隐私

375 文章

警惕反盗窃类应用程序漏洞

如果您的计算机运行了并非您主动激活过的反盗窃软件该怎么办?这些反盗窃软件能够远程访问您的计算机。即便更换硬盘也无法将他们删除。这听起来挺令人匪夷所思的,但实际上的确如此。 卡巴斯基实验室的恶意软件研究员Sergey Belov在着手调查妻子的私人笔记本电脑是否有软件类问题时,发现这一问题确实存在。电脑中有一个可疑程序引起了他的注意;一开始,他以为是找到了之前未知的隐匿进程,但结果发现这是一个合法进程,它是Absolute Computrace软件代理程序的一部分,而Absolute Computrace软件代理程序正是笔记本电脑常用的一种反盗窃解决方案。反盗窃跟踪软件的独特之处在于它在用户计算机中占用专属位置。其代理程序甚至在操作系统启动之前,就有一部分驻留在BIOS或UEFI中,BIOS或UEFI是能够在计算机启动时率先执行硬编码程序序列的芯片。这可帮助反盗窃跟踪软件不受”硬复位”乃至更换磁盘的影响。那么反盗窃跟踪软件最让人感到不安的是什么呢?Belov的妻子从未激活过该软件,也完全不知道该软件的存在。而进一步的分析更令人惊讶 - 恶意的第三方能够劫持反盗窃跟踪软件的代理程序,对受害者的计算机执行任何类型的远程入侵。反盗窃解决方案对于移动设备至关重要,因为窃贼青睐于偷取这类高价值的小型电子产品。反盗窃软件的设计工作并不轻松。软件必须极小且隐密,而且应该与某些总部服务器保持连接,以便在被盗后报告位置和采取行动。最后,反盗窃软件还必须能防止窃贼卸载软件。所有这些要求都意味着反盗窃软件要低调运行,并且必须对用户的设备具有很大的特权。但是如果这种强大的应用程序存在漏洞会怎样呢?更糟糕的情况是,黑客可以在你的计算机上为所欲为,完全控制你的计算机。 反盗窃解决方案对于移动设备至关重要,因为窃贼青睐于偷取这类昂贵的小型电子产品 我所说的并非纸上谈兵。在上周举行的2014年安全分析专家峰会上,我亲眼目睹了卡巴斯基实验室的Vitaly Kamluk和Sergey Belov进行的实际演示。这两名研究员拆开新买的一台华硕笔记本电脑包装,执行了一组典型的首次运行进程,然后用另一台计算机远程激活这台笔记本电脑的摄像头,最终启动了远程擦除程序。擦除过程是这样的:通过拦截未加密的网络数据包,并向回发送一些数据,然后模拟与原反盗窃跟踪软件服务器的通信来完成擦除。 现在,您可能会感到立即检查笔记本电脑中是否存在反盗窃跟踪软件代理程序刻不容缓。如果您计划要强制删除该代理程序,那就不用麻烦了,因为这一过程难度太高。该代理程序会与移除尝试展开斗争,尽力拒绝成功移除,这是合情理的,因为它是防盗用途的软件。为了实现防盗目的,反盗窃跟踪软件的BIOS部分会在计算机每次启动时都检查该软件是否存在。如果找不到该软件,则会从BIOS将此小程序安装到Windows操作系统。Windows启动时,此程序会从互联网下载完整版反盗窃跟踪软件代理程序,并使其处于被激活状态。正如2014年SAS峰会上所演示的那样,这一特定步骤极易受到远程控制。 完整的分析内容可访问Securelist博客,也可查看反盗窃跟踪软件代理程序活动标志列表。卡巴斯基安全网络中的数据表明,我们有150,000名客户的计算机上装有处于激活状态的反盗窃跟踪软件代理程序。据Vitaly Kamluk估计,全球有200万台计算机上已装有处于激活状态的反盗窃跟踪软件代理程序。而我们并不知道其中有多少是用户自己主动激活的。 反盗窃跟踪软件的BIOS部分被预安装在最流行的BIOS/UEFI芯片上,而大多数笔记本电脑都装的是这种芯片,包括宏碁、华硕、索尼、东芝、惠普、联想、三星等品牌。但是,有些笔记本电脑可显示启用/关闭反盗窃跟踪软件的BIOS选项,而有些不显示。此外,并非所有主板上装有BIOS组件的计算机都会运行反盗窃跟踪软件,该软件在许多计算机上是被禁用的。但是卡巴斯基实验室的研究人员发现一些全新笔记本电脑在首次开箱运行时,反盗窃跟踪软件代理程序就处于活动状态。为什么在这些电脑上反盗窃跟踪代理程序会被激活,究竟是谁拥有相应的控制权仍是个迷。

请勿通过智能电视进行网上购物或网上理财

随着科技的不断进步,人们的上网体验越来越简化,操作也更为简便。我们无需固定的台式电脑即可接入互联网,通过笔记本电脑、智能手机、平板电脑同样可接入,而现在智能电视也具备了这一功能。智能电视作为全新的家庭娱乐设备,吸引了数百万人的关注,但智能电视真的安全吗?据德国计算机杂志《c’t》最近发表的一项报告,结论是否定的。 2014年1月,《c’t》对智能电视的安全性进行了较为深入的研究,对包括LG、三星和飞利浦等主要电视厂商的智能电视产品进行了检测。该杂志的记者发现将这些电视的SSL证书打乱使用后,结果发现任意一份证书都可破解设备。SSL证书用作数字签名和Internet会话安全协议的基础(监督者),其主要作用是管理HTTPS网址的会话,并要求对所有与服务器交互的信息进行加密。 SSL证书用作数字签名和Internet会话安全协议的基础(监督者) 《C’t》记者在生成证书并签名后,便能破解系统并拦截电视应用中的数据,因为智能电视从来不会验证证书是否来自可信源。一旦进入智能电视,记者即可侦听浏览会话和HTTPS流量,从而能够访问个人资料,如用户名和密码。该杂志随后与所研究的各家智能电视相关制造商取得了联系,他们均承诺会发布设备固件更新,以增加安全措施。 这已不是我们第一次听说智能电视无法保障用户的安全。之前发生过一个案例,一名英国开发人员发现他的LG智能电视在自己毫不知情的情况下一直在偷偷地跟踪收集他的个人信息。而就在去年,iSEC Partners的研究人员也发现三星智能电视存在允许摄像头远程启用的漏洞。但这些漏洞对于用户及用户的设备来说意味着什么呢? 虽然智能电视的一个主要卖点是为用户提供互联网接入服务,但同时也是一大缺陷。由于智能电视最近以数字设备的形式出现,它们受保护的程度严重不足,因此使用智能电视上网的用户面临着风险。我们的最佳建议是,在智能电视获得更好的安全保护前,避免通过智能电视上网。如果您需要使用智能电视上网,我们的建议如下: -使用智能电视上网时,不要访问要求您输入个人资料的任何网站,例如银行站点或受密码保护的网址。如果您想访问要求共享私人信息的网站,请使用受可信防病毒软件保护设备例如PC或平板电脑。 -如果您决意要使用电视上网,那么应将访问的网站限制为已知和信任的网站。同样,在浏览这些网站时,不要点击可能出现的任何未知链接。您的数据不仅在类似《c’t》记者测试的场景中容易被窃取,而且也容易受到使用恶意链接和网站的攻击者的攻击,成为目标受害者。如果没有安装防病毒软件监视您的系统,则根本无法完全确保浏览时的安全性。 -最后,除仅访问可信网站外,您还应仅使用可信应用。Apple Store和Google Play在存在欺诈应用方面不相上下,因此请务必花费些许时间研究您下载并使用的应用是否可靠,以确保安全性。 随着智能电视在电视观众中大量普及,提高安全性刻不容缓。如果您有足够的警惕性和良好的上网习惯,则您可以完全享受智能电视所带给您的娱乐与便利,但在其安全性得到提高之前,还需谨慎使用为妙。

对马桶……发动黑客攻击

在每日卡巴斯基博客中,我们曾列述”可被黑客攻击的消费者装置“名单列表。今天我们要在这份装置名称日期增加的列表中,再加入一项新装置:马桶装置。   事实上,在本年召开的黑帽安全会议中,一名研究员曾以”可能遭受黑客攻击的马桶”为主题给出简要描述。尽管在该会议期间我就想撰写有关该主题的文章,但最终我还是决定首先关注更具影响力的事物;尽管如此,当时我就暗下决心并向自己承诺,一定要撰写一篇有关该主题的文章。 应用程序安全公司Trustwave 的部分研究员层在8月份发表了一篇有关安全性建议的文章。该文章警告用户,SATIS智能马桶的安卓应用程序中包含硬编码型的蓝牙验证PIN码。该PIN码为”0000″,通过输入该PIN码,黑客可在蓝牙连接范围内操纵智能马桶的部分功能。一旦输入该PIN码,使用运行安卓系统的设备可通过蓝牙装置,和蓝牙装置连接信号范围内的所有Satis智能马桶相互连接。 简而言之,此类智能马桶的所有者存在遭受严重恶作剧式攻击的风险及和不幸意外事故相关的风险。 尽管本文并非描述黑客针对胰岛素泵或汽车发动黑客攻击,但对我而言,通过远程操控致使马桶功能失灵更为可怕。 尽管本文并非描述黑客针对胰岛素泵或汽车发动黑客攻击,但对我而言,通过远程操控致使马桶功能失灵更为可怕。 更具体的说,如果一名黑客希望对智能马桶发动攻击,他仅需要安装”我的Satis”应用程序;然后输入蓝牙PIN码,以使其所持有的黑客攻击设备和蓝牙通信范围内的所有Satis智能马桶相互连接(不得不承认的是,如果您拥有1个智能马桶,那么您可能拥有多个类似于智能马桶的设备);最后,黑客可随意发动攻击,为您造成恶作剧玩笑至毁灭性打击程度范围内的任何伤害。根据Trustwave研究员所述,攻击者可以”造成马桶重复冲水,致使您的用水量激增,并最终造成用户水费增加。 更多需要关注(至少我个人认为应当关注)的事项是,黑客可能促使Satis智能马桶的马桶盖随意张合,或甚至激活坐盆及风干功能——再次借用Trustwave研究员的原话——”给智能马桶用户带来不适或痛苦。 尽管本文并非描述黑客针对胰岛素泵或汽车发动黑客攻击,但对我而言,通过远程操控致使马桶功能失灵更为可怕。 我不知道您应当采取何种措施,才能避免上述状况的出现。就目前而言,Satis智能马桶的开发商LIXIL公司,似乎仍未解决这一程序漏洞问题。我想您可以通过发送大量电子邮件,强烈要求LIXIL公司修复这一程序漏洞,这是您可以采用的措施之一。很明显,此类智能马桶中应配备有”匹配模式”功能。Trustwave的研究员声称,仅在智能马桶”匹配模式”启动的条件下,才可使用硬编码型的PIN码及安卓应用程序。Trustwave的研究员还声称,即便是您禁用匹配模式,您仍可使智能马桶匹配相关的安卓设备,但仅可能”通过观察蓝牙信息通信,了解智能马桶硬件地址后,才可能实现智能马桶和相关安卓设备之间的匹配”。该过程听起来相当复杂。因此,从一方面来说,禁用匹配模式可能是一个不错的主意;但从另一方面来说,如果您不能使用移动设备向智能马桶发送命令,那么购买智能马桶的意义何在?这个世界真复杂…… 尽管我不能肯定,您的家庭周围存在许多意图不轨的坏人;但我认为绝大多数Satis智能马桶的用户仍可在遭受此类黑客攻击时,保证其自身安全——毕竟想在您的家内制造恶作剧的人并不是太多。另外,在有人使用智能马桶时,通过黑客攻击打开坐盆这件事情本身,也不具有获利驱动力。但是,对于Satis智能马桶的用户来说,在其现实生活中需面对的残酷现实是,可以和单一智能马桶相连接的安卓智能设备过多。该状况极有可能造成,有人在不经意间(并非有意)通过他/她安卓设备中的”我的Satis”应用程序,启动智能马桶的某项功能。      

