恶意软件

102 文章

勒索软件利用TOR隐匿行踪,臭名昭著的Cryptolocker相形见绌

您可能已经留意到近期的网络犯罪活动,即加密勒索软件的发展动向。这类勒索软件无意隐瞒用户悄悄入侵,而是利用锁定程序通过强加密码来锁住用户文件,以此勒索用户支付赎金进行解密。这类恶意软件系列中最广为人知的是Cryptolocker和CryptoWall及类似软件。不幸的是,实际这类犯罪计划的吸金能力超强,所以更新、更强大和更有效的加密木马层出不穷,屡禁不止。本文旨在提醒用户警惕”洋葱”(Onion)勒索软件(又名CTB锁定程序)。此软件利用匿名TOR(洋葱路由器)网络和比特币来更好地隐匿犯罪分子,使执法机构难以追查到犯罪分子的行踪、其掠夺的不义之财以及用于加密用户文件的密钥。 犯罪分子使用TOR后,要想追查到其行踪以及恶意软件控制服务器都难上加难。而利用比特币这种匿名的网络货币(这是唯一可选的支付方式),追踪资金流向更加复杂。那么这一切对于普通用户来说又意味着什么呢?犯罪分子很可能在很长一段时间内都会利用这种恶意软件来实施犯罪活动。此外,这种恶意软件会一直在地下论坛中出售,在全球各地大肆泛滥。这也是为什么我们预计恶意软件会感染其他地区,尤其是过往曾是勒索软件散播”乐园”的美国和英国等地。 洋葱锁定程序从技术方面来说是一种非常复杂的恶意软件,它运行时悄无声息,直到用户的全部文件被加密,并通过TOR将密钥相关数据上传到自己的控制服务器后,才会向用户显示警告并进行72小时倒计时。用户须支付0.2-0.5个比特币(约合120-350美元)才能获得解密密钥。如果用户未在72小时内付款,则密钥(连同所有加密文件)被视为丢失。犯罪分子会”好心”向用户提供有关购买比特币的提示,并在用户必须从其他计算机购买密钥时提供相应指导信息。 “将命令和控制服务器隐藏在匿名的TOR网络中,使得追查犯罪分子的工作变得复杂,要利用非正统的加密方案来解密文件是不可能的,就算拦截木马与其幕后服务器之间的流量也毫无帮助。所以说这是一种危险性极高的威胁,也是目前技术方面最先进的加密手段。”卡巴斯基实验室高级恶意软件分析员Fedor Sinitsyn说道。 目前,这种恶意软件的散布利用的是传统犯罪手段:网页。它利用网页上的工具包来启动木马下载,此木马下载到用户计算机后,接着会下载洋葱加密程序。要了解更详细的分析,请访问Securelist.com。 避免感染洋葱锁定程序和其他类型的加密勒索软件 为了防止计算机被感染,请定期更新计算机上的关键软件组件:操作系统、浏览器和所有插件(媒体播放器、Java、PDF阅读器等)。此外,还建议使用强大的卡巴斯基安全软件解决方案。附带提一下,最新版卡巴斯基安全软件已经部署了专门的技术来应对加密勒索软件。要想在发生任何系统灾难后恢复数据,不管是被勒索软件攻击、数据被盗还是受到”洪水攻击”,定期将数据备份到安全的可移动媒体至关重要。

全新防NSA追踪Blackphone手机一路走来跌宕起伏

被誉为全球首款最安全智能手机在发售短短两天内即告售罄。 Silent Circle所发布的基于安卓系统的Blackphone手机能够阻止各类攻击,包括所宣称的最大卖点-防止美国国家安全局(NSA)的监听。 据World Tech Today网站报道,此前,爱德华•斯诺登(Edward Snowden)披露美国国家安全局(NSA)采用大规模本国监控程序来自由监控手机通话与数据传输,这直接催生了Blackphone手机的开发。 Smart Circle所发布的Blackphone手机提供绝对安全保障的同时,限制了其使用性。 Blackphone安全系统的核心技术是基于安卓的PrivatOS平台以及Silent Phone和Silent Text应用。这些都是带有常规目录服务的加密通信服务。通过致力于研究宽带蜂窝和Wi-Fi连接,为用户提供语音和视频通话,以及无需依靠服务器的短信和数据传送服务。其他手机在进行这些通信过程中,数据更容易被盗。PrivOS平台还包括了精细的权限控制。 侧面载入(Sideloading)可提供Blackphone所需的应用,但会使其他原本安全的设备产生恶意软件漏洞,因此卡巴斯基专家们强烈建议用户在其Blackphone手机内使用mobile AV平台。 Blackphone零售价为629美元,该款手机凭借其出色的性能达到所宣称的严格安全标准。Ars Technica还对Blackphone手机做了初步测评,这有助于提升其安全信誉。Ars Technica给出的评价是:”Blackphone手机的安全程度无人能及。” 从初步的用户反馈来看,Blackphone确实称得上是一部安全的手机,但日常的使用情况又如何呢? 据Ars Technica报道,由于手机受制于电话网络,而每个地区的网络顺畅程度又各不相同,因此会对通话和视频通话质量造成影响。并且,Google生态系统无法在设备上使用(包括Google Play及内含所有关联应用-造成用户不得不侧面载入第三方应用;但Ars Technica注意到亚马逊商店应用在设备上运行良好。 但可提供的侧面载入功能会使原本安全的设备产生恶意软件漏洞,因此卡巴斯基专家们强烈建议用户在其Blackphone手机内使用mobile AV平台,如果你选择放弃使用售价达600多美元并能保护移动通信隐私的手机,则另当别论。 Smart Circle发布的Blackphone手机宣称能够防止美国国家安全局窃取你的数据。 最后,Ars Technica总结道Blackphone手机非常适合于那些高度重视隐私的个人和公司,此外还需掌握一定的专业技术,一般的普通用户我们并不太推荐使用。因此,如决定使用Blackphone手机的用户应预备一些安全措施,一旦开始添加第三方应用就需要进一步提升Blackphone的安全等级。

我们能从金额高达十亿美元的巴西Boleto诈骗中学到什么?

