普普安全資訊一周概覽(0219-0225)

作者:

時間:
2022-02-25
01

數(shù)以千計的惡意npm包威脅著Web應(yīng)用程序的安全

過去的6個月中,在開發(fā)者最常下載的JavaScript包庫npm中發(fā)現(xiàn)了1300多個惡意包。這種惡意組件數(shù)量的快速增長也反映出了npm正在成為惡意軟件的傳播平臺。

開源安全和管理公司W(wǎng)hiteSource最新研究發(fā)現(xiàn),惡意npm包數(shù)量的不斷增加使人感到很不安,這些包主要是被用作網(wǎng)絡(luò)應(yīng)用的組件。任何使用該惡意代碼塊的應(yīng)用程序都可能使其用戶遭到數(shù)據(jù)盜竊、加密劫持以及僵尸網(wǎng)絡(luò)等攻擊。

該公司表示,在發(fā)現(xiàn)的惡意軟件包中,有14%是為了竊取證書等敏感信息,而近82%的軟件包則是在偵查用戶的信息,攻擊者采用主動或被動的方式來收集目標(biāo)的相關(guān)信息。

過去的6個月中,在開發(fā)者最常下載的JavaScript包庫npm中發(fā)現(xiàn)了1300多個惡意包。這種惡意組件數(shù)量的快速增長也反映出了npm正在成為惡意軟件的傳播平臺。


普普點評

這種水平的攻擊活動可以使威脅者發(fā)起一系列的軟件供應(yīng)鏈攻擊。因此,WhiteSource調(diào)查了npm中的惡意攻擊活動,在2021年發(fā)現(xiàn)了1300多個惡意包,這些惡意包之后被刪除,但是在被刪除之前,可能就已經(jīng)被引入了大量的應(yīng)用程序內(nèi)。攻擊者正在集中精力利用npm惡意包來達(dá)到自己的攻擊目的,由于每月都有眾多npm軟件包被發(fā)布,一些惡意軟件包也很容易成為漏網(wǎng)之魚。







































普普安全資訊一周概覽(0219-0225)

02

用全面發(fā)展辯證的眼光看待《網(wǎng)絡(luò)安全審查辦法》

全面地看《網(wǎng)絡(luò)安全審查辦法》的“變”與“不變”。用全面發(fā)展辯證的眼光看待《網(wǎng)絡(luò)安全審查辦法》;二是堅持以落實國家安全、網(wǎng)絡(luò)安全基礎(chǔ)法律為主要目標(biāo)未變。

發(fā)展地看網(wǎng)絡(luò)安全審查制度的演進(jìn)與完善。一是組織結(jié)構(gòu)更加完善,新增證監(jiān)會作為網(wǎng)絡(luò)安全審查工作機制成員單位,加強赴國外上市網(wǎng)絡(luò)平臺運營者的審查;二是審查時限更切實際,將特別審查程序從45天延長到90天,體現(xiàn)了對于審查結(jié)論更加審慎的態(tài)度;三是權(quán)力監(jiān)督更加明確,既強調(diào)審查客體對于主體的責(zé)任與義務(wù)的監(jiān)督,也鼓勵社會監(jiān)督當(dāng)事人履行網(wǎng)絡(luò)安全審查中作出的承諾。

辯證地看《網(wǎng)絡(luò)安全審查辦法》當(dāng)前重點與長遠(yuǎn)意義。一是統(tǒng)籌安全與發(fā)展,網(wǎng)絡(luò)安全審查將通過依法依規(guī)開展審查獲得安全發(fā)展新優(yōu)勢。二是平衡開放與治理,網(wǎng)絡(luò)安全審查不會限制開放,不存在區(qū)別對待。三是兼顧當(dāng)前與長遠(yuǎn),網(wǎng)絡(luò)安全審查不僅要立足應(yīng)對當(dāng)前威脅,更要放眼長遠(yuǎn),推進(jìn)我國網(wǎng)絡(luò)空間治理體系和治理能力現(xiàn)代化。


