Brian Donohue

“We are what we pretend to be, so we must be careful about what we pretend to be.” ― Kurt Vonnegut

86 文章

一周要闻:Black Hat与DEF CON大会预览

全球黑客和安全领域两个最重量级的会议:Black Hat和DEF CON大会将于下周在内达华州的拉斯维加斯举行。在本周新闻综述,我们将展望这两个会议的同时,对本周发生的新闻进行一番回顾。 黑客大会抢先预览 Black Hat与DEF CON安全大会将于下周召开,我们将首先展望这两个会议来开始我们的本周新闻综述: 卡巴斯基实验室安全专家Vitaly Kamluk的演讲是我们最为期待的,他将在大会上再次提及Absolute Computrace漏洞问题,在之前2月份举办的安全分析师峰会期间我们曾有写到过。 此外,安全研究员Joshua Drake也将展示他所建造的工具,这一工具足以彻底颠覆目前全球对安卓系统安全性的研究。从本质上说,这一工具集中了所有他能找到的各种安卓设备,且各自适合的操作系统稍有不同。他们认为只有通过这样的方式,安全研究员们才能对目前众多的安卓操作系统有一个更加全面的了解。来自Bluebox Security的Jeff Forristal将作另一场有关安卓系统的有趣演讲,他的研究显示数百万台的安卓设备内存在一种关键漏洞,可使恶意应用伪装成受信任的应用,让攻击者能够将恶意代码植入合法应用,甚至直接控制受感染的设备。 而在今年的DEF CON大会上,主办方将举办一场以黑客入侵路由器为主题的比赛。选手们需要入侵SOHO Wi-Fi路由器,比赛规则公布在SOHOpelessly遭到入侵的网站上。参赛选手必须在DEF CON大会举办期间说明并展示他们如何利用零日漏洞来入侵路由器的。届时将向获胜选手颁发奖品,具体奖品类型尚不得知。 全球最大社交网络遭遇麻烦 接下来,我们将一一回顾本周已发生的新闻事件:本周有关Facebook的新闻可以说是喜忧参半。 首先是本周一,来自欧美的一个隐私倡导团体要求Facebook推迟实施全新针对性广告政策。此前,Facebook的广告几乎全部基于用户所钟意的页面。就在上个月,这家社交网络公司发布了一条令人不解的声明,表示他们将赋予用户更多对所见广告的控制权,同时还将开始收集用户更广泛的网络冲浪行为信息。 众多用户团体向美国联邦贸易委员会提出抗议,希望延迟或者完全阻止Facebook进一步采集用户在Facebook域名以外的上网信息。这些团体表示Facebook的这一计划直接反驳了与此前所做出的有关隐私和用户跟踪方面的声明。就在上个月,Facebook还表示”用户将能自主控制网页上所看到的广告”,此前的声明明显欺骗了用户。 破坏性巨大的攻击迫使组织重建整个系统。 据Threatpost报道,在周二,Facebook修复了其安卓应用内的漏洞,这一漏洞能够让攻击者在受害人设备上造成拒绝服务的情况,或通过在设备上传输大量数据导致受害人手机账单飙升。因此,如果你在安卓系统运行Facebook的话,确保安装了最新的更新补丁。 另外,Facebook颇为流行的照片共享服务Instagram的移动版本并未部署完全加密。因此,用户不得不面临暴露浏览行为及会话cookie被窃的风险,这可能最终导致安卓和iOS系统的账户同时被盗。Facebook和Instagram都意识到了这一问题,并表示将修复这一漏洞,但修复的具体时间尚未给出。访问Threatpost和Kaspersky Daily,阅读更多内容。 高级持续性威胁 本周还曝出了中国高级持续威胁(APT)黑客入侵的事件,入侵对象则是曾参与以色列臭名昭著的”铁穹”导弹防御系统开发的国防承包商。据报道,在2011年至2012年期间,他们先后从以色列的三家国防承包商手中盗窃了一种特定型号反弹道导弹的详细原理图、火箭相关信息以及成页成页的其他机械文件。 据报道,另一个中国APT小组也入侵了加拿大一家主要的技术研究组织,最终迫使他们脱机下线。Threatpost的Chris Brook在其文章中写到此次攻击破坏性巨大,最终迫使该组织重建其整个系统。加拿大方面并未表示攻击发生的时间以及被盗资料的信息。

Facebook仅对Instagram移动应用部分加密

Facebook并没有对一些进出其移动照片共享服务- Instagram的网络流量加密。尽管公司表示计划在不久将来对Instagram实现完全加密,但依然没有明确给出完成过渡的具体日期。 这意味着,当你在移动设备上使用Instagram应用时,处在同一网络的攻击者很有可能会监视你正在查看的照片和会话,并确定你的用户名及ID号。 目前,Facebook承认了部分通过HTTP(而非HTTPS)通讯的Instagram存在风险。 Mazin Ahmed是Defensive-Sec公司的一名信息安全专家,他在周六所发表的一篇个人博文中讲到,并非所有Instagram都部署了加密。他通过使用叫做WireShark的数据包嗅听工具,对安卓版Instagram应用进行了测试,最终得出了这一结论。 从本质上说,WireShark有能力在所访问的网络上观察数据包流量,无论你是将它接入你的家庭网络,还在某个地方的公共网络上观察数据移动都一样有效。但如果数据被加密的话,则数据包根本无法被读取。反之,则数据将以可读的纯文本形式呈现给WireShark用户。 在Ahmed的例子中,他注意到Instagram仅对其移动应用上的一部分流量进行了加密。 在对Kaspersky Daily的电子邮件采访中,Ahmed表示他在安卓版本的Instagram应用上测试了这一问题。然而,他认为iOS系统上的Instagram应用也将同样受到攻击,原因是安卓和iOS版本应用依靠的都是同一个服务器,并且似乎也没有全部实施SSL加密。 Ahmed在他的博文中写到,他曾就此问题向Facebook询问。而他本人声称,Facebook也确实承认了Instagram移动加密的不完全性,并作出如下陈述: “Facebook仔细讨论了这一问题,并计划将Instagram站点的所有内容移至HTTPS。但目前还无法给出做出这一改变的具体日期。目前,Facebook承认部分通过HTTP(而非HTTPS)通讯的Instagram存在风险。我们认为这是一个已知的问题并将在不久的将来研究出一个解决方案。 Kaspersky Daily曾就此说法向Facebook求证,但Facebook方面并没有立即回复我们的求证请求。 如果你担心自己的 Instagram流量遭到监视,最好的方法就是避免使用这一服务的移动应用,直至Facebook方面认真处理加密问题,Ahmed如是说。他建议用户只使用网页版的Instagram,原因是这个版本更全面地支持HTTPS。 由于Facebook无法对Instagram移动应用的数据进行完全加密,造成用户面临安全和隐私方面的风险。

一周要闻:密码重用也不全是坏事?

胡扯八道! 你可以不相信我说的,但这可是微软公司和加拿大卡尔顿大学联合研究小组的研究成果,该小组在一份研究报告中称,密码重用不是什么大问题,只是管理大量在线帐户的必要策略而已。乍一看,他们的研究结果似乎在标榜传统智慧。但实际上,研究人员真正想要提倡的是分层密码系统,即共享密码的系统,在此系统中保留最强的密码用于最敏感的帐户,而较弱的密码用于不太重要的帐户。 毫无疑问,为每个在线帐户设置唯一密码是目前最安全的做法。但是,每次登录不同账号都需输入不同密码实在太过繁琐,且难以持久。 研究人员称,密码管理工具也并不是完美无缺的。理由完全可以想得到:因为从本质上说,此类工具只提供唯一的访问点,但同时黑客也可利用这个入口窃取用户的所有密码。 如果我说自己每个在线帐户都用的是不同的密码,那我一定是在撒谎。但是,对于与财务或特殊敏感信息相关的任何帐户,我肯定会推荐用户使用唯一的强密码。至于密码管理工具,它们所提供的保护肯定要比我们大多数人做得好。 此举极大扼制了黑客及试图监视这些传输的不良意图者的行为。 Project Zero Google组建了一支超级安全团队,成员几乎清一色是全球顶级的互联网黑客,宗旨是找出第三方软件中的漏洞,以及互联网中影响客户并最终影响其业务的其他因素。该团队的任务就是发现bug,并向有关供应商进行报告,解决解决问题,并曝光发现结果。该团队被叫做Project Zero。 “我们没有对此项目设置任何条条框框,我们的目标是改进众多用户所依赖的软件的安全性,密切关注攻击者的技术、目标和动机。”Project Zero负责人、曾长期担任谷歌Chrome安全工程师的Chris Evens写道。”我们将采用各种标准方法,例如查找和报告大量漏洞。此外,我们还将在缓解、开发、程序分析方面进行新的研究,研究人员决定研究的其他任何内容都是有价值的投资。” 苹果应用Crypto 本周,苹果公司应用了已经取得巨大成功的Crypto,此软件用于静默加密进出苹果服务器的iCloud.com、mac.com和me.com域的几乎所有电子邮件。此举极大扼制了黑客及试图监视这些传输的不良意图者的行为。 正如Threatpost的编辑Dennis Fisher所述,这堪称一项壮举: “苹果利用TLS加密了自己的电子邮件域名,此举可称得上是一大变革,因为加密是在服务器级别进行的,无需用户在客户端执行任何操作就能提高安全性。众所周知,在桌面上加密电子邮件是一个痛苦的过程,而且只对单封邮件有效。而像苹果这样级别的供应商大规模实施加密,给那些”财力雄厚”的攻击者们当头一棒。利用单封邮件加密来防范某些形式的有针对性监视或攻击,是一种不错的方法,但对于像Yahoo、Google或苹果这样的大型电子邮件提供商来说,加密与其他提供商之间的通信有助于保护大批用户。” 修复补丁 谈到密码管理工具,免不了会提及LastPass,这是一种流行的基于浏览器的密码管理工具,最近此工具修复了若干漏洞。无所不知的黑客能够利用这些漏洞来生成自己的一次性密码,以用于访问受害者的帐户。 Google将改变恶意软件和网络钓鱼网站警告。原先的警告是红底白字,现在整个页面为红色,顶部显示醒目的X。恶意软件警告和网络钓鱼警告都会提醒用户,即将访问的该站点可能尝试在计算机上安装危险的程序,或者有泄露个人信息的风险。 思科公司提供了漏洞补丁,用于修复其无线住宅网关产品中的漏洞;Google发布Chrome安卓版更新,解决了URL欺诈问题。 一周综述#Kaspersky Daily的@TheBrianDonohue #安全头条新闻:

