新闻

411 文章

不法分子无时不刻对你的手机进行窥视(通过不安全的Wi-Fi)

近期智能手机行业的迅猛发展以及各种用途手机应用的蜂拥出现,不可避免地导致在处理敏感数据时使用智能手机和平板电脑的增加。现在,人们通过移动设备发送或接受一些敏感数据和资料变得越来越普遍,例如在LinkedIn网站上发布你的个人简历,通过WhatsApp、Viber或其它类似应用将你的私人照片发给你的恋人,或在网银上输入你的一次性密码等等。不幸的是,就在你向周围的陌生人投去怀疑眼神的同时,大多数人并没有意识到,你的这些数据可以很容易地被离你10米远的不法分子所截获。 发生如此不安全状况的主要原因是使用没有任何保护的Wi-Fi网络以及在手机应用内缺少安全保护。在许多情况下,蜂窝网络依然价格高昂,在旅行途中使用更是如此。这也是为什么人们更倾向于使用机场咖啡馆以及酒店的Wi-Fi,但享受便利的同时却容易忽视其安全性。就在巴西世界杯开赛之前,我们的安全专家们在圣保罗进行了一些案例研究,以探究人们所使用的无线网络采用了何种加密方式,结果发现1/4的无线网络使用了开放式架构(无密码保护)。 在圣保罗,26%的Wi-Fi网络存在安全隐患。尤其在使用手机应用时,你必须打起12分精神。 如果你使用的是开放式架构的无线网络,任何人都可以发现你的流量并查看你正在传送的数据。如果你使用的WEP加密无线网络,不法分子可以在5分钟之内将其破解。对于世界上大部分的无线网络,不法分子只需数秒钟时间即可检测到。 我们给出的建议是只连接使用WPA的网络。 许多移动应用以非加密方式传输你的数据,或根本不会提示你任何存在危险的加密问题。 在使用移动应用时,则完全又是另一回事了。因为你根本无法知道应用在使用哪些协议。安全专家们发现在许多应用与服务器进行内部通讯时,使用的是公开协议。例如:使用HTTP而不是HTTPS,前者更容易遭受会话劫持、密码窃取和通话内容窃听的风险。举个例子,如果你正在使用即时通讯,人们可以看到在会话内的纯文本内容。这并不是我在危言耸听,事实上这一问题在移动应用中已存在许久。即使是Google、Facebook或推特这样的互联网巨头,在2011年,它们的手机应用中同样也存在SSL丢失的问题。一直到2012年夏天,非常流行的即时通讯手机应用WhatsApp依然是以非加密方式传输所有内容。如果诸位还在使用Yahoo即时通讯或ICQ软件,那不幸地告诉你—这两款软件依然使用纯文本协议,所有聊天没有经过任何加密,在开放式Wi-FI环境中可轻易被窃听。很难想象有多少应用依然在使用纯文本协议,即使在顶级的公司中间,也有一些还未使用加密。 许多应用在提升功能性的同时,却忽略了警告用户有关SSL证书的问题,使得用户根本无从防范周围不法分子的攻击。 当然,我们可以很容易地给出一些建议,像”不要使用涉及任何敏感信息的手机应用”,—但事实上却很难照做。如果你真的这样做了,你会感觉到好像活在了古代。下面,我将推荐一些较为保守的”疗法”: 只要有机会,就使用3G/4G服务代替公共场所的Wi-Fi; 总是选择有加密的Wi-Fi连接(WPA2); 在移动设备上加强虚拟私人网络的使用; 在公共环境或不信任的网络中,避免进行像网银这样的敏感操作(所有网络都包括在内,除了正确配置的家庭和办公网络以外)

一周要闻:首个安卓加密勒索软件

探究本周的新闻主题,包括#安卓#勒索软件、一个严重的@TweetDeck bug等。 本周的新闻内容丰富,安卓系统上出现了史上首个加密勒索软件,短暂存在于TweetDeck的严重漏洞,对苹果即将发布的iOS 8的一睹为快,以及可能会泄露Gmail用户地址的缺陷等等。 安卓加密勒索软件 上周,一些有关一个对安卓设备内容进行加密的勒索软件的报道开始浮出水面。本周,卡巴斯基实验室专家Roman Unuchek对此类中的首个手机恶意软件Pletor进行了说明。 Pletor是在大约一个月前被发现的,并且在这一期间已经传播到了13个国家。该款恶意软件已经感染了超过2,000台机器—主要分布在俄罗斯和乌克兰—另外,在欧洲其他国家和亚洲国家也出现了类似的案例。报道称,受感染高峰时间是在5月22日,整个一天有500台机器被感染。这一木马病毒在地下存在非法交易,售价高达5000美元。 若您的智能手机感染了[Pletor],我们建议您不要向不法分子付款,”Unuchek说道。”我们见到的所有版本的木马病毒都含有钥匙,可用于解密受影响的文件。” Pletor可感染访问虚假色情网站的设备。木马病毒在这些网站上伪装成观看视频所需的媒体播放器。另外,Pletor正在向游戏和其它安卓应用以及俄罗斯手机论坛蔓延。 “若您的智能手机感染了[Pletor],我们建议你不要向不法分子付款,”Unuchek说道。”我们见到的所有版本的木马病毒都含有钥匙,可用于解密受影响的文件。” TweetDeck Fiasco 昨天,我们报道了一个存在于TweetDeck的严重安全漏洞。攻击者能够借用用户账户,发推、删除推文或破坏账户。推特非常及时地为这一问题提供了补丁。所以,用户无需担忧。但是,如果你使用该服务的话,如果能更改推特和TweetDeck的密码,则更有安全保障了。如果您遵照我们昨天的建议,撤消了对TweetDeck应用的访问,则重新使用TweetDeck并授权访问您的推特账号应该不会出现什么问题。 有趣的是,昨天出现的TweetDeck问题再次出现,起因是一名澳大利亚少年和本应不该出现在他的Twitter feed上的Unicode heart。访问Threatpost,查看全文。 MAC地址随机化 苹果为果粉们准备了惊喜,在苹果全球开发者大会上揭开了即将发布的iOS 8手机操作系统的真正面纱。此次所发布的iOS 8在原有IOS应用开发环境基础上进行大量的重建,你可以再这里阅读我们对IOS 8看法的完全分析。IOS 8最大的变化苹果决定在接入无线网络时,将媒体访问控制地质随机化。MAC地址是唯一的标识。众所周知,零售商和网络运营商通过追踪MAC地址,了解更多的用户行为。在iOS 8操作系统内,苹果设备在被无线网络扫描时,将生成随机的MAC地址。这一技术举措将悄悄地使零售商无法再追踪店内客户活动和其它行为。 Feedly你在哪儿? 就在昨天,分布式拒绝服务攻击(DDoS)昨天使新闻手机服务应用Feedly及笔记和归档平台Evernote(离线版)陷入瘫痪。Evernote迅速从DDoS攻击中恢复过来,目前用户已经能正常使用了。但不幸的是,截止星期四下午,Feedly依然无法正常运行。 Feedly在星期三下午曾短时间地恢复正常,但其后在受到另一波DDoS攻击后,又很快地陷入瘫痪。 继续注意垃圾邮件 Google在本周早些时候对其服务内的一个非常严重漏洞打了补丁,并封住了一个可能泄露未知数量Gmail用户账户的漏洞。一些报告估计,可能所有账户地址均难以幸免。您可以再Threatpost上了解到此次攻击的技术细节。在未来数天,甚至数周,您应该特别小心垃圾邮件,一旦有人利用了这一bug,Gmail邮箱地址将难以幸免。 其它新闻

新的智能手机操作系统安全吗?

苹果公司为其手机操作系统推出了全新软件更新—iOS 8—几乎同一时间,其主要竞争对手三星公司则正式确认将推广基于全新Tizen操作系统的设备。与此同时,Google及其安卓系统方面则几乎没有什么动静。尽管Google这一手机系统巨人没有出现在头版头条的位置,但在这里,我们依然有许多可以谈论的话题。 苹果的最新iOS操作系统 IOS 8最为显著的变化,似乎是更加开放和更具客制化了。完全出乎意料,苹果竟决定允许第三方开发者(i)替换苹果手机屏幕上标准的输入键;(ii)使用Touch ID界面;(iii)将他们的窗口小部件与消息中心相结合;(iv)扩展应用(包括针对某些家庭和医疗应用开发者的整个应用程序接口)间交换的数据类型,等等。 所有这些迟早会发生的。毕竟,与全球开发者社区在操作系统开发方面进行竞争太过艰难。唯一的出路则是变得更加灵活。您等着看好了:两三年后,Safari可能将失去其作为默认浏览器的垄断地位。 这并不是我的凭空想象 – 因为谁又曾料想过手机需要外置键盘呢? 在果粉一贯疯狂的支持下,反对声音似乎寥寥无几,更不用说各种类型的有趣素材迅速成为了人们热议的话题。 事例:至顶网率先公布了全新功能对安全方面影响的分析—攻击面将增大。Ars Technica也迅速发布了IOS 8新功能与安卓系统各功能之间的比较文章,抓住了那些始终对苹果创新抱有强烈怀疑态度的读者的眼球。尽管增加众多的功能,但情况依然没有什么改变,乔布斯的忠实粉丝们对此根本不屑一顾,”如果乔布斯还在的话,他根本不会这么设计!” 那么,让我们来看看苹果是如何保持IOS一贯的安全性的。软件的预调节系统将被保留,但是对于苹果应用来说,依然有更多在恶意功能方面保持优势。新的Swift编程语言似乎防止了大量开发者在应用软件开发初期所犯的错误。不过,Swift将不是唯一强制性的开发环境(招聘启事:’寻找至少具有三年经验的Swift程序员’)。我仍支持尤金•卡巴斯基的意见,即苹果仍需要改变其维护安全性的方法。 Tizen Tizen.。Tizen? 到底谁是Tizen(中文叫”泰泽”)?!对于那些知道维基百科的人来说,答案太简单了,Tizen就是安卓的”半个兄弟”,它的”继父”就是Linux或类似的系统。 我仍然不清楚开发这一操作系统的具体技术原因。我的意思是:这操作系统中的哪些功能是安卓系统所没有的?似乎他们开发的目的只是: 减少对Google的依赖; 获得最大量的数据量、流量和其它有价值的有关用户的非人性化信息; 是为了在选择目标和实现目标方面更自由一些。另一方面,Tizen将不仅能解决安卓储存残片的问题(阅读:存在于大量的版本中),还将继承所有集体创造力项目的全部先天缺陷 – 每位参与者将会设法分得最大的”一块蛋糕”(Tizen的主赞助商竟已达10家)。 更加自相矛盾的是三星目前的定位。三星拥有自己独家研发的Bada操作系统,该系统推出后一路顺风顺水(2012年,该系统一举超越了Windows系统手机的普及度),且很容易在此基础上创建生态系统。与苹果系统极为相似,只是没有苹果系统的缺陷。目前,三星似乎已另起炉灶,(包括将重心向新的Tizen应用商店转移以及花费数百万来激励开发者),而现在三星将不得不面临众多的竞争对手! Tizen是安卓系统终结的开始吗?Tizen是否会将安卓挤出其赞助商的设备? Tizen是安卓系统终结的开始吗?Tizen是否会将安卓挤出其赞助商的设备? 答案可能是否定的。 Tizen最有可能只是在家用电器领域实现突破,在这一领域,产品更倾向于稳定发展而非跳跃式的发展, 且低储存碎片和自身开发平台的可行性是这一领域的主要特点。开源代码能够实现广泛的漏洞检查,这对用户极为有利(若三星公司能够快速提供补丁)。

