Serge Malenkovich

“Just because you're paranoid doesn't mean they aren't after you” ― Joseph Heller

54 文章

劫持工业机器人

在显示器上弹出勒索软件消息确实让人愉快不起来,但WannaCry或ExPetr/NotPetya并不是最糟糕的情况。研究人员在在黑帽黑客大会上展示了的物理网络攻击远远不止于此。

适应未来发展的网络安全

如今,整个网络安全行业都面临着一个根本性的问题:人才供应不足。Frost & Sullivan预计到2020年,网络安全行业将出现150万名技术熟练人员的岗位缺口,尽管各国教育体系已不断努力培养相关专业人才。许多大公司的IT部门同样也面临着巨大的岗位缺口。

芯片银行卡仍存在漏洞

近几年,全球银行业花费了大量的时间、精力和资金来保护银行卡的安全。过去往往采取卡片凸起数字和签名栏的安全保护手段,而如今智能芯片和一次性密码则成为了保护账户免遭犯罪分子攻击的最新方法。

勒索软件又出”新招”

涉及DDoS攻击勒索的网络犯罪活动与日俱增:网络犯罪分子不断攻击直至受害人支付赎金。勒索软件如今也出现了越来越多的变型且结构更趋于复杂。在最近发生有关勒索软件攻击的新闻中,报道有两家医院遭受勒索软件攻击,其中一家最终被迫支付赎金以解密重要的资料信息。勒索软件似乎暗暗地又出”新招”,最新一代的勒索软件能够阻止用户访问网站。

Clavis Aurea:”黄金钥匙”是否真能解决加密问题

在《华盛顿邮报》最近刊登的一篇文章中,赋予了该种方法一种颇具诗意的名称–黄金钥匙。作者引用了一些绑架案和其他犯罪案件,均是由于未能部署’黄金钥匙’系统而导致调查人员无法取得案件进展。该文作者最后呼吁,所有包括:Google、苹果、Facebook和Telegram应向各国政府授予这些所谓的’黄金钥匙’。

