TOP5 | 头条：白宫就军民两用技术向以色列施压逼其切断与中国的研究联系

白宫就军民两用技术向以色列施压逼其切断与中国的研究联系；

标签：美国，中国，以色列，军民两用技术

Breaking Defense当地时间9月29日报道，消息人士称美国正悄悄地向以色列施压，要求其限制与中国的学术和研究联系，因为担心北京可能通过“双重用途”研究工作获得军事技术。美国人特别担心有关网络能力、小型卫星和电子战系统的敏感数据的泄露。此举正值以色列与中国研究机构建立更紧密的联系之际，其中包括去年推出的一项专门“吸引优秀中国学生”来以色列学习的协议。

软压力从夏天开始，当时乔·拜登总统访问了以色列，但最近加剧了一位国防部消息人士所说的“不能拒绝的请求”。以色列消息人士称，华盛顿的目标是尽量减少，或者在可能的情况下完全削减以色列和中国研究机构之间的合作。

据消息人士透露，以色列官员对华盛顿的关注感到惊讶，现在正与拜登政府就如何向前发展进行反复讨论。这些会谈很可能是本周两国国家安全顾问杰克·沙利文和埃亚尔·胡拉塔在白宫于9月28日举行的会议的一部分。

以色列国防消息人士告诉Breaking Defense，华盛顿的主要担忧是所谓的“双重用途”技术，这种系统具有商业应用，但也可用于国防产品。这包括在涉及网络、空间、通信和远程观测系统的研究项目中发现的那种技术，仅举几例。在一些以色列学术机构中，这些研究课题提供给外国学生，包括来自中国的学生。

一位国防部消息人士告诉Breaking Defense，美国人特别担心有关网络能力、小型卫星和电子战系统的敏感数据的泄露。以色列军民混合的性质加剧了这些担忧。以色列学术界的许多学生和科学家还担任以色列国防军一些精英技术单位的预备役人员，例如专注于SIGINT的8200部队。这些研究人员可以与研发能力合作，中国学生正在为华盛顿敲响警钟。以色列国防部和美国驻以色列大使馆拒绝对此事发表评论。向中国驻以色列大使馆提出的置评请求也未有回复。压力来自华盛顿的类似运动，试图限制或彻底切断中国在以色列的影响力。去年，拜登政府就与中国在海法建造的港口有关的间谍活动向以色列施压，而美国提供的信息导致以色列打击中国获取以色列国防技术的企图。美国官员对所谓的中国“军民融合”努力持谨慎态度，在这种努力中，为中国境内的民用或商业用途开发的任何技术也必须与军方共享。北京“正在实施这一战略，不仅通过其自身的研发努力，还通过获取和转移世界尖端技术来实现军事优势，”美国国务院概况中介绍。在9月20日的分析中，研究员Casey Babb在INSS网站上写道，“在过去的二十年里，中国和以色列之间的关系在广泛的领域逐渐加深。”

“几十年来，中国一直优先考虑和获取来自世界各地研究界的敏感信息、技术和知识，”巴布写道，帮助刺激美国施压的是以色列一项相对较新的倡议，旨在加强与中国的科学合作。在2021年10月的公告中，以色列驻北京大使馆发布了有关该倡议的详细信息，称“以色列政府高度重视中以之间的学术和科学联系。已经为这一重要目标分配了大量预算和资金。”除了对本科生的支持外，该公告还包括鼓励中国博士生来以色列花三年时间，支付所有费用，在以色列做研究。两国“同意发起提案征集，以支持中以科学家在生命科学与医学和精确科学与技术领域的合作基础研究项目。这些联合研究项目将由两国已建立的研究小组进行。”与中国达成的新协议似乎在很大程度上没有受到华盛顿的关注，直到拜登7月访问以色列。在那次活动之前，白宫发表声明“启动新的战略性高级别技术对话，其任务是在关键和新兴技术以及应对全球挑战的解决方案方面建立美以技术伙伴关系：大流行防范、气候变革、人工智能的实施和可信赖的技术生态系统。”巴布在他对INSS的分析中称，这一声明是“向中国发出的明确信号”，“强调耶路撒冷正在认真对待华盛顿的担忧”。

