安全性

就在上周，我们介绍了电子前哨基金会（EFF）所发布的有关安全消息服务的评分报告，同时我们还制作了一份9款在隐私和安全方面表现出色的移动与互联网消息服务清单。而本周，我们将继续为您介绍位列该评分榜末尾的数款消息服务。 有趣的是，如果上周所介绍的消息应用在安全和隐私方面似乎有些过于难理解的话，那本周即将介绍的应用和服务清单在安全方面同样让人有些昏昏欲睡，因为采用了相似的评分标准。正是出于这个原因，我们会将主要篇幅放在一些最流行的消息应用上，当然还是免不了一些较为冷门的应用和服务。 11款在#安全和#隐私控制方面较弱的移动与互联网消息服务 背景 EFF对总共七大类的所有服务应用进行了评分。出于我们的目的，所有在以下问题中得到两个”是”回答或以下的服务提供商，其评分即为不及格： 1. 数据在传输过程中是否加密？ 2. 是否在数据加密后，即使服务提供商自己也无法读取？ 3. 你能否确定联系人身份的真实性？ 4. 服务提供商是否采用完美正向隐私性的做法，即加密密钥是否是临时的，即使被盗也无法用来解密现有通讯？ 5. 服务是否采用开源代码且可供公开审查？ 6. 加密实施程序和过程是否留档？ 7. 在过去12个月是否进行过单独的安全审查？ 这七个问题旨在评估哪些服务应用提供最佳（最差）保护，以防止政府监视、网络犯罪分子窥探以及企业数据收集。这意味着，无论是EFF还是《卡巴斯基每日博客》都官方认可以下所有程序。但这一服务清单仅代表哪些应用一贯并未采用最佳安全与隐私做法。 9 mobile and Internet messaging services offering strong #security and

就在一年前，有关震网蠕虫病毒的新闻一度占据各大媒体的头版头条位置，也让那些常与信息安全打交道的家伙们感到有些不寒而栗。到底是谁创造了震网蠕虫病毒，创造这一病毒的原因又是什么，到现在依然是个谜。然而，有传言称来自美国和以色列的情报机关想利用这一病毒对伊朗核计划实施破坏活动。这一消息可信度相当高，因为该恶意软件的确有能力让铀浓缩离心机无法正常工作，从而让伊朗核计划推延数年时间。 震网病毒的创造者成功地对未联网且受保护的设备实施攻击，并进行大规模的破坏活动。正如许多专家所监控到的，该病毒随即失控并开始主动地进行自我散播。而由于一开始就将特定类型的工业系统作为攻击目标，因此至少从表面上并未对家庭和企业的电脑造成危害。 首批受害者或’零日漏洞受害者’ Kim Zetter是一名美国新闻记者，她于11月11日出版了一本名为《Countdown to Zero Day》（零日倒计时）的书。从该书中，我们得以有机会向广大公众介绍一些有关震网鲜为人知的真相。我们将不会花费过多篇幅介绍该病毒的早期活动，而将更多注意力放在该病毒的迭代，正是它导致2009-2010年期间轰动一时的大规模病毒感染事件。 我们能够很容易重现这一事件的前后始末，而这正是得益于该恶意软件的一个有趣属性：即自动保存所有曾感染过的计算机历史记录，包括：主机名、域名以及IP地址。尽管这一数据不断更新，但我们依然能够追踪到其最初的记录。 赛门铁克于2011年2月发布了”W32.Stuxnet Dossier”分析报告，其中确定了五家最先遭受震网病毒感染的公司（事实上，其中两家公司在2009年和2010年遭受了两次攻击），但并未公开披露这五家公司的名字。为了确定到底是哪几家公司，我们前后花费总共2年左右的时间对大约2,000份文件进行了分析。 #Stuxnet Zero Victims The identity of the companies targeted by the first known cyber-weapon https://t.co/W8PVyGp7b3 pic.twitter.com/BWDkVqWPLq — Dmitry Bestuzhev (@dimitribest)

似乎近期我们已习惯于讨论如何保护社交网络个人资料、个人照片日志、智能手机、个人电脑、银行账号及许多其它资产。但似乎我们遗忘了一样小东西，从某种程度上说，它能保障上述所有内容的安全性。SIM卡虽然只提供最基本的保护，但却是保护我们关键数据和资金的最后一道防线。 那么SIM卡为何如此重要呢？答案很简单：这样一块焊有微芯片的小塑料片携带有像通讯录和服务数据这样的信息，–而且最重要的是–里面还保存了你的电话号码。 如今双重认证的使用范围越来越广，通常依靠的是短信发送的一次性密码。这意味着，SIM卡在某些方面（并非全部）是窥视你数字生活大门的一把钥匙：社交网络个人资料、在线服务登录凭证甚至是网银服务。正如最薄弱的环节才能决定整条安全链的坚固性，个人数据的安全性也同样取决于你的手机号码–即SIM– 是否得到了坚固保护，从而阻止未授权的访问。 许多包括Facebook和Gmail在内的网站以及所有网银服务均提供额外的访问保护，即通过将手机号码与账户捆绑，通过短信获取一次性密码。 根据不同设置和用户偏好，此类一次性密码不仅可用于访问网银账户，还可更改常规密码以及确认交易。这意味着就算网络犯罪分子成功破解你的主密码，在无法通过手机得到一次性密码的情况下就无权访问你的账户。 https://pbs.twimg.com/media/BpwGzxcCcAI-t52.png 什么是双重认证？哪些情况下应该使用双重认证？http://t.cn/RzzkrVv pic.twitter.com/3i9YyLdEpI — Eugene Kaspersky (@e_kaspersky) June 10, 2014 该认证方法被认为是保护你在线资产的最强大方式，但依然存在漏洞：该方法有效的前提条件是只有手机的合法拥有人使用自己手机，但在实际生活中，手机也有可能被偷或被他人不正当使用。 一旦你的手机或SIM卡落入他人之手，那会发生什么？ 在你智能手机内所使用的#SIM#卡可能会导致金钱损失和个人数据丢失 最坏的情形是所丢失的智能手机内存有你的银行信息。一旦获得了这样的”超级大礼包”，网络犯罪分子能够在瞬间将你的资金全部转移出去。近些年来，越来越多的人选择使用卡到卡交易，即使如此不方便的资金转移方式也能轻易地被使用。 你的数据就如你的SIM卡一样安全。 盗用你的卡进行网购就更容易了。要进行此类操作，只需卡登录凭证以及发送至与卡捆绑的手机号码的一次性密码。就算你的主密码设置得再复杂和可靠，也根本无济于事，因为完全不会用到。所设的屏幕解锁密码也根本不会用到：他们只需将你的SIM卡插入另一部手机，就能接受发给你手机号码的短信了。 从理论上讲，可以要求银行撤销这样的非法交易。但实际情况下却困难十足：因为银行会完全认定是你执行了交易，且很难撤销或更改。 许多在线交易仅需要卡登录凭证以及短信发送的一次性密码即可完成–网络犯罪分子甚至不需要用到你的网银登陆密码。 危害性相对较小的情形是仅仅丢失了手机。在此类情形下，网络犯罪分子要盗取你的资金似乎有些难度，但实际上他们可以轻松用你的账号登录各种在线服务，从而窃取你的个人数据。方法相当简单：对那些只需发送你手机确认码的网站进行密码重置。 即使是最懒的黑客，碰巧获得了你的手机或SIM卡，也至少会以你发生紧急情况为借口，向你的朋友和家人群发短信，以此索取金钱。诸如’没有时间再解释’这样的短信欺诈方式就算发自未知联系人也相当奏效，就更不用说是你认识的人了。 “Five lessons I’ve learned

在保护你的个人数据、银行档案和其它各类重要信息的整条安全链中，你知道哪个环节是最薄弱的一环吗？其实就是你自己。多年以来，安全系统真正无法抵御的最大威胁即是人为因素。 如今，来自于安全部门的IT专家们给出了关于”可行和禁行”问题的答案：为员工设定过多的禁止行为会使他们开始无视公司规定或无法高效工作。反过来，赋予他们过多自由则会将公司重要信息至于风险之下并使他们宝贵的个人档案资料迅速遗失。 将你的密码遗留在”付款台”上：”请勿打扰”并不适用于房内平板电脑, https://securelist.com/blog/research/67318/leave-your-passwords-at-the-checkout-desk/ …（@dimitribest） 当意识到我们自己才是造成个人数据外泄的罪魁祸首时，才恍然大悟。每次，当你在未知设备上输入你的个人账户信息后，离开时会话依然开启，这时你的个人数据极易遭受攻击。有时候你所遗留的很可能是一些极其重要的信息。比如，可能连接你信用卡的Apple ID和Google Wallet（谷歌钱包）。遗憾的是，在我们使用移动设备时，只有一部分人会想到这一点。 让我们来说一个真实发生的事件，恰巧就让我们GReAT团队专家Dmitry Bestuzhev碰到了。 @dmitribest在酒店房间的房内iPad中发现了属于之前房客的大量#个人数据# 除了提供其他优质服务以外，许多酒店还为房客精选准备了免费的平台电脑（机场和饭店也有类似服务）。房客们常常会用来玩乐和消磨时间；此外，还可用于浏览Facebook的最新内容、查看自己的iMessages和电子邮箱，或者还可访问Google阅读新闻，登录Play Store下载最新上架应用，进行视频通话或访问互联网进行各种放松和娱乐活动。 Dmitry在使用房内iPad时大为惊讶：平板电脑上竟然遗留了之前许多房客的大量私人信息。 Dmitry在酒店房间内也发现一台免费的iPad。他在使用这台设备时大为惊讶：平板电脑内遗留了大量属于之前一些房客的私人信息。 你无需是IT高手就能轻松收集各种保存于这台iPad 的数据，其中有带预存密码的遗留账号、社交网络上的授权会话、来自浏览器的搜索结果（包括查询色情内容的其他历史记录）、自动保存至通讯簿的全部联系人列表和iMessages消息，甚至还有怀孕日期计算器。 要查明这名粗心大意的孕妇身份其实并不难，因为她”大方地”将自己的个人联系信息留在了这台设备内。大部分会话处于开启状态，这意味着如果有不法分子想冒充这些房客发布或发送讯息将变得非常容易。可以想象一下，如果有人冒充你写一些下流的内容发给你的老板或同事，其结果可想而知。 Dmitry花了点时间Google了一下，发现其中有些房客竟然为政府工作。如果有人利用这些数据访问公司信息的话，无疑将导致一次严重的数据外泄事件。 很容易让人想起类似数据盗窃的场景。犯罪分子完全能够在你办理入住手续前先潜入房间并安装应用，从而追踪你的密码和其他信息。在成功盗窃后，犯罪分子可采用多种方式以达到其犯罪目的：对受害人进行勒索、在网络上发布不宜照片（你还记得詹妮弗•劳伦斯的照片泄露事件吗？）以及使用你的iTune下载大量收费音乐文件等等。 因此，我们在使用公共设备时一定不能粗心大意。为了保持个人数据的安全，可遵循以下简单的使用规则。首先：永远使用强大的密码。其次：只连接可靠且安全的Wi-Fi网络。最后：在涉及个人信息时，只使用自己携带的设备（从目前恶劣的网络安全状况来看，这意味着永远都需要遵循）。简而言之，公用设备是万不得已下的最后选择—建议永远也不要使用。 如何记住强大且唯一的密码 http://t.cn/R7ItkKq —— 尤金-卡巴斯基

