普普安全资讯一周概览(0506-0512)

作者:

时间:
2023-05-12



1、Google开始淘汰传统密码,通行密钥时代或来临

在今年的世界密码日前夕,Google公司正式发布了一项新服务—— 通行密钥(Passkey),帮助用户以更简单、更安全的方式登录谷歌账号,以取代传统的密码口令登录模式。

传统密码登录验证模式的缺陷非常明显:首先,密码口令在本质上就是不安全的,特别是随着计算能力的提升,传统密码技术被破解的难度在不断降低;其次,但很多情况下,弱密码和密码重用的情况普遍存在;此外,我们每个人都在使用十多个甚至近百个密码,如何记住这么多的用户名和密码组合,还要定期更改,在管理上并不容易。

由于以上难以解决的不足和挑战,企业面临的最大安全风险之一就是将不安全的密码技术作为身份验证的主要方法。在此背景下,包括微软、苹果和Google在内的领先科技厂商都在积极开发一种更先进的无密码登录技术和标准,以实现更高的安全性和保护性。

Passkey其实并不是一种新技术,而是密码学中“非对称加密”在登录认证中的一种创新应用。Passkey可以被理解为是“生物密码”技术 和 “授权登录” 技术的结合。用户可以在Android 手机上创建一个基于公钥加密的密钥凭据,并需要对该凭据进行生物特征识别,比如 “指纹” 或者 “面部识别” 等。







普普点评

阻碍无密码登录技术应用的关键因素并不是技术本身的缺陷或限制,而是由于很多企业中身份和验证管控的现状。很多企业中,身份管理和身份验证仍然是相对独立的,而很多广泛使用的应用程序在设计开发时,并没有合理考虑如何支持通行密钥等无密码登录验证新模式。尽管Passkey是一种解决身份安全验证和用户体验的有效办法。但是只有消除身份管理和身份验证之间的隔断,该技术才有希望真正在更多企业中落地应用。


2、因掩盖数据泄露,Uber前首席安全官被判三年缓刑

周四,美国打车软件Uber(优步)前安全主管Joe Sullivan被判处三年缓刑。此前陪审团于2022年判定其犯有妨碍司法调查、非法掩盖Uber数据盗窃案的罪名。

事情要从2016年Uber的重大安全漏洞说起,当时有两名黑客使用盗窃的凭据非法访问存储在亚马逊S3存储服务上的Uber备份文件,其中包含5700万名乘客以及司机的详细信息。两人于2016年11月联系了Uber并以此索要10万美元的赎金。

当时为了掩盖数据泄露的丑闻,Uber前安全主管Joe Sullivan与黑客谈判达成协定,双方决定将这笔付给入侵者的勒索赎金伪装成对白帽黑客的漏洞赏金,使该安全事件看起来像是典型的漏洞披露,而不是数据泄露。

一直到2017年11月,Uber才公布关于此事的数据泄露通知。这个时候该公司已就此事与美国各州达成了1.48亿美元的和解协议,并向英国和荷兰的数据保护机构支付了100多万美元的罚款。







普普点评

注册各类应用、网站要尽量赋予最少的信息和权限:无论是网络购物,还是虚拟社区注册,或是在社交工具上发布信息,都会留下个人信息,填写时一定要谨慎小心。我们应该秉持信息最小化原则,如无必要不要将所有信息都填上,仅填一些必要信息就好了。即使发生信息泄露,作为掌握大量信息的各类公司也不要帮助犯罪黑客掩盖他们的踪迹。不能让客户的问题变得更糟,掩盖罪犯窃取个人数据的犯罪企图。


3、知名打印管理软件存漏洞,能绕过所有安全检测

近日,VulnCheck 研究人员最近利用打印管理软件 PaperCut 服务器中的一个严重漏洞,设计了一种新的利用方法,可以绕过所有当前安全检测。

PaperCut为佳能、爱普生、施乐和几乎所有其他主要打印机品牌生产打印管理软件,其产品被7万多个组织使用,包括世界各地的政府机构、大学和大公司。此次利用的漏洞被追踪为 CVE-2023-27350,CVSS评分高达9.8,是 PaperCut MF/NG 不当访问控制漏洞。PaperCut MF/NG 在 SetupCompleted 类中包含一个不正确的访问控制漏洞,允许绕过身份验证并在 SYSTEM 上下文中执行代码。

