16 文章
大家好! 在此,我们将掀开惊悚侦探片(反垄断)的新篇章…… 您可能会注意到,去年底,我们向俄罗斯联邦反垄断局(FAS)投诉微软。就在最近,我们在欧洲做了同样的事情——向欧盟委员会和德国联邦企业联合管理局提起投诉。 那么,我们为什么要这样做?这是因为:我们的用户——我们在全球拥有数亿用户,他们相信我们,依靠我们来保护他们的数据。他们只是希望获得最高水准的保护——这就是为什么他们选择我们的原因(即便他们也选择了其他独立杀毒软件,但他们仍受到了影响)。他们有权选择自己想要的、我们能提供保护的软件。 我们清楚地看到——并且已经准备就绪以便证明——微软利用其在计算机操作系统市场的主导地位,以牺牲用户的选择空间为代价,大肆推广自家质量低劣的安全软件Windows Defender。这一推广做法采用备受质疑的方式进行,我们希望这些方法能引起反垄断部门的重视。 附带说一句,我们向俄罗斯联邦反垄断局提起的申诉已经得出了结果:微软已经对我们突出强调的问题进行了修正——并且在俄罗斯联邦反垄断局发布官方声明之前已采取了措施(我已经于今年五月初在博文里解释过了)。因此,我还能说些什么呢?我真诚地感谢微软所做的一切!微软所采取的措施是正确的,是非常鼓舞人心的。 然而,时至今日,微软仍然存在着我们在申诉中没有明确直说的其他方式和做法。因此,我们不打算勉强接受已经取得的目标,而是要继续努力,以便保护用户和杀毒软件行业的利益。 现在,就让我们来审视一下我刚才提到的、微软尚未解决的其他方式和做法。 让您疑惑不解的问题 让我们就从微软将其杀毒软件内置到家庭用户的Windows 10开始:这类软件完全不能关闭,也完全无法删除。直到现在也没有人询问您是否需要该杀毒软件。即使您使用其他安全解决方案,微软的杀毒软件仍然会定期进行安全扫描。 还有一个例子:在用户试图通过使用独立的安全解决方案来进行操作时,每一步都会被问及:”您是否希望运行该程序?”之后又问道:”您应只运行您信赖的发行商提供的软件。”这就好像是在说,如果用户违背了微软的默认设置,就会采取错误行动一般。 此外,在我们安全解决方案的许可证到期和关闭防病毒保护后的三天,我们被禁止通过自己的通知系统告诉用户许可证续期是个不错的办法,那样一来安全软件又可以重新启动和运行。与之相反的是,我们被迫使用微软的通知系统——也就是目前所说的”Action Center”,很多用户对该系统知之甚少。 不可思议的是,此类限制仅适用于杀毒软件——微软多年来一直奋力地想与这些杀毒软件争高下(但表现却不佳)。然而,旧版的Windows(Windows 10之前的版本)没有采取类似这样的特殊措施。因此,这看起来就像是微软在与其他杀毒软件竞争多年无果后,转而采用了其他方法,即在操作系统中内置自家杀毒软件的策略(我们认为这很阴险)。 Windows 7(顶部)和Windows 10(底部)中安全解决方案许可证到期的通知 神秘消失 我们的用户遇到的另一个让人不悦的问题是:在升级到Windows 10后,我们的安全软件神秘消失了。情况是这样的: 您在升级操作系统,此时明确地告知您,您的数据和程序将保持完整和安全,不会有不兼容的程序,一切都很好、没有问题,您在升级操作系统时完全可以放心。 但之后,多数情况却是这样的:当升级仍在进行时——或许是再次出于此类阴险的策略——Windows认为您现用的安全解决方案与Windows 10不兼容,于是删除了驱动程序(留下一堆无用的文件(没有驱动程序安全解决方案无法运行)),并取而代之的替换为自家的解决方案。 Windows在未获得用户的明确同意和几乎未提供任何提示的情况下自行采取这一举措:屏幕上的通知只显示了几秒钟。此外,采用粗体字的通知声明说”我们已开启Windows Defender”,并且使用未加粗的小号字体声称已删除您现用的安全解决方案: 将适度通知情况与微软自家解决方案的报警窗口进行比较 更有趣的是,在删除独立保护程序后,此类程序仍然在已安装程序的列表中!因此,如果用户错过了与微软启动其保护程序有关的转瞬即逝的”通知”,及/或没有时间弄清楚这意味着用户自己选择的现有安全解决方案已经被删除,他们可能无法完全明白到底发生了什么。也就是说,在用户选择的安全解决方案事实上已被删除时,用户认为这些解决方案仍然运行(为什么不会运行呢?这些软件仍然在已安装程序的列表中;甚至桌面上的图标都仍然存在)。
