Brian Donohue

“We are what we pretend to be, so we must be careful about what we pretend to be.” ― Kurt Vonnegut

86 文章

从勒索软件到匿名浏览:2014年十大高技术趋势

如果说12月份对安全世界意味着预测来年的话,同时也是对即将结束的一年进行回顾的时候。卡巴斯基实验室全球研究与分析团队为此而特别制作了一份有关《2014年互联网安全行业十大新兴趋势》的清单。 一系列高级持续威胁 2014年,众多APT攻击小组依然没有”停战”的意思。卡巴斯基实验室研究人员公布了至少6个网络攻击小组的研究分析。 “Careto”(西班牙中”面具”的意思)间谍行动于2月份重现互联网,之前已活跃了长达7年之久。Careto依靠易于修改的跨平台恶意软件工具,旨在从全球31个国家的政府机构、大使馆、能源公司、研究机构、私人股权公司以及活动家窃取敏感信息。 而多阶段的Epic Turla网络间谍攻击行动出现在1个月左右后的三月份,通过利用一系列存在于Adobe Acrobat、Windows XP以及Microsoft server 2003的零日漏洞对受害人进行有针对性的攻击,同时还采用了许多水坑式攻击,将存在于Java、Adobe Flash和Internet Explorer的漏洞作为攻击目标。 https://vine.co/v/OrlF5BPb3h3 而到了6月,另一个黑客小组在短短一周的时间内即窃取了50万欧元,作为”Luuuk”木马攻击行动的一部分,他们对一家大型欧洲银行的客户进行了针对性攻击。遗憾的是,卡巴斯基实验室并没有获得该攻击行动中的任何恶意软件样本,但他们猜测该黑客小组通过窃取用户名、密码以及一次性密码,从而查看受害人账户余额并自动执行交易。 在6月末,互联网出现了”MiniDuke”黑客行动的新版本-被称为”CosmicDuke”,将政府、外交机构、能源公司、军事集团以及电信运营商作为攻击目标。奇怪的是,这一黑客行动竟然还攻击了那些参与违禁药品(例如:类固醇和生长激素)交易的犯罪团伙。 #Kaspersky launches a project that chronicles all of the #ATPs the company has investigated https://t.co/9gj6AiRVoo

2015年九大安全预测-卡巴斯基全球研究与分析团队

又到了12月份,对于整个安全行业就意味着一件事:专家们开始对明年明年的安全行业趋势做一个预测。如同往年一样,有些预测是新的,而有些早已是”熟面孔”了,几乎每年都会出现在各大预测榜单之内。以下则是由卡巴斯基全球研究与分析团队所提供对2015年安全行业的九大预测。 网络犯罪分子与APT小组”强强联手”,统一行动 事实上这是最令人感兴趣的预测之一。卡巴斯基实验室专家对此断言,网络犯罪小组将越来越多地实施国家策略。欧洲刑警组织的网络犯罪部门主管特罗斯•奥尔廷(Troels Oerting)在乔治城法学院的一次演讲中透露道,这一”联手行动”在上周已经开始。 然而,无论他们是否决定”强强联手”,就卡巴斯基研究人员所给到我的信息看来,还存在另一个有趣的可能性:政府资助的高级持续性威胁黑客小组(实施类似于DarkHotel、Regin以及Crouching Yeti/Energetic Bear的黑客活动)将联手其它网络犯罪分子(例如将摩根大通、Target和其他大型公司作为攻击目标的黑客)共同开展黑客行动。 #Darkhotel APT in a single video: http://t.co/NRqAl4docX — Eugene Kaspersky (@e_kaspersky) November 10, 2014 据我看来,这一合作的可能性相当大,具体理由如下:国家资助的黑客小组可能为了一个共同的目标与网络犯罪小组携手合作。通过合作可以强化广泛分布式拒绝服务攻击—据称在2012年和2013年针对美国一些银行的攻击,以及旨在造成系统停机的其他类型网络攻击均来自于伊朗政府。 隶属于政府的黑客小组可能还会将其间谍任务外包给其它的网络犯罪小组,前者向后者下达命令,而后者则通过使用网络犯罪工具和行业专知实施间谍活动、窃取专利知识或收集与重要基础设施系统有关的情报。 APT黑客小组”化整为零”,网络攻击呈增加和分散态势 卡巴斯基研究人员认为随着安全公司和独立研究人员不断曝光和挫败大规模政府资助的黑客小组,迫使其”化整为零”,分散行动。研究人员宣称这将迫使他们发动更加分散和频率更高的网络攻击。 @卡巴斯基预计2015年政府资助的黑客小组内部结构将发生改变#APT#攻击小组将”化整为零”,分散行动#卡巴斯基实验室报告# 广泛使用的老代码出现新Bug 无论在这里、Threatpost还是其它地方,已多次提到我们现在正处于互联网广泛存在bug的时代。同样作为基础设施代码的互联网时代,我们将看到更多的bug将被广泛部署在互联网中。卡巴斯基实验室全球研究与分析团队认为,互联网蓄意破坏的事件将更加频繁发生,就如同苹果GoToFail安全漏洞。我们也将看到能够大范围影响互联网的偶然性实现错误,就像OpenSSL Heartbleed和 Shellshock/Bashbug的例子一样。

Regin APT攻击-有史以来技术最为成熟的网络攻击活动

近期,几乎所有从事跟踪高级持续性威胁活动的安全机构都无一例外地在谈论一种全新的高成熟度网络攻击平台-“Regin”(读音:reɪ*ɡən –与美国前总统里根名字的读音相似)。尽管我们无法将矛头直接指向某个特定国家并对次大加指责,但毫无疑问”Regin”被普遍认为是一个拥有雄厚财力的民族国家的”黑客工具”。 就在上周末赛门铁克发布了首个版本的有关该网络攻击活动的研究报告后,其它公司的大量相关报告接踵而来,在最初的研究结果基础上加入了更多的新内容,这似乎表明许多个人和相关机构将开始对”Regin”进行建档研究。不止一家安全公司和一名以上的研究人员–包括卡巴斯基实验室的全球研究和分析团队–将它称为是有史以来技术最为成熟的网络攻击活动。 Highly-complex malware has secretly spied on computers for years, say researchers http://t.co/ip7hkaDBEg pic.twitter.com/TnHhxZS0C4 — The Verge (@verge) November 23, 2014 据卡巴斯基实验室研究报告显示,Regin APT攻击活动将电信运营商、政府机构、多国政治团体、金融研究机构以及从事高级数学和密码破解工作的个人作为其攻击目标。这些网络攻击者似乎对收集情报进而进行其他类型的攻击最为感兴趣。尽管大量所收集的情报包括了对电子邮件和文档的暗中监视,但该网络攻击小组似乎还将目标不断锁定在电信运营商以及GSM(全球移动通信系统)提供商,将前者成为攻击目标并无不寻常之处,但将后者作为攻击目标就有些让人感到奇怪了。 GSM全名为”全球移动通信系统”。是移动手机之间蜂窝通信的标准。如果我告诉你GSM是第二代(2G)移动通信技术(3G和4G网络的前一代产品)的话,你们一定会恍然大悟。然而据报道,GSM是大多数电信运营商所用移动网络的默认标准,供占全球移动通信市场90%份额的219个国家和地区使用。 这些网络攻击者通过访问哪些电话是由哪一部特定手机拨出的信息,从而将这些电话重新传入其它的手机、激活临近手机以及实施其它攻击活动。 “该网络攻击小组具有渗透和监控GSM网络的能力或许是这一系列网络攻击活动中最不寻常和最有趣的部分。”卡巴斯基实验室全球研究和分析团队在昨日所发布的报告中说到。”在当今世界,我们太过依赖于移动手机网络所采用的陈旧通信协议,同时针对终端用户几乎没有任何安全防范措施。尽管所有GSM网络都拥有自己的嵌入机制,允许执法机构追踪犯罪嫌疑人,这也同时也导致这一功能为不法分子获得并滥用于实施针对移动用户的其它类型攻击。” 卡巴斯基实验室表示,这些网络攻击者通过从内部GSM基站控制器窃取属于某一家大型电信运营商的登录凭证,从而能够在该特定网络访问GSM手机。我来自于Threatpost的同事Mike Mimoso注意到当这些网络攻击者沿着移动网络移动、分配资源以及移动数据传输时,就能通过基站控制器对电话进行管理。