白宫对沙利文和胡拉塔9月28日会晤的宣读中写道，两人“在同一天讨论了启动美以战略高级别技术对话，这是总统和总理拉皮德在7月在以色列加强技术合作，以应对流行病防范和气候变化，推广值得信赖的人工智能，并保护我们的技术生态系统。”

当被问及是否在会议期间特别提到了中国时，国家安全委员会发言人拒绝在宣读后发表进一步评论。

与消息人士和专家交谈，对于以色列应该如何回应华盛顿没有明确的共识。据一位高级国防工业消息人士称，平衡与中国合作的利益和来自美国的政治压力一直是耶路撒冷面临的长期挑战。

“将技术定义为两用技术几乎包括所有先进技术，”消息人士指出。“美国的要求需要进行非常严肃的公开辩论，因为从长远来看这将影响以色列。”以色列国防机构的一位前高级官员在谈到背景时补充说，华盛顿特区需要在解决这个问题时更加了解中国在经济上对以色列的重要性。

“必须有一个系统来评估具体的合作项目，而不是一个全面的行动，”这位前官员说。

以色列摩萨德前负责人丹尼·亚托姆告诉Breaking Defense，华盛顿可能夸大了它的担忧。

“我认为这是美国人夸大的一些情况，”亚托姆说。“必须与华盛顿就什么可能对美国安全构成威胁以及什么是无辜的进行持续对话。”但以色列高级网络专家兼IDF预备役上校Gabi Siboni告诉Breaking Defense，美国的担忧是可以理解的，因为以色列学术机构投资于网络研究，而一些学生和科学家已经接受了以色列国防军的培训和服务。

“也就是说，在过去几年中，部分是为了应对美国对以色列施加越来越大的压力，要求其重新考虑与中国的关系，两国之间的经济活动明显降温，”他指出。

以色列顶级技术学院以色列理工学院与中国合作多年。2013年，以色列理工学院与中国广东省汕头大学和李嘉诚基金会（在加拿大注册的慈善基金）合作成立了广东以色列理工学院（GTIIT）。

当被问及美国对与中国研究关系的担忧时，一位发言人说：“以色列理工学院认为，从成立到现在，它对GTIIT的参与仅限于与可持续发展和环境相关的全球主题，以造福全人类. 特别是，它解决了中国在水污染、空气污染、土壤污染和食品方面面临的诸多挑战。因此，Technion在GTIIT推出的教育项目都集中在这些主题上。”

信源：网空闲话

美国防部与商务部《空间态势感知协议备忘录》具体内容；

标签：美国，空间态势感知

9月26日，美媒《突发防务》对其独家获得的国防部与商务部于9月7日签署的《空间态势感知协议备忘录》副本进行了跟踪报道。该备忘录由于被标记为“受控非机密信息”，所以目前尚未公开。

备忘录的主要内容如下。第一，披露了部分备忘录内容。具体为，承诺将向民用、商业和非美国用户提供空间态势感知数据以及空间交通管理服务的权力从国防部移交给商务部。第二，对于相关问题的具体细节将建立联合工作组进行商讨。虽然工作组的成立时间和具体工作内容均尚未确定，但可以确定的是，国防部和太空司令部将保留监视太空的任务，以发现潜在危险活动和来自潜在对手的威胁，并且控制大部分军方自己的机密网络。

目前，工作组计划以制定附件的方式来解决《空间态势感知协议备忘录》中未能明确的细节问题。具体为，将制定两个附件来处理第一阶段的业务。附件A将解决如何将商业数据纳入国防部的空间物体目录，并确定谁负责维护、协调和交换相关数据和信息。附件B将确定和概述国防部和商务部在空间态势感知和空间交通管理中的角色和责任，包括审查空间态势感知数据共享协议。

美国政府官员表示备忘录是一个框架协议，是落实《空间政策指令-3》的第一步。国防部高级官员表示，该备忘录的目标是保证国防部和商务部对《空间政策指令-3》的落实工作写入法典。同时，国防部其他高级官员认为备忘录在表述上保持模糊是特意为之，目的是在今后可以根据实际情况的变化，以附件形式进行更加详细的安排。