苹果iOS 8安全性

上周,苹果依照惯例在全球开发者大会上发布了最新版手机操作系统。总部位于加州库比蒂诺的苹果公司此次推出的iOS 8号称是”全球最先进的手机操作系统”。这一说法显然颇有争议,但新平台确实有一些设计周密的安全隐私功能,此外还对应用开发环境进行了重大改革。 新系统中对安全隐私的改进最大,即随机生成介质访问控制(MAC)地址,但很可能这也是用户最容易忽视的。MAC地址是一种唯一标识,广泛用于跟踪Wi-Fi网络上的设备和用户行为。据称,用户连到公用Wi-Fi网络并与其进行交互时,零售商和其他各方可通过跟踪MAC地址来更多地了解用户的行为。 但问题是,很多用户对此跟踪完全不知情,这也意味着用户可能根本就不同意被跟踪,至少在传统意义上是这样。 在iOS 8中,无线网络扫描苹果的i系列设备时,这些设备将生成随机MAC地址。这样零售商就无法跟踪商店内客户的活动和其他行为。随机生成MAC地址对于许多根本没意识到被跟踪的苹果迷来说,是隐私保护方面的巨大进步。 随机生成MAC地址是对于许多根本没意识到被跟踪的#苹果迷来说,是#隐私保护方面的巨大进步。 另一个很不错的安全隐私改进是,支持用户将DuckDuckGo作为Safari浏览器中的默认搜索引擎。DuckDuckGo是一种替代搜索引擎,它不会根据搜索查询收集用户信息或其他任何相关信息。而且,DuckDuckGo会尽可能确保用户通过加密的HTTPS连接与网站进行交互。搜索DuckDuckGo从某种意义上来说系统性更强,因为查询不会根据感知到的用户关注内容进行定制,而这是其他引擎的通用做法。 当然,本发行版中还包罗了各种更华丽且实用的功能。照片将在所有连接设备上共享,用户能够轻松将语音添加为短信(我想这是电话应该具有的功能),此外,苹果还高调推出了更简洁的全新通知界面。显然,在各设备之间实现照片共享未来可能会出现各种隐私和安全问题,但就目前来看,还没有什么明显的安全问题。 然而,一些与家庭共享功能一并提供的新键盘功能,更深层次的iCloud集成,以及新平台明显的雄心壮志,要吸引更多的应用开发,这些都会对安全隐私产生重大影响。 苹果称,新的软件开发者工具包(SDK)是App Store发布以来最大的一个开发工具包,应用编程接口(API)超过4000个。如果我们对苹果的新闻稿解读无误的话,这些举措和新的应用编程语言很可能会使App Store更为开放,环境类似Google Play(但苹果的预审查政策仍生效)。一方面,这意味着会有更多应用发布到App Store;另一方面,这也意味着面临着更多威胁,当然这并不一定会对用户构成威胁,具体取决于苹果如何在已改变的环境中应对安全性。 新的开发者工具包中,我们将密切关注的一个工具包的”HeathKit”。此工具包支持开发人员构建运动健身应用,以更适合用于彼此交流,分享从健身计划到血压水平等各种用户信息。近年来,市面上运动健身类应用层出不穷,数量激增。但上个月,美国联邦贸易委员会发布的一份报告中警告说,运动健身类应用在获取和共享用户信息方面”胃口”过大,这引起了我们的关注。为不同应用提供彼此共享这些数据的能力(即便用户允许应用这样做,因为授予权限实际上被视为同意这样做)只会加剧这一问题。但平心而论,如果发布一些个人数据能促使用户加强锻炼,那么这可能是一种理智的取舍。 HomeKit是另一个相关API。它使开发人员有能力构建与现代化住宅不断增多的连接和”智能化”进行交互的应用。如果您定期阅读《卡巴斯基中文博客》,那么一定会知道住宅自动化系统安全性差强人意。苹果称,此工具包在安全性上已全部进行配对(这可能意味着通过某种方式使用了加密)和配置。但在打入开放市场之前,很难说安全性到底怎么样。 如果新的App Store像安卓一样对企业开放,那么我们可能会看到更多恶意应用纷涌而入。 总之,新版本看起来确实是对苹果现有开发环境的彻底革新,这着实让人兴奋不已。因为这意味着会有更新、更有创意的应用出现,包括第三方键盘、窗口小部件等等。但同时也让人略感担忧,因为与创新随之而来的是更多攻击接口和更棘手的攻击。如上所述,如果新的App Store像安卓一样对企业开放,那么我们可能会看到更多恶意应用纷涌而入。 如果要从本质上了解这种新的应用开发业务将以何种方式影响安全性,尤其是相对于安卓系统,请参阅Andrew Cunninghamrs在Ars Technica博客上发布的文章中的第二页,此文对此问题进行了详细阐述。 除了我们讨论过的内容外,使用新键盘时,”将根据过往的对话内容和书写风格,显示后续可能会输入的字词或短语供您选择。”此外,”iOS 8还考虑到了用户可能在短信中使用的书写网络较随意,而在邮件中则可能使用更正式的语言”,”还根据交流对象调整显示的预测内容,因为与伴侣对话时所选的字词肯定要比和老板对话中使用的更随意。”总之,这些功能意味着苹果将收集更多用户信息,这必然会影响到隐私性,不管这样做能带来多大程度的便利。iCloud提高了文件存储容量,用户可以在一个位置存储更多敏感信息,这也相应要求用户熟悉并启用该服务提供的安全功能。但同时,也意味着需要采取更多方法来备份和保护用户敏感数据。 通过新的”家庭共享”功能,用户有能力将自己的设备与设为其家庭成员的其他用户完全同步。此功能的优点是加强了家长控制,但风险也显而易见,它为新的潜在攻击开辟了一条新的途径 - 类似于最近报告中所报告的黑客利用iCloud访问锁定手机。我们将拭目以待黑客是否可能暗中将自己设为家庭成员,从而监视用户行为,窃取设备数据。

Chrome插件加密所有离开浏览器的数据

Google最新发布的一份报告显示,在全球的Gmail流量中,超过30%在发件人向收件人发送邮件过程中的某一时刻处于无加密状态。为修复这一漏洞,Google开发出了一项工具,它能够为安装端对端插件的任何用户对所有离开Chrome浏览器的数据进行加密,这一工具不久将公布于众。 你可能会对此存有疑惑,因为Gmail始终通过一个安全的加密HTTPS连接传输数据,这即表示100%的出站流量被进行了加密。但事实的真相却并非如此,HTTPS仅仅是对从计算机发出通过浏览器进入Google服务的数据进行了加密。 可能你还有印象,就在几个月之前,Google并没有对服务器和数据中心之间的链接进行加密。这一漏洞据说被美国国家安全局所利用以进行监控,现在终于被修复了。这一漏洞激起用户的愤怒,而Google所做的回应则是对这些链接进行加密。 .@Google的最新工具将能对所有离开# Chrome浏览器的数据进行加密。#加密 现在,如果你使用Gmail发送邮件,则邮件从电脑中发出通过浏览器传送至Google服务器的整个过程中,始终处于加密状态。一旦你的数据远离Google的控制范围,则是否加密则完全取决于拥有你数据的供应商。如果你的邮件是从一个Gmail邮箱发送至另一个Gmail邮箱,则邮件将始终处于加密状态,而这些数据也将在传送过程中显示加密。但不幸的是,有些公司并不是像Google一样如此重视隐私与安全问题。 简而言之,公司表示从Gmail发出的邮件的69%被加密,而传入Gmail的邮件被加密的仅为48%。在美洲国家这一比例尤其高,1万封邮件中仅有不到1封能够被AOL解码,这是非常了不起的数据。另一方面,AT&T则能够对半数的此类邮件进行解密。而Comcast则完全没有对来自Google的邮件进行加密。另一边,Facebook和亚马逊几乎对所有他们发送至Gmail的邮件进行了加密,而邮件营销服务商Constant Contact则截然相反,对所有传送至Gmail的邮件,几乎不采取任何加密措施。 开发这一全新端对端工具的目的旨在为日常用户提供简单易操作的加密工具。使用这一工具后,用户可确保其数据在邮件传送过程中始终处于加密状态。当然与此相类似的工具大量存在于目前市场中。然而,其中的大部分都过于复杂且难以使用。 “尽管像PGP和GnuPG这样的端对端加密工具早已推出市场,但却需具备大量的技术专知与实践操作方能灵活使用,”Google安全与隐私部产品经理Stephan Somogyi这样写道。”为了让这些工具使用起来更简便,我们即将发布针对全新Chrome插件的代码(使用OpenPGP),作为一项公开的标准能够支持目前众多的加密工具。” 简单地说,加密数据工具能够显示已加密数据在Google的Gmail服务器的流入、流出量,此外还包括了一些信息,比如哪些供应商在Gmail邮件通过它们的服务器时对数据进行加密。 “使用安全传输层协议进行加密,能够防止不法分子在邮件传送过程中对你讯息的窥视。” “使用安全传输层协议进行加密,能够防止不法分子在邮件传输过程中对你讯息的窥视。”Google解释道。”TLS协议无论是对进站还是出站邮件流量,都能够进行加密并安全送达。同时还有助于防止邮件在两个邮件服务器之间传送时被窃取—始终保持邮件在两家邮件供应商之间传送时的私密性。” 然而,他们又做了进一步的解释,只有在发件人和收件人所使用邮件供应商同时支持TLS的情况下,你的通讯信息才会被加密,但问题是并不是每一家供应商都能支持TLS。 “TLS目前成为了安全邮件的标准。尽管这并不是一个十全十美的解决方案,但如果每个人都使用TLS的话,那窥探别人邮件的难度和成本将大大加大。” 在理想的世界中,每一家邮件服务供应商在从邮件发出到邮件接收的整个过程中对用户讯息进行加密—或者用一句我们的行话来说,那就是”端对端”。

