记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

美国商务部发布软件物料清单 (SBOM) 的最小元素

专栏·供应链安全数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长态势,造成的危害也越来越严重。为此,我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯,分析供应链安全风险,提供缓解建议,为供应链安全保驾护航。注:以往发布的部分供应链安全相关内容,请见文末“推荐阅读”部分。
发布时间:2022-01-19 15:52 | 阅读:784 | 评论:0 | 标签:美国

外媒:美国政府以安全为由审查阿里云

全球第四大云服务商的海外业务受到了中美争端的影响。路透社昨日报道,有三位知情人士透露,拜登政府正在审查科技巨头阿里巴巴的云业务,以确定它是否对美国国家安全构成风险。近期,美国政府加强了对中国技术的审查。知情人士称,当前调查的重点是阿里云存储美国客户数据的形式,内容包括个人信息和知识产权,以及中国政府是否可以访问这些数据。另一位知情人士表示,美国方面认为中国可能破坏其用户对存储在阿里云上信息的访问,这也是担忧的一个方面。美国监管机构最终可能会选择强制该公司采取措施降低云业务带来的风险,或者完全禁止境内、海外美国人使用该服务。
发布时间:2022-01-19 15:00 | 阅读:679 | 评论:0 | 标签: 安全 美国 阿里

突发!美国政府对阿里云开展“国家安全”审查

据三位知情人士向路透社透露,作为美方对中国科技企业涉美交易管控计划的一部分,拜登政府正着手对电子商务巨头阿里巴巴旗下云业务开展审查,以确定其是否对美国国家安全构成风险。知情人士指出,此次调查的重点集中在阿里云如何存储美国客户的数据,包括个人信息及知识产权内容,以及中国政府能否访问到这些数据。其中一位知情人士还提到,美方担心中国政府会在特定情况下阻止美国用户正常访问其存储在阿里云上的信息。美国监管机构最终可能会强制要求阿里云采取相应措施,用以明确降低云业务带来的潜在风险,甚至有可能全面禁止美国用户在国内外继续使用阿里云服务。
发布时间:2022-01-19 01:58 | 阅读:1752 | 评论:0 | 标签: 安全 美国 阿里

美国联邦战术边缘网络架构与安全研究

本文详细阐述了移动战术异构网络的安全性和路由架构,探讨了机遇与挑战,并强调了这些类型网络的特点以及其与静态和可部署网络的区别。这些架构对于国家军事网络设计,尤其是在移动战术边缘实现基于IP的联盟网络有一定价值。本文基于北约IST-124研究小组的成果,可为未来联邦战术网络标准化提供适当参考。1 简介军事行动的成功需要相关各方间实现高效信息共享,而实现信息共享的必要先决条件是拥有能够实现联盟伙伴网络间从战略层面到战术边缘的互操作性的标准、方针及政策。处于较低战术级的网络通常是无线电网络,使用多种特点各异(带宽、频段、调制方案、延迟和距离等)的传输技术。
发布时间:2022-01-18 17:52 | 阅读:2357 | 评论:0 | 标签:安全 美国 网络

美国阿尔伯克基的学校在网络攻击后继续停课

阿尔伯克基公立学校最初在周四取消了课程,因为攻击破坏了用于考勤的学生信息系统,在紧急情况下与家庭联系,并确保所有学生都由授权的成年人接走。周四晚些时候,该学区官员称将需要更多时间进行调查。这些学校原定于周一因马丁·路德·金日而关闭,现在预计将于周二重新开放。该学区是新墨西哥州最大的学区,有73000多名学生--根据其网站,约占该州所有公立学校学生的四分之一。该学区负责人Scott Elder周四在一个视频信息中说:“我们现在所有的努力都集中在让学生尽快回到课堂。我们正在努力查明问题,确定暴露的程度,将修复措施落实到位,加强安全协议,并提高我们的监测水平,以防止未来的攻击。
发布时间:2022-01-15 12:19 | 阅读:6152 | 评论:0 | 标签:攻击 美国 网络

