新闻

最近有关”网络摄像头遭入侵”、”婴儿监视器受攻破”甚至还有”俄罗斯一家网站监控英国居民”的新闻可谓是层出不穷。从受影响当事人的评论看来，这一状况愈发显得严重。究其原因到底是为何？ 从一开始，用户、监管部门官员以及网络摄像头生产商即相互指责是对方的过错，没有任何一方试图找出问题的解决方案。最终，每一名成年从这些入侵事件中所学到的是：只要你拥有一台联网设备，就理所当然地应遵循安全新闻上的指示。否则的话，你的私人生活将随时可能在网上曝光，而你甚至对此毫不知情。 那么这些事件的背后到底发生了什么？ 比如说你买了一部网络摄像头，但不是那种可直接插入电脑的常规USB接口，而是通过无线网络传输视频的摄像头。当你在另一个房间的时候，可以用来监视你的宝宝；当你在另一座城市甚至身在海外时，还可监控停在车库内的爱车或你家附近的人行道。一旦你插上电源，按照”快速启动”说明书上的内容进行简单几步操作后，就能真的像以上所描述的那样进行实时监控！这的确是一项伟大的技术，也是现代数字世界的真实例子。 但它真的如你想象的那样好吗，其实并不尽然。问题就出在”与描述的可实时监控相符”的部分。事实证明，许多用户只是对设备能够正常运行感到满意，但却不愿更改默认密码，或甚至可能不知道有这回事，或根本就没有被告知。 Reaction of a user when he learns that his web camera was hacked thanks to default password #webcamhack pic.twitter.com/9XIwyCrYom — Konstantin Goncharov (@f15) November 21,

“网络间谍”是21世纪出现的又一种”网络攻击武器”。甚至任何一款看似毫无危害的移动应用都能够通过粗心大意的用户不经意间地泄漏数据，盗取相当数量的个人隐私信息。这些全方位的监测活动通常将大型企业和政府机关作为特定攻击目标。 就在今年秋天，卡巴斯基实验室最新发现了一种被冠以”Darkhotel”称号的间谍网络，竟然在许多亚洲酒店的网络内存在了长达7年的时间。此外，一些聪明的专业网络间谍门早已开发出了一款包含了各种用来入侵受害者计算机方法的全面”工具包”，以入侵受害者的计算机。 美国联邦调查局（FBI）在2012年最先提到了将酒店内住客作为攻击目标的网络犯罪行为。然而，其实早在2007年的时候，被用于Darkhotel间谍活动的恶意软件（即，Tapaoux）就已经在亚洲各大酒店出现了。通过对用来掌控该网络间谍活动的C&C服务器日志研究后，安全研究人员发现其中的连接最早可以追溯到2009年1月1日。综上所述，我们可以得出这样的结论：此类网络间谍活动已存在了相当长的一段时间。 # Darkhotel# 间谍活动似乎已存在了数年之久。 入侵受害者个人电脑的主要手段是通过在许多亚洲豪华酒店的Wi-Fi网络。这些网络犯罪分子主要利用存在于Adobe Flash和知名供应商的其它流行产品中的零日漏洞实施攻击。此类漏洞难以察觉，且事实证明这些间谍活动背后有着雄厚的资金支持，如此才能买得起如此昂贵的”网络攻击武器”，或者也有可能参与这些网络间谍活动的代理人拥有极其深厚的专业背景。也有可能两种情况同时存在。 上述所介绍的植入间谍软件方法是使用最频繁的一种，但并不是唯一，从这些网络犯罪分子的攻击手段来看，他们很可能由酒店本身所雇佣。此外，还可选择通过torrent客户端散播木马病毒，比如嵌入到中文版的成人漫画中。 因此，这些网络间谍还会利用有针对性的网络钓鱼，以及向政府雇员和非营利组织发送受感染的电邮等方式展开攻击。 网络犯罪分子采用精密高端的键盘记录器。间谍软件在流行浏览器内部署集成组件以窃取密码。 除了利用零日漏洞以外，许多事实证明这些网络犯罪分子拥有高深莫测的洞察能力。他们甚至能够成功伪造安全凭证用于他们的恶意软件中。为了暗中监视受害者的通信渠道，网络犯罪分子采用了精密高端的键盘记录器。间谍软件在流行浏览器内部署集成组件以窃取密码。 令人惊讶的是，这些犯罪分子行事极其小心，并设计了许多方法以防范其恶意软件被侦测出来。首先，他们确保植入的病毒有相当长的一段’潜伏期’：木马病毒在入侵系统前，需要在C&C服务器内潜伏长达180天的时间。其次，一旦系统的语言改为韩语后，间谍程序即会自动销毁。 这些网络犯罪分子主要活动于日本、中国及台湾地区。卡巴斯基实验室能够侦测到在其它国家实施的网络攻击，就算犯罪分子离受害者所在国家距离遥远也能被侦测出。 卡巴斯基实验室首席安全研究员Kurt Baumgartner对Darkhotel评论道：”在过去的几年中，一款被称为”Darkhotel”的强大间谍软件针对众多名人成功实施一系列的网络攻击，所使用手段和技术水平不是一般的网络犯罪行为所能匹敌。这一威胁拥有自动运行功能以及数字和解密分析攻击能力，而所具有的其他优势足以随意利用受信任的商业网络，并将特定受害者类别作为攻击目标，其背后有着极强的商业策略目的。 The #Darkhotel espionage campaign: A story of unusual hospitality https://t.co/iXQykGmjwE — Eugene Kaspersky (@e_kaspersky)

在8月，卡巴斯基实验室为您带来了更多安全领域相关文章以及重要的安全新闻故事。此外，我们还不断探寻着安全领域的最新前沿消息，从脑力测试到家庭入侵无所不包！如果你错过了8月份我们博客第一时间所发布的博文，现在就能让你一下全都补全！ 十种可能”毁掉前程”的电脑错误使用行为 你被解雇了！你能想象吗，就因为在使用工作电脑时犯了个错误，就遭到了解雇。我们常常无视招聘过程中所签订的严格安全指令，在工作期间从未遵守或重视，对因未能遵守而造成的严重后果影响也熟视无睹。那么在使用办公电脑或笔记本电脑的时候，我们应该注意哪些错误行为呢？ 1·使用U盘转移数据。你可能会弄丢存有重要公司或机密数据的U盘，或甚至将严重病毒感染到办公室内的所有电脑。 2.在社交网络上聊天。准备向他人共享敏感的数据和信息时，一定要小心谨慎，这非常重要。 3.用不恰当的语气与客户或合作伙伴公开（社交网络上）交谈，损害老板声誉的下场绝对是100%被立即开除。 4.通过个人邮箱重发工作文件。你的个人邮箱一旦被盗，邮件服务数据很可能落入网络犯罪分子的手中。 5.通过办公电脑发送加密的个人信息可能会影响你的职场生涯，甚至因此而丢掉工作。 6.在工作中使用未授权的第三方软件，尤其在笔记本电脑上。与工作不相干的软件还会浪费公司的资源。不要忘了你的电脑还时刻受到远程监控，公司安全专家能掌握你的所有网上”动向”。 7.有意或无意地违反安全政策，例如：泄露密码。公然泄露或危险透露公司的密码很可能毁掉你在这家公司的前程。 8.下载与工作无关的内容似乎没有什么危害，但人们有时会忘了自己的电脑正在受到监控，可能会因这一行为而受到公司的处罚。 9.在移动通讯使用上可能会产生许多错误，例如：将公司电话用做个人使用，或超出流量限制。所有上述规则均适用于移动设备，而不仅仅是笔记本电脑。 10.最后但同样最重要的是：你在网络上所说（和所写）的所有内容，能让你前程似锦的同时也可能毁掉你的大好前程。 如果有人真的盗窃了12亿个密码，那我们该如何应对？ 据报道一个犯罪团伙不同网站盗取了12亿个密码和用户名。公众并不知晓整个事件的具体细节，包括：哪些网站成为了攻击的目标以及技术方面的细节，以至于许多安全专家百思不得其解。一旦凭证被盗的话，该采取哪些措施呢？类似本次所报道的”密码盗窃案”将是一个很好的契机，即改革当前混乱不堪的密码策略，转而使用更加安全的方法。例如，用户可通过为每一个账户设置唯一密码，将被破解的危险性降到最低。唯一密码将能有效防止黑客使用一个密码即能打开其他重要账号。密码管理器和密码检测器作为两款强大工具，能大大简化这一流程！ Global Think Test脑力测试挑战赛 9月6日，全球”脑力精英中的精英”将在Global Think Test挑战赛中一决高下，共同争夺25,000美元大奖。整个比赛将耗时一整天的时间，在此之间你可以在大脑训练区（Brain Training Zone）测试你的脑力，以期在比赛之前将大脑调整至最佳状态。规则相当简单：你答的题越多，赚取的分数也越多，从而有机会获得意想不到的大奖。卡巴斯基实验室与门萨组织、法拉利以及板球运动员Sachin Tendulka携手合作，不仅设计了各种专业谜题，同时也为获胜者提供丰富了的奖品。比如，”门萨挑战环节”经专门的设计，旨在挑战选手智力以及测试选手解决问题的技巧。 “法拉利挑战环节”包括了与法拉利有关的各种游戏、谜题和视频答题，以测试你对法拉利知多少。板球界的传奇人物Sachin Tendulkar也应邀参加本次Global Think Test活动，在有关的挑战环节中，将考验你对板球这项运动的了解程度。不用我说，Sachin和法拉利为本次比赛赞助一些非常棒的奖品。如果你觉得自己有实力挑战这些环节的话，还不赶快来报名？访问GlobalThinkTest.com注册，即可参加Global Think Test挑战赛。