如果你是我们博客的忠实读者,并拥有超强的记忆力(或者你只是个巴西人),应该会对”Boleto”这个词有所印象。我们最早开始注意到有关于Boleto(巴西一种流行的支付方式)的诈骗行为是在今年2月份举办的卡巴斯基实验室年度安全分析员峰会上。在RSA出版的研究报告提到了Boleto后,又频繁地出现在各种新闻报道中。并据报道,2012年有关Boleto的诈骗活动造成了巴西这个南美洲人口最多的国家高达37.5亿美元的损失。 Boleto是一种由银行和企业发行的特殊发票凭证,不仅可用于支付账单,还能广泛地用于一些商品和服务的付款。少量黑客技术加上大量的社交工程手段,巴西网络犯罪分子制作出了可进行打印和使用的有效但却是伪造的Boleto,并通过仿制受害人的Boleto,将其银行账户内的资金全部转出。 37.5亿美元损失的数字颇有争议。据我们在Threatpost.com网站的朋友称,巴西银行联合会FEBRABAN估计Boleto有关的诈骗所造成的损失仅为7亿美元。但在私下的谈话中,他透露了这一数字可能达到11亿美元。无论是是7亿还是11亿,有一点毋庸置疑,Boleto对巴西造成了巨额的损失,而卡巴斯基安全专家Fabio Assolini和Santiago Pontiroli在今年早些时候的SAS中注意到了这点。 巴西的骄傲不仅仅是战绩辉煌的国家足球队,其发达的经济和银行系统也同样被津津乐道。 卡巴斯基全球研究与分析团队另一名成员Dimitry Bestuzhev向卡巴斯基日报说道,巴西不仅成为了南美洲的经济强国,其地下网络犯罪分子队伍也日益壮大。 “巴西的骄傲不仅仅是战绩辉煌的国家足球队,其发达的经济和银行系统也同样被津津乐道。在巴西世界杯举办期间的一次访谈中,Bestuzhev如是说。”不幸的是,巴西还是网络犯罪的温床。”Bestuzhev继续解释说,有大量网络犯罪分子在巴西部署了所谓的”银行内线”。”银行内线”只是银行木马病毒或恶意软件的代名词,使用恶意代码设计旨在从巴西或巴西附近地区的受害人身上盗取财务数据。 “使巴西造成如此损失的是一种流行的替代性支付系统,叫做’Boleto’,”他解释道。”Boleto在巴西非常流行,因为使用Boleto付款通常可以获得额外的折扣。 Bestuzhev注意到这些欺诈行为并不是最近才出现的–引用Assolini和Pontirolli的SAS简报–并同时对RSA的数字提出质疑,表示他们的损失估计有些”过于夸大”。 犯罪分子所使用的方法其实并不复杂,Bestuzhev解释道。就是当用户在打印自己的Boleto凭证时,隐藏在受害人电脑内的木马病毒篡改了Boleto的条形码,因此打印出的Boleto相当有一张废纸,毫无用处。而犯罪分子则使用偷来的Boleto条形码乘机将受害人账户内的资金一扫而空。 “普通用户必须使用一款强大的反恶意软件保护系统,以保护自己的计算机免受感染,”Bestuzhev说道。”然而,诸如卡巴斯基Safe Money这样更有效的技术甚至能够在计算机受感染的情况下,保护Boleto不被盗取。” 换句话说,即时刻保持警觉;严格遵循你在这里和其他地方读到的安全建议。如需保护自己免遭Boleto诈骗的危害,运行一款强大的反病毒产品必不可少。将于9月在西雅图举行的病毒公报会议上,Assolini将提供有关Boleto诈骗的全新信息。相关的博客内容将在Securelist网站(我们重新进行了漂亮的设计)上发布。 推特翻译:我们的Safe Money技术能够有效防御篡改Boleto的木马病毒和恶意BHO扩展。

一周要闻:NoIP事件以及Miniduke重现江湖

在本周报道的新闻中,微软对NoIP采取了法律行动。据其申诉, NoIP是一家主机托管公司,通过允许网络犯罪分子使用其服务进行恶意攻击而获利。此外,Miniduke高级持续威胁攻击在本周又重现江湖。 NoIP NoIP是一家动态域名服务(DNS)供应商,所提供服务与其他DNS供应商相差无几,即通过向用户出售网站域名而盈利。但区别在于,简单地说,就是允许管理员更容易地更新域名和IP地址。但这一功能却成为了网络犯罪分子牟利工具,他们借此来躲避反病毒引擎检测,因为这会对恶意软件寄生网站的IP地址进行阻止,并且还能充当控制僵尸网络的服务器。不幸的是,本次事件还对使用动态DNS和NoIP的大量非恶意公司造成影响。 微软指责No-IP的基础设施被网络犯罪分子频繁地利用,通过使用Bladabindi(NJrat)和Jenxcus(NJw0rm)系列恶意软件感染无辜受害者。 微软”指责No-IP的基础设施被网络犯罪分子频繁地利用,通过使用Bladabindi(NJrat)和Jenxcus(NJw0rm)系列恶意病毒感染无辜受害者。”NoIP则反诉微软支持了恶意软件的运行。 作为打击恶意软件运行的手段之一,微软从有关当局获得临时禁令,被授权扣押在恶意运行中使用的域名和”沉洞”域名,从而使流向微软控制域名的流量改道。我们之前曾在这里讨论过”沉洞”,它是一种用于打击僵尸网络运行和其他恶意软件公司的广泛认可的方法,且使用方法多样。 据Threatpost网站报道,研究者今后将经常性地与主机托管供应商合作,将来自恶意域名的流量转至由研究者或执法机构控制的域名,这将有助于中断这些恶意域名的正常运行。问题是,NoPI宣称在整个事件过程中微软从未它有过接触。 这一决定在安全社区内引起了不小的骚动。其中一个争论的理由相当有代表性:是谁(不是执法机构,而是有关当局)赋予了微软这样一家私人公司权力,仅仅凭借自己的一套客观价值,就能对另一家个人公司或集团执行强制措施。其实,像微软这样IT巨头完全是为了自己的一己私利而在互联网上任意妄为。不走运的是,本次事件激起了千层浪,抱怨之声不绝于耳,起因是微软在执行扣押No-IP域名过程中,不小心将一些合法的网站一并关闭。 你可以从这里阅读卡巴斯基实验室全球研究和分析团队主管Costin Raiu对本次事件的分析。 Miniduke重现江湖 Miniduke高级持续威胁(APT)活动重现江湖。卡巴斯基实验室的研究人员于去年2月份首先发现了这一恶意软件间谍活动。当时,主要被部署用于对欧洲的一些政府机构进行间谍活动。Miniduke在首次被发现时,即察觉到其与众不同之处。原因很多,比如使用推特对恶意软件进行部分的通讯,以及发送用于升级恶意软件的可执行文件到受感染设备,并隐藏于.gif文件中。 第二波攻击-查看星期四的安全清单文章-显示这一攻击行动经过一整年的中断后,无论从影响范围还是复杂程度而言都有所提高。此外,该攻击行动将目标对准了政府、军队以及能源组织,还从网上毒贩(尤其是出售荷尔蒙制剂和类固醇)那儿窃取资料。此外,一旦此次攻击行动部署的恶意软件成功从目标处窃取信息,随即将这些信息分成各个小部分后进行散播,使研究者想弄清这一攻击行动的难度加大。 作为Miniduke的升级版,Cosmicduke拥有了全新的工具,能够更加有效地窃取更多的信息。你可以阅读来自于Threatpost网站的完整新闻报道。 在#本周的安全新闻中,@微软继续对#NoIP的域名进行扣押以及#Miniduke #APT重现江湖:

