Vladislav Biryukov

23 文章

人脸识别技术:我们将从此无处可藏

如果你不是俄罗斯人的话,可能还没有听说过有这么一项网络服务-FindFace ,可以通过分析个人的照片找出其在VK.com社交网络上的对应账号。于2016年2月一经推出,很快就风靡了整个俄罗斯;而这一切都是拜那项”宏伟”的拍摄计划(圣彼得堡摄影师Egor Tsvetkov的”杰作”)所赐。我们最近曾在一篇博文中提到过。

是真是假:酒店门卡是否真存有客人个人数据?

曾经有人还做了一些实际的测试,目的就是弄清谣言是否真的可行:其中有一家IT杂志《Computerworld》真的对来自不同酒店的100张房卡进行了仔细研究。最终结果表明,没有任何证据显示酒店房卡内能保存重要的个人资料,只简单地存有编码后的唯一客人ID。该唯一识别符只能用来打开房门或在酒店内购物(因酒店而异)。

《回到未来2》:发人深思的科技预测

似乎《回到未来2》的创作者们并没有做出太多的准确预测。另一方面,Bob Gale也在最近的访谈中承认,他在拍摄电影时从未打算要对未来进行任何预测,想的只是为影片添加些乐趣。只是在他们闲来无事时,偶然间想出了些”未来的东西”–有些只是纯属巧合。

互联网时代下标点符号的”隐秘生活”

目前年青一代正在发生的变化却与我们迄今为止所看到的有些不同–来的更加猛烈且更趋于全球化。互联网的无限扩张以及移动技术的出现也为全球大多数语言的快速演变提供了”源源动力”。可以预见,英语将引领全球语言变革的潮流,而世界上的其他语言也将紧随其后。

如何躲避监控摄像头:过去与未来

如今监控摄像头几乎遍布我们日常生活的各个角落:无论室内还是室外,机场还是火车站,办公室还是商店,几乎无处不在。即便在野外你也无法躲避各种监控摄像头,使得乔治•奥威尔的幻想小说《1984》中描写的情节成为了现实。 对于大多数监控系统而言,循环录制视频只是为了”以防万一”;除此之外并未用作他用。但就在最近情况有所改变,这些录制的视频越来越频繁地被传至各种数据分析系统,因此可能会被用于追踪一些特定人群的行踪。 不言而喻”老大哥们”(见于小说《1984》)可能将侵犯到我们的私生活。你不得不接受政府的”一系列行为”,因为他们是所谓”维持社会秩序”的人。然而如今,生物识别系统正试图变成一种普遍的商业工具,这不仅让我们的个人资金状况彻底暴露,同时还侵犯到了每个人私生活的权利。而这又是另外一回事了。 比如说,你在商店购买一件冬季外套时,商店的监控系统也在将你的视频图像与一些抢匪的照片相对比,并将这些视频图像添加到你的客户资料内。 或者,你去汽车经销商处看新车,你只要一走进去,销售人员就能很快找到你的名字和所有你的个人信息。包括你缺少资金购入新车的信息。 即使去教堂有时也无法幸免。面部识别系统已被用来搜寻经常来教堂的人:事实证明教堂从这些人中募集捐款的概率更高。 这个很不错吧?其实并不尽然,但不存在任何犯罪行为。 如果有天有关你私生活的所有细节内容被许多公司收集并外泄到互联网上,你会作何感想?与黑客入侵Ashley Madison交友网站不同的是,毫无疑问我们每个人都将难以幸免— 这里是与你有关的照片和视频。 大多数国家的法律并未明文禁止将面部识别技术用于商业目的,比如,未禁止随意对街上的行人拍照。越来越的人开始想知道如何才能在这些情况下躲避”无处不在”的监控摄像头,这并不让人感到惊讶。 想要知道更好的躲避摄像头方法,首先需要了解现代的图像分析方法。在某些情况下,有两种主要的方法。 我能看一下你的脸吗 第一种方法是将照片中某些指定标记与预建数据库相比较。这些标记可以是双眼间距、鼻子测量结果以及嘴唇形状评估等等。 这一方法与指纹识别十分相似。样本指纹通常事先采集并保存到数据库内。或许以后,我们还能将陌生人的乳头线与数据库内的样本进行比较。因此,面部识别的先决条件是有要寻找人的高质量照片(光线良好且是全脸照)。 那如何才能获得这些照片呢?来源各不相同。有可能是在制作打折卡时拍的照,也可能是有人扫描了贴有你照片的文档。 要欺骗传统的面部识别系统相对容易些。最简单的方法是低下头并且不要看摄像头。大多数标记只有以特定全脸角度拍摄才能测量,因此脸部倾斜的照片大多数情况下无法提供所需的数据。如果你戴一顶有帽檐的棒球帽,上面的摄像头(通常安装在某个高处位置)将变得毫无用处。 一些专家建议你在走过镜头时做鬼脸。这确实很有效,但却会引起过多的注意。因此这时你需要的是一副墨镜。 墨镜的好处在于能遮住眼睛,而这正是人脸在识别系统中”最有利用价值”的区域之一。普通的透光屈光镜无法掩饰照片上所需的细节,高级算法式就能轻松应对。而大尺寸的不透光眼镜对于传统系统而言却是一个极大挑战。镜像模型同样能借助反射光让摄像头无法拍摄正常图像。 你今晚的样子是… 像Facebook和Google这样的大型公司正在积极开发第二种人体识别方法,但选择的方式不尽相同。该方法基于机器学习算法和自动样本数据下载和上传技术,能将特定照片与所有互联网可用资源相对比。 这是一种更为灵活的方法且更难掩饰。即便用防毒面具将你的脸遮盖得严严实实,也无法保证不会留下一些蛛丝马迹,原因在于类似的系统通常不需要严格的预设标记。 他们可以将任何可用数据用作人体识别:你腿部的形状、你头发秃顶的区域、你的举止形态以及你的衣服等。目前Facebook在实验上有了一定进展:只要有足够数量的样本照片,从任意角度确认个人身份的精确度达到了83%。 这里的关键在于有足够数量用来比较的照片。如果只有一张样本照片的话,即时拍摄到再高质量的图像也很难识别成功。这也是为什么大数据技术和快速互联网搜索算法被推向了科技最前沿。 接下来会戳到广大用户的痛处:我们是否应在互联网上公开发布我们的照片?我们可以忍受Facebook或Google将我们的照片用作营销目的,因为在”大互联网兄弟”的背景下你根本无处可逃。然而,也没有人能阻止任何公司自由访问并在线挖掘需要的数据。 首先假定你的Facebook主页的隐私设置为”仅好友可看”。那在其他人的博文中随机出现你的照片呢?你LinkedIn上的个人资料呢?即使彻底远离社交网络也很难切断所有的照片来源。 对应的解决方案尚不清楚。最有可能的是,政府方面出台更加严格的生物识别市场法规,而社会大众将提高这方面的自我保护意识。 因此,现在是时候将个人照片视作与我们的文档或信用卡扫描同等重要的个人隐私。对于到处炫耀和晒自己照片的行为,我们并不推荐。  

事实还是谎言:计算机病毒能否真的损坏电脑硬件?