大量美国和加拿大人的财务数据遭曝光

HackRead 网站披露,Website Planet 网络安全人员发现了一个配置错误的数据库,分析后发现该数据库暴露了约 82 万条记录,其中约 60 万条是客户信用记录。据悉,该数据库由 TransCredit 运营( TransCredit 是一家位于佛罗里达州杰克逊维尔的运输业商业信用报告机构)。数据库暴露了哪些数据?研究人员对数据库信息详细分析后,发现主要暴露以下信息。姓名;税号;电子邮件地址;支付历史记录;银行信息;安全号码(SSN);内部登录ID和密码;雇主识别号(EIN)。
发布时间:2022-01-13 18:36 | 阅读:7024 | 评论:0 | 标签:美国

办公电话也能泄露美国政府秘密?中国通信设备公司亿联网络又被盯上

据国防一号(defenseone.com)1月7日的报道,该媒体获得的一封信中,马里兰州民主党参议员克里斯·范·霍伦(Chris Van Hollen)向商务部表达了他的担忧,称一家中国电话制造商可能会将美国消费者、公司甚至国家安全数据置于危险之中。这封信写于2021年9月28日,援引了一份由Chain Security安全公司撰写的分析报告,该报告对中国亿联网络生产的T54W IP商务电话及亿联设备管理平台(YDMP)进行了供应链安全分析,再次触发了美国对中国公司(如亿联网络)在美国生产和销售的视听设备的安全问题的严重担忧。
发布时间:2022-01-10 15:10 | 阅读:11472 | 评论:0 | 标签:泄露 美国 网络 中国

美国防部长亲自观看美军网络部队进攻性网络行动

编者按美国空军国民警卫队日前发布新闻称,美国网络司令部一支特遣部队于2021年2月至8月期间开展了首次进攻性网络行动。此次行动意义非凡,以至美国国防部长劳埃德·奥斯汀亲自出席并观看了行动。此次行动也是数字领域战争性质迅速演变以及进攻性网络行动未来重要性的另一个标志。此次行动是一项“进攻性网络效应行动”,涉及美国防部信息网络的安全,但行动确切性质和目标仍然未知。开展此次行动的特遣部队由来自美国马里兰州空军国民警卫队第175网络作战大队、特拉华州空军国民警卫队第166网络作战中队、美国海军第63网络突击队、美国空军第341网络作战中队和空军预备役的人员组成。
发布时间:2022-01-10 15:10 | 阅读:9606 | 评论:0 | 标签:美国 网络 美军

美国 NCSC 和 DoS 分享针对监控工具的最佳实践

美国国家反情报和安全中心 (NCSC) 和国务院发布了联合指南,提供了防御威胁行为者使用商业监视工具进行的攻击的最佳实践 。在过去几年中,我们报告了几起公司向政府和其他将商业监控工具用于恶意目的的实体出售的案例。监控工具可用于记录音频,包括电话、跟踪手机的位置以及访问和检索手机上的所有内容(即文本消息、文件、聊天、商业消息应用程序内容、联系人和浏览历史记录)。这些工具被用于针对世界各地的记者、持不同政见者和其他人的攻击。
发布时间:2022-01-10 15:00 | 阅读:8274 | 评论:0 | 标签:美国

美国家地理空间情报局将与国家侦察局联合应对卫星图像“深度伪造”

美国卫星情报机构的领导人已经意识到使用深度伪造技术操纵的图像可能带来的深刻影响。NGA(国家地理空间情报局)首席信息官Mark Andress1月6日表示,改善网络安全——特别是开发方法来清除“深度伪造”的图像和计算机操纵的数据——将是今年和明年NGA的首要任务之一。Mark Andress表示,NGA有一个完整的工程团队,致力于验证图像产品及其元数据的准确性和有效性。
发布时间:2022-01-10 04:40 | 阅读:11638 | 评论:0 | 标签:卫星 情报 美国

