以获得该数据库内容。

TrueDialog.jpgTrueDialog-Database-Leak-1.jpgTrueDialog-Database-leak-696x112.jpg

TechCrunch通过查看该数据库部分内容发现,数据库不但包含短信内容,还包含有电话号码。有的短信甚至包含大学的财务信息、带有折扣码的企业促销信息、以及双因素认证码和其他安全信息,用户的网络帐户可能因此被黑客访问。另外,数据库中还包含有TrueDialog客户的用户名和密码。

互联网时代,信息泄露可谓防不胜防。优衣库、万豪酒店、华住酒店等知名企业和品牌都曾发生程度不等的信息泄露事件。

9999.jpg



]]>
安全周报(11.25-12.01) Sun, 15 Dec 2019 01:08:51 +0800 安全周报(1125-1201)

1、企业组织易受勒索软件攻击的10大原因

勒索软件攻击并没有假期,攻击者无时无刻不在尝试突破目标防护。勒索软件的威胁不断增加,在2019年第一季度,研究人员注意到勒索软件种类增加了118%。

最近IBM进行的一项研究发现,绝大多数接受调查的组织仍然没有做好妥善应对网络安全事件的准备,他们在整个企业中没有网络安全事件应对计划。随着时间的推移,遭受重大安全事件的可能性会越来越大。

研究分析,以下10个安全问题会增加企业组织成为勒索软件攻击受害者的可能性。

一、系统老旧

二、对资产及其漏洞的可见性有限

三、忘记执行系统强化策略

四、依靠外界保护和防病毒

五、扁平网络拓扑

六、依赖在线备份

七、对用户访问实施有限控制

八、放弃安全监视和分析

九、安全意识低

十、无事件响应计划或领导团队

1LhxQIdJRMWgxmmNCkclgHNLCgDmzl3Q02pEmS0q.png

 2、2020年2月1日起,未完成ICP备案和等级保护备案的教育移动应用备案将被撤销,并予以通报

《教育移动互联网应用程序备案管理办法》已经教育部网络安全和信息化领导小组审定同意。现印发请遵照执行,并就做好教育移动互联网应用程序备案工作通知如下。

一、高度重视教育移动应用备案工作。

二、分阶段完成教育移动应用备案工作

三、设置ICP备案和等级保护备案缓冲期。

四、加强政策宣传解读。

五、提高事中事后监管能力。

微信截图_20191201181741.png

  3、勒索软件渗透纽约警察局的指纹数据库 导致系统关闭

据外媒Softpedia报道,在一个承包商连接到网络以配置数字显示器后,勒索软件感染了运行纽约警察局(NYPD)指纹数据库的计算机。该事件发生在2018年10月,导致NYPD在总共23台计算机上发现感染后,关闭了LiveScan指纹跟踪系统,该部门官员声称该感染“从未执行”。

尽管NYPD已经避免了一场网络噩梦,但该部门网络中潜在的勒索软件感染可能会带来灾难性的影响。

1574836529110083.jpg

 4、HPE即将出现的SSD存储系统故障

惠普企业(HPE)在11月15日发布最新消息,“一家供应商于11月15日通知HPE,某些HPE服务器和存储产品中使用的一些固态硬盘存在固件缺陷。

HPE声明:“SAS SSD在工作32,768小时后的数据丢失,SSD和数据都无法恢复“,但是若将数据备份在不同驱动器上的用户能够恢复数据,而且想要继续使用设备只能通过安装固件补丁。

受影响的HPE服务器: HPE ProLiant,Synergy,Apollo,JBOD D3xxx,D6xxx,D8xxx,MSA,StoreVirtual 4335和StoreVirtual3200不受影响: HPE系统3PAR,Nimble,Simplivity,XP和Primera

在固件版本低于HPD8的HPE SAS SSD都会深受其害,升级到HPD8版本可以解决该问题。

微信截图_20191201183240.png

 5、首都网警发布预警通报:OPENSSL加密组件存在重大风险隐患

 首都网警发布网络安全预警通报称,据国家网络与信息安全信息通报中心监测发现,互联网SSL协议实现组件OPENSSL部分版本存在重大安全隐患,可能导致信息泄露等风险。

此次事件发现:一是众多RSA数字证书密钥存在被破解的可能性,二是部分低版本的OPENSSL组件存在内存泄露漏洞。

以上问题涉及电信、金融、能源、医疗等多个重要行业部门,以及部分高校、企业邮件系统和多款网络设备。在通信数据被截获的情况下,攻击者可利用上述漏洞获取用户账号口令、业务系统数据、邮件内容等敏感信息。

针对该情况,请大家做好防范。一是将原有RSA数字证书替换为RSA2048国产数字证书。二是及时提示本部门、本行业、本辖区重点单位,排查OPENSSL组件使用情况,督促相关单位及时将OPENSSL升级至最新版本。三是加强网络安全意识,开展隐患排查和安全加固,提高防范能力。

微信截图_20191201183521.png

6、某国产儿童手表泄露5000多儿童信息 还能假扮父母打电话

 11月26日,测试机构AV-TEST的物联网测试部门发布报告称,他们发现一款由中国公司制造生产的智能儿童手表存在严重安全隐患,其中有5000多名儿童及其父母的个人详细信息和位置信息被曝光。

此外,SMA-WATCH-M2手表安装在父母手机上的移动应用程序也存在安全漏洞。

攻击者可以将其安装在自己的设备上,在应用程序的主配置文件中更改用户ID,并将其智能手机与孩子的智能手表配对,而无需输入帐户的电子邮件地址或密码。

攻击者将智能手机与孩子的智能手表配对后,便可以使用该应用程序的功能通过地图跟踪孩子,甚至可以拨打电话并与孩子进行语音聊天

1574928199134130.jpg

]]>
首都网警发布预警通报:OPENSSL加密组件存在重大风险隐患 Sun, 15 Dec 2019 01:08:51 +0800 IT之家11月30日消息 今日中午,首都网警发布网络安全预警通报称,据国家网络与信息安全信息通报中心监测发现,互联网SSL协议实现组件OPENSSL部分版本存在重大安全隐患,可能导致信息泄露等风险。

以下为首都网警《关于OPENSSL加密组件存在重大风险隐患的预警通报》全文:

据国家网络与信息安全信息通报中心监测发现,互联网SSL协议实现组件OPENSSL部分版本存在重大安全隐患,可能导致信息泄露等风险。SSL(Secure Socket Layer)协议是一种为网络通信提供安全以及数据完整性的安全协议,该协议在传输层对网络进行加密。OPENSSL是实现SSL协议的一款开源软件,其提供了多种密码算法、常用密钥以及数字证书封装管理等功能。

一、基本情况

此次事件发现:一是众多RSA数字证书密钥存在被破解的可能性,二是部分低版本的OPENSSL组件存在内存泄露漏洞。

二、影响范围

以上问题涉及电信、金融、能源、医疗等多个重要行业部门,以及部分高校、企业邮件系统和多款网络设备。在通信数据被截获的情况下,攻击者可利用上述漏洞获取用户账号口令、业务系统数据、邮件内容等敏感信息。

