TOP5 | 头条：日本、英国在人工智能、半导体领域建立数字合作伙伴关系

日本、英国在人工智能、半导体领域建立数字合作伙伴关系；

标签：日本，英国，人工智能，半导体，合作关系

日本和英国在上周三（12月7日）启动了一项数字合作伙伴关系，旨在加强从网络安全到人工智能等14个领域的合作，他们称这一举措旨在“走在技术进步的前沿”。此次合作还旨在帮助提高半导体供应链的弹性，此前大流行引发的全球短缺阻碍了从汽车到智能手机和笔记本电脑等使用基本组件的各种产品的生产。日本和英国官员当天签署了一项协议，启动日本数字机构、通信和贸易部与英国数字文化、媒体和体育部之间的部长级合作伙伴关系。两国政府的部长将举行一次名为日本-英国数字委员会的年度会议，以推进新的优先事项，因为两国正在寻求联合研发、分享专业知识和加强产业和学术联系的新举措。根据周三的协议，日英数字伙伴关系的其他目标包括确保“自由、公平和竞争”的数字市场和更强大的在线安全，特别是保护儿童，以及探索在数据创新方面进行联合合作的机会。

信源：https://japantoday.com/category/tech/japan-britain-launch-digital-partnership-on-ai-semiconductors

美国2023财年国防授权法案将发布：网络安全看点解析；

标签：美国，国防授权法案

2023财年《国防授权法案》已在本周二公布。未来几天，美国国会准备就总预算8580亿美元的年度国防政策法案进行投票，其中包括大幅增加美国网络司令部支出，以及加强国家网络安全防御方面的其他努力。

以下是2023财年《国防授权法案》中涉及网络元素的重要内容，以及这份最新法案中一些值得注意的“遗漏”点。

积极推动前出狩猎、政务云安全、间谍软件管理等

首先，美国国会计划向网络司令部拨款4400万美元，用以加强“前出狩猎”（hunt forward）行动，这是网络司令部“持续交战”战略的组成部分。所谓“前出狩猎”，是指在网络空间与对手持续开展快速互动。网络司令部报告称，其前出狩猎行动已在全球至少35个国家50多个外国网络展开，包括爱沙尼亚、立陶宛、黑山、北马其顿和乌克兰。

此次立法还要求，在国防部设立一名负责网络政策的助理部长，并且国防部长每年须向国会介绍网络司令部和国家安全局之间的合作情况。

如果总统确定有“外国势力在网络空间”针对美国政府或关键基础设施“发动积极的、系统的、持续的攻击活动”，该法案授权网络司令部可在总统批准的情况下在“外国网络空间”内开展行动。

拜登政府最近刚刚结束对“双帽”领导结构的评估。在这一架构下，国家安全局和网络司令部将由同一个人负责。虽然评估已经完成，但政府尚未对是否结束这种架构给出正式建议。

法案提出，在国务院内设立了新的网络空间和数字政策局，目前由前外交官Nate Fick负责领导。

新版《国防授权法案》还要求到2032年选举期之前，每两年发布一份非机密报告，用于介绍网络司令部在选举安全方面所做的工作。此外，法案要求由网络安全与基础设施安全局（CISA）设计并组织免费的网络安全培训。

法案还要求改革联邦风险和授权管理计划（FedRAMP），特别是其中涉及云服务商的网络安全授权制度。

法案同样关注到隐私问题，要求对美国情报部门如何使用商业间谍软件设置护栏条款。其中要求包括FBI、CIA和国家安全局（NSA）在内的各情报机构在90天内向国会提交报告，评估间谍软件对美国构成的威胁。

此次立法还扩大了国家情报总监的权力，其可以指导各情报机构如何使用间谍软件，包括禁止情报界采购或批准使用间谍软件的权力（但豁免情形可能仍然有效）。法案要求国家情报总监发布最佳实践，指导各情报机构预防间谍软件入侵。

预计白宫将在明年初发布行政令，就如何限制联邦机构使用可能构成国家安全风险的间谍软件做出指导。

两项提议未能推进

准备交付国会的法案最终版本中，也有一些例外情况。

《国防授权法案》去掉了一项修正案，即在联邦采购流程中强制提供软件材料清单（SBOM）的要求。之所以将其删除，是因为软件行业对此展开了激烈批评。

法案最初要求“一切当前合同持有人，以及响应美国国土安全部提案请求的各方，应提供材料清单并证明清单中的各项目不存在漏洞或缺陷。”

此外，直到最终表决阶段，法案仍未对“具有系统性重要意义的实体”或者重要关键基础设施的具体定义做出确切解释。这是因为一旦解释明确，则某些关键基础设施运营商将被迫接受更严格的数字安全标准。

网络空间日光浴室委员会前执行主任Mark Montgomery表示，法案中网络安全标准的退让“令人失望”。很明显，无论是Montgomery自己的呼吁，还是国土安全部长Alejandro Mayorkas对于“此类基础设施的优先级次序”的强调，都未能推动立法层面的实质性变革。

