隐私

2015年2月19日，联想笔记本电脑搭载预装了被称为”Superfish”广告软件的硬盘的事件遭到曝光，而两大主要问题也随之而来。 其一，在2014年9月到2015年2月这几个月内，联想指定的硬件制造商持续将预装了广告软件的硬盘装载到消费笔记本电脑内。 其二，则与Superfish的运行行为有关。该广告软件能够生成自签名证书，可能允许恶意第三方拦截SSL/TLS连接，更简单地说，就是在网页浏览器会话内添加“https”链接。 现在，让我们通过观察Superfish的实际行为来更详细地剖析第二个问题。 下方是通过IE浏览器访问的一家网上银行网站的截图，并且使用的是一台没有安装任何广告软件的干净PC电脑。点击锁定图标，显示的是SSL证书的信息： SSL证书由CA证书授权中心签发，确保网站的归属性。比如，VeriSign作为SSL证书的签发机构保证了”Japan xxxx BANK Co,Ltd.”的真实身份。该证书还被用于对加密会话上的用户ID或密码进行加密。因此连接的安全性得以通过这一方式得到保证。 第二个截图显示的是同一家网站。但这次却使用了已感染Superfish广告软件PC电脑上的IE浏览器访问。点击后清楚显示”Superfish”取代”VeriSign”成为了SSL证书的签发机构。 为什么会有这样的变化？原因在于Superfish在其软件上拥有自己的CA证书授权中心。这使其能够劫持用户的网页会话、生成自签证书并在使用后建立SSL连接。不幸的是，网页浏览器将Superfish生成的证书当作合法证书对待。因此，CA证书授权中心变成了Superfish，而不再是VeriSign。 此外，生成证书的私人密钥被包含在了软件内，任何人都可以随意获取。而密钥的密码已被外泄到互联网上。一旦密钥-密码匹配成功，任何怀有不良企图的人都可以拦截通过加密连接传输的数据，或直接注入恶意代码。最糟糕的情形是来自网上银行网站的网页会话内的数据被窃取。 因此我们强烈建议预装了Superfish广告软件的联想笔记本电脑用户将名为”Superfish Inc. Visual Discovery” 的软件（在Windows控制版面内卸载）和Superfish证书（从受信任的Root认证机构清单中删除）全部清除。 卡巴斯基安全产品能帮助您识别笔记本电脑是否已受到Superfish广告软件的感染。我们的产品完全能删除并未识别为病毒的广告软件：AdWare.Win32.Superfish.b。 此外，联想也在其安全公告（LEN-2015-101）内提供了自动删除Superfish工具的下载。

最近，有关物联网的话题在IT业界火热讨论中。一下子好像所有东西都应该被联网：冰箱、咖啡机、电视机、微波炉、健身智能手环以及无人飞机。但这些东西也仅仅也只是冰山的一角。 物联网是因为在线社区网络的独特性才得以获得如此高的关注度，而一旦有消费性电子产品加入物联网必定会遭到媒体连篇累牍的报道。但在现实生活中，加入物联网的不仅仅只是家用电器。 有大批家用电器可能会被联网–其中有一些 – 联网根本毫无必要。大部分消费者几乎很少能想到一旦智能连接的家用电器遭黑客攻击的话，其危害程度远胜于个人电脑。 在《卡巴斯基每日中文博客》中我们定期会刊登有关一些让人意想不到的存在漏洞连接设备的文章。而David Jacobi在各大信息安全会议上所发表的关于他如何黑客入侵自己智能家庭的风趣演讲，一如既往给现场观众带来欢笑声以及随之而来佩服的掌声。 来自Laconicly公司的Billy Rios也带来了另一个有关黑客入侵洗车场的生动有趣的例子。洗车场。大家都知道，使用巨大刷子和泡沫洗车的地方。如今的洗车场也拥有了联网的智能控制系统，因而易于遭受远程黑客入侵。 一旦成功入侵，黑客就能获得有关洗车场运行各个方面的全方位控制。网络犯罪分子几乎可以为所欲为，包括获得免费服务。其原因在于车主账户有权访问多种工具，其中就包括支付系统。黑客通过获取出入口的控制权从而控制在洗车场内清洗的整辆汽车。此外，这还可能会破坏洗车场或损毁车辆，原因在于洗车设施内装备有大量移动组件和功率强大的发动机。 还有什么别的东西可以黑客入侵的吗？当然，只要你想得到的都可以！例如，在2015年安全分析专家峰会（SAS 2015）上，来自卡巴斯基实验室的安全专家Vasilis Hiuorios就报告了他对于警方监视系统的黑客入侵。而警方原以为定向天线足以确保通讯的安全。 如果说警方也如此粗心大意任由黑客入侵他们的网络和设备的话，那联网器件制造厂商的安全意识更令人担忧。来自卡巴斯基的另一名专家Roman Unuchek也在SAS 2015峰会上展示了如何对一款健身智能手环黑客入侵：在一连串的简单操作后，任何人都可以与健身智能手环相连，并下载有关手环所有者位置跟踪的信息。 总而言之，问题的关键在于那些开发和生产联网家用电器的厂商所面对的是一无所知的全新世界。他们最终发现自己面临的形势就好比是篮球运动员参加象棋比赛，而且对面坐着的对手却是一名名副其实的象棋大师。 而联网设备的实际用户所面临的情况还要更糟。他们根本不会去考虑任何的网络安全问题。对于一名普通的消费者而言，联网的微波炉和普通微波炉并无太大差别。这就好比网络用户从未想到过装备齐全的联网计算机会对我们的物质世界产生如此巨大的影响。 家用电器一窝蜂地进行联网迟早会对广大消费者带来不利影响。考虑到不管是用户还是电器厂商都在物联网世界中面临着艰巨的挑战，因此后者更应该开始考虑如何才能提升自己产品的安全程度。对于用户而言，我们的建议是尽可能不要使用过于”智能化”的联网技术。

我们（以及其他许多网络安全博客）常常会写一些有关各种盗读技术和以其它方式窃取银行卡的文章。今天，我们将讨论那些表面看上去并不危险，但却的的确确存在却被大多数银行卡用户所忽视的风险。我们即将讲述的故事是有关跨境支付的风险以及在支付系统内所发现的内在缺陷。 无需CVV代码的支付交易 许多人总认为必须输入CVV代码（印在信用卡背面的三位数字）才能完成在线交易。然而，有些网店却能跳过这一步骤，且无需将密码传送至支付网关。 就这一问题我们询问了DiaSoft商务拓展部研发主管Sergey Dobrinyuk，他是这样评论道的：”要完成在线交易通常需要提交这些认证信息：卡号、有效日期、印刻在卡上的持卡人姓名以及印在卡反面的CVV代码。” “凹凸印字卡片（持卡人姓名的字母在卡表面凸起显示）在在线支付时使用得更加频繁，且通常来说这些卡的级别较高，比如：VISA经典卡和VISA金卡等。发卡行则会对客户的身份和购买力进行核实和评估。这也是为什么在交易金额不大的时候，如果能确定是”高品质”买家的话，卖家可能只会验证卡号的真实性而跳过授权认证这一环节。” “这就是所谓的’免授权限额’。一些银行和网店的免授权限额最高可达1000美元。” Dobrinyuk说道。 据有关专家称，一些新兴市场的 “高品质”客户并非都能享受到如此的优待，而通常来说支付系统也会部署更多的安全等级，但目前还不存在共享的银行卡认证信息政策—每一家网店完全可以制定自己的规则。 “所有无需PIN码或3D Secure验证的远程交易都可能受到用户的质疑。如果你对交易的合法性抱有疑问的话，完全可以向银行申请退款，在银行调查清楚后便会将这笔钱退回到你的账户。” Dobrinyuk说道。 Dobrinyuk建议网购用户只在那些拥有3D Secure标准（VISA卡和万事达卡分别对应”Verified by Visa”和”SecureCode”）的网店进行在线交易—作为一种双重认证方式，交易时必须输入通过短信发送或打印在ATM凭条上的一次性密码。 不幸的是，网店完全能自行决定是否需要在其支付系统内部署额外的安全等级。就算你的信用卡受到3D Secure的保护，但网店依然可能跳过这一步骤。 使用虚拟信用卡也有助于提升安全保护等级。此类信用卡通常有效期很短，且所涉金额较小。即使遭受黑客入侵，主卡的支付认证信息也不会被泄露。 正如你所知的，将你的信用卡卡号告知他人并不是一个好主意。如果有网络犯罪分子引诱你透露持卡人姓名和卡有效期，那他很有可能就能从你的账户内窃取资金—就算没有CVV代码也完全可行。好消息是此类情况你可以向银行申请退款。但也有坏消息，就是你需要自己甄别欺诈交易并行动迅速。 仅限电子联机交易 对于VISA电子信用卡和其它采用各种不同支付系统的入门级信用卡产品，人们都有一个共同的误区。此类信用卡没有印刻任何信息但在卡正面却印有免责声明：”ELECTRONIC USE ONLY（仅限电子联机交易）”。 许多人都误认为这样的卡无法用于在线交易，但事实上这完全由发卡行决定。支付系统政策根本无法限制此类卡的在线交易。 简单地说：网络骗子同样能从入门级信用卡内窃取资金。 跨境支付 由于汇率的波动，持卡人在进行跨境在线支付和境外取款时总会遇到这样或那样的问题。其中主要的风险之一便是对持卡人不利的汇率波动。 “此类情况下可能最多需要进行4次汇率换算：从电子商务平台终端、收款行、支付系统最后到发卡行”。Dobrinyuk提醒说道。

