新闻

411 文章

Tor与一般互联网用户

Tor作为一种免费程序,旨在让用户能以完全匿名的方式浏览互联网。”棱镜门”事件以来,社会舆论对于提倡隐私的呼声日渐高涨,即使是一般用户也越来越意识到问题的严重性,并对政府和企业利益集团收集基于网络浏览活动的信息给予强烈的关切。 使用Tor,实现匿名上网#隐私#美国国家安全局#窥探 Tor依靠匿名中继全球网络为用户提供免费的流量分析在线体验。在该视频采访中,Tor项目倡导者Runa Sandvik解释了Tor越来越多为日常用户所使用的根本原因。 “我想其中原因归根到底就是有谁会愿意让自己每日的在线活动被他人所记录?” –Tor项目倡导人Runa Sandvik如是说。 “普通用户可以使用Tor来隐藏他们所有的在线活动,”Sandvik说道。”当他们访问网站时,无论是互联网服务提供商、共用一台电脑的同事、公司老板或其他任何人都无法看见他们所访问的网站。” Tor的意义在于人们对于个人隐私的基本需求。尽管过去只有记者、人权活动家以及那些希望躲避政府审查制度的人才会特别关注这一问题,而随着Tor的出现,越来越多的普通用户也开始对这一问题予以了关注。 “我想其中原因归根到底就是有谁会愿意让自己每日的在线活动被他人所记录?” – Sandvik这样说道。”为什么就有人能看到你在网上的一举一动呢?” Tor和你:为什么匿名互联网不再是隐私极客的专属。#美国国家安全局#隐私

Apple Pay:用iPhone手机支付是否安全?

9月9日,苹果展示了其最新设备和基于NFC芯片、Touch ID传感器以及Passbook应用的全新支付系统。下面我们将为您介绍这一新系统的操作方法、带来的便利以及安全性。 在加州弗林特剧院举办的本场苹果发布会历时100分钟,向全球展示了苹果即将推出的两个全新产品。发布会后,全球消费者对苹果新产品各抒己见,并像以往一样迅速分成了三派:苹果的产品不再像以前那么优秀了;我们在安卓手机上已经看过这个了;不用说了,我想买!我们并不想卷入这场”网络论战”之中,因为除了屏幕尺寸以及网络论战外,让我们更感兴趣的是由苹果自主研发的全新支付系统- Apple Pay。该系统的使用基于NFC芯片、Touch ID传感器以及Passbook应用,并与信用卡巨头Visa、MasterCard以及Amex进行了合作。苹果想用iPhone手机来完全替代钱包和信用卡的作用,但问题是它的安全性到底如何,是否能够抵御住网络犯罪分子的攻击呢? Apple Pay(苹果公司似乎有意将前缀’I’去掉)是一种移动支付系统,在提供交易过程中结合了一些有趣的技术解决方案。NFC、TouchID和Passbook通过”互相合作”,共同为用户打造了一个更加舒适和安全的购物流程。至少keynote是这么告诉我们的。 那么,这一系统是如何操作的呢?事实上与PayPass卡或PayWave卡使用方法几乎一模一样:你只需将你启用NFC支付的设备靠近阅读器扫一扫,随后再确认交易即可完成操作。就如同每一张信用卡都有各自的PIN码一样,Apple Pay使用的是新iPhone手机的Touch ID扫描器,你只需将手指按压在屏幕上即可完成一笔支付。 尽管Apple Pay看起来的确安全,但将所信用卡片信息保存在iPhone手机内可能又将是一个风险。 在初次使用该系统前,你需要用iPhone手机扫描你的信用卡,如此所有诸如卡号和过期日期这样的信息直接进入Passbook应用。下面将介绍Apple Pay技术中最有趣也是最复杂的一部分。在支付过程中如果不想用自己真实的信用卡或借记卡卡号的话,还可以运用独一无二的设备账号。一旦账号创建,此类令牌将单独分配给一台设备,而卡片信息则安全保存(当然是加密)在新iPhone手机和Apple Watch的专用芯片内。因此你支付时所使用的是无法辨认的专用码,而非你的真实凭证。 该方法的好处至少有两个。首先,在交易过程中,无论商店还是网络犯罪分子(可能会尝试拦截数据)都无法获取你的信用卡或借记卡的卡片信息。最坏情况下,网络攻击者也只是会得到一个令牌号码。第二,就算令牌号码被盗,也没有任何的关系,因为只有在特定设备上传输所创建的号码才能完成交易。一旦设备被盗,还可以凭借Touch ID进行保护。无论如何,你还能通过”Find My iPhone”服务锁定你的iPhone手机或清除保存的所有信息(包括卡片信息)。因此就算手机被盗,也无需锁住信用卡或银行账户来保护你的资金。 但这一系统是否真的安全?卡巴斯基实验室专家Dmitry Bestuzhev指出了问题的关键所在:Touch ID也会有出现问题的时候。这也是为什么苹果依然允许输入PIN码的原因所在。例如,你用湿手指按屏幕的时候Touch ID可能就无法正常工作。而在网络犯罪分子授权支付时,同样的快捷方式也可能会被滥用。需要牢记的是,使用Apple Watch支付并不需要任何额外的交互,因此你的设备可能存在未经你允许而被用于支付的情况发生。 很快你就能单凭# iPhone手机或#Apple Watch进行支付。这样是否安全呢? 还有一个问题:卡片信息存储的方式。正如你所知,几乎各种保存在iPhone手机内数据都可以与许多受信任的iOS设备进行同步。这些数据不单单是照片或者浏览器标签,还有保存在Keychain应用内的密码。因此如果信用卡和借记卡凭证也以同样方式保存的话,一旦启用设备与其它智能手机同步的话,将对你的资金造成极大风险。除此之外,网络攻击者也能进行同样的操作—输入你的密码随后获得你所有的卡片信息,除非苹果想出解决方案使得这一操作难以实施。今年10月份我们将拭目以待,到时候Apple Pay将在全美超过20万家商铺正式上线。我们将不断为您带来这方面的最新消息,请继续关注我们。

云之雾里看花

iCloud数据泄露导致包括詹妮弗•劳伦斯、凯特•阿普顿等大量一线好莱坞女星艳照曝光后,这几天各路网络隐私极客展开了热烈讨论。 假设你对此事有所了解,但不想浪费时间去关注相关细节,或者你是刚刚度完无网络假期归来,您可以在这里了解事件摘要。 iCloud(或其他任何苹果服务)是否泄露,是否利用了”查找我的iPhone”中的漏洞,或者利用了什么工具来实施这一卑劣的行为,这些都不是导致根本问题的原因。 即便有些东西不免费,也往往存在同样的问题,相比于免费版,付费版的价值并非体现在安全性和隐私保护上。 真正的问题在于大多数消费者对哪些数据放在某个地方的云中没有什么概念。就算有人知道,但也没人能说清楚这些数据的实际位置,谁有权访问这些数据,或者怎样保护这些数据的安全性。我敢打赌,詹妮弗•劳伦斯和凯特•阿普顿的网络隐私意识很谈,但我认为,即便是很重视网络隐私的人,对于上述问题的了解其实与劳伦斯和阿普顿也不会有太大区别。 想想吧,Google、Facebook、苹果等各大技术公司陆续不断推出的服务可谓日新月异。再想想,这些公司的隐私策略和设置也同样千变万化。这还不算层出不穷的漏洞和安全更新,后者往往依赖于不情愿或不知情的消费者,但这在很大程度上都不是重点。重点是,你没法跟上他们的节奏! 几年前,我有一位同事就是这类情况的受害者。那大概是苹果第一次开始在所有iOS设备上启用iCloud服务。我同事通过iMessage和朋友进行了如下聊天: 朋友:今晚去哪儿喝一杯? 同事:随便。只要离得近,有一个辣妹就行。 十分常见的对话吧?但实际上绝非如此,因为就在当天,iCloud在他的所有苹果设备上同步了所有iMessenger数据。我想你能猜到后来发生了什么。反正,我同事的儿子在iPad上看到了这条消息,然后他把iPad拿给了妈妈看。接下来你应该能猜到结果了。 当然,苹果从推出云服务到现在,已经(在某种程度上)解决了这种小问题。多数为人父母的电子产品使用者都对归入”iSpend”服务的缺点有所了解,所以他们会建立单独的帐户供孩子使用。 但问题仍然存在:数据到底在哪儿?谁有权访问这些数据?如何保护这些数据的安全性? 关于云服务的安全性(尤其是消费者云服务):身份验证不仅让人厌烦,而且使用简单的社交工程或现成的黑客工具,无需具备任何专业技术就能轻松入侵;现在提供了双重身份验证,但坦白说,也同样让人讨厌(主要是因为不方便)。 除此之外,用户并不了解哪些数据是自己的,哪些不是,部分原因是没有任何人会去阅读最终用户许可协议。用户自己的数据(或者应该是自己的数据)实际上不可能,或者至少是非常难以控制或管理。 那你可能会说:”云服务是免费的”,你不是第一个这么说的,也不会是最后一个。 这样说确实公正,但在我们生活的世界中,免费是很难避免的。即便有些东西不免费,也往往存在同样的问题,相比于免费版,付费版的价值并非体现在安全性和隐私保护上。 最后,事实是外表光鲜靓丽的iPhone、Mac和iPad正在静悄悄地将你的数据上传到神秘的云上,你应该知道的是这些数据实际上是存储在加州库比蒂诺(苹果公司总部)的一些服务器上,但别忘了,iPhone、Mac和iPad可绝不是免费的。 思考一下在线效率工具领域。如果你是一家小型企业所有者或者是其中的一名员工,并且没有使用这类效率工具,那么你实际的花费要比本来需要的更多。这样一来,不使用效率工具就会让你处于竞争劣势。 与涉及互联网和计算机的所有东西一样,这类效率工具也会创建、传送、存储数据流量,但数据到底在哪儿?如果你在某些地方,比如在欧洲开展业务,那么这就是大问题了。数据被索引了吗?谁有权访问这些数据?这些索引可能受到监视吗,比如说被某些地方的政府?或者,更糟糕的是被竞争对手所利用?此情境准确表达了为什么说无隐私者无畏是种愚蠢的说法。因为”没有隐私的人”根本不存在。隐藏并不等同于犯罪。 这些都是严重的问题,而且会变得越来越严重,上述小型企业的比喻调整一下就适用于用户的个人生活:所有免费健康应用中的数据都存储在哪儿?谁能查看这些数据?从什么时候起这些应用开始影响您的医疗保健开支?消费者和企业将渐渐意识到这些问题。如果您是Facebook上的营销人员,那么肯定已经发现这些问题。那些Facebook Messenger下载会产生怎样的影响? 但是假装愤慨并不是我们要的答案。苹果和其他技术公司正大量投资正视解决这些缺点的服务。好吧,苹果,照你们声明中的暗示来看,对媒体宠儿詹妮弗和凯特发起的可能是高级持续性威胁类攻击。如今这些高级的攻击在你读完本篇文章的时候就已经变成过去式了。我们都会遇到严重的问题,我们应该予以正面承认。 卡巴斯基已经敏锐地意识到这些问题。我们会认真对待的。卡巴斯基清楚知道,虽然我们赖以生存的端点安全产品可能能够降低风险,但并非是一个全面的解决方法。我们将继续努力。有谁能助我们一臂之力吗? 大多数消费者对哪些数据会放在#某个地方的云中完全没有概念#iCloud

