分类
安全播报

信息被盗事件频发 网络安全行业要“火爆”

自去年年底至今,有超过4000万客户信息被盗。紧接着,称不仅是Target还有包括Neiman Marcus在内等多家知名的零售商在假日购物季明显受到黑客的攻击,用户信息泄露事件升级。由于黑客尚未落网,网络安全公司Intel Crawler称,新一轮的信用卡攻击或将继续。

 

无独有偶,1月21日韩国也曝出大规模的信用卡个人信息泄漏事件。约1500万张韩国人的信用卡和账户的信息被盗,这些用户中可能还包括韩国总统朴槿惠和联合国秘书长潘基文。信息被盗事件引起了韩国人的震惊与愤怒,相关用户排队到KB国民、乐天、NH农协等公司门口,要求停止或解除信用卡。

 

不止是美国、韩国,在中国同样也存在用户信息安全的相关问题。不久前,有支付宝前员工利用工作之便,在2010年多次下载支付宝用户真实资料超20G,并将资料多次转卖给电商公司及数据公司的新闻一度引起各界广泛的关注。

 

在金融业与相关技术的全球化高速发展的当下,老百姓消费支付的手段越来越多样,支付方式也越来越便利。一张信用卡,一个密码就取代了厚重的纸钞与硬币,而今随着互联网普及,移动设备的更新,有时甚至只需一串数字指令就能让消费者完成相关的购物活动。支付方式的简单化在方便人们生活的同时,也让一些不法分子有了新的目标——盗取用户信息。

 

也许还有一些人没有注意到,包括个人姓名、电话、住址等看似寻常的信息实际上都“价值不菲”,不法分子或因被盗信息获取巨额暴利。网络安全顾问David Kennedy表示,在美国零售商受攻击事件中,被盗数据的市场价是每张卡80美元,如果有7000万的信用卡被盗的话,那么黑客就能获取56亿美元的收益。

 

如何保障用户信息安全已成为国际性关注的热点话题。首先,信息安全的加强离不开相关法律法规的制定与政府部门监管措施的实行。为避免类似信息泄露事件的再度发生,韩国政府于22日召开紧急会议,表示首先将全面改善过分索要个人信息的惯例,在对泄露客户信息的金融公司处以罚款的同时,也将加大对信息泄露涉案人员的刑事处罚力度。其次,从技术层面而言,用户安全的保护更需要相关技术的升级与维护,一些如Intel Crawler的网络安全公司或将因此越来越受到重视。随着互联网金融与移动支付的发展,信息安全很有可能作为新兴行业在全球范围内获得发展的契机

分类
安全播报

扬州某大学生遭遇网购假客服被骗五千元

网购的出现正在改变着我们的生活购物模式,随着互联网的不断发展,网购也越来越流行,但是在我们享受网购给我们带来方便生活的同时,应该注意网络诈骗、钓鱼网站的威胁。

日前,扬大一学生因使用支付宝购物,被假客服骗走五千元。小高是扬大学生,前天她在淘宝网上看中两件物品,累计5100元,准备通过支付宝付款时才发现,自己建设银行的支付宝每个月的交易上限只有3000 元。小高在百度上搜索支付宝的快捷支付方式,找到了一个0517-830701287的号码,自称是客服,对方表示只要她按照要求操作,保证当天就能买到自己想要的东西。

按照这家“公司”的规定,小高必须通过ATM机向对方转账一定数额的“保证金”。小高带着银行卡来到银行的自动柜员机,往对方的账户转了5000元。回去之后,小高的手机一直没有收到成功办理该业务的信息。小高再次与对方取得联系,对方要求高小姐再找一张存有2000元的银行卡继续操作方能解锁汇款。高小姐觉得不对劲,再查账户,银行卡上的5000元已回不来了。

