科技

135 文章

主题研究:多数智能家居产品门户洞开,隐患重重

如果你始终关注互联网和计算机安全方面的新闻,那么听到许多智能家居系统设计不周或配置不良,导致安装这些系统的家庭面临着大量严重的安全漏洞时,你应该不会觉得太意外。 这么说恐怕小瞧您,但智能家庭确实与您想像中的完全一样(你会想到智能手机、智能电视、智能汽车等等):家里的所有家电、冷暖系统、照明系统、烟雾探测器和/或门锁全部连到家庭网络,而家庭网络又最终连到互联网,计算机、手机和平板电脑以及其他相对传统的支持互联网的设备也全部都连到互联网。通过这样的系统,用户能够远程监视和操控家里的各个系统。 一直以来,研究人员都对智能安全系统和连接互联网的门锁和烟雾探测器(还有其他任何连到互联网的设备)的安全性有所置疑,这也是我始终关注的问题。最新的新闻是,AV-Test.org对7种不同的智能家居套件的安全情况进行了测试,结果发现其中4种都差强人意。 当然这7个套件只是沧海一粟,也许在统计学上来说微不足道,也不是具有代表性的取样量。但无论如何,在此次研究中发现的有漏洞的设备,可以被利用进行内部攻击(在某些情况下还可进行外部攻击),攻击目标是家庭网络及其所连设备,或者是住宅本身及其家里的东西。 国际知名安全评测组织AV-Test分析的七款智能家居套件分别是:iConnect(eSaver)、tapHome(EUROiSTYLE)、Elements(集怡嘉)、iComfort(REV Ritter)、Smart Home(RWE)、QIVICON(德国电信)和XAVAX MAX!(Hama)。AV-Test发现,其中只有集怡嘉、RWE和QIVICON套件能够良好地防御黑客入侵和未授权访问。iComfort和tapHome套件均在本地含有可利用的漏洞,这意味着攻击者需要在家里才可利用这些漏洞。最严重的是iComfort和XAVAX MAX!套件,这两款套件能被远程入侵(同时也能被本地入侵)。 每种产品都有一组不同的功能。但总体来说,这些功能属于电力、供暖和安保控制系统、门窗和房间监视系统、开关插座的控制系统以及照明、供暖和电力的开关系统。 广义上来说,攻击者能够操控连接的系统来达到破坏的目的(比如,关闭供暖,使管道在冬季破裂)。 因此,最可能的攻击是利用这些系统中的漏洞作为接入点,并最终获取家庭网络中存储的宝贵数据。 然而,大多数黑客犯罪分子的目标是金钱。因此,最可能的攻击是利用这些系统中的漏洞作为接入点,并最终获取家庭网络中存储的宝贵数据。还有可能发生的情况是,不安全的设备被入侵后,可被控制用于对可能的实际盗窃目标进行监视。高手甚至可借此打开门锁,从而更轻松地实施盗窃。AV-Test注意到,有能力在各种所连设备上传播的勒索软件很容易被攻击者所利用。用户不得不为此支付勒索费用,否则整个住宅都会停止工作。 AV-Test重点研究了设备之间的通信是否加密,默认情况下套件是否要求主动认证(网络或物理访问密码)以及易受远程攻击的难易程度。 Gigaset、RWE和QIVICON产品的通信都始终加密,因此被AV-Test视为是安全产品。iConnects的通信虽然也加密,但AV-Test表示,此套件的加密很容易被绕过。根据研究中的观察结果,其余的iComfort、tapHome和XAVAX MAX!这几个产品根本就没使用加密。 未部署任何加密机制意味着所有智能家庭通信都可以被轻易拦截。所以攻击者能够监视这些设备的所有来往通信,骗取代码来操控设备活动,甚至只监视这些设备就能推断出家里有没有人。 未部署任何加密方法意味着所有智能家庭通信都可以被轻易拦截。 iComfort产品完全不要求认证,这意味着远程攻击者能够基于网络启动对系统的攻击。iConnect和XAVAX MAX!系统要求网络接入认证,但对本地物理接入不要求认证。tapHome要求内部认证,但据研究显示,这种措施其实毫无作用,因为产品缺少加密机制。Gigaset Elements、RWE Smart Home和QIVICON都要求物理和网络接入认证(安全通信除外)。 但好消息是:AV-Test认为,如果这些产品制造商花些时间来开发可靠的安全理念,而不是将有缺陷的产品急不可耐地上市销售,那么打造一个安全的智能家居系统完全是可能的。另一个好消息是:AV-Test为您购买智能家居系统提供了挑选标准:请挑选总是要求认证,并且始终加密通信的系统。

