【四維創智】-專研智能,智匯安全-網絡攻防-滲透測試-web安全-無線安全-內網安全 安全學院 – 第2頁 – 【四維創智】

                    四維資訊中心

                    關注最新行業動態,洞悉安全態勢,做行業領跑者!創造屬于我們自己的故事!

                    “新基建”熱潮下的智能網聯汽車安全問題探討

                    近日,中央對加快新型基礎設施建設進度作出部署,有關部門和地方紛紛出臺相應舉措。一時間,市場掀起一股“新基建”的熱潮?!靶禄ā笔侵感滦突A設施建設(簡稱:新基建),是指發力于科技端的基礎設施建設,主要包含 5G 基建、特高壓、城際高速鐵路和城際軌道交通、新能源汽車充電樁、大數據中心、人工智能、工業互聯網等七大領域,涉及到通信、電力、交通、數字等多個社會民生重點行業。四維創智從網絡上整合了現有的領域及涉及內容如下圖:
                     

                     
                    在加快新型基礎設施部署、深度推進各領域融合應用的同時,將會持續開展對應技術領域安全能力的建設,統籌開展基礎設施安全、應用安全、數據安全等工作。其中智能網聯汽車是新基建中重要的組成部分,與之對應的安全問題成為關注重點。
                     
                    政策方面,今年2月,11部委聯合印發《智能汽車創新發展戰略》,明確指出要結合5G商用部署,推動5G與車聯網協同建設。工信部日前也發布《汽車駕駛自動化分級》推薦性國家標準報批公示,首次制定了我國的自動駕駛汽車分級標準。工信部24日發布《關于推動5G加快發展的通知》,其中提到要促進“5G+車聯網”協同發展。將車聯網納入國家新型信息基礎設施建設工程,促進LTE-V2X規模部署。圍繞5G各類典型技術和車聯網、工業互聯網等典型應用場景,健全完善數據安全管理制度與標準規范。建立5G典型場景數據安全風險動態評估評測機制,強化評估結果運用。
                     
                    可見,無論是5G、工業互聯網或者是人工智能的發展,新基建中所架構的信息網、能源網、交通網,在智能網聯汽車技術發展中都將產生巨大協同效應,重塑汽車產業業態和商業模式,為人類出行方式帶來根本性變革。電動化、智能化、網聯化、共享化,新四化是未來汽車發展的趨勢。
                     

                     
                    電動化、智能化、網聯化、共享化,新四化是未來汽車發展的趨勢。電動化在能源、系統運行上更好地支撐自動駕駛,智能化依托大數據、云計算實現網絡智能,網聯化提供實時在線的產品數據交換,而共享化則帶來消費模式的革命。其中安全問題的應對也與汽車發展趨勢同步升級。
                     

                     
                    綜上,智能化、網聯化以及智能化的全新升級都要依靠基礎網絡進行實現。目前我們探討如何通過對智能網聯汽車通信網絡的測試來保證網聯汽車安全性。四維創智物聯網實驗室指出,網絡架構主要是由四個網絡域組成。目前車載網絡的發動機、ABS、制動器、方向盤、安全氣囊、雷達和碰撞傳感器的部分由CAN總線(控制器局域網絡(Controller Area Network, CAN)和 FlexRay 總線連接。而車窗、座椅、空調等模塊通過 CAN 總線和 LIN 總線組成一個局域網。車載電話、車載娛樂系統、導航系統等由 MOST 總線連接組成局域網,各個局域網之間通過車載網關連接。下一代的車內網將由車載以太網連接各個車內零件,再與車載以太網網關進行連接。
                    科普:
                     
                    CAN 總線:主要用于車上控制數據傳輸,是目前車載網絡應用最廣泛的標準,最大傳輸速度為 1Mb/s。
                     
                    LIN 總線:一種低成本通用串行總線,在汽車領域主要用于車門、天窗、座椅控制等,最大傳輸速度為 20kb/s。
                     
                    FlexRay :是繼 CAN 和 LIN 之后的新一代汽車控制總線技術,同樣屬于共享式總線技術,帶寬可達 10Mbps。FlexRay 與 CAN 總線相比帶寬較高,可滿足汽車關鍵應用的要求,但是使用 FlexRay 作為通信總線成本比 CAN 總線要高,所以它更適合在高端車中的線控系統應用。
                     
                    MOST總線:主要用于傳輸多媒體數據,根據 MOST150 的標準,MOST 總線的最大數據傳輸速度為 150Mb/s,并且 MOST150 支持基于 IP 的應用程序,但與 FlexRay總線一樣,它的傳輸成本較高。
                     

                     
                    整車網絡環境至關重要,《2020年汽車網絡安全報告》中通過分析過去十年中367起公開報告的汽車網絡事件中顯示了幾項關鍵數據:
                     
                    ①與汽車相關的網絡安全事件激增:隨著針對汽車行業的攻擊迅速增加,原始設備制造商和智能移動供應商需要對威脅環境有廣泛的可視性和清晰度,幫助他們設計適當的安全架構,跨越他們的車輛和云環境。
                     
                    ②聯網汽車已經開始占領市場:3.3億輛汽車已經聯網,美國市場的頂級汽車品牌已經表示,到2020年,只有聯網汽車才會銷售。僅這一點就會成倍地增加每次攻擊的潛在傷害。大規模的襲擊可能會破壞整個城市,甚至導致災難性的生命損失。
                     
                    ③汽車網絡安全事故數量大幅增加:自2016年以來,每年發生的汽車網絡安全事故數量增加了605%,僅去年一年就增加了一倍多。
                     
                    ④大多數事件是由犯罪分子實施的:2019年57%的事件是由網絡犯罪分子實施的,目的是破壞商業、盜竊財產和索要贖金。只有38%由研究人員實施,目的是警告公司和消費者發現的漏洞。
                    詳見《車聯網安全事故在2019年翻了一番,自2016年以來增加了605%》添加文章鏈接。
                     

                     
                    由此可見,提高整車網絡環境的安全性是關鍵環節。如何構建一個可遵循的系統方法,全面精準的測試整車網絡環境的關鍵步驟,從而提高整車的安全性是行之有效的方法,也可以與車企搭建一個快速檢測、快速響應、降低隱患的良性循環。因此,遵照這個目標,國內車聯網安全廠商也在向智能網聯汽車安全平臺化、系統化的方向努力,力求快速普及和應用,助力智能網聯汽車走上發展快車道。我們在網絡安全檢測方向上做出如下成果(四維車內電子電器架構安全檢測平臺:可以實現模擬車內傳統網絡環境,還具備快速搭建整車網絡安全檢測環境能力):
                     
                    實現模擬車內傳統網絡環境,涵蓋目前用于傳統車內通信的主要通信協議,包括CAN,LIN,MOST,FLEXRAY??蓪崿F參照標準ISO26262《道路車輛功能安全》用于檢測總線網關、ECU、TBOX、IVI等組件功能安全性。
                     
                    1、具備快速搭建整車網絡安全檢測環境能力??梢詫崿F實時數據捕獲,包括車載網絡CAN總線,LIN總線數據通信以及ECU間的數據交互。數據傳輸過程中分析數據結構,統計數據量。
                     
                    2、實現數據傳輸的可視化管理,為數據分析處理提供人性化的交互界面。監聽總線上的多個節點的數據,并對采集到的數據進行分析處理,為網關、ECU等總線組件的安全分析提供數據支撐。
                     
                    3、具備車載TBOX終端以及內部通信安全檢測能力,包括對車載TBOX端、服務端、固件、硬件接口、電子電路進行安全評估。
                     
                    4、 具備IVI(車載信息娛樂系統)安全檢測能力。車載信息娛樂系統作為人機交互較多的模塊,擁有較多的攻擊面,如藍牙、WIFI、內置應用等。提供IVI系統安全檢測、應用安全檢測、接入安全檢測功能,檢測IVI的安全與可靠性。
                     
                    5、 支持通過DBC文件庫定制CAN總線安全測試策略,可監測分析CAN網絡上報文數據,支持模擬CAN節點發送報文數據。
                     
                    在當前發展階段,尤其是“新基建”的提出,對智能網聯汽車的發展是契機也是挑戰,國內外智能網聯汽車廠商尚沒有構建面向中高級無人駕駛階段的可信安全體系,無論在功能安全,還是網絡安全方面,智能網聯汽車的安全性都是亟待解決的根本問題,也是智能網聯汽車的普及應用的重要依據和基本內容。例如四維創智在市場調研中發現,與功能測試相比,對汽車及其 IT 組件信息安全的系統性評估仍然處于非常早期的階段。鑒于現代汽車對電子系統的依賴狀態以及將車輛與其周邊基礎設施(V2X 通信)連接的趨勢,就需要把安全測試作為工程程序的必要環節。
                     
                    安全是智能網聯汽車發展的基礎,產業界需協同發展,各方應進一步提升安全意識,在產品設計、研發、測試的過程中,將安全作為重要指標納入產銷計劃,內嵌其中,并在產品全生命周期中做到持續的安全檢測與保障,實現安全廠商與智能網聯汽車產業鏈的協同配合,安全與產業發展的同步建設。

