All posts

1026 文章

OpenID和OAuth易受攻击,需保持警惕

在发现恼人的Heartbleed bug短短数周之后,像你我这样的普通网民可能需要关心一下另一个看似普遍的问题,这个问题无法轻易给出答案。这个问题就是”隐蔽重定向”bug的准确定义,并于近期由新加坡南洋理工大学数学系的王晶博士公布。这些问题是在流行的互联网协议OpenID和OAuth中发现的;前者在您使用来自谷歌、Facebook和LinkedIn的现有登录信息来登录网站时使用,后者是在您授权网站、应用程序或服务使用您的Facebook/G+账号而非真正输入您的密码并登录第三方网站时使用。这两个协议通常结合使用,但事实证明,这可能会导致您的信息泄露。 威胁 我们在Threatpost的朋友针对这一问题给出了更具技术性的解释,并顺带提供一个原始研究链接,但我们会省略不必要的细节,只说明可能发生的攻击场景和后果。首先,用户访问一个恶意钓鱼网站,其中出现典型的”使用Facebook账号”登录的按钮。钓鱼网站可能酷似流行的第三方服务或将自己伪装为一个全新服务。一旦您点击该按钮,则会出现一个逼真的Facebook/G+/LI弹出窗口,提示用户输入自己的登录名和密码信息以授权上述(并且可能有声誉的)服务来访问他们的用户配置文件。最后,使用不当的重定向方式,将使用该配置文件的授权被发送到不正当(钓鱼)网站。 首先,用户访问钓鱼网站,并尝试使用Facebook账户或其他OpenID提供商账户登录。 在当天结束的时候,网络罪犯收到一个适当的授权(OAuth token),利用原始应用程序拥有的任何权限来访问受害人的配置文件——最好的情况下,只是访问基本的用户详细信息;最坏的情况下,可读取联系人、发送消息等内容。 这一bug已被修复?事实并非如此 这个威胁不会很快消失,因为修复必须在提供商端(如Facebook/LinkedIn/谷歌)和客户端(第三方应用程序或服务)同时执行。OAuth协议仍处于测试阶段,各个供应商使用不同的手段措施,并依据抵御上述攻击的能力而各有不同。LinkedIn在修复方面处于更有利的位置,因采取了更为严格的处理措施:即要求第三方开发人员提供适当重定向的”白名单”。到目前为止,每个使用LinkedIn授权的应用程序或安全或依然无法运行。而Facebook面临的情况则有所不同,因为其所拥有大量第三方应用程序,并且这些应用可能使用更早版本的OAuth执行。这就是为什么Facebook的代表告诉王晶,”无法在短期内修复的原因”。 此外,还存在众多似乎易受攻击的其他供应商(查看以下图片),因此如果您使用这些服务登录某些网站,则必须采取行动。 您的行动计划 对于最谨小慎微的用户来说,最可靠的解决方案是在未来数月放弃使用OpenID和这些便利的”使用……登录”按钮。您可能会受益于增强的隐私性,但使用社交网络账户登陆将导致您线上行为被更有效地追踪,并使越来越多的网站可以读取您的个人基本数据。为了避免因登录各种网站而不得不记住几十甚至上百个不同密码,您可能最终会使用有效密码管理器。当今的大多数服务都配有多平台客户端和云同步,以确保您能在自己不同的设备上访问您所有密码。 对于谨慎的用户来说,最好的解决方案莫过于在今后几个月放弃使用Facebook/谷歌账号登录。#OpenID #CovertRedirect 然而,如果你打算继续使用OpenID授权,并不会发生什么直接的危险。你只需要保持高度警惕,避免任何网络钓鱼诈骗,它们的通常手法是首先向您的邮箱发送骚扰邮件,或者在Facebook或其他社交网络上提供吸引眼球的链接。如果您使用Facebook/Google等账号登录到某些服务,应确保您使用手动输入的地址或书签打开此服务的网站,而不是点击您的邮件或者消息中的链接。仔细检查地址栏,避免访问粗制滥造的假网站,且不使用OpenID注册新服务,除非您100%肯定相应服务信誉良好且登录的是正确网站。此外,请在您所有设备上使用安全浏览解决方案,如卡巴斯基安全软件多设备版,以防止浏览器访问危险站点,包括网络钓鱼网站。 这只是一个为谨慎起见而采用的普通防范练习,每位互联网用户应每天进行这样的练习。网络钓鱼的威胁分布广泛而危害巨大,它会导致各类数字财产损失,包括:信用卡卡号和电子邮件登录账号等。OpenID和OAuth中出现的”隐蔽重定向”bug只是让您更有理由进行防范——没有例外。

4月主要网络犯罪起诉案

本文将为您带来警察部门和安全专家在寻找黑客和网络罪犯方面的进展。呈上4月所发生的几起重大网络犯罪起诉案件。 俄罗斯黑客遭美国引渡 俄罗斯黑客Vladimir Drinkman涉嫌参与网络犯罪集团,他于两年前在荷兰被捕,面临着美国和俄罗斯的引渡要求。将由荷兰当地司法部决定由哪国处置,但Drinkman依旧抱有上诉权利。无论如何,Vladimir Drinkman似乎都将面临数年的牢狱之灾。Drinkman被控入侵数十家零售商、支付处理商和金融公司,窃取1.6亿多张信用卡和借记卡的信息。此案被认为是迄今为止美国境内最大的金融黑客攻击案件。调查人员表示,自2007年以来,该团伙长期从事网络犯罪活动,并导致受害公司遭受3亿多美元的损失。除Drinkman以外,另外4名犯罪成员被控合谋计算机攻击:其中3人来自俄罗斯,另一人为乌克兰人。 因使用木马获刑8年 一家莫斯科法院对两名年轻男子作出宣判,起因是这两人使用令人厌恶的Carberp木马从银行帐户中窃取钱款。该两名男子不断传播恶意软件并越权访问用户计算机和网上银行账户。在完全控制受害者的计算机后,将用户帐户上的资金转到一个虚拟帐户,随后通过普通的自动柜员机提款。经过半年时间的”不断努力”,两名男子在短短3个月时间里完成了至少90笔交易,窃取受害人钱款累计达360万美元左右直至被捕。但显然他们已无从挥霍这笔巨款了:两兄弟中,1人将面临5年监禁,另1人则将度过8年的铁窗生涯。有趣的是,据报道两兄弟中的弟弟有重大犯罪背景,甚至还在被控房地产欺诈后遭到全球通缉。此次调查是由俄罗斯一家最大的银行发起,俄罗斯网络警察在荷兰和加拿大专家的帮助下也参与其中。 网络罪犯继续从事违法勾当,执法机构成功将其绳之以法。此类案件每月频繁上演,以下是4月以来最有趣的案例。 Carder.su协调人出庭 Carder.su作为最臭名昭著的犯罪团伙之一,其成员在过去几年间遭到执法部门的严令通缉,目前已失去一名主要协调人。四月上旬,来自格鲁吉亚的Cameron Harrison(又被叫做”Kilobit”)格鲁吉亚同意认罪。据检查官称,Harrison大约于6年前加入Carder.su犯罪团伙并且扮演了关键角色:窃取信用卡卡号随即将这些信息转售给其他犯罪分子。所有这些犯罪活动在全球造成约5000万美元的损失,当局于2012年打垮了Carder.su犯罪团伙,以非法交易和制造被窃信用卡及冒牌信用卡为名起诉了该团伙的55名成员。现在,Harrison可能将面临长达20年的监禁生活。他还可能不得不支付巨额赔偿金,以补偿他对众多支付系统(例如Visa和MasterCard)客户所造成的损失。 使用ZeuS可能会造成损失 9名涉嫌敲诈勒索团伙成员因使用ZeuS恶意软件使数千台企业计算机受感染,而遭到美国内布拉斯加州林肯市的地方法院起诉。其中31岁的乌克兰人Yuriy Konovalenko和36岁的Yevhen Kulibaba被控合谋实施计算机诈骗和身份盗窃、恶性身份盗窃以及多起银行诈骗案,最近已从英国被引渡到美国。此次调查是在美国、英国、荷兰和乌克兰警察联合协助下进行的。据报道,两人都负责所谓”钱骡”的环节。这些人扮演中间人的角色,他们从受害人的银行账户窃取钱款,然后转移至他处取款。Konovalenko和Kulibaba可能将面临长达40年的监禁。其他7名成员仍然逍遥法外,但显然不会逍遥太久。 因使用KVM设备而被判入狱8年 一个犯罪团伙的9名成员被判处监禁,罪名是使用特殊KVM设备从巴克莱银行窃取210万美元。只需通过一套鼠标、键盘和显示器,即可使用该种硬件访问大量远程计算机。据检察官称,一名作为受邀计算机技术员在银行工作的诈骗分子将一个KVM切换器和一个调制解调器安装到银行的计算机系统中。其结果是,该团伙不仅能够访问在银行内使用的计算机,还能访问整个内部网络以及其中存储的所有信息。所有非法交易都是在银行附近的一家酒店进行。此后,该团伙将所有的非法所得都都花在了定制珠宝、劳力士手表等贵重物品上。但现在,他们只能在牢狱中苟且度日了:团伙的每一名成员的刑期从6个月到8年不等。