提醒大家:眼下网购非常流行,一些缺乏网上购物经验的网民极易成为网络骗子的侵害对象。网上购物需要客服帮助时一定要上交易网站的官方网站查找,不要在百度搜索;在自动柜员机上操作更改交易设置、解锁是不可能的,如有需要请及时与银行联系,不要在自动柜员机上操作。

分类
安全播报

DNS漏洞不容小觑 谨防DDoS攻击乘虚而入

不久前,全球著名黑客组织 Anonymous(匿名者)公开表示会在在3月31日针对DNS域名根服务器发起大规模DDoS攻击行动,让全球的互联网陷入瘫痪;LulzSec 则宣称会在4月1日发起针对性攻击活动。事实上,3月31日全世界网民都度过了平静的一天,因为国内的部分主流微博网站选择在这一天关闭评论功能,所以中国的互联网甚至比以往还要平静许多。作为一个安全专业人士,Radware安全副总裁Carl Herberger却无论如何也无法对黑客们那不负责任的威胁一笑了之,虽然他不认为这种危及全球互联的威胁能够得逞,但是他认为Anonymous、LulzSec以及更多黑客组织并不会停下他们攻击的脚步,看似平静的外表之下也许正暗流涌动。

就算那些嚣张一时的攻击威胁是愚蠢的言论,我们也不妨来假设一下,如果黑客真的要击垮整个互联网,他们将如何下手?在前面提到的威胁中,黑客显然将矛头指向了DNS漏洞,这是否也给IT安全经理们敲响了警钟?他们在未来应该更加关注DNS漏洞,因为一旦DNS的漏洞被利用,就可能带来灾难性的后果。

四个主要的DNS漏洞:

•DNS IPv6漏洞——从“DNS Quad-A attack”攻击场景到IPv4与IPv6的交叉穿织,都为攻击者指出了一条发动DDoS洪水攻击的途径。

•公用DNS服务器上的漏洞——公用 DNS(BIND, DJBDNS, MS, OpenDNS) 域名根服务器允许缓存域名记录在被删除的情况下依然活跃。这也许不是什么漏洞和错误,但的确是DNS在设计上的一个瑕疵。

•内部威胁——当今黑客发起攻击的目的已经不仅仅是为了获取经济利益。近来,我们看到了一个让人不安的趋势,一些信息安全专业人士也加入了黑客队伍之中,其目的是为了某种意义上的“正义”。

•社会工程学——在过去的24个月中,每一起破坏较大的网络攻击在初期所采取的入侵策略都是利用各种社会工程学漏洞 (这一点多见于以经济利益为目的的攻击行为)。

当今黑客得逞的动力:

以Anonymous 和 LulzSec为代表的黑客组织,究竟具备哪些特征才最终得逞呢?黑客攻击之所以得逞,主要源于以下几点:

•狂热的激情——黑客的斗志是攻击得逞的关键因素。

•不断收集可利用的漏洞——Anonymous的成员会收集全世界范围内所有有关DNS根域名服务器运行、设计和安全的知识,并找出加入利用和攻击的弱点和潜在漏洞。

•无穷尽的资源——黑客组织能够利有的资源取决于他们能在全世界激发起多少跟随者的偏执和狂热。

Radware安全副总裁Carl Herberger认为:“只有保持高度警觉,并且团结所有热衷网络安全事业的安全人士才能在网络安全防御战争中的竖起坚固的堡垒。”

分类
安全播报

黑客攻击开始关注业务逻辑层

近日,Imperva正式发布了两份报告——《Imperva 网络应用攻击报告》(简称WAAR)和《黑客情报汇总报告》,致力于为组织机构提供全面的攻击分析,帮助他们做好应对准备。WAAR报告显示,网络应用中的业务逻辑层正遭受到攻击。作为Imperva黑客情报计划的一部分,WAAR对2011年6月至11月这6个月期间现实的恶意网络应用程序攻击提供解决对策。而黑客情报汇总报告则揭示了一个由黑客组织“匿名者”发起的攻击的主要细节。

