1036 文章

物联网安全

2011年下半年,中国黑客曾彻底摧毁美国商会服务器,并通过毁灭性的后门链接,入侵美国商会游说小组的网络。美国商会官方承认,黑客已获取任意访问商会计算机系统的授权,并已窃取从核心电子邮件至国际商贸文件至企业会议备忘录在内的所有信息。总而言之,美国商会已成为完全传统式APT型黑客攻击的受害者。在众多类似黑客攻击的案例中,让我对这次黑客攻击记忆深刻的原因在于,当实施黑客攻击后的清理进程时,调查者发现国会山建筑中的一个恒温器装置正在和中国境内的一处IP地址不断通信。   物联网安全 如果您读到此处,您是否会发现,现在您已拥有多件可以连接互联网的装置,而在五年前,您根本无法使用此类装置访问互联网? 这正是”物联网”的本质所在。互联网曾是通过集线器连接计算机及服务器的网络。从这一点来说,物联网的扩张速度如此之快,以至于我都已对计算机本身定义感到模糊。现在,几乎所有事物都有其IP地址并都可以连接互联网:汽车、家用电器、医疗设备、电话、游戏机、谷歌开发出的互联网接入眼镜,我甚至听说现在已有可以发送推特消息的啤酒桶龙头。 如果把互联网安全性比作迷宫,则迷宫的进出口越多,就越容易逃离迷宫。同样的道理,连接网络的设备越多,黑客攻击网络的机会也就越多。简而言之:每个设备都代表进入网络的可行途径,推而广之,每台机器也是如此。 连接网络的设备越多,黑客攻击网络的机会也就越多。简而言之:每个设备都代表进入网络的可行途径,推而广之,每台机器也是如此。 连接网络的设备越多,黑客攻击网络的机会也就越多。简而言之:每个设备都代表进入网络的可行途径,推而广之,每台机器也是如此。 对于系统管理员及IT团队来说,这无疑是一场噩梦。越来越多的企业都不得不采用自带移动设备(BYOD)策略。 可以设想,让大量员工在其个人对现代科技拥有不同理解程度的条件下,将成千上万的不同设备连接至企业网络中,将是多么可怕的一幕。我可以肯定是,对于并不太了解网络支持技术的我们来说,这将是一种无形的威胁。 在物联网中存在着更为明显的威胁。对于苹果、谷歌、微软及其他计算机巨头公司中负责设计操作系统及软件的工作人员来说,他们首先考虑的问题就是安全性。确实,这些工作人员正在通过各种技术工具或补丁包处理已出现的所有漏洞及缺陷,但至少这些工作人员在考虑有关安全性的问题。 另一方面,对于可以调节附近游泳池中化学物质的工业控制盒来说,我不敢确定此类控制盒产品的设计者,在使控制盒连接互联网,以便于游泳池操作员可以定期远程调节泳池内化学物质的时候,是否考虑过安全问题。相同的逻辑可以扩展到一切可被黑客攻击的机器:带有公共利用概念,但可被黑客利用无线技术攻击的装置、通过内嵌方式安装的医疗设备(如心脏起搏器及胰岛素泵)、或大型商务飞机等等。从电视至新时代智能计量装置在内的任何事物都可能成为潜在的受攻击对象,但当前仍未有人为此类装置或设备设计安全保护产品。当前,功能强劲的互联网安全防护产品通常仅可以保护计算机免受恶意软件感染。对于此类可连接互联网的小装置来说,却无任何安全防护壁垒。 如果您认为我们在这里虚张声势,那么请阅读有关卡纳僵尸网络的相关资料,该僵尸网络曾因2012年互联网普查结果而名噪一时 在美国,可对此类事物提供保护的唯一方法是,推行相关的国家监管法律。 在美国,可对此类事物提供保护的唯一方法是,推行相关的国家监管法律 从互联网连接整体角度来看,当前的现实是:过多的设计者为获取大量利润,设计出过多相互并不兼容的系统,以向用户推出可操作的产品;但当把产品推向市场时,却未对产品提供必要的安全保护措施。在美国,可对此类事物提供保护的唯一方法是,推行相关的国家监管法律。不幸的是,鉴于此类法律将对获利企业造成广泛影响;因此,此类法律不太可能完成起草进程,更不可能完成立法进程。在华盛顿特区的立法者人群中,”监管”是个不太受欢迎的词汇。 美国食品及药品管理局及国家安全部门的工业控制系统计算机应急响应小组(ISC-CERT)已开始通过合作形式,试图使医疗设备生产企业采用更为严格的安全保护措施。该项合作仅可处理有限的安全需求;特别是,在考虑到近期ISC-CERT建议,使400余种医疗设备在使用默认登录证书的条件下,可以访问关键设备设置界面的条件下,更是如此。建议、指导准则及其他无约束力的警告,不太可能解决这一问题。眼下我们将不得不在无安全保护的条件下生活。您可以做到的仅是保持时刻警惕的心态。

谷歌以用户隐私及安全性作为筹码,推行”视频群聊”服务

