新闻

向来以安全著称的苹果设备中竟然发现了蠕虫病毒。大约有40个iOS应用从App Store中下架，原因是感染了恶意代码，目的是在苹果设备范围以外建立僵尸网络。 恶意软件XcodeGhost感染了包括：微信（超过6亿用户）、NetEase的音乐下载应用、名片管理器CamCard以及Didi Kuaidi类似于优步的打车应用在内的数十个应用。更糟糕的是，《愤怒的小鸟2》中文版也不幸中招–这难道还不够严重吗？ 苹果花费大量时间和精力对Apple Store内的每一个应用进行监控，并将App Store与Google Play等第三方应用商店相隔离，后者常遭到各种恶意软件的窥视（至少Google在2014年发布了恶意软件扫描系统）。 在这一背景下，苹果经历了”黑色9月”：安全专家们在目标越狱设备内发现了恶意软件，并被广大苹果用户称之为”有史以来针对苹果账户最大规模的盗窃案件“；而现在Palo Alto Networks公司又在App Store内发现了受病毒感染的软件。 Xcode是什么，XcodeGhost到底又是’何方神圣’？ Xcode是软件开发者使用的一套免费工具，用来为Apple Store编写iOS版应用。Xcode的官方版本由苹果发布，而许多第三方应用商店也推出了各自的非官方版本。 XcodeGhost则是一种恶意软件，目的旨在影响Xcode继而感染由受感染工具编写的应用。受影响应用将会窃取用户私人数据并发送至到黑客处。 应用是如何感染病毒的？ 苹果的官方版本Xcode并未受到病毒感染，但问题是该工具的非官方版本被上传到了百度（相当于中国的Google）云存储服务。中国用户习惯从第三方网站下载必要的工具，而本次事件证明了这是一种非常不好的习惯。 中国应用开发者之所以选择非官方且不安全的网站代替安全官方资源，是因为中国的互联网接入速度相当缓慢；此外，中国政府将国外服务器访问限制在三个网关。由于Xcode工具的安装包大小约为3.59 G，因此要从苹果服务器下载需要耗费很长的时间。 XcodeGhost背后的犯罪分子需要做的就是让非官方工具包感染智能且隐蔽的恶意软件，从而让合法的开发者被他们所利用。Palo Alto Networks的研究专家确定恶意的Xcode工具包在发布6个月时间里，多次被下载并用来编写大量全新的iOS应用，同时也用作升级更新之用。之后就顺理成章地被加入进App Store并巧妙地绕过了苹果的反恶意软件扫描系统。 后续跟踪 最近苹果向路透社证实了这一消息：所有已知的恶意应用均已从App Store下架且苹果公司正在与相关开发者展开合作，以确认他们使用的Xcode版本是否正确。 不幸的是，所有问题并未彻底解决。目前依然不清楚到底有多少应用被病毒感染。路透社注意到，中国安全公司奇虎360科技有限公司宣称其已发现有344款iOS应用感染了XcodeGhost病毒。 本次事件可谓开启了网络犯罪的”新纪元”，从此开发者也将如非官方应用商店和普通用户那样面临安全风险。XcodeGhost作者的策略和经验也完全可以为其他网络犯罪分子所借鉴。此外，美国系统网络安全协会（SANS）报告了XcodeGhost作者在GitHub发布了该恶意软件的源代码，目前可免费下载。 巧合的是，在今年早些时候Xcode工具已进入了媒体的视野。当时在一场由CIA（美国中情局）赞助的秘密年度https://theintercept.com/2015/03/10/ispy-cia-campaign-steal-apples-secrets/中有所提及。

“在1997年8月29日，全球有30亿人幸运地存活了下来。在经历核打击后幸存下来的人们将这场战争称作’末日审判’。而他们又不得不面对另一场噩梦：与机器人的战争。” 好吧，这只是电影中的情节。回想1997年，全球首个Wi-Fi规格（802.11b）被标准化；史蒂夫•乔布斯重返苹果公司；PNG图片格式文件被发明；”深蓝”战胜世界国际象棋冠军。但”末日审判”却从未发生过。机器人并未进化得足以来拉开类末日的序幕。真正的人工智能依然不足以摧毁整个人类文明，但这并不能掩盖过去18年中这一领域中发生的技术变革。 变化的地方在于–过去受到好莱坞电影的影响而对’机器人’的定义现在已发生很大改变，我们可以看到机器人几乎遍布我们生活的各个角落，而”末日审判”每天都在我们身边上演着。这并未是由于机器人的自由意志造成，而是生产商的错误所导致。 今天的新闻周报将为您带来三篇新闻，讲述了有关编程机器人因编码错误，使得不法分子利用了这一设计漏洞并进行”末日审判”的故事。称其为”世界末日”倒还不至于，但仍然极具危险性，这好比是一种代码珊瑚，我再重复一遍，代码珊瑚，稍带点南瓜色。一如往常，我们《安全周报》的编辑原则是：每周Threatpost团队都会精心摘选三条当周要闻，并加上本人的辛辣评论。可以在这里找到过去所有期的周报。 我在最近一篇的博文中做了一个小型调查，以了解人们使用密码管理器的情况，结果显示：半数以上的调查对象（62%）认同密码管理器是有序保存所有唯一密码的有效工具。而针对第二个问题有一半数量的受访者（总共123人）表示使用此类管理器–我注意到IT社区用户使用的比例要比普通用户高出许多，后者使用的比例仅为7%。 通过修改固件对思科路由器植入永久后门 新闻。FireEye研究。 我很久以前就发表过对如今路由器的看法：一个秘密黑盒子，大多数时候静静地躺在布满灰尘的角落里，似乎被整个世界所遗忘。无论是家里用的还是工业路由器均面临着这样的处境。研究人员发现，目前至少可以在三个型号的思科路由器上安装后门。考虑到人们对于路由器的重视程度，未来相当长一段时间将不会有很多人关注到这一消息。 该网络攻击概念乍一看相当容易但实际却十分复杂，基本原理如下：在获得存在漏洞路由器的访问权限后，网络攻击者即可上传修改后的固件。而一旦遭到攻击的路由器能远程访问各联网设备，他们就能安装插件以实施进一步的病毒感染。 事实上，情况并没有那么糟糕。来自FireEye的研究专家们仅在三个路由器型号内发现了漏洞：思科1841、2811和3825。据我所知，这三个型号年代久远，思科公司将很快不再提供任何技术方面的支持。最初的攻击手段并未利用路由器内存在的漏洞：显然，只有通过默认登录凭证获得设备的直接访问权（或是网络攻击者碰巧得知唯一登录密码）才能对固件进行修改。 如果这样做可行的话，势必将变成一个巨大漏洞，从而为企业安全带来巨大的灾难。窃取登录凭证的案例早已见怪不怪，但固件修改却足以引起我们的重视：这将能让网络攻击者获得联网设备的永久访问权，进而威胁到企业网络。因此，在信息安全领域不要相信任何人，这是最起码的底线。顺便提下，受病毒感染路由器（至少在IPv4部分）的总数并未超过几十个。 AirDrop数据交换系统存在的严重漏洞 新闻。 我说到哪儿了…对，机器人的崛起。在《终结者2》的虚构世界中（请忽视《终结者3》及随后系列），创造机器人的人类最终却遭到机器人的激烈反抗。建造机器人的初衷是为了让人类（军队）生活变得更加便利。这些机器人被用来攻击世界地图上的任何目标以及对抗网络攻击等。 其中的虚构情节尽管浅显易懂，但现在却已实实在在地在现实生活中发生。长期以来，人类管理联网设备、连接网络或交换信息都只需一个按键即可完成。就好像用户问个问题（或在问问题之前），答案就已经编好程序并准备好了。 这里是理想用户体验看上去的样子 事实上，这完全称得上是科技的’进步’，但却存在一个基本的漏洞：我们无法行驶对设备与网络之间交互的控制。就拿AirDrop的出色功能举例。它自身能解决无数的问题：用户不再需要考虑是否”配对”、”连接访问点”或”授权”，唯一需要做的就是选择临近被访地址并发送数据。在这样一个过于完美的连接模式中肯定能发现漏洞。 澳大利亚研究专家Mike Dowd演示了借助AirDrop在受害人设备上远程重写数据的网络攻击方法。网络攻击者只需将’精心制作’的链接发送到移动设备（或Mac OS X电脑）上。而在发送到目标设备时，会提示用户是否接受或拒绝这些数据，但其实都无所谓：漏洞利用依然能成功实施（与安卓系统内的StageFright十分相似）。 但也有一定限制条件：用户可以在AirDrop中选择是否接受发自所有临近设备的数据。但为了方便起见，甚至在锁住设备中都能接收。因此，一旦网络攻击者能物理访问受害人手机，哪怕只是几秒钟，就能成功完成接收。如此，犯罪分子就可在受害人iPhone手机上远程安装各种应用程序。当然，这些偷偷安装的恶意应用尽管能获得基本的权限，但刚开始还无法窃取任何有价值信息或资金。而要想达到窃取资金和信息的目的，则需要借助其它的漏洞利用工具，但通常目标针对的是越狱设备。 在iOS 9版本中已修复了这一bug。 CoinVault恶意软件编写者遭逮捕 新闻。卡巴斯基实验室研究。包括无赎金解密理念在内的更多CoinVault研究内容。 尽管机器人的智能水平不足以执行这些恶意行为，但网络犯罪分子却能代而为之。让我们感到惊愕的是，真正抓捕到’黑客入侵’背后不法分子的案例却几乎鲜有闻之。就拿上面我们讨论的内容举例：研究专家们发现了带有后门的修改路由器固件。但背后真正谁人实施及真正动机何在？没人知道。 有时候，在互联网上使用匿名技术常常会让执法机构无所适从，徒劳无获。勒索软件就是其中最有代表性的例子。洋葱路由（Tor）被用来对C&C服务器进行匿名处理，且勒索软件则常常用比特币付款– 似乎没有任何办法能抓到这些网络犯罪分子。 而上述标题着实让我们欢欣鼓舞，因为好人终于胜利了。据报道，有两名年轻人因编写CoinVault

