更新

在工业自动化基础设施中，常见的气隙条件或有限的连接等情况使得更新变得复杂。我们该如何在不影响ICS环境的情况下，使这些系统保持最新状态呢？

显然并不是所有人都知道该如何修补WannaCry所利用的Windows漏洞，这个漏洞能使WannaCry从一台PC感染另一台PC。所以在本篇文章中，我们将解释该怎样修补以及在哪里下载必要的补丁。

秋季通常是发布更新的繁忙季节，至少在高科技世界是如此。我们最近推出了全新产品系列，同时微软也发布了Windows 10的重要更新，又称Redstone 1或纪念版更新。借着本次双重更新的契机，我们将讨论一下兼容性问题。

本月开始，Google将逐步停止对OS X 10.6（雪豹）、10.7（狮子）和10.8（美洲狮）这些老版本系统上的Chrome浏览器提供技术支持。

我有时在想如果这个世上再没有信息安全问题了，那会变成什么样。我们的Threatpost.com新闻博客是否会转而刊登报道一些宠物方面的文章？那在不久将来是否有可能呢？考虑到IT行业的发展速度，这的确有可能。而现在我们依然在努力将许许多多的安全问题”扼杀在萌芽中”，一旦这些问题得以全部解决，崭新的信息安全时代将一定会到来。

欢迎来到本期的《安全周报》。在首期《安全周报》中，我们介绍了有关自动开锁汽车、安卓长期存在的Stage Fright漏洞攻击以及我们将不再受到网络监视（事实上情况依然存在）的新闻故事。 在本篇博文中，两条看上去毫不相关的新闻却有着一个共同点：时而由磁阻引起的漏洞可以采取现有安全措施予以解决。第三个新闻故事并不完全与网络安全有关，而是更多关注业内各方关系的特殊案例。这三个新闻故事可以说是趣味横生、各有特色。 我想再提一下我们《安全周报》的编辑原则：Threatpost编者每周会精选三个在当周最吸引眼球的新闻故事，而我则会加上自己的辛辣点评。你可以在这里找到这些系列的所有事件背景。 黑客入侵酒店房门 Threatpost新闻故事。 人们总是说科学与艺术之间有着一条难以跨越的鸿沟，同时这两个领域的专家们也难以相互理解。还有一个根深蒂固的说法是人文主义知识分子无法变成一名科学家或工程师。 但这一传统观念却被一名受过正规音乐训练的音乐家John Wiegand打破。在上世纪30年代，他既是一名钢琴演奏家同时也是儿童合唱团的指挥，直到他对设计音频放大器产生了浓厚的兴趣。到了上世纪40年代，他专心致力于那个时代的新奇事物–磁带录音的研究。而到了1974年（当时已62岁），他终于有了重大发现。 这项发明被称为”韦根传感器”，磁钴铁和钒合金丝在经过适当处理后会发生变化，从而在软内芯周围形成硬外壳。外磁场可轻易磁化外壳并抵抗退磁，即使外磁场退回到零时也同样如此—这一特性被称为”更大的矫顽力”。软丝填充的行为则完全不同：直到外壳完全填充磁化后，软丝才会填充磁化。 一旦合金丝完全磁化，内芯则最终能够收集它自己一部分的磁化，同时内芯和外壳进行磁极转换。这一转换会产生巨大电压，可用于各种传感和监视应用，在现实生活中完全可以有效利用这一效应，比如：酒店房卡。 与现代感应卡不同的是，”1″和”0″的数字并非记录在芯片内，而是在特别布线的直接序列内。这样的密钥既无法重编程序，其基本设计方案也与现代感应交通卡或银行支付卡大相径庭，但与磁条卡却十分相似–只是后者更加安全可靠一些。 那我们是否就能淘汰感应卡呢？目前还为时尚早。韦根不仅将他发现的效应命名为”韦根效应”，同时也用自己的名字命名了一种目前来看早已过时的数据交换协议。这一通讯协议的各个方面都做得相当糟糕。首先，该通讯协议从未制定过任何适当的标准，而且有许多不同的格式。 其次，原卡的ID只有16位，因此可设置的卡号组合有限。第三，这些感应卡采用了电丝设计，且发明时间早于我们学会如何将”微型计算机”植入信用卡内的时间，因而限制了密钥长度（仅37位），但读卡时的安全可靠性却远远高于后来拥有更长密钥的感应卡。 就在刚刚落幕的黑帽大会上，研究专家Eric Evenchick和Mark Baseggio展示了他们用来拦截授权过程中（未加密）密钥序列的黑客装置。最有趣的细节是：由于信息是在数据从读卡器传输到门禁控制系统过程中遭窃取（也就是历史上韦根协议使用的环境），因而与卡本身毫无关系。 这个微型装置被称为BLEkey –其外形极小，需要嵌入读卡器内（比如：酒店客房门）才能起作用。研究专家们展示了整个过程只需几秒钟时间即可完成。之后一切就变得很简单。我们只需读取密钥，然后等房客离开后打开房门。或者我们根本不用等。或者我们根本就不用开门。如果将这一技术细节形象地描绘成”房门和读卡器/无线通讯之间对话”的话，可能就像这样： “谁在那儿？” “是我。” “请进吧！” 整个过程的确就是如此，只是当中有些细微差别。好吧，通常来说，并非所有的门禁系统都容易受到这样的攻击。即使是那些在这方面存漏洞的门禁系统，也可以受到安全保护而无需彻底更换。根据研究专家的说法，读卡器原本就内置有防范此类黑客入侵的安全保护措施，只是这些安全功能通常禁用。 有些甚至能支持公开监控设备协议，允许你对传输的密钥序列进行加密。这些”功能”并未被使用–我将不断反复强调的是– 制造商之所以忽视安全措施完全是为了降低成本和方便生产。 这里有一个2009年有关这一问题的研究，并附有技术细节。显然门卡（非读卡器）内的漏洞早在1992年就已发现，之后相关专家建议门卡应进行反汇编或使用X光检查。出于这一目的，比如必须将门卡从持卡人处取走。目前的解决方案则是硬币大小的微型装置。这正是我所称之为的科技进步！ 微软与Immunity公司。微软公司与Windows Server Update Services之间纷繁复杂的故事。