针对谷歌在圣弗朗西斯科召开的I/O会议上,针对明显缺乏隐私保护问题的讨论事项,我们近期已撰文予以列述。尽管在该会议上,并未讨论过多隐私保护事项,但谷歌公司所采取的行动却比任何言语更有说服力。当谷歌公司计划推出新即时消息平台以取代其长期使用的”聊天”应用程序时,有关用户隐私保护的问题更加明显。   正如我们积极倡导保护用户隐私性的朋友——”电子前沿基金会”所强调的内容,谷歌所采取的行动可以让人理解,该公司使用新”视频群聊”服务平台,取代有些过时的”聊天”服务平台可能产生两种后果:一种是谷歌为推行其新颖的消息通信服务,将大幅缩减对可扩展式即时消息及出席协议(XMPP)的技术支持。对于XMPP这一开源性通讯工具来说,曾因受益于谷歌公司提供的技术支持,而得以广泛应用。 使用XMPP意味着,用户可以使用”谷歌聊天”工具向AOL即时通讯及其他若干聊天服务供应商的用户,实现跨平台的即时通讯。使用XMPP还意味着可使用”离线记录”(OTR)加密程序为”谷歌聊天”的开源式框架提供支持。请不要混淆谷歌的”离线记录”功能及”离线记录”加密程序,稍后我会对两者之间的区域稍加解释。而”视频聊天”却不支持上述两种功能。 第二中且似乎更具相关性(但实际影响力更低)的后果是,在新推出的”视频群聊”平台中,用户将不再可以针对所有聊天内容,采用”删除记录”选项。”删除记录”选项的功能如其字面意义所示:在打开该功能的条件下,谷歌公司无法将您通信中的聊天历史记录归档。尽管如此,用户仍可完成记录删除进程,但仅可基于联系人至联系人的方式删除记录。 谷歌公司对此解释称: “我们已对谷歌聊天及谷歌语音聊天的历史记录设置项做出变更。您可以关闭个人聊天记录,但您将不再可以使用关闭所有聊天历史记录的选项.” 谷歌公司正在以开源式聊天软件平台的用户安全性及隐私作为筹码,推行新视频群聊平台。对于谷歌公司来说,可通过更华丽、更复杂及无缝连接的方式,使谷歌自身和先前不一致的应用程序更好的融合在一起。 谷歌公司正在以开源式聊天软件平台的用户安全性及隐私作为筹码,推行新视频群聊平台。对于谷歌公司来说,可通过更华丽、更复杂及无缝连接的方式,使谷歌自身和先前不一致的应用程序更好的融合在一起。 什么,是这样吗?上述聊天平台的改变,不仅表示用户使用的不便利性稍微增加,而且我们的反应还可以体现对虚假在线表示愤怒的集体倾向,不是吗?除上述不满之外,经仔细思考后,我们可以发现停止XMPP将可能产生更为严重的后果。 正如EEF的帕克 希金斯(Parker Higgins)所 述,对于希望使用OTP加密功能且隐私意识较强的用户来说,将无法继续使用该加密功能。略具讽刺性的是OTR加密的本质是加密通信协议,而谷歌公司已过渡滥用该数据。对于谷歌公司来说,关闭记录仅意味着无法归档即时通信消息,和加密功能的使用时间无任何相关性。事实上,OTR是”确保在线通信安全的关键组件。”当两名用户使用OTR时,除这两名用户之外,其他人(包括服务提供商)全都无法访问两人之间的通信内容。使用原有的XMPP框架,可使得用户掌控自己的聊天服务器,并可使得其他非谷歌用户在和谷歌用户通信时,使用OTR加密程序。而这一切都将发生改变。 希金斯撰文声称:”有鉴于此,用户仅可选择使用谷歌聊天服务器,或删除未使用谷歌聊天服务器的聊天对象。更糟糕的是,谷歌用户不会注意到下述变化:谷歌用户将无法再次和使用jabber.org的聊天对象、fsf.org的成员或任何其他使用XMPP服务器的聊天对象正常聊天。 本文所要指出的重点是,尽管无任何谷歌官方应用程序支持OTR,但用户应可绕过该壁垒使用OTR,其原因在于XMPP具有开放型框架。换句话说,谷歌公司正在以开源式聊天软件平台的用户安全性及隐私作为筹码,推行新视频群聊平台。对于谷歌公司来说,可通过更华丽、更复杂及无缝连接的方式,使谷歌自身和先前不一致的应用程序更好的融合在一起。此类不一致的应用程序诸如:谷歌聊天、谷歌语音聊天、谷歌+视频群聊等(请不要将谷歌+视频群聊和相同名字的新聊天平台相混淆)。 我们绝大多数人或许会对谷歌感到失望。谷歌公司层在用户数据隐私保护及安全性方面功勋卓著,但最终我们将需使用已用户隐私安全为筹码的新服务平台。对于真正需要使用安全保护聊天应用程序的用户来说,我们已编辑出一份安全保护性良好的媒体列表。在该列表中排行首位的是Skype,但是我们也已给出相关提示:即便是列表中的媒体,也可能会受到政府监视。 平心而论,”谷歌聊天”应用程序在八年前,计算机至计算机间即时通信刚开始兴起时,是一款极为伟大的应用程序,该应用程序行业也使用”聊天”应用行业予以命名。事实上,谷歌聊天也曾经过不断进化的演变进程,使用户可以实现跨平台之间的即时通信。但是,永久连接式设备和不同独立设备及操作系统(如,What’s App网站、黑莓、Facebook聊天服务)社交信息通信的发展,致使用户产生新需求,并最终致使基于SMS的文本信息服务及原有的聊天服务最终被新聊天服务所取代。 Verge网站发布了一遍有关此方面的绝佳综述性文章。该文章不但详细介绍了视频群聊服务平台,并准确阐述了使用视频群聊服务对谷歌公司的意义。鉴于即时通信服务的发展已远远落后于移动信息服务的发展,因此视频群聊服务似乎已成为谷歌公司必须实施的服务方式。该文章绝对值得一读。    

解密及越狱:如何实施两项操作,及两项操作将对安全性造成何种影响?

