安全

58 文章

反病毒软件:电脑安全的最后一道防线

普通电脑用户通常会怎样保护他/她的电脑或笔记本电脑呢?一般来说,新机器上通常都会安装反病毒软件。用户常常认为自己的电脑受到完全的保护,不会遭到任何网络威胁的攻击。然而,这样的保护措施并非最理想的状态。事实上,反病毒软件并非是电脑安全的最后一道防线。简单地说,想象你的电脑就是你的家,而网络犯罪分子则是盗贼;那反病毒软件就是你所养的看门狗,会对任何闯入者又叫又咬,直至将他们驱赶出门。有这样一条训练有素的狗固然不错!但你应该也不会拒绝安装防盗门、监控或报警系统吧?因为狗是无法替代所有安全装置的。人们通常会用尽所有方法来保护自己的财产免受侵害。那么该使用何种方式才能为您的数字家庭实施真正的端对端保护呢? 操作系统更新 当新电脑买回家后,拆开包装、安装系统并连入网络后,你第一件事就是要检查你的操作系统是否需要更新。通常除了一些补丁之外,你还会发现需要大范围进行更新,从而将你的PC电脑或苹果电脑升级到最新版本。Windows 8.1和OS X Yosemite操作系统免费提供更新服务,这对于用户而言的确是一大便利。在安全方面,操作系统的最新版本大大优于老版,因为通过升级后为黑客所知的漏洞极大减少。因此没有什么理由不对操作系统进行升级。但有些用户常常懒于更新系统,或者也可能是因为使用盗版软件而无法更新。有时,尤其是家用电脑,安装盗版系统的情况的确存在。但缺点是,盗版系统无法让你通过正确途径更新系统,让恶意软件得以有机会进入你的电脑。按照我们”用家庭比喻电脑”的方法,旧版本操作系统好比是一座饱经风雨的房子,墙壁上有许多的小洞。而盗贼们就等在门外,时机一旦成熟就将趁机潜入! 应用升级 除了操作系统漏洞以外,网络犯罪分子还常常将”触手”伸向几乎每台机器都安装的流行应用。只是在Adobe Reader存在漏洞版本运行一下看似无害的PDF文件,或使用过时版本的IE浏览器打开网页,恶意代码就可能会”钻入”你的系统。在有些情况下,反病毒软件能够将恶意软件”揪出”并予以清除,但这极大程度取决于反病毒软件的”实力”和恶意软件的特性。建议你不要在真实条件下进行测试,而应尽量将你的浏览器、邮箱软件和即时通讯客户端与其他流行软件一起设置为自动升级模式。据统计,最有可能遭入侵的软件依次(按字母排列顺序)是Adobe(Acrobat Reader,Flash)、苹果(iTunes,Quicktime)、微软(IE浏览器)和甲骨文(Java)。 事实上,从安全角度看,所有应用都应定期并实时进行更新。并非所有开发者都对其产品提供强制无缝自动更新功能(类似于Google Chrome升级的方式)。如果你在所使用软件产品内没有发现自动更新功能,还可使用一款优秀的免费软件Secunia – Personal Software Inspector(PCI)来执行这一操作。 顺便说下,你还可以使用该程序对你的系统进行扫描,发现是否有软件需要升级,甚至从各自官方网站自动运行更新程序。绝对方便! 当然,新版本的卡巴斯基安全软件也拥有类似的漏洞扫描功能,虽然不提供第三方应用的自动更新功能,但会告知用户可能存在危险的操作系统设置和组件。 最低权限 在将”墙上的洞”修补完毕后,让我们再来加固”大门”吧。你可能已经注意到,按照权限计算机用户分为:访客、普通用户和管理员。访客的权限最低;而普通用户除了无权安装软件和改变系统设置以外,能够根据自身需要使用电脑;管理员则拥有上述所有权限。通常情况下,家用PC电脑只设有自动登录的单用户配置文件,且默认为管理员权限。因此,一旦有病毒通过漏洞进入电脑或诱使用户感染病毒,就能完全访问系统。 正确设置如下:自动登录设置可以接受,但配置文件必须是普通用户。如果要安装应用的话,可以登录到另一个受密码保护的配置文件,并使用管理员权限。一旦完成安装,再重新登回普通用户。 来自一家安全公司BeyondTrust的专家们对这一安全理念进行了测试。他们研究了去年在Windows系统、Office办公软件和IE浏览器发现的所有漏洞(总数超过200个)。结果显示,所有病毒入侵案例中的60%可以通过使用有限权限的配置文件予以避免。对于那些会对系统造成严重危害性的致命漏洞,使用限制权限的方法后,可以使90%的Windows 7和81%的其他微软产品避免遭到病毒入侵。此外,按照BeyondTrust的研究,如果将这一方法应用到Office办公软件和IE浏览器的话,可以消除所有的威胁。是不是觉得很神奇,难道不是吗? 备份 有些问题根本无法依靠反病毒软件来解决,因为其中毫无关联可言。此类问题包括硬盘故障、用户出错以及对合法软件的误操作。结果通常都一样:重要的照片和文件遭到破坏,只剩下懊恼和后悔。或者…从备份中恢复信息。当然,假如你真的对最新的数据做了备份,那完全就可以从定期备份(每日或至少每周)中恢复损坏的信息。 恶意软件通常会对你的数据造成威胁,而进行备份可能是避免陷入”绝望境地”的唯一方式。其中带有数据加密功能的木马病毒,也称为”勒索软件“,最近由一些网络犯罪分子所发明。他们”绑架”用户数据并进行加密,并要求5-2000美元不等的解密赎金。一旦付款后,黑客则会向受害者提供唯一的加密密钥。因此避免支付赎金只有一种可能,那就是被加密的数据已经在外部硬盘上备份了。 “但反病毒软件的任务不就是保护数据吗!”你可能会大声地质问。理论上这的确没有错,全新卡巴斯基反病毒软件和卡巴斯基安全软件甚至就专为此类安全问题提供了一项特殊功能。但在现实生活中,有许许多多个’但是’。其中危害性最大的是在执行某个恶意文件之前,用户被诱骗禁用反病毒功能。或者孩子也有可能这么去做。因此,一旦想到勒索软件所带来的严重威胁,对数据进行备份就显得十分有必要了。所用外部硬盘不得接入系统,否则也可能存在被加密的风险。 你认为#反病毒软件能解决一切#安全问题吗?再好好想想。 良好的习惯 安装可靠的反病毒解决方案以及最新版本的操作系统和浏览器,或在工作时使用有限权限的配置文件的确有益于电脑安全。但首先,你必须定期检查你电脑的”防御工事”是否足够坚固。为了不放过任何一个安全威胁,你应该养成以下PC电脑使用习惯:

卡巴斯基新闻播客:2014年8月

本月新闻综述:8月,全球顶级安全会议Black Hat和DEF CON大会在万众瞩目下隆重开幕;更加高级的持续性威胁在中国和世界其他地方出现;恶意软件正在利用webmail通信;索尼PS游戏机网络发生令人诡异的短暂中断事件。来自Threatpost和Brian Donohue和Chris Brook将在2014年8月版的卡巴斯基每日播客上与我们一道回顾本月所发生的精彩新闻事件。 补充阅读材料 随着Black Hat安全大会逐渐从仅针对企业层面的会议转变为与消费者息息相关的会议,因此您能在卡巴斯基每日新闻中读到更多与此有关的内容。如需了解相关背景,可阅读新闻事件回顾。Threatpost的编辑Dennis Fisher和Mike Mimoso以及我本人也记录了一些有关Black Hat安全大会前两日播客新闻的主要内容,将带您一同更深入了解本年度”安全夏令营”的详细情况。 在”斯诺登棱镜门事件”发生后,这几个月甚至一整年似乎正在形成一种趋势:那就是越来越多的互联网得到了加密。就在本月,这一趋势再次应验,雅虎承诺将在今年年底对所有邮件端对端进行加密的同时,Google也宣布将给予那些使用安全SSL连接的网站优先搜索权。本月放出了大量补丁,但其中最引人关注的要数微软修补fiasco的补丁。微软本次所发布的标准”周二补丁”对大量用户机器造成了破坏,不得不最终在本周早些时候又发布了一份最新通知。正如我在播客中提到但并未详细说明,Google发布了针对Chrome浏览器的两项更新,你可以在这里和这里读到。此外,苹果在本月也同样发布了一些补丁。 您可以在Threatpost更深入地了解本月有关APT(高级持续威胁)的调查结果,其中包括Turla间谍软件以及非法入侵Community Health Systems的中国黑客小组。除了有关Community Health Systems黑客入侵的文章以外,我们还在卡巴斯基每日新闻上对其破坏性以及这一事件对我们的影响进行了分析。 在恶意软件最前沿,你可以读到所有关于新恶意软件如何利用雅虎邮箱作为通信中心以及一种全新的主要基于网页的流氓反病恶意软件的新闻。您可查看Chris Brook有关Verizon坚信可使用二维码作为身份认证机制的报道,此外还为您带来了有关上周因DDoS攻击造成PS游戏机网络短暂中断事件背后的真相。 播客:@TheBrianDonohue和@BrokenFuses对2014年8月的安全与隐私新闻进行了回顾

