微软起诉了一个网络间谍组织Thallium,该组织与朝鲜关系密切。据12月27日收到的起诉书表明,该组织通过鱼叉式网络钓鱼攻击侵入其客户的账户和网络,以窃取敏感信息。

North_Korea.png

“为管理和指挥Thallium,被告已在网上成立运营一个由网站、域和计算机组成的网络,他们有特定目标,利用该网络破坏客户的网络账户,感染其设备,并从其中窃取敏感信息。”

该诉讼由微软于12月18日向美国弗吉尼亚州东区地方法院提起,由彭博社法律杂志的Blake Brittain首次报道。

“此次活动的幕后指使人的身份和地理位置尚不得而知,但是安全社区人员认为和朝鲜黑客组织有关。”

微软表示,Thallium的攻击目标不限于公共或者私营行业,政府官员、从事核扩散问题的组织和个人、智库、大学工作人员,维和组织成员、人权组织以及许多其他组织和个人都是他们的目标。”

据Redmond的投诉,朝鲜黑客至少从2010年就开始活跃,通过Gmail、Yahoo和Hotmail等合法服务进行鱼叉式网络钓鱼攻击,以此为人得知。

投诉附录A中列出了Thallium在其攻击中使用的50个域的名单,微软按照法院命令将其删除。

微软客户安全与信任副主任Tom Burt在博客中表示: “我们在弗吉尼亚州东区的美国联邦法院提起针对Thallium的法庭诉讼,法院下达的命令使微软能够控制该组织活动的50个域名。此外,删除之后,这些站点将不再被用来执行攻击。”

STOLEN PENCIL APT组织活动的背后

Netscout的ATLAS安全工程和响应小组(ASERT)还追踪到了朝鲜黑客组织活动之一的STOLEN PENCIL。

根据Netscout的说法,至少从2018年5月起, STOLEN PENCIL APT活动就一直针对学术机构进行鱼叉式网络钓鱼攻击,最终目标是窃取凭据。

基于共享资源,Palo Alto Networks的Unit42还将Thallium的STOLEN PENCIL活动与一种名为BabyShark的恶意软件相关联,且是其鱼叉式网络钓鱼活动的一部分。该活动的重点是从2018年11月开始“收集亚洲东北部国家的安全问题情报”。

Unit42说:“精心制作的鱼叉式网络钓鱼电子邮件和诱饵表明,威胁行为者非常清楚目标,并密切监视相关社区事件以收集最新情报。”

“虽然没有定论,但我们怀疑,BabyShark背后之人可能与KimJongRAT恶意软件家族背后之人有联系,至少与负责STOLEN PENCIL运动的攻击者共享资源。”

KimJongRAT恶意软件样本可以追溯到2010年。BabyShark恶意软件经常作为电子邮件的恶意附件发送给用户。恶意软件将删除带有文件扩展名的文件,然后该文件将发送一个命令,以标出并获取编码脚本,再将编码脚本返回设备。

微软在Thallium投诉中确认了这些关联,并说:“除了窃取用户凭据,Thallium还利用恶意软件,最常见的本土化植入恶意软件为“ BabyShark”和“ KimJongRAT”,用以破坏系统和窃取数据。”

“ Thallium使用误导性域名和微软商标,使受害者单击链接,从而在受害者的计算机上安装其恶意软件。一旦成功,此恶意软件就会从受害者计算机中窃取信息,且长久存在,并等待Thallium的进一步指示。”

1567039296260538.jpg

针对Microsoft客户的攻击

Redmond在7月份也曾提及朝鲜政府赞助的Thallium,该公司表示在过去一年中通知了大约10000名客户,这些客户也是他国的威胁组织的攻击目标。

微软Tom Burt表示:“这些攻击中约有84%是针对我们的企业客户,约16%是针对消费者的个人电子邮件账户。”

伊朗和俄罗斯的APT组织也是攻击微软客户的幕后黑手,包括来自伊朗的Holmium和Mercury等以及来自俄罗斯的Yttrium和Strontium(又名Fancy Bear或APT28),在某些恶意活动中泄露客户信息。

在侦察网络间谍活动的同时,微软检测到针对2016年美国总统大选和最近一次法国总统大选的攻击,俄罗斯Strontium黑客组织也曾盯上2018年美国参议院候选人。

捕获Phosphorus和Fancy Bear的域名

Burt说:“这是微软第四次利用法律手段制裁国家活动组织,旨在拆除恶意域的基础结构设施。这些行动导致了数百个域的删除,保护了数千名受害者,并改善了生态系统的安全性。”

微软威胁情报中心(MSTIC)之前发现了伊朗网络间谍组织为Phosphorus(又名APT35,Charming Kitten或Ajax安全组织),该组织试图获取2700多名客户的账户信息,其中241个账户受到攻击,最终在8月到9月之间获取了其中四个攻击账户。

微软的数字犯罪部门能够通过基础架构域来阻止Phosphorus组织的某些网络攻击。基础架构域是其开展攻击的核心。通过控制其99个域名,Microsoft获取黑客组织的部分业务,并将流量转向,从而收集了有关该黑客组织活动的重要信息。

该公司此前还于2018年8月对Strontium提起了15起类似案件,后来又没收了91个域名。

*参考来源:BLEEPINGCOMPUTER,Sandra1432编译,转载请注明来自FreeBuf.COM

2020年网络安全薪酬调查是一项由The Hacker News发布的线上调查,旨在为网络安全从业者提供有关薪酬细节参考。

该项调查由1500多名安全专业人员完成。下文是经过汇总和分析的2020年网络安全薪酬调查结果,并深入分析了当前网络安全薪酬的主要分布和影响因素。

该份报告统计得到数据,形成五个安全职位的薪水调查结果,分别是安全分析师/威胁情报专员、安全/云安全架构师、网络安全工程师、渗透测试人员和安全总监/经理。

调查结果包含这些职位的薪资范围和组成,以及组织(地理位置、行业等)和个人(性别、经验、学历)因素的相对影响。

网络安全从业人员可以参考这份调查报告结果,了解自己的薪资范围和相关影响因素,希望这篇文章对安全从业人员有所帮助。

除此之外,所收集的数据验证并驳斥了先前有关地理位置、学历等因素影响程度的一些假设。以下是报告的一些有趣的发现:

地理位置问题。 NAM的安全分析师的薪水远高于EMEA和APAC的分析师,其中80%以上的收入在7.1万至11万之间,而EMEA的分析师不到35%,APAC的只有21%。

学位不能保证更高的薪酬。五个职位对于有或没有计算机科学或相关工程学位的从业人员,工资范围分布都相似。

银行和财务行业组织在管理层面和个人层面薪资范围和分布都遥遥领先。

技能胜过经验。出乎意料的是,在五个职位上,我们发现没什么经验的人在薪酬曲线顶端,而经验老练的反而在低端。

转行薪酬。从IT职位转到网络安全职位的个人比在网络安全领域起步的同行获得更多的收入。

奖金十分常见。除安全分析师外,所有其他职位均包括定期奖金,年度奖金为1%-10%。

女员工稀缺。从事安全行业的女性员工严重稀缺,失衡比例最为严重的是20-29岁年龄段的人群,只占总体人群的6%。

女性员工进入管理层。在五个职位中,担任安全主管/经理职位的女性比例最高,为10%。

以下是五个职位薪酬的部分数据,需要进一步了解的可在文末下载完整报告。

一、安全分析师/威胁情报专员

1.总体薪资分布

image.png

2.奖金情况

image.png

3.组织行业对薪资的影响

image.png

二、渗透测试人员

1.总体薪资分布

image.png

2.奖金情况

image.png

3.组织行业对薪资的影响

image.png

三、网络安全工程师

1.总体薪资分布

image.png2.奖金情况

image.png

3.组织行业对薪资的影响

image.png

四、安全/云安全架构师

1.总体薪资分布

image.png

2.奖金情况

image.png

3.组织行业对薪资的影响

image.png

五、安全总监/经理

1.总体薪酬分布

image.png

2.奖金情况

image.png

3.组织行业对薪资的影响

image.png

完整报告下载地址:

https://go.cynet.com/hubfs/2020-Salary-Survey-Report.pdf?utm_source=hs_automation&utm_medium=email&utm_content=80357074&_hsenc=p2ANqtz-89DJZaweR3M0dA3jI5q7UmR5x67WuJLdj3rCLKS1WsfYPUmygt9fWwPzrQU8BiV6gfR0GH8zTCOI0fy3QT1C1W3JGbfw&_hsmi=80357074

*参考来源:TheHackerNews,Sandra1432编译,转载请注明来自FreeBuf.COM

网络安全成为主流的十年

在2010年之前(其实应该是从2011年算起,不过2010年更顺口),网络安全还是一个孤立的领域。直到自己所使用的东西无法运转之前,没有人真正关心这一行业。恶意软件或广告软件导致设备崩溃,用户因为设备无法使用而不得不由 IT 人员重新加载时感到懊恼,但这一切问题结束后,忧虑也随之消散。

cybersecurity-2-1.jpg

当我们迈入2010年时,多数企业的做法仍然毫无改观,但到2018年至2019年时,网络安全专家和安全及风险专业人员成为董事会及新闻中的常客。关于“网络”的斗争激化了,抵抗力量消散了,而这就是所谓的整个历程。我们不如把优雅接受失败的做法视作臣服吧。我们来盘点一下十年来最值得注意的趋势和事件。