一周要闻:IE零日漏洞

OpenSSL Heartbleed bug终于不再是本周的头条新闻。我在撰写本文时已近下午3点,但到目前为止我一整天都没看到过一篇关于Heartbleed bug的文章,真让人惊奇。但别担心,不谈Heartbleed,我们还有很多其他内容要讨论: 零日漏洞 本周早些时候,卡巴斯基实验室宣布发现Adobe Flash Player中存在零日漏洞。说来也奇怪,卡巴斯基发现这种漏洞的工具正是用于发现新恶意程序样本的工具。零日漏洞被发现时,已经通过一种叫做”水坑攻击”的威胁肆虐于叙利亚地区。水坑作为一种有针对性的攻击,攻击者侵入攻击对象可能会访问的合法网站,在其中植入恶意程序,当用户访问这些网站时,就会被恶意程序感染。Adobe已经针对这种漏洞提供相应的补丁,所以请尽快安装Adobe公司发布的所有更新。 微软的Internet Explorer浏览器也同样存在零日漏洞问题。在此我不打算深究此漏洞的技术细节。但我想说的是零日漏洞被广泛利用,能针对各种目标发起攻击;显而易见,确保安装微软称之为”Out of Band”的紧急安全补丁十分重要。此类补丁是指微软在每月固定的周二补丁日以外的时间发布的补丁。如果漏洞收到out-of-band补丁,这通常表明这是一个严重漏洞。 微软Internet Explorer浏览器和Adobe Flash Player零日漏洞取代OpenSSL Heartbleed登上本周安全要闻头条,成为主要讨论话题。 本已封刀退隐,无奈重陷江湖 关于周二补丁日:还记得本月早些时候我们曾讨论过不再向Windows XP发送安全补丁吗?但我们错了(至少从技术角度来说是这样)。因为上述Internet Explorer零日漏洞主动有针对性攻击的目标主要是Windows XP系统,微软心一软,也发送了针对XP用户的Internet Explorer发送out-of-band补丁。 又见AOL! 最近,大量AOL电子邮件用户遇到了麻烦,他们发现自己的帐户被用于向自己联系人列表中的用户发送垃圾邮件。我们曾在上周的新闻回顾中讨论过这个问题。对此AOL声称,这完全属于”电子欺骗”攻击的内容。他们表示,此问题没有任何危害,只是看起来好像电子邮件是来自AOL用户电子邮件帐户。实际上,该公司在最初的声明中就表示过,电子邮件发件人只是使其看上去仿佛电子邮件是来自AOL用户电子邮件帐户。 如果我没记错,上周我们曾谈到AOL对事件的解释让人匪夷所思,因为事实上电子欺骗行为可能仍在继续,这没法解释攻击者是怎么搞到所有这些联系人列表的。可以肯定的是,本周AOL承认,已向用户发送通知,敦促用户更改密码。所以,如果您使用的是AOL帐户,那么最好更改密码。 Facebook和隐私 Facebook宣布推出一款全新的功能,名叫匿名登录。Facebook创始人马克•扎克伯格昨天在公司的F8会议上对开发人员说,”匿名登录”将允许用户使用Facebook帐户登录到第三方应用,而无需使用自己的Facebook凭证,也不必与第三方共享个人信息。 “这一功能的理念是,你不希望应用获知你的身份,但又想感受简化的登录体验,那么利用此功能可免去繁琐的表格填写工作,”扎克伯格说。”它能让你放心大胆地试用应用。” “匿名登录”目前为Beta测试版,只适用于某些应用;例如,Flipboard就是首批适用的应用之一。登录时,Facebook用户可以选择使用自己的Facebook凭证登录应用,也可以选择使用”匿名登录”来试用应用。”匿名登录”本身采用黑色屏幕,而不是Facebook惯常的蓝色,通过”匿名登录”,用户能够避免与外部应用共享已经与Facebook共享的任何数据。

卡巴斯基安全软件安卓版在独立测试中再次独占螯头

在最近对移动安全产品进行的测试中,卡巴斯基安全软件安卓版又一次成为表现最佳的解决方案。在此次测试中,防御的最新恶意软件威胁超过2000个。 今年3月,AV-Test执行一项独立测试,测试目的是分析31家供应商所提供产品在以下方面的有效性:检测并阻止2266个有效恶意软件样本,生成的误报数(对实际无害的程序执行的可疑病毒检测实例数),以及对设备性能、电池寿命和网络速度的影响。 卡巴斯基安全软件安卓版对恶意程序的识别和阻止率达到100%;而其他参评解决方案的平均成功率为95%。卡巴斯基安全软件安卓版的误报率为零,并且对设备资源没有显著影响 – 所有这一切使卡巴斯基安全软件安卓版在13项测评中无一例外地赢得最高分,被授予”合格”产品。 卡巴斯基安全软件安卓版对恶意程序的识别和阻止率达到100%;而其他参评解决方案的平均成功率为95%。 “移动安全解决方案的主要任务是保护用户数据不被网络犯罪分子窃取,防止设备变成垃圾邮件的来源和受到其他网络攻击。”卡巴斯基实验室移动威胁研发组经理Viktor Chebyshev表示说。用户选择一款解决方案时,通常对设备性能的影响是很重要的考量因素。所以对于智能手机和平板电脑来说,一款能确保高级别防御网络威胁,又不会影响用户体验的安全产品是至关重要的。 所有产品都是在安卓V4.3上进行的测试,产品的使用环境是默认设置,支持更新反病毒数据库,使用所有提供的防御工具,也允许查询任何基于云的支持服务。 卡巴斯基实验室产品在独立测试中的排名一贯靠前,卡巴斯基安全软件安卓版也不例外:2014年1月,它在PC Security Labs独立测试机构针对高级别安卓恶意软件威胁的测试中摘得桂冠。

如何测试反病毒软件防御能力?

对于保护计算机安全,您可能希望是安装一些反病毒软件,之后就一劳永逸,完全不用再考虑安全问题了。但是,时不时地你还是会有些担忧。我的保护强度够吗?或许我应该购买网络安全版,而不仅仅是反病毒版,或者应该用”产品B”,而不是”产品A”?我怎样才能确保防御充分呢?乍一听,这些问题可能有些复杂,但事实上做起来却十分简单,因为你想知道的这些信息都我们都已为您收集。 对于保护计算机安全,您可能希望是安装一些反病毒软件,之后就一劳永逸,完全不用再考虑安全问题了。但是,时不时地你还是会有些担忧。我的保护强度够吗?或许我应该购买网络安全版,而不仅仅是反病毒版,或者应该用”产品B”,而不是”产品A”?我怎样才能确保防御充分呢?乍一听,这些问题可能有些复杂,但事实上做起来却十分简单,因为你想知道的这些信息都我们都已为您收集。 互联网威胁防御的测试与此完全一样。你可以通过检查所用软件在独立测试中的评分来了解软件的优缺点。测试有很多种,但我们将重点关注最权威、最适合最终用户需求的测试。 防御”未被检测”的可怕恶意软件 通过恶意软件,网络犯罪分子能够获得数百万元的暴利,在这种诱惑下新恶意软件样本层出不穷,翻新速度惊人,每天都会有成百上千个样本出现。这就是为什么一款安全套件能够应对反病毒软件开发人员未知的恶意软件至关重要。为此,开发人员组合使用了多种方法,但基本功能不变,仍是主动防御。秘决很简单:如果新应用的行为与恶意应用很像,那么它就很可能是恶意软件;所以应该立即终止此应用,同时必须回滚此应用造成的任何系统变更。说起来容易,但在真实世界中实施起来却有着惊人的复杂性。安全软件不仅要求能阻止所有恶意应用,同时又不能干扰正常应用的运行。通过独立实验室Matousec执行的主动防御安全挑战充分说明了此任务的复杂性。该公司专家故意精心编写了一些应用,试图执行一些不会导致反病毒软件报警的可疑行为。复杂程度分为11个级别,只有极少数产品能达到最高级别。卡巴斯基安全软件就是其中为数不多的几名幸运儿之一。这一成绩离不开多年的投资和研发工作,而这恰恰是大多数竞争对手承担不起的。检查免费版产品时,我们可以清楚地看到,其中大多数在第2级甚至是第1级就败下阵来。 简单地说,免费版反病毒软件通常并不能很好地应对新型未知恶意软件。而每一天都会有30万个新病毒样本问世。 免费反病毒软件并不能很好地应对未知恶意软件,而每一天都会有31.5万个新恶意软件问世。 #资料#安全性 普通用户的一天生活 另一家独立实验室AV-Comparatives的报告中提供了一种非常有用的观点。该实验室的真实世界防御测试并不涉及任何专门构造的应用。相反,这种测试的设置非常现实。AV-Comparatives有一个数据库,其中包含实际的各种恶意应用、链接和邮件附件,这些恶意软件是在测试期间活跃且广泛传播的软件,所以任何用户都可能被感染。测试方案很简单 – 专家安装全新Windows系统并进行更新,然后安装并更新防病毒软件,在此之后开始访问各种恶意链接,打开垃圾附件,最后检查阻止了多少威胁。 以下是最近一次运行的结果:卡巴斯基安全软件阻止了99.8%的威胁。这是最好的结果,只有几家供应商能达到这一水平。即便是付费版AGV也只阻止了93.4%的威胁,而绑定的微软安全软件只能阻止88.4%。 《飞速运行》还是《龟速运行》 大多数用户很关心安全解决方案会给性能带来的负面影响。对此格外关注的用户包括游戏玩家,每秒帧数哪怕是有那么一点点下降,此类用户都会抓狂不已。 速度最快、对性能影响最小的安全解决方案是#卡巴斯基安全软件 – AV-TEST。 为了衡量此性能影响,有一种专用的测量方法,由AV-TEST执行。此研究实验室会例行检查哪些安全软件会导致日常运行性能下降(计算机启动、应用启动、文件复制等),检查的结果将与在”全新”安装的Windows系统下所测得的结果进行比较。对比结果以综合表格的形式提供,但像NCAP一样,根据”星级”来判断会更容易。免费产品通常被认为是”结构较轻”,但事实证明给系统造成的负担并不轻 – 对于速度测试,像Avast、小红伞(Avira)或AVG等这样常常被怀疑会降低系统性能的软件,在此方面的得分都只有4.5-4.8分。 我需要的是反病毒版还是网络安全版? 但是,测试并未比较同一供应商提供的反病毒版和网络安全版,在应对基本威胁时,这两种产品的表现应该差不多。但区别是:反病毒版不用于防御一些真正重要的威胁,也无法保护您不受到黑客攻击,无法阻止从网银窃取资金的尝试,也不能有效防御垃圾邮件和网络钓鱼。如果您经常使用各种网络服务、进行在线支付或加入了各种社交平台,那么正确的选择毫无疑问是网络安全版。 结论 如果使用卡巴斯基安全软件,那么您将获得极为稳定可靠的保护,能防御所有类型的面向消费者的威胁 – 这一点通过以下各种不同的独立测试得到证实:”实际 环境防御测试”、”主动防御安全挑战”等测试。与此同时,对性能的影响最小,相对于其他安全产品来说此优点尤为突出。但如果使用其他供应商提供的防御功能,那么可能这并不是什么好消息(参见下表),因为大多数流行的产品在独立测试中的表现不佳。免费检查您的计算机,并考虑改为使用值得信任的防御套件。