冰桶挑战赛”病毒扩散”,网络诈骗紧随其后

此时此刻,就在”ALS冰桶挑战赛”大有席卷全球之势时,不出意料的是,与此相关的网络犯罪报告也纷至沓来:网络犯罪分子利用这一全球性活动大肆传播恶意软件和其它病毒。 肌萎缩侧索硬化,俗称”ALS”,是一种性神经系统退化疾病。在美国,该种疾病也被称为”卢伽雷氏症”-卢伽雷曾6获世界职棒大赛冠军并7次入选全明星赛,于1941年死于该疾病,年仅37岁。 WebMD网站曾对疾病有过精辟的解释,ALS”是一种大脑中某些神经细胞和脊髓缓慢死亡的疾病。”该种疾病相当罕见,但最终会导致患者失去对关键运动技能(比如:行走、进食和呼吸)的控制,大部分患者都在确诊后3-5年内死亡。 与其它网络流行一样,网络犯罪分子也借此大发横财。 “ALS冰桶挑战赛”在互联网上疯狂流行,旨在引起公众对于这种致命疾病关注的同时,为该领域研究机构募集更多的研究经费。挑战赛进行方式大概是这样:一个人先将一整桶冰水浇在自己的头上,随后再向其他人发起挑战,被挑战者或者为ALS捐款,或者也往自己的头上浇一桶冰水。随后被挑战的人再不断挑战更多的人,因此你的Facebook feed上充斥人们自浇冰水的照片和视频也不足为怪。 与其它网络流行一样,网络分子也借此大发横财。好消息是,此类网络诈骗团伙的行骗水准较低,他们既没有”零日攻击”,也没有使用未知的恶意软件。 他们最有可能使用的自动”工具箱”对于一台安装有最新反恶意软件引擎且打满补丁的机器而言毫无威胁可言。因此,给机器及所安装浏览器打上补丁,同时运行一款反病毒产品,将使你免受大部分恶意软件诈骗的威胁。 同以往一样,还需小心应对网络钓鱼攻击。千万不要点击突然出现在你email或Facebook feed上任何链接或视频。还需对那些试图窃取个人和登陆信息的虚假表单加倍提防。 更重要的是,还需对那些旨在窃取支付信息的虚假捐款支付网站小心提防。如果你想为ALS捐款的话,千万不要点击email或社交网络(甚至本文内)的链接。直接输入想要捐款的团体网站网址。一旦你决定了捐款的对象,首先做些研究调查:确保受捐赠团体是合法存在的。一些犯罪团伙常常会借助目前流行的慈善活动成立一些虚假的慈善机构,从而谋取私利。一旦你确定即将捐赠的团体是真实可靠的,还需确保他们的支付网站受到信任的证书签发者(点击地址栏内的padlock)的保护。只要按照我们的信用和安全小贴士操作,就能确保你的安全。 如果你对ALS冰桶挑战赛并不了解的话,我们在卡巴斯基的朋友们全体接受了挑战(并向ALS研究捐款),相关视频请见下文。 我认为ALS已然成为目前最受公众关注的事件,仅次于当年对于卢伽雷病逝的关注度。冰桶挑战固然不错,但更好的支持方式则是向ALS研究直接捐款。 如果你感觉ALS研究的受关注程度太高的话,还有其他的领域需要你伸出援手。全球各国的医生目前正聚集在非洲,与埃博拉病毒做着殊死搏斗。同时全球也存在着各种健康问题,例如:联合国难民署正在应对影响125个国家近3400万人生活的难民问题。此外,你还能向少年糖尿病研究基金献出自己的一份爱心,该基金会旨在向I型糖尿病研究以及无数其它的当地、本国或全球慈善机构捐助善款。 警惕利用ALS#冰桶挑战赛的#网络钓鱼和#恶意软件诈骗

性勒索:网络犯罪分子利用敏感信息勒索用户

近些年来,互联网上出现了许许多多的卑劣犯罪行为,且有愈演愈烈之势。其中最被人所不齿的非”性勒索”莫属。 尽管”性骚扰”一词最早出现在1950年4月5日出版的《洛杉矶时报》上,但我们即将谈论的是关于互联网上的此类犯罪行为:从本质上讲这是一种性剥削行为,即网络犯罪分子通过手中掌握的受害人艳照或不雅视频,威胁受害人将这些照片和视频公诸于众。而保守这些隐私内容的代价常常是要求受害人为其提供性服务。也就是说,犯罪分子会向受害人索取更多的照片、视频或金钱,如若不从则威胁将所有这些内容公开或散播。 性勒索计划可通过许多方式实施。 性勒索计划可以通过许多方式实施。攻击者通过在受害人机器(传统电脑或移动设备)上安装间谍软件,控制打开摄像头并自动录像。同样,受害人还可能被迫通过网络钓鱼和其他方式下载恶意软件,使攻击者能够窃取储存在受害人机器文件夹内的不雅内容。我猜测最有可能发生的情况是:那些怀有报复心理的前男友或前女友威胁受害人将两人此前亲密的照片、视频或讯息公开,而这些内容则是最初经双方同意各自保存的。最后,还有一种方式对我来说比较新鲜,就在今天正巧读到一篇报道,是关于一个家伙在别人家里偷了主人的笔记本电脑,从而获得了受害人的艳照。 显然,最近的这条新闻让人有些烦恼,因为从理论上说,我们每个人的设备都有可能被偷,而我只能说并不是每个人都将自己的”艳照”或”不雅视频”储存在电脑里。让人悲痛的是,上述新闻中的受害者因为笔记本电脑遭窃而最终自杀身亡。还有许多此类案例是发生在青少年之中的,他们常常以这种方式来欺凌身边的同龄人。同样让人烦恼不堪的是,此类”性勒索”事件越来越多地揭露出一些儿童色情案件,显然必将受到加利福尼亚夫勒斯诺市陪审团的起诉。 然而,我认为全面地看待这一问题非常重要,因为造成此类事件的原因归结起来都是因为怀有恶意的一方想利用你自己的资料来伤害你。不管我们在个人电脑里、移动设备和其他机器内储存了艳照、不雅视频或其他什么内容,这些对于我们说只是一些不堪回忆的往事。 回想一下:你曾有过几次开玩笑地向你的朋友发送攻击性短信或邮件?你是否曾有过向你的同事恶语相加?是否曾谈论过一个尽管是假设但却是严重违法的犯罪计划?为了那个目的,是否曾谈论过一个真正的犯罪计划?我们都会对所谈论过的一些愚蠢话题保密,这恰恰证明所谓”如果你没有什么可隐藏的,你根本无需隐私”的争论有多么荒谬。我们每个人都有一些不想让人知道的东西,那些宣称无需隐私的人不是在撒谎,就是并未认真考过这个问题。 这正是为什么我们应该采取所有必要措施来保护我们资料的主要原因之一。我们谈了那么多关于设备备份的话题,只是不想丢失我们宝贵的信息,但这仅仅只是资料保护的一部分措施。我们还需要确保我们的资料无法被那些想要伤害我们的家伙偷走。 那么让我们一个一个来看这些可能发生的情景,是否有一种方法可以保护我们自己免于被自己信息所伤害。首先:最好的方法是不要保存任何可能反过来伤害自己的信息,尽管我们知道这说起来简单做起来难。如果你的确保存一些个人敏感信息或文件夹的话,可以考虑为这些文件设定密码或将其储存在外部硬盘上。 你无法阻止曾经交往过的对象将你的丑事向外宣扬,而你所能做的就是希望他/她至少在一定程度上是个相对正派的人。然而,事实上很容易能够防止某些别有用心的人将恶意软件或间谍软件安装在你的机器上。只需遵照我们之前所提供的方法就能有效避免恶意软件入侵你的设备。使用一款安全解决方案即能提供保护。不要点击任何可疑邮件内的链接。确保你的计算机和所有软件都打上补丁并升级到最新版本。不要将你的计算机放置在公共场所。不要随便将别人的存储设备插入你的计算机和移动设备。 就设备盗窃而言,确保你的设备上安装了某些设备追踪和远程清除软件。iCloud为苹果的Mac和iOS设备用户都提供了一些极好的选项。卡巴斯基安全软件安卓版也同样拥有出色的远程锁定和清除功能。从本质上说,Windows Intune是一种专用于Windows和其他操作系统的云管理控制台,使用户能自行恢复出厂设置,清除部分和全部存储,远程锁定丢失或被盗设备以及重置密码。 近些年来,互联网上出现了许许多多的卑劣犯罪行为,且有愈演愈烈之势,但# “性勒索”可能是其中最卑劣的一种。

