CNTIC周报 第五十八期

安全要闻

近100万台设备存在高危漏洞BlueKeep隐患

援引外媒SecurityWeek报道，将近100万台设备存在BlueKeep高危漏洞安全隐患，而且已经有黑客开始扫描寻找潜在的攻击目标。该漏洞编号为CVE-2019-0708，存在于Windows远程桌面服务（RDS）中，在本月的补丁星期二活动日中已经得到修复。

该漏洞被描述为蠕虫式（wormable），可以利用RDS服务传播恶意程序，方式类似于2017年肆虐的WannaCry勒索软件。目前已经有匿名黑客尝试利用该漏洞执行任意代码，并通过远程桌面协议（RDP）来发送特制请求，在不需要用户交互的情况下即可控制计算机。

目前微软已经发布了适用于Windows 7、Windows Server 2008、Windows XP、Windows Server 2003的补丁。Windows 7和Windows Server 2008用户可以通过启用Network Level  Authentication (NLA)来防止未经身份验证的攻击，并且还可以通过阻止TCP端口3389来缓解威胁。最初是由0-day收集平台Zerodium的创始人Chaouki Bekrar发现，BlueKeep漏洞无需任何身份验证即可被远程利用。研究人员监控到了了基于BlueKeep的网络攻击，不过目前还没有成熟的EXP。

华为高管被控窃取初创公司的商业机密

美国硅谷一家初创芯片公司起诉华为副董事长徐直军参与窃取该公司的商业机密。

据路透社引述美国《华尔街日报》昨天（22日）的报道指出，法律文件显示，这家名为CNEX Labs Inc的公司宣称，华为多年来参与窃取公司的固态硬盘电脑存储技术。此案将定于6月3日在得克萨斯州东区联邦法庭开庭。

这一起诉是由一个悬而未决的法庭案件公布的，与华为与美国政府的更大和更紧迫的问题无关。相反，它似乎是一对针锋相对的决斗诉讼的一部分已经在工作了几年。这家规模较小的公司还声称徐某意识到要从厦门大学获得的CNEX存储板收集数据。徐的律师承认徐是“在要求的指挥链”中有关CNEX的细节，尽管他们坚持认为没有任何商业机密被盗。

女黑客3天发布4个零日漏洞

一名女性安全研究人员在三天内接连公布了4个此前未公开的微软Windows漏洞，且均为本地提权漏洞，可将被黑系统上的本地用户权限提升至管理员权限。

这4个漏洞，外加一个微软上周刚修复漏洞的利用程序，都被该女性研究人员以SandboxEscaper (沙箱逃逸者) 之名发布到了GitHub上。该研究人员过去也曾发布过有效零日漏洞攻击，这次则是在5月21日发布了第一个漏洞利用程序，22日至23日又每天追加了两个。

Tripwire漏洞与暴露研究团队(VERT)计算机安全研究员 Craig Young 表示，漏洞本身的风险或许不高，但利用代码可被集成到流行恶意软件框架中。

威胁分析报告

4900万条Instagram数据曝光，影响人数达数百万

近日，一个包含大量Instagram用户数据的数据库被发现，影响人数达到数百万，其中包括众多用户以及品牌商信息。本次暴露的数据库由亚马逊网络服务托管，任何用户都可以直接进入数据库查看数据。目前已知该数据库有超过4900万条记录——而且仍在不断增长。通过对其数据的简要回顾发现，每条记录都能直接关联到Instagram的某个用户账户的数据，包括用户资料、图片、粉丝数据、以及验证过的国家/地区、私人联系信息（包括电话、电子邮件等），甚至还有用户已删除信息内容。

 易到用车核心数据被加密，攻击者索要巨额比特币

据外媒5月26日上午，易到用车发布公告称，公司服务器凌晨遭到网络攻击，导致核心数据被加密，服务器宕机，用户受到严重影响。攻击者索要巨额的比特币相要挟，易到用车的技术人员正在抢修。目前官方已报警。

