恶意流氓软件浅析之一

在网络的海洋里,很多时候,我们不知不觉的就被盯上了。

软件的安装量一直是一款软件证明自己的简单而有效的数据,很多小白在选择软件时经常会看到这个数据,就像热搜一样。

这个数据如何有效的增长呢?答案很简单,就是多安装呗。

所以自动安装各种软件的软件氤氲而生了,那就是我们经常说的流氓软件,也称恶意软件。

惡意軟體(英語:Malwaremalicious software),又稱「流氓軟體」,一般是指通過網路、可攜式儲存裝置等途徑散播的,故意對個人電腦、伺服器、智慧型裝置、電腦網路等造成隱私或機密資料外洩、系統損害(包括但不限於系統崩潰等)、資料丟失等非使用預期故障及資安問題,並且試圖以各種方式阻擋使用者移除它們,如同「流氓」一樣的軟體。[1]惡意軟體的形式包括二進位可執行檔、指令碼、活動內容等。[2]就定義來說,電腦病毒、電腦蠕蟲、特洛伊木馬、勒索軟體、間諜軟體、恐嚇軟體、利用漏洞執行的軟體、甚至是一些廣告軟體,也被囊括在惡意軟體的分類中。不過,無意的非使用預期的電腦裝置故障,則一般視作軟體臭蟲(software bug)。(此段来自维基百科https://zh.wikipedia.org/wiki/%E6%81%B6%E6%84%8F%E8%BD%AF%E4%BB%B6)

在恶意软件的历史中,很多已经退出了历史舞台,但我想大家还记得3721吧,我们这里不展开说明,感兴趣的可以Google下。

今天就用还在盛行的五款软件举个例子,这五款软件在我维修系统的机器中经常见到,最多的时候是同时见到,那场景,简直惨目忍睹!不信,可以用你的最好最快的电脑上同时安装以下几个软件,记住安装时一直点下一步,保证你满意~~~

第五:2345

2345

第四:金山毒霸

金山毒霸

第三:驱动精灵

驱动精灵

第二:搜狗输入法

 

搜狗输入法

第一:(也可以称之为鼻祖)360

360

这几款软件的共同特点是极度符合恶意流氓软件的定义,在你不经意间疯狂安装软件,各自拥有全家桶,同时会“好意”告诉你的电脑有毒(可笑),赶紧一键处理,还会搜集各种信息,存储并分析(嗯,你懂的)。

总之,有兴趣的小伙伴可以在电脑上安装试试,还可以刺激的试下同时安装这五款软件。

当然,不光是pc端,移动端也可以见到他们的触角。

这只是冰山一角而已。

这次说的都是国内的软件,下次说说国外的,更刺激。

 

为什么要使用更安全的HTTPS

很多时候,我们只是浏览了某个网站,就莫名的中毒了,这是为什么呢?

如果想具体的了解其中的原因,我们需要先了解一些网络的基础知识,本篇文章通过对HTTPS协议的解释,说明了一些端倪,希望可以帮到您。

 

首先,我们浏览一个网站时,很多时候我们不会注意到,在网址对左边,会有一些信息,比如下图:

图一
图一 HTTP协议网址
图二
图二 HTTPS协议网址

 

那么,这两种情况会有什么区别吗?请继续向下阅读

 

HTTPS协议是什么呢?

超文本傳輸安全協定(英語:HyperText Transfer Protocol Secure,縮寫:HTTPS;常稱為HTTP over TLSHTTP over SSLHTTP Secure)是一種透過計算機網路進行安全通訊的傳輸協定。HTTPS經由HTTP進行通訊,但利用SSL/TLS加密封包。HTTPS開發的主要目的,是提供對網站伺服器的身分認證,保護交換資料的隱私與完整性。這個協定由網景公司(Netscape)在1994年首次提出,隨後擴展到網際網路上。

歷史上,HTTPS連接經常用於全球資訊網上的交易支付和企業訊息系統中敏感訊息的傳輸。在2000年代末至2010年代初,HTTPS開始廣泛使用,以確保各類型的網頁真實,保護帳戶和保持使用者通信,身分和網路瀏覽的私密性。

另外,還有一種安全超文本傳輸協定(S-HTTP)的HTTP安全傳輸實作,但是HTTPS的廣泛應用而成為事實上的HTTP安全傳輸實作,S-HTTP並沒有得到廣泛支援。

 

1. HTTP 协议
在谈论 HTTPS 协议之前,先来回顾一下 HTTP 协议的概念。

1.1 HTTP 协议介绍
HTTP 协议是一种基于文本的传输协议,它位于 OSI 网络模型中的应用层。

HTTP 协议是通过客户端和服务器的请求应答来进行通讯,目前协议由之前的 RFC 2616 拆分成立六个单独的协议说明(RFC 7230、RFC 7231、RFC 7232、RFC 7233、RFC 7234、RFC 7235),通讯报文如下:

请求
POST http://www.baidu.com HTTP/1.1
Host: www.baidu.com
Connection: keep-alive
Content-Length: 7
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/71.0.3578.98 Safari/537.36

wd=HTTP
响应
HTTP/1.1 200 OK
Connection: Keep-Alive
Content-Encoding: gzip
Content-Type: text/html;charset=utf-8
Date: Thu, 14 Feb 2019 07:23:49 GMT
Transfer-Encoding: chunked

<html>…</html>
<!–more–>

1.2 HTTP 中间人攻击
HTTP 协议使用起来确实非常的方便,但是它存在一个致命的缺点:不安全。

我们知道 HTTP 协议中的报文都是以明文的方式进行传输,不做任何加密,这样会导致什么问题呢?下面来举个例子:

小明在 JAVA 贴吧发帖,内容为我爱JAVA:
被中间人进行攻击,内容修改为我爱PHP
小明被群嘲(手动狗头)
可以看到在 HTTP 传输过程中,中间人能看到并且修改 HTTP 通讯中所有的请求和响应内容,所以使用 HTTP 是非常的不安全的。

1.3 防止中间人攻击
这个时候可能就有人想到了,既然内容是明文那我使用对称加密的方式将报文加密这样中间人不就看不到明文了吗,于是如下改造:

双方约定加密方式
使用 AES 加密报文
这样看似中间人获取不到明文信息了,但其实在通讯过程中还是会以明文的方式暴露加密方式和秘钥,如果第一次通信被拦截到了,那么秘钥就会泄露给中间人,中间人仍然可以解密后续的通信:

那么对于这种情况,我们肯定就会考虑能不能将秘钥进行加密不让中间人看到呢?答案是有的,采用非对称加密,我们可以通过 RSA 算法来实现。

在约定加密方式的时候由服务器生成一对公私钥,服务器将公钥返回给客户端,客户端本地生成一串秘钥(AES_KEY)用于对称加密,并通过服务器发送的公钥进行加密得到(AES_KEY_SECRET),之后返回给服务端,服务端通过私钥将客户端发送的AES_KEY_SECRET进行解密得到AEK_KEY,最后客户端和服务器通过AEK_KEY进行报文的加密通讯,改造如下:

可以看到这种情况下中间人是窃取不到用于AES加密的秘钥,所以对于后续的通讯是肯定无法进行解密了,那么这样做就是绝对安全了吗?

所谓道高一尺魔高一丈,中间人为了对应这种加密方法又想出了一个新的破解方案,既然拿不到AES_KEY,那我就把自己模拟成一个客户端和服务器端的结合体,在用户->中间人的过程中中间人模拟服务器的行为,这样可以拿到用户请求的明文,在中间人->服务器的过程中中间人模拟客户端行为,这样可以拿到服务器响应的明文,以此来进行中间人攻击:

这一次通信再次被中间人截获,中间人自己也伪造了一对公私钥,并将公钥发送给用户以此来窃取客户端生成的AES_KEY,在拿到AES_KEY之后就能轻松的进行解密了。

中间人这样为所欲为,就没有办法制裁下吗,当然有啊,接下来我们看看 HTTPS 是怎么解决通讯安全问题的。

2. HTTPS 协议
2.1 HTTPS 简介
HTTPS 其实是SSL+HTTP的简称,当然现在SSL基本已经被TLS取代了,不过接下来我们还是统一以SSL作为简称,SSL协议其实不止是应用在HTTP协议上,还在应用在各种应用层协议上,例如:FTP、WebSocket。

其实SSL协议大致就和上一节非对称加密的性质一样,握手的过程中主要也是为了交换秘钥,然后再通讯过程中使用对称加密进行通讯,大概流程如下:

这里我只是画了个示意图,其实真正的 SSL 握手会比这个复杂的多,但是性质还是差不多,而且我们这里需要关注的重点在于 HTTPS 是如何防止中间人攻击的。

通过上图可以观察到,服务器是通过 SSL 证书来传递公钥,客户端会对 SSL 证书进行验证,其中证书认证体系就是确保SSL安全的关键,接下来我们就来讲解下CA 认证体系,看看它是如何防止中间人攻击的。

2.2 CA 认证体系
上一节我们看到客户端需要对服务器返回的 SSL 证书进行校验,那么客户端是如何校验服务器 SSL 证书的安全性呢。

权威认证机构
在 CA 认证体系中,所有的证书都是由权威机构来颁发,而权威机构的 CA 证书都是已经在操作系统中内置的,我们把这些证书称之为CA根证书:
签发证书
我们的应用服务器如果想要使用 SSL 的话,需要通过权威认证机构来签发CA证书,我们将服务器生成的公钥和站点相关信息发送给CA签发机构,再由CA签发机构通过服务器发送的相关信息用CA签发机构进行加签,由此得到我们应用服务器的证书,证书会对应的生成证书内容的签名,并将该签名使用CA签发机构的私钥进行加密得到证书指纹,并且与上级证书生成关系链。
这里我们把百度的证书下载下来看看:

可以看到百度是受信于GlobalSign G2,同样的GlobalSign G2是受信于GlobalSign R1,当客户端(浏览器)做证书校验时,会一级一级的向上做检查,直到最后的根证书,如果没有问题说明服务器证书是可以被信任的。

如何验证服务器证书
那么客户端(浏览器)又是如何对服务器证书做校验的呢,首先会通过层级关系找到上级证书,通过上级证书里的公钥来对服务器的证书指纹进行解密得到签名(sign1),再通过签名算法算出服务器证书的签名(sign2),通过对比sign1和sign2,如果相等就说明证书是没有被篡改也不是伪造的。

这里有趣的是,证书校验用的 RSA 是通过私钥加密证书签名,公钥解密来巧妙的验证证书有效性。
这样通过证书的认证体系,我们就可以避免了中间人窃取AES_KEY从而发起拦截和修改 HTTP 通讯的报文。

总结
首先先通过对 HTTP 中间人攻击的来了解到 HTTP 为什么是不安全的,然后再从安全攻防的技术演变一直到 HTTPS 的原理概括,希望能让大家对 HTTPS 有个更深刻的了解。

你的设备的这15个迹象表明你可能已被黑客入侵

今天对内容,并不是危言耸听,在我经手的多数电脑中,都发现了异常活动,当我告诉客户时,往往都不以为然,其实很可怕。

尤其是安装了各种未知的盗版软件(我建议大家一定要通过正规渠道,安装正版软件,或者已知可信的共享软件)

本片都内容可能有很多专业词汇,但我还是希望大家都阅读一下,在未来,它可能救你一命。

在当今的网络威胁环境中,大多数人认为有了安全软件几乎没有什么可担心的。实际上,安全软件并不十分准确,特别是对于不足24小时的漏洞利用程序。恶意黑客和恶意软件可以随意更改其策略。在周围交换几个字节,以前识别的恶意软件程序将变得无法识别。

为了解决这个问题,许多安全软件监视程序行为(通常称为启发式),以捕获以前无法识别的恶意软件。其他程序则使用虚拟化环境,系统监视,网络流量检测以及所有上述所有内容,以更加准确。安全软件仍然会失败。如果它们失败了,您需要知道如何发现通过安全软件检测的恶意软件。

如何知道您是否被黑客入侵?

这里有15个确定的迹象表明您已被黑客入侵,如果在日常使用当中发现以下情况,说明您极有可能已被黑客入侵。
1、您收到勒索软件消息
2、您收到虚假的防病毒消息
3、您有不需要的浏览器工具栏
4、您的互联网搜索已重定向
5、您会看到频繁的随机弹出窗口
6、您的朋友收到了您未发送的社交媒体邀请
7、您的网站在线密码无效
8、您观察到意外的软件安装
9、鼠标在程序之间移动并进行选择
10、反恶意软件,任务管理器或注册表编辑器已被禁用
11、您的在线帐户突然资金减少
12、您已收到被黑客入侵的人的通知
13、您的机密数据已泄漏
14、您的凭据位于密码转储中
15、您观察到奇怪的网络流量模式

请注意,在所有情况下,建议都是在继续操作之前将系统完全恢复到已知的良好状态。在早期,这意味着格式化计算机并还原所有程序和数据。今天,这可能只是意味着单击“还原”按钮。从风险角度考虑,完全还原始终是更好的选择。

1.您收到勒索软件消息
任何人在计算机上看到的最糟糕的消息之一是屏幕被突然的接管,并告诉他们所有数据都已加密,并要求付款以解锁数据。勒索软件非常庞大!在2017年活动量略有下降之后,索要赎金的计划又卷土重来了。数十亿美元的生产力正在损失,数十亿美元的赎金正在支付。小型企业,大型企业,医院,警察局和整个城市都被勒索软件所攻破。大约50%的受害者支付了赎金,这是一个很可悲的事情,也是很无奈的举措。
不幸的是,根据网络安全公司的说法,支付赎金并不会赢得约40%的时间运行系统。即使受害者确实支付了赎金,大多数受害者最终也要经历许多天的停机和额外的恢复步骤。
要做的事情:首先,如果您有一个良好的,经过测试的受影响系统的最新数据备份,您要做的就是还原所涉及的系统并进行充分验证(正式称为单元测试),以确保恢复为100 %。可悲的是,大多数公司没有他们认为的良好备份。
最好的保护是确保您具有良好的,可靠的,经过测试的脱机备份。勒索软件日益成熟。使用恶意软件的坏人正在受感染的企业环境中花费时间,以找出如何造成最大损失的方法,其中包括加密或破坏您最近的在线备份。如果您没有恶意入侵者无法访问的优质,经过测试的备份,那您将承担风险。
最后,几个网站可能能够帮助您恢复文件而无需支付赎金。他们要么找到了共享的秘密加密密钥,要么以其他方式对勒索软件进行了反向工程。您将需要识别所面临的勒索软件程序和版本。更新的安全软件可能会识别出罪魁祸首,尽管通常您所要做的只是勒索软件勒索消息,但这通常就足够了。

2.您收到虚假的防病毒消息
您在计算机或移动设备上收到一条弹出消息,提示设备已被感染。该弹出消息冒充成一种防病毒扫描产品,并且据称已在您的计算机上发现了十几个或更多的恶意软件感染。尽管这种方式不像以前那样流行,但是伪造的防病毒警告消息仍然是导致很多人上当。
发生这种情况的原因有两个:要么您的系统已经受到威胁,要么其本身就是病毒。希望是后者。这些类型的伪造的防病毒消息通常已经找到了一种锁定浏览器的方法,这样您就无法在不关闭浏览器并重新启动浏览器的情况下逃脱伪造的消息。
怎么办:如果幸运的话,您可以关闭标签页并重新启动浏览器,一切正常。虚假消息不会显示出来。在大多数情况下,您会被迫终止浏览器。重新启动它有时会重新加载将伪造广告强加于您的原始页面,因此您会再次获得伪造的AV广告。如果发生这种情况,请以隐身或私有模式重新启动浏览器,然后您可以浏览到其他页面并停止显示虚假的AV消息。
更糟糕的情况是,虚假的AV消息破坏了您的计算机(通常是由于社交工程或未修补的软件)。在这种情况下,请关闭计算机电源。如果您需要保存任何东西并且可以保存,请在关闭电源之前进行保存。然后将系统还原到以前已知的干净映像。大多数操作系统都具有专门为此设置的重置功能。
注意:一个相关的骗局是,警告您的计算机已受到感染,并拨打屏幕上的免费电话以获取技术支持帮助。通常,警告声称来自Microsoft(即使您使用的是Apple计算机)。这些技术支持诈骗者会要求您安装程序,然后使他们能够完全访问您的系统。他们将运行伪造的防病毒软件,发现很多病毒就不足为奇了。然后,他们向您出售一个解决所有问题的程序。

