SSL

6 文章

HTTPS一定安全吗?

证书和绿色锁标记的存在意味着你和站点之间传输的数据是加密的,并且证书是由可信证书颁发机构颁发的。但是这并不能阻止HTTPS网站是恶意网站,这是网络钓鱼诈骗犯们运用最娴熟的伎俩。

寻找第三种手机操作系统:Cyanogen和Superfish等

最近包括联想事件(在其笔记本电脑硬盘内预装含有多个安全漏洞的垃圾广告软件)在内的隐私问题似乎又唤醒了人们对过去的记忆。再一次,因公开传统台式电脑操作系统的源代码允许第三方修改使得普通消费者的系统安全无法得到保护。尽管消费计算机行业已将更多的注意力放在设计得更为安全的移动平台,但有关”开放VS.安全”的话题依然争论不休。 尽管除iOS和安卓以外的移动操作系统规模小的可怜以及不存在Windows Phone install base进程,全球范围的一些移动领域理论分析师最近又在一个更加开放的论坛上重新讨论起了第三种可替代iOS和安卓的移动操作系统。这些与”第三种移动操作系统”相关的讨论无一例外地都谈到了需要某些定义模糊的”真正的开放”。 有些参与讨论的人恰巧是真正的开发者,其中即包括了Cyanogen公司的首席执行官Kirt McMaster。据Re/code网站报道,他首先在硅谷绕了一圈并随后北上,试图将安卓从”邪恶的巨兽”Google手中解救出来。而作为安卓系统投资者之一的微软,虽然完全有能力开发第三种替代iOS和安卓的移动操作系统,但依然更倾向于将源代码封闭。 最近Google为了保护其付出巨大成本的手机系统研发成果免于他人免费搭顺风车的一系列动作,遭到那些想在迅速增长移动市场分一杯羹的公司的强烈反对,这些公司对此极度失望,并向反垄断部门积极投诉Google的垄断行为。 这些反对Google的公司还采取了一系列的公关活动,号召每一名诚实的电脑迷将”神圣”的安卓系统从”邪恶的巨兽”Google手中解救出来。 然而再一次,我们需要歌手Meja提醒我们这一切都是为了钱。 为了更具体地阐述我的观点,我想与你们分享在过去的个人电脑时代我的一些个人经历:大约在10年前,当我还在读大学的时候,我常常勤工俭学通过给别人修电脑赚点外快。通过修复中国生产的廉价主板以及盗版的Windows系统,有时候能赚点现金,有时候则能享受到一顿免费餐。 干这活赚钱并不容易,有些难以解决的问题需要耗费我整整一天的时间,从早上一直干到晚上。其中有95%的问题是出在:这些毫无防范心的用户往往对大量的警告置之不理,并在安装软件或浏览互联网时点击了大量的提示窗口。最终他们的电脑因为不堪重负而停止运行,或因为安装了了大量垃圾软件和浏览器工具栏而死机。 计算机厂商为了多赚钱,在有些笔记本电脑和品牌个人电脑出厂时就已预装了过于臃肿的软件。你还记得为了给一台索尼VAIO笔记本装上干净版本的Windows系统需要多花50美元吗?这些场景依然历历在目。 每当听到a16z播客上播放的有趣观点:McMaster认为世界对于第三种移动操作系统早已渴望已久,我总能想起这些往事。他的观点是:这一即将出现的第三种移动操作系统必须不同于iOS和[不断减少]安卓系统,并对第三方开发者完全开放,以及能享受完全的言论自由。’毕竟,McMaster指出苹果和Goolge对于所有重要内容的完全控制正是亚马逊和Facebook力图撇开安卓系统另起炉灶的原因所在,如此他们才能更好地展示自己的品牌和产品。’ 从我与臃肿软件”斗争”的经验看来,这些公司之所以反对的真正原因是他们错过了Windows XP系统的”开放”机会。他们做梦都想有个机会能将自己以及其他公司的产品推销给我们,从而将同样臃肿的软件填满我们的手机,并帮助合作的公司在注意力经济时代赚取更多的钱。尽管是为了所谓的”公开”而战,但McMaster事实上正在为那些缺少创新能力或专业技术而无法赶上其他有实力公司的公司铺平了道路,这些公司无一例外缺乏专业技术、有吸引力的移动平台并且只专注于有利可图的广告收益。 换句话说,就这一点我们完全应该向那些”高筑围墙”的公司们致敬。

