信息安全新闻行业（如果有这么一个行业的话）尽管与假新闻遍地的类似《名利场》杂志这样的媒体不同，但也同样总是急不可耐地想着挖到独家新闻。比如，看似平淡无奇的PNG图片漏洞就荣膺去年Threatpost最受欢迎的新闻之一。这甚至都算不上什么安全漏洞，充其量只是在图片元数据内隐藏恶意代码的一种方法。那这为什么能成为热门新闻呢？有些人（绝对不是我们！）故意想在人群中制造”恐慌”：就算是你在线看图片可能让PC电脑感染病毒！！111′。 当然，一旦发现能让网络犯罪分子感染数百万台计算机的特大安全漏洞，我绝对会大肆报道一番，但问题是这样的特大安全事件似乎已变得”可遇不可求”了。从Slammer蠕虫病毒“横空出世”到现在已经过去好多年了：当年，这一狡猾且极小的恶意软件能在短短30分钟内让安装了Windows XP系统的PC电脑感染病毒，唯一条件是电脑联网。 就目前的软件而言，不太会轻易感染病毒。那如果真的又出现如此危害巨大的病毒又该怎么办呢？比如让每个人都心存恐惧、胆战心惊并转而寄希望于新一代PC电脑/手机/冰箱安全技术的病毒，或者如一些充满邪恶想法的疯子所愿，其巨大破坏力让所有电子设备或家用电器变成毫无用处的塑料/金属/废铜烂铁。到时整个世界将陷入瘫痪之中！妈妈咪呀！圣母玛利亚！我们不得不重新回到石器时代，只能用纸和笔来存储和分享信息！ 人们更愿意相信信息安全疏漏将导致世界末日—比如整个物联网陷入崩溃—但事实上这不太可能真的发生。尽管人们似乎都在等待”末日大爆炸”的发生，但我们可能忽略了一些严重但又实际存在的互联网缺陷，一些不法分子很可能会利用这些缺陷”大干一场”，而善良的用户也将不得不蒙受损失。这些都是目前问题显著的安全漏洞—一如往常。 在今天的信息安全新闻摘要中，我们将一如既往地带来有关常规漏洞的是三个新闻案例，其共同的特点是都遭到大规模的严重漏洞利用。这里我再次重申《安全周报》的编辑原则：每周Threatpost的团队都会精心摘选三条当周要闻，并加上我自己独到的见解。往期的内容可以在这里找到。 遭黑客入侵的WordPress网站成为Neutrino漏洞利用工具包的传播来源 新闻。ZScaler研究。 这条新闻应分成两个部分。第一部分是数千基于WordPress引擎的博客和网站存在高危漏洞。第二部分内容则包括：黑客实施漏洞利用的方法、黑客用来感染用户PC电脑的恶意软件以及他们黑客入侵方案中的敛财手段。 首先简要介绍一下WordPress。该平台类似于一种基于网络的Windows系统。这也是一种相当流行的带各种插件系统的网络引擎，从设计伊始就受到了网络犯罪分子的高度关注。你只需浏览一下今年报道的相关新闻（并非全部）： 在插件内发现零日漏洞。 在随机（并不完全是）数字发生器内发现缺陷，理论上能计算出密码更改过程中用到的令牌。 在插件内发现SQL inject安全漏洞。 在插件内再次发现SQL inject安全漏洞。 在插件内发现XSS漏洞。 WordPress本身存在零日漏洞，通过评论栏实施JavaScript注入攻击。4.2.1版本提供相关修复补丁。 在两个插件内发现漏洞。 在WordPress本身发现XSS漏洞，2.3版本提供相关修复补丁。 在三个插件内发现漏洞。 大致情况就是这样。Zscaler研究人员发现了针对缺乏安全保护措施的WordPress网站（4.2及以下版本）的大规模攻击。顺便提一下，4.2版本刚刚在今年4月才发布不久，这让人们不禁对那些至少一年以上未能升级网站的用户产生担忧。在成功黑客入侵网站后，这些不法分子会注入iframe木马，随后设置微分子漏洞利用工具包并利用恶意软件感染PC电脑。到目前为止，已有超过2500个网站受到影响，尽管与整个互联网的网站数量相比微不足道，但足以让数万用户苦不堪言。 再进一步说，漏洞利用工具包利用了存在于Adobe Flash内的bug，该bug同样是由Hacking Team在那次臭名昭著的网络攻击事件中泄露的。在受害人机器上得到执行代码的能力后，网络攻击者随即部署了Cryptowall锁–一种已在互联网上出售长达一年之久的勒索软件，受害人需要支付超过500美元的赎金才能得到解密密钥。 你的所有文件现在都归我们了。如需了解更多有关勒索软件的信息，请查看这里。 想象一下你拥有一家小型企业，大概在几年前你从一家第三方提供商够购买了一个”交钥匙”网站，至于网站运行所用的引擎类型你完全一无所知。相比在雅虎横幅广告内偷偷植入恶意代码这类的大规模攻击，此次攻击规模相对较小，但仅有的数百个受病毒感染的网站依然为不法分子创收了数百万美元（或者说损失，这取决于你站在哪一方）。 从安全角度看，此次网络攻击并无特别之处。这看起来就好像一系列小事件的串联：在一个网站引擎（或内部插件）发现许多漏洞；一些人负责不断黑客入侵这些网站并部署漏洞利用工具包；一些人则使用从运行存在问题的业务交易漏洞的公司获得的数据编写这些漏洞利用工具包，而公司最终将无法保护自己的’商业秘密’。 一些人负责制作过时的Flash动画，而另一些人则负责收取那些因无法打开自己文件而绝望的人支付的赎金。分开来看，每一个步骤都没什么太大难度，但将所有这些步骤整合一起的话可以说是’异常恐怖’。 让人好奇的是，安全研究人员很早以前就注意到了Neutrino流量的飙升，甚至赶上其竞争对手—Angler，但当时并未就这一原因给出特别解释。除了分赃外，这些网络犯罪活动背后的不法分子似乎也对谁才是老板产生了不小的争论。

是否还记得去年闹得纷纷扬扬的好莱坞艳照门事件 – 一些好莱坞女星的裸照被公开放到互联网上？这一事件不仅让一些人整日惶惶恐恐，但同时也是一个极具教育意义的安全例子。 比如，这一事件让许多人意识到将他们宠物的名字作为密码并非最安全的选择；双因素认证对于IT极客而言并非牢不可破，对于任何一名普通iPhone用户而言也同样赢弱不堪。 去年的好莱坞艳照门事件的确闹出了很大动静，这些从苹果iCloud服务（使用苹果设备上传照片拷贝）外泄的照片全部被黑客保存了起来。当时这些黑客通过将网络钓鱼和暴力破解结合使用，只采用了最简单的一种破解方法就成功攻破了该项网络服务。为了弥补这一漏洞和从保护用户的考虑，苹果对iCloud启用了双因素认证（或称为”2FA”）并要求用户每次上传照片至iCloud时都使用这一认证方法。 然而，无论是iCloud，还是Gmail、Facebook和许多其他网络服务，2FA依然是可选项，而非强制选项。因此大多数人选择跳过这一步骤，原因是许多人为了节省时间而且认为使用起来过于繁琐。 然而，就算你不是Kim Kardashia或Kate Upton（时尚名媛和模特），你也会很容易丢失自己电邮或社交媒体上的个人资料。最后造成的结果很可能是灾难性的，尤其是你在网络公司上班的话。 两把锁更安全 大多数人认为双因素认证就是系统向手机发送的一次性短信密码。没错，这的确是网络服务最常用的一种2FA方法，但却并非是唯一的方法。 一般来说，2FA就好比一扇装有两把锁的门。其中一把锁是传统的登录密码组合，另一把可以是任何形式的内容。此外，如果你觉得两把锁还不够的话，只要你喜欢，想装多少把都可以，但开门的时间会变得更长，因此最好还是先安装至少两把锁。 通过短信发送的密码是一种容易理解且相对可靠的认证方式，但却并非总是使用方便。每次访问网络服务时，你都需要将手机握在手里，随后等待短信发到手机，最后输入短信内的验证码… 一旦你输错或输入太迟的话，就必须重复之前的操作。但如果服务运营商网络出现拥堵的话，那短信接收很可能会延迟。就我个人而言，这的确很烦人。 如果手机信号未能覆盖手机的话（在旅途中时常会发生），你根本就收不到验证码。而一旦你手机不幸丢失，而你当时又无法利用其他通讯工具的话，这就更加让人沮丧了。 为避免上述情况的发生，许多像Facebook和Google这样的网络服务提供商采用了其他的方法。例如，他们提供一长串你能预先编译的一次性密钥，打印出并保存在某个安全地方。 此外，使用通过短信发送一次性验证码的2FA不一定每次都能成功，而且一旦使用其他未知设备登录的话也同样可能失败。无论使用哪种方法，决定权都在你自己手上，还需要看你的偏执程度了。所有绑定你账号的应用程序（例如：电邮客户端）都可以使用这一方法。一旦使用特殊生成的密码，其安全性可以长久得到保障。 那么，除非你每天都要换不同手机登录网络服务，启用短信验证码的2FA依然不失为一种较为方便的认证方法。只需成功设置，通常来说都能正常使用。 通过智能手机上确认身份 如果你需要经常出差旅行，使用专门的应用程序不失为一种更智能的启用2FA方式。与短信验证不同的是，这一认证方法可以离线使用。一次性密码不再由服务器生成而是智能手机（当然，首次使用需要在联网条件下设置）。 尽管市面上有许多验证应用，但Google Authenticator绝对可以堪称行业标准。除了Gmail以外，这一程序还支持像Facebook、Tumblr、Dropbox、vk.com和WordPress这样的网络服务。 如果你更钟情于拥有多种功能的应用，可以试试Twilio Authy。尽管与Google Authenticator相似，但却拥有不少其他有用的功能选项。 首先，该应用允许你将证书保存到云和复制到其它设备（智能手机、PC电脑、平板电脑以及包括Apple Watch在内的其他平台）。即使某个设备被盗的话，你也依然可以控制自己的账户。该应用每次启动时都需要输入PIN码，如果你的设备不幸感染病毒的话，密钥也可以被撤销。 其次，与Google Authenticator不同的是，一旦你使用新设备的话，Twilio Authy还会让你的生活变得更加轻松。 单密钥认证

