一周海外安全事件回顾(12.23 – 12.28)

2013-12-30 +10 175191人围观 ,发现 2 个不明物体 头条安全报告

斯诺登不是耶稣,但是同样以自己承受苦难换来世人的觉醒。

斯诺登的圣诞祝词

如果它(政府)真的想要知道我们的感受,询问我们总是比监控我们花费少。


    12月25日,英国“第四频道”电视台播放了斯诺登对全人类的一段圣诞祝词视频。与其说是祝词,不如说是对全人类的警示和对某些群体的劝诫。1分43秒的视频,他向我们描绘了一个异常恐怖的未来:“今天的孩子长大后,将无法知晓隐私为何物。他们将完全不知道拥有自己的隐私时刻是什么意思。” (A child born today will grow up with no conception of privacy at all. They’ll never know what it means to have a private moment to themselves)

    他提到,我们的一举一动都在接受监视,口袋中的手机,就是一个追踪我们动向的传感器(sensor)。这可能多少有些夸张,但是在斯诺登掌握的机密档案公之于众之前,我们怎么能知道那张无形的大网到底是何等的严密?也许,我们永远也不会知道。

    有意思的是,在BBC播放斯诺登祝词前,英国女王发表了圣诞祝词,也提到了个人私有空间的重要性:很多人觉得安静的个人反思可以获得令人惊讶的回报,甚至发现了他们生活中更深层次的精神内涵(Many have found the practice of quiet personal reflection surprisingly rewarding, even discovering greater spiritual depth to their lives)。

    圣诞节是耶稣的生日。斯诺登不是基督耶稣,但是同样以自己承受苦难换来世人的觉醒。他无法把死去的人唤醒,或让凶恶的人放下屠刀,这丝毫不妨碍他成为一个无私和伟大的人。在斯诺登祝福全人类的时候,让我们也一起祝福他:一切平安。

下面是斯诺登在Channel 4的祝词全文:

Hi, and merry Christmas.

大家好,圣诞快乐。

I’m honored to have a chance to speak with you and your family this year.

很荣幸今年能有机会向你们和你们的家人发出祝福。

Recently we learned that our governments, working in concert, have created a system of worldwide mass surveillance, watching everything we do. Great Britain’s George Orwell warned us of the danger of this kind of information. The types of collection in the book—microphones and video cameras, TVs that watch us—are nothing compared to what we have available today. We have sensors in our pockets that track us everywhere we go.

我们最近发现,我们的政府共同创建了一套覆盖全球的庞大监视系统,监视着我们的一举一动。英国的乔治•奥威尔曾经警告过我们这类信息的危险性。他在书中提到的监视行为主要是通过麦克风、摄像头、电视机来实现的,这与我们当今的监视手段完全不可同日而语。我们的口袋里现在都已经有了传感器,可以追踪我们的所有动向。

Think about what this means for the privacy of the average person. A child born today will grow up with no conception of privacy at all. They’ll never know what it means to have a private moment to themselves, an unrecorded, unanalyzed thought.

想一想,这对普通人的隐私意味着什么。现代监控远比奥威尔想象的更有入侵性。今天的孩子长大后,将无法知晓隐私为何物。他们将完全不知道拥有自己的隐私时刻是什么意思,这意味着一个未被记录、未被分析的想法。

And that’s a problem because privacy matters. Privacy is what allows us to determine who we are, and who we want to be.

这很成问题,因为隐私很重要。正是隐私让我们决定了自己是谁,以及想成为什么样的人。

The conversation occurring today will determine the amount of trust we can place both in the technology that surrounds us, and the government that regulates it.

今天发生的对话将决定我们可以对周围的各种技术,以及负责监督它的政府给予多少信任。

Together, we can find a better balance, end mass surveillance, and remind the government that if it really wants to know how we feel, asking is always cheaper than spying.

团结起来,我们可以找到更好的平衡,终结政府监控,并提醒政府,如果它真的想要知道我们的感受,询问我们总是比监控我们花费少。

For everyone out there listening, thank you and merry Christmas.

感谢所有听众,圣诞快乐。

美国零售业历史上第二大用户数据被盗案

4000万Target卡用户信息被盗,对于Target公司信用来说是一个沉重的打击,同时带给华尔街银行业的则是一个巨大的阴霾。



    在上周发生的Target公司4000万卡用户信息被盗,其规模是美国零售业历史上第二大的用户数据被盗案。案件发生后,零售商Target强调虽然丢失了4千万卡信息,但是PINs(personal identification numbers)一个也没有丢,因此将不会造成事实上的个人财务损失。

    不想,首先对Target上述说法报以怀疑态度的竟是美国第一大银行——摩根大通(JPMorgan Chase & Co.)。大通银行某执行层高管认为,在没有得到明确的调查结果之前,他们很担心攻击者可以通过破解PIN密码进行银行账户转账。

于是,摩根大通在事件发生后,在上周六宣布降低客户借记卡的提现和支付额度:每日ATM只能提现100美金,购物消费500美金。虽然,摩根大通的反应有点过于敏感和强烈(在本周一大通银行又稍稍提升了额度),但是足以体现摩根大通等银行对PIN码可能丢失的疑虑。

    有意思的是,到现在都没有人知道Target 4000万用户信息是怎么丢的?当然,不排除Target公司存在难言之隐,毕竟是美国第三大零售商,损失4000万美金都没大碍,品牌和信誉可是花多少钱都买不来的。