三、安全提示

针对该情况,请大家做好防范。一是将原有RSA数字证书替换为RSA2048国产数字证书。二是及时提示本部门、本行业、本辖区重点单位,排查OPENSSL组件使用情况,督促相关单位及时将OPENSSL升级至最新版本。三是加强网络安全意识,开展隐患排查和安全加固,提高防范能力。

9999.jpg

]]>
披露报告:流氓家族窃取用户浏览隐私活动 Sun, 15 Dec 2019 01:08:51 +0800

一、概述

近期毒霸安全团队通过“捕风”威胁感知系统监控到一起大规模窃取用户浏览器隐私的流氓病毒活动,源头为“上海**网络科技有限公司”旗下的“**看看”软件,除了收集主流浏览器的历史访问记录外,还会定向收集“m****v.com”的cookies上报,推测属于第三方广告营销平台合作行为,可能被用于广告营销商业效果评估等用途。

通过深入溯源关联分析,我们还发现用于推送浏览器隐私收集插件的LUA云控模块“LuaRtl.dll”还广泛存在于“快*”、“小*记事本”、“小*便签”、“*风pdf ”、“麦*助手”、“A**看图”、“光*搜索”、“7***浏览器”、“小*壁纸”等数十款软件中。除此之外,我们还发现多类涉及用户隐私收集或劫持的病毒插件模块,包括“htkkinforeport_dll.dll”、“UrlReport_dll.dll”、“BrowserLink.dll”等。从我们的长期监控来看,上述软件的云控机制也在不断迭代升级,加强对抗监控分析能力,在技术上强调灵活性和隐蔽性,攻击过程文件不落地,恶意模块通过LUA脚本引擎、Shellcode注入以及DLL反射装载等“无文件”技术手段下放执行,配合环境规避、代码混淆、反调试等灵活对抗机制,给传统安全软件的监控检测也带来一定的困扰。

上述软件大多有正常软件功能包装,安装活跃用户较多,如此大规模的隐私窃取活动在业内也比较罕见。浏览器访问历史、Cookies对于用户来说不仅是非常重要的个人隐私,更是账号身份安全认证信息,这样重要的个人信息被不法软件大规模收集,被用于“大数据”分析对用户进行 “精准画像”,包括“定制信息推送”、“精准广告投放”、“用户行为预测”、“转化分析”、“反作弊分析”等等商业用途。“技术无罪”的论调下,黑与白的界限似乎变得模糊,一方面是用户和信息之间更快速高效的匹配,商家降低获客成本;但是另一方面是个人隐私无限制的泄露,随之而来的各种广告骚扰和安全隐患。无论如何用户对于自身隐私被收集利用应该具备知情权,所以我们决定披露这一起针对用户浏览器隐私进行收集窃取的流氓病毒活动。

云控模块推送隐私收集插件的主要流程如下:

二、技术分析

由于涉及产品众多,本文以好*看看为例进行分析,好*看看主进程Hao**KanKan.exe会启动当前目录下的viewuc.exe,传入加密参数执行,经过解密后的参数如下:

首先读取当前目录下的hao**uc.jpg图片,看似正常的图片但末尾被附加了加密的PE文件,解开后为updatechecker_dll.dll,该模块被内存加载后调用导出函数EnteyPoint传入解密后的参数执行。其另外两张同样也是隐藏PE文件分别为Report_dll.dll和Update_dll.dll:

进入updatechecker_dll模块后会对命令行参数进行解析后对指定的模块进行加载,这些模块都被加密被存放在了注册表中,在安装时被就下载存入,此公司旗下产品也都是以此种方式存放功能模块于注册表中。updatechecker对应于注册表项,mininews 和logo为需要加载的模块,logouc为Lua脚本。其中logo是Lua扩展模块,Lua脚本中的相关接口实现需要该模块支持。

在加载模块前会先查询云端MD5值与本地数据MD5进行对比,不相同则下载最新文件存入。以logo模块为例首先访问[http]://i.hao**kankan.com/logo/v1.0.0.2/super.gif.MD5

获取该模块MD5值,不相同再访问[http]://i.hao**ukankan.com/logo/v1.0.0.2/super.gif进行下载。Logo解密后为Lua脚本扩展模块LuaRtl.dll.dll,对应执行的脚本为logouc:

在进行上述模块解密前还会进行调试器攻击,先调用BlockInput函数让鼠标和键盘失灵,再通过PEB中的BeingDebugged调试标志位检测是否在调试,如果正在调试则去桌面寻找fuck.debug文件,不存在直接返回不恢复键盘和鼠标输入,造成调试器和整个桌面卡死的假象:

进入解密及模块加载功能的函数时,其函数头部代码已经被混淆处理:

通过混淆代码后会解密出Lua脚本和Lua扩展模块,对Lua扩展模块进行内存加载,同时载入已编译的lua脚本,后期工作逻辑交给Lua脚本处理。对Lua脚本还原后其执行逻辑是在main函数中执行完弹窗后,会调用execute_urlreport函数进行url和cookie收集,该函数进行参数封装后调用接口函数invoke_exe_inject,此函数在LuaRtl.dll中实现。在LuaRtl.dl中根据传入的参数,解密出注册表中的隐私收集模块logo_UrlReport (htkkinforeport_dll.dll),同时挂起创建傀儡进程E320.TMP.exe 注入shellcode和htkkinforeport_dll.dll模块,创建远程线程执行shellcode,由shellcode内存加载起htkkinforeport_dll.dll并调用导出函数e开始工作:

在htkkinforeport_dll.dll模块中,首先获取用户硬件信息计算出唯一的UID标识用户,再判断使用该模块的是旗下哪款产品,通过解密出字符串访问相应的注册表键值获取安装数据上报。

获取浏览器历史记录包括了市面上的绝大部分浏览器:chrome,2345,360chrome,360safe,世界之窗,liebao,opera,qq,uc,IE,Mozilla,sogou。以chrome浏览器为例,历史记录都是以Sqlite数据库存储的,先复制一份数据到临时目录,通过Sqlite3库打开数据库执行SQL语句进行查询,在查询前会获取上一次的时间戳,获取此时间戳以后的新内容。为了直观展示以数据库查询工具做演示执行sql语句:

这些数据最终会被封装成json格式加密后通libcurl库发送到服务器http://h*kkinforeport.***ingzao.com/12.gif:

浏览器的Cookie与历史记录相似也是Sqlite数据库,同样复制到临时目录,打开Cookie数据库进行查询操作。与查询历史记录不同的是,Cookie定向收集所有包含m****v.com域名的cookie。

Cookie值在数据库是加密存放在encrypted_value字段中的,但是加密是基于本地账户登录凭证的所以解密需要在本地进行,通过调用API CryptUnprotectData进行解密并发送。

三、总结

当下谈及用户隐私安全,普遍更多的侧重于和个人信息结合更紧密的移动端APP案例,但是PC端同样保存了非常多有价值的用户隐私信息,相对于移动端,PC系统的安全权限设置更加宽松开放,隐私窃取的技术难度反而更低,并且现阶段的用户隐私保护政策并不完备,对于部分流氓团伙和软件厂商来说就成为可乘之机。所以我们安全团队建议用户定期清理浏览记录,毒霸用户可以使用隐私清理保护功能防止个人信息泄露。

IOC

[MD5]

