All posts

1026 文章

隐私浏览:全新卡巴斯基实验室产品系列增强的隐私核心功能

在过去的几周时间里,你们应该已经看到了我们对”数字失忆”所进行的一系列研究。考虑到”数字失忆“带给我们的各种苦恼,你很可能已经将它选择性遗忘了。 好吧–我承认这不是个好的笑话。我只是实在忍不住想说。事情的真相是我们愈来愈依赖我们的数字设备来记忆重要信息。 卡巴斯基实验室团队对此了然于心,同样也知道我们的客户相当重视自己的隐私、个人数据、数字身份以及个人资金,同时他们也表达了对这些个人信息安全的担忧。因为没有人希望将自己的个人信息泄露给那些存心不良的网站或公司。 由于数据外泄及黑客入侵的事件几乎每天都在发生,因此互联网用户不仅需要安全感,同时还需要无论在使用何种设备进行各种在线活动(例如:升级社交网络、使用网银和在线购物)时,都能确保获得安全保护。 随着卡巴斯基安全软件和卡巴斯基全方位安全软件2016版的推出,我们团队在其中加入了全新功能以加强用户的隐私保护能力。这一功能被称为”隐私浏览“。 正如你所知,每日的互联网用户数据收集程度着实让人有些胆战心惊,同时也让我们许多人产生恐慌情绪。尽管事情本身令人愤怒,但其中主要的问题是:相对’善良的’网络服务所收集的数据是如何跑到那些”坏家伙们”手中的? 凭借全新的”隐私浏览”功能,卡巴斯基实验室用户不仅能防止设备上的个人数据外泄和在互联网上共享,同时一旦有网站请求获取你的个人数据时,还能收到相关报告。这一功能选项可作为Firefox、Chrome和Internet Explorer浏览器的插件使用。 我们相信,这一全新功能将使用户在上网冲浪时拥有更强的控制力和更佳的安全性。如往常一样,新版本的卡巴斯基实验室产品将不遗余力地阻止试图病毒感染用户设备的网络犯罪分子。 如果你对我们产品感兴趣的话,你可以直接从我们网站下载免费试用版,或购买完整版。标准套餐–1年期3个用户许可证–卡巴斯基安全软件售价79.99美元。卡巴斯基全方位安全软件的1年期5个用户许可证的售价则为99.99美元。  

《安全周报》32期:安卓Stagefright漏洞、全新汽车黑客入侵和”请勿追踪”2.0

仅仅在23年以前,微软只是刚刚发布了Windows 3.1系统,而苹果正推出其第一代PDA(掌上电脑),而Linus Torvalds则在GNU许可证下发布了Linux操作系统。在同一时期,尤金•卡巴斯基也出版了一本书,上面详细介绍了那个时代所有已知的计算机病毒以及清除病毒的方法,其中—这些病毒程序都被称为-V。当时的网络威胁并不是像现在那么严重:一本小册子就能覆盖当时所有病毒的介绍,甚至在随后的20年里情况也并未太过糟糕。 The Complete Сatalogue of Malware, written by Eugene Kaspersky in 1992 《恶意软件完整产品目录》,尤金·卡巴斯基编写于1992年 而那个”天真纯洁”的时代早已一去不复返。现在,每天出现的新型恶意软件数量就多达32.5万。同时几乎每个星期,整个互联网行业都会面临系统安全问题的新考验—从汽车和滑雪板到核电厂,几乎遍及各个领域。这是最好的时代,也是最坏的时代:如今,随着越来越多的人开始重视他们依赖于计算机的数据、企业和个人生活的安全性,整个互联网世界才有可能变得更加安全。 而现在,即便你放松地躺在椅子上的时候,也能了解互联网安全的最新动态。每周一,我们都将为您带来上周发生的三条最重要的安全行业新闻,同时还有从各个网站收集的辛辣评论。这些新闻无一例外都精选自Threatpost和卡巴基斯官方。 Stagefright:还未造成任何改变的安卓漏洞 Threatpost新闻。Google反馈。CERT Advisory。Kaspersky Daily对于如何预防Stagefright感染的建议。 Wired将其称为”迄今为止发现的最严重安卓系统漏洞“之一,但这样的表述并不完全正确:因为它还要更糟。这一漏洞与Heartbleed和Shellshock的主要差别在于:我们不必为Stagefright想一个唬人的名字,Stagefright是安卓系统音频和视频播放的引擎,也是安卓开源项目的一部分。从技术上讲,Stagefright其实是一整套漏洞(来自Zimperium的研究专家发现了留在CVE基地的7个ID),主要与缓冲区溢出有关。 这一多媒体引擎的任务是回放各种音频和视频,正如ZDNet提到的,某种程度上Stagefright的独特功能可实现”你还在考虑是否观看某个视频之前”,它就已经准备好播放了。出于某些神秘的原因,有时所有这些任务都是在”上帝”访问权限级别下执行。但事实上,其中的原因并不神秘:只是这样更容易编码,仅此而已。尽管如此,Stagefright也非常容易脱离安卓沙盒,因此也易于遭受漏洞利用。 最终,我们有了一个出色的概念证明:向手机发送MMS(多媒体短信)–然后一切都一目了然。你甚至无需打开”载入的”MMS:手机会自动帮你打开,因为其编码方式考虑到了为用户的便利性。是不是就没有任何办法了呢?并不尽然。首先,在安卓4.1及以上版本中有一项地址空间布局随机化技术,可防止手机自动打开,或至少部分”解决了问题”。 其次,通过遵循负责任的漏洞披露规则,Zimperium成功阻止了漏洞利用代码。尽管如此,得益于已发布的补丁,所有问题都迎刃而解。 Google的反应则相当有趣。我们从安卓官方博客发布的相关博文中摘录了一小段:”一切都没问题。我们的沙盒棒极了。只有0.15%的安卓设备内存在恶意应用(后面跟着许多星号、细则和条款)。为了确保安全万无一失,Nexus设备需要每个月都进行安全升级。” ‘纵然Nexus设备安全无忧,那安卓智能手机和平板电脑又该如何是好呢?Google的举措无助于解决安卓非一致性问题-新设备常常延迟无法第一时间升级至最新操作系统版本,而更老的硬件则根本无法升级更新。 好在像HTC、三星、索尼和LG这样开发商已宣布,将比以往更频繁地升级他们的智能手机和平板电脑。尽管许多问题依然悬而未决,但我们可以明确的是一些电子设备的系统将进行升级更新。如果我们继续努力下去的话,可能终有一天所有问题都会得到解决。 但无论如何,这都是一个好的迹象。迟早有一天,安卓也会拥有自己的一套升级机制,就像微软的’周二补丁日’一样。正如一年前安卓首席安全工程师Adrian Ludwig在Google总部说的,Google在安全领域做的相当出色,只需再对Google