几个星期前，有人在Reddit网站发帖，帖子内容引述了三星智能电视服务条款：”请注意，如果你所说的话中包含了个人隐私或其他敏感信息，那些信息将被捕捉并通过您使用语音识别功能传输给第三方。” 在随后的几天，不管是旧媒体还是新媒体甚至是雪城大学的官方博客均陆续发表了关于智能电视窃听用户隐私的看法。不幸的是，在专业人士针对智能电视操作系统编写隐私扩展或类似”请勿追踪”和“广告拦截“的插件之前，唯一能阻止此类追踪的方法就是禁用语音识别功能。 让我来首先承认这样一个事实：我其实不管对三星过去的Google电视、现在的三星智能电视还是未来的Tizen 操作系统都不太熟悉，因此我无法确认反追踪或其它类似浏览器的插件是否能真的能起到作用。 然而在我从智能电视厂商的应用开发和审批程序所了解到的是，并没有阻止任何人编写隐私附加元件的明确政策，也不存在针对包括三星在内的所有智能电视系统的强大隐私插件。 如果你认为三星是唯一一家制定此类服务条款合同的智能电视厂商的话，我只能非常遗憾地告诉你：远不止三星一家 更为不幸的是，如果你认为三星是唯一一家制定此类服务条款合同的智能电视厂商的话，我只能非常遗憾地告诉你：远不止三星一家 苹果全部产品系列均保留以下权利：”使用[客户]个人信息以用于例如：审查、数据分析以及研究的内部目的，旨在改进苹果产品、服务和客户沟通”。同样，苹果也允许与其所有”附属公司”共享这些信息。 值得赞赏的是，苹果保证Siri不会保存用户iPhone手机外的位置信息。然而，苹果的隐私政策并没有明确表示Siri页面是否收集、保存或共享用户向Siri语言输入的信息。我们为此向苹果询问这方面的问题。但我并没有对苹果是否能作出回应抱有太大希望。 此外，Google也承认收集用户所使用服务的信息，尽管它巧妙地在弹出窗口内隐藏了详细内容，但依然有这些信息不幸被收集：数据使用和系统偏好设置、Gmail消息（顺便说下，就是消息的内容）、G+用户资料信息、照片、视频、浏览历史记录、地图搜索以及文档（即保存在你文档中的内容）等其它Google托管内容。 唯一了解某一家公司如何处理你个人数据的方式是阅读他们的隐私服务条款声明 我们只举了其中的几个案例而已，而唯一了解某一家公司如何处理你个人数据的方式就是阅读他们的隐私服务条款声明。然而，我们都知道这些声明文件篇幅过长、复杂难懂且使用了许多难以理解的法律术语。我们通常都会直接在”我已阅读并同意”选项上打钩，但真正读过内容的人几乎没有。 就算有人真的阅读了这些条款，但真正理解其中含义的也屈指可数。是否应直接勾选”阅读并同意”而不将整个内容看一遍，关于这一点长期存在争议。就目前而言，直接勾选”阅读并同意”已成为大部分用户的一种习惯，无论你内心是否真的非常渴望了解这些隐私声明和条款。 对于未来到底如何目前很难作出预测，但越多越多的联网设备将推出市场却是事实，其中许多就拥有更为强大的语音识别功能。Google、苹果、三星以及其它一些科技巨头在这一方面的技术稍领先于业内其它公司。无论你同意与否，这些公司已经意识到了隐私的问题。他们可能会将你的个人信息出售给第三方，但在这之前至少会考虑一下。 由于大多数应用厂商将语音识别功能和激活服务加入其产品的历史不超过十年的时间，且缺少更多有价值的隐私处理经验，因此我们还需要耐心等待。好吧，让我们一起拭目以待，到时候这一领域必将变得非常有趣。

流行的移动消息服务WhatsApp于上月发布了其网页版，该服务允许用户在其喜爱的网页浏览器上使用WhatsApp —但必须用的是Google Chrome浏览器，才无需将个人的WhatsApp网页版账户与iPhone手机配对。 像往常一样，《卡巴斯基每日中文博客》最感兴趣的还是WhatsApp网页版的安全问题。尽管该服务仅公开发布了一个月不到的时间，但一些漏洞已被发现，与之相关的安全事件也时有发生。 Indrajeet Bhuyan是一名来自印度的年仅17岁的科技类博客博主和安全研究者，他发现了两个的确存在于WhatsApp网页版和移动版之间互动过程中的有趣bug。首先要搞清楚的是，网页版客户端只是WhatsApp移动应用程序的一个扩展，是通过映射移动设备的会话然后在Chrome浏览器上显示，其工作原理在WhatsApp官方博客上已与所介绍。因此当用户的iOS移动设备无法连接互联网的时候，就可以使用WhatsApp网页版。 大多数WhatsApp网页版bug在某种程度上与移动应用程序有关的可能性很大，Bhuyan已对其所发现的bug很好地进行了演示。 Bhuyan所发现的其中一个bug与删除的照片有关，也与移动版和网页版之间同步的方式有关。如果用户将WhatsApp与新的网页版服务配对后删除一张照片的话，该照片也将在移动版本应用程序内被删除。然而，据Bhuyan称，任何删除的照片将依然能在网页版客户端上看到。但在另一方面，一旦消息被从移动应用上删除后，网页版应用也将同步删除。 另一个Bhuyan所发现的bug与用户资料隐私选项有关。用户可以将用户资料照片选择向所有人或用户联系列表内的人公开，或者完全保密。Bhuyan宣称，如果选择仅向联系列表内的人公开你的用户资料照片的话，但事实上所有想看到的人都能通过网页版应用看到。下面这段视频说明了一切： Bhuyan在自己的博客上发布了一篇对其研究的简要分析文章，而Bhuyan本人从14岁起就在这个博客上开始发布与科技有关的文章。《卡巴斯基日报》随后联系到了WhatsApp，但该公司对此没有做出任何回应。 卡巴斯基实验室研究人员Fabio Assolini长期追踪利用平台公共利益实施诈骗的网络犯罪行为。据Securelist报道，此类网络诈骗活动通过模仿WhatsApp安装网页，将官方的Google Chrome插件替换成假冒的。要想安装WhatsApp网页版，用户需要访问web.whatsapp.com并用移动设备扫描二维码图片。当然，网络骗子采用的方式是部署含有恶意二维码的山寨网站来感染用户设备。 事实上，Assolini还提到了网络骗子围绕桌面版WhatsApp的网络诈骗活动早在WhatsApp网页版推出前就已屡见不鲜了。他表示已经注意到几个售卖巴西网银木马病毒的恶意域名将自己装扮成假冒的Windows 版WhatsApp。 如果你打算安装WhatsApp网页版的话，确保访问的是正确的网站。 Assolini发现还有其他的犯罪集团利用人们对于WhatsApp网页版客户端的新鲜感，专门收集电话号码以实施昂贵短信服务的诈骗活动，通过将这些电话号码在一些短信服务上注册，受害用户将不得不向犯罪分子支付昂贵的”服务费”。 我们非常期待想了解WhatsApp网页版的安全防范能力是如何领先于其它消息服务的。 目前最好的建议是：如果你打算安装WhatsApp网页版的话，确保访问的是正确的网站。

