安全性

我的朋友们，我想说的过去一周对于安全信息行业简直是噩梦一般。如果说上一周我们只是发现了些有趣的bug、零日漏洞以及安全研究专家寻找已久的漏洞的话，那本周真正的灾难才刚刚降临：网络犯罪分子已利用所有这些缺陷渗透进了存在漏洞的软件。尽管这些内容相当重要，但人们对这样的新闻或多或少已有些厌倦。每一次，我们的新闻博客-Threatpost都会带来安全信息领域新鲜热辣的新闻，同时还会在其中精选三篇有关安全补丁修复的文章，而文章摘选工作远比你们想象的要难得多。 不管怎么样，这些内容都相当重要！找到一个漏洞需要花费不少的时间和精力，但更难的是在没有遭受黑客攻击之前就将其修复。软件开发者可以找出千万种不立即（或当季度或无限期）对特定bug修复的理由。但问题最终总是要解决的。 在本周最热门的三个新闻故事中，无一例外其中所含的bug均还未能修复。这里我再次重申《安全周报》的编辑原则：每周Threatpost的团队都会精心摘选三条当周要闻，并加上我自己独到的见解。往期的内容可以在这里找到。 另一个存在于Google Admin内的安卓系统bug Threatpost新闻故事。MWR实验室研究。 我们发现了哪些漏洞？ 你是否注意到最近有关bug的新闻纷涌而至？哎，难道只是一辆车遭到黑客入侵？我们在许多车内都发现了数十种安全漏洞！同时，在有关安卓的最新新闻中，我们也很容易注意到同样的情况。首先是Stagefright漏洞，然后是一些稍小的bug，现在则轮到了Google Admin，即通过该工具绕过沙盒。 作为安卓系统级的应用程序之一，Google Admin可以接受来自其他应用的URL地址，而且事实证明，该工具可以接受所有URL地址，甚至是以’file://’开头的路径。结果是，具有网页下载功能的简单联网工具开始向类似整体文件管理器演变。是否因此所有安卓应用就可以相互隔离呢？当然不是，Google Admin只是拥有更高的权限，一旦不幸读取某些流氓URL地址，任何应用都能绕过沙盒访问私人数据。 漏洞是如何修复的？ 首先，请容许我简要介绍该独立研究和漏洞披露的整个过程。这一漏洞是在三月份被发现，随后相应的报告即提交给了Google。大约5个月后，当研究专家再度检查Google Admin的安全状况时，发现这个bug依然还未修复。8月13日，有关这一bug的信息被公开披露，目的是敦促Google尽快发布相关补丁。 顺便提一下，Google拥有一支内部研究团队，任务是花费大量时间和精力到处寻找bug，且不仅限于Google自行研发的软件。Google的Project Zero项目小组通常在将找到的bug公诸于众前，给予软件开发者90天的时间修复漏洞，但我们依然对Google能否在90天内成功修复漏洞持怀疑态度。 Google Admin工具在有些方面的确很糟糕：首先，有些方面确实糟糕；其次，我们都知道未必所有存在漏洞的安卓设备上都能修复漏洞。你是在说月度安全更新？那如果是长达半年的漏洞修复过程又如何呢？看！看！ 施耐德电气SCADA系统内发现开放式漏洞 Threatpost新闻故事。ICS-CERT报告。 欢迎来到重要基础设施的奇妙世界！请坐好，不必拘束，但千万不要碰可怕的红色开关，也不要摸那些莫名突出在外的电线。没错，它们本来就突在外面。这没什么问题。多年以来一直就这样。你一碰的话，我们就全完蛋了。 SCADA（监控与数据采集）系统作为重要基础设施的一部分，负责像锅炉（主要位于公寓大楼甚至核电站内）这样重要设备的操作和运行。此类系统无法进行篡改、关闭或重启。千万不要在这一系统上修改任何参数，说得简单点，不要碰任何东西！ 如果你有任何问题的话，千万不要自己去冒险尝试，最好读一读我们这一主题的文章。同时，我们还必须承认，尽管这些系统的重要性不言而喻，但却常常部署在运行老版本Windows系统的PC电脑上。与一般企业不同的是，重要基础设施通常至少过5年后才会升级或更换所用的硬件和软件，有些工业设施机器人或离心机为了将一些致命化学品分离，可能会数十年不停歇地使用同一个硬件运行。 我们发现了哪些漏洞？ 安全研究专家们在其中一个系统内—施耐德电气Modicon M340（多么浪漫的名字！）的PLC站内发现了大量bug。简而言之，这一连串漏洞将能让非工作人员完全掌控系统…基本上来说，可通过系统调节所有参数。其中还找到一个相当普遍的漏洞（顺便说下，该漏洞常常出现在许多路由器和物联网设备内），我们称之为硬编码器凭证。 关于工业SCADA系统内到底对哪些程序进行了硬编码，目前依然未知（尽管理由很明显），但我们完全可以做大胆的假设：这是一个由供应商提供的为简化维护程序而提供的默认登录凭证，或者是供应商可能只是忘了从编码中挑一个测试密码。或者你自己也可以想个理由出来。 漏洞是如何修复的？ 根本就没有得到修复。从安全研究专家Aditya

