Brian Donohue

“We are what we pretend to be, so we must be careful about what we pretend to be.” ― Kurt Vonnegut

86 文章

一周要闻:POS终端安全堪忧

新的研究表明,销售点终端机的安全性不佳,易受日益复杂威胁的攻击;本月第二个星期二是补丁日,所有常用软件供应商都将在这天提供安全补丁;美国热门的短网址服务商Bitly承认受到不明攻击,用户数据外泄。 POS机 销售端(简称POS机)只是收银机的另一种叫法。当然,我们在此没打算讨论旧式的那种”叮叮”作响的收银机。我们要谈的是能够存储并传输付款信息的联网电子销售终端。目前,几乎所有零售场所或餐厅都安装有POS系统,支持客户直接刷借记卡或信用卡。但遗憾的是,最新的报告发现,众多用户常用于付费的POS系统正受到大量日趋复杂的攻击。更糟糕的是,其中多数POS系统在安全防御方面差强人意。 实际上出人意料的还不止于此,想想吧,在一台有漏洞的POS机上处理过一笔交易后,交易中涉及的任何信用卡或借记卡的全部相关付款信息都可能会泄露。 Bitly本周受到攻击导致数据外泄,该公司敦促用户更改密码。POS机系统安全堪忧。在周二补丁日,微软发布了多个补丁。 最近,网络监测公司Arbor Networks发布的一份报告中,列出了至少五个专用于攻击POS系统不同恶意软件。此外,Verizon发布的《数据泄露调查报告》指出,2013年发生的不同POS机入侵事件达198起。另外还有大家知道的,近期Target、美国精品百货店内曼•马库斯(Neiman Marcus)、美国最大的工艺品连锁店Michael’s及其他零售商频频受到的攻击全部属于POS攻击,都导致了大量消费者数据外泄。 对此,你能做些什么呢?你可能会毁了所有信用卡和借记卡,在这次波及整个”互联网”的风波过去之前只用现金付费。但这是非常极端的做法。您应该采取的行动是关注相关新闻,一旦知道光顾过的公司发生数据外泄事件,即刻采取相应行动。您需要检查信用卡或借记卡余额,确保没有可疑交易,也可以联系银行取消所有可能资料外泄的卡,并换用新卡。 Bitly被攻击 美国受欢迎的短网址服务商Bitly上周晚些时候受到攻击,导致数据外泄。如果你持有或之前有过Bitly帐户,应该考虑帐户密码很可能外泄。该公司认为用户的帐户并没有危险,但尽管如此,公司仍敦促客户更改密码。Bitly还宣布说,为了防范日后再发生此类数据泄露事件,公司将实施双重认证。 我也同样希望持有Bitly帐户的用户赶紧更改密码。如果碰巧对其他帐户也用了同一密码,则这些帐户的密码也须一并更改。这就是为什么我一直告诫说不要多个帐户使用同一密码。 最后要指出的是,Bitly支持用户通过Facebook和Twitter帐户链接到Bitly帐户。这种做法存在一定问题 - 入侵了Bitly帐户的攻击者很可能会入侵相应的社交帐户。对此Bitly非常明智地将所有相关连接设定无效。如果要重新连接帐户,用户得重新对这些连接进行认证。但麻烦的是,用户还须更改曾通过Bitly链接的所有社交帐户的密码。 另请确保微软和Adobe软件以及Chrome浏览器全部升级到最新版本。 周二补丁日 简要地说,本周就是周二补丁日,Adobe和微软都为自己用途广泛的产品发布了补丁,同时发布补丁的还有Google Chrome。微软发布了8个安全公告,其中有两个的安全等级属于”高危”,这8个补丁修复了Internet Explorer网络浏览器中的13个安全漏洞,同时还修复了其他微软软件中的多个漏洞。Adobe修复了Reader、Acrobat和Flash Player中的一些严重漏洞。Google则修复了Chrome浏览器中3个高安全等级的漏洞(Google为发现并报告这些漏洞的研究人员支付了4500美元)。 就我们讨论的这个话题,用户几乎不可能对其专业细节穷根究底,所以在此我们不妨提一下,Linux内核中有5年历史的漏洞已发布补丁,另外部分日本横河电机的工业基础设施设备也有若干补丁发布。 另请确保微软和Adobe软件以及Chrome浏览器全部升级到最新版本。此外,还应检查日本横河系统和Linux发行版,确定是否未更新。

CryptoLocker安卓版?

还记得我们曾提到过CryptoLocker勒索软件非常危险的新闻吗?现在,勒索软件出现一种全新变体将安卓用户锁定为目标(起码会让人联想到CryptoLocker)。众所周知,CryptoLocker是对用户的关键计算机文件进行加密,然后以解密为条件用户向勒索钱财。考虑到安卓所占的市场份额,还有以安卓设备为目标的恶意程序样本的广泛传播,出现新的变体并不令人意外。 勒索软件是黑客用来锁定被感染计算机,并以此为条件向用户勒索钱财的一类恶意软件。在某些情况下,恶意软件只是让计算机无法使用。但另一些恶意软件,比如CryptoLocker,是加密被感染计算机上的重要文件,然后要求用户缴费来获取解密这些文件的专用密钥。CryptoLocker还算诚实,对自己的意图直言不讳;但还有许多勒索软件则是假冒执法机构向用户发出警告。警告中通常声称在用户计算机上发现了某类非法内容,必须缴纳罚款才能解锁计算机。 对于这种情况,其实是负责不同种类勒索软件的一组犯罪分子(称为Reveton)发布类似于CryptoLocker的恶意软件来感染安卓移动设备。 这种勒索软件到底在多大程度上与令人厌恶的CryptoLocker(以台式机为目标)有关系尚不清楚,但不管制作者是谁,显然是在玩CryptoLocker的旧把戏,这是属于犯罪性质的某类营销骗局。 为”Kafeine”公司工作的一位知名安全研究人员发现了这种新型恶意软件,并在自己的博客Malware don’t need Coffee中记录了此恶意软件的信息。他发现,安卓设备用户连到感染了此恶意软件的域后,即会被重定向到色情站点,该站点中部署了一些社交工程,目的是骗用户进入包含此恶意软件的应用文件。 但好消息是:除非用户实际上亲自安装了此恶意软件,否则不会被感染,这就是为什么我们推荐只安装来自合法Google Play商店的应用。 “锁定程序非常有效,”Kafeine在此恶意软件的说明中写道。”用户可以在主屏幕上继续操作,但所有操作都失效。无论是启动浏览器、调用应用还是执行”列出活动任务”,都会弹出锁定程序。” 这种恶意软件的应用文件伪装成一个色情应用,用户需要下载才会被感染。如果用户启动此应用,随即会显示一个警告屏幕,通知用户被控在手机上浏览或传播色情内容。 此消息还会通知用户,须通过MoneyPak支付300美元的罚款,否则可能会面临5到11年的监禁。 Reveton一伙发布的工具包版本具有多种变体,受害用户遍及30多个国家,包括美国、英国、法国、德国、澳大利亚和西班牙。 这种勒索软件到底在多大程度上与令人厌恶的以台式机为目标的CryptoLocker有关系尚不清楚,但不管制作者是谁,显然是在玩CryptoLocker的旧把戏,这是属于犯罪性质的某类营销骗局。这个情况着实让人感兴趣,因为从中可以看出网络犯罪分子是如何花样百出,利用合法的商业做法来获取最大利润的,当然这得改天再谈了。

网络诈骗应对与举报方法

我们花费了大量的时间来讨论网上的各种威胁,并给出了如何避免成为网络诈骗目标的建议。今天,我想简要谈谈发现网络威胁后应对的最佳方式,网上有大量机构提供此类服务,致力于打造安全的网络环境。在某些情况下,所有这些组织唯一需要用户做的就是向他们举报信息。 网络钓鱼 网络钓鱼是一种社交工程欺诈,即攻击者尝试欺骗用户向他们传递具有潜在价值的信息。其中最流行的一种网络钓鱼攻击是通过电子邮件进行的。攻击者伪造电子邮件,让收件人信任邮件是可信源发送的。电子邮件可能声称来自知名银行,警告系统有潜在安全问题,并提供链接,供用户执行密码重置。 无论您是当事人还是知情者,都能向许多机构提交网络威胁信息,共同打造更安全的网络环境。 这种链接通常会使页面转至类似于邮件中所声称银行的网站。用户点击此链接后,要求输入用户名和密码来访问自己的帐户并创建新密码。当然,实际情况是攻击者引诱用户泄露自己的网银凭证(这就是为什么银行警告用户不要点击来路不明的电子邮件中的类似链接,而鼓励用户直接输入银行网址,进入银行网站登录)。 所以,如果曾意识到是网络钓鱼攻击,无论目的是获取支付信息、社交网络凭证还是其他什么信息,您应该怎么做呢?实际上您有很多种选择,但一般来说,应该遵循以下5个步骤: 1.不要点击可疑的链接; 2.一定要将网络钓鱼电子邮件及链接转发给被假冒的公司 3.在某些情况下,可能需要联系执法机构; 4.通知政府消费者保护机构或相关技术公司也是个不错的选择; 5.做完上述事情后,一定要删除欺诈邮件。 假设遇到以PayPal为主题的网络钓鱼活动。您希望联系PayPal专设的反欺诈部门。方法是在您偏好使用的搜索引擎中,输入”PayPal网络钓鱼举报”或”PayPal反欺诈”进行搜索就能找到他们的信息了。 完成上述操作后,应该遵循他们提供的指导信息。如果是一封网络钓鱼电子邮件,则应将其转发给PayPal,然后删除此邮件。在此之后,服务将建议浏览整个交易历史记录,确保金额正确。类似行动可以在许多类似情况下执行。Gmail也有网络钓鱼举报功能,直接内置于图形用户界面中。大多数银行和商家也都设有举报网络钓鱼攻击的功能。 根据情况的严重性,您有可能需要联系执法机构,但此话题我们将在下面的部分中进行讨论。 美国计算机安全应急预备小组(US-CERT)是美国国土安全部旗下的一个网络事故响应部门。该小组有一个专门的电子邮件地址(phishing-report@us-cert.gov),鼓励用户向他们发送网络钓鱼攻击。与此类似,美国国税局也有自己的专用网络钓鱼和反欺诈页面,其中包含市民应该如何应对纳税相关的欺诈行为的信息。这些都是美国特有的机构,但只要稍用点心搜索一下,就能轻松找到其他国家的类似机构。除了政府机构外,像Google和微软这样的技术型企业也有用起来很顺手的页面,用户可以在其中举报有关网络钓鱼和欺诈行为的信息,并允许用户提交网络钓鱼网站的链接。 帐单差异 1.联系收款机构。 2.如果问题得不到解决,请联系银行。 3.在某些情况下,可能需要联系执法机构。 如果在购物时曾遇到以下情况:为自己没有购买过的物品或服务而多付了钱,或者已购买但从未收到货,那么一开始应该联系违规商家。如果收款方不是合法的商家,似乎是欺诈行为,则需要立即联系银行或信用卡提供商,向对方解释有纠纷的交易。 如果收款公司是信誉良好的商家,例如eBay或亚马逊,则可能设有某种类型的纠纷交易页面或解决中心。任何有信誉的网络商品与服务销售商都应该为客户及其他用户提供一定的方法来解决有纠纷的交易。但我敢肯定,在某些情况下,你得多花点功夫,可能还需直接给对方公司打电话。如果你诚实又有耐心,那么就能与最负责任的商家一起解决这些纠纷。在这种情况下,你甚至不必联系银行或信用卡提供商。 但是,如果显然你从来没收到过订购的商品,而且认为等待收货的时间超出正常的范围,或者显而易见有欺诈行为,则应该直接联系银行。不管你的钱是存在哪家银行,也不管你使用的是哪个品牌的信用卡,银行或信用卡公司都有一套系统,专门用于举报欺诈收费。在互联网上搜索到相应的银行或信用卡公司,浏览他们的网站,或者直接打电话给客服部门。 除此之外,像在eBay或亚马逊这类网站,个人可以直接向客户销售商品,因此可能会发现自己被实际上并未入驻这些大商家的卖家所骗。此时,你需要做的是遵循有关如何处理有欺诈行为卖家的具体指导信息进行操作,亚马逊和eBay肯定提供有此类信息。 如果发现欺诈行为直接从您帐户扣款(比如有人拿到你的信用卡号或eBay登录凭证,并不断支付款项),则需要联系执法机构。在此可以找到相应的区域管理机构(至少是美国境内的)。当然,如果在美国境外,请还是搜索”消费者欺诈举报”,我相信你会找到相应的机构。 ConsumerFraudReporting.org是一个庞大的资源,如果发现自己遇到欺诈情况,请访问此网站。在此网站中,您可浏览各种内容,包括如何处理社会保险号被盗,如何应对恶意程序感染,一直到向主要信用机构举报有欺诈行为的商家。 恶意程序感染 首先最重要的一点是,应该始终运行安全软件。强大的反病毒产品能使你的计算机坚不可摧,并有效地防止被恶意程序感染。 但是,假设你的计算机被信息窃取类恶意软件感染。一般来说,应采取以下三个步骤: 1.补救感染; 2.评估暴露程度;