Equation网络间谍开发出”坚不可摧”的恶意软件–但还不用过于恐慌

卡巴斯基GReAT团队于近期发布了针对Equation网络间谍小组活动的研究报告,其中揭示了大量所谓的”技术奇迹”。该历史悠久且技术强大的黑客小组开了一系列复杂的”可植入”恶意软件,但其中最有趣的发现是该恶意软件能够对受害人的硬盘进行重新编程,进而隐藏这些”植入病毒”因此几乎”坚不可摧”。 作为计算机安全领域期待已久的”恐怖故事”之一 –永远存在于计算机硬盘且无法被清除的病毒数十年来被认为是一段”都市传奇”,但似乎人们花费了数百万美元只是为了将其变为现实。有些新闻报道煞有其事地宣称Equation黑客小组所开的这一恶意软件能让网络黑客”窃听全球大多数计算机”。然而,我们只是想尽可能地还原事实的真相。所谓能够”窃听全球大多数计算机“就像熊猫能在马路上走路一样不现实。 首先,让我们解释一下什么是”对硬盘固件重新编程”。通常一块硬盘由两个重要部件组成–存储介质(传统硬盘使用磁盘,而固态硬盘则采用闪存芯片)和微芯片,而后者则真正控制对硬盘的读写以及许多服务程序,例如:错误检测和修正。由于这些服务程序数量众多且相当复杂,因此从技术上说,一块芯片就好比是一台小型计算机,用于处理各种复杂的程序。芯片的程序被称为固件,而硬盘供应商可能不时需要对其进行升级更新:修正已发现的错误或改善性能。 而这一机制恰恰被Equation黑客小组所滥用,从而能够将其自己的固件下载到12种不同类型(按不同供应商/差异区分)的硬盘。修改后固件的功能依然不得而知,但因此计算机上的恶意软件却获得了在硬盘特定区域读写数据的能力。我们只能假设这一区域完全对操作系统甚至特定合法软件隐藏。而这一区域的数据即使硬盘格式化后也依然可能幸存,并且从理论上说固件能通过从一开始感染新安装的操作系统进而对硬盘引导区进行再感染。为了简化之后的工作,固件都是依靠自身检查和重新编程,因此就无法检验固件完整性或可靠地将固件重新上传至计算机。换句话说,受感染的硬盘固件根本无法被检测出,因此也就”坚不可摧”了。最简单和省钱的办法是将可能被感染的硬盘丢弃,重新买块新的。 但是,不用急着去找螺丝刀–我们并不认为这一终极感染能力会成为主流。就算Equation黑客小组可能也只用过几次而已,因此受害人系统存在硬盘感染模块的情况依然屈指可数。首先,对硬盘重新编程相比写入而言要复杂得多,可以将Windows软件作为例子。每一块硬盘的模块都是独一无二且造价相当昂贵,此外要编写出一个替代的固件也需要耗费相当长的时间和精力。黑客首先必须得到硬盘供应商的内部文档(几乎不可能),购买一些同一型号的硬盘,编写和测试所需的功能并将恶意程序植入现有固件,与此同时还需要保持其原先的功能。这是一个浩大的工程,需要花费数月进行研发并投入数百万美元的资金。因此在一些用于犯罪的恶意软件或大部分的有针对性攻击中,几乎不太可能使用此类隐藏技术。此外,固件开发显然只能小范围进行,无法简单地大规模进行。许多硬盘厂商每月都会针对多款硬盘发布固件,新型号产品也层出不穷,因此要黑客入侵每一款型号的固件对于Equation以及其他所有黑客小组而言几乎不可能实现(也没有这个必要)。 因此,真实的情况是–感染硬盘恶意软件不再是传奇了,但对于大多数用户而言不存在任何风险。千万不要轻易丢弃自己的硬盘,除非你是在伊朗的核工业工作。但却需要对一些我们已老生常谈的风险多加注意,比如因密码薄弱或反病毒软件长久未更新而导致黑客入侵。

