隐私

375 文章

卡巴斯基安全软件安卓版在独立测试中再次独占螯头

在最近对移动安全产品进行的测试中,卡巴斯基安全软件安卓版又一次成为表现最佳的解决方案。在此次测试中,防御的最新恶意软件威胁超过2000个。 今年3月,AV-Test执行一项独立测试,测试目的是分析31家供应商所提供产品在以下方面的有效性:检测并阻止2266个有效恶意软件样本,生成的误报数(对实际无害的程序执行的可疑病毒检测实例数),以及对设备性能、电池寿命和网络速度的影响。 卡巴斯基安全软件安卓版对恶意程序的识别和阻止率达到100%;而其他参评解决方案的平均成功率为95%。卡巴斯基安全软件安卓版的误报率为零,并且对设备资源没有显著影响 – 所有这一切使卡巴斯基安全软件安卓版在13项测评中无一例外地赢得最高分,被授予”合格”产品。 卡巴斯基安全软件安卓版对恶意程序的识别和阻止率达到100%;而其他参评解决方案的平均成功率为95%。 “移动安全解决方案的主要任务是保护用户数据不被网络犯罪分子窃取,防止设备变成垃圾邮件的来源和受到其他网络攻击。”卡巴斯基实验室移动威胁研发组经理Viktor Chebyshev表示说。用户选择一款解决方案时,通常对设备性能的影响是很重要的考量因素。所以对于智能手机和平板电脑来说,一款能确保高级别防御网络威胁,又不会影响用户体验的安全产品是至关重要的。 所有产品都是在安卓V4.3上进行的测试,产品的使用环境是默认设置,支持更新反病毒数据库,使用所有提供的防御工具,也允许查询任何基于云的支持服务。 卡巴斯基实验室产品在独立测试中的排名一贯靠前,卡巴斯基安全软件安卓版也不例外:2014年1月,它在PC Security Labs独立测试机构针对高级别安卓恶意软件威胁的测试中摘得桂冠。

如何测试反病毒软件防御能力?

对于保护计算机安全,您可能希望是安装一些反病毒软件,之后就一劳永逸,完全不用再考虑安全问题了。但是,时不时地你还是会有些担忧。我的保护强度够吗?或许我应该购买网络安全版,而不仅仅是反病毒版,或者应该用”产品B”,而不是”产品A”?我怎样才能确保防御充分呢?乍一听,这些问题可能有些复杂,但事实上做起来却十分简单,因为你想知道的这些信息都我们都已为您收集。 对于保护计算机安全,您可能希望是安装一些反病毒软件,之后就一劳永逸,完全不用再考虑安全问题了。但是,时不时地你还是会有些担忧。我的保护强度够吗?或许我应该购买网络安全版,而不仅仅是反病毒版,或者应该用”产品B”,而不是”产品A”?我怎样才能确保防御充分呢?乍一听,这些问题可能有些复杂,但事实上做起来却十分简单,因为你想知道的这些信息都我们都已为您收集。 互联网威胁防御的测试与此完全一样。你可以通过检查所用软件在独立测试中的评分来了解软件的优缺点。测试有很多种,但我们将重点关注最权威、最适合最终用户需求的测试。 防御”未被检测”的可怕恶意软件 通过恶意软件,网络犯罪分子能够获得数百万元的暴利,在这种诱惑下新恶意软件样本层出不穷,翻新速度惊人,每天都会有成百上千个样本出现。这就是为什么一款安全套件能够应对反病毒软件开发人员未知的恶意软件至关重要。为此,开发人员组合使用了多种方法,但基本功能不变,仍是主动防御。秘决很简单:如果新应用的行为与恶意应用很像,那么它就很可能是恶意软件;所以应该立即终止此应用,同时必须回滚此应用造成的任何系统变更。说起来容易,但在真实世界中实施起来却有着惊人的复杂性。安全软件不仅要求能阻止所有恶意应用,同时又不能干扰正常应用的运行。通过独立实验室Matousec执行的主动防御安全挑战充分说明了此任务的复杂性。该公司专家故意精心编写了一些应用,试图执行一些不会导致反病毒软件报警的可疑行为。复杂程度分为11个级别,只有极少数产品能达到最高级别。卡巴斯基安全软件就是其中为数不多的几名幸运儿之一。这一成绩离不开多年的投资和研发工作,而这恰恰是大多数竞争对手承担不起的。检查免费版产品时,我们可以清楚地看到,其中大多数在第2级甚至是第1级就败下阵来。 简单地说,免费版反病毒软件通常并不能很好地应对新型未知恶意软件。而每一天都会有30万个新病毒样本问世。 免费反病毒软件并不能很好地应对未知恶意软件,而每一天都会有31.5万个新恶意软件问世。 #资料#安全性 普通用户的一天生活 另一家独立实验室AV-Comparatives的报告中提供了一种非常有用的观点。该实验室的真实世界防御测试并不涉及任何专门构造的应用。相反,这种测试的设置非常现实。AV-Comparatives有一个数据库,其中包含实际的各种恶意应用、链接和邮件附件,这些恶意软件是在测试期间活跃且广泛传播的软件,所以任何用户都可能被感染。测试方案很简单 – 专家安装全新Windows系统并进行更新,然后安装并更新防病毒软件,在此之后开始访问各种恶意链接,打开垃圾附件,最后检查阻止了多少威胁。 以下是最近一次运行的结果:卡巴斯基安全软件阻止了99.8%的威胁。这是最好的结果,只有几家供应商能达到这一水平。即便是付费版AGV也只阻止了93.4%的威胁,而绑定的微软安全软件只能阻止88.4%。 《飞速运行》还是《龟速运行》 大多数用户很关心安全解决方案会给性能带来的负面影响。对此格外关注的用户包括游戏玩家,每秒帧数哪怕是有那么一点点下降,此类用户都会抓狂不已。 速度最快、对性能影响最小的安全解决方案是#卡巴斯基安全软件 – AV-TEST。 为了衡量此性能影响,有一种专用的测量方法,由AV-TEST执行。此研究实验室会例行检查哪些安全软件会导致日常运行性能下降(计算机启动、应用启动、文件复制等),检查的结果将与在”全新”安装的Windows系统下所测得的结果进行比较。对比结果以综合表格的形式提供,但像NCAP一样,根据”星级”来判断会更容易。免费产品通常被认为是”结构较轻”,但事实证明给系统造成的负担并不轻 – 对于速度测试,像Avast、小红伞(Avira)或AVG等这样常常被怀疑会降低系统性能的软件,在此方面的得分都只有4.5-4.8分。 我需要的是反病毒版还是网络安全版? 但是,测试并未比较同一供应商提供的反病毒版和网络安全版,在应对基本威胁时,这两种产品的表现应该差不多。但区别是:反病毒版不用于防御一些真正重要的威胁,也无法保护您不受到黑客攻击,无法阻止从网银窃取资金的尝试,也不能有效防御垃圾邮件和网络钓鱼。如果您经常使用各种网络服务、进行在线支付或加入了各种社交平台,那么正确的选择毫无疑问是网络安全版。 结论 如果使用卡巴斯基安全软件,那么您将获得极为稳定可靠的保护,能防御所有类型的面向消费者的威胁 – 这一点通过以下各种不同的独立测试得到证实:”实际 环境防御测试”、”主动防御安全挑战”等测试。与此同时,对性能的影响最小,相对于其他安全产品来说此优点尤为突出。但如果使用其他供应商提供的防御功能,那么可能这并不是什么好消息(参见下表),因为大多数流行的产品在独立测试中的表现不佳。免费检查您的计算机,并考虑改为使用值得信任的防御套件。

最佳安卓版安全应用程序

安全并非仅仅是反恶意软件保护。作为一个概念,移动安全由以下几项组成:隐私保护功能、对不守规矩的应用程序的权限限制,备份功能(防备智能手机损坏)、针对骚扰电话的黑名单,以及加密和家长控制功能。安卓是一个非常灵活的操作系统,并且如果您从Google Play中选择合适的安全应用,则能很好地应对这些难题。不过由于存在大量合适的应用程序,因此我们决定做一个最佳安全应用程序的简表,希望对您有所帮助。 App Lock 应用程序和多媒体的密码保护 免费/付费 几乎智能手机上的所有应用程序可对所有人开放,即使您不是机主也可同样使用手机上的所有应用。而事实并非如此。你的朋友可能会拿你的手机”只是想看看里面有什么”,孩子会玩手机,同事和亲戚会纯粹出于好奇摆弄您的手机。对于后两种情况下,图形验证码或PIN锁本可以起到作用,但是在您将手机交给朋友或孩子前,你必须解锁。因此,只需几下点击,您的所有私人数据就会被曝光。App Lock通过创建受保护应用列表来解决这一问题。在启动这些应用时,必须输入一个额外验证码。此外,您还可以在受密码保护的媒体库中存储一些私人照片和视频,剩下的则可存放在普通文件夹中。”偏执狂”用户可以使用App Lock将应用程序隐藏,在这种情况下,应用程序设置只能通过秘密拨号码激活。 App Ops 撤销应用程序权限 免费 无论安装哪些应用程序,安卓系统都会通知您需要哪些权限。如果您碰巧发现新安装的”动态壁纸”需要访问您的联系人列表以获取文本信息(顺便说一下,这是一个非常不好的迹象,在此类情况下,最好不要安装该应用),您别无选择,要么接受不良后果,要么选择放弃安装。然而,越来越多的应用程序需要更多的”额外”权限。事实就是如此,因此Google开发了一款可以对已经安装的应用程序进行权限撤销的工具。此功能在安卓4.3版上可立即获得,被称为App Ops。遗憾的是,在4.4.2版中撤掉了这款工具。App Ops 简单提供对Google的设置屏幕的访问,您可在设置屏幕限制任何应用程序对联系人列表、用户地理位置等信息的访问。遗憾的是,在安卓4.4.2版和之后的版本中,App Ops 功能需要root权限。对于安卓系统4.3以下的版本,不提供App Ops功能,但是LBE Privacy Guard应用程序提供了一套类似的功能。 安卓系统的隐藏功能:撤销已经安装应用程序的权限。例如,您可以通过一款应用程序来禁用GPS跟踪。 EDS 智能手机数据加密 8美元 对于那些在智能手机中存储机密文件的人,类似App Lock的应用程序或PIN码不足以保护数据。在安卓系统3.0版和更高版本中,操作系统提供了对存储在智能手机上的所有数据进行加密的功能。这个进程用于确保数据的最大安全性,但在每次用户希望使用智能手机时,都需要输入一个繁琐冗长的密码,否则这种方法毫无用处。每天输入50次密码令人无比抓狂,因此人们采用了替代方法:只对最敏感的数据加密。类似EDS这样的应用程序是一个合适的选择。它会在智能手机内存中创建一个容器格式文件,并对内容进行安全加密。将文件存放在这样的容器中可确保他人无法访问文件。EDS拥有两种模式。其中较为简单的模式需要完全手动操作容器。更为高级的模式需要root权限:在这种情况下,加密容器在运行时可被当做移动存储驱动器使用。在将文件保存到存储驱动器时,可自动对其进行加密。重要提示:EDS容器与TrueCrypt桌面应用程序兼容,从而简化了系统之间的数据交换。 推荐终端用户使用该应用程序,而企业和公司用户则需要安装一个特殊的MDM解决方案,以提供全面的移动安全方法。 Funamo