数百万智能手机面临默认Wi-Fi热点的欺诈

移动服务商AT&T面向其客户的iOS和安卓系统设备发布了一份被信任的无线网络默认清单。如此,用户将能自动连接各种由AT&T管理的Wi-Fi热点。Comcast的XFININTY服务的主要功能即是为客户传播无线网络热点。问题是,一旦你连接了其中一个热点,当下一次有其他热点以相同的网络名称和SSID(服务集标识符)传播时,你的设备将毫不设防地进行自动连接。 当然了,如果这些热点是安全的话,自动连接功能确实能省去很多繁琐的步骤。但这里存在一个问题,就是你根本无法确定所连接的热点是否安全。这些热点可能安全程度相当高,也可能存在一点漏洞,但你根本无从判断。更重要的是,即使AT&T和XFINITY的热点是安全的,但对于这些热点是否真的由这两家服务商中的一家控制,依然不得不打上一个大大的问号。越来越多开启Wi-Fi的生态系统正成为网络攻击者眼中”香饽饽”,他们通过建立流氓或恶意的Wi-Fi热点,以中间人攻击的方式来监控用户的网络通讯,同时还盗取用户的登录凭证,并通过恶意软件感染用户设备以及实施一些其他的恶意攻击行为。 正如我们一贯所倡导的,避免使用公共Wi-Fi不失为上上之策,而运行一款可靠的安全产品以防中招也同样必不可少。 据来自Ars Technica的Sean Gallagher所撰写的一篇报道称,使用AT&T网络的手机默认设定自动连接所有名为”attwifi”的无线网络。另外,最近的一些报道也同样指出:Comcast的XFININTY网络服务在搜寻网络时对所有名为”XFINIFTY WiFi”的无线网络也”情有独钟”。XFININTY网络服务主要依靠用户的调制解调器和路由器传播。尽管通过路由器和调制解调器所发出的无线网络通常用于家庭和个人应用,但依然有部分作为了公共热点使用,面向所有拥有Comcast XFINITY用户名和密码的设备。 Gallagher做了一个实验,他将自己的笔记本电脑作为无线热点发出名为”attwifi”的无线网络信号。随后在他的移动设备上取消了所有首选网络设置并打开无线。几乎同时他的移动设备就立即连接到了他刚刚所创建的流氓无线网络上。就在他将笔记本内的无线热点断开后仅仅几秒钟的时间,移动设备竟然自动连接到了名为”xfinintywifi”的XFININTY网络,而该无线网络则是由他邻居的调制解调器和路由器发出的信号。 就在网络服务商扩大Wi-Fi覆盖范围的同时,用户遭受流氓和恶意热点攻击的概率也大大提升。 Gallagher解释了其中的原因:就在本周早些时候,他在公共场所等人的时候偶然访问了另一个名为’XFINITY WiFi’的无线网络。用户在每一次连接时,都需要重新认证XFINITY的用户名和密码。但如果是同一个无线网络的话,则系统不会再提示认证。 这样的结果会造成两个问题。第一,采用默认设置或此前已连入过SSID为”attwifi “的无线网络的 AT&T用户,将自动连接所有使用同一名称的网络,而无论这一连接是否恶意或是否真正为AT&T所拥有。第二,恶意攻击者可以建立流氓’XFINITY WiFi’无线网络,就在用户试图连接的时候,通过提供虚假的登陆页面使攻击者能够盗取XFINITY登录凭证。一旦获得凭证,攻击者就可以轻松访问XFINITY网络账户,从而窃取部分付款及其它敏感信息。 为了防止自动连接现象的再度发生,iOS用户应通过权限设置,使得设备在加入任何无线网络前都需要请求权限。用户只需进入设置-“Wi-Fi”子设置页面,即可激活”请求加入其他网络”这一功能。Gallagher进一步解释道,安卓设备只是在最近才加入了禁用自动连接的功能,通过AT&T的更新可获得。因此,AT&T安卓用户应确保自己设备中已安装了最新的更新。 正如我们一贯所倡导的,避免使用公共Wi-Fi不失为上上之策,而运行一款可靠的安全产品以防中招也必不可少。

一周要闻:周二补丁日与世界杯诈骗

本周要闻:本周我们将带您一同回顾微软扣押NoIP域名事件的始末前后;谈论本周最重要的安全更新;看一看以世界杯为主题的诈骗;当然还少不了对存在于安卓系统的大量漏洞的探究。 “微软”大战”NoIP” 上周五,在有关微软与No-IP事件的新闻报道中,微软针对一家叫做No-IP的小型主机托管公司申请临时限制令,使微软成功扣押并控制向该公司注册的二十几个域名。微软宣称No-IP允许网络犯罪分子在他们所控制的网站托管恶意域名和僵尸网络基础设施,以此谋取利益。尽管本次扣押域名行动不乏支持者,但No-IP和大量安全行业人士依然表达了不满,表示微软的行为太过激烈。如果你想了解本次事件的前后始末及相关背景,为您推荐刊登于Securelist网站的卡巴斯基实验室全球研究与分析团队主管Costin Raiu所撰写一篇相关文章,以及来自Threatpost网站的一篇报告,作者是Dennis Fisher。 可惜,来自华盛顿州雷德蒙德市的计算机巨头微软在经过一系列的诉讼和扣押域名行动之后,整个事件似乎来了个180°大转弯。微软向No-IP的实际掌控公司Vitalwerks归还了所有23个受控域名。并在向No-IP归还域名不久,微软即表示正在与No-IP共同努力,更好地判断哪些特定域名正在进行恶意攻击。 然而,就在本周末,微软发布联合声明宣布其已与Vitalwekrs达成解决方案,且后者表示”并非有意庇护用于支持恶意软件的子域名。”最终,两家公司互相协作,共同鉴别和禁用用于控制恶意软件的域名。 为了你电脑的安全着想,请立即安装来自于微软和Adobe的更新补丁。 周二补丁日与其他修复补丁 为了你电脑的安全着想,请立即安装来自于微软和Adobe的更新补丁。微软连发6个补丁公告,以解决总共29个安全漏洞。 对于微软的6个补丁公告,在这里我们只需注意其中一个:即针对Internet Explorer的累计更新。卡巴斯基首席安全研究员Kurt Baumgartner在他对该批补丁的分析文章中写到,需要及时关注的是用于修复23个Internet Explorer远程代码执行bug的更新。 在其他一些有关补丁的新闻中,雅虎在其邮件和消息服务以及照片共享服务- Flickr中修复了一些令人讨厌的bug。在雅虎发布修复补丁前,其服务功能内的3个可利用的远程漏洞使攻击者能够植入恶意脚本,这反过来会导致会话劫持、网络钓鱼以及更多的恶意攻击。 被迫结束通话-源于安卓系统的bug 来自Curesec的研究人员发布一篇专业博文,详细介绍了两个有趣的漏洞。这两个漏洞能被利用进行牟利活动,但目前已得到有效解决。这些bug能够让攻击者通过恶意或流氓应用破坏安卓系统的权限模式,进而控制电话的拨出与终止,或将非结构化补充业务数据(USSD)代码发送至存在漏洞的设备。 这些bug之所以有利可图,原因有几个。攻击者通过强制安卓设备拨打其所控制的高昂付费号码牟取暴利,而设备所有人却很难对这些拨出的电话理出头绪。至于USSD代码,研究者解释这些代码为大量实用工具服务,使攻击者能够轻松设置呼叫转移规则以及禁用SIM卡等等。 世界杯诈骗 我实在很难以理解,有那么多人为会为了一个咬人的成年人上书请愿,撤销他的禁赛处罚,这甚至成为了全球体育道德领域的一大奇观。而这为什么能成为有效的网络钓鱼诱饵,谁知道呢? 如果你不太确定我在说什么,让我来告诉你:作为目前世界上最具天赋的射手之一,乌拉圭国家足球队前锋苏亚雷斯被禁止参加本届世界杯余下的比赛,原因是他在一场比赛中咬了意大利国家队后卫基耶利尼。说来也奇怪,这并不是苏亚雷斯第一次在比赛中用牙齿来攻击对方球员,甚至还不是第二次。 网络骗子总是乐于以能够引起媒体关注的事件为题材进行诈骗,网络钓鱼者创建声称能为苏亚雷斯撤销禁赛请愿的虚假网站。一旦访问这些伪装成FIFA官方网站的虚假网站,访问者即被要求签署请愿书,同时必须填写姓名、国籍、邮箱地址以及手机号码等个人信息。 这只是众多以世界杯为题材诈骗的沧海一角。

我们能从金额高达十亿美元的巴西Boleto诈骗中学到什么?