《空间态势感知协议备忘录》中仍存在亟待解决的问题，主要有两个方面。第一，太空司令部或其他国防部办公室是否、何时、以及如何阻止商业公司共享其收集的空间物体态势感知数据。第二，国防部内部非机密空间物体目录中有多少将与商务部共享。上述问题的根源就在于保密和控制。

国防部和运营商、专家就保密问题存在分歧。国防部、情报界和一些美国盟友历来一直对透露其国家安全卫星的位置持谨慎态度，因为他们希望隐藏自己的空间活动和空间物体的相关特征。国防部高级官员解释称，对于涉及国家安全利益的事情，国防部肯定会表达其可能存在的任何担忧。

但行业运营商和专家认为这种保密的想法不仅没有根据，而且大多数卫星实际上很容易被望远镜探测和跟踪，如果隐瞒空间活动和空间物体的特征，会使所有卫星都处于危险之中。安全世界基金会的布莱恩·威登表示，国防部的服务未能跟上空间领域的形势变化，其主要原因就在于对控制和保密持保守态度，将国防部的权力进行转移就是为了摆脱这些限制。

为解决这些问题，备忘录中规定，根据法律和行政政策，国防部将保留相关权利，确保个人和实体在发布信息时，不对国家安全利益造成损害。

信源：北京航天情报与信息研究所

美国拟立法保护开源软件：首次认定为公共数字基础设施；

标签：美国，开源软件，公共数字，基础设施

安全内参9月29日消息，美国参议院国土安全和政府事务委员会就一项新法案投票通过，希望解决开源软件给政府机构带来的安全风险。

该法案由民主党参议员加里·彼得斯（Gary Peters）和共和党参议员罗伯·波特曼（Rob Portman）发起，名为《保护开源软件法案》。

法案提出，网络安全与基础设施安全局（CISA）围绕美国政府及各关键基础设施机构内使用的开源代码，创建一套“风险框架”。CISA需要找到“降低使用开源软件系统的风险”的方法，并聘请经验丰富的开源专家，预防类似Log4j事件的再次发生。

该法案还要求，白宫管理和预算办公室（OMB）就各级机构如何安全使用开源软件发布指南。

作为法案的实施依托，CISA的网络安全咨询委员会将专门成立“软件安全小组委员会”。

彼得斯和波特曼都提到，Log4j漏洞是制定该法案的主要驱动因素之一。美国国土安全部一位高级官员上月表示，网络安全官员可能要投入“十年甚至更长时间”来处理Log4j漏洞的持续暴露。

两周前，思科公司研究人员披露，美国、加拿大、日本等国多家能源企业曾在今年夏季遭到利用Log4j漏洞的黑客攻击。最近几个月，也有多家网络安全公司警告称，尽管全球都在努力修复Log4Shell，但这个漏洞仍然构成广泛威胁。

彼得斯表示，“开源软件是数字世界的基石，Log4j漏洞凸显出我们对开源软件的高度依赖。这起事件对联邦政府及银行、医院和公共事业企业等关键基础设施组织构成了严重威胁，影响到美国人日常生活所依赖的各种基础服务。”

“这项基础性两党立法将有助于保护开源软件安全，并进一步加强我们的网络安全防御，从而防范对美国网络发动持续攻击的网络罪犯及外国对手。”

国土安全部近期公布了由新成立的网络安全审查委员会领导的Log4j溯源调查。德得斯和波特曼负责领导国土安全与政府事务委员会。

国土安全部负责政策的副部长兼审查委员会联合主席罗伯·西尔弗斯（Rob Silvers）指出，在2021年发现Log4j漏洞之后，政府方面组织起了“有史以来规模最大的网络应对措施”。

“但Log4j还没有结束。这不是历史性的回顾，现在我们才刚刚弄清事件的来龙去脉。”

