新闻

412 文章

苹果iOS 7的主要安全缺陷

在苹果移动设备中使用的新苹果操作系统中,存在一项明显的安全缺陷。利用该安全缺陷,任何人都可在无需输入设备解锁安全密码的条件下,访问移动设备用户的联系人信息及社交媒体账户信息。 根据ZDNet 网站报道,当前各大媒体已广泛报道该系统漏洞。首先发现该漏洞的是加纳利群岛军事基地中的一名士兵。该士兵已于9月17日(周四)在YouTube网站上首次公布详细介绍上述系统漏洞的视频(该视频已详细介绍绕过锁屏的步骤),并已在Forbes.com网站上发表描述绕过锁屏步骤的文章。 任何人都可通过使用手指滑动锁屏,利用该系统漏洞访问手机中的”控制中心”,然后可以打开手机闹钟。通过按住手机待机键,可使手机弹出电源选项;通过点击触屏,可使手机关机。另外,入侵者还可以通过点击”取消”键,并通过双击主页键,进入手机多任务界面。通过多任务界面,入侵者可访问手机摄像头及储存在手机中的照片,并可使用用户账户共享手机中的照片。从本质上说,可以接触到手机的任何人,都可劫持手机用户的电子邮件账户、推特账户或Flickr账户。 通过上述步骤绕过锁屏所造成的更深影响是,任何人都可毫无阻碍的访问手机用户照片,并通过手机分享功能分享手机用户照片,及访问用户的社交媒体账户及电子邮件。入侵者还可通过手机选项,利用iMessage发送手机中的照片,并进而可使入侵者完全访问手机用户的联系人,及储存在联系人选项中的所有信息。 苹果公司已公开承认存在该缺陷,并承诺通过软件更新纠正该缺陷。 苹果公司已公开承认存在该缺陷,并承诺通过软件更新纠正该缺陷。 在苹果公司发布修复该缺陷的补丁包之前,用户可通过禁用控制中心(锁屏显示项)访问功能,防止他人利用该缺陷。其步骤为,打开”设置”界面,然后进入”控制中心”,然后,通过点击取消”锁屏访问”选项,使锁屏界面不再显示”控制中心”选项。 几乎可以预见的是,计算机及移动设备平台中使用的新操作系统,在其初始发布时,总是会带有各种系统漏洞。苹果公司对于此类富有争议的事件并不陌生。去年,苹果公司初始发布iOS 6时,苹果公司取消了先前系统版本中装载的谷歌地图应用程序,取而代之的是苹果公司自身研发的不成熟导航工具—苹果地图。用户使用苹果地图时,经常出现找不到目的地,或指示方向错误的状况——并因此产生若干危及用户生命的事件——或出现使用GPS功能无法准确定位用户位置的状况。对于极少承认错误的苹果公司来说,该公司公开承认存在苹果地图应用程序缺陷,并最终开除该应用程序的设计者。 除存在重大安全缺陷外,iOS7 还使苹果公司陷入极为尴尬的缺陷。其原因在于,自苹果公司创始人乔布斯于2011年去世以来,人们曾对苹果公司推出的第一款经全面检修后的主打操作系统寄予厚望。

谷歌共享了有关您自身的何种信息?

众所周知,谷歌收集并保留有关每位用户的数据已不再是秘密。此类用户数据包括,但不限于搜索短语历史记录、用户已点击的链接、Gmail通讯信息等。谷歌公司律师在其近期提交的一份文件中确认,谷歌公司曾不止一次”在日常业务进程中”保留及处理此类用户数据。很明显,谷歌的日常业务包括垃圾邮件过滤、为用户选择相关的广告及为用户单独调整搜索结果等。   但是,对于绝大多数用户来说可能尚不了解,但在过去几年中却在一直使用的是:我们每个人都有自己的”谷歌”。如果您发现有趣的事物或出人意料的事物,或您发现自己的网站处于搜索结果的首页,请不要急于向您的朋友展示;基于相同的搜索请求,不同用户的搜索结果首页中,可能会显示完全不同的网站排列。实际上,您的搜索结果及和谷歌合作公司的上下文广告,可以准确表明您的兴趣及习惯。最令人尴尬的不仅仅是谷歌公司员工或者NSA探员有权访问谷歌服务器及您的秘密,而是任何人通过查看您的浏览器界面,即可窥视您的隐私数据。举例来说,如果您关闭”谷歌安全搜索”选项,则通过输入一些相当平常的搜索请求后,在”图片”搜索项中却可能显示大量不雅的图片。该状况可能会清晰的表明,您对此类内容感兴趣—或者您曾经点击过类似的搜索结果。在您浏览的网站中显示的广告被称为”上下文敏感性广告”,其原因在于,此类广告是基于您的Gmail通信内容及/或搜索结果而显示的广告,而并非基于网站内容所显示的广告。 因此,通过查看此类广告,他人可能会了解您希望购买一辆新雪佛兰、或对医疗感兴趣、或急于修复您的屋顶。当然,上下文广告的功能并非一直处于良好状态,因此上述结论仅为可能的假设结论,而并非已获证明的事实。从另一方面来说,任何人都可轻易获得上述数据。入侵者无需利用黑客技术,即可查看用户的此类隐私数据;入侵者需要做的仅是需要”花费五分钟的时间从您的计算机上浏览网页”。 入侵者无需利用黑客技术,即可查看用户的此类隐私数据;入侵者需要做的仅是需要”花费五分钟的时间从您的计算机上浏览网页”。 入侵者无需利用黑客技术,即可查看用户的此类隐私数据;入侵者需要做的仅是需要”花费五分钟的时间从您的计算机上浏览网页” 用户需要通过大量努力才可能避免搜索引擎的跟踪。谷歌已花费大量资金及付出大量努力,以鉴别用户及区分不同的用户。谷歌公司可通过多种方法实现这一目标。另外,在跟踪浮标中存在有众所周知的”信息记录程序(cookies),诸如LSO cookies及Flash cookies等;有时,此类cookies可以检测到单一浏览器的”指纹”——特别是,在请求下载页面进程中,可检测到页面标题。为去除所有的追踪器,您需要关闭浏览器缓存及cookies、使用专业级插件清除其他类型的本地储存文件、及使用广告拦截及无脚本等扩展程序等。当然,你还需要永不使用浏览器登陆谷歌网站。 如果您使用所有的限制方法,那么网页浏览将变得极其枯燥无味;因此,仅最为偏执的用户才会全面实施此类限制措施。其他解决方法是——您可使用具有简洁功能的搜索引擎(诸如DuckDuckgo等)。此类搜索引擎承诺避免对用户指定的搜索实施自定义及跟踪进程,即便如此,您还需处理其他每个页面上都存在的谷歌分析追踪器。另外,避免使用Gmail也是一项挑战。您可以仅使用单独的浏览器访问谷歌服务。实施谷歌服务访问最为合适的浏览器是谷歌Chrome浏览器。如果隐私问题对您来说至关重要,那么除谷歌服务之外,您应避免因其他原因而使用谷歌Chrome浏览器。  

