Brian Donohue

“We are what we pretend to be, so we must be careful about what we pretend to be.” ― Kurt Vonnegut

86 文章

城市监控摄像头系统普遍存在不安全性

如今,当地政府及执法机构越来越多地依靠联网监控摄像头来监视人口稠米的城市地区。在意料之中的是,这些监控摄像头均采用无线方式连接互联网,这使得执法机构能够进行远程监控。尽管安装这些摄像头的初衷是打击犯罪活动,但网络犯罪分子却不仅能够被动地监视监控摄像头拍摄的画面,还能向摄像头的专用网络植入恶意代码、提供虚假画面等。

你所需知道的有关VENOM虚拟漏洞知识

之前已有过许多关于VENOM漏洞的讨论,近期随着虚拟机中该bug数量的不断增加,对大范围的互联网造成了巨大影响。VENOM漏洞可以说是一种相对新时代虚拟化现象下的老式bug。 虚拟机是物理计算机内可独立运行的”计算机”。所谓的”云”也仅仅是由许多虚拟机组成的巨大网络。任何网络攻击者都能利用VENOM漏洞从一个虚拟环境中逃脱,然后在另一个虚拟机运行代码。 轰动性的新闻还在后面,许多媒体接连报道VENOM漏洞的巨大危害性远胜于目前名声不佳的Heartbleed OpenSSL漏洞。然而,我个人认为知名安全研究人员Dan Kaminsky的回答最为中肯。 在如今的安全产业中,每当出现一个重大bug,各家安全公司争先恐后地贴上自己的标签和logo并加以冠名,同时派出自己的公共关系团队四处宣称这是有史以来最严重的漏洞。 “我认为在给这些bug的危害性设立先后排名时,我们常忽略了一些东西。”。在Threatpost的Digital Underground播客上,Kaminsky向Dennis Fisher说道。”这不是什么简单的钢铁侠大战美国队长。也是什么《复仇者联盟》,这是严谨的科学。” 在如今的安全产业中,每当出现一个重大bug,各家安全公司争先恐后地贴上自己的标签和logo并加以冠名,同时派出自己的公共关系团队四处宣称这是有史以来最严重的漏洞。 “一旦出现严重的bug。” Kaminsky随后在播客上解释道。”我们就会想办法解决…但这里有个很大的问题。尽管我们想办法解决和修复bug。但情况却变得越来越糟;因为各家公司都是关起门来独立解决bug和修复漏洞,但现在我们终于能够公开商讨解决方案,然后一起出谋划策。而这正是我们所应该做的,齐心协力才能最终解决众多漏洞问题。” 我们不应该低估VENOM漏洞的严重性,因为它的确能危害严重。虚拟化技术和虚拟机在现代网络中扮演了越来越关键和重要的角色。虚拟机不仅能启用云计算,而且我们的服务提供商现在也越来越依赖虚拟机,这很大程度上是因为相比购买物理服务器,从比如亚马逊那儿购买虚拟空间的成本要低得多。出于这一原因,任何一个有一定专业技能的网络攻击者都能从云服务器提供商处购得虚拟空间,继而从他所购买的虚拟环境中逃脱,随即移至同一主机下运行的其它任何一部虚拟机。 除此之外,该bug也可能对恶意软件测试者有所影响。大多数恶意软件分析员会故意利用恶意软件感染虚拟机。这样,他们可以检测出恶意软件是如何在一个安全且隔离的环境下运行。通过利用VENOM漏洞完全有可能让恶意软件从某个隔离环境移动到另一个与计算空间相连接的隔离环境。 综上所述,该bug的出现年代久远。事实上,该bug存在于众多流行虚拟平台中的虚拟软盘控制器组件内。没错:就是软盘。在下面的评论栏中,请随意告诉我们上次你使用软盘的时间,更不用说现在电脑上已不可能再看到软盘驱动接口了。 在播客上的一番论述之前,Kaminsky还曾在一次公共采访中向Threatpost的Fisher透露,VENOM其实算是一种付费形式的bug。网络攻击者需要从相关服务提供商处购买云空间,然后利用VENOM漏洞,在攻击目标(使用同一家服务提供商)的云空间内获取本地权限。他还解释道,某些云公司还提供增强版的硬件隔离服务,但需支付更高的费用。他表示支付更高的费用来抵御可能出现的网络攻击者完全物有所值。 来自CrowdStrike 的高级安全研究人员Jason Geffner发现,VENOM漏洞之所以利用价值高,完全是因为虚拟化环境下疏忽的处理操作所致。 我们的用户在保护自身安全方面并非毫无办法可言–正如以往一样–不应完全寄希望于我们的云服务和其它虚拟提供商能尽快修复问题。但也有两个好消息。首先,大多数受影响服务提供商已发布了针对这一问题的补丁;其次,新出炉的概念验证结果显示,VENOM漏洞事实上难以被利用,这与专家们最初的预想截然相反。 从日常互联网用户的角度来看,我认为从VENOM漏洞事件我们真正学到的是:2015年在线虚拟化环境将无处不在。

输液泵内的关键安全漏洞

又一个智能医疗设备内存在安全隐患的案例:最近媒体曝光了一批Hospira生产的输液泵内存在一系列远程可利用漏洞,使得网络攻击者能对受影响注射泵进行全面操控或简单地让设备陷入瘫痪。

复杂的艺术:拨打私密匿名电话

摄影师Curtis Wallen于周日在纽约布鲁克林的art-house艺术馆举办了名为”Proposition For An On Demand Clandestine Communication Network”的艺术展。这一作品旨在对一个普通人如何在这个网络监视无处不在的时代拨打完整的私密匿名电话进行了探究。 从根本上说,Wallen此次展出的作品是一组复杂得令人难以置信的指令集,从理论上说,依照这些指令完全可以躲避政府监听来拨打私密电话。尽管Wallen本职工作并非是一名安全专家,但在2013年,他却通过Tor(洋葱路由)使用比特币购买了伪造的驾照、社会保险号、医疗保险卡以及有线电视账单。 换句话说,他在私密和匿名领域拥有一定的经验。当然了,他的技术并没有经过专业分析且真正效果也存在争议,但他作品的主题是关于一段行程,而且是一段十分荒诞的行程。快公司(Fast Company)于上月最先报道了Wallen的计划。 那么Wallen到底是如何拨打这样一个秘密电话的呢? 首先,他购买了法拉第笼式的证据袋。这些袋子由网状导电金属构成,可以保护里面的东西免受电子操控。从理论上讲,外部信号无法穿透法拉第笼,因此外部也无法与放置在法拉第笼内的手机进行通讯。 在买好这些袋子后,Wallen去了Rite Aid买了一部预充值的非接触式手机,即装有著名”burner”应用程序的手机。这样推测起来,他可能使用现金而非可被追踪到的信用卡或借记卡购买了该应用程序。随后他就将burner手机放到了证据袋内。 从行为角度讲,Wallen向快公司透露在试验之前他还对自己的日常活动进行了分析,旨在寻找那些 “定位点”以及他手机不会改变位置的其他时间,他称之为”休眠期”。当你能获取他人日常位置信息时,就完全可以精确地识别该对象。 从日常生活来说,我们几乎每一个人都有相对标准的日常活动程序。我们每天起床,然后去公司上班,一天工作结束后回家。通常来说,每个人从自己的家里到工作地点的路线都是完全不同的。这些就是我们的”定位点”。 当需要激活”burner”应用程序时,Wallen在休眠期期间将他真正日常使用的手机留在了一个定位点。随后他从自己的定位点离开,并随身携带装有”burner”手机的法拉第袋子。尽管我们对其中的细节并不完全清楚,但他很可能只步行或乘坐没有监视摄像头的公共交通,旨在避开追踪车牌的监视系统,这样也能提高保持匿名状态的几率。 他随后通过一个公共Wi-Fi访问点连接互联网,并使用了一台装有干净操作系统(可以想到的是Tails操作系统,也可能是在ephemeral模式下经适当配置的Chromebook上网本)的电脑以完成真正的激活程序。 通过这一方式,手机将不会与任何人的姓名或账单信息相关联,从理论上讲,也没有任何可能将其注册信息与任何人的个人电脑相连接。此外,其真正手机的服务提供商也没有任何他前往并激活手机的位置信息。一旦创建完毕,Wallen即将仍然放在法拉第袋子的手机留在非定位点位置。 实现高度隐私的关键在于如何消除或降低可能会引起监视雷达注意的异常现象,例如过于强大的加密 一旦手机被激活,如何协调真正的电话呼叫依然是个问题。Wallen采用了被称为”一次性密码本”的密码系统对消息进行加密,该消息内含有burner手机号码以及呼叫者拨打burner手机的期限。 电话必须在休眠期内拨出,这一点非常重要,因为这就好似Wallen正在家里或正在用他真正日常使用的手机拨打电话。似乎他将真正日常使用的手机留在了”定位点”以隐匿自己的真实位置。 只有消息的预定接受者拥有能解密使用一次性密码本加密的消息的密钥。Wallen随即登入了Tor匿名网络,并之后登录了匿名的推特账号并推送了加密消息。拨打burner手机的人随后对消息进行加密并在既定时间内拨打推送的号码。 “实现高度隐私的关键在于如何消除或降低可能会引起监视雷达注意的异常现象,例如过于强大的加密。”Wallen对快公司如是说。”我预先安排了一个账户以推送密文,该密文以’随机’文件名形式发送,可以看到备推送到公开推特账号的图片并随即记下文件名—手动加密—但实际上并没有载入图片。” Wallen在指定的时间重新回到他遗留burner手机的地点,并接听拨入的电话。一旦通话结束,Wallen即清除一切通话证据(可能是指纹和数据)并彻底毁掉burner手机。 这就是Wallen拨打隐秘电话的整个过程。 Wallen为此还特别咨询了一名安全研究人员,他因成功处理黑客”The

