隐私

375 文章

驾车危险:行驶中的Jeep难逃黑客入侵

啊!他们竟然又’干了一票’:在分别成功地黑客入侵丰田普锐斯和福特翼虎后,安全研究人员Charlie Miller和Chris Valasek近期又一次成功入侵了Jeep大切诺基。 这一次的结果更加令人震惊不已,因为这两名安全专家竟然找了一种能够远程控制汽车的方法。而作为本次试验的”自愿受害人”在遭受漏洞利用攻击时,则正驾车以70 mph的速度行驶在圣路易斯市的郊区。 “当我亲眼目睹这两名’黑客’竟然能远程控制车上的空调、广播和雨刷时,我真为我自己在如此大压力下展现出的勇气而佩服不已。当时他们还切断了我的变速器。” 来自Wired的新闻报道透露了’受害司机’对于所驾驶超级智能联网汽车遭受强制行为的反应。记者Andy Greenberg当时就坐在试验汽车的后座,亲眼目睹了整个过程,他说道:研究人员完全掌控了汽车的刹车和油门,以及包括广播、喇叭和雨刷在内的其它次要的汽车组件。要做到这些,Chris和Charlie必须通过蜂窝网络黑客入侵车载娱乐系统。 幸运的是,目前的形式并未完全糟糕透顶。无论是操作系统开发商还是汽车制造商都不遗余力地采取重要且十分有必要的网络安全防范措施–他们应该有能力做到! 正如Chris Valasek说到的:”当我看到我们可以通过互联网完全控制汽车的时候,我简直吓坏了,发自内心地感到恐惧。这绝对不是开玩笑,这可是一辆在乡间高速公路上高速行驶的汽车。就在那一刻,对汽车黑客入侵最终还是成为了现实。” 不幸的是,目前所有这些重要的安全防范措施依然还远远不够。像微软和苹果这样的软件巨头常常需要花费数年的时间开发有效的方法来为其产品漏洞编写安全补丁。而留给汽车产业的时间则不多了。除此之外,这已经不是汽车第一次遭受黑客入侵,尽管安全问题重重,但似乎没有人迫切想要解决这些存在已久的问题。 其他品牌的汽车可能存在同样的安全漏洞。对于包括福特和通用在内的其它汽车品牌,Miller 和Valasek还未有过尝试。更加可怕的是,Miller表示”一名技术娴熟的黑客就能控制一组未联网主机并用来执行更多扫描—使用任何一组被劫持的计算机—通过Sprint网络让病毒从一个仪表盘感染到另一个。最终演变为由成千上万辆汽车组成的一个无线网络控制汽车僵尸网络。”以此为基础,即可发动恐怖袭击或由一国政府发动网络攻击。 “对于卡巴斯基实验室而言,我们始终认为要想避免此类事件发生,汽车制造商在为汽车制造智能结构体系时,应时刻牢记两个基本原则:隔离和受控通讯。”卡巴斯基实验室GReAT 高级安全研究人员Sergey Lozhkin表示。 “隔离意味着两个分离的系统不会相互影响。例如,在遭受本文开头的黑客攻击时,即使娱乐系统遭受入侵也不会影响到控制系统。受控通讯则意味着汽车在传输和接收信息时必须完全采用密码验证措施。就上文提到的Jeep试验结果而言,不是认证算法过于薄弱/存在漏洞,就是并未正确实施密码验证。” 所有安全问题在行业层面未被解决之前,我们都应该考虑是否改骑自行车和骑马…或驾驶老爷车。至少,这些交通工具都不会遭受黑客入侵。黑帽大会即将在2015年8月举行,届时安全专家们将就他们的研究发现做陈述报告,我们也对此翘首以盼。  

无人机与安全:未来之路将走向何方?