最佳安卓版安全应用程序

安全并非仅仅是反恶意软件保护。作为一个概念,移动安全由以下几项组成:隐私保护功能、对不守规矩的应用程序的权限限制,备份功能(防备智能手机损坏)、针对骚扰电话的黑名单,以及加密和家长控制功能。安卓是一个非常灵活的操作系统,并且如果您从Google Play中选择合适的安全应用,则能很好地应对这些难题。不过由于存在大量合适的应用程序,因此我们决定做一个最佳安全应用程序的简表,希望对您有所帮助。 App Lock 应用程序和多媒体的密码保护 免费/付费 几乎智能手机上的所有应用程序可对所有人开放,即使您不是机主也可同样使用手机上的所有应用。而事实并非如此。你的朋友可能会拿你的手机”只是想看看里面有什么”,孩子会玩手机,同事和亲戚会纯粹出于好奇摆弄您的手机。对于后两种情况下,图形验证码或PIN锁本可以起到作用,但是在您将手机交给朋友或孩子前,你必须解锁。因此,只需几下点击,您的所有私人数据就会被曝光。App Lock通过创建受保护应用列表来解决这一问题。在启动这些应用时,必须输入一个额外验证码。此外,您还可以在受密码保护的媒体库中存储一些私人照片和视频,剩下的则可存放在普通文件夹中。”偏执狂”用户可以使用App Lock将应用程序隐藏,在这种情况下,应用程序设置只能通过秘密拨号码激活。 App Ops 撤销应用程序权限 免费 无论安装哪些应用程序,安卓系统都会通知您需要哪些权限。如果您碰巧发现新安装的”动态壁纸”需要访问您的联系人列表以获取文本信息(顺便说一下,这是一个非常不好的迹象,在此类情况下,最好不要安装该应用),您别无选择,要么接受不良后果,要么选择放弃安装。然而,越来越多的应用程序需要更多的”额外”权限。事实就是如此,因此Google开发了一款可以对已经安装的应用程序进行权限撤销的工具。此功能在安卓4.3版上可立即获得,被称为App Ops。遗憾的是,在4.4.2版中撤掉了这款工具。App Ops 简单提供对Google的设置屏幕的访问,您可在设置屏幕限制任何应用程序对联系人列表、用户地理位置等信息的访问。遗憾的是,在安卓4.4.2版和之后的版本中,App Ops 功能需要root权限。对于安卓系统4.3以下的版本,不提供App Ops功能,但是LBE Privacy Guard应用程序提供了一套类似的功能。 安卓系统的隐藏功能:撤销已经安装应用程序的权限。例如,您可以通过一款应用程序来禁用GPS跟踪。 EDS 智能手机数据加密 8美元 对于那些在智能手机中存储机密文件的人,类似App Lock的应用程序或PIN码不足以保护数据。在安卓系统3.0版和更高版本中,操作系统提供了对存储在智能手机上的所有数据进行加密的功能。这个进程用于确保数据的最大安全性,但在每次用户希望使用智能手机时,都需要输入一个繁琐冗长的密码,否则这种方法毫无用处。每天输入50次密码令人无比抓狂,因此人们采用了替代方法:只对最敏感的数据加密。类似EDS这样的应用程序是一个合适的选择。它会在智能手机内存中创建一个容器格式文件,并对内容进行安全加密。将文件存放在这样的容器中可确保他人无法访问文件。EDS拥有两种模式。其中较为简单的模式需要完全手动操作容器。更为高级的模式需要root权限:在这种情况下,加密容器在运行时可被当做移动存储驱动器使用。在将文件保存到存储驱动器时,可自动对其进行加密。重要提示:EDS容器与TrueCrypt桌面应用程序兼容,从而简化了系统之间的数据交换。 推荐终端用户使用该应用程序,而企业和公司用户则需要安装一个特殊的MDM解决方案,以提供全面的移动安全方法。 Funamo

一周要闻: Heartbleed依然存在,苹果修复自身加密漏洞

在本周的新闻中,我们仍将讨论OpenSSL和目前令人厌恶的Heartbleed bug;苹果在其移动iOS系统和标准的OSX系统中解决了加密问题;AOL及其客户遭受了一起严重的安全事故;爱荷华州立大学遭到黑客攻击,攻击者试图利用大学的计算资源来挖掘比特币。 “传奇”仍在继续 关于OpenSSL Heartbleed bug影响范围和严重程度方面的讨论一如既往的热烈。其中大多数讨论围绕着数字证书系统的长期前景展开,而数字证书系统则基本涵盖了互联网信任以及加密的功效和所遇到的陷阱。 不过,本周的情况有所不同,至少是与之前几周稍有不同,因为这似乎是公司首次真正开始寻找方法来避免这些bug再次出现。 美国首次出现基于安卓系统的短信木马;追踪OpenSSL Heartbleed病毒的最新消息;苹果修复iOS和OSX系统内漏洞;AOL遭受黑客攻击;以及爱荷华州立大学比特币”挖矿事件”。 一种名为核心基础设施倡议的新协作计划正在汇集资源,以筹集数百万资金,专门用来支持对于Web安全至关重要的开源项目。OpenSSL是第一个作为资金服务对象来考虑的项目,目前主要由Linux基金会、微软、Facebook、亚马逊、戴尔、谷歌以及其他一些著名的高科技公司为此协作计划提供资金。Mozilla公司也正在作出反应,利用高达1万美元的特殊漏洞赏金计划来奖励这样的研究人员:能够在新证书验证库(准备在今年夏天添加到Firefox浏览器的31版本)中发现严重安全漏洞。 苹果修复iOS和OSX系统内的SSL漏洞 在一个类似但完全不相关的说明中,苹果针对在iOS和OSX众多版本中存在的一个严重安全缺陷发布了修复补丁。该漏洞可能使攻击者能够从被认为加密的SSL连接中截取数据。换句话说,这一bug可能会使得攻击者读取消息的内容——无论是短信还是其他敏感信息。 这一bug是苹果公司于周二在其两个主要操作系统中修复的众多bug之一。虽然可能不是很严重,但这些加密漏洞会造成别的后果。因此,如果您正在使用任意一款Mac产品,则建议您前往App Store,尽快安装苹果操作系统更新。 一贯安静的AOL成为了关注焦点 这些天所发生的事情让我对AOL的email供应商市场份额产生了怀疑(相信我,我看过),但是本周确实有数量未知的AOL邮箱用户账号遭到”欺骗”。这些账号一旦被盗,攻击者们或僵尸网络就会开始向被盗用账号上的联系人发送大量垃圾邮件。AOL已证实意识到这是一起黑客事件(尽管AOL并没有称之为”黑客攻击”),但目前尚不清楚有多少用户账号受到影响,也不清楚到底发了多少垃圾邮件。令人奇怪的是,AOL声称邮箱账号被盗可能性不大,并表示这些账号受到愚弄的可能性更大。 正如AOL所提到的,欺骗攻击的方式主要是发送垃圾邮件,这些邮件看似是来自受害者邮箱,但从技术角度来看实则来自攻击者的邮箱账号,并通过攻击者的服务器发送。换句话说,AOL表示没有账号受到大规模的入侵,只不过是攻击者模拟了受害者的账号。这一辩解显然无法解释攻击者如何获得受害者的联系人列表,这意味着随着时间的推移,将有更多的账号被攻击。 美国短信木马 收费短信木马并不是什么新鲜事物。整个诈骗过程是这样的:攻击者强迫受害人将木马下载到自己的移动设备上。木马获得在受感染设备上发送短消息(文本)的能力。之后木马发送短消息到收费服务,该服务或者由攻击人控制,或者由向攻击方付款的一方来控制。之后这些消息的费用将由受感染设备的所有者来支付。 正如我所说的,此类花招已存在多年了。奇怪的是,由于未知的原因,短信木马从未真正在美国散播开来。本周早些时候这一情况发生了改变,我们在Securelist上的朋友发现一个在安卓系统上的木马正在作恶。 似乎仅仅作为首例针对美国安卓用户的收费短信木马还不满足,这款名为”FakeInst”的短信木马还将攻击目标锁定在了其他65个国家的安卓用户。事实上, FakeInst还将来自德国、法国、芬兰、香港、乌克兰、英国、瑞士、阿根廷、西班牙、波兰、加拿大、中国以及更多国家的用户锁定为攻击目标。 黑客入侵爱荷华州立大学的目的是… 比特币!? 你看的没错。美国一所知名的州立大学遭到黑客入侵,其学校计算能力被用于生产比特币。比特币作为一种数字加密货币,其过去一年中的价格起伏不定。如果你有充足的计算机能力,就可使用这一能力来解决算法问题并生成新的比特币。这个过程被称为”挖矿”,在此过程中可赚取大量资金。与所有的网络犯罪类似,所做的一切都是为了追逐金钱。恶意挖矿并不是什么新伎俩,但这一事件让让人感觉新奇的是犯罪分子尽然将目标转到一所知名高校的计算能力上。这还不是全部,该起黑客事件似乎还造成多达3万名爱荷华州立大学学生社会保险号的泄露。

分步指南:如何使用卡巴斯基安全软件安卓版隐藏联系人

在智能手机上,有些联系人你可能不希望其他人看到。下面的漫画说明了其中一种可能的场景;但这绝不是唯一的情况。 之前,我们解释过如何使用卡巴斯基安全软件安卓版来远程隐藏敏感联系人。下面我们将教会您如何创建可永久隐藏的联系人列表,而不仅仅是在紧急情况下隐藏。