手机锁屏图案的设置奥秘

人类的行为通常都有规律可循,因此完全可以预测。尤其当不法分子在破解密码、密文和PIN码时,人类行为的可预测性可轻易被利用。我们中的许多人都会将名字、出生日期和其它容易猜到的个人信息设为密码,更不用提’12345’这样的极简易数字密码仍被广泛使用。那我们每个人在设置自己的锁屏图案时,是否也有据可循且容易预测呢?事实证明—的确如此。 来自一家挪威公司- Itera Consulting的研究专家Marte Løge对此做了一项分析,主要是分析人们分别为购物应用、智能手机锁屏和网银所设置的图案密码。最终的结果着实令人大吃一惊。 首先,应用的类型与图案密码的设置强度有着密切的关系。相比智能手机锁屏,人们更倾向于对网银甚至购物应用使用强度更高的图案密码。 其次,在Løge调查的数千受访者中,许多人(约占10%)使用的都是字母样式图案,其强度与类似’12345’这样的极简易数字密码一样弱不禁风,几乎起不到任何安全防御作用。 数字样式的图案密码完全弱不经且最容易被猜到 第三,尽管图案密码可以有大约39万种组合,但人类行为的特有规律使得这一数量大幅缩减。上述提到的大多数组合都包含了8个或9个点,但不幸的是,实际中使用这些组合的人少之又少。因此人们使用最多的大约有10万种组合。 尽管10万种组合听上去数量庞大,但事实上其中的3/4包括了8点和9点的组合,而这些组合人们通常很少用到 据调查,图案密码的平均长度大约是5点—但这根本不足以保护智能手机或应用程序的安全。5点的图案密码长度只能有约7000种组合,显然这比简单的4位数字PIN码还要羸弱不堪。而人们最常用的图案长度是4点,这只能有大约1600种组合。 4点图案密码长度使用最为广泛 此外,要想进一步将组合的数量减至更少,你完全可以轻松预测出图案密码的起始点。人们通常倾向于将角落设为起始点,而其中大约一半的图案组合更都是将左下角作为起始点。而多达73%的人在设置图案密码时,都同时使用了左下角和右上角。 有趣的是,这与是右撇子还是左撇子以及是单手(小屏幕)还是双手(大屏幕)用智能手机都无太大关系。它们的各自占比都非常接近。 另一个有趣的事实是,女性相比男性更倾向于设置较弱的图案密码。此外,图案密码强度与年龄也有一定关系:年龄越小,越可能使用强度更高的图案密码。因此,知道性别和年龄确实有助于预测使用的图案密码。 我们能从这项研究中学到什么?基本上来说,如果你使用安卓锁屏图案,或为一些敏感应用设置图案密码时,想真正保护自己数据的话, 最好使用与众不同的策略。以下是我们的建议: 千万不要使用人人都能想到的数字样式图案组合。使用这种薄弱图案密码的效果和不使用图案或数字字母密码的效果相差无几。 起始点选择不太常用的位置:最好的选择是右边中间的位置。右下角同样也是相当不错的选择。 图案密码的长度最好设为8点或9点:首先组合数量庞大;其次很少有人使用这一长度。 当然,可以考虑将图案密码改为数字字母密码。因为即使是长且可靠的数字字母密码相比高强度图案密码来说,记起来还是要更容易些。

特斯拉S型电动车安全性:挥之即来,呼之即去

如果说’黑客入侵’已成为一种时尚潮流的话,那本季的最热流行非’黑客入侵汽车’莫属。在两名研究专家Charlie Miller和Chris Valasek详细揭露如何黑客入侵Jeep大切吉诺不久后,另一个安全专家小组也成功控制了特斯拉S型电动车。 移动安全公司Lookout联合创始人兼首席技术官Kevin Mahaffey及其合作伙伴Marc Rogers(CloudFlare首席安全研究专家)在特斯拉S型系统中发现了6个漏洞后,已与特斯拉公司开展了数周之久的合作,以共同编写修复补丁。 尽管已放出了相关补丁,但这一事件已让人们对特斯拉S型电动车的安全性产生了极大怀疑。犯罪分子可将PC电脑与车载以太网进行物理连接来利用这些安全漏洞,只需使用软件命令就能将你价值10万美元的’豪车’直接开走。另外,犯罪分子还能让系统感染木马病毒,从而远程关闭正在行驶中的电动车的发动机。 在测试潜在网络威胁时,研究人员竟然完全掌控了车载娱乐系统。他们可以随意打开和关闭车窗、锁车门或开门锁、升/降悬吊系统以及切断汽车电源。 但特斯拉并没有犯和克莱斯勒相同的错误。一旦正在行驶中的S型电动车电源被切断,其车内系统可立即激活手刹。 当车速慢于8公里/小时,车辆会自动倾斜直至停下来为止;而当车速快于8公里/小时,特斯拉则采取特殊安全预防措施。在对高速行驶的车辆进行测试时,当司机保留对转向和制动的控制时,汽车档位会自动转到空挡并自动停下来。此外,安全气囊也能完全起到其应有的作用。 在相同的处境下,克莱斯勒不得不通过召回140万辆问题车打上紧急安全补丁,而特斯拉汽车只需通过无线通信即可打上安全补丁。具有讽刺意味的是,一些汽车生产公司提供安全补丁的速度竟然比许多智能手机生产商还要快许多。 “如果每次下载和安装补丁的过程都能顺畅进行的话,这可以解决许多的问题。你可以看到,在现在的汽车系统内运行着大量的软件,因此需要频繁地安装补丁,其安装频率有时甚至超过了PC电脑,但如果要求车主每周或每个月前往经销商处安装各种补丁的话,那绝对是一件恐怖的事情。我的观点是世界上的每一辆车如果能连接互联网的话,都应该采用OTA(无线通信)方式下载并安装补丁。” —Mahaffey在《Wired》杂志上评论道。 Mahaffey和Rogers将就如何提高特斯拉汽车安全性方面继续展开合作。此外据报道,特斯拉公司还从Google新挖来了一名在业内享有声望的工程师:Chris Evans将担任特斯拉汽车安全团队的负责人。

如何’一键杀人’

