美國網絡審查對俄羅斯黑客事件採取迴避態度，暗示存在限制 - 彭博社

徽標位於美國德克薩斯州奧斯汀的SolarWinds Corp.總部外。2020年12月22日星期二，IT監控和網絡管理公司SolarWinds Corp.的一名前安全顧問表示，他曾警告管理層存在網絡安全風險，並提出了一項改進計劃，但最終被忽視了。攝影師：Bronte Wittpenn/Bloomberg你好，我是Jeff Stone。研究重大黑客攻擊的美國頂級審查委員會並沒有如其設想的那樣做。但首先…

您可以將任何反饋發送至[email protected]。如果您尚未訂閲此新聞簡報，請在此處訂閲。

必讀：

• 一種新型的加密利用導致Mango遭受1億美元盜竊• 一組位於印度的Twitter賬户煽動了英國的政治暴力• 維吾爾人在中國境外生活告訴我們，他們對全球監控的廣度感到驚訝

網絡安全視角

美國備受矚目的新網絡審查委員會的首份報告原本應該評估引起安全社區震動的大規模SolarWinds黑客攻擊。

然而，這個類似於審查航空事故的委員會最終調查了另一起事件，無意中展示了其最初設計的缺陷。

去年簽署行政命令後，白宮 成立了網絡安全審查委員會，這是一個由專家組成的小組，負責審查威脅美國國家安全的黑客事件。該小組旨在“有意義地改進”美國的數字防禦，並在一定程度上受到了國家運輸安全委員會的啓發，後者調查飛機失事、火車脱軌和其他交通災難。

雖然網絡安全審查委員會（CSRB）聚集了政府和私營部門的重量級人物 – 谷歌安全工程副總裁希瑟·阿德金斯和國家安全局網絡安全主任羅布·喬伊斯等大人物 – 但它沒有國家運輸安全委員會那樣的調查權力，後者可以依法強制組織提供他們本來希望保密的細節。

專家們對網絡安全審查委員會的創建表示讚賞，這代表了公眾難得的機會，可以瞭解主導頭條新聞的難以理解的黑客攻擊。然而，由於沒有傳票權，該委員會只能希望黑客受害者願意站出來談論他們的失誤。

全世界的善意都無法説服許多公司律師自願向一個試圖代表公眾修復漏洞的團體提供客户的詳細信息。對律師們來説，問題不在於嘗試從安全漏洞中學習。問題在於CSRB試圖首先揭示這些問題，可能會公開披露它們。

只是查看第一份報告。

拜登總統呼籲CSRB首先專注於SolarWinds網絡間諜活動，俄羅斯間諜入侵了一家聯邦承包商，花了數月時間在至少九個美國政府機構的網絡內漫遊，也許還有100家公司。如果有一個安全事件值得更詳細瞭解，那就是莫斯科的黑客入侵了司法部的電子郵件，訪問了從負責美國製裁的財政部獲取的數據，以及查看了支撐一些微軟技術的源代碼。

相反，出於尚不清楚的原因，董事會改變了其第一次調查的目標，轉而深入研究Log4j，這是一個包含漏洞的開源軟件庫，這些漏洞可能會讓攻擊者能夠完全接管易受攻擊的計算機。

負責監督CSRB的國土安全部未回應置評請求。

三名審查委員會成員在背景下暢所欲言地告訴我，他們將調查目標轉向Log4j，是因為它代表了比SolarWinds黑客攻擊更緊迫的威脅，並且這提供了一個研究開源軟件的機會，這些軟件連接了大量的技術。

從這個角度來看，他們的轉變是有道理的。

但要徹底調查SolarWinds的入侵也需要該公司以及Mandiant、微軟和其他許多公司自願向一組尋求瞭解專有技術的網絡安全專家提供數據。這也將暴露美國政府未能為這種威脅做好準備，儘管數年前的警告來自政府問責辦公室表明這種事件是可能發生的。

Log4j的最終報告記錄了Log4j漏洞的歷史、披露時間表和補救技術。

它未包括有關黑客如何武器化Log4j漏洞的細節，使讀者對入侵類型、外部竊取的數據類型、攻擊者身份以及受害者如何應對一無所知。兩名董事告訴我，這種違規取證將有助於瞭解需要改變的行為類型。

將這種缺乏透明度與國家交通安全審查委員會相比，那裏的調查人員通常在撰寫結論性報告之前收集醫療記錄、分析飛機殘骸並採訪目擊者。

網絡安全內部人士花了一代人的時間在大談“信息共享”作為對抗國家間間諜活動、數字勒索、電子郵件詐騙和跨國欺詐的靈丹妙藥。

如果政府的首席審查委員會負責收集信息並汲取關於最具破壞性黑客攻擊的教訓的權力不足以全面審問這些違規行為，那還有什麼意義呢？

本週我們學到了什麼

一場冒充迪克體育用品和揹包零售商Tumi等人的網絡釣魚活動 使用新穎技術欺騙用户交出他們的財務數據，根據我們獨家提供的發現。

釣魚頁面偽裝成合法網站的示例（由Akamai提供）。騙子們正在利用URL縮短服務和虛假社交媒體資料，以使他們的欺詐行為看起來更可信，根據安全公司Akamai的研究人員。這場持續的活動鼓勵目標點擊一個看起來逼真的電子郵件，承諾一份獎品，然後要求他們的信用卡信息。Akamai指出，這場活動模仿了假期季節周圍的一種流行營銷技術，尤其惡劣的是，這些假網站看起來如此合法。

教訓是什麼？永遠不要點擊任何東西。永遠退出。

我們正在閲讀的內容

《連線》記者安迪·格林伯格的新書，黑暗中的追蹤者，講述了警察如何利用區塊鏈技術逮捕數字時代的毒梟、虐童者和長期被認為在匿名狀態下運作的黑客大亨。這是一個戲劇性的故事，讓你忘記自己正在閲讀關於那些花時間在鍵盤後面的人的內容。

疑似伊朗黑客在美國網絡上部署了加密挖礦軟件，根據國土安全部的説法。

俄羅斯編寫的代碼偽裝成美國風格進入了美國陸軍、疾控中心的應用程序，正如路透社報道的那樣。

推特賬號冒充 NFT 商店正在欺詐用户，騙取加密貨幣，根據CyberScoop報道。

烏克蘭和波蘭交通 遭受勒索軟件事件，與俄羅斯軍方有關，微軟告訴CNN。

推特的高級安全 和隱私主管離職，引發擔憂，對公司保護數據的能力產生質疑。隨後，埃隆·馬斯克解僱了在該網站上批評他的員工。

涉嫌的俄羅斯騙子竊取了有關墮胎的數據。

網絡犯罪團伙改變他們的策略，使調查變得更加複雜。

釣魚行動

我們不確定這裏是否應該感到冒犯…

您可以聯繫傑夫·斯通，郵箱：[email protected]，或在Signal上聯繫+1 (551) 236-3453。瑪吉·墨菲的郵箱是[email protected]，或者在+1 (415) 254 3919上聯繫。您也可以使用我們的SecureDrop安全匿名地發送文件。