卡巴斯基中国地区每周病毒播报(2014年9月1日–2014年9月7日)

本周卡巴斯基中国地区病毒排名: 本周受关注恶意软件: 病毒名:Trojan.Win32.Straftoz.c 文件大小: 189440字节 主要行为: 这是一个木马程序。该木马运行后会通过以下方法来反沙盒和反虚拟机:1、判断沙盒模块SbieDll.dll是否被加载;2、判断虚拟机的服务是否开启”\.HGFS” “.vmci” “.VBoxGuest”;3、创建名为”Frz_State”的互斥体,判断是否已经运行。如果满足任一条件,则直接退出木马程序。反之则执行恶意代码:通过窗体名获得”explorer.exe”进程句柄,通过远程线程将恶意代码注入到系统进程中,然后退出当前程序。注入到”explorer.exe”的恶意代码会查找%appdata%下的所有文件,并打开网址hdseriales*******andtvonline.com,最后删除木马程序,增强木马的隐蔽性。 专家预防建议: 建立良好的安全习惯,不打开可疑邮件和可疑网站。 不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。 使用移动介质时最好使用鼠标右键打开使用,必要时先要进行扫描。 现在有很多利用系统漏洞传播的病毒,所以给系统打全补丁也很关键。 为本机管理员账号设置较为复杂的密码,预防病毒通过密码猜测进行传播,最好是数字与字母组合的密码。 不要从不可靠的渠道下载软件,因为这些软件很可能是带有病毒的。

8月新闻综述

在8月,卡巴斯基实验室为您带来了更多安全领域相关文章以及重要的安全新闻故事。此外,我们还不断探寻着安全领域的最新前沿消息,从脑力测试到家庭入侵无所不包!如果你错过了8月份我们博客第一时间所发布的博文,现在就能让你一下全都补全! 十种可能”毁掉前程”的电脑错误使用行为 你被解雇了!你能想象吗,就因为在使用工作电脑时犯了个错误,就遭到了解雇。我们常常无视招聘过程中所签订的严格安全指令,在工作期间从未遵守或重视,对因未能遵守而造成的严重后果影响也熟视无睹。那么在使用办公电脑或笔记本电脑的时候,我们应该注意哪些错误行为呢? 1·使用U盘转移数据。你可能会弄丢存有重要公司或机密数据的U盘,或甚至将严重病毒感染到办公室内的所有电脑。 2.在社交网络上聊天。准备向他人共享敏感的数据和信息时,一定要小心谨慎,这非常重要。 3.用不恰当的语气与客户或合作伙伴公开(社交网络上)交谈,损害老板声誉的下场绝对是100%被立即开除。 4.通过个人邮箱重发工作文件。你的个人邮箱一旦被盗,邮件服务数据很可能落入网络犯罪分子的手中。 5.通过办公电脑发送加密的个人信息可能会影响你的职场生涯,甚至因此而丢掉工作。 6.在工作中使用未授权的第三方软件,尤其在笔记本电脑上。与工作不相干的软件还会浪费公司的资源。不要忘了你的电脑还时刻受到远程监控,公司安全专家能掌握你的所有网上”动向”。 7.有意或无意地违反安全政策,例如:泄露密码。公然泄露或危险透露公司的密码很可能毁掉你在这家公司的前程。 8.下载与工作无关的内容似乎没有什么危害,但人们有时会忘了自己的电脑正在受到监控,可能会因这一行为而受到公司的处罚。 9.在移动通讯使用上可能会产生许多错误,例如:将公司电话用做个人使用,或超出流量限制。所有上述规则均适用于移动设备,而不仅仅是笔记本电脑。 10.最后但同样最重要的是:你在网络上所说(和所写)的所有内容,能让你前程似锦的同时也可能毁掉你的大好前程。 如果有人真的盗窃了12亿个密码,那我们该如何应对? 据报道一个犯罪团伙不同网站盗取了12亿个密码和用户名。公众并不知晓整个事件的具体细节,包括:哪些网站成为了攻击的目标以及技术方面的细节,以至于许多安全专家百思不得其解。一旦凭证被盗的话,该采取哪些措施呢?类似本次所报道的”密码盗窃案”将是一个很好的契机,即改革当前混乱不堪的密码策略,转而使用更加安全的方法。例如,用户可通过为每一个账户设置唯一密码,将被破解的危险性降到最低。唯一密码将能有效防止黑客使用一个密码即能打开其他重要账号。密码管理器和密码检测器作为两款强大工具,能大大简化这一流程! Global Think Test脑力测试挑战赛 9月6日,全球”脑力精英中的精英”将在Global Think Test挑战赛中一决高下,共同争夺25,000美元大奖。整个比赛将耗时一整天的时间,在此之间你可以在大脑训练区(Brain Training Zone)测试你的脑力,以期在比赛之前将大脑调整至最佳状态。规则相当简单:你答的题越多,赚取的分数也越多,从而有机会获得意想不到的大奖。卡巴斯基实验室与门萨组织、法拉利以及板球运动员Sachin Tendulka携手合作,不仅设计了各种专业谜题,同时也为获胜者提供丰富了的奖品。比如,”门萨挑战环节”经专门的设计,旨在挑战选手智力以及测试选手解决问题的技巧。 “法拉利挑战环节”包括了与法拉利有关的各种游戏、谜题和视频答题,以测试你对法拉利知多少。板球界的传奇人物Sachin Tendulkar也应邀参加本次Global Think Test活动,在有关的挑战环节中,将考验你对板球这项运动的了解程度。不用我说,Sachin和法拉利为本次比赛赞助一些非常棒的奖品。如果你觉得自己有实力挑战这些环节的话,还不赶快来报名?访问GlobalThinkTest.com注册,即可参加Global Think Test挑战赛。

如何防范云服务泄露

今夏最后一个周末以网络重磅新闻画上句号:匿名黑客(可能是一个人)窃取并在网上发布了大量好莱坞女星的艳照,其中包括珍妮佛•劳伦斯等在内的众多一线明星。此类泄露事件绝不是什么新鲜事,只是这次闹出的动静实在太大。从一开始,人们就猜测这些照片是从明星的苹果iCloud帐户中被直接窃取的。有这种可能吗?如果是真的,应该怎样做才防范资料被窃呢? 可能的泄露场景 目前,还没有确切的证据能证明这些照片是通过iCloud被盗的。苹果公司和FBI目前正在调查这一事件,我们期待他们的调查结果。但有一些事实表明,由于下面多种因素,擅自入侵用户帐户是完全可能的。第一,iCloud平台实施中有一个小缺陷,即允许无限次尝试输入帐户密码。一般情况下,用户重试登录的次数超过3-5次后,网络服务会锁定帐户。iCloud的普通网页界面上的确实施了此机制,但”查找我的iPhone”界面上却没有此限制。通过这一缺陷,黑客得以实施”暴力攻击法”,即系统化地尝试各种常用密码,直到最终黑客放弃,或者成功破解密码为止。为了通过暴力攻击法来访问iCloud帐户,黑客可能使用了开源应用,这种应用在流行的编程网站GitHub上出现过,时间就在艳照事件发生之前。 第二,许多明星可能忽视了强密码策略,而选择使用的是非常基本的密码。黑客只要在使用”暴力攻击法”时,将排名前500位的最常用密码挨个试个遍,就能收获颇丰。 第三,这也是最重要的一点。苹果公司实施的双重身份验证正是针对此类攻击的防御机制。毫无疑问,受害用户未采用这种本不该忽视的有效防御工具。 根据一些报告,这一缺陷立即得到了修复,截止到本周一,利用”暴力攻击法”已经不可能再攻破iCloud帐户。但是,没法保证没有别的漏洞存在。 此外,犯罪分子们攻击iCloud和”查找我的iPhone”的苹果用户也不是头一次了。今年夏天,有一些国家就遇到过一波网络勒索事件,受害用户突然发现自己的iPhone/iPad被锁定,其中犯罪分子们利用的正是苹果的防盗功能”查找我的iPhone”。锁定屏幕上会显示消息,要求用户支付赎金才能解锁设备。 保护自身及数据 这次的艳照事件证明,如今我们的隐私越来越脆弱,不管是明星还是普通人都不例外。基于云的文件存储设备因其无可争议的服务便利性,长期以来一直受到网络用户的追捧,但如今多少受一些严重风险的影响而有所降温。 例如,许多用户会在云上存储护照和其他敏感文件(或敏感照片)的扫描件,但云服务中时不时出现的漏洞会危及这些个人数据的安全性。人们谈到云安全性时,往往会忽视端点的安全性。如果设备受到具有间谍功能的恶意软件攻击,则设备本身可能就是泄露根源,它会将云内的文件和凭证向犯罪分子拱手相送。 为了避免因私人数据通过计算机、移动设备或云服务外泄而可能导致的问题,卡巴斯基实验室高级安全研究员Christian Funk给出了以下建议措施: 1.使用高强度密码,且为每个帐户设置独一无二的密码。 2.使用端点安全软件来保护设备,因为每个设备都是云存储的一道关卡。 3.尽可能启用并使用双重身份验证服务。 4.对信息分类,确定哪些应该存储在云中,哪些不应该。大多数敏感数据(不管是与您个人相关还是与职业生涯相关的信息)切不可放在云中。 5.移动设备很容易丢失或被盗,所以确保设备本身不存储任何敏感数据。如果没法做到这一点,请确保对设备实施相应的加密。 6.如果打算存储敏感数据(包括照片和视频),请仔细检查设备,确定设备不会自动将数据上传到云。 7.共享个人数据或允许他人获取您的照片之前,请确保对方设备也足够安全,以防您的私人数据不慎外泄。 #卡巴斯基专家就如何避免#iCloud照片#泄露给出的七大建议

