泄漏

不可否认，大多数人都对推特钟爱有加。每个月访问这一微博平台的用户量不少于3.1亿。但现在，3.1亿名用户不得不考虑尽快更改自己的密码了。这并不是因为这些用户设置了不安全的密码，例如：123456或其它薄弱密码，而是含3.79亿个带密码的推特账号的数据库正在黑市出售。

上周日发生的事情，可能会将让Facebook首席执行官马克•扎克伯格在短时间内无法忘记。新闻事件：扎克伯格的推特、Pinterest和领英网站的账户不幸被盗。不法分子表示在英领数据库内找到了不少有关扎克伯格的重要个人数据，并已在黑市出售。

你最近是否曾留意自己Netflix账号上出现一些奇怪的浏览痕迹？也是否发现账号下平白无故多出了一个新用户，而自己却对此一无所知？目前来看这只有两种可能—第一种可能是你的家人与你合用一个账号。第二种可能则非常不幸，那就是你的账号在被盗后已通过’暗网’出售。

在网络星期一当天，伟易达突然发布惊人消息：在11月，其数据库遭到黑客入侵，总共有超过500万个用户账号被盗。黑客几乎将数据库内的用户名、密码、IP地址和下载内容”一网打尽”–可谓数据库外泄事件中的”典范”，不是吗？但这只是冰山的一角，除此之外，网络黑客们不仅能盗取孩子的生日、性别和姓名等数据资料，甚至包括数万张照片。

今天我们新一期的《安全周报》将是我们企业客户专版，我们将用他们提供的赞助费来支付我们各项账单和相关费用。只是开个玩笑，我们依然将一如既往讨论本周发生的最重要安全新闻。不知是巧合还是什么，这些新闻无一例外与企业安全有关。本期的内容将包括：公司遭受黑客入侵和数据泄露事件以及它们对于突发事件的反应。

黑客将私人用户数据发布到黑暗网络可谓将Ashley Madison网站丑闻事件又一次推到了风口浪尖。据传已有两名用户因个人资料外泄自杀，整个事态已愈发显得棘手。尽管我们大可对那些偷情者受到应有惩罚而欢呼雀跃，但没有人有权剥夺个人的隐私权。 无论你是谁—是隐瞒自己外遇的政府官员、登陆偷情网站的体面人或是为另一半购买情趣用品且思想自由的夫妻配偶—都有权保护自己的隐私。以下是我们精心准备的如何下次让自己’偷情’不被发现的6个简单步骤。 1. 千万不要使用自己的常用邮箱或企业邮箱地址。一旦个人数据遭泄露的话，你的同事将会在偷情用户邮箱清单中找到你的邮箱而感到吃惊不已。如果你有一份公职，一向喜欢刨根问底的”网络呆子”绝对会认真浏览这些外泄数据并公布自己的发现—正如他们对Ashley Madison网站所做的。 2. 如果可能的话，尽量用现金或礼品卡（事先用现金购买）付款，如此可确保商家不会记录你的名字和地址，从而隐匿自己的身份。或者，你还可以使用一次性虚拟卡来保护自己的信用卡账户免于黑客的攻击。 3. 不建议将网站上的个人资料与自己的Facebook和/或Instagram账户相关联。这主要是为了防范网络窃贼和骗子。人们喜欢在度假时发布自己的动态更新，比如：在机场办理登记手续或发布新买的珠宝首饰和小玩意的照片。这样做无异于邀请小偷到自己家里来光顾，或邀请骗子外出约会。是时候该考虑进一步强化自己Facebook的隐私设置？ 4. 如果你需要超强隐私的话，千万不要使用自己的真名。不要用真名或干脆用绰号。一旦用了自己真实的姓和照片，任何人都能在Facebook上轻松找到你的个人资料。或者LinkedIn。你可以保护自己Facebook个人资料的隐私，但LinkedIn用户却可能无法这么做。 5. 千万不要在偷情网站上相信任何人。你以为对方是性感的金发女郎，但很可能是由满脸胡渣的无聊男人假扮的或干脆就是个程序。你是否还记得Ashley Madison网站实际女性用户的数量？该网站宣称有3700万名注册用户，但其中大约只有12000个活跃账户属于真正的女性。而剩下的所谓女性账户，事实证明不是男性假扮就干脆是程序操控。 6. 许多公司都不遗余力地想从你的浏览器中搜寻你的个人数据，包括：搜索历史、所在位置以及其他私人信息。而且他们从未经过你的允许。想要阻止他们的’恶劣行为’？最好的方法是依靠专业的解决方案。当然，卡巴斯基安全软件专为您的需求而量身定制，其”隐私浏览”功能可确保在未经你允许的情况下，不会将你的个人数据留在所用设备内。 不幸的是，大多数交友网站、情趣商店和其它”偷腥”网络资源的安全保护能力实在不敢恭维。如果这些网站无法提供安全保障的话，那我们只有自己多一份心—或者只能为自己的轻率行为而懊悔不已。