事实上,病毒损害电脑硬件是信息安全领域流传最广的讹传之一。但同时,也是最不标准的一个。事物的两面性可能是这一讹传长久存在的原因。 在20世纪末同时也是电脑时代即将来临的时候,电脑用户之间时常流传着发生在自己好朋友身上有关电脑遭病毒感染的可怕故事。在这些故事中,病毒常常”神通广大”,不仅能造成阴极射线管显示器交错’错误’,还能致使电脑硬件部件”完全烧毁”。在其它的故事版本中,恶意软件会造成硬盘驱动器猛烈’震动’,最终导致整个硬盘损毁。或者超频后的软驱会导致转子迅速过热从而造成危险。 与此同时,反病毒软件开发人员不时会打破这些讹传。不可否认,有些故事在理论上的确可行,但各硬件内置的极度安全保护机制完全能够阻止此类错误的发生。正如安全专家所说的,对于此类故障的担忧完全是毫无必要且多余的,因为根本不可能发生。 一些电脑用户表面上似乎对这些解释表示满意,但内心里对这些” 讹传”仍然坚信不疑。他们始终认为任何事都有可能发生,电脑供应商只是掩盖了事实真相。 然而,生活中原本就充满各种乐趣和惊喜。举个例子,在1999年的时候,当时广为传播的Win95.CIH病毒曾感染了数千台计算机。该恶意软件会篡改保存在硬盘以及主板BIOS芯片上的数据。导致其中一些受影响电脑无法启动,原因是引导程序损坏。而要想消除该攻击带来的不良影响,用户必须更换BIOS芯片并重写数据。 但这是就是对电脑所造成的物理损伤呢?答案是否定的。在经过一系列的处理后,主板就能被修复并重新回到正常工作状态。但常规’家庭急救箱’无法解决这一问题,还需要特殊的设备。 如今,情况就更加复杂了。 首先,所有单独硬件都附带了可重写的微程序,有时候还不止一个。这一趋势竟然没有影响到这一过于智能化硬件的紧固程度,对此我感到很惊讶。 每一种微程序经过多年的演变,已然成为了一种相当复杂的软件,且因其设计可能会遭受黑客攻击。一旦攻击成功,产生的后果并不总能立即解决。 拿硬盘的改进固件举例。就当时的记录来看,在卡巴斯基实验室专家分析Equation网络间谍活动时,还对植入不同硬盘型号微程序的间谍软件模块进行探究。这些恶意软件被用来对受影响硬盘进行完全控制;而即便格式化也无法立即修复。 使用常规工具箱无法更改固件—固件自行负责更新工作。你完全可以想象,更改固件的难度有多高。当然,如果你正巧手上有专业设备,就有可能更改任何一种微程序。而在现实生活中,一个受影响的硬盘只能直接当垃圾丢掉–从成本角度看这也是最好的选择。 这是否就能认定是物理损坏呢?仍然存在争议。但有关基于硬件漏洞的案例数量却在逐年增加。 其次,难以界定哪些设施可以被定义为’计算机’。比如,目前的所有汽车从某种程度上讲都可以算作是一台计算机—而更重要的是–这是一台装在轮子上的联网计算机。正如我们在最近有关远程入侵Jeep Cherokee车的公开演示中发现的,目前许多汽车都容易遭受远程入侵和病毒感染。 因此,黑客入侵是由黑客实施的,而不是计算机病毒—经过数年的专研,对于黑客来说简直是小菜一碟。然而,通过黑客攻击让行驶中的汽车停下来并撞向路边电线杆并不会让我们感到惊讶。我猜这可以算是物理损坏。 那么我们又回到文章开头提出的问题,计算机病毒是否真的能损坏电脑硬件呢?这到底是事实还是谎言? 可以说是事实。但这完全取决于你对“损坏”、”病毒”和”电脑”等名词的定义。

五大认证方式:确保你的私人照片安全无忧

是否还记得去年闹得纷纷扬扬的好莱坞艳照门事件 – 一些好莱坞女星的裸照被公开放到互联网上?这一事件不仅让一些人整日惶惶恐恐,但同时也是一个极具教育意义的安全例子。 比如,这一事件让许多人意识到将他们宠物的名字作为密码并非最安全的选择;双因素认证对于IT极客而言并非牢不可破,对于任何一名普通iPhone用户而言也同样赢弱不堪。 去年的好莱坞艳照门事件的确闹出了很大动静,这些从苹果iCloud服务(使用苹果设备上传照片拷贝)外泄的照片全部被黑客保存了起来。当时这些黑客通过将网络钓鱼和暴力破解结合使用,只采用了最简单的一种破解方法就成功攻破了该项网络服务。为了弥补这一漏洞和从保护用户的考虑,苹果对iCloud启用了双因素认证(或称为”2FA”)并要求用户每次上传照片至iCloud时都使用这一认证方法。 然而,无论是iCloud,还是Gmail、Facebook和许多其他网络服务,2FA依然是可选项,而非强制选项。因此大多数人选择跳过这一步骤,原因是许多人为了节省时间而且认为使用起来过于繁琐。 然而,就算你不是Kim Kardashia或Kate Upton(时尚名媛和模特),你也会很容易丢失自己电邮或社交媒体上的个人资料。最后造成的结果很可能是灾难性的,尤其是你在网络公司上班的话。 两把锁更安全 大多数人认为双因素认证就是系统向手机发送的一次性短信密码。没错,这的确是网络服务最常用的一种2FA方法,但却并非是唯一的方法。 一般来说,2FA就好比一扇装有两把锁的门。其中一把锁是传统的登录密码组合,另一把可以是任何形式的内容。此外,如果你觉得两把锁还不够的话,只要你喜欢,想装多少把都可以,但开门的时间会变得更长,因此最好还是先安装至少两把锁。 通过短信发送的密码是一种容易理解且相对可靠的认证方式,但却并非总是使用方便。每次访问网络服务时,你都需要将手机握在手里,随后等待短信发到手机,最后输入短信内的验证码… 一旦你输错或输入太迟的话,就必须重复之前的操作。但如果服务运营商网络出现拥堵的话,那短信接收很可能会延迟。就我个人而言,这的确很烦人。 如果手机信号未能覆盖手机的话(在旅途中时常会发生),你根本就收不到验证码。而一旦你手机不幸丢失,而你当时又无法利用其他通讯工具的话,这就更加让人沮丧了。 为避免上述情况的发生,许多像Facebook和Google这样的网络服务提供商采用了其他的方法。例如,他们提供一长串你能预先编译的一次性密钥,打印出并保存在某个安全地方。 此外,使用通过短信发送一次性验证码的2FA不一定每次都能成功,而且一旦使用其他未知设备登录的话也同样可能失败。无论使用哪种方法,决定权都在你自己手上,还需要看你的偏执程度了。所有绑定你账号的应用程序(例如:电邮客户端)都可以使用这一方法。一旦使用特殊生成的密码,其安全性可以长久得到保障。 那么,除非你每天都要换不同手机登录网络服务,启用短信验证码的2FA依然不失为一种较为方便的认证方法。只需成功设置,通常来说都能正常使用。 通过智能手机上确认身份 如果你需要经常出差旅行,使用专门的应用程序不失为一种更智能的启用2FA方式。与短信验证不同的是,这一认证方法可以离线使用。一次性密码不再由服务器生成而是智能手机(当然,首次使用需要在联网条件下设置)。 尽管市面上有许多验证应用,但Google Authenticator绝对可以堪称行业标准。除了Gmail以外,这一程序还支持像Facebook、Tumblr、Dropbox、vk.com和WordPress这样的网络服务。 如果你更钟情于拥有多种功能的应用,可以试试Twilio Authy。尽管与Google Authenticator相似,但却拥有不少其他有用的功能选项。 首先,该应用允许你将证书保存到云和复制到其它设备(智能手机、PC电脑、平板电脑以及包括Apple Watch在内的其他平台)。即使某个设备被盗的话,你也依然可以控制自己的账户。该应用每次启动时都需要输入PIN码,如果你的设备不幸感染病毒的话,密钥也可以被撤销。 其次,与Google Authenticator不同的是,一旦你使用新设备的话,Twilio Authy还会让你的生活变得更加轻松。 单密钥认证

免触支付是否安全?

