卡巴斯基官方博客

在本周的新闻中，我们仍将讨论OpenSSL和目前令人厌恶的Heartbleed bug；苹果在其移动iOS系统和标准的OSX系统中解决了加密问题；AOL及其客户遭受了一起严重的安全事故；爱荷华州立大学遭到黑客攻击，攻击者试图利用大学的计算资源来挖掘比特币。 “传奇”仍在继续 关于OpenSSL Heartbleed bug影响范围和严重程度方面的讨论一如既往的热烈。其中大多数讨论围绕着数字证书系统的长期前景展开，而数字证书系统则基本涵盖了互联网信任以及加密的功效和所遇到的陷阱。 不过，本周的情况有所不同，至少是与之前几周稍有不同，因为这似乎是公司首次真正开始寻找方法来避免这些bug再次出现。 美国首次出现基于安卓系统的短信木马；追踪OpenSSL Heartbleed病毒的最新消息；苹果修复iOS和OSX系统内漏洞；AOL遭受黑客攻击；以及爱荷华州立大学比特币”挖矿事件”。 一种名为核心基础设施倡议的新协作计划正在汇集资源，以筹集数百万资金，专门用来支持对于Web安全至关重要的开源项目。OpenSSL是第一个作为资金服务对象来考虑的项目，目前主要由Linux基金会、微软、Facebook、亚马逊、戴尔、谷歌以及其他一些著名的高科技公司为此协作计划提供资金。Mozilla公司也正在作出反应，利用高达1万美元的特殊漏洞赏金计划来奖励这样的研究人员：能够在新证书验证库（准备在今年夏天添加到Firefox浏览器的31版本）中发现严重安全漏洞。 苹果修复iOS和OSX系统内的SSL漏洞 在一个类似但完全不相关的说明中，苹果针对在iOS和OSX众多版本中存在的一个严重安全缺陷发布了修复补丁。该漏洞可能使攻击者能够从被认为加密的SSL连接中截取数据。换句话说，这一bug可能会使得攻击者读取消息的内容——无论是短信还是其他敏感信息。 这一bug是苹果公司于周二在其两个主要操作系统中修复的众多bug之一。虽然可能不是很严重，但这些加密漏洞会造成别的后果。因此，如果您正在使用任意一款Mac产品，则建议您前往App Store，尽快安装苹果操作系统更新。 一贯安静的AOL成为了关注焦点 这些天所发生的事情让我对AOL的email供应商市场份额产生了怀疑（相信我，我看过），但是本周确实有数量未知的AOL邮箱用户账号遭到”欺骗”。这些账号一旦被盗，攻击者们或僵尸网络就会开始向被盗用账号上的联系人发送大量垃圾邮件。AOL已证实意识到这是一起黑客事件（尽管AOL并没有称之为”黑客攻击”），但目前尚不清楚有多少用户账号受到影响，也不清楚到底发了多少垃圾邮件。令人奇怪的是，AOL声称邮箱账号被盗可能性不大，并表示这些账号受到愚弄的可能性更大。 正如AOL所提到的，欺骗攻击的方式主要是发送垃圾邮件，这些邮件看似是来自受害者邮箱，但从技术角度来看实则来自攻击者的邮箱账号，并通过攻击者的服务器发送。换句话说，AOL表示没有账号受到大规模的入侵，只不过是攻击者模拟了受害者的账号。这一辩解显然无法解释攻击者如何获得受害者的联系人列表，这意味着随着时间的推移，将有更多的账号被攻击。 美国短信木马 收费短信木马并不是什么新鲜事物。整个诈骗过程是这样的：攻击者强迫受害人将木马下载到自己的移动设备上。木马获得在受感染设备上发送短消息（文本）的能力。之后木马发送短消息到收费服务，该服务或者由攻击人控制，或者由向攻击方付款的一方来控制。之后这些消息的费用将由受感染设备的所有者来支付。 正如我所说的，此类花招已存在多年了。奇怪的是，由于未知的原因，短信木马从未真正在美国散播开来。本周早些时候这一情况发生了改变，我们在Securelist上的朋友发现一个在安卓系统上的木马正在作恶。 似乎仅仅作为首例针对美国安卓用户的收费短信木马还不满足，这款名为”FakeInst”的短信木马还将攻击目标锁定在了其他65个国家的安卓用户。事实上， FakeInst还将来自德国、法国、芬兰、香港、乌克兰、英国、瑞士、阿根廷、西班牙、波兰、加拿大、中国以及更多国家的用户锁定为攻击目标。 黑客入侵爱荷华州立大学的目的是… 比特币！？ 你看的没错。美国一所知名的州立大学遭到黑客入侵，其学校计算能力被用于生产比特币。比特币作为一种数字加密货币，其过去一年中的价格起伏不定。如果你有充足的计算机能力，就可使用这一能力来解决算法问题并生成新的比特币。这个过程被称为”挖矿”，在此过程中可赚取大量资金。与所有的网络犯罪类似，所做的一切都是为了追逐金钱。恶意挖矿并不是什么新伎俩，但这一事件让让人感觉新奇的是犯罪分子尽然将目标转到一所知名高校的计算能力上。这还不是全部，该起黑客事件似乎还造成多达3万名爱荷华州立大学学生社会保险号的泄露。

与上周一样，Heartbleed大事件仍是安全类新闻的头条。也许我该用整个篇幅来全面概述有关Heartbleed事件的讨论内容，但我不会这么做，因为我想你们可能还希望了解影响外置硬盘知名（时尚）品牌制造商长达一年之久的数据外泄事件；微软的奇怪举动，可能会影响用户安装安全更新；某家搜索巨头的潜在行动计划可能会促进网站搜索优化，使网站做出良好的安全决策；看看终结XP支持对互联网有怎样的影响。 Heartbleed漏洞 如我所说，Heartbleed大事件仍在持续报道中。有可能在之前两周半左右的时间里，你完全没注意过任何相关新闻来源，下面我会对此事件进行扼要概述：Heartbleed是一种加密漏洞，互联网上的任何人都能借助此漏洞来读取通过OpenSSL这种加密实施服务进行保护的机器内存。严重情况下，这块小小的内存中很可能含有用户名、密码，甚至私人加密密钥等敏感信息。要在一条简短的新闻提要中清楚解释整个事件是不可能的，如果您对此事件不是很清楚，请阅读Heartbleed发展概要，文章中进一步分析说明了为什么Heartbleed是一个大事件。如果你对此事件的发展已经很熟悉，请继续阅读本文： 上周末，Heartbleed事态进一步升级，已经从严重但仍认为安全的漏洞过渡到在真实世界攻击中被大肆利用，不断收集真实受害者的信息。一家英国育儿网站Mumsnet被黑客利用Heartbleed漏洞攻击后，被攻击者窃取了存储在该网站上的密码，据报道说攻击者利用这些密码在网站上发布消息。更令人担心的是，攻击者还利用Heartbleed漏洞设法入侵加拿大税务署辖下的系统。在加拿大税务署在使用OpenSSL的补丁版本更新系统之前6小时内，攻击者就盗走了900位市民的社会保险号。 可能导致密码、通信和加密密钥泄露的OpenSSL Heartbleed bug仍是安全行业新闻头条 美国波士顿东北大学的Collin Mulliner发起了一项研究，针对Tor节点随机采样进行检查，根据上周晚些时候发布的报告，Tor匿名化网络中大约有20%的服务器或”出口节点“被发现具有漏洞。 虽然出现了Heartbleed攻击，但概念验证证明，由于事实上存在证书被盗的可能性，而且很多人都知道需要更换可能有漏洞的证书，因此证书撤销和更换潮似乎实际上算不上什么”潮”。简而言之，这些证书可确保所访问的网站正是你要去网站。很大程度上证书在互联网上的信任度非常高。当然，Heartbleed漏洞出现后，证书撤销和更换操作出现井喷，但相对于bug的规模是完全不成比例的。 LaCie长达一年的漏洞 据我同事（每月新闻播客主持人之一）Chris Brook报道，法国计算机硬件公司LaCie（莱斯）本周宣布公司成为数据外泄的受害者，只要去年从公司网站上购买过产品的用户，其敏感信息都面临泄露危险。LaCie最出名的产品可能是彩色外置硬盘。该公司称，攻击者利用一款恶意软件入侵公司在线系统，并利用此软件来盗取客户名称、地址和邮箱地址，此外还包括支付卡信息和卡到期日期。所以，如果你大约在去年直接从LaCie网店买过产品，那么你的信息很可能已外泄，如果情况属实，公司可能已经通知过您相关情况。 微软做出古怪决策；Google搜索算法很可能再造辉煌 微软的行动着实让我想不通，但我想他们肯定有充分的理由这样做。微软最近宣布，不再为运行过时版本的Windows 8.1的用户提供安全更新。要想在未来接收安全更新，客户必须使用最新版本的Windows 8.1更新来更新自己的机器，公司于4月推出此更新版本。 我曾和微软发言人交流过，但他并未详细解释为何公司会做出这一决定。好消息是，微软发言人肯定地指出，此项决定的宣布只会影响很小一部分没有启用自动更新功能的用户。明确地说，就是我们极力推荐启用自动更新，我认为默认情况下大多数商用Windows系统都已启用自动更新。如果您已启用，那么就根本不必有任何担心。如果是手动安装更新，则需要安装4月份的Windows 8.1更新，否则将无法安装微软未来每月发布的补丁。您可自行选择怎样做，但对我来说是完全明摆着的事。 另一方面，有谣言说搜索巨头Google可能会在自己魔法般的搜索算法（至少我是这样认为的）中新增一些算法，此举将极大提高实施加密的网站的搜索结果。《华尔街日报》报道说，此新闻源于该公司搜索算法大师Matt Cutts在一次会议上的发言。Google并未直接否认这些说法，但他们称公司目前对此不置一词。很难说Google是不是会真的考虑增加算法，但无疑这看起来是个不错的主意。 XP的终结？ 微软不再对Windows XP提供支持，上个月微软正式发布（终于）针对Windows XP的最后一批补丁。对于是否停止支持XP系统多年来讨论无数，问题主要围绕放弃支持目前仍有多达28%的计算机用户使用的操作系统会带来怎样的影响。目前要对停止支持XP系统产生的影响下结论还为之过早，但如果您仍在运行XP系统，那么可能是时候更新换代了。如果Heartbleed从未现身，我还觉得对此的讨论应到此为止，但是我敢肯定未来我们还将进一步进行探讨。这就是为什么还将讨论XP的终结可能对未来的影响的原因。 移动新闻 最后，但也同样重要的是卡巴斯基实验室研究人员在最新的报告中证实，利用恶意软件盗取安卓用户银行信息的犯罪分子业务繁荣。结束语：总有一天会出现破解那些精心设计的指纹采集仪的入侵行为。

