国际资讯

美国通过CLOUD法案，合法访问境外数据

在过去这四年，微软一直在与美国法院系统较劲，争论的焦点是美国执法部门是否能够迫使微软交出存储在美国境外的服务器上的数据。虽然此案围绕与贩毒活动有关的数据，但微软认为此案可以证明数据主权在法院如何得到落实。微软搬出的一个论点是，不该让法院来解决这种纷争，应由美国国会来决定。好了，现在CLOUD法案终于通过了。

CLOUD法案的全称是《清澄境外数据的合法使用法案》，这套框架指导执法部门依据合法的搜查令来直接访问境外的数据。它将依赖美国和其他国家之间的双边协议来合法访问相关数据。澳大利亚政府通过执法和网络安全部办公室对这项法案的通过表示了欢迎，声称“鉴于总部位于美国的众多技术和通信公司具有的规模，CLOUD法案有可能对执法部门大有助益。澳大利亚欢迎美国在这个问题上发挥领导作用。”

美国国会通过CLOUD法案之前，美国最高法院分析了这个议题，党派路线之间关于是否应考虑该议题持赞同和反对的各占一半。预计今年晚些时候他们会对此做出裁决，但新法似乎已经不需要他们重新考虑这个题。CLOUD法案并不是美国执法部门迫使云服务提供商交出数据的“尚方宝剑”。它依赖于一套名为《共同法律援助条约》（MLAT）的现有法律文书的加速版。这些条约让各国得以在法律议题上展开合作，但是最终达成共识很耗费时间。假设已获得适当的搜查令，CLOUD法案让各国得以签署“行政协定”，那样各国可以加快MLAT的实施。

虽然新法规遭到了一些批评，不得不承认最终对新法如何贯彻持怀疑态度，但CLOUD法案似乎兼顾了执法部门的需要和我们公众的隐私。如果数据存储在境外，拥有数据的国家又拒绝访问数据的请求，执法部门根本无法命令科技公司交出数据。微软和美国政府之间引发这一切的案子已被最高法院退回，交给了下级法院；鉴于此法现已通过，预计这起案子会被撤销。

参考链接：https://www.easyaq.com/news/2063832772.shtml

美国国家安全局NSA发布十大网络安全缓解战略

网络安全防护关键词：识别（Identify）、保护（Protect）、检测（Detect）、响应（Respond）、恢复（Recover）

1.立即更新和升级软件

关键词：识别（Identify）,保护（Protect）

应用所有可用的软件更新，尽可能使流程自动化，并使用从供应商直接提供的更新服务。自动化是必要的，因为攻击者研究补丁、漏洞利用方法通常在补丁发布后不久。这些“N天”的漏洞利用可能会像零日漏洞一样具有破坏性。供应商更新也必须是真实的;更新应确保内容的完整性。如果没有快速和彻底为应用程序打补丁，攻击者可以在防御者的补丁周期内实施入侵。

2.保护特权和帐户安全

关键词：识别（Identify）,保护（Protect）

根据风险暴露面分配特权，并按照要求进行维护操作。使用特权访问管理(PAM)解决方案来自动化凭证管理和细粒度访问控制。另一种管理特权的方法是通过分层管理访问，其中每个高级层提供额外的访问权限，但仅限于更少的人员。创建程序以安全地重置凭证(例如，密码、令牌、标签)。必须对特权帐户和服务进行控制，防止攻击者以管理员身份访问高价值资产，并通过网络进行横向移动。

3.强制软件执行策略

关键词：保护（Protect）,检测（Detect）

使用新版本的操作系统，并为脚本、可执行文件、设备驱动程序和系统固件强制签署软件执行策略。维护一个可信证书列表，以防止和检测非法可执行文件的使用和注入。执行策略与安全启动功能结合使用时，可以确保系统完整性。应用程序白名单应与签名的软件执行策略一起使用，以提供更好的控制。 允许未签名的软件将使攻击者通过嵌入式恶意代码获得立足点并建立持久性。

4.执行系统恢复计划

关键词：识别（Identify）,响应（Respond）,恢复（Recover）

创建，审查和实施系统恢复计划，以确保将数据恢复为全面灾难恢复策略的一部分。该计划必须保护关键数据、配置和日志以确保由于意外事件而导致的操作连续性。为了获得额外的保护，应尽可能加密备份，异地存储，脱机，并支持系统和设备的完整恢复和重构。执行定期测试并评估备份计划。根据需要更新计划以适应不断变化的网络环境。恢复计划是自然灾害以及包括勒索软件在内的恶意威胁的必要缓解措施。