量子计算机及安全性的终结

早已在30年前,就已出现量子计算及量子通信概念;当时科学杂志拒绝发布任何有关此类主题的早期资料。其原因在于,量子计算及量子通信概念给人的感觉更像是科幻小说。现如今,我们已在现实中拥有量子系统;部分量子系统已进入商业销售阶段。量子计算机的出现为安全保护领域提出了需要解决的新问题(主要为加密问题)。   我们生活在充满无线电电波信号及电磁信号的世界中:Wi-Fi、GSM、卫星电视、GPS、FM调频、高速摄像机仅为我们日常生活中利用电磁波的若干实例而已。当然,计算机是该生态系统的重要组成部分之一,其主要形式为主机、笔记本电脑或只能手机。电磁信号的一项重要特征是具有可测量性。我们可在未对电磁信号做出改变的条件下,容易读取电磁信号的所有参数;而这也是为何现如今的上述科技需要实施加密保护的准确原因所在。通过加密,可为需传输的信息提供保护,以便于信息的读取及防止第三方篡改信息。通常情况下,实施通信的相关各方仅可使用唯一的渠道实现语音通信。加密系统的开发者们出色的解决了这一复杂的难题——在所有实施通信的相关人员都可彼此观察对方的条件下,如何妥善处理秘密信息加密密钥的传输问题。该问题的解决方案是所有现代安全保护系统的基础,而量子计算机可能会打破现状。量子密码是否会成为下一代安全解决方案?让我们拭目以待。 标语 名称”量子计算”及”量子密码”可以准确描述相对应的系统。此类系统的基础在于,微粒相互叠加及相互联系中产生的量子影响。 量子计算机无法解决绝大多数日常问题,但利用量子计算机可以快速解决现代加密算法中的一些数学问题。 量子计算机无法解决绝大多数日常问题,但利用量子计算机可以快速解决现代加密算法中的一些数学问题。对于因诸多理由希望窃听其同学Facebook会话的每个年龄仅为十几岁的黑客来说,其书桌上不会出现量子计算机的踪影。创建一台全范围的量子计算机设计多许多工程难题,部分专家认为实际上我们无法解决此类工程难题。最主要的挑战为确保量子位处于相互联系状态,其外因在于每个量子系统都趋向于回归至传统计算机状态(缺乏有价值且无法确定的属性)。在这里,我们不可避免的需要提及长期未决的”薛定谔的猫”这一问题,薛定谔的猫无法同时处于死亡及活着两种状态——但是,对于量子计算机来说,必须在长时间内保持这一奇迹般的状态,以拥有实施结果计算及测量所需的足够时间。现代量子计算机原型机可在若干毫秒(在部分实验中,可在两秒内)保持这一状态。当量子位计数数量增加时,该任务将变得更为复杂。为破解密码系统,计算机必须拥有500-2000个量子位(具体数量取决于算法及密钥长度),但现代量子计算机在最大限度下,仅可实施14个量子位的操作。这也是为何现如今的量子计算机无法用于破解您SSL证书的原因所在,但该状况可能在5年内发生改变。     所有的量子都处于上图右侧的白盒中     深度剖析:SSL、HTTPS、VPN等现代化系统的核心在于,使用密钥及对称算法实施加密的传统型加密数据。对于加密信息发送者及接受者(因此称为对称算法)来说,都在会话开始时,使用另一种非对称式密码系统,协商创建密钥。鉴于非对称算法的计算量非常大,因此仅在密钥协商进程中使用非对称算法。非对称密码系统安全性的基础是,需解决一些复杂的数学问题,如大量数值的整数分解(RSA算法)。对于如此大量数据的乘法或除法运算,将需要花费极为可观的时间,而结果仅是试图使结果按照顺序排序。因此密码系统的设置假设为:间谍可以通过网络连接实施窃听,但间谍需要耗费合理范围之外的时间量(给予密钥长度的不同,可能需要数千万年的时间)计算密钥及解密消息。事实证明,量子计算机可以在此方面提供帮助。使用索尔算法,量子计算机可快速达到所需解决数学问题的最终状态,其速度之快类型于普通计算机计算两个数值之间的乘法。尽管存在一些其他问题(诸如,需要数次执行相同的任务,及在传统计算机帮助下读取结果等),但量子计算机可能非常快速的寻找到所需的大值,进而帮助攻击者计算密钥及解密消息。 另外,无任何缺陷且功能良好的对称算法(如,AES)也可加速暴力破解进程。根据估计结果,在量子计算机上暴力皮接256位的AES密钥速度,等同于在传统计算机上暴力破解128位AES,因此安全水平依然很高。 问题的症结所在 对于因诸多理由希望窃听其同学Facebook会话的每个年龄仅为十几岁的黑客来说,其书桌上不会出现量子计算机的踪影。创建一台全范围的量子计算机设计多许多工程难题,部分专家认为实际上我们无法解决此类工程难题。最主要的挑战为确保量子位处于相互联系状态,其外因在于每个量子系统都趋向于回归至传统计算机状态(缺乏有价值且无法确定的属性)。在这里,我们不可避免的需要提及长期未决的”薛定谔的猫”这一问题,薛定谔的猫无法同时处于死亡及活着两种状态——但是,对于量子计算机来说,必须在长时间内保持这一奇迹般的状态,以拥有实施结果计算及测量所需的足够时间。现代量子计算机原型机可在若干毫秒(在部分实验中,可在两秒内)保持这一状态。当量子位计数数量增加时,该任务将变得更为复杂。为破解密码系统,计算机必须拥有500-2000个量子位(具体数量取决于算法及密钥长度),但现代量子计算机在最大限度下,仅可实施14个量子位的操作。这也是为何现如今的量子计算机无法用于破解您SSL证书的原因所在,但该状况可能在5年内发生改变。 绝大多数理论科学家都需要使用普通或专业级地薛定谔的猫理论——”生活大爆炸”中的佩妮及谢尔顿 达到量子目标的步骤 在此背景下,加拿大的D-Wave公司大胆宣称,其已制造出512量子位的量子计算机;并且,其公司的量子计算机设备已开始在市场中出售。许多专家声称,D-Wave公司的计算机并非”实际意义”上的量子计算机。其原因在于,该公司的产品使用量子退火影响,并且无法证明该公司的产品完全具有量子计算机属性。尽管如此,伴随着科学界的激烈争论,D-Wave公司却挣得丰厚的利润。该公司的客户(诸如,军事任务承包商洛克希德 ·马丁公司及搜索巨头谷歌公司)愿意支付1000万美元购买D-Wave公司的量子计算机设备。在争议满天飞的背景下,该公司的计算机产品确实可以解决特定子集的优化任务,这使得该公司的计算机产品具有量子性质,并可为客户带来实际价值。谷歌公司计划使用D-Wave公司的计算机实施认知实验,洛克希德 ·马丁公司认为,针对F-35喷气式战斗机中所使用的软件,量子计算机具有发现此类软件源代码中现存错误的能力。D-Wave公司的科学家承认,该公司的计算机尚不具有解决其他”量子”任务(如,上文中所述的整数分解)的能力,因此该公司的计算机尚不能对现代的加密算法造成任何威胁。但是,当前存在的另一威胁是:真正意义及功能性的量子计算机已激起大公司及政府的投资热情,此类大公司及政府将在量子开发方面投入更多的资金,加速创建另一种具有加密功能的量子计算机。 D-Wave Two——量子计算机退火器 量子密码 非常有趣的是,量子物理或许可针对该威胁提供解决方法。从理论上来说,如果基于单微粒状态下的连接,完全不可能实现窃听——量子物理法则表明,当测量一个微粒参数时,将导致另一参数的改变。该现象【亦即大家熟知的观察者效应(并经常被人们和不确定性原理所混淆)】,应可解决主要的”传统”通信问题——亦即可能被窃听的问题。每个针对通信所实施的间谍行为都将改变处于传输状态的消息。 每个针对通信所实施的间谍行为都将改变处于传输状态的消息。 每个针对通信所实施的间谍行为都将改变处于传输状态的消息。 在量子通信中,如果出现显著的干扰则意味着通信进程中存在第三方监测连接。当然,您希望防止信息出现泄漏,并希望在出现第三方监测时候,可以立即了解该状况。这也是为何现代量子密码系统仅使用”量子”通信渠道,实施会话加密密钥协商进程的原因所在。此类加密密钥可用于加密通过传统渠道传输的信息。因此,会话各方可以拒绝潜在可能已被拦截的密钥,并通过协商的方式生成新密钥,直至传输状态不再被改变为止。我们可以看到,量子密钥分布(QKD)系统将可起到和非对称密码算法相同的作用,而量子攻击也将随之而来。 Cerberis装置——商业可行的量子密钥分配系统 和量子计算机不同,量子密码系统早已成为商业可行的产品。在量子密码系统方面,首次科学研究出现于1980年左右,但该系统却快速应用于实际实施进程。1989年,量子密码系统完成首次实验室测试,在上世纪末期,市场中可购买的量子密码系统已具有在30英里长的光纤中,传输加密密钥的能力。id

在线支付:威胁及电子支付保护

在线购物、在线转账及在线银行服务可为我们节省大量时间并使得我们的生活更轻松。但是,可使生活变得轻松的同一技术,也为罪犯偷窃财务提供了新颖且更便捷的方法。使用偷窃的支付数据,是黑客快速获利的一种有效且流行的方法。尽管银行试图保护其用户,以使得个人用户可受到抵御普通攻击的保护。对银行发动黑客攻击更为费时、成本更为昂贵且被抓住的风险更大。与此相反,许多个人用户所使用的电脑却带有诸多漏洞,因此也更容易攻击。针对每个已被劫持的在线银行客户,尽管偷窃的款项金额数量较小,但网络罪犯不被发现的机会却更佳。值得注意的是,针对银行个人客户的攻击,在很大程度上属于自动攻击,并且几乎不需要操作员的参与。   大量感染的网络武器 自若干年前,银行木马就已流行于网络犯罪市场中。当前,存在大量潜在的受害者,此类潜在受害者并未确保其计算机中的应用程序获得及时更新,进而为网络犯罪提供了诸多机会。木马程序可以感染计算机工作站,并独立收集支付信息;有些木马甚至具有代表用户,实施金融交易的能力。 举例来说,ZeuS在线银行木马可向网页中添加木马自身包含的数据输入形式,从而获得有关用户支付的详情信息(银行卡卡号,CVC2/CVV2,完整姓名,账单地址等)。 广泛分布于俄罗斯网络空间中的恶意程序——Carberp,可向网页中添加其自身代码,使用户网页保存在线银行系统中的银行卡数据(银行卡卡号),然后促使用户输入其他银行信息(CVV2,个人数据等)。 对银行发动黑客攻击更为费时、成本更为昂贵且被抓住的风险更大。与此相反,许多个人用户所使用的电脑却带有诸多漏洞,因此也更容易攻击。 对银行发动黑客攻击更为费时、成本更为昂贵且被抓住的风险更大。与此相反,许多个人用户所使用的电脑却带有诸多漏洞,因此也更容易攻击。 除了可向用户网页中添加程序代码之外,木马程序还可使用其他技术获取用户支付信息。举例来说,对于上文中提到的Carberp恶意软件所产生的变种,可以飞速修改iBank 2(流行的在线银行系统)代码,进而可以拦截用户支付细节信息。 克服第二个障碍 一些银行试图通过引入各种复杂的额外身份验证因素的变体,使网络罪犯难以得手。此类身份验证因素的变体诸如令牌(包含单一用户密钥的小型USB装置)等。银行要求用户在每次实施支付交易时,都需要使用该令牌。潜伏木马程序的开发者已发现可绕过令牌保护,并获得交易授权的巧妙方法: 1. 用户使用在线银行系统,启动支付交易并输入相关用户细节信息。 2. 木马程序可以拦截用户的支付细节信息,并等待系统提供令牌提示。 3 .在线银行系统将提示用户提供令牌。用户通过向适当的硬件端口中插入USB令牌完成这一进程。 4. 木马程序可实施拦截,并使用户计算机工作站显示”死机蓝屏”。该蓝屏将告知用户,为实施接下来的分析进程需创建内存转储,并要求用户在操作完成之前,不可关闭计算机工作站。 5 .在用户等待操作完成期间(此时令牌仍插在USB端口后),网络罪犯可以访问用户账户、完成支付交易并向黑客账户中转账用户中的款项。 金融交易的安全系统 当在线银行恶意软件可在计算机上运行时,需要找到拦截支付数据的方式。木马程序可通过下述技术,完成上述目标: 网页添加(在网页向用户显示网页内容之前,修改网页内容) 劫持HTTP/HTTPS会话(”中间人”攻击的经典实例) 欺骗认证程序,或重新将页面导航至目标钓鱼网页 创建桌面截图 记录键盘击键 理解威胁列表,并利用威胁列表创建安全支付方案:

请对着您的谷歌Chrome浏览器说”茄子”

据相关媒体报道,在当前流行的网页浏览器中,最新发现一项安全漏洞,黑客可在浏览器用户毫不知情的条件下,利用该漏洞拍摄用户照片。   上周公布的一份报告进一步证明了黑客所具有的创造性。该报告声称,黑客利用简单的伎俩,即可通过谷歌 Chrome浏览器—当前最为流行的网页浏览器,拍摄用户照片。 我们尚未收到任何在现实世界中,利用该Chrome缺陷实施黑客攻击的消息,但该黑客技术所具有的简单性及有效性,使我们不得不再次思考,当今隐私信息自由流动所带来的相关问题。 我们尚未收到任何在现实世界中,利用该Chrome缺陷实施黑客攻击的消息,但该黑客技术所具有的简单性及有效性,使我们不得不再次思考,当今隐私信息自由流动所带来的相关问题。 可能您也已了解,用户可基于Adobe Flash,通过使用麦克风及网络摄像头和另一名Adobe Flash用户互动,当然在互动之前首先需获得用户授权。这也证明,对于Chrome浏览器来说,也可以把图片放置于安全对话框中,并有效覆盖该图片。当然,用户必须通过点击”允许”键,才可实现该操作。经覆盖后的图片上可显示某些具有说服力的互动标识——在本文截图中,显示的是”播放”键。 在用户使用鼠标点击”播放”键后,黑客程序将会拍摄您的照片,并将您的照片上传至黑客服务器中。绝大多数笔记本电脑中,以网络摄像头灯点亮作为启动该摄像头的提醒标志;但是,即便您注意到网络摄像头被莫名点亮也为时已晚。绝大多数受感染的操作系统平台为Windows 7、Windows 8、Mac OS X及某些版本的Linux。   从表面看来,用户照片并非有价值的黑客战利品,但黑客可利用用户照片实施网络犯罪,如偷窃用户身份等。另外,黑客还可以通过相同的方式打开麦克风,并且不会引起用户的任何注意,这将使得黑客很容易间断性的记录用户交流信息。 我们尚未收到任何在现实世界中,利用该Chrome缺陷实施黑客攻击的消息,但该黑客技术所具有的简单性及有效性,使我们不得不再次思考,当今隐私信息自由流动所带来的相关问题。用户无法预测将由谁、在合适、收集何种程度的隐私信息,及入侵者将会如何使用此类信息。最难处理的是智能手机应用程序问题。”无害”的网页浏览器漏洞仅可使他人查看您的网页浏览历史——但第三方可利用摄像头及麦克风获取您的精确位置及周围的物理环境信息。使网页浏览达到真正的隐私保护状态,是项极为复杂的问题;但保护位置定位及网络摄像头功能则较为容易。鉴于客户很少使用此类功能,因此用户可使用谷歌Chrome浏览器中的”高级”设置,禁用此类功能。在您需要使用此类功能时(每个月使用一次、每年使用一次等),您可以花费十秒的时间,临时打开位置定位/摄像头功能;并在使用完毕后,再次关闭此类功能。  

安全配置一台无线路由器

在您的客厅中放置的无线路由器是您整个家庭网络的基本枢纽。几乎您的所有数字装置都是首先通过连接路由器,然后连接您的调制解调器,最后实现互联网连接。因此,如果您并未对路由器实施正确的保护,则所有通过无线连接的数字装置都存在遭受攻击的危险。   配置您的路由器 101 您可以采取一些工作量较小且相对简单的措施,为路由器提供保护。尽管实施此类措施并不能确保在线活动的安全性——您仍需担心恶意软件的感染及其他基于网络的威胁;但是,如果您如果尚未采取此类措施,那么您所处的状况就像是:尚未得知是否周围存在狐狸时,在鸡舍门大开的条件下离开农舍。在谨慎方面,总是多加小心少些错误才好。每个路由器都通过模式化的方式提供各种不同功能,并可提供截然不同的界面,因此很难精确说明如何设置一台路由器。但是,几乎所有的路由器都包含安全设置核心组件,用户通过路由器管理界面即可导航至安全设置界面。 在我们深入介绍后台设置之前,您首先需要通过设置密码保护您的路由器。当您把路由器和调制解调器相连接后,需要做的第一件事就是为无线网络访问设置安全性强且单独使用的密码。绝大多数——并非所有——新(尚未使用)的路由器都配备有安装CD或其他设置向导文件。如果您购买的是二手路由器(我建议您不要这样做),则路由器生产商可能已在其官方网站上发布可下载的设置向导文件。如果您按照设置向导步骤进行,则设置向导会向您询问是否需要为路由器设置密码保护?如果您选择是,则设置向导将允许您设置密码,并且您无需访问后台程序。 设置向导可能会向您询问,是否需要设置访客网络。我同样建议您选择该选项,并且在设置访客网络时,应使用安全性强的密码保护访客网络。在此条件下,如果您的朋友来访且不慎使用已被病毒感染的数字设备时,则可以隔离访客网络;这样不会对您正在使用的网络造成任何干扰。 如果您的路由器并未配备CD,则在路由器后侧则可能配备有体型较小的蓝色按钮;或者您的路由器同时配备有CD及蓝色按钮。对于一些路由器来说,可能并未配备蓝色按钮。在此条件下,您需要输入PIN编码。无论以何种方式,您的路由器都将配备WiFi保护设置(WPS)功能。除非您已了解一些有关无线网络设置的知识(在此条件下,您或许无需阅读本段内容),否则您将肯定需要使用有关无线网络设置的设置向导。安装CD后,WPS的设置将处于默认状态。WPS为”Wi-Fi联盟开发的一种可选认证程序,该程序旨在使用户在家中或在小型办公室环境中,便捷设置已启动安全保护功能的Wi-Fi网络。”换句话说,WPS已为您完成所有棘手的安全配置工作。这是一个良好的七点,但您仍需导航至路由器管理界面,并确保所有事项都已设置完毕。 为进入路由器管理界面,您需要了解所使用路由器的品牌及型号。一旦您已了解路由器的品牌及型号,则可通过谷歌搜索引擎查找有关该路由器品牌及型号的信息,并可输入”IP地址”。如果您在网站地址栏中输入”IP地址”,则网页将会导航至登陆页面。运行另一谷歌搜索引擎页面,并查找您所用路由器的默认用户名及密码。如果你已获取用户名-密码组合,则下面的步骤将极为简单。您可以使用该用户名及密码组合进入路由器的后台终端。一些路由器设置向导,将自动将管理员密码修改为您访问无线网络所需使用的密码。因此,如果当默认密码无法工作时,请试试无线访问密码。 在这里我要特别警告:如果您弄乱管理界面,则会严重妨碍网络访问能力;但是,如果您如果并未变更任何事项时,您的网络访问能力将不会出现损害。因此,访问路由器后台程序是完全安全的,您需要做的是,保持谨慎且在尚未了解路由器后台程序时,切勿弄乱路由器后台程序内的任何事项。如果您弄错路由器后台程序设置,最好的方法是重启路由器,并从出厂设置开始重新开始设置进程。 如果您的路由器访问管理密码和无线网络密码相同,则设置正确。如果您仍可使用默认密码访问路由器后台终端——或如果您希望路由器具有超强的安全性——那么您需要修改路由器密码,但我们需要在导航至修改路由器密码界面时,方可实施该项操作。 头等重要的事项:确保已启动加密功能。该功能并非简单的加密功能,而是安全性强的加密功能。理想状态下是WPA或新颖的WPA2或有时是WPA及WPA2混合加密功能。WEP是原有的加密功能,其安全性相对较弱;在可能的条件下,应避免使用WEP。如果您已使用WPS实施设置进程,则WPA或WPA2将处于启动状态,您的数字设备及路由器之间的数据传输将可获得安全性强的加密保护。此时,您还可以确保启动Ipv4及Ipv6数据传输所需使用的防火墙。再次提醒,如果您使用WPS实施设置进程,则上述各项都应处于启动状态。另外,VPN数据传输也应处于启动状态(有时,在默认条件下,VPN即处于启动状态)。 启动HTTPS将可加密您的登陆数据,并在您在和路由器后台程序互动时,保护您免受中间人攻击或其他类似攻击。 启动HTTPS将可加密您的登陆数据,并在您在和路由器后台程序互动时,保护您免受中间人攻击或其他类似攻击 在绝大多数路由器的管理界面中,您将会看到”无线”标签。在该标签下,您或许会看到”无线安全”子单元。如果您点击该子单元,则您将可以查看无线访问密码——或许该界面将以直接文本形式显示无线访问密码。无论因何原因,如果您需要修改无线访问密码,则您可在该界面中实施密码修改进程。另外,在管理界面中还存在”管理”标签。在该标签下(假设存在该标签),您将会看到类似于”路由器密码”的字段。您可以在”路由器密码”界面下,修改进入路由器管理界面所需使用的密码。如果当前的路由器密码仍为默认密码,则您需实施密码修改进程。 在此界面下,您还可以看到其他若干个安全选项。其中之一是,您可能会看到允许您打开HTTPS的按键。启动HTTPS将可加密您的登陆数据,并在您在和路由器后台程序互动时,保护您免受中间人攻击或其他类似攻击。但是,我建议您无需启动该功能,或在谨慎考虑后,决定是否需要启动该功能。其原因在于,在我首次启动HTTPS功能后,路由器后台程序界面运行的速度极慢。如果您时间充裕且有足够的耐心,则启动HTTPS绝对是最佳选择,但您将可能偶尔会遇到可用性及证书问题。更为重要的是,请确保远程管理功能处于禁用状态。在此条件下,如果任何其他人希望访问您的路由器后台程序,他或她将首先需要连接网络。如果您希望路由器可获得极强的安全保护,您还可以禁用无线访问功能;这也就意味着如果用户希望访问路由器后台程序,则用户必须使用网线,通过物理连接的方式,连接路由器。 在管理标签下,还可能包含可允许您升级固件的子标签。有时,路由器中也可能会出现安全漏洞;因此,路由器生产商将会升级路由器的控制程序。和操作系统及其他软件不同的是,路由器生产商不会向用户发送此类升级程序包。您需要自行下载此类程序包。为完成下载升级程序包的目的,您可以首先使用谷歌搜索引擎,并输入路由器的品牌、类型及”固件升级”字样;然后,您需要了解所使用的固件版本。在路由器后台程序界面中,可能列述一些有关固件程序版本的信息。通过上述步骤,您将会查找到固件升级所需的网站链接。为完成固件升级,您仅需要下载并保存更新文件,然后导航至后台程序界面中的固件升级单元,并按照说明实施固件升级操作。通常情况下,您仅需要点击”浏览”键或”选择文件”键,并搜索计算机文件,然后选择您刚下载的固件升级文件即可。  