让我们共同庆贺为消费者量身定制的安全解决方案升级版的推出—卡巴斯基实验室必出精品—卡巴斯基安全软件多设备版和卡巴斯基全方位安全软件多设备版。这些产品专为解决终端用户最关心的安全问题而专门设计，这些安全问题包括：隐私、数据、对身份和资金的盗窃以及对设备本身的保护。 据2015年消费者IT安全风险调查显示（不久将来将开展更多这方面的调查），用户愈来愈重视在线安全问题。其中70%的受访用户表示采取了安全防范措施来保护个人数据，而61%的用户则担心自己的设备中可能被植入了间谍软件，而对于网络摄像头不信任的用户则占到了总受访人数的49%，原因是这些用户在日常生活中频繁使用网络摄像头进行’现场表演’。而卡巴斯基实验室产品的新版本在设计之初即将所有这些用户关心的问题考虑在内。它们时刻保卫着大多数用户偏爱使用的设备和平台：Windows、OS X或安卓系统。 社交网站、广告和分析代理机构常常会收集有关用户浏览网页的内容、具体位置以及搜索历史等数据。他们只需通过浏览器就能获取这些信息。一旦成功收集此类数据，这些网站和机构就将根据这些信息来确定你的口味和偏好，使得你的浏览页面会不断跳出烦人的广告、发送推销电邮以及将你的个人资料再转卖给其他公司。你是否曾收到过发自某家公司的广告短信，而你根本不知道他们是如何获得你的电话号码？而这正是他们的工作方式！ 隐私浏览功能可将来自网络流量的此类数据清除并通过专用插件向用户报告任何受阻的请求，Mozilla Firefox、ternet Explorer和Google Chrome浏览器均具有这项功能。而卡巴斯基实验室产品的功能则更为强大，不仅能防止用户通过cookie文件被识别，还能向网站发出不希望传输数据的警告。最终确保这些隐私数据不会从你的设备外泄。 另一种普遍存在的问题是用户根本不需要的程序软件在设备内启动，即在用户不知情的情况下，额外的扩展与免费软件捆绑安装。这可能会对浏览器主页、默认搜索引擎以及网络和系统配置产生影响。 此类’附赠礼物’还会收集有关用户及其在线行为的信息，并将这些数据用做不同目的。改变控制功能恰恰是用来检测任何尝试引入此类更改的进程，向用户报告并要求这些进程需用户同意后方能运行或者干脆直接阻止。 隐私清理工具同样得到了升级，从而以一种更好的方式保护您的隐私。你除了可以用该工具来清除Windows计算机上的用户所有行为痕迹外，还可清理浏览器历史以及最新打开文档清单。 如果你担心有偷窥狂黑客入侵你的网络摄像头并对你的个人隐私进行窥视的话，确保启用网络摄像头保护功能。该功能不仅能防止黑客从你的网络摄像头截屏，一旦有合法应用程序访问摄像头时还会立即通知用户，此外还可设置为阻止所有应用程序访问。 为确保网银交易安全，卡巴斯基实验室的Mac和PC版反病毒软件通过采用独一无二的安全支付技术，可检查购物或支付网站是否安全以及你是否遭到网络钓鱼页面的欺诈。在测试后，用户即能以一种特殊且受保护的模式打开网站。 据2015年消费者IT安全风险调查显示，22%的受访儿童用户在互联网曾遭受某种类型的网络威胁，同时其中的21%造成自给家长的数据丢失或资金受损，因此我们同样对屡获殊荣的PC或Mac版上网管理功能进行了升级。这些控制功能允许用户管理他们孩子的应用程序下载、阻止对不适当网页内容和游戏的访问以及防止个人信息的披露。 此外2016系列的便利性也有所提高，你无需检查卡巴斯基实验室产品2016系列是否需要升级和更新，最新的产品中已经包括了自动升级和更新功能，并可通过个人的”我的卡巴斯基账户“进行管理。 当然，我还是想告诉读者的是：卡巴斯基实验室反病毒产品旗舰版获得大多数独立研究实验室的认可，且无论在短期还是长期的各项测试中均得到了最高分。