5.积极的系统和配置管理

关键词：识别（Identify）,保护（Protect）

盘点网络设备和软件资产。从网络中删除不需要的，不必要的或不应该存在的硬件和软件。从已知基线开始减少攻击面并建立操作环境的控制。此后，积极管理设备、应用程序、操作系统和安全配置。积极的企业管理确保系统能够适应动态威胁环境，同时扩展和精简管理操作。

6.持续猎取网络入侵

关键词：检测（Detect）,响应（Respond）,恢复（Recover）

采取主动措施检测，遏制并移除网络中的任何恶意存在。企业组织应该假设被入侵，并且使用专门的团队不断寻找、遏制并移除网络中的威胁。诸如日志，安全信息和事件管理（SIEM）产品，端点检测和响应（EDR）解决方案以及其他数据分析功能的被动检测机制是发现恶意或异常行为的宝贵工具。积极的动作还应该包括追踪和渗透测试，使用详细记录的事件响应程序来处理任何发现的安全漏洞。建立积极主动的步骤将使组织过渡到基本检测方法之外，使用持续监控和缓解策略实现实时威胁检测和修复。

7.利用现代硬件安全特性

关键词：识别（Identify）,保护（Protect）

使用硬件安全功能，如统一可扩展固件接口（UEFI）安全启动，可信平台模块（TPM），和硬件虚拟化。对硬件进行固件升级。现代硬件特性增加了启动过程的完整性，为高风险应用程序提供了系统认证和支持功能。使用过时的硬件上的现代操作系统会降低保护系统、关键数据和对攻击者的认证能力。

8.使用基于应用感知防御技术隔离网络

关键词：保护（Protect）,检测（Detect）

隔离关键网络和服务。根据政策和法律授权，部署基于应用感知的网络防御措施可以阻止不当形成的流量并限制内容。基于已知-不良签名的传统入侵检测由于加密和混淆技术而迅速降低了效率。威胁行为者隐藏恶意行为并通过通用协议删除数据，因此需要复杂的应用感知防御机制，这对现代网络防御至关重要。

9.整合威胁信誉服务

关键词：保护（Protect）,检测（Detect）

利用多来源的威胁信誉服务来处理文件、DNS、url、IPs和电子邮件地址。信誉服务协助检测和防止恶意事件,并允许对威胁进行快速的全球响应,减少已知威胁的暴露,并提供更大的威胁分析和引爆能力,而不是组织可以自行提供。新出现的威胁,无论是针对目标的还是全球性的, 都比大多数组织所能处理的要快,从而导致对新增威胁的报道不足。多源信誉和信息共享服务可以为针对动态威胁行为者提供更及时有效的安全姿态。

10.转换到多因素认证

关键词：识别（Identify）,保护（Protect）

优先保护具有提升特权、远程访问、用于高价值资产的帐户。应使用基于物理令牌的认证系统来补充基于知识的验证，如密码和PIN。组织应从单因素身份验证（如基于密码的系统）迁移出去，这些系统的用户选择较差，易受到多个系统中的凭证失窃，伪造和重复使用的影响。

参考链接：http://www.freebuf.com/articles/network/168550.html

英特尔发布新技术，利用内置 GPU 扫描恶意程序

英特尔昨天在 RSA 2018 安全会议上发布了几项新技术，其中一项功能是把病毒扫描嵌入了一些英特尔 CPU 的集成图形处理器上。这项新技术的名称是英特尔加速内存扫描( Intel Accelerated Memory Scanning )。英特尔表示，这项新功能让杀毒引擎减少 CPU 利用率，为其他应用程序腾出资源，同时，使用嵌入式 GPU 还会节省电池寿命。

目前，所有安全软件都使用计算机的 CPU 来扫描本地文件系统中的恶意软件，但往往对系统资源消耗极大。“英特尔测试系统跑分显示，CPU 利用率从 20％ 下降到仅 2％ ，”英特尔副总裁 Rick Echevarria 在新闻稿中提到。