七款iPhone应用,为您的安全保驾护航。

苹果手机平台以及基于此平台构建的整个生态系统,以绝对优势领先于其竞争对手,其根本原因就在于该平台具有超高的安全级别:严格验证添加到App Store的每个应用,严格限制程序在操作系统中的功能,将设备中的所有数据自动备份到云 – 这一切使得iOS用起来既顺手又安全。但只有通过苹果默认功能和服务执行的应用才能这样做,如果面临的是非标准任务,比如用密码保护照片,那就不能指望iPhone了,因为iPhone上并没预装任何相关应用。但幸亏有苹果,你总是能到App Store上找到恰好满足需求的应用。正如他们所说,无论你需要什么,总有一款应用能满足您的要求。 上周我们已经讨论过私人即时通信工具;今天,我们将列出一系列优秀应用,为您、您的iPhone及其内容提供保护。 1password AgileBits $8.99 24.8 MB 举凡谈到最佳安全应用的文章中,几乎都少不了提到这款密码管理器。这无足为奇:1password是最流行的一款专用于创建、存储和管理密码的应用,功能强大、使用简单。但它不仅仅适用于密码;它还能存储信用卡、银行帐户、私人契约、会员卡等,举不胜举。而要获取受保护数据,你只需输入主密码即可 – 主密码是唯一必须记住的密码。主密码最好强度高,易于记忆,因为你将通过主密码把所有密码保存在一个位置。 上周我们已经讨论过私人即时通信工具;今天,我们将列出一系列良好应用,为您、您的iPhone及其内容提供保护。 另外,1password不是iPhone专用应用。AgileBits针对各大平台开发了相应的版本,包括:安卓、Mac OS和Windows。此应用在各平台上可以同步,所以如果日常使用的设备不止一台,那么这会非常有用。但不利的一面是,你需要花一大笔钱才能获得所有这些内容:iPhone应用优惠价为8.99美元,若需要桌面版,则费用更高。此外,每次有重大更新时要付费才能获得 – 这是获取一款最佳多平台密码管理器所要付出的代价。 查找我的iPhone 苹果 免费 5.1 MB 几年前,你根本不敢想要找到丢失的iPhone,因为没办法跟踪iPhone。但如今,事情完全不一样了。如果在智能手机上安装了”查找我的iPhone”应用,则有相当大的机会能找到丢失的手机。此应用的原理很简单:激活后的应用会使用GPS、手机网络或WiFi(如果可用)将iPhone的坐标发送到苹果的服务器。设备所有者转至iCloud网站或使用”查找我的iPhone”应用,就能随时获得这些坐标。当然,为此你需要拥有Apple ID;只要你有iPhone或其他任何苹果设备,那你肯定会有Apple ID。 此服务不仅允许你跟踪失窃的手机,而且还能远程封锁手机,并发送一条消息,消息会显示在失窃手机的屏幕上。例如,消息类似于: “谢谢你偷走了旧iPhone 4s。现在我有完美的借口买部新的iPhone

一周要闻:持续关注Heartbleed漏洞事件

与上周一样,Heartbleed大事件仍是安全类新闻的头条。也许我该用整个篇幅来全面概述有关Heartbleed事件的讨论内容,但我不会这么做,因为我想你们可能还希望了解影响外置硬盘知名(时尚)品牌制造商长达一年之久的数据外泄事件;微软的奇怪举动,可能会影响用户安装安全更新;某家搜索巨头的潜在行动计划可能会促进网站搜索优化,使网站做出良好的安全决策;看看终结XP支持对互联网有怎样的影响。 Heartbleed漏洞 如我所说,Heartbleed大事件仍在持续报道中。有可能在之前两周半左右的时间里,你完全没注意过任何相关新闻来源,下面我会对此事件进行扼要概述:Heartbleed是一种加密漏洞,互联网上的任何人都能借助此漏洞来读取通过OpenSSL这种加密实施服务进行保护的机器内存。严重情况下,这块小小的内存中很可能含有用户名、密码,甚至私人加密密钥等敏感信息。要在一条简短的新闻提要中清楚解释整个事件是不可能的,如果您对此事件不是很清楚,请阅读Heartbleed发展概要,文章中进一步分析说明了为什么Heartbleed是一个大事件。如果你对此事件的发展已经很熟悉,请继续阅读本文: 上周末,Heartbleed事态进一步升级,已经从严重但仍认为安全的漏洞过渡到在真实世界攻击中被大肆利用,不断收集真实受害者的信息。一家英国育儿网站Mumsnet被黑客利用Heartbleed漏洞攻击后,被攻击者窃取了存储在该网站上的密码,据报道说攻击者利用这些密码在网站上发布消息。更令人担心的是,攻击者还利用Heartbleed漏洞设法入侵加拿大税务署辖下的系统。在加拿大税务署在使用OpenSSL的补丁版本更新系统之前6小时内,攻击者就盗走了900位市民的社会保险号。 可能导致密码、通信和加密密钥泄露的OpenSSL Heartbleed bug仍是安全行业新闻头条 美国波士顿东北大学的Collin Mulliner发起了一项研究,针对Tor节点随机采样进行检查,根据上周晚些时候发布的报告,Tor匿名化网络中大约有20%的服务器或”出口节点“被发现具有漏洞。 虽然出现了Heartbleed攻击,但概念验证证明,由于事实上存在证书被盗的可能性,而且很多人都知道需要更换可能有漏洞的证书,因此证书撤销和更换潮似乎实际上算不上什么”潮”。简而言之,这些证书可确保所访问的网站正是你要去网站。很大程度上证书在互联网上的信任度非常高。当然,Heartbleed漏洞出现后,证书撤销和更换操作出现井喷,但相对于bug的规模是完全不成比例的。 LaCie长达一年的漏洞 据我同事(每月新闻播客主持人之一)Chris Brook报道,法国计算机硬件公司LaCie(莱斯)本周宣布公司成为数据外泄的受害者,只要去年从公司网站上购买过产品的用户,其敏感信息都面临泄露危险。LaCie最出名的产品可能是彩色外置硬盘。该公司称,攻击者利用一款恶意软件入侵公司在线系统,并利用此软件来盗取客户名称、地址和邮箱地址,此外还包括支付卡信息和卡到期日期。所以,如果你大约在去年直接从LaCie网店买过产品,那么你的信息很可能已外泄,如果情况属实,公司可能已经通知过您相关情况。 微软做出古怪决策;Google搜索算法很可能再造辉煌 微软的行动着实让我想不通,但我想他们肯定有充分的理由这样做。微软最近宣布,不再为运行过时版本的Windows 8.1的用户提供安全更新。要想在未来接收安全更新,客户必须使用最新版本的Windows 8.1更新来更新自己的机器,公司于4月推出此更新版本。 我曾和微软发言人交流过,但他并未详细解释为何公司会做出这一决定。好消息是,微软发言人肯定地指出,此项决定的宣布只会影响很小一部分没有启用自动更新功能的用户。明确地说,就是我们极力推荐启用自动更新,我认为默认情况下大多数商用Windows系统都已启用自动更新。如果您已启用,那么就根本不必有任何担心。如果是手动安装更新,则需要安装4月份的Windows 8.1更新,否则将无法安装微软未来每月发布的补丁。您可自行选择怎样做,但对我来说是完全明摆着的事。 另一方面,有谣言说搜索巨头Google可能会在自己魔法般的搜索算法(至少我是这样认为的)中新增一些算法,此举将极大提高实施加密的网站的搜索结果。《华尔街日报》报道说,此新闻源于该公司搜索算法大师Matt Cutts在一次会议上的发言。Google并未直接否认这些说法,但他们称公司目前对此不置一词。很难说Google是不是会真的考虑增加算法,但无疑这看起来是个不错的主意。 XP的终结? 微软不再对Windows XP提供支持,上个月微软正式发布(终于)针对Windows XP的最后一批补丁。对于是否停止支持XP系统多年来讨论无数,问题主要围绕放弃支持目前仍有多达28%的计算机用户使用的操作系统会带来怎样的影响。目前要对停止支持XP系统产生的影响下结论还为之过早,但如果您仍在运行XP系统,那么可能是时候更新换代了。如果Heartbleed从未现身,我还觉得对此的讨论应到此为止,但是我敢肯定未来我们还将进一步进行探讨。这就是为什么还将讨论XP的终结可能对未来的影响的原因。 移动新闻 最后,但也同样重要的是卡巴斯基实验室研究人员在最新的报告中证实,利用恶意软件盗取安卓用户银行信息的犯罪分子业务繁荣。结束语:总有一天会出现破解那些精心设计的指纹采集仪的入侵行为。

安全网络即时通讯:这是谎言吗?