11款不安全的移动与互联网消息应用

就在上周,我们介绍了电子前哨基金会(EFF)所发布的有关安全消息服务的评分报告,同时我们还制作了一份9款在隐私和安全方面表现出色的移动与互联网消息服务清单。而本周,我们将继续为您介绍位列该评分榜末尾的数款消息服务。 有趣的是,如果上周所介绍的消息应用在安全和隐私方面似乎有些过于难理解的话,那本周即将介绍的应用和服务清单在安全方面同样让人有些昏昏欲睡,因为采用了相似的评分标准。正是出于这个原因,我们会将主要篇幅放在一些最流行的消息应用上,当然还是免不了一些较为冷门的应用和服务。 11款在#安全和#隐私控制方面较弱的移动与互联网消息服务 背景 EFF对总共七大类的所有服务应用进行了评分。出于我们的目的,所有在以下问题中得到两个”是”回答或以下的服务提供商,其评分即为不及格: 1. 数据在传输过程中是否加密? 2. 是否在数据加密后,即使服务提供商自己也无法读取? 3. 你能否确定联系人身份的真实性? 4. 服务提供商是否采用完美正向隐私性的做法,即加密密钥是否是临时的,即使被盗也无法用来解密现有通讯? 5. 服务是否采用开源代码且可供公开审查? 6. 加密实施程序和过程是否留档? 7. 在过去12个月是否进行过单独的安全审查? 这七个问题旨在评估哪些服务应用提供最佳(最差)保护,以防止政府监视、网络犯罪分子窥探以及企业数据收集。这意味着,无论是EFF还是《卡巴斯基每日博客》都官方认可以下所有程序。但这一服务清单仅代表哪些应用一贯并未采用最佳安全与隐私做法。 9 mobile and Internet messaging services offering strong #security and

九大最安全和最隐私的互联网与移动消息服务

在如今这个互联网时刻遭受监视的年代,安全和隐私地传送消息变得十分有必要。电子前哨基金会(EFF)于近期发布了一份完全分析报告,在报告中对众多的移动与互联网消息服务的安全性与隐私性进行了测评。 在安全和隐私方面,有些消息服务提供商获得了高分,一些则正在努力达到标准,而另一些则完全不及格。我们将在今天讨论在这方面名列前茅的服务提供商。而在下周,我们将对位列榜末的一些提供商进行讨论。 九款移动与互联网消息服务提供强大#安全#和#隐私控制# EFF对总共七大类的所有服务应用进行了评分。而在《卡巴斯基每日博客》(Kaspersky Daily)上,服务提供商需要对至少6个问题(或更多)做”是”还是”否”的回答,问题如下(尽管我们还会向所有在4个或4个以上问题上答”是”的提供商颁发”鼓励奖”): 1.数据在传输过程中是否加密? 2.是否在数据加密后,即使服务提供商自己也无法读取? 3.你能否确定联系人身份的真实性? 4.服务提供商是否采用完美正向隐私性的做法,即加密密钥是否是临时的,即使被盗也无法用来解密现有通讯? 5.服务是否采用开源代码且可供公开审查? 6.加密实施程序和过程是否留档? 7.在过去12个月是否进行过单独的安全审查? Which messaging technologies are truly safe & secure? See EFF’s ‘Secure Messaging Scorecard’ https://t.co/eBVIY9xgGB pic.twitter.com/sBeF0QquAx — EFF (@EFF)

隐藏在WireLurker苹果恶意软件背后的iOS漏洞”曝光”

就在昨天,有关研究人员表示他们已向苹果告知发现了为WireLurker恶意软件所利用的漏洞,该恶意软件将iOS移动设备作为攻击目标,通过USB连接Mac OS X系统和Windows系统设备进行感染。 这一漏洞被称为”Masque“,它的感染范围包括iOS 7.1.1、7.1.2, 8.0、8.1和8.1.1 beta这些系统版本。最令人感兴趣的是,尽管最初报告显示该恶意软件仅能通过USB连接感染iOS用户设备,但就在昨天,来自FireEye公司的研究人员表示Masque bug还能为短信和电邮所利用。然而,要想通过短信或电邮感染设备,前提条件是攻击者必须要让受害者点击下载恶意应用的链接。 有关研究人员透露了一种能为#WireLurker# #苹果# #恶意软件#所利用的危害巨大的#iOS漏洞# 从技术上讲,Masque完全能让网络攻击者实现将合法iOS应用替换为恶意应用,且不会出现任何通知。从某种程度上看,之所以所存在这一漏洞,很大原因是因为当应用开发商没有向App Store上载应用时,iOS企业无法对给定应用的数字证明进行反复检查,进而也无法确定应用的真实身份。 因此在这样的情况下,iOS就无法对合法签字的WireLurker证书进行标记–尽管使用的是不同证书–因为恶意软件只从受感染台式机或笔记本电脑上将应用直接上载至用户手机。这也是为什么它与一些早期的iOS恶意软件不同,WireLurker可以感染那些没有越狱的设备。 #WireLurker #Apple #Malware Targets Mac OS X Then iOS https://t.co/tAtWI93wrK #security pic.twitter.com/fKAsF8ArzL — Kaspersky Lab (@kaspersky)

苹果恶意软件WireLurker锁定Mac OS X和iOS设备

昨天,一款名为WireLurker的全新系列恶意软件突然出现,让人猝不及防。该恶意软件能够感染运行苹果移动iOS平台的设备以及台式机的Mac OS X操作系统。网络安全公司Palo Alto Networks发现了这一威胁,并认为WireLurker可能会将与日俱增的苹果恶意软件带向一个全新领域。 近年来,专家不断警告人们要小心针对苹果系统的恶意软件潮即将来临,而狂热的果粉们则以同样夸张的方式回应称,苹果设备对恶意软件完全免疫。但和其他事物一样,现实情况总是介于两种极端说法之间:苹果恶意软件确实介于两者之间,但散播范围远不如Windows和安卓系统恶意软件如此之广。 “WireLurker被用于在麦芽地苹果商店中的467个OS X应用中植入木马病毒。麦芽地是中国地区的一家第三方Mac应用商店。”Palo Alto Networks的研究人员Claud Xiao说。”最近6个月,有467款受感染的应用被下载了356,104次,受影响用户可能达到数十万。” 卡巴斯基实验室的产品可以检测到这一威胁,并当作木马病毒Downloader.OSX.WireLurker.a予以拦截,所以您若使用的是卡巴斯基,则可完全安枕无忧。 须明确的一点是:虽然此威胁只感染了中国一个流行应用商店中的用户,但这并不意味着不会再散布到其他地方。 但有意思的是,WireLurker与之前大多数iOS威胁不同,它甚至能感染没有越狱的设备。这也是为什么Palo Alto Networks认为WireLurker很可能会成为苹果恶意软件发展过程中的分水岭的原因。但这只是五大原因中的其中一个原因。 其他四个原因分别是:WireLurker的传播规模相当之大,之前的苹果恶意软件系列与之相比可谓小巫见大巫;这是第二个能够通过USB攻击iOS设备的已知威胁(如通过USB接口插入Mac的iOS设备);它能自动生成恶意应用;也是已知恶意软件中,第一个能感染出厂安装的iOS应用的病毒。 #WireLurker苹果#恶意软件感染#OSX设备,然后通过USB接口将自身复制到#iOS设备 WireLurker的工作方式如下:借助标准感染载体先感染Mac设备,然后等待用户通过Mac设备的USB端口连接iOS设备。一旦连接后,WireLurker即会在iOS设备上自动安装恶意程序。尤其是会搜寻三种常用应用 — eBay中国版、PayPal和一种流行的照片编辑器。恶意应用安装后,WireLurker会卸载这些应用的合法版本,而用恶意版本取而代之。 研究人员称,WireLurker还处于积极开发阶段,因此很可能会变化,目前还没法确定它的目的是什么。就在本文发布前不久,Palo Alto Networks告诉Threatpost说,苹果公司已迅速采取行动,撤销了WireLurkers的恶意证书,并且此病毒的作者们已经收手,不再继续恶意软件开发行动。 Palo Alto Networks提供了各种有关如何避免网络感染WireLurker的提示。其中大多数建议是针对企业的,但其中有些内容我们想再次强调,以保护您的设备: 1.运行反病毒软件并实时更新。 2.检查OS X操作系统的”系统偏好设置”>”安全性与隐私”,在”允许从以下位置下载的应用程序”中,选中”App