“您总共消费了12.95美元。”一家当地超市的收银员说道。我取出钱包,熟练地在POS机终端上轻轻一扫,很快就听到了哔的一声 – 瞧!–交易成功了! 免触式银行卡实在是太方便了。有了它,你再也不需要刷卡、记住PIN码和用笔签字,而且也不需要费力地掏出钱包、寻找现金或者从口袋的深处摸索硬币。只需一扫–即可轻松完成支付。 收银员同样也乐意使用免触支付方式:不仅加快了付款流程速度,同时还提高了收银员的顾客处理量,而这正是公认的所有零售过程的瓶颈。 然而,其易用性也让人们不禁怀疑起自己卡内的资金是否也同样容易被盗走。犯罪分子是否会暗中用读卡器对你的口袋轻轻一扫,就将你存在卡内的所有资金偷个干净? 为了查明真相,我研究了大量来自黑客会议的报告并和许多银行代表就这一问题进行探讨。他们的反馈无一例外都相当积极和正面,但并非表示毫无缺陷。 范围 免触式卡采用近场通信(一种基于无线射频识别的技术)方式运行。卡内集成有微型芯片和天线,使用13.56 MHz频率范围,可对POS机终端的请求进行回应。不同支付系统使用各自的标准,包括:维萨的payWave、万事达的PayPass和美国运通的ExpressPay等。但所有这些系统均采用了相同的方法及核心技术。 NFC的数据传输距离极短–不足一英寸。因此,你完全可以自己筑牢第一道安全防线。基本上来说,需要将读卡器和卡片凑得非常非常近才有可能扫描到,因此要想使用读卡器暗中扫卡的难度可谓相当之高。 同时,商家也可以安装专门定制的读卡器,可使扫描的距离更长。例如,来自萨里大学的研究人员就展示了一种紧凑型扫描器,能在80厘米的距离内读取NFC数据。 此类装置可向广泛运用于公共交通、商铺、机场和其它’人群聚集’场所的免触卡发送请求。在许多国家,NFC兼容卡可谓相当普及。因此在人流聚集的地方,许多人都可能会成为犯罪分子实施NFC攻击的受害人。 最终,即使在没有定制扫描器或近距离接触的情况下,免触卡使用者也可能会遭受资金莫名被盗的损失。西班牙黑客Ricardo Rodrigues和Jose Villa发明了一种简便的’消除距离障碍’方法,并在Hack in the Box大会上进行了演示。 图像来源: Practical Experiences on NFC Relay Attacks with Android 如今绝大多数的智能手机均配备有NFC组件,且手机通常都放在离钱包很近的地方–比方说,手提袋或口袋内。Rodrigues和Villa设计出一种安卓木马病毒概念,能将目标智能手机信号转到一种类似于NFC转调器的装置上。 一旦受感染手机放在和免触卡很近的位置,就可能发出向网络攻击者执行交易的信号。骗子随后激活常规的POS机终端,然后将启用NFC的智能手机靠近终端。如此,在没有真正扫卡的情况下,类似于’桥’的一种连接在NFC和NFC终端之间建立。

钢筋水泥并非坚不可摧:穿墙透视技术

2015年初,美国媒体报道了一系列有关被称为RANGE-R手持式雷达的新闻,该种雷达已被运用于美国警察局和其他政府服务部门。该雷达系统能够’穿墙透视’。更准确地说,能探测封闭空间内所有人的运动情况。该雷达系统具备高灵敏性,能透过数堵墙探测到躲藏在建筑物内某个隐蔽地方的人的呼吸。

五种脱机后依然能工作的网络间谍技术

似乎只要系统脱机运行就能确保任何机密的安全:没有互联网,就没有数据泄露。然而,实际情况并非如此。很久以前各国情报机构所采用的远程数据传输技术目前被用于’商业’用户的频率逐年递增。如今,詹姆斯•邦德(007电影系列主角)用的间谍工具在现实生活中已无处不在。

海外租车:生存指南

人们对于度假的方式各有所爱:有些人对海滩和酒店酒吧独有情钟,而另一些人则更喜欢花上一周的时间驾车行驶数千英里。 富有经验的旅行者无一例外地认为租车旅行是真正能体验各国风土人情的最好方式之一。然而,也有一些误区和陷阱在里面。随着假日季节的临近,我们精心准备了一些友情建议,将有帮助您在海外租车时最大降低风险。 选择租车服务 选择一家好的租车公司有时很简单,但有时候也非常难。一些知名的旅游网站和分类集合网站提供了最好的比价工具,同时还能看到各家公司基于客户反馈的平均得分。 然而,不能单单仅凭高分和知名品牌而给予充分的信任。大多数大型租车公司均采用加盟经营的方式。如果你对德国的Best Cars Ever租车店的服务品质感到满意的话,可能在同一公司的西西里岛分部你就无法享受到同等质量的服务。对于你即将前往旅行的地区,你最好还是依据公司服务的客户反馈为好。 定价艺术 在那些看上去极具吸引力的标价背后,一些狡猾的租车公司设置了大量的陷阱,有时可能造成消费者需要按照比原先所宣称价格更高的比例付费。 使用最多的手段是在汽油上做文章。通常来说,你在西方国家租的车都是加满油的,在还车时油箱也应该是满的。如果你在驾车返还路上没有机会加油的话(你在大城市市中心租车经常会如此),则必须支付额外的油费。当然,是否还需除油费外再支付一笔巨额费用完全取决于租车公司的良心。 在那些看上去极具吸引力的标价背后,一些狡猾的租赁公司设置了大量的陷阱,有时可能造成消费者需要按照比原先所宣称价格更高的比例付费。 在东方国家,情况则恰恰相反:当你拿到车时油箱里只有少得可怜的油,只能够你开到最近的加油站,而还车时油箱内的油量也需和借的时候一样多。这其中大有文章,因为你根本无法准确地预计自己需要加多少油,因此大多数情况下在你还车给租车公司时,油箱里肯定会剩下几升油。这只是一个令人稍有不快的小插曲。 有些租车公司还会对超过限定里程的英里数收取额外的费用,比如:在不同租车地点还车或者跨国旅行(甚至在实际没有任何边境线的欧盟)。在计算总费用时所有这些细节都必须考虑在内。在了解了所有这些内容以后,即使其中’最便宜’的选项都是猫腻十足。 在美国,有些租车服务费用并不包括保险(更不用提税了,税金总是在总费用计算得出后再加上)。这是很大一笔钱:某些情况下,保险费用甚至超过了租车费本身。 不确定的保险 顺便我们再提一下保险。选择适合的保险计划极为重要。大多数情况下,你的保险计划中只包含了基本的责任险和直接免赔额保险(例如:1000美元)。 那么,如果造成车损坏的修理费总计2000美元,则你肯定需要支付一半或一半以上费用。后一点相当重要,因为你在还车时,无法估计车辆损坏可能产生的费用。基本的保险难以覆盖挡风玻璃、轮胎、车顶和车底盘的损坏,而且赔付时有许多例外条款,通常以小号字体印在租车协议的最底下。 租车公司大多数情况都会建议你保全险,这样的话你保险计划中的超额部分就无法退还了。你千万不要傻乎乎地接受这个报价。首先,额外的费用相当高,有时甚至超过租车总价。其次,所谓的’全险’计划并没有覆盖某些类型的车损,比如:轮胎和挡风玻璃等的损坏。 通常来说,有些专业车险公司会提供对客户更有利的超额退还方案。在Google上能找到许多这样的保险公司–只需搜索”租车超额保险”。这样,你就能花费较少的钱同时覆盖更大的范围了。这样的保险计划甚至还能覆盖路怒症造成的损失,比如有个易怒司机故意撞击你的车,你也将能获得赔偿。 信用卡和现金 在租车公司处购买全险的好处只有一个。当你确认租车报价后,租车公司可能只会冻结你信用卡内的一部分额度(可退还余额和租赁费用)。此外,有些租车地方可能会冻结一笔较大额度,以防万一。 在提车时,确保你还带了另一张额度较大的信用卡 在还车时如果车完好无损的话,预授权将会退回到你的账户里。但是,这一过程可能需要几天的时间,因此最好还是用一张宽限期延长的信用卡。 这里为您提供一些关于信用卡使用的实用小建议:在租车时,确保你还带了另一张额度较大的信用卡(需将可退余额之类的成本考虑在内)。尽管你可能已经在海外旅行途中刷卡刷了上百次,但银行依然会为了’更佳安全’考虑,拒绝此类海外交易。 打电话给银行并不是好的解决方案。我个人曾在巴塞罗那机场亲历过这样的情况:在使用俄罗斯最大型银行之一所发行的信用卡进行预授权时,总是无法成功。在经过了一个小时漫长的与莫斯科的银行通话后,我最终放弃并使用我们旅行同伴的信用卡成功租到了车。 刮痕总在和你’躲猫猫’ 在提车时,对车身进行完全且彻底地检查并找到所有坏损标记,必要时还应一一记录下来。确保这些标记在租车文件中全部清楚地列明。在文件中所列刮痕越多越好:因为你一旦在路上行驶时因自己的原因发生小的刮擦,就可以用这张清单作为免赔依据了。 尤其在东方国家,这并没有什么不妥,对你租用的车各个面进行拍照并检查轮胎状况。一旦在行驶很长一段路程后轮胎发生爆炸,将大大破坏你的游玩兴致。 要顺利开出机场并不容易,尤其是在一座国际大都市的机场。如果你不打算租用GPS导航的话,那确保你有自己的解决方案。智能手机对于开车导航来说足够了,任何一款附带离线地图的免费应用程序都能提供基本的导航功能。 粗心大意将付出惨重代价

