卡巴斯基实验室
45 文章
透明度
#RSAC2018
意识
比特币
透明性
安全性反垄断:这是我们在欧洲必须追寻的目标
大家好! 在此,我们将掀开惊悚侦探片(反垄断)的新篇章…… 您可能会注意到,去年底,我们向俄罗斯联邦反垄断局(FAS)投诉微软。就在最近,我们在欧洲做了同样的事情——向欧盟委员会和德国联邦企业联合管理局提起投诉。 那么,我们为什么要这样做?这是因为:我们的用户——我们在全球拥有数亿用户,他们相信我们,依靠我们来保护他们的数据。他们只是希望获得最高水准的保护——这就是为什么他们选择我们的原因(即便他们也选择了其他独立杀毒软件,但他们仍受到了影响)。他们有权选择自己想要的、我们能提供保护的软件。 我们清楚地看到——并且已经准备就绪以便证明——微软利用其在计算机操作系统市场的主导地位,以牺牲用户的选择空间为代价,大肆推广自家质量低劣的安全软件Windows Defender。这一推广做法采用备受质疑的方式进行,我们希望这些方法能引起反垄断部门的重视。 附带说一句,我们向俄罗斯联邦反垄断局提起的申诉已经得出了结果:微软已经对我们突出强调的问题进行了修正——并且在俄罗斯联邦反垄断局发布官方声明之前已采取了措施(我已经于今年五月初在博文里解释过了)。因此,我还能说些什么呢?我真诚地感谢微软所做的一切!微软所采取的措施是正确的,是非常鼓舞人心的。 然而,时至今日,微软仍然存在着我们在申诉中没有明确直说的其他方式和做法。因此,我们不打算勉强接受已经取得的目标,而是要继续努力,以便保护用户和杀毒软件行业的利益。 现在,就让我们来审视一下我刚才提到的、微软尚未解决的其他方式和做法。 让您疑惑不解的问题 让我们就从微软将其杀毒软件内置到家庭用户的Windows 10开始:这类软件完全不能关闭,也完全无法删除。直到现在也没有人询问您是否需要该杀毒软件。即使您使用其他安全解决方案,微软的杀毒软件仍然会定期进行安全扫描。 还有一个例子:在用户试图通过使用独立的安全解决方案来进行操作时,每一步都会被问及:”您是否希望运行该程序?”之后又问道:”您应只运行您信赖的发行商提供的软件。”这就好像是在说,如果用户违背了微软的默认设置,就会采取错误行动一般。 此外,在我们安全解决方案的许可证到期和关闭防病毒保护后的三天,我们被禁止通过自己的通知系统告诉用户许可证续期是个不错的办法,那样一来安全软件又可以重新启动和运行。与之相反的是,我们被迫使用微软的通知系统——也就是目前所说的”Action Center”,很多用户对该系统知之甚少。 不可思议的是,此类限制仅适用于杀毒软件——微软多年来一直奋力地想与这些杀毒软件争高下(但表现却不佳)。然而,旧版的Windows(Windows 10之前的版本)没有采取类似这样的特殊措施。因此,这看起来就像是微软在与其他杀毒软件竞争多年无果后,转而采用了其他方法,即在操作系统中内置自家杀毒软件的策略(我们认为这很阴险)。 Windows 7(顶部)和Windows 10(底部)中安全解决方案许可证到期的通知 神秘消失 我们的用户遇到的另一个让人不悦的问题是:在升级到Windows 10后,我们的安全软件神秘消失了。情况是这样的: 您在升级操作系统,此时明确地告知您,您的数据和程序将保持完整和安全,不会有不兼容的程序,一切都很好、没有问题,您在升级操作系统时完全可以放心。 但之后,多数情况却是这样的:当升级仍在进行时——或许是再次出于此类阴险的策略——Windows认为您现用的安全解决方案与Windows 10不兼容,于是删除了驱动程序(留下一堆无用的文件(没有驱动程序安全解决方案无法运行)),并取而代之的替换为自家的解决方案。 Windows在未获得用户的明确同意和几乎未提供任何提示的情况下自行采取这一举措:屏幕上的通知只显示了几秒钟。