普普安全資訊一周概覽(0219-0225)

作者:

時(shí)間:
2022-02-25
01

數(shù)以千計(jì)的惡意npm包威脅著Web應(yīng)用程序的安全

過(guò)去的6個(gè)月中,在開(kāi)發(fā)者最常下載的JavaScript包庫(kù)npm中發(fā)現(xiàn)了1300多個(gè)惡意包。這種惡意組件數(shù)量的快速增長(zhǎng)也反映出了npm正在成為惡意軟件的傳播平臺(tái)。

開(kāi)源安全和管理公司W(wǎng)hiteSource最新研究發(fā)現(xiàn),惡意npm包數(shù)量的不斷增加使人感到很不安,這些包主要是被用作網(wǎng)絡(luò)應(yīng)用的組件。任何使用該惡意代碼塊的應(yīng)用程序都可能使其用戶遭到數(shù)據(jù)盜竊、加密劫持以及僵尸網(wǎng)絡(luò)等攻擊。

該公司表示,在發(fā)現(xiàn)的惡意軟件包中,有14%是為了竊取證書(shū)等敏感信息,而近82%的軟件包則是在偵查用戶的信息,攻擊者采用主動(dòng)或被動(dòng)的方式來(lái)收集目標(biāo)的相關(guān)信息。

過(guò)去的6個(gè)月中,在開(kāi)發(fā)者最常下載的JavaScript包庫(kù)npm中發(fā)現(xiàn)了1300多個(gè)惡意包。這種惡意組件數(shù)量的快速增長(zhǎng)也反映出了npm正在成為惡意軟件的傳播平臺(tái)。


普普點(diǎn)評(píng)

這種水平的攻擊活動(dòng)可以使威脅者發(fā)起一系列的軟件供應(yīng)鏈攻擊。因此,WhiteSource調(diào)查了npm中的惡意攻擊活動(dòng),在2021年發(fā)現(xiàn)了1300多個(gè)惡意包,這些惡意包之后被刪除,但是在被刪除之前,可能就已經(jīng)被引入了大量的應(yīng)用程序內(nèi)。攻擊者正在集中精力利用npm惡意包來(lái)達(dá)到自己的攻擊目的,由于每月都有眾多npm軟件包被發(fā)布,一些惡意軟件包也很容易成為漏網(wǎng)之魚(yú)。







































普普安全資訊一周概覽(0219-0225)

02

用全面發(fā)展辯證的眼光看待《網(wǎng)絡(luò)安全審查辦法》

全面地看《網(wǎng)絡(luò)安全審查辦法》的“變”與“不變”。用全面發(fā)展辯證的眼光看待《網(wǎng)絡(luò)安全審查辦法》;二是堅(jiān)持以落實(shí)國(guó)家安全、網(wǎng)絡(luò)安全基礎(chǔ)法律為主要目標(biāo)未變。

發(fā)展地看網(wǎng)絡(luò)安全審查制度的演進(jìn)與完善。一是組織結(jié)構(gòu)更加完善,新增證監(jiān)會(huì)作為網(wǎng)絡(luò)安全審查工作機(jī)制成員單位,加強(qiáng)赴國(guó)外上市網(wǎng)絡(luò)平臺(tái)運(yùn)營(yíng)者的審查;二是審查時(shí)限更切實(shí)際,將特別審查程序從45天延長(zhǎng)到90天,體現(xiàn)了對(duì)于審查結(jié)論更加審慎的態(tài)度;三是權(quán)力監(jiān)督更加明確,既強(qiáng)調(diào)審查客體對(duì)于主體的責(zé)任與義務(wù)的監(jiān)督,也鼓勵(lì)社會(huì)監(jiān)督當(dāng)事人履行網(wǎng)絡(luò)安全審查中作出的承諾。

