普普安全資訊一周概覽(0506-0512)

作者:

時(shí)間:
2023-05-12



1、Google開始淘汰傳統(tǒng)密碼,通行密鑰時(shí)代或來(lái)臨

在今年的世界密碼日前夕,Google公司正式發(fā)布了一項(xiàng)新服務(wù)—— 通行密鑰(Passkey),幫助用戶以更簡(jiǎn)單、更安全的方式登錄谷歌賬號(hào),以取代傳統(tǒng)的密碼口令登錄模式。

傳統(tǒng)密碼登錄驗(yàn)證模式的缺陷非常明顯:首先,密碼口令在本質(zhì)上就是不安全的,特別是隨著計(jì)算能力的提升,傳統(tǒng)密碼技術(shù)被破解的難度在不斷降低;其次,但很多情況下,弱密碼和密碼重用的情況普遍存在;此外,我們每個(gè)人都在使用十多個(gè)甚至近百個(gè)密碼,如何記住這么多的用戶名和密碼組合,還要定期更改,在管理上并不容易。

由于以上難以解決的不足和挑戰(zhàn),企業(yè)面臨的最大安全風(fēng)險(xiǎn)之一就是將不安全的密碼技術(shù)作為身份驗(yàn)證的主要方法。在此背景下,包括微軟、蘋果和Google在內(nèi)的領(lǐng)先科技廠商都在積極開發(fā)一種更先進(jìn)的無(wú)密碼登錄技術(shù)和標(biāo)準(zhǔn),以實(shí)現(xiàn)更高的安全性和保護(hù)性。

Passkey其實(shí)并不是一種新技術(shù),而是密碼學(xué)中“非對(duì)稱加密”在登錄認(rèn)證中的一種創(chuàng)新應(yīng)用。Passkey可以被理解為是“生物密碼”技術(shù) 和 “授權(quán)登錄” 技術(shù)的結(jié)合。用戶可以在Android 手機(jī)上創(chuàng)建一個(gè)基于公鑰加密的密鑰憑據(jù),并需要對(duì)該憑據(jù)進(jìn)行生物特征識(shí)別,比如 “指紋” 或者 “面部識(shí)別” 等。







普普點(diǎn)評(píng)

阻礙無(wú)密碼登錄技術(shù)應(yīng)用的關(guān)鍵因素并不是技術(shù)本身的缺陷或限制,而是由于很多企業(yè)中身份和驗(yàn)證管控的現(xiàn)狀。很多企業(yè)中,身份管理和身份驗(yàn)證仍然是相對(duì)獨(dú)立的,而很多廣泛使用的應(yīng)用程序在設(shè)計(jì)開發(fā)時(shí),并沒(méi)有合理考慮如何支持通行密鑰等無(wú)密碼登錄驗(yàn)證新模式。盡管Passkey是一種解決身份安全驗(yàn)證和用戶體驗(yàn)的有效辦法。但是只有消除身份管理和身份驗(yàn)證之間的隔斷,該技術(shù)才有希望真正在更多企業(yè)中落地應(yīng)用。


2、因掩蓋數(shù)據(jù)泄露,Uber前首席安全官被判三年緩刑

周四,美國(guó)打車軟件Uber(優(yōu)步)前安全主管Joe Sullivan被判處三年緩刑。此前陪審團(tuán)于2022年判定其犯有妨礙司法調(diào)查、非法掩蓋Uber數(shù)據(jù)盜竊案的罪名。

事情要從2016年Uber的重大安全漏洞說(shuō)起,當(dāng)時(shí)有兩名黑客使用盜竊的憑據(jù)非法訪問(wèn)存儲(chǔ)在亞馬遜S3存儲(chǔ)服務(wù)上的Uber備份文件,其中包含5700萬(wàn)名乘客以及司機(jī)的詳細(xì)信息。兩人于2016年11月聯(lián)系了Uber并以此索要10萬(wàn)美元的贖金。