数以千计世界领先的企业、政府组织和服务提供商都依赖于 Imperva 解决方案来防止数据泄漏、符合合规性要求以及管理数据风险。Imperva首席技术官Amichai Shulman说道:“我们相信,这些分析报告的发布将帮助组织机构做好应对潜在攻击的准备,并让更大的安全社区对黑客操作方式有更深入的了解。”

Imperva 网络应用攻击报告(WAAR)

Imperva对40多种不同的应用程序攻击进行了监测并分类。WAAR概括了每个攻击的频率、类型及来源,以此帮助数据安全专业人员更好地按照优先次序修复漏洞。

“由于黑客可以通过合法的途径跟踪用户与应用程序的交互,因此业务逻辑层的攻击对于黑客具有非常大的吸引力,”Imperva首席技术官Amichai Shulman说道,“要做到这一点,需理解具体操作顺序对应用程序功能的影响是如何实现的。”因此,黑客可以利用应用程序截获私人信息,进行扭曲,并外泄给其他更多的用户 —— 这些行为通常不受安全控制。”

Imperva 发布的最新网络应用攻击报告一并指出:

•自动化应用攻击正在继续。在2011年6月至11月的六个月期间,被监测的网络应用程序每月遭受到130,000到385,000次攻击。高峰时,整套应用程序系统受攻击的频率高达一小时近38,000次或每秒10次。

•由于黑客有能力逃避监测,他们依赖于业务逻辑攻击: Imperva也研究了两类业务逻辑攻击: 评论垃圾广告和电子邮件提取。评论垃圾广告是指在评论栏里嵌入恶意链接来改变搜索引擎结果,潜在诈骗消费者。电子邮件提取是指对电子邮件地址进行简单分类,建立垃圾邮件发送列表。据统计,这些业务逻辑攻击在恶意攻击流量中占14%。

•业务逻辑攻击的来源是:

☆电子邮件提取被非洲国家的主机所控制。

☆评论垃圾广告中的不寻常部分经监测是来自东欧国家。

•黑客利用5种常见的应用程序漏洞:这五种常见的应用程序漏洞是:远程文件包含(简称RFI)、SQL注入(简称SQLi)、本地文件包含(简称LFI)、跨站脚本攻击(简称)和目录遍历漏洞(简称DT)。跨站脚本攻击和目录遍历漏洞是最普遍的传统攻击形式。为什么要针对这些漏洞?黑客喜欢阻力最小的路径,而应用程序漏洞则提供了最丰富的目标。

这份报告中描述的很多攻击都不难被缓解。然而,我们的确发现网络应用程序面临的攻击变得更加多样化、技术上更加复杂、更难监测和阻止。显然,安全应对措施必须继续保护业务和其用户不被伤害、不受到损失。正确的减缓步骤有哪些呢?我们尝试创造一个完整的列表来帮助数据安全团队提高他们的效率。

Imperva在2011年度报告中提到的几点建议仍然有效:

☆部署安全解决方案,监测自动化攻击。监测必须在攻击过程中尽早实行。

☆监测和阻止已知的漏洞攻击。应用程序中可利用漏洞的知识库必须经常更新。

☆获得恶意来源的情报并即时应用。列出攻击主机的黑名单始终是一个很有效的防范措施。然而,这个名单必须实时更新、保持其实效性。

☆参与安全论坛,分享攻击的数据库。自动化攻击程度和范围的加剧在网络上留有明显的痕迹,但此痕迹仅能从大量潜在受害者处收集的数据中看出。

☆获取业务逻辑攻击来源的情报并即时应用。例如,评论垃圾广告在被公然揭露后还可以活跃很久。情报的重点必须在于每一种攻击的形式,因为正如我们所看到的,使用评论垃圾广告和电子邮件提取的攻击者展现出不同的属性。