如果你第一眼看到有弹出窗口要求更新反病毒解决方案（甚至是操作系统），你会怎么做？如果你通常的做法是不予理睬或者干脆关闭的话，那本篇博文正是为您量身准备的！ 为什么我们大多数人在看到这些”不断出现”的更新通知时都会视而不见呢？答案很简单： 我的系统一切运行正常，那为什么还要花时间去更新软件呢？ 如果更新后会产生新的bug和漏洞，那我该怎么办？ 我当时刚好没有时间。 我并不想去学习如何使用所有这些新的工具和功能。 我并不了解所谓的网络威胁，我也不相信它们真的存在（最危险的想法）。 13% of respondents in a recent #survey said that #cyberthreats do not exist https://t.co/ZntYJdeElo — Kaspersky Lab (@kaspersky) November 11, 2014 我们中的一些人常常勤于对家里电脑的操作系统进行更新，而往往会忽视工作使用的电脑，或者反之亦然。我们之所以会”违反网络安全规则”，除了因为我们懒于去做以外，还有我们长期以来养成的不良习惯。要知道使你的软件永远保持最新版本不仅仅是为了一些界面上的改变，最重要的是能够修复存在于系统中的关键漏洞，这一点相当重要。 举个例子来说，许多Windows操作系统用户深受Stuxnet（超级工厂）蠕虫病毒之害，该病毒所利用的漏洞微软于4年前已打上了补丁。感染”超级工厂病毒”的原因很简单：受感染服务器和PC电脑疏于维护，即没有定期进行更新，也没有安装任何的安全解决方案。

我们早已习惯于使用无流量限制的网络：在YouTube观看大量视频、下载大型文件以及安装许多应用。由于许多应用都多少会默认部分设置为”后台自动更新”，因此这会产生巨大的流量。反病毒软件也有同样如此：定期会自动下载新应用版本和更新数据库。 那么，当”正常网络活动”遇上”按流量计费网络”时，你又该如何应对呢？按流量计费方式在全球许多地方相当常见，尤其在使用蜂窝网络时更为普遍。当网络服务提供商按照你所用数据量进行收费时，你这时就真的应该减少自己的网络活动了。然而，对于你的反病毒软件而言，你根本无需任何担忧，因为卡巴斯基安全软件拥有自动减少流量的功能。 在计算机通过蜂窝网络连接互联网时，软件更新可能代价高昂。下面将为您介绍如何避免更新的方法。 卡巴斯基实验室专家们开发出一种特殊模式，称之为”费用感知联网“（Cost-aware networking），该模式包含在卡巴斯基安全软件内。让我们一起来看看该模式是如何工作以及如何启用该选项： 请注意：该选项只在Windows 8或以上版本的操作系统上才有。卡巴斯基安全软件依靠Windows系统确定目前所连接网络是无流量限制还是按流量计费。 1. 转到设置->附加->网络并确保在网络设置窗口勾选了限制计量连接的流量（Limit traffic on metered connections）的选项。 2.在使用按流量计费网络时，自动会在卡巴斯基安全软件内启用特殊模式，从而将限制其各组件的网络活动： A:数据库将无法更新 B:新版本安装程序将无法下载 C:不会显示任何新闻 现在，你应该知道卡巴斯基安全软件的哪些设置能为你节省按流量计费的额外上网费用了。