36593363D3F09A6D65F6670BDC115241

8E139186B82AD88B50**A04E2C82BFE1

8D85BFC97A1DF511BBD477DB32A42E72

E5A5B8A5A9402E9154A392A**F4D9811

0B9C5CB6201EEE56AB332AEB44802D9B

7B059DE910C2BDF3D051174F50**C71B

75A1AE668EB6773C18CB0613A8E4BFA5

5B60924BE0F70B5D9525021C234B2070

6CCDA533C**43BAE4372858715183CF3

9FCD1DE8B96A7DDF0BDFDBAD494E4708

9999.jpg

]]>
高仿APP功能繁多 背后却隐藏了不少猫腻 Sun, 15 Dec 2019 01:08:51 +0800   高仿、山寨这些词我们都不陌生。随着移动互联网的发展,“高仿”也走入了我们的数字生活。记者在调查中发现,这些“高仿APP”看似可以帮助我们处理交通违章、查询社保、生活缴费等,功能繁多,但背后却隐藏了不少猫腻。

  在手机应用市场内,记者搜索发现了大量以提供相关服务为诱饵吸引用户下载的APP。记者输入公积金,查询到诸多提供公积金查询的手机APP。公积金管家、快查公积金、公积金查询……单从名称和功能上判断,这么多相似APP该下载哪个,还真是傻傻分不清楚。

  这个名为公积金管家的应用仅在一个应用市场,下载量就达到70余万次,但当记者点击进去却发现,其核心功能无法查询。里面充斥的全部是各种信用卡的办卡广告以及小额贷款的广告。而另外一个号称能够快查公积金的APP,同样无法进行查询。但在菜单中,却有社保代缴等功能。记者只需要输入身份证信息后,便立即提示可以通过这一平台进行社保缴纳的付款操作。

  另外,在隐私条款中,一些APP暗含很多非正常的要求。比如这个12123违章查询的APP,就在其隐私政策中明确声明,将车辆信息分享给第三方平台,对车辆进行估值。这个公积金管家则要求利用您开放手机读取和发送短信,读取联系人、拍摄照片视频、还有录音等多项涉及用户隐私的功能。这些条款与其所提供的服务内容并没有相关性。

  制作成本低 高仿APP产业链完整

  数据显示,去年网络购物优惠活动高峰期间,一个月时间内虚假仿冒主流购物APP的数量接近4000个,覆盖设备超过30万个,高仿APP已形成危害用户网络安全的产业链。那么这些鱼龙混杂的高仿类APP是如何堂而皇之的出现在各大应用市场呢?

  记者打开淘宝,输入APP制作,就有大量可以提供这一服务的技术公司。记者表示要制作一款交通违章查询的APP,并明确表示要高仿官方的设计。客服人员表示,这类产品的开发周期大概在1到2个月左右,根据功能的复杂程度,价格也不尽相同,一般在2-5万左右。

  那么查询服务所需要的数据来自哪里呢?例如交通违章查询是一个高仿APP比较集中的领域。在沟通中,对方技术人员为记者提供了一个出售数据接口的渠道。记者在其官网发现,这些渠道根据查询的次数收费,提供数据查询的对接服务。两万次的违章查询收费在1000元,成本一次5分钱。而这类公司多数只从事数据对接服务,并不会对查询的主体进行询问。

  记者发现交通违章、天气、快递、身份证识别等,都可以在数据公司找到相应的服务内容。但是对数据的用途,却并没有过多的限制。同时,在淘宝中,记者也发现了大量可以为APP刷评论,进行排名优化的服务。评论价格0.5元到5元一条,还可以为这些虚假评论进行置顶。这样,高仿APP开发者只需要数万元,就可以完成一个真实度极高的高仿APP的全流程开发。

  多管齐下 遏制APP高仿之风

  高仿APP成本低廉,对用户的隐私和财产安全带来不小伤害。如何规范治理?用户又该如何规避风险,谨防上当?

  业内人士表示,多数应用商店在APP上架时,机器审核只进行病毒和兼容性测试,人工审核一般只审核名称、内容是否存在违规,对是否存在模仿,多数应用市场都疏于甄别。APP数量众多,疏于监管、监管难度大,成为其泛滥的诱因。

  北京师范大学网络法治强国中心执行主任吴沈括说:

  “从具体的规范来说的话,包括一方面是我们国家的网络安全法,另一方面呢,包括我们目前民法典的规定,同时呢,在一些极端的案件当中有违背了刑法有关个人信息的保护,有关网络信息系统的安全,以及有关数据安全的相关的形式规范,从这个意义上来说,它侵犯的法律规范应当是多样的,在个案当中呢,有一些不同的突出的表现。”

  专家建议公安、市场监管、网信等部门进行联合执法,加大对高仿APP查处打击的力度,同时也呼吁广大用户,增强自我保护意识。对此类APP具有主动识别和规避风险的能力。尽量不要在不明链接里输入个人信息,造成信息泄露。在下载时也要注意选择正规的官方软件下载,不要下载破解版等来历不明的软件,也可以在下载的时候去查看提供APP的服务商是哪家公司,尽量下载企业服务商,并查找核实其工商或者网信办的备案信息。

  北京师范大学网络法治强国中心执行主任吴沈括说:“从平台制度的角度来看的话,首当其冲的是平台的经营方对于进入到平台当中的这个高仿的APP它有一个主体的资质审核问题,从监管,执法以及司法的角度上来说,从目前来看,我们看到就是对于APP的一些治理过程当中存在一些,一个是这个协同治理相对这个程度比较低。对于一些违规违法的APP下架这个处理的过程时间比较长,对于高仿APP责任主体的这个查证是比较困难的,相关的法律规范总体上还是有待进一步的明确和完善。”

9999.jpg

]]>
流行商用远控木马厂家Imminent关闭,写马卖马买马一条龙被端 Sun, 15 Dec 2019 01:08:51 +0800 今日,欧洲刑警组织今天宣布关闭Imminent Monitor RAT背后的网络犯罪组织构建的攻击网络,Imminent Monitor RAT,一个商业远控,可让网络犯罪分子远程完全控制受害者的计算机。

640.webp (15).jpg

该商用的恶意软件在地下市场销量跻身前十。

640.webp (17).jpg


Imminent Monitor远控,简称IM-RAT,本次抓捕行动针对的是买卖双方,即写马卖马买马的统统都要要抓起来。


根据盘问得知,IM-RAT被卖给了14,500多名买家,并被124个国家的成千上万的受害者使用。


此前还曾被针对哥伦比亚进行APT攻击的盲眼鹰组织用于攻击,这次事件过后估计该组织又会改用新的木马了。


640.webp (18).jpg


刑警还关闭了Imminent Monitor的服务器和专门用于销售网站,并替换称下面的图片,一定程度上可以抑制木马的购买。

地址:

https://imminentmethods.net/

640.webp (19).jpg

以前:

