普普安全资讯一周概览(0812-0818)

作者:

时间:
2023-08-18


01

三分钟读懂《关于开展移动互联网应用程序备案工作的通知》


近日,工业和信息化部印发了《关于开展移动互联网应用程序备案工作的通知以下简称《通知》)。现就《通知》有关内容解读如下:为方便APP主办者办理备案,APP主办者在填写有关备案材料并实名核验后,由其网络接入服务提供者或应用分发平台通过“国家互联网基础资源管理系统”(即ICP/IP地址/域名信息备案管理系统,以下简称备案系统),向APP主办者住所所在地通信管理局在线提交备案申请,APP主办者无需到通信管理局窗口排队办理。2023年9月至2024年3月底,《通知》发布前开展业务的APP向其住所所在地省级通信管理局覆行备案手续。2024年4月至2024年6月底,电信主管部门将组织对APP备案情况开展监督检查,对仍未履行备案手续的APP依法进行处置。《通知》发布后拟开展业务的APP,应先履行备案手续后再开展业务。


普普点评

网络接入服务提供者、应用分发平台、智能终端生产企业不得为未履行备案手续的APP提供网络接入、分发、预置等服务。APP主办者、网络接入服务提供者、应用分发平台、智能终端生产企业应当建立健全违法违规信息监测和处置机制,发现法律、行政法规禁止发布或者传输的信息,应当立即停止传输该信息,采取消除等处置措施,防止信息扩散,保存有关记录,并向电信主管部门报告,依据电信主管部门要求进行处置。





02

美国白宫发布《2025财年网络安全投资优先事项备忘录》,细化国家网络安全战略投资方向

《备忘录》提出了以下5个重点任务,并将审查联邦机构提交的预算提案,以确定“潜在差距”和“解决方案”。第一,关键基础设施防护,预算提案必须体现:实现联邦零信任战略目标、优先考虑网络安全能力与性能、优先建立与关基设施运营者合作的能力与机制等。第二,破坏和摧毁威胁行为者,预算提案必须体现:优先调查勒索软件犯罪、优先打击滥用虚拟货币洗钱、参加打击网络犯罪的跨机构工作组等。第三,塑造市场力量以推动安全和弹性,预算提案必须体现:能力满足安全软件和服务要求、保护联邦关基设施免受网络威胁、鼓励跨机构合作等。第四,投资于下一代技术,预算提案必须体现:培养网络人才、对敏感网络系统使用后量子加密技术等。第五,建立国际伙伴合作关系,预算提案必须体现:加强与外国伙伴和盟友的合作、评估交易对美国和美国民众可能产生的威胁等。

普普点评

《备忘录》细化落实《战略》的建设内容,或将产生以下两方面影响。一方面带动网络安全市场发展。如《备忘录》提出的零信任、量子计算等相关技术和信息基础设施、半导体供应链等应用场景,对其国内乃至国外网络安全相关的市场发展起到拉动作用。另一方面对产业、外交等领域的溢出效应或将持续显现。《备忘录》所涉及的网络安全重点领域建设方向、管理思路等,也极有可能启发其他国家的趋同举措,通过固化当前的网络空间生态,进而潜移默化地强化以美国为首的产业、技术、研究乃至外交领域同盟、联盟的发展。






03

出于网络安全考虑,印度启用本土操作系统“玛雅”取代Windows

据《印度教徒报》报道,印度将放弃微软系统,选择新的操作系统和端点检测与保护系统。备受期待的“玛雅操作系统”将很快用于印度国防部的数字领域,而新的端点检测和保护系统“Chakravyuh”也将一起面世。不过,印度国防部尚未证实此事,也未发布官方消息。众所周知,国家支持的高级持续威胁 (ATP) 组织以这些系统为目标,旨在提取敏感信息或建立未经授权的网络访问,以开展网络间谍活动。据报道,为了应对这些不断变化的网络挑战,国防部正考虑在所有连接互联网的计算机上用本士的“玛雅”操作系统取代微软操作系统。“玛雅”操作系统是一个基于Linux的发行版,从流行的Ubuntu操作系统中汲取灵感。据报道,“玛雅”操作系统将在印度独立日(即8月15日)之前在南区实施。

