隐私

375 文章

《安全周报》第36期:越狱设备数据盗窃、告别RC4以及路由器内的漏洞

将微型电脑嵌入我们的大脑或许会让我们的生活变得更简单。用’脑电报’代替短信,我们只需在自己心里’低声细语’就能发送消息。如果大脑中突然’灵光一闪’?你可以立即通过脑电波与你的朋友分享!而只需花费2.99美元就能让你回忆起妻子嘱咐你的购物清单。 而尚未成熟的生物接口将以每分钟百万兆字节的速度向电脑(基本上可能会是没有显示屏的智能手机)传送数据,不仅会在搜索数据时产生的巨大背景噪音,同还需要未来更强大的处理器。 他们为什么要将5V和12V 的输出设备嵌入人们的大脑中?说实话,我真不知道。 不管怎么说,未来的iPhone手机一定会告诉你想知道的一切。Google在经过34场品牌再造活动和8次结构重建后,将在占地球表面2%面积的数据中心保存和处理所有数据。当这一突破性技术再成熟一些的时候,他们或许会考虑如何保护这一庞大数据量的安全。 不幸的是,在这些数据受到安全保护之前,很可能已落入黑客之手并流入’黑市’。直到那时,我们才可能最终思考这样一个问题:我们收集和保存了哪些数据以及收集和保存的方式。 这些在不久的将来一定会发生。重新回到现在,我不知道是否有人关心过有多少用户背景的陀螺仪数据遭外泄。安全研究常常滞后于商业技术,而技术设计员在设计自己的小玩意时几乎很少会反复考虑其安全性。 在今天的上周重要新闻摘要中,我们将重点关注那些如今用户数量已达到数百万的软件和硬件设备。这里我再次重申《安全周报》的编辑原则:每周Threatpost的团队都会精心摘选三条当周要闻,并加上我自己独到的见解。往期的内容可以在这里找到。 从越狱iPhone手机盗窃数据的木马病毒 新闻。Palo Alto Networks研究。简单介绍哪些人该为这一木马病毒而担心。 并非所有关于数据外泄或bug的报告都能用语言解释清楚,但以下这个除外。在中国发现了一款流氓iOS应用程序;它会偷偷潜入智能手机与苹果服务器间的通讯并盗取iTunes密码。该恶意软件之所以最终被’逮到’是因为吸引了太多的注意:许多用户陆续向苹果报告自己的iTunes账户被盗(就报告记录来看,由于银行卡与苹果账户绑定,因此只需输入密码即可在线支付)。 很酷吧?错!该攻击仅针对越狱用户。来自中国的独立研究人员向WeipTech报告他们偶然破解的网络犯罪分子的命令与控制服务器,并发现了超过22.5万个用户凭证(越狱用户数量同样让人吃惊),包括用户名、密码和设备的全球唯一识别符。 该恶意应用程序通过Cydia(iOS app store的替代应用商店)侧载。随后自动嵌入设备与苹果服务器间的通讯,接着采用老式但依然有效的中间人攻击方法并将遭劫持数据重新定向至黑客运行的服务器。受害用户的噩梦远不止如此:该恶意软件还使用了动态加密秘钥-‘mischa07’(仅供参考:在俄文中’Misha’表示英文中’Michael’这个名字,同时也有’熊‘的意思。) Mischa07盗取iOS用户密码 目前尚不清楚’Mischa’是否已通过KeyRaider攻击大发横财。”振奋人心”的是,越狱后的iPhone手机相比安卓设备更易于遭受网络攻击。一旦强大的iOS保护功能被攻破,事实证明就再也没有其他的保护措施,任何不法分子都可以对你的设备为所欲为。 几乎所有强大系统均存在这样的缺陷:在外部,全面部署功能强大的防火墙和物理保护方法,系统本身也从不联网–总而言之,整个系统就如一座堡垒坚不可摧。而在内部,却依然在使用运行Windows XP系统的普通奔4电脑,且12年未打过任何安全补丁。但如果有黑客能成功潜入系统内部后果将不堪设想? 那针对iOS的问题也随之产生:如果有黑客能成功编写出操作简单的root漏洞利用工具又会怎么样?苹果是否还有备用方案?这能否能证明安卓在这方面具备的优势,毕竟,安卓早已有乐遭黑客入侵的准备,到时各个开发商均会采取各自的应对措施? Google、Mozilla和微软将在2016年(甚至更早)彻底告别RC4 新闻。 在上周刊登的第35期《安全周报》(我们讨论针对GitHub的man-on-the-side分布式拒绝服务攻击那一期)中,我们总结了使用HTTPS无论对用户还是Web服务所有者无疑都是福音。但事实是并非所有HTTPS部署均对用户安全性有利–此外,其中有一些部署了老式加密方法的HTTPS甚至还存在危险性。 举几个例子,是否还记得POODLE攻击中SSLv3的作用,SSLv3投入使用已快18年了,即将”步入成年行列”,而所用的RC4加密算法技术之陈旧甚至可以追溯到上世纪80年代。至于说到web,很难确定使用RC4加密是否会导致连接本身受攻击。早期的互联网工程任务组承认理论上针对RC4的攻击在互联网上很快能被实施。 顺便提供一份最近研究的成果:如果将任何强大加密方法改为RC4加密的话,黑客只需52个小时就能破解cookies(即劫持会话)。黑客要想成功的话,首先需要劫持一些cookies,将可能出现的结果铭记于心,随后暴力破解网站,如此即可提高成功的概率。这是否可行?当然,但需要考虑若干变量。是否有人曾真的用过呢?谁知道呢。在斯诺登公开的文件中,声称情报部门有能力破解RC4加密。 好吧,也有好的方面新闻:可能存在漏洞的加密算法在为安全起见退出历史舞台之前从未被成功破解(至少并非是全球范围)。即使现在,针对RC4加密的攻击也鲜有发生:Chrome浏览器在所有连接中仅有0.13%选择使用RC4加密–就绝对数量而言,这已经是很多了。各大互联网巨头已做出官方声明,将从2016年1月26日(火狐浏览器44)到2月末(Chrome浏览器)逐步停止对RC4加密的技术支持。 微软还计划于明年初禁用RC4(针对Internet Explorer和Microsoft

确保’偷情’安全:万不要让自己的”风流事”外泄到互联网上

黑客将私人用户数据发布到黑暗网络可谓将Ashley Madison网站丑闻事件又一次推到了风口浪尖。据传已有两名用户因个人资料外泄自杀,整个事态已愈发显得棘手。尽管我们大可对那些偷情者受到应有惩罚而欢呼雀跃,但没有人有权剥夺个人的隐私权。 无论你是谁—是隐瞒自己外遇的政府官员、登陆偷情网站的体面人或是为另一半购买情趣用品且思想自由的夫妻配偶—都有权保护自己的隐私。以下是我们精心准备的如何下次让自己’偷情’不被发现的6个简单步骤。 1. 千万不要使用自己的常用邮箱或企业邮箱地址。一旦个人数据遭泄露的话,你的同事将会在偷情用户邮箱清单中找到你的邮箱而感到吃惊不已。如果你有一份公职,一向喜欢刨根问底的”网络呆子”绝对会认真浏览这些外泄数据并公布自己的发现—正如他们对Ashley Madison网站所做的。 2. 如果可能的话,尽量用现金或礼品卡(事先用现金购买)付款,如此可确保商家不会记录你的名字和地址,从而隐匿自己的身份。或者,你还可以使用一次性虚拟卡来保护自己的信用卡账户免于黑客的攻击。 3. 不建议将网站上的个人资料与自己的Facebook和/或Instagram账户相关联。这主要是为了防范网络窃贼和骗子。人们喜欢在度假时发布自己的动态更新,比如:在机场办理登记手续或发布新买的珠宝首饰和小玩意的照片。这样做无异于邀请小偷到自己家里来光顾,或邀请骗子外出约会。是时候该考虑进一步强化自己Facebook的隐私设置? 4. 如果你需要超强隐私的话,千万不要使用自己的真名。不要用真名或干脆用绰号。一旦用了自己真实的姓和照片,任何人都能在Facebook上轻松找到你的个人资料。或者LinkedIn。你可以保护自己Facebook个人资料的隐私,但LinkedIn用户却可能无法这么做。 5. 千万不要在偷情网站上相信任何人。你以为对方是性感的金发女郎,但很可能是由满脸胡渣的无聊男人假扮的或干脆就是个程序。你是否还记得Ashley Madison网站实际女性用户的数量?该网站宣称有3700万名注册用户,但其中大约只有12000个活跃账户属于真正的女性。而剩下的所谓女性账户,事实证明不是男性假扮就干脆是程序操控。 6. 许多公司都不遗余力地想从你的浏览器中搜寻你的个人数据,包括:搜索历史、所在位置以及其他私人信息。而且他们从未经过你的允许。想要阻止他们的’恶劣行为’?最好的方法是依靠专业的解决方案。当然,卡巴斯基安全软件专为您的需求而量身定制,其”隐私浏览”功能可确保在未经你允许的情况下,不会将你的个人数据留在所用设备内。 不幸的是,大多数交友网站、情趣商店和其它”偷腥”网络资源的安全保护能力实在不敢恭维。如果这些网站无法提供安全保障的话,那我们只有自己多一份心—或者只能为自己的轻率行为而懊悔不已。