一周要闻:IE零日漏洞

OpenSSL Heartbleed bug终于不再是本周的头条新闻。我在撰写本文时已近下午3点,但到目前为止我一整天都没看到过一篇关于Heartbleed bug的文章,真让人惊奇。但别担心,不谈Heartbleed,我们还有很多其他内容要讨论: 零日漏洞 本周早些时候,卡巴斯基实验室宣布发现Adobe Flash Player中存在零日漏洞。说来也奇怪,卡巴斯基发现这种漏洞的工具正是用于发现新恶意程序样本的工具。零日漏洞被发现时,已经通过一种叫做”水坑攻击”的威胁肆虐于叙利亚地区。水坑作为一种有针对性的攻击,攻击者侵入攻击对象可能会访问的合法网站,在其中植入恶意程序,当用户访问这些网站时,就会被恶意程序感染。Adobe已经针对这种漏洞提供相应的补丁,所以请尽快安装Adobe公司发布的所有更新。 微软的Internet Explorer浏览器也同样存在零日漏洞问题。在此我不打算深究此漏洞的技术细节。但我想说的是零日漏洞被广泛利用,能针对各种目标发起攻击;显而易见,确保安装微软称之为”Out of Band”的紧急安全补丁十分重要。此类补丁是指微软在每月固定的周二补丁日以外的时间发布的补丁。如果漏洞收到out-of-band补丁,这通常表明这是一个严重漏洞。 微软Internet Explorer浏览器和Adobe Flash Player零日漏洞取代OpenSSL Heartbleed登上本周安全要闻头条,成为主要讨论话题。 本已封刀退隐,无奈重陷江湖 关于周二补丁日:还记得本月早些时候我们曾讨论过不再向Windows XP发送安全补丁吗?但我们错了(至少从技术角度来说是这样)。因为上述Internet Explorer零日漏洞主动有针对性攻击的目标主要是Windows XP系统,微软心一软,也发送了针对XP用户的Internet Explorer发送out-of-band补丁。 又见AOL! 最近,大量AOL电子邮件用户遇到了麻烦,他们发现自己的帐户被用于向自己联系人列表中的用户发送垃圾邮件。我们曾在上周的新闻回顾中讨论过这个问题。对此AOL声称,这完全属于”电子欺骗”攻击的内容。他们表示,此问题没有任何危害,只是看起来好像电子邮件是来自AOL用户电子邮件帐户。实际上,该公司在最初的声明中就表示过,电子邮件发件人只是使其看上去仿佛电子邮件是来自AOL用户电子邮件帐户。 如果我没记错,上周我们曾谈到AOL对事件的解释让人匪夷所思,因为事实上电子欺骗行为可能仍在继续,这没法解释攻击者是怎么搞到所有这些联系人列表的。可以肯定的是,本周AOL承认,已向用户发送通知,敦促用户更改密码。所以,如果您使用的是AOL帐户,那么最好更改密码。 Facebook和隐私 Facebook宣布推出一款全新的功能,名叫匿名登录。Facebook创始人马克•扎克伯格昨天在公司的F8会议上对开发人员说,”匿名登录”将允许用户使用Facebook帐户登录到第三方应用,而无需使用自己的Facebook凭证,也不必与第三方共享个人信息。 “这一功能的理念是,你不希望应用获知你的身份,但又想感受简化的登录体验,那么利用此功能可免去繁琐的表格填写工作,”扎克伯格说。”它能让你放心大胆地试用应用。” “匿名登录”目前为Beta测试版,只适用于某些应用;例如,Flipboard就是首批适用的应用之一。登录时,Facebook用户可以选择使用自己的Facebook凭证登录应用,也可以选择使用”匿名登录”来试用应用。”匿名登录”本身采用黑色屏幕,而不是Facebook惯常的蓝色,通过”匿名登录”,用户能够避免与外部应用共享已经与Facebook共享的任何数据。

一周要闻: Heartbleed依然存在,苹果修复自身加密漏洞

在本周的新闻中,我们仍将讨论OpenSSL和目前令人厌恶的Heartbleed bug;苹果在其移动iOS系统和标准的OSX系统中解决了加密问题;AOL及其客户遭受了一起严重的安全事故;爱荷华州立大学遭到黑客攻击,攻击者试图利用大学的计算资源来挖掘比特币。 “传奇”仍在继续 关于OpenSSL Heartbleed bug影响范围和严重程度方面的讨论一如既往的热烈。其中大多数讨论围绕着数字证书系统的长期前景展开,而数字证书系统则基本涵盖了互联网信任以及加密的功效和所遇到的陷阱。 不过,本周的情况有所不同,至少是与之前几周稍有不同,因为这似乎是公司首次真正开始寻找方法来避免这些bug再次出现。 美国首次出现基于安卓系统的短信木马;追踪OpenSSL Heartbleed病毒的最新消息;苹果修复iOS和OSX系统内漏洞;AOL遭受黑客攻击;以及爱荷华州立大学比特币”挖矿事件”。 一种名为核心基础设施倡议的新协作计划正在汇集资源,以筹集数百万资金,专门用来支持对于Web安全至关重要的开源项目。OpenSSL是第一个作为资金服务对象来考虑的项目,目前主要由Linux基金会、微软、Facebook、亚马逊、戴尔、谷歌以及其他一些著名的高科技公司为此协作计划提供资金。Mozilla公司也正在作出反应,利用高达1万美元的特殊漏洞赏金计划来奖励这样的研究人员:能够在新证书验证库(准备在今年夏天添加到Firefox浏览器的31版本)中发现严重安全漏洞。 苹果修复iOS和OSX系统内的SSL漏洞 在一个类似但完全不相关的说明中,苹果针对在iOS和OSX众多版本中存在的一个严重安全缺陷发布了修复补丁。该漏洞可能使攻击者能够从被认为加密的SSL连接中截取数据。换句话说,这一bug可能会使得攻击者读取消息的内容——无论是短信还是其他敏感信息。 这一bug是苹果公司于周二在其两个主要操作系统中修复的众多bug之一。虽然可能不是很严重,但这些加密漏洞会造成别的后果。因此,如果您正在使用任意一款Mac产品,则建议您前往App Store,尽快安装苹果操作系统更新。 一贯安静的AOL成为了关注焦点 这些天所发生的事情让我对AOL的email供应商市场份额产生了怀疑(相信我,我看过),但是本周确实有数量未知的AOL邮箱用户账号遭到”欺骗”。这些账号一旦被盗,攻击者们或僵尸网络就会开始向被盗用账号上的联系人发送大量垃圾邮件。AOL已证实意识到这是一起黑客事件(尽管AOL并没有称之为”黑客攻击”),但目前尚不清楚有多少用户账号受到影响,也不清楚到底发了多少垃圾邮件。令人奇怪的是,AOL声称邮箱账号被盗可能性不大,并表示这些账号受到愚弄的可能性更大。 正如AOL所提到的,欺骗攻击的方式主要是发送垃圾邮件,这些邮件看似是来自受害者邮箱,但从技术角度来看实则来自攻击者的邮箱账号,并通过攻击者的服务器发送。换句话说,AOL表示没有账号受到大规模的入侵,只不过是攻击者模拟了受害者的账号。这一辩解显然无法解释攻击者如何获得受害者的联系人列表,这意味着随着时间的推移,将有更多的账号被攻击。 美国短信木马 收费短信木马并不是什么新鲜事物。整个诈骗过程是这样的:攻击者强迫受害人将木马下载到自己的移动设备上。木马获得在受感染设备上发送短消息(文本)的能力。之后木马发送短消息到收费服务,该服务或者由攻击人控制,或者由向攻击方付款的一方来控制。之后这些消息的费用将由受感染设备的所有者来支付。 正如我所说的,此类花招已存在多年了。奇怪的是,由于未知的原因,短信木马从未真正在美国散播开来。本周早些时候这一情况发生了改变,我们在Securelist上的朋友发现一个在安卓系统上的木马正在作恶。 似乎仅仅作为首例针对美国安卓用户的收费短信木马还不满足,这款名为”FakeInst”的短信木马还将攻击目标锁定在了其他65个国家的安卓用户。事实上, FakeInst还将来自德国、法国、芬兰、香港、乌克兰、英国、瑞士、阿根廷、西班牙、波兰、加拿大、中国以及更多国家的用户锁定为攻击目标。 黑客入侵爱荷华州立大学的目的是… 比特币!? 你看的没错。美国一所知名的州立大学遭到黑客入侵,其学校计算能力被用于生产比特币。比特币作为一种数字加密货币,其过去一年中的价格起伏不定。如果你有充足的计算机能力,就可使用这一能力来解决算法问题并生成新的比特币。这个过程被称为”挖矿”,在此过程中可赚取大量资金。与所有的网络犯罪类似,所做的一切都是为了追逐金钱。恶意挖矿并不是什么新伎俩,但这一事件让让人感觉新奇的是犯罪分子尽然将目标转到一所知名高校的计算能力上。这还不是全部,该起黑客事件似乎还造成多达3万名爱荷华州立大学学生社会保险号的泄露。

安全转帐小贴士

虽然有时会有波及整个互联网的灾难性安全漏洞,但如今想要避免网上金融交易已经越来越不可能。你读到本篇文章的时候,很可能在操作网银、购物,或者是在进行网上转帐,最后一点正是下面我们要讨论的内容。 就安全性方面来说,网络良莠不齐,这并不是什么秘密。但毫无疑问是,执行网络金融交易非常方便,不管是通过网络付税、付停车费还是通过PayPal下注,都轻松自如。可以肯定地说,任何人只要试图通过网络转帐,就必定会面临大量风险,但同时,也有一长串网络操作常识有助于为了解目标搜索内容的用户提供保护。最后,我想无论是宽泛到整个互联网还是具体到本文中的转帐,网络总体来说是利大于弊。 保护自身安全 首先最重要的一点是,你得先确保计算机或移动设备的安全,之后再来担心交易本身带来的风险。首先是确保操作系统以及金融交易中可能涉及到的任何软件或应用均已更新到最新版本。如果是在传统计算机上操作,那么这意味着应保证运行的是最新的Windows或OSX系统,其他任何操作系统都不例外。对于Windows,应该设置为自动安装更新。对于Mac,只须关注App Store图标,一旦提示有更新,请立即安装所有更新。在传统计算机上,你肯定要仔细检查并确保使用的浏览器版本也是最新的,因为你可能会通过网络来执行这些交易。一旦确定操作系统和浏览器版本均为最新版本(通常可通过浏览器设置菜单中内容来轻松确定),就可以着手进行网络交易了。 请勿在公共工作电脑、公用计算机或朋友的设备上转帐。#卡巴斯基#小贴士 移动设备略有不同。在移动设备上,你同样需要保证使用的是最新版操作系统,不管是iOS、安卓、黑莓还是Windows Mobile,无论哪种操作系统都必须是最新版本。移动环境与台式机略有不同,在台式机上你可能不会通过网络执行交易。更可能的情况是,你会使用某种类型的转帐应用。所以,务必确保应用已完全更新。事实上,对转帐应用更新时,你同时会更新其他应用,因为攻击者总是能够通过其他一些薄弱应用来实现访问设备的目的。 之所以要保证已安装全部更新,原因在于安全更新能确保封锁大多数已知漏洞。当然,有一些漏洞出于某些原因并没有相应的补丁,但总体来说,要入侵已完整安装补丁的设备几乎不可能。当然,还有零日攻击,但只有傻子才会对抗零日攻击来略过标准消费者的网银信息。 为保护个人设备要做的最后一件事是确保在移动设备和传统计算机上运行可靠的反病毒程序。众所周知,恶意软件是针对PC机的问题,但显然现在越来越多的骗子瞄准了安卓平台,尤其是金融类恶意软件。运行反病毒软件将确保阻止旨在窃取个人支付信息的恶意软件进入要执行转帐的设备。此外,最优秀的反病毒软件产品提供有安全转帐功能,此功能针对可信网站白名单来运行支付网站,检查以确保与这些网站的连接是安全的,同时保证执行转帐的系统已安装补丁并且是安全的。 另外,切勿在无法控制的设备上执行转帐。如果工作电脑只供你一人使用,那没问题。但千万不要在公共工作电脑、公用计算机或朋友的设备上转帐。 保护网络安全 现在你的个人电脑应该没有问题也很安全了,接着应确保(至少是尽可能确保)要连接的网站也是安全的。为此很明显第一步是避免粗心的转帐服务。在此我没法假装知道所有可信转帐服务,但使用PayPal、MoneyGram、Western Union、Venmo和其他许多类似服务工具应该是安全的。具体用哪种服务取决于你自己,但一定要下点功夫去了解。 决定了使用的服务后,请确保该服务提供强大加密。检查地址栏,确保其中含有挂锁图标和”HTTPS”,这样做是为了确保通过加密通道传输任何信息。更新后您还可能希望检查证书(即便浏览器很可能已检查过)。除外之外,要小心可疑的条幅广告,其中很可能含有插件,会试图从浏览器会话中盗取信息。这就是为什么选择一种可靠的支付服务更加至关重要的原因。 如果使用的网站要求登录(我当然希望你登录了),请确保使用的是唯一的高强度长密码,密码由字母、数字、符号、空格和大写字母构成。这不是开玩笑。就密码问题我已写过很多篇文章,但我无法评判你用于登录向许多发件人发送的一次性电子邮件帐户是否是用低强度密码来保护。然而,如果不用最佳密码来保护计划用于处理资金的帐户可就太傻了。金融帐户须真正保证使用的是唯一的高强度密码(在此可检查密码强度)。 金融帐户须真正保证使用的是唯一的高强度密码。 假设您已使用了高强度密码,下一步则是在使用的任何网站上实施某种形式的双重认证。使用这种方法时,你得确认使用SMS或基于电子邮件的安全代码来确认登录。这种服务有两种作用:一是能加大进入您帐户的难度,二是能让你知道是否有人尝试访问你的帐户。如果你并未试图登录时收到双重认证的通知,则说明你该对计算机进行安全扫描并更改密码(因为这意味着很可能有人已取得你的密码,并正在尝试访问你的帐户)。 最后一件要做的是使用某种类型的交易担保方,例如”Visa验证”服务或”3D安全”技术验证。此类服务要求你在进行交易之前,另外输入一个一次性密码。 如果遵循上述所有步骤,并实时监控自己的银行帐户或信用卡余额,那么你的转账应该安全了。