OpenSSL Heartbleed bug终于不再是本周的头条新闻。我在撰写本文时已近下午3点，但到目前为止我一整天都没看到过一篇关于Heartbleed bug的文章，真让人惊奇。但别担心，不谈Heartbleed，我们还有很多其他内容要讨论： 零日漏洞 本周早些时候，卡巴斯基实验室宣布发现Adobe Flash Player中存在零日漏洞。说来也奇怪，卡巴斯基发现这种漏洞的工具正是用于发现新恶意程序样本的工具。零日漏洞被发现时，已经通过一种叫做”水坑攻击”的威胁肆虐于叙利亚地区。水坑作为一种有针对性的攻击，攻击者侵入攻击对象可能会访问的合法网站，在其中植入恶意程序，当用户访问这些网站时，就会被恶意程序感染。Adobe已经针对这种漏洞提供相应的补丁，所以请尽快安装Adobe公司发布的所有更新。 微软的Internet Explorer浏览器也同样存在零日漏洞问题。在此我不打算深究此漏洞的技术细节。但我想说的是零日漏洞被广泛利用，能针对各种目标发起攻击；显而易见，确保安装微软称之为”Out of Band”的紧急安全补丁十分重要。此类补丁是指微软在每月固定的周二补丁日以外的时间发布的补丁。如果漏洞收到out-of-band补丁，这通常表明这是一个严重漏洞。 微软Internet Explorer浏览器和Adobe Flash Player零日漏洞取代OpenSSL Heartbleed登上本周安全要闻头条，成为主要讨论话题。 本已封刀退隐，无奈重陷江湖 关于周二补丁日：还记得本月早些时候我们曾讨论过不再向Windows XP发送安全补丁吗？但我们错了（至少从技术角度来说是这样）。因为上述Internet Explorer零日漏洞主动有针对性攻击的目标主要是Windows XP系统，微软心一软，也发送了针对XP用户的Internet Explorer发送out-of-band补丁。 又见AOL！ 最近，大量AOL电子邮件用户遇到了麻烦，他们发现自己的帐户被用于向自己联系人列表中的用户发送垃圾邮件。我们曾在上周的新闻回顾中讨论过这个问题。对此AOL声称，这完全属于”电子欺骗”攻击的内容。他们表示，此问题没有任何危害，只是看起来好像电子邮件是来自AOL用户电子邮件帐户。实际上，该公司在最初的声明中就表示过，电子邮件发件人只是使其看上去仿佛电子邮件是来自AOL用户电子邮件帐户。 如果我没记错，上周我们曾谈到AOL对事件的解释让人匪夷所思，因为事实上电子欺骗行为可能仍在继续，这没法解释攻击者是怎么搞到所有这些联系人列表的。可以肯定的是，本周AOL承认，已向用户发送通知，敦促用户更改密码。所以，如果您使用的是AOL帐户，那么最好更改密码。 Facebook和隐私 Facebook宣布推出一款全新的功能，名叫匿名登录。Facebook创始人马克•扎克伯格昨天在公司的F8会议上对开发人员说，”匿名登录”将允许用户使用Facebook帐户登录到第三方应用，而无需使用自己的Facebook凭证，也不必与第三方共享个人信息。 “这一功能的理念是，你不希望应用获知你的身份，但又想感受简化的登录体验，那么利用此功能可免去繁琐的表格填写工作，”扎克伯格说。”它能让你放心大胆地试用应用。” “匿名登录”目前为Beta测试版，只适用于某些应用；例如，Flipboard就是首批适用的应用之一。登录时，Facebook用户可以选择使用自己的Facebook凭证登录应用，也可以选择使用”匿名登录”来试用应用。”匿名登录”本身采用黑色屏幕，而不是Facebook惯常的蓝色，通过”匿名登录”，用户能够避免与外部应用共享已经与Facebook共享的任何数据。