新闻速览
•《网络安全技术 网络身份认证公共服务应用接入规范》等4项国家标准公开征求意见
•有赞支付、度小满支付等五家支付机构违规被罚
•福特车载广告专利涉嫌过度采集信息引发隐私争议
•一REvil勒索软件团伙成员获刑
•一种LCD显示器声学攻击手段可能突破气隙防护
•知名网络安全厂商Fortinet遭遇数据泄露
•Adobe紧急修复潜在远程执行风险的Acrobat Reader零日缺陷
•Ivanti修复终端管理系统多个严重安全缺陷
•云安全初创公司P0 Security获亿万融资
特别关注
《网络安全技术 网络身份认证公共服务应用接入规范》等4项国家标准公开征求意见
9月12日,全国网络安全标准化技术委员会秘书处发布关于征求《网络安全技术 网络身份认证公共服务应用接入规范》(征求意见稿)等4项国家标准意见的通知。
根据通知,全国网络安全标准化技术委员会归口的《网络安全技术 网络身份认证公共服务应用接入规范》《网络安全技术 公钥基础设施 时间戳规范》《网络安全技术 公钥基础设施 PKI组件最小互操作规范》《网络安全技术 公钥基础设施证书管理协议》等4项国家标准现已形成标准征求意见稿。
根据《全国网络安全标准化技术委员会标准制修订工作程序》要求,现将该4项标准征求意见稿面向社会公开征求意见。标准相关材料已发布在网安标委网站(网址:https://www.tc260.org.cn/front/bzzqyjList.html?start=0&length=10),如有意见或建议请于2024年11月11日24:00前反馈秘书处。
原文链接:
https://mp.weixin.qq.com/s/IXooQak4g9nZ3meiK1UcZA
热点观察
有赞支付、度小满支付等五家支付机构违规被罚
近日,中国人民银行北京市分行同时披露了5张支付机构罚单,公示了对北京度小满支付科技有限公司(下称度小满支付)、北京高汇通商业管理有限公司(下称有赞支付)、联动优势电子商务有限公司(下称联动优势)、拉卡拉支付股份有限公司(下称拉卡拉)等五家支付机构的处罚信息,合计罚没金额超3600万元。
其中,有赞支付因违规开展条码支付业务;未及时发现处置可能存在的特约商户支付接口转接情况;未严格落实开户实名制审核要求;违反账户管理规定;超地域经营预付卡业务;违规进行非同名划转操作,被中国人民银行北京市分行警告,罚没共2787.350232万元。
此外,其他几个机构被罚原因包括:
拉卡拉因未落实真实、完整、可追溯和全流程一致性的要求;未严格落实商户实名制要求;未将商户资金结算至其同名银行结算账户。
联动优势因未落实交易信息真实、完整、可追溯的要求;未严格落实商户实名制要求;未按规定保存特约商户申请材料、资质审核材料等档案资料;未按规定设置特约商户的收单账户。
度小满支付因未将支付服务协议格式条款进行备案;未严格落实支付账户开户实名制审核要求;违规为金融企业开立支付账户;存在办理支付账户和非同名银行账户间转账业务的情况;上传交易信息未落实真实、完整、可追溯和全流程一致性的要求;未严格落实商户管理相关要求。
原文链接:
https://new.qq.com/rain/a/20240911A08TI500
福特车载广告专利涉嫌过度采集信息引发隐私争议
近日,福特汽车公司申请的一项旨在实现个性化车载广告的技术专利因涉及过度收集驾驶员的各种数据,引发了专家和消费者对隐私保护的强烈担忧。
该专利描述的是一个信息系统,该系统将通过多种渠道收集数据:一是GPS定位,用于确定车辆位置并识别附近商家或地标;二是行驶速度和交通状况,从而根据驾驶环境推送相应广告;三是用户历史数据,旨在利用过往目的地或音乐偏好等信息实现个性化广告推荐;四是车内对话,通过分析驾驶员谈话内容提供相关广告。
这种全方位的数据收集方式引发了隐私倡导者的强烈反对。他们担心,录音车内对话可能导致数据安全问题和潜在滥用;这种侵入性的数据收集可能会令人感到不适,甚至产生被操纵的感觉;不断接收车载广告可能分散驾驶员注意力,造成安全隐患。
对此,福特回应称,申请专利是探索新思路的标准做法,并不意味着马上就会发布这样一个系统。然而,这并非福特首次涉足个性化车载广告领域,该公司几年前曾申请过一项在车载显示屏上展示数字广告牌的专利。不仅如此,通用汽车等其他厂商也对车内个性化广告和数据收集表现出兴趣。这一趋势凸显了技术与汽车日益融合的现状,同时也引发了对数据隐私和潜在滥用的担忧。
