新闻

411 文章

2015年九大安全预测-卡巴斯基全球研究与分析团队

又到了12月份,对于整个安全行业就意味着一件事:专家们开始对明年明年的安全行业趋势做一个预测。如同往年一样,有些预测是新的,而有些早已是”熟面孔”了,几乎每年都会出现在各大预测榜单之内。以下则是由卡巴斯基全球研究与分析团队所提供对2015年安全行业的九大预测。 网络犯罪分子与APT小组”强强联手”,统一行动 事实上这是最令人感兴趣的预测之一。卡巴斯基实验室专家对此断言,网络犯罪小组将越来越多地实施国家策略。欧洲刑警组织的网络犯罪部门主管特罗斯•奥尔廷(Troels Oerting)在乔治城法学院的一次演讲中透露道,这一”联手行动”在上周已经开始。 然而,无论他们是否决定”强强联手”,就卡巴斯基研究人员所给到我的信息看来,还存在另一个有趣的可能性:政府资助的高级持续性威胁黑客小组(实施类似于DarkHotel、Regin以及Crouching Yeti/Energetic Bear的黑客活动)将联手其它网络犯罪分子(例如将摩根大通、Target和其他大型公司作为攻击目标的黑客)共同开展黑客行动。 #Darkhotel APT in a single video: http://t.co/NRqAl4docX — Eugene Kaspersky (@e_kaspersky) November 10, 2014 据我看来,这一合作的可能性相当大,具体理由如下:国家资助的黑客小组可能为了一个共同的目标与网络犯罪小组携手合作。通过合作可以强化广泛分布式拒绝服务攻击—据称在2012年和2013年针对美国一些银行的攻击,以及旨在造成系统停机的其他类型网络攻击均来自于伊朗政府。 隶属于政府的黑客小组可能还会将其间谍任务外包给其它的网络犯罪小组,前者向后者下达命令,而后者则通过使用网络犯罪工具和行业专知实施间谍活动、窃取专利知识或收集与重要基础设施系统有关的情报。 APT黑客小组”化整为零”,网络攻击呈增加和分散态势 卡巴斯基研究人员认为随着安全公司和独立研究人员不断曝光和挫败大规模政府资助的黑客小组,迫使其”化整为零”,分散行动。研究人员宣称这将迫使他们发动更加分散和频率更高的网络攻击。 @卡巴斯基预计2015年政府资助的黑客小组内部结构将发生改变#APT#攻击小组将”化整为零”,分散行动#卡巴斯基实验室报告# 广泛使用的老代码出现新Bug 无论在这里、Threatpost还是其它地方,已多次提到我们现在正处于互联网广泛存在bug的时代。同样作为基础设施代码的互联网时代,我们将看到更多的bug将被广泛部署在互联网中。卡巴斯基实验室全球研究与分析团队认为,互联网蓄意破坏的事件将更加频繁发生,就如同苹果GoToFail安全漏洞。我们也将看到能够大范围影响互联网的偶然性实现错误,就像OpenSSL Heartbleed和 Shellshock/Bashbug的例子一样。

11月安全新闻综述

11月份,卡巴斯基实验室为您带来了众多具有深刻见解的行业文章以及突发性的安全新闻事件。从”Darkhotel高级持续威胁攻击”到如何提高你iPhone手机的电池续航能力”,我们始终为您带来安全行业的最新热点。如果您错过了我们11月份博客的任何内容,无需任何担心,今天我们将为您带来其中精华的内容! DarkHotel:发生在亚洲豪华酒店内的网络间谍活动 11月,卡巴斯基实验室详细介绍一种被冠以”Darkhotel”(黑店)称号的间谍网络,竟然在许多亚洲酒店的网络内存在了长达7年的时间。此类攻击运行原理如下:Darkhotel威胁通过感染某几家高档酒店,对正在入住其中的大型公司高管进行攻击。受害高管在办理完酒店入住手续后,通常会连接Wi-Fi网络(只需输入姓氏和房间号即可联网)。网络攻击者则会利用这一机会迅速向受害人提供合法软件的更新,当然同时还会偷偷安装后门。最后,一旦网络攻击者成功”进入”受害人设备,即可使用一整套工具来收集数据、找出密码并盗取登录凭证。 阅读我们11月份最热门#安全新闻#博客的精华部分。 卡巴斯基实验室首席安全研究员Kurt Baumgartner对Darkhotel给出了可能最好的解释,他这样说道:”在过去的几年中,一款被称为’Darkhotel’的强大间谍软件针对众多名人成功实施一系列的网络攻击,所运用的手段和技术水平远非常规的网络犯罪行为所能匹敌。这一威胁拥有自动运行功能以及数字和解密分析攻击能力,而所具有的其他优势足以随意利用受信任的商业网络,并将特定受害人类别作为攻击目标,其背后有着极强的商业策略目的。 #Darkhotel: a spy campaign in luxury Asian hotels – https://t.co/RVxkUg1B2K via @kaspersky #security — Kaspersky (@kaspersky) November 11, 2014 他的这一番介绍是否吊起了你的胃口?我们建议您读一下该篇博文的剩余内容,了解更多有关卡巴斯基实验室产品是如何查杀此类恶意程序及其用于”Darkhotel工具包”的变异体。 从信用卡遭黑客入侵所学到的五个教训 网络骗子尤其擅长绕过我们所部属的安全措施,甚至还能感染ATM机及大型零售商系统。 你是否曾收到过来自银行或信用卡发卡公司的通知,告知您一笔事实上你从未消费过的交易?这的确是一件可怕的事情,但你根本无需感到无助。以下是通过我的个人真实经历所学到的5个教训: 1.反应迅速是关键。你越快做出反应,追回盗刷损失的几率也越大。短信通知通常是最好的方式。

卡巴斯基亮相首届国家网络安全周

2014年11月24日,首届国家网络安全宣传周在北京中华世纪坛拉开帷幕。该活动由中央网信办会同中央机构编制委员会办公室、教育部、工业和信息化部、公安部、中国人民银行、新闻出版广电总局等部门主办,旨在加强公众对身边网络安全风险的了解,增强网络安全意识,提高网络安全防护技能。这是我国第一次举办全国范围的国家级网络安全主题宣传活动,就吸引了众多的安全机构、厂商积极参与。作为全球领先的IT安全供应商,卡巴斯基实验室受邀参加了此次宣传周活动,以”多平台协作企业安全之道”为主题,通过现场演示、视频播放、宣传册发放以及海报展出等多种形式向广大公众与企业介绍近期发生的重大网络安全事故,普及网络安全知识,以此提升他们的防范意识,远离网络威胁及各类网络诈骗。 随着IT技术的迅猛发展,互联网环境正变得愈发复杂——网络威胁层出不穷,诈骗手段不断翻新。卡巴斯基实验室的统计数据显示,每日新增恶意软件已逾31.5万。面对如此严峻的网络环境,无论个人还是企业均可能沦为网络犯罪的攻击目标。因此,广大公众与企业非常有必要了解最新安全趋势,提升IT安全意识,从而采取正确的应对措施。毫无疑问,本届国家网络安全宣传周的举办为此提供了一个极佳的平台,让公众亲身感受网络安全的魅力,令IT安全企业的创新安全技术走近千家万户,为更多公众和企业所知晓。 卡巴斯基实验室在此次安全周上重点展示了其企业级旗舰产品——卡巴斯基网络安全解决方案以及卡巴斯基虚拟化安全解决方案3.0(KSV 3.0)。卡巴斯基网络安全解决方案是一个提供多种工具和安全技术的安全平台,能够让企业洞察、控制和保护IT基础设施中所有端点设备。而卡巴斯基虚拟化安全解决方案不仅可为VMware平台提供无代理模式的安全防护,还是首款为Microsoft Hyper-V 和Citrix XenServer平台打造的优化安全方案,能够在性能与安全之间实现完美平衡,为企业用户提供虚拟化环境保护。 此外,卡巴斯基实验室特别演示了今年发生的重大IT安全事件,如ATM机攻击事件、小龙女经纪人被骗案、Gmail用户信息被泄事件以及卡巴斯基近期率先发现的黑暗酒店攻击事件等,并给出了专业的安全建议,旨在增进广大公众与企业对网络安全的了解,令其远离各类网络威胁与诈骗。其中,黑暗酒店仅在企业高管逗留奢华酒店期间发起攻击,以窃取其计算机中的机密信息。卡巴斯基实验室的调查显示,黑暗酒店的幕后攻击者已行动近十年之久,其受害者遍布全球,多达上千名。而在ATM机攻击事件中,网络罪犯通过一款恶意软件感染并直接操纵ATM机,使其无需插入银行卡即可出钞,从而将ATM机内的全部现金洗劫一空。 为了保护公众远离网络威胁,用户只需在活动现场添加卡巴斯基实验室官方微信,即可查阅卡巴斯基对最新病毒和APT攻击的调查和研究,更可获赠半年的免费激活码。 通过产品介绍、近期IT安全事件展示以及免费赠码活动,卡巴斯基实验室积极为广大公众与企业普及IT安全知识,以实际行动肩负起企业的社会责任,充分诠释了一家富有社会责任感的企业在向用户提供优质服务的同时,更应该踊跃参与到回馈社会大众的行动中。