卡巴斯基中国地区每周病毒播报((2014年8月25日–2014年8月31日)

本周卡巴斯基中国地区病毒排名: 本周受关注恶意软件: 病毒名:Trojan-Ransom.Win32.Onion.h 文件大小: 679424字节 创建文件: %temp%$随机数.exe %mydocuments%DecryptAllFiles $随机数.txt %mydocuments%AllFilesAreLocked $随机数.bmp %mydocuments%$随机数.html %windir%$随机数.job 主要行为: 这是一个木马程序。它会利用加密本地磁盘和网络映射盘上的文件,要求用户支付比特币来恢复被加密的文件。木马运行后首先将自己拷贝至 %temp%$随机数.exe,随后遍历磁盘,搜索所有的文件,通过判断文件后缀名来决定是否要加密,它会使用AES加密算法进行加密,将加密后的后缀名改为 *.ctbl。木马为了防止加密系统目录下的文件而导致系统运行出错,在遍历文件目录的时候不加密%Windows%目录下的文件。加密完成后,木马操纵者会要求用户到指定的网址发送信息和比特币来解密这些文件。 专家预防建议: 建立良好的安全习惯,不打开可疑邮件和可疑网站。 不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。 使用移动介质时最好使用鼠标右键打开使用,必要时先要进行扫描。 现在有很多利用系统漏洞传播的病毒,所以给系统打全补丁也很关键。 为本机管理员账号设置较为复杂的密码,预防病毒通过密码猜测进行传播,最好是数字与字母组合的密码。 不要从不可靠的渠道下载软件,因为这些软件很可能是带有病毒的。

卡巴斯基新闻播客:2014年8月

本月新闻综述:8月,全球顶级安全会议Black Hat和DEF CON大会在万众瞩目下隆重开幕;更加高级的持续性威胁在中国和世界其他地方出现;恶意软件正在利用webmail通信;索尼PS游戏机网络发生令人诡异的短暂中断事件。来自Threatpost和Brian Donohue和Chris Brook将在2014年8月版的卡巴斯基每日播客上与我们一道回顾本月所发生的精彩新闻事件。 补充阅读材料 随着Black Hat安全大会逐渐从仅针对企业层面的会议转变为与消费者息息相关的会议,因此您能在卡巴斯基每日新闻中读到更多与此有关的内容。如需了解相关背景,可阅读新闻事件回顾。Threatpost的编辑Dennis Fisher和Mike Mimoso以及我本人也记录了一些有关Black Hat安全大会前两日播客新闻的主要内容,将带您一同更深入了解本年度”安全夏令营”的详细情况。 在”斯诺登棱镜门事件”发生后,这几个月甚至一整年似乎正在形成一种趋势:那就是越来越多的互联网得到了加密。就在本月,这一趋势再次应验,雅虎承诺将在今年年底对所有邮件端对端进行加密的同时,Google也宣布将给予那些使用安全SSL连接的网站优先搜索权。本月放出了大量补丁,但其中最引人关注的要数微软修补fiasco的补丁。微软本次所发布的标准”周二补丁”对大量用户机器造成了破坏,不得不最终在本周早些时候又发布了一份最新通知。正如我在播客中提到但并未详细说明,Google发布了针对Chrome浏览器的两项更新,你可以在这里和这里读到。此外,苹果在本月也同样发布了一些补丁。 您可以在Threatpost更深入地了解本月有关APT(高级持续威胁)的调查结果,其中包括Turla间谍软件以及非法入侵Community Health Systems的中国黑客小组。除了有关Community Health Systems黑客入侵的文章以外,我们还在卡巴斯基每日新闻上对其破坏性以及这一事件对我们的影响进行了分析。 在恶意软件最前沿,你可以读到所有关于新恶意软件如何利用雅虎邮箱作为通信中心以及一种全新的主要基于网页的流氓反病恶意软件的新闻。您可查看Chris Brook有关Verizon坚信可使用二维码作为身份认证机制的报道,此外还为您带来了有关上周因DDoS攻击造成PS游戏机网络短暂中断事件背后的真相。 播客:@TheBrianDonohue和@BrokenFuses对2014年8月的安全与隐私新闻进行了回顾

如何在众多求职竞争者中脱颖而出

我们都看到过这样的一幅场景:一间小小的面试房间门口排起了数条长龙。等上LinkedIn网站一看才知道,这个职位是有多么的”热门”。因为有超过300人在申请这个职位。而在卡巴斯基实验室,我们对此类现象早已是见怪不怪了。 一些热门职位是否值得我们去申请呢?答案毋庸置疑,只要你能牢记求职过程中一些重要事项的话,从成百上千的竞争者中脱颖而出并非难于登天。 1. 所申请职位应与你的工作技能和要求相匹配 我知道这听起来有些成词滥调了,但每一个招聘人员都会告诉你在他们所收到的所有简历中有超过50%与职位的要求相去甚远。我们常常会看到许多专为求职者而准备的建议,上面说到求职者应海量投递简历,说不定招聘人员会因为一些别的原因而注意到你的简历。不幸的是,这样的情况已经很少发生了。就我所知,一些招聘人员有时会玩一些”插入申请人姓名”的填字游戏,因为总有一些人会滥发简历,申请公司几乎所有刊登的职位。我们千万不要成为那样的求职者! 先看看自己的条件是否与职位描述相符:一些基本的条件、”必备或要求”的技能以及最近的工作经验。如果自己的情况与所申请职位的大多数要求差距甚大的话,还是将机会让给更合适的人吧。但如果自身情况的确与大部分要求相符的话,那还犹豫什么,赶快申请吧! 2. 学会”平衡有度” 我常常会谈到”平衡有度”这四个字,这里指的是在办公室成为”有进取心”的人和”潜行者”/笑柄之间取得平衡。有些人会申请几乎所有的职位,并与办公室的每一个人取得联系,终将会沦为所有人的笑柄,因为这样的人不仅犯了所有不该犯的错误,也根本不知道应该什么时候放手。但”有进取心”的人又是另外一回事了–此类求职者完全清楚自己想要的是什么,为什么要想以及知道如何向公司”推销”自己。对工作的热情往往能获得招聘人员较高的评价,即使这次不幸没有成功,招聘人员也会将你的名字列入”候选名单”内,一旦有适合的职位,他们第一个就会想到你。 其实要从众求职多竞争者中脱颖而出并不难,你只需: 客观地评价自己 知道自己真正想要的是什么 发展自己的专业社交网络圈 始终相信自己 3. 广结良缘 你是否认识卡巴斯基实验室内或其他你打算应聘公司的现役员工呢?有认识的人?那就好好利用这一优势吧。还有没有认识的人?现在就开始发展自己的网络社交圈!所谓”朝中有人好办事”,这也是最快、最容易引起招聘人员注意的方式,因此要好好将其转换为自身的优势。牢记”平衡有度”原则固然重要,但也不能做得过火!我本人就依然与那些在10年前就有过共事的应聘者和求职者保持着联系,他们帮助我找到适合的求职者同时,我们也帮助他们找到工作–无论是我目前所在公司还是我朋友工作的公司。 4.保持乐观心态 对于正在寻找新工作的求职者来说,保持乐观心态非常重要。日复一日地寻找工作很容易挫伤自己的自信心,尤其还要与超过300个像你一样热切希望找到工作的竞争者(但其中有些人可能并不具备所需的工作经验,而且也”朝中无人”)”同场竞技”。长此以往,你会对自己作为一名专业人士的能力产生怀疑。最好的方式是在镜子或朋友面前反复练习面试过程,回答所有可能会被招聘人员问到的标准问题(我们确信你完全知道他们可能会提出的所有问题)。这一练习将在下一次真正面试时助你一臂之力,同时不断提醒你自己自身所具备的优势及可能会为”新东家”带来的好处。