辯證地看《網(wǎng)絡(luò)安全審查辦法》當(dāng)前重點(diǎn)與長(zhǎng)遠(yuǎn)意義。一是統(tǒng)籌安全與發(fā)展,網(wǎng)絡(luò)安全審查將通過(guò)依法依規(guī)開(kāi)展審查獲得安全發(fā)展新優(yōu)勢(shì)。二是平衡開(kāi)放與治理,網(wǎng)絡(luò)安全審查不會(huì)限制開(kāi)放,不存在區(qū)別對(duì)待。三是兼顧當(dāng)前與長(zhǎng)遠(yuǎn),網(wǎng)絡(luò)安全審查不僅要立足應(yīng)對(duì)當(dāng)前威脅,更要放眼長(zhǎng)遠(yuǎn),推進(jìn)我國(guó)網(wǎng)絡(luò)空間治理體系和治理能力現(xiàn)代化。


普普點(diǎn)評(píng)

近日,國(guó)家網(wǎng)信辦等十三部門聯(lián)合修訂發(fā)布的《網(wǎng)絡(luò)安全審查辦法》(以下簡(jiǎn)稱《辦法》)開(kāi)始施行,針對(duì)2017年開(kāi)始試行、2020年正式實(shí)施的網(wǎng)絡(luò)安全審查制度進(jìn)行完善升級(jí),提出了網(wǎng)絡(luò)安全審查的新內(nèi)容,體現(xiàn)了依法治網(wǎng)的新進(jìn)展,開(kāi)啟網(wǎng)絡(luò)安全審查的新篇章,修訂恰逢其時(shí)意義重大,需要正確認(rèn)識(shí)和把握。由于涉及面廣、牽涉主體多,《網(wǎng)絡(luò)安全審查辦法》出臺(tái)、修訂的全過(guò)程都備受關(guān)注,需要我們辯證客觀看待《網(wǎng)絡(luò)安全審查辦法》的當(dāng)前重點(diǎn)與長(zhǎng)遠(yuǎn)意義。






































普普安全資訊一周概覽(0219-0225)

03

2022年關(guān)于網(wǎng)絡(luò)安全和身份驗(yàn)證的發(fā)展趨勢(shì)

平衡風(fēng)險(xiǎn)和用戶體驗(yàn)

事實(shí)上,銀行的數(shù)字化轉(zhuǎn)型是建立在數(shù)字信任的基礎(chǔ)上,其中包括入職、身份驗(yàn)證和支持對(duì)話。然而,銀行業(yè)在提供數(shù)字化客戶體驗(yàn)這些方面仍然落后,并降低了客戶滿意度。

采用適應(yīng)性強(qiáng)的方法

移動(dòng)設(shè)備身份驗(yàn)證和全渠道參與已經(jīng)發(fā)展。新的身份驗(yàn)證技術(shù)現(xiàn)在變得可用,通常是通過(guò)通信平臺(tái)啟用的API。于是出現(xiàn)了兩種選擇,數(shù)據(jù)驗(yàn)證和Flash呼叫驗(yàn)證。數(shù)據(jù)驗(yàn)證的工作原理是,移動(dòng)網(wǎng)絡(luò)運(yùn)營(yíng)商在用戶使用移動(dòng)數(shù)據(jù)時(shí)分配給其電話號(hào)碼的IP地址之間的相互作用。Flash呼叫驗(yàn)證是在最終用戶設(shè)備上發(fā)起和終止語(yǔ)音通話。主叫方號(hào)碼是從與服務(wù)相關(guān)聯(lián)的專用號(hào)碼池中隨機(jī)選擇的。智能手機(jī)會(huì)自動(dòng)接聽(tīng)電話,并使用主叫方號(hào)碼作為身份驗(yàn)證,而不是通常通過(guò)短信發(fā)送的一次性密碼進(jìn)行驗(yàn)證。


普普點(diǎn)評(píng)