易到用车服务器被攻击的告示：2019年5月26日凌晨，易到用车服务器遭到连续攻击，因此给用户使用带来严重的影响。攻击者索要巨额的比特币相要挟，攻击导致易到核心数据被加密，服务器宕机。我们的相关技术人员正在努力抢修。我们严厉谴责这种不法行为，并已向北京网警中心报案，并保留一切法律途径追究攻击者责任的权利。运营团队会根据解决此次事件的时长制定补偿方案，希望广大用户能够理解和保持耐心等待。

身中21世纪六大病毒，这台旧电脑拍卖价高达830万元

最近一台身中WannaCry、MyDoom等六种病毒的旧电脑，拍卖价已经接近830万元。要知道，Apple I 最近一台在佳士得拍卖行最终成交价也不过47.1万美元（约人民币325万元）。这台天价旧电脑型号为三星NC10-14GB（蓝色），屏幕尺寸为10.2吋。其本身并没有任何特别支持，关键在于由于其搭载的Windows XP系统，竟然一台电脑同时感染上了21世纪以来六种强大的病毒。

自2005年起，谷歌以纯文本形式存储G Suite用户密码

据外媒报道，谷歌最近公布了一个大消息，G Suite企业客户的登录密码以纯文本形式存储了超过十年。根据谷歌的隐私和安全策略，所有用户的登录凭证必须以加密格式存储，再将加密格式的密码存储在加密的磁盘上，以确保最高的安全性。

谷歌为G Suite客户的域管理员提供了一个设置和恢复密码的工具，帮助管理员上载或手动设置公司用户的密码。但在这个功能的开发阶段出现了一个错误，导致管理控制台存储了一份未经加密的密码副本。这个错误最终导致了在2005年至2019年期间，用户密码一直以未哈希但加密的形式存储。

会议政策赛事

日本将限制外国对日本科技和电信公司的投资

据东京路透社报道，日本政府周一表示，外国所有权的高科技企业将被列入日本限制的企业名单。这项新规定于8月1日生效，当时美国在处理涉及中国的网络安全风险和技术转让方面施加了更大的压力。

日本政府没有提及将对IT和电信行业受到影响的特定国家或公司。同一天，美国总统唐纳德·特朗普和日本首相安倍晋三正在东京就贸易和其他问题举行会谈。美国警告各国不要使用中国技术，称中国可以利用华为技术监视西方。中国和华为强烈反对这些指控。

根据财政部，贸易部和通信部的联合声明，新规将适用于信息和通信行业的20个部门。根据外汇和外贸管制法，日本将飞机，核等相关部门和军火制造业纳入外资管制。该法律要求外国投资者向日本政府报告并接受检查，以防他们购买10％或以上的股票或收购非上市公司的股份。

美国参议员提出5G国家安全战略，强调移除中国产品

据外媒报道，五名参议员组成的团体发布了一项新法案《2019 年美国 5G 领导法案》（United States 5G Leadership Act  of 2019），将制定一项国家政策，旨在安全部署商用 5G 网络，并建立一个高达 7 亿美元的拨款项目，帮助美国通信提供商将中国产品从他们的网络中移除。该法案倾向于美国此前发布的行政命令，并提出了更具体的细节，除鼓励联邦机构外，还鼓励行业供应商去除中国电信设备。

该法案将规定：促进 5G 网络的安全商业部署和美国信息和通信技术发展的政策；制定政策，识别更广泛的 5G 频谱，促进协调全球分配；美国建设 5G 网络的规定将包括华为、中兴通讯或其他关联公司的技术或服务；联邦通信委员会（Federal Communications Commission）有权禁止使用普遍服务基金补贴来购买被认为存在国家安全风险的供应商的设备或服务；供应链安全信托基金（Supply Chain Security Trust Fund）将提供 7 亿美元，协助供应商移出其网络中的中国设备；投资以提高美国在国际电信联盟等国际 5G 标准制定机构中的地位。