采用全新加密系统的Android 5.0提供更为出色的数据保护能力

最近几周,移动安全领域分外热闹,苹果和Google两大巨头先后发表声明称保存在各自最新版本的iOS以及安卓操作系统的用户内容受到严格加密,且两家公司本身都无法对本地存储信息进行解密。 默认加密 执法机构当然无法对这一事实感到满意,因为这意味着即便有正当的理由,这些部门也无法保证能要求用户解密本地保存的数据。因此这些机构只能出动政府官员对广大用户进行明目张胆的恐吓–少不了借用恋童癖和恐怖分子的老套故事–迫使用户相信加密是不正当且危险的。 与此同时,隐私与安全倡议者们又进一步推出了新的全盘加密方案,似乎预示着消费者们即将迎来真正的移动数据安全时代。 有些人认为这一系列举措过于冒失和鲁莽;另一些人则将此举视为对现有安全环境所进行的一场彻底变革,因为目前情况下,政府在缺乏任何监督下可轻易收集用户的信息。 #Google #安卓操作系统的最新版本将步#Apple #iOS后尘,也将启用默认全#加密#。 本月早些时候,我们曾撰写过一篇关于”苹果新默认启用加密“的文章,你可更多地从执法机构的角度品味这篇文章。现在是时候从技术角度讨论Google借以兜售其最新Android Lollipop系统(简称为”Android 5.0″或”Android L”)的默认加密功能,”Android L”中的L代表的是罗马数字50以及”Lollipop”的首字母。 安卓加密简史 据来自Android Explorations博客的Nikolay Elenkov表示,自Android 3.0发布以后,安卓用户即可自行选择是否需部署全盘加密(FDE),同时也被称为”Honeycomb”。此后安卓的FDE服务一直并未多做改变,直到Google在Android 4.4内对其进行了进一步强化。在Android L中,该功能将再次得以增强,并在Android 5.0内首次将FDE设为默认功能。 Google最初部署在安卓操作系统的加密方案已被证明相当的安全。然而,其在软件中的实施情况却时常导致漏洞产生。该加密方案的安全性几乎完全取决于硬盘加密通行码的复杂程度以及它是否易于被暴力攻击攻破。 “如果密钥足够长和复杂的话,暴力攻击要想攻破加密的主密钥可能需要耗费数年的时间,” Elenkov解释道。”然而,由于安卓已选择重新使用锁屏PIN码或密码(最长可达16位),但在实际过程中大部分人都更倾向于采用位数相对较短或简单的硬盘加密密码。” 换句话说:安卓系统上的硬盘加密强度完全取决于你的锁屏密码。且大部分情况下,加密强度都极其脆弱,因为人们总是懒于设置位数较长的锁屏密码。 密码输错固定次数限制机制使得暴力攻击在实际操作中并不可行,因为攻击者一旦输错登录密码次数达到一定数量,则永远无法再重新进行尝试。当然,Elenkov在其博客中忽略这一保护机制。如果你想对他的错误大肆攻击一番,请随意去阅读他所做的分析内容,但这里就不多做探讨。问题在于:的确存在暴力攻破弱PIN码或密码的方法,为的就是解密保存于安卓设备上的内容。 暴力攻击方法对于强大的密码很难奏效。但如果你拥有一个典型的4-6位密码,毫不夸张地说,只需几秒钟即能解密用户的数据。 在Android 4.4系统中,Google进一步增强了其加密系统的能力。尽管如此,但依然是基于PIN码或密码。因此仍然有可能暴力攻破较弱的PIN码和密码,不同的是在Android 4.4中你可能需要花费数分钟而非原先数秒钟的时间。

如何记住强大且唯一的密码

今年是2014年。洛克希德马丁公司于近期宣布在开发可提供难以想象的巨量能源的紧凑型核聚变反应堆方面取得了实质性的进展,并有望取代清洁性差却能轻易开采的燃料能源。尽管科学技术飞速发展,但有一个领域依然停滞不前,那就是我们依然需要努力记住一长串的密码。如果我们在未来技术上仍然还要依靠落后的认证器技术的话,那我们还是需要想出一种可靠的解决方案来记住我们的密码。而这正是我们在卡耐基梅隆大学计算机科学系的朋友们所做的研究内容。 不幸的是,事实证明要记住一长串复杂的密码需要我们做一些人人厌恶的事情:学习研究。据Jeremiah Blocki、Saranga Komanduri、Lorrie Cranor和Anupam Datta所开展的研究表明,有间隔的反复训练搭配助忆术所构成的系统将能有效提升记忆力,让用户能在过了很长一段时间后依然能记住自己的密码。 密码的构成元素让我们想起了以下有关密码强度的XKCD漫画,也就是说,记忆要靠想象一些句子而不是用“脑残体”文字。 卡内基梅隆大学该项研究的参与者被要求从下拉菜单中选择一位人物,随后分配给随机产生的动作和目标。这一方法被称为人-动作-物品(PAO)故事法。因此你可以组成这样一句句子:尤达大师掉下了麦克风。” 在研究过程中所使用的助忆手段是向参与者展示设定好的一幅图片,然后想象图片中所发生的人-动作-目标的故事。比方说与我们故事有关的这幅图片显示的是一座水下实验室。那我们就可以组成这样一句句子:”尤达大师在水下实验室掉下了麦克风”。 现在你已经拥有6个单词,并且使用这6个单词可以组成足够强大的密码—你可以登录我们的安全密码检查网页来验证一下。该助忆技术的关键是你无需记住整句句子。 在本研究中,参与者在过了100多天以后,被要求只凭借一幅场景和人物(尤达大师在水下实验室)按照训练时的套路回忆起故事的动作和物品。不同的联想记忆训练间隔时间和所需记忆密码的不同数量(1个、2个或4个)造成各试验小组的测试结果不尽相同。 训练后12小时进行记忆测试的用户取得了最好的成绩,随后是12×1.5小时,后面以此类推:0.5天、0.5天、1.75天、4.15天、8.15天、14.65天、24.65天、40.65天、64.65天和101.65天。在该试验小组中,77.1%的参与者在过了102天后依然能成功回忆起9次试验中的所有4个故事。 “我猜你可能说我会对试验结果感到些许惊讶。如果在本次研究前你必须让我猜多少时间内可以取得最好的记忆成绩的话,我可能会说是30minX2(1小时),对于这个时间我也并不是那么完全自信。” 我将这一问题抛给了Blocki,想看看他是否会对试验结果感到惊讶。 “我猜你可能说我会对试验结果感到些许惊讶。”他说道。”如果在本次研究前你必须让我猜多少时间内可以取得最好的记忆成绩,我可能会说是30minX2(1小时),对于这个时间我也并不是那么完全自信。的确,12hrX1.5(18小时)这组的训练时间间隔更长。然而,连续联想记忆训练间隔时间并没有像30minX2(1小时)时间下增加的那么快。该试验结果证明了联想记忆训练时间间隔的重要性(不仅仅是联想记忆训练的总次数)。” 顺便提下,在头12个小时内最容易产生遗忘。在前几轮测试中记住故事的参与者中,有94.9%的人在随后几轮测试中也同样记住了这些故事。有些结果并不出乎意料,只需记住1个或2个故事的参与者的记忆成功率远远高于需要记住4个故事的参与者。 记住一长串密码需要我们做一些人人厌恶的事情:学习研究。 关于本次研究的更多内容,请参阅“Spaced Repetition and Mnemonics Enable Recall of Multiple Strong Passwords” [PDF]。你大可进行一番探究,但需要提醒的是,里面有太多内容讲的是极其复杂的数学问题。 今天我们到底学会了什么?首先,我们学会了如何更加容易地记忆位数较多的复杂密码。或许也明白了为什么几乎每个人都喜欢在不同账户使用同一个密码,尽管他们清楚密码会导致安全风险。换句话说,密码仍然不可避免地存在缺陷。 但同时也带来了一些好消息—你可以通过使用相对容易的助忆技术增强你的密码强度:

简单的错误导致高度敏感的银行数据遭泄

Brian Krebs于近日发表的一篇报道中强调了重要的一点:在线数据,尤其是个人敏感数据遭泄的风险正与日俱增。这并非危言耸听,而的确是从某未知来源获得的可靠消息。 本周,Krebs报道了一家债券保险商由于服务器配置错误而造成一连串连锁反应,最终导致长达230页的在线账单遭外泄,并能通过搜索引擎索引。据称,这些账单内容包括了账号和汇款路线号码、账户余额、股息以及少数本地政府投资池会员账户的持有人姓名。 据称,这些账单内容包括账号和汇款路线号码、账户余额、股息以及少数本地政府投资池会员账户的持有人姓名。 该家受害债券保险商是MBIA Inc.的一家子公司,据报道是美国最大的保险供应商,公司全名叫做Cutwater Asset Management。 好消息是,MBIA Inc.表示已修复了导致数据外泄的问题,并将逐一联系本次事件受影响的公司客户。 坏消息是,正如在Krebs报道中简要描述的那样,”可通过搜索引擎索引的文件包括了详细的授权新银行账户的操作方法,包括:所需用于提交账户信息的表格和传真号码。” 与最近发生的家得宝、Target、摩根大通及其它数据外泄事件相比(参见我们最新一期的网络安全播客),本次数据外泄事件可以说是”小范围”事件。 从某未知来源获得的可靠消息,遭受#数据外泄#的风险正与日俱增。 然而,事实是该数据外泄事件对不幸受到波及的客户都可能会造成不利影响,另外本次事件之所以值得我们重视,原因在于只是由于一个简单且通常会被忽略的服务器配置错误所导致。