3.您有不需要的浏览器工具栏
这是一种普遍的利用迹象:您的浏览器有多个新工具栏,这些工具栏的名称似乎表明该工具栏应为您提供帮助。除非您认识到该工具栏来自知名供应商,否则是时候转储虚假的工具栏了。
做什么:大多数浏览器都允许您查看已安装和活动的工具栏。删除所有您不想安装的内容。如有疑问,请将其删除。如果此处没有列出伪造的工具栏,或者您无法轻易将其删除,请查看您的浏览器是否可以选择将浏览器重置回其默认设置。如果这不起作用,请按照上面列出的说明操作,以获取伪造的防病毒消息。
通常,可以通过确保所有软件都已完全打补丁并监视安装这些工具栏的免费软件,来避免恶意工具栏。提示:阅读许可协议。通常在大多数人不阅读的许可协议中指出了工具栏的安装。

4.您的互联网搜索被重定向
许多黑客通过将浏览器重定向到您不想去的地方来谋生。通过使您的点击出现在其他人的网站上,黑客可以获得报酬。他们通常不知道对其网站的点击来自恶意重定向。
您通常可以通过在互联网搜索引擎中键入一些相关的,非常常见的词(例如“ puppy”或“ goldfish”)来发现这种类型的恶意软件。不幸的是,通过使用其他代理,当今许多重定向的Internet搜索对于用户而言都是很好的隐藏方式,因此伪造的结果永远不会返回以提醒用户。
通常,如果您使用的是伪造的工具栏程序,那么您也会被重定向。真正想确认的技术用户可以嗅探自己的浏览器或网络流量。在受感染的计算机上与未受感染的计算机上,发送和返回的流量始终会明显不同。
怎么办:按照与删除伪造的工具栏和程序相同的说明进行操作。通常,这足以摆脱恶意重定向。此外,如果在Microsoft Windows计算机上,请检查C:\ Windows \ System32 \ drivers \ etc \ hosts文件,以查看其中是否配置了任何恶意的重定向。当输入一个特定的URL时,hosts文件会告诉您的PC去哪里。几乎不再使用它了。如果主机文件上的文件戳是最新的,则可能已被恶意修改。在大多数情况下,您可以简单地重命名或删除它而不会引起问题。

5.您会看到频繁的随机弹出窗口
这个流行的迹象表明您已被黑客入侵,这也是较烦人的迹象之一。当您从通常不生成它们的网站上获得随机的浏览器弹出窗口时,您的系统已受到破坏。我一直为哪个网站(合法网站或其他网站)可以绕过浏览器的反弹出机制而感到惊讶。这就像与电子邮件垃圾邮件作斗争,但情况更糟。
怎么办:听起来不像是破记录,但通常由上面提到的三种先前的恶意机制之一产生随机弹出窗口。如果您甚至希望摆脱弹出窗口,就需要摆脱虚假的工具栏和其他程序。

6.您的朋友收到您未发送的社交媒体邀请
我们以前都看过这一本书。当您已经成为该社交媒体网站上的朋友时,您或您的朋友都会收到“成为朋友”的邀请。通常,您在想:“他们为什么再次邀请我?他们是否解除了对我的朋友,而我却没有注意到,现在他们重新邀请了我。” 然后,您会注意到新朋友的社交媒体网站上没有其他可识别的朋友(或者可能只有几个),并且没有较旧的帖子。或者您的朋友正在与您联系,以找出发送新朋友请求的原因。在这两种情况下,黑客要么控制您的社交媒体网站,要么创建了另一个看上去相似的伪造页面,要么您或您的朋友安装了流氓社交媒体应用程序。
怎么办:首先,警告其他朋友不要接受意外的朋友请求。像这样说:“不要接受Bridget发出的新邀请。我认为她被黑了!”。然后以其他方式联系Bridget进行确认。在您的普通社交媒体圈子中传播新闻。接下来,如果不是第一次,请与社交媒体网站联系,并以虚假方式举报该网站或提出要求。每个站点都有其自己的举报虚假请求的方法,您可以通过搜索其联机帮助来找到它们。通常就像单击报告按钮一样简单。如果您的社交媒体网站确实遭到黑客入侵(并且不是第二个类似的伪造页面),则需要更改密码(如果没有,请参阅帮助信息,以了解如何执行此操作)。
更好的办法是,不要浪费时间。更改为多因素身份验证(MFA)。这样,坏人(和流氓应用程序)就不那么容易窃取并接管您的社交媒体形象。最后,不要安装任何社交媒体应用程序。它们通常是恶意的。定期检查与您的社交媒体帐户/页面关联的已安装应用程序,并删除所有您真正想要拥有的应用程序。

7.您的在线密码无效
如果您确定正确输入了在线密码,并且该密码不起作用,则可能是您被黑了。我通常会在10到30分钟内再试一次,因为我遇到过遇到技术困难的网站在短时间内不接受我的有效密码的情况。一旦确定您当前的密码不再有效,就很可能是流氓黑客使用您的密码登录并进行了更改,以使您无法进入。
在这种情况下通常会发生的情况是,受害人对据称声称来自该服务的真实外观的网络钓鱼电子邮件做出了回应。坏人使用它来收集登录信息,登录,更改密码(以及其他信息,使恢复过程复杂化),并使用该服务从受害者或受害者的熟人中偷钱(同时冒充受害者)。
怎么办:如果该骗局非常普遍,并且已经与您的许多熟人联系,请立即将所有您的受感染帐户通知您的所有亲密联系人。这样可以最大程度地减少因您的失误对他人造成的损害。其次,请与在线服务联系以报告遭到入侵的帐户。现在,大多数在线服务都有简便的方法或电子邮件联系地址来报告遭到入侵的帐户。如果您将帐户报告为受到感染,则通常该服务将完成其余工作,以帮助您恢复合法访问权限。另外,考虑颁布MFA。
如果在其他网站上使用了受损的登录信息,请立即 更改这些密码。下次请多加注意。网站很少发送电子邮件要求您提供登录信息。如有疑问,请直接访问网站(不要使用通过电子邮件发送给您的链接),并查看使用合法方法登录时是否要求提供相同的信息。您也可以通过其电话线致电该服务或通过电子邮件将其举报,以举报收到的网络钓鱼电子邮件或确认其有效性。

8.您观察到意外的软件安装
不需要的和意外的软件安装是您的计算机已被黑客入侵的重要标志。在早期的恶意软件中,大多数程序都是计算机病毒,它们可以通过修改其他合法程序来起作用。他们这样做是为了更好地隐藏自己。如今,大多数恶意软件程序都是特洛伊木马和蠕虫,它们通常像合法程序一样自行安装。这可能是因为当警察追上他们时,他们的创作者可以尝试说些类似的话:“我们是一家合法的软件公司。”
有害软件通常是由其他程序合法安装的,因此请阅读您的许可协议。通常,我会阅读许可协议,这些协议明确声明它们将安装一个或多个其他程序。有时,您可以选择退出其他已安装的程序。
怎么办:有很多程序可以向您显示所有已安装的程序,并让您有选择地禁用它们。我最喜欢的Microsoft Windows Checker是Microsoft的免费程序, Autoruns 或Process Explorer。它们不会向您显示已安装的每个程序,但是会告诉您在重新启动PC时自动启动的程序(自动运行)或当前正在运行的程序(Process Explorer)。
大多数恶意软件程序都可以嵌入到更大数量的合法运行程序中。困难的部分可以是确定什么是合法的,什么是不合法的。您可以启用“检查VirusTotal.com”选项,这些程序以及Google的Virustotal.com网站将告诉您它认为哪些恶意软件。如有疑问,请禁用无法识别的程序,重新启动PC,然后仅在某些所需功能不再起作用时重新启用该程序。

9.鼠标在程序之间移动并进行选择
如果在进行有效的选择时鼠标指针自行移动(这是重要的特点),则肯定是您被黑了。通常由于硬件问题,鼠标指针经常随机移动。如果这些运动涉及做出运行特定程序的选择,那么恶意软件就在其中。
这种技术不像其他一些攻击那么普遍。黑客会闯入计算机,等待计算机长时间闲置(例如午夜后),然后尝试窃取您的钱。黑客将闯入银行帐户并转移资金,交易您的股票以及进行各种旨在减轻您的现金负担的流氓行为。
怎么办:如果您的计算机在一夜之间“活跃起来”,请先关闭计算机一分钟,然后再确定入侵者感兴趣的内容。不要让他们抢劫您,但了解他们在看什么将很有用。并试图妥协。拍摄一些照片以记录其任务。在合理的情况下,关闭计算机电源。将其从网络上摘机(或禁用无线路由器),然后致电专业人员。这是您需要专家帮助的时候。
使用另一台已知良好的计算机,立即更改所有其他登录名和密码。检查您的银行帐户交易记录,股票帐户等,如果您一直是这种攻击的受害者,则必须认真对待。完全还原计算机是您应该选择的唯一恢复选项。如果您损失了任何金钱,请确保先让法医小组进行复印。如果您蒙受了损失,请致电执法部门并提起诉讼。您将需要此信息来最好地弥补您的实际金钱损失(如果有)。