5种关于反病毒软件的谬论

每一个人都希望自己的计算机和移动设备运行平稳,但目前有存在大量的谬论是有关威胁和保护设备免受威胁的最佳方式。这里我们精心挑选出了5个流传最广的关于反病毒保护的谬论,并分别还原事实的真相。 谬论1:只有Windows系统存在病毒 真相:由于Windows系统长期以来占据市场主导地位,因此攻击者往往都针对这些平台花大量时间设计病毒,因为这会使他们成功的概率更高。随着苹果设备在私人以及公共领域都获得了越来越多的关注,因此攻击者也逐步加大对苹果产品的攻击。目前,移动恶意软件正成为攻击者的 “前沿新阵地”,他们将主导市场的安卓平台安卓首选目标,当然也包括了iOS设备。这意味着,无论你的计算机或移动设备使用Windows还是iOS系统,安装一款强大的反病毒程序都是必不可少的。 有关恶意软件和反病毒程序的5个谬论及背后的真相 谬论2:进程错误或计算机性能差意味着我的计算机中病毒了 Windows操作系统长期占据市场主导地位。但攻击者已逐步加大对苹果产品的攻击,而目前移动恶意软件正成为攻击者的”前沿新阵地”。 真相:尽管这可能意味着你的计算机确实中了病毒,但是也很可能是因为太多后台进程同时运行所造成。对于计算机,应通过以下方式对系统进行”瘦身”:卸载不用的程序并升级经常使用的程序;清除浏览器内的缓存;以及对硬盘进行碎片整理或运行磁盘工具功能(针对苹果电脑)。对于移动设备,首先删除不使用的应用,并通过关闭自动升级、推送通知以及应用内的定位服务来尽量延长电池寿命,虽然这些服务通常合乎标准但却没什么实际的作用。 谬论3:从网上所下载的免费程序能够满足你所有的反病毒软件保护需求 真相:这些免费程序事实上只能提供一些基本的保护,但想要免遭网络钓鱼的攻击(会盗取你的个人和财务资料),你需要的是一款网络浏览器安全程序。无论你选择使用哪一款软件程序,只需具备一些基本的网络常识并在上网冲浪时保持谨慎,则完全可以免于遭受网络欺诈,以及直接的社交工程攻击。 谬论4:病毒是由反病毒软件公司编写的 错误:这一阴谋论可能是来自一些网络安全公司为了测试现有保护平台的极限能力而创造了一些病毒,但事实的真相是网络攻击者才是创造最新恶意软件的元凶,他们不遗余力地企图领先反病毒程序一步,设法窃取用户的敏感数据和金钱。 事实与虚构-反病毒软件与恶意软件 谬论5:计算机病毒会感染人类 真相:这是一个长久以来一直存在的阴谋论:即相信计算机病毒会感染人类。看过《独立日》电影的朋友应该还记得,外星人的飞船是被人类所编写的病毒打败的-但这确实是有科学依据的。

网络犯罪分子的超强”吸金”能力

每当读到有关每天会有成百上千个病毒问世的新闻时,你可能会很好奇,究竟谁会投入这么多精力来开发这种恶意软件,开发的原因到底是什么。答案其实很简单 - 开发人员是犯罪分子,他们之所以开发这些病毒是因为能通过它来骗钱很多很多钱。我们的研究人员发现,一台互联网服务器目前正用于控制针对欧洲大型银行用户的攻击。此服务器中的日志文件表明,仅一周时间,犯罪分子就从银行客户手中盗取了50多万欧元,并且这些资金全部转移到自己控制的帐户中。   一周时间内,利用木马病毒从一家银行盗取的金额就高达50万欧元。 在上世纪,要抢劫到这样的数额必须准备好几辆车、配备武器,还需要一群胆大包天的家伙,因为这种”生意”的风险相当高。而在21世纪的今天,要抢劫这样的数额只需要银行木马,若干台在更改受害人转账时用于传播和控制木马的服务器,再加上一伙不是那么大胆的犯罪分子,他们通常被称为”钱骡”或”放骡人”,在收到偷来的赃款后迅速转移到自己的账户并立即提现。 犯罪分子的目标并不是银行本身,而是通过在银行客户的计算机上安装木马来分别劫持客户帐户。罪犯可能会利用钓鱼软件和黑客程序来达到这一目的。 控制”钱骡”实际上是行动中最容易出问题的环节,这也是为什么如今的抢劫行动仍是以有组织的犯罪团伙形式为主。我们把这种有针对性的抢劫称为Luuuk,它涉及一些非常狡猾的钱骡控制伎俩。您可以前往专业的Securelist博客更深入地了解相关内容。值得一提的是,卡巴斯基安全软件和卡巴斯基PURE中均含有一种叫做”Safe Money“技术,它集多种防御措施于一体,能拦截大多数银行木马,防止最终用户遭受此类盗窃行为。

观看世界杯或下载令人讨厌的广告软件?

随着巴西世界杯足球赛的持续升温,全世界球迷都争相目睹全球最优秀球员们的精彩表现。但这时正不巧,就在你十分想看的那场比赛即将开打之时,而你却发现周围没有电视机,你可能会去网上找个网站,在工作时间一边工作一边用另一个浏览器观看精彩的比赛。 但我想预先给你个忠告–根据巴斯基实验室研究员Dmirtry Bestuzhev所述,许多宣称提供世界杯比赛流媒体服务的网站,只要你点击进去,这些网站将会危害你的系统并盗取你的信用卡信息。 唯一安全观看世界杯比赛的方法事实上只有两种:在电视机上观看或通过已认证的有线服务供应商观看 这些恶意程序通常都会要求你下载可能是它们专有视频播放器插件的驱动;下载安装完成后,它们可能会提供比赛视频,当然不提供任何比赛视频的情况也不在少数。所下载的插件内起码会包含一些广告软件,这些软件会时刻监视你在网上的一举一动,不断向你发送广告的同时耗尽你系统的资源,当然这已经算是最好的情况了。 而其他的一些恶意程序会告诉用户,如果想随时观看比赛的话,就必须下载它们的程序–并提供信用卡信息。如果说你对之前的广告软件毫不在乎的话,我想这个会让你引起警惕。此类网站全部为虚假网站,它们的唯一目的就是从你身上偷钱。 请勿相信任何宣称提供世界杯流动媒体服务的广告。 唯一安全观看世界杯比赛的方法事实上只有两种:在电视机上观看或通过已认证的有线服务供应商(在美国有ESPN.com)登陆后观看。美国用户可以在Univision.com上免费观看比赛。 任何其他认为会提供世界杯流媒体服务的网站非常有可能含有有害软件。 世界杯流媒体服务事实上可能只是一种恶意软件。 当然,在我们身边不可能只有存在与世界杯有关的网络诈骗,网络犯罪分子时刻关注全球重要事件动向,在巴西举办的世界杯当然不可能错过,这可是那些”窃贼”大发横财的好机会。对于所有网上与世界杯足球赛有关的促销活动、程序以及广告,网络用户需要时刻保持警觉,不可轻易相信。

你的iPhone手机是否已被黑客入侵?