                    4月 20,2020 by admin

                    福特、大眾暢銷車曝安全漏洞,黑客可竊取隱私、操控車輛剎車系統

                    黑客入侵汽車的事件頻頻發生。2014年黑客利用寶馬ConnectedDrive數字服務系統漏洞可遠程打開車門,約220萬輛車型受到影響;2015年黑客遠程入侵一輛正在行駛的切諾基并做出減速、制動等操控,最終造成全球140萬輛車被召回;2016年黑客通過日產聆風APP的漏洞輕易獲取到了司機駕駛記錄并將汽車電量耗盡,日產隨即禁用該APP。
                     
                    近日,一份來自英國消費者協會雜志《Which?》調查報告發現,福特和大眾的兩款暢銷車存在嚴重安全漏洞,黑客可利用該漏洞發動攻擊,竊取車主的個人隱私信息,甚至是操控車輛,對車主的信息安全和生命安全產生極大的威脅。
                     
                    《Which?》雜志聯合網絡安全公司Context Information Security開展調查,全方位檢查了大眾Polo SEL TSI手動1.0L和福特??怂光佔詣?.0L兩款汽油型聯網汽車,這兩款汽車目前是歐洲市場最受歡迎的兩款車型。
                     
                    然而,盡管這兩款車型得到了許多人的喜愛,而其安全測試卻是讓人大跌眼鏡。據《Which?》的測試結果顯示,安全研究人員能夠進入大眾的Polo汽車的信息娛樂系統,這個系統可以說是汽車“中樞神經系統”的一部分,因為它會影響到汽車的牽引力控制(一項輔助車主操控汽車的功能)。此外,信息娛樂系統中還存儲著用戶的個人敏感信息,比如電話、地理位置記錄等。
                     
                    不僅如此,研究人員還發現只要抬起汽車前部的大眾徽章就能進入前雷達模塊,黑客可通過這一動作進一步篡改車輛碰撞預警系統。
                     

                     
                    反觀另一方福特的??怂箿y試結果,情況似乎也不容樂觀。安全研究人員使用最為常規的工具就可以攔截其輪胎壓力監控系統的信息,所以攻擊者可以利用這個漏洞發送虛假信息,即使輪胎沒氣仍顯示充氣正常,從而產生風險。
                     
                    當專家檢查福特的系統代碼時,他們還驚奇地發現福特生產線的計算機系統wifi和密碼細節,經掃描確認是福特位于密歇根州底特律的裝配廠。
                     

                     
                    數據安全“漏洞”
                     
                    除了測試汽車本身的系統安全,此次調查人員還對聯網汽車會產生多少車主的個人數據提出了質疑,以及這些數據的存儲、分享和使用是否都存在問題。
                     
                    福特的Pass應用程序可以隨時分享汽車的地理位置和行駛方向,以及汽車傳感器(警示燈、液位、耗油量等)的一些數據。APP甚至可以跟蹤“駕駛特性”,例如速度、加速度、制動和轉向。
                     
                    其隱私政策規定,它可以與“授權經銷商和我們的分支機構”共享這些信息。
                     
                    另外,大眾的應用程序We Connect也發現其會向用戶索要大量的權限,包括訪問用戶日歷中的“私密信息”和USB存儲設備的內容。其隱私權限政策規定中,這樣寫到:
                     
                    大眾在您使用該應用程序時會收集數據,但僅在“出于履行合同義務的必要”時才與第三方共享數據。
                     
                    在《Which?》將這些問題報告給兩家汽車廠商后,福特拒接這份技術報告,并回應有持續跟進網絡安全的工作并減小其中的風險,客戶數據也是用在有價值的連接設備之中。而大眾則是積極參與并回應調查,雖然表示報告呈現的結果不會對用戶有任何風險,但愿意和供應商共享這份報告。
                     
                    車聯網時代的附加風險
                     
                    在報告中披露的嚴重漏洞會對用戶財產和生命安全造成重大威脅。雖然這次只測試了這兩款車型,但是這類問題卻是“行業毒瘤”。盡管有嚴格的汽車碰撞安全和尾氣排放法規標準,但是對于車內運行的重要計算機系統卻沒有同樣嚴格的審查。事實上,在汽車網絡安全方面,沒有統一的強制性標準,汽車制造商可以選擇忽略這些網絡安全問題。
                     

                     
                    福特、大眾的漏洞事件誠然不是第一次發生,早期的奔馳漏洞和寶馬、豐田遭受的APT攻擊等都已經嘗到網絡安全的“苦果”。在萬物互聯時代,車輛的智能聯網只是其中的一個微小的、具體的場景。聯網設備帶來的便捷讓人們的生活有了更多的可能性,但是網絡層的風險同樣也會引入到設備中?!奥摼W”一詞不僅僅代表的是技術的更新和進步,更是意味著人們可能面臨的附加風險。
                     
                    權威分析機構IHS Research預測,全球無人駕駛量產汽車將在2025年上市,銷量將達到23萬輛。而根據麥肯錫的預測,到2025年無人駕駛汽車將產生2000億到1.9萬億美元的產值。面對一個萬億級規模的市場,大家都在摩拳擦掌,希望能搶占先機,我們必須嚴把汽車信息安全這道門檻。
                     
                    Consumer Watchdog在2019年發布了一份名為《殺戮開關KILL SWITCH》的研究報告,報告顯示2020年幾乎所有車輛都具備了聯網功能,意味著它們更容易受到黑客攻擊,當數百萬輛汽車用著同一個應用,黑客攻擊一個漏洞就能同時影響數百萬輛汽車。
                     
                    報告還給出了一個讓人毛骨悚然的推論,未來在高峰時間一旦黑客發起大規模攻擊將導致911級別的災難,造成三千人死亡,換句話說《速度與激情8》中遙控汽車跳樓的場面離我們并不遙遠。
                     
                    關注四維創智微信公眾號,后期為您分享怎樣避雷網聯汽車信息泄露。

                    4月 20,2020 by admin

                    蘋果智能語音助手Siri的安全性測試及風險分析

                    一、背景分析
                    1. 用戶規模
                    自2009年蘋果進入中國手機市場,已經長達10年的時間,并且早在2001年,蘋果的iPod產品就已經在中國市場發售。蘋果設備中以最受歡迎的iPhone為代表,占有20%左右的市場份額。

                    據統計,蘋果設備的總活躍用戶數量正在強勁增長,即將超過15億,這包括mac、iPhone和iPad。其中,大部分是iPhone,一位行業分析人士預測,到明年年初,iPhone活躍用戶數量將達到10億。蘋果重新搶占中國市場的決心,根據最新的數據顯示,iPhone11系列在上月的銷量比去年同期增長230%,這意味著iPhone11系列將成為國內最受歡迎的智能手機“可見一斑。

                    圖表中的紅線,可以看到所有蘋果設備的增長,紫色的線表示iPhone的增長。(來源:https://www.ithome.com/0/437/023.htm)
                    以上數據表明,蘋果用戶逐年攀升,國民消費理念正發生改變,對智能設備的期待值越來越高。智能設備已然成為消費領域持續增長的重要熱點。

                    2. Siri簡介
                    2011年10月,蘋果發布iPhone4s,最為亮眼的功能便是加入了智能語音助手Siri,自此之后,蘋果用戶與Siri的互動也越來越強,讓Siri幫忙設置鬧鐘,幫忙記錄日程等等已經成為越來越多蘋果手機用戶日常生活中的一部分。SIRI 是 Speech Interpretation & Recognition Interface 的首字母縮寫,原義為語音識別接口,是蘋果公司在蘋果手機、ipad產品上應用的一個語音助手,利用Siri用戶可以通過手機讀短信、介紹餐廳、詢問天氣、語音設置鬧鐘等。
                    Siri可以支持自然語言輸入,并且可以調用系統自帶的天氣預報、日程安排、搜索資料等應用,還能夠不斷學習新的聲音和語調,提供對話式的應答。Siri可以令iPhone4S及以上手機(iPad 3以上平板)變身為一臺智能化機器人。目前Siri支持的所有功能,可訪問Apple(中國)官方網站https://www.apple.com/cn/siri/進行查看。Siri得智能屬性,使眾多果粉熱衷于與Siri進行互動,并通過Siri來進行日常功能的使用,其中安全性也成為使用過程中的必要考量。
                    二、問題描述
                    1. 問題概述
                    蘋果設備語音助手Siri默認識別設備所有者聲音用于喚醒功能,他人發出的喚醒指令無效。但經驗證顯示,通過設備所有者的錄音,即可以立即喚醒設備,并由任何人發布操作指令,例如進行播放音樂、打電話等常用功能。
                    2.測試過程
                    目前支持siri的設備版本包括:

                    本次測試機型:iPhone X、iPhone 7p、iPhone 8

                    測試情況說明:

                    首次開啟Siri陌生人是否能喚醒 陌生人是否能用錄音開啟 機主喚醒,其他人是否能發布指令 是否可以發短信、打電話

                    本次選取了三款機型進行測試。

                    首先,對測試對象進行Siri喚醒測試。三款Siri手機均能被各自機主喚醒,而無法被第三方(在前提是測試前無交流的情況下)喚醒。

                    然后測試機主間在經過10分鐘密集型交流后,Siri能否接受第三方的喚醒指令并成功執行。經測試證明,蘋果手機被其他機主喚醒的概率大大提升,甚至同一機主能同時喚醒三臺不同型號的設備。

                    最后,我們測試在喚醒狀態下(第三方喚醒),切換至聲音與機主聲音差距較大的人是否可以操控手機撥打電話和發送短信。測試結果表明:在喚醒狀態下,第三方(包含性別不同的情況)均能發布指令。如何確保輕松快速的喚醒Siri,可通過錄機主的喚醒聲音來實現,親測可得。
                    三、風險分析