10.禁用了反恶意软件,任务管理器或注册表编辑器
这是恶意破坏的一个巨大迹象。如果您发现自己的防病毒软件已被禁用并且没有使用,则可能是您被利用了-尤其是当您尝试启动任务管理器或注册表编辑器而它们无法启动,无法启动或消失时,状态。
怎么办:执行完整还原,因为无法告知发生了什么。如果您想先尝试一些不太激烈的尝试,如果在Windows计算机上,请尝试运行Microsoft Autoruns或Process Explorer(或类似程序)以清除引起问题的恶意程序。他们通常会确定您的问题程序,然后可以将其卸载或删除。
如果恶意软件“反击”并不允许您轻松卸载,请研究多种方法来恢复丢失的功能(任何互联网搜索引擎都会返回大量结果),然后以安全模式重启计算机并启动努力工作。我之所以说“艰苦的工作”,是因为通常这并不容易或快速。通常,我必须尝试几种不同的方法才能找到可行的方法。通过使用上面列出的方法摆脱恶意软件程序,可以首先恢复软件。

11.您的帐户金额减少
我的意思是突然少了很多钱。网上坏人通常不会偷小钱。他们喜欢将所有或几乎所有东西都转移到外汇或银行。通常,它始于您的计算机受到威胁,或者是您对银行或股票交易公司的假网络钓鱼作出回应。坏人登录到您的帐户,更改您的联系信息,并向自己转移大量资金。
怎么办:在大多数情况下,您很幸运,因为大多数金融机构将为您挽回被盗的资金(尤其是如果它们可以在损失真正发生之前就停止交易)。但是,在某些情况下,法院裁定客户的责任是不被黑客入侵,这取决于金融机构来决定他们是否会向您赔偿。
为了避免这种情况的发生,请打开事务警报,该事务警报会在发生异常情况时向您发送文本警报。许多金融机构都允许您设置交易金额的门槛,如果超过或超过了门槛,就会被警告。不幸的是,很多坏人在窃取您的钱之前会重置警报或您的联系信息。因此,请确保您的金融或贸易机构在您的联系信息或警报选择发生更改时向您发送警报。

12.您已收到被黑客入侵的人的通知
任何组织发现自己已成功受到威胁的最重要方式之一是无关的第三方发出的通知。自从计算机诞生以来就是这种情况,并且一直是事实。Verizon备受尊敬的《数据泄露调查报告》显示,与承认自己的妥协的组织相比,被通知与不相关的第三方入侵的公司更多。2019年7月,微软透露,自今年年初以来,它已经检测到针对其10,000多名客户的攻击。
要做的事情:首先,确定您是否真的被黑客入侵了。如果确认,请遵循您的预定义事件响应计划。确保每个人都知道您的IR计划是必须遵循的深思熟虑的计划。

13.机密数据已泄漏
没有什么能像组织的机密数据在Internet或深网上散发出来那样证明您被黑客入侵了。如果您没有首先注意到它,那么媒体和其他感兴趣的利益相关者很可能会与您的组织联系,以确认或了解您对此所做的事情。
怎么做:像以前的迹象一样,首先要找出它是否真的是您的机密数据。在许多情况下,黑客声称破坏了公司的数据,但没有任何保密信息。他们要么组成索赔和数据,要么只有公开数据,要么拥有其他公司的数据。因此,首先确认。
如果这是您组织的机密数据,那么是时候告诉高级管理层,开始IR流程并弄清楚什么时候需要与谁沟通了。

14.您的凭据(密码)位于密码转储中
数十亿个有效的(至少一次)登录凭据存在于Internet和黑暗的网络上。通常,它们会因网络钓鱼,恶意软件或网站数据库漏洞而受到损害。通常,第三方不会像其他类型的数据泄漏那样通知您。您必须主动警惕这种威胁。越早知道发生这种事情越好。
您可以使用各种网站(例如“我曾经被拥有过”)一次检查受侵害的凭证,使用各种免费的开源智能工具(例如The Harvester),免费的商业工具(例如KnowBe4的Password Exposure Test)来检查多个帐户,或者付费寻找您公司数据和凭证的任何商业服务。
操作:首先确认转储中是否包含任何当前使用的凭据,然后重置所有登录凭据。启动IR流程,以查看是否可以弄清楚组织的登录凭据在公司外的结局如何。另外,实施MFA。

15.您观察到奇怪的网络流量模式
首先,奇怪的、意外的网络流量你就需要引起警惕。可能是对公司的Web服务器的严重的分布式拒绝服务(DDoS)攻击,或者可能是向与您没有业务往来的国家/地区的站点的大型预期文件传输。如果了解其合法的网络流量模式,则无需第三方来告诉他们受到了攻击。庆幸的是,我知道公司中的大多数服务器都不会与公司中的其他服务器通信。公司中的大多数服务器不会与公司中的每个工作站通信,反之亦然。公司中的大多数工作站都不应使用非HTTP /非HTTPS协议直接与Internet上的其他位置进行通信。
怎么办:如果您看到无法解释的意外、奇怪的流量,则最好是终止网络连接并开始进行IR调查。几年前,我们可能会说如果操作谨慎会犯错误。今天,您不能再冒险了。直接杀死任何可疑的流量,直到证明它们是合法的。

如果您不了解有效的网络流量,则需要这样做。数十种工具旨在帮助您更好地理解和记录网络流量。我建议您检查一下Bro和Snort这样的免费开放源代码替代方案,但要有效使用它们,都需要大量的时间,资源和研究。相反,找到一个已经为您完成所有艰苦工作的好的商业解决方案是最佳的。

预防是最好的治疗方法

希望安全软件能够完美地检测到恶意软件和恶意黑客,这是非常愚蠢的。请注意计算机被黑客入侵的这些常见迹象和症状。如果您像我一样是冒险的,请始终在发生违规事件时执行完整的计算机还原。一旦您的计算机受到威胁,坏人就可以做任何事情并藏在任何地方。

大多数恶意黑客源自以下三种媒介之一:运行特洛伊木马程序,未打补丁的软件以及对伪造的网络钓鱼电子邮件进行响应。在防止这三件事上做得更好,您将不太可能依赖安全软件的准确性和运气。

Google Chrome浏览器推出了安全DNS以提高用户隐私

Google的浏览器是目前最流行的浏览器之一,虽然很多国内用户都不知道chome的存在,但是国内目前大多数流行的浏览器都是基于chome的开源计划完成的,本质上都是加了马甲的chrome

近日,谷歌表示,Android系统中的Chrome浏览器将很快支持dns -over- https (DoH),该协议可加密和保护DNS查询以提高用户隐私。

其实,自Chrome 83发布以来,桌面版本的Chrome浏览器就已经提供了DoH支持。但是,该功能从未添加到Android和iOS版本中。

在今天的一篇简短的博客文章中,谷歌表示他们现在已经决定为Android用户启用DoH功能,在未来几周内将逐步在Chrome移动浏览器中启用DoH功能。

所有使用Chrome 85版本的用户,都将在浏览器的设置中看到一个名为“安全DNS”的新选项。

所有用户都将默认启用安全DNS选项,一旦打开,Chrome将尝试以加密的形式(通过DoH)进行DNS查询,并使用传统的纯文本DNS作为应急计划。

谷歌表示,该功能与Chrome的桌面版本具有相同的功能,这意味着用户不必修改Android的整体DNS设置。

取而代之的是,Chrome将使用内部具有DoH功能的DNS服务器的列表,并且如果用户已将其配置为操作系统范围的DNS设置,则Chrome将使用该服务器的DoH接口而不是默认的DoH接口,并用加密的明文DNS查询替换DoH即时查询

此外,如果用户不想将其Android设备的系统范围内的DNS服务器更改为支持DoH的DNS服务器,则Google还可让用户仅为其浏览器自定义Chrome的DoH服务器。

Chrome用户可以使用上面的屏幕快照中的第二个选项“ Choose another provider”,并添加他们要使用的DNS服务器的IP地址。由于此选项是在Chrome的设置中配置的,因此仅适用于Android版Chrome,不适用于整个Android操作系统。