隨著銀行和與之集成的支付平臺(tái)越來(lái)越多地在網(wǎng)上轉(zhuǎn)移,用戶體驗(yàn)正成為頭等大事。大多數(shù)精通安全的企業(yè)都明白,啟用雙因素身份驗(yàn)證是保護(hù)在線帳戶的最佳方式之一。在不久的將來(lái),就像許多其他即服務(wù)平臺(tái)一樣,人們可能會(huì)看到提供單一統(tǒng)一的API,這些API可以提供身份驗(yàn)證,能夠根據(jù)消費(fèi)者對(duì)流暢的用戶體驗(yàn)、可訪問(wèn)性和服務(wù)特征的期望來(lái)確定最合適的方法——帳戶注冊(cè)、交易批準(zhǔn)或登錄,以及任何給定企業(yè)的業(yè)務(wù)目標(biāo)。






































普普安全資訊一周概覽(0219-0225)

04

低代碼和無(wú)代碼開(kāi)發(fā)的四個(gè)安全問(wèn)題

無(wú)代碼工具和平臺(tái)使用拖放界面來(lái)允許業(yè)務(wù)分析師等非編程人員創(chuàng)建或修改應(yīng)用程序。

與可見(jiàn)性問(wèn)題相吻合的是不安全代碼的可能性。低代碼和無(wú)代碼平臺(tái)仍然有代碼。他們只是抽象了編碼,并允許最終用戶使用預(yù)先提供的代碼功能。這很好,因?yàn)樗狗情_(kāi)發(fā)人員無(wú)需自己編寫代碼。當(dāng)使用的代碼是不安全的,并且通過(guò)低代碼和無(wú)代碼平臺(tái)在企業(yè)和應(yīng)用程序之間進(jìn)行推斷時(shí),就會(huì)出現(xiàn)問(wèn)題。

解決這個(gè)問(wèn)題的一種方法是與平臺(tái)供應(yīng)商合作,要求平臺(tái)內(nèi)使用的代碼的安全掃描結(jié)果。靜態(tài)和動(dòng)態(tài)應(yīng)用程序安全測(cè)試(SAST/DAST)等掃描結(jié)果可以為消費(fèi)者提供一定程度的保證,即他們不僅僅是復(fù)制不安全的代碼。在企業(yè)控制之外創(chuàng)建代碼的想法并不是一個(gè)新概念,并且在開(kāi)源軟件的使用中很普遍,98%以上的企業(yè)使用開(kāi)源軟件,并且與其他存儲(chǔ)庫(kù)相關(guān)的軟件供應(yīng)鏈威脅也很常見(jiàn),例如用于基礎(chǔ)設(shè)施的代碼(IaC)模板。


普普點(diǎn)評(píng)

如今,公民開(kāi)發(fā)者的積極性越來(lái)越高,同時(shí)企業(yè)也希望由非開(kāi)發(fā)者開(kāi)發(fā)和創(chuàng)建應(yīng)用程序。這通常使用低代碼或無(wú)代碼框架來(lái)促進(jìn)。這些框架和工具允許非開(kāi)發(fā)人員使用GUI來(lái)獲取和移動(dòng)組件,以制作業(yè)務(wù)邏輯友好的應(yīng)用程序。授權(quán)更廣泛的IT和業(yè)務(wù)社區(qū)創(chuàng)建應(yīng)用程序以推動(dòng)業(yè)務(wù)價(jià)值具有明顯的吸引力。也就是說(shuō),使用低代碼和無(wú)代碼平臺(tái)并非沒(méi)有安全問(wèn)題。就像任何其他軟件產(chǎn)品一樣,開(kāi)發(fā)平臺(tái)及其相關(guān)代碼的嚴(yán)謹(jǐn)性是一個(gè)不容忽視的問(wèn)題。






































普普安全資訊一周概覽(0219-0225)

