普普安全资讯一周概览(0219-0225)

作者:

时间:
2022-02-25
01

数以千计的恶意npm包威胁着Web应用程序的安全

过去的6个月中,在开发者最常下载的JavaScript包库npm中发现了1300多个恶意包。这种恶意组件数量的快速增长也反映出了npm正在成为恶意软件的传播平台。

开源安全和管理MG不朽情缘WhiteSource最新研究发现,恶意npm包数量的不断增加使人感到很不安,这些包主要是被用作网络应用的组件。任何使用该恶意代码块的应用程序都可能使其用户遭到数据盗窃、加密劫持以及僵尸网络等攻击。

该MG不朽情缘表示,在发现的恶意软件包中,有14%是为了窃取证书等敏感信息,而近82%的软件包则是在侦查用户的信息,攻击者采用主动或被动的方式来收集目标的相关信息。

过去的6个月中,在开发者最常下载的JavaScript包库npm中发现了1300多个恶意包。这种恶意组件数量的快速增长也反映出了npm正在成为恶意软件的传播平台。


普普点评

这种水平的攻击活动可以使威胁者发起一系列的软件供应链攻击。因此,WhiteSource调查了npm中的恶意攻击活动,在2021年发现了1300多个恶意包,这些恶意包之后被删除,但是在被删除之前,可能就已经被引入了大量的应用程序内。攻击者正在集中精力利用npm恶意包来达到自己的攻击目的,由于每月都有众多npm软件包被发布,一些恶意软件包也很容易成为漏网之鱼。







































普普安全资讯一周概览(0219-0225)

02

用全面发展辩证的眼光看待《网络安全审查办法》

全面地看《网络安全审查办法》的“变”与“不变”。用全面发展辩证的眼光看待《网络安全审查办法》;二是坚持以落实国家安全、网络安全基础法律为主要目标未变。

发展地看网络安全审查制度的演进与完善。一是组织结构更加完善,新增证监会作为网络安全审查工作机制成员单位,加强赴国外上市网络平台运营者的审查;二是审查时限更切实际,将特别审查程序从45天延长到90天,体现了对于审查结论更加审慎的态度;三是权力监督更加明确,既强调审查客体对于主体的责任与义务的监督,也鼓励社会监督当事人履行网络安全审查中作出的承诺。

辩证地看《网络安全审查办法》当前重点与长远意义。一是统筹安全与发展,网络安全审查将通过依法依规开展审查获得安全发展新优势。二是平衡开放与治理,网络安全审查不会限制开放,不存在区别对待。三是兼顾当前与长远,网络安全审查不仅要立足应对当前威胁,更要放眼长远,推进我国网络空间治理体系和治理能力现代化。


普普点评

近日,国家网信办等十三部门联合修订发布的《网络安全审查办法》(以下简称《办法》)开始施行,针对2017年开始试行、2020年正式实施的网络安全审查制度进行完善升级,提出了网络安全审查的新内容,体现了依法治网的新进展,开启网络安全审查的新篇章,修订恰逢其时意义重大,需要正确认识和把握。由于涉及面广、牵涉主体多,《网络安全审查办法》出台、修订的全过程都备受关注,需要我们辩证客观看待《网络安全审查办法》的当前重点与长远意义。






































普普安全资讯一周概览(0219-0225)

03

2022年关于网络安全和身份验证的发展趋势

平衡风险和用户体验

事实上,银行的数字化转型是建立在数字信任的基础上,其中包括入职、身份验证和支持对话。然而,银行业在提供数字化客户体验这些方面仍然落后,并降低了客户满意度。

采用适应性强的方法

移动设备身份验证和全渠道参与已经发展。新的身份验证技术现在变得可用,通常是通过通信平台启用的API。于是出现了两种选择,数据验证和Flash呼叫验证。数据验证的工作原理是,移动网络运营商在用户使用移动数据时分配给其电话号码的IP地址之间的相互作用。Flash呼叫验证是在最终用户设备上发起和终止语音通话。主叫方号码是从与服务相关联的专用号码池中随机选择的。智能手机会自动接听电话,并使用主叫方号码作为身份验证,而不是通常通过短信发送的一次性密码进行验证。


普普点评

随着银行和与之集成的支付平台越来越多地在网上转移,用户体验正成为头等大事。大多数精通安全的企业都明白,启用双因素身份验证是保护在线帐户的最佳方式之一。在不久的将来,就像许多其他即服务平台一样,人们可能会看到提供单一统一的API,这些API可以提供身份验证,能够根据消费者对流畅的用户体验、可访问性和服务特征的期望来确定最合适的方法——帐户注册、交易批准或登录,以及任何给定企业的业务目标。






































普普安全资讯一周概览(0219-0225)

04

低代码和无代码开发的四个安全问题

无代码工具和平台使用拖放界面来允许业务分析师等非编程人员创建或修改应用程序。

与可见性问题相吻合的是不安全代码的可能性。低代码和无代码平台仍然有代码。他们只是抽象了编码,并允许最终用户使用预先提供的代码功能。这很好,因为它使非开发人员无需自己编写代码。当使用的代码是不安全的,并且通过低代码和无代码平台在企业和应用程序之间进行推断时,就会出现问题。

