加密

58 文章

11月安全新闻综述

11月份,卡巴斯基实验室为您带来了众多具有深刻见解的行业文章以及突发性的安全新闻事件。从”Darkhotel高级持续威胁攻击”到如何提高你iPhone手机的电池续航能力”,我们始终为您带来安全行业的最新热点。如果您错过了我们11月份博客的任何内容,无需任何担心,今天我们将为您带来其中精华的内容! DarkHotel:发生在亚洲豪华酒店内的网络间谍活动 11月,卡巴斯基实验室详细介绍一种被冠以”Darkhotel”(黑店)称号的间谍网络,竟然在许多亚洲酒店的网络内存在了长达7年的时间。此类攻击运行原理如下:Darkhotel威胁通过感染某几家高档酒店,对正在入住其中的大型公司高管进行攻击。受害高管在办理完酒店入住手续后,通常会连接Wi-Fi网络(只需输入姓氏和房间号即可联网)。网络攻击者则会利用这一机会迅速向受害人提供合法软件的更新,当然同时还会偷偷安装后门。最后,一旦网络攻击者成功”进入”受害人设备,即可使用一整套工具来收集数据、找出密码并盗取登录凭证。 阅读我们11月份最热门#安全新闻#博客的精华部分。 卡巴斯基实验室首席安全研究员Kurt Baumgartner对Darkhotel给出了可能最好的解释,他这样说道:”在过去的几年中,一款被称为’Darkhotel’的强大间谍软件针对众多名人成功实施一系列的网络攻击,所运用的手段和技术水平远非常规的网络犯罪行为所能匹敌。这一威胁拥有自动运行功能以及数字和解密分析攻击能力,而所具有的其他优势足以随意利用受信任的商业网络,并将特定受害人类别作为攻击目标,其背后有着极强的商业策略目的。 #Darkhotel: a spy campaign in luxury Asian hotels – https://t.co/RVxkUg1B2K via @kaspersky #security — Kaspersky Lab (@kaspersky) November 11, 2014 他的这一番介绍是否吊起了你的胃口?我们建议您读一下该篇博文的剩余内容,了解更多有关卡巴斯基实验室产品是如何查杀此类恶意程序及其用于”Darkhotel工具包”的变异体。 从信用卡遭黑客入侵所学到的五个教训 网络骗子尤其擅长绕过我们所部属的安全措施,甚至还能感染ATM机及大型零售商系统。 你是否曾收到过来自银行或信用卡发卡公司的通知,告知您一笔事实上你从未消费过的交易?这的确是一件可怕的事情,但你根本无需感到无助。以下是通过我的个人真实经历所学到的5个教训:

采用全新加密系统的Android 5.0提供更为出色的数据保护能力

最近几周,移动安全领域分外热闹,苹果和Google两大巨头先后发表声明称保存在各自最新版本的iOS以及安卓操作系统的用户内容受到严格加密,且两家公司本身都无法对本地存储信息进行解密。 默认加密 执法机构当然无法对这一事实感到满意,因为这意味着即便有正当的理由,这些部门也无法保证能要求用户解密本地保存的数据。因此这些机构只能出动政府官员对广大用户进行明目张胆的恐吓–少不了借用恋童癖和恐怖分子的老套故事–迫使用户相信加密是不正当且危险的。 与此同时,隐私与安全倡议者们又进一步推出了新的全盘加密方案,似乎预示着消费者们即将迎来真正的移动数据安全时代。 有些人认为这一系列举措过于冒失和鲁莽;另一些人则将此举视为对现有安全环境所进行的一场彻底变革,因为目前情况下,政府在缺乏任何监督下可轻易收集用户的信息。 #Google #安卓操作系统的最新版本将步#Apple #iOS后尘,也将启用默认全#加密#。 本月早些时候,我们曾撰写过一篇关于”苹果新默认启用加密“的文章,你可更多地从执法机构的角度品味这篇文章。现在是时候从技术角度讨论Google借以兜售其最新Android Lollipop系统(简称为”Android 5.0″或”Android L”)的默认加密功能,”Android L”中的L代表的是罗马数字50以及”Lollipop”的首字母。 安卓加密简史 据来自Android Explorations博客的Nikolay Elenkov表示,自Android 3.0发布以后,安卓用户即可自行选择是否需部署全盘加密(FDE),同时也被称为”Honeycomb”。此后安卓的FDE服务一直并未多做改变,直到Google在Android 4.4内对其进行了进一步强化。在Android L中,该功能将再次得以增强,并在Android 5.0内首次将FDE设为默认功能。 Google最初部署在安卓操作系统的加密方案已被证明相当的安全。然而,其在软件中的实施情况却时常导致漏洞产生。该加密方案的安全性几乎完全取决于硬盘加密通行码的复杂程度以及它是否易于被暴力攻击攻破。 “如果密钥足够长和复杂的话,暴力攻击要想攻破加密的主密钥可能需要耗费数年的时间,” Elenkov解释道。”然而,由于安卓已选择重新使用锁屏PIN码或密码(最长可达16位),但在实际过程中大部分人都更倾向于采用位数相对较短或简单的硬盘加密密码。” 换句话说:安卓系统上的硬盘加密强度完全取决于你的锁屏密码。且大部分情况下,加密强度都极其脆弱,因为人们总是懒于设置位数较长的锁屏密码。 密码输错固定次数限制机制使得暴力攻击在实际操作中并不可行,因为攻击者一旦输错登录密码次数达到一定数量,则永远无法再重新进行尝试。当然,Elenkov在其博客中忽略这一保护机制。如果你想对他的错误大肆攻击一番,请随意去阅读他所做的分析内容,但这里就不多做探讨。问题在于:的确存在暴力攻破弱PIN码或密码的方法,为的就是解密保存于安卓设备上的内容。 暴力攻击方法对于强大的密码很难奏效。但如果你拥有一个典型的4-6位密码,毫不夸张地说,只需几秒钟即能解密用户的数据。 在Android 4.4系统中,Google进一步增强了其加密系统的能力。尽管如此,但依然是基于PIN码或密码。因此仍然有可能暴力攻破较弱的PIN码和密码,不同的是在Android 4.4中你可能需要花费数分钟而非原先数秒钟的时间。

本周安全小贴士:如何防范加密病毒

此前我们曾介绍过许多有关加密病毒方面的内容,此类病毒已然成为了增长速度最快的针对最终用户的恶意软件类型之一。编写这些病毒的目的绝不是为了从政府和企业那儿”赚取”巨额收益,恰恰相反是针对普通用户的大规模网络勒索攻击。那在现实生活中到底是如何实施的呢? 就好像发生这样的状况:”尊敬的董事长、副董事长以及董事们,请允许我为你们作年度报告陈述,为此我们已精选准备了2个月时间…哎呦…稍等片刻,好像出了点技术问题…” 在上述案例中,由于计算机遭到加密病毒的攻击,报告陈述不得不延期进行。加密病毒作为一种恶意程序,能够阻止用户访问计算机上的一些文件,并向受害者索取解密赎金。发生此类情况的确令人感到遗憾! 卡巴斯基实验室工程师建议用户在计算机受感染前,对有价值的文件采取保护措施。安装卡巴斯基安全软件以及调整设置都有助于保护计算机免遭最新的威胁。 1. 使用应用控制组件,创建受保护文件类别。 2. 针对高限制和低限制应用配置受保护文件类别访问规则。 3. 在应用设置内启用系统监控: 4. 配置防火墙:阻止低限制、高限制以及不信任应用接入互联网。通过采用这一方法,你将能防止加密病毒程序从互联网上下载加密密钥。只要加密密钥,这些病毒程序就无法阻止你访问自己的文件。 在没有安装卡巴斯基安全软件的情况下,一旦你计算机内文件遭到加密又该如何操作?只需使用我们的免费工具即能重新访问自己的文件: RakhniDecryptor XoristDecryptor RectorDecryptor 在没有安装卡巴斯基安全软件的情况下,一旦你计算机内文件遭到加密,只需使用我们的免费工具即可恢复。