安卓系统恶意软件问题日渐增多

安卓设备在全球市场的领军地位逐步提升,但也日益受到恶意软件问题的困扰。迄今为止,对于基于安卓设备的应用商店Google Play而言,这是特别艰难的一年,其声誉也大受损害。在2月份,网络安全公司RiskIQ报告,Google Play商店内的应用数量在2011年到2013年之间增加3倍。在随后的4月,众多用户在Google Play下载了一款假冒的安卓反病毒应用,Google随即宣布将向这些已购买该应用的1万多名用户退还3.99美元—好在该款应用只是一个”玩笑”而已,除了点击后会改变图标形状以外对设备没有任何害处。 安卓继续提升其在美国和全球智能手机和平板电脑市场的领导地位,据ComScore统计,Google平台上在美国智能手机市场占据52%的份额,而苹果则为41%,而这一差距在全球市场上更为巨大——2014年第1季度,安卓拥有全球市场44%的份额,而苹果仅为10%。此外,安卓设备占据美国平板电脑市场62%的份额,而iOS则为36%。 然而伴随着安卓市场份额的累计攀升,其针对Google公司的安全协议的攻击也逐渐增多。除在应用商店中出售的Google授权应用的安全问题外,网络安全公司Opswat上月还报告了第三方应用商店出售的近三分之一应用含恶意软件。这一数据促使Google改进安卓设备上的验证应用安全功能,即在所有安卓用户设备上本地扫描第三方应用——前提是得到用户的许可。这些恶意软件中还包括一款令人讨厌的勒索软件,用于从国际色情用户吸费。 然而伴随着安卓市场份额的累计攀升,其针对Google公司的安全协议的攻击也逐渐增多。 因此,安卓用户需要极其谨慎地下载各种应用。最好的方式就是不再下载第三方应用,且始终通过验证应用工具对所有下载应用进行本地扫描。但除此之外,安卓用户还应该在他们的设备上运行移动安全套件。目前市场上的安全软件种类繁多,用户往往难以抉择——在这里,卡巴斯基实验室非常乐意为用户推荐一款产品——但鉴于应用和所谓的反病毒系统中恶意软件的数量和严重性不断上升,如果用户没有安装任何此类的移动设备安全套件,则应关闭安卓设备。

CryptoLocker安卓版?

