本周末的影子经纪人泄密事件将3亿字节被盗数据投放到了开放网络上,其中包括一些网络最关键的网络基础设施的实时漏洞,这些数据显然是2013年从美国****局(NSA)窃取的。不过,尽管专家们仍在清理谁窃取了数据以及如何窃取数据,但这些新的漏洞也让思科(Cisco)、Fortinet和Juniper等公司争先恐后地修复最新发布的针对其系统的攻击。突然间,有了一种新的方式进入多年来一直被认为是安全的产品中——任何下载数据的人都知道如何进入。
保护这些设备的争夺战已经开始,但它提出了新的问题,即****局如何发现和开发破坏安全产品的方法。无论幕后黑手是谁,在发布这些漏洞之前,都有三年的时间可以接触到这些漏洞,从而使它们完全颠覆了一些最流行的网络保护设备。这对用户、公司和任何在受保护的网络上被抓到的人都是一种威胁——不管是有意还是无意,这似乎是美国****局所做工作的直接结果。这就提出了一个令人不安的问题:三年前美国****局是否应该告诉这些公司他们软件的弱点?
思科“立即对这些文件进行了彻底调查”
所涉及的漏洞是严重的。其中一组漏洞针对Cisco的Adaptive Security Appliances,这是一种经常用于保护大型数据中心的网络防火墙设备。这些漏洞使得攻击者可以在没有用户名和密码的情况下,伪装成SNMP数据,突破防火墙。另一次攻击利用板载cookie解析器缓冲区中的漏洞触发了Fortinet的FortiGate防火墙中的远程代码执行。
目前还不清楚国安局是否意识到这些漏洞已经被泄露。影子经纪公司的元数据显示,黑客最有可能发生在2013年,但对于可能的罪魁祸首是外国情报局还是内部威胁,以及情报局是否意识到发生了盗窃,各方存在重大分歧。
但是,如果美国****局意识到这些攻击落入了坏人之手,那么不报告这些攻击的决定很可能在这几年中造成了重大的妥协。无论是谁泄露了这些漏洞,在过去的三年里似乎都能持续接触到这些漏洞,如果罪魁祸首真的是俄罗斯情报部门,他们就有充分的理由使用这些漏洞。结果会比诸如Heartbleed或Shellshock之类的虫子更具破坏性,这两种虫子都是在被发现后几天修补的。
影子经纪公司的垃圾场导致了所有受违规影响的公司的紧急清理行动。思科代表在一份声明中说,该公司“立即对这些文件进行了彻底调查”,确认了这两个漏洞,并于周三发布了安全警告。Fortinet在同一天发布了相应的补丁。
Juniper还没有发布任何基于垃圾场的安全警告。
Juniper尚未就其出现在影子经纪人垃圾场发表评论“我们目前正在审查与据称来自Equation Group的披露有关的所有可用信息,并将分析任何可用的新信息,”一位发言人在接近边缘时说如果发现产品漏洞,我们将解决问题,并通过标准的Juniper安全咨询流程与客户沟通。”今年早些时候,Juniper的NetScreen产品中的一个漏洞引发了人们的猜测,即该公司可能与情报机构合作颠覆了自己的产品。Fortinet没有回应置评请求。
在每一个案例中,结果都是对每家公司及其客户来说都是非常糟糕的一周,如果这些漏洞早在2013年就被披露的话,痛苦本可以避免。对批评者来说,这表明**没有考虑附带损害。”美国****局搞砸了,就得由美国科技公司承担声誉成本,”美国公民自由联盟首席技术专家克里斯·索吉安(Chris Soghoian)说,他长期以来一直主张更严格的信息披露要求****局可以避免所有与其错误相关的不愉快。”
“****局可以避免所有与其错误相关的不愉快。”
关于如何以及何时披露美国**机构发现的漏洞的决定取决于漏洞权益程序,这是总统制定的一项复杂的政策指令。尽管EFF尽了最大的努力,但这在很大程度上仍然是秘密,但总体原则是平衡漏洞的潜在危害和它对情报机构的有用性。不过,目前还不清楚漏洞何时触发了这种检查,而且很难说影子经纪公司投放的漏洞是否经历过这个过程。
这仍然是一个有争议的系统,引来了公民自由组织的批评,因为他们没有披露足够的信息,而情报界的许多人认为这是在没有改善供应商整体安全的情况下烧掉有价值的漏洞。
对索霍安人来说,问题在于该组织本身的构成,该组织主要由情报、军事和执法代表组成,但不包括FTC、商务部或国家标准与技术研究院等组织,这些组织可能更适应这些漏洞一旦被释放可能造成的损害。”如果他们不在房间里,那么VEP就不会有任何进展他们需要一个平等的声音。”
与此同时,思科、Fortinet和Juniper都在为自己的产品和声誉辩护。现在补丁已经部署,最艰难的工作已经结束,但长期前景还不太明朗。”每次美国****局搞砸了,他们都会让美国科技行业看起来很糟糕世界依赖于美国的软件和硬件,如果我们想继续这样做,那么可能代价就是美国****局不得不有所收敛。”
更新时间:美国东部时间8月19日下午3:19:更新了Juniper的评论。
...商。广告数据共享尤其有问题,因为广告商通常持有你的影子资料。影子档案包含他们认为准确的信息,可能包括你的兴趣,你可能认识的人,甚至你的性取向。 ...
... 巧合的是,微软在3月份修补了永恒蓝漏洞,随后影子经纪人的大规模武器级漏洞就登上了头条。考虑到攻击的性质,我们知道这个特定的漏洞正在发挥作用,以及感染的快速性,在关键更新发布两个多月后,似乎有大量组织...
...续流入营利性罪犯、****和流氓国家的手中。没有比影子经纪人更好的例子了。 ...
...道他们已经被禁止了。这正是暗影禁令与众不同的地方。影子禁令,也被称为幽灵禁令,或秘密禁令,通常被定义为阻止用户或其内容的做法,全部或部分,在某种程度上,它不会明显的用户。 ...
...能。 这次数据泄露,再加上最近有消息称Facebook正在收集影子个人资料,并利用你的电子邮件地址瞄准广告,将加大对这些互联网巨头进行GDPR式监管的呼声。也应该如此。 相关报道:Facebook利用你的电话号码来定位广告,你无...
...Guccifer2.0。那个账户坚称那只是个男人。他们设立了影子经纪人。 我把它读作“这里有一些傻瓜”,他们想要看起来比以前更笨,更小,而且他们在这方面非常有效。首先,谈谈这些策略。然后我的问题是,我们是否更善于看清...
...尼影业(Sony Pictures)等正在进行的犯罪和国家黑客攻击之后,但许多人批评新一批信息共享法案为私营部门的监控打开了大门。Ron Wyden批评CISA,一项较早的信息共享法案,称之为“另一个名字的监视法案”。其他人则质疑**机...
...astebin的链接,从而导致超过300mb的漏洞和脚本。根据影子经纪人的说法,这些数据来自Equation Group,这是一种长期以来与NSA有关的高级恶意软件威胁。除了这些数据,攻击者还用蹩脚的英语发表了一份宣言。”我们要确保富有的...
... 16个字符串匹配 上周六,一个名为“影子经纪人”的组织开始泄露美国****局的漏洞和脚本。随着安全专家的参与,越来越清楚的是,泄露的工具是合法的,今天公布的斯诺登文件是我们可能找到的最接近冒烟的...