Ashley Madison最终还是未能阻止黑客公布该网站的用户个人数据。2015年8月18日，黑客在线公布了近10GB的遭窃数据。现在任何人都可以从黑暗网络下载这些记录，包括：邮箱地址、信用卡交易记录以及3200万Ashley Madison注册用户的个人资料。 让我们回顾整个事件始末：这家偷情网站在7月份遭到黑客入侵。攻击者指责Ashley Madison欺骗消费者，并要求其母公司Avid Life Media立即关闭这家网站。由于ALM的团队拒绝按照黑客要求关闭网站，网络攻击者们（他们自称”Impact Team”）因此公开了ALM客户的隐私。 我们已经解释了ALM和网站会员的愚蠢以及欺骗行为。现在， 每个人都可以看到他们的数据。请记住，网站精心伪造了数千份女性个人资料。我们将对Ashley Madison伪造用户资料的行为提起法律诉讼；男性用户的真实比例占到了90-95%。即使你的丈夫（男朋友）注册了世界上最大的偷情网站，讽刺的是他很可能从未与真正的女性”偷情”过。他只是试图”偷情”，但可能从未成功，如果你认为这两者之间有区别的话。 这些男人实在够倒霉，他们冒着极大的风险偷情但最终什么也没有得到，还泄露了自己的隐私。ALM做得太不厚道，你从未向用户兑现过保护他们个人隐私的承诺… 你看到有趣的统计数据，黑客宣称该偷情网站注册用户的男女比例大约为6:1。那问题来了：这是否意味着许多用户从未通过该网站有过一次成功的”偷情”？ 泄露的数据已引起从记者和社会活动家到普通百姓几乎所有人的兴趣。比如，喜欢刨根问底的用户通过对这些数据的深入研究，发现了一些令人好奇的邮箱地址。事实证明，对于偷情的热衷，政府雇员完全不输于普通民众。有些人甚至还在这份清单中找到了托尼•布莱尔（英国前首相）的邮箱。但由于ALM从未验证用户邮箱，因此许多邮箱地址很可能是伪造的。 有些发现可能会产生相当严重的后果—最高可能处以一年的监禁。正如《华盛顿邮报》提到的，在军队中偷情属于犯罪行为，你可以看到有数千名Ashley Madison用户都使用了后缀是.mil的邮箱地址来注册账号。当然，除军人以外的用户也将承受毁灭性的后果。 Ashley Madison对此予以了激烈的回应：本次事件绝非仅仅是黑客入侵行为，更是一种犯罪行为。这是针对AshleyMadison.com个人会员以及任何选择在线进行完全合法活动且有着自由思想的人的一种违法行为。 公司承诺”不会坐以待毙”并将继续与执法机构展开合作以找到这些网络犯罪分子。与此同时，受害用户应检查自己的邮箱地址是否出现在了外泄记录中，尽力缓和事件所带来不良后果的同时，还应进一步深思—这么做到底值不值得？

欢迎来到本期的《安全周报》。在首期《安全周报》中，我们介绍了有关自动开锁汽车、安卓长期存在的Stage Fright漏洞攻击以及我们将不再受到网络监视（事实上情况依然存在）的新闻故事。 在本篇博文中，两条看上去毫不相关的新闻却有着一个共同点：时而由磁阻引起的漏洞可以采取现有安全措施予以解决。第三个新闻故事并不完全与网络安全有关，而是更多关注业内各方关系的特殊案例。这三个新闻故事可以说是趣味横生、各有特色。 我想再提一下我们《安全周报》的编辑原则：Threatpost编者每周会精选三个在当周最吸引眼球的新闻故事，而我则会加上自己的辛辣点评。你可以在这里找到这些系列的所有事件背景。 黑客入侵酒店房门 Threatpost新闻故事。 人们总是说科学与艺术之间有着一条难以跨越的鸿沟，同时这两个领域的专家们也难以相互理解。还有一个根深蒂固的说法是人文主义知识分子无法变成一名科学家或工程师。 但这一传统观念却被一名受过正规音乐训练的音乐家John Wiegand打破。在上世纪30年代，他既是一名钢琴演奏家同时也是儿童合唱团的指挥，直到他对设计音频放大器产生了浓厚的兴趣。到了上世纪40年代，他专心致力于那个时代的新奇事物–磁带录音的研究。而到了1974年（当时已62岁），他终于有了重大发现。 这项发明被称为”韦根传感器”，磁钴铁和钒合金丝在经过适当处理后会发生变化，从而在软内芯周围形成硬外壳。外磁场可轻易磁化外壳并抵抗退磁，即使外磁场退回到零时也同样如此—这一特性被称为”更大的矫顽力”。软丝填充的行为则完全不同：直到外壳完全填充磁化后，软丝才会填充磁化。 一旦合金丝完全磁化，内芯则最终能够收集它自己一部分的磁化，同时内芯和外壳进行磁极转换。这一转换会产生巨大电压，可用于各种传感和监视应用，在现实生活中完全可以有效利用这一效应，比如：酒店房卡。 与现代感应卡不同的是，”1″和”0″的数字并非记录在芯片内，而是在特别布线的直接序列内。这样的密钥既无法重编程序，其基本设计方案也与现代感应交通卡或银行支付卡大相径庭，但与磁条卡却十分相似–只是后者更加安全可靠一些。 那我们是否就能淘汰感应卡呢？目前还为时尚早。韦根不仅将他发现的效应命名为”韦根效应”，同时也用自己的名字命名了一种目前来看早已过时的数据交换协议。这一通讯协议的各个方面都做得相当糟糕。首先，该通讯协议从未制定过任何适当的标准，而且有许多不同的格式。 其次，原卡的ID只有16位，因此可设置的卡号组合有限。第三，这些感应卡采用了电丝设计，且发明时间早于我们学会如何将”微型计算机”植入信用卡内的时间，因而限制了密钥长度（仅37位），但读卡时的安全可靠性却远远高于后来拥有更长密钥的感应卡。 就在刚刚落幕的黑帽大会上，研究专家Eric Evenchick和Mark Baseggio展示了他们用来拦截授权过程中（未加密）密钥序列的黑客装置。最有趣的细节是：由于信息是在数据从读卡器传输到门禁控制系统过程中遭窃取（也就是历史上韦根协议使用的环境），因而与卡本身毫无关系。 这个微型装置被称为BLEkey –其外形极小，需要嵌入读卡器内（比如：酒店客房门）才能起作用。研究专家们展示了整个过程只需几秒钟时间即可完成。之后一切就变得很简单。我们只需读取密钥，然后等房客离开后打开房门。或者我们根本不用等。或者我们根本就不用开门。如果将这一技术细节形象地描绘成”房门和读卡器/无线通讯之间对话”的话，可能就像这样： “谁在那儿？” “是我。” “请进吧！” 整个过程的确就是如此，只是当中有些细微差别。好吧，通常来说，并非所有的门禁系统都容易受到这样的攻击。即使是那些在这方面存漏洞的门禁系统，也可以受到安全保护而无需彻底更换。根据研究专家的说法，读卡器原本就内置有防范此类黑客入侵的安全保护措施，只是这些安全功能通常禁用。 有些甚至能支持公开监控设备协议，允许你对传输的密钥序列进行加密。这些”功能”并未被使用–我将不断反复强调的是– 制造商之所以忽视安全措施完全是为了降低成本和方便生产。 这里有一个2009年有关这一问题的研究，并附有技术细节。显然门卡（非读卡器）内的漏洞早在1992年就已发现，之后相关专家建议门卡应进行反汇编或使用X光检查。出于这一目的，比如必须将门卡从持卡人处取走。目前的解决方案则是硬币大小的微型装置。这正是我所称之为的科技进步！ 微软与Immunity公司。微软公司与Windows Server Update Services之间纷繁复杂的故事。

