国际资讯

苹果去年抓获29名泄密者，并表示后果很严重

雷锋网消息，据外媒彭博社报道，苹果公司近日在其内部博客上发布了一份冗长的备忘录，里面警告员工不要泄露有关公司未来计划的内部信息，并表示公司有可能采取法律行动对泄密提出刑事指控。备忘录中还表示，公司已经抓获了29名泄密者，且其中12人已经被捕。苹果还表示，“这些人不仅失去了工作，而且他们寻找新工作时也会面临极大困难。”

有趣的是，这份关于泄密的备忘录，本身被泄露给了媒体。苹果还提到了一些内部信息被泄露给媒体的例子，比如，今年早些时候苹果的软件工程主管Craig Federighi表示一些计划中的iPhone软件功能会延迟推出，这是因为泄密。另外，苹果还提到了一款被曝光的尚未发布的软件包，内含未发布的iPhone X和新手表的详细信息。备忘录中表示，泄露的新产品信息会影响当前产品的销售，给竞争对手更多的时间作准备，还可能导致新产品的销量减少。

在对员工泄密的担心上苹果并不孤单，诸如Facebook与Google，虽然在公司计划上对员工持开放态度，但仍会密切关注他们的外部沟通，而且当发现有人泄密时有时就会开除相应的员工。雷锋网曾报道，Google在2016年时还开除了一名员工，因为该员工对外发布了一些批评某位高管的内部信息。众所周知，苹果对产品开放上的信息一直讳莫如深。2012年时，苹果CEO蒂姆·库克就表示会加强公司信息的保密工作。尽管如此，媒体还是不断报道关于苹果新产品的信息。苹果的信息已经如此重要，因为它成了很多投资决策的关键。

参考链接：https://www.leiphone.com/news/201804/01ylg0XaxBbiQDsu.html

首份网络威胁情报平台（TIP）综合报告

E安全4月15日讯 欧盟网络与信息安全局（简称ENISA）发布首份网络威胁情报平台（TIP）综合研究报告。

是一个可以支持整个安全团队的平台，从 CSO/CISO 到安全威胁分析团队，支持执行日常事件响应、网络防御和威胁分析。成熟的 TIP 用于日常运营，支持对攻击的阻止和处理，支持战略决策和流程改进，它可以帮助实现企业威胁情报计划对威胁情报进行全生命周期的管理。威胁情报的生命周期包括：威胁情报需求分析、收集、分析、使用。考虑到信息交换格式和工具仍然是网络安全圈（尤其是事件响应者）的主要关注事项，ENISA 分析了现有 TIP 平台和解决方案的局限性及一些关键机会。

随着信息安全管理日益成为每家现代企业的关键组成部分，态势感知和安全数据的需求在不断增长。ENISA 邀请了专家对现有工具、实践和 TIP 学术文献进行研究分析，得出这份报告，并提出了一系列切实可行的建议，以帮助组织机构等解决并克服现有的 TIP局限性。

此外，这份报告还详细介绍了这些平台的用户、TIP 的主要功能以及全球不同团队（例如 CTI 团队、安全运维中心 SOC、计算机安全事件响应小组 CSIRT/CERT、信息共享与分析中心 ISAC 等）所使用的 TIP 现状。

ENISA 建议组织机构在开发和部署 TIP 解决方案之前将重点放在具体要求和需求上。ENISA 还强烈建议组织机构检查其担任的不同网络情报活动是否由技术平台和系统提供支持。该机构还鼓励组织机构在重大资金投入之前，先投入时间通过开源 TIP 进行PoC 测试，并了解此类系统的优势。ENISA 鼓励 TIP 解决方案的开发人员提供有效的威胁分类和相关性评估，将重点更多地放在提升 TIP 分析能力上。除此之外，TIP 应具有更加灵活可用的信任建模功能。鼓励 TIP 开发人员和提供商向威胁信息消费者提供通知功能，以防信息来源提供的共享信息不够准确，或缺乏可信度。

参考链接：https://www.easyaq.com/news/508420501.shtml

DHS情报系统出现了这些破绽

E安全4月15日讯  美国国土安全部（DHS）监察长2018年4月11日公布报告显示，DHS 未能投入足够的力量以保护存储在其情报系统当中的保密信息，审计人员指出，该部门并没能有效管理相关的持续监督工作，用于监控情报系统的网络威胁追踪工具甚至无法实现互操作。

基于2017年5月至11月的相关调查，报告指出，DHS 没能建立起定性或定量的执行措施，用以确定持续监控体系是否起到应有效果。DHS 下辖的美国特勤局亦未能严格对其员工及承包商进行年度安全培训。

总检察长就情报系统的安全问题提出了三项建议，但具体建议并未公开。目前完整的报告内容仍然保密。在2018年3月发布的年度信息安全评估当中，DHS 获得的分数处于中等水平。除其它职责之外，DHS 目前广泛负责民政部门的网络安全工作，同时亦统辖着众多跨政府网络工具。

参考链接：https://www.easyaq.com/news/1855315451.shtml

黑客事件

黑客：15小时拿下美国联邦政府数据

E安全4月14日讯 2018年4月10日，根据网络安全厂商 Nuix 公司发布的第二份年度 Black Report 报告，尽管美国联邦政府网络与其它行业相比存在一定安全性优势，但大多数黑客仍然认为其有能力入侵网络边界，并在15小时内发现并渗漏出重要数据。