640.webp (20).jpg

640.webp (21).jpg


该远控可窃取在线银行和其他金融帐户的登录凭据。


功能大概如下,这是此前他们在一些论坛进行打广告的截图

640.webp (22).jpg

640.webp (23).jpg

640.webp (24).jpg640.webp (25).jpg640.webp (26).jpg


根据欧洲刑警组织的新闻稿,当局还于今年6月对澳大利亚和比利时的IM-RAT的开发商和雇员签发了搜查令,目的可能是确定该工具的转售者和用户。


此外,在澳大利亚,哥伦比亚,捷克,荷兰,波兰,西班牙,瑞典和英国也逮捕了IM-RAT的13个大客户。


640.webp (27).jpg


执法人员还从大客户手中缉获了430多种设备,并继续对大量计算机和IT设备进行司法鉴定。


而买了IM-RAT后,就可以享受终身访问权限,其成本仅为25美元


而这款木马,实际上已经被破解外网也有源代码,鉴于管理办法,请自行外网Github搜索。


参考链接:

https://www.europol.europa.eu/newsroom/news/international-crackdown-rat-spyware-which-takes-total-control-of-victims%E2%80%99-pcs

9999.jpg

]]>
网信办新规:明年起,AI造假音视频不得随意发布 Sun, 15 Dec 2019 01:08:51 +0800 近日,国家互联网信息办公室、文化和旅游部、国家广播电视总局联合印发了《网络音视频信息服务管理规定》(以下简称《规定》),自2020年1月1日起施行。国家互联网信息办公室有关负责人表示,出台《规定》,旨在促进网络音视频信息服务健康有序发展,保护公民、法人和其他组织的合法权益,维护国家安全和公共利益。


640.webp (14).jpg


《规定》明确,网络音视频信息服务提供者应当依法取得法律、行政法规规定的相关资质;网络音视频信息服务提供者应当落实信息内容安全管理主体责任,配备与服务规模相适应的专业人员,建立健全用户注册、信息发布审核、信息安全管理、应急处置、从业人员教育培训、未成年人保护、知识产权保护等制度,具有与新技术新应用发展相适应的安全可控的技术保障和防范措施,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、安全性和可用性。


《规定》明确,网络音视频信息服务提供者基于新技术新应用上线具有媒体属性或者社会动员功能的音视频信息服务,或者调整增设相关功能的,应当按照国家有关规定开展安全评估;网络音视频信息服务提供者和网络音视频信息服务使用者利用基于深度学习、虚拟现实等的新技术新应用制作、发布、传播非真实音视频信息的,应当以显著方式予以标识,不得利用基于深度学习、虚拟现实等的新技术新应用制作、发布、传播虚假新闻信息。


《规定》明确,网络音视频信息服务提供者应当部署应用违法违规音视频以及非真实音视频鉴别技术,发现音视频信息服务使用者制作、发布、传播法律法规禁止的信息内容的,应当依法依约停止传输该信息,采取消除等处置措施;网络音视频信息服务提供者应当建立健全辟谣机制,发现网络音视频信息服务使用者利用基于深度学习、虚拟现实等的虚假图像、音视频生成技术制作、发布、传播谣言的,应当及时采取相应的辟谣措施,并将相关信息报网信、文化和旅游、广播电视等部门备案。


《规定》强调,网络音视频信息服务提供者和网络音视频信息服务使用者违反《规定》的,由网信、文化和旅游、广播电视等部门依照《中华人民共和国网络安全法》《互联网信息服务管理办法》《互联网新闻信息服务管理规定》《互联网文化管理暂行规定》《互联网视听节目服务管理规定》等相关法律法规规定处理;构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。

附:

网络音视频信息服务管理规定

第一条 为促进网络音视频信息服务健康有序发展,保护公民、法人和其他组织的合法权益,维护国家安全和公共利益,根据《中华人民共和国网络安全法》《互联网信息服务管理办法》《互联网新闻信息服务管理规定》《互联网文化管理暂行规定》《互联网视听节目服务管理规定》,制定本规定。

第二条 在中华人民共和国境内从事网络音视频信息服务,应当遵守本规定。

本规定所称网络音视频信息服务,是指通过互联网站、应用程序等网络平台,向社会公众提供音视频信息制作、发布、传播的服务。

网络音视频信息服务提供者,是指向社会公众提供网络音视频信息服务的组织或者个人。网络音视频信息服务使用者,是指使用网络音视频信息服务的组织或者个人。

第三条 各级网信、文化和旅游、广播电视等部门依据各自职责开展网络音视频信息服务的监督管理工作。

第四条 网络音视频信息服务提供者和使用者应当遵守宪法、法律和行政法规,坚持正确政治方向、舆论导向和价值取向,弘扬社会主义核心价值观,促进形成积极健康、向上向善的网络文化。

第五条 国家鼓励和指导互联网行业组织加强行业自律,建立健全网络音视频信息服务行业标准和行业准则,推动网络音视频信息服务行业信用体系建设,督促网络音视频信息服务提供者依法提供服务、接受社会监督,提高网络音视频信息服务从业人员职业素养,促进行业健康有序发展。

第六条 网络音视频信息服务提供者应当依法取得法律、行政法规规定的相关资质。

第七条 网络音视频信息服务提供者应当落实信息内容安全管理主体责任,配备与服务规模相适应的专业人员,建立健全用户注册、信息发布审核、信息安全管理、应急处置、从业人员教育培训、未成年人保护、知识产权保护等制度,具有与新技术新应用发展相适应的安全可控的技术保障和防范措施,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、安全性和可用性。

第八条 网络音视频信息服务提供者应当依照《中华人民共和国网络安全法》的规定,对用户进行基于组织机构代码、身份证件号码、移动电话号码等方式的真实身份信息认证。用户不提供真实身份信息的,网络音视频信息服务提供者不得为其提供信息发布服务。

第九条 任何组织和个人不得利用网络音视频信息服务以及相关信息技术从事危害国家安全、破坏社会稳定、扰乱社会秩序、侵犯他人合法权益等法律法规禁止的活动,不得制作、发布、传播煽动颠覆国家政权、危害政治安全和社会稳定、网络谣言、淫秽色情,以及侵害他人名誉权、肖像权、隐私权、知识产权和其他合法权益等法律法规禁止的信息内容。

第十条 网络音视频信息服务提供者基于深度学习、虚拟现实等新技术新应用上线具有媒体属性或者社会动员功能的音视频信息服务,或者调整增设相关功能的,应当按照国家有关规定开展安全评估。

第十一条 网络音视频信息服务提供者和网络音视频信息服务使用者利用基于深度学习、虚拟现实等的新技术新应用制作、发布、传播非真实音视频信息的,应当以显著方式予以标识。

网络音视频信息服务提供者和网络音视频信息服务使用者不得利用基于深度学习、虚拟现实等的新技术新应用制作、发布、传播虚假新闻信息。转载音视频新闻信息的,应当依法转载国家规定范围内的单位发布的音视频新闻信息。

第十二条 网络音视频信息服务提供者应当加强对网络音视频信息服务使用者发布的音视频信息的管理,部署应用违法违规音视频以及非真实音视频鉴别技术,发现音视频信息服务使用者制作、发布、传播法律法规禁止的信息内容的,应当依法依约停止传输该信息,采取消除等处置措施,防止信息扩散,保存有关记录,并向网信、文化和旅游、广播电视等部门报告。

网络音视频信息服务提供者发现不符合本规定第十一条第一款要求的信息内容的,应当立即停止传输该信息,以显著方式标识后方可继续传输该信息。

第十三条 网络音视频信息服务提供者应当建立健全辟谣机制,发现网络音视频信息服务使用者利用基于深度学习、虚拟现实等的虚假图像、音视频生成技术制作、发布、传播谣言的,应当及时采取相应的辟谣措施,并将相关信息报网信、文化和旅游、广播电视等部门备案。