了解三星诺克斯

作为手持设备及所有相关科技产品的生产商—三星公司,已开发出名为诺克斯的安卓安全环境。该安卓安全环境旨在解决IT团队在努力处理自带移动设备(BYOD)时代面对的安全问题细目清单中的相关问题。在自带移动设备时代中,公司员工及管理人员存在需允许在公司网络中使用个人设备等类似需求。   诺克斯被三星公司吹捧为全方位的安全解决方案,该安全环境可增强从硬件至应用程序水平至安卓框架自身的一切事物,但诺克斯最为智能的功能(或许是最具市场前景的功能),仅是可从专业应用中区分出个人应用。 诺克斯的第二项功能为容器功能,该功能可在常用操作系统条件下,提供安全的安卓环境。处于安全状态的子操作系统自身拥有独立的主页界面、启动程序、应用程序及附加组件。所有储存在容器中的数据及应用程序可完全独立于其余的操作系统程序。容器内的任何程序及进程都无法和容器外的任何进程互动或通讯,反之亦然。换句话说,通过使用该功能,您可以拥有标准且安全的安卓环境,并且容器内外的程序永无交集,除非在特定状况下,用户可授权容器内的应用程序,通过仅读取的方式,访问容器外的数据(如,在启动该功能选项的条件下,容器内的应用程序可查看容器外应用程序的接触状况)。 除容器自身所带有壁垒特征外,用户还可使用高级加密标准(AES)加密器(一种256位秘钥的加密算法)加密容器内的所有文件。诺克斯还允许IT团队具有在每个应用程序的基础上,对数字装置所处的虚拟专用网络实施配置及管理。 三星公司认为,诺克斯可通过三项新功能,大幅增强安卓平台的安全性。这三项新功能为:可自定义的安全启动功能、基于安全扩充区(TrustZone)的集成测量架构(TIMA)及安卓系统安全增强功能。三星公司声称,对于安装诺克斯的设备来说,安全启动功能是第一道防线,该功能可确保仅经验证及经授权的软件可在设备启动时运行。TIMA可监测系统内核。系统内核,可简单表示为每个操作系统的基础组成部分;系统内核可帮助促进各种设备零配件及设备中所运行软件之间完成通信及各种进程。TIMA仅监视系统内核,并可确保每个事项处于良好运行状态;在内核以某种方式遭到破坏或内核完整性遭到攻击时,切断设备电源。安卓系统安全增强功能可使得用户将特定数据及特定应用程序防止在隔离区内,以便于在遭受攻击或破坏的条件下,使系统影响达到最低,并且仅可能对已隔离的问题数据或应用程序造成影响。 除了上述事项外,诺克斯还配备有其他安全管理功能。此类安全管理功能旨在帮助IT团队在公司网络中部署个人或员工自己的安卓设备,以使得IT团队成员无需担心来自于外界的恶意软件及其他恶意程序。 从基本方面来看,在您的安卓设备上运行诺克斯,可防止您及您的雇主出现数据泄露状况。通常情况下,当有价值的信息从安全性高的网络(如:企业网络)向安全性低的网络(如:家庭网络)传输时,会发生数据泄露状况。这正是应用诺克斯的关键所在:通过运行诺克斯,可在保护您的雇主免受外界威胁的同时,还可允许您使用自己钟爱的移动设备实施工作进程。但是,诺克斯无法防止您下载恶意程序,也无法防止恶意软件感染您的设备,因此您仍需继续在设备上运行专用的移动设备安全防护产品。 和所有新事物一样,只有通过时间检验才能告诉我们三星诺克斯的性能究竟如何。可以肯定的是,在理论上诺克斯功能比较强劲,但诺克斯开发为成品的时间仅不足1年。在当前,三星已向有限的企业级用户推出该产品六个月有余;在本月早些时候,三星也已向更广泛的消费者用户推出诺克斯产品。这使得诺克斯和其他仅面向企业级用户的BYOD解决方案区别开来。如果您正在试用诺克斯产品,则请在评论中告诉我们有关您对诺克斯产品的看法。  

iPhone 5S中的触摸式ID指纹扫描器:您需要了解的各种事项

苹果公司在其新推出的旗舰版智能手机产品中,使用生物识别技术增强用户的保护功能,并可能最终促使该技术成为主流技术。该技术的功能性是好还是坏,该技术应用将可能导致什么后果?   IPHONE 5S指纹扫描器:您需要了解的各项事物 首先,我们将努力平息所有相关的阴谋论:现在看来,苹果引入生物性ID的目的不仅仅是取悦其NSA朋友,或为联邦政府采集纳税者的指纹。苹果公司宣称,用户指纹将以专门生成的派生文件形式(亦即,非图片形式)储存在用户手机中,并将始终以本地形式予以储存,亦即用户指纹文件不会上传至网络。另外,第三方应用程序无法使用指纹及触摸式ID扫描器;仅iOS可以使用。那么,使用此类限制可起到什么保护作用? 此类限制确实可以提供多方面的保护。最为明显的是,手机的合法所有者将可极容易解锁只能手机。为使用该功能,用户仅需简单按下主页键,然后手机内置的电容传感器将立即识别指纹,并仅向指纹”白名单”中的相关人员授予手机访问权限。在未经授权的人员或手机所有者在带有手套的条件下,使用该功能时,将会看到系统提供的消息:无法识别该指纹。在此状况下,此类人员仅可通过输入字母数字混合编制的备用密码。除了手机用户带着手套之外,当冬天时、手部潮湿时,或手部带有洗液、伤疤或被灼伤时,也无法使用指纹识别技术。这也是为何手机用户需记住手机密码仍非常重要的原因所在,使用手机密码可帮助手机用户更加得心应手的使用iPhone 5S。 手机所用者在需要获得iTunes或应用商店购买批准时,必须通过触屏式ID指纹验证;在其他状况下,iOS的正常操作需要手机用户输入手机密码。 手机所用者在需要获得iTunes或应用商店购买批准时,必须通过触屏式ID指纹验证;在其他状况下,iOS的正常操作需要手机用户输入手机密码。我们建议手机用户向手机内输入双手中多个手指的指纹,以增强使用的便利性。 当然,我们最感兴趣的是,了解这种新保护机制是否具有足够的稳健性及安全性。正如我们先前所述,当前生物性传感器并不完善。为实现触摸式ID技术,苹果公司专门收购了一家专业生物性技术开发公司—Authentec。指纹扫描器不仅可以读取指纹,而且还可以读取皮肤的子表皮层,该技术使得指纹伪造将变得更为困难。当5S成为主流机型时,具有好奇心的黑客可能将会发现新生物性传感器技术中带有的部分漏洞。尽管如此,当前我们尚未发现任何有关新生物性传感器技术中存在漏洞的信息。 更新:仅在苹果公司开始销售iPhone 5S后的两天时间内,基于德国混沌计算机俱乐部的黑客就已发布有关在成本极低的条件下,极容易劫持5S传感器的博客文章。此类黑客声称,iPhone指纹扫描器和先前的模块并无太大区别,仅具有更高的分辨率。因此,极容易从任何物品的表面获取并使用乳胶伪造用户指纹。 选择使用常见的PIN锁还是使用新颖的指纹锁保护手机是一件难事。PIN密码容易被他人窃取,且所需的输入时间较长。指纹很难被他人伪造,且便于用户使用;但是,对于急需获得您所使用数据的坏人来说,可能会强迫您使用正确的手指触摸您的智能手机。当然,此类场景更适合在好莱坞动作电影中出现,而并非在现实生活中出现;但是,如果您确实拥有价值极大的信息,那么您需要考虑发生该场景的可能性,并需避免在您的智能手机中储存此类信息。 当谈论”普通人”时,就目前来看普通用户尚无需因苹果的这项新技术而过分担心。但是,坊间传言称苹果下一步将开发自己的支付系统,并使用生物性识别技术作为获得购买批准的主要认证工具。如果传言成真,则不可避免的出现用户需利用网络传输指纹文件的状况,而该状况将成为黑客针对主流用户开发攻击技术的绝佳原因。因此,如果您担心指纹落入坏人之手,则当您听说苹果将基于经扩展后的指纹利用技术,推出支付系统或其他生态系统开发产品,则需要重新考虑是否使用苹果公司产品的生物性识别功能。  