密码和其他移动安全提示

在上一篇专栏中,我们介绍了很多非常有趣的内容,能帮助用户最大限度利用我们的产品来保护您使用Windows操作系统的台式机和笔记本电脑。我们的手机产品的开发已经持续多年。随着选择卡巴斯基安全软件安卓版的用户人数稳步上升,我们将提供一些最常见的问答,希望能帮到众多用户。 卡巴斯基安全软件安卓版只限一个移动操作系统使用。您无法将此产品安装在使用不同操作系统的智能手机或平板电脑上,也不能安装在早于2.3的安卓版本上。目前还没有针对Symbian或黑莓的卡巴斯基移动设备安全软件产品。至于Windows Phone和iOS,使用卡巴斯基安全浏览器即可持续得到良好保护。 获取卡巴斯基安全软件安卓版的许可证 此产品的特点是提供了三种获取许可的方案。第一种方案是从卡巴斯基实验室在线商店购买。以这种方式购得的产品中有一个传统的激活码,允许您使用应用的所有功能一年。通过卡巴斯基安全软件多设备版可执行类似操作。激活码不会与设备绑定,所以在其他手机上重新安装此应用时可以复用激活码。 第二种方案是登录Google帐户在Google Play上购买此应用。如果首选此方法,则不会向您发送任何实际的激活码。要开始使用应用,只需使用帐户下载应用并安装即可,许可证将自动从服务器中获取。如果需要重新安装应用或转用其他智能手机,则安装文件将在您的帐户中提供。 如今的移动设备威胁中有98%都是以安卓系统为目标。对于iOS和WP8,使用卡巴斯基安全浏览器就足以提供充分保护。 第三种购买移动产品许可证的方案被称为”快速购买”;它只适用于装有SIM卡的设备,并且只在部分国家提供,但在特定区域非常普及。首选此方法的用户将按月对许可证续费。用户需要执行的唯一操作是点击应用界面上的一个按钮;之后应用会自动激活。点击此按钮时,手机会发送收费文本信息。从你的手机余额中扣除一定费用后,手机会收到一条返回的信息,其中包含新的许可内容。 有时会发生在进行支付时,此应用并未激活的情况 – 或者甚至无法完成支付。通常是是因为您的方案不涵盖或无法接收或发送收费编号的文本。在这种情况下算法无法正常工作。 如果发生这种情况,并且您已为许可证付费,请联系卡巴斯基实验室技术支持人员。请提供你的手机号和设备的IMEI来获取已付费的许可证。如果尚未付费,请试着使用其他购买方法,或者联系运营商来启用包含短编号的文本通信。 人们常问的一个问题是为什么Google Play里的应用版本与卡巴斯基实验室网站上的版本不同。Google Play中的安装文件实际上并未与我们的网站同步。现在到我们的网站上购买应用似乎更加容易,因为Google Play版本还可能要使用激活码来激活。但在不久的将来,全新发布的产品版本将在应用商店和卡巴斯基实验室网站同时提供。 卡巴斯基安全软件安卓版的重要功能 使用此产品时可能会遇到一些问题,下面我将谈谈这些问题。应用架构中的主要概念可能是密码。下面的链接中是知识库中的一篇文章,具体描述了有关密码的一些详细信息:http://support.kaspersky.com/10215。简而言之,密码是一种工具,能够保护您的反病毒软件和数据,避免拿到你手机的人擅自访问这些数据。 密码是一种工具,能够保护您的反病毒软件和数据,避免拿到你手机的人擅自访问这些数据。 #安卓版#安全性 下面是应该牢记的一些事项: 密码并不是激活码。如果应用提示您输入密码,不用去购买应用的在线商店所发送的电子邮件中进行搜索。此密码必须在配置”反盗窃”或首次启动”隐私保护”时设置。 密码只能包含数字。此应用提供了定制虚拟键盘供您输入密码: 如果锁定屏幕上的图不同,而是显示包含数字和字母的常用系统键盘,则说明你的设备已被其他应用或系统本身阻止。请检查您可能已配置的其他阻止规则。 密码只能通过”反盗窃”门户来恢复:https://anti-theft.kaspersky.com。有关详情,请参阅特定的知识库文章。请注意,恢复码并不是密码,虽然这两者都是只包含数字。恢复码须借助系统键盘进行输入。 没有什么办法能阻止设备设置硬重置。这意味着不管在手机上安装的哪种类型的软件解决方案,设置都能回滚到出厂状态,硬重置通过按设备上的特定硬件按钮来执行。此功能的优点是个人数据将被彻底擦除,擅自访问系统的人员无法获取这些信息。 除了硬重置外,没有别的方法能够绕过密码;要恢复密码也只能采用上面提供的方法。如果手机丢失或失窃,无人能访问您的数据。 另一个引起我们注意的问题是网络过滤器与浏览器的兼容性。对于早于V4.2的安卓版本,卡巴斯基安全软件安卓版唯一支持的浏览器是本机安卓浏览器。从V4.2开始,产品支持Chrome和其他不使用自己代理服务器的浏览器(这将不兼容Opera浏览器)。有此要求是考虑到我们的应用过滤网络流量的方式,但此兼容性问题未来将予以解决。 应用本身与”反盗窃”门户密切相关。如果已经拥有卡巴斯基帐户,那么可以使用相同凭证来登录”反盗窃”门户(但反之则不行)。很快,卡巴斯基保护中心门户上将提供所有反盗窃功能(英国和美国的用户无需等待,现在就能利用这些功能)。

安全转帐小贴士

虽然有时会有波及整个互联网的灾难性安全漏洞,但如今想要避免网上金融交易已经越来越不可能。你读到本篇文章的时候,很可能在操作网银、购物,或者是在进行网上转帐,最后一点正是下面我们要讨论的内容。 就安全性方面来说,网络良莠不齐,这并不是什么秘密。但毫无疑问是,执行网络金融交易非常方便,不管是通过网络付税、付停车费还是通过PayPal下注,都轻松自如。可以肯定地说,任何人只要试图通过网络转帐,就必定会面临大量风险,但同时,也有一长串网络操作常识有助于为了解目标搜索内容的用户提供保护。最后,我想无论是宽泛到整个互联网还是具体到本文中的转帐,网络总体来说是利大于弊。 保护自身安全 首先最重要的一点是,你得先确保计算机或移动设备的安全,之后再来担心交易本身带来的风险。首先是确保操作系统以及金融交易中可能涉及到的任何软件或应用均已更新到最新版本。如果是在传统计算机上操作,那么这意味着应保证运行的是最新的Windows或OSX系统,其他任何操作系统都不例外。对于Windows,应该设置为自动安装更新。对于Mac,只须关注App Store图标,一旦提示有更新,请立即安装所有更新。在传统计算机上,你肯定要仔细检查并确保使用的浏览器版本也是最新的,因为你可能会通过网络来执行这些交易。一旦确定操作系统和浏览器版本均为最新版本(通常可通过浏览器设置菜单中内容来轻松确定),就可以着手进行网络交易了。 请勿在公共工作电脑、公用计算机或朋友的设备上转帐。#卡巴斯基#小贴士 移动设备略有不同。在移动设备上,你同样需要保证使用的是最新版操作系统,不管是iOS、安卓、黑莓还是Windows Mobile,无论哪种操作系统都必须是最新版本。移动环境与台式机略有不同,在台式机上你可能不会通过网络执行交易。更可能的情况是,你会使用某种类型的转帐应用。所以,务必确保应用已完全更新。事实上,对转帐应用更新时,你同时会更新其他应用,因为攻击者总是能够通过其他一些薄弱应用来实现访问设备的目的。 之所以要保证已安装全部更新,原因在于安全更新能确保封锁大多数已知漏洞。当然,有一些漏洞出于某些原因并没有相应的补丁,但总体来说,要入侵已完整安装补丁的设备几乎不可能。当然,还有零日攻击,但只有傻子才会对抗零日攻击来略过标准消费者的网银信息。 为保护个人设备要做的最后一件事是确保在移动设备和传统计算机上运行可靠的反病毒程序。众所周知,恶意软件是针对PC机的问题,但显然现在越来越多的骗子瞄准了安卓平台,尤其是金融类恶意软件。运行反病毒软件将确保阻止旨在窃取个人支付信息的恶意软件进入要执行转帐的设备。此外,最优秀的反病毒软件产品提供有安全转帐功能,此功能针对可信网站白名单来运行支付网站,检查以确保与这些网站的连接是安全的,同时保证执行转帐的系统已安装补丁并且是安全的。 另外,切勿在无法控制的设备上执行转帐。如果工作电脑只供你一人使用,那没问题。但千万不要在公共工作电脑、公用计算机或朋友的设备上转帐。 保护网络安全 现在你的个人电脑应该没有问题也很安全了,接着应确保(至少是尽可能确保)要连接的网站也是安全的。为此很明显第一步是避免粗心的转帐服务。在此我没法假装知道所有可信转帐服务,但使用PayPal、MoneyGram、Western Union、Venmo和其他许多类似服务工具应该是安全的。具体用哪种服务取决于你自己,但一定要下点功夫去了解。 决定了使用的服务后,请确保该服务提供强大加密。检查地址栏,确保其中含有挂锁图标和”HTTPS”,这样做是为了确保通过加密通道传输任何信息。更新后您还可能希望检查证书(即便浏览器很可能已检查过)。除外之外,要小心可疑的条幅广告,其中很可能含有插件,会试图从浏览器会话中盗取信息。这就是为什么选择一种可靠的支付服务更加至关重要的原因。 如果使用的网站要求登录(我当然希望你登录了),请确保使用的是唯一的高强度长密码,密码由字母、数字、符号、空格和大写字母构成。这不是开玩笑。就密码问题我已写过很多篇文章,但我无法评判你用于登录向许多发件人发送的一次性电子邮件帐户是否是用低强度密码来保护。然而,如果不用最佳密码来保护计划用于处理资金的帐户可就太傻了。金融帐户须真正保证使用的是唯一的高强度密码(在此可检查密码强度)。 金融帐户须真正保证使用的是唯一的高强度密码。 假设您已使用了高强度密码,下一步则是在使用的任何网站上实施某种形式的双重认证。使用这种方法时,你得确认使用SMS或基于电子邮件的安全代码来确认登录。这种服务有两种作用:一是能加大进入您帐户的难度,二是能让你知道是否有人尝试访问你的帐户。如果你并未试图登录时收到双重认证的通知,则说明你该对计算机进行安全扫描并更改密码(因为这意味着很可能有人已取得你的密码,并正在尝试访问你的帐户)。 最后一件要做的是使用某种类型的交易担保方,例如”Visa验证”服务或”3D安全”技术验证。此类服务要求你在进行交易之前,另外输入一个一次性密码。 如果遵循上述所有步骤,并实时监控自己的银行帐户或信用卡余额,那么你的转账应该安全了。

七款iPhone应用,为您的安全保驾护航。

苹果手机平台以及基于此平台构建的整个生态系统,以绝对优势领先于其竞争对手,其根本原因就在于该平台具有超高的安全级别:严格验证添加到App Store的每个应用,严格限制程序在操作系统中的功能,将设备中的所有数据自动备份到云 – 这一切使得iOS用起来既顺手又安全。但只有通过苹果默认功能和服务执行的应用才能这样做,如果面临的是非标准任务,比如用密码保护照片,那就不能指望iPhone了,因为iPhone上并没预装任何相关应用。但幸亏有苹果,你总是能到App Store上找到恰好满足需求的应用。正如他们所说,无论你需要什么,总有一款应用能满足您的要求。 上周我们已经讨论过私人即时通信工具;今天,我们将列出一系列优秀应用,为您、您的iPhone及其内容提供保护。 1password AgileBits $8.99 24.8 MB 举凡谈到最佳安全应用的文章中,几乎都少不了提到这款密码管理器。这无足为奇:1password是最流行的一款专用于创建、存储和管理密码的应用,功能强大、使用简单。但它不仅仅适用于密码;它还能存储信用卡、银行帐户、私人契约、会员卡等,举不胜举。而要获取受保护数据,你只需输入主密码即可 – 主密码是唯一必须记住的密码。主密码最好强度高,易于记忆,因为你将通过主密码把所有密码保存在一个位置。 上周我们已经讨论过私人即时通信工具;今天,我们将列出一系列良好应用,为您、您的iPhone及其内容提供保护。 另外,1password不是iPhone专用应用。AgileBits针对各大平台开发了相应的版本,包括:安卓、Mac OS和Windows。此应用在各平台上可以同步,所以如果日常使用的设备不止一台,那么这会非常有用。但不利的一面是,你需要花一大笔钱才能获得所有这些内容:iPhone应用优惠价为8.99美元,若需要桌面版,则费用更高。此外,每次有重大更新时要付费才能获得 – 这是获取一款最佳多平台密码管理器所要付出的代价。 查找我的iPhone 苹果 免费 5.1 MB 几年前,你根本不敢想要找到丢失的iPhone,因为没办法跟踪iPhone。但如今,事情完全不一样了。如果在智能手机上安装了”查找我的iPhone”应用,则有相当大的机会能找到丢失的手机。此应用的原理很简单:激活后的应用会使用GPS、手机网络或WiFi(如果可用)将iPhone的坐标发送到苹果的服务器。设备所有者转至iCloud网站或使用”查找我的iPhone”应用,就能随时获得这些坐标。当然,为此你需要拥有Apple ID;只要你有iPhone或其他任何苹果设备,那你肯定会有Apple ID。 此服务不仅允许你跟踪失窃的手机,而且还能远程封锁手机,并发送一条消息,消息会显示在失窃手机的屏幕上。例如,消息类似于: “谢谢你偷走了旧iPhone 4s。现在我有完美的借口买部新的iPhone

