【一周安全資訊0504】《政府采購(gòu)合作創(chuàng)新采購(gòu)方式管理暫行辦法》印發(fā);谷歌抗量子加密惹禍,大量防火墻TLS連接中斷 |
來(lái)源:聚銘網(wǎng)絡(luò) 發(fā)布時(shí)間:2024-05-04 瀏覽次數(shù): |
要聞速覽 1、《政府采購(gòu)合作創(chuàng)新采購(gòu)方式管理暫行辦法》印發(fā) 2、水利部召開(kāi)水利網(wǎng)絡(luò)安全工作座談會(huì) 3、中國(guó)網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟發(fā)布《美國(guó)對(duì)全球網(wǎng)絡(luò)空間安全與發(fā)展的威脅和破壞》報(bào)告 4、谷歌抗量子加密惹禍,大量防火墻TLS連接中斷 5、日本警方為遏制支付卡詐騙,制作了“病毒木馬清除卡”提醒用戶 6、美國(guó)郵政服務(wù)(USPS)被冒名,用于網(wǎng)絡(luò)釣魚(yú)攻擊
一周政策要聞 《政府采購(gòu)合作創(chuàng)新采購(gòu)方式管理暫行辦法》印發(fā) 為貫徹落實(shí)《深化政府采購(gòu)制度改革方案》,完善政府采購(gòu)支持科技創(chuàng)新制度,財(cái)政部于近日發(fā)布了《政府采購(gòu)合作創(chuàng)新采購(gòu)方式管理暫行辦法》(以下簡(jiǎn)稱《辦法》),本辦法將于2024年6月1日起正式施行。 這一辦法旨在通過(guò)合作創(chuàng)新采購(gòu)方式,鼓勵(lì)供應(yīng)商與采購(gòu)人共同研發(fā)創(chuàng)新產(chǎn)品,實(shí)現(xiàn)風(fēng)險(xiǎn)共擔(dān)、利益共享,進(jìn)而推動(dòng)全社會(huì)的科技進(jìn)步和經(jīng)濟(jì)發(fā)展。同時(shí),該辦法還將為供應(yīng)商提供更大的市場(chǎng)機(jī)會(huì)和更好的激勵(lì)機(jī)制,進(jìn)一步促進(jìn)全社會(huì)對(duì)應(yīng)用技術(shù)研發(fā)的投入和支持。
信息來(lái)源:中華人民共和國(guó)財(cái)政部 https://gks.mof.gov.cn/guizhangzhidu/202404/t20240426_3933550.htm
水利部召開(kāi)水利網(wǎng)絡(luò)安全工作座談會(huì) 近日,水利部召開(kāi)水利網(wǎng)絡(luò)安全工作座談會(huì)。會(huì)議指出數(shù)字孿生水利建設(shè)背景下,網(wǎng)絡(luò)安全形勢(shì)嚴(yán)峻,需持續(xù)增強(qiáng)責(zé)任感。會(huì)議強(qiáng)調(diào)要提升防范化解重大網(wǎng)絡(luò)安全風(fēng)險(xiǎn)能力。 一是聚焦薄弱環(huán)節(jié),強(qiáng)化水利工控、物聯(lián)網(wǎng)感知及數(shù)據(jù)安全保護(hù),確保網(wǎng)絡(luò)安全與工程建設(shè)同步,積極推進(jìn)新建水利工程竣工驗(yàn)收同步交付數(shù)字孿生工程,數(shù)字孿生工程同步交付網(wǎng)絡(luò)安全工程。二是加強(qiáng)指導(dǎo)監(jiān)督,提升各級(jí)單位尤其是基層的網(wǎng)絡(luò)安全能力,通過(guò)攻防演練等提升行業(yè)聯(lián)防聯(lián)控水平;三是全力保障安全,動(dòng)態(tài)監(jiān)測(cè)預(yù)警,及時(shí)處置事件,確保重要時(shí)期網(wǎng)絡(luò)安全。
信息來(lái)源:中華人民共和國(guó)水利部 http://www.mwr.gov.cn/xw/sjzs/202404/t20240426_1709838.html