美国网络司令部特遣部队进行首次进攻性行动

本周,美国空军国民警卫队(ANG)对外宣布,在2021年2月至8月期间,由美国网络司令部特遣部队(该特遣部队由马里兰州空军国民警卫队第175网络行动组、特拉华州空军国民警卫队第166网络行动中队、美国海军第63网络打击活动、美国空军第341网络行动中队和空军预备队的人员组成)针对现实世界的网络威胁执行了被描述为“首次进攻性网络效应行动”。虽然该行动的确切性质及其目标仍然未知,但该事件的重要性足以让美国国防部长亲自出席并观看该行动。这次行动是数字领域战争迅速发展的另一个标志,也体现了未来进攻性网络行动的重要性。
发布时间:2022-01-08 20:34 | 阅读:14040 | 评论:0 | 标签:美国 网络

美国网络空间日光浴委员会正式解散,转型Solarium 2.0

2021年12月30日,据FCW报道,经过两年多的时间、数十项建议和一系列立法改革,美国网络空间日光浴委员会正式解散。但由于还有更多的工作要做,该小组正在重新启动其作为非营利组织的努力,并表示“Solarium 2.0”明年能够取得进展。该委员会一直在处理从虚假信息到供应链风险的网络政策问题,已经取得了几项重大成果:① 设立了国家网络总监;② 推动发布了以网络安全为重点的行政命令;③ 扩大了网络安全和基础设施安全局的权限。该委员会最大的成功,除了通过大量的立法提案之外,就是让立法者和决策者持续关注网络安全,目前还在进行或未尽的工作包括:一是拟议中的国家网络统计局。
发布时间:2022-01-06 23:16 | 阅读:15747 | 评论:0 | 标签:美国 网络

美国无线运营商 UScellular批露了发生在年末的数据泄露事件

据Security affairs网站报道,美国最大的无线运营商之一——UScellular披露了一起发生在去年12月份的数据泄露事件。据该公司调查,事件发生12月13日-19日之间,攻击者未经授权访问其计费系统,导致与客户帐户相关的数据暴露,包括姓名、地址、PIN 码和移动电话号码以及有关无线服务的信息。攻击者试图利用这些信息来欺诈性地移植号码。UScellular透露,有405名客户受此次攻击的影响,事后,公司为每个受影响客户重置了登录凭据,并立即修改了PIN码和安全验证问题。
发布时间:2022-01-05 13:10 | 阅读:10325 | 评论:0 | 标签:泄露 美国

美国最大的无线运营商UScellular一年内遭两次黑客攻击

美国蜂窝在 2021 年 12 月攻击该公司的计费系统后披露了一起数据泄露事件。 美国蜂窝公司是美国第四大无线运营商,截至 2021 年 12 月,在 23 个州的 426 个市场拥有超过 490 万客户。 2020 年第二季度。据该公司称,它于 2021 年 12 月 12 日发现未经授权访问其计费系统,导致与无线客户帐户相关的数据暴露。“2021 年 12 月 13 日,UScellular 检测到一起数据安全事件,‘未经授权的个人非法访问了我们的计费系统,并获得了对包含个人信息的无线客户帐户的访问权限。未经授权的个人试图利用对该信息的访问来欺诈性地端口号。
发布时间:2022-01-05 12:17 | 阅读:12685 | 评论:0 | 标签:攻击 黑客 美国

美国在线商店 PulseTV 披露了信用卡数据泄露,超过 200,000 名客户受到影响

根据缅因州总检察长办公室发布的通知函,Visa 于 2021 年 3 月 8 日通知该公司,其网站(www.pulsetv.com)是一些未经授权的信用卡交易的常见购买点,因为可能的妥协。该公司对其网站进行了一些安全检查,但没有发现任何妥协迹象。 根据缅因州总检察长办公室发布的通知函,Visa 于 2021 年 3 月 8 日通知该公司,其网站(www.pulsetv.com)是一些未经授权的信用卡交易的常见购买点,因为可能的妥协。该公司对其网站进行了一些安全检查,但没有发现任何妥协迹象。
发布时间:2022-01-04 17:55 | 阅读:10066 | 评论:0 | 标签:泄露 美国