信源：https://www.cyberscoop.com/cyber-heavy-ndaa-vote/

多个团伙利用社保公积金系统漏洞，非法获取公民个人信息2300万条；

标签：中国，社保公积金，公民个人信息

红星新闻从四川南充市公安局顺庆区分局获悉，当地警方侦破一起公安部挂牌督办案件，打掉多个利用社保、公积金等系统漏洞非法获取公民个人信息的犯罪团伙，涉及四川、河南、广东多个省市，抓获犯罪嫌疑人121人，查获公民个人信息2300余万条，发现国内多地各类信息系统平台漏洞300余个，收缴黑客工具12套。

2022年4月，南充市公安局顺庆区分局网安大队民警在工作中发现，男子杨某利用境外聊天软件（Telegram）贩卖某市社保查询信息系统漏洞及侵入教程。通过这些漏洞和教程，犯罪分子能轻松绕过系统安全保护，通过链路授权访问省级社保系统，进而非法获取省级社保系统用户的全量数据。

发现该线索后，顺庆公安分局网安大队立即向南充市公安局网安支队报告，由南充市公安局抽调全市网安部门精干警力成立专案组，开展网安行政执法和案件侦查工作。由于该案件侵犯对象广，社会危害严重，被公安部挂牌督办。

民警调查发现，犯罪嫌疑杨某先后通过“Telegram”聊天软件建立“普通查询”和“高级查询”两个聊天群，吸纳群成员2200余人，并将其从四川、广东、广西等地信息系统非法获取的100余万条公民个人信息和300余个系统漏洞发布至群内，用于交易牟利。其中，杨某非法获取的公民个人信息、数据种类繁多，涉及姓名、性别、社会保障号、联系方式、联系地址、发卡地行政区划代码、社保卡号、卡状态、发卡银行、银行卡号等众多信息。

2022年6月，犯罪嫌疑人杨某被公安机关抓获归案。在四川省公安厅网安总队的指导下，南充警方组织全市网安部门发起集群作战，着手对该案实施全链条打击，成功锁定四川、河南等地涉嫌非法侵入计算机信息系统获取公民个人信息的9家“网络催收”公司。

在前期充分的摸排和侦查下，南充警方对四川、河南两省三市的15个犯罪窝点开展收网行动，挡获涉案人员256名，采取刑事强制措施121人。查扣涉案电脑124台、手机227部、移动存储介质24个、服务器4台；查获国内社保、疫苗、公积金等各类信息系统平台漏洞300余个，相关入侵教程10余个。

目前，该案已移送检察机关审查起诉。

信源：红星新闻

苹果公司声称新版 iMessage 可以提醒用户是否有间谍在窃听；

标签：苹果，iMessage，间谍窃听

苹果公司新的iOS和iCloud安全倡议包括一种新的方式，让iMessage用户验证他们是否在与他们认为的人交谈。该公司声称，新的iMessage联系人密钥验证将让那些”面临特殊数字威胁”的人，如记者、活动家或政治家，确保他们的对话不会被劫持或窥探。

根据周三的一份新闻稿，如果iMessage对话中的两个人都启用了该功能，那么如果”一个特别先进的对手，例如国家支持的攻击者，曾经成功突破云服务器并插入他们自己的设备来窃听这些加密的通信”，他们就会收到警报。他们还能够通过其他方式如安全电话或亲自会面来比较联系密钥，以确保他们实际上是在与对方而不是未知的第三方进行对话。这类事情长期以来一直是安全方面的最佳做法，无论你是验证下载的软件是否合法，还是为电子邮件对话设置PGP加密。

一个记者或政治家收到这个通知很可能是一个非常不好的信号，但总比不知道发生了这种情况要好。

苹果公司承认，iMessage已经成为一些国家安全机构的目标，虽然iMessage长期以来一直是端对端加密的，但也有一些注意事项和事件可能促使该平台最敏感的用户去寻找其他安全的信息应用，如Signal或WhatsApp。记者们的手机被国家层面的间谍软件盯上，可能是为了读取他们的信息。

正如批评者（包括马克-扎克伯格）所指出的，发送和接收的信息也可能包括在iCloud备份中，这取决于你或与你交谈的人的某些设置。到目前为止，这些信息并不是完全端对端加密的，所以如果苹果真的需要的话（例如法院传票要求），它可以得到你的信息。苹果正在以其他方式解决这个问题–周三的公告还包括iCloud的高级数据保护，它为那些iCloud备份增加了端对端加密。

虽然不完全清楚iMessage联系人密钥验证是否能够帮助你的手机被高级间谍软件完全占领（尽管苹果最近推出了一个极端的锁定模式，以帮助那些可能被这些东西盯上的人），但对于希望使用iMessage进行最敏感对话的人来说，这绝对是一个进步。

然而，值得注意的是，在这一点上，iMessage仍然是一个使用苹果设备与其他使用苹果设备的人交谈的平台，许多批评者说这是该公司平台锁定战略的一部分（也是跨平台支持的其他安全信息应用如此受欢迎的部分原因）。有迹象表明，监管机构可能希望迫使苹果公司开放iMessage，该公司在理论上可以辩称，这样做会破坏对一些最脆弱用户的重要安全保护。