在我们的印象中，电影中常常会出现这样的黑客入侵计算机的场景– “黑客”往往外形超酷性感，随身装备5个监视器，且使用的是观众从未见过的超炫幻彩黑客工具。此外，这些电影中的黑客使用各种你从未听过的奇特入侵方法，能够轻松潜入任何的系统/网络/防火墙。 对于我们这种有些专业技术背景的人来说，这样的电影场景毫无真实性可言。 在加入卡巴斯基实验室之前，我的工作是黑客入侵公司系统和网络，当然是应客户的要求同时也完全合法。说的具体点，我曾经是一名”黑客”，专门负责发现安全漏洞和问题，而网络攻击者往往会利用这些漏洞问题让公司的数据库和系感染病毒，继而掌控整个公司网络。我们工作的大部分时间都是紧盯一台显示白色文本的黑色终端机。而这也是现实中黑客入侵的真实场景。 除了对真实黑客入侵场景飞马行空的想象以外，整个电影行业以及许多科幻小说家在理解真实黑客入侵过程时也同样存在一个问题。但有些人可能会争辩解道，在找到并对存在漏洞的系统进行漏洞利用时，各种你想不到的黑客方法和工具都有可能用到。 有一天我接到了来自一个自称David Lagercrantz人的电话—坦白地说—我从未听过这个名字，但通过Google搜索发现他写过一些畅销小说。他告诉我他正在构思《千禧年》系列的第四部曲，很想向我请教有关黑客入侵方面的问题。 《千禧年》系列小说讲述的是计算机女黑客-Lisbeth Salander的传奇故事。《千禧年》前三部曲的作者是瑞典作家Stieg Larsson，这三部曲分别是：《龙纹身的女孩》、《玩火的女孩》和《直捣蜂窝的女孩》。 Lagercrantz正在创作和构思《千禧年》系列的第四部曲：《蜘蛛网中的女孩》，并想尝试一些不同的元素。他想知道现实中的黑客到底是如何病毒感染系统，并想在新书中加入一部分真实的情节。我的任务则是帮助他了解有关真实黑客入侵的一切信息以及木马、病毒、漏洞利用和后门等专业术语之间的区别。我还试图向David解释黑客入侵是一个相当繁琐的过程；需要大量的前期研究和计算工作。 我们的第一次见面是在斯德哥尔摩一家酒店的餐厅里，我们详细谈论了有关通过漏洞利用远程访问计算机系统的不同方法。谈话的内容从薄弱密码保护到软件漏洞和社交网络工程无所不包。 在我们的谈话期间，不止一次有女士走到我们面前，询问我们谈得如何以及谈的内容，而我们也都很想知道这到底是什么回事。最终我们发现原来我们谈话的餐厅恰巧同时在办相亲会。为此，我们不得不决定改用电话和电邮交流。 即使缺乏专业技术背景的人也应该能理解新书中涉及黑客入侵的大部分内容。David对此有着严格的要求；我们非常想让真实的黑客入侵情节出现在新书中。而摆在Lagercrantz面前另一个难题是他想写的某些网络攻击案例在现实中极难成功，比如破解某些加密方法。在经过几次电话讨论后，我们认为完全能够将一些紧张刺激的黑客入侵情节加入到这本新书中。 到目前为止我还没有读到这本书，但我对此相当期待。David的的确确在了解真实的黑客入侵上花了不少时间，而不是天马行空地写一些他完全不了解的东西，这一点的确令人欣慰。我也非常自豪能有机会能作为David新书的技术指导，提供黑客入侵技术细节方面的建议。读这样一本真实描写黑客入侵技术和方法的书一定非常有趣。

“机上安全”问题从今年夏天开始就占据了各大媒体的头版头条，但在这里，我想换个角度讨论。一直以来，航空行业始终致力于飞行安全，且长久占据’最安全行业’的头把交椅。然而，我们所讨论的是另一种’安全’—这不仅让普通乘客大吃一惊，同时也是IT专家相当期待的话题。 众所周知，如今的民航飞机都好似一台巨型计算机，飞行员不再是一名飞行技术熟练的’王牌飞行员’，更多的是扮演计算机操作员的角色—唯一的任务就是监控智能机器。定向飞行员和仪表盘操作员已不复存在，取而代之的是计算机系统。 事实证明机上的计算机系统与普通计算机并无二异，同样容易遭受黑客入侵。黑客攻击飞机计算机很可能会带来灾难性的后果：你完全可以想象恐怖分子不再需要劫持乘客作为人质，或闯入驾驶舱改变飞机航线。他们只需一部笔记本电脑就能实现毁灭飞机的目的。 在美国政府问责办公室公布的机上Wi-Fi安全报告中，提到了今年春天曾出现过的’恐慌潮’。航空业、网络安全和政府问责办公室之间的关系依然不明，而一些媒体却充分发挥想象，绘声绘色编写一个又一个”恐怖故事”：根据目前的大量披露信息，恐怖分子现在只需悠然自得地坐在自家院子里，用一台笔记本电脑就能让目标飞机降落到院子所在地。 显然没人有耐心读完整篇报告：飞行恐惧症患者则更愿意相信飞机是世界上最危险的交通工具。此外，该篇报告内容也相当枯燥：用了极大篇幅反复宣称由于飞机上是通过Wi-Fi和卫星连接互联网，因此是时候航空业该对这一联网通道采取安全保护措施。 由于非加密802.11网络本身就存在不安全性，而且又作为本地网络使用（就像你家里或办公室用的网络），因此一旦有不法分子成功登陆后，就能对联网的其它设备进行黑客入侵。尽管通过机上Wi-Fi访问飞行管理系统依然存在理论上的可能，但到目前为止还没有黑客有成功过。 显然人们非常渴望航空领域能有权威航空安全研究专家的出现，但有时却是一种’奢侈’。专门研究飞机安全的研究人员Chris Roberts乘坐联合航空的航班时在推特上开了个玩笑：”我现在在737/800航班上，让我们来看看Box-IFE-ICE-SATCOM,？我们恶搞一下EICAS信息吧？试试给别人”输氧”？:)” 结果，飞机在到达机场着陆后，随即有几个陌生人要求Roberts紧跟在他们身后，并将他带入一间灯光昏暗的小房间内，最后证明这些人是FBI探员。FBI盘问了他好几个小时，并没收了他的笔记本电脑和平板电脑。联合航空公司也取消了他的回程机票。 推特上的一个玩笑引发了有关部门对Roberts的注意：但事实上，他研究机上系统安全已有数年的时间，但从未受到任何航空公司的特别关注。 在盘问过程中，Roberts承认自己试图控制飞行管理系统，尽管时间很短，但却有能力改变飞行的方向。此外，他还透露了’黑客入侵’的细节内容：通过自定义适配器连接机上娱乐系统总线，借此对飞行管理系统进行篡改。 尽管该名”黑客”承认自己黑客入侵了飞行管理系统，但没有任何证据表明他的确曾设法劫持该系统的控制权。在乘客多媒体显示屏显示的地图上画一条不同的航线与真正更改航线完全是两码事。而一旦飞行航线真的被更改，飞行员和调度员不可能不会注意到，事后一定会进行非常严肃的调查。 一家俄罗斯安全公司Digital Security在5年的时间里对30家航空公司总计500架航班进行了研究，发现这些飞机中的确存在安全漏洞，而一些黑客也曾尝试过进行漏洞利用以寻找黑客入侵的可能性。简要概括来说，飞机的IT系统内的确存在不法分子感兴趣的’入侵切入点’： 飞行管理系统 旨在方便系统之间通讯的另一个网域的路由器，例如：卫星通信服务器- SATCOM 多媒体服务器 终端多媒体设备 多媒体设备是较为容易攻击的目标，通常安装在乘客面前的座位上。一旦该设备遭受攻击，黑客就能潜入操作系统内并借此感染其它系统。 有多种方式可执行此类攻击。黑客可以利用存在漏洞的USB端口插入键盘模拟器，这样就能向系统发送命令。或者，举例来说，还能使用拇指驱动器来利用多媒体播放软件内的漏洞。 在有些飞机上，除了USB端口外还另外设有RJ-45端口，笔记本电脑后连接可以使用更多的黑客工具。高级黑客不仅能掌控整个机上多媒体系统，还能控制多媒体服务器，尽管难度很高但依然可行。 主要的问题是：有些飞机上的RJ-45端口标有”仅供私人使用”的字样。因此一旦黑客通过这一端口联网，则有可能访问关键系统元件。但目前没有任何证据表明此类网络攻击能触及飞行管理系统。 同时，软件bug也可能造成飞机故障。就在最近，一架空客货运飞机在起飞时4台发动机中的3台发生了故障，原因是不正确的软件更新导致校准数据丢失，并最终导致飞机坠毁。 由于程序员没有考虑到为此类故障设置警报，这直接造成事故的发生。他们甚至没有想到这些配置文件会出问题：因为通常认为软件更新会检查配置文件是否完整。 由于这一缺陷导致传感器数据无法正确读取，使得主机认为受影响的发动机出现故障因此关闭–软件开发者并未考虑两台以上发动机同时发生故障的情况：因为飞机就算只有两台发动机运行也能继续飞行，也能成功实施紧急降落。 在波音飞机中也发现了bug：波音787″梦幻客机”在飞行过程中机上电力设备可能会被全部关闭：如果机上全部4个电力发动机同时启动并不间断运行248天的话，就会转入紧急模式而全部关闭，从而导致飞机上断电。 故障的原因很简单：内部计时器的堆栈溢出。尽管可以理解此类巧合在现实中几乎不可能发生，但却暗示着现代飞机都是由计算机操控，且与其他计算机（包括你的台式机）并无法差异，同样易受到漏洞的影响。因此如果哪一天你看到Kaspersky Inflight Security（卡巴斯基机上安全软件）推出市场，千万不要觉得惊讶。