忘记NSA吧,您已把自己陷入可被追踪的境地

自从爱德华· 斯诺登(Edward Snowden)被全球公民所熟知以来,在全球范围内都在声讨美国政府国家安全局(NSA)极度膨胀及入侵式的秘密窥探做法。斯诺登不断公布的数千份绝密文件表明,NSA正在全球范围内监视各国公民及政府。   但是,现如今无需采用NSA式的窃听方法,仅通过探测详细的个人用户资料,即可了解您的隐私信息。其原因在于,我们已将自己的相关信息公布与众——无论您是否有意还是无意——这使得图谋不轨的网络用户可以了解有关我们的大量信息,甚至可以预测我们的位置,及我们将何时到达给定的物理位置。 加利福尼亚大学伯克利分校及国际计算机科学研究所的研究人员开发的一款应用程序,已使得上述状况成为现实,该应用程序可以显示您如何在社交媒体中发布信息,并可在追踪您的现实移动状况。准备好与否?该应用程序可使用公众可用的GPS数据,基于您在推特及Instagram发布的信息,创建显示您在何处及何时发布信息的地图。 正如以前我们所指出的内容,对于热衷于向朋友及粉丝分享下信息的用户来说,此类地理位置信息可为他们带来各种不同的危险。此类危险从暴露家庭地址可能致使当用户处于他处时,招致盗贼闯入用户家中的危险;到可能使孩子被悍匪劫持潜在危险不等。对于孩子们来说,此类风险尤为巨大;其原因在于,年轻用户更喜欢在社交媒体中分享大量个人数据;另外,其原因还在于,十几岁的年轻人倾向于冒险,但对危险却关注甚少(这个年龄段的年轻人总是如此)。准备好与否?不仅仅是推特及Instagram网站,其他社交网站所提供的地理位置标记功能,Facebook及Foursquare提供的相关应用程序,都可能为用户带来相同的危险。 准备好与否?作为网站应用的组成部分,关于在网络上实施数据通信及数据分享方面所可能带来的风险方面,网站应向用户(特别是年轻用户)提供知识教育。此类教育包括:社交网络隐私保护的十项基本原则;对于一旦在线发布个人信息,详细描述可能发生的状况,及此类个人信息被恶意利用条件下,可能发生的状况。在此条件下,可能发生的主要状况包括:网络匿名权的丢失;对于已在线发布的数据(或部分数据),用户将丧失数据控制权。 对于用户来说,缓解物理位置追踪风险的最佳方法为:禁用Instagram及Facebook提供的地理位置标记功能;并且,如果用户已在使用Foursquare,则应确保Foursquare信息未链接推特账户。 对于用户来说,缓解物理位置追踪风险的最佳方法为:禁用Instagram及Facebook提供的地理位置标记功能;并且,如果用户已在使用Foursquare,则应确保Foursquare信息未链接推特账户。 对于用户来说,缓解物理位置追踪风险的最佳方法为:禁用Instagram及Facebook提供的地理位置标记功能;并且,如果用户已在使用Foursquare,则应确保Foursquare信息未链接推特账户。在孩子社交活动事宜方面,及永远不要在消息或状态更新中分享其所处位置信息的重要性方面,父母应持续不断地和孩子保持沟通。  

苹果应用程序商店中的欺诈性应用程序

您或许已听说有关iOS安全性及苹果公司如何控制其应用程序商店的消息。实际上,自iOS发布以来,苹果公司在这两个方面的工作非常出色,并通过拦截及过滤的方式,去除潜在的恶意程序。但仍有极少量的恶意应用程序在苹果应用程序商店中出售。苹果公司的所有控制措施并非完全处于完美状态,也并未完全阻止心存恶意的程序开发者在其应用程序商店中发布欺诈性应用程序。和移动装置恶意软件开发者的相同,此类欺诈性应用程序开发者的目标在于:偷窃您的财物并使您购买目的不良的程序。 此类欺诈应用程序通过提供iOS本身并不具有的功能(如,阻拦不必要的电话或改变锁屏图案等),试图引起您的注意。此类程序的开发者如何绕过苹果公司的严格控制,而在其应用程序商店上发布此类欺诈性应用程序?我们尚不能确定该问题的答案。 在iTunes应用商店中简单搜索”阻拦不必要的电话”后,收缩结果中将出现2款欺诈性应用程序。如下文所示,两款应用程序的售价分别为$4.99 及 $1.99。     上述两款应用程序带有欺诈性的原因在于,作为第三方提供的这两款应用程序本身,并不能在当前的iOS 6操作系统框架下,起到阻拦电话的作用。我们发现,这两款应用程序已发布在美国、墨西哥及巴西的应用程序商店中,部分已发现成为欺诈程序受害者的用户,已要求苹果公司退款。 另外一款发布在墨西哥iTunes应用程序商店中的欺诈程序,是声称可通过指纹扫描功能,控制手机访问及锁定手机设备的一款应用程序。在当前,iPhones尚未具有指纹扫描功能。   对于iPhone用户来说的好消息是:苹果公司已在其新推出的iOS7中,配备一些用户渴望使用的功能(如,阻拦不必要的电话等)。因此,如果您希望使用该此类新功能,则请等待苹果公司发布其新系统。   为避免出现和欺诈应用程序相关的损失,我们建议所有iOS用户在购买应用程序之前首先阅读评论内容,并检查应用程序评级。请不要相信苹果公司尚未在其手机产品上配备的那些奇幻功能,在未获得苹果公司允许的条件下,任何应用程序都无法提供此类功能。   如果您是此类欺诈性应用程序的受害者,您可以通过下述步骤要求苹果公司退款: 打开iTunes,并在左侧显示框中选择iTunes应用程序商店链接; 在右上角附近处,点击您的用户名(电子邮件地址)旁边的箭头,并选择”账户”项; 下拉账户界面至中间部位,点击”购买历史”键; 在购买历史界面的底部位置处,您将看到应用程序商店购买历史——点击”报告问题”键; 针对您希望获得退款的应用程序,找到您储存的iTunes发票,并点击”报告问题”链接; 填写报告问题界面中显示的表格,并确保尽可能详细的列述相关信息——在完成表格填写进程后,点击”下一步” 如果您要求退款的原因有效,则苹果公司将在随后几天内做出相应,并在一周内处理您的退款要求。 请不要被欺诈程序蒙骗,并确保手机的安全性!  

保护您的所有数字设备

绝大多数人在购买第一款杀毒软件时,仅需购买在单一计算机中运行的杀毒软件——但这已是五年、十年或十五年前的往事。世界在不断变化,近几年中我们的技术水平也已发生翻天覆地的变化。现如今,绝大多数家庭中使用的数字设备已不仅仅是单一的家用计算机:您会毫不吃惊的发现用户正在同时使用台式计算机、平板电脑及智能手机。和传统意义上的计算机相同,此类数字设备同样需要抵御在线威胁的安全防护措施。卡巴斯基互联网安全套件——多种设备是一款经集成后,可为所有数字产品提供保护的安全防护产品,而并非仅适用于单一设备的独立解决方案。通过单一安装进程,该产品可为您从基于Windows操作系统的计算机至手持的智能手机及平板电脑,从苹果Mac笔记本至苹果台式机的所有数字设备提供安全保护。 我们家庭中的数字设备变化速度比以往任何时候都快。近期调查结果显示,随着智能手机及平板电脑的产品越来越多,当前每个家庭配备有4.5个基于互联网的设备。但是,我们经常发现仅传统意义上的家用台式计算机可享有抵御各种在线威胁的保护。而其余的3.5件设备,对所有类型的恶意攻击却无任何抵抗力。计算机威胁已不再仅针对基于Windows的系统:当前已存在多种针对安卓系统的恶意软件,苹果Macs也正在遭受大量病毒感染威胁及互联网威胁(诸如,常见的钓鱼程序或社交工程诈骗程序等)。此类威胁可对您所使用的任何设备造成伤害——从计算机到电冰箱的各种设备。如果您在毫不知情的条件下,使用毫无安全保护的智能手机访问钓鱼网站,则您在安全保护方面的所有花费都将毫无作用。如果您的平板电脑被恶意攻击,则Windows杀毒软件将毫无作用。当您针对数字设备选择适当保护措施时,需考虑上述的所有威胁。如果恶意僵尸网络已把您的Mac笔记本列入感染列表,而并未把您的计算机列入感染列表,则仍可产生相同的威胁——无论如何,当前已存在可以让你毫不费事,并可完成该任务的单一解决方案。卡巴斯基”互联网安全套件—多设备”可通过单一产品的形式,并在使用单一激活码的条件下,为您的所有数字设备提供保护。仅通过选择您所拥有的数字设备数量——2个、3个或5个——该产品即可为您的智能手机、平板电脑、台式电脑、Macs、PCs所组成的任意数字设备组合提供保护。即便您在许可期间更换任何数字设备,您也仍可非常便捷地将该解决方案移植至您的新数字设备中。 为保护用户的每台计算机及移动设备,我们已向用户提供具有简单性、用户友好型及便捷性的解决方法。亚历山大· 艾诺菲夫(Alexander Erofeev),卡巴斯基实验室。 为保护用户的每台计算机及移动设备,我们已向用户提供具有简单性、用户友好型及便捷性的解决方法。亚历山大· 艾诺菲夫(Alexander Erofeev),卡巴斯基实验室。 现如今,在线银行服务及在线购物已变得愈加普遍——98%的用户都已采用在线金融服务。对于此类在线活动来说,需采用专业化的保护措施,以确保您输入敏感性财务信息的每台设备都可针对钓鱼犯罪、密码偷窃及数据拦截活动,具有多层级的抵御能力。在此条件下,每台设备都配备有反病毒的扫描程序,以检测及移除间谍软件;并配备有专业化的技术,以检测及拦截任何来源的钓鱼链接。另外,每个设备还配备有额外的特定保护:安全键盘保护可确保在计算机或Mac上输入财务数据的安全性;及针对Windows操作系统的安全支付技术。在用户使用在线银行服务及e-支付系统(如,PayPal等),或在线购物时,此类保护措施可为用户提供保护。当网络罪犯同时对用户的所有数字设备发动攻击时,使用此类复合安全技术是处理综合性威胁的唯一方式。此类综合性攻击已较为常见——如,广泛传播的在线银行恶意软件(如Zeus及SpyEye)及移动设备版本的恶意软件版本(分别为ZitMo 及 SpitMo)。此类综合性攻击已在全球范围内感染数千万计算机及移动设备。 不可否认,绝大多数恶意软件感染事件发生在基于Windows的计算机上,并且最先进的恶意软件程序,也是基于Windows平台开发出来的恶意程序。为增强对Windows用户的保护,”卡巴斯基互联网安全套件——多设备”产品集成有可提供新保护水平的新安全技术,此类安全技术甚至可以抵御先前未知的威胁。此类重要的创新技术包括元扫描技术。该技术可以分析文件内容(包括文档内容)并可实施异常扫描(存在异常表明可能存在程序漏洞)。为处理数量日益增长的勒索软件,我们已开发出可自动禁用任何恶意拦截器的简单工具。 受惠于”卡巴斯基互联网安全套件——多设备“产品,在享受持续发展地数字革命所带来便利的同时,您所受到的保护也在随着技术的发展而快速发展。您的所有在线设备都将处于安全状态,并使您设备上保护的所有有价值的事物——您的数据,您的回忆及您的资金都处于安全保护状态。

为何使用多个杀毒程序是个坏主意

您可能认为,像一名马上就要战斗的海盗一样,持有更多的武器是您获得更好的保护的最好措施:一只手中持有短刀,另一只手中持有手枪,用牙咬着匕首(因此,也可用”武装到牙齿”形容)。尽管在老式风格的战斗中,武装到牙齿可能会起到保护作用;但当您在需要持续面对大量危险的条件下保护您的系统时,却并非如此。实际上,同时运行两种杀毒程序是个非常糟糕的注意。其原因有三: 1.杀毒软件之间会相互攻击对方。鉴于杀毒程序可以搜索系统中已安装的程序,并在完成监测进程后,发送有关系统的信息;因此用于检测及发送系统信息的各杀毒软件将处于相互竞争状态,并可能将对方视为病毒程序;进一步将可能试图拦截及删除对方。 用于检测及发送系统信息的各杀毒软件将处于相互竞争状态,并可能将对方视为病毒程序。 用于检测及发送系统信息的各杀毒软件将处于相互竞争状态,并可能将对方视为病毒程序 2. 将可能出现过量杀毒状况。 当一款杀毒程序查找到病毒后,该杀毒程序将删除并隔离病毒。但如果处于竞争状态的各杀毒程序同时查找到已隔离文件并试图按照其各自的目标,删除并隔离该文件时,各杀毒程序将重复发送报告并向您发送其检测到病毒的通知;即便是该隔离文件已不会对您的系统造成威胁时,仍是如此。如果您不希望持续获得虚假的警告信息,则该状况将会给您带来困扰。 3. 多个杀毒软件将降低系统的运行能力。为实施系统扫描及其他相关操作,杀毒程序需使用大量系统内存。如果您同时运行两款杀毒程序,则系统的有效性将会大打折扣,或完全无法运行;并且,该状况不会带来任何益处;其原因在于,两款杀毒程序执行多余的操作。 当您需要对系统实施保护时,多个保护程序并不会带来更好的保护。您应当花些时间首先实施研究进程,然后选择一款经独立测试后,可抵御最新恶意软件程序的单一综合性杀毒套件。该综合性杀毒套件在单独运行的条件下,仍可为您的系统提供武装到牙齿的保护,并可抵御各种不同类型的威胁。