对于父母时常挂在嘴边的：”现在的孩子真是无药可救了。” 你一定不会感到高兴吧？就算你是家族有史以来最自律的孩子，我敢打赌你或多或少也曾从父母口中听到过这样的话。父母们之所以会有这样的抱怨，是因为现在的孩子常常毫无限度地使用父母的信用卡购买手机游戏的内置物品，或者从那些安装了木马病毒或其他恶意软件的不安全网站随意下载游戏或应用程序。 还是让我们直入主题：幼稚和天真并不是互联网的生存法则。一旦对在线安全知识有了一定了解，你就不会再将互联网想象成一个充满各种美好事物的”世外桃源”。互联网真实了反应了我们的现实世界，里面既有好人也有坏人。里面根本不存在”天使”，但却有许多不法分子潜伏在这个”法律难以管束”的地方，隐藏自己的真实身份从事各种不法活动，从而为自己谋利。 说了那么多，我们的目的并不是想要吓唬你或让你也在网上伪装自己。而是想让你自己和你的父母在互联网上多留一份心，尤其是他们通常忽视在线安全的情况下。可惜的是，有太多的家长对于基本的互联网安全准则熟视无睹，使用最薄弱的密码并常常落入众所周知的网络钓鱼圈套。但在网络安全方面你完全可以比父母做得更好，也完全可以教给他们一些基本的在线安全常识。 牢记：互联网上的每个人都可能在撒谎 你应该向父母解释这样的道理： 并不是每一个互联网用户都使用自己真实的身份。”厉害的程序员”很可能只是不会做作业的孩子。而”附近学校的女孩子”可能只是生活在遥远国度的一个满脸胡渣的无聊男人。Instagram个人主页内放有各种极具吸引力照片的”大人物”，很可能只是来自新墨西哥州El Armpito的失败者，他唯一擅长的就是从Google图片中搜索各种绚丽照片。 同样的情况也适用于网站。记住并不是每一个网站都安全可靠。有些网站出于某些原因会故意放一些虚假信息在上面。因此尽量通过多个信息来源核实事实，最好是知名且安全可靠的网站。一旦你觉得网站可疑，确保及时告知家长。 每个家庭都需要有个人能担负起网络安全重任。而你完全能成为那样的人。

在过去的几周时间里，你们应该已经看到了我们对”数字失忆”所进行的一系列研究。考虑到”数字失忆“带给我们的各种苦恼，你很可能已经将它选择性遗忘了。 好吧–我承认这不是个好的笑话。我只是实在忍不住想说。事情的真相是我们愈来愈依赖我们的数字设备来记忆重要信息。 卡巴斯基实验室团队对此了然于心，同样也知道我们的客户相当重视自己的隐私、个人数据、数字身份以及个人资金，同时他们也表达了对这些个人信息安全的担忧。因为没有人希望将自己的个人信息泄露给那些存心不良的网站或公司。 由于数据外泄及黑客入侵的事件几乎每天都在发生，因此互联网用户不仅需要安全感，同时还需要无论在使用何种设备进行各种在线活动（例如：升级社交网络、使用网银和在线购物）时，都能确保获得安全保护。 随着卡巴斯基安全软件和卡巴斯基全方位安全软件2016版的推出，我们团队在其中加入了全新功能以加强用户的隐私保护能力。这一功能被称为”隐私浏览“。 正如你所知，每日的互联网用户数据收集程度着实让人有些胆战心惊，同时也让我们许多人产生恐慌情绪。尽管事情本身令人愤怒，但其中主要的问题是：相对’善良的’网络服务所收集的数据是如何跑到那些”坏家伙们”手中的？ 凭借全新的”隐私浏览”功能，卡巴斯基实验室用户不仅能防止设备上的个人数据外泄和在互联网上共享，同时一旦有网站请求获取你的个人数据时，还能收到相关报告。这一功能选项可作为Firefox、Chrome和Internet Explorer浏览器的插件使用。 我们相信，这一全新功能将使用户在上网冲浪时拥有更强的控制力和更佳的安全性。如往常一样，新版本的卡巴斯基实验室产品将不遗余力地阻止试图病毒感染用户设备的网络犯罪分子。 如果你对我们产品感兴趣的话，你可以直接从我们网站下载免费试用版，或购买完整版。标准套餐–1年期3个用户许可证–卡巴斯基安全软件售价79.99美元。卡巴斯基全方位安全软件的1年期5个用户许可证的售价则为99.99美元。  