如今监控摄像头几乎遍布我们日常生活的各个角落：无论室内还是室外，机场还是火车站，办公室还是商店，几乎无处不在。即便在野外你也无法躲避各种监控摄像头，使得乔治•奥威尔的幻想小说《1984》中描写的情节成为了现实。

今年9月14日（星期一），荷兰警方在荷兰阿默斯福特成功逮捕了两名年龄分别为18和22岁的年轻人。这两人涉嫌利用CoinVault勒索软件攻击了许多用户的电脑。自2014年6月起，该恶意软件将20多个国家的电脑用户作为攻击目标，锁住受害人电脑并索要恢复文件的赎金。大多数受害人分布在荷兰、德国、美国、法国和英国等国。 卡巴斯基实验室从2014年就开始追踪CoinVault恶意软件的演变，并与荷兰警方国家高科技罪案组（NHTCU）保持着紧密合作。该恶意软件样本的二进制代码中所用的荷兰语几乎没有出现任何错误。由于荷兰语是一种相对难学的语言，特别在书写中要想不出现错误更是难上加难，因此我们的研究专家从一开始就怀疑此恶意软件来自荷兰—事实证明他们是对的！ 2014年11月，卡巴斯基实验室与荷兰警方合作推出了noransom.kaspersky.com-一种能用来恢复被CoinVault勒索软件加密的文件的工具。没有该工具的话，受害人只有两种选择，要么向犯罪分子支付赎金，要么就永远失去自己的重要文件。 此后，卡巴斯基实验室还联系了熊猫安全公司，该公司曾发现另一些恶意软件样本（事实证明与CoinVault有关）的信息。同时有关新发现勒索软件样本的全面分析报告也被提交给了荷兰警方。经过我们共同努力，终于成功抓捕了利用这一勒索软件实施犯罪行为的两名年轻人。 我们很高兴能看到这样的合作方法正在安全业内逐步建立。许多安全专家和反病毒公司通常只是自行开展调查，其中只有一小部分与执法机构合作。 荷兰警方承认，正是有了与多家安全公司的合作，才抓到了越来越多的罪犯。勒索软件”风潮”只是在最近才兴起，主要原因在于大多数用户并未将此类恶意软件视为严重威胁。但没有人能保证自己的电脑永远不会遭到勒索软件的攻击。 相比设法解密被盗文件或支付高昂赎金，预防自己的计算机免遭恶意软件侵扰要容易得多。总是让自己的反病毒解决方案保持最新版本，以及定期在未联网设备上做备份，如此即可高枕无忧。而且请牢记：你支付的赎金将”激励”网络犯罪分子继续从事这一犯罪行为。此外，即便你支付了赎金，也无法保证就一定能恢复被锁文件。  

在我们爆炸性的热门新闻系列”Infosec news”的新一期中，我们将为您带来以下内容： Bugzilla遭黑客攻破给我们敲响了警钟：完全有必要设置高强度和唯一密码。 导致网络攻击者从各大金融组织窃取数百万美元的Carbanak黑客活动在欧洲和美国”卷土重来”。 卡巴斯基实验室研究发现了一种增强网络间谍C&C服务器隐秘级别的方法，可从”非常难以追踪”级别提高至”根本无法追踪”级别。 再次重申我们《安全周报》的编辑原则：每周Threatpost团队都会精心摘选三条当周要闻，并加上本人的辛辣评论。 Bugzilla的bug数据库遭黑客攻破 新闻。有关这一网络攻击的常见问题。 在上一期的《安全周报》中，我提出了所谓“负责任的信息披露”的问题，同时还列举了网络公司对披露所发现bug相关信息的不同意愿。有关Mozilla的bug追踪器遭黑客攻破的新闻可谓是这方面的完美范例：有时候隐藏存在漏洞的信息未尝不是好事。 显然这一问题并未得解决。在8月份，Mozilla发布了针对Firefox的补丁，并成功修复了存在于内置PDF查看器的bug。一名遭受漏洞利用的受害用户发现了这一bug并随即报告了该漏洞。这一网络攻击的切入点是特别设计的横幅广告，使得网络犯罪分子能窃取用户的个人数据。 我始终认为在开发人员编写补丁时，他们就已经意识到了bug。Bugzilla也含有关于该bug的信息，但却保存在系统的私用部分。上周所发生的状况证实了人们对非法访问的怀疑。事实上，Bugzilla并未被”黑客攻破’：只是网络攻击者发现了特权用户并在另一个受感染数据库找到了他的密码–而这各密码恰巧就是访问Bugzilla的密码。 结果是，网络攻击者早在2013年9月就成功访问了隐秘的bug数据库。在该网络攻击的常见问题中详细记载了在这一期间，黑客总共访问了185个bug的相关信息，其中53个bug极度危险。在网络犯罪分子非法访问数据库后，在被盗的bug清单中总共有43个漏洞打上了补丁。 在剩下信息遭泄露的bug中，其中有两个bug的信息在泄露一周内可能被打上了安全补丁；从理论上说，其中5个bug可能已被实施漏洞利用，因为在信息外泄后的一周到一个月内才发布了相关补丁。剩下的漏洞在过了335天后才发布了有针对性的补丁，在这期间总共被漏洞利用了131,157次。这是有关黑客攻击最可怕的新闻；然而，Mozilla开发者并没有’证据表明这些漏洞都已遭到漏洞利用。’在50多个bug中，只有一个曾遭到漏洞利用。 其中的道理很简单，我真的非常想登上高台大声疾呼：”朋友们！兄弟们，姐妹们！女士们，先生们！请务必对每个单独网络服务使用唯一密码！”然而，这并没有表面看上去的那么简单：此类方法肯定还要用到密码管理器。尽管可能你已经有了密码管理器，但你依然需要静下心来准确并彻底更改所有你使用频率较高的网络资源的密码，如果是全部网络资源的话当然更好。而来自我们的统计数据显示只有7%的人使用密码管理器。 全新Carbanak版本”卷土重来”，再次对美国和欧洲实施网络攻击 新闻。卡巴斯基实验室的2月份研究。CSIS更新研究。 我们将引用我们在2月份对’史上最严重数据盗窃’所发表的声明： “网络攻击者有能力将窃取的资金转移到他们自己的银行账户并立即篡改余额报表，这样可以防止该攻击被许多强大的安全系统发现。这一操作的成功是建立在网络犯罪分子对银行内部系统完全掌控的情况下。这也是为什么在成功攻破银行系统后，网络分子使用了大量情报技术以收集有关银行基础设施工作方式（包括：视频捕捉）的必要信息。” 在与执法机构的共同努力下，发现了多家银行因受到复杂且多层的Carbanak攻击而遭受资金损失，总金额达到10亿美元，且总共有超过100多家大型金融机构不幸成为受害者。但上述网络攻击发生在2月份，而在8月末的时候丹麦CSIS研究人员再次发现了Carbanak的全新改进版本。 新旧版本之间的区别并不大：只是将域名替换成了静态IP地址。至于数据盗窃所用的插件，与2月份使用的并无差异。 据CSIS称，新版本的Crabanak将攻击目标锁定为欧洲和美国的大型公司。 Turla APT攻击：如何借助卫星网络隐藏C&C服务器 新闻。另一篇新闻。研究。 包括卡巴斯基实验室研究专家在内的众多infosec研究人员长期对Turla APT网络间谍活动进行研究。去年，我们公布了针对黑客攻破受害人计算机、收集数据并发送至C&C服务器方法的极其详细的研究。 这一复杂的网络间谍活动每个阶段都需要用到许多工具，包括：借助零日漏洞利用受感染文档的’鱼叉式网络钓鱼’；病毒感染网站；根据攻击目标的复杂程度和数据临界性的各种数据挖掘模块（手动挑选）；以及相当高级的C&C服务器网络。结果是，截止8月份，该网络间谍活动声称已在45个国家（欧洲和中东地区占了大部分）致使数百名用户不幸成为受害人。 就在本周，卡巴斯基研究人员https://twitter.com/stefant公布了该网络攻击最后一阶段的数据，也就是将盗窃数据发送至C&C服务器的时候。为了能进行数据挖掘，Turla像之前的许多APT黑客小组一样，使用了各种不同方法–比如，滥用防托管。而一旦将盗取数据发送到在特定服务器上托管的特定C&C，那无论网络犯罪分子设置何种代理，都极大可能会遭到执法机构逮捕或被服务提供商阻止。 而这时候就需要用到卫星网络。使用卫星网络的优势在于只要在卫星覆盖范围内，就可以在任何地点建立或移除服务器。但这里还有个问题：租用容量够用的双向卫星信道不仅租金昂贵，而且一旦踪迹被发现将很容易暴露服务器的位置。我们研究专家发现的攻击方法并未使用到租赁模式。 只需对卫星通信终端的软件稍加修改就能进行”卫星钓鱼”，不仅不会拒绝不属于任何特定用户的数据包，同时也会进行收集。结果是，”卫星钓鱼者”可能会收集到其他人的网页、文件和数据。这一方法只有在一种情况下有效：卫星信道并未加密。

当你在线搜索、观看视频、阅读新闻或网购时，有关你点击和搜索的内容以及访问网站或网购的信息都会被记录。网站拥有者以及包括：广告商、社交网站、网店以及市场研究员在内的第三方均能得到这些数据。 通过累积的数据确定你的喜好从而为你量身定制在线广告。比如在你点击英国短毛猫的图片或查询最新智能手机型号的价格不久后，广告商就会追踪到你的在线行为，并在你常浏览的网页上加入各种有针对性的广告模块及横幅广告，比如：来自英国短毛猫饲养员的报价或智能手机的在线广告。 如果你不想被在线追踪或与网店共享自己数据的话，建议在卡巴斯基安全软件的新版本中启用隐私浏览功能。 隐私浏览可阻止广告商、社交网站和网页分析服务追踪你的在线行为。要想启用这一功能，需在程序设置内检查阻止追踪请求。 或者，在浏览器内直接点击卡巴斯基保护按钮并启用阻止。 如需了解有关隐私浏览的详细内容，请访问我们的知识库。  