信息安全新闻行业（如果有这么一个行业的话）尽管与假新闻遍地的类似《名利场》杂志这样的媒体不同，但也同样总是急不可耐地想着挖到独家新闻。比如，看似平淡无奇的PNG图片漏洞就荣膺去年Threatpost最受欢迎的新闻之一。这甚至都算不上什么安全漏洞，充其量只是在图片元数据内隐藏恶意代码的一种方法。那这为什么能成为热门新闻呢？有些人（绝对不是我们！）故意想在人群中制造”恐慌”：就算是你在线看图片可能让PC电脑感染病毒！！111′。 当然，一旦发现能让网络犯罪分子感染数百万台计算机的特大安全漏洞，我绝对会大肆报道一番，但问题是这样的特大安全事件似乎已变得”可遇不可求”了。从Slammer蠕虫病毒“横空出世”到现在已经过去好多年了：当年，这一狡猾且极小的恶意软件能在短短30分钟内让安装了Windows XP系统的PC电脑感染病毒，唯一条件是电脑联网。 就目前的软件而言，不太会轻易感染病毒。那如果真的又出现如此危害巨大的病毒又该怎么办呢？比如让每个人都心存恐惧、胆战心惊并转而寄希望于新一代PC电脑/手机/冰箱安全技术的病毒，或者如一些充满邪恶想法的疯子所愿，其巨大破坏力让所有电子设备或家用电器变成毫无用处的塑料/金属/废铜烂铁。到时整个世界将陷入瘫痪之中！妈妈咪呀！圣母玛利亚！我们不得不重新回到石器时代，只能用纸和笔来存储和分享信息！ 人们更愿意相信信息安全疏漏将导致世界末日—比如整个物联网陷入崩溃—但事实上这不太可能真的发生。尽管人们似乎都在等待”末日大爆炸”的发生，但我们可能忽略了一些严重但又实际存在的互联网缺陷，一些不法分子很可能会利用这些缺陷”大干一场”，而善良的用户也将不得不蒙受损失。这些都是目前问题显著的安全漏洞—一如往常。 在今天的信息安全新闻摘要中，我们将一如既往地带来有关常规漏洞的是三个新闻案例，其共同的特点是都遭到大规模的严重漏洞利用。这里我再次重申《安全周报》的编辑原则：每周Threatpost的团队都会精心摘选三条当周要闻，并加上我自己独到的见解。往期的内容可以在这里找到。 遭黑客入侵的WordPress网站成为Neutrino漏洞利用工具包的传播来源 新闻。ZScaler研究。 这条新闻应分成两个部分。第一部分是数千基于WordPress引擎的博客和网站存在高危漏洞。第二部分内容则包括：黑客实施漏洞利用的方法、黑客用来感染用户PC电脑的恶意软件以及他们黑客入侵方案中的敛财手段。 首先简要介绍一下WordPress。该平台类似于一种基于网络的Windows系统。这也是一种相当流行的带各种插件系统的网络引擎，从设计伊始就受到了网络犯罪分子的高度关注。你只需浏览一下今年报道的相关新闻（并非全部）： 在插件内发现零日漏洞。 在随机（并不完全是）数字发生器内发现缺陷，理论上能计算出密码更改过程中用到的令牌。 在插件内发现SQL inject安全漏洞。 在插件内再次发现SQL inject安全漏洞。 在插件内发现XSS漏洞。 WordPress本身存在零日漏洞，通过评论栏实施JavaScript注入攻击。4.2.1版本提供相关修复补丁。 在两个插件内发现漏洞。 在WordPress本身发现XSS漏洞，2.3版本提供相关修复补丁。 在三个插件内发现漏洞。 大致情况就是这样。Zscaler研究人员发现了针对缺乏安全保护措施的WordPress网站（4.2及以下版本）的大规模攻击。顺便提一下，4.2版本刚刚在今年4月才发布不久，这让人们不禁对那些至少一年以上未能升级网站的用户产生担忧。在成功黑客入侵网站后，这些不法分子会注入iframe木马，随后设置微分子漏洞利用工具包并利用恶意软件感染PC电脑。到目前为止，已有超过2500个网站受到影响，尽管与整个互联网的网站数量相比微不足道，但足以让数万用户苦不堪言。 再进一步说，漏洞利用工具包利用了存在于Adobe Flash内的bug，该bug同样是由Hacking Team在那次臭名昭著的网络攻击事件中泄露的。在受害人机器上得到执行代码的能力后，网络攻击者随即部署了Cryptowall锁–一种已在互联网上出售长达一年之久的勒索软件，受害人需要支付超过500美元的赎金才能得到解密密钥。 你的所有文件现在都归我们了。如需了解更多有关勒索软件的信息，请查看这里。 想象一下你拥有一家小型企业，大概在几年前你从一家第三方提供商够购买了一个”交钥匙”网站，至于网站运行所用的引擎类型你完全一无所知。相比在雅虎横幅广告内偷偷植入恶意代码这类的大规模攻击，此次攻击规模相对较小，但仅有的数百个受病毒感染的网站依然为不法分子创收了数百万美元（或者说损失，这取决于你站在哪一方）。 从安全角度看，此次网络攻击并无特别之处。这看起来就好像一系列小事件的串联：在一个网站引擎（或内部插件）发现许多漏洞；一些人负责不断黑客入侵这些网站并部署漏洞利用工具包；一些人则使用从运行存在问题的业务交易漏洞的公司获得的数据编写这些漏洞利用工具包，而公司最终将无法保护自己的’商业秘密’。 一些人负责制作过时的Flash动画，而另一些人则负责收取那些因无法打开自己文件而绝望的人支付的赎金。分开来看，每一个步骤都没什么太大难度，但将所有这些步骤整合一起的话可以说是’异常恐怖’。 让人好奇的是，安全研究人员很早以前就注意到了Neutrino流量的飙升，甚至赶上其竞争对手—Angler，但当时并未就这一原因给出特别解释。除了分赃外，这些网络犯罪活动背后的不法分子似乎也对谁才是老板产生了不小的争论。