显然并不是所有人都知道该如何修补WannaCry所利用的Windows漏洞,这个漏洞能使WannaCry从一台PC感染另一台PC。所以在本篇文章中,我们将解释该怎样修补以及在哪里下载必要的补丁。
近期,微软发布了被全球电脑工程师亲切称为”蓝屏死机”(BSOD)的全新更新补丁。这一更新版本将提供更多PC用户所需的信息:可以通过扫描屏幕QR码了解电脑出现蓝屏死机的原因。
今天我们新一期的《安全周报》将是我们企业客户专版,我们将用他们提供的赞助费来支付我们各项账单和相关费用。只是开个玩笑,我们依然将一如既往讨论本周发生的最重要安全新闻。不知是巧合还是什么,这些新闻无一例外与企业安全有关。本期的内容将包括:公司遭受黑客入侵和数据泄露事件以及它们对于突发事件的反应。
我有时在想如果这个世上再没有信息安全问题了,那会变成什么样。我们的Threatpost.com新闻博客是否会转而刊登报道一些宠物方面的文章?那在不久将来是否有可能呢?考虑到IT行业的发展速度,这的确有可能。而现在我们依然在努力将许许多多的安全问题”扼杀在萌芽中”,一旦这些问题得以全部解决,崭新的信息安全时代将一定会到来。
欢迎来到本期的《安全周报》。在首期《安全周报》中,我们介绍了有关自动开锁汽车、安卓长期存在的Stage Fright漏洞攻击以及我们将不再受到网络监视(事实上情况依然存在)的新闻故事。 在本篇博文中,两条看上去毫不相关的新闻却有着一个共同点:时而由磁阻引起的漏洞可以采取现有安全措施予以解决。第三个新闻故事并不完全与网络安全有关,而是更多关注业内各方关系的特殊案例。这三个新闻故事可以说是趣味横生、各有特色。 我想再提一下我们《安全周报》的编辑原则:Threatpost编者每周会精选三个在当周最吸引眼球的新闻故事,而我则会加上自己的辛辣点评。你可以在这里找到这些系列的所有事件背景。 黑客入侵酒店房门 Threatpost新闻故事。 人们总是说科学与艺术之间有着一条难以跨越的鸿沟,同时这两个领域的专家们也难以相互理解。还有一个根深蒂固的说法是人文主义知识分子无法变成一名科学家或工程师。 但这一传统观念却被一名受过正规音乐训练的音乐家John Wiegand打破。在上世纪30年代,他既是一名钢琴演奏家同时也是儿童合唱团的指挥,直到他对设计音频放大器产生了浓厚的兴趣。到了上世纪40年代,他专心致力于那个时代的新奇事物–磁带录音的研究。而到了1974年(当时已62岁),他终于有了重大发现。 这项发明被称为”韦根传感器”,磁钴铁和钒合金丝在经过适当处理后会发生变化,从而在软内芯周围形成硬外壳。外磁场可轻易磁化外壳并抵抗退磁,即使外磁场退回到零时也同样如此—这一特性被称为”更大的矫顽力”。软丝填充的行为则完全不同:直到外壳完全填充磁化后,软丝才会填充磁化。 一旦合金丝完全磁化,内芯则最终能够收集它自己一部分的磁化,同时内芯和外壳进行磁极转换。这一转换会产生巨大电压,可用于各种传感和监视应用,在现实生活中完全可以有效利用这一效应,比如:酒店房卡。 与现代感应卡不同的是,”1″和”0″的数字并非记录在芯片内,而是在特别布线的直接序列内。这样的密钥既无法重编程序,其基本设计方案也与现代感应交通卡或银行支付卡大相径庭,但与磁条卡却十分相似–只是后者更加安全可靠一些。 那我们是否就能淘汰感应卡呢?目前还为时尚早。韦根不仅将他发现的效应命名为”韦根效应”,同时也用自己的名字命名了一种目前来看早已过时的数据交换协议。