Superfish:联想笔记本电脑内预装的广告软件

2015年2月19日,联想笔记本电脑搭载预装了被称为”Superfish”广告软件的硬盘的事件遭到曝光,而两大主要问题也随之而来。 其一,在2014年9月到2015年2月这几个月内,联想指定的硬件制造商持续将预装了广告软件的硬盘装载到消费笔记本电脑内。 其二,则与Superfish的运行行为有关。该广告软件能够生成自签名证书,可能允许恶意第三方拦截SSL/TLS连接,更简单地说,就是在网页浏览器会话内添加“https”链接。 现在,让我们通过观察Superfish的实际行为来更详细地剖析第二个问题。 下方是通过IE浏览器访问的一家网上银行网站的截图,并且使用的是一台没有安装任何广告软件的干净PC电脑。点击锁定图标,显示的是SSL证书的信息: SSL证书由CA证书授权中心签发,确保网站的归属性。比如,VeriSign作为SSL证书的签发机构保证了”Japan xxxx BANK Co,Ltd.”的真实身份。该证书还被用于对加密会话上的用户ID或密码进行加密。因此连接的安全性得以通过这一方式得到保证。 第二个截图显示的是同一家网站。但这次却使用了已感染Superfish广告软件PC电脑上的IE浏览器访问。点击后清楚显示”Superfish”取代”VeriSign”成为了SSL证书的签发机构。 为什么会有这样的变化?原因在于Superfish在其软件上拥有自己的CA证书授权中心。这使其能够劫持用户的网页会话、生成自签证书并在使用后建立SSL连接。不幸的是,网页浏览器将Superfish生成的证书当作合法证书对待。因此,CA证书授权中心变成了Superfish,而不再是VeriSign。 此外,生成证书的私人密钥被包含在了软件内,任何人都可以随意获取。而密钥的密码已被外泄到互联网上。一旦密钥-密码匹配成功,任何怀有不良企图的人都可以拦截通过加密连接传输的数据,或直接注入恶意代码。最糟糕的情形是来自网上银行网站的网页会话内的数据被窃取。 因此我们强烈建议预装了Superfish广告软件的联想笔记本电脑用户将名为”Superfish Inc. Visual Discovery” 的软件(在Windows控制版面内卸载)和Superfish证书(从受信任的Root认证机构清单中删除)全部清除。 卡巴斯基安全产品能帮助您识别笔记本电脑是否已受到Superfish广告软件的感染。我们的产品完全能删除并未识别为病毒的广告软件:AdWare.Win32.Superfish.b。 此外,联想也在其安全公告(LEN-2015-101)内提供了自动删除Superfish工具的下载。