科技巨头”豪赌”比特币

根据大量报告显示,英特尔和IMB近期在人才市场动作颇多,意图将比特币方面的专业人才收揽在内。在卡巴斯基每日中文博客,我们并不太确定为何两大科技巨头会对网络货币如此感兴趣,因此就这一问题请教了我们公司内部的比特币专家- Stefan Tanase。 作为卡巴斯基实验室全球研究和分析团队(GReAT)的一名高级安全研究人员,Stefan Tanase表示这些公司真正感兴趣的并非是不太稳定的网络货币,而是BlockChain(数据区块链)技术。 “包括比特币铁杆粉丝在内的很多人都没有意识到一件事情,就是当谈到整体的’网络货币革新’时,其中真正的创新并非是比特币或莱特币本身,而是blockchain技术。” Tanase在一次采访中向卡巴斯基每日新闻博客如是说。 让我们先暂时退一步看。 比特币作为一种分散化的网络货币,可匿名进行在线交易。比特币的核心技术是BlockChain,能够对分散的货币交易进行记录。比特币的一些拥护者们认为此类网络货币即不受一国政府控制,又不与一国货币或国库相关联;而另一些人拥护比特币的原因是因为能被用来在线购买毒品、枪支或其它非法物品。这两种观点并无相互矛盾之处,且都有其优势所在。 无论你对于比特币感受如何,其背后都少不了BlockChain的”神奇魔力”。简单地说,BlockChain就是所有比特币交易的官方账目记录。每一个新的数据区块可以记录从上一个数据区块创建以来发生的所有交易,以及先前所有数据区块发生的交易。 换句话说,每一个新的数据区块均包含了所有比特币的交易历史。而创建这些数据区块很大程度上依靠的是博弈论。比特币的狂热者们或分散的小组将所有能利用的计算机资源全部用来解决极为复杂的算法问题,可通过密码验证,旨在创建出新的数据区块。而数据区块的创建者将因此而获得新的比特币。 BlockChain的关键难点在于如何应对重复花费。这是一个确保货币完整性的防御机制,但它却运行地非常好。BlockChain并非是通过传统的自上而下授权模式运行的,而是由瑞典海盗党创始人Rick Falkvinge在其著名演讲中所提到的,是通过一种信任的分布式系统运行。 Tanase告诉我们BlockChain技术之所以如此强大,原因在于其在本质上启用了点对点网络以托管在一个公共数据库和交易账目记录本,同时在不涉及任何中心授权机构的情况下通过使用加密方式,保持数据的完整性以及可信度。 很多人都没有意识到真正的创新并非是比特币或莱特币本身,而是blockchain技术。 “就比特币来说,blockchain技术被用于维持比特币的交易账目记录本。” Tanase解释道。”但blockchain还可用于其它令人感兴趣的方面,包括但不限于—买卖合同、投票以及域名等。” 无论革新与否,如同所有网络新兴技术一样,BlockChain也将会受到现实安全问题的影响。就在亚洲举行的黑帽技术大会上,卡巴斯基实验室与国际刑警组织发表了新的合作研究报告,其中即提到了BlockChain同样存在安全漏洞。 BlockChain为独立数据存储、引用或在账目记录的加密交易内托管留有空间。卡巴斯基研究人员Vitaly Kamluk和国际刑警组织已确认该功能可能会导致众多问题。例如,网络攻击者很可能会将恶意软件植入永久的BlockChain账目记录中。迄今为止,还没有一种方法可以将恶意代码从记录本内清除。计划中也可能会出现托管和交易虐待照片。 总的来说,存在于BlockChain内的这一漏洞使得网络攻击者能以一个加密的但处于中心位置且广泛使用的格式来进行恶意数据传送。 “我们研究的核心原则是对来自基于blockchain分散系统的潜在未来威胁进行预先警告。” Vitaly Kamluk说道。”尽管我们通常支持基于blockchain创新的理念,因为我们始终认为这是我们作为安全社区一份子的职责所在,以帮助开发者将此类技术设计得更具可持续性和有用,从而适用于他们的使用目的。我们希望能够尽早发现其中的许多潜在问题,这将有助于在未来对此类技术进行改进,从而使其难以被用于任何不良的企图。” 一旦BlockChain逐步演变为一项多功能的通用技术,就像之前的许多网络产品和服务,我们将不得不找到一种方法使它变得更加安全。

新的TeslaCrypt勒索软件:目标锁定游戏文件

最近出现的一种新的勒索软件将攻击目标锁定为大约40款网络游戏的玩家,而这一类计算机用户人群相对较为年轻。 勒索软件是一种在受病毒感染计算机上对用户文件进行加密的恶意软件。一旦文件被完全加密,控制恶意软件的网络攻击者将向用户索要赎金以获取解密文件的个人密钥。一旦过了规定期限而没有收到赎金的话,网络攻击者即会销毁解密密钥。 该恶意软件最先由一家技术支持和用户教育论坛网站-Bleeping Computer报告出来,该论坛网站正在迅速成为一个旨在揭露有关加密器和勒索软件攻击信息的重要来源。Bleeping Computer将该恶意软件冠以”TelsaCrypt”之名,而与此同时,安全公司Bromium也针对这一威胁发布了一份完整的独立报告,里面将其描述为一种CryptoLocker的新变种。Bleeping Computer对最先揭露TeslaCrypt勒索软件的Fabian Wosar(来自Emsisoft公司)给予了高度赞誉。 据Bleeping Computer称,TeslaCrypt将攻击目标锁定为那些与电脑游戏和平台相关联的文件,其中包括:《RPG制作大师》、《英雄联盟》、《使命召唤》、《龙腾世纪》、《星际争霸》、《我的世界》、《魔兽世界》、《坦克世界》以及其它各种流行的网络游戏。该勒索软件原本的目的是对保存在用户计算机上的文档、图片、视频以及其它标准文件进行攻击和加密。通过采用AES(高级加密标准)加密攻击,使得玩家在没有解密密钥的情况下无法访问与游戏有关的文件。受害人可以选择两种支付赎金的方式:使用比特币支付(500美元);或通过PayPal”我的现金卡”支付(1000美元)。付款后才能得到解密密钥。 尽管Bleeping Computer率先报告了该勒索软件,但Bromium随后有进一步确定了TeslaCrypt是如何传播的。果然在我们的意料之中,网络犯罪分子将该威胁植入在钓鱼攻击工具包Angler Exploit Kit内。Exploit Kit(漏洞利用工具)事实上是预先编写好的用来感染计算机系统的软件包。这些漏洞利用工具能够利用共同的安全漏洞,就如同软件即服务产业,网络攻击者可付费购买许可证来获取这些工具。 漏洞利用工具使得网络攻击者能够非常容易地在受害人计算机上载入恶意软件。多年来,BlackHole始终是最出色的漏洞利用工具。然而,在该工具的作者停止开发并在俄罗斯被捕后,这一漏洞利用工具随即退出了历史舞台。自一年半以前,Angler的出现填补了BlackHole离开所带来的空缺,不仅集成了最新的零日漏洞,还可利用这些漏洞进行攻击。 一旦受害人计算机受到感染,该恶意软件即会将桌面背景更改为”用户文件已被加密”的通知。主要是告诉用户如何以及在哪里可以购买个人密钥以解密这些文件。在这一过程中还需要下载Tor 浏览器套件。有趣的是,受感染用户可以通过一家十分隐蔽的服务网站,接受来自该恶意软件作者的技术支持以及通过在线支付解密这些文件。该警告通知还列明了付款截止日期,一旦超过期限个人密钥将被销毁,而被加密的文件将再也无法恢复。 防范此类勒索软件攻击的最好方法是定期进行备份 该警告通知与臭名昭著的CryptoLocker勒索软件十分相似,这也难怪Bromium认为这两个恶意软件彼此有关联了。正如Bromium所说的,这两个恶意软件之间的技术方面几乎毫无可比性,但他们认为TeslaCrypt利用了CryptoLocker的”品牌运作方式”。 如往常一样,在卡巴斯基每日中文博客上,我们凭着良心说,并不建议受害人为了个人密钥而支付赎金。因为这样会助长此类的网络诈骗活动。防范此类勒索软件攻击的最好方法是定期进行备份。此外,还可以通过使用强大的反病毒产品进行有效防范。例如,卡巴斯基安全软件以及Kaspersky Total Security均装备有特殊的”系统监视”功能,旨在保护用户免遭加密病毒的感染。 当然,你还需要安装操作系统、软件、应用程序以及浏览器的更新程序。绝大多数的漏洞利用工具将已知和打了补丁的安全漏洞作为攻击目标。 我们之前已经说过很多遍了,但这里还是要再次强调:感染加密勒索软件后会非常麻烦,因此确保定期对自己计算机内的文件进行备份。此外,正如你透过他们在技术支持和品牌化方面的发展所看到的,这些网络攻击的幕后黑手放眼于商业和营销。换句话说,无论是在感染用户方面,还是说服他们付款来恢复文件方面,他们正在做的越来越出色。而随着越多越多的设备和电器连入网络,只会进一步加剧问题的恶化。