Community Health Systems数据外泄事件启示

最近针对Community Health Systems的一起数据外泄事件充分暴露了联网医疗设备所面临的实实在在的现实风险,事件据称是中国黑客所为,造成约450万病人的敏感医疗信息被窃。 还记得Heartbleed漏洞吗? Heartbleed的漏洞存在于OpenSSL,出现于今年早些时候。这一漏洞曾一度对超过60%的互联网造成影响,并在理论上能让网络攻击者在客户端到服务器连接过程中窃取一定数量的信息。这可能是第一起发生在现实生活中并造成广泛影响的互联网事件:网络犯罪分子或国家行为者几乎利用了整个网络资源来谋取私利。尤其需要指出的,网络攻击者还开发出了一种漏洞利用程序,能让他们使用Heartbleed漏洞来窃取Community Health Systems网站的登录凭证。 哪些人因此而受到影响?这一切又是如何发生的? 这一事件中的450万名受害者都在过去5年里接受了Community Health Systems医生的医疗服务,不幸中的万幸,他们的医疗和支付信息并未因此而泄露;但最让人担心的是,他们的社会安全号(SSN)全部遭到泄露。除了社会安全号以外,一起被盗的还有病人的姓名、地址和出生日期,甚至还有受害人的雇主或担保人以及电话号码。 由于本次事件中的攻击者很可能是一些高级持续性威胁行为者,因此人们还抱有一丝侥幸。他们的目标很有可能并不是消费者的社会安全号。事实上,来自Crowdstrike和其他安全公司的专家们都表示这些攻击者可能只是在寻找与医疗系统相关的知识产权,使中国能够将其运用在对本国老龄化人口的照料上。 在本次 “APT 18″黑客小组(也叫做”Dynamite Panda”)的攻击行动中,最终以失败而告终。因为要处理数量如此庞大的敏感信息并不是一件容易的事情。 更大的问题 近年来医疗保健数据外泄情况时有发生,但有关方面依然没有尽快改进的打算。原因如下: 每当谈到医疗设备的安全问题时,人们总会异想天开,甚至有一些可怕的想法:比如,使用笔记本电脑入侵胰岛素泵和心脏起搏器,以达到伤害和谋杀病人的目的。但幸运的是,就近期我从Black Hat大会了解到的情况来说,所有患病需嵌入式和/或联网医疗设备治疗的病人被人用笔记本电脑杀害的可能性微乎其微。事实上,Rapid7医疗设备安全专家Jay Radcliffe表示所有联网医疗设备对于病人的疗效巨大,且几乎不会造成什么损伤。 似乎眼下这个问题对病人的影响更加全方位,且数量上呈现上升趋势。这些问题更多地与医生和医院,甚至医疗设备的存放、共享以及访问权限有关。Radcliffe在与我们的一次讨论会中指出,如果说联网医疗设备会对病人安全造成影响的话,那最大的可能是由于黑客入侵或意外事件导致医疗记录遭到篡改或更改,从而使病人得到错误的治疗。 近年来医疗保健数据外泄时有发生,但有关方面依然没有尽快改进的打算。 在本周早些时候,心脏病专家兼作家Sandeep Jauhar博士在NPR(美国国家公共广播)的《Fresh Air》节目中接受了Terry Gross的访谈,他表示美国医疗保健体系之所以落后于其他国家,大部分原因在于美国缺乏信息共享机制。因此,要改进美国医疗保健系统并同时遵守《平价医疗法》的话,还有很多工作需要做:将更多的医疗设备进行联网;医疗保健服务提供商之间进行更多沟通;更多远程访问数据;以及较有可能实现的,更多地共享敏感医疗信息。从他的话中透出了这样的意思:采用更加先进医疗保健体系的国家已经开始进行此类的数据共享,只是数据泄露问题依然存在。 这并不是说美国医疗保健体系毫无希望。《健康保险流通与责任法案》(HIPAA)的颁布旨在部分保护消费者医疗保健信息的安全与隐私。但问题是医院和医疗设备制造商都需遵守各自的相关规定,以符合《健康保险流通与责任法案》要求。尽管如此,数据外泄情况依然不可避免,因为没有一个安全计划是完美的。每个人-无论如何努力-都最终无法避免个人数据被窃的结果。 如果受到影响会有什么后果,怎样才知道自己是否受到了影响? Community

如何封堵安卓操作系统”后门”

安卓操作系统与(苹果IOS系统)稳坐”最流行”(hit parade)移动操作系统头两把交椅。首先,这是一种移动操作系统的评级标准。其次,它是用于评定受病毒感染最频繁的移动平台。据卡巴斯基实验室称,超过99%的移动恶意软件是以安卓为攻击目标。Google play上应用的定期检查保障了用户安全,此外,Google还在安卓操作系统本身实施了大量的保护措施。例如,在安装应用时自动启动验证程序,保障软件合法来源的同时,还确保文件没有被陌生人修改。不幸的是,这些保护措施并非无懈可击,使得长期以来恶意软件总有机会通过系统后门”潜入”智能手机内。 后门 就在去年,安全专家们在安卓系统保护机制内发现了多个漏洞。由于这些漏洞的存在,使得恶意应用能够通过将自身伪装成一款流行并信任的服务,或通过”搭载”合法应用(例如:将自己隐藏在合法软件的安装包内)来潜入智能手机。Master Key和FakeID漏洞广泛存在于大多数流行安卓智能手机内,但与著名的Heartbleed漏洞(安卓智能手机一定程度上也深受其害)相比还稍逊一筹,但问题的关键是如何清除这些漏洞。尽管Google很久以前就发布了一些必要的修复补丁,但问题是这些补丁不是由某几家智能手机和平板电脑厂商发布,就是由移动运营商推出,根本无法覆盖所有使用安卓系统的移动设备。一旦有新补丁发布,用户应立即予以安装和更新。但这些厂商或运营商的更新常常姗姗来迟,有时甚至根本无补丁可打。据统计,存在漏洞的设备数量达数百万部之多。 封堵漏洞 要想独自修复这些漏洞难度相当大,但你能做的就是尽量将设备这方面的风险降到最低。具体步骤如下: 1.查看你的智能手机或平板电脑是否存在类似FakeID、Master Key或Heartbleed这样的漏洞。你可以在Google Play下载卡巴斯基实验室免费扫描软件。除了系统本身漏洞外,你还可以检查已安装应用中是否有利用这些漏洞。 2.如果你的设备的确存在漏洞,检查是否有固件(电话软件)需要升级。大部分安卓供应商都在设置中专门设有”检查更新”部分,但有些情况下你不得不访问厂商的官方网站来获得更新。如果有更新的话,按照指示安装并在设备显示p.1的时候再次检查更新。 漏洞能够让恶意应用”潜入”你的安卓智能手机 – 学习如何修复这一漏洞。 3.如果漏洞依然未能解决的话,你可以自己尝试修复,但过程相当繁琐且不太靠谱,因此不太推荐一般用户这样做。(如果你有足够的勇气并深谙计算机知识,那可以访问xda开发者网站阅读更多有关内容。) 4.不能因为智能手机存在未打补丁的漏洞而舍弃不用,但使用时你必须保持警惕以避免金钱损失和数据丢失: 只使用大型官方应用商店(考虑下Google Play) 只下载高人气和评分的应用 控制应用的权限 使用可靠的安卓安全软件。    

