以下是我们讨论过的每篇文章中的一些亮点:
这都是善意
- 律政司今日宣布修订有关起诉违反《电脑欺诈及滥用法》的政策。
- 在其司法部的分析几天前,电子前沿基金会的安德鲁·克罗克准确地将CFAA描述为“臭名昭著的模糊反黑客法”。
- CFAA本身指出,任何未经授权或越权访问计算机并从受保护的计算机获取信息、造成损害或支持欺诈行为的人都违反了该法规
- 虽然有一些限定条件,但它的编写和起诉方式过于宽泛,这让政府和私人机构都能像挥舞大俱乐部一样挥舞它,用它来打击任何它选择的人
- 在过去几年的案例中,该法律的范围是有限的,但在此之前,使用您合法的访问权限获取信息,或违反某些服务条款,都可能使您违反CFAA
- 该政策为司法部所描述的“对安全缺陷或漏洞的善意测试、调查和/或纠正”提供了保护,其实施方式是将危害降至最低,促进底层设备、服务或用户的安全
- 它还采用了《数字千年版权法》(Digital Millennium Copyright Act)中“诚信”的定义——这是另一项不一定会让安全界产生温暖模糊感觉的立法
- 司法部的政策规定,在一些具体的情况下,如果他们将这种情况解释为简单的违反服务条款或违反在工作和浏览社交媒体时访问外部互联网的“授权网络访问”,他们就不会起诉
- 应该注意的是,司法部列出的大多数情况已经在判例法中缩小了范围,很少与安全研究有关
- 我们看到的特别开放的地方是,违反服务条款并不违反CFAA;这尤其赋予我们抓取和分析公共网站的能力,并从中生成数据和情报
- 这与Craigslist、LinkedIn等公司威胁或起诉其他公司的案例有关,因为它们不喜欢其他公司的做法;有些是掠夺性的,有些是合法的研究形式
- 这条新闻并不意味着任何人可以声称“进行安全研究”,然后以“善意”来冒充。
- 司法部提出的情况相当狭窄,“诚信”的定义依赖于DMCA的定义,EFF指出,该定义既太窄又太模糊;特别是禁止规避技术保护措施的方法
- 这篇文章指出,司法部(DOJ)从未“对将善意的计算机研究作为犯罪起诉感兴趣”,尽管这取决于你的观点
- 有一些非常值得注意的案例,许多人认为CFAA的起诉过于宽泛、恶意,或在其他方面做出了糟糕的决定
- 其中最突出的可能是亚伦•斯沃茨(Aaron Swartz)的案例,他本身就是互联网先驱,因通过麻省理工学院大量下载JSTOR的文章而被指控违反了CFAA,其中包括一些绕开麻省理工学院设置的障碍的解决办法
- 很多人,很多专家都认为起诉是有害的,没有必要的,在斯沃茨自杀后更是如此,这导致了案件被驳回
- 还有索尼与George Hotz的官司——Geohot因越狱Playstation 3而在CFAA下被民事起诉;双方庭外和解
- Geohot的案例尤其突显了围绕安全研究和商业设备的威胁
- 那些认为安全研究或其他形式的分析违反了他们所认为的对其产品、服务或网站的“授权使用”的公司多次威胁要起诉CFAA
- 在数据新闻领域也有一些声音,网站抓取或其他技术已经引发了敌意威胁,包括最近一个非常公开的案件,一个整个国家机器动员起来试图起诉一名记者,因为他使用了网络浏览器的“查看源”功能,但最终没有起诉
- 我们还有很长的路要走,还有很大的空间让政府和企业滥用CFAA,但这是朝着正确的方向迈出的一步
- 想要更深入地了解,我们建议大家查看EFF(上面分享的链接),同时联系自己的法律专业人士
骗局在布丁里
- 伪装成微软Windows 11下载门户的欺诈域名试图欺骗用户部署木马安装文件,用Vidar信息窃取恶意软件感染系统
- 对于那些可能不熟悉Vidar恶意软件的人:
- 该病毒于2018年首次被发现,能够从受害者的电脑中窃取敏感数据
- 这包括银行信息、保存的密码、IP地址、浏览器历史记录、登录凭证和加密钱包,然后可以将这些信息转移到威胁行为者的命令和控制(C&C)基础设施
- ThreatLabz通过监控网络流量的方式通过恶意域发现了这一点