Windows Hello:Windows 10默认自带的生物特征识别功能

微软宣布了一项宏大的计划,在即将发布的Windows 10操作系统中将生物识别认证取代密码认证。“密码取代”运动已如火如荼地开展了数年,然而此次微软即将推出的”Windows Hello”功能可能是迄今为止最理想的机会:彻底根除陈旧但又无处不在的密码认证方法。 就目前而言,寻找密码认证替代方法的主要难点在于采纳性和实用性的问题。例如将纹身作为密码就是个很荒唐的想法。体内植入芯片的前景似乎一片光明,但我可以想象许多人会因为计算机芯片植入体内而感到身体上的不适。推特的数字系统尽管在实用性方面表现不错,但在采纳性这一块,却需要与开发和维护用户受密码保护的账户和设备的各家组织进行合作。 电脑摄像头采用了红外技术,可在各种光线条件下识别你的脸部特征或虹膜,从而让用户通过验证。 根据Net Marketshare的数据分析,Windows系统(从Windows 95到Windows 8.1)占据91.56%的市场份额。显然即将发布的Windows 10也将在操作系统市场中占有惊人的市场份额。尽管就目前而言,所谓的生物识别技术更多的还是出现在科幻小说中,使用人群也仅限于那些电脑高手和早期尝试者,但随着Windows 10的发布,所有的计算机用户都将能亲身体验这些最尖端的技术。 通过将硬件和软件结合使用,无论是在传统的台式机还是移动设备,各版本的Windows 10均能通过虹膜、指纹和脸部特征进行用户验证。 “在检测脸部特征或虹膜时,Windows Hello通过将专用硬件和软件结合使用以精确验证是否是用户本人–而不是你的照片或试图假扮你的其他人。”微软操作系统小组副总裁Joe Belfiore说道。”电脑摄像头采用了红外技术,可在各种光线条件下识别你的脸部特征或虹膜,从而让用户通过验证。” 内置有指纹扫描器的计算机在安装Windows 10后将能与Windows Hello完美兼容。更新的Windows 10专属电脑将含有Windows专用硬件,其中包括:指纹阅读器、带照明的红外传感器或其它生物传感器。 我们都知道密码验证的局限性。一般来说,高强度密码难以破解,但也难以记住;低强度密码尽管容易记住,但也同样容易被破解。最重要的是,我们不能在不同网络服务之间共享密码。如果我们真的针对不同网络服务设置不同高强度密码的话,最终我们将不得不面对一大堆眼花缭乱的密码,单就一个密码就难以记住,更不用说所有的了。 考虑到Windows 10还未推出,目前并未发布针对该操作系统的大量安全分析报告也不足为奇了。这并不奇怪,因为微软始终在”企业级保护”系统领域走在最前头。 值得称赞的是,微软仅将生物识别数据保存在本地,这意味着你的面部特征、虹膜以及指纹识别数据将仅存在你的个人设备内,而不会出现在微软总部的服务器上。

Samsung Pay:早期安全检测

于本月初在巴塞罗那举办的世界移动通信大会上,安卓智能手机巨头三星公司发布了其最新支付平台- Samsung Pay。就其名字而言,很容易让人们联想到三星在移动支付平台领域的最大竞争对手- Apple Pay。然而Samsung Pay具备Apple Pay所没有的优势:磁力安全传输技术(MST)。 MST技术事实上是由一家叫做”LoopPay”的公司开发的。在2月中旬,三星悄悄地收购了LoopPay。Apple Pay的使用范围相对较小,仅限于安装了启用近场通信的销售点终端的商户,而相比之下,Samsung Pay却能够与现有的磁条阅读销售点系统进行交互。当然,磁条阅读器覆盖了全美几乎大多数的支付终端,而芯片密码(EMV)的普及率相对落后。据报道,Samsung Pay同样也能在NFC(近场通信)环境下使用,但三星公司对这一新的支付应用程序仍然三缄其口。 在卡巴斯基每日中文博客中,我们的讨论重点并非是永无停息的苹果与三星的”世纪大战”,而是主要关注于任何新推出的–以及可能流行的–支付平台。有关MST安全或Samsung Pay工作原理方面的研究文章目前并不太多,因此我们只能将目光转到LoopPay,看看这家公司是否曾谈及过其内置于Samsung Pay的该项技术。 首先,MST通过一个感应线圈产生动态磁场,并可根据用户规定的时限改变。磁条阅读器—就如同你刷信用卡或借记卡时所用的磁条—如果你的移动设备距离阅读器3英寸范围内,将能识别出磁场。 和传统信用卡或借记卡一样,磁场内包括了你的支付信息。只有在用户选择发送支付信息时磁场才会存在,且一旦移动设备与阅读器的距离超出3英寸的话,磁场将会自动消失。这意味着攻击者必须距离支付过程非常非常近才有可能窃取支付数据。目前尚不清楚该技术是否会针对传统银行卡支付模式提供任何实质性的安全更新,其更新方式目前也尚未可知。因此还是假定该技术存在不安全性为好。 在LoopPay应用程序内,用户完全可以自行选择是否需要始终发出磁场、或是关闭、还是10分钟或8个小时,或者某一特定时长。而对于LoopPay本身而言,似乎存在可拆卸的硬件组件,并设有传送支付数据的按钮。因此,用户必须对设备发送支付数据的时长进行设置,并按下按钮确认发送。 对于三星而言,似乎MST硬件和发送按钮均内置于启用Samsung Pay的移动设备内。为此我们专门联系了三星想确认这一消息,但公司并未谈及过多其即将发布的支付平台。 然而在一篇新闻中,三星解释说用户将只需从移动设备屏幕的最下面向上滑即可启动Samsung Pay应用程序。用户随后即可从保存在Samsung Pay钱包内的众多银行卡中选择一种支付方式,并通过其移动设备内置的指纹扫描功能确认支付。而其安全方面更令人感兴趣,该篇新闻中似乎还隐含地提到Samsung Pay将借助三星安全的Knox子操作系统来提升其安全性。 如果三星无法在Samsung Pay内加入芯片密码技术的话,他们将不得不以一种过时且不安全的支付模式来应对未来的挑战 对于即将集成的更安全芯片密码技术将如何对依赖于磁条阅读器的技术部署产生影响,目前依然不得而知。LoopPay提供专门针对关于EMV问题的完整常见问题解答。他们的观点似乎是MST与芯片密码一样安全。看看三星是否还有什么其他的计划,这将非常有趣,尤其是考虑到2015年末美国将全面普及芯片密码技术。 如果三星无法在Samsung Pay内加入芯片密码技术的话,他们将不得不以一种过时且不安全的支付模式来应对未来的挑战。除此之外,LoopPay似乎也在赌磁条阅读器将长期使用,但他们根本不知道芯片密码技术将迅速在全美范围普及开来,或者其他的支付机制一旦出现也将极大影响到目前的支付模式。 更加显然的问题是安装后使用的情况。从操作系统到联网恒温控制器:bug都不可避免。我们将不得不在今年夏天等待韩国和美国方面的正式发布。一旦Samsung Pay正式上市,安全研究专家和网络攻击者一定将不遗余力地寻找bug,而我们也将为您带来最新的相关报道。