这一通讯协议的各个方面都做得相当糟糕。首先,该通讯协议从未制定过任何适当的标准,而且有许多不同的格式。 其次,原卡的ID只有16位,因此可设置的卡号组合有限。第三,这些感应卡采用了电丝设计,且发明时间早于我们学会如何将”微型计算机”植入信用卡内的时间,因而限制了密钥长度(仅37位),但读卡时的安全可靠性却远远高于后来拥有更长密钥的感应卡。 就在刚刚落幕的黑帽大会上,研究专家Eric Evenchick和Mark Baseggio展示了他们用来拦截授权过程中(未加密)密钥序列的黑客装置。最有趣的细节是:由于信息是在数据从读卡器传输到门禁控制系统过程中遭窃取(也就是历史上韦根协议使用的环境),因而与卡本身毫无关系。 这个微型装置被称为BLEkey –其外形极小,需要嵌入读卡器内(比如:酒店客房门)才能起作用。研究专家们展示了整个过程只需几秒钟时间即可完成。之后一切就变得很简单。我们只需读取密钥,然后等房客离开后打开房门。或者我们根本不用等。或者我们根本就不用开门。如果将这一技术细节形象地描绘成”房门和读卡器/无线通讯之间对话”的话,可能就像这样: “谁在那儿?” “是我。” “请进吧!” 整个过程的确就是如此,只是当中有些细微差别。好吧,通常来说,并非所有的门禁系统都容易受到这样的攻击。即使是那些在这方面存漏洞的门禁系统,也可以受到安全保护而无需彻底更换。根据研究专家的说法,读卡器原本就内置有防范此类黑客入侵的安全保护措施,只是这些安全功能通常禁用。 有些甚至能支持公开监控设备协议,允许你对传输的密钥序列进行加密。这些”功能”并未被使用–我将不断反复强调的是– 制造商之所以忽视安全措施完全是为了降低成本和方便生产。 这里有一个2009年有关这一问题的研究,并附有技术细节。显然门卡(非读卡器)内的漏洞早在1992年就已发现,之后相关专家建议门卡应进行反汇编或使用X光检查。出于这一目的,比如必须将门卡从持卡人处取走。目前的解决方案则是硬币大小的微型装置。这正是我所称之为的科技进步! 微软与Immunity公司。微软公司与Windows Server Update Services之间纷繁复杂的故事。
在微软的年度开发者大会- 微软Build 2015上,HoloLens在首日的展示中获得了极大的关注,HoloLens在台上看上去令人惊叹。从底下观众的即时视角来看,他们只看到了一群人戴着头盔在那边摇头晃脑。然而,如果他们能够透过体验者的视角观看播放头盔视频的显示屏的话,就能看到一些亦真亦幻的美妙画面。
在网络安全播客改版后的首期节目中,来自Threatpost的Brian Donohue和Chris Brook对时下有关网络安全的热门话题展开了讨论,讨论内容包括:家得宝客户数据外泄事件;iCloud女星艳照门事件对iPhone 6推出造成的影响;微软trustworthy computing部门时代的终结;以及必不可少的,互联网广为传播的Bash bug(也叫做”Shellshock漏洞”),影响了Linux和Unix系统。 数据外泄 TripAdvisor的子公司Viator(于今夏以2亿美元被前者收购)告知了1400万客户其包括用户名和密码在内的个人数据遭到外泄。该事件还波及到了三明治连锁公司Jimmy John’s,它的216家分店和108家餐厅遭受影响,该连锁公司也同样在其官网上刊登了有关此次数据外泄事件的通知。Goodwill也确认公司遭受长达18个月的客户数据外泄,受影响客户数量尚未得知。家得宝则遭受到有史以来最为严重的一次数据外泄,竟然波及到5600万张支付卡,受影响范围远超Gmail数据外泄事件(于2013年爆发的该事件造成马萨诸塞州20%居民的个人数据遭到外泄)。 苹果 在9月,苹果终于揭开了其年度9月产品的神秘面纱。