Serge Malenkovich

“Just because you're paranoid doesn't mean they aren't after you” ― Joseph Heller

55 文章

移动监控的崛起

20世纪有许多侦探小说都是以主人公留意到被一些可疑人员跟踪而开始的。根据《耶鲁法律杂志》最近发表的一篇文章,由一组侦探老手执行秘密跟踪的估计成本为275美元/小时。 执行最高级别的跟踪需要配备五辆汽车和五名资深特工。即便像美国联邦调查局(FBI)这样机构要想有效跟踪2800多名嫌疑人,派出约14000名特工都不够。然而现在这一限制已不再是问题。随着现代科技的发展,无需任何特工在场就能对嫌疑人进行有效跟踪。研究人员估计,使用全球定位系统(GPS)追踪器能将跟踪成本下降到10美元/小时。若是运用法律权力要求移动运营商提供手机位置数据,则成本可进一步降到5.21美元/小时。 这实际上意味着FBI现在可以轻松跟踪的人数是上世纪的50倍。 跟踪一个人全部活动所需的成本仅为5美元/小时。越来越多对跟踪服务感兴趣的人都能支付得起。 然而,不仅FBI,美国国家安全局(NSA)或其他任何政府机构都能够进行这样的跟踪。智能手机向许多第三方提供了类似的时间/位置数据,包括生态系统所有者(Apple、Google或Microsoft)、移动广告网络(AdMob及其他网络)和应用开发者。像Moves这样流行的”健身类”应用,会收集并分析用户的位置数据,从而计算出用户行走的距离。但是,有些间谍应用软件能够对目标人物进行此类远程监视 - 无论是妒意十足的情侣、雇主还是竞争对手。 唯一能够避免这类廉价又有效的监视活动的方法十分极端 - 就是必须停止使用手机,或者出发去做重要的保密工作时,把手机留在家里/办公室。如果您只是略有些担心,则可以分析含有位置数据的应用列表,把暴露您位置的应用加以限制。下面是iOS中的设置界面和Android的专用隐私工具,可控制位置的数据共享。 此外,为了防范监控类手机恶意软件,您必须使用全面的移动安全解决方案,这也将保护您免受垃圾短信、网络钓鱼网站和设备被盗的威胁。

警惕反盗窃类应用程序漏洞

如果您的计算机运行了并非您主动激活过的反盗窃软件该怎么办?这些反盗窃软件能够远程访问您的计算机。即便更换硬盘也无法将他们删除。这听起来挺令人匪夷所思的,但实际上的确如此。 卡巴斯基实验室的恶意软件研究员Sergey Belov在着手调查妻子的私人笔记本电脑是否有软件类问题时,发现这一问题确实存在。电脑中有一个可疑程序引起了他的注意;一开始,他以为是找到了之前未知的隐匿进程,但结果发现这是一个合法进程,它是Absolute Computrace软件代理程序的一部分,而Absolute Computrace软件代理程序正是笔记本电脑常用的一种反盗窃解决方案。反盗窃跟踪软件的独特之处在于它在用户计算机中占用专属位置。其代理程序甚至在操作系统启动之前,就有一部分驻留在BIOS或UEFI中,BIOS或UEFI是能够在计算机启动时率先执行硬编码程序序列的芯片。这可帮助反盗窃跟踪软件不受”硬复位”乃至更换磁盘的影响。那么反盗窃跟踪软件最让人感到不安的是什么呢?Belov的妻子从未激活过该软件,也完全不知道该软件的存在。而进一步的分析更令人惊讶 - 恶意的第三方能够劫持反盗窃跟踪软件的代理程序,对受害者的计算机执行任何类型的远程入侵。反盗窃解决方案对于移动设备至关重要,因为窃贼青睐于偷取这类高价值的小型电子产品。反盗窃软件的设计工作并不轻松。软件必须极小且隐密,而且应该与某些总部服务器保持连接,以便在被盗后报告位置和采取行动。最后,反盗窃软件还必须能防止窃贼卸载软件。所有这些要求都意味着反盗窃软件要低调运行,并且必须对用户的设备具有很大的特权。但是如果这种强大的应用程序存在漏洞会怎样呢?更糟糕的情况是,黑客可以在你的计算机上为所欲为,完全控制你的计算机。 反盗窃解决方案对于移动设备至关重要,因为窃贼青睐于偷取这类昂贵的小型电子产品 我所说的并非纸上谈兵。在上周举行的2014年安全分析专家峰会上,我亲眼目睹了卡巴斯基实验室的Vitaly Kamluk和Sergey Belov进行的实际演示。这两名研究员拆开新买的一台华硕笔记本电脑包装,执行了一组典型的首次运行进程,然后用另一台计算机远程激活这台笔记本电脑的摄像头,最终启动了远程擦除程序。擦除过程是这样的:通过拦截未加密的网络数据包,并向回发送一些数据,然后模拟与原反盗窃跟踪软件服务器的通信来完成擦除。 现在,您可能会感到立即检查笔记本电脑中是否存在反盗窃跟踪软件代理程序刻不容缓。如果您计划要强制删除该代理程序,那就不用麻烦了,因为这一过程难度太高。该代理程序会与移除尝试展开斗争,尽力拒绝成功移除,这是合情理的,因为它是防盗用途的软件。为了实现防盗目的,反盗窃跟踪软件的BIOS部分会在计算机每次启动时都检查该软件是否存在。如果找不到该软件,则会从BIOS将此小程序安装到Windows操作系统。Windows启动时,此程序会从互联网下载完整版反盗窃跟踪软件代理程序,并使其处于被激活状态。正如2014年SAS峰会上所演示的那样,这一特定步骤极易受到远程控制。 完整的分析内容可访问Securelist博客,也可查看反盗窃跟踪软件代理程序活动标志列表。卡巴斯基安全网络中的数据表明,我们有150,000名客户的计算机上装有处于激活状态的反盗窃跟踪软件代理程序。据Vitaly Kamluk估计,全球有200万台计算机上已装有处于激活状态的反盗窃跟踪软件代理程序。而我们并不知道其中有多少是用户自己主动激活的。 反盗窃跟踪软件的BIOS部分被预安装在最流行的BIOS/UEFI芯片上,而大多数笔记本电脑都装的是这种芯片,包括宏碁、华硕、索尼、东芝、惠普、联想、三星等品牌。但是,有些笔记本电脑可显示启用/关闭反盗窃跟踪软件的BIOS选项,而有些不显示。此外,并非所有主板上装有BIOS组件的计算机都会运行反盗窃跟踪软件,该软件在许多计算机上是被禁用的。但是卡巴斯基实验室的研究人员发现一些全新笔记本电脑在首次开箱运行时,反盗窃跟踪软件代理程序就处于活动状态。为什么在这些电脑上反盗窃跟踪代理程序会被激活,究竟是谁拥有相应的控制权仍是个迷。

Facebook收购WhatsApp对用户的影响

Facebook收购WhatsApp事件近期登上报纸头条,社交媒体巨头Facebook斥资190亿美元,破纪录大手笔地收购了这家新兴的即时通讯服务商。WhatsApp拥有4.5亿用户-平均每位用户价值大约是42美元!WhatsApp向用户收取的服务费为1美元/年,显然,这笔收入在中短期内是无法涵盖收购成本的。这自然会让人们产生顾虑,WhatsApp是否最终会在应用中插入广告,并附带侵犯隐私的监视工具,包括消息扫描(请想想Gmail的例子)。那么是时候去寻找WhatsApp的替代软件了吗? 首先,请不要慌。这个问题还远未到要迫切解决的地步。在收购相关的新闻稿中,无论是Facebook的创始人马克•扎克伯格还是WhatsApp的老板库姆都强调说,WhatsApp仍将是一家独立的公司,具有自己独立的政策。库姆一贯以不认同以广告驱动的收入模式而著称,所以我们预计广告和分析不会太快出现。当然,万事都会随时间而变化,这种情况当然也会改变。即便您决定不再搭乘WhatsApp这艘船,你也有足够的时间来寻找完美的替代软件,并说服朋友切换到后者。 不用担心即时通讯的隐私性 不用担心即时通讯的隐私性。老实说,WhatsApp从来就不是真正意义上的保密即时通讯工具;以前甚至发生过几次泄露事件,包括一些可以进行窃听的漏洞。如今,WhatsApp在接收信息时使用合理加。另外服务商声称,用户的消息传递到接收方后就不会再被存储。所以Facebook数据挖掘程序是不能够挖掘到您的历史消息记录的。但是有一些专用工具可用于保密即时通讯,而且Facebook的收购交易与WhatsApp即时消息的隐私性无关。如果担心第三方会读取您的信息,请更多关注NSA或类似机构。 综上所述,大家不需要急着从WhatsApp换到其他移动即时通讯平台。保密数据不会在未加密的情况下通过标准通信通道发送,无论是Facebook、WhatsApp还是电子邮件均不例外。请使用安全专用工具来保护数据不被窥探。接下来要警惕的真正威胁是您会收到新一波的虚假电子邮件和消息,提醒您”确认WhatsApp帐户”、”选择不接受WhatsApp内部的Facebook广告”或类似内容。这些消息肯定含有恶意链接,一旦点击就可能会感染您的设备,或将页面切换至网络钓鱼网站,从而尝试盗取您的个人数据。WhatsApp和Facebook绝不会发送类似的内容,因此切勿落入这类圈套。