安全研究专家Chris Rock最近发现,完全不费吹灰之力就能”杀死一个人”。需要声明的是,我们讨论的内容完全属于法律意义上的范畴,并不会引起道德和法律上的后果。只需要一台能上网的电脑、些许相关知识和基本的网络常识,每个人都能做到。你甚至无需黑客入侵任何网站;你所需的所有服务都是现成的,而且是100%合法。 因为一场意外-澳大利亚的一家医院错发200张死亡通知书,Chris Rock开始着手研究其中的漏洞。他的想法是,既然因为医院的失误操作能造成电子系统出错,那个人也同样可以人为制造”错误”。 人死亡的官方证明被称为’死亡通知书’。而在许多国家,这一证明还可以在线申请。例如,在美国,医院可以使用一项称为’电子死亡登记系统’(EDRS)的网络服务。要想成功申请死亡证明,你只需以医生的身份登录EDRS。 要想注册这项服务,你需要输入能证明你医生身份的几项信息,包括:姓名、执业证书编号以及你医生执照上的地址。即便你不是医生,还可以通过在线服务(至少在加州是如此)找到所有你想要的医生信息。简而言之,你可以随时以加州一名职业医生的身份登录ESDR,且不会产生任何问题。 此外,另一种人同样也能开立死亡证明,那就是丧葬承办人。有趣的是,在某些美国州(和像英国或澳大利亚这样的国家),无需任何特殊培训或资质证书就能成为一名丧葬承办人。提交申请后只需等待有关部门确认—很快,你就能正式成为一名丧葬承办人。 当然,你需要知道如何正确填写死亡证明。但此类系统通常都为医生和丧葬承办人在线准备了相关的填写指南。当然,你也可以通过Google搜索,各种你想要的信息都一目了然。死亡证明申请的基本方法就是这样,可能你还需要做一些遗嘱认证方面的工作。但这同样相当简单。 在这些’死亡服务’网站中,最有意思的是竟然还有一个特殊按钮,用来进行批量死亡登记。这一功能最初设计是用来登记类似于灾难中的死亡人口,但任何人想扮演Bender Rodriguez的角色,都可以用这个特殊按钮来一场虚拟的’集体屠杀’。 当然你也可以反过来做—创造一个虚拟的人—方法也大同小异,但你却无需忍受’怀胎九月的煎熬’。事实上,创造虚拟的人要比让真实的人虚拟死亡来得更容易些。首先,你无需注册为一名丧葬承办人。其次,你可以一名助产护士的身份注册,而无需是医生。而且,有关助产护士的所有必要信息都可以从上述提到的加州网站和其他国家类似的服务项目中找到。 人们’虚拟杀人’或’创造虚拟人’的理由有很多。可能为了欺诈、报复或是故意妨碍他人,各种原因不胜枚举。可能还有一些令人啼笑皆非的理由,但却很难让人察觉到:在创造虚拟的人同时,你所创造的那个他/她也立即成为了完全合法的人,你可以在日后随时用这一身份做任何事情。这就好比将你在社交网站上所展现出的完美的你移植到了现实生活中! 官方对于死亡的认定也十分有趣:要想恢复自己的’法律地位’可谓相当复杂。过去曾发生过这样一个案件:有一个人因为失踪多年而被错误地宣布已死亡。他想要恢复自己的’合法地位’,但法官却说现在已经晚了—因为俄亥俄州法律规定必须在宣告死亡后的三年内提出异议。一旦三年期限过后,就无法再进行更改。抱歉,伙计,我们真的是无能为力。

2015美国黑帽大会:关于黑客入侵Jeep车的详细介绍

近期,我们就时下热门的”黑客入侵Jeep大切吉诺“主题,写不少与此有关的讨论文章。在今年的网络安全盛会-2015美国黑帽大会上,安全研究专家Charlie Miller和Chris Valasek同样就他们是如何黑客入侵Jeep大切吉诺的整个过程进行了详细阐述。 在他们的研究之初,Miller和Valasek试图通过Wi-Fi连接黑客入侵Jeep车的多媒体系统—Jeep的制造商克莱斯勒根据车主意愿选择是否开通这一收费功能。事实证明,黑客入侵这一车载Wi-Fi并非难事,原因在于Wi-Fi密码是基于汽车本身及其多媒体系统(主机)在首次启动时自动生成的。 从理论上讲,考虑到日期/时间的极高精确度,这是一种相当安全的加密方法,因为你可以得出成千上万种可能的组合。但如果你能成功猜到要在Jeep车开动后的一小时内时刻与车载Wi-Fi保持连接。因此,这两名研究专家决定另寻他路。令人吃惊的是,他们竟然真的又找到了一个解决方案:结果证明,克莱斯勒车载Wi-Fi密码是在车上设置实际时间和日期之前就已经生成,即在主机启动时在默认系统起始时间基础上再加上几秒而自动生成。 那辆大切吉诺的默认系统起始时间是2013年1月1日00:00(格林威治标准时间),或更精确地说,是00:00:32(格林威治标准时间)。这样可能的组合范围就相当小了,即使是业余黑客,猜出正确的Wi-Fi密码也完全是小菜一碟。 在成功连上Jeep车的主机后,Miller和Valasek得以找到一种可能的方法来黑客入侵使用Linux操作系统的多媒体计算机。由于软件内的几个问题完全能猜到,因此他们通过利用软件内的漏洞后最终完全掌控了主机系统。 尽管攻击范围有限,但却足以惊世骇人:研究专家们不仅能完全控制音乐播放器,还能将收音机调到任何他们想听的频率并能随意调节音量。完全可以想象,当你以70英里/小时(相当于112公里/小时)在高速公路上急速行驶时,收音机突然自动提高了音量,任何人碰到都会悚然一惊,进而可能引发交通事故。 研究专家们还发现了另一种可能,即通过车载GPS导航系统追踪目标车辆。你甚至无需更改主机软件就能利用这一漏洞,因为该系统在汽车出厂前就已内置。 以上就是如何成功黑客入侵克莱斯勒汽车车载Wi-Fi连接的方法,但前提条件是车主购买了此项功能服务。但就目前而言,许多车主并未购买。而另一方面,克莱斯勒汽车的所有主机均能与Sprint蜂窝网络相连接,就算其车主并未购买任何无线网络服务也同样能成功连接。而这只是针对车载主机类型的一个标准而已。 Miller和Valasek也试图通过这一方法利用漏洞—虽然花费了大量的时间和精力,但他们的努力并没有白费。借助在eBay上购买的’femtocell’(毫微微蜂窝式基站),他们得以进入到Sprint内网,并通过监听某几个电话(他们通过黑客入侵Wi-Fi获得)扫描大量IP地址。 利用这一黑客技巧,你可以找到几乎所有配备有此类主机的克莱斯勒汽车。事实上菲亚特克莱斯勒已召回了100多万辆车存在类安全漏洞的汽车。可能你会觉得菲亚特克莱斯勒已将所有问题车辆都召回了,因此完全可以放心选购一辆安全的Jeep车。但事实上这并非易事,正如研究专家所言,”相比其他品牌汽车而言,所有Jeep品牌的汽车几乎都存在这方面的安全问题。” 黑客完全可以借助GPS追踪器,对任何想要黑客入侵的Jeep车下手。在成功入侵后,黑客可以利用车载多媒体系统为所欲为。但我们的故事还远未结束。 下一步还需要找到接入CAN总线的途径。CAN总线作为汽车的内网能与车上所有最重要的部件—发动机、传动装置和传感器等(几乎囊括了所有车载部件)互联,原因在于目前Jeep品牌车上的每一个部分均采用电子控制方式。 但多媒体系统却并未与CAN总线直接相连。而这正是每当提及网络-物理系统的IT安全时,所有汽车制造商都反复强调的:多媒体系统完全独立于这些系统的联网和物理部分以外。 但事实证明,其安全性也并非万无一失,至少对于克莱斯勒汽车而言确实如此。尽管多媒体系统控制器本身无法与CAN总线直接通讯,但却能和与CAN总线互联的另一个部件-V850控制器通讯。简单地打个比喻,他认识个家伙,那个家伙又了解另一个家伙的状况。 V850控制器的软件采用了相对谨慎的设计方式,因此尽管有可能’听从于’CAN总线,但却无法通过它发送命令。但你也知道,这毕竟是一台计算机。你根本无需拆箱操作,只需简单地对计算机重新编程即可将其添加入内。 通过与多媒体系统的控制器连接,研究专家们发现了可针对其恶意编写版本更改V850控制器固件的漏洞。在无需检查或授权的情况下,固件即可完成’升级’。尽管存在权限问题,但研究专家们在其中发现了数个漏洞,从而实现了对V850控制器的完全掌控。 实际上就是如此简单:在这一步操作完成后,Miller和Valasek即能通过CAN总线成功发送命令,并且对所有汽车部件(千真万确)进行操控。他们能成功操控方向盘、发动机、传动装置和制动系统,更不用提像雨刷、空调和门锁这样更容易控制的汽车部件。而且,他们完全是通过Sprint蜂窝网络远程控制这些汽车部件的。 好消息是:Miller和Valasek花费了数年时间才得出了他们的研究成果。而主要的黑客技巧—具体如何掌控与汽车部件连接的CAN总线—在他们的介绍中依然未解释清楚。此外,也并非每一名黑客都能达到上述两名研究专家的技术水平。坏消息是:此类黑客入侵成功的可能性相当高,且产生的破坏性将难以估量。