20亿人拥有SIM卡是现实中的”噩梦”

有关告密者爱德华•斯诺登揭秘美国国家安全局事件又有了新消息,且内容极度令人震惊:NSA(美国国家安全局)及其英国的”合作伙伴”- GCHQ(英国政府通讯总部)据称对金雅拓的网络进行了病毒感染,同时还窃取了用于保护数以亿计SIM卡的加密密钥。 如此大规模地对SIM卡进行病毒感染不禁让人对全球蜂窝通讯系统的安全性打上了一个大大的问号。这并不意味着你的通讯正在受到监视,但真要监视的话只需一个按键即可实现。 如果你不了解金雅拓是什么公司的话,在这里我可以告诉你,这是一家移动设备SIM卡的生产厂商。据《经济学人》杂志报道,事实上,该厂商所生产的SIM卡数量远超世界其它任何的SIM卡厂商。 刊登在The Intercept上的文章最先发出了”指控”,该文章估计金雅拓每年生产大约20亿张SIM卡。联系一下其他方面的数据,目前全球人口达71.25亿;而移动设备估计有71.9亿台。据报道,金雅拓的总共450家客户中,其中不乏知名的移动服务提供商:Sprint、AT&T、Verizon和T-Mobile等。公司在全球85个国家拥有业务,并运营着40家生产基地。 SIM是”用户识别模块”的缩写。SIM卡就是插入你移动设备的小型集成电路。其中内含唯一的”国际移动用户识别码”(IMSI)以及一个加密的验证密钥。该密钥由一串数字组成,主要用来验证你的手机是否真的是你的。这就好比是登录密码配对,但由于完全基于硬件因此无法更改。 一旦拥有了这些密钥,网络攻击者即能够监视移动设备的语音通话和数据通讯,但前提条件是知道这些设备所装SIM卡的加密密钥。如果这些指控属实的话,这意味着NSA和GCHQ的确能够在全球范围监视大量的蜂窝网络和数据通讯,且无需任何理由和司法认定。 你可能经常听说非技术媒体谈论大量有关NSA所开展与元数据相关的活动,但诸如此类的泄漏事件以及被揭秘的受感染伪随机数发生器的的确确是个麻烦。元数据是一系列敏感信息,可以告诉你受害人的位置、联系人名单及其一切个人信息。针对SIM卡或加密协议的大规模攻击能让网络攻击者实实在在地看到—以纯文本形式—我们与他人通讯的所有内容。尽管许多内容可以从受害人的位置和设备交互信息推断而得,但纯文本形式的通讯内容却无从推断。正如上文所说,这些通讯内容都可以实时获取,根本无需进行任何的分析。 据报道,The Intercept将NSA前承包商所窃取的一份机密文件公之于众,其中NSA是这样说的:”[我们]成功将病毒植入多台[金雅拓]计算机,相信我们已掌控了该公司的整个网络…” 隐私和蜂窝通讯并非是我们唯一关心的问题。伴随而来的还有大量财务问题的产生。正如美国民权同盟成员-技术专家Chris Soghoian以及约翰•霍普金斯大学译码者Matthew Green在The Intercept的这篇文章内所注意到的,SIM卡设计并非只为了保护个人通讯。其设计还为了简化账单流程,以及在蜂窝网络刚开始使用的阶段防止用户对移动服务提供商进行欺诈。而在一部分的发展中国家中,大部分人使用的都是过时且防范薄弱的第二代蜂窝网络,许多用户依然依靠其SIM卡进行转账和微型金融服务操作,就如同广泛流行的M-PESA支付服务。 针对金雅拓的网络攻击可能会对全球通讯基础设施的安全性产生影响,而这些通讯基础设施对于移动设备以及安装在内的SIM卡的依赖性越来越高。 不仅仅只有发展中国家会产生经济问题:金雅拓还是芯片以及使用PIN码或EMV支付卡内微芯片的大型制造商,此类支付卡则是欧洲最主要的支付方式。这些支付卡同样也有被感染的可能性。据the Intercept报道,金雅拓所生产的芯片还被广泛应用于大楼门禁、电子护照、身份证以及某几款豪华汽车品牌(宝马和奥迪等)的钥匙。如果你的芯片和PIN码银行卡是由维萨、万事达、美国运通、摩根大通或巴克莱发行的话,那你支付卡内的芯片很有可能就是金雅拓所生产,而里面的加密密钥也可能已经被病毒感染。 尽管受到一系列的指控以及在所谓的秘密文件中也被谈及,作为当事方的金雅拓却坚决否认其网络安全已受到病毒的感染。 “不论是在运行SIM活动的基础设施,还是安全网络的其它部分,我们都没有发现任何黑客入侵的迹象,因此不会对诸如银行卡、身份证或电子护照在内的其他产品产生危害。我们每一个网络都单独分开,也从未与外部网络连接。”公司在其声明中这样说道。 然而,公司此前的的确确曾挫败过多起黑客入侵尝试,有理由相信是NSA和GCHQ所为。 该事件以及许多斯诺登所揭秘的内容有一个重要问题并未引起注意,那就是这份文件注明的日期是2010年。换句话说,这一所谓的SIM卡计划已经实施了5年的时间,而该技术也是在5年开始使用的,而5年已经到了一台计算机使用寿命的期限。 除了个人以外,SIM卡密钥受病毒感染的风险还会将我们所有人的个人隐私暴露在危险之下,如果斯诺登揭露的文件属实的话,这一网络攻击将导致各国与美国国际关系的交恶。还记得两个月前吗,我们中的许多”激进派”都对朝鲜政府黑客攻击索尼影业的事件是否属于战争行为不置可否?该网络攻击很有可能是朝鲜政府所为,但事实上幕后却可能另有他人,对电影工作室进行了攻击并将一些电影剧本和电邮内容公布到了互联网上。针对金雅拓的网络攻击可能会对全球通讯基础设施的安全性产生影响,而这些通讯基础设施对于移动设备以及安装在内的SIM卡的依赖性越来越高。

Desert Falcons:中东顶尖的APT黑客小组

墨西哥坎昆—卡巴斯基实验室研究人员发现了有史以来第一个以阿拉伯语编写高级持续性威胁(APT)的黑客小组。该黑客小组被冠以”Desert Falcons”(沙漠猎鹰)的称号,总共由30名左右的成员组成—其中有一些赫赫有名—在巴勒斯坦、埃及和土耳其经营业务,并据说通过对中东市场的拓展独家经营众多商品。但对于”Desert Falcons”背后是否有政府的资金支持目前仍然无法确定。 他们的”攻击武器”种类繁多,包括:自制恶意软件工具、社交工程以及旨在对传统和移动操作系统实施和隐蔽活动的其它黑客技术。Desert Falcons的恶意软件专门用来从受害人身上窃取敏感信息,随后被用于进一步的犯罪活动,甚至用来对受影响目标进行敲诈勒索。 据卡巴斯基实验室全球研究和分析小组表示,该APT黑客小组之所以将这些受害人选定为攻击目标,目的是窃取他们所掌握的与其在政府或重要组织内职位有关的机密或情报资料。 这些受害人总共被窃取了超过100万份文件。 “这些受害人总共被窃取了超过100万份文件。”反恶意软件公司说道。”被盗文件包括:大使馆的外交文书、军事计划和文件、财政文档以及VIP和媒体联系人清单和文件。” Desert Falcons攻击致使大约3000人受到影响,范围遍及50多个国家。大多数受害人位于巴勒斯坦、埃及、以色列和约旦境内,但在沙特阿拉伯、阿联酋、美国、韩国、摩洛哥和卡塔尔等国也有所发现。 受害人有些来自军事和政府组织;有些任职于卫生组织以及反洗钱、经济和金融机构;还有些是领导媒体实体、研究和教育机构以及能源和公用事业供应商的员工;当然还包括一些社会活动家和政治领袖、实体安全公司以及拥有重要地缘政治信息访问权的其他目标人。 Desert Falcons实施攻击所用工具还包括了植入传统计算机的后门,即攻击者通过安装能够记录击键、截屏甚至远程录制音频的恶意软件得以实现。此外,他们还采用了可暗中监视短信和通话记录的安卓版移动组件。 有趣的是,研究人员在卡巴斯基实验室安全分析专家峰会上介绍Desert Falcons时透露,该黑客小组的APT攻击首次在有针对性的攻击中采用Facebook聊天,即通过常规Facebook页面与攻击目标取得联系,在获取受害人信任后即通过隐藏为照片的聊天向他们发送木马病毒文件。 该黑客小组早在2011年就开始构建其工具,并于2013年首次成功感染,而在2014年末和2015年初的时候Desert Falcons的黑客活动才真正开始活跃起来。似乎该黑客小组目前的活跃程度远胜于以往任何时候。 卡巴斯基实验室表示其产品能够有效检测出并阻止被用于这一黑客活动的各种恶意软件。

