网络空间安全动态第133期
一、发展动向热讯
1、“十四五”规划和2035年远景目标纲要发布
3月11日,十三届全国人大四次会议表决通过《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》的决议。在网络安全方面,《纲要》提出,建立健全数据要素市场规则,营造规范有序的政策环境,加强网络安全保护,推动构建网络空间命运共同体。《纲要》要求,加强涉及国家利益、商业秘密、个人隐私的数据保护,加快推进数据安全、个人信息保护等领域基础性立法,强化数据资源全生命周期安全保护。完善适用于大数据环境下的数据分类分级保护制度。加强数据安全评估,推动数据跨境安全有序流动。健全国家网络安全法律法规和制度标准,加强重要领域数据资源、重要网络和信息系统安全保障。建立健全关键信息基础设施保护体系,提升安全防护和维护政治安全能力。加强网络安全风险评估和审查。加强网络安全基础设施建设,强化跨领域网络安全信息共享和工作协同,提升网络安全威胁发现、监测预警、应急指挥、攻击溯源能力。加强网络安全关键技术研发,加快人工智能安全技术创新,提升网络安全产业综合竞争力。加强网络安全宣传教育和人才培养。积极参与数据安全、数字货币、数字税等国际规则和数字技术标准制定。推动全球网络安全保障合作机制建设,构建保护数据要素、处置网络安全事件、打击网络犯罪的国际协调合作机制。在加强国家安全体系和能力建设方面,坚定维护国家政权安全、制度安全、意识形态安全,全面加强网络安全保障体系和能力建设,切实维护新型领域安全,严密防范和严厉打击敌对势力渗透、破坏、颠覆、分裂活动。(信息来源:新华社)
2、《常见类型移动互联网应用程序必要个人信息范围规定》发布
3月22日,国家互联网信息办公室、工业和信息化部、公安部、国家市场监督管理总局四部门联合发布《常见类型移动互联网应用程序必要个人信息范围规定》,旨在落实《中华人民共和国网络安全法》关于个人信息收集合法、正当、必要的原则,规范移动互联网应用程序(APP)个人信息收集行为,保障公民个人信息安全。《规定》明确了地图导航、网络约车、即时通信、网络购物等39类常见类型移动应用程序必要个人信息范围,要求其运营者不得因用户不同意提供非必要个人信息,而拒绝用户使用APP基本功能服务。(信息来源:中国网信网)
3、首个IETF国密标准正式发布
3月12日消息,《商密算法在TLS 1.3中的应用》标准(RFC 8998)在IETF(互联网工程任务组,是全球互联网最具权威的技术标准化组织,其主要任务是负责互联网相关技术规范的研发和制定,为整个互联网贡献了大量的关键技术标准)发布,将国密算法应用到TLS(传输层安全协议)1.3中。这也是我国首次正式将国密算法推进到IETF国际标准中,使得我国的国密算法第一次在TLS协议中被认可使用而无需担心互操作性和冲突问题。本标准的发布也将大力促进我国商用密码算法在行业内的应用。TLS用于在两个通信应用程序之间提供保密性和数据完整性,是互联网上实现保密通信的最权威、应用最广泛的技术标准。(信息来源:密码头条)
4、国家市场监管总局出台《网络交易监督管理办法》
3月15日,国家市场监督管理总局出台《网络交易监督管理办法》。《办法》设置了个人信息保护的专门条款,要求经营者在收集、使用个人生物特征、医疗健康、金融账户、个人行踪等敏感信息时,必须逐项取得消费者同意。针对经营者尤其大型平台企业与自身关联主体之间共用个人信息的问题,规定经营者未经被收集者授权同意,不得向包括关联方在内的任何第三方提供。《办法》自2021年5月1日起施行。(信息来源:市场监管总局网站)
5、工信部通报136款侵害用户权益APP