                    1.Siri語音識別不具唯一性

                    SIRI 作為蘋果公司在蘋果手機、ipad產品上應用的一個語音助手,為蘋果設備的智能交互方面做出了極大的貢獻。語音識別有兩層含義,一層是接收到語音指令并執行,另一層是精準識別“誰的”聲音。蘋果Siri關于蘋果系統默認只識別設備所有者用于喚醒和操作Siri,通過實際操作以及相關網絡資料可見。

                    網絡資料:

                    2018年4月17日,多家媒體報道蘋果在自家機器學習刊物《Apple Machine Learning Journal》上發表最新一篇文章,主要是關于用戶在 iOS 設備上激活“嘿Siri”功能時的人性化過程。在這篇機器學習期刊的新文章中,蘋果Siri團隊講述了引入“說話人識別系統(Speaker Recognition System)”的技術方法,聲稱為了給用戶創造更人性化的設備,自家團隊打造了“深度神經網絡”,而此舉將為Siri的迭代更新打下了基礎。簡單的說,蘋果基本上確認的事實是:未來的iOS系統版本中,機器學習技術將會被引入Siri智能私人助理,用于精確識別設備所有者的聲音。(資料來源:https://www.ithome.com/0/437/023.htm)
                    根據部分用戶反映啟用Siri時,即會呈現以下截圖,會造成只識別設備所有者的誤導。并且在首次使用iphone的情況下,的確只能識別機主聲音,絕大部分消費者認為是唯一識別,這導致會有一定風險性存在。

                    通過網友的提問,可以反映出大部分人認為Siri是只能識別設備所有者聲音而被喚醒。這意味著設備所有者可以基于零信任,給予設備常用的權限。

                    2. 應用風險分析

                    通過測試蘋果手機可知,蘋果手機在鎖屏狀態下,通過Siri在鎖屏狀態下可以實現的操作有給指定人撥打電話、播放音樂、打開藍牙等常用功能??此瞥R姷墓δ?,卻存在著極大的安全隱患。


                    圖片來自Apple(中國)官網

                    電信詐騙

                    利用Siri給指定人撥打電話或發短信,嚴重危害個人生命財產安全。這比以往通過設置偽基站、以第三方手機號碼冒充親屬、公安機關等傳統手段具有成本低、見“效”快、成功率高的特點,應該引起足夠的社會重視。

                    ①嚴重侵害人民群眾財產安全和合法權益

                    首先是涉案金額上,傳統盜竊搶劫案多則幾萬元,不會涉及較大金額。而電信詐騙,尤其是能直接獲取信任感的方式,例如直接用機主手機撥打電話進行詐騙。是以信任感為基礎的詐騙手段,動輒就是幾百萬、上千萬元,詐騙金額令人觸目驚心。據相關統計,近10年來,我國電信詐騙案件每年以20%至30%的速度快速增長,2015年全國公安機關共立電信詐騙案件59萬起,同比上升32.5%,共造成經濟損失222億元。2013年至今,全國共發生被騙千萬元以上電信詐騙案件94起,百萬元以上案件2085起?!彪娦旁p騙屢打不絕,呈現迅速蔓延之態。全國接到詐騙信息的人數高達4.38億,相當于每三個人中就有一個受到詐騙信息的“騷擾”。并且隨著電信詐騙的不斷蔓延,人民群眾已提高安全意識,不輕易相信第三方發來的涉及自身利益的詐騙方法。但是百密一疏,安全意識的提高,相應的激發了更高明的騙術。直接通過機主手機撥打電話,再通過聲音相似或者用目前新出現的語音模擬技術進行直接對話,帶來的嚴重后果可想而知。

                    ②嚴重影響社會穩定

                    電信詐騙由于犯罪成本低、風險小、回報高、易得手,很容易被效仿和傳播,形成犯罪“黑色產業鏈”,詐騙后果也越來越惡劣。電信詐騙不但嚴侵害和威脅群眾財產安全和合法權益,影響老百姓的安寧生活,更嚴重影響人們的安全感,擾亂了社會秩序,給國家安全和社會穩定帶來極大隱患,到了觸目驚心的地步。例如利用設備所有者(以下稱所有者)親屬信息進行詐騙,例如與父母、兄弟姐妹直接通話或發送短信,以各種理由請求給指定賬戶匯款或謊稱所有者被綁架進行敲詐勒索等危害財產安全的行為。更有甚者,也有可能進行蓄意人身侵犯。引發打擊報復,性侵犯等不可挽回的嚴重損失。對于一個普通家庭來說,詐騙金額有可能是致命級別的,可能是全部,造成傾家蕩產,家破人亡。而對于企業來說,上千萬巨額資金被騙很可能造成整個資金鏈斷裂,導致企業破產,動搖社會穩定的根基。電信詐騙受害者包括社會各個階層,不管是涉世未深的準大學生,還是身為知識精英的名校教師不管是普通民眾,還是企業老板、公務員,各行各各類人員都有可能成為電信詐騙的對象,性質非常惡劣,已成為嚴重影響社會穩定的突出治安問題。

                    ③電信詐騙導致嚴重信任危機

                    電信詐騙破壞了社會誠信,嚴重傷害了人與人之間的信賴關系,造成人與人之間沒有安全感。即便是父母子女或者朋友的電話,都需要先質疑再確認。電信詐騙不僅給直接受害者帶來財產甚至生命損失,也加劇了人與人之間的不信任,增加了社會運行成本。例如“提到公檢法的電話律掛掉”等防騙指南,影響了國家機關等一些部門正常工作的開展。當直系親屬遇到困難時,由于不信任而掛斷電話,錯失救助機會等等。這些不僅損害國家機關的公信力,而且大大削弱了社會基本信任,危害遠遠大于一般的誠信缺失。

                    3.新技術應用,風險加劇

                    ①Siri和捷徑聯合使用

                    捷徑作為iOS推出的一款輕編程APP,可以讓用戶相對容易的進行編程,設置快捷操作。小編就學會了如何將Siri和捷徑聯合使用。只要和Siri說“晚安”,手機就會自動打開夜覽模式、鬧鐘,關閉流量、WiFi,讓手機進入勿擾模式等。早晨醒來再對Siri說“早安”,手機又會恢復原來的設置。

                    ②允許用戶刪除Siri歷史記錄,不可追溯

                    2019年10月11日消息,蘋果在剛剛推送的iOS 13.2的第二個測試版中,悄悄加入了一個新功能,允許用戶刪除Siri歷史記錄,以及停止對外分享自己數據的按鈕。有分析人士表示,iOS 13.2加入的“刪除Siri歷史記錄,以及停止對外分享自己數據的按鈕”功能,可以看作是蘋果之前回應泄露用戶隱私的又一個補救辦法。但是這一功能從另一角度來說,卻將不法分子利用Siri進行違法活動的歷史記錄一并刪除,對追溯責任和刑偵工作帶來一定難度。

                    4.歷史風險

                    ①2019年8月消息:蘋果對Siri隱私問題道歉,將不再保留Siri互動錄音

                    英國《衛報》(The Guardian)曾報道稱,蘋果的承包商每人每天要監聽約1000條Siri錄音,并將其發送回蘋果進行研究。報道稱,蘋果這樣做是為了讓Siri更好地滿足用戶的需求。對于這種行為,蘋果8月2日宣布,已暫停使用承包商來監聽Siri的錄音,蘋果不再需要總部位于愛爾蘭的承包公司GlobeTech提供的服務。

                    8月28日晚間,蘋果又發表聲明稱,隱私是一項基本人權,蘋果設計的產品和服務是為了保護用戶的個人數據。Siri是一款開創性的智能助手,其目標是為用戶提供最佳體驗,但前提是要保護好用戶隱私?!拔覀円庾R到我們并沒有完全實現我們的崇高理想,為此我們深表歉意?!?/p>

                    https://tech.sina.com.cn/t/2019-08-28/doc-ihytcern4309205.shtml

                    ②2015年5月消息:Siri存在安全隱患,黑客可在5米內無聲遙控

                    Siri,作為你的私人助理,卻不一定只聽從你的命令。法國的一組研究人員發現,Siri同樣聽命于黑客——在特定情況下,黑客們可以在5米之內通過無線電消無聲息的遙控它。來自法國科技安全部的兩名研究人員一直致力于信息安全工作,他們最近發現:通過無線電波,黑客可以無聲的將命令輸入到開啟Siri或Google Now的iPhone或安卓手機中。當然有個前提——這臺手機必須連接一根帶有麥克風的耳機。黑客們可以利用這根耳機作為天線,然后悄悄的發送無線電波,這種無線電波被手機接收后被轉化為電信號,系統會誤認為是從麥克風傳來的語音命令,無需說一句話,黑客們就可以遙控Siri或Google Now進行打電話或發短信,或通過手機瀏覽器打開惡意網站,也可通過Email, Facebook, Twitter等APP來發送垃圾郵件或釣魚軟件等等。

                    https://www.chiphell.com/thread-1385502-1-1.html

                    ③Siri曝隱私漏洞:鎖屏也會讀你的微信留言!