當(dāng)時(shí)為了掩蓋數(shù)據(jù)泄露的丑聞,Uber前安全主管Joe Sullivan與黑客談判達(dá)成協(xié)定,雙方?jīng)Q定將這筆付給入侵者的勒索贖金偽裝成對(duì)白帽黑客的漏洞賞金,使該安全事件看起來(lái)像是典型的漏洞披露,而不是數(shù)據(jù)泄露。

一直到2017年11月,Uber才公布關(guān)于此事的數(shù)據(jù)泄露通知。這個(gè)時(shí)候該公司已就此事與美國(guó)各州達(dá)成了1.48億美元的和解協(xié)議,并向英國(guó)和荷蘭的數(shù)據(jù)保護(hù)機(jī)構(gòu)支付了100多萬(wàn)美元的罰款。







普普點(diǎn)評(píng)

注冊(cè)各類應(yīng)用、網(wǎng)站要盡量賦予最少的信息和權(quán)限:無(wú)論是網(wǎng)絡(luò)購(gòu)物,還是虛擬社區(qū)注冊(cè),或是在社交工具上發(fā)布信息,都會(huì)留下個(gè)人信息,填寫時(shí)一定要謹(jǐn)慎小心。我們應(yīng)該秉持信息最小化原則,如無(wú)必要不要將所有信息都填上,僅填一些必要信息就好了。即使發(fā)生信息泄露,作為掌握大量信息的各類公司也不要幫助犯罪黑客掩蓋他們的蹤跡。不能讓客戶的問(wèn)題變得更糟,掩蓋罪犯竊取個(gè)人數(shù)據(jù)的犯罪企圖。


3、知名打印管理軟件存漏洞,能繞過(guò)所有安全檢測(cè)

近日,VulnCheck 研究人員最近利用打印管理軟件 PaperCut 服務(wù)器中的一個(gè)嚴(yán)重漏洞,設(shè)計(jì)了一種新的利用方法,可以繞過(guò)所有當(dāng)前安全檢測(cè)。

PaperCut為佳能、愛(ài)普生、施樂(lè)和幾乎所有其他主要打印機(jī)品牌生產(chǎn)打印管理軟件,其產(chǎn)品被7萬(wàn)多個(gè)組織使用,包括世界各地的政府機(jī)構(gòu)、大學(xué)和大公司。此次利用的漏洞被追蹤為 CVE-2023-27350,CVSS評(píng)分高達(dá)9.8,是 PaperCut MF/NG 不當(dāng)訪問(wèn)控制漏洞。PaperCut MF/NG 在 SetupCompleted 類中包含一個(gè)不正確的訪問(wèn)控制漏洞,允許繞過(guò)身份驗(yàn)證并在 SYSTEM 上下文中執(zhí)行代碼。

VulnCheck研究人員公開了兩個(gè)漏洞利用變體:1.使用 PaperCut 打印腳本接口執(zhí)行 Windows 命令的漏洞(Horizon3.ai 漏洞的變體);2.利用打印腳本接口投放惡意 JAR。攻擊者可以通過(guò)在登錄嘗試期間提供惡意用戶名和密碼,在易受攻擊的服務(wù)器上執(zhí)行任意代碼。







普普點(diǎn)評(píng)

雖然我們因安全漏洞影響大型組織而一直談?wù)撍?,但同樣的安全漏洞也適用于個(gè)人計(jì)算機(jī)和其他設(shè)備。個(gè)人用戶不太可能被黑客利用漏洞入侵,但很多計(jì)算機(jī)用戶都受到過(guò)惡意軟件的影響,不管是作為軟件包的一部分下載,還是通過(guò)網(wǎng)絡(luò)釣魚攻擊引入到計(jì)算機(jī)中。使用弱密碼和公共 Wi-Fi 網(wǎng)絡(luò)可能導(dǎo)致互聯(lián)網(wǎng)通信被侵害。

使用強(qiáng)密碼、對(duì)不同賬戶使用不同密碼或定期修改密碼,可以在受安全漏洞影響下減少信息泄露。及時(shí)更新廠商安全固件升級(jí)有助于減少損失。