雅虎为所有连接数据中心的邮件加密

拉斯维加斯–雅虎长期以来未能对其众多网页服务进行默认加密,因此在安全和隐私领域被众多竞争对手远远甩在身后,最终成为数字倡导组织的笑柄。然而大约在去年的时候,雅虎公司在很短的时间内即扭转局面,开始认真对待加密问题,并迅速地将其安全与隐私保护能力提升至与Google和微软同等的水平。 雅虎表示将于明年为其所有使用雅虎邮箱的用户启用端对端加密,这意味着用户的邮件从自身机器发出后,通过雅虎服务器再一路传送至收件人的邮箱,其间的整个过程邮件的内容始终处于加密状态。同时,雅虎公司还与Google共同开发项目,使加密透明且易于使用。 “斯诺登事件后,我们并没有对此加以重视,使得我们无法专注于所面临的现实问题。我们作为一个产业已然失败了。因为我们无法保证用户的安全。 本周在内华达州拉斯维加斯举办的Black Hat安全大会上,作为雅虎新任的首席信息安全官Alex Stamos表示,有关安全和隐私的项目将成为他任期内的首要工作。 据报道,雅虎在6月通过使用Google针对Chrome发布的浏览器插件,对离开浏览器的所有数据启用端对端加密。雅虎和Google的合作关系相当重要,Stamos解释道,因为这能确保雅虎邮箱用户与Gmail用户之间的通讯得到高度加密。 “我们的目标是让雅虎邮箱与Gmail完全兼容。”Stamos在周六说道。 雅虎其它的安全改进措施还包括实施HSTS(HTTP强制安全传输),这能使得网站能够在用户浏览器上强制进行加密连接;而证书透明度则通过采用信赖认证中心的公开日志及他们所背书的证书,以达到阻止网站欺诈和其它中间人攻击的目的。 这一系列的安全举措将大幅提升雅虎在电子前哨基金会每年”Who’s Got Your Back?”和”加密报告”上的评分。当然,更重要的是用户将能够安全和私密地进行通讯,不用再因为自己的网络知识有限而害怕遭到窃听。 “斯诺登事件后,我们并没有对此加以重视,使得我们无法专注于所面临的现实问题。我们作为一个产业已然失败了。因为我们无法保证用户的安全。” 先前的落后者@雅虎正在通过#一系列加密举措对#安全和#隐私领域进行大力改进

一周要闻:Black Hat与DEF CON大会预览

全球黑客和安全领域两个最重量级的会议:Black Hat和DEF CON大会将于下周在内达华州的拉斯维加斯举行。在本周新闻综述,我们将展望这两个会议的同时,对本周发生的新闻进行一番回顾。 黑客大会抢先预览 Black Hat与DEF CON安全大会将于下周召开,我们将首先展望这两个会议来开始我们的本周新闻综述: 卡巴斯基实验室安全专家Vitaly Kamluk的演讲是我们最为期待的,他将在大会上再次提及Absolute Computrace漏洞问题,在之前2月份举办的安全分析师峰会期间我们曾有写到过。 此外,安全研究员Joshua Drake也将展示他所建造的工具,这一工具足以彻底颠覆目前全球对安卓系统安全性的研究。从本质上说,这一工具集中了所有他能找到的各种安卓设备,且各自适合的操作系统稍有不同。他们认为只有通过这样的方式,安全研究员们才能对目前众多的安卓操作系统有一个更加全面的了解。来自Bluebox Security的Jeff Forristal将作另一场有关安卓系统的有趣演讲,他的研究显示数百万台的安卓设备内存在一种关键漏洞,可使恶意应用伪装成受信任的应用,让攻击者能够将恶意代码植入合法应用,甚至直接控制受感染的设备。 而在今年的DEF CON大会上,主办方将举办一场以黑客入侵路由器为主题的比赛。选手们需要入侵SOHO Wi-Fi路由器,比赛规则公布在SOHOpelessly遭到入侵的网站上。参赛选手必须在DEF CON大会举办期间说明并展示他们如何利用零日漏洞来入侵路由器的。届时将向获胜选手颁发奖品,具体奖品类型尚不得知。 全球最大社交网络遭遇麻烦 接下来,我们将一一回顾本周已发生的新闻事件:本周有关Facebook的新闻可以说是喜忧参半。 首先是本周一,来自欧美的一个隐私倡导团体要求Facebook推迟实施全新针对性广告政策。此前,Facebook的广告几乎全部基于用户所钟意的页面。就在上个月,这家社交网络公司发布了一条令人不解的声明,表示他们将赋予用户更多对所见广告的控制权,同时还将开始收集用户更广泛的网络冲浪行为信息。 众多用户团体向美国联邦贸易委员会提出抗议,希望延迟或者完全阻止Facebook进一步采集用户在Facebook域名以外的上网信息。这些团体表示Facebook的这一计划直接反驳了与此前所做出的有关隐私和用户跟踪方面的声明。就在上个月,Facebook还表示”用户将能自主控制网页上所看到的广告”,此前的声明明显欺骗了用户。 破坏性巨大的攻击迫使组织重建整个系统。 据Threatpost报道,在周二,Facebook修复了其安卓应用内的漏洞,这一漏洞能够让攻击者在受害人设备上造成拒绝服务的情况,或通过在设备上传输大量数据导致受害人手机账单飙升。因此,如果你在安卓系统运行Facebook的话,确保安装了最新的更新补丁。 另外,Facebook颇为流行的照片共享服务Instagram的移动版本并未部署完全加密。因此,用户不得不面临暴露浏览行为及会话cookie被窃的风险,这可能最终导致安卓和iOS系统的账户同时被盗。Facebook和Instagram都意识到了这一问题,并表示将修复这一漏洞,但修复的具体时间尚未给出。访问Threatpost和Kaspersky Daily,阅读更多内容。 高级持续性威胁 本周还曝出了中国高级持续威胁(APT)黑客入侵的事件,入侵对象则是曾参与以色列臭名昭著的”铁穹”导弹防御系统开发的国防承包商。据报道,在2011年至2012年期间,他们先后从以色列的三家国防承包商手中盗窃了一种特定型号反弹道导弹的详细原理图、火箭相关信息以及成页成页的其他机械文件。 据报道,另一个中国APT小组也入侵了加拿大一家主要的技术研究组织,最终迫使他们脱机下线。Threatpost的Chris Brook在其文章中写到此次攻击破坏性巨大,最终迫使该组织重建其整个系统。加拿大方面并未表示攻击发生的时间以及被盗资料的信息。

清除广告软件和工具栏

今天我要讲的主题非常简单,就是并非所有干扰你的应用程序都是病毒,也不是所有都以非法形式潜入你的计算机的。其中一些软件恰恰是经过你的同意后才安装的,因此毫无理由去指责反病毒软件:因为你所安装的根本不是什么恶意软件!最典型的例子就是广告软件,这只是一种会弹出一些广告的程序而已。如今,广告软件常常通过借助工具栏潜入你的计算机。 下面举例说明。我们常常需要安装一些实用工具,但在安装的时候,我们通常会发现安装向导中会出现以下选项: 从技术层面讲,这些都无可非议:在安装软件的时候,你通常还会要求安装一款合作伙伴的产品,其实就是一些工具栏。你可以选择快速安装或高级安装(也可以称为”自定义安装”),并通过去掉勾选来取消一些不必要的安装项目。而许多网络用户往往都奉行”时间就是金钱”的理念,对此并没有太过注意。因此在快速完成安装后,一旦重置主页,你会发现在浏览器的工具栏多了一些新的按钮。 作为高级用户的你,怎能不选择高级安装。如果没有发现什么可疑,大可保留所有打勾选项。但至少你需要肯定其中不包括任何令人讨厌且毫无用处的插件。 作为高级用户的你,怎能不选择高级安装。 只要你授权某个应用程序对系统设置进行更改,反病毒软件是不会对这些讨厌的行为做出任何反应的。但如果你启用卡巴斯基产品的应用权限控制中严格限制功能,或调整Windows用户账号的设置,则你能完全阻止这些烦人的行为。一旦你的浏览器主页被篡改,要想恢复到默认设置需花费不少时间,因此我们建议用户仔细阅读安装向导窗口内的每一个选项。 有时候安装向导设计得相当”巧妙”,你会莫名其妙地同意安装一些不相干的程序软件,但你对此根本毫不知情。一些启用额外组件的界面元素往往不易察觉。 如果不幸你安装了流氓软件,不用担心,下面我将告诉你清除的方法。 最有效的工具栏清除方式是找到安装文件夹后运行卸载程序。例如:Webalta作为一种常见的搜索栏,其卸载程序位于:C:UsersAdminAppDataLocalWebaltaToolBaruninstall.exe(Windows 7系统)。 如果是Windows XP系统的话,其位置在:C:Documents and SettingsAdminLocal SettingsApplication DataWebalta Toolbaruninstall.exe 如果你无法找到卸载程序,这里还有个好方法。检查浏览器的快捷方式(右键浏览器后选择快捷菜单的属性),在快捷方式的选项中检查目标字段: 如果你的计算机内确实存在令人讨厌的工具栏,则这一字段可能会被改为下图所示内容: 你只需删除”后面的尾巴”并点击确定,即可大功告成。 需要注意的是,你所做的更改只对一个快捷方式有效,如果计算机内存在多个Google Chrome浏览器快捷方式的话,就需要逐个打开快捷方式的属性选项并进行更改。 如今,这对清除浏览器缓存和Internet临时文件夹也能起到作用。此外,我们还建议你按照我们知识库所描述的方式开启扫描程序。 总结一下,要清除偶然安装的广告软件其实并不难。但为安全起见以及如果不想失去你心爱主页的话,请每次都仔细阅读安装向导的对话框。

