IFA 2015:安全性成为主流趋势

IFA 2015 —消费电子展览会的最新动态—无一例外有关技术完整性的创新。各大开发商不再单纯追求在硬件上取得优势;转而研究如何将日常生活和技术”连接”起来。 比如,卡巴斯基实验室就在大会上展示了植入体内的芯片技术。尽管如今我们外出不是将电子设备放在口袋内就是绑在手腕上,但过不了几年,皮下植入芯片定将成为主流。 “万物互联”即将取代”物联网”(尽管这一技术也刚推出不久)。全球范围所有”生命个体”都将和冰箱或熨斗一样拥有平等的联网权利。 这听起来有些让人毛骨悚然,尤其对于《黑客帝国》三部曲的影迷或熟悉’反乌托邦’文学作品的读者们更是如此。其原因不外乎一个:现有的安全解决方案不够安全。新型软件通常存在众多漏洞,黑客可以出于多种目的进行漏洞利用,比如:身份盗用。 Rainer Bock —卡巴斯基实验室出现的第三个’仿生人‘ 目前存储在芯片内的数据通过4位数PIN码保护,这意味着很容易遭到黑客入侵。植入芯片的性能也相当一般(比如:你只能存储880字节大小的数据),因此进一步加大了安全保护的难度。 当然,特定覆盖半径是最好的安全保护–大约只有5 cm的有效半径。黑客必须靠你非常近才有可能盗取数据。但这只是暂时的限制:当体内植入芯片广泛普及后,犯罪分子只需搭乘一次地铁就能轻松盗取数量众多的个人ID。 与此同时,智能手机制造商采用指纹传感器技术:这一创意显然激发了市场竞争者的无限想象力,现在甚至一些二流手机(比如中国的中兴手机)都装备了生物传感器。 使用传感器的新方法也悄然兴起。早先传感器的功能并非是作为无密码认证的替代方法。在你数次尝试解锁手机屏幕,无论如何你都必须输入密码—这种情况早已见怪不怪,原因在于第一代传感器技术存在许多缺陷。 因此第一代传感器基本都是摆设,除了存在疑问的额外保护能力外几乎一无是处。苹果更是加剧了混乱局面:公司推出了附带可用传感器的Apple Pay系统(还未完全普及),即为新支付系统启用的认证方式。 现在手机制造商们已开始”比赛”发明如何将指纹图像传感器运用于各种功能。华为在其Mate S手机的触控面板中将这一技术运用于图片滚动和电话接听功能。索尼则将全新超声波传感器Qualcomm SenseID(我们在关于世界移动通信大会的博文中曾介绍过)用作指纹认证工具,该传感器同样也支持Fido服务。 这里说的Fido不是FidoNet,而是FIDO联盟—旨在开发无密码验证的完整网络的一群公司。这一标准可用于支付、网站验证以及所有需要用到数字身份的领域。 FIDO使用无密码UAF协议(通用性验证框架),且工作机制相当简单。在登录时,系统需要连接,你需要用一个代替密码的小工具进行验证;并且还可以通过指纹、面部特征或语音识别启用生物特征身份认证。此外,你还可以将各种因素组合加以混合以提高安全保护能力,因为犯罪分子几乎很难猜出所有生物特征元素。 FIDO还用了双因素认证解决方案U2X,即将一个简单的4位数PIN码和硬件加密模块结合使用。你无需再与设备连接;相反,你只需借助一个密钥就能使用不同的设备,例如:用USB令牌开启或扫描NFC标签开启手机。同样,植入体内芯片也可以作为这样的标签使用。 接下来就一切照常:自动创建两个密钥:私钥和公钥。私钥本地保存在智能手机内并发送至第三方资源;公钥在认证请求时使用。这样根本无需密码! 这看起来并不像什么创新技术,但FIDO联盟制定了共同标准,受到乐所有开发商的支持。目前已有超过200家公司加入这一联盟,包括:Visa、Mastercard、PayPal、Google和微软这些大型公司—因此这一标准在未来广泛普及的可能性极高。

IFA 2015 —消费电子展览会的最新动态—无一例外有关技术完整性的创新。各大开发商不再单纯追求在硬件上取得优势;转而研究如何将日常生活和技术”连接”起来。

比如,卡巴斯基实验室就在大会上展示了植入体内的芯片技术。尽管如今我们外出不是将电子设备放在口袋内就是绑在手腕上,但过不了几年,皮下植入芯片定将成为主流。

“万物互联”即将取代”物联网”(尽管这一技术也刚推出不久)。全球范围所有”生命个体”都将和冰箱或熨斗一样拥有平等的联网权利。

这听起来有些让人毛骨悚然,尤其对于《黑客帝国》三部曲的影迷或熟悉’反乌托邦’文学作品的读者们更是如此。其原因不外乎一个:现有的安全解决方案不够安全。新型软件通常存在众多漏洞,黑客可以出于多种目的进行漏洞利用,比如:身份盗用。