如果你是我们博客的忠实读者,并拥有超强的记忆力(或者你只是个巴西人),应该会对”Boleto”这个词有所印象。我们最早开始注意到有关于Boleto(巴西一种流行的支付方式)的诈骗行为是在今年2月份举办的卡巴斯基实验室年度安全分析员峰会上。在RSA出版的研究报告提到了Boleto后,又频繁地出现在各种新闻报道中。并据报道,2012年有关Boleto的诈骗活动造成了巴西这个南美洲人口最多的国家高达37.5亿美元的损失。 Boleto是一种由银行和企业发行的特殊发票凭证,不仅可用于支付账单,还能广泛地用于一些商品和服务的付款。少量黑客技术加上大量的社交工程手段,巴西网络犯罪分子制作出了可进行打印和使用的有效但却是伪造的Boleto,并通过仿制受害人的Boleto,将其银行账户内的资金全部转出。 37.5亿美元损失的数字颇有争议。据我们在Threatpost.com网站的朋友称,巴西银行联合会FEBRABAN估计Boleto有关的诈骗所造成的损失仅为7亿美元。但在私下的谈话中,他透露了这一数字可能达到11亿美元。无论是是7亿还是11亿,有一点毋庸置疑,Boleto对巴西造成了巨额的损失,而卡巴斯基安全专家Fabio Assolini和Santiago Pontiroli在今年早些时候的SAS中注意到了这点。 巴西的骄傲不仅仅是战绩辉煌的国家足球队,其发达的经济和银行系统也同样被津津乐道。 卡巴斯基全球研究与分析团队另一名成员Dimitry Bestuzhev向卡巴斯基日报说道,巴西不仅成为了南美洲的经济强国,其地下网络犯罪分子队伍也日益壮大。 “巴西的骄傲不仅仅是战绩辉煌的国家足球队,其发达的经济和银行系统也同样被津津乐道。在巴西世界杯举办期间的一次访谈中,Bestuzhev如是说。”不幸的是,巴西还是网络犯罪的温床。”Bestuzhev继续解释说,有大量网络犯罪分子在巴西部署了所谓的”银行内线”。”银行内线”只是银行木马病毒或恶意软件的代名词,使用恶意代码设计旨在从巴西或巴西附近地区的受害人身上盗取财务数据。 “使巴西造成如此损失的是一种流行的替代性支付系统,叫做’Boleto’,”他解释道。”Boleto在巴西非常流行,因为使用Boleto付款通常可以获得额外的折扣。 Bestuzhev注意到这些欺诈行为并不是最近才出现的–引用Assolini和Pontirolli的SAS简报–并同时对RSA的数字提出质疑,表示他们的损失估计有些”过于夸大”。 犯罪分子所使用的方法其实并不复杂,Bestuzhev解释道。就是当用户在打印自己的Boleto凭证时,隐藏在受害人电脑内的木马病毒篡改了Boleto的条形码,因此打印出的Boleto相当有一张废纸,毫无用处。而犯罪分子则使用偷来的Boleto条形码乘机将受害人账户内的资金一扫而空。 “普通用户必须使用一款强大的反恶意软件保护系统,以保护自己的计算机免受感染,”Bestuzhev说道。”然而,诸如卡巴斯基Safe Money这样更有效的技术甚至能够在计算机受感染的情况下,保护Boleto不被盗取。” 换句话说,即时刻保持警觉;严格遵循你在这里和其他地方读到的安全建议。如需保护自己免遭Boleto诈骗的危害,运行一款强大的反病毒产品必不可少。将于9月在西雅图举行的病毒公报会议上,Assolini将提供有关Boleto诈骗的全新信息。相关的博客内容将在Securelist网站(我们重新进行了漂亮的设计)上发布。 推特翻译:我们的Safe Money技术能够有效防御篡改Boleto的木马病毒和恶意BHO扩展。

一周要闻:NoIP事件以及Miniduke重现江湖

在本周报道的新闻中,微软对NoIP采取了法律行动。据其申诉, NoIP是一家主机托管公司,通过允许网络犯罪分子使用其服务进行恶意攻击而获利。此外,Miniduke高级持续威胁攻击在本周又重现江湖。 NoIP NoIP是一家动态域名服务(DNS)供应商,所提供服务与其他DNS供应商相差无几,即通过向用户出售网站域名而盈利。但区别在于,简单地说,就是允许管理员更容易地更新域名和IP地址。但这一功能却成为了网络犯罪分子牟利工具,他们借此来躲避反病毒引擎检测,因为这会对恶意软件寄生网站的IP地址进行阻止,并且还能充当控制僵尸网络的服务器。不幸的是,本次事件还对使用动态DNS和NoIP的大量非恶意公司造成影响。 微软指责No-IP的基础设施被网络犯罪分子频繁地利用,通过使用Bladabindi(NJrat)和Jenxcus(NJw0rm)系列恶意软件感染无辜受害者。 微软”指责No-IP的基础设施被网络犯罪分子频繁地利用,通过使用Bladabindi(NJrat)和Jenxcus(NJw0rm)系列恶意病毒感染无辜受害者。”NoIP则反诉微软支持了恶意软件的运行。 作为打击恶意软件运行的手段之一,微软从有关当局获得临时禁令,被授权扣押在恶意运行中使用的域名和”沉洞”域名,从而使流向微软控制域名的流量改道。我们之前曾在这里讨论过”沉洞”,它是一种用于打击僵尸网络运行和其他恶意软件公司的广泛认可的方法,且使用方法多样。 据Threatpost网站报道,研究者今后将经常性地与主机托管供应商合作,将来自恶意域名的流量转至由研究者或执法机构控制的域名,这将有助于中断这些恶意域名的正常运行。问题是,NoPI宣称在整个事件过程中微软从未它有过接触。 这一决定在安全社区内引起了不小的骚动。其中一个争论的理由相当有代表性:是谁(不是执法机构,而是有关当局)赋予了微软这样一家私人公司权力,仅仅凭借自己的一套客观价值,就能对另一家个人公司或集团执行强制措施。其实,像微软这样IT巨头完全是为了自己的一己私利而在互联网上任意妄为。不走运的是,本次事件激起了千层浪,抱怨之声不绝于耳,起因是微软在执行扣押No-IP域名过程中,不小心将一些合法的网站一并关闭。 你可以从这里阅读卡巴斯基实验室全球研究和分析团队主管Costin Raiu对本次事件的分析。 Miniduke重现江湖 Miniduke高级持续威胁(APT)活动重现江湖。卡巴斯基实验室的研究人员于去年2月份首先发现了这一恶意软件间谍活动。当时,主要被部署用于对欧洲的一些政府机构进行间谍活动。Miniduke在首次被发现时,即察觉到其与众不同之处。原因很多,比如使用推特对恶意软件进行部分的通讯,以及发送用于升级恶意软件的可执行文件到受感染设备,并隐藏于.gif文件中。 第二波攻击-查看星期四的安全清单文章-显示这一攻击行动经过一整年的中断后,无论从影响范围还是复杂程度而言都有所提高。此外,该攻击行动将目标对准了政府、军队以及能源组织,还从网上毒贩(尤其是出售荷尔蒙制剂和类固醇)那儿窃取资料。此外,一旦此次攻击行动部署的恶意软件成功从目标处窃取信息,随即将这些信息分成各个小部分后进行散播,使研究者想弄清这一攻击行动的难度加大。 作为Miniduke的升级版,Cosmicduke拥有了全新的工具,能够更加有效地窃取更多的信息。你可以阅读来自于Threatpost网站的完整新闻报道。 在#本周的安全新闻中,@微软继续对#NoIP的域名进行扣押以及#Miniduke #APT重现江湖:

辨别网上折扣陷阱

打折销售各类商品和服务的网站在互联网上已泛滥成灾。事实上,由于在网上可以很容易地比较价格且大量的网站致力于打折促销活动,因此在网购时几乎很少会以实价支付,而这同时也造成了辨别欺诈网站的难度越来越高。 随着越来越多出售打折商品的网站不断涌现,使得原本就竞争激励的电商群体更加拥挤不堪,而辨别欺诈电商的难度越来越高。 当然,其中的一些诈骗伎俩非常可笑,极易识破。就在几个月前,一个操着浓厚外国口音的人打电话给我谈论有关租房的事情,他的表现有些过于热情,并自称名叫Erik Holmgren,来自伊利诺斯州。他要求我通过西联汇款支付1400美元,付款后他会将租房钥匙邮寄给我,这样我就可以自己去看房了。如果看了以后不喜欢的话,还可以将钥匙寄还给他,他也会将1400美元退还给我。这很明显就是一起诈骗。 我还遇到过一件类似的事情,在父亲节那天,我通过一家提供高尔夫打折预定的网站预定了在当地一座高尔夫球场打球,同行的还有我的父亲和兄弟。这个网站的页面看起来有点老式,似乎是临时拼凑起来的(尤其是在还没有收到确认邮件的时候),但我对付款口和预定页面内的相关评论及合法证书确信无疑。最后事实证明,这个网站是合法的,而我的预定也成功了。 问题在于,一些欺诈行为很容易辨别,而有些则截然相反。正如一名安全新闻记者兼消费者权益倡导者Brian Krebs在最近一篇文章中所提到的:”如果网站上的价格低得实在让人难以置信的话,那很有可能就是假的。” 幸运的是,Krebs的文章中还提到了一些恶意支付网关,一旦在这些网关付款就意味着直接将钱送给了网络犯罪分子。如果在网购时发现网页转向了以下这些网站,则应立即终止付款:mallpayment.com、ccpayment.com、icpayment.com、skygrouppay.com、wedopay.net、realypay.com、hesecurepay.com、paymentsol.com、shortcutpay.com、wetrustpay.com、payitrust.com和sslpaygate.com。他还注意到一些相当重要的细节,比如骗子通常会将Verisign和其他支付卡公司的图标嵌入到支付页面,从而使受害者深信无疑。因此我们需要清楚,就算网页内出现一家信任的公司的图标也不能作为信任这家电商的理由。除此之外,Krebs甚至还从PCI安全标志委员会处了解到,该委员会从未授权任何支付网站使用他们的图标。 那份欺诈网站清单事实上只是冰山的一角,因此在网购还是需要时刻保持警觉。如果网购时在一家网站发现所有销售的商品比其他网站折扣高得多,这时候你可能需要好好做一番调查了。首先查看客户评价,然后再Google一下,如果确实是欺诈网站的话,你可能会搜出很多对这一网站抱怨的内容。 还有正如Krebs所注意到的,你可以很容易地对这些域名进行’WHOIS’搜寻。在whois.domaintools.com输入Mallpayment.com后,很快发现这一网站的注册IP地址是在上海,这足以让你相信这是一家欺诈网站。 如果你真的想一劳永逸,安全网购的话,最好的办法就是永远只去几个固定的购物网站网购。你可能会错过一些更高的折扣,但你永远都不用担心信用卡号被盗。如果你不巧进入了欺诈网站,则应向有关部门报告,避免更多的人受害。 一些欺诈行为很容易辨别;而有些则截然相反