拉斯维加斯–每年的8月初，来自全世界各地的安全和黑客社区成员云集内华达州拉斯维加斯，参加一年一度的”安全夏令营”，期间将举办Black Hat大会和DEF CON黑客大会和B-Sides这样的会议。Black Hat大会作为一项历史悠久的商业安全会议，在所有会议中具有绝对的影响力。然而，最近该项会议议题越来越贴近消费者，所谈论话题更多的是关于将智能家庭、关键基础设施、移动设备以及其它联网设备作为目标的攻击。 会议完全报道：没有关于黑客入侵火车的演讲。 卡巴斯基实验室研究员Roel Schouwenberg刊登于Securelist的一篇报告中探讨了对后PC时代Black Hat大会的一些想法。与此同时，来自Threatpost的Mike Mimoso也在他的文章中提到了类似的模式：”固件将成为黑客们攻击的新领域，通过U盘将病毒植入家庭路由器和汽车，能够利用漏洞、盗取数据并侵犯隐私。” 一方面作为一名与会者，我很高兴能听到这些新消息，因为这意味着一些 “暗藏杀机”软件平台（主要由企业使用）的bug报告数量更少或者没有增加，而更多谈论的是与我们日常生活息息相关的系统漏洞话题。另一方面，Black Hat大会讨论焦点的转移显示出一种令人担忧的趋势：安全漏洞离我们的实际生活越来越近。 主题演讲 今年大会由安全领域受人尊敬的杰出人物Dan Geer发表主题演讲。与去年美国国家安全局局长亚历山大（Keith Alexander）发表主题时的景象完全不同，今年没有全副武装的警卫、捣乱分子或成群拿着鸡蛋随时准备向台上招呼的反对者。在近60分钟的演讲中，所有与会者饶都有兴趣地听着In-Q-Tel（美国中央情报局的私人风险投资公司）首席信息安全官Geer所谈论的十大安全戒律。 整个演讲中不乏亮点，其中谈到了美国应以10倍价格收购所有待售出售bug，从而垄断整个漏洞销售市场。随后再将漏洞信息存入公共资源库，让任何一家公司都能修复每一个bug并”销毁所有网络武器”。在安全、自由和便利中，我们一次只能选两样。世界上只有两种东西不存在产品责任，一种是宗教，还有一种就是软件。互联网服务提供商可能会基于内容，随心所欲地进行收费，但需要承担内容的责任；或必须选择支持网络中立性，同时享受公共承运人的保护。 “明智地做出选择，”Geer说道。”互联网服务提供商应选择其中的一项，而不是全部。” 黑客入侵人类和医院 让我们重新回到”安全影响我们实际生活”的话题，我们曾非正式地讨论过有关医疗设备安全的话题，其中的一些漏洞的的确确会影响到我们的身体。对我们大部分人而言，更为普遍且更致命的是放在医院的一台台医疗设备，而不是安装在病人身体内的装置。 不久的将来，很可能会出现以一台或数台医疗设备为目标的网络攻击。但好消息是医疗设备本身的安全程度极高。一台全自动的嵌入式胰岛素泵在调节和修正胰岛素水平方面的效果，远远优于血糖仪和一个月胰岛素注射量的效果。 这些漏洞广泛存在于两台医疗设备之间的通讯方式中，以及许多医疗设备以外的案例中，且无论设备是在病人还是医生控制下。我们需要明确的是，犯罪分子用笔记本电脑向一个嵌入式心脏起搏器发送致命冲击的可能性微乎其微。这一风险听上去虽然恐怖，但事实上存在无数更轻松的方法可以致他人于死地。你要相信，这里真正的风险事实上比早间谈话节目更加无聊。 “固件将成为黑客攻击的新领域，通过U盘将病毒植入家庭路由器和汽车，能够利用漏洞、盗取数据并侵犯隐私。” 由谁来负责为医疗设备制作补丁？谁负责安装这些补丁？这些费用又由谁来买单？无论是设备制造商、医院还是用户本身都很难给出明确的答案。我们所说的医疗设备并非只是心脏起搏器和胰岛素泵这些小型的医疗器械；而是诸如核磁共振机、超声心动图机和X光机这样的大型设备，以及医生用于管理一些重要敏感医疗数据的平板电脑甚至是台式电脑（通常安装Windows XP系统）。 这次非正式讨论所得出的最终结果是：篡改医疗记录–医疗事故和其他内容–可能会造成用药或治疗的失误，这可能是我们在联网医疗设备领域即将面临最多且危险性最高的风险。 最后我们应看到好的一面，因为在遭受真正攻击前就预见即将产生的问题本身就是一个积极的信号，因为这在高科技领域并不常见。 雅虎加密所有邮件 雅虎此前因某些原因无法对其网页邮件进行加密遭受到猛烈抨击，因此在不久前雅虎宣布将在未来的几个月甚至几年里对雅虎邮件做出一系列的安全变革措施。其中最主要的方案就是对所有网页邮件进行端对端的加密。这一举措将使雅虎的安全程度提升至与Google同等的水平。 访问the

有人说，系统管理员主要分为三大类：技术狂、管理控和怪胎。但愿您、您的朋友或同事不属于其中任何一类。 技术狂 技术狂是指以前是系统程序员，后来转为系统管理。能熟练使用shell、C语言、perl和WSH编写无数脚本。大多数时候沉默寡言。一旦发生磁盘空间不足、CPU用量过高，或者需要创建新帐户时，他会利用一堆脚本来解决问题。其中有些脚本的运行方式甚至是本人独创的，没有第二个人知道。如果网络响应速度慢，他会为了使响应速度提高1.5%，而另外编写一个脚本，并重写所有能调用的网络硬件。回答用户提出的愚蠢问题时，会使用十六进制、二进制或粗话，直到用户放弃并扭头离开。升级操作系统时，只从新发行版的源代码中抽取自己喜欢的内容进行升级。经常参加狂欢聚会并喜欢诗歌。 管理控 以前曾是助理或秘书，但不是太合格，被迫转向系统管理。是公司内部最让人反感的IT人员。如果发生磁盘空间不足，他会在当天发布的消息中列出磁盘使用政策，然后启用磁盘配额，锁定磁盘用量过高的用户帐户。CPU用量过高的用户帐户的命运同样悲惨。从不创建新帐户，因为新人员没有帐户就无法阅读MOTD（每日信息），即新帐户创建政策，而不填写MOTD就无法创建新帐户。若任何硬件发生故障，他会设法找出破坏硬件的人，除非此人支付了设备赔偿金，否则他会拒绝修复系统。他不会回答用户提出的任何问题，除非用户支持政策明确列在MOTD中。用户提问要求排队等候。会抽空对问题进行回答，但通常最早也要在收到正式表单后两周才给出答复。不回答用户提出的愚蠢问题，除非用户可以提供文件证明自己有资格使用计算机。在起诉供应商提供的产品有漏洞后，才会执行操作系统升级。业余时间用来改装老电视以监听手机通话，收听警用波段通讯。喜欢边开车边唱歌。 怪胎 有资历的老员工，发现没人再看得上自己的黑客技术，被划入系统管理部门。如果用户无法破解并创建帐户，则不允许用户登录系统。对于根磁盘故障，直接用椅子把磁盘砸碎，咒骂安装新驱动器并重装操作系统的人。不管用户问哪类问题都会大发雷霆，直到把用户赶走。有时候会用自己掌握的知识来换烈酒喝，但依旧愤愤不平。超爱升级操作系统，最喜欢将升级安排在下午2点，因为这个钟点活动用户数最多。业余时间用来改装老电视以监听手机通话，给警用波段通讯制造拥堵。爱喝一切饮料。

