The Good 讓我們用一個簡單的情景來開啟本週的好消息:駭客給了檸檬,中毒的把它變長了製檸檬汁。 Well, 令人尷尬的是:在八月時,網路安全培訓機構 SANS Institute 宣布,一名員工被釣魚攻擊,導致他們被入侵了。 SANS 週二表示,駭客進入了這名員工的 Office 365 帳號,並植入了可疑的 email 轉發規則,該規則在系統審查 email 配置和規則時被標示了出來。 SANS 表示,這名駭客轉寄了 513 封 email 到“可疑”外部電子郵件地址,其中一些電子郵件包含個y資(PII),例如姓名,電子郵件,工作名稱,公司名稱和地址。 總共竊取了約 28,000 個PII記錄。 但這是不好的消息吧?沒錯! 但到本週結束時,SANS 計劃通過根據從違規中汲取的教訓,來建立了網路研討會和培訓材料,將其轉變為一個可教導的經驗,CTO James Lyne 解釋:“我們利用資安路上的任何顛簸來作為學習的機會,回顧我們自己當下應該做些什麼。 這正是我們現在所處的過程,因為很顯然的,如果我們有所準備,也不會處於這種情況。 而且永遠有可改善的空間。” 儘管 SANS 尚未公布此負責員工的姓名或職務,但表示此員工: a)無法進入敏感或財務數據 b)沒有機構任教。 在本週的其他好消息中,美國移民和海關執法局(ICE)的調查結果,成功的關閉數千個欺詐性 COVID-19 網站-該類型的網站瞄准了經由金流,進口假藥和醫療用品,並承諾出售如乾洗手和消毒濕巾之類的需求產品,但完全無意寄出貨品。 聯邦政府沒收了超過 320 萬美元的非法收益,並逮捕了11人。 美國司法部也提供了避免這些欺詐的提示。 這裡提供了有關 “ Operation Stolen Promise ” 以及如何舉報 COVID-19 欺詐行為的更多信息。 The Bad 一個有革命性 ReVoLTE-ing 的發展:長期不斷進化(LTE)的手機語音標準是應該為我們提供更好的聲音質量,其容量是早期 3G 標準的三倍,有更多的安全性的啟動。 但是研究人員說,由於 LTE protocal 在 implementation 上的故障,LTE 語音(VoLTE)可以讓駭客使用價值 7,000 美元的設備就可以竊聽電話。 正如 USENIX 的研究人員所描述,問題通常在 base station 上發現,在大多數情況下,要嘛就是重複使用與加密對話相同的 stream 密碼,或使用可預測的演算法為電話通話加密。 這種常見,有缺陷的 VoLTE implementation,駭客可以將加密的數據轉換為未加密的語音。 這很容易:駭客使用軟體無線電,在同一個易受攻擊的 base station 找到例如:Alice 和 Bob 之間的加密 radio 流量。 在第一次通話結束後,駭客打給 Alice 並與她交談-交談的時間越長越好。 在第二次的通話中,駭客會尋找 Alice 的加密 radio 流量並記錄未加密的語音(known plaintext)。 這裡是攻擊的 demo,這裡是詳細說明攻擊以及緩解措施的網站。 長話短說:德國已解決此問題,但在其他地方都可能存在一樣的問題。 研究人員在周三發布了一個 Android app,手機電信業者可以使用該程式測試其網路和 base station的漏洞。 Open-source, 你也可以在 GitHub 上取得。 The Ugly Mozilla 宣布裁員 250 人:這大約佔了總員工總數的四分之一。 這將對於以開發隱私優先的 Firefox 非常不利 。 首席執行官 Mitchell Baker 指責了這次的大流行病,並表示:“這次的全球性疾病一併帶來的經濟狀況,嚴重影響了我們的收入。 “然而,我們的之前針對 COVID 的計劃不再可行。” 在發給員工的 memo 中,Baker 表示將關閉在台北的業務。 在加拿大,美國,歐洲,澳大利亞和新西蘭,工作量也將減少。 Baker 表示,大量瀏覽器開發將遭受創:“為了提供不同的用戶體驗,我們將 Firefox 組織重新定位於核心瀏覽器的增長,減少對某些領域的投資,例如開發人員工具,內部工具和平台功能開發, 並將相鄰的安全/隱私產品過渡到我們的新產品和運營團隊。” 這些安全/隱私產品的作用很大:瀏覽器阻止了許多不良的 online 雜質,包括社交媒體 trackers,cross-site tracking cookie,tracking code,指紋識別器和加密礦工。這一消息傳出後不久,Mozilla 和 Google 宣布了一項價值 “數百萬美元” 的交易,這將讓 Google 成為瀏覽器上的默認搜索引擎。 希望這樣的交易將有助於使駭客遠離我們。 同時,我們所能做的就是希望 Mozilla 的新產品和運營團隊能以最少的錢~做最多的事。 在這種艱難的時期,祝他們好運,並期望瀏覽器中的安全性和隱私性不會因此而己減少能力。
0 Comments
Your comment will be posted after it is approved.
Leave a Reply. |
Categories
All
Archives
January 2021
|