安全性

卡巴斯基实验室业已成为网络安全行业的知名全球企业，一路走来，卡巴斯基经历了无数重要里程碑，其中最重要的即是推出革命性的卡巴斯基反病毒软件6.0。此版本软件于2006年正式推出，不久就在全球反病毒市场上赢得了用户的交口称赞，为卡巴斯基在未来几年内发展成为技术领导企业奠定了基础。将我们的产品称之为是全球最佳反病毒解决方案未免有些过誉，但确实是许多杂志和独立基准测试实验室对我们的评价。 卡巴斯基的成功之路并非一帆风顺，而是布满了荆棘和坎坷，希望好莱坞编剧有一天能以此为素材拍一部电影，再现当时的情景；但在此之前，我们将通过最初开发团队的照片、备注和备忘录的形式来与大家分享我们的成功故事。希望我们的故事能对现在年轻一代的新应用和服务开发者们有所引导，只要像我们最初的”Six”开发小组那样怀揣着梦想，希望有一天成为业内的佼佼者，那么成功一定离你们不远。 困难重重的2003年 “Six”是从上一版惨败的土壤中开出的成功之花。事实上第五版从未见过天日，与当初设想的完全不同。 要了解导致这一惨败的原因，我们将时钟拨回2002年：当时Windows XP才不过刚刚上架销售；CPU主频终于达到1 GHz的时钟频率；反病毒行业相对年轻，还没有遇到各种全新的威胁。所有反病毒企业都渴望拓展产品功能：当时有竞争力的解决方案必须含有防火墙、持续运行的系统监视器和其它数十种功能。 虽然卡巴斯基开发团队早在上世纪90年代就构建了强大的扫描引擎，但他们也承认，该解决方案中装满了各种各样的新功能，导致运行速度极慢，让人无法忍受，甚至当时的V4.0也遭到不少用户的诟病（当时只要谈到有关电脑的话题，就免不了有各种类型的指责”卡巴斯基运行太慢”）。这就是为什么新版5.0的开发过程非常谨慎，考虑到了许多核心的业务要素：新首席技术官走马上任，采用了新的开发框架，并选择了新的反病毒架构。 当时是倾全公司之力为此项目提供支持。但一年后，我们得出的结论是，即便严格遵循所有这些新的开发规则，也不一定就能保证开发出具有竞争力的产品。开发出的这套系统仿效的是企业级客户端/服务器应用（架构由CTO亲自择定），但无法满足市场上对反病毒产品提出的各种要求。该系统速度慢，占用资源多，bug无数，且在团队运行测试后依然未有减少。事实上bug数量是不减反增。 “我开始向公司元老们征求意见。他们说这都是架构的问题。就像一座纸牌搭建的房屋一样：手忙脚乱地拆东墙补西墙，结果整个房子塌掉了。”尤金•卡巴斯基（Eugene Kaspersky）承认。所以继续按原样改进这个项目毫无意义。我们必须全盘推翻从头开始构建。 我们能做到！ 卡巴斯基实验室开发团队兵分两路：一路不管选择的架构多么不合理，仍奋力修补产品；另一路则负责将上一版V4.0改造成适用的新产品。 与此同时，一支四人小组决定开发一款全新的产品，不仅要满足各种市场需求，而且永不过时。这一目标由”Six”开发团队设定，但说起来容易做起来难。新版本必须做到防范所有病毒和威胁入侵系统，同时要求速度快、灵活性强、透明度高，哦……还得外形靓丽。 “我们只是想做出一款前所未有的最佳产品，”Six开发团队回忆道。这个短小精悍的开发团队肩负着极重的任务，受到公司其余200名员工的关注。但迎战这一艰巨使命的小团队还是有理由保持乐观：公司创始人尤金•卡巴斯基和Alexey De-Monderik当时正在寻找新的替代架构，他们即将发现替代架构确实存在，而且不是别人，正是卡巴斯基团队自己开发的。 来自布拉格的帮助 必须承认，在V4.0中装有两个反病毒内核（即所谓的”引擎”），以捆绑软件的形式运行。文件检查则由能力出众的旧版（受到包括G-Data到F-Secure的许多跨国公司的大量许可）V3.0引擎负责。V3.0早在1996年就已开发出。加强网络流量过滤功能的新任务则由1998年在布拉格头脑风暴会议过程中设想出的全新强大机制来处理。 该引擎最终被称为”布拉格”，虽然事实上是由Andrey Doukhvalov在莫斯科开发出的。