第十四条 网络音视频信息服务提供者应当在与网络音视频信息服务使用者签订的服务协议中,明确双方权利、义务,要求网络音视频信息服务使用者遵守本规定及相关法律法规。对违反本规定、相关法律法规及服务协议的网络音视频信息服务使用者依法依约采取警示整改、限制功能、暂停更新、关闭账号等处置措施,保存有关记录,并向网信、文化和旅游、广播电视等部门报告。

第十五条 网络音视频信息服务提供者应当自觉接受社会监督,设置便捷的投诉举报入口,公布投诉、举报方式等信息,及时受理并处理公众投诉举报。

第十六条 为网络音视频信息服务提供技术支持的主体应当遵守相关法律法规规定和国家标准规范,采取技术措施和其他必要措施,保障网络安全、稳定运行。

第十七条 各级网信、文化和旅游、广播电视等部门应当建立日常监督检查和定期检查相结合的监督管理制度,指导督促网络音视频信息服务提供者依据法律法规和服务协议规范网络音视频信息服务行为。

网络音视频信息服务提供者应当遵守相关法律法规规定,依法留存网络日志,配合网信、文化和旅游、广播电视等部门开展监督管理执法工作,并提供必要的技术、数据支持和协助。

第十八条 网络音视频信息服务提供者和网络音视频信息服务使用者违反本规定的,由网信、文化和旅游、广播电视等部门依照《中华人民共和国网络安全法》《互联网信息服务管理办法》《互联网新闻信息服务管理规定》《互联网文化管理暂行规定》《互联网视听节目服务管理规定》等相关法律法规规定处理;构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。

第十九条 本规定自2020年1月1日起施行。

9999.jpg

]]>
Magento Marketplace 数据遭到泄露,用户信息被出售 Sun, 15 Dec 2019 01:08:51 +0800 如果你曾经在Magento官方市场上注册过一个帐户来购买或出售任何扩展程序,插件或电子商务网站主题,那么你现在要立刻修改你的密码了。


640.webp (13).jpg


拥有Magento电子商务平台的公司Adobe今天公布了一项新的数据泄露事件,Magento Marketplace 用户的帐户信息被暴露给了黑客。


据该公司称,黑客利用了其网站上一个未公开的漏洞,并用未经授权的第三方身份访问数据库并获取了注册用户的信息,包括客户(买方)和开发人员(卖方)。


数据库中的信息包括受影响的用户的姓名,电子邮件地址,MageID,账单和送货地址信息以及一些商业信息。


尽管Adobe没有透露或者可能他们也不知道Magento市场何时遭到的攻击,但该公司已经确认其安全团队于11月21日发现了这一漏洞。


除此之外,Adobe还保证,黑客无法破坏Magento的核心产品和服务,也就是说黑客无法通过访问Marketplace上托管的主题和插件来添加任何后门或恶意代码,用户可以安全下载。


“ 11月21日,我们发现了Magento Marketplace的漏洞。我们当时暂时关闭了Magento Marketplace以解决此问题。目前Marketplace已经重新上线。此次事件并未影响任何Magento核心产品或服务的运行” ,Adobe商务产品和平台副总裁Jason Woosley 发表声明说


Adobe没有透露受影响的用户和开发人员的数量,但它已经开始通过电子邮件通知受影响的客户。


尽管Adobe并未明确提及帐户密码也已泄露,但他们仍然建议用户更改该密码,如果用户在其他网站使用了相同的密码,最好也对这些密码进行更改。

9999.jpg

]]>
《教育移动互联网应用程序备案管理办法》全文 Sun, 15 Dec 2019 01:08:51 +0800 640.webp (10).jpg

各省、自治区、直辖市教育厅(教委),新疆生产建设兵团教育局,部属各高等学校,各直属单位:


《教育移动互联网应用程序备案管理办法》(以下简称《办法》)已经教育部网络安全和信息化领导小组审定同意。现印发给你们,请遵照执行,并就做好教育移动互联网应用程序(以下简称教育移动应用)备案工作通知如下。


一、高度重视教育移动应用备案工作。落实备案制度是规范教育移动应用管理的基础。请各单位高度重视备案工作,明确职能部门统筹教育移动应用管理工作,组织开展备案工作。各省级教育行政部门应组织本地区的企业、社会机构等单位做好提供者备案,指导本地区的教育行政部门和学校做好提供者备案和使用者备案。


二、分阶段完成教育移动应用备案工作。备案工作将依托国家数字教育资源公共服务体系(网址:http://app.eduyun.cn,以下简称公共服务体系)常态化开展。请各单位于2019年12月1日至2020年1月31日前完成对现有教育移动应用的备案工作,并结合实际建立本地区、本单位的备案信息动态更新机制,确保数据准确性。


三、设置ICP备案和等级保护备案缓冲期。2019年12月1日至2020年1月31日为备案缓冲期,期间ICP备案和等级保护备案不作为备案的前置条件。请教育移动应用提供者在2020年1月31日前完成ICP备案和等级保护备案,并及时在公共服务体系上传、更新信息。2020年2月1日起,未完成上述两个备案的教育移动应用备案将被撤销,并予以通报。


四、加强政策宣传解读。各单位应向教育移动应用提供者和使用者认真解读教育移动应用相关政策文件,介绍《办法》明确的备案流程和要求,指导工作人员开展备案工作。加强对广大师生使用教育移动应用的宣传教育,介绍相关政策,鼓励在校师生共同维护切身利益。


五、提高事中事后监管能力。各单位应以备案为基础建立监测预警通报机制,及时发现、处置问题隐患和安全事件。省级教育行政部门应建立本地区的监测预警通报机制,并与教育部进行数据共享。2020年2月1日起,公共服务体系将向社会公众提供备案信息查询,接受社会监督。


联系人及电话:教育部科技司  潘润恺 010-66096457

       中央电化教育馆 刘 学 010-66490222


教育部办公厅


教育移动互联网应用程序备案管理办法


第一章 总则


第一条 为做好教育移动互联网应用程序(以下简称教育移动应用)备案管理工作,加强教育移动应用事中事后监管,根据国家“放管服”改革精神和《教育部等八部门关于引导规范教育移动互联网应用有序健康发展的意见》(以下简称《意见》)的要求,制定本办法。


第二条 本办法所指的教育移动应用是以教职工、学生、家长为主要用户,以教育、学习为主要应用场景,服务于学校教学与管理、学生学习与生活以及家校互动等方面的互联网移动应用程序。


第三条 教育移动应用的备案分为提供者备案和使用者备案。提供者备案按照“全国统一标准、各省分头实施、单位属地备案”的原则开展,使用者备案根据隶属关系向主管教育行政部门备案。


第四条 教育移动应用备案依托国家数字教育资源公共服务体系(以下简称公共服务体系)为教育移动应用提供信息化支撑,实现备案全程网上办理,一省备案全国有效,切实减轻企业和学校的负担。备案结果网上公示,接受社会公众查询。


第二章 工作职责


第五条 教育部负责统筹教育移动应用备案管理工作,制定教育移动应用备案管理办法,明确备案条件。组织直属单位和部属高校开展教育移动应用使用者备案。指导省级教育行政部门做好本地区备案工作。