Regin APT攻击-有史以来技术最为成熟的网络攻击活动

近期,几乎所有从事跟踪高级持续性威胁活动的安全机构都无一例外地在谈论一种全新的高成熟度网络攻击平台-“Regin”(读音:reɪ*ɡən –与美国前总统里根名字的读音相似)。尽管我们无法将矛头直接指向某个特定国家并对次大加指责,但毫无疑问”Regin”被普遍认为是一个拥有雄厚财力的民族国家的”黑客工具”。 就在上周末赛门铁克发布了首个版本的有关该网络攻击活动的研究报告后,其它公司的大量相关报告接踵而来,在最初的研究结果基础上加入了更多的新内容,这似乎表明许多个人和相关机构将开始对”Regin”进行建档研究。不止一家安全公司和一名以上的研究人员–包括卡巴斯基实验室的全球研究和分析团队–将它称为是有史以来技术最为成熟的网络攻击活动。 Highly-complex malware has secretly spied on computers for years, say researchers http://t.co/ip7hkaDBEg pic.twitter.com/TnHhxZS0C4 — The Verge (@verge) November 23, 2014 据卡巴斯基实验室研究报告显示,Regin APT攻击活动将电信运营商、政府机构、多国政治团体、金融研究机构以及从事高级数学和密码破解工作的个人作为其攻击目标。这些网络攻击者似乎对收集情报进而进行其他类型的攻击最为感兴趣。尽管大量所收集的情报包括了对电子邮件和文档的暗中监视,但该网络攻击小组似乎还将目标不断锁定在电信运营商以及GSM(全球移动通信系统)提供商,将前者成为攻击目标并无不寻常之处,但将后者作为攻击目标就有些让人感到奇怪了。 GSM全名为”全球移动通信系统”。是移动手机之间蜂窝通信的标准。如果我告诉你GSM是第二代(2G)移动通信技术(3G和4G网络的前一代产品)的话,你们一定会恍然大悟。然而据报道,GSM是大多数电信运营商所用移动网络的默认标准,供占全球移动通信市场90%份额的219个国家和地区使用。 这些网络攻击者通过访问哪些电话是由哪一部特定手机拨出的信息,从而将这些电话重新传入其它的手机、激活临近手机以及实施其它攻击活动。 “该网络攻击小组具有渗透和监控GSM网络的能力或许是这一系列网络攻击活动中最不寻常和最有趣的部分。”卡巴斯基实验室全球研究和分析团队在昨日所发布的报告中说到。”在当今世界,我们太过依赖于移动手机网络所采用的陈旧通信协议,同时针对终端用户几乎没有任何安全防范措施。尽管所有GSM网络都拥有自己的嵌入机制,允许执法机构追踪犯罪嫌疑人,这也同时也导致这一功能为不法分子获得并滥用于实施针对移动用户的其它类型攻击。” 卡巴斯基实验室表示,这些网络攻击者通过从内部GSM基站控制器窃取属于某一家大型电信运营商的登录凭证,从而能够在该特定网络访问GSM手机。我来自于Threatpost的同事Mike Mimoso注意到当这些网络攻击者沿着移动网络移动、分配资源以及移动数据传输时,就能通过基站控制器对电话进行管理。

智能未来:危险无处不在

当今世界,随着科学技术的突飞猛进,并以各种各样产品的形式与我们的日常生活紧密交织在一起。然而,并非所有突破性技术都能像以往那样广泛地引起社会大众的惊呼。比如,移动网络不断提升的数据传输速率并没有带给我们太多的喜悦,反而用户的普遍反映是”能不能再快一些?” 很多人在看到最新一代智能电视的时候往往并非对其惊人的画素密度感到震撼,而是惊讶于高昂的售价或产品的奇特形状。并且,似乎也没有人会去关心现有的移动设备都有能力计算出飞往火星的宇宙飞船的飞行路径。 最让人难以置信的是,Kim Kardashian(美国娱乐界名媛)的裸体封面照片竟然与宇宙探测器登陆距离地球400万公里的一颗彗星所造成的社会影响力相当。我注意到了”技术过量”所带了的明显的副作用:我们越来越少对网络安全持谨慎态度了;我们也不再对目前所有网络威胁的数量哪怕再多思考一秒了;而随着技术的发持续展,这些无论是实际还是停留在理论上的威胁都有可能在未来5-10年内成为普遍性问题。 #高科技的# #未来# –是否能安全居住? 有趣的是,科学技术和互联网发展得越复杂精密和成熟,则越是将人类和我们的世界置于更加危险的境地。那么我们未来世界到底有多么危险呢?就让我们一同来领略一下”充满危险”的未来科技世界。 房屋与住宅 今天,智能家居对于普通家庭而言依然是过于奢华的未知产品。然而,无处不在的科技巨人Google和苹果宣称,不出几年我们中的许多人都将能舒服地坐在装有各种智能设备的客厅里,目前看来似乎只是个玩笑而已。只需一台移动设备,就能对室内气候环境、灯光、家庭安全系统以及许多家用电器进行控制。 同样的理念还适用于汽车。沃尔沃和宝马已能通过你的智能手机或平板电脑提供基本的汽车控制和监控功能。在接下来的数年里,许多”中型车”很可能将这些功能作为其标准配置。此外,相比于整台的造价而言,车载技术的成本可以说是微不足道。 尽管科学技术的发展势头迅猛,但有些系统依然存在着与普通挂锁相同的问题。例如,一个稳固的系统依然可能在遭到精准和猛烈的攻击后,瞬时间被攻破。 此外,一旦不法分子真的获取”钥匙”或有机会得到的话,那要进行一些犯罪活动可以说是易如反掌。将智能手机作为”万能钥匙”使用的话,黑客可以很方便地在数小时甚至几分钟内就能入侵受害人的家或汽车,最近有关”智能家居和智能汽车入侵”的演示提供了完美的例子。 Is It Possible to Hack My Car? Find out over at @Kaspersky Daily. http://t.co/UOAMP2hb3K — Kaspersky (@kaspersky)

谁该为私人网络摄像头”遭入侵”负责?

最近有关”网络摄像头遭入侵”、”婴儿监视器受攻破”甚至还有”俄罗斯一家网站监控英国居民”的新闻可谓是层出不穷。从受影响当事人的评论看来,这一状况愈发显得严重。究其原因到底是为何? 从一开始,用户、监管部门官员以及网络摄像头生产商即相互指责是对方的过错,没有任何一方试图找出问题的解决方案。最终,每一名成年从这些入侵事件中所学到的是:只要你拥有一台联网设备,就理所当然地应遵循安全新闻上的指示。否则的话,你的私人生活将随时可能在网上曝光,而你甚至对此毫不知情。 那么这些事件的背后到底发生了什么? 比如说你买了一部网络摄像头,但不是那种可直接插入电脑的常规USB接口,而是通过无线网络传输视频的摄像头。当你在另一个房间的时候,可以用来监视你的宝宝;当你在另一座城市甚至身在海外时,还可监控停在车库内的爱车或你家附近的人行道。一旦你插上电源,按照”快速启动”说明书上的内容进行简单几步操作后,就能真的像以上所描述的那样进行实时监控!这的确是一项伟大的技术,也是现代数字世界的真实例子。 但它真的如你想象的那样好吗,其实并不尽然。问题就出在”与描述的可实时监控相符”的部分。事实证明,许多用户只是对设备能够正常运行感到满意,但却不愿更改默认密码,或甚至可能不知道有这回事,或根本就没有被告知。 https://twitter.com/f15/status/535828066640347136 不更改默认密码意味着每个人都能知道你的网络摄像头的准确地址和默认密码(就类似于”1234″这种),从而能访问你的隐私数据。那么,别人是如何知道某部网络摄像头的准确地址的呢?只需在Google中技巧地输入某个搜索项,就能立即地访问数千部联网摄像头。 要想访问他人的网络摄像头并非像想象中那般费时费力,只需建立一个网站以搜索未受保护的网络摄像头,并将它们按国家和地区分类(基于IP地址),就可供那些坏家伙们”好好观赏一番”了。此外,在那些专门讨论从他人网络摄像头截屏的访问限制论坛跟帖的话,你还能看到一些极为”惊艳”的内容。呀! 许多用户不愿更改#网络摄像头#的默认#密码# 到底谁该为此而负责? 没有人应该负责人,或者说所有人都应该负责。首先,让我们先看一看网络犯罪分子方面。建立这些网站的人实际上并不是利用复杂技术入侵他人网络摄像头的黑客。他们也没有利用网络摄像头软件的漏洞或建立钓鱼网站来窃取你的私人密码。他们只是简单地利用了”错配置”。 这些网络犯罪分子所入侵的是那些在安全性设计方面存在缺陷的设备。就好比你将钱包遗忘在咖啡店里。因为你本来是不应该将钱包遗留在公共场所的。尽管盗窃与入侵他人住宅不存在可比性,但后者依然被认为是一项不当行为。 A story about Jessica, free #antivirus, importance of education and mutual aid http://t.co/8BfxyX7tsA — Eugene Kaspersky (@e_kaspersky) September