一周要闻:手机恶意软件诞生10周年

本周要闻:10年前,首个已知的将移动设备作为目标的蠕虫病毒出现。另外,我们还将报道最新的安卓安全与隐私新闻以及几则泄露敏感用户信息的数据外泄新闻。当然,我们还将一如既往地为您提供有用的补丁信息。下面请见详细内容: 首个手机蠕虫病毒 10年前的这个星期,史上首个手机恶意软件出现在了诺基亚的塞班操作平台(现在几乎绝迹了)。已被大多数人所熟知的’Cabir’和如今的恶意软件样本完全不同,并非是在网上被精密的检测系统网络所发现。毫不夸张地说,当年’Cabir’可是被”一手交给”当时还略显年轻的卡巴斯基实验室的。 首个手机蠕虫病毒 在当年,恶意软件尚处在”纯真年代”,且相对来说Cabir是一种相当简单的蠕虫病毒。Cabir通过蓝牙传播,而在当时那个年代,蓝牙尚属于新鲜事物,而现在则再普遍不过了。Cabir最奇怪的地方是它除了向附近的手机散播外几乎没有任何危害,只是用户在每次打开手机后,其蓝牙功能会自动开启并在手机屏幕上显示”Caribe”字样。不知道你是否还记得,卡巴斯基实验室曾在一台诺基亚N-Gage手机上测出过这一蠕虫病毒。幸运的是,如果你对它还有所好奇的话,我们将所有感染过Cabir的手机型号做成一个幻灯片,供您观看。 安卓新闻 就在昨天,美国政府官员宣布Google和微软将在其各自的安卓和Windows手机操作系统中植入’终止开关’(kill switch)功能。你可能会感到奇怪,为什么是政府官员而不是Google或微软的官员发布这一声明。其个中原因不言而明,因为近几年手机盗窃案件呈现惊人的上升趋势。不幸的是,这些犯罪案件通常伴随着暴力行为,并导致受害人受伤甚至失去生命。 相关研究结果显示在苹果推出”启动锁”( Activation Lock)功能的这段时间里,iPhone手机盗窃案件呈稳定的下降趋势。 由政府官员和执法人员组成的一个国际团体认为,与智能手机有关的犯罪暴利已然成为了一个普遍性的问题,因此他们发起了一项”拯救我们的智能手机”(S.O.S.)的倡议。S.O.S.倡议旨在说服微软和Google在其各自手机操作系统中安装防盗功能,使得手机一旦被盗后即无法再使用。当然,苹果已在其最新手机操作系统版本中加入了”启动锁”功能,使得盗窃者在没有正确的iCloud用户名和密码的情况下,根本无法解锁手机。 相关研究结果表明在苹果推出”启动锁”功能的这段时间里,iPhone手机盗窃案件数量稳定下降。而在同一时间内,将缺少’终止开关’功能的设备作为目标的盗窃案件则继续呈显著的上升趋势。昨天所发布的声明将意味着在接下来的几个月内,美国97%智能手机的最新操作系统版本将拥有’终止开关’功能。 数据外泄…又一次 本周”仅”发生了两起数据外泄事件:其中一起事件影响了约60万名的多米诺匹萨顾客–大部分在法国,还有一部分在比利时;另一起事件则与AT&T有关,影响了数量未知的移动运营商客户。本次AT&T事件使得该公司移动用户的生日和社会保险号遭到外泄。在多米诺匹萨的资料外泄事件中,客户的姓名、地址、电话号码、email地址、密码、交货说明甚至是最喜欢的匹萨馅料也惨遭泄露。有趣的是,在本次多米诺匹萨事件中,一支黑客小组宣称对此次攻击负责,并索要3万欧元的赎金以换取在本次攻击中所收集到的信息。多米诺匹萨公司官员表示在本次攻击中没有任何财务信息遭到外泄。他们已修复了导致外泄的bug并无意支付任何赎金。 补丁 最后但依然非常重要,目前十分流行的路由器品牌Belkin为其N150无线路由器内存在的一个严重漏洞打了补丁。这一bug能够使攻击者在受感染的路由器上访问任何系统文件,因此可能导致大量恶意行为。如果你正在使用该品牌的路由器,我们建议你尽快安装固件更新,但安装过程其实并不简单。首先,你必须访问Belkin N150网站并下载这一固件的最新版本。随后你必须登录你的路由器并上载全新固件。这里,我们有一篇关于如何安装路由器固件的通用说明文章。 其他新闻 美国联邦贸易委员会呼吁黑客们参加DEF CON黑客会议,共同开发能够成功引诱并识别进行非法robocalling(垃圾电话呼叫)欺诈的犯罪分子的技术。在Threatpost阅读更多内容。

一周要闻:首个安卓加密勒索软件

探究本周的新闻主题,包括#安卓#勒索软件、一个严重的@TweetDeck bug等。 本周的新闻内容丰富,安卓系统上出现了史上首个加密勒索软件,短暂存在于TweetDeck的严重漏洞,对苹果即将发布的iOS 8的一睹为快,以及可能会泄露Gmail用户地址的缺陷等等。 安卓加密勒索软件 上周,一些有关一个对安卓设备内容进行加密的勒索软件的报道开始浮出水面。本周,卡巴斯基实验室专家Roman Unuchek对此类中的首个手机恶意软件Pletor进行了说明。 Pletor是在大约一个月前被发现的,并且在这一期间已经传播到了13个国家。该款恶意软件已经感染了超过2,000台机器—主要分布在俄罗斯和乌克兰—另外,在欧洲其他国家和亚洲国家也出现了类似的案例。报道称,受感染高峰时间是在5月22日,整个一天有500台机器被感染。这一木马病毒在地下存在非法交易,售价高达5000美元。 若您的智能手机感染了[Pletor],我们建议您不要向不法分子付款,”Unuchek说道。”我们见到的所有版本的木马病毒都含有钥匙,可用于解密受影响的文件。” Pletor可感染访问虚假色情网站的设备。木马病毒在这些网站上伪装成观看视频所需的媒体播放器。另外,Pletor正在向游戏和其它安卓应用以及俄罗斯手机论坛蔓延。 “若您的智能手机感染了[Pletor],我们建议你不要向不法分子付款,”Unuchek说道。”我们见到的所有版本的木马病毒都含有钥匙,可用于解密受影响的文件。” TweetDeck Fiasco 昨天,我们报道了一个存在于TweetDeck的严重安全漏洞。攻击者能够借用用户账户,发推、删除推文或破坏账户。推特非常及时地为这一问题提供了补丁。所以,用户无需担忧。但是,如果你使用该服务的话,如果能更改推特和TweetDeck的密码,则更有安全保障了。如果您遵照我们昨天的建议,撤消了对TweetDeck应用的访问,则重新使用TweetDeck并授权访问您的推特账号应该不会出现什么问题。 有趣的是,昨天出现的TweetDeck问题再次出现,起因是一名澳大利亚少年和本应不该出现在他的Twitter feed上的Unicode heart。访问Threatpost,查看全文。 MAC地址随机化 苹果为果粉们准备了惊喜,在苹果全球开发者大会上揭开了即将发布的iOS 8手机操作系统的真正面纱。此次所发布的iOS 8在原有IOS应用开发环境基础上进行大量的重建,你可以再这里阅读我们对IOS 8看法的完全分析。IOS 8最大的变化苹果决定在接入无线网络时,将媒体访问控制地质随机化。MAC地址是唯一的标识。众所周知,零售商和网络运营商通过追踪MAC地址,了解更多的用户行为。在iOS 8操作系统内,苹果设备在被无线网络扫描时,将生成随机的MAC地址。这一技术举措将悄悄地使零售商无法再追踪店内客户活动和其它行为。 Feedly你在哪儿? 就在昨天,分布式拒绝服务攻击(DDoS)昨天使新闻手机服务应用Feedly及笔记和归档平台Evernote(离线版)陷入瘫痪。Evernote迅速从DDoS攻击中恢复过来,目前用户已经能正常使用了。但不幸的是,截止星期四下午,Feedly依然无法正常运行。 Feedly在星期三下午曾短时间地恢复正常,但其后在受到另一波DDoS攻击后,又很快地陷入瘫痪。 继续注意垃圾邮件 Google在本周早些时候对其服务内的一个非常严重漏洞打了补丁,并封住了一个可能泄露未知数量Gmail用户账户的漏洞。一些报告估计,可能所有账户地址均难以幸免。您可以再Threatpost上了解到此次攻击的技术细节。在未来数天,甚至数周,您应该特别小心垃圾邮件,一旦有人利用了这一bug,Gmail邮箱地址将难以幸免。 其它新闻