美国Broward Health公共卫生系统遭遇数据泄露,影响了 130 万人

Broward Health 公共卫生系统遭受了数据泄露,影响了 1,357,879 人。Broward Health,正式名称为北布劳沃德医院区,是美国 10 个最大的公共卫生系统之一,位于佛罗里达州布劳沃德县,布劳沃德健康目前经营着 30 多个医疗保健设施。攻击发生在 2021 年 10 月 15 日,当时威胁行为者破坏了医院的网络并访问了患者数据。医疗保健系统于 10 月 19 日发现了安全漏洞,并向地方当局报告了该事件,并聘请了第三方网络安全专家协助调查。根据调查,攻击者破坏了允许访问系统以提供服务的第三方医疗提供商。
发布时间:2022-01-04 14:59 | 阅读:14814 | 评论:0 | 标签:泄露 美国

美国宇航局局长推特账户被希腊军队黑客入侵

美国宇航局局长兼空中交通高级技术专家的推特账号帕里马尔·科帕德卡尔先生(@nasapk)被希腊军队入侵。我联系了该组织发表评论,一位发言人告诉我,他们瞄准NASA局长是为了好玩,这次袭击不是出于政治动机。他们之所以选择Kopardekar,是因为他们正在寻找在NASA工作的人。我问他们是如何破解该帐户的,他们声称有一个漏洞,允许他们接管Twitter帐户,但我无法验证它。该组织告诉我,他们进行黑客攻击是为了好玩,以证明"没有人在网上是安全的"。
发布时间:2022-01-03 20:24 | 阅读:12323 | 评论:0 | 标签:入侵 黑客 美国

美国加州公众对新隐私法CPRA的五大担忧

来源:Future of Privacy Forum作者:KEIR LAMONT翻译:帕格健,上海交通大学法学院硕士生2020年11月,加州选民通过了《加州隐私权利法案》(“CPRA”)议案,该提案旨在加强和扩大州立法机构于2018年通过的《加州消费者隐私法案》(“CCPA”)。虽然CPRA对相关企业规定了重要的新消费者权利和负责任的数据处理义务,但其范围和应用等问题仍未解决。最近一组有关CPRA规则制定的公众评论使这些有争议的问题更加引人关注。CPRA将规则制定和执行的权力委托给了一个全新的、专注隐私的机构——加州隐私保护局。
发布时间:2022-01-03 01:57 | 阅读:11665 | 评论:0 | 标签:美国

美国物流公司100G数据泄露,涉财富500强公司

美国物流公司100G数据泄露,涉财富500强公司。Website Planet安全研究人员发现一家位于美国的跨国供应链管理和物流公司D.W. Morgan发生数据泄露事件。D.W. Morgan公司所有的一个Amazon S3 bucket被发现没有授权控制机制,暴露了与运输和公司客户相关的敏感数据。泄露的数据总量超过100GB,涉及250万个文件。这些泄露的数据所涉及的企业遍布全球,其中不乏财富500强企业。研究人员在该bucket中发现里个不同的数据集,每个数据集都保存在对应的文件夹中。其中3个数据集包含敏感的客户数据和雇员个人身份信息:运输计划和协议;过程照片;附件。
发布时间:2022-01-01 13:17 | 阅读:15458 | 评论:0 | 标签:泄露 美国

美国密苏里州州长重申将起诉查看教育部门网站源代码的记者

2021年10月,记者Josh Renaud报道称,DESE网站源代码曝光了超过10万名学校教师、行政人员和辅导员的社会安全号码。他只有在向州政府报告问题并且漏洞得到解决后才发布了这个故事。帕森和DESE显然并不感激这名记者,并立即指责Renaud“入侵”了 DESE 网站。密苏里州教育专员Margie Vandeven致信教育工作者说:“一个人获取了至少三名教育工作者的记录,从网页上解密了源代码,并查看了这些特定教育工作者的社会安全号码。”根据《圣路易斯邮报》获得的记录,联邦调查局告诉该州,该网站被“错误配置”,Renaud的行为 “不是实际的网络入侵”。据悉,这些源代码没有被加密。
发布时间:2022-01-01 12:19 | 阅读:15557 | 评论:0 | 标签:起诉 美国