数十种流行安卓应用存在泄漏用户敏感数据问题

来自纽黑文大学网络取证研究和教育小组的一群研究人员最近发现多款流行应用存在漏洞,其中包括了Instagram、Vine和OKCupid等流行应用。对于已在安卓移动设备上安装了这些受影响应用的9.68亿用户而言,这些bug很可能会导致他们的个人敏感信息遭到泄露。 我的同事Chris Brook在Threatpost 上报道了相关事件的进展:研究小组发布了一系列的Youtube视频将大部分bug公诸于众,最终发现产生bug的原因是将用于控制存在漏洞应用的非加密内容保存在服务器上所致。 “尽管两个人之间通过这些应用传送数据通常被认为是安全的,但我们发现此类的私人通讯还是有可能被他人所窥探,原因在于这些数据并没有经过加密,且原始用户对此毫不知情。” “对于任何曾使用或将继续使用此类受测应用的用户而言,其各类机密信息甚至有时包括密码在内,都时刻处于被泄露的危险中。”纽黑文大学Tagliatela理工学院计算机科学系助理教授兼cFREG负责人Abe Baggili说道。 据Threatpost报道,Instagram Direct的消息传送功能会泄露用户之间共享的照片,以及以纯文本形式保存在Instagram服务器的以往照片。此外研究人员还发现,只要通过HTTP搜索某些关键词,就能看到在流行的在线约会服务应用- OKCupid上用户之间共享的信息。而一款叫做”ooVoo”的视屏聊天应用基本上也包含了与Instagram Direct应用相同的漏洞。Instagram缺少完全加密的问题在我们以往的卡巴斯基中文博客中有所报道。 而在Tango、Nimbuzz和Kik这三款免费通话和通讯应用中,研究人员也发现可以通过所存在的一些bug来窃取照片、位置信息以及视频。此外,Nimbuzz还被发现所有用户密码均以纯文本形式保存。 由于MeetMe、MessageMe和TextMe均以非加密的纯文本形式发送信息,因此网络攻击者能够对在本地网络运行这些应用的用户通讯进行监视。并且在这些应用中以纯文本形式发送或接收的图片和共享位置点均会被监视。此外,研究人员还能够看到以纯文本形式保存用户登录凭证的TextMe数据库文件。 Grindr、HeyWire、Hike和TextPlus基本上也存在同样的bug。网络攻击者只需使用现有的黑客工具(例如:WireShark),就能轻而易举窃取通讯记录、照片以及共享位置。此外,通过Grindr、HeyWire、Hike和TextPlus发送的照片会以纯文本的形式保留在这些应用的服务器内,并供身份认证使用长达数周时间。 “使用一款叫做HeliumBackup的安卓备份提取工具,就能获取用于TextPlus的安卓备份文件,”一名研究人员说道。”当我们打开后,发现里面自动会存有用户在线活动的屏幕截图。我们并不清楚这些屏幕截图的目的,也不知道为什么会保存在设备内。” 在他们的最终视频中,研究人员调查了哪些应用在其存储内保存了敏感数据。但问题是,TextPlus、Nimbuzz和TextMe均以纯文本的形式保存登录凭证。除此之外,这三款应用加上 MeetMe、SayHi、ooVoo、Kik、Hike、MyChat、WeChat、HeyWire、GroupMe、LINE、Whisper、Vine、Voxer和Words With Friends均以纯文本形式保存所有聊天记录。 “尽管两个人之间通过这些应用传送数据通常被认为是安全的,但我们发现此类的私人通讯还是有可能被他人所窥探,原因在于这些数据并没有经过加密,且原始用户对此毫不知情。” Baggili说道。 研究人员试着联系这些存在问题应用的开发人员,但由于所提供联系方式太过简单和程序化因此根本无法直接联系到开发人员。在一次邮件访谈中,Abe Baggili表示还不知道这些应用的供应商是否已修复他和他的团队所发现的任何bug。 令人惊讶#隐私漏洞归咎于#在数十款流行#安卓应用#缺乏加密 我们曾试图向Instagram确认此事,但公司始终未对这一问题给出正面的回应。 目前尚不清楚这些应用的开发人员是否计划修复在这里所讨论的一些bug。 CNET 网站曾就这一问题与Instagram、Kik和Grindr取得联系。Instagram表示正在对其安卓版应用进行全面的加密修复,从而解决目前所存在的安全问题。Kik则表示正在致力于对用户间共享的照片进行加密,但不会对聊天记录加密,原因是聊天记录独立保存,并且无法在应用之间通过手机访问获取。他们同样还声明此类数据保存方式符合行业标准。而Grindr则仅仅表示会不断关注此类安全报告,如果适合的话会做出一些改变。

Blackphone回顾:是否是一款名副其实的安全智能手机?

号称 “史上最安全和隐私至上的智能手机”Blackphone出现得如此恰逢其时。2013年爆出”斯诺登事件”后,任何贴上”隐私”标签的产品都相当的畅销。然而,我们的问题是- Blackphone(BP)是否真如宣传的那样是一款安全性极高的智能手机呢?从技术上讲,BP采用独家定制的安卓4.4版PrivateOS系统。常规应用在Blackphone上运行稳定,但其默认状态相比于我们常看到的大多数”安卓系统”存在明显差别。主要体现在一些设置的改变。 物理特性、显示屏、摄像头与电池 Blackphone的外观看上去与普通智能手机相差无几,其正面和背面全都采用黑色塑料材质制成。厚度和重量分别仅为8.4毫米(0.33英寸)和119克(4.2盎司),但因其4.7″的超大显示屏而使整台手机显得十分大气。然而,显示屏的一些其它参数却并不那么”大气”。在4.7″的超大显示屏下720×1280的分辨率有人有些许颗粒感。亮度可调范围小,在黑暗中显得过亮但在太阳光下又显得太暗。BP的显示屏视角出色,常见的微型USB和耳机插口位于手机顶端,而右端则有经典的”双头”音量控制键以及电源按钮。所有插槽(microSIM、microSD和电池)都隐藏在可拆卸后盖下面。电池容量为2000 mAh,(顺便说下)这在目前大部分智能手机中相当普遍,但对于BP而言则绰绰有余。手机背面设计有非常”朴素”的8 mp摄像头–除了LED闪光灯、HDR(高动态范围)和视频录制功能外,并没有太多的亮点。 通信功能 得益于Blackphone对GSM、HSPA+ (3G)和LTE (4G)网络的支持,因此在大多数国家都能使用。GSM和UMTS网络在全球各地非常普及,而LTE网络的使用范围则有一定局限,因此BP在北美地区(LTE频带4、7和17)使用Region2,在北美以外地区(LTE频带4/7/17)则使用Region1。这并不意味着你无法在美国使用region1或在欧洲无法使用region2,只是你的手机上网只能限制在3G速度以下(”限制”也有好处,因为手机漫游所产生的费用是相当惊人的)。此外,BP还支持蓝牙4.0(智能手表和健身追踪器的标配!)以及快速Wi-Fi(802.11 b/g/n)。一些附件软件试图让Wi-Fi更具安全性,但不支持近距离无线通讯技术(NFC)。 存储容量、处理能力和省电模式 BP手机拥有16G内存,内存空闲12.5G。MicroSD插槽可接受的SD卡最大容量可达64G。BP手机会主动提示用户加密这些存储池,当然我们也同样建议用户这样做。然而,这样会增加手机耗电量,性能也随之轻微下降。另一个影响手机性能的显然是省电模式,有三种预设模式可选-最大性能、最大省电以及均衡模式,最大性能模式下BP运行速度迅猛提升(在安兔兔测评中获得了31000分的高分,与得到35,000分的HTC One M8和Samsung Galaxy S5差距并不太大),但在均衡模式下测评分数大幅降低至12,000)。然而,其他省电选项可能非常有效,甚至无需禁用两颗四核CPU或降低显示屏刷新率。首先,由于没有安装Google服务,因此后台数据传输量及伴随的耗电量大幅下降。其次,其独有的nSaver实用工具能让用户限制所有应用的后台活动(或应用本身的活动),耗电量因此下降。在每天结束的时候,Blackphone都会设法挤出整整两天常规使用的电量,前提是用户保持所有默认应用设置。 软件与安全 Blackphone的PrivatOS系统是经改良后的安卓4.4操作系统。完全没有安装Google服务,但预装了像Chrome浏览器这样的最新应用,同时将Hangouts或G+ photos替换为了更老的开源(AOSP)版本。安装过程中无需在设备上设立任何账户,而唯一需要账户的预装应用是常规电子邮件客户端以及BP定制版本的SpiderOak应用(一种加密的”零知识”云存储,类似于安全的Dropbox)。在安装阶段需要创建一个强大的PIN码以保护设备,以及全盘的加密。无需立即进行加密,但之后系统会有所提示。在过分简单化的安装完成后,非常常见的安卓系统桌面呈现在你眼前,应用和图标与大多数安卓手机并无太大差别。有趣的是,除了应用清单中包括的应用以及上述提到的SpiderOak外,还预装了安全中心(Security center)、SmArter Wi-Fi、远程清除工具、安全无线网络、3个Silent Circle应用以及一个私人搜索插件。 Blackphone的大多数工具也能安装在其它安卓智能手机上,而真正的差别在于安全中心。 BP所装载的大部分用于加强通信渠道的工具也能在其它安卓智能手机上安装,而真正的差别则在于”安全中心”。除了像设备加密和远程锁定这样的常规设置以外,如果你认为已安装应用可能会对手机安全造成影响,则你可以通过它们来解除权限。比如所安装的一款地图应用,你可以保留它的定位权限的同时,解除其访问通讯簿和手机ID的权限。所有已安装应用会自动出现在安全中心并采用推荐的设置。但需要牢记的是,在安装阶段你必须接受所有必须的权限,但在安装完成后你可以(并应该)解除一些其中的权限。 让我们快速浏览一下其它应用。更加智能化的WiFi功能只允许在特定地点开启无线网络,省电的同时还能让BP躲避来自开启Wi-Fi设备的追踪。远程清除程序是一种功能有限的反盗窃工具。私人搜索插件通过disconnect.me服务提供无痕迹的Google/Bing/DuckDuckgo/Blekko/Yahoo搜索体验。安全无线网络是disconnect.me 的”智能化“虚拟专用网络服务客户端,可免费提供一些基础的服务。而最令人感兴趣的附加软件是Silent Circle应用,据称能够提供高安全性的语音和视频通话、文件共享以及短信发送服务,最重要的是能屏蔽美国国家安全局的窃听。但显然,通信对方也必须使用同样的Silent Circle服务,但价格并不便宜。