三星智能电视窃听用户隐私。慢慢习惯就好。

几个星期前,有人在Reddit网站发帖,帖子内容引述了三星智能电视服务条款:”请注意,如果你所说的话中包含了个人隐私或其他敏感信息,那些信息将被捕捉并通过您使用语音识别功能传输给第三方。” 在随后的几天,不管是旧媒体还是新媒体甚至是雪城大学的官方博客均陆续发表了关于智能电视窃听用户隐私的看法。不幸的是,在专业人士针对智能电视操作系统编写隐私扩展或类似”请勿追踪”和“广告拦截“的插件之前,唯一能阻止此类追踪的方法就是禁用语音识别功能。 让我来首先承认这样一个事实:我其实不管对三星过去的Google电视、现在的三星智能电视还是未来的Tizen 操作系统都不太熟悉,因此我无法确认反追踪或其它类似浏览器的插件是否能真的能起到作用。 然而在我从智能电视厂商的应用开发和审批程序所了解到的是,并没有阻止任何人编写隐私附加元件的明确政策,也不存在针对包括三星在内的所有智能电视系统的强大隐私插件。 如果你认为三星是唯一一家制定此类服务条款合同的智能电视厂商的话,我只能非常遗憾地告诉你:远不止三星一家 更为不幸的是,如果你认为三星是唯一一家制定此类服务条款合同的智能电视厂商的话,我只能非常遗憾地告诉你:远不止三星一家 苹果全部产品系列均保留以下权利:”使用[客户]个人信息以用于例如:审查、数据分析以及研究的内部目的,旨在改进苹果产品、服务和客户沟通”。同样,苹果也允许与其所有”附属公司”共享这些信息。 值得赞赏的是,苹果保证Siri不会保存用户iPhone手机外的位置信息。然而,苹果的隐私政策并没有明确表示Siri页面是否收集、保存或共享用户向Siri语言输入的信息。我们为此向苹果询问这方面的问题。但我并没有对苹果是否能作出回应抱有太大希望。 此外,Google也承认收集用户所使用服务的信息,尽管它巧妙地在弹出窗口内隐藏了详细内容,但依然有这些信息不幸被收集:数据使用和系统偏好设置、Gmail消息(顺便说下,就是消息的内容)、G+用户资料信息、照片、视频、浏览历史记录、地图搜索以及文档(即保存在你文档中的内容)等其它Google托管内容。 唯一了解某一家公司如何处理你个人数据的方式是阅读他们的隐私服务条款声明 我们只举了其中的几个案例而已,而唯一了解某一家公司如何处理你个人数据的方式就是阅读他们的隐私服务条款声明。然而,我们都知道这些声明文件篇幅过长、复杂难懂且使用了许多难以理解的法律术语。我们通常都会直接在”我已阅读并同意”选项上打钩,但真正读过内容的人几乎没有。 就算有人真的阅读了这些条款,但真正理解其中含义的也屈指可数。是否应直接勾选”阅读并同意”而不将整个内容看一遍,关于这一点长期存在争议。就目前而言,直接勾选”阅读并同意”已成为大部分用户的一种习惯,无论你内心是否真的非常渴望了解这些隐私声明和条款。 对于未来到底如何目前很难作出预测,但越多越多的联网设备将推出市场却是事实,其中许多就拥有更为强大的语音识别功能。Google、苹果、三星以及其它一些科技巨头在这一方面的技术稍领先于业内其它公司。无论你同意与否,这些公司已经意识到了隐私的问题。他们可能会将你的个人信息出售给第三方,但在这之前至少会考虑一下。 由于大多数应用厂商将语音识别功能和激活服务加入其产品的历史不超过十年的时间,且缺少更多有价值的隐私处理经验,因此我们还需要耐心等待。好吧,让我们一起拭目以待,到时候这一领域必将变得非常有趣。

Bug、欺诈和WhatsApp网页版

流行的移动消息服务WhatsApp于上月发布了其网页版,该服务允许用户在其喜爱的网页浏览器上使用WhatsApp —但必须用的是Google Chrome浏览器,才无需将个人的WhatsApp网页版账户与iPhone手机配对。 像往常一样,《卡巴斯基每日中文博客》最感兴趣的还是WhatsApp网页版的安全问题。尽管该服务仅公开发布了一个月不到的时间,但一些漏洞已被发现,与之相关的安全事件也时有发生。 Indrajeet Bhuyan是一名来自印度的年仅17岁的科技类博客博主和安全研究者,他发现了两个的确存在于WhatsApp网页版和移动版之间互动过程中的有趣bug。首先要搞清楚的是,网页版客户端只是WhatsApp移动应用程序的一个扩展,是通过映射移动设备的会话然后在Chrome浏览器上显示,其工作原理在WhatsApp官方博客上已与所介绍。因此当用户的iOS移动设备无法连接互联网的时候,就可以使用WhatsApp网页版。 大多数WhatsApp网页版bug在某种程度上与移动应用程序有关的可能性很大,Bhuyan已对其所发现的bug很好地进行了演示。 Bhuyan所发现的其中一个bug与删除的照片有关,也与移动版和网页版之间同步的方式有关。如果用户将WhatsApp与新的网页版服务配对后删除一张照片的话,该照片也将在移动版本应用程序内被删除。然而,据Bhuyan称,任何删除的照片将依然能在网页版客户端上看到。但在另一方面,一旦消息被从移动应用上删除后,网页版应用也将同步删除。 另一个Bhuyan所发现的bug与用户资料隐私选项有关。用户可以将用户资料照片选择向所有人或用户联系列表内的人公开,或者完全保密。Bhuyan宣称,如果选择仅向联系列表内的人公开你的用户资料照片的话,但事实上所有想看到的人都能通过网页版应用看到。下面这段视频说明了一切: Bhuyan在自己的博客上发布了一篇对其研究的简要分析文章,而Bhuyan本人从14岁起就在这个博客上开始发布与科技有关的文章。《卡巴斯基日报》随后联系到了WhatsApp,但该公司对此没有做出任何回应。 卡巴斯基实验室研究人员Fabio Assolini长期追踪利用平台公共利益实施诈骗的网络犯罪行为。据Securelist报道,此类网络诈骗活动通过模仿WhatsApp安装网页,将官方的Google Chrome插件替换成假冒的。要想安装WhatsApp网页版,用户需要访问web.whatsapp.com并用移动设备扫描二维码图片。当然,网络骗子采用的方式是部署含有恶意二维码的山寨网站来感染用户设备。 事实上,Assolini还提到了网络骗子围绕桌面版WhatsApp的网络诈骗活动早在WhatsApp网页版推出前就已屡见不鲜了。他表示已经注意到几个售卖巴西网银木马病毒的恶意域名将自己装扮成假冒的Windows 版WhatsApp。 如果你打算安装WhatsApp网页版的话,确保访问的是正确的网站。 Assolini发现还有其他的犯罪集团利用人们对于WhatsApp网页版客户端的新鲜感,专门收集电话号码以实施昂贵短信服务的诈骗活动,通过将这些电话号码在一些短信服务上注册,受害用户将不得不向犯罪分子支付昂贵的”服务费”。 我们非常期待想了解WhatsApp网页版的安全防范能力是如何领先于其它消息服务的。 目前最好的建议是:如果你打算安装WhatsApp网页版的话,确保访问的是正确的网站。