一周要闻:持续关注Heartbleed漏洞事件

与上周一样,Heartbleed大事件仍是安全类新闻的头条。也许我该用整个篇幅来全面概述有关Heartbleed事件的讨论内容,但我不会这么做,因为我想你们可能还希望了解影响外置硬盘知名(时尚)品牌制造商长达一年之久的数据外泄事件;微软的奇怪举动,可能会影响用户安装安全更新;某家搜索巨头的潜在行动计划可能会促进网站搜索优化,使网站做出良好的安全决策;看看终结XP支持对互联网有怎样的影响。 Heartbleed漏洞 如我所说,Heartbleed大事件仍在持续报道中。有可能在之前两周半左右的时间里,你完全没注意过任何相关新闻来源,下面我会对此事件进行扼要概述:Heartbleed是一种加密漏洞,互联网上的任何人都能借助此漏洞来读取通过OpenSSL这种加密实施服务进行保护的机器内存。严重情况下,这块小小的内存中很可能含有用户名、密码,甚至私人加密密钥等敏感信息。要在一条简短的新闻提要中清楚解释整个事件是不可能的,如果您对此事件不是很清楚,请阅读Heartbleed发展概要,文章中进一步分析说明了为什么Heartbleed是一个大事件。如果你对此事件的发展已经很熟悉,请继续阅读本文: 上周末,Heartbleed事态进一步升级,已经从严重但仍认为安全的漏洞过渡到在真实世界攻击中被大肆利用,不断收集真实受害者的信息。一家英国育儿网站Mumsnet被黑客利用Heartbleed漏洞攻击后,被攻击者窃取了存储在该网站上的密码,据报道说攻击者利用这些密码在网站上发布消息。更令人担心的是,攻击者还利用Heartbleed漏洞设法入侵加拿大税务署辖下的系统。在加拿大税务署在使用OpenSSL的补丁版本更新系统之前6小时内,攻击者就盗走了900位市民的社会保险号。 可能导致密码、通信和加密密钥泄露的OpenSSL Heartbleed bug仍是安全行业新闻头条 美国波士顿东北大学的Collin Mulliner发起了一项研究,针对Tor节点随机采样进行检查,根据上周晚些时候发布的报告,Tor匿名化网络中大约有20%的服务器或”出口节点“被发现具有漏洞。 虽然出现了Heartbleed攻击,但概念验证证明,由于事实上存在证书被盗的可能性,而且很多人都知道需要更换可能有漏洞的证书,因此证书撤销和更换潮似乎实际上算不上什么”潮”。简而言之,这些证书可确保所访问的网站正是你要去网站。很大程度上证书在互联网上的信任度非常高。当然,Heartbleed漏洞出现后,证书撤销和更换操作出现井喷,但相对于bug的规模是完全不成比例的。 LaCie长达一年的漏洞 据我同事(每月新闻播客主持人之一)Chris Brook报道,法国计算机硬件公司LaCie(莱斯)本周宣布公司成为数据外泄的受害者,只要去年从公司网站上购买过产品的用户,其敏感信息都面临泄露危险。LaCie最出名的产品可能是彩色外置硬盘。该公司称,攻击者利用一款恶意软件入侵公司在线系统,并利用此软件来盗取客户名称、地址和邮箱地址,此外还包括支付卡信息和卡到期日期。所以,如果你大约在去年直接从LaCie网店买过产品,那么你的信息很可能已外泄,如果情况属实,公司可能已经通知过您相关情况。 微软做出古怪决策;Google搜索算法很可能再造辉煌 微软的行动着实让我想不通,但我想他们肯定有充分的理由这样做。微软最近宣布,不再为运行过时版本的Windows 8.1的用户提供安全更新。要想在未来接收安全更新,客户必须使用最新版本的Windows 8.1更新来更新自己的机器,公司于4月推出此更新版本。 我曾和微软发言人交流过,但他并未详细解释为何公司会做出这一决定。好消息是,微软发言人肯定地指出,此项决定的宣布只会影响很小一部分没有启用自动更新功能的用户。明确地说,就是我们极力推荐启用自动更新,我认为默认情况下大多数商用Windows系统都已启用自动更新。如果您已启用,那么就根本不必有任何担心。如果是手动安装更新,则需要安装4月份的Windows 8.1更新,否则将无法安装微软未来每月发布的补丁。您可自行选择怎样做,但对我来说是完全明摆着的事。 另一方面,有谣言说搜索巨头Google可能会在自己魔法般的搜索算法(至少我是这样认为的)中新增一些算法,此举将极大提高实施加密的网站的搜索结果。《华尔街日报》报道说,此新闻源于该公司搜索算法大师Matt Cutts在一次会议上的发言。Google并未直接否认这些说法,但他们称公司目前对此不置一词。很难说Google是不是会真的考虑增加算法,但无疑这看起来是个不错的主意。 XP的终结? 微软不再对Windows XP提供支持,上个月微软正式发布(终于)针对Windows XP的最后一批补丁。对于是否停止支持XP系统多年来讨论无数,问题主要围绕放弃支持目前仍有多达28%的计算机用户使用的操作系统会带来怎样的影响。目前要对停止支持XP系统产生的影响下结论还为之过早,但如果您仍在运行XP系统,那么可能是时候更新换代了。如果Heartbleed从未现身,我还觉得对此的讨论应到此为止,但是我敢肯定未来我们还将进一步进行探讨。这就是为什么还将讨论XP的终结可能对未来的影响的原因。 移动新闻 最后,但也同样重要的是卡巴斯基实验室研究人员在最新的报告中证实,利用恶意软件盗取安卓用户银行信息的犯罪分子业务繁荣。结束语:总有一天会出现破解那些精心设计的指纹采集仪的入侵行为。

哈希算法创造奇迹

密码哈希函数(通常简称为哈希算法)是一种数学算法,用于将任意一组数据转换成长度固定的一串新字符。不管输入数据的长度是多少,同类型的哈希算法始终输出固定长度的哈希值。 因此,根据网上的SHA-1哈希生成器(SHA-1与MD 5和SHA-2都是部署最广泛的一种计算哈希函数),比如我的名字Brian生成的哈希值为:75c450c3f963befb912ee79f0b63e563652780f0。可能其他”Brian”会告诉你说,Brian这个名字被误拼成”brain”是极为常见的事。实际上,我以前有一张驾照上面的名字就被拼成了”Brain Donohue”,但这另一个故事了。brain通过在线SHA-1生成器生成的SHA-1哈希值是:8b9248a4e0b64bbccf82e7723a3734279bf9bbc4。 你看,这两个输出值截然不同,虽然在名字中Brian和表示中枢神经系统器官的这个单词brain之间差异完全在于连续的两个元音字母的位置(”ia”和”ai”)。更明白地说,如果我只把名字的第一个字母改为小写,SHA-1生成器的也会返回完全不同的哈希值:760e7dab2836853c63805033e514668301fa9c47。 密码哈希函数是计算中使用最普遍的工具,几乎可用于一切计算,从身份验证到恶意软件检测再到文件保护。   您会注意到,上述所有哈希值的长度都是40个字符,这并不令人吃惊,因为上面输入内容的长度均为5个字符。但如果在哈希生成器中输入本文到目前为止的所有单词,你会吃惊地发现返回以下哈希值:db8471259c92193d6072c51ce61dacfdda0ac3d7。也就是这1637个左右的字符(包括空格)和上面的5个字符的单词一样,经压缩后输出40个字符。你可以用SHA-1哈希算法对莎士比亚全集进行计算,最终也是输出40个字符。而最让人吃惊的是绝不会有两个不同的输入生成相同的哈希输出。 下图由Wikimedia Commons制作,说明的是上述概念,供您直观地学习: 哈希算法适用于哪些情况? 问得好。但很遗憾,答案是密码哈希算法适用于很多很多种情况。 对你我来说,最常见一种哈希算法形式是对密码进行哈希加密。例如,如果忘记了某个在线服务的密码,则很可能必须执行密码重置。重置密码时,通常你不会收到返回的明文密码。原因是在线服务并不会存储您的明文密码,而是存储密码的哈希值。事实上,该服务(除非使用的是极其简单的密码,这种密码的哈希值广为人知)并不知道您的真正密码。 确切地说,就是如果你收到的返回密码是明文,则说明你使用的在线服务未对密码进行哈希加密,这不失为一种羞耻。 您可以通过在线逆向哈希生成器自行进行测试。如果生成不安全密码(例如,”password”或”123456″)的哈希值,则在逆向哈希生成器中输入该哈希值时,逆向哈希生成器很可能会识别出示例中任一密码的哈希值。对于前文所举示例,逆向哈希生成器可以识别出”brain”和”Brian”的哈希值,但无法识别出代表本文正文的哈希值。所以哈希值输出的安全性完全依赖于输入数据,而输入数据几乎可以为任何内容。 对于这一点,据上月晚些时候TechCrunch的报告,流行的云存储服务Dropbox依据美国《数字千年版权法》,阻止了一名用户共享受保护内容。该用户在Twitter上写道,他被阻止共享特定内容,这一事件经由Twitter迅速发酵升温,人们对于Dropbox必定窃取了用户内容而大为不满,尽管隐私政策中明确承诺不会这样做。 当然Dropbox实际上并未窃取任何用户内容。据TechCrunch的文章中所述,导致这一事件发生的可能原因是版权持有者拿到版权文件(也许是数字版歌曲或电影)后,通过哈希函数来传送该文件。取得输出的哈希值后,他们将这一串40个字符加入了某种版权保护资料哈希黑名单。这样在用户尝试分享该版权保护资料时,Dropbox的自动扫描程序就会挑选出列入黑名单的哈希值,从而阻止资料分享。 所以,显然你可以对密码和媒体文件进行哈希加密,但密码哈希函数还有哪些其他用途呢?同样,实际答案是哈希函数的用途远远超出我的所知,也不在我的写作关心范围内。但是还有一个非常贴心的哈希应用是Kaspersky Daily。哈希算法被卡巴斯基实验室等反病毒软件公司用于恶意软件检测,部署广泛。 同样,电影制片厂和唱片公司也制定了哈希黑名单来保护版权数据,此外还有数量不定的恶意软件哈希值黑名单,其中大多数公开提供。这些恶意软件哈希(或恶意软件签名)黑名单由恶意软件哈希值或更小的可识别恶意软件组件的哈希值构成。一方面,如果用户发现了可疑文件,则可以在众多公共可用的恶意软件哈希注册表或数据库中选择一个来输入该文件的哈希值,输入后注册表或数据库会通知用户该文件是否为恶意文件。另一方面,反病毒引擎识别并最终阻止恶意软件的一种方法就是将文件哈希值与引擎自己的(以及公开的)恶意软件签名存储库中的进行比对。 密码哈希函数还可用于确保消息完整性。换言之,你可以借此确保某个通信或文件未被窃取,方法是检查数据传输前后生成的哈希输出值是否一致。如果前后哈希值完全一致,则传输可称得上是可靠的。