第六条 省级教育行政部门负责统筹本地区教育移动应用备案管理工作。组织本地区的教育移动应用提供者开展提供者备案,组织所属单位并指导本地区的教育行政部门和学校做好使用者备案。


第七条 教育移动应用提供者(以下简称提供者)应按照本办法的要求通过公共服务体系进行提供者备案,并配合注册地省级教育行政部门做好备案审核工作。


第八条 教育行政部门及其所属单位、各级各类学校是教育移动应用的机构使用者(以下简称使用者),应建立教育移动应用的选用制度,选用已完成提供者备案的教育移动应用,并通过公共服务体系进行使用者备案。


第三章 提供者备案


第九条 提供者应在完成互联网信息服务(ICP)备案和网络安全等级保护定级备案后,进行提供者备案。


第十条 教育行政部门、学校、企业和社会组织均向其住所地或注册地省级教育行政部门进行提供者备案。省级教育行政部门开发的教育移动应用向教育部进行备案。小程序、企业号等平台第三方应用统一到平台方提交备案信息,并由平台方向教育部共享备案信息。


第十一条 提供者备案实行“一省备案,全国有效”。提供者在注册地备案后,在其他地区开展业务无需重复备案。各子公司(分公司)或分支机构开发的教育移动应用,由总公司统筹汇总并向总公司注册地的省级教育行政部门进行备案。


第十二条 提供者应登录公共服务体系,准确填写《教育移动应用提供者备案信息表》(附件1),包括企业信息、业务系统信息和教育移动应用信息。


第十三条 省级教育行政部门对其填报的备案信息进行核验,信息有误的应在10个工作日内通过公共服务体系反馈提供者。提供者应在收到反馈后的10个工作日内补充提交材料,逾期未反馈视同放弃备案。公共服务体系与国家数据共享交换平台建立信息共享,为备案信息审核提供数据支撑和决策参考。


第十四条 省级教育行政部门对备案材料齐全、信息准确且符合要求的提供者,应在备案信息提交10个工作日内完成备案并编号,备案信息将通过公共服务体系向社会公布。提供者应在教育移动应用中公示备案信息以便用户查询。


第十五条 提供者已有备案信息发生变化的,应在10个工作日内登录公共服务体系更新备案信息,并重新进行备案核验。


第十六条 教育部将建立完善与网信、电信、公安等职能部门的协助机制,共同指导应用商店等移动应用分发平台落实监督责任,规范教育移动应用的管理,并推动将提供者备案作为教育移动应用上架应用商店的重要条件。


第四章 机构使用者备案


第十七条 自主开发、自主选用和上级部门要求使用的教育移动应用均应进行使用者备案。


第十八条 使用者应登录公共服务体系,在已完成提供者备案的教育移动应用中进行勾选,并填写《教育移动应用使用者备案信息表》(附件2),完成使用者备案。


第十九条 根据“逐级管理、分级负责”的原则,学校和所属单位的使用者备案信息由其主管教育行政部门进行确认,教育行政部门的使用者备案信息由上级教育行政部门进行确认。


第二十条 使用者已有备案信息发生变化的,应在10个工作日内及时登录公共服务体系更新备案信息,并提请重新确认。


第二十一条 使用者自主开发,服务于本单位内部管理且不对外单位提供服务的教育移动应用,应在使用者备案时勾选“自研自用”的选项,并提交提供者备案信息。自研自用的教育移动应用按行政隶属关系进行备案。


第五章 监督管理


第二十二条 通过公共服务体系公布提供者和使用者备案信息供社会公众查询。同时,在公共服务体系建立投诉举报通道,接受社会公众的投诉举报。


第二十三条 教育部对各地教育移动应用备案情况进行检查,定期通报教育移动应用备案工作进展。同时,将教育移动应用备案情况纳入网络安全责任制等相关考核评价。对备案工作落实不到位的教育行政部门和学校予以约谈、通报。


第二十四条 教育移动应用存在违法违规或违反《意见》要求且整改不及时的,将列入教育移动应用提供者黑名单,向教育系统通报,并撤销涉事教育移动应用备案。涉事单位六个月内不得再提交备案申请。


第六章 附则


第二十五条 本办法解释权归教育部。


第二十六条 各省级教育行政部门可根据本办法制定本地区教育移动应用备案的实施细则。


第二十七条 本办法自发布之日起实施。


附件1

教育移动应用提供者备案信息表

640.webp (11).jpg

1、单位性质包括政府机关、事业单位、企业、社会团体、民办非企业等。


2、单位有效证明包括:组织机构代码证书、统一社会信用代码证书、事业法人证书、工商营业执照、社团法人证书、民办非企业单位登记证书。单位有效证明需同时上传证明原件扫描件。


3、网络安全等级保护证明需上传等级保护备案证书原件扫描件。


4、域名为选填项。


5、每个应用应在公共服务体系中上传各版本的安装包。


6、带*号的,均为选择项,相关选项内设于系统当中。


7、安全认证号为中央网信办的App安全认证号,为选填项。


8、应用平台包括:IOS和安卓。


9、功能类型包括:学习类、管理服务类。


10、服务对象包括:学生(高等院校、职业院校、中小学、幼儿园)、家长、教师。


11、服务内容将根据服务对象和功能类型进行调整。


附件2

教育移动应用使用者备案信息表

640.webp (12).jpg

1、单位性质分为:教育行政部门、直属单位、学校。


2、单位有效证明优先为统一社会信用代码证书。没有统一社会信用代码证书可用统一机构代码。


3、使用对象包括教师、学生、家长。学生需填写教育阶段。


4、使用场景视不同用途的应用进行调整,以系统选项为准。


5、要求使用的教育移动应用需经集体决策,并签订协议或合同。推荐使用的教育移动应用不得与教学和管理行为挂钩。

9999.jpg

]]>
常州警方10省抓捕摧毁特大侵犯公民个人信息团伙 Sun, 15 Dec 2019 01:08:51 +0800 640.webp (7).jpg

天宁警方摧毁特大侵犯公民个人信息团伙。警方供图


受害人遍及全国 常州警方10省抓捕摧毁特大侵犯公民个人信息团伙

  

中新网常州11月30日消息,“先生你好,贷款需要吗?”“女士您好,市中心新开楼盘有需要吗?”“家长您好,您家小孩需要上辅导班吗?”……这样的骚扰电话你一定不陌生,但你可能没意识到泄漏这些信息的人已涉嫌犯罪。30日,江苏常州警方透露,“净网2019”专项行动又添一新战果,常州天宁警方破获一起人数众多的侵犯公民个人信息犯罪案件,一个庞大的贩卖公民个人信息的团伙被彻底摧毁,受害人遍布全国。

  

2018年5月初,常州天宁警方通过网上巡查发现,某网络聊天软件上有人大肆贩卖公民的个人信息,涉及交易信息量和金额特别巨大。


640.webp (8).jpg

  天宁警方摧毁特大侵犯公民个人信息团伙。警方供图

  

经专案组深度研判,警方逐步查明掌握一个盘踞全国、覆盖10多个省市的通过网络贩卖公民个人信息的特大犯罪网络。而这个网络甚至延伸到了境外,部分中间商从国内潜逃至越南、缅甸等东南亚国家,大肆倒卖公民个人信息。很快,这起案件被公安部挂牌督办。