雅虎为所有连接数据中心的邮件加密

拉斯维加斯–雅虎长期以来未能对其众多网页服务进行默认加密,因此在安全和隐私领域被众多竞争对手远远甩在身后,最终成为数字倡导组织的笑柄。然而大约在去年的时候,雅虎公司在很短的时间内即扭转局面,开始认真对待加密问题,并迅速地将其安全与隐私保护能力提升至与Google和微软同等的水平。 雅虎表示将于明年为其所有使用雅虎邮箱的用户启用端对端加密,这意味着用户的邮件从自身机器发出后,通过雅虎服务器再一路传送至收件人的邮箱,其间的整个过程邮件的内容始终处于加密状态。同时,雅虎公司还与Google共同开发项目,使加密透明且易于使用。 “斯诺登事件后,我们并没有对此加以重视,使得我们无法专注于所面临的现实问题。我们作为一个产业已然失败了。因为我们无法保证用户的安全。 本周在内华达州拉斯维加斯举办的Black Hat安全大会上,作为雅虎新任的首席信息安全官Alex Stamos表示,有关安全和隐私的项目将成为他任期内的首要工作。 据报道,雅虎在6月通过使用Google针对Chrome发布的浏览器插件,对离开浏览器的所有数据启用端对端加密。雅虎和Google的合作关系相当重要,Stamos解释道,因为这能确保雅虎邮箱用户与Gmail用户之间的通讯得到高度加密。 “我们的目标是让雅虎邮箱与Gmail完全兼容。”Stamos在周六说道。 雅虎其它的安全改进措施还包括实施HSTS(HTTP强制安全传输),这能使得网站能够在用户浏览器上强制进行加密连接;而证书透明度则通过采用信赖认证中心的公开日志及他们所背书的证书,以达到阻止网站欺诈和其它中间人攻击的目的。 这一系列的安全举措将大幅提升雅虎在电子前哨基金会每年”Who’s Got Your Back?”和”加密报告”上的评分。当然,更重要的是用户将能够安全和私密地进行通讯,不用再因为自己的网络知识有限而害怕遭到窃听。 “斯诺登事件后,我们并没有对此加以重视,使得我们无法专注于所面临的现实问题。我们作为一个产业已然失败了。因为我们无法保证用户的安全。” 先前的落后者@雅虎正在通过#一系列加密举措对#安全和#隐私领域进行大力改进

Facebook仅对Instagram移动应用部分加密

Facebook并没有对一些进出其移动照片共享服务- Instagram的网络流量加密。尽管公司表示计划在不久将来对Instagram实现完全加密,但依然没有明确给出完成过渡的具体日期。 这意味着,当你在移动设备上使用Instagram应用时,处在同一网络的攻击者很有可能会监视你正在查看的照片和会话,并确定你的用户名及ID号。 目前,Facebook承认了部分通过HTTP(而非HTTPS)通讯的Instagram存在风险。 Mazin Ahmed是Defensive-Sec公司的一名信息安全专家,他在周六所发表的一篇个人博文中讲到,并非所有Instagram都部署了加密。他通过使用叫做WireShark的数据包嗅听工具,对安卓版Instagram应用进行了测试,最终得出了这一结论。 从本质上说,WireShark有能力在所访问的网络上观察数据包流量,无论你是将它接入你的家庭网络,还在某个地方的公共网络上观察数据移动都一样有效。但如果数据被加密的话,则数据包根本无法被读取。反之,则数据将以可读的纯文本形式呈现给WireShark用户。 在Ahmed的例子中,他注意到Instagram仅对其移动应用上的一部分流量进行了加密。 在对Kaspersky Daily的电子邮件采访中,Ahmed表示他在安卓版本的Instagram应用上测试了这一问题。然而,他认为iOS系统上的Instagram应用也将同样受到攻击,原因是安卓和iOS版本应用依靠的都是同一个服务器,并且似乎也没有全部实施SSL加密。 Ahmed在他的博文中写到,他曾就此问题向Facebook询问。而他本人声称,Facebook也确实承认了Instagram移动加密的不完全性,并作出如下陈述: “Facebook仔细讨论了这一问题,并计划将Instagram站点的所有内容移至HTTPS。但目前还无法给出做出这一改变的具体日期。目前,Facebook承认部分通过HTTP(而非HTTPS)通讯的Instagram存在风险。我们认为这是一个已知的问题并将在不久的将来研究出一个解决方案。 Kaspersky Daily曾就此说法向Facebook求证,但Facebook方面并没有立即回复我们的求证请求。 如果你担心自己的 Instagram流量遭到监视,最好的方法就是避免使用这一服务的移动应用,直至Facebook方面认真处理加密问题,Ahmed如是说。他建议用户只使用网页版的Instagram,原因是这个版本更全面地支持HTTPS。 由于Facebook无法对Instagram移动应用的数据进行完全加密,造成用户面临安全和隐私方面的风险。

一周要闻:密码重用也不全是坏事?