还记得我们曾提到过CryptoLocker勒索软件非常危险的新闻吗?现在,勒索软件出现一种全新变体将安卓用户锁定为目标(起码会让人联想到CryptoLocker)。众所周知,CryptoLocker是对用户的关键计算机文件进行加密,然后以解密为条件用户向勒索钱财。考虑到安卓所占的市场份额,还有以安卓设备为目标的恶意程序样本的广泛传播,出现新的变体并不令人意外。 勒索软件是黑客用来锁定被感染计算机,并以此为条件向用户勒索钱财的一类恶意软件。在某些情况下,恶意软件只是让计算机无法使用。但另一些恶意软件,比如CryptoLocker,是加密被感染计算机上的重要文件,然后要求用户缴费来获取解密这些文件的专用密钥。CryptoLocker还算诚实,对自己的意图直言不讳;但还有许多勒索软件则是假冒执法机构向用户发出警告。警告中通常声称在用户计算机上发现了某类非法内容,必须缴纳罚款才能解锁计算机。 对于这种情况,其实是负责不同种类勒索软件的一组犯罪分子(称为Reveton)发布类似于CryptoLocker的恶意软件来感染安卓移动设备。 这种勒索软件到底在多大程度上与令人厌恶的CryptoLocker(以台式机为目标)有关系尚不清楚,但不管制作者是谁,显然是在玩CryptoLocker的旧把戏,这是属于犯罪性质的某类营销骗局。 为”Kafeine”公司工作的一位知名安全研究人员发现了这种新型恶意软件,并在自己的博客Malware don’t need Coffee中记录了此恶意软件的信息。他发现,安卓设备用户连到感染了此恶意软件的域后,即会被重定向到色情站点,该站点中部署了一些社交工程,目的是骗用户进入包含此恶意软件的应用文件。 但好消息是:除非用户实际上亲自安装了此恶意软件,否则不会被感染,这就是为什么我们推荐只安装来自合法Google Play商店的应用。 “锁定程序非常有效,”Kafeine在此恶意软件的说明中写道。”用户可以在主屏幕上继续操作,但所有操作都失效。无论是启动浏览器、调用应用还是执行”列出活动任务”,都会弹出锁定程序。” 这种恶意软件的应用文件伪装成一个色情应用,用户需要下载才会被感染。如果用户启动此应用,随即会显示一个警告屏幕,通知用户被控在手机上浏览或传播色情内容。 此消息还会通知用户,须通过MoneyPak支付300美元的罚款,否则可能会面临5到11年的监禁。 Reveton一伙发布的工具包版本具有多种变体,受害用户遍及30多个国家,包括美国、英国、法国、德国、澳大利亚和西班牙。 这种勒索软件到底在多大程度上与令人厌恶的以台式机为目标的CryptoLocker有关系尚不清楚,但不管制作者是谁,显然是在玩CryptoLocker的旧把戏,这是属于犯罪性质的某类营销骗局。这个情况着实让人感兴趣,因为从中可以看出网络犯罪分子是如何花样百出,利用合法的商业做法来获取最大利润的,当然这得改天再谈了。

卡巴斯基安全软件安卓版在独立测试中再次独占螯头

在最近对移动安全产品进行的测试中,卡巴斯基安全软件安卓版又一次成为表现最佳的解决方案。在此次测试中,防御的最新恶意软件威胁超过2000个。 今年3月,AV-Test执行一项独立测试,测试目的是分析31家供应商所提供产品在以下方面的有效性:检测并阻止2266个有效恶意软件样本,生成的误报数(对实际无害的程序执行的可疑病毒检测实例数),以及对设备性能、电池寿命和网络速度的影响。 卡巴斯基安全软件安卓版对恶意程序的识别和阻止率达到100%;而其他参评解决方案的平均成功率为95%。卡巴斯基安全软件安卓版的误报率为零,并且对设备资源没有显著影响 – 所有这一切使卡巴斯基安全软件安卓版在13项测评中无一例外地赢得最高分,被授予”合格”产品。 卡巴斯基安全软件安卓版对恶意程序的识别和阻止率达到100%;而其他参评解决方案的平均成功率为95%。 “移动安全解决方案的主要任务是保护用户数据不被网络犯罪分子窃取,防止设备变成垃圾邮件的来源和受到其他网络攻击。”卡巴斯基实验室移动威胁研发组经理Viktor Chebyshev表示说。用户选择一款解决方案时,通常对设备性能的影响是很重要的考量因素。所以对于智能手机和平板电脑来说,一款能确保高级别防御网络威胁,又不会影响用户体验的安全产品是至关重要的。 所有产品都是在安卓V4.3上进行的测试,产品的使用环境是默认设置,支持更新反病毒数据库,使用所有提供的防御工具,也允许查询任何基于云的支持服务。 卡巴斯基实验室产品在独立测试中的排名一贯靠前,卡巴斯基安全软件安卓版也不例外:2014年1月,它在PC Security Labs独立测试机构针对高级别安卓恶意软件威胁的测试中摘得桂冠。