保护整体家庭网络及所有和该网络连接的设备

保护您的家庭网络的艰巨程度,类似于创建您的家庭网络。如果您的家庭网络仅由无线路由器及笔记本电脑组成,则为您的家庭网络提供保护将是一件相对简单的事情。但如果您的家庭网络由路由器、若干台计算机及移动设备、一系列无线网络连接的打印机及智能电视、支持wi-fi的安全系统组成,则为您的家庭网络提供保护将是一件非常困难的工作。按照普通规则,在您的家庭网络中连接的设备越多,越难提供安全保护——尽管我认为随着物联网的深入发展,此类和家庭网络相连接的设备将更为简洁,但到目前为止,该普通规则仍可适用。 基于理性方面的考虑,让我们首先假设您的家庭网络较为简单,仅由路由器、两台计算机、智能手机或平板电脑组成,或许在您的家庭网络中开存在一台或两台经网络连接的打印机;及为了娱乐还连接一台智能电视及XBOX或其他经无线连接的游戏机。 最有可能的场景是,家庭网络中的所有设备通过您的路由器,以无线连接的方式连接至网络中。因此,您的路由器将成为您家庭中所有设备的互联网通信枢纽。推而广之,如果您的路由器设备未处于安全保护状态,则您家庭中的所有设备都将未处于安全保护状态。您还可能通过复杂的以太网连接缆线系统,使您家庭中的所有硬件设备连接路由器。该连接方式可提供更好的安全性,但会带来极大的不便(更不用提可能造成的网线混乱)。 让我们从路由器开始介绍。很明晰先,您需要通过使用单一且不容易被猜到的密码,为无线网络提供保护。绝大多数新路由器产品,都将向您提供设置访客网络的功能。请一定要设置访客网络。鉴于访客网络使用其自身的单一密码,以使得客人希望通过您的家庭网络连接互联网时,可使客人使用访客 网络连接互联网。在此条件下,您可以更好的控制连接常用网络的家庭设备,并从实质上将未知设备分离至您无需使用的单独网络。 仅通过使用路由器创建的密码,保护您的无线互联网连接网络是远远不够的。几乎所有您可以购买到的路由器都将具有管理面板。您可以通过在浏览器地址栏中,输入一串IP地址,进入路由器的管理界面。通过使用谷歌搜索引擎或其他搜索引擎,在搜索栏中输入”【您的路由器型号】+IP地址”,你可以找到进入路由器管理界面所需的IP地址。如果您在网页浏览器地址栏中输入已查询到的IP地址,并等待几秒钟后,网页浏览器将显示需输入用户名及密码的界面。用户名可能是”admin”,同样密码也可能是”admin”。再次提醒,如果您并不知道路由器的用户名及密码组合,则请再次使用搜索引擎查询。您一定可以利用搜索引擎找到所需的路由器用户名及密码组合,相信我。 您的路由器将成为您家庭中所有设备的互联网通信枢纽。推而广之,如果您的路由器设备未处于安全保护状态,则您家庭中的所有设备都将未处于安全保护状态。 您的路由器将成为您家庭中所有设备的互联网通信枢纽。推而广之,如果您的路由器设备未处于安全保护状态,则您家庭中的所有设备都将未处于安全保护状态。 如果您希望进入路由器的后台终端,则您需要保持谨慎。我建议您不要过多弄乱路由器后台终端的设置。因此,完成该步骤后,您的无线网络将受密码保护,但您的路由器管理面板密码不同于无线网络密码。一旦您进入路由器后台终端,则您可导航至无线安全界面,并查看以文本显示的无线防伪密码。为连接各站点:这也就意味着——即便在不了解您的无线网络密码的条件下——攻击者仍可能使用默认密码及用户名访问您的路由器,然后查看甚至修改以纯文本形式显示的无线访问密码。因此,修改管理面板访问密码是您必须完成的工作。 有些路由器需要您进入后台终端,方可完成管理面板访问密码的修改进程。对于我的路由器来说,在后台终端用户界面中存在”管理”选项卡。如果我点击该选项卡,则我可以看到两个输入框,其中一个输入框为”路由器密码”,而另一个输入框为”重新输入,确定路由器密码”。我所要做的事情是,在”路由器密码”中输入安全性强且单一的密码,并在另一个输入框中重新输入相同的密码,然后点击”保存设置”键。完成上述步骤,我就已完成路由器密码的设置。许多路由器通常会提供设置向导,以便于在您初始设置路由器时,为您提供设置步骤提示。 此时,您仍将处于后台终端界面中,您可以在该界面中查看到”无线”选项卡。您应当进入”无线”选项卡界面,并进一步查找,直至发现”无线安全:部分为止。在”无线安全”部分,您可以查看以文本方式显示的wi-fi访问密码。在这里,您还可以查看所使用的加密类型。绝大多数新式路由器产品都使用WPA/WPA2加密方法。这是一种性能卓越的加密方法。但是,如果您使用的是老式路由器,则此类路由器中可能会使用WEP加密方法。WEP加密及容器被破解,因此使用该加密方法可能会使攻击者监视您的信息传输。如果您的路由器加密类型设置为WEP,则您应将该加密类型更改为WPA或WPA2.如果您无法更改WEP加密类型设置,则您应购买一款新路由器。 另外,您还可以完全禁用无线管理访问功能:这也就意味着,为访问路由器后台终端,您需要使用以太网连接电缆,直接连接路由器,以访问路由器的管理面板。我们已发布一篇有关此方面的博客文章,您可以通过阅读该文章了解锁定路由器方面的所有事项,因此,请在返回后,从卡巴斯基每日博客中查找该文章。 下一步,我们将介绍连接在您的家庭网络中的计算机及移动设备。一台计算机受恶意程序感染后,该计算机将对连接网络造成多方面的影响。从理论上说,基于您的各种计算机和网络自身之间的连接关系,恶意程序可能会感染您的家庭网络中的所有设备。除此之外,键盘记录程序(一款可记录键盘敲击事项的恶意软件)可使得攻击者发现您的无线连接密码,并通过访问您的家庭网络及路由器,实施中间人类型的攻击。 若干年前,在我居住的公寓楼中有一位马萨诸塞州大学的老师曾上传及下载儿童色情内容。对于该老师隔壁的邻居来说,这是一件不幸的事。这位老师在发现其邻居的无线密码后,通过邻居的无线网络访问互联网。无论邻居怎样修改他那安全性弱的无线网络访问密码,这位老师总可以利用一些其他方式获得邻居的无线访问密码。无论如何,有一天DHS及FBI带着搜查令敲开了这位老师邻居的房门。DHS及FBI铐住这位老师的邻居,并将其拖出公寓。在拷问这位老师的邻居的同时,DHS及FBI还搜遍了他房间内的所有事物。经过对其网络及计算机实施分析,DHS及FBI快速人士到,恶意信息传输并非来自于这位小伙子的设备,而是来自于隔壁这位老师的设备。 这可能是一个略显极端的实例,但类似实例说明,如果您的设备被恶意程序感染,并已成为僵尸网络中的一员,则您无法确定这台受感染的计算机将会给您带来什么影响。僵尸网络可以使用您的IP地址及您的计算机,实施任何类型的肮脏及非法活动,进而会引起执法部门的注意。执法部门会认为是您本人而非僵尸网络,制造的所有恶意信息传输。 有鉴于此及其他诸多原因,您必须确保处于您的家庭网络中的所有计算机,同样可以受到安全保护。尽管您的网络的安全水平等同于您的路由器的安全水平,但您的路由器的安全水平,实际上仅等同于连接该路由器的计算机的安全水平。从简单层面上来说,您可以使用 计算机实施路由器配置进程。从另一层面来说,如果您的计算机在遭受黑客攻击后,无论路由器的安全水平多高,实际上攻击者已可访问您的网络。因此,请确保您仅使用具有强安全性的产品。无论在您的计算机上,还是在您的移动设备上,都请使用具有强安全性的安全防护产品。 请在计算机、智能手机、平板电脑、打印机、路由器(如果路由器需要更新,您需要首先了解此类更新)、智能电视、游戏机及其他数字装置接到硬件及软件更新提示后,安装此类更新程序。几乎我所读到或撰写的所有恶意软件及漏洞利用工具包,其目标都是已知且需修复的程序漏洞。让我再次提醒,对于几乎我所知道的所有用于攻击程序漏洞的恶意软件来说,恶意软件可以感染的程序漏洞都是程序软件供应商已提供修复补丁的程序漏洞。如果您及时安装此类更新,则您可以在最大程度上获得抵御恶意软件威胁的安全保护。问题在于,或者您或者我或者其他人可能会拒绝更新其软件程序。如果您希望我提供一条有关安全保护的建议,那么该建议就是请及时安装软件更新程序。为使得家庭网络处于安全保护状态,必须使该网络中的所有设备都处于安全保护状态。 事实上,对于智能电视、游戏机、网络打印机来说,我不确定除了及时安装更新程序外,您还可以做其他什么事情。上个月,我曾参加在拉斯维加斯召开的黑帽安全会议中的一些研讨会议及新闻发布会。在这次安全会议上,研究人员的研究结果表明,当您的智能电视遭到黑客攻击后,黑客实际上已攻破您的家庭网络。当前,市面上尚未出现针对此类数字设备的安全保护产品,因此您可以做的仅是期望产品供应商留意相关研究结果、修复产品中的安全漏洞并为受感染的设备发布具有修复功能的补丁包。值得庆幸的是,绝大多数研究人员在公布其研究结果细节之前,已向产品供应商提供此类研究结果。现在安全研究人员和科技公司合作,已成为处理此类设备安全问题越来越普遍的方式。因此,在研究人员发布其结果数据之前,科技公司已修复其产品中存在的漏洞。 真实的现状是,针对连接在您的家庭网络中的所有设备,您都希望确保已遵循最佳的安全实践,但对于安全性较弱的网络连接来说,您可以确保家庭网络安全性的措施仅为:密码保护、及时更新、运行安全保护产品,及始终通过阅读卡巴斯基博客及其他有关安全性的博客,掌握有关网络威胁的新知识。  