胡扯八道! 你可以不相信我说的,但这可是微软公司和加拿大卡尔顿大学联合研究小组的研究成果,该小组在一份研究报告中称,密码重用不是什么大问题,只是管理大量在线帐户的必要策略而已。乍一看,他们的研究结果似乎在标榜传统智慧。但实际上,研究人员真正想要提倡的是分层密码系统,即共享密码的系统,在此系统中保留最强的密码用于最敏感的帐户,而较弱的密码用于不太重要的帐户。 毫无疑问,为每个在线帐户设置唯一密码是目前最安全的做法。但是,每次登录不同账号都需输入不同密码实在太过繁琐,且难以持久。 研究人员称,密码管理工具也并不是完美无缺的。理由完全可以想得到:因为从本质上说,此类工具只提供唯一的访问点,但同时黑客也可利用这个入口窃取用户的所有密码。 如果我说自己每个在线帐户都用的是不同的密码,那我一定是在撒谎。但是,对于与财务或特殊敏感信息相关的任何帐户,我肯定会推荐用户使用唯一的强密码。至于密码管理工具,它们所提供的保护肯定要比我们大多数人做得好。 此举极大扼制了黑客及试图监视这些传输的不良意图者的行为。 Project Zero Google组建了一支超级安全团队,成员几乎清一色是全球顶级的互联网黑客,宗旨是找出第三方软件中的漏洞,以及互联网中影响客户并最终影响其业务的其他因素。该团队的任务就是发现bug,并向有关供应商进行报告,解决解决问题,并曝光发现结果。该团队被叫做Project Zero。 “我们没有对此项目设置任何条条框框,我们的目标是改进众多用户所依赖的软件的安全性,密切关注攻击者的技术、目标和动机。”Project Zero负责人、曾长期担任谷歌Chrome安全工程师的Chris Evens写道。”我们将采用各种标准方法,例如查找和报告大量漏洞。此外,我们还将在缓解、开发、程序分析方面进行新的研究,研究人员决定研究的其他任何内容都是有价值的投资。” 苹果应用Crypto 本周,苹果公司应用了已经取得巨大成功的Crypto,此软件用于静默加密进出苹果服务器的iCloud.com、mac.com和me.com域的几乎所有电子邮件。此举极大扼制了黑客及试图监视这些传输的不良意图者的行为。 正如Threatpost的编辑Dennis Fisher所述,这堪称一项壮举: “苹果利用TLS加密了自己的电子邮件域名,此举可称得上是一大变革,因为加密是在服务器级别进行的,无需用户在客户端执行任何操作就能提高安全性。众所周知,在桌面上加密电子邮件是一个痛苦的过程,而且只对单封邮件有效。而像苹果这样级别的供应商大规模实施加密,给那些”财力雄厚”的攻击者们当头一棒。利用单封邮件加密来防范某些形式的有针对性监视或攻击,是一种不错的方法,但对于像Yahoo、Google或苹果这样的大型电子邮件提供商来说,加密与其他提供商之间的通信有助于保护大批用户。” 修复补丁 谈到密码管理工具,免不了会提及LastPass,这是一种流行的基于浏览器的密码管理工具,最近此工具修复了若干漏洞。无所不知的黑客能够利用这些漏洞来生成自己的一次性密码,以用于访问受害者的帐户。 Google将改变恶意软件和网络钓鱼网站警告。原先的警告是红底白字,现在整个页面为红色,顶部显示醒目的X。恶意软件警告和网络钓鱼警告都会提醒用户,即将访问的该站点可能尝试在计算机上安装危险的程序,或者有泄露个人信息的风险。 思科公司提供了漏洞补丁,用于修复其无线住宅网关产品中的漏洞;Google发布Chrome安卓版更新,解决了URL欺诈问题。 一周综述#Kaspersky Daily的@TheBrianDonohue #安全头条新闻:

不法分子无时不刻对你的手机进行窥视(通过不安全的Wi-Fi)

近期智能手机行业的迅猛发展以及各种用途手机应用的蜂拥出现,不可避免地导致在处理敏感数据时使用智能手机和平板电脑的增加。现在,人们通过移动设备发送或接受一些敏感数据和资料变得越来越普遍,例如在LinkedIn网站上发布你的个人简历,通过WhatsApp、Viber或其它类似应用将你的私人照片发给你的恋人,或在网银上输入你的一次性密码等等。不幸的是,就在你向周围的陌生人投去怀疑眼神的同时,大多数人并没有意识到,你的这些数据可以很容易地被离你10米远的不法分子所截获。 发生如此不安全状况的主要原因是使用没有任何保护的Wi-Fi网络以及在手机应用内缺少安全保护。在许多情况下,蜂窝网络依然价格高昂,在旅行途中使用更是如此。这也是为什么人们更倾向于使用机场咖啡馆以及酒店的Wi-Fi,但享受便利的同时却容易忽视其安全性。就在巴西世界杯开赛之前,我们的安全专家们在圣保罗进行了一些案例研究,以探究人们所使用的无线网络采用了何种加密方式,结果发现1/4的无线网络使用了开放式架构(无密码保护)。 在圣保罗,26%的Wi-Fi网络存在安全隐患。尤其在使用手机应用时,你必须打起12分精神。 如果你使用的是开放式架构的无线网络,任何人都可以发现你的流量并查看你正在传送的数据。如果你使用的WEP加密无线网络,不法分子可以在5分钟之内将其破解。对于世界上大部分的无线网络,不法分子只需数秒钟时间即可检测到。 我们给出的建议是只连接使用WPA的网络。 许多移动应用以非加密方式传输你的数据,或根本不会提示你任何存在危险的加密问题。 在使用移动应用时,则完全又是另一回事了。因为你根本无法知道应用在使用哪些协议。安全专家们发现在许多应用与服务器进行内部通讯时,使用的是公开协议。例如:使用HTTP而不是HTTPS,前者更容易遭受会话劫持、密码窃取和通话内容窃听的风险。举个例子,如果你正在使用即时通讯,人们可以看到在会话内的纯文本内容。这并不是我在危言耸听,事实上这一问题在移动应用中已存在许久。即使是Google、Facebook或推特这样的互联网巨头,在2011年,它们的手机应用中同样也存在SSL丢失的问题。一直到2012年夏天,非常流行的即时通讯手机应用WhatsApp依然是以非加密方式传输所有内容。如果诸位还在使用Yahoo即时通讯或ICQ软件,那不幸地告诉你—这两款软件依然使用纯文本协议,所有聊天没有经过任何加密,在开放式Wi-FI环境中可轻易被窃听。很难想象有多少应用依然在使用纯文本协议,即使在顶级的公司中间,也有一些还未使用加密。 许多应用在提升功能性的同时,却忽略了警告用户有关SSL证书的问题,使得用户根本无从防范周围不法分子的攻击。 当然,我们可以很容易地给出一些建议,像”不要使用涉及任何敏感信息的手机应用”,—但事实上却很难照做。如果你真的这样做了,你会感觉到好像活在了古代。下面,我将推荐一些较为保守的”疗法”: 只要有机会,就使用3G/4G服务代替公共场所的Wi-Fi; 总是选择有加密的Wi-Fi连接(WPA2); 在移动设备上加强虚拟私人网络的使用; 在公共环境或不信任的网络中,避免进行像网银这样的敏感操作(所有网络都包括在内,除了正确配置的家庭和办公网络以外)