Andrey Doukhvalov当时并未参加在捷克共和国首都布拉格举行的头脑风暴会议。但关键性的想法是源于布拉格，所以Andrey来公司后绞尽脑汁，基于这些想法实施了”布拉格”概念。 “布拉格”意图成为纯反病毒内核，但为其设定的目标实在是雄心壮志，以致于新开发的这款引擎的灵活性和独创性完全能够支持更复杂的系统。就像Andrey和开发人员说的，能否基于”布拉格”来实施整个产品这个问题给卡巴斯基带来了沉重的压力。 “有一次我问Victor Matyushenko关于布拉格在产品内部的表现如何时，他说”像磐石一样坚固！”突破就在这里。我把刚才这个问题整理了一下，然后走进Graf [De-Monderik]和Petrovich [Doukhvalov]的办公室问了他们以下问题：”为什么我们不把产品整个基于布拉格呢？”Graf说了一些”布拉格不可能这样用”之类的话，但Petrovich犹豫了一下。第二天他来办公室时带了一小叠纸，然后和我说：”我基于布拉格编写了一些用例代码。”Graf抬头看看他说：”我们得谈谈。”他们俩谈过之后，又一起来找我，确定这值得一试。” 试验由一支非常精简的团队负责执行，是他们编写了日后成为”Six”产品的第一批代码。 试验由一支非常精简的团队负责执行，是他们编写了日后成为”Six”产品的第一批代码。 “我们开始四处招人，希望找到有创造性，能献计献策的人才，他们就是这支团队的扩编人员。”De-Monderik回忆说。”比如编码员Pavel Mezhuev，他虽然是新手，但非常聪明。还有Mike

上周对于我们这些以采写计算机安全新闻为业的人来说的确是漫长的一周。虽然这一周的新闻事件寥寥可数，但还是有一些值得关注的事件。 新闻概述如下：网络安全公司White Hat发布了内部网页浏览器，专注于安全性和隐私，可应用于Windows操作系统计算机；美国总统奥巴马要求美国国家安全局（NSA）终止搜集公民通话元数据；骗子以马来西亚航空370号失联客机为饵实施网络钓鱼骗局；微软再次曝出零日攻击漏洞。 Aviator浏览器 互联网安全性和隐私依然一如既往地成为了流行焦点，这在很大程度上要归功于去年美国国家安全局曝出他们有能力监控任何想要监控的人。然而，保护网络会话安全，尽可能确保这些会话私密是一项艰巨的工程，尤其是对于那些缺乏相关技术知识的用户，或更重要的是，根本无暇了解自己心爱浏览器的设置。 为此，White Hat Security的研究人员几个月前决定向公众发布Aviator浏览器（至少推出Mac版）。该款浏览器在公司内部已使用数年。本周早先时候，他们又发布了Windows版本，使得更多的用户能够使用到这款浏览器。 Aviator浏览器基于Chromium代码库构建，外观与Google的Chrome浏览器非常类似。但Aviator旨在优化用户隐私、安全性和匿名性。默认情况下，该浏览器不允许存在来自广告商的网络跟踪。DuckDuckGo是浏览器默认搜索引擎，它不会收集用户搜索历史记录，也不会以任何方式显示广告或跟踪用户。 总之，该浏览器并不是简单地靠大量流行的扩展程序来阻止广告（全球三大浏览器就是这样做的），而是根本就不与广告网络建立任何连接。这样不仅能阻止无处不在的企业跟踪，而且还能保护用户不接收潜在的恶意广告。该公司表示，所有这些附加的优点使得这款浏览器的运行速度比其他大多数浏览器都要快。 奥巴马要求停止搜集元数据 大约一年前，曝出美国国家安全局（NSA）通过手机或电脑收集和保存几乎所有人的通信元数据。所有这些秘密信息均是由NSA前雇员爱德华•斯诺登披露的，其中有大量内容是针对美国间谍装备的指控－ 对批量元数据搜集的披露吸引了美国公众最大的关注。这让人感到相当奇怪，一方面是因为两年前大多数人甚至不知道元数据为何物，另一方面当我们回顾过往，元数据搜集相对于NSA被曝出的其他一些事件来说，并不算太离谱。 虽然说进步总是好的，但显然，白宫方面决定希望终止该情报机构搜集和存储电话记录。