3月11日,工业和信息化部发布《关于侵害用户权益行为的APP通报(2021年第3批,总第12批)》,涉及腾讯手机管家、天涯社区、房多多、美图证件照等136款软件存在不同程度侵犯用户权益行为。上述APP分别涉及违法违规收集个人信息、APP强制、频繁、过度索取权限,欺骗误导用户下载APP等问题,通报APP所涉类型广泛,覆盖音视娱乐、运动健身、生活服务、阅读等多种类型。(信息来源:工业和信息化部官网)
6、信息安全和隐私泄露成为3·15曝光重灾区
3月15日,2021年“3·15”晚会曝光多起信息安全和隐私泄露事件:(1)人脸识别滥用:包括宝马汽车4S店、Max Mara专卖店、科勒卫浴等20多家装有人脸识别系统的商户中,消费者人脸信息均在不知情的情况下被获取;(2)简历信息泄露:个人简历信息被智联招聘、猎聘和前程无忧等招聘平台肆意贩卖,仅需7元便可购买到一份包含姓名、性别、年龄、照片、联系方式、工作经历、教育经历等个人信息的求职简历;(3)老人手机的安全陷阱:一些APP以清理手机垃圾为由私自获取用户信息,甚至根据数据信息对老人进行用户画像,贴上“容易被误导和诱导”的标签,进一步推送低俗、劣质,甚至带有欺骗套路的广告和内容;(4)搜索软件上的医疗广告竞价排名:用户在浏览器搜索减肥、降血糖等关键词后,代理公司很快就能制作一篇自述广告和专家答疑广告,引导消费者加代理人微信购买产品,即使代理方没有资质,广告也能投放。(信息来源:央视财经)
7、美国陆军举行“网络探索2021”演习
3月18日消息,美国陆军近日在戈登堡举行“网络探索2021”演习,旨在测试多域作战的新概念和新技术。此次演习与在本宁堡举行的“陆军远征战士实验”活动合并开展,从而达到强化协同的效果,更好地推动多域作战。共有14家供应商带来了15种技术,范围涉及网络态势感知、电子战、战术无线电等。美国陆军第4步兵师、第1装甲师、网络保护旅、第915网络战营等对装备进行了测试。陆军还测试了由埃森哲开发的一种高度机密的工具,作为攻击性网络行动的安全措施。该工具使用了截取到的或逆向工程的代码,利用模式识别来模糊美军网络战士留下的数字签名,从而避免美军攻击行动被溯源,同时供地面战术部队和美国网络司令部网络任务部队使用。(信息来源:奇安网情局公众号)
8、美国FCC更新的供应商限制清单涉及5家中国公司
3月15日消息,美国联邦通信委员会(FCC)更新了其通信设备和服务供应商的限制清单,称这些供应商对美国国家安全或美国公民的安全构成了“不可接受的风险”。该清单针对5家生产电信设备及提供服务的中国企业,分别为华为技术有限公司、中兴通讯股份有限公司、海能达通信股份有限公司、杭州海康威视数字技术有限公司和大华科技有限公司。该清单与2019年《安全可信的通信网络法案》中的要求一致。(信息来源:MeriTalk网)
9、美智库发布5G战略为加速美国5G发展提出建议
3月1日,美国战略与国际问题研究中心发布报告《加速美国5G发展》。报告就如何加快基础架构部署、确保供应链安全及加快5G使用提出了建议:(1)加速频谱再利用。通过频谱拍卖、频谱共享等措施重新利用中频段频谱,并在需要实施频谱迁移时向运营机构提供补偿。(2)消除监管障碍。拜登政府应继续努力消除监管障碍,加快5G部署,以统一的国家规则取代地方法规。(3)促进供应链可信性。两个关键是促进供应商多元化和制定供应链风险管理策略。(4)打击“掠夺性”行为。应利用施加外交压力等手段对抗“掠夺性”行为。(5)调整美国及盟国的出口信贷。与日本、澳大利亚、韩国和欧盟合作,使用外国援助、联合融资和出口支持等措施支持发展中国家的5G基础设施建设,以降低因抵制购买华为产品造成的财务负担。(6)增加5G和6G的联邦支出。美政府应梳理出研发资金不足的领域,并向美国家科学基金会提供更多资金,投资频谱共享、研发新波形、开发5G安全方法等。