信息安全快讯丨2019国家网络安全宣传周开幕;45%网民有不安全上网行为;iOS 13漏洞可在不解锁iPhone时查看联系人
栏目:行业新闻 发布时间:2019-09-17
分享到:
● 2019国家网络安全宣传周开幕
● 美国宣布对朝鲜黑客组织实施制裁
● 澳大利亚开始征集2020网络安全战略意见
● 英国呼吁联合国建立网络安全能力

  政府举措

  ● 2019国家网络安全宣传周开幕

  ● 美国宣布对朝鲜黑客组织实施制裁

  ● 澳大利亚开始征集2020网络安全战略意见

  ● 英国呼吁联合国建立网络安全能力

  网络安全事件

  ● 国家计算机病毒中心发布违规APP和SDK名单

  ● 电信诈骗手段翻新,制作“安全防护”冒充北京警方APP

  ● 联合国儿童基金会在线学习网站泄露8000名用户信息

  ● 英特尔芯片弱点允许攻击者窃取敏感信息

  ● 数以千计的服务器感染 Lilocked 勒索软件

  ● 黑客利用“Simjacker”漏洞窃取手机数据,或影响10亿人

  数据统计

  ● 过半网民近一年遇过个人信息泄露,45%有不安全上网行为

  ● 机构预测:中国网络安全市场增速将继续领跑全球

  人才培养

  ● 天津引进各类人才超17万人 网络安全领域占两成

  ● 美国 NICE 计划和《NICE 网络安全人才队伍框架》

  漏洞速递

  ● 复杂的iOS 13漏洞:可在不解锁iPhone的情况下查看联系人

 


 政府举措


  2019国家网络安全宣传周开幕

 

  关键词:网络安全宣传周

  由中央宣传部、中央网信办等部门联合举办的2019年国家网络安全宣传周,于9月16日至22日在全国开展。本届网安周主题是“网络安全为人民,网络安全靠人民”,开幕式、网络安全博览会、网络安全技术高峰论坛等主要活动在天津举行。

  其中,开幕式邀请来自政府、科研机构、高校、社会组织、企业、媒体的近千位嘉宾出席。同时,网络安全优秀教师奖获奖名单和第二批一流网络安全学院建设示范项目高校名单将在开幕式上公布。

  网络安全技术高峰论坛将举办一个主论坛和关键信息基础设施安全保护、网络安全标准与产业、个人信息保护等8个分论坛。

  此外,网安周还将举行闭幕式以及校园日、电信日、法治日、金融日、青少年日、个人信息保护日等系列主题日活动。这也是网安周首次举行闭幕式活动,届时将公布2020年国家网络安全宣传周开幕式等重要活动承办城市,举办交接仪式。(来源:新京报)

  美国宣布对朝鲜黑客组织实施制裁

  

  关键词:制裁

  据美国财政部周五称,美国政府批准对三个黑客团体实施制裁,据称他们根据朝鲜政府的命令进行了几次高调的网络攻击。据称这些团体的攻击包括WannaCry勒索软件攻击和对索尼影视娱乐公司的入侵,以及孟加拉国中央银行数千万美元的盗窃以及对世界各地其他银行的类似攻击。

  被称为Lazarus Group、 Bluenoroff和 Andariel的组织现在被美国财政部正式视为得到朝鲜政府的支持,财政部负责实施经济制裁。这三个组织已被添加到美国财政部的特别指定国民名单中,该名单阻止他们在美国可能拥有的任何资产,并禁止美国人与他们开展业务。

  制裁是美国政府为阻止对袭击事件负责的朝鲜黑客而采取的最新措施。美国司法部还指控一名朝鲜计算机程序员犯有与WannaCry、索尼入侵事件及银行盗窃有关的罪行。(来源:cnBeta)

  澳大利亚开始征集2020网络安全战略意见

  

  关键词:网络安全战略

  据外媒报道,近日,澳大利亚联邦政府发布了《澳大利亚2020网络安全战略意见征集书》,旨在更好地了解澳大利亚企业和家庭面临的网络威胁,并根据收集到的意见调整政府职能与政策。

  该文件总共向公众提出了26条问题,包括:“是否应该调整负责网络安全职能的政府机构”,“是否有其他措施可被用于保护网络商品与服务”,“政府和相关行业应在网络安全方面发挥何种作用”,“如何提高网络与数字产品的质量、安全性以及有效性”,以及“政府应从何处采购安全相关产品及服务”等。

  此外,澳大利亚网络安全中心还发布了新版《澳大利亚政府信息安全手册》(Australian Government Information Security Manual ),旨在帮助组织制定网络安全战略框架。该手册根据基本网络安全原则,制定了22条网络安全指南,涵盖治理、物理安全、人员安全,以及信息和通信技术安全。澳大利亚政府表示,今后每月都将发布新版手册。(来源:E安全)