苹果iOS 8安全性

上周,苹果依照惯例在全球开发者大会上发布了最新版手机操作系统。总部位于加州库比蒂诺的苹果公司此次推出的iOS 8号称是”全球最先进的手机操作系统”。这一说法显然颇有争议,但新平台确实有一些设计周密的安全隐私功能,此外还对应用开发环境进行了重大改革。 新系统中对安全隐私的改进最大,即随机生成介质访问控制(MAC)地址,但很可能这也是用户最容易忽视的。MAC地址是一种唯一标识,广泛用于跟踪Wi-Fi网络上的设备和用户行为。据称,用户连到公用Wi-Fi网络并与其进行交互时,零售商和其他各方可通过跟踪MAC地址来更多地了解用户的行为。 但问题是,很多用户对此跟踪完全不知情,这也意味着用户可能根本就不同意被跟踪,至少在传统意义上是这样。 在iOS 8中,无线网络扫描苹果的i系列设备时,这些设备将生成随机MAC地址。这样零售商就无法跟踪商店内客户的活动和其他行为。随机生成MAC地址对于许多根本没意识到被跟踪的苹果迷来说,是隐私保护方面的巨大进步。 随机生成MAC地址是对于许多根本没意识到被跟踪的#苹果迷来说,是#隐私保护方面的巨大进步。 另一个很不错的安全隐私改进是,支持用户将DuckDuckGo作为Safari浏览器中的默认搜索引擎。DuckDuckGo是一种替代搜索引擎,它不会根据搜索查询收集用户信息或其他任何相关信息。而且,DuckDuckGo会尽可能确保用户通过加密的HTTPS连接与网站进行交互。搜索DuckDuckGo从某种意义上来说系统性更强,因为查询不会根据感知到的用户关注内容进行定制,而这是其他引擎的通用做法。 当然,本发行版中还包罗了各种更华丽且实用的功能。照片将在所有连接设备上共享,用户能够轻松将语音添加为短信(我想这是电话应该具有的功能),此外,苹果还高调推出了更简洁的全新通知界面。显然,在各设备之间实现照片共享未来可能会出现各种隐私和安全问题,但就目前来看,还没有什么明显的安全问题。 然而,一些与家庭共享功能一并提供的新键盘功能,更深层次的iCloud集成,以及新平台明显的雄心壮志,要吸引更多的应用开发,这些都会对安全隐私产生重大影响。 苹果称,新的软件开发者工具包(SDK)是App Store发布以来最大的一个开发工具包,应用编程接口(API)超过4000个。如果我们对苹果的新闻稿解读无误的话,这些举措和新的应用编程语言很可能会使App Store更为开放,环境类似Google Play(但苹果的预审查政策仍生效)。一方面,这意味着会有更多应用发布到App Store;另一方面,这也意味着面临着更多威胁,当然这并不一定会对用户构成威胁,具体取决于苹果如何在已改变的环境中应对安全性。 新的开发者工具包中,我们将密切关注的一个工具包的”HeathKit”。此工具包支持开发人员构建运动健身应用,以更适合用于彼此交流,分享从健身计划到血压水平等各种用户信息。近年来,市面上运动健身类应用层出不穷,数量激增。但上个月,美国联邦贸易委员会发布的一份报告中警告说,运动健身类应用在获取和共享用户信息方面”胃口”过大,这引起了我们的关注。为不同应用提供彼此共享这些数据的能力(即便用户允许应用这样做,因为授予权限实际上被视为同意这样做)只会加剧这一问题。但平心而论,如果发布一些个人数据能促使用户加强锻炼,那么这可能是一种理智的取舍。 HomeKit是另一个相关API。它使开发人员有能力构建与现代化住宅不断增多的连接和”智能化”进行交互的应用。如果您定期阅读《卡巴斯基中文博客》,那么一定会知道住宅自动化系统安全性差强人意。苹果称,此工具包在安全性上已全部进行配对(这可能意味着通过某种方式使用了加密)和配置。但在打入开放市场之前,很难说安全性到底怎么样。 如果新的App Store像安卓一样对企业开放,那么我们可能会看到更多恶意应用纷涌而入。 总之,新版本看起来确实是对苹果现有开发环境的彻底革新,这着实让人兴奋不已。因为这意味着会有更新、更有创意的应用出现,包括第三方键盘、窗口小部件等等。但同时也让人略感担忧,因为与创新随之而来的是更多攻击接口和更棘手的攻击。如上所述,如果新的App Store像安卓一样对企业开放,那么我们可能会看到更多恶意应用纷涌而入。 如果要从本质上了解这种新的应用开发业务将以何种方式影响安全性,尤其是相对于安卓系统,请参阅Andrew Cunninghamrs在Ars Technica博客上发布的文章中的第二页,此文对此问题进行了详细阐述。 除了我们讨论过的内容外,使用新键盘时,”将根据过往的对话内容和书写风格,显示后续可能会输入的字词或短语供您选择。”此外,”iOS 8还考虑到了用户可能在短信中使用的书写网络较随意,而在邮件中则可能使用更正式的语言”,”还根据交流对象调整显示的预测内容,因为与伴侣对话时所选的字词肯定要比和老板对话中使用的更随意。”总之,这些功能意味着苹果将收集更多用户信息,这必然会影响到隐私性,不管这样做能带来多大程度的便利。iCloud提高了文件存储容量,用户可以在一个位置存储更多敏感信息,这也相应要求用户熟悉并启用该服务提供的安全功能。但同时,也意味着需要采取更多方法来备份和保护用户敏感数据。 通过新的”家庭共享”功能,用户有能力将自己的设备与设为其家庭成员的其他用户完全同步。此功能的优点是加强了家长控制,但风险也显而易见,它为新的潜在攻击开辟了一条新的途径 - 类似于最近报告中所报告的黑客利用iCloud访问锁定手机。我们将拭目以待黑客是否可能暗中将自己设为家庭成员,从而监视用户行为,窃取设备数据。

Chrome插件加密所有离开浏览器的数据

Google最新发布的一份报告显示,在全球的Gmail流量中,超过30%在发件人向收件人发送邮件过程中的某一时刻处于无加密状态。为修复这一漏洞,Google开发出了一项工具,它能够为安装端对端插件的任何用户对所有离开Chrome浏览器的数据进行加密,这一工具不久将公布于众。 你可能会对此存有疑惑,因为Gmail始终通过一个安全的加密HTTPS连接传输数据,这即表示100%的出站流量被进行了加密。但事实的真相却并非如此,HTTPS仅仅是对从计算机发出通过浏览器进入Google服务的数据进行了加密。 可能你还有印象,就在几个月之前,Google并没有对服务器和数据中心之间的链接进行加密。这一漏洞据说被美国国家安全局所利用以进行监控,现在终于被修复了。这一漏洞激起用户的愤怒,而Google所做的回应则是对这些链接进行加密。 .@Google的最新工具将能对所有离开# Chrome浏览器的数据进行加密。#加密 现在,如果你使用Gmail发送邮件,则邮件从电脑中发出通过浏览器传送至Google服务器的整个过程中,始终处于加密状态。一旦你的数据远离Google的控制范围,则是否加密则完全取决于拥有你数据的供应商。如果你的邮件是从一个Gmail邮箱发送至另一个Gmail邮箱,则邮件将始终处于加密状态,而这些数据也将在传送过程中显示加密。但不幸的是,有些公司并不是像Google一样如此重视隐私与安全问题。 简而言之,公司表示从Gmail发出的邮件的69%被加密,而传入Gmail的邮件被加密的仅为48%。在美洲国家这一比例尤其高,1万封邮件中仅有不到1封能够被AOL解码,这是非常了不起的数据。另一方面,AT&T则能够对半数的此类邮件进行解密。而Comcast则完全没有对来自Google的邮件进行加密。另一边,Facebook和亚马逊几乎对所有他们发送至Gmail的邮件进行了加密,而邮件营销服务商Constant Contact则截然相反,对所有传送至Gmail的邮件,几乎不采取任何加密措施。 开发这一全新端对端工具的目的旨在为日常用户提供简单易操作的加密工具。使用这一工具后,用户可确保其数据在邮件传送过程中始终处于加密状态。当然与此相类似的工具大量存在于目前市场中。然而,其中的大部分都过于复杂且难以使用。 “尽管像PGP和GnuPG这样的端对端加密工具早已推出市场,但却需具备大量的技术专知与实践操作方能灵活使用,”Google安全与隐私部产品经理Stephan Somogyi这样写道。”为了让这些工具使用起来更简便,我们即将发布针对全新Chrome插件的代码(使用OpenPGP),作为一项公开的标准能够支持目前众多的加密工具。” 简单地说,加密数据工具能够显示已加密数据在Google的Gmail服务器的流入、流出量,此外还包括了一些信息,比如哪些供应商在Gmail邮件通过它们的服务器时对数据进行加密。 “使用安全传输层协议进行加密,能够防止不法分子在邮件传送过程中对你讯息的窥视。” “使用安全传输层协议进行加密,能够防止不法分子在邮件传输过程中对你讯息的窥视。”Google解释道。”TLS协议无论是对进站还是出站邮件流量,都能够进行加密并安全送达。同时还有助于防止邮件在两个邮件服务器之间传送时被窃取—始终保持邮件在两家邮件供应商之间传送时的私密性。” 然而,他们又做了进一步的解释,只有在发件人和收件人所使用邮件供应商同时支持TLS的情况下,你的通讯信息才会被加密,但问题是并不是每一家供应商都能支持TLS。 “TLS目前成为了安全邮件的标准。尽管这并不是一个十全十美的解决方案,但如果每个人都使用TLS的话,那窥探别人邮件的难度和成本将大大加大。” 在理想的世界中,每一家邮件服务供应商在从邮件发出到邮件接收的整个过程中对用户讯息进行加密—或者用一句我们的行话来说,那就是”端对端”。

TweetDeck发现严重漏洞,应立即撤销访问

推特暂停了其TweetDeck应用的服务,起因是出现了一个严重的跨站脚本漏洞,并被攻击者大规模地加以利用。 据Mike Mimoso在Threatpost博客称,跨站脚本漏洞使得攻击者能够将代码注入网页或基于网页的服务,并由用户浏览器自动执行。网络黑客一旦成功执行跨站脚本攻击,即可远程注入代码,导致数据丢失或服务中断。 TweetDeck出现严重漏洞,用户应尽快撤销访问。 特别在TweetDeck的案例中,攻击者能够借用用户账户,发推、删除推文或破坏账户。漏洞利用代码可以在整个早上不停地发推,并成百上千次地自动转推。 “这一漏洞尤其能够在浏览器中将代码作为消息发推,只要你查看了这一消息,各种各样的跨站脚本攻击将自动运行,” Rapid7全球安全战略家Trey Ford告诉Threatpost博客。”我们目前看到的攻击是一种’蠕虫’病毒,能够通过创建恶意消息进行自我复制。它似乎主要影响用户Google Chrome浏览器的Tweetdeck插件。” 如果你使用TweetDeck,我们建议你尽快登录推特账户并撤销访问TweetDeck。 观看视频将告诉你如何进行正确的操作,只是你需要假装这一iOS 5应用是TweetDeck,因为在视频制作过程中使用了虚拟的账户,事实上并没有安装TweetDeck。

什么是双重认证?哪些情况下应该使用双重认证?