普普點評

近日,國家網(wǎng)信辦等十三部門聯(lián)合修訂發(fā)布的《網(wǎng)絡(luò)安全審查辦法》(以下簡稱《辦法》)開始施行,針對2017年開始試行、2020年正式實施的網(wǎng)絡(luò)安全審查制度進(jìn)行完善升級,提出了網(wǎng)絡(luò)安全審查的新內(nèi)容,體現(xiàn)了依法治網(wǎng)的新進(jìn)展,開啟網(wǎng)絡(luò)安全審查的新篇章,修訂恰逢其時意義重大,需要正確認(rèn)識和把握。由于涉及面廣、牽涉主體多,《網(wǎng)絡(luò)安全審查辦法》出臺、修訂的全過程都備受關(guān)注,需要我們辯證客觀看待《網(wǎng)絡(luò)安全審查辦法》的當(dāng)前重點與長遠(yuǎn)意義。






































普普安全資訊一周概覽(0219-0225)

03

2022年關(guān)于網(wǎng)絡(luò)安全和身份驗證的發(fā)展趨勢

平衡風(fēng)險和用戶體驗

事實上,銀行的數(shù)字化轉(zhuǎn)型是建立在數(shù)字信任的基礎(chǔ)上,其中包括入職、身份驗證和支持對話。然而,銀行業(yè)在提供數(shù)字化客戶體驗這些方面仍然落后,并降低了客戶滿意度。

采用適應(yīng)性強的方法

移動設(shè)備身份驗證和全渠道參與已經(jīng)發(fā)展。新的身份驗證技術(shù)現(xiàn)在變得可用,通常是通過通信平臺啟用的API。于是出現(xiàn)了兩種選擇,數(shù)據(jù)驗證和Flash呼叫驗證。數(shù)據(jù)驗證的工作原理是,移動網(wǎng)絡(luò)運營商在用戶使用移動數(shù)據(jù)時分配給其電話號碼的IP地址之間的相互作用。Flash呼叫驗證是在最終用戶設(shè)備上發(fā)起和終止語音通話。主叫方號碼是從與服務(wù)相關(guān)聯(lián)的專用號碼池中隨機選擇的。智能手機會自動接聽電話,并使用主叫方號碼作為身份驗證,而不是通常通過短信發(fā)送的一次性密碼進(jìn)行驗證。


普普點評

隨著銀行和與之集成的支付平臺越來越多地在網(wǎng)上轉(zhuǎn)移,用戶體驗正成為頭等大事。大多數(shù)精通安全的企業(yè)都明白,啟用雙因素身份驗證是保護(hù)在線帳戶的最佳方式之一。在不久的將來,就像許多其他即服務(wù)平臺一樣,人們可能會看到提供單一統(tǒng)一的API,這些API可以提供身份驗證,能夠根據(jù)消費者對流暢的用戶體驗、可訪問性和服務(wù)特征的期望來確定最合適的方法——帳戶注冊、交易批準(zhǔn)或登錄,以及任何給定企業(yè)的業(yè)務(wù)目標(biāo)。






































普普安全資訊一周概覽(0219-0225)

04

低代碼和無代碼開發(fā)的四個安全問題

無代碼工具和平臺使用拖放界面來允許業(yè)務(wù)分析師等非編程人員創(chuàng)建或修改應(yīng)用程序。

與可見性問題相吻合的是不安全代碼的可能性。低代碼和無代碼平臺仍然有代碼。他們只是抽象了編碼,并允許最終用戶使用預(yù)先提供的代碼功能。這很好,因為它使非開發(fā)人員無需自己編寫代碼。當(dāng)使用的代碼是不安全的,并且通過低代碼和無代碼平臺在企業(yè)和應(yīng)用程序之間進(jìn)行推斷時,就會出現(xiàn)問題。