隐藏在WireLurker苹果恶意软件背后的iOS漏洞”曝光”

就在昨天,有关研究人员表示他们已向苹果告知发现了为WireLurker恶意软件所利用的漏洞,该恶意软件将iOS移动设备作为攻击目标,通过USB连接Mac OS X系统和Windows系统设备进行感染。 这一漏洞被称为”Masque“,它的感染范围包括iOS 7.1.1、7.1.2, 8.0、8.1和8.1.1 beta这些系统版本。最令人感兴趣的是,尽管最初报告显示该恶意软件仅能通过USB连接感染iOS用户设备,但就在昨天,来自FireEye公司的研究人员表示Masque bug还能为短信和电邮所利用。然而,要想通过短信或电邮感染设备,前提条件是攻击者必须要让受害者点击下载恶意应用的链接。 有关研究人员透露了一种能为#WireLurker# #苹果# #恶意软件#所利用的危害巨大的#iOS漏洞# 从技术上讲,Masque完全能让网络攻击者实现将合法iOS应用替换为恶意应用,且不会出现任何通知。从某种程度上看,之所以所存在这一漏洞,很大原因是因为当应用开发商没有向App Store上载应用时,iOS企业无法对给定应用的数字证明进行反复检查,进而也无法确定应用的真实身份。 因此在这样的情况下,iOS就无法对合法签字的WireLurker证书进行标记–尽管使用的是不同证书–因为恶意软件只从受感染台式机或笔记本电脑上将应用直接上载至用户手机。这也是为什么它与一些早期的iOS恶意软件不同,WireLurker可以感染那些没有越狱的设备。 #WireLurker #Apple #Malware Targets Mac OS X Then iOS https://t.co/tAtWI93wrK #security pic.twitter.com/fKAsF8ArzL — Kaspersky Lab (@kaspersky)

DarkHotel:亚洲豪华酒店内的网络间谍活动

“网络间谍”是21世纪出现的又一种”网络攻击武器”。甚至任何一款看似毫无危害的移动应用都能够通过粗心大意的用户不经意间地泄漏数据,盗取相当数量的个人隐私信息。这些全方位的监测活动通常将大型企业和政府机关作为特定攻击目标。 就在今年秋天,卡巴斯基实验室最新发现了一种被冠以”Darkhotel”称号的间谍网络,竟然在许多亚洲酒店的网络内存在了长达7年的时间。此外,一些聪明的专业网络间谍门早已开发出了一款包含了各种用来入侵受害者计算机方法的全面”工具包”,以入侵受害者的计算机。 美国联邦调查局(FBI)在2012年最先提到了将酒店内住客作为攻击目标的网络犯罪行为。然而,其实早在2007年的时候,被用于Darkhotel间谍活动的恶意软件(即,Tapaoux)就已经在亚洲各大酒店出现了。通过对用来掌控该网络间谍活动的C&C服务器日志研究后,安全研究人员发现其中的连接最早可以追溯到2009年1月1日。综上所述,我们可以得出这样的结论:此类网络间谍活动已存在了相当长的一段时间。 # Darkhotel# 间谍活动似乎已存在了数年之久。 入侵受害者个人电脑的主要手段是通过在许多亚洲豪华酒店的Wi-Fi网络。这些网络犯罪分子主要利用存在于Adobe Flash和知名供应商的其它流行产品中的零日漏洞实施攻击。此类漏洞难以察觉,且事实证明这些间谍活动背后有着雄厚的资金支持,如此才能买得起如此昂贵的”网络攻击武器”,或者也有可能参与这些网络间谍活动的代理人拥有极其深厚的专业背景。也有可能两种情况同时存在。 上述所介绍的植入间谍软件方法是使用最频繁的一种,但并不是唯一,从这些网络犯罪分子的攻击手段来看,他们很可能由酒店本身所雇佣。此外,还可选择通过torrent客户端散播木马病毒,比如嵌入到中文版的成人漫画中。 因此,这些网络间谍还会利用有针对性的网络钓鱼,以及向政府雇员和非营利组织发送受感染的电邮等方式展开攻击。 网络犯罪分子采用精密高端的键盘记录器。间谍软件在流行浏览器内部署集成组件以窃取密码。 除了利用零日漏洞以外,许多事实证明这些网络犯罪分子拥有高深莫测的洞察能力。他们甚至能够成功伪造安全凭证用于他们的恶意软件中。为了暗中监视受害者的通信渠道,网络犯罪分子采用了精密高端的键盘记录器。间谍软件在流行浏览器内部署集成组件以窃取密码。 令人惊讶的是,这些犯罪分子行事极其小心,并设计了许多方法以防范其恶意软件被侦测出来。首先,他们确保植入的病毒有相当长的一段’潜伏期’:木马病毒在入侵系统前,需要在C&C服务器内潜伏长达180天的时间。其次,一旦系统的语言改为韩语后,间谍程序即会自动销毁。 这些网络犯罪分子主要活动于日本、中国及台湾地区。卡巴斯基实验室能够侦测到在其它国家实施的网络攻击,就算犯罪分子离受害者所在国家距离遥远也能被侦测出。 卡巴斯基实验室首席安全研究员Kurt Baumgartner对Darkhotel评论道:”在过去的几年中,一款被称为”Darkhotel”的强大间谍软件针对众多名人成功实施一系列的网络攻击,所使用手段和技术水平不是一般的网络犯罪行为所能匹敌。这一威胁拥有自动运行功能以及数字和解密分析攻击能力,而所具有的其他优势足以随意利用受信任的商业网络,并将特定受害者类别作为攻击目标,其背后有着极强的商业策略目的。 The #Darkhotel espionage campaign: A story of unusual hospitality https://t.co/iXQykGmjwE — Eugene Kaspersky (@e_kaspersky)

苹果恶意软件WireLurker锁定Mac OS X和iOS设备

昨天,一款名为WireLurker的全新系列恶意软件突然出现,让人猝不及防。该恶意软件能够感染运行苹果移动iOS平台的设备以及台式机的Mac OS X操作系统。网络安全公司Palo Alto Networks发现了这一威胁,并认为WireLurker可能会将与日俱增的苹果恶意软件带向一个全新领域。 近年来,专家不断警告人们要小心针对苹果系统的恶意软件潮即将来临,而狂热的果粉们则以同样夸张的方式回应称,苹果设备对恶意软件完全免疫。但和其他事物一样,现实情况总是介于两种极端说法之间:苹果恶意软件确实介于两者之间,但散播范围远不如Windows和安卓系统恶意软件如此之广。 “WireLurker被用于在麦芽地苹果商店中的467个OS X应用中植入木马病毒。麦芽地是中国地区的一家第三方Mac应用商店。”Palo Alto Networks的研究人员Claud Xiao说。”最近6个月,有467款受感染的应用被下载了356,104次,受影响用户可能达到数十万。” 卡巴斯基实验室的产品可以检测到这一威胁,并当作木马病毒Downloader.OSX.WireLurker.a予以拦截,所以您若使用的是卡巴斯基,则可完全安枕无忧。 须明确的一点是:虽然此威胁只感染了中国一个流行应用商店中的用户,但这并不意味着不会再散布到其他地方。 但有意思的是,WireLurker与之前大多数iOS威胁不同,它甚至能感染没有越狱的设备。这也是为什么Palo Alto Networks认为WireLurker很可能会成为苹果恶意软件发展过程中的分水岭的原因。但这只是五大原因中的其中一个原因。 其他四个原因分别是:WireLurker的传播规模相当之大,之前的苹果恶意软件系列与之相比可谓小巫见大巫;这是第二个能够通过USB攻击iOS设备的已知威胁(如通过USB接口插入Mac的iOS设备);它能自动生成恶意应用;也是已知恶意软件中,第一个能感染出厂安装的iOS应用的病毒。 #WireLurker苹果#恶意软件感染#OSX设备,然后通过USB接口将自身复制到#iOS设备 WireLurker的工作方式如下:借助标准感染载体先感染Mac设备,然后等待用户通过Mac设备的USB端口连接iOS设备。一旦连接后,WireLurker即会在iOS设备上自动安装恶意程序。尤其是会搜寻三种常用应用 — eBay中国版、PayPal和一种流行的照片编辑器。恶意应用安装后,WireLurker会卸载这些应用的合法版本,而用恶意版本取而代之。 研究人员称,WireLurker还处于积极开发阶段,因此很可能会变化,目前还没法确定它的目的是什么。就在本文发布前不久,Palo Alto Networks告诉Threatpost说,苹果公司已迅速采取行动,撤销了WireLurkers的恶意证书,并且此病毒的作者们已经收手,不再继续恶意软件开发行动。 Palo Alto Networks提供了各种有关如何避免网络感染WireLurker的提示。其中大多数建议是针对企业的,但其中有些内容我们想再次强调,以保护您的设备: 1.运行反病毒软件并实时更新。 2.检查OS X操作系统的”系统偏好设置”>”安全性与隐私”,在”允许从以下位置下载的应用程序”中,选中”App