如何清除臃肿的广告软件

以前还是学生的时候,在闲暇之余我还有一份兼职工作-为SMB客户维护和管理计算机。那么多年过去了,我偶尔也会回想起过去那段美好的时光—就在最近,我去了几个亲戚那儿帮他们维护日常使用的PC电脑,但对于有些问题我竟然束手无策。 就在两周前,有个亲戚要我去帮他维护一下电脑:是一台功能强大且配置还算主流的笔记本电脑,但运行速度却有些缓慢。在仔细检查后,我发现3/4的计算资源被5个不同的”主页助手”和”搜索面板”所占用。 这些”主页助手”和”搜索面板”还附有恶意广告软件,每次只要打开网页时就会跳出烦人的大尺寸横幅广告。最终我花了整整两个小时将这些”垃圾”全部清除,除了我的方法正确以外–当然,还因为安装卡巴斯基安全软件。 全部来自于广告! 我之所以认定这些广告软件是恶意的,原因有二:第一,它过度消耗PC资源。第二也是更重要的,它会跳出各种广告。如果每次你打开网页时横幅广告就会跳出,同时模仿所打开网页的原始内容和特点,那就可以认定该广告软件是恶意软件的一种。 在访问了那些我经常使用的网站后,我才明白广告软件的危害程度之巨大。每个网页的最下面或正文旁边都至少被植入了5、6个页边广告。这让用户局的网站所有人贪得无厌,用尽页面的每一寸空间来发布广告。 该’超级助手’功能需要占用每个浏览器多达300 MB的内存,且CPU占用率高达2/3。还需要注意的是:没有一个万能的方法可以清除这些”垃圾”。 自愿被卸载 一开始,我通过计算机自带的任务管理器成功将耗费资源的广告软件关闭…但仅仅过了10秒钟大多又重新恢复,继续吞食PC的处理能力。进入控制面板卸载这些软件的作用同样有限。只有像Yandex 和雅虎搜索栏这样的’合法’的程序会”光明正大”地出现在控制面板的程序列表内。 事实上,有两个程序似乎只占用系统的很小一部分资源。《免责声明》:每一个程序并没有过多占用CPU的处理能力,但5个程序一起运行的话就另当别论了。5个程序会同时执行相同的任务,互相争斗只为了争夺浏览器主页。 然而无名’搜索助手’是具有真正潜在危险的顽固软件:这些软件不仅不会出现在已安装程序列表中,也无法删除,且每当我试图按下删除键时总会出现错误信息。 强制清除顽固程序 精通电脑的用户可以飞快地完成’指尖舞蹈’(the finger dance,电脑天才们,我不是指这个),只要停止PC电脑内存中的任务,他们就可以在三秒钟内手动删除所有应用程序的文件。使用KVRT或卡巴斯基病毒清除工具则是另一种更为有效的方法。虽然是一款免费的反病毒软件,却拥有基本的功能,可通过扫描受感染计算机将将顽固恶意软件彻底清除。 使用KVRT或卡巴斯基病毒清除工具可以有效删除这些恶意软件。这是一款附带基本功能的免费反病毒软件。 最终,KVRT成功删除了两个受感染的广告软件组件,在重启后这台PC电脑得以恢复到正常的运行速度。幸运的是,另外两个工具条和助手程序含有卸载选项,因此无需像恶意软件那样被强制删除。 再重启一次后,这台PC电脑的系统终于干净了。一旦系统干净了,你只需再做一些简单的维护操作,比如:从临时文件夹删除文件和对硬盘进行磁盘碎片整理。 这一切的根源 所有这些无法删除的恶意横幅广告都来自哪里?我只用了几秒钟就想到了:你只需要快速浏览一下桌面就能找到答案。桌面上的这些游戏,大部分都是由开发者免费提供下载。 Gamedev社区论坛并非是无私的公益网站。它所开发的每一款现代游戏,甚至是最简单的一款都需要付出成本,因此他们需要以某种方式筹集资金。如果他们不是向用户直接收费的话,那就需要从其它地方赚取利润。比如,他们可以和广告网络和搜索引擎进行合作。 基本上来说,这就是各种’搜索助手’和’主页保护’进入你计算机的渠道:通过游戏和免费软件。这样的商业模式基本还是可接受的,但正如我们所看到的,其实运作的并不太理想。 通常来说,PC用户不太会关心电脑里是否安装了5个不同的工具条,因此无害的竞争就此展开:如果想将一个工具条加入到PC电脑的浏览器上,在安装过程中安装向导可能会告知用户即将加入工具条。 这与反病毒软件的运行方式颇为相似:通常,一旦同一台电脑上安装了两款反病毒软件,那它们将永远无法和平相处。除非广告工具条开放者部署了相同的方法,类似于常规”广告清理”的”反病毒软件清理”程序,这一定会大受欢迎。 如何避免安装广告软件附件? 相对于将广告软件从电脑中删除,防止广告软件”溜进”系统相对要容易一些。以下3条小贴士可能会对你有所帮助: 1.只从开发者的官方网页下载应用程序,而非软件集中下载网站。 2.在安装软件时,注意每一个安装向导窗口,并对建议安装的其他程序取消勾选。

从信用卡遭黑客入侵所学到的五个教训

有一天早上,在我匆匆赶往公司的路上,突然发生了一件可怕的事情:我收到了一条来自银行的短信,提醒我有一张信用卡刷了80美元,但事实上我却从未从该信用卡刷过这笔钱。 我接下来做了什么呢?我立即锁住我的信用卡,并向发卡行提出索赔,之后获得了一张新卡。我必须说,最终所有问题都得到解决,而银行也退给了我这笔钱。主要原因是在于我的反应速度够快。然而,本篇文章的目的并非教会我们如何在信用卡遭受黑客入侵后做好善后工作,而是关于通过这件事我所学到的经验教训。 教训一:反应迅速是关键 这条法则在全世界适用:你越快做出反应并证明该笔交易是黑客入侵所导致,那你追回盗刷损失的几率也越大。为了成功追回损失,你需要尽快知道哪些交易被盗刷了,最好是通过短信通知的方式。 Well, that's one way to securely bank online… Check out our newest Cyberworld Survival Guide installment at http://ow.ly/zAdDo A photo posted by Kaspersky Lab (@kasperskylab) on