不幸的是,苹果新产品发布时间恰巧正值影响恶劣的iCloud入侵事件爆发不久,因此对其造成的影响可见一斑。在此次事件中,众多好莱坞女星的私密照片遭到曝光,并公然发布在互联网上。苹果随即采取措施,不仅扩大了iCloud双重认证的安全级别,并随即修复了显然会导致数据外泄的登陆限制漏洞。总部位于加利福尼亚州库比蒂诺的苹果公司还发布了iOS8系统,正如苹果首席执行官蒂姆•库克(Tim Cook)所宣称的那样,苹果无法查看用户的email或iMessage内容,也没有能力将此类内容信息交予执法机构。 Trustworthy Computing小组 微软宣布将解散trustworthy computing小组,该工作小组10年如一日始终奋战在网络安全领域的第一线。微软公司表示正在计划将其多个安全业务更完整地整合入公司,并将trustworthy computing小组的各成员安排到公司的其他各支团队中,共同致力于开发特定产品和项目。 Bash 一种在互联网上广泛传播的bug,也叫做”Shellshock漏洞”,在Bourne Again Shell bug(Bash)中出现。我们曾在近期写过一篇有关的文章,其中详细解释了什么是”Bash漏洞”及其影响甚广的原因。 # 网络安全播客#:@Threatpost #安全记者#@TheBrianDonohue和@Brokenfuses讨论#shellshock#和其它新闻。
本周要闻:本周我们将带您一同回顾微软扣押NoIP域名事件的始末前后;谈论本周最重要的安全更新;看一看以世界杯为主题的诈骗;当然还少不了对存在于安卓系统的大量漏洞的探究。 “微软”大战”NoIP” 上周五,在有关微软与No-IP事件的新闻报道中,微软针对一家叫做No-IP的小型主机托管公司申请临时限制令,使微软成功扣押并控制向该公司注册的二十几个域名。微软宣称No-IP允许网络犯罪分子在他们所控制的网站托管恶意域名和僵尸网络基础设施,以此谋取利益。尽管本次扣押域名行动不乏支持者,但No-IP和大量安全行业人士依然表达了不满,表示微软的行为太过激烈。如果你想了解本次事件的前后始末及相关背景,为您推荐刊登于Securelist网站的卡巴斯基实验室全球研究与分析团队主管Costin Raiu所撰写一篇相关文章,以及来自Threatpost网站的一篇报告,作者是Dennis Fisher。 可惜,来自华盛顿州雷德蒙德市的计算机巨头微软在经过一系列的诉讼和扣押域名行动之后,整个事件似乎来了个180°大转弯。微软向No-IP的实际掌控公司Vitalwerks归还了所有23个受控域名。并在向No-IP归还域名不久,微软即表示正在与No-IP共同努力,更好地判断哪些特定域名正在进行恶意攻击。 然而,就在本周末,微软发布联合声明宣布其已与Vitalwekrs达成解决方案,且后者表示”并非有意庇护用于支持恶意软件的子域名。”最终,两家公司互相协作,共同鉴别和禁用用于控制恶意软件的域名。 为了你电脑的安全着想,请立即安装来自于微软和Adobe的更新补丁。 周二补丁日与其他修复补丁 为了你电脑的安全着想,请立即安装来自于微软和Adobe的更新补丁。微软连发6个补丁公告,以解决总共29个安全漏洞。 对于微软的6个补丁公告,在这里我们只需注意其中一个:即针对Internet Explorer的累计更新。卡巴斯基首席安全研究员Kurt Baumgartner在他对该批补丁的分析文章中写到,需要及时关注的是用于修复23个Internet Explorer远程代码执行bug的更新。 在其他一些有关补丁的新闻中,雅虎在其邮件和消息服务以及照片共享服务- Flickr中修复了一些令人讨厌的bug。在雅虎发布修复补丁前,其服务功能内的3个可利用的远程漏洞使攻击者能够植入恶意脚本,这反过来会导致会话劫持、网络钓鱼以及更多的恶意攻击。 被迫结束通话-源于安卓系统的bug 来自Curesec的研究人员发布一篇专业博文,详细介绍了两个有趣的漏洞。