#kaSPAssion24:斯帕24小时耐力赛

对于广大车迷而言,赛车运动代表着历史、传统、激情与归属感。而有着悠久历史的斯帕24小时耐力赛更是成为了全球性的赛车盛事。于周二开始的比赛先进行首轮多场测试赛,最终将在24小时比赛后于周日下午4:30决出最后的冠军。 由卡巴斯基实验室赞助的AFCorse车队拥有包括Alexander Moiseev、Garry Kondakov、Riccardo Ragazzi和Rui Aguas在内的多名车手,他们轮流驾驶Ferrari 458 GT赛车,齐心协力,共同完成比赛。 在开赛之初,由于天公不作美下起了磅礴大雨,但即使在如此恶劣的天气条件下葡萄牙车手Rui Aguas依然发挥十分稳定。随后登场的是意大利车手Riccardo Ragazzi,他一出场就出现了许多精彩的超车,并多次跑出了快速单圈。 而Alexander Moiseev更是表现出色,他驾驶的赛车几乎每一刻都极具侵略性,其表现与他的同胞车手Garry Kondakov相比毫不逊色。 伴随着赛车马达的轰鸣声和现场车迷的欢呼声,比赛逐步进入了胶着状态,同时车手也轮换了多名。在AM级别的比赛中,在我们的赛车多圈跑完后依然占据首位的情况下,由于出现技术问题,赛车不得不在比赛临近结束的时候暂时退出比赛长达数小时。 尽管如此,我们依然很高兴能有机会参加这项历史悠久的比赛。

95%的安卓手机可能因MMS而遭受黑客入侵,数亿部手机处于风险之下

这一最令人震惊的网络威胁不断触动着安卓手机用户原本就脆弱的神经:Zimperium zLabs在2015年4月报告了Google操作系统内的6个漏洞。他们还告诉《福布斯杂志》:尽管Google向其合作伙伴发送了补丁,但有些令人难以置信的是,大多数生产商并未修复这些补丁来保护他们的客户。这些bug被认为有史以来发现的最严重的安卓缺陷。 安全研究人员宣称95%的安卓设备–约9.5亿部智能手机–暴露在漏洞利用的危险之下。运行2.2版本以下安卓操作系统的老式手机可确保无安全之忧,同样安全的还有Silent Circle最新推出的Blackphone(黑手机),其操作系统已打上了相关安全补丁。同样针对Nexus手机的相关安全补丁也将于近期发布。 只要知道你的手机号码,黑客们就能将恶意软件植入你的手机:即通过受病毒感染的MMS(多媒体短信服务)实现。只要你接受此类短信—恶意软件就能开始自动运行。你甚至不打开受感染的多媒体短信就可能不幸成为受害人,因为手机的操作系统会’帮助你’执行一切操作。这绝对是一种可怕、高效且悄无声息的网络攻击,你说呢? 该漏洞存在于Stagefright软件库内。Google Hangouts同样遭受牵连,原因在于该应用常被用作处理视频短信的默认应用程序,因此会激活病毒。 一旦不幸安装,该恶意软件则会清除原先的MMS来掩盖所有踪迹。一旦成功运行后,该病毒将不仅通过手机摄像头和麦克风监视你的一举一动,还会将你的个人数据共享到互联网并开展其他犯罪活动。 Google最近针对其Nexus手机开发了另外一些安全补丁,并承诺将于近期发布。但如果你不幸使用其它手机的话,则可能永远也看不到针对你手机的相关安全补丁发布的一天。不幸的是,众多智能手机生产商在提供安全补丁方面可谓名声不佳,尤其当你的手机已上市超过18个月。 而与此同时,作为安卓替代系统的CyanogenMod也于近期发布了修复补丁。如果你手机的生产商无法提供安全更新补丁的话,可以参考以下我们精心准备的安全防范措施。 你首先需获得安卓手机的root权限,然后禁用Stagefright。当然,你还可以选择使用其他的手机操作系统。 你还能买一部在这方面有安全保障的新智能手机(生产商很重要!),然后放心使用直到再出现新的严重安全漏洞。 更改设置并停止接收MMS。 无论你选择哪一种方法,都仍然会遇到各种不便和麻烦。最快的方法是禁用Hangout的MMS自动抓取功能。只需按照以下步骤操作即可轻松实现: 打开Hangout; 点击左上角选项; 点击设置-> SMS; 在高级选项卡内取消勾选自动检索MMS选项。 如果你使用的是默认消息应用,同样可以实现: 打开消息应用; 点击更多->设置->更多设置 点击多媒体消息->关闭自动检索 我们依然希望智能手机生产商最终能严肃地对待这些安全问题。此外,我们还可以通过向那些在推特上有客户支持账号的智能手机生产商直接发送推文,敦促他们尽快发布相关安全补丁。  

安全小贴士:如何应对网络欺凌

可能你也有所听闻,互联网已然成为了可怕而高效的网络欺凌媒介。此类网络攻击也同样容易让孩子遭受永无止境的心里创伤。 请相信我们的话:网络欺凌往往容易遭受偏见。而这正是孩子在成长过程中需要克服的障碍。你不必将大量的时间和精力花在无聊的人身上– 而应将自己的时间和精力放在真正对你重要的事情上。 如果你感到在线聊天或在线发帖变得愈加难以控制的话,可以考虑以下采取以下行动。 如果你感到有人在线对你欺凌、威胁、嘲笑或让你心烦意乱的话,是时候该远离他们了。千万不要沦落到和他们同样的层次。你理应更加聪明。只需将欺凌的事实报告给网站管理员,让他们来处理就行了。 如果这些网上不良现象继续出现,或者有人做的实在太过分的话,确保告知你的家长— 不管是谁,就算是你在学校认识的人。这并不算打小报告,而是大人应该做的事情。在任何人受到伤害之前即时制止网络欺凌现象相当重要。 如果还有人将有关你个人生活的隐私到处散播— 比如在未经你同意的情况下下载你的照片或直接从你那儿窃取—立即告知你的家长并通知网站管理员,如此才能制止这一行为。

什么是漏洞利用以及用户害怕的原因?