量产汽车让你如同置身赛车游戏中一般

汽车工业总在不遗余力地简化汽车与车主之间的”通讯交流”。 如今,汽车仪表盘上的按键不断减少;取而代之的则是语音命令,例如:可以发出”重新装满挡风玻璃洗涤器的蓄水容器”这样的语音指令。有些最新车型则只有一个巨大的数字车速里程表和万能车载计算机屏幕。然而,并不是所有人都能适应如此简化的行车界面。 其中与许多是价格不菲的跑车的车主,他们驾驶这些跑车只为了一个最初的目的:赛车。 以Ferrari 458 Speciale或LaFerrari hybrid车型举例,这两款跑车的车主就一定知道有关转弯和刹车的众多细节。出于这一原因,法拉利开发出一种特殊的硬件工具以及一款iPad应用,”Ferrari Telemetry”,该款应用大致与F1法拉利车队所运用的技术理念类似。 一些量产车目前拥有与#F1#车队的遥感系统相类似的功能 使用”遥感系统”(Telemetry)后,比赛时赛车的各部件会实时报告其当前最新状态,使得赛车手能够使用该应用来查询赛车目前的所有缺陷,例如:次优RPM选择或刹车的不恰当片刻。基本信息通过无线传输,但全面的分析连同行车记录则通过有线连接汽车的iPad进行传输。应用面板和许多赛车游戏(比如:GP赛车)十分相似,但只有一个微小的差别―就是所有的一切都发生在现实生活中,而非虚拟世界。 遥感系统即将出现在大众市场的汽车内,旨在通过一款特殊的智能手机应用辅助车主。 当然,驾驶售价达6位数的赛车在赛道上风驰电掣只是属于少数人的运动,但”遥感系统”却极有可能成为大众普及的技术― 每一辆现代汽车内都将装有数量众多且极为精密的计算机,可以同时对汽车”健康”和驾驶者的表现进行分析和报告。 上述所提到的各项功能都将最终运用于大众市场汽车。当然,这些功能并非只显示一堆复杂的图形,而是向车主的智能手机发送信息,读起来就像这样,”在经过红绿灯后的离家附近的第一个十字路口不要猛踩油门,因为这样会多消耗20%的油。 为了避免此类技术遭受安全威胁,需要有人站出来开始着手保护汽车计算机和遥感系统的安全性。法拉利方面已着手开始行动了。从法拉利首席信息官Vittorio Boero了解到,公司已将F1法拉利车队所使用的遥感系统”安全化”原理运用到量产车上。我们完全了解F1车队的IT安全水平,因为卡巴斯基实验室开发了旨在保护法拉利车队计算机的特殊解决方案。我们只能希望每一家汽车供应商都能采用严格的安全保障措施,解决汽车安全性方面的问题。

