Stefan Tanase

2 文章

不法分子无时不刻对你的手机进行窥视(通过不安全的Wi-Fi)

近期智能手机行业的迅猛发展以及各种用途手机应用的蜂拥出现,不可避免地导致在处理敏感数据时使用智能手机和平板电脑的增加。现在,人们通过移动设备发送或接受一些敏感数据和资料变得越来越普遍,例如在LinkedIn网站上发布你的个人简历,通过WhatsApp、Viber或其它类似应用将你的私人照片发给你的恋人,或在网银上输入你的一次性密码等等。不幸的是,就在你向周围的陌生人投去怀疑眼神的同时,大多数人并没有意识到,你的这些数据可以很容易地被离你10米远的不法分子所截获。 发生如此不安全状况的主要原因是使用没有任何保护的Wi-Fi网络以及在手机应用内缺少安全保护。在许多情况下,蜂窝网络依然价格高昂,在旅行途中使用更是如此。这也是为什么人们更倾向于使用机场咖啡馆以及酒店的Wi-Fi,但享受便利的同时却容易忽视其安全性。就在巴西世界杯开赛之前,我们的安全专家们在圣保罗进行了一些案例研究,以探究人们所使用的无线网络采用了何种加密方式,结果发现1/4的无线网络使用了开放式架构(无密码保护)。 在圣保罗,26%的Wi-Fi网络存在安全隐患。尤其在使用手机应用时,你必须打起12分精神。 如果你使用的是开放式架构的无线网络,任何人都可以发现你的流量并查看你正在传送的数据。如果你使用的WEP加密无线网络,不法分子可以在5分钟之内将其破解。对于世界上大部分的无线网络,不法分子只需数秒钟时间即可检测到。 我们给出的建议是只连接使用WPA的网络。 许多移动应用以非加密方式传输你的数据,或根本不会提示你任何存在危险的加密问题。 在使用移动应用时,则完全又是另一回事了。因为你根本无法知道应用在使用哪些协议。安全专家们发现在许多应用与服务器进行内部通讯时,使用的是公开协议。例如:使用HTTP而不是HTTPS,前者更容易遭受会话劫持、密码窃取和通话内容窃听的风险。举个例子,如果你正在使用即时通讯,人们可以看到在会话内的纯文本内容。这并不是我在危言耸听,事实上这一问题在移动应用中已存在许久。即使是Google、Facebook或推特这样的互联网巨头,在2011年,它们的手机应用中同样也存在SSL丢失的问题。一直到2012年夏天,非常流行的即时通讯手机应用WhatsApp依然是以非加密方式传输所有内容。如果诸位还在使用Yahoo即时通讯或ICQ软件,那不幸地告诉你—这两款软件依然使用纯文本协议,所有聊天没有经过任何加密,在开放式Wi-FI环境中可轻易被窃听。很难想象有多少应用依然在使用纯文本协议,即使在顶级的公司中间,也有一些还未使用加密。 许多应用在提升功能性的同时,却忽略了警告用户有关SSL证书的问题,使得用户根本无从防范周围不法分子的攻击。 当然,我们可以很容易地给出一些建议,像”不要使用涉及任何敏感信息的手机应用”,—但事实上却很难照做。如果你真的这样做了,你会感觉到好像活在了古代。下面,我将推荐一些较为保守的”疗法”: 只要有机会,就使用3G/4G服务代替公共场所的Wi-Fi; 总是选择有加密的Wi-Fi连接(WPA2); 在移动设备上加强虚拟私人网络的使用; 在公共环境或不信任的网络中,避免进行像网银这样的敏感操作(所有网络都包括在内,除了正确配置的家庭和办公网络以外)

Mt Gox倒台,比特币未来何去何从。

毫无疑问,对于所有人来说这是疯狂的一周,即便是对比特币略有兴趣的人也不例外。昔日全球最大的比特币交易商Mt.Gox倒闭,而此前近一个月,该网站就因”技术问题”暂停全部取现交易,倒闭的宣布最终结束了这一痛苦局面。 客户无法从这家全球最著名的比特币交易商处取回资金,因此Mt. Gox实际上已被清除出比特币生态系统,这导致在该交易网站彻底关闭之前,Mt. Gox的比特币交易价格就已暴跌至1比特币兑100美元。Pononix和Flexcoin两家比特币网站遭盗很可能进一步加剧比特币未来的不确定性。可以说,这一切都是意料之中的。 在2014年的预测报告中,我们曾提到针对比特币的攻击,特别是针对比特币矿池、比特币交易商和比特币用户的攻击将成为本年度最受关注的话题之一。这些攻击将尤其受到行骗者们的欢迎,因为它们的成本/收益比非常诱人。Mt. Gox事件可能是比特币有史以来最为严重的事件,据传共失窃744408个比特币,以目前的价格换算,相当于损失了3亿多美元。但唯一不确定的问题是幕后的黑手到底是什么。 置比特币交易安全于首位,重塑加密货币信心。 比特币协议中一个已知的漏洞是交易可塑性。在特定情况下,攻击者可利用这一漏洞针对同一交易发出不同的签名(或交易ID),使已完成的比特币交易看起来没有完成。即恶意用户向交易商要求提现比特币,成功提现后,抢在交易未纳入数据区块之前修改交易号,然后与对方联系,声称该交易没有发生,接着利用其他交易号再次申请提现,从而对同一笔比特币实现多次提现。 此类交易可塑性攻击是Mt. Gox当时为解释中止取现举措而提供的官方理由,根据这一解释,该公司似乎也是网络盗窃的受害者,但并不能排除此次事件是内部人员作案的可能性。 交易可塑性攻击并不一定要有内部人员参与,但确实有权直接访问交易系统的人操作起来更容易。当然,攻击也很可能完全是外部人员干的,但Mt. Gox应该掌握有相关攻击者的完整信息,原因很简单,攻击者是反复请求提现,声称因网络错误,导致实际取现并未成功。 目前唯一能做的是等待执法机构完成对此事件的调查,并寄希望于Mt. Gox和其他相关方能够与执法机构齐心协力找出攻击者,并努力弥补造成的损失。 至于比特币的未来,这疯狂的一周再一次为我们敲响了警钟,比特币生态系统确确实实需要的是了解安全性的公司。比特币是一种分散化虚拟货币,没有任何机构来强制实施安全标准和规范,那么现在就由我们,比特币追捧者和加密货币社区来制定标准,即只选择与符合以下标准的比特币公司合作:历史记录清白,对所涉及的技术,尤其是所要求的安全性有充分了解。但最重要的是,这些公司有意愿不断创新,愿意不断付出努力来赢得客户的信任。让我们齐心协力创造一切可能,使比特币重现辉煌!