这句话最流行:我们认真保护您的隐私和安全。

每个人或听过或读到过这句话,它往往出现在公司开始解释造成侵犯隐私和安全的事件的原因之前。而多数安全和风险专业人士认为这句话中缺少一个关键词:“现在”——“现在,我们认真保护您的隐私和安全。”这句话如此流行,Forrester 公司的分析师甚至为其创建了一个新指标:MTBCA(“距离首席执行官道歉的平均用时”)。

采用率最高的借口:“精明的攻击者绕过安全控制……等等”

尘埃落定后,我们几乎总会发现攻击者实际上并没有那么“精明”。或者,即使他们很精明,但实际上并未耗费九牛二虎之力就侵入环境。结合唾手可得的目标和 Living off the land(LotL) 技术让攻击者游刃有余地入侵公司。

并购幻灭:Intel 和 McAfee

Intel 和 McAfee 的并购掀起了网络安全市场长达十年的并购活动和资本涌入盛况。多数并购活动确实带来积极影响,但本案例除外。

McAfee 被收编至 Intel 麾下的七年毫无建树。Intel 兼并 McAfee 好像是发生在多年以前的事,或者看起来似乎如此,但事实果真如此吗?实际上它发生在2010年中期。在落笔前,我本来要说这件事发生在上个十年,但实际上并非如此,它确实拉开了这个十年的序幕,它到底象征着什么呢?Intel 的愿景本来是利用 McAfee 将安全性嵌入硬件中,为Intel 带来独立的硬件和安全厂商无可比拟的独特的竞争优势。遗憾的是,这一愿景并未结出硕果,Intel 最后不得不将 McAfee 剥离出去。Forrester 公司曾预测到这一点,七年后它成为了现实。

荣誉提名:火眼公司和 Mandiant

分水岭:杀死链和APT报告

Mandiant旗下火眼公司发布多份关于国家黑客参与网络纠纷的案例报告,用间谍小说的手法说明网络安全,改变了该行业的市场营销方式。在这十年行将结束之前,一个接一个的企业使用威胁情报报告作为内容营销手段招徕客户。

每个行业都有自己的术语,网络安全行业也不例外。火眼公司发布关于 Lockheed Martin KillChain(“杀死链”)报告创建了以术语来解释发生了什么、为何会发生、如何分类以及更重要的是如何应对未来的各个攻击阶段。它并未解决技术和非技术观众之间的沟通鸿沟,但确实解决了在构造攻击方面网络安全行业内的沟通问题。

最佳(或最糟糕)恶意软件

备选者虽众,但这这两款恶意软件因定义了这十年来的攻击工具而鹤立鸡群。

“震网 (Stuxnet)”具备一切:复杂性、地缘政治和工控系统。Stuxnet 不乏专门的书籍和纪录片介绍,而且一名美国陆军将军因揭露 Stuxnet 实际上是代号为 “Olympics Games” 的一项美国计划而受到纪律处分。输出 Stuxnet 要求结合技术能力、HUMINT 和足够的时间以便通过外交渠道解决问题。

WannaCry 和 NotPetya 问鼎勒索软件冠军。这十年的后半段应该是勒索软件的天下,它使电信、物流、公共事业、市政等机构瘫痪。其它恶意软件和这两款勒索软件相比均黯然失色,尤其是从非网络安全从业人员的角度来看更是如此。尽管造成了破坏,但 WannaCry 和 NotPetya 也让网络安全对于互联企业的重要性得到宣传。

荣誉提名:PoisonIvy、Magecart、Anthem、Community Health Systems 和每种银行木马。

最重要的数据泄露事件

我们不可能提到所有的大型或超大型数据泄露事件,而且它们也无法被称之为“最佳”。因此,我们来回顾一下在这十年来造成重大变化的数据泄露事件。

言必称Target:Target 沦为营销素材

Target 百货公司数据遭泄露的后果虽然肯定影响广泛,但该行业内的所有相关方受影响最大的地方在于,Target 成为每家供应商平台的默认梗:在第3张和第7张幻灯片之间的某个地方,肯定会听到关于 Target 的内容。

OPM 挫败美国的情报能力。2014年3月20日,美国人事管理局获悉黑客已经提取了用于对安全通关进行背调的敏感的 Standard Form 86 副本。

索尼影业连接演员 Seth Rogen、Aaron Sorkin 和朝鲜。

人们最初对索尼影业遭受攻击的注意力主要集中在它是朝鲜因电影《访谈》而实施的网络安全报复上,索尼影业被攻击之后后背发凉:因为多位名人之间的邮件往来都被暴露在互联网上。这件事引发了人们对知识产权所有权以及谁能从被提取数据中获益的大讨论。而我们也获悉了各种爆料,如名人作家和娱乐节目主持人有时会通过写剧本支付私立学校的学费,以及索尼影业曾考虑聘请律师强迫明星出演但最终以失败告终的各种故事。

荣誉提名:RSA、Equifax、Yahoo、Marriott 和 SWIFT

最具破坏力的漏洞

在我们说明这些漏洞之前,我们必须先说明由它们所产生的类别,即“十年中让我们讨厌的趋势”:每个漏洞都有一个 logo 和网站。无需 write-up,它们自证其身。但从2010年到2019年期间,出现了两个漏洞:一个破坏了互联网基础架构,另一个导致勒索软件爆炸式增长:

OpenSSL 被曝“心脏出血 (Heartbleed)”漏洞,现在仍受影响

我们有一些非常有名的 CVE 漏洞,但很多人挠破头也不知道 CVE-2014-0160 是什么。但如果你说“心脏出血”,他们马上就反应过来了。它的名气超过 MS08-067,确实也实至名归。这个漏洞命中所有一切:网站、工具设备(包括安全设备)、应用程序……无所不包。它会导致什么后果?一切后果:私钥、用户名、密码、邮件、数据……所有通过受影响的 OpenSSL 版本加密的一切东西均可被攻陷。如果你想找到能够破坏技术领域中一切东西的漏洞,那它非“心脏出血”漏洞莫属。

“永恒之蓝(EternalBlue)”证实 NSA 真的非常善于开发 exploit

同时它证明网络武器落入不法之徒之手,真的非常危险。尽管2017年起就发布补丁,但“永恒之蓝”仍持续侵害企业。WannaCry、NotPetya和“坏兔子”也在攻陷初期阶段使用“永恒之蓝”,利用微软 SMB 协议中的缺陷用于横向移动。

荣誉提名:Meltdown 和 Spectre 以及 VPN 工具漏洞

网络安全框架之最

虽然框架很难让我们激情澎湃,但安全和风险专业人士迫切需要一些共性的东西来塑造程序并为安全程序提供目标。NIST 和 MITRE 提供的正是这些东西:

NIST 网络安全框架已成为安全程序的沟通语言

2014年2月,NIST CSF 作为一个全面的框架首次亮相,它确实值得赞扬:将识别、保护、检测、响应和恢复的概念纳入我们的共享词典中。Forrester 公司发现,经过网络力量的传播,NIST CSF 已成为讨论网络安全程序的董事会级别的语言。很多董事会成员任职于多个董事会,他们从一位 CISO 那里听到 NIST CSF 之后开始后询问其他人相关信息,从而使其在网络程序相关讨论中占据重要地位。

MITRE ATT&CK 已成为网络安全威胁的沟通语言

ATT&CKruin已成为一种为业内广泛接受的标准,如 ATT&CK 网站所言,“ATT&CK 是关于网络对抗行为的知识库,也是对它们生命周期内网络对抗动作的分类。”Kill Chain 之于攻击阶段的做法就如同ATT&CK 在深层次之于攻击者的行为和动作。鉴于最终用户和投资者在检测公司投入大量资金,ATT&CK 开发了一种方法,用于理解供应商安全工具在各个类别中的性能。

让我们继续前行

这十年不乏亮点,不过也有很多不为人所知之处。但对于在2010年之前开始职业生涯的安全和风险专业人士而言,情况确实是在向好的方向发展,他们得到了高管的更多支持,人们对网络安全重要性的意识在提高,而且人们关注到技术对社会的影响。安全、风险和隐私挑战不会消失。尽管如此,我们仍然从这十年的挫折中获得了很多经验教训,也知道了如何处理这些障碍迈出更有意义的步伐。虽然道阻且长,但一切值得做的事情不都如此吗?