量子计算机及安全性的终结

早已在30年前,就已出现量子计算及量子通信概念;当时科学杂志拒绝发布任何有关此类主题的早期资料。其原因在于,量子计算及量子通信概念给人的感觉更像是科幻小说。现如今,我们已在现实中拥有量子系统;部分量子系统已进入商业销售阶段。量子计算机的出现为安全保护领域提出了需要解决的新问题(主要为加密问题)。   我们生活在充满无线电电波信号及电磁信号的世界中:Wi-Fi、GSM、卫星电视、GPS、FM调频、高速摄像机仅为我们日常生活中利用电磁波的若干实例而已。当然,计算机是该生态系统的重要组成部分之一,其主要形式为主机、笔记本电脑或只能手机。电磁信号的一项重要特征是具有可测量性。我们可在未对电磁信号做出改变的条件下,容易读取电磁信号的所有参数;而这也是为何现如今的上述科技需要实施加密保护的准确原因所在。通过加密,可为需传输的信息提供保护,以便于信息的读取及防止第三方篡改信息。通常情况下,实施通信的相关各方仅可使用唯一的渠道实现语音通信。加密系统的开发者们出色的解决了这一复杂的难题——在所有实施通信的相关人员都可彼此观察对方的条件下,如何妥善处理秘密信息加密密钥的传输问题。该问题的解决方案是所有现代安全保护系统的基础,而量子计算机可能会打破现状。量子密码是否会成为下一代安全解决方案?让我们拭目以待。 标语 名称”量子计算”及”量子密码”可以准确描述相对应的系统。此类系统的基础在于,微粒相互叠加及相互联系中产生的量子影响。 量子计算机无法解决绝大多数日常问题,但利用量子计算机可以快速解决现代加密算法中的一些数学问题。 量子计算机无法解决绝大多数日常问题,但利用量子计算机可以快速解决现代加密算法中的一些数学问题。对于因诸多理由希望窃听其同学Facebook会话的每个年龄仅为十几岁的黑客来说,其书桌上不会出现量子计算机的踪影。创建一台全范围的量子计算机设计多许多工程难题,部分专家认为实际上我们无法解决此类工程难题。最主要的挑战为确保量子位处于相互联系状态,其外因在于每个量子系统都趋向于回归至传统计算机状态(缺乏有价值且无法确定的属性)。在这里,我们不可避免的需要提及长期未决的”薛定谔的猫”这一问题,薛定谔的猫无法同时处于死亡及活着两种状态——但是,对于量子计算机来说,必须在长时间内保持这一奇迹般的状态,以拥有实施结果计算及测量所需的足够时间。现代量子计算机原型机可在若干毫秒(在部分实验中,可在两秒内)保持这一状态。当量子位计数数量增加时,该任务将变得更为复杂。为破解密码系统,计算机必须拥有500-2000个量子位(具体数量取决于算法及密钥长度),但现代量子计算机在最大限度下,仅可实施14个量子位的操作。这也是为何现如今的量子计算机无法用于破解您SSL证书的原因所在,但该状况可能在5年内发生改变。     所有的量子都处于上图右侧的白盒中     深度剖析:SSL、HTTPS、VPN等现代化系统的核心在于,使用密钥及对称算法实施加密的传统型加密数据。对于加密信息发送者及接受者(因此称为对称算法)来说,都在会话开始时,使用另一种非对称式密码系统,协商创建密钥。鉴于非对称算法的计算量非常大,因此仅在密钥协商进程中使用非对称算法。非对称密码系统安全性的基础是,需解决一些复杂的数学问题,如大量数值的整数分解(RSA算法)。对于如此大量数据的乘法或除法运算,将需要花费极为可观的时间,而结果仅是试图使结果按照顺序排序。因此密码系统的设置假设为:间谍可以通过网络连接实施窃听,但间谍需要耗费合理范围之外的时间量(给予密钥长度的不同,可能需要数千万年的时间)计算密钥及解密消息。事实证明,量子计算机可以在此方面提供帮助。使用索尔算法,量子计算机可快速达到所需解决数学问题的最终状态,其速度之快类型于普通计算机计算两个数值之间的乘法。尽管存在一些其他问题(诸如,需要数次执行相同的任务,及在传统计算机帮助下读取结果等),但量子计算机可能非常快速的寻找到所需的大值,进而帮助攻击者计算密钥及解密消息。 另外,无任何缺陷且功能良好的对称算法(如,AES)也可加速暴力破解进程。根据估计结果,在量子计算机上暴力皮接256位的AES密钥速度,等同于在传统计算机上暴力破解128位AES,因此安全水平依然很高。 问题的症结所在 对于因诸多理由希望窃听其同学Facebook会话的每个年龄仅为十几岁的黑客来说,其书桌上不会出现量子计算机的踪影。创建一台全范围的量子计算机设计多许多工程难题,部分专家认为实际上我们无法解决此类工程难题。最主要的挑战为确保量子位处于相互联系状态,其外因在于每个量子系统都趋向于回归至传统计算机状态(缺乏有价值且无法确定的属性)。在这里,我们不可避免的需要提及长期未决的”薛定谔的猫”这一问题,薛定谔的猫无法同时处于死亡及活着两种状态——但是,对于量子计算机来说,必须在长时间内保持这一奇迹般的状态,以拥有实施结果计算及测量所需的足够时间。现代量子计算机原型机可在若干毫秒(在部分实验中,可在两秒内)保持这一状态。当量子位计数数量增加时,该任务将变得更为复杂。为破解密码系统,计算机必须拥有500-2000个量子位(具体数量取决于算法及密钥长度),但现代量子计算机在最大限度下,仅可实施14个量子位的操作。这也是为何现如今的量子计算机无法用于破解您SSL证书的原因所在,但该状况可能在5年内发生改变。 绝大多数理论科学家都需要使用普通或专业级地薛定谔的猫理论——”生活大爆炸”中的佩妮及谢尔顿 达到量子目标的步骤 在此背景下,加拿大的D-Wave公司大胆宣称,其已制造出512量子位的量子计算机;并且,其公司的量子计算机设备已开始在市场中出售。许多专家声称,D-Wave公司的计算机并非”实际意义”上的量子计算机。其原因在于,该公司的产品使用量子退火影响,并且无法证明该公司的产品完全具有量子计算机属性。尽管如此,伴随着科学界的激烈争论,D-Wave公司却挣得丰厚的利润。该公司的客户(诸如,军事任务承包商洛克希德 ·马丁公司及搜索巨头谷歌公司)愿意支付1000万美元购买D-Wave公司的量子计算机设备。在争议满天飞的背景下,该公司的计算机产品确实可以解决特定子集的优化任务,这使得该公司的计算机产品具有量子性质,并可为客户带来实际价值。谷歌公司计划使用D-Wave公司的计算机实施认知实验,洛克希德 ·马丁公司认为,针对F-35喷气式战斗机中所使用的软件,量子计算机具有发现此类软件源代码中现存错误的能力。D-Wave公司的科学家承认,该公司的计算机尚不具有解决其他”量子”任务(如,上文中所述的整数分解)的能力,因此该公司的计算机尚不能对现代的加密算法造成任何威胁。但是,当前存在的另一威胁是:真正意义及功能性的量子计算机已激起大公司及政府的投资热情,此类大公司及政府将在量子开发方面投入更多的资金,加速创建另一种具有加密功能的量子计算机。 D-Wave Two——量子计算机退火器 量子密码 非常有趣的是,量子物理或许可针对该威胁提供解决方法。从理论上来说,如果基于单微粒状态下的连接,完全不可能实现窃听——量子物理法则表明,当测量一个微粒参数时,将导致另一参数的改变。该现象【亦即大家熟知的观察者效应(并经常被人们和不确定性原理所混淆)】,应可解决主要的”传统”通信问题——亦即可能被窃听的问题。每个针对通信所实施的间谍行为都将改变处于传输状态的消息。 每个针对通信所实施的间谍行为都将改变处于传输状态的消息。 每个针对通信所实施的间谍行为都将改变处于传输状态的消息。 在量子通信中,如果出现显著的干扰则意味着通信进程中存在第三方监测连接。当然,您希望防止信息出现泄漏,并希望在出现第三方监测时候,可以立即了解该状况。这也是为何现代量子密码系统仅使用”量子”通信渠道,实施会话加密密钥协商进程的原因所在。此类加密密钥可用于加密通过传统渠道传输的信息。因此,会话各方可以拒绝潜在可能已被拦截的密钥,并通过协商的方式生成新密钥,直至传输状态不再被改变为止。我们可以看到,量子密钥分布(QKD)系统将可起到和非对称密码算法相同的作用,而量子攻击也将随之而来。 Cerberis装置——商业可行的量子密钥分配系统 和量子计算机不同,量子密码系统早已成为商业可行的产品。在量子密码系统方面,首次科学研究出现于1980年左右,但该系统却快速应用于实际实施进程。1989年,量子密码系统完成首次实验室测试,在上世纪末期,市场中可购买的量子密码系统已具有在30英里长的光纤中,传输加密密钥的能力。id