关于互联网安全的6条简单规则:老少皆宜

如今,家长们愈来愈关注孩子在互联网上的一举一动。因为他们清楚知道互联网上危险重重,不仅”居住”着各色各样奇怪的人群,同时一个疏忽就可能感染恶意病毒;他们害怕因为你的天真无邪而受到伤害,更为你可能遭受严重的网络欺凌而忧心忡忡。当然,有时候他们可能为此而对你严加管束,但这依然是你不得不自己应对的问题。 你是否有着这样一个强势的爸爸或妈妈,无论对你的日常生活还是网上的一举一动都想了如指掌呢?但天底下大多数父母何不都是如此呢,这是他们对你表达关爱的一种方式。如果你想像普通成年人那样获得更多自由:向你的父母展现你是一个有成熟思想并能做正确决定的人。 同时你自己也将能获益匪浅。确保自己网络游戏和社交网站账号的安全难道不高兴吗?正如我们之前曾多次提到的,网络犯罪分子无时不刻地想要掌控你的Facebook主页、让你的智能手机感染病毒以及盗走你的网游账号。 这些网络犯罪分子对于受害人的身份并不关心—无论是你还是你年迈的爷爷对他们而言并无区别—但问题关键在于你的游戏货币一定比你爷爷要多得多。这也是为什么你需要了解如何确保自己的PC电脑免于木马病毒侵扰的原因所在。其中一些编写的唯一目的就是监视你的网上行为随即收集你的密码和其他重要数据。 密码是大多数家庭用户安全意识中的薄弱一环。人们在设置密码时往往相当随意,比如选择类似’12345’或’qwerty’这样不可靠的数字字符组合作为密码;或者将密码记录在word文档内并保存在硬盘中;又或者通过在线聊天与自己的朋友分享这类敏感信息…难道还要我们再次重申在互联网上这种过于天真的行为是完全不可取的? 你是否曾在马路上告诉陌生人你将要去哪儿,你早饭吃了什么或者你朋友住哪儿之类的问题?估计是没有过。那到了互联网上为什么就会犯这样愚蠢的错误呢。如果你未能在社交网站的个人主页上正确设置隐私,那不法分子完全能通过彻底浏览你Facebook和Instagram账户来轻松获取一些关键的信息。因此保护个人隐私至关重要! 网络犯罪分子对于如何通过黑客入侵你的智能手机来赚取不义之财可谓驾轻就熟。实际上,他们就是以此为生的。通过让你的手机自动拨出收费电话或订阅毫无必要的短信服务都会造成账户莫名扣费—这些都是不法分子赚取不义之财再普通不过的方法。因此你需要对像PC电脑那样对自己的手机采取全面保护措施。 网络欺凌是互联网上的另一个严重问题。有时,人们在互联网展现出的残暴一面往往让青少年整日惶恐,担惊受怕。一味地寻求正义只会让自己陷入无止境的互联网争吵,最终只会对自己造成伤害。将自己宝贵的时间和/或精力浪费在这些人身份并不值得—而应该将时间和精力放在那些对你真正重要的人和事情身上。当遇到无法解决的问题时,不妨看看这些应对技巧。 记住每个人都会说谎,而互联网的匿名性恰恰又助长了这一人类的天性。因此千万不要相信相信那些将个人主页装扮得近乎完美并声称自己过着理想生活的 ‘俊男靓女’—很有可能他们都在说谎。我们都有着自己的偏见,时常也会犯些错误并独自忍受。有时,我们甚至为了一些很小的琐事而撒谎。因此互联网上的人和事并非像表面看上去的那般光鲜亮丽。 现在你已经完成了我们的”网络安全指导课程”,是时候再一次踏上”互联网旅程”了。我们衷心祝愿你一路顺风!最后同样重要的是—记住每次你遇到可疑情况时,都可以咨询自己的父母或在下面评论栏内提出你的问题,我们非常乐意为你解决。

《安全周报》35期:聚焦企业互联网安全

信息安全新闻行业(如果有这么一个行业的话)尽管与假新闻遍地的类似《名利场》杂志这样的媒体不同,但也同样总是急不可耐地想着挖到独家新闻。比如,看似平淡无奇的PNG图片漏洞就荣膺去年Threatpost最受欢迎的新闻之一。这甚至都算不上什么安全漏洞,充其量只是在图片元数据内隐藏恶意代码的一种方法。那这为什么能成为热门新闻呢?有些人(绝对不是我们!)故意想在人群中制造”恐慌”:就算是你在线看图片可能让PC电脑感染病毒!!111′。 当然,一旦发现能让网络犯罪分子感染数百万台计算机的特大安全漏洞,我绝对会大肆报道一番,但问题是这样的特大安全事件似乎已变得”可遇不可求”了。从Slammer蠕虫病毒“横空出世”到现在已经过去好多年了:当年,这一狡猾且极小的恶意软件能在短短30分钟内让安装了Windows XP系统的PC电脑感染病毒,唯一条件是电脑联网。 就目前的软件而言,不太会轻易感染病毒。那如果真的又出现如此危害巨大的病毒又该怎么办呢?比如让每个人都心存恐惧、胆战心惊并转而寄希望于新一代PC电脑/手机/冰箱安全技术的病毒,或者如一些充满邪恶想法的疯子所愿,其巨大破坏力让所有电子设备或家用电器变成毫无用处的塑料/金属/废铜烂铁。到时整个世界将陷入瘫痪之中!妈妈咪呀!圣母玛利亚!我们不得不重新回到石器时代,只能用纸和笔来存储和分享信息! 人们更愿意相信信息安全疏漏将导致世界末日—比如整个物联网陷入崩溃—但事实上这不太可能真的发生。尽管人们似乎都在等待”末日大爆炸”的发生,但我们可能忽略了一些严重但又实际存在的互联网缺陷,一些不法分子很可能会利用这些缺陷”大干一场”,而善良的用户也将不得不蒙受损失。这些都是目前问题显著的安全漏洞—一如往常。 在今天的信息安全新闻摘要中,我们将一如既往地带来有关常规漏洞的是三个新闻案例,其共同的特点是都遭到大规模的严重漏洞利用。这里我再次重申《安全周报》的编辑原则:每周Threatpost的团队都会精心摘选三条当周要闻,并加上我自己独到的见解。往期的内容可以在这里找到。 遭黑客入侵的WordPress网站成为Neutrino漏洞利用工具包的传播来源 新闻。ZScaler研究。 这条新闻应分成两个部分。第一部分是数千基于WordPress引擎的博客和网站存在高危漏洞。第二部分内容则包括:黑客实施漏洞利用的方法、黑客用来感染用户PC电脑的恶意软件以及他们黑客入侵方案中的敛财手段。 首先简要介绍一下WordPress。该平台类似于一种基于网络的Windows系统。这也是一种相当流行的带各种插件系统的网络引擎,从设计伊始就受到了网络犯罪分子的高度关注。你只需浏览一下今年报道的相关新闻(并非全部): 在插件内发现零日漏洞。 在随机(并不完全是)数字发生器内发现缺陷,理论上能计算出密码更改过程中用到的令牌。 在插件内发现SQL inject安全漏洞。 在插件内再次发现SQL inject安全漏洞。 在插件内发现XSS漏洞。 WordPress本身存在零日漏洞,通过评论栏实施JavaScript注入攻击。4.2.1版本提供相关修复补丁。 在两个插件内发现漏洞。 在WordPress本身发现XSS漏洞,2.3版本提供相关修复补丁。 在三个插件内发现漏洞。 大致情况就是这样。Zscaler研究人员发现了针对缺乏安全保护措施的WordPress网站(4.2及以下版本)的大规模攻击。顺便提一下,4.2版本刚刚在今年4月才发布不久,这让人们不禁对那些至少一年以上未能升级网站的用户产生担忧。在成功黑客入侵网站后,这些不法分子会注入iframe木马,随后设置微分子漏洞利用工具包并利用恶意软件感染PC电脑。到目前为止,已有超过2500个网站受到影响,尽管与整个互联网的网站数量相比微不足道,但足以让数万用户苦不堪言。 再进一步说,漏洞利用工具包利用了存在于Adobe Flash内的bug,该bug同样是由Hacking Team在那次臭名昭著的网络攻击事件中泄露的。在受害人机器上得到执行代码的能力后,网络攻击者随即部署了Cryptowall锁–一种已在互联网上出售长达一年之久的勒索软件,受害人需要支付超过500美元的赎金才能得到解密密钥。 你的所有文件现在都归我们了。如需了解更多有关勒索软件的信息,请查看这里。 想象一下你拥有一家小型企业,大概在几年前你从一家第三方提供商够购买了一个”交钥匙”网站,至于网站运行所用的引擎类型你完全一无所知。相比在雅虎横幅广告内偷偷植入恶意代码这类的大规模攻击,此次攻击规模相对较小,但仅有的数百个受病毒感染的网站依然为不法分子创收了数百万美元(或者说损失,这取决于你站在哪一方)。 从安全角度看,此次网络攻击并无特别之处。这看起来就好像一系列小事件的串联:在一个网站引擎(或内部插件)发现许多漏洞;一些人负责不断黑客入侵这些网站并部署漏洞利用工具包;一些人则使用从运行存在问题的业务交易漏洞的公司获得的数据编写这些漏洞利用工具包,而公司最终将无法保护自己的’商业秘密’。 一些人负责制作过时的Flash动画,而另一些人则负责收取那些因无法打开自己文件而绝望的人支付的赎金。分开来看,每一个步骤都没什么太大难度,但将所有这些步骤整合一起的话可以说是’异常恐怖’。 让人好奇的是,安全研究人员很早以前就注意到了Neutrino流量的飙升,甚至赶上其竞争对手—Angler,但当时并未就这一原因给出特别解释。除了分赃外,这些网络犯罪活动背后的不法分子似乎也对谁才是老板产生了不小的争论。

五大认证方式:确保你的私人照片安全无忧

是否还记得去年闹得纷纷扬扬的好莱坞艳照门事件 – 一些好莱坞女星的裸照被公开放到互联网上?这一事件不仅让一些人整日惶惶恐恐,但同时也是一个极具教育意义的安全例子。 比如,这一事件让许多人意识到将他们宠物的名字作为密码并非最安全的选择;双因素认证对于IT极客而言并非牢不可破,对于任何一名普通iPhone用户而言也同样赢弱不堪。 去年的好莱坞艳照门事件的确闹出了很大动静,这些从苹果iCloud服务(使用苹果设备上传照片拷贝)外泄的照片全部被黑客保存了起来。当时这些黑客通过将网络钓鱼和暴力破解结合使用,只采用了最简单的一种破解方法就成功攻破了该项网络服务。为了弥补这一漏洞和从保护用户的考虑,苹果对iCloud启用了双因素认证(或称为”2FA”)并要求用户每次上传照片至iCloud时都使用这一认证方法。 然而,无论是iCloud,还是Gmail、Facebook和许多其他网络服务,2FA依然是可选项,而非强制选项。因此大多数人选择跳过这一步骤,原因是许多人为了节省时间而且认为使用起来过于繁琐。 然而,就算你不是Kim Kardashia或Kate Upton(时尚名媛和模特),你也会很容易丢失自己电邮或社交媒体上的个人资料。最后造成的结果很可能是灾难性的,尤其是你在网络公司上班的话。 两把锁更安全 大多数人认为双因素认证就是系统向手机发送的一次性短信密码。没错,这的确是网络服务最常用的一种2FA方法,但却并非是唯一的方法。 一般来说,2FA就好比一扇装有两把锁的门。其中一把锁是传统的登录密码组合,另一把可以是任何形式的内容。此外,如果你觉得两把锁还不够的话,只要你喜欢,想装多少把都可以,但开门的时间会变得更长,因此最好还是先安装至少两把锁。 通过短信发送的密码是一种容易理解且相对可靠的认证方式,但却并非总是使用方便。每次访问网络服务时,你都需要将手机握在手里,随后等待短信发到手机,最后输入短信内的验证码… 一旦你输错或输入太迟的话,就必须重复之前的操作。但如果服务运营商网络出现拥堵的话,那短信接收很可能会延迟。就我个人而言,这的确很烦人。 如果手机信号未能覆盖手机的话(在旅途中时常会发生),你根本就收不到验证码。而一旦你手机不幸丢失,而你当时又无法利用其他通讯工具的话,这就更加让人沮丧了。 为避免上述情况的发生,许多像Facebook和Google这样的网络服务提供商采用了其他的方法。例如,他们提供一长串你能预先编译的一次性密钥,打印出并保存在某个安全地方。 此外,使用通过短信发送一次性验证码的2FA不一定每次都能成功,而且一旦使用其他未知设备登录的话也同样可能失败。无论使用哪种方法,决定权都在你自己手上,还需要看你的偏执程度了。所有绑定你账号的应用程序(例如:电邮客户端)都可以使用这一方法。一旦使用特殊生成的密码,其安全性可以长久得到保障。 那么,除非你每天都要换不同手机登录网络服务,启用短信验证码的2FA依然不失为一种较为方便的认证方法。只需成功设置,通常来说都能正常使用。 通过智能手机上确认身份 如果你需要经常出差旅行,使用专门的应用程序不失为一种更智能的启用2FA方式。与短信验证不同的是,这一认证方法可以离线使用。一次性密码不再由服务器生成而是智能手机(当然,首次使用需要在联网条件下设置)。 尽管市面上有许多验证应用,但Google Authenticator绝对可以堪称行业标准。除了Gmail以外,这一程序还支持像Facebook、Tumblr、Dropbox、vk.com和WordPress这样的网络服务。 如果你更钟情于拥有多种功能的应用,可以试试Twilio Authy。尽管与Google Authenticator相似,但却拥有不少其他有用的功能选项。 首先,该应用允许你将证书保存到云和复制到其它设备(智能手机、PC电脑、平板电脑以及包括Apple Watch在内的其他平台)。即使某个设备被盗的话,你也依然可以控制自己的账户。该应用每次启动时都需要输入PIN码,如果你的设备不幸感染病毒的话,密钥也可以被撤销。 其次,与Google Authenticator不同的是,一旦你使用新设备的话,Twilio Authy还会让你的生活变得更加轻松。 单密钥认证