此外,谷歌还表示,如果发现智能手机是托管环境的一部分,比如在企业网络中,针对Android的Chrome也会自动禁用DoH。在这类网络中,出于安全考虑,IT人员通常会部署企业范围的策略来控制公司的智能手机,而DoH有时可能会让用户受到攻击,因此谷歌不会在如此严格控制的环境中强制设置该设置。

另外,Google没有透露DoH何时进入iOS版Chrome。但是,这很可能还有很长的路要走,因为Apple最近才在iOS和macOS中增加了对DoH协议的支持。

再见,Eclipse…

刚刚看到了一篇文章,让我仿佛回到了10多年前,如果你对一下名称有感悟(Eclipse, IDEA, Java, jbuilder, netbean, myeclipse, Intellij, JetBrains, C++, python),请一起来吧……致 青春

来源:https://www.cnblogs.com/ouyida3/p/9901312.html

使用了eclipse10年之后,我终于投向了IDEA

最近,改用了idea,同事都说我投敌了。当然,这些同事都是和我一样的“老”程序员。不说毕业生,公司里的90后基本电脑都不会安装eclipse。

eclipse 的三足鼎立时期

开始我写Java程序,用的并不是eclipse,而是用的一款叫做jbuilder的工具。当时使用这个工具的时候,我已经觉得非常的好用,因为在此之前,我好像记得只是用个简单的文本工具来编辑。后来才发现,那些喜欢宣扬文本编辑器才能学会精通java的“高手”真的有点不敢恭维,至少于我,一个好的工具太重要了。

并没有过了多久,我发现一款叫做eclipse的工具,而且身边还越来越多,于是我决定试一试。尝试的最后,我发现实在是太好用了,他的界面变得更漂亮,而且里面的功能感觉就是为程序员量身定做的一样,最激动人心的功能是他竟然支持源源不断的插件,而且这个插件你还可以,自己来编写。

eclipse2001年由ibm创立,2003年就成立基金会,可惜国内嘛,在那个时代,总是要晚一些,而我更落后,直到07、08年才开始真正使用。《程序员》在06年还出了一起专题-Eclipse风暴。那时候,eclipse、jbuilder、netbean三足鼎立的局面,基本形成了。eclipse 称霸

再后来myeclipse出现了这个东西更加厉害,他集成了所有常用的插件,只要你一键安装完就啥也有了,基本上用它,你可以开发出java的任何东西。虽然他不是免费的。

慢慢的,jbuilder已经没什么人使用;而netbean不知道是不国内还是我圈子太窄,身边用的人总是很少,倒是在国外翻译的技术书里经常和eclipse一同出现。

重构的流行,让eclipse更受青睐。熊节在《重构》译本里推荐eclipse,后来我亲眼看了他使用eclipse纯键盘(基本不用鼠标)飞快的重构代码,有点傻了眼。后来背诵快捷键成了我的一项课题。

在接下来接近10年的日子里,就是他陪着我度过了漫长又有意思的编程生涯。虽然经常有人争论用简单版的eclipse好还是用丰富的myeclipse好,用丰富版的经常会嘲笑用简单的,什么都没有,什么插件都得重新来一遍,用简单版的又会鄙视使用丰富版的,什么插件都不会安装。我曾经见过有一个同事,使用的滚瓜烂熟,每一个插件在文件夹下叫什么名字应该删除哪些文件应该放在什么地方,应该增加哪些配置,怎么安装怎么卸载都倒背如流,随后我也慢慢学会了这招。再后来插件安装,已经不需要这么麻烦了,只需要在市场上搜索一下,点击一下安装就可以了。但是这些功能的改进并没有让他免除用户群慢慢转移的危机。

Intellij IDEA 横空出世

其实很久之前我就听说idea非常好用,说只要使用过后就不会在使用eclipse了。还说JetBrains这家公司怎么怎么懂得java程序员。但是,我实在找不到什么改变的理由,所以一直没有尝试使用。况且,我还需要开发c++、python,这些语言,eclipse都有完善相应的版本插件支持。

其实中间,我也不断地询问已经转向使用的同事,我问他究竟别/好像哪里?但是没有一个同事能够清晰的回答我这个问题。大部分的同事只是说就是很好用,你如果细细地问他好在哪儿,他却说不出来。还有一些同事确实列举了一些,他认为更为好用的功能,然后告诉我,然后我听完之后告诉他,其实这些功能eclipse也有。还有一个同事更搞笑,用了两个月了,说非常的好用,然后我叫他调大一些,字体让我看看,他竟然说不知道怎么调。这些遭遇实在让我想不出来什么要改变的理由。

但是上个星期出现了一个契机,就是公司主持了几个培训,不约而同的这几位培训,是都使用IDEA来培训,其实,工具的不同并没有太大的影响及对培训知识的吸收,但是我实在忍受不了我明明花了一个小时听培训,但是只听了55分钟的知识,剩余的5分钟关于工具的使用技巧也应该吸收过来。加上早就听说Robert C Martin也许从一个eclipse转向了这个工具,于是我决定我要改变一下了。

上周一是我改变的第一天,安装过程非常顺利,官网提供免费版和试用版,我当然毫不犹豫地选择的试用版,至于30天以后,咱们心照不宣,再说。安装过后当然是黑糊糊的一个界面,上面的所有按钮实在是非常的陌生,我使用的10年的那些快捷键发现全部不好使了,我甚至连怎么导入一个现有的工程都不会了。

我有点受不了了,我受不了的不是对新知识的学习与掌握,而是效率迅速降低20倍,甚至一百倍。没办法,一个一个问题百度吧。大概过去了半天到一天,神奇的事情发生了,我竟然不再想继续用eclipse了,甚至有点没有了IDEA,感觉更麻烦了。于是家接下来的四天,我越来越顺畅地开始编写我的代码了。

对于只是使用了五天的,我来说,我说的什么,其实都只是一个新手的废话,但是我还是喜欢总结一下。

eclipse和idea,哪个更好?

idea,个人觉得,确实比eclipse要更好,但是它的好处并不主要是多了哪些功能,从功能的多少数量上来说,他们俩其实是差不多的, IDEA,更优秀的关键点在于他在细节上更为人性化,做得更优秀而已。

比如配置tomcat,我竟然不用百度,自己尝试点点,就成功跑起来了。感觉它真的懂我的心一样。

开始使用的一些注意事项

如果你是刚开始编程,那就没什么关系,但是像我一样是用的eclipse很多年的老程序员,那么对快捷键一定是一个障碍,但是idea已经做了很人性化的设置,默认的快捷键可以一键改成eclipse的快捷键,但是我尝试了,确实改变了大部分,但并不是百分之百,所以我放弃了。

还有就是对工程和模块要理解好,以前的eclipse都是做工程的概念并没有模块的概念,所以你可以把很多的工程都导入进去,但是IDEA完全不一样,他只能导入一个工程,如果你要在导入另外一个工程,你必须新开一个界面,当然你不用担心耗费内存的问题,已经。优化好了,但是在一个工程里面你可以导入多个模块,其实这个更适合我们平常的开发,因为maven 就是模块化的配置。

tomcat的设置也非常人性化,注意的是,可以通过勾选tomcat实例,就可以一个tomcat多个工程使用了。当然,端口要不同,才能同时启动。

三个很常用的设置按钮

• Preperences

• Project structure

• Run configuration

常用的快捷键(mac)

• cmd+shift+f 全project或模块等查找某个字符串

• cmd+shift+o 查找文件

• cmd+0 查找类

• cmd+f 本文件中查找字符串

• cmd+x 删除一行

• cmd+c 选中该行并且复制

• alt+enter 自动提示错误修复

• ctrl+alt+h 显示调用该方法的方法

• cmd+7 显示该类的全部方法

• cmd+alt+l 整理代码格式

• ctrl+alt+o 整理import

• shift+f6 重构rename 还有很多。。。基本都和eclipse不同,但是我必须一个个的“寻找”回来。

我喜欢的特色功能

• idea默认下面显示了teminal,很好用,现在我很少用mac自带的终端(虽然eclipse找找也有,但实在不好用)