提出该法案的参议员表示，多年来，联邦政府未能传达华为和中兴通讯设备对经济和国家安全的威胁，甚至采取了补贴政策鼓励农村运营商使用这些设备。尽管美国在消除教育私营部门面临的风险方面取得了巨大进展，但目前还没有制定政策，帮助资源紧张的农村应对和消除这些风险。未来美国的安全和经济繁荣将取决于 5G 技术，事关重大，美国的通信基础设施必须受到保护，以免受外国政府的威胁。

前沿技术

英国设计、五眼联盟开发的目标跟踪软件框架现已开源

2019年5月14日，英国国防部国防科学技术实验室（DSTL）官网披露，由该实验室设计、“五眼联盟”（英国、美国、澳大利亚、新西兰和加拿大）开发的“石头汤”（Stone Soup）目标跟踪算法开源软件框架现在已上线。

该框架能帮助研究人员改进目标跟踪技术。跟踪和状态估计是国防研究的一个关键部分；能更好地跟踪敌人的导弹、车辆或无人机对于作战效能至关重要。然而，消化处理数据的算法很复杂并难以比较。利用“石头汤”框架，任何用户现在都可以上传并试验他们的跟踪算法，通过处理真实数据来与其他算法进行比较。该框架使算法、传感器模式和模拟器等代码组件能够以模块的方式插入，然后用户可以对大量的结果进行建模，衡量这些模块如何提高生存力、安全性或作战效能。这甚至可以有非国防用途：例如，跟踪系统也是自动驾驶汽车的一个关键组件，确保汽车能感知其他车辆和人员。

“石头汤”将促进并鼓励其他算法开发者或跟踪从业者插入他们的新组件，然后利用标准数据集与公认的或最新的算法进行比较，从而帮助他们和业界及政府实验室进行评估。或者，业界也能将自己的数据插入框架中，然后运行标准的跟踪算法套件。未来，这些算法和数据将可以为一系列难题提供更好的跟踪能力，例如跟踪快速无人机蜂群、跟踪国际空间站周围的太空碎片。

 量子解密意味着现在的加密数据十年之内面临裸奔

很少有企业会做5或10年的战略规划，但事关加密，CISO却必须扩展自己的视野。这是因为，虽然今天的加密算法能够抵挡现代计算机的攻击，但当加密计算机变得足以稳定执行解密任务时，这些方法就毫无用处了。而且，等到量子计算机成为现实的时候才采取行动是毫无意义的，因为一旦可用，公司今天产生的所有加密数据都将无所遁形。量子解密系统投入实用的时间表可能比你想象的更短，足够稳定的量子计算机将在5到10年之内出现。

IBM已通过其 IBM Q 服务提供量子计算机即服务访问业务。澳大利亚政府将南威尔士大学量子技术研究员 Michelle Simmons 教授评为2018澳大利亚年度人物，彰显澳大利亚研究人员在商业化量子计算机方面的全球领先水平。量子计算提供的强大算力，是复杂数据集快速建模、分子间相互作用探索、新药研发和复杂工程问题毫秒级解决的重要支撑。但其强大能力伴随着信息安全代价。信息安全如今很大程度上基于大数因数分解的复杂性——此处的大数是加密时通过两个大素数相乘而产生的。传统电子计算机需要几百万年的时间才能从数万万亿可能组合中暴力猜解出正确的那对因数，而量子计算机的迥异设计——如数学家 Peter Shor 于1994年时证明的那样，在眨眼间就能完成因数分解问题，突破复杂RSA加密。

公司企业应先用混合数字证书进行概念验证，在传统设备和物联网设备等新型装置上探索它们的使用。从攻击者的角度出发，已经在尝试PQC解决方案的银行、保险公司或IT公司就可以从目标列表中划去了，因为攻击者知道这类公司的CISO早已将量子计算机视作重大安全威胁了。