易受攻击

卡巴斯基实验室衷心希望我们每个人都能对公共充电接口的风险性提起重视。但如果是那些常年奔波在外，偶尔才能回一次家里或办公室的商务人士来说，又该如何规避风险呢？为此，我们专为这类人群设计出了一种独家解决方案：Pure.Charger。’

一年前，我们的同事David Jacoby（GReAT团队的安全研究专家）成功黑客入侵了自己家中的各种设备，同时还有很多有趣的发现。许多卡巴斯基实验室员工深受David试验的鼓舞，纷纷跃跃欲试，在自己家中展开相同的试验。

在本周，一种新的互联网bug出现在了Bourne again shell（Bash）内，并似乎是自”OpenSSL Heartbleed漏洞事件“以来影响程度最高的安全漏洞。尽管其真实的危害程度尚不得知，但Bash漏洞已然成为了近期人们热议的话题。就在昨晚的夜新闻中，你甚至还能看到本地的新闻主持人对这一话题的讨论，而节目的背景则是布满一串串快速滚动的计算机代码的绿色屏幕。 什么是Bash？ Bash是一种脚本语言和命令行外壳程序，于1989年为GNU计划而编写。Bash能将用户和机器输入命令的解析成系统级命令进行执行。它主要的功能是发出命令和对命令进行解释。如果你想了解更多有关Bash 的知识，请转到GNU Bash页面。 Bash广泛运行于大多数Unix系统和Linux distribution版本以及从Unix和Linux汲取诸多元素的苹果OS X操作系统。此外，在数量众多的Web服务器以及家用电器（包括但不限于路由器、调制解调器以及许多附网设备和其它面向网络的系统）中，也同样能看到Bash的”身影”。 Bash bug最初由Akamai安全公司的Unix和Linux网络与电信管理员Stephane Chazelas所发现。事实上这一漏洞已存在了很长一段时间（或许已超过20年），你可以想象其传播范围之广。与Heartbleed漏洞一样，我们只能期望Chazelas是第一个发现这一bug的人，但真实情况我们永远无法获知。 Bash漏洞是如何对互联网用户进行影响？ 过不了多久，互联网上不可避免地会出现将Bash漏洞作为攻击目标的漏洞利用工具。这些漏洞利用工具能够在Bash被呼叫时，使攻击者将恶意执行文件远程附到被执行或解释的代码或脚本碎片上。换句话说，只要拥有一款成功的漏洞利用工具，攻击者就能完全控制受影响的系统。 “相比于此前的Heartbleed漏洞而言，Bash漏洞更易于为网络犯罪分子所利用。此外，Heartbleed漏洞只能让网络犯罪分子有机会从内存中窃取数据，并希望找出一些有价值的信息。相比之下，bash漏洞更易于造成整个系统遭受控制，因此似乎更加危险。” 当被问及Bash bug是否会成为”Heartbleed”第二的时候，我们的卡巴斯基实验全球研究与分析团队（GReAT）的朋友是这样作答的： “相比于此前的Heartbleed漏洞而言，Bash漏洞更易于为网络犯罪分子所利用。此外，Heartbleed漏洞只能让网络犯罪分子有机会从内存中窃取数据，并希望找出一些有价值的信息。相比之下，bash漏洞更易于造成整个系统受到控制，因此似乎更加危险。” 卡巴斯基研究人员推测Bash bug还能被用于窃取银行信息，从而最终导致资金损失。网络攻击者大可利用Bash漏洞通过你的个人电脑窃取登录凭证，但前提需要找到一些漏洞利用载体以访问Bash命令接口。但要真的做起来却并不那么容易。现实中更多的情况是：网络攻击者将你使用最频繁的银行网站作为攻击目标，并同时尝试锁定多个账户及其信息。 从美国计算机紧急事务响应小组所发出的警告似乎最能说明Bash漏洞的严重程度： “该漏洞被行业标准机构评为’高’影响度（CVSS影响分值：10）和’低’复杂程度，这意味着只需一点儿技巧即能执行攻击。该漏洞使得攻击者能够提供精心设计的涵盖任意命令的环境变量，并能在存在漏洞的系统上执行。由于Bash Shell的流行程度以及能以多种方式被应用呼叫，因此危险程度尤其高。” Bash bug在影响程度和漏洞利用复杂程度方面与Heartbleed也有所不同，后者是影响程度高但难以利用，而前者则影响程度高的同时还易于利用。 什么是#Bash漏洞及其影响用户的方式？ 如何才能保护自己免受Bash漏洞的影响？ 除了永久地远离网络以外，为保护系统安全，你只需要确保在第一时间安装合适的供应商特定更新。至于台式电脑或笔记本电脑上的操作系统，你能做的只是等待管理你特定distribution版本的研发人员发布相关补丁。

