政府舉措
信安標委下達2020年第一批推薦性網絡安全國家標準計劃
關鍵詞:網絡安全國家標準
2020年4月3日,國家標準化管理委員會下達 2020 年第一批推薦性國家標準計劃,該計劃共包含432項,涵蓋各行各業。其中新制定311項,修訂121項;有415項為推薦性標準,剩餘17項均為指導性技術文件。
其中,由全國信息安全標準化技術委員會歸口的標準項目共計16項,均為推薦性標準。僅有《信息安全技術 個人可識別信息(PII)處理者在公有云中保護 PII 的實踐指南》為新制定標準,應報批日期為2022年4月1日,該項目由山東省標準化研究院牽頭承擔。(來源:信安標委)
日本防衛省利用人工智能技術開展網絡防禦
關鍵詞:人工智能
根據最新消息,日本防衛省已宣佈2020年在網絡領域投資2.37億美元,包括開發基於人工智能的系統以應對網絡攻擊,新系統預計2022年可開展實際運用。該系統將自動檢測惡意電子郵件、判斷威脅登記,並對網絡攻擊做出反應。除此之外,日本防衛省還表示將花費3150萬美元購買網絡信息收集系統,以收集針對防衛省或自衛隊的網絡攻擊戰術、技術和程序信息。
日本防衛省明確表示,其面臨缺乏足夠數量網絡防禦工作人員的處境,必須更新手段,運用人工智能技術以減輕現有人員的工作壓力。目前,日本網絡防禦部隊規模僅為220人,防衛省計劃2020年內將這一規模增加至290人,進一步探索日本軍用網絡設備的網絡安全措施,並積極推進在日本政府全部網絡防禦系統中運用人工智能技術。(來源:中國新一代人工智能)
新加坡暫停教師使用Zoom在線授課,直到安全問題解決
關鍵詞:Zoom
據路透社報道,在為應對疫情采取封鎖措施的首周,學校停課,學生在線上課之後,新加坡決定暫停教師使用視頻會議工具Zoom進行在線授課,原因是“發生了一些嚴重的事件”。
隨著疫情期間,全球公司和學校都在廣泛使用Zoom Video Communications開發的會議應用,人們對這款應用的安全性和隱私問題的關注也日漸上升。
“這些事件非常嚴重,”教育部技術部門人員亞倫·盧(Aaron Loh)週五時說道,但未提供細節。“教育部目前正在調查兩起違規行為,如有必要,將向警方報案。作為預防措施,我們的教師將暫停使用Zoom進行授課,直到這些安全問題得到解決。”亞倫·盧還說,教育部將進一步向教師提供有關安全協議的建議,比如要求安全登錄以及不要向非課堂學生分享會議鏈接。
此前,德國已經禁用Zoom;本週谷歌也禁止在公司筆記本上使用Zoom的桌面應用。公司還面臨著集體訴訟。會議缺乏端對端的加密措施,也引起人們的廣泛關注。(來源:新浪科技)
網絡安全事件
拒絕付款後,SpaceX、特斯拉、波音的機密文件遭黑客洩露
關鍵詞:機密文件洩露
外媒 The Register 報道,由於沒有收到勒索款項,DoppelPaymer 在網上公開了關於 SpaceX,特斯拉,波音等公司的機密信息。
據悉,被洩露的信息包括 Lockheed-Martin 設計的軍事裝備的細節(比如反迫擊炮防禦系統中的天線規格)、賬單和付款表格、供應商信息、數據分析報告以及法律文書等。此外,Visser 與特斯拉和 SpaceX 之間的保密協議也在其中。
值得一提的是,這些機密信息均來自一家零部件製造商 Visser Precision。2020 年 3 月,DoppelPayme 入侵了 Visser Precision 的電腦並對其文件進行了加密,要求 Visser Precision 在 3 月份結束前支付贖金,否則將把機密文件內容公開至網上。
儘管 Visser Precision 僅是一家為汽車和航空業定製零件的製造商,但其客戶涵蓋了 SpaceX、特斯拉、波音、霍尼韋爾、Blue Origin,、Sikorsky、Lockheed Martin 等大型公司,其被竊取的機密文件也與這些公司相關。(來源:雷鋒網)
國內下載站提供的開源編輯器被發現捆綁了惡意代碼
關鍵詞:捆綁惡意代碼
安全公司報告,國內下載站西西軟件園提供的開源編輯器 Notepad++ 被發現捆綁了惡意代碼,而這個惡意腳本代碼與勒索軟件 WannaRen 有關聯,該勒索軟件可能通過國內下載站進行傳播。在中文搜索引擎百度搜索 Notepad++,排在前幾位的都是下載站,而不是官網 notepad-plus-plus.org,如果下載站的版本存在惡意代碼,那麼可能會有很多中國用戶受到影響。(來源:solidot)
春雨醫生、必勝客等20餘款APP存涉嫌隱私不合規行為
關鍵詞:APP隱私不合規
國家計算機病毒應急處理中心近期在“淨網2020”專項行動中對互聯網監測發現,20餘款外賣、醫療和在線教育類移動應用存在涉嫌隱私不合規行為。
這些移動應用的違法違規行為主要有三大方面:
一是未向用戶明示申請的全部隱私權限。具體App《美菜商城》、《蜂鳥跑腿》、《永輝生活》、《大潤發優鮮》、《luckin coffee》、《每日優鮮》《叮叮課堂》、《學霸君》、《人人講》、《直播雲》(、《課後網》、《叮噹快藥》、《藥師幫》、《健康雲》、《1藥網》、《智慧好醫院》、《春雨醫生》等。