  英国呼吁联合国建立网络安全能力

  

  关键词:网络安全工作

  近日,英国外交和联邦事务网络(Foreign and Commonwealth Office,FCO)主任亚历山大·埃文斯(Alexander Evans)参加了联合国开放式网络安全工作组第一次会议。他在开幕式发言呼吁联合国建立网络安全工作组,加强各国之间的合作,以进一步提升成员国的网络安全防御能力。(来源:Dig.watch)

  网络安全事件

  国家计算机病毒中心发布违规APP和SDK名单

  

  关键词:违规APP

  9月15日,国家计算机病毒中心发布了《移动APP违法违规问题及治理举措》。其中APP(应用程序)和SDK(软件开发工具包)存在的六大类问题,包括远程控制、恶意扣费等八大类恶意行为、涉嫌侵犯公民个人隐私、涉嫌超范围采集公民个人隐私等。

  其中,MOMO陌陌(版本8.18.7)、今日头条(版本7.2.7)、京东金融 (版本:5.2.32)、云闪付(版本:6.2.6)等下载量很高的应用也名列其中。

  2016年至今,国家计算机病毒中心针对国内外的400多个应用发布渠道,承担了对全国移动APP(应用程序)07×24小时安全监测处置工作,共爬取移动应用APP(应用程序)总数量694万款,安全检测APP(应用程序)30515款,检测出恶意样本8000余款。(来源:央视新闻)

  电信诈骗手段翻新,制作“安全防护”冒充北京警方APP

  

  关键词:冒充APP

  近来有一款名为“安全防护”的软件冒充北京警方的官方APP。该APP一般与“冒充公检法”的电话捆绑出现,迷惑市民输入银行卡信息。

  民警介绍,以往“冒充公检法”的诈骗案件,不法分子总是通过电话实施诈骗。但随着广大市民防范意识的提升,很多人在接到自称是警方的电话时,会直接挂掉。不法分子为了提高诈骗成功率,让受害人在短时间内相信其警察身份,会要求添加QQ好友。然后在QQ上通过捏造照片、聊天记录等信息,营造出以假乱真的形象。还会发给受害人“帮人追回欠款”的聊天记录。

  在取得信任后,不法分子会要求受害人下载APP。此类APP只能通过链接下载,迷惑性极强。在获得账户信息后,不法分子再通过名下银行卡互转等方式,让账户看起来“钱多了”。“不法分子冒充公检法的最终目的就是骗钱。警方根本没有所谓的‘安全账户’。”民警称,遇到可疑电话千万不要轻信,尽快拨打110核实情况。(来源:新京报)

  联合国儿童基金会在线学习网站泄露8000名用户信息

  

  关键词:儿童基金会

  
      据外媒9月10日报道,联合国儿童基金会无意中泄露了其在线学习门户网站Agora的数千名用户的个人信息。该网站为儿童基金会工作人员和公众提供免费培训课程,内容涉及儿童权利、人道主义行动、研究和数据等问题。

  8月26日,一封包含8253名注册免疫课程用户的详细信息的电子邮件被发送给近20000名Agora用户。个人信息可能包括姓名、电子邮件地址、工作地点、性别、组织、主管姓名和参加其中一门课程的个人合同类型,只要这些详细信息包含在他们的Agora用户的个人资料中。(来源:雷锋网)

  英特尔芯片弱点允许攻击者窃取敏感信息

  

  关键词:英特尔

  2011 年,英特尔服务器处理器引入了一项新功能去提升性能,它允许网卡等外围设备直接访问 CPU 的最后一级缓存。被称为 DDIO(Data-Direct I/O)的功能通过避开系统主内存而增加了输入/输出带宽,减少延迟和功耗。但研究人员警告称,攻击者能够滥用 DDIO 去获取按键或其它类型的敏感数据。最有可能的攻击场景发生在启用了 DDIO 和远程直接内存访问的数据中心和云端环境,攻击者可利用漏洞从一台服务器窃取另一台服务器和应用服务器之间交换的 SSH 保护的按键数据。研究人员将这种攻击称为 NetCAT。(来源:solidot)

  数以千计的服务器感染 Lilocked 勒索软件

  