运行安卓及iOS操作系统的智能手机所有者,有时会针对是否值得对其手机设备实施神秘的解密及越狱进程,实施热烈讨论。实际上,解密及越狱是可以产生一些有趣后果的黑客攻击活动。本文将针对解密及越狱操作的利与弊予以讨论。   尽管两种操作的名字不同,但解密及越狱操作在本质上属于同一操作;通常情况下,术语解密适用于安卓手机设备,而越狱适用于iPhones。对于一部新智能手机来说,许多操作仅限于手机制造商或操作系统开发商创建的软件程序;并且手机已针对从应用程序库中下载的所有应用程序设置访问权限。解密及越狱用于描述如何获得设备完全管理权,以允许在手机上操作原始状态条件下,并未安装的第三方程序(如,控制CPU时钟速度或覆盖系统文件等)。通过使用专门创建的程序,用户可在不受制造商限制的条件下,在智能手机上实施任何操作。当然,更大的权力意味着更多的责任:”绝对一切”包括删除您智能手机中的一切软件或安装功能全面的间谍软件。 为何费神实施越狱/解密? 坦率的说:根据估计结果,大约有50%及90%的用户选择越狱或解密其手机设备,以便于在无任何限制的条件下,安装盗版游戏或应用程序。尽管我强烈反对用户实施越狱或解密,但确实存在多个体面的理由使您对自己的手机,实施此类黑客攻击式的操作。 首先,安装具有管理员权限的应用程序,可使得手机具有先前无法想象的功能。举例来说,可基于不同环境条件改变铃声音量的应用程序。此类应用程序可根据麦克风、摄像头图片分析,及表明手机处于用户袋子或口袋中的移动读数,确定背景噪音等级。 解密及越狱用于描述如何获得设备完全管理权,以允许在手机上操作原始状态条件下,并未安装的第三方程序。 解密及越狱用于描述如何获得设备完全管理权,以允许在手机上操作原始状态条件下,并未安装的第三方程序。 第二,解密及越狱可实现更灵活的应用程序管理。钛备份是一款全面且灵活性强的”时间机器”软件程序。该程序为在需要完成解密进程的条件下安装且最受欢迎的安卓应用程序之一。通过使用该应用程序,用户可以便捷的将旧智能手机中的数据,转移至新智能手机中;或在用户不满意新版本应用程序的条件下,可使用户重新安装旧版本的应用程序。 解密/越狱进程 用户可通过获得制造商批准,合法获得安卓智能手机的管理员权限。通常情况下,用户为合法获得手机管理员权限需实施下述步骤:用户必须输入智能手机的唯一编号(IMEI)并下载必要的软件。通过上述步骤,用户将可解锁智能手机的引导装载程序,并可上传经修改后的操作系统。经修改后的操作系统将授予用户所有管理员权限。听起来上述步骤非常复杂?实际上,这也是为何制造商不向此类解锁后的智能手机提供保修的原因所在,并且经解锁后,手机将处于”开发者设备”状态。 有鉴于此,用户及居心叵测的攻击者通常采用其他路径:此类用户及攻击者搜寻智能手机固件中的漏洞,以便于在无需联系生产商的条件下,获得相同的管理员权限。此类程序类似于可利用您网页浏览器漏洞的恶意软件程序;黑客通过利用此类恶意软件程序可在您毫不知情或在未获得您同意的条件下,自动在您的计算机中安装。为使用此种类型的漏洞,解密您的智能手机,您需要使用USB连接线使智能手机和计算机相连接,并启动计算机中的相关应用程序,或启动手机中的应用程序。数分钟之后,您的手机将可完成解密进程,并且您在未来无需重复实施解密进程。 iPhone/iPad的越狱同样基于漏洞的利用。通常情况下,需通过连接iPhone及计算机,并运行计算机上的相关程序实施越狱进程;但是,旧设备的越狱进程更为简单。前段时间,网络中曾出现一个非常流行的网站Jailbreakme,用户可通过该网站利用Safari浏览器中的漏洞。对于该网站来说,用户可通过使用iPhone/iPad点击该网站的访问链接,及点击”为我越狱”缉拿,获得iPhone/iPad的全部权限。后来,苹果公司修补了其产品中的漏洞,并聘用该网站的开发者作为苹果公司的内部员工。对于苹果公司来说,这是一项极为精明的投资。 实施解密/越狱的主要后果是,安装可提供新功能的额外管理程序。对于iOS系统用户来说,其设备可显示另一可替代性的应用程序商店,是获得管理员权限这块”金牌”的象征;对于安卓用户来说,证明其已成功获得管理员权限的标志是,可安装SU或SuperSU应用程序。对于安卓系统用户来说,对于设备访问管理权限的管理来说——设备将提示用户”允许”或”拒绝”访问特定的应用程序。     