freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

FreeBuf 2018年企业安全月报(三月刊)
2018-04-10 08:00:24
所属地 上海

People always make the best exploits. I've never found it hard to hack most people. If you listen to them, watch them, their vulnerabilities are like a neon sign screwed into their heads.

人总是最佳突破口,绝大多数人都不难黑,只要你倾听他们、观察他们,人的漏洞就像钉在头顶的霓虹灯一样。

安全漏洞预警

微软Meltdown补丁引发更大安全漏洞,现已修复

1 月份来势汹汹的 Meltdown 漏洞到现在还余威未散。近日,瑞典 IT 研究人员发现微软在 2018 年 1 月 发布的 Meltdown 补丁导致 Windows 7 出现更大的安全问题,可以让任意用户级应用读取操作系统内核的内容,甚至向内核内存写入数据。

win7-dump.png

简而言之 – 在 PML4 (4级内存页表层次结构的基础,CPU 内存管理单元(MMU)使用 PML4 将进程的虚拟地址转换为RAM中的物理内存地址)自引用条目中,User / Supervisor权限位已设置为User。这使得原本只能由内核本身访问的页表在每个进程中都可被用户模式代码获取。

据了解,微软在 3 月份的修复日修复了这个问题。Windows 7 and Server 2008 R2 尤其要注意确认,如果 1月份安装了更新,那么也要尽快安装 3 月份的更新。

[bleepingcomputer]

研究人员发现新的类 Spectre 分支预测攻击 BranchScope

近日,美国威廉玛丽学院、卡内基梅隆大学、加州大学河滨分校和宾厄姆顿大学的研究人员报告了一种新的分支预测攻击,能够利用现代CPU中的推测执行功能来获取用户CPU数据,泄漏敏感数据和数据安全边界。这种边信道攻击方法与今年年初的 Meltdown 和 Specter 漏洞利效果相似,但研究人员这次利用的是CPU推测执行功能中的一个新片段。

新的攻击被命名为 BranchScope,与 Spectre v2 攻击有相似之处,都是利用处理器的分支预测行为。Spectre 2 依赖于分支目标缓冲区 (Branch Target Buffer),而 BranchScope 则是模式历史表 (Pattern History Table),可以让攻击者取代 CPU 进行指令执行的决策。在这种方式之下,攻击者可以在计算机的特定区域上获取敏感信息。目前,研究员已经成功在因特尔处理器上通过了漏洞利用复现测试。[来源:FreeBuf]

远程桌面协议出现 CredSSP 漏洞,影响所有版本的 Windows

RDP 和 WInRM 中使用的 CredSSP 协议(安全加密 Windows 用户远程登录过程)中出现严重漏洞,影响所有版本的 Windows。远程攻击者额可以利用这个漏洞,使用 RDP 和 WinRM 窃取数据并运行恶意代码。这个漏洞由网络安全公司 Preempt Security 发现,编号为 CVE-2018-0886,是一个逻辑加密漏洞,可被中间人攻击者利用,通过 WiFi 或物理接触网络来窃取 session 认证数据,发起远程进程调用攻击。

Windows10.jpg

如果用户和服务器通过 RDP 和 WinRM 连接协议进行认证,中间人攻击就能执行远程命令,入侵企业网络。而由于 RDP 是远程登录中最常用的应用,几乎所有企业用户都在使用,因此,这个漏洞可造成大范围影响。目前,微软已经发布相关更新补丁,用户应尽快下载更新,同时可以禁用 RDP 等相关应用端口,尽可能少使用特权账户,多使用非特权账户。[来源:Thehackernews]

Samba 发布新版本,修复两个严重漏洞

Samba 是一款广受欢迎的软件。使用 SMB/CIFS 协议的用户可以使用 Samba 安全且快速的文件与打印服务,还可以实现 GNU/Linux 或 Mac OS X 系统与 Windows 系统共享文件夹、文件、打印机。近日,Samba 项目维护者发布了 Samba 新版本,修复了两个严重漏洞。没有特权的攻击者可利用这个漏洞,针对服务器发起 DoS 攻击,并更改任意用户(包括管理员)的密码。

samba-2.jpg

第一个是 DoS 漏洞(CVE-2018-1050)是由于缺少对某些参数的输入清理检查而造成的,会影响 Samba 4.0.0 及以后的所有版本。如果 PC Spoolss 服务被配置为外部保护服务而运行,那么就可能会被攻击者利用。