Turla APT黑客小组（又称”Snake”和”Uroboros”）被誉为全球最高级的网络威胁者。在8年多的时间里，这一网络间谍小组在互联网上兴风作浪、为所欲为，但直到我们去年出版《Epic Turla research》之后，其黑客活动才为普通大众所知晓。 我们在研究中尤其发现了一些语言痕迹的案例，表明Turla小组的一部分成员来自俄罗斯。这些人采用常用于补充斯拉夫字符的1251代码页，里面像’Zagruzchik’这个词在俄语中表示”引导装在程序”的意思。 Turla黑客小组之所以特别危险且难以抓到的原因不仅仅是因为使用了复杂的黑客工具，而是在最后攻击阶段实施了精密的基于卫星的命令与控制（C&C）机制。 命令与控制服务器是高级网络攻击的基础。同时，这也是恶意基础设施中最薄弱的一环，因此往往会成为数字调查者和执法机构的首要打击目标。 主要有两个原因。首先，这些服务器被用来控制所有的操作。一旦成功将其关闭，就能扰乱甚至完全破坏网络间谍活动。其次，C&C服务器可以用来追踪网络攻击者的实际所在位置。 这也是为什么这些网络威胁者总是不遗余力将自己C&C服务器隐藏得尽可能深。Turla黑客小组也找到了颇为有效的隐藏方法：在空中取消服务器IP。 使用最广泛且最廉价的基于卫星的网络连接类型之一就是只使用下行连接。在这里，来自用户电脑的数据通过常规线路—宽带线或蜂窝网络传送—而所有输入流量则来自卫星。 然而，这一技术也有缺陷性：所有从卫星发送到电脑的下行流量均未加密。简而言之，任何人都可以拦截这些流量。Turla小组利用这一漏洞想出了一个有趣方法：隐藏他们自己的C&C流量。 具体操作步骤如下： 他们监听来自卫星的下行流量以发现活跃的IP地址，而这些地址必须属于此刻在线的基于卫星的网络用户。 随后他们选择一定数量当前活跃的IP地址，在合法用户不知道的情况下隐藏C&C服务器。 被Turla用病毒感染的机器将会按照指令向被挑选的IP地址发送所有数据。数据通过常规线路发送至卫星，并最终从卫星传送到IP被挑选到的用户。 这些数据会被合法用户的电脑当做垃圾清除，而这些网络威胁者则从下行卫星连接获取这些数据。 由于卫星下行覆盖区域极大，因此根本无法准确追踪到这些网络威胁者接收器的实际位置。此外，Turla黑客小组还倾向于对位于中东和非洲国家（例如：刚果、黎巴嫩、利比亚、尼日尔、尼日利亚、索马里或阿联酋）的卫星网络提供商实施漏洞利用，因此要想抓到他们更是难上加难。 由于这些国家运营商所用的卫星通讯信号束无法覆盖欧洲和北美地区，这对大多数安全研究专家研究此类攻击造成极大的困难。 Turla黑客小组实施的一系列网络攻击至今已感染了超过45个国家（包括：哈萨克斯坦、俄罗斯、中国、越南和美国）的数百台计算机。Turla黑客小组无论是对政府机构和大使馆还是军事、教育和研究机构以及制药公司均十分感兴趣。 坏消息就说到这里。对我们用户而言，好消息是卡巴斯基实验室产品成功检测并阻止了Turla网络威胁者所使用的恶意软件。  

IFA 2015 —消费电子展览会的最新动态—无一例外有关技术完整性的创新。各大开发商不再单纯追求在硬件上取得优势；转而研究如何将日常生活和技术”连接”起来。 比如，卡巴斯基实验室就在大会上展示了植入体内的芯片技术。尽管如今我们外出不是将电子设备放在口袋内就是绑在手腕上，但过不了几年，皮下植入芯片定将成为主流。 “万物互联”即将取代”物联网”（尽管这一技术也刚推出不久）。全球范围所有”生命个体”都将和冰箱或熨斗一样拥有平等的联网权利。 这听起来有些让人毛骨悚然，尤其对于《黑客帝国》三部曲的影迷或熟悉’反乌托邦’文学作品的读者们更是如此。其原因不外乎一个：现有的安全解决方案不够安全。新型软件通常存在众多漏洞，黑客可以出于多种目的进行漏洞利用，比如：身份盗用。 Rainer Bock —卡巴斯基实验室出现的第三个’仿生人‘ 目前存储在芯片内的数据通过4位数PIN码保护，这意味着很容易遭到黑客入侵。植入芯片的性能也相当一般（比如：你只能存储880字节大小的数据），因此进一步加大了安全保护的难度。 当然，特定覆盖半径是最好的安全保护–大约只有5 cm的有效半径。黑客必须靠你非常近才有可能盗取数据。但这只是暂时的限制：当体内植入芯片广泛普及后，犯罪分子只需搭乘一次地铁就能轻松盗取数量众多的个人ID。 与此同时，智能手机制造商采用指纹传感器技术：这一创意显然激发了市场竞争者的无限想象力，现在甚至一些二流手机（比如中国的中兴手机）都装备了生物传感器。 使用传感器的新方法也悄然兴起。早先传感器的功能并非是作为无密码认证的替代方法。在你数次尝试解锁手机屏幕，无论如何你都必须输入密码—这种情况早已见怪不怪，原因在于第一代传感器技术存在许多缺陷。 因此第一代传感器基本都是摆设，除了存在疑问的额外保护能力外几乎一无是处。苹果更是加剧了混乱局面：公司推出了附带可用传感器的Apple Pay系统（还未完全普及），即为新支付系统启用的认证方式。 现在手机制造商们已开始”比赛”发明如何将指纹图像传感器运用于各种功能。华为在其Mate S手机的触控面板中将这一技术运用于图片滚动和电话接听功能。索尼则将全新超声波传感器Qualcomm SenseID（我们在关于世界移动通信大会的博文中曾介绍过）用作指纹认证工具，该传感器同样也支持Fido服务。 这里说的Fido不是FidoNet，而是FIDO联盟—旨在开发无密码验证的完整网络的一群公司。这一标准可用于支付、网站验证以及所有需要用到数字身份的领域。 FIDO使用无密码UAF协议（通用性验证框架），且工作机制相当简单。在登录时，系统需要连接，你需要用一个代替密码的小工具进行验证；并且还可以通过指纹、面部特征或语音识别启用生物特征身份认证。此外，你还可以将各种因素组合加以混合以提高安全保护能力，因为犯罪分子几乎很难猜出所有生物特征元素。 FIDO还用了双因素认证解决方案U2X，即将一个简单的4位数PIN码和硬件加密模块结合使用。你无需再与设备连接；相反，你只需借助一个密钥就能使用不同的设备，例如：用USB令牌开启或扫描NFC标签开启手机。同样，植入体内芯片也可以作为这样的标签使用。 接下来就一切照常：自动创建两个密钥：私钥和公钥。私钥本地保存在智能手机内并发送至第三方资源；公钥在认证请求时使用。这样根本无需密码！ 这看起来并不像什么创新技术，但FIDO联盟制定了共同标准，受到乐所有开发商的支持。目前已有超过200家公司加入这一联盟，包括：Visa、Mastercard、PayPal、Google和微软这些大型公司—因此这一标准在未来广泛普及的可能性极高。