安全专家们常常将漏洞利用称之为与数据和系统安全有关的最为严重的问题之一;尽管一般来说我们总难以区分漏洞利用和恶意软件之间的差别。但在这里我们将尽量详述其中的差别之处。 什么是漏洞利用? 漏洞利用是恶意软件的集合。这些恶意程序往往包含数据或可执行代码,能够利用在本地或远程计算机上运行软件内的一个或多个漏洞。 简而言之:在你根本不知情的情况下,浏览器内存在的漏洞允许”任意代码”在你的计算机系统内运行(例如:安装和启动某种恶意程序)。很多时候,网络攻击者实施漏洞利用的第一步就是允许权限提升,如此他们就能在遭攻击的系统内肆无忌惮地进行犯罪活动。 浏览器连同Flash、Java和微软办公软件都属于最容易遭受攻击的软件类型。由于这些软件使用相当普及,因此无论是安全专家还是网络黑客均对它们积极进行研究,同时开发者们也不得不定期发布相关补丁以修复漏洞。如果每次都能及时打上补丁那是再好不过,但实际上却常常无法如愿。比如,在进行升级时必须关闭所有浏览器标签或文件。 另一个问题是对目前未知的漏洞进行利用,网络黑客们一旦发现后即大肆利用:即所谓的’零日漏洞‘。而软件供应商则在漏洞被利用后,才能了解问题所在并着手解决。 病毒感染途径 网络犯罪分子常常热衷于通过类似于社交工程的其它病毒感染方式实施漏洞利用–无论成功还是失败–对漏洞的使用不断转化为他们想要的结果。 用户通常通过两种途径不幸遭受漏洞利用。第一,通过访问含恶意漏洞利用代码的网站。第二,打开看似合法但实际上却隐藏恶意代码的文件。你们应该很容易能猜到,最有可能带来漏洞利用的不外乎垃圾邮件或网络钓鱼电邮。 一旦通过特定漏洞获得访问权,漏洞利用即会从网络犯罪分子的服务器载入其他恶意软件,从而执行各种恶意行为,例如:盗取个人数据,或者将受害人计算机作为僵尸网络的一部分来发送垃圾邮件或实施DDoS正如在Securelist上提到的,漏洞利用旨在攻击含有漏洞的特定版本软件。一旦用户使用该版本软件打开恶意目标,或网站运行类似版本软件的话,都会导致遭受漏洞利用。 攻击,无论如何都是为了实现背后不可告人的犯罪目的。 即使对于小心且勤于升级软件的用户而言,漏洞利用同样会构成威胁。其中的原因是网络犯罪分子很好地利用了发现漏洞和发布修复补丁之间的时间差。在这段真空时间内,漏洞利用几乎可以为所欲为,会对几乎所有互联网用户的安全构成威胁 –除非用户系统内安装了自动防御漏洞利用攻击的工具。 还有不要忘了上述提到的’打开标签综合征’:用户常常需要支付一笔费用才能升级软件,且并非所有用户都愿意在补丁刚刚发布时就立即付款更新。 集群式漏洞利用 漏洞利用常常采用集群方式,因此首先需要对遭受攻击系统进行检测以确定漏洞类型;一旦确定一个或多个漏洞类型,接着就使用相对应的漏洞利用工具。漏洞利用工具还会广泛使用代码混淆以防止被检测出,同时还对URL路径进行加密来防范安全研究专家将它们彻底根除。 下面是一些最知名的漏洞利用工具: Angler –号称是黑市上出售的最复杂的漏洞利用工具之一。该工具在开始检测反病毒软件和虚拟机(安全研究专家通常将其作为诱捕工具使用)后即会彻底改变整个”战局”,并同时部署加密的点滴木马文件。作为速度最快的漏洞利用工具之一,Angler还能并入最新发布的零日漏洞,同时其恶意软件无需对受害人硬盘进行读写,而是从内存中直接运行。有关该工具的技术介绍都在这里。   Nuclear Pack –通过Java和Adobe PDF的漏洞利用以及dropping Caphaw(著名的网银木马病毒)对受害人实施攻击。你可以从这里了解更多。 Neutrino –作为一款俄罗斯黑客编写的漏洞利用工具,内含大量Java漏洞利用,在去年名声大噪并屡屡登上新闻头条,原因是Neutrino的售价高达3.4万美元。随着Paunch(下一个我们将讨论的漏洞利用工具的作者)被抓捕归案,Neutrino很可能以如此高的天价被成功出售。 Blackhole Kit –2012年最广为流行的网页威胁,将存在于类似Firefox、Chrome、Internet

超强安全保护:卡巴斯基实验室2016产品系列上市

让我们共同庆贺为消费者量身定制的安全解决方案升级版的推出—卡巴斯基实验室必出精品—卡巴斯基安全软件多设备版和卡巴斯基全方位安全软件多设备版。这些产品专为解决终端用户最关心的安全问题而专门设计,这些安全问题包括:隐私、数据、对身份和资金的盗窃以及对设备本身的保护。 据2015年消费者IT安全风险调查显示(不久将来将开展更多这方面的调查),用户愈来愈重视在线安全问题。其中70%的受访用户表示采取了安全防范措施来保护个人数据,而61%的用户则担心自己的设备中可能被植入了间谍软件,而对于网络摄像头不信任的用户则占到了总受访人数的49%,原因是这些用户在日常生活中频繁使用网络摄像头进行’现场表演’。而卡巴斯基实验室产品的新版本在设计之初即将所有这些用户关心的问题考虑在内。它们时刻保卫着大多数用户偏爱使用的设备和平台:Windows、OS X或安卓系统。 社交网站、广告和分析代理机构常常会收集有关用户浏览网页的内容、具体位置以及搜索历史等数据。他们只需通过浏览器就能获取这些信息。一旦成功收集此类数据,这些网站和机构就将根据这些信息来确定你的口味和偏好,使得你的浏览页面会不断跳出烦人的广告、发送推销电邮以及将你的个人资料再转卖给其他公司。你是否曾收到过发自某家公司的广告短信,而你根本不知道他们是如何获得你的电话号码?而这正是他们的工作方式! 隐私浏览功能可将来自网络流量的此类数据清除并通过专用插件向用户报告任何受阻的请求,Mozilla Firefox、ternet Explorer和Google Chrome浏览器均具有这项功能。而卡巴斯基实验室产品的功能则更为强大,不仅能防止用户通过cookie文件被识别,还能向网站发出不希望传输数据的警告。最终确保这些隐私数据不会从你的设备外泄。 另一种普遍存在的问题是用户根本不需要的程序软件在设备内启动,即在用户不知情的情况下,额外的扩展与免费软件捆绑安装。这可能会对浏览器主页、默认搜索引擎以及网络和系统配置产生影响。 此类’附赠礼物’还会收集有关用户及其在线行为的信息,并将这些数据用做不同目的。改变控制功能恰恰是用来检测任何尝试引入此类更改的进程,向用户报告并要求这些进程需用户同意后方能运行或者干脆直接阻止。 隐私清理工具同样得到了升级,从而以一种更好的方式保护您的隐私。你除了可以用该工具来清除Windows计算机上的用户所有行为痕迹外,还可清理浏览器历史以及最新打开文档清单。 如果你担心有偷窥狂黑客入侵你的网络摄像头并对你的个人隐私进行窥视的话,确保启用网络摄像头保护功能。该功能不仅能防止黑客从你的网络摄像头截屏,一旦有合法应用程序访问摄像头时还会立即通知用户,此外还可设置为阻止所有应用程序访问。 为确保网银交易安全,卡巴斯基实验室的Mac和PC版反病毒软件通过采用独一无二的安全支付技术,可检查购物或支付网站是否安全以及你是否遭到网络钓鱼页面的欺诈。在测试后,用户即能以一种特殊且受保护的模式打开网站。 据2015年消费者IT安全风险调查显示,22%的受访儿童用户在互联网曾遭受某种类型的网络威胁,同时其中的21%造成自给家长的数据丢失或资金受损,因此我们同样对屡获殊荣的PC或Mac版上网管理功能进行了升级。这些控制功能允许用户管理他们孩子的应用程序下载、阻止对不适当网页内容和游戏的访问以及防止个人信息的披露。 此外2016系列的便利性也有所提高,你无需检查卡巴斯基实验室产品2016系列是否需要升级和更新,最新的产品中已经包括了自动升级和更新功能,并可通过个人的”我的卡巴斯基账户“进行管理。 当然,我还是想告诉读者的是:卡巴斯基实验室反病毒产品旗舰版获得大多数独立研究实验室的认可,且无论在短期还是长期的各项测试中均得到了最高分。

免触支付是否安全?