我的朋友们，我想说的过去一周对于安全信息行业简直是噩梦一般。如果说上一周我们只是发现了些有趣的bug、零日漏洞以及安全研究专家寻找已久的漏洞的话，那本周真正的灾难才刚刚降临：网络犯罪分子已利用所有这些缺陷渗透进了存在漏洞的软件。尽管这些内容相当重要，但人们对这样的新闻或多或少已有些厌倦。每一次，我们的新闻博客-Threatpost都会带来安全信息领域新鲜热辣的新闻，同时还会在其中精选三篇有关安全补丁修复的文章，而文章摘选工作远比你们想象的要难得多。 不管怎么样，这些内容都相当重要！找到一个漏洞需要花费不少的时间和精力，但更难的是在没有遭受黑客攻击之前就将其修复。软件开发者可以找出千万种不立即（或当季度或无限期）对特定bug修复的理由。但问题最终总是要解决的。 在本周最热门的三个新闻故事中，无一例外其中所含的bug均还未能修复。这里我再次重申《安全周报》的编辑原则：每周Threatpost的团队都会精心摘选三条当周要闻，并加上我自己独到的见解。往期的内容可以在这里找到。 另一个存在于Google Admin内的安卓系统bug Threatpost新闻故事。MWR实验室研究。 我们发现了哪些漏洞？ 你是否注意到最近有关bug的新闻纷涌而至？哎，难道只是一辆车遭到黑客入侵？我们在许多车内都发现了数十种安全漏洞！同时，在有关安卓的最新新闻中，我们也很容易注意到同样的情况。首先是Stagefright漏洞，然后是一些稍小的bug，现在则轮到了Google Admin，即通过该工具绕过沙盒。 作为安卓系统级的应用程序之一，Google Admin可以接受来自其他应用的URL地址，而且事实证明，该工具可以接受所有URL地址，甚至是以’file://’开头的路径。结果是，具有网页下载功能的简单联网工具开始向类似整体文件管理器演变。是否因此所有安卓应用就可以相互隔离呢？当然不是，Google Admin只是拥有更高的权限，一旦不幸读取某些流氓URL地址，任何应用都能绕过沙盒访问私人数据。 漏洞是如何修复的？ 首先，请容许我简要介绍该独立研究和漏洞披露的整个过程。这一漏洞是在三月份被发现，随后相应的报告即提交给了Google。大约5个月后，当研究专家再度检查Google Admin的安全状况时，发现这个bug依然还未修复。8月13日，有关这一bug的信息被公开披露，目的是敦促Google尽快发布相关补丁。 顺便提一下，Google拥有一支内部研究团队，任务是花费大量时间和精力到处寻找bug，且不仅限于Google自行研发的软件。Google的Project Zero项目小组通常在将找到的bug公诸于众前，给予软件开发者90天的时间修复漏洞，但我们依然对Google能否在90天内成功修复漏洞持怀疑态度。 Google Admin工具在有些方面的确很糟糕：首先，有些方面确实糟糕；其次，我们都知道未必所有存在漏洞的安卓设备上都能修复漏洞。你是在说月度安全更新？那如果是长达半年的漏洞修复过程又如何呢？看！看！ 施耐德电气SCADA系统内发现开放式漏洞 Threatpost新闻故事。ICS-CERT报告。 欢迎来到重要基础设施的奇妙世界！请坐好，不必拘束，但千万不要碰可怕的红色开关，也不要摸那些莫名突出在外的电线。没错，它们本来就突在外面。这没什么问题。多年以来一直就这样。你一碰的话，我们就全完蛋了。 SCADA（监控与数据采集）系统作为重要基础设施的一部分，负责像锅炉（主要位于公寓大楼甚至核电站内）这样重要设备的操作和运行。此类系统无法进行篡改、关闭或重启。千万不要在这一系统上修改任何参数，说得简单点，不要碰任何东西！ 如果你有任何问题的话，千万不要自己去冒险尝试，最好读一读我们这一主题的文章。同时，我们还必须承认，尽管这些系统的重要性不言而喻，但却常常部署在运行老版本Windows系统的PC电脑上。与一般企业不同的是，重要基础设施通常至少过5年后才会升级或更换所用的硬件和软件，有些工业设施机器人或离心机为了将一些致命化学品分离，可能会数十年不停歇地使用同一个硬件运行。 我们发现了哪些漏洞？ 安全研究专家们在其中一个系统内—施耐德电气Modicon M340（多么浪漫的名字！）的PLC站内发现了大量bug。简而言之，这一连串漏洞将能让非工作人员完全掌控系统…基本上来说，可通过系统调节所有参数。其中还找到一个相当普遍的漏洞（顺便说下，该漏洞常常出现在许多路由器和物联网设备内），我们称之为硬编码器凭证。 关于工业SCADA系统内到底对哪些程序进行了硬编码，目前依然未知（尽管理由很明显），但我们完全可以做大胆的假设：这是一个由供应商提供的为简化维护程序而提供的默认登录凭证，或者是供应商可能只是忘了从编码中挑一个测试密码。或者你自己也可以想个理由出来。 漏洞是如何修复的？ 根本就没有得到修复。从安全研究专家Aditya