这两个漏洞能被利用进行牟利活动,但目前已得到有效解决。这些bug能够让攻击者通过恶意或流氓应用破坏安卓系统的权限模式,进而控制电话的拨出与终止,或将非结构化补充业务数据(USSD)代码发送至存在漏洞的设备。 这些bug之所以有利可图,原因有几个。攻击者通过强制安卓设备拨打其所控制的高昂付费号码牟取暴利,而设备所有人却很难对这些拨出的电话理出头绪。至于USSD代码,研究者解释这些代码为大量实用工具服务,使攻击者能够轻松设置呼叫转移规则以及禁用SIM卡等等。 世界杯诈骗 我实在很难以理解,有那么多人为会为了一个咬人的成年人上书请愿,撤销他的禁赛处罚,这甚至成为了全球体育道德领域的一大奇观。而这为什么能成为有效的网络钓鱼诱饵,谁知道呢? 如果你不太确定我在说什么,让我来告诉你:作为目前世界上最具天赋的射手之一,乌拉圭国家足球队前锋苏亚雷斯被禁止参加本届世界杯余下的比赛,原因是他在一场比赛中咬了意大利国家队后卫基耶利尼。说来也奇怪,这并不是苏亚雷斯第一次在比赛中用牙齿来攻击对方球员,甚至还不是第二次。 网络骗子总是乐于以能够引起媒体关注的事件为题材进行诈骗,网络钓鱼者创建声称能为苏亚雷斯撤销禁赛请愿的虚假网站。一旦访问这些伪装成FIFA官方网站的虚假网站,访问者即被要求签署请愿书,同时必须填写姓名、国籍、邮箱地址以及手机号码等个人信息。 这只是众多以世界杯为题材诈骗的沧海一角。
每一个人都希望自己的计算机和移动设备运行平稳,但目前有存在大量的谬论是有关威胁和保护设备免受威胁的最佳方式。这里我们精心挑选出了5个流传最广的关于反病毒保护的谬论,并分别还原事实的真相。 谬论1:只有Windows系统存在病毒 真相:由于Windows系统长期以来占据市场主导地位,因此攻击者往往都针对这些平台花大量时间设计病毒,因为这会使他们成功的概率更高。随着苹果设备在私人以及公共领域都获得了越来越多的关注,因此攻击者也逐步加大对苹果产品的攻击。目前,移动恶意软件正成为攻击者的 “前沿新阵地”,他们将主导市场的安卓平台安卓首选目标,当然也包括了iOS设备。这意味着,无论你的计算机或移动设备使用Windows还是iOS系统,安装一款强大的反病毒程序都是必不可少的。 有关恶意软件和反病毒程序的5个谬论及背后的真相 谬论2:进程错误或计算机性能差意味着我的计算机中病毒了 Windows操作系统长期占据市场主导地位。但攻击者已逐步加大对苹果产品的攻击,而目前移动恶意软件正成为攻击者的”前沿新阵地”。 真相:尽管这可能意味着你的计算机确实中了病毒,但是也很可能是因为太多后台进程同时运行所造成。对于计算机,应通过以下方式对系统进行”瘦身”:卸载不用的程序并升级经常使用的程序;清除浏览器内的缓存;以及对硬盘进行碎片整理或运行磁盘工具功能(针对苹果电脑)。对于移动设备,首先删除不使用的应用,并通过关闭自动升级、推送通知以及应用内的定位服务来尽量延长电池寿命,虽然这些服务通常合乎标准但却没什么实际的作用。 谬论3:从网上所下载的免费程序能够满足你所有的反病毒软件保护需求 真相:这些免费程序事实上只能提供一些基本的保护,但想要免遭网络钓鱼的攻击(会盗取你的个人和财务资料),你需要的是一款网络浏览器安全程序。无论你选择使用哪一款软件程序,只需具备一些基本的网络常识并在上网冲浪时保持谨慎,则完全可以免于遭受网络欺诈,以及直接的社交工程攻击。 谬论4:病毒是由反病毒软件公司编写的 错误:这一阴谋论可能是来自一些网络安全公司为了测试现有保护平台的极限能力而创造了一些病毒,但事实的真相是网络攻击者才是创造最新恶意软件的元凶,他们不遗余力地企图领先反病毒程序一步,设法窃取用户的敏感数据和金钱。 事实与虚构-反病毒软件与恶意软件 谬论5:计算机病毒会感染人类 真相:这是一个长久以来一直存在的阴谋论:即相信计算机病毒会感染人类。看过《独立日》电影的朋友应该还记得,外星人的飞船是被人类所编写的病毒打败的-但这确实是有科学依据的。
