TOP5 | 头条：美发布《关于加强美国信号情报活动保障措施的行政命令》

美发布《关于加强美国信号情报活动保障措施的行政命令》；

标签：美国，信号情报活动，隐私保护框架

当地时间10月7日，拜登总统签署了《关于加强美国信号情报活动保障措施的行政命令》（E.O），指示美国将采取的步骤，以落实拜登总统和欧盟委员会主席冯德莱恩于2022年3月宣布的美国在欧盟-美国数据隐私框架（EU-US DPF）下的承诺。

关于《关于加强美国信号情报活动保障措施的行政命令》的事实情况（FACT SHEET）

跨大西洋的数据流动对于促成7.1万亿美元的欧盟-美国经济关系至关重要。欧盟-美国隐私保护框架将恢复跨大西洋数据流动的重要法律基础，解决欧盟法院在驳回先前的欧盟-美国隐私保护框架作为欧盟法律下的有效数据传输机制时所提出的关切。

该行政命令加强了对美国信号情报活动已经很严格的一系列隐私和公民自由保障措施。它还创建了一个独立的、有约束力的机制，使符合条件的国家和区域经济一体化组织的个人能够在他们认为其个人数据被美国信号情报部门以违反适用的美国法律的方式收集时寻求补救。

美国和欧盟所有经济部门的大小公司都依赖跨境数据流来参与数字经济和扩大经济机会。欧盟-美国DPF代表了美国和欧盟委员会为恢复跨大西洋数据流的信任和稳定所做的共同努力的高潮，并反映了基于我们共同价值观的持久的欧盟-美国关系的力量。

特别是，该行政命令：

• 为美国的信号情报活动增加了进一步的保障措施，包括要求这类活动只为追求明确的国家安全目标而进行；考虑到所有人的隐私和公民自由，无论其国籍或居住国如何；只在为推进有效的情报优先事项所必需时进行，并且只在与该优先事项相称的范围和方式下进行。

• 规定了通过信号情报活动收集的个人信息的处理要求，并扩大了法律、监督和合规官员的责任，以确保采取适当的行动来纠正不合规的事件。

• 要求美国情报界人士更新其政策和程序，以反映E.O.中包含的新的隐私和公民自由保障措施。

• 建立一个多层次的机制，让根据E.O.指定的合格国家和区域经济一体化组织的个人获得独立和有约束力的审查，并纠正他们对美国通过美国信号情报收集的个人信息被美国违反适用的美国法律，包括E.O.中的强化保障措施的主张。

• 在第一层，国家情报局局长办公室的公民自由保护官员将对收到的合格投诉进行初步调查，以确定是否违反了E.O.的强化保障措施或其他适用的美国法律，如果是，则确定适当的补救措施。E.O.建立了现有的法定CLPO职能，规定CLPO的决定对情报界有约束力，但要接受第二层审查，并提供保护以确保CLPO的调查和决定的独立性。

  
  

• 作为第二层审查，E.O.授权并指示司法部长建立一个数据保护审查法庭（"DPRC"），以便在个人或情报界某成员提出申请后，对CLPO的决定进行独立和有约束力的审查。数据保护审查法庭的法官将从美国政府以外任命，具有数据隐私和国家安全领域的相关经验，独立审查案件，并享有免职保护。民主改革委员会关于是否违反了适用的美国法律的决定，以及如果是的话，将实施何种补救措施的决定将具有约束力。为了进一步加强DPRC的审查，E.O.规定DPRC在每个案件中选择一名特别辩护人，他将就投诉人在该事项中的利益进行辩护，并确保DPRC充分了解与该事项有关的问题和法律。总检察长今天发布了关于设立DPRC的配套规定。

• 呼吁隐私和公民自由监督委员会审查情报界的政策和程序，以确保它们符合行政命令，并对补救程序进行年度审查，包括审查情报界是否完全遵守CLPO和DPRC的决定。

这些步骤将为欧盟委员会提供一个基础，以通过一个新的充分性决定，这将恢复欧盟法律项下一个重要的、可利用的、可持续的数据传输机制。它还将为使用标准合同条款和具有约束力的公司规则将欧盟个人数据转移到美国的公司提供更大的法律确定性。

信源：参考消息

泄露的英特尔酷睿 Alder Lake BIOS 的 5.9GB 源代码被发布到 GitHub 上；

标签：英特尔酷睿，Alder Lake，BIOS，源代码

英特尔酷睿Alder Lake BIOS的源代码已在被完整地泄露了，未压缩版本的容量有5.9GB，它似乎可能是在主板供应商工作的人泄露的，也可能是一个PC品牌的制造伙伴意外泄露的。