一旦用户浏览类似于笔记本电脑或炖锅等商品，以后每次打开浏览器，相关的网店广告将从此形影不离。这正是所谓的”上下文广告”推广：大量追踪用户在线活动的合法方式。今天，我们将教会您如何摆脱这些最常见的已知追踪者。 谁在监视我们？ 这个问题的答案即简单又复杂：基本上来说，每一个人都有嫌疑。 用户受到几乎所有流行资源的追踪，但广告网络服务首当其冲；最流行的广告网络服务包括：Google关键字广告（双击）、Oracle Bluekai、Atlas Solutions（隶属于Facebook的一个事业部）以及AppNexus等等。这些网络服务都受到类似于存取计算器和其它网页分析工具的追踪。 社交网络同样不甘落后。流行的视频分享网站（例如：YouTube）、AddThis社会性书签服务以及评论Disqus插件同样也在密切追踪用户。而社交网络并不仅仅只追踪你在评论墙上的活动；如今，所有网站均采用流行网络服务提供的按键或窗体小部件，从而实现对用户的进一步追踪。 追踪方法 追踪的方法有许多。许多网站均具备获取基础用户数据的能力：浏览器会自动泄露你的IP地址、软件版本信息或所用显示器分辨率等内容。将所有各种看似无关的信息整合到一起后，广告商完全能仅凭这些信息为用户量身定制广告方案。 Cookies是在浏览会话结束后保存的小文件，里面含有验证信息、系统预设以及经常访问的网站板块等。凭借每一名用户的唯一识别符，重复最多的Cookies被用于追踪用户并收集相关数据。 正如我们所注意到的，社交网络按键是一种功能强大且使用方便的追踪工具：此外，与普通网页恰恰相反的是，社交网络是通过你的名字了解到你，因此能够收集到很大一部分的额外数据。 另外还有一些不太常见的追踪方法，且适用范围有限。例如，Adobe Flash插件部署了能存储可追踪的”局域对象”的系统。一台PC电脑还可通过高速缓存浏览器内容被识别出来。其实这样的方法还有很多。 追踪对于用户而言有何危害性？ 我们对广告商所积累的数据类型和容量几乎一无所知；你永远无法弄清其中的真相，而用户协议的真实法律效力也无从考量。对此你只能大概地去猜测。 在线追踪根本与其表面看似的无关联性可谓大相径庭。尽管在互联网上的一举一动都受到监视，但依然有一个始终缠绕心头的问题摆在我们面前：谁可能想要得到互联网公司苦心收集（无论是出于善意的还是恶意的）的庞大数据量？ 没有任何证据表明这些信息被安全地保存：成千上万用户登陆凭证遭泄的大型隐私外泄事件常常成为各大报刊的头版头条。这也是为什么每一名用户都应该行动起来，抵制互联网公司再如此肆无忌惮地收集您的信息。 保护方法 其实也有一种万无一失的方法：关闭自己的PC电脑并将它锁在一个安全的箱子里。 首先，更改一些浏览器的设置。你可以有效避免被追踪；如此，浏览器将会通知网络资源你不想共享用户数据，并打上一个大大的”标题”：请勿追踪。这一方法的前提是追总代理足够诚实，因此其有效性依然打上了一个问号：许多网站通常都会忽略”请勿追踪”。 此外，用户必须禁用自动扩展安装并启用阻止可疑网站和弹出窗口的功能，并对SSL证书强制检查。 阻止第三方cookies（广告网络cookies，而非你的网站cookies）也同样非常重要。考虑到这一点，你应该能想到广告网络正是凭借几种成熟的追踪技巧转移第一方cookies，因此需要启用一次性验证且保持不变。 如今的浏览器均提供单独窗口的无痕浏览功能：一旦被关闭后，会话上的所有数据均会被清除，因此大大加大了追踪的难度。使用这一模式，你可以轻松浏览所有网站而无需任何验证。 此外，还可通过请求式的插件激活功能摆脱追踪（通过点击启动Adobe Flash等）。当然也不要忘了清除浏览器中的高速缓存内容。 另外，最后请拒绝一切搜索面板、搜索助手和安装浏览器时提供的其它扩展–这些是需要用户同意后才能安装的合法间谍软件。

将我推到风口浪尖，然后将我解密，直至法律满意为止 “英国首相戴维•卡梅伦欲封杀加密消息应用”-类似于这样的标题迅速成为了各大日报和不知小网站的新闻头条。 说实话，这样的爆炸性头条娱乐的成分更高一些。人们为此分为了两派，一方的观点是”应该保护大不列颠不再重演巴黎的恐怖袭击事件（若必要的话，还可以加入些爱国主义精神和狂热）”，而另一方则认为”啊哈哈，互联网的世界末日要到了！所有加密都将要被禁止！（再加入一些反乌托邦的恐怖故事）”。 有趣的是，上述两个观点都不对。那么，到底什么才是事实呢？其实什么都没有：卡梅伦只是在他发表的主题演讲中问了一个简单的问题：”我们是否还应允许个人之间的加密通讯，甚至是内务大臣个人签署的命令？”他的回答是不。他表示，如果保守党（包括他自己在内）能够赢得下一届议会大选的话，他将尽自己的最大努力确保通过相关立法来阻止这一问题的发生。 媒体显然曲解了这一引述并反复篡改意思以达到爆炸性的新闻效果。首先，卡梅伦从未提到过”加密”这两个字。但每个人都情愿认为这就是他所想要表达的真正意思。现在不应该是产生恐慌的时候。 其次，英国本来就存在一条不光彩的有关加密的法律条款。简单地说，如果你所拥有文件被加密的话，按照法院规程必须提供密钥或其他解密方法。没人会真正关心你是否有必要的密钥，或你是否拥有任何的加密数据。一旦你被问到时无法提供密钥，等待你的将是罚款或监禁。所以，还是设个密钥或其它什么… 好吧，让我们展开想象的翅膀。私人应用程序的加密不太可能被禁止。还有许多更为简单的方式可以实现。例如，如果用户说不的话，他们完全有权将加密密钥提供给特务机关（比如蓝莓手机）并放弃基于加密的保护（比如加密电邮服务Lavabit）。当然，根据上述规定你还可能需要服务提供商将一年的重要数据进行物理存储，或将所有通讯内容立即存储在外部设备（zdravstvuyte、SORM-2和新的俄罗斯法规）。 这种情况在全世界每时每刻都在重复上演。在英国，上述集体性的疯狂举动最近才开始，在2014年通过了《资料保存和调查法》后，现在立法者正在对《反恐和安全法案》进行讨论。这背后依然传递着相同的意思：打击恐怖主义、盗版和色情（至少是违法的），此外还有追捕嫌犯等。 那么为什么会要对WhatsApp、Telegram以及其他的安全消息应用大动干戈呢？难道你已经忘了”斯诺登棱镜门事件”了吗？任何政府都想完全掌控本国公民的行踪，这一事实难道还不够清楚吗？”一立方毫米能治十个忧愁。”他们这样说道。唉，无论是政府结构臃肿的特务机构，还是其不断膨胀的权力，都无助于实现真正的目标。但有关于此的新闻报道几乎没有。 关于加密”禁用”的问题，Cory Doctorow于近期解释了这一想法为何愚蠢透顶的原因。好吧，过往的禁用历史经验并没有教会这一想法拥护者任何东西。有一个明显的例子，那就是卡梅伦在英国推动了色情过滤法规，并已在去年生效。是否真的行之有效呢？好吧，是有那么点儿作用。换句话说：大多没有任何作用。