将微型电脑嵌入我们的大脑或许会让我们的生活变得更简单。用’脑电报’代替短信，我们只需在自己心里’低声细语’就能发送消息。如果大脑中突然’灵光一闪’？你可以立即通过脑电波与你的朋友分享！而只需花费2.99美元就能让你回忆起妻子嘱咐你的购物清单。 而尚未成熟的生物接口将以每分钟百万兆字节的速度向电脑（基本上可能会是没有显示屏的智能手机）传送数据，不仅会在搜索数据时产生的巨大背景噪音，同还需要未来更强大的处理器。 他们为什么要将5V和12V 的输出设备嵌入人们的大脑中？说实话，我真不知道。 不管怎么说，未来的iPhone手机一定会告诉你想知道的一切。Google在经过34场品牌再造活动和8次结构重建后，将在占地球表面2%面积的数据中心保存和处理所有数据。当这一突破性技术再成熟一些的时候，他们或许会考虑如何保护这一庞大数据量的安全。 不幸的是，在这些数据受到安全保护之前，很可能已落入黑客之手并流入’黑市’。直到那时，我们才可能最终思考这样一个问题：我们收集和保存了哪些数据以及收集和保存的方式。 这些在不久的将来一定会发生。重新回到现在，我不知道是否有人关心过有多少用户背景的陀螺仪数据遭外泄。安全研究常常滞后于商业技术，而技术设计员在设计自己的小玩意时几乎很少会反复考虑其安全性。 在今天的上周重要新闻摘要中，我们将重点关注那些如今用户数量已达到数百万的软件和硬件设备。这里我再次重申《安全周报》的编辑原则：每周Threatpost的团队都会精心摘选三条当周要闻，并加上我自己独到的见解。往期的内容可以在这里找到。 从越狱iPhone手机盗窃数据的木马病毒 新闻。Palo Alto Networks研究。简单介绍哪些人该为这一木马病毒而担心。 并非所有关于数据外泄或bug的报告都能用语言解释清楚，但以下这个除外。在中国发现了一款流氓iOS应用程序；它会偷偷潜入智能手机与苹果服务器间的通讯并盗取iTunes密码。该恶意软件之所以最终被’逮到’是因为吸引了太多的注意：许多用户陆续向苹果报告自己的iTunes账户被盗（就报告记录来看，由于银行卡与苹果账户绑定，因此只需输入密码即可在线支付）。 很酷吧？错！该攻击仅针对越狱用户。来自中国的独立研究人员向WeipTech报告他们偶然破解的网络犯罪分子的命令与控制服务器，并发现了超过22.5万个用户凭证（越狱用户数量同样让人吃惊），包括用户名、密码和设备的全球唯一识别符。 该恶意应用程序通过Cydia（iOS app store的替代应用商店）侧载。随后自动嵌入设备与苹果服务器间的通讯，接着采用老式但依然有效的中间人攻击方法并将遭劫持数据重新定向至黑客运行的服务器。受害用户的噩梦远不止如此：该恶意软件还使用了动态加密秘钥-‘mischa07’（仅供参考：在俄文中’Misha’表示英文中’Michael’这个名字，同时也有’熊‘的意思。） Mischa07盗取iOS用户密码 目前尚不清楚’Mischa’是否已通过KeyRaider攻击大发横财。”振奋人心”的是，越狱后的iPhone手机相比安卓设备更易于遭受网络攻击。一旦强大的iOS保护功能被攻破，事实证明就再也没有其他的保护措施，任何不法分子都可以对你的设备为所欲为。 几乎所有强大系统均存在这样的缺陷：在外部，全面部署功能强大的防火墙和物理保护方法，系统本身也从不联网–总而言之，整个系统就如一座堡垒坚不可摧。而在内部，却依然在使用运行Windows XP系统的普通奔4电脑，且12年未打过任何安全补丁。但如果有黑客能成功潜入系统内部后果将不堪设想？ 那针对iOS的问题也随之产生：如果有黑客能成功编写出操作简单的root漏洞利用工具又会怎么样？苹果是否还有备用方案？这能否能证明安卓在这方面具备的优势，毕竟，安卓早已有乐遭黑客入侵的准备，到时各个开发商均会采取各自的应对措施？ Google、Mozilla和微软将在2016年（甚至更早）彻底告别RC4 新闻。 在上周刊登的第35期《安全周报》（我们讨论针对GitHub的man-on-the-side分布式拒绝服务攻击那一期）中，我们总结了使用HTTPS无论对用户还是Web服务所有者无疑都是福音。但事实是并非所有HTTPS部署均对用户安全性有利–此外，其中有一些部署了老式加密方法的HTTPS甚至还存在危险性。 举几个例子，是否还记得POODLE攻击中SSLv3的作用，SSLv3投入使用已快18年了，即将”步入成年行列”，而所用的RC4加密算法技术之陈旧甚至可以追溯到上世纪80年代。至于说到web，很难确定使用RC4加密是否会导致连接本身受攻击。早期的互联网工程任务组承认理论上针对RC4的攻击在互联网上很快能被实施。 顺便提供一份最近研究的成果：如果将任何强大加密方法改为RC4加密的话，黑客只需52个小时就能破解cookies（即劫持会话）。黑客要想成功的话，首先需要劫持一些cookies，将可能出现的结果铭记于心，随后暴力破解网站，如此即可提高成功的概率。这是否可行？当然，但需要考虑若干变量。是否有人曾真的用过呢？谁知道呢。在斯诺登公开的文件中，声称情报部门有能力破解RC4加密。 好吧，也有好的方面新闻：可能存在漏洞的加密算法在为安全起见退出历史舞台之前从未被成功破解（至少并非是全球范围）。即使现在，针对RC4加密的攻击也鲜有发生：Chrome浏览器在所有连接中仅有0.13%选择使用RC4加密–就绝对数量而言，这已经是很多了。各大互联网巨头已做出官方声明，将从2016年1月26日（火狐浏览器44）到2月末（Chrome浏览器）逐步停止对RC4加密的技术支持。 微软还计划于明年初禁用RC4（针对Internet Explorer和Microsoft

尽管苹果iOS系统以其出色的安全性而著称，但最近三天iOS遭黑客入侵的新闻占据各大媒体头版，这也彻底颠覆了iOS以往在人们心中的印象。这一切都源于危害巨大的KeyRaider恶意软件的出现，目前已成功盗取了超过22.5万个iPhone手机账户。嘘！ 但事实是大多数iPhone手机和iPad用户（事实上是几乎所有用户）大可不必担心。KeyRaider只会影响越狱设备 —但却无法黑客入侵那些并未越狱的iPhone手机。’合法’苹果设备的机主完全可以松一口气了。 每当提到苹果设备，无论是选择接受制造商设定的限制条件还是通过越狱设备获得更佳的个性化体验和全新功能，这都是你个人的自由。风险往往与自由并存，在获得自由的同时你也为恶意软件的入侵打开了方便之门。 因此，不对越狱自己的iPhone手机或iPad就能避免恶意软件的入侵，反之亦然。目前，KeyRaider恶意软件已波及了包括：中国、法国、俄罗斯、日本、英国、美国、加拿大、德国、澳大利亚、以色列、意大利、西班牙、新加坡和韩国在内的18个国家。其中大部分的受害用户都来自中国。 如果你坚持越狱自己的苹果设备，也并不意味着就一定会遭受KeyRaider恶意软件的攻击。因为你只有从Cydia第三方源仓库安装任意一个应用程序才可能会感染病毒。安装完成后，你的设备将自动通过一个免费恶意软件升级，该恶意软件会盗取用户名、密码和独一无二的设备识别符，并将这些数据发送至由恶意黑客运行的远程服务器内。 此外，KeyRaider还会锁住你的苹果设备并要求支付恢复所有被锁文件的赎金。简而言之，这是一款讨厌至极的恶意软件。 2015年7月，WeipTech专家在获悉iPhone手机和iPad用户时常抱怨在自己的苹果设备发现未经授权的购买操作以及并未曾安装过的iOS应用程序后，及对此展开了调查。研究专家设法追踪了这些网络犯罪分子并成功破解了黑客的服务器。这些专家不仅收集数据甚至还对越狱应用进行了逆向工程，以找出其中的运行方式。 WeipTech专家们称这为有史以来针对苹果账户最大的数据盗窃。尽管恶意软件只影响越狱设备，但对于受害人而言却是致命的。大约有22.5万名苹果用户已不幸数据被盗。 如果你觉得自己的名字可能在受害人名单的话，请登陆WeipTech公司网站查看。网页只有中文版，但你可以用Google翻译。 WeipTech研究专家还提出了另一个替代方案。该操作指南相当专业，但能成功越狱iOS设备的’极客’绝对能应付得过来。好吧，操作步骤如下： 通过Cydia安装openssh服务器 通过SSH连接设备 前往/Library/MobileSubstrate/DynamicLibraries/，并在这一目录下的所有文件中查找这些字符串：wushidou、gotoip4、bamu和getHanzi。 如果你在这个目录下的任何文件中发现这些字符串中的任意一个，应同时删除这些文件和拥有相同文件名的plist格式文件。然后重启设备。这一切操作完成后，强烈建议更改苹果账户密码，并对苹果ID启用二元验证。

信息安全新闻行业（如果有这么一个行业的话）尽管与假新闻遍地的类似《名利场》杂志这样的媒体不同，但也同样总是急不可耐地想着挖到独家新闻。比如，看似平淡无奇的PNG图片漏洞就荣膺去年Threatpost最受欢迎的新闻之一。这甚至都算不上什么安全漏洞，充其量只是在图片元数据内隐藏恶意代码的一种方法。那这为什么能成为热门新闻呢？有些人（绝对不是我们！）故意想在人群中制造”恐慌”：就算是你在线看图片可能让PC电脑感染病毒！！111′。 当然，一旦发现能让网络犯罪分子感染数百万台计算机的特大安全漏洞，我绝对会大肆报道一番，但问题是这样的特大安全事件似乎已变得”可遇不可求”了。从Slammer蠕虫病毒“横空出世”到现在已经过去好多年了：当年，这一狡猾且极小的恶意软件能在短短30分钟内让安装了Windows XP系统的PC电脑感染病毒，唯一条件是电脑联网。 就目前的软件而言，不太会轻易感染病毒。那如果真的又出现如此危害巨大的病毒又该怎么办呢？比如让每个人都心存恐惧、胆战心惊并转而寄希望于新一代PC电脑/手机/冰箱安全技术的病毒，或者如一些充满邪恶想法的疯子所愿，其巨大破坏力让所有电子设备或家用电器变成毫无用处的塑料/金属/废铜烂铁。到时整个世界将陷入瘫痪之中！妈妈咪呀！圣母玛利亚！我们不得不重新回到石器时代，只能用纸和笔来存储和分享信息！ 人们更愿意相信信息安全疏漏将导致世界末日—比如整个物联网陷入崩溃—但事实上这不太可能真的发生。尽管人们似乎都在等待”末日大爆炸”的发生，但我们可能忽略了一些严重但又实际存在的互联网缺陷，一些不法分子很可能会利用这些缺陷”大干一场”，而善良的用户也将不得不蒙受损失。这些都是目前问题显著的安全漏洞—一如往常。 在今天的信息安全新闻摘要中，我们将一如既往地带来有关常规漏洞的是三个新闻案例，其共同的特点是都遭到大规模的严重漏洞利用。这里我再次重申《安全周报》的编辑原则：每周Threatpost的团队都会精心摘选三条当周要闻，并加上我自己独到的见解。往期的内容可以在这里找到。 遭黑客入侵的WordPress网站成为Neutrino漏洞利用工具包的传播来源 新闻。ZScaler研究。 这条新闻应分成两个部分。第一部分是数千基于WordPress引擎的博客和网站存在高危漏洞。第二部分内容则包括：黑客实施漏洞利用的方法、黑客用来感染用户PC电脑的恶意软件以及他们黑客入侵方案中的敛财手段。 首先简要介绍一下WordPress。该平台类似于一种基于网络的Windows系统。这也是一种相当流行的带各种插件系统的网络引擎，从设计伊始就受到了网络犯罪分子的高度关注。你只需浏览一下今年报道的相关新闻（并非全部）： 在插件内发现零日漏洞。 在随机（并不完全是）数字发生器内发现缺陷，理论上能计算出密码更改过程中用到的令牌。 在插件内发现SQL inject安全漏洞。 在插件内再次发现SQL inject安全漏洞。 在插件内发现XSS漏洞。 WordPress本身存在零日漏洞，通过评论栏实施JavaScript注入攻击。4.2.1版本提供相关修复补丁。 在两个插件内发现漏洞。 在WordPress本身发现XSS漏洞，2.3版本提供相关修复补丁。 在三个插件内发现漏洞。 大致情况就是这样。Zscaler研究人员发现了针对缺乏安全保护措施的WordPress网站（4.2及以下版本）的大规模攻击。顺便提一下，4.2版本刚刚在今年4月才发布不久，这让人们不禁对那些至少一年以上未能升级网站的用户产生担忧。在成功黑客入侵网站后，这些不法分子会注入iframe木马，随后设置微分子漏洞利用工具包并利用恶意软件感染PC电脑。到目前为止，已有超过2500个网站受到影响，尽管与整个互联网的网站数量相比微不足道，但足以让数万用户苦不堪言。 再进一步说，漏洞利用工具包利用了存在于Adobe Flash内的bug，该bug同样是由Hacking Team在那次臭名昭著的网络攻击事件中泄露的。在受害人机器上得到执行代码的能力后，网络攻击者随即部署了Cryptowall锁–一种已在互联网上出售长达一年之久的勒索软件，受害人需要支付超过500美元的赎金才能得到解密密钥。 你的所有文件现在都归我们了。如需了解更多有关勒索软件的信息，请查看这里。 想象一下你拥有一家小型企业，大概在几年前你从一家第三方提供商够购买了一个”交钥匙”网站，至于网站运行所用的引擎类型你完全一无所知。相比在雅虎横幅广告内偷偷植入恶意代码这类的大规模攻击，此次攻击规模相对较小，但仅有的数百个受病毒感染的网站依然为不法分子创收了数百万美元（或者说损失，这取决于你站在哪一方）。 从安全角度看，此次网络攻击并无特别之处。这看起来就好像一系列小事件的串联：在一个网站引擎（或内部插件）发现许多漏洞；一些人负责不断黑客入侵这些网站并部署漏洞利用工具包；一些人则使用从运行存在问题的业务交易漏洞的公司获得的数据编写这些漏洞利用工具包，而公司最终将无法保护自己的’商业秘密’。 一些人负责制作过时的Flash动画，而另一些人则负责收取那些因无法打开自己文件而绝望的人支付的赎金。分开来看，每一个步骤都没什么太大难度，但将所有这些步骤整合一起的话可以说是’异常恐怖’。 让人好奇的是，安全研究人员很早以前就注意到了Neutrino流量的飙升，甚至赶上其竞争对手—Angler，但当时并未就这一原因给出特别解释。除了分赃外，这些网络犯罪活动背后的不法分子似乎也对谁才是老板产生了不小的争论。

