數(shù)以千計的惡意npm包威脅著Web應(yīng)用程序的安全

過去的6個月中，在開發(fā)者最常下載的JavaScript包庫npm中發(fā)現(xiàn)了1300多個惡意包。這種惡意組件數(shù)量的快速增長也反映出了npm正在成為惡意軟件的傳播平臺。

開源安全和管理公司W(wǎng)hiteSource最新研究發(fā)現(xiàn)，惡意npm包數(shù)量的不斷增加使人感到很不安，這些包主要是被用作網(wǎng)絡(luò)應(yīng)用的組件。任何使用該惡意代碼塊的應(yīng)用程序都可能使其用戶遭到數(shù)據(jù)盜竊、加密劫持以及僵尸網(wǎng)絡(luò)等攻擊。

該公司表示，在發(fā)現(xiàn)的惡意軟件包中，有14%是為了竊取證書等敏感信息，而近82%的軟件包則是在偵查用戶的信息，攻擊者采用主動或被動的方式來收集目標(biāo)的相關(guān)信息。

過去的6個月中，在開發(fā)者最常下載的JavaScript包庫npm中發(fā)現(xiàn)了1300多個惡意包。這種惡意組件數(shù)量的快速增長也反映出了npm正在成為惡意軟件的傳播平臺。

用全面發(fā)展辯證的眼光看待《網(wǎng)絡(luò)安全審查辦法》

全面地看《網(wǎng)絡(luò)安全審查辦法》的“變”與“不變”。用全面發(fā)展辯證的眼光看待《網(wǎng)絡(luò)安全審查辦法》；二是堅持以落實國家安全、網(wǎng)絡(luò)安全基礎(chǔ)法律為主要目標(biāo)未變。

發(fā)展地看網(wǎng)絡(luò)安全審查制度的演進(jìn)與完善。一是組織結(jié)構(gòu)更加完善，新增證監(jiān)會作為網(wǎng)絡(luò)安全審查工作機制成員單位，加強赴國外上市網(wǎng)絡(luò)平臺運營者的審查；二是審查時限更切實際，將特別審查程序從45天延長到90天，體現(xiàn)了對于審查結(jié)論更加審慎的態(tài)度；三是權(quán)力監(jiān)督更加明確，既強調(diào)審查客體對于主體的責(zé)任與義務(wù)的監(jiān)督，也鼓勵社會監(jiān)督當(dāng)事人履行網(wǎng)絡(luò)安全審查中作出的承諾。

辯證地看《網(wǎng)絡(luò)安全審查辦法》當(dāng)前重點與長遠(yuǎn)意義。一是統(tǒng)籌安全與發(fā)展，網(wǎng)絡(luò)安全審查將通過依法依規(guī)開展審查獲得安全發(fā)展新優(yōu)勢。二是平衡開放與治理，網(wǎng)絡(luò)安全審查不會限制開放，不存在區(qū)別對待。三是兼顧當(dāng)前與長遠(yuǎn)，網(wǎng)絡(luò)安全審查不僅要立足應(yīng)對當(dāng)前威脅，更要放眼長遠(yuǎn)，推進(jìn)我國網(wǎng)絡(luò)空間治理體系和治理能力現(xiàn)代化。

2022年關(guān)于網(wǎng)絡(luò)安全和身份驗證的發(fā)展趨勢

平衡風(fēng)險和用戶體驗

事實上，銀行的數(shù)字化轉(zhuǎn)型是建立在數(shù)字信任的基礎(chǔ)上，其中包括入職、身份驗證和支持對話。然而，銀行業(yè)在提供數(shù)字化客戶體驗這些方面仍然落后，并降低了客戶滿意度。

采用適應(yīng)性強的方法

移動設(shè)備身份驗證和全渠道參與已經(jīng)發(fā)展。新的身份驗證技術(shù)現(xiàn)在變得可用，通常是通過通信平臺啟用的API。于是出現(xiàn)了兩種選擇，數(shù)據(jù)驗證和Flash呼叫驗證。數(shù)據(jù)驗證的工作原理是，移動網(wǎng)絡(luò)運營商在用戶使用移動數(shù)據(jù)時分配給其電話號碼的IP地址之間的相互作用。Flash呼叫驗證是在最終用戶設(shè)備上發(fā)起和終止語音通話。主叫方號碼是從與服務(wù)相關(guān)聯(lián)的專用號碼池中隨機選擇的。智能手機會自動接聽電話，并使用主叫方號碼作為身份驗證，而不是通常通過短信發(fā)送的一次性密碼進(jìn)行驗證。

低代碼和無代碼開發(fā)的四個安全問題

無代碼工具和平臺使用拖放界面來允許業(yè)務(wù)分析師等非編程人員創(chuàng)建或修改應(yīng)用程序。

與可見性問題相吻合的是不安全代碼的可能性。低代碼和無代碼平臺仍然有代碼。他們只是抽象了編碼，并允許最終用戶使用預(yù)先提供的代碼功能。這很好，因為它使非開發(fā)人員無需自己編寫代碼。當(dāng)使用的代碼是不安全的，并且通過低代碼和無代碼平臺在企業(yè)和應(yīng)用程序之間進(jìn)行推斷時，就會出現(xiàn)問題。