2015年国际消费类电子产品展览会(CES 2015)作为一场科技界的盛会，集中展出了众多新科技，每一项各家科技网站的记者都曾多次报道过。对于完全沉浸于信息安全世界的我而言，参加本次展会的心情可谓相当复杂。 一方面，CES展出了在未来5-10年内值得期待的主要科技趋势：智能家居、联网汽车、虚拟现实以及生物识别/医疗保健领域的身体状况传感器–即目前最热门的’物联网’概念。 另一方面，开发商和供应商对待用户数据的随意态度令人震惊。除了缺少例外情况以外，我还注意到像隐私、安全和加密这样的重要方面显然没有得到足够的重视。 市场渴望推动这一科技，因此不遗余力地宣传’物联网’概念。相关的问题类似于’需要收集什么类型的数据’和’谁将接收这些数据以及如何接收？’，当然最关键的问题’我们会不会询问用户是否愿意外泄自己的数据？’不是被忽略，就是以供应商想要的方式进行询问。 https://plus.google.com/u/0/116816299317552146445/posts/fj1GbdvSVpp 在展会上，每次我想向展商提出这几个简单问题时，总会有一种强烈的感觉，就好像自己身处星球大战的克隆人部队中，而这些”克隆人士兵”都被皇帝帕尔帕廷下令执行”66号密令”。比较友好的厂商都会将我看成疯子：”伙计，你在说什么呢？我们在说的是价值数十亿美元的市场–无论如何用户将必须接受万一隐私遭到侵犯的情况发生！” 因此用户隐私遭侵犯的可能性很大。而一旦有任何尝试窃取我的隐私权的话，我一定会非常愤怒。这也是为什么我决定写这篇博客的原因，希望能够引起你们的重视，换个角度来重新审视CES上的主要科技趋势。 1. 无人驾驶汽车 坦白说，我并不认为我们迫切需要无人驾驶汽车。这一营销策略的宣传口号是：减少交通事故中的人为因素，进而最终完全消灭。这听起来的确合情合理，但仍然存在不少问题。 首先涉及的是劳动力市场和人员雇佣问题。显然，最渴望使用无人驾驶汽车的将会是出租车公司。仅纽约一地，就有4万辆出租车。如果要计算全世界出租车数量的话，这一数字根本无法想象，几千万辆都不止。 如果数百万领着微薄薪水却干着辛苦活的出租车司机同时失业的话，全世界的犯罪率将急剧上升。令人好奇的是，目前为止我还未看到过任何有关这两个紧密联系趋势的分析性报告。 然而，上述所提到的状况只是一个更大问题的一小部分而已。想要将无人驾驶汽车真正推入市场，统计工作极其重要–而要完成整个信息统计工作，需要收集数以万亿计的路线、用户和交通负载等的数据。 无人驾驶汽车并非如普通用户所想象的那样，’自己学习’驾驶汽车：其工作原理仅仅是依靠周遭环境和条件，借助统计数据生成行为模式。而这些模式的生成完全来自对海量已知场景的分析。问题是谁来将所有这些数据输入计算机？当然，除了”我们用户自己”以外还能有谁。 所有有关我们驾驶习惯的数据（例如：我们的行为方式、什么地方应该转弯以及最重要我们行驶的地方和时间）都将被发送至…呃某个地方。 相当长一段时间里，没有人对此提出任何的疑问。但近期打车软件Uber崩溃事件表明这一态势将不会持续太久：许多人发现一些陌生的中介竟然能够实时检测到他们的精确位置。甚至更令人担忧的是，该家中介竟然拥有某人整个一生的所有驾驶路线记录。 从理论上说，无人驾驶汽车和出租车的开发商将竭尽全力保护用户数据免于落入网络骗子的圈套。但遭受威胁的风险依然很高，因此安全努力最终将化为泡影。目前问题在于是否信任服务提供商。提供数据安全和保护是一项复杂且需要大量科学知识的工作，而大部分服务提供商恰恰缺少这项能力。相信他们能够正确保护数据安全就好比相信一个孩子拥有数百万美元一样荒唐。 我并不是说无人驾驶汽车一无是处。我只是想传达这样一个讯息，在将这一技术部署在汽车上并实现商业化之前，有关方面应确保进行相关立法以保护所收集用户数据，以及规范服务提供商采用可靠和透明方法将用户数据从自己的数据库中彻底清除。 2. 无人机 今年CES展的许多展台还售卖无人机。此外价格也越来越低廉，大部分售价在199美元–499美元之间。大多数无人机装备有摄像机（极限运动专用相机或可安装智能手机）。同时配备了各种技术—智能稳像算法和基于传感器的导航和飞行系统—同时这些技术依然在不断改进，除了一样东西：飞行法规和侵犯隐私立法。 你只要在YouTube上快速搜索，就能看到许多使用无人机进行的恶作剧，包括：在窗外偷窥他人隐私、秘密监视以及许多成人式的恶作剧。记者John Oliver针对此类事件进行了一系列专题报道。 鉴于目前缺乏有关无人机的适当法规，因此现实中很可能被使用于任何目的。如果有一天你发现有无人机在你家的阳台对面盘旋并录制视频的时候，千万不要惊讶。 就目前而言，无人机并非是很大的威胁。这只是因为该技术还未发展到一定程度。但是我们都清楚一个事实，那就是任何一项科学技术都在以”火箭”的速度发展，不是吗？ 3. 医疗/健身传感器 在今年的CES展商，我总共看到了17家提供健康追踪器产品的参展商。可以想象目前该新兴产品的巨大市场规模。智能健身手环有计步、测心率或其它生物特征参数的功能，除了大型厂商以外，一些小型新兴公司也同样生产此类产品，因此市场规模巨大。 作为早期智能手环的使用者，在使用了两年时间后，我深刻感受到此类产品对健身根本毫无帮助。

我的编辑同事们委托我写一篇有关介绍无人机的文章。无人机通常会在未经同意的情况下四处飞行。它们是否会拍摄视频？当然会！此外，你还可以浏览一些有关于无人机功能的有趣漫画。 但无人机是否真的如看上去那样可怕呢？ 无人机，或者更确切地被称为”无人驾驶飞行器”，可能会在不知不觉的情况下侵犯到个人隐私，而我们也已发现并揭示了它们全部的潜在能力。当然，这样可能会忽视无人机作为军事侦查情报的功能–作为侦察机可以在更大的范围内秘密拍摄情报。 早在数十年前一些业余爱好者已拥有了这一航模的相关资料。那在这几十年内是否已有所改变呢？目前，在大众市场可以看到一些相对便宜的三旋翼、四旋翼以及六旋翼无人机。 目前显然人们对无人机最关注的问题是未经许可擅自拍摄照片和视频。早在数十年前一些业余爱好者已拥有了这一航模的相关资料，因此制造可录像的无人机可谓轻而易举。此类航模只需通过无线电连接即可轻松操控。 自无人机问世以来已发生了许多改变：目前大众市场可买到相对便宜的三旋翼、四旋翼和六旋翼无人机。这些飞行器装备分别带有3个、4个或8个等距轴承，每个轴承上则装有电控旋翼和螺旋桨。这一关键优势使得无人机更易于操纵并能在一个稳定位置长时间盘旋。这也是为什么无人机越来越多地被用于拍摄有关体育比赛、全景图以及其他美景的视频。 听上去相当厉害，不是吗？但真相可能并非如此。 首先，我们一起来分析一下3DR、DJI、Parrot甚至Lehmann这几个品牌的普通民用无人机的技术参数。其中大多数都配备有极限运动专用相机、智能手机和摄像机。其中所有摄像机就其焦点特性而言，无法与专业的远程摄像机相提并论。此外，此类无人机的飞行时间最长只有30分钟。而更高端的此类航模则可搭载至少一台DIL摄像机或DSRL摄像机，因此镜头重量较轻，但飞行时间只有15分钟。 至于运动摄像机–可安装在一般的娱乐无人机上 – 通常配备普通的固定广角镜头。事实上，一些重大的侵犯隐私视频都是无人机在20层楼高度偷拍而得。首先，为了防止遭到这样的偷拍威胁，人类因此发明了窗帘。其次，只需看看此类片段镜头的例子就完全明白了。 害怕了？ 当然，无人机也可能被用于探查地形，例如调查一些政府官员乡间别墅内的奢侈品数量。但千万别指望能拍摄到清晰的画面：这样的距离根本无法拍清脸部，而一旦距离太近的话很容易被发现，并被当场抓个正着。因此对拥有许多优质镜头的摄影师或用望远镜窥探的邻居，更应该提高警惕。录音也并不是个好主意。 Can a kangaroo defeat a drone? Yes, and here's the video proof: http://t.co/8fPdmXXUIf pic.twitter.com/cnYZuIXMWZ — Popular Science

从某种程度上说，在你将PC电脑或移动设备连接网络时，就好比一名孤独的战士在未知地域迷失一样-而且这一状况在你每次上网时都在重复上演。许多情况下，你的设备根本无法检测出网络另一边到底是谁：是你最好的朋友还是精心伪装的网络犯罪分子？ 当然，有许多安全解决方案旨在保护你设备上网和脱机时的安全，但不管怎样这对于用户只是其次。因此决定我们的数据和网银登录凭证是否被盗，最终还是取决于我们自己。因为只有我们自己才会去点击可疑链接、下载存在危险的附件，以及当看到反病毒解决方案提示警告信息时选择’忽略’选项。 此外，所有的反病毒程序都是遵照我们的命令进行工作。因此我们自身也同样需要具备一定的安全知识和能力…要么还不如直接拔掉网线、扔掉所有闪存卡、放弃使用Wi-Fi热点并永久将所有设备保持脱机状态。如果你并不想这样做的话，那就应该对自己作出有关网络安全的八项承诺并在新的一年里格守承诺。 在新的一年对自己作出有关#网络安全#的八项#承诺# 我承诺学习有关高强度密码的知识以及如何才能快速创建并记住许多密码的方法。我将针对每一个网站使用唯一密码并为自己的主要电邮账户设置极其独特的密码，因为这既安全又简单。 我将了解为何安装所有系统更新如此重要的原因，并承诺在每次有新更新推出后就尽快安装。 我承诺将对所有的重要数据进行备份，这样我就不会丢失珍贵的照片、媒体文件以及我的”辛苦劳动成果”。此外，我还承诺检查我的备份是否工作正常。我将认真地做好备份工作，因为我并不想为了恢复重要文件而支付一大笔”赎金“。 我承诺在连接公共Wi-Fi时将非常小心。我将观看这个视频并了解到为何应尽可能避免使用免费WiFi的原因。 我将阅读有关什么是网络钓鱼以及如何避免遭遇的文章，如此我将不会成为网络犯罪分子手中的受害者。我承诺将不再被轻易愚弄：我将检查所有接受到消息的链接（电邮、Facebook以及其它平台）以及所有即将打开网站的文件扩展名。 我承诺将不再下载任何的盗版内容。我同时还承诺在使用torrent网络时小心谨慎。 我承诺无论使用联网还是脱机状态的设备时都保持警惕，防止自己和家人遭受任何形式的骚扰。 最后同样重要的，我承诺一如既往重视我的反病毒软件所提供建议，并全年保持受保护状态。 而对于卡巴斯基实验室的整个团队而言，我们承诺将通过努力的工作为您提供永久的保护！