普普点评

尽管微软Windows操作系统广为人知,而且用户界面友好,但一些漏洞和漏洞利用,以及威胁行为者不断将Windows机器作为攻击目标的事实,迫使印度在玛雅操作系统和 Chakravyuh端点安全的帮助下制定新的方针。印度国防部正准备进行一次重大的技术变革,有可能告别微软Windows,迎来“玛雅”操作系统时代。在部署先进的“Chakravyuh”保护系统的同时,此举标志着印度在捍卫国家数字主权方面迈出了大胆的一步。






04

新型声学攻击通过键盘击键窃取数据,准确率高达95%

来自英国大学的一组研究人员训练了一种深度学习模型,该模型可利用麦克风记录并分析键盘击键的声音,以此来窃取目标设备中的数据,准确率高达95%。因为训练算法的需要,攻击的第一步要记录目标键盘上一定次数的击键声音,录音设备可以是附近手机内的麦克风,此时,该手机可能已经感染可调用麦克风权限的恶意软件,或者可通过ZOOM等会议软件,利用远程会议等渠道记录目标的键盘击键声音。研究人员以MacBook为实验对象,在其36个按键上分别按压25次产生的声音来收集训练数据,录音设备则是一台距离MacBook 17厘米处的iPhone 13 mini。从记录中生成波形和频谱图,将每个按键的可识别差异可视化,并执行特定的数据处理步骤以增强可用于识别击键的信号。

普普点评

研究结果反映出此类攻击与机器学习的快速进步相结合,会严重影响目标的数据安全,造成账户密码、私密聊天等信息的泄露。此外,即使是一些非常安静的键盘,攻击模型也被证明非常有效,因此在机械键盘上添加消音器或给键盘贴膜不太可能有效遏制声音信息的泄漏。研究人员建议尝试改变打字风格或使用随机密码,或使用软件重现击键声音、白噪声或基于软件的击键音频过滤器,最好在可行的情况下采用生物识别身份验证,利用密码管理器来避免手动输入敏感信息。




05

“机场停车场禁止特斯拉入内”引热议,特斯拉已在中国建立数据中心

近日,有网友发布视频称,岳阳机场的停车场禁止特斯拉入内。8月13日,岳阳机场一名工作人员回应极目新闻记者称,确有此事,而且此规定已经实行了一段时间。工作人员向记者解释,“特斯拉有哨兵模式,存在泄密的风险。”特斯拉官方微博8月14日回应称,特斯拉公司已在中国建立数据中心,以实现数据存储的本地化。所有在中国大陆市场销售车辆所产生的数据,都会存储在中国境内。特斯拉:“哨兵模式”并非特斯拉独有,已在中国建立数据中心8月14日,@特斯拉发文称,针对近日网友关心的特斯拉“哨兵模式”,这里统一向大家报告:哨兵模式(一些品牌也称为“守卫模式”)是目前主流智能汽车标配的一种智能安全配置,并非特斯拉独有。特斯拉车辆出厂时,该功能默认处于关闭状态,需要车主手动开启才能使用。另外,特斯拉公司已在中国建立数据中心,以实现数据存储的本地化。所有在中国大陆市场销售车辆所产生的数据,都会存储在中国境内。2021年10月政府主管部门联合发布《汽车数据安全管理若干规定(试行)》后,特斯拉公司作为首批试点企业,积极参与了主管部门组织的合规试点工作。