解決這個問題的一種方法是與平臺供應(yīng)商合作,要求平臺內(nèi)使用的代碼的安全掃描結(jié)果。靜態(tài)和動態(tài)應(yīng)用程序安全測試(SAST/DAST)等掃描結(jié)果可以為消費者提供一定程度的保證,即他們不僅僅是復(fù)制不安全的代碼。在企業(yè)控制之外創(chuàng)建代碼的想法并不是一個新概念,并且在開源軟件的使用中很普遍,98%以上的企業(yè)使用開源軟件,并且與其他存儲庫相關(guān)的軟件供應(yīng)鏈威脅也很常見,例如用于基礎(chǔ)設(shè)施的代碼(IaC)模板。


普普點評

如今,公民開發(fā)者的積極性越來越高,同時企業(yè)也希望由非開發(fā)者開發(fā)和創(chuàng)建應(yīng)用程序。這通常使用低代碼或無代碼框架來促進(jìn)。這些框架和工具允許非開發(fā)人員使用GUI來獲取和移動組件,以制作業(yè)務(wù)邏輯友好的應(yīng)用程序。授權(quán)更廣泛的IT和業(yè)務(wù)社區(qū)創(chuàng)建應(yīng)用程序以推動業(yè)務(wù)價值具有明顯的吸引力。也就是說,使用低代碼和無代碼平臺并非沒有安全問題。就像任何其他軟件產(chǎn)品一樣,開發(fā)平臺及其相關(guān)代碼的嚴(yán)謹(jǐn)性是一個不容忽視的問題。






































普普安全資訊一周概覽(0219-0225)

05

警惕!Linux惡意軟件攻擊日益猖獗

據(jù)介紹,針對Linux系統(tǒng)的初始攻擊通常不是通過利用漏洞,而是通過盜竊登錄信息來實現(xiàn)。雖然遠(yuǎn)程代碼執(zhí)行是闖入這類系統(tǒng)的第二大方式(比如利用盛行的Log4j漏洞),但被盜用的身份信息常常讓攻擊者有更多的時間在受害企業(yè)的網(wǎng)絡(luò)系統(tǒng)內(nèi)部進(jìn)行探測。對攻擊者而言其優(yōu)點是,受害者需要更長的時間才能明白攻擊已發(fā)生。

需要特別重視的是,攻擊者還開始使用更先進(jìn)的工具來管理針對Linux基礎(chǔ)設(shè)施發(fā)動的攻擊。VMware的報告指出,Cobalt Strike是紅隊和滲透測試人員經(jīng)常使用的面向Windows的攻擊管理系統(tǒng),但攻擊者現(xiàn)在開始用它來攻擊Linux。VMware目前監(jiān)測了14000臺使用Cobalt Strike的服務(wù)器。調(diào)查小組發(fā)現(xiàn),Cobalt Strike程序中六分之一版本的客戶ID為0,這表明是試用版,但這些很可能已被破解。另外四個自定義ID占剩余Cobalt Strike服務(wù)器的近40%,這表明這些服務(wù)器上的保護(hù)機制也遭到了破壞。


普普點評

由于Linux經(jīng)常用作云服務(wù)、虛擬機主機和基于容器的基礎(chǔ)設(shè)施等,攻擊者開始使用日益復(fù)雜的漏洞利用工具和惡意軟件攻擊Linux環(huán)境。VMware報告數(shù)據(jù)顯示:以勒索軟件、加密貨幣劫持和滲透測試工具破解版為代表的惡意軟件,開始越來越多地攻擊多云基礎(chǔ)設(shè)施中的Linux系統(tǒng)及應(yīng)用。雖然攻擊者目前還不會大規(guī)模將攻擊重點目標(biāo)從Windows轉(zhuǎn)移到Linux,但活動頻繁程度明顯提升,企業(yè)組織需要提前防范這種威脅。






































普普安全資訊一周概覽(0219-0225)

06

微信真的不會保存聊天記錄嗎?《網(wǎng)絡(luò)安全法》給出了答案

微信作為中國體量最大的聊天工具,它的安全性關(guān)乎十多億人的隱私安全。那么到底微信會不會保存聊天記錄呢?根據(jù)微信官方的答復(fù),微信不會保存聊天記錄,聊天內(nèi)容只存儲在用戶手機、電腦等終端設(shè)備上。這種“自證清白”的做法,并沒有得到網(wǎng)友們的廣泛認(rèn)可。在《網(wǎng)絡(luò)安全法》頒布之后,這個問題似乎有了答案。