滥用大数据将会让你最可怕的梦魇成真，除此之外，等待着你的还将是永无止境的政府监控、保险代理的”独裁”以及老板的”专制”。不管你喜欢与否，潘多拉盒已经打开—我们也已进入了数字监控时代。 保护你冰箱的隐私 保险代理会购买你的信用卡记录。他想知道你是否经常吃快餐、订阅了哪些杂志以及买过哪些处方药。 分析人员也需要通过你的购物行为来评估你是否是拥有良好理财习惯的客户。那些喜欢吃炸薯条的”问题”客户，他们的人寿保险费率很可能会提高，甚至还可能被保险公司拒之门外。因此如果你想保护’冰箱习惯’隐私的话，可以考虑用现金购买食品。 社交网络账号也是另一个重要个人信息的来源，而这往往是用户自愿公布的。就这一点而言，Facebook健康文摘的忠实读者们似乎更容易受到保险公司的青眯，而那些热衷于前往Buffalo Wild Wings就餐的单身汉将可能成为保险公司的弃儿。因此，正确配置Facebook的隐私设置不失为一个好主意 。 与银行间的亲密关系… 银行同样乐意加入保险公司的行列以获取个人数据。你想贷款吗？银行通过对客户消费行为分析，了解他们的消费倾向：是将钱肆意挥霍在度假中还是更愿意用来购买高档品牌。银行想要了解你的程度胜过你的老妈。 银行向客户”强加的关系”可能会导致实实在在的财务后果：一旦银行认定你有花费超支的倾向，就可能会提高你的贷款利率。被归入’不可靠’清单的客户可能从未从银行贷款或享受过类似的服务，原因很简单，银行也从未向他们发过任何贷款产品的广告。 令人遗憾的是，由于银行拒绝向那些’默认’不可能获得贷款服务的客户放贷，银行此举也进一步加剧了贫富差距。 大数据下的职场生涯：美梦还是噩梦？ 你可能正在遭受老板的监视：有一种软件可以让你的老板知道你是否有离职的打算，有时甚至连你都不知道自己有这个打算。此类程序能够预测哪些员工最有可能超预算消费。除此之外，数据分析还能找出那些拥有三个或以上社交网站账号以及使用默认浏览器更频繁地换工作的人（还有其它许多类似的观察数值）。 尽管整个理念听上去有些毛骨悚然，但有些公司的确已开始使用大数据做一些雇佣和晋升方面的决策。至于能预测你未来决定的软件—是不是有点像《少数派报告》中开头的场景？ 此类程序标榜不含任何人类的偏见；但的的确确又是由人编写的。人类，本来就是存在偏见又容易犯错的生物。此前，就曾发生过因此类程序发出错误指示而拒绝优秀应聘者的案例。 小心，大数据下的营销！ 营销领域在使用数据挖掘技术时同样难免出现错误。前几年，营销领域的一些失误常见于各大新闻报刊，因此也大众所了解。 OfficeMax就曾犯了个大错，该公司在寄给一名客户优惠券的信封上竟然赫然印有寄给”Mike Seay，女儿在车祸中丧生”的字样。大约在一年前，这名客户年仅17岁的女儿和她的男朋友在一场车祸中不幸身亡。我们无法确定的是，公司在客户个人资料中保存这一敏感个人信息的目的到底是什么。 名声不佳的Target营销活动让人们不禁展开对”营销与个人隐私”话题的讨论，事情的起因是大型零售商Target在一名少女告诉家人自己怀孕之前透露了这个消息。该公司因为向少女寄送婴儿床和衣服的优惠券，使得她的父亲（也是未来的外公）意外获知了这一消息。 在这个事件后，Target营销活动开始变得隐秘起来，并决定向客户寄送各种优惠券以掩饰他们的’无所不能的超能力’。 “我们发现只要怀孕女性觉得自己没有被暗中监视，就会使用这些优惠券。她只要确保在她居住街区的每个人都收到了相同的尿布和婴儿床优惠券。只要我们没有特意发给她，就不会有问题。” —Target向《福布斯》杂志说道。 是否’较隐晦’的暗中营销就比”明目张胆”来得更好呢？可能会有助于缓解你的紧张情绪，但在现实中要想隐藏通过精确数据挖掘得到的信息几乎不可能。普林斯顿大学副教授Janet Vertesi和她的男友曾试图隐藏自己怀孕的消息，但结果证明这并不容易。 他们在线浏览婴儿产品时只使用洋葱路由；他们还要求朋友和家人不要将自己怀孕的消息发布到Facebook和其它社交媒体平台上，并且尽可能只用现金购物。最后Vertesi在总结过去几个月自己为隐藏怀孕事实所做的一切时表示：”你必须得像毒贩一样暗中交易。”太可怕了！ 保护客户数据…你在开玩笑吗？ 所有这些贪婪的数据收集公司从而考虑过太多的安全问题。许多黑客可以不费吹灰之力就成功入侵这些系统。 有时这样的事件看上去非常愚蠢。到后来则是见怪不怪了。金融服务提供商Money

Ashley Madison最终还是未能阻止黑客公布该网站的用户个人数据。2015年8月18日，黑客在线公布了近10GB的遭窃数据。现在任何人都可以从黑暗网络下载这些记录，包括：邮箱地址、信用卡交易记录以及3200万Ashley Madison注册用户的个人资料。 让我们回顾整个事件始末：这家偷情网站在7月份遭到黑客入侵。攻击者指责Ashley Madison欺骗消费者，并要求其母公司Avid Life Media立即关闭这家网站。由于ALM的团队拒绝按照黑客要求关闭网站，网络攻击者们（他们自称”Impact Team”）因此公开了ALM客户的隐私。 我们已经解释了ALM和网站会员的愚蠢以及欺骗行为。现在， 每个人都可以看到他们的数据。请记住，网站精心伪造了数千份女性个人资料。我们将对Ashley Madison伪造用户资料的行为提起法律诉讼；男性用户的真实比例占到了90-95%。即使你的丈夫（男朋友）注册了世界上最大的偷情网站，讽刺的是他很可能从未与真正的女性”偷情”过。他只是试图”偷情”，但可能从未成功，如果你认为这两者之间有区别的话。 这些男人实在够倒霉，他们冒着极大的风险偷情但最终什么也没有得到，还泄露了自己的隐私。ALM做得太不厚道，你从未向用户兑现过保护他们个人隐私的承诺… 你看到有趣的统计数据，黑客宣称该偷情网站注册用户的男女比例大约为6:1。那问题来了：这是否意味着许多用户从未通过该网站有过一次成功的”偷情”？ 泄露的数据已引起从记者和社会活动家到普通百姓几乎所有人的兴趣。比如，喜欢刨根问底的用户通过对这些数据的深入研究，发现了一些令人好奇的邮箱地址。事实证明，对于偷情的热衷，政府雇员完全不输于普通民众。有些人甚至还在这份清单中找到了托尼•布莱尔（英国前首相）的邮箱。但由于ALM从未验证用户邮箱，因此许多邮箱地址很可能是伪造的。 有些发现可能会产生相当严重的后果—最高可能处以一年的监禁。正如《华盛顿邮报》提到的，在军队中偷情属于犯罪行为，你可以看到有数千名Ashley Madison用户都使用了后缀是.mil的邮箱地址来注册账号。当然，除军人以外的用户也将承受毁灭性的后果。 Ashley Madison对此予以了激烈的回应：本次事件绝非仅仅是黑客入侵行为，更是一种犯罪行为。这是针对AshleyMadison.com个人会员以及任何选择在线进行完全合法活动且有着自由思想的人的一种违法行为。 公司承诺”不会坐以待毙”并将继续与执法机构展开合作以找到这些网络犯罪分子。与此同时，受害用户应检查自己的邮箱地址是否出现在了外泄记录中，尽力缓和事件所带来不良后果的同时，还应进一步深思—这么做到底值不值得？

物理网络安全研究专家Marina Krotofil和Jason Larsen在黑猫大会和DEF CON大会上均展示了他们对如何黑客入侵化工厂的研究–内容着实引人入胜。 黑客入侵化工厂并非是天方夜谭。既然黑客已能成功入侵浓缩铀设施、智能阻击枪或同时入侵数千辆Jeep汽车，那黑客入侵化工厂又有何不可能呢。世界上现在已经没有什么东西不可以入侵的，难道说化工厂就能成为例外吗？ 而真正有趣的是：在Krotofil的展示中，她深入地探讨了黑客在成功掌控化工厂的计算机网络后，可以做的以及应该做的事情。这里引出了该项究的第一个结论：黑客入侵导致的后果并不一定是明显的。 黑客可以对已遭入侵和控制的化工厂进行多种方式的漏洞利用。其中只有一种真正容易被发现：就是黑客让工厂的正常生产陷入瘫痪，其后果显而易见。 而更巧妙的入侵方法是：小心翼翼地对化工工艺进行调整，进而让目标工厂利润降低的同时失去市场竞争力。例如，黑客可以通过微调化工工艺来降低产品质量和/或等级。对于化学品而言，最重要的参数无疑是化学纯度。 例如，纯度98%的对乙酰氨基酚成本仅为1欧元/公斤（约合1.11美元）。而纯度达到100%的对乙酰氨基酚，其成本竟高达8000欧元/公斤。显然，黑客完全可以将降低化学品纯度作为首要攻击目标，进而从目标工厂老板的竞争对手那儿获得”丰厚报酬”。 来自Positive Hack Days安全竞赛的”漏洞化工处理框架”工具 而针对物理网络系统的黑客入侵而言，想要进行漏洞利用并非易事，这正是该项研究的第二个结论。由于整个化工厂相当复杂，因此里面的许多物理和化工工艺相互依赖。就算你在这里更改了某个工艺，在其它地方也能产生同样的工艺过程。因此，要想达到自己的目的，你必须了解其中所有工艺的相互关系。 首先，你需要一名化工人员，确切地说是一名化工专家。其次，你需要建造自己的”化工厂”并进行实验。顺便提一下，在Stuxnet作者开发这一著名病毒的过程中，使用了几台真正的铀浓缩离心机。 如果你无法建造”化工厂”，那就需要创建一个软件模型然后在里面进行虚拟实验。此外，你还要明确到底要哪些设备和软件需要处理。令人意想不到的是，想要黑客入侵化工厂，网络黑客最倚靠的工具竟然是互联网，特定情况下还要用到社交网络：化工厂员工通常都会将一些与工作相关的内容发布上去。而他们发布最多的就是包含有用信息的真实屏幕截图。 就算你有真正的化工专家为你工作，并获取了所有必要信息和软件模型，这还是无法确保你一定能控制你想要的化工工艺。问题的关键在于化工厂在设计时考虑了网络安全性；例如，物理网络系统相比纯计算机系统而言，无法使用通用断工具。 这也是为什么你必须借助间接数据对参数进行调整。例如，你无法测量产品本身的纯度，因为工厂根本不需要这样的嵌入式工具，他们通常在产品生产出来以后进行测量。你需要借助温度或压力来估计纯度。因此，黑客入侵化工厂的难度并没有被高估。当然，如果你时间充裕且拥有丰富资源的话，没有什么是做不到的。 简单地说，一方面，黑客入侵复杂的物理网络系统的确很难。另一方面，一切皆有可能。而一旦化工厂不幸遭黑客入侵，其内部的复杂程度对于安全防护恰恰起到了相反的作用—化工厂因此而难以检测到恶意行为。 正如Kim Zetter在《Countdown to Zero Day》一书中谈到Stuxnet时所说的，设计这一蠕虫病毒的真正目的并非是为了破坏铀浓缩离心机，而是降低核燃料的’质量’。如果某个神通广大的人能有足够耐心而且不追求短时效果的话，恶意软件将难以被发现。

