一周要闻 – 4月1日

本周要闻:首先出场的是微软公司,下周微软停止支持(终于停止了!)曾经无处不在、漏洞永无止境、部署范围超广的Windows XP系统。 本周发生的事件:我们获悉比特币的更多新闻;关于特斯拉S型车的安全问题;全球网络钓鱼游戏的深入洞察;苹果Safari浏览器修订;飞利浦智能电视中的漏洞等。 据路透社报告,美国德克萨斯州联邦法官已下令Mt. Gox公司首席执行官马克•卡佩勒斯(Mark Karpeles)赶赴美国,回答与比特币交易破产案有关的问题。Mt. Gox曾是世界上最大的比特币(数字加密货币)交易所,该公司在丢失客户价值4亿美元的比特币后于今年2月停业,并在美国申请破产保护。据报道,卡佩勒斯已向传唤其到庭的德克萨斯州法庭申请根据美国《破产法》第15章给予Mt.Gox破产保护,目的是为了让其美国客户在芝加哥联邦法院提起的集体诉讼不能再继续下去。德克萨斯州法官认为,如果卡佩莱斯希望寻求法庭的保护,那么必须亲自来到这里。 据Threatpost的同事Chris Brook报告,在受到大众欢迎的飞利浦智能电视中,支持互联网的某些型号含有漏洞,攻击者可能会借此漏洞访问电视机系统和配置文件中潜在和敏感信息,并能读取插入电视本身的U盘上的任何文件。如果用户碰巧就在这台电视机上浏览互联网,那么攻击者就能窃取cookie,并利用这些cookie来访问特定网站或网上帐户。这一问题与名叫Miracast的WiFi功能有关,这种功能默认情况下已通过预设的固定密码启用。通过此密码,处于电视WiFi适配器辐射范围内的任何人都能连到该电视,并访问电视中的许多功能。 Threatpost的另一位同事Dennis Fisher报告说,深受大众欢迎的高端全电子特斯拉S型汽车上针对移动应用部署了一种易受攻击的单因素验证系统,它允许用户对车门解锁以及执行其他更多功能。研究人员Nitesh Dhanjani发现,新车主在特斯拉网站上注册了帐户后,必须创建一个6位字符的密码。此密码将用于登录iPhone应用程序。该应用支持车主操纵门锁、悬架和制动系统以及天窗。其中真正的问题是对登录尝试次数没有限制;这意味着攻击者可以对相对较短的密码发起暴力破解攻击。在没有登录尝试次数限制的系统中,六位字符是很容易破解的。另外,我想提醒所有苹果用户,位于加州库比蒂诺的计算机巨头-苹果已发布了25个Safari浏览器安全漏洞修订。其中一些漏洞非常严重,所以如果还没有更新Safari浏览器,请尽快更新。 我们的朋友-Securelist的研究人员发布了2013年金融网络威胁黑幕研究报告的第一部分。第一部分密集分析了全球的网络钓鱼环境。简而言之,他们发现,2013年的所有网络钓鱼攻击中有31%针对的目标是金融机构。所有攻击中大约有22%涉及虚假银行网址,这一比例较上年2012年的研究翻了一番;2012年,只有11%的此类攻击是部署虚假银行网址。其中不到60%的网银钓鱼攻击利用的是25家国际银行品牌,其余40%利用的是1000多家银行品牌。最后,我推荐您阅读BBC的一篇新闻,它报告说加州圣地亚哥的一名五岁男童发现流行的XBOX Live在线游戏平台中有漏洞,他通过这一漏洞可以登录到他父亲的XBOX Live网络帐户。当时他输入的密码不对时,系统提示他重新输入密码。他随便按下了空格键,结果就像魔法一样,直接登录了。”我很紧张。我想[爸爸]会发现的,”Kristoffer告诉当地电视台KGTV。”我想有人会偷走Xbox。” BBC说,Kristoffer的父亲从事安保工作,他已经向微软报告了漏洞的详细情况。微软已修复此漏洞,并对Kristoffer的帮助表示了感谢。