冰桶挑战赛”病毒扩散”,网络诈骗紧随其后

此时此刻,就在”ALS冰桶挑战赛”大有席卷全球之势时,不出意料的是,与此相关的网络犯罪报告也纷至沓来:网络犯罪分子利用这一全球性活动大肆传播恶意软件和其它病毒。 肌萎缩侧索硬化,俗称”ALS”,是一种性神经系统退化疾病。在美国,该种疾病也被称为”卢伽雷氏症”-卢伽雷曾6获世界职棒大赛冠军并7次入选全明星赛,于1941年死于该疾病,年仅37岁。 WebMD网站曾对疾病有过精辟的解释,ALS”是一种大脑中某些神经细胞和脊髓缓慢死亡的疾病。”该种疾病相当罕见,但最终会导致患者失去对关键运动技能(比如:行走、进食和呼吸)的控制,大部分患者都在确诊后3-5年内死亡。 与其它网络流行一样,网络犯罪分子也借此大发横财。 “ALS冰桶挑战赛”在互联网上疯狂流行,旨在引起公众对于这种致命疾病关注的同时,为该领域研究机构募集更多的研究经费。挑战赛进行方式大概是这样:一个人先将一整桶冰水浇在自己的头上,随后再向其他人发起挑战,被挑战者或者为ALS捐款,或者也往自己的头上浇一桶冰水。随后被挑战的人再不断挑战更多的人,因此你的Facebook feed上充斥人们自浇冰水的照片和视频也不足为怪。 与其它网络流行一样,网络分子也借此大发横财。好消息是,此类网络诈骗团伙的行骗水准较低,他们既没有”零日攻击”,也没有使用未知的恶意软件。 他们最有可能使用的自动”工具箱”对于一台安装有最新反恶意软件引擎且打满补丁的机器而言毫无威胁可言。因此,给机器及所安装浏览器打上补丁,同时运行一款反病毒产品,将使你免受大部分恶意软件诈骗的威胁。 同以往一样,还需小心应对网络钓鱼攻击。千万不要点击突然出现在你email或Facebook feed上任何链接或视频。还需对那些试图窃取个人和登陆信息的虚假表单加倍提防。 更重要的是,还需对那些旨在窃取支付信息的虚假捐款支付网站小心提防。如果你想为ALS捐款的话,千万不要点击email或社交网络(甚至本文内)的链接。直接输入想要捐款的团体网站网址。一旦你决定了捐款的对象,首先做些研究调查:确保受捐赠团体是合法存在的。一些犯罪团伙常常会借助目前流行的慈善活动成立一些虚假的慈善机构,从而谋取私利。一旦你确定即将捐赠的团体是真实可靠的,还需确保他们的支付网站受到信任的证书签发者(点击地址栏内的padlock)的保护。只要按照我们的信用和安全小贴士操作,就能确保你的安全。 如果你对ALS冰桶挑战赛并不了解的话,我们在卡巴斯基的朋友们全体接受了挑战(并向ALS研究捐款),相关视频请见下文。 我认为ALS已然成为目前最受公众关注的事件,仅次于当年对于卢伽雷病逝的关注度。冰桶挑战固然不错,但更好的支持方式则是向ALS研究直接捐款。 如果你感觉ALS研究的受关注程度太高的话,还有其他的领域需要你伸出援手。全球各国的医生目前正聚集在非洲,与埃博拉病毒做着殊死搏斗。同时全球也存在着各种健康问题,例如:联合国难民署正在应对影响125个国家近3400万人生活的难民问题。此外,你还能向少年糖尿病研究基金献出自己的一份爱心,该基金会旨在向I型糖尿病研究以及无数其它的当地、本国或全球慈善机构捐助善款。 警惕利用ALS#冰桶挑战赛的#网络钓鱼和#恶意软件诈骗

交通信号灯存在漏洞,可轻松利用

你是否曾幻想过这样的情景:某一天上班的早上,当你走在熙熙攘攘的街上时,一时间所有的交通信号灯都为你大开绿灯?事实上,如果你对”网络犯罪”有兴趣的话,只需一点编程技巧,你就能将梦想变为现实。 研究人员:攻击交通信号灯系统出人意料的容易。 密歇根大学的研究人员发现交通控制系统内存在系统方面的弱点,造成这些系统更易于遭受攻击。这些系统弱点包括:使用非加密的无线信号控制交通灯;对控制系统使用默认用户名和密码;以及在交通控制器(用于控制交通灯和行人指示灯的设备)内存在漏洞。 密歇根研究人员在密歇根州一座不知名的小镇进行测试,只需使用一台笔记本电脑和无线网卡,然后以与无线连接交通灯的相同频率运行,即能够破坏交通信号灯的控制系统。 这些系统相当的脆弱,据密歇根研究人员在密歇根州一座不知名的小镇所进行试验的结果表明,只需使用一台笔记本电脑和无线网卡,然后以与无线连接交通灯的相同频率运行,即能够破坏交通信号灯的控制系统。在测试中,研究人员只用了一连串简单的命令就改变了交通信号灯的定时模式,并沿着既定的路由操控所有红绿灯(不用为此而担心,据报道这些研究人员获得有关部门准许才进行测试的)。研究人员无法将在既定交叉路口将所有交通信号灯变为绿色-显然,显然需要去路边打开放有失效保护开关的机箱才能实现。

Community Health Systems数据外泄事件启示

最近针对Community Health Systems的一起数据外泄事件充分暴露了联网医疗设备所面临的实实在在的现实风险,事件据称是中国黑客所为,造成约450万病人的敏感医疗信息被窃。 还记得Heartbleed漏洞吗? Heartbleed的漏洞存在于OpenSSL,出现于今年早些时候。这一漏洞曾一度对超过60%的互联网造成影响,并在理论上能让网络攻击者在客户端到服务器连接过程中窃取一定数量的信息。这可能是第一起发生在现实生活中并造成广泛影响的互联网事件:网络犯罪分子或国家行为者几乎利用了整个网络资源来谋取私利。尤其需要指出的,网络攻击者还开发出了一种漏洞利用程序,能让他们使用Heartbleed漏洞来窃取Community Health Systems网站的登录凭证。 哪些人因此而受到影响?这一切又是如何发生的? 这一事件中的450万名受害者都在过去5年里接受了Community Health Systems医生的医疗服务,不幸中的万幸,他们的医疗和支付信息并未因此而泄露;但最让人担心的是,他们的社会安全号(SSN)全部遭到泄露。除了社会安全号以外,一起被盗的还有病人的姓名、地址和出生日期,甚至还有受害人的雇主或担保人以及电话号码。 由于本次事件中的攻击者很可能是一些高级持续性威胁行为者,因此人们还抱有一丝侥幸。他们的目标很有可能并不是消费者的社会安全号。事实上,来自Crowdstrike和其他安全公司的专家们都表示这些攻击者可能只是在寻找与医疗系统相关的知识产权,使中国能够将其运用在对本国老龄化人口的照料上。 在本次 “APT 18″黑客小组(也叫做”Dynamite Panda”)的攻击行动中,最终以失败而告终。因为要处理数量如此庞大的敏感信息并不是一件容易的事情。 更大的问题 近年来医疗保健数据外泄情况时有发生,但有关方面依然没有尽快改进的打算。原因如下: 每当谈到医疗设备的安全问题时,人们总会异想天开,甚至有一些可怕的想法:比如,使用笔记本电脑入侵胰岛素泵和心脏起搏器,以达到伤害和谋杀病人的目的。但幸运的是,就近期我从Black Hat大会了解到的情况来说,所有患病需嵌入式和/或联网医疗设备治疗的病人被人用笔记本电脑杀害的可能性微乎其微。事实上,Rapid7医疗设备安全专家Jay Radcliffe表示所有联网医疗设备对于病人的疗效巨大,且几乎不会造成什么损伤。 似乎眼下这个问题对病人的影响更加全方位,且数量上呈现上升趋势。这些问题更多地与医生和医院,甚至医疗设备的存放、共享以及访问权限有关。Radcliffe在与我们的一次讨论会中指出,如果说联网医疗设备会对病人安全造成影响的话,那最大的可能是由于黑客入侵或意外事件导致医疗记录遭到篡改或更改,从而使病人得到错误的治疗。 近年来医疗保健数据外泄时有发生,但有关方面依然没有尽快改进的打算。 在本周早些时候,心脏病专家兼作家Sandeep Jauhar博士在NPR(美国国家公共广播)的《Fresh Air》节目中接受了Terry Gross的访谈,他表示美国医疗保健体系之所以落后于其他国家,大部分原因在于美国缺乏信息共享机制。因此,要改进美国医疗保健系统并同时遵守《平价医疗法》的话,还有很多工作需要做:将更多的医疗设备进行联网;医疗保健服务提供商之间进行更多沟通;更多远程访问数据;以及较有可能实现的,更多地共享敏感医疗信息。从他的话中透出了这样的意思:采用更加先进医疗保健体系的国家已经开始进行此类的数据共享,只是数据泄露问题依然存在。 这并不是说美国医疗保健体系毫无希望。《健康保险流通与责任法案》(HIPAA)的颁布旨在部分保护消费者医疗保健信息的安全与隐私。但问题是医院和医疗设备制造商都需遵守各自的相关规定,以符合《健康保险流通与责任法案》要求。尽管如此,数据外泄情况依然不可避免,因为没有一个安全计划是完美的。每个人-无论如何努力-都最终无法避免个人数据被窃的结果。 如果受到影响会有什么后果,怎样才知道自己是否受到了影响? Community

Blackphone回顾:是否是一款名副其实的安全智能手机?