请对着您的谷歌Chrome浏览器说”茄子”

据相关媒体报道,在当前流行的网页浏览器中,最新发现一项安全漏洞,黑客可在浏览器用户毫不知情的条件下,利用该漏洞拍摄用户照片。   上周公布的一份报告进一步证明了黑客所具有的创造性。该报告声称,黑客利用简单的伎俩,即可通过谷歌 Chrome浏览器—当前最为流行的网页浏览器,拍摄用户照片。 我们尚未收到任何在现实世界中,利用该Chrome缺陷实施黑客攻击的消息,但该黑客技术所具有的简单性及有效性,使我们不得不再次思考,当今隐私信息自由流动所带来的相关问题。 我们尚未收到任何在现实世界中,利用该Chrome缺陷实施黑客攻击的消息,但该黑客技术所具有的简单性及有效性,使我们不得不再次思考,当今隐私信息自由流动所带来的相关问题。 可能您也已了解,用户可基于Adobe Flash,通过使用麦克风及网络摄像头和另一名Adobe Flash用户互动,当然在互动之前首先需获得用户授权。这也证明,对于Chrome浏览器来说,也可以把图片放置于安全对话框中,并有效覆盖该图片。当然,用户必须通过点击”允许”键,才可实现该操作。经覆盖后的图片上可显示某些具有说服力的互动标识——在本文截图中,显示的是”播放”键。 在用户使用鼠标点击”播放”键后,黑客程序将会拍摄您的照片,并将您的照片上传至黑客服务器中。绝大多数笔记本电脑中,以网络摄像头灯点亮作为启动该摄像头的提醒标志;但是,即便您注意到网络摄像头被莫名点亮也为时已晚。绝大多数受感染的操作系统平台为Windows 7、Windows 8、Mac OS X及某些版本的Linux。   从表面看来,用户照片并非有价值的黑客战利品,但黑客可利用用户照片实施网络犯罪,如偷窃用户身份等。另外,黑客还可以通过相同的方式打开麦克风,并且不会引起用户的任何注意,这将使得黑客很容易间断性的记录用户交流信息。 我们尚未收到任何在现实世界中,利用该Chrome缺陷实施黑客攻击的消息,但该黑客技术所具有的简单性及有效性,使我们不得不再次思考,当今隐私信息自由流动所带来的相关问题。用户无法预测将由谁、在合适、收集何种程度的隐私信息,及入侵者将会如何使用此类信息。最难处理的是智能手机应用程序问题。”无害”的网页浏览器漏洞仅可使他人查看您的网页浏览历史——但第三方可利用摄像头及麦克风获取您的精确位置及周围的物理环境信息。使网页浏览达到真正的隐私保护状态,是项极为复杂的问题;但保护位置定位及网络摄像头功能则较为容易。鉴于客户很少使用此类功能,因此用户可使用谷歌Chrome浏览器中的”高级”设置,禁用此类功能。在您需要使用此类功能时(每个月使用一次、每年使用一次等),您可以花费十秒的时间,临时打开位置定位/摄像头功能;并在使用完毕后,再次关闭此类功能。  

谷歌共享了有关您自身的何种信息?

众所周知,谷歌收集并保留有关每位用户的数据已不再是秘密。此类用户数据包括,但不限于搜索短语历史记录、用户已点击的链接、Gmail通讯信息等。谷歌公司律师在其近期提交的一份文件中确认,谷歌公司曾不止一次”在日常业务进程中”保留及处理此类用户数据。很明显,谷歌的日常业务包括垃圾邮件过滤、为用户选择相关的广告及为用户单独调整搜索结果等。   但是,对于绝大多数用户来说可能尚不了解,但在过去几年中却在一直使用的是:我们每个人都有自己的”谷歌”。如果您发现有趣的事物或出人意料的事物,或您发现自己的网站处于搜索结果的首页,请不要急于向您的朋友展示;基于相同的搜索请求,不同用户的搜索结果首页中,可能会显示完全不同的网站排列。实际上,您的搜索结果及和谷歌合作公司的上下文广告,可以准确表明您的兴趣及习惯。最令人尴尬的不仅仅是谷歌公司员工或者NSA探员有权访问谷歌服务器及您的秘密,而是任何人通过查看您的浏览器界面,即可窥视您的隐私数据。举例来说,如果您关闭”谷歌安全搜索”选项,则通过输入一些相当平常的搜索请求后,在”图片”搜索项中却可能显示大量不雅的图片。该状况可能会清晰的表明,您对此类内容感兴趣—或者您曾经点击过类似的搜索结果。在您浏览的网站中显示的广告被称为”上下文敏感性广告”,其原因在于,此类广告是基于您的Gmail通信内容及/或搜索结果而显示的广告,而并非基于网站内容所显示的广告。 因此,通过查看此类广告,他人可能会了解您希望购买一辆新雪佛兰、或对医疗感兴趣、或急于修复您的屋顶。当然,上下文广告的功能并非一直处于良好状态,因此上述结论仅为可能的假设结论,而并非已获证明的事实。从另一方面来说,任何人都可轻易获得上述数据。入侵者无需利用黑客技术,即可查看用户的此类隐私数据;入侵者需要做的仅是需要”花费五分钟的时间从您的计算机上浏览网页”。 入侵者无需利用黑客技术,即可查看用户的此类隐私数据;入侵者需要做的仅是需要”花费五分钟的时间从您的计算机上浏览网页”。 入侵者无需利用黑客技术,即可查看用户的此类隐私数据;入侵者需要做的仅是需要”花费五分钟的时间从您的计算机上浏览网页” 用户需要通过大量努力才可能避免搜索引擎的跟踪。谷歌已花费大量资金及付出大量努力,以鉴别用户及区分不同的用户。谷歌公司可通过多种方法实现这一目标。另外,在跟踪浮标中存在有众所周知的”信息记录程序(cookies),诸如LSO cookies及Flash cookies等;有时,此类cookies可以检测到单一浏览器的”指纹”——特别是,在请求下载页面进程中,可检测到页面标题。为去除所有的追踪器,您需要关闭浏览器缓存及cookies、使用专业级插件清除其他类型的本地储存文件、及使用广告拦截及无脚本等扩展程序等。当然,你还需要永不使用浏览器登陆谷歌网站。 如果您使用所有的限制方法,那么网页浏览将变得极其枯燥无味;因此,仅最为偏执的用户才会全面实施此类限制措施。其他解决方法是——您可使用具有简洁功能的搜索引擎(诸如DuckDuckgo等)。此类搜索引擎承诺避免对用户指定的搜索实施自定义及跟踪进程,即便如此,您还需处理其他每个页面上都存在的谷歌分析追踪器。另外,避免使用Gmail也是一项挑战。您可以仅使用单独的浏览器访问谷歌服务。实施谷歌服务访问最为合适的浏览器是谷歌Chrome浏览器。如果隐私问题对您来说至关重要,那么除谷歌服务之外,您应避免因其他原因而使用谷歌Chrome浏览器。  