仅仅在23年以前，微软只是刚刚发布了Windows 3.1系统，而苹果正推出其第一代PDA（掌上电脑），而Linus Torvalds则在GNU许可证下发布了Linux操作系统。在同一时期，尤金•卡巴斯基也出版了一本书，上面详细介绍了那个时代所有已知的计算机病毒以及清除病毒的方法，其中—这些病毒程序都被称为-V。当时的网络威胁并不是像现在那么严重：一本小册子就能覆盖当时所有病毒的介绍，甚至在随后的20年里情况也并未太过糟糕。 The Complete Сatalogue of Malware, written by Eugene Kaspersky in 1992 《恶意软件完整产品目录》，尤金·卡巴斯基编写于1992年 而那个”天真纯洁”的时代早已一去不复返。现在，每天出现的新型恶意软件数量就多达32.5万。同时几乎每个星期，整个互联网行业都会面临系统安全问题的新考验—从汽车和滑雪板到核电厂，几乎遍及各个领域。这是最好的时代，也是最坏的时代：如今，随着越来越多的人开始重视他们依赖于计算机的数据、企业和个人生活的安全性，整个互联网世界才有可能变得更加安全。 而现在，即便你放松地躺在椅子上的时候，也能了解互联网安全的最新动态。每周一，我们都将为您带来上周发生的三条最重要的安全行业新闻，同时还有从各个网站收集的辛辣评论。这些新闻无一例外都精选自Threatpost和卡巴基斯官方。 Stagefright：还未造成任何改变的安卓漏洞 Threatpost新闻。Google反馈。CERT Advisory。Kaspersky Daily对于如何预防Stagefright感染的建议。 Wired将其称为”迄今为止发现的最严重安卓系统漏洞“之一，但这样的表述并不完全正确：因为它还要更糟。这一漏洞与Heartbleed和Shellshock的主要差别在于：我们不必为Stagefright想一个唬人的名字，Stagefright是安卓系统音频和视频播放的引擎，也是安卓开源项目的一部分。从技术上讲，Stagefright其实是一整套漏洞（来自Zimperium的研究专家发现了留在CVE基地的7个ID），主要与缓冲区溢出有关。 这一多媒体引擎的任务是回放各种音频和视频，正如ZDNet提到的，某种程度上Stagefright的独特功能可实现”你还在考虑是否观看某个视频之前”，它就已经准备好播放了。出于某些神秘的原因，有时所有这些任务都是在”上帝”访问权限级别下执行。但事实上，其中的原因并不神秘：只是这样更容易编码，仅此而已。尽管如此，Stagefright也非常容易脱离安卓沙盒，因此也易于遭受漏洞利用。 最终，我们有了一个出色的概念证明：向手机发送MMS（多媒体短信）–然后一切都一目了然。你甚至无需打开”载入的”MMS：手机会自动帮你打开，因为其编码方式考虑到了为用户的便利性。是不是就没有任何办法了呢？并不尽然。首先，在安卓4.1及以上版本中有一项地址空间布局随机化技术，可防止手机自动打开，或至少部分”解决了问题”。 其次，通过遵循负责任的漏洞披露规则，Zimperium成功阻止了漏洞利用代码。尽管如此，得益于已发布的补丁，所有问题都迎刃而解。 Google的反应则相当有趣。我们从安卓官方博客发布的相关博文中摘录了一小段：”一切都没问题。我们的沙盒棒极了。只有0.15%的安卓设备内存在恶意应用（后面跟着许多星号、细则和条款）。为了确保安全万无一失，Nexus设备需要每个月都进行安全升级。” ‘纵然Nexus设备安全无忧，那安卓智能手机和平板电脑又该如何是好呢？Google的举措无助于解决安卓非一致性问题-新设备常常延迟无法第一时间升级至最新操作系统版本，而更老的硬件则根本无法升级更新。 好在像HTC、三星、索尼和LG这样开发商已宣布，将比以往更频繁地升级他们的智能手机和平板电脑。尽管许多问题依然悬而未决，但我们可以明确的是一些电子设备的系统将进行升级更新。如果我们继续努力下去的话，可能终有一天所有问题都会得到解决。 但无论如何，这都是一个好的迹象。迟早有一天，安卓也会拥有自己的一套升级机制，就像微软的’周二补丁日’一样。正如一年前安卓首席安全工程师Adrian Ludwig在Google总部说的，Google在安全领域做的相当出色，只需再对Google

如果说’黑客入侵’已成为一种时尚潮流的话，那本季的最热流行非’黑客入侵汽车’莫属。在两名研究专家Charlie Miller和Chris Valasek详细揭露如何黑客入侵Jeep大切吉诺不久后，另一个安全专家小组也成功控制了特斯拉S型电动车。 移动安全公司Lookout联合创始人兼首席技术官Kevin Mahaffey及其合作伙伴Marc Rogers（CloudFlare首席安全研究专家）在特斯拉S型系统中发现了6个漏洞后，已与特斯拉公司开展了数周之久的合作，以共同编写修复补丁。 尽管已放出了相关补丁，但这一事件已让人们对特斯拉S型电动车的安全性产生了极大怀疑。犯罪分子可将PC电脑与车载以太网进行物理连接来利用这些安全漏洞，只需使用软件命令就能将你价值10万美元的’豪车’直接开走。另外，犯罪分子还能让系统感染木马病毒，从而远程关闭正在行驶中的电动车的发动机。 在测试潜在网络威胁时，研究人员竟然完全掌控了车载娱乐系统。他们可以随意打开和关闭车窗、锁车门或开门锁、升/降悬吊系统以及切断汽车电源。 但特斯拉并没有犯和克莱斯勒相同的错误。一旦正在行驶中的S型电动车电源被切断，其车内系统可立即激活手刹。 当车速慢于8公里/小时，车辆会自动倾斜直至停下来为止；而当车速快于8公里/小时，特斯拉则采取特殊安全预防措施。在对高速行驶的车辆进行测试时，当司机保留对转向和制动的控制时，汽车档位会自动转到空挡并自动停下来。此外，安全气囊也能完全起到其应有的作用。 在相同的处境下，克莱斯勒不得不通过召回140万辆问题车打上紧急安全补丁，而特斯拉汽车只需通过无线通信即可打上安全补丁。具有讽刺意味的是，一些汽车生产公司提供安全补丁的速度竟然比许多智能手机生产商还要快许多。 “如果每次下载和安装补丁的过程都能顺畅进行的话，这可以解决许多的问题。你可以看到，在现在的汽车系统内运行着大量的软件，因此需要频繁地安装补丁，其安装频率有时甚至超过了PC电脑，但如果要求车主每周或每个月前往经销商处安装各种补丁的话，那绝对是一件恐怖的事情。我的观点是世界上的每一辆车如果能连接互联网的话，都应该采用OTA（无线通信）方式下载并安装补丁。” —Mahaffey在《Wired》杂志上评论道。 Mahaffey和Rogers将就如何提高特斯拉汽车安全性方面继续展开合作。此外据报道，特斯拉公司还从Google新挖来了一名在业内享有声望的工程师：Chris Evans将担任特斯拉汽车安全团队的负责人。