如果说12月份对安全世界意味着预测来年的话，同时也是对即将结束的一年进行回顾的时候。卡巴斯基实验室全球研究与分析团队为此而特别制作了一份有关《2014年互联网安全行业十大新兴趋势》的清单。 一系列高级持续威胁 2014年，众多APT攻击小组依然没有”停战”的意思。卡巴斯基实验室研究人员公布了至少6个网络攻击小组的研究分析。 “Careto”（西班牙中”面具”的意思）间谍行动于2月份重现互联网，之前已活跃了长达7年之久。Careto依靠易于修改的跨平台恶意软件工具，旨在从全球31个国家的政府机构、大使馆、能源公司、研究机构、私人股权公司以及活动家窃取敏感信息。 而多阶段的Epic Turla网络间谍攻击行动出现在1个月左右后的三月份，通过利用一系列存在于Adobe Acrobat、Windows XP以及Microsoft server 2003的零日漏洞对受害人进行有针对性的攻击，同时还采用了许多水坑式攻击，将存在于Java、Adobe Flash和Internet Explorer的漏洞作为攻击目标。 而到了6月，另一个黑客小组在短短一周的时间内即窃取了50万欧元，作为”Luuuk”木马攻击行动的一部分，他们对一家大型欧洲银行的客户进行了针对性攻击。遗憾的是，卡巴斯基实验室并没有获得该攻击行动中的任何恶意软件样本，但他们猜测该黑客小组通过窃取用户名、密码以及一次性密码，从而查看受害人账户余额并自动执行交易。 在6月末，互联网出现了”MiniDuke”黑客行动的新版本-被称为”CosmicDuke”，将政府、外交机构、能源公司、军事集团以及电信运营商作为攻击目标。奇怪的是，这一黑客行动竟然还攻击了那些参与违禁药品（例如：类固醇和生长激素）交易的犯罪团伙。 #Kaspersky launches a project that chronicles all of the #ATPs the company has investigated https://t.co/9gj6AiRVoo pic.twitter.com/HHbRUDVC0o

当今世界，随着科学技术的突飞猛进，并以各种各样产品的形式与我们的日常生活紧密交织在一起。然而，并非所有突破性技术都能像以往那样广泛地引起社会大众的惊呼。比如，移动网络不断提升的数据传输速率并没有带给我们太多的喜悦，反而用户的普遍反映是”能不能再快一些？” 很多人在看到最新一代智能电视的时候往往并非对其惊人的画素密度感到震撼，而是惊讶于高昂的售价或产品的奇特形状。并且，似乎也没有人会去关心现有的移动设备都有能力计算出飞往火星的宇宙飞船的飞行路径。 最让人难以置信的是，Kim Kardashian（美国娱乐界名媛）的裸体封面照片竟然与宇宙探测器登陆距离地球400万公里的一颗彗星所造成的社会影响力相当。我注意到了”技术过量”所带了的明显的副作用：我们越来越少对网络安全持谨慎态度了；我们也不再对目前所有网络威胁的数量哪怕再多思考一秒了；而随着技术的发持续展，这些无论是实际还是停留在理论上的威胁都有可能在未来5-10年内成为普遍性问题。 #高科技的# #未来# –是否能安全居住？ 有趣的是，科学技术和互联网发展得越复杂精密和成熟，则越是将人类和我们的世界置于更加危险的境地。那么我们未来世界到底有多么危险呢？就让我们一同来领略一下”充满危险”的未来科技世界。 房屋与住宅 今天，智能家居对于普通家庭而言依然是过于奢华的未知产品。然而，无处不在的科技巨人Google和苹果宣称，不出几年我们中的许多人都将能舒服地坐在装有各种智能设备的客厅里，目前看来似乎只是个玩笑而已。只需一台移动设备，就能对室内气候环境、灯光、家庭安全系统以及许多家用电器进行控制。 同样的理念还适用于汽车。沃尔沃和宝马已能通过你的智能手机或平板电脑提供基本的汽车控制和监控功能。在接下来的数年里，许多”中型车”很可能将这些功能作为其标准配置。此外，相比于整台的造价而言，车载技术的成本可以说是微不足道。 尽管科学技术的发展势头迅猛，但有些系统依然存在着与普通挂锁相同的问题。例如，一个稳固的系统依然可能在遭到精准和猛烈的攻击后，瞬时间被攻破。 此外，一旦不法分子真的获取”钥匙”或有机会得到的话，那要进行一些犯罪活动可以说是易如反掌。将智能手机作为”万能钥匙”使用的话，黑客可以很方便地在数小时甚至几分钟内就能入侵受害人的家或汽车，最近有关”智能家居和智能汽车入侵”的演示提供了完美的例子。 Is It Possible to Hack My Car? Find out over at @Kaspersky Daily. http://t.co/UOAMP2hb3K — Kaspersky Lab

在如今这个互联网时刻遭受监视的年代，安全和隐私地传送消息变得十分有必要。电子前哨基金会（EFF）于近期发布了一份完全分析报告，在报告中对众多的移动与互联网消息服务的安全性与隐私性进行了测评。 在安全和隐私方面，有些消息服务提供商获得了高分，一些则正在努力达到标准，而另一些则完全不及格。我们将在今天讨论在这方面名列前茅的服务提供商。而在下周，我们将对位列榜末的一些提供商进行讨论。 九款移动与互联网消息服务提供强大#安全#和#隐私控制# EFF对总共七大类的所有服务应用进行了评分。而在《卡巴斯基每日博客》（Kaspersky Daily）上，服务提供商需要对至少6个问题（或更多）做”是”还是”否”的回答，问题如下（尽管我们还会向所有在4个或4个以上问题上答”是”的提供商颁发”鼓励奖”）: 1.数据在传输过程中是否加密？ 2.是否在数据加密后，即使服务提供商自己也无法读取？ 3.你能否确定联系人身份的真实性？ 4.服务提供商是否采用完美正向隐私性的做法，即加密密钥是否是临时的，即使被盗也无法用来解密现有通讯？ 5.服务是否采用开源代码且可供公开审查？ 6.加密实施程序和过程是否留档？ 7.在过去12个月是否进行过单独的安全审查？ Which messaging technologies are truly safe & secure? See EFF’s ‘Secure Messaging Scorecard’ https://t.co/eBVIY9xgGB pic.twitter.com/sBeF0QquAx — EFF (@EFF)

在保护你的个人数据、银行档案和其它各类重要信息的整条安全链中，你知道哪个环节是最薄弱的一环吗？其实就是你自己。多年以来，安全系统真正无法抵御的最大威胁即是人为因素。 如今，来自于安全部门的IT专家们给出了关于”可行和禁行”问题的答案：为员工设定过多的禁止行为会使他们开始无视公司规定或无法高效工作。反过来，赋予他们过多自由则会将公司重要信息至于风险之下并使他们宝贵的个人档案资料迅速遗失。 将你的密码遗留在”付款台”上：”请勿打扰”并不适用于房内平板电脑, https://securelist.com/blog/research/67318/leave-your-passwords-at-the-checkout-desk/ …（@dimitribest） 当意识到我们自己才是造成个人数据外泄的罪魁祸首时，才恍然大悟。每次，当你在未知设备上输入你的个人账户信息后，离开时会话依然开启，这时你的个人数据极易遭受攻击。有时候你所遗留的很可能是一些极其重要的信息。比如，可能连接你信用卡的Apple ID和Google Wallet（谷歌钱包）。遗憾的是，在我们使用移动设备时，只有一部分人会想到这一点。 让我们来说一个真实发生的事件，恰巧就让我们GReAT团队专家Dmitry Bestuzhev碰到了。 @dmitribest在酒店房间的房内iPad中发现了属于之前房客的大量#个人数据# 除了提供其他优质服务以外，许多酒店还为房客精选准备了免费的平台电脑（机场和饭店也有类似服务）。房客们常常会用来玩乐和消磨时间；此外，还可用于浏览Facebook的最新内容、查看自己的iMessages和电子邮箱，或者还可访问Google阅读新闻，登录Play Store下载最新上架应用，进行视频通话或访问互联网进行各种放松和娱乐活动。 Dmitry在使用房内iPad时大为惊讶：平板电脑上竟然遗留了之前许多房客的大量私人信息。 Dmitry在酒店房间内也发现一台免费的iPad。他在使用这台设备时大为惊讶：平板电脑内遗留了大量属于之前一些房客的私人信息。 你无需是IT高手就能轻松收集各种保存于这台iPad 的数据，其中有带预存密码的遗留账号、社交网络上的授权会话、来自浏览器的搜索结果（包括查询色情内容的其他历史记录）、自动保存至通讯簿的全部联系人列表和iMessages消息，甚至还有怀孕日期计算器。 要查明这名粗心大意的孕妇身份其实并不难，因为她”大方地”将自己的个人联系信息留在了这台设备内。大部分会话处于开启状态，这意味着如果有不法分子想冒充这些房客发布或发送讯息将变得非常容易。可以想象一下，如果有人冒充你写一些下流的内容发给你的老板或同事，其结果可想而知。 Dmitry花了点时间Google了一下，发现其中有些房客竟然为政府工作。如果有人利用这些数据访问公司信息的话，无疑将导致一次严重的数据外泄事件。 很容易让人想起类似数据盗窃的场景。犯罪分子完全能够在你办理入住手续前先潜入房间并安装应用，从而追踪你的密码和其他信息。在成功盗窃后，犯罪分子可采用多种方式以达到其犯罪目的：对受害人进行勒索、在网络上发布不宜照片（你还记得詹妮弗•劳伦斯的照片泄露事件吗？）以及使用你的iTune下载大量收费音乐文件等等。 因此，我们在使用公共设备时一定不能粗心大意。为了保持个人数据的安全，可遵循以下简单的使用规则。首先：永远使用强大的密码。其次：只连接可靠且安全的Wi-Fi网络。最后：在涉及个人信息时，只使用自己携带的设备（从目前恶劣的网络安全状况来看，这意味着永远都需要遵循）。简而言之，公用设备是万不得已下的最后选择—建议永远也不要使用。 如何记住强大且唯一的密码 http://t.cn/R7ItkKq —— 尤金-卡巴斯基