6月23日至25日，在斯德哥尔摩举办了卡巴斯基实验室”下一代网络安全”国际学生研讨会的决赛。经过地区比赛的残酷竞争后，最终来自8个国家的12名学生脱颖而出入围了最后的决赛。在为期三天的比赛中，学生将需要完成5个挑战项目：3个个人挑战项目-“电梯演讲”、”未来新闻视频报道”以及”海报制作”，以及两个团队项目-“网络测验”和叫做”Operation Double –Cross”的”计算机安全竞赛”。 本次国际大会的主要目的是为了培养年轻人对于网络安全的兴趣，由于我们对技术的依赖性逐步加大，网络安全领域正变得越来越重要。 首先，由卡巴斯基实验室教育部主管Natalya Obelets致欢迎词，CERT-SE瑞典应急机构负责人Marie Alveras Loven随后介绍了其组织在遇到安全问题时的反应，并告诉我们这样一个信息：相比于2012年，2013年的网络攻击数量上升了62%。（你知道吗，在网上以2美元/小时或150美元/周的价格就能买到DDoS攻击？） 卡巴斯基实验室高级研究员David Jacoby通过他的社交工程实验，图文并茂地为我们讲述了入侵一家公共机构是何等的容易。他还强调道，企业与其担忧未来将发生的威胁，更应该解决那些目前会造成麻烦的基础安全需求。 在会谈结束后，舞台随即让给了参加决赛的学生们，进行第一个挑战项目”电梯演讲”的比赛。每一名学生将在有限的3分钟演讲及2分钟提问时间内向观众详细阐述他们的作品。最终，这一项目的获胜者是一名叫做Maurizio Abbà的意大利学生，他关于Honeypots（诱捕系统）的文稿陈述给评委会留下了深刻的印象。 与未来十年即将改变整个安全世界的年轻研究者会面 随后登场的是漏洞研究小组经理Vyacheslav Zakorzhevsky，他做了有关漏洞利用的演讲。作为演讲的一部分，他还使用了图表来突出显示在Java平台检测到的漏洞，这一点让观众印象深刻。（牢记必须升级到最新版本！） 紧接着是学生们的第二项挑战项目，最终入围决赛的12名学生被要求临时拼接一部视频报道，内容是我们很可能将在2020年看到的网络安全新闻。凭借其别出心裁的报道方式，来自皇家霍洛威大学的David Korczynski成为了这个项目当之无愧的获胜者。 第三个挑战项目要求学生以海报的形式展示他们的作品，其中文字、照片和图形缺一不可，以这样的方式展现他们的研究成果。来自莫斯科国立鲍曼技术大学的Artem Shumilov获得该项目的第一名，他的获奖作品是如何通过手势识别技术改进验证码功能。大会的最后一天为我们带了4个生动有趣的个人展示。Stefan B. Grinneby提供了有关安全领域首要工作研究发现的建议；而卡巴斯基实验室的安全研究员Maria Garnaeva谈论了与BlackEnergy2 DDoS bot相关的内容；而来自乔治敦大学的Beverly Magda教授以网络安全领域常被忽略的伦理道德为主题，进行了演讲。最后，来自香港城市大学的Daniel W K Tse教授谈到公司需要在使用社交媒体方面制定明确的政策。 希尔顿大酒店礼堂摇身一变成为了”网络测验”项目的战场，作为最后一个学生团队挑战项目，由卡巴斯基实验室教育部经理Stefano Ortolani博士主持。在经过一场竞争激烈的决战后，由Sergey

今天（2014年6月20日）是”制止网络欺凌日”（Stop Cyberbullying Day）。http://www.cybersmile.org/stop-cyberbullying-day），对于我们所有人来说，这是一个很好的机会来呼吁反对网上欺凌行为。今天，每一个关注网络欺凌和网上仇恨运动问题的人都可以加入这一日益壮大的活动中来，共同反对此类的欺凌行为。每一个人都可以参与进来，做出自己的贡献—即使只是使用主题标签#STOPCYBERBULLYINGDAY来发推文。 当然，欺凌行为并不是什么新鲜事。但随着科技的进步，对于那些喜欢恃强欺弱的家伙来说，现在比以往任何时候都更容易对那些弱势者进行攻击。在社交网络”过度分享”文化十分盛行的当今社会，网上活动都成为了常态，但这也无意中助长了网络欺凌现象的发生。 当然，欺凌行为并不是什么新鲜事。但随着科技的进步，对于那些喜欢恃强欺弱的家伙来说，现在比以往任何时候都更容易对那些弱势者进行攻击。如果你是被欺凌孩子的家长，请告诉你的孩子他们并不孤单。 与孩子谈论网络欺凌行为非常重要。如果你是被欺凌孩子的家长，请告诉你的孩子他们并不孤单。这是许多孩子所面临的问题，同时也是他们的偶像曾经遭受过的经历—麦莉•塞勒斯、谢丽尔•科尔、黛咪•洛瓦特、金•卡戴珊及其他许多人都大声说出来他们曾经遭受过的经历。 如果你是孩子的家长，我们提供的重要贴士可能对保护你孩子有所帮助。 1.与您的孩子谈论可能的危险性。 2.鼓励他们向你说出网上有过的经历，尤其是那些让他们感觉不舒服或受到威胁的经历。如果你的孩子使用智能手机，则想要保护他们免受网络欺凌烦恼尤其困难，因为他们可以在许多方式下被当作欺凌的目标，尤其是在远离家长视线范围的时候。处理网络欺凌就像处理现实生活中的欺凌事件一样：鼓励孩子打开心扉，向值得信赖的成年人倾诉他们所收到的任何威胁或不适当的讯息。如果一些联系人让孩子感到不适或不开心的话，应用上的所有号码和联系人都可以被阻止。 3.设定他们网上能做和不能做的基本规则，并解释为什么要制止他们的某些网上行为。在你的孩子长大后你应该重新回顾一下这些内容。 4.使用家长控制软件，制定相关框架：哪些行为是可以接受的—上网时间、应阻止的内容以及应阻止的活动类型（聊天室、论坛及其它）。家长控制过滤软件可以为不同计算机配置文件进行配置，使你可以针对不同的孩子定制过滤功能。 5.不要忘了充分利用网络服务提供商、设备制造商和手机网络供应商提供的设置。例如大部分手机有防止应用内购的功能，你可以避免在孩子玩游戏时产生巨额的费用。 6.使用网络安全软件保护计算机。 7.不要忘了你孩子的智能手机—它不仅仅是一部电话，而是精密复杂的计算机。大多数带有家长控制和安全软件供应商的智能手机可能会提供一些应用，以过滤掉那些不恰当的内容、令人厌烦的短信发送人等等。 8.好好利用网上所提供的大量中肯建议—包括CEOP’s thinkuknow（http://www.thinkuknow.co.uk/）网站 是否想评论本文或分享你自己的经历？我们非常乐意倾听你的意见。请在下方留言。

近期智能手机行业的迅猛发展以及各种用途手机应用的蜂拥出现，不可避免地导致在处理敏感数据时使用智能手机和平板电脑的增加。现在，人们通过移动设备发送或接受一些敏感数据和资料变得越来越普遍，例如在LinkedIn网站上发布你的个人简历，通过WhatsApp、Viber或其它类似应用将你的私人照片发给你的恋人，或在网银上输入你的一次性密码等等。不幸的是，就在你向周围的陌生人投去怀疑眼神的同时，大多数人并没有意识到，你的这些数据可以很容易地被离你10米远的不法分子所截获。 发生如此不安全状况的主要原因是使用没有任何保护的Wi-Fi网络以及在手机应用内缺少安全保护。在许多情况下，蜂窝网络依然价格高昂，在旅行途中使用更是如此。这也是为什么人们更倾向于使用机场咖啡馆以及酒店的Wi-Fi，但享受便利的同时却容易忽视其安全性。就在巴西世界杯开赛之前，我们的安全专家们在圣保罗进行了一些案例研究，以探究人们所使用的无线网络采用了何种加密方式，结果发现1/4的无线网络使用了开放式架构（无密码保护）。 在圣保罗，26%的Wi-Fi网络存在安全隐患。尤其在使用手机应用时，你必须打起12分精神。 如果你使用的是开放式架构的无线网络，任何人都可以发现你的流量并查看你正在传送的数据。如果你使用的WEP加密无线网络，不法分子可以在5分钟之内将其破解。对于世界上大部分的无线网络，不法分子只需数秒钟时间即可检测到。 我们给出的建议是只连接使用WPA的网络。 许多移动应用以非加密方式传输你的数据，或根本不会提示你任何存在危险的加密问题。 在使用移动应用时，则完全又是另一回事了。因为你根本无法知道应用在使用哪些协议。安全专家们发现在许多应用与服务器进行内部通讯时，使用的是公开协议。例如：使用HTTP而不是HTTPS，前者更容易遭受会话劫持、密码窃取和通话内容窃听的风险。举个例子，如果你正在使用即时通讯，人们可以看到在会话内的纯文本内容。这并不是我在危言耸听，事实上这一问题在移动应用中已存在许久。即使是Google、Facebook或推特这样的互联网巨头，在2011年，它们的手机应用中同样也存在SSL丢失的问题。一直到2012年夏天，非常流行的即时通讯手机应用WhatsApp依然是以非加密方式传输所有内容。如果诸位还在使用Yahoo即时通讯或ICQ软件，那不幸地告诉你—这两款软件依然使用纯文本协议，所有聊天没有经过任何加密，在开放式Wi-FI环境中可轻易被窃听。很难想象有多少应用依然在使用纯文本协议，即使在顶级的公司中间，也有一些还未使用加密。 许多应用在提升功能性的同时，却忽略了警告用户有关SSL证书的问题，使得用户根本无从防范周围不法分子的攻击。 当然，我们可以很容易地给出一些建议，像”不要使用涉及任何敏感信息的手机应用”，—但事实上却很难照做。如果你真的这样做了，你会感觉到好像活在了古代。下面，我将推荐一些较为保守的”疗法”： 只要有机会，就使用3G/4G服务代替公共场所的Wi-Fi； 总是选择有加密的Wi-Fi连接（WPA2）； 在移动设备上加强虚拟私人网络的使用； 在公共环境或不信任的网络中，避免进行像网银这样的敏感操作（所有网络都包括在内，除了正确配置的家庭和办公网络以外）