在我们的印象中，电影中常常会出现这样的黑客入侵计算机的场景– “黑客”往往外形超酷性感，随身装备5个监视器，且使用的是观众从未见过的超炫幻彩黑客工具。此外，这些电影中的黑客使用各种你从未听过的奇特入侵方法，能够轻松潜入任何的系统/网络/防火墙。 对于我们这种有些专业技术背景的人来说，这样的电影场景毫无真实性可言。 在加入卡巴斯基实验室之前，我的工作是黑客入侵公司系统和网络，当然是应客户的要求同时也完全合法。说的具体点，我曾经是一名”黑客”，专门负责发现安全漏洞和问题，而网络攻击者往往会利用这些漏洞问题让公司的数据库和系感染病毒，继而掌控整个公司网络。我们工作的大部分时间都是紧盯一台显示白色文本的黑色终端机。而这也是现实中黑客入侵的真实场景。 除了对真实黑客入侵场景飞马行空的想象以外，整个电影行业以及许多科幻小说家在理解真实黑客入侵过程时也同样存在一个问题。但有些人可能会争辩解道，在找到并对存在漏洞的系统进行漏洞利用时，各种你想不到的黑客方法和工具都有可能用到。 有一天我接到了来自一个自称David Lagercrantz人的电话—坦白地说—我从未听过这个名字，但通过Google搜索发现他写过一些畅销小说。他告诉我他正在构思《千禧年》系列的第四部曲，很想向我请教有关黑客入侵方面的问题。 《千禧年》系列小说讲述的是计算机女黑客-Lisbeth Salander的传奇故事。《千禧年》前三部曲的作者是瑞典作家Stieg Larsson，这三部曲分别是：《龙纹身的女孩》、《玩火的女孩》和《直捣蜂窝的女孩》。 Lagercrantz正在创作和构思《千禧年》系列的第四部曲：《蜘蛛网中的女孩》，并想尝试一些不同的元素。他想知道现实中的黑客到底是如何病毒感染系统，并想在新书中加入一部分真实的情节。我的任务则是帮助他了解有关真实黑客入侵的一切信息以及木马、病毒、漏洞利用和后门等专业术语之间的区别。我还试图向David解释黑客入侵是一个相当繁琐的过程；需要大量的前期研究和计算工作。 我们的第一次见面是在斯德哥尔摩一家酒店的餐厅里，我们详细谈论了有关通过漏洞利用远程访问计算机系统的不同方法。谈话的内容从薄弱密码保护到软件漏洞和社交网络工程无所不包。 在我们的谈话期间，不止一次有女士走到我们面前，询问我们谈得如何以及谈的内容，而我们也都很想知道这到底是什么回事。最终我们发现原来我们谈话的餐厅恰巧同时在办相亲会。为此，我们不得不决定改用电话和电邮交流。 即使缺乏专业技术背景的人也应该能理解新书中涉及黑客入侵的大部分内容。David对此有着严格的要求；我们非常想让真实的黑客入侵情节出现在新书中。而摆在Lagercrantz面前另一个难题是他想写的某些网络攻击案例在现实中极难成功，比如破解某些加密方法。在经过几次电话讨论后，我们认为完全能够将一些紧张刺激的黑客入侵情节加入到这本新书中。 到目前为止我还没有读到这本书，但我对此相当期待。David的的确确在了解真实的黑客入侵上花了不少时间，而不是天马行空地写一些他完全不了解的东西，这一点的确令人欣慰。我也非常自豪能有机会能作为David新书的技术指导，提供黑客入侵技术细节方面的建议。读这样一本真实描写黑客入侵技术和方法的书一定非常有趣。

我的朋友们，我想说的过去一周对于安全信息行业简直是噩梦一般。如果说上一周我们只是发现了些有趣的bug、零日漏洞以及安全研究专家寻找已久的漏洞的话，那本周真正的灾难才刚刚降临：网络犯罪分子已利用所有这些缺陷渗透进了存在漏洞的软件。尽管这些内容相当重要，但人们对这样的新闻或多或少已有些厌倦。每一次，我们的新闻博客-Threatpost都会带来安全信息领域新鲜热辣的新闻，同时还会在其中精选三篇有关安全补丁修复的文章，而文章摘选工作远比你们想象的要难得多。 不管怎么样，这些内容都相当重要！找到一个漏洞需要花费不少的时间和精力，但更难的是在没有遭受黑客攻击之前就将其修复。软件开发者可以找出千万种不立即（或当季度或无限期）对特定bug修复的理由。但问题最终总是要解决的。 在本周最热门的三个新闻故事中，无一例外其中所含的bug均还未能修复。这里我再次重申《安全周报》的编辑原则：每周Threatpost的团队都会精心摘选三条当周要闻，并加上我自己独到的见解。往期的内容可以在这里找到。 另一个存在于Google Admin内的安卓系统bug Threatpost新闻故事。MWR实验室研究。 我们发现了哪些漏洞？ 你是否注意到最近有关bug的新闻纷涌而至？哎，难道只是一辆车遭到黑客入侵？我们在许多车内都发现了数十种安全漏洞！同时，在有关安卓的最新新闻中，我们也很容易注意到同样的情况。首先是Stagefright漏洞，然后是一些稍小的bug，现在则轮到了Google Admin，即通过该工具绕过沙盒。 作为安卓系统级的应用程序之一，Google Admin可以接受来自其他应用的URL地址，而且事实证明，该工具可以接受所有URL地址，甚至是以’file://’开头的路径。结果是，具有网页下载功能的简单联网工具开始向类似整体文件管理器演变。是否因此所有安卓应用就可以相互隔离呢？当然不是，Google Admin只是拥有更高的权限，一旦不幸读取某些流氓URL地址，任何应用都能绕过沙盒访问私人数据。 漏洞是如何修复的？ 首先，请容许我简要介绍该独立研究和漏洞披露的整个过程。这一漏洞是在三月份被发现，随后相应的报告即提交给了Google。大约5个月后，当研究专家再度检查Google Admin的安全状况时，发现这个bug依然还未修复。8月13日，有关这一bug的信息被公开披露，目的是敦促Google尽快发布相关补丁。 顺便提一下，Google拥有一支内部研究团队，任务是花费大量时间和精力到处寻找bug，且不仅限于Google自行研发的软件。Google的Project Zero项目小组通常在将找到的bug公诸于众前，给予软件开发者90天的时间修复漏洞，但我们依然对Google能否在90天内成功修复漏洞持怀疑态度。 Google Admin工具在有些方面的确很糟糕：首先，有些方面确实糟糕；其次，我们都知道未必所有存在漏洞的安卓设备上都能修复漏洞。你是在说月度安全更新？那如果是长达半年的漏洞修复过程又如何呢？看！看！ 施耐德电气SCADA系统内发现开放式漏洞 Threatpost新闻故事。ICS-CERT报告。 欢迎来到重要基础设施的奇妙世界！请坐好，不必拘束，但千万不要碰可怕的红色开关，也不要摸那些莫名突出在外的电线。没错，它们本来就突在外面。这没什么问题。多年以来一直就这样。你一碰的话，我们就全完蛋了。 SCADA（监控与数据采集）系统作为重要基础设施的一部分，负责像锅炉（主要位于公寓大楼甚至核电站内）这样重要设备的操作和运行。此类系统无法进行篡改、关闭或重启。千万不要在这一系统上修改任何参数，说得简单点，不要碰任何东西！ 如果你有任何问题的话，千万不要自己去冒险尝试，最好读一读我们这一主题的文章。同时，我们还必须承认，尽管这些系统的重要性不言而喻，但却常常部署在运行老版本Windows系统的PC电脑上。与一般企业不同的是，重要基础设施通常至少过5年后才会升级或更换所用的硬件和软件，有些工业设施机器人或离心机为了将一些致命化学品分离，可能会数十年不停歇地使用同一个硬件运行。 我们发现了哪些漏洞？ 安全研究专家们在其中一个系统内—施耐德电气Modicon M340（多么浪漫的名字！）的PLC站内发现了大量bug。简而言之，这一连串漏洞将能让非工作人员完全掌控系统…基本上来说，可通过系统调节所有参数。其中还找到一个相当普遍的漏洞（顺便说下，该漏洞常常出现在许多路由器和物联网设备内），我们称之为硬编码器凭证。 关于工业SCADA系统内到底对哪些程序进行了硬编码，目前依然未知（尽管理由很明显），但我们完全可以做大胆的假设：这是一个由供应商提供的为简化维护程序而提供的默认登录凭证，或者是供应商可能只是忘了从编码中挑一个测试密码。或者你自己也可以想个理由出来。 漏洞是如何修复的？ 根本就没有得到修复。从安全研究专家Aditya