天网恢恢!六月热点诉讼案

网络犯罪分子永远是执法机构的严厉打击对象。今夏头一个月就带给大家一些相关新闻,下面让我们看看六月份有哪些犯罪分子落网。 黑客Guccifer被判更长时间的监禁 臭名昭著的罗马尼亚籍黑客Marcel Lazăr Lehel(化名为”Guccifer”)于今年初在罗马尼亚被捕,不出意外他会罪有应得:6月中旬,罗马尼亚法院判处其四年监禁。过去的几年中,Marcel曾入侵过大量私人互联网帐户,包括美国前总统布什的家庭电子邮件、美国前国务卿科林•鲍威尔(Colin Powell)的个人电子邮箱以及罗马尼亚秘密服务机构主管乔治•马伊奥尔(George Maior)的往来信函。据检方称,该名黑客利用多种方法,包括猜测安全问题答案来入侵用户帐户。算上此前已经被法院判处的缓期执行的三年监禁,目前他将面临长达七年的牢狱之灾。 勒索iPhone用户,少年黑客面临铁窗生涯! #安全性#天网恢恢 窃取iCloud凭证,被判4年监禁 几个月前我们的博客中曾发布过一篇关于苹果用户设备被非法锁定的文章(http://t.cn/RvIUP5R):苹果用户发现自己的苹果手机、平板电脑和计算机设备被一些网络骗子非法锁定,并以此要求用户支付赎金解锁,受害用户数呈不断上升趋势。此问题主要发生在包括俄罗斯在内的不多的几个国家,日前警方终于成功抓获了这些犯罪分子:六月初,两名住在莫斯科的少年黑客被捕,年纪分别为23岁和16岁,罪名是非法入侵大量用户帐户。这两名罪犯采用了两种行骗伎俩:一种是入侵用户的电子邮件帐户,煞费苦心地利用网络钓鱼页面收集用户的Apple ID凭证;另一种方法据称是将设备与预配置的帐户绑定,并利用”各种网络资源来生成广告”。这些广告貌似包含”大量媒体内容”,支持Apple ID帐户进行访问。一旦有人相信了广告并通过设备链接到该帐户,黑客即可成功劫持设备。目前,这两名罪犯都将面临4年监禁。 网络诈骗,被判10年监禁 FBI和欧洲当局追捕GameOver Zeus网络僵尸病毒首脑人物 似乎上个月俄罗斯检察官们收获颇丰,俄罗斯方面另外还有一些好消息。俄罗斯当地管理机构称,在卡巴斯基实验室专家的帮助下,他们无意中发现了一个犯罪团伙,怀疑该团伙意图从私人和公司银行帐户中窃取数千万美元的资金。据称,他们打算将一种特殊类型的恶意软件部署到用户计算机,以入侵用户的网银帐户,并向自己的虚拟帐户转帐,再利用不同城市的ATM机就能取出现金。警方表示,该团伙计划窃取大约100万美元。如果利用恶意软件入侵银行帐户的罪名成立,他们将面临最高10年的监禁。 FBI和欧洲当局追捕GameOver Zeus网络僵尸病毒首脑人物

苹果iOS 8安全性

上周,苹果依照惯例在全球开发者大会上发布了最新版手机操作系统。总部位于加州库比蒂诺的苹果公司此次推出的iOS 8号称是”全球最先进的手机操作系统”。这一说法显然颇有争议,但新平台确实有一些设计周密的安全隐私功能,此外还对应用开发环境进行了重大改革。 新系统中对安全隐私的改进最大,即随机生成介质访问控制(MAC)地址,但很可能这也是用户最容易忽视的。MAC地址是一种唯一标识,广泛用于跟踪Wi-Fi网络上的设备和用户行为。据称,用户连到公用Wi-Fi网络并与其进行交互时,零售商和其他各方可通过跟踪MAC地址来更多地了解用户的行为。 但问题是,很多用户对此跟踪完全不知情,这也意味着用户可能根本就不同意被跟踪,至少在传统意义上是这样。 在iOS 8中,无线网络扫描苹果的i系列设备时,这些设备将生成随机MAC地址。这样零售商就无法跟踪商店内客户的活动和其他行为。随机生成MAC地址对于许多根本没意识到被跟踪的苹果迷来说,是隐私保护方面的巨大进步。 随机生成MAC地址是对于许多根本没意识到被跟踪的#苹果迷来说,是#隐私保护方面的巨大进步。 另一个很不错的安全隐私改进是,支持用户将DuckDuckGo作为Safari浏览器中的默认搜索引擎。DuckDuckGo是一种替代搜索引擎,它不会根据搜索查询收集用户信息或其他任何相关信息。而且,DuckDuckGo会尽可能确保用户通过加密的HTTPS连接与网站进行交互。搜索DuckDuckGo从某种意义上来说系统性更强,因为查询不会根据感知到的用户关注内容进行定制,而这是其他引擎的通用做法。 当然,本发行版中还包罗了各种更华丽且实用的功能。照片将在所有连接设备上共享,用户能够轻松将语音添加为短信(我想这是电话应该具有的功能),此外,苹果还高调推出了更简洁的全新通知界面。显然,在各设备之间实现照片共享未来可能会出现各种隐私和安全问题,但就目前来看,还没有什么明显的安全问题。 然而,一些与家庭共享功能一并提供的新键盘功能,更深层次的iCloud集成,以及新平台明显的雄心壮志,要吸引更多的应用开发,这些都会对安全隐私产生重大影响。 苹果称,新的软件开发者工具包(SDK)是App Store发布以来最大的一个开发工具包,应用编程接口(API)超过4000个。如果我们对苹果的新闻稿解读无误的话,这些举措和新的应用编程语言很可能会使App Store更为开放,环境类似Google Play(但苹果的预审查政策仍生效)。一方面,这意味着会有更多应用发布到App Store;另一方面,这也意味着面临着更多威胁,当然这并不一定会对用户构成威胁,具体取决于苹果如何在已改变的环境中应对安全性。 新的开发者工具包中,我们将密切关注的一个工具包的”HeathKit”。此工具包支持开发人员构建运动健身应用,以更适合用于彼此交流,分享从健身计划到血压水平等各种用户信息。近年来,市面上运动健身类应用层出不穷,数量激增。但上个月,美国联邦贸易委员会发布的一份报告中警告说,运动健身类应用在获取和共享用户信息方面”胃口”过大,这引起了我们的关注。为不同应用提供彼此共享这些数据的能力(即便用户允许应用这样做,因为授予权限实际上被视为同意这样做)只会加剧这一问题。但平心而论,如果发布一些个人数据能促使用户加强锻炼,那么这可能是一种理智的取舍。 HomeKit是另一个相关API。它使开发人员有能力构建与现代化住宅不断增多的连接和”智能化”进行交互的应用。如果您定期阅读《卡巴斯基中文博客》,那么一定会知道住宅自动化系统安全性差强人意。苹果称,此工具包在安全性上已全部进行配对(这可能意味着通过某种方式使用了加密)和配置。但在打入开放市场之前,很难说安全性到底怎么样。 如果新的App Store像安卓一样对企业开放,那么我们可能会看到更多恶意应用纷涌而入。 总之,新版本看起来确实是对苹果现有开发环境的彻底革新,这着实让人兴奋不已。因为这意味着会有更新、更有创意的应用出现,包括第三方键盘、窗口小部件等等。但同时也让人略感担忧,因为与创新随之而来的是更多攻击接口和更棘手的攻击。如上所述,如果新的App Store像安卓一样对企业开放,那么我们可能会看到更多恶意应用纷涌而入。 如果要从本质上了解这种新的应用开发业务将以何种方式影响安全性,尤其是相对于安卓系统,请参阅Andrew Cunninghamrs在Ars Technica博客上发布的文章中的第二页,此文对此问题进行了详细阐述。 除了我们讨论过的内容外,使用新键盘时,”将根据过往的对话内容和书写风格,显示后续可能会输入的字词或短语供您选择。”此外,”iOS 8还考虑到了用户可能在短信中使用的书写网络较随意,而在邮件中则可能使用更正式的语言”,”还根据交流对象调整显示的预测内容,因为与伴侣对话时所选的字词肯定要比和老板对话中使用的更随意。”总之,这些功能意味着苹果将收集更多用户信息,这必然会影响到隐私性,不管这样做能带来多大程度的便利。iCloud提高了文件存储容量,用户可以在一个位置存储更多敏感信息,这也相应要求用户熟悉并启用该服务提供的安全功能。但同时,也意味着需要采取更多方法来备份和保护用户敏感数据。 通过新的”家庭共享”功能,用户有能力将自己的设备与设为其家庭成员的其他用户完全同步。此功能的优点是加强了家长控制,但风险也显而易见,它为新的潜在攻击开辟了一条新的途径 - 类似于最近报告中所报告的黑客利用iCloud访问锁定手机。我们将拭目以待黑客是否可能暗中将自己设为家庭成员,从而监视用户行为,窃取设备数据。

