在今年的世界密碼日前夕，Google公司正式發(fā)布了一項(xiàng)新服務(wù)—— 通行密鑰(Passkey)，幫助用戶以更簡(jiǎn)單、更安全的方式登錄谷歌賬號(hào)，以取代傳統(tǒng)的密碼口令登錄模式。

傳統(tǒng)密碼登錄驗(yàn)證模式的缺陷非常明顯：首先，密碼口令在本質(zhì)上就是不安全的，特別是隨著計(jì)算能力的提升，傳統(tǒng)密碼技術(shù)被破解的難度在不斷降低;其次，但很多情況下，弱密碼和密碼重用的情況普遍存在;此外，我們每個(gè)人都在使用十多個(gè)甚至近百個(gè)密碼，如何記住這么多的用戶名和密碼組合，還要定期更改，在管理上并不容易。

由于以上難以解決的不足和挑戰(zhàn)，企業(yè)面臨的最大安全風(fēng)險(xiǎn)之一就是將不安全的密碼技術(shù)作為身份驗(yàn)證的主要方法。在此背景下，包括微軟、蘋果和Google在內(nèi)的領(lǐng)先科技廠商都在積極開發(fā)一種更先進(jìn)的無(wú)密碼登錄技術(shù)和標(biāo)準(zhǔn)，以實(shí)現(xiàn)更高的安全性和保護(hù)性。

Passkey其實(shí)并不是一種新技術(shù)，而是密碼學(xué)中“非對(duì)稱加密”在登錄認(rèn)證中的一種創(chuàng)新應(yīng)用。Passkey可以被理解為是“生物密碼”技術(shù) 和 “授權(quán)登錄” 技術(shù)的結(jié)合。用戶可以在Android 手機(jī)上創(chuàng)建一個(gè)基于公鑰加密的密鑰憑據(jù)，并需要對(duì)該憑據(jù)進(jìn)行生物特征識(shí)別，比如 “指紋” 或者 “面部識(shí)別” 等。

阻礙無(wú)密碼登錄技術(shù)應(yīng)用的關(guān)鍵因素并不是技術(shù)本身的缺陷或限制，而是由于很多企業(yè)中身份和驗(yàn)證管控的現(xiàn)狀。很多企業(yè)中，身份管理和身份驗(yàn)證仍然是相對(duì)獨(dú)立的，而很多廣泛使用的應(yīng)用程序在設(shè)計(jì)開發(fā)時(shí)，并沒(méi)有合理考慮如何支持通行密鑰等無(wú)密碼登錄驗(yàn)證新模式。盡管Passkey是一種解決身份安全驗(yàn)證和用戶體驗(yàn)的有效辦法。但是只有消除身份管理和身份驗(yàn)證之間的隔斷，該技術(shù)才有希望真正在更多企業(yè)中落地應(yīng)用。

周四，美國(guó)打車軟件Uber（優(yōu)步）前安全主管Joe Sullivan被判處三年緩刑。此前陪審團(tuán)于2022年判定其犯有妨礙司法調(diào)查、非法掩蓋Uber數(shù)據(jù)盜竊案的罪名。

事情要從2016年Uber的重大安全漏洞說(shuō)起，當(dāng)時(shí)有兩名黑客使用盜竊的憑據(jù)非法訪問(wèn)存儲(chǔ)在亞馬遜S3存儲(chǔ)服務(wù)上的Uber備份文件，其中包含5700萬(wàn)名乘客以及司機(jī)的詳細(xì)信息。兩人于2016年11月聯(lián)系了Uber并以此索要10萬(wàn)美元的贖金。

當(dāng)時(shí)為了掩蓋數(shù)據(jù)泄露的丑聞，Uber前安全主管Joe Sullivan與黑客談判達(dá)成協(xié)定，雙方?jīng)Q定將這筆付給入侵者的勒索贖金偽裝成對(duì)白帽黑客的漏洞賞金，使該安全事件看起來(lái)像是典型的漏洞披露，而不是數(shù)據(jù)泄露。

一直到2017年11月，Uber才公布關(guān)于此事的數(shù)據(jù)泄露通知。這個(gè)時(shí)候該公司已就此事與美國(guó)各州達(dá)成了1.48億美元的和解協(xié)議，并向英國(guó)和荷蘭的數(shù)據(jù)保護(hù)機(jī)構(gòu)支付了100多萬(wàn)美元的罰款。