Rainer Bock —卡巴斯基实验室出现的第三个’仿生人

目前存储在芯片内的数据通过4位数PIN码保护,这意味着很容易遭到黑客入侵。植入芯片的性能也相当一般(比如:你只能存储880字节大小的数据),因此进一步加大了安全保护的难度。

当然,特定覆盖半径是最好的安全保护–大约只有5 cm的有效半径。黑客必须靠你非常近才有可能盗取数据。但这只是暂时的限制:当体内植入芯片广泛普及后,犯罪分子只需搭乘一次地铁就能轻松盗取数量众多的个人ID。

与此同时,智能手机制造商采用指纹传感器技术:这一创意显然激发了市场竞争者的无限想象力,现在甚至一些二流手机(比如中国的中兴手机)都装备了生物传感器。

使用传感器的新方法也悄然兴起。早先传感器的功能并非是作为无密码认证的替代方法。在你数次尝试解锁手机屏幕,无论如何你都必须输入密码—这种情况早已见怪不怪,原因在于第一代传感器技术存在许多缺陷。

因此第一代传感器基本都是摆设,除了存在疑问的额外保护能力外几乎一无是处。苹果更是加剧了混乱局面:公司推出了附带可用传感器的Apple Pay系统(还未完全普及),即为新支付系统启用的认证方式。

现在手机制造商们已开始”比赛”发明如何将指纹图像传感器运用于各种功能。华为在其Mate S手机的触控面板中将这一技术运用于图片滚动和电话接听功能。索尼则将全新超声波传感器Qualcomm SenseID(我们在关于世界移动通信大会的博文中曾介绍过)用作指纹认证工具,该传感器同样也支持Fido服务。

这里说的Fido不是FidoNet,而是FIDO联盟—旨在开发无密码验证的完整网络的一群公司。这一标准可用于支付、网站验证以及所有需要用到数字身份的领域。

FIDO使用无密码UAF协议(通用性验证框架),且工作机制相当简单。在登录时,系统需要连接,你需要用一个代替密码的小工具进行验证;并且还可以通过指纹、面部特征或语音识别启用生物特征身份认证。此外,你还可以将各种因素组合加以混合以提高安全保护能力,因为犯罪分子几乎很难猜出所有生物特征元素。

FIDO还用了双因素认证解决方案U2X,即将一个简单的4位数PIN码和硬件加密模块结合使用。你无需再与设备连接;相反,你只需借助一个密钥就能使用不同的设备,例如:用USB令牌开启或扫描NFC标签开启手机。同样,植入体内芯片也可以作为这样的标签使用。

接下来就一切照常:自动创建两个密钥:私钥和公钥。私钥本地保存在智能手机内并发送至第三方资源;公钥在认证请求时使用。这样根本无需密码!

这看起来并不像什么创新技术,但FIDO联盟制定了共同标准,受到乐所有开发商的支持。目前已有超过200家公司加入这一联盟,包括:Visa、Mastercard、PayPal、Google和微软这些大型公司—因此这一标准在未来广泛普及的可能性极高。