iPhone 5S中的触摸式ID指纹扫描器:您需要了解的各种事项

苹果公司在其新推出的旗舰版智能手机产品中,使用生物识别技术增强用户的保护功能,并可能最终促使该技术成为主流技术。该技术的功能性是好还是坏,该技术应用将可能导致什么后果?   IPHONE 5S指纹扫描器:您需要了解的各项事物 首先,我们将努力平息所有相关的阴谋论:现在看来,苹果引入生物性ID的目的不仅仅是取悦其NSA朋友,或为联邦政府采集纳税者的指纹。苹果公司宣称,用户指纹将以专门生成的派生文件形式(亦即,非图片形式)储存在用户手机中,并将始终以本地形式予以储存,亦即用户指纹文件不会上传至网络。另外,第三方应用程序无法使用指纹及触摸式ID扫描器;仅iOS可以使用。那么,使用此类限制可起到什么保护作用? 此类限制确实可以提供多方面的保护。最为明显的是,手机的合法所有者将可极容易解锁只能手机。为使用该功能,用户仅需简单按下主页键,然后手机内置的电容传感器将立即识别指纹,并仅向指纹”白名单”中的相关人员授予手机访问权限。在未经授权的人员或手机所有者在带有手套的条件下,使用该功能时,将会看到系统提供的消息:无法识别该指纹。在此状况下,此类人员仅可通过输入字母数字混合编制的备用密码。除了手机用户带着手套之外,当冬天时、手部潮湿时,或手部带有洗液、伤疤或被灼伤时,也无法使用指纹识别技术。这也是为何手机用户需记住手机密码仍非常重要的原因所在,使用手机密码可帮助手机用户更加得心应手的使用iPhone 5S。 手机所用者在需要获得iTunes或应用商店购买批准时,必须通过触屏式ID指纹验证;在其他状况下,iOS的正常操作需要手机用户输入手机密码。 手机所用者在需要获得iTunes或应用商店购买批准时,必须通过触屏式ID指纹验证;在其他状况下,iOS的正常操作需要手机用户输入手机密码。我们建议手机用户向手机内输入双手中多个手指的指纹,以增强使用的便利性。 当然,我们最感兴趣的是,了解这种新保护机制是否具有足够的稳健性及安全性。正如我们先前所述,当前生物性传感器并不完善。为实现触摸式ID技术,苹果公司专门收购了一家专业生物性技术开发公司—Authentec。指纹扫描器不仅可以读取指纹,而且还可以读取皮肤的子表皮层,该技术使得指纹伪造将变得更为困难。当5S成为主流机型时,具有好奇心的黑客可能将会发现新生物性传感器技术中带有的部分漏洞。尽管如此,当前我们尚未发现任何有关新生物性传感器技术中存在漏洞的信息。 更新:仅在苹果公司开始销售iPhone 5S后的两天时间内,基于德国混沌计算机俱乐部的黑客就已发布有关在成本极低的条件下,极容易劫持5S传感器的博客文章。此类黑客声称,iPhone指纹扫描器和先前的模块并无太大区别,仅具有更高的分辨率。因此,极容易从任何物品的表面获取并使用乳胶伪造用户指纹。 选择使用常见的PIN锁还是使用新颖的指纹锁保护手机是一件难事。PIN密码容易被他人窃取,且所需的输入时间较长。指纹很难被他人伪造,且便于用户使用;但是,对于急需获得您所使用数据的坏人来说,可能会强迫您使用正确的手指触摸您的智能手机。当然,此类场景更适合在好莱坞动作电影中出现,而并非在现实生活中出现;但是,如果您确实拥有价值极大的信息,那么您需要考虑发生该场景的可能性,并需避免在您的智能手机中储存此类信息。 当谈论”普通人”时,就目前来看普通用户尚无需因苹果的这项新技术而过分担心。但是,坊间传言称苹果下一步将开发自己的支付系统,并使用生物性识别技术作为获得购买批准的主要认证工具。如果传言成真,则不可避免的出现用户需利用网络传输指纹文件的状况,而该状况将成为黑客针对主流用户开发攻击技术的绝佳原因。因此,如果您担心指纹落入坏人之手,则当您听说苹果将基于经扩展后的指纹利用技术,推出支付系统或其他生态系统开发产品,则需要重新考虑是否使用苹果公司产品的生物性识别功能。  

为何使用多个杀毒程序是个坏主意

您可能认为,像一名马上就要战斗的海盗一样,持有更多的武器是您获得更好的保护的最好措施:一只手中持有短刀,另一只手中持有手枪,用牙咬着匕首(因此,也可用”武装到牙齿”形容)。尽管在老式风格的战斗中,武装到牙齿可能会起到保护作用;但当您在需要持续面对大量危险的条件下保护您的系统时,却并非如此。实际上,同时运行两种杀毒程序是个非常糟糕的注意。其原因有三: 1.杀毒软件之间会相互攻击对方。鉴于杀毒程序可以搜索系统中已安装的程序,并在完成监测进程后,发送有关系统的信息;因此用于检测及发送系统信息的各杀毒软件将处于相互竞争状态,并可能将对方视为病毒程序;进一步将可能试图拦截及删除对方。 用于检测及发送系统信息的各杀毒软件将处于相互竞争状态,并可能将对方视为病毒程序。 用于检测及发送系统信息的各杀毒软件将处于相互竞争状态,并可能将对方视为病毒程序 2. 将可能出现过量杀毒状况。 当一款杀毒程序查找到病毒后,该杀毒程序将删除并隔离病毒。但如果处于竞争状态的各杀毒程序同时查找到已隔离文件并试图按照其各自的目标,删除并隔离该文件时,各杀毒程序将重复发送报告并向您发送其检测到病毒的通知;即便是该隔离文件已不会对您的系统造成威胁时,仍是如此。如果您不希望持续获得虚假的警告信息,则该状况将会给您带来困扰。 3. 多个杀毒软件将降低系统的运行能力。为实施系统扫描及其他相关操作,杀毒程序需使用大量系统内存。如果您同时运行两款杀毒程序,则系统的有效性将会大打折扣,或完全无法运行;并且,该状况不会带来任何益处;其原因在于,两款杀毒程序执行多余的操作。 当您需要对系统实施保护时,多个保护程序并不会带来更好的保护。您应当花些时间首先实施研究进程,然后选择一款经独立测试后,可抵御最新恶意软件程序的单一综合性杀毒套件。该综合性杀毒套件在单独运行的条件下,仍可为您的系统提供武装到牙齿的保护,并可抵御各种不同类型的威胁。

