TOP5 | 头条：美国大学发布重磅报告，揭露政府持续监视民众的阴谋

美国大学发布重磅报告，揭露政府持续监视民众的阴谋；

标签：美国，隐私与技术，社交媒体，数据监控  

近日，美国乔治敦大学隐私与技术法律中心发布《美国的天罗地网：21世纪数据驱动下的驱逐》报告，揭露了美国入境和海关执法局建立监控系统，绕过法律近乎全息监控美国公民。这也意味着执法局已经从一个普通的政府单位，发展成一个更庞大的国内监视机构。

据该报告的调查结果显示，美国入境和海关执法局使用的数据来源包括驾照数据、公共事务公司客户信息、通话记录、儿童福利记录、信用记录、就业记录、地理位置信息、医疗保健记录、住房记录和社交媒体发布内容等，涵盖了美国民众日常工作生活的方方面面。

不知还有多少人记得曾经轰动一时的“斯诺登-棱镜事件”。

英国《卫报》公开美国中央情报局前雇员爱德华·斯诺登提供的多项机密文件显示，2009年在伦敦召开的20国集团峰会上，英国情报机构政府通信总部监听多个政府代表团通话并获取他们的电邮信息。

德国《明镜》周刊获得的美国国家安全局秘密文件显示，美国国家安全局不仅监听欧盟目标，而且也对联合国总部实施了监听行动，美国国安局可能已经监听现任德国总理默克尔的电话长达10余年。

如今，美国入境和海关执法局再次建立如此庞大的监听系统，其目的依旧是为了持续监视民众。那么，到底还有多少执法机构隐藏在角落里，悄悄地监视这民众的一举一动？也许，现在暴露的仅仅是冰山一角，令人不寒而栗。

第一大渠道是直接要求美国各州车管局等州和地方官僚机构提供数据。有证据表明ICE每年向美国各地的车管所提出数百或数千个请求。

　　1994年美国国会通过的保护驾驶员记录信息的联邦法律DPPA未能考虑到联邦移民执法部门会主动侵犯司机们的隐私，以至ICE能顺利地从车管所获取驾驶员数据。州一级的法律屏障则更为薄弱，根据乔治敦大学隐私与技术法律中心的调查，在有授予驾驶执照资格的17个司法管辖区中，分别有6个州对“直接请求数据”、7个州对“访问政府数据库”、6个州对“数据代理”方式的限制较弱，另外有5个州对“人脸识别搜索”没有任何有意义的限制手段。

　　第二大渠道是通过政府数据库访问相关信息，同时购买人脸识别等服务协助分析相关数据。ICE部署了更广泛的数据共享和数据收集程序，直接通过美国各州车管局等州和地方官僚机构的数据系统获取几乎每个美国人的数据信息。当ICE拥有的关于某人的唯一可靠信息是照片时，它们准备已久的人脸识别技术就派上了用场，在美国很少有法规限制执法部门使用人脸识别技术。与此同时，当ICE绕过城市和州颁布的庇护政策，从国际公共安全和司法网络（Nlets）等政府数据库继续获取个人信息后，没有机构声称能对接下来的数据跟踪行为负责。提供驾驶者信息的爱达华州交通部员工表示“我们只是将这些信息提供给州警察”，州警察部门却很少保留ICE的Nlets数据库查询记录，这导致ICE的无下限查询行为显得尤为公开而隐秘。

　　第三大渠道是从不受监管的数据代理人渠道收集公民的公共设施使用记录及购买私营公司数据库。在针对公共设施使用记录数据的保护上，联邦隐私法和许多州的法律缺陷巨大。

　　报告显示，联邦现有的隐私法仅在银行等金融机构使用等有限情况下保护消费者的信息，而绝大多数州未能采取有意义的隐私保护措施来限制向执法部门发布公用事业客户信息。例如，加利福尼亚州虽然立法禁止相关公司销售客户数据，但它并不能防止这些公司出于信用评估和其他目的向全国性的电信与公共事业信息交换中心（NCTUE）等公司免费共享客户信息。一旦信用检查结束，NCTUE就有权将其客户信息转售给如ICE等第三方。就此，ICE成功绕过“获取特定个人公共设施使用记录需要向水、电等公司发送传票”的限制，无所顾忌地追踪所有“可疑目标”。ICE向私营公司数据库购买了记录美国50个最大城市地区司机日常活动的大量车牌照片，用于“协助调查”。