这一最令人震惊的网络威胁不断触动着安卓手机用户原本就脆弱的神经：Zimperium zLabs在2015年4月报告了Google操作系统内的6个漏洞。他们还告诉《福布斯杂志》：尽管Google向其合作伙伴发送了补丁，但有些令人难以置信的是，大多数生产商并未修复这些补丁来保护他们的客户。这些bug被认为有史以来发现的最严重的安卓缺陷。 安全研究人员宣称95%的安卓设备–约9.5亿部智能手机–暴露在漏洞利用的危险之下。运行2.2版本以下安卓操作系统的老式手机可确保无安全之忧，同样安全的还有Silent Circle最新推出的Blackphone（黑手机）,其操作系统已打上了相关安全补丁。同样针对Nexus手机的相关安全补丁也将于近期发布。 只要知道你的手机号码，黑客们就能将恶意软件植入你的手机：即通过受病毒感染的MMS（多媒体短信服务）实现。只要你接受此类短信—恶意软件就能开始自动运行。你甚至不打开受感染的多媒体短信就可能不幸成为受害人，因为手机的操作系统会’帮助你’执行一切操作。这绝对是一种可怕、高效且悄无声息的网络攻击，你说呢？ 该漏洞存在于Stagefright软件库内。Google Hangouts同样遭受牵连，原因在于该应用常被用作处理视频短信的默认应用程序，因此会激活病毒。 一旦不幸安装，该恶意软件则会清除原先的MMS来掩盖所有踪迹。一旦成功运行后，该病毒将不仅通过手机摄像头和麦克风监视你的一举一动，还会将你的个人数据共享到互联网并开展其他犯罪活动。 Google最近针对其Nexus手机开发了另外一些安全补丁，并承诺将于近期发布。但如果你不幸使用其它手机的话，则可能永远也看不到针对你手机的相关安全补丁发布的一天。不幸的是，众多智能手机生产商在提供安全补丁方面可谓名声不佳，尤其当你的手机已上市超过18个月。 而与此同时，作为安卓替代系统的CyanogenMod也于近期发布了修复补丁。如果你手机的生产商无法提供安全更新补丁的话，可以参考以下我们精心准备的安全防范措施。 你首先需获得安卓手机的root权限，然后禁用Stagefright。当然，你还可以选择使用其他的手机操作系统。 你还能买一部在这方面有安全保障的新智能手机（生产商很重要！），然后放心使用直到再出现新的严重安全漏洞。 更改设置并停止接收MMS。 无论你选择哪一种方法，都仍然会遇到各种不便和麻烦。最快的方法是禁用Hangout的MMS自动抓取功能。只需按照以下步骤操作即可轻松实现： 打开Hangout； 点击左上角选项； 点击设置-> SMS； 在高级选项卡内取消勾选自动检索MMS选项。 如果你使用的是默认消息应用，同样可以实现： 打开消息应用； 点击更多->设置->更多设置 点击多媒体消息->关闭自动检索 我们依然希望智能手机生产商最终能严肃地对待这些安全问题。此外，我们还可以通过向那些在推特上有客户支持账号的智能手机生产商直接发送推文，敦促他们尽快发布相关安全补丁。  

安全专家们常常将漏洞利用称之为与数据和系统安全有关的最为严重的问题之一；尽管一般来说我们总难以区分漏洞利用和恶意软件之间的差别。但在这里我们将尽量详述其中的差别之处。 什么是漏洞利用？ 漏洞利用是恶意软件的集合。这些恶意程序往往包含数据或可执行代码，能够利用在本地或远程计算机上运行软件内的一个或多个漏洞。 简而言之：在你根本不知情的情况下，浏览器内存在的漏洞允许”任意代码”在你的计算机系统内运行（例如：安装和启动某种恶意程序）。很多时候，网络攻击者实施漏洞利用的第一步就是允许权限提升，如此他们就能在遭攻击的系统内肆无忌惮地进行犯罪活动。 浏览器连同Flash、Java和微软办公软件都属于最容易遭受攻击的软件类型。由于这些软件使用相当普及，因此无论是安全专家还是网络黑客均对它们积极进行研究，同时开发者们也不得不定期发布相关补丁以修复漏洞。如果每次都能及时打上补丁那是再好不过，但实际上却常常无法如愿。比如，在进行升级时必须关闭所有浏览器标签或文件。 另一个问题是对目前未知的漏洞进行利用，网络黑客们一旦发现后即大肆利用：即所谓的’零日漏洞‘。而软件供应商则在漏洞被利用后，才能了解问题所在并着手解决。 病毒感染途径 网络犯罪分子常常热衷于通过类似于社交工程的其它病毒感染方式实施漏洞利用–无论成功还是失败–对漏洞的使用不断转化为他们想要的结果。 用户通常通过两种途径不幸遭受漏洞利用。第一，通过访问含恶意漏洞利用代码的网站。第二，打开看似合法但实际上却隐藏恶意代码的文件。你们应该很容易能猜到，最有可能带来漏洞利用的不外乎垃圾邮件或网络钓鱼电邮。 一旦通过特定漏洞获得访问权，漏洞利用即会从网络犯罪分子的服务器载入其他恶意软件，从而执行各种恶意行为，例如：盗取个人数据，或者将受害人计算机作为僵尸网络的一部分来发送垃圾邮件或实施DDoS正如在Securelist上提到的，漏洞利用旨在攻击含有漏洞的特定版本软件。一旦用户使用该版本软件打开恶意目标，或网站运行类似版本软件的话，都会导致遭受漏洞利用。 攻击，无论如何都是为了实现背后不可告人的犯罪目的。 即使对于小心且勤于升级软件的用户而言，漏洞利用同样会构成威胁。其中的原因是网络犯罪分子很好地利用了发现漏洞和发布修复补丁之间的时间差。在这段真空时间内，漏洞利用几乎可以为所欲为，会对几乎所有互联网用户的安全构成威胁 –除非用户系统内安装了自动防御漏洞利用攻击的工具。 还有不要忘了上述提到的’打开标签综合征’：用户常常需要支付一笔费用才能升级软件，且并非所有用户都愿意在补丁刚刚发布时就立即付款更新。 集群式漏洞利用 漏洞利用常常采用集群方式，因此首先需要对遭受攻击系统进行检测以确定漏洞类型；一旦确定一个或多个漏洞类型，接着就使用相对应的漏洞利用工具。漏洞利用工具还会广泛使用代码混淆以防止被检测出，同时还对URL路径进行加密来防范安全研究专家将它们彻底根除。 下面是一些最知名的漏洞利用工具： Angler –号称是黑市上出售的最复杂的漏洞利用工具之一。该工具在开始检测反病毒软件和虚拟机（安全研究专家通常将其作为诱捕工具使用）后即会彻底改变整个”战局”，并同时部署加密的点滴木马文件。作为速度最快的漏洞利用工具之一，Angler还能并入最新发布的零日漏洞，同时其恶意软件无需对受害人硬盘进行读写，而是从内存中直接运行。有关该工具的技术介绍都在这里。   Nuclear Pack –通过Java和Adobe PDF的漏洞利用以及dropping Caphaw（著名的网银木马病毒）对受害人实施攻击。你可以从这里了解更多。 Neutrino –作为一款俄罗斯黑客编写的漏洞利用工具，内含大量Java漏洞利用，在去年名声大噪并屡屡登上新闻头条，原因是Neutrino的售价高达3.4万美元。随着Paunch（下一个我们将讨论的漏洞利用工具的作者）被抓捕归案，Neutrino很可能以如此高的天价被成功出售。 Blackhole Kit –2012年最广为流行的网页威胁，将存在于类似Firefox、Chrome、Internet