计划您去世后的数字生活

对于我们绝大多数人来说,数字设备是我们极为重要的资产。数字设备可帮助我们储存极重要的个人信息,如图片、密码及账户信息等,并可以全天候的伴随我们一起旅行,到达诸多目的地。数字设备是我们的生活伴侣,因此我们极为谨慎的确保数字设备处于安全保护状态。尽管我们任何人都不想考虑本文所述主题,但对于我们来说,”我们应当如何做出计划,在我们不再具有资产保护能力时,仍可继续确保我们的资产处于安全帮户状态?”这一问题的思考,对我们来说极为重要。   在我们正在思考这一问题时,谷歌公司已提前一步采取相关措施。近期,谷歌公司推出名为休眠账户管理功能。利用该功能,用户可以提前决定,当用户不幸去世后,应如何处理其谷歌账户。谷歌账户的用户可以决定,在其账户处于休眠状态3个月、6个月或12个月后,删除用户的所有信息,或用户可以选择授权指定人员,访问其账户数据。如果您仅仅是暂时脱离数字化网络,并且不希望删除您的信息;您大可不必担心:在您采取任何措施之前,谷歌公司将向您发送电子邮件及文本消息。 尽管考虑此项功能的设置略显病态,但如果您拥有希望仍旧处于保护状态且有关您个人或他人的信息,则您确实需要对此予以考虑。如果现在您对隐私数据实施保护,以防止隐私数据落入坏人之手,那么为何在您无法实际控制此类隐私信息时,不应继续保护您的隐私数据呢? 尽管考虑此项功能的设置略显病态,但如果您拥有希望仍旧处于保护状态且有关您个人或他人的信息,则您确实需要对此予以考虑。 尽管考虑此项功能的设置略显病态,但如果您拥有希望仍旧处于保护状态且有关您个人或他人的信息,则您确实需要对此予以考虑。 和谷歌公司一样,一些其他社交网站同样提供去世后的服务选项。社交媒体巨头Facebook公司已推出可使用户提交朋友及家人列表的纪念请求表格服务,以要求该公司暂停使用您的账户。在接到纪念请求表格后,公司将采取下述两种步骤中的任一步骤:Facebook公司可能仅向用户的朋友及家人开放您的用户资料,以便于用户的朋友及家人查阅;或Facebook公司将永久暂停您的用户资料。对于您常用的网站来说(如,LinkedIn及推特),同样已推出类似的纪念请求服务。因此,在您不幸去世后,同样可以告知您的亲属,您希望如何处理您的社交账户。 不行的是,并非所有的在线服务及软件产品都已开发出可使其用户在去世后继续拥有保护其数字资产的功能。但是,为使得您的数字设备仍处于受保护状态,当前您可以选用两种预防性安全措施: 使您的信息处于良好组织状态。首先良好保存您的数据,然后将数据分配至经良好组织的文件夹中;在此条件下,获得数据处理授权的相关人员可以更加便捷的处理您的数据。您甚至需要为您的数字资产赋予不同等级的重要性或所有权。如果您拥有希望永久删除的特定文件夹或需要向指定人员发送的文件,则按照清晰的方式,储存并标注此类文件夹。 向亲近的人员提供说明文件。如果您拥有需要向特定家庭成员传递的信息,并且您已确保可使用您的数字设备访问该信息,则接下来写下相关说明并离线保存将可为您提供帮助。在您有生之年,考虑留下可使用密码访问的文字说明,并保存在经密封或上锁的位置处,或保存在您认为安全的位置处并非一件离经背道的事情。 正如上文所述,尽管我们数字设备在我们生活中的重要性已呈现飞速增长的趋势,但当前仍无太多的工具及功能帮助我们实施去世后的计划。尽管如此,感谢谷歌公司已首先采取相关措施,使我们具有正确计划去世后数字生活的能力。我们确信,在不就的将来我们将可使用其他类似的服务。

发送谷歌都无法阅读的Gmail

谷歌公司为用户提供了一些具有极强安全保护性的控制措施,如可防止黑客窃取用户账户的双重认证,及可允许用户账户在遭到黑客攻击时,可使用户恢复其用户账户的其他控制措施。不幸的是,为向用户提供量身定制的广告,谷歌公司一直监视其免费提供的邮件服务;或者当国家安全局的工作人员,拿着联邦情报监视法院的授权令,敲开谷歌公司在加利福尼亚州山景城的总部大门时,谷歌公司工作人员别无选择,只能上交从用户各种谷歌账户中获取的数据。   发送谷歌都无法阅读的电子邮件 行业大佬正在阅读您的电子邮件 总部位于圣弗朗西斯科市的邮件管理公司—Streak,近期开发出一款功能卓著且基于开源Chrome的安全Gmail(SecureGmail)产品。通过使用该产品,用户可对邮件信息本地加密,因此谷歌公司将无法访问已发送的加密信息内容。这样不错!谷歌服务器中接收到的是完全无法阅读的加密文本。如果谷歌都无法阅读您的电子邮件,那么可以肯定的说,其他人也无法阅读您的电子邮件。 我曾酝酿召开一次有关”对于工作来说,使用Gmail是否安全”的讨论,但使用SecureGmail   在你选择收件人并完成电子邮件撰写进程后,系统将提示您创建邮件密码。当收件人接到该邮件后,系统将提示邮件接收者输入密码。如果收件人尚未安装SecureGmail,则系统将提示收件人安装SecureGmail程序。在收件人输入密码后,他/她将可阅读邮件信息。该工作进程类似于:自由隐私服务。 很明显,仍需解决的问题是,如何确保密码的安全传输?最佳的选择是亲自告知收件人。但在现实生活中,该方法可能不具可行性。SecureGmail同时会要求您创建密码提示。该方法可能是安全传输消息的方法之一,在此状况下,即便是收件人也不会接收到密码。但是,你需要非常巧妙的使用该功能。 请谨记:SecureGmail可提供的安全性强度取决于您所创建密码的安全性强度,您所创建密码的安全性强度等同于您所选择邮件传输方法的安全强度。通过混合大写、小写字母及符号,创建完全随机的字母数字混合密码后,以邮件方式将密码发送给收件人不是一个好主意。您可以通过电话或通过互联网将密码告知收件人,但该方式的安全性较低。请勿通过Gmail或其他谷歌服务向收件人发送密码,这会完全丧失使用SecureGmail的必要性。再次重复,告知收件人密码的最好方式,是在收件人耳边轻声将密码告知收件人。请使用具有创造性的方法发送密码;您还可以考虑使用间谍措施。 如果他人已在您的计算机上安装键盘记录程序,或已通过其他方式破坏您的计算机,则您的密码仍无法起到任何安全保护作用。因此,请确保及时更新及运行功能强健的杀毒产品。 加密是互联网安全的中坚力量。SecureGmail扩展程序是一款极佳的安全保护程序——事实上是有关此方面的最佳安全保护程序——其原因在于,该扩展程序可使用几乎任何人都可掌握的简单易懂方法,改善敏感信息的安全性。更好的是,您可以掌控邮件的安全性!

谷歌以用户隐私及安全性作为筹码,推行”视频群聊”服务

针对谷歌在圣弗朗西斯科召开的I/O会议上,针对明显缺乏隐私保护问题的讨论事项,我们近期已撰文予以列述。尽管在该会议上,并未讨论过多隐私保护事项,但谷歌公司所采取的行动却比任何言语更有说服力。当谷歌公司计划推出新即时消息平台以取代其长期使用的”聊天”应用程序时,有关用户隐私保护的问题更加明显。   正如我们积极倡导保护用户隐私性的朋友——”电子前沿基金会”所强调的内容,谷歌所采取的行动可以让人理解,该公司使用新”视频群聊”服务平台,取代有些过时的”聊天”服务平台可能产生两种后果:一种是谷歌为推行其新颖的消息通信服务,将大幅缩减对可扩展式即时消息及出席协议(XMPP)的技术支持。对于XMPP这一开源性通讯工具来说,曾因受益于谷歌公司提供的技术支持,而得以广泛应用。 使用XMPP意味着,用户可以使用”谷歌聊天”工具向AOL即时通讯及其他若干聊天服务供应商的用户,实现跨平台的即时通讯。使用XMPP还意味着可使用”离线记录”(OTR)加密程序为”谷歌聊天”的开源式框架提供支持。请不要混淆谷歌的”离线记录”功能及”离线记录”加密程序,稍后我会对两者之间的区域稍加解释。而”视频聊天”却不支持上述两种功能。 第二中且似乎更具相关性(但实际影响力更低)的后果是,在新推出的”视频群聊”平台中,用户将不再可以针对所有聊天内容,采用”删除记录”选项。”删除记录”选项的功能如其字面意义所示:在打开该功能的条件下,谷歌公司无法将您通信中的聊天历史记录归档。尽管如此,用户仍可完成记录删除进程,但仅可基于联系人至联系人的方式删除记录。 谷歌公司对此解释称: “我们已对谷歌聊天及谷歌语音聊天的历史记录设置项做出变更。您可以关闭个人聊天记录,但您将不再可以使用关闭所有聊天历史记录的选项.” 谷歌公司正在以开源式聊天软件平台的用户安全性及隐私作为筹码,推行新视频群聊平台。对于谷歌公司来说,可通过更华丽、更复杂及无缝连接的方式,使谷歌自身和先前不一致的应用程序更好的融合在一起。 谷歌公司正在以开源式聊天软件平台的用户安全性及隐私作为筹码,推行新视频群聊平台。对于谷歌公司来说,可通过更华丽、更复杂及无缝连接的方式,使谷歌自身和先前不一致的应用程序更好的融合在一起。 什么,是这样吗?上述聊天平台的改变,不仅表示用户使用的不便利性稍微增加,而且我们的反应还可以体现对虚假在线表示愤怒的集体倾向,不是吗?除上述不满之外,经仔细思考后,我们可以发现停止XMPP将可能产生更为严重的后果。 正如EEF的帕克 希金斯(Parker Higgins)所 述,对于希望使用OTP加密功能且隐私意识较强的用户来说,将无法继续使用该加密功能。略具讽刺性的是OTR加密的本质是加密通信协议,而谷歌公司已过渡滥用该数据。对于谷歌公司来说,关闭记录仅意味着无法归档即时通信消息,和加密功能的使用时间无任何相关性。事实上,OTR是”确保在线通信安全的关键组件。”当两名用户使用OTR时,除这两名用户之外,其他人(包括服务提供商)全都无法访问两人之间的通信内容。使用原有的XMPP框架,可使得用户掌控自己的聊天服务器,并可使得其他非谷歌用户在和谷歌用户通信时,使用OTR加密程序。而这一切都将发生改变。 希金斯撰文声称:”有鉴于此,用户仅可选择使用谷歌聊天服务器,或删除未使用谷歌聊天服务器的聊天对象。更糟糕的是,谷歌用户不会注意到下述变化:谷歌用户将无法再次和使用jabber.org的聊天对象、fsf.org的成员或任何其他使用XMPP服务器的聊天对象正常聊天。 本文所要指出的重点是,尽管无任何谷歌官方应用程序支持OTR,但用户应可绕过该壁垒使用OTR,其原因在于XMPP具有开放型框架。换句话说,谷歌公司正在以开源式聊天软件平台的用户安全性及隐私作为筹码,推行新视频群聊平台。对于谷歌公司来说,可通过更华丽、更复杂及无缝连接的方式,使谷歌自身和先前不一致的应用程序更好的融合在一起。此类不一致的应用程序诸如:谷歌聊天、谷歌语音聊天、谷歌+视频群聊等(请不要将谷歌+视频群聊和相同名字的新聊天平台相混淆)。 我们绝大多数人或许会对谷歌感到失望。谷歌公司层在用户数据隐私保护及安全性方面功勋卓著,但最终我们将需使用已用户隐私安全为筹码的新服务平台。对于真正需要使用安全保护聊天应用程序的用户来说,我们已编辑出一份安全保护性良好的媒体列表。在该列表中排行首位的是Skype,但是我们也已给出相关提示:即便是列表中的媒体,也可能会受到政府监视。 平心而论,”谷歌聊天”应用程序在八年前,计算机至计算机间即时通信刚开始兴起时,是一款极为伟大的应用程序,该应用程序行业也使用”聊天”应用行业予以命名。事实上,谷歌聊天也曾经过不断进化的演变进程,使用户可以实现跨平台之间的即时通信。但是,永久连接式设备和不同独立设备及操作系统(如,What’s App网站、黑莓、Facebook聊天服务)社交信息通信的发展,致使用户产生新需求,并最终致使基于SMS的文本信息服务及原有的聊天服务最终被新聊天服务所取代。 Verge网站发布了一遍有关此方面的绝佳综述性文章。该文章不但详细介绍了视频群聊服务平台,并准确阐述了使用视频群聊服务对谷歌公司的意义。鉴于即时通信服务的发展已远远落后于移动信息服务的发展,因此视频群聊服务似乎已成为谷歌公司必须实施的服务方式。该文章绝对值得一读。    

解密及越狱:如何实施两项操作,及两项操作将对安全性造成何种影响?