• 右手边有个数据库连接,我现在也很少用Navicat和mysql workbench了

• 同样右边的maven也很好用,不像eclipse要右键,而且默认的还不齐全

JetBrains确实是伟大的公司,现在我弄js,也用了它的webstorm,弄python也用了他的pycharm而不是eclipse的pydev了。

再见,eclipse。

又断断续续用了一周,发现没有想象中完美。偶尔有些卡,毕竟太多东西放内存。而且也出现过闪退。快捷键实在有些还记不住,有个快捷键要按四个键太难记了。有些个别功能感觉还是有点不如eclipse方便比如改字符集(也可能我不熟悉)。断点调试也还不习惯。也有很多功能真的要把eclipse彻底忘记,比如重构rename,idea默认竟然把同名的都rename掉。我重构个我自己写的类的get方法,它把map.get的get也rename掉了,真的有点无语。不过习惯就好,总比漏了一些rename自己慢慢改好。

———-  END  ———-

Zoom泄露门:可以任意观看会议视频

由于COVID-19新冠状病毒的大流行,越来越多的用户将工作和社交生活转移到线上,会议应用程序Zoom的用户数量在成倍增长。但是,随着这种线上工作热潮,安全和隐私研究人员也对该应用进行了越来越多的审查,事实证明Zoom不断被发现许多问题。近日据外媒报道,成千上万的Zoom云记录视频在网络上曝光,这也揭露了软件本身的隐私安全性问题。

据悉,由于Zoom对其会议记录的命名方式存在问题,大量的Zoom会议视频被会议发起者上传到了不同的视频网站和视频云。目前,许多视频都被发布在未受保护的亚马逊云计算平台上,使得通过在线搜索找到它们成为可能。而且这些泄露的视频,被其他用户扫描后上传到了YouTube、Google、Vimeo等各大视频门户网站上。人们通过这些泄露的视频可以看到治疗会议、商务会议、小学上课等记录。事件发生后,Zoom已经被告知这个问题,但不清楚该公司是否会改变其视频的命名方式,或者是否会保护亚马逊托管的视频。

对此,安全研究员肯恩·怀特表示, 此次事件表明Zoom从未具有最核心的安全和私有服务,而且Zoom的系统中肯定存在一些关键漏洞。但是在许多情况下,为了线上会议,大多数公司和个人没有很多其他选择。

根据研究,即使在COVID-19新冠状病毒大流行发生之前,Zoom应用的开发团队也是优先考虑易用性而不是安全性和隐私性问题的。早在去年夏天,一位研究人员就发现了Zoom的一个漏洞,该漏洞主要关于Zoom如何无缝地将用户加入呼叫链接并共享其相机内容,对此Zoom无需进行任何初步检查就可以让用户启动该功能。这是非常不安全的,因为这意味着攻击者可以通过精心设计该功能链接,从而使他们可以一键立即访问用户的相机。

对于Zoom此次的隐私安全问题,Zoom创始人兼首席执行官Eric Yuan在公开声明中写道,公司正在暂停功能开发,以便其工程师专注于安全性和隐私保护方面的技术改进。Yuan表示,在接下来的90天之内,Zoom还将进行第三方安全审核和渗透测试,扩大其大赏金计划,并在公司层面预计从政府和执法机构等组织收到一份透明报告。

此次事件提醒我们每一个开发者,在任何软件的设计之初都要考虑两方面问题,一是功能,二是安全;作为消费者更是要了解一个软件的安全情况后再使用这个软件,不要因为免费好用就肆无忌惮的使用!

记得在刚刚工作期间,项目方只知道要求进度实现功能,从不关心软件的安全测试工作,随着网络时代的来临,那些未经过严格安全测试的软件终将造成不可挽回的损失!

而这些损失又要由谁来负责呢?

合作之苹果谷歌的合作,推出疫情追踪系统

人类的合作,显著推进了社会的进步?🤔

苹果和谷歌今天共同宣布,他们将使用蓝牙技术来帮助政府和卫生机构减少新冠病毒在全球范围内的传播。

苹果表示,用户隐私和安全性将是该项目设计的核心。参与将是自愿的,隐私,透明和同意是“这项工作中最重要的”。

由于 COVID-19 可以通过近距离传播给受影响的个体,因此公共卫生官员已将接触者追踪确定为有助于遏制其传播的宝贵工具。世界各地许多领先的公共卫生当局,大学和非政府组织都在开展重要工作,以选择加入接触者追踪技术。为了进一步解决这个问题,苹果和谷歌将推出一个全面的解决方案,其中包括应用程序编程接口(API)和操作系统级技术,以帮助实现联系人跟踪。鉴于紧急需求,计划将分两步实施此解决方案,同时围绕用户隐私实行强大的保护。

苹果和谷歌采取了一些防止隐私泄露的措施。比如,通过蓝牙定期发送信息时,会广播一个匿名密钥,这些密钥每 15 分钟循环一次以保护隐私。即使有人分享自己被感染的信息,该应用程序也只会分享他们具有传染性的特定时期的密钥。

从 5 月开始,苹果和谷歌将发布 API,使用公共卫生部门的应用来实现 Android 和 iOS 设备之间的互操作性。这些应用可供用户从 iOS App Store 和 Google Play 下载。

在未来的几个月中,谷歌和苹果将通过将其功能构建到其基础平台中,致力于建立更广泛的基于蓝牙的联系人跟踪平台。苹果公司表示,该解决方案比 API 更为强大,如果他们选择加入,则将允许更多的人参与,并且可以与更广泛的应用生态系统和政府卫生部门进行交互。

或许有限的披露隐私合理化的管理隐私,有助于人类社会的进步?😷

全球诈骗案件已屡次得逞之AI软件克隆你的声音

就在不久前于旧金山结束的RSA大会上,一家名为Pindrop的专门检测语音诈骗的初创公司再次向业内发出警告:网络诈骗份子已经开始借助AI软件克隆声音进行诈骗了!

科技从来都是具有两面性的,中国古代的智者早已阐述过。

知识说明:

AI是什么?

人工智能(英語:Artificial Intelligence,縮寫為AI)亦稱智械、機器智能,指由人製造出來的機器所表現出來的智能。通常人工智能是指透過普通電腦程式來呈現人類智能的技術。該詞也指出研究這樣的智能系統是否能夠實現,以及如何實現。同時,通過醫學、神經科學、機器人學及統計學等的進步,常態預測則認為人類的無數職業也逐漸被其取代。

(Pindrop的CEO(右)和CTO(左),图片来自网络)

Pindrop的CEO Vijay Balasubramaniyan表示:“Pindrop在过去一年中调查了大约十二起类似的案件,都是欺诈者使用AI软件“克隆”某人的声音以进行诈骗。同时,我们还看到了Deepfake音频作为针对公众人物的工具出现。如果你是家公司的CEO或者你在YouTube上有很多视频,骗子就极有可能用它来合成你的声音。”

并且,虽然Pindrop只看到了少数这样的案件,但涉案金额很高。Pindrop估算涉及的诈骗金额可能高达1700万美元。

(图片来自网络)

来自硅谷的警告消息又一次将AI的安全性问题带到了舆论的风口浪尖。毫无疑问,自从AI成为全球技术发展的主流以来,DeepFake的问题就一直是人们关心的重点。而今天我们要讨论的AI语音合成的问题,则可能比人脸识别更加危险。

AI声音合成,一面“天使”一面“魔鬼”

语音合成技术现在已经非常成熟了。例如高德导航里的各种明星语音包,“林志玲为您导航祝您好心情”、“郭德纲前方有落石车碎人心碎”、“你镇定一下罗永浩要开始导航了”,基本上能够达到以假乱真的效果。大部分时候用户也分不出来到底是明星自己录的,还是合成的语音。当然这种场景中,语音合成只是为了提升用户体验做的一个小功能。不仅没有对用户造成损失,反而让用户开车的时候拥有更好的体验。

(高德地图的明星导航语音包,图片来自网络)

但是下面这个故事就不是这样了。2018年Charlie Warzel,Buzzfeed的科技记者,受了前密西根大学社交媒体责任中心CTO Aviv Ovadya言论的影响,做了一件想想都非常后怕的事情。他使用AI合成软件模仿了自己的声音,然后打电话给他妈妈,结果他妈妈愣是没听出来。世界上最熟悉你自己声音的人是谁?可能不是你自己,因为你自己听到的声音和别人听到的是有区别的。最熟悉你声音肯定是你的母亲。

(图片来自网络)

既然身边最熟悉的人都被这样“伪装”骗了,那只要使用这种软件不就拥有了“变身”的超能力了吗?