                    日前,Canthink網絡安全研究團隊曝光了iOS 11 非常嚴重的 bug,即便在鎖屏狀態下,長按 Home 鍵或 iPhone X 上的側邊按鍵,呼出 Siri 后,也可以讓它將新的通知消息念出來。

                    根據內容顯示:在iOS 11系統中,當有新通知到來時候,可以在屏幕上顯示有新通知,正常情況是需要解鎖才能看到具體內容。不過Siri卻可以繞過了解鎖步驟,你只要啟動Siri,喊它:“幫我讀一下通知”,它就會直接讀出鎖屏上的隱藏消息內容。而除了蘋果原生APP,很多第三方APP例如Whatsapp、Telegram、Skype等應用也紛紛中招。經過網友的實測,微信、QQ 的新信息也能夠在鎖屏狀態下完全讀出。即便設置了消息在鎖屏隱藏,Siri依然可以讀出所有的內容。
                    繞過解鎖步驟直接讀取信息,這也就意味著,如果有人要求Siri讀取手機通知,甭管這人是何身份是何居心,Siri都會大聲閱讀通過第三方應用發來的私密信息,讓每個人都聽到。如此一來,用戶的隱私安全將無從談起。
                    http://www.sohu.com/a/226241725_404443

                    ④Siri被曝新漏洞:不需要密碼通訊錄和照片就被看光了

                    騰訊科技訊 據國外媒體報道,蘋果數字助手Siri被發現存在一個新漏洞,該漏洞會導致不法用戶繞過密碼保護的鎖屏界面而獲得用戶的聯系人和照片等數據。從目前的情況來看,只有部分iPhone 6s和iPhone 6s Plus受到了該漏洞的影響。
                    這個新漏洞是由何塞·羅德里格斯(Jose Rodriguez)發現的,他在去年9月發現了一個類似的鎖屏漏洞。羅德里格斯最新發現的這個漏洞似乎只在特定情況下才有效。據他提供的概念驗證視頻來看,只有iPhone 6s和iPhone 6s Plus并且它們的Siri應用被設置成允許與Twitter、聯系人和照片進行搜索整合時,這個漏洞才有用。

                    在示范案例中,用戶或者非法用戶可以通過長按Home按鈕或者語音指令啟動Siri,然后要求虛擬助手進行Twitter搜索。如果搜索結果包含可執行的聯系人數據比如電子郵箱地址,用戶或非法用戶就可以利用3D Touch手勢呼出相關菜單,繼而發送電子郵件、添加或修改聯系人信息。

                    在3D Touch的“快速操作”(Quick Actions)菜單中,點擊“添加到現有聯系人”就可以

                    打開iPhone的聯系人清單。在適當配置下,用戶或非法用戶還可以進一步訪問手機的照片庫。


                    https://tech.qq.com/a/20160405/043110.htm

                    ⑤智能家居存在安全漏洞 鄰居可用Siri解鎖你家的門鎖

                    導讀:iPad顯然能夠聽到鄰居從門外發出的指令,然后向August智能門鎖下達了解鎖指令。

                    智能家居的初衷是讓生活更安全、更高效,但要真正達到這一目的顯然任重道遠。據一位網名sportingkcmo的Reddit用戶透露,鄰居竟然可以直接通過語音指令打開他們家的智能門鎖。

                    這位網友的房子配有一個August智能鎖,這是一個可以使用手機和蘋果HomeKit操作的藍牙門鎖,方便用戶直接使用Siri與智能家電互動。

                    該用戶稱,他在客廳里設置自己的iPad Pro,通過HomeKit與這個門鎖相連。但不幸的是,這個設置過程開啟了一個巨大的安全漏洞,讓他明白智能家居技術可能適得其反:他的鄰居來到他家借用調料時,竟然可以直接通過對Siri下達語音指令打開門鎖。iPad顯然能夠聽到鄰居從門外發出的指令,然后向August智能門鎖下達了解鎖指令。(August智能門鎖也支持亞馬遜Alexa語音助手,所以可能也存在類似的漏洞。)

                    該用戶和August均未對此置評。蘋果則建議所有用戶給設備設置密碼。如果用戶給iPad設置了密碼,或許就可以避免這種情況的發生。此事引發了人們對智能家居系統安全性的質疑。將大門這個至關重要的家居組成部分交給電子產品來負責,似乎會帶來巨大的安全隱患。語音控制的確令人感到驚喜,但至今仍屬于新生事物,存在很多未知領域。在此事中,將語音技術與智能門鎖系統整合后,便暴露出巨大的風險。

                    蘋果2014年推出了HomeKit標準,并且逐步獲得普及。在本月早些時候的iPhone發布會上,蘋果CEO蒂姆·庫克(Tim Cook)表示,僅今年一年就將有1億多臺HomeKit設備推出。從智能門鎖到智能恒溫器,再到智能燈泡,各種智能家居設備都可以用Siri來控制。

                    隨著語音控制和智能家居的快速發展,類似的事件可能會越來越多地涌現出來,從而拖慢這項技術的普及速度。
                    https://news.znds.com/article/14027.html

                    4月 9,2020 by admin

                    “新基建”推動充電樁加速發展,安全問題需防患于未然

                    ?近日,中央對加快新型基礎設施建設進度作出部署,有關部門和地方紛紛出臺相應舉措。一時間,市場掀起一股“新基建”的熱潮?!靶禄ā笔侵感滦突A設施建設(簡稱:新基建),是指發力于科技端的基礎設施建設,主要包含 5G 基建、特高壓、城際高速鐵路和城際軌道交通、新能源汽車充電樁、大數據中心、人工智能、工業互聯網等七大領域。其中,電力作為新能源汽車的主要動力來源,直接關系到大眾的出行。隨著新能源汽車的高速發展,作為新能源汽車網絡中重要組成部分的充電樁也得到了快速的發展。各大公共充電基礎設施運營商紛紛快速建站搶占市場。市面上的充電基礎設施運營商眾多,系統的安全防范能力參差不齊。
                     

                     
                    《2019-2020年度中國充電基礎設施發展年度報告》中顯示,2019年我國充電基礎設施產業持續高速增長,全國充電基礎設施規模達到120萬個,有力地支撐了我國電動汽車規?;袌龅目焖傩纬珊桶l展。截至2019年12月底,全國充電設施較去年新增超過12.85萬臺。預計在2020 年我國公共充電樁保有量會繼續保持快速增長。
                     

                    新能源汽車充電樁細分產業鏈

                     
                    伴隨著車樁信息互聯互通是提升用戶充電體驗、保障充電安全的基礎和關鍵,通過充電運營企業和主流汽車整車企業的不斷深入合作,車樁互聯水平顯著提升。智能化和網聯化的發展,帶來服務水平和服務質量、便民程度提升的同時,就會面臨一個不容忽視的安全問題—信息安全。
                     
                    注:本文中所探討的指公共充電樁,其他還有家用充電樁以及便攜式充電樁。公共充電樁充電通常分為快充(直流電)和慢充(交流電)。
                     
                    常見信息安全問題有哪些?
                     
                    四維創智物聯網實驗室指出,充電樁的信息安全風險主要體現在以下幾方面:一是硬件調試接口保護不到位,降低了攻擊者分析難度;二是廠商開發的各種服務沒有進行嚴格的保護,可能被攻擊者利用作為攻擊的入口;三是軟件開發部署時缺乏安全方面的考慮,容易被攻擊者利用,對充電設置、主站以及運營平臺構成安全威脅。綜上,新能源汽車在充電整體過程主要涉及到人、車及充電設備,安全問題一方面是人涵蓋管控人員和車主等本身的安全意識薄弱,另一方面在體現在設備本身的漏洞以及數據交互過程中以及通信方面存在的問題。
                     


                    新能源汽車充電過程一覽圖

                     
                    一、針對運營平臺的攻擊
                     
                    充電樁運營平臺對充電樁進行實時的狀態監測與管控,沒有進行訪問控制策略、邊界防護措施薄弱、安全配置策略缺失等。運維平臺暴露在公網中,受攻擊的可能性較大。面臨的安全威脅如運營平臺在整個充電流程中會涉及到充電樁啟停管控以及包括用戶金融賬戶、身份信息在內的敏感隱私信息極易造成敏感信息泄露;設備管理方面,在充電基礎設施啟動登錄、移動終端登錄、運營平臺訪問等過程中未使用身份認證管理或在登錄過程中使用弱口令,造成信息泄露或篡改,甚至不可估量的損失。與常規服務器相似,還可能存在CSRF、SQL注入、中間件漏洞、操作系統漏洞等各方面安全問題。
                     
                    二、針對充電設施的攻擊
                    1、充電樁
                     
                    充電樁樁體主要控制部分為計費控制單元,簡稱TCU。TCU一般使用嵌入式Linux 操作系統,TCU的結構圖如下。
                     

                    TCU結構圖

                     

                    樁體本身對外提供了多個接口,如RS232調試接口、網口、USB等。潛在的攻擊方式如下。

                     
                    針對充電樁調試接口的攻擊:調試接口暴露、固件提取、篡改存儲介質、獲取普通用戶權限、權限提升等;
                     
                    針對開放服務的攻擊:FTP未授權訪問、FTP弱口令、SSH弱口令等。
                     
                    針對固件的攻擊:獲取敏感數據、獲取硬編碼密碼、逆向加密算法、獲取敏感API接口、固件降級植入后門等;
                     
                    針對內存的攻擊:獲取內存中的敏感數據(如用戶名、密碼)、加密Key等。
                     
                    針對CPU卡的攻擊:通過監聽串口數據,獲取用戶卡片加密密碼等。
                     
                    2、電池管理系統(BMS)
                     