一周要闻:持续关注Heartbleed漏洞事件

与上周一样,Heartbleed大事件仍是安全类新闻的头条。也许我该用整个篇幅来全面概述有关Heartbleed事件的讨论内容,但我不会这么做,因为我想你们可能还希望了解影响外置硬盘知名(时尚)品牌制造商长达一年之久的数据外泄事件;微软的奇怪举动,可能会影响用户安装安全更新;某家搜索巨头的潜在行动计划可能会促进网站搜索优化,使网站做出良好的安全决策;看看终结XP支持对互联网有怎样的影响。 Heartbleed漏洞 如我所说,Heartbleed大事件仍在持续报道中。有可能在之前两周半左右的时间里,你完全没注意过任何相关新闻来源,下面我会对此事件进行扼要概述:Heartbleed是一种加密漏洞,互联网上的任何人都能借助此漏洞来读取通过OpenSSL这种加密实施服务进行保护的机器内存。严重情况下,这块小小的内存中很可能含有用户名、密码,甚至私人加密密钥等敏感信息。要在一条简短的新闻提要中清楚解释整个事件是不可能的,如果您对此事件不是很清楚,请阅读Heartbleed发展概要,文章中进一步分析说明了为什么Heartbleed是一个大事件。如果你对此事件的发展已经很熟悉,请继续阅读本文: 上周末,Heartbleed事态进一步升级,已经从严重但仍认为安全的漏洞过渡到在真实世界攻击中被大肆利用,不断收集真实受害者的信息。一家英国育儿网站Mumsnet被黑客利用Heartbleed漏洞攻击后,被攻击者窃取了存储在该网站上的密码,据报道说攻击者利用这些密码在网站上发布消息。更令人担心的是,攻击者还利用Heartbleed漏洞设法入侵加拿大税务署辖下的系统。在加拿大税务署在使用OpenSSL的补丁版本更新系统之前6小时内,攻击者就盗走了900位市民的社会保险号。 可能导致密码、通信和加密密钥泄露的OpenSSL Heartbleed bug仍是安全行业新闻头条 美国波士顿东北大学的Collin Mulliner发起了一项研究,针对Tor节点随机采样进行检查,根据上周晚些时候发布的报告,Tor匿名化网络中大约有20%的服务器或”出口节点“被发现具有漏洞。 虽然出现了Heartbleed攻击,但概念验证证明,由于事实上存在证书被盗的可能性,而且很多人都知道需要更换可能有漏洞的证书,因此证书撤销和更换潮似乎实际上算不上什么”潮”。简而言之,这些证书可确保所访问的网站正是你要去网站。很大程度上证书在互联网上的信任度非常高。当然,Heartbleed漏洞出现后,证书撤销和更换操作出现井喷,但相对于bug的规模是完全不成比例的。 LaCie长达一年的漏洞 据我同事(每月新闻播客主持人之一)Chris Brook报道,法国计算机硬件公司LaCie(莱斯)本周宣布公司成为数据外泄的受害者,只要去年从公司网站上购买过产品的用户,其敏感信息都面临泄露危险。LaCie最出名的产品可能是彩色外置硬盘。该公司称,攻击者利用一款恶意软件入侵公司在线系统,并利用此软件来盗取客户名称、地址和邮箱地址,此外还包括支付卡信息和卡到期日期。所以,如果你大约在去年直接从LaCie网店买过产品,那么你的信息很可能已外泄,如果情况属实,公司可能已经通知过您相关情况。 微软做出古怪决策;Google搜索算法很可能再造辉煌 微软的行动着实让我想不通,但我想他们肯定有充分的理由这样做。微软最近宣布,不再为运行过时版本的Windows 8.1的用户提供安全更新。要想在未来接收安全更新,客户必须使用最新版本的Windows 8.1更新来更新自己的机器,公司于4月推出此更新版本。 我曾和微软发言人交流过,但他并未详细解释为何公司会做出这一决定。好消息是,微软发言人肯定地指出,此项决定的宣布只会影响很小一部分没有启用自动更新功能的用户。明确地说,就是我们极力推荐启用自动更新,我认为默认情况下大多数商用Windows系统都已启用自动更新。如果您已启用,那么就根本不必有任何担心。如果是手动安装更新,则需要安装4月份的Windows 8.1更新,否则将无法安装微软未来每月发布的补丁。您可自行选择怎样做,但对我来说是完全明摆着的事。 另一方面,有谣言说搜索巨头Google可能会在自己魔法般的搜索算法(至少我是这样认为的)中新增一些算法,此举将极大提高实施加密的网站的搜索结果。《华尔街日报》报道说,此新闻源于该公司搜索算法大师Matt Cutts在一次会议上的发言。Google并未直接否认这些说法,但他们称公司目前对此不置一词。很难说Google是不是会真的考虑增加算法,但无疑这看起来是个不错的主意。 XP的终结? 微软不再对Windows XP提供支持,上个月微软正式发布(终于)针对Windows XP的最后一批补丁。对于是否停止支持XP系统多年来讨论无数,问题主要围绕放弃支持目前仍有多达28%的计算机用户使用的操作系统会带来怎样的影响。目前要对停止支持XP系统产生的影响下结论还为之过早,但如果您仍在运行XP系统,那么可能是时候更新换代了。如果Heartbleed从未现身,我还觉得对此的讨论应到此为止,但是我敢肯定未来我们还将进一步进行探讨。这就是为什么还将讨论XP的终结可能对未来的影响的原因。 移动新闻 最后,但也同样重要的是卡巴斯基实验室研究人员在最新的报告中证实,利用恶意软件盗取安卓用户银行信息的犯罪分子业务繁荣。结束语:总有一天会出现破解那些精心设计的指纹采集仪的入侵行为。