十大电影黑客

在任何类型的电影中,无论是恐怖片、动作片或惊悚片,我们都可能会看到IT专家展示大型黑客攻击、使用计算机病毒或其他和计算机相关的技术采取行动的喜剧时刻。聪明的导演会将此部分场景设计的极为短暂,并避免显示任何计算机屏幕,以防止观众的注意力偏离剧情。而现实状况是,黑客通常充满恶意,而且需要花费若干天甚至若干周才可能完成黑客攻击;因此,这使得我们更加感谢那些整体以计算机或和网络相关科目为主题的电影制作人;正是这些电影制作人才使得黑客看起来充满善意,且可以避免专业人士提出过多的批评。   科幻小说及电影中的10大著名黑客 黑客【1995】 该电影的制片人已尽量在绝大部分时间避免展示黑客攻击进程。制片人仅使用快速点击的键盘活动及一些抽象的视觉效果展示黑客攻击,但仅此而已。该影片刻画的黑客和现实黑客颇有几分相似,并且还使用了现实中黑客圈内的一些行话:Unix书籍、弱安全性密码及其他类似题材,都清晰表明该电影的制片人及编剧曾花费大量时间了解黑客攻击行为。似乎该电影的制片人及编剧认为,通过写实手法描述黑客行为太过于枯燥无味。 虎胆龙威【2007】 这是一部由著名影星布鲁斯·威利斯(Bruce Willis)主演且颇受大众欢迎的动作片。该电影中充斥这大量有关网络安全性的有趣对话,并在剧情中侧重描述了过度使用黑客技术的元素。尽管该电影中展示的多种黑客技术,如远程访问CCTV及控制交通灯等,在现实生活中也可能完成;但现实生活中的此类黑客攻击极为复杂;特别是在电影所示的极短时间内且按照如此紧凑的节奏完成此类黑客攻击,更是如此。尽管现实生活中也已存在利用恶意软件破坏工厂的实例,但电影中的黑客攻击方法存在吹捧之嫌,特别是在考虑到准确计时方面,更是如此。 然而,我们应感谢布鲁斯 ·威利斯的是,通过电影使公众注意到关键基础设施需要加强黑客攻击保护的实际问题。 007:天降杀机【2012】 从计算机怪客角度来看,这部电影中令人印象深刻的是,通过互联网实施控制爆炸的技术,并正确描绘出绝密资料信息的窃取,通常发生在互联网中,而并非由可躲避安保人员后,藏在服务楼梯中的间谍完成。另外一个有趣的场景是,外表装饰滑稽的黑客总部居然设置的孤岛上。在显示生活中,在亚洲孤岛上建立数据中心并无任何优势;其原因在于,在此状况下极易被他人跟踪,且向数据中心提供足够的带宽也是一件棘手的问题。现实中的黑客通常藏匿于计算能力强的大城市中;特别是在亚洲区域内,更是如此。物理隔离并非提供加密保护的必要步骤。 战争游戏【1983】 这是一部仍受计算机怪杰喜爱的老电影。该电影的剧情是年轻黑客仅为发现军用网络中安装的模拟游戏,而入侵功能强大的军用计算机。在玩此类模拟游戏时,玩家并未意识到此类游戏并非仅仅是模拟游戏,他们其实在操纵可能引发第三次世界大战的实际导弹。该电影有时也使用一些现实中的黑客行话,如:战争拨号等。但”战争游戏”的主要描述点却并不正确。 互联网其实是军用网络的衍生产品,这也是为何在最初阶段仅需对互联网协议实施少量保护的原因所在。当时的理论基础是,任何可访问计算机终端的工作人员,必须首先通过安全部门的三次审核。很明显,现如今的状况已大相庭径。相当幸运的是,军队工作人员密切关注互联网的演变进程,因此当前所有重要的军事系统都处于”密闭”状态——或处于完全和互联网相隔离的状态。 潜行者【1992】 该电影和前文中提到的电影”战争游戏”同出一人之手。该电影的剧情围绕可使拥有者破解任何类型加密文件的”黑盒子”不断展开。在电影剧情中,多个国家的秘密服务部门都在追逐”黑盒子”,当然美国国家安全局(NSA)同样参与其中,并扮演关键角色。在现实生活中,类似于黑盒子的装置是不可能存在的(否则,NSA也不会竭尽全力的追踪加密邮件服务的提供商)。从另一个角度来说,这部电影对社会工程技术工作描绘的过于完美——无论对于1992年的社会还是对于2013年的当今社会来说,都是如此。 谍影重重【2007】 这是一部罕见的绝佳力作。该间谍电影的创作者为了打造这部电影,专门听取了计算机安全顾问的意见!当然,在二十一世纪,您可能会具有黑进计算机窃取机密资料的能力。这部电影中的计算机屏幕,展示出现实生活中黑客及系统管理员使用的应用程序:SSH、攻击程序及好莱坞最喜欢使用的端口扫描程序NMAP. 黑客帝国2:重装上阵【2003】 黑客帝国三部曲极大增强了人们对现实理念模拟的欢迎度,但对于计算机怪杰来说,喜欢该电影的原因在于其展现的美学。当然,该电影剧情设计到大量黑客攻击,但该电影通常使用魔幻的手法描述黑客攻击,使黑客攻击技术类似于哈利波特的魔法。一般说来,黑客帝国电影中的英雄角色试图解决的”沙箱逃离”问题,存在于现实生活中;当代恶意软件通过利用其它软件(如,Adobe阅读器等)解决这一问题。 但黑客帝国的创作者却未慎重考虑这一问题— 除在一段剧情中展示出现实使用的NMAP外,并无其他相关踪迹。 偏执狂1.0【2004】 这是一部具有极为花哨情节的电影。该电影剧情涉及到人工智能、纳米机器人、企业阴谋,当然还有计算机黑客攻击。鉴于该电影并非一部由好莱坞拍摄的电影,因此创作者忽略了以NMAP作为终端黑客攻击工具的好莱坞传统,并使用真正的在线病毒扫描器(名为Viralator)原始代码替代NMAP。 创世纪【1982】 在”黑客帝国”及”异次元骇客”推出前二十年,电影”创世纪”就已描绘出现实世界中的人和计算机程序相结合的角色。鉴于当时该电影的创作者将计算机看作街机游戏机器,因此尽管在电影剧情中涉及到现实世界中的黑客,但却把黑客描述的更像是外星入侵者。尽管现在看来这部电影极为幼稚,但即便如此(或应当称受惠于此),这部电影仍是科幻经典电影。 龙纹身的女孩【2009】 许多人更喜欢观看瑞典小说家斯泰格· 拉尔森(Stieg

伪造您的身份:生物性认证是否值得信任?