什么是双重认证?哪些情况下应该使用双重认证?

我们在播客中曾经录制过相关内容,在其中我们用了大量视频(我会在下面嵌入这些视频)详细讨论了双重认证。之前我们也在无数文章中间接提到过双重认证。但是抽时间专门写一篇文章来讨论双重认证的定义、工作原理和适用场景,这还是头一次。 什么是双重认证? 双重认证是许多在线服务提供商所提供的一种功能,它要求用户提供两种形式的认证,为用户的帐户登录过程额外上一道保险。第一种形式通常是密码。第二种形式可以是任意认证。可能最流行的第二重认证是短信或电子邮件验证码。双重认证背后的理论是:要进行登录,用户必须知道某项内容并掌握它。因此,为了访问公司的虚拟专用网,用户可能需要密码和U盘。 双重认证虽然不能保证帐户万无一失,但无论谁想入侵受双重认证保护的帐户,它都会是一个难以逾越的障碍。 双重认证虽然不能确保帐户万无一失,但无论谁想入侵受双重认证保护的帐户,它都会是一个难以逾越的障碍。我认为密码有众所周知的严重缺陷:简单的密码易记但也易破;而复杂的密码虽然难破,但也很难记住。为此,对创建密码不在行的用户会一再使用相同的密码。至少使用双重认证后,攻击者除了得破解密码外,还得有权访问第二重认证,而要取得第二重认证,就得窃取手机,或者入侵电子邮件帐户。 什么是双重认证,哪些情况下应该启用双重认证?#安全性#密码 人们总是频繁更换密码,但实际上没有什么用。根据目前的情况,良好的双重认证系统是用户所能获得的最佳保护。双重认证系统的另一个优点是用户能获知是否有人在盗用自己的密码。我之前可能说过无数次,如果手机或电子邮件帐户中收到双重验证码,但你并未尝试登录与其关联的帐户,则说明有人在盗用你的密码,正尝试入侵你的帐户。无论什么时候,一旦发现这种情况,请立即更改密码。 哪些帐户应该启用双重认证? 对于在什么时候,在哪些情况下应该启用双重认证,请遵循一个简单的规则:如果相关服务提供了双重认证,并且您认为帐户非常重要,则应该启用双重认证。那么Pinterest(世界上最大的一家图片社交分享网站)呢?我不知道,也许会启用吧。如果我有Pinterest帐户,我不太会愿意每次登录都麻烦地进行双重认证。但是,网银、主次电子邮件(尤其是如果具有专用帐户恢复电子邮件地址)、重要的社交网络(或许是Facebook和Twitter),当然还有AppleID或iCloud,或者任何用于控制安卓设备的帐户(如果有),所有这些都应该通过第二重认证进行保护。 点击此处观看视频。 显然,你还需要考虑是否要为任何工作相关帐户提供第二重认证。如果您是网站管理者,则会希望考虑锁定注册服务帐户,不管此帐户是WordPress、GoDaddy、NameCheap还是其他什么帐户。我们还建议为信用卡或借记卡关联的所有帐户启用双重认证:PayPal、eBay、eTrade等等。同样,启用双重认证的决定应该基于以下考虑:提供相应功能的任何帐户被盗会带来多大的破坏性。 有其他形式的双重认证吗? 目前为止,我们讨论的双重认证是向手机或电子邮件帐户发送验证码,或者通常将U盘与密码一起用于VPN访问。此外,还有钥匙串验证码生成器,例如RSA的SecureID,它一般用于企业环境。目前,这些是主流形式的双重认证。当然,还有其他形式的双重认证。 交易验证码(TAN)是略有些过时的第二重认证形式,在欧洲很流行,我本人实际从未使用过,但如果我的理解没错,此类验证的过程如下:银行会向您提供一张交易验证码表(印在纸上),每次进行网上交易时,都应输入其中一个验证码以进行验证。ATM机是另一种老式双重认证形式。必须同时拥有借记卡和知道PIN密码,方能取现。 最近的报告中有大量内容在讨论利用生物特征识别技术的双重认证。有些系统要求提供密码和指纹、虹膜扫描、心跳或其他一些生物手段。可穿戴设备的发展势头也逐渐增大。一些系统要求佩戴内嵌某种无线射频芯片的特殊手链或其他配饰。我还读到过可用于第二重认证的电磁纹身的相关研究报告。 Google和Facebook都推出了手机应用专用密码生成器,支持用户生成一次性密码,取代短信或电子邮件验证码。 点击此处观看视频。

一周要闻:OpenSSL再曝漏洞

本周值得关注的新闻有:僵尸网络被联合行动捣毁;已遭破坏的OpenSSL加密库再曝漏洞;Google海量数据存储加密方面的新闻让人颇受鼓舞,但仍问题重重;昨天是爱德华•斯诺登事件曝光一周年。 一周#安全和#隐私要闻,作者@TheBrianDonohue。 Gameover僵尸网络 美国和欧洲执法机构联手捣毁了Gameover僵尸网络。僵尸网络是一种被恶意软件感染的计算机所构成的网络,计算机被感染后即成为帮凶,加入传播大军,在用户毫不知情的情况被利用于违法目的。Gameover用于散布Zeus宙斯木马,一旦植入此病毒后,即可实施网络欺诈计划,其中涉及窃取被感染用户计算机的财务凭证,将用户账户中的资金转入黑客所控制的账户。此外,Gameover最近还被用于散布臭名昭著的Cryptolocker勒索软件。 捣毁僵尸网络要求执法机构(有时会与私人公司联手行动)夺取对分发恶意软件的服务器的控制权,此服务器被称为命令控制服务器(C&C)。接管僵尸网络的行为就其本质来说,有时也被称为”sinkholing”技术。许多散布很广的僵尸网络都是通过这种方式捣毁的。针对这种情况,犯罪分子逐渐迁移到更有弹性的对等僵尸网络基础架构。此举实质上意味着命令控制服务器会在僵尸网络本身未知数量的机器上共享。 简言之,捣毁对等僵尸网络需要执法机构监视并了解其通信基础架构。一旦掌握了僵尸网络的通信方式,即可以着手复制其结构并控制僵尸网络。夺取了僵尸网络的控制权后,即能使僵尸网络停止运行。 要了解Gameover被捣毁所造成影响的精彩解读,请阅读卡巴斯基实验室全球研究与分析团队成员David Emm的讲解。 OpenSSL 新发现的OpenSSL漏洞非常严重,但严重程度和波及的系统范围略逊于Heartbleed。 Heartleed漏洞带来的伤痛还记忆犹新,昨天新闻中又曝出OpenSSL存在另一个严重漏洞。OpenSSL是互联网上大量用户使用的加密实施服务,这次新发现的OpenSSL漏洞非常严重,但严重程度和波及的系统范围略逊于Heartbleed。加密是指一种数学算法,用于保护用户在网上和计算机上所执行的操作、交谈和存储内容的安全。如果您觉得这种解释过于简单,请阅读哈希算法说明,更好地了解其工作原理。不管怎样,新漏洞是可通过远程方式加以利用,这意味着黑客在舒适的家里(或者连到互联网的任何位置)就能够利用此漏洞向不知情的用户发起攻击。黑客成功利用此漏洞入侵后,可拦截被入侵客户端与服务器之间的流量并进行解密。 利用此漏洞执行的攻击并不都这么简单(事实上,黑客很可能并不是在自己舒适的家里发起攻击的,但我想说明的是”可通过远程方式攻击”这个术语)。攻击者需要相对其目标处于”中间人”位置。顾名思义,中间人攻击是指:攻击者自身或利用工具插入用户和重要资源(例如,银行网站或电子邮件账户)之间。最简单的做法是监视流出不安全Wi-Fi网络的流量,这类Wi-Fi网络有许多是我们所有人几乎每天都会用到的。另外还有数十种其他方法可用来执行中间人攻击,您可以通过上面的链接了解相关信息。 发现此漏洞代码段的研究人员表示,此漏洞似乎从1998年开始就一直存在,几乎从未更改过。 端到端 昨天,Google发布了Gmail流量中在传输中被加密(例如,离开Google系统后)的流量所占比例。部分数据相当不错。搜索巨头Google发现,从Gmail发出的电子邮件中,大约69%经过加密,而Gmail收到的邮件中经过加密的占48%。这一比例相对于前几年已经有了大幅上升。 Google会对其服务器上的所有数据进行加密,所以上述研究结果反映的是其他服务对Gmail通信离开Google控制范围后的加密情况。在这里我有意轻描谈写,因为我们计划专门写一系列文章,具体探讨全球哪些服务在改进加密传输中的数据,哪些服务对此无动于衷。请继续关注我们接下来几周的博客。 Google还宣布开发出了一种工具,将用于加密所有流出Chrome浏览器的数据,这应该能帮助解决上面谈到的部分问题。我们对此工具的工作方式充满好奇。同样,请继续关注我们的博客,未来我们将就此发布相关文章。 “重置网络”行动 我们曾在每月安全新闻播客中提到过,6月5日是重置网络行动日。此项行动设定为斯诺登首次曝光美国国安局大规模监控项目周年纪念日并不是巧合,此行动的目的就是为了通过向日常网络用户提供高强度的安全和隐私工具,抵制政府监控行为。在此用户可以找到一些使用方便、几乎适用于任何操作系统的工具。请尽情享用这些工具,使用心得可以通过下面的评论部分与我们分享。