“Heartbleed”漏洞恐令数千网站泄密

更新:在上一篇有关此漏洞的文章中曾提到(引用了Github上的列表)HideMyAss网站用户受到Heartbleed漏洞的威胁。但该网站发言人与我们联系表示,他们的用户并未受此漏洞的影响,所以我们从受影响网站列表中删除了此网站。 更新2:专栏已更新受影响服务列表,这些服务官方推荐更改用户密码。 NPR(美国国家公共广播电台)主播David Green在早8点主持的《早间节目》中讨论安全漏洞话题后,人们都知道了安全漏洞是非常严重的问题。昨天早上的节目中又提到了此话题,这次是OpenSSL中的一种严重的加密漏洞,被戏称为”Heartbleed”(心滴血)。OpenSSL可能是互联网部署最广泛的加密库。如果您不是很清楚什么是OpenSSL,别担心,下面我会用500字左右的篇幅来尽量解释清楚整个原委。 与网站建立起加密连接后,数据都将使用SSL/TLS协议进行加密,不管你连接的Google、Facebook还是网银。许多流行的网络服务器利用开源OpenSSL库来执行此加密作业。本周早些时候,OpenSSL的维护人员针对一种严重漏洞发布了修订,此漏洞在实现TLS功能时出现,称为”Heartbeat”(心跳包),攻击者借助此漏洞可从服务器内存中读取多达64 KB的数据。 换句话说,如果保护机器的库是有漏洞的版本,那么互联网上的任何人都能通过该漏洞来读取机器内存。最坏的情况是这一块小小的内存中可能含有敏感数据 – 用户名、密码,甚至包括服务器用于加密连接的专用密钥。此外,利用Heartbleed漏洞不会留下痕迹,没有确定的方法来判断服务器是否被黑客入侵过,也无法断定哪类数据被盗。 好消息是OpenSSL修复了该漏洞。但坏消息是没有办法保证受Heartbleed漏洞影响的这些网站和服务实施补丁来减轻漏洞的影响。更多的坏消息是,该漏洞很明显能够被轻松利用,而且可能已存在长达两年时间。这意味着许多流行网站的安全证书已被盗,包括密码在内的敏感用户数据也很可能遭窃。 用户行动计划 更新:Mashable收集的清单列出了来自受影响网络服务的正式PR回复。为了节省阅读表格并检查证书(下面有更多检查相关内容)的时间,只需在以下所有站点上更改密码即可:Facebook、Instagram、Pinterest、Tumblr、Yahoo、AWS、Box、Dropbox、Github、IFFT、Minecraft、OKCupid、SoundCloud和Wunderlist。请对每个站点使用唯一密码! 检查自己喜欢的站点是否有漏洞。有多种在线工具可检查是否存在漏洞,但你还需要知道之前是否有存在过。很幸运,你可以根据一个长长的流行网站列表来检查是否有漏洞。好消息是,PayPal和Google未受影响。坏消息是,Yahoo、Facebook、Flickr、Duckduckgo、LastPass、Redtube、OkCupid、500px及其他许多网站都存在漏洞。如果您在这些脆弱网站上有注册有帐户,请准备好随时行动。 立即检查网站是否有漏洞。有一个简单工具可用于此检查。 网站所有者修复漏洞后,还需要考虑重新发布网站证书。因此准备好监视服务器证书,并确保使用的是最新证书(4月8日或之后发布的证书)。为此,请启用浏览器中的证书撤销检查。下面举例说明了如何在Google Chrome设置中启用此项。 此项将阻止浏览器使用旧证书。要手动检查证书发布日期,请点击地址栏中的绿色锁图标,然后点击”连接”选项卡上的”信息”链接。 对服务器打补丁并更新证书后,最重要的一步是立即更改密码。此时可修改密码策略,并开始使用容易记忆而又安全的密码。您可以使用我们的密码检查程序来检查新密码是否安全。