　　一个让人“细思极恐”的问题：美类似隐形机构还有多少？

　　报告中研究人员呼吁国会、国土安全部及各州立法者对ICE加强监管和限制。

　　一直从事网络安全行业专业人士向《环球时报》记者表示，“美国政府是名副其实的‘黑客帝国’‘窃密帝国’，它不但无差别对全球实施网络攻击获取情报，而且对本国民众也同样实施全方位的监控措施。”

　　这位人士表示，美政府以“国家安全”的名义无视规则、突破底线的“双标”霸权行径非一日之功，在商业利益和“国家安全”这两大驱动力之下，ICE已经构建成型的庞大监控网络何时能被有效控制还未可知，类似ICE这样公然越权滥用公民个人隐私数据的“隐形”政府机构到底还有多少也是一个“细思极恐”的问题，“对内虎视眈眈，长期以非手段监控美国公民，对外长臂管辖，辅以多方窃密和网络攻击，美政府编造的‘国家安全’种种说辞正一个接着一个被世人识破，成为美国谋求霸权最显著的政治注脚。”

信源：美国乔治敦大学隐私与技术法律中心

美国政府修订发布运输管道网络安全指令文件；

标签：美国，政府，运输安全

美国运输安全管理局（TSA，以下简称运安局）宣布，修订并重发关于石油及天然气输送管道的网络安全指令。经过修订之后，新指令将继续努力为美国关键输送管道建立网络安全弹性。

指令修订背景

针对关键管道公司重新发布的安全指令延续了2021年7月公布的原指令，制定过程得到了行业利益相关方及联邦合作伙伴（包括美国商务部、网络安全与基础设施安全局）的广泛支持。新指令将网络安全要求再延长一年，并把关注重点放在基于效能（而非规定）的关键网络安全成果实现措施上。

运安局长大卫·佩科斯奇(David Pekoske)表示，“运安局致力于保护国家交通系统免受网络攻击。修订后的安全指令将延续运安局同石油和天然气管道行业间的重大合作，期望建立一套新模型，适应系统与运营间的差异，满足我们的安全要求。”

“我们意识到不同组织间存在诸多差异，因此我们开发出与这一事实相匹配的方法，并通过持续监控和审计来评估预期网络安全成果的实现情况。我们将继续与交通运输领域的合作伙伴携手，提高整个系统的网络安全弹性，也感谢过去一年各方为保护交通运输这一关键基础设施做出的重大努力。”

在2021年5月出现针对关键管道运输商的勒索软件攻击之后，运安局发布了多项安全指令，要求关键管道所有者及运营商实施几项紧急网络安全措施。在攻击之后的近14个月内，针对该领域的威胁不断演变加剧，而降低这一国家安全风险则需要公共及私营部门间开展广泛合作。

通过此次修订和重新发布的安全指令，运安局将继续采取措施，保护交通运输基础设施免受不断演变的网络威胁的侵扰。运安局还有意启动正式的规则制定流程，让公众也有机会考量现状、提交安全意见。

指令要求

此次重发的安全指令采用基于效能的创新方法增强安全水平，使行业能够利用新技术更好地适应不断变化的环境。安全指令要求运安局指定的管道及液化天然气设施所有者/运营商采取行动，防止基础设施遭受破坏和发生退化，实现以下安全结果：