TweetDeck发现严重漏洞,应立即撤销访问

推特暂停了其TweetDeck应用的服务,起因是出现了一个严重的跨站脚本漏洞,并被攻击者大规模地加以利用。 据Mike Mimoso在Threatpost博客称,跨站脚本漏洞使得攻击者能够将代码注入网页或基于网页的服务,并由用户浏览器自动执行。网络黑客一旦成功执行跨站脚本攻击,即可远程注入代码,导致数据丢失或服务中断。 TweetDeck出现严重漏洞,用户应尽快撤销访问。 特别在TweetDeck的案例中,攻击者能够借用用户账户,发推、删除推文或破坏账户。漏洞利用代码可以在整个早上不停地发推,并成百上千次地自动转推。 “这一漏洞尤其能够在浏览器中将代码作为消息发推,只要你查看了这一消息,各种各样的跨站脚本攻击将自动运行,” Rapid7全球安全战略家Trey Ford告诉Threatpost博客。”我们目前看到的攻击是一种’蠕虫’病毒,能够通过创建恶意消息进行自我复制。它似乎主要影响用户Google Chrome浏览器的Tweetdeck插件。” 如果你使用TweetDeck,我们建议你尽快登录推特账户并撤销访问TweetDeck。 观看视频将告诉你如何进行正确的操作,只是你需要假装这一iOS 5应用是TweetDeck,因为在视频制作过程中使用了虚拟的账户,事实上并没有安装TweetDeck。

一周要闻:OpenSSL再曝漏洞

本周值得关注的新闻有:僵尸网络被联合行动捣毁;已遭破坏的OpenSSL加密库再曝漏洞;Google海量数据存储加密方面的新闻让人颇受鼓舞,但仍问题重重;昨天是爱德华•斯诺登事件曝光一周年。 一周#安全和#隐私要闻,作者@TheBrianDonohue。 Gameover僵尸网络 美国和欧洲执法机构联手捣毁了Gameover僵尸网络。僵尸网络是一种被恶意软件感染的计算机所构成的网络,计算机被感染后即成为帮凶,加入传播大军,在用户毫不知情的情况被利用于违法目的。Gameover用于散布Zeus宙斯木马,一旦植入此病毒后,即可实施网络欺诈计划,其中涉及窃取被感染用户计算机的财务凭证,将用户账户中的资金转入黑客所控制的账户。此外,Gameover最近还被用于散布臭名昭著的Cryptolocker勒索软件。 捣毁僵尸网络要求执法机构(有时会与私人公司联手行动)夺取对分发恶意软件的服务器的控制权,此服务器被称为命令控制服务器(C&C)。接管僵尸网络的行为就其本质来说,有时也被称为”sinkholing”技术。许多散布很广的僵尸网络都是通过这种方式捣毁的。针对这种情况,犯罪分子逐渐迁移到更有弹性的对等僵尸网络基础架构。此举实质上意味着命令控制服务器会在僵尸网络本身未知数量的机器上共享。 简言之,捣毁对等僵尸网络需要执法机构监视并了解其通信基础架构。一旦掌握了僵尸网络的通信方式,即可以着手复制其结构并控制僵尸网络。夺取了僵尸网络的控制权后,即能使僵尸网络停止运行。 要了解Gameover被捣毁所造成影响的精彩解读,请阅读卡巴斯基实验室全球研究与分析团队成员David Emm的讲解。 OpenSSL 新发现的OpenSSL漏洞非常严重,但严重程度和波及的系统范围略逊于Heartbleed。 Heartleed漏洞带来的伤痛还记忆犹新,昨天新闻中又曝出OpenSSL存在另一个严重漏洞。OpenSSL是互联网上大量用户使用的加密实施服务,这次新发现的OpenSSL漏洞非常严重,但严重程度和波及的系统范围略逊于Heartbleed。加密是指一种数学算法,用于保护用户在网上和计算机上所执行的操作、交谈和存储内容的安全。如果您觉得这种解释过于简单,请阅读哈希算法说明,更好地了解其工作原理。不管怎样,新漏洞是可通过远程方式加以利用,这意味着黑客在舒适的家里(或者连到互联网的任何位置)就能够利用此漏洞向不知情的用户发起攻击。黑客成功利用此漏洞入侵后,可拦截被入侵客户端与服务器之间的流量并进行解密。 利用此漏洞执行的攻击并不都这么简单(事实上,黑客很可能并不是在自己舒适的家里发起攻击的,但我想说明的是”可通过远程方式攻击”这个术语)。攻击者需要相对其目标处于”中间人”位置。顾名思义,中间人攻击是指:攻击者自身或利用工具插入用户和重要资源(例如,银行网站或电子邮件账户)之间。最简单的做法是监视流出不安全Wi-Fi网络的流量,这类Wi-Fi网络有许多是我们所有人几乎每天都会用到的。另外还有数十种其他方法可用来执行中间人攻击,您可以通过上面的链接了解相关信息。 发现此漏洞代码段的研究人员表示,此漏洞似乎从1998年开始就一直存在,几乎从未更改过。 端到端 昨天,Google发布了Gmail流量中在传输中被加密(例如,离开Google系统后)的流量所占比例。部分数据相当不错。搜索巨头Google发现,从Gmail发出的电子邮件中,大约69%经过加密,而Gmail收到的邮件中经过加密的占48%。这一比例相对于前几年已经有了大幅上升。 Google会对其服务器上的所有数据进行加密,所以上述研究结果反映的是其他服务对Gmail通信离开Google控制范围后的加密情况。在这里我有意轻描谈写,因为我们计划专门写一系列文章,具体探讨全球哪些服务在改进加密传输中的数据,哪些服务对此无动于衷。请继续关注我们接下来几周的博客。 Google还宣布开发出了一种工具,将用于加密所有流出Chrome浏览器的数据,这应该能帮助解决上面谈到的部分问题。我们对此工具的工作方式充满好奇。同样,请继续关注我们的博客,未来我们将就此发布相关文章。 “重置网络”行动 我们曾在每月安全新闻播客中提到过,6月5日是重置网络行动日。此项行动设定为斯诺登首次曝光美国国安局大规模监控项目周年纪念日并不是巧合,此行动的目的就是为了通过向日常网络用户提供高强度的安全和隐私工具,抵制政府监控行为。在此用户可以找到一些使用方便、几乎适用于任何操作系统的工具。请尽情享用这些工具,使用心得可以通过下面的评论部分与我们分享。