此外,采用粗体字的通知声明说”我们已开启Windows Defender”,并且使用未加粗的小号字体声称已删除您现用的安全解决方案: 将适度通知情况与微软自家解决方案的报警窗口进行比较 更有趣的是,在删除独立保护程序后,此类程序仍然在已安装程序的列表中!因此,如果用户错过了与微软启动其保护程序有关的转瞬即逝的”通知”,及/或没有时间弄清楚这意味着用户自己选择的现有安全解决方案已经被删除,他们可能无法完全明白到底发生了什么。也就是说,在用户选择的安全解决方案事实上已被删除时,用户认为这些解决方案仍然运行(为什么不会运行呢?这些软件仍然在已安装程序的列表中;甚至桌面上的图标都仍然存在)。
洗劫ATM机的三大作案手法:远程入侵、类远程入侵、物理破坏
大家可能注意到我们很喜欢讨论ATM机盗窃案。当然,我们本身不会这样做,但是只要有人干了,我们会立即跳出来讨论相关案例。一年一度的安全分析专家峰会(SAS)是卡巴斯基举办的一项重要网络安全活动。在2017安全分析专家峰会上,卡巴斯基实验室专家Sergey Golovanov和Igor Soumenkov谈到了下面三个很有意思的案例。
屡获殊荣,值得信赖: 如何挑选反病毒解决方案
这是最近的一次测试评选,结果让我们倍感自豪:截至2016年底,我们囊括了德国AV-Test实验室评出的半数以上的奖项。在15个奖项中,卡巴斯基的产品摘得了其中的8项!
免费解密CryptXXX第3版
今天,我们很高兴地宣布,我们的研究人员已成功开发出针对CryptXXX木马第3版的解决方案,因此任何后缀带.cryp1、.crypt和.crypz的文件都能解密成功。我们为Rannoh解密器工具添加了新的解密功能,访问我们的网站或NoMoreRansom.org上都能找到。
NoMoreRansom计划:更大、更好、更快、更强!
关于NoMoreRansom这个原本就规模不小的计划,始于欧洲刑警组织、荷兰警方、英特尔安全公司以及卡巴斯基实验室之间的联合倡议,我们最近也发表了与此有关的博文。迄今为止,已有超过13个国家加入,而NoMoreRansom也帮助了2500名用户成功解密了遭勒索软件破坏的数据—且未支付任何赎金。
你所需了解关于勒索软件的一切
事实上,计算机往往很容易就会感染勒索软件。就算你不是经常搜寻免费色情视频或打开大量垃圾邮件,甚至什么也没有干,却仍然可能处于危险之中。下面就将为你们一一解答其中的原因,以及所需采取的安全防范措施。
Windows10 周年纪念更新:兼容性问题
秋季通常是发布更新的繁忙季节,至少在高科技世界是如此。我们最近推出了全新产品系列,同时微软也发布了Windows 10的重要更新,又称Redstone 1或纪念版更新。借着本次双重更新的契机,我们将讨论一下兼容性问题。
MarsJoke:cryptor及相关解决方案
最新发现的Trojan-cryptor Polyglot (又称MarsJoke)就是对名声不佳(且危害更大)CTB-Locker勒索软件的”仿制”。其界面不禁让人联想起了老式的木马病毒。它模仿CTB-Locker方式更改受害人的桌面壁纸,并为受害人免费解密5个文件以证明文件只是被锁定,而非损坏。
老年人的在线生活:习惯和关注点
在本篇文章中,我们试图了解老年人的上网习惯,他们是否知道网络威胁的存在,以及他们上网时担心和害怕的东西。在我们的分析中,我们使用了2016年8月的研究调查数据:总共调查了来自21个国家的12,546名用户,年龄均为16岁以上。在所有受访者中,55岁以上占到了13%:55-64岁占到7%,65岁及以上老人占了6%。
ATMs黑客入侵ATM机的4种方法