1. 制定网络分段政策和控制措施，确保在信息技术系统受到威胁的情况下，运营技术系统仍能继续安全运行，反之亦然；

2. 建立访问控制措施，保护并防止针对关键网络系统的未授权访问；

3. 建立持续监控和检测政策及程序，用以检测网络安全威胁并纠正影响关键网络系统运行的异常状况；

4. 使用基于风险的方法，及时为关键网络系统上的操作系统、应用程序、驱动程序和固件等安装安全补丁和更新，降低未修复系统遭到利用的风险。

管道所有者和运营商必须：

1. 制定并执行运安局批准的网络安全实施计划。此计划描述了在实现安全指令中规定的安全结果的过程中，管道所有者和运营商所需使用的具体网络安全措施。

2. 制定并维护网络安全事件响应计划，其中包括在遭遇因网络安全事件引发的运营中断或业务严重退化时，管道所有者和运营商应当采取的措施。

3. 建立网络安全评估计划，主动测试并定期审计网络安全措施的有效性，识别并解决设备、网络和系统中的安全漏洞。

以上要求，是对此前提出的向美国网络安全与基础设施安全局上报重大网络安全事件、建立网络安全联络点、开展年度网络安全漏洞评估等条款的额外补充。

信源：tsa.gov

国务院办公厅：同意建立数字经济发展部际联席会议制度；

标签：中国，国务院办公厅，数字经济发展部际联席会议

信源：http://www.gov.cn/zhengce/content/2022-07/25/content_5702717.htm

微软：IIS 扩展正越来越多地用作 Exchange 后门；

标签：微软，IIS，Exchange，后门

微软 365 Defender 研究团队在当天公布的一项研究调查中表示，攻击者正越来越多地使用恶意 Internet 信息服务 (IIS) Web 服务器扩展，对未打补丁的 Exchange 服务器部署后门。

与Web Shell相比，利用IIS 扩展能让后门更加隐蔽，通常很难检测到其安装的确切位置，并且使用与合法模块相同的结构，为攻击者提供了近乎完美的持久性机制。

根据微软 365 Defender 研究团队的说法，在大多数情况下检测到的实际后门逻辑很少，如果不更广泛地了解合法 IIS 扩展的工作原理，就不能将其视为恶意进程，这也使得确定感染源变得更加困难。

对受感染服务器的持续访问

在利用托管应用程序中各种未修补的安全漏洞攻击服务器后，攻击者通常会在 Web Shell中 先部署一个有效负载，并在随后部署 IIS 模块以提供对被黑服务器更隐蔽和持久的访问。微软之前曾注意到攻击者利用ZOHO ManageEngine ADSelfService Plus和SolarWinds Orion漏洞后部署了自定义 IIS 后门。随后，恶意 IIS 模块允许攻击者从系统内存中获取凭证，从受害者的网络和受感染设备收集信息，并提供更多有效负载。

在今年1月至5月期间针对 Microsoft Exchange 服务器的活动中，微软注意到攻击者在文件夹 C:inetpubwwwrootbin 中安装了一个名为 FinanceSvcModel.dll 的自定义 IIS 后门，以此来访问受害者的电子邮件邮箱、远程运行命令并窃取凭证和机密数据。

作为 IIS 处理程序安装的 IIS 后门示例

此外，卡巴斯基也曾注意到了类似的情况，去年 12 月，一个名为Owowa的恶意 IIS Web 服务器模块被用于针对东南亚和欧洲的政府组织和公共交通公司。卡巴斯基当时表示，一旦进入受害者的系统，攻击者就可以访问公司电子邮件，通过安装其他类型的恶意软件，秘密管理受感染的服务器来实施更进一步的恶意访问，并将这些服务器用作恶意基础设施。

为防御使用恶意 IIS 模块的攻击，微软建议用户保持 Exchange 服务器处于最新状态，在保持反恶意软件等防护程序开启的同时，检查敏感角色和组，限制对 IIS 虚拟目录的访问，确定告警的优先级并检查配置文件和 bin 文件夹。

信源https://www.bleepingcomputer.com/news/microsoft/microsoft-iis-extensions-increasingly-used-as-exchange-backdoors/

卡巴斯基发现 UEFI 恶意程序 CosmicStrand 华硕和技嘉主板受影响；

 标签：UEFI，主板，恶意程序

反病毒厂商卡巴斯基的一支安全威胁研究团队近日发现了名为“CosmicStrand”的恶意程序。事实上，这款恶意程序并不是新病毒，而且曾在 2016-2017 年爆发“Spy Shadow”木马的更早版本。目前在华硕和技嘉的固件中发现了这款 UEFI 恶意程序，即使重新安装 Windows 系统也无法移除这款 UEFI 恶意程序。

卡巴斯基表示现阶段只有 Windows 系统受到攻击：“现阶段发现的所有攻击设备都运行 Windows 系统：每次电脑重启，在 Windows 重启之后将会执行一段恶意代码。该代码的目的是连接到 C2（命令和控制）服务器，并下载额外可执行的恶意程序”。

卡巴斯基在深度剖析 Securelist 文章中，对该恶意程序的运行机制进行了详细的描述：

信源：https://www.cnbeta.com/articles/tech/1297309.htm