如今,几乎很少有人会不使用到网络即时通讯。单就WhatsApp来说,全球就有数以亿计的设备上安装了WhatsApp,每天的消息总量达到数百亿条。别忘了除此之外还有Skype、Viber、ICQ以及其他数十种流行度略低的即时通讯工具,包括Facebook、LinkedIn等社交网络中内置的即时通讯功能。然而,正因为即时通讯服务如此受欢迎,所以信息交换的隐私问题自然成为人们的关注焦点。就我们每天通过互联网随时共享的信息量而言,也许说加倍小心隐私问题听起来是很可笑的一件事,但确实在有些情况下,必须完全保证通信的隐私性,杜绝第三方侵犯隐私。那么我们能够在不被任何人窥探的情况下进行网上通信吗?下面我们将具体讨论这个问题。 前言 要着手处理这一问题,我们必须考虑信息链或语音通信会暴露给第三方的方式。暴露方式非常有限:第一,无论哪种性质的信息,包括文本、视频、照片或语音,都会记录在发送方和接收方系统上的本地存储卷中;第二,这些信息通过有线或无线网络传输;第三,由即时通讯服务的服务器处理这些信息(并非强制性的)。对于第一种情况,如果有人能在某种程度上控制对即时通讯历史记录的访问,则在此之后的信息传递过程将完全失控。当然,通过加密可以挽救局面,但并不能绝对保证安全:谁能保证协议肯定没有漏洞呢?尤其是使用通用加密算法的协议。 以Skype为例。不久前,人们还认为Skype是一款非常不错的私人即时通讯工具,是无懈可击的”堡垒”,没有人能攻破,无论是个人黑客还是强大的政府组织都不例外。但自从Skype公司被微软收购而失去独立性后,一切都变了,现在我们无法确保Skype即时通讯百分之百安全。 WhatsApp服务每天处理的消息数达到数百亿条;所以我们几乎没法认为所有消息都是安全的。每个月至少会有一起关于漏洞的新闻(即便只在安卓版中,不包括其他平台),新闻中含有丰富的细节,让我们感到强烈的不安。例如,最近对WhatsApp的一项研究证明,您的设备上存储即时通讯历史记录的加密文件,只需使用一个简单的脚本在几秒内就能被破解。另外要注意的一点是,近期Facebook收购WhatsApp的交易不能说是利于安全即时通讯的:事实上,Facebook创始人马克•扎克伯格斥资数十亿美元购买的是开发团队和技术,而不是用户数据,这是前所未闻的。 公正地说,其他免费即时通讯平台,从Viber到iMessage,都与上述服务一样存在着同样类型的问题。所有这些平台都允许采用相对容易的方法来获取对私人通信的访问。所以,从某种程度上来说,如果此类服务属于大公司的资产,并授权这些公司向政府和执法机构证明拥有这些信息可能还好些。幸运的是,对于某些行为,已经有了应对措施:我们周围有这么多不安全的即时通讯工具,难怪号称更安全的解决方案如雨后春笋般层出不穷。这些解决方案真的能解决重要的隐私问题吗?让我们来具体了解一下。但在此之前,首先必须确定哪种安全级别最适合您。 如今,谈到隐私问题时,日常即时通讯工具已经难以让人信任。当然,确实有一些更安全的替代工具,但这些工具真的能代替Skype和WhatsApp吗? “安全性剧场”是个非常有意思的词。它的含义不言而喻,表示表面上的安全措施,让人们错以为采取了行动,而不考虑行动的效率。如果要找个类比对象的话,公共交通设施的反恐安全措施可与之相提并论:只对有选择的车站进行可疑物体和人员排查。部署在无数住宅建筑中的室内对讲系统也是”戏剧化安全性”的写照。同样的特征也适用于软件领域,尤其是即时通讯。这不一定意味着一些即时通讯工具彻底没用:对隐私问题和高安全级别不挑剔的用户来说,它们不失为很棒的替代工具。毕竟,负责地铁站反恐检查的安保人员也能够提供一定级别的保护。所以话虽如此,我们必须得承认,用户仍可以使用一度曾出过问题的即时通讯应用,只要用户清楚自己需要保护的内容就行:是防范一个醋意十足的热情交友者读取自己的私人信息,还是防范热衷于拦截发送方到接收方之间流量的人员。是的,我们并未将侵犯隐私者正是对话对象这一事实考虑在内:对于这种情况,没有任何高级软件能够保护你。所以,如果你不信任对话者,就不要和他进行即时通信!下面我们将讨论两种类别中提供的流行方案。 安全错觉 我们将以下类型的即时通讯工具归类在此列表中:达不到预期安全级别的即时通讯工具,或无法保证通信不在传输过程中被拦截(中间人攻击)的即时通讯工具。 Confide 从某种意义上说,这是一种独一无二的即时通讯工具:所有通过Confide传入的消息都会用一个矩形盒将文本隐藏起来,只有手指滑过矩形盒时文本才会显示。此外,该应用不会长期存储信息历史记录,所以即便犯罪分子拿到你的手机,他也没法发现你的通信。用户尝试对消息截屏时,会将用户推送回联系人列表,同时对话方也将获得相应的通知。这些功能被应用开发者极力推崇:用户可以阅读信息但无法保存。但唯一的问题是,用户要记录信息时,没法进行截屏,而必须改用相机来逐字记录通信过程。从这方面来说,该应用可以分类为执行”戏剧化安全性”的程序:最新的即时通信和保护和截屏禁用功能只提供安全错觉。它可能适用于希望执行秘密服务代理程序的用户。 Wickr 此应用在设计上并不是很精美,但野心勃勃,将自己定位成不在设备上留下通信痕迹的解决方案:它会同时擦除(有些情况下无法撤销)设备内存和服务器上的信息历史记录,通过政府级安全算法来保护信息,为接收方提供控制存储时效的方法,并禁用信息复制。此应用类似于上一个应用,也依赖于智能手机功能的技术限制。 Telegram 谈到安全即时通讯工具时,我们怎么能忽略Telegram,大概这是最广为人知的以”安全”为品牌口号的即时通信工具了。为什么我们会把它包含在”戏剧化安全性”即时通信工具列表中呢?因为该应用的开发人员声称的”前所未有的”安全性从未得到过客观方面的证实,而这正是其遭人诟病之处。 许多人告诉我们,该解决方案的创建者曾宣称,若有人能入侵Telegram的MTProto协议,将给予20万美元的奖励。事实下,对于大多数人来说,这种自信本身就会导致人们对该即时通信工具的可靠性产生强烈质疑。但是拦截此即时通信程序的工具最初效率低下,也无法对协议进行压力测试。cryptofails.com创始人在指出这一事实的同时还评论说,MTProto是一种极不安全、也不可靠的算法,”它忽略了近20年来发布的所有意义重大的信息加密研究成果”,他建议开发者应该聘用真正的信息加密专家来审核Telegram。 另一个令人好奇的细节是:无论Telegram是基于哪种复杂协议,对于直接的应用攻击来说都脆弱无比。我们在此讨论的并不是流量拦截,而是与此相比简单得多的情况。即在注册时,用户会通过手机收到一条文本信息,用户必须输入收到的安全代码后才能激活应用。但如果黑客控制了受害者的文本信息,即可以使用他人的代码来激活自己的应用副本,结果他就可以接收发送给受害者的所有信息。假设默认情况下”安全聊天”功能未启用,那么通信隐私会在很大程度上受到影响。 Telegram的优点是速度快:信息几乎能实现即时收发,速度明显快于其他即时通信工具。所以,这是一款高速即时通信工具吗?回答是肯定的。安全吗?只能说是相对安全。 真正安全 此类别包括满足以下条件的应用和服务:具有一定安全级别,与官方宣称的特点相符,基本能够保护通信,阻止第三方对通信进行访问攻击。 Threema 这是一个瑞士项目,在宣布收购WhatsApp后,越来越受到人们的欢迎。开发人员承诺保证通信的安全性:首先,此软件能对传输中的数据进行可靠加密;其次,添加新联系人时,它会通过面对面确认来保护用户隐私。第二个措施是假设对方用户必须亲自见面,并从彼此的手机中扫描QR码,这种方法从安全角度来说是可取的,但在许多情况下实施起来却极为复杂。当然,你可以用老式方法,即通过手动输入用户标识来添加新联系人,但在这种情况下,安全级别会降低。值得注意的是,开发人员并未夸大其辞地证明自己的即时通信工具能够提供”前所未有”的安全级别,也没有作出任何虚假承诺。没错,此外,此应用的价格为2美元,只用付一次钱。 Silent Circle 这是知名信息加密权威开发的极少数项目之一。开发团队中就有PGP加密技术的开发者Phil Zimmerman。与Telegram类似,Silent Circle服务也同样依赖于专用算法SCIMP。这种算法优点在于它能完全擦除已发送信息,完全不留痕迹:不管是发送方还是接收方都无法在自己的设备上恢复通信的任何部分。这种功能可通过手动或自动方式启用:信息发送后经过一段特定的时间,即被自行删除。但此即时通信工具的主要优点在于此软件具有强大的通信流量加密功能,所以即便信息被拦截也没用。另外,此解决方案假设传输的是经过加密的包含文本、视频和音频信息的流量。至于其他方面,很遗憾此即时通信工具仍存在一些弱点。从含糊的注册流程到较高的价格:Silent Circle的年费为100美元。 TextSecure

网络游戏中的五大威胁

不久前,打游戏还只是青少年热衷的一种娱乐活动。但现在这一情况已发生了变化,游戏日渐收到大家的热捧,现在几乎无处不在。几乎每个人都玩过游戏。不管是《糖果粉碎传奇》(Candy Crush Saga)、《星战前夜》(EVE Online)、休闲益智游戏QuizUp还是《坦克世界》(World of Tanks),即使是偶尔玩在线游戏的人,这些游戏名也一定不陌生。也许你不会通过游戏机或电脑,而是喜欢用平板电脑来打游戏,或者可能你只在每天通勤路上花10分钟时间玩游戏;但这些都不重要。你必须知道的是打联机游戏具有一定的风险。你得知道并提高警惕。从普通的骗子到黑客,都能利用最近曝光的Heartbleed漏洞入侵游戏开发者的帐户,一旦被入侵后,不管是你的游戏、心情还是个人财产统统会受到影响。下面列出了打联机游戏的玩家所面临的五大主要危险: 5. 网络钓鱼 有些骗子会发送一封假冒电子邮件,其中含有一个链接可转至其网站(也是假冒网站),这些网站与花旗银行、Facebook或Gmail极为相似,这一行为被称为网络钓鱼。犯罪分子的目的是骗取你的登录凭证或信用卡详细信息,并最终窃取你的数据甚至是钱财。事实证明,这一做法对于攻击游戏玩家非常有效。犯罪分子先构建某个联机游戏的假冒网站,然后催促玩家”变更密码”或”验证帐户”,并威胁说如果不这样做会封锁玩家的帐户。一旦按其要求进行操作后,黑客即可盗取你的游戏帐户,并将其拿到黑市上转卖出去。 解决方法:切勿点击电子邮件中的链接。打开网络浏览器,亲自输入游戏的网址,登录到自己的帐户来执行需要的任何检查/确认。另外,请使用在线防护,这可阻止浏览器打开假冒网站。 4. 恃强凌弱 如今,几乎每种联机游戏都含有某种形式的聊天。你可以使用耳麦和其他玩家对话,或者使用位于屏幕角落看起来还不错的旧式文本框进行聊天。对于某些游戏,团队成员之间进行此类通信至关重要。但遗憾的是,此工具被大范围地滥用了。在联线对战最激烈的时候,你可能会听到一些咒骂,或者一些人身攻击。因为大多数游戏竞争过于激烈,因此总是会出现贬低在当前场景中失败的玩家的情况,但有些玩家却做得太过份,而演变成常常会欺负其他玩家。在有些游戏中,尤其是专注于联机人物”虚拟生命”的玩家,这种聊天很可能会变成进行人身攻击的场所,导致不愉快的交谈。 解决方法:立即阻止任何言语攻击者;不要和对方继续玩游戏或聊天,并告知游戏骚扰小组对方的昵称。切勿向游戏玩家透露自己的真实身份或个人信息。如果玩游戏的是你的孩子,请教会他们与父母讨论此类事件,并确保他们都十分清楚”陌生人=危险”这一原则也同样适用于联机游戏。 3. 骗子和诈骗犯 游戏中的商品能在官方游戏市场以外被交易,极大增加了玩家被骗的机率。 根据不同的游戏类型和规则,有多种诈骗途径 – 有些被视为是合法的或半合法的,有些则不是。在各种骗局中,最严重的是利用修改过的游戏客户端(或者甚至是机器人程序)使游戏条件优于普通玩家 – 速度更快、更精确等等。此外,一些玩家利用在游戏服务器代码中发现的错误在游戏中占据先机。其他诈骗方法有修订游戏,通过虚拟团伙抢劫新手玩家,或者采用某种虚拟诈骗。对于游戏中的经济,有着几个世纪历史的诈骗模式有时仍会生效。玩家可能会碰到有人给自己一些库存,或者以优惠价格提供游戏攻略,但此类行为往往最终证明是一场骗局。 解决方法:如果有人吹得天花乱坠,几乎不像真的,那么很可能是骗人的。不要接受陌生人提供的任何可疑内容。如果注意到有人在游戏中的进度过快,请向支持团队进行报告。大多数联机游戏都有严格的规范,可以立即把骗子踢出游戏。 2. 人物/库存盗用 犯罪分子可能会瞄准的目标有四类:游戏中的资源、发展良好的游戏人物、付费游戏帐户或关联的信用卡数据本身。最后一类要作为目标具有难度,但其他几类则能通过多种途径盗用:网络钓鱼、专用密码窃取恶意软件、某种类型的游戏内诈骗等。关键要点是 – 玩家的人物或帐户越好,则犯罪分子瞄上你的可能性就越高。对于在全世界范围内拥有海量忠实受众(和玩家)、发展成熟的游戏来说,尤其如此。 解决方法:打游戏过程中,你必须对自己的帐户提高警惕。为帐户设置双重认证,游戏帐户和电子邮件地址使用复杂、唯一的密码,对设备使用强安全性解决方案,监视网络钓鱼邮件和其他试图骗取凭证的活动。 玩家在游戏中的角色越出色,则被犯罪分子盯上的可能性就越高。