☆攻击流量的地理信息对即时做出数据安全对策有所帮助。例如,经分析的业务逻辑攻击拥有独特的地理特征。

攻击者对自动化攻击依赖性的不断增强和自动化工具产生的大量恶意流量表明,监测这些工具迅速、精确、自动产生的攻击是至关重要的。作为一个常用的方针,流量属性和网络客户端必须不断被检查和监测。如果与正常流量属性有所偏差,则应该受到专业软件和专业人员的严密监测。

监测和防御自动化攻击包括:

•信誉机制的监测:获得并使用被攻击者雇佣的主机黑名单。

•高点击率:流量整形是自动化攻击最基本的指示。一旦超过与其相关的临界值(例如,每分钟点击3次),应用程序就应该延迟或阻止与网络客户端信息交换。

•输入流量的技术属性:软件工具产生的流量通常具有技术特征(例如特定的HTTP头),不同于一般浏览器所产生的流量。如果这不是预期的使用场景,阻止该流量。

•商业行为的重复:例如,多次登陆失败表明密码受到恶意攻击。当然,你的安全装置必须能够识别出这些“差异或者异常的表现”。

•质疑应用程序的网络客户端:测试你的应用程序是否真的与浏览器进行交互。例如,“虚假”浏览器没有对Java语言的执行能力。该应用流需包含发送Java语言代码给客户并核查其是否真的被执行。

•检测确有真人在操作:通过CAPTCHA(全自动区分计算机和人类的图灵测试)检测终端用户是真人。

黑客情报汇总报告

2011年期间,Imperva见证了一次由黑客组织“匿名者”发起、持续25天的攻击。黑客情报汇总报告——“匿名者”攻击报告对此提供了一个全面的攻击分析,包括从始至终攻击活动的详细时间表、黑客破坏方法的审查以及对使用社会媒体征集参与者、协调攻击的见解。

“我们的研究表明匿名者通常模仿盈利性黑客使用的方法,利用常见的方式——SQL注入和DDoS(分布式拒绝服务攻击)来进行攻击。我们发现匿名者虽然发明了一些定制工具,但与开发复杂攻击不同的是,他们通常使用一些廉价现成的工具,”Imperva首席技术官Amichai Shulman说道:“我们的研究进一步表明匿名者第一步先尝试窃取数据,如果失败,会尝试DDoS攻击。”

“匿名者”攻击报告指出:

•该攻击由三个不同的阶段组成:征集和通信、侦查和应用层攻击,最后是DDos攻击。

•社会媒体渠道,尤其是Twitter、Facebook和YouTube是确认目标、发动攻击最主要的方法。在攻击第一阶段征集和通信的过程中,社会媒体也是最常用的方式招募自愿者加入攻击行列。

•富有经验的黑客只占自愿者的一小部分,他们主要活跃在侦查和应用攻击阶段,探测漏洞,进行应用攻击,例如通过SQL注入尝试窃取目标数据。

•非专业人员仅在第三阶段产生作用——帮助开展DDoS攻击——由于尝试偷窃数据的应用攻击失败。

•匿名者开发了一些定制工具——特别是低轨道离子炮(LOIC)和一种能从移动浏览器启动DDoS攻击的工具。然而,该组织也在侦查和应用攻击阶段依靠常见的工具来寻找和开发网络应用漏洞。

•与盈利性黑客不同,匿名者很少依靠常见的黑客技术,例如僵尸网络、恶意软件、网络钓鱼或鱼叉式网络钓鱼

分类
安全播报

钓鱼网站卖小米 骗人伎俩再次升级

根据瑞星公司近日监测数据显示,骗子利用钓鱼团购网站进行诈骗的情况有所抬头。贩卖小米手机成为了近期某钓鱼网站诱骗网民的手段,该网站宣称可以低于官方报价的价格团购小米手机,并可在24小时内收到货物。该钓鱼网站伪装成团购网站的形式,不仅网站域名(假冒的开团网www.ktuanw.com)和页面风格与正规网站(真的www.kaitw.com)极为相似,更是有了一些创新的做法,让用户的钱财在不知不觉的情况下被骗。