“洋葱”勒索软件新闻: CTB-Locker升级版出现

一种”洋葱”勒索软件的新型变体已然问世,尽管大多数时候被称为”CTB-Locker”或”Citroni“。 无论你称它是什么,CTB-Locker就是一种类似于”加密锁”的恶意软件,通过对用户主机上的所有文件进行加密,然后向用户索要解密这些文件的赎金。 CTB-Locker(即Curve Tor Bitcoin Locker)与其它勒索软件有所不同,它很大程度上依靠的是恶意软件命令和控制服务器,即通过使用Tor项目的匿名网络将自身屏蔽。利用Tor(洋葱路由)也有助于其逃避检测和被阻止。为了保护CTB-Locker背后控制者,赎金支付仅接受分散且大部分匿名的加密货币-比特币。 所有这些特性都使得CTB-Locker成为一种极具危险性的威胁,且所利用了的先进技术在”行业”内可谓数一数二。 “通过在匿名Tor网络隐藏命令和控制服务器很大程度加大了搜索网络犯罪分子的难度,而使用非常规的加密协议使得文件根本无法被解密,就算将在木马和服务器传输过程中的流量拦截也无济于事。”卡巴斯基实验室高级恶意软件分析师Fedor Sinitsyn在去年向《卡巴斯基每日新闻》透露道。”所有这些特性都使得CTB-Locker成为一种极具危险性的威胁,且所利用了的先进技术在’行业’内可谓数一数二。” 据Sinitsyn 称,新版CTB-Locker—卡巴斯基实验室产品检测到的是Trojan-Ransom.Win32.Onion —包含了一些有趣的更新程序。随着受害人数的不断增加,该勒索软件竟然还向受害人提供了类似于”试用版”的程序,可为用户免费解密5个文件。CTB所加入的一些新功能还能躲避被安全公司研究。另外还增加了3种新语言:德语、荷兰语和意大利语。除了直接连接Tor网络外,还可通过6个web-to-Tor服务进行连接。 防范该勒索软件和其它威胁的最佳方式是永远备份你的电脑(每周都备份一次)。此外,你还需要运行一款强大的反病毒软件以确保你的软件、操作系统以及其它应用程序都已打上最新补丁。一旦不幸被感染,根本没有恢复被CTB-locker所加密文件的可能。当然你可以支付赎金,但随着网络犯罪成为一门专业程度越来越高且以客户服务为导向的生意,你根本无法保证在支付赎金后能收到解密文件的密码。 不管你喜欢与否,勒索软件就是门一本万利的生意,随着我们的日常生活和财产越来越多地连接到所谓的”物联网”,伴随而来的问题将越来越严重。 #防范#该#勒索软件#和其它威胁的最佳方式是永远备份你的电脑。 迄今为止,卡巴斯基安全网络已检测出了大约361次尝试感染,大部分发生在俄罗斯和乌克兰。卡巴斯基实验室产品用户完全可以防范该勒索软件和其它加密恶意软件的感染,除非”系统监控”功能遭禁用。一旦有可疑程序访问用户文件,”系统监视“将立即备份这些文件并进行本地保护。请确保这一组件正常运行。 新闻缩写:卡巴斯基用户只需打开”系统监控”即可受到保护。如果你的电脑不幸被感染,恢复文件的唯一方式是支付赎金,但就算支付了也未必能恢复。现实就是那么残酷。

Progressive Snapshot将驾车者暴露在黑客入侵危险之下

一名研究人员在上周发现可以利用Progressive的Snapshot驾车者跟踪工具黑客入侵某些车的车载网络。Snapshot作为一款可以插入OBD-II端口的工具,由Progressive汽车保险公司生产。其目的旨在通过监视驾车行为从而为更安全驾车者提供更低的保险费率。 首先为大家科普一下:OBD-II是下面的一个输入端口,一般位于方向盘的左侧。该端口可通过插入排放检测器来检查汽车计算机系统的所有代码,从而确保该车没有在排放有害污染物。此外,你还可以将诊断扫描装置插入该端口,检查发动机灯是否开启。 简单地说:你爱车的计算机网络由传感器、电子控制单元以及控制器局域网(CAN)总线组成。一辆车内ECU(电控单元)可以有许多,但应用目的各不相同,大多数用于处理来自于传感器的信号,同时监视发动机控制系统、安全气囊以及大多数从未听到过的汽车部件。ECU全都联网并通过CAN总线进行通讯。例如:一旦发生撞车,传感器会迅速将撞车情况告知ECU,ECU随即通过CAN总线将这一消息传至执行安全气囊部署的ECU。 @ Progressive #Snapshot# 驾车者监视工具并不安全,且将驾车者暴露在黑客入侵危险之下 OBD-II端口过去曾是汽车上的唯一接口,主要与CAN总线和ECU进行通讯。最新的研究显示还可以通过无线网络实现。 Digital Bond Labs安全研究人员Cory Thuen找到了一个Snapshot装置,该装置广泛运用于近200万辆汽车。他通过对该装置进行逆向工程,研究出了它的工作原理,并插入到自己一辆丰田Tundra车的OBD-II端口上。通过一番观察和使用后,Cory Thuen发现该装置无法证明是否对流量数据进行加密,也缺少存在数字验证签名和安全启动功能方面的证据。 需要明确的是,Snapshot装置是通过蜂窝网络以纯文本的形式与Progressive进行通讯。这意味着网络攻击者可以非常容易地建立一个伪造的蜂窝发射塔,进而执行中间人攻击。 远程黑客完全可以通过Snapshot软件狗将代码植入控制汽车安全气囊和紧急刹车的专用网络。 除了这些严重的安全隐患,该装置的确可以与CAN总线进行通讯。因此,远程黑客完全可以通过Snapshot软件狗将代码植入控制汽车安全气囊和紧急刹车的专用网络。Thuen的研究工作就差向自己的汽车网络植入代码了。他表示他唯一感兴趣的地方,就是找出是否存在任何的安全保护措施能够阻止他植入代码。 你们先不要惊慌,就在去年的时候,我就这一问题(将恶意代码植入到CAN总线)专门拜访了IOActive汽车安全研究主管同时也是著名的汽车黑客Chris Valasek,他对此的看法是:实际操作起来非常复杂。 当然从理论上说,当你的车在高速公路上减速行驶时,通过植入代码来操控汽车启动自动平行停车辅助程序的确可能实现。但问题是,当你的车在行驶过程中, ECU在任何一个时间点还在同时处理数千个其它信号。那么,要想启动自动平行停车辅助程序(或其它任何功能),网络攻击者都必须发送足够多的信号来占满整个CAN总线,从而取代汽车传感器输出的所有合法信息。 Valasek和他的研究伙伴Charlie Miller早在几年前即掌握了如何通过伪造的传感器信号将车载网络填满的方法,从而达到操控安全带锁扣、刹车和方向盘的目的。然而,这一过程过于耗费人力,而Miller和Valasek作为安全业界的翘楚,他们的研究显然得到了美国国防部高级研究计划局(DARPA)的批准。 好消息是目前并没有很多人在做有关CAN总线的研究。另一方面,却有很多人在研究浏览器安全。由于汽车制造商开始更多地将浏览器和其它联网软件集成入到他们所制造和销售的汽车内,未来有关汽车黑客入侵事件的数量将呈显著上升趋势。

还记得2010年的Gawker Media密码泄漏事件吗?

Gizmodo于近期发布了一份2014年最差密码排行榜,并自鸣得意地对那些采用简单结构登录凭证的”傻瓜们”大肆嘲弄了一番。有些讽刺的是,这似乎在提醒人们作为Gizmodo母公司的Gawker Media曾经是薄弱密码管理方面的”典范”。在2010年,网络攻击者通过病毒感染Gawker网络,致使其20万个薄弱密码遭到解密。将Gizmodo嘲讽的对象与其母公司在2010年所遭受的读者密码泄露事件进行一番对比难道还不够有趣吗? 有趣的是,在今年的最差密码排行榜中,排名前25位的密码中有16个密码也同样是2010年Gawker数据外泄事件中最常用的密码。如果我们再统计一下Gawker外泄事件中最常用的50个密码,其中仅有4个新密码未同时包含在两份榜单中。如果设置的密码是”access”、”mustang”或纯数字”696969″,那么恭喜你,此类密码的安全强度要高于大多数密码。 从2010年的@ Gawker #密码外泄#事件到今年发布的最差#密码#排行榜之间并无太大改变 该榜单集合了包含今年数据外泄的所有登录凭证,由安全公司SplashData负责收集和整理。如下所示,SplashData每年都会发布这样的一些榜单,并注明每个的密码排名位置和去年相比是否发生改变,是上升、下降还是保持不变。对于那些同样在Gawker密码外泄事件中排名前50位的密码,我用星号进行标标注。 1. 123456(排名未变)* 2. password(排名未变)* 3. 12345(上升17位)* 4. 12345678(下降1位)* 5. qwerty(下降1位)* 6. 123456789(排名未变) 7. 1234(上升9位)* 8. baseball(新晋上榜)* 9. dragon(新晋上榜)* 10. football(新晋上榜)* 11. 1234567(下降4位)* 12.