深度解析:影响硬盘的5种威胁

我们习惯于将IT安全概念分为两个不平等的类别进行讨论:硬件和受到高度重视的软件。硬件通常被认为相对安全和干净—而与之相反的是,软件常常遭受bug和恶意软件的危害。 这一评估体系已存在很长一段时间,但最近却显示出改变的迹象。负责管理各独立硬件部件的特定固件也变得愈加复杂起来,因此其漏洞更容易被利用。最糟糕的是,很多情况下现有威胁检测系统根本形同虚设。 为了进一步了解这一危险趋势,下面我们将介绍在如今PC电脑内近期所发现的5个最危险硬件漏洞。 #1. RAM 如果要列一个硬件威胁排行榜,毫无疑问DDR DRAM安全问题将排在首位,而且这个问题无法通过任何软件补丁予以解决。这个漏洞被冠以”Rowhammer”之名,但令人意想不到的是,该漏洞是由硅产业进步所造成的。 由于集成电路的几何结构不断变小,焊接在芯片上的临近硬件元件之间的距离也越来越近,竟然开始互相干扰。在如今的存储芯片内,一旦从临近的单元随机发出电脉冲,可能会导致记忆单元之间的自发性转换。 直到最近,这一现象无法适用于任何现实中通过PoC(概念验证)来利用漏洞(可能有助于网络攻击者获取对受影响PC电脑的控制)的观点才被广泛认可。然而,一支研究人员团队通过使用PoC,设法在总共29台笔记本电脑中的15台提高了系统权限。 这正是PoC的工作方式:为确保安全,只有指定程序或操作系统进程被允许更改RAM内的某个数据区块。简单地说,一些重要的处理功能被允许在”一座受到良好保护的建筑”内进行,而其它非信任的程序则全部被挡在”前门”的外面。 然而,事实证明如果有人门前重重地跺脚(即快速且高频地更改存储单元的内容),则这扇门的锁肯定会损坏。”门锁”如此不可靠的事实也只是最近才了解到的… 而基于更新标准的DDR4以及启用奇偶校验的RAM模块(成本更为昂贵)可抵御此类攻击。这是好消息。但坏消息是,很大一部分的现代PC电脑dom盘在上述提到的黑客攻击下极易受遭受黑客入侵,且没有任何解决方法。唯一可行的解决方案是更换所有RAM模块。 #2. 硬盘 既然我们谈到了RAM,那就不得不再提到硬盘的问题。正巧近期卡巴斯基受委托对Equation网络犯罪小组进行调查研究,我们才能得知硬盘内控制器固件可能含有大量有趣的”古董技术”。 例如,这些包含恶意软件模块的固件会夺取受感染PC电脑和运行的控制权,基本上都在’上帝模式’下进行。一旦遭受此类黑客攻击后,硬盘将遭受无法修复的损失:受到恶意代码感染的控制器固件会隐藏含有恶意软件的扇区,并阻止任何修复固件的尝试。即使格式化也无济于事:清除恶意软件的最可靠方法就是彻底销毁受黑客入侵的硬盘。 好消息是此类网络攻击不仅需要耗费很长时间,也需要支出不菲的成本。因此,绝大多数用户完全可以高枕无忧,无须担心自己的硬盘被黑客入侵。除了那些储存有宝贵数据的硬盘,但过高的攻击成本也让黑客们不得不三思而行。 #3. USB接口 占据我们排名榜第三位的是影响USB接口的漏洞(尽管有点过时但影响依然巨大)。但最近的新闻显示这一长久以来存在的bug似乎已得到修复。如你所知,最新的苹果MacBook和Google Pixel笔记本电脑均配备有万能USB端口,除了传输数据以外还可用于充电。 乍一看下并没有什么问题,最新的USB修正版是一种出色的接口统一方法。然而,通过USB连接任何设备都有可能存在一定的危险性。我们之前曾介绍过BadUSB,是于去年夏天发现的一个重要漏洞。 这一bug能让不法分子将恶意代码植入USB设备控制器(无论是拇指驱动器、键盘还是其它)。任何一款反病毒软件(包括功能最强大的产品)均无法检测出来。那些高度重视数据安全的用户应该听从itsec专家的建议:为了降低风险而不再使用USB端口。而对于最新的MacBook笔记本而言,这一建议毫无用处:因为不管怎么样,笔记本都是需要充电! 怀疑论者可能会指出通过充电器植入恶意代码根本不可能(因为没有数据存储空间)。但这一’问题’可通过对充电器进行’强化’得以解决(早在两年前,就曾演示过通过充电器将恶意代码植入iPhone手机方法的PoC)。 在将恶意软件植入充电器后,黑客攻击者需要将”含有木马病毒”的充电器放置在公共区域;或在锁定攻击目标后,将原有充电器换成”含有木马病毒”的充电器。 #4. Thunderbolt接口 排名第4的是另一个接口漏洞,将Thunderbolt接口作为攻击目标。不幸的是,通过Thunderbolt连接设备也可能会产生危险。将Mac OS X产品作为攻击目标的单独PoC是于去年年末由安全研究人员Tremmel

小隔间办公:人性化的开敞式办公室空间

你喜欢在开敞式办公空间内工作吗?许多人的答案为否。最常提到的缺点包括:过多的嘈杂声、无法集中注意力以及因为不断被同事打断而更易产生疲劳。将整个办公空间隔为一个个小隔间的好处并不多,但却会产生更多的问题。 与此同时,随着未来办公室都朝着’时尚’迈进,私人办公室将彻底消亡。据国际设施管理协会于2010年所的研究报告显示,大约70%的美国办公室坚持开敞式办公空间理念,且这一数字在不断增加中。 问题究竟出在哪里? 当然,雇主的本意并非是想”虐待”自己的员工。开敞式办公空间之所以如此流行的主要原因在于其低廉的成本。办公空间越紧凑,所需支付的租金就越少,因为利润也越高。很简单的一道数学题。 而在现实中并没有那么简单。因为员工是活生生的人,而非机器。因为情绪和身体状态的负面反应却会严重影响工作效率,进而最终导致公司收益的减少。 同时许多研究机构也宣称这一问题真实存在。在开敞式办公空间工作的人不仅感觉更糟和工作效率下降,同时还更容易生病。 举个例子,在开敞式办公空间工作的人相比在单独办公室工作的,感到短时间恶心(无需医疗救助)的频率更高。此外在无窗办公空间工作的人也容易产生抑郁和睡眠障碍。 那么我们该如何应对这些状况呢?下面我为你们精心准备一些小贴士,通过利用更为人性化的方法来应对令人窒息的小隔间和开敞式办公空间。 内向型员工的工作习惯 一般来说,并非每个人都会在这样的工作环境下感到不适。但对于内向型员工来说的确是一个挑战,因为他们将无法安静地独自工作,就如Susan Cane在其书中所提到的全球化形势下内向型员工所担任的角色。 这也是为什么内向型员工在开敞式办公空间工作时应该有自己的指定空间。因此需要有几间为了工作目的而改造的房间,在里面可以集中思想工作,而其他同事则可以在里面休息和小睡片刻,并暂时离开嘈杂声和人群。来自Steelcase的Cane将这一想法变为了现实:装饰此类空间所花费成本大约为1.5万美元。 有一件事依然无法确定:如果外向型员工也开始趋于内向的话那该怎么办呢?谁会拒绝在工作时间小睡一会呢?如果这样的设施无限制对所有人开放的话,那在经济至上的原则下又该如何处理呢? 一家位于英国的公司Agile Acoustics发明了一个更加民主的方法:公司使用再生材料(塑料瓶)制作了几块吸噪音板。 此类吸噪音板的外形极具吸引力,可应用于多种目的:吸收噪音以及将自己与喋喋不休的同事分开。或者在某一天,通过将吸噪音板重新摆放在办公空间中间,从而创造出一个临时会议室。 办公无处不在 灵活性和可重新配置能力是选择办公室家具的重要条件。原先一成不变的固定办公室格局现在通过动态调整后,可应对不断变化的工作环境。 例如,一家美国家具厂商Herman Miller在其MetaForm产品组合系列中采用了轻质塑料元素,可用于创建类似搭建积木的便利办公室环境。如果你需要进行集体讨论和团队活动时—只需将所有办公桌摆到一起即可。一旦你有了新的想法并需要花点时间完成的话,只需将自己的办公桌从共享空间移开又变回了一个独立小隔间。 一家西班牙公司Menéndez and Gamonal Arquitectos则采用了另一个完全不同的方法。该公司认为,办公家具的外形设计应该是为了鼓励团队工作。比如,坐在外形类似调色板的办公桌工作时更能促进团队协作。 这一想法最初由某大学研究小组想出来,旨在鼓励学生在上课时相互讨论而非只固定坐在自己的位子。但一般来说,这一方法在商务环境中更加行之有效。 亚瑟王的秋千 类似于Google或Facebook这样高科技公司的办公室与传统冰冷的工作环境完全不同,他们的办公室内到处摆放了沙发、球体和其它非标准化的办公元素。英国设计师Christopher Duffy提出了进一步的建议:他认为会议室应该摆放…秋千。 首先,在荡秋千时,人们很难再重复说一些毫无意义的废话,而这正是许多公司会议中最多的内容。其次,这一非传统的创意有助于让每个人放松并处于舒适状态下,如此便能跳出固有思维模式进行思考了。当然,一笔开销总少不了的。可容纳12人开会的”带秋千的亚瑟王会议圆桌”售价高达1.6万美元。 Belois