此前,我们已讨论了不少有关黑客小组从ATM机盗取巨额现金的案例。而现在你可以亲眼目睹这一犯罪行为。我们的安全专家们专门录制了4段关于黑客入侵ATM机的视频。免责声明:在录制过程中没有一家银行遭受损失,同时我们也不建议任何人尝试这些”方法”。 方法1:假冒处理中心 这一方法需要攻击者能接近ATM机联网的网线。黑客首先需断开ATM机与银行网络的连接,随后将ATM机网线连到假冒处理中心的装置上。 该装置被用来控制钞箱和向ATM机发送命令,进而要求所选的钞箱吐钞。方法其实很简单:攻击者使用任意一张银行卡或输入任何PIN码就能成功完成交易,且看上去完全正当合法。 方法2:远程攻击多台ATM机 这一方法需要在目标银行有内应。犯罪分子首先从银行内部人员手中购买能打开ATM底盘的钥匙。钥匙并不能让攻击者直接打开钞箱,却能露出网线。黑客拔出ATM机连接银行网络的网线,随后插入特殊装置并发送所有数据至他们自己的服务器。 通常连接ATM机的网络并非分段(为安全起见),同时ATM机本身也可能存在配置不当的问题。上述情况中,黑客完全可以利用一台恶意装置同时操控多台ATM机,就算只连接了其中一台ATM机也能实现多台联动。 剩下的工作就好比方法1中所描述:通过安装在服务器上的伪造处理中心,攻击者就能完全控制ATM机。无论ATM机是什么型号,犯罪分子只需任意一张银行卡就将ATM机内的钞票全部取出。而ATM机唯一需要一致的就是连接处理中心所使用的协议。 方法3:黑盒子攻击 如上所述,攻击者获得了能打开ATM底盘的钥匙,但这次则需要将机器调成维护模式。随后,黑客将一个所谓的黑盒子插入露在外面的USB端口。这里的黑盒子其实是一台能让攻击者控制ATM机钞箱的特殊装置。 在攻击者篡改ATM机的同时,其屏幕却显示类似”正在维护”或”暂停服务”的消息,但实际是ATM仍能吐钞。此外,黑盒子还能通过智能手机进行无线控制。黑客只需在屏幕上点击一个按钮就能吐钞,然后利用黑盒子隐藏ATM机遭篡改的证据。 方法4:恶意软件攻击 利用恶意软件感染目标ATM机的方法有两种:将含恶意软件的U盘插入端口(要求有ATM底盘的钥匙)或远程感染机器,但前提是首先感染银行网络。 一旦ATM机未对恶意软件有所防范或未使用白名单,黑客就能运行恶意软件向ATM机发送命令吐钞,反复攻击直至所有钞箱均清空为止。 当然,并非所有ATM机都易遭受黑客入侵。只有某些地方存在配置错误,上述攻击才可行。比如:银行网络未分段;ATM机软件与硬件交换数据时无需认证;没有针对应用程序的白名单;或者网线容易接触到等等。 可惜的是,这些问题都普遍存在。例如,攻击者完全可以利用Tyupkin木马病毒感染大量ATM机。卡巴斯基实验室的专家们时刻准备帮助银行修复这些漏洞:我们不仅提供这方面的咨询服务,还能审查和测试银行的基础设施以抵御各种攻击。
2016如何永久远离垃圾软件的侵扰
在所有计算机用户中,总共可以分成两大类。有些用户在安装软件时从不留意安装过程,为此常常奇怪自己的PC电脑为何塞满了各种垃圾程序,进而影响到了计算机的性能和可用性。另一些用户在安装实用软件时,总是记得取消勾选那些不需要的程序。他们的PC电脑运行出色,但有时在安装新软件和更新时,也会因需要一直保持警惕而感到厌烦。甚至一些小心仔细的用户有时也会不耐烦地随意点击。
办公室适应未来发展的网络安全
如今,整个网络安全行业都面临着一个根本性的问题:人才供应不足。Frost & Sullivan预计到2020年,网络安全行业将出现150万名技术熟练人员的岗位缺口,尽管各国教育体系已不断努力培养相关专业人才。许多大公司的IT部门同样也面临着巨大的岗位缺口。
anglerLurk木马:搜寻并消灭
目前,网络罪犯可能存在的最大问题就是他们极难抓捕到。想象一下现实中头戴面具、手握长枪的银行劫匪—就算是小偷也会留下指纹;监控摄像机会记录下罪犯的声音;同时警察也能利用交通摄像头追捕犯罪车辆的行踪。所有这些手段都能帮助警察寻找到犯罪嫌疑人。但网络犯罪分子在实施犯罪时却基本…什么都不会留下。而且毫无线索可寻。