十大电影黑客

在任何类型的电影中,无论是恐怖片、动作片或惊悚片,我们都可能会看到IT专家展示大型黑客攻击、使用计算机病毒或其他和计算机相关的技术采取行动的喜剧时刻。聪明的导演会将此部分场景设计的极为短暂,并避免显示任何计算机屏幕,以防止观众的注意力偏离剧情。而现实状况是,黑客通常充满恶意,而且需要花费若干天甚至若干周才可能完成黑客攻击;因此,这使得我们更加感谢那些整体以计算机或和网络相关科目为主题的电影制作人;正是这些电影制作人才使得黑客看起来充满善意,且可以避免专业人士提出过多的批评。   科幻小说及电影中的10大著名黑客 黑客【1995】 该电影的制片人已尽量在绝大部分时间避免展示黑客攻击进程。制片人仅使用快速点击的键盘活动及一些抽象的视觉效果展示黑客攻击,但仅此而已。该影片刻画的黑客和现实黑客颇有几分相似,并且还使用了现实中黑客圈内的一些行话:Unix书籍、弱安全性密码及其他类似题材,都清晰表明该电影的制片人及编剧曾花费大量时间了解黑客攻击行为。似乎该电影的制片人及编剧认为,通过写实手法描述黑客行为太过于枯燥无味。 虎胆龙威【2007】 这是一部由著名影星布鲁斯·威利斯(Bruce Willis)主演且颇受大众欢迎的动作片。该电影中充斥这大量有关网络安全性的有趣对话,并在剧情中侧重描述了过度使用黑客技术的元素。尽管该电影中展示的多种黑客技术,如远程访问CCTV及控制交通灯等,在现实生活中也可能完成;但现实生活中的此类黑客攻击极为复杂;特别是在电影所示的极短时间内且按照如此紧凑的节奏完成此类黑客攻击,更是如此。尽管现实生活中也已存在利用恶意软件破坏工厂的实例,但电影中的黑客攻击方法存在吹捧之嫌,特别是在考虑到准确计时方面,更是如此。 然而,我们应感谢布鲁斯 ·威利斯的是,通过电影使公众注意到关键基础设施需要加强黑客攻击保护的实际问题。 007:天降杀机【2012】 从计算机怪客角度来看,这部电影中令人印象深刻的是,通过互联网实施控制爆炸的技术,并正确描绘出绝密资料信息的窃取,通常发生在互联网中,而并非由可躲避安保人员后,藏在服务楼梯中的间谍完成。另外一个有趣的场景是,外表装饰滑稽的黑客总部居然设置的孤岛上。在显示生活中,在亚洲孤岛上建立数据中心并无任何优势;其原因在于,在此状况下极易被他人跟踪,且向数据中心提供足够的带宽也是一件棘手的问题。现实中的黑客通常藏匿于计算能力强的大城市中;特别是在亚洲区域内,更是如此。物理隔离并非提供加密保护的必要步骤。 战争游戏【1983】 这是一部仍受计算机怪杰喜爱的老电影。该电影的剧情是年轻黑客仅为发现军用网络中安装的模拟游戏,而入侵功能强大的军用计算机。在玩此类模拟游戏时,玩家并未意识到此类游戏并非仅仅是模拟游戏,他们其实在操纵可能引发第三次世界大战的实际导弹。该电影有时也使用一些现实中的黑客行话,如:战争拨号等。但”战争游戏”的主要描述点却并不正确。 互联网其实是军用网络的衍生产品,这也是为何在最初阶段仅需对互联网协议实施少量保护的原因所在。当时的理论基础是,任何可访问计算机终端的工作人员,必须首先通过安全部门的三次审核。很明显,现如今的状况已大相庭径。相当幸运的是,军队工作人员密切关注互联网的演变进程,因此当前所有重要的军事系统都处于”密闭”状态——或处于完全和互联网相隔离的状态。 潜行者【1992】 该电影和前文中提到的电影”战争游戏”同出一人之手。该电影的剧情围绕可使拥有者破解任何类型加密文件的”黑盒子”不断展开。在电影剧情中,多个国家的秘密服务部门都在追逐”黑盒子”,当然美国国家安全局(NSA)同样参与其中,并扮演关键角色。在现实生活中,类似于黑盒子的装置是不可能存在的(否则,NSA也不会竭尽全力的追踪加密邮件服务的提供商)。从另一个角度来说,这部电影对社会工程技术工作描绘的过于完美——无论对于1992年的社会还是对于2013年的当今社会来说,都是如此。 谍影重重【2007】 这是一部罕见的绝佳力作。该间谍电影的创作者为了打造这部电影,专门听取了计算机安全顾问的意见!当然,在二十一世纪,您可能会具有黑进计算机窃取机密资料的能力。这部电影中的计算机屏幕,展示出现实生活中黑客及系统管理员使用的应用程序:SSH、攻击程序及好莱坞最喜欢使用的端口扫描程序NMAP. 黑客帝国2:重装上阵【2003】 黑客帝国三部曲极大增强了人们对现实理念模拟的欢迎度,但对于计算机怪杰来说,喜欢该电影的原因在于其展现的美学。当然,该电影剧情设计到大量黑客攻击,但该电影通常使用魔幻的手法描述黑客攻击,使黑客攻击技术类似于哈利波特的魔法。一般说来,黑客帝国电影中的英雄角色试图解决的”沙箱逃离”问题,存在于现实生活中;当代恶意软件通过利用其它软件(如,Adobe阅读器等)解决这一问题。 但黑客帝国的创作者却未慎重考虑这一问题— 除在一段剧情中展示出现实使用的NMAP外,并无其他相关踪迹。 偏执狂1.0【2004】 这是一部具有极为花哨情节的电影。该电影剧情涉及到人工智能、纳米机器人、企业阴谋,当然还有计算机黑客攻击。鉴于该电影并非一部由好莱坞拍摄的电影,因此创作者忽略了以NMAP作为终端黑客攻击工具的好莱坞传统,并使用真正的在线病毒扫描器(名为Viralator)原始代码替代NMAP。 创世纪【1982】 在”黑客帝国”及”异次元骇客”推出前二十年,电影”创世纪”就已描绘出现实世界中的人和计算机程序相结合的角色。鉴于当时该电影的创作者将计算机看作街机游戏机器,因此尽管在电影剧情中涉及到现实世界中的黑客,但却把黑客描述的更像是外星入侵者。尽管现在看来这部电影极为幼稚,但即便如此(或应当称受惠于此),这部电影仍是科幻经典电影。 龙纹身的女孩【2009】 许多人更喜欢观看瑞典小说家斯泰格· 拉尔森(Stieg