                    此外,電池管理系統(BMS)是新能源汽車電池的核心,是對電池進行監控和管理的系統,通用功能主要包括基礎的采集功能(如電流、電壓、溫度以及一些SOC參數的采集)、充電口檢測(CC和CC2)、充電器喚醒(CP和A+)、繼電器控制及狀態診斷、絕緣檢測、高壓互鎖、碰撞檢測、CAN通訊及數據存儲等要求。是連接車載動力電池和電動汽車的重要紐帶,除其固件本身安全之外,其安全問題主要體現在,一方面業內缺少對BMS強制認證標準,標準認證體系不完善,國際上包括國內已經在汽車安全領域有系列的認證標準,但是對于BMS進行相關標準的檢測這部分相對薄弱,而很多國內企業也缺乏相應的檢測能力,因此本身具有安全隱患。另一方面通過攻擊BMS的控制算法,以及通訊協議(采樣芯片與主芯片之間信息傳遞采用CAN通訊和菊花鏈通訊兩種方式)從而影響電動車的安全。
                     
                    三、針對APP的攻擊
                     
                    由于目前現有的充電樁可以通過手機APP掃碼,微信公眾號,手機app軟件等方式進行充電,可以跟充電樁實時進行通訊信息交互。手機APP的幾個風險點,包括反編譯和篡改,還有關鍵數據的明文傳輸和存儲。中國軟件評測中心曾在2016年對市面上的11款充電樁的APP進行安全性測試。發現存在很多共性問題,比如普遍未采用安全通信協議,應用與服務器間的明文通信數據可通過多種方式獲??;普遍不具備防范重放攻擊的能力,存在用戶身份鑒別信息被盜用的風險;還有應用未對自身完整性進行校驗,易被篡改。在流通渠道方面,對11款APP監控的版本其中有1300多種應用,其中被篡改和疑似篡改占比達到了11%。
                     
                    四、針對通信、協議的攻擊
                     
                    通信或者協議方面的安全風險,這部分協議在整個系統中涉及很多,包括充電協議、充電樁到平臺的協議、平臺之間的通信協議,其中的一些風險點有:數據監聽、中間人攻擊篡改數據、破壞通信。充電樁、手機、云端三者之間的通信安全也尤為重要。例如,據了解充電樁與主站之間大多采用MQTT物聯網通信協議,MQTT擁有相對的安全認證體系,但在使用可能存在配置不當的情況。MQTT可能存在的安全威脅有:未授權訪問、中間人攻擊等。
                     
                    面對上述風險點,相關負責人應按照不同模塊、有針對性的進行安全問題分類,并依此制定安全解決方案。充分保證充電過程中的安全性。同時一方面,應該根據以往暴露的安全問題采取安全設備進行安全檢測,防微杜漸。另一方面又通過安全網關等設備實現雙向身份認證、數據加密和訪問控制等縱向認證機制。在此基礎上還應依據現有的國家標準政策要求進行必要的信息安全防護,加強安全管理能力和水平。

                    4月 1,2020 by admin

                    28項網絡信息安全規范和標準3月1日起正式實施(附文件全文鏈接)

                    自2020年3月1日起,全國信息安全標準化技術委員會歸口的28項國家標準將正式實施。這些標準在2019年8月30日,國家市場監督管理總局、國家標準化管理委員會發布中華人民共和國國家標準公告(2019年第10號)中首次公布。四維創智現將28條標準進行整理發布,具體清單及文件內容如下:
                     

                    圖片來源:全國信息安全標準化技術委員會

                     
                    1、 《GB/T 25058-2019 網絡安全等級保護實施指南》
                     
                    適用范圍:本標準按照GB/T 1.1-2009給出的規則起草。本標準代替GB/T 25058-2010《信息安全技術信息系統安全等級保護實施指南》,(原標準廢止,1-7條與1同)。規定了等級保護對象實施網絡安全等級保護工作的過程,適用于指導網絡安全等級保護工作的實施。
                     
                    文件鏈接:http://c.gb688.cn/bzgk/gb/showGb?type=online&hcno=1E5827B2858401572CFF3A6FA711ACC9
                     
                    2、《GB/T 20272-2019 操作系統安全技術要求》
                     
                    適用范圍:本標準按照GB/T 1.1-2009給出的規則起草。本標準代替GB/T 20272-2006《信息安全技術 操作系統安全技術要求》。本標準規定了五個安全等級操作系統的安全技術要求,適用于操作系統安全性的研發、測試、維護和評價。
                     
                    文件鏈接:http://c.gb688.cn/bzgk/gb/showGb?type=online&hcno=C372DE6A16690EDB2A8F1A014DA221D6
                     
                    3、GB/T 20009-2019 數據庫管理系統安全評估準則》
                     
                    適用范圍:本標準按照GB/T 1.1-2009給出的規則起草,代替GB/T 20009-2005《信息安全技術 數據庫管理系統安全評估準則》。該標準依據GB/T 20273-2019規定了數據庫管理系統安全評估總則、評估內容和評估方法,適用于數據庫管理系統的測試和評估,也可用于指導數據庫管理系統的研發。
                     
                    文件鏈接:http://c.gb688.cn/bzgk/gb/showGb?type=online&hcno=19F1B7C983A7F5F360527F74274A691D
                     
                    4、《GB/T 20273-2019 數據庫管理系統安全技術要求》
                     
                    適用范圍:本標準按照GB/T 1.1-2009給出的規則起草,代替GB/T 20273-2006《信息安全技術 數據庫管理系統安全技術要求》。該標準規定了數據庫管理系統評估對象描述,不同評估保障級的數據庫管理系統安全問題定義、安全目的和安全要求,安全問題定義與安全目的、安全目的與安全要求之間的基本原理,適用于數據庫管理系統的測試、評估和采購,也可用于指導數據庫管理系統的研發。
                     
                    文件鏈接:http://c.gb688.cn/bzgk/gb/showGb?type=online&hcno=3C858424E111943BD9A9263448414CF2
                     
                    5、《GB/T 18018-2019 路由器安全技術要求》
                     
                    適用范圍:本標準按照GB/T 1.1-2009給出的規則起草,代替GB/T 18018-2007《信息安全技術 路由器安全技術要求》;該標準分等級規定了路由器的安全功能要求和安全保障要求,適用于路由器產品安全性設計和實現,對路由器產品進行的測試、評估和管理也可參照使用。
                     
                    文件鏈接:http://c.gb688.cn/bzgk/gb/showGb?type=online&hcno=384750D123B2D2F8748B01771C02C0FB
                     
                    6、《GB/T 20979-2019 虹膜識別系統技術要求》
                     
                    適用范圍:本標準按照GB/T 1.1-2009給出的規則起草,代替GB/T 20979-2007《信息安全技術 虹膜識別系統技術要求》。該標準規定了采用虹膜識別技術進行身份識別的虹膜識別系統的結構、功能、性能、安全要求及等級劃分,適用于虹膜識別系統的設計與實現,對虹膜識別系統的測試、管理也可參照使用。
                     
                    文件鏈接:http://c.gb688.cn/bzgk/gb/showGb?type=online&hcno=7FF16D84B41297E279A295AD1BFD7A20
                     
                    7、《GB/T 21050-2019 網絡交換機安全技術要求》
                     
                    適用范圍:本標準按照GB/T 1.1-2009給出的規則起草,代替GB/T 21050-2007《信息安全技術 網絡交換機安全技術要求(評估保證級3》。該標準規定了網絡交換機達到EAL2和EAL3的安全功能要求及安全保障要求,涵蓋了安全問題定義、安全目的、安全要求等內容,適用于網絡交換機的測試、評估和釆購,也可用于指導該類產品的研制和開發。
                     
                    文件鏈接:http://c.gb688.cn/bzgk/gb/showGb?type=online&hcno=BEF55138FEC8BCA2DB7EC22F424A5CBC
                     
                    8、《GB/T 37931-2019 Web應用安全檢測系統安全技術要求和測試評價方法》
                     
                    適用范圍:該標準規定了 Web應用安全檢測系統的安全技術要求、測評方法及等級劃分,適用于Web應用安全檢測系統的設計、開發與測評。
                     
                    文件鏈接:http://www.gb688.cn/bzgk/gb/newGbInfo?hcno=C2B4CC975B2E9926226584CA5CB27A0A
                     
                    9、《GB/T 37932-2019 數據交易服務安全要求》
                     
                    適用范圍:該標準規定了通過數據交易服務機構進行數據交易服務的安全要求,包括數據交易參與方、交易對象和交易過程的安全要求,適用于數據交易服務機構進行安全自評估,也可供第三方測評機構對數據交易服務機構進行安全評估時參考。
                     
                    文件鏈接:http://www.gb688.cn/bzgk/gb/newGbInfo?hcno=3731C917A6C627CA28E5D8B20B0344F7
                     
                    10、《GB/T 37988-2019 數據安全能力成熟度模型》
                     
                    適用范圍:該標準給出了組織數據安全能力的成熟度模型架構,規定了數據采集安全、數據傳輸安全、數據存儲安全、數據處理安全、數據交換安全、數據銷毀安全、通用安全的成熟度等級要求,適用于對組織數據安全能力進行評估,也可作為組織開展數據安全能力建設時的依據。
                     