彼得斯和波特曼今年早些时候就Log4j事件召开了听证会，并在本周的声明中将其认定为“有史以来最严重、影响范围最广的网络安全漏洞之一”。

参议员们表示，联邦政府是世界上最大的开源软件用户之一。因此除了支持私营部门之外，联邦政府还“必须有能力管理自己的开源使用风险”。

大西洋理事会的特雷·赫尔(Trey Herr)也提到，该法案将“首次把开源软件认定为公共基础设施”。

根据波特曼的介绍，该法案旨在确保美国政府“预测并缓解开源软件中的安全漏洞，以保护美国民众最敏感的数据”。

波特曼提醒称，“Log4shell漏洞只是其中一例，我们日常使用的计算机、手机和网站都包含易受网络攻击的开源软件。”

这两位参议员此前就曾成功合作，将关键基础设施的网络安全事件报告条款纳入《2022财年综合拨款法案》，并由国会批准向各州提供网络安全资金。

信源：therecord.media

NIST拟在2023年初推出新的人工智能风险管理框架；

标签：NIST，人工智能，风险管理框架

NIST下属IT实验室的参谋长表示，NIST正在“按计划”在2023年1月发布其人工智能风险管理框架的第一版，详细说明预期结果以及实现这些目标所需采取的行动。

塔巴西在众议院研究和技术小组委员会作证时说，不断发展的文件映射和衡量人工智能对组织、人民和社会的风险。NIST自2021年7月以来一直在开发该框架，通过研讨会和公众评论征求反馈，但Tabassi很清楚，这只是确保公众信任AI的第一步。“人工智能的技术和标准格局将继续发展，”Tabassi说。“因此，NIST打算随着时间的推移更新框架和相关指南，以反映新的知识、意识和实践。”NIST的其他指南、标准、措施和工具将建立框架并帮助机构，并在自愿的基础上，行业评估和衡量特定用例中的AI可信度。塔巴西说，那里需要“做更多的工作”，这就是NIST呼吁捐款的原因。

塔巴西说，NIST已“显着扩大”其对有害人工智能偏见的研究，并正在与联邦机构以及经济合作与发展组织和美国-欧盟贸易和技术委员会等国际机构进行接触。塔巴西说，人工智能风险管理框架进一步将美国的技术方法与中国区分开来，中国于2017年发布了“雄心勃勃的”国内人工智能计划。“人工智能现在就在这里，而且不会消失，”美国商会商会技术参与中心副总裁Jordan Crenshaw说。“我们不能忽视它，我们不能袖手旁观，让那些不认同我们民主价值观的人为世界设定标准。”Crenshaw说，一旦NIST的框架发布，国内外的标准机构将在鼓励使用它方面发挥作用。

信源：https://www.securityweek.com/senators-push-reform-polices-cellphone-tracking-tools

微软：勒索组织正在将开源软件武器化；

标签：勒索组织，开源软件，武器化

近日，微软称某勒索组织正在对合法的开源软件进行木马化，并将其用于技术、国防和媒体娱乐等许多行业的后门组织。目前黑客武器化用户部署恶意软件或木马后门的开源软件列表包括 PuTTY、KiTTY、TightVNC、Sumatra PDF Reader 和 muPDF/Subliminal Recording 软件安装程序。

据 Mandiant报道， PuTTY 和 KiTTY SSH 客户端还被用于在虚假工作技能评估中为目标设备安装后门。该木马化软件在 2022 年 4 月下旬至 9 月中旬用于社会工程攻击，主要针对在英国、印度和美国的 IT 和媒体组织工作的工程师和技术支持专业人员。

微软指出，攻击者创建了微软表示，攻击者创建了“声称是技术、国防和媒体娱乐公司的招聘人员的虚假资料，目的是将信息从领英和加密信息应用WhatsApp转移，以传递恶意软件。”

“目标获得了针对他们的专业或背景量身定制的外展服务，并被鼓励申请几家合法公司的空缺职位。”

在目标被骗下载武器化开源软件后，勒索组织会提前在其系统上部署恶意软件，并利用后门进行横向移动和网络发现，最终目的是窃取敏感信息。

Mandiant 在其报告中表示，勒索组织的最新活动似乎带有一定的政治目的，也是此前已经发现的一项间谍活动的延续，该活动自2020年6月开始，通过虚假的工作机会从美国著名的国防和航空航天公司引诱求职人员。

信源：https://www.bleepingcomputer.com/news/security/microsoft-lazarus-hackers-are-weaponizing-open-source-software/