据安全专家介绍,传统的钓鱼网站诱导用户进行付款操作后便提示错误,这会让用户马上就能发现被骗,而这种新的钓鱼网站提供了一个看似真切、实则虚假的订单和物流信息查询系统。用户不仅能在这里看到订单号,还提示货物已经进入物流派送状态,使用户在付款后被一直蒙在鼓里等待快递上门,当发现手机不见踪影、感到被骗后,该钓鱼网站已经无法打开。显然,这些虚假的订单和物流信息是这种钓鱼网站行骗的新障眼法。

天威诚信相关工作人员提醒大家,网络购物的普及让不法分子有机可乘,这些人利用钓鱼网站进行诈骗的手法也是花样频出,提醒广大用户一定要注意以下几点:

1.学会核对网站信息,可以看网站地址栏是否为绿色、地址栏开头是否是HTTPS及是否有小金锁标志,因为这些都是网站安全的标志,钓鱼网站无法假冒;

2.建议选择正规的上网入口,例如通过hao.rising.cn等可信度高的网址导航站进入团购网;

3.一定要使用具有防钓鱼功能的安全软件,如安装永久免费的具有智能防钓鱼功能的瑞星防火墙,并保持正常升级,打开相应的监控功能;

4.提高防范意识,不要有贪便宜的心理,尽量和欲购买物品的官方确认该团购网站是否有销售的资质;

5.选择安全的付款方式,尽量选择货到付款,尤其是金额较大的商品。

分类
网络新闻

2011年网络安全大事件回顾

2011年的最后一天,你是不是有万般感慨、诸多往事集于心头呢?对企业安全从业人员来说,哪些安全事件曾让你胆战心惊、加班苦战呢?你们准备好迎接2012年的威胁挑战了吗?让我们一起回顾2011年发生的安全大事件,谨记这些事件带来的经验教训。

  一、索尼接连被黑 大量用户数据泄漏

2011年对索尼来说可没那么好过。自今年4月份索尼PlayStation network用户数据泄漏后,它的噩梦就开始了。被黑客入侵、用户资料泄露的PSN网络还没有完全恢复,索尼旗下的世界各地其他网站和服务又频频遭到类似的攻击,一时间让索尼焦头烂额,不得不关闭了加拿大、泰国和印度尼西亚的一些互联网服务,原因是这些网站也遭到黑客入侵。

这一系列事件让索尼损失巨大,在大量数据泄漏事件中,索尼是其中备受瞩目的一个,它标志着2011年数据泄漏的开始。

  二、RSA遭遇APT攻击 SecurID被偷

RSA是EMC公司的安全部门,今年3月18日,RSA遭遇APT攻击,其SecurID被偷,随后RSA证实国防工业巨头洛克希德•马丁(Lockheed Martin,位于美国马里兰州贝塞斯达)遭遇攻击,且利用了SecurID的因素。

但RSA这次反应并没有那么快,三个月后,也就是六月份才表示将更换SecurID令牌,因为其最大的客户们在针对政府承办商的攻击中受害,他们认为这与双因素认证机制有关。RSA这次遭袭后,一下将安全界的目光都引向了安全认证技术,各大认证厂商也纷纷宣传自己的产品。

  三、LulzSec和Anonymous 黑客组织很嚣张

LulzSec是最近异军突起的黑客团体,他们因为多次攻击索尼的全球网站并获取成千上万的用户资料而一战成名。随后该组织还攻击了美国中央情报局(CIA)网站,福克斯电视台,美国参议院等等。

不过,如果说上半年LulzSec出尽风头的话,那么下半年就是以Anonymous为主角了。Anonymous最近攻击了美国智库Stratfor数据库,获取到了其中的大量个人信息,随后又攻击了从军事和执法装备零售商SpecialForces站点,窃取了1.4万个用户登录密码及8千组信用卡账号,并将在线公开这些信息。