普普点评

特斯拉在手动启用哨兵模式后,车辆上锁并挂驻车挡时,如果检测到附近可能存在损害或者盗窃车辆等威胁时,系统会向车主发出警报,并记录车辆周围的可疑活动,将视频片段保存在已安装的USB设备中,为用户带来用车安全保障。目前该功能已协助警方破获了多起车辆损害和失窃案件。与一些品牌可以通过哨兵模式远程查看车辆周围环境不同,目前特斯拉车辆的这些数据只离线存储在车内USB设备中,车主和特斯拉均不能远程在线查看。



06

10万名黑客身份曝光!黑客论坛12万台计算机感染了信息窃取恶意软件

近日,Hudson Rock公司对数个黑客论坛一系列数据泄露事件进行分析并发布了相关调查报告。调查发现,共有12万台计算机感染了信息窃取恶意软件,并导致知名网络犯罪论坛的约10万名黑客身份曝光。该报告称,共有超过100个知名网络犯罪论坛的成员数据泄露,泄露的信息包括黑客们的电子邮件、用户名、自动填充信息 (如姓名、地址、电话号码)以及计算机名称和IP地址等系统详细信息。在这类事件中,感染信息窃取恶意软件最严重的是“Nulled.to”论坛——共有超过5.7万名用户的设备被感染,甩开排名二、三位的“Cracked.io”和“Hackforums.net”一大截。据称,绝大多数黑客论坛数据泄露的主要源头是Redline窃取器,其次是Raccoon和Azorult。

普普点评

报告对各个论坛的用户密码进行了分析,并指出“Breached.to”论坛的用户所使用的密码最安全,而俄罗斯网站“Rf-cheats.ru”的密码则最脆弱。并且总的来说这些泄露的网络犯罪论坛的密码其实要比政府网站所使用的密码更强,甚至在密码安全方面还超过了军事等行业自2018年以来,信息窃取恶意软件感染作为网络犯罪趋势激增了6000%,成为威胁行为者用来渗透组织并进行勒索软件攻击、数据泄露、账号劫持和企业间谍活动等网络攻击的主要初始攻击媒介。




07

中美云服务战略竞争将重塑东南亚政商格局

东南亚是数字竞争最激烈的地区之一。该地区作为云计算市场处于世界领先地位。这使得它成为任何大型通信服务提供商都想参与竞争的市场。另外,这也是一个政治多元化的地区,其国家范围从大国印度尼西亚到小国新加坡。鉴于其地理位置和经济活力,东南亚具有重要的战略意义,并且正在以无与伦比的速度增长。国际货币基金组织(IMF)的数据显示,东南亚的总收入接近4万亿美元。缅甸等一些国家是世界上最贫穷的国家之一,而新加坡等其他国家则是世界上最富裕的国家之一。该地区的许多国家都拥有浓厚的创业文化,例如依赖云服务的金融科技和电子商务。美国和中国的云巨头正在争夺这个重要的区域市场。东盟采取了与欧盟类似的数据本地化方法,一些东盟国家正在根据欧盟的《通用数据保护条例》(GDPR)采取类似(但不太严格)的政策。如果个人数据被传输或存储在母国之外,这两个地区都对保护个人数据的隐私有着强烈的兴趣。然而,一个主要区别是,东盟作为一个地区缺乏欧盟委员会的正式监管机构来管理这些措施。东盟国家也更能意识到过于严格的监管所带来的潜在经济后果。

普普点评

东南亚许多国家的目标在不同程度上是平衡中国和美国这两个大国关系,保持自主权和进入中美这两个重要市场的机会。为了让美国参与竞争,东南亚和其他南半球国家需要采取一揽子全面措施,强调经济发展,同时考虑到主权问题。美国及其盟国应当诉诸该地区避免中国主导的愿望,强调与西方安全关系的重要性,并指出供应商数字信任的好处。美国可以通过强调加速经济发展的积极议程,以对其企业和东南亚国家都有帮助的方式塑造竞争。对于东南亚来说,促进发展和增长的行动比军事或安全论据更有说服力,对于南半球大部分国家来说也是如此。云服务竞争,并不是单纯的商业竞争,而是国家间的竞争。