汽车工业总在不遗余力地简化汽车与车主之间的”通讯交流”。 如今，汽车仪表盘上的按键不断减少；取而代之的则是语音命令，例如：可以发出”重新装满挡风玻璃洗涤器的蓄水容器”这样的语音指令。有些最新车型则只有一个巨大的数字车速里程表和万能车载计算机屏幕。然而，并不是所有人都能适应如此简化的行车界面。 其中与许多是价格不菲的跑车的车主，他们驾驶这些跑车只为了一个最初的目的：赛车。 以Ferrari 458 Speciale或LaFerrari hybrid车型举例，这两款跑车的车主就一定知道有关转弯和刹车的众多细节。出于这一原因，法拉利开发出一种特殊的硬件工具以及一款iPad应用，”Ferrari Telemetry”，该款应用大致与F1法拉利车队所运用的技术理念类似。 一些量产车目前拥有与#F1#车队的遥感系统相类似的功能 使用”遥感系统”（Telemetry）后，比赛时赛车的各部件会实时报告其当前最新状态，使得赛车手能够使用该应用来查询赛车目前的所有缺陷，例如：次优RPM选择或刹车的不恰当片刻。基本信息通过无线传输，但全面的分析连同行车记录则通过有线连接汽车的iPad进行传输。应用面板和许多赛车游戏（比如：GP赛车）十分相似，但只有一个微小的差别―就是所有的一切都发生在现实生活中，而非虚拟世界。 遥感系统即将出现在大众市场的汽车内，旨在通过一款特殊的智能手机应用辅助车主。 当然，驾驶售价达6位数的赛车在赛道上风驰电掣只是属于少数人的运动，但”遥感系统”却极有可能成为大众普及的技术― 每一辆现代汽车内都将装有数量众多且极为精密的计算机，可以同时对汽车”健康”和驾驶者的表现进行分析和报告。 上述所提到的各项功能都将最终运用于大众市场汽车。当然，这些功能并非只显示一堆复杂的图形，而是向车主的智能手机发送信息，读起来就像这样，”在经过红绿灯后的离家附近的第一个十字路口不要猛踩油门，因为这样会多消耗20%的油。 为了避免此类技术遭受安全威胁，需要有人站出来开始着手保护汽车计算机和遥感系统的安全性。法拉利方面已着手开始行动了。从法拉利首席信息官Vittorio Boero了解到，公司已将F1法拉利车队所使用的遥感系统”安全化”原理运用到量产车上。我们完全了解F1车队的IT安全水平，因为卡巴斯基实验室开发了旨在保护法拉利车队计算机的特殊解决方案。我们只能希望每一家汽车供应商都能采用严格的安全保障措施，解决汽车安全性方面的问题。

今年是2014年。洛克希德马丁公司于近期宣布在开发可提供难以想象的巨量能源的紧凑型核聚变反应堆方面取得了实质性的进展，并有望取代清洁性差却能轻易开采的燃料能源。尽管科学技术飞速发展，但有一个领域依然停滞不前，那就是我们依然需要努力记住一长串的密码。如果我们在未来技术上仍然还要依靠落后的认证器技术的话，那我们还是需要想出一种可靠的解决方案来记住我们的密码。而这正是我们在卡耐基梅隆大学计算机科学系的朋友们所做的研究内容。 不幸的是，事实证明要记住一长串复杂的密码需要我们做一些人人厌恶的事情：学习研究。据Jeremiah Blocki、Saranga Komanduri、Lorrie Cranor和Anupam Datta所开展的研究表明，有间隔的反复训练搭配助忆术所构成的系统将能有效提升记忆力，让用户能在过了很长一段时间后依然能记住自己的密码。 密码的构成元素让我们想起了以下有关密码强度的XKCD漫画，也就是说，记忆要靠想象一些句子而不是用“脑残体”文字。 卡内基梅隆大学该项研究的参与者被要求从下拉菜单中选择一位人物，随后分配给随机产生的动作和目标。这一方法被称为人-动作-物品（PAO）故事法。因此你可以组成这样一句句子：尤达大师掉下了麦克风。” 在研究过程中所使用的助忆手段是向参与者展示设定好的一幅图片，然后想象图片中所发生的人-动作-目标的故事。比方说与我们故事有关的这幅图片显示的是一座水下实验室。那我们就可以组成这样一句句子：”尤达大师在水下实验室掉下了麦克风”。 现在你已经拥有6个单词，并且使用这6个单词可以组成足够强大的密码—你可以登录我们的安全密码检查网页来验证一下。该助忆技术的关键是你无需记住整句句子。 在本研究中，参与者在过了100多天以后，被要求只凭借一幅场景和人物（尤达大师在水下实验室）按照训练时的套路回忆起故事的动作和物品。不同的联想记忆训练间隔时间和所需记忆密码的不同数量（1个、2个或4个）造成各试验小组的测试结果不尽相同。 训练后12小时进行记忆测试的用户取得了最好的成绩，随后是12×1.5小时，后面以此类推：0.5天、0.5天、1.75天、4.15天、8.15天、14.65天、24.65天、40.65天、64.65天和101.65天。在该试验小组中，77.1%的参与者在过了102天后依然能成功回忆起9次试验中的所有4个故事。 “我猜你可能说我会对试验结果感到些许惊讶。如果在本次研究前你必须让我猜多少时间内可以取得最好的记忆成绩的话，我可能会说是30minX2（1小时），对于这个时间我也并不是那么完全自信。” 我将这一问题抛给了Blocki，想看看他是否会对试验结果感到惊讶。 “我猜你可能说我会对试验结果感到些许惊讶。”他说道。”如果在本次研究前你必须让我猜多少时间内可以取得最好的记忆成绩，我可能会说是30minX2（1小时），对于这个时间我也并不是那么完全自信。的确，12hrX1.5（18小时）这组的训练时间间隔更长。然而，连续联想记忆训练间隔时间并没有像30minX2（1小时）时间下增加的那么快。该试验结果证明了联想记忆训练时间间隔的重要性（不仅仅是联想记忆训练的总次数）。” 顺便提下，在头12个小时内最容易产生遗忘。在前几轮测试中记住故事的参与者中，有94.9%的人在随后几轮测试中也同样记住了这些故事。有些结果并不出乎意料，只需记住1个或2个故事的参与者的记忆成功率远远高于需要记住4个故事的参与者。 记住一长串密码需要我们做一些人人厌恶的事情：学习研究。 关于本次研究的更多内容，请参阅“Spaced Repetition and Mnemonics Enable Recall of Multiple Strong Passwords” [PDF]。你大可进行一番探究，但需要提醒的是，里面有太多内容讲的是极其复杂的数学问题。 今天我们到底学会了什么？首先，我们学会了如何更加容易地记忆位数较多的复杂密码。或许也明白了为什么几乎每个人都喜欢在不同账户使用同一个密码，尽管他们清楚密码会导致安全风险。换句话说，密码仍然不可避免地存在缺陷。 但同时也带来了一些好消息—你可以通过使用相对容易的助忆技术增强你的密码强度：

在21世纪的今天，几乎所有重要赛事的举办都离不开强大的信息技术基础架构。对于全球真正高科技的体育赛事–F1赛车比赛而言，情况尤为如此。在即将到来的索契站比赛中，卡巴斯基实验室将对法拉利车队的安全性给予关注。