注冊(cè)各類應(yīng)用、網(wǎng)站要盡量賦予最少的信息和權(quán)限：無(wú)論是網(wǎng)絡(luò)購(gòu)物，還是虛擬社區(qū)注冊(cè)，或是在社交工具上發(fā)布信息，都會(huì)留下個(gè)人信息，填寫時(shí)一定要謹(jǐn)慎小心。我們應(yīng)該秉持信息最小化原則，如無(wú)必要不要將所有信息都填上，僅填一些必要信息就好了。即使發(fā)生信息泄露，作為掌握大量信息的各類公司也不要幫助犯罪黑客掩蓋他們的蹤跡。不能讓客戶的問(wèn)題變得更糟，掩蓋罪犯竊取個(gè)人數(shù)據(jù)的犯罪企圖。

近日，VulnCheck 研究人員最近利用打印管理軟件 PaperCut 服務(wù)器中的一個(gè)嚴(yán)重漏洞，設(shè)計(jì)了一種新的利用方法，可以繞過(guò)所有當(dāng)前安全檢測(cè)。

PaperCut為佳能、愛(ài)普生、施樂(lè)和幾乎所有其他主要打印機(jī)品牌生產(chǎn)打印管理軟件，其產(chǎn)品被7萬(wàn)多個(gè)組織使用，包括世界各地的政府機(jī)構(gòu)、大學(xué)和大公司。此次利用的漏洞被追蹤為 CVE-2023-27350，CVSS評(píng)分高達(dá)9.8，是 PaperCut MF/NG 不當(dāng)訪問(wèn)控制漏洞。PaperCut MF/NG 在 SetupCompleted 類中包含一個(gè)不正確的訪問(wèn)控制漏洞，允許繞過(guò)身份驗(yàn)證并在 SYSTEM 上下文中執(zhí)行代碼。

VulnCheck研究人員公開了兩個(gè)漏洞利用變體：1.使用 PaperCut 打印腳本接口執(zhí)行 Windows 命令的漏洞（Horizon3.ai 漏洞的變體）；2.利用打印腳本接口投放惡意 JAR。攻擊者可以通過(guò)在登錄嘗試期間提供惡意用戶名和密碼，在易受攻擊的服務(wù)器上執(zhí)行任意代碼。

雖然我們因安全漏洞影響大型組織而一直談?wù)撍?，但同樣的安全漏洞也適用于個(gè)人計(jì)算機(jī)和其他設(shè)備。個(gè)人用戶不太可能被黑客利用漏洞入侵，但很多計(jì)算機(jī)用戶都受到過(guò)惡意軟件的影響，不管是作為軟件包的一部分下載，還是通過(guò)網(wǎng)絡(luò)釣魚攻擊引入到計(jì)算機(jī)中。使用弱密碼和公共 Wi-Fi 網(wǎng)絡(luò)可能導(dǎo)致互聯(lián)網(wǎng)通信被侵害。

使用強(qiáng)密碼、對(duì)不同賬戶使用不同密碼或定期修改密碼，可以在受安全漏洞影響下減少信息泄露。及時(shí)更新廠商安全固件升級(jí)有助于減少損失。

微軟和AMD正在聯(lián)手開發(fā)一種替代人工智能(AI)芯片市場(chǎng)領(lǐng)導(dǎo)者Nvidia Corp技術(shù)的產(chǎn)品。

微軟正在提供工程支持以加強(qiáng)AMD的工作，并正在合作開發(fā)微軟自己的人工智能處理器，代號(hào)為“Athena”。這種合作是提高AI計(jì)算能力的努力的一部分，在聊天機(jī)器人（如ChatGPT和其他基于AI的技術(shù)）蓬勃發(fā)展之后，這種需求是有需求的。微軟已投資100億美元?jiǎng)?chuàng)建ChatGPT，并計(jì)劃為其所有軟件產(chǎn)品添加類似功能。Athena項(xiàng)目也體現(xiàn)了微軟對(duì)微芯片行業(yè)的深化。

近年來(lái)，該公司一直在英特爾公司前首席執(zhí)行官的領(lǐng)導(dǎo)下積極發(fā)展其芯片制造部門。該集團(tuán)擁有近1,000名員工，其中數(shù)百人從事Athena項(xiàng)目。微軟已經(jīng)在微芯片開發(fā)上花費(fèi)了大約20億美元。AMD首席執(zhí)行官Lisa Su表示，人工智能是公司的戰(zhàn)略重點(diǎn)。AMD看到了為其最大客戶創(chuàng)建半定制芯片以用于其AI數(shù)據(jù)中心的機(jī)會(huì)。Microsoft的Athena團(tuán)隊(duì)正在開發(fā)用于學(xué)習(xí)和使用AI模型的GPU。該產(chǎn)品已經(jīng)在進(jìn)行內(nèi)部測(cè)試，最早可能在明年提供更廣泛的使用。