OpenSSL Heartbleed bug终于不再是本周的头条新闻。我在撰写本文时已近下午3点,但到目前为止我一整天都没看到过一篇关于Heartbleed bug的文章,真让人惊奇。但别担心,不谈Heartbleed,我们还有很多其他内容要讨论: 零日漏洞 本周早些时候,卡巴斯基实验室宣布发现Adobe Flash Player中存在零日漏洞。说来也奇怪,卡巴斯基发现这种漏洞的工具正是用于发现新恶意程序样本的工具。零日漏洞被发现时,已经通过一种叫做”水坑攻击”的威胁肆虐于叙利亚地区。水坑作为一种有针对性的攻击,攻击者侵入攻击对象可能会访问的合法网站,在其中植入恶意程序,当用户访问这些网站时,就会被恶意程序感染。Adobe已经针对这种漏洞提供相应的补丁,所以请尽快安装Adobe公司发布的所有更新。 微软的Internet Explorer浏览器也同样存在零日漏洞问题。在此我不打算深究此漏洞的技术细节。但我想说的是零日漏洞被广泛利用,能针对各种目标发起攻击;显而易见,确保安装微软称之为”Out of Band”的紧急安全补丁十分重要。此类补丁是指微软在每月固定的周二补丁日以外的时间发布的补丁。如果漏洞收到out-of-band补丁,这通常表明这是一个严重漏洞。 微软Internet Explorer浏览器和Adobe Flash Player零日漏洞取代OpenSSL Heartbleed登上本周安全要闻头条,成为主要讨论话题。 本已封刀退隐,无奈重陷江湖 关于周二补丁日:还记得本月早些时候我们曾讨论过不再向Windows XP发送安全补丁吗?但我们错了(至少从技术角度来说是这样)。因为上述Internet Explorer零日漏洞主动有针对性攻击的目标主要是Windows XP系统,微软心一软,也发送了针对XP用户的Internet Explorer发送out-of-band补丁。 又见AOL! 最近,大量AOL电子邮件用户遇到了麻烦,他们发现自己的帐户被用于向自己联系人列表中的用户发送垃圾邮件。我们曾在上周的新闻回顾中讨论过这个问题。对此AOL声称,这完全属于”电子欺骗”攻击的内容。他们表示,此问题没有任何危害,只是看起来好像电子邮件是来自AOL用户电子邮件帐户。实际上,该公司在最初的声明中就表示过,电子邮件发件人只是使其看上去仿佛电子邮件是来自AOL用户电子邮件帐户。 如果我没记错,上周我们曾谈到AOL对事件的解释让人匪夷所思,因为事实上电子欺骗行为可能仍在继续,这没法解释攻击者是怎么搞到所有这些联系人列表的。可以肯定的是,本周AOL承认,已向用户发送通知,敦促用户更改密码。所以,如果您使用的是AOL帐户,那么最好更改密码。 Facebook和隐私 Facebook宣布推出一款全新的功能,名叫匿名登录。Facebook创始人马克•扎克伯格昨天在公司的F8会议上对开发人员说,”匿名登录”将允许用户使用Facebook帐户登录到第三方应用,而无需使用自己的Facebook凭证,也不必与第三方共享个人信息。 “这一功能的理念是,你不希望应用获知你的身份,但又想感受简化的登录体验,那么利用此功能可免去繁琐的表格填写工作,”扎克伯格说。”它能让你放心大胆地试用应用。” “匿名登录”目前为Beta测试版,只适用于某些应用;例如,Flipboard就是首批适用的应用之一。登录时,Facebook用户可以选择使用自己的Facebook凭证登录应用,也可以选择使用”匿名登录”来试用应用。”匿名登录”本身采用黑色屏幕,而不是Facebook惯常的蓝色,通过”匿名登录”,用户能够避免与外部应用共享已经与Facebook共享的任何数据。