Chrome插件加密所有离开浏览器的数据

Google最新发布的一份报告显示,在全球的Gmail流量中,超过30%在发件人向收件人发送邮件过程中的某一时刻处于无加密状态。为修复这一漏洞,Google开发出了一项工具,它能够为安装端对端插件的任何用户对所有离开Chrome浏览器的数据进行加密,这一工具不久将公布于众。 你可能会对此存有疑惑,因为Gmail始终通过一个安全的加密HTTPS连接传输数据,这即表示100%的出站流量被进行了加密。但事实的真相却并非如此,HTTPS仅仅是对从计算机发出通过浏览器进入Google服务的数据进行了加密。 可能你还有印象,就在几个月之前,Google并没有对服务器和数据中心之间的链接进行加密。这一漏洞据说被美国国家安全局所利用以进行监控,现在终于被修复了。这一漏洞激起用户的愤怒,而Google所做的回应则是对这些链接进行加密。 .@Google的最新工具将能对所有离开# Chrome浏览器的数据进行加密。#加密 现在,如果你使用Gmail发送邮件,则邮件从电脑中发出通过浏览器传送至Google服务器的整个过程中,始终处于加密状态。一旦你的数据远离Google的控制范围,则是否加密则完全取决于拥有你数据的供应商。如果你的邮件是从一个Gmail邮箱发送至另一个Gmail邮箱,则邮件将始终处于加密状态,而这些数据也将在传送过程中显示加密。但不幸的是,有些公司并不是像Google一样如此重视隐私与安全问题。 简而言之,公司表示从Gmail发出的邮件的69%被加密,而传入Gmail的邮件被加密的仅为48%。在美洲国家这一比例尤其高,1万封邮件中仅有不到1封能够被AOL解码,这是非常了不起的数据。另一方面,AT&T则能够对半数的此类邮件进行解密。而Comcast则完全没有对来自Google的邮件进行加密。另一边,Facebook和亚马逊几乎对所有他们发送至Gmail的邮件进行了加密,而邮件营销服务商Constant Contact则截然相反,对所有传送至Gmail的邮件,几乎不采取任何加密措施。 开发这一全新端对端工具的目的旨在为日常用户提供简单易操作的加密工具。使用这一工具后,用户可确保其数据在邮件传送过程中始终处于加密状态。当然与此相类似的工具大量存在于目前市场中。然而,其中的大部分都过于复杂且难以使用。 “尽管像PGP和GnuPG这样的端对端加密工具早已推出市场,但却需具备大量的技术专知与实践操作方能灵活使用,”Google安全与隐私部产品经理Stephan Somogyi这样写道。”为了让这些工具使用起来更简便,我们即将发布针对全新Chrome插件的代码(使用OpenPGP),作为一项公开的标准能够支持目前众多的加密工具。” 简单地说,加密数据工具能够显示已加密数据在Google的Gmail服务器的流入、流出量,此外还包括了一些信息,比如哪些供应商在Gmail邮件通过它们的服务器时对数据进行加密。 “使用安全传输层协议进行加密,能够防止不法分子在邮件传送过程中对你讯息的窥视。” “使用安全传输层协议进行加密,能够防止不法分子在邮件传输过程中对你讯息的窥视。”Google解释道。”TLS协议无论是对进站还是出站邮件流量,都能够进行加密并安全送达。同时还有助于防止邮件在两个邮件服务器之间传送时被窃取—始终保持邮件在两家邮件供应商之间传送时的私密性。” 然而,他们又做了进一步的解释,只有在发件人和收件人所使用邮件供应商同时支持TLS的情况下,你的通讯信息才会被加密,但问题是并不是每一家供应商都能支持TLS。 “TLS目前成为了安全邮件的标准。尽管这并不是一个十全十美的解决方案,但如果每个人都使用TLS的话,那窥探别人邮件的难度和成本将大大加大。” 在理想的世界中,每一家邮件服务供应商在从邮件发出到邮件接收的整个过程中对用户讯息进行加密—或者用一句我们的行话来说,那就是”端对端”。

主题研究:多数智能家居产品门户洞开,隐患重重

如果你始终关注互联网和计算机安全方面的新闻,那么听到许多智能家居系统设计不周或配置不良,导致安装这些系统的家庭面临着大量严重的安全漏洞时,你应该不会觉得太意外。 这么说恐怕小瞧您,但智能家庭确实与您想像中的完全一样(你会想到智能手机、智能电视、智能汽车等等):家里的所有家电、冷暖系统、照明系统、烟雾探测器和/或门锁全部连到家庭网络,而家庭网络又最终连到互联网,计算机、手机和平板电脑以及其他相对传统的支持互联网的设备也全部都连到互联网。通过这样的系统,用户能够远程监视和操控家里的各个系统。 一直以来,研究人员都对智能安全系统和连接互联网的门锁和烟雾探测器(还有其他任何连到互联网的设备)的安全性有所置疑,这也是我始终关注的问题。最新的新闻是,AV-Test.org对7种不同的智能家居套件的安全情况进行了测试,结果发现其中4种都差强人意。 当然这7个套件只是沧海一粟,也许在统计学上来说微不足道,也不是具有代表性的取样量。但无论如何,在此次研究中发现的有漏洞的设备,可以被利用进行内部攻击(在某些情况下还可进行外部攻击),攻击目标是家庭网络及其所连设备,或者是住宅本身及其家里的东西。 国际知名安全评测组织AV-Test分析的七款智能家居套件分别是:iConnect(eSaver)、tapHome(EUROiSTYLE)、Elements(集怡嘉)、iComfort(REV Ritter)、Smart Home(RWE)、QIVICON(德国电信)和XAVAX MAX!(Hama)。AV-Test发现,其中只有集怡嘉、RWE和QIVICON套件能够良好地防御黑客入侵和未授权访问。iComfort和tapHome套件均在本地含有可利用的漏洞,这意味着攻击者需要在家里才可利用这些漏洞。最严重的是iComfort和XAVAX MAX!套件,这两款套件能被远程入侵(同时也能被本地入侵)。 每种产品都有一组不同的功能。但总体来说,这些功能属于电力、供暖和安保控制系统、门窗和房间监视系统、开关插座的控制系统以及照明、供暖和电力的开关系统。 广义上来说,攻击者能够操控连接的系统来达到破坏的目的(比如,关闭供暖,使管道在冬季破裂)。 因此,最可能的攻击是利用这些系统中的漏洞作为接入点,并最终获取家庭网络中存储的宝贵数据。 然而,大多数黑客犯罪分子的目标是金钱。因此,最可能的攻击是利用这些系统中的漏洞作为接入点,并最终获取家庭网络中存储的宝贵数据。还有可能发生的情况是,不安全的设备被入侵后,可被控制用于对可能的实际盗窃目标进行监视。高手甚至可借此打开门锁,从而更轻松地实施盗窃。AV-Test注意到,有能力在各种所连设备上传播的勒索软件很容易被攻击者所利用。用户不得不为此支付勒索费用,否则整个住宅都会停止工作。 AV-Test重点研究了设备之间的通信是否加密,默认情况下套件是否要求主动认证(网络或物理访问密码)以及易受远程攻击的难易程度。 Gigaset、RWE和QIVICON产品的通信都始终加密,因此被AV-Test视为是安全产品。iConnects的通信虽然也加密,但AV-Test表示,此套件的加密很容易被绕过。根据研究中的观察结果,其余的iComfort、tapHome和XAVAX MAX!这几个产品根本就没使用加密。 未部署任何加密机制意味着所有智能家庭通信都可以被轻易拦截。所以攻击者能够监视这些设备的所有来往通信,骗取代码来操控设备活动,甚至只监视这些设备就能推断出家里有没有人。 未部署任何加密方法意味着所有智能家庭通信都可以被轻易拦截。 iComfort产品完全不要求认证,这意味着远程攻击者能够基于网络启动对系统的攻击。iConnect和XAVAX MAX!系统要求网络接入认证,但对本地物理接入不要求认证。tapHome要求内部认证,但据研究显示,这种措施其实毫无作用,因为产品缺少加密机制。Gigaset Elements、RWE Smart Home和QIVICON都要求物理和网络接入认证(安全通信除外)。 但好消息是:AV-Test认为,如果这些产品制造商花些时间来开发可靠的安全理念,而不是将有缺陷的产品急不可耐地上市销售,那么打造一个安全的智能家居系统完全是可能的。另一个好消息是:AV-Test为您购买智能家居系统提供了挑选标准:请挑选总是要求认证,并且始终加密通信的系统。