运行安卓及iOS操作系统的智能手机所有者,有时会针对是否值得对其手机设备实施神秘的解密及越狱进程,实施热烈讨论。实际上,解密及越狱是可以产生一些有趣后果的黑客攻击活动。本文将针对解密及越狱操作的利与弊予以讨论。   尽管两种操作的名字不同,但解密及越狱操作在本质上属于同一操作;通常情况下,术语解密适用于安卓手机设备,而越狱适用于iPhones。对于一部新智能手机来说,许多操作仅限于手机制造商或操作系统开发商创建的软件程序;并且手机已针对从应用程序库中下载的所有应用程序设置访问权限。解密及越狱用于描述如何获得设备完全管理权,以允许在手机上操作原始状态条件下,并未安装的第三方程序(如,控制CPU时钟速度或覆盖系统文件等)。通过使用专门创建的程序,用户可在不受制造商限制的条件下,在智能手机上实施任何操作。当然,更大的权力意味着更多的责任:”绝对一切”包括删除您智能手机中的一切软件或安装功能全面的间谍软件。 为何费神实施越狱/解密? 坦率的说:根据估计结果,大约有50%及90%的用户选择越狱或解密其手机设备,以便于在无任何限制的条件下,安装盗版游戏或应用程序。尽管我强烈反对用户实施越狱或解密,但确实存在多个体面的理由使您对自己的手机,实施此类黑客攻击式的操作。 首先,安装具有管理员权限的应用程序,可使得手机具有先前无法想象的功能。举例来说,可基于不同环境条件改变铃声音量的应用程序。此类应用程序可根据麦克风、摄像头图片分析,及表明手机处于用户袋子或口袋中的移动读数,确定背景噪音等级。 解密及越狱用于描述如何获得设备完全管理权,以允许在手机上操作原始状态条件下,并未安装的第三方程序。 解密及越狱用于描述如何获得设备完全管理权,以允许在手机上操作原始状态条件下,并未安装的第三方程序。 第二,解密及越狱可实现更灵活的应用程序管理。钛备份是一款全面且灵活性强的”时间机器”软件程序。该程序为在需要完成解密进程的条件下安装且最受欢迎的安卓应用程序之一。通过使用该应用程序,用户可以便捷的将旧智能手机中的数据,转移至新智能手机中;或在用户不满意新版本应用程序的条件下,可使用户重新安装旧版本的应用程序。 解密/越狱进程 用户可通过获得制造商批准,合法获得安卓智能手机的管理员权限。通常情况下,用户为合法获得手机管理员权限需实施下述步骤:用户必须输入智能手机的唯一编号(IMEI)并下载必要的软件。通过上述步骤,用户将可解锁智能手机的引导装载程序,并可上传经修改后的操作系统。经修改后的操作系统将授予用户所有管理员权限。听起来上述步骤非常复杂?实际上,这也是为何制造商不向此类解锁后的智能手机提供保修的原因所在,并且经解锁后,手机将处于”开发者设备”状态。 有鉴于此,用户及居心叵测的攻击者通常采用其他路径:此类用户及攻击者搜寻智能手机固件中的漏洞,以便于在无需联系生产商的条件下,获得相同的管理员权限。此类程序类似于可利用您网页浏览器漏洞的恶意软件程序;黑客通过利用此类恶意软件程序可在您毫不知情或在未获得您同意的条件下,自动在您的计算机中安装。为使用此种类型的漏洞,解密您的智能手机,您需要使用USB连接线使智能手机和计算机相连接,并启动计算机中的相关应用程序,或启动手机中的应用程序。数分钟之后,您的手机将可完成解密进程,并且您在未来无需重复实施解密进程。 iPhone/iPad的越狱同样基于漏洞的利用。通常情况下,需通过连接iPhone及计算机,并运行计算机上的相关程序实施越狱进程;但是,旧设备的越狱进程更为简单。前段时间,网络中曾出现一个非常流行的网站Jailbreakme,用户可通过该网站利用Safari浏览器中的漏洞。对于该网站来说,用户可通过使用iPhone/iPad点击该网站的访问链接,及点击”为我越狱”缉拿,获得iPhone/iPad的全部权限。后来,苹果公司修补了其产品中的漏洞,并聘用该网站的开发者作为苹果公司的内部员工。对于苹果公司来说,这是一项极为精明的投资。 实施解密/越狱的主要后果是,安装可提供新功能的额外管理程序。对于iOS系统用户来说,其设备可显示另一可替代性的应用程序商店,是获得管理员权限这块”金牌”的象征;对于安卓用户来说,证明其已成功获得管理员权限的标志是,可安装SU或SuperSU应用程序。对于安卓系统用户来说,对于设备访问管理权限的管理来说——设备将提示用户”允许”或”拒绝”访问特定的应用程序。     解密/越狱的安全益处 通过使用具有管理功能的应用程序,可从根本上采用新方式保护用户的智能手机或平板电脑。举例来说,标准的安卓智能手机缺乏独立的防火墙;更为精确的说,防火墙集成于安卓系统之中。该状况允许任何人在完全不受控制的条件下,在用户安卓智能手机上实施任何操作。仅在安卓手机的”解密”状态下,可使用应用程序强制实施防火墙准则(如,在漫游条件下,组织安卓智能猴急访问特定的应用程序等)。 最新版本的iOS系统,允许用户对应用程序可获取的数据授权实施更为灵活的管理:每个应用程序都可获得特定个人数据的访问权限。此类特定的个人数据诸如照片、联系人、地理位置等。当前,也已推出具有类似许可系统的安卓操作系统,但使用该安卓系统的用户并不具有灵活管理能力:在安装系统之前,用户将可查看完整的许可列表。如果用户不喜欢某应用程序的某些功能,则用户可以拒绝安装该应用程序。该状况将可改善应用程序使用,并通过逐个管理的方式,对已安装的应用程序实施灵活的访问许可管理。换句话说,如果您认为您某程序不应访问您所处位置的信息,则您可剥夺该程序访问您所处位置信息的权利。 许多应用程序认为解密/越狱存在安全威胁,并拒绝在已解锁的设备上运行。 许多应用程序认为解密/越狱存在安全威胁,并拒绝在已解锁的设备上运行。 对于iOS及安卓操作系统来说,具有管理员权限的应用程序将可使手机具有超强的反偷窃能力。举例来说,对于iOS操作系统,存在可拍摄疑似窃贼并显示锁屏的反偷窃应用程序;对于安卓应用程序,存在可将自身写入手机设备的ROM,并在完成出厂设置重置进程后,仍可运行的程序。当然,我们应当谨记的是,此类具有管理员权限的程序并未经过手机生产商测试,因此可能存在无法预测的程序行为(如,耗电或致使智能手机完全无用)。鉴于存在上述风险,因此绝大多数程序开发商(包括卡巴斯基实验室及卡巴斯基移动安全套件),禁止使用需要解密/越狱的程序功能。 解密/越狱的安全风险 许多应用程序认为解密/越狱存在安全威胁,并拒绝在已解锁的设备上运行。许多类似于MDM(移动设备管理程序)的应用程序,可以帮助用户检查其智能手机中的工作文件及电子邮件。一些银行的移动应用程序在已解锁的设备上处于禁用状态(尽管银行的此类决定让人感觉有些吃惊)。 除了上述风险之外,实施解密及越狱进程将可能使智能手机变为无用的塑料块,这也是解密及越狱的新安全威胁。 首先,获得管理权限的应用程序可跳出应用程序”沙箱”;因此,此类应用程序功能和所获权限之间不再具有相关性。应用程序可执行任何其希望的操作,其中包括阅读及发送和其他应用程序相关的文件、监视设备所有者、在手机所有者毫不知情的条件下,使用麦克风等。 第二,智能手机解密或越狱所需使用的应用程序,通常由业余的小团体编写;因此,此类应用程序本身也包含糟糕的程序代码及程序漏洞。此类程序漏洞可能会被看似合法的恶意应用程序所利用,并向恶意应用程序移交手机的管理权限。 第三,在解密/越狱进程中,实施的多项手机配置变更可能是黑客的绝佳礼物:越狱进程可使得绝大多数iPhone模式处于远程可控状态;其原因在于,所有越狱设备使用相同的越狱密码。当然,用户可以变更该密码,但仅有极少数用户实施越狱密码的变更进程。 无法保障您的安全 解密/越狱进程带有严重的安全隐患,但是即便不使用解密/越狱进程也无法保障您的安全性。攻击者可利用您智能手机上的漏洞,在无需使用中介程序(如SuperSU等)的条件下,为其恶意应用程序获得您智能手机的管理权限。在此状况下,未实施解锁进程及已实施解锁进程的设备之间,几乎并无任何差别。上文中提到的Jailbreakme.com网站即为现实中的实例。如果该网站的创建者是个势利小人,则他将可滥用用户手机中的程序漏洞。举例来说,除可为所有网站用户提供免费越狱服务之外,网站创建者还可在用户手机上暗中安装间谍软件。另外一个非常有趣的网站,可向网站用户提供类似于”阅读其他用户消息”的网络奇迹;该网站的创建设者同样可使用”点击这里”键,完成罪恶勾当!到目前为止,我们尚未获得有关此类案例的任何消息,但我们不能忽略使用上述计划实施网络犯罪的可能性;至少不能忽略实施目标攻击的可能性。