第二个漏洞(CVE-2018-1057)是由于 Samba 在用户申请通过 LDAP 修改密码时没有正确验证请求是否有效。这个漏洞影响 Samba Active Directory DC、所有版本的 Samba’s AD DC 以及  Samba 4.0.0alpha13 之后的发行版本。

建议管理员尽快升级更新,也可查看 Samba 安全更新页面了解详情。[来源:Securityaffairs]

WannaCry勒索病毒卷土重来,波音工厂中招

当地时间3月27日,《西雅图时报》报道称,美国南卡罗来纳州查尔斯顿的一家波音飞机工厂遭到了销声匿迹已久的WannaCry勒索病毒袭击。据报道,波音公司的高管已对全公司发出了“紧急就位”的指示。

timg (4).jpg

根据报道,昨日波音公司的商用飞机产品总工程师Mike VanderWel发出了紧急就位指示并补充道,事态正在迅速波及到北查尔斯顿以外的地区,据说还导致波音777的自动化翼梁组装工具宕机。VanderWel还担心,勒索病毒会通过测试用电脑转移到新生产的飞机上。

20180329_144756_108.png

但是波音公司对外表现出了低调的态度。他们在官方推特上表示,一些报道夸大了此次事件的影响,属于失实报道。他们还表示,公司的网络安全中心发现只有少数设备系统遭到了入侵,并且没有导致生产或运输问题。

[IT之家]

黑客瞄准中东和非洲,利用路由器安装Slingshot间谍软件,发起攻击

SAS_Infographics_the_map_of_Slingshot_attacks.jpg

卡巴斯基的安全研究人员发现了一个新的复杂的APT小组,自至少2012年以来一直在活动。

研究人员追踪了该组织,并确定了其使用的一种恶意软件,即Slingshot,以此来入侵中东和非洲数十万受害者的系统。

研究人员已经在肯尼亚,也门,阿富汗,利比亚,刚果,约旦,土耳其,伊拉克,苏丹,索马里和坦桑尼亚发现了约100名Slingshot受害者。

肯尼亚和也门迄今为止感染人数最多。大多数受害者是个人而非组织,政府组织数量有限。

APT组利用拉脱维亚网络硬件提供商Mikrotik使用的路由器中的零日漏洞(CVE-2007-5633; CVE-2010-1592,CVE-2009-0824)将间谍软件放入受害者的计算机中。

[SecurityAffairs]

思科软件上的硬编码密码让攻击者能够接管linux服务器

Cisco Prime Collaboration Provisioning 软件中发现了一个中等级别的漏洞,该漏洞可能允许本地攻击者将权限提升到root并完全控制系统。Cisco Prime Collaboration Provisioning(PCP)应用程序允许管理员远程控制公司内部署的思科通信设备(集成IP电话,视频,语音邮件)以及其服务的安装和管理。

屏幕快照 2018-03-09 上午10.15.38.png

而这个漏洞(CVE-2018-0141)是因SSH的硬编码密码造成的,该密码可能被本地攻击者利用来连接PCP的Linux操作系统并获得权限。虽然这个漏洞的通用漏洞评分系统(CVSS)基本评分为5.9分,但思科已将此漏洞评为非常重要。

另一个比较受重视的漏洞是 Java 反序列化漏洞,影响思科的安全访问控制系统(ACS)。由于受影响的软件试图反序列化用户提供的内容时,远程攻击者可以利用这个漏洞,无需提供正确凭证就能发送精心设计的序列化 Java 对象,获取 root 权限并执行任意命令。

按照 CVSS 漏洞评分(满分 10 分),这个漏洞得分为 9.8 分,属于严重漏洞,影响 5.8 patch 9 版本之前所有版本的思科安全 ACS 系统。不过,运行 5.8 patch 7 版本和 5.8 patch 8 版本的系统需要提供凭证才能利用,因此 CVSS 漏洞评分为 8.8。思恩客建议用户尽快将系统升级到最新版本,并参考安全公告进行安全更新。

[来源:thehackernews]

黑客可利用Windows远程协助窃取敏感文件

Trend Micro 0-day 计划的研究人员发现微软的 Windows 远程协助(快速访问)功能出现严重的信息披露漏洞(CVE-2018-0878),影响目前为止所有版本的 Windows,Windows 10、 8.1、 RT 8.1 以及 7 都包括在内。利用这个漏洞,远程攻击者可以窃取目标计算机中的敏感文件。

u=2676056671,1293176905&fm=27&gp=0.jpg

Windows 远程协助是微软的内置工具,利用这个工具,用户与信任的人之间可以相互接管对方的计算机。这个功能原本是借由远程桌面协议(RDP)实现的。

目前,在微软 3 月份的修复日中,这个漏洞已经被修复,用户可以尽快下载补丁,更新修复。[来源:TheHackerNews]