(7)加速国会拨款。国会已发起倡议(包括多边电信安全基金、开放无线接入网络、CHIPS法案等),授权联邦政府采取行动加速5G发展,但这些倡议尚未获得拨款。(8)支持O-RAN和6G技术转型。美政策制定者应允许私营部门和市场为O-RAN和6G项目制定研发计划,并向联邦政府寻求资助。(9)让5G安全成为网络安全战略的一部分。与五眼联盟、北欧国家、日本等盟国建立网络安全合作机制以及更紧密的情报、技术和安全合作关系,应对中国网络技术风险。(10)5G政策是增强美国技术实力的一部分。美国应将投资5G战略作为在新兴技术与基础技术领域建立技术实力的更大投资战略,企业家和公司应挖掘5G发展机遇,并将其商业化。(信息来源:美国战略与国际研究中心)
10、日本个人信息保护修正案将于2022年4月生效
3月25日消息,日本个人信息保护委员会宣布,《日本个人信息保护法》修正案将于2022年4月1日生效。针对参与第三方数据共享的公司的过渡性措施将于2021年10月1日生效。修订后的法规将增加数据泄露通知、假名化、用户同意和国际数据传输等要求。(信息来源:IAPP网站)
11、英发布《安全、防务、发展与外交综合审查》报告
3月16日,英国政府发布《安全、防务、发展与外交政策综合审查——竞争时代的全球化英国》报告,综合阐述了英国未来五年的国内安全和对外政策,同时将网络列为英国核心安全问题。该文件主要涉及以下四个主题:一是利用科技维持战略优势,通过增加研发投资、加强网络生态系统建设等举措,牢固树立英国在全球科技、网络领域的地位;二是塑造开放的未来国际秩序,包括支持开放型社会和人权捍卫、促进形成开放有韧性的全球经济、塑造网络和太空等前沿领域的国际秩序、提高在印太地区的影响力;三是加强内外安全与防务能力,与盟友共同应对现实及虚拟世界中的各项威胁挑战,包括增加核弹头储备、提高国防预算、推进武器装备现代化、改善与盟友互操作能力等;四是在国内外建立韧性和弹性能力,提升英国应对气候变化、生物多样性丧失、网络攻击等多样性风险的韧性和弹性。根据文件,2021年将发布的新网络战略的五大优先事项包括:一是加强英国的网络生态系统,采取一种国家整体的网络方法,并加深政府、学术界和业界之间的合作伙伴关系;二是建立一个弹性和繁荣的“数字英国”,使民众在网上感到安全,并对自己的数据受到保护充满信心;三是引领对网络力量至关重要的技术,包括微处理器、安全系统设计、量子技术和新形式数据传输等;四是与其他政府和业界合作,并利用英国在网络安全方面的思想领导力,以促进自由、开放、和平与安全的网络空间;五是发现和威慑英国的对手,并破坏其行动。(信息来源:美国防务新闻网)
12、新加坡个人数据保护委员会发布数据泄露应对指南
3月15日消息,新加坡个人数据保护委员会(PDPC)发布了应对数据泄露事件的最新指南《数据泄露指南2.0》和《积极执法指南》。《数据泄露指南2.0》旨在帮助组织识别、预警和应对数据泄露,同时强制要求组织发布数据泄露事件通知。上述要求在2012年《个人数据保护法》(PDPA)的最新修正案中被引入,该修正案已于2月1日生效。《积极执法指南》包含PDPA中新增的自愿承诺部分内容,以及有关执法行动类型和经济处罚等信息。(信息来源:PDPC官网)
二、安全事件聚焦
13、电脑巨头Acer遭勒索攻击赎金高达5000万美元
3月19日消息,中国台湾电脑巨头宏碁(Acer)遭REvil勒索软件攻击,攻击者宣布已成功入侵宏碁的系统,同时公布了几张包括财务报表、银行交易以及流水账单等文件截图作为证据,勒索金额高达5000万美元。威胁情报公司Advanced Intel监测到,REvil团伙近期曾将矛头指向宏碁域内的微软Exchange服务器,试图利用服务器漏洞窃取数据或者加密锁定目标设备。(信息来源:BleepingComputer网)