有多少个人隐私你觉得会从iPhone手机泄露出去？即使手机拿在手中，放在桌子上，或是接在笔记本电脑上充电，都有可能会泄露一些个人隐私—从个人通信和照片到资金信息和登录凭证。那么又该如何保护自己的iPhone手机呢？接下来，我们将为您提供10个安全小贴士，从而最大提升您iPhone手机的安全性。 首先需要提醒的是，以下任何方法都会导致你iPhone手机的一些有用功能失灵，但为了更好地保护你的个人数据，这些方法绝对值得一试。你不必逐一采用以下所有的方法，只需挑选一些既适合自己又能提升安全性的方法—选择哪些完全取决于你自己。 十大安全小贴士：如何才能让你的#iPhone#手机避免泄露个人隐私 1. 使用强大的密码取代4位pin码 保护个人数据最简单和有效的方法是使用强大的密码用于屏幕解锁，从而取代原先的4位pin码。建议采用由字母、数字和符号混合组成的复杂密码。最好是在锁定屏幕后即要求输入密码，且没有任何的延迟。此外，你还可以打开”清除数据”功能选项，在尝试密码错误10次以后设备即会自动清除保存的所有内容。但需要提醒的是，所有数据一旦被清除以后即无法恢复，因此最好还是不要忘记自己的解锁密码。 这样做到底有什么好处？这将能有效降低犯罪分子猜出你密码的可能性。 可以在哪里进行设置？前往”设置”–>”密码”（或”指纹识别和密码”）–>”需要密码”：立即；”简单密码：关闭”。 2. 关闭锁屏通知 当有通知出现在锁屏上时，再强大的密码也无法保护你的个人数据免遭外泄。手机应用内的消息、邮件和其它信息可能会包括像”确认码、私人约会和财务数据”这样的敏感数据。你iPhone手机锁屏上显示的通知越少，你个人资料就越安全。 这样做到底有什么好处？这将能阻止陌生人窥探显示在锁屏上的信息。 可以在哪里进行设置？前往 “设置”–>”密码”（或”指纹识别和密码”）–>”锁定时允许访问”部分。 3. 打开Apple ID和iCloud两步验证 相比单一验证而言，两步验证无疑为你的iPhone手机又添了一把锁。因此无论对于Apple ID还是iCloud而言，我们都强烈建议您采用两步验证方法。在创建两步验证时，你可以通过短信或Find My iPhone服务注册一个或多个信任设备（你所拥有的），随后会收到4位验证码。完成后，每次你在新设备上登录Apple ID、iCloud，或者通过iTunes、iBooks或App Store购买产品时，你都需要输入密码和4位验证码方能通过ID验证。 这样做到底有什么好处？这将能有效防止自己的苹果账户被未经授权的他人所使用。 可以在哪里进行设置？前往https://appleid.apple.com –>”管理您的Apple ID” –>”密码和安全”–>”两步验证”。 4. 在锁屏状态下禁用Siri

上周，在美国华盛顿州西雅图市举行了 一年一度的”Virus Bulletin”技术交流大会。该会议被誉为全球历史最为悠久的安全会议，与Black Hat安全大会一样，今年的会议一改往年单纯面向企业的陈述报告，还有更多消费者参与到其中，会议讨论的话题也更为贴近普通大众感兴趣的领域。 在本次会议上，我的卡巴斯基同事对两项大众普遍感兴趣的安全话题做了简报（全面披露）：对比特币盗窃案件从轻微犯罪快速升级至好莱坞式抢劫大案的原因解释；以及关于现代家庭入侵方面的陈述。此外，还有一些会议内容同样吸引眼球：将苹果Mac OS X操作系统作为攻击目标的恶意软件现状报告，以及对”白领犯罪”如何改变安卓操作系统的惊鸿一瞥。 家庭入侵 David Jacoby所撰写的有关入侵自己家庭各种设备的经历于近期刊登在了卡巴斯基博客上。他提出了这样一个问题：…如果我们无法保护自己设备免遭当前的威胁，那就算能发现未来可能的新威胁又有何用呢？ 他之所以提出这样一个问题，是由于Jacoby担心整个安全行业将过多的时间用在讨论”零日漏洞”以及其他一些存在于联网的汽车、冰箱、酒店、家庭报警系统、厕所以及其他所谓”物联网”设备内的高级漏洞上，但问题是当前几乎没有什么人会拥有这些设备。而与此同时，我们对于早已存在数年时间的已知问题以及大众普遍使用设备的恶劣安全状况却关注太少，例如：智能电视、路由器、打印机、调制解调器、游戏机以及网络存储设备。 我的结论是：何不独立分出一个特定网络分段将所有上述设备纳入其中，从而与工作站、计算机、手机和平板电脑等设备所用的网络完全分开。 在开始他的实验之前，Jacoby明确表示对自己家用设备的安全性充满信心。毕竟自己作为一名经验丰富的安全研究人员，工作的大部分时间几乎都是用来考虑网络安全问题。因此在发现自己的这些家用联网设备缺乏适当的安全保护措施且存在大量漏洞时，他大为震惊。 本周早些时候，在Virus Bulletin会议上所播放Threatpost主编Dennis Fisher的播客中，Jacoby注意到一个有趣的观点：随着人们愈来愈注重保护自己的移动设备和传统计算机，似乎对网络硬盘、无线打印机以及其他各种接入家庭网络设备安全性的关注程度有所减弱。 “我们需要着手考虑如何将我们的家用电器更安全地连入家庭网络。” Jacoby说道。”我的结论是：何不独立分出一个特定网络分段将所有上述设备纳入其中，从而与工作站、计算机、手机和平板电脑等设备所用的网络完全分开。” 苹果恶意软件 Synack研究主管Patrick Wardle谈到了各种存在于Mac计算机的恶意软件。Wardle的数据表明，在过去5年内，OS X操作系统在家庭和企业工作站的市场占有率从7%提升至近15%。目前苹果是美国个人计算机市场的第三大供应商。 在2012年，苹果曾发表过这样的声明：”Mac计算机不会受到任何PC病毒的感染，同样对数千种肆虐于Windows系统计算机的病毒也完全’免疫’。”从技术上看，毫无疑问第二句话是正确的。然而，按照Wardle所陈述的内容，第一句话的准确性显然值得商榷。尽管苹果方面并不愿承认Mac计算机就是个人电脑，但却是毋庸置疑的事实。 据VB2014会议报告#比特币#、#苹果恶意软件#、易入侵消费类设备以及更多安全事件呈快速上升趋势 Wardle宣称最早出现在Mac计算机的病毒被称为’Elk Cloner’。该病毒以Apple II为攻击目标，在上世纪80年代广为传播。就在去年，Wardle还表示新增了30种将OS X平台作为攻击目标的恶意软件。当然与将Windows系统设备和安卓系统设备作为攻击目标的恶意软件的数量相比，这一数字几乎可以忽略不计。 然而，Wardle断言随着市场上Mac计算机数量的增加，以及大多数Mac用户所部署的反病毒保护措施相对薄弱且严重缺乏Mac恶意软件分析工具，因此可能会带来一系列麻烦，这也恰好解释了他为何致力于”找出OS X操作系统的持久性机制以及研究危害Mac计算机的恶意软件，[如此]我们才能更好地保护我们的Mac计算机。”

来自纽黑文大学网络取证研究和教育小组的一群研究人员最近发现多款流行应用存在漏洞，其中包括了Instagram、Vine和OKCupid等流行应用。对于已在安卓移动设备上安装了这些受影响应用的9.68亿用户而言，这些bug很可能会导致他们的个人敏感信息遭到泄露。 我的同事Chris Brook在Threatpost 上报道了相关事件的进展：研究小组发布了一系列的Youtube视频将大部分bug公诸于众，最终发现产生bug的原因是将用于控制存在漏洞应用的非加密内容保存在服务器上所致。 “尽管两个人之间通过这些应用传送数据通常被认为是安全的，但我们发现此类的私人通讯还是有可能被他人所窥探，原因在于这些数据并没有经过加密，且原始用户对此毫不知情。” “对于任何曾使用或将继续使用此类受测应用的用户而言，其各类机密信息甚至有时包括密码在内，都时刻处于被泄露的危险中。”纽黑文大学Tagliatela理工学院计算机科学系助理教授兼cFREG负责人Abe Baggili说道。 据Threatpost报道，Instagram Direct的消息传送功能会泄露用户之间共享的照片，以及以纯文本形式保存在Instagram服务器的以往照片。此外研究人员还发现，只要通过HTTP搜索某些关键词，就能看到在流行的在线约会服务应用- OKCupid上用户之间共享的信息。而一款叫做”ooVoo”的视屏聊天应用基本上也包含了与Instagram Direct应用相同的漏洞。Instagram缺少完全加密的问题在我们以往的卡巴斯基中文博客中有所报道。 而在Tango、Nimbuzz和Kik这三款免费通话和通讯应用中，研究人员也发现可以通过所存在的一些bug来窃取照片、位置信息以及视频。此外，Nimbuzz还被发现所有用户密码均以纯文本形式保存。 由于MeetMe、MessageMe和TextMe均以非加密的纯文本形式发送信息，因此网络攻击者能够对在本地网络运行这些应用的用户通讯进行监视。并且在这些应用中以纯文本形式发送或接收的图片和共享位置点均会被监视。此外，研究人员还能够看到以纯文本形式保存用户登录凭证的TextMe数据库文件。 Grindr、HeyWire、Hike和TextPlus基本上也存在同样的bug。网络攻击者只需使用现有的黑客工具（例如：WireShark），就能轻而易举窃取通讯记录、照片以及共享位置。此外，通过Grindr、HeyWire、Hike和TextPlus发送的照片会以纯文本的形式保留在这些应用的服务器内，并供身份认证使用长达数周时间。 “使用一款叫做HeliumBackup的安卓备份提取工具，就能获取用于TextPlus的安卓备份文件，”一名研究人员说道。”当我们打开后，发现里面自动会存有用户在线活动的屏幕截图。我们并不清楚这些屏幕截图的目的，也不知道为什么会保存在设备内。” 在他们的最终视频中，研究人员调查了哪些应用在其存储内保存了敏感数据。但问题是，TextPlus、Nimbuzz和TextMe均以纯文本的形式保存登录凭证。除此之外，这三款应用加上 MeetMe、SayHi、ooVoo、Kik、Hike、MyChat、WeChat、HeyWire、GroupMe、LINE、Whisper、Vine、Voxer和Words With Friends均以纯文本形式保存所有聊天记录。 “尽管两个人之间通过这些应用传送数据通常被认为是安全的，但我们发现此类的私人通讯还是有可能被他人所窥探，原因在于这些数据并没有经过加密，且原始用户对此毫不知情。” Baggili说道。 研究人员试着联系这些存在问题应用的开发人员，但由于所提供联系方式太过简单和程序化因此根本无法直接联系到开发人员。在一次邮件访谈中，Abe Baggili表示还不知道这些应用的供应商是否已修复他和他的团队所发现的任何bug。 令人惊讶#隐私漏洞归咎于#在数十款流行#安卓应用#缺乏加密 我们曾试图向Instagram确认此事，但公司始终未对这一问题给出正面的回应。 目前尚不清楚这些应用的开发人员是否计划修复在这里所讨论的一些bug。 CNET 网站曾就这一问题与Instagram、Kik和Grindr取得联系。Instagram表示正在对其安卓版应用进行全面的加密修复，从而解决目前所存在的安全问题。Kik则表示正在致力于对用户间共享的照片进行加密，但不会对聊天记录加密，原因是聊天记录独立保存，并且无法在应用之间通过手机访问获取。他们同样还声明此类数据保存方式符合行业标准。而Grindr则仅仅表示会不断关注此类安全报告，如果适合的话会做出一些改变。