天网恢恢!五月热点诉讼案

五月有许多值得关注的黑客和其他犯罪分子的相关新闻,下面让我们看看在五月份有哪些犯罪分子落网,罪名分别是什么。 LulzSec头目被判七个月监禁 知名的LulzSec黑客组织卧底Sabu因获大幅减刑,上周二被判服刑期满,在纽约被当庭释放。Sabu真名为Hector Monsegur,曾带领黑客组织Lulzsec成员多次向高知名度的目标发起攻击。Sabu被捕后从一名黑客转变为FBI潜伏在黑客组织的卧底,卧底期间,黑客组织成员纷纷落网,此外他还帮助FBI阻止了进一步的攻击行动,成果颇丰,因此被大幅减刑。Monsegur是LulzSec黑客组织的知名成员,被控参与了组织多次行动,包括对PayPal和其他公司发起的攻击。2011年Monsegur被FBI抓获,此后开始与FBI合作,向FBI报告Anonymous组织其他成员的活动信息。有鉴于此,检察官要求法官对Monsegur予以宽大处理,但并未就刑期提供具体建议。Monsegur被释后,在未来的一年里要接受法庭监督,以免再次作案。 97名黑客因利用Blackshades木马犯案而被捕,木马作者将面临20年监禁 #安全性 #天网恢恢 近百名黑客一次性落网 五月最大规模的一起诉讼案无疑当属97名黑客被控利用Blackshades远程访问木马犯罪。这种恶意软件在黑客论坛上只要区区40美元就可买到,犯罪分子利用此软件能够远程入侵用户计算机的监视设备。FBI表示,出售的RAT(远程管理特洛伊木马)病毒被散布到100多家公司,感染用户超过50万。RAT还具有自我复制能力,能通过指向社交网络联系人的欺诈恶意链接或通过即时通讯平台传播到其他计算机。此次抓捕是全球19个国家的执法部门联手开展的行动,涉及300多项搜查。目前尚不清楚落网犯罪分子将面临的罚金和监禁时间,但Blackshades恶意软件开发人员(据推测是24岁的瑞典人Alex Yucel和来自美国亚利桑那州23岁的Michael Hogue)最高将获刑20年监禁。 出售伪造卡被判20年 David Ray Camez现年22岁,网名为”Bad Man”和”doctorsex”。五月中旬,美国地方法院宣布了对他的判决。Camez于2013年底被判罪名成立,其中一个罪名是参与触犯《反勒索及受贿组织法》,另一项罪名是密谋参与触犯《反勒索及受贿组织法》。六年前,年轻的Camez加入了Carder.su组织,在长达两年的时间里,他参与了购买和出售假身份证和信用卡。2012年,他与其他38名成员一起被起诉。其中七人承认有罪,两人将在今年6月宣判,其余人员在逃。另有16名被告人分别在三个独立诉讼中被指控有罪,目前已有14人认罪。除了面临20年监禁外,Camez出狱后还将面临三年的被监督释放,并被判支付2000万美元的赔偿金。 海盗湾联合创始人落网 五月的最后一天,海盗湾(Pirate Bay)BT种子网站创始人之一兼前发言人Peter Sunde在瑞典被国际刑警抓获。针对海盗湾创始人的这项持续时间很长的刑事案件,瑞典最高法院2012年就对Sunde的判决进行了最终裁定,判决上诉不予受理,在此之后,检察官们经过两年多的时间才终于抓获Sunde。Sunde被捕后,将案件上诉至欧洲人权法院和瑞典最高法院,但同样被驳回了上诉。目前,Sunde将服刑8个月。海盗湾的另外两名活跃分子已出狱,而Sunde的另一位同伙仍逍遥法外,藏身在亚洲某地。 参与违反《反勒索及受贿组织法》将面临20年监禁。 有史以来最大一起有针对性的假药打击行动 100多个国家的执法机构联合参与了”盘古行动7″(Operation Pangea 7),”盘古行动”是每年执行一次的全球范围的行动,旨在捣毁通过非法网上药店销售假药交易背后的有组织犯罪网络。此次行动在世界各地共抓获230余名犯罪分子,搜缴的潜在危险药品价值近3600万美元。行动中启动了1235起调查,删除了通过社交媒体平中发布的近20000个非法药品广告,有10000多个网站被关,查获假冒和非法药品940万件。此次国际行动由国际刑警负责协调,包括世界海关组织、安全互联网药店中心在内的许多机构以及微软、PayPal、万事达和Visa等多家公司也参与了此次行动。 垃圾短信发送者被处以高额罚金 向用户发送了超过2900万条短信,承诺提供”免费”礼品卡。骗局其实十分简单:用户点击短信中的链接后,会显示一张表单,要求用户填写信息以免费获赠沃尔玛的100美元礼品卡,但用户填写表单后,会要求访问多个链接。显然,用户填写的信息被用于发送垃圾短信。这一骗局给某些零售商造成了一定困扰。在提交给美国联邦贸易委员会(FTC)诉讼案件中,沃尔玛门店的隐私诉讼总监表示零售商至少收到了14000项投诉。沃尔玛为了调查垃圾短信和安抚受骗客户所用的时间和精力,给公司造成的直接经济损失超过10万美元。

Gameover Zeus网络僵尸病毒被捣毁 - 现在用户该怎样做?

被FBI称之为”史上最复杂、最具破坏性的网络僵尸病毒”被曝光并捣毁后,高级安全研究人员David Emm向我们解释了到底GameOver Zeus病毒对用户意味着什么,用户该如何进行自我保护。 到底什么是GameOver Zeus?工作原理是什么? 本周实施GameOver Zeus网络僵尸病毒攻击的网络犯罪分子采用的是两种恶意程序:ZeuS和Cryptolocker。ZeuS(宙斯)是一种木马病毒,能在用户计算机中搜索个人信息,例如密码和财务数据。只要点击垃圾邮件中的附件,此类病毒即会下载到用户的Windows电脑。被感染计算机接着会发送垃圾电子邮件,以进一步引诱其他用户上当,这种病毒在互联网上飞速传播。 这些类型的威胁并不罕见 - 在我们的病毒实验室中,每天都会看到315,000种独特的病毒样本,包括网银木马、勒索软件和其他多种类型的恶意软件。对于像ZeuS这样的常见网银木马,实际上存在成百上千种变体。会有这么多变体出现的其中一个原因是网络犯罪分子可以利用各种变体来尝试控制入侵的计算机,想控制多长时间就控制多长时间。 为什么用户有”两周”时间可采取预防措施防止此类恶毒软件入侵? 之所以会有两周的缓冲时间,是因为警方设法接管了控制僵尸病毒的命令控制(C&C)服务器,并暂时禁用了此服务器。所以,警方才有机会向用户发出警告,并给用户留出一段防御此类恶意软件入侵的时间;在此时间后,网络犯罪分子会开始使用新的命令控制服务器 - 预计在英国这一缓冲时间大约为两周。 用户必须确保定期备份数据。这对于防止勒索软件入侵尤为重要。如果进行了备份,即便只是手动将文件拖至U盘,也能避免在不幸感染CryptoLocke病毒后被迫支付勒索金。 现在该怎么做? 用户不仅应该保护自己的计算机,还应该确保定期备份数据。这对于防止勒索软件入侵尤为重要。如果进行了备份,即便只是手动将文件拖至U盘,也能避免在不幸感染CryptoLocke病毒后被迫支付勒索金。 为了保护您的财务信息安全(避免被Zeus木马和其他旨在窃取资金的恶意软件盗用),请务必遵循以下简单的规则: 请勿点击不明发件人发送的链接(通过电子邮件或社交媒体网络); 请勿在设备上下载、打开和保存未知文件; 请勿使用开放非安全(公共)Wi-Fi网络进行任何交易。请使用OpenVPN流量加密; 在网页上输入任何凭证或保密信息之前,务必仔细检查网页 - 钓鱼网站会故意设计得与真正网站极为类似; 只使用带”https”前缀的网站;这类网站比前缀为”http”的网站更安全; 确保安装了最新版本的反病毒防御软件; 如果目前没有安装任何安全软件,可以从在线商店进行下载; 使用手机/平板设备进行任何交易时,也务必记得使用同样的防御软件。 @ Emm_David解释了GameOver

警惕虚假微信应用

当前,网络金融服务发展速度迅猛。越来越多的在线金融服务可通过移动设备使用。这不仅有助于方便客户,还能促进经济的发展。手机应用不断探索这一全新的领域,包括在其他流行产品功能(例如:短信服务)中的密码保护支付服务。但这一全新的领域也给网络犯罪分子提供了便利:窃取敏感信息和他人现金。 微信作为一款移动通讯软件,在中国有着极高的知名度。这款软件通常用于和朋友和同事聊天,但同时也允许用户进行在线支付。微信使用方便,但这意味着你必须将你的银行信息与通讯账户捆绑。微信巨大的市场份额使其成为网络犯罪分子的首选目标,他们开发出银行木马(Trojan-Banker)来对微信进行模仿。 最近卡巴斯基实验室拦截到一种全新的银行木马,与以上所述的病毒极为相似。它被检测为Trojan-Banker.AndroidOS.Basti.a。该安卓程序伪装成一款普通的微信应用。 安装后,它要求一些敏感的权限,例如android.permission.RECEIVE_SMS(安卓允许接收短讯)等。 木马病毒的作者显然不希望分析人员对代码进行逆向工程,因此使用了’bangcle secapk’(棒棒加固)进行加密。在对这个样本进行解密后,我们看到了它的本来面目。它拥有多种类型的恶意软件行为。此外,其中还含有一些程序包使其图形用户界面看上去更专业,这对网络钓鱼来说是必备要素。 当运行这一应用时,会出现一个特殊的图形用户界面,让用户输入一些银行相关信息,包括:银行卡号、PIN码以及手机号码等。 一旦收集完,它便会将这些敏感信息发送至木马作者的邮箱。该银行木马还注册了BootReceiver。它会监听新收到的短信和软件卸载广播。新收到的短信也同样会被发送到木马作者的邮箱内。在代码中,木马作者的邮箱地址和密码未进行加密,因此我们利用它们进入木马作者邮箱,并发现了大量的受害人信息。尽管这些邮件在发出时被126邮箱服务器阻止,但用户银行信息已然被窃取,这些在退回邮件的附件中可以找到。 随着在线金融服务越来越流行,我们需要对自己的隐私加倍小心。手机用户已受到威胁,我们必须采取必要的措施来保护自身隐私安全。我们为您提供的几点建议如下: •安装手机安全软件。 •确保将软件的数据库升级到最新版本。 •请勿浏览任何可疑网站或下载陌生应用程序。 •在输入任何敏感信息之前,确保正在使用的是安全的软件,并明确自己是否有必要输入这些信息。 当然,安装卡巴斯基安全软件安卓版 ,让您在使用网上支付服务时更放心。