美国陆军网络部队正在构建战术网络作战概念

马克Pomerleau,2021年12 月 30 日印第安纳州马斯卡塔图克城市训练中心——在与技术劣势和以叛乱为重点的对手进行了近二十年的冲突之后,美国军方和陆军正在磨练他们的网络训练,以对抗更复杂的部队。就美国陆军而言,它正在朝着具有多域作战能力的部队迈进,它设想在所有战争领域无缝整合部队和能力;空中、陆地、海洋、太空和网络,以及信息维度。实现多域部队的一部分是满足美国网络司令部以外的战术网络和信息能力需求。经过一系列演习和实验单位,美国陆军于 2019 年启动了第 915 网络战营。这种首创的部队旨在提供非致命能力,例如网络、电子战和信息作战,以支持美国陆军军种司令部及其下属部队。
发布时间:2021-12-31 12:27 | 阅读:11072 | 评论:0 | 标签:美国 网络

美国警察局中勒索,勒索团伙秒怂提供解密器

记得前段时间推送的大名鼎鼎的:Conti勒索团伙首次低头道歉这次轮到AvosLocker勒索团队。这次事件是在AvosLocker勒索团队得知他们加密了美国政府机构后秒怂,立即提供了一个免费的勒索解密器。就在11个月末,AvosLocker入侵了美国警察局,后者在攻击期间加密了很多设备并窃取数据。但是,根据安全研究员pancak3分享的截图 ,在得知受害者是政府机构后,他们免费提供了解密器。AvosLocker 聊天屏幕提供免费解密器第一他们向警察局提供了解密器,第二勒索团队承诺拒绝对外提供被盗文件列表或拒绝透露他们如何破坏该部门的网络。
发布时间:2021-12-31 12:17 | 阅读:14068 | 评论:0 | 标签:勒索 解密 美国

美国2022财年《国防授权法案》加大信息系统领域装备投入

2022年12月27日,美国总统拜登签署2022财年《国防授权法案》,正式通过了价值近7700亿美元的国防总开支,其中用于装备研发与采购的经费达2825亿美元。本文对信息系统领域装备研发、采购经费进行了梳理,主要包括信息系统局、空军、海军、陆军、太空军及其他国防部直属机构的指控、通信、情监侦、电磁战相关系统装备和技术,公开预算总额286亿美元,较2021财年的264亿美元增长8.3%,共安排379个项目。(本文根据原文编译整理,仅供交流参考,观点不代表本机构立场。
发布时间:2021-12-31 02:00 | 阅读:13130 | 评论:0 | 标签:美国

美国DARPA 2021年十大新研项目

2021年,可能受DARPA局长更换、美政府换届等因素影响,DARPA全年新研项目数量相对2020年有所减少。现从威胁、难度等角度遴选其中十大新研项目,以期展现2021年DARPA的重点动向,供读者参考。NO.10“利用光子振荡器生成低噪声射频”项目简介:2021年3月,DARPA启动“利用光子振荡器生成低噪声射频”项目(项目名称首字母缩写为GRYPHON,意为狮鹫)。该项目旨在利用光子微波生成的优势,开发相位噪声性能满足或超过当前最佳离散振荡器模块的集成源。
发布时间:2021-12-30 20:38 | 阅读:23789 | 评论:0 | 标签:美国

美国网络司令部2021年年度回顾

编者按美国网络司令部发文回顾该司令部2021年重要动向。文章称,过去一年中,美国网络司令部面对新的网络安全挑战,并努力以创新的方式适应和应对;网络司令部不再将勒索软件攻击视为纯粹的犯罪活动,而是对国防和基础设施的威胁;网络司令部跨多个领域进行综合威慑,并强化与盟友和伙伴国的网络防御合作。
发布时间:2021-12-30 17:55 | 阅读:12692 | 评论:0 | 标签:美国 网络

美国网络威慑战略是如何演变的?