解密/越狱的安全益处 通过使用具有管理功能的应用程序,可从根本上采用新方式保护用户的智能手机或平板电脑。举例来说,标准的安卓智能手机缺乏独立的防火墙;更为精确的说,防火墙集成于安卓系统之中。该状况允许任何人在完全不受控制的条件下,在用户安卓智能手机上实施任何操作。仅在安卓手机的”解密”状态下,可使用应用程序强制实施防火墙准则(如,在漫游条件下,组织安卓智能猴急访问特定的应用程序等)。 最新版本的iOS系统,允许用户对应用程序可获取的数据授权实施更为灵活的管理:每个应用程序都可获得特定个人数据的访问权限。此类特定的个人数据诸如照片、联系人、地理位置等。当前,也已推出具有类似许可系统的安卓操作系统,但使用该安卓系统的用户并不具有灵活管理能力:在安装系统之前,用户将可查看完整的许可列表。如果用户不喜欢某应用程序的某些功能,则用户可以拒绝安装该应用程序。该状况将可改善应用程序使用,并通过逐个管理的方式,对已安装的应用程序实施灵活的访问许可管理。换句话说,如果您认为您某程序不应访问您所处位置的信息,则您可剥夺该程序访问您所处位置信息的权利。 许多应用程序认为解密/越狱存在安全威胁,并拒绝在已解锁的设备上运行。 许多应用程序认为解密/越狱存在安全威胁,并拒绝在已解锁的设备上运行。 对于iOS及安卓操作系统来说,具有管理员权限的应用程序将可使手机具有超强的反偷窃能力。举例来说,对于iOS操作系统,存在可拍摄疑似窃贼并显示锁屏的反偷窃应用程序;对于安卓应用程序,存在可将自身写入手机设备的ROM,并在完成出厂设置重置进程后,仍可运行的程序。当然,我们应当谨记的是,此类具有管理员权限的程序并未经过手机生产商测试,因此可能存在无法预测的程序行为(如,耗电或致使智能手机完全无用)。鉴于存在上述风险,因此绝大多数程序开发商(包括卡巴斯基实验室及卡巴斯基移动安全套件),禁止使用需要解密/越狱的程序功能。 解密/越狱的安全风险 许多应用程序认为解密/越狱存在安全威胁,并拒绝在已解锁的设备上运行。许多类似于MDM(移动设备管理程序)的应用程序,可以帮助用户检查其智能手机中的工作文件及电子邮件。一些银行的移动应用程序在已解锁的设备上处于禁用状态(尽管银行的此类决定让人感觉有些吃惊)。 除了上述风险之外,实施解密及越狱进程将可能使智能手机变为无用的塑料块,这也是解密及越狱的新安全威胁。 首先,获得管理权限的应用程序可跳出应用程序”沙箱”;因此,此类应用程序功能和所获权限之间不再具有相关性。应用程序可执行任何其希望的操作,其中包括阅读及发送和其他应用程序相关的文件、监视设备所有者、在手机所有者毫不知情的条件下,使用麦克风等。 第二,智能手机解密或越狱所需使用的应用程序,通常由业余的小团体编写;因此,此类应用程序本身也包含糟糕的程序代码及程序漏洞。此类程序漏洞可能会被看似合法的恶意应用程序所利用,并向恶意应用程序移交手机的管理权限。 第三,在解密/越狱进程中,实施的多项手机配置变更可能是黑客的绝佳礼物:越狱进程可使得绝大多数iPhone模式处于远程可控状态;其原因在于,所有越狱设备使用相同的越狱密码。当然,用户可以变更该密码,但仅有极少数用户实施越狱密码的变更进程。 无法保障您的安全 解密/越狱进程带有严重的安全隐患,但是即便不使用解密/越狱进程也无法保障您的安全性。攻击者可利用您智能手机上的漏洞,在无需使用中介程序(如SuperSU等)的条件下,为其恶意应用程序获得您智能手机的管理权限。在此状况下,未实施解锁进程及已实施解锁进程的设备之间,几乎并无任何差别。上文中提到的Jailbreakme.com网站即为现实中的实例。如果该网站的创建者是个势利小人,则他将可滥用用户手机中的程序漏洞。举例来说,除可为所有网站用户提供免费越狱服务之外,网站创建者还可在用户手机上暗中安装间谍软件。另外一个非常有趣的网站,可向网站用户提供类似于”阅读其他用户消息”的网络奇迹;该网站的创建设者同样可使用”点击这里”键,完成罪恶勾当!到目前为止,我们尚未获得有关此类案例的任何消息,但我们不能忽略使用上述计划实施网络犯罪的可能性;至少不能忽略实施目标攻击的可能性。

云文件储存指南