每天,数百万计算机都在解决相同的问题;所有计算机都在试图检查计算机使用者是否是您本人,还是其他人。可解决这一问题的最常用工具是密码检查。但是,密码很容易遭窃并且很容易被仿造。密码问题凸显出使用另一用户身份系统的需求。最为简单及最具吸引力的解决方案是生物性认证,该解决方案允许用户将其手机放在扫描器上,并通过注视摄像头或说出口令实施认证进程。您可以随时使用您的手指、眼睛及语音,不是吗?并且,其他人无法实施模仿。不幸的是,这个极具吸引力的想法仍存在大量缺点,这也证实为何我们仍无法使用指纹登陆谷歌或使用指纹从ATM中提取现金的原因所在。 下面,我将详细介绍有关该方面的细节问题,但让我们先从简单的概述开始介绍:生物性认证是几乎无法改变的”密码”;基于生物性”密码”实施真正的安全加密,是一件相当具有挑战性的难题。在从概念至现实生活中实施的进程中,您无法不注意到一件明显且极为重要的问题——使用简单及成本较低的工具,几乎无法仿造绝大多数生物性特征。   陌生人–危险 对于基于常规密码的任何生物性认证来说,最主要的差别在于原始(主)样本和需检查的样本之间缺乏完美匹配。您无法通过简便的方法从同一手指上获得两枚完全相同的指纹。当您尝试面部匹配时,会遇到更为复杂的难题。仅基于光线条件、每天时间、所佩戴眼镜、胡须、眼中血丝、妆容的不同,就可能产生不同的面部特征或无法读取的面部特征,更不用说因年龄而造成的脸部差异了。语音也可能受多种因素的影响(如,流感等)。在上述条件下,很难建立一直可以鉴别出合法所有者及一直可以拒绝向陌生人授权的系统。 为解决这一问题,每种生物性技术系统都试图去除扫描样本中的噪音,而仅留下经数学方法比较后,可接受的有效特征。尽管如此,即便是在”骨架”状态下,需检查样本和原始样本之间的匹配度仍需按照概率予以表达。对于中级安全系统来说,其假设条件为:在10,000例试验中,拒绝合法使用者的次数处于50例以内即属于正常范围。对于移动设备平台来说,不稳定性外部条件(如光线及振动等)将造成错误率的激增;这也是为何安卓脸部识别系统的错误率高达30-40%的原因所在。 一生使用的密码 如果您不慎忘记密码或密码被他人窃取,您仅需要修改密码即可。如果您丢失钥匙,那么您仅需更换门锁。但是如果因使用您的掌纹图像(巴西或日本国内的一些银行已采用该项技术),而致使您的银行账户处于”锁定”状态或掌纹数据库被盗时,您应当怎么办呢? 在新iPhone手机中将配备指纹扫描器,并且新安卓操作系统中将使用面部识别系统解锁手机。此类保护措施是否值得您信任? 改变您的掌纹是一项非常具有挑战性的难题。尽管当前尚未出现掌纹伪造技术,但没有人可以保证在五年或十年后不会出现这项技术。 通过使用指纹可以部分解决这一基础性问题——您可以输入2-4个手指的指纹(无需输入10根手指的指纹),从而使密码变更成为可能。但是对于一生使用的密码来说,指纹技术可以确保的安全性或许过于短暂。鉴于在线账户黑客攻击的发生频率如此之大,因此仅依靠珍稀的生物性识别信息而使得我们相信此类技术显得过于让人担心。事实上,即便是绝大多数生物性识别服务系统的储存信息仅为”骨架”式信息(即生物性识别衍生信息),也未能使生物性识别变得相对容易——大量研究结果表明,此类信息存在重建的可能性(如,指纹);即便是在重建后的信息和原始信息并不相同,仍有可能通过识别检查。 另外,在线生物性认证还会引起隐私方面的关注。利用生物性”密码”很容易在诸多用户中鉴别出您的身份,因此您不可能在同一社交网络中拥有两个完全独立的账户——社交网站拥有足够的工具,确认两个账户实际上属于同一用户。严格的说,在实际操作中可能存在数百名用户,甚至数千名用户拥有无法区别的生物性特征。但在Geo-IP及其他伴随用户请求地元数据的帮助下,网站可能为每位用户建立完全独立的用户配置文件。针对每个流行的网络服务,如果有人可以管理生物性认证的实施进程,则在线用户追踪将是一件非常容易的事情。   数字锁 首先,使用密码及潜在可行的生物识别技术可为各种设备及服务的访问限制提供帮助。其次,针对设备中储存的数据,使用密码及潜在可行的生物识别技术也可为此类数据的访问限制提供帮助。但是,对于第二种情况来说,实际上却很难利用生物识别技术的功能。 当您把文件放置在基于指纹锁的保险箱中,保险箱的铜墙铁壁可对您的文件数据提供保护。您或许可以使用功能强大的钻孔工具,打开指纹扫描所。如果您需要访问处于控制状态下的计算机,则轻易避开所有检查几乎是件不可能的事情。因此,对于计算机来说,加密技术等同于保险箱的铜墙铁壁。当您使用密码对文件加密时,加密系统将创建需使用密码的加密密钥。如果您改变密码中的任何字符,则加密密钥将完全不同,原来的密钥将完全无用。但是,对于每个访问请求来说,生物性”密码”之间总有轻微差异;因此,直接在加密技术中使用生物性”密码”是一件极为复杂的工程。这也是为何现有市场中,绝大多数的”数字锁”需依靠云服务帮助的原因所在——通过云服务,生物性认证匹配进程将由云服务器完成;如果匹配成功,则云服务器将向客户提供解密密钥。当然,这种方法存在可能导致大量数据泄露的重大风险啊你——服务器遭受黑客攻击,可能会导致加密密钥及生物性认证数据同时遭到破坏。   生物性认证IRL 撇开科幻电影及军队技术发展不谈,我们认为在现实生活中您可能会遇到两种使用自动化生物性认证的状况。现如今,一些银行已在实施生物性认证的试验——此类银行可能会在ATM上使用掌纹扫描技术,及在基于手机的服务台中,使用语音认证技术。第二种类型的 生物性认证应用为内置于消费者电子产品(通常为笔记本及智能手机)中的生物性认证扫描器。在消费者电子产品中配置的前置摄像头可用于面部检测,而此类电子产品中配备的传感器可用于识别指纹。在语音认证识别方面,同样存在两种系统。除了上文中所提及的生物识别技术常见问题之外,在消费者级别的电子产品中实施生物性识别技术,还存在若干限制。此类限制诸如CPU处理能力、传感器价格及物理尺寸等。为解决此类限制条件所带来的问题,开发商必须牺牲系统安全性及稳健性。这也是为何使用常用打印机生成的湿纸指纹或使用明胶指纹模具,可以轻易骗过部分指纹扫描器的原因所在。当伪造指纹可以获取巨额不合法收入时,欺诈实施者可能会制造可便捷使用的假手指——此类犯罪计划所需使用的工具,早已可在市场中购得。从另一方来说,合法用户经常给需要多次实施手指触摸进程,方可获得访问许可——在手指潮湿、覆盖有洗液、清洁度稍差或存在擦痕或烧痕的条件下,传感器可能无法正常工作。 当前,已有极少数的面部识别系统具有根据照片区分实际面孔的能力【尽管为系统配备活力检查技术(如,需要用户眨眼等)是一种行之有效的解决方法】。尽管如此,当您使用面部识别系统解锁移动设备时,解锁程序通常对光线条件及周围的环境条件非常敏感。为防止更糟的状况出现,您不得不启动额外检查进程。在此条件下,您必须已设置备用检查方法——使用旧式密码——否则您将无法在光线昏暗的条件下,解锁您的移动设备。 绝大多数语音认证系统的开发商声称,其语音认证系统产品具有检测虚假语音(录音及模仿音)的能力。实际上,仅功能极为强大的系统方可实施大量的检查计算进程。该行业内的一些研究员声称,变声软件欺骗语音认证系统的成功率有时可达到17%。鉴于移动设备很难运行完全且即时的语音分析进程,因此需要通过云服务完成该进程。但是,基于云服务的语音认证进程的运行速度较为缓慢,并且还依赖于互联网连接质量(当前极少互联网连接质量可达到要求标准)。另外,基于云服务的语音认证进程极容易遭到黑客攻击(如中间人攻击等)。顺便说一下,对于语音认证系统来说,中间人攻击(MITM)尤为危险;其原因在于,和其他生物性识别样本相比,声音样本的获取较为容易。 对于合法 用户来说,上述组合性应用困难及安全性的不足,致使生物性认证无法取代传统的密码及电子令牌,成为确保移动设备安全的标准。在当前,仅在受控环境中才可能确保使用生物性识别技术检查用户身份的安全性及可靠性。此类受控环境诸如:机场边境管制处,或官方入境处的安全检查点等。

如果互联网可以出演科幻电影

诸如星球大战或独立日等好莱坞大片向我们讲述的故事中,太空冲击波、力场、比光速还快的太空旅行是司空见惯的事物。但是,在此类大片中并未出现任何有关互联网的事物,或更为准确的说,此类大片中也存在计算机及网络,但计算机及网络却对剧情无任何影响。对于科幻电影爱好者来说,这是一件非常奇怪的事情;因此,我们希望了解如果互联网可以在此类大片中,起到改变剧情的作用,则大片故事的最终结局应当如何? 《欧比万,您是我唯一的希望》 如果按照星球大战IV的原始剧情,太空机器人R2D2不过是带有轮子的USB闪存硬盘而已。莱娅公主使用太空机器人R2D2记录向欧比万发送的视频信件后,向塔图因星球的方向扔出R2D2,并期望R2D2可以恰好撞击塔图因星球表面。嘿,这是个发生在未来的故事!公主殿下,您是代表某星球的领事,您的太空船中配备有和政府部门相链接的无线宽带!您的Skype 5D呢?您的谷歌Holo-视频群聊软件呢?或者说,如果您急需发送一封邮件,还有更好的方法可以使用:启动VPN,建立加密链接;在将包含死星设计文件的文件夹加密后,重新将该文件夹命名为”windows84_setup.exe”,并将该文件上传至企业号Dropbox中,或可以使用具有专业安全保护功能的FTP传输该文件夹。所有的设计图将可成功传送至叛军手中;但在此条件下,星球大战的编剧将不得不使用其他方法,使卢克在该故事中登场。 是否有必要使用战舰剧情设计? 通过分析死星设计图纸可知,死星建筑中存在一个致命薄弱点——即存在可直达原子反应堆的路径。联盟号以牺牲数百战士及战斗机的代价,仅为将一名战士送入死星内部,以炸毁原子反应堆。联盟号为完成该任务所采用的方法极为复杂——实际上,还存在更好的解决方法。R2D2具有远程控制死星大门及机器的能力——因此,我们可以放心的假设,大空间站内部的所有程序进程都由中央计算机自动处理及控制。当然,星球大战的作者可能尚未预测到,未来可能会出现类似于Stuxnet的网络战武器,但我们已了解到在未来极有可能出现此类武器!因此,联盟号可以开发具有改变死星原子反应堆设置的恶意软件,并最终使用该恶意软件炸毁死星原子反应堆。企业号成员需要做的是:编写并向R2D2内存中上传恶意软件程序,以便于恶意软件程序的传播;然后,使死星战机拦截装载有R2D2的飞船,并最终使R2D2可利用死星建筑内最近的终端,向死星中央计算机传输恶意软件程序。我们知道,通过该方法不但可以拯救莱娅公主,还有可能摧毁死星。唯一的问题是,R2D2如何在发生大爆炸之前,找到安全撤离死星的路径。在此条件下,联盟号需要的不是飞行器及战士,而是程序员。   独立日的烟花 1996年拍摄的电影《独立日》在当前仍受人们欢迎(顺便说一下,2015年将推出独立日的续集)。该影片的剧情是:外星人母船接近地球,并向地球派遣小型入侵舰队;外星人的小型入侵舰队按照同步攻击的方式,瞬间摧毁地球上的各大城市。外星人在实施攻击之前就已劫持地球人的卫星,并利用劫持的卫星向NASA及其他太空机构发动APT型的攻击。当然,追溯至1996年时,几乎很少人听说过为基础设施提供抵御黑客攻击的保护方法;即便是在当今,这仍是相当热门的话题——因此,我们希望在独立日续集中,外星人也具有保护其通信设备的能力。 从另一方面来说,外星人对其IT设施的保护相当粗心:美国黑客居然可以闯入外星人的计算机。独立日的男主角们驾驶一架外星人飞船,在飞抵外星人母舰后,成功上传病毒并安装原子弹。现如今,在我们看来男主角上传的甚至不能称为病毒,而是恶意利用飞船有效载荷程序漏洞的计算机程序而已。但问题是——为何仅利用病毒破坏外星人飞船的力场保护功能?其实,男主角门可以更有效的利用病毒——如使反应堆爆炸、弄乱外星人的卫星导航系统、或直接命令外星人的小型舰队攻击母船等。在此状况下,独立日的烟花将更加壮观,地球人也无需使用摩斯密码寻找地球上的同伴。  

解密及越狱:如何实施两项操作,及两项操作将对安全性造成何种影响?