我的工作内容不仅仅是分析各种恶意软件和漏洞，也不限于讨论最新的安全威胁，而更多大的一块工作是尽力向用户说明并教会用户如何构建安全性。因此，我设法重点说明的一些主要话题包括备份、防御恶意代码、通过打上最新的安全补丁使系统保持最新，当然还有使用加密方法的必要性。我敢肯定，你之前一定听说过所有上述的内容，对吗？ 但如果使用的安全软件有漏洞，成为攻击者的攻击入口时，我们该怎么做？ 这是目前热议的话题，尤其是近期曝出了OpenSSL Heartbleed攻击后讨论更为激烈。我决定让此专栏更具我的个人风格，因为我能肯定的一点是你们都能找到无数有关SSL及Heartbleed攻击的文章，但我想分享的是我本人对这些类型的漏洞为何变得如此严重的一些看法。 但在开始讨论Heartbleed攻击之前，我想提一下我们如今看待安全产品和解决方案失效时的心态问题，这一点很重要。我们往往是通过安全产品或解决方案的各种功能和特点来对其进行评估的，如果其符合我们所要达到的目标，则我们会选择购买。 我们如今看待安全产品和解决方案心态并不乐观 – @JacobyDavid 问题是我们往往会忘记安全产品并不能解决我们的所有问题。我们需要理解的是安全产品和解决方案体现的是安全思维。 那么为什么我要讨论OpenSSL Heartbleed漏洞问题呢？我想从一般意义上说，我们都假定互联网运行正常，是一个安全的平台。我们通过互联网传递非常私人的信息、进行约会、购物、通信、管理财务等等。正因如此，互联网的缺点就是一旦出问题，情况就会很快恶化，变得非常糟。 互联网存在的一个大问题是其极端分立性。有些网上资源具有安全性极高、非常稳健的基础架构，而另一些资源则完全忽视这一点，极为脆弱，漏洞百出。此外，有些站点非常安全和稳健，但由于存在大量系统依赖性而导致这些站点变得很脆弱。保护IT系统中的每一个部分的安全性几乎不可能实现。 互联网基础架构一旦出问题，情况就会很快恶化，变得非常糟。 使用互联网时，我们需要预见最糟糕的情况并采取相应的措施。问题是我们还会使用互联网世界以外的可信资源，例如医疗系统、政府部门或其他系统，而这些系统也全部使用的是互联网。所以，一旦出现类似Heartbleed漏洞这样严重的问题时，影响是巨大的。 一旦犯罪分子开始利用Heartbleed漏洞，很难说Heartbleed攻击的传播范围会有多广，影响会有多大。但想想看要是有人能够复制整个世界所有银行保险库的钥匙会怎样？这乍一听确实非常严重，但也完全取决于保险库所存放的物品。 我希望近期不要只盯着这类安全漏洞不放，因为我们这一段时间会忙着解决这一问题。但我们需要记住的是软件只是软件，其中总是会出现或多或少的漏洞。我们还需要了解的是，即便进行备份、加密和防御恶意代码，也仍然有可能会泄露敏感数据。一旦数据泄露，我们需要想尽一切办法，使这些数据无效，让犯罪分子无机可乘。

更新：在上一篇有关此漏洞的文章中曾提到（引用了Github上的列表）HideMyAss网站用户受到Heartbleed漏洞的威胁。但该网站发言人与我们联系表示，他们的用户并未受此漏洞的影响，所以我们从受影响网站列表中删除了此网站。 更新2:专栏已更新受影响服务列表，这些服务官方推荐更改用户密码。 NPR（美国国家公共广播电台）主播David Green在早8点主持的《早间节目》中讨论安全漏洞话题后，人们都知道了安全漏洞是非常严重的问题。昨天早上的节目中又提到了此话题，这次是OpenSSL中的一种严重的加密漏洞，被戏称为”Heartbleed”（心滴血）。OpenSSL可能是互联网部署最广泛的加密库。如果您不是很清楚什么是OpenSSL，别担心，下面我会用500字左右的篇幅来尽量解释清楚整个原委。 与网站建立起加密连接后，数据都将使用SSL/TLS协议进行加密，不管你连接的Google、Facebook还是网银。许多流行的网络服务器利用开源OpenSSL库来执行此加密作业。本周早些时候，OpenSSL的维护人员针对一种严重漏洞发布了修订，此漏洞在实现TLS功能时出现，称为”Heartbeat”（心跳包），攻击者借助此漏洞可从服务器内存中读取多达64 KB的数据。 换句话说，如果保护机器的库是有漏洞的版本，那么互联网上的任何人都能通过该漏洞来读取机器内存。最坏的情况是这一块小小的内存中可能含有敏感数据 – 用户名、密码，甚至包括服务器用于加密连接的专用密钥。此外，利用Heartbleed漏洞不会留下痕迹，没有确定的方法来判断服务器是否被黑客入侵过，也无法断定哪类数据被盗。 好消息是OpenSSL修复了该漏洞。但坏消息是没有办法保证受Heartbleed漏洞影响的这些网站和服务实施补丁来减轻漏洞的影响。更多的坏消息是，该漏洞很明显能够被轻松利用，而且可能已存在长达两年时间。这意味着许多流行网站的安全证书已被盗，包括密码在内的敏感用户数据也很可能遭窃。 用户行动计划 更新：Mashable收集的清单列出了来自受影响网络服务的正式PR回复。为了节省阅读表格并检查证书（下面有更多检查相关内容）的时间，只需在以下所有站点上更改密码即可：Facebook、Instagram、Pinterest、Tumblr、Yahoo、AWS、Box、Dropbox、Github、IFFT、Minecraft、OKCupid、SoundCloud和Wunderlist。请对每个站点使用唯一密码！ 检查自己喜欢的站点是否有漏洞。有多种在线工具可检查是否存在漏洞，但你还需要知道之前是否有存在过。很幸运，你可以根据一个长长的流行网站列表来检查是否有漏洞。好消息是，PayPal和Google未受影响。坏消息是，Yahoo、Facebook、Flickr、Duckduckgo、LastPass、Redtube、OkCupid、500px及其他许多网站都存在漏洞。如果您在这些脆弱网站上有注册有帐户，请准备好随时行动。 立即检查网站是否有漏洞。有一个简单工具可用于此检查。 网站所有者修复漏洞后，还需要考虑重新发布网站证书。因此准备好监视服务器证书，并确保使用的是最新证书（4月8日或之后发布的证书）。为此，请启用浏览器中的证书撤销检查。下面举例说明了如何在Google Chrome设置中启用此项。 此项将阻止浏览器使用旧证书。要手动检查证书发布日期，请点击地址栏中的绿色锁图标，然后点击”连接”选项卡上的”信息”链接。 对服务器打补丁并更新证书后，最重要的一步是立即更改密码。此时可修改密码策略，并开始使用容易记忆而又安全的密码。您可以使用我们的密码检查程序来检查新密码是否安全。

整个2015年发生的互联网安全事件可谓数不胜数。要从所有这些中挑选出10个当年最热门的话题可以说是一项极其艰巨的任务。照旧如果你对榜单有异议或认为还有哪些事件应该入围的话，请在下面的评论栏留下您宝贵的意见。闲话少说，下面就开始逐一揭晓2015年十大安全事件榜单。