業(yè)內(nèi)新聞速覽 中國(guó)網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟發(fā)布《美國(guó)對(duì)全球網(wǎng)絡(luò)空間安全與發(fā)展的威脅和破壞》報(bào)告 互聯(lián)網(wǎng)是人類共同家園。美國(guó)為維護(hù)世界霸權(quán),利用信息技術(shù)和資源優(yōu)勢(shì)肆意妄為,監(jiān)聽(tīng)竊密、制造輿論、操縱民意、破壞規(guī)則、脫鉤斷鏈,與全球數(shù)字化進(jìn)程背道而馳,已經(jīng)成為世界上最大的網(wǎng)絡(luò)攻擊發(fā)起者、網(wǎng)絡(luò)武器制造者、網(wǎng)絡(luò)秩序破壞者。為揭露美國(guó)在網(wǎng)絡(luò)空間的霸權(quán)霸道霸凌行為,中國(guó)網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟(CCIA)組織編制了《美國(guó)對(duì)全球網(wǎng)絡(luò)空間安全與發(fā)展的威脅和破壞》(中英文版)(以下簡(jiǎn)稱《報(bào)告》)。《報(bào)告》立足網(wǎng)絡(luò)安全專業(yè)視角,以實(shí)證分析的方式,密切跟蹤美國(guó)對(duì)全球網(wǎng)絡(luò)空間安全與發(fā)展的威脅和破壞的具體行為,結(jié)合近年來(lái)各國(guó)政府部門、全球網(wǎng)絡(luò)安全企業(yè)、研究機(jī)構(gòu)和新聞媒體發(fā)布的報(bào)告報(bào)道,綜合各方分析過(guò)程和研究成果,系統(tǒng)梳理分析美國(guó)對(duì)全球網(wǎng)絡(luò)空間安全與發(fā)展乃至世界和平與穩(wěn)定、人類社會(huì)文明與進(jìn)步造成的嚴(yán)重威脅和破壞。《報(bào)告》按照行為和時(shí)間脈絡(luò),共分為6篇,主要包括美國(guó)利用互聯(lián)網(wǎng)滲透顛覆他國(guó)政權(quán)、實(shí)施無(wú)差別網(wǎng)絡(luò)監(jiān)控和竊密、對(duì)他國(guó)施行網(wǎng)絡(luò)攻擊與威懾、挑起網(wǎng)絡(luò)空間軍備競(jìng)賽、濫用政治手段擾亂全球產(chǎn)業(yè)鏈供應(yīng)鏈、破壞網(wǎng)絡(luò)空間規(guī)則與秩序等。
消息來(lái)源:CCIA網(wǎng)安產(chǎn)業(yè)聯(lián)盟 https://mp.weixin.qq.com/s/elLxX1-bjV40DE1DHSFFGw
谷歌抗量子加密惹禍,大量防火墻TLS連接中斷 安全內(nèi)參4月29日消息,谷歌首個(gè)抗量子加密瀏覽器Chrome 124的發(fā)布意在保護(hù)用戶免受量子破解威脅,但由于新技術(shù)與部分服務(wù)器和網(wǎng)絡(luò)設(shè)備的兼容性問(wèn)題,導(dǎo)致TLS連接中斷,影響了用戶訪問(wèn)網(wǎng)站、服務(wù)器和多家安全廠商的防火墻。
問(wèn)題的根源在于部分網(wǎng)絡(luò)服務(wù)器未能正確實(shí)現(xiàn)傳輸層安全性(TLS),無(wú)法處理用于后量子加密的較大ClientHello消息。這使得服務(wù)器在握手過(guò)程中無(wú)法識(shí)別客戶端發(fā)送的額外數(shù)據(jù),從而導(dǎo)致連接斷開(kāi)。受影響的不僅僅是網(wǎng)站,還包括了一些安全設(shè)備、防火墻、網(wǎng)絡(luò)中間件等,如Fortinet、SonicWall、Palo Alto Networks、AWS等供應(yīng)商的產(chǎn)品。
為了解決這個(gè)問(wèn)題,谷歌提供了臨時(shí)的規(guī)避方法,用戶可以通過(guò)禁用混合式Kyber支持來(lái)暫時(shí)避免連接問(wèn)題。系統(tǒng)管理員則可以通過(guò)禁用特定策略或聯(lián)系設(shè)備供應(yīng)商獲取更新補(bǔ)丁來(lái)修復(fù)問(wèn)題。 從長(zhǎng)遠(yuǎn)來(lái)看,TLS協(xié)議需要采用抗量子安全密碼來(lái)確保網(wǎng)絡(luò)安全。谷歌未來(lái)也計(jì)劃移除Chrome中禁用混合式Kyber支持的選項(xiàng),以推動(dòng)抗量子加密技術(shù)的應(yīng)用。 消息來(lái)源:安全內(nèi)參 https://www.secrss.com/articles/65710