有帮助的危害行为,或科学悖论

每个孩子都知道任何味道好吃、稀奇古怪或颜色鲜艳的食物事实上对人体健康是有危害的。有一句来自Winston Churchill、Oscar Wilde或Alexander Woollcott的谚语是这样说的:”所有我真正喜欢做的事情,不是非法的,便是不道德的,要不就是替自己催肥。” 如果根据热力学第二定律,我们完全可以明白这句谚语的其中道理。然而,生活充满了各种可能性,每一条定律都有其例外情况存在,大多数已经过科学验证。 让我们举一些有趣的例子。喝咖啡上瘾迟早会对健康造成损害(每一名好医生都会这样说),但与此同时,喝咖啡上瘾却能有效降低患上黑素瘤的风险,这一观点已得到美国近期的一项医学研究成果的证明;该项研究成果发布在了著名的《美国国家癌症研究所杂志》上。 喝咖啡上瘾迟早会对健康造成损害,但与此同时,喝咖啡上瘾却能有效降低患上黑素瘤的风险 事实很简单:每天喝4杯以上的咖啡能够将患恶性肿瘤风险降低20%。喝得越少意味着患肿瘤的风险越高,但需要牢记的是脱因咖啡无法对降低患肿瘤风险产生任何作用,目前没有任何证据表明脱因咖啡能起到任何作用。 当然,20%不算太高也不算低,每年因患黑素瘤而死亡的人数有5万人之多,且这一数字在逐年上升。但有一些确定的因素会造成死亡,大多数人患黑素瘤的主要原因有两个:一是暴露在阳光下的时间过长,二是遗传原因。 事实上,饮用咖啡和患皮肤癌的低风险性之间的关联在一些挪威和意大利早年出版的科学论文上已有所引用。但当时这些统计数据不足以证明其关联程度。 这项新的研究总历时长达10年时间,在对近50万美国白人的大范围调查取样后而得出处的结果。此外,研究人员还考虑了一些其它的重要因素,包括:性别、年龄、体育活动、肥胖、不良习惯以及天气等。 研究人员还注意到与患黑素瘤风险高低相关的其他行为模式还有酒精、吸烟以及高学历。吸烟能稍微降低一些患黑素瘤的风险,但酒精和高学历却起到了相反作用。后者的相反作用尽管让人感到奇怪,但高收入、高学历人群的享受生活方式-热衷于晒太阳一定程度上解释了这一疑问。但通常情况下,这两项因素的影响力极其有限。 研究人员在其研究中对这些影响因素的使用慎之又慎,并承认这些关联性带有一些猜测的意味(所宣称的关联性有一定巧合)。然而,研究表明包括咖啡因的咖啡内有益成分事实上的确能够对由强烈紫外线照射所引起的致癌产生影响。 研究人员还表示,紫外线防晒霜能够有效抵御太阳光照射,且效果远超每天喝数升咖啡所起到的防癌作用。 对于那些无法克服不良生活习惯的人来说,美国医学博士在《欧洲心脏杂志》所发布上的另一篇研究成果可谓是是又一条”福音”。 众所周知,经常性饮酒对心血管系统有害,同时还会提高心力衰竭的风险。在研究期间得到的新数据表明这些影响力完全由具体的饮用量而决定。少量饮酒的话并不会对身体造成任何危害,反而会起到有益作用。 研究成果如下:每周饮酒7个参考单位的男性相比不饮酒的男性能有效地将患心脏病风险降低20%。对于女性而言,这一数字较低一些(16%)。研究人员将17克乙醇(相当于100-150克葡萄酒、一小罐啤酒或30-40克烈酒)作为一个参考单位。 每周饮酒7个参考单位的男性相比不饮酒的男性能有效地将患心脏病风险降低20%。 如果每周的饮酒量超过这一数字的话,对人体的有益作用将逐步消失。如果每周饮酒量是研究人员所建议数字两倍的话(每周14个参考单位),其患心脏病风险将高于不饮酒的人。如果每周饮酒量超过21个参考单位,则过早死亡的风险将有所提高(无论出于什么原因)。 所得到的数据采集自对不分人种的美国青年和中年人的抽样调查(整个研究过程历时25年时间)。 与本文开头提到的研究相似的是,该项研究成果也并非全新观点:在这以前也曾发布过类似的研究成果,但该项研究所使用的统计数据却相当庞大,因此可信度极高:总计有约15万人接受调查,且整个研究过程历时25年的时间。 该篇研究论文的作者们警告目前还不能对饮酒和降低患心脏病风险的关联性下绝对的定论。我们只能说有一定关联而已,但其确切的因果关系依然还未得到验证。除此之外还有另一个重要的问题:喝哪一种酒更有助于长寿?这个问题有待相关研究人员的进一步发现。 上述所有研究的本质是什么?过度放纵根本无助于更健康的生活,也没有任何一项科学研究是在为抽烟或酗酒寻找借口。我们只需思考一下”没有被普遍接受的真理是绝对的”这句话的意义。打个比方,就算有再多迹象显示盒子内所装的东西,但只有真正打开盒子那一刻才能知道里面到底装的是什么。