一周要闻:持续关注Heartbleed漏洞事件

与上周一样,Heartbleed大事件仍是安全类新闻的头条。也许我该用整个篇幅来全面概述有关Heartbleed事件的讨论内容,但我不会这么做,因为我想你们可能还希望了解影响外置硬盘知名(时尚)品牌制造商长达一年之久的数据外泄事件;微软的奇怪举动,可能会影响用户安装安全更新;某家搜索巨头的潜在行动计划可能会促进网站搜索优化,使网站做出良好的安全决策;看看终结XP支持对互联网有怎样的影响。 Heartbleed漏洞 如我所说,Heartbleed大事件仍在持续报道中。有可能在之前两周半左右的时间里,你完全没注意过任何相关新闻来源,下面我会对此事件进行扼要概述:Heartbleed是一种加密漏洞,互联网上的任何人都能借助此漏洞来读取通过OpenSSL这种加密实施服务进行保护的机器内存。严重情况下,这块小小的内存中很可能含有用户名、密码,甚至私人加密密钥等敏感信息。要在一条简短的新闻提要中清楚解释整个事件是不可能的,如果您对此事件不是很清楚,请阅读Heartbleed发展概要,文章中进一步分析说明了为什么Heartbleed是一个大事件。如果你对此事件的发展已经很熟悉,请继续阅读本文: 上周末,Heartbleed事态进一步升级,已经从严重但仍认为安全的漏洞过渡到在真实世界攻击中被大肆利用,不断收集真实受害者的信息。一家英国育儿网站Mumsnet被黑客利用Heartbleed漏洞攻击后,被攻击者窃取了存储在该网站上的密码,据报道说攻击者利用这些密码在网站上发布消息。更令人担心的是,攻击者还利用Heartbleed漏洞设法入侵加拿大税务署辖下的系统。在加拿大税务署在使用OpenSSL的补丁版本更新系统之前6小时内,攻击者就盗走了900位市民的社会保险号。 可能导致密码、通信和加密密钥泄露的OpenSSL Heartbleed bug仍是安全行业新闻头条 美国波士顿东北大学的Collin Mulliner发起了一项研究,针对Tor节点随机采样进行检查,根据上周晚些时候发布的报告,Tor匿名化网络中大约有20%的服务器或”出口节点“被发现具有漏洞。 虽然出现了Heartbleed攻击,但概念验证证明,由于事实上存在证书被盗的可能性,而且很多人都知道需要更换可能有漏洞的证书,因此证书撤销和更换潮似乎实际上算不上什么”潮”。简而言之,这些证书可确保所访问的网站正是你要去网站。很大程度上证书在互联网上的信任度非常高。当然,Heartbleed漏洞出现后,证书撤销和更换操作出现井喷,但相对于bug的规模是完全不成比例的。 LaCie长达一年的漏洞 据我同事(每月新闻播客主持人之一)Chris Brook报道,法国计算机硬件公司LaCie(莱斯)本周宣布公司成为数据外泄的受害者,只要去年从公司网站上购买过产品的用户,其敏感信息都面临泄露危险。LaCie最出名的产品可能是彩色外置硬盘。该公司称,攻击者利用一款恶意软件入侵公司在线系统,并利用此软件来盗取客户名称、地址和邮箱地址,此外还包括支付卡信息和卡到期日期。所以,如果你大约在去年直接从LaCie网店买过产品,那么你的信息很可能已外泄,如果情况属实,公司可能已经通知过您相关情况。 微软做出古怪决策;Google搜索算法很可能再造辉煌 微软的行动着实让我想不通,但我想他们肯定有充分的理由这样做。微软最近宣布,不再为运行过时版本的Windows 8.1的用户提供安全更新。要想在未来接收安全更新,客户必须使用最新版本的Windows 8.1更新来更新自己的机器,公司于4月推出此更新版本。 我曾和微软发言人交流过,但他并未详细解释为何公司会做出这一决定。好消息是,微软发言人肯定地指出,此项决定的宣布只会影响很小一部分没有启用自动更新功能的用户。明确地说,就是我们极力推荐启用自动更新,我认为默认情况下大多数商用Windows系统都已启用自动更新。如果您已启用,那么就根本不必有任何担心。如果是手动安装更新,则需要安装4月份的Windows 8.1更新,否则将无法安装微软未来每月发布的补丁。您可自行选择怎样做,但对我来说是完全明摆着的事。 另一方面,有谣言说搜索巨头Google可能会在自己魔法般的搜索算法(至少我是这样认为的)中新增一些算法,此举将极大提高实施加密的网站的搜索结果。《华尔街日报》报道说,此新闻源于该公司搜索算法大师Matt Cutts在一次会议上的发言。Google并未直接否认这些说法,但他们称公司目前对此不置一词。很难说Google是不是会真的考虑增加算法,但无疑这看起来是个不错的主意。 XP的终结? 微软不再对Windows XP提供支持,上个月微软正式发布(终于)针对Windows XP的最后一批补丁。对于是否停止支持XP系统多年来讨论无数,问题主要围绕放弃支持目前仍有多达28%的计算机用户使用的操作系统会带来怎样的影响。目前要对停止支持XP系统产生的影响下结论还为之过早,但如果您仍在运行XP系统,那么可能是时候更新换代了。如果Heartbleed从未现身,我还觉得对此的讨论应到此为止,但是我敢肯定未来我们还将进一步进行探讨。这就是为什么还将讨论XP的终结可能对未来的影响的原因。 移动新闻 最后,但也同样重要的是卡巴斯基实验室研究人员在最新的报告中证实,利用恶意软件盗取安卓用户银行信息的犯罪分子业务繁荣。结束语:总有一天会出现破解那些精心设计的指纹采集仪的入侵行为。

卡巴斯基欢迎绿色大象的到来

来见见我们的新员工 – 绿色大象。更正式的叫法是”凯旋的大象”(akaEléphant de triomphe),它是西班牙超现实主义雕塑家萨尔瓦多•达利的原创作品。卡巴斯基实验室在今年2月份就买下了它,但却用了两个月的时间才从伦敦运到莫斯科,因为进口一件艺术品牵涉到多种问题。 最终我们克服了所有波折,大象终于成功站在了卡巴斯基莫斯科办公大厅(当然,它也别无选择),在这里任何人都能欣赏到这件设计作品。 这尊大象雕塑结构高挑,高265 cm(8.6英尺),参观者绝不会错过有着纤细长腿的大象,也不会漏掉大象背上一个吹喇叭的金色天使。请见下图: 您可能会好奇,人们弯着腰在基座旁干什么;他们是在与基座上所刻铭文”4/8″合影: 见见我们的新员工 – 大象。我不是在开玩笑!站立在莫斯科办公大厅的这座萨瓦尔多•达利的著名雕塑将鼓舞卡巴斯基团队的士气。 我们的大象雕塑是达利铸造出售的”大象”系列作品中的第4号作品。另外六头大象则被艺术家收藏或用作私人用途(在此艺术批评家们突然转用法语进行评论:épreuves d’artiste和épreuves de fonderie)。大象用青铜铸成,但表面通过锈蚀反应呈现出翠绿色,这与卡巴斯基实验室采用的卡巴斯基绿完美契合。此外,大象被达利用来象征未来(同时也象征着胜利和凯旋),所以卡巴斯基团队一定会把这座大象雕塑当作幸运符,鼓舞员工士气。 谈到鼓舞士气,我们的新朋友几乎在开箱安装过程中就已经散发出这种能量;看看围观的工作人员和拍照的人数(别忘了,这可是周六,几乎所有员工这个时候都应该在家里): 当然,我们不可能因为好奇心去责怪别人,让大象在我们这里安家落户本身就是一项极具挑战性的工程任务。为了这次旅行,我们专门订做了木箱;在包装时,还安装了防倾和防碰撞探头,以作为额外的预防措施。木箱实际上是俄罗斯海关仓库中最大的一件货物,需要专门的装卸机器才能操作。除此之外,大象还差一点没法从办公室门口搬进来。 现在一切收拾妥当,大象也开始了在卡巴斯基的日常工作。来我们这儿亲眼看看吧!

针对安卓系统的网银恶意软件迅速蔓延

金融诈骗仍是恶意软件感染计算机后可能会执行的最危险的一类活动。所谓的“网银木马“能够注入到用户与网银之间的通信,借此操纵用户资金,并使用户付款重定向到犯罪分子的银行帐户。为了应对这一威胁,大多数银行利用了一种叫”双重认证“的方法,此认证通常借助SMS来完成:用户试图在线转帐时,必须使用密码来核准交易,此外还有一个一次性密码(移动交易验证码)会以文本消息形式发送到用户的智能手机。而犯罪分子开发出了一种方案,能够感染用户的计算机和智能手机,同时窃取密码和交易验证码。这种方案最初由Zeus/ZitMo恶意软件duo引入,事实证明实施起来非常有效。最近针对安卓系统的恶意软件Faketoken运用了同样的概念。很不幸,此软件也能成功造成感染。在卡巴斯基实验室最近发布的《2014年一季度IT威胁发展状况》报告中指出,Faketoken在20大移动设备威胁排名(按流行程度)中位列13,占到所有感染事件的4.5%。 Faketoken的感染机制实际上非常令人感兴趣。犯罪分子利用社交工程来感染智能手机。在网银会话中,基于计算机的木马病毒利用网络注入把请求种子植入被感染网页中,在此网页中可下载据称是执行安全交易所必需的安卓应用,但实际上链接会转至Faketoken。移动威胁一旦搭载上用户的智能手机,犯罪分子就能利用基于计算机的木马来访问受害者的银行帐户,Faketoken支持木马收集交易验证码,并将受害者的资金转入自己的帐户。 Faketoken网银恶意软件攻击的手机遍及55个国家,包括德国、英国和美国。#卡巴斯基#报告 根据报告,大多数手机银行威胁都是在俄罗斯设计并最初应用的。在此之后,网络犯罪分子可能会在其他国家进行传播。Faketoken就是这样的一种程序。在2014年第一季度,卡巴斯基实验室检测到的攻击中涉及此威胁的就有55个国家,包括德国、瑞典、法国、意大利、英国和美国。要避免此危险,用户必须利用卡巴斯基安全软件多设备版进行保护,也就是说电脑和安卓智能手机上都要使用专用安全解决方案。

安全网络即时通讯:这是谎言吗?