导读与其他作战领域的军事威慑相比,网络空间的威慑理论仍处于没有明确定义的初级阶段。某种程度上,网络威慑实践已经比网络威慑理论要成熟得多,已经有许多的网络战事例被大众熟知。由于美国网络规模庞大、网络优势明显以及在传统作战域威慑理论成熟等原因,研究美国网络威慑战略的演变意义重大。英国SSCI期刊《战略研究杂志》2019年2月刊登一篇名为《美国的网络威慑:实践指导理论》的论文,作者为Alex S. Wilner,梳理了美国网络威慑战略的演变过程。本文将论文重要内容总结编译如下,供感兴趣的读者参考。
发布时间:2021-12-29 23:18 | 阅读:12041 | 评论:0 | 标签:美国 网络

美国隐私合规技术公司如何兴起,都在做什么业务呢?

来源:New York Times作者:David McCabe翻译:汪越洋,上海交通大学法学院硕士生帮助他人了解全球数据治理规则的科技公司如雨后春笋般涌现。2018年,美国加州的立法者规定消费者可以通过电话免费向公司索取个人数据。然后,亚特兰大一家公司的一群律师、工程师和销售人员就开始了工作。该公司是一家名为OneTrust的初创公司,目前总部位于该亚特兰大郊区,为试图在日益增多的互联网法规中保持合法合规的企业提供软件。作为对加利福尼亚州新法律的回应,OneTrust帮助企业可以通过设置一个号码来管理各种请求。
发布时间:2021-12-29 01:58 | 阅读:13985 | 评论:0 | 标签:合规 美国

透明度PK国家安全?美国的VEP政策改革呼声再起

收录于话题 #国家安全 16 个 #美国 23 个 #漏洞披露 7 个 美国政府于2010年创建了VEP,作为国家安全局(NSA)的内部机制,召集联邦机构讨论如何处理影响软件或硬件的零日漏洞。这一过程在布什和奥巴马政府期间逐渐演变成一个机构间工具,用于对零日决策进行规范化审议。自VEP(漏洞公平裁决程序)制度成立以来,学者、记者和前政府官员一直警告VEP的局限性、漏洞和监督的必要性。尽管警告之声从未停止,VEP仍然是一项处于阴影中在实施的政策。当美国政府发现信息系统中可利用的弱点或漏洞时,VEP将指导是否披露的决策过程。
发布时间:2021-12-28 15:27 | 阅读:12662 | 评论:0 | 标签:安全 美国

白帽子黑客必须预先注册,并获得批准,才能参与此项计划。参与者必须具有在美国工作的资格。

美国国土安全部(DHS)邀请安全研究人员寻找漏洞并侵入其系统,以期加强自身面对恶意攻击的防御能力。美国国土安全部启动“黑掉国土安全部”(Hack DHS)漏洞赏金计划,意图“发现国土安全部某些系统中的潜在网络安全漏洞,提升部门的网络安全弹性。”美国国土安全部部长亚历杭德罗·马约卡斯(Alejandro Mayorkas)在彭博技术峰会上宣布了该计划,称“黑掉国土安全部”将分为三个阶段:1、黑客对国土安全部某些外部系统进行线上虚拟评估。2、黑客亲身参与现场攻击活动。3、国土安全部识别和审查暴露出来的问题,规划未来的漏洞赏金。
发布时间:2021-12-27 02:00 | 阅读:12845 | 评论:0 | 标签:黑客 白帽 美国

美国国土安全部对众测白帽子的要求

美国国土安全部(DHS)邀请安全研究人员寻找漏洞并侵入其系统,以期加强自身面对恶意攻击的防御能力。美国国土安全部启动“黑掉国土安全部”(Hack DHS)漏洞赏金计划,意图“发现国土安全部某些系统中的潜在网络安全漏洞,提升部门的网络安全弹性。”美国国土安全部部长亚历杭德罗·马约卡斯(Alejandro Mayorkas)在彭博技术峰会上宣布了该计划,称“黑掉国土安全部”将分为三个阶段:1、黑客对国土安全部某些外部系统进行线上虚拟评估。2、黑客亲身参与现场攻击活动。3、国土安全部识别和审查暴露出来的问题,规划未来的漏洞赏金。
发布时间:2021-12-26 15:02 | 阅读:12122 | 评论:0 | 标签:白帽 安全 美国

公告

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

求打赏·赞助·支持💖

标签云