日本警方為遏制支付卡詐騙,制作了“病毒木馬清除卡”提醒用戶 IT之家 4 月 28 日消息,日本警方為了遏制日益猖獗的支付卡詐騙,尤其為了提高老年人識(shí)別技術(shù)支持詐騙或欠款詐騙的能力,制作了一批特殊的支付卡,并分發(fā)到日本的各大便利店中。
日本福井縣越前警察局目前創(chuàng)建了兩種卡片,被標(biāo)記為“病毒木馬清除支付卡”和“未付賬單滯納金支付卡”,其目的是警告按照欺詐者的指示尋求支付卡的老年受害者。 福井縣 2023 由于各種形式的網(wǎng)絡(luò)欺詐,遭受了約 750 萬(wàn)美元(IT之家備注:當(dāng)前約 5445 萬(wàn)元人民幣)的經(jīng)濟(jì)損失。2024 年 1 月,共收到 14 起有關(guān)投資詐騙的投訴,預(yù)計(jì)損失達(dá) 70 萬(wàn)美元(當(dāng)前約 508.2 萬(wàn)元人民幣)。 警方向當(dāng)?shù)?34 家便利店的電子貨幣區(qū)投放虛擬支付卡,商店員工已了解假卡的用途,當(dāng)顧客嘗試購(gòu)買假卡時(shí),他們會(huì)向購(gòu)買者解釋說(shuō),他們是詐騙的目標(biāo)。當(dāng)警察部門獎(jiǎng)勵(lì)協(xié)助該計(jì)劃的員工時(shí),執(zhí)法部門還可以識(shí)別受害者并進(jìn)一步調(diào)查詐騙行為。當(dāng)?shù)孛襟w Fukuishimbun 報(bào)道稱,自 2023 年 11 月下旬以來(lái),這種方式已經(jīng)幫助了至少兩名老年男子,他們被欺騙,認(rèn)為自己的計(jì)算機(jī)感染了惡意軟件,并被騙支付了清理系統(tǒng)的費(fèi)用。消息來(lái)源:IT之家 https://baijiahao.baidu.com/s?id=1797528921055966580&wfr=spider&for=pc
美國(guó)郵政服務(wù)(USPS)被冒名,用于網(wǎng)絡(luò)釣魚(yú)攻擊 FREEBUF 4月30日消息,安全平臺(tái) Akamai 近日對(duì)美國(guó)郵政(United States Postal Service,USPS)官網(wǎng)進(jìn)行調(diào)查,發(fā)現(xiàn) 2023 年 10 月到 2024 年 2 月間訪問(wèn)相關(guān)網(wǎng)站的用戶中只有 51% 進(jìn)入了正確的官網(wǎng),剩下 49% 用戶均訪問(wèn)了山寨釣魚(yú)網(wǎng)站,而在特定的節(jié)日前后,相關(guān)網(wǎng)絡(luò)釣魚(yú)網(wǎng)站的 DNS 訪問(wèn)量據(jù)稱大幅超過(guò)官網(wǎng)。
研究人員通過(guò)分析JavaScript文件和HTML模式,識(shí)別出與欺詐相關(guān)的惡意域名,尤其是含有“USPS”字符串的域名。這些域名利用了知名品牌名稱來(lái)欺騙用戶,其中“usps-post[.]world”和“uspspost[.]me”點(diǎn)擊量超過(guò)10萬(wàn)次。 研究發(fā)現(xiàn),威脅者偏好使用“.com”和“.top”作為頂級(jí)域名(TLDs),其中“.com”因其全球合法性而受青睞,而“.top”則成為惡意活動(dòng)的常見(jiàn)選擇。在IP地址上,網(wǎng)絡(luò)犯罪分子采用不同策略,有的IP托管少量高流量域名,有的則托管多量低流量域名,以逃避檢測(cè)。
專家提示,提高消費(fèi)者的網(wǎng)絡(luò)安全意識(shí),特別是在網(wǎng)購(gòu)和包裹追蹤過(guò)程中,顯得尤為重要。 消息來(lái)源:FREEBUF https://www.freebuf.com/news/399846.html 來(lái)源:本安全周報(bào)所推送內(nèi)容由網(wǎng)絡(luò)收集整理而來(lái),僅用于分享,并不意味著贊同其觀點(diǎn)或證實(shí)其內(nèi)容的真實(shí)性,部分內(nèi)容推送時(shí)未能與原作者取得聯(lián)系,若涉及版權(quán)問(wèn)題,煩請(qǐng)?jiān)髡呗?lián)系我們,我們會(huì)盡快刪除處理,謝謝! |
上一篇:2024年4月29日聚銘安全速遞 |