众所周知,超过98%的智能手机恶意软件将安卓系统作为攻击目标。安卓系统之所以成为众矢之的原因在于:其竞争对手苹果iOS系统的用户只能从管理严格的应用商店下载IOS应用,而苹果恰恰在防止恶意软件进入其应用商店方面功能强大。然而,苹果仅仅将注意力放在那些缺乏确切目标,旨在感染所有用户的大众化恶意软件上。如果有人想对你个人进行暗中监控,则情况完全不同。就算你不是什么犯罪分子、有影响力的商业人士又或是什么政治活动家,一样会成为他人监视的目标。可能你会因为一些其他的标准而被列入”可疑”或”引起关注”的名单中,接下来我们将就这一问题展开讨论。因此,某些间谍组织也很可能会感染你的iPhone手机。 在一些国家,其各个政府机构有能力渗透到任何一台被认定可疑的计算机或智能手机,以达到”监控”的目的或收集证据。这些机构通常都是使用所谓的”合法”间谍软件以实现监控。有一些跨国公司专门开发和销售此类软件。在这些公司中,有一家开意大利公司HackingTeam发了远程控制系统(RCS)软件aka Galileo。卡巴斯基实验室长期监控RCS基础设施,并在此前恰巧碰到了来自RCS的Windows恶意软件”植入体”( implants)。从恶意文件中发现众多疑点显示在智能手机上的确存在”植入体”,但我们并没有机会在互联网上直接捕获它。就在最近,卡巴斯基实验室在与来自公民实验室(Citizen Lab)的Marquis-Boire合作研究中发现了恶意软件的最新变异体。这些全新的病毒样本事实上是智能手机木马,能够同时在安卓和iOS系统上运行。 iOS恶意软件 在近期RCS研究中的这一重要新发现是一种用于感染iPhone手机的方法。其感染途径每次都不尽相同,可能会包括社交工程欺诈、漏洞利用以及鱼叉式网络钓鱼等。恶意软件通过潜伏在计算机内,偷偷地开展一些典型的间谍活动,例如按键记录以及在受害人将智能手机联网同步iTunes后进行间谍活动。如果间谍软件操作者想要感染一部智能手机,其内在的木马病毒会偷偷地对联网的iPhone手机进行越狱,随后再安装手机间谍部件。这时候,iPhone会自动重启,而这显然说明你的手机哪里出问题了。每一款恶意软件都相当”狡猾”,它会使用多个逻辑触发以小心进行侦查,例如只有在靠近攻击者特定Wi-Fi网络或在手机充电时才会进行间谍活动。它并不会过于耗电,因为这可能让受害人产生警觉,意识到手机可能出什么问题。 #卡巴斯基实验室发现#间谍#木马病毒,能够同时在#安卓和#IOS系统上运行。 RCS手机木马能够开展你所能想到的各种间谍活动,包括位置报告、拍照以及对短信、WhatsApp和其他即时通讯软件进行监控,当然还有窃取联系人信息等其他间谍行为。 当然,攻击者要想入侵一部特定的iPhone手机,依然还存在一些限制性条件。首先,将入侵的iPhone手机必须运行”能够越狱”的iOS系统版本。对于目前大多数的版本来说,已知的越狱方法都不适用,但一些老的版本则存在漏洞。其次,还需要 iPhone手机在越狱时无密码锁定。然而,同时符合上述两个条件的手机并不在少数,而间谍软件操作者无疑拥有大量在iOS上运行的木马病毒。 受害人 在卡巴斯基实验室和公民实验室合作开展的最新调查显示,受害人名单中包括了一些激进分子和人权拥护者,当然还少不了新闻记者和政界人士。然而,对于某些受害人,其成为目标的原因尚不明了。最明显的一个例子是一名英国普通的中学历史老师也赫然出现在受害人名单之中。 绝大多数已发现的RCS控制服务器架设在美国、哈萨克斯坦、厄瓜多尔、英国以及加拿大。卡巴斯基实验室首席安全研究员Sergey Golovanov这样说道:”在某一国家架设服务器并不表示说这些服务器的使用者是所在国的执法机构。这只能说明RCS使用者将服务器部署在他们能控制的地区—这些地区发生越境法律问题的风险很小且服务器被没收的概率也很低。 保护 为避免感染风险,卡巴斯基实验室的专家们给出了如下建议:第一,不要手机越狱;第二,经常地将你设备上的iOS系统升级到最新版本。此外,在计算机上运行一款强大的安全软件同样能够极大地降低计算机受病毒感染的风险。

一周要闻:OpenSSL再曝漏洞

本周值得关注的新闻有:僵尸网络被联合行动捣毁;已遭破坏的OpenSSL加密库再曝漏洞;Google海量数据存储加密方面的新闻让人颇受鼓舞,但仍问题重重;昨天是爱德华•斯诺登事件曝光一周年。 一周#安全和#隐私要闻,作者@TheBrianDonohue。 Gameover僵尸网络 美国和欧洲执法机构联手捣毁了Gameover僵尸网络。僵尸网络是一种被恶意软件感染的计算机所构成的网络,计算机被感染后即成为帮凶,加入传播大军,在用户毫不知情的情况被利用于违法目的。Gameover用于散布Zeus宙斯木马,一旦植入此病毒后,即可实施网络欺诈计划,其中涉及窃取被感染用户计算机的财务凭证,将用户账户中的资金转入黑客所控制的账户。此外,Gameover最近还被用于散布臭名昭著的Cryptolocker勒索软件。 捣毁僵尸网络要求执法机构(有时会与私人公司联手行动)夺取对分发恶意软件的服务器的控制权,此服务器被称为命令控制服务器(C&C)。接管僵尸网络的行为就其本质来说,有时也被称为”sinkholing”技术。许多散布很广的僵尸网络都是通过这种方式捣毁的。针对这种情况,犯罪分子逐渐迁移到更有弹性的对等僵尸网络基础架构。此举实质上意味着命令控制服务器会在僵尸网络本身未知数量的机器上共享。 简言之,捣毁对等僵尸网络需要执法机构监视并了解其通信基础架构。一旦掌握了僵尸网络的通信方式,即可以着手复制其结构并控制僵尸网络。夺取了僵尸网络的控制权后,即能使僵尸网络停止运行。 要了解Gameover被捣毁所造成影响的精彩解读,请阅读卡巴斯基实验室全球研究与分析团队成员David Emm的讲解。 OpenSSL 新发现的OpenSSL漏洞非常严重,但严重程度和波及的系统范围略逊于Heartbleed。 Heartleed漏洞带来的伤痛还记忆犹新,昨天新闻中又曝出OpenSSL存在另一个严重漏洞。OpenSSL是互联网上大量用户使用的加密实施服务,这次新发现的OpenSSL漏洞非常严重,但严重程度和波及的系统范围略逊于Heartbleed。加密是指一种数学算法,用于保护用户在网上和计算机上所执行的操作、交谈和存储内容的安全。如果您觉得这种解释过于简单,请阅读哈希算法说明,更好地了解其工作原理。不管怎样,新漏洞是可通过远程方式加以利用,这意味着黑客在舒适的家里(或者连到互联网的任何位置)就能够利用此漏洞向不知情的用户发起攻击。黑客成功利用此漏洞入侵后,可拦截被入侵客户端与服务器之间的流量并进行解密。 利用此漏洞执行的攻击并不都这么简单(事实上,黑客很可能并不是在自己舒适的家里发起攻击的,但我想说明的是”可通过远程方式攻击”这个术语)。攻击者需要相对其目标处于”中间人”位置。顾名思义,中间人攻击是指:攻击者自身或利用工具插入用户和重要资源(例如,银行网站或电子邮件账户)之间。最简单的做法是监视流出不安全Wi-Fi网络的流量,这类Wi-Fi网络有许多是我们所有人几乎每天都会用到的。另外还有数十种其他方法可用来执行中间人攻击,您可以通过上面的链接了解相关信息。 发现此漏洞代码段的研究人员表示,此漏洞似乎从1998年开始就一直存在,几乎从未更改过。 端到端 昨天,Google发布了Gmail流量中在传输中被加密(例如,离开Google系统后)的流量所占比例。部分数据相当不错。搜索巨头Google发现,从Gmail发出的电子邮件中,大约69%经过加密,而Gmail收到的邮件中经过加密的占48%。这一比例相对于前几年已经有了大幅上升。 Google会对其服务器上的所有数据进行加密,所以上述研究结果反映的是其他服务对Gmail通信离开Google控制范围后的加密情况。在这里我有意轻描谈写,因为我们计划专门写一系列文章,具体探讨全球哪些服务在改进加密传输中的数据,哪些服务对此无动于衷。请继续关注我们接下来几周的博客。 Google还宣布开发出了一种工具,将用于加密所有流出Chrome浏览器的数据,这应该能帮助解决上面谈到的部分问题。我们对此工具的工作方式充满好奇。同样,请继续关注我们的博客,未来我们将就此发布相关文章。 “重置网络”行动 我们曾在每月安全新闻播客中提到过,6月5日是重置网络行动日。此项行动设定为斯诺登首次曝光美国国安局大规模监控项目周年纪念日并不是巧合,此行动的目的就是为了通过向日常网络用户提供高强度的安全和隐私工具,抵制政府监控行为。在此用户可以找到一些使用方便、几乎适用于任何操作系统的工具。请尽情享用这些工具,使用心得可以通过下面的评论部分与我们分享。