让我们共同庆贺为消费者量身定制的安全解决方案升级版的推出—卡巴斯基实验室必出精品—卡巴斯基安全软件多设备版和卡巴斯基全方位安全软件多设备版。这些产品专为解决终端用户最关心的安全问题而专门设计，这些安全问题包括：隐私、数据、对身份和资金的盗窃以及对设备本身的保护。 据2015年消费者IT安全风险调查显示（不久将来将开展更多这方面的调查），用户愈来愈重视在线安全问题。其中70%的受访用户表示采取了安全防范措施来保护个人数据，而61%的用户则担心自己的设备中可能被植入了间谍软件，而对于网络摄像头不信任的用户则占到了总受访人数的49%，原因是这些用户在日常生活中频繁使用网络摄像头进行’现场表演’。而卡巴斯基实验室产品的新版本在设计之初即将所有这些用户关心的问题考虑在内。它们时刻保卫着大多数用户偏爱使用的设备和平台：Windows、OS X或安卓系统。 社交网站、广告和分析代理机构常常会收集有关用户浏览网页的内容、具体位置以及搜索历史等数据。他们只需通过浏览器就能获取这些信息。一旦成功收集此类数据，这些网站和机构就将根据这些信息来确定你的口味和偏好，使得你的浏览页面会不断跳出烦人的广告、发送推销电邮以及将你的个人资料再转卖给其他公司。你是否曾收到过发自某家公司的广告短信，而你根本不知道他们是如何获得你的电话号码？而这正是他们的工作方式！ 隐私浏览功能可将来自网络流量的此类数据清除并通过专用插件向用户报告任何受阻的请求，Mozilla Firefox、ternet Explorer和Google Chrome浏览器均具有这项功能。而卡巴斯基实验室产品的功能则更为强大，不仅能防止用户通过cookie文件被识别，还能向网站发出不希望传输数据的警告。最终确保这些隐私数据不会从你的设备外泄。 另一种普遍存在的问题是用户根本不需要的程序软件在设备内启动，即在用户不知情的情况下，额外的扩展与免费软件捆绑安装。这可能会对浏览器主页、默认搜索引擎以及网络和系统配置产生影响。 此类’附赠礼物’还会收集有关用户及其在线行为的信息，并将这些数据用做不同目的。改变控制功能恰恰是用来检测任何尝试引入此类更改的进程，向用户报告并要求这些进程需用户同意后方能运行或者干脆直接阻止。 隐私清理工具同样得到了升级，从而以一种更好的方式保护您的隐私。你除了可以用该工具来清除Windows计算机上的用户所有行为痕迹外，还可清理浏览器历史以及最新打开文档清单。 如果你担心有偷窥狂黑客入侵你的网络摄像头并对你的个人隐私进行窥视的话，确保启用网络摄像头保护功能。该功能不仅能防止黑客从你的网络摄像头截屏，一旦有合法应用程序访问摄像头时还会立即通知用户，此外还可设置为阻止所有应用程序访问。 为确保网银交易安全，卡巴斯基实验室的Mac和PC版反病毒软件通过采用独一无二的安全支付技术，可检查购物或支付网站是否安全以及你是否遭到网络钓鱼页面的欺诈。在测试后，用户即能以一种特殊且受保护的模式打开网站。 据2015年消费者IT安全风险调查显示，22%的受访儿童用户在互联网曾遭受某种类型的网络威胁，同时其中的21%造成自给家长的数据丢失或资金受损，因此我们同样对屡获殊荣的PC或Mac版上网管理功能进行了升级。这些控制功能允许用户管理他们孩子的应用程序下载、阻止对不适当网页内容和游戏的访问以及防止个人信息的披露。 此外2016系列的便利性也有所提高，你无需检查卡巴斯基实验室产品2016系列是否需要升级和更新，最新的产品中已经包括了自动升级和更新功能，并可通过个人的”我的卡巴斯基账户“进行管理。 当然，我还是想告诉读者的是：卡巴斯基实验室反病毒产品旗舰版获得大多数独立研究实验室的认可，且无论在短期还是长期的各项测试中均得到了最高分。

众所周知，网络犯罪分子不遗余力地想让你的PC电脑或笔记本电脑感染病毒，或无所不用其极地诱骗你安装恶意软件。可能你还不知道，他们同样也无时不刻地想要盗走你的移动设备。网络罪犯早已熟知如何从黑客入侵你的智能手机中大发横财，从直接盗窃设备到更复杂的用你电脑进行比特币挖矿，可谓无所不用其极。 还有些特殊的木马病毒被乔装打扮成手机游戏或实用的移动应用程序。一旦不幸安装，木马病毒即会让手机自动拨打付费电话或订阅收费短信服务，从而让你蒙受巨大的资金损失。 你当然希望将自己辛苦赚来的钱用在刀刃上而不是莫名其妙就消失了。为此，你更应对自己移动设备的安全提高重视。下面的四条安全小贴士将助您保护自己移动设备的安全： 千万不要忘了为手机设置密码，这样其他人就无法访问你手机内的信息。 避免连接未知Wi-Fi网络–尤其是免费Wi-Fi–因为这些网络可轻易被用来收集你发送出去的信息。如果连接的网络无需密码登陆，则很有可能表示该网络存在危险。 即使移动设备丢失或被盗的话，也可采取一定的安全防范措施。启用’远程管理’和’备份’功能，或用手机的内置功能（例如：’Find iPhone’设置），当然也可以安装特殊程序。 不要忘了你的手机也处在受病毒感染的风险之下。不要下载未知应用程序，即使是来自官方应用商店。始终检查应用程序的请求权限–比如是否请求访问你的通讯录或照片。

