一周海外安全事件回顧(12.23 – 12.28)
斯諾登不是耶穌,但是同樣以自己承受苦難換來世人的覺醒。
斯諾登的圣誕祝詞
如果它(政府)真的想要知道我們的感受,詢問我們總是比監控我們花費少。
12月25日,英國“第四頻道”電視臺播放了斯諾登對全人類的一段圣誕祝詞視頻。與其說是祝詞,不如說是對全人類的警示和對某些群體的勸誡。1分43秒的視頻,他向我們描繪了一個異常恐怖的未來:“今天的孩子長大后,將無法知曉隱私為何物。他們將完全不知道擁有自己的隱私時刻是什么意思。” (A child born today will grow up with no conception of privacy at all. They’ll never know what it means to have a private moment to themselves)
他提到,我們的一舉一動都在接受監視,口袋中的手機,就是一個追蹤我們動向的傳感器(sensor)。這可能多少有些夸張,但是在斯諾登掌握的機密檔案公之于眾之前,我們怎么能知道那張無形的大網到底是何等的嚴密?也許,我們永遠也不會知道。
有意思的是,在BBC播放斯諾登祝詞前,英國女王發表了圣誕祝詞,也提到了個人私有空間的重要性:很多人覺得安靜的個人反思可以獲得令人驚訝的回報,甚至發現了他們生活中更深層次的精神內涵(Many have found the practice of quiet personal reflection surprisingly rewarding, even discovering greater spiritual depth to their lives)。
圣誕節是耶穌的生日。斯諾登不是基督耶穌,但是同樣以自己承受苦難換來世人的覺醒。他無法把死去的人喚醒,或讓兇惡的人放下屠刀,這絲毫不妨礙他成為一個無私和偉大的人。在斯諾登祝福全人類的時候,讓我們也一起祝福他:一切平安。
下面是斯諾登在Channel 4的祝詞全文:
Hi, and merry Christmas.
大家好,圣誕快樂。
I’m honored to have a chance to speak with you and your family this year.
很榮幸今年能有機會向你們和你們的家人發出祝福。
Recently we learned that our governments, working in concert, have created a system of worldwide mass surveillance, watching everything we do. Great Britain’s George Orwell warned us of the danger of this kind of information. The types of collection in the book—microphones and video cameras, TVs that watch us—are nothing compared to what we have available today. We have sensors in our pockets that track us everywhere we go.
我們最近發現,我們的政府共同創建了一套覆蓋全球的龐大監視系統,監視著我們的一舉一動。英國的喬治•奧威爾曾經警告過我們這類信息的危險性。他在書中提到的監視行為主要是通過麥克風、攝像頭、電視機來實現的,這與我們當今的監視手段完全不可同日而語。我們的口袋里現在都已經有了傳感器,可以追蹤我們的所有動向。
Think about what this means for the privacy of the average person. A child born today will grow up with no conception of privacy at all. They’ll never know what it means to have a private moment to themselves, an unrecorded, unanalyzed thought.
想一想,這對普通人的隱私意味著什么。現代監控遠比奧威爾想象的更有入侵性。今天的孩子長大后,將無法知曉隱私為何物。他們將完全不知道擁有自己的隱私時刻是什么意思,這意味著一個未被記錄、未被分析的想法。
And that’s a problem because privacy matters. Privacy is what allows us to determine who we are, and who we want to be.
這很成問題,因為隱私很重要。正是隱私讓我們決定了自己是誰,以及想成為什么樣的人。
The conversation occurring today will determine the amount of trust we can place both in the technology that surrounds us, and the government that regulates it.
今天發生的對話將決定我們可以對周圍的各種技術,以及負責監督它的政府給予多少信任。
Together, we can find a better balance, end mass surveillance, and remind the government that if it really wants to know how we feel, asking is always cheaper than spying.
團結起來,我們可以找到更好的平衡,終結政府監控,并提醒政府,如果它真的想要知道我們的感受,詢問我們總是比監控我們花費少。
For everyone out there listening, thank you and merry Christmas.