Gameover Zeus网络僵尸病毒被捣毁 - 现在用户该怎样做?

被FBI称之为”史上最复杂、最具破坏性的网络僵尸病毒”被曝光并捣毁后,高级安全研究人员David Emm向我们解释了到底GameOver Zeus病毒对用户意味着什么,用户该如何进行自我保护。 到底什么是GameOver Zeus?工作原理是什么? 本周实施GameOver Zeus网络僵尸病毒攻击的网络犯罪分子采用的是两种恶意程序:ZeuS和Cryptolocker。ZeuS(宙斯)是一种木马病毒,能在用户计算机中搜索个人信息,例如密码和财务数据。只要点击垃圾邮件中的附件,此类病毒即会下载到用户的Windows电脑。被感染计算机接着会发送垃圾电子邮件,以进一步引诱其他用户上当,这种病毒在互联网上飞速传播。 这些类型的威胁并不罕见 - 在我们的病毒实验室中,每天都会看到315,000种独特的病毒样本,包括网银木马、勒索软件和其他多种类型的恶意软件。对于像ZeuS这样的常见网银木马,实际上存在成百上千种变体。会有这么多变体出现的其中一个原因是网络犯罪分子可以利用各种变体来尝试控制入侵的计算机,想控制多长时间就控制多长时间。 为什么用户有”两周”时间可采取预防措施防止此类恶毒软件入侵? 之所以会有两周的缓冲时间,是因为警方设法接管了控制僵尸病毒的命令控制(C&C)服务器,并暂时禁用了此服务器。所以,警方才有机会向用户发出警告,并给用户留出一段防御此类恶意软件入侵的时间;在此时间后,网络犯罪分子会开始使用新的命令控制服务器 - 预计在英国这一缓冲时间大约为两周。 用户必须确保定期备份数据。这对于防止勒索软件入侵尤为重要。如果进行了备份,即便只是手动将文件拖至U盘,也能避免在不幸感染CryptoLocke病毒后被迫支付勒索金。 现在该怎么做? 用户不仅应该保护自己的计算机,还应该确保定期备份数据。这对于防止勒索软件入侵尤为重要。如果进行了备份,即便只是手动将文件拖至U盘,也能避免在不幸感染CryptoLocke病毒后被迫支付勒索金。 为了保护您的财务信息安全(避免被Zeus木马和其他旨在窃取资金的恶意软件盗用),请务必遵循以下简单的规则: 请勿点击不明发件人发送的链接(通过电子邮件或社交媒体网络); 请勿在设备上下载、打开和保存未知文件; 请勿使用开放非安全(公共)Wi-Fi网络进行任何交易。请使用OpenVPN流量加密; 在网页上输入任何凭证或保密信息之前,务必仔细检查网页 - 钓鱼网站会故意设计得与真正网站极为类似; 只使用带”https”前缀的网站;这类网站比前缀为”http”的网站更安全; 确保安装了最新版本的反病毒防御软件; 如果目前没有安装任何安全软件,可以从在线商店进行下载; 使用手机/平板设备进行任何交易时,也务必记得使用同样的防御软件。 @ Emm_David解释了GameOver

世界杯期间,如何加强防御恶意软件攻击

世界杯开幕只剩两周的时间了,与自然灾难、社会变革、体育赛事等所有国际性事件一样—在世界杯上各支球队奋力争夺大力神杯的同时,网络黑客也会层出不穷。 这类威胁不仅仅是销售假球票和假彩票这样常见的低水平诈骗,而是又玩起了老把戏,即发布钓鱼网站和攻击,以便使用恶意程序感染系统。其中许多网站的外观看上去很像合法网页,甚至会使用以”https”开头的URL,https标记一般表示这是值得信任的安全网站,可以共享个人数据和财务数据。有些网站甚至提供免费获取门票的机会,并向用户显示包括实际住址在内的用户个人资料(这些是从其他网站盗取的),证明自己是合法网站。其中有一个网站提供所谓的可下载门票,但实际上这是一种恶意形式的银行木马,这种木马病毒能窃取与用户网银数据相关的敏感数据。 卡巴斯基实验室指南:世界杯期间免受恶意软件攻击 1. 认真阅读要访问的站点,确保站点是安全的,即便是之前定期访问的站点也不例外。最厉害的山寨钓鱼网站的相似程度超乎你的想像。 2.请注意,以”https”开头的URL不一定是安全网站,黑客们知道怎样搞定这样的URL。 3.不要信任来自不明发件人的电子邮件,对于这类电子邮件,除非能够验证其来源的真实性,否则切勿点击邮件中的链接或下载附件。 4.运行的系统务必装有最新的反恶意软件程序。 一家国际足联相关的钓鱼网站提供所谓的可下载门票,实际上这是一种恶意形式的银行木马。 虽然你无法掌控下个月会发生什么,但你的计算机能否在世界杯期间不受攻击则完全取决于你。