企业安全威胁播报

超1000家Tim Hortons 连锁店因中病毒无法结账

本周超过1000家Tim Hordons咖啡与唐纳滋连锁店因电脑设备中病毒无法正常结账,引发了一些混乱。

这些计算机设备是Win XP系统的,影响区域包括美国和加拿大多地。

部分店门仍然处在病毒影响之下,相关调查也正在进行之中。

donuts-2_C892FB7F-9A3C-4247-93E197B6C36B6AC9_d2de6873-d976-4141-9ff5221788267301.jpg

[ 来源:BP]

惠普远程管理工具漏洞被用来攻击服务器

servers_generic-680x400.jpg

Hewlett Packard Enterprise修补了远程管理硬件(Integrated Lights-Out 3)中的一个漏洞,该漏洞在其广受欢迎的HP ProLiant服务器系列中使用。该错误允许攻击者启动未经身份验证的远程拒绝服务攻击,这可能会导致在某些情况下对脆弱数据中心造成损害。

该漏洞(CVE-2017-8987)评级为“高危”,CVSS基本评分为8.6,漏洞由Rapid7研究人员发现。 HPE在2月22日公开报告了该错误,并提供了补丁。

受影响的是HPE Integrated Lights-Out 3(iLO3)的v1.88固件。固件新版本(1.8,1.82,1.85和1.87)以及iLO4固件(v2.55)不受影响。

Hewlett-Packard iLO是ProLiant服务器的嵌入式服务器管理技术,由具有独立网络连接的物理卡组成。它让系统管理员能够远程管理服务器。

Rapid7的研究主管Tod Beardsley说:“攻击者可以锁定远程管理,黑掉数据中心。”

GitHub遭受有史以来最严重DDoS攻击

北京时间周四凌晨1点15分,知名代码托管网站GitHub遭遇了有史以来最严重的DDoS网络攻击,峰值流量达到了1.35Tbps。尽管此类攻击的特点就是利用如潮水般的流量同时涌入网站,不过本次攻击不同之处在于采用了更先进的放大技术,目的是针对主机服务器产生更严重的影响。

github-attack-740x320.jpg

这项新技术并非依赖于传统的僵尸网络,而是使用了Memcached。该服务器的设计初衷是提升内部网络的访问速度,而且应该是不暴露在互联网中的。不过根据DDoS防御服务提供商Akamai的调查,至少有超过5万台此类服务器连接到服务器上,因此非常容易受到攻击。

[来源:cnbeta]

AMD确认产品存在漏洞,将发布补丁

AMD首席技术官Mark Papermaster今天证实,CTS Labs 在 3 月 12 日发布的 RyzenFall、MasterKey、Fallout 和 Chimera 漏洞确实存在,并且影响了AMD Ryzen和EPYC系列处理器。

15216121305655.png

三个漏洞–MasterKey,Fallout和RyzenFall–影响AMD平台安全处理器(PSP)这是一个类似于英特尔管理引擎(ME)的安全芯片处理器,与其他AMD产品在硬件层面上就有所不同,通常它会处理安全数据,如密码,加密密钥等。

最后一个Chimera漏洞会影响管理处理器,内存和外设之间通信的AMD芯片组(主板组件),攻击者可以执行代码并将虚假信息传递给其他组件。

AMD 表示将在“未来几周内发布补丁。”[来源:bleepingcomputer]

三星SmartCam存在数十个安全漏洞

韩华SmartCam相机受到十多个漏洞的影响,包括远程控制设备的严重缺陷。目前受影响的摄像机广泛用于监控之中,并可让用户通过内置扬声器与被监控人员进行对话。

该产品可以通过设备远程控制,所有录制的视频都存储在云端。三星电子在2014年将部门出售给韩国联合企业韩华集团。但目前这些韩华的 SmartCam 产品仍被命名为“三星”。

Pdpdefault-snh-p6410bn-600x600-C1-052016.jpeg

研究人员分析了这些设备并发现了缺陷。 Kaspersky 实验室的高级安全研究员 Vladimir Dashchenko 上周在SAS上披露了这些问题。这家安全公司还在周一发布了一篇博客文章,描述这些调查结果。

专家已经确定了大约2000个 IP 地址与暴露于互联网的摄像机存在关联。

[来源:securityweek]