网络安全播客:ShellShock Bash漏洞”主导”金秋九月

在网络安全播客改版后的首期节目中,来自Threatpost的Brian Donohue和Chris Brook对时下有关网络安全的热门话题展开了讨论,讨论内容包括:家得宝客户数据外泄事件;iCloud女星艳照门事件对iPhone 6推出造成的影响;微软trustworthy computing部门时代的终结;以及必不可少的,互联网广为传播的Bash bug(也叫做”Shellshock漏洞”),影响了Linux和Unix系统。 数据外泄 TripAdvisor的子公司Viator(于今夏以2亿美元被前者收购)告知了1400万客户其包括用户名和密码在内的个人数据遭到外泄。该事件还波及到了三明治连锁公司Jimmy John’s,它的216家分店和108家餐厅遭受影响,该连锁公司也同样在其官网上刊登了有关此次数据外泄事件的通知。Goodwill也确认公司遭受长达18个月的客户数据外泄,受影响客户数量尚未得知。家得宝则遭受到有史以来最为严重的一次数据外泄,竟然波及到5600万张支付卡,受影响范围远超Gmail数据外泄事件(于2013年爆发的该事件造成马萨诸塞州20%居民的个人数据遭到外泄)。 苹果 在9月,苹果终于揭开了其年度9月产品的神秘面纱。不幸的是,苹果新产品发布时间恰巧正值影响恶劣的iCloud入侵事件爆发不久,因此对其造成的影响可见一斑。在此次事件中,众多好莱坞女星的私密照片遭到曝光,并公然发布在互联网上。苹果随即采取措施,不仅扩大了iCloud双重认证的安全级别,并随即修复了显然会导致数据外泄的登陆限制漏洞。总部位于加利福尼亚州库比蒂诺的苹果公司还发布了iOS8系统,正如苹果首席执行官蒂姆•库克(Tim Cook)所宣称的那样,苹果无法查看用户的email或iMessage内容,也没有能力将此类内容信息交予执法机构。 Trustworthy Computing小组 微软宣布将解散trustworthy computing小组,该工作小组10年如一日始终奋战在网络安全领域的第一线。微软公司表示正在计划将其多个安全业务更完整地整合入公司,并将trustworthy computing小组的各成员安排到公司的其他各支团队中,共同致力于开发特定产品和项目。 Bash 一种在互联网上广泛传播的bug,也叫做”Shellshock漏洞”,在Bourne Again Shell bug(Bash)中出现。我们曾在近期写过一篇有关的文章,其中详细解释了什么是”Bash漏洞”及其影响甚广的原因。 # 网络安全播客#:@Threatpost #安全记者#@TheBrianDonohue和@Brokenfuses讨论#shellshock#和其它新闻。

比特币、家庭入侵、苹果恶意软件以及更多有关”Virus Bulletin”安全大会的内容

上周,在美国华盛顿州西雅图市举行了 一年一度的”Virus Bulletin”技术交流大会。该会议被誉为全球历史最为悠久的安全会议,与Black Hat安全大会一样,今年的会议一改往年单纯面向企业的陈述报告,还有更多消费者参与到其中,会议讨论的话题也更为贴近普通大众感兴趣的领域。 在本次会议上,我的卡巴斯基同事对两项大众普遍感兴趣的安全话题做了简报(全面披露):对比特币盗窃案件从轻微犯罪快速升级至好莱坞式抢劫大案的原因解释;以及关于现代家庭入侵方面的陈述。此外,还有一些会议内容同样吸引眼球:将苹果Mac OS X操作系统作为攻击目标的恶意软件现状报告,以及对”白领犯罪”如何改变安卓操作系统的惊鸿一瞥。 家庭入侵 David Jacoby所撰写的有关入侵自己家庭各种设备的经历于近期刊登在了卡巴斯基博客上。他提出了这样一个问题:…如果我们无法保护自己设备免遭当前的威胁,那就算能发现未来可能的新威胁又有何用呢? 他之所以提出这样一个问题,是由于Jacoby担心整个安全行业将过多的时间用在讨论”零日漏洞”以及其他一些存在于联网的汽车、冰箱、酒店、家庭报警系统、厕所以及其他所谓”物联网”设备内的高级漏洞上,但问题是当前几乎没有什么人会拥有这些设备。而与此同时,我们对于早已存在数年时间的已知问题以及大众普遍使用设备的恶劣安全状况却关注太少,例如:智能电视、路由器、打印机、调制解调器、游戏机以及网络存储设备。 我的结论是:何不独立分出一个特定网络分段将所有上述设备纳入其中,从而与工作站、计算机、手机和平板电脑等设备所用的网络完全分开。 在开始他的实验之前,Jacoby明确表示对自己家用设备的安全性充满信心。毕竟自己作为一名经验丰富的安全研究人员,工作的大部分时间几乎都是用来考虑网络安全问题。因此在发现自己的这些家用联网设备缺乏适当的安全保护措施且存在大量漏洞时,他大为震惊。 本周早些时候,在Virus Bulletin会议上所播放Threatpost主编Dennis Fisher的播客中,Jacoby注意到一个有趣的观点:随着人们愈来愈注重保护自己的移动设备和传统计算机,似乎对网络硬盘、无线打印机以及其他各种接入家庭网络设备安全性的关注程度有所减弱。 “我们需要着手考虑如何将我们的家用电器更安全地连入家庭网络。” Jacoby说道。”我的结论是:何不独立分出一个特定网络分段将所有上述设备纳入其中,从而与工作站、计算机、手机和平板电脑等设备所用的网络完全分开。” 苹果恶意软件 Synack研究主管Patrick Wardle谈到了各种存在于Mac计算机的恶意软件。Wardle的数据表明,在过去5年内,OS X操作系统在家庭和企业工作站的市场占有率从7%提升至近15%。目前苹果是美国个人计算机市场的第三大供应商。 在2012年,苹果曾发表过这样的声明:”Mac计算机不会受到任何PC病毒的感染,同样对数千种肆虐于Windows系统计算机的病毒也完全’免疫’。”从技术上看,毫无疑问第二句话是正确的。然而,按照Wardle所陈述的内容,第一句话的准确性显然值得商榷。尽管苹果方面并不愿承认Mac计算机就是个人电脑,但却是毋庸置疑的事实。 据VB2014会议报告#比特币#、#苹果恶意软件#、易入侵消费类设备以及更多安全事件呈快速上升趋势 Wardle宣称最早出现在Mac计算机的病毒被称为’Elk Cloner’。该病毒以Apple II为攻击目标,在上世纪80年代广为传播。就在去年,Wardle还表示新增了30种将OS X平台作为攻击目标的恶意软件。当然与将Windows系统设备和安卓系统设备作为攻击目标的恶意软件的数量相比,这一数字几乎可以忽略不计。 然而,Wardle断言随着市场上Mac计算机数量的增加,以及大多数Mac用户所部署的反病毒保护措施相对薄弱且严重缺乏Mac恶意软件分析工具,因此可能会带来一系列麻烦,这也恰好解释了他为何致力于”找出OS X操作系统的持久性机制以及研究危害Mac计算机的恶意软件,[如此]我们才能更好地保护我们的Mac计算机。”