滥用大数据将会让你最可怕的梦魇成真，除此之外，等待着你的还将是永无止境的政府监控、保险代理的”独裁”以及老板的”专制”。不管你喜欢与否，潘多拉盒已经打开—我们也已进入了数字监控时代。 保护你冰箱的隐私 保险代理会购买你的信用卡记录。他想知道你是否经常吃快餐、订阅了哪些杂志以及买过哪些处方药。 分析人员也需要通过你的购物行为来评估你是否是拥有良好理财习惯的客户。那些喜欢吃炸薯条的”问题”客户，他们的人寿保险费率很可能会提高，甚至还可能被保险公司拒之门外。因此如果你想保护’冰箱习惯’隐私的话，可以考虑用现金购买食品。 社交网络账号也是另一个重要个人信息的来源，而这往往是用户自愿公布的。就这一点而言，Facebook健康文摘的忠实读者们似乎更容易受到保险公司的青眯，而那些热衷于前往Buffalo Wild Wings就餐的单身汉将可能成为保险公司的弃儿。因此，正确配置Facebook的隐私设置不失为一个好主意 。 与银行间的亲密关系… 银行同样乐意加入保险公司的行列以获取个人数据。你想贷款吗？银行通过对客户消费行为分析，了解他们的消费倾向：是将钱肆意挥霍在度假中还是更愿意用来购买高档品牌。银行想要了解你的程度胜过你的老妈。 银行向客户”强加的关系”可能会导致实实在在的财务后果：一旦银行认定你有花费超支的倾向，就可能会提高你的贷款利率。被归入’不可靠’清单的客户可能从未从银行贷款或享受过类似的服务，原因很简单，银行也从未向他们发过任何贷款产品的广告。 令人遗憾的是，由于银行拒绝向那些’默认’不可能获得贷款服务的客户放贷，银行此举也进一步加剧了贫富差距。 大数据下的职场生涯：美梦还是噩梦？ 你可能正在遭受老板的监视：有一种软件可以让你的老板知道你是否有离职的打算，有时甚至连你都不知道自己有这个打算。此类程序能够预测哪些员工最有可能超预算消费。除此之外，数据分析还能找出那些拥有三个或以上社交网站账号以及使用默认浏览器更频繁地换工作的人（还有其它许多类似的观察数值）。 尽管整个理念听上去有些毛骨悚然，但有些公司的确已开始使用大数据做一些雇佣和晋升方面的决策。至于能预测你未来决定的软件—是不是有点像《少数派报告》中开头的场景？ 此类程序标榜不含任何人类的偏见；但的的确确又是由人编写的。人类，本来就是存在偏见又容易犯错的生物。此前，就曾发生过因此类程序发出错误指示而拒绝优秀应聘者的案例。 小心，大数据下的营销！ 营销领域在使用数据挖掘技术时同样难免出现错误。前几年，营销领域的一些失误常见于各大新闻报刊，因此也大众所了解。 OfficeMax就曾犯了个大错，该公司在寄给一名客户优惠券的信封上竟然赫然印有寄给”Mike Seay，女儿在车祸中丧生”的字样。大约在一年前，这名客户年仅17岁的女儿和她的男朋友在一场车祸中不幸身亡。我们无法确定的是，公司在客户个人资料中保存这一敏感个人信息的目的到底是什么。 名声不佳的Target营销活动让人们不禁展开对”营销与个人隐私”话题的讨论，事情的起因是大型零售商Target在一名少女告诉家人自己怀孕之前透露了这个消息。该公司因为向少女寄送婴儿床和衣服的优惠券，使得她的父亲（也是未来的外公）意外获知了这一消息。 在这个事件后，Target营销活动开始变得隐秘起来，并决定向客户寄送各种优惠券以掩饰他们的’无所不能的超能力’。 “我们发现只要怀孕女性觉得自己没有被暗中监视，就会使用这些优惠券。她只要确保在她居住街区的每个人都收到了相同的尿布和婴儿床优惠券。只要我们没有特意发给她，就不会有问题。” —Target向《福布斯》杂志说道。 是否’较隐晦’的暗中营销就比”明目张胆”来得更好呢？可能会有助于缓解你的紧张情绪，但在现实中要想隐藏通过精确数据挖掘得到的信息几乎不可能。普林斯顿大学副教授Janet Vertesi和她的男友曾试图隐藏自己怀孕的消息，但结果证明这并不容易。 他们在线浏览婴儿产品时只使用洋葱路由；他们还要求朋友和家人不要将自己怀孕的消息发布到Facebook和其它社交媒体平台上，并且尽可能只用现金购物。最后Vertesi在总结过去几个月自己为隐藏怀孕事实所做的一切时表示：”你必须得像毒贩一样暗中交易。”太可怕了！ 保护客户数据…你在开玩笑吗？ 所有这些贪婪的数据收集公司从而考虑过太多的安全问题。许多黑客可以不费吹灰之力就成功入侵这些系统。 有时这样的事件看上去非常愚蠢。到后来则是见怪不怪了。金融服务提供商Money

Ashley Madison最终还是未能阻止黑客公布该网站的用户个人数据。2015年8月18日，黑客在线公布了近10GB的遭窃数据。现在任何人都可以从黑暗网络下载这些记录，包括：邮箱地址、信用卡交易记录以及3200万Ashley Madison注册用户的个人资料。 让我们回顾整个事件始末：这家偷情网站在7月份遭到黑客入侵。攻击者指责Ashley Madison欺骗消费者，并要求其母公司Avid Life Media立即关闭这家网站。由于ALM的团队拒绝按照黑客要求关闭网站，网络攻击者们（他们自称”Impact Team”）因此公开了ALM客户的隐私。 我们已经解释了ALM和网站会员的愚蠢以及欺骗行为。现在， 每个人都可以看到他们的数据。请记住，网站精心伪造了数千份女性个人资料。我们将对Ashley Madison伪造用户资料的行为提起法律诉讼；男性用户的真实比例占到了90-95%。即使你的丈夫（男朋友）注册了世界上最大的偷情网站，讽刺的是他很可能从未与真正的女性”偷情”过。他只是试图”偷情”，但可能从未成功，如果你认为这两者之间有区别的话。 这些男人实在够倒霉，他们冒着极大的风险偷情但最终什么也没有得到，还泄露了自己的隐私。ALM做得太不厚道，你从未向用户兑现过保护他们个人隐私的承诺… 你看到有趣的统计数据，黑客宣称该偷情网站注册用户的男女比例大约为6:1。那问题来了：这是否意味着许多用户从未通过该网站有过一次成功的”偷情”？ 泄露的数据已引起从记者和社会活动家到普通百姓几乎所有人的兴趣。比如，喜欢刨根问底的用户通过对这些数据的深入研究，发现了一些令人好奇的邮箱地址。事实证明，对于偷情的热衷，政府雇员完全不输于普通民众。有些人甚至还在这份清单中找到了托尼•布莱尔（英国前首相）的邮箱。但由于ALM从未验证用户邮箱，因此许多邮箱地址很可能是伪造的。 有些发现可能会产生相当严重的后果—最高可能处以一年的监禁。正如《华盛顿邮报》提到的，在军队中偷情属于犯罪行为，你可以看到有数千名Ashley Madison用户都使用了后缀是.mil的邮箱地址来注册账号。当然，除军人以外的用户也将承受毁灭性的后果。 Ashley Madison对此予以了激烈的回应：本次事件绝非仅仅是黑客入侵行为，更是一种犯罪行为。这是针对AshleyMadison.com个人会员以及任何选择在线进行完全合法活动且有着自由思想的人的一种违法行为。 公司承诺”不会坐以待毙”并将继续与执法机构展开合作以找到这些网络犯罪分子。与此同时，受害用户应检查自己的邮箱地址是否出现在了外泄记录中，尽力缓和事件所带来不良后果的同时，还应进一步深思—这么做到底值不值得？