运行安卓及iOS操作系统的智能手机所有者,有时会针对是否值得对其手机设备实施神秘的解密及越狱进程,实施热烈讨论。实际上,解密及越狱是可以产生一些有趣后果的黑客攻击活动。本文将针对解密及越狱操作的利与弊予以讨论。   尽管两种操作的名字不同,但解密及越狱操作在本质上属于同一操作;通常情况下,术语解密适用于安卓手机设备,而越狱适用于iPhones。对于一部新智能手机来说,许多操作仅限于手机制造商或操作系统开发商创建的软件程序;并且手机已针对从应用程序库中下载的所有应用程序设置访问权限。解密及越狱用于描述如何获得设备完全管理权,以允许在手机上操作原始状态条件下,并未安装的第三方程序(如,控制CPU时钟速度或覆盖系统文件等)。通过使用专门创建的程序,用户可在不受制造商限制的条件下,在智能手机上实施任何操作。当然,更大的权力意味着更多的责任:”绝对一切”包括删除您智能手机中的一切软件或安装功能全面的间谍软件。 为何费神实施越狱/解密? 坦率的说:根据估计结果,大约有50%及90%的用户选择越狱或解密其手机设备,以便于在无任何限制的条件下,安装盗版游戏或应用程序。尽管我强烈反对用户实施越狱或解密,但确实存在多个体面的理由使您对自己的手机,实施此类黑客攻击式的操作。 首先,安装具有管理员权限的应用程序,可使得手机具有先前无法想象的功能。举例来说,可基于不同环境条件改变铃声音量的应用程序。此类应用程序可根据麦克风、摄像头图片分析,及表明手机处于用户袋子或口袋中的移动读数,确定背景噪音等级。 解密及越狱用于描述如何获得设备完全管理权,以允许在手机上操作原始状态条件下,并未安装的第三方程序。 解密及越狱用于描述如何获得设备完全管理权,以允许在手机上操作原始状态条件下,并未安装的第三方程序。 第二,解密及越狱可实现更灵活的应用程序管理。钛备份是一款全面且灵活性强的”时间机器”软件程序。该程序为在需要完成解密进程的条件下安装且最受欢迎的安卓应用程序之一。通过使用该应用程序,用户可以便捷的将旧智能手机中的数据,转移至新智能手机中;或在用户不满意新版本应用程序的条件下,可使用户重新安装旧版本的应用程序。 解密/越狱进程 用户可通过获得制造商批准,合法获得安卓智能手机的管理员权限。通常情况下,用户为合法获得手机管理员权限需实施下述步骤:用户必须输入智能手机的唯一编号(IMEI)并下载必要的软件。通过上述步骤,用户将可解锁智能手机的引导装载程序,并可上传经修改后的操作系统。经修改后的操作系统将授予用户所有管理员权限。听起来上述步骤非常复杂?实际上,这也是为何制造商不向此类解锁后的智能手机提供保修的原因所在,并且经解锁后,手机将处于”开发者设备”状态。 有鉴于此,用户及居心叵测的攻击者通常采用其他路径:此类用户及攻击者搜寻智能手机固件中的漏洞,以便于在无需联系生产商的条件下,获得相同的管理员权限。此类程序类似于可利用您网页浏览器漏洞的恶意软件程序;黑客通过利用此类恶意软件程序可在您毫不知情或在未获得您同意的条件下,自动在您的计算机中安装。为使用此种类型的漏洞,解密您的智能手机,您需要使用USB连接线使智能手机和计算机相连接,并启动计算机中的相关应用程序,或启动手机中的应用程序。数分钟之后,您的手机将可完成解密进程,并且您在未来无需重复实施解密进程。 iPhone/iPad的越狱同样基于漏洞的利用。通常情况下,需通过连接iPhone及计算机,并运行计算机上的相关程序实施越狱进程;但是,旧设备的越狱进程更为简单。前段时间,网络中曾出现一个非常流行的网站Jailbreakme,用户可通过该网站利用Safari浏览器中的漏洞。对于该网站来说,用户可通过使用iPhone/iPad点击该网站的访问链接,及点击”为我越狱”缉拿,获得iPhone/iPad的全部权限。后来,苹果公司修补了其产品中的漏洞,并聘用该网站的开发者作为苹果公司的内部员工。对于苹果公司来说,这是一项极为精明的投资。 实施解密/越狱的主要后果是,安装可提供新功能的额外管理程序。对于iOS系统用户来说,其设备可显示另一可替代性的应用程序商店,是获得管理员权限这块”金牌”的象征;对于安卓用户来说,证明其已成功获得管理员权限的标志是,可安装SU或SuperSU应用程序。对于安卓系统用户来说,对于设备访问管理权限的管理来说——设备将提示用户”允许”或”拒绝”访问特定的应用程序。     解密/越狱的安全益处 通过使用具有管理功能的应用程序,可从根本上采用新方式保护用户的智能手机或平板电脑。举例来说,标准的安卓智能手机缺乏独立的防火墙;更为精确的说,防火墙集成于安卓系统之中。该状况允许任何人在完全不受控制的条件下,在用户安卓智能手机上实施任何操作。仅在安卓手机的”解密”状态下,可使用应用程序强制实施防火墙准则(如,在漫游条件下,组织安卓智能猴急访问特定的应用程序等)。 最新版本的iOS系统,允许用户对应用程序可获取的数据授权实施更为灵活的管理:每个应用程序都可获得特定个人数据的访问权限。此类特定的个人数据诸如照片、联系人、地理位置等。当前,也已推出具有类似许可系统的安卓操作系统,但使用该安卓系统的用户并不具有灵活管理能力:在安装系统之前,用户将可查看完整的许可列表。如果用户不喜欢某应用程序的某些功能,则用户可以拒绝安装该应用程序。该状况将可改善应用程序使用,并通过逐个管理的方式,对已安装的应用程序实施灵活的访问许可管理。换句话说,如果您认为您某程序不应访问您所处位置的信息,则您可剥夺该程序访问您所处位置信息的权利。 许多应用程序认为解密/越狱存在安全威胁,并拒绝在已解锁的设备上运行。 许多应用程序认为解密/越狱存在安全威胁,并拒绝在已解锁的设备上运行。 对于iOS及安卓操作系统来说,具有管理员权限的应用程序将可使手机具有超强的反偷窃能力。举例来说,对于iOS操作系统,存在可拍摄疑似窃贼并显示锁屏的反偷窃应用程序;对于安卓应用程序,存在可将自身写入手机设备的ROM,并在完成出厂设置重置进程后,仍可运行的程序。当然,我们应当谨记的是,此类具有管理员权限的程序并未经过手机生产商测试,因此可能存在无法预测的程序行为(如,耗电或致使智能手机完全无用)。鉴于存在上述风险,因此绝大多数程序开发商(包括卡巴斯基实验室及卡巴斯基移动安全套件),禁止使用需要解密/越狱的程序功能。 解密/越狱的安全风险 许多应用程序认为解密/越狱存在安全威胁,并拒绝在已解锁的设备上运行。许多类似于MDM(移动设备管理程序)的应用程序,可以帮助用户检查其智能手机中的工作文件及电子邮件。一些银行的移动应用程序在已解锁的设备上处于禁用状态(尽管银行的此类决定让人感觉有些吃惊)。 除了上述风险之外,实施解密及越狱进程将可能使智能手机变为无用的塑料块,这也是解密及越狱的新安全威胁。 首先,获得管理权限的应用程序可跳出应用程序”沙箱”;因此,此类应用程序功能和所获权限之间不再具有相关性。应用程序可执行任何其希望的操作,其中包括阅读及发送和其他应用程序相关的文件、监视设备所有者、在手机所有者毫不知情的条件下,使用麦克风等。 第二,智能手机解密或越狱所需使用的应用程序,通常由业余的小团体编写;因此,此类应用程序本身也包含糟糕的程序代码及程序漏洞。此类程序漏洞可能会被看似合法的恶意应用程序所利用,并向恶意应用程序移交手机的管理权限。 第三,在解密/越狱进程中,实施的多项手机配置变更可能是黑客的绝佳礼物:越狱进程可使得绝大多数iPhone模式处于远程可控状态;其原因在于,所有越狱设备使用相同的越狱密码。当然,用户可以变更该密码,但仅有极少数用户实施越狱密码的变更进程。 无法保障您的安全 解密/越狱进程带有严重的安全隐患,但是即便不使用解密/越狱进程也无法保障您的安全性。攻击者可利用您智能手机上的漏洞,在无需使用中介程序(如SuperSU等)的条件下,为其恶意应用程序获得您智能手机的管理权限。在此状况下,未实施解锁进程及已实施解锁进程的设备之间,几乎并无任何差别。上文中提到的Jailbreakme.com网站即为现实中的实例。如果该网站的创建者是个势利小人,则他将可滥用用户手机中的程序漏洞。举例来说,除可为所有网站用户提供免费越狱服务之外,网站创建者还可在用户手机上暗中安装间谍软件。另外一个非常有趣的网站,可向网站用户提供类似于”阅读其他用户消息”的网络奇迹;该网站的创建设者同样可使用”点击这里”键,完成罪恶勾当!到目前为止,我们尚未获得有关此类案例的任何消息,但我们不能忽略使用上述计划实施网络犯罪的可能性;至少不能忽略实施目标攻击的可能性。