黑客题材小说:续写Lisbeth Salander的传奇故事

在我们的印象中,电影中常常会出现这样的黑客入侵计算机的场景– “黑客”往往外形超酷性感,随身装备5个监视器,且使用的是观众从未见过的超炫幻彩黑客工具。此外,这些电影中的黑客使用各种你从未听过的奇特入侵方法,能够轻松潜入任何的系统/网络/防火墙。 对于我们这种有些专业技术背景的人来说,这样的电影场景毫无真实性可言。 在加入卡巴斯基实验室之前,我的工作是黑客入侵公司系统和网络,当然是应客户的要求同时也完全合法。说的具体点,我曾经是一名”黑客”,专门负责发现安全漏洞和问题,而网络攻击者往往会利用这些漏洞问题让公司的数据库和系感染病毒,继而掌控整个公司网络。我们工作的大部分时间都是紧盯一台显示白色文本的黑色终端机。而这也是现实中黑客入侵的真实场景。 除了对真实黑客入侵场景飞马行空的想象以外,整个电影行业以及许多科幻小说家在理解真实黑客入侵过程时也同样存在一个问题。但有些人可能会争辩解道,在找到并对存在漏洞的系统进行漏洞利用时,各种你想不到的黑客方法和工具都有可能用到。 有一天我接到了来自一个自称David Lagercrantz人的电话—坦白地说—我从未听过这个名字,但通过Google搜索发现他写过一些畅销小说。他告诉我他正在构思《千禧年》系列的第四部曲,很想向我请教有关黑客入侵方面的问题。 《千禧年》系列小说讲述的是计算机女黑客-Lisbeth Salander的传奇故事。《千禧年》前三部曲的作者是瑞典作家Stieg Larsson,这三部曲分别是:《龙纹身的女孩》、《玩火的女孩》和《直捣蜂窝的女孩》。 Lagercrantz正在创作和构思《千禧年》系列的第四部曲:《蜘蛛网中的女孩》,并想尝试一些不同的元素。他想知道现实中的黑客到底是如何病毒感染系统,并想在新书中加入一部分真实的情节。我的任务则是帮助他了解有关真实黑客入侵的一切信息以及木马、病毒、漏洞利用和后门等专业术语之间的区别。我还试图向David解释黑客入侵是一个相当繁琐的过程;需要大量的前期研究和计算工作。 我们的第一次见面是在斯德哥尔摩一家酒店的餐厅里,我们详细谈论了有关通过漏洞利用远程访问计算机系统的不同方法。谈话的内容从薄弱密码保护到软件漏洞和社交网络工程无所不包。 在我们的谈话期间,不止一次有女士走到我们面前,询问我们谈得如何以及谈的内容,而我们也都很想知道这到底是什么回事。最终我们发现原来我们谈话的餐厅恰巧同时在办相亲会。为此,我们不得不决定改用电话和电邮交流。 即使缺乏专业技术背景的人也应该能理解新书中涉及黑客入侵的大部分内容。David对此有着严格的要求;我们非常想让真实的黑客入侵情节出现在新书中。而摆在Lagercrantz面前另一个难题是他想写的某些网络攻击案例在现实中极难成功,比如破解某些加密方法。在经过几次电话讨论后,我们认为完全能够将一些紧张刺激的黑客入侵情节加入到这本新书中。 到目前为止我还没有读到这本书,但我对此相当期待。David的的确确在了解真实的黑客入侵上花了不少时间,而不是天马行空地写一些他完全不了解的东西,这一点的确令人欣慰。我也非常自豪能有机会能作为David新书的技术指导,提供黑客入侵技术细节方面的建议。读这样一本真实描写黑客入侵技术和方法的书一定非常有趣。

黑客入侵飞机:是否真有其事?

“机上安全”问题从今年夏天开始就占据了各大媒体的头版头条,但在这里,我想换个角度讨论。一直以来,航空行业始终致力于飞行安全,且长久占据’最安全行业’的头把交椅。然而,我们所讨论的是另一种’安全’—这不仅让普通乘客大吃一惊,同时也是IT专家相当期待的话题。 众所周知,如今的民航飞机都好似一台巨型计算机,飞行员不再是一名飞行技术熟练的’王牌飞行员’,更多的是扮演计算机操作员的角色—唯一的任务就是监控智能机器。定向飞行员和仪表盘操作员已不复存在,取而代之的是计算机系统。 事实证明机上的计算机系统与普通计算机并无二异,同样容易遭受黑客入侵。黑客攻击飞机计算机很可能会带来灾难性的后果:你完全可以想象恐怖分子不再需要劫持乘客作为人质,或闯入驾驶舱改变飞机航线。他们只需一部笔记本电脑就能实现毁灭飞机的目的。 在美国政府问责办公室公布的机上Wi-Fi安全报告中,提到了今年春天曾出现过的’恐慌潮’。航空业、网络安全和政府问责办公室之间的关系依然不明,而一些媒体却充分发挥想象,绘声绘色编写一个又一个”恐怖故事”:根据目前的大量披露信息,恐怖分子现在只需悠然自得地坐在自家院子里,用一台笔记本电脑就能让目标飞机降落到院子所在地。 显然没人有耐心读完整篇报告:飞行恐惧症患者则更愿意相信飞机是世界上最危险的交通工具。此外,该篇报告内容也相当枯燥:用了极大篇幅反复宣称由于飞机上是通过Wi-Fi和卫星连接互联网,因此是时候航空业该对这一联网通道采取安全保护措施。 由于非加密802.11网络本身就存在不安全性,而且又作为本地网络使用(就像你家里或办公室用的网络),因此一旦有不法分子成功登陆后,就能对联网的其它设备进行黑客入侵。尽管通过机上Wi-Fi访问飞行管理系统依然存在理论上的可能,但到目前为止还没有黑客有成功过。 显然人们非常渴望航空领域能有权威航空安全研究专家的出现,但有时却是一种’奢侈’。专门研究飞机安全的研究人员Chris Roberts乘坐联合航空的航班时在推特上开了个玩笑:”我现在在737/800航班上,让我们来看看Box-IFE-ICE-SATCOM,?我们恶搞一下EICAS信息吧?试试给别人”输氧”?:)” 结果,飞机在到达机场着陆后,随即有几个陌生人要求Roberts紧跟在他们身后,并将他带入一间灯光昏暗的小房间内,最后证明这些人是FBI探员。FBI盘问了他好几个小时,并没收了他的笔记本电脑和平板电脑。联合航空公司也取消了他的回程机票。 推特上的一个玩笑引发了有关部门对Roberts的注意:但事实上,他研究机上系统安全已有数年的时间,但从未受到任何航空公司的特别关注。 在盘问过程中,Roberts承认自己试图控制飞行管理系统,尽管时间很短,但却有能力改变飞行的方向。此外,他还透露了’黑客入侵’的细节内容:通过自定义适配器连接机上娱乐系统总线,借此对飞行管理系统进行篡改。 尽管该名”黑客”承认自己黑客入侵了飞行管理系统,但没有任何证据表明他的确曾设法劫持该系统的控制权。在乘客多媒体显示屏显示的地图上画一条不同的航线与真正更改航线完全是两码事。而一旦飞行航线真的被更改,飞行员和调度员不可能不会注意到,事后一定会进行非常严肃的调查。 一家俄罗斯安全公司Digital Security在5年的时间里对30家航空公司总计500架航班进行了研究,发现这些飞机中的确存在安全漏洞,而一些黑客也曾尝试过进行漏洞利用以寻找黑客入侵的可能性。简要概括来说,飞机的IT系统内的确存在不法分子感兴趣的’入侵切入点’: 飞行管理系统 旨在方便系统之间通讯的另一个网域的路由器,例如:卫星通信服务器- SATCOM 多媒体服务器 终端多媒体设备 多媒体设备是较为容易攻击的目标,通常安装在乘客面前的座位上。一旦该设备遭受攻击,黑客就能潜入操作系统内并借此感染其它系统。 有多种方式可执行此类攻击。黑客可以利用存在漏洞的USB端口插入键盘模拟器,这样就能向系统发送命令。或者,举例来说,还能使用拇指驱动器来利用多媒体播放软件内的漏洞。 在有些飞机上,除了USB端口外还另外设有RJ-45端口,笔记本电脑后连接可以使用更多的黑客工具。高级黑客不仅能掌控整个机上多媒体系统,还能控制多媒体服务器,尽管难度很高但依然可行。 主要的问题是:有些飞机上的RJ-45端口标有”仅供私人使用”的字样。因此一旦黑客通过这一端口联网,则有可能访问关键系统元件。但目前没有任何证据表明此类网络攻击能触及飞行管理系统。 同时,软件bug也可能造成飞机故障。就在最近,一架空客货运飞机在起飞时4台发动机中的3台发生了故障,原因是不正确的软件更新导致校准数据丢失,并最终导致飞机坠毁。 由于程序员没有考虑到为此类故障设置警报,这直接造成事故的发生。他们甚至没有想到这些配置文件会出问题:因为通常认为软件更新会检查配置文件是否完整。 由于这一缺陷导致传感器数据无法正确读取,使得主机认为受影响的发动机出现故障因此关闭–软件开发者并未考虑两台以上发动机同时发生故障的情况:因为飞机就算只有两台发动机运行也能继续飞行,也能成功实施紧急降落。 在波音飞机中也发现了bug:波音787″梦幻客机”在飞行过程中机上电力设备可能会被全部关闭:如果机上全部4个电力发动机同时启动并不间断运行248天的话,就会转入紧急模式而全部关闭,从而导致飞机上断电。 故障的原因很简单:内部计时器的堆栈溢出。尽管可以理解此类巧合在现实中几乎不可能发生,但却暗示着现代飞机都是由计算机操控,且与其他计算机(包括你的台式机)并无法差异,同样易受到漏洞的影响。因此如果哪一天你看到Kaspersky Inflight Security(卡巴斯基机上安全软件)推出市场,千万不要觉得惊讶。