号称 “史上最安全和隐私至上的智能手机”Blackphone出现得如此恰逢其时。2013年爆出”斯诺登事件”后,任何贴上”隐私”标签的产品都相当的畅销。然而,我们的问题是- Blackphone(BP)是否真如宣传的那样是一款安全性极高的智能手机呢?从技术上讲,BP采用独家定制的安卓4.4版PrivateOS系统。常规应用在Blackphone上运行稳定,但其默认状态相比于我们常看到的大多数”安卓系统”存在明显差别。主要体现在一些设置的改变。 物理特性、显示屏、摄像头与电池 Blackphone的外观看上去与普通智能手机相差无几,其正面和背面全都采用黑色塑料材质制成。厚度和重量分别仅为8.4毫米(0.33英寸)和119克(4.2盎司),但因其4.7″的超大显示屏而使整台手机显得十分大气。然而,显示屏的一些其它参数却并不那么”大气”。在4.7″的超大显示屏下720×1280的分辨率有人有些许颗粒感。亮度可调范围小,在黑暗中显得过亮但在太阳光下又显得太暗。BP的显示屏视角出色,常见的微型USB和耳机插口位于手机顶端,而右端则有经典的”双头”音量控制键以及电源按钮。所有插槽(microSIM、microSD和电池)都隐藏在可拆卸后盖下面。电池容量为2000 mAh,(顺便说下)这在目前大部分智能手机中相当普遍,但对于BP而言则绰绰有余。手机背面设计有非常”朴素”的8 mp摄像头–除了LED闪光灯、HDR(高动态范围)和视频录制功能外,并没有太多的亮点。 通信功能 得益于Blackphone对GSM、HSPA+ (3G)和LTE (4G)网络的支持,因此在大多数国家都能使用。GSM和UMTS网络在全球各地非常普及,而LTE网络的使用范围则有一定局限,因此BP在北美地区(LTE频带4、7和17)使用Region2,在北美以外地区(LTE频带4/7/17)则使用Region1。这并不意味着你无法在美国使用region1或在欧洲无法使用region2,只是你的手机上网只能限制在3G速度以下(”限制”也有好处,因为手机漫游所产生的费用是相当惊人的)。此外,BP还支持蓝牙4.0(智能手表和健身追踪器的标配!)以及快速Wi-Fi(802.11 b/g/n)。一些附件软件试图让Wi-Fi更具安全性,但不支持近距离无线通讯技术(NFC)。 存储容量、处理能力和省电模式 BP手机拥有16G内存,内存空闲12.5G。MicroSD插槽可接受的SD卡最大容量可达64G。BP手机会主动提示用户加密这些存储池,当然我们也同样建议用户这样做。然而,这样会增加手机耗电量,性能也随之轻微下降。另一个影响手机性能的显然是省电模式,有三种预设模式可选-最大性能、最大省电以及均衡模式,最大性能模式下BP运行速度迅猛提升(在安兔兔测评中获得了31000分的高分,与得到35,000分的HTC One M8和Samsung Galaxy S5差距并不太大),但在均衡模式下测评分数大幅降低至12,000)。然而,其他省电选项可能非常有效,甚至无需禁用两颗四核CPU或降低显示屏刷新率。首先,由于没有安装Google服务,因此后台数据传输量及伴随的耗电量大幅下降。其次,其独有的nSaver实用工具能让用户限制所有应用的后台活动(或应用本身的活动),耗电量因此下降。在每天结束的时候,Blackphone都会设法挤出整整两天常规使用的电量,前提是用户保持所有默认应用设置。 软件与安全 Blackphone的PrivatOS系统是经改良后的安卓4.4操作系统。完全没有安装Google服务,但预装了像Chrome浏览器这样的最新应用,同时将Hangouts或G+ photos替换为了更老的开源(AOSP)版本。安装过程中无需在设备上设立任何账户,而唯一需要账户的预装应用是常规电子邮件客户端以及BP定制版本的SpiderOak应用(一种加密的”零知识”云存储,类似于安全的Dropbox)。在安装阶段需要创建一个强大的PIN码以保护设备,以及全盘的加密。无需立即进行加密,但之后系统会有所提示。在过分简单化的安装完成后,非常常见的安卓系统桌面呈现在你眼前,应用和图标与大多数安卓手机并无太大差别。有趣的是,除了应用清单中包括的应用以及上述提到的SpiderOak外,还预装了安全中心(Security center)、SmArter Wi-Fi、远程清除工具、安全无线网络、3个Silent Circle应用以及一个私人搜索插件。 Blackphone的大多数工具也能安装在其它安卓智能手机上,而真正的差别在于安全中心。 BP所装载的大部分用于加强通信渠道的工具也能在其它安卓智能手机上安装,而真正的差别则在于”安全中心”。除了像设备加密和远程锁定这样的常规设置以外,如果你认为已安装应用可能会对手机安全造成影响,则你可以通过它们来解除权限。比如所安装的一款地图应用,你可以保留它的定位权限的同时,解除其访问通讯簿和手机ID的权限。所有已安装应用会自动出现在安全中心并采用推荐的设置。但需要牢记的是,在安装阶段你必须接受所有必须的权限,但在安装完成后你可以(并应该)解除一些其中的权限。 让我们快速浏览一下其它应用。更加智能化的WiFi功能只允许在特定地点开启无线网络,省电的同时还能让BP躲避来自开启Wi-Fi设备的追踪。远程清除程序是一种功能有限的反盗窃工具。私人搜索插件通过disconnect.me服务提供无痕迹的Google/Bing/DuckDuckgo/Blekko/Yahoo搜索体验。安全无线网络是disconnect.me 的”智能化“虚拟专用网络服务客户端,可免费提供一些基础的服务。而最令人感兴趣的附加软件是Silent Circle应用,据称能够提供高安全性的语音和视频通话、文件共享以及短信发送服务,最重要的是能屏蔽美国国家安全局的窃听。但显然,通信对方也必须使用同样的Silent Circle服务,但价格并不便宜。

Black Hat大会:网络攻击飞机、火车和汽车成为可能

拉斯维加斯–每年的8月初,来自全世界各地的安全和黑客社区成员云集内华达州拉斯维加斯,参加一年一度的”安全夏令营”,期间将举办Black Hat大会和DEF CON黑客大会和B-Sides这样的会议。Black Hat大会作为一项历史悠久的商业安全会议,在所有会议中具有绝对的影响力。然而,最近该项会议议题越来越贴近消费者,所谈论话题更多的是关于将智能家庭、关键基础设施、移动设备以及其它联网设备作为目标的攻击。 会议完全报道:没有关于黑客入侵火车的演讲。 卡巴斯基实验室研究员Roel Schouwenberg刊登于Securelist的一篇报告中探讨了对后PC时代Black Hat大会的一些想法。与此同时,来自Threatpost的Mike Mimoso也在他的文章中提到了类似的模式:”固件将成为黑客们攻击的新领域,通过U盘将病毒植入家庭路由器和汽车,能够利用漏洞、盗取数据并侵犯隐私。” 一方面作为一名与会者,我很高兴能听到这些新消息,因为这意味着一些 “暗藏杀机”软件平台(主要由企业使用)的bug报告数量更少或者没有增加,而更多谈论的是与我们日常生活息息相关的系统漏洞话题。另一方面,Black Hat大会讨论焦点的转移显示出一种令人担忧的趋势:安全漏洞离我们的实际生活越来越近。 主题演讲 今年大会由安全领域受人尊敬的杰出人物Dan Geer发表主题演讲。与去年美国国家安全局局长亚历山大(Keith Alexander)发表主题时的景象完全不同,今年没有全副武装的警卫、捣乱分子或成群拿着鸡蛋随时准备向台上招呼的反对者。在近60分钟的演讲中,所有与会者饶都有兴趣地听着In-Q-Tel(美国中央情报局的私人风险投资公司)首席信息安全官Geer所谈论的十大安全戒律。 整个演讲中不乏亮点,其中谈到了美国应以10倍价格收购所有待售出售bug,从而垄断整个漏洞销售市场。随后再将漏洞信息存入公共资源库,让任何一家公司都能修复每一个bug并”销毁所有网络武器”。在安全、自由和便利中,我们一次只能选两样。世界上只有两种东西不存在产品责任,一种是宗教,还有一种就是软件。互联网服务提供商可能会基于内容,随心所欲地进行收费,但需要承担内容的责任;或必须选择支持网络中立性,同时享受公共承运人的保护。 “明智地做出选择,”Geer说道。”互联网服务提供商应选择其中的一项,而不是全部。” 黑客入侵人类和医院 让我们重新回到”安全影响我们实际生活”的话题,我们曾非正式地讨论过有关医疗设备安全的话题,其中的一些漏洞的的确确会影响到我们的身体。对我们大部分人而言,更为普遍且更致命的是放在医院的一台台医疗设备,而不是安装在病人身体内的装置。 不久的将来,很可能会出现以一台或数台医疗设备为目标的网络攻击。但好消息是医疗设备本身的安全程度极高。一台全自动的嵌入式胰岛素泵在调节和修正胰岛素水平方面的效果,远远优于血糖仪和一个月胰岛素注射量的效果。 这些漏洞广泛存在于两台医疗设备之间的通讯方式中,以及许多医疗设备以外的案例中,且无论设备是在病人还是医生控制下。我们需要明确的是,犯罪分子用笔记本电脑向一个嵌入式心脏起搏器发送致命冲击的可能性微乎其微。这一风险听上去虽然恐怖,但事实上存在无数更轻松的方法可以致他人于死地。你要相信,这里真正的风险事实上比早间谈话节目更加无聊。 “固件将成为黑客攻击的新领域,通过U盘将病毒植入家庭路由器和汽车,能够利用漏洞、盗取数据并侵犯隐私。” 由谁来负责为医疗设备制作补丁?谁负责安装这些补丁?这些费用又由谁来买单?无论是设备制造商、医院还是用户本身都很难给出明确的答案。我们所说的医疗设备并非只是心脏起搏器和胰岛素泵这些小型的医疗器械;而是诸如核磁共振机、超声心动图机和X光机这样的大型设备,以及医生用于管理一些重要敏感医疗数据的平板电脑甚至是台式电脑(通常安装Windows XP系统)。 这次非正式讨论所得出的最终结果是:篡改医疗记录–医疗事故和其他内容–可能会造成用药或治疗的失误,这可能是我们在联网医疗设备领域即将面临最多且危险性最高的风险。 最后我们应看到好的一面,因为在遭受真正攻击前就预见即将产生的问题本身就是一个积极的信号,因为这在高科技领域并不常见。 雅虎加密所有邮件 雅虎此前因某些原因无法对其网页邮件进行加密遭受到猛烈抨击,因此在不久前雅虎宣布将在未来的几个月甚至几年里对雅虎邮件做出一系列的安全变革措施。其中最主要的方案就是对所有网页邮件进行端对端的加密。这一举措将使雅虎的安全程度提升至与Google同等的水平。 访问the