在目前的系统下，NSA可存储五年的电话记录信息。根据新的规定，NSA绝对不能再存储元数据。元数据改为由各服务提供商保存，但要求服务提供商只能将此类信息存储18个月。 事实上，就在我写这篇文章时，白宫方面已向公众宣布其终止批量搜集元数据的计划；元数据搜集行为原本是根据《爱国者法案》第215款所允许的。 利用马航370失联航班的网络钓鱼 你可能知道，三周前，马来西亚航空公司的一架由吉隆坡飞往北京的航班离奇地与地面失去联系，导致机上200余名乘客下落不明。截止本文写作时，已确定该航班失事。目前，还没有确切的证据能证明该航班的下落，除此之外，其很可能坠毁于印度洋某处。 和其他神秘事件和令人费解的失踪一样，马航370航班（虽然失踪航班最后的结果往往是可怕的失事）也催生了一大堆令人啼笑皆非的荒谬说法，其中许多被无耻的媒体持续报道。 同样无耻的是（你可能没那么吃惊，因为我们现在讨论的就是犯罪分子，而不是那些被称为记者的家伙），黑客组织也在互联网上以马航370失联班机为诱饵，盗取信息，骗取钱财。 大量社交媒体点击欺诈争相出现，纷纷表示已经找到马航370客机。用户会看到提示，要求点击链接才能了解新闻内容。这种老式的链接钓鱼欺诈几乎会在任何时间以任何事件为饵弹出，以吸引公众注意（名流身故、国际体育赛事、自然灾害等等）。然而，除此之外还有更复杂、更有针对性的鱼叉式网路钓鱼活动，在此类活动中，攻击者向美国和亚太区政府官员散播与航班相关的电子邮件，其中含有恶意附件。 Microsoft Word零日漏洞 最后一条新闻：本周一，科技巨头微软公司在其Technet博客上宣布，发现Microsoft Word 2010零日漏洞，将成为黑客针对性攻击的目标。虽然发现的攻击目标是Microsoft Word 2010，但该公司表示Word 2003、2007、2013和2013RT，Office for Mac,

你或许碰到过以下情况。一天，你打开互联网浏览器时发现，网页没有转向你常用的主页，而是转向了从未听说过的搜索引擎的登录页面。接着你注意到，工具栏中的内置搜索框不见了，也被取代为刚才打开的登录页面中的搜索框。更糟糕的是，在浏览器和系统上执行过所有典型的卸载过程后，重新启动浏览器时发现……打开的还是这个登录页面。 这就是BitGuard，此名称通用于包含MixiDJ、Delta Search、SearchQU、Iminent and Rubar等搜索工具栏的一系列程序。BitGuard是一种复杂的恶意软件，往往绑定到免费下载软件中，旨在通过劫持您的系统为第三方创造收入。 BitGuard是一种复杂的恶意软件，往往绑定到免费下载软件中，旨在通过劫持您的系统为第三方创造收入。 根据SecureList的报告，其工作原理如下。用户尝试下载某类程序（例如音乐、软件或视频文件），重要的是从提示使用的关联程序下载相关驱动程序和安装程序。下载安装程序时，也会同时下载工具栏，有时需要得到用户许可，有时不需要，这取决于具体的程序。 此时，用户已被纳入工具栏和新主页中的新程序搜索功能中，之后就会重定向到该搜索引擎的结果页面。下面将解释它是如何赚钱的－广告商向这些主机支付费用，要求将广告内容推送到结果字段的最前面，也就是大多数用户会首先点击的位置。用户通过点击指向广告商页面的相关链接时，搜索工具栏的所有者即可获取报酬。 Google报告说，从去年开始已经在有步骤地控制此类程序，但目前为止依然是一个问题。遇到这些程序的用户应该首先尝试从系统中卸载程序。在一台个人电脑上，请点击”开始”，转至”控制面板”，然后点击”卸载程序”，接着滚动浏览到相应程序，卸载掉不需要的加载件。这可能并不能解决此问题，因此还要从浏览器中卸载这些程序。在Firefox火狐浏览器中，请点击左上方任一主下拉选项卡，或者如果显示有菜单栏，请点击”工具”，无论哪种情况，接着请点击”附加组件”，然后删除不需要的程序。其他网络浏览器的卸载步骤与此类似。 