什么是”Bash”漏洞及其影响甚广的原因

在本周,一种新的互联网bug出现在了Bourne again shell(Bash)内,并似乎是自”OpenSSL Heartbleed漏洞事件“以来影响程度最高的安全漏洞。尽管其真实的危害程度尚不得知,但Bash漏洞已然成为了近期人们热议的话题。就在昨晚的夜新闻中,你甚至还能看到本地的新闻主持人对这一话题的讨论,而节目的背景则是布满一串串快速滚动的计算机代码的绿色屏幕。 什么是Bash? Bash是一种脚本语言和命令行外壳程序,于1989年为GNU计划而编写。Bash能将用户和机器输入命令的解析成系统级命令进行执行。它主要的功能是发出命令和对命令进行解释。如果你想了解更多有关Bash 的知识,请转到GNU Bash页面。 Bash广泛运行于大多数Unix系统和Linux distribution版本以及从Unix和Linux汲取诸多元素的苹果OS X操作系统。此外,在数量众多的Web服务器以及家用电器(包括但不限于路由器、调制解调器以及许多附网设备和其它面向网络的系统)中,也同样能看到Bash的”身影”。 Bash bug最初由Akamai安全公司的Unix和Linux网络与电信管理员Stephane Chazelas所发现。事实上这一漏洞已存在了很长一段时间(或许已超过20年),你可以想象其传播范围之广。与Heartbleed漏洞一样,我们只能期望Chazelas是第一个发现这一bug的人,但真实情况我们永远无法获知。 Bash漏洞是如何对互联网用户进行影响? 过不了多久,互联网上不可避免地会出现将Bash漏洞作为攻击目标的漏洞利用工具。这些漏洞利用工具能够在Bash被呼叫时,使攻击者将恶意执行文件远程附到被执行或解释的代码或脚本碎片上。换句话说,只要拥有一款成功的漏洞利用工具,攻击者就能完全控制受影响的系统。 “相比于此前的Heartbleed漏洞而言,Bash漏洞更易于为网络犯罪分子所利用。此外,Heartbleed漏洞只能让网络犯罪分子有机会从内存中窃取数据,并希望找出一些有价值的信息。相比之下,bash漏洞更易于造成整个系统遭受控制,因此似乎更加危险。” 当被问及Bash bug是否会成为”Heartbleed”第二的时候,我们的卡巴斯基实验全球研究与分析团队(GReAT)的朋友是这样作答的: “相比于此前的Heartbleed漏洞而言,Bash漏洞更易于为网络犯罪分子所利用。此外,Heartbleed漏洞只能让网络犯罪分子有机会从内存中窃取数据,并希望找出一些有价值的信息。相比之下,bash漏洞更易于造成整个系统受到控制,因此似乎更加危险。” 卡巴斯基研究人员推测Bash bug还能被用于窃取银行信息,从而最终导致资金损失。网络攻击者大可利用Bash漏洞通过你的个人电脑窃取登录凭证,但前提需要找到一些漏洞利用载体以访问Bash命令接口。但要真的做起来却并不那么容易。现实中更多的情况是:网络攻击者将你使用最频繁的银行网站作为攻击目标,并同时尝试锁定多个账户及其信息。 从美国计算机紧急事务响应小组所发出的警告似乎最能说明Bash漏洞的严重程度: “该漏洞被行业标准机构评为’高’影响度(CVSS影响分值:10)和’低’复杂程度,这意味着只需一点儿技巧即能执行攻击。该漏洞使得攻击者能够提供精心设计的涵盖任意命令的环境变量,并能在存在漏洞的系统上执行。由于Bash Shell的流行程度以及能以多种方式被应用呼叫,因此危险程度尤其高。” Bash bug在影响程度和漏洞利用复杂程度方面与Heartbleed也有所不同,后者是影响程度高但难以利用,而前者则影响程度高的同时还易于利用。 什么是#Bash漏洞及其影响用户的方式? 如何才能保护自己免受Bash漏洞的影响? 除了永久地远离网络以外,为保护系统安全,你只需要确保在第一时间安装合适的供应商特定更新。至于台式电脑或笔记本电脑上的操作系统,你能做的只是等待管理你特定distribution版本的研发人员发布相关补丁。

数十种流行安卓应用存在泄漏用户敏感数据问题

来自纽黑文大学网络取证研究和教育小组的一群研究人员最近发现多款流行应用存在漏洞,其中包括了Instagram、Vine和OKCupid等流行应用。对于已在安卓移动设备上安装了这些受影响应用的9.68亿用户而言,这些bug很可能会导致他们的个人敏感信息遭到泄露。 我的同事Chris Brook在Threatpost 上报道了相关事件的进展:研究小组发布了一系列的Youtube视频将大部分bug公诸于众,最终发现产生bug的原因是将用于控制存在漏洞应用的非加密内容保存在服务器上所致。 “尽管两个人之间通过这些应用传送数据通常被认为是安全的,但我们发现此类的私人通讯还是有可能被他人所窥探,原因在于这些数据并没有经过加密,且原始用户对此毫不知情。” “对于任何曾使用或将继续使用此类受测应用的用户而言,其各类机密信息甚至有时包括密码在内,都时刻处于被泄露的危险中。”纽黑文大学Tagliatela理工学院计算机科学系助理教授兼cFREG负责人Abe Baggili说道。 据Threatpost报道,Instagram Direct的消息传送功能会泄露用户之间共享的照片,以及以纯文本形式保存在Instagram服务器的以往照片。此外研究人员还发现,只要通过HTTP搜索某些关键词,就能看到在流行的在线约会服务应用- OKCupid上用户之间共享的信息。而一款叫做”ooVoo”的视屏聊天应用基本上也包含了与Instagram Direct应用相同的漏洞。Instagram缺少完全加密的问题在我们以往的卡巴斯基中文博客中有所报道。 而在Tango、Nimbuzz和Kik这三款免费通话和通讯应用中,研究人员也发现可以通过所存在的一些bug来窃取照片、位置信息以及视频。此外,Nimbuzz还被发现所有用户密码均以纯文本形式保存。 由于MeetMe、MessageMe和TextMe均以非加密的纯文本形式发送信息,因此网络攻击者能够对在本地网络运行这些应用的用户通讯进行监视。并且在这些应用中以纯文本形式发送或接收的图片和共享位置点均会被监视。此外,研究人员还能够看到以纯文本形式保存用户登录凭证的TextMe数据库文件。 Grindr、HeyWire、Hike和TextPlus基本上也存在同样的bug。网络攻击者只需使用现有的黑客工具(例如:WireShark),就能轻而易举窃取通讯记录、照片以及共享位置。此外,通过Grindr、HeyWire、Hike和TextPlus发送的照片会以纯文本的形式保留在这些应用的服务器内,并供身份认证使用长达数周时间。 “使用一款叫做HeliumBackup的安卓备份提取工具,就能获取用于TextPlus的安卓备份文件,”一名研究人员说道。”当我们打开后,发现里面自动会存有用户在线活动的屏幕截图。我们并不清楚这些屏幕截图的目的,也不知道为什么会保存在设备内。” 在他们的最终视频中,研究人员调查了哪些应用在其存储内保存了敏感数据。但问题是,TextPlus、Nimbuzz和TextMe均以纯文本的形式保存登录凭证。除此之外,这三款应用加上 MeetMe、SayHi、ooVoo、Kik、Hike、MyChat、WeChat、HeyWire、GroupMe、LINE、Whisper、Vine、Voxer和Words With Friends均以纯文本形式保存所有聊天记录。 “尽管两个人之间通过这些应用传送数据通常被认为是安全的,但我们发现此类的私人通讯还是有可能被他人所窥探,原因在于这些数据并没有经过加密,且原始用户对此毫不知情。” Baggili说道。 研究人员试着联系这些存在问题应用的开发人员,但由于所提供联系方式太过简单和程序化因此根本无法直接联系到开发人员。在一次邮件访谈中,Abe Baggili表示还不知道这些应用的供应商是否已修复他和他的团队所发现的任何bug。 令人惊讶#隐私漏洞归咎于#在数十款流行#安卓应用#缺乏加密 我们曾试图向Instagram确认此事,但公司始终未对这一问题给出正面的回应。 目前尚不清楚这些应用的开发人员是否计划修复在这里所讨论的一些bug。 CNET 网站曾就这一问题与Instagram、Kik和Grindr取得联系。Instagram表示正在对其安卓版应用进行全面的加密修复,从而解决目前所存在的安全问题。Kik则表示正在致力于对用户间共享的照片进行加密,但不会对聊天记录加密,原因是聊天记录独立保存,并且无法在应用之间通过手机访问获取。他们同样还声明此类数据保存方式符合行业标准。而Grindr则仅仅表示会不断关注此类安全报告,如果适合的话会做出一些改变。