对现代化的汽车实施黑客攻击

如果您按照自己的规律方式,定期阅读卡巴斯基每日博客,则您可能已经了解到,当前针对现代化汽车实施的黑客攻击是极可能存在的。实际上,我已经基于威斯康星州大学及加利福尼亚大学的研究研究,于2010年在圣地亚哥市开展的广泛研究,撰写了一篇有关此方面的文章 。当然,唯一的问题在于,该研究为2010年实施的研究项目。幸运的是,著名的苹果公司黑客及富有盛名的计算机安全研究专家查理· 米勒博士(Dr. Charlie Miller)及IOActive公司的安全情报主管克里斯 ·维拉塞克(Chris Valasek)在上周的Def Con安全会议上,已就此方面的问题发表演讲。Def Con安全会议在拉斯维加市的里约酒店(跨过高速公路极为凯撒宫),该会议以黑帽安全协议问题结束。   此外,维拉塞克及米勒的研究——该研究报告超过100页——其研究范围也比先前的研究更为广泛。米勒及维拉赛格详细介绍了其试验所使用的汽车;而UC圣地亚哥及UW的研究员却未对此方面予以介绍。维拉萨克及米勒发布了所有有关漏洞的信息:汽车计算机通信所使用的代码、及如何操纵和欺骗汽车计算机、车载计算机的布局、如何通过网络连接车载计算机及其他信息。除此之外,研究人员还在公路上对测试所使用的汽车实施了黑客攻击。研究者在测试所用的汽车后座上,使用笔记本电脑以幽默的手法描绘出福布斯记者安迪· 柏林伯格试图驾驶受攻击汽车的场景(该汽车处于被研究员控制的状态)。 在我们正式进入这个有趣的话题之前,首先回顾一下汽车内的各种电子组件及车载计算机:现代化汽车中包含名为电子控制单元(ECUs)的小型计算机。在各种不同型号的汽车里面存在多个ECU,一些汽车里面所装载的ECU数量甚至已达到50个。此类ECU起着各种不同的作用。在米勒及维拉塞克试验所使用的汽车中,相互独立的ECU可起到控制、监视及帮助调节各种汽车操作。此类操作从发动机控制至电源管理至转向至防滑控制(防闭锁分断系统)至安全带闭锁至安全气囊至泊车帮助技术至名为综合性仪表组件范围内的各种操作,及其他若干项我从未听说过的装置操作。几乎所有的ECUs都通过网络和控制区域网络(CAN)总线相连接。CAN总线和ECUs一起组成现代化汽车的中枢神经系统,通过相互之间的通信报告车速、发动机每分钟转速;或在即将发生事故的条件下,向防碰撞系统发送消息,以使得汽车可以启动刹车装置、关闭发动机、闭锁安全带及其他一切当汽车发生碰撞时应实施的安全措施。绝大多数此类信号由内置于ECUs中的传感器触发。 为使得研究更有价值,维拉萨克及米克对2010年版的福特Escape车型及2010年版的丰田普锐斯车型实施测试。其研究结果可以直接或可从理论上,适用于其他品牌及型号的现代化汽车。 研究人员购买了价格较为便宜的ECOM电缆,该电缆不但可以连接ECOM设备,而且还可以通过USB端口,插入基于Windows操作系统的设备。经轻微修改后,研究人员可将ECOM电缆插入汽车的OBD端口(该端口处于方向盘下方,可在你汽车检修及其他相关工作中使用;在该端口中插入诊断工具后,可以重置发动机密码,关闭发动机指示灯等)。针对通过CAN总线相互通信的ECUs, 在向OBD端口插入ECOM缆线后,研究人员可以监测此类ECUs的通信状态,并了解ECUs之间的通信,如何影响两辆汽车的操作。在掌握ECUs之间的通信协议后,研究人员针对ECUs完成实施欺骗操作所需的准备工作(向汽车输入研究人员自行编制的信号,以模仿每个ECU s通过汽车CAN总线传输的信号)。 研究人员发现,他们可以操纵汽车的车速表、里程表及燃油表。 研究人员发现,他们可以操纵汽车的车速表、里程表及燃油表 基于测试所使用的汽车,研究人员可使汽车完成各种不同的操作。针对每辆汽车,研究人员所实施的操作,我将在下文中对此类极具趣味性的事项予以描述。如果您希望了解更多的信息,则请阅读维拉塞克及米克提供的报告。 研究人员发现,他们可以操纵汽车的车速表、里程表(用于测量汽车已行使距离的仪表)及油量表。在车速表方面,研究人员发现负责监测车速的ECU通过CAN总线,向ECU控制仪表盘重复发送信号。为使得车速表相信研究人员伪造的车速信号,研究人员向仪表盘发送的虚假信号量远大于实际负责监测车速的ECU所发送的信号量。一旦研究人员按照正确的信号发送频率,发送伪造的车速信号,则车速表则将显示任何研究人员所伪造的车速。 普锐斯的车门可通过ECU上锁及解锁。鉴于车锁配备有物理覆盖装置,这也就意味着研究人员无法将其他人锁在车内,但研究人员可以通过在车外解锁进入车内。 对于福特车来说,研究人员实施了拒绝服务的黑客攻击,通过对负责监测转向且通过CAN总线传输信息的ECU实施洪水炸弹攻击,可以关闭汽车的动力转向功能,并使汽车转向半径仅为全转向半径的45%。研究人员还发现,他们可以操纵泊车帮助模块(该模块的ECU可以控制平行泊车功能)。但是,研究人员承认,鉴于泊车帮助系统仅可使汽车在极低速度条件下形式,因此研究人员可造成的最大破坏仅是可使测试汽车撞上附近正在试图平行停靠的另一辆汽车。 同样,研究人员也成功扰乱了普锐斯的转向帮助系统。鉴于普锐斯中的ECU处于出厂设置状态下,因此仅在倒车及行驶速度低于每小时4英里的条件下,才可使用自动泊车帮助功能。维拉塞克及米克通过攻击成功欺骗汽车,使汽车在正常向前驾驶状态下,认为其处于倒车状态;或在汽车行使速度超过每小时4英里的状态下,认为其行使速度低于每小时4英里。研究人员无法像自动泊车功能那样使车轮精准转向,但研究人员可以控制车轮紧急转向,亦即使车轮突然转向另外方向。 普锐斯还具有车道保持功能。通过使用该功能,在普锐斯检测到驾驶员驾驶的汽车偏离车道时,可使得汽车稍微回转方向。负责实施该功能的ECU仅可使方向盘转向5度。研究人员成功对普锐斯的该项功能实施黑客攻击。尽管5度转向的转向角度较小,但研究人员指出,如果车辆处于高速行驶状态,或正在拥挤的道路上行驶,即便是5度转向也可能造成严重的后果。 对于福特汽车来说,研究人员可向CAN总线发送汽车刹车装置漏油的命令。在汽车刹车装置漏油时,汽车处于无法停止。刹车装置漏油攻击仅可在汽车行驶速度低于每小时5英里的条件下完成。尽管该车速相对较低,但在测试进程中,研究人员仍足以使福特Escape撞向车库墙壁。 福特汽车可通过CAN总线发送停止1个或多个活塞运行的消息命令。维拉塞克及米克重新编辑该命令代码,并重复不断的向福特汽车发送该命令。在研究人员停止发送该命令代码之前,福特汽车无法启动。尽管普锐斯的发动机关闭功能的技术特点不同,但其运行实质相似;因此普锐斯同样存在该漏洞。 研究人员还发现,福特汽车中存在1条可同时给关闭所有车内灯及车外灯的命令。在汽车处于停止状态时,负责控制车辆照明的ECU,仅可接收该命令。但是,在福特汽车处于停止状态的条件下,当研究人员向福特汽车发送该命令后,即便是再次处于移动状态,汽车仍在遵守该命令。可发动关闭所有车灯攻击,意味着研究人员可使福特汽车在无刹车灯的条件下,行使在高速公路上。另外,在泊车后研究人员还可通过攻击负责控制刹车开关的ECU,致使车辆无法开出泊车位。同样,对于普锐斯来说,在驾驶员启动车灯”自动”控制功能(该功能可使得普锐斯根据车外的光线强度,自动打开及关闭车前大灯)的条件下,扰乱普锐斯的车前大灯开关操作(打开或关闭车前大灯)。 在试图扰乱普锐斯巡航控制模块的测试中,研究人员未能致使普锐斯在巡航控制状态下突然加速,这是个好消息。但研究人员声称,他们可以通过欺骗汽车中的防碰撞系统,使普锐斯认为即将撞击前方的物体,而致使普锐斯巡航速度下降甚至完全停止。在该状态下,即便驾驶员连续踩下油门,汽车仍处于制动状态。为使得普锐斯的加速不受巡航功能的公制,研究人员必须将连接ECOM的电缆,直接连接至动力管理控制台(该控制台中的ECU负责控制汽车的加速操作);其原因在于,该控制台的ECU并未连接CAN总线。研究人员仅在驾驶员踩下油门后的数秒内,控制普锐斯的加速操作。尽管如此,汽车的意外加速也可能造成潜在危险。 防碰撞系统的另一项功能为,可以启动安全带电动机,使车辆在发生碰撞之前,拉紧安全带。维拉塞克及米克可随意控制普锐斯安全带的拉紧操作。