《安全周报》34期:修复补丁,补之不易

我的朋友们,我想说的过去一周对于安全信息行业简直是噩梦一般。如果说上一周我们只是发现了些有趣的bug、零日漏洞以及安全研究专家寻找已久的漏洞的话,那本周真正的灾难才刚刚降临:网络犯罪分子已利用所有这些缺陷渗透进了存在漏洞的软件。尽管这些内容相当重要,但人们对这样的新闻或多或少已有些厌倦。每一次,我们的新闻博客-Threatpost都会带来安全信息领域新鲜热辣的新闻,同时还会在其中精选三篇有关安全补丁修复的文章,而文章摘选工作远比你们想象的要难得多。 不管怎么样,这些内容都相当重要!找到一个漏洞需要花费不少的时间和精力,但更难的是在没有遭受黑客攻击之前就将其修复。软件开发者可以找出千万种不立即(或当季度或无限期)对特定bug修复的理由。但问题最终总是要解决的。 在本周最热门的三个新闻故事中,无一例外其中所含的bug均还未能修复。这里我再次重申《安全周报》的编辑原则:每周Threatpost的团队都会精心摘选三条当周要闻,并加上我自己独到的见解。往期的内容可以在这里找到。 另一个存在于Google Admin内的安卓系统bug Threatpost新闻故事。MWR实验室研究。 我们发现了哪些漏洞? 你是否注意到最近有关bug的新闻纷涌而至?哎,难道只是一辆车遭到黑客入侵?我们在许多车内都发现了数十种安全漏洞!同时,在有关安卓的最新新闻中,我们也很容易注意到同样的情况。首先是Stagefright漏洞,然后是一些稍小的bug,现在则轮到了Google Admin,即通过该工具绕过沙盒。 作为安卓系统级的应用程序之一,Google Admin可以接受来自其他应用的URL地址,而且事实证明,该工具可以接受所有URL地址,甚至是以’file://’开头的路径。结果是,具有网页下载功能的简单联网工具开始向类似整体文件管理器演变。是否因此所有安卓应用就可以相互隔离呢?当然不是,Google Admin只是拥有更高的权限,一旦不幸读取某些流氓URL地址,任何应用都能绕过沙盒访问私人数据。 漏洞是如何修复的? 首先,请容许我简要介绍该独立研究和漏洞披露的整个过程。这一漏洞是在三月份被发现,随后相应的报告即提交给了Google。大约5个月后,当研究专家再度检查Google Admin的安全状况时,发现这个bug依然还未修复。8月13日,有关这一bug的信息被公开披露,目的是敦促Google尽快发布相关补丁。 顺便提一下,Google拥有一支内部研究团队,任务是花费大量时间和精力到处寻找bug,且不仅限于Google自行研发的软件。Google的Project Zero项目小组通常在将找到的bug公诸于众前,给予软件开发者90天的时间修复漏洞,但我们依然对Google能否在90天内成功修复漏洞持怀疑态度。 Google Admin工具在有些方面的确很糟糕:首先,有些方面确实糟糕;其次,我们都知道未必所有存在漏洞的安卓设备上都能修复漏洞。你是在说月度安全更新?那如果是长达半年的漏洞修复过程又如何呢?看!看! 施耐德电气SCADA系统内发现开放式漏洞 Threatpost新闻故事。ICS-CERT报告。 欢迎来到重要基础设施的奇妙世界!请坐好,不必拘束,但千万不要碰可怕的红色开关,也不要摸那些莫名突出在外的电线。没错,它们本来就突在外面。这没什么问题。多年以来一直就这样。你一碰的话,我们就全完蛋了。 SCADA(监控与数据采集)系统作为重要基础设施的一部分,负责像锅炉(主要位于公寓大楼甚至核电站内)这样重要设备的操作和运行。此类系统无法进行篡改、关闭或重启。千万不要在这一系统上修改任何参数,说得简单点,不要碰任何东西! 如果你有任何问题的话,千万不要自己去冒险尝试,最好读一读我们这一主题的文章。同时,我们还必须承认,尽管这些系统的重要性不言而喻,但却常常部署在运行老版本Windows系统的PC电脑上。与一般企业不同的是,重要基础设施通常至少过5年后才会升级或更换所用的硬件和软件,有些工业设施机器人或离心机为了将一些致命化学品分离,可能会数十年不停歇地使用同一个硬件运行。 我们发现了哪些漏洞? 安全研究专家们在其中一个系统内—施耐德电气Modicon M340(多么浪漫的名字!)的PLC站内发现了大量bug。简而言之,这一连串漏洞将能让非工作人员完全掌控系统…基本上来说,可通过系统调节所有参数。其中还找到一个相当普遍的漏洞(顺便说下,该漏洞常常出现在许多路由器和物联网设备内),我们称之为硬编码器凭证。 关于工业SCADA系统内到底对哪些程序进行了硬编码,目前依然未知(尽管理由很明显),但我们完全可以做大胆的假设:这是一个由供应商提供的为简化维护程序而提供的默认登录凭证,或者是供应商可能只是忘了从编码中挑一个测试密码。或者你自己也可以想个理由出来。 漏洞是如何修复的? 根本就没有得到修复。从安全研究专家Aditya

大数据令人恐惧的一面

滥用大数据将会让你最可怕的梦魇成真,除此之外,等待着你的还将是永无止境的政府监控、保险代理的”独裁”以及老板的”专制”。不管你喜欢与否,潘多拉盒已经打开—我们也已进入了数字监控时代。 保护你冰箱的隐私 保险代理会购买你的信用卡记录。他想知道你是否经常吃快餐、订阅了哪些杂志以及买过哪些处方药。 分析人员也需要通过你的购物行为来评估你是否是拥有良好理财习惯的客户。那些喜欢吃炸薯条的”问题”客户,他们的人寿保险费率很可能会提高,甚至还可能被保险公司拒之门外。因此如果你想保护’冰箱习惯’隐私的话,可以考虑用现金购买食品。 社交网络账号也是另一个重要个人信息的来源,而这往往是用户自愿公布的。就这一点而言,Facebook健康文摘的忠实读者们似乎更容易受到保险公司的青眯,而那些热衷于前往Buffalo Wild Wings就餐的单身汉将可能成为保险公司的弃儿。因此,正确配置Facebook的隐私设置不失为一个好主意 。 与银行间的亲密关系… 银行同样乐意加入保险公司的行列以获取个人数据。你想贷款吗?银行通过对客户消费行为分析,了解他们的消费倾向:是将钱肆意挥霍在度假中还是更愿意用来购买高档品牌。银行想要了解你的程度胜过你的老妈。 银行向客户”强加的关系”可能会导致实实在在的财务后果:一旦银行认定你有花费超支的倾向,就可能会提高你的贷款利率。被归入’不可靠’清单的客户可能从未从银行贷款或享受过类似的服务,原因很简单,银行也从未向他们发过任何贷款产品的广告。 令人遗憾的是,由于银行拒绝向那些’默认’不可能获得贷款服务的客户放贷,银行此举也进一步加剧了贫富差距。 大数据下的职场生涯:美梦还是噩梦? 你可能正在遭受老板的监视:有一种软件可以让你的老板知道你是否有离职的打算,有时甚至连你都不知道自己有这个打算。此类程序能够预测哪些员工最有可能超预算消费。除此之外,数据分析还能找出那些拥有三个或以上社交网站账号以及使用默认浏览器更频繁地换工作的人(还有其它许多类似的观察数值)。 尽管整个理念听上去有些毛骨悚然,但有些公司的确已开始使用大数据做一些雇佣和晋升方面的决策。至于能预测你未来决定的软件—是不是有点像《少数派报告》中开头的场景? 此类程序标榜不含任何人类的偏见;但的的确确又是由人编写的。人类,本来就是存在偏见又容易犯错的生物。此前,就曾发生过因此类程序发出错误指示而拒绝优秀应聘者的案例。 小心,大数据下的营销! 营销领域在使用数据挖掘技术时同样难免出现错误。前几年,营销领域的一些失误常见于各大新闻报刊,因此也大众所了解。 OfficeMax就曾犯了个大错,该公司在寄给一名客户优惠券的信封上竟然赫然印有寄给”Mike Seay,女儿在车祸中丧生”的字样。大约在一年前,这名客户年仅17岁的女儿和她的男朋友在一场车祸中不幸身亡。我们无法确定的是,公司在客户个人资料中保存这一敏感个人信息的目的到底是什么。 名声不佳的Target营销活动让人们不禁展开对”营销与个人隐私”话题的讨论,事情的起因是大型零售商Target在一名少女告诉家人自己怀孕之前透露了这个消息。该公司因为向少女寄送婴儿床和衣服的优惠券,使得她的父亲(也是未来的外公)意外获知了这一消息。 在这个事件后,Target营销活动开始变得隐秘起来,并决定向客户寄送各种优惠券以掩饰他们的’无所不能的超能力’。 “我们发现只要怀孕女性觉得自己没有被暗中监视,就会使用这些优惠券。她只要确保在她居住街区的每个人都收到了相同的尿布和婴儿床优惠券。只要我们没有特意发给她,就不会有问题。” —Target向《福布斯》杂志说道。 是否’较隐晦’的暗中营销就比”明目张胆”来得更好呢?可能会有助于缓解你的紧张情绪,但在现实中要想隐藏通过精确数据挖掘得到的信息几乎不可能。普林斯顿大学副教授Janet Vertesi和她的男友曾试图隐藏自己怀孕的消息,但结果证明这并不容易。 他们在线浏览婴儿产品时只使用洋葱路由;他们还要求朋友和家人不要将自己怀孕的消息发布到Facebook和其它社交媒体平台上,并且尽可能只用现金购物。最后Vertesi在总结过去几个月自己为隐藏怀孕事实所做的一切时表示:”你必须得像毒贩一样暗中交易。”太可怕了! 保护客户数据…你在开玩笑吗? 所有这些贪婪的数据收集公司从而考虑过太多的安全问题。许多黑客可以不费吹灰之力就成功入侵这些系统。 有时这样的事件看上去非常愚蠢。到后来则是见怪不怪了。金融服务提供商Money

