數以千計的惡意npm包威脅著(zhù)Web應用程序的安全

過(guò)去的6個(gè)月中，在開(kāi)發(fā)者最常下載的JavaScript包庫npm中發(fā)現了1300多個(gè)惡意包。這種惡意組件數量的快速增長(cháng)也反映出了npm正在成為惡意軟件的傳播平臺。

開(kāi)源安全和管理公司W(wǎng)hiteSource最新研究發(fā)現，惡意npm包數量的不斷增加使人感到很不安，這些包主要是被用作網(wǎng)絡(luò )應用的組件。任何使用該惡意代碼塊的應用程序都可能使其用戶(hù)遭到數據盜竊、加密劫持以及僵尸網(wǎng)絡(luò )等攻擊。

該公司表示，在發(fā)現的惡意軟件包中，有14%是為了竊取證書(shū)等敏感信息，而近82%的軟件包則是在偵查用戶(hù)的信息，攻擊者采用主動(dòng)或被動(dòng)的方式來(lái)收集目標的相關(guān)信息。

過(guò)去的6個(gè)月中，在開(kāi)發(fā)者最常下載的JavaScript包庫npm中發(fā)現了1300多個(gè)惡意包。這種惡意組件數量的快速增長(cháng)也反映出了npm正在成為惡意軟件的傳播平臺。

用全面發(fā)展辯證的眼光看待《網(wǎng)絡(luò )安全審查辦法》

全面地看《網(wǎng)絡(luò )安全審查辦法》的“變”與“不變”。用全面發(fā)展辯證的眼光看待《網(wǎng)絡(luò )安全審查辦法》；二是堅持以落實(shí)國家安全、網(wǎng)絡(luò )安全基礎法律為主要目標未變。

發(fā)展地看網(wǎng)絡(luò )安全審查制度的演進(jìn)與完善。一是組織結構更加完善，新增證監會(huì )作為網(wǎng)絡(luò )安全審查工作機制成員單位，加強赴國外上市網(wǎng)絡(luò )平臺運營(yíng)者的審查；二是審查時(shí)限更切實(shí)際，將特別審查程序從45天延長(cháng)到90天，體現了對于審查結論更加審慎的態(tài)度；三是權力監督更加明確，既強調審查客體對于主體的責任與義務(wù)的監督，也鼓勵社會(huì )監督當事人履行網(wǎng)絡(luò )安全審查中作出的承諾。

辯證地看《網(wǎng)絡(luò )安全審查辦法》當前重點(diǎn)與長(cháng)遠意義。一是統籌安全與發(fā)展，網(wǎng)絡(luò )安全審查將通過(guò)依法依規開(kāi)展審查獲得安全發(fā)展新優(yōu)勢。二是平衡開(kāi)放與治理，網(wǎng)絡(luò )安全審查不會(huì )限制開(kāi)放，不存在區別對待。三是兼顧當前與長(cháng)遠，網(wǎng)絡(luò )安全審查不僅要立足應對當前威脅，更要放眼長(cháng)遠，推進(jìn)我國網(wǎng)絡(luò )空間治理體系和治理能力現代化。

2022年關(guān)于網(wǎng)絡(luò )安全和身份驗證的發(fā)展趨勢

平衡風(fēng)險和用戶(hù)體驗

事實(shí)上，銀行的數字化轉型是建立在數字信任的基礎上，其中包括入職、身份驗證和支持對話(huà)。然而，銀行業(yè)在提供數字化客戶(hù)體驗這些方面仍然落后，并降低了客戶(hù)滿(mǎn)意度。

采用適應性強的方法

移動(dòng)設備身份驗證和全渠道參與已經(jīng)發(fā)展。新的身份驗證技術(shù)現在變得可用，通常是通過(guò)通信平臺啟用的API。于是出現了兩種選擇，數據驗證和Flash呼叫驗證。數據驗證的工作原理是，移動(dòng)網(wǎng)絡(luò )運營(yíng)商在用戶(hù)使用移動(dòng)數據時(shí)分配給其電話(huà)號碼的IP地址之間的相互作用。Flash呼叫驗證是在最終用戶(hù)設備上發(fā)起和終止語(yǔ)音通話(huà)。主叫方號碼是從與服務(wù)相關(guān)聯(lián)的專(zhuān)用號碼池中隨機選擇的。智能手機會(huì )自動(dòng)接聽(tīng)電話(huà)，并使用主叫方號碼作為身份驗證，而不是通常通過(guò)短信發(fā)送的一次性密碼進(jìn)行驗證。

低代碼和無(wú)代碼開(kāi)發(fā)的四個(gè)安全問(wèn)題

無(wú)代碼工具和平臺使用拖放界面來(lái)允許業(yè)務(wù)分析師等非編程人員創(chuàng )建或修改應用程序。

與可見(jiàn)性問(wèn)題相吻合的是不安全代碼的可能性。低代碼和無(wú)代碼平臺仍然有代碼。他們只是抽象了編碼，并允許最終用戶(hù)使用預先提供的代碼功能。這很好，因為它使非開(kāi)發(fā)人員無(wú)需自己編寫(xiě)代碼。當使用的代碼是不安全的，并且通過(guò)低代碼和無(wú)代碼平臺在企業(yè)和應用程序之間進(jìn)行推斷時(shí)，就會(huì )出現問(wèn)題。