05

警惕!Linux惡意軟件攻擊日益猖獗

據(jù)介紹,針對(duì)Linux系統(tǒng)的初始攻擊通常不是通過(guò)利用漏洞,而是通過(guò)盜竊登錄信息來(lái)實(shí)現(xiàn)。雖然遠(yuǎn)程代碼執(zhí)行是闖入這類系統(tǒng)的第二大方式(比如利用盛行的Log4j漏洞),但被盜用的身份信息常常讓攻擊者有更多的時(shí)間在受害企業(yè)的網(wǎng)絡(luò)系統(tǒng)內(nèi)部進(jìn)行探測(cè)。對(duì)攻擊者而言其優(yōu)點(diǎn)是,受害者需要更長(zhǎng)的時(shí)間才能明白攻擊已發(fā)生。

需要特別重視的是,攻擊者還開(kāi)始使用更先進(jìn)的工具來(lái)管理針對(duì)Linux基礎(chǔ)設(shè)施發(fā)動(dòng)的攻擊。VMware的報(bào)告指出,Cobalt Strike是紅隊(duì)和滲透測(cè)試人員經(jīng)常使用的面向Windows的攻擊管理系統(tǒng),但攻擊者現(xiàn)在開(kāi)始用它來(lái)攻擊Linux。VMware目前監(jiān)測(cè)了14000臺(tái)使用Cobalt Strike的服務(wù)器。調(diào)查小組發(fā)現(xiàn),Cobalt Strike程序中六分之一版本的客戶ID為0,這表明是試用版,但這些很可能已被破解。另外四個(gè)自定義ID占剩余Cobalt Strike服務(wù)器的近40%,這表明這些服務(wù)器上的保護(hù)機(jī)制也遭到了破壞。


普普點(diǎn)評(píng)

由于Linux經(jīng)常用作云服務(wù)、虛擬機(jī)主機(jī)和基于容器的基礎(chǔ)設(shè)施等,攻擊者開(kāi)始使用日益復(fù)雜的漏洞利用工具和惡意軟件攻擊Linux環(huán)境。VMware報(bào)告數(shù)據(jù)顯示:以勒索軟件、加密貨幣劫持和滲透測(cè)試工具破解版為代表的惡意軟件,開(kāi)始越來(lái)越多地攻擊多云基礎(chǔ)設(shè)施中的Linux系統(tǒng)及應(yīng)用。雖然攻擊者目前還不會(huì)大規(guī)模將攻擊重點(diǎn)目標(biāo)從Windows轉(zhuǎn)移到Linux,但活動(dòng)頻繁程度明顯提升,企業(yè)組織需要提前防范這種威脅。






































普普安全資訊一周概覽(0219-0225)

06

微信真的不會(huì)保存聊天記錄嗎?《網(wǎng)絡(luò)安全法》給出了答案

微信作為中國(guó)體量最大的聊天工具,它的安全性關(guān)乎十多億人的隱私安全。那么到底微信會(huì)不會(huì)保存聊天記錄呢?根據(jù)微信官方的答復(fù),微信不會(huì)保存聊天記錄,聊天內(nèi)容只存儲(chǔ)在用戶手機(jī)、電腦等終端設(shè)備上。這種“自證清白”的做法,并沒(méi)有得到網(wǎng)友們的廣泛認(rèn)可。在《網(wǎng)絡(luò)安全法》頒布之后,這個(gè)問(wèn)題似乎有了答案。