一周要闻:苹果勒索软件

上周一是美国阵亡将士纪念日,所以上周美国实际工作只有4天。按照安全新闻界惯例,一般时间不长的一周往往都平谈无事。但尽管如此,我们还是有那么几则新闻:具体来说,出现了以苹果设备为目标的勒索软件以及新的混合恶意软件;涉及Spotify安卓版应用的一些小安全事件。 更多勒索软件现身 昨天我们刚报道过,一款新的勒索软件以使用OS X(Mac)和iOS(移动设备)操作系统的苹果用户为目标,正四处传播。虽然目前还没有任何真正的确认,但人们一边倒地认为黑客窃取了用户的iCloud帐户,然后以某种方法通过此帐户锁定用户的设备。 若您想了解完整新闻,请阅读Threatpost或卡巴斯基中文博客上的相关内容。简言之,这种针对苹果设备的威胁阻止澳大利亚国内及周边的用户访问自己的应用,要求用户支付50到100美元方可解锁。未来几天或几周这种勒索软件会传播到其他大陆应该是意料之中的事。 这种针对#苹果设备的威胁阻止澳大利亚国内及周边的用户访问自己的应用。 最近我们已经就此写过一篇文章,目前没有更进一步的新闻,下面我将转述并详细说明卡巴斯基实验室专家Christian Funk给出的一些建议: 1.创建Apple ID时,确保Apple ID用户名与电子邮件地址不同。这样,黑客更难猜到您的用户名,黑客需要用户名才能猜测相应密码,并最终窃取用户帐户。 2.确保设置用于恢复帐户的密码问题和回答。此外,还应设置双重认证(请参考下面的视频)。 3.注意网络钓鱼攻击。在通过链接访问的网站中,千万不要在相关字段中输入密码。输入密码前,务必直接浏览到相应网站。此外,确保使用的是高强度密码。请记住,如果用于恢复iCloud的电子邮件帐户被盗,说明iCloud帐户也被盗。 4.千万不要付费来获取设备解锁密钥。尽可能使用一切可用的服务。首先使用iForgot重置密码。如果这招没用,请联系Apple支持。如果情况变得更糟,可能必须擦除或恢复iPhone。通过上面的Apple支持链接可以了解具体如何操作。 混合恶意软件 犯罪软件是恶意软件的一个分类。此类软件开发后会在地下黑市中销售,主要是假冒正版软件业务。假设你是个犯罪分子,希望找到一款能窃取网银证书的恶意软件,则可以前往黑客论坛,在众多工具包中选择购买一种工具包的许可证。犯罪软件工具包的散播面超乎想像,部分原因是这类工具包对犯罪分子的技术背景要求很低,或者完全不需要具备技术背景,就能发起有针对性的恶意软件攻击。 其中最臭名昭著的两款犯罪软件工具包是Zeus和Carberp。前者的可定制性强,但主要用于窃取各种类型的登录证书;后者的用途与前者基本相同,但具有各种不同的功能。我曾就这两种工具包用作网银木马写过大量文章,可供你们进一步了解相关内容。 研究人员近期发现了一种将Zeus和Carberp长处相结合的混合木马。 研究人员近期发现了一种混合型木马病毒,它融合了Zeus和Carberp这两种臭名昭著的恶意软件的长处。如今。恶意软件编写者开发软件的速度快赶上犬类繁殖了。软件中会融合彼此的长处,开发出感染性极强的群族,所以这类软件并不罕见。之所以对这则新闻感兴趣是出于下面两个原因:一是这种木马融合了两种传播面最大的恶意软件;二是Carberb和Zeus一度是专门的贿赂犯罪软件工具包,而且是特别昂贵的那种。这两种恶意软件的源代码均已外泄,基本变成了公共域。所以这种新款恶意软件Zberp是两种开源恶意软件代码库的混合。 Spotify数据遭泄 最后一条新闻是关于一起不大的事件,但在安全新闻的低产周,我们可以谈谈尚不明确的新闻。流行音乐流媒体服务公司Spotify很快将要求其安卓版应用的用户更新到最新版本。原因是有人擅自访问了公司的系统。部分用户将要求更改其密码。 除此之外,该公司表示,只发现了一位客户的数据被访问过。他们称已联系过此人,并没有任何财务数据或密码相关信息被盗。 如果是在安卓设备上使用的Spotify应用,一定要前往Google Play Store下载此应用的最新版本。此外,出于谨慎考虑,还可能需要立即更改密码。 需提防的事件 实际上我有意忽略了本周最重要的新闻,因为我们目前掌握的信息还不太确切。据称,开源加密服务TrueCrypt昨天在网站上发布了令人不安的声明,它警告用户说此服务已不安全,将终止项目开发工作。 除此之外,该服务对于事态进展未置一词。这在网上引起了轩然大波,各种猜测和阴谋论说法纷至沓来。截止目前为止,TrueCrypt事件仍是个迷,让我们拭目以待事态发展。

香港城市大学《凝静之景: 南极探索之旅》

由香港城市大学主办的南极探索之旅展览于2014年5月24日至6月14日在香港邵逸夫创意媒体中心举行。本次展览共展出了13个新媒体艺术作品,采用了包括流动游戏应用程式、立体全感环境,动态雕塑等技术协助参观者了解气候转变与可持续的解决方案。学生们展示了包括群落、冰川、冰山、风场、植物生长,动物行为等各种南极研究课题的研究成果。卡巴斯基实验室非常荣幸地赞助了此次南极探索活动。来自卡巴斯基实验室亚太区市场总监钟玉兰女士出席了展览會开幕式并接受了由香港城市大学校长郭位先生颁发的大会纪念品。 开幕式上,钟玉兰女士与学生交流时说道:”今天能够与大家一起见证这段奇妙且充满挑战的南极之旅,并分享你们近一年的努力成果,我们感到无比地荣幸并为你们感到骄傲。希望学生们在以后的学习和工作中继续保持这份勇于探索的精神,不断进步,迎接挑战。卡巴斯基也会一如既往地支持教育事业,支持创新。” 2013年12月13日,香港城市大学的多个学系包括艺术、工商管理、工程、自然科学,社会科学的23名学生组成跨学科小组,远赴火地岛及南极极寒之地,展开实地调研活动。探索团队先乘飞机飞往布宜诺斯艾利斯,然后转往位于阿根廷的火地岛首府乌斯怀亚。在旅途中,同学深入安第斯山脉,扒独木舟穿越密林中的河川,探索并研究当地独特的生态系统。 同学们其后登上Akademik Loffe号,乘坐这艘服役已25年的知名科研考察船,前往南极。为研究水下传音而设计的Loffe于1989年建成,船上的全体船员皆来自俄罗斯,可说是俄罗斯舰队的骄傲。 探险队员从周遭环境收集大量数据,在之后的展览中转化成咨询图像以及雕塑装置。 在船上,南极探索队与香港唯一的沟通方式,是每日一次的集体发送纯文字电邮。往往一个电邮就凝缩了整个队伍的情感。 欲浏览更多有关此次《凝静之景:南极探索之旅》展览的介绍和图片,可点击此处。

勒索恶意软件瞄准苹果用户

新出现的勒索软件开始瞄准苹果用户,目前受害者主要是澳大利亚苹果用户。据称,被感染用户会在主屏幕上收到一条警告消息,要求用户支付50和100美元来解锁受影响设备。 据报道,最早发现这类感染的用户称,是自己的iOS和OSX设备发出”手机丢失”的提示音,这是通过”查找我的iPhone”功能发出的报警声。查看手机屏幕时,用户看到屏幕上显示一条消息:”手机被Oleg Pliss所黑。若要解锁,请通过Moneypack/Ukash/PaySafeCard向helplock@gmx.com帐户转帐100美元/欧元,已发送代码2618911226。 黑客是怎样设法锁定受影响设备的尚不清楚,但大家一致认为黑客是窃取了对用户iCloud帐户的访问权,进而劫持了手机本身。到底谁是Oleg Pliss,是不是真实存在这个人尚不可知。 勒索软件属于一类恶意软件,它能锁定被感染设备,要求用户支付费用后方可解锁。在某些情况下,恶意软件只是让计算机看上去不能用,或者是在用户与其应用之间设置了某类锁定程序。而另一些情况则与CryptoLocker类似,这类勒索软件会加密被感染设备上的重要文件,并要求付费获取专用密钥,才能对这些文件解锁。 根据勒索软件的要求付费通常被视为是不明智的举动,因为用户实际上根本不知道是否付费后获得的密钥能够用于解密。这也是我们通常建议定期创建数据备份的其中一个原因。如果最近在外部硬盘或某些云服务上备份过所有数据,则只需回滚计算机或者重新安装操作系统就能解决问题。 新出现的#勒索#恶意软件瞄准#苹果用户 据《悉尼先驱晨报》报道,昆士兰、新南威尔士、西澳大利亚、南澳大利亚、维多利亚地区的iPhone用户成为此次事件的受害者,另有几则报道称,新西兰用户也受到了类似攻击。到目前为止,美国和欧洲的用户似乎暂未受影响,但如果此问题扩散到其他大洲,我们也绝不会感到意外。 Threatpost.com网站的Chris Brook表示,最近针对Adobe、eBay及其他目标的攻击导致加密的用户密码遭到泄露。如果这些密码以某种方式得到解密,并且用户在多个服务上使用了同样的密码,则很容易在强力攻击中被用于访问iCloud等在线帐户。显然,受影响的用户是将相同密码用于了多个帐户。这些攻击之间是否相关尚不清楚,但之前,因密码泄露而导致的数据外泄(包括已知和未知的)都造成了其他地方的在线帐户泄露。 如果攻击依赖于iCloud帐户访问权,则iCloud服务的双重认证功能可提供相当可靠的防御。事实上,现在可能是时候为iCloud帐户启用双重认证了。你可以点击这里看一小段视频屏,其中清楚显示了该如何开始设置流程(我们的视频只包含实际启用双重认证之前的内容,但其余部分我想你们能搞定)。