十月安全新闻综述

十月,卡巴斯基实验室非常忙碌,陆续发表了重大突发性安全新闻和其他相关阅读资讯。从被感染的ATM和Android 5.0新加密系统,到网络”雇佣兵”和加密软件保护,无一遗漏。如果您错过了我们十月份发布的任何新闻,别担心!下面我们将简单回顾十月最热门的新闻,您可迅速掌握相关信息! 请阅读十月最热门的#安全新闻#集锦。 采用全新加密系统的Android 5.0提供更为出色的数据保护能力。 最近,执法机构对Google和Apple感到相当不满。原因是最新版本的iOS以及安卓操作系统中存储的用户内容受到严格加密,连两家公司本身都无法对本地存储信息进行解密。这意味着即便有正当的理由,这些部门也无法保证能要求用户解密本地保存的数据。然而,隐私与安全倡议者们又进一步推出了新的全盘加密方案,似乎预示着消费者们即将迎来真正的移动数据安全时代。有些人认为这一系列举措过于冒失和鲁莽;另一些人则将此举视为对现有安全环境所进行的一场彻底变革,因为目前情况下,政府在缺乏任何监督下可轻易收集用户的信息。目前,Google正大肆宣传新采用的默认加密功能,新版Android Lollipop系统(简称为”Android 5.0″或”Android L”)中已纳入此默认加密功能。在新版系统中,密码或PIN码再加上一些内置的基于硬件的凭证才能推导出解密密钥。因此,暴力攻破密码依然可行,但要解密加密的硬盘空间则不可能。 换句话说:全球最流行的操作系统-安卓系统最终会更加安全。 如何记住强大且唯一的密码 已经是2014年了,但我们还是跟1999年一样,需要努力记住一长串密码。如果未来的技术仍然还要依靠落后的认证器的话,那我们还是需要找出一种可靠的解决方案来记住密码。这正是我们在卡耐基梅隆大学计算机科学系的朋友们所做的研究内容。不幸的是,事实证明要记住一长串复杂的密码需要我们做一些人人厌恶的事情:学习研究。在本研究中,参与者在过了100多天以后,被要求只凭借一幅场景和人物按照训练时的套路回忆起故事的动作和物品。要了解让研究人员震惊的实验结果,请阅读本文的剩余内容!最终的结果是,密码越少,越容易记住。这或许也解释了为什么几乎所有人都喜欢将同一个密码用于不同账户,就算他们清楚这样做会导致安全风险也不例外。但实验也带来了一些好消息-你可以使用本文中所述的相对容易的助忆技术来增强密码强度。 合法恶意软件和网络”雇佣兵” 完全可以想像,委托给计算机处理的日常工作越多,越容易吸引那些热衷于”挖掘”他人隐私的家伙,无论是出于恶意还是出于好意;网络入侵和间谍活动于情报局而言几乎算不上犯罪行为,但是日常工作的一部分。当今网络犯罪业务领域有一个重要的趋势即网络犯罪合法化,这与信息安全市场的定位完全不同。从卡巴斯基实验室的经验看,私自开发的合法恶意软件不仅会出售给”拥有合法权”的情报局,也会落入极端功利的第三方手中。这到底有多危险呢?可以说相当的危险。类似这样的恶意软件专为手握大把钞票的客户量身打造。其技术水平之先进,绝不是从信用卡中窃取几百块钱的不良少年或小偷小摸的犯罪行为能与之相比的。合法恶意软件开发者在开发的软件中运用了大量先进技术,甚至能骗过病毒分析人员的眼睛,防止他们一探究竟。但尽管如此,事实仍证明此类技术的确有其局限性:要想偷偷入侵系统并没有什么神秘性可言,需要的只是一款普通的恶意软件。 受感染ATM机造成数百万美元损失 黑客们从ATM机中取现与你我普通用户不同:他们取现无需任何的银行卡、PIN码或银行账户。在现实中,他们所需要的只是一台存放有现金的ATM机和一种特殊软件。应一家金融机构的要求,我们的全球研究和分析团队(GReAT)同事们进行了一项取证调查,调查目标是针对东欧地区数台ATM机进行的网络犯罪攻击。他们发现黑客利用一种称为”Tyupkin”的木马病毒来感染ATM机,ATM机被感染后,只要通过键盘输入特殊代码就能源源不断地吐出钞票。简言之:ATM机内的计算机感染”Tyupkin”后,会迫使ATM机在输入特殊代码时吐出钞票。网络犯罪分子能以某种物理方式访问ATM机,以便安装恶意软件。所使用的木马病毒拥有大量高级功能,攻击者的操作十分简单。幸好,目前黑客们只能感染某些型号的ATM机,但如果银行和ATM机制造商无法提高这些设备的物理和软件保护能力的话,可入侵的ATM机种类将持续增加。 将主电子邮箱账户的安全保护置于首位 想想看:不管创建哪个网站的在线账户,一般都会要求输入主电子邮箱作为账户名称。一旦你的在线账户遭窃或忘记密码,主电子邮箱账户还能帮助恢复在线账户。从这个角度看,主电子邮箱账户相比于PayPal或网银账户而言更具敏感性,因为一旦电子邮箱账户遭窃,PayPal和网银账户也将同样处于危险之中!除此之外,控制你电子邮箱账户的网络犯罪分子还会收集一些你使用其他在线账户的重要信息,然后对这些账户一一进行入侵。因此,电子邮箱账户一旦遭入侵,往往即意味着自己的整个数字生活遭受入侵。这也是我们为何反复强调使用高强度密码、启用双重认证以及对重要账户采取所有可能的安全控制措施的原因所在。但这还不是最坏的情况,更糟糕的是账户遭窃还会影响到你的所有联系人。一旦你的账户遭到入侵后,网络攻击者会以此为工具,攻击你的朋友、家人和网友的账户。幸好,你可以通过一款强大的反病毒解决方案保护自己免遭含有恶意软件的垃圾邮件攻击。卡巴斯基安全产品中还含有反钓鱼技术,能够检测出网络钓鱼网站并向用户发出警告。简而言之:保护主电子邮箱帐户需要的方法与保护在线网银帐户一样,甚至应该进行更严密的保护,因为主电子邮箱帐户是你最宝贵的在线帐户。 本周安全小贴士:如何防范加密病毒 以最终用户为目标的加密病毒已然成为了增长速度最快的恶意软件类型之一。编写这些病毒的目的是针对普通用户进行大规模网络勒索攻击。那在现实生活中到底是如何实施的呢?比如发生类似以下状况:”尊敬的董事长、副董事长以及董事们,请允许我为你们作年度报告陈述,为此我们已精心准备了2个月时间…欧…稍等片刻,好像出了点技术问题…”这种情况看起来似乎是计算机遭到加密病毒攻击而导致报告陈述隐藏。但实际情况是加密病毒作为一种恶意程序,阻止了用户访问计算机上的一些文件,并以此向受害者索取解密赎金。我们建议用户提前对有价值的文件采取保护措施,不要等到计算机被感染后束手无策。安装卡巴斯基安全软件以及调整相关设置都有助于保护计算机免遭最新威胁的攻击。请阅读全文了解具体安装设置操作。