天网恢恢!五月热点诉讼案

五月有许多值得关注的黑客和其他犯罪分子的相关新闻,下面让我们看看在五月份有哪些犯罪分子落网,罪名分别是什么。 LulzSec头目被判七个月监禁 知名的LulzSec黑客组织卧底Sabu因获大幅减刑,上周二被判服刑期满,在纽约被当庭释放。Sabu真名为Hector Monsegur,曾带领黑客组织Lulzsec成员多次向高知名度的目标发起攻击。Sabu被捕后从一名黑客转变为FBI潜伏在黑客组织的卧底,卧底期间,黑客组织成员纷纷落网,此外他还帮助FBI阻止了进一步的攻击行动,成果颇丰,因此被大幅减刑。Monsegur是LulzSec黑客组织的知名成员,被控参与了组织多次行动,包括对PayPal和其他公司发起的攻击。2011年Monsegur被FBI抓获,此后开始与FBI合作,向FBI报告Anonymous组织其他成员的活动信息。有鉴于此,检察官要求法官对Monsegur予以宽大处理,但并未就刑期提供具体建议。Monsegur被释后,在未来的一年里要接受法庭监督,以免再次作案。 97名黑客因利用Blackshades木马犯案而被捕,木马作者将面临20年监禁 #安全性 #天网恢恢 近百名黑客一次性落网 五月最大规模的一起诉讼案无疑当属97名黑客被控利用Blackshades远程访问木马犯罪。这种恶意软件在黑客论坛上只要区区40美元就可买到,犯罪分子利用此软件能够远程入侵用户计算机的监视设备。FBI表示,出售的RAT(远程管理特洛伊木马)病毒被散布到100多家公司,感染用户超过50万。RAT还具有自我复制能力,能通过指向社交网络联系人的欺诈恶意链接或通过即时通讯平台传播到其他计算机。此次抓捕是全球19个国家的执法部门联手开展的行动,涉及300多项搜查。目前尚不清楚落网犯罪分子将面临的罚金和监禁时间,但Blackshades恶意软件开发人员(据推测是24岁的瑞典人Alex Yucel和来自美国亚利桑那州23岁的Michael Hogue)最高将获刑20年监禁。 出售伪造卡被判20年 David Ray Camez现年22岁,网名为”Bad Man”和”doctorsex”。五月中旬,美国地方法院宣布了对他的判决。Camez于2013年底被判罪名成立,其中一个罪名是参与触犯《反勒索及受贿组织法》,另一项罪名是密谋参与触犯《反勒索及受贿组织法》。六年前,年轻的Camez加入了Carder.su组织,在长达两年的时间里,他参与了购买和出售假身份证和信用卡。2012年,他与其他38名成员一起被起诉。其中七人承认有罪,两人将在今年6月宣判,其余人员在逃。另有16名被告人分别在三个独立诉讼中被指控有罪,目前已有14人认罪。除了面临20年监禁外,Camez出狱后还将面临三年的被监督释放,并被判支付2000万美元的赔偿金。 海盗湾联合创始人落网 五月的最后一天,海盗湾(Pirate Bay)BT种子网站创始人之一兼前发言人Peter Sunde在瑞典被国际刑警抓获。针对海盗湾创始人的这项持续时间很长的刑事案件,瑞典最高法院2012年就对Sunde的判决进行了最终裁定,判决上诉不予受理,在此之后,检察官们经过两年多的时间才终于抓获Sunde。Sunde被捕后,将案件上诉至欧洲人权法院和瑞典最高法院,但同样被驳回了上诉。目前,Sunde将服刑8个月。海盗湾的另外两名活跃分子已出狱,而Sunde的另一位同伙仍逍遥法外,藏身在亚洲某地。 参与违反《反勒索及受贿组织法》将面临20年监禁。 有史以来最大一起有针对性的假药打击行动 100多个国家的执法机构联合参与了”盘古行动7″(Operation Pangea 7),”盘古行动”是每年执行一次的全球范围的行动,旨在捣毁通过非法网上药店销售假药交易背后的有组织犯罪网络。此次行动在世界各地共抓获230余名犯罪分子,搜缴的潜在危险药品价值近3600万美元。行动中启动了1235起调查,删除了通过社交媒体平中发布的近20000个非法药品广告,有10000多个网站被关,查获假冒和非法药品940万件。此次国际行动由国际刑警负责协调,包括世界海关组织、安全互联网药店中心在内的许多机构以及微软、PayPal、万事达和Visa等多家公司也参与了此次行动。 垃圾短信发送者被处以高额罚金 向用户发送了超过2900万条短信,承诺提供”免费”礼品卡。骗局其实十分简单:用户点击短信中的链接后,会显示一张表单,要求用户填写信息以免费获赠沃尔玛的100美元礼品卡,但用户填写表单后,会要求访问多个链接。显然,用户填写的信息被用于发送垃圾短信。这一骗局给某些零售商造成了一定困扰。在提交给美国联邦贸易委员会(FTC)诉讼案件中,沃尔玛门店的隐私诉讼总监表示零售商至少收到了14000项投诉。沃尔玛为了调查垃圾短信和安抚受骗客户所用的时间和精力,给公司造成的直接经济损失超过10万美元。

