谷歌

24 文章

一周要闻:密码重用也不全是坏事?

胡扯八道! 你可以不相信我说的,但这可是微软公司和加拿大卡尔顿大学联合研究小组的研究成果,该小组在一份研究报告中称,密码重用不是什么大问题,只是管理大量在线帐户的必要策略而已。乍一看,他们的研究结果似乎在标榜传统智慧。但实际上,研究人员真正想要提倡的是分层密码系统,即共享密码的系统,在此系统中保留最强的密码用于最敏感的帐户,而较弱的密码用于不太重要的帐户。 毫无疑问,为每个在线帐户设置唯一密码是目前最安全的做法。但是,每次登录不同账号都需输入不同密码实在太过繁琐,且难以持久。 研究人员称,密码管理工具也并不是完美无缺的。理由完全可以想得到:因为从本质上说,此类工具只提供唯一的访问点,但同时黑客也可利用这个入口窃取用户的所有密码。 如果我说自己每个在线帐户都用的是不同的密码,那我一定是在撒谎。但是,对于与财务或特殊敏感信息相关的任何帐户,我肯定会推荐用户使用唯一的强密码。至于密码管理工具,它们所提供的保护肯定要比我们大多数人做得好。 此举极大扼制了黑客及试图监视这些传输的不良意图者的行为。 Project Zero Google组建了一支超级安全团队,成员几乎清一色是全球顶级的互联网黑客,宗旨是找出第三方软件中的漏洞,以及互联网中影响客户并最终影响其业务的其他因素。该团队的任务就是发现bug,并向有关供应商进行报告,解决解决问题,并曝光发现结果。该团队被叫做Project Zero。 “我们没有对此项目设置任何条条框框,我们的目标是改进众多用户所依赖的软件的安全性,密切关注攻击者的技术、目标和动机。”Project Zero负责人、曾长期担任谷歌Chrome安全工程师的Chris Evens写道。”我们将采用各种标准方法,例如查找和报告大量漏洞。此外,我们还将在缓解、开发、程序分析方面进行新的研究,研究人员决定研究的其他任何内容都是有价值的投资。” 苹果应用Crypto 本周,苹果公司应用了已经取得巨大成功的Crypto,此软件用于静默加密进出苹果服务器的iCloud.com、mac.com和me.com域的几乎所有电子邮件。此举极大扼制了黑客及试图监视这些传输的不良意图者的行为。 正如Threatpost的编辑Dennis Fisher所述,这堪称一项壮举: “苹果利用TLS加密了自己的电子邮件域名,此举可称得上是一大变革,因为加密是在服务器级别进行的,无需用户在客户端执行任何操作就能提高安全性。众所周知,在桌面上加密电子邮件是一个痛苦的过程,而且只对单封邮件有效。而像苹果这样级别的供应商大规模实施加密,给那些”财力雄厚”的攻击者们当头一棒。利用单封邮件加密来防范某些形式的有针对性监视或攻击,是一种不错的方法,但对于像Yahoo、Google或苹果这样的大型电子邮件提供商来说,加密与其他提供商之间的通信有助于保护大批用户。” 修复补丁 谈到密码管理工具,免不了会提及LastPass,这是一种流行的基于浏览器的密码管理工具,最近此工具修复了若干漏洞。无所不知的黑客能够利用这些漏洞来生成自己的一次性密码,以用于访问受害者的帐户。 Google将改变恶意软件和网络钓鱼网站警告。原先的警告是红底白字,现在整个页面为红色,顶部显示醒目的X。恶意软件警告和网络钓鱼警告都会提醒用户,即将访问的该站点可能尝试在计算机上安装危险的程序,或者有泄露个人信息的风险。 思科公司提供了漏洞补丁,用于修复其无线住宅网关产品中的漏洞;Google发布Chrome安卓版更新,解决了URL欺诈问题。 一周综述#Kaspersky Daily的@TheBrianDonohue #安全头条新闻:

Chrome插件加密所有离开浏览器的数据

Google最新发布的一份报告显示,在全球的Gmail流量中,超过30%在发件人向收件人发送邮件过程中的某一时刻处于无加密状态。为修复这一漏洞,Google开发出了一项工具,它能够为安装端对端插件的任何用户对所有离开Chrome浏览器的数据进行加密,这一工具不久将公布于众。 你可能会对此存有疑惑,因为Gmail始终通过一个安全的加密HTTPS连接传输数据,这即表示100%的出站流量被进行了加密。但事实的真相却并非如此,HTTPS仅仅是对从计算机发出通过浏览器进入Google服务的数据进行了加密。 可能你还有印象,就在几个月之前,Google并没有对服务器和数据中心之间的链接进行加密。这一漏洞据说被美国国家安全局所利用以进行监控,现在终于被修复了。这一漏洞激起用户的愤怒,而Google所做的回应则是对这些链接进行加密。 .@Google的最新工具将能对所有离开# Chrome浏览器的数据进行加密。#加密 现在,如果你使用Gmail发送邮件,则邮件从电脑中发出通过浏览器传送至Google服务器的整个过程中,始终处于加密状态。一旦你的数据远离Google的控制范围,则是否加密则完全取决于拥有你数据的供应商。如果你的邮件是从一个Gmail邮箱发送至另一个Gmail邮箱,则邮件将始终处于加密状态,而这些数据也将在传送过程中显示加密。但不幸的是,有些公司并不是像Google一样如此重视隐私与安全问题。 简而言之,公司表示从Gmail发出的邮件的69%被加密,而传入Gmail的邮件被加密的仅为48%。在美洲国家这一比例尤其高,1万封邮件中仅有不到1封能够被AOL解码,这是非常了不起的数据。另一方面,AT&T则能够对半数的此类邮件进行解密。而Comcast则完全没有对来自Google的邮件进行加密。另一边,Facebook和亚马逊几乎对所有他们发送至Gmail的邮件进行了加密,而邮件营销服务商Constant Contact则截然相反,对所有传送至Gmail的邮件,几乎不采取任何加密措施。 开发这一全新端对端工具的目的旨在为日常用户提供简单易操作的加密工具。使用这一工具后,用户可确保其数据在邮件传送过程中始终处于加密状态。当然与此相类似的工具大量存在于目前市场中。然而,其中的大部分都过于复杂且难以使用。 “尽管像PGP和GnuPG这样的端对端加密工具早已推出市场,但却需具备大量的技术专知与实践操作方能灵活使用,”Google安全与隐私部产品经理Stephan Somogyi这样写道。”为了让这些工具使用起来更简便,我们即将发布针对全新Chrome插件的代码(使用OpenPGP),作为一项公开的标准能够支持目前众多的加密工具。” 简单地说,加密数据工具能够显示已加密数据在Google的Gmail服务器的流入、流出量,此外还包括了一些信息,比如哪些供应商在Gmail邮件通过它们的服务器时对数据进行加密。 “使用安全传输层协议进行加密,能够防止不法分子在邮件传送过程中对你讯息的窥视。” “使用安全传输层协议进行加密,能够防止不法分子在邮件传输过程中对你讯息的窥视。”Google解释道。”TLS协议无论是对进站还是出站邮件流量,都能够进行加密并安全送达。同时还有助于防止邮件在两个邮件服务器之间传送时被窃取—始终保持邮件在两家邮件供应商之间传送时的私密性。” 然而,他们又做了进一步的解释,只有在发件人和收件人所使用邮件供应商同时支持TLS的情况下,你的通讯信息才会被加密,但问题是并不是每一家供应商都能支持TLS。 “TLS目前成为了安全邮件的标准。尽管这并不是一个十全十美的解决方案,但如果每个人都使用TLS的话,那窥探别人邮件的难度和成本将大大加大。” 在理想的世界中,每一家邮件服务供应商在从邮件发出到邮件接收的整个过程中对用户讯息进行加密—或者用一句我们的行话来说,那就是”端对端”。