最佳安卓版安全应用程序

安全并非仅仅是反恶意软件保护。作为一个概念,移动安全由以下几项组成:隐私保护功能、对不守规矩的应用程序的权限限制,备份功能(防备智能手机损坏)、针对骚扰电话的黑名单,以及加密和家长控制功能。安卓是一个非常灵活的操作系统,并且如果您从Google Play中选择合适的安全应用,则能很好地应对这些难题。不过由于存在大量合适的应用程序,因此我们决定做一个最佳安全应用程序的简表,希望对您有所帮助。 App Lock 应用程序和多媒体的密码保护 免费/付费 几乎智能手机上的所有应用程序可对所有人开放,即使您不是机主也可同样使用手机上的所有应用。而事实并非如此。你的朋友可能会拿你的手机”只是想看看里面有什么”,孩子会玩手机,同事和亲戚会纯粹出于好奇摆弄您的手机。对于后两种情况下,图形验证码或PIN锁本可以起到作用,但是在您将手机交给朋友或孩子前,你必须解锁。因此,只需几下点击,您的所有私人数据就会被曝光。App Lock通过创建受保护应用列表来解决这一问题。在启动这些应用时,必须输入一个额外验证码。此外,您还可以在受密码保护的媒体库中存储一些私人照片和视频,剩下的则可存放在普通文件夹中。”偏执狂”用户可以使用App Lock将应用程序隐藏,在这种情况下,应用程序设置只能通过秘密拨号码激活。 App Ops 撤销应用程序权限 免费 无论安装哪些应用程序,安卓系统都会通知您需要哪些权限。如果您碰巧发现新安装的”动态壁纸”需要访问您的联系人列表以获取文本信息(顺便说一下,这是一个非常不好的迹象,在此类情况下,最好不要安装该应用),您别无选择,要么接受不良后果,要么选择放弃安装。然而,越来越多的应用程序需要更多的”额外”权限。事实就是如此,因此Google开发了一款可以对已经安装的应用程序进行权限撤销的工具。此功能在安卓4.3版上可立即获得,被称为App Ops。遗憾的是,在4.4.2版中撤掉了这款工具。App Ops 简单提供对Google的设置屏幕的访问,您可在设置屏幕限制任何应用程序对联系人列表、用户地理位置等信息的访问。遗憾的是,在安卓4.4.2版和之后的版本中,App Ops 功能需要root权限。对于安卓系统4.3以下的版本,不提供App Ops功能,但是LBE Privacy Guard应用程序提供了一套类似的功能。 安卓系统的隐藏功能:撤销已经安装应用程序的权限。例如,您可以通过一款应用程序来禁用GPS跟踪。 EDS 智能手机数据加密 8美元 对于那些在智能手机中存储机密文件的人,类似App Lock的应用程序或PIN码不足以保护数据。在安卓系统3.0版和更高版本中,操作系统提供了对存储在智能手机上的所有数据进行加密的功能。这个进程用于确保数据的最大安全性,但在每次用户希望使用智能手机时,都需要输入一个繁琐冗长的密码,否则这种方法毫无用处。每天输入50次密码令人无比抓狂,因此人们采用了替代方法:只对最敏感的数据加密。类似EDS这样的应用程序是一个合适的选择。它会在智能手机内存中创建一个容器格式文件,并对内容进行安全加密。将文件存放在这样的容器中可确保他人无法访问文件。EDS拥有两种模式。其中较为简单的模式需要完全手动操作容器。更为高级的模式需要root权限:在这种情况下,加密容器在运行时可被当做移动存储驱动器使用。在将文件保存到存储驱动器时,可自动对其进行加密。重要提示:EDS容器与TrueCrypt桌面应用程序兼容,从而简化了系统之间的数据交换。 推荐终端用户使用该应用程序,而企业和公司用户则需要安装一个特殊的MDM解决方案,以提供全面的移动安全方法。 Funamo

安全网络即时通讯:这是谎言吗?

如今,几乎很少有人会不使用到网络即时通讯。单就WhatsApp来说,全球就有数以亿计的设备上安装了WhatsApp,每天的消息总量达到数百亿条。别忘了除此之外还有Skype、Viber、ICQ以及其他数十种流行度略低的即时通讯工具,包括Facebook、LinkedIn等社交网络中内置的即时通讯功能。然而,正因为即时通讯服务如此受欢迎,所以信息交换的隐私问题自然成为人们的关注焦点。就我们每天通过互联网随时共享的信息量而言,也许说加倍小心隐私问题听起来是很可笑的一件事,但确实在有些情况下,必须完全保证通信的隐私性,杜绝第三方侵犯隐私。那么我们能够在不被任何人窥探的情况下进行网上通信吗?下面我们将具体讨论这个问题。 前言 要着手处理这一问题,我们必须考虑信息链或语音通信会暴露给第三方的方式。暴露方式非常有限:第一,无论哪种性质的信息,包括文本、视频、照片或语音,都会记录在发送方和接收方系统上的本地存储卷中;第二,这些信息通过有线或无线网络传输;第三,由即时通讯服务的服务器处理这些信息(并非强制性的)。对于第一种情况,如果有人能在某种程度上控制对即时通讯历史记录的访问,则在此之后的信息传递过程将完全失控。当然,通过加密可以挽救局面,但并不能绝对保证安全:谁能保证协议肯定没有漏洞呢?尤其是使用通用加密算法的协议。 以Skype为例。不久前,人们还认为Skype是一款非常不错的私人即时通讯工具,是无懈可击的”堡垒”,没有人能攻破,无论是个人黑客还是强大的政府组织都不例外。但自从Skype公司被微软收购而失去独立性后,一切都变了,现在我们无法确保Skype即时通讯百分之百安全。 WhatsApp服务每天处理的消息数达到数百亿条;所以我们几乎没法认为所有消息都是安全的。每个月至少会有一起关于漏洞的新闻(即便只在安卓版中,不包括其他平台),新闻中含有丰富的细节,让我们感到强烈的不安。例如,最近对WhatsApp的一项研究证明,您的设备上存储即时通讯历史记录的加密文件,只需使用一个简单的脚本在几秒内就能被破解。另外要注意的一点是,近期Facebook收购WhatsApp的交易不能说是利于安全即时通讯的:事实上,Facebook创始人马克•扎克伯格斥资数十亿美元购买的是开发团队和技术,而不是用户数据,这是前所未闻的。 公正地说,其他免费即时通讯平台,从Viber到iMessage,都与上述服务一样存在着同样类型的问题。所有这些平台都允许采用相对容易的方法来获取对私人通信的访问。所以,从某种程度上来说,如果此类服务属于大公司的资产,并授权这些公司向政府和执法机构证明拥有这些信息可能还好些。幸运的是,对于某些行为,已经有了应对措施:我们周围有这么多不安全的即时通讯工具,难怪号称更安全的解决方案如雨后春笋般层出不穷。这些解决方案真的能解决重要的隐私问题吗?让我们来具体了解一下。但在此之前,首先必须确定哪种安全级别最适合您。 如今,谈到隐私问题时,日常即时通讯工具已经难以让人信任。当然,确实有一些更安全的替代工具,但这些工具真的能代替Skype和WhatsApp吗? “安全性剧场”是个非常有意思的词。它的含义不言而喻,表示表面上的安全措施,让人们错以为采取了行动,而不考虑行动的效率。如果要找个类比对象的话,公共交通设施的反恐安全措施可与之相提并论:只对有选择的车站进行可疑物体和人员排查。部署在无数住宅建筑中的室内对讲系统也是”戏剧化安全性”的写照。同样的特征也适用于软件领域,尤其是即时通讯。这不一定意味着一些即时通讯工具彻底没用:对隐私问题和高安全级别不挑剔的用户来说,它们不失为很棒的替代工具。毕竟,负责地铁站反恐检查的安保人员也能够提供一定级别的保护。所以话虽如此,我们必须得承认,用户仍可以使用一度曾出过问题的即时通讯应用,只要用户清楚自己需要保护的内容就行:是防范一个醋意十足的热情交友者读取自己的私人信息,还是防范热衷于拦截发送方到接收方之间流量的人员。是的,我们并未将侵犯隐私者正是对话对象这一事实考虑在内:对于这种情况,没有任何高级软件能够保护你。所以,如果你不信任对话者,就不要和他进行即时通信!下面我们将讨论两种类别中提供的流行方案。 安全错觉 我们将以下类型的即时通讯工具归类在此列表中:达不到预期安全级别的即时通讯工具,或无法保证通信不在传输过程中被拦截(中间人攻击)的即时通讯工具。 Confide 从某种意义上说,这是一种独一无二的即时通讯工具:所有通过Confide传入的消息都会用一个矩形盒将文本隐藏起来,只有手指滑过矩形盒时文本才会显示。此外,该应用不会长期存储信息历史记录,所以即便犯罪分子拿到你的手机,他也没法发现你的通信。用户尝试对消息截屏时,会将用户推送回联系人列表,同时对话方也将获得相应的通知。这些功能被应用开发者极力推崇:用户可以阅读信息但无法保存。但唯一的问题是,用户要记录信息时,没法进行截屏,而必须改用相机来逐字记录通信过程。从这方面来说,该应用可以分类为执行”戏剧化安全性”的程序:最新的即时通信和保护和截屏禁用功能只提供安全错觉。它可能适用于希望执行秘密服务代理程序的用户。 Wickr 此应用在设计上并不是很精美,但野心勃勃,将自己定位成不在设备上留下通信痕迹的解决方案:它会同时擦除(有些情况下无法撤销)设备内存和服务器上的信息历史记录,通过政府级安全算法来保护信息,为接收方提供控制存储时效的方法,并禁用信息复制。此应用类似于上一个应用,也依赖于智能手机功能的技术限制。 Telegram 谈到安全即时通讯工具时,我们怎么能忽略Telegram,大概这是最广为人知的以”安全”为品牌口号的即时通信工具了。为什么我们会把它包含在”戏剧化安全性”即时通信工具列表中呢?因为该应用的开发人员声称的”前所未有的”安全性从未得到过客观方面的证实,而这正是其遭人诟病之处。 许多人告诉我们,该解决方案的创建者曾宣称,若有人能入侵Telegram的MTProto协议,将给予20万美元的奖励。事实下,对于大多数人来说,这种自信本身就会导致人们对该即时通信工具的可靠性产生强烈质疑。但是拦截此即时通信程序的工具最初效率低下,也无法对协议进行压力测试。cryptofails.com创始人在指出这一事实的同时还评论说,MTProto是一种极不安全、也不可靠的算法,”它忽略了近20年来发布的所有意义重大的信息加密研究成果”,他建议开发者应该聘用真正的信息加密专家来审核Telegram。 另一个令人好奇的细节是:无论Telegram是基于哪种复杂协议,对于直接的应用攻击来说都脆弱无比。我们在此讨论的并不是流量拦截,而是与此相比简单得多的情况。即在注册时,用户会通过手机收到一条文本信息,用户必须输入收到的安全代码后才能激活应用。但如果黑客控制了受害者的文本信息,即可以使用他人的代码来激活自己的应用副本,结果他就可以接收发送给受害者的所有信息。假设默认情况下”安全聊天”功能未启用,那么通信隐私会在很大程度上受到影响。 Telegram的优点是速度快:信息几乎能实现即时收发,速度明显快于其他即时通信工具。所以,这是一款高速即时通信工具吗?回答是肯定的。安全吗?只能说是相对安全。 真正安全 此类别包括满足以下条件的应用和服务:具有一定安全级别,与官方宣称的特点相符,基本能够保护通信,阻止第三方对通信进行访问攻击。 Threema 这是一个瑞士项目,在宣布收购WhatsApp后,越来越受到人们的欢迎。开发人员承诺保证通信的安全性:首先,此软件能对传输中的数据进行可靠加密;其次,添加新联系人时,它会通过面对面确认来保护用户隐私。第二个措施是假设对方用户必须亲自见面,并从彼此的手机中扫描QR码,这种方法从安全角度来说是可取的,但在许多情况下实施起来却极为复杂。当然,你可以用老式方法,即通过手动输入用户标识来添加新联系人,但在这种情况下,安全级别会降低。值得注意的是,开发人员并未夸大其辞地证明自己的即时通信工具能够提供”前所未有”的安全级别,也没有作出任何虚假承诺。没错,此外,此应用的价格为2美元,只用付一次钱。 Silent Circle 这是知名信息加密权威开发的极少数项目之一。开发团队中就有PGP加密技术的开发者Phil Zimmerman。与Telegram类似,Silent Circle服务也同样依赖于专用算法SCIMP。这种算法优点在于它能完全擦除已发送信息,完全不留痕迹:不管是发送方还是接收方都无法在自己的设备上恢复通信的任何部分。这种功能可通过手动或自动方式启用:信息发送后经过一段特定的时间,即被自行删除。但此即时通信工具的主要优点在于此软件具有强大的通信流量加密功能,所以即便信息被拦截也没用。另外,此解决方案假设传输的是经过加密的包含文本、视频和音频信息的流量。至于其他方面,很遗憾此即时通信工具仍存在一些弱点。从含糊的注册流程到较高的价格:Silent Circle的年费为100美元。 TextSecure