似乎在这些天，每当谈及隐私问题总会让人有些尴尬。一旦有粗心大意的用户着急将个人数据展示给社交网络上的其他用户看，那又该采取何种解决方案以保护个人隐私呢？如今，用户会将辛苦所得随意花费在注册类似于跟踪网络犯罪分子的”软禁型”网络服务上。 我们这里讨论的不仅仅是腕带或手环之类的可穿戴产品；不要忘了还有数千种应用正在时刻追踪你的睡眠和运动状况，饮食和生活习惯，以及病症和治疗方案。如此种类繁多的应用并无本质区别：全部都会将你的个人数据传送至网络。 在对43款应用进行分析后，美国联邦贸易委员会（FTC）于今年5月份发布了一份相关研究报告，其中揭露了一些应用（包括免费和收费）所具有的有趣特征。报告中首先提及有26%的免费应用和40%的收费应用没有部署任何类型的隐私政策。 更令人吃惊的事实还在后头：在本次所有调查的应用中，有20款应用会向第三方公司（总计70名接收者）发送数据，且其中大多数都代表广告商和广告分析商使用数据，以便更好地为他们的营销活动定位。至于数据加密方面，情况更不容乐观：仅有13%的免费应用和10%的收费应用启用了这一功能。因此，仅只有十分之一的跟踪应用至少采用了基本措施以保护用户数据！ 仅有十分之一的#健身#跟踪应用采用了一些#数据#加密措施 研究的第二阶段则涵盖了12款应用和2款可穿戴设备。结果显示，在未经用户允许的情况下，从这些应用和可穿戴设备所收集的数据发送到了73家第三方公司。顺便提一下，这些健身与健康应用开发商不负责任地收集用户的各种数据，包括：用户性别、姓名、设备ID和邮箱地址，以及包括身体锻炼和饮食、邮政编码和地址、症状搜索和用户唯一ID在内的各种信息，并借助用户唯一ID通过其它应用对用户继续进行跟踪。 这些健身与健康应用开发商不负责任地收集用户的各种数据，包括了用户姓名、性别、设备ID和其他各种数据，使其可通过其它应用对用户继续进行跟踪。 为了帮助你应对”个人数据被非法收集”这一事实，我们建议你访问研究人员的网站以便更好地了解你的信息是如何通过应用被传送至开发商的。鉴于应用开发商在保持个人数据隐私方面的拙劣表现，这意味着不仅仅是执法官员，其他政府部门和公司也可能完全访问你的数据，且大多数情况下没有任何的约束和限制。 尽管一些主要健身追踪器供应商已向用户保证不会偷偷地将私人信息发给第三方公司，但这并不意味着他们将来不会那样做。甚至是匿名数据（一些存在问题的公司急切用来大肆吹嘘一番的信息）也大有用处，尤其是当与开源信息和元数据共同使用时–这种情况就好像圣诞节为了所有利益方而提前到来一样。 一半受测#健身#追踪应用向第三方公司发送数据 举例来说，健身追踪器就部署了一些智能运动传感器，可帮助识别健身动作，从而与徒步和跑步区分。想到这一点，英国石油公司（BP）主动向所有员工及其家人提供免费Misfit运动追踪器的行为就有些令人怀疑了。Misfit首席执行官承认此向企业客户打折出售数千台装有追踪软件的运动追踪器是公司最快速业务增长领域。 不要幻想此类数据只有很少几个人处理，因此会因繁重的工作而导致没有时间收集你的数据。其实际工作原理并非如此。事实上，无需任何人为参与，”大数据”技术就可完全处理这些海量数据。你的用户资料并非摆放在放有数百万份似文件的书架上，因此根本不会丢失。你的用户资料由许多字节组成，可能保存在任何人的计算机内，这主要由公司或个人对你资料的兴趣而决定，根据特定模式系统就能自动找到你的数据。 #个人隐私#对于每个人来说十足珍贵，无论如何都应该采取保护措施。有时候专栏作家无法完表达我们的建议。http://t.co/3LTXJ7EAZA —尤金-卡巴斯基（@e_kaspersky）2014年8月29日 相比于有一天你收到增加保费后所带来的震惊而言，城市规划、交通管理、定向广告甚至信息公开都是小问题而已。你可能会问：”为什么会这样？”这可能是因为你减少了运动和身体锻炼以及睡眠时间比去年更少，因此更易于患上心脏和神经方面的疾病。有些开发商坦诚向保险公司出售此类数据的所得占到公司总收益的50%。 因此现在是时候放弃”个人生活是完全隐私”的幻想。众所周知，你的健康就是某些人的生财之道。这与个人无关。好消息是，就目前而言，遵纪守法的市民至少还没有被逼着使用此类的运动追踪器。因此，要想保持个人生活的隐私，就必须放弃使用此类应用或装备。

最近几周，移动安全领域分外热闹，苹果和Google两大巨头先后发表声明称保存在各自最新版本的iOS以及安卓操作系统的用户内容受到严格加密，且两家公司本身都无法对本地存储信息进行解密。 默认加密 执法机构当然无法对这一事实感到满意，因为这意味着即便有正当的理由，这些部门也无法保证能要求用户解密本地保存的数据。因此这些机构只能出动政府官员对广大用户进行明目张胆的恐吓–少不了借用恋童癖和恐怖分子的老套故事–迫使用户相信加密是不正当且危险的。 与此同时，隐私与安全倡议者们又进一步推出了新的全盘加密方案，似乎预示着消费者们即将迎来真正的移动数据安全时代。 有些人认为这一系列举措过于冒失和鲁莽；另一些人则将此举视为对现有安全环境所进行的一场彻底变革，因为目前情况下，政府在缺乏任何监督下可轻易收集用户的信息。 #Google #安卓操作系统的最新版本将步#Apple #iOS后尘，也将启用默认全#加密#。 本月早些时候，我们曾撰写过一篇关于”苹果新默认启用加密“的文章，你可更多地从执法机构的角度品味这篇文章。现在是时候从技术角度讨论Google借以兜售其最新Android Lollipop系统（简称为”Android 5.0″或”Android L”）的默认加密功能，”Android L”中的L代表的是罗马数字50以及”Lollipop”的首字母。 安卓加密简史 据来自Android Explorations博客的Nikolay Elenkov表示，自Android 3.0发布以后，安卓用户即可自行选择是否需部署全盘加密（FDE），同时也被称为”Honeycomb”。此后安卓的FDE服务一直并未多做改变，直到Google在Android 4.4内对其进行了进一步强化。在Android L中，该功能将再次得以增强，并在Android 5.0内首次将FDE设为默认功能。 Google最初部署在安卓操作系统的加密方案已被证明相当的安全。然而，其在软件中的实施情况却时常导致漏洞产生。该加密方案的安全性几乎完全取决于硬盘加密通行码的复杂程度以及它是否易于被暴力攻击攻破。 “如果密钥足够长和复杂的话，暴力攻击要想攻破加密的主密钥可能需要耗费数年的时间，” Elenkov解释道。”然而，由于安卓已选择重新使用锁屏PIN码或密码（最长可达16位），但在实际过程中大部分人都更倾向于采用位数相对较短或简单的硬盘加密密码。” 换句话说：安卓系统上的硬盘加密强度完全取决于你的锁屏密码。且大部分情况下，加密强度都极其脆弱，因为人们总是懒于设置位数较长的锁屏密码。 密码输错固定次数限制机制使得暴力攻击在实际操作中并不可行，因为攻击者一旦输错登录密码次数达到一定数量，则永远无法再重新进行尝试。当然，Elenkov在其博客中忽略这一保护机制。如果你想对他的错误大肆攻击一番，请随意去阅读他所做的分析内容，但这里就不多做探讨。问题在于：的确存在暴力攻破弱PIN码或密码的方法，为的就是解密保存于安卓设备上的内容。 暴力攻击方法对于强大的密码很难奏效。但如果你拥有一个典型的4-6位密码，毫不夸张地说，只需几秒钟即能解密用户的数据。 在Android 4.4系统中，Google进一步增强了其加密系统的能力。尽管如此，但依然是基于PIN码或密码。因此仍然有可能暴力攻破较弱的PIN码和密码，不同的是在Android 4.4中你可能需要花费数分钟而非原先数秒钟的时间。