最近,我碰巧有机会参加了Changellenge Cup Russia 2015学生项目竞赛,并在其中一个环节担任评委。但今天我并不打算谈论竞赛本身,而是想就工程设计环节讨论的一些问题作一番探讨。 参赛者必须详细介绍无人驾驶飞行器(UAV)在商业、国防以及国民经济方面的使用案例。我觉得我们完全有必要了解其中的内容成果。 UAV可运用于各种领域。主要包括三大类别: 公共管理:军事用途、国家边境监视以及灾难重建援助。 商业用途:办公大楼、能源设施、建筑工地、农业目标、农场的监视与维护,以及地质勘探和航拍。 消费用途:货物交付、广告营销、导游和游戏。 就目前而言,UAV市场仅仅满足于军事和国防的需求,但这并不会持续太久。在未来的10-20年里,UAV将以某种方式成为我们生活不可或缺的一部分,但同时也极易产生漏洞和安全问题。 自然而言,这也将加速各产业的发展和相关法规的订立。尽管无人机发展前景一片看好,但随之而来的技术风险或漏洞也将不可避免地出现。 简而言之,UAV由两个主要部分组成–无人机本身以及地面控制站-可以是固定场所也可以是移动设施。 而一架无人机内部则安装有实时操作系统、控制软件;用于简化数据交换的前端组件、内置固件的传感器以及航空电子设备。根据需要,还可加入武器控制系统(如适用)或自动导航装置。 地面控制站则由控制软件、前端组件和人工操作员组成。因此我个人观点是上述列举的所有部件都存在受黑客攻击的风险。 黑客主要有三种攻击途径: 直接对无人机装置动手脚进而实施攻击。例如,在维护过程中,有人故意或无意中将恶意软件植入无人机或更换电板或集成电路 通过无线电连接实施攻击:扰乱控制信道并对数据进行劫持和加密–事实上,黑客在入侵伊朗服役的美国无人机就采用了这个方法。有趣的是,当时实施攻击的黑客竟然使用的是一款俄罗斯程序-SkyGrabber。 针对传感器的攻击,包括数据欺骗—例如,欺骗GPS坐标。 一旦遭受黑客入侵,无人机可能被用于各种目的;这可能会影响数据生成以及飞行参数的显示和控制(包括:速度、高度、方向和可编程飞行计划),或者就像最近报道的那样,直接将它占为己有,因为高端的无人机价格十分昂贵,同时这也会让原本的’主人’蒙受很大一笔损失。 此类威胁即将来临,时间已迫在眉睫,让我们做好准备迎面挑战。有关无人机问题的更多精彩报道,请阅读这里、这里和这里。      

天真浪漫—并非互联网的正确生存法则

时刻保持警觉性,多用用大脑。如果你觉得记忆一长串可靠的密码过于枯燥的话,完全可以换种有趣的形式。事实上,要找到一种有趣的复杂密码记忆方式其实并不太难。当然,你也可以使用密码管理器。务必仔细阅读这些我们精心挑选的简单法则,可助你战胜网络犯罪分子。

钢筋水泥并非坚不可摧:穿墙透视技术

2015年初,美国媒体报道了一系列有关被称为RANGE-R手持式雷达的新闻,该种雷达已被运用于美国警察局和其他政府服务部门。该雷达系统能够’穿墙透视’。更准确地说,能探测封闭空间内所有人的运动情况。该雷达系统具备高灵敏性,能透过数堵墙探测到躲藏在建筑物内某个隐蔽地方的人的呼吸。

专家问答:Vitaly Kamluk讲述国际刑警组织如何抓捕网络罪犯及其它精彩内容

Vitaly Kamluk拥有超过10年的IT安全领域经验,现在他担任卡巴斯基实验室首席安全研究员的职位。他专门从事研究恶意软件逆向工程、计算机取证和网络犯罪调查。目前,Vitaly居住在新加坡。他作为数字取证实验室的成员与国际刑警组织合作,开展恶意软件分析和调查支持方面的工作。