这些天中发布的文章都是有关云计算的文章。但是,在我们不断向远程服务器储存我们的个人数据及专业数据时,需了解的是,任何服务都不能保证100%安全。 其原因之一在于,黑客可以闯入大型公司看似安全的服务器,以窃取各种类型的用户数据。此类数据包括账户登录信息及密码信息等(询问Evernote公司、Yahoo公司或DropBox公司,即可了解相关信息)。但是,最大的威胁却来自于并不复杂的黑客攻击。黑客可利用已窃取的信息(如用户电子邮件或用户物理地址),重置用户账户密码。一旦黑客完成某用户账户密码的重置,那么黑客将可以破解云服务器中的任何其他账户;利用您的个人信息、专业信息及财务信息;使您的名誉受损;及删除或损毁您的数据或在线账户(询问连线网站的记者麦特· 宏南(Mat Honan),即可了解此类攻击的严重性)。如果此类状况可能发生在一名科技记者身上,那么您也可能会遭遇此类状况。 最大的威胁却来自于并不复杂的黑客攻击。黑客可利用已窃取的信息(如用户电子邮件或用户物理地址),重置用户账户密码。 当然,我们希望把所有数据都储存在云服务器中,这样我们可以无需在自己的硬盘中储存任何数据—诸如我们的电子邮件、音乐、图片等,并可以在我们的设备上随时访问此类数据。但是,正如卡巴斯基实验室的研究员卡丝汀· 瑞鲁(Costin Raiu)所述,云服务中存在非常严重的安全陷阱。 卡丝汀· 瑞鲁声称:”使用云服务的风险在于,您的数据可能会永久丢失…或可能会被窃取。黑客可利用已窃取的数据做尽坏事。” 因此,如果云服务存在如此多的风险,我们应怎样保护储存在云服务器中的所有信息? 1.在有可能的条件下,使用双重认证。谷歌、Facebook及推特网站已向用户推出双重认证服务,并且越来越多的其他网站也在陆续推出该服务。尽管利用该服务可能致使您无法以最快的速度获取所需数据,但对于您珍视的所有信息来说,却更具安全性。 2.不同账户使用不同密码。该方法可能会使您难以记忆所有密码,但您可以使用密码管理器帮助您记忆所有密码。 3.使用不同的登陆名。请不要在不同的账户中,使用类似的登陆名—诸如姓名首字母简写/姓氏,加@gmail.com或@yahoo.com后缀组成的登陆名。 4.为财务信息及恢复信息创建单一功能的电子邮件。 为所有包含信用卡信息或银行信息的任何账户创建一个电子邮件账户;为密码及账户数据恢复信息,创建一个独立的电子邮件账户。 5.对您的数据实施物理备份。云服务的某些环节可能会出现故障,因此对于您生活必不可少的信息,应使用放置在多个安全位置的多个物理驱动器备份此类信息。您可以在计算机上及在外部硬盘驱动器上储存此类信息数据,并在家庭之外(您的办公室、父母家中等)的安全场所储存一份此类信息数据的物理备份。在此状况下,即便是在发生火灾或被夜贼光顾时,您也不会丢失此类信息数据。 6.对特定数据采用额外预防措施。您可针对特定数据,采用三个等级的保护措施。 最低保护等级为,使用密码保护的Word 及Excel文件——通过点击”工具”,然后选择”保护文件”,接着输入密码即可实现该保护等级。 较高的保护等级为,通过所使用RAR或Zip压缩格式,加密及压缩文件夹,以增强文件的安全性,并对此类文件夹实施保护。 最高的安全等级为,对于具有真正敏感性的数据,使用加密程序(诸如 PURE 3.0中包含的全系统安全套件)实施加密保护,以使得您的数据可处于诺克斯堡式的安全环境中。 7.密码,密码,密码。对您的任何及所有信息实施保护的最简单方法之一是,创建并使用安全性极强的密码(在不同账户之间不可重复使用相同密码…请参阅步骤2)。请勿使用任何可在字典中查到的单次。请勿使用日期数字或姓名。尽可能使用长密码——如使用18位由数字、字母、非字母及数字符号组成的密码。在开始阶段,记忆此类密码可能较为困难,但密码管理器可为您提供帮助(请再次参阅步骤2)。 8.保护您的所有设备。通过使用最新的保护措施,确保您使用的所有设备处于同一保护水平。您可以在使用安卓系统的设备上使用卡巴斯基移动安全套件,并在苹果公司设备上,使用寻找我的iPhone套件。另外,同样重要的是,应对您的移动设备采用额外的安全措施(如,使用密码或PIN码锁定您的移动设备等)。

“现实生活中”中的信用卡安全