14、以色列超过650万选民信息遭泄露
3月24日消息,在以色列大选前不到24小时,黑客公开了超过650万个选民的姓名和选票号码,以及超过300万以色列公民的姓名、电话号码、身份证号码、家庭地址、性别、年龄和政治偏好等个人信息。据悉,此次事件是由于软件公司Elector Software为以色列政党Likud开发的应用程序Elector中存在漏洞,目前尚不清楚泄露的数据是否已被访问。(信息来源:SecurityAffairs网)
15、外汇交易商FBS泄露超过160亿条客户交易记录
3月24日消息,WizCase研究人员发现外汇交易商FBS因Elasticsearch服务器配置错误,泄露了近20TB超过160亿条客户交易记录。此次泄露的信息包括用户姓名、电子邮件和账单地址、电话号码、IP地址、护照号码、社交媒体ID、身份证、驾驶执照、银行账户对账单、水电费账单和信用卡等,以及用户ID、未加密的密码、登录历史记录、会员数据和密码重置链接等数据。(信息来源:InfoSecurity网)
16、俄罗斯6000多个摄像头可公开访问
3月15日消息,安全软件公司Avas发现,俄罗斯有6000多个摄像头可公开访问,部分涉及工业企业和关键基础设施。这些摄像头都具有开放的IP地址,没有用户名和密码。攻击者可以非法获取摄像头内容,如可通过银行摄像头可获取信用卡和护照数据,还可利用摄像头IP地址访问公司和企业的网络。根据物联网搜索引擎Shodan.io的数据,俄罗斯可公开访问的摄像头数量在全球排名第五,仅次于越南、中国台湾、韩国和美国。(信息来源:EHackingNews网)
17、黑客组织FIN8利用TLS加密绕过检测
3月10日消息,黑客组织FIN8携升级的BADHATCH恶意软件回归。该组织于2016年首次由FireEye公司发现,以利用网络钓鱼和恶意工具攻击POS系统而闻名,主要针对零售、酒店和娱乐业。BADHATCH时隔一年半后再次活跃,升级后的功能包括屏幕捕获、代理隧道传输、凭证盗窃和无文件执行等,同时使用了更强大的后门,并试图利用TLS加密隐藏Powershell命令来绕过安全检测。(信息来源:TheHackerNews网)
18、中信银行因客户信息管理问题被罚款450万元
3月19日,银保监会发布行政处罚信息公开表,中信银行因客户信息保护不到位等问题被罚450万元。具体违法违规案由包括:(1)客户信息保护体制机制不健全;柜面非密查询客户账户明细缺乏规范、统一的业务操作流程与必要的内部控制措施,乱象整治自查不力。(2)客户信息收集环节管理不规范;客户数据访问控制管理不符合业务“必须知道”和“最小授权”原则;查询客户账户明细事由不真实;未经客户本人授权查询并向第三方提供其个人银行账户交易信息。(3)对客户敏感信息管理不善,致其流出至互联网;违规存储客户敏感信息。(4)系统权限管理存在漏洞,重要岗位及外包机构管理存在缺陷。(信息来源:央视网)
三、安全风险警示
19、Linux内核发现多个存在15年之久的提权漏洞
3月15日消息,研究人员在Linux内核的iSCSI模块中发现已存在15年之久的多个漏洞(CVE-2021-27363、CVE-2021-27364和CVE-2021-27365)。攻击者可利用这些漏洞获得系统root权限。上述漏洞只能在本地被利用,这意味着攻击者不得不通过利用另一个漏洞或使用其他攻击载体来访问受影响设备。漏洞已在5.11.4、5.10.21、5.4.103、4.19.179、4.14.224、4.9.260和4.4.260内核版本中修复。建议Linux用户尽快更新系统。(信息来源:cnBeta网)