Brian Krebs于近日发表的一篇报道中强调了重要的一点：在线数据，尤其是个人敏感数据遭泄的风险正与日俱增。这并非危言耸听，而的确是从某未知来源获得的可靠消息。 本周，Krebs报道了一家债券保险商由于服务器配置错误而造成一连串连锁反应，最终导致长达230页的在线账单遭外泄，并能通过搜索引擎索引。据称，这些账单内容包括了账号和汇款路线号码、账户余额、股息以及少数本地政府投资池会员账户的持有人姓名。 据称，这些账单内容包括账号和汇款路线号码、账户余额、股息以及少数本地政府投资池会员账户的持有人姓名。 该家受害债券保险商是MBIA Inc.的一家子公司，据报道是美国最大的保险供应商，公司全名叫做Cutwater Asset Management。 好消息是，MBIA Inc.表示已修复了导致数据外泄的问题，并将逐一联系本次事件受影响的公司客户。 坏消息是，正如在Krebs报道中简要描述的那样，”可通过搜索引擎索引的文件包括了详细的授权新银行账户的操作方法，包括：所需用于提交账户信息的表格和传真号码。” 与最近发生的家得宝、Target、摩根大通及其它数据外泄事件相比（参见我们最新一期的网络安全播客），本次数据外泄事件可以说是”小范围”事件。 从某未知来源获得的可靠消息，遭受#数据外泄#的风险正与日俱增。 然而，事实是该数据外泄事件对不幸受到波及的客户都可能会造成不利影响，另外本次事件之所以值得我们重视，原因在于只是由于一个简单且通常会被忽略的服务器配置错误所导致。

我们所生活的这个时代令人痴迷，计算机和网络正越来越多地与我们的日常生活息息相关。不久前，我们还只是将计算机和网络用在办公室和生产设施，但今天，它们早已走进了我们的客厅和厨房，几乎人手一部可连接计算机的移动设备。我们正在步入美好的互联网时代，几乎所有东西都将被接入网络。 我们越是将日常工作更多委托给计算机处理，对于那些热衷于”挖掘”他人隐私的坏家伙（网络犯罪分子）和好家伙（有正当理由使用黑客技巧的在执法机构官员）来说就更具吸引力。 如果我们将他们可能相反的动机放在一边，另一个有趣的特征也能将他们区分开来：网络入侵和间谍活动于情报局而言几近犯罪行为，但确也是他们日常工作的一部分。 合法恶意软件现象 当今网络犯罪业务领域有一个重要的趋势即网络犯罪合法化，与信息安全市场的定位完全不同。例如，出售零日漏洞（类似于缺乏适当安全解决方案的漏洞）问题日益突出。 网络犯罪合法化正成为网络犯罪业务领域的新趋势。 目前任何人（能够买得起某些标价超过6位数以上的漏洞）都能购买漏洞利用工具并适时加以使用—通常用于保护自己的资产，但是事实上，可用于任何的东西。此类漏洞的交易完全可与导弹或精密炸药这样的军火交易相提并论。 此外，一些公司会提供能网络潜入的全功能软件包，并在掌控受害者计算机后即能监视他们的一举一动。我们曾此前讨论过顶级间谍木马病毒 – 这一情况好比出售全套虚拟文件系统。 FinFisher的广告标语显示了其完美的合法入侵和远程监控手段。提供此类服务的公司众多，范围从政府下属最大的国防工业大型综合性企业到中等规模的独立公司。 后者当然不会向任何人出售恶意软件，但其客户名单却包罗万象：除了政府情报组织以外，还包括了一些大型企业。此类网络”雇佣兵”的服务产品还热销于第三世界国家政府（例如：巴基斯坦和尼日利亚）。 此外，你还会注意到网络间谍服务的实际买家并不一定就是表面购买的那个：曾发生过将监控和过滤解决方案出售给阿联酋后，最终由受禁运国叙利亚获得。 无论如何，从卡巴斯基实验室的经验看，私人开发的合法恶意软件不仅出售给”拥有合法权”的情报局（其用途合法性到底几何非本文讨论主题），也会落入极端功利的第三方手中。换句话说，尽管作为普通人的你与网络犯罪或政治领域毫不相关，但总有一天你会发现自己也受到牵连。 到底有多危险？ 可以说是相当的危险。类似恶意软件专为手握大把钞票的客户而量身打造。其技术水平之先进，并非只是不良少年或小偷小摸的犯罪分子从信用卡内偷几百块美金那么简单。 此类恶意软件开发者的深刻见解载于了维基解密中，上面有这样一句话：传统反病毒软件对其产品无法造成任何威胁。 合法恶意软件开发商在其产品内使用了大量先进技术，能够完全躲避病毒分析人员的追踪并防止其暗中监视。 我们该如何应对？ 事实证明此类技术的确有其局限性所在：要想偷偷入侵系统并没有什么神秘性可言，需要的只是一款通常的恶意软件。 因此，这意味着卡巴斯基实验室解决方案中所使用的启发式算法（基于搜索与恶意软件有关可疑属性的检测方法）完全能过滤网络”雇佣兵”的攻击。 卡巴斯基启发式算法能成功捕获极具创造性的网络”雇佣兵”。 例如，通过我们对FinFisher产品的研究（合法网络武器市场中最优秀的一家公司）证明与FinFisher的说法完全相反，我们的卡巴斯基反病毒6.0（MP4）内所采用的启发式算法分析器能成功处理此类威胁。 考虑到一些界限模糊的’反网络犯罪分子’工具最终会落入”不法分子”手中，这意味着每个用户都应安装一款运用相关技术可应对高精密性威胁的反病毒软件。

人们并非对所有类别账户都一视同仁，相比于对ESPN Fantasy Football账户的重视程度，对在线网银或PayPal账户的重视程度显然更高。 就算很少考虑安全问题的用户也会使用强大密码并在接入与个人资金有关的网络服务时加倍小心。但是，依然有许多用户对自己的主电子邮箱账户关心甚少，甚至将其作为其他所有账户的”万能钥匙”使用。 想想看：不管创建哪个网站的在线账户，一般都会要求输入主电子邮箱作为账户名称。其中的原因众多。首先，你所注册的网络服务之所以想要你的邮箱地址主要是出于营销和广告的目的，如此才能向你发送他们的产品促销广告。 对于用户而言更加重要的是，一旦你的在线账户遭窃或忘记密码，主电子邮箱账户还能帮助恢复在线账户。从这个角度看，你的主电子邮箱账户相比于PayPal或网银账户而言更具敏感性，因为一旦电子邮箱账户遭窃，PayPal和网银账户也将同样处于危险之中。 遭入侵的账户还会影响你的所有联系人。就好比拒绝给孩子注射流感疫苗的下场：不仅只影响你自己，还会影响周围的每一个人。 除此之外，控制你电子邮箱账户的网络犯罪分子还会收集一些你使用其他在线账户的重要信息，然后对这些账户一一进行入侵。因此，电子邮箱账户一旦遭入侵，往往即意味着自己的整个数字生活遭受入侵。 这也是我们为何反复强调使用强大密码、启用双重认证以及对重要账户进行所有可能的安全控制的原因所在。你需要担心的不仅仅是主电子邮箱账户。 Goolge和苹果账户依据你所使用的服务（尤其是是Gmail或iCloud）很可能会提供对大量在线和现实信息的访问。此外，Facebook和Twitter还有权访问数量众多的其他在线账户，因此同样需要引起重视。Facebook独有的连接功能甚至成为了整个网络的认证代理。 OpenID也提供类似的服务–一旦账户被盗–可以使得攻击者访问包括主电子邮箱在内的所有在线账户，因此需要对此严加防范。 很难说你使用的帐户是用于何种目的，但你应不定期地进行检查。仔细查看自己账户的设置页面并确定这些账户之间的相互联系以及连接第三方应用和网络服务的方式，并采取相应措施。 长话短说：你需要以处理网银账户的方式来处理你的主邮箱地址，由于它是你最重要的在线账户，因此需要更加仔细。你是否从公共网络或不熟悉的计算机上访问网银账户？不得以上述两种方式访问你的主邮箱地址，因为你根本无法确定所使用计算机是否向自己的一样安全。 不仅需要关心自己的电子邮箱账户。 一旦你的账户遭到入侵，还会影响你所有的联系人。就好比拒绝给孩子注射流感疫苗的下场：不仅只影响你自己，还会影响周围的每一个人。因为当你一旦感染麻疹，必定会提升感染与你接触的人的风险。 #将你主邮箱地址的安全性#置于首位，因为可能还会导致所有其他账户遭窃。 与此相类似，一旦你的账户遭到入侵，网络攻击者将其作为工具，以攻击你的朋友、其他家庭成员和网友的账户。一名”出色”的网络攻击者会通过入侵一个账户来收集信息并发送恶意邮件，使受害者无从分辨真伪。一款强大的反病毒解决方案将能保护你免遭含有恶意软件的垃圾邮件攻击。卡巴斯基安全产品内含反钓鱼技术，能够检测出网络钓鱼网站并向用户发出警告。此类保护功能，将能防止你将重要信息”交予”模仿合法网络服务的网站。最后，该类反钓鱼保护功能还能防止你不小心同时泄露密码和用户名，从而通过一次攻击就能获取有价值的账户。 保持网络安全并非易事，但如果我们能共同协作，遵照以上方法并部署多层保护的话，我们就一定能取得胜利。