4、微軟和AMD合作打造Nvidia的AI替代品

微軟和AMD正在聯(lián)手開發(fā)一種替代人工智能(AI)芯片市場(chǎng)領(lǐng)導(dǎo)者Nvidia Corp技術(shù)的產(chǎn)品。

微軟正在提供工程支持以加強(qiáng)AMD的工作,并正在合作開發(fā)微軟自己的人工智能處理器,代號(hào)為“Athena”。這種合作是提高AI計(jì)算能力的努力的一部分,在聊天機(jī)器人(如ChatGPT和其他基于AI的技術(shù))蓬勃發(fā)展之后,這種需求是有需求的。微軟已投資100億美元?jiǎng)?chuàng)建ChatGPT,并計(jì)劃為其所有軟件產(chǎn)品添加類似功能。Athena項(xiàng)目也體現(xiàn)了微軟對(duì)微芯片行業(yè)的深化。

近年來(lái),該公司一直在英特爾公司前首席執(zhí)行官的領(lǐng)導(dǎo)下積極發(fā)展其芯片制造部門。該集團(tuán)擁有近1,000名員工,其中數(shù)百人從事Athena項(xiàng)目。微軟已經(jīng)在微芯片開發(fā)上花費(fèi)了大約20億美元。AMD首席執(zhí)行官Lisa Su表示,人工智能是公司的戰(zhàn)略重點(diǎn)。AMD看到了為其最大客戶創(chuàng)建半定制芯片以用于其AI數(shù)據(jù)中心的機(jī)會(huì)。Microsoft的Athena團(tuán)隊(duì)正在開發(fā)用于學(xué)習(xí)和使用AI模型的GPU。該產(chǎn)品已經(jīng)在進(jìn)行內(nèi)部測(cè)試,最早可能在明年提供更廣泛的使用。







普普點(diǎn)評(píng)

AI芯片是人工智能的底層基石,同時(shí)也是AI算力的核心,需求有望率先擴(kuò)張。AI芯片是用于加速人工智能訓(xùn)練和推理任務(wù)的專用硬件,主要包括GPU、 FPGA、ASIC等,具有高度并行性和能夠?qū)崿F(xiàn)低功耗高效計(jì)算的特點(diǎn)。隨著AI應(yīng)用的普及和算力需求的不斷擴(kuò)大,AI芯片需求有望率先擴(kuò)張。鑒于人工智能的快速發(fā)展及其與各行各業(yè)的融合,這一領(lǐng)域的成功可能是企業(yè)長(zhǎng)期發(fā)展的關(guān)鍵。


5、涉嫌危害國(guó)家安全,國(guó)內(nèi)知名咨詢企業(yè)凱盛融英被查

日前,蘇州市國(guó)家安全局會(huì)同市市場(chǎng)監(jiān)督管理局、市統(tǒng)計(jì)局,對(duì)轄區(qū)內(nèi)咨詢企業(yè)凱盛融英信息科技(上海)股份有限公司蘇州分公司開展聯(lián)合執(zhí)法行動(dòng)。

經(jīng)執(zhí)法調(diào)查,企業(yè)因涉嫌危害國(guó)家安全,已被國(guó)家安全機(jī)關(guān)進(jìn)行依法依規(guī)處理,相關(guān)執(zhí)法部門還聯(lián)合地方行政部門,督促企業(yè)認(rèn)真履行反間諜安全防范責(zé)任義務(wù),進(jìn)一步加強(qiáng)行業(yè)監(jiān)督和指導(dǎo),規(guī)范企業(yè)行為,推動(dòng)咨詢行業(yè)健康發(fā)展。