黑客试图在沙特石油化工厂引发爆炸

Saudi-cyber-experts-2.jpg

针对沙特阿拉伯一家石化工厂的新的网络攻击成了头条,黑客在8月试图袭击基础设施。

据纽约时报报道,黑客袭击了沙特阿拉伯的石化工厂,幸运的是,这次袭击由于代码故障而失败。

“8月份,一家在沙特阿拉伯工厂生产的石化公司遭到了一种新的网络袭击。调查人员认为,这次袭击的目的不是简单地破坏数据或关闭工厂。这意味着破坏公司的运行并引发爆炸。“纽约时报报道。

调查人员并没有将这次袭击归咎于某个特定组织/人物,但是在匿名条件下接受纽约时报采访的人们解释说,网络攻击可能旨在引发一场可以保证伤亡的爆炸。

由于恶意代码中的错误导致关闭系统关闭,因此网络攻击没有造成严重后果。

[SecurityAffairs]

行业观点

卡巴斯基实验室:能源行业受到网络攻击的攻击比其他任何行业都要多

卡巴斯基实验室周一发布报告表示,能源行业受到网络攻击的攻击比其他任何行业都要多,去年披露的许多漏洞也影响了能源企业中使用的产品。

Targeted_industry_sectors.png

该安全公司分析了 ICS-CERT 在 2017 年披露的共计 322 个漏洞,供应商及其研究人员,包括与工业控制系统(ICS)以及工业组织使用的通用软件和协议有关的问题。

其他受到大量漏洞影响的行业是水和废水处理(97),交通运输行业(74),商业设施(65)以及粮食和农业产业(61)。

通用软件和协议的漏洞也对工业组织产生了影响,包括被称为KRACK的WPA漏洞和因特尔芯片漏洞。

[来源:securityweek]

谷歌为G Suite用户部署新的反钓鱼和恶意软件检测功能

谷歌推出了G Suite新的安全功能,包括企业云计算,生产力和协作工具。尽管几项G Suite服务得到了改进,但Gmail for Business最受欢迎的增加功能是Google服务,该服务允许公司通过自定义域将Gmail用作其内部电子邮件服务。

maxresdefault.jpg

从今天开始,G Suite管理员可以在G Suite后端内部启用全新的AI支持的安全功能。这些功能用于检测并警告用户带有潜在恶意软件和电子邮件的邮件,这些邮件是鱼叉式网络钓鱼的一部分。更具体地说,Google将开始标记携带加密文件的电子邮件,脚本文件,包含缩短网址的电子邮件以及似乎来自欺骗域或使用欺骗性发件人名称的电子邮件。[来源:bleepingcomputer]

韩国电信宣布在网络安全中应用区块链技术

86580_94581_2412.jpg

韩国著名移动运营商韩国电信(KT)在周二宣布计划采用基于区块链安全解决方案的新型电信系统。

该公司的一位首席研究人员Seo Young-il表示,被称为“未来互联网”的韩国电信数字基础设施项目将允许人们和企业使用他们自己的数据获得奖励,而不是像Google这样的门户运营商垄断私人数据的访问权。

融合技术研究所的区块链中心负责人在接受《韩国先驱报》采访时表示:

“使用区块链技术,通过不可伪造的区块链网络传输数据可以抵御黑客的攻击,并且用户将基于信任互相传送他们自己的数据,无需依赖第三方OTT业务。”

韩国电信的最终目标是在未来几年利用区块链技术重建韩国的网络基础设施。

[36Kr]

谷歌72位量子计算机来了!比特币有可能被破解

在今年于洛杉矶举办的美国物理学会年会上,谷歌放了一个大招,发布全球首个 72 位量子比特通用的量子计算机 Bristlecon,实现 1% 的低错误率,与谷歌之前涉及的 9 量子比特通用的量子计算机持平。这款处理器不仅能够帮助科学家们进行量子模拟的探索,还能够在量子优化和量子机器学习上有所应用。

目前量子计算机只在科研领域有所应用,但如果真如 Google 实验室所言,Bristlecone 能达到量子霸权,那么比特币等基于区块链技术的虚拟货币可能将被破解。根据区块链中少数服从多数的原则,一旦矿工拥有 51% 的算力,其他后续矿工将无法继续获得比特币。而未来随着量子计算机量子比特的增长,区块链采用的非对称密码算法,即公钥密码系统也会受到更大的威胁。

