隐私

154 文章

本周安全小贴士:不要让自己成为摄像镜头中的”主角”

我们总是对网络摄像头情有独钟,因为它能打破地域的界限为我们的沟通交流提供方便。例如:通过使用Skype软件,你足不出户就能进行工作面试、上语言课甚至与自己的祖母聊会天。但你是否曾想过有人竟然未经你的允许通过网络摄像头对你进行窥探?不幸的是,此类事件的确时有发生:网络犯罪分子可能会通过访问你的网络摄像头而对你进行窥探,并在此过程中窃取你的个人数据。 卡巴斯基实验室工程师们给出了最佳建议,从而让你的网络摄像头始终保持安全,同时消除任何可能的漏洞。2015版的卡巴斯基安全软件加入了全新功能,可有效阻止他人访问你的视频流。那具体操作是怎样的呢? 卡巴斯基安全软件通过对你电脑内安装的所有应用进行信任评估,将其分为了如下几类: 受信任应用 低限制 高限制 不信任 默认设置下,卡巴斯基安全软件会阻止所有高限制和不信任应用访问网络摄像头。但如有低限制应用尝试访问网络摄像头,反病毒软件将提示你是否给予其访问权限。 举个例子,如果Skype(通常视为受信任应用)尝试访问你的网络摄像头的话,卡巴斯基安全软件将直接授予权限,但用户可以看到如下通知: 如果有低限制应用尝试控制你的网络摄像头,则卡巴斯基安全软件会向你报告该可疑行为,随后等待你的”答复”: 有关卡巴斯基安全软件2015的摄像头保护功能的更多内容,请参见各篇卡巴斯基知识库文章。

苹果是否保护用户免遭NSA的窥探?

不管你喜欢与否,就在我们居住的这个地球上,政府总能有大量的理由和机会控制整个数字空间,或至少能对本国居民进行严密监控。据传言,名声不佳的NSA(美国国家安全局)不仅资金充裕,并且为了能有效地进行监控,无所不用其极地进行各类研究、开发及贿赂活动。幸运的是,目前已有多种方法可防范此类组织的”侵扰”。 就目前而言,为防止政府机构的监控,我们可以借助的安全工具有虚拟私人网络和Tor网络。目前许多公司都具备让用户远离NSA及其它政府组织侵扰的能力,同时也能帮助保护我们的个人隐私。就在一年前,此类”保护措施”还只是停留在许多公司的口头承诺上,诸如”我们不隶属于NSA”或者”我们的一切经营都符合法律监管范围”这样不痛不痒的声明,但现在许多公司真正地开始行动起来了。 其中最显著的变化莫过于苹果公司,该公司就在最近发表了Tim Cook至全体用户的有关新用户数据政策的公开信,同时还发布了其它有关隐私和安全的文件。其中有一份文件是这样写:由于技术上的原因,公司无法提取所有运行最新iOS版本设备上的个人数据,因此也无从将这些数据交予包括执法机构在内的第三方。 苹果到底做了些什么? 简单地说,根据苹果官网所发布的文件来看,苹果的的确确舍去了影响个人安全的”备用钥匙”,从此只有你本人才能访问以下内容:iOS 8设备内包括照片、消息、邮件、联系方式和个人记录在内的所有个人数据都将受到用户密码的保护,苹果再也无法绕过密码直接访问。这同时也意味着苹果公司将无法访问用户设备上的所有数据,因此也无从将这些数据转交给任何机构。但现在棘手的问题是:所有这些声明未必就表示有关部门就真的无法再访问你的iPhone手机或iPad上所保存的信息。我会在下文中详细解释其中的原因。 除了最新iOS系统版本以外,还有更多安全和隐私功能值得一提。比如,一种全新功能可随机生成MAC地址,对于那些时刻监视Wi-Fi流量的窥探者而言,将无法持续追踪到设备。此外,常常被提及的虚拟私人网络选项极大方便了企业IT安全部门的工作。 #苹果宣称自己将无法访问用户个人数据,因此也无从将信息交予有关部门,但这并非是事实的全部真相。 在Tim Cook所传达的信息中,他一再声明苹果从未在其任何产品或服务中”与任何国家的任何政府机构合作建立后门”,并且也从未允许任何机构访问苹果的服务器,以后也绝对不会。 其实苹果是否曾与NSA合作都无关紧要,目前最重要的是苹果能否保护用户免遭政府的监控。 苹果做这一切的原因何在? 臭名昭著的”好莱坞艳照门事件”并不只是苹果决心强化用户隐私的唯一原因。还有更重要的深层次原因。当然,你可能还记得爱德华•斯诺登:在他去年所解密的大量NSA文件中曝光了许多与该部门合作的公司,其中就有苹果的名字。该事件对苹果公司的声誉造成了极大的损害,苹果迄今为止所做的一切就是为了极大地转变其在人们心中的印象。苹果是否曾与NSA合作其实都无关紧要,目前最重要的是苹果是否能保护其客户免遭政府的监控。这些天的形势发展也正好说明了这一点:如果公司无法对用户隐私和个人数据引起足够重视的话,那公司自身就将出现问题从而将无法获得用户的信任。苹果要么站在用户的一边,要么只能被用户所抛弃。 显然,苹果依旧还是市场的宠儿,并被成千上万的”果粉”所敬仰,因此也不太可能立即就被数百万用户所抛弃,但这并不能成为苹果不立刻采取措施的理由。尤其是公司即将推出的智能手表和支付系统—这两项新开发产品受到众多安全领域专家的诟病。 对于消费者意味着什么? 新版本iOS系统除了加强数据保护的一些改进外,还加入了许多更为重要的积极因素。通过更改用户数据政策,苹果还鼓励业内其它公司一道向同一个方向努力,例如:对客户安全与隐私给予更多关注。当然没有一家公司会公开与NSA或其它政府机构作对,事实上也根本没有这个必要:他们需要做的只是提升个人数据安全性,增加这些机构收集或窃取信息的难度。 针对用户数据政策的改变仅限于提升个人数据安全性使信息使之难以被他人所访问,但对警察或其它的执法机构依然无效。 苹果将如何应对相关部门的要求? 要回答这个问题,首先你需要明白两件重要的事情。与其他所有公司一样,苹果永远将企业的利润放在第一位。因此苹果一定会在当地法律允许范围内经营业务,因为一旦违反相关法律即会对自身业务造成不必要的损害。因此,只要有当地政府部门合法要求获取某一名用户的个人数据,公司几乎没有选择的余地,不听从的结果只会惹上一身的麻烦。绝大多数公司都会选择听从,这早已不是什么秘密,而苹果也绝不会成为那个特例。 苹果新的用户数据政策看似不错,实则依旧无法阻止有关部门在必要时访问个人信息。 首先,新版本的iOS系统所做的一切改变只是让你的数据更难以被他人所获取,但并不是代表警察或其它的执法机构就真的无法访问这些信息。所增加的安全性仅适用于iOS设备本身,但对云存储则毫无作用可言。(目前采用双重认证形式)。因此,只要你的数据在iCloud内备份,也就意味着这些信息已经复制到苹果服务器,那政府部门还是有合法权限进行访问。获取过程可能需要耗费不少时间和精力,但最终还是能获得信息。其次,Tim Cook对于服务器完整性的声明表示苹果不会让任何人访问存储在内的信息,但并不代表苹果不会将这些数据进行内部备份以及必要时与有关部门共享。就好像你的银行账户:安全且可靠,但只要你允许,任何人都可以从中取走钱款。 那苹果到底有没有提升你个人数据的安全性?答案是肯定的。那NSA及相关政府机构是否从此就无法访问这些信息了呢?绝对不会。

问卷调查:美国人深度关切自己的数字化信息安全

于今夏所进行的一次问卷调查中,其结果显示美国人对自己的在线隐私表示深度关切,并愈来愈多地要求享有自己数字财产的所有权。 据安全软件公司WP Engine所发布的7月问卷调查结果显示,71%的美国人对自己的在线隐私表示’深表关切’。 令人大吃一惊:美国人对自己的数字隐私相当关注#数据隐私 对数字安全的高度关切很大程度上源于去年曝光的美国国家安全局国内监控事件,而此次调查研究结果与今年早些时候美联社和GFK市场调查机构所发布的调查报告完全吻合,当时的结果显示有超过60%的受访者表示自己对个人隐私的关切程度更甚于对恐怖袭击的防范。据美国商业资讯报道,WP Engine首席执行官Heather Brunner在其集团进行的问卷调查中这样说道:”有如此数量众多的个人资料可以通过在线互访,因此讨论哪些信息是真正属于个人隐私比以往任何时候都显得重要。”99%的美国人表达了对在线隐私的担忧,当你想到一些共享数据的敏感程度—从银行记录到情感关系—有时甚至在公共平台上就能直接访问,那如此多的人表示对这一问题的担心也完全可以理解。” “有如此数量众多的个人资料可以在线进行互访,因此讨论哪些信息是真正属于个人隐私比以往任何时候都显得重要。” –来自WP Engine的Heather Brunner表示。 在WP的调查中,受访者表示最关切的问题依次是社交媒体、电子邮件以及搜索引擎,分别占到了总受访人数的66%、56%和52%。这些调查结果无不体现了受访者对通过这些媒介泄露隐私的担忧。此外,资金安全也同样是受访者最关切的问题:71%的美国人表示最担心在访问网银账户或其它资金数据时的在线隐私安全;网购成为仅次于网银的第二令人担心的资金安全问题,有57%的受访者表达了对这些在线交互安全的担忧。 与此同时,还有93%的受访者表示认为对至少一部分自己的数字信息拥有绝对的所有权。云存储网络安全问题并未在本次调查中提及,但如果本次调查是在”大量好莱坞明星隐私照片泄露事件”之后几周进行的话,那么对使用像iCloud这样的在线服务来备份隐私照片将深有感受。 问卷调查:71%的美国人’深度关切’自己的#数字隐私