“您总共消费了12.95美元。”一家当地超市的收银员说道。我取出钱包,熟练地在POS机终端上轻轻一扫,很快就听到了哔的一声 – 瞧!–交易成功了! 免触式银行卡实在是太方便了。有了它,你再也不需要刷卡、记住PIN码和用笔签字,而且也不需要费力地掏出钱包、寻找现金或者从口袋的深处摸索硬币。只需一扫–即可轻松完成支付。 收银员同样也乐意使用免触支付方式:不仅加快了付款流程速度,同时还提高了收银员的顾客处理量,而这正是公认的所有零售过程的瓶颈。 然而,其易用性也让人们不禁怀疑起自己卡内的资金是否也同样容易被盗走。犯罪分子是否会暗中用读卡器对你的口袋轻轻一扫,就将你存在卡内的所有资金偷个干净? 为了查明真相,我研究了大量来自黑客会议的报告并和许多银行代表就这一问题进行探讨。他们的反馈无一例外都相当积极和正面,但并非表示毫无缺陷。 范围 免触式卡采用近场通信(一种基于无线射频识别的技术)方式运行。卡内集成有微型芯片和天线,使用13.56 MHz频率范围,可对POS机终端的请求进行回应。不同支付系统使用各自的标准,包括:维萨的payWave、万事达的PayPass和美国运通的ExpressPay等。但所有这些系统均采用了相同的方法及核心技术。 NFC的数据传输距离极短–不足一英寸。因此,你完全可以自己筑牢第一道安全防线。基本上来说,需要将读卡器和卡片凑得非常非常近才有可能扫描到,因此要想使用读卡器暗中扫卡的难度可谓相当之高。 同时,商家也可以安装专门定制的读卡器,可使扫描的距离更长。例如,来自萨里大学的研究人员就展示了一种紧凑型扫描器,能在80厘米的距离内读取NFC数据。 此类装置可向广泛运用于公共交通、商铺、机场和其它’人群聚集’场所的免触卡发送请求。在许多国家,NFC兼容卡可谓相当普及。因此在人流聚集的地方,许多人都可能会成为犯罪分子实施NFC攻击的受害人。 最终,即使在没有定制扫描器或近距离接触的情况下,免触卡使用者也可能会遭受资金莫名被盗的损失。西班牙黑客Ricardo Rodrigues和Jose Villa发明了一种简便的’消除距离障碍’方法,并在Hack in the Box大会上进行了演示。 图像来源: Practical Experiences on NFC Relay Attacks with Android 如今绝大多数的智能手机均配备有NFC组件,且手机通常都放在离钱包很近的地方–比方说,手提袋或口袋内。Rodrigues和Villa设计出一种安卓木马病毒概念,能将目标智能手机信号转到一种类似于NFC转调器的装置上。 一旦受感染手机放在和免触卡很近的位置,就可能发出向网络攻击者执行交易的信号。骗子随后激活常规的POS机终端,然后将启用NFC的智能手机靠近终端。如此,在没有真正扫卡的情况下,类似于’桥’的一种连接在NFC和NFC终端之间建立。

卡巴斯基实验室产品与Windows 10兼容性

7月29日是Windows 10正式发布的日子。许许多多的Windows用户可能正打算将自己的微软操作系统升级至最新(最高)版本。如果你既想升级Windows系统,又想继续使用卡巴斯基实验室产品,那该如何操作呢?对于卡巴斯基实验室用户而言,最好的方法是:在安装Windows 10之前,下载所安装的卡巴斯基实验室产品的最新版本,可完全支持最新的微软操作系统。 就算你已使用了卡巴斯基实验室2015产品,也建议从卡巴斯基实验室官网下载最新的发布版,目的是确保你的安全解决方案与Windows 10完全兼容。 如果出于某些原因,你更习惯于使用卡巴斯基实验室产品的某个早期版本,那你要耐心等待针对您软件特定版本的补丁发布。2014产品版本的补丁将于7月30日发布。而针对PURE 3.0、2013以及2015早期版本的补丁则将于9月2日正式推出。 2016版本的卡巴斯基实验室产品则是另一个选择,我们之所以强烈推荐是因为其在设计之初即考虑了Windows 10兼容性问题。在一些地区,新产品将于今日发布;而另一些地区则要晚几天推出。

保护移动设备安全刻不容缓

众所周知,网络犯罪分子不遗余力地想让你的PC电脑或笔记本电脑感染病毒,或无所不用其极地诱骗你安装恶意软件。可能你还不知道,他们同样也无时不刻地想要盗走你的移动设备。网络罪犯早已熟知如何从黑客入侵你的智能手机中大发横财,从直接盗窃设备到更复杂的用你电脑进行比特币挖矿,可谓无所不用其极。 还有些特殊的木马病毒被乔装打扮成手机游戏或实用的移动应用程序。一旦不幸安装,木马病毒即会让手机自动拨打付费电话或订阅收费短信服务,从而让你蒙受巨大的资金损失。 你当然希望将自己辛苦赚来的钱用在刀刃上而不是莫名其妙就消失了。为此,你更应对自己移动设备的安全提高重视。下面的四条安全小贴士将助您保护自己移动设备的安全: 千万不要忘了为手机设置密码,这样其他人就无法访问你手机内的信息。 避免连接未知Wi-Fi网络–尤其是免费Wi-Fi–因为这些网络可轻易被用来收集你发送出去的信息。如果连接的网络无需密码登陆,则很有可能表示该网络存在危险。 即使移动设备丢失或被盗的话,也可采取一定的安全防范措施。启用’远程管理’和’备份’功能,或用手机的内置功能(例如:’Find iPhone’设置),当然也可以安装特殊程序。 不要忘了你的手机也处在受病毒感染的风险之下。不要下载未知应用程序,即使是来自官方应用商店。始终检查应用程序的请求权限–比如是否请求访问你的通讯录或照片。