从Heartbleed漏洞中吸取的教训

我的工作内容不仅仅是分析各种恶意软件和漏洞,也不限于讨论最新的安全威胁,而更多大的一块工作是尽力向用户说明并教会用户如何构建安全性。因此,我设法重点说明的一些主要话题包括备份、防御恶意代码、通过打上最新的安全补丁使系统保持最新,当然还有使用加密方法的必要性。我敢肯定,你之前一定听说过所有上述的内容,对吗? 但如果使用的安全软件有漏洞,成为攻击者的攻击入口时,我们该怎么做? 这是目前热议的话题,尤其是近期曝出了OpenSSL Heartbleed攻击后讨论更为激烈。我决定让此专栏更具我的个人风格,因为我能肯定的一点是你们都能找到无数有关SSL及Heartbleed攻击的文章,但我想分享的是我本人对这些类型的漏洞为何变得如此严重的一些看法。 但在开始讨论Heartbleed攻击之前,我想提一下我们如今看待安全产品和解决方案失效时的心态问题,这一点很重要。我们往往是通过安全产品或解决方案的各种功能和特点来对其进行评估的,如果其符合我们所要达到的目标,则我们会选择购买。 我们如今看待安全产品和解决方案心态并不乐观 – @JacobyDavid 问题是我们往往会忘记安全产品并不能解决我们的所有问题。我们需要理解的是安全产品和解决方案体现的是安全思维。 那么为什么我要讨论OpenSSL Heartbleed漏洞问题呢?我想从一般意义上说,我们都假定互联网运行正常,是一个安全的平台。我们通过互联网传递非常私人的信息、进行约会、购物、通信、管理财务等等。正因如此,互联网的缺点就是一旦出问题,情况就会很快恶化,变得非常糟。 互联网存在的一个大问题是其极端分立性。有些网上资源具有安全性极高、非常稳健的基础架构,而另一些资源则完全忽视这一点,极为脆弱,漏洞百出。此外,有些站点非常安全和稳健,但由于存在大量系统依赖性而导致这些站点变得很脆弱。保护IT系统中的每一个部分的安全性几乎不可能实现。 互联网基础架构一旦出问题,情况就会很快恶化,变得非常糟。 使用互联网时,我们需要预见最糟糕的情况并采取相应的措施。问题是我们还会使用互联网世界以外的可信资源,例如医疗系统、政府部门或其他系统,而这些系统也全部使用的是互联网。所以,一旦出现类似Heartbleed漏洞这样严重的问题时,影响是巨大的。 一旦犯罪分子开始利用Heartbleed漏洞,很难说Heartbleed攻击的传播范围会有多广,影响会有多大。但想想看要是有人能够复制整个世界所有银行保险库的钥匙会怎样?这乍一听确实非常严重,但也完全取决于保险库所存放的物品。 我希望近期不要只盯着这类安全漏洞不放,因为我们这一段时间会忙着解决这一问题。但我们需要记住的是软件只是软件,其中总是会出现或多或少的漏洞。我们还需要了解的是,即便进行备份、加密和防御恶意代码,也仍然有可能会泄露敏感数据。一旦数据泄露,我们需要想尽一切办法,使这些数据无效,让犯罪分子无机可乘。

哈希算法创造奇迹

密码哈希函数(通常简称为哈希算法)是一种数学算法,用于将任意一组数据转换成长度固定的一串新字符。不管输入数据的长度是多少,同类型的哈希算法始终输出固定长度的哈希值。 因此,根据网上的SHA-1哈希生成器(SHA-1与MD 5和SHA-2都是部署最广泛的一种计算哈希函数),比如我的名字Brian生成的哈希值为:75c450c3f963befb912ee79f0b63e563652780f0。可能其他”Brian”会告诉你说,Brian这个名字被误拼成”brain”是极为常见的事。实际上,我以前有一张驾照上面的名字就被拼成了”Brain Donohue”,但这另一个故事了。brain通过在线SHA-1生成器生成的SHA-1哈希值是:8b9248a4e0b64bbccf82e7723a3734279bf9bbc4。 你看,这两个输出值截然不同,虽然在名字中Brian和表示中枢神经系统器官的这个单词brain之间差异完全在于连续的两个元音字母的位置(”ia”和”ai”)。更明白地说,如果我只把名字的第一个字母改为小写,SHA-1生成器的也会返回完全不同的哈希值:760e7dab2836853c63805033e514668301fa9c47。 密码哈希函数是计算中使用最普遍的工具,几乎可用于一切计算,从身份验证到恶意软件检测再到文件保护。   您会注意到,上述所有哈希值的长度都是40个字符,这并不令人吃惊,因为上面输入内容的长度均为5个字符。但如果在哈希生成器中输入本文到目前为止的所有单词,你会吃惊地发现返回以下哈希值:db8471259c92193d6072c51ce61dacfdda0ac3d7。也就是这1637个左右的字符(包括空格)和上面的5个字符的单词一样,经压缩后输出40个字符。你可以用SHA-1哈希算法对莎士比亚全集进行计算,最终也是输出40个字符。而最让人吃惊的是绝不会有两个不同的输入生成相同的哈希输出。 下图由Wikimedia Commons制作,说明的是上述概念,供您直观地学习: 哈希算法适用于哪些情况? 问得好。但很遗憾,答案是密码哈希算法适用于很多很多种情况。 对你我来说,最常见一种哈希算法形式是对密码进行哈希加密。例如,如果忘记了某个在线服务的密码,则很可能必须执行密码重置。重置密码时,通常你不会收到返回的明文密码。原因是在线服务并不会存储您的明文密码,而是存储密码的哈希值。事实上,该服务(除非使用的是极其简单的密码,这种密码的哈希值广为人知)并不知道您的真正密码。 确切地说,就是如果你收到的返回密码是明文,则说明你使用的在线服务未对密码进行哈希加密,这不失为一种羞耻。 您可以通过在线逆向哈希生成器自行进行测试。如果生成不安全密码(例如,”password”或”123456″)的哈希值,则在逆向哈希生成器中输入该哈希值时,逆向哈希生成器很可能会识别出示例中任一密码的哈希值。对于前文所举示例,逆向哈希生成器可以识别出”brain”和”Brian”的哈希值,但无法识别出代表本文正文的哈希值。所以哈希值输出的安全性完全依赖于输入数据,而输入数据几乎可以为任何内容。 对于这一点,据上月晚些时候TechCrunch的报告,流行的云存储服务Dropbox依据美国《数字千年版权法》,阻止了一名用户共享受保护内容。该用户在Twitter上写道,他被阻止共享特定内容,这一事件经由Twitter迅速发酵升温,人们对于Dropbox必定窃取了用户内容而大为不满,尽管隐私政策中明确承诺不会这样做。 当然Dropbox实际上并未窃取任何用户内容。据TechCrunch的文章中所述,导致这一事件发生的可能原因是版权持有者拿到版权文件(也许是数字版歌曲或电影)后,通过哈希函数来传送该文件。取得输出的哈希值后,他们将这一串40个字符加入了某种版权保护资料哈希黑名单。这样在用户尝试分享该版权保护资料时,Dropbox的自动扫描程序就会挑选出列入黑名单的哈希值,从而阻止资料分享。 所以,显然你可以对密码和媒体文件进行哈希加密,但密码哈希函数还有哪些其他用途呢?同样,实际答案是哈希函数的用途远远超出我的所知,也不在我的写作关心范围内。但是还有一个非常贴心的哈希应用是Kaspersky Daily。哈希算法被卡巴斯基实验室等反病毒软件公司用于恶意软件检测,部署广泛。 同样,电影制片厂和唱片公司也制定了哈希黑名单来保护版权数据,此外还有数量不定的恶意软件哈希值黑名单,其中大多数公开提供。这些恶意软件哈希(或恶意软件签名)黑名单由恶意软件哈希值或更小的可识别恶意软件组件的哈希值构成。一方面,如果用户发现了可疑文件,则可以在众多公共可用的恶意软件哈希注册表或数据库中选择一个来输入该文件的哈希值,输入后注册表或数据库会通知用户该文件是否为恶意文件。另一方面,反病毒引擎识别并最终阻止恶意软件的一种方法就是将文件哈希值与引擎自己的(以及公开的)恶意软件签名存储库中的进行比对。 密码哈希函数还可用于确保消息完整性。换言之,你可以借此确保某个通信或文件未被窃取,方法是检查数据传输前后生成的哈希输出值是否一致。如果前后哈希值完全一致,则传输可称得上是可靠的。