不同的设备,相同的安全威胁:可穿戴设备安全问题值得关注

“可穿戴”一词最早只是用来形容易于穿戴在身上的衣着类物品。而现在,”可穿戴”一词则指的是用户可穿戴在身上的移动设备,而后者正是上周在全球范围热议的话题。 这一话题之所以引起了多方讨论,原因在于每年9月份的苹果新品发布会上通常只发布一款iPhone手机产品。而今年的新品发布会则与往年有所不同,发布会上的关注焦点变成了自Google Glass(Google眼镜)发布以来可能最令全球期待的可穿戴设备:Apple Watch(苹果智能手表)。 我的同事Alex Savitsky在对苹果全新支付平台安全性的分析中,将对这类设备抱有期待的人群分为了三类, 而在这里我想三类改为四类:第一类人,依然顽固地拒绝购买任何苹果产品,就好像自己受到了已故史蒂夫•乔布斯的不公正待遇一样;第二类人,使用自己心爱的采用retina显示屏的Macbook Pro(苹果笔记本电脑)在推特和博客上对苹果产品的缺点大肆冷嘲热讽;第三类人,有意购买苹果产品,如果看到类似”苹果产品与其它品牌产品并无二异”的文章时,会整天盯着此类文章下面的评论不放; 最后一类人,只要市面上出现拥有各种有趣用途的新产品,都会兴奋不已。 在这里我还想借用另一名同事Peter Beardmore的说法,虽然用在了不同的背景下:”高端”用户会买下所有最新流行的产品,无论是是Apple Watch、Google Glass或者只是一种新的洗碗机,而从不会考虑其安全性。购买后他会询问你的看法,并认真听取你的意见,即使你的观点是这个产品根本一无是处,他也丝毫不会后悔。 Google Glass基于安卓系统,因此毫无例外地”继承”了其它安卓设备中所发现的已知各种漏洞。 问题出现了:创新设备不仅同样要面对传统的威胁,而有时甚至更易于受到这些威胁的攻击。甚至更糟,创新设备迟早还将面临创新的威胁。从Apple Watch这样奥威尔式的名字看,也必将难逃厄运。网络犯罪分子将通过Apple Watch和其它所有可穿戴设备来窥视你在互联网上的一举一动,收集你的所有在线信息然后提供给第三方。 卡巴斯基实验室全球研究与分析团队的安全和恶意软件分析师Roberto Martinez在其刊登于Securelist上最新一篇文章中分析了Google Glass的优缺点,切中了问题的要点。 “无论是目前的设备还是新发布设备,都有着许多共同之处:使用相同的协议并用类似的应用来与其它设备进行互联。没有任何解决的办法。传统的攻击途径主要是以中间人(MiTM)、对操作系统的漏洞窥探或应用本身对网络层发起攻击。由于同样采用安卓系统,因此Google Glass也会毫无例外地”继承”了其它安卓设备中所发现的已知各种漏洞。” Martinez还介绍了一种难以置信的简单攻击方法,最初由移动安全公司Lookout发现。由于Google Glass是通过扫描由一款特定移动应用生成的二维码来实现互联网连接。只要Google Glass扫描这些二维码,就能自动联网。如此,Lookout所要做的只是创建自己的二维码,让Google Glass扫描,随后该设备就能与任一可能由恶意方控制的无线网络配对。这是一个利用现有威胁(恶意二维码)对新设备进行有效攻击的典型例子。 类似于#AppleWatch和#GoogleGlass这样的可穿戴设备将像传统电脑一样面临同样的#安全威胁 “但可穿戴设备的潜在风险来源却与电脑或移动设备不太一样,Google Glass界面是通过”卡片”进行导航,滚动不同的应用和设置,因而限制了配置选项。有时候,用户只需发出极其简单指令,Google

什么是恶意广告?

“恶意广告”作为一种通常被用于传播恶意软件的恶意在线广告。然而随着时代的变迁,这一定义似乎有些过时。尽管很容易能将那些重定向至恶意软件的在线广告称为”恶意广告”,但要区分欺诈性在线广告与合法在线广告却有些难度。 例如,有许多合法的在线广告却很容易被误认为是恶意或欺诈性的广告。另一方面,也会有一些正当的在线广告因表面技术原因而被标记为恶意或欺诈性的广告。当然,互联网中广泛存在大量完全含有恶意程序的在线广告也是不争的事实。 让我们从最容易辨别的恶意广告开始: 最明显也是最容易定义的恶意广告类型是–一旦点击后,将用户重新定向至会感染恶意软件或安装其他垃圾软件的网站,除非用户此时正在运行有能力阻止感染的反病毒产品。如果所用操作系统和浏览器版本太旧的话,则尤其容易遭到此类攻击和其他形式的恶意软件感染。 “这些网站本身并没有感染病毒,但却是恶意广告的受害者。这意味着一家广告提供商既向这些网站的一小部分提供服务,又为旨在将恶意软件感染访客的恶意广告服务。” 垃圾软件或恶意软件内通常包含了大量的恶意功能。如果是恶意软件的话,可能含有用于窃取登录凭证或其他敏感信息的键盘记录器,以及让用户感染垃圾邮件僵尸网络,也可能含有网银木马病毒、流氓反病毒应用、类似于CryptoLocker的勒索软件或其它类型的恶意软件(我曾在这里或其它地方提到过)。最近的一个事件与广告网络AppNexus有关,该公司被控将恶意广告发布在TMZ、Java.com和其他的网站上。”这些网站本身并没有受到病毒感染,但却是恶意广告的受害者。”安全公司Fox-IT向Threatpost说道。”这意味着一家广告提供商既向这些网站的一小部分提供服务,又为旨在将恶意软件感染访客的恶意广告服务。”此类恶意广告易于辨认,并通常被认为是非法广告。 现在让我们进入所谓的”灰色地带”: 正如许多人所指出的,恶意广告并不一定含有普遍认为的恶意软件。它们可能会在未获得适当权限时安装追踪cookie,也可能在未经用户允许的情况下安装合法的软件。此外,它们还会暗中收集用户信息,或以其他一些方式进行超出所宣称范围的操作。 此类含恶意或欺诈性在线广告理所当然为用户所厌恶。在许多情况下,广告网络可能会禁止此类广告或要求其做出改变以符合适当的指导准则。一些广告网络的指导准则暗藏猫腻,允许发布几乎所有类型的广告。当然,也有一些广告网络可能在对内容和客户的政策制定上相比其他一些公司做得更好一些。许多情况下,一些违规广告网络会被安全专家所发现,并最终由媒体曝光。有时候,压力会逼迫着做出改变;但也有时候,压力不会起到任何作用。你完全可以选择性退出一些特定的广告网络,但操作起来较为复杂,并存在一定的滞后性,而且也没有人知道是否有人会注意这些违规广告网络清单。 最后就是一些似乎明显存在欺诈性的合法广告: 这种类型最难以辨认,但几乎所有人都对此类恶意广告再熟悉不过了。这些广告会推销一些虚假的药丸和技巧,或刊登兼职工作:只需呆在家里工作,每月即能赚取数万美元的报酬。一些广告宣传”你永远也不会相信[某些人]所获得的成功!”其它一些广告则引用你过去在网上所暴露的信息,或你居住地附近的新规则在某种程度上影响你。 我曾在2012年年初写过一篇谈论此类问题的不错的文章,尽管现在看起来有些过时,事件大概是这样:一家安全公司将CounterClank归类为安卓恶意软件,同时另一家公司则将其归为过于宣传性的广告网络。整个事件直到最后,谁对谁错已不重要,因为在如此众多的在线广告中,是否归类为”恶意广告”其实只是每个人的角度不同。 如何进行自我保护? 千万不要点击看上去就让人起疑的广告,就算这些广告的图片是如何的吸引人,发出看以与自己有关的警告或提供快速致富捷径和神奇药丸。我的个人建议是:只点击你的确想要买的东西的广告。如果有人向你提供一些产品广告,冷静下来好好思考一下,因为所有广告的目的无非就是想让你花钱买他们的东西。 #恶意广告指的是那些旨在使用户感染#恶意软件或其它垃圾软件的恶意在线广告