啊！他们竟然又’干了一票’：在分别成功地黑客入侵丰田普锐斯和福特翼虎后，安全研究人员Charlie Miller和Chris Valasek近期又一次成功入侵了Jeep大切诺基。 这一次的结果更加令人震惊不已，因为这两名安全专家竟然找了一种能够远程控制汽车的方法。而作为本次试验的”自愿受害人”在遭受漏洞利用攻击时，则正驾车以70 mph的速度行驶在圣路易斯市的郊区。 “当我亲眼目睹这两名’黑客’竟然能远程控制车上的空调、广播和雨刷时，我真为我自己在如此大压力下展现出的勇气而佩服不已。当时他们还切断了我的变速器。” 来自Wired的新闻报道透露了’受害司机’对于所驾驶超级智能联网汽车遭受强制行为的反应。记者Andy Greenberg当时就坐在试验汽车的后座，亲眼目睹了整个过程，他说道：研究人员完全掌控了汽车的刹车和油门，以及包括广播、喇叭和雨刷在内的其它次要的汽车组件。要做到这些，Chris和Charlie必须通过蜂窝网络黑客入侵车载娱乐系统。 幸运的是，目前的形式并未完全糟糕透顶。无论是操作系统开发商还是汽车制造商都不遗余力地采取重要且十分有必要的网络安全防范措施–他们应该有能力做到！ 正如Chris Valasek说到的：”当我看到我们可以通过互联网完全控制汽车的时候，我简直吓坏了，发自内心地感到恐惧。这绝对不是开玩笑，这可是一辆在乡间高速公路上高速行驶的汽车。就在那一刻，对汽车黑客入侵最终还是成为了现实。” 不幸的是，目前所有这些重要的安全防范措施依然还远远不够。像微软和苹果这样的软件巨头常常需要花费数年的时间开发有效的方法来为其产品漏洞编写安全补丁。而留给汽车产业的时间则不多了。除此之外，这已经不是汽车第一次遭受黑客入侵，尽管安全问题重重，但似乎没有人迫切想要解决这些存在已久的问题。 其他品牌的汽车可能存在同样的安全漏洞。对于包括福特和通用在内的其它汽车品牌，Miller 和Valasek还未有过尝试。更加可怕的是，Miller表示”一名技术娴熟的黑客就能控制一组未联网主机并用来执行更多扫描—使用任何一组被劫持的计算机—通过Sprint网络让病毒从一个仪表盘感染到另一个。最终演变为由成千上万辆汽车组成的一个无线网络控制汽车僵尸网络。”以此为基础，即可发动恐怖袭击或由一国政府发动网络攻击。 “对于卡巴斯基实验室而言，我们始终认为要想避免此类事件发生，汽车制造商在为汽车制造智能结构体系时，应时刻牢记两个基本原则：隔离和受控通讯。”卡巴斯基实验室GReAT 高级安全研究人员Sergey Lozhkin表示。 “隔离意味着两个分离的系统不会相互影响。例如，在遭受本文开头的黑客攻击时，即使娱乐系统遭受入侵也不会影响到控制系统。受控通讯则意味着汽车在传输和接收信息时必须完全采用密码验证措施。就上文提到的Jeep试验结果而言，不是认证算法过于薄弱/存在漏洞，就是并未正确实施密码验证。” 所有安全问题在行业层面未被解决之前，我们都应该考虑是否改骑自行车和骑马…或驾驶老爷车。至少，这些交通工具都不会遭受黑客入侵。黑帽大会即将在2015年8月举行，届时安全专家们将就他们的研究发现做陈述报告，我们也对此翘首以盼。  

最近，我碰巧有机会参加了Changellenge Cup Russia 2015学生项目竞赛，并在其中一个环节担任评委。但今天我并不打算谈论竞赛本身，而是想就工程设计环节讨论的一些问题作一番探讨。 参赛者必须详细介绍无人驾驶飞行器（UAV）在商业、国防以及国民经济方面的使用案例。我觉得我们完全有必要了解其中的内容成果。 UAV可运用于各种领域。主要包括三大类别： 公共管理：军事用途、国家边境监视以及灾难重建援助。 商业用途：办公大楼、能源设施、建筑工地、农业目标、农场的监视与维护，以及地质勘探和航拍。 消费用途：货物交付、广告营销、导游和游戏。 就目前而言，UAV市场仅仅满足于军事和国防的需求，但这并不会持续太久。在未来的10-20年里，UAV将以某种方式成为我们生活不可或缺的一部分，但同时也极易产生漏洞和安全问题。 自然而言，这也将加速各产业的发展和相关法规的订立。尽管无人机发展前景一片看好，但随之而来的技术风险或漏洞也将不可避免地出现。 简而言之，UAV由两个主要部分组成–无人机本身以及地面控制站-可以是固定场所也可以是移动设施。 而一架无人机内部则安装有实时操作系统、控制软件；用于简化数据交换的前端组件、内置固件的传感器以及航空电子设备。根据需要，还可加入武器控制系统（如适用）或自动导航装置。 地面控制站则由控制软件、前端组件和人工操作员组成。因此我个人观点是上述列举的所有部件都存在受黑客攻击的风险。 黑客主要有三种攻击途径： 直接对无人机装置动手脚进而实施攻击。例如，在维护过程中，有人故意或无意中将恶意软件植入无人机或更换电板或集成电路 通过无线电连接实施攻击：扰乱控制信道并对数据进行劫持和加密–事实上，黑客在入侵伊朗服役的美国无人机就采用了这个方法。有趣的是，当时实施攻击的黑客竟然使用的是一款俄罗斯程序-SkyGrabber。 针对传感器的攻击，包括数据欺骗—例如，欺骗GPS坐标。 一旦遭受黑客入侵，无人机可能被用于各种目的；这可能会影响数据生成以及飞行参数的显示和控制（包括：速度、高度、方向和可编程飞行计划），或者就像最近报道的那样，直接将它占为己有，因为高端的无人机价格十分昂贵，同时这也会让原本的’主人’蒙受很大一笔损失。 此类威胁即将来临，时间已迫在眉睫，让我们做好准备迎面挑战。有关无人机问题的更多精彩报道，请阅读这里、这里和这里。      