量子塑料卡片:洞察未来信用卡趋势

在我们最近的一篇博文《银行卡欺诈:针对ATM机的犯罪活动》中,我们介绍了”盗读者”们如何通过其独特的犯罪手段轻松窃取我们的卡内资金。这一犯罪活动之所以依然猖獗的主要原因是:银行仍然使用的是上世纪70年代的银行卡安全系统技术。卡内磁条上的数据以’纯文本’的形式编写,而PIN码只是一段很短的安全数字,因此非常容易被盗。而最关键的问题是,这是唯一保护您银行账户的安全措施。 毋庸置疑的是,金融业每天都因各种欺诈活动而遭受巨额的资金损失,因而他们正不遗余力地部署更为先进的交易安全技术。 到目前为止,最成功的技术非启用芯片的银行卡(或被称为EMV卡)技术莫属。随着欧洲和加拿大大范围采用这一技术,这些地区和国家的复制卡犯罪案数量得以大幅下降。使用读卡器的”盗读者”们不得不转战EMV卡还未普及使用的美国和亚洲地区,以寻求作案机会。 然而,先进的EMV系统可能会对银行卡保护起到一定作用,但并非是理想选择也无法保护任何所能想象到的威胁—假设盗读技术依然不断得到发展和进步。在不久的将来,最大的可能性是我们使用不同类型的银行卡。 那未来到底会有哪些类型的银行卡呢?让我们共同一探究竟。 密码和回答 最先想到的解决方案是再加一层安全保护—比如广泛运用于互联网的双重认证方法。 当在线支付时,除了银行卡背面的CVV2安全代码以外,持卡人还需输入随即生成的密码:以短信形式发送到手机的、ATM打印的或由银行授权硬件工具生成的代码。如果涉及金额很大的话,双重认证还可以被用于离线交易。 带集成显示屏的银行卡就部署了类似的认证方法。此类情况下,常规信用卡也可配备内置微型计算机(包括LCD显示屏和数字键盘)。除了生成一次性密码以外,还可显示账户余额和历史交易记录等内容。 尽管首张交互式银行卡早在5年多前就已问世,但仅有欧洲、美国和亚洲发达国家的特定几家银行可向客户提供。 按需”生成”磁条 一家美国公司Dynamics研究出了一项更为奇特的解决方案。就表面意思来说,该卡内的确没有固定的磁条。所谓的”磁条”由该卡内的硬件按需动态生成,而用户首先需要通过卡上集成键盘输入密码。 如果你碰巧忘记了密码,则磁条将无法生成,造成交易也无法进行。此外,该卡也没有通常的16位数卡号:一部分位数并未直接印刻在塑料卡片上,而在输入密码后显示在卡上的微型显示屏上。 指纹确认交易 密码可能是保护自己银行卡的强大武器,但对于健忘且无法保密的人而言几乎毫无用处。我们都听说过这样的故事:”聪明过头”持卡人将PIN码写在卡片上,随后就连卡一起丢失了。 基于生物统计的验证方法可以彻底解决这一问题。一家总部位于挪威的公司Zwipe与万事达卡合作,目前正在试验以确定在信用卡上集成指纹扫描器的可能。一旦成功推广的话,以后确认交易只需将手指按在卡上接触片即可确认交易。 量子技术将大有可为 尽管已研究了数十载,但完全可操作量子计算机仍然遥不可及。但希望依然存在:量子技术的某些功能可用来创建无法伪造的标识符。 来自屯特大学和埃因霍芬理工大学的荷兰研究人员计划将基于量子的安全系统理念运用于信用卡和个人证件上。尽管这项技术依然停留在实验室试验阶段,但基于量子的安全系统的模型目前正在开发之中并有了正式的名字-量子安全认证(QSA)。 一张普通塑料卡片的一小部分涂有一层非常薄的氧化锌(又称”锌白)。随后再小心地对该部分进行激光光子扫射。当射到纳米粒子时,光子会在氧化锌层内部随意反射。这一过程能够改变粒子层的光学性质,进而形成一个独一无二的秘钥。 任何尝试潜入系统的其它探测器将破坏至少一部分光子的量子状态,并导致攻击者的整个入侵过程以失败而告终。 如果有人对此类银行卡发射一系列激光脉冲(例如:’提问’),他们会收到一个确定的反射模式(例如:’回答’)。独一无二的’提问-回答’组合包被保存在银行数据系统内,并被用于验证秘钥。 犯罪分子将无法在交易过程中拦截提问-回答组合包。任何尝试潜入系统的其它探测器将破坏至少一部分光子的量子状态,并导致攻击者的整个入侵过程以失败而告终。 无论采用何种方式入侵该安全系统,伪造的银行卡必须大小完全一样,此外也必须满足位置和纳米粒子其它参数上的一致,如此才能保持和原卡的精确一致。但由于工艺实在过于复杂因此在实际操作中根本不可行。 QSA开发人员表示,尽管这一技术理念看似复杂,但完全可以利用现有的技术和方法,因此要部署这一技术相对简单且价格低廉。 快中有慢 银行立刻部署上述安全系统的可能性很小。金融业通常都相当保守,且真正大规模部署该项新技术需要耗费巨额成本。 考虑到这一点,我们相当确定支付方法创新将首先出现在非银行类的服务中:例如,类似于已为人们熟知的Apple Pay或Google Wallet的新支付系统;或像Coin、Wocket和Plastc这样前途光明的”黑马”(我们将在以后与您分享有关它们的故事)。

未来的办公室将变成什么样子?

你是否有想过10年后的大部分办公室将变成什么样子? 我们首先会想到的可能是出现在”科幻小说”中一些虚构的高科技设备:进门处的视网膜扫描器;具有人工智能的机械战警;在一间豪华会议室的老板3D影像等—所有这些科学幻想只是对当今现实生活的复制,并加入了极客对于数字世界的无聊想象。 现实毕竟还是现实,没有还多天马行空的东西,但在某些方面可能更让人感到震撼。接下来我们将为您介绍一些目前尚存争议的办公趋势,但很可能在未来的几年内让我们所熟知的办公室发生天翻地覆的变化。 无论走到哪里都是你甜蜜的家 从铺天盖地的广告和连篇累牍的相关文章来看,似乎在家工作将在不久的将来成为主流。这一观点得到了相关统计数据的支持:此类家庭办公室的数量在不断增加中。 尽管美国固定远程工作的总人数并未超过5%,但临时被雇佣进行远程工作的人数已达到美国总雇员人数的一半左右。 远程家庭办公室的蓬勃兴起可以追溯到10年以前,当时互联网用户数量的增长速度达到了顶峰。但近几年,互联网用户的增长速度某种程度上已经稳定。全美固定远程工作的总人数(包括自由职业者)并未超过群过总雇员人数的5%。 而与此同时,临时的远程工作则成为了一种更普遍的现象。今天,你坐在公司的办公室内工作。第二天,你却在飞机上准备PPT演示文稿。随后,你又坐在另一座城市的咖啡厅内回复邮件。这几乎是一半美国人工作方式的真实写照。 哪里都是你的办公室! 任何曾经远程工作过的人,都非常享受去公司现场工作的时光,至少第一个小时的确如此。大量研究证明与工作同事的近距离接触(不是你想象的那种!)能大大提高工作效率。据Strategy Plus consultancy统计,在最繁忙时办公室空间的平均利用率仅为42%,灵活并能重新组合的开放式空间为员工提供了更多近距离沟通的机会。 但这并不一定意味着我们必须坐在一起工作。减小个人的工作空间将能有效降低办公空间闲置率,同时还能提升工作效率。这一理念在挪威Telenor电信公司内被证明相当有效,该公司早在2003年就部署了这一系统。 Google和IBM同样是共享工作空间理念的积极倡导者。 在咖啡机旁交流工作 大部分人都认同这样一个事实:公司最重要的决议并非是在会议室讨论出来的,而通常是在咖啡机或饮水机旁。 如今的办公室格局设计师将这一理念奉为金玉良言,并加入了一些科学的思维。在一些”最时髦”办公室,其内部格局设计都有助于来自不同部门的员工在此类”重要决策区域”进行一些’未经计划’的小型会议。 这是如何实现的呢?各个部门的所有咖啡机和饮水机都被装在了一个大型的”聚集区域”,公司的所有员工被迫只能在这个区域和同事进行工作交流– 这些方法已被Google和三星的开发部门所采用。 躺着工作和思考 在不久的将来,传统式的”办公桌+办公椅”工作区域很可能将在一些公司的办公室内消失。这样的做法并非是为了节省办公场地租赁成本,而为了员工的健康考虑。 久坐不动的工作方式被证明对健康有极大的损害。举个例子,据一项研究显示,一名年龄在45岁的员工每天坐在办公室超过11个小时的话,其在未来3年过世的几率将比平均值高出40%。 一家荷兰的艺术建筑公司RAAAF决定通过建造一间带有实验性质的工作室来解决这一问题。该工作室被戏称为’The End of Sitting’(久坐终结者),内部架构与传统的办公空间截然不同,更像是一座现代化的游乐场。在里面你无法像传统办公场所那样正常端坐,因为里面到处堆满了塑料叠层板。但你可以随心所欲地躺着、站着或将自己夹在两块板之间的狭小空间,甚至还可以蜷缩在一个球里面。由于没有特定工作区域可以让你长时间舒适地端坐不动,因此在工作时每个人都被迫需要到处走动。 为了让这个实验尽可能地真实,一群’年轻的专业人士’被安排在这间”办公室”内工作3周时间,并能够顺利地进行工作。实验结果证明,尽管参与者都抱怨双脚走动得有些疲惫,但明显感到比传统办公室更有活力。要显示实验的公正性似乎邀请一些更’年长’的员工参与更有说服力,但不知什么原因这些专家最终还是决定暂时终止实验。 站住!来人是谁? 男孩子是不是都觉得指纹和视网膜扫描器看起来非常酷且颇具未来主义风格!然而一般来说,办公室目前最可行的门禁控制是基于可编程的电子锁,比方说用智能手机开门。 该解决方案的优势在于价格低—此类电子锁已被用于大众市场的智能家庭配置。每一名员工都会收到一个灵活配置的安全配置文件并使用临时数字证书开门进入。虽然即简单又高效,但没有特定配置智能手机的外人将难以进入。