  

“该犯罪团伙基本分为信息源头、中间商、下游客户等3个层级,呈一个个松散又相互关联的交易网络。”据常州市公安局天宁分局网安大队副大队长邹逸鑫介绍,在这条买卖个人信息的黑色利益链上,有人获取的公民个人信息便成了信息源头;中间商则利用在互联网形成的数据交易平台,大肆出售信息牟取暴利,而以境外中间商为代表的一大批“掮客”是整个侵犯公民个人信息黑产的关键中枢,他们长期从事公民个人信息非法交易,甚至垄断部分资源,与全国的信息源头和下游客户建立了紧密合作、资源共享关系;下游客户再利用这些公民个人信息实施通讯网络诈骗、网络盗窃、私家侦探、暴力讨债等犯罪行为,社会危害性极大。

  

鉴于案情重大、涉案人员遍布境内外,专案组在江苏省公安厅网安总队、公安部网安局的大力支持下,抽调100余名警力,先后分赴全国多省市开展集中收网行动,一举抓获犯罪嫌疑人40名,打掉信息源头13个,查获公民各类信息约6万余条,涉案总价值200余万元。而境外中间商经公安部统一指挥,由无锡警方集中出境抓获4人。

  

经审查,该团伙中13人为牟利,利用工作的便利从单位内部非法获取公民各类信息约6万余条后,通过网络聊天软件以每条1元到1000元不等的价格出售给中间商,中间商再将购得的上述信息通过微信方式并以每条加价2元到500元不等的价格转卖给下游中间商以及散户,谋取暴利。


640.webp (9).jpg

  天宁警方摧毁特大侵犯公民个人信息团伙。警方供图

  

“公民个人信息有着广阔的需求,各行业内部信息管理漏洞多、信息获取方便,造成‘侵公’犯罪成本低、收益高。”邹逸鑫说,如今,尽管公民个人信息滥用问题因通信和网络的发达而日趋严重,但警方不断大力度的打击还是有力震慑了此类犯罪。“部分犯罪嫌疑人因畏惧国内对该类犯罪的严打高压态势而藏匿于越南、缅甸等国家。但对于犯罪,公安机关一贯坚持虽远必诛。”同时,常州警方也提醒广大民众:个人在购买房屋、投资理财、登记快递等过程中,要注意手机号码、家庭住址等个人信息管理;相关企业更要完善内部管理制度,加强数据信息防护,加强对员工以及外包公司人员网络安全和法治教育,杜绝公民个人信息泄露。

  

目前,经江苏常州天宁法院公开开庭审理,瞿某、董某等30名被告人涉嫌侵犯公民个人信息案件,被告人被判处有期徒刑七个月至四年半不等的实刑。

9999.jpg

]]>
央视调查:5000多张人脸照片10元兜售 被用在哪儿? Sun, 15 Dec 2019 01:08:51 +0800
  随着人工智能和大数据的发展,人脸信息成为越来越重要的个人信息。它既可以用于刷脸支付,也可以用作安防准入等场景,但无论哪种场景,人脸都是直接关系到每个人财产甚至人身安全的关键信息。不过,记者调查发现,就是这样对于每个人如此关键的数据信息,却在网上被公开兜售,而且价格低廉。

  记者在互联网平台“转转”上以关键词“人脸数据集”搜索相关信息,迅速弹出了一件名为“人脸相关算法训练数据集”的商品,标价10元。记者打开商品介绍后看到,这个数据集包含五千多张人脸照片。很多还是一个人不同表情的脸部照片。

  照片没有经过所有者授权 被非法交易

  记者通过平台的聊天功能和销售者取得了联系。当记者询问销售者是否经过照片所有者的授权时,销售者表示,“经过授权的肯定不是这个价了”。就这样,没有经过照片所有人授权的人脸照片在互联网平台被公开兜售。 

  中国人民大学法学院副院长 杨东:非法交易的话对我们个人的隐私数据的侵犯是非常严重的。而且没有经过我们的允许,它会跟其它的一些个人的一些数据信息进行整合以后,非常精准地能够对人画像,从而从事非法的各种交易。 

  一份照片要价五毛至四毛不等 

  记者在百度一个名为“快眼”的贴吧,也发现有销售者在兜售人脸数据。记者联系到这位qq网名为“泯灭”的销售者,他告诉记者,不带身份证的大头照五毛钱一张,高清;还有一种是姓名、身份证照片、银行卡和手机号都有的,号称“四要素”,四块钱一份。记者了解到,这些数据可能被用于申请信用贷款,甚至注册公司,给泄露信息的用户带来巨大损失。 

  多款APP无协议采集人脸数据信息

  不仅仅是非法兜售,记者在调查中还发现,多款App还存在着随意收集人脸数据信息的情况。

  一款名为“人脸打分”的App,需要用户上传照片后,方能对用户的外表进行评价。但记者发现,这款App却没有任何协议来确保用户上传的人脸照片不被滥用。而这款名为“证件照随拍”的App同样如此。就这样,在没有任何使用协议的情况下,多款此种类型的App在随意采集用户的人脸数据信息。 

  中国政法大学传播法研究中心副主任 朱巍:一个App用户在使用的时候,按照我们国家关于App的这种规定必须得有网民协议,这个网民协议包括搜集个人信息范围、内容、使用的方式,以及删除的方式都必须做出具体的规定,这个显然是没有的。而且最重要一点,用户没有办法控制使用用途。 

  部分App过度索取人脸数据信息权利

  记者还发现,有的App对于用户的人脸数据信息采集过程中存在过度索取权利的问题。这款名为“颜值排行”的App在使用条款里就明确要求:“用户在任何时间段在App发表的任何内容,包括自拍的著作财产权,用户许可App开发者在全世界范围内免费地、长期性地、不可撤销地、可分许可地和非首批地使用的权利。”使用的权利也包括多个方面,包括但不限于复制权、发行权、出租权、展览权等。 

  中国政法大学传播法研究中心副主任 朱巍:就不管你把你这个图像、头像人脸识别的内容,用作什么内容你都不得干预,就相当于免费给它使用一样,而且不得撤回。所以这个是一个违反法律的规定,不管是按照消费者权益保护法还是按照网络安全法甚至按照合同法的规定,都已经严重违法了。 

 在App中加入过度索取人脸数据信息权利的条款,本身已经触犯了法律。除此之外,还有另一个问题,就是这些采集人脸数据信息的App是否能够保证他们采集的人脸数据不被泄露呢?