據(jù)江蘇廣電總臺(tái)報(bào)道,相關(guān)執(zhí)法民警介紹,這些咨詢調(diào)查公司在承擔(dān)涉外咨詢項(xiàng)目過(guò)程中,頻繁聯(lián)系接觸地方黨政機(jī)關(guān)、重要國(guó)防科工等涉密人員,并以高額報(bào)酬聘請(qǐng)行業(yè)咨詢專家之名,非法獲取我國(guó)各類敏感數(shù)據(jù),對(duì)我國(guó)家安全構(gòu)成了重大風(fēng)險(xiǎn)隱患。國(guó)家安全機(jī)關(guān)將會(huì)同相關(guān)部門,依據(jù)《中華人民共和國(guó)反間諜法》等法律法規(guī),加大對(duì)涉嫌違法違規(guī)開展咨詢等危害國(guó)家安全活動(dòng)的執(zhí)法力度,依法追究涉案公司和人員的法律責(zé)任。







普普點(diǎn)評(píng)

近年來(lái),國(guó)內(nèi)咨詢業(yè)快速發(fā)展,在服務(wù)國(guó)家經(jīng)濟(jì)社會(huì)高質(zhì)量發(fā)展的同時(shí)也衍生出一系列問(wèn)題。部分咨詢調(diào)查機(jī)構(gòu)片面追求業(yè)務(wù)規(guī)模的高速增長(zhǎng),卻忽視了可能存在的國(guó)家安全風(fēng)險(xiǎn),未認(rèn)真履行反間諜安全防范責(zé)任和義務(wù),在黨政機(jī)關(guān)、涉密單位內(nèi)發(fā)展“咨詢專家”為客戶提供敏感咨詢,危害我國(guó)家安全和發(fā)展利益。

相關(guān)企業(yè)應(yīng)該高度重視國(guó)家安全,做好宣傳教育工作,配合相關(guān)部門做好防范、制止和依法懲治危害國(guó)家安全的行為。


6、冒充調(diào)查問(wèn)卷、掃碼繳費(fèi),虛假二維碼詐騙泛濫

據(jù)新加坡海峽時(shí)報(bào)報(bào)道,一名不愿透露姓名的婦女在一家奶茶店內(nèi)看到一則印有而二維碼的貼紙,上面鼓勵(lì)顧客掃描二維碼填寫一份關(guān)于“免費(fèi)奶茶”的調(diào)查問(wèn)卷,隨即通過(guò)掃碼并在 Android手機(jī)上下載了第三方軟件填寫調(diào)查問(wèn)卷。當(dāng)晚,等這名婦女就寢后,這個(gè)第三方軟件就悄悄轉(zhuǎn)走了其賬戶中的2萬(wàn)美元。

該類騙局特別“陰險(xiǎn)”,掃描二維碼所下載的惡意軟件會(huì)索取受害者手機(jī)的麥克風(fēng)和攝像頭的訪問(wèn)權(quán)限,以及Android 輔助功能,以便控制手機(jī)屏幕。詐騙者以此暗中監(jiān)控受害者的移動(dòng)銀行應(yīng)用程序使用情況,并記下用戶在白天輸入的所有登錄憑證。隨后,詐騙者會(huì)在合適的時(shí)機(jī),比如趁受害者晚上睡覺(jué)時(shí)進(jìn)行轉(zhuǎn)賬等惡意操作。

這類惡意軟件本質(zhì)上并不新鮮,但通過(guò)二維碼廣告張貼在餐飲場(chǎng)所,往往讓消費(fèi)者難以鑒別。2022年,新加坡警察部隊(duì)曾提醒公民不要濫用二維碼的Singpass 數(shù)字身份系統(tǒng),詐騙者會(huì)要求受害者完成虛假調(diào)查,然后要求受害者使用他們的 Singpass 應(yīng)用程序掃描 二維碼.然而,詐騙者提供的 Singpass 二維碼是從合法網(wǎng)站截取的屏幕截圖,通過(guò)掃描二維碼并在未經(jīng)進(jìn)一步檢查的情況下授權(quán)交易,受害者無(wú)意中讓詐騙者可以訪問(wèn)某些在線服務(wù)。







普普點(diǎn)評(píng)