保护赛车计算机的安全

距离俄罗斯首次举办的一级方程式大赛仅有几个小时的时间。作为法拉利车队的赞助商和IT基础设施保护者,我们祝愿法拉利车队能在本站比赛中取得好成绩!法拉利车队领队Marco Mattiacci对整条赛道赞赏有佳,并在正式开赛前拜访了尤金•卡巴斯基。 “索契赛道给我留下了深刻的印象,赛道质量绝对一流,赛车手也给予了高度的评价。整条赛道极具挑战性,因此比赛一定会非常有趣。”Mattiacci如是说。Mattiacci的同事法拉利首席信息官Vittorio Boero告诉卡巴斯基的客人们,在比赛过程中,法拉利工程师将会从赛车上收集大约600 Gb的遥测数据。这些数据将传送至位于Maranello的总部,同时采用特殊的移动服务器房(由30台计算机组成)在现场进行处理。保护这些计算机的工作当仁不让地由卡巴斯基实验室担任,并为法拉利专门创建一套特殊解决方案。 “我们定期会遭遇网络攻击。但要辨别它的来源并不容易,我们根本无法确知这些攻击是来自竞争对手还是其它什么机构,但黑客入侵的企图的确每天都在上演。”Boero解释了法拉利为何需要一家IT保护提供商的原因所在。 在一场赛车比赛期间,#法拉利工程师#从赛车收集约600Gb的遥测数据。 当然,法拉利和卡巴斯基实验室在未来有着进一步扩大合作的空间。在所有比赛车队的计算机中有一些相当不寻常,例如:车手的方向盘。到目前为止,表面上看起来并没有危险的网络攻击,但说不定哪天情况就会发生改变,而卡巴斯基实验室也将竭尽全力保护这台特殊的”计算机”。此外,在F1索契大奖赛期间,卡巴斯基实验室的商标也将贴在这台特殊计算机上(编者注:官方方向盘):

奥林匹克运动会和一级方程式赛车期间的索契:我们的照片对比

今年,俄罗斯的城市索契成为了体育爱好者的首选目的地——这座城市在今年二月主办了奥林匹克运动会,最近又举办了有史以来第一次俄罗斯一级方程式大赛,从而成为了全球赛车运动之都。卡巴斯基的员工们都对于这些赛事非常关注,因为我们要替一些重要的参与者维护IT基础设施——那就是俄罗斯奥林匹克运动委员会和法拉利车队。我们参观了这两项赛事,并且编成了一份简要的照片对比,从而反映出在这七个月里,索契和奥林匹克公园发生了哪些改变。 在奥林匹克运动会期间,赛车场站还没有完工,因而通往奥林匹克公园这块区域的入口被限制进入,这在很大程度上限制了观众进入园区的主要途径。现在,它显然成为了这场赛事的主体场地,入口的主干道笔直延伸向那儿。 奥运五环显然原封未动,游客们继续与这座纪念碑一起合影。 奥林匹克公园的那些较小型建筑物被拆除了,以便腾空位置来铺设赛道和增加额外的座位区(T1)——一级方程式赛车的门票可是非常抢手的! 如果想要比较总体的游客数量,那么最好等待主办单位所发布的官方数据,不过迅速扫视一下场地各处,能够看出一级方程式赛车的游客数量绝对不会少于奥林匹克运动会。 一级方程式赛车的志愿者和奥运会志愿者一样乐于助人,他们正在向游客们指示道路。志愿者们的笑容非常璀璨,鼓舞着游客们的情绪,努力证明着俄罗斯人传说中的好客热忱。 这条赛道令奥林匹克公园内的道路布局大为改变,其中许多条道路现在都需要游客步行很远。然而,新的当地交通方式应运而生——首先是向媒体提供的高尔夫球车、园内小火车和赛格威电动踏板车。 为奥林匹克运动会建造的技术基础设施向一级方程式赛车提供安全支持,对于多次观看一级方程式的观众而言,安检等级高得出乎意料,类似机场的安检流程已经就位。然而无需检查带有照片的身份证,也无需检查观众通行证,只有在大多数限制区域——比如说维修区后面的区域——需要进行这类严格的安检措施。 在二月的黄金时段,紧挨着奥林匹克公园建造的游乐园还未曾完工,然而现在它终于向游客敞开了大门。有些游乐设施还是不能够使用,但是大多数设施都已经开始正常运行,其中包括全球最为刺激的过山车之一——”量子跃进”过山车。 奥林匹克公园建立在索契市外,长约30公里(19英里),然而,索契市内处处都能够感受到奥林匹克运动会的氛围,但是一级方程式赛车在这座城市里的影响力却没有这么明显。 奥林匹克运动会给这座城市留下了许多遗产,它们的现状各不相同。一些当时没有赶得上完工的建筑物现在仍然没有完工,但是许多基础设施的改善对于居民和游客而言都十分有利。 最后,让我们分享一些关于这座城市和赛车场设施的照片吧:

Blackphone回顾:是否是一款名副其实的安全智能手机?