从Heartbleed漏洞中吸取的教训

我的工作内容不仅仅是分析各种恶意软件和漏洞,也不限于讨论最新的安全威胁,而更多大的一块工作是尽力向用户说明并教会用户如何构建安全性。因此,我设法重点说明的一些主要话题包括备份、防御恶意代码、通过打上最新的安全补丁使系统保持最新,当然还有使用加密方法的必要性。我敢肯定,你之前一定听说过所有上述的内容,对吗? 但如果使用的安全软件有漏洞,成为攻击者的攻击入口时,我们该怎么做? 这是目前热议的话题,尤其是近期曝出了OpenSSL Heartbleed攻击后讨论更为激烈。我决定让此专栏更具我的个人风格,因为我能肯定的一点是你们都能找到无数有关SSL及Heartbleed攻击的文章,但我想分享的是我本人对这些类型的漏洞为何变得如此严重的一些看法。 但在开始讨论Heartbleed攻击之前,我想提一下我们如今看待安全产品和解决方案失效时的心态问题,这一点很重要。我们往往是通过安全产品或解决方案的各种功能和特点来对其进行评估的,如果其符合我们所要达到的目标,则我们会选择购买。 我们如今看待安全产品和解决方案心态并不乐观 – @JacobyDavid 问题是我们往往会忘记安全产品并不能解决我们的所有问题。我们需要理解的是安全产品和解决方案体现的是安全思维。 那么为什么我要讨论OpenSSL Heartbleed漏洞问题呢?我想从一般意义上说,我们都假定互联网运行正常,是一个安全的平台。我们通过互联网传递非常私人的信息、进行约会、购物、通信、管理财务等等。正因如此,互联网的缺点就是一旦出问题,情况就会很快恶化,变得非常糟。 互联网存在的一个大问题是其极端分立性。有些网上资源具有安全性极高、非常稳健的基础架构,而另一些资源则完全忽视这一点,极为脆弱,漏洞百出。此外,有些站点非常安全和稳健,但由于存在大量系统依赖性而导致这些站点变得很脆弱。保护IT系统中的每一个部分的安全性几乎不可能实现。 互联网基础架构一旦出问题,情况就会很快恶化,变得非常糟。 使用互联网时,我们需要预见最糟糕的情况并采取相应的措施。问题是我们还会使用互联网世界以外的可信资源,例如医疗系统、政府部门或其他系统,而这些系统也全部使用的是互联网。所以,一旦出现类似Heartbleed漏洞这样严重的问题时,影响是巨大的。 一旦犯罪分子开始利用Heartbleed漏洞,很难说Heartbleed攻击的传播范围会有多广,影响会有多大。但想想看要是有人能够复制整个世界所有银行保险库的钥匙会怎样?这乍一听确实非常严重,但也完全取决于保险库所存放的物品。 我希望近期不要只盯着这类安全漏洞不放,因为我们这一段时间会忙着解决这一问题。但我们需要记住的是软件只是软件,其中总是会出现或多或少的漏洞。我们还需要了解的是,即便进行备份、加密和防御恶意代码,也仍然有可能会泄露敏感数据。一旦数据泄露,我们需要想尽一切办法,使这些数据无效,让犯罪分子无机可乘。