卡巴斯基新闻播客:2014年8月

本月新闻综述:8月,全球顶级安全会议Black Hat和DEF CON大会在万众瞩目下隆重开幕;更加高级的持续性威胁在中国和世界其他地方出现;恶意软件正在利用webmail通信;索尼PS游戏机网络发生令人诡异的短暂中断事件。来自Threatpost和Brian Donohue和Chris Brook将在2014年8月版的卡巴斯基每日播客上与我们一道回顾本月所发生的精彩新闻事件。 补充阅读材料 随着Black Hat安全大会逐渐从仅针对企业层面的会议转变为与消费者息息相关的会议,因此您能在卡巴斯基每日新闻中读到更多与此有关的内容。如需了解相关背景,可阅读新闻事件回顾。Threatpost的编辑Dennis Fisher和Mike Mimoso以及我本人也记录了一些有关Black Hat安全大会前两日播客新闻的主要内容,将带您一同更深入了解本年度”安全夏令营”的详细情况。 在”斯诺登棱镜门事件”发生后,这几个月甚至一整年似乎正在形成一种趋势:那就是越来越多的互联网得到了加密。就在本月,这一趋势再次应验,雅虎承诺将在今年年底对所有邮件端对端进行加密的同时,Google也宣布将给予那些使用安全SSL连接的网站优先搜索权。本月放出了大量补丁,但其中最引人关注的要数微软修补fiasco的补丁。微软本次所发布的标准”周二补丁”对大量用户机器造成了破坏,不得不最终在本周早些时候又发布了一份最新通知。正如我在播客中提到但并未详细说明,Google发布了针对Chrome浏览器的两项更新,你可以在这里和这里读到。此外,苹果在本月也同样发布了一些补丁。 您可以在Threatpost更深入地了解本月有关APT(高级持续威胁)的调查结果,其中包括Turla间谍软件以及非法入侵Community Health Systems的中国黑客小组。除了有关Community Health Systems黑客入侵的文章以外,我们还在卡巴斯基每日新闻上对其破坏性以及这一事件对我们的影响进行了分析。 在恶意软件最前沿,你可以读到所有关于新恶意软件如何利用雅虎邮箱作为通信中心以及一种全新的主要基于网页的流氓反病恶意软件的新闻。您可查看Chris Brook有关Verizon坚信可使用二维码作为身份认证机制的报道,此外还为您带来了有关上周因DDoS攻击造成PS游戏机网络短暂中断事件背后的真相。 播客:@TheBrianDonohue和@BrokenFuses对2014年8月的安全与隐私新闻进行了回顾

Community Health Systems数据外泄事件启示

最近针对Community Health Systems的一起数据外泄事件充分暴露了联网医疗设备所面临的实实在在的现实风险,事件据称是中国黑客所为,造成约450万病人的敏感医疗信息被窃。 还记得Heartbleed漏洞吗? Heartbleed的漏洞存在于OpenSSL,出现于今年早些时候。这一漏洞曾一度对超过60%的互联网造成影响,并在理论上能让网络攻击者在客户端到服务器连接过程中窃取一定数量的信息。这可能是第一起发生在现实生活中并造成广泛影响的互联网事件:网络犯罪分子或国家行为者几乎利用了整个网络资源来谋取私利。尤其需要指出的,网络攻击者还开发出了一种漏洞利用程序,能让他们使用Heartbleed漏洞来窃取Community Health Systems网站的登录凭证。 哪些人因此而受到影响?这一切又是如何发生的? 这一事件中的450万名受害者都在过去5年里接受了Community Health Systems医生的医疗服务,不幸中的万幸,他们的医疗和支付信息并未因此而泄露;但最让人担心的是,他们的社会安全号(SSN)全部遭到泄露。除了社会安全号以外,一起被盗的还有病人的姓名、地址和出生日期,甚至还有受害人的雇主或担保人以及电话号码。 由于本次事件中的攻击者很可能是一些高级持续性威胁行为者,因此人们还抱有一丝侥幸。他们的目标很有可能并不是消费者的社会安全号。事实上,来自Crowdstrike和其他安全公司的专家们都表示这些攻击者可能只是在寻找与医疗系统相关的知识产权,使中国能够将其运用在对本国老龄化人口的照料上。 在本次 “APT 18″黑客小组(也叫做”Dynamite Panda”)的攻击行动中,最终以失败而告终。因为要处理数量如此庞大的敏感信息并不是一件容易的事情。 更大的问题 近年来医疗保健数据外泄情况时有发生,但有关方面依然没有尽快改进的打算。原因如下: 每当谈到医疗设备的安全问题时,人们总会异想天开,甚至有一些可怕的想法:比如,使用笔记本电脑入侵胰岛素泵和心脏起搏器,以达到伤害和谋杀病人的目的。但幸运的是,就近期我从Black Hat大会了解到的情况来说,所有患病需嵌入式和/或联网医疗设备治疗的病人被人用笔记本电脑杀害的可能性微乎其微。事实上,Rapid7医疗设备安全专家Jay Radcliffe表示所有联网医疗设备对于病人的疗效巨大,且几乎不会造成什么损伤。 似乎眼下这个问题对病人的影响更加全方位,且数量上呈现上升趋势。这些问题更多地与医生和医院,甚至医疗设备的存放、共享以及访问权限有关。Radcliffe在与我们的一次讨论会中指出,如果说联网医疗设备会对病人安全造成影响的话,那最大的可能是由于黑客入侵或意外事件导致医疗记录遭到篡改或更改,从而使病人得到错误的治疗。 近年来医疗保健数据外泄时有发生,但有关方面依然没有尽快改进的打算。 在本周早些时候,心脏病专家兼作家Sandeep Jauhar博士在NPR(美国国家公共广播)的《Fresh Air》节目中接受了Terry Gross的访谈,他表示美国医疗保健体系之所以落后于其他国家,大部分原因在于美国缺乏信息共享机制。因此,要改进美国医疗保健系统并同时遵守《平价医疗法》的话,还有很多工作需要做:将更多的医疗设备进行联网;医疗保健服务提供商之间进行更多沟通;更多远程访问数据;以及较有可能实现的,更多地共享敏感医疗信息。从他的话中透出了这样的意思:采用更加先进医疗保健体系的国家已经开始进行此类的数据共享,只是数据泄露问题依然存在。 这并不是说美国医疗保健体系毫无希望。《健康保险流通与责任法案》(HIPAA)的颁布旨在部分保护消费者医疗保健信息的安全与隐私。但问题是医院和医疗设备制造商都需遵守各自的相关规定,以符合《健康保险流通与责任法案》要求。尽管如此,数据外泄情况依然不可避免,因为没有一个安全计划是完美的。每个人-无论如何努力-都最终无法避免个人数据被窃的结果。 如果受到影响会有什么后果,怎样才知道自己是否受到了影响? Community

Black Hat大会:网络攻击飞机、火车和汽车成为可能

拉斯维加斯–每年的8月初,来自全世界各地的安全和黑客社区成员云集内华达州拉斯维加斯,参加一年一度的”安全夏令营”,期间将举办Black Hat大会和DEF CON黑客大会和B-Sides这样的会议。Black Hat大会作为一项历史悠久的商业安全会议,在所有会议中具有绝对的影响力。然而,最近该项会议议题越来越贴近消费者,所谈论话题更多的是关于将智能家庭、关键基础设施、移动设备以及其它联网设备作为目标的攻击。 会议完全报道:没有关于黑客入侵火车的演讲。 卡巴斯基实验室研究员Roel Schouwenberg刊登于Securelist的一篇报告中探讨了对后PC时代Black Hat大会的一些想法。与此同时,来自Threatpost的Mike Mimoso也在他的文章中提到了类似的模式:”固件将成为黑客们攻击的新领域,通过U盘将病毒植入家庭路由器和汽车,能够利用漏洞、盗取数据并侵犯隐私。” 一方面作为一名与会者,我很高兴能听到这些新消息,因为这意味着一些 “暗藏杀机”软件平台(主要由企业使用)的bug报告数量更少或者没有增加,而更多谈论的是与我们日常生活息息相关的系统漏洞话题。另一方面,Black Hat大会讨论焦点的转移显示出一种令人担忧的趋势:安全漏洞离我们的实际生活越来越近。 主题演讲 今年大会由安全领域受人尊敬的杰出人物Dan Geer发表主题演讲。与去年美国国家安全局局长亚历山大(Keith Alexander)发表主题时的景象完全不同,今年没有全副武装的警卫、捣乱分子或成群拿着鸡蛋随时准备向台上招呼的反对者。在近60分钟的演讲中,所有与会者饶都有兴趣地听着In-Q-Tel(美国中央情报局的私人风险投资公司)首席信息安全官Geer所谈论的十大安全戒律。 整个演讲中不乏亮点,其中谈到了美国应以10倍价格收购所有待售出售bug,从而垄断整个漏洞销售市场。随后再将漏洞信息存入公共资源库,让任何一家公司都能修复每一个bug并”销毁所有网络武器”。在安全、自由和便利中,我们一次只能选两样。世界上只有两种东西不存在产品责任,一种是宗教,还有一种就是软件。互联网服务提供商可能会基于内容,随心所欲地进行收费,但需要承担内容的责任;或必须选择支持网络中立性,同时享受公共承运人的保护。 “明智地做出选择,”Geer说道。”互联网服务提供商应选择其中的一项,而不是全部。” 黑客入侵人类和医院 让我们重新回到”安全影响我们实际生活”的话题,我们曾非正式地讨论过有关医疗设备安全的话题,其中的一些漏洞的的确确会影响到我们的身体。对我们大部分人而言,更为普遍且更致命的是放在医院的一台台医疗设备,而不是安装在病人身体内的装置。 不久的将来,很可能会出现以一台或数台医疗设备为目标的网络攻击。但好消息是医疗设备本身的安全程度极高。一台全自动的嵌入式胰岛素泵在调节和修正胰岛素水平方面的效果,远远优于血糖仪和一个月胰岛素注射量的效果。 这些漏洞广泛存在于两台医疗设备之间的通讯方式中,以及许多医疗设备以外的案例中,且无论设备是在病人还是医生控制下。我们需要明确的是,犯罪分子用笔记本电脑向一个嵌入式心脏起搏器发送致命冲击的可能性微乎其微。这一风险听上去虽然恐怖,但事实上存在无数更轻松的方法可以致他人于死地。你要相信,这里真正的风险事实上比早间谈话节目更加无聊。 “固件将成为黑客攻击的新领域,通过U盘将病毒植入家庭路由器和汽车,能够利用漏洞、盗取数据并侵犯隐私。” 由谁来负责为医疗设备制作补丁?谁负责安装这些补丁?这些费用又由谁来买单?无论是设备制造商、医院还是用户本身都很难给出明确的答案。我们所说的医疗设备并非只是心脏起搏器和胰岛素泵这些小型的医疗器械;而是诸如核磁共振机、超声心动图机和X光机这样的大型设备,以及医生用于管理一些重要敏感医疗数据的平板电脑甚至是台式电脑(通常安装Windows XP系统)。 这次非正式讨论所得出的最终结果是:篡改医疗记录–医疗事故和其他内容–可能会造成用药或治疗的失误,这可能是我们在联网医疗设备领域即将面临最多且危险性最高的风险。 最后我们应看到好的一面,因为在遭受真正攻击前就预见即将产生的问题本身就是一个积极的信号,因为这在高科技领域并不常见。 雅虎加密所有邮件 雅虎此前因某些原因无法对其网页邮件进行加密遭受到猛烈抨击,因此在不久前雅虎宣布将在未来的几个月甚至几年里对雅虎邮件做出一系列的安全变革措施。其中最主要的方案就是对所有网页邮件进行端对端的加密。这一举措将使雅虎的安全程度提升至与Google同等的水平。 访问the