探究本周的新闻主题，包括#安卓#勒索软件、一个严重的@TweetDeck bug等。 本周的新闻内容丰富，安卓系统上出现了史上首个加密勒索软件，短暂存在于TweetDeck的严重漏洞，对苹果即将发布的iOS 8的一睹为快，以及可能会泄露Gmail用户地址的缺陷等等。 安卓加密勒索软件 上周，一些有关一个对安卓设备内容进行加密的勒索软件的报道开始浮出水面。本周，卡巴斯基实验室专家Roman Unuchek对此类中的首个手机恶意软件Pletor进行了说明。 Pletor是在大约一个月前被发现的，并且在这一期间已经传播到了13个国家。该款恶意软件已经感染了超过2,000台机器—主要分布在俄罗斯和乌克兰—另外，在欧洲其他国家和亚洲国家也出现了类似的案例。报道称，受感染高峰时间是在5月22日，整个一天有500台机器被感染。这一木马病毒在地下存在非法交易，售价高达5000美元。 若您的智能手机感染了[Pletor]，我们建议您不要向不法分子付款，”Unuchek说道。”我们见到的所有版本的木马病毒都含有钥匙，可用于解密受影响的文件。” Pletor可感染访问虚假色情网站的设备。木马病毒在这些网站上伪装成观看视频所需的媒体播放器。另外，Pletor正在向游戏和其它安卓应用以及俄罗斯手机论坛蔓延。 “若您的智能手机感染了[Pletor]，我们建议你不要向不法分子付款，”Unuchek说道。”我们见到的所有版本的木马病毒都含有钥匙，可用于解密受影响的文件。” TweetDeck Fiasco 昨天，我们报道了一个存在于TweetDeck的严重安全漏洞。攻击者能够借用用户账户，发推、删除推文或破坏账户。推特非常及时地为这一问题提供了补丁。所以，用户无需担忧。但是，如果你使用该服务的话，如果能更改推特和TweetDeck的密码，则更有安全保障了。如果您遵照我们昨天的建议，撤消了对TweetDeck应用的访问，则重新使用TweetDeck并授权访问您的推特账号应该不会出现什么问题。 有趣的是，昨天出现的TweetDeck问题再次出现，起因是一名澳大利亚少年和本应不该出现在他的Twitter feed上的Unicode heart。访问Threatpost，查看全文。 MAC地址随机化 苹果为果粉们准备了惊喜，在苹果全球开发者大会上揭开了即将发布的iOS 8手机操作系统的真正面纱。此次所发布的iOS 8在原有IOS应用开发环境基础上进行大量的重建，你可以再这里阅读我们对IOS 8看法的完全分析。IOS 8最大的变化苹果决定在接入无线网络时，将媒体访问控制地质随机化。MAC地址是唯一的标识。众所周知，零售商和网络运营商通过追踪MAC地址，了解更多的用户行为。在iOS 8操作系统内，苹果设备在被无线网络扫描时，将生成随机的MAC地址。这一技术举措将悄悄地使零售商无法再追踪店内客户活动和其它行为。 Feedly你在哪儿? 就在昨天，分布式拒绝服务攻击（DDoS）昨天使新闻手机服务应用Feedly及笔记和归档平台Evernote（离线版）陷入瘫痪。Evernote迅速从DDoS攻击中恢复过来，目前用户已经能正常使用了。但不幸的是，截止星期四下午，Feedly依然无法正常运行。 Feedly在星期三下午曾短时间地恢复正常，但其后在受到另一波DDoS攻击后，又很快地陷入瘫痪。 继续注意垃圾邮件 Google在本周早些时候对其服务内的一个非常严重漏洞打了补丁，并封住了一个可能泄露未知数量Gmail用户账户的漏洞。一些报告估计，可能所有账户地址均难以幸免。您可以再Threatpost上了解到此次攻击的技术细节。在未来数天，甚至数周，您应该特别小心垃圾邮件，一旦有人利用了这一bug，Gmail邮箱地址将难以幸免。 其它新闻

苹果公司为其手机操作系统推出了全新软件更新—iOS 8—几乎同一时间，其主要竞争对手三星公司则正式确认将推广基于全新Tizen操作系统的设备。与此同时，Google及其安卓系统方面则几乎没有什么动静。尽管Google这一手机系统巨人没有出现在头版头条的位置，但在这里，我们依然有许多可以谈论的话题。 苹果的最新iOS操作系统 IOS 8最为显著的变化，似乎是更加开放和更具客制化了。完全出乎意料，苹果竟决定允许第三方开发者（i）替换苹果手机屏幕上标准的输入键；（ii）使用Touch ID界面；（iii）将他们的窗口小部件与消息中心相结合；（iv）扩展应用（包括针对某些家庭和医疗应用开发者的整个应用程序接口）间交换的数据类型，等等。 所有这些迟早会发生的。毕竟，与全球开发者社区在操作系统开发方面进行竞争太过艰难。唯一的出路则是变得更加灵活。您等着看好了：两三年后，Safari可能将失去其作为默认浏览器的垄断地位。 这并不是我的凭空想象 – 因为谁又曾料想过手机需要外置键盘呢？ 在果粉一贯疯狂的支持下，反对声音似乎寥寥无几，更不用说各种类型的有趣素材迅速成为了人们热议的话题。 事例：至顶网率先公布了全新功能对安全方面影响的分析—攻击面将增大。Ars Technica也迅速发布了IOS 8新功能与安卓系统各功能之间的比较文章，抓住了那些始终对苹果创新抱有强烈怀疑态度的读者的眼球。尽管增加众多的功能，但情况依然没有什么改变，乔布斯的忠实粉丝们对此根本不屑一顾，”如果乔布斯还在的话，他根本不会这么设计!” 那么，让我们来看看苹果是如何保持IOS一贯的安全性的。软件的预调节系统将被保留，但是对于苹果应用来说，依然有更多在恶意功能方面保持优势。新的Swift编程语言似乎防止了大量开发者在应用软件开发初期所犯的错误。不过，Swift将不是唯一强制性的开发环境（招聘启事：’寻找至少具有三年经验的Swift程序员’）。我仍支持尤金•卡巴斯基的意见，即苹果仍需要改变其维护安全性的方法。 Tizen Tizen.。Tizen？ 到底谁是Tizen（中文叫”泰泽”）？！对于那些知道维基百科的人来说，答案太简单了，Tizen就是安卓的”半个兄弟”，它的”继父”就是Linux或类似的系统。 我仍然不清楚开发这一操作系统的具体技术原因。我的意思是：这操作系统中的哪些功能是安卓系统所没有的？似乎他们开发的目的只是： 减少对Google的依赖; 获得最大量的数据量、流量和其它有价值的有关用户的非人性化信息； 是为了在选择目标和实现目标方面更自由一些。另一方面，Tizen将不仅能解决安卓储存残片的问题（阅读：存在于大量的版本中），还将继承所有集体创造力项目的全部先天缺陷 – 每位参与者将会设法分得最大的”一块蛋糕”（Tizen的主赞助商竟已达10家）。 更加自相矛盾的是三星目前的定位。三星拥有自己独家研发的Bada操作系统，该系统推出后一路顺风顺水（2012年，该系统一举超越了Windows系统手机的普及度），且很容易在此基础上创建生态系统。与苹果系统极为相似，只是没有苹果系统的缺陷。目前，三星似乎已另起炉灶，（包括将重心向新的Tizen应用商店转移以及花费数百万来激励开发者），而现在三星将不得不面临众多的竞争对手！ Tizen是安卓系统终结的开始吗？Tizen是否会将安卓挤出其赞助商的设备？ Tizen是安卓系统终结的开始吗？Tizen是否会将安卓挤出其赞助商的设备？ 答案可能是否定的。 Tizen最有可能只是在家用电器领域实现突破，在这一领域，产品更倾向于稳定发展而非跳跃式的发展， 且低储存碎片和自身开发平台的可行性是这一领域的主要特点。开源代码能够实现广泛的漏洞检查，这对用户极为有利（若三星公司能够快速提供补丁）。