如果你始终关注互联网和计算机安全方面的新闻，那么听到许多智能家居系统设计不周或配置不良，导致安装这些系统的家庭面临着大量严重的安全漏洞时，你应该不会觉得太意外。 这么说恐怕小瞧您，但智能家庭确实与您想像中的完全一样（你会想到智能手机、智能电视、智能汽车等等）：家里的所有家电、冷暖系统、照明系统、烟雾探测器和/或门锁全部连到家庭网络，而家庭网络又最终连到互联网，计算机、手机和平板电脑以及其他相对传统的支持互联网的设备也全部都连到互联网。通过这样的系统，用户能够远程监视和操控家里的各个系统。 一直以来，研究人员都对智能安全系统和连接互联网的门锁和烟雾探测器（还有其他任何连到互联网的设备）的安全性有所置疑，这也是我始终关注的问题。最新的新闻是，AV-Test.org对7种不同的智能家居套件的安全情况进行了测试，结果发现其中4种都差强人意。 当然这7个套件只是沧海一粟，也许在统计学上来说微不足道，也不是具有代表性的取样量。但无论如何，在此次研究中发现的有漏洞的设备，可以被利用进行内部攻击（在某些情况下还可进行外部攻击），攻击目标是家庭网络及其所连设备，或者是住宅本身及其家里的东西。 国际知名安全评测组织AV-Test分析的七款智能家居套件分别是：iConnect（eSaver）、tapHome（EUROiSTYLE）、Elements（集怡嘉）、iComfort（REV Ritter）、Smart Home（RWE）、QIVICON（德国电信）和XAVAX MAX!（Hama）。AV-Test发现，其中只有集怡嘉、RWE和QIVICON套件能够良好地防御黑客入侵和未授权访问。iComfort和tapHome套件均在本地含有可利用的漏洞，这意味着攻击者需要在家里才可利用这些漏洞。最严重的是iComfort和XAVAX MAX!套件，这两款套件能被远程入侵（同时也能被本地入侵）。 每种产品都有一组不同的功能。但总体来说，这些功能属于电力、供暖和安保控制系统、门窗和房间监视系统、开关插座的控制系统以及照明、供暖和电力的开关系统。 广义上来说，攻击者能够操控连接的系统来达到破坏的目的（比如，关闭供暖，使管道在冬季破裂）。 因此，最可能的攻击是利用这些系统中的漏洞作为接入点，并最终获取家庭网络中存储的宝贵数据。 然而，大多数黑客犯罪分子的目标是金钱。因此，最可能的攻击是利用这些系统中的漏洞作为接入点，并最终获取家庭网络中存储的宝贵数据。还有可能发生的情况是，不安全的设备被入侵后，可被控制用于对可能的实际盗窃目标进行监视。高手甚至可借此打开门锁，从而更轻松地实施盗窃。AV-Test注意到，有能力在各种所连设备上传播的勒索软件很容易被攻击者所利用。用户不得不为此支付勒索费用，否则整个住宅都会停止工作。 AV-Test重点研究了设备之间的通信是否加密，默认情况下套件是否要求主动认证（网络或物理访问密码）以及易受远程攻击的难易程度。 Gigaset、RWE和QIVICON产品的通信都始终加密，因此被AV-Test视为是安全产品。iConnects的通信虽然也加密，但AV-Test表示，此套件的加密很容易被绕过。根据研究中的观察结果，其余的iComfort、tapHome和XAVAX MAX!这几个产品根本就没使用加密。 未部署任何加密机制意味着所有智能家庭通信都可以被轻易拦截。所以攻击者能够监视这些设备的所有来往通信，骗取代码来操控设备活动，甚至只监视这些设备就能推断出家里有没有人。 未部署任何加密方法意味着所有智能家庭通信都可以被轻易拦截。 iComfort产品完全不要求认证，这意味着远程攻击者能够基于网络启动对系统的攻击。iConnect和XAVAX MAX!系统要求网络接入认证，但对本地物理接入不要求认证。tapHome要求内部认证，但据研究显示，这种措施其实毫无作用，因为产品缺少加密机制。Gigaset Elements、RWE Smart Home和QIVICON都要求物理和网络接入认证（安全通信除外）。 但好消息是：AV-Test认为，如果这些产品制造商花些时间来开发可靠的安全理念，而不是将有缺陷的产品急不可耐地上市销售，那么打造一个安全的智能家居系统完全是可能的。另一个好消息是：AV-Test为您购买智能家居系统提供了挑选标准：请挑选总是要求认证，并且始终加密通信的系统。