雅虎为所有连接数据中心的邮件加密

拉斯维加斯–雅虎长期以来未能对其众多网页服务进行默认加密,因此在安全和隐私领域被众多竞争对手远远甩在身后,最终成为数字倡导组织的笑柄。然而大约在去年的时候,雅虎公司在很短的时间内即扭转局面,开始认真对待加密问题,并迅速地将其安全与隐私保护能力提升至与Google和微软同等的水平。 雅虎表示将于明年为其所有使用雅虎邮箱的用户启用端对端加密,这意味着用户的邮件从自身机器发出后,通过雅虎服务器再一路传送至收件人的邮箱,其间的整个过程邮件的内容始终处于加密状态。同时,雅虎公司还与Google共同开发项目,使加密透明且易于使用。 “斯诺登事件后,我们并没有对此加以重视,使得我们无法专注于所面临的现实问题。我们作为一个产业已然失败了。因为我们无法保证用户的安全。 本周在内华达州拉斯维加斯举办的Black Hat安全大会上,作为雅虎新任的首席信息安全官Alex Stamos表示,有关安全和隐私的项目将成为他任期内的首要工作。 据报道,雅虎在6月通过使用Google针对Chrome发布的浏览器插件,对离开浏览器的所有数据启用端对端加密。雅虎和Google的合作关系相当重要,Stamos解释道,因为这能确保雅虎邮箱用户与Gmail用户之间的通讯得到高度加密。 “我们的目标是让雅虎邮箱与Gmail完全兼容。”Stamos在周六说道。 雅虎其它的安全改进措施还包括实施HSTS(HTTP强制安全传输),这能使得网站能够在用户浏览器上强制进行加密连接;而证书透明度则通过采用信赖认证中心的公开日志及他们所背书的证书,以达到阻止网站欺诈和其它中间人攻击的目的。 这一系列的安全举措将大幅提升雅虎在电子前哨基金会每年”Who’s Got Your Back?”和”加密报告”上的评分。当然,更重要的是用户将能够安全和私密地进行通讯,不用再因为自己的网络知识有限而害怕遭到窃听。 “斯诺登事件后,我们并没有对此加以重视,使得我们无法专注于所面临的现实问题。我们作为一个产业已然失败了。因为我们无法保证用户的安全。” 先前的落后者@雅虎正在通过#一系列加密举措对#安全和#隐私领域进行大力改进

找工作如同约会!

想要找到完美的”另一半”总是不那么容易。你必须坦诚面对自己的优缺点,你不得不接受这样一个事实:有时候这就是真实的你,而不是其他人。双方总会有一方会首先”离开”—可能只是你说了这个而没有说那个,也可能只是你向对方展示了真实的自己。你在脑海中不断回放着”面试”时情景,”我太紧张了,我没有说到那个呀!为什么我当时没有说呢?” 许多招聘人员会将寻找合适的候选人比喻为寻找他们的”另一半”,因为在约会和招聘之间有着太多的相似之处。如果你在各个方面都表现得当的话,除了收获爱情以外,也不用太费力就能找到合适的工作。 地点 你通常在哪里与人见面–夜店、体育赛事、通过朋友介绍或在享受自己最喜欢的业余爱好的地方?在所有你能约会的地方,也同样能找到新的工作。如同约会一样,你找到新工作的地方往往能反映出工作的质量如何。招聘网站就如同夜店,你能很快并轻松找到一份工作,但问题是这份工作到底能持续多久?这真的是适合你的工作吗?如果你是通过朋友介绍找到这份工作/约会对象,则双方的关系将更为持久和稳固,但缺点是缺乏惊喜。 这就是为什么卡巴斯基实验室有着良好的员工推荐计划。你是否认识卡巴斯基实验室的任何一名员工?不认识?上网去认识吧! 吸引对方的关键 让我们来面对现实,可以说所有的爱情故事都始于双方一见钟情,这能够让他们坐下来进一步了解对方。作为一名招聘人员,我想说的是:最初对求职者的好感都是源于”让人眼前一亮的简历”。确保你的简历不仅含有招聘人员所想要看到的内容(比如:工作描述),还有展示你作为员工最真实的一面。最糟糕的情况是:你将自己完全伪装成另一个人,或做一些内心根本不想做的事情。 如果你对某一家公司感兴趣的话,必须知道自己感兴趣的原因是什么。是因为这家企业的文化?还是因为这家企业的名声在外?又或是因为职业发展机会?只有这样,你才能在面试前对自己各方面是否与公司相匹配了如指掌了。卡巴斯基实验室的招聘人员总是会听到诸如此类的加入公司的理由,即向往我们的企业文化以及想要获得更好的职业发展机会。我们的确有着相当有趣的企业文化并为每一名员工提供难以想象的职业发展机会。但是,我们也是一家需要员工极其努力地工作并经常性加班的公司。但我们会给予员工充分的自由空间,与公司一道开创全新的未来。你是那种需要大量管理性指令才能完成工作的员工吗?你对所从事的工作是否拥有足够的热情?卡巴斯基实验室的每一名员工都对工作充满了热情,即使长时间地工作也丝毫不会感到疲惫,甚至大部分人还希望自己给自己加班。 咖啡/饮料约会 几乎每个人都经历过那种不太正式的约会,即所谓的”咖啡约会”。通常一边喝着咖啡或饮料,一边打量着对方,看看是否真的要和眼前的这个人建立起关系,且通常不会有第二次约会。但当你能和眼前这个人相处时间超过1个小时的话,则将顺利进入下阶段:”正式约会”。第一轮的电话面试就好比”咖啡约会”。招聘人员想借此机会了解你是否准备好与招聘经理的现场面试,而你则需要确定这家公司是你非常乐意”约出去”的对象。 正式约会 周六的晚餐和一场电影是通常是正式约会的主题,就好比面对面的现场面试。你必须全力以赴,穿着得体等等,这应该不用我再多说了。还有需要牢记的是,你对对方的了解程度应该与对方对你的了解一样多。经常问自己与对方相处是否融洽?如果不是,你应该选择尽快离开。不要尝试去适应有些并不符合你需要的人(公司),因为这最终只会带来痛苦。 保持稳固关系 联系你当地的卡巴斯基实验室办公室,可能会获得一次”约会”的机会!现在就将你的简历发送至resume@kaspersky.com 如果在几次约会后你们在很多方面渐渐有了一致看法的话,这就是一个理想的关系。接下来则是”正式确立关系”的阶段。你需要在给予和付出之间取得平衡。在签下自己的大名前清楚自己内心到底要的是什么。全面了解公司对于你和你的工作有哪些期望。你对公司愿意支付的报酬是否满意?公司是否能满足你作为一名员工的需求?记住,没有任何一段关系是百分百完美的,一旦与你心理预期接近的时候,还等什么赶快签约吧。 关系结束 分手总是让人难以接受,当发现自己并非对方所需要的人时更是痛苦万分。有时候你会发现自己坠入了爱河但对方却毫无感觉,这类事情时常发生。如果公司无法100%或甚至95%确信你是他们团队的合适人员,那其中一定存在你没有看到的原因。可能会是你的个性原因,比如团队大部分人并不喜欢交际,而你的个性却恰恰相反,当然这些都不太会当面告诉你。不管什么原因,其实都不用太过担心,就好像生活中寻觅爱情一样,总有一份适合你的工作在等着你。你需要的则是耐心和毅力。