雅虎为所有连接数据中心的邮件加密

拉斯维加斯–雅虎长期以来未能对其众多网页服务进行默认加密,因此在安全和隐私领域被众多竞争对手远远甩在身后,最终成为数字倡导组织的笑柄。然而大约在去年的时候,雅虎公司在很短的时间内即扭转局面,开始认真对待加密问题,并迅速地将其安全与隐私保护能力提升至与Google和微软同等的水平。 雅虎表示将于明年为其所有使用雅虎邮箱的用户启用端对端加密,这意味着用户的邮件从自身机器发出后,通过雅虎服务器再一路传送至收件人的邮箱,其间的整个过程邮件的内容始终处于加密状态。同时,雅虎公司还与Google共同开发项目,使加密透明且易于使用。 “斯诺登事件后,我们并没有对此加以重视,使得我们无法专注于所面临的现实问题。我们作为一个产业已然失败了。因为我们无法保证用户的安全。 本周在内华达州拉斯维加斯举办的Black Hat安全大会上,作为雅虎新任的首席信息安全官Alex Stamos表示,有关安全和隐私的项目将成为他任期内的首要工作。 据报道,雅虎在6月通过使用Google针对Chrome发布的浏览器插件,对离开浏览器的所有数据启用端对端加密。雅虎和Google的合作关系相当重要,Stamos解释道,因为这能确保雅虎邮箱用户与Gmail用户之间的通讯得到高度加密。 “我们的目标是让雅虎邮箱与Gmail完全兼容。”Stamos在周六说道。 雅虎其它的安全改进措施还包括实施HSTS(HTTP强制安全传输),这能使得网站能够在用户浏览器上强制进行加密连接;而证书透明度则通过采用信赖认证中心的公开日志及他们所背书的证书,以达到阻止网站欺诈和其它中间人攻击的目的。 这一系列的安全举措将大幅提升雅虎在电子前哨基金会每年”Who’s Got Your Back?”和”加密报告”上的评分。当然,更重要的是用户将能够安全和私密地进行通讯,不用再因为自己的网络知识有限而害怕遭到窃听。 “斯诺登事件后,我们并没有对此加以重视,使得我们无法专注于所面临的现实问题。我们作为一个产业已然失败了。因为我们无法保证用户的安全。” 先前的落后者@雅虎正在通过#一系列加密举措对#安全和#隐私领域进行大力改进

Black Hat安全大会:汽车”黑客入侵”趋于移动化

拉斯维加斯 – 上次我们遇见Charlie Miller和Chris Valasek是在卡巴斯基实验室安全分析师峰会上,当时讨论了如何保护汽车免受一系列的攻击(他们正在开发中)。昨天,这个”二人组”在内达华州拉斯维加斯举办的Black Hat安全大会上又一次出现。会上,他们又带来了更广泛的最新研究成果,即针对不同车型的各类共计。 从一开始,来自推特的Miller和IOActive公司的Valasek就致力于打造一款类似于入侵检测系统的反病毒软件,可阻止各种他们自己开发的各种独特攻击,包括:禁用刹车系统、开启全自动倒车系统以及在行驶中让汽车猛地冲向一边等。 更令人感兴趣的是,他们对自己开发的攻击方式还不断进行改进。就在一年前他们首次公布这些研究成果时,所有的攻击方式都基于本地操作。换句话说,Miller和Valasek必须在后排座椅位置用笔记本电脑接入之前”已做过手脚”的丰田普锐斯后才能控制该车的一些功能,使得参与测试的记者则根本无法驾驶失控的汽车。 而现在,Miller和Valasek新开发出的攻击方式则是通过远程操作进行的。他们不再需要将笔记本电脑接入汽车系统,也无需事先在修车厂对汽车做好手脚。此类新型攻击利用了类似蓝牙的无线通信协议中漏洞,通过访问经过车载计算机系统的传输讯息并最终得以完全操控汽车。 “相比于TPMS漏洞利用程序,更多的黑客擅长编写网页漏洞利用程序。许多黑客都会编写恶意应用或使浏览器弹出广告。如果你的刹车或转向装置也在同一个网络的话,那情况就有些糟糕了。” 会上,他们演示的一部分内容是关于不同厂商和车型的安全性讨论,在研究人员发布对奥迪、本田、英菲尼迪、Jeep、道奇和其他品牌车长达95页的检测报告后,我们将为您带来更多的相关报道。 Miller是这样解释问题的关键的,入侵一部汽车虽然可能看起来有些新奇和与众不同,但事实上却与传统的网络入侵并无太多差异。不外乎先找到漏洞,然后再加以利用。但为汽车打补丁比浏览器打补丁要麻烦得多。 Valasek进一步解释道,为汽车打补丁之所以价格高昂,原因在于汽车厂商不仅需要自己花钱制作新补丁,还需要通知客户,让他们依次前往经销商处进行软件更新。 “当漏洞利用程序出现,要修复每一名车主的漏洞将十分困难。”Valasek说道。 #BlackHat安全大会:@0xCharlie和@nudehaberdasher目前#远程入侵汽车并开发类似反病毒软件的保护程序 针对最新车型的可能遭入侵功能可以列出一长串名单;有些比较有趣,有些则让人恐惧。可能将被利用的功能有:全自动倒车系统、主动车道控制、预碰撞系统以及自适应巡航控制,所有这些都需要在传感器和刹车,加速或转向装置之间存在一定级别的通信,通常是通过蓝牙或另一些无线电讯号发送的。网络犯罪分子更”偏爱”的功能还有:被动反盗窃系统、轮胎压力监控系统或远程无钥匙门控。然后,研究人员解释道,后面这些功能的受攻击范围有限,原因在于其中没有太多数据交换或只有近距离才能通信。 由于蓝牙功能、无线电数据系统和telematics系统允许使用蜂窝或Wi-Fi功能,显然扩大了汽车受攻击的范围。随着车内应用和其他网络连接功能的越来越普及,相关情况将变得更加糟糕。 “相比于TPMS漏洞利用程序,更多的黑客擅长编写网页漏洞利用程序。许多黑客都会编写恶意应用或使浏览器弹出广告。如果你的刹车或转向装置也在同一个网络的话,那情况就有些糟糕了。” 请在这里或访问Threatpost继续关注更多有关Black Hat安全大会的报道。