欢迎来到本期的《安全周报》。在首期《安全周报》中，我们介绍了有关自动开锁汽车、安卓长期存在的Stage Fright漏洞攻击以及我们将不再受到网络监视（事实上情况依然存在）的新闻故事。 在本篇博文中，两条看上去毫不相关的新闻却有着一个共同点：时而由磁阻引起的漏洞可以采取现有安全措施予以解决。第三个新闻故事并不完全与网络安全有关，而是更多关注业内各方关系的特殊案例。这三个新闻故事可以说是趣味横生、各有特色。 我想再提一下我们《安全周报》的编辑原则：Threatpost编者每周会精选三个在当周最吸引眼球的新闻故事，而我则会加上自己的辛辣点评。你可以在这里找到这些系列的所有事件背景。 黑客入侵酒店房门 Threatpost新闻故事。 人们总是说科学与艺术之间有着一条难以跨越的鸿沟，同时这两个领域的专家们也难以相互理解。还有一个根深蒂固的说法是人文主义知识分子无法变成一名科学家或工程师。 但这一传统观念却被一名受过正规音乐训练的音乐家John Wiegand打破。在上世纪30年代，他既是一名钢琴演奏家同时也是儿童合唱团的指挥，直到他对设计音频放大器产生了浓厚的兴趣。到了上世纪40年代，他专心致力于那个时代的新奇事物–磁带录音的研究。而到了1974年（当时已62岁），他终于有了重大发现。 这项发明被称为”韦根传感器”，磁钴铁和钒合金丝在经过适当处理后会发生变化，从而在软内芯周围形成硬外壳。外磁场可轻易磁化外壳并抵抗退磁，即使外磁场退回到零时也同样如此—这一特性被称为”更大的矫顽力”。软丝填充的行为则完全不同：直到外壳完全填充磁化后，软丝才会填充磁化。 一旦合金丝完全磁化，内芯则最终能够收集它自己一部分的磁化，同时内芯和外壳进行磁极转换。这一转换会产生巨大电压，可用于各种传感和监视应用，在现实生活中完全可以有效利用这一效应，比如：酒店房卡。 与现代感应卡不同的是，”1″和”0″的数字并非记录在芯片内，而是在特别布线的直接序列内。这样的密钥既无法重编程序，其基本设计方案也与现代感应交通卡或银行支付卡大相径庭，但与磁条卡却十分相似–只是后者更加安全可靠一些。 那我们是否就能淘汰感应卡呢？目前还为时尚早。韦根不仅将他发现的效应命名为”韦根效应”，同时也用自己的名字命名了一种目前来看早已过时的数据交换协议。这一通讯协议的各个方面都做得相当糟糕。首先，该通讯协议从未制定过任何适当的标准，而且有许多不同的格式。 其次，原卡的ID只有16位，因此可设置的卡号组合有限。第三，这些感应卡采用了电丝设计，且发明时间早于我们学会如何将”微型计算机”植入信用卡内的时间，因而限制了密钥长度（仅37位），但读卡时的安全可靠性却远远高于后来拥有更长密钥的感应卡。 就在刚刚落幕的黑帽大会上，研究专家Eric Evenchick和Mark Baseggio展示了他们用来拦截授权过程中（未加密）密钥序列的黑客装置。最有趣的细节是：由于信息是在数据从读卡器传输到门禁控制系统过程中遭窃取（也就是历史上韦根协议使用的环境），因而与卡本身毫无关系。 这个微型装置被称为BLEkey –其外形极小，需要嵌入读卡器内（比如：酒店客房门）才能起作用。研究专家们展示了整个过程只需几秒钟时间即可完成。之后一切就变得很简单。我们只需读取密钥，然后等房客离开后打开房门。或者我们根本不用等。或者我们根本就不用开门。如果将这一技术细节形象地描绘成”房门和读卡器/无线通讯之间对话”的话，可能就像这样： “谁在那儿？” “是我。” “请进吧！” 整个过程的确就是如此，只是当中有些细微差别。好吧，通常来说，并非所有的门禁系统都容易受到这样的攻击。即使是那些在这方面存漏洞的门禁系统，也可以受到安全保护而无需彻底更换。根据研究专家的说法，读卡器原本就内置有防范此类黑客入侵的安全保护措施，只是这些安全功能通常禁用。 有些甚至能支持公开监控设备协议，允许你对传输的密钥序列进行加密。这些”功能”并未被使用–我将不断反复强调的是– 制造商之所以忽视安全措施完全是为了降低成本和方便生产。 这里有一个2009年有关这一问题的研究，并附有技术细节。显然门卡（非读卡器）内的漏洞早在1992年就已发现，之后相关专家建议门卡应进行反汇编或使用X光检查。出于这一目的，比如必须将门卡从持卡人处取走。目前的解决方案则是硬币大小的微型装置。这正是我所称之为的科技进步！ 微软与Immunity公司。微软公司与Windows Server Update Services之间纷繁复杂的故事。

对于父母时常挂在嘴边的：”现在的孩子真是无药可救了。” 你一定不会感到高兴吧？就算你是家族有史以来最自律的孩子，我敢打赌你或多或少也曾从父母口中听到过这样的话。父母们之所以会有这样的抱怨，是因为现在的孩子常常毫无限度地使用父母的信用卡购买手机游戏的内置物品，或者从那些安装了木马病毒或其他恶意软件的不安全网站随意下载游戏或应用程序。 还是让我们直入主题：幼稚和天真并不是互联网的生存法则。一旦对在线安全知识有了一定了解，你就不会再将互联网想象成一个充满各种美好事物的”世外桃源”。互联网真实了反应了我们的现实世界，里面既有好人也有坏人。里面根本不存在”天使”，但却有许多不法分子潜伏在这个”法律难以管束”的地方，隐藏自己的真实身份从事各种不法活动，从而为自己谋利。 说了那么多，我们的目的并不是想要吓唬你或让你也在网上伪装自己。而是想让你自己和你的父母在互联网上多留一份心，尤其是他们通常忽视在线安全的情况下。可惜的是，有太多的家长对于基本的互联网安全准则熟视无睹，使用最薄弱的密码并常常落入众所周知的网络钓鱼圈套。但在网络安全方面你完全可以比父母做得更好，也完全可以教给他们一些基本的在线安全常识。 牢记：互联网上的每个人都可能在撒谎 你应该向父母解释这样的道理： 并不是每一个互联网用户都使用自己真实的身份。”厉害的程序员”很可能只是不会做作业的孩子。而”附近学校的女孩子”可能只是生活在遥远国度的一个满脸胡渣的无聊男人。Instagram个人主页内放有各种极具吸引力照片的”大人物”，很可能只是来自新墨西哥州El Armpito的失败者，他唯一擅长的就是从Google图片中搜索各种绚丽照片。 同样的情况也适用于网站。记住并不是每一个网站都安全可靠。有些网站出于某些原因会故意放一些虚假信息在上面。因此尽量通过多个信息来源核实事实，最好是知名且安全可靠的网站。一旦你觉得网站可疑，确保及时告知家长。 每个家庭都需要有个人能担负起网络安全重任。而你完全能成为那样的人。