数十种流行安卓应用存在泄漏用户敏感数据问题

来自纽黑文大学网络取证研究和教育小组的一群研究人员最近发现多款流行应用存在漏洞,其中包括了Instagram、Vine和OKCupid等流行应用。对于已在安卓移动设备上安装了这些受影响应用的9.68亿用户而言,这些bug很可能会导致他们的个人敏感信息遭到泄露。 我的同事Chris Brook在Threatpost 上报道了相关事件的进展:研究小组发布了一系列的Youtube视频将大部分bug公诸于众,最终发现产生bug的原因是将用于控制存在漏洞应用的非加密内容保存在服务器上所致。 “尽管两个人之间通过这些应用传送数据通常被认为是安全的,但我们发现此类的私人通讯还是有可能被他人所窥探,原因在于这些数据并没有经过加密,且原始用户对此毫不知情。” “对于任何曾使用或将继续使用此类受测应用的用户而言,其各类机密信息甚至有时包括密码在内,都时刻处于被泄露的危险中。”纽黑文大学Tagliatela理工学院计算机科学系助理教授兼cFREG负责人Abe Baggili说道。 据Threatpost报道,Instagram Direct的消息传送功能会泄露用户之间共享的照片,以及以纯文本形式保存在Instagram服务器的以往照片。此外研究人员还发现,只要通过HTTP搜索某些关键词,就能看到在流行的在线约会服务应用- OKCupid上用户之间共享的信息。而一款叫做”ooVoo”的视屏聊天应用基本上也包含了与Instagram Direct应用相同的漏洞。Instagram缺少完全加密的问题在我们以往的卡巴斯基中文博客中有所报道。 而在Tango、Nimbuzz和Kik这三款免费通话和通讯应用中,研究人员也发现可以通过所存在的一些bug来窃取照片、位置信息以及视频。此外,Nimbuzz还被发现所有用户密码均以纯文本形式保存。 由于MeetMe、MessageMe和TextMe均以非加密的纯文本形式发送信息,因此网络攻击者能够对在本地网络运行这些应用的用户通讯进行监视。并且在这些应用中以纯文本形式发送或接收的图片和共享位置点均会被监视。此外,研究人员还能够看到以纯文本形式保存用户登录凭证的TextMe数据库文件。 Grindr、HeyWire、Hike和TextPlus基本上也存在同样的bug。网络攻击者只需使用现有的黑客工具(例如:WireShark),就能轻而易举窃取通讯记录、照片以及共享位置。此外,通过Grindr、HeyWire、Hike和TextPlus发送的照片会以纯文本的形式保留在这些应用的服务器内,并供身份认证使用长达数周时间。 “使用一款叫做HeliumBackup的安卓备份提取工具,就能获取用于TextPlus的安卓备份文件,”一名研究人员说道。”当我们打开后,发现里面自动会存有用户在线活动的屏幕截图。我们并不清楚这些屏幕截图的目的,也不知道为什么会保存在设备内。” 在他们的最终视频中,研究人员调查了哪些应用在其存储内保存了敏感数据。但问题是,TextPlus、Nimbuzz和TextMe均以纯文本的形式保存登录凭证。除此之外,这三款应用加上 MeetMe、SayHi、ooVoo、Kik、Hike、MyChat、WeChat、HeyWire、GroupMe、LINE、Whisper、Vine、Voxer和Words With Friends均以纯文本形式保存所有聊天记录。 “尽管两个人之间通过这些应用传送数据通常被认为是安全的,但我们发现此类的私人通讯还是有可能被他人所窥探,原因在于这些数据并没有经过加密,且原始用户对此毫不知情。” Baggili说道。 研究人员试着联系这些存在问题应用的开发人员,但由于所提供联系方式太过简单和程序化因此根本无法直接联系到开发人员。在一次邮件访谈中,Abe Baggili表示还不知道这些应用的供应商是否已修复他和他的团队所发现的任何bug。 令人惊讶#隐私漏洞归咎于#在数十款流行#安卓应用#缺乏加密 我们曾试图向Instagram确认此事,但公司始终未对这一问题给出正面的回应。 目前尚不清楚这些应用的开发人员是否计划修复在这里所讨论的一些bug。 CNET 网站曾就这一问题与Instagram、Kik和Grindr取得联系。Instagram表示正在对其安卓版应用进行全面的加密修复,从而解决目前所存在的安全问题。Kik则表示正在致力于对用户间共享的照片进行加密,但不会对聊天记录加密,原因是聊天记录独立保存,并且无法在应用之间通过手机访问获取。他们同样还声明此类数据保存方式符合行业标准。而Grindr则仅仅表示会不断关注此类安全报告,如果适合的话会做出一些改变。

天网恢恢!8月热点诉讼案

夏末的八月正值网络犯罪案件多发时期,但全世界各地的执法机构依然从蛛丝马迹中找出线索,将犯罪分子一一缉拿归案。 因散布儿童色情照片遭逮捕 现代技术在帮助执法机关搜寻网络犯罪分子方面起到了越来越重要的作用。有些案件甚至无需派遣人员参与侦查,只需一款软件即能处理所有工作,最后留给警察的工作只是将犯罪分子带上法庭。20岁的Tyler Hoffman和31岁的Abraham Gordon可能连做梦也没有想到,他们一直以来用于网络犯罪的现代技术竟然 “出卖”了自己,最终不得不面临法庭的审判。 第一个案件涉及微软及其PhotoDNA软件,该软件拥有自动识别儿童性暴露照片技术。正是得益于这一技术,在Hoffman用他的手机上传儿童色情照片时,其邮箱账户就立即被做了标记。微软在向美国失踪与受虐儿童援助中心(NCMEC)报告后,随即报警。 在另一个案件中,同样也是得益于由Google所开发的一种邮箱分析技术,Abraham Gordon的犯罪行为才被警察所获知。在Gordon将五张儿童色情照片上传后,自动化系统随即对其邮箱进行了标注,同时分别向NCMEC和警察部门进行报告。 上述两名网络犯罪分子很可能因此将面临数年的铁窗生涯。 得益于微软和Google的强大技术,两名散播儿童色情图片的网络犯罪分子最终得以受到法律的制裁#安全#天网恢恢 两名俄罗斯人因黑客入侵遭逮捕 俄罗斯警察近期逮捕了两名年轻黑客,他们被控在没有授权的情况下访问了一个计算机系统。该案件检察官表示,该两名男子入侵他人邮箱和社交网络账号的目的并非只是为了”作乐”,他们真实的目的是为了赚钱。只需支付100-300美元左右的报酬,他们就能为”客户”入侵任何人的账户。据交代,两名黑客平均每个月会接到30-40份客户委托,其中有个人客户也有那些对竞争对手机密信息有兴趣的公司客户。这两名年轻的犯罪分子最终将面临缴纳巨额罚款和/或长时间的铁窗生涯。 现代技术在帮助执法机关搜寻网络犯罪分子方面起到了越来越重要的作用。 韩国16名黑客因泄露海量数据遭逮捕 韩国全罗南道省警方官方宣布逮捕一名24岁的金姓男子,他与其他15名黑客一起被控与韩国发生的一起重大数据泄露案例有关。该起泄露案件造成2700万韩国公民受到影响,约为韩国整个人口的70%。相关官员表示这16名黑客非法传播了数百万年龄在15-65岁的韩国公民的个人信息。警方则宣称金姓男子是从一名中国籍黑客处购得这些信息(总计2.2亿份记录),他们之前于2011年在网上相识。据称,该名中国黑客是从网络游戏网站、电影票务网站以及手机铃声下载网站的在线注册系统窃取的这些信息。这些信息的内容包括真实姓名、居民注册号、账户名称以及密码。相关官员还表示他们将继续调查这一案件,并正在全力追捕剩余的其他7名嫌疑犯。

Tor与一般互联网用户

Tor作为一种免费程序,旨在让用户能以完全匿名的方式浏览互联网。”棱镜门”事件以来,社会舆论对于提倡隐私的呼声日渐高涨,即使是一般用户也越来越意识到问题的严重性,并对政府和企业利益集团收集基于网络浏览活动的信息给予强烈的关切。 使用Tor,实现匿名上网#隐私#美国国家安全局#窥探 Tor依靠匿名中继全球网络为用户提供免费的流量分析在线体验。在该视频采访中,Tor项目倡导者Runa Sandvik解释了Tor越来越多为日常用户所使用的根本原因。 “我想其中原因归根到底就是有谁会愿意让自己每日的在线活动被他人所记录?” –Tor项目倡导人Runa Sandvik如是说。 “普通用户可以使用Tor来隐藏他们所有的在线活动,”Sandvik说道。”当他们访问网站时,无论是互联网服务提供商、共用一台电脑的同事、公司老板或其他任何人都无法看见他们所访问的网站。” Tor的意义在于人们对于个人隐私的基本需求。尽管过去只有记者、人权活动家以及那些希望躲避政府审查制度的人才会特别关注这一问题,而随着Tor的出现,越来越多的普通用户也开始对这一问题予以了关注。 “我想其中原因归根到底就是有谁会愿意让自己每日的在线活动被他人所记录?” – Sandvik这样说道。”为什么就有人能看到你在网上的一举一动呢?” Tor和你:为什么匿名互联网不再是隐私极客的专属。#美国国家安全局#隐私