“Heartbleed”漏洞恐令数千网站泄密

更新:在上一篇有关此漏洞的文章中曾提到(引用了Github上的列表)HideMyAss网站用户受到Heartbleed漏洞的威胁。但该网站发言人与我们联系表示,他们的用户并未受此漏洞的影响,所以我们从受影响网站列表中删除了此网站。 更新2:专栏已更新受影响服务列表,这些服务官方推荐更改用户密码。 NPR(美国国家公共广播电台)主播David Green在早8点主持的《早间节目》中讨论安全漏洞话题后,人们都知道了安全漏洞是非常严重的问题。昨天早上的节目中又提到了此话题,这次是OpenSSL中的一种严重的加密漏洞,被戏称为”Heartbleed”(心滴血)。OpenSSL可能是互联网部署最广泛的加密库。如果您不是很清楚什么是OpenSSL,别担心,下面我会用500字左右的篇幅来尽量解释清楚整个原委。 与网站建立起加密连接后,数据都将使用SSL/TLS协议进行加密,不管你连接的Google、Facebook还是网银。许多流行的网络服务器利用开源OpenSSL库来执行此加密作业。本周早些时候,OpenSSL的维护人员针对一种严重漏洞发布了修订,此漏洞在实现TLS功能时出现,称为”Heartbeat”(心跳包),攻击者借助此漏洞可从服务器内存中读取多达64 KB的数据。 换句话说,如果保护机器的库是有漏洞的版本,那么互联网上的任何人都能通过该漏洞来读取机器内存。最坏的情况是这一块小小的内存中可能含有敏感数据 – 用户名、密码,甚至包括服务器用于加密连接的专用密钥。此外,利用Heartbleed漏洞不会留下痕迹,没有确定的方法来判断服务器是否被黑客入侵过,也无法断定哪类数据被盗。 好消息是OpenSSL修复了该漏洞。但坏消息是没有办法保证受Heartbleed漏洞影响的这些网站和服务实施补丁来减轻漏洞的影响。更多的坏消息是,该漏洞很明显能够被轻松利用,而且可能已存在长达两年时间。这意味着许多流行网站的安全证书已被盗,包括密码在内的敏感用户数据也很可能遭窃。 用户行动计划 更新:Mashable收集的清单列出了来自受影响网络服务的正式PR回复。为了节省阅读表格并检查证书(下面有更多检查相关内容)的时间,只需在以下所有站点上更改密码即可:Facebook、Instagram、Pinterest、Tumblr、Yahoo、AWS、Box、Dropbox、Github、IFFT、Minecraft、OKCupid、SoundCloud和Wunderlist。请对每个站点使用唯一密码! 检查自己喜欢的站点是否有漏洞。有多种在线工具可检查是否存在漏洞,但你还需要知道之前是否有存在过。很幸运,你可以根据一个长长的流行网站列表来检查是否有漏洞。好消息是,PayPal和Google未受影响。坏消息是,Yahoo、Facebook、Flickr、Duckduckgo、LastPass、Redtube、OkCupid、500px及其他许多网站都存在漏洞。如果您在这些脆弱网站上有注册有帐户,请准备好随时行动。 立即检查网站是否有漏洞。有一个简单工具可用于此检查。 网站所有者修复漏洞后,还需要考虑重新发布网站证书。因此准备好监视服务器证书,并确保使用的是最新证书(4月8日或之后发布的证书)。为此,请启用浏览器中的证书撤销检查。下面举例说明了如何在Google Chrome设置中启用此项。 此项将阻止浏览器使用旧证书。要手动检查证书发布日期,请点击地址栏中的绿色锁图标,然后点击”连接”选项卡上的”信息”链接。 对服务器打补丁并更新证书后,最重要的一步是立即更改密码。此时可修改密码策略,并开始使用容易记忆而又安全的密码。您可以使用我们的密码检查程序来检查新密码是否安全。

一周要闻 – 4月1日

本周要闻:首先出场的是微软公司,下周微软停止支持(终于停止了!)曾经无处不在、漏洞永无止境、部署范围超广的Windows XP系统。 本周发生的事件:我们获悉比特币的更多新闻;关于特斯拉S型车的安全问题;全球网络钓鱼游戏的深入洞察;苹果Safari浏览器修订;飞利浦智能电视中的漏洞等。 据路透社报告,美国德克萨斯州联邦法官已下令Mt. Gox公司首席执行官马克•卡佩勒斯(Mark Karpeles)赶赴美国,回答与比特币交易破产案有关的问题。Mt. Gox曾是世界上最大的比特币(数字加密货币)交易所,该公司在丢失客户价值4亿美元的比特币后于今年2月停业,并在美国申请破产保护。据报道,卡佩勒斯已向传唤其到庭的德克萨斯州法庭申请根据美国《破产法》第15章给予Mt.Gox破产保护,目的是为了让其美国客户在芝加哥联邦法院提起的集体诉讼不能再继续下去。德克萨斯州法官认为,如果卡佩莱斯希望寻求法庭的保护,那么必须亲自来到这里。 据Threatpost的同事Chris Brook报告,在受到大众欢迎的飞利浦智能电视中,支持互联网的某些型号含有漏洞,攻击者可能会借此漏洞访问电视机系统和配置文件中潜在和敏感信息,并能读取插入电视本身的U盘上的任何文件。如果用户碰巧就在这台电视机上浏览互联网,那么攻击者就能窃取cookie,并利用这些cookie来访问特定网站或网上帐户。这一问题与名叫Miracast的WiFi功能有关,这种功能默认情况下已通过预设的固定密码启用。通过此密码,处于电视WiFi适配器辐射范围内的任何人都能连到该电视,并访问电视中的许多功能。 Threatpost的另一位同事Dennis Fisher报告说,深受大众欢迎的高端全电子特斯拉S型汽车上针对移动应用部署了一种易受攻击的单因素验证系统,它允许用户对车门解锁以及执行其他更多功能。研究人员Nitesh Dhanjani发现,新车主在特斯拉网站上注册了帐户后,必须创建一个6位字符的密码。此密码将用于登录iPhone应用程序。该应用支持车主操纵门锁、悬架和制动系统以及天窗。其中真正的问题是对登录尝试次数没有限制;这意味着攻击者可以对相对较短的密码发起暴力破解攻击。在没有登录尝试次数限制的系统中,六位字符是很容易破解的。另外,我想提醒所有苹果用户,位于加州库比蒂诺的计算机巨头-苹果已发布了25个Safari浏览器安全漏洞修订。其中一些漏洞非常严重,所以如果还没有更新Safari浏览器,请尽快更新。 我们的朋友-Securelist的研究人员发布了2013年金融网络威胁黑幕研究报告的第一部分。第一部分密集分析了全球的网络钓鱼环境。简而言之,他们发现,2013年的所有网络钓鱼攻击中有31%针对的目标是金融机构。所有攻击中大约有22%涉及虚假银行网址,这一比例较上年2012年的研究翻了一番;2012年,只有11%的此类攻击是部署虚假银行网址。其中不到60%的网银钓鱼攻击利用的是25家国际银行品牌,其余40%利用的是1000多家银行品牌。最后,我推荐您阅读BBC的一篇新闻,它报告说加州圣地亚哥的一名五岁男童发现流行的XBOX Live在线游戏平台中有漏洞,他通过这一漏洞可以登录到他父亲的XBOX Live网络帐户。当时他输入的密码不对时,系统提示他重新输入密码。他随便按下了空格键,结果就像魔法一样,直接登录了。”我很紧张。我想[爸爸]会发现的,”Kristoffer告诉当地电视台KGTV。”我想有人会偷走Xbox。” BBC说,Kristoffer的父亲从事安保工作,他已经向微软报告了漏洞的详细情况。微软已修复此漏洞,并对Kristoffer的帮助表示了感谢。

一周要闻:元数据收集、零日漏洞、MH 370网络钓鱼等。

上周对于我们这些以采写计算机安全新闻为业的人来说的确是漫长的一周。虽然这一周的新闻事件寥寥可数,但还是有一些值得关注的事件。 新闻概述如下:网络安全公司White Hat发布了内部网页浏览器,专注于安全性和隐私,可应用于Windows操作系统计算机;美国总统奥巴马要求美国国家安全局(NSA)终止搜集公民通话元数据;骗子以马来西亚航空370号失联客机为饵实施网络钓鱼骗局;微软再次曝出零日攻击漏洞。 Aviator浏览器 互联网安全性和隐私依然一如既往地成为了流行焦点,这在很大程度上要归功于去年美国国家安全局曝出他们有能力监控任何想要监控的人。然而,保护网络会话安全,尽可能确保这些会话私密是一项艰巨的工程,尤其是对于那些缺乏相关技术知识的用户,或更重要的是,根本无暇了解自己心爱浏览器的设置。 为此,White Hat Security的研究人员几个月前决定向公众发布Aviator浏览器(至少推出Mac版)。该款浏览器在公司内部已使用数年。本周早先时候,他们又发布了Windows版本,使得更多的用户能够使用到这款浏览器。 Aviator浏览器基于Chromium代码库构建,外观与Google的Chrome浏览器非常类似。但Aviator旨在优化用户隐私、安全性和匿名性。默认情况下,该浏览器不允许存在来自广告商的网络跟踪。DuckDuckGo是浏览器默认搜索引擎,它不会收集用户搜索历史记录,也不会以任何方式显示广告或跟踪用户。 总之,该浏览器并不是简单地靠大量流行的扩展程序来阻止广告(全球三大浏览器就是这样做的),而是根本就不与广告网络建立任何连接。这样不仅能阻止无处不在的企业跟踪,而且还能保护用户不接收潜在的恶意广告。该公司表示,所有这些附加的优点使得这款浏览器的运行速度比其他大多数浏览器都要快。 奥巴马要求停止搜集元数据 大约一年前,曝出美国国家安全局(NSA)通过手机或电脑收集和保存几乎所有人的通信元数据。所有这些秘密信息均是由NSA前雇员爱德华•斯诺登披露的,其中有大量内容是针对美国间谍装备的指控- 对批量元数据搜集的披露吸引了美国公众最大的关注。这让人感到相当奇怪,一方面是因为两年前大多数人甚至不知道元数据为何物,另一方面当我们回顾过往,元数据搜集相对于NSA被曝出的其他一些事件来说,并不算太离谱。 虽然说进步总是好的,但显然,白宫方面决定希望终止该情报机构搜集和存储电话记录。在目前的系统下,NSA可存储五年的电话记录信息。根据新的规定,NSA绝对不能再存储元数据。元数据改为由各服务提供商保存,但要求服务提供商只能将此类信息存储18个月。 事实上,就在我写这篇文章时,白宫方面已向公众宣布其终止批量搜集元数据的计划;元数据搜集行为原本是根据《爱国者法案》第215款所允许的。 利用马航370失联航班的网络钓鱼 你可能知道,三周前,马来西亚航空公司的一架由吉隆坡飞往北京的航班离奇地与地面失去联系,导致机上200余名乘客下落不明。截止本文写作时,已确定该航班失事。目前,还没有确切的证据能证明该航班的下落,除此之外,其很可能坠毁于印度洋某处。 和其他神秘事件和令人费解的失踪一样,马航370航班(虽然失踪航班最后的结果往往是可怕的失事)也催生了一大堆令人啼笑皆非的荒谬说法,其中许多被无耻的媒体持续报道。 同样无耻的是(你可能没那么吃惊,因为我们现在讨论的就是犯罪分子,而不是那些被称为记者的家伙),黑客组织也在互联网上以马航370失联班机为诱饵,盗取信息,骗取钱财。 大量社交媒体点击欺诈争相出现,纷纷表示已经找到马航370客机。用户会看到提示,要求点击链接才能了解新闻内容。这种老式的链接钓鱼欺诈几乎会在任何时间以任何事件为饵弹出,以吸引公众注意(名流身故、国际体育赛事、自然灾害等等)。然而,除此之外还有更复杂、更有针对性的鱼叉式网路钓鱼活动,在此类活动中,攻击者向美国和亚太区政府官员散播与航班相关的电子邮件,其中含有恶意附件。 Microsoft Word零日漏洞 最后一条新闻:本周一,科技巨头微软公司在其Technet博客上宣布,发现Microsoft Word 2010零日漏洞,将成为黑客针对性攻击的目标。虽然发现的攻击目标是Microsoft Word 2010,但该公司表示Word 2003、2007、2013和2013RT,Office for Mac,

多款流行的三星设备据爆出藏有”后门”