在过去的几周时间里，你们应该已经看到了我们对”数字失忆”所进行的一系列研究。考虑到”数字失忆“带给我们的各种苦恼，你很可能已经将它选择性遗忘了。 好吧–我承认这不是个好的笑话。我只是实在忍不住想说。事情的真相是我们愈来愈依赖我们的数字设备来记忆重要信息。 卡巴斯基实验室团队对此了然于心，同样也知道我们的客户相当重视自己的隐私、个人数据、数字身份以及个人资金，同时他们也表达了对这些个人信息安全的担忧。因为没有人希望将自己的个人信息泄露给那些存心不良的网站或公司。 由于数据外泄及黑客入侵的事件几乎每天都在发生，因此互联网用户不仅需要安全感，同时还需要无论在使用何种设备进行各种在线活动（例如：升级社交网络、使用网银和在线购物）时，都能确保获得安全保护。 随着卡巴斯基安全软件和卡巴斯基全方位安全软件2016版的推出，我们团队在其中加入了全新功能以加强用户的隐私保护能力。这一功能被称为”隐私浏览“。 正如你所知，每日的互联网用户数据收集程度着实让人有些胆战心惊，同时也让我们许多人产生恐慌情绪。尽管事情本身令人愤怒，但其中主要的问题是：相对’善良的’网络服务所收集的数据是如何跑到那些”坏家伙们”手中的？ 凭借全新的”隐私浏览”功能，卡巴斯基实验室用户不仅能防止设备上的个人数据外泄和在互联网上共享，同时一旦有网站请求获取你的个人数据时，还能收到相关报告。这一功能选项可作为Firefox、Chrome和Internet Explorer浏览器的插件使用。 我们相信，这一全新功能将使用户在上网冲浪时拥有更强的控制力和更佳的安全性。如往常一样，新版本的卡巴斯基实验室产品将不遗余力地阻止试图病毒感染用户设备的网络犯罪分子。 如果你对我们产品感兴趣的话，你可以直接从我们网站下载免费试用版，或购买完整版。标准套餐–1年期3个用户许可证–卡巴斯基安全软件售价79.99美元。卡巴斯基全方位安全软件的1年期5个用户许可证的售价则为99.99美元。  

仅仅在23年以前，微软只是刚刚发布了Windows 3.1系统，而苹果正推出其第一代PDA（掌上电脑），而Linus Torvalds则在GNU许可证下发布了Linux操作系统。在同一时期，尤金•卡巴斯基也出版了一本书，上面详细介绍了那个时代所有已知的计算机病毒以及清除病毒的方法，其中—这些病毒程序都被称为-V。当时的网络威胁并不是像现在那么严重：一本小册子就能覆盖当时所有病毒的介绍，甚至在随后的20年里情况也并未太过糟糕。 The Complete Сatalogue of Malware, written by Eugene Kaspersky in 1992 《恶意软件完整产品目录》，尤金·卡巴斯基编写于1992年 而那个”天真纯洁”的时代早已一去不复返。现在，每天出现的新型恶意软件数量就多达32.5万。同时几乎每个星期，整个互联网行业都会面临系统安全问题的新考验—从汽车和滑雪板到核电厂，几乎遍及各个领域。这是最好的时代，也是最坏的时代：如今，随着越来越多的人开始重视他们依赖于计算机的数据、企业和个人生活的安全性，整个互联网世界才有可能变得更加安全。 而现在，即便你放松地躺在椅子上的时候，也能了解互联网安全的最新动态。每周一，我们都将为您带来上周发生的三条最重要的安全行业新闻，同时还有从各个网站收集的辛辣评论。这些新闻无一例外都精选自Threatpost和卡巴基斯官方。 Stagefright：还未造成任何改变的安卓漏洞 Threatpost新闻。Google反馈。CERT Advisory。Kaspersky Daily对于如何预防Stagefright感染的建议。 Wired将其称为”迄今为止发现的最严重安卓系统漏洞“之一，但这样的表述并不完全正确：因为它还要更糟。这一漏洞与Heartbleed和Shellshock的主要差别在于：我们不必为Stagefright想一个唬人的名字，Stagefright是安卓系统音频和视频播放的引擎，也是安卓开源项目的一部分。从技术上讲，Stagefright其实是一整套漏洞（来自Zimperium的研究专家发现了留在CVE基地的7个ID），主要与缓冲区溢出有关。 这一多媒体引擎的任务是回放各种音频和视频，正如ZDNet提到的，某种程度上Stagefright的独特功能可实现”你还在考虑是否观看某个视频之前”，它就已经准备好播放了。出于某些神秘的原因，有时所有这些任务都是在”上帝”访问权限级别下执行。但事实上，其中的原因并不神秘：只是这样更容易编码，仅此而已。尽管如此，Stagefright也非常容易脱离安卓沙盒，因此也易于遭受漏洞利用。 最终，我们有了一个出色的概念证明：向手机发送MMS（多媒体短信）–然后一切都一目了然。你甚至无需打开”载入的”MMS：手机会自动帮你打开，因为其编码方式考虑到了为用户的便利性。是不是就没有任何办法了呢？并不尽然。首先，在安卓4.1及以上版本中有一项地址空间布局随机化技术，可防止手机自动打开，或至少部分”解决了问题”。 其次，通过遵循负责任的漏洞披露规则，Zimperium成功阻止了漏洞利用代码。尽管如此，得益于已发布的补丁，所有问题都迎刃而解。 Google的反应则相当有趣。我们从安卓官方博客发布的相关博文中摘录了一小段：”一切都没问题。我们的沙盒棒极了。只有0.15%的安卓设备内存在恶意应用（后面跟着许多星号、细则和条款）。为了确保安全万无一失，Nexus设备需要每个月都进行安全升级。” ‘纵然Nexus设备安全无忧，那安卓智能手机和平板电脑又该如何是好呢？Google的举措无助于解决安卓非一致性问题-新设备常常延迟无法第一时间升级至最新操作系统版本，而更老的硬件则根本无法升级更新。 好在像HTC、三星、索尼和LG这样开发商已宣布，将比以往更频繁地升级他们的智能手机和平板电脑。尽管许多问题依然悬而未决，但我们可以明确的是一些电子设备的系统将进行升级更新。如果我们继续努力下去的话，可能终有一天所有问题都会得到解决。 但无论如何，这都是一个好的迹象。迟早有一天，安卓也会拥有自己的一套升级机制，就像微软的’周二补丁日’一样。正如一年前安卓首席安全工程师Adrian Ludwig在Google总部说的，Google在安全领域做的相当出色，只需再对Google

人类的行为通常都有规律可循，因此完全可以预测。尤其当不法分子在破解密码、密文和PIN码时，人类行为的可预测性可轻易被利用。我们中的许多人都会将名字、出生日期和其它容易猜到的个人信息设为密码，更不用提’12345’这样的极简易数字密码仍被广泛使用。那我们每个人在设置自己的锁屏图案时，是否也有据可循且容易预测呢？事实证明—的确如此。 来自一家挪威公司- Itera Consulting的研究专家Marte Løge对此做了一项分析，主要是分析人们分别为购物应用、智能手机锁屏和网银所设置的图案密码。最终的结果着实令人大吃一惊。 首先，应用的类型与图案密码的设置强度有着密切的关系。相比智能手机锁屏，人们更倾向于对网银甚至购物应用使用强度更高的图案密码。 其次，在Løge调查的数千受访者中，许多人（约占10%）使用的都是字母样式图案，其强度与类似’12345’这样的极简易数字密码一样弱不禁风，几乎起不到任何安全防御作用。 数字样式的图案密码完全弱不经且最容易被猜到 第三，尽管图案密码可以有大约39万种组合，但人类行为的特有规律使得这一数量大幅缩减。上述提到的大多数组合都包含了8个或9个点，但不幸的是，实际中使用这些组合的人少之又少。因此人们使用最多的大约有10万种组合。 尽管10万种组合听上去数量庞大，但事实上其中的3/4包括了8点和9点的组合，而这些组合人们通常很少用到 据调查，图案密码的平均长度大约是5点—但这根本不足以保护智能手机或应用程序的安全。5点的图案密码长度只能有约7000种组合，显然这比简单的4位数字PIN码还要羸弱不堪。而人们最常用的图案长度是4点，这只能有大约1600种组合。 4点图案密码长度使用最为广泛 此外，要想进一步将组合的数量减至更少，你完全可以轻松预测出图案密码的起始点。人们通常倾向于将角落设为起始点，而其中大约一半的图案组合更都是将左下角作为起始点。而多达73%的人在设置图案密码时，都同时使用了左下角和右上角。 有趣的是，这与是右撇子还是左撇子以及是单手（小屏幕）还是双手（大屏幕）用智能手机都无太大关系。它们的各自占比都非常接近。 另一个有趣的事实是，女性相比男性更倾向于设置较弱的图案密码。此外，图案密码强度与年龄也有一定关系：年龄越小，越可能使用强度更高的图案密码。因此，知道性别和年龄确实有助于预测使用的图案密码。 我们能从这项研究中学到什么？基本上来说，如果你使用安卓锁屏图案，或为一些敏感应用设置图案密码时，想真正保护自己数据的话， 最好使用与众不同的策略。以下是我们的建议： 千万不要使用人人都能想到的数字样式图案组合。使用这种薄弱图案密码的效果和不使用图案或数字字母密码的效果相差无几。 起始点选择不太常用的位置：最好的选择是右边中间的位置。右下角同样也是相当不错的选择。 图案密码的长度最好设为8点或9点：首先组合数量庞大；其次很少有人使用这一长度。 当然，可以考虑将图案密码改为数字字母密码。因为即使是长且可靠的数字字母密码相比高强度图案密码来说，记起来还是要更容易些。