号称 “史上最安全和隐私至上的智能手机”Blackphone出现得如此恰逢其时。2013年爆出”斯诺登事件”后,任何贴上”隐私”标签的产品都相当的畅销。然而,我们的问题是- Blackphone(BP)是否真如宣传的那样是一款安全性极高的智能手机呢?从技术上讲,BP采用独家定制的安卓4.4版PrivateOS系统。常规应用在Blackphone上运行稳定,但其默认状态相比于我们常看到的大多数”安卓系统”存在明显差别。主要体现在一些设置的改变。 物理特性、显示屏、摄像头与电池 Blackphone的外观看上去与普通智能手机相差无几,其正面和背面全都采用黑色塑料材质制成。厚度和重量分别仅为8.4毫米(0.33英寸)和119克(4.2盎司),但因其4.7″的超大显示屏而使整台手机显得十分大气。然而,显示屏的一些其它参数却并不那么”大气”。在4.7″的超大显示屏下720×1280的分辨率有人有些许颗粒感。亮度可调范围小,在黑暗中显得过亮但在太阳光下又显得太暗。BP的显示屏视角出色,常见的微型USB和耳机插口位于手机顶端,而右端则有经典的”双头”音量控制键以及电源按钮。所有插槽(microSIM、microSD和电池)都隐藏在可拆卸后盖下面。电池容量为2000 mAh,(顺便说下)这在目前大部分智能手机中相当普遍,但对于BP而言则绰绰有余。手机背面设计有非常”朴素”的8 mp摄像头–除了LED闪光灯、HDR(高动态范围)和视频录制功能外,并没有太多的亮点。 通信功能 得益于Blackphone对GSM、HSPA+ (3G)和LTE (4G)网络的支持,因此在大多数国家都能使用。GSM和UMTS网络在全球各地非常普及,而LTE网络的使用范围则有一定局限,因此BP在北美地区(LTE频带4、7和17)使用Region2,在北美以外地区(LTE频带4/7/17)则使用Region1。这并不意味着你无法在美国使用region1或在欧洲无法使用region2,只是你的手机上网只能限制在3G速度以下(”限制”也有好处,因为手机漫游所产生的费用是相当惊人的)。此外,BP还支持蓝牙4.0(智能手表和健身追踪器的标配!)以及快速Wi-Fi(802.11 b/g/n)。一些附件软件试图让Wi-Fi更具安全性,但不支持近距离无线通讯技术(NFC)。 存储容量、处理能力和省电模式 BP手机拥有16G内存,内存空闲12.5G。MicroSD插槽可接受的SD卡最大容量可达64G。BP手机会主动提示用户加密这些存储池,当然我们也同样建议用户这样做。然而,这样会增加手机耗电量,性能也随之轻微下降。另一个影响手机性能的显然是省电模式,有三种预设模式可选-最大性能、最大省电以及均衡模式,最大性能模式下BP运行速度迅猛提升(在安兔兔测评中获得了31000分的高分,与得到35,000分的HTC One M8和Samsung Galaxy S5差距并不太大),但在均衡模式下测评分数大幅降低至12,000)。然而,其他省电选项可能非常有效,甚至无需禁用两颗四核CPU或降低显示屏刷新率。首先,由于没有安装Google服务,因此后台数据传输量及伴随的耗电量大幅下降。其次,其独有的nSaver实用工具能让用户限制所有应用的后台活动(或应用本身的活动),耗电量因此下降。在每天结束的时候,Blackphone都会设法挤出整整两天常规使用的电量,前提是用户保持所有默认应用设置。 软件与安全 Blackphone的PrivatOS系统是经改良后的安卓4.4操作系统。完全没有安装Google服务,但预装了像Chrome浏览器这样的最新应用,同时将Hangouts或G+ photos替换为了更老的开源(AOSP)版本。安装过程中无需在设备上设立任何账户,而唯一需要账户的预装应用是常规电子邮件客户端以及BP定制版本的SpiderOak应用(一种加密的”零知识”云存储,类似于安全的Dropbox)。在安装阶段需要创建一个强大的PIN码以保护设备,以及全盘的加密。无需立即进行加密,但之后系统会有所提示。在过分简单化的安装完成后,非常常见的安卓系统桌面呈现在你眼前,应用和图标与大多数安卓手机并无太大差别。有趣的是,除了应用清单中包括的应用以及上述提到的SpiderOak外,还预装了安全中心(Security center)、SmArter Wi-Fi、远程清除工具、安全无线网络、3个Silent Circle应用以及一个私人搜索插件。 Blackphone的大多数工具也能安装在其它安卓智能手机上,而真正的差别在于安全中心。 BP所装载的大部分用于加强通信渠道的工具也能在其它安卓智能手机上安装,而真正的差别则在于”安全中心”。除了像设备加密和远程锁定这样的常规设置以外,如果你认为已安装应用可能会对手机安全造成影响,则你可以通过它们来解除权限。比如所安装的一款地图应用,你可以保留它的定位权限的同时,解除其访问通讯簿和手机ID的权限。所有已安装应用会自动出现在安全中心并采用推荐的设置。但需要牢记的是,在安装阶段你必须接受所有必须的权限,但在安装完成后你可以(并应该)解除一些其中的权限。 让我们快速浏览一下其它应用。更加智能化的WiFi功能只允许在特定地点开启无线网络,省电的同时还能让BP躲避来自开启Wi-Fi设备的追踪。远程清除程序是一种功能有限的反盗窃工具。私人搜索插件通过disconnect.me服务提供无痕迹的Google/Bing/DuckDuckgo/Blekko/Yahoo搜索体验。安全无线网络是disconnect.me 的”智能化“虚拟专用网络服务客户端,可免费提供一些基础的服务。而最令人感兴趣的附加软件是Silent Circle应用,据称能够提供高安全性的语音和视频通话、文件共享以及短信发送服务,最重要的是能屏蔽美国国家安全局的窃听。但显然,通信对方也必须使用同样的Silent Circle服务,但价格并不便宜。