多款流行的三星Galaxy系列设备被爆出藏有所谓的”后门“,攻击者可借此对易受攻击的手机进行远程控制,能够有效地将成功盗用的手机转变成移动间谍设备。 如果上面最后一句话听起来有些勉强,那是因为人们对Paul Kocialkowski的研究是否构成”独立后门漏洞”持有异议。 该漏洞据称在”大多数专用安卓系统”上都存在(换句话说,就是几乎所有商业开发的创建版本上都存在)。Galaxy Nexus S、S2、S4、Note、Note 3、Nexus(包括7英寸和10.1英寸Tab 2)以及Note 2全部藏有所谓的”后门”。 用简单和广义的术语来说,就是三星设备内置有调制解调器,通过这个bug可操纵调制解调器对存储在手机上的文件执行读/写和删除操作。更具体地说,此问题存在于”安卓无线接口层”中。该程序是一种调制解调器驱动程序,上述所有设备中均安装有此程序。由于此无线接口层是一种在每部智能手机中央处理单元中运行的程序,因此理所当然有能力读写设备文件系统中存储的文件。Replicant开发者发现了一组命令,这些命令通过调制解调器发出并由驱动程序执行后即可操纵文件系统。 对于在安卓手机上使用Google移动操作系统的用户,必须解决的实际问题是安卓几乎没有安全更新和补丁进程。 发现此问题的研究人员是Replicant(开源安卓发行版)开发者,他并不确定这组权限是有意还是无意内置于这些设备中的。他声称,无论如何,此类权限都是不能接受的。 您可能想知道”即然调制解调器可以读/写和删除文件,那我该如何访问调制解调器来执行这些操作呢?”事实上这是一个非常重要的问题,自最初报告此bug以来,这些天人们已经就此问题展开了激烈的讨论。 据Azimuth Security研究人员Dan Rosenberg周四在Ars Technica上发表的一篇文章中指出,宣称发现”后门”的研究者首先必须执行独立开发才能盗用三星设备的调制解调器。此外,他表示,研究者未能提供任何实际证据来证明攻击者能够远程执行调制解调器的功能。 显然,Kocialkowski提出的是一个严重指控,而Rosenberg则表示这一指控有些过分。这在行业中属于标准做法,尤其是发现据称在”大多数专用安卓系统”中存在bug的研究员所从事的是开源项目开发工作。换言之,此指控的提出并不仅仅是利益冲突在起作用。 无论是否存在后门漏洞,对于在安卓手机上使用Google移动操作系统的用户来说,必须解决的实际问题是安卓几乎没有安全更新和补丁进程 由于安卓是开源系统,属于高度客制化系统,可以安装在各种不同公司生产的设备上,因此每家智能手机厂商都能创建自己的特定安卓构建版,以满足自己特殊设备的需要。这一事实会产生许多影响。 首先,某些漏洞会感染一部分安卓构建版,而不会感染其他版本,这一可能性始终存在。一旦发现一个漏洞,并针对其开发了相应补丁后,该设备厂商必须创建自己的特殊定制固件更新,确保更新与相关手机上的所有专用软件和硬件兼容。在此之后,运营商会检查更新,确保更新不会对其网络产生不利影响。一旦运营商批准了补丁,则(运营商)就须将这一修正补丁发送其用户。 但问题是,运营商和厂商总是不紧不慢地测试补丁,这一体系的最终结果往往是装有安卓系统的手机无法打到补丁。与之相反,苹果iOS更新则是从加州总部库比蒂诺直接发送到用户的手机中(或者发送至台式电脑上的iTunes)。也就是说苹果一旦创建补丁,即可迅速发送至用户手机中。

非法偷猎者可利用互联网捕猎濒危动物

下面即将讲述的是安全功能如何发挥作用的案例,同时也是关于利用互联网赚取不义之财的新途径的故事。 为了更好地保护濒危动物,生物学家和野生动物保护主义者为濒危物种佩戴GPS跟踪项圈,以研究濒危动物的行为,监视它们的活动位置,并通过电子邮件帐户来接收相关数据。不难想像,对于非法偷猎者(或被非法偷猎者雇用的黑客)来说,入侵相关电子邮件帐户来盗取信息完全可能发生。一旦非法偷猎者获取这些信息,就能监视这些动物的大范围迁移模式,或者在某些情况下,可以获取动物的实时方位,从而跟踪并最终猎杀这些动物。 去年9月,《印度时报》曝光了一起事件,在这起事件中黑客可能已经拥有这样的能力:他们试图入侵一个电子邮件帐户,该账户中含有 “铱星GPS卫星项圈”的中继器信息,该项圈则戴在了位于印度中部中央邦帕纳老虎保护区的一只老虎身上。 网络事故层出不穷,究其原因无法一一道明。登录尝试可能是导致事故的其中一个错误,但此事件的发生突显出了非常实际的威胁。 非法偷猎者能够入侵野生动物保护主义者的电子邮件帐户,窃取其中有关濒危物种所佩戴GPS跟踪项圈所传来的数据,从而跟踪并猎杀这些动物。 一个月后,《国家地理》杂志进一步追踪报道了此事件。有权合法访问老虎GPS项圈信息的有三个人,因此某些其他人或利用某些程序(可能是垃圾邮件程序或其他一些类型的僵尸网络)设法收集到这三个人中其中一个人的电子邮件帐户的有效凭证。在五个月的时间里,GPS项圈一直在通过此电子邮件帐户更新老虎的准确位置。前三个月,项圈每小时传回一次数据,而后面两个月,则每四小时传输一次数据,直到项圈电池耗尽,传输信息中断。不难想像,这对于非法捕猎并猎杀濒危动物的犯罪分子来说简直就是一个宝库。 但是,维护此邮箱的服务器发现有可疑程序正在运行。负责常规访问该邮箱的工作人员的办公场所为于印度德拉敦。而非法访问尝试来源于距离印度普纳600英里的一个IP块。服务器标记了这一登录尝试并阻止它们继续访问。因此安全功能成功遏制了可能出现的对濒危动物的猎杀(或至少阻止了对电子邮件帐户进行未授权的访问尝试)。 该保护区老虎监视计划主管Krishnamurthy Ramesh博士告诉《国家地理》杂志,即便黑客盗用了电子邮件帐户,要想破译其中的信息也不是一件容易的事。 “他们甚至看不到相关数据,因为这些数据看起来像是异常数字或符号,”Ramesh表示。他建议项圈以加密格式传输信息。他还告诉《野生动物杂志》,GPS信息只能使用专用软件和特定的无线项圈产品信息进行破译。 “相关技术在普纳派上了大用场,事实上,由于在基于安全性的监视工作中运用了此类技术,因此野生老虎数量的恢复工作进展良好。”Ramesh说。

苹果证书Bug(某种程度上)威胁Linux安全

直到二月中旬的一个周五下午,苹果公司才悄然发布了一个修正补丁,此修正目的是修复iOS中的关键证书验证bug,原本通过此bug,攻击者能够暗中监视安全通信。 上周五的补丁通告中说此bug非常严重,但也同样难以察觉,这是苹果的标准做法。这家总部位于加州库比蒂诺的大型计算机公司的经营素来充满神秘色彩。 但当曝出bug不仅感染苹果手机iOS操作系统,同时也会感染传统OSX操作系统时,公司高层立刻引起重视,并给予了极大关注。而随着上周GnuTLS受到可怕的类似bug感染的消息曝光后,情况变得更加复杂。GnuTLS作为一种自由开源软件,用于在各种Linux发行版和其他平台上实施加密。 随着越来越多的人关注这些bug(尤其是苹果用户),更多新闻媒体和研究人员开始发表一些”借口性”的建议。其中全球知名的密码安全专家Bruce Schneier是这样描述漏洞的: “漏洞极小,因此扫描编码时难以察觉。但不难想像错误会导致怎样的情况发生。只需一个人就能轻易地添加漏洞。” 漏洞极小,因此扫描编码时难以察觉。但不难想像错误会导致怎样的情况发生。 “漏洞是有意为之吗?我也不知道。但如果让我来有意制造漏洞的话,这绝对是我会选择的方式。” 其他研究人员则更直接一些,他们质疑导致苹果bug-“goto fail”(跳转失败)的编码错误 - 因为要提交这种编码几乎不可能,更不用说在编码审查过程中没有觉察到此编码。当然,考虑到”goto fail”漏洞目前的使用环境和情况,许多人推测苹果和GnuTLS的漏洞都很容易受到”偷窥者”的攻击。 毫无疑问,这两种漏洞非常巧合具有类似的效果,但它们采用的是截然不同的方式。另一位密码专家美国约翰霍普金斯大学的Matthew Green在检查了GnuTLS的bug后认为,这是一种极愚蠢的编码错误,但却无需担忧。 撇开阴谋不谈,GnuTLS中的这种密码验证故障意味着所有Red Hat桌面和服务器产品以及Debian and Ubuntu(Linux)安装全部都含有bug,可被利用来监视这些设备上进行的通信。此类bug的影响波及从上到下的整个系统范围。不仅安全网络浏览会话(如”HTTPS”会话)受影响,而且应用程序、下载以及几乎其他任何使用GnuTLS来实施加密的通信都会受影响。 更直白地说,攻击者只需与其攻击目标位于同一本地网络上,就能利用其中任何bug。但是,在适当环境下,bug使攻击者能够进行中间人攻击,这种攻击的受害者会认为自己正在与可信的在线服务提供商通信,但事实上是把数据包一路发送给了网络攻击者。这两种bug都为窃取登录凭证和监视本地网络通信大开方便之门。 “一旦成功,情况将变得十分糟糕,”北卡罗来纳州Social & Scientific Systems公司安全专家和首席科学家Kenneth White表示,”攻击者可轻松伪造任意域,并使其看起来对请求者是被授权和可信的。这样,不仅能拦截敏感通道,而且还会暗中破坏可信包签名过程。”换句话说,就是能够仿冒某些类型的证书信任信息,而用户正是通过这些信息了解准备下载的软件或应用程序的开发者。 如果您使用的是Linux设备,则很可能存在这些漏洞。我们建议尽快安装Linux发行版的最新更新。即便使用的不是Linux操作系统,也并不意味着您就一定安全。GnuTLS是一种部署范围广,能在未知数量的系统上运行的开源软件包。本文所传达的意图一如既往:及早、频繁安装补丁。

对马桶……发动黑客攻击

在每日卡巴斯基博客中,我们曾列述”可被黑客攻击的消费者装置“名单列表。今天我们要在这份装置名称日期增加的列表中,再加入一项新装置:马桶装置。   事实上,在本年召开的黑帽安全会议中,一名研究员曾以”可能遭受黑客攻击的马桶”为主题给出简要描述。尽管在该会议期间我就想撰写有关该主题的文章,但最终我还是决定首先关注更具影响力的事物;尽管如此,当时我就暗下决心并向自己承诺,一定要撰写一篇有关该主题的文章。 应用程序安全公司Trustwave 的部分研究员层在8月份发表了一篇有关安全性建议的文章。该文章警告用户,SATIS智能马桶的安卓应用程序中包含硬编码型的蓝牙验证PIN码。该PIN码为”0000″,通过输入该PIN码,黑客可在蓝牙连接范围内操纵智能马桶的部分功能。一旦输入该PIN码,使用运行安卓系统的设备可通过蓝牙装置,和蓝牙装置连接信号范围内的所有Satis智能马桶相互连接。 简而言之,此类智能马桶的所有者存在遭受严重恶作剧式攻击的风险及和不幸意外事故相关的风险。 尽管本文并非描述黑客针对胰岛素泵或汽车发动黑客攻击,但对我而言,通过远程操控致使马桶功能失灵更为可怕。 尽管本文并非描述黑客针对胰岛素泵或汽车发动黑客攻击,但对我而言,通过远程操控致使马桶功能失灵更为可怕。 更具体的说,如果一名黑客希望对智能马桶发动攻击,他仅需要安装”我的Satis”应用程序;然后输入蓝牙PIN码,以使其所持有的黑客攻击设备和蓝牙通信范围内的所有Satis智能马桶相互连接(不得不承认的是,如果您拥有1个智能马桶,那么您可能拥有多个类似于智能马桶的设备);最后,黑客可随意发动攻击,为您造成恶作剧玩笑至毁灭性打击程度范围内的任何伤害。根据Trustwave研究员所述,攻击者可以”造成马桶重复冲水,致使您的用水量激增,并最终造成用户水费增加。 更多需要关注(至少我个人认为应当关注)的事项是,黑客可能促使Satis智能马桶的马桶盖随意张合,或甚至激活坐盆及风干功能——再次借用Trustwave研究员的原话——”给智能马桶用户带来不适或痛苦。 尽管本文并非描述黑客针对胰岛素泵或汽车发动黑客攻击,但对我而言,通过远程操控致使马桶功能失灵更为可怕。 我不知道您应当采取何种措施,才能避免上述状况的出现。就目前而言,Satis智能马桶的开发商LIXIL公司,似乎仍未解决这一程序漏洞问题。我想您可以通过发送大量电子邮件,强烈要求LIXIL公司修复这一程序漏洞,这是您可以采用的措施之一。很明显,此类智能马桶中应配备有”匹配模式”功能。Trustwave的研究员声称,仅在智能马桶”匹配模式”启动的条件下,才可使用硬编码型的PIN码及安卓应用程序。Trustwave的研究员还声称,即便是您禁用匹配模式,您仍可使智能马桶匹配相关的安卓设备,但仅可能”通过观察蓝牙信息通信,了解智能马桶硬件地址后,才可能实现智能马桶和相关安卓设备之间的匹配”。该过程听起来相当复杂。因此,从一方面来说,禁用匹配模式可能是一个不错的主意;但从另一方面来说,如果您不能使用移动设备向智能马桶发送命令,那么购买智能马桶的意义何在?这个世界真复杂…… 尽管我不能肯定,您的家庭周围存在许多意图不轨的坏人;但我认为绝大多数Satis智能马桶的用户仍可在遭受此类黑客攻击时,保证其自身安全——毕竟想在您的家内制造恶作剧的人并不是太多。另外,在有人使用智能马桶时,通过黑客攻击打开坐盆这件事情本身,也不具有获利驱动力。但是,对于Satis智能马桶的用户来说,在其现实生活中需面对的残酷现实是,可以和单一智能马桶相连接的安卓智能设备过多。该状况极有可能造成,有人在不经意间(并非有意)通过他/她安卓设备中的”我的Satis”应用程序,启动智能马桶的某项功能。      