                    文件鏈接:http://www.gb688.cn/bzgk/gb/newGbInfo?hcno=3CFD5E5A14C24D303EA1E139E6EB75C8
                     
                    11、《GB/T 37973-2019 大數據安全管理指南》
                     
                    適用范圍:本標準指導擁有、處理大數據的企業、事業單位、政府部門等組織做好大數據的安全管理、風險評估等工作,有效、安全地應用大數據,釆用有效技術和管理措施保障數據安全。
                     
                    文件鏈接:http://www.gb688.cn/bzgk/gb/newGbInfo?hcno=D16FF5DF1E14AF4D3263C0D8FED78579
                     
                    12、《GB/T 37933-2019 工業控制系統專用防火墻技術要求》
                     
                    適用范圍:該標準規定了工業控制系統專用防火墻(以下簡稱工控防火墻)的安全功能要求、自身安全要求、性能要求和安全保障要求,適用于工控防火墻的設計、開發和測試。
                     
                    文件鏈接http://www.gb688.cn/bzgk/gb/newGbInfo?hcno=643139368451D65D4A69009EBA234964
                     
                    13、《GB/T 37934-2019 工業控制網絡安全隔離與信息交換系統安全技術要求》
                     
                    適用范圍:該標準規定了工業控制網絡安全隔離與信息交換系統的安全功能要求、自身安全要求和安全保障要求,適用于工業控制網絡安全隔離與信息交換系統的設計、開發及測試。
                     
                    文件鏈接:http://www.gb688.cn/bzgk/gb/newGbInfo?hcno=68C9F1066FCF97C30BDF94E2F6E4E321
                     
                    14、《GB/T 37941-2019 工業控制系統網絡審計產品安全技術要求》
                     
                    適用范圍:該標準規定了工業控制系統網絡審計產品的安全技術要求,包括安全功能要求、自身安全要求和安全保障要求,適用于工業控制系統網絡審計產品的設計、生產和測試。
                     
                    文件鏈接:http://www.gb688.cn/bzgk/gb/newGbInfo?hcno=B3C4B25316B18B3B35E8A950E83BBD0F
                     
                    15、《GB/T 37953-2019 工業控制網絡監測安全技術要求及測試評價方法》
                     
                    適用范圍:該標準規定了工業控制網絡監測產品的安全技術要求和測試評價方法,適用于工業控制網絡監測產品的設計生產方對其設計、開發及測評等提供指導,同時也可為工業控制系統設計、建設和運維方開展工業控制系統安全防護工作提供指導。
                     
                    文件鏈接:http://www.gb688.cn/bzgk/gb/newGbInfo?hcno=C1976106F20C20871B1F512CF43D43B7
                     
                    16、《GB/T 37954-2019 工業控制系統漏洞檢測產品技術要求及測試評價方法》
                     
                    適用范圍:該標準規定了針對工業控制系統的漏洞檢測產品的技術要求,包括安全功能要求、自身安全要求和安全保障要求,以及相應的測試評價方法,適用于工業控制系統漏洞檢測產品的設計、開發和測評
                     
                    文件鏈接:http://www.gb688.cn/bzgk/gb/newGbInfo?hcno=78925BBE2C61218BDD37D63A3541739C
                     
                    17、《GB/T 37962-2019 工業控制系統產品信息安全通用評估準則》
                     
                    適用范圍:該標準定義了工業控制系統產品信息安全評估的通用安全功能組件和安全保障組件集合,規定了工業控制系統產品的安全要求和評估準則,適用于工業控制系統產品安全保障能力的評估,產品安全功能的設計、開發和測試也可參照使用。
                     
                    文件鏈接:http://www.gb688.cn/bzgk/gb/newGbInfo?hcno=958BFF9728BC1E1736F16DEFD0886879
                     
                    18、《GB/T 37980-2019 工業控制系統安全檢查指南》
                     
                    適用范圍:該標準輸出了工業控制系統信息安全檢査的范圍、方式、流程、方法和內容,適用于開展工業控制系統的信息安全監督檢査、委托檢査工作,同時也適用于各企業在本集團(系統)范圍內開展相關系統的信息安全自檢査。
                     
                    文件鏈接:http://www.gb688.cn/bzgk/gb/newGbInfo?hcno=CF92A7E14A8EF34B5A8734F7BD63C6C3
                     
                    19、《GB/T 37935-2019 可信計算規范 可信軟件基》
                     
                    適用范圍:該標準規定了可信軟件基的功能結構、工作流程、保障要求和交互接口規范,適用于可信軟件基的設計、生產和測評。
                     
                    文件鏈接:http://www.gb688.cn/bzgk/gb/newGbInfo?hcno=9A508E08DAC94D384AF7CFA6204485E3
                     
                    20、《GB/T 37939-2019 網絡存儲安全技術要求》
                     
                    適用范圍:該標準規定了網絡存儲的安全技術要求,包括安全功能要求、安全保障要求,適用于網絡存儲的設計和實現,網絡存儲的安全測試和管理可參照使用。
                     
                    文件鏈接:http://www.gb688.cn/bzgk/gb/newGbInfo?hcno=7F848CE7A5F44FD7D4FC1EE0D270228C
                     
                    21、《GB/T 37950-2019 桌面云安全技術要求》
                     
                    適用范圍:該標準規定了基于虛擬化技術的桌面云在應用過程中的安全技術要求,適用于桌面云的安全設計、開發,可用于指導桌面云安全測試。
                     
                    文件鏈接:http://www.gb688.cn/bzgk/gb/newGbInfo?hcno=D6E34954248A8B365BA9095F91F38670
                     
                    22、《GB/T 37952-2019 移動終端安全管理平臺技術要求》
                     
                    適用范圍:該標準規定了移動終端安全管理平臺的技術要求,包括安全功能要求和安全保障要求,適用于移動終端安全管理平臺產品的設計、開發與檢測,為組織或機構實施移動互聯應用的安全防護提供參考。
                     
                    文件鏈接:http://www.gb688.cn/bzgk/gb/newGbInfo?hcno=5647D2B0E5A2E26A55F6A1A75EFDEB2A
                     
                    23、《GB/T 37955-2019 數控網絡安全技術要求》
                     
                    適用范圍:該標準提出了數字化工廠或數字化車間的數控網絡安全防護原則,規定了數控網絡的安全技術要求,包括設備安全技術要求、網絡安全技術要求、應用安全技術要求和數據安全技術要求,適用于數控網絡安全防護的規劃、設計和檢查評估。
                     
                    文件鏈接:http://www.gb688.cn/bzgk/gb/newGbInfo?hcno=EF8E674572A639AE032D4CDE8A08FED0
                     
                    24、《GB/T 37956-2019 網站安全云防護平臺技術要求》
                     
                    適用范圍:該標準規定了網站安全云防護平臺的技術要求,包括平臺功能要求和平臺安全要求,適用于網站安全云防護平臺的開發、運營及使用,為政府部門、企事業單位、社會團體等組織或個人選購網站安全云防護平臺提供參考。
                     
                    文件鏈接:http://www.gb688.cn/bzgk/gb/newGbInfo?hcno=54C6A32636A3E197111ED65170517CFB
                     
                    25、《GB/T 37972-2019 云計算服務運行監管框架》
                     
                    適用范圍:該標準確定了云計算服務運行監管框架,規定了安全控制措施監管、變更管理監管和應急響應監管 的內容及監管活動,給出運行監管實現方式的建議,適用于對政府部門使用的云計算服務進行運行監管,也可供重點行業和其他企事業單位使 用云計算服務時參考。
                     
                    文件鏈接:http://www.gb688.cn/bzgk/gb/newGbInfo?hcno=0D9A0F03C7C532612CDD8800367F6E63
                     
                    26、《GB/T 37964-2019 個人信息去標識化指南》
                     
                    適用范圍:該標準描述了個人信息去標識化的目標和原則,提出了去標識化過程和管理措施。針對微數據提供具體的個人信息去標識化指導,適用于組織開展個人信息去標識化工作,也適用于網絡安全相關主管部門、第三方評估機構等組織開展個人信息安全監督管理、評估等工作。
                     
                    文件鏈接:http://www.gb688.cn/bzgk/gb/newGbInfo?hcno=C8DF1BC2FB43C6EC0E602EB65EF0BC66
                     
                    27、《GB/T 37971-2019 智慧城市安全體系框架》
                     
                    適用范圍:本標準以信息通信技術(ICT)為視角,在參考信息保障技術框架(IATF)、信息安全管理體系(ISMS)、防護/檢測/響應/恢復適(PDRR)和預警/保護/檢測/響應/恢復/反擊(WPDRRC)的安全模型、網際空間安全指南、關鍵基礎設施網絡安全框架、新型智慧城市評價指標體系、智慧城市技術參考框架以及我國信息安全領域標準的基礎上,針對智慧城市保護對象和安全目標,從安全角色和安全要素的視角提出了體現智慧城市特點、具有可操作性的安全體系框架。
                     