通过使用量子计算机,可以实现反向运行用公钥推定私钥的过程,每个人的私钥都会被量子计算机轻易推断出来。外媒Motherboard认为一个4000量子比特的量子计算机就可以瓦解区块链,也就是说哪个人或团队先做出并应用这样的量子计算机就可以解出并验证每一笔交易,未来会产生的还未流通的所有加密货币都会被其垄断,加密货币的信任系统将被瓦解。详情可参见 FreeBuf 的专题文章:量子计算从概念走入现实,公钥加密是否岌岌可危。[来源:FreeBuf]

2017年有近五分之四的企业(79%)受到了数据泄漏的影响

Balabit调查显示,近近五分之四的企业(79%)在去年遭遇数据泄漏的影响。 他们的研究显示,今年有68%的企业预计会受到进一步的数据泄漏行为的影响,而超过四分之一的企业预计在未来六个月内会发生数据泄漏行为。

20141226184510-10-tips-craft-strong-business-plan.jpeg

研究表明,80%的受访者认为培训员工是保障网络安全的关键。 但事实是,企业必须找到技术防护手段和员工培训之间的平衡,以解决内部威胁。

尽管83%的企业认同技术手段能够有效预防漏洞,但73%的企业认为技术难以跟上安全威胁的演变。 

[来源:helpnetsecurity]

到 2020 年,约 90% 的企业都会使用生物认证技术

国外公司 Spiceworks 近期发布一项调查报告,称到 2020 年,90% 的企业将会采用生物认证技术。这份调查针对北美和欧洲的 500 多名受访者,主题围绕目前发展迅速的生物认证技术。结果发,62% 的受访者已经采取了不同形式的生物认证,24% 的受访者表示未来两年内将采用生物认证技术。

不过,虽然大部分人认为生物认证比密码、PIN、和个人验证问题更加安全,但是也有人对此表示担忧。仅有10% 的受访者认为只使用生物认证这一种验证方式就足够保障安全。大部分情况下,人们采用的还是多因素验证方法。

u=3175815702,1951009247&fm=27&gp=0.jpg

目前为止,指纹验证是最常用的生物认证方式(57%),人脸识别排第二(14%),其他的还有手部姿势识别(5%)、虹膜扫描(3%)、语音识别(2%)和手掌静脉识别(2%)等。此外,企业组织最常在智能手机上进行生物认证(46%)、其次是笔记本电脑(25%)和平板设备(22%)等。

很多 IT 专家认为,在未来两到三年内,生物认证还不会完全替代文本密码,但依然会成为比较重要的验证方式。[来源:infosecurity]

微软发布安全情报报告,显示亚洲是 2017 年受勒索软件影响最大的地区

微软近日发布了其第 23 号安全情报报告,基于对 2017 年 2 月到 12 月的数据分析,亚洲成为 2017 年遭到勒索软件攻击最多的地区。其中,缅甸和孟加拉国是受影响最严重的两个国家,分别占 0.48% 和 0.36%,而委内瑞拉则排在第三位,达到 0.33%。遭遇勒索软件攻击较少的地区或国家包括日本、芬兰和美国,所有这些地区的平均每月遭遇勒索软件攻击的概率为 0.03%。

亚洲是 2017 年受勒索软件影响最大的地区

此外,安卓锁屏软件 LockScreen 是 2017 年最活跃的勒索软件。2017 年臭名昭著的 WannaCry、Cerber 等也在排行榜前几名。[来源:bleepingcomputer]

周鸿祎:网络安全漏洞管理亟待加强

5b5c000290ad3a3a6564.jpg

周鸿祎表示,在网络安全领域,技术公司只能解决一部分的安全问题,但一些单位对曝出的漏洞熟视无睹,没有建立其整个网络处理相关问题的流程机制

降低社会网络安全风险,需流程制度设计。3月2日,全国政协委员、360公司董事长周鸿祎在记者发布会上向财新记者表示,360公司每年发现数万个漏洞,但依然有很多单位在被告知漏洞后,对此熟视无睹。防范漏洞其实不是技术问题,涉及到企业管理和规则制定。

[天天快报]

北京市消协发布手机APP个人信息安全调查报告

zhedi.jpg

据北京市消协网站消息,随着移动互联网的快速发展,各种手机应用软件(简称手机APP)呈爆发式增长。手机APP在给人们带来便利的同时,也带来了许多困扰。部分手机APP过度收集、违规使用个人信息,导致大量个人隐私信息泄露或被窃取,甚至引发各种信息诈骗等刑事案件,给人们的生命财产安全带来严重风险隐患。

为了解手机APP个人信息安全问题,保护广大消费者的合法权益,规范手机APP行业健康发展,推动个人信息保护立法和制定手机网络安全标准,北京市消费者协会委托北京阳光消费大数据技术研究院开展本次手机APP个人信息安全调查活动。本次调查包括问卷调查、大数据分析两个部分。