安全配置一台无线路由器

在您的客厅中放置的无线路由器是您整个家庭网络的基本枢纽。几乎您的所有数字装置都是首先通过连接路由器,然后连接您的调制解调器,最后实现互联网连接。因此,如果您并未对路由器实施正确的保护,则所有通过无线连接的数字装置都存在遭受攻击的危险。   配置您的路由器 101 您可以采取一些工作量较小且相对简单的措施,为路由器提供保护。尽管实施此类措施并不能确保在线活动的安全性——您仍需担心恶意软件的感染及其他基于网络的威胁;但是,如果您如果尚未采取此类措施,那么您所处的状况就像是:尚未得知是否周围存在狐狸时,在鸡舍门大开的条件下离开农舍。在谨慎方面,总是多加小心少些错误才好。每个路由器都通过模式化的方式提供各种不同功能,并可提供截然不同的界面,因此很难精确说明如何设置一台路由器。但是,几乎所有的路由器都包含安全设置核心组件,用户通过路由器管理界面即可导航至安全设置界面。 在我们深入介绍后台设置之前,您首先需要通过设置密码保护您的路由器。当您把路由器和调制解调器相连接后,需要做的第一件事就是为无线网络访问设置安全性强且单独使用的密码。绝大多数——并非所有——新(尚未使用)的路由器都配备有安装CD或其他设置向导文件。如果您购买的是二手路由器(我建议您不要这样做),则路由器生产商可能已在其官方网站上发布可下载的设置向导文件。如果您按照设置向导步骤进行,则设置向导会向您询问是否需要为路由器设置密码保护?如果您选择是,则设置向导将允许您设置密码,并且您无需访问后台程序。 设置向导可能会向您询问,是否需要设置访客网络。我同样建议您选择该选项,并且在设置访客网络时,应使用安全性强的密码保护访客网络。在此条件下,如果您的朋友来访且不慎使用已被病毒感染的数字设备时,则可以隔离访客网络;这样不会对您正在使用的网络造成任何干扰。 如果您的路由器并未配备CD,则在路由器后侧则可能配备有体型较小的蓝色按钮;或者您的路由器同时配备有CD及蓝色按钮。对于一些路由器来说,可能并未配备蓝色按钮。在此条件下,您需要输入PIN编码。无论以何种方式,您的路由器都将配备WiFi保护设置(WPS)功能。除非您已了解一些有关无线网络设置的知识(在此条件下,您或许无需阅读本段内容),否则您将肯定需要使用有关无线网络设置的设置向导。安装CD后,WPS的设置将处于默认状态。WPS为”Wi-Fi联盟开发的一种可选认证程序,该程序旨在使用户在家中或在小型办公室环境中,便捷设置已启动安全保护功能的Wi-Fi网络。”换句话说,WPS已为您完成所有棘手的安全配置工作。这是一个良好的七点,但您仍需导航至路由器管理界面,并确保所有事项都已设置完毕。 为进入路由器管理界面,您需要了解所使用路由器的品牌及型号。一旦您已了解路由器的品牌及型号,则可通过谷歌搜索引擎查找有关该路由器品牌及型号的信息,并可输入”IP地址”。如果您在网站地址栏中输入”IP地址”,则网页将会导航至登陆页面。运行另一谷歌搜索引擎页面,并查找您所用路由器的默认用户名及密码。如果你已获取用户名-密码组合,则下面的步骤将极为简单。您可以使用该用户名及密码组合进入路由器的后台终端。一些路由器设置向导,将自动将管理员密码修改为您访问无线网络所需使用的密码。因此,如果当默认密码无法工作时,请试试无线访问密码。 在这里我要特别警告:如果您弄乱管理界面,则会严重妨碍网络访问能力;但是,如果您如果并未变更任何事项时,您的网络访问能力将不会出现损害。因此,访问路由器后台程序是完全安全的,您需要做的是,保持谨慎且在尚未了解路由器后台程序时,切勿弄乱路由器后台程序内的任何事项。如果您弄错路由器后台程序设置,最好的方法是重启路由器,并从出厂设置开始重新开始设置进程。 如果您的路由器访问管理密码和无线网络密码相同,则设置正确。如果您仍可使用默认密码访问路由器后台终端——或如果您希望路由器具有超强的安全性——那么您需要修改路由器密码,但我们需要在导航至修改路由器密码界面时,方可实施该项操作。 头等重要的事项:确保已启动加密功能。该功能并非简单的加密功能,而是安全性强的加密功能。理想状态下是WPA或新颖的WPA2或有时是WPA及WPA2混合加密功能。WEP是原有的加密功能,其安全性相对较弱;在可能的条件下,应避免使用WEP。如果您已使用WPS实施设置进程,则WPA或WPA2将处于启动状态,您的数字设备及路由器之间的数据传输将可获得安全性强的加密保护。此时,您还可以确保启动Ipv4及Ipv6数据传输所需使用的防火墙。再次提醒,如果您使用WPS实施设置进程,则上述各项都应处于启动状态。另外,VPN数据传输也应处于启动状态(有时,在默认条件下,VPN即处于启动状态)。 启动HTTPS将可加密您的登陆数据,并在您在和路由器后台程序互动时,保护您免受中间人攻击或其他类似攻击。 启动HTTPS将可加密您的登陆数据,并在您在和路由器后台程序互动时,保护您免受中间人攻击或其他类似攻击 在绝大多数路由器的管理界面中,您将会看到”无线”标签。在该标签下,您或许会看到”无线安全”子单元。如果您点击该子单元,则您将可以查看无线访问密码——或许该界面将以直接文本形式显示无线访问密码。无论因何原因,如果您需要修改无线访问密码,则您可在该界面中实施密码修改进程。另外,在管理界面中还存在”管理”标签。在该标签下(假设存在该标签),您将会看到类似于”路由器密码”的字段。您可以在”路由器密码”界面下,修改进入路由器管理界面所需使用的密码。如果当前的路由器密码仍为默认密码,则您需实施密码修改进程。 在此界面下,您还可以看到其他若干个安全选项。其中之一是,您可能会看到允许您打开HTTPS的按键。启动HTTPS将可加密您的登陆数据,并在您在和路由器后台程序互动时,保护您免受中间人攻击或其他类似攻击。但是,我建议您无需启动该功能,或在谨慎考虑后,决定是否需要启动该功能。其原因在于,在我首次启动HTTPS功能后,路由器后台程序界面运行的速度极慢。如果您时间充裕且有足够的耐心,则启动HTTPS绝对是最佳选择,但您将可能偶尔会遇到可用性及证书问题。更为重要的是,请确保远程管理功能处于禁用状态。在此条件下,如果任何其他人希望访问您的路由器后台程序,他或她将首先需要连接网络。如果您希望路由器可获得极强的安全保护,您还可以禁用无线访问功能;这也就意味着如果用户希望访问路由器后台程序,则用户必须使用网线,通过物理连接的方式,连接路由器。 在管理标签下,还可能包含可允许您升级固件的子标签。有时,路由器中也可能会出现安全漏洞;因此,路由器生产商将会升级路由器的控制程序。和操作系统及其他软件不同的是,路由器生产商不会向用户发送此类升级程序包。您需要自行下载此类程序包。为完成下载升级程序包的目的,您可以首先使用谷歌搜索引擎,并输入路由器的品牌、类型及”固件升级”字样;然后,您需要了解所使用的固件版本。在路由器后台程序界面中,可能列述一些有关固件程序版本的信息。通过上述步骤,您将会查找到固件升级所需的网站链接。为完成固件升级,您仅需要下载并保存更新文件,然后导航至后台程序界面中的固件升级单元,并按照说明实施固件升级操作。通常情况下,您仅需要点击”浏览”键或”选择文件”键,并搜索计算机文件,然后选择您刚下载的固件升级文件即可。  

了解三星诺克斯

作为手持设备及所有相关科技产品的生产商—三星公司,已开发出名为诺克斯的安卓安全环境。该安卓安全环境旨在解决IT团队在努力处理自带移动设备(BYOD)时代面对的安全问题细目清单中的相关问题。在自带移动设备时代中,公司员工及管理人员存在需允许在公司网络中使用个人设备等类似需求。   诺克斯被三星公司吹捧为全方位的安全解决方案,该安全环境可增强从硬件至应用程序水平至安卓框架自身的一切事物,但诺克斯最为智能的功能(或许是最具市场前景的功能),仅是可从专业应用中区分出个人应用。 诺克斯的第二项功能为容器功能,该功能可在常用操作系统条件下,提供安全的安卓环境。处于安全状态的子操作系统自身拥有独立的主页界面、启动程序、应用程序及附加组件。所有储存在容器中的数据及应用程序可完全独立于其余的操作系统程序。容器内的任何程序及进程都无法和容器外的任何进程互动或通讯,反之亦然。换句话说,通过使用该功能,您可以拥有标准且安全的安卓环境,并且容器内外的程序永无交集,除非在特定状况下,用户可授权容器内的应用程序,通过仅读取的方式,访问容器外的数据(如,在启动该功能选项的条件下,容器内的应用程序可查看容器外应用程序的接触状况)。 除容器自身所带有壁垒特征外,用户还可使用高级加密标准(AES)加密器(一种256位秘钥的加密算法)加密容器内的所有文件。诺克斯还允许IT团队具有在每个应用程序的基础上,对数字装置所处的虚拟专用网络实施配置及管理。 三星公司认为,诺克斯可通过三项新功能,大幅增强安卓平台的安全性。这三项新功能为:可自定义的安全启动功能、基于安全扩充区(TrustZone)的集成测量架构(TIMA)及安卓系统安全增强功能。三星公司声称,对于安装诺克斯的设备来说,安全启动功能是第一道防线,该功能可确保仅经验证及经授权的软件可在设备启动时运行。TIMA可监测系统内核。系统内核,可简单表示为每个操作系统的基础组成部分;系统内核可帮助促进各种设备零配件及设备中所运行软件之间完成通信及各种进程。TIMA仅监视系统内核,并可确保每个事项处于良好运行状态;在内核以某种方式遭到破坏或内核完整性遭到攻击时,切断设备电源。安卓系统安全增强功能可使得用户将特定数据及特定应用程序防止在隔离区内,以便于在遭受攻击或破坏的条件下,使系统影响达到最低,并且仅可能对已隔离的问题数据或应用程序造成影响。 除了上述事项外,诺克斯还配备有其他安全管理功能。此类安全管理功能旨在帮助IT团队在公司网络中部署个人或员工自己的安卓设备,以使得IT团队成员无需担心来自于外界的恶意软件及其他恶意程序。 从基本方面来看,在您的安卓设备上运行诺克斯,可防止您及您的雇主出现数据泄露状况。通常情况下,当有价值的信息从安全性高的网络(如:企业网络)向安全性低的网络(如:家庭网络)传输时,会发生数据泄露状况。这正是应用诺克斯的关键所在:通过运行诺克斯,可在保护您的雇主免受外界威胁的同时,还可允许您使用自己钟爱的移动设备实施工作进程。但是,诺克斯无法防止您下载恶意程序,也无法防止恶意软件感染您的设备,因此您仍需继续在设备上运行专用的移动设备安全防护产品。 和所有新事物一样,只有通过时间检验才能告诉我们三星诺克斯的性能究竟如何。可以肯定的是,在理论上诺克斯功能比较强劲,但诺克斯开发为成品的时间仅不足1年。在当前,三星已向有限的企业级用户推出该产品六个月有余;在本月早些时候,三星也已向更广泛的消费者用户推出诺克斯产品。这使得诺克斯和其他仅面向企业级用户的BYOD解决方案区别开来。如果您正在试用诺克斯产品,则请在评论中告诉我们有关您对诺克斯产品的看法。  