  • Onuma

世界杯期间,如何加强防御恶意软件攻击

世界杯开幕只剩两周的时间了,与自然灾难、社会变革、体育赛事等所有国际性事件一样—在世界杯上各支球队奋力争夺大力神杯的同时,网络黑客也会层出不穷。 这类威胁不仅仅是销售假球票和假彩票这样常见的低水平诈骗,而是又玩起了老把戏,即发布钓鱼网站和攻击,以便使用恶意程序感染系统。其中许多网站的外观看上去很像合法网页,甚至会使用以”https”开头的URL,https标记一般表示这是值得信任的安全网站,可以共享个人数据和财务数据。有些网站甚至提供免费获取门票的机会,并向用户显示包括实际住址在内的用户个人资料(这些是从其他网站盗取的),证明自己是合法网站。其中有一个网站提供所谓的可下载门票,但实际上这是一种恶意形式的银行木马,这种木马病毒能窃取与用户网银数据相关的敏感数据。 卡巴斯基实验室指南:世界杯期间免受恶意软件攻击 1. 认真阅读要访问的站点,确保站点是安全的,即便是之前定期访问的站点也不例外。最厉害的山寨钓鱼网站的相似程度超乎你的想像。 2.请注意,以”https”开头的URL不一定是安全网站,黑客们知道怎样搞定这样的URL。 3.不要信任来自不明发件人的电子邮件,对于这类电子邮件,除非能够验证其来源的真实性,否则切勿点击邮件中的链接或下载附件。 4.运行的系统务必装有最新的反恶意软件程序。 一家国际足联相关的钓鱼网站提供所谓的可下载门票,实际上这是一种恶意形式的银行木马。 虽然你无法掌控下个月会发生什么,但你的计算机能否在世界杯期间不受攻击则完全取决于你。

从Heartbleed漏洞中吸取的教训

我的工作内容不仅仅是分析各种恶意软件和漏洞,也不限于讨论最新的安全威胁,而更多大的一块工作是尽力向用户说明并教会用户如何构建安全性。因此,我设法重点说明的一些主要话题包括备份、防御恶意代码、通过打上最新的安全补丁使系统保持最新,当然还有使用加密方法的必要性。我敢肯定,你之前一定听说过所有上述的内容,对吗? 但如果使用的安全软件有漏洞,成为攻击者的攻击入口时,我们该怎么做? 这是目前热议的话题,尤其是近期曝出了OpenSSL Heartbleed攻击后讨论更为激烈。我决定让此专栏更具我的个人风格,因为我能肯定的一点是你们都能找到无数有关SSL及Heartbleed攻击的文章,但我想分享的是我本人对这些类型的漏洞为何变得如此严重的一些看法。 但在开始讨论Heartbleed攻击之前,我想提一下我们如今看待安全产品和解决方案失效时的心态问题,这一点很重要。我们往往是通过安全产品或解决方案的各种功能和特点来对其进行评估的,如果其符合我们所要达到的目标,则我们会选择购买。 我们如今看待安全产品和解决方案心态并不乐观 – @JacobyDavid 问题是我们往往会忘记安全产品并不能解决我们的所有问题。我们需要理解的是安全产品和解决方案体现的是安全思维。 那么为什么我要讨论OpenSSL Heartbleed漏洞问题呢?我想从一般意义上说,我们都假定互联网运行正常,是一个安全的平台。我们通过互联网传递非常私人的信息、进行约会、购物、通信、管理财务等等。正因如此,互联网的缺点就是一旦出问题,情况就会很快恶化,变得非常糟。 互联网存在的一个大问题是其极端分立性。有些网上资源具有安全性极高、非常稳健的基础架构,而另一些资源则完全忽视这一点,极为脆弱,漏洞百出。此外,有些站点非常安全和稳健,但由于存在大量系统依赖性而导致这些站点变得很脆弱。保护IT系统中的每一个部分的安全性几乎不可能实现。 互联网基础架构一旦出问题,情况就会很快恶化,变得非常糟。 使用互联网时,我们需要预见最糟糕的情况并采取相应的措施。问题是我们还会使用互联网世界以外的可信资源,例如医疗系统、政府部门或其他系统,而这些系统也全部使用的是互联网。所以,一旦出现类似Heartbleed漏洞这样严重的问题时,影响是巨大的。 一旦犯罪分子开始利用Heartbleed漏洞,很难说Heartbleed攻击的传播范围会有多广,影响会有多大。但想想看要是有人能够复制整个世界所有银行保险库的钥匙会怎样?这乍一听确实非常严重,但也完全取决于保险库所存放的物品。 我希望近期不要只盯着这类安全漏洞不放,因为我们这一段时间会忙着解决这一问题。但我们需要记住的是软件只是软件,其中总是会出现或多或少的漏洞。我们还需要了解的是,即便进行备份、加密和防御恶意代码,也仍然有可能会泄露敏感数据。一旦数据泄露,我们需要想尽一切办法,使这些数据无效,让犯罪分子无机可乘。