本次问卷调查通过北京市消费者协会网、消费者网和“北京消协”微信等渠道,共收到有效调查问卷3380份。调查结果显示,有89.62%的人认为手机APP存在过度采集个人信息,79.23%的人认为手机APP上的个人信息不安全,41.16%的人在安装或使用手机APP之前从来不看授权须知。安装手机APP类型排在前三位的分别是购物、餐饮和音乐,而被手机APP采集最多的个人信息依次是联系方式、姓名和头像,被调查者最担心被采集的个人信息是身份证号和银行账号,最担心出现的问题是个人信息被贩卖或交换给第三方以及被利用从事诈骗和窃取活动。

[人民网]

行业动态

Palo Alto Networks宣布三亿美元收购云安全公司 Evident.io

paloaltonetworks101_600x400.jpg

雷锋网消息,Palo Alto Networks周三宣布以3亿美元的现金收购云安全公司Evident.io。

预计这笔交易将在Palo Alto Networks第三财季结束后完成,Evident.io的联合创始人Tim Prendergast和Justin Lundy将加入Palo Alto。网络犯罪的热门领域和投资的热门领域直接挂钩。据雷锋网了解,随着进入网络安全这一新兴市场的公司体量越来越大,大鱼吃小鱼的并购也达到了高潮。

IT团队正在迅速采用公共云来跟上新业务的需求。其中,风险是最受关注的问题,Palo Alto Networks收购Evident.io可以强化其云安全业务。此外,安全服务的方向也在不断变化:安全公司正在转向数据分析、机器学习以及其他人工智能技术,将不同的安全服务结合能够使用更大的数据库,从而让服务更加强大。

[雷锋网]

行业事件

GitHub 2017年支付漏洞赏金100多万元,超出去年一倍多

 GitHub 2017年支付漏洞赏金100多万元,超出去年一倍多

程序员最爱的 GitHub 在 2014 年开展了一项为期 4 年的漏洞奖励计划,到 2017 年已经是第四年。这四年间,累计发放的漏洞赏金约 35 万美元(按照 3 月 19 日汇率约2216095 元)。其中,前两年累计为 95300 美元,2016 年为 81700 美元,而 2017 年是 2016 年的 2 倍多,达 166495 美元(按照 3 月 19 日汇率约 1054163 元)。

2017 年全年,GitHub 累计收到 840 个漏洞提交报告,但是只有 121 个(15%)得以解决并获得奖金。2016 年,GitHub 共收到 795 个漏洞提交报告,其中只有 73 分有效内容获得奖励,且只有 48 个真正有技术含量,登上了 GitHub 漏洞奖励项目的主页。由于收到有效漏洞数量不尽如人意,所以 GitHub 在 2017 年 10 月重新评估了其支出结构,提高了奖金金额。最终,漏洞赏金增加了一倍,最低额度为 555 美元一个,而最高达到 2 万美元一个。

GitHub 的 Greg Ose 指出,由于以上整改,参与的项目、计划和研究人员规模都不断增加,2017 年 GitHub 支付的赏金是有史以来最多的。此外,他们把 GitHub Enterprise 新版块添加到漏洞奖励项目中,鼓励安全研究员提交 GitHub.com 平台上未公开的或者某些特定的企业部署中比较重要的关键漏洞。

[Freebuf]

英特尔推出新硬件级保护措施,防范 spectre 类似漏洞

本周四,英特尔宣布将为以后的 CPU 产品采取新的硬件级保护措施,防范未来可能出现的 Meltdown 与 Spectre 类似漏洞。预计这些搭载新保护功能的新产品将在 2018 年下半年面世。目前,英特尔 8 代核心处理器以及英特尔 Xeon Scalable 处理器(代码名 Cascade Lake)也添加了新的保护功能。

英特尔推出新硬件级保护措施,防范 spectre 类似漏洞

由于年初的 Meltdown 和 Spectre 影响太大,英特尔除了不断发布补丁、更新修复之外,也为所有现有主流 CPU 产品发布了微代码更新,增强安全性。而此次更是推出了针对未来产品的保护措施“防护墙”(”partitions”),能让恶意代码的存储位置与CPU进程区域隔离,让恶意攻击者无法轻易实现攻击,进而防范 Spectre 和 Meltdown 的变种及类似漏洞。[来源:bleepingcomputer]