*参考来源:forrester,由奇安信代码卫士变异,转载请注明来自FreeBuf.COM

近期,亚信安全截获伪装成“Synaptics触摸板驱动程序”的新型蠕虫病毒,该病毒具有很强的传播性,既可以通过带有恶意宏代码的Excel文档传播,也可以通过对正常的EXE文件进行偷梁换柱(将正常的EXE文件内容复制更新到病毒自身的资源段中)的方式传播。亚信安全将其命名为Worm.Win32.OTORUN.KAT。

当机器感染该病毒后,其会拦截用户新建Excel文档或者打开Excel文档的行为,并将新建或者打开的Excel文档替换成带有恶意宏代码的文档(亚信安全检测为:TROJ_FRS.0NA103BE18),恶意的宏代码主要功能是下载并执行病毒的主体文件Synaptics.exe(亚信安全检测为:Worm.Win32.OTORUN.KAT),进一步感染其他机器。

执行流程

详细分析

当用户在桌面上打开EXE可执行文件时,该病毒首先会复制自身,然后将用户打开的文件更新到刚刚复制的病毒文件的资源段中,最后替换原始的文件,这个感染过程不会破坏原始的文件功能,用户点击该文件后,仍然会执行原始文件的功能,但实际该文件已经被病毒文件所替换,机器感染了病毒,由于其感染方式较为隐蔽,所以用户很难察觉到异常。

病毒主体信息和伪装的安装过程如下所示:

宏文档分析

该病毒主体文件的资源段内包含此恶意的宏文档,如下图所示:

使用oletools工具dump此宏代码,主要的功能是从远程服务器下载病毒主体文件Synaptics.exe,并将其设置成系统隐藏文件后执行。具体信息如下:

首先会在系统临时目录创建随机文件,并将此XLSM资源段内的数据复制到该文件中:

然后用临时目录的随机文件替换桌面上新建的Excel文档:

病毒感染后的效果如下:

主体Synaptics.exe病毒文件分析

该病毒为了隐蔽自身的恶意行为,其会在同目录下释放保存在资源段“EXERESX”的安装程序,然后运行。之后对EXE文件进行偷梁换柱的行为也是将EXE文件重新更新到这个资源段内,达到传播和伪装的目的。

查找资源段“EXERESX”数据:

在病毒同目录中创建一个“._cache_+Synaptics.exe”文件,用于存放该资源段内的可执行文件。(伪装的安装程序或者被感染的正常EXE文件):

然后调用ShellExecute函数执行此文件。如下所示:

添加注册表自启动项目:

正常EXE文件替换分析

首先会将病毒自身复制到临时目录中的随机文件中:

然后为其创建一个图标文件并写入数据:

使用UpdateResourceA函数将资源段EXERESX中的内容更新到临时文件的PE资源段,这样就达到了替换和隐藏的目的。用户在执行替换后的文件时(由于图标已经替换,表面上很难识别),由于病毒总是优先执行其资源段EXERESX中释放出来的文件,所以并不影响客户原始的EXE文件的功能:

最后将这个临时文件更换为原始文件,并删除临时文件:

整体的替换过程代码如下所示:

正常EXE文件感染替换后的效果如下:

网络请求功能分析

该病毒会创建线程进行网络请求和邮件发送等:

判断网络状态,从远程服务器下载文件到本地:

发送邮件相关代码如下:

解决方案

不要点击来源不明的邮件以及附件;

不要点击来源不明的邮件中包含的链接;

打全系统及应用程序补丁;

采用高强度的密码,避免使用弱口令密码,并定期更换密码;

尽量关闭不必要的文件共享;

IOC

文件SHA-1 文件名 亚信安全检测名
FF01C2EC1513C2EA11BDE2E**F91CFE2 Synaptics.exe Worm.Win32.OTORUN.KAT
00BC96**8B98676ECD67E81A6F1D7754E 4156044 XLSM TROJ_FRS.0NA103BE18

*本文作者:亚信安全,转载请注明来自FreeBuf.COM

一、前言

自GDPR法规在欧盟发布以来,隐私保护在国内也逐渐完善了立法和相关标准的制定,今年四部委成立APP专项治理组后,许多公司也开始对APP进行的自查和整改。我们在此项工作中,发现许多细节内容并没有多少具体实施和落地的资料可以查阅,只能逐步在摸索中进行。

APP隐私政策保护主要在以国标GB/T 35273-2017《个人信息安全规范》,APP专项治理工作组编制了《App违法违规收集使用个人信息自评估指南》作为主要标准依据,尤其是《指南》是目前官方可能唯一发布的相对比较具体的重要参考。

上一篇《APP隐私保护之二——用户端隐私保护实践》中探讨了APP前端的一些法规要求和实践措施,本文着重探讨服务端及企业内部数据安全策略方面的数据安全保护机制,包括数据存储,使用,共享,转让,公开等数据生命周期中的核心环节。

以往文章:

《APP隐私保护之二——用户端隐私保护实践(上)》

《APP隐私保护之二——用户端隐私保护实践(下)》

二、个人信息保存

个人信息保存包括数据传输和数据存储的相关要求,APP运营方应该对数据传输和存储过程,方式,以及有效时间做相关的控制,并使用如加密,匿名化等技术措施作为数据保障的基础能力。

2.1. 数据加密和匿名化技术

2.1.1. 数据加密

(1)数据传输加密:通常会使用HTTPS等安全协议进行传输

SSL/TLS系列中有五种协议:SSL v2,SSL v3,TLS v1.0,TLS v1.1和TLSv1.2;

SSLv2 是不安全的,不能使用;

TLSv1.1 和 v1.2 都没有已知的安全问题,只有 v1.2 提供了现代的加密算法;

当然也可以用其他协议传输,将传输的敏感数据内容加密。

(2)数据存储加密:线上数据加密一般会对结构化数据的某几个敏感字段家加密,比如含有个人隐私信息的字段

数据库存储加密的三种方式:

开源的加密组件,如Key Management Service(KMS),通过开发SDK或集成至数据库中间层实现自动加解密。

数据库自身功能,如Mysql加密解密函数AES_ENCRYPT(),AES_DECRYPT();SQL Server加解密函数dbo.EncryptByPassPhrasePwd,dbo.DecryptByPassPhrasePwd。

商业数据加解密产品,有需要的可以自行了解一下

2.1.2. 匿名化处理

匿名化处理是使用场景

用户注销账户,删除数据时

大数据平台使用数据加工

收集个人信息后,建议将数据匿名化或去标识化,并将该信息与可用于恢复识别个人的信息分开存储(一般存储至大数据平台)。数据加工时,优先使用匿名化的数据,并加强对个人信息的访问控制,这样可以很好的控制个人隐私泄露的场景。

2.2. 人信息控制者停止运营后的处置机制

公司一般不会涉及到这种情况,但是做隐私合规时,需要这部分完善的管理制度。

a) 及时停止继续收集个人信息的活动;

b) 将停止运营的通知以逐一送达或公告的形式通知个人信息主体;

c) 对其所持有的个人信息进行删除或匿名化处理。

一般来说需要建立一套管理制度,或某个管理制度建立相关条款。并对上述要求具体实施细则建立一个操作流程。

三、个人信息使用

3.1. 个人信息使用的访问控制

个人信息的访问控制,我的理解主要是针对企业内部的数据访问机制,需要遵循最小权限原则,即用最少的人访问最少的数据。

常见的场景:

后台系统访问和获取数据的权限控制措施,系统统一认证鉴权

应用系统之间数据接口的权限管控,尤其是跨业务线,跨项目的情况

数据提取和拷贝机制

大数据平台,在线数据分析

办公网数据管控(桌管,零信任,线上文档编辑工具)

兜底方案:DLP,水印,染色,审计系统

3.2. 系统后台展示方式

涉及通过界面展示个人信息的(如显示屏幕、纸面),对需展示的个人信息采取去标识化处理等措施,降低个人信息在展示环节的泄露风险。例如,在个人信息展示时,防止内部非授权人员及个人信息主体之外的其他人员未经授权获取个人信息。

这里简单的解释就是系统展示也做脱敏,当然许多场景可能不能脱敏。

3.3. 用户请求的处理机制

(1)投诉处理机制

个人信息控制者应建立申诉管理机制和申诉跟踪流程,并在合理的时间内对申诉进行响应。具体做法分为四个步骤

建立申诉管理制度;

提供了有效的申诉渠道;

承诺了反馈时限;

承诺的反馈时限内进行响应。

申诉管理制度可以是一个独立文件,也可以是和客服建立的流程机制,甚至是知识库文件,建立制度的目的是规范申诉事件的处理方法,避免出现,无人响应,应答错误等情况

有效的申诉渠道一般在隐私政策中会有说明,最好还是建立多个申诉渠道,保证申诉渠道的通畅,比如电话,在线等,在APP中建立相应入口最佳。

承诺了反馈时限原则上不能超过15日。

承诺的反馈时限内进行响应是上述所有措施有效的保障:

第一,建立详细的申诉受理流程,客服,安全,法务,公关等岗位进行联动。客服直接面向客户进行简单的判断和争取收集,安全部跟进确认申诉事件判断最终结果,法务和公关进行最中事件解决的方案。

第二,保障上述流程进行,需要建立知识库,常见问题,需要收集哪些信息告知一线客服,并进行相应培训。

第三,安全部的数据溯源措施,工具,以及内部承接事件的应急处置方案建立。由于有时间限制,一般从客服接单后,只有不到10天的“破案”事件,所以溯源工具和标准化作业流程很重要。

第四,定期演练和培训,演练和培训是保障机制流畅运行的好办法。

第五,对自己的队友多鼓励,不要埋怨。尤其是制度建立之初,可能会有一些不靠谱的单子发过来,这时如果一味的埋怨一线客服可能会让整个流程变得阻塞。多分析原因,逐步积累知识库和培训素材,才是让一切变好的好方法