银行卡欺诈:针对ATM机的犯罪活动之二

在本系列的第一部分,我们探讨了银行卡’盗读者’所使用的犯罪技术。今天,我们将为您讲述此类犯罪案件的另一部分内容,即这些犯罪分子是如何实施危险性最高的盗读过程。 外包盗读过程 对于大多数’盗读者’而言,根本无需掌握太多专业的犯罪技术。然而,有些操作–包括硬件安装过程–危险性极高。有时候,这些高危工作就外包给了所谓的’业内专家’。 一名技术娴熟的”专业人员”只需要30秒钟左右的时间就能安装完成一部盗读设备。除此之外,还需要完成多个步骤的前期准备和情报收集工作,包括:现场环境和监视摄像机的分析以及确定人最少的时段—所有这些工作都少不了长期在目标附近蹲点的同谋犯。 熟练安装工所安装的盗读器很难被拆除。头脑冷静、衣着考究的绅士只需声称在ATM机上看到了一些可疑的东西并只是想在报警之前确认一下,就能将自己的罪行洗脱得一干二净。此类犯罪行为难以被证实,尤其是在犯罪分子将黏胶和安装的盗读器清除以后。这也是为什么银行方面建议用户不要去触碰任何可疑的东西,而应直接报警的原因。 除了ATM机以外,”盗读者”感兴趣的目标还有其它接受银行卡的终端类型。这些终端包括:加油站和火车站的自动售货机–以及其它各种类型的自动售货机。相比于ATM机而言,普通人对于此类机器的戒心较少,且安全保护等级也更低。 “收割”犯罪活动 一旦盗读硬件安装完毕,犯罪分子就能实施第二阶段的”欺诈”工作–’收割’。他们利用欺诈行为还未被发现前的这段时间疯狂地复制尽可能多的银行卡:只要银行发现了这一盗读犯罪活动,”被收割”银行卡持卡人阻止他们的几率将更高。为了观察现场状况,”盗读者”的同谋犯必须在目标ATM机对面的车内或咖啡厅内长期蹲点。 如果一直没人发现ATM机有异样,欺诈活动将一直进行下去直到电池耗尽,从而盗取上千个银行卡认证信息。 如果一直没人发现ATM机有异样且银行安保也毫无察觉的话,欺诈活动将一直进行下去直到电池耗尽,从而盗取上千个银行卡认证信息。 最贪心的犯罪分子会去拆除设备以便用于下次犯罪活动,但最聪明的”盗读者”则会直接将设备遗弃,为的是最大降低被捕风险。从被盗卡所赚取的所有利润可能有数千美元之多,这足以弥补任何设备的损失。 从复制的银行卡内取款也是一种独立的高风险犯罪行为–因此这一部分的工作也常常被外包出去。一般来说,”钱骡”被雇佣来完成这一部分的工作。 有时候”钱骡”只是简单地将取出的现金交给专业化的”盗读者”,按之前商定好的比例抽取佣金。但也有一些”钱骡”会主动购买被盗磁条数据,但这是另一回事了。 过于原始的技术 从银行卡内窃取现金之所以如此轻而易举,主要得益于银行卡的安全技术过于原始。基于磁条的银行卡最早出现在几个世纪以前,而在上个世纪中叶,专门窃取和复制银行卡认证信息还闻所未闻。 从银行卡内窃取现金之所以如此轻而易举,主要得益于银行卡的安全技术过于原始。 记录在磁条上的数据缺乏足够的保护措施,只有一条相当短且易受攻击的PIN码用来进行交易验证。在发明磁条技术后还出现了几种加强的保护技术,但却并非是每一张银行卡的标配。 不用说,支付系统和银行已花费了数年的时间来开发一种针对该问题的解决方案。在过去的20年内,欧洲越来越多采用同时配备磁条和集成芯片的EMV银行卡。 两者之间的差别是芯片无法像磁条那样能被复制。在使用EMV银行卡取现时,ATM机会要求卡内芯片创建一个独一无二的一次性密钥,虽然也可能会被盗走,但却无法用于另一笔交易。 尽管安全研究人员已报告了大量存在于EMV银行卡内的漏洞,但在实际操作起来却是另一回事。虽然这一技术进步可能会彻底打垮”盗读者”的犯罪活动,但依然需要一段过程:全部采用EMV银行卡将是一个长期、复杂且代价高昂的过程,并需要相关各方的参与。 所有相关各方都必须参与其中,共同协作:支付系统、银行、购方企业、POS终端生产商以及其他各方。这也是为什么如此多的国家(包括发达市场)依然使用陈旧的非EMV银行卡的原因。 即便如此,基于EMV的银行卡也有可能被盗读。但为了与旧式终端反向兼容和提高适应力,可能必须是基于磁条数据(而非芯片)才能完成交易。 据欧洲ATM机安全团队报告,尽管EMV程序正在全美范围开发,但”盗读者”依然十分猖獗。亚洲的印度尼西亚和泰国,欧洲的保加利亚和罗马尼亚也成为这方面风险最高的国家。 有关如何避免成为#ATM#机盗读者受害人的10条简单的#安全小贴士# 银行可能会赔偿被盗读者所窃取的资金,尤其是当责任被转移到了另一方–可以是支付系统、ATM机所有人或保险公司。但大多数情况下,被盗读卡持有人将不得不自己买单,这方面已有大量的案例佐证。 规避法则 不存在万无一失的方法能100%保证你的银行卡不会被ATM机盗读者所利用,但我们可以为你提供一些简单的安全小贴士以规避此类风险。 1.如果你的银行卡没有集成EMV芯片,则应完全弃用。你可以要求银行为你更换EMV银行卡。即便使用芯片集成的银行卡也无法保证100%的安全,但依然能规避大部分的风险。 2.启用短信通知功能来更好地追踪交易。你越早发现被盗刷的证据,则追回损失资金的可能性越高。 3.如果你不是经常外出旅行或出差,询问银行是否能够限制异地交易(当你需要出国时,可以将交易权限限制在目的地国境内)。这是一种非常有效的方法,在欧洲多国已得到验证。