中央网络安全和信息化领导小组改为委员会,将优化管理职责

近日,中共中央印发了《深化党和国家机构改革方案》,并发出通知,要求各地区各部门结合实际认真贯彻执行。

关于党中央机构改革(有关信息通信行业)具体调整情况如下:

中央全面深化改革领导小组、中央网络安全和信息化领导小组、中央财经领导小组、中央外事工作领导小组改为委员会

为加强党中央对涉及党和国家事业全局的重大工作的集中统一领导,强化决策和统筹协调职责,将中央全面深化改革领导小组、中央网络安全和信息化领导小组、中央财经领导小组、中央外事工作领导小组分别改为中央全面深化改革委员会、中央网络安全和信息化委员会、中央财经委员会、中央外事工作委员会,负责相关领域重大工作的顶层设计、总体布局、统筹协调、整体推进、督促落实。

4 个委员会的办事机构分别为中央全面深化改革委员会办公室、中央网络安全和信息化委员会办公室、中央财经委员会办公室、中央外事工作委员会办公室。

优化中央网络安全和信息化委员会办公室职责

为维护国家网络空间安全和利益,将国家计算机网络与信息安全管理中心由工业和信息化部管理调整为由中央网络安全和信息化委员会办公室管理。

工业和信息化部仍负责协调电信网、互联网、专用通信网的建设,组织、指导通信行业技术创新和技术进步,对国家计算机网络与信息安全管理中心基础设施建设、技术创新提供保障,在各省(自治区、直辖市)设置的通信管理局管理体制、主要职责、人员编制维持不变。

[新华网]

网络安全法实施8个月全国执法盘点 新浪微博、腾讯被处最高罚款

Screenshot-2018-3-19 5aad4086c350c jpg (JPEG Image, 750 × 6126 pixels)(1).png 

今年两会,个人信息保护成为代表委员热议的话题。十三届全国人大一次会议第二次全体会议期间,最高人民法院院长周强做工作报告时,也提及严惩泄露个人信息、非法买卖信息等犯罪行为,维护公民信息安全。

南都记者注意到,自2017年6月1日《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》和《中华人民共和国网络安全法》(以下简称网络安全法)施行至2018年3月初,全国各地已出现多起相关判决和执法案例,严打公民信息泄露和侵犯公民个人信息罪,用法律进一步保障个人信息的效应开始显现。

就网络安全法来看,目前各地已公开的执法案例共30例左右,涉及关键信息基础设施的网络运营者、直接负责的主管人员、网络产品或服务提供者等责任主体。现有的处罚对象主要集中于网络运营者这一核心责任主体。

网络安全法的处罚行为包括侵犯个人信息、从事危害网络安全的活动、不履行安全保护和风险告知义务等等。从现有案例看,被处罚多与违反网络安全保护义务或违法违规信息管理义务密切相关。

其中,一些公共机构如政府、学校等因为没有落实网络安全等级保护制度被追责。新浪微博、百度贴吧、腾讯等网络运营单位则由于对法律法规禁止发布的信息未尽到管理义务被重罚,其中新浪微博、腾讯被处以最高罚款。

[搜狐]

上海警方开展净网2018行动:集中打击侵犯公民个人信息,铲除网络“黑产”“黑市”

根据公安部统一部署,自即日起至12月底,上海警方将开展“净网2018”专项行动,集中清理整治和查处网上违法信息,集中侦破一批侵犯公民个人信息和黑客攻击案件,打掉一批违法犯罪链条和源头。

日前,上海网安部门组织全市30家重点网站、网络服务商、信息服务商和联网单位集中签订安全责任承诺书,督促指导互联网企业落实信息安全管理责任。

根据承诺书的要求,相关互联网企业要及时发现和清理 “黑拐骗”、黑客攻击破坏、买卖公民个人信息等违法犯罪信息,进一步落实防范、发现、处置和报告违法信息等责任。

承诺书还要求相关互联网企业重视保护公民个人信息,加强对移动互联网应用、网络域名交易和网络流量租赁等领域的安全监督和检查,在APP、网站、网店、群主、博主、自媒体等领域建立用户实名身份核验机制,推行“实人实证实名”认证制度。加强管理规范和标准建设,根据法律法规要求和网络应用服务类别,逐项完善并监督落实网络安全管理规范,铲除网络“黑产”、“黑市”的滋生土壤和生存空间。