夏末的八月正值网络犯罪案件多发时期，但全世界各地的执法机构依然从蛛丝马迹中找出线索，将犯罪分子一一缉拿归案。 因散布儿童色情照片遭逮捕 现代技术在帮助执法机关搜寻网络犯罪分子方面起到了越来越重要的作用。有些案件甚至无需派遣人员参与侦查，只需一款软件即能处理所有工作，最后留给警察的工作只是将犯罪分子带上法庭。20岁的Tyler Hoffman和31岁的Abraham Gordon可能连做梦也没有想到，他们一直以来用于网络犯罪的现代技术竟然 “出卖”了自己，最终不得不面临法庭的审判。 第一个案件涉及微软及其PhotoDNA软件，该软件拥有自动识别儿童性暴露照片技术。正是得益于这一技术，在Hoffman用他的手机上传儿童色情照片时，其邮箱账户就立即被做了标记。微软在向美国失踪与受虐儿童援助中心（NCMEC）报告后，随即报警。 在另一个案件中，同样也是得益于由Google所开发的一种邮箱分析技术，Abraham Gordon的犯罪行为才被警察所获知。在Gordon将五张儿童色情照片上传后，自动化系统随即对其邮箱进行了标注，同时分别向NCMEC和警察部门进行报告。 上述两名网络犯罪分子很可能因此将面临数年的铁窗生涯。 得益于微软和Google的强大技术，两名散播儿童色情图片的网络犯罪分子最终得以受到法律的制裁#安全#天网恢恢 两名俄罗斯人因黑客入侵遭逮捕 俄罗斯警察近期逮捕了两名年轻黑客，他们被控在没有授权的情况下访问了一个计算机系统。该案件检察官表示，该两名男子入侵他人邮箱和社交网络账号的目的并非只是为了”作乐”，他们真实的目的是为了赚钱。只需支付100-300美元左右的报酬，他们就能为”客户”入侵任何人的账户。据交代，两名黑客平均每个月会接到30-40份客户委托，其中有个人客户也有那些对竞争对手机密信息有兴趣的公司客户。这两名年轻的犯罪分子最终将面临缴纳巨额罚款和/或长时间的铁窗生涯。 现代技术在帮助执法机关搜寻网络犯罪分子方面起到了越来越重要的作用。 韩国16名黑客因泄露海量数据遭逮捕 韩国全罗南道省警方官方宣布逮捕一名24岁的金姓男子，他与其他15名黑客一起被控与韩国发生的一起重大数据泄露案例有关。该起泄露案件造成2700万韩国公民受到影响，约为韩国整个人口的70%。相关官员表示这16名黑客非法传播了数百万年龄在15-65岁的韩国公民的个人信息。警方则宣称金姓男子是从一名中国籍黑客处购得这些信息（总计2.2亿份记录），他们之前于2011年在网上相识。据称，该名中国黑客是从网络游戏网站、电影票务网站以及手机铃声下载网站的在线注册系统窃取的这些信息。这些信息的内容包括真实姓名、居民注册号、账户名称以及密码。相关官员还表示他们将继续调查这一案件，并正在全力追捕剩余的其他7名嫌疑犯。

拉斯维加斯–每年的8月初，来自全世界各地的安全和黑客社区成员云集内华达州拉斯维加斯，参加一年一度的”安全夏令营”，期间将举办Black Hat大会和DEF CON黑客大会和B-Sides这样的会议。Black Hat大会作为一项历史悠久的商业安全会议，在所有会议中具有绝对的影响力。然而，最近该项会议议题越来越贴近消费者，所谈论话题更多的是关于将智能家庭、关键基础设施、移动设备以及其它联网设备作为目标的攻击。 会议完全报道：没有关于黑客入侵火车的演讲。 卡巴斯基实验室研究员Roel Schouwenberg刊登于Securelist的一篇报告中探讨了对后PC时代Black Hat大会的一些想法。与此同时，来自Threatpost的Mike Mimoso也在他的文章中提到了类似的模式：”固件将成为黑客们攻击的新领域，通过U盘将病毒植入家庭路由器和汽车，能够利用漏洞、盗取数据并侵犯隐私。” 一方面作为一名与会者，我很高兴能听到这些新消息，因为这意味着一些 “暗藏杀机”软件平台（主要由企业使用）的bug报告数量更少或者没有增加，而更多谈论的是与我们日常生活息息相关的系统漏洞话题。另一方面，Black Hat大会讨论焦点的转移显示出一种令人担忧的趋势：安全漏洞离我们的实际生活越来越近。 主题演讲 今年大会由安全领域受人尊敬的杰出人物Dan Geer发表主题演讲。与去年美国国家安全局局长亚历山大（Keith Alexander）发表主题时的景象完全不同，今年没有全副武装的警卫、捣乱分子或成群拿着鸡蛋随时准备向台上招呼的反对者。在近60分钟的演讲中，所有与会者饶都有兴趣地听着In-Q-Tel（美国中央情报局的私人风险投资公司）首席信息安全官Geer所谈论的十大安全戒律。 整个演讲中不乏亮点，其中谈到了美国应以10倍价格收购所有待售出售bug，从而垄断整个漏洞销售市场。随后再将漏洞信息存入公共资源库，让任何一家公司都能修复每一个bug并”销毁所有网络武器”。在安全、自由和便利中，我们一次只能选两样。世界上只有两种东西不存在产品责任，一种是宗教，还有一种就是软件。互联网服务提供商可能会基于内容，随心所欲地进行收费，但需要承担内容的责任；或必须选择支持网络中立性，同时享受公共承运人的保护。 “明智地做出选择，”Geer说道。”互联网服务提供商应选择其中的一项，而不是全部。” 黑客入侵人类和医院 让我们重新回到”安全影响我们实际生活”的话题，我们曾非正式地讨论过有关医疗设备安全的话题，其中的一些漏洞的的确确会影响到我们的身体。对我们大部分人而言，更为普遍且更致命的是放在医院的一台台医疗设备，而不是安装在病人身体内的装置。 不久的将来，很可能会出现以一台或数台医疗设备为目标的网络攻击。但好消息是医疗设备本身的安全程度极高。一台全自动的嵌入式胰岛素泵在调节和修正胰岛素水平方面的效果，远远优于血糖仪和一个月胰岛素注射量的效果。 这些漏洞广泛存在于两台医疗设备之间的通讯方式中，以及许多医疗设备以外的案例中，且无论设备是在病人还是医生控制下。我们需要明确的是，犯罪分子用笔记本电脑向一个嵌入式心脏起搏器发送致命冲击的可能性微乎其微。这一风险听上去虽然恐怖，但事实上存在无数更轻松的方法可以致他人于死地。你要相信，这里真正的风险事实上比早间谈话节目更加无聊。 “固件将成为黑客攻击的新领域，通过U盘将病毒植入家庭路由器和汽车，能够利用漏洞、盗取数据并侵犯隐私。” 由谁来负责为医疗设备制作补丁？谁负责安装这些补丁？这些费用又由谁来买单？无论是设备制造商、医院还是用户本身都很难给出明确的答案。我们所说的医疗设备并非只是心脏起搏器和胰岛素泵这些小型的医疗器械；而是诸如核磁共振机、超声心动图机和X光机这样的大型设备，以及医生用于管理一些重要敏感医疗数据的平板电脑甚至是台式电脑（通常安装Windows XP系统）。 这次非正式讨论所得出的最终结果是：篡改医疗记录–医疗事故和其他内容–可能会造成用药或治疗的失误，这可能是我们在联网医疗设备领域即将面临最多且危险性最高的风险。 最后我们应看到好的一面，因为在遭受真正攻击前就预见即将产生的问题本身就是一个积极的信号，因为这在高科技领域并不常见。 雅虎加密所有邮件 雅虎此前因某些原因无法对其网页邮件进行加密遭受到猛烈抨击，因此在不久前雅虎宣布将在未来的几个月甚至几年里对雅虎邮件做出一系列的安全变革措施。其中最主要的方案就是对所有网页邮件进行端对端的加密。这一举措将使雅虎的安全程度提升至与Google同等的水平。 访问the