在等待量子加密问世的同时，作为关心该技术的一名普通用户，还有哪些重要信息值得我们关注呢？首先，我们应认真评估目前存在的真正威胁以及可能存在漏洞数据的价值。

仅仅在23年以前，微软只是刚刚发布了Windows 3.1系统，而苹果正推出其第一代PDA（掌上电脑），而Linus Torvalds则在GNU许可证下发布了Linux操作系统。在同一时期，尤金•卡巴斯基也出版了一本书，上面详细介绍了那个时代所有已知的计算机病毒以及清除病毒的方法，其中—这些病毒程序都被称为-V。当时的网络威胁并不是像现在那么严重：一本小册子就能覆盖当时所有病毒的介绍，甚至在随后的20年里情况也并未太过糟糕。 The Complete Сatalogue of Malware, written by Eugene Kaspersky in 1992 《恶意软件完整产品目录》，尤金·卡巴斯基编写于1992年 而那个”天真纯洁”的时代早已一去不复返。现在，每天出现的新型恶意软件数量就多达32.5万。同时几乎每个星期，整个互联网行业都会面临系统安全问题的新考验—从汽车和滑雪板到核电厂，几乎遍及各个领域。这是最好的时代，也是最坏的时代：如今，随着越来越多的人开始重视他们依赖于计算机的数据、企业和个人生活的安全性，整个互联网世界才有可能变得更加安全。 而现在，即便你放松地躺在椅子上的时候，也能了解互联网安全的最新动态。每周一，我们都将为您带来上周发生的三条最重要的安全行业新闻，同时还有从各个网站收集的辛辣评论。这些新闻无一例外都精选自Threatpost和卡巴基斯官方。 Stagefright：还未造成任何改变的安卓漏洞 Threatpost新闻。Google反馈。CERT Advisory。Kaspersky Daily对于如何预防Stagefright感染的建议。 Wired将其称为”迄今为止发现的最严重安卓系统漏洞“之一，但这样的表述并不完全正确：因为它还要更糟。这一漏洞与Heartbleed和Shellshock的主要差别在于：我们不必为Stagefright想一个唬人的名字，Stagefright是安卓系统音频和视频播放的引擎，也是安卓开源项目的一部分。从技术上讲，Stagefright其实是一整套漏洞（来自Zimperium的研究专家发现了留在CVE基地的7个ID），主要与缓冲区溢出有关。 这一多媒体引擎的任务是回放各种音频和视频，正如ZDNet提到的，某种程度上Stagefright的独特功能可实现”你还在考虑是否观看某个视频之前”，它就已经准备好播放了。出于某些神秘的原因，有时所有这些任务都是在”上帝”访问权限级别下执行。但事实上，其中的原因并不神秘：只是这样更容易编码，仅此而已。尽管如此，Stagefright也非常容易脱离安卓沙盒，因此也易于遭受漏洞利用。 最终，我们有了一个出色的概念证明：向手机发送MMS（多媒体短信）–然后一切都一目了然。你甚至无需打开”载入的”MMS：手机会自动帮你打开，因为其编码方式考虑到了为用户的便利性。是不是就没有任何办法了呢？并不尽然。首先，在安卓4.1及以上版本中有一项地址空间布局随机化技术，可防止手机自动打开，或至少部分”解决了问题”。 其次，通过遵循负责任的漏洞披露规则，Zimperium成功阻止了漏洞利用代码。尽管如此，得益于已发布的补丁，所有问题都迎刃而解。 Google的反应则相当有趣。我们从安卓官方博客发布的相关博文中摘录了一小段：”一切都没问题。我们的沙盒棒极了。只有0.15%的安卓设备内存在恶意应用（后面跟着许多星号、细则和条款）。为了确保安全万无一失，Nexus设备需要每个月都进行安全升级。” ‘纵然Nexus设备安全无忧，那安卓智能手机和平板电脑又该如何是好呢？Google的举措无助于解决安卓非一致性问题-新设备常常延迟无法第一时间升级至最新操作系统版本，而更老的硬件则根本无法升级更新。 好在像HTC、三星、索尼和LG这样开发商已宣布，将比以往更频繁地升级他们的智能手机和平板电脑。尽管许多问题依然悬而未决，但我们可以明确的是一些电子设备的系统将进行升级更新。如果我们继续努力下去的话，可能终有一天所有问题都会得到解决。 但无论如何，这都是一个好的迹象。迟早有一天，安卓也会拥有自己的一套升级机制，就像微软的’周二补丁日’一样。正如一年前安卓首席安全工程师Adrian Ludwig在Google总部说的，Google在安全领域做的相当出色，只需再对Google

之前已有过许多关于VENOM漏洞的讨论，近期随着虚拟机中该bug数量的不断增加，对大范围的互联网造成了巨大影响。VENOM漏洞可以说是一种相对新时代虚拟化现象下的老式bug。 虚拟机是物理计算机内可独立运行的”计算机”。所谓的”云”也仅仅是由许多虚拟机组成的巨大网络。任何网络攻击者都能利用VENOM漏洞从一个虚拟环境中逃脱，然后在另一个虚拟机运行代码。 轰动性的新闻还在后面，许多媒体接连报道VENOM漏洞的巨大危害性远胜于目前名声不佳的Heartbleed OpenSSL漏洞。然而，我个人认为知名安全研究人员Dan Kaminsky的回答最为中肯。 在如今的安全产业中，每当出现一个重大bug，各家安全公司争先恐后地贴上自己的标签和logo并加以冠名，同时派出自己的公共关系团队四处宣称这是有史以来最严重的漏洞。 “我认为在给这些bug的危害性设立先后排名时，我们常忽略了一些东西。”。在Threatpost的Digital Underground播客上，Kaminsky向Dennis Fisher说道。”这不是什么简单的钢铁侠大战美国队长。也是什么《复仇者联盟》，这是严谨的科学。” 在如今的安全产业中，每当出现一个重大bug，各家安全公司争先恐后地贴上自己的标签和logo并加以冠名，同时派出自己的公共关系团队四处宣称这是有史以来最严重的漏洞。 “一旦出现严重的bug。” Kaminsky随后在播客上解释道。”我们就会想办法解决…但这里有个很大的问题。尽管我们想办法解决和修复bug。但情况却变得越来越糟；因为各家公司都是关起门来独立解决bug和修复漏洞，但现在我们终于能够公开商讨解决方案，然后一起出谋划策。而这正是我们所应该做的，齐心协力才能最终解决众多漏洞问题。” 我们不应该低估VENOM漏洞的严重性，因为它的确能危害严重。虚拟化技术和虚拟机在现代网络中扮演了越来越关键和重要的角色。虚拟机不仅能启用云计算，而且我们的服务提供商现在也越来越依赖虚拟机，这很大程度上是因为相比购买物理服务器，从比如亚马逊那儿购买虚拟空间的成本要低得多。出于这一原因，任何一个有一定专业技能的网络攻击者都能从云服务器提供商处购得虚拟空间，继而从他所购买的虚拟环境中逃脱，随即移至同一主机下运行的其它任何一部虚拟机。 除此之外，该bug也可能对恶意软件测试者有所影响。大多数恶意软件分析员会故意利用恶意软件感染虚拟机。这样，他们可以检测出恶意软件是如何在一个安全且隔离的环境下运行。通过利用VENOM漏洞完全有可能让恶意软件从某个隔离环境移动到另一个与计算空间相连接的隔离环境。 综上所述，该bug的出现年代久远。事实上，该bug存在于众多流行虚拟平台中的虚拟软盘控制器组件内。没错：就是软盘。在下面的评论栏中，请随意告诉我们上次你使用软盘的时间，更不用说现在电脑上已不可能再看到软盘驱动接口了。 在播客上的一番论述之前，Kaminsky还曾在一次公共采访中向Threatpost的Fisher透露，VENOM其实算是一种付费形式的bug。网络攻击者需要从相关服务提供商处购买云空间，然后利用VENOM漏洞，在攻击目标（使用同一家服务提供商）的云空间内获取本地权限。他还解释道，某些云公司还提供增强版的硬件隔离服务，但需支付更高的费用。他表示支付更高的费用来抵御可能出现的网络攻击者完全物有所值。 来自CrowdStrike 的高级安全研究人员Jason Geffner发现，VENOM漏洞之所以利用价值高，完全是因为虚拟化环境下疏忽的处理操作所致。 我们的用户在保护自身安全方面并非毫无办法可言–正如以往一样–不应完全寄希望于我们的云服务和其它虚拟提供商能尽快修复问题。但也有两个好消息。首先，大多数受影响服务提供商已发布了针对这一问题的补丁；其次，新出炉的概念验证结果显示，VENOM漏洞事实上难以被利用，这与专家们最初的预想截然相反。 从日常互联网用户的角度来看，我认为从VENOM漏洞事件我们真正学到的是：2015年在线虚拟化环境将无处不在。