My Kaspersky,如何做到更好地保护我们所有设备

是否还能记起以前我们只有一台电脑的年代?这些岁月早已一去不复返。就在写这篇文章的时候,我随意四周观察了下,有找到了不下6种电脑型设备,而这些也只是日常使用设备中的一部分而已。据统计,一个美国家庭平均拥有5台可连接互联网的设备。随着越来越复杂的在线威胁不断出现,所有联网设备都很难幸免于难。每一种设备都有不同的平台、应用和界面,的确令人眼花缭乱,那我们是否还有其他更简便的方式来保护所有设备呢? 当然问题的解决方法不止一个,但你的卡巴斯基实验室朋友们在这里向你推荐一个全新门户网站-My Kaspersky。无论您身处哪里,只需登陆My Kaspersky中心网站,即能管理多台设备的所有安全功能,且使用相当方便。 My Kaspersky作为一个最新的中心网站,在这里你可以对已使用的所有安全保护功能进行部署、监控甚至修改。 具体来说,用户只需登陆My Kaspersky门户网站,即能一屏式并实时观察所有受保护的设备,包括:实时保护状态以及远程管理设备安全的能力。无论用户身处哪里,都能通过远程管理界面对一台或所有设备进行扫描,以检测是否存在威胁。此外,还能对运行卡巴斯基产品的所有设备进行设置更改。 如发现设备丢失或被盗,用户还可以开启针对移动设备的反盗窃管理服务,功能包括:远程锁定、设备定位以及数据清除。内置摄像功能可以对你手机的当前持有人进行偷拍,以确定犯罪嫌疑人。你还能远程打开噪音发射功能让手机自动发出警报声,即使设备已调至静音也同样有效。作为目前最先进的技术,就算有人将你被盗设备内的SIM卡换成新的,所有这些功能仍可运行。 此外,只要你登陆了该门户网站,你不仅能管理产品许可证以及查看所有许可证的剩余时间,还能激活安全保护、开启数据库更新,甚至还能在所有设备上启用或禁用你认为合适的产品功能和设置。你还能使用例如卡巴斯基密码管理器的其它免费和收费服务(包括促销和打折活动)。除了上述这些功能以外,My Kaspersky还可以让客户向卡巴斯基技术支持发送技术请求,其中将自动包含了你许可证的所有信息。换句话说,My Kaspersky就是一个中心网站,你可以在上面随意部署、监控和修改使用的所有安全保护功能。 正如我们在上文所提到的,只使用一台电脑并只需要单个电脑保护功能的时代早已一去不复返。你的Windows电脑或平板电脑早已成为网络攻击者们眼中的”香饽饽”,背后的原因在于其处理能力和所存储的数据。过去Mac电脑和其它苹果产品对基于网页威胁免疫的年代也早已远去。安卓平台和其它恶意软件是其中增长最快速的一类威胁。当然,单单只有安全产品的话并不能完全保护你的设备,但它们却始终处在安全防御的第一线,同时也是最后一道屏障。但你依然必须时刻考虑安全问题,但如果你正在读我们这篇文章的话,这说明你已经正在考虑了。 My Kaspersky只是多一种选择,确保设备管理在自动化方面正在努力发挥出全部的潜能。至于人的方面的网络安全问题,我们将通过Kaspersky Daily为您带来有关所有最新的网络威胁新闻,以及它们的运行方式和所需要采取的保护措施。 My Kaspersky让用户远程控制#所有设备安全功能成为可能

云之雾里看花

iCloud数据泄露导致包括詹妮弗•劳伦斯、凯特•阿普顿等大量一线好莱坞女星艳照曝光后,这几天各路网络隐私极客展开了热烈讨论。 假设你对此事有所了解,但不想浪费时间去关注相关细节,或者你是刚刚度完无网络假期归来,您可以在这里了解事件摘要。 iCloud(或其他任何苹果服务)是否泄露,是否利用了”查找我的iPhone”中的漏洞,或者利用了什么工具来实施这一卑劣的行为,这些都不是导致根本问题的原因。 即便有些东西不免费,也往往存在同样的问题,相比于免费版,付费版的价值并非体现在安全性和隐私保护上。 真正的问题在于大多数消费者对哪些数据放在某个地方的云中没有什么概念。就算有人知道,但也没人能说清楚这些数据的实际位置,谁有权访问这些数据,或者怎样保护这些数据的安全性。我敢打赌,詹妮弗•劳伦斯和凯特•阿普顿的网络隐私意识很谈,但我认为,即便是很重视网络隐私的人,对于上述问题的了解其实与劳伦斯和阿普顿也不会有太大区别。 想想吧,Google、Facebook、苹果等各大技术公司陆续不断推出的服务可谓日新月异。再想想,这些公司的隐私策略和设置也同样千变万化。这还不算层出不穷的漏洞和安全更新,后者往往依赖于不情愿或不知情的消费者,但这在很大程度上都不是重点。重点是,你没法跟上他们的节奏! 几年前,我有一位同事就是这类情况的受害者。那大概是苹果第一次开始在所有iOS设备上启用iCloud服务。我同事通过iMessage和朋友进行了如下聊天: 朋友:今晚去哪儿喝一杯? 同事:随便。只要离得近,有一个辣妹就行。 十分常见的对话吧?但实际上绝非如此,因为就在当天,iCloud在他的所有苹果设备上同步了所有iMessenger数据。我想你能猜到后来发生了什么。反正,我同事的儿子在iPad上看到了这条消息,然后他把iPad拿给了妈妈看。接下来你应该能猜到结果了。 当然,苹果从推出云服务到现在,已经(在某种程度上)解决了这种小问题。多数为人父母的电子产品使用者都对归入”iSpend”服务的缺点有所了解,所以他们会建立单独的帐户供孩子使用。 但问题仍然存在:数据到底在哪儿?谁有权访问这些数据?如何保护这些数据的安全性? 关于云服务的安全性(尤其是消费者云服务):身份验证不仅让人厌烦,而且使用简单的社交工程或现成的黑客工具,无需具备任何专业技术就能轻松入侵;现在提供了双重身份验证,但坦白说,也同样让人讨厌(主要是因为不方便)。 除此之外,用户并不了解哪些数据是自己的,哪些不是,部分原因是没有任何人会去阅读最终用户许可协议。用户自己的数据(或者应该是自己的数据)实际上不可能,或者至少是非常难以控制或管理。 那你可能会说:”云服务是免费的”,你不是第一个这么说的,也不会是最后一个。 这样说确实公正,但在我们生活的世界中,免费是很难避免的。即便有些东西不免费,也往往存在同样的问题,相比于免费版,付费版的价值并非体现在安全性和隐私保护上。 最后,事实是外表光鲜靓丽的iPhone、Mac和iPad正在静悄悄地将你的数据上传到神秘的云上,你应该知道的是这些数据实际上是存储在加州库比蒂诺(苹果公司总部)的一些服务器上,但别忘了,iPhone、Mac和iPad可绝不是免费的。 思考一下在线效率工具领域。如果你是一家小型企业所有者或者是其中的一名员工,并且没有使用这类效率工具,那么你实际的花费要比本来需要的更多。这样一来,不使用效率工具就会让你处于竞争劣势。 与涉及互联网和计算机的所有东西一样,这类效率工具也会创建、传送、存储数据流量,但数据到底在哪儿?如果你在某些地方,比如在欧洲开展业务,那么这就是大问题了。数据被索引了吗?谁有权访问这些数据?这些索引可能受到监视吗,比如说被某些地方的政府?或者,更糟糕的是被竞争对手所利用?此情境准确表达了为什么说无隐私者无畏是种愚蠢的说法。因为”没有隐私的人”根本不存在。隐藏并不等同于犯罪。 这些都是严重的问题,而且会变得越来越严重,上述小型企业的比喻调整一下就适用于用户的个人生活:所有免费健康应用中的数据都存储在哪儿?谁能查看这些数据?从什么时候起这些应用开始影响您的医疗保健开支?消费者和企业将渐渐意识到这些问题。如果您是Facebook上的营销人员,那么肯定已经发现这些问题。那些Facebook Messenger下载会产生怎样的影响? 但是假装愤慨并不是我们要的答案。苹果和其他技术公司正大量投资正视解决这些缺点的服务。好吧,苹果,照你们声明中的暗示来看,对媒体宠儿詹妮弗和凯特发起的可能是高级持续性威胁类攻击。如今这些高级的攻击在你读完本篇文章的时候就已经变成过去式了。我们都会遇到严重的问题,我们应该予以正面承认。 卡巴斯基已经敏锐地意识到这些问题。我们会认真对待的。卡巴斯基清楚知道,虽然我们赖以生存的端点安全产品可能能够降低风险,但并非是一个全面的解决方法。我们将继续努力。有谁能助我们一臂之力吗? 大多数消费者对哪些数据会放在#某个地方的云中完全没有概念#iCloud

如何防范云服务泄露

今夏最后一个周末以网络重磅新闻画上句号:匿名黑客(可能是一个人)窃取并在网上发布了大量好莱坞女星的艳照,其中包括珍妮佛•劳伦斯等在内的众多一线明星。此类泄露事件绝不是什么新鲜事,只是这次闹出的动静实在太大。从一开始,人们就猜测这些照片是从明星的苹果iCloud帐户中被直接窃取的。有这种可能吗?如果是真的,应该怎样做才防范资料被窃呢? 可能的泄露场景 目前,还没有确切的证据能证明这些照片是通过iCloud被盗的。苹果公司和FBI目前正在调查这一事件,我们期待他们的调查结果。但有一些事实表明,由于下面多种因素,擅自入侵用户帐户是完全可能的。第一,iCloud平台实施中有一个小缺陷,即允许无限次尝试输入帐户密码。一般情况下,用户重试登录的次数超过3-5次后,网络服务会锁定帐户。iCloud的普通网页界面上的确实施了此机制,但”查找我的iPhone”界面上却没有此限制。通过这一缺陷,黑客得以实施”暴力攻击法”,即系统化地尝试各种常用密码,直到最终黑客放弃,或者成功破解密码为止。为了通过暴力攻击法来访问iCloud帐户,黑客可能使用了开源应用,这种应用在流行的编程网站GitHub上出现过,时间就在艳照事件发生之前。 第二,许多明星可能忽视了强密码策略,而选择使用的是非常基本的密码。黑客只要在使用”暴力攻击法”时,将排名前500位的最常用密码挨个试个遍,就能收获颇丰。 第三,这也是最重要的一点。苹果公司实施的双重身份验证正是针对此类攻击的防御机制。毫无疑问,受害用户未采用这种本不该忽视的有效防御工具。 根据一些报告,这一缺陷立即得到了修复,截止到本周一,利用”暴力攻击法”已经不可能再攻破iCloud帐户。但是,没法保证没有别的漏洞存在。 此外,犯罪分子们攻击iCloud和”查找我的iPhone”的苹果用户也不是头一次了。今年夏天,有一些国家就遇到过一波网络勒索事件,受害用户突然发现自己的iPhone/iPad被锁定,其中犯罪分子们利用的正是苹果的防盗功能”查找我的iPhone”。锁定屏幕上会显示消息,要求用户支付赎金才能解锁设备。 保护自身及数据 这次的艳照事件证明,如今我们的隐私越来越脆弱,不管是明星还是普通人都不例外。基于云的文件存储设备因其无可争议的服务便利性,长期以来一直受到网络用户的追捧,但如今多少受一些严重风险的影响而有所降温。 例如,许多用户会在云上存储护照和其他敏感文件(或敏感照片)的扫描件,但云服务中时不时出现的漏洞会危及这些个人数据的安全性。人们谈到云安全性时,往往会忽视端点的安全性。如果设备受到具有间谍功能的恶意软件攻击,则设备本身可能就是泄露根源,它会将云内的文件和凭证向犯罪分子拱手相送。 为了避免因私人数据通过计算机、移动设备或云服务外泄而可能导致的问题,卡巴斯基实验室高级安全研究员Christian Funk给出了以下建议措施: 1.使用高强度密码,且为每个帐户设置独一无二的密码。 2.使用端点安全软件来保护设备,因为每个设备都是云存储的一道关卡。 3.尽可能启用并使用双重身份验证服务。 4.对信息分类,确定哪些应该存储在云中,哪些不应该。大多数敏感数据(不管是与您个人相关还是与职业生涯相关的信息)切不可放在云中。 5.移动设备很容易丢失或被盗,所以确保设备本身不存储任何敏感数据。如果没法做到这一点,请确保对设备实施相应的加密。 6.如果打算存储敏感数据(包括照片和视频),请仔细检查设备,确定设备不会自动将数据上传到云。 7.共享个人数据或允许他人获取您的照片之前,请确保对方设备也足够安全,以防您的私人数据不慎外泄。 #卡巴斯基专家就如何避免#iCloud照片#泄露给出的七大建议