孩子与社交网络

无论你承认与否,十多年来,我们孩子的沟通方式已经发生了翻天覆地的变化。他们对打电话和或见面的热情有所下降,但会在社交网络上持续保持联机。到孩子长到11-14岁时,他们会希望注册Facebook或微博帐户,具体取决于当时所处环境的流行趋势,另外在某种程度上还受当地法规的影响。但从很大程度上来说,父母是孩子们网络生活方式的唯一负责人。 禁止使用从不会奏效 有些父母只在”花季16岁”这样的特殊日子或者有其他重要活动时,才允许孩子登录上网。但这样做是徒劳无功的,因为孩子都会去做同龄人在做的事情,不会愿意成为落伍之人。如果铁面无私地严禁孩子上社交网络,结果只能导致孩子偷偷背着你上网,就是这样。但这并不是你希望的。如果打不赢这场仗,不如身先士卒引导孩子。 多屏幕模式 如果把家用PC放在起居室里,认为这样就能监控孩子的上网活动,那你准把手机、平板电脑、学校PC、电视、游戏机,还有可能包括冰箱都忘在脑后了。通过这些设备都能和朋友进行联络。这一事实掩盖了许多危险状况,你和你的孩子应该对此有所了解。 孩子使用的主要屏幕是手机。设置规则时请并此考虑在内。 注意隐私 看着电脑屏幕时,你很难意识到网上有数十亿用户,只要点击几次鼠标就近在咫尺。其中很可能包括各种类型的诈骗犯,各种程度用心不良的人士,甚至还有像恋童癖这样的危险分子。要全方位保护孩子不成为这类欺骗的受害者,必须教会孩子互联网行为规范,这些规范和交通规则一样重要。规则十分简单:不要透露自己的姓名、学校或住址;任何骚扰性对话务必直接告诉家长或监护人;严格监控网上发布的任何内容。照片和视频是最危险的内容:照片中可能会把孩子所在地点拍进去,而且现代智能手机默认情况下发送照片时会附带所在地标签。所以手机交给孩子之前,必须提前禁用这种功能。 主要规则 无论是成年人还是孩子,对上网的一大误区是认为上网只不过是一种游戏。但在网上看不到对方,也没法感知面对面对话时通常会有的反馈信号(手势、身体语言、语调或表情),所以很容易就认为交谈反正不是”真的”,而无意间泄露不该透露的信息。第二大误区是对网上交谈内容的范围和重要性有所误解:许多人(包括认识和不认识的)以及许多机器都会看到交谈内容。所以每位家长都应该向孩子解释一条金科玉律:若不可当面对人言,则切不可在网上轻言。真正理解这条规则的人才能通过自己的设备安全地在社交网络上冲浪。简单地说,就是”写比说更危险”,或者说”一言一行皆在外人眼中”。 若要人不知,不要在互联网上写下当人面难以启齿的话。 坚守公平原则 即便绝对相信孩子已经理解了这些规则,但作为父母,很可能要不时进行检查,了解他们是怎样做的。不要背地里去了解;最好是和孩子达成协议,界定控制权将怎样得到贯彻执行。如果孩子把自己社交媒体配置文件的密码给你,他们是不是就安全了?或者把父母添加为朋友?或者屈服于专用家长控制软件?如果使用得当,家长控制软件是最适合的选择:高品质软件解决方案只在特定情况下才会报警(例如,在消息链中检测到关键字),而不必翻遍整个对话内容。 此外,强烈推荐设置所有可能的管理手段,以此影响孩子的网上行为,包括在家庭作业完成之前,阻止在所有设备上登录上网,或者在严重过失时彻底禁止使用手机。当然,你应该和孩子详细说明适度的”底线”政策,不要限制孩子的上网自由。 警惕恃强欺弱 社交网络上的孩子们会遇到的最大危险之一是被网上的同龄人欺负(最近出现的一个特殊的术语”网络欺凌”就定义了这种概念)。与孩子在学校常遇到的问题不同,网络欺凌有两个显著特点:一是网络骚扰不会在下课后停止,而是会延续到家里;二是如我们前文所总结,因为不会有真人接触,所以这些流氓无赖会忘乎所以,挖空心思变着法地欺负人。欺负的方式花样百出:窃取对方的密码,利用对方的帐户发布不良内容;把对方照片放到网上,破坏对方在同学心目中的形象;把某个人秘密弄得众所皆知等等。这些类型的欺负对于家长来说可能不太当回事,但会让孩子非常沮丧,所以如果搞不清孩子的情绪从哪儿来,或者发现孩子变得陌生、疏远,请务必认真对等,从简单地交谈一直到家长控制,设法了解更多相关情况,阻止这些恶行继续。许多国家都设有特殊机构帮助家长处理这类受欺负的问题,但即便没有这样的机构,也有许多直截了当的方法能够帮助孩子摆脱这类问题:直接去学校找学校辅导员帮助解决问题。可能会有相反的情况,即自己的孩子是实施欺负的一方。对此家长应该立即有所反应,并付诸大量努力:家长需要向孩子解释欺负人是危险的,是非常严重的问题,有可能导致受害者选择自杀,而自己最终被告上法庭。 风雨同舟 在孩子开始探索互联网世界时与孩子保持联系的最好办法是一起做些什么。帮助孩子在Facebook上申请一个帐户,并设置相应的隐私级别。留意阅读业内新闻(通过我们的网站或我们合作方的网站Threatpost),你能告诉孩子Snapchat(阅后即焚)应用所拍照片并不会自行销毁,在网页上发布的SEM广告很可能有助于准确了解孩子在Google上搜索的内容。孩子非常关注自己的个人隐私,所以父母和孩子一条心时,父母的额外收获是成为孩子最好的朋友。

如何避免小物品丢失

因设备丢失而产生的风险仍然是我们要面临的最严重的隐私和安全威胁之一。通过使用基于GPS的设备定位和防盗应用,丢失手机或其他小物品的机会越来越小。然而,并非所有设备都内置有定位器功能,就算有这种功能,也并不是解决极为普遍的设备丢失问题的完美方法。虽说如此,但此类服务可能仍是用户防范设备丢失的第一道防线,也是最佳方案。 软件 iPhone和iPad用户都能通过登录到iCloud帐户来访问”查找我的iPhone“。在其中用户能够跟踪自己任何一个Apple设备的位置。与此类似,”安卓设备管理器”应用也提供了用户跟踪自己所有安卓设备的功能。微软系统手机的”查找我的手机”功能和黑莓设备的”黑莓保护”功能都能完成同样的任务。 这些类型的防盗或定位跟踪服务是防止设备丢失和被盗的最好方法(各服务均提供了数据擦除功能)。如果对这些跟踪功能并不熟悉,您应该尽快掌握这些功能,与其事后后悔,不如事先保障安全。 但如果设备没有这类功能该怎么办呢?幸运的是,另有一些免费应用提供了相同的服务。Prey Project提供的防盗软件好评如潮,它支持跟踪没有内置防盗功能的设备,并且兼容Windows、O SX、iOS、安卓和Ubuntu及其他Linux分发版。 此外,一些安全公司也越来越多地开始在自己的产品中部署反盗窃解决方案,用户很可能具有跟踪功能,但自己并不知道。其中一些功能甚至可用于跟踪被盗、擦除数据或换用新SIM卡的手机。 当然,这些服务都有一定的局限性,最明显的一点就是受电池续航时间制约(你没法通过GPS定位到一部没电的手机)。所以,下面给出了其他一些灵活变通的方法,可帮助您找到遗失的设备。 如果对这些跟踪功能并不熟悉,您应该尽快掌握这些功能,与其事后后悔,不如事先保障安全。 标签 贴标签可能听起来很傻,但确实非常有用。想想吧,防范猫狗丢失的主要手段就是在宠物的项圈上挂上金属标签,标签上印有主人的姓名和电话号码。所以去印一张标签,内容包括您的姓名、电话号码和电子邮件地址,然后把标签贴到设备显眼的位置。标签对于手提电脑来说尤为重要,因为在过机场安检时最容易弄丢。 以上我们说得都是碰到坏人的情况,所以很容易就忘记我们周围还是有很多正派的好人。你可能从来都不知道,世界上有许多人会想尽一切办法物归原主。这也是为什么有封面的纸质期刊以及策划人几乎总是在开首版面包含”失物招领”部分。有些人非常富有同情心,喜欢帮助别人。 包装 另一个保守的建议是出行时携带醒目的行李、手提电脑包或背包。因为要弄丢色彩鲜艳或特色鲜明的行李的可能性较小,而其他人也很难误把你的行李当成自己的,比如你是大厅里唯一背绿色尼龙背包的人。每次站在行李提领区等行李时,我一眼就能看出有些人的行李太容易被拿错了 - 对于其貌不扬的行李来说尤其如此。 我们建议将手提电脑和平板电脑放在非透明的行李包装中。 与此类似,手机壳能很好地防止设备搞混。如果你和一帮朋友外出,很可能有两人或好几个人的手机完全一样。采用独特、与众不同的手机壳可避免拿错手机。 另外,将手提电脑和平板电脑放在非透明的行李包装中也是个不错的主意。手提电脑包虽然能够相当安全地保护电脑,但也容易成为窃贼的目标。 和以往一样,如果您对此有任何想法,请在评论区留言;以后的贴子中我们很可能会”偷偷”用到这些留言。