但遗憾的是，对于某些工具栏，这些措施可能都不会起作用，这种情况下，你不得不使用Google搜索（啊，多么讽刺！）来查找特定于工具栏的删除说明。知道导致您额外安装软件的站点才能删除这个不需要的软件（太讽刺了！）。虽然许多”删除并优化”程序看起来是最简单的一键式解决方法，但其中许多程序本身就是间谍软件或恶意软件。 这些不需要的附加组件可以通过漏洞入侵，因为用户往往会给予它们安装权限，而并不了解这些组件，就仓促完成了下载进程，事后才会发现这些组件的行为会损害系统。在这种情况下，安装一款强大可靠的反病毒程序是多么重要，它能警告你即将安装的任何危险插件。值得注意的是，许多免费的反病毒软件也会安装搜索工具栏，因此这种情况下我们建议您使用付费产品。

在一些案例中，某些网站会被盗用而作为传播恶意软件的主机。就我们所知，用来误导用户转至恶意站点的方法可谓花样百出，其中一种就是”误植域名”。 对我们来说，在网络浏览器中输入网址时出现拼写错误实在是太平常的事。但网络犯罪分子往往会利用这一情况来误导用户转至恶意网站，而不是用户实际想访问的站点。这被称为”误植域名”（typosquatting）- 这个英文单词由”typo（错误拼写）和”squat（蓄意）”两部分组成，也称为”网址劫持”（URL hijacking）。网络犯罪分子会注册与流行域名类似的域名，然后等候拼写错误的用户上钩。这对于企业来说实在是件讨厌的事，甚至导致域名被网址蟑螂（typosquatter）滥用的公司之间引发官司。 当然，误植域名对于消费者来说也是一种威胁。当用户无意中访问这些网站时，会发现浏览的是垃圾网站，甚至更糟糕的是，有可能被恶意软件感染。下面我们将讨论真实发生的案例。 典型案例：Gmail滥用 首先我要解释下我们为了减少被恶意软件感染的受害者而做出的努力。只要发现有任何被盗用的网站，我们就会尝试联系其管理员并发出警告。下面是我们遇到的一个实际例子。这是一个无意间托管了恶意软件的网站上的WHOIS信息。在”Administrative Contact”（管理联系人）字段中，您会看到字符串”A***3JP”。这是由日本域名注册服务公司（JPRS）管理的JPNIC句柄，也是找出该站点管理员的关键。（换句话说，就是在此字段中注册的电子邮件地址。） 我们检查了负责管理”A***3JP”域的管理员： 在”E-Mail”字段中的电子邮件地址就是应该发现自己的网站被恶意软件感染的人员的联系信息。提醒未发现感染的管理员是阻止恶意软件进一步传播的重要环节之一。 但经过更进一步的检查，我们发现此电子邮件地址中存在问题。它看上去类似于Gmail地址（xxx@gmail.com），但实际上并不是，因为它缺了一个字母。 对于某些国家，正确的域信息注册是一项法律规定。但在日本，有时注册的信息并不正确，而更糟糕的是不正确的信息可能会被有意注册。如果注册的电子邮件地址不正确，则我们就无法向网站管理员发出警告，对方也不会意识到自己已成为受害者。 但在这种情况下，注册类似Gmail域名的意图显而易见：这是利用误植域名生成的一个陷阱，目的是误导用户下载恶意伪装程序。 结果地址类似于Gmail的网站可能会根据访问者的语言环境以多种语言显示，包括日语、德语、西班牙语、意大利语、荷兰语、波兰语、葡萄牙语、俄语、瑞典语和土耳其语。但没有”英语”选项，具体原因不明。请参见下面的网站截屏样本。网站合法的外观很容易会误导意外访问该网站的访问者毫不怀疑地下载并安装对象。 日语： 俄语： 在本文中，我解释了正常注册域名信息的重要性以及误植域名的工作原理，并通过我们在研究中偶然碰到的实例加以说明。误植域名并不是新鲜事物：它是误导用户的一种经典方法，已经存在好几个年头了。但全球范围内的受害者人数仍不断上升，原因是这种方法本身具有被动性质，即等着用户拼写错误而自动送上门，因为我们都可能时不时地犯些拼写错误。为了避免成为受误植域名驱动的恶意软件受害者，请定期更新操作系统和安全软件。