“Heartbleed”漏洞恐令数千网站泄密

更新:在上一篇有关此漏洞的文章中曾提到(引用了Github上的列表)HideMyAss网站用户受到Heartbleed漏洞的威胁。但该网站发言人与我们联系表示,他们的用户并未受此漏洞的影响,所以我们从受影响网站列表中删除了此网站。 更新2:专栏已更新受影响服务列表,这些服务官方推荐更改用户密码。 NPR(美国国家公共广播电台)主播David Green在早8点主持的《早间节目》中讨论安全漏洞话题后,人们都知道了安全漏洞是非常严重的问题。昨天早上的节目中又提到了此话题,这次是OpenSSL中的一种严重的加密漏洞,被戏称为”Heartbleed”(心滴血)。OpenSSL可能是互联网部署最广泛的加密库。如果您不是很清楚什么是OpenSSL,别担心,下面我会用500字左右的篇幅来尽量解释清楚整个原委。 与网站建立起加密连接后,数据都将使用SSL/TLS协议进行加密,不管你连接的Google、Facebook还是网银。许多流行的网络服务器利用开源OpenSSL库来执行此加密作业。本周早些时候,OpenSSL的维护人员针对一种严重漏洞发布了修订,此漏洞在实现TLS功能时出现,称为”Heartbeat”(心跳包),攻击者借助此漏洞可从服务器内存中读取多达64 KB的数据。 换句话说,如果保护机器的库是有漏洞的版本,那么互联网上的任何人都能通过该漏洞来读取机器内存。最坏的情况是这一块小小的内存中可能含有敏感数据 – 用户名、密码,甚至包括服务器用于加密连接的专用密钥。此外,利用Heartbleed漏洞不会留下痕迹,没有确定的方法来判断服务器是否被黑客入侵过,也无法断定哪类数据被盗。 好消息是OpenSSL修复了该漏洞。但坏消息是没有办法保证受Heartbleed漏洞影响的这些网站和服务实施补丁来减轻漏洞的影响。更多的坏消息是,该漏洞很明显能够被轻松利用,而且可能已存在长达两年时间。这意味着许多流行网站的安全证书已被盗,包括密码在内的敏感用户数据也很可能遭窃。 用户行动计划 更新:Mashable收集的清单列出了来自受影响网络服务的正式PR回复。为了节省阅读表格并检查证书(下面有更多检查相关内容)的时间,只需在以下所有站点上更改密码即可:Facebook、Instagram、Pinterest、Tumblr、Yahoo、AWS、Box、Dropbox、Github、IFFT、Minecraft、OKCupid、SoundCloud和Wunderlist。请对每个站点使用唯一密码! 检查自己喜欢的站点是否有漏洞。有多种在线工具可检查是否存在漏洞,但你还需要知道之前是否有存在过。很幸运,你可以根据一个长长的流行网站列表来检查是否有漏洞。好消息是,PayPal和Google未受影响。坏消息是,Yahoo、Facebook、Flickr、Duckduckgo、LastPass、Redtube、OkCupid、500px及其他许多网站都存在漏洞。如果您在这些脆弱网站上有注册有帐户,请准备好随时行动。 立即检查网站是否有漏洞。有一个简单工具可用于此检查。 网站所有者修复漏洞后,还需要考虑重新发布网站证书。因此准备好监视服务器证书,并确保使用的是最新证书(4月8日或之后发布的证书)。为此,请启用浏览器中的证书撤销检查。下面举例说明了如何在Google Chrome设置中启用此项。 此项将阻止浏览器使用旧证书。要手动检查证书发布日期,请点击地址栏中的绿色锁图标,然后点击”连接”选项卡上的”信息”链接。 对服务器打补丁并更新证书后,最重要的一步是立即更改密码。此时可修改密码策略,并开始使用容易记忆而又安全的密码。您可以使用我们的密码检查程序来检查新密码是否安全。

警告:小心预装恶意软件!

中国主要电视台CCTV每年3月15日,即国际消费者权益日都会举办”315晚会”。这个一年一次的盛会上会大量揭露与消费者侵权相关的事件。今年晚会上公布的多个侵权事件中,其中一例是智能手机销售渠道商在安卓手机上预装恶意软件,然后将其销售给不知情的用户。 如节目中所揭露的,预装的恶意软件名为DataService: 在有关于此的另一则新闻中,我们发现了此恶意软件的md5: 这种恶意软件被卡巴斯基检测为Trojan.AndroidOS.Uupay.a。它不是一种独立的程序,而是与普通的安卓应用程序一起工作,这意味着大多数用户对此一无所知,直到收到夸张的电话帐单时才会发现有问题。那么”DataService”恶意软件究竟是做什么的呢?据报道,它可以上载大量信息,像IMEI、MAC地址、手机型号、安装应用列表等。此外,还能推送大量广告,并下载特定应用程序。下面我们将从代码级别深入地了解并验证这些功能。 首先,我们将从大体上来看看该恶意软件应用包中解压出的AndroidManifest.xml,它提供了关于应用的基本信息。只需看一眼,我们就能看出该文件确实获取了各种敏感权限,其中一些权限会让您进行消费,并有权访问您的敏感信息: 另外还有一些URL引人注意: 稍后我们将解释这些URL是如何使用的。 对此恶意软件的某些变种进行反编译后,我们发现,它们都包含名称类似com.google.hfapservice和com.uucun.android的软件包。 虽然名称中包含google,但com.google.hfapservice与google没有任何关系,它可用于在后台下载其他应用。 下载后以静默方式安装。 它使用Airpush提供的推送服务: 运行用于访存和显示被推送广告的服务: 下载被推送的应用: 它还能从手机中获取各种细节信息,包括IMEI、MAC地址、手机型号、安装应用列表等。 名称类似com.uucun.android的软件包还含有代码,用于显示、下载和安装此软件包中的广告或其他应用。 从手机中收集信息: 然后将这些信息发送到服务器: 使用动态分析,我们跟踪到该恶意软件的网络流量,发现它会向http://******mall1.plat96.com/进行请求,以获取需要访存的应用列表: http://******mall1.plat96.com/本身看起来是某种类型的非官方安卓商店: 我们从访存列表中下载了一些应用,所有这些应用都包含与DataService类型相同的恶意软件。 现在,我们已经很清楚DataService恶意软件的主要功能,但我们的目的并不仅于此。这种恶意软件是怎样预装到数量如此庞大的全新手机中的?在”315晚会”上,CCTV的记者揭开了神秘的面纱。记者发现,一家附属于大唐电信科技产业集团的公司高鸿股份使用产品”大唐神器”来提供一种安卓应用预装服务。截止目前,高鸿股份已经拥有4600多家预装加盟代理商。这些代理商安装的应用数已超过4600万,每个月都会有100多万台手机上预装各种应用。 “大唐神器”究竟长什么样?它看上去不像一件艺术品,只是像下图这样的一个设备。 据称此设备能够在几分钟内就将设备中的所有应用自动安装到安卓手机上。下面的应用菜单附带价格表,每安装一件的价格从10到50美分不等。 通过预装列出的应用,高鸿股份加盟商即可以向高鸿收取费用,具体根据安装的应用数量计费。 此外,有报告指出,高鸿预装的应用会窃取用户的隐私信息。高鸿承认确有此事,但同时声称他们只是收集IMEI、MAC地址、型号和应用列表等统计信息,不会采集与手机号、通讯录和通话记录等相关的信息。但我们发现收集用户敏感隐私信息的Trojan-Spy.AndroidOS.Agent.k似乎与高鸿有着某种关系。 从反编译的代码中,我们可以看出它确实能上传用户的通话记录,并在30秒后重拨。 只要对www.goohi.cn执行简单的ping操作,就可以验证该IP地址是否确实与高鸿相关。 我们看到的IP地址与在恶意软件中看到的完全一样。虽然CCTV曝光说DataService恶意软件可能已预装到手机,也提到高鸿的”大唐神器”可用于此目的,但单从CCTV的报道来看我们还无法确认这两者间有确实的联系。然而根据”uucun”和一则有关uucun的新闻,我们发现它具有能在1亿多台手机上进行预装的预装渠道。 这不能不让我们对DataService恶意软件的预装渠道展开联想。

Windows XP,一个时代的终结(2001-2014)。

在2001年10月25日这一天,微软公司推出了当时最新的操作系统解决方案: Windows XP。推出后仅三天的时间内,微软即售出了超过30万套 XP操作系统:该全新操作系统拥有众多出色性能,包括:改进的图像用户界面、集成化的CD刻录软件、适用于液晶显示器的ClearType字体平滑功能、图片和传真查看器、快速用户切换等一系列优点。同时,在这一全新系统下还包括一些革命性的改变:相比于Windows 95/98,XP的内核是基于更稳定和安全的企业级NT架构。在此后的10年中,稳定的内核加上改进后功能丰富的用户界面使得微软成为了最流行的操作系统。微软之前已将对XP的支持延长至12年而非通常的10年,在这期间还发布了3个主要补丁包对该操作系统进行显著的改进和升级。而长盛不衰的XP操作终于在今天,2014年4月8日走到了它”生命的尽头”。 寿终正寝? 微软高管在今天宣布”不再提供扩展支持”让人有些始料不及,但这到底意味着什么?微软已有多年未给XP操作系统添加任何新的功能,而今天针对新发现漏洞和安全威胁所发布的最新补丁也已到期。当然你还是能够使用XP操作系统,但这些补丁将无法在未来起到任何作用,这意味着你的电脑将无法应对任何安全方面的威胁。这些因素将使你的个人电脑在运行时更容易感染病毒。 Windows XP将不会停止运行,但微软将不再协助解决任何安全问题。 XP-Apocalypse XP-Apocalypse(XP末日),又被称为XPocalypse和XPiration,这些词代表了一些专家的观点。他们预计仍旧坚持使用XP系统的许多企业系统和嵌入式解决方案将出现许许多多的问题。例如,作为ATM机制造商的NCR公司,其95%的ATM机依然使用的是XP系统,而仅有三分之一的ATM机转而试用更新的操作系统版本。 这些安装Windows XP机器设备的命运受到了高度的关注,因为它们的安全性将遭到严峻的威胁。就在微软计划于5月针对Windows 7/8升级发布全新漏洞补丁的同时,一些黑客很可能通过分析这一补丁并找到几种也可能适用于XP的bug,但由于XP系统将从此无法获得定期更新,因此极易受到攻击。考虑到这里点,黑客们将找到更新的方式潜入基于XP的系统。考虑到众多基于XP的机器设备通常用于控制ATM机,医疗器械、灯光辅助系统及诸如此类的解决方案,由黑客而引起的损失将难以估计。 企业XP支持服务年花费超500万美元。 与微软签署进一步技术支持协议的公司可能将幸免于难。目前尚未出台具体的相关价目表,但从目前的一些消息来看,公司每年所需为XP支持服务支付的费用大约在60万至500万美元之间。对于大多数公司来说,这一费用确实让他们有些难以承受。 一个时代的”终结”即将来临 Windows XP已发现的总漏洞数量大约在726个,仅2011年一年记录在册的就有101个。 有些人可能会抱怨,微软不再愿意为使用长达10年之久的旧操作系统进行更新,从而再提供5年的免费服务。而保持XP操作系统的安全变得越来越具挑战性,这并不仅仅是因为几个bug或漏洞:根据编程原理,XP当初的设计根本无法应对如今各式各样的网络威胁,这就导致XP更容易受到威胁和攻击。微软根据自己的调查显示,每1000个反病毒扫描系统中,就能检测出9台受病毒感染的XP系统电脑。这一数字分别是受感染Windows 7和Windows 8系统个人电脑的两倍和四倍。然后这并不令人吃惊,毕竟Windows 7和Windows 8系统是开发于黑客盛行的21世纪,在对这两个操作系统编程时显然将众多的黑客攻击问题考虑在内。即使打上专门强化安全性的补丁包,Windows XP依然不断遭受到威胁。在XP系统服务的这些年里,总共有726个漏洞被打上了补丁,从发售当年的10个飙升至2011年的101个。 与XP有关的方方面面 请勿将XP系统误认为是保守的解决方案,因为其仅适用于反对所有新开发产品的ATM和个人电脑顽固派。根据调研公司NetMarketshare的最新数据报告,有多达27%联网电脑依然使用XP操作系统。事实上这一数字相比去年减少了10%,但依然还有人坚持使用过时的XP系统,无论出于何种原因,接下来他们将面临困境,坦白说,是巨大的困境。那我们能为这些用户提供哪些建议呢? 尽管微软不再对XP系统提供任何支持,但依然有多达27%的联网电脑坚持使用Windows XP。 没什么比升级换代更好的了,如果能够用上更新的和安全的操作系统,那就行动吧-是时候做出改变了;

