Heartbleed
在本周的新闻中,我们仍将讨论OpenSSL和目前令人厌恶的Heartbleed bug;苹果在其移动iOS系统和标准的OSX系统中解决了加密问题;AOL及其客户遭受了一起严重的安全事故;爱荷华州立大学遭到黑客攻击,攻击者试图利用大学的计算资源来挖掘比特币。
“传奇”仍在继续
关于OpenSSL Heartbleed bug影响范围和严重程度方面的讨论一如既往的热烈。其中大多数讨论围绕着数字证书系统的长期前景展开,而数字证书系统则基本涵盖了互联网信任以及加密的功效和所遇到的陷阱。
不过,本周的情况有所不同,至少是与之前几周稍有不同,因为这似乎是公司首次真正开始寻找方法来避免这些bug再次出现。
一种名为核心基础设施倡议的新协作计划正在汇集资源,以筹集数百万资金,专门用来支持对于Web安全至关重要的开源项目。OpenSSL是第一个作为资金服务对象来考虑的项目,目前主要由Linux基金会、微软、Facebook、亚马逊、戴尔、谷歌以及其他一些著名的高科技公司为此协作计划提供资金。Mozilla公司也正在作出反应,利用高达1万美元的特殊漏洞赏金计划来奖励这样的研究人员:能够在新证书验证库(准备在今年夏天添加到Firefox浏览器的31版本)中发现严重安全漏洞。
苹果修复iOS和OSX系统内的SSL漏洞
在一个类似但完全不相关的说明中,苹果针对在iOS和OSX众多版本中存在的一个严重安全缺陷发布了修复补丁。该漏洞可能使攻击者能够从被认为加密的SSL连接中截取数据。换句话说,这一bug可能会使得攻击者读取消息的内容——无论是短信还是其他敏感信息。
这一bug是苹果公司于周二在其两个主要操作系统中修复的众多bug之一。虽然可能不是很严重,但这些加密漏洞会造成别的后果。因此,如果您正在使用任意一款Mac产品,则建议您前往App Store,尽快安装苹果操作系统更新。
一贯安静的AOL成为了关注焦点
这些天所发生的事情让我对AOL的email供应商市场份额产生了怀疑(相信我,我看过),但是本周确实有数量未知的AOL邮箱用户账号遭到”欺骗”。这些账号一旦被盗,攻击者们或僵尸网络就会开始向被盗用账号上的联系人发送大量垃圾邮件。AOL已证实意识到这是一起黑客事件(尽管AOL并没有称之为”黑客攻击”),但目前尚不清楚有多少用户账号受到影响,也不清楚到底发了多少垃圾邮件。令人奇怪的是,AOL声称邮箱账号被盗可能性不大,并表示这些账号受到愚弄的可能性更大。
正如AOL所提到的,欺骗攻击的方式主要是发送垃圾邮件,这些邮件看似是来自受害者邮箱,但从技术角度来看实则来自攻击者的邮箱账号,并通过攻击者的服务器发送。换句话说,AOL表示没有账号受到大规模的入侵,只不过是攻击者模拟了受害者的账号。这一辩解显然无法解释攻击者如何获得受害者的联系人列表,这意味着随着时间的推移,将有更多的账号被攻击。
美国短信木马
收费短信木马并不是什么新鲜事物。整个诈骗过程是这样的:攻击者强迫受害人将木马下载到自己的移动设备上。木马获得在受感染设备上发送短消息(文本)的能力。之后木马发送短消息到收费服务,该服务或者由攻击人控制,或者由向攻击方付款的一方来控制。之后这些消息的费用将由受感染设备的所有者来支付。
正如我所说的,此类花招已存在多年了。奇怪的是,由于未知的原因,短信木马从未真正在美国散播开来。本周早些时候这一情况发生了改变,我们在Securelist上的朋友发现一个在安卓系统上的木马正在作恶。
似乎仅仅作为首例针对美国安卓用户的收费短信木马还不满足,这款名为”FakeInst”的短信木马还将攻击目标锁定在了其他65个国家的安卓用户。事实上, FakeInst还将来自德国、法国、芬兰、香港、乌克兰、英国、瑞士、阿根廷、西班牙、波兰、加拿大、中国以及更多国家的用户锁定为攻击目标。
黑客入侵爱荷华州立大学的目的是… 比特币!?
你看的没错。美国一所知名的州立大学遭到黑客入侵,其学校计算能力被用于生产比特币。比特币作为一种数字加密货币,其过去一年中的价格起伏不定。如果你有充足的计算机能力,就可使用这一能力来解决算法问题并生成新的比特币。这个过程被称为”挖矿”,在此过程中可赚取大量资金。与所有的网络犯罪类似,所做的一切都是为了追逐金钱。恶意挖矿并不是什么新伎俩,但这一事件让让人感觉新奇的是犯罪分子尽然将目标转到一所知名高校的计算能力上。这还不是全部,该起黑客事件似乎还造成多达3万名爱荷华州立大学学生社会保险号的泄露。
提示