“Heartbleed”漏洞恐令数千网站泄密

更新:在上一篇有关此漏洞的文章中曾提到(引用了Github上的列表)HideMyAss网站用户受到Heartbleed漏洞的威胁。但该网站发言人与我们联系表示,他们的用户并未受此漏洞的影响,所以我们从受影响网站列表中删除了此网站。 更新2:专栏已更新受影响服务列表,这些服务官方推荐更改用户密码。 NPR(美国国家公共广播电台)主播David Green在早8点主持的《早间节目》中讨论安全漏洞话题后,人们都知道了安全漏洞是非常严重的问题。昨天早上的节目中又提到了此话题,这次是OpenSSL中的一种严重的加密漏洞,被戏称为”Heartbleed”(心滴血)。OpenSSL可能是互联网部署最广泛的加密库。如果您不是很清楚什么是OpenSSL,别担心,下面我会用500字左右的篇幅来尽量解释清楚整个原委。 与网站建立起加密连接后,数据都将使用SSL/TLS协议进行加密,不管你连接的Google、Facebook还是网银。许多流行的网络服务器利用开源OpenSSL库来执行此加密作业。本周早些时候,OpenSSL的维护人员针对一种严重漏洞发布了修订,此漏洞在实现TLS功能时出现,称为”Heartbeat”(心跳包),攻击者借助此漏洞可从服务器内存中读取多达64 KB的数据。 换句话说,如果保护机器的库是有漏洞的版本,那么互联网上的任何人都能通过该漏洞来读取机器内存。最坏的情况是这一块小小的内存中可能含有敏感数据 – 用户名、密码,甚至包括服务器用于加密连接的专用密钥。此外,利用Heartbleed漏洞不会留下痕迹,没有确定的方法来判断服务器是否被黑客入侵过,也无法断定哪类数据被盗。 好消息是OpenSSL修复了该漏洞。但坏消息是没有办法保证受Heartbleed漏洞影响的这些网站和服务实施补丁来减轻漏洞的影响。更多的坏消息是,该漏洞很明显能够被轻松利用,而且可能已存在长达两年时间。这意味着许多流行网站的安全证书已被盗,包括密码在内的敏感用户数据也很可能遭窃。 用户行动计划 更新:Mashable收集的清单列出了来自受影响网络服务的正式PR回复。为了节省阅读表格并检查证书(下面有更多检查相关内容)的时间,只需在以下所有站点上更改密码即可:Facebook、Instagram、Pinterest、Tumblr、Yahoo、AWS、Box、Dropbox、Github、IFFT、Minecraft、OKCupid、SoundCloud和Wunderlist。请对每个站点使用唯一密码! 检查自己喜欢的站点是否有漏洞。有多种在线工具可检查是否存在漏洞,但你还需要知道之前是否有存在过。很幸运,你可以根据一个长长的流行网站列表来检查是否有漏洞。好消息是,PayPal和Google未受影响。坏消息是,Yahoo、Facebook、Flickr、Duckduckgo、LastPass、Redtube、OkCupid、500px及其他许多网站都存在漏洞。如果您在这些脆弱网站上有注册有帐户,请准备好随时行动。 立即检查网站是否有漏洞。有一个简单工具可用于此检查。 网站所有者修复漏洞后,还需要考虑重新发布网站证书。因此准备好监视服务器证书,并确保使用的是最新证书(4月8日或之后发布的证书)。为此,请启用浏览器中的证书撤销检查。下面举例说明了如何在Google Chrome设置中启用此项。 此项将阻止浏览器使用旧证书。要手动检查证书发布日期,请点击地址栏中的绿色锁图标,然后点击”连接”选项卡上的”信息”链接。 对服务器打补丁并更新证书后,最重要的一步是立即更改密码。此时可修改密码策略,并开始使用容易记忆而又安全的密码。您可以使用我们的密码检查程序来检查新密码是否安全。