信源：https://www.toutiao.com/article/7174503859681919488/?wid=1670598397436

打破隔离网络！研究员披露最新DNS窃密漏洞；

标签：隔离网络，DNS窃密漏洞

研究人员发现，企业环境中的域名系统（DNS）存在常见错误配置，可能导致气隙网络（Air-Gapped Networks，即隔离网络）及其保护的高价值资产面临外部攻击风险。

安全验证厂商Pentera的研究人员日前发布文章称，在使用接入DNS服务器的气隙网络时，组织可能会无意间将资产暴露给恶意黑客，并导致严重的数据泄露。

研究人员表示，攻击者可使用DNS作为命令与控制（C2）通道，借助接入互联网的DNS服务器与内部网络通信，最终成功入侵这些被认定为安全隔离的网络。

之所以要对气隙网络进行隔离，避免业务或企业IT环境内的公共用户网络访问互联网，是为了保护组织“皇冠上的明珠”——最具价值的核心资产。要想访问这部分内容，必须借助VPN或用户网络等“跳板”。

但这些气隙网络仍离不开DNS服务，要借此为系统分配名称、实现网络的可发现性。如果网络管理员未能认真配置DNS，就会给看似安全的气隙网络留下安全隐患。

Pentera公司安全研究员Uriel Gabay表示，“我们的研究发现，DNS配置错误会无意中影响到气隙网络的完整性。”

对企业来说，只要能操纵DNS，恶意黑客就可通过通信线路稳定接入气隙网络，进而窃取敏感数据。而且从安全协议的角度来看，这类行为看起来完全合法。

Gabay强调，企业在建立气隙网络时最常犯的错误，就是忽略了接入本地DNS服务器所带来的隐患。在大多数情况下，这些DNS服务器其实会接入公共DNS服务器，也就是“无意间突破了自己的气隙边界”。

研究人员在博文中解释说，只有理解DNS的工作原理，才能把握攻击者入侵气隙网络的具体方法。

要在DNS上发送信息，首先需要向协议请求一条由其处理的记录（例如TXT文本记录，或者NS命名服务器记录），再将信息放置在该记录名称的第一部分中。如此一来，恶意黑客就能请求TXT记录并收取DNS返回的文本响应，通过名称中相应的部分接收信息。

虽然DNS协议也能在TCP上运行，但其多数情况下还是基于UDP。而UDP并不具备内置安全机制，因此攻击者才能恶意利用DNS。此外，UDP中也无法控制数据传输的过程或顺序。

由于UDP中缺乏错误检测机制，恶意黑客可以在发送有效载荷前先行压缩、在发送后立即解压缩。这个过程可以使用Base64等任何编码方式实现。

尽管如此，与DNS成功通信并借此突破气隙的过程其实也没那么简单。DNS对所接收的字符类型有所限制，所以攻击一方不可能随意发送字符。研究人员解释道，那些不能用的部分被称为“坏字符”。而发送的字符长度同样受限。

为了克服难以在DNS中控制数据流的问题，恶意黑客可以通知服务器应缓冲哪个数据包并指明预期的最后一个数据包。另外，黑客还要确定在前一个数据包被成功收取前，不应发送其他数据包。

为了避免使用坏字符，恶意黑客在数据发送前会对内容应用Base64编码。另外，他们还会将数据拆分成多个部分以逐一发送，借此绕开DNS的字符长度限制。

研究人员解释说，为了避免防御方通过阻止请求服务器的方式屏蔽DNS请求，攻击者还可使用两端均知晓且能理解的变量生成域名。

“虽然整个执行过程并不算特别困难，但攻击者个人或团伙确实需要相应的基础设施以持续获取DNS根记录。”

恶意黑客还可以配置恶意软件，要求其根据特定日期在DNS中生成域，这样就能使用新的已知根域通过DNS持续发送新请求。“对于那些只使用静态方法、甚至是基础异常检测进行检测和预防的组织来说”，这类配置将“很难防范”。

咨询机构IDC的最新版《全球DNS威胁报告》显示，2022年内有88%的组织报告曾遭受到某种类型的DNS攻击。面对DNS攻击发生频繁的持续提升，组织必须了解如何缓解并防御由DNS滥用引发的风险。

一种可行方法，就是为气隙网络创建专用的DNS服务器。但Gabay也提醒称，组织一定得确保该服务器未接入组织内可能存在的其他DNS服务器，否则其“最终还是会接入公共互联网”。

企业还应利用IDS/IPS工具在网络中建立异常检测，用以监控和识别不同寻常的DNS活动。Gabay指出，考虑到不同业务环境总有独特性质存在，所以不同组织的解决方案也肯定会有所区别。

但无论如何，总有一部分通行的异常DNS活动值得所有组织给予关注，例如：指向恶意域的DNS请求、短时间内的大量DNS请求，以及在非正常时段发出的DNS请求。Gabay补充道，组织还应推行SNORT规则以监控所请求的DNS记录的长度。

信源：darkreading.com