VulnCheck研究人员公开了两个漏洞利用变体:1.使用 PaperCut 打印脚本接口执行 Windows 命令的漏洞(Horizon3.ai 漏洞的变体);2.利用打印脚本接口投放恶意 JAR。攻击者可以通过在登录尝试期间提供恶意用户名和密码,在易受攻击的服务器上执行任意代码。







普普点评

虽然我们因安全漏洞影响大型组织而一直谈论它,但同样的安全漏洞也适用于个人计算机和其他设备。个人用户不太可能被黑客利用漏洞入侵,但很多计算机用户都受到过恶意软件的影响,不管是作为软件包的一部分下载,还是通过网络钓鱼攻击引入到计算机中。使用弱密码和公共 Wi-Fi 网络可能导致互联网通信被侵害。

使用强密码、对不同账户使用不同密码或定期修改密码,可以在受安全漏洞影响下减少信息泄露。及时更新厂商安全固件升级有助于减少损失。


4、微软和AMD合作打造Nvidia的AI替代品

微软和AMD正在联手开发一种替代人工智能(AI)芯片市场领导者Nvidia Corp技术的产品。

微软正在提供工程支持以加强AMD的工作,并正在合作开发微软自己的人工智能处理器,代号为“Athena”。这种合作是提高AI计算能力的努力的一部分,在聊天机器人(如ChatGPT和其他基于AI的技术)蓬勃发展之后,这种需求是有需求的。微软已投资100亿美元创建ChatGPT,并计划为其所有软件产品添加类似功能。Athena项目也体现了微软对微芯片行业的深化。

近年来,该公司一直在英特尔公司前首席执行官的领导下积极发展其芯片制造部门。该集团拥有近1,000名员工,其中数百人从事Athena项目。微软已经在微芯片开发上花费了大约20亿美元。AMD首席执行官Lisa Su表示,人工智能是公司的战略重点。AMD看到了为其最大客户创建半定制芯片以用于其AI数据中心的机会。Microsoft的Athena团队正在开发用于学习和使用AI模型的GPU。该产品已经在进行内部测试,最早可能在明年提供更广泛的使用。







普普点评

AI芯片是人工智能的底层基石,同时也是AI算力的核心,需求有望率先扩张。AI芯片是用于加速人工智能训练和推理任务的专用硬件,主要包括GPU、 FPGA、ASIC等,具有高度并行性和能够实现低功耗高效计算的特点。随着AI应用的普及和算力需求的不断扩大,AI芯片需求有望率先扩张。鉴于人工智能的快速发展及其与各行各业的融合,这一领域的成功可能是企业长期发展的关键。


5、涉嫌危害国家安全,国内知名咨询企业凯盛融英被查

日前,苏州市国家安全局会同市市场监督管理局、市统计局,对辖区内咨询企业凯盛融英信息科技(上海)股份有限公司苏州分公司开展联合执法行动。

经执法调查,企业因涉嫌危害国家安全,已被国家安全机关进行依法依规处理,相关执法部门还联合地方行政部门,督促企业认真履行反间谍安全防范责任义务,进一步加强行业监督和指导,规范企业行为,推动咨询行业健康发展。

据江苏广电总台报道,相关执法民警介绍,这些咨询调查公司在承担涉外咨询项目过程中,频繁联系接触地方党政机关、重要国防科工等涉密人员,并以高额报酬聘请行业咨询专家之名,非法获取我国各类敏感数据,对我国家安全构成了重大风险隐患。国家安全机关将会同相关部门,依据《中华人民共和国反间谍法》等法律法规,加大对涉嫌违法违规开展咨询等危害国家安全活动的执法力度,依法追究涉案公司和人员的法律责任。







普普点评

近年来,国内咨询业快速发展,在服务国家经济社会高质量发展的同时也衍生出一系列问题。部分咨询调查机构片面追求业务规模的高速增长,却忽视了可能存在的国家安全风险,未认真履行反间谍安全防范责任和义务,在党政机关、涉密单位内发展“咨询专家”为客户提供敏感咨询,危害我国家安全和发展利益。