去年一整年，IT安全领域可谓纷繁复杂。众多安全事件不断接踵而至：从影响全球数百万台计算机的全球性漏洞到与本地网络犯罪分子的终极对决。几乎每一个事件在某种程度上都与社交网络有关–自从推特开始播报新闻以后，尤其成为了”重灾区”。为此，我们专门为您收集了2014年与IT安全领域有关的十大推文。 1. 2014年3月，一名’Pump Water Reboot’黑客小组成员针对多家俄罗斯网络服务发动了一系列DDoS（分布式拒绝服务）攻击—受害者包括多个在线社区和数家银行。每一个受害者被要求支付1000美元赎金以停止攻击。 在这片推文中写道，该网络犯罪分子还对在线专业银行Tinkoff Credit Systems的创始人，俄罗斯银行家Oleg Tinkov进行了威胁。 （从俄语翻译过来：你的网站正在遭受DDoS攻击。我们能为您提供解决问题的方案。如果你愿意支付1000美元的话我们就能停止这一攻击。） 直到去年夏天，这名网络犯罪分子终于被警方抓获，最终在几个月后被判处2年半的监禁并被罚款1200万卢布（约合40万美元）。对于年仅19岁的学生来说的确是一笔巨额罚款，而随后了解到他只是头脑一时发热。 2. Heartbleed漏洞在当时竟然对全球2/3的互联网造成了威胁。你可以从我们的博文中了解更多相关的详细内容。《xkcd》漫画作者将为您提供有关该事件最佳的简略版本： Heartbleed漏洞的影响深远，将在很长一段时间继续萦绕着我们：成千上万存在漏洞的服务器依然没有更新。而且其中许多将永久地处在Heartbleed漏洞的阴影之下。 3. 对我们来说，2014年最佳推文莫过于来自—你绝对不会相信的！—美国中央情报局。很高兴看到即使是这些硬汉都有幽默的一面。 4. 8月中旬，网络黑客事件甚至险些让俄罗斯总理梅德韦杰夫卷入政治风波：有黑客非法入侵（恶搞）他的推特账号。 （俄语翻译过来：我决定辞职。我为俄罗斯政府的行为感到羞耻。对此我非常抱歉。） 与此同时，梅德韦杰夫的其他账号也遭到了黑客入侵。这导致梅德韦杰夫移动设备上的大量私人照片和往来邮件遭到外泄。但随后所有黑客发布的推文都被一一删除。到底发生了什么–该黑客是否被捕了–依然未可知。 5. 就在两周后，又发生了另一起重大的外泄事件：有人将多名好莱坞明星的隐私裸照放到互联网上，其中就有詹妮弗•劳伦斯。 这一外泄事件迅速被冠以’The Fappening’（艳照）之名，并在全世界传播开来。之后，好莱坞明星们不得不加倍警惕，而发布这些艳照的网络服务网站则从广告商那儿获得了巨额利益。流行网站Reddit尤其从中大赚了一笔，足以支持一个月的项目。 6. 多事之秋可谓名副其实。9月，在Bash shell内发现了新的根本性漏洞。现在人们都将其称之为“Bashdoor”或”Shellshock“。这是一年中第二次发现重大漏洞，导致数百万台计算机和大部分服务器遭受病毒感染。发现这个bug的家伙并没有立即发布在他的推特账号上。但随后他发了一些有价值的推文并附带说明：这一漏洞可能最早在25年前（1989年）就已出现。 Bashdoor bug以及上述所提到的Heartbleed漏洞至少将在相当长的一段时间影响着我们。 7.

如果说12月份对安全世界意味着预测来年的话，同时也是对即将结束的一年进行回顾的时候。卡巴斯基实验室全球研究与分析团队为此而特别制作了一份有关《2014年互联网安全行业十大新兴趋势》的清单。 一系列高级持续威胁 2014年，众多APT攻击小组依然没有”停战”的意思。卡巴斯基实验室研究人员公布了至少6个网络攻击小组的研究分析。 “Careto”（西班牙中”面具”的意思）间谍行动于2月份重现互联网，之前已活跃了长达7年之久。Careto依靠易于修改的跨平台恶意软件工具，旨在从全球31个国家的政府机构、大使馆、能源公司、研究机构、私人股权公司以及活动家窃取敏感信息。 而多阶段的Epic Turla网络间谍攻击行动出现在1个月左右后的三月份，通过利用一系列存在于Adobe Acrobat、Windows XP以及Microsoft server 2003的零日漏洞对受害人进行有针对性的攻击，同时还采用了许多水坑式攻击，将存在于Java、Adobe Flash和Internet Explorer的漏洞作为攻击目标。 而到了6月，另一个黑客小组在短短一周的时间内即窃取了50万欧元，作为”Luuuk”木马攻击行动的一部分，他们对一家大型欧洲银行的客户进行了针对性攻击。遗憾的是，卡巴斯基实验室并没有获得该攻击行动中的任何恶意软件样本，但他们猜测该黑客小组通过窃取用户名、密码以及一次性密码，从而查看受害人账户余额并自动执行交易。 在6月末，互联网出现了”MiniDuke”黑客行动的新版本-被称为”CosmicDuke”，将政府、外交机构、能源公司、军事集团以及电信运营商作为攻击目标。奇怪的是，这一黑客行动竟然还攻击了那些参与违禁药品（例如：类固醇和生长激素）交易的犯罪团伙。 #Kaspersky launches a project that chronicles all of the #ATPs the company has investigated https://t.co/9gj6AiRVoo pic.twitter.com/HHbRUDVC0o

又到了12月份，对于整个安全行业就意味着一件事：专家们开始对明年明年的安全行业趋势做一个预测。如同往年一样，有些预测是新的，而有些早已是”熟面孔”了，几乎每年都会出现在各大预测榜单之内。以下则是由卡巴斯基全球研究与分析团队所提供对2015年安全行业的九大预测。 网络犯罪分子与APT小组”强强联手”，统一行动 事实上这是最令人感兴趣的预测之一。卡巴斯基实验室专家对此断言，网络犯罪小组将越来越多地实施国家策略。欧洲刑警组织的网络犯罪部门主管特罗斯•奥尔廷（Troels Oerting）在乔治城法学院的一次演讲中透露道，这一”联手行动”在上周已经开始。 然而，无论他们是否决定”强强联手”，就卡巴斯基研究人员所给到我的信息看来，还存在另一个有趣的可能性：政府资助的高级持续性威胁黑客小组（实施类似于DarkHotel、Regin以及Crouching Yeti/Energetic Bear的黑客活动）将联手其它网络犯罪分子（例如将摩根大通、Target和其他大型公司作为攻击目标的黑客）共同开展黑客行动。 #Darkhotel APT in a single video: http://t.co/NRqAl4docX — Eugene Kaspersky (@e_kaspersky) November 10, 2014 据我看来，这一合作的可能性相当大，具体理由如下：国家资助的黑客小组可能为了一个共同的目标与网络犯罪小组携手合作。通过合作可以强化广泛分布式拒绝服务攻击—据称在2012年和2013年针对美国一些银行的攻击，以及旨在造成系统停机的其他类型网络攻击均来自于伊朗政府。 隶属于政府的黑客小组可能还会将其间谍任务外包给其它的网络犯罪小组，前者向后者下达命令，而后者则通过使用网络犯罪工具和行业专知实施间谍活动、窃取专利知识或收集与重要基础设施系统有关的情报。 APT黑客小组”化整为零”，网络攻击呈增加和分散态势 卡巴斯基研究人员认为随着安全公司和独立研究人员不断曝光和挫败大规模政府资助的黑客小组，迫使其”化整为零”，分散行动。研究人员宣称这将迫使他们发动更加分散和频率更高的网络攻击。 @卡巴斯基预计2015年政府资助的黑客小组内部结构将发生改变#APT#攻击小组将”化整为零”，分散行动#卡巴斯基实验室报告# 广泛使用的老代码出现新Bug 无论在这里、Threatpost还是其它地方，已多次提到我们现在正处于互联网广泛存在bug的时代。同样作为基础设施代码的互联网时代，我们将看到更多的bug将被广泛部署在互联网中。卡巴斯基实验室全球研究与分析团队认为，互联网蓄意破坏的事件将更加频繁发生，就如同苹果GoToFail安全漏洞。我们也将看到能够大范围影响互联网的偶然性实现错误，就像OpenSSL Heartbleed和 Shellshock/Bashbug的例子一样。