Windows Defender 的商业版本 Microsoft Windows Defender Advanced Threat Protection (ATP)，已经使用该功能。其他英特尔安全功能除了加速内存扫描外，英特尔还在昨天的 RSA 活动上推出了另外两项新技术。一是英特尔高级平台遥测技术，这是一种将平台遥测与机器学习相结合的工具，可加快威胁检测。思科表示思科 Tetration 平台将部署这项新技术，该平台为全球数据中心提供安全保护。

二是 Intel Security Essentials，它是一系列可信根硬件安全功能的集合，部署在英特尔的 Core，Xeon 和 Atom 处理器系列中。“这些功能是用于安全启动、硬件保护（用于数据，密钥和其他数字资产）、加速加密和开辟可信执行区的平台完整性技术，以在运行时保护应用程序，”Echevarria 说。尽管没有透露任何其他细节，英特尔表示，Security Essentials 功能都是基于硬件的硅级安全功能，旨在让应用程序开发人员构建专注于安全的应用程序，以安全方式处理敏感数据。

参考链接：http://hackernews.cc/archives/22567

黑客事件

Roaming Mantis 通过 DNS 劫持攻击亚洲的智能手机

卡巴斯基实验室的研究人员发现一种最新的通过域名系统( DNS )劫持技术传播的安卓恶意软件，其主要攻击目标为亚洲地区的智能手机。这种攻击行动被称为 Roaming Mantis，目前仍然非常活跃，其攻击目的是窃取包括凭证在内的用户信息，从而让攻击者可以完全控制被感染的安卓设备。

2018 年 2 月至 4 月期间，研究人员在超过 150 个用户网络中检测到这种恶意软件，主要受害者位于韩国、孟加拉国和日本，而且受害者可能更多。研究人员认为这次攻击行动的幕后应该有一个网络犯罪组织，其目的应该是为了获利。

卡巴斯基实验室全球研究和分析团队(GReAT)亚太区总监 Vitaly Kamluk 表示：“日本的一家媒体最近报道了这次攻击事件，但是在我们稍微进行了一些研究后发现，这种威胁并非起源自日本。事实上，我们发现了多个线索，表明这种威胁幕后的攻击者说的是中文或韩语。不仅如此，大多数受害者也不在日本。Roaming Mantis 似乎主要针对韩国的用户，日本受害者似乎是某种附带危害。

卡巴斯基实验室的发现表明这种恶意软件背后的攻击者寻找易受攻击的路由器进行攻击，通过一种非常简单却有效的劫持受感染路由器 DNS 设置的手段传播这种恶意软件。攻击者入侵路由器的方法仍然未知。一旦 DNS 被成功劫持，用户访问任何网站的行为都会指向一个看上去真实的 URL 地址，其中的内容是伪造的，并且来自攻击者的服务器。这些地址会要求用户“为了获得更好的浏览体验，请升级到最新版 Chrome。”点击链接会启动被植入木马的应用被安装，这些被感染的应用通常被命名为“ facebook.apk ”或“ chrome.apk ”，其中包含攻击者的安卓后门程序。

Roaming Mantis 恶意软件会检查设备是否被 root，并请求获得有关用户进行的任何通信或浏览活动通知的权限。它还能收集多种数据，包括两步验证凭证。研究人员发现一些恶意软件代码提到了韩国常见的手机银行和游戏应用程序 ID。综合起来，这些迹象表明这次攻击行动的目的可能是为了获得经济利益。卡巴斯基实验室的检测数据发现了约 150 个被攻击目标，进一步分析还发现平均每天有数千个对攻击者命令和控制( C2 )服务器的连接，表明攻击的规模应该更大。

Roaming Mantis 恶意软件的设计表明其是为了在亚洲地区进行广泛的传播。此外，它支持四种语言，分别为韩语、简体中文、日语和英语。但是，我们收集到的证据显示这起攻击幕后的威胁者最精通的是韩语和简体中文。

卡巴斯基实验室日本安全研究员 Suguru Ishimaru 说：“ Roaming Mantis 是一个活跃并且迅速变化的威胁。所以我们现在就发表了相关发现，而没有等到找到所有答案后再发布。这次的攻击似乎有相当大的动机，我们需要提高用户的防范意识，让人们和企业能够更好地识别这种威胁。这次攻击使用了受感染的路由器以及劫持 DNS 的手段，表明采用强大的设备保护和安全连接的必要性”