  关键词:勒索软件

  数以千计的服务器感染了名为 Lilocked (Lilu)的勒索软件。最早的感染是在 7 月中旬报告的,最近两周愈演愈烈,它被认为主要针对的是 Linux 服务器,可能利用旧版本 Exim 软件的漏洞,但还不清楚勒索软件是如何获得服务器的 root 访问的。勒索软件并不加密全盘文件,而只是 HTML、SHTML、JS、CSS、PHP、INI 等文件格式,加密后的文件扩展变为 ".lilocked,感染勒索软件的服务器仍然能正常运行。勒索软件作者留下了名为 #README.lilocked 勒索通知,因此你可以通过 Google 搜索该文件名找到感染了 Lilocked 的服务器,输入 intitle:"index of" "#README.lilocked"返回了 6000 多个结果,安全研究人员称 Lilocked 加密了 6700 多台服务器,许多感染的服务器都被 Google 索引和缓存了。(来源:solidot)

  黑客利用“Simjacker”漏洞窃取手机数据,或影响10亿人

  

  关键词:手机漏洞

  据TNW报道,网络安全研究人员警告称,SIM卡存在一个严重的漏洞,使得远程攻击者可以在用户不知情的情况下发送短信攻击目标手机并监控受害者。都柏林的AdaptiveMobile Security公司表示,这个被称为“Simjacker”的漏洞已经被一家间谍软件供应商利用了至少两年的时间,不过该安全公司并未透露利用这一漏洞公司的名称以及受害者信息。

  据称,“Simjacker”漏洞攻击包括向手机发送一条短信,短信中包含一种特定类型的类似间谍软件的代码,然后手机会指示手机内的SIM卡控制手机,检索并执行敏感命令。这一漏洞存在于称为 S@T的浏览器中,该浏览器作为GSM 普遍使用的手机应用工具包(STK)的一部分,嵌入大多数手机SIM卡中,为客户提供增值服务。

  AdaptiveMobile 表示,至少有 30 个国家的移动运营商积极使用 S@T 浏览器技术,总人数超过 10 亿。这就意味着,在全球或有逾10 亿手机用户可能会受到影响。(来源:ChinaZ站长之家)

  数据统计

  过半网民近一年遇过个人信息泄露,45%有不安全上网行为

  

  关键词:上网安全

  9月15日,《2019年网民网络安全感满意度调查活动总报告》在天津发布。报告显示,尽管网民网络安全感满意度总体来说有所提升,但个人信息泄露情况十分严峻。

  调查结果显示,58.75%网民在日常生活中遇到过侵犯个人信息的行为,其中遇到个人信息泄露的达85.36%(折合全体比例为51.15%),遇到个人信息过度采集的达58.48%。

  完善立法、打击犯罪和强化监督也成为了网民的主要诉求。82.61%网民希望对个人信息保护立法,73.36%网民希望对网络平台责任进行立法,63.69%则提出对数据安全保护立法。不过,尽管个人信息保护的关注度有所提高,但报告显示,2019年仍有超过45%的网民曾做过不安全的上网行为。

  其中45.8%曾在公共场所登录Wi-Fi,45.67%曾在网络账户注册时使用个人信息,45.51%曾打开来源不明的电子邮件或网站链接。其他不安全行为还包括长期不做文件备份、所有账号只用同一密码、网购时向卖家发送银行账号、密码等信息。

  网民认为,最容易泄露个人信息的政府网上服务是医疗,持该观点的网民占比为51.73%,50.06%网民认为是教育服务,其他还有就业、交通、住房。不过,网络安全从业人员普遍认为住房服务最容易泄露个人信息。(来源:南方都市报)

  机构预测:中国网络安全市场增速将继续领跑全球

  

  关键词:网络安全市场

  市场调研机构IDC近日发布的一份行业报告预测,未来五年中国网络安全市场增速将继续领跑全球,到2023年中国市场规模将增长至179亿美元。

  根据IDC近日发布的《IDC全球半年度网络安全指南,2018H2》,2019-2023年中国网络安全市场总体支出的复合年均增长率预计为25.1%,远高于9.44%的全球平均水平。

  IDC预测,2019年中国网络安全市场总体支出将达到73.5亿美元。安全硬件在今年中国网络安全整体支出中将继续占据绝对主导地位,占比高达62.8%;安全软件和安全服务支出比例分别为16.7%和20.5%。

  从行业上来看,政府、通信、金融仍将是中国网络安全市场前三大支出行业,占中国总体网络安全市场约六成的比例。

  这份报告指出,中国已成为除美国以外网络安全支出最多的国家。虽然中国网络安全投入在整体IT投入中的占比有所提升,但相对于全球平均水平仍有较大差距。

  IDC预计,到2023年全球网络安全市场相关支出有望超过1500亿美元。(来源:中国经济网)

  人才培养

  天津引进各类人才超17万人 网络安全领域占两成

  

  关键词:网络安全人才引进

  2019年网络安全博览会新闻发布会15日在天津举行。会上,天津市委网信办主任王芸透露,截止到今年上半年,天津市共引进各类人才超17万人,其中网络安全等战略性新兴产业高层次人才占引进总数的20%。

