科技

130 文章

“Heartbleed”漏洞恐令数千网站泄密

更新:在上一篇有关此漏洞的文章中曾提到(引用了Github上的列表)HideMyAss网站用户受到Heartbleed漏洞的威胁。但该网站发言人与我们联系表示,他们的用户并未受此漏洞的影响,所以我们从受影响网站列表中删除了此网站。 更新2:专栏已更新受影响服务列表,这些服务官方推荐更改用户密码。 NPR(美国国家公共广播电台)主播David Green在早8点主持的《早间节目》中讨论安全漏洞话题后,人们都知道了安全漏洞是非常严重的问题。昨天早上的节目中又提到了此话题,这次是OpenSSL中的一种严重的加密漏洞,被戏称为”Heartbleed”(心滴血)。OpenSSL可能是互联网部署最广泛的加密库。如果您不是很清楚什么是OpenSSL,别担心,下面我会用500字左右的篇幅来尽量解释清楚整个原委。 与网站建立起加密连接后,数据都将使用SSL/TLS协议进行加密,不管你连接的Google、Facebook还是网银。许多流行的网络服务器利用开源OpenSSL库来执行此加密作业。本周早些时候,OpenSSL的维护人员针对一种严重漏洞发布了修订,此漏洞在实现TLS功能时出现,称为”Heartbeat”(心跳包),攻击者借助此漏洞可从服务器内存中读取多达64 KB的数据。 换句话说,如果保护机器的库是有漏洞的版本,那么互联网上的任何人都能通过该漏洞来读取机器内存。最坏的情况是这一块小小的内存中可能含有敏感数据 – 用户名、密码,甚至包括服务器用于加密连接的专用密钥。此外,利用Heartbleed漏洞不会留下痕迹,没有确定的方法来判断服务器是否被黑客入侵过,也无法断定哪类数据被盗。 好消息是OpenSSL修复了该漏洞。但坏消息是没有办法保证受Heartbleed漏洞影响的这些网站和服务实施补丁来减轻漏洞的影响。更多的坏消息是,该漏洞很明显能够被轻松利用,而且可能已存在长达两年时间。这意味着许多流行网站的安全证书已被盗,包括密码在内的敏感用户数据也很可能遭窃。 用户行动计划 更新:Mashable收集的清单列出了来自受影响网络服务的正式PR回复。为了节省阅读表格并检查证书(下面有更多检查相关内容)的时间,只需在以下所有站点上更改密码即可:Facebook、Instagram、Pinterest、Tumblr、Yahoo、AWS、Box、Dropbox、Github、IFFT、Minecraft、OKCupid、SoundCloud和Wunderlist。请对每个站点使用唯一密码! 检查自己喜欢的站点是否有漏洞。有多种在线工具可检查是否存在漏洞,但你还需要知道之前是否有存在过。很幸运,你可以根据一个长长的流行网站列表来检查是否有漏洞。好消息是,PayPal和Google未受影响。坏消息是,Yahoo、Facebook、Flickr、Duckduckgo、LastPass、Redtube、OkCupid、500px及其他许多网站都存在漏洞。如果您在这些脆弱网站上有注册有帐户,请准备好随时行动。 立即检查网站是否有漏洞。有一个简单工具可用于此检查。 网站所有者修复漏洞后,还需要考虑重新发布网站证书。因此准备好监视服务器证书,并确保使用的是最新证书(4月8日或之后发布的证书)。为此,请启用浏览器中的证书撤销检查。下面举例说明了如何在Google Chrome设置中启用此项。 此项将阻止浏览器使用旧证书。要手动检查证书发布日期,请点击地址栏中的绿色锁图标,然后点击”连接”选项卡上的”信息”链接。 对服务器打补丁并更新证书后,最重要的一步是立即更改密码。此时可修改密码策略,并开始使用容易记忆而又安全的密码。您可以使用我们的密码检查程序来检查新密码是否安全。

移动设备春季”大扫除”