卡巴斯基新闻播客:2014年8月

本月新闻综述:8月,全球顶级安全会议Black Hat和DEF CON大会在万众瞩目下隆重开幕;更加高级的持续性威胁在中国和世界其他地方出现;恶意软件正在利用webmail通信;索尼PS游戏机网络发生令人诡异的短暂中断事件。来自Threatpost和Brian Donohue和Chris Brook将在2014年8月版的卡巴斯基每日播客上与我们一道回顾本月所发生的精彩新闻事件。 补充阅读材料 随着Black Hat安全大会逐渐从仅针对企业层面的会议转变为与消费者息息相关的会议,因此您能在卡巴斯基每日新闻中读到更多与此有关的内容。如需了解相关背景,可阅读新闻事件回顾。Threatpost的编辑Dennis Fisher和Mike Mimoso以及我本人也记录了一些有关Black Hat安全大会前两日播客新闻的主要内容,将带您一同更深入了解本年度”安全夏令营”的详细情况。 在”斯诺登棱镜门事件”发生后,这几个月甚至一整年似乎正在形成一种趋势:那就是越来越多的互联网得到了加密。就在本月,这一趋势再次应验,雅虎承诺将在今年年底对所有邮件端对端进行加密的同时,Google也宣布将给予那些使用安全SSL连接的网站优先搜索权。本月放出了大量补丁,但其中最引人关注的要数微软修补fiasco的补丁。微软本次所发布的标准”周二补丁”对大量用户机器造成了破坏,不得不最终在本周早些时候又发布了一份最新通知。正如我在播客中提到但并未详细说明,Google发布了针对Chrome浏览器的两项更新,你可以在这里和这里读到。此外,苹果在本月也同样发布了一些补丁。 您可以在Threatpost更深入地了解本月有关APT(高级持续威胁)的调查结果,其中包括Turla间谍软件以及非法入侵Community Health Systems的中国黑客小组。除了有关Community Health Systems黑客入侵的文章以外,我们还在卡巴斯基每日新闻上对其破坏性以及这一事件对我们的影响进行了分析。 在恶意软件最前沿,你可以读到所有关于新恶意软件如何利用雅虎邮箱作为通信中心以及一种全新的主要基于网页的流氓反病恶意软件的新闻。您可查看Chris Brook有关Verizon坚信可使用二维码作为身份认证机制的报道,此外还为您带来了有关上周因DDoS攻击造成PS游戏机网络短暂中断事件背后的真相。 播客:@TheBrianDonohue和@BrokenFuses对2014年8月的安全与隐私新闻进行了回顾

冰桶挑战赛”病毒扩散”,网络诈骗紧随其后

此时此刻,就在”ALS冰桶挑战赛”大有席卷全球之势时,不出意料的是,与此相关的网络犯罪报告也纷至沓来:网络犯罪分子利用这一全球性活动大肆传播恶意软件和其它病毒。 肌萎缩侧索硬化,俗称”ALS”,是一种性神经系统退化疾病。在美国,该种疾病也被称为”卢伽雷氏症”-卢伽雷曾6获世界职棒大赛冠军并7次入选全明星赛,于1941年死于该疾病,年仅37岁。 WebMD网站曾对疾病有过精辟的解释,ALS”是一种大脑中某些神经细胞和脊髓缓慢死亡的疾病。”该种疾病相当罕见,但最终会导致患者失去对关键运动技能(比如:行走、进食和呼吸)的控制,大部分患者都在确诊后3-5年内死亡。 与其它网络流行一样,网络犯罪分子也借此大发横财。 “ALS冰桶挑战赛”在互联网上疯狂流行,旨在引起公众对于这种致命疾病关注的同时,为该领域研究机构募集更多的研究经费。挑战赛进行方式大概是这样:一个人先将一整桶冰水浇在自己的头上,随后再向其他人发起挑战,被挑战者或者为ALS捐款,或者也往自己的头上浇一桶冰水。随后被挑战的人再不断挑战更多的人,因此你的Facebook feed上充斥人们自浇冰水的照片和视频也不足为怪。 与其它网络流行一样,网络分子也借此大发横财。好消息是,此类网络诈骗团伙的行骗水准较低,他们既没有”零日攻击”,也没有使用未知的恶意软件。 他们最有可能使用的自动”工具箱”对于一台安装有最新反恶意软件引擎且打满补丁的机器而言毫无威胁可言。因此,给机器及所安装浏览器打上补丁,同时运行一款反病毒产品,将使你免受大部分恶意软件诈骗的威胁。 同以往一样,还需小心应对网络钓鱼攻击。千万不要点击突然出现在你email或Facebook feed上任何链接或视频。还需对那些试图窃取个人和登陆信息的虚假表单加倍提防。 更重要的是,还需对那些旨在窃取支付信息的虚假捐款支付网站小心提防。如果你想为ALS捐款的话,千万不要点击email或社交网络(甚至本文内)的链接。直接输入想要捐款的团体网站网址。一旦你决定了捐款的对象,首先做些研究调查:确保受捐赠团体是合法存在的。一些犯罪团伙常常会借助目前流行的慈善活动成立一些虚假的慈善机构,从而谋取私利。一旦你确定即将捐赠的团体是真实可靠的,还需确保他们的支付网站受到信任的证书签发者(点击地址栏内的padlock)的保护。只要按照我们的信用和安全小贴士操作,就能确保你的安全。 如果你对ALS冰桶挑战赛并不了解的话,我们在卡巴斯基的朋友们全体接受了挑战(并向ALS研究捐款),相关视频请见下文。 我认为ALS已然成为目前最受公众关注的事件,仅次于当年对于卢伽雷病逝的关注度。冰桶挑战固然不错,但更好的支持方式则是向ALS研究直接捐款。 如果你感觉ALS研究的受关注程度太高的话,还有其他的领域需要你伸出援手。全球各国的医生目前正聚集在非洲,与埃博拉病毒做着殊死搏斗。同时全球也存在着各种健康问题,例如:联合国难民署正在应对影响125个国家近3400万人生活的难民问题。此外,你还能向少年糖尿病研究基金献出自己的一份爱心,该基金会旨在向I型糖尿病研究以及无数其它的当地、本国或全球慈善机构捐助善款。 警惕利用ALS#冰桶挑战赛的#网络钓鱼和#恶意软件诈骗