银行卡欺诈:针对ATM机的犯罪活动

我们都知道需要小心提防扒手。尽管早期儿童教育并没有教给孩子如何在外面时盯紧自己口袋,但生活的经历教会了他们这些简单的道理。同样的道理也适用于网络黑客。如今,互联网上铺天盖地有关网络黑客活动的报道,即使是儿童也略知一二。 但有关”盗读者”的新闻却鲜有报道,因此很容易让你不知不觉地落入此类网络犯罪活动的圈套。这些盗读者借助安装在ATM机上的微型隐秘硬件,专门从事盗取银行卡认证信息的犯罪活动。尽管警察、银行和支付系统都付出了巨大努力,但银行卡账户的盗窃金额依然呈上升趋势。 盗读者有点像扒手(都使用类似的手上技巧),在某种程度上也有点像网络黑客–他们所从事的犯罪活动完全依赖于一些高科技和PC电脑技术。 只要你使用ATM机提款就有可能成为他们的攻击目标。一旦你的银行卡内没有内置芯片,你的处境将十分危险:无芯片银行卡被盗读的风险要高得多。如果你没有订阅银行短信通知、将自己的银行卡随意插入街上看的任何ATM机以及将取现PIN码到处公开的话,这些都会让你成为盗读犯罪受害人的可能性更高。而你的这些愚蠢行为将让盗读者们暗自窃喜。 事实是,近些年来此类违法活动案件与日俱增,且所用技术不断进步。但犯罪原理仍然缺乏新意:使用隐秘技术读取银行卡磁条内数据,偷偷记录PIN码,将卡复制后清空该银行卡账户内的所有资金。然而,数据盗窃的技术却已突飞猛进。 完全商业化 以前,有一些盗读者还会将自制的银行卡读卡器和粗制滥造的硬件用在ATM机加钞盒上,冒着当场被抓的风险手动提取数据。但这样的时代早已过去了。随着这个”行业”的不断发展,动手自制工具的盗读者也已不复存在。如今,银行卡盗读变成了一项组织精良且高度自动化的犯罪活动。 这一犯罪链的第一环是现成硬件解决方案(由大量可用部件制作而成)的制造者和销售者。所有交易均在网上进行,并通过快递送到买家手中–对于犯罪分子而言这是最安全的方法。 想要验证盗读硬件是否真如想象得那般流行,只需在任何一个搜索引擎中输入一个简单的求购信息。这一套工具包括:可从一张塑料卡片内提取数据的隐秘读卡器、一块能够获取PIN码的伪造面板以及附带相应功能的复制卡设备,所有这一套售价通常在1500-2000美元之间。而信息科学专家Brian Krebbs估计这样一套工具在几年前的售价高达1万美元。 盗读工具的买家并不需要是精通技术的专业黑客:这些工具通常都会附带详细的操作手册,有些手册甚至还写有’最优方法’的内容。有些内容甚至详尽到列明了推荐使用的一次性电池型号,以确保读卡器能够电力充足,持续工作。 科技突飞猛进 技术进步加上巨大的需求,推动了用于违法活动的电子部件技术的飞速发展。一旦安全专家推荐采用何种特殊方法检查ATM机,那这种推荐的方法很快就会失效。 首先,经验丰富的犯罪提供商所出售的硬件几乎很难与ATM机原始部件区分。即使是再仔细的用户都无法分辨两者的区别:伪造的加钞盒无论是所用塑料的材质类型还是颜色都与合法的加钞盒一模一样。只是在形状上稍有不同。 之所以能如此逼真,是因为制造商精心仿制了大量广泛使用加钞盒模型(拥有众多客户的大型银行都使用这一模型)的ATM机元素。当然,银行本身也采用了反盗读技术作为应对方法。 其次,还有盗读者将读卡器手动放入加钞盒随后进入ATM机内部。这一新奇的小玩意引述自欧洲ATM安全团队(非营利性组织)近期所发表的报告中。更可怕的是,此类设备根本无需读取银行卡磁条—他们使用ATM机内的资源来读取。 手动提取数据也早已过时了。新型读卡器配备有通过普通蜂窝网络发送加密(你听的没错,盗读者也用这玩意!)磁条数据的GSM模块。 看好你的PIN码 一切准备就绪后,获取PIN码变成了最简单的一环。为了偷偷记录PIN码,犯罪分子只需使用微型隐秘摄像机甚至类似于iPod Touch(以细长Z高度和强劲电力而著称)这样的普通移动设备就能办到。 微型摄像机可以安装在ATM机按键上方或房间的其他位置。盗读者尤其钟情于银行用来摆放宣传资料的架子。作为银行的内部装饰,这些通常都被视为安全的。 然而,如果有取款人不小心用手挡住了镜头,则偷偷安装的微型摄像机将无法起到任何作用。此外所拍摄视频也无法很方便地发送和处理,并需要一些手动工作。 针对ATM机小键盘的细长伪造面板的价格正在变得越来越便宜,现在黑市的售价普遍低于1000欧元,这也造成此类犯罪案件数量的持续攀升。如此就算镜头被遮住–伪造面板也能检测你的PIN码。将4位PIN码通过短信发送至盗读者数据库相比处理一长段视频要容易许多,且整个过程几乎都是自动进行的。 当然,尽管盖在原始小键盘上的虚拟面板明显有凸起感,但几乎没有一个取款人会近距离检查键盘并仔细查看之间的缝隙。从上面看,整个结构看不出什么异常–伪造面板采用与原始ATM机键盘相同的钢材和优质涂漆。 此外盗读者还使用另一项技术,用来保护解码和复制的信息。这也是盗读者用防范其他竞争同行和执法人员的方法。 一旦密码错误,盗读软件将无法提醒用户输入PIN码错误–只是简单地关机了事。一旦这些错误密码交给警察,盗读者完全可以辩解说这个程序是一种无害的小软件。这样的手段真是”高明”… 而想要证明这是这是用于犯罪活动,执法人员必须聘请有资质的专家来分析这些代码,而这将使一个艰苦且旷日持久的过程。 依照上述所说的,科技只是犯罪案件的一部分。许多盗读操作依然采用的是手动方法,且风险极高。在接下来的博客中,我们将详细论此类案件中这一部分内容,同时还将为您提供一些安全小贴士以保护银行账户避免落入犯罪分子之手。

阅读可能”有害健康”

你在晚上是否得到了充足的睡眠?平心而论,我自己的睡眠并不太好。只要考虑到我们平时忙乱的生活,没有时间在晚上获得良好的睡眠也不足为奇了。 但如果即便你提早上床也无法得到充足休息的话,那问题到底出在哪里? 来自德国和美国的研究人员建议在上床前限制使用一切电子设备—例如,不使用平板电脑来阅读—引用自他们近期发表在《美国国家科学院院刊》(一本卓越的科学杂志)上的一篇研究报告。 该研究报告完全基于一项试验:十几个年龄在25岁左右的健康志愿者在一家医疗中心呆了两周的时间接受试验。所有志愿者都被要求在光线昏暗的房间进行阅读,每天4小时,10点准时上床。在第一周,一半的人使用苹果iPad阅读,另一半人则阅读纸质书本。第二周,两组人相互调换。 这个试验结果显示出一个十分明显的趋势。平板电脑用户的入睡所需时间比阅读纸质书本的人平均长了10分钟,而在不同步睡眠阶段的时间则少了10%(这是我们做梦时的睡眠阶段)。同样平板电脑用户血液内的褪黑激素水平比纸质书本阅读者低了55%—褪黑激素被认为是’睡眠荷尔蒙’并被用于治疗失眠。 在研究期间,使用iPad阅读的人普遍感到晚上睡意较少,且无法得到充足的睡眠。但他们在早上通常需要更多的时间完全清醒。 这些数字倒是其次。主要的发现是参与试验志愿者的主观认为与他们的真实感觉有所差异。据报告称,使用iPad阅读的人普遍感到晚上睡意较少,且无法得到充足的睡眠。他们通常需要更多的时间在第二天早上完全”清醒”。 事实上,亮度级别和褪黑激素水平之间的关联性(以及所导致的睡眠质量不同)此前早已公开阐述,那还有什么大惊小怪的呢?据研究人员发现,平板电脑显示屏无法发出足够的亮光,因而无法对最终的试验结果产生决定性影响。 报告背后的科学家表示,其实根本与光量无关,但与光的质量有关。iPad所集中发出的光谱短波—对于对光学知识一无所知的阅读者而言,就好比蓝绿色和彩虹蓝之间的差别难以辨别(450 nm波长)。此类亮度与常见环境光线有所不同,出于多方面原因,会对褪黑激素通路产生影响。 一些对此抱怀疑态度的人指出,实验室试验和真实生活肯定有些不同。我不相信所有人都会在每个晚上用iPad阅读4个小时,正好不多不少,然后在精确的固定时间上床睡觉。 你应该清楚的是,无论是iPad、现代电视机、智能手机和PC电脑使用的都是相类似的显示屏。当然对角线尺寸会有所不同,但光谱波长非常相似。所有此类显示屏的波长高峰都在450 nm,包括LCD显示屏和OLED显示器。 如果将一个普通人看电视、用笔记本电脑工作或日常使用移动设备的时间全部相加的话,这一数字可能让人大吃一惊–我们甚至还未将那些沉迷于电脑(电子)游戏的年轻一代加入统计。 没有人会因缺少睡眠而死亡,你说呢?事实上这一观点存在争议:仅在美国,每年就有因司机在驾车时睡觉而导致了25万起交通事故。 你会说,没有人会因为缺少睡眠而死亡,除了实验室小白鼠?但这一观点是存在争议的。 据美国睡眠医学会报告,仅在美国,每年就有因司机在驾车时睡觉而导致了25万起交通事故。《美国国家科学院院刊》(PNAS)的一名作者写道,那些经常上夜班的人,由于褪黑激素受到抑制,因此可能会提高患肿瘤的风险。 现在你清楚了这方面的相关数字,那到底如何才能获得更多睡眠呢? 1.现在你清楚了这方面的相关数字,那到底如何才能获得更多睡眠呢? 2.将背光亮度和色温调低(例如:将图片设为’暖色’)。如果对这些参数进行微调的话,可将蓝光强度降低6倍。同样还要确保对对比度也进行了微调以避免眼睛疲劳。 3.对于喜欢阅读电子书的人来说,试着读一些纸质书或采用被动屏幕的电子阅读器,此类电子阅读器通常反射光线而不是发出光线—例如,现在电子墨水阅读器的价格有所下降。 4.想一想自己家中所用的电灯泡。那些发出最自然且统一亮度光谱的灯泡一定是那种老式白炽灯。而节能的荧光灯和冷光LED灯可能发出不同的亮度,包括刺眼的光谱短波部分的高峰亮度。你可能会考虑使用LED背光红灯,里面不存在光谱的蓝光部分。 5.此外还有一种立竿见影的方法可缓解严重的失眠问题,那就是戴上特殊的橙色镜片眼镜,能够将光谱的蓝光部分彻底去掉。这一方法的实效性已得多大量科学研究的临床验证,比如,此类眼镜可以推荐给那些在计算机前熬夜工作的人使用。 如果戴上这样的眼镜让你眉毛上挑的话,只需加个箔盖即可。每次你需要被迫回答一个尴尬的问题时,就戴上它好了。