勒索恶意软件瞄准苹果用户

新出现的勒索软件开始瞄准苹果用户,目前受害者主要是澳大利亚苹果用户。据称,被感染用户会在主屏幕上收到一条警告消息,要求用户支付50和100美元来解锁受影响设备。 据报道,最早发现这类感染的用户称,是自己的iOS和OSX设备发出”手机丢失”的提示音,这是通过”查找我的iPhone”功能发出的报警声。查看手机屏幕时,用户看到屏幕上显示一条消息:”手机被Oleg Pliss所黑。若要解锁,请通过Moneypack/Ukash/PaySafeCard向helplock@gmx.com帐户转帐100美元/欧元,已发送代码2618911226。 黑客是怎样设法锁定受影响设备的尚不清楚,但大家一致认为黑客是窃取了对用户iCloud帐户的访问权,进而劫持了手机本身。到底谁是Oleg Pliss,是不是真实存在这个人尚不可知。 勒索软件属于一类恶意软件,它能锁定被感染设备,要求用户支付费用后方可解锁。在某些情况下,恶意软件只是让计算机看上去不能用,或者是在用户与其应用之间设置了某类锁定程序。而另一些情况则与CryptoLocker类似,这类勒索软件会加密被感染设备上的重要文件,并要求付费获取专用密钥,才能对这些文件解锁。 根据勒索软件的要求付费通常被视为是不明智的举动,因为用户实际上根本不知道是否付费后获得的密钥能够用于解密。这也是我们通常建议定期创建数据备份的其中一个原因。如果最近在外部硬盘或某些云服务上备份过所有数据,则只需回滚计算机或者重新安装操作系统就能解决问题。 新出现的#勒索#恶意软件瞄准#苹果用户 据《悉尼先驱晨报》报道,昆士兰、新南威尔士、西澳大利亚、南澳大利亚、维多利亚地区的iPhone用户成为此次事件的受害者,另有几则报道称,新西兰用户也受到了类似攻击。到目前为止,美国和欧洲的用户似乎暂未受影响,但如果此问题扩散到其他大洲,我们也绝不会感到意外。 Threatpost.com网站的Chris Brook表示,最近针对Adobe、eBay及其他目标的攻击导致加密的用户密码遭到泄露。如果这些密码以某种方式得到解密,并且用户在多个服务上使用了同样的密码,则很容易在强力攻击中被用于访问iCloud等在线帐户。显然,受影响的用户是将相同密码用于了多个帐户。这些攻击之间是否相关尚不清楚,但之前,因密码泄露而导致的数据外泄(包括已知和未知的)都造成了其他地方的在线帐户泄露。 如果攻击依赖于iCloud帐户访问权,则iCloud服务的双重认证功能可提供相当可靠的防御。事实上,现在可能是时候为iCloud帐户启用双重认证了。你可以点击这里看一小段视频屏,其中清楚显示了该如何开始设置流程(我们的视频只包含实际启用双重认证之前的内容,但其余部分我想你们能搞定)。

CryptoLocker安卓版?

还记得我们曾提到过CryptoLocker勒索软件非常危险的新闻吗?现在,勒索软件出现一种全新变体将安卓用户锁定为目标(起码会让人联想到CryptoLocker)。众所周知,CryptoLocker是对用户的关键计算机文件进行加密,然后以解密为条件用户向勒索钱财。考虑到安卓所占的市场份额,还有以安卓设备为目标的恶意程序样本的广泛传播,出现新的变体并不令人意外。 勒索软件是黑客用来锁定被感染计算机,并以此为条件向用户勒索钱财的一类恶意软件。在某些情况下,恶意软件只是让计算机无法使用。但另一些恶意软件,比如CryptoLocker,是加密被感染计算机上的重要文件,然后要求用户缴费来获取解密这些文件的专用密钥。CryptoLocker还算诚实,对自己的意图直言不讳;但还有许多勒索软件则是假冒执法机构向用户发出警告。警告中通常声称在用户计算机上发现了某类非法内容,必须缴纳罚款才能解锁计算机。 对于这种情况,其实是负责不同种类勒索软件的一组犯罪分子(称为Reveton)发布类似于CryptoLocker的恶意软件来感染安卓移动设备。 这种勒索软件到底在多大程度上与令人厌恶的CryptoLocker(以台式机为目标)有关系尚不清楚,但不管制作者是谁,显然是在玩CryptoLocker的旧把戏,这是属于犯罪性质的某类营销骗局。 为”Kafeine”公司工作的一位知名安全研究人员发现了这种新型恶意软件,并在自己的博客Malware don’t need Coffee中记录了此恶意软件的信息。他发现,安卓设备用户连到感染了此恶意软件的域后,即会被重定向到色情站点,该站点中部署了一些社交工程,目的是骗用户进入包含此恶意软件的应用文件。 但好消息是:除非用户实际上亲自安装了此恶意软件,否则不会被感染,这就是为什么我们推荐只安装来自合法Google Play商店的应用。 “锁定程序非常有效,”Kafeine在此恶意软件的说明中写道。”用户可以在主屏幕上继续操作,但所有操作都失效。无论是启动浏览器、调用应用还是执行”列出活动任务”,都会弹出锁定程序。” 这种恶意软件的应用文件伪装成一个色情应用,用户需要下载才会被感染。如果用户启动此应用,随即会显示一个警告屏幕,通知用户被控在手机上浏览或传播色情内容。 此消息还会通知用户,须通过MoneyPak支付300美元的罚款,否则可能会面临5到11年的监禁。 Reveton一伙发布的工具包版本具有多种变体,受害用户遍及30多个国家,包括美国、英国、法国、德国、澳大利亚和西班牙。 这种勒索软件到底在多大程度上与令人厌恶的以台式机为目标的CryptoLocker有关系尚不清楚,但不管制作者是谁,显然是在玩CryptoLocker的旧把戏,这是属于犯罪性质的某类营销骗局。这个情况着实让人感兴趣,因为从中可以看出网络犯罪分子是如何花样百出,利用合法的商业做法来获取最大利润的,当然这得改天再谈了。