(2)个人信息获取副本和查询信息

获取渠道确认:可以是电话申请,线上申请等

获取途径:邮寄,在线提供等

身份认证:验证身份信息,可以通过输入密码,核对**等

信息提取流程:用户需要信息的类型,建立信息提取流程

证据保存:包括用户请求证据,***据,提取过程日志或记录。

四、个人信息的共享,转让,公开

4.1. 第三方共享转让

(1) 事先开展个人信息安全影响评估,并依评估结果采取有效的保护个人信息主体的措施。

参照《信息安全技术 个人信息安全影响评估意见稿》方法,这里不详细介绍了。

(2) 向个人信息主体告知共享、转让个人信息的目的、数据接收方的类型,并事先征得个人信息主体的授权同意。

一般通过隐私政策,隐私政策弹窗

(3) 共享、转让经去标识化处理的个人信息,且确保数据接收方无法重新识别个人信息主体。

只能尽量传输去标识化信息或脱敏信息,影响正常业务的还是可以共享个人信息的,主要看业务开展的模式。要建立相关制度,比如对第三方的安全要求,共享机制,安全协议,监控措施等。

(4) 准确记录和保存个人信息的共享、转让的情况,包括共享、转让的日期、规模、目的,以及数据接收方基本情况等

一般通过数据接口传输数据需要记录数据传输的日志,日志含有日期,访问规模,额外等级该接口的使用目的和数据接收方信息。

(5) 承担因共享、转让个人信息对个人信息主体合法权益造成损害的相应责任

处理个别案件和免责声明时要注意,可能需要让法务部了解一下。

(6) 帮助个人信息主体了解数据接收方对个人信息的保存、使用等情况,以及个人信息主体的权利,例如,访问、更正、删除、注销账户等。

客服的流程,客服能够帮助客户了解第三方信息。在与第三方签订合作时,需要将次义务特别说明。

4.2. 个人信息公开披露处理

(1) 事先开展个人信息安全影响评估,并依评估结果采取有效的保护个人信息主体的措施

同上,不介绍了

(2) 向个人信息主体告知公开披露个人信息的目的、类型,并事先征得个人信息主体明示同意

在公开披露个人信息前,需要通知并获得同意

(3) 准确记录和保存个人信息的公开披露的情况,包括公开披露的日期、规模、目的、公开范围等

公开披露场景很多,所以没有确定的方式。比如通过系统公开获奖名单,一般会脱敏个人信息,并且上传系统的日志中记录此次获奖名单即可。

(4) 承担因公开披露个人信息对个人信息主体合法权益造成损害的相应责任

(5) 不得公开披露个人生物识别、基因信息

4.3. 个人信息委托处理

(1) 个人信息控制者应对委托行为进行个人信息安全影响评估

同上,不介绍了

(2) 受委托者应:

严格按照个人信息控制者的要求处理个人信息。受委托者因特殊原因未按照个人信息控制者的要求处理个人信息,应及时向个人信息控制者反馈;

受委托者确需再次委托时,应事先征得个人信息控制者的授权;

协助个人信息控制者响应个人信息主体提出的请求;

受委托者在处理个人信息过程中无法提供足够的安全保护水平或发生了安全事件,应及时向个人信息控制者反馈;

在委托关系解除时不再保存个人信息。

应用场景很少,没有合适的场景和案例。基本遵循两点原则:第一,最小的保存时间原则,第二,委托的授权和个人信息处理方式对信息主体有知情权和同意撤销权

(3) 通过合同等方式规定受委托者的责任和义务;对受委托者进行审计

主要是审计工作的安排,如果很重大的项目建议采用定期审计,建议聘请外部审公司可以有效转移风险。一般项目可以考虑自动化审计工具,日志分析等方式。

4.4. 跨境

跨境目前比较复杂,要遵循我国跨境传输法律并遵循当地的法律要求。我国的跨境传输指南是现在比较常用的参考。欧盟的GDPR现在要求比较严格,所以传输至欧洲需要特别注意

五、结束语

上一篇主要是针对APP应用端,即用户侧的隐私保护内容,内容比较显性,大多是前端的修改,涉及很多文案工作。本篇针对的是服务端和公司内部的流程和机制,不仅仅是合规的需要,还是保护公司自身利益的需要。尤其是第三方数据共享时,数据流出公司防护边界,其泄露极可能影响到公司利益,并且很难排查。

本文主要从隐私要求,管理和法律方式对第三方的数据保护进行约束,公司内容防护建设也应注意对第三方的数据权限控制,并具备一定审计和溯源能力,比如使用脱敏,染色等技术。

*本文原创作者:Alkaid13,本文属于FreeBuf原创奖励计划,未经许可禁止转载

【全球动态】

1.联合国批准俄中提案有关新网络犯罪公约的决议

上周五,联合国批准了一项新制定的网络犯罪公约决议。该决议是由俄罗斯和中国发起的,并引起了维权组织的担忧,他们担心这一决议可能威胁网络自由。该决议以79票支持通过,60票否决和33票弃权。[外刊-阅读原文]

2.新德里警方拍摄抗议活动视频,利用面部识别软件对人群进行筛查

据印度媒体报道,印度总理莫迪于12月22日参加了在新德里拉姆利拉·迈丹举行的印度人民集会。这是新德里警察首次使用面部识别软件对人群进行筛查的政治集会。从该市各种抗议活动拍摄的视频中收集了一组面部图像,新德里警察首次使用来筛查总理集会上的“治安嫌疑犯”。[阅读原文]

3.2019年十大移动安全案例

在2019年网络犯罪变得越来越移动化,从苹果iPhone越狱,流氓Android应用程序到5G、移动网络钓鱼等话题焦点不断变化。这是Threatpost的2019年十大移动安全案例。[外刊-阅读原文]

4.MacTel与ATO签订2000万澳元的网络安全合同

MacTel已与澳大利亚税务局(ATO)签订了价值2000万澳元的合同,以提供安全的互联网网关(SIG)和网络安全服务。该合同明年生效,合同前三年,MacTel将提供其SIG服务,以确保ATO IT环境与互联网之间的安全连接。 [外刊-阅读原文]

5.澳大利亚政府计划试用物联网传感器以控制能源使用

澳大利亚政府宣布将拨出270万澳元的资金,以支持一项由悉尼清洁技术公司Wattwatchers牵头的为期三年、价值800万澳元的试验。届时还将建立一个数据中心,以实时存储所有收集的信息。[外刊-阅读原文]

6.阿联酋政府否认使用ToTok进行大规模监视

根据《纽约时报》最近发布的一份报告,阿联酋政府使用了流行的应用程序ToTok作为监视工具。现在,阿联酋电信监管局在一份正式声明中澄清说,当地法律“禁止任何形式的数据泄露和非法拦截”。[外刊-阅读原文]

7.加州将重新制定互联网新规,企业正加紧核查确保没有违反法规

据外媒报道,旨在重写加利福尼亚州互联网规则的《加利福尼亚消费者隐私法》将于1月1日全面生效。在加利福尼亚州拥有网站和客户的大多数企业,即美国大多数的大型企业,都必须遵守新规定,对用户而言,这些新规定使网络生活更加透明。[阅读原文]

【安全事件】

1.专治各种套路,《App违法违规收集使用个人信息行为认定方法》正式发布

鉴于智能手机APP隐私问题频发以及诸多权限滥用问题,在2019年,国家互联网信息办公室、工业和信息化部、公安部、市场监管总局联合开展了APP专项治理工作,重点针对调查APP违法违规收集个人信息行为。12月30日,为落实《网络安全法》等法律法规,《App违法违规收集使用个人信息行为认定方法》正式发布,为认定App违法违规收集使用个人信息行为提供参考。[阅读原文]

2.警惕非法支付!涉案540多亿的非法网络支付案告破

今年以来,按照公安部统一部署,相关地方公安机关破获重大非法网络支付案件15起,抓获大批犯罪嫌疑人,涉案资金达540多亿元。其中就包括南通警方近日破获的西安日间结算登记有限公司非法经营案。该公司在没有取得人民银行支付结算牌照的情况下,非法从事资金支付、结算业务,并收取手续费牟利,自公司2017年成立以来,支付、结算金额达一百多亿。[阅读原文]

3.儿童智能手表爆高危漏洞,黑客能轻易追踪孩子

带有定位追踪功能的儿童智能手表存在安全漏洞将泄漏儿童信息带来危险。近期,包括 Techcrunch、Pen Test Partners、Rapid7、Avast 等外媒和国外安全软件公司,相继曝出多家中国儿童智能手表供应商普遍存在安全防护漏洞问题,据估计,至少有 4700 万甚至更多数量的终端设备可能受此影响。[阅读原文]

4.赌博色情网络黑产资金如何流通?揭秘“地下通道”

烟台人张佩(化名)没有意识到,每天在家操作手机App就能赚钱的她,通过上传个人收款码收来、抽成后又转走的钱,其实就是赌客们在赌博网站充值的赌资。像张佩这样的还有上万人,他们通过注册会员,聚集在罗某某团队的App平台上,为三十余家境外赌博网站走账。[阅读原文]

5.大学生受网警之托攻破赌博网站,发现4个月流水280万

近日,沈阳理工大一名同学因被骗后攻破骗子后台意外走红。据媒体报道,这名同学受网警邀请协助调查一赌博诈骗网络,发现该网站4个月流水高达280多万。此前在11月份,一名沈阳理工大学生购买二手手机时被骗6000元,随后他与同学小马攻破骗子网站后台,一旦发现有人进入,就会第一时间联系对方,提醒其不要被骗。[阅读原文]

6.BlackArch Linux 2020.01.01版发布:新增120多款渗透和破解工具

BlackArch Linux开发者于昨日宣布了新的ISO和OVA镜像,带来了诸多改进并引入了多款新工具,以帮助安全专家进行渗透测试和有道德的破解操作系统工作。BlackArch Linux 2020.01.01版本基于Linux Kernel 5.4.6内核,装备了120多种新的渗透和破解工具,并引入了诸多改进和错误修复,提供更好的硬件检测和支持。[阅读原文]

【优质文章】

1.即将正式施行的《密码法》,究竟跟你我生活有多大关系?