性勒索:网络犯罪分子利用敏感信息勒索用户

近些年来,互联网上出现了许许多多的卑劣犯罪行为,且有愈演愈烈之势。其中最被人所不齿的非”性勒索”莫属。 尽管”性骚扰”一词最早出现在1950年4月5日出版的《洛杉矶时报》上,但我们即将谈论的是关于互联网上的此类犯罪行为:从本质上讲这是一种性剥削行为,即网络犯罪分子通过手中掌握的受害人艳照或不雅视频,威胁受害人将这些照片和视频公诸于众。而保守这些隐私内容的代价常常是要求受害人为其提供性服务。也就是说,犯罪分子会向受害人索取更多的照片、视频或金钱,如若不从则威胁将所有这些内容公开或散播。 性勒索计划可通过许多方式实施。 性勒索计划可以通过许多方式实施。攻击者通过在受害人机器(传统电脑或移动设备)上安装间谍软件,控制打开摄像头并自动录像。同样,受害人还可能被迫通过网络钓鱼和其他方式下载恶意软件,使攻击者能够窃取储存在受害人机器文件夹内的不雅内容。我猜测最有可能发生的情况是:那些怀有报复心理的前男友或前女友威胁受害人将两人此前亲密的照片、视频或讯息公开,而这些内容则是最初经双方同意各自保存的。最后,还有一种方式对我来说比较新鲜,就在今天正巧读到一篇报道,是关于一个家伙在别人家里偷了主人的笔记本电脑,从而获得了受害人的艳照。 显然,最近的这条新闻让人有些烦恼,因为从理论上说,我们每个人的设备都有可能被偷,而我只能说并不是每个人都将自己的”艳照”或”不雅视频”储存在电脑里。让人悲痛的是,上述新闻中的受害者因为笔记本电脑遭窃而最终自杀身亡。还有许多此类案例是发生在青少年之中的,他们常常以这种方式来欺凌身边的同龄人。同样让人烦恼不堪的是,此类”性勒索”事件越来越多地揭露出一些儿童色情案件,显然必将受到加利福尼亚夫勒斯诺市陪审团的起诉。 然而,我认为全面地看待这一问题非常重要,因为造成此类事件的原因归结起来都是因为怀有恶意的一方想利用你自己的资料来伤害你。不管我们在个人电脑里、移动设备和其他机器内储存了艳照、不雅视频或其他什么内容,这些对于我们说只是一些不堪回忆的往事。 回想一下:你曾有过几次开玩笑地向你的朋友发送攻击性短信或邮件?你是否曾有过向你的同事恶语相加?是否曾谈论过一个尽管是假设但却是严重违法的犯罪计划?为了那个目的,是否曾谈论过一个真正的犯罪计划?我们都会对所谈论过的一些愚蠢话题保密,这恰恰证明所谓”如果你没有什么可隐藏的,你根本无需隐私”的争论有多么荒谬。我们每个人都有一些不想让人知道的东西,那些宣称无需隐私的人不是在撒谎,就是并未认真考过这个问题。 这正是为什么我们应该采取所有必要措施来保护我们资料的主要原因之一。我们谈了那么多关于设备备份的话题,只是不想丢失我们宝贵的信息,但这仅仅只是资料保护的一部分措施。我们还需要确保我们的资料无法被那些想要伤害我们的家伙偷走。 那么让我们一个一个来看这些可能发生的情景,是否有一种方法可以保护我们自己免于被自己信息所伤害。首先:最好的方法是不要保存任何可能反过来伤害自己的信息,尽管我们知道这说起来简单做起来难。如果你的确保存一些个人敏感信息或文件夹的话,可以考虑为这些文件设定密码或将其储存在外部硬盘上。 你无法阻止曾经交往过的对象将你的丑事向外宣扬,而你所能做的就是希望他/她至少在一定程度上是个相对正派的人。然而,事实上很容易能够防止某些别有用心的人将恶意软件或间谍软件安装在你的机器上。只需遵照我们之前所提供的方法就能有效避免恶意软件入侵你的设备。使用一款安全解决方案即能提供保护。不要点击任何可疑邮件内的链接。确保你的计算机和所有软件都打上补丁并升级到最新版本。不要将你的计算机放置在公共场所。不要随便将别人的存储设备插入你的计算机和移动设备。 就设备盗窃而言,确保你的设备上安装了某些设备追踪和远程清除软件。iCloud为苹果的Mac和iOS设备用户都提供了一些极好的选项。卡巴斯基安全软件安卓版也同样拥有出色的远程锁定和清除功能。从本质上说,Windows Intune是一种专用于Windows和其他操作系统的云管理控制台,使用户能自行恢复出厂设置,清除部分和全部存储,远程锁定丢失或被盗设备以及重置密码。 近些年来,互联网上出现了许许多多的卑劣犯罪行为,且有愈演愈烈之势,但# “性勒索”可能是其中最卑劣的一种。

Community Health Systems数据外泄事件启示

最近针对Community Health Systems的一起数据外泄事件充分暴露了联网医疗设备所面临的实实在在的现实风险,事件据称是中国黑客所为,造成约450万病人的敏感医疗信息被窃。 还记得Heartbleed漏洞吗? Heartbleed的漏洞存在于OpenSSL,出现于今年早些时候。这一漏洞曾一度对超过60%的互联网造成影响,并在理论上能让网络攻击者在客户端到服务器连接过程中窃取一定数量的信息。这可能是第一起发生在现实生活中并造成广泛影响的互联网事件:网络犯罪分子或国家行为者几乎利用了整个网络资源来谋取私利。尤其需要指出的,网络攻击者还开发出了一种漏洞利用程序,能让他们使用Heartbleed漏洞来窃取Community Health Systems网站的登录凭证。 哪些人因此而受到影响?这一切又是如何发生的? 这一事件中的450万名受害者都在过去5年里接受了Community Health Systems医生的医疗服务,不幸中的万幸,他们的医疗和支付信息并未因此而泄露;但最让人担心的是,他们的社会安全号(SSN)全部遭到泄露。除了社会安全号以外,一起被盗的还有病人的姓名、地址和出生日期,甚至还有受害人的雇主或担保人以及电话号码。 由于本次事件中的攻击者很可能是一些高级持续性威胁行为者,因此人们还抱有一丝侥幸。他们的目标很有可能并不是消费者的社会安全号。事实上,来自Crowdstrike和其他安全公司的专家们都表示这些攻击者可能只是在寻找与医疗系统相关的知识产权,使中国能够将其运用在对本国老龄化人口的照料上。 在本次 “APT 18″黑客小组(也叫做”Dynamite Panda”)的攻击行动中,最终以失败而告终。因为要处理数量如此庞大的敏感信息并不是一件容易的事情。 更大的问题 近年来医疗保健数据外泄情况时有发生,但有关方面依然没有尽快改进的打算。原因如下: 每当谈到医疗设备的安全问题时,人们总会异想天开,甚至有一些可怕的想法:比如,使用笔记本电脑入侵胰岛素泵和心脏起搏器,以达到伤害和谋杀病人的目的。但幸运的是,就近期我从Black Hat大会了解到的情况来说,所有患病需嵌入式和/或联网医疗设备治疗的病人被人用笔记本电脑杀害的可能性微乎其微。事实上,Rapid7医疗设备安全专家Jay Radcliffe表示所有联网医疗设备对于病人的疗效巨大,且几乎不会造成什么损伤。 似乎眼下这个问题对病人的影响更加全方位,且数量上呈现上升趋势。这些问题更多地与医生和医院,甚至医疗设备的存放、共享以及访问权限有关。Radcliffe在与我们的一次讨论会中指出,如果说联网医疗设备会对病人安全造成影响的话,那最大的可能是由于黑客入侵或意外事件导致医疗记录遭到篡改或更改,从而使病人得到错误的治疗。 近年来医疗保健数据外泄时有发生,但有关方面依然没有尽快改进的打算。 在本周早些时候,心脏病专家兼作家Sandeep Jauhar博士在NPR(美国国家公共广播)的《Fresh Air》节目中接受了Terry Gross的访谈,他表示美国医疗保健体系之所以落后于其他国家,大部分原因在于美国缺乏信息共享机制。因此,要改进美国医疗保健系统并同时遵守《平价医疗法》的话,还有很多工作需要做:将更多的医疗设备进行联网;医疗保健服务提供商之间进行更多沟通;更多远程访问数据;以及较有可能实现的,更多地共享敏感医疗信息。从他的话中透出了这样的意思:采用更加先进医疗保健体系的国家已经开始进行此类的数据共享,只是数据泄露问题依然存在。 这并不是说美国医疗保健体系毫无希望。《健康保险流通与责任法案》(HIPAA)的颁布旨在部分保护消费者医疗保健信息的安全与隐私。但问题是医院和医疗设备制造商都需遵守各自的相关规定,以符合《健康保险流通与责任法案》要求。尽管如此,数据外泄情况依然不可避免,因为没有一个安全计划是完美的。每个人-无论如何努力-都最终无法避免个人数据被窃的结果。 如果受到影响会有什么后果,怎样才知道自己是否受到了影响? Community

Black Hat大会:网络攻击飞机、火车和汽车成为可能

拉斯维加斯–每年的8月初,来自全世界各地的安全和黑客社区成员云集内华达州拉斯维加斯,参加一年一度的”安全夏令营”,期间将举办Black Hat大会和DEF CON黑客大会和B-Sides这样的会议。Black Hat大会作为一项历史悠久的商业安全会议,在所有会议中具有绝对的影响力。然而,最近该项会议议题越来越贴近消费者,所谈论话题更多的是关于将智能家庭、关键基础设施、移动设备以及其它联网设备作为目标的攻击。 会议完全报道:没有关于黑客入侵火车的演讲。 卡巴斯基实验室研究员Roel Schouwenberg刊登于Securelist的一篇报告中探讨了对后PC时代Black Hat大会的一些想法。与此同时,来自Threatpost的Mike Mimoso也在他的文章中提到了类似的模式:”固件将成为黑客们攻击的新领域,通过U盘将病毒植入家庭路由器和汽车,能够利用漏洞、盗取数据并侵犯隐私。” 一方面作为一名与会者,我很高兴能听到这些新消息,因为这意味着一些 “暗藏杀机”软件平台(主要由企业使用)的bug报告数量更少或者没有增加,而更多谈论的是与我们日常生活息息相关的系统漏洞话题。另一方面,Black Hat大会讨论焦点的转移显示出一种令人担忧的趋势:安全漏洞离我们的实际生活越来越近。 主题演讲 今年大会由安全领域受人尊敬的杰出人物Dan Geer发表主题演讲。与去年美国国家安全局局长亚历山大(Keith Alexander)发表主题时的景象完全不同,今年没有全副武装的警卫、捣乱分子或成群拿着鸡蛋随时准备向台上招呼的反对者。在近60分钟的演讲中,所有与会者饶都有兴趣地听着In-Q-Tel(美国中央情报局的私人风险投资公司)首席信息安全官Geer所谈论的十大安全戒律。 整个演讲中不乏亮点,其中谈到了美国应以10倍价格收购所有待售出售bug,从而垄断整个漏洞销售市场。随后再将漏洞信息存入公共资源库,让任何一家公司都能修复每一个bug并”销毁所有网络武器”。在安全、自由和便利中,我们一次只能选两样。世界上只有两种东西不存在产品责任,一种是宗教,还有一种就是软件。互联网服务提供商可能会基于内容,随心所欲地进行收费,但需要承担内容的责任;或必须选择支持网络中立性,同时享受公共承运人的保护。 “明智地做出选择,”Geer说道。”互联网服务提供商应选择其中的一项,而不是全部。” 黑客入侵人类和医院 让我们重新回到”安全影响我们实际生活”的话题,我们曾非正式地讨论过有关医疗设备安全的话题,其中的一些漏洞的的确确会影响到我们的身体。对我们大部分人而言,更为普遍且更致命的是放在医院的一台台医疗设备,而不是安装在病人身体内的装置。 不久的将来,很可能会出现以一台或数台医疗设备为目标的网络攻击。但好消息是医疗设备本身的安全程度极高。一台全自动的嵌入式胰岛素泵在调节和修正胰岛素水平方面的效果,远远优于血糖仪和一个月胰岛素注射量的效果。 这些漏洞广泛存在于两台医疗设备之间的通讯方式中,以及许多医疗设备以外的案例中,且无论设备是在病人还是医生控制下。我们需要明确的是,犯罪分子用笔记本电脑向一个嵌入式心脏起搏器发送致命冲击的可能性微乎其微。这一风险听上去虽然恐怖,但事实上存在无数更轻松的方法可以致他人于死地。你要相信,这里真正的风险事实上比早间谈话节目更加无聊。 “固件将成为黑客攻击的新领域,通过U盘将病毒植入家庭路由器和汽车,能够利用漏洞、盗取数据并侵犯隐私。” 由谁来负责为医疗设备制作补丁?谁负责安装这些补丁?这些费用又由谁来买单?无论是设备制造商、医院还是用户本身都很难给出明确的答案。我们所说的医疗设备并非只是心脏起搏器和胰岛素泵这些小型的医疗器械;而是诸如核磁共振机、超声心动图机和X光机这样的大型设备,以及医生用于管理一些重要敏感医疗数据的平板电脑甚至是台式电脑(通常安装Windows XP系统)。 这次非正式讨论所得出的最终结果是:篡改医疗记录–医疗事故和其他内容–可能会造成用药或治疗的失误,这可能是我们在联网医疗设备领域即将面临最多且危险性最高的风险。 最后我们应看到好的一面,因为在遭受真正攻击前就预见即将产生的问题本身就是一个积极的信号,因为这在高科技领域并不常见。 雅虎加密所有邮件 雅虎此前因某些原因无法对其网页邮件进行加密遭受到猛烈抨击,因此在不久前雅虎宣布将在未来的几个月甚至几年里对雅虎邮件做出一系列的安全变革措施。其中最主要的方案就是对所有网页邮件进行端对端的加密。这一举措将使雅虎的安全程度提升至与Google同等的水平。 访问the