如今,几乎很少有人会不使用到网络即时通讯。单就WhatsApp来说,全球就有数以亿计的设备上安装了WhatsApp,每天的消息总量达到数百亿条。别忘了除此之外还有Skype、Viber、ICQ以及其他数十种流行度略低的即时通讯工具,包括Facebook、LinkedIn等社交网络中内置的即时通讯功能。然而,正因为即时通讯服务如此受欢迎,所以信息交换的隐私问题自然成为人们的关注焦点。就我们每天通过互联网随时共享的信息量而言,也许说加倍小心隐私问题听起来是很可笑的一件事,但确实在有些情况下,必须完全保证通信的隐私性,杜绝第三方侵犯隐私。那么我们能够在不被任何人窥探的情况下进行网上通信吗?下面我们将具体讨论这个问题。 前言 要着手处理这一问题,我们必须考虑信息链或语音通信会暴露给第三方的方式。暴露方式非常有限:第一,无论哪种性质的信息,包括文本、视频、照片或语音,都会记录在发送方和接收方系统上的本地存储卷中;第二,这些信息通过有线或无线网络传输;第三,由即时通讯服务的服务器处理这些信息(并非强制性的)。对于第一种情况,如果有人能在某种程度上控制对即时通讯历史记录的访问,则在此之后的信息传递过程将完全失控。当然,通过加密可以挽救局面,但并不能绝对保证安全:谁能保证协议肯定没有漏洞呢?尤其是使用通用加密算法的协议。 以Skype为例。不久前,人们还认为Skype是一款非常不错的私人即时通讯工具,是无懈可击的”堡垒”,没有人能攻破,无论是个人黑客还是强大的政府组织都不例外。但自从Skype公司被微软收购而失去独立性后,一切都变了,现在我们无法确保Skype即时通讯百分之百安全。 WhatsApp服务每天处理的消息数达到数百亿条;所以我们几乎没法认为所有消息都是安全的。每个月至少会有一起关于漏洞的新闻(即便只在安卓版中,不包括其他平台),新闻中含有丰富的细节,让我们感到强烈的不安。例如,最近对WhatsApp的一项研究证明,您的设备上存储即时通讯历史记录的加密文件,只需使用一个简单的脚本在几秒内就能被破解。另外要注意的一点是,近期Facebook收购WhatsApp的交易不能说是利于安全即时通讯的:事实上,Facebook创始人马克•扎克伯格斥资数十亿美元购买的是开发团队和技术,而不是用户数据,这是前所未闻的。 公正地说,其他免费即时通讯平台,从Viber到iMessage,都与上述服务一样存在着同样类型的问题。所有这些平台都允许采用相对容易的方法来获取对私人通信的访问。所以,从某种程度上来说,如果此类服务属于大公司的资产,并授权这些公司向政府和执法机构证明拥有这些信息可能还好些。幸运的是,对于某些行为,已经有了应对措施:我们周围有这么多不安全的即时通讯工具,难怪号称更安全的解决方案如雨后春笋般层出不穷。这些解决方案真的能解决重要的隐私问题吗?让我们来具体了解一下。但在此之前,首先必须确定哪种安全级别最适合您。 如今,谈到隐私问题时,日常即时通讯工具已经难以让人信任。当然,确实有一些更安全的替代工具,但这些工具真的能代替Skype和WhatsApp吗? “安全性剧场”是个非常有意思的词。它的含义不言而喻,表示表面上的安全措施,让人们错以为采取了行动,而不考虑行动的效率。如果要找个类比对象的话,公共交通设施的反恐安全措施可与之相提并论:只对有选择的车站进行可疑物体和人员排查。部署在无数住宅建筑中的室内对讲系统也是”戏剧化安全性”的写照。同样的特征也适用于软件领域,尤其是即时通讯。这不一定意味着一些即时通讯工具彻底没用:对隐私问题和高安全级别不挑剔的用户来说,它们不失为很棒的替代工具。毕竟,负责地铁站反恐检查的安保人员也能够提供一定级别的保护。所以话虽如此,我们必须得承认,用户仍可以使用一度曾出过问题的即时通讯应用,只要用户清楚自己需要保护的内容就行:是防范一个醋意十足的热情交友者读取自己的私人信息,还是防范热衷于拦截发送方到接收方之间流量的人员。是的,我们并未将侵犯隐私者正是对话对象这一事实考虑在内:对于这种情况,没有任何高级软件能够保护你。所以,如果你不信任对话者,就不要和他进行即时通信!下面我们将讨论两种类别中提供的流行方案。 安全错觉 我们将以下类型的即时通讯工具归类在此列表中:达不到预期安全级别的即时通讯工具,或无法保证通信不在传输过程中被拦截(中间人攻击)的即时通讯工具。 Confide 从某种意义上说,这是一种独一无二的即时通讯工具:所有通过Confide传入的消息都会用一个矩形盒将文本隐藏起来,只有手指滑过矩形盒时文本才会显示。此外,该应用不会长期存储信息历史记录,所以即便犯罪分子拿到你的手机,他也没法发现你的通信。用户尝试对消息截屏时,会将用户推送回联系人列表,同时对话方也将获得相应的通知。这些功能被应用开发者极力推崇:用户可以阅读信息但无法保存。但唯一的问题是,用户要记录信息时,没法进行截屏,而必须改用相机来逐字记录通信过程。从这方面来说,该应用可以分类为执行”戏剧化安全性”的程序:最新的即时通信和保护和截屏禁用功能只提供安全错觉。它可能适用于希望执行秘密服务代理程序的用户。 Wickr 此应用在设计上并不是很精美,但野心勃勃,将自己定位成不在设备上留下通信痕迹的解决方案:它会同时擦除(有些情况下无法撤销)设备内存和服务器上的信息历史记录,通过政府级安全算法来保护信息,为接收方提供控制存储时效的方法,并禁用信息复制。此应用类似于上一个应用,也依赖于智能手机功能的技术限制。 Telegram 谈到安全即时通讯工具时,我们怎么能忽略Telegram,大概这是最广为人知的以”安全”为品牌口号的即时通信工具了。为什么我们会把它包含在”戏剧化安全性”即时通信工具列表中呢?因为该应用的开发人员声称的”前所未有的”安全性从未得到过客观方面的证实,而这正是其遭人诟病之处。 许多人告诉我们,该解决方案的创建者曾宣称,若有人能入侵Telegram的MTProto协议,将给予20万美元的奖励。事实下,对于大多数人来说,这种自信本身就会导致人们对该即时通信工具的可靠性产生强烈质疑。但是拦截此即时通信程序的工具最初效率低下,也无法对协议进行压力测试。cryptofails.com创始人在指出这一事实的同时还评论说,MTProto是一种极不安全、也不可靠的算法,”它忽略了近20年来发布的所有意义重大的信息加密研究成果”,他建议开发者应该聘用真正的信息加密专家来审核Telegram。 另一个令人好奇的细节是:无论Telegram是基于哪种复杂协议,对于直接的应用攻击来说都脆弱无比。我们在此讨论的并不是流量拦截,而是与此相比简单得多的情况。即在注册时,用户会通过手机收到一条文本信息,用户必须输入收到的安全代码后才能激活应用。但如果黑客控制了受害者的文本信息,即可以使用他人的代码来激活自己的应用副本,结果他就可以接收发送给受害者的所有信息。假设默认情况下”安全聊天”功能未启用,那么通信隐私会在很大程度上受到影响。 Telegram的优点是速度快:信息几乎能实现即时收发,速度明显快于其他即时通信工具。所以,这是一款高速即时通信工具吗?回答是肯定的。安全吗?只能说是相对安全。 真正安全 此类别包括满足以下条件的应用和服务:具有一定安全级别,与官方宣称的特点相符,基本能够保护通信,阻止第三方对通信进行访问攻击。 Threema 这是一个瑞士项目,在宣布收购WhatsApp后,越来越受到人们的欢迎。开发人员承诺保证通信的安全性:首先,此软件能对传输中的数据进行可靠加密;其次,添加新联系人时,它会通过面对面确认来保护用户隐私。第二个措施是假设对方用户必须亲自见面,并从彼此的手机中扫描QR码,这种方法从安全角度来说是可取的,但在许多情况下实施起来却极为复杂。当然,你可以用老式方法,即通过手动输入用户标识来添加新联系人,但在这种情况下,安全级别会降低。值得注意的是,开发人员并未夸大其辞地证明自己的即时通信工具能够提供”前所未有”的安全级别,也没有作出任何虚假承诺。没错,此外,此应用的价格为2美元,只用付一次钱。 Silent Circle 这是知名信息加密权威开发的极少数项目之一。开发团队中就有PGP加密技术的开发者Phil Zimmerman。与Telegram类似,Silent Circle服务也同样依赖于专用算法SCIMP。这种算法优点在于它能完全擦除已发送信息,完全不留痕迹:不管是发送方还是接收方都无法在自己的设备上恢复通信的任何部分。这种功能可通过手动或自动方式启用:信息发送后经过一段特定的时间,即被自行删除。但此即时通信工具的主要优点在于此软件具有强大的通信流量加密功能,所以即便信息被拦截也没用。另外,此解决方案假设传输的是经过加密的包含文本、视频和音频信息的流量。至于其他方面,很遗憾此即时通信工具仍存在一些弱点。从含糊的注册流程到较高的价格:Silent Circle的年费为100美元。 TextSecure