《骇客交锋》除了绚丽的黑客技术外,没有特别之处

由著名导演迈克尔•曼(曾执导过《盗火线》和《最后一个莫希干人》)导演的电影《骇客交锋》讲述了一个有关数字世界的故事,其中两名主人公的身份一个是中国人民解放军军官,另一个则是被定罪的重刑犯。在剧中他们即是网络攻击者又是同窗好友,主要任务是追踪剧中的大反派并在发动第二次攻击之前阻止他们。 影片的开头是在一座核电厂的控制室,镜头直接越过负责监控核电厂反应堆芯温度的工作人员的肩头。我们可以看到在他的显示器上,有一根指针在温度计的绿色两端上下跳动,在背后我们还可以看到一大池水不断搅动以冷却核电厂的反应堆。 作为一部黑客题材的电影,少不了镜头突然进入计算机显示屏并通过以太网电缆进入服务器,我们可以看到下面的电路板,镜头最终放大到一点并聚焦到正在传输的个人数据包。 随后镜头突然一转跳出了网络世界来到了我们早已预料到的一间幽暗凌乱的房间,房间内装饰有脏兮兮的木护墙板和东方式的艺术屏风,最终证明这是一家味道正宗可口的中菜馆。我们可以看到在键盘上面出现了一只被胁迫的手。在按下回车键以后,可以看到大量的数据包被快速回传到之前看到的那座核电厂的服务器上。镜头省去了网络部分并移到了水下,不断推动水来冷却核反应堆芯的水泵此时突然加快运行速度,最终不可避免发生了故障。随后,当然整座核电站发生了爆炸。 黑客攻击后的结果在意料之中,随即镜头又变成了进入网络内的画面效果,我们看到纽约证券交易所的大豆价格一路飙升。剧透警告:剧中反派在高价位时将大豆全部卖出,为他们的下一次网络攻击筹集资金。最终原来之前对核电厂的网络攻击只是最终攻击目标的一场预演而已:是剧中反派对恶意软件的一次测试,只是想看看是否真的能对部署在另一座核电厂同一品牌泵的可编程序逻辑控制器造成实质性的破坏。对这段剧情我深表怀疑:既然你能从纽约证券交易所轻松获利7500万美元,那为何不去买一台水泵然后找个实验室安静地进行测试呢?还有既然他们能够如此轻松地赚取巨额利润,那为什么不将纽约证券交易所洗劫一空然后溜之大吉呢?毕竟所有电影中的反派背后的动机就是为了金钱。 #安全报告员# @BrianDonohue点评影片#《骇客交锋》# 随后由王力宏饰演的Chen Daiwai登场,他在剧中是一名在中国人民解放军内迅速蹿升的网络防御专家。在一个场景中,他恳求自己的上级领导潜入美国联邦调查局(FBI)内网偷取相关专业知识,以追踪实施上述所提到网络攻击的犯罪分子;然后场景一转,他又在一台黑色计算机的屏幕前将绿色代码加亮,随后匆匆赶往他妹妹(由汤唯饰演)的住处以寻求一些咨询,而汤唯所饰演的妹妹角色在剧中爱情专一且敢爱敢恨。 在Dawai与FBI特工Carol Barrett(由维奥拉•戴维斯饰演)简单地沟通了几句后,显然他意识到了此前被破坏的核电站是通过使用远程访问工具(RAT)而被建立了后门。通过RAT让恶意软件破坏反应堆芯原本正常运行的仪表板并让水泵超速旋转而最终报销。 《骇客交锋》所讲述的是一个只需半个小时就能讲完的网络题材故事,但实际上却用了2小时13分钟。 你可能会问,那么到底是谁编写了这个远程访问工具?还能有谁,当然是我们不幸入狱的男主角Nick Hathaway(由克里斯•海姆斯沃斯饰演),他性格坚毅且拥有天才本领,背后还少不了他在麻省理工学院室友Dawai的帮助。 相似的剧情我们已看过上千次了,几乎毫无创意可言:年轻成功的配角需要从失败但却拥有天才本领的老朋友那儿寻求帮助。对我来说,剧情发展到这里或多或少有些感觉牵强,尽管其相关技术相对可信,编剧也将现实中发生的Stuxnet病毒事件大部分移植到本片中,但有一两个用来推动剧情的片段却根本站不住脚。 有一个镜头,充分显示了Hathaway的天才本领:监狱守卫在他的牢房内发现一部手机后,狠狠地将他揍了一顿。显然他用这部手机黑客入侵了监狱食堂系统,随后为每一名狱友的饭卡重新充值。当然,司法部最后还是获准他临时保释以协助他们追踪那些犯罪分子。 作为麻省理工学院毕业的高材生,Hathaway的犯罪记录可谓劣迹斑斑,并因盗窃数百万美元而服刑了14年(仅从银行窃取资金,我们的小罗宾汉原型提醒)。他是否接受了临时保释?当然没有!作为一名预见能力超强的谈判专家和孤注一掷的赌徒,他要求一旦能抓获破坏核电站的黑客罪犯(或犯罪小组)就必须完全赦免他此前的罪行。 《骇客交锋》将不太可能赢得任何演技或其它方面的奖项,如果奥斯卡颁奖能专门设立技术顾问奖的话倒还有可能。这部影片涉及了我们博客中经常提到的可编程逻辑控制器、GPG 512bit加密、恶意软件和RAT,并一笔带过地介绍了过于复杂的钱骡情节、Bourne Shell、root以及核心程序。 然而和所有黑客题材电影相类似的是,影片的故事情节因为我们时运耗尽的计算机天才主角竟然能像好莱坞枪战片那样用单手开枪而失去了其所有真实性。 此外,本片还在主角们集体陷入困境的时候,出现了”紧急关头扭转局面的人”。Hathaway黑客入侵美国国家安全局(可笑的是尽然通过网络钓鱼攻击)以远程访问他们的超级计算机软件,然后Hathaway和司法部利用它来重建遭泄露的行代码,这些有价值的行代码在堆芯熔毁中几乎被破坏殆尽。 这是否一部伟大的电影?不是。这是是一部好电影?也不是。这最多只算一部故事还说得通的娱乐大片。这部影片出色地将极为复杂的网络安全题材以简洁和浅显易懂的方式呈献给观众。 《骇客交锋》讲述的是一个只需半个小时就能讲完的网络题材故事,但实际上却用了2小时13分钟。也是一部我不会再花钱看第二遍的电影。然而,如果这部片子有机会在TNT电视台播出,或许在一个悠闲的周六下午我会再花点时间观看一遍的(就像上次我又看了一遍《鹰眼》)。因此,如果满分是7分的话,我会给这部影片打3分(主要是为了影片中的黑客情节和画面)。

你所应该知道的关于”针对苹果电脑的Bootkit类病毒-Thunderstrike”