  四、黑客公开CSDN网站数据库 600多万用户资料泄露

可能谁都想不到,2011年的年末发生了中国有史以来的最大数据泄漏事件。自2011年12月21日CSDN网站数据库中600多万用户资料被泄露后,众多大网站接连遭遇数据库暴库,包括人人网,当当网等等。一时间引起了极大的网络安全恐慌,不过到目前为止,事情还没有查清,用户们在不停地改密码,网站企业们在不停地道歉和调查,希望事情能早日水落石出。

“泄密门”事件让人们陷入关于网络安全的深深思考中,如何让用户的信息资料安全存储和访问,我们还有很多要做的。

  五、DigiNotar CA泄漏 黑客获得SSL数字证书

位于荷兰的证书颁发机构DigiNotar,为网络犯罪分子颁发了证书,使他们获得了使用流氓SSL证书劫持Gmail帐户,以及使用SSL证书和EV SSL证书(为安全考虑同时向用户证明其合法性)欺诈安全的网站的能力。这次违反操作发生在7月19日。

从黑客活动留下的痕迹来看,可能来自伊朗,从6月19日持续到7月22日。攻击者们发出了数百个流氓证书,包括针对谷歌,Skype,Mozilla附加组件,微软更新和其他的SSL证书

分类
安全播报

网购火车票 天威诚信VeriSign教您预防被钓鱼网站侵袭

天威诚信(VeriSign中国区域的首要合作伙伴)的工作人员介绍,其中大多数SSL证书来自VeriSign,作为全球最知名的数字证书品牌,除尖端的专业技术,其服务流程也极为严格,因此受到很多追求高强度信息安全的企业机构青睐。

每到逢年过节就让很多在外打工的朋友因为要回到家乡而激动不已,同时也让很多朋友都非常的头疼如何回家的问题,这时候购买火车票便成为了大家普遍关注的问题之一,不过随着互联网的普及,这个问题也在不断地得到解决。

据了解从本月20日开始,全国铁路所有直达特快列车(Z字头)将实现互联网售票,12月10日全国铁路所有特快列车(T字头)将实现互联网售票。

今年是旅客购买火车票方式产生重大变革的一年,从今年7月北京铁路局开通电话订票业务后,京津城际、京沪高铁、全国所有动车组等列车纷纷进入网络订票范围。市民购买火车票的方式从以往的去火车站售票口或代售点排队购票,逐步发展到今天可通过电话订票或互联网进行订票。

本周日开始,所有的Z字头直达列车也将加入互联网购票的行列;12月10日后T字头特快列车也可通过互联网售票,旅客可登录相关网站订购车票。新办法实行后,互联网售票网络将覆盖 D、G、C、T、Z字头所有列车,K、L及普速列车也有望于龙年春运前夕加入互联网售票行列。

随着网络购票时代的来临,让我们在欣喜的同时也产生了担忧,网络购票毕竟存在一定的风险问题,尤其是现在钓鱼网站如此猖獗,如何保证自己在网上支付的钱真的买到了火车票,而不是被钓鱼网站侵吞?天威诚信工作人员提醒广大消费者,在网上购买火车票以及日常网购中,要注意以下几点:

1.安装安全软件,并保持其开启和及时的更新;
2.不访问来源可疑或未知的链接,尽量选择那些知名度高的网站,这类网站管理严格,且服务有保障;
3.在线进行支付或提交敏感信息时,留意页面地址栏开头是否以“https”开头,有些网站地址栏会变为绿色。这些特征是网站应用SSL证书或EV SSL证书后所展示的,其作用是实现信息传输过程中的加密保护,防止银行卡、交易密码等遭到截获、窃取或篡改。而认清这一特征同时也有助于对高仿真钓鱼网站的鉴别(这些安全特征是钓鱼网站无法仿冒的)。
4.不随意接收陌生人发来的在线文件。

上述四点中,可能很多朋友对第三点最为陌生,其实早在几年前国内大型银行的网站为确保用户信息安全(比如农业银行、招商银行等),就均已部署了EVSSL证书,其他金融类网站也相继使用。