哈希算法创造奇迹

密码哈希函数(通常简称为哈希算法)是一种数学算法,用于将任意一组数据转换成长度固定的一串新字符。不管输入数据的长度是多少,同类型的哈希算法始终输出固定长度的哈希值。 因此,根据网上的SHA-1哈希生成器(SHA-1与MD 5和SHA-2都是部署最广泛的一种计算哈希函数),比如我的名字Brian生成的哈希值为:75c450c3f963befb912ee79f0b63e563652780f0。可能其他”Brian”会告诉你说,Brian这个名字被误拼成”brain”是极为常见的事。实际上,我以前有一张驾照上面的名字就被拼成了”Brain Donohue”,但这另一个故事了。brain通过在线SHA-1生成器生成的SHA-1哈希值是:8b9248a4e0b64bbccf82e7723a3734279bf9bbc4。 你看,这两个输出值截然不同,虽然在名字中Brian和表示中枢神经系统器官的这个单词brain之间差异完全在于连续的两个元音字母的位置(”ia”和”ai”)。更明白地说,如果我只把名字的第一个字母改为小写,SHA-1生成器的也会返回完全不同的哈希值:760e7dab2836853c63805033e514668301fa9c47。 密码哈希函数是计算中使用最普遍的工具,几乎可用于一切计算,从身份验证到恶意软件检测再到文件保护。   您会注意到,上述所有哈希值的长度都是40个字符,这并不令人吃惊,因为上面输入内容的长度均为5个字符。但如果在哈希生成器中输入本文到目前为止的所有单词,你会吃惊地发现返回以下哈希值:db8471259c92193d6072c51ce61dacfdda0ac3d7。也就是这1637个左右的字符(包括空格)和上面的5个字符的单词一样,经压缩后输出40个字符。你可以用SHA-1哈希算法对莎士比亚全集进行计算,最终也是输出40个字符。而最让人吃惊的是绝不会有两个不同的输入生成相同的哈希输出。 下图由Wikimedia Commons制作,说明的是上述概念,供您直观地学习: 哈希算法适用于哪些情况? 问得好。但很遗憾,答案是密码哈希算法适用于很多很多种情况。 对你我来说,最常见一种哈希算法形式是对密码进行哈希加密。例如,如果忘记了某个在线服务的密码,则很可能必须执行密码重置。重置密码时,通常你不会收到返回的明文密码。原因是在线服务并不会存储您的明文密码,而是存储密码的哈希值。事实上,该服务(除非使用的是极其简单的密码,这种密码的哈希值广为人知)并不知道您的真正密码。 确切地说,就是如果你收到的返回密码是明文,则说明你使用的在线服务未对密码进行哈希加密,这不失为一种羞耻。 您可以通过在线逆向哈希生成器自行进行测试。如果生成不安全密码(例如,”password”或”123456″)的哈希值,则在逆向哈希生成器中输入该哈希值时,逆向哈希生成器很可能会识别出示例中任一密码的哈希值。对于前文所举示例,逆向哈希生成器可以识别出”brain”和”Brian”的哈希值,但无法识别出代表本文正文的哈希值。所以哈希值输出的安全性完全依赖于输入数据,而输入数据几乎可以为任何内容。 对于这一点,据上月晚些时候TechCrunch的报告,流行的云存储服务Dropbox依据美国《数字千年版权法》,阻止了一名用户共享受保护内容。该用户在Twitter上写道,他被阻止共享特定内容,这一事件经由Twitter迅速发酵升温,人们对于Dropbox必定窃取了用户内容而大为不满,尽管隐私政策中明确承诺不会这样做。 当然Dropbox实际上并未窃取任何用户内容。据TechCrunch的文章中所述,导致这一事件发生的可能原因是版权持有者拿到版权文件(也许是数字版歌曲或电影)后,通过哈希函数来传送该文件。取得输出的哈希值后,他们将这一串40个字符加入了某种版权保护资料哈希黑名单。这样在用户尝试分享该版权保护资料时,Dropbox的自动扫描程序就会挑选出列入黑名单的哈希值,从而阻止资料分享。 所以,显然你可以对密码和媒体文件进行哈希加密,但密码哈希函数还有哪些其他用途呢?同样,实际答案是哈希函数的用途远远超出我的所知,也不在我的写作关心范围内。但是还有一个非常贴心的哈希应用是Kaspersky Daily。哈希算法被卡巴斯基实验室等反病毒软件公司用于恶意软件检测,部署广泛。 同样,电影制片厂和唱片公司也制定了哈希黑名单来保护版权数据,此外还有数量不定的恶意软件哈希值黑名单,其中大多数公开提供。这些恶意软件哈希(或恶意软件签名)黑名单由恶意软件哈希值或更小的可识别恶意软件组件的哈希值构成。一方面,如果用户发现了可疑文件,则可以在众多公共可用的恶意软件哈希注册表或数据库中选择一个来输入该文件的哈希值,输入后注册表或数据库会通知用户该文件是否为恶意文件。另一方面,反病毒引擎识别并最终阻止恶意软件的一种方法就是将文件哈希值与引擎自己的(以及公开的)恶意软件签名存储库中的进行比对。 密码哈希函数还可用于确保消息完整性。换言之,你可以借此确保某个通信或文件未被窃取,方法是检查数据传输前后生成的哈希输出值是否一致。如果前后哈希值完全一致,则传输可称得上是可靠的。

“Heartbleed”漏洞恐令数千网站泄密

更新:在上一篇有关此漏洞的文章中曾提到(引用了Github上的列表)HideMyAss网站用户受到Heartbleed漏洞的威胁。但该网站发言人与我们联系表示,他们的用户并未受此漏洞的影响,所以我们从受影响网站列表中删除了此网站。 更新2:专栏已更新受影响服务列表,这些服务官方推荐更改用户密码。 NPR(美国国家公共广播电台)主播David Green在早8点主持的《早间节目》中讨论安全漏洞话题后,人们都知道了安全漏洞是非常严重的问题。昨天早上的节目中又提到了此话题,这次是OpenSSL中的一种严重的加密漏洞,被戏称为”Heartbleed”(心滴血)。OpenSSL可能是互联网部署最广泛的加密库。如果您不是很清楚什么是OpenSSL,别担心,下面我会用500字左右的篇幅来尽量解释清楚整个原委。 与网站建立起加密连接后,数据都将使用SSL/TLS协议进行加密,不管你连接的Google、Facebook还是网银。许多流行的网络服务器利用开源OpenSSL库来执行此加密作业。本周早些时候,OpenSSL的维护人员针对一种严重漏洞发布了修订,此漏洞在实现TLS功能时出现,称为”Heartbeat”(心跳包),攻击者借助此漏洞可从服务器内存中读取多达64 KB的数据。 换句话说,如果保护机器的库是有漏洞的版本,那么互联网上的任何人都能通过该漏洞来读取机器内存。最坏的情况是这一块小小的内存中可能含有敏感数据 – 用户名、密码,甚至包括服务器用于加密连接的专用密钥。此外,利用Heartbleed漏洞不会留下痕迹,没有确定的方法来判断服务器是否被黑客入侵过,也无法断定哪类数据被盗。 好消息是OpenSSL修复了该漏洞。但坏消息是没有办法保证受Heartbleed漏洞影响的这些网站和服务实施补丁来减轻漏洞的影响。更多的坏消息是,该漏洞很明显能够被轻松利用,而且可能已存在长达两年时间。这意味着许多流行网站的安全证书已被盗,包括密码在内的敏感用户数据也很可能遭窃。 用户行动计划 更新:Mashable收集的清单列出了来自受影响网络服务的正式PR回复。为了节省阅读表格并检查证书(下面有更多检查相关内容)的时间,只需在以下所有站点上更改密码即可:Facebook、Instagram、Pinterest、Tumblr、Yahoo、AWS、Box、Dropbox、Github、IFFT、Minecraft、OKCupid、SoundCloud和Wunderlist。请对每个站点使用唯一密码! 检查自己喜欢的站点是否有漏洞。有多种在线工具可检查是否存在漏洞,但你还需要知道之前是否有存在过。很幸运,你可以根据一个长长的流行网站列表来检查是否有漏洞。好消息是,PayPal和Google未受影响。坏消息是,Yahoo、Facebook、Flickr、Duckduckgo、LastPass、Redtube、OkCupid、500px及其他许多网站都存在漏洞。如果您在这些脆弱网站上有注册有帐户,请准备好随时行动。 立即检查网站是否有漏洞。有一个简单工具可用于此检查。 网站所有者修复漏洞后,还需要考虑重新发布网站证书。因此准备好监视服务器证书,并确保使用的是最新证书(4月8日或之后发布的证书)。为此,请启用浏览器中的证书撤销检查。下面举例说明了如何在Google Chrome设置中启用此项。 此项将阻止浏览器使用旧证书。要手动检查证书发布日期,请点击地址栏中的绿色锁图标,然后点击”连接”选项卡上的”信息”链接。 对服务器打补丁并更新证书后,最重要的一步是立即更改密码。此时可修改密码策略,并开始使用容易记忆而又安全的密码。您可以使用我们的密码检查程序来检查新密码是否安全。