LastPass用户需立即更改密码

LastPass作为一款流行的密码管理器,最近公开其遭到网络攻击。网络攻击者成功病毒感染了用户电邮地址、密码提示、每个用户的盐以及认证散列。密码本身并没有被病毒感染,原因在于该服务并未将密码保存在云端。然而,LastPass仍然建议用户更改LastPass主密码并启用多重认证。

生化人日记第005篇:有关’生物芯片实际用途’的10个回答

从植入生物芯片这一刻起,我就反复问自己近乎莎士比亚式的问题:”一旦我决定成为一个生物机器人,我的日常生活将如何发生改变?对自身进行现代化改造又有何意义?
今天,我非常乐意以1001种不同方式为你们一一解答,每天我都能想出各种各样的使用情景,且数量呈指数级增长。下面我将与你们一同分享其中最具现实性且可行的使用情景。

五种脱机后依然能工作的网络间谍技术

似乎只要系统脱机运行就能确保任何机密的安全:没有互联网,就没有数据泄露。然而,实际情况并非如此。很久以前各国情报机构所采用的远程数据传输技术目前被用于’商业’用户的频率逐年递增。如今,詹姆斯•邦德(007电影系列主角)用的间谍工具在现实生活中已无处不在。

2015全球开发者大会:苹果的新安全特性

苹果公司在2015全球开发者大会宣布即将发布上述设备的全新操作系统:Mac的OS X 10.11 ‘El Capitan’、iphone的iOS 9以及可穿戴设备的watchOS 2。这些全新操作系统预计将在今年秋天正式发布,到时各种新的苹果电子设备也将一同登场。目前苹果只有测试版供软件开发者使用(普通用户也同样有机会试用)。

采用真实链接的多阶段网络钓鱼

最近卡巴斯基实验室专家发现了一种狡猾的欺诈方法,使得网络犯罪分子无需访问用户的登录名和密码,即可窃取个人信息。这些网络犯罪分子并未试图窃取受害人登录凭证—而是采取了更加聪明的方法。

城市监控摄像头系统普遍存在不安全性

如今,当地政府及执法机构越来越多地依靠联网监控摄像头来监视人口稠米的城市地区。在意料之中的是,这些监控摄像头均采用无线方式连接互联网,这使得执法机构能够进行远程监控。尽管安装这些摄像头的初衷是打击犯罪活动,但网络犯罪分子却不仅能够被动地监视监控摄像头拍摄的画面,还能向摄像头的专用网络植入恶意代码、提供虚假画面等。

我们为什么需要5G网络?

5G网络标准化目前只是处在规划阶段,预计最早也要到2020年开始部署(这也是为什么即将制定的5G网络标准目前被正式称为 “IMT-2020″的原因)。尽管各国并未明令禁止使用”5G”一词用作市场宣传,但这并非是真正网络标准的名称。目前,”5G”只是用来表示”第五代”移动网络的意思。

海运业成为网络犯罪分子的”温床”

如今的商船不仅在船体设计上愈渐庞大,同时也部署了越多越多的电子系统。船员们对于技术数据也愈加依赖,而自身所具备的技能、知识以及感知则显得相对次要。由于计算机系统被广泛运用于航行、快速装卸以及在港口跟踪货品,船员的作用也因此不断地被弱化。但不幸的是,这些系统事实上极易遭受来自网络的威胁。