感謝所有聽眾,圣誕快樂。
美國零售業歷史上第二大用戶數據被盜案
4000萬Target卡用戶信息被盜,對于Target公司信用來說是一個沉重的打擊,同時帶給華爾街銀行業的則是一個巨大的陰霾。
在上周發生的Target公司4000萬卡用戶信息被盜,其規模是美國零售業歷史上第二大的用戶數據被盜案。案件發生后,零售商Target強調雖然丟失了4千萬卡信息,但是PINs(personal identification numbers)一個也沒有丟,因此將不會造成事實上的個人財務損失。
不想,首先對Target上述說法報以懷疑態度的竟是美國第一大銀行——摩根大通(JPMorgan Chase & Co.)。大通銀行某執行層高管認為,在沒有得到明確的調查結果之前,他們很擔心攻擊者可以通過破解PIN密碼進行銀行賬戶轉賬。
于是,摩根大通在事件發生后,在上周六宣布降低客戶借記卡的提現和支付額度:每日ATM只能提現100美金,購物消費500美金。雖然,摩根大通的反應有點過于敏感和強烈(在本周一大通銀行又稍稍提升了額度),但是足以體現摩根大通等銀行對PIN碼可能丟失的疑慮。
有意思的是,到現在都沒有人知道Target 4000萬用戶信息是怎么丟的?當然,不排除Target公司存在難言之隱,畢竟是美國第三大零售商,損失4000萬美金都沒大礙,品牌和信譽可是花多少錢都買不來的。
除了銀行業的反應,事件也引發了安全界對Target用戶信息失竊案的猜測。明尼蘇達大學安全技術專家認為,此次事件實質上是在用20世紀的觀念來防范21世紀的威脅。我們知道,Target信用卡采用磁條存儲用戶信息,很容易被拷貝。如果采用數字芯片,則難以復制。此外,也有專家認為問題出在POS系統上,游離在防護體系之外的POS機成為最薄弱的環節。也有觀點認為銀行系統的安全機制太過時,需要與時俱進適應攻擊的變化,對類似大量用戶信息讀取的異常行為設置告警,以及將數據碎片化并加密。還有觀點認為,Target事件恰恰證明了該公司沒有做好PCI DSS的合規工作。
到底哪方觀點正確,現在還很難說。個人認為,大家說的都是正確的。安全防護本來就應該是點面結合,縱深防御。任何一個細節存在脆弱性,都可能成為黑客突破的點。沒有百分之百的安全,但是在設計安全防護體系的時候,需要考慮到盡可能多的可能性,然后基于自己的實際情況進行細致的規劃,采取最適合的防護部署。
令人刮目相看的CryptoLocker
不用root權限,一樣讓你完蛋。
在之前的回顧中,我們曾經提到了以2048位非對稱加密方式加密文件的勒索軟件——CryptoLocker。從營收角度上講,CryptoLocker勒索軟件獲得了令人矚目的財務成功。據稱,CryptoLocker在100天內成功敲詐了3千萬美金,平均每天入賬30萬美金,每個敲詐對象300美金。當然,盜亦有道,敲詐者倒是信守承諾,但凡付了錢的,均歸還了數據的訪問權。
CryptoLocker在一定程度上影響了傳統的安全理念。傳統安全理念認為,提權是至關重要的,拿不到root,很多事情就辦不到。但是CryptoLocker給予安全人員的警示在于——不用root權限,一樣讓你完蛋。
安全研究人員預測,在2014年,CryptoLocker威脅將向移動終端擴展。只有不到一半的移動終端安裝了防護軟件。拋開CryptoLocker這一個例,從來自諸多研究機構的預測來看,移動終端安全的黑白市場均將在2014年取得爆發式增長。
其他
悲催的“Destroy Obama Care” 工具。這款專門為攻擊奧巴馬醫保網站開發的DDoS工具工作機制簡單,由于指定了攻擊對象(奧巴馬醫保網站),工具會持續和輪流打開網站上的各個網頁。技術點講,就是不斷地向不同的網頁發送http get請求。在一臺計算機上可以運行多個工具進程。但是,該工具并沒有得到廣泛應用,因此也沒有對醫保網站造成太大影響。
Mariposa作者進監獄。感染190個國家1300萬臺計算機并造成嚴重金融機構損失的全球最大的僵尸網絡之一——Mariposa作者,27歲的Skorjanc在斯洛文尼亞被宣判。Sk在2010年被捕,此次宣判為58個月牢獄,4000歐元罰款和沒收包括車房在內的個人資產。Mariposa可以感染Window和Linux系統,通過IM、P2P和USB傳播,Bot和CC之間采用VPN通信,很難發現。
支持阿薩德和反對阿薩德勢力間的網絡戰升級。研究報告顯示,支持阿薩德的黑客向反對派人士發起電子郵件進攻。郵件帶有抗議阿薩德政府暴行的標題和文字內容。郵件標題為:“恐怖視頻-邪惡的阿薩德軍隊”,同時還有一段文字:“爆料!非常非常非常嚴重的畫面!看看發生了什么針對民眾的事件和民眾說了什么”。文字附有一個視頻的鏈接。當接收者點擊鏈接觀看視頻時,將同時運行一段惡意代碼。惡意代碼可以記錄鍵盤輸入以及進行截屏操作。
參考
1、Edward Snowden'sChristmas message: a child born today will have no conception of privacy,http://www.pcworld.com/article/2083060/edward-snowdens-christmas-message-a-child-born-today-will-have-no-conception-of-privacy.html
2、斯諾登圣誕賀詞全文,http://news.hexun.com/2013-12-26/160912602.html
3、Experts warn of persistent cyberthreat,http://www.kare11.com/story/news/2013/12/22/experts-warn-of-persistent-cyber-threat/4172771/
4、Target Breach Should Spur POSSecurity, PCI 3.0 Awareness,http://www.darkreading.com/risk/target-breach-should-spur-pos-security-p/240164960
5、Exclusive: Target hackers stoleencrypted bank PINs – source,http://www.reuters.com/article/2013/12/25/us-target-databreach-idUSBRE9BN0L220131225
6、Why 2013 was the year of the personaldata breach,http://www.pcworld.com/article/2082961/why-2013-was-the-year-of-the-personal-data-breach.html
7、Hackers Threaten Destruction OfObamacare Website,http://www.informationweek.com/security/vulnerabilities-and-threats/hackers-threaten-destruction-of-obamacare-website/d/d-id/1112207?piddl_msgid=193451#msg_193451
8、Creator of Mariposa botnet jailed inSlovenia,http://www.allvoices.com/contributed-news/16230749-mariposa-botnet-creator-jailed-in-slovenia
9、Cyber War in Syria Is Accelerating,Study Says,http://mashable.com/2013/12/26/syria-cyber-war/