在本周，一种新的互联网bug出现在了Bourne again shell（Bash）内，并似乎是自”OpenSSL Heartbleed漏洞事件“以来影响程度最高的安全漏洞。尽管其真实的危害程度尚不得知，但Bash漏洞已然成为了近期人们热议的话题。就在昨晚的夜新闻中，你甚至还能看到本地的新闻主持人对这一话题的讨论，而节目的背景则是布满一串串快速滚动的计算机代码的绿色屏幕。 什么是Bash？ Bash是一种脚本语言和命令行外壳程序，于1989年为GNU计划而编写。Bash能将用户和机器输入命令的解析成系统级命令进行执行。它主要的功能是发出命令和对命令进行解释。如果你想了解更多有关Bash 的知识，请转到GNU Bash页面。 Bash广泛运行于大多数Unix系统和Linux distribution版本以及从Unix和Linux汲取诸多元素的苹果OS X操作系统。此外，在数量众多的Web服务器以及家用电器（包括但不限于路由器、调制解调器以及许多附网设备和其它面向网络的系统）中，也同样能看到Bash的”身影”。 Bash bug最初由Akamai安全公司的Unix和Linux网络与电信管理员Stephane Chazelas所发现。事实上这一漏洞已存在了很长一段时间（或许已超过20年），你可以想象其传播范围之广。与Heartbleed漏洞一样，我们只能期望Chazelas是第一个发现这一bug的人，但真实情况我们永远无法获知。 Bash漏洞是如何对互联网用户进行影响？ 过不了多久，互联网上不可避免地会出现将Bash漏洞作为攻击目标的漏洞利用工具。这些漏洞利用工具能够在Bash被呼叫时，使攻击者将恶意执行文件远程附到被执行或解释的代码或脚本碎片上。换句话说，只要拥有一款成功的漏洞利用工具，攻击者就能完全控制受影响的系统。 “相比于此前的Heartbleed漏洞而言，Bash漏洞更易于为网络犯罪分子所利用。此外，Heartbleed漏洞只能让网络犯罪分子有机会从内存中窃取数据，并希望找出一些有价值的信息。相比之下，bash漏洞更易于造成整个系统遭受控制，因此似乎更加危险。” 当被问及Bash bug是否会成为”Heartbleed”第二的时候，我们的卡巴斯基实验全球研究与分析团队（GReAT）的朋友是这样作答的： “相比于此前的Heartbleed漏洞而言，Bash漏洞更易于为网络犯罪分子所利用。此外，Heartbleed漏洞只能让网络犯罪分子有机会从内存中窃取数据，并希望找出一些有价值的信息。相比之下，bash漏洞更易于造成整个系统受到控制，因此似乎更加危险。” 卡巴斯基研究人员推测Bash bug还能被用于窃取银行信息，从而最终导致资金损失。网络攻击者大可利用Bash漏洞通过你的个人电脑窃取登录凭证，但前提需要找到一些漏洞利用载体以访问Bash命令接口。但要真的做起来却并不那么容易。现实中更多的情况是：网络攻击者将你使用最频繁的银行网站作为攻击目标，并同时尝试锁定多个账户及其信息。 从美国计算机紧急事务响应小组所发出的警告似乎最能说明Bash漏洞的严重程度： “该漏洞被行业标准机构评为’高’影响度（CVSS影响分值：10）和’低’复杂程度，这意味着只需一点儿技巧即能执行攻击。该漏洞使得攻击者能够提供精心设计的涵盖任意命令的环境变量，并能在存在漏洞的系统上执行。由于Bash Shell的流行程度以及能以多种方式被应用呼叫，因此危险程度尤其高。” Bash bug在影响程度和漏洞利用复杂程度方面与Heartbleed也有所不同，后者是影响程度高但难以利用，而前者则影响程度高的同时还易于利用。 什么是#Bash漏洞及其影响用户的方式？ 如何才能保护自己免受Bash漏洞的影响？ 除了永久地远离网络以外，为保护系统安全，你只需要确保在第一时间安装合适的供应商特定更新。至于台式电脑或笔记本电脑上的操作系统，你能做的只是等待管理你特定distribution版本的研发人员发布相关补丁。

在8月，卡巴斯基实验室为您带来了更多安全领域相关文章以及重要的安全新闻故事。此外，我们还不断探寻着安全领域的最新前沿消息，从脑力测试到家庭入侵无所不包！如果你错过了8月份我们博客第一时间所发布的博文，现在就能让你一下全都补全！ 十种可能”毁掉前程”的电脑错误使用行为 你被解雇了！你能想象吗，就因为在使用工作电脑时犯了个错误，就遭到了解雇。我们常常无视招聘过程中所签订的严格安全指令，在工作期间从未遵守或重视，对因未能遵守而造成的严重后果影响也熟视无睹。那么在使用办公电脑或笔记本电脑的时候，我们应该注意哪些错误行为呢？ 1·使用U盘转移数据。你可能会弄丢存有重要公司或机密数据的U盘，或甚至将严重病毒感染到办公室内的所有电脑。 2.在社交网络上聊天。准备向他人共享敏感的数据和信息时，一定要小心谨慎，这非常重要。 3.用不恰当的语气与客户或合作伙伴公开（社交网络上）交谈，损害老板声誉的下场绝对是100%被立即开除。 4.通过个人邮箱重发工作文件。你的个人邮箱一旦被盗，邮件服务数据很可能落入网络犯罪分子的手中。 5.通过办公电脑发送加密的个人信息可能会影响你的职场生涯，甚至因此而丢掉工作。 6.在工作中使用未授权的第三方软件，尤其在笔记本电脑上。与工作不相干的软件还会浪费公司的资源。不要忘了你的电脑还时刻受到远程监控，公司安全专家能掌握你的所有网上”动向”。 7.有意或无意地违反安全政策，例如：泄露密码。公然泄露或危险透露公司的密码很可能毁掉你在这家公司的前程。 8.下载与工作无关的内容似乎没有什么危害，但人们有时会忘了自己的电脑正在受到监控，可能会因这一行为而受到公司的处罚。 9.在移动通讯使用上可能会产生许多错误，例如：将公司电话用做个人使用，或超出流量限制。所有上述规则均适用于移动设备，而不仅仅是笔记本电脑。 10.最后但同样最重要的是：你在网络上所说（和所写）的所有内容，能让你前程似锦的同时也可能毁掉你的大好前程。 如果有人真的盗窃了12亿个密码，那我们该如何应对？ 据报道一个犯罪团伙不同网站盗取了12亿个密码和用户名。公众并不知晓整个事件的具体细节，包括：哪些网站成为了攻击的目标以及技术方面的细节，以至于许多安全专家百思不得其解。一旦凭证被盗的话，该采取哪些措施呢？类似本次所报道的”密码盗窃案”将是一个很好的契机，即改革当前混乱不堪的密码策略，转而使用更加安全的方法。例如，用户可通过为每一个账户设置唯一密码，将被破解的危险性降到最低。唯一密码将能有效防止黑客使用一个密码即能打开其他重要账号。密码管理器和密码检测器作为两款强大工具，能大大简化这一流程！ Global Think Test脑力测试挑战赛 9月6日，全球”脑力精英中的精英”将在Global Think Test挑战赛中一决高下，共同争夺25,000美元大奖。整个比赛将耗时一整天的时间，在此之间你可以在大脑训练区（Brain Training Zone）测试你的脑力，以期在比赛之前将大脑调整至最佳状态。规则相当简单：你答的题越多，赚取的分数也越多，从而有机会获得意想不到的大奖。卡巴斯基实验室与门萨组织、法拉利以及板球运动员Sachin Tendulka携手合作，不仅设计了各种专业谜题，同时也为获胜者提供丰富了的奖品。比如，”门萨挑战环节”经专门的设计，旨在挑战选手智力以及测试选手解决问题的技巧。 “法拉利挑战环节”包括了与法拉利有关的各种游戏、谜题和视频答题，以测试你对法拉利知多少。板球界的传奇人物Sachin Tendulkar也应邀参加本次Global Think Test活动，在有关的挑战环节中，将考验你对板球这项运动的了解程度。不用我说，Sachin和法拉利为本次比赛赞助一些非常棒的奖品。如果你觉得自己有实力挑战这些环节的话，还不赶快来报名？访问GlobalThinkTest.com注册，即可参加Global Think Test挑战赛。

最近针对Community Health Systems的一起数据外泄事件充分暴露了联网医疗设备所面临的实实在在的现实风险，事件据称是中国黑客所为，造成约450万病人的敏感医疗信息被窃。 还记得Heartbleed漏洞吗？ Heartbleed的漏洞存在于OpenSSL，出现于今年早些时候。这一漏洞曾一度对超过60%的互联网造成影响，并在理论上能让网络攻击者在客户端到服务器连接过程中窃取一定数量的信息。这可能是第一起发生在现实生活中并造成广泛影响的互联网事件：网络犯罪分子或国家行为者几乎利用了整个网络资源来谋取私利。尤其需要指出的，网络攻击者还开发出了一种漏洞利用程序，能让他们使用Heartbleed漏洞来窃取Community Health Systems网站的登录凭证。 哪些人因此而受到影响？这一切又是如何发生的？ 这一事件中的450万名受害者都在过去5年里接受了Community Health Systems医生的医疗服务，不幸中的万幸，他们的医疗和支付信息并未因此而泄露；但最让人担心的是，他们的社会安全号（SSN）全部遭到泄露。除了社会安全号以外，一起被盗的还有病人的姓名、地址和出生日期，甚至还有受害人的雇主或担保人以及电话号码。 由于本次事件中的攻击者很可能是一些高级持续性威胁行为者，因此人们还抱有一丝侥幸。他们的目标很有可能并不是消费者的社会安全号。事实上，来自Crowdstrike和其他安全公司的专家们都表示这些攻击者可能只是在寻找与医疗系统相关的知识产权，使中国能够将其运用在对本国老龄化人口的照料上。 在本次 “APT 18″黑客小组（也叫做”Dynamite Panda”）的攻击行动中，最终以失败而告终。因为要处理数量如此庞大的敏感信息并不是一件容易的事情。 更大的问题 近年来医疗保健数据外泄情况时有发生，但有关方面依然没有尽快改进的打算。原因如下： 每当谈到医疗设备的安全问题时，人们总会异想天开，甚至有一些可怕的想法：比如，使用笔记本电脑入侵胰岛素泵和心脏起搏器，以达到伤害和谋杀病人的目的。但幸运的是，就近期我从Black Hat大会了解到的情况来说，所有患病需嵌入式和/或联网医疗设备治疗的病人被人用笔记本电脑杀害的可能性微乎其微。事实上，Rapid7医疗设备安全专家Jay Radcliffe表示所有联网医疗设备对于病人的疗效巨大，且几乎不会造成什么损伤。 似乎眼下这个问题对病人的影响更加全方位，且数量上呈现上升趋势。这些问题更多地与医生和医院，甚至医疗设备的存放、共享以及访问权限有关。Radcliffe在与我们的一次讨论会中指出，如果说联网医疗设备会对病人安全造成影响的话，那最大的可能是由于黑客入侵或意外事件导致医疗记录遭到篡改或更改，从而使病人得到错误的治疗。 近年来医疗保健数据外泄时有发生，但有关方面依然没有尽快改进的打算。 在本周早些时候，心脏病专家兼作家Sandeep Jauhar博士在NPR（美国国家公共广播）的《Fresh Air》节目中接受了Terry Gross的访谈，他表示美国医疗保健体系之所以落后于其他国家，大部分原因在于美国缺乏信息共享机制。因此，要改进美国医疗保健系统并同时遵守《平价医疗法》的话，还有很多工作需要做：将更多的医疗设备进行联网；医疗保健服务提供商之间进行更多沟通；更多远程访问数据；以及较有可能实现的，更多地共享敏感医疗信息。从他的话中透出了这样的意思：采用更加先进医疗保健体系的国家已经开始进行此类的数据共享，只是数据泄露问题依然存在。 这并不是说美国医疗保健体系毫无希望。《健康保险流通与责任法案》（HIPAA）的颁布旨在部分保护消费者医疗保健信息的安全与隐私。但问题是医院和医疗设备制造商都需遵守各自的相关规定，以符合《健康保险流通与责任法案》要求。尽管如此，数据外泄情况依然不可避免，因为没有一个安全计划是完美的。每个人-无论如何努力-都最终无法避免个人数据被窃的结果。 如果受到影响会有什么后果，怎样才知道自己是否受到了影响？ Community