OpenID和OAuth易受攻击,需保持警惕

在发现恼人的Heartbleed bug短短数周之后,像你我这样的普通网民可能需要关心一下另一个看似普遍的问题,这个问题无法轻易给出答案。这个问题就是”隐蔽重定向”bug的准确定义,并于近期由新加坡南洋理工大学数学系的王晶博士公布。这些问题是在流行的互联网协议OpenID和OAuth中发现的;前者在您使用来自谷歌、Facebook和LinkedIn的现有登录信息来登录网站时使用,后者是在您授权网站、应用程序或服务使用您的Facebook/G+账号而非真正输入您的密码并登录第三方网站时使用。这两个协议通常结合使用,但事实证明,这可能会导致您的信息泄露。 威胁 我们在Threatpost的朋友针对这一问题给出了更具技术性的解释,并顺带提供一个原始研究链接,但我们会省略不必要的细节,只说明可能发生的攻击场景和后果。首先,用户访问一个恶意钓鱼网站,其中出现典型的”使用Facebook账号”登录的按钮。钓鱼网站可能酷似流行的第三方服务或将自己伪装为一个全新服务。一旦您点击该按钮,则会出现一个逼真的Facebook/G+/LI弹出窗口,提示用户输入自己的登录名和密码信息以授权上述(并且可能有声誉的)服务来访问他们的用户配置文件。最后,使用不当的重定向方式,将使用该配置文件的授权被发送到不正当(钓鱼)网站。 首先,用户访问钓鱼网站,并尝试使用Facebook账户或其他OpenID提供商账户登录。 在当天结束的时候,网络罪犯收到一个适当的授权(OAuth token),利用原始应用程序拥有的任何权限来访问受害人的配置文件——最好的情况下,只是访问基本的用户详细信息;最坏的情况下,可读取联系人、发送消息等内容。 这一bug已被修复?事实并非如此 这个威胁不会很快消失,因为修复必须在提供商端(如Facebook/LinkedIn/谷歌)和客户端(第三方应用程序或服务)同时执行。OAuth协议仍处于测试阶段,各个供应商使用不同的手段措施,并依据抵御上述攻击的能力而各有不同。LinkedIn在修复方面处于更有利的位置,因采取了更为严格的处理措施:即要求第三方开发人员提供适当重定向的”白名单”。到目前为止,每个使用LinkedIn授权的应用程序或安全或依然无法运行。而Facebook面临的情况则有所不同,因为其所拥有大量第三方应用程序,并且这些应用可能使用更早版本的OAuth执行。这就是为什么Facebook的代表告诉王晶,”无法在短期内修复的原因”。 此外,还存在众多似乎易受攻击的其他供应商(查看以下图片),因此如果您使用这些服务登录某些网站,则必须采取行动。 您的行动计划 对于最谨小慎微的用户来说,最可靠的解决方案是在未来数月放弃使用OpenID和这些便利的”使用……登录”按钮。您可能会受益于增强的隐私性,但使用社交网络账户登陆将导致您线上行为被更有效地追踪,并使越来越多的网站可以读取您的个人基本数据。为了避免因登录各种网站而不得不记住几十甚至上百个不同密码,您可能最终会使用有效密码管理器。当今的大多数服务都配有多平台客户端和云同步,以确保您能在自己不同的设备上访问您所有密码。 对于谨慎的用户来说,最好的解决方案莫过于在今后几个月放弃使用Facebook/谷歌账号登录。#OpenID #CovertRedirect 然而,如果你打算继续使用OpenID授权,并不会发生什么直接的危险。你只需要保持高度警惕,避免任何网络钓鱼诈骗,它们的通常手法是首先向您的邮箱发送骚扰邮件,或者在Facebook或其他社交网络上提供吸引眼球的链接。如果您使用Facebook/Google等账号登录到某些服务,应确保您使用手动输入的地址或书签打开此服务的网站,而不是点击您的邮件或者消息中的链接。仔细检查地址栏,避免访问粗制滥造的假网站,且不使用OpenID注册新服务,除非您100%肯定相应服务信誉良好且登录的是正确网站。此外,请在您所有设备上使用安全浏览解决方案,如卡巴斯基安全软件多设备版,以防止浏览器访问危险站点,包括网络钓鱼网站。 这只是一个为谨慎起见而采用的普通防范练习,每位互联网用户应每天进行这样的练习。网络钓鱼的威胁分布广泛而危害巨大,它会导致各类数字财产损失,包括:信用卡卡号和电子邮件登录账号等。OpenID和OAuth中出现的”隐蔽重定向”bug只是让您更有理由进行防范——没有例外。