春季是卫生大扫除的好时节,家里、壁橱还有电脑,全都不能放过。如今智能手机和电脑一样在生活中占据着核心地位,因此对手机进行”大扫除”,使其尽可能高效、干净地保持运行也同样重要。 不妨试试按照以下步骤对您的iPhone以及安卓手机进行”大扫除”。 iPhone手机: 1.清理存储空间:在硬盘上尽可能保留500MB到1GB可用空间,这样应用才不会有运行崩溃的风险。转至”设置”,点击”通用”,然后点击”用量”。在此将看到手机上的所有应用,以及这些应用所占用的空间。有些应用(如相机)会占用大量空间,但可以删除其中部分文件(如照片),以尽可能减少数据容量。而另一些应用程序(如游戏或社交媒体应用程序)可能下载的时候只有10-15 MB大小,但在手机上保留的时间越长,则占用的空间越多,有时甚至可达到数百MB。删除并重新安装这些应用可使其恢复到原始大小,从而释放硬盘上的空间。 2. 整合应用程序:首先删除应用程序,即通过iTunes删除不再使用的任何应用程序或在iPhone上长按应用程序图标,然后点击屏幕开始晃动时出现在左上角的×来删除相应的应用程序。接着对屏幕上的应用分组到各个相应文件夹中 – 将所有与照片相关的应用程序放一个文件夹,所有社交媒体应用程序放另一个文件夹,地理位置应用程序(如地图、四方等)按上述方法相同操作。 互联网恶意软件中以移动设备为目标的所占比例呈上升趋势,着实令人担忧。 3.优化电池性能:如果电池迅速耗尽,则应在”设置”中执行重要步骤来清理电池。其中许多步骤与限制推送通知、位置服务和禁用ping相关。Buzzfeed最近写了一篇有关如何优化电池性能的权威指南,指南分为13步,您应该逐步对照检查。http://www.buzzfeed.com/alanwhite/13-reasons-your-iphone-keeps-running-out-of-battery 安卓系统手机: 1. 清理存储空间:安卓设备是将数据存储在SD存储卡和保存应用程序的内部空间中,首先,删除设备上不再需要的音乐、照片和照片文件(确保已先将这些内容备份在其他位置)。此外,还应删除与设备上已删除的旧应用程序关联的所有文件夹。 2. 整合并优化应用:首先删除不再使用的应用程序。接着清除应用程序缓存,方法是在设备的”设置”中转至应用的属性,点击”清除缓存”。逐个应用程序来清除缓存相当耗费时间,可以使用像”应用缓存清除程序”这样的应用来自动执行并加快清除过程。 3. 优化电池性能:提高电池性的第一步是调整一些基本设置,例如调低屏幕亮度,不使用蓝牙和Wi-Fi时将其禁用。还应该限制应用访问的后台数据。例如,禁用电子邮件或Facebook和Twitter等应用的自动同步功能总能或多或少减少电池电量消耗。可以禁用所有应用程序的后台数据,方法是转至”设置 – 数据用量”,然后点击屏幕左上角的三个点来启动上下文菜单,将”自动同步数据”切换到”关闭”,然后点击”确定”。 互联网恶意软件中以移动设备为目标的所占比例呈上升趋势,尤以安卓设备的情况最为严重,着实令人担忧,因此优化智能手机和平板电脑所必需额外执行的第七步是下载和/或更新可靠的移动安全套件。

为什么网络犯罪分子会瞄准您的智能手机 – 信息图表

手机恶意软件已成为网络犯罪分子中最热门的话题,大量恶意手机应用迅速增长。原因显而易见 – 有多种方法可通过让手机感染病毒来挣钱,范围从直接窃取到安装像比特币挖矿这类讨厌的东西。看看我们绘制的信息图表就很清楚,手机上哪些资产需要专用保护解决方案。

RSA 2014 安全大会网络安全畅销书目推荐

尽管近期深陷负面新闻,但RSA 2014 安全大会依然是网络安全业内最大的盛会。这里汇聚了全球最精英的人才、最出色的管理者以及最具影响力的专家(不过从应用安全角度看,安全分析师峰会才是目前被公认为行业内最高端会议-作者注)。如何才能接触到极为私人的安全专家团体,并紧随其步伐呢?最佳方式便是通过调查和阅读时刻掌握最新趋势。当然我指的是海量的阅读。去年我们对RSA 2013安全大会畅销书目进行了总结,今年我们将继续这一传统。下文列出了本年度网络安全行业最优秀书目名单: 1.《谷歌知道你多少秘密?》 本年度最引起恐慌的一本书:) 当你在使用谷歌的”免费”服务时,你付出的代价就是花费大量时间以及个人信息。谷歌靠着对每一名用户的了解大发横财…如果知道谷歌对你的了解程度,相信你定会大吃一惊。《谷歌知道你多少秘密?》是首本揭露谷歌如何利用其巨大的信息库存来赚取用户或用户企业的巨额利益,以及用户应如何保护自己的一本书。 本书与关于谷歌黑客的其他书籍完全不同,其内容不仅仅是讲述聪明的用户如何利用谷歌搜索结果进行检索那么简单,而用户在使用所有谷歌高级应用程序时所泄露的信息。西点军校计算机科学教授格雷格•康蒂(Greg Conti)揭露了Gmail、 Google Maps、 Google Talk、 Google Groups、 Google Alerts以及谷歌全新手机应用等所涉及的隐私问题。康蒂教授通过进行高级安全研究,揭示了谷歌数据库如何被别有企图的人所利用,尽管谷歌长久以来秉承”不作恶”的承诺。 发现用户使用谷歌搜索后遗留下零碎信息的蛛丝马迹。 Gmail是如何被利用来追踪个人朋友网络、家人以及熟人信息的。 谷歌地图和定位工具如何揭露你的家庭住址、工作单位、家人和朋友、旅行计划以及一些个人意图的。 谷歌以及其他网络公司的信息库存是如何被泄露、丢失、获取、共享或传播,之后被用于身份盗窃甚至敲诈勒索的。 谷歌AdSense和DoubleClick广告服务如何通过网络对你进行跟踪。 如何系统逐步地减少你的个人信息公开和泄露。 本书为网络用户敲响了警钟,同时还是一本”网络自我保护”指导手册。《谷歌知道你多少秘密?》对每一名谷歌用户来说都是一本不可或缺的好书,无论是私人用户还是安全专家,都值得拥有。 2.《黑客大曝光7:网络安全机密与解决方案》 专业人士通常都会从他人的经验和教训中学习。索尼团队首席问题官和FBI前执行助理局长强力推荐本书,原因如下: “我们现在所面临的现实是不断受到零日漏洞攻击、高级持续威胁攻击以及国家资助的攻击。如今,黑客攻击愈演愈烈,安全专家需要精确掌握黑客的思维方式、方法和所用工具箱,如此才能成功阻止这些近乎疯狂的攻击。该版本向读者介绍了最新的攻击途径,以及如何有效应对这些不断演变威胁的方法。”索尼网络娱乐首席问题官布雷特•沃何林(Brett Wahlin)这样评论道。 “不再’重拳出击’ –