Black Hat安全大会:汽车”黑客入侵”趋于移动化

拉斯维加斯 – 上次我们遇见Charlie Miller和Chris Valasek是在卡巴斯基实验室安全分析师峰会上,当时讨论了如何保护汽车免受一系列的攻击(他们正在开发中)。昨天,这个”二人组”在内达华州拉斯维加斯举办的Black Hat安全大会上又一次出现。会上,他们又带来了更广泛的最新研究成果,即针对不同车型的各类共计。 从一开始,来自推特的Miller和IOActive公司的Valasek就致力于打造一款类似于入侵检测系统的反病毒软件,可阻止各种他们自己开发的各种独特攻击,包括:禁用刹车系统、开启全自动倒车系统以及在行驶中让汽车猛地冲向一边等。 更令人感兴趣的是,他们对自己开发的攻击方式还不断进行改进。就在一年前他们首次公布这些研究成果时,所有的攻击方式都基于本地操作。换句话说,Miller和Valasek必须在后排座椅位置用笔记本电脑接入之前”已做过手脚”的丰田普锐斯后才能控制该车的一些功能,使得参与测试的记者则根本无法驾驶失控的汽车。 而现在,Miller和Valasek新开发出的攻击方式则是通过远程操作进行的。他们不再需要将笔记本电脑接入汽车系统,也无需事先在修车厂对汽车做好手脚。此类新型攻击利用了类似蓝牙的无线通信协议中漏洞,通过访问经过车载计算机系统的传输讯息并最终得以完全操控汽车。 “相比于TPMS漏洞利用程序,更多的黑客擅长编写网页漏洞利用程序。许多黑客都会编写恶意应用或使浏览器弹出广告。如果你的刹车或转向装置也在同一个网络的话,那情况就有些糟糕了。” 会上,他们演示的一部分内容是关于不同厂商和车型的安全性讨论,在研究人员发布对奥迪、本田、英菲尼迪、Jeep、道奇和其他品牌车长达95页的检测报告后,我们将为您带来更多的相关报道。 Miller是这样解释问题的关键的,入侵一部汽车虽然可能看起来有些新奇和与众不同,但事实上却与传统的网络入侵并无太多差异。不外乎先找到漏洞,然后再加以利用。但为汽车打补丁比浏览器打补丁要麻烦得多。 Valasek进一步解释道,为汽车打补丁之所以价格高昂,原因在于汽车厂商不仅需要自己花钱制作新补丁,还需要通知客户,让他们依次前往经销商处进行软件更新。 “当漏洞利用程序出现,要修复每一名车主的漏洞将十分困难。”Valasek说道。 #BlackHat安全大会:@0xCharlie和@nudehaberdasher目前#远程入侵汽车并开发类似反病毒软件的保护程序 针对最新车型的可能遭入侵功能可以列出一长串名单;有些比较有趣,有些则让人恐惧。可能将被利用的功能有:全自动倒车系统、主动车道控制、预碰撞系统以及自适应巡航控制,所有这些都需要在传感器和刹车,加速或转向装置之间存在一定级别的通信,通常是通过蓝牙或另一些无线电讯号发送的。网络犯罪分子更”偏爱”的功能还有:被动反盗窃系统、轮胎压力监控系统或远程无钥匙门控。然后,研究人员解释道,后面这些功能的受攻击范围有限,原因在于其中没有太多数据交换或只有近距离才能通信。 由于蓝牙功能、无线电数据系统和telematics系统允许使用蜂窝或Wi-Fi功能,显然扩大了汽车受攻击的范围。随着车内应用和其他网络连接功能的越来越普及,相关情况将变得更加糟糕。 “相比于TPMS漏洞利用程序,更多的黑客擅长编写网页漏洞利用程序。许多黑客都会编写恶意应用或使浏览器弹出广告。如果你的刹车或转向装置也在同一个网络的话,那情况就有些糟糕了。” 请在这里或访问Threatpost继续关注更多有关Black Hat安全大会的报道。

如果有人真的盗窃了12亿个密码,那我们该如何应对?

今天《纽约时报》撰文报道了一个犯罪团伙如何从不同网站盗取了超过12亿个密码和用户名/邮箱。这似乎听起来是互联网有史以来最大的”密码盗窃案”,但由于相关细节还未公布,因此安全社区更多是持怀疑态度。首先,公众并不知晓底哪些网站成了攻击的目标。其次,也缺少技术方面的细节–几乎所有安全专家都想知道这些被盗密码是否采用了哈希加密。然而,普通用户只想道一件事–那就是现在是否需要采取行动,如果是,则应该采取哪些措施。 主要网络服务提供商并未向用户发出密码更改通知,这可能表示他们并未受到影响或根本就不想对终端用户造成不良后果。然而一家名为Hold Security的公司却公布自己的研究结果,声称受影响最多的是一些小型网站。这些网站通常并没有一套严格的安全程序,用户也无法指望从他们那儿收到数据泄露通知。 确保为每一个账户设置唯一密码,可将危险性降到最低。 本次所报道的”密码盗窃案”将是一个很好的契机,即改革当前混乱不堪的密码政策,转而使用更加安全和系统化的方法。”一旦你所使用的网络服务提供商遭遇黑客入侵,作为消费者你根本无能为力,但可通过为每一个账户设置唯一密码,将危险性降到最低。”英国卡巴斯基实验室高级安全研究员David Emm解释道。 设置唯一密码的安全性远高于其它的一些密码保护措施。用户计算机(例如:使用键盘记录器)或网络服务提供商遭到黑客入侵都有可能造成用户密码被盗。确保网络服务账号与其他重要账户使用的是不同密码。人们通常很难记住一长串字符,因此我们向大家推荐密码管理器。此外,每一个密码必须足够强大(可以用我们免费的密码检查器进行测试)。 密码泄露事件时常发生,使用唯一密码可将危险性降到最低。 对于一些重要账户(银行和Gmail等),我们强烈推荐采取额外的保护措施。这些网站通常都采用双重认证,即使密码被盗也影响不大。

7月综述

在7月,卡巴斯基实验室刊登其最新安全相关读物和”需要了解”的安全新闻。从保护你的网络摄像头和隐私,到保障孩子安全上网,无所不包,我们始终为您传递最新的讯息。如果你不幸错过了7月的任何一篇博客,无须担心,我们的月度综述将帮你了解网络安全领域的最新进展。 数百万智能手机面临默认Wi-Fi热点欺诈 有趣的事实:移动服务商AT&T面向其客户的iOS和安卓系统设备发布了一份被信任的无线网络默认清单。这意味着用户将能自动便捷地连接各种由AT&T管理的Wi-Fi热点。Comcast的XFININTY服务的主要功能即是为客户传播无线网络热点。他们的XFININTY网络服务在搜寻网络时对所有名为”XFINIFTY WiFi”的无线网络”情有独钟”,并依靠用户的调制解调器和路由器连接你的家庭和私人网络,同时作为公共热点供其他持有XFININTY凭证的设备使用。不可否认自动连接公共热点的便利性的确存在,但问题是,一旦你连接了其中一个热点,当下一次有其他热点以相同的网络名称和SSID(服务集标识符)传播时,你的设备将毫不设防地进行自动连接。你如何才能真正了解这些热点的安全性到底如何?越来越多开启Wi-Fi的环境正成为网络攻击者眼中”香饽饽”,他们通过建立流氓或恶意的Wi-Fi热点来监控用户的网络通讯,同时还盗取用户的登录凭证,并使用恶意软件感染用户以及实施一些其他的恶意攻击行为。我们建议避免使用公共Wi-Fi的同时再运行一款可靠的安全产品,以防不幸中招。 将网络摄像头窥探者”阻在门外” 在过去的10年里,网络摄像头已然成为了人们日常生活中斯通见惯的工具,即使远隔千里之外,两个人依然能进行视频通话,这在过去几乎无法想象,但现在这一切都成为了现实。只需动动手指,即能通过智能手机内置摄像头与远隔千里外的朋友视频通话。但可怕的是,你自己并不是你的网络摄像头唯一使用者。如果你认为这是耸人听闻的话, 2013年美国妙龄小姐得主就是一个很好的例子,她因黑客入侵她的网络摄像头而被偷拍了裸照。就在今年年初,一些网络攻击者遭到严厉的打击,他们通过使用类似Blackshades的恶意程序入侵你的计算机,并随意使用你的网络摄像头。尽管这是一个相当严重的问题,但在我们所发起的相关投票中,超过半数的投票者对其网络摄像头不采取任何保护措施。近40%的人表示平时会用胶带、创可贴和其他东西封住摄像头,但我们还有更好的方式来保护你的隐私。例如,卡巴斯基安全软件能使攻击性恶意软件威胁无法打开用户网络摄像头,方法是当在任何应用试图访问网络摄像头时向用户发出警告,再通过权限设置只允许像Skype或Hangouts这样的特定程序访问,同时在用户没有明显授权的情况下,禁止其他所有程序访问。 十大安全新技巧,确保全年安全无忧 网络犯罪分子为了窃取资金、数据和劫持设备,可谓花样百出。这使得保护计算机或移动设备,抵御网络威胁也变得越来越复杂。这也难怪安全行业不得不不断地推陈出新。下面我们简要列出了一些新的防御技术,用于应对2014年新出现的黑客骗术(不用说,相当可怕)。2015新版卡巴斯基安全软件多设备版中将实施全部这些防御技术。有关这一主题的完整文章将详细解释这些新的保护技术。 1.撤销Cryptolocker文件加密 2.远离网银木马 3.使用不安全WI-FI时发出警告 4.防止摄像头监视 5.时时关注孩子的网络活动,保障孩子上网安全 6.更好地防御网络钓鱼 7.与新浏览器无缝整合 8.用户实时了解保护状态 9.保护重要人物安全 10.实时更新 5种关于反病毒软件的谬论 当今这个时代是数字的时代,我们对数字技术高度依赖,因此通过使用适当的保护程序和避免威胁来保障我们计算机和移动设备安全和平稳运行显得尤为重要。这里我们列出了5个流传最广的有关反病毒保护的谬论和错误观念,并分别还原事实的真相。 1.谬论:只有Windows系统存在病毒 真相:尽管在过去几年这一说法还相当有市场,但随着苹果设备在私人以及公共领域都获得了越来越多的关注,因此攻击者也逐步加大对苹果产品的攻击。目前,移动恶意软件正成为攻击者的 “新前沿阵地”,他们将主导市场的安卓平台作为首选目标,当然也包括了iOS设备。这意味着,无论你的计算机或移动设备使用Windows还是iOS系统,安装一款强大的反病毒程序都是必不可少的。 2.谬论:进程错误或计算机性能差意味着我的计算机中病毒了 真相:尽管这可能意味着你的计算机确实中了病毒,但是也很可能是因为太多后台进程同时运行所造成。 3.谬论:从网上所下载的免费程序能够满足你所有的反病毒软件保护需求 真相:这些免费程序事实上只能提供一些基本的保护,但想要免遭网络钓鱼的攻击(会盗取你的个人和财务资料),你还需要一款Internet浏览器安全程序。 4.谬论:病毒是由反病毒软件公司编写 真相:网络攻击者才是创造最新恶意软件的元凶,他们不遗余力地企图领先反病毒程序一步,设法窃取用户的敏感数据和金钱。