本周值得关注的新闻有：僵尸网络被联合行动捣毁；已遭破坏的OpenSSL加密库再曝漏洞；Google海量数据存储加密方面的新闻让人颇受鼓舞，但仍问题重重；昨天是爱德华•斯诺登事件曝光一周年。 一周#安全和#隐私要闻，作者@TheBrianDonohue。 Gameover僵尸网络 美国和欧洲执法机构联手捣毁了Gameover僵尸网络。僵尸网络是一种被恶意软件感染的计算机所构成的网络，计算机被感染后即成为帮凶，加入传播大军，在用户毫不知情的情况被利用于违法目的。Gameover用于散布Zeus宙斯木马，一旦植入此病毒后，即可实施网络欺诈计划，其中涉及窃取被感染用户计算机的财务凭证，将用户账户中的资金转入黑客所控制的账户。此外，Gameover最近还被用于散布臭名昭著的Cryptolocker勒索软件。 捣毁僵尸网络要求执法机构（有时会与私人公司联手行动）夺取对分发恶意软件的服务器的控制权，此服务器被称为命令控制服务器（C&C）。接管僵尸网络的行为就其本质来说，有时也被称为”sinkholing”技术。许多散布很广的僵尸网络都是通过这种方式捣毁的。针对这种情况，犯罪分子逐渐迁移到更有弹性的对等僵尸网络基础架构。此举实质上意味着命令控制服务器会在僵尸网络本身未知数量的机器上共享。 简言之，捣毁对等僵尸网络需要执法机构监视并了解其通信基础架构。一旦掌握了僵尸网络的通信方式，即可以着手复制其结构并控制僵尸网络。夺取了僵尸网络的控制权后，即能使僵尸网络停止运行。 要了解Gameover被捣毁所造成影响的精彩解读，请阅读卡巴斯基实验室全球研究与分析团队成员David Emm的讲解。 OpenSSL 新发现的OpenSSL漏洞非常严重，但严重程度和波及的系统范围略逊于Heartbleed。 Heartleed漏洞带来的伤痛还记忆犹新，昨天新闻中又曝出OpenSSL存在另一个严重漏洞。OpenSSL是互联网上大量用户使用的加密实施服务，这次新发现的OpenSSL漏洞非常严重，但严重程度和波及的系统范围略逊于Heartbleed。加密是指一种数学算法，用于保护用户在网上和计算机上所执行的操作、交谈和存储内容的安全。如果您觉得这种解释过于简单，请阅读哈希算法说明，更好地了解其工作原理。不管怎样，新漏洞是可通过远程方式加以利用，这意味着黑客在舒适的家里（或者连到互联网的任何位置）就能够利用此漏洞向不知情的用户发起攻击。黑客成功利用此漏洞入侵后，可拦截被入侵客户端与服务器之间的流量并进行解密。 利用此漏洞执行的攻击并不都这么简单（事实上，黑客很可能并不是在自己舒适的家里发起攻击的，但我想说明的是”可通过远程方式攻击”这个术语）。攻击者需要相对其目标处于”中间人”位置。顾名思义，中间人攻击是指：攻击者自身或利用工具插入用户和重要资源（例如，银行网站或电子邮件账户）之间。最简单的做法是监视流出不安全Wi-Fi网络的流量，这类Wi-Fi网络有许多是我们所有人几乎每天都会用到的。另外还有数十种其他方法可用来执行中间人攻击，您可以通过上面的链接了解相关信息。 发现此漏洞代码段的研究人员表示，此漏洞似乎从1998年开始就一直存在，几乎从未更改过。 端到端 昨天，Google发布了Gmail流量中在传输中被加密（例如，离开Google系统后）的流量所占比例。部分数据相当不错。搜索巨头Google发现，从Gmail发出的电子邮件中，大约69%经过加密，而Gmail收到的邮件中经过加密的占48%。这一比例相对于前几年已经有了大幅上升。 Google会对其服务器上的所有数据进行加密，所以上述研究结果反映的是其他服务对Gmail通信离开Google控制范围后的加密情况。在这里我有意轻描谈写，因为我们计划专门写一系列文章，具体探讨全球哪些服务在改进加密传输中的数据，哪些服务对此无动于衷。请继续关注我们接下来几周的博客。 Google还宣布开发出了一种工具，将用于加密所有流出Chrome浏览器的数据，这应该能帮助解决上面谈到的部分问题。我们对此工具的工作方式充满好奇。同样，请继续关注我们的博客，未来我们将就此发布相关文章。 “重置网络”行动 我们曾在每月安全新闻播客中提到过，6月5日是重置网络行动日。此项行动设定为斯诺登首次曝光美国国安局大规模监控项目周年纪念日并不是巧合，此行动的目的就是为了通过向日常网络用户提供高强度的安全和隐私工具，抵制政府监控行为。在此用户可以找到一些使用方便、几乎适用于任何操作系统的工具。请尽情享用这些工具，使用心得可以通过下面的评论部分与我们分享。

由香港城市大学主办的南极探索之旅展览于2014年5月24日至6月14日在香港邵逸夫创意媒体中心举行。本次展览共展出了13个新媒体艺术作品，采用了包括流动游戏应用程式、立体全感环境，动态雕塑等技术协助参观者了解气候转变与可持续的解决方案。学生们展示了包括群落、冰川、冰山、风场、植物生长，动物行为等各种南极研究课题的研究成果。卡巴斯基实验室非常荣幸地赞助了此次南极探索活动。来自卡巴斯基实验室亚太区市场总监钟玉兰女士出席了展览會开幕式并接受了由香港城市大学校长郭位先生颁发的大会纪念品。 开幕式上，钟玉兰女士与学生交流时说道：”今天能够与大家一起见证这段奇妙且充满挑战的南极之旅，并分享你们近一年的努力成果，我们感到无比地荣幸并为你们感到骄傲。希望学生们在以后的学习和工作中继续保持这份勇于探索的精神，不断进步，迎接挑战。卡巴斯基也会一如既往地支持教育事业，支持创新。” 2013年12月13日，香港城市大学的多个学系包括艺术、工商管理、工程、自然科学，社会科学的23名学生组成跨学科小组，远赴火地岛及南极极寒之地，展开实地调研活动。探索团队先乘飞机飞往布宜诺斯艾利斯，然后转往位于阿根廷的火地岛首府乌斯怀亚。在旅途中，同学深入安第斯山脉，扒独木舟穿越密林中的河川，探索并研究当地独特的生态系统。 同学们其后登上Akademik Loffe号，乘坐这艘服役已25年的知名科研考察船，前往南极。为研究水下传音而设计的Loffe于1989年建成，船上的全体船员皆来自俄罗斯，可说是俄罗斯舰队的骄傲。 探险队员从周遭环境收集大量数据，在之后的展览中转化成咨询图像以及雕塑装置。 在船上，南极探索队与香港唯一的沟通方式，是每日一次的集体发送纯文字电邮。往往一个电邮就凝缩了整个队伍的情感。 欲浏览更多有关此次《凝静之景：南极探索之旅》展览的介绍和图片，可点击此处。

新的研究表明，销售点终端机的安全性不佳，易受日益复杂威胁的攻击；本月第二个星期二是补丁日，所有常用软件供应商都将在这天提供安全补丁；美国热门的短网址服务商Bitly承认受到不明攻击，用户数据外泄。 POS机 销售端（简称POS机）只是收银机的另一种叫法。当然，我们在此没打算讨论旧式的那种”叮叮”作响的收银机。我们要谈的是能够存储并传输付款信息的联网电子销售终端。目前，几乎所有零售场所或餐厅都安装有POS系统，支持客户直接刷借记卡或信用卡。但遗憾的是，最新的报告发现，众多用户常用于付费的POS系统正受到大量日趋复杂的攻击。更糟糕的是，其中多数POS系统在安全防御方面差强人意。 实际上出人意料的还不止于此，想想吧，在一台有漏洞的POS机上处理过一笔交易后，交易中涉及的任何信用卡或借记卡的全部相关付款信息都可能会泄露。 Bitly本周受到攻击导致数据外泄，该公司敦促用户更改密码。POS机系统安全堪忧。在周二补丁日，微软发布了多个补丁。 最近，网络监测公司Arbor Networks发布的一份报告中，列出了至少五个专用于攻击POS系统不同恶意软件。此外，Verizon发布的《数据泄露调查报告》指出，2013年发生的不同POS机入侵事件达198起。另外还有大家知道的，近期Target、美国精品百货店内曼•马库斯（Neiman Marcus）、美国最大的工艺品连锁店Michael’s及其他零售商频频受到的攻击全部属于POS攻击，都导致了大量消费者数据外泄。 对此，你能做些什么呢？你可能会毁了所有信用卡和借记卡，在这次波及整个”互联网”的风波过去之前只用现金付费。但这是非常极端的做法。您应该采取的行动是关注相关新闻，一旦知道光顾过的公司发生数据外泄事件，即刻采取相应行动。您需要检查信用卡或借记卡余额，确保没有可疑交易，也可以联系银行取消所有可能资料外泄的卡，并换用新卡。 Bitly被攻击 美国受欢迎的短网址服务商Bitly上周晚些时候受到攻击，导致数据外泄。如果你持有或之前有过Bitly帐户，应该考虑帐户密码很可能外泄。该公司认为用户的帐户并没有危险，但尽管如此，公司仍敦促客户更改密码。Bitly还宣布说，为了防范日后再发生此类数据泄露事件，公司将实施双重认证。 我也同样希望持有Bitly帐户的用户赶紧更改密码。如果碰巧对其他帐户也用了同一密码，则这些帐户的密码也须一并更改。这就是为什么我一直告诫说不要多个帐户使用同一密码。 最后要指出的是，Bitly支持用户通过Facebook和Twitter帐户链接到Bitly帐户。这种做法存在一定问题 － 入侵了Bitly帐户的攻击者很可能会入侵相应的社交帐户。对此Bitly非常明智地将所有相关连接设定无效。如果要重新连接帐户，用户得重新对这些连接进行认证。但麻烦的是，用户还须更改曾通过Bitly链接的所有社交帐户的密码。 另请确保微软和Adobe软件以及Chrome浏览器全部升级到最新版本。 周二补丁日 简要地说，本周就是周二补丁日，Adobe和微软都为自己用途广泛的产品发布了补丁，同时发布补丁的还有Google Chrome。微软发布了8个安全公告，其中有两个的安全等级属于”高危”，这8个补丁修复了Internet Explorer网络浏览器中的13个安全漏洞，同时还修复了其他微软软件中的多个漏洞。Adobe修复了Reader、Acrobat和Flash Player中的一些严重漏洞。Google则修复了Chrome浏览器中3个高安全等级的漏洞（Google为发现并报告这些漏洞的研究人员支付了4500美元）。 就我们讨论的这个话题，用户几乎不可能对其专业细节穷根究底，所以在此我们不妨提一下，Linux内核中有5年历史的漏洞已发布补丁，另外部分日本横河电机的工业基础设施设备也有若干补丁发布。 另请确保微软和Adobe软件以及Chrome浏览器全部升级到最新版本。此外，还应检查日本横河系统和Linux发行版，确定是否未更新。