伪造您的身份:生物性认证是否值得信任?

每天,数百万计算机都在解决相同的问题;所有计算机都在试图检查计算机使用者是否是您本人,还是其他人。可解决这一问题的最常用工具是密码检查。但是,密码很容易遭窃并且很容易被仿造。密码问题凸显出使用另一用户身份系统的需求。最为简单及最具吸引力的解决方案是生物性认证,该解决方案允许用户将其手机放在扫描器上,并通过注视摄像头或说出口令实施认证进程。您可以随时使用您的手指、眼睛及语音,不是吗?并且,其他人无法实施模仿。不幸的是,这个极具吸引力的想法仍存在大量缺点,这也证实为何我们仍无法使用指纹登陆谷歌或使用指纹从ATM中提取现金的原因所在。 下面,我将详细介绍有关该方面的细节问题,但让我们先从简单的概述开始介绍:生物性认证是几乎无法改变的”密码”;基于生物性”密码”实施真正的安全加密,是一件相当具有挑战性的难题。在从概念至现实生活中实施的进程中,您无法不注意到一件明显且极为重要的问题——使用简单及成本较低的工具,几乎无法仿造绝大多数生物性特征。   陌生人–危险 对于基于常规密码的任何生物性认证来说,最主要的差别在于原始(主)样本和需检查的样本之间缺乏完美匹配。您无法通过简便的方法从同一手指上获得两枚完全相同的指纹。当您尝试面部匹配时,会遇到更为复杂的难题。仅基于光线条件、每天时间、所佩戴眼镜、胡须、眼中血丝、妆容的不同,就可能产生不同的面部特征或无法读取的面部特征,更不用说因年龄而造成的脸部差异了。语音也可能受多种因素的影响(如,流感等)。在上述条件下,很难建立一直可以鉴别出合法所有者及一直可以拒绝向陌生人授权的系统。 为解决这一问题,每种生物性技术系统都试图去除扫描样本中的噪音,而仅留下经数学方法比较后,可接受的有效特征。尽管如此,即便是在”骨架”状态下,需检查样本和原始样本之间的匹配度仍需按照概率予以表达。对于中级安全系统来说,其假设条件为:在10,000例试验中,拒绝合法使用者的次数处于50例以内即属于正常范围。对于移动设备平台来说,不稳定性外部条件(如光线及振动等)将造成错误率的激增;这也是为何安卓脸部识别系统的错误率高达30-40%的原因所在。 一生使用的密码 如果您不慎忘记密码或密码被他人窃取,您仅需要修改密码即可。如果您丢失钥匙,那么您仅需更换门锁。但是如果因使用您的掌纹图像(巴西或日本国内的一些银行已采用该项技术),而致使您的银行账户处于”锁定”状态或掌纹数据库被盗时,您应当怎么办呢? 在新iPhone手机中将配备指纹扫描器,并且新安卓操作系统中将使用面部识别系统解锁手机。此类保护措施是否值得您信任? 改变您的掌纹是一项非常具有挑战性的难题。尽管当前尚未出现掌纹伪造技术,但没有人可以保证在五年或十年后不会出现这项技术。 通过使用指纹可以部分解决这一基础性问题——您可以输入2-4个手指的指纹(无需输入10根手指的指纹),从而使密码变更成为可能。但是对于一生使用的密码来说,指纹技术可以确保的安全性或许过于短暂。鉴于在线账户黑客攻击的发生频率如此之大,因此仅依靠珍稀的生物性识别信息而使得我们相信此类技术显得过于让人担心。事实上,即便是绝大多数生物性识别服务系统的储存信息仅为”骨架”式信息(即生物性识别衍生信息),也未能使生物性识别变得相对容易——大量研究结果表明,此类信息存在重建的可能性(如,指纹);即便是在重建后的信息和原始信息并不相同,仍有可能通过识别检查。 另外,在线生物性认证还会引起隐私方面的关注。利用生物性”密码”很容易在诸多用户中鉴别出您的身份,因此您不可能在同一社交网络中拥有两个完全独立的账户——社交网站拥有足够的工具,确认两个账户实际上属于同一用户。严格的说,在实际操作中可能存在数百名用户,甚至数千名用户拥有无法区别的生物性特征。但在Geo-IP及其他伴随用户请求地元数据的帮助下,网站可能为每位用户建立完全独立的用户配置文件。针对每个流行的网络服务,如果有人可以管理生物性认证的实施进程,则在线用户追踪将是一件非常容易的事情。   数字锁 首先,使用密码及潜在可行的生物识别技术可为各种设备及服务的访问限制提供帮助。其次,针对设备中储存的数据,使用密码及潜在可行的生物识别技术也可为此类数据的访问限制提供帮助。但是,对于第二种情况来说,实际上却很难利用生物识别技术的功能。 当您把文件放置在基于指纹锁的保险箱中,保险箱的铜墙铁壁可对您的文件数据提供保护。您或许可以使用功能强大的钻孔工具,打开指纹扫描所。如果您需要访问处于控制状态下的计算机,则轻易避开所有检查几乎是件不可能的事情。因此,对于计算机来说,加密技术等同于保险箱的铜墙铁壁。当您使用密码对文件加密时,加密系统将创建需使用密码的加密密钥。如果您改变密码中的任何字符,则加密密钥将完全不同,原来的密钥将完全无用。但是,对于每个访问请求来说,生物性”密码”之间总有轻微差异;因此,直接在加密技术中使用生物性”密码”是一件极为复杂的工程。这也是为何现有市场中,绝大多数的”数字锁”需依靠云服务帮助的原因所在——通过云服务,生物性认证匹配进程将由云服务器完成;如果匹配成功,则云服务器将向客户提供解密密钥。当然,这种方法存在可能导致大量数据泄露的重大风险啊你——服务器遭受黑客攻击,可能会导致加密密钥及生物性认证数据同时遭到破坏。   生物性认证IRL 撇开科幻电影及军队技术发展不谈,我们认为在现实生活中您可能会遇到两种使用自动化生物性认证的状况。现如今,一些银行已在实施生物性认证的试验——此类银行可能会在ATM上使用掌纹扫描技术,及在基于手机的服务台中,使用语音认证技术。第二种类型的 生物性认证应用为内置于消费者电子产品(通常为笔记本及智能手机)中的生物性认证扫描器。在消费者电子产品中配置的前置摄像头可用于面部检测,而此类电子产品中配备的传感器可用于识别指纹。在语音认证识别方面,同样存在两种系统。除了上文中所提及的生物识别技术常见问题之外,在消费者级别的电子产品中实施生物性识别技术,还存在若干限制。此类限制诸如CPU处理能力、传感器价格及物理尺寸等。为解决此类限制条件所带来的问题,开发商必须牺牲系统安全性及稳健性。这也是为何使用常用打印机生成的湿纸指纹或使用明胶指纹模具,可以轻易骗过部分指纹扫描器的原因所在。当伪造指纹可以获取巨额不合法收入时,欺诈实施者可能会制造可便捷使用的假手指——此类犯罪计划所需使用的工具,早已可在市场中购得。从另一方来说,合法用户经常给需要多次实施手指触摸进程,方可获得访问许可——在手指潮湿、覆盖有洗液、清洁度稍差或存在擦痕或烧痕的条件下,传感器可能无法正常工作。 当前,已有极少数的面部识别系统具有根据照片区分实际面孔的能力【尽管为系统配备活力检查技术(如,需要用户眨眼等)是一种行之有效的解决方法】。尽管如此,当您使用面部识别系统解锁移动设备时,解锁程序通常对光线条件及周围的环境条件非常敏感。为防止更糟的状况出现,您不得不启动额外检查进程。在此条件下,您必须已设置备用检查方法——使用旧式密码——否则您将无法在光线昏暗的条件下,解锁您的移动设备。 绝大多数语音认证系统的开发商声称,其语音认证系统产品具有检测虚假语音(录音及模仿音)的能力。实际上,仅功能极为强大的系统方可实施大量的检查计算进程。该行业内的一些研究员声称,变声软件欺骗语音认证系统的成功率有时可达到17%。鉴于移动设备很难运行完全且即时的语音分析进程,因此需要通过云服务完成该进程。但是,基于云服务的语音认证进程的运行速度较为缓慢,并且还依赖于互联网连接质量(当前极少互联网连接质量可达到要求标准)。另外,基于云服务的语音认证进程极容易遭到黑客攻击(如中间人攻击等)。顺便说一下,对于语音认证系统来说,中间人攻击(MITM)尤为危险;其原因在于,和其他生物性识别样本相比,声音样本的获取较为容易。 对于合法 用户来说,上述组合性应用困难及安全性的不足,致使生物性认证无法取代传统的密码及电子令牌,成为确保移动设备安全的标准。在当前,仅在受控环境中才可能确保使用生物性识别技术检查用户身份的安全性及可靠性。此类受控环境诸如:机场边境管制处,或官方入境处的安全检查点等。