专门破坏用户数据并借此向用户索取 “数据恢复费”的恶意软件这两年横空出世，成为人们最热议的话题之一。当然–那些我们经常提到的勒索软件和其它恶意程序–毫无信誉可言，就算你支付了所谓的”数据恢复费”，有很大的可能性是你的数据依然遭受恶意软件加密或阻止访问。虽然如此，就我们从今年Black Hat安全大会得到的消息得知，CryptoLocker恶意软件的开发者们在这一方面还是相当”守信”的。 首先，我们依然不建议你向犯罪集团低头，比如通过支付300美元来恢复原本属于你的数据。因此，现在就行动起来—不要等到设备被感染的时候—好好计划一下如何防止数据丢失。我并不准备在这里告诉你哪一台设备会被感染，因为我也不知道。我要告诉你的是一旦感染CryptoLocker将一场巨大的灾难，而且还有很多其他的恶意软件将威胁到你的数据。 即便没有恶意软件的出现，我们也会因各种原因丢失所需要的信息。硬盘损坏所带来的灾难性后果不亚于感染CryptoLocker。各种千奇百怪的意外都会成为你丢失所需要和依赖的数据：将手机落到水池里，平板电脑被偷，甚至因为丢失一个小零件导致整台设备无法运行等等。 我们不建议你向犯罪集团低头，比如支付300美元来恢复原本属于你的数据。 首先你需要做的是确保对重要数据定期进行备份。如果你使用的是苹果电脑，苹果自带的时间机器（Time Machine）功能以及专用外部硬盘将助你完成备份工作。当然，Windows自带有自动备份功能。 事实上，聪明的用户通常会制作多个备份：一种是可以自己控制的（比如外部硬盘），还有一种是无法控制（比如信任的云存储供应商）。如此，一旦发生灾难性事件，比如你的电脑感染了恶意软件后莫名其妙地无法运行，同时连接电脑的外部硬盘也受感染而无法正常存取。不用担心，你还有第三个备份-基于云的存储方案。 另一种方案叫做”未雨绸缪”，即在感染恶意软件之前就采取保护措施。主要有两种方法可以避免感染：一是凭一己之力对所有点击的网页以及有意或无意下载到电脑的文件进行甄别和筛选。但问题是我们是人而不是机器，是人都会犯错—更不用说网络犯罪分子的高超犯罪手段是我们无法想象的。因为通过欺诈我们这样的用户将恶意软件装入我们的电脑是他们唯一的谋生手段。而另一种防止受恶意软件感染的方式则是安装信任的安全解决方案让机器自行进行保护。 我们推荐卡巴斯基安全软件多设备版–或者我们亲切地叫它— KIS MD (kiss-emm-dee)。这款软能够保护你的所有设备免受几乎任何的威胁和感染。卡巴斯基安全网络（KSN）全天候24小时运行，并时刻处于警戒状态。举个例子，当一种全新病毒出现在了位于新西兰一台受卡巴斯基保护的机器上时，KSN能在几分钟内即编写出一个检测特征，无论你在世界的哪个角落，都能即刻使你的计算机得到保护。一旦你所有的设备安装了卡巴斯基安全软件多设备版本，感染KSN未知病毒的可能性几乎为零。即便你的设备不幸受到感染，KIS MD能将所有运行该解决方案设备上的病毒感染消灭地一干二净。 如果你遵照我们所有指示的话，即能完全抵御那些即将危害你的机器和数据的恶意软件，但你依然需要保留一些应急方案以防不测。 就网络安全而言，一点点思考就能对你帮助良多。 #由恶意软件造成的数据丢失是一个严重的问题，因此运行一款反病毒解决方案并备份你的机器必不可缺

“加增知识的，就加增忧伤”－《旧约：传道书》1:18 如今，我们都掌握了存储技术，也都会使用价廉物美的数据存储设备，但就如何在数不清的设备上操作和存储数据来说，这一箴言可谓一语道出真谛。 10到15年前，要想将花大价钱买来的20GB硬盘装满相当有难度。我们所有的音乐、视频和照片可以存储在一大堆光盘上（哇，容量有650 MB的光盘，能存储这么多内容！）。但是如今，电脑、手机和平板电脑的容量动辄就有几百GB，而我们还赚不够。为此我们不得去买更多的外接硬盘和云存储空间，存储收集到的所有内容。当然，从某方面来说，想存储多少就能存储多少确实是件好事。但问题是存储那么多的内容会不会是缺点大于优点呢？ 存储和备份的内容过多 首先，最实际的问题就是存储。实惠的网络存取和相对便宜的存储设备，促使我们疯狂地收集所有貌似很重要的内容：电影、音乐、图片、软件等等 － 所有这些内容全都能立即存入内置和外接硬盘，以超快速度占满可用空间，结果我们不得不去购买新的硬盘。但若有一天，其中一个硬盘坏了，我们自然会想到一个问题：怎样才能保存存储的所有内容？备份是显而易见的回答（实际上也是唯一的答案），但备份耗时过长，如果拥有大量小文件（你肯定会有这样的文件），则备份时间尤其长，并且可能需要额外花钱。除此之外，没人敢说装满了数据的新硬盘不会坏。当然你可以采用RAID（独立磁盘冗余阵列）方式，但这要花一大笔钱。 还有一种选择方案是云存储：分布式数据存储，可靠性高，能在任何地方通过任何支持互联网的设备进行访问。这些特点综合起来让人感觉云存储是一个完美的解决方案。但实际上除非你足够有钱或者几乎没什么东西要存储，否则云存储绝不是一个完美的解决方案。例如，DropBox服务只免费提供2GB空间，其他一些服务则是允许存储大概10到20次以上，但仅此而已 － 若想获得更多空间，就得付钱。所以如果要使用DropBox帐户来备份1/2太字节的内容，就得准备好支付600美元。而这只是一年的费用。当然，你可以创建多个帐户来增加免费存储空间（GB），但实际使用并不像听起来那么方便。 存储的数据越多，就越难进行处理。 转移的内容过多 第二大棘手问题是要转移的数据太多了。如果使用的是iPhone或苹果电脑，则可以通过默认备份功能立即进行备份，但如果要试图将原先Windows XP系统电脑中的全部数据转移到Windows 8系统的电脑，则难度会大得多，若是有大批文件时尤为困难。最简单的转移方法是使用快速无线或有线网络建立P2P连接。但这并不能解决所有用户都可能会在某个时候会碰到的另一个问题：所有文件都存储在硬盘上，但你没法知道准确的存储位置。如果可以记住所有文件在计算机上的存储位置，要么你是天才，要么你是整理控。除此之外，其他任何情况下，都需要用数小时（若不以天为单位）才能记住并找到需要从一个设备转移到另一个设备的全部文件。 管怎样，我们在浏览所有文件夹并选取每个文件，然后将所有内容转移到新机器后，会除去原先的旧文件，但往往随后又忽然想起来有重要的内容忘了转移。这就是第三个问题了！ 先是你控制数据，但随后数据就开始控制你#安全性#小贴士 丢失的内容过多 众所周知，拥有的内容越多，关注的内容就越少。对于数据也同样如此。我们收集了所有喜欢的电影，所有音乐（甚至根本不值得再听一次），我们的虚拟文件夹中装满了各种图片、文件、游戏和工具。我们坚持认为，只要将这些内容存储在这里，存储在我们目前使用的设备中，就一定万无一失了。 但事实并非如此。我刚才提到过，任何新式硬盘都随时可能发生故障。以下情况也时有发生：文件夹有时可能被放入回收站，重要的文件被从计算机中抹去（因为某一天点击了”重写文件”），只有老天爷才知道你的数据还会发生什么状况。另外，别忘了像Crypto Locker和擦除程序这样的勒索软件，它们分分钟就能销毁设备上的所有信息，而且永远别想找回来。所以丢几张搞笑图片和Justin Bieber的唱片倒无伤大雅，但若丢失一些敏感文件则会是一场真正的灾难。 用户该怎么做？ 终极方法是除去所有数据，因为数据和其他东西一样：先是你控制数据，随后数据就开始控制你。但说起来容易做起来难，所以我们把这个问题留给希望达到禅宗境界的人去解决吧，下面我们还是讨论一些实用且更实际的小贴士： 没有必要在本地存储所有多媒体数据：通过廉价的互联网可以访问任何种类的音乐和视频，这种方法要比本地存储好得多。 第一，进行清理。一有数据就按合理顺序进行存储非常容易，而对1/2太字节的数据进行整理则难度要大得多，除非你本身就是个”数据整理达人”。但即便如此，清理存储空间也值得一做。没错，清理确实需要时间和耐心，但以后需要在”数字仓库”中查找数据时，你会很庆幸自己曾经整理过存储空间。 第二，删除没有用的文件。在工作一段时间后，系统中会塞满各种不再使用或者可能甚至根本不知道的文件：某些文档和多媒体文件的副本，高速缓存、旧版本工具和游戏等等。运行一些专用程序是个不错的主意，这些程序可自动查找重复项，删除像高速缓存以及一些软件留下的无用文件等没有毫无用处的数据。例如，我曾用过一种非常简单但十分有效的方法来查找没有用的文件和大型文件：将所有文件按大小和上次使用日期排序。借助这种方法，我就能释放一些额外的空间，大小可能超过10-20GB。 第三，不要在本地存储所有数据。15年前将网上所有内容都保存到计算机上或许是个好习惯。但现在，高速互联网连接费用只比你在小餐馆吃一顿午餐多一点点，所以这样做就完全没必要了。只要点击几下，就能在线观看喜欢的视频，或者听最新的音乐。对我来说，我都想不起来上次下载听歌是什么时候的事了。就算想在平板电脑上脱机听歌或看电影，当即从网上下载也花不了多少时间。 第四，分离数据并进行相应保护。清理存储设备后，应将所有文件进行分类：工作、家庭、私人、存档文件等。显然，类别越重要，则需要的保护越强。例如，扫描某些敏感文档、私人和财务数据、电子密钥和其他应该存储在本地的类似信息，并使用无法联网的设备进行存储。甚至可以根据需要对其进行加密。此外，最好在被一些强加密保护的DVD上存储文件副本。只是以防万一。另一方面，工作文件中若没有任何宝贵数据可供犯罪分子利用，则可以存储在云盘内，这样你就能从任意位置通过几乎所有类型的设备调用这些文件。存档文件存储位置也可由您决定，但我建议将存档文件存储在外接硬盘上，因为外接硬盘价格不贵，也不会浪费内部硬盘或SSD驱动器空间。