移动设备春季”大扫除”

春季是卫生大扫除的好时节,家里、壁橱还有电脑,全都不能放过。如今智能手机和电脑一样在生活中占据着核心地位,因此对手机进行”大扫除”,使其尽可能高效、干净地保持运行也同样重要。 不妨试试按照以下步骤对您的iPhone以及安卓手机进行”大扫除”。 iPhone手机: 1.清理存储空间:在硬盘上尽可能保留500MB到1GB可用空间,这样应用才不会有运行崩溃的风险。转至”设置”,点击”通用”,然后点击”用量”。在此将看到手机上的所有应用,以及这些应用所占用的空间。有些应用(如相机)会占用大量空间,但可以删除其中部分文件(如照片),以尽可能减少数据容量。而另一些应用程序(如游戏或社交媒体应用程序)可能下载的时候只有10-15 MB大小,但在手机上保留的时间越长,则占用的空间越多,有时甚至可达到数百MB。删除并重新安装这些应用可使其恢复到原始大小,从而释放硬盘上的空间。 2. 整合应用程序:首先删除应用程序,即通过iTunes删除不再使用的任何应用程序或在iPhone上长按应用程序图标,然后点击屏幕开始晃动时出现在左上角的×来删除相应的应用程序。接着对屏幕上的应用分组到各个相应文件夹中 – 将所有与照片相关的应用程序放一个文件夹,所有社交媒体应用程序放另一个文件夹,地理位置应用程序(如地图、四方等)按上述方法相同操作。 互联网恶意软件中以移动设备为目标的所占比例呈上升趋势,着实令人担忧。 3.优化电池性能:如果电池迅速耗尽,则应在”设置”中执行重要步骤来清理电池。其中许多步骤与限制推送通知、位置服务和禁用ping相关。Buzzfeed最近写了一篇有关如何优化电池性能的权威指南,指南分为13步,您应该逐步对照检查。http://www.buzzfeed.com/alanwhite/13-reasons-your-iphone-keeps-running-out-of-battery 安卓系统手机: 1. 清理存储空间:安卓设备是将数据存储在SD存储卡和保存应用程序的内部空间中,首先,删除设备上不再需要的音乐、照片和照片文件(确保已先将这些内容备份在其他位置)。此外,还应删除与设备上已删除的旧应用程序关联的所有文件夹。 2. 整合并优化应用:首先删除不再使用的应用程序。接着清除应用程序缓存,方法是在设备的”设置”中转至应用的属性,点击”清除缓存”。逐个应用程序来清除缓存相当耗费时间,可以使用像”应用缓存清除程序”这样的应用来自动执行并加快清除过程。 3. 优化电池性能:提高电池性的第一步是调整一些基本设置,例如调低屏幕亮度,不使用蓝牙和Wi-Fi时将其禁用。还应该限制应用访问的后台数据。例如,禁用电子邮件或Facebook和Twitter等应用的自动同步功能总能或多或少减少电池电量消耗。可以禁用所有应用程序的后台数据,方法是转至”设置 – 数据用量”,然后点击屏幕左上角的三个点来启动上下文菜单,将”自动同步数据”切换到”关闭”,然后点击”确定”。 互联网恶意软件中以移动设备为目标的所占比例呈上升趋势,尤以安卓设备的情况最为严重,着实令人担忧,因此优化智能手机和平板电脑所必需额外执行的第七步是下载和/或更新可靠的移动安全套件。