相关企业应该高度重视国家安全,做好宣传教育工作,配合相关部门做好防范、制止和依法惩治危害国家安全的行为。


6、冒充调查问卷、扫码缴费,虚假二维码诈骗泛滥

据新加坡海峡时报报道,一名不愿透露姓名的妇女在一家奶茶店内看到一则印有而二维码的贴纸,上面鼓励顾客扫描二维码填写一份关于“免费奶茶”的调查问卷,随即通过扫码并在 Android手机上下载了第三方软件填写调查问卷。当晚,等这名妇女就寝后,这个第三方软件就悄悄转走了其账户中的2万美元。

该类骗局特别“阴险”,扫描二维码所下载的恶意软件会索取受害者手机的麦克风和摄像头的访问权限,以及Android 辅助功能,以便控制手机屏幕。诈骗者以此暗中监控受害者的移动银行应用程序使用情况,并记下用户在白天输入的所有登录凭证。随后,诈骗者会在合适的时机,比如趁受害者晚上睡觉时进行转账等恶意操作。

这类恶意软件本质上并不新鲜,但通过二维码广告张贴在餐饮场所,往往让消费者难以鉴别。2022年,新加坡警察部队曾提醒公民不要滥用二维码的Singpass 数字身份系统,诈骗者会要求受害者完成虚假调查,然后要求受害者使用他们的 Singpass 应用程序扫描 二维码.然而,诈骗者提供的 Singpass 二维码是从合法网站截取的屏幕截图,通过扫描二维码并在未经进一步检查的情况下授权交易,受害者无意中让诈骗者可以访问某些在线服务。







普普点评

对于陌生人提供的二维码、网站等信息,要有反诈骗意识,同时对飞来的横财和好处特别是不熟悉的人所许诺的利益要深思和调查,要知道天上不会掉馅饼,克服占便宜心里,就不会对突如其来的横财和好处欣喜若狂,要三思而后行。

一旦发现被骗,赶快想办法及时掌握对方的有罪证据,迅速报警,要防止打草惊蛇,一方面装做仍闷在鼓里,随时掌握对方行踪,一方面查明对方骗财的流向及时报案。


7、2023年身份欺诈态势观察:新型欺诈模式不断演变

日前,身份验证(IDV)技术提供商Regula发布了《身份欺诈与验证:商业影响研究报告》。报告数据显示,企业正处在一个技术日益复杂的欺诈环境中,在2022年,有95%的受访企业报告在其组织内经历过身份欺诈事件,而企业组织平均遭遇的身份欺诈事件超过30起,其中26%的受访中小型企业和38%的受访大企业经历了超过50起身份欺诈事件,有47%的受访企业因为身份欺诈损失超过30万美元。

在过去一年,有近一半的受访企业(46%)遭遇过合成身份欺诈(synthetic identity fraud)。合成身份欺诈包括使用真实和虚假信息的混合,或者来自不同个人的真实信息的组合,来创建一个新的虚假身份。一旦合成身份被建立,欺诈者就可以用它来申请信用卡、贷款等金融服务,由于身份是虚构的,因此金融机构很难检测和防止合成身份欺诈。

与此同时,生成式人工智能(AI)这样的新技术也将助力犯罪分子更大规模地发起更多种类的身份欺诈活动,创建包括音频、代码、图像、文本、模拟和视频等在内的欺诈性内容。报告数据显示,37%的受访企业已经遭遇过深度造假语音欺诈,有29%的受访企业遭遇过深度造假视频诈骗。







普普点评

在巨大商业利益的驱动下,身份欺诈的方式在不断演变,而现有的欺诈发现模型普遍缺乏实时可见性,同时也难以实现广泛的监测数据综合分析。因此,对于企业组织而言,需要尽快部署更有效的增强型欺诈预防建模应用程序和工具来应对日益严峻的身份威胁,为安全分析师提供更具洞察力的智能化分析工具,以通过基于约束的规则来识别更多潜在的身份欺诈风险。这就需要通过AI自动化技术,以识别现有欺诈检测技术无法察觉的异常。