探究本周的新闻主题，包括#安卓#勒索软件、一个严重的@TweetDeck bug等。 本周的新闻内容丰富，安卓系统上出现了史上首个加密勒索软件，短暂存在于TweetDeck的严重漏洞，对苹果即将发布的iOS 8的一睹为快，以及可能会泄露Gmail用户地址的缺陷等等。 安卓加密勒索软件 上周，一些有关一个对安卓设备内容进行加密的勒索软件的报道开始浮出水面。本周，卡巴斯基实验室专家Roman Unuchek对此类中的首个手机恶意软件Pletor进行了说明。 Pletor是在大约一个月前被发现的，并且在这一期间已经传播到了13个国家。该款恶意软件已经感染了超过2,000台机器—主要分布在俄罗斯和乌克兰—另外，在欧洲其他国家和亚洲国家也出现了类似的案例。报道称，受感染高峰时间是在5月22日，整个一天有500台机器被感染。这一木马病毒在地下存在非法交易，售价高达5000美元。 若您的智能手机感染了[Pletor]，我们建议您不要向不法分子付款，”Unuchek说道。”我们见到的所有版本的木马病毒都含有钥匙，可用于解密受影响的文件。” Pletor可感染访问虚假色情网站的设备。木马病毒在这些网站上伪装成观看视频所需的媒体播放器。另外，Pletor正在向游戏和其它安卓应用以及俄罗斯手机论坛蔓延。 “若您的智能手机感染了[Pletor]，我们建议你不要向不法分子付款，”Unuchek说道。”我们见到的所有版本的木马病毒都含有钥匙，可用于解密受影响的文件。” TweetDeck Fiasco 昨天，我们报道了一个存在于TweetDeck的严重安全漏洞。攻击者能够借用用户账户，发推、删除推文或破坏账户。推特非常及时地为这一问题提供了补丁。所以，用户无需担忧。但是，如果你使用该服务的话，如果能更改推特和TweetDeck的密码，则更有安全保障了。如果您遵照我们昨天的建议，撤消了对TweetDeck应用的访问，则重新使用TweetDeck并授权访问您的推特账号应该不会出现什么问题。 有趣的是，昨天出现的TweetDeck问题再次出现，起因是一名澳大利亚少年和本应不该出现在他的Twitter feed上的Unicode heart。访问Threatpost，查看全文。 MAC地址随机化 苹果为果粉们准备了惊喜，在苹果全球开发者大会上揭开了即将发布的iOS 8手机操作系统的真正面纱。此次所发布的iOS 8在原有IOS应用开发环境基础上进行大量的重建，你可以再这里阅读我们对IOS 8看法的完全分析。IOS 8最大的变化苹果决定在接入无线网络时，将媒体访问控制地质随机化。MAC地址是唯一的标识。众所周知，零售商和网络运营商通过追踪MAC地址，了解更多的用户行为。在iOS 8操作系统内，苹果设备在被无线网络扫描时，将生成随机的MAC地址。这一技术举措将悄悄地使零售商无法再追踪店内客户活动和其它行为。 Feedly你在哪儿? 就在昨天，分布式拒绝服务攻击（DDoS）昨天使新闻手机服务应用Feedly及笔记和归档平台Evernote（离线版）陷入瘫痪。Evernote迅速从DDoS攻击中恢复过来，目前用户已经能正常使用了。但不幸的是，截止星期四下午，Feedly依然无法正常运行。 Feedly在星期三下午曾短时间地恢复正常，但其后在受到另一波DDoS攻击后，又很快地陷入瘫痪。 继续注意垃圾邮件 Google在本周早些时候对其服务内的一个非常严重漏洞打了补丁，并封住了一个可能泄露未知数量Gmail用户账户的漏洞。一些报告估计，可能所有账户地址均难以幸免。您可以再Threatpost上了解到此次攻击的技术细节。在未来数天，甚至数周，您应该特别小心垃圾邮件，一旦有人利用了这一bug，Gmail邮箱地址将难以幸免。 其它新闻

新的研究表明，销售点终端机的安全性不佳，易受日益复杂威胁的攻击；本月第二个星期二是补丁日，所有常用软件供应商都将在这天提供安全补丁；美国热门的短网址服务商Bitly承认受到不明攻击，用户数据外泄。 POS机 销售端（简称POS机）只是收银机的另一种叫法。当然，我们在此没打算讨论旧式的那种”叮叮”作响的收银机。我们要谈的是能够存储并传输付款信息的联网电子销售终端。目前，几乎所有零售场所或餐厅都安装有POS系统，支持客户直接刷借记卡或信用卡。但遗憾的是，最新的报告发现，众多用户常用于付费的POS系统正受到大量日趋复杂的攻击。更糟糕的是，其中多数POS系统在安全防御方面差强人意。 实际上出人意料的还不止于此，想想吧，在一台有漏洞的POS机上处理过一笔交易后，交易中涉及的任何信用卡或借记卡的全部相关付款信息都可能会泄露。 Bitly本周受到攻击导致数据外泄，该公司敦促用户更改密码。POS机系统安全堪忧。在周二补丁日，微软发布了多个补丁。 最近，网络监测公司Arbor Networks发布的一份报告中，列出了至少五个专用于攻击POS系统不同恶意软件。此外，Verizon发布的《数据泄露调查报告》指出，2013年发生的不同POS机入侵事件达198起。另外还有大家知道的，近期Target、美国精品百货店内曼•马库斯（Neiman Marcus）、美国最大的工艺品连锁店Michael’s及其他零售商频频受到的攻击全部属于POS攻击，都导致了大量消费者数据外泄。 对此，你能做些什么呢？你可能会毁了所有信用卡和借记卡，在这次波及整个”互联网”的风波过去之前只用现金付费。但这是非常极端的做法。您应该采取的行动是关注相关新闻，一旦知道光顾过的公司发生数据外泄事件，即刻采取相应行动。您需要检查信用卡或借记卡余额，确保没有可疑交易，也可以联系银行取消所有可能资料外泄的卡，并换用新卡。 Bitly被攻击 美国受欢迎的短网址服务商Bitly上周晚些时候受到攻击，导致数据外泄。如果你持有或之前有过Bitly帐户，应该考虑帐户密码很可能外泄。该公司认为用户的帐户并没有危险，但尽管如此，公司仍敦促客户更改密码。Bitly还宣布说，为了防范日后再发生此类数据泄露事件，公司将实施双重认证。 我也同样希望持有Bitly帐户的用户赶紧更改密码。如果碰巧对其他帐户也用了同一密码，则这些帐户的密码也须一并更改。这就是为什么我一直告诫说不要多个帐户使用同一密码。 最后要指出的是，Bitly支持用户通过Facebook和Twitter帐户链接到Bitly帐户。这种做法存在一定问题 － 入侵了Bitly帐户的攻击者很可能会入侵相应的社交帐户。对此Bitly非常明智地将所有相关连接设定无效。如果要重新连接帐户，用户得重新对这些连接进行认证。但麻烦的是，用户还须更改曾通过Bitly链接的所有社交帐户的密码。 另请确保微软和Adobe软件以及Chrome浏览器全部升级到最新版本。 周二补丁日 简要地说，本周就是周二补丁日，Adobe和微软都为自己用途广泛的产品发布了补丁，同时发布补丁的还有Google Chrome。微软发布了8个安全公告，其中有两个的安全等级属于”高危”，这8个补丁修复了Internet Explorer网络浏览器中的13个安全漏洞，同时还修复了其他微软软件中的多个漏洞。Adobe修复了Reader、Acrobat和Flash Player中的一些严重漏洞。Google则修复了Chrome浏览器中3个高安全等级的漏洞（Google为发现并报告这些漏洞的研究人员支付了4500美元）。 就我们讨论的这个话题，用户几乎不可能对其专业细节穷根究底，所以在此我们不妨提一下，Linux内核中有5年历史的漏洞已发布补丁，另外部分日本横河电机的工业基础设施设备也有若干补丁发布。 另请确保微软和Adobe软件以及Chrome浏览器全部升级到最新版本。此外，还应检查日本横河系统和Linux发行版，确定是否未更新。