您上网时不妨留意一下,在支付宝、卓越网、凡客、各大银行、基金网站等登录或支付页面都可以看到VeriSign SSL证书(或EV SSL证书)的使用。检测方法:在以“https”开头的网页上找到金色锁形标记(一般在地址栏右侧),点击即可查看SSL证书(服务器证书)及颁发机构信息。

分类
网络新闻

新恶意软件横行,利用来自Entrust从属组织颁发给政府机构的数字签名证书

恶意软件使用有效的数字签名证书是很少见的,但更少见的是软件安全公司F-Secure的研究人员发现,恶意软件使用了曾属于马来西亚政府的一个官方的密钥进行签名。

这个恶意软件利用了Adobe Reader 8中的一个漏洞,并通过PDF文件进行传播。一旦利用了漏洞,该恶意软件就会下载其他恶意组件,其中一些组件通过一个商业网站进行了签名,该商业网站来自一个被称为worldnewsmagaizines.org的服务器。

被盗的证书由mardi.gov.my域发出,曾属于马来西亚农业研究与发展研究所。F-Secure公司的首席研究官Mikko Hypponen在博客中写道,他们的研究人员与马来西亚当局取得了联系,被告知该证书“很久以前”就被偷了。

“这是有问题的,因为如果当一个终端用户想从Web上下载一个未签名的Windows应用程序时,会产生一个警告,而经过签名的应用就不会发出警告。”Hypponen这样写道。他还表示,比起未签名的代码,一些安全系统会更信任该恶意软件,因为代码签名证书通常被认为是真实的。

但是,据博客中写道,mardi.gov.my证书在九月底就过期了,也就是说Windows应用程序应该会出现警告。

被偷的证书由马来西亚一个名为Digicert Sdn. Bhd的小型证书颁发机构(certificate authority,CA)颁发,不要与总部设子美国的证书颁发机构Digicert混淆。Digicert Sdn. Bhd是Cybertrust/Verizon和Entrust证书颁发机构的一个从属组织,后者都已撤销了它们发给CA的证书。主要浏览器制造商,如谷歌,Opera,微软和Mozilla也都已将马来西亚的CA(证书颁发机构)列入黑名单。

据软件公司Opera Software的开发人员Yngve Nysaeter Pettersen在博客中写道,列入黑名单是因为发现Digicert Sdn. Bhd“发布的证书能满足一些技术和合同要求,导致访问来西亚政府网站的人遭受潜在攻击。”

一些证书问题包括缺少“扩展密钥用法”(Extended Key Usage),这是用来限制哪些证书可用;缺少指向撤销信息的指针,所以无法检查证书的有效性,且会被一个钓鱼攻击利用。

Pettersen补充道,“我们还了解到,少部分其他证书认证机构还发布了拥有512位(512-bit)密钥的25份证书。目前,我们还不知道这些证书的细节,但是我们被告知这些证书将在一个星期内被撤销。”

分类
网络新闻

Android系统恶意软件疯狂肆虐,增长势头迅猛

据国外媒体报道,Juniper网络安全公司近日在博客上发表了一份调查报告,称Android平台在过去的几个月里恶意软件样本明显增长,7月以来恶意软件增加了472%,数字惊人。

根据该公司的年度移动恶意软件威胁报告可以看出,2012年夏季以来Android恶意软件增长400%,而最近uniper全球网络威胁中心又发现,10月恶意软件样本比前一个月增长110%,与今年7月相比增加了171%。

从Juniper的报告可以看出,不仅恶意软件的数量有增加,恶意软件本身的复杂度也有增长。Juniper表示Android恶意软件能够获得访问设备的权限,然后通过安装额外的软件包在后台扩展恶意软件的功能,近90%的Android设备中都存在安全漏洞。