一周要闻:eBay遭黑客入侵,Internet Explorer再爆漏洞

本周的安全新闻并不太多。但是,最近爆出最大的零售与拍卖网站eBay被黑客入侵,危及其存储用户密码的服务器,这成为本周最大的新闻。重要性方面紧随其后的是非常流行的微软Internet Explorer浏览器发现另一个零日漏洞。但除了这些坏消息外,还有好消息,三星超越指纹识别,率先探索生物特征认证新方法。此外,如以往一样,我们还将顺便谈谈一些补丁(只是顺便)。 eBay遭黑客入侵 eBay昨天通过公司官网(eBay Inc.)宣布公司的数据库遭黑客入侵,大量用户数据可能被窃,包括客户姓名、加密密码、电子邮件地址、住址、联系地址、电话号码和出生日期。加密密码就存储在被入侵的服务器内,所以未来几天或几周,eBay将强制用户更改密码。更改eBay密码时,请确保直接导航至eBay网站,而不要通过电子邮件或社交媒体链接进行更改。 不建议用户通过电子邮件或社交媒体链接访问网站的原因在于,服务器上存储的敏感信息足够被黑客用来执行网络钓鱼攻击。黑客常常利用这类信息来设计网络钓鱼电子邮件,邮件中声称是来自eBay(或其他合法网络服务)。这些电子邮件通常会向用户提供链接,以转至貌似合法的恶意网站,这些网站的目的是欺骗用户提供登录凭证。 如果您将eBay帐户的密码用于其他帐户,则需按惯常做法,更改使用了该密码的所有网上帐户的密码。 但有意思的是,本周早些时候,零售商们受Target公司数据泄露事件的刺激,刚刚决定建立威胁数据共享伙伴关系,随后就发生了eBay数据泄露。换句话说,零售商们打算就所面临的攻击彼此交流,以便能共同抗衡黑客,更好地保护自身。本周晚些时候,发布了一项研究结果,其中称公司在防止数据泄露方面已取得相当成效。eBay数据泄露的范围取决于被盗的部分eBay员工的登陆证书,但最终结果是与此研究中的观点相符还是相矛盾,让我们拭目以待。 IE零日漏洞 关于IE零日漏洞,好消息是此漏洞只影响IE浏览器的旧版本IE 8。但坏消息是微软未就何时发布相应更新来解决此漏洞给出具体时间。微软承认次漏洞相当严重,正在努力开发相应补丁。 黑客通过Internet Explorer 8零日漏洞,能利用一种名叫”路过式下载”的攻击方式,对有漏洞的计算机运行恶意代码,或者通过在电子邮件中植入恶意附件来实现攻击。”路过式下载”本质上是一种入侵攻击行为:黑客在网站上嵌入恶意软件,当用户碰巧使用有漏洞的浏览器浏览该网站时,用户的计算机就会被该恶意软件感染。 除了升级到较新的Internet Explorer V10外,正常计算机的用户还能做些什么呢?用户能做的并不多,实际上要注意以下三点:当心浏览的网站;当心电子邮件附件;确保尽快安装微软下一次发布的安全补丁(如果是自动获取更新,那么对最后一点无需担心)。事实上,所有用户都应该遵循这些建议。 虹膜识别 每周的新闻并不会总是阴云笼罩。三星本周宣布计划未来在更多产品中集成生物识别传感器,例如虹膜扫描仪。三星称这些功能甚至会部署在较低端产品中。此举将提升三星设备的安全性,而且据报告称,到时候总是让人提心吊胆的三星安全系统Knox中最终也将部署生物识别技术。 看看相对于指纹认证,虹膜扫描在应对潜在攻击的灵活适应能力方面究竟是更强还是不如,这实在是一件很有趣的事。 突发新闻 在写本文时,有报道称安卓Outlook应用含有加密问题,会泄露用户的电子邮件及附件。在此可阅读更多内容,我们在每月一次的新闻播客中必定会讨论此问题。 补丁通知 照常,我们将列出用户应该留意的补丁。本周应注意的补丁来自Google,Google发布了23个Chrome浏览器安全漏洞补丁,其中包括三个高危漏洞。所以,如果使用的是Chrome浏览器,不要等着浏览器自动安装更新,而应该尽快下载这些更新。

eBay数据库外泄,更改密码势在必行

在线零售和拍卖网站巨头eBAY于今晨宣布网络攻击者盗取了其包含加密用户密码和其它敏感信息的一个数据库。公司计划于今天晚些时候通过邮件方式告知受影响用户并在其网站上发布通告。在接下来的时间里,eBAY用户将因此而被迫更改密码。 公司表示不认为存在导致数据库外泄的任何未授权客户账户活动。此外,eBay Inc.声称用户财务数据及PayPal信息并没有处于危险,原因在于这些数据都已加密且单独存储在未受影响的服务器内。 “网络攻击者只是盗取了一小部分员工登陆证书,使其能够非法访问eBay的企业网络,”公司在声明中说道。”通过与法律机关和行业领先的安全专家携手努力,公司正在对相关事件展开积极调查并应用最出色的取证工具进行取证,以保护客户账户安全。” 有消息称,存储在被盗数据库内的信息包含了eBAY客户姓名、加密密码、邮箱地址、物理地址、电话号码以及出生日期等数据。eBay表示在两周之前首次发现被盗员工证书,随后不久即声称已确定受影响的数据库,并正在与受影响客户取得联系。 由于数据外泄导致用户加密证书被盗,eBay用户将被迫更改密码。 eBay账户持有人应在今天晚些时候收到一份来自公司的email通知,eBay也将于同一时间在其官网发布相关公告。 用户将最终将被迫更改eBay账户密码,且如果他们在其他网站也使用了相同的密码,则需一并更改。来自网络安全公司Rapid7的全球安全战略家Trey Ford在其一封email中说道,这些密码将最终被破解,因此用户更改eBay账户密码及任何共享密码显得尤为重要。 这一事件恰恰解释了我们不应共享密码的原因所在。一旦此类事件发生,攻击者即创建多个自动工具,使用被盗用户名和密码登陆一些流行的在线网站,试图盗取这些网站的账户。 “用户应提防声称是eBay或任何其他公司为该事件而主动联系的人,”Ford继续说道。”我预测会出现大量的钓鱼网站,因此请勿点击email内的链接或电话回答任何相关的问题。 这一点尤为重要:确保通过浏览器直接登陆eBay网站更改密码。切记不可通过邮件内的链接来更改密码。随着这一事件新闻逐渐传播开来,攻击者很有可能开始炮制网络钓鱼邮件-声称该封邮件来自于eBay,甚至PayPal也有可能。此类邮件内通常向用户提供恶意网站的链接,但看起来与真正的官网相差无几。这些链接要求用户进行密码重置,但事实上他们常常在用户不知情的情况下轻而易举地获得用户登陆信息。

一周要闻:POS终端安全堪忧

新的研究表明,销售点终端机的安全性不佳,易受日益复杂威胁的攻击;本月第二个星期二是补丁日,所有常用软件供应商都将在这天提供安全补丁;美国热门的短网址服务商Bitly承认受到不明攻击,用户数据外泄。 POS机 销售端(简称POS机)只是收银机的另一种叫法。当然,我们在此没打算讨论旧式的那种”叮叮”作响的收银机。我们要谈的是能够存储并传输付款信息的联网电子销售终端。目前,几乎所有零售场所或餐厅都安装有POS系统,支持客户直接刷借记卡或信用卡。但遗憾的是,最新的报告发现,众多用户常用于付费的POS系统正受到大量日趋复杂的攻击。更糟糕的是,其中多数POS系统在安全防御方面差强人意。 实际上出人意料的还不止于此,想想吧,在一台有漏洞的POS机上处理过一笔交易后,交易中涉及的任何信用卡或借记卡的全部相关付款信息都可能会泄露。 Bitly本周受到攻击导致数据外泄,该公司敦促用户更改密码。POS机系统安全堪忧。在周二补丁日,微软发布了多个补丁。 最近,网络监测公司Arbor Networks发布的一份报告中,列出了至少五个专用于攻击POS系统不同恶意软件。此外,Verizon发布的《数据泄露调查报告》指出,2013年发生的不同POS机入侵事件达198起。另外还有大家知道的,近期Target、美国精品百货店内曼•马库斯(Neiman Marcus)、美国最大的工艺品连锁店Michael’s及其他零售商频频受到的攻击全部属于POS攻击,都导致了大量消费者数据外泄。 对此,你能做些什么呢?你可能会毁了所有信用卡和借记卡,在这次波及整个”互联网”的风波过去之前只用现金付费。但这是非常极端的做法。您应该采取的行动是关注相关新闻,一旦知道光顾过的公司发生数据外泄事件,即刻采取相应行动。您需要检查信用卡或借记卡余额,确保没有可疑交易,也可以联系银行取消所有可能资料外泄的卡,并换用新卡。 Bitly被攻击 美国受欢迎的短网址服务商Bitly上周晚些时候受到攻击,导致数据外泄。如果你持有或之前有过Bitly帐户,应该考虑帐户密码很可能外泄。该公司认为用户的帐户并没有危险,但尽管如此,公司仍敦促客户更改密码。Bitly还宣布说,为了防范日后再发生此类数据泄露事件,公司将实施双重认证。 我也同样希望持有Bitly帐户的用户赶紧更改密码。如果碰巧对其他帐户也用了同一密码,则这些帐户的密码也须一并更改。这就是为什么我一直告诫说不要多个帐户使用同一密码。 最后要指出的是,Bitly支持用户通过Facebook和Twitter帐户链接到Bitly帐户。这种做法存在一定问题 - 入侵了Bitly帐户的攻击者很可能会入侵相应的社交帐户。对此Bitly非常明智地将所有相关连接设定无效。如果要重新连接帐户,用户得重新对这些连接进行认证。但麻烦的是,用户还须更改曾通过Bitly链接的所有社交帐户的密码。 另请确保微软和Adobe软件以及Chrome浏览器全部升级到最新版本。 周二补丁日 简要地说,本周就是周二补丁日,Adobe和微软都为自己用途广泛的产品发布了补丁,同时发布补丁的还有Google Chrome。微软发布了8个安全公告,其中有两个的安全等级属于”高危”,这8个补丁修复了Internet Explorer网络浏览器中的13个安全漏洞,同时还修复了其他微软软件中的多个漏洞。Adobe修复了Reader、Acrobat和Flash Player中的一些严重漏洞。Google则修复了Chrome浏览器中3个高安全等级的漏洞(Google为发现并报告这些漏洞的研究人员支付了4500美元)。 就我们讨论的这个话题,用户几乎不可能对其专业细节穷根究底,所以在此我们不妨提一下,Linux内核中有5年历史的漏洞已发布补丁,另外部分日本横河电机的工业基础设施设备也有若干补丁发布。 另请确保微软和Adobe软件以及Chrome浏览器全部升级到最新版本。此外,还应检查日本横河系统和Linux发行版,确定是否未更新。