原文链接:
https://thecyberexpress.com/ford-patent-driver-data-in-car-ads/
一REvil勒索软件团伙成员获刑
近日,乌克兰籍黑客Yaroslav Vasinskyi因参与REvil勒索软件团伙的犯罪活动,被美国法院判处13年以上监禁,并处以1600万美元罚款。这一判决被视为打击全球网络犯罪的重要胜利。
24岁的Vasinskyi外号为“Rabotnik”,是臭名昭著的REvil勒索软件团伙成员。据调查,该团伙实施了超过2500起勒索软件攻击,索要赎金总额超过7亿美元。他们的作案手法包括要求受害者以加密货币支付赎金,并利用各种加密货币交易所和混合服务来掩盖非法收益。此外,他们还威胁公开受害者数据以施加更大压力。
Vasinskyi于2021年10月在波兰被捕,2022年3月被引渡至美国受审。他对包括共谋诈骗、损害受保护计算机和共谋洗钱在内的多项指控表示认罪。对Vasinskyi的判决彰显了国际合作在打击网络犯罪中的重要性,为全球网络安全治理树立了重要里程碑,也为未来打击网络犯罪提供了有价值的参考。
原文链接:
https://securityboulevard.com/2024/05/ukrainian-revil-hacker-gets-13-year-sentence-plus-16m-fine/
一种LCD显示器声学攻击手段可能突破气隙防护
近日,研究人员发现一种新型的隐蔽通道攻击手段PixHell可能突破高度敏感组织精心设计的气隙防护,对工业控制等系统安全构成潜在威胁。
气隙是一种网络之间的完全物理隔离方法,通常用于保护高度机密的军事、政府和工业场所的网络安全。然而,以色列本·古里昂大学教授Mordechai Guri研究发现,Pixhell能够利用LCD显示器上生成的人耳难以察觉的声波,利用声波跨越气隙进行数据窃取。Pixhell攻击的工作原理是利用LCD屏幕中的电容器和电感器在工作时产生的微弱高频声波。攻击者通过特制的恶意软件,使用开关调制(OOK)、频移键控(FSK)或幅度移位键控(ASK)等方式将敏感数据编码为声学信号。这些信号通过改变 LCD 屏幕上的像素模式进行传输,从而改变设备组件发出的声音。尽管这种数据传输速率较慢(仅20 bps),但它足以实时记录键盘输入或窃取小文本文件。
安全专家指出,对于那些特别敏感的场所,需要采取比气隙更严格的防护措施。然而,Guri指出,某些对策虽然在理论上可行,但在实际应用中却可能不太实际。例如,使用声波干扰器可以有效阻止Pixhell攻击,但可能会使工作环境变得过于嘈杂。
原文链接:
https://www.darkreading.com/ics-ot-security/air-gapped-networks-vulnerable-to-acoustic-attack-via-lcd-screens
网络攻击
知名网络安全厂商Fortinet遭遇数据泄露
即使是顶级网络安全公司也可能成为黑客攻击的目标。近日,全球知名网络安全公司Fortinet确认遭遇数据泄露事件。黑客Fortibitch声称从该公司的Microsoft Sharepoint服务器窃取了440GB的文件,并在黑客论坛上公开了这一信息。
Fortinet是全球领先的网络安全解决方案提供商。根据Fortinet的官方声明,此次事件涉及未经授权访问存储在第三方基于云的服务器上的有限数量文件,其中包含少量客户的相关信息,影响不到0.3%的客户群。Fortine强调,此事件并未导致数据加密、勒索软件攻击或对Fortinet企业网络的非法访问。
黑客声称曾试图勒索Fortinet支付赎金以阻止数据公开,但遭到拒绝。随后,黑客在黑客论坛分享了一个号称是存储被盗数据的S3存储桶的凭据,供其他威胁行为者下载。目前,安全研究人员尚未确认该存储桶是否确实包含Fortinet的机密文件。
Fortinet表示,该公司正在积极应对此次事件,并已经直接与受影响的客户进行沟通。值得注意的是,这并非Fortinet首次遭遇安全事件。2023年5月,一名黑客曾声称入侵了Fortinet于2020年收购的Panopta公司的GitHub代码库,并在黑客论坛上泄露了被盗数据。
原文链接:
https://www.bleepingcomputer.com/news/security/fortinet-confirms-data-breach-after-hacker-claims-to-steal-440gb-of-files/
漏洞预警
Adobe紧急修复潜在远程执行风险的Acrobat Reader零日缺陷
近日,Adobe发布了一项重要安全更新,修复了Acrobat Reader中一个严重的零日缺陷(CVE-2024-41869)。该缺陷是一个“使用后释放(Use-After-Free,UAF)”类型的缺陷,可能导致远程代码执行。
这个UAF缺陷的危险之处在于,当程序尝试访问已被释放的内存位置时,可能会导致程序崩溃或无响应。更为严重的是,如果攻击者将恶意代码存储在该内存位置上,可能在目标设备上执行未经授权的操作。
该漏洞最初是通过李海飞创建的EXPMON平台在六月份发现的。EXPMON是一个基于沙箱的平台,专门用于检测高级利用代码,如零日缺陷或难以检测的未知缺陷。在发现缺陷后,李海飞团队立即向Adobe报告了这一问题。Adobe于八月发布了一个安全更新,但未能完全修复该缺陷。Adobe近日终于发布了新的安全更新,进行了彻底的修复。
尽管存在概念验证(PoC)利用代码,但目前并不包含有效恶意载荷。鉴于该漏洞的严重性和公开PoC代码的存在,网络安全专家强烈建议所有Adobe Acrobat和Acrobat Reader用户立即更新到最新版本,以确保系统安全。
原文链接:
https://www.bleepingcomputer.com/news/security/adobe-fixes-acrobat-reader-zero-day-with-public-poc-exploit/
Ivanti修复终端管理系统多个严重安全缺陷
IT管理解决方案供应商Ivanti近日发布了一系列安全更新,修复了其终端管理系统解决方案中的多个严重缺陷。其中,最危险的CVE-2024-29847缺陷可能允许未经身份验证的攻击者远程执行代码,并将受影响系统作为进入企业网络的跳板。CVE-2024-29847影响Ivanti终端管理器2024版本(含九月更新)和2022 SU5及更早版本的代理门户。该缺陷源于应用程序对不受信任数据的错误反序列化,攻击者无需身份验证即可执行任意代码。
Ivanti通过发布终端管理器v2022 SU6和EPM v2024的安全热补丁,不仅修复了CVE-2024-29847,还解决了15个其他缺陷。这些缺陷包括9个严重的SQL注入缺陷(需要管理员权限)和1个外部XML实体(XXE)缺陷(允许未经身份验证的远程攻击者泄露API密钥)。
Ivanti公司表示,目前这些缺陷没有发现被积极利用的迹象。由于没有可用的解决方法或缓解措施,管理员必须尽快升级系统。
原文链接:
https://www.helpnetsecurity.com/2024/09/11/cve-2024-29847/
产业动态
云安全初创公司P0 Security获亿万融资
云安全初创公司P0 Security 日前宣布完成亿元(1500万美元)融资,旨在扩大其市场推广和工程团队规模。成立于2022年的P0 Security提供统一的身份治理、管理和特权访问管理平台,致力于帮助安全工程师保护开发者的云访问权限。
在当今云原生环境中,访问敏感数据和关键基础设施的途径正在呈指数级增长,传统的基于网络边界的访问治理和身份安全方法已经难以为继。针对这一挑战,P0 Security通过其统一平台解决方案,为人类和机器的云身份提供全面的治理和保护。P0 Security平台采用无代理架构,可在短时间内完成部署,为安全团队提供对云资源访问的全面可视化和高可控性。该平台能够识别哪些云身份具有特权访问权限,支持细粒度、及时和短期的特权访问授权,并通过合理的工作流程对开发者和非人类身份进行全生命周期的访问管理。
截至目前,包括本轮融资在内,P0 Security已累计筹集约2000万美元资金。这笔新融资将进一步推动公司在云安全领域的创新和发展。
原文链接:
https://siliconangle.com/2024/09/10/p0-security-raises-15m-enhance-identity-governance-access-management/