受恶意软件感染的10大迹象

即便您遵循所有的系统安全性基本规则—定期更新操作系统及程序、避免查看像瘟疫一样的垃圾邮件、从不点击未知链接,当然还已使用杀毒软件套件— 却仍有可能在您的系统被恶意软件感染时,遭遇计算机使用的黑暗时刻。但是,您怎样才能确定系统是否已被恶意软件感染呢?下述十大迹象虽然不能断然确定您的系统已被感染,但却是您的系统可能遭受感染的危险信号。 1.系统意外崩溃:如果您曾经经历过系统意外崩溃,那么您可能已了解系统崩溃时的硬盘方式,或者系统将会定期切换至恐怖的死机蓝屏界面。系统意外崩溃是系统出现严重错误的关键危险信号。在您遭遇系统崩溃时,应立即扫描系统,查看系统是否已被感染。 2.系统运行速度变慢:如果您的系统并未运行任何资源(系统中的大型程序),但系统运行速度依然很慢,则造成该状况的原因可能是您的系统已遭受病毒感染。 3.频繁的硬件驱动活动:类似地,如果即使在您的计算机处于空置状态下,仍可发现频繁的硬件驱动活动,则该状况是您的系统可能已被感染的警告信号。 4.陌生窗口:如果在系统启动进程中,弹出陌生窗口;特别是,弹出丢失系统中各种驱动程序访问的警告窗口,则说明系统中存在错误。 5.奇怪消息:如果您的系统在运行期间,突然显示故障诊断对话框,向您提供无法打开各种应用程序或文件的警告,则该状况也是不良标志。 6.不良的程序活动:如果您的计算机程序出现丢失、崩溃、在您并未启动该程序时突然自我启动,及/或如果在您并未运行相关命令的条件下,收到某程序试图访问互联网的通知,则此类状况是您已成为恶意软件受害者的严重警告标志。 如果在您并未运行相关命令的条件下,收到某程序试图访问互联网的通知,则此类状况是您已成为恶意软件受害者的严重警告标志。 7.随机的网络活动:如果在您并未运行任何大型程序,或并未访问大量互联网数据的条件下,您的路由器持续不断的闪烁(表明您的系统正在实施大量的网络活动),则您的系统可能已出现问题。 8.古怪的电子邮件:如果您无法发送电子邮件;或在您并未发送电子邮件,但您的电子邮件联系人却告知接受到由您发送,且内容古怪的电子邮件;则此类状况表明,您的系统极有可能已被破坏(或您的电子邮件密码极有可能已被他人窃取)。 9.被列入黑名单的IP地址:如果您接收到您的IP地址已被列入黑名单的相关通知,则需要考虑,该状况是否意味着您的计算机已落入坏人之手— 该状况表明,您的系统极有可能已被破坏,并且您的计算机已被破坏力极大且可发送恶意电子邮件的僵尸网络所俘获。 10.意外的杀毒软件禁用:许多恶意软件程序具有禁用杀毒软件套件的功能,以防止被杀毒软件根除;因此,如果您的杀毒软件系统突然无法运行,则该状况是您的系统将出现更大问题的标志。 为了解您的系统是否已被感染的最可靠方法是,运行杀毒软件实施系统扫描进程。如果您尚未安装杀毒软件,或您认为系统可能已被破坏,则您可以下载免费的卡巴斯基安全扫描程序 ,并对您的系统实施检查。