解決這個(gè)問(wèn)題的一種方法是與平臺供應商合作，要求平臺內使用的代碼的安全掃描結果。靜態(tài)和動(dòng)態(tài)應用程序安全測試(SAST/DAST)等掃描結果可以為消費者提供一定程度的保證，即他們不僅僅是復制不安全的代碼。在企業(yè)控制之外創(chuàng )建代碼的想法并不是一個(gè)新概念，并且在開(kāi)源軟件的使用中很普遍，98%以上的企業(yè)使用開(kāi)源軟件，并且與其他存儲庫相關(guān)的軟件供應鏈威脅也很常見(jiàn)，例如用于基礎設施的代碼(IaC)模板。

警惕！Linux惡意軟件攻擊日益猖獗

據介紹，針對Linux系統的初始攻擊通常不是通過(guò)利用漏洞，而是通過(guò)盜竊登錄信息來(lái)實(shí)現。雖然遠程代碼執行是闖入這類(lèi)系統的第二大方式(比如利用盛行的Log4j漏洞)，但被盜用的身份信息常常讓攻擊者有更多的時(shí)間在受害企業(yè)的網(wǎng)絡(luò )系統內部進(jìn)行探測。對攻擊者而言其優(yōu)點(diǎn)是，受害者需要更長(cháng)的時(shí)間才能明白攻擊已發(fā)生。

需要特別重視的是，攻擊者還開(kāi)始使用更先進(jìn)的工具來(lái)管理針對Linux基礎設施發(fā)動(dòng)的攻擊。VMware的報告指出，Cobalt Strike是紅隊和滲透測試人員經(jīng)常使用的面向Windows的攻擊管理系統，但攻擊者現在開(kāi)始用它來(lái)攻擊Linux。VMware目前監測了14000臺使用Cobalt Strike的服務(wù)器。調查小組發(fā)現，Cobalt Strike程序中六分之一版本的客戶(hù)ID為0，這表明是試用版，但這些很可能已被破解。另外四個(gè)自定義ID占剩余Cobalt Strike服務(wù)器的近40%，這表明這些服務(wù)器上的保護機制也遭到了破壞。

微信真的不會(huì )保存聊天記錄嗎？《網(wǎng)絡(luò )安全法》給出了答案

微信作為中國體量最大的聊天工具，它的安全性關(guān)乎十多億人的隱私安全。那么到底微信會(huì )不會(huì )保存聊天記錄呢？根據微信官方的答復，微信不會(huì )保存聊天記錄，聊天內容只存儲在用戶(hù)手機、電腦等終端設備上。這種“自證清白”的做法，并沒(méi)有得到網(wǎng)友們的廣泛認可。在《網(wǎng)絡(luò )安全法》頒布之后，這個(gè)問(wèn)題似乎有了答案。

《網(wǎng)絡(luò )安全法》第四十一條規定網(wǎng)絡(luò )運營(yíng)者不得收集與其提供的服務(wù)無(wú)關(guān)的個(gè)人信息，不得違反法律、行政法規的規定和雙方的約定收集、使用個(gè)人信息，并應當依照法律、行政法規的規定和與用戶(hù)的約定，處理其保存的個(gè)人信息。第五十條規定國家網(wǎng)信部門(mén)和有關(guān)部門(mén)依法履行網(wǎng)絡(luò )信息安全監督管理職責，發(fā)現法律、行政法規禁止發(fā)布或者傳輸的信息的，應當要求網(wǎng)絡(luò )運營(yíng)者停止傳輸，采取消除等處置措施，保存有關(guān)記錄;對來(lái)源于中華人民共和國境外的上述信息，應當通知有關(guān)機構采取技術(shù)措施和其他必要措施阻斷傳播。

聊聊了解數字簽名，你知道了嗎？

數字簽名(一種電子簽名)是一種數學(xué)算法，通常用于驗證消息的真實(shí)性和完整性。數字簽名創(chuàng )建個(gè)人或實(shí)體獨有的虛擬指紋，用于識別用戶(hù)并保護數字消息或文檔中的信息。數字簽名明顯比其他形式的電子簽名更安全，能夠提高了在線(xiàn)交互的透明度，并在客戶(hù)、業(yè)務(wù)合作伙伴和供應商之間建立了信任。

數字簽名的工作原理是證明數字消息或文檔從簽名時(shí)起沒(méi)有被有意或無(wú)意地修改過(guò)。數字簽名通過(guò)生成消息或文檔的唯一散列并使用發(fā)件人的私鑰對其進(jìn)行加密來(lái)實(shí)現此目的。生成的散列對于消息或文檔是唯一的，更改其中的任何部分都將徹底更改散列。

接收者生成他們自己的消息或數字文檔的哈希值，并使用發(fā)送者的公鑰解密發(fā)送者的哈希值。接收者將他們生成的哈希值與發(fā)送者的解密哈希值進(jìn)行比較;如果匹配，則消息或數字文檔未被修改并且發(fā)件人已通過(guò)身份驗證。