《安全周报》第36期:越狱设备数据盗窃、告别RC4以及路由器内的漏洞

将微型电脑嵌入我们的大脑或许会让我们的生活变得更简单。用’脑电报’代替短信,我们只需在自己心里’低声细语’就能发送消息。如果大脑中突然’灵光一闪’?你可以立即通过脑电波与你的朋友分享!而只需花费2.99美元就能让你回忆起妻子嘱咐你的购物清单。 而尚未成熟的生物接口将以每分钟百万兆字节的速度向电脑(基本上可能会是没有显示屏的智能手机)传送数据,不仅会在搜索数据时产生的巨大背景噪音,同还需要未来更强大的处理器。 他们为什么要将5V和12V 的输出设备嵌入人们的大脑中?说实话,我真不知道。 不管怎么说,未来的iPhone手机一定会告诉你想知道的一切。Google在经过34场品牌再造活动和8次结构重建后,将在占地球表面2%面积的数据中心保存和处理所有数据。当这一突破性技术再成熟一些的时候,他们或许会考虑如何保护这一庞大数据量的安全。 不幸的是,在这些数据受到安全保护之前,很可能已落入黑客之手并流入’黑市’。直到那时,我们才可能最终思考这样一个问题:我们收集和保存了哪些数据以及收集和保存的方式。 这些在不久的将来一定会发生。重新回到现在,我不知道是否有人关心过有多少用户背景的陀螺仪数据遭外泄。安全研究常常滞后于商业技术,而技术设计员在设计自己的小玩意时几乎很少会反复考虑其安全性。 在今天的上周重要新闻摘要中,我们将重点关注那些如今用户数量已达到数百万的软件和硬件设备。这里我再次重申《安全周报》的编辑原则:每周Threatpost的团队都会精心摘选三条当周要闻,并加上我自己独到的见解。往期的内容可以在这里找到。 从越狱iPhone手机盗窃数据的木马病毒 新闻。Palo Alto Networks研究。简单介绍哪些人该为这一木马病毒而担心。 并非所有关于数据外泄或bug的报告都能用语言解释清楚,但以下这个除外。在中国发现了一款流氓iOS应用程序;它会偷偷潜入智能手机与苹果服务器间的通讯并盗取iTunes密码。该恶意软件之所以最终被’逮到’是因为吸引了太多的注意:许多用户陆续向苹果报告自己的iTunes账户被盗(就报告记录来看,由于银行卡与苹果账户绑定,因此只需输入密码即可在线支付)。 很酷吧?错!该攻击仅针对越狱用户。来自中国的独立研究人员向WeipTech报告他们偶然破解的网络犯罪分子的命令与控制服务器,并发现了超过22.5万个用户凭证(越狱用户数量同样让人吃惊),包括用户名、密码和设备的全球唯一识别符。 该恶意应用程序通过Cydia(iOS app store的替代应用商店)侧载。随后自动嵌入设备与苹果服务器间的通讯,接着采用老式但依然有效的中间人攻击方法并将遭劫持数据重新定向至黑客运行的服务器。受害用户的噩梦远不止如此:该恶意软件还使用了动态加密秘钥-‘mischa07’(仅供参考:在俄文中’Misha’表示英文中’Michael’这个名字,同时也有’熊‘的意思。) Mischa07盗取iOS用户密码 目前尚不清楚’Mischa’是否已通过KeyRaider攻击大发横财。”振奋人心”的是,越狱后的iPhone手机相比安卓设备更易于遭受网络攻击。一旦强大的iOS保护功能被攻破,事实证明就再也没有其他的保护措施,任何不法分子都可以对你的设备为所欲为。 几乎所有强大系统均存在这样的缺陷:在外部,全面部署功能强大的防火墙和物理保护方法,系统本身也从不联网–总而言之,整个系统就如一座堡垒坚不可摧。而在内部,却依然在使用运行Windows XP系统的普通奔4电脑,且12年未打过任何安全补丁。但如果有黑客能成功潜入系统内部后果将不堪设想? 那针对iOS的问题也随之产生:如果有黑客能成功编写出操作简单的root漏洞利用工具又会怎么样?苹果是否还有备用方案?这能否能证明安卓在这方面具备的优势,毕竟,安卓早已有乐遭黑客入侵的准备,到时各个开发商均会采取各自的应对措施? Google、Mozilla和微软将在2016年(甚至更早)彻底告别RC4 新闻。 在上周刊登的第35期《安全周报》(我们讨论针对GitHub的man-on-the-side分布式拒绝服务攻击那一期)中,我们总结了使用HTTPS无论对用户还是Web服务所有者无疑都是福音。但事实是并非所有HTTPS部署均对用户安全性有利–此外,其中有一些部署了老式加密方法的HTTPS甚至还存在危险性。 举几个例子,是否还记得POODLE攻击中SSLv3的作用,SSLv3投入使用已快18年了,即将”步入成年行列”,而所用的RC4加密算法技术之陈旧甚至可以追溯到上世纪80年代。至于说到web,很难确定使用RC4加密是否会导致连接本身受攻击。早期的互联网工程任务组承认理论上针对RC4的攻击在互联网上很快能被实施。 顺便提供一份最近研究的成果:如果将任何强大加密方法改为RC4加密的话,黑客只需52个小时就能破解cookies(即劫持会话)。黑客要想成功的话,首先需要劫持一些cookies,将可能出现的结果铭记于心,随后暴力破解网站,如此即可提高成功的概率。这是否可行?当然,但需要考虑若干变量。是否有人曾真的用过呢?谁知道呢。在斯诺登公开的文件中,声称情报部门有能力破解RC4加密。 好吧,也有好的方面新闻:可能存在漏洞的加密算法在为安全起见退出历史舞台之前从未被成功破解(至少并非是全球范围)。即使现在,针对RC4加密的攻击也鲜有发生:Chrome浏览器在所有连接中仅有0.13%选择使用RC4加密–就绝对数量而言,这已经是很多了。各大互联网巨头已做出官方声明,将从2016年1月26日(火狐浏览器44)到2月末(Chrome浏览器)逐步停止对RC4加密的技术支持。 微软还计划于明年初禁用RC4(针对Internet Explorer和Microsoft

提示