一些Twitter用户似乎认为该代码源自4chan。昨天，它进被分享到了GitHub，在今天早些时候被撤下之前，有人查看了它的源代码日志，发现最初的提交日期是9月30日，作者被标记为LC Future Center的一名员工，这是一家可能生产笔记本电脑的公司，该代码现在依然可以从几个镜像中获得，并在互联网上被分享和讨论。

分析所有5.9GB的代码可能需要好几天时间，但有人已经发现了一些有趣的部分。显然，有多处提到了”功能标签测试”，进一步将泄漏与OEM厂商联系起来。其他部分据称提到了AMD的CPU，这表明代码在离开英特尔后被修改了。最令人震惊的是，一名研究人员发现了对未记录的MSR的明确引用，这可能构成重大的安全风险。

MSR（特定型号寄存器）是只有BIOS或操作系统等特权代码才能访问的特殊寄存器。供应商使用它们来切换CPU内的选项，如启用调试或性能监控的特殊模式，或某些类型的指令等功能。

一款CPU可能有数百个MSR，而英特尔和AMD只公布了其中一半到三分之二的文档。未记录的MSR通常与CPU制造商希望保密的选项有关。例如，研究人员发现AMD K8 CPU内的一个未记录的MSR是为了启用特权调试模式。MSR在安全方面也发挥着重要作用。英特尔和AMD都使用MSR选项来修补其CPU中在硬件缓解之前的Spectre漏洞。

安全研究人员已经表明，通过操纵未记录的MSR，有可能在现代CPU中创建新的攻击载体。这可能发生的情况非常复杂，不一定是现在正在发生的事情，但它仍然是一种可能性。应由英特尔来澄清情况和对其客户造成的风险。

信源：https://www.cnbeta.com/articles/tech/1324985.htm

研究发现近19%的网络钓鱼邮件绕过微软 Defender 安全系统；

标签：网络钓鱼邮件，微软，Defender安全系统

对于许多组织来说，Microsoft 365已经成为他们默认的电子邮件服务。但对于攻击者来说，这使得它作为一个破坏点具有吸引力。云计算和电子邮件安全专家Avanan的新研究显示，微软防御系统的钓鱼邮件漏检率为18.8%。之前在2020年进行的分析显示，有10.8%的钓鱼邮件到达收件箱，这让Defender的钓鱼邮件漏报率增加了74%。

报告同时显示，Defender将7%的钓鱼邮件发送到垃圾邮件文件夹，因此用户仍然可以访问它们。

当基于金融的网络钓鱼攻击被专门设计来绕过Defender时，Defender甚至放过了其中的42%。这类攻击包括假发票和比特币虚假转账等内容。冒充品牌是黑客选择绕过Defender的另一种流行方法，22%的这类邮件可以通过，21%的凭证收集攻击也进入了用户的收件箱。

大型企业的网络钓鱼漏网率也较高，达到50%至70%。尽管大型企业的安全运营中心工作人员将很大比例的时间用于处理电子邮件问题，但这仍然是个问题。参与研究的一家大公司在一周内看到了910封报告的网络钓鱼邮件，但IT团队只能补救其中的59封，即不到7%。

不过也不全是坏消息，Defender在某些方面做得不错。例如，它可以捕捉到90%的未知恶意软件。它还善于发现使用DMARC欺骗的攻击，只有2.5%的攻击能进入收件箱，而商业电子邮件带来的破坏很轻微，只有2%的攻击能通过。

信源：https://www.cnbeta.com/articles/tech/1324325.htm

2022 年上半年，影子 API 遭遇多达 50 亿次的恶意请求；

标签：黑客，Binance，窃取加密代币

近日，Cequence Security发布了其2022年上半年的报告，题目为 “API保护报告。影子API和API滥用的爆炸性增长”。其中最主要的发现是，约有50亿（31%）的恶意交易针对未知的、未被管理和未被保护的API，通常被称为影子API，这使其成为挑战行业的首要威胁。

Cequence Security首席执行官Ameya Talwalkar说：”现实情况是，我们作为消费者享受的日常奢侈品，如共享单车和食品配送服务，都是建立在API上的。我们的研究发现，企业可以创新客户体验，但新的方式也是对其安全、客户信任的最大威胁。公司必须重新思考在其安全战略中优先考虑的内容，首先是API保护。