“现实生活中”中的信用卡安全

每个人都在讨论HTTPS,并谨慎地在线使用信用卡或借记卡,但是什么原因使您认为线下使用银行卡安全呢?除我自己之外,我无法代表其他任何人。但是,我愿意打赌,当您进入杂货店、餐厅或加油站时,您会心甘情愿地将信用卡交给一些您从未遇到过或从未见过的人;仅是因为他或她站在类似于销售终端的机器附近,您会在潜意识中相信这位陌生人。   大学毕业后,我在开始撰写有关计算机安全的文章之前曾担任调酒师的职务。对于计算机安全我曾仅掌握一点极为皮毛的知识,并且无任何时间考虑有关网络安全的事务。我对什么是病毒无任何意识,不了解病毒如何工作,或为何有人要创造病毒,但我知道病毒对令人厌烦的旧指令销售终端来说是个坏消息。直到今天,我仍不能100%确定刷过信用卡后发生什么事情。但是,销售终端却多次出现故障,这使得我对系统的完整性产生质疑——亦即现如今我们称之为”终端至终端”的系统(消费者至零售商至信用卡发行者或银行,及上述两者之间的任何及一切联系)。 或许此时销售终端机仅引起我们的注意,但是当销售终端机在此出现故障时,我们已无法再次容忍这种状况,因此我们不得不打电话请求萨姆的帮助。萨姆是一名年仅16岁的本地高中生黑客及计算机爱好者。他有一头让人感到莫名其妙且长发及腰的金发,我想大概萨姆认为该发型是当时流行的发型吧。萨姆用了一晚上的时间(毕竟这是一家酒吧,需要在晚上工作),并为我们修复了系统。但只有萨姆及他的狐朋狗友杰西(曾在酒吧工作,但因偷窃酒吧的一瓶酒而被开除)了解如何修复系统。 我并未表达正是这两个男孩从幕后破坏销售终端的意思,也未表达酒吧设施过于粗疏的意思。实际上,我所工作的这个酒吧是当地颇受欢迎的酒吧,并且如果我的记忆没出错的话,萨姆最后毕业于乔治城大学的计算机专业;杰西也从一名惹是生非的年轻人成长为一名受人尊敬的成年人。或许我的表述不够规范,但我仅想向您表述,您真的无法了解销售终端的背后究竟出现什么问题。 那么,从实用主义观点来看,从信用卡以塑料卡的形式打印而出的那一秒起,到我们用剪刀将信用卡剪断的那一刻为止,我们应如何保证支付数据的安全呢?曾有人开玩笑的告诉我,我们应使用铅质钱包;其他人也曾建议称,我们应将钱包放在小偷难以窃取的口袋中。我同意上述观点,使用纽扣扣上处于身后位置的口袋,确实可以防止小偷偷窃。小偷需要极为灵巧的手指,在我毫不知情的情况下,才能从已经扣上的口袋中偷出我的钱包。 除了扒手外,您还要注意哪些您亲自把信用卡交付其手的人。曾经有一次,我在马萨诸塞州波士顿市理发后,当我询问极为友好的发型师,是否可使用信用卡时,发型师告诉我,理发店无法使用信用卡,但他的妹妹在街尾处拥有一家礼品店;我可以通过电话告诉发型师妹妹信用卡卡号,在他妹妹店内付款;然后,发型师的妹妹将向其支付理发费用的现金。但我友好的拒绝了这一提议。 同样,这种场景较为罕见,但应注意的是:当任何人希望记下您的信用卡卡号,或希望使用旧式刷卡机刷您的信用卡时,或许您应当做的是,向他支付现金。 ATM诈骗器是指可安装在ATM上,当您将信用卡插入ATM机时,用于偷窃信用卡数据的设备或装置。 ATM诈骗器是指可安装在ATM上,当您将信用卡插入ATM机时,用于偷窃信用卡数据的设备或装置。 上述内容甚至尚未提及ATM!如果您真的希望了解可怕性,则您可以阅读安全记者新闻网站中的文章及ATM诈骗器专家布莱恩 克雷布斯(Brian Krebs)发表的文章。值得庆幸的是,克雷布斯并非仅使用让人感到恐惧的语言予以描述,还已展示出有关诈骗设备的大量图片页面,并已对诈骗设备如何工作予以说明。 顺便说一下,ATM诈骗器仅是我们用于描述可固定在ATM上,当您将信用卡插入ATM机时,用于窃取信用卡数据的设备或装置。基于相同的意图及目的,相类似的诈骗器还可安装在销售终端及天然气终端的信用卡支付输入键盘上。在现实世界中,此类诈骗器等同于中间人攻击。如果您希望了解更多有关此类诈骗器装置如何工作的技术细节,那么我诚恳地建议您查看安全网站中克雷布斯发表的文章。 如果某人已黑进PoS机终端,或已经在ATM上安装诈骗器以从事意图不轨的工作,则您在收到可怕的数据泄露通知邮件(或电子邮件)之前,甚至都不会察觉此类坏人的存在。但是罪犯也是常人,因此罪犯也会偷工减料。再次提醒,除非您能拆开ATM,否则您无法注意到可能已安装的绝大多数诈骗器。尽管如此,我仍在使用ATM时,认真检查ATM机。我会晃动一下键盘罩,以确认键盘罩是否已牢固固定。我会查看显示屏周围及下方,以检查是否存在监视键盘的装置;通常情况下,我会通过拨弄一下显示屏周围,以确定一切处于正常状态。另外,我还会留意观察摄像头的位置,通过微型摄像头窃取ATM使用者信息的例子比比皆是。所有ATM都会配备摄像头,但此类摄像都应正对您的脸部,而不是正对键盘位置。我从来不是用街头的ATM机,并且避免使用处于监管区域之外的ATM机(亦即,我总是使用周围存在负责人,且容易被负责人看到的ATM)。银行中的ATM机是最佳选择,其原因在于,从理论上说银行员工懂得有关ATM诈骗器的知识,并懂得如何发现ATM诈骗器。根据克雷布斯的描述,ATM诈骗器的存在并非假设中存在的问题,美国安全服务部门宣称,2008年ATM诈骗金额高达10亿美元。该数据每年仍在不断增长。 黑客劫持销售终端的问题更为棘手。花些时间确定销售终端外壳是否处于完全无损及正常状态,肯定是终端用户值得做的事情;即便如此,储存及传输支付数据的销售终端也可能已遭破坏。销售终端的使用除需要点对点的安全保护之外,还需要保护其他诸多方面(再次提醒,需留意从你手中向收钱者支付的全过程)。一位安全专家层向我讲述下面的故事:罪犯穿着半官方性的制服,告诉某不知名零售店的员工,他们前来维修PoS系统。当然,他们并不是来维修系统,而是来安装诈骗器。我很难确定这个故事的真实性,但我却认为这个故事是现实中真实发生的事情。 请将销售终端的使用想象为扑克游戏;在玩扑克游戏时,您总是尽可能的使手放在近身位置,以防止其他玩家偷看。大大咧咧的将您的借记卡放在桌面上,等同于在网络上发布您的借记卡照片。在销售终端的使用时,您还需尽可能的少用笔。只要有机会,您就应当选择使用借记卡而并非选择使用信用卡。在此状况下,即便您已遭受销售终端诈骗,至少坏人无法掌握您信用卡的PIN编号。 最后,许多事情处于您可控制的范围之外。也就是说,您需要采取多种有效的处理措施:您应始终注意银行账户余额及信用卡余额。有些银行会设定ATM取款限额,因此如果在您遭受ATM诈骗时,诈骗者仅可取出限制范围内的现金款项。在可能的条件下,尽可能多的使用不同银行的不同信用卡也是不错的方法。试样一下:如果在您遭受ATM诈骗时,您希望被诈骗者掌控的是无任何取款限制的美国运通信用卡,还是仅可取款1000美元的其他银行信用卡?该方法同样适用于借记卡。我在出门时,从来不携带和生活储蓄账户相链接的借记卡。    

为您的数据加密的原因

人类已发明多种保护其秘密的方法。在古罗马时期,贵族如果需要发送私人信件,则会剃光一个奴隶的头发,并将信件写在奴隶头皮上,直到奴隶的头发再次变长后,将奴隶送至收件人处。当然,在二十一世纪的今天,我们不需要使用时间如此之长的加密方法,并且我们需要更为稳健的保护。幸运的是,最初军队用于破解密码的计算机,现在可使我们通过加密的方法,近乎完美的保护我们的私人秘密信息。在很长一段时间内,仅政府可以使用安全性强的加密方法,但现在任何计算机用户都已可使用该方法。更重要的是,即便是您从未考虑过该方面的问题,实际上您一直拥有值得加密保护的秘密信息。   当我们开始讨论加密及保护时,有人总是会生活:”我没有任何需要隐藏的秘密”。但是,通常来说他们的意思是:”我认为没有人会为进入我的智能手机或笔记本,以发现一些有价值的事项而费神。” 但实施证明,这种希望是不真实的。对于您周围的人来说,保存在家庭计算机上的一份文件或您放置在卧室中的手机将很快成为他们检查的目标。您是否已准备好向您的妻子、兄弟或孩子,展示您的所有信件、图片及文件?或许在您的信件、图片及文件中并未保存任何不良信息,但或许您仍不想将此类信息和他人分享。您是否已准备好将您的信用卡卡号及PIN码告诉您仅十几岁的孩子?将您的Gmail或Facebook密码告诉您的妹妹?向您的朋友展示您的所有家庭照片(您的朋友可能会到访您的家庭,并借用您的电脑15分钟)? 您是否真的希望向您的妻子解释,娜塔莎只不过是您工作所处公司中,另外一个部门的同事,及您所讨论的”明日见面”实际上是参加由十名与会者参加的业务会议? 当然,如果恶意应用程序感染您的计算机,这个故事将变得更为尴尬。在网络犯罪的世界中,近期流行的趋势是:使用恶意软件从您的计算机中偷窃所有具有潜在价值的信息:文件、图片、密码、保存在网页浏览器中的网页地址等一切事物。 在您被偷窃的图片中,通常包含有扫描图片文件;如,您驾照的图片及其他可能会被欺诈及身份盗贼使用的重要文件。现实生活中,甚至存在包含隐私信息的图片遭偷窃后,被别人恶意勒索的真实案件。 另外一件可能会对用户造成灾难性影响的是用户丢失的手机。鉴于丢失的手机中通常包含诸多有价值的隐私信息,因此一些”高级”窃贼并非仅出售这些被盗的用户手机,而是扫描用书手机中的内存,以找寻诸如用户密码及移动银行密码/应用程序等有用的数据。 加密是信息转化进程,通过该进程可使未经授权的第三方无法阅读信息;而受信任的人可以经数据解密后,按照信息的原始形式访问信息。 加密是信息转化进程,通过该进程可使未经授权的第三方无法阅读信息;而受信任的人可以经数据解密后,按照信息的原始形式访问信息。 可解决一切烦恼的同一答案 对于您的信息来说,可能存在许多潜在威胁。但是,通过禁止陌生人及未成年人使用您的家庭计算机,及使用PIN码锁定您的手机屏幕等方法,可为您的信息提供保护。 另外,当前还存在更为普遍的方式,使信息仅可由合法所有者读取。如果隐私信息以加密的形式保存,则可以避免所有尴尬的时刻及意外事件。 即便在您并未意识到的条件下,当您通过HTTPS查看Gmail或银行信息时,或当您使用流行的GSM手机网络和朋友打电话时,您实际上已在使用加密方法。但是,我们希望关注另一重要的方面——加密您储存在计算机或智能手机中储存的数据。 什么是加密 加密是信息转化进程,通过该进程可使未经授权的第三方无法阅读信息;而受信任的人可以经数据解密后,按照信息的原始形式访问信息。当前存在多种常用的加密/解密方法,但保证信息安全性的关键因素并非使用先进的加密算法,最重要的因素是确保加密密钥(密码)处于保密状态,并仅使受信任的各方了解您的加密密钥。   非常重要的是,应区分编码和加密之间的区别。编码同样也可用于传输信息,但通常情况下,用户便捷的储存或传输信息,而并非用户保护秘密信息。众所周知的编码方法包含莫斯密码,及计算机存储所使用的二进制编码。 您的数字保险箱 为确保文件加密,最为便捷的解决方案是创建加密库(亦即,众所周知的加密容器)。在您完成创建进程后,加密库将在您的系统中显示为独立的硬盘盘符。您可以向加密库中保存或复制任何文件,其使用方法类似于USB记忆棒。加密库和USB记忆棒之间最重要的区别在于,加密库物理容器仅是一个在您硬盘上创建的大文件夹,您可以使用专业软件(如,卡巴斯基PURE)访问加密库。您在加密库中保存任何文件时,加密库都将为该文件”飞速”加密,并保存至加密库中大容量文件夹中。 访问您的计算机的任何人都可查看甚至偷窃(复制)加密库文件,但对于窃贼来说,查看及偷窃加密库文件并不能使窃贼访问您的信息。在加密文件中仅保存有随机排列的字符,为找到正确的密码,以将窃贼保存在其磁盘上且满是垃圾字符的加密文件转化为可读文件,可能需要耗费窃贼若干年的时间。 当然,为使得加密容器可以获得有效保护,您必须遵循一些基本的原则: 您的加密密钥(密码)是唯一防止他人访问您加密信息的关键因素。因此,您必须使用长而复杂,且难以被他人猜测的加密密码。点击这里,查看我们在创建良好密码方面为您提供的建议. 您必须在加密盘符中储存所有隐私信息。 了解加密密码的任何人都可阅读加密库中储存的所有文件。如果您有各种不同类型的信息,并希望不同的用户访问不同类型的信息,则您需要创建使用不同密码的多个加密库。 非常重要的一点是:请不要安装加密驱动器。如果您安装加密驱动器,则任何人可以向从普通盘符中偷窃您的文件一样,偷窃您的加密文件。仅在需要加密重要数据时,安装加密驱动器,并在完成加密进城后,立即卸载加密驱动器。 如果加密库文件夹遭到破坏,则您将丢失储存在该文件夹中的所有文件。这也是为何经常备份加密库文件夹非常重要的原因所在。 对您的计算机实施全面保护——我们建议使用卡巴斯基PURE,为您的加密密码提供保护,以抵御木马及键盘记录程序的攻击。如果您的计算机中存在正在运行的键盘记录程序,则您所有的加密努力都将白费。 智能手机的安全性 在智能手机被盗的条件下,为保护用户的数据,移动手机操作系统供应商已开发出具有加密功能的操作系统。用户重要的信息将以加密的形式储存在手机中,并且仅当用户每次输入PIN码后,方可解锁其手机设备。苹果公司禁止用户修改加密设置,但当您启动密码保护时,苹果手机产品可为您的多种信息加密。在安卓安全设置中,存在全部内容加密选项。通过使用该功能,在未使用密码的条件下,所有用户数据都处于不可访问状态。为确保您可以获得最大程度的保护,我们建议您使用最新的移动手机操作系统——iOS