2019年10月26日,十三届全国人大常委会第十四次会议审议通过《中华人民共和国密码法》,习近平主席签署35号主席令予以公布,自2020年1月1日起正式施行。[阅读原文]

2.2019年网络安全大事记

自2014年笔者首次撰写《网络安全大事记》以来,今年的大事记已经是第6篇了。在这五年半的时间里,中国的网络安全行业发生了巨大的变化,从200亿元的市场规模快速增长到600亿元左右,并从合规驱动向需求驱动转变。[阅读原文]

3.基于页面标签和文本特征的暗网重要站点识别

暗网因具有匿名、匿踪等特点,已然成为不法分子的聚集地。近年来,暗网中各种数据泄露事件频出,而这些事件大多来源于市场和论坛。因此,准确识别暗网市场、论坛等重要站点,对于暗网情报的快速获取意义重大,并为进一步监控暗网动态奠定了基础。[阅读原文]

*本文内容收集自全球范围内的媒体与刊物,制作者对其完整性负责,但不对其真实性和有效性负责。

*标注为【外刊】的内容主要来源为英语国家的媒体与刊物,部分内容需要注册免费账号后方可阅读。

Deepfake技术通过深度神经网络将视频中的一张脸替换为另一张脸,这个以假乱真的技术存在被滥用的隐患,与此同时又变得越来越普及。

本文,我将仔细研究这项技术本身,通过自己创建作品的方式,来回答:Deepfake软件如何工作?使用起来有多难?效果会如何?

我从“小扎”在国会作证的视频开始,然后用《星际迷航:下一代》中尉指挥官(Brent Spiner,Mr.Data)的脸代替了他的脸。总花费:552美元。

这个视频并不完美,因为它不能完全捕捉到Mr.Data的脸部全部细节,如果仔细观察,会发现人脸边缘有一些伪像。

不过,值得注意的是,像我这样的新手可以如此迅速地制作出这样水平的视频,而且花费这么少的钱。那么,在未来几年中,Deepfake技术将继续变得越来越好,越来越便宜。

Deepfake需要大量的计算能力和数据

我们称之为Deepfake,是因为它们使用了深度神经网络。在过去的十年中,计算机科学家发现,当你添加的神经元层越多,神经网络就变得越强大,但是要释放这些更深层网络的全部功能,需要大量数据和计算能力。

Deepfake就是这样。为了创建自己的Deepfake,首先,我租用了一个带有四个强大图形卡的虚拟机。即便如此,训练我的Deepfake模型也花了将近一周的时间。

然后,我需要一堆小扎和Mr.Data的图像。我上面的最后一个视频只有38秒长,但是我需要收集更多的素材进用来训练。

为此,我下载了一堆包含他们面部表情的视频:14个Mr.Data的视频和9个小扎的视频,包括他正式演讲,两次电视采访,甚至还有他在家后院抽烟的镜头。

我将所有这些剪辑加载到iMovie中,并删除了不包含小扎或Mr.Data的面孔的部分。我还减掉了较长的序列,因为Deepfake软件不仅需要大量的图像,而且还需要大量的不同图像。它需要从不同角度,不同表情和不同光照条件下看到一张脸。长达一个小时的小扎演讲的视频可能并不能比同一讲话的五分钟片段提供更多的价值,因为它只是一次又一次地显示相同的角度、照明条件下的表情。因此,几个小时的素材最后缩减到了9分钟的Mr.Data和7分钟的小扎视频。

Faceswap:端到端的Deepfake软件

是时候使用Deepfake软件了。最初,我尝试使用一个名为DeepFaceLab的程序,并设法使用该程序制作了粗糙的Deepfake视频。

但是,当我把视频发布在SFWdeepfakes subreddit上的时候,一些人建议我改用Faceswap,因为它提供更多功能,更好的文档和更好的在线支持。所以,我决定听取他们的建议。

Faceswap可以在Linux,Windows和Mac上运行,涵盖了执行Deepfake流程的每个步骤的工具,从导入初始视频到生成完整的Deepfake视频。并且附带了详细的教程(该教程由Faceswap开发人员Matt Tora编写)。

Faceswap需要功能强大的图形卡,而我用了六年的MacBook Pro显然不行。因此,从云提供商那里租了一台虚拟Linux计算机。

我开始使用一个带有Nvidia K80 GPU和12GB图形内存的实例。经过几天的训练,我升级到了2 GPU模式,然后又升级为4 GPU。它具有4个Nvidia T4 Tensor Core GPU,每个GPU都具有16GB的内存(它还具有48个vCPU和192GB的RAM,由于神经网络训练需要大量的GPU,因此大部分内存反而都没有使用)。

在两周的时间中,我在云计算方面花了552美元。无疑,我为租用计算机硬件付出了高昂的代价。而Faceswap的开发人员Tora告诉我,目前Deepfake硬件的“最佳选择”是至少具有8GB VRAM的Nvidia GTX 1070或1080卡,不过你也可以选择购买几百美元的卡。当然,一张1080卡不能像我使用的四个GPU一样快速地训练神经网络,不过只要多等待几周时间,也能获得一样的训练结果,就是稍微慢了一点。

Faceswap工作步骤:

1、提取:将视频剪切成帧,在每个帧里检测人脸面部,然后输出每个面部的对齐裁剪的图像。

2、训练:利用提取出来的图像训练一个Deepfake神经网络,该神经网络可以获取一个人脸的图像,并以相同的姿势、表情和光照度输出另一个人脸的图像。

3、转换:在最后一步中,把训练出来的模型应用于特定的视频,从而产生深层次的效果。并且,训练模型可以应用于包含训练对象的任何视频。

这三个步骤所需要的人力和算力完全不同。

提取软件可以在几分钟内完成,但是随后可能要花费数小时的人工检查结果,同时,该软件会标记每个提取图像中的每个面孔以及相当数量的误报。为了更好的呈现效果,必须人工检查并删除不相关的面孔以及该软件误以为面孔的任何事物。

相反,训练几乎不需要人工监督。但是,可能需要几天甚至几周的计算时间才能获得结果。我从12月7日开始训练我的最终模型,并将其运行到12月13日。要是再经过一周的训练,我的Deepfake的质量可能会进一步提高。如果你是在功能不那么强大的GPU的个人计算机上进行此类工作,训练好模型可能需要花费数周的时间。

最后一步,即转换,拥有最终模型后,输出Deepfake视频文件可能需要不到一分钟的时间。

Deepfake如何运作

在描述我的Faceswap训练过程之前,先解释一下基础技术。

自动编码器是Faceswap和其他领先的Deepfake软件包的核心。这是一个经过训练的神经网络,用来获取一个输入图像并输出一个相同的图像。这似乎没有什么用处,但正如我们将要看到的那样,它是创建Deepfake的关键部分。

01.jpg

自动编码器的结构像两个漏斗,窄小的那端粘在一起。神经网络的一端是编码器,它获取图像并将其压缩为少量变量,在我使用的Faceswap模型中,它是1024个32位浮点值。神经网络的另一端是解码器。它采用这种紧凑的形式,即所谓的“latent space”,试图扩大到原始图像。

人为地限制编码器可以传递给解码器多少数据,迫使这两个网络为人脸开发出紧凑的表示形式。

你可以将编码器看作是一种有损压缩算法——在有限的存储空间下,它会尝试捕获尽可能多的人脸信息。而latent space必须以某种方式捕获重要的细节,例如对象面对的方向,对象的眼睛是睁开还是闭着,对象是微笑还是皱着眉头。

至关重要的是,自动编码器仅需要记录人脸随时间变化的各个方面,不需要捕获永久的细节,例如眼睛的颜色或鼻子的形状。例如,如果小扎的每张照片都显示蓝眼睛,则小扎解码器网络将学会自动用蓝眼睛渲染他的脸。

无需使用从一幅图像到另一幅图像不变的信息,将拥挤的latent space弄得一团糟。就像我们将看到的那样,自动编码器对待人脸的暂时性特征与永久性特征的区别,这是其生成深层伪造的能力的关键。

训练神经网络的每种算法都需要某种方法来评估网络的性能,因此可以对其进行改进。在许多情况下,一个人需要通过已有的训练样本(即已知数据以及其对应的输出)去训练得到一个最优模型,也就是监督训练。但自动编码器是不同的,它们只是复制自己的输入,所以训练软件可以自动判断其表现,也就是无监督训练。