每个人都在讨论HTTPS,并谨慎地在线使用信用卡或借记卡,但是什么原因使您认为线下使用银行卡安全呢?除我自己之外,我无法代表其他任何人。但是,我愿意打赌,当您进入杂货店、餐厅或加油站时,您会心甘情愿地将信用卡交给一些您从未遇到过或从未见过的人;仅是因为他或她站在类似于销售终端的机器附近,您会在潜意识中相信这位陌生人。   大学毕业后,我在开始撰写有关计算机安全的文章之前曾担任调酒师的职务。对于计算机安全我曾仅掌握一点极为皮毛的知识,并且无任何时间考虑有关网络安全的事务。我对什么是病毒无任何意识,不了解病毒如何工作,或为何有人要创造病毒,但我知道病毒对令人厌烦的旧指令销售终端来说是个坏消息。直到今天,我仍不能100%确定刷过信用卡后发生什么事情。但是,销售终端却多次出现故障,这使得我对系统的完整性产生质疑——亦即现如今我们称之为”终端至终端”的系统(消费者至零售商至信用卡发行者或银行,及上述两者之间的任何及一切联系)。 或许此时销售终端机仅引起我们的注意,但是当销售终端机在此出现故障时,我们已无法再次容忍这种状况,因此我们不得不打电话请求萨姆的帮助。萨姆是一名年仅16岁的本地高中生黑客及计算机爱好者。他有一头让人感到莫名其妙且长发及腰的金发,我想大概萨姆认为该发型是当时流行的发型吧。萨姆用了一晚上的时间(毕竟这是一家酒吧,需要在晚上工作),并为我们修复了系统。但只有萨姆及他的狐朋狗友杰西(曾在酒吧工作,但因偷窃酒吧的一瓶酒而被开除)了解如何修复系统。 我并未表达正是这两个男孩从幕后破坏销售终端的意思,也未表达酒吧设施过于粗疏的意思。实际上,我所工作的这个酒吧是当地颇受欢迎的酒吧,并且如果我的记忆没出错的话,萨姆最后毕业于乔治城大学的计算机专业;杰西也从一名惹是生非的年轻人成长为一名受人尊敬的成年人。或许我的表述不够规范,但我仅想向您表述,您真的无法了解销售终端的背后究竟出现什么问题。 那么,从实用主义观点来看,从信用卡以塑料卡的形式打印而出的那一秒起,到我们用剪刀将信用卡剪断的那一刻为止,我们应如何保证支付数据的安全呢?曾有人开玩笑的告诉我,我们应使用铅质钱包;其他人也曾建议称,我们应将钱包放在小偷难以窃取的口袋中。我同意上述观点,使用纽扣扣上处于身后位置的口袋,确实可以防止小偷偷窃。小偷需要极为灵巧的手指,在我毫不知情的情况下,才能从已经扣上的口袋中偷出我的钱包。 除了扒手外,您还要注意哪些您亲自把信用卡交付其手的人。曾经有一次,我在马萨诸塞州波士顿市理发后,当我询问极为友好的发型师,是否可使用信用卡时,发型师告诉我,理发店无法使用信用卡,但他的妹妹在街尾处拥有一家礼品店;我可以通过电话告诉发型师妹妹信用卡卡号,在他妹妹店内付款;然后,发型师的妹妹将向其支付理发费用的现金。但我友好的拒绝了这一提议。 同样,这种场景较为罕见,但应注意的是:当任何人希望记下您的信用卡卡号,或希望使用旧式刷卡机刷您的信用卡时,或许您应当做的是,向他支付现金。 ATM诈骗器是指可安装在ATM上,当您将信用卡插入ATM机时,用于偷窃信用卡数据的设备或装置。 ATM诈骗器是指可安装在ATM上,当您将信用卡插入ATM机时,用于偷窃信用卡数据的设备或装置。 上述内容甚至尚未提及ATM!如果您真的希望了解可怕性,则您可以阅读安全记者新闻网站中的文章及ATM诈骗器专家布莱恩 克雷布斯(Brian Krebs)发表的文章。值得庆幸的是,克雷布斯并非仅使用让人感到恐惧的语言予以描述,还已展示出有关诈骗设备的大量图片页面,并已对诈骗设备如何工作予以说明。 顺便说一下,ATM诈骗器仅是我们用于描述可固定在ATM上,当您将信用卡插入ATM机时,用于窃取信用卡数据的设备或装置。基于相同的意图及目的,相类似的诈骗器还可安装在销售终端及天然气终端的信用卡支付输入键盘上。在现实世界中,此类诈骗器等同于中间人攻击。如果您希望了解更多有关此类诈骗器装置如何工作的技术细节,那么我诚恳地建议您查看安全网站中克雷布斯发表的文章。 如果某人已黑进PoS机终端,或已经在ATM上安装诈骗器以从事意图不轨的工作,则您在收到可怕的数据泄露通知邮件(或电子邮件)之前,甚至都不会察觉此类坏人的存在。但是罪犯也是常人,因此罪犯也会偷工减料。再次提醒,除非您能拆开ATM,否则您无法注意到可能已安装的绝大多数诈骗器。尽管如此,我仍在使用ATM时,认真检查ATM机。我会晃动一下键盘罩,以确认键盘罩是否已牢固固定。我会查看显示屏周围及下方,以检查是否存在监视键盘的装置;通常情况下,我会通过拨弄一下显示屏周围,以确定一切处于正常状态。另外,我还会留意观察摄像头的位置,通过微型摄像头窃取ATM使用者信息的例子比比皆是。所有ATM都会配备摄像头,但此类摄像都应正对您的脸部,而不是正对键盘位置。我从来不是用街头的ATM机,并且避免使用处于监管区域之外的ATM机(亦即,我总是使用周围存在负责人,且容易被负责人看到的ATM)。