LTE-U技术:通向5G网络之路

就在最近,爱立信和高通公司纷纷着手推销其最尖端技术- LTE-U。相比于LTE-A(在包括美国、欧洲、俄罗斯和中国的全球范围日益普及),LTE-U在各个方面是否有所改进?以及这些缩写的真正含义是什么? 首先从这些名字着手。第一个缩写LTE-A代表的意思是”LTE-Advanced”(LTE的演进)或”第四代移动网络的演进”。此类网络目前已在全球范围普及使用。至于LTE-U,绝不是像有些人所想象的,代表”LTE-Ultimate”(终极LTE)或”LTE-Unbeatable”(无与伦比的LTE)的意思。”U”在这里的意思是”免许可”。因此,该移动网络技术需要使用到所谓的”免许可”频段。 那”免许可”在这里到底是什么意思?答案很简单:包括运用于移动运营商或无线电台的大多数无线电频率都必须通过许可方能使用。这些频率由政府相关部门控制,且只有获得签发许可的单位才被允许在这个频率发送数据。 对于小容量的民用信号传送机而言,则可使用免许可频段:任何人都可以使用这些频段发送无线电信号。这完全解释的通:想象下你给孩子买的每个遥控玩具都必须获得无线电频段使用许可! ‘免费’无线电频段运行的首要要求是:将最大传输功率限制在某个特定值以下,这样可避免对他人设备的工作产生干扰。 举个例子,遥控玩具只能用27 MHz频段,同时遥控玩具、无线电话和Wi-Fi路由器分别只能用433 MHz、2.4 GHz和5 GHz频段。当然具体数值在不同国家也不尽相同,这可能会产生某些兼容性问题。 免许可频段LTE概念的基础是使用”免费”频段部署LTE网络。当然,我们说的是低功率基站,比如:仅运用于室内的femtocell(毫微微蜂窝)和picocell(微微蜂窝)。他们能够”集合”更多免费频率,这意味着将多个并行传输通道整合到一起,从而实现更快的数据传输速率。 你的脑海可能会立即闪现出一个念头:那我们为什么还要Wi-Fi呢?Wi-Fi并没有那么容易被抛弃;恰恰相反,Wi-Fi技术将依然起到其应有的作用,即作为小型本地无线网络的基站。 最初,该项技术仅被用来创建宽带接入网络,因为根本就没有其它选择。毕竟,Wi-Fi本身缺少对于稳定的宽带接入网络起到关键作用的几项特性:一旦链接数量增加的时候,缺少用来管理网络效率的最尖端功能;无法启用安全认证或类似载波聚合的功能,而这正是将多个频段整合入单个信号传输通道的过程。 LTE在设计之初就将所有这些功能考虑在内。由于免许可频段由许多处在不同频段的零星频率组成,因此完全有能力将它们全部集合从而实现更高的带宽网络。 尽管5G网络离我们已愈来愈近,但PC电脑、电视和其它家用电器依然可以选择连接Wi-Fi网络。而作为流量消耗’大户’的智能手机和平板电脑则可使用LTE-U网络。此外,为了将这些联网设备整合入家庭网络中,链路聚合技术得以设计而成。该技术将LTE和Wi-Fi频率整合到一起,从而形成了一个累积频率”池”,不仅能用于联网设备还可支持无线技术。 该方法将有助于平衡不同网络之间的流量,或利用两种网络在顷刻间提高数据速率。此外,还能在不中断现有会话的情况下实现无缝网络交换。换句话说,这看起来就像你家庭网络内的免费漫游。 LTE-U的部署方式与现有的3G femtocell极为相似:用户需要购买特定的femtocell并通过移动运营商注册。 从网络服务提供商的角度看,部署加密VPN(虚拟私人网络)通道的同时,还需创建通过单根线缆工作的两个独立逻辑连接通道。 还有一点要注意,LTE-U无法提高你家庭网络提供商的互联网连接速度。与此同时,移动设备也将比以往更频繁地使用无线连接。 然而,这个想法并非完美:部署LTE-U的前提是需要网络服务提供商参与其中,但问题是提供商并不一定会对此类合作持积极态度。而许多网络服务提供商则采用另一种方法来解决同一难题,例如:将室内连接流量分流,也被称为”Wi-Fi分流”。 换句话说,网络服务提供商已部署了承载巨大的Wi-Fi网络,启用了无缝分流和基于授权的SIM卡,并开启了无线网路语音(Wi-Fi呼叫)等。他们投入了巨额资金用于基础设施建设,因此必须尽快收回成本。但等到这些投资成本完全收回的时候,5G网络可能早已遍布全球了。 另一方面,这些网络运营商依然必须解决网络流量急速增长的问题,目前处在一个两难的境地:要么投入资金部署Wi-Fi分流或自行研发LTE-U,要么就必须接受承载力不足的事实。同时新兴技术的前景目前依然还未明朗。我们将持续关注,共同拭目以待。  

驾车危险:行驶中的Jeep难逃黑客入侵

啊!他们竟然又’干了一票’:在分别成功地黑客入侵丰田普锐斯和福特翼虎后,安全研究人员Charlie Miller和Chris Valasek近期又一次成功入侵了Jeep大切诺基。 这一次的结果更加令人震惊不已,因为这两名安全专家竟然找了一种能够远程控制汽车的方法。而作为本次试验的”自愿受害人”在遭受漏洞利用攻击时,则正驾车以70 mph的速度行驶在圣路易斯市的郊区。 “当我亲眼目睹这两名’黑客’竟然能远程控制车上的空调、广播和雨刷时,我真为我自己在如此大压力下展现出的勇气而佩服不已。当时他们还切断了我的变速器。” 来自Wired的新闻报道透露了’受害司机’对于所驾驶超级智能联网汽车遭受强制行为的反应。记者Andy Greenberg当时就坐在试验汽车的后座,亲眼目睹了整个过程,他说道:研究人员完全掌控了汽车的刹车和油门,以及包括广播、喇叭和雨刷在内的其它次要的汽车组件。要做到这些,Chris和Charlie必须通过蜂窝网络黑客入侵车载娱乐系统。 幸运的是,目前的形式并未完全糟糕透顶。无论是操作系统开发商还是汽车制造商都不遗余力地采取重要且十分有必要的网络安全防范措施–他们应该有能力做到! 正如Chris Valasek说到的:”当我看到我们可以通过互联网完全控制汽车的时候,我简直吓坏了,发自内心地感到恐惧。这绝对不是开玩笑,这可是一辆在乡间高速公路上高速行驶的汽车。就在那一刻,对汽车黑客入侵最终还是成为了现实。” 不幸的是,目前所有这些重要的安全防范措施依然还远远不够。像微软和苹果这样的软件巨头常常需要花费数年的时间开发有效的方法来为其产品漏洞编写安全补丁。而留给汽车产业的时间则不多了。除此之外,这已经不是汽车第一次遭受黑客入侵,尽管安全问题重重,但似乎没有人迫切想要解决这些存在已久的问题。 其他品牌的汽车可能存在同样的安全漏洞。对于包括福特和通用在内的其它汽车品牌,Miller 和Valasek还未有过尝试。更加可怕的是,Miller表示”一名技术娴熟的黑客就能控制一组未联网主机并用来执行更多扫描—使用任何一组被劫持的计算机—通过Sprint网络让病毒从一个仪表盘感染到另一个。最终演变为由成千上万辆汽车组成的一个无线网络控制汽车僵尸网络。”以此为基础,即可发动恐怖袭击或由一国政府发动网络攻击。 “对于卡巴斯基实验室而言,我们始终认为要想避免此类事件发生,汽车制造商在为汽车制造智能结构体系时,应时刻牢记两个基本原则:隔离和受控通讯。”卡巴斯基实验室GReAT 高级安全研究人员Sergey Lozhkin表示。 “隔离意味着两个分离的系统不会相互影响。例如,在遭受本文开头的黑客攻击时,即使娱乐系统遭受入侵也不会影响到控制系统。受控通讯则意味着汽车在传输和接收信息时必须完全采用密码验证措施。就上文提到的Jeep试验结果而言,不是认证算法过于薄弱/存在漏洞,就是并未正确实施密码验证。” 所有安全问题在行业层面未被解决之前,我们都应该考虑是否改骑自行车和骑马…或驾驶老爷车。至少,这些交通工具都不会遭受黑客入侵。黑帽大会即将在2015年8月举行,届时安全专家们将就他们的研究发现做陈述报告,我们也对此翘首以盼。  

无人机与安全:未来之路将走向何方?