2014年3月11日，卡巴斯基实验室CEO尤金•卡巴斯基在汉诺威信息及通信技术博览会（CeBIT）全球会议上发表主题演讲。他通过向观众展示了一些案例，以此说明我们今天生活的世界中存在着的各种危险。 首先，他回顾了90年代，当时世界比现在简单得多。智能手机、平板电脑、各种联网设备还未出现，因此保持安全性会容易得多。而如今的世界则完全不同！人们无法想象针对发电厂的网络攻击，但事实上确实发生过此类事件。网络罪犯不仅能经由网络进入控制中心，甚至可以通过网络直接对中心进行控制。理论上来说，几乎今天任何人都能做到这一点。而这种攻击带来的损失是巨大的。 尤金•卡巴斯基在演讲中还谈到用户应该更加重视的四大类问题，以期在互联世界中保持安全。这四类问题分别是：IT安全性发展，对全体员工的持续培训，现代立法，以及IT业内的国际化合作。在他看来，越来越多的国家将持续在基于本国的IT项目上投资，以保护自身安全。他在演讲结束时表示：”我热爱能够在全球范围共享技术的世界，但这种世界可能不再存在。”

随着科技的不断进步，人们的上网体验越来越简化，操作也更为简便。我们无需固定的台式电脑即可接入互联网，通过笔记本电脑、智能手机、平板电脑同样可接入，而现在智能电视也具备了这一功能。智能电视作为全新的家庭娱乐设备，吸引了数百万人的关注，但智能电视真的安全吗？据德国计算机杂志《c’t》最近发表的一项报告，结论是否定的。 2014年1月，《c’t》对智能电视的安全性进行了较为深入的研究，对包括LG、三星和飞利浦等主要电视厂商的智能电视产品进行了检测。该杂志的记者发现将这些电视的SSL证书打乱使用后，结果发现任意一份证书都可破解设备。SSL证书用作数字签名和Internet会话安全协议的基础（监督者），其主要作用是管理HTTPS网址的会话，并要求对所有与服务器交互的信息进行加密。 SSL证书用作数字签名和Internet会话安全协议的基础（监督者） 《C’t》记者在生成证书并签名后，便能破解系统并拦截电视应用中的数据，因为智能电视从来不会验证证书是否来自可信源。一旦进入智能电视，记者即可侦听浏览会话和HTTPS流量，从而能够访问个人资料，如用户名和密码。该杂志随后与所研究的各家智能电视相关制造商取得了联系，他们均承诺会发布设备固件更新，以增加安全措施。 这已不是我们第一次听说智能电视无法保障用户的安全。之前发生过一个案例，一名英国开发人员发现他的LG智能电视在自己毫不知情的情况下一直在偷偷地跟踪收集他的个人信息。而就在去年，iSEC Partners的研究人员也发现三星智能电视存在允许摄像头远程启用的漏洞。但这些漏洞对于用户及用户的设备来说意味着什么呢？ 虽然智能电视的一个主要卖点是为用户提供互联网接入服务，但同时也是一大缺陷。由于智能电视最近以数字设备的形式出现，它们受保护的程度严重不足，因此使用智能电视上网的用户面临着风险。我们的最佳建议是，在智能电视获得更好的安全保护前，避免通过智能电视上网。如果您需要使用智能电视上网，我们的建议如下： -使用智能电视上网时，不要访问要求您输入个人资料的任何网站，例如银行站点或受密码保护的网址。如果您想访问要求共享私人信息的网站，请使用受可信防病毒软件保护设备例如PC或平板电脑。 -如果您决意要使用电视上网，那么应将访问的网站限制为已知和信任的网站。同样，在浏览这些网站时，不要点击可能出现的任何未知链接。您的数据不仅在类似《c’t》记者测试的场景中容易被窃取，而且也容易受到使用恶意链接和网站的攻击者的攻击，成为目标受害者。如果没有安装防病毒软件监视您的系统，则根本无法完全确保浏览时的安全性。 -最后，除仅访问可信网站外，您还应仅使用可信应用。Apple Store和Google Play在存在欺诈应用方面不相上下，因此请务必花费些许时间研究您下载并使用的应用是否可靠，以确保安全性。 随着智能电视在电视观众中大量普及，提高安全性刻不容缓。如果您有足够的警惕性和良好的上网习惯，则您可以完全享受智能电视所带给您的娱乐与便利，但在其安全性得到提高之前，还需谨慎使用为妙。