银行中的ATM机是最佳选择,其原因在于,从理论上说银行员工懂得有关ATM诈骗器的知识,并懂得如何发现ATM诈骗器。根据克雷布斯的描述,ATM诈骗器的存在并非假设中存在的问题,美国安全服务部门宣称,2008年ATM诈骗金额高达10亿美元。该数据每年仍在不断增长。 黑客劫持销售终端的问题更为棘手。花些时间确定销售终端外壳是否处于完全无损及正常状态,肯定是终端用户值得做的事情;即便如此,储存及传输支付数据的销售终端也可能已遭破坏。销售终端的使用除需要点对点的安全保护之外,还需要保护其他诸多方面(再次提醒,需留意从你手中向收钱者支付的全过程)。一位安全专家层向我讲述下面的故事:罪犯穿着半官方性的制服,告诉某不知名零售店的员工,他们前来维修PoS系统。当然,他们并不是来维修系统,而是来安装诈骗器。我很难确定这个故事的真实性,但我却认为这个故事是现实中真实发生的事情。 请将销售终端的使用想象为扑克游戏;在玩扑克游戏时,您总是尽可能的使手放在近身位置,以防止其他玩家偷看。大大咧咧的将您的借记卡放在桌面上,等同于在网络上发布您的借记卡照片。在销售终端的使用时,您还需尽可能的少用笔。只要有机会,您就应当选择使用借记卡而并非选择使用信用卡。在此状况下,即便您已遭受销售终端诈骗,至少坏人无法掌握您信用卡的PIN编号。 最后,许多事情处于您可控制的范围之外。也就是说,您需要采取多种有效的处理措施:您应始终注意银行账户余额及信用卡余额。有些银行会设定ATM取款限额,因此如果在您遭受ATM诈骗时,诈骗者仅可取出限制范围内的现金款项。在可能的条件下,尽可能多的使用不同银行的不同信用卡也是不错的方法。试样一下:如果在您遭受ATM诈骗时,您希望被诈骗者掌控的是无任何取款限制的美国运通信用卡,还是仅可取款1000美元的其他银行信用卡?该方法同样适用于借记卡。我在出门时,从来不携带和生活储蓄账户相链接的借记卡。    

为您的数据加密的原因

人类已发明多种保护其秘密的方法。在古罗马时期,贵族如果需要发送私人信件,则会剃光一个奴隶的头发,并将信件写在奴隶头皮上,直到奴隶的头发再次变长后,将奴隶送至收件人处。当然,在二十一世纪的今天,我们不需要使用时间如此之长的加密方法,并且我们需要更为稳健的保护。幸运的是,最初军队用于破解密码的计算机,现在可使我们通过加密的方法,近乎完美的保护我们的私人秘密信息。在很长一段时间内,仅政府可以使用安全性强的加密方法,但现在任何计算机用户都已可使用该方法。更重要的是,即便是您从未考虑过该方面的问题,实际上您一直拥有值得加密保护的秘密信息。   当我们开始讨论加密及保护时,有人总是会生活:”我没有任何需要隐藏的秘密”。但是,通常来说他们的意思是:”我认为没有人会为进入我的智能手机或笔记本,以发现一些有价值的事项而费神。” 但实施证明,这种希望是不真实的。对于您周围的人来说,保存在家庭计算机上的一份文件或您放置在卧室中的手机将很快成为他们检查的目标。您是否已准备好向您的妻子、兄弟或孩子,展示您的所有信件、图片及文件?或许在您的信件、图片及文件中并未保存任何不良信息,但或许您仍不想将此类信息和他人分享。您是否已准备好将您的信用卡卡号及PIN码告诉您仅十几岁的孩子?将您的Gmail或Facebook密码告诉您的妹妹?向您的朋友展示您的所有家庭照片(您的朋友可能会到访您的家庭,并借用您的电脑15分钟)? 您是否真的希望向您的妻子解释,娜塔莎只不过是您工作所处公司中,另外一个部门的同事,及您所讨论的”明日见面”实际上是参加由十名与会者参加的业务会议? 当然,如果恶意应用程序感染您的计算机,这个故事将变得更为尴尬。在网络犯罪的世界中,近期流行的趋势是:使用恶意软件从您的计算机中偷窃所有具有潜在价值的信息:文件、图片、密码、保存在网页浏览器中的网页地址等一切事物。 在您被偷窃的图片中,通常包含有扫描图片文件;如,您驾照的图片及其他可能会被欺诈及身份盗贼使用的重要文件。现实生活中,甚至存在包含隐私信息的图片遭偷窃后,被别人恶意勒索的真实案件。 另外一件可能会对用户造成灾难性影响的是用户丢失的手机。鉴于丢失的手机中通常包含诸多有价值的隐私信息,因此一些”高级”窃贼并非仅出售这些被盗的用户手机,而是扫描用书手机中的内存,以找寻诸如用户密码及移动银行密码/应用程序等有用的数据。 加密是信息转化进程,通过该进程可使未经授权的第三方无法阅读信息;而受信任的人可以经数据解密后,按照信息的原始形式访问信息。 