我们在播客中曾经录制过相关内容,在其中我们用了大量视频(我会在下面嵌入这些视频)详细讨论了双重认证。之前我们也在无数文章中间接提到过双重认证。但是抽时间专门写一篇文章来讨论双重认证的定义、工作原理和适用场景,这还是头一次。 什么是双重认证? 双重认证是许多在线服务提供商所提供的一种功能,它要求用户提供两种形式的认证,为用户的帐户登录过程额外上一道保险。第一种形式通常是密码。第二种形式可以是任意认证。可能最流行的第二重认证是短信或电子邮件验证码。双重认证背后的理论是:要进行登录,用户必须知道某项内容并掌握它。因此,为了访问公司的虚拟专用网,用户可能需要密码和U盘。 双重认证虽然不能保证帐户万无一失,但无论谁想入侵受双重认证保护的帐户,它都会是一个难以逾越的障碍。 双重认证虽然不能确保帐户万无一失,但无论谁想入侵受双重认证保护的帐户,它都会是一个难以逾越的障碍。我认为密码有众所周知的严重缺陷:简单的密码易记但也易破;而复杂的密码虽然难破,但也很难记住。为此,对创建密码不在行的用户会一再使用相同的密码。至少使用双重认证后,攻击者除了得破解密码外,还得有权访问第二重认证,而要取得第二重认证,就得窃取手机,或者入侵电子邮件帐户。 什么是双重认证,哪些情况下应该启用双重认证?#安全性#密码 人们总是频繁更换密码,但实际上没有什么用。根据目前的情况,良好的双重认证系统是用户所能获得的最佳保护。双重认证系统的另一个优点是用户能获知是否有人在盗用自己的密码。我之前可能说过无数次,如果手机或电子邮件帐户中收到双重验证码,但你并未尝试登录与其关联的帐户,则说明有人在盗用你的密码,正尝试入侵你的帐户。无论什么时候,一旦发现这种情况,请立即更改密码。 哪些帐户应该启用双重认证? 对于在什么时候,在哪些情况下应该启用双重认证,请遵循一个简单的规则:如果相关服务提供了双重认证,并且您认为帐户非常重要,则应该启用双重认证。那么Pinterest(世界上最大的一家图片社交分享网站)呢?我不知道,也许会启用吧。如果我有Pinterest帐户,我不太会愿意每次登录都麻烦地进行双重认证。但是,网银、主次电子邮件(尤其是如果具有专用帐户恢复电子邮件地址)、重要的社交网络(或许是Facebook和Twitter),当然还有AppleID或iCloud,或者任何用于控制安卓设备的帐户(如果有),所有这些都应该通过第二重认证进行保护。 点击此处观看视频。 显然,你还需要考虑是否要为任何工作相关帐户提供第二重认证。如果您是网站管理者,则会希望考虑锁定注册服务帐户,不管此帐户是WordPress、GoDaddy、NameCheap还是其他什么帐户。我们还建议为信用卡或借记卡关联的所有帐户启用双重认证:PayPal、eBay、eTrade等等。同样,启用双重认证的决定应该基于以下考虑:提供相应功能的任何帐户被盗会带来多大的破坏性。 有其他形式的双重认证吗? 目前为止,我们讨论的双重认证是向手机或电子邮件帐户发送验证码,或者通常将U盘与密码一起用于VPN访问。此外,还有钥匙串验证码生成器,例如RSA的SecureID,它一般用于企业环境。目前,这些是主流形式的双重认证。当然,还有其他形式的双重认证。 交易验证码(TAN)是略有些过时的第二重认证形式,在欧洲很流行,我本人实际从未使用过,但如果我的理解没错,此类验证的过程如下:银行会向您提供一张交易验证码表(印在纸上),每次进行网上交易时,都应输入其中一个验证码以进行验证。ATM机是另一种老式双重认证形式。必须同时拥有借记卡和知道PIN密码,方能取现。 最近的报告中有大量内容在讨论利用生物特征识别技术的双重认证。有些系统要求提供密码和指纹、虹膜扫描、心跳或其他一些生物手段。可穿戴设备的发展势头也逐渐增大。一些系统要求佩戴内嵌某种无线射频芯片的特殊手链或其他配饰。我还读到过可用于第二重认证的电磁纹身的相关研究报告。 Google和Facebook都推出了手机应用专用密码生成器,支持用户生成一次性密码,取代短信或电子邮件验证码。 点击此处观看视频。

一周要闻:OpenSSL再曝漏洞

本周值得关注的新闻有:僵尸网络被联合行动捣毁;已遭破坏的OpenSSL加密库再曝漏洞;Google海量数据存储加密方面的新闻让人颇受鼓舞,但仍问题重重;昨天是爱德华•斯诺登事件曝光一周年。 一周#安全和#隐私要闻,作者@TheBrianDonohue。 Gameover僵尸网络 美国和欧洲执法机构联手捣毁了Gameover僵尸网络。僵尸网络是一种被恶意软件感染的计算机所构成的网络,计算机被感染后即成为帮凶,加入传播大军,在用户毫不知情的情况被利用于违法目的。Gameover用于散布Zeus宙斯木马,一旦植入此病毒后,即可实施网络欺诈计划,其中涉及窃取被感染用户计算机的财务凭证,将用户账户中的资金转入黑客所控制的账户。此外,Gameover最近还被用于散布臭名昭著的Cryptolocker勒索软件。 捣毁僵尸网络要求执法机构(有时会与私人公司联手行动)夺取对分发恶意软件的服务器的控制权,此服务器被称为命令控制服务器(C&C)。接管僵尸网络的行为就其本质来说,有时也被称为”sinkholing”技术。许多散布很广的僵尸网络都是通过这种方式捣毁的。针对这种情况,犯罪分子逐渐迁移到更有弹性的对等僵尸网络基础架构。此举实质上意味着命令控制服务器会在僵尸网络本身未知数量的机器上共享。 简言之,捣毁对等僵尸网络需要执法机构监视并了解其通信基础架构。一旦掌握了僵尸网络的通信方式,即可以着手复制其结构并控制僵尸网络。夺取了僵尸网络的控制权后,即能使僵尸网络停止运行。 要了解Gameover被捣毁所造成影响的精彩解读,请阅读卡巴斯基实验室全球研究与分析团队成员David Emm的讲解。 OpenSSL 新发现的OpenSSL漏洞非常严重,但严重程度和波及的系统范围略逊于Heartbleed。 Heartleed漏洞带来的伤痛还记忆犹新,昨天新闻中又曝出OpenSSL存在另一个严重漏洞。OpenSSL是互联网上大量用户使用的加密实施服务,这次新发现的OpenSSL漏洞非常严重,但严重程度和波及的系统范围略逊于Heartbleed。加密是指一种数学算法,用于保护用户在网上和计算机上所执行的操作、交谈和存储内容的安全。如果您觉得这种解释过于简单,请阅读哈希算法说明,更好地了解其工作原理。不管怎样,新漏洞是可通过远程方式加以利用,这意味着黑客在舒适的家里(或者连到互联网的任何位置)就能够利用此漏洞向不知情的用户发起攻击。黑客成功利用此漏洞入侵后,可拦截被入侵客户端与服务器之间的流量并进行解密。 利用此漏洞执行的攻击并不都这么简单(事实上,黑客很可能并不是在自己舒适的家里发起攻击的,但我想说明的是”可通过远程方式攻击”这个术语)。攻击者需要相对其目标处于”中间人”位置。顾名思义,中间人攻击是指:攻击者自身或利用工具插入用户和重要资源(例如,银行网站或电子邮件账户)之间。最简单的做法是监视流出不安全Wi-Fi网络的流量,这类Wi-Fi网络有许多是我们所有人几乎每天都会用到的。另外还有数十种其他方法可用来执行中间人攻击,您可以通过上面的链接了解相关信息。 发现此漏洞代码段的研究人员表示,此漏洞似乎从1998年开始就一直存在,几乎从未更改过。 端到端 昨天,Google发布了Gmail流量中在传输中被加密(例如,离开Google系统后)的流量所占比例。部分数据相当不错。搜索巨头Google发现,从Gmail发出的电子邮件中,大约69%经过加密,而Gmail收到的邮件中经过加密的占48%。这一比例相对于前几年已经有了大幅上升。 Google会对其服务器上的所有数据进行加密,所以上述研究结果反映的是其他服务对Gmail通信离开Google控制范围后的加密情况。在这里我有意轻描谈写,因为我们计划专门写一系列文章,具体探讨全球哪些服务在改进加密传输中的数据,哪些服务对此无动于衷。请继续关注我们接下来几周的博客。 Google还宣布开发出了一种工具,将用于加密所有流出Chrome浏览器的数据,这应该能帮助解决上面谈到的部分问题。我们对此工具的工作方式充满好奇。同样,请继续关注我们的博客,未来我们将就此发布相关文章。 “重置网络”行动 我们曾在每月安全新闻播客中提到过,6月5日是重置网络行动日。此项行动设定为斯诺登首次曝光美国国安局大规模监控项目周年纪念日并不是巧合,此行动的目的就是为了通过向日常网络用户提供高强度的安全和隐私工具,抵制政府监控行为。在此用户可以找到一些使用方便、几乎适用于任何操作系统的工具。请尽情享用这些工具,使用心得可以通过下面的评论部分与我们分享。

一周要闻:苹果勒索软件

上周一是美国阵亡将士纪念日,所以上周美国实际工作只有4天。按照安全新闻界惯例,一般时间不长的一周往往都平谈无事。但尽管如此,我们还是有那么几则新闻:具体来说,出现了以苹果设备为目标的勒索软件以及新的混合恶意软件;涉及Spotify安卓版应用的一些小安全事件。 更多勒索软件现身 昨天我们刚报道过,一款新的勒索软件以使用OS X(Mac)和iOS(移动设备)操作系统的苹果用户为目标,正四处传播。虽然目前还没有任何真正的确认,但人们一边倒地认为黑客窃取了用户的iCloud帐户,然后以某种方法通过此帐户锁定用户的设备。 若您想了解完整新闻,请阅读Threatpost或卡巴斯基中文博客上的相关内容。简言之,这种针对苹果设备的威胁阻止澳大利亚国内及周边的用户访问自己的应用,要求用户支付50到100美元方可解锁。未来几天或几周这种勒索软件会传播到其他大陆应该是意料之中的事。 这种针对#苹果设备的威胁阻止澳大利亚国内及周边的用户访问自己的应用。 最近我们已经就此写过一篇文章,目前没有更进一步的新闻,下面我将转述并详细说明卡巴斯基实验室专家Christian Funk给出的一些建议: 1.创建Apple ID时,确保Apple ID用户名与电子邮件地址不同。这样,黑客更难猜到您的用户名,黑客需要用户名才能猜测相应密码,并最终窃取用户帐户。 2.确保设置用于恢复帐户的密码问题和回答。此外,还应设置双重认证(请参考下面的视频)。 3.注意网络钓鱼攻击。在通过链接访问的网站中,千万不要在相关字段中输入密码。输入密码前,务必直接浏览到相应网站。此外,确保使用的是高强度密码。请记住,如果用于恢复iCloud的电子邮件帐户被盗,说明iCloud帐户也被盗。 4.千万不要付费来获取设备解锁密钥。尽可能使用一切可用的服务。首先使用iForgot重置密码。如果这招没用,请联系Apple支持。如果情况变得更糟,可能必须擦除或恢复iPhone。通过上面的Apple支持链接可以了解具体如何操作。 混合恶意软件 犯罪软件是恶意软件的一个分类。此类软件开发后会在地下黑市中销售,主要是假冒正版软件业务。假设你是个犯罪分子,希望找到一款能窃取网银证书的恶意软件,则可以前往黑客论坛,在众多工具包中选择购买一种工具包的许可证。犯罪软件工具包的散播面超乎想像,部分原因是这类工具包对犯罪分子的技术背景要求很低,或者完全不需要具备技术背景,就能发起有针对性的恶意软件攻击。 其中最臭名昭著的两款犯罪软件工具包是Zeus和Carberp。前者的可定制性强,但主要用于窃取各种类型的登录证书;后者的用途与前者基本相同,但具有各种不同的功能。我曾就这两种工具包用作网银木马写过大量文章,可供你们进一步了解相关内容。 研究人员近期发现了一种将Zeus和Carberp长处相结合的混合木马。 研究人员近期发现了一种混合型木马病毒,它融合了Zeus和Carberp这两种臭名昭著的恶意软件的长处。如今。恶意软件编写者开发软件的速度快赶上犬类繁殖了。软件中会融合彼此的长处,开发出感染性极强的群族,所以这类软件并不罕见。之所以对这则新闻感兴趣是出于下面两个原因:一是这种木马融合了两种传播面最大的恶意软件;二是Carberb和Zeus一度是专门的贿赂犯罪软件工具包,而且是特别昂贵的那种。这两种恶意软件的源代码均已外泄,基本变成了公共域。所以这种新款恶意软件Zberp是两种开源恶意软件代码库的混合。 Spotify数据遭泄 最后一条新闻是关于一起不大的事件,但在安全新闻的低产周,我们可以谈谈尚不明确的新闻。流行音乐流媒体服务公司Spotify很快将要求其安卓版应用的用户更新到最新版本。原因是有人擅自访问了公司的系统。部分用户将要求更改其密码。 除此之外,该公司表示,只发现了一位客户的数据被访问过。他们称已联系过此人,并没有任何财务数据或密码相关信息被盗。 如果是在安卓设备上使用的Spotify应用,一定要前往Google Play Store下载此应用的最新版本。此外,出于谨慎考虑,还可能需要立即更改密码。 需提防的事件 实际上我有意忽略了本周最重要的新闻,因为我们目前掌握的信息还不太确切。据称,开源加密服务TrueCrypt昨天在网站上发布了令人不安的声明,它警告用户说此服务已不安全,将终止项目开发工作。 除此之外,该服务对于事态进展未置一词。这在网上引起了轩然大波,各种猜测和阴谋论说法纷至沓来。截止目前为止,TrueCrypt事件仍是个迷,让我们拭目以待事态发展。