在发现恼人的Heartbleed bug短短数周之后，像你我这样的普通网民可能需要关心一下另一个看似普遍的问题，这个问题无法轻易给出答案。这个问题就是”隐蔽重定向”bug的准确定义，并于近期由新加坡南洋理工大学数学系的王晶博士公布。这些问题是在流行的互联网协议OpenID和OAuth中发现的；前者在您使用来自谷歌、Facebook和LinkedIn的现有登录信息来登录网站时使用，后者是在您授权网站、应用程序或服务使用您的Facebook/G+账号而非真正输入您的密码并登录第三方网站时使用。这两个协议通常结合使用，但事实证明，这可能会导致您的信息泄露。 威胁 我们在Threatpost的朋友针对这一问题给出了更具技术性的解释，并顺带提供一个原始研究链接，但我们会省略不必要的细节，只说明可能发生的攻击场景和后果。首先，用户访问一个恶意钓鱼网站，其中出现典型的”使用Facebook账号”登录的按钮。钓鱼网站可能酷似流行的第三方服务或将自己伪装为一个全新服务。一旦您点击该按钮，则会出现一个逼真的Facebook/G+/LI弹出窗口，提示用户输入自己的登录名和密码信息以授权上述（并且可能有声誉的）服务来访问他们的用户配置文件。最后，使用不当的重定向方式，将使用该配置文件的授权被发送到不正当（钓鱼）网站。 首先，用户访问钓鱼网站，并尝试使用Facebook账户或其他OpenID提供商账户登录。 在当天结束的时候，网络罪犯收到一个适当的授权（OAuth token），利用原始应用程序拥有的任何权限来访问受害人的配置文件——最好的情况下，只是访问基本的用户详细信息；最坏的情况下，可读取联系人、发送消息等内容。 这一bug已被修复？事实并非如此 这个威胁不会很快消失，因为修复必须在提供商端（如Facebook/LinkedIn/谷歌）和客户端（第三方应用程序或服务）同时执行。OAuth协议仍处于测试阶段，各个供应商使用不同的手段措施，并依据抵御上述攻击的能力而各有不同。LinkedIn在修复方面处于更有利的位置，因采取了更为严格的处理措施：即要求第三方开发人员提供适当重定向的”白名单”。到目前为止，每个使用LinkedIn授权的应用程序或安全或依然无法运行。而Facebook面临的情况则有所不同，因为其所拥有大量第三方应用程序，并且这些应用可能使用更早版本的OAuth执行。这就是为什么Facebook的代表告诉王晶，”无法在短期内修复的原因”。 此外，还存在众多似乎易受攻击的其他供应商（查看以下图片），因此如果您使用这些服务登录某些网站，则必须采取行动。 您的行动计划 对于最谨小慎微的用户来说，最可靠的解决方案是在未来数月放弃使用OpenID和这些便利的”使用……登录”按钮。您可能会受益于增强的隐私性，但使用社交网络账户登陆将导致您线上行为被更有效地追踪，并使越来越多的网站可以读取您的个人基本数据。为了避免因登录各种网站而不得不记住几十甚至上百个不同密码，您可能最终会使用有效密码管理器。当今的大多数服务都配有多平台客户端和云同步，以确保您能在自己不同的设备上访问您所有密码。 对于谨慎的用户来说，最好的解决方案莫过于在今后几个月放弃使用Facebook/谷歌账号登录。#OpenID #CovertRedirect 然而，如果你打算继续使用OpenID授权，并不会发生什么直接的危险。你只需要保持高度警惕，避免任何网络钓鱼诈骗，它们的通常手法是首先向您的邮箱发送骚扰邮件，或者在Facebook或其他社交网络上提供吸引眼球的链接。如果您使用Facebook/Google等账号登录到某些服务，应确保您使用手动输入的地址或书签打开此服务的网站，而不是点击您的邮件或者消息中的链接。仔细检查地址栏，避免访问粗制滥造的假网站，且不使用OpenID注册新服务，除非您100％肯定相应服务信誉良好且登录的是正确网站。此外，请在您所有设备上使用安全浏览解决方案，如卡巴斯基安全软件多设备版，以防止浏览器访问危险站点，包括网络钓鱼网站。 这只是一个为谨慎起见而采用的普通防范练习，每位互联网用户应每天进行这样的练习。网络钓鱼的威胁分布广泛而危害巨大，它会导致各类数字财产损失，包括：信用卡卡号和电子邮件登录账号等。OpenID和OAuth中出现的”隐蔽重定向”bug只是让您更有理由进行防范——没有例外。