  以今年8月一款火爆网络的软件“ZAO”为例,这款App就因为用户隐私协议不规范、存在数据泄露风险等网络数据安全问题——比如人脸照片上传后不能撤销、默认授权“ZAO”及其关联公司有永久使用权等问题——被工信部约谈。而除了这家公司,工信部还曾以“存在用户个人信息收集使用规则、使用目的告知不充分的情况”约谈其它多家互联网企业。

  其实,随着人脸信息应用越来越多,人们对于它的安全意识也在逐渐提升。在浙江杭州,浙江理工大学副教授郭兵就由于不愿使用人脸识别,将杭州野生动物世界告上了法庭。这起国内消费者起诉商家“人脸识别使用”领域“第一案”,案件的焦点就集中在:究竟谁有权收集我们的人脸信息。 

  入园需“刷脸” 消费者退费未果诉园方 

  在杭州野生动物世界,持年票进入者需通过“刷脸”认证,方可入园。浙江理工大学副教授郭兵今年4月在这里录入指纹,办理年卡。但到了10月17日,郭兵收到动物园短信通知,年卡系统升级为人脸识别,原指纹识别取消,未注册人脸识别的用户在10月17日之后将无法入园,需尽快携年卡到动物园办理升级业务。 

  浙江理工大学副教授 郭兵:除了征得消费者的同意之外,我认为还应当告知消费者使用的目的和风险,让消费者真正的知情。

  动物园解释说,入园方式的变更主要为了方便消费者快速入园,人脸识别效率更高。 

  杭州野生动物世界品牌管理经理 袁晓琴:我们使用人脸的时候,可能两三秒就已经进去了。但是使用指纹的话,可能有时候它识别不是很灵敏,手指很干燥,或者手指受伤,那肯定是识别不进去的。会有这样那样的情况出现。  

  但郭兵认为,他的面部特征等个人生物识别信息属于个人敏感信息,一旦泄露,容易被滥用,危害到了人身和财产安全。他向动物园提出退还年卡的费用,但双方协商未果。2019年10月28日,郭兵向杭州市富阳区人民法院提起了诉讼。目前,杭州市富阳区人民法院已决定正式受理此案。

   在当下的信息社会背景下,怎样既促进人脸识别产业长远健康发展,又确保消费者的人脸信息等个人信息不被非法采集使用甚至交易?

  多位专家表示,每一个消费者都亟需提高个人信息安全意识,这是确保自身个人信息安全的第一步。 

  中国人民大学法学院副院长 杨东:我们每一个用户和消费者都应该提高我们保护个人隐私,个人数据信息的自觉意识和安全维护意识,我们接受任何服务的时候都要也认识到一个必要的原则,不能无限制的被商家对方采集我们的数据和信息。 

  专家们看来,互联网企业也要加强自律,建立起个人信息合规合法使用的行业标准。 

  中国社会科学院科学技术和社会研究中心主任 段伟文:企业应该有一种责任意识和担当,要从企业责任出发,主动地通过行业的协会,或者是企业自身产品生产过程中,他们要制订相应的伦理的一些规约,或者是运用这些产品的准则或者是标准。 

  在法学专家看来,则要把人脸信息使用的种种行为都纳入法律的监管范围内,尤其是要把处理人脸信息等个人信息的算法纳入到法律的监管范围。

 中国政法大学传播法研究中心副主任 朱巍:算法控制着这些数据,控制着个人信息如何使用,控制这些流动,控制它的这种商业范围都是算法在控制。所以我觉得下一步监管要把立法执法和算法结合起来。 

9999.jpg

]]>
开源编辑器 Atom 未经同意收集用户数据 Sun, 15 Dec 2019 01:08:51 +0800 Atom 是 GitHub 专门为程序员推出的一个跨平台文本编辑器。昨日,有用户给 Atom 提 issue 称其未经同意收集用户数据。“首次启动 Atom 时,它会在未经同意的情况下联系在 Amazon 服务器上运行的 Microsoft/GitHub 进程,并将我的 IP 地址和时间戳泄露给制造商,把我使用 Atom 的事实(通过出站请求)传输给成千上万的其他人和组织。”

这位名为 Jeffrey Paul 的用户表示是在首次启动 Atom 时遇到了该问题。他发现在自己的信息已经被收集并发送出去之后,主应用程序窗口才打开是否连接服务器的询问对话框。而这一问题 100% 能够复现,也就是说并非偶然事故。

Paul 指出,用户的 IP 地址以及跟踪/遥测/分析/自动更新目标主机 IP 等信息都在首次启动时被传输出去,前两个数据中还包括时间戳。“该元组(用户源 IP,atom.io 目标 ip,TCP 端口,TLS SNI 主机名,时间戳记)从用户计算机发送时,其使用情况信息就会泄漏给成千上万的不同人:ISP,托管提供商,网络交换,情报服务者,Microsoft 内部系统管理员,GitHub 系统管理员和 Amazon 网络管理员。用户根本没有机会选择退出,或是阻止它,甚至没有意识到它的发生。”

为此,Paul 感到气愤,并依照“间谍软件”的定义——间谍软件是一种软件,有时甚至在其不知情的情况下收集有关个人或组织的信息,并在未经用户同意的情况下将此类信息发送给另一个实体——将 Atom 归为间谍软件。

他还提到,这种情况的出现意味着 PR #12281 上的工作尚未完成。这是 2016 年 Atom 团队提出的“添加遥测同意设置”,该设置用于确定是否收集用户的使用信息。而目前,根据 Paul 的描述,甚至没有出现同意对话框,数据就已经被上传了。

Atom 团队的 Arcanemagus 随后在下方回复,表示“Atom 设计为在连接网络的环境中运行,可以执行诸如检查更新之类的操作而不会提示用户……您当然可以自由地阻止网络访问,并且如果您愿意,Atom 也可以在脱机模式下运行。”

但显然,这一说法不够有说服力,Paul 提出反击:“没有人说它不应该使用网络,它只是在用户授予其权限之前不应该使用网络,否则会造成数据泄漏,这就是同意对话框存在的意义。”

Arcanemagus 仍然认为阻止网络访问即可,还说,“这不是 Atom 团队当前有兴趣更改的东西”。

来自 Atom 团队的 Lee Dohm 发表了最终回应,承认遥测程序包不应该在单击按钮之前发送信息,并将调查它与 central.github.com 的过早连接。但另一方面,他坚持 Atom 的设计模式如此,剩下的部分,特别是自动更新检查,仍保留当前的设计方式。以及,再次表明,“如果您想要一个可以完全脱机工作且没有任何网络连接的编辑器,则 Atom 不适合您。”

此外,经过复现实验,Paul 还提出了另一个 issue,他发现即便明确拒绝同意并退出遥测,遥测信息还是会被发送。这一情况的复现率也为 100%。

在 2016 年那条添加遥测同意设置的 PR 下,又有网友展开了新的讨论。其中一名用户说道,“按目前的情况,这可能违反了 GDPR(General Data Protection Regulation,一般数据保护条例)。”

9999.jpg



]]>
利用工作便利 网上兜售公民个人信息 两男子被刑拘 Sun, 15 Dec 2019 01:08:51 +0800 扬州市高邮的王某在当地从事网络推销工作,前不久,为了提升业绩,在网上联系了一个卖家想买点个人信息。但是,对方一下子就提供了好几万条信息,这把王某给吓坏了,赶忙报了警。


640.webp (4).jpg


据了解,王某通过QQ购买了一万多条信息,但是看到了数据他自己感觉有些不对劲,怀疑这是不是触犯法律。


接到报警后,民警立即展开侦查,发现向王某出售信息的是一个网名为"情止于礼"的人。他兜售的个人信息包括姓名、手机号、身份证号、银行卡号以及家庭住址。


通过对QQ号的侦查,民警很快锁定了住在四川成都的蓝某,立即赶赴成都将其抓获。


被捕后,蓝某对其在网上出售公民个人信息的犯罪事实供认不讳。