《網(wǎng)絡(luò)安全法》第四十一條規(guī)定網(wǎng)絡(luò)運營者不得收集與其提供的服務(wù)無關(guān)的個人信息,不得違反法律、行政法規(guī)的規(guī)定和雙方的約定收集、使用個人信息,并應(yīng)當(dāng)依照法律、行政法規(guī)的規(guī)定和與用戶的約定,處理其保存的個人信息。第五十條規(guī)定國家網(wǎng)信部門和有關(guān)部門依法履行網(wǎng)絡(luò)信息安全監(jiān)督管理職責(zé),發(fā)現(xiàn)法律、行政法規(guī)禁止發(fā)布或者傳輸?shù)男畔⒌?,?yīng)當(dāng)要求網(wǎng)絡(luò)運營者停止傳輸,采取消除等處置措施,保存有關(guān)記錄;對來源于中華人民共和國境外的上述信息,應(yīng)當(dāng)通知有關(guān)機構(gòu)采取技術(shù)措施和其他必要措施阻斷傳播。


普普點評

以上可以得出用戶聊天記錄與微信所提供的服務(wù)無關(guān),微信無權(quán)保存用戶的聊天信息。只要保存用戶聊天信息,就屬于違法行為。對于法律、行政法規(guī)禁止發(fā)布或者傳輸?shù)男畔?,微信?yīng)當(dāng)保存有關(guān)記錄,否則根據(jù)《網(wǎng)絡(luò)安全法》第六十八條的規(guī)定,有關(guān)主管部門將責(zé)令改正,沒收違法所得,處以罰款,甚至責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、關(guān)閉網(wǎng)站、吊銷許可證或執(zhí)照等處罰。從這兩點上看,微信的確不會保存普通用戶的聊天記錄到服務(wù)器中。






































普普安全資訊一周概覽(0219-0225)

07

聊聊了解數(shù)字簽名,你知道了嗎?

數(shù)字簽名(一種電子簽名)是一種數(shù)學(xué)算法,通常用于驗證消息的真實性和完整性。數(shù)字簽名創(chuàng)建個人或?qū)嶓w獨有的虛擬指紋,用于識別用戶并保護(hù)數(shù)字消息或文檔中的信息。數(shù)字簽名明顯比其他形式的電子簽名更安全,能夠提高了在線交互的透明度,并在客戶、業(yè)務(wù)合作伙伴和供應(yīng)商之間建立了信任。

數(shù)字簽名的工作原理是證明數(shù)字消息或文檔從簽名時起沒有被有意或無意地修改過。數(shù)字簽名通過生成消息或文檔的唯一散列并使用發(fā)件人的私鑰對其進(jìn)行加密來實現(xiàn)此目的。生成的散列對于消息或文檔是唯一的,更改其中的任何部分都將徹底更改散列。

接收者生成他們自己的消息或數(shù)字文檔的哈希值,并使用發(fā)送者的公鑰解密發(fā)送者的哈希值。接收者將他們生成的哈希值與發(fā)送者的解密哈希值進(jìn)行比較;如果匹配,則消息或數(shù)字文檔未被修改并且發(fā)件人已通過身份驗證。


普普點評

將數(shù)字簽名與 PKI 或 PGP 結(jié)合使用可以加強它們,并通過驗證密鑰屬于發(fā)送者并驗證發(fā)送者的身份來減少與傳輸公鑰相關(guān)的可能安全問題。數(shù)字簽名的安全性幾乎完全取決于私鑰的保護(hù)程度。通過使用受信任的第三方,數(shù)字簽名可用于識別和驗證個人并確保消息的完整性。隨著無紙化、在線交互的使用越來越廣泛,數(shù)字簽名可以幫助我們保護(hù)數(shù)據(jù)的完整性。通過了解和使用數(shù)字簽名,可以更好地保護(hù)信息、文檔和交易。