2014年 Jul月 26日
一周网络负面新闻-2014年7月26日
遥控-你正在开的那辆汽车…
有关最新黑客入侵、有目标性的攻击以及恶意软件发作的新闻日益困扰着公众的日常生活,且出现频率愈来愈高。但还有一些不那么常见,并远离公众视野的领域:你根本无法想象这些也会被黑客入侵。
来自中国的一篇报道讲述了黑客如何入侵特斯拉电动车的配件–同样也是黑客大会举办期间争论的主题。那么,为什么是特斯拉?特斯拉又有什么好?首先,特斯拉是一辆电动汽车,并配备了众多的’智能’电子装置,与其说是一部汽车还不如说是一台巨型的移动电脑。那么,特斯拉的目标又是什么呢?装备所有新功能–尤其是那些没有IT安全专家参与研发的功能–不可避免地因存在漏洞而导致了新的威胁,而这正是中国黑客大会上所得出的结论。
在中国发生的黑客事件向我们揭示了如下事实:网络罪犯可以控制特斯拉电动汽车的刹车、车灯以及更多车用功能–甚至是车正在行驶的时候。完全可以说是《看门狗》游戏活生生的现实版!但相关详细内容还未正式公布(并不妨碍我们的研究)。入侵的细节内容(据称)被直接发送给了特斯拉用于修复车的漏洞,还颇有些”职业操守”。
嗯…,对于事实的真相还是让我们拭目以待吧…毕竟,此前有众多诸如此类的案例–但最终证明’黑客入侵’事实上是无法实现的,或者在一些完全切合实际的条件下才有可能成功。就算本次在特斯拉所发现的漏洞被证实确实存在,我依然不会感到吃惊:因为就在最近,我们对一辆全新宝马汽车内部的’智能’配件做了一些新奇的研究。得出的结果是,汽车被黑客入侵的可能性相当高。
Boomerang
现在让我们来聊聊有关密码的网络新闻。
一名华尔街记者决定化身”豚鼠”,试图证明密码的存在毫无用处。(我们通常使用更加先进的多身份认证技术,包括通过文字讯息的一次性密码!)
现在,我对使用2FA(双重身份认证)没有了任何反感:因为它确实管用(即使黑客们已经学会如何绕开)!然而,试验最终没有得出任何结论:这名记者首先激活了自动登录确认功能(需发送到他的手机),随即公开了他的推特账户密码。尽管他的账户并没有被入侵成功,但依然不得不很快终止了试验–原因是有太多的人想要反驳他的”密码无用论”,因此这名记者的手机收到过多的文本请求而导致系统崩溃!
是有机会可以很快入侵这一账户的。如果我是错的话,那”密码时代”真的要终结了。
危险的忠告。
密码问题是人们始终热议的话题。这里有网络世界里的另一块珍宝。
你总共使用多少项网络服务?总共有多少个密码?大部分人虽然拥有众多的网络服务,但密码却始终只有一个。的确,我们通常就用一个密码来登录几乎所有的网络账号;更糟的是–不只是网络账号,连登陆企业网时也用同一个密码。但这再自然不过了:对大部分人来说,要记住10个以上的密码几乎是不可能的。
那么我们该怎么做呢?
微软就提出了一种可靠的数学模型:只需使用几个密码即能管理所有的账户。你要做的是将所有使用的网络服务按重要性程度分为几组,并为每一组设置密码–较为重要的账号则采用最强的密码。此外需要重点说明的是:网银或其他资金账号不推荐使用此类模式(这一点非常重要,但我不会详述…:)。
图3:在”非盈利性移动”策略下对密码进行分组。在本例中,100个账户被任意均匀地放置于PL线平面上,并优化分配到5组密码中的任意一组。根据P/L范围(分切)记录线性判定边界。
如果你对这个意见不置可否的话(”如果它无法保护我的网银,那对我的电子邮箱又有什么作用呢??!!”),这里有个更加简单(且更加可靠)的解决方案–密码管理器。
我知道这个夏天你的OPC在干什么。
回到工业控制系统安全性的话题。
我曾做过有关工业网络领域的预测,其中有些确实成为了现实。在我众多的预测中,我不幸言中了针对ICS的恶意软件,因此现在我所做的每一个预言都相当谨慎。有关工业领域的网络新闻大多都会让人反感并起鸡皮疙瘩。
恶意软件正在逐渐对ICS造成威胁。这里还有另一个例证:最近发现的一个Havex木马病毒模块能够对OPC服务器进行扫描(可编程序逻辑控制器和控制系统之间的’解释程序’)。也就是说,Havex能够入侵企业网络(例如,通过账簿管理人的计算机),随后网络犯罪分子即能够掌握你的所有工业生产过程。
好消息:看起来似乎Havex木马模块似乎并没有什么危害性,只是概念上的恶意软件:其危害性的使用方式暂未发现。但毫无疑问的是,这一功能具备相当的可操作性。在安全工业领域,理论与实践往往只有一线之隔。
又一次大获全胜。
又一个僵尸网络被消灭了。联合了欧洲刑警组织、美国联邦调查局、英国国家通信情报局及其他组织,我们终于得以关闭了 Shylock,并且它永远不会再出现了。这次联合行动的成功得益于此前所制定的大量计划,以及对数以万计的信息进行了收集和分析。当然还少不了在许多国家同时展开的行动。本次行动中所体现出最好的方面是:多年来我一直所倡导的国际合作终于付诸了现实。
就在5年前,此类国际联合行动几乎很少开展,且还引起了一些官僚主义者的反对之声。而在更早的10年前,这几乎就是天方夜谭,因为当时的网络警察非常封闭且缺少资源–包括专业人士。
Java –还需要争论吗?
我知道这是老生常谈的话题了,Java无处不在;事实上几乎无法躲避;事实上许多网络服务如果没有Java的话将根本无法运行。因此大量令人讨厌的Java漏洞、bug以及针对Java平台的恶意软件和攻击也应运而生。这似乎有些自相矛盾:Java–不管相信与否–打算成为世界上最安全的平台!现如今,大家对Java的共同评价是:不安全!似乎甲骨文并没有彻底解决这一安全问题。相比于Java的安全问题,人们对甲骨文收购Sun交易似乎印象更深一些。我想知道:谁禁用了浏览器内的Java?
你是否禁用了浏览器内的Java?
查看投票结果
投票@卡巴斯基:谁禁用了浏览器内的Java?
还没有关闭Java的同学们–请赶快打上补丁!