Juniper在报告中指责恶意软件过多主要是由于谷歌的审查制度不完善。只要支付25美元,任何开发者都可以将自己的程序上传到Android应用市场。

而当谈到苹果的iOS平台到底是否比Android更加安全时,Juniper称iOS的确比Android更安全,这不是由于iOS更好安全性或更少漏洞,而是由于苹果更好地监测了自己的应用市场。Android市场的开放性意味着它没有代码签名和审查过程,这才导致攻击者很轻易的就能在市场上发布恶意软件。

分类
安全播报

苹果iPhone 4S发布,钓鱼网站瞬间繁殖

iPhone 4S在首日的预订数量就超过100万部,新一轮“苹果热潮”已经开始席卷现实与互联网世界。然而,站在这个热潮顶端的不仅仅是尖端科技与潮流时尚,也有混迹其中的恶意攻击——无论是乔布斯的死讯,还是iPhone 4S的登场,已经成为了全球关注的焦点。这些热点信息被人们疯狂追逐、传播的同时,也自然是逃不过被攻击者恶意利用于威胁他人信息安全的命运。

据国外安全机构报告显示,史蒂夫乔布斯去世后仅仅几个小时,诈骗者就创建了一个名为R.I.P史蒂夫.乔布斯的Facebook页面,其中有加载着恶意链接的“史蒂夫乔布斯回忆录”一文,此文声称将免费赠送50台Ipad。这个Facebook页面每秒中有5个新粉丝所关注,粉丝总数已超过90000人。在8小时内,就有超过21000位用户点击了这些恶意链接。

类似的恶意攻击同样出现在了国内。最近在iPhone 4S的催化下iPhone类钓鱼网址爆发,知情人士表示,10月上旬已确认的虚假iPhone淘宝网址共有197个,其中iPhone钓鱼网址94个,假iPhone网址103个,而且这一数字还在不断攀升。

这些iPhone类钓鱼网址通常会以非常低廉的价格吸引用户(大部分在1000-2000元),订货电话大多是手机,部分是400免费号码,网页中还会出现iPhone、iPhone 4S等用以麻痹用户。通过以假乱真的伪装或趁机散播恶意程序,实现欺诈用户资金帐号等手段,谋取不义之财。

在此,提醒各位网友,iPhone 4S等苹果产品均属全球热销的高端产品。其价格受到官方严格控制,即便在流通、竞争过程中会有价格波动,但幅度绝不会是降至1000-2000元。所以大家不要被低价的噱头所迷惑。

另外,在网上购买这些高端产品,会涉及几千甚至上万元的支付金额。通常我们将精力集中于货比三家、尽量提升性价比等方面上,强调对资金的合理利用。但据前文的介绍,我们也应意识到钓鱼网站设下的陷阱近在咫尺,如何加以防范、保护个人信息、财产安全成为了一个不容忽视的问题。

实际上,钓鱼网站一直被正规网站的管理者所关注。在几年前,国内多家知名银行网站已经开始采用SSL证书等技术手段,对用户在线提交的资金账户信息进行保护,同时对抗钓鱼网站的恶意仿冒。

部署SSL证书,可凭借SSL技术实现高强度信息加密传输,保护用户在线提交的敏感数据在传输过程中不被窃取或篡改。SSL证书部署后,网站所展示出的地址栏“https”开头、金色锁形标记等独有安全特征,亦成为协助访问者区分网站真伪的有力凭证。

目前,越来越多的银行金融、电子商务、企业系统等涉及敏感数据传输的网站开始部署SSL证书,其中受到应用最多的是全球知名的VeriSign服务器证书产品。在国内权威认证机构天威诚信VeriSign逾10年的合作中,已为招商银行、华夏基金、凡客诚品、京东商城、携程等人们熟知的上百家站点部署了VeriSign证书产品。您在访问时不妨留意下这些网站涉及信息提交的页面的地址栏“https”开头、金色锁形标记等特征。

掌握对SSL证书部署与否的识别,能让大家更好的选择那些具备信息加密传输的网站进行访问,降低信息安全风险,更加轻松愉快的感受互联网的精彩。