事实上,利用AI语音合成冒充熟人进行电信诈骗的案例这几年时常发生,并且涉及金额都非常的巨大。

根据《华尔街日报》2019年报道,英国某能源公司高管在一个小时之内通过匈牙利供应商向一诈骗犯转账24万美元,约175万元人民币,仅仅是因为诈骗犯通过AI技术仿造了其母公司CEO的声音。该高管表示,在整个通话过程中,老板轻微的德国口音都展现得淋漓尽致,该高管完全没有任何的怀疑,直到被要求再次转账时才发觉了事件异常。

在报案调查后,警方只能发现该笔转账流动到了墨西哥等地区,但是具体嫌疑犯的身份始终无法确定。这个案件带来的损失目前只能由保险公司承担。这位受害者后来在一封电子邮件中写道,虽然“老板”的要求相当奇怪,但声音如此逼真,他觉得自己别无选择,只能服从。

美国网络安全公司Symantec的研究人员表示,他们发现至少有三起公司高管的声音被人模仿以用于电信诈骗。虽然Symantec拒绝透露这些受害公司的名称,也不愿透露上述英国能源公司是否是其中之一,但它指出,其中一起案件的损失总计达数百万美元。

(Symabtec公司大楼,图片来自网络)

虽然有种种风险,但技术的发展一点也没有慢下来。目前,许多硅谷巨头和人工智能初创企业都在开发这种语音合成软件,用以模仿人的声音节奏和语调,并被用来制作令人信服的演讲。

(Lyrebird 官网)

几个月前,Resemble团队发布了一个名为Resemblyzer的开源工具,该工具使用人工智能和机器学习来通过获取语音样本的高级表示并预测它们是真实的还是生成的来检测深度伪造。而在AI语音合成届早已成名已久的Lyrebird,其开发出的AI合成软件更是可以在合成语音中模拟出说话人的感情。

AI技术被滥用,它的工作原理是什么?

无数的研究表明,重现人们讲话的韵律只需要一个小的数据集。像Resemble和Lyrebird这样的商业系统仅需要几分钟的音频样本,而百度最新的Deep Voice实现等复杂的模型可以从3.7秒的样本中复制语音。

斯坦福大学网络政策中心研究员、曾任奥巴马和特朗普政府时期白宫网络安全政策高级主管的Andrew Grotto(安德鲁·格罗托)表示:“罪犯将使用任何能让他们以最低成本实现目标的工具。也许这是一项在10年前听起来很新奇的技术,但是现在任何有想法的非专业罪犯都可以使用。” 

(图片来自网络)

目前市面上的AI语音合成软件的工作原理是将一个人的声音分解成不同的组成部分,比如音轨或音节,然后将这些组成部分重新排列,形成具有相似语音模式、音调和音色的新语音。除了借助这种新技术,骗子们还依赖于最常见的诈骗技巧来提高他们的效率,利用时间压力,比如临近的截止日期,或者社会压力,比如安抚老板的愿望,来让受害人打消任何疑虑。在某些情况下,犯罪分子会瞄准公司会计或财务的负责人,因为他们知道这些人有能力立即汇款。

(Pindrop的CEO演示如何合成公众人物的视频截图)

视频链接https://www.youtube.com/watch?v=PDs8-Exx6kE&feature=youtu.be

除了进行诈骗,DeepFake音频还存在向公众传递负面信息的风险。RSA大会演讲现场,Pindrop的CEO向公众演示了一款合成公众人物声音的AI系统,这项技术通过在网上搜索特朗普之前的录音来模仿他的声音,耗时不到一分钟,并用美国总统特朗普的声音说了一些笑话。如果这项技术被用于仿造领导人物的声音,并用到犯罪事件中,无疑可能非常危险,甚至给国家安全带来危害。

AI声音合成如此猖獗,应该如何防范?

虽然风险重重,但语音模拟技术的发展势不可挡。例如,Google已经为自动识别DeepFake语音的研究项目提供了资金和资源的帮助。但Google也开发了一些世界上最具说服力的语音人工智能,包括它的Duplex服务,它可以用电脑生成的栩栩如生的声音,打电话给餐厅预定座位。

(Google语音助手,图片来自网络)

卡内基国际和平基金会(Carnegie Endowment for International Peace)硅谷办公室主任Charlotte Stanton则提醒业界:“在商业领域,人们有很强的的意愿想要制造出好的技术产品,但一定要平衡,避免它被用于非法途径。所以,研究人员在研发像AI语音合成技术这样强大的技术时需要更加谨慎,很明显,AI语音合成已经到了可以被滥用的地步。”

幸运的是,人工智能开发人员正在努力构建能够检测和打击Deepfake音频的解决方案。例如,Pindrop公司已经开发出一种人工智能算法,可以从DeepFake的音轨中辨别真实的语言。它是通过检查说话时单词的实际发音,以及这些发音是否与真实人类的说话模式相匹配,因为人类的声音无法像机器伪装那样标准和快速。

Pindrop还预测到,也许有一天音频安全服务会像数据安全服务一样有巨大的市场。该公司CEO表示:“会有一些公司建立检测这些安全漏洞的机制。如果网上出现了伪造的音频,那么这个机制就会开始保护你的声音数据。”

(Pindrop CEO Vijay Balasubramaniyan,图片来自网络)

除了Pindrop等小公司。硅谷科技巨头也积极的致力于寻找检测Deepfake音频的方案。例如,谷歌在去年年初与GNI合作,发布了一系列合成语音,其中包含由其深入学习的文本到语音(TTS)模型所说的数千个短语,来自英文报纸文章68种不同的合成语音,并涵盖了各种区域口音。该数据库提供给了2019 ASVspoof挑战的参与者使用,该竞赛旨在开发针对假语音的对策,特别是可以创建区分真实和计算机生成的语音的系统。

同时,DeepFake音频的潜在威胁也可能会改变用户的行为,使用户在向互联网上传声音时更加谨慎。Pindrop调查的诈骗案例中就有这样一位受害者,他几乎没有在任何社交平台上公开过自己的声音,仅仅是因为召集员工开会时的讲话被窃取,就成为了犯罪分子的目标。这样的案例不禁会让人联想:“既然这么谨慎的人都会存在被诈骗的风险,那么我们干脆就不要在公众平台上表露自己的任何生理特征,包括声音和长相。这实在太恐怖了!”

(图片来自网络)

不敢想象,如果我们的公众社交平台上面看不到任何超出文字以外的更生动的表达,那么几十年来的科技和信息发展不就白费了吗?这无疑是对多年来为人类科技文明进化做出贡献的科技工作者的侮辱。

参考链接:

https://www.pcmag.com/news/is-ai-enabled-voice-cloning-the-next-big-security-scam

Google releases synthetic speech database to help ‘deep fake’ audio detection research

https://www.washingtonpost.com/technology/2019/09/04/an-artificial-intelligence-first-voice-mimicking-software-reportedly-used-major-theft/

文章主要内容转自:硅谷洞察

VPN是安全网络的选择吗,全球大量黑客将VPN作为攻击入口

VPN在很多人眼里是翻墙的必备工具,在更专业的领域,VPN是安全通道,但它可未必安全!

自从冠状病毒(COVID-19)爆发以来,由于远程办公的必要需求,企业VPN使用量增加了33%,这也成为黑客发起攻击的一个突破口。据相关媒体报道,与韩国有联系的威胁组织利用零日漏洞攻击了某中国政府机构,该漏洞影响了境内VPN服务。数据显示,从3月开始,DarkHotel组织就已经锁定了许多中国机构。

据悉,攻击者利用深信服VPN服务中一个安全漏洞来传播后门恶意软件。对此,深信服表示,黑客利用VPN客户端更新过程中的漏洞,用后门取代了合法的更新,黑客大约攻击了200个VPN服务器并注入恶意软件。这些攻击主要针对的是中国的组织以及一些其他国家在中国设立的机构。事件发生后,深信服科技立刻发布了一则《关于境外非法组织利用深信服SSL VPN设备下发恶意文件并发起APT攻击活动的说明》,说明了境外APT组织通过深信服VPN设备漏洞拿到权限后,进一步利用SSL VPN设备Windows客户端升级模块签名验证机制的缺陷植入后门的APT攻击活动过程。

其实,在过去的2019年是许多企业VPN服务器,例如Pulse Secure、Palo Alto Networks、Fortinet、Cisco和Citrix等VPN服务器,被披露有严重安全漏洞的一年。

早在去年九月份,英国国家网络安全中心(NCSC)就发表报告称,他们正在研究有高级持久威胁(APT)参与者利用已知漏洞入侵供应商Pulse Secure、Fortinet、Palo Alto和Citrix的虚拟专用网VPN产品。当时该活动也被认为是由某国政府主导的,攻击是针对英国和国际组织发起的,受影响的部门包括政府,军事,学术,商业和医疗保健。事件发生后,这些VPN漏洞已在开放源代码中得到了充分记录,通过行业数据表明,数百名英国主机可能会受到攻击。 据悉,当时攻击影响了:

• Pulse Connect Secure VPN两个漏洞是CVE-2019-11510和CVE-2019-11539;

• Fortinet的Fortigate设备中的三个漏洞CVE-2018-13379,CVE-2018-13382和CVE-2018-13383; 

• Palo Alto的GlobalProtect门户和GlobalProtect网关接口产品CVE-2019-1579中的严重远程执行代码错误。

• Citrix“ ADC” VPN中披露的漏洞CVE-2019-19781

也是在去年九月份,SafeBreach Labs的研究人员在Forcepoint VPN客户端中发现了一处特权升级漏洞。受影响的产品为Forcepoint VPN Client for Windows软件的6.6.0及更低版。该漏洞不仅可用于提升攻击者的特权,还将允许攻击者长期访问受感染系统。据了解,该VPN程序的可执行程序的路径和命令行中的参数之间缺少引号字符串当黑客在C:\Program.exe和C: \Program Files(x86)\Forcepoint \ VPN.exe 中植入恶意程序时,该VPN程序将自动执行恶意程序,并将黑客权限提升至系统级。

2019年的四月份,美国政府网络安全和基础架构安全局(CISA)发出警报,由四个供应商Cisco, F5 Networks, Palo Alto Networks和 Pulse Secure 构建的VPN应用存在严重漏洞。通过该漏洞,攻击者可以通过访问身份验证或会话令牌,重播数据信息以欺骗用户的VPN会话,并以用户身份获得VPN访问权限对系统进行入侵。

同时,随着世界各地实行国家隔离,大多数用户被困在家里,越来越多的用户在家中浏览Internet时也会使用VPN应用程序绕过地理保护。这也就造成消费者级VPN的使用量也出现了快速激增,在这样的环境下黑客会花费更多的时间来研究对VPN的攻击。

对于预防黑客的VPN攻击,Ramakrishna与Gartner的技术研究人员一起建议政府和企业组织应该考虑向VPN 添加软件定义的外围安全系统(SDP),以便系统可以扩展其整体安全体系结构,以实现公司内部网络可以直接到应用程序的访问,以降低受到黑客攻击的可能性。

IoT安全之一|你的网络安全吗之路由器

 

随着IoT(物联网)的发展,我们已经不知不觉的享受到它的便利,这其中的核心设备就是路由器,尤其是在这个特殊的日子里,全世界都暴露在IoT的控制之下。

那么什么是IoT呢?

以下定义来自维基百科

物联网(英语:Internet of Things[1],缩写IoT),又称IoT技术,是互联网、传统电信网等的信息承载体,让所有能行使独立功能的普通物体实现互联互通的网络[2]。物联网一般为无线网,而由于每个人周围的设备可以达到一千至五千个,所以物联网可能要包含500兆至一千兆个物体。在物联网上,每个人都可以应用电子标签将真实的物体上网联结,在物联网上都可以查出它们的具体位置。通过物联网可以用中心计算机机器设备人员进行集中管理控制,也可以对家庭设备、汽车进行遥控,以及搜索位置、防止物品被盗等,类似自动化操控系统,同时透过收集这些小事物的数据,最后可以汇聚成大数据,包含重新设计道路以减少车祸、都市更新、灾害预测与犯罪防治、流行病控制等等社会的重大改变,实现物和物相联。

题外话:

很长时间以来,我一直在想,我所了解的知识很有限,但是很专业,而且很多知识是很少人知道的,作为少数派,本来就很难让你明白我所说的是什么?我又是一个能说善辩的我,当我用真心对待你,你却因为其它身为之物忽略的时候,我也选择忽略。

真心不会对我有什么损伤,只是时光白白流失了,我很难让一个陌生人,真正了解,我所提出的方案是经过多少心血才能够完成的,算了,言归正传

 

以下文章来源于物联网IoT安全 ,作者lmnn

该文章可以让我们了解路由器的一些基础知识,同时它不是安全的,注意:这里并没有讨论信号问题。

路由器漏洞分类

在过去的几年里,针对嵌入式设备的黑客攻击陆续进入人们的视线。2012年,黑客攻击了巴西的450万台DSL路由器,植入了恶意软件DNS Changer用以恶意劫持。2013年,安全网站也报道了一种针对嵌入式设备的新型蠕虫。此外,针对嵌入式设备攻击的黑客工具也逐步完善。

0x00 路由器密码破解漏洞

很多家用路由器都具有无线功能,开启Wi-Fi功能以后,电脑、手机等支持无线功能的设备可以通过密码认证的方式连接到路由器上网。据报告显示,99.2%的家用路由器用于给自己的路由器设置了Wi-Fi密码,没有设置密码的用户占比仅为0.8%。虽然大多数用户给路由器设置了密码,但他们仍有很多不良习惯。常见的Wi-Fi密码设置不良习惯包括:简单的数字组合;电话号码;生日等容易暴力破解或猜测的密码。

目前Wi-Fi最常见的加密认证方式有3中,分别是WPA、WPA2、WEP。当用户使用WPE一键加密功能时,攻击者最多只需实验11000次即可登录Wi-Fi。

密码被破解后,攻击者可以接入破解的网络上网,占用带宽,并可以继续进行路由器管理页面登录密码的破解,获取路由器最高管理权限等。

0x01 路由器web漏洞

家用路由器一般都带有web管理服务,使用者可以通过web管理界面进行路由器的管理和配置,如图所示:

SQL注入、命令执行、CSRF、XSS等针对web方面的攻击,不仅可以用在针对网站的攻击中,同样可以用在针对路由器的攻击中。

几乎所有的SOHO路由器都容易收到CSRF攻击。无线路由器有两个重要的密码:一个是Wi-Fi密码,主要是为了防止他人“蹭网”;另一个是路由器管理密码,主要是对路由器上网账号、Wi-Fi密码、DNS、联网设备进行管理设置。用户修改或重设路由器管理账号和密码的概率相当低,而CSRF漏洞正是利用这一点,通过认证绕过漏洞、弱密码、或者默认路由器管理密码登录,使攻击者可以像正常用户一样访问和修改路由器的任何设置。

控制路由器管理权限后,攻击者可以将用户访问正常网站的请求导向恶意站点、劫持用户流量、推送广告,甚至可以制作一个和被攻击网站一模一样的站点进行“钓鱼”,诱使用户输入支付密码,获取用户的网银账号、密码等信息。

0x02 路由器后门漏洞

根据CNCERT发布的《2013年我国互联网网络安全态势综述》显示,经CNVD分析验证,D-Link、Cisco、Linksys、Netgear、Tenda等多家厂商的路由器产品存在后门,黑客可由此直接控制路由器,进一步发起DNS劫持、窃取信息、网络钓鱼等攻击,直接威胁用户网上交易和数据存储的安全。

这里所谓的后门,并不是指黑客攻击路由器以后为了实现长久控制而留下的后门,而是指开发软件的程序员为了日后调试和检测方便,在软件中设置的一个超级管理权限。一般情况下,这个超级管理权限不容易被发现,而一旦被安全研究人员发现并公布,就意味着攻击者可以直接对路由器进行远程控制。

路由器是所有上网流量的管控设备,是网络的公共出口。路由器被黑客控制,意味着与网络有关的所有应用都可能被黑客控制。路由器带有后门,最主要的原因在于路由器厂商对安全问题重视不够。

0x03 路由器溢出漏洞

缓冲区溢出是一种高级攻击手段,也是一种常见且危险的漏洞,存在于各种操作系统和应用软件中。缓冲区溢出的利用攻击,常见表现为程序运行失败、系统假死、重新启动等。而更为严重的是,黑客可以利用它执行非授权指令,进而取得系统特权,从而进行各种非法操作。

路由器是一种嵌入式设备,可以看作一台小型计算机,在路由器上运行的程序会因为存在缓冲区溢出漏洞而遭到黑客攻击。黑客可以通过分析路由器系统及其允许的服务程序,进行大量的分析及模糊测试,发现缓冲区溢出漏洞,并利用其实现对路由器的远程控制。一旦得到路由器的控制权限,黑客可以修改路由器的任何配置信息,进行流量拦截和篡改,推送广告,甚至盗取用户重要信息等。

本文摘选自:《揭秘家用路由器0day漏洞挖掘技术》