上周新闻:NSA承认监控行为与Apple ID劫持事件。

在上周发生的众多新闻中不乏一些亮点事件,本周我们也将一如既往地收集最有趣的网络安全新闻,在本文中与您分享。 美国国家安全局出卖IT公司 首先是一条不大但却极具爆炸性的新闻。在上周的”个人隐私与公民自由监督委员会”(PCLOB)会议上,美国国家安全局法律总顾问Rajesh De承认,包括Facebook、Google和Yahoo!在内的各大IT业巨头均知道美国情报部门通过其收集大量用户数据。虽然关于这些行为的新闻人们一直有所耳闻,但得到官方的正式承认又是另一回事了。最令人怀疑的是上述这些公司之前都明确否认了有关涉嫌大规模收集公民数据情报的指控。部分公司(考虑到苹果粉丝们的感受,在此我们不会公开点名道姓)甚至声明说,他们’从未听说过棱镜计划’。此时此刻,让我们拭目以待他们如何应对这次的”严重指控”。 专为智能手表定制的操作系统 Google新近宣布开发的Android Wear操作系统将针对日益流行的智能手表以及其他类型的”穿戴式设备”。Google于周二在公司博客上发布了产品公告,正巧赶上摩托罗拉和LG新型智能手表的发布。该操作系统预计将基于安卓系统,但与其前代产品不同,这一次是偏重于语音,而不是触摸功能(像Google眼镜一样)。该操作系统能够管理支持蓝牙的外围设备,甚至包括车库大门。所以黑客入侵的机会……简直让人不敢想。 微软如何向FBI收费 俗话说:”即使无法获胜,也要掌控大局”。而微软以此的补充是:”即使无法掌控大局,那至少要赚到钱”。据黑客组织”叙利亚电子军团”称,全球知名企业根据美国联邦调查局(FBI)的要求泄露用户个人数据时,每泄露一例,即可赚得100美元。此黑客组织确认,至少在2012年9月,FBI就为此类活动支付了14.5万美元。去年泄露个人数据的单价是100美元/人,但到2013年,此价格已上涨两倍。至于这些行为的合法性,微软声称FBI并没有为此类行为支付过任何费用,而只是为用于执行合法请求所用的时间付费。你现在知道为什么时间就是金钱了。 Gmail现已全面HTTPS化 让人奇怪的是这一切发生在2014年,但从现在开始,所有Gmail活动将全部通过”https”安全协议执行。若不考虑Gmail一直以来都在使用加密,则到目前为止,有部分操作是通过不安全的通道执行的。用户现在别无选择:https连接不仅在默认下启用,而且无法禁用。更有甚者,向收件人发送邮件时,回复内容也会加密,而且邮件在Google内部服务器之间流转时也同样会加密。这是关键性的进步。 通过美国艺电劫持Apple ID 据报告,最近知名游戏发行平台”美国艺电”(EA)被黑客劫持。但有意思的是,犯罪分子的主要攻击目标并不是该公司的数据,而是为了获取用户的Apple ID凭证。黑客们采用极精细的策略来实现这一目标。他们劫持ea.com网站后,小心地发布了模仿网络钓鱼的网址,从该公司子域中复制苹果的凭证请求,这也为劫持信用卡凭证提供了机会。该报告并未给出受害者的具体人数,但更奇怪的是EA从未公开承认过曾有钓鱼网站页面在公司服务器上驻留过。我们不得不说,这确实令人怀疑。 今天就写到这里,下周见!

在上周发生的众多新闻中不乏一些亮点事件,本周我们也将一如既往地收集最有趣的网络安全新闻,在本文中与您分享。

美国国家安全局出卖IT公司

首先是一条不大但却极具爆炸性的新闻。在上周的”个人隐私与公民自由监督委员会”(PCLOB)会议上,美国国家安全局法律总顾问Rajesh De承认,包括Facebook、Google和Yahoo!在内的各大IT业巨头均知道美国情报部门通过其收集大量用户数据。虽然关于这些行为的新闻人们一直有所耳闻,但得到官方的正式承认又是另一回事了。最令人怀疑的是上述这些公司之前都明确否认了有关涉嫌大规模收集公民数据情报的指控。部分公司(考虑到苹果粉丝们的感受,在此我们不会公开点名道姓)甚至声明说,他们’从未听说过棱镜计划’。此时此刻,让我们拭目以待他们如何应对这次的”严重指控”。

专为智能手表定制的操作系统

Google新近宣布开发的Android Wear操作系统将针对日益流行的智能手表以及其他类型的”穿戴式设备”。Google于周二在公司博客上发布了产品公告,正巧赶上摩托罗拉和LG新型智能手表的发布。该操作系统预计将基于安卓系统,但与其前代产品不同,这一次是偏重于语音,而不是触摸功能(像Google眼镜一样)。该操作系统能够管理支持蓝牙的外围设备,甚至包括车库大门。所以黑客入侵的机会……简直让人不敢想。