像任何神经网络一样,Faceswap中的自动编码器使用反向传播进行训练。训练算法将特定的图像输入神经网络,并找出输出中的哪些像素与输入的不匹配。然后,它会计算出是神经网络最后一层中哪里出了问题,然后调整每个神经元的参数。

然后,错误将传播到倒数第二层,再一次调整每个神经元的参数。误差以这种方式向后传播,直到调整了编码器和解码器中的神经网络的每个参数。

然后,训练算法将另一个图像馈送到网络,并且整个过程再次重复。可能需要数十万次此过程的迭代才能生成自动编码器。

02.jpg

Deepfake软件通过并排训练两个自动编码器来工作,其中一个用于原始面孔,一个用于新面孔。在训练过程中,每个自动编码器仅显示一个人的照片,并经过训练以产生与原始照片非常相似的图像。

但是,有一点不同的是:虽然两个网络使用相同的编码器单元。解码器(位于网络右侧的神经元)保持分离,每个神经元都被训练生不同的面孔。但是,网络左侧的神经元则具有共享参数,这些参数可以在训练自动编码器网络时随时可以更改。当在小扎网络上训练小扎面孔时,也会修改Mr.Data一半的编码器。同理,每次在Mr.Data网络训练Mr.Data面孔时,小扎编码器也会做出这些更改。

因此,这两个自动编码器有一个共享编码器,可以“读取” 小扎或Mr.Data的脸。

不管是小扎还是Mr.Data的照片,编码器的目标是使用相同的表示方式来表示头部角度或眉毛位置。反过来,这意味着如果你用编码器压缩了一张脸,你就可以用任何一个解码器来扩展它。

03.jpg

因此,一旦像这样训练了2个自动编码器,那么Deepfake的步骤就很简单。

我们之前说过latent space倾向于捕获人脸的瞬时特征(表情,他所面对的方向,眉毛的位置),而永久性特征(如眼睛的颜色或嘴巴的形状)则由解码器产生。这意味着,如果你对小扎的图片进行编码,然后使用数据解码器对其进行解码,那么您将拥有一张具有Mr.Data永久特征(例如,他的脸部形状)但具有小扎表情和朝向的面孔。

如果将这种技术应用于小扎视频的连续帧,则可以获得一个新的视频,Mr.Data的脸部动作与小扎在原始视频中所做的一样,包括微笑,眨眼,转头。

这是相对的。当你训练一个神经网络来输入小扎的照片并输出Mr.Data的照片时,同时训练网络以摄取Mr.Data的照片和输出小扎的照片。Faceswap的视频转换工具包括一个“交换模型”复选框,该复选框可让用户交换解码器。结果:它没有用小扎的脸代替Mr.Data的脸,而是做了相反的事情,产生了像这样的搞笑视频:

训练数据

在实践中,要通过Deepfake软件做出一个好的视频并不容易。

如前面所说,我收集了大约7分钟的Mr.Data的视频素材和9分钟小扎的视频素材。然后,我使用Faceswap的提取工具将视频剪切,并获得两张男人脸部的剪裁图像。视频每秒大约有30帧,但我仅提取了六分之一的图像,因为图像的多样性比原始数量更重要,并且要是捕获视频的每一帧意味着你也会收获大量非常相似的图像。

同时,Faceswap的提取工具产生了大量误报,甚至在某些镜头的背景中识别出面孔。因此,我花了大概几个小时来手动删除所有非两个人物的提取照片。最后,我获得了2598张Mr.Data和2224张小扎的面孔图像。

至此,终于可以开始实际训练我的模型了。当前,Faceswap预包装了10种不同的Deepfake算法,这些算法支持不同的图像大小和不同的计算能力要求。在底层,有一个“轻量级”模型可以处理侧面64像素的面部图像。它可以在具有小于2GB VRAM的计算机上运行。其他型号可同时处理侧面128、256甚至512像素的图像,不过需要更多的视频内存以及更多的训练时间。

我开始训练了一个所谓的DFL-SAE模型,但是,Faceswap文档警告说,此模型遭受“identity bleed”,其中一张脸的某些特征会渗入另一张脸。经过一天的培训,我切换到了另一种叫做Villain的模型,该模型可处理128像素图像。然后我等啊等,经过六天的训练,在周五的时候,训练仍在进行中。这时候的`模型已经可以制作出非常不错的Deepfake,但是如果我再有一周的计算时间,可能会获得更好的结果。

Faceswap软件是为长时间的计算工作而精心设计的。如果你从图形用户界面运行训练命令,那么GUI会定期更新预览屏幕,显示有关软件如何渲染Data和Zuck的示例。如果你更喜欢从命令行训练,也可以这样做。Faceswap GUI包含一个“生成”按钮,能做出你需要执行的确切命令。

DeepFakes 可以做到多好?

在训练过程中,Faceswap会持续显示两个自动编码器各自的数字得分,称为损失。这些图证明小扎和Mr.Data的自动编码器可以很好地再现他们的照片。当我上周五停止训练时,这些“损失”的数字似乎仍在下降。

当然,我们真正关心的是Mr.Data解码器如何将小扎的脸转换为Mr.Data的脸。我们不知道这些“转换后的图像”看起来是什么样子,因此无法精确测量结果的质量。我们能做的就是一直看着它,直到它看起来比较正常。

上面4个训练过程中的作品显示了DeepFakes的效果,随着训练不断进行,人物的脸部细节变得更加栩栩如生。

经过三天的训练后,12月9号,我发布了初始视频,就像右上角那个视频一样,结果受到严厉批判:“总的来说看起来很糟糕,根本没有说服力。我还没有看到其中哪一种看起来不是假的。”

确实,存在很多的痕迹。在某些帧中,Mr.Data的脸和小扎头部的边界不太正确,有时候能看到小扎得美貌从Mr.Data的脸后面透出来。这些合成问题需要大量的人力后期来处理,也就是逐帧浏览视频然后调整遮罩。

然而,更根本的问题是,deepfake算法在复制人脸最精细的部分做得似乎还不是很好。比如即使经过将近一个星期的训练,脸部仍然看起来有些模糊,而且根本没有细节。包括deepfake软件似乎无法以一致的方式渲染人的牙齿。有时候,别人的牙齿会清晰可见,但几帧之后,人物的嘴巴会变成黑色的空隙,根本看不到牙齿。

在更高的分辨率下,“面部交换”问题变得越来越困难。自动编码器可以很好地再现64 x 64像素的图像。但是要重现128 x 128图像的精细细节(更不用说侧面256像素或更高分辨率的图像了),仍然是一个很大的挑战。这也可能是最很多Deepfake往往是相当宽的镜头而不是某人脸部特写的原因之一。

不过,在未来几年,研究人员很可能会开发出克服这些局限性的技术。

Deepfake软件经常误认为是基于生成式对抗网络(GAN, Generative Adversarial Networks,但实际上,它是基于自动编码器,而不是GAN。但是GAN技术的最新进展表明,深层仿冒仍有很大的改进空间。

当GAN在2014年首次推出时,它们只能生成块状的低分辨率图像。但是最近,研究人员已经弄清楚了如何设计可生成最大1024像素的逼真的图像的GAN。这些论文中使用的特定技术可能不适用于Deepfake,但可以联想到或许也会有人为自动编码器开发类似的技术来进行面部表情转换。

最后

Deepfake的普及显然是一个值得关注的问题。这些软件和其他数字工具的出现意味着我们不得不以怀疑的态度观看视频。如果我们看到一个视频,有人说了一些可耻的话或脱了衣服,我们必须考虑是否是人为仿造。

而在我的实验中,至少目前来说Deepfake技术存在局限性:需要大量的知识和精力来制作出完全令人信服的虚拟面孔。而且只能交换人脸,不会换头发、手臂或腿,因此这些因素都可以用来识别Deepfake视频。

当然,几年后,Deepfake技术会进步。可以说,Deepfake的开发是不可避免的,创建一种用户友好的开放源代码换脸工具将有助于揭开该技术的神秘面纱,并就其功能和局限性对公众进行教育。

当然,从长远来看,也存在风险:Deepfake可能会完全破坏公众对视频证据的信任。

*参考来源:arstechnica,kirazhou编译整理,转载请注明来自 FreeBuf.COM。

免责声明:本文作者竭力保证文章内容可靠,但对于任何错误、疏漏或不准确的内容,作者不负任何责任。文章部分内容来源于网络是出于传递更多信息的目的,对此不负任何法律责任。本文仅用于技术分享与讨论,严禁用于其他用途。

一、前言

基于DNS的数据窃取开源测试工具篇(一)中,简要分析了DET基于DNS进行数据窃取部分的源码。本文将继续探讨图1中所示的PyExfil中利用DNS完成数据窃取的部分。

图1  DET、PyExfil、DNSExfiltrator的首页展示

二、PyExfil工具简介

PyExfil项目[1]本身是一个测试库,作为python库的形式提供给用户使用,该工具实现了多种数据泄露技术,包括攻击者在真正的攻击活动中已经或正在使用的部分技术。开源该工具的初衷是帮助用户在自己的系统中快速部署,从而帮助用户快速部署,用于检测其系统抵抗数据泄露的能力。

PyExfil工具实现了大量的相关技术,分别在网络、通信、物理、隐写等模块中实现,模块分类及对应技术详情见表1:

模块分类 技术详情
网络模块 DNS查询、HTTP Cookie、ICMP Echo8、NTP Request、BGP Open、HTTPS  Replace Certificate、QUIC、Slack、POP3身份验证、FTP MKDIR、Source IP Based Exfiltration、HTTP Response
通信模块 NTP Request、DropBox LSP、DNS Over TLS、ARP Broadcast、JetDirect、GQUIC、MDNS Query、AllJoyn
物理模块 Audio、QR Code、WIFI Frame Payload
隐写模块 图像二进制偏移、Video Dictionary、Braille Text Document

表1  PyExfil的模块分类及其包含的技术统计

PyExfil整体项目结构梳理如图2。本文关注的DNS窃密部分位于网络模块中,dns_exfil.py文件是该工具利用DNS完成窃密的具体实现。

图2  PyExfil项目结构概况

三、基于DNS的数据窃取的源码简要分析

(一)服务端源码简要分析

图3  PyExfil的服务端源码概况

服务端源码梳理及工作流程如图3,通过源码分析,整理其窃密数据接收、恢复的主要过程如下:

(1)   socket绑定设定端口并监听所有数据,分别提出数据(DNS请求包的所有数据部分)、地址。

(2)   在数据中查找包类型标识符,并根据包类型采取对应的处理方法。其中包类型及其判别依据见表2。

包类型 判别依据
初始化包 INIT_445“+文件名+”::”+CRC32
窃密数据包 “\x00\x00\x01\x00\x01″+数据+”\xcc\xcc\xcc\xcc\xff\xff\xff\xff”
结束包 “\xcc\xcc\xcc\xcc\xff\xff\xff\xff”+”::”+”\xcc\xcc\xcc\xcc\xff\xff\xff\xff”

表2  PyExfil的包类型及其判别依据对应关系

(3)   服务端将根据不同的包类型采取不同的处理方法:

1)      初始化包:从包中提取即将传送文件的重要信息:文件名、CRC32校验值。

2)     窃密数据包:从包中提取窃取的文件数据,增量保存到变量actual_file中。

3)     结束包:标志着文件传输结束,则通过CRC32校验后恢复文件到本地,并回复客户端“OK”。

(二)客户端源码简要分析

图4  PyExfil客户端源码概况

客户端源码及主要工作流程梳理如图4,通过源码分析,整理其构造、编码、发送窃密数据的主要过程如下:

(1)   参照DNS协议各字段,以服务端域名为基础构造一个普通的DNS请求,存储到dns_request。

(2)   按制定的窃密文件路径,将文件数据读入内存,并计算其CRC32值。

(3)   通过socket发送初始化包。其中,初始化包的组成结构大致如图5(dns_request由步骤(1)生成)。

图5  PyExfil初始化包的组成结构

(4)   通过socket逐个发送文件数据块。其中,窃密数据包组成结构如图6。

图6  PyExfil窃密数据包的组成结构

(5)   当所有文件数据块发送完毕后,通过socket发送结束包。其中,客户端构造的结束包组成结构如图7。

图7  PyExfil结束包的组成结构

总结与思考:

PyExfil部署实验环境后,模拟执行数据窃取后的不同类型流量包情况分别如图8、图9、图10。

图8  初始化包流量包情况

图9  窃密数据包流量情况

图10  结束包流量情况

通过以上分析,PyExfil具有明显的特征:PyExfil利用DNS的方式特点明显——在DNS请求的同一个UDP包中,先构造DNS普通DNS请求包,窃密数据附加到DNS协议内容以外的区域,即窃密数据位置在DNS协议规定的内容之外。

但综合来看,PyExfil在实验调试中也发现了一些问题:

(1) 文件数据明文传输,打开Pcap包可以直接看到二进制数据对应窃密字符串。

(2) 窃密数据包没有编号,且没有任何重传机制,在网络状况较差时,文件恢复失败率较高。

(3) 源码中DNS请求部分为手动编码输入,结果是传输同一个窃密文件时,有很多内容相同的DNS请求——这本身就是一种异常。

(4) 源码中只在成功恢复文件后响应客户端请求“Got it,OK”;为了减小异常,可以考虑对每个请求构造响应,且为自己定义的A记录值。

参考链接:

[1] PyExfil项目地址

*本文作者:GZHU/asUwIll,转载请注明来自FreeBuf.COM

本文分享的是视频分享网站Vimeo的一个SSRF漏洞,作者通过Vimeo上传功能中Vimeo分次读取部份文件流的机制发现了该漏洞,漏洞最终获得了Vimeo官方$5,000美金奖励。以下是作者的分享。

漏洞发现过程

之前我一直在学校学习我比较讨厌的科目知识,所以最近我决定放松休息一下,我告诉自己必须要在HackerOne平台中的Vimeo漏洞众测中有所发现。于是,我就直接想测试一下Vimeo平台的上传功能,尤其是通过Google云端硬盘 (Google Drive)上传到Vimeo的一些功能特性,所以,在我的Google云端硬盘中我选择了一个特定视频文件,把它执行到Vimeo的上传操作,然后用BurpSuite查看它的具体上传请求信息。

从上图可见,上传视频文件的具体URL链接中包含了Google云盘中的相关身份验证信息,以便让Vimeo后端服务器能有权限从Google云盘中获取到相应文件,具体的验证信息存在于请求头的header参数中。

所以,看到这里我就想在自己的VPS中架设一个环境,发起上传视频文件到Vimeo平台的操作,看看上传请求发起后,在Vimeo后端服务器和我的VPS服务器之间会发生什么情况。经测试,从我VPS端上传到Vimeo后,我VPS中的具体网络情况如下,Vimeo后端响应回来的消息有些奇怪,尤其是其黄色部分。

其黄色部分的Range,和Content-Range等引起了我的注意,但从其名字中我也大概能猜测到其大致用途。可以这样假设,大多数时候,因为用户上传的视频文件都是比较大的,所以Vimeo不会用一个上传请求来实现对整个文件的上传。但如果用户需要上传的视频文件较小,那么Vimeo就会实现一次请求上传了。所以这样来看,Vimeo对用户需要上传的大视频文件都是采取每次请求部份文件,然后多次请求,再实现最终整个文件的组装完成。整个上传流程大概的逻辑如下:

也就是说,Vimeo服务器请求用户需要上传的视频文件时,它会判断如果文件足够小,那么建立一次连接就可以上传完成,就不需要后续再建立连接了。基于此,我突然想到,如果我不向Vimeo服务端发送整个上传文件会如何呢?比如,按以上原理,如果我的VPS告诉Vimeo后端服务器,我需要上传的文件有500B,那么Vimeo后端服务器就会来取走这500B,但是,如果现在我的VPS告诉Vimeo后端服务器我的文件只有200B,那么之后会发生什么呢?说白了,也就是看看Vimeo后端对大文件上传的具体操作行为,来试试看。

在此,我用Python编写了一个脚本来监测Vimeo的这种取大文件的操作,我需要上传的视频文件长度共554231B。测试发现,当Vimeo后端服务器来取我的这个554231B大文件时,监测脚本显示,第一次Vimeo后端只会读取8228B长度的部份文件内容!

Cool,Vimeo后端在取完8228B长度的部份文件后,会再接着往下取文件的其余部份,由此,一个SSRF场景在我脑海中油然而生。如果我的VPS告诉Vimeo后端服务器一个重定向响应,那Vimeo后端服务器会跟着跳转吗?还是会存储这个重定向响应?还是继续接着往下读取文件其余部份?我的构思场景逻辑如下,Vimeo后端在取完第一次的8228B长度的部份文件内容后,会继续发起对后续文件的读取,这个时候,我在后续文件内容中插入一个恶意文件内容-http://evil.com/Hello.txt,其文件内容为HelloWorld!zzz,共15个字节。那么Vimeo后端在读取余下的546094字节文件时,会一并请求我们恶意插入的链接http://evil.com/Hello.txt,把HelloWorld!zzz也顺利读取到。

由于一些Web托管服务端对上述攻击场景作了安全限制,所以我自己动手搭建了一个主机网站进行测试实现,很幸运,我的猜想是对的!按照以上思路在对Vimeo后端的视频文件上传中,可以成功实现上述预计的攻击测试场景。

Notice: 在Vimeo服务中,我们可以下载原始的上传文件,所以根据这种下载路径,我们也能轻松构造对响应的一些假冒伪造操作。

漏洞利用

经过测试,我发现Vimeo后端服务相关操作是建立在Google云上的,它后端部署了一个谷歌云实例,而且请求这个实例http://metadata.google.internal/computeMetadata/v1beta1/instance/service-accounts/default/token,可以发现其默认的API访问token!那么有了这个token之后,我就能把我的公共SSH密钥添加到实例中,然后再通过我的私钥去连接它,就能连接到Vimeo在Google云上的实例,按照上述我们预设的步骤成功实现SSRF。(此处可参考另一Vimeo SSRF漏洞

漏洞上报及处理进程

2019.4.29 漏洞初报

2019.4.29 Vimeo给予前期$100奖励

2019.5.1 Vimeo确认并修复漏洞

2019.5.1 Vimeo给予 $4900 奖励

*参考来源:medium,clouds 编译整理,转载请注明来自 FreeBuf.COM

概述

2019年8月,韩国安全厂商ESTsecurity[1]披露了KONNIAPT组织使用Android端木马的新攻击活动,并称其与APT组织Kimsuky存在关联。