保护整体家庭网络及所有和该网络连接的设备

保护您的家庭网络的艰巨程度,类似于创建您的家庭网络。如果您的家庭网络仅由无线路由器及笔记本电脑组成,则为您的家庭网络提供保护将是一件相对简单的事情。但如果您的家庭网络由路由器、若干台计算机及移动设备、一系列无线网络连接的打印机及智能电视、支持wi-fi的安全系统组成,则为您的家庭网络提供保护将是一件非常困难的工作。按照普通规则,在您的家庭网络中连接的设备越多,越难提供安全保护——尽管我认为随着物联网的深入发展,此类和家庭网络相连接的设备将更为简洁,但到目前为止,该普通规则仍可适用。 基于理性方面的考虑,让我们首先假设您的家庭网络较为简单,仅由路由器、两台计算机、智能手机或平板电脑组成,或许在您的家庭网络中开存在一台或两台经网络连接的打印机;及为了娱乐还连接一台智能电视及XBOX或其他经无线连接的游戏机。 最有可能的场景是,家庭网络中的所有设备通过您的路由器,以无线连接的方式连接至网络中。因此,您的路由器将成为您家庭中所有设备的互联网通信枢纽。推而广之,如果您的路由器设备未处于安全保护状态,则您家庭中的所有设备都将未处于安全保护状态。您还可能通过复杂的以太网连接缆线系统,使您家庭中的所有硬件设备连接路由器。该连接方式可提供更好的安全性,但会带来极大的不便(更不用提可能造成的网线混乱)。 让我们从路由器开始介绍。很明晰先,您需要通过使用单一且不容易被猜到的密码,为无线网络提供保护。绝大多数新路由器产品,都将向您提供设置访客网络的功能。请一定要设置访客网络。鉴于访客网络使用其自身的单一密码,以使得客人希望通过您的家庭网络连接互联网时,可使客人使用访客 网络连接互联网。在此条件下,您可以更好的控制连接常用网络的家庭设备,并从实质上将未知设备分离至您无需使用的单独网络。 仅通过使用路由器创建的密码,保护您的无线互联网连接网络是远远不够的。几乎所有您可以购买到的路由器都将具有管理面板。您可以通过在浏览器地址栏中,输入一串IP地址,进入路由器的管理界面。通过使用谷歌搜索引擎或其他搜索引擎,在搜索栏中输入”【您的路由器型号】+IP地址”,你可以找到进入路由器管理界面所需的IP地址。如果您在网页浏览器地址栏中输入已查询到的IP地址,并等待几秒钟后,网页浏览器将显示需输入用户名及密码的界面。用户名可能是”admin”,同样密码也可能是”admin”。再次提醒,如果您并不知道路由器的用户名及密码组合,则请再次使用搜索引擎查询。您一定可以利用搜索引擎找到所需的路由器用户名及密码组合,相信我。 您的路由器将成为您家庭中所有设备的互联网通信枢纽。推而广之,如果您的路由器设备未处于安全保护状态,则您家庭中的所有设备都将未处于安全保护状态。 您的路由器将成为您家庭中所有设备的互联网通信枢纽。推而广之,如果您的路由器设备未处于安全保护状态,则您家庭中的所有设备都将未处于安全保护状态。 如果您希望进入路由器的后台终端,则您需要保持谨慎。我建议您不要过多弄乱路由器后台终端的设置。因此,完成该步骤后,您的无线网络将受密码保护,但您的路由器管理面板密码不同于无线网络密码。一旦您进入路由器后台终端,则您可导航至无线安全界面,并查看以文本显示的无线防伪密码。为连接各站点:这也就意味着——即便在不了解您的无线网络密码的条件下——攻击者仍可能使用默认密码及用户名访问您的路由器,然后查看甚至修改以纯文本形式显示的无线访问密码。因此,修改管理面板访问密码是您必须完成的工作。 有些路由器需要您进入后台终端,方可完成管理面板访问密码的修改进程。对于我的路由器来说,在后台终端用户界面中存在”管理”选项卡。如果我点击该选项卡,则我可以看到两个输入框,其中一个输入框为”路由器密码”,而另一个输入框为”重新输入,确定路由器密码”。我所要做的事情是,在”路由器密码”中输入安全性强且单一的密码,并在另一个输入框中重新输入相同的密码,然后点击”保存设置”键。完成上述步骤,我就已完成路由器密码的设置。许多路由器通常会提供设置向导,以便于在您初始设置路由器时,为您提供设置步骤提示。 此时,您仍将处于后台终端界面中,您可以在该界面中查看到”无线”选项卡。您应当进入”无线”选项卡界面,并进一步查找,直至发现”无线安全:部分为止。在”无线安全”部分,您可以查看以文本方式显示的wi-fi访问密码。在这里,您还可以查看所使用的加密类型。绝大多数新式路由器产品都使用WPA/WPA2加密方法。这是一种性能卓越的加密方法。但是,如果您使用的是老式路由器,则此类路由器中可能会使用WEP加密方法。WEP加密及容器被破解,因此使用该加密方法可能会使攻击者监视您的信息传输。如果您的路由器加密类型设置为WEP,则您应将该加密类型更改为WPA或WPA2.如果您无法更改WEP加密类型设置,则您应购买一款新路由器。 另外,您还可以完全禁用无线管理访问功能:这也就意味着,为访问路由器后台终端,您需要使用以太网连接电缆,直接连接路由器,以访问路由器的管理面板。我们已发布一篇有关此方面的博客文章,您可以通过阅读该文章了解锁定路由器方面的所有事项,因此,请在返回后,从卡巴斯基每日博客中查找该文章。 下一步,我们将介绍连接在您的家庭网络中的计算机及移动设备。一台计算机受恶意程序感染后,该计算机将对连接网络造成多方面的影响。从理论上说,基于您的各种计算机和网络自身之间的连接关系,恶意程序可能会感染您的家庭网络中的所有设备。除此之外,键盘记录程序(一款可记录键盘敲击事项的恶意软件)可使得攻击者发现您的无线连接密码,并通过访问您的家庭网络及路由器,实施中间人类型的攻击。 若干年前,在我居住的公寓楼中有一位马萨诸塞州大学的老师曾上传及下载儿童色情内容。对于该老师隔壁的邻居来说,这是一件不幸的事。这位老师在发现其邻居的无线密码后,通过邻居的无线网络访问互联网。无论邻居怎样修改他那安全性弱的无线网络访问密码,这位老师总可以利用一些其他方式获得邻居的无线访问密码。无论如何,有一天DHS及FBI带着搜查令敲开了这位老师邻居的房门。DHS及FBI铐住这位老师的邻居,并将其拖出公寓。在拷问这位老师的邻居的同时,DHS及FBI还搜遍了他房间内的所有事物。经过对其网络及计算机实施分析,DHS及FBI快速人士到,恶意信息传输并非来自于这位小伙子的设备,而是来自于隔壁这位老师的设备。 这可能是一个略显极端的实例,但类似实例说明,如果您的设备被恶意程序感染,并已成为僵尸网络中的一员,则您无法确定这台受感染的计算机将会给您带来什么影响。僵尸网络可以使用您的IP地址及您的计算机,实施任何类型的肮脏及非法活动,进而会引起执法部门的注意。执法部门会认为是您本人而非僵尸网络,制造的所有恶意信息传输。 有鉴于此及其他诸多原因,您必须确保处于您的家庭网络中的所有计算机,同样可以受到安全保护。尽管您的网络的安全水平等同于您的路由器的安全水平,但您的路由器的安全水平,实际上仅等同于连接该路由器的计算机的安全水平。从简单层面上来说,您可以使用 计算机实施路由器配置进程。从另一层面来说,如果您的计算机在遭受黑客攻击后,无论路由器的安全水平多高,实际上攻击者已可访问您的网络。因此,请确保您仅使用具有强安全性的产品。无论在您的计算机上,还是在您的移动设备上,都请使用具有强安全性的安全防护产品。 请在计算机、智能手机、平板电脑、打印机、路由器(如果路由器需要更新,您需要首先了解此类更新)、智能电视、游戏机及其他数字装置接到硬件及软件更新提示后,安装此类更新程序。几乎我所读到或撰写的所有恶意软件及漏洞利用工具包,其目标都是已知且需修复的程序漏洞。让我再次提醒,对于几乎我所知道的所有用于攻击程序漏洞的恶意软件来说,恶意软件可以感染的程序漏洞都是程序软件供应商已提供修复补丁的程序漏洞。如果您及时安装此类更新,则您可以在最大程度上获得抵御恶意软件威胁的安全保护。问题在于,或者您或者我或者其他人可能会拒绝更新其软件程序。如果您希望我提供一条有关安全保护的建议,那么该建议就是请及时安装软件更新程序。为使得家庭网络处于安全保护状态,必须使该网络中的所有设备都处于安全保护状态。 事实上,对于智能电视、游戏机、网络打印机来说,我不确定除了及时安装更新程序外,您还可以做其他什么事情。上个月,我曾参加在拉斯维加斯召开的黑帽安全会议中的一些研讨会议及新闻发布会。在这次安全会议上,研究人员的研究结果表明,当您的智能电视遭到黑客攻击后,黑客实际上已攻破您的家庭网络。当前,市面上尚未出现针对此类数字设备的安全保护产品,因此您可以做的仅是期望产品供应商留意相关研究结果、修复产品中的安全漏洞并为受感染的设备发布具有修复功能的补丁包。值得庆幸的是,绝大多数研究人员在公布其研究结果细节之前,已向产品供应商提供此类研究结果。现在安全研究人员和科技公司合作,已成为处理此类设备安全问题越来越普遍的方式。因此,在研究人员发布其结果数据之前,科技公司已修复其产品中存在的漏洞。 真实的现状是,针对连接在您的家庭网络中的所有设备,您都希望确保已遵循最佳的安全实践,但对于安全性较弱的网络连接来说,您可以确保家庭网络安全性的措施仅为:密码保护、及时更新、运行安全保护产品,及始终通过阅读卡巴斯基博客及其他有关安全性的博客,掌握有关网络威胁的新知识。  