微软如何向FBI收费

俗话说:”即使无法获胜,也要掌控大局”。而微软以此的补充是:”即使无法掌控大局,那至少要赚到钱”。据黑客组织”叙利亚电子军团”称,全球知名企业根据美国联邦调查局(FBI)的要求泄露用户个人数据时,每泄露一例,即可赚得100美元。此黑客组织确认,至少在2012年9月,FBI就为此类活动支付了14.5万美元。去年泄露个人数据的单价是100美元/人,但到2013年,此价格已上涨两倍。至于这些行为的合法性,微软声称FBI并没有为此类行为支付过任何费用,而只是为用于执行合法请求所用的时间付费。你现在知道为什么时间就是金钱了。

Gmail现已全面HTTPS化

让人奇怪的是这一切发生在2014年,但从现在开始,所有Gmail活动将全部通过”https”安全协议执行。若不考虑Gmail一直以来都在使用加密,则到目前为止,有部分操作是通过不安全的通道执行的。用户现在别无选择:https连接不仅在默认下启用,而且无法禁用。更有甚者,向收件人发送邮件时,回复内容也会加密,而且邮件在Google内部服务器之间流转时也同样会加密。这是关键性的进步。

通过美国艺电劫持Apple ID

报告,最近知名游戏发行平台”美国艺电”(EA)被黑客劫持。但有意思的是,犯罪分子的主要攻击目标并不是该公司的数据,而是为了获取用户的Apple ID凭证。黑客们采用极精细的策略来实现这一目标。他们劫持ea.com网站后,小心地发布了模仿网络钓鱼的网址,从该公司子域中复制苹果的凭证请求,这也为劫持信用卡凭证提供了机会。该报告并未给出受害者的具体人数,但更奇怪的是EA从未公开承认过曾有钓鱼网站页面在公司服务器上驻留过。我们不得不说,这确实令人怀疑。

今天就写到这里,下周见!

误植域名:拼写错误触发的恶意软件感染

在一些案例中,某些网站会被盗用而作为传播恶意软件的主机。就我们所知,用来误导用户转至恶意站点的方法可谓花样百出,其中一种就是”误植域名”。 对我们来说,在网络浏览器中输入网址时出现拼写错误实在是太平常的事。但网络犯罪分子往往会利用这一情况来误导用户转至恶意网站,而不是用户实际想访问的站点。这被称为”误植域名”(typosquatting)- 这个英文单词由”typo(错误拼写)和”squat(蓄意)”两部分组成,也称为”网址劫持”(URL hijacking)。网络犯罪分子会注册与流行域名类似的域名,然后等候拼写错误的用户上钩。这对于企业来说实在是件讨厌的事,甚至导致域名被网址蟑螂(typosquatter)滥用的公司之间引发官司。 当然,误植域名对于消费者来说也是一种威胁。当用户无意中访问这些网站时,会发现浏览的是垃圾网站,甚至更糟糕的是,有可能被恶意软件感染。下面我们将讨论真实发生的案例。 典型案例:Gmail滥用 首先我要解释下我们为了减少被恶意软件感染的受害者而做出的努力。只要发现有任何被盗用的网站,我们就会尝试联系其管理员并发出警告。下面是我们遇到的一个实际例子。这是一个无意间托管了恶意软件的网站上的WHOIS信息。在”Administrative Contact”(管理联系人)字段中,您会看到字符串”A***3JP”。这是由日本域名注册服务公司(JPRS)管理的JPNIC句柄,也是找出该站点管理员的关键。(换句话说,就是在此字段中注册的电子邮件地址。) 我们检查了负责管理”A***3JP”域的管理员: 在”E-Mail”字段中的电子邮件地址就是应该发现自己的网站被恶意软件感染的人员的联系信息。提醒未发现感染的管理员是阻止恶意软件进一步传播的重要环节之一。 但经过更进一步的检查,我们发现此电子邮件地址中存在问题。它看上去类似于Gmail地址(xxx@gmail.com),但实际上并不是,因为它缺了一个字母。 对于某些国家,正确的域信息注册是一项法律规定。但在日本,有时注册的信息并不正确,而更糟糕的是不正确的信息可能会被有意注册。如果注册的电子邮件地址不正确,则我们就无法向网站管理员发出警告,对方也不会意识到自己已成为受害者。 但在这种情况下,注册类似Gmail域名的意图显而易见:这是利用误植域名生成的一个陷阱,目的是误导用户下载恶意伪装程序。 结果地址类似于Gmail的网站可能会根据访问者的语言环境以多种语言显示,包括日语、德语、西班牙语、意大利语、荷兰语、波兰语、葡萄牙语、俄语、瑞典语和土耳其语。但没有”英语”选项,具体原因不明。请参见下面的网站截屏样本。网站合法的外观很容易会误导意外访问该网站的访问者毫不怀疑地下载并安装对象。 日语: 俄语: 在本文中,我解释了正常注册域名信息的重要性以及误植域名的工作原理,并通过我们在研究中偶然碰到的实例加以说明。误植域名并不是新鲜事物:它是误导用户的一种经典方法,已经存在好几个年头了。但全球范围内的受害者人数仍不断上升,原因是这种方法本身具有被动性质,即等着用户拼写错误而自动送上门,因为我们都可能时不时地犯些拼写错误。为了避免成为受误植域名驱动的恶意软件受害者,请定期更新操作系统和安全软件。

  • Onuma

提示