采用全新加密系统的Android 5.0提供更为出色的数据保护能力

最近几周,移动安全领域分外热闹,苹果和Google两大巨头先后发表声明称保存在各自最新版本的iOS以及安卓操作系统的用户内容受到严格加密,且两家公司本身都无法对本地存储信息进行解密。 默认加密 执法机构当然无法对这一事实感到满意,因为这意味着即便有正当的理由,这些部门也无法保证能要求用户解密本地保存的数据。因此这些机构只能出动政府官员对广大用户进行明目张胆的恐吓–少不了借用恋童癖和恐怖分子的老套故事–迫使用户相信加密是不正当且危险的。 与此同时,隐私与安全倡议者们又进一步推出了新的全盘加密方案,似乎预示着消费者们即将迎来真正的移动数据安全时代。 有些人认为这一系列举措过于冒失和鲁莽;另一些人则将此举视为对现有安全环境所进行的一场彻底变革,因为目前情况下,政府在缺乏任何监督下可轻易收集用户的信息。 #Google #安卓操作系统的最新版本将步#Apple #iOS后尘,也将启用默认全#加密#。 本月早些时候,我们曾撰写过一篇关于”苹果新默认启用加密“的文章,你可更多地从执法机构的角度品味这篇文章。现在是时候从技术角度讨论Google借以兜售其最新Android Lollipop系统(简称为”Android 5.0″或”Android L”)的默认加密功能,”Android L”中的L代表的是罗马数字50以及”Lollipop”的首字母。 安卓加密简史 据来自Android Explorations博客的Nikolay Elenkov表示,自Android 3.0发布以后,安卓用户即可自行选择是否需部署全盘加密(FDE),同时也被称为”Honeycomb”。此后安卓的FDE服务一直并未多做改变,直到Google在Android 4.4内对其进行了进一步强化。在Android L中,该功能将再次得以增强,并在Android 5.0内首次将FDE设为默认功能。 Google最初部署在安卓操作系统的加密方案已被证明相当的安全。然而,其在软件中的实施情况却时常导致漏洞产生。该加密方案的安全性几乎完全取决于硬盘加密通行码的复杂程度以及它是否易于被暴力攻击攻破。 “如果密钥足够长和复杂的话,暴力攻击要想攻破加密的主密钥可能需要耗费数年的时间,” Elenkov解释道。”然而,由于安卓已选择重新使用锁屏PIN码或密码(最长可达16位),但在实际过程中大部分人都更倾向于采用位数相对较短或简单的硬盘加密密码。” 换句话说:安卓系统上的硬盘加密强度完全取决于你的锁屏密码。且大部分情况下,加密强度都极其脆弱,因为人们总是懒于设置位数较长的锁屏密码。 密码输错固定次数限制机制使得暴力攻击在实际操作中并不可行,因为攻击者一旦输错登录密码次数达到一定数量,则永远无法再重新进行尝试。当然,Elenkov在其博客中忽略这一保护机制。如果你想对他的错误大肆攻击一番,请随意去阅读他所做的分析内容,但这里就不多做探讨。问题在于:的确存在暴力攻破弱PIN码或密码的方法,为的就是解密保存于安卓设备上的内容。 暴力攻击方法对于强大的密码很难奏效。但如果你拥有一个典型的4-6位密码,毫不夸张地说,只需几秒钟即能解密用户的数据。 在Android 4.4系统中,Google进一步增强了其加密系统的能力。尽管如此,但依然是基于PIN码或密码。因此仍然有可能暴力攻破较弱的PIN码和密码,不同的是在Android 4.4中你可能需要花费数分钟而非原先数秒钟的时间。

如何记住强大且唯一的密码

今年是2014年。洛克希德马丁公司于近期宣布在开发可提供难以想象的巨量能源的紧凑型核聚变反应堆方面取得了实质性的进展,并有望取代清洁性差却能轻易开采的燃料能源。尽管科学技术飞速发展,但有一个领域依然停滞不前,那就是我们依然需要努力记住一长串的密码。如果我们在未来技术上仍然还要依靠落后的认证器技术的话,那我们还是需要想出一种可靠的解决方案来记住我们的密码。而这正是我们在卡耐基梅隆大学计算机科学系的朋友们所做的研究内容。 不幸的是,事实证明要记住一长串复杂的密码需要我们做一些人人厌恶的事情:学习研究。据Jeremiah Blocki、Saranga Komanduri、Lorrie Cranor和Anupam Datta所开展的研究表明,有间隔的反复训练搭配助忆术所构成的系统将能有效提升记忆力,让用户能在过了很长一段时间后依然能记住自己的密码。 密码的构成元素让我们想起了以下有关密码强度的XKCD漫画,也就是说,记忆要靠想象一些句子而不是用“脑残体”文字。 卡内基梅隆大学该项研究的参与者被要求从下拉菜单中选择一位人物,随后分配给随机产生的动作和目标。这一方法被称为人-动作-物品(PAO)故事法。因此你可以组成这样一句句子:尤达大师掉下了麦克风。” 在研究过程中所使用的助忆手段是向参与者展示设定好的一幅图片,然后想象图片中所发生的人-动作-目标的故事。比方说与我们故事有关的这幅图片显示的是一座水下实验室。那我们就可以组成这样一句句子:”尤达大师在水下实验室掉下了麦克风”。 现在你已经拥有6个单词,并且使用这6个单词可以组成足够强大的密码—你可以登录我们的安全密码检查网页来验证一下。该助忆技术的关键是你无需记住整句句子。 在本研究中,参与者在过了100多天以后,被要求只凭借一幅场景和人物(尤达大师在水下实验室)按照训练时的套路回忆起故事的动作和物品。不同的联想记忆训练间隔时间和所需记忆密码的不同数量(1个、2个或4个)造成各试验小组的测试结果不尽相同。 训练后12小时进行记忆测试的用户取得了最好的成绩,随后是12×1.5小时,后面以此类推:0.5天、0.5天、1.75天、4.15天、8.15天、14.65天、24.65天、40.65天、64.65天和101.65天。在该试验小组中,77.1%的参与者在过了102天后依然能成功回忆起9次试验中的所有4个故事。 “我猜你可能说我会对试验结果感到些许惊讶。如果在本次研究前你必须让我猜多少时间内可以取得最好的记忆成绩的话,我可能会说是30minX2(1小时),对于这个时间我也并不是那么完全自信。” 我将这一问题抛给了Blocki,想看看他是否会对试验结果感到惊讶。 “我猜你可能说我会对试验结果感到些许惊讶。”他说道。”如果在本次研究前你必须让我猜多少时间内可以取得最好的记忆成绩,我可能会说是30minX2(1小时),对于这个时间我也并不是那么完全自信。的确,12hrX1.5(18小时)这组的训练时间间隔更长。然而,连续联想记忆训练间隔时间并没有像30minX2(1小时)时间下增加的那么快。该试验结果证明了联想记忆训练时间间隔的重要性(不仅仅是联想记忆训练的总次数)。” 顺便提下,在头12个小时内最容易产生遗忘。在前几轮测试中记住故事的参与者中,有94.9%的人在随后几轮测试中也同样记住了这些故事。有些结果并不出乎意料,只需记住1个或2个故事的参与者的记忆成功率远远高于需要记住4个故事的参与者。 记住一长串密码需要我们做一些人人厌恶的事情:学习研究。 关于本次研究的更多内容,请参阅“Spaced Repetition and Mnemonics Enable Recall of Multiple Strong Passwords” [PDF]。你大可进行一番探究,但需要提醒的是,里面有太多内容讲的是极其复杂的数学问题。 今天我们到底学会了什么?首先,我们学会了如何更加容易地记忆位数较多的复杂密码。或许也明白了为什么几乎每个人都喜欢在不同账户使用同一个密码,尽管他们清楚密码会导致安全风险。换句话说,密码仍然不可避免地存在缺陷。 但同时也带来了一些好消息—你可以通过使用相对容易的助忆技术增强你的密码强度:

简单的错误导致高度敏感的银行数据遭泄

Brian Krebs于近日发表的一篇报道中强调了重要的一点:在线数据,尤其是个人敏感数据遭泄的风险正与日俱增。这并非危言耸听,而的确是从某未知来源获得的可靠消息。 本周,Krebs报道了一家债券保险商由于服务器配置错误而造成一连串连锁反应,最终导致长达230页的在线账单遭外泄,并能通过搜索引擎索引。据称,这些账单内容包括了账号和汇款路线号码、账户余额、股息以及少数本地政府投资池会员账户的持有人姓名。 据称,这些账单内容包括账号和汇款路线号码、账户余额、股息以及少数本地政府投资池会员账户的持有人姓名。 该家受害债券保险商是MBIA Inc.的一家子公司,据报道是美国最大的保险供应商,公司全名叫做Cutwater Asset Management。 好消息是,MBIA Inc.表示已修复了导致数据外泄的问题,并将逐一联系本次事件受影响的公司客户。 坏消息是,正如在Krebs报道中简要描述的那样,”可通过搜索引擎索引的文件包括了详细的授权新银行账户的操作方法,包括:所需用于提交账户信息的表格和传真号码。” 与最近发生的家得宝、Target、摩根大通及其它数据外泄事件相比(参见我们最新一期的网络安全播客),本次数据外泄事件可以说是”小范围”事件。 从某未知来源获得的可靠消息,遭受#数据外泄#的风险正与日俱增。 然而,事实是该数据外泄事件对不幸受到波及的客户都可能会造成不利影响,另外本次事件之所以值得我们重视,原因在于只是由于一个简单且通常会被忽略的服务器配置错误所导致。