AI芯片是人工智能的底層基石，同時(shí)也是AI算力的核心，需求有望率先擴(kuò)張。AI芯片是用于加速人工智能訓(xùn)練和推理任務(wù)的專用硬件，主要包括GPU、 FPGA、ASIC等，具有高度并行性和能夠?qū)崿F(xiàn)低功耗高效計(jì)算的特點(diǎn)。隨著AI應(yīng)用的普及和算力需求的不斷擴(kuò)大，AI芯片需求有望率先擴(kuò)張。鑒于人工智能的快速發(fā)展及其與各行各業(yè)的融合，這一領(lǐng)域的成功可能是企業(yè)長(zhǎng)期發(fā)展的關(guān)鍵。

日前，蘇州市國(guó)家安全局會(huì)同市市場(chǎng)監(jiān)督管理局、市統(tǒng)計(jì)局，對(duì)轄區(qū)內(nèi)咨詢企業(yè)凱盛融英信息科技(上海)股份有限公司蘇州分公司開展聯(lián)合執(zhí)法行動(dòng)。

經(jīng)執(zhí)法調(diào)查，企業(yè)因涉嫌危害國(guó)家安全，已被國(guó)家安全機(jī)關(guān)進(jìn)行依法依規(guī)處理，相關(guān)執(zhí)法部門還聯(lián)合地方行政部門，督促企業(yè)認(rèn)真履行反間諜安全防范責(zé)任義務(wù)，進(jìn)一步加強(qiáng)行業(yè)監(jiān)督和指導(dǎo)，規(guī)范企業(yè)行為，推動(dòng)咨詢行業(yè)健康發(fā)展。

據(jù)江蘇廣電總臺(tái)報(bào)道，相關(guān)執(zhí)法民警介紹，這些咨詢調(diào)查公司在承擔(dān)涉外咨詢項(xiàng)目過(guò)程中，頻繁聯(lián)系接觸地方黨政機(jī)關(guān)、重要國(guó)防科工等涉密人員，并以高額報(bào)酬聘請(qǐng)行業(yè)咨詢專家之名，非法獲取我國(guó)各類敏感數(shù)據(jù)，對(duì)我國(guó)家安全構(gòu)成了重大風(fēng)險(xiǎn)隱患。國(guó)家安全機(jī)關(guān)將會(huì)同相關(guān)部門，依據(jù)《中華人民共和國(guó)反間諜法》等法律法規(guī)，加大對(duì)涉嫌違法違規(guī)開展咨詢等危害國(guó)家安全活動(dòng)的執(zhí)法力度，依法追究涉案公司和人員的法律責(zé)任。

近年來(lái)，國(guó)內(nèi)咨詢業(yè)快速發(fā)展，在服務(wù)國(guó)家經(jīng)濟(jì)社會(huì)高質(zhì)量發(fā)展的同時(shí)也衍生出一系列問(wèn)題。部分咨詢調(diào)查機(jī)構(gòu)片面追求業(yè)務(wù)規(guī)模的高速增長(zhǎng)，卻忽視了可能存在的國(guó)家安全風(fēng)險(xiǎn)，未認(rèn)真履行反間諜安全防范責(zé)任和義務(wù)，在黨政機(jī)關(guān)、涉密單位內(nèi)發(fā)展“咨詢專家”為客戶提供敏感咨詢，危害我國(guó)家安全和發(fā)展利益。

相關(guān)企業(yè)應(yīng)該高度重視國(guó)家安全，做好宣傳教育工作，配合相關(guān)部門做好防范、制止和依法懲治危害國(guó)家安全的行為。

據(jù)新加坡海峽時(shí)報(bào)報(bào)道，一名不愿透露姓名的婦女在一家奶茶店內(nèi)看到一則印有而二維碼的貼紙，上面鼓勵(lì)顧客掃描二維碼填寫一份關(guān)于“免費(fèi)奶茶”的調(diào)查問(wèn)卷，隨即通過(guò)掃碼并在 Android手機(jī)上下載了第三方軟件填寫調(diào)查問(wèn)卷。當(dāng)晚，等這名婦女就寢后，這個(gè)第三方軟件就悄悄轉(zhuǎn)走了其賬戶中的2萬(wàn)美元。

該類騙局特別“陰險(xiǎn)”，掃描二維碼所下載的惡意軟件會(huì)索取受害者手機(jī)的麥克風(fēng)和攝像頭的訪問(wèn)權(quán)限，以及Android 輔助功能，以便控制手機(jī)屏幕。詐騙者以此暗中監(jiān)控受害者的移動(dòng)銀行應(yīng)用程序使用情況，并記下用戶在白天輸入的所有登錄憑證。隨后，詐騙者會(huì)在合適的時(shí)機(jī)，比如趁受害者晚上睡覺(jué)時(shí)進(jìn)行轉(zhuǎn)賬等惡意操作。