安卓操作系统与（苹果IOS系统）稳坐”最流行”（hit parade）移动操作系统头两把交椅。首先，这是一种移动操作系统的评级标准。其次，它是用于评定受病毒感染最频繁的移动平台。据卡巴斯基实验室称，超过99%的移动恶意软件是以安卓为攻击目标。Google play上应用的定期检查保障了用户安全，此外，Google还在安卓操作系统本身实施了大量的保护措施。例如，在安装应用时自动启动验证程序，保障软件合法来源的同时，还确保文件没有被陌生人修改。不幸的是，这些保护措施并非无懈可击，使得长期以来恶意软件总有机会通过系统后门”潜入”智能手机内。 后门 就在去年，安全专家们在安卓系统保护机制内发现了多个漏洞。由于这些漏洞的存在，使得恶意应用能够通过将自身伪装成一款流行并信任的服务，或通过”搭载”合法应用（例如：将自己隐藏在合法软件的安装包内）来潜入智能手机。Master Key和FakeID漏洞广泛存在于大多数流行安卓智能手机内，但与著名的Heartbleed漏洞（安卓智能手机一定程度上也深受其害）相比还稍逊一筹，但问题的关键是如何清除这些漏洞。尽管Google很久以前就发布了一些必要的修复补丁，但问题是这些补丁不是由某几家智能手机和平板电脑厂商发布，就是由移动运营商推出，根本无法覆盖所有使用安卓系统的移动设备。一旦有新补丁发布，用户应立即予以安装和更新。但这些厂商或运营商的更新常常姗姗来迟，有时甚至根本无补丁可打。据统计，存在漏洞的设备数量达数百万部之多。 封堵漏洞 要想独自修复这些漏洞难度相当大，但你能做的就是尽量将设备这方面的风险降到最低。具体步骤如下： 1.查看你的智能手机或平板电脑是否存在类似FakeID、Master Key或Heartbleed这样的漏洞。你可以在Google Play下载卡巴斯基实验室免费扫描软件。除了系统本身漏洞外，你还可以检查已安装应用中是否有利用这些漏洞。 2.如果你的设备的确存在漏洞，检查是否有固件（电话软件）需要升级。大部分安卓供应商都在设置中专门设有”检查更新”部分，但有些情况下你不得不访问厂商的官方网站来获得更新。如果有更新的话，按照指示安装并在设备显示p.1的时候再次检查更新。 漏洞能够让恶意应用”潜入”你的安卓智能手机 – 学习如何修复这一漏洞。 3.如果漏洞依然未能解决的话，你可以自己尝试修复，但过程相当繁琐且不太靠谱，因此不太推荐一般用户这样做。（如果你有足够的勇气并深谙计算机知识，那可以访问xda开发者网站阅读更多有关内容。） 4.不能因为智能手机存在未打补丁的漏洞而舍弃不用，但使用时你必须保持警惕以避免金钱损失和数据丢失： 只使用大型官方应用商店（考虑下Google Play） 只下载高人气和评分的应用 控制应用的权限 使用可靠的安卓安全软件。    

本周值得关注的新闻有：僵尸网络被联合行动捣毁；已遭破坏的OpenSSL加密库再曝漏洞；Google海量数据存储加密方面的新闻让人颇受鼓舞，但仍问题重重；昨天是爱德华•斯诺登事件曝光一周年。 一周#安全和#隐私要闻，作者@TheBrianDonohue。 Gameover僵尸网络 美国和欧洲执法机构联手捣毁了Gameover僵尸网络。僵尸网络是一种被恶意软件感染的计算机所构成的网络，计算机被感染后即成为帮凶，加入传播大军，在用户毫不知情的情况被利用于违法目的。Gameover用于散布Zeus宙斯木马，一旦植入此病毒后，即可实施网络欺诈计划，其中涉及窃取被感染用户计算机的财务凭证，将用户账户中的资金转入黑客所控制的账户。此外，Gameover最近还被用于散布臭名昭著的Cryptolocker勒索软件。 捣毁僵尸网络要求执法机构（有时会与私人公司联手行动）夺取对分发恶意软件的服务器的控制权，此服务器被称为命令控制服务器（C&C）。接管僵尸网络的行为就其本质来说，有时也被称为”sinkholing”技术。许多散布很广的僵尸网络都是通过这种方式捣毁的。针对这种情况，犯罪分子逐渐迁移到更有弹性的对等僵尸网络基础架构。此举实质上意味着命令控制服务器会在僵尸网络本身未知数量的机器上共享。 简言之，捣毁对等僵尸网络需要执法机构监视并了解其通信基础架构。一旦掌握了僵尸网络的通信方式，即可以着手复制其结构并控制僵尸网络。夺取了僵尸网络的控制权后，即能使僵尸网络停止运行。 要了解Gameover被捣毁所造成影响的精彩解读，请阅读卡巴斯基实验室全球研究与分析团队成员David Emm的讲解。 OpenSSL 新发现的OpenSSL漏洞非常严重，但严重程度和波及的系统范围略逊于Heartbleed。 Heartleed漏洞带来的伤痛还记忆犹新，昨天新闻中又曝出OpenSSL存在另一个严重漏洞。OpenSSL是互联网上大量用户使用的加密实施服务，这次新发现的OpenSSL漏洞非常严重，但严重程度和波及的系统范围略逊于Heartbleed。加密是指一种数学算法，用于保护用户在网上和计算机上所执行的操作、交谈和存储内容的安全。如果您觉得这种解释过于简单，请阅读哈希算法说明，更好地了解其工作原理。不管怎样，新漏洞是可通过远程方式加以利用，这意味着黑客在舒适的家里（或者连到互联网的任何位置）就能够利用此漏洞向不知情的用户发起攻击。黑客成功利用此漏洞入侵后，可拦截被入侵客户端与服务器之间的流量并进行解密。 利用此漏洞执行的攻击并不都这么简单（事实上，黑客很可能并不是在自己舒适的家里发起攻击的，但我想说明的是”可通过远程方式攻击”这个术语）。攻击者需要相对其目标处于”中间人”位置。顾名思义，中间人攻击是指：攻击者自身或利用工具插入用户和重要资源（例如，银行网站或电子邮件账户）之间。最简单的做法是监视流出不安全Wi-Fi网络的流量，这类Wi-Fi网络有许多是我们所有人几乎每天都会用到的。另外还有数十种其他方法可用来执行中间人攻击，您可以通过上面的链接了解相关信息。 发现此漏洞代码段的研究人员表示，此漏洞似乎从1998年开始就一直存在，几乎从未更改过。 端到端 昨天，Google发布了Gmail流量中在传输中被加密（例如，离开Google系统后）的流量所占比例。部分数据相当不错。搜索巨头Google发现，从Gmail发出的电子邮件中，大约69%经过加密，而Gmail收到的邮件中经过加密的占48%。这一比例相对于前几年已经有了大幅上升。 Google会对其服务器上的所有数据进行加密，所以上述研究结果反映的是其他服务对Gmail通信离开Google控制范围后的加密情况。在这里我有意轻描谈写，因为我们计划专门写一系列文章，具体探讨全球哪些服务在改进加密传输中的数据，哪些服务对此无动于衷。请继续关注我们接下来几周的博客。 Google还宣布开发出了一种工具，将用于加密所有流出Chrome浏览器的数据，这应该能帮助解决上面谈到的部分问题。我们对此工具的工作方式充满好奇。同样，请继续关注我们的博客，未来我们将就此发布相关文章。 “重置网络”行动 我们曾在每月安全新闻播客中提到过，6月5日是重置网络行动日。此项行动设定为斯诺登首次曝光美国国安局大规模监控项目周年纪念日并不是巧合，此行动的目的就是为了通过向日常网络用户提供高强度的安全和隐私工具，抵制政府监控行为。在此用户可以找到一些使用方便、几乎适用于任何操作系统的工具。请尽情享用这些工具，使用心得可以通过下面的评论部分与我们分享。