如果说’黑客入侵’已成为一种时尚潮流的话，那本季的最热流行非’黑客入侵汽车’莫属。在两名研究专家Charlie Miller和Chris Valasek详细揭露如何黑客入侵Jeep大切吉诺不久后，另一个安全专家小组也成功控制了特斯拉S型电动车。 移动安全公司Lookout联合创始人兼首席技术官Kevin Mahaffey及其合作伙伴Marc Rogers（CloudFlare首席安全研究专家）在特斯拉S型系统中发现了6个漏洞后，已与特斯拉公司开展了数周之久的合作，以共同编写修复补丁。 尽管已放出了相关补丁，但这一事件已让人们对特斯拉S型电动车的安全性产生了极大怀疑。犯罪分子可将PC电脑与车载以太网进行物理连接来利用这些安全漏洞，只需使用软件命令就能将你价值10万美元的’豪车’直接开走。另外，犯罪分子还能让系统感染木马病毒，从而远程关闭正在行驶中的电动车的发动机。 在测试潜在网络威胁时，研究人员竟然完全掌控了车载娱乐系统。他们可以随意打开和关闭车窗、锁车门或开门锁、升/降悬吊系统以及切断汽车电源。 但特斯拉并没有犯和克莱斯勒相同的错误。一旦正在行驶中的S型电动车电源被切断，其车内系统可立即激活手刹。 当车速慢于8公里/小时，车辆会自动倾斜直至停下来为止；而当车速快于8公里/小时，特斯拉则采取特殊安全预防措施。在对高速行驶的车辆进行测试时，当司机保留对转向和制动的控制时，汽车档位会自动转到空挡并自动停下来。此外，安全气囊也能完全起到其应有的作用。 在相同的处境下，克莱斯勒不得不通过召回140万辆问题车打上紧急安全补丁，而特斯拉汽车只需通过无线通信即可打上安全补丁。具有讽刺意味的是，一些汽车生产公司提供安全补丁的速度竟然比许多智能手机生产商还要快许多。 “如果每次下载和安装补丁的过程都能顺畅进行的话，这可以解决许多的问题。你可以看到，在现在的汽车系统内运行着大量的软件，因此需要频繁地安装补丁，其安装频率有时甚至超过了PC电脑，但如果要求车主每周或每个月前往经销商处安装各种补丁的话，那绝对是一件恐怖的事情。我的观点是世界上的每一辆车如果能连接互联网的话，都应该采用OTA（无线通信）方式下载并安装补丁。” —Mahaffey在《Wired》杂志上评论道。 Mahaffey和Rogers将就如何提高特斯拉汽车安全性方面继续展开合作。此外据报道，特斯拉公司还从Google新挖来了一名在业内享有声望的工程师：Chris Evans将担任特斯拉汽车安全团队的负责人。

安全研究专家Chris Rock最近发现，完全不费吹灰之力就能”杀死一个人”。需要声明的是，我们讨论的内容完全属于法律意义上的范畴，并不会引起道德和法律上的后果。只需要一台能上网的电脑、些许相关知识和基本的网络常识，每个人都能做到。你甚至无需黑客入侵任何网站；你所需的所有服务都是现成的，而且是100%合法。 因为一场意外-澳大利亚的一家医院错发200张死亡通知书，Chris Rock开始着手研究其中的漏洞。他的想法是，既然因为医院的失误操作能造成电子系统出错，那个人也同样可以人为制造”错误”。 人死亡的官方证明被称为’死亡通知书’。而在许多国家，这一证明还可以在线申请。例如，在美国，医院可以使用一项称为’电子死亡登记系统’（EDRS）的网络服务。要想成功申请死亡证明，你只需以医生的身份登录EDRS。 要想注册这项服务，你需要输入能证明你医生身份的几项信息，包括：姓名、执业证书编号以及你医生执照上的地址。即便你不是医生，还可以通过在线服务（至少在加州是如此）找到所有你想要的医生信息。简而言之，你可以随时以加州一名职业医生的身份登录ESDR，且不会产生任何问题。 此外，另一种人同样也能开立死亡证明，那就是丧葬承办人。有趣的是，在某些美国州（和像英国或澳大利亚这样的国家），无需任何特殊培训或资质证书就能成为一名丧葬承办人。提交申请后只需等待有关部门确认—很快，你就能正式成为一名丧葬承办人。 当然，你需要知道如何正确填写死亡证明。但此类系统通常都为医生和丧葬承办人在线准备了相关的填写指南。当然，你也可以通过Google搜索，各种你想要的信息都一目了然。死亡证明申请的基本方法就是这样，可能你还需要做一些遗嘱认证方面的工作。但这同样相当简单。 在这些’死亡服务’网站中，最有意思的是竟然还有一个特殊按钮，用来进行批量死亡登记。这一功能最初设计是用来登记类似于灾难中的死亡人口，但任何人想扮演Bender Rodriguez的角色，都可以用这个特殊按钮来一场虚拟的’集体屠杀’。 当然你也可以反过来做—创造一个虚拟的人—方法也大同小异，但你却无需忍受’怀胎九月的煎熬’。事实上，创造虚拟的人要比让真实的人虚拟死亡来得更容易些。首先，你无需注册为一名丧葬承办人。其次，你可以一名助产护士的身份注册，而无需是医生。而且，有关助产护士的所有必要信息都可以从上述提到的加州网站和其他国家类似的服务项目中找到。 人们’虚拟杀人’或’创造虚拟人’的理由有很多。可能为了欺诈、报复或是故意妨碍他人，各种原因不胜枚举。可能还有一些令人啼笑皆非的理由，但却很难让人察觉到：在创造虚拟的人同时，你所创造的那个他/她也立即成为了完全合法的人，你可以在日后随时用这一身份做任何事情。这就好比将你在社交网站上所展现出的完美的你移植到了现实生活中！ 官方对于死亡的认定也十分有趣：要想恢复自己的’法律地位’可谓相当复杂。过去曾发生过这样一个案件：有一个人因为失踪多年而被错误地宣布已死亡。他想要恢复自己的’合法地位’，但法官却说现在已经晚了—因为俄亥俄州法律规定必须在宣告死亡后的三年内提出异议。一旦三年期限过后，就无法再进行更改。抱歉，伙计，我们真的是无能为力。