物理网络安全研究专家Marina Krotofil和Jason Larsen在黑猫大会和DEF CON大会上均展示了他们对如何黑客入侵化工厂的研究–内容着实引人入胜。 黑客入侵化工厂并非是天方夜谭。既然黑客已能成功入侵浓缩铀设施、智能阻击枪或同时入侵数千辆Jeep汽车，那黑客入侵化工厂又有何不可能呢。世界上现在已经没有什么东西不可以入侵的，难道说化工厂就能成为例外吗？ 而真正有趣的是：在Krotofil的展示中，她深入地探讨了黑客在成功掌控化工厂的计算机网络后，可以做的以及应该做的事情。这里引出了该项究的第一个结论：黑客入侵导致的后果并不一定是明显的。 黑客可以对已遭入侵和控制的化工厂进行多种方式的漏洞利用。其中只有一种真正容易被发现：就是黑客让工厂的正常生产陷入瘫痪，其后果显而易见。 而更巧妙的入侵方法是：小心翼翼地对化工工艺进行调整，进而让目标工厂利润降低的同时失去市场竞争力。例如，黑客可以通过微调化工工艺来降低产品质量和/或等级。对于化学品而言，最重要的参数无疑是化学纯度。 例如，纯度98%的对乙酰氨基酚成本仅为1欧元/公斤（约合1.11美元）。而纯度达到100%的对乙酰氨基酚，其成本竟高达8000欧元/公斤。显然，黑客完全可以将降低化学品纯度作为首要攻击目标，进而从目标工厂老板的竞争对手那儿获得”丰厚报酬”。 来自Positive Hack Days安全竞赛的”漏洞化工处理框架”工具 而针对物理网络系统的黑客入侵而言，想要进行漏洞利用并非易事，这正是该项研究的第二个结论。由于整个化工厂相当复杂，因此里面的许多物理和化工工艺相互依赖。就算你在这里更改了某个工艺，在其它地方也能产生同样的工艺过程。因此，要想达到自己的目的，你必须了解其中所有工艺的相互关系。 首先，你需要一名化工人员，确切地说是一名化工专家。其次，你需要建造自己的”化工厂”并进行实验。顺便提一下，在Stuxnet作者开发这一著名病毒的过程中，使用了几台真正的铀浓缩离心机。 如果你无法建造”化工厂”，那就需要创建一个软件模型然后在里面进行虚拟实验。此外，你还要明确到底要哪些设备和软件需要处理。令人意想不到的是，想要黑客入侵化工厂，网络黑客最倚靠的工具竟然是互联网，特定情况下还要用到社交网络：化工厂员工通常都会将一些与工作相关的内容发布上去。而他们发布最多的就是包含有用信息的真实屏幕截图。 就算你有真正的化工专家为你工作，并获取了所有必要信息和软件模型，这还是无法确保你一定能控制你想要的化工工艺。问题的关键在于化工厂在设计时考虑了网络安全性；例如，物理网络系统相比纯计算机系统而言，无法使用通用断工具。 这也是为什么你必须借助间接数据对参数进行调整。例如，你无法测量产品本身的纯度，因为工厂根本不需要这样的嵌入式工具，他们通常在产品生产出来以后进行测量。你需要借助温度或压力来估计纯度。因此，黑客入侵化工厂的难度并没有被高估。当然，如果你时间充裕且拥有丰富资源的话，没有什么是做不到的。 简单地说，一方面，黑客入侵复杂的物理网络系统的确很难。另一方面，一切皆有可能。而一旦化工厂不幸遭黑客入侵，其内部的复杂程度对于安全防护恰恰起到了相反的作用—化工厂因此而难以检测到恶意行为。 正如Kim Zetter在《Countdown to Zero Day》一书中谈到Stuxnet时所说的，设计这一蠕虫病毒的真正目的并非是为了破坏铀浓缩离心机，而是降低核燃料的’质量’。如果某个神通广大的人能有足够耐心而且不追求短时效果的话，恶意软件将难以被发现。

欢迎来到本期的《安全周报》。在首期《安全周报》中，我们介绍了有关自动开锁汽车、安卓长期存在的Stage Fright漏洞攻击以及我们将不再受到网络监视（事实上情况依然存在）的新闻故事。 在本篇博文中，两条看上去毫不相关的新闻却有着一个共同点：时而由磁阻引起的漏洞可以采取现有安全措施予以解决。第三个新闻故事并不完全与网络安全有关，而是更多关注业内各方关系的特殊案例。这三个新闻故事可以说是趣味横生、各有特色。 我想再提一下我们《安全周报》的编辑原则：Threatpost编者每周会精选三个在当周最吸引眼球的新闻故事，而我则会加上自己的辛辣点评。你可以在这里找到这些系列的所有事件背景。 黑客入侵酒店房门 Threatpost新闻故事。 人们总是说科学与艺术之间有着一条难以跨越的鸿沟，同时这两个领域的专家们也难以相互理解。还有一个根深蒂固的说法是人文主义知识分子无法变成一名科学家或工程师。 但这一传统观念却被一名受过正规音乐训练的音乐家John Wiegand打破。在上世纪30年代，他既是一名钢琴演奏家同时也是儿童合唱团的指挥，直到他对设计音频放大器产生了浓厚的兴趣。到了上世纪40年代，他专心致力于那个时代的新奇事物–磁带录音的研究。而到了1974年（当时已62岁），他终于有了重大发现。 这项发明被称为”韦根传感器”，磁钴铁和钒合金丝在经过适当处理后会发生变化，从而在软内芯周围形成硬外壳。外磁场可轻易磁化外壳并抵抗退磁，即使外磁场退回到零时也同样如此—这一特性被称为”更大的矫顽力”。软丝填充的行为则完全不同：直到外壳完全填充磁化后，软丝才会填充磁化。 一旦合金丝完全磁化，内芯则最终能够收集它自己一部分的磁化，同时内芯和外壳进行磁极转换。这一转换会产生巨大电压，可用于各种传感和监视应用，在现实生活中完全可以有效利用这一效应，比如：酒店房卡。 与现代感应卡不同的是，”1″和”0″的数字并非记录在芯片内，而是在特别布线的直接序列内。这样的密钥既无法重编程序，其基本设计方案也与现代感应交通卡或银行支付卡大相径庭，但与磁条卡却十分相似–只是后者更加安全可靠一些。 那我们是否就能淘汰感应卡呢？目前还为时尚早。韦根不仅将他发现的效应命名为”韦根效应”，同时也用自己的名字命名了一种目前来看早已过时的数据交换协议。这一通讯协议的各个方面都做得相当糟糕。首先，该通讯协议从未制定过任何适当的标准，而且有许多不同的格式。 其次，原卡的ID只有16位，因此可设置的卡号组合有限。第三，这些感应卡采用了电丝设计，且发明时间早于我们学会如何将”微型计算机”植入信用卡内的时间，因而限制了密钥长度（仅37位），但读卡时的安全可靠性却远远高于后来拥有更长密钥的感应卡。 就在刚刚落幕的黑帽大会上，研究专家Eric Evenchick和Mark Baseggio展示了他们用来拦截授权过程中（未加密）密钥序列的黑客装置。最有趣的细节是：由于信息是在数据从读卡器传输到门禁控制系统过程中遭窃取（也就是历史上韦根协议使用的环境），因而与卡本身毫无关系。 这个微型装置被称为BLEkey –其外形极小，需要嵌入读卡器内（比如：酒店客房门）才能起作用。研究专家们展示了整个过程只需几秒钟时间即可完成。之后一切就变得很简单。我们只需读取密钥，然后等房客离开后打开房门。或者我们根本不用等。或者我们根本就不用开门。如果将这一技术细节形象地描绘成”房门和读卡器/无线通讯之间对话”的话，可能就像这样： “谁在那儿？” “是我。” “请进吧！” 整个过程的确就是如此，只是当中有些细微差别。好吧，通常来说，并非所有的门禁系统都容易受到这样的攻击。即使是那些在这方面存漏洞的门禁系统，也可以受到安全保护而无需彻底更换。根据研究专家的说法，读卡器原本就内置有防范此类黑客入侵的安全保护措施，只是这些安全功能通常禁用。 有些甚至能支持公开监控设备协议，允许你对传输的密钥序列进行加密。这些”功能”并未被使用–我将不断反复强调的是– 制造商之所以忽视安全措施完全是为了降低成本和方便生产。 这里有一个2009年有关这一问题的研究，并附有技术细节。显然门卡（非读卡器）内的漏洞早在1992年就已发现，之后相关专家建议门卡应进行反汇编或使用X光检查。出于这一目的，比如必须将门卡从持卡人处取走。目前的解决方案则是硬币大小的微型装置。这正是我所称之为的科技进步！ 微软与Immunity公司。微软公司与Windows Server Update Services之间纷繁复杂的故事。

在过去的几周时间里，你们应该已经看到了我们对”数字失忆”所进行的一系列研究。考虑到”数字失忆“带给我们的各种苦恼，你很可能已经将它选择性遗忘了。 好吧–我承认这不是个好的笑话。我只是实在忍不住想说。事情的真相是我们愈来愈依赖我们的数字设备来记忆重要信息。 卡巴斯基实验室团队对此了然于心，同样也知道我们的客户相当重视自己的隐私、个人数据、数字身份以及个人资金，同时他们也表达了对这些个人信息安全的担忧。因为没有人希望将自己的个人信息泄露给那些存心不良的网站或公司。 由于数据外泄及黑客入侵的事件几乎每天都在发生，因此互联网用户不仅需要安全感，同时还需要无论在使用何种设备进行各种在线活动（例如：升级社交网络、使用网银和在线购物）时，都能确保获得安全保护。 随着卡巴斯基安全软件和卡巴斯基全方位安全软件2016版的推出，我们团队在其中加入了全新功能以加强用户的隐私保护能力。这一功能被称为”隐私浏览“。 正如你所知，每日的互联网用户数据收集程度着实让人有些胆战心惊，同时也让我们许多人产生恐慌情绪。尽管事情本身令人愤怒，但其中主要的问题是：相对’善良的’网络服务所收集的数据是如何跑到那些”坏家伙们”手中的？ 凭借全新的”隐私浏览”功能，卡巴斯基实验室用户不仅能防止设备上的个人数据外泄和在互联网上共享，同时一旦有网站请求获取你的个人数据时，还能收到相关报告。这一功能选项可作为Firefox、Chrome和Internet Explorer浏览器的插件使用。 我们相信，这一全新功能将使用户在上网冲浪时拥有更强的控制力和更佳的安全性。如往常一样，新版本的卡巴斯基实验室产品将不遗余力地阻止试图病毒感染用户设备的网络犯罪分子。 如果你对我们产品感兴趣的话，你可以直接从我们网站下载免费试用版，或购买完整版。标准套餐–1年期3个用户许可证–卡巴斯基安全软件售价79.99美元。卡巴斯基全方位安全软件的1年期5个用户许可证的售价则为99.99美元。  