在发现恼人的Heartbleed bug短短数周之后，像你我这样的普通网民可能需要关心一下另一个看似普遍的问题，这个问题无法轻易给出答案。这个问题就是”隐蔽重定向”bug的准确定义，并于近期由新加坡南洋理工大学数学系的王晶博士公布。这些问题是在流行的互联网协议OpenID和OAuth中发现的；前者在您使用来自谷歌、Facebook和LinkedIn的现有登录信息来登录网站时使用，后者是在您授权网站、应用程序或服务使用您的Facebook/G+账号而非真正输入您的密码并登录第三方网站时使用。这两个协议通常结合使用，但事实证明，这可能会导致您的信息泄露。 威胁 我们在Threatpost的朋友针对这一问题给出了更具技术性的解释，并顺带提供一个原始研究链接，但我们会省略不必要的细节，只说明可能发生的攻击场景和后果。首先，用户访问一个恶意钓鱼网站，其中出现典型的”使用Facebook账号”登录的按钮。钓鱼网站可能酷似流行的第三方服务或将自己伪装为一个全新服务。一旦您点击该按钮，则会出现一个逼真的Facebook/G+/LI弹出窗口，提示用户输入自己的登录名和密码信息以授权上述（并且可能有声誉的）服务来访问他们的用户配置文件。最后，使用不当的重定向方式，将使用该配置文件的授权被发送到不正当（钓鱼）网站。 首先，用户访问钓鱼网站，并尝试使用Facebook账户或其他OpenID提供商账户登录。 在当天结束的时候，网络罪犯收到一个适当的授权（OAuth token），利用原始应用程序拥有的任何权限来访问受害人的配置文件——最好的情况下，只是访问基本的用户详细信息；最坏的情况下，可读取联系人、发送消息等内容。 这一bug已被修复？事实并非如此 这个威胁不会很快消失，因为修复必须在提供商端（如Facebook/LinkedIn/谷歌）和客户端（第三方应用程序或服务）同时执行。OAuth协议仍处于测试阶段，各个供应商使用不同的手段措施，并依据抵御上述攻击的能力而各有不同。LinkedIn在修复方面处于更有利的位置，因采取了更为严格的处理措施：即要求第三方开发人员提供适当重定向的”白名单”。到目前为止，每个使用LinkedIn授权的应用程序或安全或依然无法运行。而Facebook面临的情况则有所不同，因为其所拥有大量第三方应用程序，并且这些应用可能使用更早版本的OAuth执行。这就是为什么Facebook的代表告诉王晶，”无法在短期内修复的原因”。 此外，还存在众多似乎易受攻击的其他供应商（查看以下图片），因此如果您使用这些服务登录某些网站，则必须采取行动。 您的行动计划 对于最谨小慎微的用户来说，最可靠的解决方案是在未来数月放弃使用OpenID和这些便利的”使用……登录”按钮。您可能会受益于增强的隐私性，但使用社交网络账户登陆将导致您线上行为被更有效地追踪，并使越来越多的网站可以读取您的个人基本数据。为了避免因登录各种网站而不得不记住几十甚至上百个不同密码，您可能最终会使用有效密码管理器。当今的大多数服务都配有多平台客户端和云同步，以确保您能在自己不同的设备上访问您所有密码。 对于谨慎的用户来说，最好的解决方案莫过于在今后几个月放弃使用Facebook/谷歌账号登录。#OpenID #CovertRedirect 然而，如果你打算继续使用OpenID授权，并不会发生什么直接的危险。你只需要保持高度警惕，避免任何网络钓鱼诈骗，它们的通常手法是首先向您的邮箱发送骚扰邮件，或者在Facebook或其他社交网络上提供吸引眼球的链接。如果您使用Facebook/Google等账号登录到某些服务，应确保您使用手动输入的地址或书签打开此服务的网站，而不是点击您的邮件或者消息中的链接。仔细检查地址栏，避免访问粗制滥造的假网站，且不使用OpenID注册新服务，除非您100％肯定相应服务信誉良好且登录的是正确网站。此外，请在您所有设备上使用安全浏览解决方案，如卡巴斯基安全软件多设备版，以防止浏览器访问危险站点，包括网络钓鱼网站。 这只是一个为谨慎起见而采用的普通防范练习，每位互联网用户应每天进行这样的练习。网络钓鱼的威胁分布广泛而危害巨大，它会导致各类数字财产损失，包括：信用卡卡号和电子邮件登录账号等。OpenID和OAuth中出现的”隐蔽重定向”bug只是让您更有理由进行防范——没有例外。

OpenSSL Heartbleed bug终于不再是本周的头条新闻。我在撰写本文时已近下午3点，但到目前为止我一整天都没看到过一篇关于Heartbleed bug的文章，真让人惊奇。但别担心，不谈Heartbleed，我们还有很多其他内容要讨论： 零日漏洞 本周早些时候，卡巴斯基实验室宣布发现Adobe Flash Player中存在零日漏洞。说来也奇怪，卡巴斯基发现这种漏洞的工具正是用于发现新恶意程序样本的工具。零日漏洞被发现时，已经通过一种叫做”水坑攻击”的威胁肆虐于叙利亚地区。水坑作为一种有针对性的攻击，攻击者侵入攻击对象可能会访问的合法网站，在其中植入恶意程序，当用户访问这些网站时，就会被恶意程序感染。Adobe已经针对这种漏洞提供相应的补丁，所以请尽快安装Adobe公司发布的所有更新。 微软的Internet Explorer浏览器也同样存在零日漏洞问题。在此我不打算深究此漏洞的技术细节。但我想说的是零日漏洞被广泛利用，能针对各种目标发起攻击；显而易见，确保安装微软称之为”Out of Band”的紧急安全补丁十分重要。此类补丁是指微软在每月固定的周二补丁日以外的时间发布的补丁。如果漏洞收到out-of-band补丁，这通常表明这是一个严重漏洞。 微软Internet Explorer浏览器和Adobe Flash Player零日漏洞取代OpenSSL Heartbleed登上本周安全要闻头条，成为主要讨论话题。 本已封刀退隐，无奈重陷江湖 关于周二补丁日：还记得本月早些时候我们曾讨论过不再向Windows XP发送安全补丁吗？但我们错了（至少从技术角度来说是这样）。因为上述Internet Explorer零日漏洞主动有针对性攻击的目标主要是Windows XP系统，微软心一软，也发送了针对XP用户的Internet Explorer发送out-of-band补丁。 又见AOL！ 最近，大量AOL电子邮件用户遇到了麻烦，他们发现自己的帐户被用于向自己联系人列表中的用户发送垃圾邮件。我们曾在上周的新闻回顾中讨论过这个问题。对此AOL声称，这完全属于”电子欺骗”攻击的内容。他们表示，此问题没有任何危害，只是看起来好像电子邮件是来自AOL用户电子邮件帐户。实际上，该公司在最初的声明中就表示过，电子邮件发件人只是使其看上去仿佛电子邮件是来自AOL用户电子邮件帐户。 如果我没记错，上周我们曾谈到AOL对事件的解释让人匪夷所思，因为事实上电子欺骗行为可能仍在继续，这没法解释攻击者是怎么搞到所有这些联系人列表的。可以肯定的是，本周AOL承认，已向用户发送通知，敦促用户更改密码。所以，如果您使用的是AOL帐户，那么最好更改密码。 Facebook和隐私 Facebook宣布推出一款全新的功能，名叫匿名登录。Facebook创始人马克•扎克伯格昨天在公司的F8会议上对开发人员说，”匿名登录”将允许用户使用Facebook帐户登录到第三方应用，而无需使用自己的Facebook凭证，也不必与第三方共享个人信息。 “这一功能的理念是，你不希望应用获知你的身份，但又想感受简化的登录体验，那么利用此功能可免去繁琐的表格填写工作，”扎克伯格说。”它能让你放心大胆地试用应用。” “匿名登录”目前为Beta测试版，只适用于某些应用；例如，Flipboard就是首批适用的应用之一。登录时，Facebook用户可以选择使用自己的Facebook凭证登录应用，也可以选择使用”匿名登录”来试用应用。”匿名登录”本身采用黑色屏幕，而不是Facebook惯常的蓝色，通过”匿名登录”，用户能够避免与外部应用共享已经与Facebook共享的任何数据。