保护你最重要的个人数据

专门破坏用户数据并借此向用户索取 “数据恢复费”的恶意软件这两年横空出世,成为人们最热议的话题之一。当然–那些我们经常提到的勒索软件和其它恶意程序–毫无信誉可言,就算你支付了所谓的”数据恢复费”,有很大的可能性是你的数据依然遭受恶意软件加密或阻止访问。虽然如此,就我们从今年Black Hat安全大会得到的消息得知,CryptoLocker恶意软件的开发者们在这一方面还是相当”守信”的。 首先,我们依然不建议你向犯罪集团低头,比如通过支付300美元来恢复原本属于你的数据。因此,现在就行动起来—不要等到设备被感染的时候—好好计划一下如何防止数据丢失。我并不准备在这里告诉你哪一台设备会被感染,因为我也不知道。我要告诉你的是一旦感染CryptoLocker将一场巨大的灾难,而且还有很多其他的恶意软件将威胁到你的数据。 即便没有恶意软件的出现,我们也会因各种原因丢失所需要的信息。硬盘损坏所带来的灾难性后果不亚于感染CryptoLocker。各种千奇百怪的意外都会成为你丢失所需要和依赖的数据:将手机落到水池里,平板电脑被偷,甚至因为丢失一个小零件导致整台设备无法运行等等。 我们不建议你向犯罪集团低头,比如支付300美元来恢复原本属于你的数据。 首先你需要做的是确保对重要数据定期进行备份。如果你使用的是苹果电脑,苹果自带的时间机器(Time Machine)功能以及专用外部硬盘将助你完成备份工作。当然,Windows自带有自动备份功能。 事实上,聪明的用户通常会制作多个备份:一种是可以自己控制的(比如外部硬盘),还有一种是无法控制(比如信任的云存储供应商)。如此,一旦发生灾难性事件,比如你的电脑感染了恶意软件后莫名其妙地无法运行,同时连接电脑的外部硬盘也受感染而无法正常存取。不用担心,你还有第三个备份-基于云的存储方案。 另一种方案叫做”未雨绸缪”,即在感染恶意软件之前就采取保护措施。主要有两种方法可以避免感染:一是凭一己之力对所有点击的网页以及有意或无意下载到电脑的文件进行甄别和筛选。但问题是我们是人而不是机器,是人都会犯错—更不用说网络犯罪分子的高超犯罪手段是我们无法想象的。因为通过欺诈我们这样的用户将恶意软件装入我们的电脑是他们唯一的谋生手段。而另一种防止受恶意软件感染的方式则是安装信任的安全解决方案让机器自行进行保护。 我们推荐卡巴斯基安全软件多设备版–或者我们亲切地叫它— KIS MD (kiss-emm-dee)。这款软能够保护你的所有设备免受几乎任何的威胁和感染。卡巴斯基安全网络(KSN)全天候24小时运行,并时刻处于警戒状态。举个例子,当一种全新病毒出现在了位于新西兰一台受卡巴斯基保护的机器上时,KSN能在几分钟内即编写出一个检测特征,无论你在世界的哪个角落,都能即刻使你的计算机得到保护。一旦你所有的设备安装了卡巴斯基安全软件多设备版本,感染KSN未知病毒的可能性几乎为零。即便你的设备不幸受到感染,KIS MD能将所有运行该解决方案设备上的病毒感染消灭地一干二净。 如果你遵照我们所有指示的话,即能完全抵御那些即将危害你的机器和数据的恶意软件,但你依然需要保留一些应急方案以防不测。 就网络安全而言,一点点思考就能对你帮助良多。 #由恶意软件造成的数据丢失是一个严重的问题,因此运行一款反病毒解决方案并备份你的机器必不可缺

雅虎为所有连接数据中心的邮件加密

拉斯维加斯–雅虎长期以来未能对其众多网页服务进行默认加密,因此在安全和隐私领域被众多竞争对手远远甩在身后,最终成为数字倡导组织的笑柄。然而大约在去年的时候,雅虎公司在很短的时间内即扭转局面,开始认真对待加密问题,并迅速地将其安全与隐私保护能力提升至与Google和微软同等的水平。 雅虎表示将于明年为其所有使用雅虎邮箱的用户启用端对端加密,这意味着用户的邮件从自身机器发出后,通过雅虎服务器再一路传送至收件人的邮箱,其间的整个过程邮件的内容始终处于加密状态。同时,雅虎公司还与Google共同开发项目,使加密透明且易于使用。 “斯诺登事件后,我们并没有对此加以重视,使得我们无法专注于所面临的现实问题。我们作为一个产业已然失败了。因为我们无法保证用户的安全。 本周在内华达州拉斯维加斯举办的Black Hat安全大会上,作为雅虎新任的首席信息安全官Alex Stamos表示,有关安全和隐私的项目将成为他任期内的首要工作。 据报道,雅虎在6月通过使用Google针对Chrome发布的浏览器插件,对离开浏览器的所有数据启用端对端加密。雅虎和Google的合作关系相当重要,Stamos解释道,因为这能确保雅虎邮箱用户与Gmail用户之间的通讯得到高度加密。 “我们的目标是让雅虎邮箱与Gmail完全兼容。”Stamos在周六说道。 雅虎其它的安全改进措施还包括实施HSTS(HTTP强制安全传输),这能使得网站能够在用户浏览器上强制进行加密连接;而证书透明度则通过采用信赖认证中心的公开日志及他们所背书的证书,以达到阻止网站欺诈和其它中间人攻击的目的。 这一系列的安全举措将大幅提升雅虎在电子前哨基金会每年”Who’s Got Your Back?”和”加密报告”上的评分。当然,更重要的是用户将能够安全和私密地进行通讯,不用再因为自己的网络知识有限而害怕遭到窃听。 “斯诺登事件后,我们并没有对此加以重视,使得我们无法专注于所面临的现实问题。我们作为一个产业已然失败了。因为我们无法保证用户的安全。” 先前的落后者@雅虎正在通过#一系列加密举措对#安全和#隐私领域进行大力改进

一周要闻:Black Hat与DEF CON大会预览

全球黑客和安全领域两个最重量级的会议:Black Hat和DEF CON大会将于下周在内达华州的拉斯维加斯举行。在本周新闻综述,我们将展望这两个会议的同时,对本周发生的新闻进行一番回顾。 黑客大会抢先预览 Black Hat与DEF CON安全大会将于下周召开,我们将首先展望这两个会议来开始我们的本周新闻综述: 卡巴斯基实验室安全专家Vitaly Kamluk的演讲是我们最为期待的,他将在大会上再次提及Absolute Computrace漏洞问题,在之前2月份举办的安全分析师峰会期间我们曾有写到过。 此外,安全研究员Joshua Drake也将展示他所建造的工具,这一工具足以彻底颠覆目前全球对安卓系统安全性的研究。从本质上说,这一工具集中了所有他能找到的各种安卓设备,且各自适合的操作系统稍有不同。他们认为只有通过这样的方式,安全研究员们才能对目前众多的安卓操作系统有一个更加全面的了解。来自Bluebox Security的Jeff Forristal将作另一场有关安卓系统的有趣演讲,他的研究显示数百万台的安卓设备内存在一种关键漏洞,可使恶意应用伪装成受信任的应用,让攻击者能够将恶意代码植入合法应用,甚至直接控制受感染的设备。 而在今年的DEF CON大会上,主办方将举办一场以黑客入侵路由器为主题的比赛。选手们需要入侵SOHO Wi-Fi路由器,比赛规则公布在SOHOpelessly遭到入侵的网站上。参赛选手必须在DEF CON大会举办期间说明并展示他们如何利用零日漏洞来入侵路由器的。届时将向获胜选手颁发奖品,具体奖品类型尚不得知。 全球最大社交网络遭遇麻烦 接下来,我们将一一回顾本周已发生的新闻事件:本周有关Facebook的新闻可以说是喜忧参半。 首先是本周一,来自欧美的一个隐私倡导团体要求Facebook推迟实施全新针对性广告政策。此前,Facebook的广告几乎全部基于用户所钟意的页面。就在上个月,这家社交网络公司发布了一条令人不解的声明,表示他们将赋予用户更多对所见广告的控制权,同时还将开始收集用户更广泛的网络冲浪行为信息。 众多用户团体向美国联邦贸易委员会提出抗议,希望延迟或者完全阻止Facebook进一步采集用户在Facebook域名以外的上网信息。这些团体表示Facebook的这一计划直接反驳了与此前所做出的有关隐私和用户跟踪方面的声明。就在上个月,Facebook还表示”用户将能自主控制网页上所看到的广告”,此前的声明明显欺骗了用户。 破坏性巨大的攻击迫使组织重建整个系统。 据Threatpost报道,在周二,Facebook修复了其安卓应用内的漏洞,这一漏洞能够让攻击者在受害人设备上造成拒绝服务的情况,或通过在设备上传输大量数据导致受害人手机账单飙升。因此,如果你在安卓系统运行Facebook的话,确保安装了最新的更新补丁。 另外,Facebook颇为流行的照片共享服务Instagram的移动版本并未部署完全加密。因此,用户不得不面临暴露浏览行为及会话cookie被窃的风险,这可能最终导致安卓和iOS系统的账户同时被盗。Facebook和Instagram都意识到了这一问题,并表示将修复这一漏洞,但修复的具体时间尚未给出。访问Threatpost和Kaspersky Daily,阅读更多内容。 高级持续性威胁 本周还曝出了中国高级持续威胁(APT)黑客入侵的事件,入侵对象则是曾参与以色列臭名昭著的”铁穹”导弹防御系统开发的国防承包商。据报道,在2011年至2012年期间,他们先后从以色列的三家国防承包商手中盗窃了一种特定型号反弹道导弹的详细原理图、火箭相关信息以及成页成页的其他机械文件。 据报道,另一个中国APT小组也入侵了加拿大一家主要的技术研究组织,最终迫使他们脱机下线。Threatpost的Chris Brook在其文章中写到此次攻击破坏性巨大,最终迫使该组织重建其整个系统。加拿大方面并未表示攻击发生的时间以及被盗资料的信息。