解決這個問題的一種方法是與平臺供應(yīng)商合作，要求平臺內(nèi)使用的代碼的安全掃描結(jié)果。靜態(tài)和動態(tài)應(yīng)用程序安全測試(SAST/DAST)等掃描結(jié)果可以為消費者提供一定程度的保證，即他們不僅僅是復(fù)制不安全的代碼。在企業(yè)控制之外創(chuàng)建代碼的想法并不是一個新概念，并且在開源軟件的使用中很普遍，98%以上的企業(yè)使用開源軟件，并且與其他存儲庫相關(guān)的軟件供應(yīng)鏈威脅也很常見，例如用于基礎(chǔ)設(shè)施的代碼(IaC)模板。

警惕！Linux惡意軟件攻擊日益猖獗

據(jù)介紹，針對Linux系統(tǒng)的初始攻擊通常不是通過利用漏洞，而是通過盜竊登錄信息來實現(xiàn)。雖然遠(yuǎn)程代碼執(zhí)行是闖入這類系統(tǒng)的第二大方式(比如利用盛行的Log4j漏洞)，但被盜用的身份信息常常讓攻擊者有更多的時間在受害企業(yè)的網(wǎng)絡(luò)系統(tǒng)內(nèi)部進(jìn)行探測。對攻擊者而言其優(yōu)點是，受害者需要更長的時間才能明白攻擊已發(fā)生。

需要特別重視的是，攻擊者還開始使用更先進(jìn)的工具來管理針對Linux基礎(chǔ)設(shè)施發(fā)動的攻擊。VMware的報告指出，Cobalt Strike是紅隊和滲透測試人員經(jīng)常使用的面向Windows的攻擊管理系統(tǒng)，但攻擊者現(xiàn)在開始用它來攻擊Linux。VMware目前監(jiān)測了14000臺使用Cobalt Strike的服務(wù)器。調(diào)查小組發(fā)現(xiàn)，Cobalt Strike程序中六分之一版本的客戶ID為0，這表明是試用版，但這些很可能已被破解。另外四個自定義ID占剩余Cobalt Strike服務(wù)器的近40%，這表明這些服務(wù)器上的保護(hù)機制也遭到了破壞。

微信真的不會保存聊天記錄嗎？《網(wǎng)絡(luò)安全法》給出了答案

微信作為中國體量最大的聊天工具，它的安全性關(guān)乎十多億人的隱私安全。那么到底微信會不會保存聊天記錄呢？根據(jù)微信官方的答復(fù)，微信不會保存聊天記錄，聊天內(nèi)容只存儲在用戶手機、電腦等終端設(shè)備上。這種“自證清白”的做法，并沒有得到網(wǎng)友們的廣泛認(rèn)可。在《網(wǎng)絡(luò)安全法》頒布之后，這個問題似乎有了答案。

《網(wǎng)絡(luò)安全法》第四十一條規(guī)定網(wǎng)絡(luò)運營者不得收集與其提供的服務(wù)無關(guān)的個人信息，不得違反法律、行政法規(guī)的規(guī)定和雙方的約定收集、使用個人信息，并應(yīng)當(dāng)依照法律、行政法規(guī)的規(guī)定和與用戶的約定，處理其保存的個人信息。第五十條規(guī)定國家網(wǎng)信部門和有關(guān)部門依法履行網(wǎng)絡(luò)信息安全監(jiān)督管理職責(zé)，發(fā)現(xiàn)法律、行政法規(guī)禁止發(fā)布或者傳輸?shù)男畔⒌?，?yīng)當(dāng)要求網(wǎng)絡(luò)運營者停止傳輸，采取消除等處置措施，保存有關(guān)記錄;對來源于中華人民共和國境外的上述信息，應(yīng)當(dāng)通知有關(guān)機構(gòu)采取技術(shù)措施和其他必要措施阻斷傳播。

聊聊了解數(shù)字簽名，你知道了嗎？

數(shù)字簽名(一種電子簽名)是一種數(shù)學(xué)算法，通常用于驗證消息的真實性和完整性。數(shù)字簽名創(chuàng)建個人或?qū)嶓w獨有的虛擬指紋，用于識別用戶并保護(hù)數(shù)字消息或文檔中的信息。數(shù)字簽名明顯比其他形式的電子簽名更安全，能夠提高了在線交互的透明度，并在客戶、業(yè)務(wù)合作伙伴和供應(yīng)商之間建立了信任。

數(shù)字簽名的工作原理是證明數(shù)字消息或文檔從簽名時起沒有被有意或無意地修改過。數(shù)字簽名通過生成消息或文檔的唯一散列并使用發(fā)件人的私鑰對其進(jìn)行加密來實現(xiàn)此目的。生成的散列對于消息或文檔是唯一的，更改其中的任何部分都將徹底更改散列。

接收者生成他們自己的消息或數(shù)字文檔的哈希值，并使用發(fā)送者的公鑰解密發(fā)送者的哈希值。接收者將他們生成的哈希值與發(fā)送者的解密哈希值進(jìn)行比較;如果匹配，則消息或數(shù)字文檔未被修改并且發(fā)件人已通過身份驗證。