虽然有时会有波及整个互联网的灾难性安全漏洞，但如今想要避免网上金融交易已经越来越不可能。你读到本篇文章的时候，很可能在操作网银、购物，或者是在进行网上转帐，最后一点正是下面我们要讨论的内容。 就安全性方面来说，网络良莠不齐，这并不是什么秘密。但毫无疑问是，执行网络金融交易非常方便，不管是通过网络付税、付停车费还是通过PayPal下注，都轻松自如。可以肯定地说，任何人只要试图通过网络转帐，就必定会面临大量风险，但同时，也有一长串网络操作常识有助于为了解目标搜索内容的用户提供保护。最后，我想无论是宽泛到整个互联网还是具体到本文中的转帐，网络总体来说是利大于弊。 保护自身安全 首先最重要的一点是，你得先确保计算机或移动设备的安全，之后再来担心交易本身带来的风险。首先是确保操作系统以及金融交易中可能涉及到的任何软件或应用均已更新到最新版本。如果是在传统计算机上操作，那么这意味着应保证运行的是最新的Windows或OSX系统，其他任何操作系统都不例外。对于Windows，应该设置为自动安装更新。对于Mac，只须关注App Store图标，一旦提示有更新，请立即安装所有更新。在传统计算机上，你肯定要仔细检查并确保使用的浏览器版本也是最新的，因为你可能会通过网络来执行这些交易。一旦确定操作系统和浏览器版本均为最新版本（通常可通过浏览器设置菜单中内容来轻松确定），就可以着手进行网络交易了。 请勿在公共工作电脑、公用计算机或朋友的设备上转帐。#卡巴斯基#小贴士 移动设备略有不同。在移动设备上，你同样需要保证使用的是最新版操作系统，不管是iOS、安卓、黑莓还是Windows Mobile，无论哪种操作系统都必须是最新版本。移动环境与台式机略有不同，在台式机上你可能不会通过网络执行交易。更可能的情况是，你会使用某种类型的转帐应用。所以，务必确保应用已完全更新。事实上，对转帐应用更新时，你同时会更新其他应用，因为攻击者总是能够通过其他一些薄弱应用来实现访问设备的目的。 之所以要保证已安装全部更新，原因在于安全更新能确保封锁大多数已知漏洞。当然，有一些漏洞出于某些原因并没有相应的补丁，但总体来说，要入侵已完整安装补丁的设备几乎不可能。当然，还有零日攻击，但只有傻子才会对抗零日攻击来略过标准消费者的网银信息。 为保护个人设备要做的最后一件事是确保在移动设备和传统计算机上运行可靠的反病毒程序。众所周知，恶意软件是针对PC机的问题，但显然现在越来越多的骗子瞄准了安卓平台，尤其是金融类恶意软件。运行反病毒软件将确保阻止旨在窃取个人支付信息的恶意软件进入要执行转帐的设备。此外，最优秀的反病毒软件产品提供有安全转帐功能，此功能针对可信网站白名单来运行支付网站，检查以确保与这些网站的连接是安全的，同时保证执行转帐的系统已安装补丁并且是安全的。 另外，切勿在无法控制的设备上执行转帐。如果工作电脑只供你一人使用，那没问题。但千万不要在公共工作电脑、公用计算机或朋友的设备上转帐。 保护网络安全 现在你的个人电脑应该没有问题也很安全了，接着应确保（至少是尽可能确保）要连接的网站也是安全的。为此很明显第一步是避免粗心的转帐服务。在此我没法假装知道所有可信转帐服务，但使用PayPal、MoneyGram、Western Union、Venmo和其他许多类似服务工具应该是安全的。具体用哪种服务取决于你自己，但一定要下点功夫去了解。 决定了使用的服务后，请确保该服务提供强大加密。检查地址栏，确保其中含有挂锁图标和”HTTPS”，这样做是为了确保通过加密通道传输任何信息。更新后您还可能希望检查证书（即便浏览器很可能已检查过）。除外之外，要小心可疑的条幅广告，其中很可能含有插件，会试图从浏览器会话中盗取信息。这就是为什么选择一种可靠的支付服务更加至关重要的原因。 如果使用的网站要求登录（我当然希望你登录了），请确保使用的是唯一的高强度长密码，密码由字母、数字、符号、空格和大写字母构成。这不是开玩笑。就密码问题我已写过很多篇文章，但我无法评判你用于登录向许多发件人发送的一次性电子邮件帐户是否是用低强度密码来保护。然而，如果不用最佳密码来保护计划用于处理资金的帐户可就太傻了。金融帐户须真正保证使用的是唯一的高强度密码（在此可检查密码强度）。 金融帐户须真正保证使用的是唯一的高强度密码。 假设您已使用了高强度密码，下一步则是在使用的任何网站上实施某种形式的双重认证。使用这种方法时，你得确认使用SMS或基于电子邮件的安全代码来确认登录。这种服务有两种作用：一是能加大进入您帐户的难度，二是能让你知道是否有人尝试访问你的帐户。如果你并未试图登录时收到双重认证的通知，则说明你该对计算机进行安全扫描并更改密码（因为这意味着很可能有人已取得你的密码，并正在尝试访问你的帐户）。 最后一件要做的是使用某种类型的交易担保方，例如”Visa验证”服务或”3D安全”技术验证。此类服务要求你在进行交易之前，另外输入一个一次性密码。 如果遵循上述所有步骤，并实时监控自己的银行帐户或信用卡余额，那么你的转账应该安全了。

不久前，打游戏还只是青少年热衷的一种娱乐活动。但现在这一情况已发生了变化，游戏日渐收到大家的热捧，现在几乎无处不在。几乎每个人都玩过游戏。不管是《糖果粉碎传奇》（Candy Crush Saga）、《星战前夜》（EVE Online）、休闲益智游戏QuizUp还是《坦克世界》（World of Tanks），即使是偶尔玩在线游戏的人，这些游戏名也一定不陌生。也许你不会通过游戏机或电脑，而是喜欢用平板电脑来打游戏，或者可能你只在每天通勤路上花10分钟时间玩游戏；但这些都不重要。你必须知道的是打联机游戏具有一定的风险。你得知道并提高警惕。从普通的骗子到黑客，都能利用最近曝光的Heartbleed漏洞入侵游戏开发者的帐户，一旦被入侵后，不管是你的游戏、心情还是个人财产统统会受到影响。下面列出了打联机游戏的玩家所面临的五大主要危险： 5. 网络钓鱼 有些骗子会发送一封假冒电子邮件，其中含有一个链接可转至其网站（也是假冒网站），这些网站与花旗银行、Facebook或Gmail极为相似，这一行为被称为网络钓鱼。犯罪分子的目的是骗取你的登录凭证或信用卡详细信息，并最终窃取你的数据甚至是钱财。事实证明，这一做法对于攻击游戏玩家非常有效。犯罪分子先构建某个联机游戏的假冒网站，然后催促玩家”变更密码”或”验证帐户”，并威胁说如果不这样做会封锁玩家的帐户。一旦按其要求进行操作后，黑客即可盗取你的游戏帐户，并将其拿到黑市上转卖出去。 解决方法：切勿点击电子邮件中的链接。打开网络浏览器，亲自输入游戏的网址，登录到自己的帐户来执行需要的任何检查/确认。另外，请使用在线防护，这可阻止浏览器打开假冒网站。 4. 恃强凌弱 如今，几乎每种联机游戏都含有某种形式的聊天。你可以使用耳麦和其他玩家对话，或者使用位于屏幕角落看起来还不错的旧式文本框进行聊天。对于某些游戏，团队成员之间进行此类通信至关重要。但遗憾的是，此工具被大范围地滥用了。在联线对战最激烈的时候，你可能会听到一些咒骂，或者一些人身攻击。因为大多数游戏竞争过于激烈，因此总是会出现贬低在当前场景中失败的玩家的情况，但有些玩家却做得太过份，而演变成常常会欺负其他玩家。在有些游戏中，尤其是专注于联机人物”虚拟生命”的玩家，这种聊天很可能会变成进行人身攻击的场所，导致不愉快的交谈。 解决方法：立即阻止任何言语攻击者；不要和对方继续玩游戏或聊天，并告知游戏骚扰小组对方的昵称。切勿向游戏玩家透露自己的真实身份或个人信息。如果玩游戏的是你的孩子，请教会他们与父母讨论此类事件，并确保他们都十分清楚”陌生人＝危险”这一原则也同样适用于联机游戏。 3. 骗子和诈骗犯 游戏中的商品能在官方游戏市场以外被交易，极大增加了玩家被骗的机率。 根据不同的游戏类型和规则，有多种诈骗途径 – 有些被视为是合法的或半合法的，有些则不是。在各种骗局中，最严重的是利用修改过的游戏客户端（或者甚至是机器人程序）使游戏条件优于普通玩家 – 速度更快、更精确等等。此外，一些玩家利用在游戏服务器代码中发现的错误在游戏中占据先机。其他诈骗方法有修订游戏，通过虚拟团伙抢劫新手玩家，或者采用某种虚拟诈骗。对于游戏中的经济，有着几个世纪历史的诈骗模式有时仍会生效。玩家可能会碰到有人给自己一些库存，或者以优惠价格提供游戏攻略，但此类行为往往最终证明是一场骗局。 解决方法：如果有人吹得天花乱坠，几乎不像真的，那么很可能是骗人的。不要接受陌生人提供的任何可疑内容。如果注意到有人在游戏中的进度过快，请向支持团队进行报告。大多数联机游戏都有严格的规范，可以立即把骗子踢出游戏。 2. 人物/库存盗用 犯罪分子可能会瞄准的目标有四类：游戏中的资源、发展良好的游戏人物、付费游戏帐户或关联的信用卡数据本身。最后一类要作为目标具有难度，但其他几类则能通过多种途径盗用：网络钓鱼、专用密码窃取恶意软件、某种类型的游戏内诈骗等。关键要点是 – 玩家的人物或帐户越好，则犯罪分子瞄上你的可能性就越高。对于在全世界范围内拥有海量忠实受众（和玩家）、发展成熟的游戏来说，尤其如此。 解决方法：打游戏过程中，你必须对自己的帐户提高警惕。为帐户设置双重认证，游戏帐户和电子邮件地址使用复杂、唯一的密码，对设备使用强安全性解决方案，监视网络钓鱼邮件和其他试图骗取凭证的活动。 玩家在游戏中的角色越出色，则被犯罪分子盯上的可能性就越高。