本周要闻:首先出场的是微软公司,下周微软停止支持(终于停止了!)曾经无处不在、漏洞永无止境、部署范围超广的Windows XP系统。

本周发生的事件:我们获悉比特币的更多新闻;关于特斯拉S型车的安全问题;全球网络钓鱼游戏的深入洞察;苹果Safari浏览器修订;飞利浦智能电视中的漏洞等。

据路透社报告,美国德克萨斯州联邦法官已下令Mt. Gox公司首席执行官马克•卡佩勒斯(Mark Karpeles)赶赴美国,回答与比特币交易破产案有关的问题。Mt. Gox曾是世界上最大的比特币(数字加密货币)交易所,该公司在丢失客户价值4亿美元的比特币后于今年2月停业,并在美国申请破产保护。据报道,卡佩勒斯已向传唤其到庭的德克萨斯州法庭申请根据美国《破产法》第15章给予Mt.Gox破产保护,目的是为了让其美国客户在芝加哥联邦法院提起的集体诉讼不能再继续下去。德克萨斯州法官认为,如果卡佩莱斯希望寻求法庭的保护,那么必须亲自来到这里。

据Threatpost的同事Chris Brook报告,在受到大众欢迎的飞利浦智能电视中,支持互联网的某些型号含有漏洞,攻击者可能会借此漏洞访问电视机系统和配置文件中潜在和敏感信息,并能读取插入电视本身的U盘上的任何文件。如果用户碰巧就在这台电视机上浏览互联网,那么攻击者就能窃取cookie,并利用这些cookie来访问特定网站或网上帐户。这一问题与名叫Miracast的WiFi功能有关,这种功能默认情况下已通过预设的固定密码启用。通过此密码,处于电视WiFi适配器辐射范围内的任何人都能连到该电视,并访问电视中的许多功能。

Threatpost的另一位同事Dennis Fisher报告说,深受大众欢迎的高端全电子特斯拉S型汽车上针对移动应用部署了一种易受攻击的单因素验证系统,它允许用户对车门解锁以及执行其他更多功能。研究人员Nitesh Dhanjani发现,新车主在特斯拉网站上注册了帐户后,必须创建一个6位字符的密码。此密码将用于登录iPhone应用程序。该应用支持车主操纵门锁、悬架和制动系统以及天窗。其中真正的问题是对登录尝试次数没有限制;这意味着攻击者可以对相对较短的密码发起暴力破解攻击。在没有登录尝试次数限制的系统中,六位字符是很容易破解的。另外,我想提醒所有苹果用户,位于加州库比蒂诺的计算机巨头-苹果已发布了25个Safari浏览器安全漏洞修订。其中一些漏洞非常严重,所以如果还没有更新Safari浏览器,请尽快更新。

我们的朋友-Securelist的研究人员发布了2013年金融网络威胁黑幕研究报告的第一部分。第一部分密集分析了全球的网络钓鱼环境。简而言之,他们发现,2013年的所有网络钓鱼攻击中有31%针对的目标是金融机构。所有攻击中大约有22%涉及虚假银行网址,这一比例较上年2012年的研究翻了一番;2012年,只有11%的此类攻击是部署虚假银行网址。其中不到60%的网银钓鱼攻击利用的是25家国际银行品牌,其余40%利用的是1000多家银行品牌。最后,我推荐您阅读BBC的一篇新闻,它报告说加州圣地亚哥的一名五岁男童发现流行的XBOX Live在线游戏平台中有漏洞,他通过这一漏洞可以登录到他父亲的XBOX Live网络帐户。当时他输入的密码不对时,系统提示他重新输入密码。他随便按下了空格键,结果就像魔法一样,直接登录了。”我很紧张。我想[爸爸]会发现的,”Kristoffer告诉当地电视台KGTV。”我想有人会偷走Xbox。”