如果互联网可以出演科幻电影

诸如星球大战或独立日等好莱坞大片向我们讲述的故事中,太空冲击波、力场、比光速还快的太空旅行是司空见惯的事物。但是,在此类大片中并未出现任何有关互联网的事物,或更为准确的说,此类大片中也存在计算机及网络,但计算机及网络却对剧情无任何影响。对于科幻电影爱好者来说,这是一件非常奇怪的事情;因此,我们希望了解如果互联网可以在此类大片中,起到改变剧情的作用,则大片故事的最终结局应当如何? 《欧比万,您是我唯一的希望》 如果按照星球大战IV的原始剧情,太空机器人R2D2不过是带有轮子的USB闪存硬盘而已。莱娅公主使用太空机器人R2D2记录向欧比万发送的视频信件后,向塔图因星球的方向扔出R2D2,并期望R2D2可以恰好撞击塔图因星球表面。嘿,这是个发生在未来的故事!公主殿下,您是代表某星球的领事,您的太空船中配备有和政府部门相链接的无线宽带!您的Skype 5D呢?您的谷歌Holo-视频群聊软件呢?或者说,如果您急需发送一封邮件,还有更好的方法可以使用:启动VPN,建立加密链接;在将包含死星设计文件的文件夹加密后,重新将该文件夹命名为”windows84_setup.exe”,并将该文件上传至企业号Dropbox中,或可以使用具有专业安全保护功能的FTP传输该文件夹。所有的设计图将可成功传送至叛军手中;但在此条件下,星球大战的编剧将不得不使用其他方法,使卢克在该故事中登场。 是否有必要使用战舰剧情设计? 通过分析死星设计图纸可知,死星建筑中存在一个致命薄弱点——即存在可直达原子反应堆的路径。联盟号以牺牲数百战士及战斗机的代价,仅为将一名战士送入死星内部,以炸毁原子反应堆。联盟号为完成该任务所采用的方法极为复杂——实际上,还存在更好的解决方法。R2D2具有远程控制死星大门及机器的能力——因此,我们可以放心的假设,大空间站内部的所有程序进程都由中央计算机自动处理及控制。当然,星球大战的作者可能尚未预测到,未来可能会出现类似于Stuxnet的网络战武器,但我们已了解到在未来极有可能出现此类武器!因此,联盟号可以开发具有改变死星原子反应堆设置的恶意软件,并最终使用该恶意软件炸毁死星原子反应堆。企业号成员需要做的是:编写并向R2D2内存中上传恶意软件程序,以便于恶意软件程序的传播;然后,使死星战机拦截装载有R2D2的飞船,并最终使R2D2可利用死星建筑内最近的终端,向死星中央计算机传输恶意软件程序。我们知道,通过该方法不但可以拯救莱娅公主,还有可能摧毁死星。唯一的问题是,R2D2如何在发生大爆炸之前,找到安全撤离死星的路径。在此条件下,联盟号需要的不是飞行器及战士,而是程序员。   独立日的烟花 1996年拍摄的电影《独立日》在当前仍受人们欢迎(顺便说一下,2015年将推出独立日的续集)。该影片的剧情是:外星人母船接近地球,并向地球派遣小型入侵舰队;外星人的小型入侵舰队按照同步攻击的方式,瞬间摧毁地球上的各大城市。外星人在实施攻击之前就已劫持地球人的卫星,并利用劫持的卫星向NASA及其他太空机构发动APT型的攻击。当然,追溯至1996年时,几乎很少人听说过为基础设施提供抵御黑客攻击的保护方法;即便是在当今,这仍是相当热门的话题——因此,我们希望在独立日续集中,外星人也具有保护其通信设备的能力。 从另一方面来说,外星人对其IT设施的保护相当粗心:美国黑客居然可以闯入外星人的计算机。独立日的男主角们驾驶一架外星人飞船,在飞抵外星人母舰后,成功上传病毒并安装原子弹。现如今,在我们看来男主角上传的甚至不能称为病毒,而是恶意利用飞船有效载荷程序漏洞的计算机程序而已。但问题是——为何仅利用病毒破坏外星人飞船的力场保护功能?其实,男主角门可以更有效的利用病毒——如使反应堆爆炸、弄乱外星人的卫星导航系统、或直接命令外星人的小型舰队攻击母船等。在此状况下,独立日的烟花将更加壮观,地球人也无需使用摩斯密码寻找地球上的同伴。  

在谷歌云端硬盘方面,您应了解的事项

在一年多以前,当我们起床后忽然发现”谷歌文档”功能已不见踪影,取而代之的是称之为”谷歌云端硬盘”的新事物。然后,我们逐渐了解到,谷歌云端硬盘其实就是原有的谷歌文档,但比谷歌文档的支持容量更大且功能性更好。现如今,我们已不再对谷歌云端硬盘感到惊奇,而且也不再对谷歌公司如此喜爱重新塑造其新功能品牌感到惊讶。 功能。这种基于云的内置服务,可针对文档、图片、PDFs、视频等文件,提供15GB的标准储存服务(直到近期,刚实现5GB的储存服务)。用户可通过付费方式,升级该服务的储存容量;其中,25GB的储存空间服务需每月支付$2.49;100GB的储存空间服务需每月支付$4.99等等。通过使用可下载的计算机驱动程序及Mac设备驱动程序,用户可在计算机上储存文件的同时,将文件同步储存于云服务器中;同样,通过利用可下载的安卓系统及iOS系统设备应用程序,可使用户利用该服务的范围扩展至移动设备。 为实现真正的安全性,针对在云服务器中储存的文件,您应当至少使用一种外部硬盘实施备份,并将该外部硬盘放置在安全场所。   关注事项。在谷歌云端硬盘方面,需关注的范围从谷歌公司讨厌的事项,到有关安全性的法律问题不等。当然,和其他任何基于云的储存系统相同,用户需受主服务器的约束。无论因任何原因,如果主服务器停机——谷歌云端硬盘服务也不例外——用户将无法访问其储存的文件。因此,可靠性是该服务需解决的问题,并且无论是用户终端处的连接问题,还是谷歌公司端的数据传输/服务器问题,都可能造成同步服务出现问题。 安全性。任何基于云的储存系统都无法做到绝对安全。鉴于谷歌云端硬盘直接链接Gmail,因此当用户忘记关闭Gmail浏览器窗口,或用户未使用安全性强的密码保护Gmail账户时,用户文件将很容易遭到破坏。此类破坏可造成灾难性的后果。谷歌公司仅为云端硬盘采用基本的安全策略,此类安全策略基本上依靠用户使用安全性强的密码保护;建议用户不要使用共享设备下载云端硬盘文件夹;要求用户在完成使用进程后,退出谷歌账户。 解决方案。为实现真正的安全性,针对在云服务器中储存的文件,您应当至少使用一种外部硬盘实施备份,并将该外部硬盘放置在安全场所。最好是放置在家外或办公室,以避免火灾或夜贼光顾时,造成备份损失。最后,对于您无法承担遭受破坏所造成损失的真正意义上的敏感信息来说,使用云服务储存此类信息绝对不是好主意。但对于除敏感信息之外的任何其他信息,您都可使用基于云的储存服务予以储存;并且,您应使用系统安全套件及互联网防护套件,加强安全性保护。此类系统安全套件诸如卡巴斯基PURE 3.0等。卡巴斯基PURE 3.0中包含储存有价值信息所需使用的高级密码管理器及专业级加密库。此类互联网防护套件诸如卡巴斯基互联网安全套件2013等。卡巴斯基互联网安全套件中包含可保护您的数字身份及隐私的安全保护措施。