安卓系统恶意软件问题日渐增多

安卓设备在全球市场的领军地位逐步提升,但也日益受到恶意软件问题的困扰。迄今为止,对于基于安卓设备的应用商店Google Play而言,这是特别艰难的一年,其声誉也大受损害。在2月份,网络安全公司RiskIQ报告,Google Play商店内的应用数量在2011年到2013年之间增加3倍。在随后的4月,众多用户在Google Play下载了一款假冒的安卓反病毒应用,Google随即宣布将向这些已购买该应用的1万多名用户退还3.99美元—好在该款应用只是一个”玩笑”而已,除了点击后会改变图标形状以外对设备没有任何害处。 安卓继续提升其在美国和全球智能手机和平板电脑市场的领导地位,据ComScore统计,Google平台上在美国智能手机市场占据52%的份额,而苹果则为41%,而这一差距在全球市场上更为巨大——2014年第1季度,安卓拥有全球市场44%的份额,而苹果仅为10%。此外,安卓设备占据美国平板电脑市场62%的份额,而iOS则为36%。 然而伴随着安卓市场份额的累计攀升,其针对Google公司的安全协议的攻击也逐渐增多。除在应用商店中出售的Google授权应用的安全问题外,网络安全公司Opswat上月还报告了第三方应用商店出售的近三分之一应用含恶意软件。这一数据促使Google改进安卓设备上的验证应用安全功能,即在所有安卓用户设备上本地扫描第三方应用——前提是得到用户的许可。这些恶意软件中还包括一款令人讨厌的勒索软件,用于从国际色情用户吸费。 然而伴随着安卓市场份额的累计攀升,其针对Google公司的安全协议的攻击也逐渐增多。 因此,安卓用户需要极其谨慎地下载各种应用。最好的方式就是不再下载第三方应用,且始终通过验证应用工具对所有下载应用进行本地扫描。但除此之外,安卓用户还应该在他们的设备上运行移动安全套件。目前市场上的安全软件种类繁多,用户往往难以抉择——在这里,卡巴斯基实验室非常乐意为用户推荐一款产品——但鉴于应用和所谓的反病毒系统中恶意软件的数量和严重性不断上升,如果用户没有安装任何此类的移动设备安全套件,则应关闭安卓设备。

卡巴斯基帮助《监听风暴》游戏开发人员厘清真正的黑客行为

随便找一个有点年岁的安全研究人员或黑客聊聊,就很可能会听到他这样说,我们那时候(也就是上世纪90年代)做黑客一点都不酷。黑客寂寞孤独,往往情绪沮丧,做黑客主要是为了获得精神上的满足,黑客之间惺惺相惜。但近来风气变了,黑客行为和安全文化在某个时刻有了交集。 目前,隐私性和无孔不入的监控是技术社区以外热议的话题。自己的一举一动受到监控、跟踪和记录,这并非无稽之谈,乔治•奥威尔在60多年前就曾描绘过这样的场景。普通市民要应对监控技术的广泛传播,其实并没有太多的选择,至少在现实世界中是这样。但在法国育碧公司(Ubisoft)全新推出的视频游戏Watch_Dogs(监听风暴)中,玩家扮演的艾登•皮尔斯(Aiden Pearce)能够利用无所不在的监控基础架构,随心所欲地控制虚拟世界。 游戏开发中借鉴了卡巴斯基实验室安全专家提供的内容。游戏设定在当今的芝加哥,皮尔斯是一名技术高超的电脑黑客,为了保护家人不陷入险境而反抗。他能利用城市及其中央控制系统(ctOS)作为自己的武器。ctOS全面控制芝加哥所有安保系统、交通和其他基建设施,监视全体市民的一举一动。而玩家扮演的皮尔斯则有能力入侵ctOS,调用监控摄像机,监视对手和其他市民,利用技术达成自己的目的。 在《监听风暴》游戏中玩家可利用黑客技术穿梭于未来的智能城市。卡巴斯基负责检查其中黑客行为的真实性。 好莱坞数十年来一直着迷于黑客题材的影片,最早一部以黑客为主体的影片是《战争游戏》;之后陆续有《通天神偷》、《剑鱼行动》、《黑客帝国》等无数部黑客影片。但现实中的安全研究人员和黑客们总是批评说,黑客场景缺乏真实感。坦白说,黑客入侵过程看起来确实平淡无奇,所以电影导演总是想加点料,这也是完全可以理解的。但从另一方面来说,也是展示任务能否借助黑客行为来完成。为此育碧公司的开发人员和游戏设计人员希望《监听风暴》中的黑客入侵场景尽可能贴近现实。 这也正是卡巴斯基实验室专家一显身手之处。黑客入侵内容是游戏的关键组成部分,育碧公司向卡巴斯基的研究发员发送了一份游戏剧本,要求进行真实性核查。剧本最终落在卡巴斯基首席安全研究员Vitaly Kamluk手中。他通读了整个剧本,表示非常喜欢游戏内容。游戏就此踏上了正轨,没有一般游戏中惯常出现的无法突破防火墙和黑客用枪强行破解加密密钥的荒诞场景。 “我只提了几个小小的建议,”Kamluk在今年4月《监听风暴》预玩活动举办期间,在育碧公司的旧金山办公室接受采访时表示。”他们干得很不错。既真实又好玩。” “这不是典型的好莱坞黑客故事。这是活生生的现实。”来自@Kaspersky的@vkamluk在谈到 #监听风暴时说 事实证明这绝非易事。人们往往并不希望在游戏中有过多真实场景出现,但《监听风暴》将利用漏洞与黑客入侵闭路电视的行为无缝交织在一起,搭建起游戏的基本架构。这是游戏过程中固有组成部分,皮尔斯的安全知识看上去也并不像超能力,而是难得的技能。皮尔斯的这一技能贯穿在芝加哥的各种行动中:控制红绿灯、移动摄像机来监视敌手,在棒球场把灯打碎以便逃跑。所有这些手段都是一名聪明的黑客会为自己装备的武器。 “这不是典型的好莱坞黑客故事。”Kamluk说,”这是活生生的现实。”

4月主要网络犯罪起诉案

本文将为您带来警察部门和安全专家在寻找黑客和网络罪犯方面的进展。呈上4月所发生的几起重大网络犯罪起诉案件。 俄罗斯黑客遭美国引渡 俄罗斯黑客Vladimir Drinkman涉嫌参与网络犯罪集团,他于两年前在荷兰被捕,面临着美国和俄罗斯的引渡要求。将由荷兰当地司法部决定由哪国处置,但Drinkman依旧抱有上诉权利。无论如何,Vladimir Drinkman似乎都将面临数年的牢狱之灾。Drinkman被控入侵数十家零售商、支付处理商和金融公司,窃取1.6亿多张信用卡和借记卡的信息。此案被认为是迄今为止美国境内最大的金融黑客攻击案件。调查人员表示,自2007年以来,该团伙长期从事网络犯罪活动,并导致受害公司遭受3亿多美元的损失。除Drinkman以外,另外4名犯罪成员被控合谋计算机攻击:其中3人来自俄罗斯,另一人为乌克兰人。 因使用木马获刑8年 一家莫斯科法院对两名年轻男子作出宣判,起因是这两人使用令人厌恶的Carberp木马从银行帐户中窃取钱款。该两名男子不断传播恶意软件并越权访问用户计算机和网上银行账户。在完全控制受害者的计算机后,将用户帐户上的资金转到一个虚拟帐户,随后通过普通的自动柜员机提款。经过半年时间的”不断努力”,两名男子在短短3个月时间里完成了至少90笔交易,窃取受害人钱款累计达360万美元左右直至被捕。但显然他们已无从挥霍这笔巨款了:两兄弟中,1人将面临5年监禁,另1人则将度过8年的铁窗生涯。有趣的是,据报道两兄弟中的弟弟有重大犯罪背景,甚至还在被控房地产欺诈后遭到全球通缉。此次调查是由俄罗斯一家最大的银行发起,俄罗斯网络警察在荷兰和加拿大专家的帮助下也参与其中。 网络罪犯继续从事违法勾当,执法机构成功将其绳之以法。此类案件每月频繁上演,以下是4月以来最有趣的案例。 Carder.su协调人出庭 Carder.su作为最臭名昭著的犯罪团伙之一,其成员在过去几年间遭到执法部门的严令通缉,目前已失去一名主要协调人。四月上旬,来自格鲁吉亚的Cameron Harrison(又被叫做”Kilobit”)格鲁吉亚同意认罪。据检查官称,Harrison大约于6年前加入Carder.su犯罪团伙并且扮演了关键角色:窃取信用卡卡号随即将这些信息转售给其他犯罪分子。所有这些犯罪活动在全球造成约5000万美元的损失,当局于2012年打垮了Carder.su犯罪团伙,以非法交易和制造被窃信用卡及冒牌信用卡为名起诉了该团伙的55名成员。现在,Harrison可能将面临长达20年的监禁生活。他还可能不得不支付巨额赔偿金,以补偿他对众多支付系统(例如Visa和MasterCard)客户所造成的损失。 使用ZeuS可能会造成损失 9名涉嫌敲诈勒索团伙成员因使用ZeuS恶意软件使数千台企业计算机受感染,而遭到美国内布拉斯加州林肯市的地方法院起诉。其中31岁的乌克兰人Yuriy Konovalenko和36岁的Yevhen Kulibaba被控合谋实施计算机诈骗和身份盗窃、恶性身份盗窃以及多起银行诈骗案,最近已从英国被引渡到美国。此次调查是在美国、英国、荷兰和乌克兰警察联合协助下进行的。据报道,两人都负责所谓”钱骡”的环节。这些人扮演中间人的角色,他们从受害人的银行账户窃取钱款,然后转移至他处取款。Konovalenko和Kulibaba可能将面临长达40年的监禁。其他7名成员仍然逍遥法外,但显然不会逍遥太久。 因使用KVM设备而被判入狱8年 一个犯罪团伙的9名成员被判处监禁,罪名是使用特殊KVM设备从巴克莱银行窃取210万美元。只需通过一套鼠标、键盘和显示器,即可使用该种硬件访问大量远程计算机。据检察官称,一名作为受邀计算机技术员在银行工作的诈骗分子将一个KVM切换器和一个调制解调器安装到银行的计算机系统中。其结果是,该团伙不仅能够访问在银行内使用的计算机,还能访问整个内部网络以及其中存储的所有信息。所有非法交易都是在银行附近的一家酒店进行。此后,该团伙将所有的非法所得都都花在了定制珠宝、劳力士手表等贵重物品上。但现在,他们只能在牢狱中苟且度日了:团伙的每一名成员的刑期从6个月到8年不等。

