美国网络审查对俄罗斯黑客事件采取回避态度,暗示存在限制 - 彭博社
Jeff Stone
徽标位于美国德克萨斯州奥斯汀的SolarWinds Corp.总部外。2020年12月22日星期二,IT监控和网络管理公司SolarWinds Corp.的一名前安全顾问表示,他曾警告管理层存在网络安全风险,并提出了一项改进计划,但最终被忽视了。摄影师:Bronte Wittpenn/Bloomberg你好,我是Jeff Stone。研究重大黑客攻击的美国顶级审查委员会并没有如其设想的那样做。但首先…
您可以将任何反馈发送至[email protected]。如果您尚未订阅此新闻简报,请在此处订阅。
必读:
• 一种新型的加密利用导致Mango遭受1亿美元盗窃• 一组位于印度的Twitter账户煽动了英国的政治暴力• 维吾尔人在中国境外生活告诉我们,他们对全球监控的广度感到惊讶
网络安全视角
美国备受瞩目的新网络审查委员会的首份报告原本应该评估引起安全社区震动的大规模SolarWinds黑客攻击。
然而,这个类似于审查航空事故的委员会最终调查了另一起事件,无意中展示了其最初设计的缺陷。
去年签署行政命令后,白宫 成立了网络安全审查委员会,这是一个由专家组成的小组,负责审查威胁美国国家安全的黑客事件。该小组旨在“有意义地改进”美国的数字防御,并在一定程度上受到了国家运输安全委员会的启发,后者调查飞机失事、火车脱轨和其他交通灾难。
虽然网络安全审查委员会(CSRB)聚集了政府和私营部门的重量级人物 – 谷歌安全工程副总裁希瑟·阿德金斯和国家安全局网络安全主任罗布·乔伊斯等大人物 – 但它没有国家运输安全委员会那样的调查权力,后者可以依法强制组织提供他们本来希望保密的细节。
专家们对网络安全审查委员会的创建表示赞赏,这代表了公众难得的机会,可以了解主导头条新闻的难以理解的黑客攻击。然而,由于没有传票权,该委员会只能希望黑客受害者愿意站出来谈论他们的失误。
全世界的善意都无法说服许多公司律师自愿向一个试图代表公众修复漏洞的团体提供客户的详细信息。对律师们来说,问题不在于尝试从安全漏洞中学习。问题在于CSRB试图首先揭示这些问题,可能会公开披露它们。
只是查看第一份报告。
拜登总统呼吁CSRB首先专注于SolarWinds网络间谍活动,俄罗斯间谍入侵了一家联邦承包商,花了数月时间在至少九个美国政府机构的网络内漫游,也许还有100家公司。如果有一个安全事件值得更详细了解,那就是莫斯科的黑客入侵了司法部的电子邮件,访问了从负责美国制裁的财政部获取的数据,以及查看了支撑一些微软技术的源代码。
相反,出于尚不清楚的原因,董事会改变了其第一次调查的目标,转而深入研究Log4j,这是一个包含漏洞的开源软件库,这些漏洞可能会让攻击者能够完全接管易受攻击的计算机。
负责监督CSRB的国土安全部未回应置评请求。
三名审查委员会成员在背景下畅所欲言地告诉我,他们将调查目标转向Log4j,是因为它代表了比SolarWinds黑客攻击更紧迫的威胁,并且这提供了一个研究开源软件的机会,这些软件连接了大量的技术。
从这个角度来看,他们的转变是有道理的。
但要彻底调查SolarWinds的入侵也需要该公司以及Mandiant、微软和其他许多公司自愿向一组寻求了解专有技术的网络安全专家提供数据。这也将暴露美国政府未能为这种威胁做好准备,尽管数年前的警告来自政府问责办公室表明这种事件是可能发生的。
Log4j的最终报告记录了Log4j漏洞的历史、披露时间表和补救技术。
它未包括有关黑客如何武器化Log4j漏洞的细节,使读者对入侵类型、外部窃取的数据类型、攻击者身份以及受害者如何应对一无所知。两名董事告诉我,这种违规取证将有助于了解需要改变的行为类型。
将这种缺乏透明度与国家交通安全审查委员会相比,那里的调查人员通常在撰写结论性报告之前收集医疗记录、分析飞机残骸并采访目击者。
网络安全内部人士花了一代人的时间在大谈“信息共享”作为对抗国家间间谍活动、数字勒索、电子邮件诈骗和跨国欺诈的灵丹妙药。
如果政府的首席审查委员会负责收集信息并汲取关于最具破坏性黑客攻击的教训的权力不足以全面审问这些违规行为,那还有什么意义呢?
本周我们学到了什么
一场冒充迪克体育用品和背包零售商Tumi等人的网络钓鱼活动 使用新颖技术欺骗用户交出他们的财务数据,根据我们独家提供的发现。
钓鱼页面伪装成合法网站的示例(由Akamai提供)。骗子们正在利用URL缩短服务和虚假社交媒体资料,以使他们的欺诈行为看起来更可信,根据安全公司Akamai的研究人员。这场持续的活动鼓励目标点击一个看起来逼真的电子邮件,承诺一份奖品,然后要求他们的信用卡信息。Akamai指出,这场活动模仿了假期季节周围的一种流行营销技术,尤其恶劣的是,这些假网站看起来如此合法。
教训是什么?永远不要点击任何东西。永远退出。
我们正在阅读的内容
《连线》记者安迪·格林伯格的新书,黑暗中的追踪者,讲述了警察如何利用区块链技术逮捕数字时代的毒枭、虐童者和长期被认为在匿名状态下运作的黑客大亨。这是一个戏剧性的故事,让你忘记自己正在阅读关于那些花时间在键盘后面的人的内容。
疑似伊朗黑客在美国网络上部署了加密挖矿软件,根据国土安全部的说法。
俄罗斯编写的代码伪装成美国风格进入了美国陆军、疾控中心的应用程序,正如路透社报道的那样。
推特账号冒充 NFT 商店正在欺诈用户,骗取加密货币,根据CyberScoop报道。
乌克兰和波兰交通 遭受勒索软件事件,与俄罗斯军方有关,微软告诉CNN。
推特的高级安全 和隐私主管离职,引发担忧,对公司保护数据的能力产生质疑。随后,埃隆·马斯克解雇了在该网站上批评他的员工。
涉嫌的俄罗斯骗子窃取了有关堕胎的数据。
网络犯罪团伙改变他们的策略,使调查变得更加复杂。
钓鱼行动
您可以联系杰夫·斯通,邮箱:[email protected],或在Signal上联系+1 (551) 236-3453。玛吉·墨菲的邮箱是[email protected],或者在+1 (415) 254 3919上联系。您也可以使用我们的SecureDrop安全匿名地发送文件。