    除了银行业的反应,事件也引发了安全界对Target用户信息失窃案的猜测。明尼苏达大学安全技术专家认为,此次事件实质上是在用20世纪的观念来防范21世纪的威胁。我们知道,Target信用卡采用磁条存储用户信息,很容易被拷贝。如果采用数字芯片,则难以复制。此外,也有专家认为问题出在POS系统上,游离在防护体系之外的POS机成为最薄弱的环节。也有观点认为银行系统的安全机制太过时,需要与时俱进适应攻击的变化,对类似大量用户信息读取的异常行为设置告警,以及将数据碎片化并加密。还有观点认为,Target事件恰恰证明了该公司没有做好PCI DSS的合规工作。

    到底哪方观点正确,现在还很难说。个人认为,大家说的都是正确的。安全防护本来就应该是点面结合,纵深防御。任何一个细节存在脆弱性,都可能成为黑客突破的点。没有百分之百的安全,但是在设计安全防护体系的时候,需要考虑到尽可能多的可能性,然后基于自己的实际情况进行细致的规划,采取最适合的防护部署。

令人刮目相看的CryptoLocker

不用root权限,一样让你完蛋。



    在之前的回顾中,我们曾经提到了以2048位非对称加密方式加密文件的勒索软件——CryptoLocker。从营收角度上讲,CryptoLocker勒索软件获得了令人瞩目的财务成功。据称,CryptoLocker在100天内成功敲诈了3千万美金,平均每天入账30万美金,每个敲诈对象300美金。当然,盗亦有道,敲诈者倒是信守承诺,但凡付了钱的,均归还了数据的访问权。

    CryptoLocker在一定程度上影响了传统的安全理念。传统安全理念认为,提权是至关重要的,拿不到root,很多事情就办不到。但是CryptoLocker给予安全人员的警示在于——不用root权限,一样让你完蛋。

    安全研究人员预测,在2014年,CryptoLocker威胁将向移动终端扩展。只有不到一半的移动终端安装了防护软件。抛开CryptoLocker这一个例,从来自诸多研究机构的预测来看,移动终端安全的黑白市场均将在2014年取得爆发式增长。

其他


    悲催的“Destroy Obama Care” 工具。这款专门为攻击奥巴马医保网站开发的DDoS工具工作机制简单,由于指定了攻击对象(奥巴马医保网站),工具会持续和轮流打开网站上的各个网页。技术点讲,就是不断地向不同的网页发送http get请求。在一台计算机上可以运行多个工具进程。但是,该工具并没有得到广泛应用,因此也没有对医保网站造成太大影响。

    Mariposa作者进监狱。感染190个国家1300万台计算机并造成严重金融机构损失的全球最大的僵尸网络之一——Mariposa作者,27岁的Skorjanc在斯洛文尼亚被宣判。Sk在2010年被捕,此次宣判为58个月牢狱,4000欧元罚款和没收包括车房在内的个人资产。Mariposa可以感染Window和Linux系统,通过IM、P2P和USB传播,Bot和CC之间采用VPN通信,很难发现。

    支持阿萨德和反对阿萨德势力间的网络战升级。研究报告显示,支持阿萨德的黑客向反对派人士发起电子邮件进攻。邮件带有抗议阿萨德政府暴行的标题和文字内容。邮件标题为:“恐怖视频-邪恶的阿萨德军队”,同时还有一段文字:“爆料!非常非常非常严重的画面!看看发生了什么针对民众的事件和民众说了什么”。文字附有一个视频的链接。当接收者点击链接观看视频时,将同时运行一段恶意代码。恶意代码可以记录键盘输入以及进行截屏操作。

参考


1、Edward Snowden'sChristmas message: a child born today will have no conception of privacy,http://www.pcworld.com/article/2083060/edward-snowdens-christmas-message-a-child-born-today-will-have-no-conception-of-privacy.html

2、斯诺登圣诞贺词全文,http://news.hexun.com/2013-12-26/160912602.html

3、Experts warn of persistent cyberthreat,http://www.kare11.com/story/news/2013/12/22/experts-warn-of-persistent-cyber-threat/4172771/

4、Target Breach Should Spur POSSecurity, PCI 3.0 Awareness,http://www.darkreading.com/risk/target-breach-should-spur-pos-security-p/240164960

5、Exclusive: Target hackers stoleencrypted bank PINs – source,http://www.reuters.com/article/2013/12/25/us-target-databreach-idUSBRE9BN0L220131225

6、Why 2013 was the year of the personaldata breach,http://www.pcworld.com/article/2082961/why-2013-was-the-year-of-the-personal-data-breach.html

7、Hackers Threaten Destruction OfObamacare Website,http://www.informationweek.com/security/vulnerabilities-and-threats/hackers-threaten-destruction-of-obamacare-website/d/d-id/1112207?piddl_msgid=193451#msg_193451

8、Creator of Mariposa botnet jailed inSlovenia,http://www.allvoices.com/contributed-news/16230749-mariposa-botnet-creator-jailed-in-slovenia

9、Cyber War in Syria Is Accelerating,Study Says,http://mashable.com/2013/12/26/syria-cyber-war/

(Dec., 29 @blackscreen)

发表评论

已有 2 条评论

取消
Loading...
css.php