对现代化的汽车实施黑客攻击

如果您按照自己的规律方式,定期阅读卡巴斯基每日博客,则您可能已经了解到,当前针对现代化汽车实施的黑客攻击是极可能存在的。实际上,我已经基于威斯康星州大学及加利福尼亚大学的研究研究,于2010年在圣地亚哥市开展的广泛研究,撰写了一篇有关此方面的文章 。当然,唯一的问题在于,该研究为2010年实施的研究项目。幸运的是,著名的苹果公司黑客及富有盛名的计算机安全研究专家查理· 米勒博士(Dr. Charlie Miller)及IOActive公司的安全情报主管克里斯 ·维拉塞克(Chris Valasek)在上周的Def Con安全会议上,已就此方面的问题发表演讲。Def Con安全会议在拉斯维加市的里约酒店(跨过高速公路极为凯撒宫),该会议以黑帽安全协议问题结束。   此外,维拉塞克及米勒的研究——该研究报告超过100页——其研究范围也比先前的研究更为广泛。米勒及维拉赛格详细介绍了其试验所使用的汽车;而UC圣地亚哥及UW的研究员却未对此方面予以介绍。维拉萨克及米勒发布了所有有关漏洞的信息:汽车计算机通信所使用的代码、及如何操纵和欺骗汽车计算机、车载计算机的布局、如何通过网络连接车载计算机及其他信息。除此之外,研究人员还在公路上对测试所使用的汽车实施了黑客攻击。研究者在测试所用的汽车后座上,使用笔记本电脑以幽默的手法描绘出福布斯记者安迪· 柏林伯格试图驾驶受攻击汽车的场景(该汽车处于被研究员控制的状态)。 在我们正式进入这个有趣的话题之前,首先回顾一下汽车内的各种电子组件及车载计算机:现代化汽车中包含名为电子控制单元(ECUs)的小型计算机。在各种不同型号的汽车里面存在多个ECU,一些汽车里面所装载的ECU数量甚至已达到50个。此类ECU起着各种不同的作用。在米勒及维拉塞克试验所使用的汽车中,相互独立的ECU可起到控制、监视及帮助调节各种汽车操作。此类操作从发动机控制至电源管理至转向至防滑控制(防闭锁分断系统)至安全带闭锁至安全气囊至泊车帮助技术至名为综合性仪表组件范围内的各种操作,及其他若干项我从未听说过的装置操作。几乎所有的ECUs都通过网络和控制区域网络(CAN)总线相连接。CAN总线和ECUs一起组成现代化汽车的中枢神经系统,通过相互之间的通信报告车速、发动机每分钟转速;或在即将发生事故的条件下,向防碰撞系统发送消息,以使得汽车可以启动刹车装置、关闭发动机、闭锁安全带及其他一切当汽车发生碰撞时应实施的安全措施。绝大多数此类信号由内置于ECUs中的传感器触发。 为使得研究更有价值,维拉萨克及米克对2010年版的福特Escape车型及2010年版的丰田普锐斯车型实施测试。其研究结果可以直接或可从理论上,适用于其他品牌及型号的现代化汽车。 研究人员购买了价格较为便宜的ECOM电缆,该电缆不但可以连接ECOM设备,而且还可以通过USB端口,插入基于Windows操作系统的设备。经轻微修改后,研究人员可将ECOM电缆插入汽车的OBD端口(该端口处于方向盘下方,可在你汽车检修及其他相关工作中使用;在该端口中插入诊断工具后,可以重置发动机密码,关闭发动机指示灯等)。针对通过CAN总线相互通信的ECUs, 在向OBD端口插入ECOM缆线后,研究人员可以监测此类ECUs的通信状态,并了解ECUs之间的通信,如何影响两辆汽车的操作。在掌握ECUs之间的通信协议后,研究人员针对ECUs完成实施欺骗操作所需的准备工作(向汽车输入研究人员自行编制的信号,以模仿每个ECU s通过汽车CAN总线传输的信号)。 研究人员发现,他们可以操纵汽车的车速表、里程表及燃油表。 研究人员发现,他们可以操纵汽车的车速表、里程表及燃油表 基于测试所使用的汽车,研究人员可使汽车完成各种不同的操作。针对每辆汽车,研究人员所实施的操作,我将在下文中对此类极具趣味性的事项予以描述。如果您希望了解更多的信息,则请阅读维拉塞克及米克提供的报告。 研究人员发现,他们可以操纵汽车的车速表、里程表(用于测量汽车已行使距离的仪表)及油量表。在车速表方面,研究人员发现负责监测车速的ECU通过CAN总线,向ECU控制仪表盘重复发送信号。为使得车速表相信研究人员伪造的车速信号,研究人员向仪表盘发送的虚假信号量远大于实际负责监测车速的ECU所发送的信号量。一旦研究人员按照正确的信号发送频率,发送伪造的车速信号,则车速表则将显示任何研究人员所伪造的车速。 普锐斯的车门可通过ECU上锁及解锁。鉴于车锁配备有物理覆盖装置,这也就意味着研究人员无法将其他人锁在车内,但研究人员可以通过在车外解锁进入车内。 对于福特车来说,研究人员实施了拒绝服务的黑客攻击,通过对负责监测转向且通过CAN总线传输信息的ECU实施洪水炸弹攻击,可以关闭汽车的动力转向功能,并使汽车转向半径仅为全转向半径的45%。研究人员还发现,他们可以操纵泊车帮助模块(该模块的ECU可以控制平行泊车功能)。但是,研究人员承认,鉴于泊车帮助系统仅可使汽车在极低速度条件下形式,因此研究人员可造成的最大破坏仅是可使测试汽车撞上附近正在试图平行停靠的另一辆汽车。 同样,研究人员也成功扰乱了普锐斯的转向帮助系统。鉴于普锐斯中的ECU处于出厂设置状态下,因此仅在倒车及行驶速度低于每小时4英里的条件下,才可使用自动泊车帮助功能。维拉塞克及米克通过攻击成功欺骗汽车,使汽车在正常向前驾驶状态下,认为其处于倒车状态;或在汽车行使速度超过每小时4英里的状态下,认为其行使速度低于每小时4英里。研究人员无法像自动泊车功能那样使车轮精准转向,但研究人员可以控制车轮紧急转向,亦即使车轮突然转向另外方向。 普锐斯还具有车道保持功能。通过使用该功能,在普锐斯检测到驾驶员驾驶的汽车偏离车道时,可使得汽车稍微回转方向。负责实施该功能的ECU仅可使方向盘转向5度。研究人员成功对普锐斯的该项功能实施黑客攻击。尽管5度转向的转向角度较小,但研究人员指出,如果车辆处于高速行驶状态,或正在拥挤的道路上行驶,即便是5度转向也可能造成严重的后果。 对于福特汽车来说,研究人员可向CAN总线发送汽车刹车装置漏油的命令。在汽车刹车装置漏油时,汽车处于无法停止。刹车装置漏油攻击仅可在汽车行驶速度低于每小时5英里的条件下完成。尽管该车速相对较低,但在测试进程中,研究人员仍足以使福特Escape撞向车库墙壁。 福特汽车可通过CAN总线发送停止1个或多个活塞运行的消息命令。维拉塞克及米克重新编辑该命令代码,并重复不断的向福特汽车发送该命令。在研究人员停止发送该命令代码之前,福特汽车无法启动。尽管普锐斯的发动机关闭功能的技术特点不同,但其运行实质相似;因此普锐斯同样存在该漏洞。 研究人员还发现,福特汽车中存在1条可同时给关闭所有车内灯及车外灯的命令。在汽车处于停止状态时,负责控制车辆照明的ECU,仅可接收该命令。但是,在福特汽车处于停止状态的条件下,当研究人员向福特汽车发送该命令后,即便是再次处于移动状态,汽车仍在遵守该命令。可发动关闭所有车灯攻击,意味着研究人员可使福特汽车在无刹车灯的条件下,行使在高速公路上。另外,在泊车后研究人员还可通过攻击负责控制刹车开关的ECU,致使车辆无法开出泊车位。同样,对于普锐斯来说,在驾驶员启动车灯”自动”控制功能(该功能可使得普锐斯根据车外的光线强度,自动打开及关闭车前大灯)的条件下,扰乱普锐斯的车前大灯开关操作(打开或关闭车前大灯)。 在试图扰乱普锐斯巡航控制模块的测试中,研究人员未能致使普锐斯在巡航控制状态下突然加速,这是个好消息。但研究人员声称,他们可以通过欺骗汽车中的防碰撞系统,使普锐斯认为即将撞击前方的物体,而致使普锐斯巡航速度下降甚至完全停止。在该状态下,即便驾驶员连续踩下油门,汽车仍处于制动状态。为使得普锐斯的加速不受巡航功能的公制,研究人员必须将连接ECOM的电缆,直接连接至动力管理控制台(该控制台中的ECU负责控制汽车的加速操作);其原因在于,该控制台的ECU并未连接CAN总线。研究人员仅在驾驶员踩下油门后的数秒内,控制普锐斯的加速操作。尽管如此,汽车的意外加速也可能造成潜在危险。 防碰撞系统的另一项功能为,可以启动安全带电动机,使车辆在发生碰撞之前,拉紧安全带。维拉塞克及米克可随意控制普锐斯安全带的拉紧操作。

发送谷歌都无法阅读的Gmail

谷歌公司为用户提供了一些具有极强安全保护性的控制措施,如可防止黑客窃取用户账户的双重认证,及可允许用户账户在遭到黑客攻击时,可使用户恢复其用户账户的其他控制措施。不幸的是,为向用户提供量身定制的广告,谷歌公司一直监视其免费提供的邮件服务;或者当国家安全局的工作人员,拿着联邦情报监视法院的授权令,敲开谷歌公司在加利福尼亚州山景城的总部大门时,谷歌公司工作人员别无选择,只能上交从用户各种谷歌账户中获取的数据。   发送谷歌都无法阅读的电子邮件 行业大佬正在阅读您的电子邮件 总部位于圣弗朗西斯科市的邮件管理公司—Streak,近期开发出一款功能卓著且基于开源Chrome的安全Gmail(SecureGmail)产品。通过使用该产品,用户可对邮件信息本地加密,因此谷歌公司将无法访问已发送的加密信息内容。这样不错!谷歌服务器中接收到的是完全无法阅读的加密文本。如果谷歌都无法阅读您的电子邮件,那么可以肯定的说,其他人也无法阅读您的电子邮件。 我曾酝酿召开一次有关”对于工作来说,使用Gmail是否安全”的讨论,但使用SecureGmail   在你选择收件人并完成电子邮件撰写进程后,系统将提示您创建邮件密码。当收件人接到该邮件后,系统将提示邮件接收者输入密码。如果收件人尚未安装SecureGmail,则系统将提示收件人安装SecureGmail程序。在收件人输入密码后,他/她将可阅读邮件信息。该工作进程类似于:自由隐私服务。 很明显,仍需解决的问题是,如何确保密码的安全传输?最佳的选择是亲自告知收件人。但在现实生活中,该方法可能不具可行性。SecureGmail同时会要求您创建密码提示。该方法可能是安全传输消息的方法之一,在此状况下,即便是收件人也不会接收到密码。但是,你需要非常巧妙的使用该功能。 请谨记:SecureGmail可提供的安全性强度取决于您所创建密码的安全性强度,您所创建密码的安全性强度等同于您所选择邮件传输方法的安全强度。通过混合大写、小写字母及符号,创建完全随机的字母数字混合密码后,以邮件方式将密码发送给收件人不是一个好主意。您可以通过电话或通过互联网将密码告知收件人,但该方式的安全性较低。请勿通过Gmail或其他谷歌服务向收件人发送密码,这会完全丧失使用SecureGmail的必要性。再次重复,告知收件人密码的最好方式,是在收件人耳边轻声将密码告知收件人。请使用具有创造性的方法发送密码;您还可以考虑使用间谍措施。 如果他人已在您的计算机上安装键盘记录程序,或已通过其他方式破坏您的计算机,则您的密码仍无法起到任何安全保护作用。因此,请确保及时更新及运行功能强健的杀毒产品。 加密是互联网安全的中坚力量。SecureGmail扩展程序是一款极佳的安全保护程序——事实上是有关此方面的最佳安全保护程序——其原因在于,该扩展程序可使用几乎任何人都可掌握的简单易懂方法,改善敏感信息的安全性。更好的是,您可以掌控邮件的安全性!

物联网安全

2011年下半年,中国黑客曾彻底摧毁美国商会服务器,并通过毁灭性的后门链接,入侵美国商会游说小组的网络。美国商会官方承认,黑客已获取任意访问商会计算机系统的授权,并已窃取从核心电子邮件至国际商贸文件至企业会议备忘录在内的所有信息。总而言之,美国商会已成为完全传统式APT型黑客攻击的受害者。在众多类似黑客攻击的案例中,让我对这次黑客攻击记忆深刻的原因在于,当实施黑客攻击后的清理进程时,调查者发现国会山建筑中的一个恒温器装置正在和中国境内的一处IP地址不断通信。   物联网安全 如果您读到此处,您是否会发现,现在您已拥有多件可以连接互联网的装置,而在五年前,您根本无法使用此类装置访问互联网? 这正是”物联网”的本质所在。互联网曾是通过集线器连接计算机及服务器的网络。从这一点来说,物联网的扩张速度如此之快,以至于我都已对计算机本身定义感到模糊。现在,几乎所有事物都有其IP地址并都可以连接互联网:汽车、家用电器、医疗设备、电话、游戏机、谷歌开发出的互联网接入眼镜,我甚至听说现在已有可以发送推特消息的啤酒桶龙头。 如果把互联网安全性比作迷宫,则迷宫的进出口越多,就越容易逃离迷宫。同样的道理,连接网络的设备越多,黑客攻击网络的机会也就越多。简而言之:每个设备都代表进入网络的可行途径,推而广之,每台机器也是如此。 连接网络的设备越多,黑客攻击网络的机会也就越多。简而言之:每个设备都代表进入网络的可行途径,推而广之,每台机器也是如此。 连接网络的设备越多,黑客攻击网络的机会也就越多。简而言之:每个设备都代表进入网络的可行途径,推而广之,每台机器也是如此。 对于系统管理员及IT团队来说,这无疑是一场噩梦。越来越多的企业都不得不采用自带移动设备(BYOD)策略。 可以设想,让大量员工在其个人对现代科技拥有不同理解程度的条件下,将成千上万的不同设备连接至企业网络中,将是多么可怕的一幕。我可以肯定是,对于并不太了解网络支持技术的我们来说,这将是一种无形的威胁。 在物联网中存在着更为明显的威胁。对于苹果、谷歌、微软及其他计算机巨头公司中负责设计操作系统及软件的工作人员来说,他们首先考虑的问题就是安全性。确实,这些工作人员正在通过各种技术工具或补丁包处理已出现的所有漏洞及缺陷,但至少这些工作人员在考虑有关安全性的问题。 另一方面,对于可以调节附近游泳池中化学物质的工业控制盒来说,我不敢确定此类控制盒产品的设计者,在使控制盒连接互联网,以便于游泳池操作员可以定期远程调节泳池内化学物质的时候,是否考虑过安全问题。相同的逻辑可以扩展到一切可被黑客攻击的机器:带有公共利用概念,但可被黑客利用无线技术攻击的装置、通过内嵌方式安装的医疗设备(如心脏起搏器及胰岛素泵)、或大型商务飞机等等。从电视至新时代智能计量装置在内的任何事物都可能成为潜在的受攻击对象,但当前仍未有人为此类装置或设备设计安全保护产品。当前,功能强劲的互联网安全防护产品通常仅可以保护计算机免受恶意软件感染。对于此类可连接互联网的小装置来说,却无任何安全防护壁垒。 如果您认为我们在这里虚张声势,那么请阅读有关卡纳僵尸网络的相关资料,该僵尸网络曾因2012年互联网普查结果而名噪一时 在美国,可对此类事物提供保护的唯一方法是,推行相关的国家监管法律。 在美国,可对此类事物提供保护的唯一方法是,推行相关的国家监管法律 从互联网连接整体角度来看,当前的现实是:过多的设计者为获取大量利润,设计出过多相互并不兼容的系统,以向用户推出可操作的产品;但当把产品推向市场时,却未对产品提供必要的安全保护措施。在美国,可对此类事物提供保护的唯一方法是,推行相关的国家监管法律。不幸的是,鉴于此类法律将对获利企业造成广泛影响;因此,此类法律不太可能完成起草进程,更不可能完成立法进程。在华盛顿特区的立法者人群中,”监管”是个不太受欢迎的词汇。 美国食品及药品管理局及国家安全部门的工业控制系统计算机应急响应小组(ISC-CERT)已开始通过合作形式,试图使医疗设备生产企业采用更为严格的安全保护措施。该项合作仅可处理有限的安全需求;特别是,在考虑到近期ISC-CERT建议,使400余种医疗设备在使用默认登录证书的条件下,可以访问关键设备设置界面的条件下,更是如此。建议、指导准则及其他无约束力的警告,不太可能解决这一问题。眼下我们将不得不在无安全保护的条件下生活。您可以做到的仅是保持时刻警惕的心态。