這類惡意軟件本質(zhì)上并不新鮮，但通過(guò)二維碼廣告張貼在餐飲場(chǎng)所，往往讓消費(fèi)者難以鑒別。2022年，新加坡警察部隊(duì)曾提醒公民不要濫用二維碼的Singpass 數(shù)字身份系統(tǒng)，詐騙者會(huì)要求受害者完成虛假調(diào)查，然后要求受害者使用他們的 Singpass 應(yīng)用程序掃描 二維碼.然而，詐騙者提供的 Singpass 二維碼是從合法網(wǎng)站截取的屏幕截圖，通過(guò)掃描二維碼并在未經(jīng)進(jìn)一步檢查的情況下授權(quán)交易，受害者無(wú)意中讓詐騙者可以訪問(wèn)某些在線服務(wù)。

對(duì)于陌生人提供的二維碼、網(wǎng)站等信息，要有反詐騙意識(shí)，同時(shí)對(duì)飛來(lái)的橫財(cái)和好處特別是不熟悉的人所許諾的利益要深思和調(diào)查，要知道天上不會(huì)掉餡餅，克服占便宜心里，就不會(huì)對(duì)突如其來(lái)的橫財(cái)和好處欣喜若狂，要三思而后行。

一旦發(fā)現(xiàn)被騙，趕快想辦法及時(shí)掌握對(duì)方的有罪證據(jù)，迅速報(bào)警，要防止打草驚蛇，一方面裝做仍悶在鼓里，隨時(shí)掌握對(duì)方行蹤，一方面查明對(duì)方騙財(cái)?shù)牧飨蚣皶r(shí)報(bào)案。

日前，身份驗(yàn)證（IDV）技術(shù)提供商Regula發(fā)布了《身份欺詐與驗(yàn)證：商業(yè)影響研究報(bào)告》。報(bào)告數(shù)據(jù)顯示，企業(yè)正處在一個(gè)技術(shù)日益復(fù)雜的欺詐環(huán)境中，在2022年，有95%的受訪企業(yè)報(bào)告在其組織內(nèi)經(jīng)歷過(guò)身份欺詐事件，而企業(yè)組織平均遭遇的身份欺詐事件超過(guò)30起，其中26%的受訪中小型企業(yè)和38%的受訪大企業(yè)經(jīng)歷了超過(guò)50起身份欺詐事件，有47%的受訪企業(yè)因?yàn)樯矸萜墼p損失超過(guò)30萬(wàn)美元。

在過(guò)去一年，有近一半的受訪企業(yè)（46%）遭遇過(guò)合成身份欺詐（synthetic identity fraud）。合成身份欺詐包括使用真實(shí)和虛假信息的混合，或者來(lái)自不同個(gè)人的真實(shí)信息的組合，來(lái)創(chuàng)建一個(gè)新的虛假身份。一旦合成身份被建立，欺詐者就可以用它來(lái)申請(qǐng)信用卡、貸款等金融服務(wù)，由于身份是虛構(gòu)的，因此金融機(jī)構(gòu)很難檢測(cè)和防止合成身份欺詐。

與此同時(shí)，生成式人工智能（AI）這樣的新技術(shù)也將助力犯罪分子更大規(guī)模地發(fā)起更多種類的身份欺詐活動(dòng)，創(chuàng)建包括音頻、代碼、圖像、文本、模擬和視頻等在內(nèi)的欺詐性內(nèi)容。報(bào)告數(shù)據(jù)顯示，37%的受訪企業(yè)已經(jīng)遭遇過(guò)深度造假語(yǔ)音欺詐，有29%的受訪企業(yè)遭遇過(guò)深度造假視頻詐騙。

在巨大商業(yè)利益的驅(qū)動(dòng)下，身份欺詐的方式在不斷演變，而現(xiàn)有的欺詐發(fā)現(xiàn)模型普遍缺乏實(shí)時(shí)可見性，同時(shí)也難以實(shí)現(xiàn)廣泛的監(jiān)測(cè)數(shù)據(jù)綜合分析。因此，對(duì)于企業(yè)組織而言，需要盡快部署更有效的增強(qiáng)型欺詐預(yù)防建模應(yīng)用程序和工具來(lái)應(yīng)對(duì)日益嚴(yán)峻的身份威脅，為安全分析師提供更具洞察力的智能化分析工具，以通過(guò)基于約束的規(guī)則來(lái)識(shí)別更多潛在的身份欺詐風(fēng)險(xiǎn)。這就需要通過(guò)AI自動(dòng)化技術(shù)，以識(shí)別現(xiàn)有欺詐檢測(cè)技術(shù)無(wú)法察覺(jué)的異常。