你所需知道的有关VENOM虚拟漏洞知识

之前已有过许多关于VENOM漏洞的讨论,近期随着虚拟机中该bug数量的不断增加,对大范围的互联网造成了巨大影响。VENOM漏洞可以说是一种相对新时代虚拟化现象下的老式bug。 虚拟机是物理计算机内可独立运行的”计算机”。所谓的”云”也仅仅是由许多虚拟机组成的巨大网络。任何网络攻击者都能利用VENOM漏洞从一个虚拟环境中逃脱,然后在另一个虚拟机运行代码。 轰动性的新闻还在后面,许多媒体接连报道VENOM漏洞的巨大危害性远胜于目前名声不佳的Heartbleed OpenSSL漏洞。然而,我个人认为知名安全研究人员Dan Kaminsky的回答最为中肯。 在如今的安全产业中,每当出现一个重大bug,各家安全公司争先恐后地贴上自己的标签和logo并加以冠名,同时派出自己的公共关系团队四处宣称这是有史以来最严重的漏洞。 “我认为在给这些bug的危害性设立先后排名时,我们常忽略了一些东西。”。在Threatpost的Digital Underground播客上,Kaminsky向Dennis Fisher说道。”这不是什么简单的钢铁侠大战美国队长。也是什么《复仇者联盟》,这是严谨的科学。” 在如今的安全产业中,每当出现一个重大bug,各家安全公司争先恐后地贴上自己的标签和logo并加以冠名,同时派出自己的公共关系团队四处宣称这是有史以来最严重的漏洞。 “一旦出现严重的bug。” Kaminsky随后在播客上解释道。”我们就会想办法解决…但这里有个很大的问题。尽管我们想办法解决和修复bug。但情况却变得越来越糟;因为各家公司都是关起门来独立解决bug和修复漏洞,但现在我们终于能够公开商讨解决方案,然后一起出谋划策。而这正是我们所应该做的,齐心协力才能最终解决众多漏洞问题。” 我们不应该低估VENOM漏洞的严重性,因为它的确能危害严重。虚拟化技术和虚拟机在现代网络中扮演了越来越关键和重要的角色。虚拟机不仅能启用云计算,而且我们的服务提供商现在也越来越依赖虚拟机,这很大程度上是因为相比购买物理服务器,从比如亚马逊那儿购买虚拟空间的成本要低得多。出于这一原因,任何一个有一定专业技能的网络攻击者都能从云服务器提供商处购得虚拟空间,继而从他所购买的虚拟环境中逃脱,随即移至同一主机下运行的其它任何一部虚拟机。 除此之外,该bug也可能对恶意软件测试者有所影响。大多数恶意软件分析员会故意利用恶意软件感染虚拟机。这样,他们可以检测出恶意软件是如何在一个安全且隔离的环境下运行。通过利用VENOM漏洞完全有可能让恶意软件从某个隔离环境移动到另一个与计算空间相连接的隔离环境。 综上所述,该bug的出现年代久远。事实上,该bug存在于众多流行虚拟平台中的虚拟软盘控制器组件内。没错:就是软盘。在下面的评论栏中,请随意告诉我们上次你使用软盘的时间,更不用说现在电脑上已不可能再看到软盘驱动接口了。 在播客上的一番论述之前,Kaminsky还曾在一次公共采访中向Threatpost的Fisher透露,VENOM其实算是一种付费形式的bug。网络攻击者需要从相关服务提供商处购买云空间,然后利用VENOM漏洞,在攻击目标(使用同一家服务提供商)的云空间内获取本地权限。他还解释道,某些云公司还提供增强版的硬件隔离服务,但需支付更高的费用。他表示支付更高的费用来抵御可能出现的网络攻击者完全物有所值。 来自CrowdStrike 的高级安全研究人员Jason Geffner发现,VENOM漏洞之所以利用价值高,完全是因为虚拟化环境下疏忽的处理操作所致。 我们的用户在保护自身安全方面并非毫无办法可言–正如以往一样–不应完全寄希望于我们的云服务和其它虚拟提供商能尽快修复问题。但也有两个好消息。首先,大多数受影响服务提供商已发布了针对这一问题的补丁;其次,新出炉的概念验证结果显示,VENOM漏洞事实上难以被利用,这与专家们最初的预想截然相反。 从日常互联网用户的角度来看,我认为从VENOM漏洞事件我们真正学到的是:2015年在线虚拟化环境将无处不在。