勒索恶意软件瞄准苹果用户

新出现的勒索软件开始瞄准苹果用户,目前受害者主要是澳大利亚苹果用户。据称,被感染用户会在主屏幕上收到一条警告消息,要求用户支付50和100美元来解锁受影响设备。 据报道,最早发现这类感染的用户称,是自己的iOS和OSX设备发出”手机丢失”的提示音,这是通过”查找我的iPhone”功能发出的报警声。查看手机屏幕时,用户看到屏幕上显示一条消息:”手机被Oleg Pliss所黑。若要解锁,请通过Moneypack/Ukash/PaySafeCard向helplock@gmx.com帐户转帐100美元/欧元,已发送代码2618911226。 黑客是怎样设法锁定受影响设备的尚不清楚,但大家一致认为黑客是窃取了对用户iCloud帐户的访问权,进而劫持了手机本身。到底谁是Oleg Pliss,是不是真实存在这个人尚不可知。 勒索软件属于一类恶意软件,它能锁定被感染设备,要求用户支付费用后方可解锁。在某些情况下,恶意软件只是让计算机看上去不能用,或者是在用户与其应用之间设置了某类锁定程序。而另一些情况则与CryptoLocker类似,这类勒索软件会加密被感染设备上的重要文件,并要求付费获取专用密钥,才能对这些文件解锁。 根据勒索软件的要求付费通常被视为是不明智的举动,因为用户实际上根本不知道是否付费后获得的密钥能够用于解密。这也是我们通常建议定期创建数据备份的其中一个原因。如果最近在外部硬盘或某些云服务上备份过所有数据,则只需回滚计算机或者重新安装操作系统就能解决问题。 新出现的#勒索#恶意软件瞄准#苹果用户 据《悉尼先驱晨报》报道,昆士兰、新南威尔士、西澳大利亚、南澳大利亚、维多利亚地区的iPhone用户成为此次事件的受害者,另有几则报道称,新西兰用户也受到了类似攻击。到目前为止,美国和欧洲的用户似乎暂未受影响,但如果此问题扩散到其他大洲,我们也绝不会感到意外。 Threatpost.com网站的Chris Brook表示,最近针对Adobe、eBay及其他目标的攻击导致加密的用户密码遭到泄露。如果这些密码以某种方式得到解密,并且用户在多个服务上使用了同样的密码,则很容易在强力攻击中被用于访问iCloud等在线帐户。显然,受影响的用户是将相同密码用于了多个帐户。这些攻击之间是否相关尚不清楚,但之前,因密码泄露而导致的数据外泄(包括已知和未知的)都造成了其他地方的在线帐户泄露。 如果攻击依赖于iCloud帐户访问权,则iCloud服务的双重认证功能可提供相当可靠的防御。事实上,现在可能是时候为iCloud帐户启用双重认证了。你可以点击这里看一小段视频屏,其中清楚显示了该如何开始设置流程(我们的视频只包含实际启用双重认证之前的内容,但其余部分我想你们能搞定)。

安全度假小贴士

随着炎炎夏日的来临(至少对于居住北半球的人来说),许多人迫不及待地赶赴世界各地的度假胜地,享受起悠闲的时光。单就恶意软件感染、遭网络欺诈以及感染网络病毒而言,其对个人生活的影响程度不言而喻,但在旅行期间,这些问题所造成的影响将被更加放大。在这里,我将提供一份快速指南,帮助大家度过一个(电子方面)安全的假期。 想要安全地度过一个假期,唯一的方法只有”计划”。其中的大多数安全小贴士都是你即将出发旅行之前的几天所需要注意的。 单就恶意软件感染和欺诈事件而言,对个人生活造成的影响不言而喻,但在旅行中这些问题被更加放大。 预定 首先,在旅行之前,你需要预定酒店、海滨别墅、海边小屋或其它住宿。在信赖的网站上进行住宿预定,而不仅仅单纯地以价格衡量。浏览你即将预定地方的在线评论。从VRBO网站-或短期度假出租房东那租房是个不错的选择。这是我预定度假住宿的唯一方法,但你必须尤其小心,因为访问信赖的网站最为重要。 在VRBO.com网站上贴有大量非常棒的小贴士,告诉旅客在向房东直接租用房屋时,如何居住安全,避免遭到欺诈。事实上,无论是向房东还是中介租房时,这些都是相当不错的租赁指南。我将向你们介绍该网站所调查结果的缩减内容(并不包括我之前所做的推荐): 向先前的房客了解相关情况 有这个可能,即你打算租用的房屋属于业主协会的一部分。联系业主协会,打听向你提供房屋出租的房东是否真正拥有该房屋 你还可以询问谁为该房屋提供专业的打扫服务,联系他们或为该房屋提供服务的其他人 在你向房东打钱之前,确保收到一份租赁协议或合同,其中应详细列明例如居住日期、房费、押金等各种相关条款。 使用信用卡-许多信用卡拥有欺诈保护功能。如果你使用现金甚至支票或借记卡支付,一旦遇到骗子,则根本无法保护自己的相关权益。此外,转账服务也同样不建议使用。 除了这些以外,如果你使用在线支付,同往常一样确保你的机器和浏览器(以及你的所有软件)升级到最新的版本。如此,这将能够为你提供全方位的保护,当然除了零日攻击以外。确保即将用于转账的服务是安全的。(绿锁图标,加密的HTTPS连接)。总是运行可靠的带有内置Safe Money功能的反病毒程序。这里将为您提供关于如何进行安全在线交易的全面指导。 设备 在大多数情况下,你总要随身携带几台移动设备和笔记本电脑。我自己拥有一台Chromebook网络笔记本电脑,专门在旅行途中使用。里面并没有存储任何重要的信息,而只是一台单纯上网冲浪的机器。如果你携带的是存储有重要数据的机器-不论是手机、平板电脑还是笔记本电脑,确保在出发之前对这些数据进行备份,存有备份数据的设备应存放在家中。这样做以后,即使笔记本电脑不幸丢失,无法找回,放在家中的外接硬盘上还存储有你的所有数据。 对于移动设备而言,无论哪种设备,安装一个反盗窃保护软件或熟悉所使用软件的反盗窃特性总没有什么坏处。我们最近还发布了一篇关于如何避免小物品丢失的综合性文章。 度假 预先存储大量电话号码:紧急救助电话、拨回家的号码(如果你身处国外)、酒店电话以及航班预订信息…这事实上是需要存储的所有号码了。不管怎样,你无法确保在任何时候接入网络,因此你可能希望写一张书面清单或在笔记本电脑或移动设备上做一份电子清单。如果你带孩子出去旅行,你很可能想让他们熟悉这些号码;其实无论与谁结伴旅行,至少要知道紧急救助电话的号码。此外,如果你准备出国旅行,在出发之前一定要知道如何在国外拨打家里电话。 像往常一样,请勿使用公共Wi-Fi。甚至不要使用酒店房间的Wi-Fi,除非是加密且受密码保护的。如果你连入的是虚拟私人网络(VPN),则放心使用吧。 最后,不要将所有的鸡蛋放在一个篮子里。这里鸡蛋当然指的是钱。带上两到三张或者更多的信用卡或借记卡,就算你不幸丢失或取消其中的一张,你依然还有其他卡可以使用。如果你携带了大量的现金,最好连同护照(需要的时候取出)一起锁在酒店的保险箱内。此外,我还建议你们将随身携带的所有移动设备或笔记本电脑一起锁在酒店的保险箱内。 有关度假期间与安全有关的所有小贴士都在这里了,大家都是聪明的人,如果你有自己的”独门秘籍”,不妨在评论区内给我留言吧。