罪犯落网!三月被起诉的网络犯罪大案

网络犯罪分子犯案不止,执法机构成功将其抓拿归案。此类事件每月都有发生,下面我们将谈谈三月份最令人关注的案件。 盗版罚款 300万欧元 – 这是两名法国人将因传播盗版多媒体内容而被判缴纳的罚款金额。几年前,两名年轻人建立了一个名为”Undeadlinks”的网站,在该网站上,任何人都能查找并下载有版权的音乐和视频。非法内容的资源受到了极大的欢迎,因此两位网站所有者决定以此获利。相对于两人从学校获得的奖学金,这笔收入无疑相当巨大,但却无法永久地持续下去:该网站被当地的反盗版协会认定为盗版网站,并向法院提起诉讼,起诉了Undeadlinks及其两位网站创建人。此案件得到了华纳、迪士尼、环球唱片等大公司的极大支持。本案将于4月开庭审理。 因试图窃取1500万美元而被判20年监禁 美国检察官宣布起诉三名男性入侵大量金融机构的美国客户帐户,试图窃取至少1500万美元。起诉书中称,这三名犯罪分子皆为男性,分别是Richard Gundersen、Oleksiy Sharapka和Leonid Yanovitsky,他们是国际网络犯罪圈的成员,曾用一年多的时间取得了对帐户的未授权访问,这些帐户分属美国摩根大通银行、PayPal、花旗银行和其他公司。Sharapka和Yanovitsky尚未逮捕,但Gundersen预计将于今年晚些时候出庭。这三名共谋犯若罪名成立,都将面临最长达20年的监禁。 泄露Windows 8面临监禁 三月下旬,FBI(美国联邦调查局)逮捕了俄罗斯籍程序员Alex Kibalko,他曾是微软雇员,据称窃取了商业机密,并泄露了Windows 7和Windows 8的保密Beta版副本。检查官表示,Kibalko定期与一位不具名的法国技术博主分享软件。他供认是在微软收到工作表现评估不佳后开始这一犯罪行为的。该名泄密者还被诉窃取了微软用于防盗版的”激活服务器软件开发工具包”。法国博主与另一位程序员联系,询问自己从其他地方获取的一段代码是否真的属于新版Windows操作系统,公司由此才发现该名雇员泄露了软件信息。调查过程持续了一年多,涉及扫描该博主的私人Hotmail帐户来跟踪泄密者的身份,调查人员将此称为”特别行动”。Alex Kibalko将被处以2.25万美元的罚款和三个月监禁。 即使躲到泰国,也无法逃脱正义的审判 应瑞士方面的要求,数年前因在许多大公司传播Zotob恶意软件而臭名昭著的黑客Farid Essebar三月份在泰国曼谷落网。据称,现年27岁的黑客被控在一帮网络犯罪分子的帮助下,入侵了欧洲的银行计算机系统,造成价值40亿美元以上的损失。泰国当局表示,过去三年Essebar和其他三名同伙一直在泰国及邻近各国游荡,所花费用均来自犯罪所得。这不是Essebar第一次面临审判:大约十年前,他曾被判入狱两年。正如我们看到的,那次牢狱之灾对他的行为不济于事,而现有他再度有机会来反省自己的行为是否正确。 移动应用程序盗版者服罪 $700,000. Both men, scheduled for sentencing in the summer,

爱心软件:五大有益的病毒程序

现如今,网络战争和网络黑手党四处横行,很难回想起计算机病毒和蠕虫程序还只是研究项目或恶作剧的时代了。那时候,写恶意软件没有利益驱动,也并不是每位病毒创建者都心怀恶意。这就是为什么一些程序员会孜孜不倦地探索编写”有用”病毒的可能性,或者尝试将编写的病毒产生的负面影响降至最低。在一些特殊情况下,病毒甚至能够清除危险的恶意软件,或优化计算机资源。下面让我们看看过往五大最知名的”爱心软件”(与恶意软件相对)病毒。 5. Creeper(1971年) 已知的最早的计算机病毒实际上是学术研究的成果,和你想的一样,这种病毒是无害的。它被命名为Creeper,出现在1971年,是由美国国防部国防高级研究计划局的一名雇员所编写的。这种原始的蠕虫病毒可查找网络中的其他计算机,当时这种病毒传播是小范围的局部事件,它在计算机之间移动的同时会进行自我复制,并显示”我是Creeper,有本事来抓我呀!”一旦Creeper在计算机中发现已有一个Creeper,就会跳过该计算机,继续寻找下一台计算机。它不会对计算机系统本身造成任何损害。 4. Stoned(1988年) Stoned是另一个非常”有意思”的病毒,它的主要用途是向用户发送消息。1998年在新西兰首次检测到此病毒。这是一种引导病毒,修改的是软盘的引导扇区,而不是可执行文件。和Creeper一样,它也不会给计算机造成任何损害。它只是在计算机引导期间在屏幕上显示一则消息:”你的计算机石化啦!”。有些采样中还包含更加具体的行动口号:”大麻使用合法化”。看样子,这一病毒传递的消息到2013才最终达到了要求的目的(大麻合法化纳入美国政策)。 3. HPS(1997年) “恶作剧病毒”的头衔一直牢牢把持在HPS手中,这是一种专门针对Windows 98操作系统开发的程序,但事实上在此系统发布之前,HPS就已经散播了好几个月了。关于此病毒离奇的一点是它只在每周六发作:一周一次发作时,它会将计算机中所有未压缩的位图对象全部翻转。通常这会导致Windows重启和关闭以镜像状态显示的图像。 2. Cruncher(1993年) Cruncher是九十年代的一种典型驻留型文件病毒。它会感染可执行文件,并使用算法(窃自当时流行的DIET实用程序)来压缩数据并对被感染文件打包,这样被感染文件的长度会比原始文件短,但功能并不受影响。这种病毒帮助用户释放硬盘空间。 1. Welchia aka Nachi(2003年) Welchia病毒是”最有助益的蠕虫病毒”竞赛中实力强劲的竞争选手。2003年,当时个人防火墙和定期软件更新还并不常见,因此计算机只要接入网线就很可能会感染上病毒。原因在于Windows网络相关组件中有严重漏洞,能被无数网络蠕虫病毒加以利用。其中散播最广的此类恶意软件是Lovesan(即aka Blaster),这种病毒能设法使某些公司的整个网络陷入瘫痪。Welchia利用的漏洞正与Lovesan的相同,但它的下一步操作却极出人意料,它会检查处理器内存中是否有Blaster病毒。若是检测到该病毒,则会使其停止运行,并从磁盘上删除整个恶意文件。但Welchia的善意之举还没完:删除恶意软件后,这个”善良”的病毒会检查系统中是否有更新可为该漏洞打补丁,然后该蠕虫病毒会渗透到系统中。如果没有发现系统中有这样的更新,它会启动从制造商网站进行下载。完成这一系列行动之后,Welchia会自行销毁。 如今,几乎所有的病毒在编写时只有一个目的:盗取资金或保密数据 千万别误解了我的意思,即便是无害或”有用”的病毒也不应该出现在你的计算机里。它们可能会因编程错误危害计算机,而这种错误可能编写病毒的程序员本身都无法修复。甚至功能单纯的程序也会对计算机产生负面影响,比如占用计算机资源。但如今”非恶意软件”概念本身与此无关。 “如今,几乎所有的病毒在编写时只有一个目的:盗取资金或保密数据。”卡巴斯基实验室全球研究与分析组首席安全专家Alexander Gostev如是说。

一周要闻:元数据收集、零日漏洞、MH 370网络钓鱼等。

上周对于我们这些以采写计算机安全新闻为业的人来说的确是漫长的一周。虽然这一周的新闻事件寥寥可数,但还是有一些值得关注的事件。 新闻概述如下:网络安全公司White Hat发布了内部网页浏览器,专注于安全性和隐私,可应用于Windows操作系统计算机;美国总统奥巴马要求美国国家安全局(NSA)终止搜集公民通话元数据;骗子以马来西亚航空370号失联客机为饵实施网络钓鱼骗局;微软再次曝出零日攻击漏洞。 Aviator浏览器 互联网安全性和隐私依然一如既往地成为了流行焦点,这在很大程度上要归功于去年美国国家安全局曝出他们有能力监控任何想要监控的人。然而,保护网络会话安全,尽可能确保这些会话私密是一项艰巨的工程,尤其是对于那些缺乏相关技术知识的用户,或更重要的是,根本无暇了解自己心爱浏览器的设置。 为此,White Hat Security的研究人员几个月前决定向公众发布Aviator浏览器(至少推出Mac版)。该款浏览器在公司内部已使用数年。本周早先时候,他们又发布了Windows版本,使得更多的用户能够使用到这款浏览器。 Aviator浏览器基于Chromium代码库构建,外观与Google的Chrome浏览器非常类似。但Aviator旨在优化用户隐私、安全性和匿名性。默认情况下,该浏览器不允许存在来自广告商的网络跟踪。DuckDuckGo是浏览器默认搜索引擎,它不会收集用户搜索历史记录,也不会以任何方式显示广告或跟踪用户。 总之,该浏览器并不是简单地靠大量流行的扩展程序来阻止广告(全球三大浏览器就是这样做的),而是根本就不与广告网络建立任何连接。这样不仅能阻止无处不在的企业跟踪,而且还能保护用户不接收潜在的恶意广告。该公司表示,所有这些附加的优点使得这款浏览器的运行速度比其他大多数浏览器都要快。 奥巴马要求停止搜集元数据 大约一年前,曝出美国国家安全局(NSA)通过手机或电脑收集和保存几乎所有人的通信元数据。所有这些秘密信息均是由NSA前雇员爱德华•斯诺登披露的,其中有大量内容是针对美国间谍装备的指控- 对批量元数据搜集的披露吸引了美国公众最大的关注。这让人感到相当奇怪,一方面是因为两年前大多数人甚至不知道元数据为何物,另一方面当我们回顾过往,元数据搜集相对于NSA被曝出的其他一些事件来说,并不算太离谱。 虽然说进步总是好的,但显然,白宫方面决定希望终止该情报机构搜集和存储电话记录。在目前的系统下,NSA可存储五年的电话记录信息。根据新的规定,NSA绝对不能再存储元数据。元数据改为由各服务提供商保存,但要求服务提供商只能将此类信息存储18个月。 事实上,就在我写这篇文章时,白宫方面已向公众宣布其终止批量搜集元数据的计划;元数据搜集行为原本是根据《爱国者法案》第215款所允许的。 利用马航370失联航班的网络钓鱼 你可能知道,三周前,马来西亚航空公司的一架由吉隆坡飞往北京的航班离奇地与地面失去联系,导致机上200余名乘客下落不明。截止本文写作时,已确定该航班失事。目前,还没有确切的证据能证明该航班的下落,除此之外,其很可能坠毁于印度洋某处。 和其他神秘事件和令人费解的失踪一样,马航370航班(虽然失踪航班最后的结果往往是可怕的失事)也催生了一大堆令人啼笑皆非的荒谬说法,其中许多被无耻的媒体持续报道。 同样无耻的是(你可能没那么吃惊,因为我们现在讨论的就是犯罪分子,而不是那些被称为记者的家伙),黑客组织也在互联网上以马航370失联班机为诱饵,盗取信息,骗取钱财。 大量社交媒体点击欺诈争相出现,纷纷表示已经找到马航370客机。用户会看到提示,要求点击链接才能了解新闻内容。这种老式的链接钓鱼欺诈几乎会在任何时间以任何事件为饵弹出,以吸引公众注意(名流身故、国际体育赛事、自然灾害等等)。然而,除此之外还有更复杂、更有针对性的鱼叉式网路钓鱼活动,在此类活动中,攻击者向美国和亚太区政府官员散播与航班相关的电子邮件,其中含有恶意附件。 Microsoft Word零日漏洞 最后一条新闻:本周一,科技巨头微软公司在其Technet博客上宣布,发现Microsoft Word 2010零日漏洞,将成为黑客针对性攻击的目标。虽然发现的攻击目标是Microsoft Word 2010,但该公司表示Word 2003、2007、2013和2013RT,Office for Mac,