一周要闻:IE零日漏洞

OpenSSL Heartbleed bug终于不再是本周的头条新闻。我在撰写本文时已近下午3点,但到目前为止我一整天都没看到过一篇关于Heartbleed bug的文章,真让人惊奇。但别担心,不谈Heartbleed,我们还有很多其他内容要讨论: 零日漏洞 本周早些时候,卡巴斯基实验室宣布发现Adobe Flash Player中存在零日漏洞。说来也奇怪,卡巴斯基发现这种漏洞的工具正是用于发现新恶意程序样本的工具。零日漏洞被发现时,已经通过一种叫做”水坑攻击”的威胁肆虐于叙利亚地区。水坑作为一种有针对性的攻击,攻击者侵入攻击对象可能会访问的合法网站,在其中植入恶意程序,当用户访问这些网站时,就会被恶意程序感染。Adobe已经针对这种漏洞提供相应的补丁,所以请尽快安装Adobe公司发布的所有更新。 微软的Internet Explorer浏览器也同样存在零日漏洞问题。在此我不打算深究此漏洞的技术细节。但我想说的是零日漏洞被广泛利用,能针对各种目标发起攻击;显而易见,确保安装微软称之为”Out of Band”的紧急安全补丁十分重要。此类补丁是指微软在每月固定的周二补丁日以外的时间发布的补丁。如果漏洞收到out-of-band补丁,这通常表明这是一个严重漏洞。 微软Internet Explorer浏览器和Adobe Flash Player零日漏洞取代OpenSSL Heartbleed登上本周安全要闻头条,成为主要讨论话题。 本已封刀退隐,无奈重陷江湖 关于周二补丁日:还记得本月早些时候我们曾讨论过不再向Windows XP发送安全补丁吗?但我们错了(至少从技术角度来说是这样)。因为上述Internet Explorer零日漏洞主动有针对性攻击的目标主要是Windows XP系统,微软心一软,也发送了针对XP用户的Internet Explorer发送out-of-band补丁。 又见AOL! 最近,大量AOL电子邮件用户遇到了麻烦,他们发现自己的帐户被用于向自己联系人列表中的用户发送垃圾邮件。我们曾在上周的新闻回顾中讨论过这个问题。对此AOL声称,这完全属于”电子欺骗”攻击的内容。他们表示,此问题没有任何危害,只是看起来好像电子邮件是来自AOL用户电子邮件帐户。实际上,该公司在最初的声明中就表示过,电子邮件发件人只是使其看上去仿佛电子邮件是来自AOL用户电子邮件帐户。 如果我没记错,上周我们曾谈到AOL对事件的解释让人匪夷所思,因为事实上电子欺骗行为可能仍在继续,这没法解释攻击者是怎么搞到所有这些联系人列表的。可以肯定的是,本周AOL承认,已向用户发送通知,敦促用户更改密码。所以,如果您使用的是AOL帐户,那么最好更改密码。 Facebook和隐私 Facebook宣布推出一款全新的功能,名叫匿名登录。Facebook创始人马克•扎克伯格昨天在公司的F8会议上对开发人员说,”匿名登录”将允许用户使用Facebook帐户登录到第三方应用,而无需使用自己的Facebook凭证,也不必与第三方共享个人信息。 “这一功能的理念是,你不希望应用获知你的身份,但又想感受简化的登录体验,那么利用此功能可免去繁琐的表格填写工作,”扎克伯格说。”它能让你放心大胆地试用应用。” “匿名登录”目前为Beta测试版,只适用于某些应用;例如,Flipboard就是首批适用的应用之一。登录时,Facebook用户可以选择使用自己的Facebook凭证登录应用,也可以选择使用”匿名登录”来试用应用。”匿名登录”本身采用黑色屏幕,而不是Facebook惯常的蓝色,通过”匿名登录”,用户能够避免与外部应用共享已经与Facebook共享的任何数据。

一周要闻: Heartbleed依然存在,苹果修复自身加密漏洞

在本周的新闻中,我们仍将讨论OpenSSL和目前令人厌恶的Heartbleed bug;苹果在其移动iOS系统和标准的OSX系统中解决了加密问题;AOL及其客户遭受了一起严重的安全事故;爱荷华州立大学遭到黑客攻击,攻击者试图利用大学的计算资源来挖掘比特币。 “传奇”仍在继续 关于OpenSSL Heartbleed bug影响范围和严重程度方面的讨论一如既往的热烈。其中大多数讨论围绕着数字证书系统的长期前景展开,而数字证书系统则基本涵盖了互联网信任以及加密的功效和所遇到的陷阱。 不过,本周的情况有所不同,至少是与之前几周稍有不同,因为这似乎是公司首次真正开始寻找方法来避免这些bug再次出现。 美国首次出现基于安卓系统的短信木马;追踪OpenSSL Heartbleed病毒的最新消息;苹果修复iOS和OSX系统内漏洞;AOL遭受黑客攻击;以及爱荷华州立大学比特币”挖矿事件”。 一种名为核心基础设施倡议的新协作计划正在汇集资源,以筹集数百万资金,专门用来支持对于Web安全至关重要的开源项目。OpenSSL是第一个作为资金服务对象来考虑的项目,目前主要由Linux基金会、微软、Facebook、亚马逊、戴尔、谷歌以及其他一些著名的高科技公司为此协作计划提供资金。Mozilla公司也正在作出反应,利用高达1万美元的特殊漏洞赏金计划来奖励这样的研究人员:能够在新证书验证库(准备在今年夏天添加到Firefox浏览器的31版本)中发现严重安全漏洞。 苹果修复iOS和OSX系统内的SSL漏洞 在一个类似但完全不相关的说明中,苹果针对在iOS和OSX众多版本中存在的一个严重安全缺陷发布了修复补丁。该漏洞可能使攻击者能够从被认为加密的SSL连接中截取数据。换句话说,这一bug可能会使得攻击者读取消息的内容——无论是短信还是其他敏感信息。 这一bug是苹果公司于周二在其两个主要操作系统中修复的众多bug之一。虽然可能不是很严重,但这些加密漏洞会造成别的后果。因此,如果您正在使用任意一款Mac产品,则建议您前往App Store,尽快安装苹果操作系统更新。 一贯安静的AOL成为了关注焦点 这些天所发生的事情让我对AOL的email供应商市场份额产生了怀疑(相信我,我看过),但是本周确实有数量未知的AOL邮箱用户账号遭到”欺骗”。这些账号一旦被盗,攻击者们或僵尸网络就会开始向被盗用账号上的联系人发送大量垃圾邮件。AOL已证实意识到这是一起黑客事件(尽管AOL并没有称之为”黑客攻击”),但目前尚不清楚有多少用户账号受到影响,也不清楚到底发了多少垃圾邮件。令人奇怪的是,AOL声称邮箱账号被盗可能性不大,并表示这些账号受到愚弄的可能性更大。 正如AOL所提到的,欺骗攻击的方式主要是发送垃圾邮件,这些邮件看似是来自受害者邮箱,但从技术角度来看实则来自攻击者的邮箱账号,并通过攻击者的服务器发送。换句话说,AOL表示没有账号受到大规模的入侵,只不过是攻击者模拟了受害者的账号。这一辩解显然无法解释攻击者如何获得受害者的联系人列表,这意味着随着时间的推移,将有更多的账号被攻击。 美国短信木马 收费短信木马并不是什么新鲜事物。整个诈骗过程是这样的:攻击者强迫受害人将木马下载到自己的移动设备上。木马获得在受感染设备上发送短消息(文本)的能力。之后木马发送短消息到收费服务,该服务或者由攻击人控制,或者由向攻击方付款的一方来控制。之后这些消息的费用将由受感染设备的所有者来支付。 正如我所说的,此类花招已存在多年了。奇怪的是,由于未知的原因,短信木马从未真正在美国散播开来。本周早些时候这一情况发生了改变,我们在Securelist上的朋友发现一个在安卓系统上的木马正在作恶。 似乎仅仅作为首例针对美国安卓用户的收费短信木马还不满足,这款名为”FakeInst”的短信木马还将攻击目标锁定在了其他65个国家的安卓用户。事实上, FakeInst还将来自德国、法国、芬兰、香港、乌克兰、英国、瑞士、阿根廷、西班牙、波兰、加拿大、中国以及更多国家的用户锁定为攻击目标。 黑客入侵爱荷华州立大学的目的是… 比特币!? 你看的没错。美国一所知名的州立大学遭到黑客入侵,其学校计算能力被用于生产比特币。比特币作为一种数字加密货币,其过去一年中的价格起伏不定。如果你有充足的计算机能力,就可使用这一能力来解决算法问题并生成新的比特币。这个过程被称为”挖矿”,在此过程中可赚取大量资金。与所有的网络犯罪类似,所做的一切都是为了追逐金钱。恶意挖矿并不是什么新伎俩,但这一事件让让人感觉新奇的是犯罪分子尽然将目标转到一所知名高校的计算能力上。这还不是全部,该起黑客事件似乎还造成多达3万名爱荷华州立大学学生社会保险号的泄露。