最近Ashley Madison约会网站的用户们因害怕自己的真实身份遭曝光而胆战心惊，事情的起因是该网站的3700万名用户的个人档案遭窃。黑客威胁如果该网站的拥有人不关闭其中两家交友网站的话，则会将Ashley Madison网站的整个数据库发布到互联网上。 黑客要求永久关闭的两家网站分别是：流行的约会网站’Ashley Madison’，该网站打出极具诱惑的口号”人生短暂，偷情无限”；以及让成功男士寻找年轻美女的’Established Men’网站—均隶属于Avid Life Media公司（ALM）。黑客还声明此次攻击完全是为了惩罚ALM的不正当行为：据报道ALM要求其客户支付19美元以完全清除个人资料，但实际上却并未如承诺的那样真正删除客户的数据。 这群网络攻击者还说道：“用户通常都用信用卡支付；他们的详细支付信息并未如网站承诺的那样被完全清除，其中即包括了用户的真实姓名和地址，而这绝对是用户最想要清除的重要个人隐私。” 为了伸张正义，黑客要求ALM以任何形式永久性地关闭上述两家网站。否则的话，客户的真实姓名和地址连同有关他们’性幻想’的信息都将公布在互联网上。 但黑客似乎并未打算将ALM’赶尽杀绝’：允许该家公司的其他网站（其余隶属于ALM的网站只剩下专门让女性寻找”小鲜肉”的Cougar Life）继续经营下去。而ALM则回应将起诉这些实施犯罪行为的网络攻击者。 据KrebsOnSecurity报道，遭窃数据的样例已被发布在互联网上，从而证实了此次黑客入侵事件，但ALM则在事件发生后立即设法清除已遭公开的数据。该公司承认了网站遭受黑客攻击，并声明已聘请’业内权威专家和其他安全专业人员确定本次黑客事件的源头、性质以及受波及的范围’。 本次黑客事件很可能有公司内部员工参与和访问了公司的网络—可能是以前的雇员或承包商。这一观点的间接证据可以从攻击者发给ALM安全主管要求道歉的信中找到：”你需要向Mark Steele道歉。你们即便使出全身解数也无法阻止本次攻击事件的发生。” ALM巨额收入的来源将因此而遭受影响：据这些黑客称，在2014年，单单个人资料清除这一项服务就为公司带来近170万美元的进账。整个Ashley Madison网站的估值更是达到约10亿美元。 就目前看来，ALM似乎并未打算按照黑客的要求关闭网站。而另一方面，3700万’偷情者’个人隐私的去向依然不明。如果将道德问题和可能产生的家庭问题放在一边，这些个人数据完全有可能被其他网络犯罪分子所利用，从而实施网络钓鱼或银行诈骗活动。 对于此次事件的首要责任人我们仍然无法明确界定：但ALM已向其用户承诺提高安全防范级别。电子前线基金会最近发布的一份报告显示，约会网站在安全/隐私方面存在极高的危险性。就在几个月前，另一家约会网站也遭受了黑客攻击，超过350万用户的隐私信息（包括：性取向、恋物癖和个人秘密）全部遭到曝光。 每当你用信用卡购买约会和交友产品和服务时，你同时也向此类网站提供商共享了你的敏感信息—而网络黑客无时不刻地想要黑客入侵这些网站的系统。一旦数据在互联网公开，你根本没有任何应对的措施。 因此始终将基本安全铭记于心至关重要： –使用加密的通讯渠道； –如果你不想让你的数据被不正当的服务提供商记录和使用的话，还是尽量使用现金支付； –在各家约会网站上使用不同的电邮账号和外号。 ALM宣称很快就能查明该为此次攻击事件负责的黑客。但不幸的是，目前尚不清楚ALM是否及时完成了调查取证工作，因此是否最终挽救了数百万用户的隐私目前也不得而知。

时刻保持警觉性，多用用大脑。如果你觉得记忆一长串可靠的密码过于枯燥的话，完全可以换种有趣的形式。事实上，要找到一种有趣的复杂密码记忆方式其实并不太难。当然，你也可以使用密码管理器。务必仔细阅读这些我们精心挑选的简单法则，可助你战胜网络犯罪分子。

你以为只有电影里才能看到黑客和网络间谍吗？那可大错特错了！互联网上充斥着各种奇怪的人和犯罪分子，伺机寻找机会控制你的Facebook页面、让你的智能手机感染病毒或窃取你的游戏账号。因此你一旦进入危险重重的互联网世界，需要时刻保持警惕！因此，为了你上网安全的考虑，请务必参考卡巴斯基实验室的建议。

卡巴斯基实验室解决方案总会定期被许多独立安全测试授予最佳称号。最近，MRG Effitas授予卡巴斯基实验室网上银行保护技术最高荣誉称号-网上银行/浏览器安全奖项。

随着我们这个世界联网程度越来越高，每一个人几乎都拥有太多的电话号码、地址、工作和活动的日程安排、账户名、密码以及PIN码等等。尽管许多信息我们根本就记不住，但却能通过联网设备找到所需要的信息。卡巴斯基实验室为此专门对数字设备和互联网是如何影响当代人们回忆和使用信息的方式进行了研究和分析–以及保护这些信息的方法（如有的话）。

Vitaly Kamluk拥有超过10年的IT安全领域经验，现在他担任卡巴斯基实验室首席安全研究员的职位。他专门从事研究恶意软件逆向工程、计算机取证和网络犯罪调查。目前，Vitaly居住在新加坡。他作为数字取证实验室的成员与国际刑警组织合作，开展恶意软件分析和调查支持方面的工作。

LastPass作为一款流行的密码管理器，最近公开其遭到网络攻击。网络攻击者成功病毒感染了用户电邮地址、密码提示、每个用户的盐以及认证散列。密码本身并没有被病毒感染，原因在于该服务并未将密码保存在云端。然而，LastPass仍然建议用户更改LastPass主密码并启用多重认证。

为了保护用户免遭网络犯罪，对于那些已被Facebook团队检测出行为可疑并可能感染恶意软件的账户的拥有人，Facebook建议使用免费的反恶意软件扫描器有助于修复Facebook用户账户的安全程序。卡巴斯基恶意软件扫描器。仅仅在过去3个月里，已成功保护了超过260,000名Facebook用户免于恶意软件侵扰。