黑客入侵化工厂

物理网络安全研究专家Marina Krotofil和Jason Larsen在黑猫大会和DEF CON大会上均展示了他们对如何黑客入侵化工厂的研究–内容着实引人入胜。 黑客入侵化工厂并非是天方夜谭。既然黑客已能成功入侵浓缩铀设施、智能阻击枪或同时入侵数千辆Jeep汽车,那黑客入侵化工厂又有何不可能呢。世界上现在已经没有什么东西不可以入侵的,难道说化工厂就能成为例外吗? 而真正有趣的是:在Krotofil的展示中,她深入地探讨了黑客在成功掌控化工厂的计算机网络后,可以做的以及应该做的事情。这里引出了该项究的第一个结论:黑客入侵导致的后果并不一定是明显的。 黑客可以对已遭入侵和控制的化工厂进行多种方式的漏洞利用。其中只有一种真正容易被发现:就是黑客让工厂的正常生产陷入瘫痪,其后果显而易见。 而更巧妙的入侵方法是:小心翼翼地对化工工艺进行调整,进而让目标工厂利润降低的同时失去市场竞争力。例如,黑客可以通过微调化工工艺来降低产品质量和/或等级。对于化学品而言,最重要的参数无疑是化学纯度。 例如,纯度98%的对乙酰氨基酚成本仅为1欧元/公斤(约合1.11美元)。而纯度达到100%的对乙酰氨基酚,其成本竟高达8000欧元/公斤。显然,黑客完全可以将降低化学品纯度作为首要攻击目标,进而从目标工厂老板的竞争对手那儿获得”丰厚报酬”。 来自Positive Hack Days安全竞赛的”漏洞化工处理框架”工具 而针对物理网络系统的黑客入侵而言,想要进行漏洞利用并非易事,这正是该项研究的第二个结论。由于整个化工厂相当复杂,因此里面的许多物理和化工工艺相互依赖。就算你在这里更改了某个工艺,在其它地方也能产生同样的工艺过程。因此,要想达到自己的目的,你必须了解其中所有工艺的相互关系。 首先,你需要一名化工人员,确切地说是一名化工专家。其次,你需要建造自己的”化工厂”并进行实验。顺便提一下,在Stuxnet作者开发这一著名病毒的过程中,使用了几台真正的铀浓缩离心机。 如果你无法建造”化工厂”,那就需要创建一个软件模型然后在里面进行虚拟实验。此外,你还要明确到底要哪些设备和软件需要处理。令人意想不到的是,想要黑客入侵化工厂,网络黑客最倚靠的工具竟然是互联网,特定情况下还要用到社交网络:化工厂员工通常都会将一些与工作相关的内容发布上去。而他们发布最多的就是包含有用信息的真实屏幕截图。 就算你有真正的化工专家为你工作,并获取了所有必要信息和软件模型,这还是无法确保你一定能控制你想要的化工工艺。问题的关键在于化工厂在设计时考虑了网络安全性;例如,物理网络系统相比纯计算机系统而言,无法使用通用断工具。 这也是为什么你必须借助间接数据对参数进行调整。例如,你无法测量产品本身的纯度,因为工厂根本不需要这样的嵌入式工具,他们通常在产品生产出来以后进行测量。你需要借助温度或压力来估计纯度。因此,黑客入侵化工厂的难度并没有被高估。当然,如果你时间充裕且拥有丰富资源的话,没有什么是做不到的。 简单地说,一方面,黑客入侵复杂的物理网络系统的确很难。另一方面,一切皆有可能。而一旦化工厂不幸遭黑客入侵,其内部的复杂程度对于安全防护恰恰起到了相反的作用—化工厂因此而难以检测到恶意行为。 正如Kim Zetter在《Countdown to Zero Day》一书中谈到Stuxnet时所说的,设计这一蠕虫病毒的真正目的并非是为了破坏铀浓缩离心机,而是降低核燃料的’质量’。如果某个神通广大的人能有足够耐心而且不追求短时效果的话,恶意软件将难以被发现。

《安全周报》33期:无锁的门、存在漏洞的微软以及反汇编带来的烦恼

欢迎来到本期的《安全周报》。在首期《安全周报》中,我们介绍了有关自动开锁汽车、安卓长期存在的Stage Fright漏洞攻击以及我们将不再受到网络监视(事实上情况依然存在)的新闻故事。 在本篇博文中,两条看上去毫不相关的新闻却有着一个共同点:时而由磁阻引起的漏洞可以采取现有安全措施予以解决。第三个新闻故事并不完全与网络安全有关,而是更多关注业内各方关系的特殊案例。这三个新闻故事可以说是趣味横生、各有特色。 我想再提一下我们《安全周报》的编辑原则:Threatpost编者每周会精选三个在当周最吸引眼球的新闻故事,而我则会加上自己的辛辣点评。你可以在这里找到这些系列的所有事件背景。 黑客入侵酒店房门 Threatpost新闻故事。 人们总是说科学与艺术之间有着一条难以跨越的鸿沟,同时这两个领域的专家们也难以相互理解。还有一个根深蒂固的说法是人文主义知识分子无法变成一名科学家或工程师。 但这一传统观念却被一名受过正规音乐训练的音乐家John Wiegand打破。在上世纪30年代,他既是一名钢琴演奏家同时也是儿童合唱团的指挥,直到他对设计音频放大器产生了浓厚的兴趣。到了上世纪40年代,他专心致力于那个时代的新奇事物–磁带录音的研究。而到了1974年(当时已62岁),他终于有了重大发现。 这项发明被称为”韦根传感器”,磁钴铁和钒合金丝在经过适当处理后会发生变化,从而在软内芯周围形成硬外壳。外磁场可轻易磁化外壳并抵抗退磁,即使外磁场退回到零时也同样如此—这一特性被称为”更大的矫顽力”。软丝填充的行为则完全不同:直到外壳完全填充磁化后,软丝才会填充磁化。 一旦合金丝完全磁化,内芯则最终能够收集它自己一部分的磁化,同时内芯和外壳进行磁极转换。这一转换会产生巨大电压,可用于各种传感和监视应用,在现实生活中完全可以有效利用这一效应,比如:酒店房卡。 与现代感应卡不同的是,”1″和”0″的数字并非记录在芯片内,而是在特别布线的直接序列内。这样的密钥既无法重编程序,其基本设计方案也与现代感应交通卡或银行支付卡大相径庭,但与磁条卡却十分相似–只是后者更加安全可靠一些。 那我们是否就能淘汰感应卡呢?目前还为时尚早。韦根不仅将他发现的效应命名为”韦根效应”,同时也用自己的名字命名了一种目前来看早已过时的数据交换协议。这一通讯协议的各个方面都做得相当糟糕。首先,该通讯协议从未制定过任何适当的标准,而且有许多不同的格式。 其次,原卡的ID只有16位,因此可设置的卡号组合有限。第三,这些感应卡采用了电丝设计,且发明时间早于我们学会如何将”微型计算机”植入信用卡内的时间,因而限制了密钥长度(仅37位),但读卡时的安全可靠性却远远高于后来拥有更长密钥的感应卡。 就在刚刚落幕的黑帽大会上,研究专家Eric Evenchick和Mark Baseggio展示了他们用来拦截授权过程中(未加密)密钥序列的黑客装置。最有趣的细节是:由于信息是在数据从读卡器传输到门禁控制系统过程中遭窃取(也就是历史上韦根协议使用的环境),因而与卡本身毫无关系。 这个微型装置被称为BLEkey –其外形极小,需要嵌入读卡器内(比如:酒店客房门)才能起作用。研究专家们展示了整个过程只需几秒钟时间即可完成。之后一切就变得很简单。我们只需读取密钥,然后等房客离开后打开房门。或者我们根本不用等。或者我们根本就不用开门。如果将这一技术细节形象地描绘成”房门和读卡器/无线通讯之间对话”的话,可能就像这样: “谁在那儿?” “是我。” “请进吧!” 整个过程的确就是如此,只是当中有些细微差别。好吧,通常来说,并非所有的门禁系统都容易受到这样的攻击。即使是那些在这方面存漏洞的门禁系统,也可以受到安全保护而无需彻底更换。根据研究专家的说法,读卡器原本就内置有防范此类黑客入侵的安全保护措施,只是这些安全功能通常禁用。 有些甚至能支持公开监控设备协议,允许你对传输的密钥序列进行加密。这些”功能”并未被使用–我将不断反复强调的是– 制造商之所以忽视安全措施完全是为了降低成本和方便生产。 这里有一个2009年有关这一问题的研究,并附有技术细节。显然门卡(非读卡器)内的漏洞早在1992年就已发现,之后相关专家建议门卡应进行反汇编或使用X光检查。出于这一目的,比如必须将门卡从持卡人处取走。目前的解决方案则是硬币大小的微型装置。这正是我所称之为的科技进步! 微软与Immunity公司。微软公司与Windows Server Update Services之间纷繁复杂的故事。

互联网并不如表面看上去的那般美好

对于父母时常挂在嘴边的:”现在的孩子真是无药可救了。” 你一定不会感到高兴吧?就算你是家族有史以来最自律的孩子,我敢打赌你或多或少也曾从父母口中听到过这样的话。父母们之所以会有这样的抱怨,是因为现在的孩子常常毫无限度地使用父母的信用卡购买手机游戏的内置物品,或者从那些安装了木马病毒或其他恶意软件的不安全网站随意下载游戏或应用程序。 还是让我们直入主题:幼稚和天真并不是互联网的生存法则。一旦对在线安全知识有了一定了解,你就不会再将互联网想象成一个充满各种美好事物的”世外桃源”。互联网真实了反应了我们的现实世界,里面既有好人也有坏人。里面根本不存在”天使”,但却有许多不法分子潜伏在这个”法律难以管束”的地方,隐藏自己的真实身份从事各种不法活动,从而为自己谋利。 说了那么多,我们的目的并不是想要吓唬你或让你也在网上伪装自己。而是想让你自己和你的父母在互联网上多留一份心,尤其是他们通常忽视在线安全的情况下。可惜的是,有太多的家长对于基本的互联网安全准则熟视无睹,使用最薄弱的密码并常常落入众所周知的网络钓鱼圈套。但在网络安全方面你完全可以比父母做得更好,也完全可以教给他们一些基本的在线安全常识。 牢记:互联网上的每个人都可能在撒谎 你应该向父母解释这样的道理: 并不是每一个互联网用户都使用自己真实的身份。”厉害的程序员”很可能只是不会做作业的孩子。而”附近学校的女孩子”可能只是生活在遥远国度的一个满脸胡渣的无聊男人。Instagram个人主页内放有各种极具吸引力照片的”大人物”,很可能只是来自新墨西哥州El Armpito的失败者,他唯一擅长的就是从Google图片中搜索各种绚丽照片。 同样的情况也适用于网站。记住并不是每一个网站都安全可靠。有些网站出于某些原因会故意放一些虚假信息在上面。因此尽量通过多个信息来源核实事实,最好是知名且安全可靠的网站。一旦你觉得网站可疑,确保及时告知家长。 每个家庭都需要有个人能担负起网络安全重任。而你完全能成为那样的人。