卡巴斯基实验室产品将这种威胁检测为“ Trojan-Banker.AndroidOS.Wroba ”。

为了保护您的互联网连接不受感染，卡巴斯基实验室建议采取以下措施：

● 请参阅您的路由器的使用说明，确保您的 DNS 设置没有被更改，或者联系您的互联网服务提供商(ISP)寻求支持。

● 更改路由器管理界面的默认登录名和密码。

● 不要从第三方来源安装路由器固件。不要为您的安卓设备使用第三方软件来源。

● 定期从路由器的官方升级您的路由器固件。

参考链接：http://hackernews.cc/archives/22560

Avast：去年9月份问题 CCleaner 下载量为 227 万次

去年9月份，来自 Cisco Talos 和 Morphisec 的安全专家发布了堪称噩梦般的披露：知名计算机清理工具 CCleaner 曾被黑客入侵长达一个多月了。从 CCleaner 母公司 Avast（本身也是一家安全公司）服务器下载软件更新会植入恶意软件的后门。根据初步预估，大约数百万台计算机被称之为数字供应链的攻击方式感染。本周二在旧金山举行的 RSA 安全大会上，Avast 执行副总裁兼首席技术官 Ondrej Vlcek 表示根据事后的调查分析，本次有问题 CCleaner 的版本下载量达到了 227 万次。

去年 3 月 11 日，攻击者成功入侵了 Piriform 公司（创建了 CCleaner ）的系统；同年 6 月份，Avast 收购了 Piriform；同年 9 月份，就爆发了重大的安全危机。Vlcek 表示在事件发生之后采取了快速反应，而且经过这次事件之后 Avast 吸取教训也知道如何更好的保护用户。

据悉，黑客入侵后在 CCleaner v5.33.6162、CCleaner Cloud v1.07.3191 两个版本的软件中植入了远程管理工具，会在用户后台偷偷连接未授权网页，下载其他软件。由于整个恶意字符串盗用了 CCleaner 的正版数字签名，这一下载行为不会引起任何异常报警，用户也毫无察觉。

另外，黑客还会尝试窃取用户本机隐私信息。Avast 直到 9 月 12 日才发现异常，当天就发布了干净的 CCleaner v5.34 ，三天后又升级了CCleaner Cloud ，建议使用这款软件的用户赶紧升级最新版本。

参考链接：http://hackernews.cc/archives/22570

人脑有可能以后会被黑客攻击

研究人员已经研发出利用思想操控电脑的技术 据美国《连线》杂志网站报道，黑客对他人电脑进行控制的可恶行为已经足以令所有人感到恐惧，但令科学家更为担忧的是，在将来的某一天，他们甚至有可能将人脑作为攻击对象。

过去一年来，研究人员已经研发出新技术，使得利用思想操控电脑、轮椅甚至于使用Twitter成为一种可能。在整个过程中，用户无需动一下手指。一些科学家表示，随着神经系统装置变得越来越复杂——无线成为一种趋势——黑客入侵人脑的危胁应得到足够重视。 装置越复杂 漏洞也越多 美国华盛顿大学计算机安全专家大仓河野(Tadayoshi Kohno)表示：“神经装置正以极快速度革新，其在未来的应用前景非常巨大。如果不从现在起就关注安全问题，我们可能在5年或10年内后悔自己犯下大错。”

黑客无时无刻不在秘密入侵个人电脑，如果他们将恶毒的攻击矛头指向神经装置——例如当前用于治疗帕金森氏症和抑郁症的深层大脑刺激器或者用于控制假肢的电极系统——将会发生怎样可怕的事情呢？大仓河野及其同事表示，当前绝大多数神经装置安全隐患很少。但随着神经系统工程学变得越发复杂以及应用越发广泛，出现安全漏洞的可能性将快速增长。据悉，大仓河野等人的这种担忧刊登在7月1日出版的《神经外科聚焦》杂志上。

下一代控制假肢的可移植装置可能拥有无线控制功能，允许医生对装置的设置进行远程调整。如果神经系统工程师不采取设置密码、访问控制等安全措施，黑客就有可能“劫持”这一装置，进而获得机械假肢的控制权。 大仓河野说：“设计没有缺陷和漏洞的复杂系统难度极高。随着这些医疗设备变得越来越复杂，人们也就越来越容易忽视可能存在的漏洞，致使漏洞成为巨大安全隐患。现在看来，这可能还是科幻小说中出现的场景，就如同50年前的登月计划一样。”

参考链接：https://www.t00ls.net/articles-45375.html

（来源：云天安全搜集整理互联网安全资讯）