一周要闻:eBay遭黑客入侵,Internet Explorer再爆漏洞

本周的安全新闻并不太多。但是,最近爆出最大的零售与拍卖网站eBay被黑客入侵,危及其存储用户密码的服务器,这成为本周最大的新闻。重要性方面紧随其后的是非常流行的微软Internet Explorer浏览器发现另一个零日漏洞。但除了这些坏消息外,还有好消息,三星超越指纹识别,率先探索生物特征认证新方法。此外,如以往一样,我们还将顺便谈谈一些补丁(只是顺便)。 eBay遭黑客入侵 eBay昨天通过公司官网(eBay Inc.)宣布公司的数据库遭黑客入侵,大量用户数据可能被窃,包括客户姓名、加密密码、电子邮件地址、住址、联系地址、电话号码和出生日期。加密密码就存储在被入侵的服务器内,所以未来几天或几周,eBay将强制用户更改密码。更改eBay密码时,请确保直接导航至eBay网站,而不要通过电子邮件或社交媒体链接进行更改。 不建议用户通过电子邮件或社交媒体链接访问网站的原因在于,服务器上存储的敏感信息足够被黑客用来执行网络钓鱼攻击。黑客常常利用这类信息来设计网络钓鱼电子邮件,邮件中声称是来自eBay(或其他合法网络服务)。这些电子邮件通常会向用户提供链接,以转至貌似合法的恶意网站,这些网站的目的是欺骗用户提供登录凭证。 如果您将eBay帐户的密码用于其他帐户,则需按惯常做法,更改使用了该密码的所有网上帐户的密码。 但有意思的是,本周早些时候,零售商们受Target公司数据泄露事件的刺激,刚刚决定建立威胁数据共享伙伴关系,随后就发生了eBay数据泄露。换句话说,零售商们打算就所面临的攻击彼此交流,以便能共同抗衡黑客,更好地保护自身。本周晚些时候,发布了一项研究结果,其中称公司在防止数据泄露方面已取得相当成效。eBay数据泄露的范围取决于被盗的部分eBay员工的登陆证书,但最终结果是与此研究中的观点相符还是相矛盾,让我们拭目以待。 IE零日漏洞 关于IE零日漏洞,好消息是此漏洞只影响IE浏览器的旧版本IE 8。但坏消息是微软未就何时发布相应更新来解决此漏洞给出具体时间。微软承认次漏洞相当严重,正在努力开发相应补丁。 黑客通过Internet Explorer 8零日漏洞,能利用一种名叫”路过式下载”的攻击方式,对有漏洞的计算机运行恶意代码,或者通过在电子邮件中植入恶意附件来实现攻击。”路过式下载”本质上是一种入侵攻击行为:黑客在网站上嵌入恶意软件,当用户碰巧使用有漏洞的浏览器浏览该网站时,用户的计算机就会被该恶意软件感染。 除了升级到较新的Internet Explorer V10外,正常计算机的用户还能做些什么呢?用户能做的并不多,实际上要注意以下三点:当心浏览的网站;当心电子邮件附件;确保尽快安装微软下一次发布的安全补丁(如果是自动获取更新,那么对最后一点无需担心)。事实上,所有用户都应该遵循这些建议。 虹膜识别 每周的新闻并不会总是阴云笼罩。三星本周宣布计划未来在更多产品中集成生物识别传感器,例如虹膜扫描仪。三星称这些功能甚至会部署在较低端产品中。此举将提升三星设备的安全性,而且据报告称,到时候总是让人提心吊胆的三星安全系统Knox中最终也将部署生物识别技术。 看看相对于指纹认证,虹膜扫描在应对潜在攻击的灵活适应能力方面究竟是更强还是不如,这实在是一件很有趣的事。 突发新闻 在写本文时,有报道称安卓Outlook应用含有加密问题,会泄露用户的电子邮件及附件。在此可阅读更多内容,我们在每月一次的新闻播客中必定会讨论此问题。 补丁通知 照常,我们将列出用户应该留意的补丁。本周应注意的补丁来自Google,Google发布了23个Chrome浏览器安全漏洞补丁,其中包括三个高危漏洞。所以,如果使用的是Chrome浏览器,不要等着浏览器自动安装更新,而应该尽快下载这些更新。

eBay数据库外泄,更改密码势在必行

在线零售和拍卖网站巨头eBAY于今晨宣布网络攻击者盗取了其包含加密用户密码和其它敏感信息的一个数据库。公司计划于今天晚些时候通过邮件方式告知受影响用户并在其网站上发布通告。在接下来的时间里,eBAY用户将因此而被迫更改密码。 公司表示不认为存在导致数据库外泄的任何未授权客户账户活动。此外,eBay Inc.声称用户财务数据及PayPal信息并没有处于危险,原因在于这些数据都已加密且单独存储在未受影响的服务器内。 “网络攻击者只是盗取了一小部分员工登陆证书,使其能够非法访问eBay的企业网络,”公司在声明中说道。”通过与法律机关和行业领先的安全专家携手努力,公司正在对相关事件展开积极调查并应用最出色的取证工具进行取证,以保护客户账户安全。” 有消息称,存储在被盗数据库内的信息包含了eBAY客户姓名、加密密码、邮箱地址、物理地址、电话号码以及出生日期等数据。eBay表示在两周之前首次发现被盗员工证书,随后不久即声称已确定受影响的数据库,并正在与受影响客户取得联系。 由于数据外泄导致用户加密证书被盗,eBay用户将被迫更改密码。 eBay账户持有人应在今天晚些时候收到一份来自公司的email通知,eBay也将于同一时间在其官网发布相关公告。 用户将最终将被迫更改eBay账户密码,且如果他们在其他网站也使用了相同的密码,则需一并更改。来自网络安全公司Rapid7的全球安全战略家Trey Ford在其一封email中说道,这些密码将最终被破解,因此用户更改eBay账户密码及任何共享密码显得尤为重要。 这一事件恰恰解释了我们不应共享密码的原因所在。一旦此类事件发生,攻击者即创建多个自动工具,使用被盗用户名和密码登陆一些流行的在线网站,试图盗取这些网站的账户。 “用户应提防声称是eBay或任何其他公司为该事件而主动联系的人,”Ford继续说道。”我预测会出现大量的钓鱼网站,因此请勿点击email内的链接或电话回答任何相关的问题。 这一点尤为重要:确保通过浏览器直接登陆eBay网站更改密码。切记不可通过邮件内的链接来更改密码。随着这一事件新闻逐渐传播开来,攻击者很有可能开始炮制网络钓鱼邮件-声称该封邮件来自于eBay,甚至PayPal也有可能。此类邮件内通常向用户提供恶意网站的链接,但看起来与真正的官网相差无几。这些链接要求用户进行密码重置,但事实上他们常常在用户不知情的情况下轻而易举地获得用户登陆信息。

主题研究:多数智能家居产品门户洞开,隐患重重

如果你始终关注互联网和计算机安全方面的新闻,那么听到许多智能家居系统设计不周或配置不良,导致安装这些系统的家庭面临着大量严重的安全漏洞时,你应该不会觉得太意外。 这么说恐怕小瞧您,但智能家庭确实与您想像中的完全一样(你会想到智能手机、智能电视、智能汽车等等):家里的所有家电、冷暖系统、照明系统、烟雾探测器和/或门锁全部连到家庭网络,而家庭网络又最终连到互联网,计算机、手机和平板电脑以及其他相对传统的支持互联网的设备也全部都连到互联网。通过这样的系统,用户能够远程监视和操控家里的各个系统。 一直以来,研究人员都对智能安全系统和连接互联网的门锁和烟雾探测器(还有其他任何连到互联网的设备)的安全性有所置疑,这也是我始终关注的问题。最新的新闻是,AV-Test.org对7种不同的智能家居套件的安全情况进行了测试,结果发现其中4种都差强人意。 当然这7个套件只是沧海一粟,也许在统计学上来说微不足道,也不是具有代表性的取样量。但无论如何,在此次研究中发现的有漏洞的设备,可以被利用进行内部攻击(在某些情况下还可进行外部攻击),攻击目标是家庭网络及其所连设备,或者是住宅本身及其家里的东西。 国际知名安全评测组织AV-Test分析的七款智能家居套件分别是:iConnect(eSaver)、tapHome(EUROiSTYLE)、Elements(集怡嘉)、iComfort(REV Ritter)、Smart Home(RWE)、QIVICON(德国电信)和XAVAX MAX!(Hama)。AV-Test发现,其中只有集怡嘉、RWE和QIVICON套件能够良好地防御黑客入侵和未授权访问。iComfort和tapHome套件均在本地含有可利用的漏洞,这意味着攻击者需要在家里才可利用这些漏洞。最严重的是iComfort和XAVAX MAX!套件,这两款套件能被远程入侵(同时也能被本地入侵)。 每种产品都有一组不同的功能。但总体来说,这些功能属于电力、供暖和安保控制系统、门窗和房间监视系统、开关插座的控制系统以及照明、供暖和电力的开关系统。 广义上来说,攻击者能够操控连接的系统来达到破坏的目的(比如,关闭供暖,使管道在冬季破裂)。 因此,最可能的攻击是利用这些系统中的漏洞作为接入点,并最终获取家庭网络中存储的宝贵数据。 然而,大多数黑客犯罪分子的目标是金钱。因此,最可能的攻击是利用这些系统中的漏洞作为接入点,并最终获取家庭网络中存储的宝贵数据。还有可能发生的情况是,不安全的设备被入侵后,可被控制用于对可能的实际盗窃目标进行监视。高手甚至可借此打开门锁,从而更轻松地实施盗窃。AV-Test注意到,有能力在各种所连设备上传播的勒索软件很容易被攻击者所利用。用户不得不为此支付勒索费用,否则整个住宅都会停止工作。 AV-Test重点研究了设备之间的通信是否加密,默认情况下套件是否要求主动认证(网络或物理访问密码)以及易受远程攻击的难易程度。 Gigaset、RWE和QIVICON产品的通信都始终加密,因此被AV-Test视为是安全产品。iConnects的通信虽然也加密,但AV-Test表示,此套件的加密很容易被绕过。根据研究中的观察结果,其余的iComfort、tapHome和XAVAX MAX!这几个产品根本就没使用加密。 未部署任何加密机制意味着所有智能家庭通信都可以被轻易拦截。所以攻击者能够监视这些设备的所有来往通信,骗取代码来操控设备活动,甚至只监视这些设备就能推断出家里有没有人。 未部署任何加密方法意味着所有智能家庭通信都可以被轻易拦截。 iComfort产品完全不要求认证,这意味着远程攻击者能够基于网络启动对系统的攻击。iConnect和XAVAX MAX!系统要求网络接入认证,但对本地物理接入不要求认证。tapHome要求内部认证,但据研究显示,这种措施其实毫无作用,因为产品缺少加密机制。Gigaset Elements、RWE Smart Home和QIVICON都要求物理和网络接入认证(安全通信除外)。 但好消息是:AV-Test认为,如果这些产品制造商花些时间来开发可靠的安全理念,而不是将有缺陷的产品急不可耐地上市销售,那么打造一个安全的智能家居系统完全是可能的。另一个好消息是:AV-Test为您购买智能家居系统提供了挑选标准:请挑选总是要求认证,并且始终加密通信的系统。