如果有人真的盗窃了12亿个密码,那我们该如何应对?

今天《纽约时报》撰文报道了一个犯罪团伙如何从不同网站盗取了超过12亿个密码和用户名/邮箱。这似乎听起来是互联网有史以来最大的”密码盗窃案”,但由于相关细节还未公布,因此安全社区更多是持怀疑态度。首先,公众并不知晓底哪些网站成了攻击的目标。其次,也缺少技术方面的细节–几乎所有安全专家都想知道这些被盗密码是否采用了哈希加密。然而,普通用户只想道一件事–那就是现在是否需要采取行动,如果是,则应该采取哪些措施。 主要网络服务提供商并未向用户发出密码更改通知,这可能表示他们并未受到影响或根本就不想对终端用户造成不良后果。然而一家名为Hold Security的公司却公布自己的研究结果,声称受影响最多的是一些小型网站。这些网站通常并没有一套严格的安全程序,用户也无法指望从他们那儿收到数据泄露通知。 确保为每一个账户设置唯一密码,可将危险性降到最低。 本次所报道的”密码盗窃案”将是一个很好的契机,即改革当前混乱不堪的密码政策,转而使用更加安全和系统化的方法。”一旦你所使用的网络服务提供商遭遇黑客入侵,作为消费者你根本无能为力,但可通过为每一个账户设置唯一密码,将危险性降到最低。”英国卡巴斯基实验室高级安全研究员David Emm解释道。 设置唯一密码的安全性远高于其它的一些密码保护措施。用户计算机(例如:使用键盘记录器)或网络服务提供商遭到黑客入侵都有可能造成用户密码被盗。确保网络服务账号与其他重要账户使用的是不同密码。人们通常很难记住一长串字符,因此我们向大家推荐密码管理器。此外,每一个密码必须足够强大(可以用我们免费的密码检查器进行测试)。 密码泄露事件时常发生,使用唯一密码可将危险性降到最低。 对于一些重要账户(银行和Gmail等),我们强烈推荐采取额外的保护措施。这些网站通常都采用双重认证,即使密码被盗也影响不大。

所有iPhone都被监控了?