虽然有时会有波及整个互联网的灾难性安全漏洞，但如今想要避免网上金融交易已经越来越不可能。你读到本篇文章的时候，很可能在操作网银、购物，或者是在进行网上转帐，最后一点正是下面我们要讨论的内容。 就安全性方面来说，网络良莠不齐，这并不是什么秘密。但毫无疑问是，执行网络金融交易非常方便，不管是通过网络付税、付停车费还是通过PayPal下注，都轻松自如。可以肯定地说，任何人只要试图通过网络转帐，就必定会面临大量风险，但同时，也有一长串网络操作常识有助于为了解目标搜索内容的用户提供保护。最后，我想无论是宽泛到整个互联网还是具体到本文中的转帐，网络总体来说是利大于弊。 保护自身安全 首先最重要的一点是，你得先确保计算机或移动设备的安全，之后再来担心交易本身带来的风险。首先是确保操作系统以及金融交易中可能涉及到的任何软件或应用均已更新到最新版本。如果是在传统计算机上操作，那么这意味着应保证运行的是最新的Windows或OSX系统，其他任何操作系统都不例外。对于Windows，应该设置为自动安装更新。对于Mac，只须关注App Store图标，一旦提示有更新，请立即安装所有更新。在传统计算机上，你肯定要仔细检查并确保使用的浏览器版本也是最新的，因为你可能会通过网络来执行这些交易。一旦确定操作系统和浏览器版本均为最新版本（通常可通过浏览器设置菜单中内容来轻松确定），就可以着手进行网络交易了。 请勿在公共工作电脑、公用计算机或朋友的设备上转帐。#卡巴斯基#小贴士 移动设备略有不同。在移动设备上，你同样需要保证使用的是最新版操作系统，不管是iOS、安卓、黑莓还是Windows Mobile，无论哪种操作系统都必须是最新版本。移动环境与台式机略有不同，在台式机上你可能不会通过网络执行交易。更可能的情况是，你会使用某种类型的转帐应用。所以，务必确保应用已完全更新。事实上，对转帐应用更新时，你同时会更新其他应用，因为攻击者总是能够通过其他一些薄弱应用来实现访问设备的目的。 之所以要保证已安装全部更新，原因在于安全更新能确保封锁大多数已知漏洞。当然，有一些漏洞出于某些原因并没有相应的补丁，但总体来说，要入侵已完整安装补丁的设备几乎不可能。当然，还有零日攻击，但只有傻子才会对抗零日攻击来略过标准消费者的网银信息。 为保护个人设备要做的最后一件事是确保在移动设备和传统计算机上运行可靠的反病毒程序。众所周知，恶意软件是针对PC机的问题，但显然现在越来越多的骗子瞄准了安卓平台，尤其是金融类恶意软件。运行反病毒软件将确保阻止旨在窃取个人支付信息的恶意软件进入要执行转帐的设备。此外，最优秀的反病毒软件产品提供有安全转帐功能，此功能针对可信网站白名单来运行支付网站，检查以确保与这些网站的连接是安全的，同时保证执行转帐的系统已安装补丁并且是安全的。 另外，切勿在无法控制的设备上执行转帐。如果工作电脑只供你一人使用，那没问题。但千万不要在公共工作电脑、公用计算机或朋友的设备上转帐。 保护网络安全 现在你的个人电脑应该没有问题也很安全了，接着应确保（至少是尽可能确保）要连接的网站也是安全的。为此很明显第一步是避免粗心的转帐服务。在此我没法假装知道所有可信转帐服务，但使用PayPal、MoneyGram、Western Union、Venmo和其他许多类似服务工具应该是安全的。具体用哪种服务取决于你自己，但一定要下点功夫去了解。 决定了使用的服务后，请确保该服务提供强大加密。检查地址栏，确保其中含有挂锁图标和”HTTPS”，这样做是为了确保通过加密通道传输任何信息。更新后您还可能希望检查证书（即便浏览器很可能已检查过）。除外之外，要小心可疑的条幅广告，其中很可能含有插件，会试图从浏览器会话中盗取信息。这就是为什么选择一种可靠的支付服务更加至关重要的原因。 如果使用的网站要求登录（我当然希望你登录了），请确保使用的是唯一的高强度长密码，密码由字母、数字、符号、空格和大写字母构成。这不是开玩笑。就密码问题我已写过很多篇文章，但我无法评判你用于登录向许多发件人发送的一次性电子邮件帐户是否是用低强度密码来保护。然而，如果不用最佳密码来保护计划用于处理资金的帐户可就太傻了。金融帐户须真正保证使用的是唯一的高强度密码（在此可检查密码强度）。 金融帐户须真正保证使用的是唯一的高强度密码。 假设您已使用了高强度密码，下一步则是在使用的任何网站上实施某种形式的双重认证。使用这种方法时，你得确认使用SMS或基于电子邮件的安全代码来确认登录。这种服务有两种作用：一是能加大进入您帐户的难度，二是能让你知道是否有人尝试访问你的帐户。如果你并未试图登录时收到双重认证的通知，则说明你该对计算机进行安全扫描并更改密码（因为这意味着很可能有人已取得你的密码，并正在尝试访问你的帐户）。 最后一件要做的是使用某种类型的交易担保方，例如”Visa验证”服务或”3D安全”技术验证。此类服务要求你在进行交易之前，另外输入一个一次性密码。 如果遵循上述所有步骤，并实时监控自己的银行帐户或信用卡余额，那么你的转账应该安全了。

苹果手机平台以及基于此平台构建的整个生态系统，以绝对优势领先于其竞争对手，其根本原因就在于该平台具有超高的安全级别：严格验证添加到App Store的每个应用，严格限制程序在操作系统中的功能，将设备中的所有数据自动备份到云 – 这一切使得iOS用起来既顺手又安全。但只有通过苹果默认功能和服务执行的应用才能这样做，如果面临的是非标准任务，比如用密码保护照片，那就不能指望iPhone了，因为iPhone上并没预装任何相关应用。但幸亏有苹果，你总是能到App Store上找到恰好满足需求的应用。正如他们所说，无论你需要什么，总有一款应用能满足您的要求。 上周我们已经讨论过私人即时通信工具；今天，我们将列出一系列优秀应用，为您、您的iPhone及其内容提供保护。 1password AgileBits $8.99 24.8 MB 举凡谈到最佳安全应用的文章中，几乎都少不了提到这款密码管理器。这无足为奇：1password是最流行的一款专用于创建、存储和管理密码的应用，功能强大、使用简单。但它不仅仅适用于密码；它还能存储信用卡、银行帐户、私人契约、会员卡等，举不胜举。而要获取受保护数据，你只需输入主密码即可 – 主密码是唯一必须记住的密码。主密码最好强度高，易于记忆，因为你将通过主密码把所有密码保存在一个位置。 上周我们已经讨论过私人即时通信工具；今天，我们将列出一系列良好应用，为您、您的iPhone及其内容提供保护。 另外，1password不是iPhone专用应用。AgileBits针对各大平台开发了相应的版本，包括：安卓、Mac OS和Windows。此应用在各平台上可以同步，所以如果日常使用的设备不止一台，那么这会非常有用。但不利的一面是，你需要花一大笔钱才能获得所有这些内容：iPhone应用优惠价为8.99美元，若需要桌面版，则费用更高。此外，每次有重大更新时要付费才能获得 – 这是获取一款最佳多平台密码管理器所要付出的代价。 查找我的iPhone 苹果 免费 5.1 MB 几年前，你根本不敢想要找到丢失的iPhone，因为没办法跟踪iPhone。但如今，事情完全不一样了。如果在智能手机上安装了”查找我的iPhone”应用，则有相当大的机会能找到丢失的手机。此应用的原理很简单：激活后的应用会使用GPS、手机网络或WiFi（如果可用）将iPhone的坐标发送到苹果的服务器。设备所有者转至iCloud网站或使用”查找我的iPhone”应用，就能随时获得这些坐标。当然，为此你需要拥有Apple ID；只要你有iPhone或其他任何苹果设备，那你肯定会有Apple ID。 此服务不仅允许你跟踪失窃的手机，而且还能远程封锁手机，并发送一条消息，消息会显示在失窃手机的屏幕上。例如，消息类似于： “谢谢你偷走了旧iPhone 4s。现在我有完美的借口买部新的iPhone

不久前，打游戏还只是青少年热衷的一种娱乐活动。但现在这一情况已发生了变化，游戏日渐收到大家的热捧，现在几乎无处不在。几乎每个人都玩过游戏。不管是《糖果粉碎传奇》（Candy Crush Saga）、《星战前夜》（EVE Online）、休闲益智游戏QuizUp还是《坦克世界》（World of Tanks），即使是偶尔玩在线游戏的人，这些游戏名也一定不陌生。也许你不会通过游戏机或电脑，而是喜欢用平板电脑来打游戏，或者可能你只在每天通勤路上花10分钟时间玩游戏；但这些都不重要。你必须知道的是打联机游戏具有一定的风险。你得知道并提高警惕。从普通的骗子到黑客，都能利用最近曝光的Heartbleed漏洞入侵游戏开发者的帐户，一旦被入侵后，不管是你的游戏、心情还是个人财产统统会受到影响。下面列出了打联机游戏的玩家所面临的五大主要危险： 5. 网络钓鱼 有些骗子会发送一封假冒电子邮件，其中含有一个链接可转至其网站（也是假冒网站），这些网站与花旗银行、Facebook或Gmail极为相似，这一行为被称为网络钓鱼。犯罪分子的目的是骗取你的登录凭证或信用卡详细信息，并最终窃取你的数据甚至是钱财。事实证明，这一做法对于攻击游戏玩家非常有效。犯罪分子先构建某个联机游戏的假冒网站，然后催促玩家”变更密码”或”验证帐户”，并威胁说如果不这样做会封锁玩家的帐户。一旦按其要求进行操作后，黑客即可盗取你的游戏帐户，并将其拿到黑市上转卖出去。 解决方法：切勿点击电子邮件中的链接。打开网络浏览器，亲自输入游戏的网址，登录到自己的帐户来执行需要的任何检查/确认。另外，请使用在线防护，这可阻止浏览器打开假冒网站。 4. 恃强凌弱 如今，几乎每种联机游戏都含有某种形式的聊天。你可以使用耳麦和其他玩家对话，或者使用位于屏幕角落看起来还不错的旧式文本框进行聊天。对于某些游戏，团队成员之间进行此类通信至关重要。但遗憾的是，此工具被大范围地滥用了。在联线对战最激烈的时候，你可能会听到一些咒骂，或者一些人身攻击。因为大多数游戏竞争过于激烈，因此总是会出现贬低在当前场景中失败的玩家的情况，但有些玩家却做得太过份，而演变成常常会欺负其他玩家。在有些游戏中，尤其是专注于联机人物”虚拟生命”的玩家，这种聊天很可能会变成进行人身攻击的场所，导致不愉快的交谈。 解决方法：立即阻止任何言语攻击者；不要和对方继续玩游戏或聊天，并告知游戏骚扰小组对方的昵称。切勿向游戏玩家透露自己的真实身份或个人信息。如果玩游戏的是你的孩子，请教会他们与父母讨论此类事件，并确保他们都十分清楚”陌生人＝危险”这一原则也同样适用于联机游戏。 3. 骗子和诈骗犯 游戏中的商品能在官方游戏市场以外被交易，极大增加了玩家被骗的机率。 根据不同的游戏类型和规则，有多种诈骗途径 – 有些被视为是合法的或半合法的，有些则不是。在各种骗局中，最严重的是利用修改过的游戏客户端（或者甚至是机器人程序）使游戏条件优于普通玩家 – 速度更快、更精确等等。此外，一些玩家利用在游戏服务器代码中发现的错误在游戏中占据先机。其他诈骗方法有修订游戏，通过虚拟团伙抢劫新手玩家，或者采用某种虚拟诈骗。对于游戏中的经济，有着几个世纪历史的诈骗模式有时仍会生效。玩家可能会碰到有人给自己一些库存，或者以优惠价格提供游戏攻略，但此类行为往往最终证明是一场骗局。 解决方法：如果有人吹得天花乱坠，几乎不像真的，那么很可能是骗人的。不要接受陌生人提供的任何可疑内容。如果注意到有人在游戏中的进度过快，请向支持团队进行报告。大多数联机游戏都有严格的规范，可以立即把骗子踢出游戏。 2. 人物/库存盗用 犯罪分子可能会瞄准的目标有四类：游戏中的资源、发展良好的游戏人物、付费游戏帐户或关联的信用卡数据本身。最后一类要作为目标具有难度，但其他几类则能通过多种途径盗用：网络钓鱼、专用密码窃取恶意软件、某种类型的游戏内诈骗等。关键要点是 – 玩家的人物或帐户越好，则犯罪分子瞄上你的可能性就越高。对于在全世界范围内拥有海量忠实受众（和玩家）、发展成熟的游戏来说，尤其如此。 解决方法：打游戏过程中，你必须对自己的帐户提高警惕。为帐户设置双重认证，游戏帐户和电子邮件地址使用复杂、唯一的密码，对设备使用强安全性解决方案，监视网络钓鱼邮件和其他试图骗取凭证的活动。 玩家在游戏中的角色越出色，则被犯罪分子盯上的可能性就越高。