5种可使网页浏览更完全的Chrome插件

对于在你使用已选择的浏览器浏览网页时,可保护您计算机安全的插件来说,当前已存在完整的插件市场。每个人都可以做出多种插件安装选择;对于谷歌chrome浏览器来说,当前存在五种可使确保您的系统及个人信息处于安全及保护状态的最佳插件程序。   MaskMe:当今,我们分享自己电子邮件地址的范围如此之广,以至于我们很容易忽略电子邮件的当前状态。您使用电子邮件地址注册在线账号的频率越大,您下线时电子邮箱收到不必要地广告及垃圾邮件的可能性越大—同时您的电子邮件信息被黑客获取的可能性也就越大。亦即,黑客可以恶意利用您储存电子邮件信息的系统。进入MaskMe。当网站要求用户填写用户电子邮件或电话号码时,MaskMe插件可以提供创建伪电子邮件或伪电话号码的选项;这样一来,即便广告或垃圾邮件发送者获得伪电子邮件地址,您并不会收到那些垃圾信息。同时,您的伪电子邮件账户还可以向您的真实电子邮件账户转发必要的账户消息。 MaskMe插件可以提供创建伪电子邮件或伪电话号码的选项;这样一来,即便广告或垃圾邮件发送者获得伪电子邮件地址,您并不会收到那些垃圾信息。 Ghostery: Ghostery 插件不仅可以阻止脚本的后台运行,还可以向您提供有关广告网站的信息,并可跟踪任何在给定网站上运行的脚本。当您导航至新网站时,Ghostery插件弹出框将可以显示所有上述信息。该插件还可以提供每个跟踪器的信息,其中包括相关的隐私政策及选择退出项。另外,Ghostery插件还具有可自定义的拦截功能,用户可通过使用该插件选择需拦截的网站及允许访问的网站。 KB SSL强制者插件:安全套接字层(SSL)为确保用户浏览网页安全的加密层,黑客极难攻破该加密曾。当您在网页中运行SSL时,网站地址开始部分将显示https:,而并非显示http:(注意在两种显示中,一种带有 ‘s’,另一种并无’s‘)。当您在线实施金融活动或其他敏感性交易活动时,应确保始终运行该类型的加密功能。KB SSL 强制者插件可向用户提供上述加密安全层。经扩展后,该插件可以保存支持HTTPS的网站列表,并在用户浏览列表中的网站时,自动导航至此类网站提供的安全版本。 ScriptSafe插件:和流行的NoScript插件(火狐公司)相类似,ScriptSafe插件可自动停止网页中运行的脚本(诸如Java脚本等)。该功能至关重要,其原因在于此类脚本正式黑客重点利用的对象。用户可以创建允许使用Java脚本的网站”白名单”—亦即不太可能被黑客成功攻击的可信任网站—这是一项非常优秀的功能;其原因在于,当前许多网站的运行完全依赖于Java脚本。 卡巴斯基反广告插件:此类插件中的每种插件都可增强您所使用系统的整体安全性。通过使用此类插件,黑客很难利用其攻击技术获取您的个人信息,或很难劫持您所使用的系统。最后,为您所使用的系统提供保护,且防止在线活动期间对系统造成破坏的最佳方法是使用卡巴斯基互联网安全套件2013等功能强大的互联网安全套件;卡巴斯基互联网安全套件2013在家庭环境下的若干独立测试中,获得业内人士的一致好评。另外,KIS2013还可以向Chrome浏览器提供卡巴斯基反广告插件。该插件可以拦截网站横幅中的广告信息,并可内置于在线显示程序的接口中。

物联网安全

2011年下半年,中国黑客曾彻底摧毁美国商会服务器,并通过毁灭性的后门链接,入侵美国商会游说小组的网络。美国商会官方承认,黑客已获取任意访问商会计算机系统的授权,并已窃取从核心电子邮件至国际商贸文件至企业会议备忘录在内的所有信息。总而言之,美国商会已成为完全传统式APT型黑客攻击的受害者。在众多类似黑客攻击的案例中,让我对这次黑客攻击记忆深刻的原因在于,当实施黑客攻击后的清理进程时,调查者发现国会山建筑中的一个恒温器装置正在和中国境内的一处IP地址不断通信。   物联网安全 如果您读到此处,您是否会发现,现在您已拥有多件可以连接互联网的装置,而在五年前,您根本无法使用此类装置访问互联网? 这正是”物联网”的本质所在。互联网曾是通过集线器连接计算机及服务器的网络。从这一点来说,物联网的扩张速度如此之快,以至于我都已对计算机本身定义感到模糊。现在,几乎所有事物都有其IP地址并都可以连接互联网:汽车、家用电器、医疗设备、电话、游戏机、谷歌开发出的互联网接入眼镜,我甚至听说现在已有可以发送推特消息的啤酒桶龙头。 如果把互联网安全性比作迷宫,则迷宫的进出口越多,就越容易逃离迷宫。同样的道理,连接网络的设备越多,黑客攻击网络的机会也就越多。简而言之:每个设备都代表进入网络的可行途径,推而广之,每台机器也是如此。 连接网络的设备越多,黑客攻击网络的机会也就越多。简而言之:每个设备都代表进入网络的可行途径,推而广之,每台机器也是如此。 连接网络的设备越多,黑客攻击网络的机会也就越多。简而言之:每个设备都代表进入网络的可行途径,推而广之,每台机器也是如此。 对于系统管理员及IT团队来说,这无疑是一场噩梦。越来越多的企业都不得不采用自带移动设备(BYOD)策略。 可以设想,让大量员工在其个人对现代科技拥有不同理解程度的条件下,将成千上万的不同设备连接至企业网络中,将是多么可怕的一幕。我可以肯定是,对于并不太了解网络支持技术的我们来说,这将是一种无形的威胁。 在物联网中存在着更为明显的威胁。对于苹果、谷歌、微软及其他计算机巨头公司中负责设计操作系统及软件的工作人员来说,他们首先考虑的问题就是安全性。确实,这些工作人员正在通过各种技术工具或补丁包处理已出现的所有漏洞及缺陷,但至少这些工作人员在考虑有关安全性的问题。 另一方面,对于可以调节附近游泳池中化学物质的工业控制盒来说,我不敢确定此类控制盒产品的设计者,在使控制盒连接互联网,以便于游泳池操作员可以定期远程调节泳池内化学物质的时候,是否考虑过安全问题。相同的逻辑可以扩展到一切可被黑客攻击的机器:带有公共利用概念,但可被黑客利用无线技术攻击的装置、通过内嵌方式安装的医疗设备(如心脏起搏器及胰岛素泵)、或大型商务飞机等等。从电视至新时代智能计量装置在内的任何事物都可能成为潜在的受攻击对象,但当前仍未有人为此类装置或设备设计安全保护产品。当前,功能强劲的互联网安全防护产品通常仅可以保护计算机免受恶意软件感染。对于此类可连接互联网的小装置来说,却无任何安全防护壁垒。 如果您认为我们在这里虚张声势,那么请阅读有关卡纳僵尸网络的相关资料,该僵尸网络曾因2012年互联网普查结果而名噪一时 在美国,可对此类事物提供保护的唯一方法是,推行相关的国家监管法律。 在美国,可对此类事物提供保护的唯一方法是,推行相关的国家监管法律 从互联网连接整体角度来看,当前的现实是:过多的设计者为获取大量利润,设计出过多相互并不兼容的系统,以向用户推出可操作的产品;但当把产品推向市场时,却未对产品提供必要的安全保护措施。在美国,可对此类事物提供保护的唯一方法是,推行相关的国家监管法律。不幸的是,鉴于此类法律将对获利企业造成广泛影响;因此,此类法律不太可能完成起草进程,更不可能完成立法进程。在华盛顿特区的立法者人群中,”监管”是个不太受欢迎的词汇。 美国食品及药品管理局及国家安全部门的工业控制系统计算机应急响应小组(ISC-CERT)已开始通过合作形式,试图使医疗设备生产企业采用更为严格的安全保护措施。该项合作仅可处理有限的安全需求;特别是,在考虑到近期ISC-CERT建议,使400余种医疗设备在使用默认登录证书的条件下,可以访问关键设备设置界面的条件下,更是如此。建议、指导准则及其他无约束力的警告,不太可能解决这一问题。眼下我们将不得不在无安全保护的条件下生活。您可以做到的仅是保持时刻警惕的心态。