该报告基于对2022年上半年观察到的200多亿次API交易的分析，旨在强调当今困扰企业的顶级API威胁。

顶级威胁1：

31%的恶意攻击针对影子API

在观察到的167亿次恶意请求中，大约有50亿次（31%）针对未知的、未管理的和未受保护的API，通常被称为影子API，跨越了广泛的使用案例。从试图抢购最新款Dunks或Air Jordans的高容量运动鞋机器人，到试图用被盗信用卡进行缓慢的卡片测试欺诈的隐蔽攻击者，再到纯粹的蛮力塞入凭证活动。在作为购物机器人和礼品卡攻击前兆的大批量内容搜刮的推动下，对影子API的攻击在2022年4月激增，并在全年持续上升。

顶级威胁2：API滥用

根据CQ Prime威胁研究团队阻止的36亿次攻击，2022年上半年缓解的第二大API安全威胁是API滥用，即攻击者针对正确编码和清点的API。这一发现强调了使用像OWASP这样的行业标准列表作为起点的必要性，而不是最终目标。最受阻的攻击表明了攻击者正在使用的策略。

30亿针对运动鞋或奢侈品的购物机器人

2.9亿次礼品卡检查攻击

试图在流行的约会和购物应用程序上创建约2.37亿个假账户

顶级威胁3：邪恶的三位一体。凭证填充、影子API和敏感数据暴露

基于1亿次攻击，API2（破坏用户认证）、API3（数据过度暴露）和API9（资产管理不当）的综合使用标志着两件事：攻击者正在对每个API的工作方式、它们之间的互动方式以及预期结果进行详细分析，开发人员需要在遵循API编码最佳实践方面保持永远的警惕。

Cequence安全公司威胁研究部主任William Glazier说：”我们的分析和发现是基于野外的真实攻击。我们的发现强调了IT和安全领导对正确编码的API以及有错误的API如何被攻击的全面了解的重要性。仅200亿的样本量就意味着各行业的企业很有可能受到这些类型的威胁影响。”

此外，报告强调，了解攻击者用来利用风险的战术、技术和程序（TTPs）的重要性，以及攻击者将如何应对抵抗。这意味着不仅要确保API不容易受到OWASP API安全10强的影响作为起点，而且要研究什么可以被定义为API10+，这个类别包含了一个完美编码的API可能被滥用的许多不同方式。

信源：https://mp.weixin.qq.com/s/-9hMCDpT-Wuwm6C98jRZ_g

Meta 警告 100 万 Facebook 用户可能被安装了密码窃取应用；

标签：Meta，Facebook，密码窃取

Meta公司警告100万Facebook用户，他们的账户信息可能已经被来自苹果或Google商店的第三方应用程序泄露了。在一份新的报告中，该公司的安全研究人员说，在过去的一年里，他们已经发现了400多个旨在劫持用户的Facebook账户凭证的诈骗应用程序。

据该公司称，这些应用程序被伪装成”有趣或有用”的服务，如照片编辑器、相机应用程序、VPN服务、星座应用程序和健身追踪工具。这些应用程序通常要求用户在访问所承诺的功能之前”登录Facebook”。但这些登录功能只是窃取Facebook用户账户信息的一种手段。而Meta的威胁破坏总监大卫-阿格拉诺维奇指出，Meta发现的许多应用程序几乎没有功能。

阿格拉诺维奇在介绍情况时说：”许多应用程序在你登录之前几乎没有提供任何功能，大多数甚至在一个人同意登录之后也没有提供任何功能。”

值得注意的是，Meta在Google的Play Store和苹果的App Store都发现了恶意应用程序，不过绝大多数是Android应用程序。有趣的是，虽然恶意的Android应用大多是消费者应用，如照片滤镜，但47个iOS应用几乎都是Meta所说的”商业实用”应用。这些服务的名称包括”Very Business Manager”、”Meta Business”、”FB Analytic”和”Ads Business Knowledge”，似乎是专门针对使用Facebook商业工具的人。

Agranovich说，Meta公司与苹果和Google分享了它的发现，但最终还是要由商店来确保这些应用程序被删除。与此同时，Facebook正在向100万可能使用过这些应用程序的人发出警告。这些通知告知用户，他们的账户信息可能已被一个应用程序泄露–它没有指明是哪一个–并建议重新设置他们的密码。

信源：https://www.cnbeta.com/articles/tech/1324651.htm