我的工作内容不仅仅是分析各种恶意软件和漏洞，也不限于讨论最新的安全威胁，而更多大的一块工作是尽力向用户说明并教会用户如何构建安全性。因此，我设法重点说明的一些主要话题包括备份、防御恶意代码、通过打上最新的安全补丁使系统保持最新，当然还有使用加密方法的必要性。我敢肯定，你之前一定听说过所有上述的内容，对吗？ 但如果使用的安全软件有漏洞，成为攻击者的攻击入口时，我们该怎么做？ 这是目前热议的话题，尤其是近期曝出了OpenSSL Heartbleed攻击后讨论更为激烈。我决定让此专栏更具我的个人风格，因为我能肯定的一点是你们都能找到无数有关SSL及Heartbleed攻击的文章，但我想分享的是我本人对这些类型的漏洞为何变得如此严重的一些看法。 但在开始讨论Heartbleed攻击之前，我想提一下我们如今看待安全产品和解决方案失效时的心态问题，这一点很重要。我们往往是通过安全产品或解决方案的各种功能和特点来对其进行评估的，如果其符合我们所要达到的目标，则我们会选择购买。 我们如今看待安全产品和解决方案心态并不乐观 – @JacobyDavid 问题是我们往往会忘记安全产品并不能解决我们的所有问题。我们需要理解的是安全产品和解决方案体现的是安全思维。 那么为什么我要讨论OpenSSL Heartbleed漏洞问题呢？我想从一般意义上说，我们都假定互联网运行正常，是一个安全的平台。我们通过互联网传递非常私人的信息、进行约会、购物、通信、管理财务等等。正因如此，互联网的缺点就是一旦出问题，情况就会很快恶化，变得非常糟。 互联网存在的一个大问题是其极端分立性。有些网上资源具有安全性极高、非常稳健的基础架构，而另一些资源则完全忽视这一点，极为脆弱，漏洞百出。此外，有些站点非常安全和稳健，但由于存在大量系统依赖性而导致这些站点变得很脆弱。保护IT系统中的每一个部分的安全性几乎不可能实现。 互联网基础架构一旦出问题，情况就会很快恶化，变得非常糟。 使用互联网时，我们需要预见最糟糕的情况并采取相应的措施。问题是我们还会使用互联网世界以外的可信资源，例如医疗系统、政府部门或其他系统，而这些系统也全部使用的是互联网。所以，一旦出现类似Heartbleed漏洞这样严重的问题时，影响是巨大的。 一旦犯罪分子开始利用Heartbleed漏洞，很难说Heartbleed攻击的传播范围会有多广，影响会有多大。但想想看要是有人能够复制整个世界所有银行保险库的钥匙会怎样？这乍一听确实非常严重，但也完全取决于保险库所存放的物品。 我希望近期不要只盯着这类安全漏洞不放，因为我们这一段时间会忙着解决这一问题。但我们需要记住的是软件只是软件，其中总是会出现或多或少的漏洞。我们还需要了解的是，即便进行备份、加密和防御恶意代码，也仍然有可能会泄露敏感数据。一旦数据泄露，我们需要想尽一切办法，使这些数据无效，让犯罪分子无机可乘。

在2001年10月25日这一天，微软公司推出了当时最新的操作系统解决方案： Windows XP。推出后仅三天的时间内，微软即售出了超过30万套 XP操作系统：该全新操作系统拥有众多出色性能，包括：改进的图像用户界面、集成化的CD刻录软件、适用于液晶显示器的ClearType字体平滑功能、图片和传真查看器、快速用户切换等一系列优点。同时，在这一全新系统下还包括一些革命性的改变：相比于Windows 95/98，XP的内核是基于更稳定和安全的企业级NT架构。在此后的10年中，稳定的内核加上改进后功能丰富的用户界面使得微软成为了最流行的操作系统。微软之前已将对XP的支持延长至12年而非通常的10年，在这期间还发布了3个主要补丁包对该操作系统进行显著的改进和升级。而长盛不衰的XP操作终于在今天，2014年4月8日走到了它”生命的尽头”。 寿终正寝？ 微软高管在今天宣布”不再提供扩展支持”让人有些始料不及，但这到底意味着什么？微软已有多年未给XP操作系统添加任何新的功能，而今天针对新发现漏洞和安全威胁所发布的最新补丁也已到期。当然你还是能够使用XP操作系统，但这些补丁将无法在未来起到任何作用，这意味着你的电脑将无法应对任何安全方面的威胁。这些因素将使你的个人电脑在运行时更容易感染病毒。 Windows XP将不会停止运行，但微软将不再协助解决任何安全问题。 XP-Apocalypse XP-Apocalypse（XP末日），又被称为XPocalypse和XPiration，这些词代表了一些专家的观点。他们预计仍旧坚持使用XP系统的许多企业系统和嵌入式解决方案将出现许许多多的问题。例如，作为ATM机制造商的NCR公司，其95%的ATM机依然使用的是XP系统，而仅有三分之一的ATM机转而试用更新的操作系统版本。 这些安装Windows XP机器设备的命运受到了高度的关注，因为它们的安全性将遭到严峻的威胁。就在微软计划于5月针对Windows 7/8升级发布全新漏洞补丁的同时，一些黑客很可能通过分析这一补丁并找到几种也可能适用于XP的bug，但由于XP系统将从此无法获得定期更新，因此极易受到攻击。考虑到这里点，黑客们将找到更新的方式潜入基于XP的系统。考虑到众多基于XP的机器设备通常用于控制ATM机，医疗器械、灯光辅助系统及诸如此类的解决方案，由黑客而引起的损失将难以估计。 企业XP支持服务年花费超500万美元。 与微软签署进一步技术支持协议的公司可能将幸免于难。目前尚未出台具体的相关价目表，但从目前的一些消息来看，公司每年所需为XP支持服务支付的费用大约在60万至500万美元之间。对于大多数公司来说，这一费用确实让他们有些难以承受。 一个时代的”终结”即将来临 Windows XP已发现的总漏洞数量大约在726个，仅2011年一年记录在册的就有101个。 有些人可能会抱怨，微软不再愿意为使用长达10年之久的旧操作系统进行更新，从而再提供5年的免费服务。而保持XP操作系统的安全变得越来越具挑战性，这并不仅仅是因为几个bug或漏洞：根据编程原理，XP当初的设计根本无法应对如今各式各样的网络威胁，这就导致XP更容易受到威胁和攻击。微软根据自己的调查显示，每1000个反病毒扫描系统中，就能检测出9台受病毒感染的XP系统电脑。这一数字分别是受感染Windows 7和Windows 8系统个人电脑的两倍和四倍。然后这并不令人吃惊，毕竟Windows 7和Windows 8系统是开发于黑客盛行的21世纪，在对这两个操作系统编程时显然将众多的黑客攻击问题考虑在内。即使打上专门强化安全性的补丁包，Windows XP依然不断遭受到威胁。在XP系统服务的这些年里，总共有726个漏洞被打上了补丁，从发售当年的10个飙升至2011年的101个。 与XP有关的方方面面 请勿将XP系统误认为是保守的解决方案，因为其仅适用于反对所有新开发产品的ATM和个人电脑顽固派。根据调研公司NetMarketshare的最新数据报告，有多达27%联网电脑依然使用XP操作系统。事实上这一数字相比去年减少了10%，但依然还有人坚持使用过时的XP系统，无论出于何种原因，接下来他们将面临困境，坦白说，是巨大的困境。那我们能为这些用户提供哪些建议呢？ 尽管微软不再对XP系统提供任何支持，但依然有多达27%的联网电脑坚持使用Windows XP。 没什么比升级换代更好的了，如果能够用上更新的和安全的操作系统，那就行动吧-是时候做出改变了；