天网恢恢!六月热点诉讼案

网络犯罪分子永远是执法机构的严厉打击对象。今夏头一个月就带给大家一些相关新闻,下面让我们看看六月份有哪些犯罪分子落网。 黑客Guccifer被判更长时间的监禁 臭名昭著的罗马尼亚籍黑客Marcel Lazăr Lehel(化名为”Guccifer”)于今年初在罗马尼亚被捕,不出意外他会罪有应得:6月中旬,罗马尼亚法院判处其四年监禁。过去的几年中,Marcel曾入侵过大量私人互联网帐户,包括美国前总统布什的家庭电子邮件、美国前国务卿科林•鲍威尔(Colin Powell)的个人电子邮箱以及罗马尼亚秘密服务机构主管乔治•马伊奥尔(George Maior)的往来信函。据检方称,该名黑客利用多种方法,包括猜测安全问题答案来入侵用户帐户。算上此前已经被法院判处的缓期执行的三年监禁,目前他将面临长达七年的牢狱之灾。 勒索iPhone用户,少年黑客面临铁窗生涯! #安全性#天网恢恢 窃取iCloud凭证,被判4年监禁 几个月前我们的博客中曾发布过一篇关于苹果用户设备被非法锁定的文章(http://t.cn/RvIUP5R):苹果用户发现自己的苹果手机、平板电脑和计算机设备被一些网络骗子非法锁定,并以此要求用户支付赎金解锁,受害用户数呈不断上升趋势。此问题主要发生在包括俄罗斯在内的不多的几个国家,日前警方终于成功抓获了这些犯罪分子:六月初,两名住在莫斯科的少年黑客被捕,年纪分别为23岁和16岁,罪名是非法入侵大量用户帐户。这两名罪犯采用了两种行骗伎俩:一种是入侵用户的电子邮件帐户,煞费苦心地利用网络钓鱼页面收集用户的Apple ID凭证;另一种方法据称是将设备与预配置的帐户绑定,并利用”各种网络资源来生成广告”。这些广告貌似包含”大量媒体内容”,支持Apple ID帐户进行访问。一旦有人相信了广告并通过设备链接到该帐户,黑客即可成功劫持设备。目前,这两名罪犯都将面临4年监禁。 网络诈骗,被判10年监禁 FBI和欧洲当局追捕GameOver Zeus网络僵尸病毒首脑人物 似乎上个月俄罗斯检察官们收获颇丰,俄罗斯方面另外还有一些好消息。俄罗斯当地管理机构称,在卡巴斯基实验室专家的帮助下,他们无意中发现了一个犯罪团伙,怀疑该团伙意图从私人和公司银行帐户中窃取数千万美元的资金。据称,他们打算将一种特殊类型的恶意软件部署到用户计算机,以入侵用户的网银帐户,并向自己的虚拟帐户转帐,再利用不同城市的ATM机就能取出现金。警方表示,该团伙计划窃取大约100万美元。如果利用恶意软件入侵银行帐户的罪名成立,他们将面临最高10年的监禁。 FBI和欧洲当局追捕GameOver Zeus网络僵尸病毒首脑人物

你的iPhone手机是否已被黑客入侵?

众所周知,超过98%的智能手机恶意软件将安卓系统作为攻击目标。安卓系统之所以成为众矢之的原因在于:其竞争对手苹果iOS系统的用户只能从管理严格的应用商店下载IOS应用,而苹果恰恰在防止恶意软件进入其应用商店方面功能强大。然而,苹果仅仅将注意力放在那些缺乏确切目标,旨在感染所有用户的大众化恶意软件上。如果有人想对你个人进行暗中监控,则情况完全不同。就算你不是什么犯罪分子、有影响力的商业人士又或是什么政治活动家,一样会成为他人监视的目标。可能你会因为一些其他的标准而被列入”可疑”或”引起关注”的名单中,接下来我们将就这一问题展开讨论。因此,某些间谍组织也很可能会感染你的iPhone手机。 在一些国家,其各个政府机构有能力渗透到任何一台被认定可疑的计算机或智能手机,以达到”监控”的目的或收集证据。这些机构通常都是使用所谓的”合法”间谍软件以实现监控。有一些跨国公司专门开发和销售此类软件。在这些公司中,有一家开意大利公司HackingTeam发了远程控制系统(RCS)软件aka Galileo。卡巴斯基实验室长期监控RCS基础设施,并在此前恰巧碰到了来自RCS的Windows恶意软件”植入体”( implants)。从恶意文件中发现众多疑点显示在智能手机上的确存在”植入体”,但我们并没有机会在互联网上直接捕获它。就在最近,卡巴斯基实验室在与来自公民实验室(Citizen Lab)的Marquis-Boire合作研究中发现了恶意软件的最新变异体。这些全新的病毒样本事实上是智能手机木马,能够同时在安卓和iOS系统上运行。 iOS恶意软件 在近期RCS研究中的这一重要新发现是一种用于感染iPhone手机的方法。其感染途径每次都不尽相同,可能会包括社交工程欺诈、漏洞利用以及鱼叉式网络钓鱼等。恶意软件通过潜伏在计算机内,偷偷地开展一些典型的间谍活动,例如按键记录以及在受害人将智能手机联网同步iTunes后进行间谍活动。如果间谍软件操作者想要感染一部智能手机,其内在的木马病毒会偷偷地对联网的iPhone手机进行越狱,随后再安装手机间谍部件。这时候,iPhone会自动重启,而这显然说明你的手机哪里出问题了。每一款恶意软件都相当”狡猾”,它会使用多个逻辑触发以小心进行侦查,例如只有在靠近攻击者特定Wi-Fi网络或在手机充电时才会进行间谍活动。它并不会过于耗电,因为这可能让受害人产生警觉,意识到手机可能出什么问题。 #卡巴斯基实验室发现#间谍#木马病毒,能够同时在#安卓和#IOS系统上运行。 RCS手机木马能够开展你所能想到的各种间谍活动,包括位置报告、拍照以及对短信、WhatsApp和其他即时通讯软件进行监控,当然还有窃取联系人信息等其他间谍行为。 当然,攻击者要想入侵一部特定的iPhone手机,依然还存在一些限制性条件。首先,将入侵的iPhone手机必须运行”能够越狱”的iOS系统版本。对于目前大多数的版本来说,已知的越狱方法都不适用,但一些老的版本则存在漏洞。其次,还需要 iPhone手机在越狱时无密码锁定。然而,同时符合上述两个条件的手机并不在少数,而间谍软件操作者无疑拥有大量在iOS上运行的木马病毒。 受害人 在卡巴斯基实验室和公民实验室合作开展的最新调查显示,受害人名单中包括了一些激进分子和人权拥护者,当然还少不了新闻记者和政界人士。然而,对于某些受害人,其成为目标的原因尚不明了。最明显的一个例子是一名英国普通的中学历史老师也赫然出现在受害人名单之中。 绝大多数已发现的RCS控制服务器架设在美国、哈萨克斯坦、厄瓜多尔、英国以及加拿大。卡巴斯基实验室首席安全研究员Sergey Golovanov这样说道:”在某一国家架设服务器并不表示说这些服务器的使用者是所在国的执法机构。这只能说明RCS使用者将服务器部署在他们能控制的地区—这些地区发生越境法律问题的风险很小且服务器被没收的概率也很低。 保护 为避免感染风险,卡巴斯基实验室的专家们给出了如下建议:第一,不要手机越狱;第二,经常地将你设备上的iOS系统升级到最新版本。此外,在计算机上运行一款强大的安全软件同样能够极大地降低计算机受病毒感染的风险。