上个月在德国汉堡举行的第31届”Chaos Computer Club Conference”上,提及了首次被公开的OS X固件bootkit类病毒。 安全人员Trammell Hudson编写了这一攻击并将其命名为Thunderstrike。它利用了深藏在苹果OS X系统核心内的漏洞。事实上,该漏洞是该操作系统的一部分。据报道,Hudson随即联系了苹果公司并一起解决了除苹果笔记本电脑以外所有受到影响的设备。 毫无疑问,Thunderstrike像所有boot-和rootkit类病毒一样,是一种能够控制你在计算机上所有行为的严重威胁。你可以将它想象成是计算机界的埃博拉病毒:通过传染病毒产生毁灭性的后果,但受感染的可能性相对较低。 bootkit作为一种rootkit类恶意软件,存在于计算机操作系统内的引导进程内,通过发出各种命令从而完全控制受感染计算机。它们在操作系统载入之前感染主引导记录并在计算机启动时运行。即使你删除操作系统,bootkit依然存在。因此bootkit难以被发现和移除,只有使用高级的反病毒产品才能将它们彻底清除。 Thunderstrike作为针对OS X系统设备的bootkit类恶意软件,可通过直接硬盘访问或连接雷电接口进行安装。作为第一种情况,通过直接硬盘访问进行感染可能性不大。无论是厂商出厂安装固件或网络攻击者将你的苹果笔记本电脑拆开并手动将其安装到硬盘上,可能性都不大。 #Thunderstrike#作为针对#苹果电脑##bootkit#类恶意软件,只能通过直接硬盘访问或#雷电#接口线进行传播 然而第二种载体,即通过雷电连接进行感染的可行性相对更高一些。事实上,我们专门将此类攻击称之为”evil maid”攻击或”政府资助攻击”,通常在机场或过境时对笔记本电脑进行检查甚至没收时植入。当然当你不在自己计算机旁的时候这一方法同样奏效。 正如”埃博拉病毒”需要直接接触体液才能传播一样,只有当有人将你的计算机拆开或将外围设备通过雷电接口接入并安装恶意固件后,才会感染Thunderstrike恶意软件。 由于该病毒掌控了签名密钥和更新程序,因此无法通过软件进行移除。重装OS X系统也根本无济于事。同样更换固态硬盘也无法清除,因为它根本就没有保存在硬盘上。 其它恶意软件的破坏力相对较弱,但传输速度更快。打个比方,感冒通过空气传播且对公众的危险程度远高于”埃博拉病毒”,尽管事实上感冒并不会致命。 同样的,旨在占用计算机处理能力进而形成僵尸网络的恶意软件所引起的恐慌程度并不如Thunderstrike,但只是因为此类恶意软件能够通过网页注入、恶意电邮、隐蔽强迫下载或其它许多载体远程感染计算机,且对公众的危害性更大。 “鉴于它是OS X系统中出现的首个固件bootkit类病毒,因此目前根本扫描不出来。” Hudson说道。”它通过各种优先指令控制系统,使其记录包括磁盘加密密钥在内的键盘按键,还能在OS X系统内核中植入后门以及绕过固件密码。由于该病毒掌控了签名密钥和更新程序,因此无法通过软件进行移除。重装OS X系统也根本无济于事。同样更换固态硬盘也无法清除,因为它根本就没有保存在硬盘上。 要保护计算机免受Thunderstrike攻击的最好方式是确保当自己不在的时候没有人能访问你的苹果笔记本电脑。换句话说,如果你能小心提防窃贼的话,就能有效防范。 在此期间,你可以听些AC/DC乐队的歌放松一下:

索尼黑客事件的幕后黑手是否真是朝鲜政府?

索尼黑客事件似乎为这个原本就精彩缤纷的圣诞节又增色不少。如果这一消息属实的话,之前被讨论得沸沸扬扬的纯喜剧片《采访》(由索尼出品)将不得不被迫取消上映。该部电影的故事主要围绕着两名被准许采访朝鲜最高领袖金正恩的美国记者展开,随后的剧情还讲到他们如何被授命刺杀朝鲜的专制独裁者。 2011年春天,索尼的PS网络因遭受黑客攻击而被迫关闭1个月之久,从而成为这一令其蒙羞的重大安全事件中的主角,显然索尼并没有从中吸取了足够教训。 此次事件整个过程大致如下: 首先,索尼影业遭到一伙宣称与朝鲜民主主义人民共和国结盟的黑客小组的攻击。随后,这群黑客开始将盗取的索尼公司专有资料随机发布在互联网上,包括:电影、即将拍摄或上映电影的剧本、敏感员工的医疗信息以及内部电邮脱机文件。最后,黑客还威胁如果《采访》上映的话就将攻击电影院,全美最大连锁影院- Regal Cinemas院线随即表示不会安排播放该部电影,而索尼最终也决定将《采访》无限期推迟上映。 通常来讲,背后有政府资助的黑客小组在进行黑客攻击时,行事都尽可能地隐秘。 大众舆论一致认为朝鲜政府是这一黑客攻击事件背后的黑手。此外,对此持怀疑态度的观点也同样不少,且有充分的理由支持。通常来讲,背后有政府资助的黑客小组在进行黑客攻击时,行事都尽可能地隐秘。你随便找出一个高级持续性威胁小组或黑客活动,都无法准确说是哪一个特定国家所为。从黑客攻击者的角度看,其攻击目的也同样无法100%确定。通过结合事实来分析其攻击目的,在互联网上显然无法奏效。 在这一事件中,宣称为这一攻击负责的黑客小组显然通过大量台式电脑在索尼网络上发布了一张色彩艳丽、荒谬和吓人的骷髅图像。大多数APT攻击小组根本不会在受感染网络上宣扬自己的存在。相反,这一”和平守护者”小组却发布了一些针对索尼、电影观众以及广大美国公众的严重威胁。 但问题依然存在:在某种程度上,索尼攻击事件的背后是否真有朝鲜政府参与?Threatpost和各大安全新闻媒体都采用了美国政府的观点,报道了朝鲜事实上的确参与了索尼攻击事件。就在新闻出版当日,美国政府所公布的事件细节依然不足,但预计在今天晚些时候美国白宫方面还将有更多的详细内容公布。 这留给了怀疑论者大量的想象空间,认为朝鲜政府参与了#索尼黑客事件# 另一方面,美国科技新闻评论网(Wired)坚持其观点,并进一步表示目前没有任何证据显示朝鲜政府与索尼黑客事件有丝毫的关联。Wired不仅搬出了黑客事件普遍难以指定到特定群体的理由,还援引了索尼和美国联邦调查局(FBI)的声明–双方均公开表示没有任何证据能够将朝鲜政府与此次攻击事件联系起来–同样也是遭怀疑的理由。我们很难反驳Wired的观点。你是否能想象一个国家的政府会仅仅因为一部极度荒谬的电影而公然攻击一家外国企业? 事实上,还可能有许多理由。 The Sony hack is extremely worrying. Hackers using real-world terror threats and achieving their goal is really

幽灵版Zeus病毒变体:攻击目标锁定全球网银用户

卡巴斯基实验室研究人员于近期发现了著名Zeus木马病毒的一种新变体。该变体之所以被称为”幽灵”(Chthonic),源于希腊神话中冥界的鬼神。目前已将全球15个国家的150家银行和20种支付系统锁定为攻击目标。 Zeus(宙斯)正如其名字一样,堪称网银恶意软件中的”王者”。Zeus首次出现于2007年,一经出现即对众多网银账户大肆破坏。2011年,其开发者不再继续对其开发和更新,之后便将Zeus的源代码公布于众。这似乎预示着Zeus木马病毒就此将在互联网上彻底消失,但随后的事实证明与人们之前的预想截然相反。Zeus病毒源代码的公开使得一些不良程序员能基于其高可定制化框架编写出大量该病毒变体,其中包括:GameOver、Zitmo和其他许多威胁。 “幽灵”变体不仅收集系统信息、窃取保存密码、记录按键和授权远程计算机访问其控制者,还能够激活受感染机器上的摄像头和录音工具。 “幽灵”变体不仅收集系统信息、窃取保存密码、记录按键和授权远程计算机访问其控制者,还能够远程激活受感染机器上的摄像头和录音工具。这一系列行为背后的最终目的是:通过窃取网银登录凭证和让网络攻击者掌控受害人机器,从而执行欺诈性资金交易。 和一些早期的网银木马病毒一样,”幽灵”通过部署恶意web注入技术,旨在将合法网银界面替换为自定义图像和代码。而毫不知情的网银用户则”心甘情愿地”将他们的网银登录凭证亲手交予恶意软件幕后黑手,根本没有意识到他们的网银登录页早已被恶意的假冒页面所替代。犯罪分子之所以热衷于使用这一方法,还在于能窃取第二重认证信息,例如:用户将在受感染浏览器输入的一次性密码和短信代码。 #Zeus#木马病毒#”幽灵”#变体将全球15个国家的150家银行作为攻击目标。 “幽灵”主要将攻击目标锁定在位于英国、西班牙、美国、俄罗斯、日本和意大利的各大银行机构。在日本,该恶意软件通过一脚本重写银行安全警报系统,使得网络攻击者能够以用户账户执行交易。在俄罗斯,受感染用户甚至无法访问其银行网站,因为”幽灵”通过注入内联框架,将用户重新定向至相似度极高的钓鱼网页。 然而,在将触手伸向网银登录凭证之前,”幽灵”首先需要感染用户设备。如同其他恶意软件的原理一样,”幽灵”通过恶意网页链接和电邮附件偷偷潜入用户设备。无论采用何种方式,该攻击旨在将恶意DOC文件下载至受害人设备。这些文档内含富文本格式,以利用微软办公软件内的远程代码执行漏洞(已于4月份修复)。但该软件无法在适当更新的设备上运行。此外,卡巴斯基安全产品用户也完全受到保护,可免于这一威胁的侵害。