Jonathan Zdziarski是著名的iOS安全研究人员,专攻iOS后台监视服务。最近他发表的文章掀起了新一轮热议,有文章谴责说,苹果专为美国国家安全局(NSA)而服务,但另一些文章则完全否认此类问题的存在。但真实的情况则介于这两者之间。所有iOS设备上提供并激活的一些功能可用作从设备中提取内容的接口,即便设备激活了PIN码、备份加密等安全措施也无济于事。但是,提取操作受到很大的限制,所以此问题算不上是全球紧急问题,无需所有用户立即采取行动。 上述服务的存在未必表示苹果意图不轨。事实上,苹果应一些记者要求,发布了相关技术支持文章,详细说明了每种”诊断”服务。此外,苹果坚持说,这些服务仅作技术支持和企业iOS部署之用。然而,绝不能忽视这些服务被滥用的可能性。 攻击场景 首先,攻击者必须通过USB接口将设备物理连到计算机,并且iPhone/iPad还必须解锁。在这种情况下,iOS会尝试与计算机”配对”,这实际上是建立起可信连接以用于同步数据。要求输入的一组密钥和凭证存储在计算机上,日后这些密钥和凭证可用于通过有线或无线连接来与iPhone进行通信。攻击者还可使用恶意软件来窃取计算机中的配对密钥。这时,就无需再物理访问iOS设备。 攻击者可以利用恶意软件来窃取计算机中的配对密钥。 在此阶段,每台iPhone上运行的一组特殊服务会发挥作用。 这些服务能够捕获设备上的所有网络流量,泄露照片、消息、联系人和其他类型的内容。不管安全性和同步设备如何,这些服务都会处于激活状态,而且不会执行任何用户交互或通知。因此,拥有配对密钥的假想攻击者就能连到iOS设备,并对其进行远程监视(据推测,应该是使用相同的Wi-Fi网络,因为Zdziarski无法通过手机网络运营商来实施这一诈骗行动)。 传播范围是否广泛? 并不广泛。攻击者必须获取受害人未锁定的设备,或者入侵其计算机。在此之后,还需与用户的iPhone建立稳定的连接。而要满足所有这些条件,只有政府机构或其他实力雄厚的实体公司在将目标锁定特定人员时才可能实现,而对于”大众市场”,要实现入侵有点复杂,且无法获得任何经济效益。值得重视的例外情况是受害人身边的人:同事、家人等。这些人能够轻而易举地利用这些隐藏的服务,但幸运的是,所需的取证软件并非轻易获得。但为了确保您的安全,您可以遵循…. 我们的建议 为了避免非法密钥配对,切勿使用他人的充电器,因为很可能碰巧就是同步设备。只使用自己的墙式充电器。对于旅行者而言,最好选择各种USB保护器。 为了防止#iphone#受到监控,请仅使用自己的充电器充电,切勿将解锁的手机交给陌生人 切勿将解锁的手机交给陌生人,或者确保至少密切监控他们的使用行为。为了避免被从您的计算机中窃取配对密钥,请使用所能找到最强大的恶意软件防御系统。密钥一旦配对成功,iPhone/iPad会无限期保留配对设备和关联密钥的列表。删除不需要配对密钥的唯一方法是恢复出厂设置。幸运的是,最近iCloud服务经过改进后,支持用户在不”大动干戈”的情况下执行此清除任务。只是要确保照片和文件全部妥善备份。