而在近期,奇安信威胁情报中心红雨滴团队在日常的高级威胁监测过程中,发现多起疑似针对韩国地区Android用户的恶意代码攻击活动。攻击者通过将恶意安卓应用伪装成韩国常用移动应用,从而诱导受害者安装使用。经关联分析,我们发现此次攻击活动无论从攻击手法还是木马框架都与ESTsecurity披露的KONNI Android木马一致。红雨滴团队针对该样本及样本传播的渠道进行了详细分析和关联,并通过技术手段深度挖掘了攻击活动使用的网络资产及其背后的攻击者的相关背景信息,希望提供奇安信威胁情报中心视野内更多的信息来构成该APT组织更大的拼图。

木马投递方式

本次攻击所使用的恶意APK主要是通过短信和即时通信工具投递,攻击者会通过短链接的形式发送一个链接,该链接有可能直接指向APK的下载链接或者仿冒的APK软件下载页面。

1、 直接投递指向APK下载链接的短链接:

hxxp://bit[.]ly/2CZnAqD->hxxp://oaass-torrent[.]com/KakaoTalk.APK

下图为攻击者通过短信方式投递短链接的方式:

图 2.1 攻击者通过短信投递短链接

2、 投递指向钓鱼页面的短链接,诱导用户下载钓鱼页面的APK木马,钓鱼页面链接为:

hxxp://download-apks[.]com/KaokaoTalk/

下图为假冒的GooglePlay中YouTube应用的下载页面:

图 2.2 伪造GooglePlay的下载页面

且hxxp://download-apks[.]com/上还存在其他公开目录,而这些公开目录同样也是伪装成韩国其他常用应用的恶意程序:

图 2.3 攻击者的网站空间

从Android设备访问每个文件夹下的文件时,页面会显示该伪装应用的正常界面,并下载恶意APK文件诱导受害者安装使用,如下:

图 2.4 诱导APK下载页面

把上述页面提供的APK木马全部下载到本地,分析后发现它们使用了同一个C2,而且签名时间都为2019年9月17日:

样本分析

对其中一个名为KaokaoTalk的木马详细分析后发现,该木马首先会查找并打开官方的KakaoTalk应用以隐藏自身。无论是否成功打开,木马都会在后台偷偷运行;木马程序运行后会窃取上传用户手机的一些机密信息,包括通信录、短信记录、APP安装记录、sd卡目录以及在用户手机上采集到的录音信息等。

而「Kakao Talk」是一款来自韩国的由中国腾讯担任第二大股东的免费聊天软件,类似于QQ微信的聊天软件,可供iPhone、Android、WP、黑莓 等智能手机之间通讯的应用程序。本应用程序以实际电话号码来管理好友,借助推送通知服务,可以跟亲友和同事间快速收发信息,图片,视频,以及语音对讲。类似国内QQ,即使好友不在线,好友也能接收你的kakao talk消息,就跟发短信一样。在韩国使用者众多。

木马程序和真实KakaoTalk程序安装后对比如下(左为木马程序):

图 3.1 真假KakaoTalk对比

安装该APK需要的手机的所有权限如下:

图 3.2 APK安装权限清单

该APK木马执行起来后会每隔3秒请求“http://[C2]/manager/files/To_[IMEI].txt”,然后根据返回的数据执行攻击者下发的指令,把执行后的结果通过上传接口回传到服务器;木马启动的时候会统一把电话信息、SDCard的文件目录和安装应用列表等信息上传到C2服务器。

图 3.3 执行起来默认收集的信息

该木马从远程控制者那里接收的指令列表所对应的功能如下:

Token 意义
del_file 删除指定文件
del_sms 删除指定短信
download 下载文件
get_account 获取用户账户信息,写入数据到AccountInfo.txt
get_app 采集用户安装的所有APP信息,结果写入到AppInfo.txt
get_clipboard 获取剪切板的数据并上传
get_contact 获取联系人数据
get_keylog 获取键盘记录数据
get_record 获得录音数据
get_sdcard 获得sd卡的文件目录
get_sms 获取短信内容
get_time 获取时间
get_user 获取手机基本系信息如IMEI、用户手机号、OSType、OSAPI,结果写入到PhoneInfo.txt
install_APK 安装APK
open_app 打开APP
open_dlg 弹框
open_web 打开网页
screen 截屏
send_sms 发送短信
set_server 设置新c2
start_recording 开始录音
stop_recording 停止录音
uninstall_app 卸载APP
upload 上传文件
volume 获取文件系统主目录

攻击者下发指令后,木马会根据不同的指令把执行后的结果存储在不同的文件里,然后上传到C2,下表是存储的缓存文件的用途:

文件名 文件内容
Starter.txt 恶意样本初始化信息
AccountInfo.txt 用户账户信息
TotalMsg.txt 用短信内容,包括收件箱、发件箱、草稿箱等。
AppInfo.txt 用户设备上其他APP信息,报告应用名称,包名和主类名
BoardInfo.txt 用户剪贴板信息
ManInfo.txt 用户通信录信息
NewMsg.txt 收到的新短信
RecordInfo.mp4 录音记录
CardInfo.txt SD卡信息
CurTime.txt 开始时间
PhoneInfo.txt IMEI、用户手机号、OSType、OSAPI

图 3.4 上传受害者信息抓包截图

该APK木马是通过http的协议建立的C&C通道,主要是通过/manager/files/To_[IMEI].txt这个url完成对木马控制的:

Uri 功能
/manager/files/To_[IMEI].txt 接收攻击者下发的指令,文件的内容攻击者可以通过上传php脚本操作
/manager/up.php 受害者上传信息的通道

图 3.5 木马执行起来的数据包记录

恶意代码与KONNI的关联

从代码上看,八月份曝光的KONNI代码与本次捕获样本文件处理模块对比,发现相似度很高:

图 4.1 和历史KONNI代码比对

信息采集代码对比:

图 4.2 和历史KONNI代码比对

可以看到本次攻击使用的代码和之前披露的KONNI Android木马基本一致。

追踪攻击者

通过对攻击者C2:2.56.151.8地址的关联分析,红雨滴团队发现该C2是一台Windows操作系统的主机,其42014端口上开放着远程桌面服务。而控制该电脑的IP地址为一个日本的IP地址,通过分析发现该IP地址其实是一个VPS,这应该是攻击者的第一层跳板,且该机器是一台Linux机器,其2223端口上开放着SSH服务。

更进一步分析发现,初次和C2服务器交互实现发送指令的疑似攻击者IP地址是一个新加坡的IP地址。通过关联分析,我们挖掘到了一个攻击者使用的邮箱地址:hsne••••••••••[email protected]gmail[.]com,发现绑定gmail的邮箱地址为:new••••••••••@mail.ru:

图 5.1 gmail邮箱找回密码提示信息

而找回密码的时候发现一个Android SDKbuilt for x86,应该是攻击者用这个邮箱注册了Google开发者账号:

图 5.2 gmail邮箱找回密码提示信息

关联分析发现攻击者使用的搜索引擎是朝鲜语的ipipipip.net,如图:

图 5.3 攻击者使用的IP查询截图

据攻击者控制端的控制情况,总结攻击者的活动时间图,可以知道攻击者是UTC+0的0点开始工作,到3点左右休息,5点开始干活到13点,如果按9点上班,12点中午吃饭来推算,攻击者所处的时区大概在:UTC+9

图 5.4 攻击者一天活动时间分布图

图 5.5 攻击者所在时区推测

通过上述所有的关联信息可以比较有把握地判断攻击者的具体位置在UTC+9的时区,并且我们还通过查询WHOIS信息发现使用到的2款用来投递APK木马的域名,其注册域名的邮箱均为后缀为.ru的邮箱地址:

红雨滴团队根据上述信息总结的本次攻击活动流程图如下:

图 5.6 攻击行动流程图

总结

随着移动端的普及,针对移动设备的攻击活动越发密集。奇安信威胁情报中心提醒广大用户,尽量去正规的Android应用平台下载手机应用,可以将风险降到最低,从而有效的防止个人信息、财产被盗的风险。

目前奇安心威胁情报中心文件深度分析平台(https://sandbox.ti.qianxin.com/sandbox/page)已支持Android样本分析:

同时基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信NGSOC等,都已经支持对此类攻击的精确检测。

IOCs

样本MD5

2487a29d1193b5f48d29df02804d8172

关联到的其它Android样本MD5

2cbf145eb39818d2b43b8c03ddb28ddf

9e9745415793488ecf0774c7477bf2ae

e039be15ddf7334311ee01711ba69481

C2地址

http://2.56.151.8/manager

Android木马恶意分发地址

http://bit.ly/2CZnAqD

http://bit.ly/37gAUoo

http://download-apks.com

http://oaass-torrent.com

http://oaass-torrent[.]com/KakaoTalk.APK

http://download-apks[.]com/KakaoTalk/KakaoTalk.APK

[email protected]

参考链接

[1].https://blog.alyac.co.kr/2486

*本文作者:奇安信威胁情报中心,转载请注明来自FreeBuf.COM