LastPass作为一款流行的密码管理器，最近公开其遭到网络攻击。网络攻击者成功病毒感染了用户电邮地址、密码提示、每个用户的盐以及认证散列。密码本身并没有被病毒感染，原因在于该服务并未将密码保存在云端。然而，LastPass仍然建议用户更改LastPass主密码并启用多重认证。

有关告密者爱德华•斯诺登揭秘美国国家安全局事件又有了新消息，且内容极度令人震惊：NSA（美国国家安全局）及其英国的”合作伙伴”- GCHQ（英国政府通讯总部）据称对金雅拓的网络进行了病毒感染，同时还窃取了用于保护数以亿计SIM卡的加密密钥。 如此大规模地对SIM卡进行病毒感染不禁让人对全球蜂窝通讯系统的安全性打上了一个大大的问号。这并不意味着你的通讯正在受到监视，但真要监视的话只需一个按键即可实现。 如果你不了解金雅拓是什么公司的话，在这里我可以告诉你，这是一家移动设备SIM卡的生产厂商。据《经济学人》杂志报道，事实上，该厂商所生产的SIM卡数量远超世界其它任何的SIM卡厂商。 刊登在The Intercept上的文章最先发出了”指控”，该文章估计金雅拓每年生产大约20亿张SIM卡。联系一下其他方面的数据，目前全球人口达71.25亿；而移动设备估计有71.9亿台。据报道，金雅拓的总共450家客户中，其中不乏知名的移动服务提供商：Sprint、AT&T、Verizon和T-Mobile等。公司在全球85个国家拥有业务，并运营着40家生产基地。 SIM是”用户识别模块”的缩写。SIM卡就是插入你移动设备的小型集成电路。其中内含唯一的”国际移动用户识别码”（IMSI）以及一个加密的验证密钥。该密钥由一串数字组成，主要用来验证你的手机是否真的是你的。这就好比是登录密码配对，但由于完全基于硬件因此无法更改。 一旦拥有了这些密钥，网络攻击者即能够监视移动设备的语音通话和数据通讯，但前提条件是知道这些设备所装SIM卡的加密密钥。如果这些指控属实的话，这意味着NSA和GCHQ的确能够在全球范围监视大量的蜂窝网络和数据通讯，且无需任何理由和司法认定。 你可能经常听说非技术媒体谈论大量有关NSA所开展与元数据相关的活动，但诸如此类的泄漏事件以及被揭秘的受感染伪随机数发生器的的确确是个麻烦。元数据是一系列敏感信息，可以告诉你受害人的位置、联系人名单及其一切个人信息。针对SIM卡或加密协议的大规模攻击能让网络攻击者实实在在地看到—以纯文本形式—我们与他人通讯的所有内容。尽管许多内容可以从受害人的位置和设备交互信息推断而得，但纯文本形式的通讯内容却无从推断。正如上文所说，这些通讯内容都可以实时获取，根本无需进行任何的分析。 据报道，The Intercept将NSA前承包商所窃取的一份机密文件公之于众，其中NSA是这样说的：”[我们]成功将病毒植入多台[金雅拓]计算机，相信我们已掌控了该公司的整个网络…” 隐私和蜂窝通讯并非是我们唯一关心的问题。