受感染ATM机造成数百万美元损失

一般来说,如何才能从ATM机中取现?首先,你需要有一张借记卡或贷记卡,就好比是打开银行账户的钥匙。其次,你必须知道所有用卡的PIN码;否则的话,银行将不会批准任何交易。最后,你必须在银行账户内存有一定金额。但是,黑客们的做法则完全不同:他们取现无需任何的银行卡、PIN码或银行账户。在现实中,他们所需要的只是一台存放有现金的ATM机和一种特殊软件。 今年早些时候,应一家金融机构的要求,我们的全球研究和分析团队(GReAT)同事们对将东欧数台ATM机作为目标的网络犯罪攻击进行了法院立案调查。他们的发现令人大吃一惊。想象一下以下场景:一个人走到ATM机前,在加密键盘上输入一串代码后,立即就能取出40张钞票,不断重复以上动作后,就能无限次地取出现金。这到底是怎么实现的?我们的安全专家们表示所有这一切都是因为ATM机内的计算机感染了一种被称为”Tyupkin”的木马病毒,该病毒会迫使ATM机在输入特殊代码时吐出钞票。 黑客们获得访问几十台ATM机权限,从而窃取了大量现金 据有关调查显示,网络犯罪分子能以某种物理方式访问ATM机,因此得以使用可启动CD光盘在嵌入式Windows系统计算机上安装恶意软件。所使用的木马病毒则拥有强大的综合能力。首先,当它在ATM机内被激活,则能关闭McAfee Solidcare反病毒软件,从而在没有任何干扰的情况下感染计算机。 其次,为防止偶然性的系统安全检测,Tyupkin木马病毒能够整整一周保持待机模式,并在周日和周一晚上激活。第三,Tyupkin木马病毒还能在紧急情况下禁用本地网络,从而导致银行无法远程连接ATM机,因此也无法查看系统当前状态。 网络犯罪分子只需向受感染ATM机输入几行代码—AMT机就会自动吐出成捆的钞票! 得益于所有这些高级特性,网络攻击者只需接入受感染ATM机并输入一串特殊的PIN码,就能轻松访问能让ATM机自动吐钱或控制木马病毒(例如,删除它)的隐秘菜单。为了能让ATM机自动吐钱,犯罪分子必须知道适用的命令以及计算会话密钥的特定公式—类似于一种双重认证。如果两个代码都正确的话,将出现第二个菜单,能让犯罪分子自己选择要从哪个钞票盒取现。尽管每次交易只能取出40张钞票,但只要无限进行下去,即能得到一大笔钱。 网络攻击者竟能从ATM机内窃得数十万美元的巨款,而没有引起任何的注意。卡巴斯基实验室GReAT团队首席安全研究员Vicente Diaz表示,目前黑客们只能感染某些型号的ATM机,但如果银行和ATM机制造商无法提高这些设备的物理和软件保护能力的话,遭入侵的ATM机种类将持续增加。

网络安全播客:ShellShock Bash漏洞”主导”金秋九月

在网络安全播客改版后的首期节目中,来自Threatpost的Brian Donohue和Chris Brook对时下有关网络安全的热门话题展开了讨论,讨论内容包括:家得宝客户数据外泄事件;iCloud女星艳照门事件对iPhone 6推出造成的影响;微软trustworthy computing部门时代的终结;以及必不可少的,互联网广为传播的Bash bug(也叫做”Shellshock漏洞”),影响了Linux和Unix系统。 数据外泄 TripAdvisor的子公司Viator(于今夏以2亿美元被前者收购)告知了1400万客户其包括用户名和密码在内的个人数据遭到外泄。该事件还波及到了三明治连锁公司Jimmy John’s,它的216家分店和108家餐厅遭受影响,该连锁公司也同样在其官网上刊登了有关此次数据外泄事件的通知。Goodwill也确认公司遭受长达18个月的客户数据外泄,受影响客户数量尚未得知。家得宝则遭受到有史以来最为严重的一次数据外泄,竟然波及到5600万张支付卡,受影响范围远超Gmail数据外泄事件(于2013年爆发的该事件造成马萨诸塞州20%居民的个人数据遭到外泄)。 苹果 在9月,苹果终于揭开了其年度9月产品的神秘面纱。不幸的是,苹果新产品发布时间恰巧正值影响恶劣的iCloud入侵事件爆发不久,因此对其造成的影响可见一斑。在此次事件中,众多好莱坞女星的私密照片遭到曝光,并公然发布在互联网上。苹果随即采取措施,不仅扩大了iCloud双重认证的安全级别,并随即修复了显然会导致数据外泄的登陆限制漏洞。总部位于加利福尼亚州库比蒂诺的苹果公司还发布了iOS8系统,正如苹果首席执行官蒂姆•库克(Tim Cook)所宣称的那样,苹果无法查看用户的email或iMessage内容,也没有能力将此类内容信息交予执法机构。 Trustworthy Computing小组 微软宣布将解散trustworthy computing小组,该工作小组10年如一日始终奋战在网络安全领域的第一线。微软公司表示正在计划将其多个安全业务更完整地整合入公司,并将trustworthy computing小组的各成员安排到公司的其他各支团队中,共同致力于开发特定产品和项目。 Bash 一种在互联网上广泛传播的bug,也叫做”Shellshock漏洞”,在Bourne Again Shell bug(Bash)中出现。我们曾在近期写过一篇有关的文章,其中详细解释了什么是”Bash漏洞”及其影响甚广的原因。 # 网络安全播客#:@Threatpost #安全记者#@TheBrianDonohue和@Brokenfuses讨论#shellshock#和其它新闻。

专家问答:Kharchenko逐一解答社交网络用户所提出的各种问题

就在几周前,我们向众多社交网络用户发出倡议,请他们将当下最亟待解决的安全问题和关注热点提交给我们。下面将由消费者产品管理负责人Elena Kharchenko对用户所提出的这些问题做逐一解答。 反病毒软件能否防范资金遭窃问题? 对于网购达人和网银用户而言,卡巴斯基实验室专为此类用户提供了一种特殊模式,可确保最高等级的资金交易安全。该模式有一个直截了当的名字–Secure Payments(安全支付),最新版的卡巴斯基安全软件和卡巴斯基PURE将含有这一功能。 相比旧版本的卡巴斯基安全软件,使用新版本后系统运行速度是否加快? 毫无疑问。举个例子,卡巴斯基安全软件2015所占用内存低得让人无法想象–仅41 MB,相比于之前版本低了18%。对于某些应用而言作用不言而喻。此外,还有其他许多的改进措施加快了KIS的运行速度,在本博客的一篇文章中对此进行了详细介绍。 如何查看自己的计算机是否感染了恶意软件?会出现哪些症状和标志,不运行反病毒程序或类似安全软件的话是否能够得知? 最明显的症状是系统运行、窗口打开以及网页载入的速度都有所减慢。然而,有时恶意软件的”行踪”却难以捉摸:不借助特殊安全方法的话,要检测出可疑的行为或数据交换可谓难度极高。为了计算机的安全着想,运行一款反病毒软件必不可少。 从技术上看,远程打开网络摄像头是否可能?反病毒程序能否防范此类针对网络摄像头的攻击? 从技术角度看,的确可能发生。恶意软件有可能会运用到具有相同功能的合法软件–比如,Skype。因此,网络犯罪分子只要成功感染你的计算机,就能通过网络摄像头轻松地对你的一举一动进行监控。 某些迹象会显示你的网络摄像头已遭到入侵:在镜头旁的LED指示灯是开启状态。但是,有些案例显示恶意软件能够关闭LED指示灯,这样用户就无法得知自己的网络摄像头是否遭到监控。 新版本的卡巴斯基安全软件能有效防范未授权访问网络摄像头。产品能有效控制所有应用访问网络摄像头,并在外部程序试图使用网络摄像头时立即向用户通知。从而让用户自行选择是授权还是拒绝。 新版本卡巴斯基安全软件能有效防范针对网络摄像头的攻击。 如果我只有用户权限的话,在不安装反病毒程序的情况下能否安全使用计算机?在管理员权限下,是否只能从安全来源安装软件? 这样做根本毫无安全性可言。在许多实际案例中,恶意软件都可以通过自我修改以获取管理员权限。 Windows默认防火墙和卡巴斯基防火墙之间是否存在分别?如果已使用卡巴斯基反病毒软件的话,是否还需开启视窗防护? 两者的主要的区别是,卡巴斯基实验室的防火墙拥有集成化的应用”细分”功能,也是主动防御体系的一部分。所有应用都将被定义为”信任”或”不信任”,并有不同的限制等级(包括自定义限制)。基于这些设置,每一款应用均有各自对计算机资源的不同访问权限范围,包括:网络连接。因此以后一旦有恶意软件弹出,不是受到极大权限限制,就已被完全禁用。至于第二个问题,如果已使用卡巴斯基反病毒软件的话,就无需再打开视窗防护了。 如何才能检测公共Wi-Fi网络的安全性?Wi-Fi网络的真是安全性到底几何?卡巴斯基实验室是否有计划为KIS用户启用VPN(虚拟私人网络)? 新版本卡巴斯基安全软件的另一项新功能是能够检测公共Wi-Fi网络的安全性。随着越来越多的人通过咖啡店和酒店的公共热点上网,我们理所当然地将这一功能加入到我们的新产品中。网络不安全情况下使用会导致一系列的严重后果:网络犯罪分子将能盗取正从你设备中传出的数据。 检测公共Wi-Fi网络安全性是最新版本卡巴斯基安全软件的新功能。 卡巴斯基安全软件会对即将接入Wi-Fi网络的安全性进行评估,以防范包括密码和加密算法在内的一套标准,如网络存在不安全性,还会警告用户。此外,一旦有人尝试通过不安全网络传输类似于密码的重要数据,也同样会发出警告通知。 另一种安全使用公共热点的方法是VPN(虚拟私人网络)。目前卡巴斯基实验室正在考虑将其纳入未来产品中,但具体实施计划还未出笼。 时下尤其对于家庭用户而言,互联网上哪些攻击最具危险性? 目前最具危险性的威胁莫过于像Svpeng这样的网银木马病毒。此类病毒的危险性日渐凸显,设计也趋于复杂和精密,并能躲过安全系统的侦查,以实现感染智能手机并窃取资金的目的。 短信木马病毒依然成为时下最流行和使用最频率的威胁。一旦点击通过短信或模仿合法资源(例如:Google Play)的网络钓鱼网站发出的链接,设备即会遭受感染。 迄今为止最具智能化的恶意软件是哪个? 目前,在全球网络间谍活动中,所使用的最复杂工具集非Careto/The