二是未說明收集使用個人信息規則。具體App有《必勝客》、《平安好醫生》。
三是未提供有效的更正、刪除個人信息及註銷用戶賬號功能。具體App有《好大夫》、《妙健康》。
針對上述情況,國家計算機病毒應急處理中心將對這些App進行通報下架處理,同時提醒廣大手機用戶:一是要謹慎下載使用,避免個人信息受到安全威脅;二是應打開手機中防病毒移動應用的“實時監控”功能,對手機操作進行主動防禦,這樣可以第一時間監控未知病毒的入侵活動。(來源:網易新聞)
意大利電子郵件服務商被黑,60萬用戶數據在暗網出售
關鍵詞:電子郵件被黑
ZDNet從一位讀者提供的消息當中得知,目前有超過60萬Email.it用戶的數據正在暗網上被出售。這家意大利的電子郵件服務提供商周一向ZDNet表示:“不幸的是,我們必須確認,我們遭遇了黑客的攻擊。"
Email.it黑客攻擊在週日曝光,黑客聲稱實際入侵發生在兩年多前,即2018年1月,黑客入侵了Email.it數據中心,從服務器上拿走了任何可能的敏感數據。
另外,黑客們在2月1日試圖勒索Email.it,當時他們要求對方支付賞金,該公司拒絕支付,轉而通知了意大利郵政警察局。在勒索失敗後,黑客們現在正在以0.5到3個比特幣(3500到22000美元)不等的要價出售該公司的數據。這些數據庫包含了註冊了免費Email.it電子郵件賬戶的用戶信息。(來源:cnBeta)
數據統計
Sophos:至少有32款“吸費軟件”應用濫用App Store免費試用機制
關鍵詞:吸費軟件
在本週發佈的一份報告中,英國安全公司Sophos透露,有超過350萬iOS用戶安裝了 “吸費軟件”,這是一種相對較新的網絡詐騙。
某些應用的開發者利用了應用商店的政策,讓他們在你卸載之前要求你做更多的許可工作。這讓他們仍然可以向你的賬戶收費,通常是一次性支付少量的費用或廉價的月費,但這種吸費軟件應用則更進一步,要求你支付高額的費用,通常是數百美元。
去年,Sophos發現了50多個被安裝了不少於6億次“吸費軟件”,隨後谷歌在得知這些應用存在後,將其全部清理掉了,但新的應用卻依然不斷冒出,在安裝量上能夠與一些最成功的合法應用相媲美。
Sophos示,蘋果的App Store目前至少有32款盜版吸費應用,其操作手法與Play Store上的應用相同。只要3天的7天試用期一結束,這些應用就會收取費用。
這些App的下載量往往在50萬到100萬之間,特別是其中一款名為 "十二生肖大師Plus "的App,更是躋身於總收入最高的App之列,不知情的用戶看到這些數字,就會以為這些應用的受歡迎程度就是衡量其價值的標準,於是就會下載。(來源:cnBeta)
八成Exchange服務器仍易受到嚴重漏洞攻擊
關鍵詞:嚴重漏洞攻擊
近日,Rapid7公佈的一項安全調查顯示,2月份Exchange曝出的嚴重漏洞(CVE-2020-0688)至今依然有巨大的殺傷力,超過80%的公開Exchange服務器(已檢測到超過35萬臺Exchange服務器)仍然容易受到該嚴重漏洞的攻擊,研究人員警告說多個威脅組正在利用該漏洞。
研究人員最近使用掃描工具Project Sonar來分析面向Internet的Exchange服務器並嗅探出容易受到該漏洞影響的服務器。截至3月24日,在433,464檯面向Internet的Exchange服務器中,至少有357,629臺是易受攻擊的。
儘管Microsoft在2020年2月發佈了針對CVE-2020-0688的補丁程序,但是在攻擊者開始掃描服務器漏洞並使用免費的PoC漏洞和3月初發布的Metasploit模塊展開攻擊時,仍有太多組織尚未實施補丁。(來源:網絡)
漏洞速遞
駭客揭iPhone相機零時差漏洞獲蘋果賞金
關鍵詞:iPhone相機漏洞
蘋果於去年底在官網上發佈了最新的漏洞懸賞給付計劃,據外媒報道,蘋果近日已向一名駭客支付了7.5萬美元獎勵,因該名駭客於Safari中發現了多個零時差漏洞(zero-day vulnerability,又稱作零日漏洞),其中一些漏洞可用於劫持iOS或macOS設備上的相機。
據《富比士》報道,Ryan Pickren於去年12月向蘋果披露了其從Safari中發現的7個零時差漏洞,其中3個漏洞使其可透過誘騙用戶開啟惡意網站的方式來劫持用戶iPhone的相機,同樣的方法也適用於Mac上的網路攝影機。透過蘋果的賞金計劃,Ryan Pickren獲得了由蘋果支付的7.5萬美元賞金,而蘋果已於今年1月修復其中最嚴重的漏洞,其餘則在上個月修復。(來源:騰訊網)
信息安全快訊的內容及圖片出於傳遞更多信息之目的,屬於非營利性的轉載。如無意中侵犯了某個媒體或個人的知識產權,請聯繫我們,我們將立即刪除相關內容。其他媒體、網絡或個人從本網下載使用須自負版權等法律責任。
閱讀更多 e安教育 的文章