隐私浏览:全新卡巴斯基实验室产品系列增强的隐私核心功能

在过去的几周时间里,你们应该已经看到了我们对”数字失忆”所进行的一系列研究。考虑到”数字失忆“带给我们的各种苦恼,你很可能已经将它选择性遗忘了。 好吧–我承认这不是个好的笑话。我只是实在忍不住想说。事情的真相是我们愈来愈依赖我们的数字设备来记忆重要信息。 卡巴斯基实验室团队对此了然于心,同样也知道我们的客户相当重视自己的隐私、个人数据、数字身份以及个人资金,同时他们也表达了对这些个人信息安全的担忧。因为没有人希望将自己的个人信息泄露给那些存心不良的网站或公司。 由于数据外泄及黑客入侵的事件几乎每天都在发生,因此互联网用户不仅需要安全感,同时还需要无论在使用何种设备进行各种在线活动(例如:升级社交网络、使用网银和在线购物)时,都能确保获得安全保护。 随着卡巴斯基安全软件和卡巴斯基全方位安全软件2016版的推出,我们团队在其中加入了全新功能以加强用户的隐私保护能力。这一功能被称为”隐私浏览“。 正如你所知,每日的互联网用户数据收集程度着实让人有些胆战心惊,同时也让我们许多人产生恐慌情绪。尽管事情本身令人愤怒,但其中主要的问题是:相对’善良的’网络服务所收集的数据是如何跑到那些”坏家伙们”手中的? 凭借全新的”隐私浏览”功能,卡巴斯基实验室用户不仅能防止设备上的个人数据外泄和在互联网上共享,同时一旦有网站请求获取你的个人数据时,还能收到相关报告。这一功能选项可作为Firefox、Chrome和Internet Explorer浏览器的插件使用。 我们相信,这一全新功能将使用户在上网冲浪时拥有更强的控制力和更佳的安全性。如往常一样,新版本的卡巴斯基实验室产品将不遗余力地阻止试图病毒感染用户设备的网络犯罪分子。 如果你对我们产品感兴趣的话,你可以直接从我们网站下载免费试用版,或购买完整版。标准套餐–1年期3个用户许可证–卡巴斯基安全软件售价79.99美元。卡巴斯基全方位安全软件的1年期5个用户许可证的售价则为99.99美元。  

《安全周报》32期:安卓Stagefright漏洞、全新汽车黑客入侵和”请勿追踪”2.0

仅仅在23年以前,微软只是刚刚发布了Windows 3.1系统,而苹果正推出其第一代PDA(掌上电脑),而Linus Torvalds则在GNU许可证下发布了Linux操作系统。在同一时期,尤金•卡巴斯基也出版了一本书,上面详细介绍了那个时代所有已知的计算机病毒以及清除病毒的方法,其中—这些病毒程序都被称为-V。当时的网络威胁并不是像现在那么严重:一本小册子就能覆盖当时所有病毒的介绍,甚至在随后的20年里情况也并未太过糟糕。 The Complete Сatalogue of Malware, written by Eugene Kaspersky in 1992 《恶意软件完整产品目录》,尤金·卡巴斯基编写于1992年 而那个”天真纯洁”的时代早已一去不复返。现在,每天出现的新型恶意软件数量就多达32.5万。同时几乎每个星期,整个互联网行业都会面临系统安全问题的新考验—从汽车和滑雪板到核电厂,几乎遍及各个领域。这是最好的时代,也是最坏的时代:如今,随着越来越多的人开始重视他们依赖于计算机的数据、企业和个人生活的安全性,整个互联网世界才有可能变得更加安全。 而现在,即便你放松地躺在椅子上的时候,也能了解互联网安全的最新动态。每周一,我们都将为您带来上周发生的三条最重要的安全行业新闻,同时还有从各个网站收集的辛辣评论。这些新闻无一例外都精选自Threatpost和卡巴基斯官方。 Stagefright:还未造成任何改变的安卓漏洞 Threatpost新闻。Google反馈。CERT Advisory。Kaspersky Daily对于如何预防Stagefright感染的建议。 Wired将其称为”迄今为止发现的最严重安卓系统漏洞“之一,但这样的表述并不完全正确:因为它还要更糟。这一漏洞与Heartbleed和Shellshock的主要差别在于:我们不必为Stagefright想一个唬人的名字,Stagefright是安卓系统音频和视频播放的引擎,也是安卓开源项目的一部分。从技术上讲,Stagefright其实是一整套漏洞(来自Zimperium的研究专家发现了留在CVE基地的7个ID),主要与缓冲区溢出有关。 这一多媒体引擎的任务是回放各种音频和视频,正如ZDNet提到的,某种程度上Stagefright的独特功能可实现”你还在考虑是否观看某个视频之前”,它就已经准备好播放了。出于某些神秘的原因,有时所有这些任务都是在”上帝”访问权限级别下执行。但事实上,其中的原因并不神秘:只是这样更容易编码,仅此而已。尽管如此,Stagefright也非常容易脱离安卓沙盒,因此也易于遭受漏洞利用。 最终,我们有了一个出色的概念证明:向手机发送MMS(多媒体短信)–然后一切都一目了然。你甚至无需打开”载入的”MMS:手机会自动帮你打开,因为其编码方式考虑到了为用户的便利性。是不是就没有任何办法了呢?并不尽然。首先,在安卓4.1及以上版本中有一项地址空间布局随机化技术,可防止手机自动打开,或至少部分”解决了问题”。 其次,通过遵循负责任的漏洞披露规则,Zimperium成功阻止了漏洞利用代码。尽管如此,得益于已发布的补丁,所有问题都迎刃而解。 Google的反应则相当有趣。我们从安卓官方博客发布的相关博文中摘录了一小段:”一切都没问题。我们的沙盒棒极了。只有0.15%的安卓设备内存在恶意应用(后面跟着许多星号、细则和条款)。为了确保安全万无一失,Nexus设备需要每个月都进行安全升级。” ‘纵然Nexus设备安全无忧,那安卓智能手机和平板电脑又该如何是好呢?Google的举措无助于解决安卓非一致性问题-新设备常常延迟无法第一时间升级至最新操作系统版本,而更老的硬件则根本无法升级更新。 好在像HTC、三星、索尼和LG这样开发商已宣布,将比以往更频繁地升级他们的智能手机和平板电脑。尽管许多问题依然悬而未决,但我们可以明确的是一些电子设备的系统将进行升级更新。如果我们继续努力下去的话,可能终有一天所有问题都会得到解决。 但无论如何,这都是一个好的迹象。迟早有一天,安卓也会拥有自己的一套升级机制,就像微软的’周二补丁日’一样。正如一年前安卓首席安全工程师Adrian Ludwig在Google总部说的,Google在安全领域做的相当出色,只需再对Google

手机锁屏图案的设置奥秘

人类的行为通常都有规律可循,因此完全可以预测。尤其当不法分子在破解密码、密文和PIN码时,人类行为的可预测性可轻易被利用。我们中的许多人都会将名字、出生日期和其它容易猜到的个人信息设为密码,更不用提’12345’这样的极简易数字密码仍被广泛使用。那我们每个人在设置自己的锁屏图案时,是否也有据可循且容易预测呢?事实证明—的确如此。 来自一家挪威公司- Itera Consulting的研究专家Marte Løge对此做了一项分析,主要是分析人们分别为购物应用、智能手机锁屏和网银所设置的图案密码。最终的结果着实令人大吃一惊。 首先,应用的类型与图案密码的设置强度有着密切的关系。相比智能手机锁屏,人们更倾向于对网银甚至购物应用使用强度更高的图案密码。 其次,在Løge调查的数千受访者中,许多人(约占10%)使用的都是字母样式图案,其强度与类似’12345’这样的极简易数字密码一样弱不禁风,几乎起不到任何安全防御作用。 数字样式的图案密码完全弱不经且最容易被猜到 第三,尽管图案密码可以有大约39万种组合,但人类行为的特有规律使得这一数量大幅缩减。上述提到的大多数组合都包含了8个或9个点,但不幸的是,实际中使用这些组合的人少之又少。因此人们使用最多的大约有10万种组合。 尽管10万种组合听上去数量庞大,但事实上其中的3/4包括了8点和9点的组合,而这些组合人们通常很少用到 据调查,图案密码的平均长度大约是5点—但这根本不足以保护智能手机或应用程序的安全。5点的图案密码长度只能有约7000种组合,显然这比简单的4位数字PIN码还要羸弱不堪。而人们最常用的图案长度是4点,这只能有大约1600种组合。 4点图案密码长度使用最为广泛 此外,要想进一步将组合的数量减至更少,你完全可以轻松预测出图案密码的起始点。人们通常倾向于将角落设为起始点,而其中大约一半的图案组合更都是将左下角作为起始点。而多达73%的人在设置图案密码时,都同时使用了左下角和右上角。 有趣的是,这与是右撇子还是左撇子以及是单手(小屏幕)还是双手(大屏幕)用智能手机都无太大关系。它们的各自占比都非常接近。 另一个有趣的事实是,女性相比男性更倾向于设置较弱的图案密码。此外,图案密码强度与年龄也有一定关系:年龄越小,越可能使用强度更高的图案密码。因此,知道性别和年龄确实有助于预测使用的图案密码。 我们能从这项研究中学到什么?基本上来说,如果你使用安卓锁屏图案,或为一些敏感应用设置图案密码时,想真正保护自己数据的话, 最好使用与众不同的策略。以下是我们的建议: 千万不要使用人人都能想到的数字样式图案组合。使用这种薄弱图案密码的效果和不使用图案或数字字母密码的效果相差无几。 起始点选择不太常用的位置:最好的选择是右边中间的位置。右下角同样也是相当不错的选择。 图案密码的长度最好设为8点或9点:首先组合数量庞大;其次很少有人使用这一长度。 当然,可以考虑将图案密码改为数字字母密码。因为即使是长且可靠的数字字母密码相比高强度图案密码来说,记起来还是要更容易些。

特斯拉S型电动车安全性:挥之即来,呼之即去

如果说’黑客入侵’已成为一种时尚潮流的话,那本季的最热流行非’黑客入侵汽车’莫属。在两名研究专家Charlie Miller和Chris Valasek详细揭露如何黑客入侵Jeep大切吉诺不久后,另一个安全专家小组也成功控制了特斯拉S型电动车。 移动安全公司Lookout联合创始人兼首席技术官Kevin Mahaffey及其合作伙伴Marc Rogers(CloudFlare首席安全研究专家)在特斯拉S型系统中发现了6个漏洞后,已与特斯拉公司开展了数周之久的合作,以共同编写修复补丁。 尽管已放出了相关补丁,但这一事件已让人们对特斯拉S型电动车的安全性产生了极大怀疑。犯罪分子可将PC电脑与车载以太网进行物理连接来利用这些安全漏洞,只需使用软件命令就能将你价值10万美元的’豪车’直接开走。另外,犯罪分子还能让系统感染木马病毒,从而远程关闭正在行驶中的电动车的发动机。 在测试潜在网络威胁时,研究人员竟然完全掌控了车载娱乐系统。他们可以随意打开和关闭车窗、锁车门或开门锁、升/降悬吊系统以及切断汽车电源。 但特斯拉并没有犯和克莱斯勒相同的错误。一旦正在行驶中的S型电动车电源被切断,其车内系统可立即激活手刹。 当车速慢于8公里/小时,车辆会自动倾斜直至停下来为止;而当车速快于8公里/小时,特斯拉则采取特殊安全预防措施。在对高速行驶的车辆进行测试时,当司机保留对转向和制动的控制时,汽车档位会自动转到空挡并自动停下来。此外,安全气囊也能完全起到其应有的作用。 在相同的处境下,克莱斯勒不得不通过召回140万辆问题车打上紧急安全补丁,而特斯拉汽车只需通过无线通信即可打上安全补丁。具有讽刺意味的是,一些汽车生产公司提供安全补丁的速度竟然比许多智能手机生产商还要快许多。 “如果每次下载和安装补丁的过程都能顺畅进行的话,这可以解决许多的问题。你可以看到,在现在的汽车系统内运行着大量的软件,因此需要频繁地安装补丁,其安装频率有时甚至超过了PC电脑,但如果要求车主每周或每个月前往经销商处安装各种补丁的话,那绝对是一件恐怖的事情。我的观点是世界上的每一辆车如果能连接互联网的话,都应该采用OTA(无线通信)方式下载并安装补丁。” —Mahaffey在《Wired》杂志上评论道。 Mahaffey和Rogers将就如何提高特斯拉汽车安全性方面继续展开合作。此外据报道,特斯拉公司还从Google新挖来了一名在业内享有声望的工程师:Chris Evans将担任特斯拉汽车安全团队的负责人。