Nuix 公司调查了112名事件响应人员、专业渗透测试人员以及自称黑客的人士。报告指出，这一调查规模已经达到2017年首轮 Black Report 报告的两倍。Nuix 公司服务、安全与合作伙伴整合事务主管克里斯·波格指出，你可能认为自己的保护举措非常可靠，但作为窃取数据的一方却不这么看。企业在建立自己的网络安全策略时，会考虑 IT、法务、风险以及人力资源团队的意见，但从来不会邀请真正的“坏人”参与其中。

参考链接：https://www.easyaq.com/news/1106552997.shtml

如果你想让电脑真正安全，那就断开电源线

恶意软件可以触发未使用的处理器核心将信号放入到电流中。如果你想做到自己的电脑真正安全，请务必断开电源线。这是以色列内盖夫本古里安大学的莫迪凯•古里（Mordechai Guri）及其旁路攻击研究团队给予的忠告。

这群研究人员写了一篇题为《PowerHammer：通过电源线从严加隔离的电脑泄露数据》的论文（https://arxiv.org/pdf/1804.04014.pdf），论文解释了攻击者如何安装恶意软件，恶意软件可偷偷调控CPU的利用率，引起调制和编码数据的电流出现波动。电流波动会“通过电源线传播”到外界。

PowerHammer攻击将接收器放在用户附近可获得最高速度，放在配电板后面可获得最高隐蔽性。数据可能以每秒10比特到1000比特的速度泄漏出去，具体取决于攻击者采用的手法。如果攻击者能碰到连接至电脑电源的电缆，泄露数据的速度比较高。如果攻击者只能访问建筑物的电力服务配电板，那么泄露数据的速度比较慢。

PowerHammer恶意软件通过选择当前未被用户操作所使用的处理器（因而比较隐蔽）来激活CPU的利用率。古里及同事使用了频移键控（FSK）技术将数据编码到电源线上。之后就很简单，因为攻击者只需要决定将接收器电流钳放在何处：如果你有机会侥幸脱身，可以放在电脑附近；如果不行，可以放在配电板后面。

由于现在电源成了一条数据泄露途径，确保自身安全需要与外界完全隔离：你不得使用无线连接，使用无风扇电脑，封住USB端口，将机器安装在没有窗户的房间，任何LED都用黑色胶带遮起来，确保没有人能测到PC的磁场，还要断开扬声器。如果你看到有个开发人员坐在窑洞里，旁边有一大组预先充好电的电池，不必大惊小怪。

参考链接：http://mini.eastday.com/a/180414051254236.html

金融黑客的惯用手段 MITB

所谓的 MITB 技术就是 man-in-the-browser 的简称，也就是浏览器中间人攻击方式。我们先来回顾一下经典的中间人攻击方式。

正常的通信是用户和服务器直接进行数据传输。而现在，攻击者通过某种方式截断了用户与服务器的直接通信，扮演起了一个代理服务器的角色，把用户与服务器的流量做了一个转发，用户以为攻击者就是真正的服务器，服务器以为攻击者就是真正的用户。从而，攻击者作为一个中间人，就可以截获到用户与服务器之间的所有通信，还可以随意篡改这些通信数据。表面上看起来数据仍然在正常的传输，实际上已经被第三方获取了。经典的中间人攻击一般会采用 ARP 欺骗或者 DNS 欺骗等手段，欺骗原本通讯的双方，但这种方式就需要把通讯流引到自己的 IP 上，容易被检测出来。

而浏览器中间人攻击的突破点是在用户自己的浏览器，在数据流入用户本机的传输层之前就已经被截获并篡改了，获取和篡改数据的整个过程发生在用户的本机，而且一般在原始数据还未被加密之前就被篡改了，无需经过攻击者的机器。因此，这种浏览器中间人攻击方式更加隐蔽，更难以被检测出来。

MITB 流程详解

阶段一：感染

攻击的第一阶段是感染目标计算机。方法有很多，一般采用社会工程学的方法欺骗用户，使木马的本体植入目标计算机。或者也可以使用浏览器和系统的漏洞来植入木马。

1、下载感染

一般采用社会工程学的方法，给目标发一封具有诱骗性误导性的邮件，内容可以是推荐一款好用的免费软件、工作中的一份待接收的文件，或者引导用户进入一个包含伪装好的恶意软件的钓鱼网站，诱骗用户去下载（比如看视频需要下载某某播放器等等）。这些邮件的附件中就包含了精心混淆加密免杀的恶意木马。当用户下载并打开的时候，恶意软件就已经在用户不知情的情况下植入用户的计算机了。

2、浏览器漏洞

跟第一种类似，引导用户进入一个恶意网站。只不过这里不是诱骗用户下载恶意软件了。而是利用未修补的浏览器漏洞直接在用户的计算机上静默安装恶意软件。

阶段二：交易接管

在这个阶段，当用户启动浏览器，木马就会自动被激活，偷偷监视着用户的一举一动。当用户访问银行网站并通过身份认证时，MITB攻击就开始了。木马已经接管了整个交易过程，可以随意修改收款方，随意修改转账的金额，也可以暗中收集用户的个人信息、隐私，然后发送给第三方。这一切的一切，都在用户不知情的情况下进行着。

参考链接：https://mp.weixin.qq.com/s/36KGZkzuyR6WI1lhhYh-mQ

（来源：云天安全搜集整理互联网安全资讯）