为什么网络犯罪分子会瞄准您的智能手机 – 信息图表

手机恶意软件已成为网络犯罪分子中最热门的话题,大量恶意手机应用迅速增长。原因显而易见 – 有多种方法可通过让手机感染病毒来挣钱,范围从直接窃取到安装像比特币挖矿这类讨厌的东西。看看我们绘制的信息图表就很清楚,手机上哪些资产需要专用保护解决方案。

RSA 2014 安全大会网络安全畅销书目推荐

尽管近期深陷负面新闻,但RSA 2014 安全大会依然是网络安全业内最大的盛会。这里汇聚了全球最精英的人才、最出色的管理者以及最具影响力的专家(不过从应用安全角度看,安全分析师峰会才是目前被公认为行业内最高端会议-作者注)。如何才能接触到极为私人的安全专家团体,并紧随其步伐呢?最佳方式便是通过调查和阅读时刻掌握最新趋势。当然我指的是海量的阅读。去年我们对RSA 2013安全大会畅销书目进行了总结,今年我们将继续这一传统。下文列出了本年度网络安全行业最优秀书目名单: 1.《谷歌知道你多少秘密?》 本年度最引起恐慌的一本书:) 当你在使用谷歌的”免费”服务时,你付出的代价就是花费大量时间以及个人信息。谷歌靠着对每一名用户的了解大发横财…如果知道谷歌对你的了解程度,相信你定会大吃一惊。《谷歌知道你多少秘密?》是首本揭露谷歌如何利用其巨大的信息库存来赚取用户或用户企业的巨额利益,以及用户应如何保护自己的一本书。 本书与关于谷歌黑客的其他书籍完全不同,其内容不仅仅是讲述聪明的用户如何利用谷歌搜索结果进行检索那么简单,而用户在使用所有谷歌高级应用程序时所泄露的信息。西点军校计算机科学教授格雷格•康蒂(Greg Conti)揭露了Gmail、 Google Maps、 Google Talk、 Google Groups、 Google Alerts以及谷歌全新手机应用等所涉及的隐私问题。康蒂教授通过进行高级安全研究,揭示了谷歌数据库如何被别有企图的人所利用,尽管谷歌长久以来秉承”不作恶”的承诺。 发现用户使用谷歌搜索后遗留下零碎信息的蛛丝马迹。 Gmail是如何被利用来追踪个人朋友网络、家人以及熟人信息的。 谷歌地图和定位工具如何揭露你的家庭住址、工作单位、家人和朋友、旅行计划以及一些个人意图的。 谷歌以及其他网络公司的信息库存是如何被泄露、丢失、获取、共享或传播,之后被用于身份盗窃甚至敲诈勒索的。 谷歌AdSense和DoubleClick广告服务如何通过网络对你进行跟踪。 如何系统逐步地减少你的个人信息公开和泄露。 本书为网络用户敲响了警钟,同时还是一本”网络自我保护”指导手册。《谷歌知道你多少秘密?》对每一名谷歌用户来说都是一本不可或缺的好书,无论是私人用户还是安全专家,都值得拥有。 2.《黑客大曝光7:网络安全机密与解决方案》 专业人士通常都会从他人的经验和教训中学习。索尼团队首席问题官和FBI前执行助理局长强力推荐本书,原因如下: “我们现在所面临的现实是不断受到零日漏洞攻击、高级持续威胁攻击以及国家资助的攻击。如今,黑客攻击愈演愈烈,安全专家需要精确掌握黑客的思维方式、方法和所用工具箱,如此才能成功阻止这些近乎疯狂的攻击。该版本向读者介绍了最新的攻击途径,以及如何有效应对这些不断演变威胁的方法。”索尼网络娱乐首席问题官布雷特•沃何林(Brett Wahlin)这样评论道。 “不再’重拳出击’ –