如何’一键杀人’

安全研究专家Chris Rock最近发现,完全不费吹灰之力就能”杀死一个人”。需要声明的是,我们讨论的内容完全属于法律意义上的范畴,并不会引起道德和法律上的后果。只需要一台能上网的电脑、些许相关知识和基本的网络常识,每个人都能做到。你甚至无需黑客入侵任何网站;你所需的所有服务都是现成的,而且是100%合法。 因为一场意外-澳大利亚的一家医院错发200张死亡通知书,Chris Rock开始着手研究其中的漏洞。他的想法是,既然因为医院的失误操作能造成电子系统出错,那个人也同样可以人为制造”错误”。 人死亡的官方证明被称为’死亡通知书’。而在许多国家,这一证明还可以在线申请。例如,在美国,医院可以使用一项称为’电子死亡登记系统’(EDRS)的网络服务。要想成功申请死亡证明,你只需以医生的身份登录EDRS。 要想注册这项服务,你需要输入能证明你医生身份的几项信息,包括:姓名、执业证书编号以及你医生执照上的地址。即便你不是医生,还可以通过在线服务(至少在加州是如此)找到所有你想要的医生信息。简而言之,你可以随时以加州一名职业医生的身份登录ESDR,且不会产生任何问题。 此外,另一种人同样也能开立死亡证明,那就是丧葬承办人。有趣的是,在某些美国州(和像英国或澳大利亚这样的国家),无需任何特殊培训或资质证书就能成为一名丧葬承办人。提交申请后只需等待有关部门确认—很快,你就能正式成为一名丧葬承办人。 当然,你需要知道如何正确填写死亡证明。但此类系统通常都为医生和丧葬承办人在线准备了相关的填写指南。当然,你也可以通过Google搜索,各种你想要的信息都一目了然。死亡证明申请的基本方法就是这样,可能你还需要做一些遗嘱认证方面的工作。但这同样相当简单。 在这些’死亡服务’网站中,最有意思的是竟然还有一个特殊按钮,用来进行批量死亡登记。这一功能最初设计是用来登记类似于灾难中的死亡人口,但任何人想扮演Bender Rodriguez的角色,都可以用这个特殊按钮来一场虚拟的’集体屠杀’。 当然你也可以反过来做—创造一个虚拟的人—方法也大同小异,但你却无需忍受’怀胎九月的煎熬’。事实上,创造虚拟的人要比让真实的人虚拟死亡来得更容易些。首先,你无需注册为一名丧葬承办人。其次,你可以一名助产护士的身份注册,而无需是医生。而且,有关助产护士的所有必要信息都可以从上述提到的加州网站和其他国家类似的服务项目中找到。 人们’虚拟杀人’或’创造虚拟人’的理由有很多。可能为了欺诈、报复或是故意妨碍他人,各种原因不胜枚举。可能还有一些令人啼笑皆非的理由,但却很难让人察觉到:在创造虚拟的人同时,你所创造的那个他/她也立即成为了完全合法的人,你可以在日后随时用这一身份做任何事情。这就好比将你在社交网站上所展现出的完美的你移植到了现实生活中! 官方对于死亡的认定也十分有趣:要想恢复自己的’法律地位’可谓相当复杂。过去曾发生过这样一个案件:有一个人因为失踪多年而被错误地宣布已死亡。他想要恢复自己的’合法地位’,但法官却说现在已经晚了—因为俄亥俄州法律规定必须在宣告死亡后的三年内提出异议。一旦三年期限过后,就无法再进行更改。抱歉,伙计,我们真的是无能为力。

2015美国黑帽大会:关于黑客入侵Jeep车的详细介绍

近期,我们就时下热门的”黑客入侵Jeep大切吉诺“主题,写不少与此有关的讨论文章。在今年的网络安全盛会-2015美国黑帽大会上,安全研究专家Charlie Miller和Chris Valasek同样就他们是如何黑客入侵Jeep大切吉诺的整个过程进行了详细阐述。 在他们的研究之初,Miller和Valasek试图通过Wi-Fi连接黑客入侵Jeep车的多媒体系统—Jeep的制造商克莱斯勒根据车主意愿选择是否开通这一收费功能。事实证明,黑客入侵这一车载Wi-Fi并非难事,原因在于Wi-Fi密码是基于汽车本身及其多媒体系统(主机)在首次启动时自动生成的。 从理论上讲,考虑到日期/时间的极高精确度,这是一种相当安全的加密方法,因为你可以得出成千上万种可能的组合。但如果你能成功猜到要在Jeep车开动后的一小时内时刻与车载Wi-Fi保持连接。因此,这两名研究专家决定另寻他路。令人吃惊的是,他们竟然真的又找到了一个解决方案:结果证明,克莱斯勒车载Wi-Fi密码是在车上设置实际时间和日期之前就已经生成,即在主机启动时在默认系统起始时间基础上再加上几秒而自动生成。 那辆大切吉诺的默认系统起始时间是2013年1月1日00:00(格林威治标准时间),或更精确地说,是00:00:32(格林威治标准时间)。这样可能的组合范围就相当小了,即使是业余黑客,猜出正确的Wi-Fi密码也完全是小菜一碟。 在成功连上Jeep车的主机后,Miller和Valasek得以找到一种可能的方法来黑客入侵使用Linux操作系统的多媒体计算机。由于软件内的几个问题完全能猜到,因此他们通过利用软件内的漏洞后最终完全掌控了主机系统。 尽管攻击范围有限,但却足以惊世骇人:研究专家们不仅能完全控制音乐播放器,还能将收音机调到任何他们想听的频率并能随意调节音量。完全可以想象,当你以70英里/小时(相当于112公里/小时)在高速公路上急速行驶时,收音机突然自动提高了音量,任何人碰到都会悚然一惊,进而可能引发交通事故。 研究专家们还发现了另一种可能,即通过车载GPS导航系统追踪目标车辆。你甚至无需更改主机软件就能利用这一漏洞,因为该系统在汽车出厂前就已内置。 以上就是如何成功黑客入侵克莱斯勒汽车车载Wi-Fi连接的方法,但前提条件是车主购买了此项功能服务。但就目前而言,许多车主并未购买。而另一方面,克莱斯勒汽车的所有主机均能与Sprint蜂窝网络相连接,就算其车主并未购买任何无线网络服务也同样能成功连接。而这只是针对车载主机类型的一个标准而已。 Miller和Valasek也试图通过这一方法利用漏洞—虽然花费了大量的时间和精力,但他们的努力并没有白费。借助在eBay上购买的’femtocell’(毫微微蜂窝式基站),他们得以进入到Sprint内网,并通过监听某几个电话(他们通过黑客入侵Wi-Fi获得)扫描大量IP地址。 利用这一黑客技巧,你可以找到几乎所有配备有此类主机的克莱斯勒汽车。事实上菲亚特克莱斯勒已召回了100多万辆车存在类安全漏洞的汽车。可能你会觉得菲亚特克莱斯勒已将所有问题车辆都召回了,因此完全可以放心选购一辆安全的Jeep车。但事实上这并非易事,正如研究专家所言,”相比其他品牌汽车而言,所有Jeep品牌的汽车几乎都存在这方面的安全问题。” 黑客完全可以借助GPS追踪器,对任何想要黑客入侵的Jeep车下手。在成功入侵后,黑客可以利用车载多媒体系统为所欲为。但我们的故事还远未结束。 下一步还需要找到接入CAN总线的途径。CAN总线作为汽车的内网能与车上所有最重要的部件—发动机、传动装置和传感器等(几乎囊括了所有车载部件)互联,原因在于目前Jeep品牌车上的每一个部分均采用电子控制方式。 但多媒体系统却并未与CAN总线直接相连。而这正是每当提及网络-物理系统的IT安全时,所有汽车制造商都反复强调的:多媒体系统完全独立于这些系统的联网和物理部分以外。 但事实证明,其安全性也并非万无一失,至少对于克莱斯勒汽车而言确实如此。尽管多媒体系统控制器本身无法与CAN总线直接通讯,但却能和与CAN总线互联的另一个部件-V850控制器通讯。简单地打个比喻,他认识个家伙,那个家伙又了解另一个家伙的状况。 V850控制器的软件采用了相对谨慎的设计方式,因此尽管有可能’听从于’CAN总线,但却无法通过它发送命令。但你也知道,这毕竟是一台计算机。你根本无需拆箱操作,只需简单地对计算机重新编程即可将其添加入内。 通过与多媒体系统的控制器连接,研究专家们发现了可针对其恶意编写版本更改V850控制器固件的漏洞。在无需检查或授权的情况下,固件即可完成’升级’。尽管存在权限问题,但研究专家们在其中发现了数个漏洞,从而实现了对V850控制器的完全掌控。 实际上就是如此简单:在这一步操作完成后,Miller和Valasek即能通过CAN总线成功发送命令,并且对所有汽车部件(千真万确)进行操控。他们能成功操控方向盘、发动机、传动装置和制动系统,更不用提像雨刷、空调和门锁这样更容易控制的汽车部件。而且,他们完全是通过Sprint蜂窝网络远程控制这些汽车部件的。 好消息是:Miller和Valasek花费了数年时间才得出了他们的研究成果。而主要的黑客技巧—具体如何掌控与汽车部件连接的CAN总线—在他们的介绍中依然未解释清楚。此外,也并非每一名黑客都能达到上述两名研究专家的技术水平。坏消息是:此类黑客入侵成功的可能性相当高,且产生的破坏性将难以估量。

什么是漏洞利用以及用户害怕的原因?