20、施耐德智能电表存在严重漏洞可远程强制重启设备
3月11日消息,工业网络安全公司Claroty披露了施耐德电气公司PowerLogic电能表中的两个严重漏洞CVE-2021-22714和CVE-2021-22713,允许攻击者重启目标电能表,甚至执行任意代码,影响多个 PowerLogic ION 设备模型和一个 PM模型。一些受影响的设备更新已在去年7月发布,其它受影响设备在今年1月和3月修复。公共设施、工业公司、医疗组织机构及数据中心均使用PowerLogic电能表来监控电力网络,建议受影响用户应尽快打补丁或应用缓解措施阻止潜在攻击。(信息来源:SecurityWeek网)
21、开源企业自动化软件Apache OFBiz存在严重漏洞
3月22日,Apache官方发布Apache OFBiz风险通告,漏洞编号为CVE-2021-26295,该高危漏洞影响17.12.06之前的所有Apache OFBiz软件。OFBiz是Apache下属的企业ERP系统开发框架,攻击者可利用该漏洞构造恶意数据进行远程代码执行攻击,最终获取服务器最高权限。建议用户立即更新至Apache OFBiz最新版本(17.12.06)以缓解风险。(信息来源:TheHackerNews网)
22、通用电气的UR系列存在多个严重漏洞
3月22日消息,美国网络安全与基础设施安全局发布安全公告,公开了通用电气公司通用继电器UR系列(电源管理设备,主要用于控制和保护各种设备的功耗)中的9个严重漏洞。其中最严重的漏洞是CVE-2021-27426,CVSS评分为9.8,允许攻击者绕过访问限制。其次为可用来重启UR和输入验证漏洞(CVE-2021-27418和CVE-2021-27420),攻击者可利用这些漏洞访问敏感信息、重启UR、提升权限或导致拒绝服务。UR设备是简化电源管理以保护关键资产的基础,允许用户控制各种设备消耗的电功率量的计算。目前这些漏洞已经修复,建议用户将UR设备更新为固件版本8.10或更高版本。(信息来源:ThreatPost网)
23、远程监控软件Netop Vision Pro存在多个漏洞
3月22日消息,McAfee披露远程监控软件Netop Vision Pro存在多个可用来劫持目标电脑的漏洞,分别为权限分配漏洞CVE-2021-27192,默认权限错误漏洞CVE-2021-27193,以明文传输的敏感信息漏洞CVE-2021-27194和授权问题漏洞CVE-2021-27195。黑客可利用这些漏洞进行提权和执行远程代码,获得对目标系统的完全控制权。目前,Netop已修复部分漏洞。(信息来源:ZDNet网)
24、微软已修复遭黑客利用的高危零日漏洞
3月12日消息,微软修复了Internet Explorer浏览器中的一个零日漏洞CVE-2021-26411。攻击者可通过发送精心构造的恶意链接或文件,在用户使用浏览器访问互联网页面时触发该漏洞,从而取得计算机控制权限。该漏洞曾被黑客组织用于针对专业安全研究人员的APT攻击。目前微软已发布漏洞修复补丁,建议受影响用户及时更新。(信息来源:安全内参网)
25、软件库OpenSSL被曝存在两个高危漏洞
3月25日消息,OpenSSL发布公告称其产品中存在两个高危漏洞:(1)CVE-2021-3449,由于NULL指针取消引用而导致的拒绝服务(DoS)漏洞,只影响OpenSSL服务器实例,而不影响客户端。(2)CVE-2021-3450,不正确的CA证书验证漏洞,同时影响服务器和客户端实例。上述这两个漏洞都不会影响OpenSSL 1.0.2,这两个漏洞都在OpenSSL 1.1.1k中得到了修复,官方建议用户升级到这个版本以保护它们的实例。(信息来源:OpenSSL官网)