本周要闻:首先出场的是微软公司,下周微软停止支持(终于停止了!)曾经无处不在、漏洞永无止境、部署范围超广的Windows XP系统。 本周发生的事件:我们获悉比特币的更多新闻;关于特斯拉S型车的安全问题;全球网络钓鱼游戏的深入洞察;苹果Safari浏览器修订;飞利浦智能电视中的漏洞等。 据路透社报告,美国德克萨斯州联邦法官已下令Mt. Gox公司首席执行官马克•卡佩勒斯(Mark Karpeles)赶赴美国,回答与比特币交易破产案有关的问题。Mt. Gox曾是世界上最大的比特币(数字加密货币)交易所,该公司在丢失客户价值4亿美元的比特币后于今年2月停业,并在美国申请破产保护。据报道,卡佩勒斯已向传唤其到庭的德克萨斯州法庭申请根据美国《破产法》第15章给予Mt.Gox破产保护,目的是为了让其美国客户在芝加哥联邦法院提起的集体诉讼不能再继续下去。德克萨斯州法官认为,如果卡佩莱斯希望寻求法庭的保护,那么必须亲自来到这里。 据Threatpost的同事Chris Brook报告,在受到大众欢迎的飞利浦智能电视中,支持互联网的某些型号含有漏洞,攻击者可能会借此漏洞访问电视机系统和配置文件中潜在和敏感信息,并能读取插入电视本身的U盘上的任何文件。如果用户碰巧就在这台电视机上浏览互联网,那么攻击者就能窃取cookie,并利用这些cookie来访问特定网站或网上帐户。这一问题与名叫Miracast的WiFi功能有关,这种功能默认情况下已通过预设的固定密码启用。通过此密码,处于电视WiFi适配器辐射范围内的任何人都能连到该电视,并访问电视中的许多功能。 Threatpost的另一位同事Dennis Fisher报告说,深受大众欢迎的高端全电子特斯拉S型汽车上针对移动应用部署了一种易受攻击的单因素验证系统,它允许用户对车门解锁以及执行其他更多功能。研究人员Nitesh Dhanjani发现,新车主在特斯拉网站上注册了帐户后,必须创建一个6位字符的密码。此密码将用于登录iPhone应用程序。该应用支持车主操纵门锁、悬架和制动系统以及天窗。其中真正的问题是对登录尝试次数没有限制;这意味着攻击者可以对相对较短的密码发起暴力破解攻击。在没有登录尝试次数限制的系统中,六位字符是很容易破解的。另外,我想提醒所有苹果用户,位于加州库比蒂诺的计算机巨头-苹果已发布了25个Safari浏览器安全漏洞修订。其中一些漏洞非常严重,所以如果还没有更新Safari浏览器,请尽快更新。 我们的朋友-Securelist的研究人员发布了2013年金融网络威胁黑幕研究报告的第一部分。第一部分密集分析了全球的网络钓鱼环境。简而言之,他们发现,2013年的所有网络钓鱼攻击中有31%针对的目标是金融机构。所有攻击中大约有22%涉及虚假银行网址,这一比例较上年2012年的研究翻了一番;2012年,只有11%的此类攻击是部署虚假银行网址。其中不到60%的网银钓鱼攻击利用的是25家国际银行品牌,其余40%利用的是1000多家银行品牌。最后,我推荐您阅读BBC的一篇新闻,它报告说加州圣地亚哥的一名五岁男童发现流行的XBOX Live在线游戏平台中有漏洞,他通过这一漏洞可以登录到他父亲的XBOX Live网络帐户。当时他输入的密码不对时,系统提示他重新输入密码。他随便按下了空格键,结果就像魔法一样,直接登录了。”我很紧张。我想[爸爸]会发现的,”Kristoffer告诉当地电视台KGTV。”我想有人会偷走Xbox。” BBC说,Kristoffer的父亲从事安保工作,他已经向微软报告了漏洞的详细情况。微软已修复此漏洞,并对Kristoffer的帮助表示了感谢。