安全专家们常常将漏洞利用称之为与数据和系统安全有关的最为严重的问题之一;尽管一般来说我们总难以区分漏洞利用和恶意软件之间的差别。但在这里我们将尽量详述其中的差别之处。 什么是漏洞利用? 漏洞利用是恶意软件的集合。这些恶意程序往往包含数据或可执行代码,能够利用在本地或远程计算机上运行软件内的一个或多个漏洞。 简而言之:在你根本不知情的情况下,浏览器内存在的漏洞允许”任意代码”在你的计算机系统内运行(例如:安装和启动某种恶意程序)。很多时候,网络攻击者实施漏洞利用的第一步就是允许权限提升,如此他们就能在遭攻击的系统内肆无忌惮地进行犯罪活动。 浏览器连同Flash、Java和微软办公软件都属于最容易遭受攻击的软件类型。由于这些软件使用相当普及,因此无论是安全专家还是网络黑客均对它们积极进行研究,同时开发者们也不得不定期发布相关补丁以修复漏洞。如果每次都能及时打上补丁那是再好不过,但实际上却常常无法如愿。比如,在进行升级时必须关闭所有浏览器标签或文件。 另一个问题是对目前未知的漏洞进行利用,网络黑客们一旦发现后即大肆利用:即所谓的’零日漏洞‘。而软件供应商则在漏洞被利用后,才能了解问题所在并着手解决。 病毒感染途径 网络犯罪分子常常热衷于通过类似于社交工程的其它病毒感染方式实施漏洞利用–无论成功还是失败–对漏洞的使用不断转化为他们想要的结果。 用户通常通过两种途径不幸遭受漏洞利用。第一,通过访问含恶意漏洞利用代码的网站。第二,打开看似合法但实际上却隐藏恶意代码的文件。你们应该很容易能猜到,最有可能带来漏洞利用的不外乎垃圾邮件或网络钓鱼电邮。 一旦通过特定漏洞获得访问权,漏洞利用即会从网络犯罪分子的服务器载入其他恶意软件,从而执行各种恶意行为,例如:盗取个人数据,或者将受害人计算机作为僵尸网络的一部分来发送垃圾邮件或实施DDoS正如在Securelist上提到的,漏洞利用旨在攻击含有漏洞的特定版本软件。一旦用户使用该版本软件打开恶意目标,或网站运行类似版本软件的话,都会导致遭受漏洞利用。 攻击,无论如何都是为了实现背后不可告人的犯罪目的。 即使对于小心且勤于升级软件的用户而言,漏洞利用同样会构成威胁。其中的原因是网络犯罪分子很好地利用了发现漏洞和发布修复补丁之间的时间差。在这段真空时间内,漏洞利用几乎可以为所欲为,会对几乎所有互联网用户的安全构成威胁 –除非用户系统内安装了自动防御漏洞利用攻击的工具。 还有不要忘了上述提到的’打开标签综合征’:用户常常需要支付一笔费用才能升级软件,且并非所有用户都愿意在补丁刚刚发布时就立即付款更新。 集群式漏洞利用 漏洞利用常常采用集群方式,因此首先需要对遭受攻击系统进行检测以确定漏洞类型;一旦确定一个或多个漏洞类型,接着就使用相对应的漏洞利用工具。漏洞利用工具还会广泛使用代码混淆以防止被检测出,同时还对URL路径进行加密来防范安全研究专家将它们彻底根除。 下面是一些最知名的漏洞利用工具: Angler –号称是黑市上出售的最复杂的漏洞利用工具之一。该工具在开始检测反病毒软件和虚拟机(安全研究专家通常将其作为诱捕工具使用)后即会彻底改变整个”战局”,并同时部署加密的点滴木马文件。作为速度最快的漏洞利用工具之一,Angler还能并入最新发布的零日漏洞,同时其恶意软件无需对受害人硬盘进行读写,而是从内存中直接运行。有关该工具的技术介绍都在这里。   Nuclear Pack –通过Java和Adobe PDF的漏洞利用以及dropping Caphaw(著名的网银木马病毒)对受害人实施攻击。你可以从这里了解更多。 Neutrino –作为一款俄罗斯黑客编写的漏洞利用工具,内含大量Java漏洞利用,在去年名声大噪并屡屡登上新闻头条,原因是Neutrino的售价高达3.4万美元。随着Paunch(下一个我们将讨论的漏洞利用工具的作者)被抓捕归案,Neutrino很可能以如此高的天价被成功出售。 Blackhole Kit –2012年最广为流行的网页威胁,将存在于类似Firefox、Chrome、Internet

超强安全保护:卡巴斯基实验室2016产品系列上市

让我们共同庆贺为消费者量身定制的安全解决方案升级版的推出—卡巴斯基实验室必出精品—卡巴斯基安全软件多设备版和卡巴斯基全方位安全软件多设备版。这些产品专为解决终端用户最关心的安全问题而专门设计,这些安全问题包括:隐私、数据、对身份和资金的盗窃以及对设备本身的保护。 据2015年消费者IT安全风险调查显示(不久将来将开展更多这方面的调查),用户愈来愈重视在线安全问题。其中70%的受访用户表示采取了安全防范措施来保护个人数据,而61%的用户则担心自己的设备中可能被植入了间谍软件,而对于网络摄像头不信任的用户则占到了总受访人数的49%,原因是这些用户在日常生活中频繁使用网络摄像头进行’现场表演’。而卡巴斯基实验室产品的新版本在设计之初即将所有这些用户关心的问题考虑在内。它们时刻保卫着大多数用户偏爱使用的设备和平台:Windows、OS X或安卓系统。 社交网站、广告和分析代理机构常常会收集有关用户浏览网页的内容、具体位置以及搜索历史等数据。他们只需通过浏览器就能获取这些信息。一旦成功收集此类数据,这些网站和机构就将根据这些信息来确定你的口味和偏好,使得你的浏览页面会不断跳出烦人的广告、发送推销电邮以及将你的个人资料再转卖给其他公司。你是否曾收到过发自某家公司的广告短信,而你根本不知道他们是如何获得你的电话号码?而这正是他们的工作方式! 隐私浏览功能可将来自网络流量的此类数据清除并通过专用插件向用户报告任何受阻的请求,Mozilla Firefox、ternet Explorer和Google Chrome浏览器均具有这项功能。而卡巴斯基实验室产品的功能则更为强大,不仅能防止用户通过cookie文件被识别,还能向网站发出不希望传输数据的警告。最终确保这些隐私数据不会从你的设备外泄。 另一种普遍存在的问题是用户根本不需要的程序软件在设备内启动,即在用户不知情的情况下,额外的扩展与免费软件捆绑安装。这可能会对浏览器主页、默认搜索引擎以及网络和系统配置产生影响。 此类’附赠礼物’还会收集有关用户及其在线行为的信息,并将这些数据用做不同目的。改变控制功能恰恰是用来检测任何尝试引入此类更改的进程,向用户报告并要求这些进程需用户同意后方能运行或者干脆直接阻止。 隐私清理工具同样得到了升级,从而以一种更好的方式保护您的隐私。你除了可以用该工具来清除Windows计算机上的用户所有行为痕迹外,还可清理浏览器历史以及最新打开文档清单。 如果你担心有偷窥狂黑客入侵你的网络摄像头并对你的个人隐私进行窥视的话,确保启用网络摄像头保护功能。该功能不仅能防止黑客从你的网络摄像头截屏,一旦有合法应用程序访问摄像头时还会立即通知用户,此外还可设置为阻止所有应用程序访问。 为确保网银交易安全,卡巴斯基实验室的Mac和PC版反病毒软件通过采用独一无二的安全支付技术,可检查购物或支付网站是否安全以及你是否遭到网络钓鱼页面的欺诈。在测试后,用户即能以一种特殊且受保护的模式打开网站。 据2015年消费者IT安全风险调查显示,22%的受访儿童用户在互联网曾遭受某种类型的网络威胁,同时其中的21%造成自给家长的数据丢失或资金受损,因此我们同样对屡获殊荣的PC或Mac版上网管理功能进行了升级。这些控制功能允许用户管理他们孩子的应用程序下载、阻止对不适当网页内容和游戏的访问以及防止个人信息的披露。 此外2016系列的便利性也有所提高,你无需检查卡巴斯基实验室产品2016系列是否需要升级和更新,最新的产品中已经包括了自动升级和更新功能,并可通过个人的”我的卡巴斯基账户“进行管理。 当然,我还是想告诉读者的是:卡巴斯基实验室反病毒产品旗舰版获得大多数独立研究实验室的认可,且无论在短期还是长期的各项测试中均得到了最高分。

免触支付是否安全?

“您总共消费了12.95美元。”一家当地超市的收银员说道。我取出钱包,熟练地在POS机终端上轻轻一扫,很快就听到了哔的一声 – 瞧!–交易成功了! 免触式银行卡实在是太方便了。有了它,你再也不需要刷卡、记住PIN码和用笔签字,而且也不需要费力地掏出钱包、寻找现金或者从口袋的深处摸索硬币。只需一扫–即可轻松完成支付。 收银员同样也乐意使用免触支付方式:不仅加快了付款流程速度,同时还提高了收银员的顾客处理量,而这正是公认的所有零售过程的瓶颈。 然而,其易用性也让人们不禁怀疑起自己卡内的资金是否也同样容易被盗走。犯罪分子是否会暗中用读卡器对你的口袋轻轻一扫,就将你存在卡内的所有资金偷个干净? 为了查明真相,我研究了大量来自黑客会议的报告并和许多银行代表就这一问题进行探讨。他们的反馈无一例外都相当积极和正面,但并非表示毫无缺陷。 范围 免触式卡采用近场通信(一种基于无线射频识别的技术)方式运行。卡内集成有微型芯片和天线,使用13.56 MHz频率范围,可对POS机终端的请求进行回应。不同支付系统使用各自的标准,包括:维萨的payWave、万事达的PayPass和美国运通的ExpressPay等。但所有这些系统均采用了相同的方法及核心技术。 NFC的数据传输距离极短–不足一英寸。因此,你完全可以自己筑牢第一道安全防线。基本上来说,需要将读卡器和卡片凑得非常非常近才有可能扫描到,因此要想使用读卡器暗中扫卡的难度可谓相当之高。 同时,商家也可以安装专门定制的读卡器,可使扫描的距离更长。例如,来自萨里大学的研究人员就展示了一种紧凑型扫描器,能在80厘米的距离内读取NFC数据。 此类装置可向广泛运用于公共交通、商铺、机场和其它’人群聚集’场所的免触卡发送请求。在许多国家,NFC兼容卡可谓相当普及。因此在人流聚集的地方,许多人都可能会成为犯罪分子实施NFC攻击的受害人。 最终,即使在没有定制扫描器或近距离接触的情况下,免触卡使用者也可能会遭受资金莫名被盗的损失。西班牙黑客Ricardo Rodrigues和Jose Villa发明了一种简便的’消除距离障碍’方法,并在Hack in the Box大会上进行了演示。 图像来源: Practical Experiences on NFC Relay Attacks with Android 如今绝大多数的智能手机均配备有NFC组件,且手机通常都放在离钱包很近的地方–比方说,手提袋或口袋内。Rodrigues和Villa设计出一种安卓木马病毒概念,能将目标智能手机信号转到一种类似于NFC转调器的装置上。 一旦受感染手机放在和免触卡很近的位置,就可能发出向网络攻击者执行交易的信号。骗子随后激活常规的POS机终端,然后将启用NFC的智能手机靠近终端。如此,在没有真正扫卡的情况下,类似于’桥’的一种连接在NFC和NFC终端之间建立。