- 这就是为什么每个人都应该对域名进行某种程度的网络流量分析
- 你可以在你的DNS解析器日志,和/或web代理日志,SMTP日志中找到这些域名,有时也可以在其他地方,如智能防火墙或IDS,或EDR记录中找到这些域名
- 他们发现了这些域名,名字像ms-win11[。com, ms-win11.midlandscancer[。com, win11-serv4[。com, win11-serv[。com,等等。
- 对于在浏览器窗口中看到这些域的普通观察者,或者甚至对于在日志中看到这些名称的普通安全管理员,它们可能不会引起怀疑
- 但它们肯定是不好的,而且威胁labz发现,这些域被设计得看起来就像真正的Windows 11更新程序站点,但实际上它们分发的iso中包含Vidar
- 基本上,它有一个大大的“获取Windows 11”的启动画面,以及一个“立即下载”的按钮,该按钮并不会下载用户认为它下载的内容
- 关于防止这种类型的攻击——除了注意这个URL不是微软的官方URL之外——许多用户可能不熟悉微软使用的所有域名是否都在microsof.com的全球保护伞内——这里没有太多可看的
- 它下载的二进制文件大约是300 MB,其中只有3.3 MB是实际的Vidar文件,其余都是填充
- 这种填充使得一些内联扫描产品更难扫描(它们通常有文件大小限制),而且它可能也使它对用户看起来更真实,因为您希望操作系统更新是相当大的
- 这也不是该组织目前实施的唯一攻击
- 他们还欺骗Adobe Photoshop和MS Teams来传递同样的恶意软件
- 我们没有看到任何专门模仿Adobe的域指示器,但看到了一个名为ms-team-app[.]net的指示器
- 就Adobe而言,威胁labz发现了一个由攻击者控制的GitHub存储库,该存储库托管了Adobe Photoshop Creative Cloud应用程序的后门版本,他们将其归咎于同一威胁者
- 还值得注意的是,该活动中的一些工具使用了合法的域
- 所有参与该行动的二进制文件都从攻击者在Telegram和Mastodon网络上注册的社交媒体账户获取C2服务器的IP地址
- 我们已经看到这种情况很多年了——这是一种比较难发现的流量。不幸的是,并不是所有的流量分析都是平等的
- 我们目前还不清楚这次袭击造成的破坏程度
- 好消息是,几乎所有的假冒下载域名都已在知名的行业屏蔽列表上被屏蔽
- 但我们不知道这个参与者可能控制着其他什么基础设施
- 如果时间允许,我们可以打开虹膜检测,看看我们是否可以更全面地绘制运动
- 乍一看,从域基础设施的角度来看,攻击者似乎很好地掩盖了他们的踪迹,但如果没有进一步的挖掘,我们无法确定这一点
- 如果你是一个终端用户,那么你要非常小心你从哪里获得软件更新
- 如果你是一个防御者,有方法识别你网络上的粗略域名
- 对于很多人来说,如果他们有这种能力,拒绝流量到新创建的域仍然是有意义的
- 合法的业务流量需要进入一个全新的域名的可能性很低,所以对于许多组织来说,当有人无法进入一个合法的全新域名时,偶尔的服务台电话可能是值得的
两个事实和一个谎言
介绍《绝命毒师》的最新片段。我们要玩一个你们可能都很熟悉的游戏叫做两个事实和一个谎言,有一个有趣的转折。每周,我们都会准备三篇文章的标题,其中两篇是真实的,另一篇是,你猜对了,一个谎言。
你一定要收听我们的节目才能知道!
当前的记分板
本周帽衫/好衣量表
这都是善意
(Ian):6/10好吃
(Tim):6/10好吃
骗局在布丁里
(Ian):6/10的连帽衫
(Tim):4/10的连帽衫
以上就是本周的全部内容,大家可以在推特上找到我们@domaintools在美国,我们的播客中提到的所有文章都会包含在我们的播客概述中。请在太平洋时间周三上午9点收看我们的节目,届时我们将发布下一期播客和博客。
*特别感谢John Roderick为我们带来的不可思议的播客音乐!