伴随而来的还有大量财务问题的产生。正如美国民权同盟成员-技术专家Chris Soghoian以及约翰•霍普金斯大学译码者Matthew Green在The Intercept的这篇文章内所注意到的，SIM卡设计并非只为了保护个人通讯。其设计还为了简化账单流程，以及在蜂窝网络刚开始使用的阶段防止用户对移动服务提供商进行欺诈。而在一部分的发展中国家中，大部分人使用的都是过时且防范薄弱的第二代蜂窝网络，许多用户依然依靠其SIM卡进行转账和微型金融服务操作，就如同广泛流行的M-PESA支付服务。 针对金雅拓的网络攻击可能会对全球通讯基础设施的安全性产生影响，而这些通讯基础设施对于移动设备以及安装在内的SIM卡的依赖性越来越高。 不仅仅只有发展中国家会产生经济问题：金雅拓还是芯片以及使用PIN码或EMV支付卡内微芯片的大型制造商，此类支付卡则是欧洲最主要的支付方式。这些支付卡同样也有被感染的可能性。据the Intercept报道，金雅拓所生产的芯片还被广泛应用于大楼门禁、电子护照、身份证以及某几款豪华汽车品牌（宝马和奥迪等）的钥匙。如果你的芯片和PIN码银行卡是由维萨、万事达、美国运通、摩根大通或巴克莱发行的话，那你支付卡内的芯片很有可能就是金雅拓所生产，而里面的加密密钥也可能已经被病毒感染。 尽管受到一系列的指控以及在所谓的秘密文件中也被谈及，作为当事方的金雅拓却坚决否认其网络安全已受到病毒的感染。 “不论是在运行SIM活动的基础设施，还是安全网络的其它部分，我们都没有发现任何黑客入侵的迹象，因此不会对诸如银行卡、身份证或电子护照在内的其他产品产生危害。我们每一个网络都单独分开，也从未与外部网络连接。”公司在其声明中这样说道。 然而，公司此前的的确确曾挫败过多起黑客入侵尝试，有理由相信是NSA和GCHQ所为。 该事件以及许多斯诺登所揭秘的内容有一个重要问题并未引起注意，那就是这份文件注明的日期是2010年。换句话说，这一所谓的SIM卡计划已经实施了5年的时间，而该技术也是在5年开始使用的，而5年已经到了一台计算机使用寿命的期限。 除了个人以外，SIM卡密钥受病毒感染的风险还会将我们所有人的个人隐私暴露在危险之下，如果斯诺登揭露的文件属实的话，这一网络攻击将导致各国与美国国际关系的交恶。还记得两个月前吗，我们中的许多”激进派”都对朝鲜政府黑客攻击索尼影业的事件是否属于战争行为不置可否？该网络攻击很有可能是朝鲜政府所为，但事实上幕后却可能另有他人，对电影工作室进行了攻击并将一些电影剧本和电邮内容公布到了互联网上。针对金雅拓的网络攻击可能会对全球通讯基础设施的安全性产生影响，而这些通讯基础设施对于移动设备以及安装在内的SIM卡的依赖性越来越高。