上周对于我们这些以采写计算机安全新闻为业的人来说的确是漫长的一周。虽然这一周的新闻事件寥寥可数,但还是有一些值得关注的事件。 新闻概述如下:网络安全公司White Hat发布了内部网页浏览器,专注于安全性和隐私,可应用于Windows操作系统计算机;美国总统奥巴马要求美国国家安全局(NSA)终止搜集公民通话元数据;骗子以马来西亚航空370号失联客机为饵实施网络钓鱼骗局;微软再次曝出零日攻击漏洞。 Aviator浏览器 互联网安全性和隐私依然一如既往地成为了流行焦点,这在很大程度上要归功于去年美国国家安全局曝出他们有能力监控任何想要监控的人。然而,保护网络会话安全,尽可能确保这些会话私密是一项艰巨的工程,尤其是对于那些缺乏相关技术知识的用户,或更重要的是,根本无暇了解自己心爱浏览器的设置。 为此,White Hat Security的研究人员几个月前决定向公众发布Aviator浏览器(至少推出Mac版)。该款浏览器在公司内部已使用数年。本周早先时候,他们又发布了Windows版本,使得更多的用户能够使用到这款浏览器。 Aviator浏览器基于Chromium代码库构建,外观与Google的Chrome浏览器非常类似。但Aviator旨在优化用户隐私、安全性和匿名性。默认情况下,该浏览器不允许存在来自广告商的网络跟踪。DuckDuckGo是浏览器默认搜索引擎,它不会收集用户搜索历史记录,也不会以任何方式显示广告或跟踪用户。 总之,该浏览器并不是简单地靠大量流行的扩展程序来阻止广告(全球三大浏览器就是这样做的),而是根本就不与广告网络建立任何连接。这样不仅能阻止无处不在的企业跟踪,而且还能保护用户不接收潜在的恶意广告。该公司表示,所有这些附加的优点使得这款浏览器的运行速度比其他大多数浏览器都要快。 奥巴马要求停止搜集元数据 大约一年前,曝出美国国家安全局(NSA)通过手机或电脑收集和保存几乎所有人的通信元数据。所有这些秘密信息均是由NSA前雇员爱德华•斯诺登披露的,其中有大量内容是针对美国间谍装备的指控- 对批量元数据搜集的披露吸引了美国公众最大的关注。这让人感到相当奇怪,一方面是因为两年前大多数人甚至不知道元数据为何物,另一方面当我们回顾过往,元数据搜集相对于NSA被曝出的其他一些事件来说,并不算太离谱。 虽然说进步总是好的,但显然,白宫方面决定希望终止该情报机构搜集和存储电话记录。在目前的系统下,NSA可存储五年的电话记录信息。根据新的规定,NSA绝对不能再存储元数据。元数据改为由各服务提供商保存,但要求服务提供商只能将此类信息存储18个月。 事实上,就在我写这篇文章时,白宫方面已向公众宣布其终止批量搜集元数据的计划;元数据搜集行为原本是根据《爱国者法案》第215款所允许的。 利用马航370失联航班的网络钓鱼 你可能知道,三周前,马来西亚航空公司的一架由吉隆坡飞往北京的航班离奇地与地面失去联系,导致机上200余名乘客下落不明。截止本文写作时,已确定该航班失事。目前,还没有确切的证据能证明该航班的下落,除此之外,其很可能坠毁于印度洋某处。 和其他神秘事件和令人费解的失踪一样,马航370航班(虽然失踪航班最后的结果往往是可怕的失事)也催生了一大堆令人啼笑皆非的荒谬说法,其中许多被无耻的媒体持续报道。 同样无耻的是(你可能没那么吃惊,因为我们现在讨论的就是犯罪分子,而不是那些被称为记者的家伙),黑客组织也在互联网上以马航370失联班机为诱饵,盗取信息,骗取钱财。 大量社交媒体点击欺诈争相出现,纷纷表示已经找到马航370客机。用户会看到提示,要求点击链接才能了解新闻内容。这种老式的链接钓鱼欺诈几乎会在任何时间以任何事件为饵弹出,以吸引公众注意(名流身故、国际体育赛事、自然灾害等等)。然而,除此之外还有更复杂、更有针对性的鱼叉式网路钓鱼活动,在此类活动中,攻击者向美国和亚太区政府官员散播与航班相关的电子邮件,其中含有恶意附件。 Microsoft Word零日漏洞 最后一条新闻:本周一,科技巨头微软公司在其Technet博客上宣布,发现Microsoft Word 2010零日漏洞,将成为黑客针对性攻击的目标。虽然发现的攻击目标是Microsoft Word 2010,但该公司表示Word 2003、2007、2013和2013RT,Office for Mac,