有多少个人隐私你觉得会从iPhone手机泄露出去？即使手机拿在手中，放在桌子上，或是接在笔记本电脑上充电，都有可能会泄露一些个人隐私—从个人通信和照片到资金信息和登录凭证。那么又该如何保护自己的iPhone手机呢？接下来，我们将为您提供10个安全小贴士，从而最大提升您iPhone手机的安全性。 首先需要提醒的是，以下任何方法都会导致你iPhone手机的一些有用功能失灵，但为了更好地保护你的个人数据，这些方法绝对值得一试。你不必逐一采用以下所有的方法，只需挑选一些既适合自己又能提升安全性的方法—选择哪些完全取决于你自己。 十大安全小贴士：如何才能让你的#iPhone#手机避免泄露个人隐私 1. 使用强大的密码取代4位pin码 保护个人数据最简单和有效的方法是使用强大的密码用于屏幕解锁，从而取代原先的4位pin码。建议采用由字母、数字和符号混合组成的复杂密码。最好是在锁定屏幕后即要求输入密码，且没有任何的延迟。此外，你还可以打开”清除数据”功能选项，在尝试密码错误10次以后设备即会自动清除保存的所有内容。但需要提醒的是，所有数据一旦被清除以后即无法恢复，因此最好还是不要忘记自己的解锁密码。 这样做到底有什么好处？这将能有效降低犯罪分子猜出你密码的可能性。 可以在哪里进行设置？前往”设置”–>”密码”（或”指纹识别和密码”）–>”需要密码”：立即；”简单密码：关闭”。 2. 关闭锁屏通知 当有通知出现在锁屏上时，再强大的密码也无法保护你的个人数据免遭外泄。手机应用内的消息、邮件和其它信息可能会包括像”确认码、私人约会和财务数据”这样的敏感数据。你iPhone手机锁屏上显示的通知越少，你个人资料就越安全。 这样做到底有什么好处？这将能阻止陌生人窥探显示在锁屏上的信息。 可以在哪里进行设置？前往 “设置”–>”密码”（或”指纹识别和密码”）–>”锁定时允许访问”部分。 3. 打开Apple ID和iCloud两步验证 相比单一验证而言，两步验证无疑为你的iPhone手机又添了一把锁。因此无论对于Apple ID还是iCloud而言，我们都强烈建议您采用两步验证方法。在创建两步验证时，你可以通过短信或Find My iPhone服务注册一个或多个信任设备（你所拥有的），随后会收到4位验证码。完成后，每次你在新设备上登录Apple ID、iCloud，或者通过iTunes、iBooks或App Store购买产品时，你都需要输入密码和4位验证码方能通过ID验证。 这样做到底有什么好处？这将能有效防止自己的苹果账户被未经授权的他人所使用。 可以在哪里进行设置？前往https://appleid.apple.com –>”管理您的Apple ID” –>”密码和安全”–>”两步验证”。 4. 在锁屏状态下禁用Siri

上周，在美国华盛顿州西雅图市举行了 一年一度的”Virus Bulletin”技术交流大会。该会议被誉为全球历史最为悠久的安全会议，与Black Hat安全大会一样，今年的会议一改往年单纯面向企业的陈述报告，还有更多消费者参与到其中，会议讨论的话题也更为贴近普通大众感兴趣的领域。 在本次会议上，我的卡巴斯基同事对两项大众普遍感兴趣的安全话题做了简报（全面披露）：对比特币盗窃案件从轻微犯罪快速升级至好莱坞式抢劫大案的原因解释；以及关于现代家庭入侵方面的陈述。此外，还有一些会议内容同样吸引眼球：将苹果Mac OS X操作系统作为攻击目标的恶意软件现状报告，以及对”白领犯罪”如何改变安卓操作系统的惊鸿一瞥。 家庭入侵 David Jacoby所撰写的有关入侵自己家庭各种设备的经历于近期刊登在了卡巴斯基博客上。他提出了这样一个问题：…如果我们无法保护自己设备免遭当前的威胁，那就算能发现未来可能的新威胁又有何用呢？ 他之所以提出这样一个问题，是由于Jacoby担心整个安全行业将过多的时间用在讨论”零日漏洞”以及其他一些存在于联网的汽车、冰箱、酒店、家庭报警系统、厕所以及其他所谓”物联网”设备内的高级漏洞上，但问题是当前几乎没有什么人会拥有这些设备。而与此同时，我们对于早已存在数年时间的已知问题以及大众普遍使用设备的恶劣安全状况却关注太少，例如：智能电视、路由器、打印机、调制解调器、游戏机以及网络存储设备。 我的结论是：何不独立分出一个特定网络分段将所有上述设备纳入其中，从而与工作站、计算机、手机和平板电脑等设备所用的网络完全分开。 在开始他的实验之前，Jacoby明确表示对自己家用设备的安全性充满信心。毕竟自己作为一名经验丰富的安全研究人员，工作的大部分时间几乎都是用来考虑网络安全问题。因此在发现自己的这些家用联网设备缺乏适当的安全保护措施且存在大量漏洞时，他大为震惊。 本周早些时候，在Virus Bulletin会议上所播放Threatpost主编Dennis Fisher的播客中，Jacoby注意到一个有趣的观点：随着人们愈来愈注重保护自己的移动设备和传统计算机，似乎对网络硬盘、无线打印机以及其他各种接入家庭网络设备安全性的关注程度有所减弱。 “我们需要着手考虑如何将我们的家用电器更安全地连入家庭网络。” Jacoby说道。”我的结论是：何不独立分出一个特定网络分段将所有上述设备纳入其中，从而与工作站、计算机、手机和平板电脑等设备所用的网络完全分开。” 苹果恶意软件 Synack研究主管Patrick Wardle谈到了各种存在于Mac计算机的恶意软件。Wardle的数据表明，在过去5年内，OS X操作系统在家庭和企业工作站的市场占有率从7%提升至近15%。目前苹果是美国个人计算机市场的第三大供应商。 在2012年，苹果曾发表过这样的声明：”Mac计算机不会受到任何PC病毒的感染，同样对数千种肆虐于Windows系统计算机的病毒也完全’免疫’。”从技术上看，毫无疑问第二句话是正确的。然而，按照Wardle所陈述的内容，第一句话的准确性显然值得商榷。尽管苹果方面并不愿承认Mac计算机就是个人电脑，但却是毋庸置疑的事实。 据VB2014会议报告#比特币#、#苹果恶意软件#、易入侵消费类设备以及更多安全事件呈快速上升趋势 Wardle宣称最早出现在Mac计算机的病毒被称为’Elk Cloner’。该病毒以Apple II为攻击目标，在上世纪80年代广为传播。就在去年，Wardle还表示新增了30种将OS X平台作为攻击目标的恶意软件。当然与将Windows系统设备和安卓系统设备作为攻击目标的恶意软件的数量相比，这一数字几乎可以忽略不计。 然而，Wardle断言随着市场上Mac计算机数量的增加，以及大多数Mac用户所部署的反病毒保护措施相对薄弱且严重缺乏Mac恶意软件分析工具，因此可能会带来一系列麻烦，这也恰好解释了他为何致力于”找出OS X操作系统的持久性机制以及研究危害Mac计算机的恶意软件，[如此]我们才能更好地保护我们的Mac计算机。”