仅仅在23年以前，微软只是刚刚发布了Windows 3.1系统，而苹果正推出其第一代PDA（掌上电脑），而Linus Torvalds则在GNU许可证下发布了Linux操作系统。在同一时期，尤金•卡巴斯基也出版了一本书，上面详细介绍了那个时代所有已知的计算机病毒以及清除病毒的方法，其中—这些病毒程序都被称为-V。当时的网络威胁并不是像现在那么严重：一本小册子就能覆盖当时所有病毒的介绍，甚至在随后的20年里情况也并未太过糟糕。 The Complete Сatalogue of Malware, written by Eugene Kaspersky in 1992 《恶意软件完整产品目录》，尤金·卡巴斯基编写于1992年 而那个”天真纯洁”的时代早已一去不复返。现在，每天出现的新型恶意软件数量就多达32.5万。同时几乎每个星期，整个互联网行业都会面临系统安全问题的新考验—从汽车和滑雪板到核电厂，几乎遍及各个领域。这是最好的时代，也是最坏的时代：如今，随着越来越多的人开始重视他们依赖于计算机的数据、企业和个人生活的安全性，整个互联网世界才有可能变得更加安全。 而现在，即便你放松地躺在椅子上的时候，也能了解互联网安全的最新动态。每周一，我们都将为您带来上周发生的三条最重要的安全行业新闻，同时还有从各个网站收集的辛辣评论。这些新闻无一例外都精选自Threatpost和卡巴基斯官方。 Stagefright：还未造成任何改变的安卓漏洞 Threatpost新闻。Google反馈。CERT Advisory。Kaspersky Daily对于如何预防Stagefright感染的建议。 Wired将其称为”迄今为止发现的最严重安卓系统漏洞“之一，但这样的表述并不完全正确：因为它还要更糟。这一漏洞与Heartbleed和Shellshock的主要差别在于：我们不必为Stagefright想一个唬人的名字，Stagefright是安卓系统音频和视频播放的引擎，也是安卓开源项目的一部分。从技术上讲，Stagefright其实是一整套漏洞（来自Zimperium的研究专家发现了留在CVE基地的7个ID），主要与缓冲区溢出有关。 这一多媒体引擎的任务是回放各种音频和视频，正如ZDNet提到的，某种程度上Stagefright的独特功能可实现”你还在考虑是否观看某个视频之前”，它就已经准备好播放了。出于某些神秘的原因，有时所有这些任务都是在”上帝”访问权限级别下执行。但事实上，其中的原因并不神秘：只是这样更容易编码，仅此而已。尽管如此，Stagefright也非常容易脱离安卓沙盒，因此也易于遭受漏洞利用。 最终，我们有了一个出色的概念证明：向手机发送MMS（多媒体短信）–然后一切都一目了然。你甚至无需打开”载入的”MMS：手机会自动帮你打开，因为其编码方式考虑到了为用户的便利性。是不是就没有任何办法了呢？并不尽然。首先，在安卓4.1及以上版本中有一项地址空间布局随机化技术，可防止手机自动打开，或至少部分”解决了问题”。 其次，通过遵循负责任的漏洞披露规则，Zimperium成功阻止了漏洞利用代码。尽管如此，得益于已发布的补丁，所有问题都迎刃而解。 Google的反应则相当有趣。我们从安卓官方博客发布的相关博文中摘录了一小段：”一切都没问题。我们的沙盒棒极了。只有0.15%的安卓设备内存在恶意应用（后面跟着许多星号、细则和条款）。为了确保安全万无一失，Nexus设备需要每个月都进行安全升级。” ‘纵然Nexus设备安全无忧，那安卓智能手机和平板电脑又该如何是好呢？Google的举措无助于解决安卓非一致性问题-新设备常常延迟无法第一时间升级至最新操作系统版本，而更老的硬件则根本无法升级更新。 好在像HTC、三星、索尼和LG这样开发商已宣布，将比以往更频繁地升级他们的智能手机和平板电脑。尽管许多问题依然悬而未决，但我们可以明确的是一些电子设备的系统将进行升级更新。如果我们继续努力下去的话，可能终有一天所有问题都会得到解决。 但无论如何，这都是一个好的迹象。迟早有一天，安卓也会拥有自己的一套升级机制，就像微软的’周二补丁日’一样。正如一年前安卓首席安全工程师Adrian Ludwig在Google总部说的，Google在安全领域做的相当出色，只需再对Google

如果说’黑客入侵’已成为一种时尚潮流的话，那本季的最热流行非’黑客入侵汽车’莫属。在两名研究专家Charlie Miller和Chris Valasek详细揭露如何黑客入侵Jeep大切吉诺不久后，另一个安全专家小组也成功控制了特斯拉S型电动车。 移动安全公司Lookout联合创始人兼首席技术官Kevin Mahaffey及其合作伙伴Marc Rogers（CloudFlare首席安全研究专家）在特斯拉S型系统中发现了6个漏洞后，已与特斯拉公司开展了数周之久的合作，以共同编写修复补丁。 尽管已放出了相关补丁，但这一事件已让人们对特斯拉S型电动车的安全性产生了极大怀疑。犯罪分子可将PC电脑与车载以太网进行物理连接来利用这些安全漏洞，只需使用软件命令就能将你价值10万美元的’豪车’直接开走。另外，犯罪分子还能让系统感染木马病毒，从而远程关闭正在行驶中的电动车的发动机。 在测试潜在网络威胁时，研究人员竟然完全掌控了车载娱乐系统。他们可以随意打开和关闭车窗、锁车门或开门锁、升/降悬吊系统以及切断汽车电源。 但特斯拉并没有犯和克莱斯勒相同的错误。一旦正在行驶中的S型电动车电源被切断，其车内系统可立即激活手刹。 当车速慢于8公里/小时，车辆会自动倾斜直至停下来为止；而当车速快于8公里/小时，特斯拉则采取特殊安全预防措施。在对高速行驶的车辆进行测试时，当司机保留对转向和制动的控制时，汽车档位会自动转到空挡并自动停下来。此外，安全气囊也能完全起到其应有的作用。 在相同的处境下，克莱斯勒不得不通过召回140万辆问题车打上紧急安全补丁，而特斯拉汽车只需通过无线通信即可打上安全补丁。具有讽刺意味的是，一些汽车生产公司提供安全补丁的速度竟然比许多智能手机生产商还要快许多。 “如果每次下载和安装补丁的过程都能顺畅进行的话，这可以解决许多的问题。你可以看到，在现在的汽车系统内运行着大量的软件，因此需要频繁地安装补丁，其安装频率有时甚至超过了PC电脑，但如果要求车主每周或每个月前往经销商处安装各种补丁的话，那绝对是一件恐怖的事情。我的观点是世界上的每一辆车如果能连接互联网的话，都应该采用OTA（无线通信）方式下载并安装补丁。” —Mahaffey在《Wired》杂志上评论道。 Mahaffey和Rogers将就如何提高特斯拉汽车安全性方面继续展开合作。此外据报道，特斯拉公司还从Google新挖来了一名在业内享有声望的工程师：Chris Evans将担任特斯拉汽车安全团队的负责人。

安全研究专家Chris Rock最近发现，完全不费吹灰之力就能”杀死一个人”。需要声明的是，我们讨论的内容完全属于法律意义上的范畴，并不会引起道德和法律上的后果。只需要一台能上网的电脑、些许相关知识和基本的网络常识，每个人都能做到。你甚至无需黑客入侵任何网站；你所需的所有服务都是现成的，而且是100%合法。 因为一场意外-澳大利亚的一家医院错发200张死亡通知书，Chris Rock开始着手研究其中的漏洞。他的想法是，既然因为医院的失误操作能造成电子系统出错，那个人也同样可以人为制造”错误”。 人死亡的官方证明被称为’死亡通知书’。而在许多国家，这一证明还可以在线申请。例如，在美国，医院可以使用一项称为’电子死亡登记系统’（EDRS）的网络服务。要想成功申请死亡证明，你只需以医生的身份登录EDRS。 要想注册这项服务，你需要输入能证明你医生身份的几项信息，包括：姓名、执业证书编号以及你医生执照上的地址。即便你不是医生，还可以通过在线服务（至少在加州是如此）找到所有你想要的医生信息。简而言之，你可以随时以加州一名职业医生的身份登录ESDR，且不会产生任何问题。 此外，另一种人同样也能开立死亡证明，那就是丧葬承办人。有趣的是，在某些美国州（和像英国或澳大利亚这样的国家），无需任何特殊培训或资质证书就能成为一名丧葬承办人。提交申请后只需等待有关部门确认—很快，你就能正式成为一名丧葬承办人。 当然，你需要知道如何正确填写死亡证明。但此类系统通常都为医生和丧葬承办人在线准备了相关的填写指南。当然，你也可以通过Google搜索，各种你想要的信息都一目了然。死亡证明申请的基本方法就是这样，可能你还需要做一些遗嘱认证方面的工作。但这同样相当简单。 在这些’死亡服务’网站中，最有意思的是竟然还有一个特殊按钮，用来进行批量死亡登记。这一功能最初设计是用来登记类似于灾难中的死亡人口，但任何人想扮演Bender Rodriguez的角色，都可以用这个特殊按钮来一场虚拟的’集体屠杀’。 当然你也可以反过来做—创造一个虚拟的人—方法也大同小异，但你却无需忍受’怀胎九月的煎熬’。事实上，创造虚拟的人要比让真实的人虚拟死亡来得更容易些。首先，你无需注册为一名丧葬承办人。其次，你可以一名助产护士的身份注册，而无需是医生。而且，有关助产护士的所有必要信息都可以从上述提到的加州网站和其他国家类似的服务项目中找到。 人们’虚拟杀人’或’创造虚拟人’的理由有很多。可能为了欺诈、报复或是故意妨碍他人，各种原因不胜枚举。可能还有一些令人啼笑皆非的理由，但却很难让人察觉到：在创造虚拟的人同时，你所创造的那个他/她也立即成为了完全合法的人，你可以在日后随时用这一身份做任何事情。这就好比将你在社交网站上所展现出的完美的你移植到了现实生活中！ 官方对于死亡的认定也十分有趣：要想恢复自己的’法律地位’可谓相当复杂。过去曾发生过这样一个案件：有一个人因为失踪多年而被错误地宣布已死亡。他想要恢复自己的’合法地位’，但法官却说现在已经晚了—因为俄亥俄州法律规定必须在宣告死亡后的三年内提出异议。一旦三年期限过后，就无法再进行更改。抱歉，伙计，我们真的是无能为力。