OpenSSL Heartbleed bug终于不再是本周的头条新闻。我在撰写本文时已近下午3点，但到目前为止我一整天都没看到过一篇关于Heartbleed bug的文章，真让人惊奇。但别担心，不谈Heartbleed，我们还有很多其他内容要讨论： 零日漏洞 本周早些时候，卡巴斯基实验室宣布发现Adobe Flash Player中存在零日漏洞。说来也奇怪，卡巴斯基发现这种漏洞的工具正是用于发现新恶意程序样本的工具。零日漏洞被发现时，已经通过一种叫做”水坑攻击”的威胁肆虐于叙利亚地区。水坑作为一种有针对性的攻击，攻击者侵入攻击对象可能会访问的合法网站，在其中植入恶意程序，当用户访问这些网站时，就会被恶意程序感染。Adobe已经针对这种漏洞提供相应的补丁，所以请尽快安装Adobe公司发布的所有更新。 微软的Internet Explorer浏览器也同样存在零日漏洞问题。在此我不打算深究此漏洞的技术细节。但我想说的是零日漏洞被广泛利用，能针对各种目标发起攻击；显而易见，确保安装微软称之为”Out of Band”的紧急安全补丁十分重要。此类补丁是指微软在每月固定的周二补丁日以外的时间发布的补丁。如果漏洞收到out-of-band补丁，这通常表明这是一个严重漏洞。 微软Internet Explorer浏览器和Adobe Flash Player零日漏洞取代OpenSSL Heartbleed登上本周安全要闻头条，成为主要讨论话题。 本已封刀退隐，无奈重陷江湖 关于周二补丁日：还记得本月早些时候我们曾讨论过不再向Windows XP发送安全补丁吗？但我们错了（至少从技术角度来说是这样）。因为上述Internet Explorer零日漏洞主动有针对性攻击的目标主要是Windows XP系统，微软心一软，也发送了针对XP用户的Internet Explorer发送out-of-band补丁。 又见AOL！ 最近，大量AOL电子邮件用户遇到了麻烦，他们发现自己的帐户被用于向自己联系人列表中的用户发送垃圾邮件。我们曾在上周的新闻回顾中讨论过这个问题。对此AOL声称，这完全属于”电子欺骗”攻击的内容。他们表示，此问题没有任何危害，只是看起来好像电子邮件是来自AOL用户电子邮件帐户。实际上，该公司在最初的声明中就表示过，电子邮件发件人只是使其看上去仿佛电子邮件是来自AOL用户电子邮件帐户。 如果我没记错，上周我们曾谈到AOL对事件的解释让人匪夷所思，因为事实上电子欺骗行为可能仍在继续，这没法解释攻击者是怎么搞到所有这些联系人列表的。可以肯定的是，本周AOL承认，已向用户发送通知，敦促用户更改密码。所以，如果您使用的是AOL帐户，那么最好更改密码。 Facebook和隐私 Facebook宣布推出一款全新的功能，名叫匿名登录。Facebook创始人马克•扎克伯格昨天在公司的F8会议上对开发人员说，”匿名登录”将允许用户使用Facebook帐户登录到第三方应用，而无需使用自己的Facebook凭证，也不必与第三方共享个人信息。 “这一功能的理念是，你不希望应用获知你的身份，但又想感受简化的登录体验，那么利用此功能可免去繁琐的表格填写工作，”扎克伯格说。”它能让你放心大胆地试用应用。” “匿名登录”目前为Beta测试版，只适用于某些应用；例如，Flipboard就是首批适用的应用之一。登录时，Facebook用户可以选择使用自己的Facebook凭证登录应用，也可以选择使用”匿名登录”来试用应用。”匿名登录”本身采用黑色屏幕，而不是Facebook惯常的蓝色，通过”匿名登录”，用户能够避免与外部应用共享已经与Facebook共享的任何数据。

在本周的新闻中，我们仍将讨论OpenSSL和目前令人厌恶的Heartbleed bug；苹果在其移动iOS系统和标准的OSX系统中解决了加密问题；AOL及其客户遭受了一起严重的安全事故；爱荷华州立大学遭到黑客攻击，攻击者试图利用大学的计算资源来挖掘比特币。 “传奇”仍在继续 关于OpenSSL Heartbleed bug影响范围和严重程度方面的讨论一如既往的热烈。其中大多数讨论围绕着数字证书系统的长期前景展开，而数字证书系统则基本涵盖了互联网信任以及加密的功效和所遇到的陷阱。 不过，本周的情况有所不同，至少是与之前几周稍有不同，因为这似乎是公司首次真正开始寻找方法来避免这些bug再次出现。 美国首次出现基于安卓系统的短信木马；追踪OpenSSL Heartbleed病毒的最新消息；苹果修复iOS和OSX系统内漏洞；AOL遭受黑客攻击；以及爱荷华州立大学比特币”挖矿事件”。 一种名为核心基础设施倡议的新协作计划正在汇集资源，以筹集数百万资金，专门用来支持对于Web安全至关重要的开源项目。OpenSSL是第一个作为资金服务对象来考虑的项目，目前主要由Linux基金会、微软、Facebook、亚马逊、戴尔、谷歌以及其他一些著名的高科技公司为此协作计划提供资金。Mozilla公司也正在作出反应，利用高达1万美元的特殊漏洞赏金计划来奖励这样的研究人员：能够在新证书验证库（准备在今年夏天添加到Firefox浏览器的31版本）中发现严重安全漏洞。 苹果修复iOS和OSX系统内的SSL漏洞 在一个类似但完全不相关的说明中，苹果针对在iOS和OSX众多版本中存在的一个严重安全缺陷发布了修复补丁。该漏洞可能使攻击者能够从被认为加密的SSL连接中截取数据。换句话说，这一bug可能会使得攻击者读取消息的内容——无论是短信还是其他敏感信息。 这一bug是苹果公司于周二在其两个主要操作系统中修复的众多bug之一。虽然可能不是很严重，但这些加密漏洞会造成别的后果。因此，如果您正在使用任意一款Mac产品，则建议您前往App Store，尽快安装苹果操作系统更新。 一贯安静的AOL成为了关注焦点 这些天所发生的事情让我对AOL的email供应商市场份额产生了怀疑（相信我，我看过），但是本周确实有数量未知的AOL邮箱用户账号遭到”欺骗”。这些账号一旦被盗，攻击者们或僵尸网络就会开始向被盗用账号上的联系人发送大量垃圾邮件。AOL已证实意识到这是一起黑客事件（尽管AOL并没有称之为”黑客攻击”），但目前尚不清楚有多少用户账号受到影响，也不清楚到底发了多少垃圾邮件。令人奇怪的是，AOL声称邮箱账号被盗可能性不大，并表示这些账号受到愚弄的可能性更大。 正如AOL所提到的，欺骗攻击的方式主要是发送垃圾邮件，这些邮件看似是来自受害者邮箱，但从技术角度来看实则来自攻击者的邮箱账号，并通过攻击者的服务器发送。换句话说，AOL表示没有账号受到大规模的入侵，只不过是攻击者模拟了受害者的账号。这一辩解显然无法解释攻击者如何获得受害者的联系人列表，这意味着随着时间的推移，将有更多的账号被攻击。 美国短信木马 收费短信木马并不是什么新鲜事物。整个诈骗过程是这样的：攻击者强迫受害人将木马下载到自己的移动设备上。木马获得在受感染设备上发送短消息（文本）的能力。之后木马发送短消息到收费服务，该服务或者由攻击人控制，或者由向攻击方付款的一方来控制。之后这些消息的费用将由受感染设备的所有者来支付。 正如我所说的，此类花招已存在多年了。奇怪的是，由于未知的原因，短信木马从未真正在美国散播开来。本周早些时候这一情况发生了改变，我们在Securelist上的朋友发现一个在安卓系统上的木马正在作恶。 似乎仅仅作为首例针对美国安卓用户的收费短信木马还不满足，这款名为”FakeInst”的短信木马还将攻击目标锁定在了其他65个国家的安卓用户。事实上， FakeInst还将来自德国、法国、芬兰、香港、乌克兰、英国、瑞士、阿根廷、西班牙、波兰、加拿大、中国以及更多国家的用户锁定为攻击目标。 黑客入侵爱荷华州立大学的目的是… 比特币！？ 你看的没错。美国一所知名的州立大学遭到黑客入侵，其学校计算能力被用于生产比特币。比特币作为一种数字加密货币，其过去一年中的价格起伏不定。如果你有充足的计算机能力，就可使用这一能力来解决算法问题并生成新的比特币。这个过程被称为”挖矿”，在此过程中可赚取大量资金。与所有的网络犯罪类似，所做的一切都是为了追逐金钱。恶意挖矿并不是什么新伎俩，但这一事件让让人感觉新奇的是犯罪分子尽然将目标转到一所知名高校的计算能力上。这还不是全部，该起黑客事件似乎还造成多达3万名爱荷华州立大学学生社会保险号的泄露。