清除流氓工具栏

你或许碰到过以下情况。一天,你打开互联网浏览器时发现,网页没有转向你常用的主页,而是转向了从未听说过的搜索引擎的登录页面。接着你注意到,工具栏中的内置搜索框不见了,也被取代为刚才打开的登录页面中的搜索框。更糟糕的是,在浏览器和系统上执行过所有典型的卸载过程后,重新启动浏览器时发现……打开的还是这个登录页面。 这就是BitGuard,此名称通用于包含MixiDJ、Delta Search、SearchQU、Iminent and Rubar等搜索工具栏的一系列程序。BitGuard是一种复杂的恶意软件,往往绑定到免费下载软件中,旨在通过劫持您的系统为第三方创造收入。 BitGuard是一种复杂的恶意软件,往往绑定到免费下载软件中,旨在通过劫持您的系统为第三方创造收入。 根据SecureList的报告,其工作原理如下。用户尝试下载某类程序(例如音乐、软件或视频文件),重要的是从提示使用的关联程序下载相关驱动程序和安装程序。下载安装程序时,也会同时下载工具栏,有时需要得到用户许可,有时不需要,这取决于具体的程序。 此时,用户已被纳入工具栏和新主页中的新程序搜索功能中,之后就会重定向到该搜索引擎的结果页面。下面将解释它是如何赚钱的-广告商向这些主机支付费用,要求将广告内容推送到结果字段的最前面,也就是大多数用户会首先点击的位置。用户通过点击指向广告商页面的相关链接时,搜索工具栏的所有者即可获取报酬。 Google报告说,从去年开始已经在有步骤地控制此类程序,但目前为止依然是一个问题。遇到这些程序的用户应该首先尝试从系统中卸载程序。在一台个人电脑上,请点击”开始”,转至”控制面板”,然后点击”卸载程序”,接着滚动浏览到相应程序,卸载掉不需要的加载件。这可能并不能解决此问题,因此还要从浏览器中卸载这些程序。在Firefox火狐浏览器中,请点击左上方任一主下拉选项卡,或者如果显示有菜单栏,请点击”工具”,无论哪种情况,接着请点击”附加组件”,然后删除不需要的程序。其他网络浏览器的卸载步骤与此类似。 但遗憾的是,对于某些工具栏,这些措施可能都不会起作用,这种情况下,你不得不使用Google搜索(啊,多么讽刺!)来查找特定于工具栏的删除说明。知道导致您额外安装软件的站点才能删除这个不需要的软件(太讽刺了!)。虽然许多”删除并优化”程序看起来是最简单的一键式解决方法,但其中许多程序本身就是间谍软件或恶意软件。 这些不需要的附加组件可以通过漏洞入侵,因为用户往往会给予它们安装权限,而并不了解这些组件,就仓促完成了下载进程,事后才会发现这些组件的行为会损害系统。在这种情况下,安装一款强大可靠的反病毒程序是多么重要,它能警告你即将安装的任何危险插件。值得注意的是,许多免费的反病毒软件也会安装搜索工具栏,因此这种情况下我们建议您使用付费产品。

多款流行的三星设备据爆出藏有”后门”

多款流行的三星Galaxy系列设备被爆出藏有所谓的”后门“,攻击者可借此对易受攻击的手机进行远程控制,能够有效地将成功盗用的手机转变成移动间谍设备。 如果上面最后一句话听起来有些勉强,那是因为人们对Paul Kocialkowski的研究是否构成”独立后门漏洞”持有异议。 该漏洞据称在”大多数专用安卓系统”上都存在(换句话说,就是几乎所有商业开发的创建版本上都存在)。Galaxy Nexus S、S2、S4、Note、Note 3、Nexus(包括7英寸和10.1英寸Tab 2)以及Note 2全部藏有所谓的”后门”。 用简单和广义的术语来说,就是三星设备内置有调制解调器,通过这个bug可操纵调制解调器对存储在手机上的文件执行读/写和删除操作。更具体地说,此问题存在于”安卓无线接口层”中。该程序是一种调制解调器驱动程序,上述所有设备中均安装有此程序。由于此无线接口层是一种在每部智能手机中央处理单元中运行的程序,因此理所当然有能力读写设备文件系统中存储的文件。Replicant开发者发现了一组命令,这些命令通过调制解调器发出并由驱动程序执行后即可操纵文件系统。 对于在安卓手机上使用Google移动操作系统的用户,必须解决的实际问题是安卓几乎没有安全更新和补丁进程。 发现此问题的研究人员是Replicant(开源安卓发行版)开发者,他并不确定这组权限是有意还是无意内置于这些设备中的。他声称,无论如何,此类权限都是不能接受的。 您可能想知道”即然调制解调器可以读/写和删除文件,那我该如何访问调制解调器来执行这些操作呢?”事实上这是一个非常重要的问题,自最初报告此bug以来,这些天人们已经就此问题展开了激烈的讨论。 据Azimuth Security研究人员Dan Rosenberg周四在Ars Technica上发表的一篇文章中指出,宣称发现”后门”的研究者首先必须执行独立开发才能盗用三星设备的调制解调器。此外,他表示,研究者未能提供任何实际证据来证明攻击者能够远程执行调制解调器的功能。 显然,Kocialkowski提出的是一个严重指控,而Rosenberg则表示这一指控有些过分。这在行业中属于标准做法,尤其是发现据称在”大多数专用安卓系统”中存在bug的研究员所从事的是开源项目开发工作。换言之,此指控的提出并不仅仅是利益冲突在起作用。 无论是否存在后门漏洞,对于在安卓手机上使用Google移动操作系统的用户来说,必须解决的实际问题是安卓几乎没有安全更新和补丁进程 由于安卓是开源系统,属于高度客制化系统,可以安装在各种不同公司生产的设备上,因此每家智能手机厂商都能创建自己的特定安卓构建版,以满足自己特殊设备的需要。这一事实会产生许多影响。 首先,某些漏洞会感染一部分安卓构建版,而不会感染其他版本,这一可能性始终存在。一旦发现一个漏洞,并针对其开发了相应补丁后,该设备厂商必须创建自己的特殊定制固件更新,确保更新与相关手机上的所有专用软件和硬件兼容。在此之后,运营商会检查更新,确保更新不会对其网络产生不利影响。一旦运营商批准了补丁,则(运营商)就须将这一修正补丁发送其用户。 但问题是,运营商和厂商总是不紧不慢地测试补丁,这一体系的最终结果往往是装有安卓系统的手机无法打到补丁。与之相反,苹果iOS更新则是从加州总部库比蒂诺直接发送到用户的手机中(或者发送至台式电脑上的iTunes)。也就是说苹果一旦创建补丁,即可迅速发送至用户手机中。

入侵机场安检扫描系统

要说世界上最安全的地方,你可能会想到一些军事掩体或美国总统藏身之地。但对于我们普通大众来说,安全标准最高的地方是机场。机场全副武装的安保人员、多道安检和身份核查点构成了360度全方位安保,防止恐怖分子和罪犯随意乘大型波音和空客飞机旅行。因此,当我发现美国运输安全局和其他国家类似机构的人员将绝大部分注意力放在实物安检上,而忽视网络安全时,我十分震惊。 在SAS 2014大会上,科力斯(Qualys)公司研究人员Billy Rios和Terry McCorkle发表了主题演讲。他们花了一些时间对机场周界安保中极重要的系统-X光安检仪进行了研究。熟悉X光安检仪的专业人士都知道,此类机器用于扫描传送带上行李,然后在操作员屏幕上以不同曝光颜色显示行李内容。此设备通过专用键盘进行控制,看起来并不像一台计算机,但实质上却是一种高度专业化的扫描仪,需要连到一台普通电脑,在Windows典型安装后运行软件。Rios和McCorkle通过网上拍卖购得了一台二手安检仪Rapiscan 522B,然后对其软件组件进行检查。检查结果让两位经验丰富的安保专家大跌眼镜。首先,计算机使用的是Windows 98操作系统,要知道Win 98从发布到现在已有15年的时间了。微软早在多年前就不对此系统提供支持了。完全可以想像,在使用Windows 98的老机器上会存在多少可利用和未打补丁的漏洞。而且只要连到计算机网络端口并与操作系统对话,就有可能感染计算机,而无需对软件配置等进行额外调查。其次,专用安检软件本身也只是非常关注实物安检,即行李内物体的安检。安检计算机的安全性绝不是优先考虑因素。操作员密码以明文存储,因此有多种方式可以登录到系统,而不必事先知道用户名和其他详细信息。”它会通知你存在错误,[但接着]还是允许你登录。”Rios说。但最重要的发现是第三点。 能否通过入侵X光安检机上运行的软件,偷偷带枪支上飞机?尽管并不容易,但证明完全可行。 虚拟枪支 操作员屏幕上显示的图像实际上是计算机仿真图,因为X射线扫描本身并没有任何颜色。计算机的工作就是执行专门的图像处理,帮助操作员迅速突出显示金属物体,或装有液体的物品等。有多种”过滤器”可用,但安检软件执行的绝不止于此。由于通过安检仪检测到威胁相当少(实际上如今没人试图带枪上飞机),因此主管人员为了使操作员保持警觉,偶然会在实际行李内容上插入一张枪械图。操作员看到枪支或刀具时(系统中含有数十张枪/刀的图像),必须按下报警键。在这种培训性质的场景中,报警器实际上并不会触发,但内部评估系统会记录下操作员的专注程度。这种做法很聪明,但同时也产生了一定的担忧。哪类图片修改可以进一步应用于行李图?难道说不可能向内部数据库添加一些中立图像,然后用其覆盖屏幕上的实际枪械吗?鉴于测试的是此类过时且漏洞百出的安检仪软件,此类入侵在理论上来说是可行的。 不用担心? 别因此而取消你的下一次航班,实际情况并没有那么糟糕。第一,机场安保区内的计算机独立于互联网。虽然仍有被本地入侵的可能性,但对于假想的攻击者来说会是额外巨大的挑战。第二,X光安检机的供应商不止一家,Qualys研究人员测试的仅仅是其中一家(而且还不是一台新机器)。我真心希望其他厂家的安检机更安全。第三,机场安检采用分层结构,在许多专家眼里,像金属探测器和窥视仪这种明面上的安检措施的重要性最低。所以即便是在扫描仪发生故障(不太可能)的情况下,也还有其他安检措施可用。但是,此次研究告诉我们一个事实,那就是管理门禁控制和”airgapping”(网络隔离)等传统安保措施无法替代网络安全专用层。TSA有非常具体的标准来描述筛选检查点的配置,甚至细到包括乘客所用塑料托盘的尺寸。这一标准还必须包括IT安全性措施的详细描述,因为机场系统肯定要归类到关键基础架构类别中。只有这样才能从长远确保我们的飞行安全。 附言:本文完稿于空客A330从特纳利夫岛至莫斯科的飞行途中。虽然有本文中所述的各种漏洞问题,但我根本不害怕乘坐飞机。