天网恢恢!7月热点诉讼案

7月份已悄然离我们而去,现在是时候来回顾一下网络犯罪分子与检察官之间”战争”的最新的战况到底进行得如何。 在我们的7月热点诉讼案中,罗马尼亚和俄罗斯人似乎成为了新闻主角 因银行诈骗罪获刑9年。一名阿尔巴尼亚的27岁黑客承认犯有银行诈骗罪,并供认了在2011年参与某网络犯罪组织的一次大型犯罪行动,该网络犯罪组织在大约48小时的时间内先后从近20个国家的ATM机上非法提取了约1400万美元的现金。Qendrim Dobruna对入侵摩根大通银行系统并以美国红十字会账户处理交易的事实供认不讳。这一犯罪计划对大量的ATM机造成了影响,使得这些网络犯罪分子在短短两天内进行了数千次的提款,非法获取了1000多万美元的现金。根据与政府签署的认罪协议中,Dobruna(又叫做cL0sEd and cL0z)将被判处9年监禁,而不是庭审过程中已宣判的30年监禁。 三名俄罗斯人因窃取160万美元而遭逮捕。3名俄罗斯公民因与窃取160多万美元的一家国际网络犯罪团伙有关联而遭逮捕。Vadim Polyakov、Nikolay Matveychuk和Sergei Kirin是7人网络犯罪团伙中的3人,这7名散布在全球的犯罪分子被指控非法访问了StubHub在线票务网站的1,600个用户账号。根据检查官所述,Vadim Polyakov(30岁)和Nikolay Matveychuk(21岁)非法购买了3,500多张机票,随后将这些机票邮寄给了3名美国人。这几个美国人再将机票倒卖,并在Sergei Kirin(37岁)在内其他几个人的帮助下,通过国际电汇和在线转账服务PayPal进行洗钱活动。Polyakov于7月3日在巴塞罗那附近度假期间遭到逮捕。Matveychuk和Kirin依然留在了俄罗斯,但美国方面希望能将他们带回美国受审。 俄罗斯黑客可能获刑30年。俄罗斯籍男子Roman Seleznev被控在华盛顿西区入侵了遍及全美的零售商计算机,他于7月上旬在马尔代夫被逮捕,随后被押往广岛。据检察官所述,Seleznev(也叫做Track2、nCux和Bulba)实施了一项旨在扫描设备漏洞和安装恶意软件的计划,并于2009年至2011年期间盗窃了超过200,000个信用卡卡号。他被控使用位于弗吉尼亚、俄罗斯、乌克兰和世界其它地方的服务器出售这些信用卡号,非法获利200多万美元。Seleznev将因此而面临30年的铁窗生涯和200万美元的罚款。顺便说下,这家伙还在内华达地区遭到单独的起诉,被控参与诈骗影响的舞弊组织和共谋经营诈骗影响的舞弊组织,此外还因两次拥有15台或以上的伪造和越权访问设备而被起诉。 美国银行诈骗犯被判入狱4年 Julian Schiopu,34岁,被控对多家公司的客户实施诈骗,这些公司包括:美国银行、PayPal和eBay。他通过向受害人发送伪装成银行正当通知邮件的恶意邮件讯息实施诈骗活动。这些邮件无一例外地告知客户其账户也被锁定,以及如何”解锁”的说明。当然,向受害人提供的只是伪造的URL,这受害的银行客户所访问的页面实际由这些黑客所掌控。一旦受害人提交了自己的银行账户信息,该名网络犯罪分子及其同谋者则能够立即从ATM机上提取现金。拘捕Schiopu的行动于2013年开始,瑞典当局在当年就对他进行了逮捕并引渡至美国。另外还有18罗马尼亚公民遭到逮捕,他们都涉嫌参与了诈骗活动。Julian Schiopu在接下来的45个月里不得不在牢狱中渡过。 假扮成苹果公司可能导致入狱 两人因在英国实施网络钓鱼诈骗和窃取25,000多美元而总共获刑14年。Constanta Agrigoroaie(23岁)和Radu Savoae(28岁)在供认了合谋实施诈骗、6次持有虚假身份证以及持有制作虚假身份证和银行卡设备的事实后,被宣判有罪。他们通过向受害人发送网络钓鱼邮件,宣称来自苹果公司并告知受害人的账户已被盗。为解决这一问题,收件人得到了一个虚假网站的链接,该虚假网站则用于收集包括银行账户信息在内的用户私人信息。这两名犯罪分子从受害人账户窃取的资金随后被用于购买机票,帮助国外犯罪分子潜入英国实施犯罪活动。调查员拦截了一架从罗马尼亚飞往英国的飞机,在这架飞机上发现了几名宣称互不认识的乘客,但事实上他们的机票却是从同一台电脑上所购买,最终这一诈骗案得以侦破。通过对机票预订信息进行调查后找到了一个地址,在那里抓获了另一名网络钓鱼者。Agrigoroaie和Savoae分别被判处6年和8年的监禁。

一周要闻:Black Hat与DEF CON大会预览

全球黑客和安全领域两个最重量级的会议:Black Hat和DEF CON大会将于下周在内达华州的拉斯维加斯举行。在本周新闻综述,我们将展望这两个会议的同时,对本周发生的新闻进行一番回顾。 黑客大会抢先预览 Black Hat与DEF CON安全大会将于下周召开,我们将首先展望这两个会议来开始我们的本周新闻综述: 卡巴斯基实验室安全专家Vitaly Kamluk的演讲是我们最为期待的,他将在大会上再次提及Absolute Computrace漏洞问题,在之前2月份举办的安全分析师峰会期间我们曾有写到过。 此外,安全研究员Joshua Drake也将展示他所建造的工具,这一工具足以彻底颠覆目前全球对安卓系统安全性的研究。从本质上说,这一工具集中了所有他能找到的各种安卓设备,且各自适合的操作系统稍有不同。他们认为只有通过这样的方式,安全研究员们才能对目前众多的安卓操作系统有一个更加全面的了解。来自Bluebox Security的Jeff Forristal将作另一场有关安卓系统的有趣演讲,他的研究显示数百万台的安卓设备内存在一种关键漏洞,可使恶意应用伪装成受信任的应用,让攻击者能够将恶意代码植入合法应用,甚至直接控制受感染的设备。 而在今年的DEF CON大会上,主办方将举办一场以黑客入侵路由器为主题的比赛。选手们需要入侵SOHO Wi-Fi路由器,比赛规则公布在SOHOpelessly遭到入侵的网站上。参赛选手必须在DEF CON大会举办期间说明并展示他们如何利用零日漏洞来入侵路由器的。届时将向获胜选手颁发奖品,具体奖品类型尚不得知。 全球最大社交网络遭遇麻烦 接下来,我们将一一回顾本周已发生的新闻事件:本周有关Facebook的新闻可以说是喜忧参半。 首先是本周一,来自欧美的一个隐私倡导团体要求Facebook推迟实施全新针对性广告政策。此前,Facebook的广告几乎全部基于用户所钟意的页面。就在上个月,这家社交网络公司发布了一条令人不解的声明,表示他们将赋予用户更多对所见广告的控制权,同时还将开始收集用户更广泛的网络冲浪行为信息。 众多用户团体向美国联邦贸易委员会提出抗议,希望延迟或者完全阻止Facebook进一步采集用户在Facebook域名以外的上网信息。这些团体表示Facebook的这一计划直接反驳了与此前所做出的有关隐私和用户跟踪方面的声明。就在上个月,Facebook还表示”用户将能自主控制网页上所看到的广告”,此前的声明明显欺骗了用户。 破坏性巨大的攻击迫使组织重建整个系统。 据Threatpost报道,在周二,Facebook修复了其安卓应用内的漏洞,这一漏洞能够让攻击者在受害人设备上造成拒绝服务的情况,或通过在设备上传输大量数据导致受害人手机账单飙升。因此,如果你在安卓系统运行Facebook的话,确保安装了最新的更新补丁。 另外,Facebook颇为流行的照片共享服务Instagram的移动版本并未部署完全加密。因此,用户不得不面临暴露浏览行为及会话cookie被窃的风险,这可能最终导致安卓和iOS系统的账户同时被盗。Facebook和Instagram都意识到了这一问题,并表示将修复这一漏洞,但修复的具体时间尚未给出。访问Threatpost和Kaspersky Daily,阅读更多内容。 高级持续性威胁 本周还曝出了中国高级持续威胁(APT)黑客入侵的事件,入侵对象则是曾参与以色列臭名昭著的”铁穹”导弹防御系统开发的国防承包商。据报道,在2011年至2012年期间,他们先后从以色列的三家国防承包商手中盗窃了一种特定型号反弹道导弹的详细原理图、火箭相关信息以及成页成页的其他机械文件。 据报道,另一个中国APT小组也入侵了加拿大一家主要的技术研究组织,最终迫使他们脱机下线。Threatpost的Chris Brook在其文章中写到此次攻击破坏性巨大,最终迫使该组织重建其整个系统。加拿大方面并未表示攻击发生的时间以及被盗资料的信息。