网络诈骗应对与举报方法

我们花费了大量的时间来讨论网上的各种威胁,并给出了如何避免成为网络诈骗目标的建议。今天,我想简要谈谈发现网络威胁后应对的最佳方式,网上有大量机构提供此类服务,致力于打造安全的网络环境。在某些情况下,所有这些组织唯一需要用户做的就是向他们举报信息。 网络钓鱼 网络钓鱼是一种社交工程欺诈,即攻击者尝试欺骗用户向他们传递具有潜在价值的信息。其中最流行的一种网络钓鱼攻击是通过电子邮件进行的。攻击者伪造电子邮件,让收件人信任邮件是可信源发送的。电子邮件可能声称来自知名银行,警告系统有潜在安全问题,并提供链接,供用户执行密码重置。 无论您是当事人还是知情者,都能向许多机构提交网络威胁信息,共同打造更安全的网络环境。 这种链接通常会使页面转至类似于邮件中所声称银行的网站。用户点击此链接后,要求输入用户名和密码来访问自己的帐户并创建新密码。当然,实际情况是攻击者引诱用户泄露自己的网银凭证(这就是为什么银行警告用户不要点击来路不明的电子邮件中的类似链接,而鼓励用户直接输入银行网址,进入银行网站登录)。 所以,如果曾意识到是网络钓鱼攻击,无论目的是获取支付信息、社交网络凭证还是其他什么信息,您应该怎么做呢?实际上您有很多种选择,但一般来说,应该遵循以下5个步骤: 1.不要点击可疑的链接; 2.一定要将网络钓鱼电子邮件及链接转发给被假冒的公司 3.在某些情况下,可能需要联系执法机构; 4.通知政府消费者保护机构或相关技术公司也是个不错的选择; 5.做完上述事情后,一定要删除欺诈邮件。 假设遇到以PayPal为主题的网络钓鱼活动。您希望联系PayPal专设的反欺诈部门。方法是在您偏好使用的搜索引擎中,输入”PayPal网络钓鱼举报”或”PayPal反欺诈”进行搜索就能找到他们的信息了。 完成上述操作后,应该遵循他们提供的指导信息。如果是一封网络钓鱼电子邮件,则应将其转发给PayPal,然后删除此邮件。在此之后,服务将建议浏览整个交易历史记录,确保金额正确。类似行动可以在许多类似情况下执行。Gmail也有网络钓鱼举报功能,直接内置于图形用户界面中。大多数银行和商家也都设有举报网络钓鱼攻击的功能。 根据情况的严重性,您有可能需要联系执法机构,但此话题我们将在下面的部分中进行讨论。 美国计算机安全应急预备小组(US-CERT)是美国国土安全部旗下的一个网络事故响应部门。该小组有一个专门的电子邮件地址(phishing-report@us-cert.gov),鼓励用户向他们发送网络钓鱼攻击。与此类似,美国国税局也有自己的专用网络钓鱼和反欺诈页面,其中包含市民应该如何应对纳税相关的欺诈行为的信息。这些都是美国特有的机构,但只要稍用点心搜索一下,就能轻松找到其他国家的类似机构。除了政府机构外,像Google和微软这样的技术型企业也有用起来很顺手的页面,用户可以在其中举报有关网络钓鱼和欺诈行为的信息,并允许用户提交网络钓鱼网站的链接。 帐单差异 1.联系收款机构。 2.如果问题得不到解决,请联系银行。 3.在某些情况下,可能需要联系执法机构。 如果在购物时曾遇到以下情况:为自己没有购买过的物品或服务而多付了钱,或者已购买但从未收到货,那么一开始应该联系违规商家。如果收款方不是合法的商家,似乎是欺诈行为,则需要立即联系银行或信用卡提供商,向对方解释有纠纷的交易。 如果收款公司是信誉良好的商家,例如eBay或亚马逊,则可能设有某种类型的纠纷交易页面或解决中心。任何有信誉的网络商品与服务销售商都应该为客户及其他用户提供一定的方法来解决有纠纷的交易。但我敢肯定,在某些情况下,你得多花点功夫,可能还需直接给对方公司打电话。如果你诚实又有耐心,那么就能与最负责任的商家一起解决这些纠纷。在这种情况下,你甚至不必联系银行或信用卡提供商。 但是,如果显然你从来没收到过订购的商品,而且认为等待收货的时间超出正常的范围,或者显而易见有欺诈行为,则应该直接联系银行。不管你的钱是存在哪家银行,也不管你使用的是哪个品牌的信用卡,银行或信用卡公司都有一套系统,专门用于举报欺诈收费。在互联网上搜索到相应的银行或信用卡公司,浏览他们的网站,或者直接打电话给客服部门。 除此之外,像在eBay或亚马逊这类网站,个人可以直接向客户销售商品,因此可能会发现自己被实际上并未入驻这些大商家的卖家所骗。此时,你需要做的是遵循有关如何处理有欺诈行为卖家的具体指导信息进行操作,亚马逊和eBay肯定提供有此类信息。 如果发现欺诈行为直接从您帐户扣款(比如有人拿到你的信用卡号或eBay登录凭证,并不断支付款项),则需要联系执法机构。在此可以找到相应的区域管理机构(至少是美国境内的)。当然,如果在美国境外,请还是搜索”消费者欺诈举报”,我相信你会找到相应的机构。 ConsumerFraudReporting.org是一个庞大的资源,如果发现自己遇到欺诈情况,请访问此网站。在此网站中,您可浏览各种内容,包括如何处理社会保险号被盗,如何应对恶意程序感染,一直到向主要信用机构举报有欺诈行为的商家。 恶意程序感染 首先最重要的一点是,应该始终运行安全软件。强大的反病毒产品能使你的计算机坚不可摧,并有效地防止被恶意程序感染。 但是,假设你的计算机被信息窃取类恶意软件感染。一般来说,应采取以下三个步骤: 1.补救感染; 2.评估暴露程度;

针对安卓系统的网银恶意软件迅速蔓延

金融诈骗仍是恶意软件感染计算机后可能会执行的最危险的一类活动。所谓的“网银木马“能够注入到用户与网银之间的通信,借此操纵用户资金,并使用户付款重定向到犯罪分子的银行帐户。为了应对这一威胁,大多数银行利用了一种叫”双重认证“的方法,此认证通常借助SMS来完成:用户试图在线转帐时,必须使用密码来核准交易,此外还有一个一次性密码(移动交易验证码)会以文本消息形式发送到用户的智能手机。而犯罪分子开发出了一种方案,能够感染用户的计算机和智能手机,同时窃取密码和交易验证码。这种方案最初由Zeus/ZitMo恶意软件duo引入,事实证明实施起来非常有效。最近针对安卓系统的恶意软件Faketoken运用了同样的概念。很不幸,此软件也能成功造成感染。在卡巴斯基实验室最近发布的《2014年一季度IT威胁发展状况》报告中指出,Faketoken在20大移动设备威胁排名(按流行程度)中位列13,占到所有感染事件的4.5%。 Faketoken的感染机制实际上非常令人感兴趣。犯罪分子利用社交工程来感染智能手机。在网银会话中,基于计算机的木马病毒利用网络注入把请求种子植入被感染网页中,在此网页中可下载据称是执行安全交易所必需的安卓应用,但实际上链接会转至Faketoken。移动威胁一旦搭载上用户的智能手机,犯罪分子就能利用基于计算机的木马来访问受害者的银行帐户,Faketoken支持木马收集交易验证码,并将受害者的资金转入自己的帐户。 Faketoken网银恶意软件攻击的手机遍及55个国家,包括德国、英国和美国。#卡巴斯基#报告 根据报告,大多数手机银行威胁都是在俄罗斯设计并最初应用的。在此之后,网络犯罪分子可能会在其他国家进行传播。Faketoken就是这样的一种程序。在2014年第一季度,卡巴斯基实验室检测到的攻击中涉及此威胁的就有55个国家,包括德国、瑞典、法国、意大利、英国和美国。要避免此危险,用户必须利用卡巴斯基安全软件多设备版进行保护,也就是说电脑和安卓智能手机上都要使用专用安全解决方案。