Mt Gox倒台,比特币未来何去何从。

毫无疑问,对于所有人来说这是疯狂的一周,即便是对比特币略有兴趣的人也不例外。昔日全球最大的比特币交易商Mt.Gox倒闭,而此前近一个月,该网站就因”技术问题”暂停全部取现交易,倒闭的宣布最终结束了这一痛苦局面。 客户无法从这家全球最著名的比特币交易商处取回资金,因此Mt. Gox实际上已被清除出比特币生态系统,这导致在该交易网站彻底关闭之前,Mt. Gox的比特币交易价格就已暴跌至1比特币兑100美元。Pononix和Flexcoin两家比特币网站遭盗很可能进一步加剧比特币未来的不确定性。可以说,这一切都是意料之中的。 在2014年的预测报告中,我们曾提到针对比特币的攻击,特别是针对比特币矿池、比特币交易商和比特币用户的攻击将成为本年度最受关注的话题之一。这些攻击将尤其受到行骗者们的欢迎,因为它们的成本/收益比非常诱人。Mt. Gox事件可能是比特币有史以来最为严重的事件,据传共失窃744408个比特币,以目前的价格换算,相当于损失了3亿多美元。但唯一不确定的问题是幕后的黑手到底是什么。 置比特币交易安全于首位,重塑加密货币信心。 比特币协议中一个已知的漏洞是交易可塑性。在特定情况下,攻击者可利用这一漏洞针对同一交易发出不同的签名(或交易ID),使已完成的比特币交易看起来没有完成。即恶意用户向交易商要求提现比特币,成功提现后,抢在交易未纳入数据区块之前修改交易号,然后与对方联系,声称该交易没有发生,接着利用其他交易号再次申请提现,从而对同一笔比特币实现多次提现。 此类交易可塑性攻击是Mt. Gox当时为解释中止取现举措而提供的官方理由,根据这一解释,该公司似乎也是网络盗窃的受害者,但并不能排除此次事件是内部人员作案的可能性。 交易可塑性攻击并不一定要有内部人员参与,但确实有权直接访问交易系统的人操作起来更容易。当然,攻击也很可能完全是外部人员干的,但Mt. Gox应该掌握有相关攻击者的完整信息,原因很简单,攻击者是反复请求提现,声称因网络错误,导致实际取现并未成功。 目前唯一能做的是等待执法机构完成对此事件的调查,并寄希望于Mt. Gox和其他相关方能够与执法机构齐心协力找出攻击者,并努力弥补造成的损失。 至于比特币的未来,这疯狂的一周再一次为我们敲响了警钟,比特币生态系统确确实实需要的是了解安全性的公司。比特币是一种分散化虚拟货币,没有任何机构来强制实施安全标准和规范,那么现在就由我们,比特币追捧者和加密货币社区来制定标准,即只选择与符合以下标准的比特币公司合作:历史记录清白,对所涉及的技术,尤其是所要求的安全性有充分了解。但最重要的是,这些公司有意愿不断创新,愿意不断付出努力来赢得客户的信任。让我们齐心协力创造一切可能,使比特币重现辉煌!

网络犯罪诉讼高峰月:2014年2月

我们一如既往地密切关注执法机构追踪网络犯罪的进展。下面是上个月发生的一些案例。 长达3年的DDoS攻击 2月初,Christopher Sudlik被判缓刑36个月,参加60个小时的社区服务,并勒令其缴纳11.1万美元的赔偿金。 罪犯现年22岁,此前曾因加入在线黑客组织”匿名者”(Anonymous)并参与了2011年2月和3月的Angel Soft网站攻击而被判有罪。攻击目标Angel Soft是美国科氏工业集团(Koch Industries)旗下子公司。由Christopher等黑客组成的团队在攻击中使用了LOIC(低轨道离子加农炮)软件。该软件能够生成海量流量,直接攻击特定网站。在长达三天的时间里,科氏工业集团有多个网站受到持续攻击,损失高达几十万美元。 这并不是第一起因攻击科氏工业集团网站而被判刑的案例。去年12月,38岁的Eric Rosol因参与阻断服务攻击而被判有罪,两年联邦缓刑,并勒令其支付18.3万美元的赔偿金。 其他”匿名者”大败而归 在两名DDoS攻击者被判有罪后,FBI探员们的调查并未停止,他们仍在继续追踪试图攻击科氏工业集团网站的其他犯罪分子。 年轻的网络犯罪分子同样利用 “低轨道离子加农炮”工具,专门向服务器发送大量流量,旨在中断网站服务。 2月12日对于来自爱荷华州波斯特维尔的Jacob Allen Wilkens(”匿名者”黑客组织第三号活跃分子)来说是个倒霉的日子,他被判缓刑24个月,并被勒令支付111美元的赔偿金。这位年轻的网络犯罪分子同样利用的是”低轨道离子加农炮”工具,此工具专门向服务器发送大量流量,旨在中断网站服务。但”不幸”的是LOIC会存储攻击者的IP地址,因此联邦探员能够迅速抓到罪犯。 通过DDOoS来赚钱?被判有罪 参与DDoS攻击会被判刑,那么显然通过此类攻击来挣钱也同样会被判刑。一位未披露其姓名的26岁俄罗斯人因对大型金融公司发起阻断服务攻击而被判有罪。被攻击目标每中断服务一天,该名罪犯就可获得100美元不到的报酬。 该名罪犯在作案时被警方当场逮捕,他坦白了所有已知信息,包括在黑客论坛上的活动,以及组织攻击的证据。目前他处于2年缓刑期内。 长达2年半的证券欺诈计划 今年2月,另一名俄罗斯人Petr Murmylyuk被判有罪,但这次并未给予缓刑。该名男子居住于纽约,被控合谋窃取Scottrade、E*Trade、Fidelity、Schwab及其他证券经纪公司交易帐户中的资金。合谋犯罪分子首先越权获取证券经纪公司客户的在线帐户,然后使用被盗身份打开其他证券经纪公司的其他帐户。在此之后,犯罪分子会使用受害者的帐户做出非盈利性且不合逻辑的证券交易,而将非法所得转入合谋犯罪分子的帐户。该计划致使牵连公司的损失合计达到约100万美元。 现年33岁的Petr Murmylyuk被判监禁30个月,出狱后将面临三年的监外看管。Petr还被判支付50.5万美元的赔偿金。 更改成绩被判监禁 美国的Roy Sun因学生时代侵入学校计算机系统更改自己的成绩,在本周早些时候被判缓刑18个月,参加200个小时的社区服务。 该案件发生在印地安那州的普渡大学,时间是2008年到2010年间。Roy与两位朋友非法闯入教授办公室,在计算机上连接了键盘记录器,以记录登录信息。然后使用证书将成绩改为全优。2010年Roy从普渡大学毕业,但此事件直到2013年才被曝光。当时一位教授向IT工作人员反应他的密码已被更改。在随后的调查中发现了成绩篡改行为。 Roy的其中一位朋友Sujay

移动监控的崛起

20世纪有许多侦探小说都是以主人公留意到被一些可疑人员跟踪而开始的。根据《耶鲁法律杂志》最近发表的一篇文章,由一组侦探老手执行秘密跟踪的估计成本为275美元/小时。 执行最高级别的跟踪需要配备五辆汽车和五名资深特工。即便像美国联邦调查局(FBI)这样机构要想有效跟踪2800多名嫌疑人,派出约14000名特工都不够。然而现在这一限制已不再是问题。随着现代科技的发展,无需任何特工在场就能对嫌疑人进行有效跟踪。研究人员估计,使用全球定位系统(GPS)追踪器能将跟踪成本下降到10美元/小时。若是运用法律权力要求移动运营商提供手机位置数据,则成本可进一步降到5.21美元/小时。 这实际上意味着FBI现在可以轻松跟踪的人数是上世纪的50倍。 跟踪一个人全部活动所需的成本仅为5美元/小时。越来越多对跟踪服务感兴趣的人都能支付得起。 然而,不仅FBI,美国国家安全局(NSA)或其他任何政府机构都能够进行这样的跟踪。智能手机向许多第三方提供了类似的时间/位置数据,包括生态系统所有者(Apple、Google或Microsoft)、移动广告网络(AdMob及其他网络)和应用开发者。像Moves这样流行的”健身类”应用,会收集并分析用户的位置数据,从而计算出用户行走的距离。但是,有些间谍应用软件能够对目标人物进行此类远程监视 - 无论是妒意十足的情侣、雇主还是竞争对手。 唯一能够避免这类廉价又有效的监视活动的方法十分极端 - 就是必须停止使用手机,或者出发去做重要的保密工作时,把手机留在家里/办公室。如果您只是略有些担心,则可以分析含有位置数据的应用列表,把暴露您位置的应用加以限制。下面是iOS中的设置界面和Android的专用隐私工具,可控制位置的数据共享。 此外,为了防范监控类手机恶意软件,您必须使用全面的移动安全解决方案,这也将保护您免受垃圾短信、网络钓鱼网站和设备被盗的威胁。