                    文件鏈接:http://www.gb688.cn/bzgk/gb/newGbInfo?hcno=F665694F939CE7DF87D50741E39E6BDA
                     
                    28、《GB/T15852.3-2019信息技術 安全技術 消息鑒別碼 第三部分 采用泛雜湊函數的機制》
                     
                    注:推薦性標準采用了ISO、IEC等國際國外組織的標準,由于涉及版權保護問題,本系統暫不提供在線閱讀服務。如需正式標準出版物,請聯系中國標準出版社。
                     
                    文件鏈接:http://www.gb688.cn/bzgk/gb/newGbInfo?hcno=FFA0FFF9CF75B3F88FFA437D75334745

                    3月 16,2020 by admin

                    關于Apache Tomcat存在文件包含漏洞的安全公告

                    國家信息安全漏洞共享平臺(CNVD)近日發布了一份關于 Apache Tomcat 存在文件包含漏洞的安全公告,安全公告編號:CNTA-2020-0004,具體信息如下:
                     

                     
                    2020 年 1 月 6 日,國家信息安全漏洞共享平臺(CNVD)收錄了由北京長亭科技有限公司發現并報送的 Apache Tomcat 文件包含漏洞(CNVD-2020-10487,對應 CVE-2020-1938)。攻擊者利用該漏洞,可在未授權的情況下遠程讀取特定目錄下的任意文件。目前,漏洞細節尚未公開,廠商已發布新版本完成漏洞修復。
                     
                    一、漏洞情況分析
                     
                    Tomcat 是 Apache 軟件基金會 Jakarta 項目中的一個核心項目,作為目前比較流行的 Web 應用服務器,深受 Java 愛好者的喜愛,并得到了部分軟件開發商的認可。Tomcat 服務器是一個免費的開放源代碼的 Web 應用服務器,被普遍使用在輕量級 Web 應用服務的構架中。
                     
                    2020 年 1 月 6 日,國家信息安全漏洞共享平臺(CNVD)收錄了由北京長亭科技有限公司發現并報送的 Apache Tomcat 文件包含漏洞。Tomcat AJP 協議由于存在實現缺陷導致相關參數可控,攻擊者利用該漏洞可通過構造特定參數,讀取服務器 webapp 下的任意文件。若服務器端同時存在文件上傳功能,攻擊者可進一步實現遠程代碼的執行。
                     
                    CNVD 對該漏洞的綜合評級為“高?!?。
                     
                    二、漏洞影響范圍
                     
                    漏洞影響的產品版本包括:
                     
                    Tomcat 6
                     
                    Tomcat 7
                     
                    Tomcat 8
                     
                    Tomcat 9
                     
                    CNVD 平臺對 Apache Tomcat AJP 協議在我國境內的分布情況進行統計,結果顯示我國境內的 IP 數量約為 55.5 萬,通過技術檢測發現我國境內共有 43197 臺服務器受此漏洞影響,影響比例約為 7.8%。
                     
                    三、漏洞處置建議
                     
                    目前,Apache 官方已發布 9.0.31、8.5.51 及 7.0.100 版本對此漏洞進行修復,CNVD 建議用戶盡快升級新版本或采取臨時緩解措施:
                     
                    1. 如未使用 Tomcat AJP 協議:
                     
                    如未使用 Tomcat AJP 協議,可以直接將 Tomcat 升級到 9.0.31、8.5.51 或 7.0.100 版本進行漏洞修復。
                     
                    如無法立即進行版本更新、或者是更老版本的用戶,建議直接關閉 AJPConnector,或將其監聽地址改為僅監聽本機 localhost。
                     
                    具體操作:
                     
                    (1)編輯 /conf/server.xml,找到如下行( 為 Tomcat 的工作目錄):

                     

                    (2)將此行注釋掉(也可刪掉該行):
                     

                     
                    (3)保存后需重新啟動,規則方可生效。

                    2. 如果使用了 Tomcat AJP 協議:

                    建議將 Tomcat 立即升級到 9.0.31、8.5.51 或 7.0.100 版本進行修復,同時為 AJP Connector 配置 secret 來設置 AJP 協議的認證憑證。例如(注意必須將 YOUR_TOMCAT_AJP_SECRET 更改為一個安全性高、無法被輕易猜解的值):

                     

                    如無法立即進行版本更新、或者是更老版本的用戶,建議為 AJPConnector 配置 requiredSecret 來設置 AJP 協議認證憑證。例如(注意必須將 YOUR_TOMCAT_AJP_SECRET 更改為一個安全性高、無法被輕易猜解的值):

                     

                    3月 15,2020 by admin

                    黑客利用WordPress插件中的零日漏洞創建惡意管理員帳戶

                    黑客們正在利用ThemeREX Addons中的零日漏洞(安裝在數千個站點上的WordPress插件)來創建具有管理員權限的用戶帳戶,并有可能完全接管易受攻擊的網站。

                     

                     

                    他們的目標是ThemeREX插件,這是一個預裝了所有ThemeREX商業主題的WordPress插件。該插件的作用是幫助ThemeREX產品的購買者設置他們的新站點并控制各種主題功能。Wordfence估計該插件已安裝在超過44,000個站點上。
                     

                    據WordPress安全公司稱,該插件通過設置WordPress REST-API端點來工作,但并不會檢查發送到此REST API的命令是否來自授權用戶(即網站所有者)。
                     
                    遠程執行代碼和創建管理員帳戶
                     
                    威脅分析師表示:“這意味著任何訪客都可以執行遠程代碼,即使是未經身份認證的訪問者也可以執行?!?br />  

                    她補充說:“我們看到的最令人擔憂的主動攻擊的能力是創建一個新的管理用戶的能力,該用戶可用于完整的站點接管?!?/p>

                     

                    Chamberland說:“如果您運行的版本高于1.6.50,我們強烈建議用戶暫時刪除ThemeREX Addons插件,直到發布補丁為止?!?/p>

                     

                    但是,對運行ThemeREX Addons插件的網站的攻擊并不是目前發現的唯一攻擊。
                     

                    針對WordPress網站的第二波攻擊,目標是運行ThemeGrill Demo Importer的網站,這是一個插件,附帶主題由另一個WordPress主題制造者ThemeGrill出售。。

                     

                    但是,這些攻擊是破壞性的,而不是網絡犯罪或僵尸網絡操作的一部分。根據WebARX和在Twitter上發布的報告,黑客使用ThemeGrill插件中的bug清除數據庫,并將WordPress站點重置為默認狀態。
                     
                    WordPress插件中的更多關鍵漏洞
                     
                    超過200,000個WordPress站點運行此ThemeGrill插件。此外,在極少數情況下,攻擊者還可以通過劫持其管理員帳戶來接管易受攻擊的站點。
                     

                    這些就是所謂的“ 一日”攻擊,該術語用于描述在為漏洞提供補丁后立即發生的攻擊。ThemeGrill用戶可以通過更新易受攻擊的插件來減輕攻擊。
                     

                    另一方面,對ThemeREX的攻擊是所謂的“零日”攻擊,因為它們利用了一個沒有補丁的bug。正如上面建議的Wordfence一樣,強烈建議禁用這個插件,直到有補丁可用為止。

                    3月 14,2020 by admin

                    工信部部署做好疫情防控期間信息通信行業網絡安全保障工作

                    為切實做好疫情防控和經濟社會運行的網絡安全支撐保障工作,確保疫情防控期間網絡基礎設施安全,防止發生重大網絡安全事件,工業和信息化部發文要求各相關單位重點做好保障重點地區重點用戶網絡系統安全、加強信息安全和網絡數據保護、進一步強化責任落實和工作協同等三方面工作。
                     
                    工業和信息化部辦公廳發布關于做好疫情防控期間信息通信行業網絡安全保障工作的通知(工信廳網安函〔2020〕22號),具體內容如下:
                     
                    各省、自治區、直轄市通信管理局,中國電信集團有限公司、中國移動通信集團有限公司、中國聯合網絡通信集團有限公司、中國鐵塔股份有限公司、中國廣播電視網絡有限公司,中國信息通信研究院、中國軟件評測心、國家工業信息安全發展研究中心、中國工業互聯網研究院,國家計算機網絡與信息安全管理中心、中國互聯網絡信息中心,相關域名注冊管理和服務機構、互聯網企業、移動通信轉售企業、網絡安全企業:
                     
                    為深入貫徹落實習近平總書記關于新型冠狀病毒肺炎疫情防控工作的重要指示精神,切實做好疫情防控和經濟社會運行的網絡安全支撐保障工作,確保疫情防控期間網絡基礎設施安全,防止發生重大網絡安全事件,現就有關事項通知如下:
                     
                    一、全力保障重點地區重點用戶網絡系統安全
                     
                    (一)加強重點用戶網絡安全技術支撐。充分發揮信息通信行業網絡、技術和隊伍優勢,組織力量為黨政機關、醫療機構、公共應急、教育教學等疫情聯防聯控單位以及重點工業互聯網企業等用戶提供網絡安全技術支撐,主動溝通對接,及時為重點用戶相關網站和信息系統提供網絡鏈路保障、防拒絕服務攻擊和防域名劫持等應急處置支撐。
                     
                    (二)加強重點地區網絡基礎設施安全防護。加強涉疫情重點保障地區網絡基礎設施、重要域名系統等安全防護,利用遠程檢測等技術手段,強化對重點區域的網絡安全風險評估和隱患排查,為疫情防控指揮調度、醫療救助、遠程辦公和人民群眾生產生活提供安全可靠的基礎網絡服務。
                     
                    (三)加強涉疫情網絡安全威脅監測處置。按照公共互聯網網絡安全威脅與處置工作機制,對偽裝成疫情信息傳播網絡病毒或相關釣魚網站、惡意郵件、惡意程序,以及醫療機構、疫情防控物資生產企業所屬網絡系統存在受控、漏洞等情況加大監測力度,利用網絡安全威脅信息共享平臺及時通報有關情況,發布風險提示,協助相關單位采取有效處置措施,從源頭上降低網絡安全風險,維護疫情防控期間的網絡秩序和公共利益。
                     