比特币、家庭入侵、苹果恶意软件以及更多有关”Virus Bulletin”安全大会的内容

上周,在美国华盛顿州西雅图市举行了 一年一度的”Virus Bulletin”技术交流大会。该会议被誉为全球历史最为悠久的安全会议,与Black Hat安全大会一样,今年的会议一改往年单纯面向企业的陈述报告,还有更多消费者参与到其中,会议讨论的话题也更为贴近普通大众感兴趣的领域。 在本次会议上,我的卡巴斯基同事对两项大众普遍感兴趣的安全话题做了简报(全面披露):对比特币盗窃案件从轻微犯罪快速升级至好莱坞式抢劫大案的原因解释;以及关于现代家庭入侵方面的陈述。此外,还有一些会议内容同样吸引眼球:将苹果Mac OS X操作系统作为攻击目标的恶意软件现状报告,以及对”白领犯罪”如何改变安卓操作系统的惊鸿一瞥。 家庭入侵 David Jacoby所撰写的有关入侵自己家庭各种设备的经历于近期刊登在了卡巴斯基博客上。他提出了这样一个问题:…如果我们无法保护自己设备免遭当前的威胁,那就算能发现未来可能的新威胁又有何用呢? 他之所以提出这样一个问题,是由于Jacoby担心整个安全行业将过多的时间用在讨论”零日漏洞”以及其他一些存在于联网的汽车、冰箱、酒店、家庭报警系统、厕所以及其他所谓”物联网”设备内的高级漏洞上,但问题是当前几乎没有什么人会拥有这些设备。而与此同时,我们对于早已存在数年时间的已知问题以及大众普遍使用设备的恶劣安全状况却关注太少,例如:智能电视、路由器、打印机、调制解调器、游戏机以及网络存储设备。 我的结论是:何不独立分出一个特定网络分段将所有上述设备纳入其中,从而与工作站、计算机、手机和平板电脑等设备所用的网络完全分开。 在开始他的实验之前,Jacoby明确表示对自己家用设备的安全性充满信心。毕竟自己作为一名经验丰富的安全研究人员,工作的大部分时间几乎都是用来考虑网络安全问题。因此在发现自己的这些家用联网设备缺乏适当的安全保护措施且存在大量漏洞时,他大为震惊。 本周早些时候,在Virus Bulletin会议上所播放Threatpost主编Dennis Fisher的播客中,Jacoby注意到一个有趣的观点:随着人们愈来愈注重保护自己的移动设备和传统计算机,似乎对网络硬盘、无线打印机以及其他各种接入家庭网络设备安全性的关注程度有所减弱。 “我们需要着手考虑如何将我们的家用电器更安全地连入家庭网络。” Jacoby说道。”我的结论是:何不独立分出一个特定网络分段将所有上述设备纳入其中,从而与工作站、计算机、手机和平板电脑等设备所用的网络完全分开。” 苹果恶意软件 Synack研究主管Patrick Wardle谈到了各种存在于Mac计算机的恶意软件。Wardle的数据表明,在过去5年内,OS X操作系统在家庭和企业工作站的市场占有率从7%提升至近15%。目前苹果是美国个人计算机市场的第三大供应商。 在2012年,苹果曾发表过这样的声明:”Mac计算机不会受到任何PC病毒的感染,同样对数千种肆虐于Windows系统计算机的病毒也完全’免疫’。”从技术上看,毫无疑问第二句话是正确的。然而,按照Wardle所陈述的内容,第一句话的准确性显然值得商榷。尽管苹果方面并不愿承认Mac计算机就是个人电脑,但却是毋庸置疑的事实。 据VB2014会议报告#比特币#、#苹果恶意软件#、易入侵消费类设备以及更多安全事件呈快速上升趋势 Wardle宣称最早出现在Mac计算机的病毒被称为’Elk Cloner’。该病毒以Apple II为攻击目标,在上世纪80年代广为传播。就在去年,Wardle还表示新增了30种将OS X平台作为攻击目标的恶意软件。当然与将Windows系统设备和安卓系统设备作为攻击目标的恶意软件的数量相比,这一数字几乎可以忽略不计。 然而,Wardle断言随着市场上Mac计算机数量的增加,以及大多数Mac用户所部署的反病毒保护措施相对薄弱且严重缺乏Mac恶意软件分析工具,因此可能会带来一系列麻烦,这也恰好解释了他为何致力于”找出OS X操作系统的持久性机制以及研究危害Mac计算机的恶意软件,[如此]我们才能更好地保护我们的Mac计算机。”

什么是”Bash”漏洞及其影响甚广的原因

在本周,一种新的互联网bug出现在了Bourne again shell(Bash)内,并似乎是自”OpenSSL Heartbleed漏洞事件“以来影响程度最高的安全漏洞。尽管其真实的危害程度尚不得知,但Bash漏洞已然成为了近期人们热议的话题。就在昨晚的夜新闻中,你甚至还能看到本地的新闻主持人对这一话题的讨论,而节目的背景则是布满一串串快速滚动的计算机代码的绿色屏幕。 什么是Bash? Bash是一种脚本语言和命令行外壳程序,于1989年为GNU计划而编写。Bash能将用户和机器输入命令的解析成系统级命令进行执行。它主要的功能是发出命令和对命令进行解释。如果你想了解更多有关Bash 的知识,请转到GNU Bash页面。 Bash广泛运行于大多数Unix系统和Linux distribution版本以及从Unix和Linux汲取诸多元素的苹果OS X操作系统。此外,在数量众多的Web服务器以及家用电器(包括但不限于路由器、调制解调器以及许多附网设备和其它面向网络的系统)中,也同样能看到Bash的”身影”。 Bash bug最初由Akamai安全公司的Unix和Linux网络与电信管理员Stephane Chazelas所发现。事实上这一漏洞已存在了很长一段时间(或许已超过20年),你可以想象其传播范围之广。与Heartbleed漏洞一样,我们只能期望Chazelas是第一个发现这一bug的人,但真实情况我们永远无法获知。 Bash漏洞是如何对互联网用户进行影响? 过不了多久,互联网上不可避免地会出现将Bash漏洞作为攻击目标的漏洞利用工具。这些漏洞利用工具能够在Bash被呼叫时,使攻击者将恶意执行文件远程附到被执行或解释的代码或脚本碎片上。换句话说,只要拥有一款成功的漏洞利用工具,攻击者就能完全控制受影响的系统。 “相比于此前的Heartbleed漏洞而言,Bash漏洞更易于为网络犯罪分子所利用。此外,Heartbleed漏洞只能让网络犯罪分子有机会从内存中窃取数据,并希望找出一些有价值的信息。相比之下,bash漏洞更易于造成整个系统遭受控制,因此似乎更加危险。” 当被问及Bash bug是否会成为”Heartbleed”第二的时候,我们的卡巴斯基实验全球研究与分析团队(GReAT)的朋友是这样作答的: “相比于此前的Heartbleed漏洞而言,Bash漏洞更易于为网络犯罪分子所利用。此外,Heartbleed漏洞只能让网络犯罪分子有机会从内存中窃取数据,并希望找出一些有价值的信息。相比之下,bash漏洞更易于造成整个系统受到控制,因此似乎更加危险。” 卡巴斯基研究人员推测Bash bug还能被用于窃取银行信息,从而最终导致资金损失。网络攻击者大可利用Bash漏洞通过你的个人电脑窃取登录凭证,但前提需要找到一些漏洞利用载体以访问Bash命令接口。但要真的做起来却并不那么容易。现实中更多的情况是:网络攻击者将你使用最频繁的银行网站作为攻击目标,并同时尝试锁定多个账户及其信息。 从美国计算机紧急事务响应小组所发出的警告似乎最能说明Bash漏洞的严重程度: “该漏洞被行业标准机构评为’高’影响度(CVSS影响分值:10)和’低’复杂程度,这意味着只需一点儿技巧即能执行攻击。该漏洞使得攻击者能够提供精心设计的涵盖任意命令的环境变量,并能在存在漏洞的系统上执行。由于Bash Shell的流行程度以及能以多种方式被应用呼叫,因此危险程度尤其高。” Bash bug在影响程度和漏洞利用复杂程度方面与Heartbleed也有所不同,后者是影响程度高但难以利用,而前者则影响程度高的同时还易于利用。 什么是#Bash漏洞及其影响用户的方式? 如何才能保护自己免受Bash漏洞的影响? 除了永久地远离网络以外,为保护系统安全,你只需要确保在第一时间安装合适的供应商特定更新。至于台式电脑或笔记本电脑上的操作系统,你能做的只是等待管理你特定distribution版本的研发人员发布相关补丁。