加密是信息转化进程,通过该进程可使未经授权的第三方无法阅读信息;而受信任的人可以经数据解密后,按照信息的原始形式访问信息。 可解决一切烦恼的同一答案 对于您的信息来说,可能存在许多潜在威胁。但是,通过禁止陌生人及未成年人使用您的家庭计算机,及使用PIN码锁定您的手机屏幕等方法,可为您的信息提供保护。 另外,当前还存在更为普遍的方式,使信息仅可由合法所有者读取。如果隐私信息以加密的形式保存,则可以避免所有尴尬的时刻及意外事件。 即便在您并未意识到的条件下,当您通过HTTPS查看Gmail或银行信息时,或当您使用流行的GSM手机网络和朋友打电话时,您实际上已在使用加密方法。但是,我们希望关注另一重要的方面——加密您储存在计算机或智能手机中储存的数据。 什么是加密 加密是信息转化进程,通过该进程可使未经授权的第三方无法阅读信息;而受信任的人可以经数据解密后,按照信息的原始形式访问信息。当前存在多种常用的加密/解密方法,但保证信息安全性的关键因素并非使用先进的加密算法,最重要的因素是确保加密密钥(密码)处于保密状态,并仅使受信任的各方了解您的加密密钥。   非常重要的是,应区分编码和加密之间的区别。编码同样也可用于传输信息,但通常情况下,用户便捷的储存或传输信息,而并非用户保护秘密信息。众所周知的编码方法包含莫斯密码,及计算机存储所使用的二进制编码。 您的数字保险箱 为确保文件加密,最为便捷的解决方案是创建加密库(亦即,众所周知的加密容器)。在您完成创建进程后,加密库将在您的系统中显示为独立的硬盘盘符。您可以向加密库中保存或复制任何文件,其使用方法类似于USB记忆棒。加密库和USB记忆棒之间最重要的区别在于,加密库物理容器仅是一个在您硬盘上创建的大文件夹,您可以使用专业软件(如,卡巴斯基PURE)访问加密库。您在加密库中保存任何文件时,加密库都将为该文件”飞速”加密,并保存至加密库中大容量文件夹中。 访问您的计算机的任何人都可查看甚至偷窃(复制)加密库文件,但对于窃贼来说,查看及偷窃加密库文件并不能使窃贼访问您的信息。在加密文件中仅保存有随机排列的字符,为找到正确的密码,以将窃贼保存在其磁盘上且满是垃圾字符的加密文件转化为可读文件,可能需要耗费窃贼若干年的时间。 当然,为使得加密容器可以获得有效保护,您必须遵循一些基本的原则: 您的加密密钥(密码)是唯一防止他人访问您加密信息的关键因素。因此,您必须使用长而复杂,且难以被他人猜测的加密密码。点击这里,查看我们在创建良好密码方面为您提供的建议. 您必须在加密盘符中储存所有隐私信息。 了解加密密码的任何人都可阅读加密库中储存的所有文件。如果您有各种不同类型的信息,并希望不同的用户访问不同类型的信息,则您需要创建使用不同密码的多个加密库。 非常重要的一点是:请不要安装加密驱动器。如果您安装加密驱动器,则任何人可以向从普通盘符中偷窃您的文件一样,偷窃您的加密文件。仅在需要加密重要数据时,安装加密驱动器,并在完成加密进城后,立即卸载加密驱动器。 如果加密库文件夹遭到破坏,则您将丢失储存在该文件夹中的所有文件。这也是为何经常备份加密库文件夹非常重要的原因所在。 对您的计算机实施全面保护——我们建议使用卡巴斯基PURE,为您的加密密码提供保护,以抵御木马及键盘记录程序的攻击。如果您的计算机中存在正在运行的键盘记录程序,则您所有的加密努力都将白费。 智能手机的安全性 在智能手机被盗的条件下,为保护用户的数据,移动手机操作系统供应商已开发出具有加密功能的操作系统。用户重要的信息将以加密的形式储存在手机中,并且仅当用户每次输入PIN码后,方可解锁其手机设备。苹果公司禁止用户修改加密设置,但当您启动密码保护时,苹果手机产品可为您的多种信息加密。在安卓安全设置中,存在全部内容加密选项。通过使用该功能,在未使用密码的条件下,所有用户数据都处于不可访问状态。为确保您可以获得最大程度的保护,我们建议您使用最新的移动手机操作系统——iOS

隐私

Phasellus massa sit dis? Aliquam nascetur nunc, aliquet augue purus vut pellentesque ultrices eros porttitor! Dignissim, elit ac aenean ac hac, placerat rhoncus sed ultrices montes dis odio, magnis pid