哈希算法创造奇迹

密码哈希函数(通常简称为哈希算法)是一种数学算法,用于将任意一组数据转换成长度固定的一串新字符。不管输入数据的长度是多少,同类型的哈希算法始终输出固定长度的哈希值。 因此,根据网上的SHA-1哈希生成器(SHA-1与MD 5和SHA-2都是部署最广泛的一种计算哈希函数),比如我的名字Brian生成的哈希值为:75c450c3f963befb912ee79f0b63e563652780f0。可能其他”Brian”会告诉你说,Brian这个名字被误拼成”brain”是极为常见的事。实际上,我以前有一张驾照上面的名字就被拼成了”Brain Donohue”,但这另一个故事了。brain通过在线SHA-1生成器生成的SHA-1哈希值是:8b9248a4e0b64bbccf82e7723a3734279bf9bbc4。 你看,这两个输出值截然不同,虽然在名字中Brian和表示中枢神经系统器官的这个单词brain之间差异完全在于连续的两个元音字母的位置(”ia”和”ai”)。更明白地说,如果我只把名字的第一个字母改为小写,SHA-1生成器的也会返回完全不同的哈希值:760e7dab2836853c63805033e514668301fa9c47。 密码哈希函数是计算中使用最普遍的工具,几乎可用于一切计算,从身份验证到恶意软件检测再到文件保护。   您会注意到,上述所有哈希值的长度都是40个字符,这并不令人吃惊,因为上面输入内容的长度均为5个字符。但如果在哈希生成器中输入本文到目前为止的所有单词,你会吃惊地发现返回以下哈希值:db8471259c92193d6072c51ce61dacfdda0ac3d7。也就是这1637个左右的字符(包括空格)和上面的5个字符的单词一样,经压缩后输出40个字符。你可以用SHA-1哈希算法对莎士比亚全集进行计算,最终也是输出40个字符。而最让人吃惊的是绝不会有两个不同的输入生成相同的哈希输出。 下图由Wikimedia Commons制作,说明的是上述概念,供您直观地学习: 哈希算法适用于哪些情况? 问得好。但很遗憾,答案是密码哈希算法适用于很多很多种情况。 对你我来说,最常见一种哈希算法形式是对密码进行哈希加密。例如,如果忘记了某个在线服务的密码,则很可能必须执行密码重置。重置密码时,通常你不会收到返回的明文密码。原因是在线服务并不会存储您的明文密码,而是存储密码的哈希值。事实上,该服务(除非使用的是极其简单的密码,这种密码的哈希值广为人知)并不知道您的真正密码。 确切地说,就是如果你收到的返回密码是明文,则说明你使用的在线服务未对密码进行哈希加密,这不失为一种羞耻。 您可以通过在线逆向哈希生成器自行进行测试。如果生成不安全密码(例如,”password”或”123456″)的哈希值,则在逆向哈希生成器中输入该哈希值时,逆向哈希生成器很可能会识别出示例中任一密码的哈希值。对于前文所举示例,逆向哈希生成器可以识别出”brain”和”Brian”的哈希值,但无法识别出代表本文正文的哈希值。所以哈希值输出的安全性完全依赖于输入数据,而输入数据几乎可以为任何内容。 对于这一点,据上月晚些时候TechCrunch的报告,流行的云存储服务Dropbox依据美国《数字千年版权法》,阻止了一名用户共享受保护内容。该用户在Twitter上写道,他被阻止共享特定内容,这一事件经由Twitter迅速发酵升温,人们对于Dropbox必定窃取了用户内容而大为不满,尽管隐私政策中明确承诺不会这样做。 当然Dropbox实际上并未窃取任何用户内容。据TechCrunch的文章中所述,导致这一事件发生的可能原因是版权持有者拿到版权文件(也许是数字版歌曲或电影)后,通过哈希函数来传送该文件。取得输出的哈希值后,他们将这一串40个字符加入了某种版权保护资料哈希黑名单。这样在用户尝试分享该版权保护资料时,Dropbox的自动扫描程序就会挑选出列入黑名单的哈希值,从而阻止资料分享。 所以,显然你可以对密码和媒体文件进行哈希加密,但密码哈希函数还有哪些其他用途呢?同样,实际答案是哈希函数的用途远远超出我的所知,也不在我的写作关心范围内。但是还有一个非常贴心的哈希应用是Kaspersky Daily。哈希算法被卡巴斯基实验室等反病毒软件公司用于恶意软件检测,部署广泛。 同样,电影制片厂和唱片公司也制定了哈希黑名单来保护版权数据,此外还有数量不定的恶意软件哈希值黑名单,其中大多数公开提供。这些恶意软件哈希(或恶意软件签名)黑名单由恶意软件哈希值或更小的可识别恶意软件组件的哈希值构成。一方面,如果用户发现了可疑文件,则可以在众多公共可用的恶意软件哈希注册表或数据库中选择一个来输入该文件的哈希值,输入后注册表或数据库会通知用户该文件是否为恶意文件。另一方面,反病毒引擎识别并最终阻止恶意软件的一种方法就是将文件哈希值与引擎自己的(以及公开的)恶意软件签名存储库中的进行比对。 密码哈希函数还可用于确保消息完整性。换言之,你可以借此确保某个通信或文件未被窃取,方法是检查数据传输前后生成的哈希输出值是否一致。如果前后哈希值完全一致,则传输可称得上是可靠的。

为什么网络犯罪分子会瞄准您的智能手机 – 信息图表

手机恶意软件已成为网络犯罪分子中最热门的话题,大量恶意手机应用迅速增长。原因显而易见 – 有多种方法可通过让手机感染病毒来挣钱,范围从直接窃取到安装像比特币挖矿这类讨厌的东西。看看我们绘制的信息图表就很清楚,手机上哪些资产需要专用保护解决方案。

误植域名:拼写错误触发的恶意软件感染

在一些案例中,某些网站会被盗用而作为传播恶意软件的主机。就我们所知,用来误导用户转至恶意站点的方法可谓花样百出,其中一种就是”误植域名”。 对我们来说,在网络浏览器中输入网址时出现拼写错误实在是太平常的事。但网络犯罪分子往往会利用这一情况来误导用户转至恶意网站,而不是用户实际想访问的站点。这被称为”误植域名”(typosquatting)- 这个英文单词由”typo(错误拼写)和”squat(蓄意)”两部分组成,也称为”网址劫持”(URL hijacking)。网络犯罪分子会注册与流行域名类似的域名,然后等候拼写错误的用户上钩。这对于企业来说实在是件讨厌的事,甚至导致域名被网址蟑螂(typosquatter)滥用的公司之间引发官司。 当然,误植域名对于消费者来说也是一种威胁。当用户无意中访问这些网站时,会发现浏览的是垃圾网站,甚至更糟糕的是,有可能被恶意软件感染。下面我们将讨论真实发生的案例。 典型案例:Gmail滥用 首先我要解释下我们为了减少被恶意软件感染的受害者而做出的努力。只要发现有任何被盗用的网站,我们就会尝试联系其管理员并发出警告。下面是我们遇到的一个实际例子。这是一个无意间托管了恶意软件的网站上的WHOIS信息。在”Administrative Contact”(管理联系人)字段中,您会看到字符串”A***3JP”。这是由日本域名注册服务公司(JPRS)管理的JPNIC句柄,也是找出该站点管理员的关键。(换句话说,就是在此字段中注册的电子邮件地址。) 我们检查了负责管理”A***3JP”域的管理员: 在”E-Mail”字段中的电子邮件地址就是应该发现自己的网站被恶意软件感染的人员的联系信息。提醒未发现感染的管理员是阻止恶意软件进一步传播的重要环节之一。 但经过更进一步的检查,我们发现此电子邮件地址中存在问题。它看上去类似于Gmail地址(xxx@gmail.com),但实际上并不是,因为它缺了一个字母。 对于某些国家,正确的域信息注册是一项法律规定。但在日本,有时注册的信息并不正确,而更糟糕的是不正确的信息可能会被有意注册。如果注册的电子邮件地址不正确,则我们就无法向网站管理员发出警告,对方也不会意识到自己已成为受害者。 但在这种情况下,注册类似Gmail域名的意图显而易见:这是利用误植域名生成的一个陷阱,目的是误导用户下载恶意伪装程序。 结果地址类似于Gmail的网站可能会根据访问者的语言环境以多种语言显示,包括日语、德语、西班牙语、意大利语、荷兰语、波兰语、葡萄牙语、俄语、瑞典语和土耳其语。但没有”英语”选项,具体原因不明。请参见下面的网站截屏样本。网站合法的外观很容易会误导意外访问该网站的访问者毫不怀疑地下载并安装对象。 日语: 俄语: 在本文中,我解释了正常注册域名信息的重要性以及误植域名的工作原理,并通过我们在研究中偶然碰到的实例加以说明。误植域名并不是新鲜事物:它是误导用户的一种经典方法,已经存在好几个年头了。但全球范围内的受害者人数仍不断上升,原因是这种方法本身具有被动性质,即等着用户拼写错误而自动送上门,因为我们都可能时不时地犯些拼写错误。为了避免成为受误植域名驱动的恶意软件受害者,请定期更新操作系统和安全软件。

  • Onuma