  网络空间的竞争,归根结底是人才竞争。王芸表示,现在无论是建设网络强国还是天津市在推进网络强市,人才是重中之重,人才就是关键。

  对于天津而言,在吸引优秀人才方面有哪些“杀手锏”?王芸介绍,主要有以下几点。

  一是实施“海河英才计划”。把引进人才做一个系统的分类,有学历型、资格型、急需型、技能型和创业型五类。二是搭建教育平台培训人才,主要是在南开大学、天津大学分别建立了网络空间安全学院。在天津理工大学建立了网络空间安全研究院,在天津师范大学建立了网络内容建设和综合治理研究院。三是出台创新政策激活人才。主要是深化职称制度改革,以人才的创新能力,业绩水平包括实际贡献为考量,来科学地评价人才的能力水平。四是强化保障措施服务人才。

  王芸表示,下一步天津也将围绕“一基地三区”定位,着力做好人才引进、培养、激励和服务,为建设网络强市提供强大的人才保障。(来源:央广网)

  美国 NICE 计划和《NICE 网络安全人才队伍框架》

  

  关键词:NICE

  《NICE 网络安全人才队伍框架》本身定义了一套包含通用的词汇、分类法及其他数据标准在内的共同语言,来帮助行业讨论和理解网络空间安全专业人员的工作和技能要求。

  《NICE 网络安全人才队伍框架》用类别(Category)、专业领域(Specialty Area)和工作角色(Work Role)这三类组件来描述网络空间安全工作,并且定义了四类组件来为每个工作角色定义相关的网络空间安全知识(Knowledge)、技能(Skill)、能力(Ability)、任务(Task)。

  用多个《NICE 网络安全人才队伍框架》组件来描述信息技术(IT)、网络空间安全和网络空间相关工作。

  《NICE 网络安全人才队伍框架》中核心内容涉及 7 大类别的 32 个专业领域,38 种工作角色的 1007 类任务所需的 1180 种知识、技能和能力(KSA)。其中,类别是围绕不同的目标对专业领域进行了分类所形成的,包括安全交付、运营与维护、监管与治理、保护与防御、分析、搜集与行动、调查。(来源:网络)

  漏洞速递

  复杂的iOS 13漏洞:可在不解锁iPhone的情况下查看联系人

  

  关键词:IOS漏洞

  苹果刚刚关闭了 iOS 12.4 的认证通道,并全力向 iOS 13 转进。然而近日,一位名叫 Jose Rodriguez 的安全研究人员,又在一段 YouTube 视频中演示了如何利用 VoiceOver 和 Siri 的漏洞。甚至可以在不解锁 iPhone 的情况下,不受限制地访问存储在设备上的联系人名单。

  Rodriguez 展示了漏洞利用的工作原理,包括调用目标 iPhone 或 FaceTime 。拨打电话后,接听方必须选择使用自定义消息进行相应,而不是接受通话。

  在消息屏幕上,用户必须使用 Siri 打开 VoiceOver,然后将其关闭。但在切换 VoiceOver 之后,用户可以跳转到添加联系人字段,这样就可以查看手机中的所有联系人信息了。

  不过,受限于攻击复杂程度,该漏洞的影响范围应该不会太大。即便得逞,攻击者也只能查看到目标 iPhone 中的联系人,且前提是能够物理接触目标手机、并完成 VoiceOver 的漏洞利用。(来源:cnBeta)

  其他漏洞

  9月9日-9月15日:

  国家信息安全漏洞共享平台(简称 CNVD)共收集、整理信息安全漏洞372个,其中高危漏洞92个,中危漏洞252个,低危漏洞28个。

  本周关注度最高漏洞:

漏洞名称

危害级别

CNVD-ID

WordPress Checklist跨站点脚本漏洞

CNVD-2019-31192

漏洞描述

WordPress Checklist存在跨站点脚本漏洞,攻击者可利用该漏洞执行任意脚本代码。

解决方法

厂商尚未提供漏洞修复方案,请关注厂商主页更新



漏洞名称

危害级别

CNVD-ID

QCMS网站管理系统存在存储型XSS漏洞

CNVD-2019-27742

漏洞描述

QCMS网站管理系统存在存储型XSS漏洞,可以利用漏洞获取管理员账户信息。

解决方法

厂商尚未提供漏洞修补方案,请关注厂商主页更新


 
    免责声明:

  信息安全快讯的内容及图片出于传递更多信息之目的,属于非营利性的转载。如无意中侵犯了某个媒体或个人的知识产权,请联系我们,我们将立即删除相关内容。其他媒体、网络或个人从本网下载使用须自负版权等法律责任。