苹果iOS 8安全性

上周,苹果依照惯例在全球开发者大会上发布了最新版手机操作系统。总部位于加州库比蒂诺的苹果公司此次推出的iOS 8号称是”全球最先进的手机操作系统”。这一说法显然颇有争议,但新平台确实有一些设计周密的安全隐私功能,此外还对应用开发环境进行了重大改革。 新系统中对安全隐私的改进最大,即随机生成介质访问控制(MAC)地址,但很可能这也是用户最容易忽视的。MAC地址是一种唯一标识,广泛用于跟踪Wi-Fi网络上的设备和用户行为。据称,用户连到公用Wi-Fi网络并与其进行交互时,零售商和其他各方可通过跟踪MAC地址来更多地了解用户的行为。 但问题是,很多用户对此跟踪完全不知情,这也意味着用户可能根本就不同意被跟踪,至少在传统意义上是这样。 在iOS 8中,无线网络扫描苹果的i系列设备时,这些设备将生成随机MAC地址。这样零售商就无法跟踪商店内客户的活动和其他行为。随机生成MAC地址对于许多根本没意识到被跟踪的苹果迷来说,是隐私保护方面的巨大进步。 随机生成MAC地址是对于许多根本没意识到被跟踪的#苹果迷来说,是#隐私保护方面的巨大进步。 另一个很不错的安全隐私改进是,支持用户将DuckDuckGo作为Safari浏览器中的默认搜索引擎。DuckDuckGo是一种替代搜索引擎,它不会根据搜索查询收集用户信息或其他任何相关信息。而且,DuckDuckGo会尽可能确保用户通过加密的HTTPS连接与网站进行交互。搜索DuckDuckGo从某种意义上来说系统性更强,因为查询不会根据感知到的用户关注内容进行定制,而这是其他引擎的通用做法。 当然,本发行版中还包罗了各种更华丽且实用的功能。照片将在所有连接设备上共享,用户能够轻松将语音添加为短信(我想这是电话应该具有的功能),此外,苹果还高调推出了更简洁的全新通知界面。显然,在各设备之间实现照片共享未来可能会出现各种隐私和安全问题,但就目前来看,还没有什么明显的安全问题。 然而,一些与家庭共享功能一并提供的新键盘功能,更深层次的iCloud集成,以及新平台明显的雄心壮志,要吸引更多的应用开发,这些都会对安全隐私产生重大影响。 苹果称,新的软件开发者工具包(SDK)是App Store发布以来最大的一个开发工具包,应用编程接口(API)超过4000个。如果我们对苹果的新闻稿解读无误的话,这些举措和新的应用编程语言很可能会使App Store更为开放,环境类似Google Play(但苹果的预审查政策仍生效)。一方面,这意味着会有更多应用发布到App Store;另一方面,这也意味着面临着更多威胁,当然这并不一定会对用户构成威胁,具体取决于苹果如何在已改变的环境中应对安全性。 新的开发者工具包中,我们将密切关注的一个工具包的”HeathKit”。此工具包支持开发人员构建运动健身应用,以更适合用于彼此交流,分享从健身计划到血压水平等各种用户信息。近年来,市面上运动健身类应用层出不穷,数量激增。但上个月,美国联邦贸易委员会发布的一份报告中警告说,运动健身类应用在获取和共享用户信息方面”胃口”过大,这引起了我们的关注。为不同应用提供彼此共享这些数据的能力(即便用户允许应用这样做,因为授予权限实际上被视为同意这样做)只会加剧这一问题。但平心而论,如果发布一些个人数据能促使用户加强锻炼,那么这可能是一种理智的取舍。 HomeKit是另一个相关API。它使开发人员有能力构建与现代化住宅不断增多的连接和”智能化”进行交互的应用。如果您定期阅读《卡巴斯基中文博客》,那么一定会知道住宅自动化系统安全性差强人意。苹果称,此工具包在安全性上已全部进行配对(这可能意味着通过某种方式使用了加密)和配置。但在打入开放市场之前,很难说安全性到底怎么样。 如果新的App Store像安卓一样对企业开放,那么我们可能会看到更多恶意应用纷涌而入。 总之,新版本看起来确实是对苹果现有开发环境的彻底革新,这着实让人兴奋不已。因为这意味着会有更新、更有创意的应用出现,包括第三方键盘、窗口小部件等等。但同时也让人略感担忧,因为与创新随之而来的是更多攻击接口和更棘手的攻击。如上所述,如果新的App Store像安卓一样对企业开放,那么我们可能会看到更多恶意应用纷涌而入。 如果要从本质上了解这种新的应用开发业务将以何种方式影响安全性,尤其是相对于安卓系统,请参阅Andrew Cunninghamrs在Ars Technica博客上发布的文章中的第二页,此文对此问题进行了详细阐述。 除了我们讨论过的内容外,使用新键盘时,”将根据过往的对话内容和书写风格,显示后续可能会输入的字词或短语供您选择。”此外,”iOS 8还考虑到了用户可能在短信中使用的书写网络较随意,而在邮件中则可能使用更正式的语言”,”还根据交流对象调整显示的预测内容,因为与伴侣对话时所选的字词肯定要比和老板对话中使用的更随意。”总之,这些功能意味着苹果将收集更多用户信息,这必然会影响到隐私性,不管这样做能带来多大程度的便利。iCloud提高了文件存储容量,用户可以在一个位置存储更多敏感信息,这也相应要求用户熟悉并启用该服务提供的安全功能。但同时,也意味着需要采取更多方法来备份和保护用户敏感数据。 通过新的”家庭共享”功能,用户有能力将自己的设备与设为其家庭成员的其他用户完全同步。此功能的优点是加强了家长控制,但风险也显而易见,它为新的潜在攻击开辟了一条新的途径 - 类似于最近报告中所报告的黑客利用iCloud访问锁定手机。我们将拭目以待黑客是否可能暗中将自己设为家庭成员,从而监视用户行为,窃取设备数据。

一周要闻:OpenSSL再曝漏洞

本周值得关注的新闻有:僵尸网络被联合行动捣毁;已遭破坏的OpenSSL加密库再曝漏洞;Google海量数据存储加密方面的新闻让人颇受鼓舞,但仍问题重重;昨天是爱德华•斯诺登事件曝光一周年。 一周#安全和#隐私要闻,作者@TheBrianDonohue。 Gameover僵尸网络 美国和欧洲执法机构联手捣毁了Gameover僵尸网络。僵尸网络是一种被恶意软件感染的计算机所构成的网络,计算机被感染后即成为帮凶,加入传播大军,在用户毫不知情的情况被利用于违法目的。Gameover用于散布Zeus宙斯木马,一旦植入此病毒后,即可实施网络欺诈计划,其中涉及窃取被感染用户计算机的财务凭证,将用户账户中的资金转入黑客所控制的账户。此外,Gameover最近还被用于散布臭名昭著的Cryptolocker勒索软件。 捣毁僵尸网络要求执法机构(有时会与私人公司联手行动)夺取对分发恶意软件的服务器的控制权,此服务器被称为命令控制服务器(C&C)。接管僵尸网络的行为就其本质来说,有时也被称为”sinkholing”技术。许多散布很广的僵尸网络都是通过这种方式捣毁的。针对这种情况,犯罪分子逐渐迁移到更有弹性的对等僵尸网络基础架构。此举实质上意味着命令控制服务器会在僵尸网络本身未知数量的机器上共享。 简言之,捣毁对等僵尸网络需要执法机构监视并了解其通信基础架构。一旦掌握了僵尸网络的通信方式,即可以着手复制其结构并控制僵尸网络。夺取了僵尸网络的控制权后,即能使僵尸网络停止运行。 要了解Gameover被捣毁所造成影响的精彩解读,请阅读卡巴斯基实验室全球研究与分析团队成员David Emm的讲解。 OpenSSL 新发现的OpenSSL漏洞非常严重,但严重程度和波及的系统范围略逊于Heartbleed。 Heartleed漏洞带来的伤痛还记忆犹新,昨天新闻中又曝出OpenSSL存在另一个严重漏洞。OpenSSL是互联网上大量用户使用的加密实施服务,这次新发现的OpenSSL漏洞非常严重,但严重程度和波及的系统范围略逊于Heartbleed。加密是指一种数学算法,用于保护用户在网上和计算机上所执行的操作、交谈和存储内容的安全。如果您觉得这种解释过于简单,请阅读哈希算法说明,更好地了解其工作原理。不管怎样,新漏洞是可通过远程方式加以利用,这意味着黑客在舒适的家里(或者连到互联网的任何位置)就能够利用此漏洞向不知情的用户发起攻击。黑客成功利用此漏洞入侵后,可拦截被入侵客户端与服务器之间的流量并进行解密。 利用此漏洞执行的攻击并不都这么简单(事实上,黑客很可能并不是在自己舒适的家里发起攻击的,但我想说明的是”可通过远程方式攻击”这个术语)。攻击者需要相对其目标处于”中间人”位置。顾名思义,中间人攻击是指:攻击者自身或利用工具插入用户和重要资源(例如,银行网站或电子邮件账户)之间。最简单的做法是监视流出不安全Wi-Fi网络的流量,这类Wi-Fi网络有许多是我们所有人几乎每天都会用到的。另外还有数十种其他方法可用来执行中间人攻击,您可以通过上面的链接了解相关信息。 发现此漏洞代码段的研究人员表示,此漏洞似乎从1998年开始就一直存在,几乎从未更改过。 端到端 昨天,Google发布了Gmail流量中在传输中被加密(例如,离开Google系统后)的流量所占比例。部分数据相当不错。搜索巨头Google发现,从Gmail发出的电子邮件中,大约69%经过加密,而Gmail收到的邮件中经过加密的占48%。这一比例相对于前几年已经有了大幅上升。 Google会对其服务器上的所有数据进行加密,所以上述研究结果反映的是其他服务对Gmail通信离开Google控制范围后的加密情况。在这里我有意轻描谈写,因为我们计划专门写一系列文章,具体探讨全球哪些服务在改进加密传输中的数据,哪些服务对此无动于衷。请继续关注我们接下来几周的博客。 Google还宣布开发出了一种工具,将用于加密所有流出Chrome浏览器的数据,这应该能帮助解决上面谈到的部分问题。我们对此工具的工作方式充满好奇。同样,请继续关注我们的博客,未来我们将就此发布相关文章。 “重置网络”行动 我们曾在每月安全新闻播客中提到过,6月5日是重置网络行动日。此项行动设定为斯诺登首次曝光美国国安局大规模监控项目周年纪念日并不是巧合,此行动的目的就是为了通过向日常网络用户提供高强度的安全和隐私工具,抵制政府监控行为。在此用户可以找到一些使用方便、几乎适用于任何操作系统的工具。请尽情享用这些工具,使用心得可以通过下面的评论部分与我们分享。