                    (四)加強疫情期間電話用戶入網服務保障。鼓勵基礎電信企業、移動通信轉售企業通過網絡渠道為用戶辦理電話入網實名登記手續,引導廣大用戶利用電信企業門戶網站、手機APP、掌上營業廳等線上方式辦理電話入網手續及手機卡?;A電信企業、移動通信轉售企業應加大對網絡渠道銷售手機卡業務及辦理流程的宣傳,做好相關業務系統和平臺的保障,切實為廣大用戶提供便利。
                     
                    二、加強信息安全和網絡數據保護
                     
                    (五)加強涉疫情電信網絡詐騙防范。充分發揮電信網、互聯網詐騙技術防范系統等技術平臺作用,切實強化對涉疫情詐騙電話、短信的精準分析和依法快速處置;針對涉防疫醫療物資購買、航班行程退改簽等詐騙新手法新套路,及時研判預警,對相關涉詐網站、域名、APP、賬戶依法快速處置。進一步加強與公安機關工作配合和信息溝通,及時通報涉疫情電信網絡詐騙信息線索。充分利用微信、微博、短彩信、APP等平臺開展涉疫情電信網絡詐騙的宣傳引導和風險提示。
                     
                    (六)加強網上涉疫情相關信息監測處置。嚴格落實維護網上信息安全主體責任,依托全國互聯網信息安全管理系統等技術手段,配合相關部門及時做好網上涉疫情相關風險隱患信息動態監測、違法不實信息應急處置等支撐保障工作,及時發現、積極化解、穩妥處置因疫情引發的網上不安定不穩定因素。
                     
                    (七)加強個人信息和數據安全保護。落實《中央網絡安全和信息化委員會辦公室關于做好個人信息保護利用大數據支撐聯防聯控工作的通知》等要求,在積極利用行業數據、平臺等支撐聯防聯控工作中,切實處理好數據使用與數據保護的關系,進一步強化個人信息收集、使用等各環節的規范管理,將個人信息和數據安全保護各項要求落到實處。
                     
                    三、進一步強化責任落實和工作協同
                     
                    (八)加強網絡安全責任落實。各地通信管理局要加強統一領導和統籌協調,做到守土有責、守土擔責、守土盡責,指導督促地方信息通信行業做好疫情防控網絡安全保障工作。各基礎電信企業、域名機構、互聯網企業、網絡安全專業機構、網絡安全企業要切實承擔起網絡安全主體責任,充分發揮網絡安全技術支撐保障作用,為打贏疫情防控阻擊戰作出積極貢獻。
                     
                    (九)加強網絡安全信息報送。湖北省通信管理局、基礎電信企業集團公司在疫情防控期間每日向部(網絡安全管理局)報送疫情防控重點用戶網絡安全保障情況、涉疫情網絡安全監測預警信息、針對疫情防控開展的網絡安全防護工作情況和其他重大事項。各單位發生或發現重大網絡安全事件要第一時間報部(網絡安全管理局)。
                     
                    特此通知。
                     
                    工業和信息化部辦公廳

                    2020年2月14日

                    2月 19,2020 by admin

                    極客 | 從損壞的手機中獲取數據

                    有時候,犯罪分子會故意損壞手機來破壞數據。比如粉碎、射擊手機或是直接扔進水里,但取證專家仍然可以找到手機里的證據。
                     

                    如何獲取損壞了的手機中的數據呢?
                     

                    圖1:在炮火中損壞的手機

                     

                    訪問手機的存儲芯片
                     

                    損壞的手機可能無法開機,并且數據端口無法正常工作,因此,可以使用硬件和軟件工具直接訪問手機的存儲芯片。一些原本被駭客使用的工具,也可以合法地用作調查的一部分。
                     

                    那么產生的結果是準確的嗎?研究人員將數據加載到了10種流行的手機型號上。然后,他們自己或外部專家進行了數據提取,以此測試,提取的數據是否與原始數據完全匹配,并且沒有任何變化。
                     

                    方法
                     

                    為了使研究準確,研究人員不能將大量數據直接打包到手機上。他們選擇以人們通常的習慣添加數據,比如拍照、發送消息、使用Facebook、LinkedIn和其他社交媒體應用程序。他們還輸入了具有多個中間名和格式奇奇怪怪的地址與聯系人,以此查看在檢索數據時是否會遺漏或丟失部分數據。此外,他們還開著手機GPS,開著車在城里轉來轉去,獲取GPS數據。
                     

                    研究人員將數據加載到手機上之后,使用了兩種方法來提取數據。
                     

                    第一種方法:JTAG
                     

                    許多電路板都有小的金屬抽頭,可以訪問芯片上的數據。研究人員充分地利用了這一點。
                     

                    對于制造商來說,他們使用這些金屬抽頭來測試電路板,但是在這些金屬抽頭上焊接電線,調查人員就可以從芯片中提取數據。
                     

                    這種方法被稱為JTAG,主要用于聯合任務行動組,也就是編碼這種測試特性的協會。
                     

                    第二種方法:chip-off(芯片提?。?/strong>
                     

                    芯片提取就是將芯片通過微小的金屬引腳直接連接到電路板上的操作形式。要知道,在過去,專家們通常是將芯片輕輕地從板上拔下來并將它們放入芯片讀取器中來實現數據獲取的,但是金屬引腳很細。一旦損壞它們,則獲取數據就會變得非常困難甚至失敗。

                     


                    圖2:數字取證專家通??梢允褂肑TAG方法從損壞的手機中提取數據

                     

                    數據提取

                     

                    幾年前,專家發現,與其將芯片直接從電路板上拉下來,不如像從導線上剝去絕緣層一樣,將它們放在車床上,磨掉板的另一面,直到引腳暴露出來。
                     

                    這個方法看似很簡單了,直到有人想出一種更簡單的方法,也就是chip-off(芯片提?。?,這是the Fort Worth警察局數字取證實驗室和Colorado一家名為VTO實驗室的私人取證公司一起發現的,后者將提取的數據送到NIST(美國國家標準技術研究院)后,由研究院的計算機科學家對此進行了JTAG提取。
                     

                    數據提取完成后,Ayers和Reyes-Rodriguez使用了八種不同的取證軟件工具來提取原始數據、生成聯系人、位置、文本、照片和社交媒體數據等。然后,他們將這些數據與最初加載到每部手機上的數據進行了比較。
                     

                    比較結果表明,JTAG和Chip-off均提取了數據而沒有對其進行更改,但是某些軟件工具比其他工具更擅長理解數據,尤其是那些來自社交媒體應用程序中的數據。
                     
                    文章來自freebuf

                    2月 17,2020 by admin

                    Sudo 出現可讓非特權用戶獲得 root 權限的漏洞

                    Sudo 維護團隊指出,從 Sudo 1.7.1 到 1.8.25p1 都包含一項可讓非特權用戶獲得 root 權限的漏洞(編號 CVE-2019-18634),他們已在最新發布的 1.8.31 版本中完成修復,同時提供了暫時緩解的方法。Sudo 1.7.1 于2009年4月19日發布,因此該漏洞已存在大約 10 年。
                     
                    另外,1.8.26 到 1.8.30 版本也發現存在 CVE-2019-18634 漏洞,但 1.8.26 版本發布時曾變更 EOF(end of file)處理的設定,致使該漏洞無法被利用。
                     

                     
                    Sudo 是 UNIX 和 Linux 操作系統廣泛使用的工具,它讓系統管理員給普通用戶分配合理的權限,以執行一些只有管理員或其他特定帳號才能完成的任務。此次被發現的高危漏洞在啟用了 pwfeedback 選項的系統中很容易被利用,根據漏洞的描述,pwfeedback 功能讓系統能夠以 ‘*’ 表示目前輸入的字符長度,原意是一項提升安全性的功能,但安全研究員 Joe Vennix 發現系統啟用 pwfeedback 功能后,用戶可能會觸發基于堆棧的緩沖區溢出 bug,從而獲得 root 權限。
                     
                    雖然在 sudo 的上游版本中默認情況下未啟用 pwfeedback,但某些下游發行版,例如 Linux Mint 和 elementary OS 在其默認 sudoers 文件中啟用了它(Ubuntu 不受影響)。
                     
                    特權的用戶可以通過運行以下命令來檢查是否啟用了 pwfeedback:
                     
                    sudo-l
                     
                    如果在”Matching Defaults entries”輸出中列出了 pwfeedback,則 sudoers 配置將受到影響。如下所示的 sudoers 配置就很容易受到攻擊:
                     
                    $sudo -lMatchingDefaults entries for millert on linux-build:insults,pwfeedback, mail_badpass, mailerpath=/usr/sbin/sendmailUsermillert may run the following commands on linux-build:(ALL : ALL) ALL
                     
                    最后,建議受影響的系統盡快將 sudo 升級至最新版本 1.8.31。如果沒條件升級到新版本,在啟用了 pwfeedback 的 sudoer 配置文件里,將“Defaults pwfeedback”改成“Defaults !pwfeedback”,也能有效阻止攻擊。

                    2月 12,2020 by admin
                    国产小视频精品_国产小视频网站_国产小视频在线播放