解决这个问题的一种方法是与平台供应商合作,要求平台内使用的代码的安全扫描结果。静态和动态应用程序安全测试(SAST/DAST)等扫描结果可以为消费者提供一定程度的保证,即他们不仅仅是复制不安全的代码。在企业控制之外创建代码的想法并不是一个新概念,并且在开源软件的使用中很普遍,98%以上的企业使用开源软件,并且与其他存储库相关的软件供应链威胁也很常见,例如用于基础设施的代码(IaC)模板。


普普点评

如今,公民开发者的积极性越来越高,同时企业也希望由非开发者开发和创建应用程序。这通常使用低代码或无代码框架来促进。这些框架和工具允许非开发人员使用GUI来获取和移动组件,以制作业务逻辑友好的应用程序。授权更广泛的IT和业务社区创建应用程序以推动业务价值具有明显的吸引力。也就是说,使用低代码和无代码平台并非没有安全问题。就像任何其他软件产品一样,开发平台及其相关代码的严谨性是一个不容忽视的问题。






































普普安全资讯一周概览(0219-0225)

05

警惕!Linux恶意软件攻击日益猖獗

据介绍,针对Linux系统的初始攻击通常不是通过利用漏洞,而是通过盗窃登录信息来实现。虽然远程代码执行是闯入这类系统的第二大方式(比如利用盛行的Log4j漏洞),但被盗用的身份信息常常让攻击者有更多的时间在受害企业的网络系统内部进行探测。对攻击者而言其优点是,受害者需要更长的时间才能明白攻击已发生。

需要特别重视的是,攻击者还开始使用更先进的工具来管理针对Linux基础设施发动的攻击。VMware的报告指出,Cobalt Strike是红队和渗透测试人员经常使用的面向Windows的攻击管理系统,但攻击者现在开始用它来攻击Linux。VMware目前监测了14000台使用Cobalt Strike的服务器。调查小组发现,Cobalt Strike程序中六分之一版本的客户ID为0,这表明是试用版,但这些很可能已被破解。另外四个自定义ID占剩余Cobalt Strike服务器的近40%,这表明这些服务器上的保护机制也遭到了破坏。


普普点评

由于Linux经常用作云服务、虚拟机主机和基于容器的基础设施等,攻击者开始使用日益复杂的漏洞利用工具和恶意软件攻击Linux环境。VMware报告数据显示:以勒索软件、加密货币劫持和渗透测试工具破解版为代表的恶意软件,开始越来越多地攻击多云基础设施中的Linux系统及应用。虽然攻击者目前还不会大规模将攻击重点目标从Windows转移到Linux,但活动频繁程度明显提升,企业组织需要提前防范这种威胁。






































普普安全资讯一周概览(0219-0225)

06

微信真的不会保存聊天记录吗?《网络安全法》给出了答案

微信作为中国体量最大的聊天工具,它的安全性关乎十多亿人的隐私安全。那么到底微信会不会保存聊天记录呢?根据微信官方的答复,微信不会保存聊天记录,聊天内容只存储在用户手机、电脑等终端设备上。这种“自证清白”的做法,并没有得到网友们的广泛认可。在《网络安全法》颁布之后,这个问题似乎有了答案。

《网络安全法》第四十一条规定网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。第五十条规定国家网信部门和有关部门依法履行网络信息安全监督管理职责,发现法律、行政法规禁止发布或者传输的信息的,应当要求网络运营者停止传输,采取消除等处置措施,保存有关记录;对来源于中华人民共和国境外的上述信息,应当通知有关机构采取技术措施和其他必要措施阻断传播。


普普点评

以上可以得出用户聊天记录与微信所提供的服务无关,微信无权保存用户的聊天信息。只要保存用户聊天信息,就属于违法行为。对于法律、行政法规禁止发布或者传输的信息,微信应当保存有关记录,否则根据《网络安全法》第六十八条的规定,有关主管部门将责令改正,没收违法所得,处以罚款,甚至责令暂停相关业务、停业整顿、关闭网站、吊销许可证或执照等处罚。从这两点上看,微信的确不会保存普通用户的聊天记录到服务器中。






































普普安全资讯一周概览(0219-0225)

07

聊聊了解数字签名,你知道了吗?

数字签名(一种电子签名)是一种数学算法,通常用于验证消息的真实性和完整性。数字签名创建个人或实体独有的虚拟指纹,用于识别用户并保护数字消息或文档中的信息。数字签名明显比其他形式的电子签名更安全,能够提高了在线交互的透明度,并在客户、业务合作伙伴和供应商之间建立了信任。

数字签名的工作原理是证明数字消息或文档从签名时起没有被有意或无意地修改过。数字签名通过生成消息或文档的唯一散列并使用发件人的私钥对其进行加密来实现此目的。生成的散列对于消息或文档是唯一的,更改其中的任何部分都将彻底更改散列。

接收者生成他们自己的消息或数字文档的哈希值,并使用发送者的公钥解密发送者的哈希值。接收者将他们生成的哈希值与发送者的解密哈希值进行比较;如果匹配,则消息或数字文档未被修改并且发件人已通过身份验证。


普普点评

将数字签名与 PKI 或 PGP 结合使用可以加强它们,并通过验证密钥属于发送者并验证发送者的身份来减少与传输公钥相关的可能安全问题。数字签名的安全性几乎完全取决于私钥的保护程度。通过使用受信任的第三方,数字签名可用于识别和验证个人并确保消息的完整性。随着无纸化、在线交互的使用越来越广泛,数字签名可以帮助我们保护数据的完整性。通过了解和使用数字签名,可以更好地保护信息、文档和交易。