最近,我碰巧有机会参加了Changellenge Cup Russia 2015学生项目竞赛,并在其中一个环节担任评委。但今天我并不打算谈论竞赛本身,而是想就工程设计环节讨论的一些问题作一番探讨。 参赛者必须详细介绍无人驾驶飞行器(UAV)在商业、国防以及国民经济方面的使用案例。我觉得我们完全有必要了解其中的内容成果。 UAV可运用于各种领域。主要包括三大类别: 公共管理:军事用途、国家边境监视以及灾难重建援助。 商业用途:办公大楼、能源设施、建筑工地、农业目标、农场的监视与维护,以及地质勘探和航拍。 消费用途:货物交付、广告营销、导游和游戏。 就目前而言,UAV市场仅仅满足于军事和国防的需求,但这并不会持续太久。在未来的10-20年里,UAV将以某种方式成为我们生活不可或缺的一部分,但同时也极易产生漏洞和安全问题。 自然而言,这也将加速各产业的发展和相关法规的订立。尽管无人机发展前景一片看好,但随之而来的技术风险或漏洞也将不可避免地出现。 简而言之,UAV由两个主要部分组成–无人机本身以及地面控制站-可以是固定场所也可以是移动设施。 而一架无人机内部则安装有实时操作系统、控制软件;用于简化数据交换的前端组件、内置固件的传感器以及航空电子设备。根据需要,还可加入武器控制系统(如适用)或自动导航装置。 地面控制站则由控制软件、前端组件和人工操作员组成。因此我个人观点是上述列举的所有部件都存在受黑客攻击的风险。 黑客主要有三种攻击途径: 直接对无人机装置动手脚进而实施攻击。例如,在维护过程中,有人故意或无意中将恶意软件植入无人机或更换电板或集成电路 通过无线电连接实施攻击:扰乱控制信道并对数据进行劫持和加密–事实上,黑客在入侵伊朗服役的美国无人机就采用了这个方法。有趣的是,当时实施攻击的黑客竟然使用的是一款俄罗斯程序-SkyGrabber。 针对传感器的攻击,包括数据欺骗—例如,欺骗GPS坐标。 一旦遭受黑客入侵,无人机可能被用于各种目的;这可能会影响数据生成以及飞行参数的显示和控制(包括:速度、高度、方向和可编程飞行计划),或者就像最近报道的那样,直接将它占为己有,因为高端的无人机价格十分昂贵,同时这也会让原本的’主人’蒙受很大一笔损失。 此类威胁即将来临,时间已迫在眉睫,让我们做好准备迎面挑战。有关无人机问题的更多精彩报道,请阅读这里、这里和这里。      

偷情网站无意惹恼网络黑客

最近Ashley Madison约会网站的用户们因害怕自己的真实身份遭曝光而胆战心惊,事情的起因是该网站的3700万名用户的个人档案遭窃。黑客威胁如果该网站的拥有人不关闭其中两家交友网站的话,则会将Ashley Madison网站的整个数据库发布到互联网上。 黑客要求永久关闭的两家网站分别是:流行的约会网站’Ashley Madison’,该网站打出极具诱惑的口号”人生短暂,偷情无限”;以及让成功男士寻找年轻美女的’Established Men’网站—均隶属于Avid Life Media公司(ALM)。黑客还声明此次攻击完全是为了惩罚ALM的不正当行为:据报道ALM要求其客户支付19美元以完全清除个人资料,但实际上却并未如承诺的那样真正删除客户的数据。 这群网络攻击者还说道:“用户通常都用信用卡支付;他们的详细支付信息并未如网站承诺的那样被完全清除,其中即包括了用户的真实姓名和地址,而这绝对是用户最想要清除的重要个人隐私。” 为了伸张正义,黑客要求ALM以任何形式永久性地关闭上述两家网站。否则的话,客户的真实姓名和地址连同有关他们’性幻想’的信息都将公布在互联网上。 但黑客似乎并未打算将ALM’赶尽杀绝’:允许该家公司的其他网站(其余隶属于ALM的网站只剩下专门让女性寻找”小鲜肉”的Cougar Life)继续经营下去。而ALM则回应将起诉这些实施犯罪行为的网络攻击者。 据KrebsOnSecurity报道,遭窃数据的样例已被发布在互联网上,从而证实了此次黑客入侵事件,但ALM则在事件发生后立即设法清除已遭公开的数据。该公司承认了网站遭受黑客攻击,并声明已聘请’业内权威专家和其他安全专业人员确定本次黑客事件的源头、性质以及受波及的范围’。 本次黑客事件很可能有公司内部员工参与和访问了公司的网络—可能是以前的雇员或承包商。这一观点的间接证据可以从攻击者发给ALM安全主管要求道歉的信中找到:”你需要向Mark Steele道歉。你们即便使出全身解数也无法阻止本次攻击事件的发生。” ALM巨额收入的来源将因此而遭受影响:据这些黑客称,在2014年,单单个人资料清除这一项服务就为公司带来近170万美元的进账。整个Ashley Madison网站的估值更是达到约10亿美元。 就目前看来,ALM似乎并未打算按照黑客的要求关闭网站。而另一方面,3700万’偷情者’个人隐私的去向依然不明。如果将道德问题和可能产生的家庭问题放在一边,这些个人数据完全有可能被其他网络犯罪分子所利用,从而实施网络钓鱼或银行诈骗活动。 对于此次事件的首要责任人我们仍然无法明确界定:但ALM已向其用户承诺提高安全防范级别。电子前线基金会最近发布的一份报告显示,约会网站在安全/隐私方面存在极高的危险性。就在几个月前,另一家约会网站也遭受了黑客攻击,超过350万用户的隐私信息(包括:性取向、恋物癖和个人秘密)全部遭到曝光。 每当你用信用卡购买约会和交友产品和服务时,你同时也向此类网站提供商共享了你的敏感信息—而网络黑客无时不刻地想要黑客入侵这些网站的系统。一旦数据在互联网公开,你根本没有任何应对的措施。 因此始终将基本安全铭记于心至关重要: –使用加密的通讯渠道; –如果你不想让你的数据被不正当的服务提供商记录和使用的话,还是尽量使用现金支付; –在各家约会网站上使用不同的电邮账号和外号。 ALM宣称很快就能查明该为此次攻击事件负责的黑客。但不幸的是,目前尚不清楚ALM是否及时完成了调查取证工作,因此是否最终挽救了数百万用户的隐私目前也不得而知。

勒索软件肆虐互联网:提高重视度刻不容缓

如今,勒索软件的问题愈加凸显期严重性。近期包括CoinVault和CryptoLocke在内的勒索软件在互联网上兴风作浪、肆意妄为,似乎显露出网络犯罪分子对于此类网络攻击的使用频率不断加大。尽管勒索软件攻击的案例数量与日俱增,但据卡巴斯基实验室的一项调查发现,仅有37%的公司将勒索软件视为严重的网络危害。