同时,上海警方将集中开展网上违法信息清理整治和查处工作。依法从严打击传播淫秽等信息的违法犯罪行为,对现有视频节目开展地毯式排查,坚决清理各类违法信息。

微信图片_20180314235419.jpg

2017年,上海警方共摧毁贩卖公民个人信息犯罪团伙50余个。在这些案件中,企事业单位内部人员违法操作贩卖和黑客利用非法手段攻击盗取已成为公民信息泄露的主要途径。

“净网2018”专项行动中,上海警方将按照“快侦快破”原则,集中侦破一批案件,集中打掉一批违法犯罪链条和源头。对黑客攻击破坏案件,严打制作传播恶意程序、倒卖网络流量、以及为网络犯罪提供推广、支付等服务的平台和团伙,坚决斩断利益链条。对侵犯公民个人信息犯罪,坚决捣毁窃取、贩卖公民个人信息的公司、平台,坚决打击窃取、贩卖公民个人信息的企事业单位内部人员。

人民法院依法维护网络安全,发挥审判职能作用,营造清朗网络空间

2016 年 4 月,习近平总书记召开网络安全和信息化工作座谈会并发表讲话之后,《互联网信息搜索服务管理规定》《互联网直播服务管理规定》《公开募捐平台服务管理办法》等规范文件密集出台,查处曝光一批有影响的典型案例,加大对违法违规网站的打击力度,网络空间执法规范化水平明显提升。2017年《中华人民共和国网络安全法》正式实施,相关配套法规陆续出台,为此后开展的网络安全工作提供了切实的法律保障。

人民法院依法维护网络安全

政府与企业共同打击各类网络安全问题,网民遭遇网络安全问题的比例明显下降。数据显示,高达47.4%的网民表示在2017年下半年中并未遇到过任何网络安全问题,较2016年提升17.9个百分点。

2017年5月,最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》正式出台。最高人民法院的工作报告中提出:“出台办理侵犯公民个人信息案件司法解释,严惩泄露个人信息、非法买卖信息等犯罪行为,维护公民信息安全。”[来源:中国法院网]

内务司法工作委员郑功成:网络安全执法检查首次引入第三方参与

这次执法检查是由内司委牵头组织实施的,在检查过程中,除了按照以往的惯例,听取主管部门与相关部门的情况介绍,由六位副委员长分别带领检查组赴6个省、区、市进行检查,同时还委托12个省、区、市人大常委会对本行政区域进行检查外,还首次尝试了邀请第三方有序地参与检查,最新举措应该说取得了良好的成效。

网络安全的专业性很强,对于我们检查组成员来讲是非常抽象的,按照传统的检查方式,可能难以对法律实施的真实情况进行一个全面地了解,并且作出科学的判断,所以委托专业机构协助这项专业性的工作会起到提高执法检查实效的作用。

在这次执法检查过程中,我们委托的是国内很权威的中国信息安全测评中心,在检查单位不知情的情况下,对部分关键信息技术设施进行专业性的检测,从该中心出具的检测报告显示,有大约四分之一的单位的网络安全存在着这样或那样的问题,有的单位问题还比较突出。

校企合作新模式 双主体共建网络安全学院

76478cf7bca742619798a24a5804c58a.jpg

360企业安全集团和盐城工业职业技术学院在北京正式签署战略合作协议,双方将采用双主体共建合作办学模式共建360网络安全学院。

360企业安全集团副总裁何新飞,盐城工业职业技术学院校长李仁和分别代表双方签署了合作协议,未来5~10年,双方将集中人力、物力、财力,全面打造高等职业教育国内一流网络安全人才培养范式与品牌,为国家网络安全提供有力的人才支撑。

360企业安全集团总裁吴云坤在签约仪式上表示,网络安全工作是实践性特别强的工程类技术工作,与之对应的安全人才也是熟练掌握安全技能的工程类人才,因此安全专业人才的培养是一个学、考、练、用的持续迭代过程。

此次盐城工业职业技术学院与360企业安全合作成立网络安全学院,就是学、考、练、用为一体的网络安全人才集成实训培养模式的探索和实践。学院将充分发挥360在顶尖安全专家和工程技术人员方面的优势、网络安全实战经验积累、完善的网络安全人才培训体系和机制,结合盐城工业职业技术学院在完整的教育体系、师资力量,探索包括“双师结构”在内的创新人才培养机制和体系。

[中新网]

推荐阅读

3月FreeBuf企业安全相关文章精选:

医疗机构频遭黑客攻击,2018年还将面临五大安全威胁

以“威胁应对”为中心,看企业信息安全能力建设

我真的需要第三方安全审计吗?

FreeBuf会持续关注企业安全相关资讯,敬请关注FreeBuf企业安全月报

# 企业安全月报
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者