對(duì)于陌生人提供的二維碼、網(wǎng)站等信息,要有反詐騙意識(shí),同時(shí)對(duì)飛來(lái)的橫財(cái)和好處特別是不熟悉的人所許諾的利益要深思和調(diào)查,要知道天上不會(huì)掉餡餅,克服占便宜心里,就不會(huì)對(duì)突如其來(lái)的橫財(cái)和好處欣喜若狂,要三思而后行。

一旦發(fā)現(xiàn)被騙,趕快想辦法及時(shí)掌握對(duì)方的有罪證據(jù),迅速報(bào)警,要防止打草驚蛇,一方面裝做仍悶在鼓里,隨時(shí)掌握對(duì)方行蹤,一方面查明對(duì)方騙財(cái)?shù)牧飨蚣皶r(shí)報(bào)案。


7、2023年身份欺詐態(tài)勢(shì)觀察:新型欺詐模式不斷演變

日前,身份驗(yàn)證(IDV)技術(shù)提供商Regula發(fā)布了《身份欺詐與驗(yàn)證:商業(yè)影響研究報(bào)告》。報(bào)告數(shù)據(jù)顯示,企業(yè)正處在一個(gè)技術(shù)日益復(fù)雜的欺詐環(huán)境中,在2022年,有95%的受訪企業(yè)報(bào)告在其組織內(nèi)經(jīng)歷過(guò)身份欺詐事件,而企業(yè)組織平均遭遇的身份欺詐事件超過(guò)30起,其中26%的受訪中小型企業(yè)和38%的受訪大企業(yè)經(jīng)歷了超過(guò)50起身份欺詐事件,有47%的受訪企業(yè)因?yàn)樯矸萜墼p損失超過(guò)30萬(wàn)美元。

在過(guò)去一年,有近一半的受訪企業(yè)(46%)遭遇過(guò)合成身份欺詐(synthetic identity fraud)。合成身份欺詐包括使用真實(shí)和虛假信息的混合,或者來(lái)自不同個(gè)人的真實(shí)信息的組合,來(lái)創(chuàng)建一個(gè)新的虛假身份。一旦合成身份被建立,欺詐者就可以用它來(lái)申請(qǐng)信用卡、貸款等金融服務(wù),由于身份是虛構(gòu)的,因此金融機(jī)構(gòu)很難檢測(cè)和防止合成身份欺詐。

與此同時(shí),生成式人工智能(AI)這樣的新技術(shù)也將助力犯罪分子更大規(guī)模地發(fā)起更多種類的身份欺詐活動(dòng),創(chuàng)建包括音頻、代碼、圖像、文本、模擬和視頻等在內(nèi)的欺詐性內(nèi)容。報(bào)告數(shù)據(jù)顯示,37%的受訪企業(yè)已經(jīng)遭遇過(guò)深度造假語(yǔ)音欺詐,有29%的受訪企業(yè)遭遇過(guò)深度造假視頻詐騙。







普普點(diǎn)評(píng)

在巨大商業(yè)利益的驅(qū)動(dòng)下,身份欺詐的方式在不斷演變,而現(xiàn)有的欺詐發(fā)現(xiàn)模型普遍缺乏實(shí)時(shí)可見性,同時(shí)也難以實(shí)現(xiàn)廣泛的監(jiān)測(cè)數(shù)據(jù)綜合分析。因此,對(duì)于企業(yè)組織而言,需要盡快部署更有效的增強(qiáng)型欺詐預(yù)防建模應(yīng)用程序和工具來(lái)應(yīng)對(duì)日益嚴(yán)峻的身份威脅,為安全分析師提供更具洞察力的智能化分析工具,以通過(guò)基于約束的規(guī)則來(lái)識(shí)別更多潛在的身份欺詐風(fēng)險(xiǎn)。這就需要通過(guò)AI自動(dòng)化技術(shù),以識(shí)別現(xiàn)有欺詐檢測(cè)技術(shù)無(wú)法察覺(jué)的異常。