来见见我们的新员工 – 绿色大象。更正式的叫法是”凯旋的大象”（akaEléphant de triomphe），它是西班牙超现实主义雕塑家萨尔瓦多•达利的原创作品。卡巴斯基实验室在今年2月份就买下了它，但却用了两个月的时间才从伦敦运到莫斯科，因为进口一件艺术品牵涉到多种问题。 最终我们克服了所有波折，大象终于成功站在了卡巴斯基莫斯科办公大厅（当然，它也别无选择），在这里任何人都能欣赏到这件设计作品。 这尊大象雕塑结构高挑，高265 cm（8.6英尺），参观者绝不会错过有着纤细长腿的大象，也不会漏掉大象背上一个吹喇叭的金色天使。请见下图： 您可能会好奇，人们弯着腰在基座旁干什么；他们是在与基座上所刻铭文”4/8″合影： 见见我们的新员工 – 大象。我不是在开玩笑！站立在莫斯科办公大厅的这座萨瓦尔多•达利的著名雕塑将鼓舞卡巴斯基团队的士气。 我们的大象雕塑是达利铸造出售的”大象”系列作品中的第4号作品。另外六头大象则被艺术家收藏或用作私人用途（在此艺术批评家们突然转用法语进行评论：épreuves d’artiste和épreuves de fonderie）。大象用青铜铸成，但表面通过锈蚀反应呈现出翠绿色，这与卡巴斯基实验室采用的卡巴斯基绿完美契合。此外，大象被达利用来象征未来（同时也象征着胜利和凯旋），所以卡巴斯基团队一定会把这座大象雕塑当作幸运符，鼓舞员工士气。 谈到鼓舞士气，我们的新朋友几乎在开箱安装过程中就已经散发出这种能量；看看围观的工作人员和拍照的人数（别忘了，这可是周六，几乎所有员工这个时候都应该在家里）： 当然，我们不可能因为好奇心去责怪别人，让大象在我们这里安家落户本身就是一项极具挑战性的工程任务。为了这次旅行，我们专门订做了木箱；在包装时，还安装了防倾和防碰撞探头，以作为额外的预防措施。木箱实际上是俄罗斯海关仓库中最大的一件货物，需要专门的装卸机器才能操作。除此之外，大象还差一点没法从办公室门口搬进来。 现在一切收拾妥当，大象也开始了在卡巴斯基的日常工作。来我们这儿亲眼看看吧！

更新：在上一篇有关此漏洞的文章中曾提到（引用了Github上的列表）HideMyAss网站用户受到Heartbleed漏洞的威胁。但该网站发言人与我们联系表示，他们的用户并未受此漏洞的影响，所以我们从受影响网站列表中删除了此网站。 更新2:专栏已更新受影响服务列表，这些服务官方推荐更改用户密码。 NPR（美国国家公共广播电台）主播David Green在早8点主持的《早间节目》中讨论安全漏洞话题后，人们都知道了安全漏洞是非常严重的问题。昨天早上的节目中又提到了此话题，这次是OpenSSL中的一种严重的加密漏洞，被戏称为”Heartbleed”（心滴血）。OpenSSL可能是互联网部署最广泛的加密库。如果您不是很清楚什么是OpenSSL，别担心，下面我会用500字左右的篇幅来尽量解释清楚整个原委。 与网站建立起加密连接后，数据都将使用SSL/TLS协议进行加密，不管你连接的Google、Facebook还是网银。许多流行的网络服务器利用开源OpenSSL库来执行此加密作业。本周早些时候，OpenSSL的维护人员针对一种严重漏洞发布了修订，此漏洞在实现TLS功能时出现，称为”Heartbeat”（心跳包），攻击者借助此漏洞可从服务器内存中读取多达64 KB的数据。 换句话说，如果保护机器的库是有漏洞的版本，那么互联网上的任何人都能通过该漏洞来读取机器内存。最坏的情况是这一块小小的内存中可能含有敏感数据 – 用户名、密码，甚至包括服务器用于加密连接的专用密钥。此外，利用Heartbleed漏洞不会留下痕迹，没有确定的方法来判断服务器是否被黑客入侵过，也无法断定哪类数据被盗。 好消息是OpenSSL修复了该漏洞。但坏消息是没有办法保证受Heartbleed漏洞影响的这些网站和服务实施补丁来减轻漏洞的影响。更多的坏消息是，该漏洞很明显能够被轻松利用，而且可能已存在长达两年时间。这意味着许多流行网站的安全证书已被盗，包括密码在内的敏感用户数据也很可能遭窃。 用户行动计划 更新：Mashable收集的清单列出了来自受影响网络服务的正式PR回复。为了节省阅读表格并检查证书（下面有更多检查相关内容）的时间，只需在以下所有站点上更改密码即可：Facebook、Instagram、Pinterest、Tumblr、Yahoo、AWS、Box、Dropbox、Github、IFFT、Minecraft、OKCupid、SoundCloud和Wunderlist。请对每个站点使用唯一密码！ 检查自己喜欢的站点是否有漏洞。有多种在线工具可检查是否存在漏洞，但你还需要知道之前是否有存在过。很幸运，你可以根据一个长长的流行网站列表来检查是否有漏洞。好消息是，PayPal和Google未受影响。坏消息是，Yahoo、Facebook、Flickr、Duckduckgo、LastPass、Redtube、OkCupid、500px及其他许多网站都存在漏洞。如果您在这些脆弱网站上有注册有帐户，请准备好随时行动。 立即检查网站是否有漏洞。有一个简单工具可用于此检查。 网站所有者修复漏洞后，还需要考虑重新发布网站证书。因此准备好监视服务器证书，并确保使用的是最新证书（4月8日或之后发布的证书）。为此，请启用浏览器中的证书撤销检查。下面举例说明了如何在Google Chrome设置中启用此项。 此项将阻止浏览器使用旧证书。要手动检查证书发布日期，请点击地址栏中的绿色锁图标，然后点击”连接”选项卡上的”信息”链接。 对服务器打补丁并更新证书后，最重要的一步是立即更改密码。此时可修改密码策略，并开始使用容易记忆而又安全的密码。您可以使用我们的密码检查程序来检查新密码是否安全。

在2001年10月25日这一天，微软公司推出了当时最新的操作系统解决方案： Windows XP。推出后仅三天的时间内，微软即售出了超过30万套 XP操作系统：该全新操作系统拥有众多出色性能，包括：改进的图像用户界面、集成化的CD刻录软件、适用于液晶显示器的ClearType字体平滑功能、图片和传真查看器、快速用户切换等一系列优点。同时，在这一全新系统下还包括一些革命性的改变：相比于Windows 95/98，XP的内核是基于更稳定和安全的企业级NT架构。在此后的10年中，稳定的内核加上改进后功能丰富的用户界面使得微软成为了最流行的操作系统。微软之前已将对XP的支持延长至12年而非通常的10年，在这期间还发布了3个主要补丁包对该操作系统进行显著的改进和升级。而长盛不衰的XP操作终于在今天，2014年4月8日走到了它”生命的尽头”。 寿终正寝？ 微软高管在今天宣布”不再提供扩展支持”让人有些始料不及，但这到底意味着什么？微软已有多年未给XP操作系统添加任何新的功能，而今天针对新发现漏洞和安全威胁所发布的最新补丁也已到期。当然你还是能够使用XP操作系统，但这些补丁将无法在未来起到任何作用，这意味着你的电脑将无法应对任何安全方面的威胁。这些因素将使你的个人电脑在运行时更容易感染病毒。 Windows XP将不会停止运行，但微软将不再协助解决任何安全问题。 XP-Apocalypse XP-Apocalypse（XP末日），又被称为XPocalypse和XPiration，这些词代表了一些专家的观点。他们预计仍旧坚持使用XP系统的许多企业系统和嵌入式解决方案将出现许许多多的问题。例如，作为ATM机制造商的NCR公司，其95%的ATM机依然使用的是XP系统，而仅有三分之一的ATM机转而试用更新的操作系统版本。 这些安装Windows XP机器设备的命运受到了高度的关注，因为它们的安全性将遭到严峻的威胁。就在微软计划于5月针对Windows 7/8升级发布全新漏洞补丁的同时，一些黑客很可能通过分析这一补丁并找到几种也可能适用于XP的bug，但由于XP系统将从此无法获得定期更新，因此极易受到攻击。考虑到这里点，黑客们将找到更新的方式潜入基于XP的系统。考虑到众多基于XP的机器设备通常用于控制ATM机，医疗器械、灯光辅助系统及诸如此类的解决方案，由黑客而引起的损失将难以估计。 企业XP支持服务年花费超500万美元。 与微软签署进一步技术支持协议的公司可能将幸免于难。目前尚未出台具体的相关价目表，但从目前的一些消息来看，公司每年所需为XP支持服务支付的费用大约在60万至500万美元之间。对于大多数公司来说，这一费用确实让他们有些难以承受。 一个时代的”终结”即将来临 Windows XP已发现的总漏洞数量大约在726个，仅2011年一年记录在册的就有101个。 有些人可能会抱怨，微软不再愿意为使用长达10年之久的旧操作系统进行更新，从而再提供5年的免费服务。而保持XP操作系统的安全变得越来越具挑战性，这并不仅仅是因为几个bug或漏洞：根据编程原理，XP当初的设计根本无法应对如今各式各样的网络威胁，这就导致XP更容易受到威胁和攻击。微软根据自己的调查显示，每1000个反病毒扫描系统中，就能检测出9台受病毒感染的XP系统电脑。这一数字分别是受感染Windows 7和Windows 8系统个人电脑的两倍和四倍。然后这并不令人吃惊，毕竟Windows 7和Windows 8系统是开发于黑客盛行的21世纪，在对这两个操作系统编程时显然将众多的黑客攻击问题考虑在内。即使打上专门强化安全性的补丁包，Windows XP依然不断遭受到威胁。在XP系统服务的这些年里，总共有726个漏洞被打上了补丁，从发售当年的10个飙升至2011年的101个。 与XP有关的方方面面 请勿将XP系统误认为是保守的解决方案，因为其仅适用于反对所有新开发产品的ATM和个人电脑顽固派。根据调研公司NetMarketshare的最新数据报告，有多达27%联网电脑依然使用XP操作系统。事实上这一数字相比去年减少了10%，但依然还有人坚持使用过时的XP系统，无论出于何种原因，接下来他们将面临困境，坦白说，是巨大的困境。那我们能为这些用户提供哪些建议呢？ 尽管微软不再对XP系统提供任何支持，但依然有多达27%的联网电脑坚持使用Windows XP。 没什么比升级换代更好的了，如果能够用上更新的和安全的操作系统，那就行动吧-是时候做出改变了；