为您的数据加密的原因

人类已发明多种保护其秘密的方法。在古罗马时期,贵族如果需要发送私人信件,则会剃光一个奴隶的头发,并将信件写在奴隶头皮上,直到奴隶的头发再次变长后,将奴隶送至收件人处。当然,在二十一世纪的今天,我们不需要使用时间如此之长的加密方法,并且我们需要更为稳健的保护。幸运的是,最初军队用于破解密码的计算机,现在可使我们通过加密的方法,近乎完美的保护我们的私人秘密信息。在很长一段时间内,仅政府可以使用安全性强的加密方法,但现在任何计算机用户都已可使用该方法。更重要的是,即便是您从未考虑过该方面的问题,实际上您一直拥有值得加密保护的秘密信息。   当我们开始讨论加密及保护时,有人总是会生活:”我没有任何需要隐藏的秘密”。但是,通常来说他们的意思是:”我认为没有人会为进入我的智能手机或笔记本,以发现一些有价值的事项而费神。” 但实施证明,这种希望是不真实的。对于您周围的人来说,保存在家庭计算机上的一份文件或您放置在卧室中的手机将很快成为他们检查的目标。您是否已准备好向您的妻子、兄弟或孩子,展示您的所有信件、图片及文件?或许在您的信件、图片及文件中并未保存任何不良信息,但或许您仍不想将此类信息和他人分享。您是否已准备好将您的信用卡卡号及PIN码告诉您仅十几岁的孩子?将您的Gmail或Facebook密码告诉您的妹妹?向您的朋友展示您的所有家庭照片(您的朋友可能会到访您的家庭,并借用您的电脑15分钟)? 您是否真的希望向您的妻子解释,娜塔莎只不过是您工作所处公司中,另外一个部门的同事,及您所讨论的”明日见面”实际上是参加由十名与会者参加的业务会议? 当然,如果恶意应用程序感染您的计算机,这个故事将变得更为尴尬。在网络犯罪的世界中,近期流行的趋势是:使用恶意软件从您的计算机中偷窃所有具有潜在价值的信息:文件、图片、密码、保存在网页浏览器中的网页地址等一切事物。 在您被偷窃的图片中,通常包含有扫描图片文件;如,您驾照的图片及其他可能会被欺诈及身份盗贼使用的重要文件。现实生活中,甚至存在包含隐私信息的图片遭偷窃后,被别人恶意勒索的真实案件。 另外一件可能会对用户造成灾难性影响的是用户丢失的手机。鉴于丢失的手机中通常包含诸多有价值的隐私信息,因此一些”高级”窃贼并非仅出售这些被盗的用户手机,而是扫描用书手机中的内存,以找寻诸如用户密码及移动银行密码/应用程序等有用的数据。 加密是信息转化进程,通过该进程可使未经授权的第三方无法阅读信息;而受信任的人可以经数据解密后,按照信息的原始形式访问信息。 加密是信息转化进程,通过该进程可使未经授权的第三方无法阅读信息;而受信任的人可以经数据解密后,按照信息的原始形式访问信息。 可解决一切烦恼的同一答案 对于您的信息来说,可能存在许多潜在威胁。但是,通过禁止陌生人及未成年人使用您的家庭计算机,及使用PIN码锁定您的手机屏幕等方法,可为您的信息提供保护。 另外,当前还存在更为普遍的方式,使信息仅可由合法所有者读取。如果隐私信息以加密的形式保存,则可以避免所有尴尬的时刻及意外事件。 即便在您并未意识到的条件下,当您通过HTTPS查看Gmail或银行信息时,或当您使用流行的GSM手机网络和朋友打电话时,您实际上已在使用加密方法。但是,我们希望关注另一重要的方面——加密您储存在计算机或智能手机中储存的数据。 什么是加密 加密是信息转化进程,通过该进程可使未经授权的第三方无法阅读信息;而受信任的人可以经数据解密后,按照信息的原始形式访问信息。当前存在多种常用的加密/解密方法,但保证信息安全性的关键因素并非使用先进的加密算法,最重要的因素是确保加密密钥(密码)处于保密状态,并仅使受信任的各方了解您的加密密钥。   非常重要的是,应区分编码和加密之间的区别。编码同样也可用于传输信息,但通常情况下,用户便捷的储存或传输信息,而并非用户保护秘密信息。众所周知的编码方法包含莫斯密码,及计算机存储所使用的二进制编码。 您的数字保险箱 为确保文件加密,最为便捷的解决方案是创建加密库(亦即,众所周知的加密容器)。在您完成创建进程后,加密库将在您的系统中显示为独立的硬盘盘符。您可以向加密库中保存或复制任何文件,其使用方法类似于USB记忆棒。加密库和USB记忆棒之间最重要的区别在于,加密库物理容器仅是一个在您硬盘上创建的大文件夹,您可以使用专业软件(如,卡巴斯基PURE)访问加密库。您在加密库中保存任何文件时,加密库都将为该文件”飞速”加密,并保存至加密库中大容量文件夹中。 访问您的计算机的任何人都可查看甚至偷窃(复制)加密库文件,但对于窃贼来说,查看及偷窃加密库文件并不能使窃贼访问您的信息。在加密文件中仅保存有随机排列的字符,为找到正确的密码,以将窃贼保存在其磁盘上且满是垃圾字符的加密文件转化为可读文件,可能需要耗费窃贼若干年的时间。 当然,为使得加密容器可以获得有效保护,您必须遵循一些基本的原则: 您的加密密钥(密码)是唯一防止他人访问您加密信息的关键因素。因此,您必须使用长而复杂,且难以被他人猜测的加密密码。点击这里,查看我们在创建良好密码方面为您提供的建议. 您必须在加密盘符中储存所有隐私信息。 了解加密密码的任何人都可阅读加密库中储存的所有文件。如果您有各种不同类型的信息,并希望不同的用户访问不同类型的信息,则您需要创建使用不同密码的多个加密库。 非常重要的一点是:请不要安装加密驱动器。如果您安装加密驱动器,则任何人可以向从普通盘符中偷窃您的文件一样,偷窃您的加密文件。仅在需要加密重要数据时,安装加密驱动器,并在完成加密进城后,立即卸载加密驱动器。 如果加密库文件夹遭到破坏,则您将丢失储存在该文件夹中的所有文件。这也是为何经常备份加密库文件夹非常重要的原因所在。 对您的计算机实施全面保护——我们建议使用卡巴斯基PURE,为您的加密密码提供保护,以抵御木马及键盘记录程序的攻击。如果您的计算机中存在正在运行的键盘记录程序,则您所有的加密努力都将白费。 智能手机的安全性 在智能手机被盗的条件下,为保护用户的数据,移动手机操作系统供应商已开发出具有加密功能的操作系统。用户重要的信息将以加密的形式储存在手机中,并且仅当用户每次输入PIN码后,方可解锁其手机设备。苹果公司禁止用户修改加密设置,但当您启动密码保护时,苹果手机产品可为您的多种信息加密。在安卓安全设置中,存在全部内容加密选项。通过使用该功能,在未使用密码的条件下,所有用户数据都处于不可访问状态。为确保您可以获得最大程度的保护,我们建议您使用最新的移动手机操作系统——iOS