网络游戏中的五大威胁

不久前,打游戏还只是青少年热衷的一种娱乐活动。但现在这一情况已发生了变化,游戏日渐收到大家的热捧,现在几乎无处不在。几乎每个人都玩过游戏。不管是《糖果粉碎传奇》(Candy Crush Saga)、《星战前夜》(EVE Online)、休闲益智游戏QuizUp还是《坦克世界》(World of Tanks),即使是偶尔玩在线游戏的人,这些游戏名也一定不陌生。也许你不会通过游戏机或电脑,而是喜欢用平板电脑来打游戏,或者可能你只在每天通勤路上花10分钟时间玩游戏;但这些都不重要。你必须知道的是打联机游戏具有一定的风险。你得知道并提高警惕。从普通的骗子到黑客,都能利用最近曝光的Heartbleed漏洞入侵游戏开发者的帐户,一旦被入侵后,不管是你的游戏、心情还是个人财产统统会受到影响。下面列出了打联机游戏的玩家所面临的五大主要危险: 5. 网络钓鱼 有些骗子会发送一封假冒电子邮件,其中含有一个链接可转至其网站(也是假冒网站),这些网站与花旗银行、Facebook或Gmail极为相似,这一行为被称为网络钓鱼。犯罪分子的目的是骗取你的登录凭证或信用卡详细信息,并最终窃取你的数据甚至是钱财。事实证明,这一做法对于攻击游戏玩家非常有效。犯罪分子先构建某个联机游戏的假冒网站,然后催促玩家”变更密码”或”验证帐户”,并威胁说如果不这样做会封锁玩家的帐户。一旦按其要求进行操作后,黑客即可盗取你的游戏帐户,并将其拿到黑市上转卖出去。 解决方法:切勿点击电子邮件中的链接。打开网络浏览器,亲自输入游戏的网址,登录到自己的帐户来执行需要的任何检查/确认。另外,请使用在线防护,这可阻止浏览器打开假冒网站。 4. 恃强凌弱 如今,几乎每种联机游戏都含有某种形式的聊天。你可以使用耳麦和其他玩家对话,或者使用位于屏幕角落看起来还不错的旧式文本框进行聊天。对于某些游戏,团队成员之间进行此类通信至关重要。但遗憾的是,此工具被大范围地滥用了。在联线对战最激烈的时候,你可能会听到一些咒骂,或者一些人身攻击。因为大多数游戏竞争过于激烈,因此总是会出现贬低在当前场景中失败的玩家的情况,但有些玩家却做得太过份,而演变成常常会欺负其他玩家。在有些游戏中,尤其是专注于联机人物”虚拟生命”的玩家,这种聊天很可能会变成进行人身攻击的场所,导致不愉快的交谈。 解决方法:立即阻止任何言语攻击者;不要和对方继续玩游戏或聊天,并告知游戏骚扰小组对方的昵称。切勿向游戏玩家透露自己的真实身份或个人信息。如果玩游戏的是你的孩子,请教会他们与父母讨论此类事件,并确保他们都十分清楚”陌生人=危险”这一原则也同样适用于联机游戏。 3. 骗子和诈骗犯 游戏中的商品能在官方游戏市场以外被交易,极大增加了玩家被骗的机率。 根据不同的游戏类型和规则,有多种诈骗途径 – 有些被视为是合法的或半合法的,有些则不是。在各种骗局中,最严重的是利用修改过的游戏客户端(或者甚至是机器人程序)使游戏条件优于普通玩家 – 速度更快、更精确等等。此外,一些玩家利用在游戏服务器代码中发现的错误在游戏中占据先机。其他诈骗方法有修订游戏,通过虚拟团伙抢劫新手玩家,或者采用某种虚拟诈骗。对于游戏中的经济,有着几个世纪历史的诈骗模式有时仍会生效。玩家可能会碰到有人给自己一些库存,或者以优惠价格提供游戏攻略,但此类行为往往最终证明是一场骗局。 解决方法:如果有人吹得天花乱坠,几乎不像真的,那么很可能是骗人的。不要接受陌生人提供的任何可疑内容。如果注意到有人在游戏中的进度过快,请向支持团队进行报告。大多数联机游戏都有严格的规范,可以立即把骗子踢出游戏。 2. 人物/库存盗用 犯罪分子可能会瞄准的目标有四类:游戏中的资源、发展良好的游戏人物、付费游戏帐户或关联的信用卡数据本身。最后一类要作为目标具有难度,但其他几类则能通过多种途径盗用:网络钓鱼、专用密码窃取恶意软件、某种类型的游戏内诈骗等。关键要点是 – 玩家的人物或帐户越好,则犯罪分子瞄上你的可能性就越高。对于在全世界范围内拥有海量忠实受众(和玩家)、发展成熟的游戏来说,尤其如此。 解决方法:打游戏过程中,你必须对自己的帐户提高警惕。为帐户设置双重认证,游戏帐户和电子邮件地址使用复杂、唯一的密码,对设备使用强安全性解决方案,监视网络钓鱼邮件和其他试图骗取凭证的活动。 玩家在游戏中的角色越出色,则被犯罪分子盯上的可能性就越高。

从Heartbleed漏洞中吸取的教训

我的工作内容不仅仅是分析各种恶意软件和漏洞,也不限于讨论最新的安全威胁,而更多大的一块工作是尽力向用户说明并教会用户如何构建安全性。因此,我设法重点说明的一些主要话题包括备份、防御恶意代码、通过打上最新的安全补丁使系统保持最新,当然还有使用加密方法的必要性。我敢肯定,你之前一定听说过所有上述的内容,对吗? 但如果使用的安全软件有漏洞,成为攻击者的攻击入口时,我们该怎么做? 这是目前热议的话题,尤其是近期曝出了OpenSSL Heartbleed攻击后讨论更为激烈。我决定让此专栏更具我的个人风格,因为我能肯定的一点是你们都能找到无数有关SSL及Heartbleed攻击的文章,但我想分享的是我本人对这些类型的漏洞为何变得如此严重的一些看法。 但在开始讨论Heartbleed攻击之前,我想提一下我们如今看待安全产品和解决方案失效时的心态问题,这一点很重要。我们往往是通过安全产品或解决方案的各种功能和特点来对其进行评估的,如果其符合我们所要达到的目标,则我们会选择购买。 我们如今看待安全产品和解决方案心态并不乐观 – @JacobyDavid 问题是我们往往会忘记安全产品并不能解决我们的所有问题。我们需要理解的是安全产品和解决方案体现的是安全思维。 那么为什么我要讨论OpenSSL Heartbleed漏洞问题呢?我想从一般意义上说,我们都假定互联网运行正常,是一个安全的平台。我们通过互联网传递非常私人的信息、进行约会、购物、通信、管理财务等等。正因如此,互联网的缺点就是一旦出问题,情况就会很快恶化,变得非常糟。 互联网存在的一个大问题是其极端分立性。有些网上资源具有安全性极高、非常稳健的基础架构,而另一些资源则完全忽视这一点,极为脆弱,漏洞百出。此外,有些站点非常安全和稳健,但由于存在大量系统依赖性而导致这些站点变得很脆弱。保护IT系统中的每一个部分的安全性几乎不可能实现。 互联网基础架构一旦出问题,情况就会很快恶化,变得非常糟。 使用互联网时,我们需要预见最糟糕的情况并采取相应的措施。问题是我们还会使用互联网世界以外的可信资源,例如医疗系统、政府部门或其他系统,而这些系统也全部使用的是互联网。所以,一旦出现类似Heartbleed漏洞这样严重的问题时,影响是巨大的。 一旦犯罪分子开始利用Heartbleed漏洞,很难说Heartbleed攻击的传播范围会有多广,影响会有多大。但想想看要是有人能够复制整个世界所有银行保险库的钥匙会怎样?这乍一听确实非常严重,但也完全取决于保险库所存放的物品。 我希望近期不要只盯着这类安全漏洞不放,因为我们这一段时间会忙着解决这一问题。但我们需要记住的是软件只是软件,其中总是会出现或多或少的漏洞。我们还需要了解的是,即便进行备份、加密和防御恶意代码,也仍然有可能会泄露敏感数据。一旦数据泄露,我们需要想尽一切办法,使这些数据无效,让犯罪分子无机可乘。

分步指南:如何使用被盗设备拍摄偷盗者的大头照

有时候,我们不得不将设备放在视线以外的地方。假设这样的场景:炎炎夏日,你独自在海滩,大海实在太有诱惑力了,你忍不出想跳进去畅游一番。或者你的注意力被其他东西吸引,完全忘记留意自己的背包和口袋。就在这个时候,你发现手机不见了,你会怎么做? 今天我们将说明卡巴斯基安全软件安卓版将如何帮助您抓到偷窃者。

哈希算法创造奇迹

密码哈希函数(通常简称为哈希算法)是一种数学算法,用于将任意一组数据转换成长度固定的一串新字符。不管输入数据的长度是多少,同类型的哈希算法始终输出固定长度的哈希值。 因此,根据网上的SHA-1哈希生成器(SHA-1与MD 5和SHA-2都是部署最广泛的一种计算哈希函数),比如我的名字Brian生成的哈希值为:75c450c3f963befb912ee79f0b63e563652780f0。可能其他”Brian”会告诉你说,Brian这个名字被误拼成”brain”是极为常见的事。实际上,我以前有一张驾照上面的名字就被拼成了”Brain Donohue”,但这另一个故事了。brain通过在线SHA-1生成器生成的SHA-1哈希值是:8b9248a4e0b64bbccf82e7723a3734279bf9bbc4。 你看,这两个输出值截然不同,虽然在名字中Brian和表示中枢神经系统器官的这个单词brain之间差异完全在于连续的两个元音字母的位置(”ia”和”ai”)。更明白地说,如果我只把名字的第一个字母改为小写,SHA-1生成器的也会返回完全不同的哈希值:760e7dab2836853c63805033e514668301fa9c47。 密码哈希函数是计算中使用最普遍的工具,几乎可用于一切计算,从身份验证到恶意软件检测再到文件保护。   您会注意到,上述所有哈希值的长度都是40个字符,这并不令人吃惊,因为上面输入内容的长度均为5个字符。但如果在哈希生成器中输入本文到目前为止的所有单词,你会吃惊地发现返回以下哈希值:db8471259c92193d6072c51ce61dacfdda0ac3d7。也就是这1637个左右的字符(包括空格)和上面的5个字符的单词一样,经压缩后输出40个字符。你可以用SHA-1哈希算法对莎士比亚全集进行计算,最终也是输出40个字符。而最让人吃惊的是绝不会有两个不同的输入生成相同的哈希输出。 下图由Wikimedia Commons制作,说明的是上述概念,供您直观地学习: 哈希算法适用于哪些情况? 问得好。但很遗憾,答案是密码哈希算法适用于很多很多种情况。 对你我来说,最常见一种哈希算法形式是对密码进行哈希加密。例如,如果忘记了某个在线服务的密码,则很可能必须执行密码重置。重置密码时,通常你不会收到返回的明文密码。原因是在线服务并不会存储您的明文密码,而是存储密码的哈希值。事实上,该服务(除非使用的是极其简单的密码,这种密码的哈希值广为人知)并不知道您的真正密码。 确切地说,就是如果你收到的返回密码是明文,则说明你使用的在线服务未对密码进行哈希加密,这不失为一种羞耻。 您可以通过在线逆向哈希生成器自行进行测试。如果生成不安全密码(例如,”password”或”123456″)的哈希值,则在逆向哈希生成器中输入该哈希值时,逆向哈希生成器很可能会识别出示例中任一密码的哈希值。对于前文所举示例,逆向哈希生成器可以识别出”brain”和”Brian”的哈希值,但无法识别出代表本文正文的哈希值。所以哈希值输出的安全性完全依赖于输入数据,而输入数据几乎可以为任何内容。 对于这一点,据上月晚些时候TechCrunch的报告,流行的云存储服务Dropbox依据美国《数字千年版权法》,阻止了一名用户共享受保护内容。该用户在Twitter上写道,他被阻止共享特定内容,这一事件经由Twitter迅速发酵升温,人们对于Dropbox必定窃取了用户内容而大为不满,尽管隐私政策中明确承诺不会这样做。 当然Dropbox实际上并未窃取任何用户内容。据TechCrunch的文章中所述,导致这一事件发生的可能原因是版权持有者拿到版权文件(也许是数字版歌曲或电影)后,通过哈希函数来传送该文件。取得输出的哈希值后,他们将这一串40个字符加入了某种版权保护资料哈希黑名单。这样在用户尝试分享该版权保护资料时,Dropbox的自动扫描程序就会挑选出列入黑名单的哈希值,从而阻止资料分享。 所以,显然你可以对密码和媒体文件进行哈希加密,但密码哈希函数还有哪些其他用途呢?同样,实际答案是哈希函数的用途远远超出我的所知,也不在我的写作关心范围内。但是还有一个非常贴心的哈希应用是Kaspersky Daily。哈希算法被卡巴斯基实验室等反病毒软件公司用于恶意软件检测,部署广泛。 同样,电影制片厂和唱片公司也制定了哈希黑名单来保护版权数据,此外还有数量不定的恶意软件哈希值黑名单,其中大多数公开提供。这些恶意软件哈希(或恶意软件签名)黑名单由恶意软件哈希值或更小的可识别恶意软件组件的哈希值构成。一方面,如果用户发现了可疑文件,则可以在众多公共可用的恶意软件哈希注册表或数据库中选择一个来输入该文件的哈希值,输入后注册表或数据库会通知用户该文件是否为恶意文件。另一方面,反病毒引擎识别并最终阻止恶意软件的一种方法就是将文件哈希值与引擎自己的(以及公开的)恶意软件签名存储库中的进行比对。 密码哈希函数还可用于确保消息完整性。换言之,你可以借此确保某个通信或文件未被窃取,方法是检查数据传输前后生成的哈希输出值是否一致。如果前后哈希值完全一致,则传输可称得上是可靠的。