本周要闻：首先出场的是微软公司，下周微软停止支持（终于停止了！）曾经无处不在、漏洞永无止境、部署范围超广的Windows XP系统。 本周发生的事件：我们获悉比特币的更多新闻；关于特斯拉S型车的安全问题；全球网络钓鱼游戏的深入洞察；苹果Safari浏览器修订；飞利浦智能电视中的漏洞等。 据路透社报告，美国德克萨斯州联邦法官已下令Mt. Gox公司首席执行官马克•卡佩勒斯（Mark Karpeles）赶赴美国，回答与比特币交易破产案有关的问题。Mt. Gox曾是世界上最大的比特币（数字加密货币）交易所，该公司在丢失客户价值4亿美元的比特币后于今年2月停业，并在美国申请破产保护。据报道，卡佩勒斯已向传唤其到庭的德克萨斯州法庭申请根据美国《破产法》第15章给予Mt.Gox破产保护，目的是为了让其美国客户在芝加哥联邦法院提起的集体诉讼不能再继续下去。德克萨斯州法官认为，如果卡佩莱斯希望寻求法庭的保护，那么必须亲自来到这里。 据Threatpost的同事Chris Brook报告，在受到大众欢迎的飞利浦智能电视中，支持互联网的某些型号含有漏洞，攻击者可能会借此漏洞访问电视机系统和配置文件中潜在和敏感信息，并能读取插入电视本身的U盘上的任何文件。如果用户碰巧就在这台电视机上浏览互联网，那么攻击者就能窃取cookie，并利用这些cookie来访问特定网站或网上帐户。这一问题与名叫Miracast的WiFi功能有关，这种功能默认情况下已通过预设的固定密码启用。通过此密码，处于电视WiFi适配器辐射范围内的任何人都能连到该电视，并访问电视中的许多功能。 Threatpost的另一位同事Dennis Fisher报告说，深受大众欢迎的高端全电子特斯拉S型汽车上针对移动应用部署了一种易受攻击的单因素验证系统，它允许用户对车门解锁以及执行其他更多功能。研究人员Nitesh Dhanjani发现，新车主在特斯拉网站上注册了帐户后，必须创建一个6位字符的密码。此密码将用于登录iPhone应用程序。该应用支持车主操纵门锁、悬架和制动系统以及天窗。其中真正的问题是对登录尝试次数没有限制；这意味着攻击者可以对相对较短的密码发起暴力破解攻击。在没有登录尝试次数限制的系统中，六位字符是很容易破解的。另外，我想提醒所有苹果用户，位于加州库比蒂诺的计算机巨头-苹果已发布了25个Safari浏览器安全漏洞修订。其中一些漏洞非常严重，所以如果还没有更新Safari浏览器，请尽快更新。 我们的朋友-Securelist的研究人员发布了2013年金融网络威胁黑幕研究报告的第一部分。第一部分密集分析了全球的网络钓鱼环境。简而言之，他们发现，2013年的所有网络钓鱼攻击中有31%针对的目标是金融机构。所有攻击中大约有22%涉及虚假银行网址，这一比例较上年2012年的研究翻了一番；2012年，只有11%的此类攻击是部署虚假银行网址。其中不到60%的网银钓鱼攻击利用的是25家国际银行品牌，其余40%利用的是1000多家银行品牌。最后，我推荐您阅读BBC的一篇新闻，它报告说加州圣地亚哥的一名五岁男童发现流行的XBOX Live在线游戏平台中有漏洞，他通过这一漏洞可以登录到他父亲的XBOX Live网络帐户。当时他输入的密码不对时，系统提示他重新输入密码。他随便按下了空格键，结果就像魔法一样，直接登录了。”我很紧张。我想[爸爸]会发现的，”Kristoffer告诉当地电视台KGTV。”我想有人会偷走Xbox。” BBC说，Kristoffer的父亲从事安保工作，他已经向微软报告了漏洞的详细情况。微软已修复此漏洞，并对Kristoffer的帮助表示了感谢。

上周对于我们这些以采写计算机安全新闻为业的人来说的确是漫长的一周。虽然这一周的新闻事件寥寥可数，但还是有一些值得关注的事件。 新闻概述如下：网络安全公司White Hat发布了内部网页浏览器，专注于安全性和隐私，可应用于Windows操作系统计算机；美国总统奥巴马要求美国国家安全局（NSA）终止搜集公民通话元数据；骗子以马来西亚航空370号失联客机为饵实施网络钓鱼骗局；微软再次曝出零日攻击漏洞。 Aviator浏览器 互联网安全性和隐私依然一如既往地成为了流行焦点，这在很大程度上要归功于去年美国国家安全局曝出他们有能力监控任何想要监控的人。然而，保护网络会话安全，尽可能确保这些会话私密是一项艰巨的工程，尤其是对于那些缺乏相关技术知识的用户，或更重要的是，根本无暇了解自己心爱浏览器的设置。 为此，White Hat Security的研究人员几个月前决定向公众发布Aviator浏览器（至少推出Mac版）。该款浏览器在公司内部已使用数年。本周早先时候，他们又发布了Windows版本，使得更多的用户能够使用到这款浏览器。 Aviator浏览器基于Chromium代码库构建，外观与Google的Chrome浏览器非常类似。但Aviator旨在优化用户隐私、安全性和匿名性。默认情况下，该浏览器不允许存在来自广告商的网络跟踪。DuckDuckGo是浏览器默认搜索引擎，它不会收集用户搜索历史记录，也不会以任何方式显示广告或跟踪用户。 总之，该浏览器并不是简单地靠大量流行的扩展程序来阻止广告（全球三大浏览器就是这样做的），而是根本就不与广告网络建立任何连接。这样不仅能阻止无处不在的企业跟踪，而且还能保护用户不接收潜在的恶意广告。该公司表示，所有这些附加的优点使得这款浏览器的运行速度比其他大多数浏览器都要快。 奥巴马要求停止搜集元数据 大约一年前，曝出美国国家安全局（NSA）通过手机或电脑收集和保存几乎所有人的通信元数据。所有这些秘密信息均是由NSA前雇员爱德华•斯诺登披露的，其中有大量内容是针对美国间谍装备的指控－ 对批量元数据搜集的披露吸引了美国公众最大的关注。这让人感到相当奇怪，一方面是因为两年前大多数人甚至不知道元数据为何物，另一方面当我们回顾过往，元数据搜集相对于NSA被曝出的其他一些事件来说，并不算太离谱。 虽然说进步总是好的，但显然，白宫方面决定希望终止该情报机构搜集和存储电话记录。在目前的系统下，NSA可存储五年的电话记录信息。根据新的规定，NSA绝对不能再存储元数据。元数据改为由各服务提供商保存，但要求服务提供商只能将此类信息存储18个月。 事实上，就在我写这篇文章时，白宫方面已向公众宣布其终止批量搜集元数据的计划；元数据搜集行为原本是根据《爱国者法案》第215款所允许的。 利用马航370失联航班的网络钓鱼 你可能知道，三周前，马来西亚航空公司的一架由吉隆坡飞往北京的航班离奇地与地面失去联系，导致机上200余名乘客下落不明。截止本文写作时，已确定该航班失事。目前，还没有确切的证据能证明该航班的下落，除此之外，其很可能坠毁于印度洋某处。 和其他神秘事件和令人费解的失踪一样，马航370航班（虽然失踪航班最后的结果往往是可怕的失事）也催生了一大堆令人啼笑皆非的荒谬说法，其中许多被无耻的媒体持续报道。 同样无耻的是（你可能没那么吃惊，因为我们现在讨论的就是犯罪分子，而不是那些被称为记者的家伙），黑客组织也在互联网上以马航370失联班机为诱饵，盗取信息，骗取钱财。 大量社交媒体点击欺诈争相出现，纷纷表示已经找到马航370客机。用户会看到提示，要求点击链接才能了解新闻内容。这种老式的链接钓鱼欺诈几乎会在任何时间以任何事件为饵弹出，以吸引公众注意（名流身故、国际体育赛事、自然灾害等等）。然而，除此之外还有更复杂、更有针对性的鱼叉式网路钓鱼活动，在此类活动中，攻击者向美国和亚太区政府官员散播与航班相关的电子邮件，其中含有恶意附件。 Microsoft Word零日漏洞 最后一条新闻：本周一，科技巨头微软公司在其Technet博客上宣布，发现Microsoft Word 2010零日漏洞，将成为黑客针对性攻击的目标。虽然发现的攻击目标是Microsoft Word 2010，但该公司表示Word 2003、2007、2013和2013RT，Office for Mac,