近期，我们就时下热门的”黑客入侵Jeep大切吉诺“主题，写不少与此有关的讨论文章。在今年的网络安全盛会-2015美国黑帽大会上，安全研究专家Charlie Miller和Chris Valasek同样就他们是如何黑客入侵Jeep大切吉诺的整个过程进行了详细阐述。 在他们的研究之初，Miller和Valasek试图通过Wi-Fi连接黑客入侵Jeep车的多媒体系统—Jeep的制造商克莱斯勒根据车主意愿选择是否开通这一收费功能。事实证明，黑客入侵这一车载Wi-Fi并非难事，原因在于Wi-Fi密码是基于汽车本身及其多媒体系统（主机）在首次启动时自动生成的。 从理论上讲，考虑到日期/时间的极高精确度，这是一种相当安全的加密方法，因为你可以得出成千上万种可能的组合。但如果你能成功猜到要在Jeep车开动后的一小时内时刻与车载Wi-Fi保持连接。因此，这两名研究专家决定另寻他路。令人吃惊的是，他们竟然真的又找到了一个解决方案：结果证明，克莱斯勒车载Wi-Fi密码是在车上设置实际时间和日期之前就已经生成，即在主机启动时在默认系统起始时间基础上再加上几秒而自动生成。 那辆大切吉诺的默认系统起始时间是2013年1月1日00:00（格林威治标准时间），或更精确地说，是00:00:32（格林威治标准时间）。这样可能的组合范围就相当小了，即使是业余黑客，猜出正确的Wi-Fi密码也完全是小菜一碟。 在成功连上Jeep车的主机后，Miller和Valasek得以找到一种可能的方法来黑客入侵使用Linux操作系统的多媒体计算机。由于软件内的几个问题完全能猜到，因此他们通过利用软件内的漏洞后最终完全掌控了主机系统。 尽管攻击范围有限，但却足以惊世骇人：研究专家们不仅能完全控制音乐播放器，还能将收音机调到任何他们想听的频率并能随意调节音量。完全可以想象，当你以70英里/小时（相当于112公里/小时）在高速公路上急速行驶时，收音机突然自动提高了音量，任何人碰到都会悚然一惊，进而可能引发交通事故。 研究专家们还发现了另一种可能，即通过车载GPS导航系统追踪目标车辆。你甚至无需更改主机软件就能利用这一漏洞，因为该系统在汽车出厂前就已内置。 以上就是如何成功黑客入侵克莱斯勒汽车车载Wi-Fi连接的方法，但前提条件是车主购买了此项功能服务。但就目前而言，许多车主并未购买。而另一方面，克莱斯勒汽车的所有主机均能与Sprint蜂窝网络相连接，就算其车主并未购买任何无线网络服务也同样能成功连接。而这只是针对车载主机类型的一个标准而已。 Miller和Valasek也试图通过这一方法利用漏洞—虽然花费了大量的时间和精力，但他们的努力并没有白费。借助在eBay上购买的’femtocell’（毫微微蜂窝式基站），他们得以进入到Sprint内网，并通过监听某几个电话（他们通过黑客入侵Wi-Fi获得）扫描大量IP地址。 利用这一黑客技巧，你可以找到几乎所有配备有此类主机的克莱斯勒汽车。事实上菲亚特克莱斯勒已召回了100多万辆车存在类安全漏洞的汽车。可能你会觉得菲亚特克莱斯勒已将所有问题车辆都召回了，因此完全可以放心选购一辆安全的Jeep车。但事实上这并非易事，正如研究专家所言，”相比其他品牌汽车而言，所有Jeep品牌的汽车几乎都存在这方面的安全问题。” 黑客完全可以借助GPS追踪器，对任何想要黑客入侵的Jeep车下手。在成功入侵后，黑客可以利用车载多媒体系统为所欲为。但我们的故事还远未结束。 下一步还需要找到接入CAN总线的途径。CAN总线作为汽车的内网能与车上所有最重要的部件—发动机、传动装置和传感器等（几乎囊括了所有车载部件）互联，原因在于目前Jeep品牌车上的每一个部分均采用电子控制方式。 但多媒体系统却并未与CAN总线直接相连。而这正是每当提及网络-物理系统的IT安全时，所有汽车制造商都反复强调的：多媒体系统完全独立于这些系统的联网和物理部分以外。 但事实证明，其安全性也并非万无一失，至少对于克莱斯勒汽车而言确实如此。尽管多媒体系统控制器本身无法与CAN总线直接通讯，但却能和与CAN总线互联的另一个部件-V850控制器通讯。简单地打个比喻，他认识个家伙，那个家伙又了解另一个家伙的状况。 V850控制器的软件采用了相对谨慎的设计方式，因此尽管有可能’听从于’CAN总线，但却无法通过它发送命令。但你也知道，这毕竟是一台计算机。你根本无需拆箱操作，只需简单地对计算机重新编程即可将其添加入内。 通过与多媒体系统的控制器连接，研究专家们发现了可针对其恶意编写版本更改V850控制器固件的漏洞。在无需检查或授权的情况下，固件即可完成’升级’。尽管存在权限问题，但研究专家们在其中发现了数个漏洞，从而实现了对V850控制器的完全掌控。 实际上就是如此简单：在这一步操作完成后，Miller和Valasek即能通过CAN总线成功发送命令，并且对所有汽车部件（千真万确）进行操控。他们能成功操控方向盘、发动机、传动装置和制动系统，更不用提像雨刷、空调和门锁这样更容易控制的汽车部件。而且，他们完全是通过Sprint蜂窝网络远程控制这些汽车部件的。 好消息是：Miller和Valasek花费了数年时间才得出了他们的研究成果。而主要的黑客技巧—具体如何掌控与汽车部件连接的CAN总线—在他们的介绍中依然未解释清楚。此外，也并非每一名黑客都能达到上述两名研究专家的技术水平。坏消息是：此类黑客入侵成功的可能性相当高，且产生的破坏性将难以估量。

对于广大车迷而言，赛车运动代表着历史、传统、激情与归属感。而有着悠久历史的斯帕24小时耐力赛更是成为了全球性的赛车盛事。于周二开始的比赛先进行首轮多场测试赛，最终将在24小时比赛后于周日下午4:30决出最后的冠军。 由卡巴斯基实验室赞助的AFCorse车队拥有包括Alexander Moiseev、Garry Kondakov、Riccardo Ragazzi和Rui Aguas在内的多名车手，他们轮流驾驶Ferrari 458 GT赛车，齐心协力，共同完成比赛。 在开赛之初，由于天公不作美下起了磅礴大雨，但即使在如此恶劣的天气条件下葡萄牙车手Rui Aguas依然发挥十分稳定。随后登场的是意大利车手Riccardo Ragazzi，他一出场就出现了许多精彩的超车，并多次跑出了快速单圈。 而Alexander Moiseev更是表现出色，他驾驶的赛车几乎每一刻都极具侵略性，其表现与他的同胞车手Garry Kondakov相比毫不逊色。 伴随着赛车马达的轰鸣声和现场车迷的欢呼声，比赛逐步进入了胶着状态，同时车手也轮换了多名。在AM级别的比赛中，在我们的赛车多圈跑完后依然占据首位的情况下，由于出现技术问题，赛车不得不在比赛临近结束的时候暂时退出比赛长达数小时。 尽管如此，我们依然很高兴能有机会参加这项历史悠久的比赛。

这一最令人震惊的网络威胁不断触动着安卓手机用户原本就脆弱的神经：Zimperium zLabs在2015年4月报告了Google操作系统内的6个漏洞。他们还告诉《福布斯杂志》：尽管Google向其合作伙伴发送了补丁，但有些令人难以置信的是，大多数生产商并未修复这些补丁来保护他们的客户。这些bug被认为有史以来发现的最严重的安卓缺陷。 安全研究人员宣称95%的安卓设备–约9.5亿部智能手机–暴露在漏洞利用的危险之下。运行2.2版本以下安卓操作系统的老式手机可确保无安全之忧，同样安全的还有Silent Circle最新推出的Blackphone（黑手机）,其操作系统已打上了相关安全补丁。同样针对Nexus手机的相关安全补丁也将于近期发布。 只要知道你的手机号码，黑客们就能将恶意软件植入你的手机：即通过受病毒感染的MMS（多媒体短信服务）实现。只要你接受此类短信—恶意软件就能开始自动运行。你甚至不打开受感染的多媒体短信就可能不幸成为受害人，因为手机的操作系统会’帮助你’执行一切操作。这绝对是一种可怕、高效且悄无声息的网络攻击，你说呢？ 该漏洞存在于Stagefright软件库内。Google Hangouts同样遭受牵连，原因在于该应用常被用作处理视频短信的默认应用程序，因此会激活病毒。 一旦不幸安装，该恶意软件则会清除原先的MMS来掩盖所有踪迹。一旦成功运行后，该病毒将不仅通过手机摄像头和麦克风监视你的一举一动，还会将你的个人数据共享到互联网并开展其他犯罪活动。 Google最近针对其Nexus手机开发了另外一些安全补丁，并承诺将于近期发布。但如果你不幸使用其它手机的话，则可能永远也看不到针对你手机的相关安全补丁发布的一天。不幸的是，众多智能手机生产商在提供安全补丁方面可谓名声不佳，尤其当你的手机已上市超过18个月。 而与此同时，作为安卓替代系统的CyanogenMod也于近期发布了修复补丁。如果你手机的生产商无法提供安全更新补丁的话，可以参考以下我们精心准备的安全防范措施。 你首先需获得安卓手机的root权限，然后禁用Stagefright。当然，你还可以选择使用其他的手机操作系统。 你还能买一部在这方面有安全保障的新智能手机（生产商很重要！），然后放心使用直到再出现新的严重安全漏洞。 更改设置并停止接收MMS。 无论你选择哪一种方法，都仍然会遇到各种不便和麻烦。最快的方法是禁用Hangout的MMS自动抓取功能。只需按照以下步骤操作即可轻松实现： 打开Hangout； 点击左上角选项； 点击设置-> SMS； 在高级选项卡内取消勾选自动检索MMS选项。 如果你使用的是默认消息应用，同样可以实现： 打开消息应用； 点击更多->设置->更多设置 点击多媒体消息->关闭自动检索 我们依然希望智能手机生产商最终能严肃地对待这些安全问题。此外，我们还可以通过向那些在推特上有客户支持账号的智能手机生产商直接发送推文，敦促他们尽快发布相关安全补丁。  

可能你也有所听闻，互联网已然成为了可怕而高效的网络欺凌媒介。此类网络攻击也同样容易让孩子遭受永无止境的心里创伤。 请相信我们的话：网络欺凌往往容易遭受偏见。而这正是孩子在成长过程中需要克服的障碍。你不必将大量的时间和精力花在无聊的人身上– 而应将自己的时间和精力放在真正对你重要的事情上。 如果你感到在线聊天或在线发帖变得愈加难以控制的话，可以考虑以下采取以下行动。 如果你感到有人在线对你欺凌、威胁、嘲笑或让你心烦意乱的话，是时候该远离他们了。千万不要沦落到和他们同样的层次。你理应更加聪明。只需将欺凌的事实报告给网站管理员，让他们来处理就行了。 如果这些网上不良现象继续出现，或者有人做的实在太过分的话，确保告知你的家长— 不管是谁，就算是你在学校认识的人。这并不算打小报告，而是大人应该做的事情。在任何人受到伤害之前即时制止网络欺凌现象相当重要。 如果还有人将有关你个人生活的隐私到处散播— 比如在未经你同意的情况下下载你的照片或直接从你那儿窃取—立即告知你的家长并通知网站管理员，如此才能制止这一行为。