去年一整年，IT安全领域可谓纷繁复杂。众多安全事件不断接踵而至：从影响全球数百万台计算机的全球性漏洞到与本地网络犯罪分子的终极对决。几乎每一个事件在某种程度上都与社交网络有关–自从推特开始播报新闻以后，尤其成为了”重灾区”。为此，我们专门为您收集了2014年与IT安全领域有关的十大推文。 1. 2014年3月，一名’Pump Water Reboot’黑客小组成员针对多家俄罗斯网络服务发动了一系列DDoS（分布式拒绝服务）攻击—受害者包括多个在线社区和数家银行。每一个受害者被要求支付1000美元赎金以停止攻击。 在这片推文中写道，该网络犯罪分子还对在线专业银行Tinkoff Credit Systems的创始人，俄罗斯银行家Oleg Tinkov进行了威胁。 （从俄语翻译过来：你的网站正在遭受DDoS攻击。我们能为您提供解决问题的方案。如果你愿意支付1000美元的话我们就能停止这一攻击。） 直到去年夏天，这名网络犯罪分子终于被警方抓获，最终在几个月后被判处2年半的监禁并被罚款1200万卢布（约合40万美元）。对于年仅19岁的学生来说的确是一笔巨额罚款，而随后了解到他只是头脑一时发热。 2. Heartbleed漏洞在当时竟然对全球2/3的互联网造成了威胁。你可以从我们的博文中了解更多相关的详细内容。《xkcd》漫画作者将为您提供有关该事件最佳的简略版本： Heartbleed漏洞的影响深远，将在很长一段时间继续萦绕着我们：成千上万存在漏洞的服务器依然没有更新。而且其中许多将永久地处在Heartbleed漏洞的阴影之下。 3. 对我们来说，2014年最佳推文莫过于来自—你绝对不会相信的！—美国中央情报局。很高兴看到即使是这些硬汉都有幽默的一面。 4. 8月中旬，网络黑客事件甚至险些让俄罗斯总理梅德韦杰夫卷入政治风波：有黑客非法入侵（恶搞）他的推特账号。 （俄语翻译过来：我决定辞职。我为俄罗斯政府的行为感到羞耻。对此我非常抱歉。） 与此同时，梅德韦杰夫的其他账号也遭到了黑客入侵。这导致梅德韦杰夫移动设备上的大量私人照片和往来邮件遭到外泄。但随后所有黑客发布的推文都被一一删除。到底发生了什么–该黑客是否被捕了–依然未可知。 5. 就在两周后，又发生了另一起重大的外泄事件：有人将多名好莱坞明星的隐私裸照放到互联网上，其中就有詹妮弗•劳伦斯。 这一外泄事件迅速被冠以’The Fappening’（艳照）之名，并在全世界传播开来。之后，好莱坞明星们不得不加倍警惕，而发布这些艳照的网络服务网站则从广告商那儿获得了巨额利益。流行网站Reddit尤其从中大赚了一笔，足以支持一个月的项目。 6. 多事之秋可谓名副其实。9月，在Bash shell内发现了新的根本性漏洞。现在人们都将其称之为“Bashdoor”或”Shellshock“。这是一年中第二次发现重大漏洞，导致数百万台计算机和大部分服务器遭受病毒感染。发现这个bug的家伙并没有立即发布在他的推特账号上。但随后他发了一些有价值的推文并附带说明：这一漏洞可能最早在25年前（1989年）就已出现。 Bashdoor bug以及上述所提到的Heartbleed漏洞至少将在相当长的一段时间影响着我们。 7.

今天《纽约时报》撰文报道了一个犯罪团伙如何从不同网站盗取了超过12亿个密码和用户名/邮箱。这似乎听起来是互联网有史以来最大的”密码盗窃案”，但由于相关细节还未公布，因此安全社区更多是持怀疑态度。首先，公众并不知晓底哪些网站成了攻击的目标。其次，也缺少技术方面的细节–几乎所有安全专家都想知道这些被盗密码是否采用了哈希加密。然而，普通用户只想道一件事–那就是现在是否需要采取行动，如果是，则应该采取哪些措施。 主要网络服务提供商并未向用户发出密码更改通知，这可能表示他们并未受到影响或根本就不想对终端用户造成不良后果。然而一家名为Hold Security的公司却公布自己的研究结果，声称受影响最多的是一些小型网站。这些网站通常并没有一套严格的安全程序，用户也无法指望从他们那儿收到数据泄露通知。 确保为每一个账户设置唯一密码，可将危险性降到最低。 本次所报道的”密码盗窃案”将是一个很好的契机，即改革当前混乱不堪的密码政策，转而使用更加安全和系统化的方法。”一旦你所使用的网络服务提供商遭遇黑客入侵，作为消费者你根本无能为力，但可通过为每一个账户设置唯一密码，将危险性降到最低。”英国卡巴斯基实验室高级安全研究员David Emm解释道。 设置唯一密码的安全性远高于其它的一些密码保护措施。用户计算机（例如：使用键盘记录器）或网络服务提供商遭到黑客入侵都有可能造成用户密码被盗。确保网络服务账号与其他重要账户使用的是不同密码。人们通常很难记住一长串字符，因此我们向大家推荐密码管理器。此外，每一个密码必须足够强大（可以用我们免费的密码检查器进行测试）。 密码泄露事件时常发生，使用唯一密码可将危险性降到最低。 对于一些重要账户（银行和Gmail等），我们强烈推荐采取额外的保护措施。这些网站通常都采用双重认证，即使密码被盗也影响不大。