BBC说,Kristoffer的父亲从事安保工作,他已经向微软报告了漏洞的详细情况。微软已修复此漏洞,并对Kristoffer的帮助表示了感谢。

立即行动,清除电脑垃圾。

春季气候转暖,人体阳气生发,是清除体内积存了一冬的各种”垃圾”的最佳时节,为一年的健康奠定基础 – 台式机和笔记本电脑也不例外,春天正是清除垃圾的好时候。 为了使系统以最佳水平运行,你需要清除所有不必要的程序,这些程序在过去几个月不断增加,运行速度越来越慢。遵循以下指导信息可清除系统,让系统焕然一新。 1. 清除不使用的程序:首先,要清除系统中实际并不使用的程序。在苹果电脑系统中,要挑选出这些程序,请转至”应用程序”,然后按日期排序,看看哪些程序未在使用。在普通电脑上,请转至”控制面板”,点击”程序和功能”,然后按安装日期进行排序。您将看到最近安装的程序,选出很少使用程序并清除不需要的。 2. 更新真正使用的程序:出于安全和功能的考虑,您总是希望使用的是所有程序的最新版本,包括浏览器和操作系统。有些程序会自动更新,但对于不会自动更新的程序,请立即手动升级。其中应该包括反病毒软件。 为了使系统以最佳水平运行,你需要清除所有不必要的程序,这些程序在过去几个月不断增加,导致系统运行速度越来越慢。 3. 清理桌面:每过一段时间,桌面上会杂乱无章地堆满各种下载文件,您应该使桌面保持干净,只固定留下极少的程序;否则桌面上的程序越多,系统的负担就越重。查看桌面并精简内容,只留下基本的必要程序;清除不需要的内容,或者将文档和其他应用程序放入系统中其他位置的相应文件夹中。 4.尽可能减少启动程序:系统开机时运行的程序数量很可能多于实际需要,系统开机时启动的程序越多,启动过程所用的时间就越长。在普通电脑上,在”开始”下的搜索栏中输入”msconfig”,然后在出现的对话框中点击”启动”选项卡,取消选中占用空间大的非必要程序,并点击”应用”。对于苹果系统电脑,请转至”系统偏好设置 – 用户与群组”,选择您的用户名,然后选择”登录选项”选项卡,在此选项卡中清除不必要的程序。在这两种系统中,对于不清楚用途的程序,请勿取消选中 – 这一点至关重要。但类似于Dropbox或Spotify这样的程序,则没有必要开机运行,在需要时直接调用即可,所以应该取消选中类似这样的程序。 5.清理浏览器:接下来是删除网络浏览器中的下载历史记录、缓存和cookie。请注意,这意味着虽然有些浏览器允许保留存储的登录信息,但这些信息仍可能会丢失。此外,这也是让浏览器焕然一新,擦除一切内容的好机会。在Firebox中,点击下拉选项卡”历史”,然后点击”清除最近的历史记录”。这将打开一个对话框,其中提供了不同选项,可供您选择哪些内容清除,哪些内容不清除,此外,还有一个包含多个选项的下拉栏,从删除时间范围为上一小时的所有数据,一直到用于删除所有数据的”全部”选项。请选择”全部”。其他浏览器中的步骤大同小异。 6.磁盘碎片整理:基于Windows的系统上有一个磁盘碎片整理实用程序,使用后能提高系统速度和效率。在Windows 8系统中,可以在”文件”下搜索”defrag”来找到此程序,使用早于Windows 8系统的用户应该转至”Program Files – 附件 – 系统工具”来找到此工具。请注意,运行磁盘碎片整理程序需要较长时间,系统在此期间会无法使用,因此应该在临睡前执行此程序。iOS系统中相当于此工具的程序是”磁盘工具”应用程序。 7.备份文件:使用外部磁盘或云存储来备份绝不能丢失的文件。对于真正敏感的内容,请将其备份在仅用于文件备份而不会连接到系统的外部硬盘上。否则请设置自动备份,并养成手动备份最敏感信息的习惯。 8.选择新密码:只要增强了安全性,就应选择新的密码。不管怎样,都应该不定期更改密码,但最好是现在就动手更改。密码越长越好,密码应该包含数字和非字母符号,不能是字典中可查到的单词,也不能包含这样的单词。 9.外部清洁计算机:计算机在使用一段时间后会变脏,去除几个月来所积的灰尘、食物残渣、指纹和一些常见脏污。吸尘器和显示器专用擦拭布是基本清洁工具。

提示