《網(wǎng)絡(luò)安全法》第四十一條規(guī)定網(wǎng)絡(luò)運(yùn)營(yíng)者不得收集與其提供的服務(wù)無(wú)關(guān)的個(gè)人信息,不得違反法律、行政法規(guī)的規(guī)定和雙方的約定收集、使用個(gè)人信息,并應(yīng)當(dāng)依照法律、行政法規(guī)的規(guī)定和與用戶的約定,處理其保存的個(gè)人信息。第五十條規(guī)定國(guó)家網(wǎng)信部門和有關(guān)部門依法履行網(wǎng)絡(luò)信息安全監(jiān)督管理職責(zé),發(fā)現(xiàn)法律、行政法規(guī)禁止發(fā)布或者傳輸?shù)男畔⒌模瑧?yīng)當(dāng)要求網(wǎng)絡(luò)運(yùn)營(yíng)者停止傳輸,采取消除等處置措施,保存有關(guān)記錄;對(duì)來(lái)源于中華人民共和國(guó)境外的上述信息,應(yīng)當(dāng)通知有關(guān)機(jī)構(gòu)采取技術(shù)措施和其他必要措施阻斷傳播。


普普點(diǎn)評(píng)

以上可以得出用戶聊天記錄與微信所提供的服務(wù)無(wú)關(guān),微信無(wú)權(quán)保存用戶的聊天信息。只要保存用戶聊天信息,就屬于違法行為。對(duì)于法律、行政法規(guī)禁止發(fā)布或者傳輸?shù)男畔?,微信?yīng)當(dāng)保存有關(guān)記錄,否則根據(jù)《網(wǎng)絡(luò)安全法》第六十八條的規(guī)定,有關(guān)主管部門將責(zé)令改正,沒(méi)收違法所得,處以罰款,甚至責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、關(guān)閉網(wǎng)站、吊銷許可證或執(zhí)照等處罰。從這兩點(diǎn)上看,微信的確不會(huì)保存普通用戶的聊天記錄到服務(wù)器中。






































普普安全資訊一周概覽(0219-0225)

07

聊聊了解數(shù)字簽名,你知道了嗎?

數(shù)字簽名(一種電子簽名)是一種數(shù)學(xué)算法,通常用于驗(yàn)證消息的真實(shí)性和完整性。數(shù)字簽名創(chuàng)建個(gè)人或?qū)嶓w獨(dú)有的虛擬指紋,用于識(shí)別用戶并保護(hù)數(shù)字消息或文檔中的信息。數(shù)字簽名明顯比其他形式的電子簽名更安全,能夠提高了在線交互的透明度,并在客戶、業(yè)務(wù)合作伙伴和供應(yīng)商之間建立了信任。

數(shù)字簽名的工作原理是證明數(shù)字消息或文檔從簽名時(shí)起沒(méi)有被有意或無(wú)意地修改過(guò)。數(shù)字簽名通過(guò)生成消息或文檔的唯一散列并使用發(fā)件人的私鑰對(duì)其進(jìn)行加密來(lái)實(shí)現(xiàn)此目的。生成的散列對(duì)于消息或文檔是唯一的,更改其中的任何部分都將徹底更改散列。

接收者生成他們自己的消息或數(shù)字文檔的哈希值,并使用發(fā)送者的公鑰解密發(fā)送者的哈希值。接收者將他們生成的哈希值與發(fā)送者的解密哈希值進(jìn)行比較;如果匹配,則消息或數(shù)字文檔未被修改并且發(fā)件人已通過(guò)身份驗(yàn)證。


普普點(diǎn)評(píng)

將數(shù)字簽名與 PKI 或 PGP 結(jié)合使用可以加強(qiáng)它們,并通過(guò)驗(yàn)證密鑰屬于發(fā)送者并驗(yàn)證發(fā)送者的身份來(lái)減少與傳輸公鑰相關(guān)的可能安全問(wèn)題。數(shù)字簽名的安全性幾乎完全取決于私鑰的保護(hù)程度。通過(guò)使用受信任的第三方,數(shù)字簽名可用于識(shí)別和驗(yàn)證個(gè)人并確保消息的完整性。隨著無(wú)紙化、在線交互的使用越來(lái)越廣泛,數(shù)字簽名可以幫助我們保護(hù)數(shù)據(jù)的完整性。通過(guò)了解和使用數(shù)字簽名,可以更好地保護(hù)信息、文檔和交易。