数十种流行安卓应用存在泄漏用户敏感数据问题

来自纽黑文大学网络取证研究和教育小组的一群研究人员最近发现多款流行应用存在漏洞,其中包括了Instagram、Vine和OKCupid等流行应用。对于已在安卓移动设备上安装了这些受影响应用的9.68亿用户而言,这些bug很可能会导致他们的个人敏感信息遭到泄露。 我的同事Chris Brook在Threatpost 上报道了相关事件的进展:研究小组发布了一系列的Youtube视频将大部分bug公诸于众,最终发现产生bug的原因是将用于控制存在漏洞应用的非加密内容保存在服务器上所致。 “尽管两个人之间通过这些应用传送数据通常被认为是安全的,但我们发现此类的私人通讯还是有可能被他人所窥探,原因在于这些数据并没有经过加密,且原始用户对此毫不知情。” “对于任何曾使用或将继续使用此类受测应用的用户而言,其各类机密信息甚至有时包括密码在内,都时刻处于被泄露的危险中。”纽黑文大学Tagliatela理工学院计算机科学系助理教授兼cFREG负责人Abe Baggili说道。 据Threatpost报道,Instagram Direct的消息传送功能会泄露用户之间共享的照片,以及以纯文本形式保存在Instagram服务器的以往照片。此外研究人员还发现,只要通过HTTP搜索某些关键词,就能看到在流行的在线约会服务应用- OKCupid上用户之间共享的信息。而一款叫做”ooVoo”的视屏聊天应用基本上也包含了与Instagram Direct应用相同的漏洞。Instagram缺少完全加密的问题在我们以往的卡巴斯基中文博客中有所报道。 而在Tango、Nimbuzz和Kik这三款免费通话和通讯应用中,研究人员也发现可以通过所存在的一些bug来窃取照片、位置信息以及视频。此外,Nimbuzz还被发现所有用户密码均以纯文本形式保存。 由于MeetMe、MessageMe和TextMe均以非加密的纯文本形式发送信息,因此网络攻击者能够对在本地网络运行这些应用的用户通讯进行监视。并且在这些应用中以纯文本形式发送或接收的图片和共享位置点均会被监视。此外,研究人员还能够看到以纯文本形式保存用户登录凭证的TextMe数据库文件。 Grindr、HeyWire、Hike和TextPlus基本上也存在同样的bug。网络攻击者只需使用现有的黑客工具(例如:WireShark),就能轻而易举窃取通讯记录、照片以及共享位置。此外,通过Grindr、HeyWire、Hike和TextPlus发送的照片会以纯文本的形式保留在这些应用的服务器内,并供身份认证使用长达数周时间。 “使用一款叫做HeliumBackup的安卓备份提取工具,就能获取用于TextPlus的安卓备份文件,”一名研究人员说道。”当我们打开后,发现里面自动会存有用户在线活动的屏幕截图。我们并不清楚这些屏幕截图的目的,也不知道为什么会保存在设备内。” 在他们的最终视频中,研究人员调查了哪些应用在其存储内保存了敏感数据。但问题是,TextPlus、Nimbuzz和TextMe均以纯文本的形式保存登录凭证。除此之外,这三款应用加上 MeetMe、SayHi、ooVoo、Kik、Hike、MyChat、WeChat、HeyWire、GroupMe、LINE、Whisper、Vine、Voxer和Words With Friends均以纯文本形式保存所有聊天记录。 “尽管两个人之间通过这些应用传送数据通常被认为是安全的,但我们发现此类的私人通讯还是有可能被他人所窥探,原因在于这些数据并没有经过加密,且原始用户对此毫不知情。” Baggili说道。 研究人员试着联系这些存在问题应用的开发人员,但由于所提供联系方式太过简单和程序化因此根本无法直接联系到开发人员。在一次邮件访谈中,Abe Baggili表示还不知道这些应用的供应商是否已修复他和他的团队所发现的任何bug。 令人惊讶#隐私漏洞归咎于#在数十款流行#安卓应用#缺乏加密 我们曾试图向Instagram确认此事,但公司始终未对这一问题给出正面的回应。 目前尚不清楚这些应用的开发人员是否计划修复在这里所讨论的一些bug。 CNET 网站曾就这一问题与Instagram、Kik和Grindr取得联系。Instagram表示正在对其安卓版应用进行全面的加密修复,从而解决目前所存在的安全问题。Kik则表示正在致力于对用户间共享的照片进行加密,但不会对聊天记录加密,原因是聊天记录独立保存,并且无法在应用之间通过手机访问获取。他们同样还声明此类数据保存方式符合行业标准。而Grindr则仅仅表示会不断关注此类安全报告,如果适合的话会做出一些改变。

天网恢恢!8月热点诉讼案

夏末的八月正值网络犯罪案件多发时期,但全世界各地的执法机构依然从蛛丝马迹中找出线索,将犯罪分子一一缉拿归案。 因散布儿童色情照片遭逮捕 现代技术在帮助执法机关搜寻网络犯罪分子方面起到了越来越重要的作用。有些案件甚至无需派遣人员参与侦查,只需一款软件即能处理所有工作,最后留给警察的工作只是将犯罪分子带上法庭。20岁的Tyler Hoffman和31岁的Abraham Gordon可能连做梦也没有想到,他们一直以来用于网络犯罪的现代技术竟然 “出卖”了自己,最终不得不面临法庭的审判。 第一个案件涉及微软及其PhotoDNA软件,该软件拥有自动识别儿童性暴露照片技术。正是得益于这一技术,在Hoffman用他的手机上传儿童色情照片时,其邮箱账户就立即被做了标记。微软在向美国失踪与受虐儿童援助中心(NCMEC)报告后,随即报警。 在另一个案件中,同样也是得益于由Google所开发的一种邮箱分析技术,Abraham Gordon的犯罪行为才被警察所获知。在Gordon将五张儿童色情照片上传后,自动化系统随即对其邮箱进行了标注,同时分别向NCMEC和警察部门进行报告。 上述两名网络犯罪分子很可能因此将面临数年的铁窗生涯。 得益于微软和Google的强大技术,两名散播儿童色情图片的网络犯罪分子最终得以受到法律的制裁#安全#天网恢恢 两名俄罗斯人因黑客入侵遭逮捕 俄罗斯警察近期逮捕了两名年轻黑客,他们被控在没有授权的情况下访问了一个计算机系统。该案件检察官表示,该两名男子入侵他人邮箱和社交网络账号的目的并非只是为了”作乐”,他们真实的目的是为了赚钱。只需支付100-300美元左右的报酬,他们就能为”客户”入侵任何人的账户。据交代,两名黑客平均每个月会接到30-40份客户委托,其中有个人客户也有那些对竞争对手机密信息有兴趣的公司客户。这两名年轻的犯罪分子最终将面临缴纳巨额罚款和/或长时间的铁窗生涯。 现代技术在帮助执法机关搜寻网络犯罪分子方面起到了越来越重要的作用。 韩国16名黑客因泄露海量数据遭逮捕 韩国全罗南道省警方官方宣布逮捕一名24岁的金姓男子,他与其他15名黑客一起被控与韩国发生的一起重大数据泄露案例有关。该起泄露案件造成2700万韩国公民受到影响,约为韩国整个人口的70%。相关官员表示这16名黑客非法传播了数百万年龄在15-65岁的韩国公民的个人信息。警方则宣称金姓男子是从一名中国籍黑客处购得这些信息(总计2.2亿份记录),他们之前于2011年在网上相识。据称,该名中国黑客是从网络游戏网站、电影票务网站以及手机铃声下载网站的在线注册系统窃取的这些信息。这些信息的内容包括真实姓名、居民注册号、账户名称以及密码。相关官员还表示他们将继续调查这一案件,并正在全力追捕剩余的其他7名嫌疑犯。