“Heartbleed”漏洞恐令数千网站泄密

更新:在上一篇有关此漏洞的文章中曾提到(引用了Github上的列表)HideMyAss网站用户受到Heartbleed漏洞的威胁。但该网站发言人与我们联系表示,他们的用户并未受此漏洞的影响,所以我们从受影响网站列表中删除了此网站。 更新2:专栏已更新受影响服务列表,这些服务官方推荐更改用户密码。 NPR(美国国家公共广播电台)主播David Green在早8点主持的《早间节目》中讨论安全漏洞话题后,人们都知道了安全漏洞是非常严重的问题。昨天早上的节目中又提到了此话题,这次是OpenSSL中的一种严重的加密漏洞,被戏称为”Heartbleed”(心滴血)。OpenSSL可能是互联网部署最广泛的加密库。如果您不是很清楚什么是OpenSSL,别担心,下面我会用500字左右的篇幅来尽量解释清楚整个原委。 与网站建立起加密连接后,数据都将使用SSL/TLS协议进行加密,不管你连接的Google、Facebook还是网银。许多流行的网络服务器利用开源OpenSSL库来执行此加密作业。本周早些时候,OpenSSL的维护人员针对一种严重漏洞发布了修订,此漏洞在实现TLS功能时出现,称为”Heartbeat”(心跳包),攻击者借助此漏洞可从服务器内存中读取多达64 KB的数据。 换句话说,如果保护机器的库是有漏洞的版本,那么互联网上的任何人都能通过该漏洞来读取机器内存。最坏的情况是这一块小小的内存中可能含有敏感数据 – 用户名、密码,甚至包括服务器用于加密连接的专用密钥。此外,利用Heartbleed漏洞不会留下痕迹,没有确定的方法来判断服务器是否被黑客入侵过,也无法断定哪类数据被盗。 好消息是OpenSSL修复了该漏洞。但坏消息是没有办法保证受Heartbleed漏洞影响的这些网站和服务实施补丁来减轻漏洞的影响。更多的坏消息是,该漏洞很明显能够被轻松利用,而且可能已存在长达两年时间。这意味着许多流行网站的安全证书已被盗,包括密码在内的敏感用户数据也很可能遭窃。 用户行动计划 更新:Mashable收集的清单列出了来自受影响网络服务的正式PR回复。为了节省阅读表格并检查证书(下面有更多检查相关内容)的时间,只需在以下所有站点上更改密码即可:Facebook、Instagram、Pinterest、Tumblr、Yahoo、AWS、Box、Dropbox、Github、IFFT、Minecraft、OKCupid、SoundCloud和Wunderlist。请对每个站点使用唯一密码! 检查自己喜欢的站点是否有漏洞。有多种在线工具可检查是否存在漏洞,但你还需要知道之前是否有存在过。很幸运,你可以根据一个长长的流行网站列表来检查是否有漏洞。好消息是,PayPal和Google未受影响。坏消息是,Yahoo、Facebook、Flickr、Duckduckgo、LastPass、Redtube、OkCupid、500px及其他许多网站都存在漏洞。如果您在这些脆弱网站上有注册有帐户,请准备好随时行动。 立即检查网站是否有漏洞。有一个简单工具可用于此检查。 网站所有者修复漏洞后,还需要考虑重新发布网站证书。因此准备好监视服务器证书,并确保使用的是最新证书(4月8日或之后发布的证书)。为此,请启用浏览器中的证书撤销检查。下面举例说明了如何在Google Chrome设置中启用此项。 此项将阻止浏览器使用旧证书。要手动检查证书发布日期,请点击地址栏中的绿色锁图标,然后点击”连接”选项卡上的”信息”链接。 对服务器打补丁并更新证书后,最重要的一步是立即更改密码。此时可修改密码策略,并开始使用容易记忆而又安全的密码。您可以使用我们的密码检查程序来检查新密码是否安全。

警告:小心预装恶意软件!

中国主要电视台CCTV每年3月15日,即国际消费者权益日都会举办”315晚会”。这个一年一次的盛会上会大量揭露与消费者侵权相关的事件。今年晚会上公布的多个侵权事件中,其中一例是智能手机销售渠道商在安卓手机上预装恶意软件,然后将其销售给不知情的用户。 如节目中所揭露的,预装的恶意软件名为DataService: 在有关于此的另一则新闻中,我们发现了此恶意软件的md5: 这种恶意软件被卡巴斯基检测为Trojan.AndroidOS.Uupay.a。它不是一种独立的程序,而是与普通的安卓应用程序一起工作,这意味着大多数用户对此一无所知,直到收到夸张的电话帐单时才会发现有问题。那么”DataService”恶意软件究竟是做什么的呢?据报道,它可以上载大量信息,像IMEI、MAC地址、手机型号、安装应用列表等。此外,还能推送大量广告,并下载特定应用程序。下面我们将从代码级别深入地了解并验证这些功能。 首先,我们将从大体上来看看该恶意软件应用包中解压出的AndroidManifest.xml,它提供了关于应用的基本信息。只需看一眼,我们就能看出该文件确实获取了各种敏感权限,其中一些权限会让您进行消费,并有权访问您的敏感信息: 另外还有一些URL引人注意: 稍后我们将解释这些URL是如何使用的。 对此恶意软件的某些变种进行反编译后,我们发现,它们都包含名称类似com.google.hfapservice和com.uucun.android的软件包。 虽然名称中包含google,但com.google.hfapservice与google没有任何关系,它可用于在后台下载其他应用。 下载后以静默方式安装。 它使用Airpush提供的推送服务: 运行用于访存和显示被推送广告的服务: 下载被推送的应用: 它还能从手机中获取各种细节信息,包括IMEI、MAC地址、手机型号、安装应用列表等。 名称类似com.uucun.android的软件包还含有代码,用于显示、下载和安装此软件包中的广告或其他应用。 从手机中收集信息: 然后将这些信息发送到服务器: 使用动态分析,我们跟踪到该恶意软件的网络流量,发现它会向http://******mall1.plat96.com/进行请求,以获取需要访存的应用列表: http://******mall1.plat96.com/本身看起来是某种类型的非官方安卓商店: 我们从访存列表中下载了一些应用,所有这些应用都包含与DataService类型相同的恶意软件。 现在,我们已经很清楚DataService恶意软件的主要功能,但我们的目的并不仅于此。这种恶意软件是怎样预装到数量如此庞大的全新手机中的?在”315晚会”上,CCTV的记者揭开了神秘的面纱。记者发现,一家附属于大唐电信科技产业集团的公司高鸿股份使用产品”大唐神器”来提供一种安卓应用预装服务。截止目前,高鸿股份已经拥有4600多家预装加盟代理商。这些代理商安装的应用数已超过4600万,每个月都会有100多万台手机上预装各种应用。 “大唐神器”究竟长什么样?它看上去不像一件艺术品,只是像下图这样的一个设备。 据称此设备能够在几分钟内就将设备中的所有应用自动安装到安卓手机上。下面的应用菜单附带价格表,每安装一件的价格从10到50美分不等。 通过预装列出的应用,高鸿股份加盟商即可以向高鸿收取费用,具体根据安装的应用数量计费。 此外,有报告指出,高鸿预装的应用会窃取用户的隐私信息。高鸿承认确有此事,但同时声称他们只是收集IMEI、MAC地址、型号和应用列表等统计信息,不会采集与手机号、通讯录和通话记录等相关的信息。但我们发现收集用户敏感隐私信息的Trojan-Spy.AndroidOS.Agent.k似乎与高鸿有着某种关系。 从反编译的代码中,我们可以看出它确实能上传用户的通话记录,并在30秒后重拨。 只要对www.goohi.cn执行简单的ping操作,就可以验证该IP地址是否确实与高鸿相关。 我们看到的IP地址与在恶意软件中看到的完全一样。虽然CCTV曝光说DataService恶意软件可能已预装到手机,也提到高鸿的”大唐神器”可用于此目的,但单从CCTV的报道来看我们还无法确认这两者间有确实的联系。然而根据”uucun”和一则有关uucun的新闻,我们发现它具有能在1亿多台手机上进行预装的预装渠道。 这不能不让我们对DataService恶意软件的预装渠道展开联想。