上周五晚上,黑客进入 Mat Honan(马特·霍南)的苹果账户,利用他的Twitter账户,远程擦除在Mat Honan的iPhone、iPad和MacBook的数据,删除了他的谷歌帐户。然后在Mat Honan的微博里发布一连串讨厌的东西。Mat Honan是《Wired 》杂志的一个作家。曾在Gizmodo工作,他的Twitter账户仍与科技博客链接,大约15分钟,黑客在上面乱发一些东西。
为什么黑客能做到这些,因为黑客知道一些大部分人不知道的,如果你不能回答你的安全问题,苹果将会发给你一个新的密码,如果你能证明你是谁,你能说出你正在使用另一种形式的识别。重置你的密码是需要哪些证件?一个账单地址和你的信用卡号码的最后四位数字。
帐单地址都很容易在线找到,信用卡数字仅仅是稍微有点难找到。黑客都比特的数据Honan。他通过查找注册Honan的个人网站的时候,发现了账单地址。
他通过调用支撑线的另一个科技业巨头亚马逊就会得到信用卡号码。黑客已经要求亚马逊将他电子邮件地址放在Honan的账户,而亚马逊公司会按他的要求做。然后黑客在亚马逊网站发布了一个被遗忘的密码请求,这发出了一个链接到黑客的电子邮件,他就可以改变Honan的密码,就可以全面访问他的亚马逊帐户,包括能够看到Honan的信用卡的最后四位数字。
现在,黑客可以进入Honan账户,这让他得以删除所有连接到河南的iCloud概要(他的iPad、iPhone和Mac)。因为Honan设置了他的苹果账户作为他的谷歌帐户的交替地址,黑客只需在谷歌邮箱发出另一个忘记密码要求。
这是一个遗憾的故事,在苹果和亚马逊有很多失误。如果你仔细研究黑客,你会发现一些东西,可以吸取一定的经验。
这里有四种方法,用户和公司可以做的事情立即减少这些类型的攻击:
1、每个人都应该打开现在双重身份验证
进入大多数网上账户,你只需要挖掘数据就是通常密码(用户注册时,有许多服务包括电子邮件帐户、Twitter、Facebook成为你的公共处理,提供给每个人)。
曾经有一段时间,密码并不能满足我们。但现在我们都有很多在线账户保护如此多的有价值的信息,除了密码我们还需要一些东西。
幸运的是,这种东西确实存在。不幸的是,很少人使用它。这就是所谓的“双重身份验证”,当你进入一个安全系统帐户,需要两个凭证。第一个是你的密码,第二个是与你相关的东西:一个生物标记(比如说你的指纹)、电子钥匙标记或最容易记住的,一个手机,可以生成一个独特的代码。
去年,谷歌开始双重身份验证。这个系统工作得很好:在你打开它,在你的智能手机安装“认证”的应用程序。现在当你登录时你输入你的密码,生成的代码就会在你的手机(手机关机也能生成)。如果你没有一个智能手机,以短信的形式把代码发给你。Facebook在去年也增加了双重身份验证。
2、注册一个备份服务,现在就做,你还在等什么呢?
现在的时机是很完美的,尽管你听说,备份是容易和便宜。几年以前,在测试一种云备份服务,人们就开始用Mozy。从那时起,我就换了一个服务被称为CrashPlan,它是最便宜、最容易的方法来备份你的数据。
CrashPlan (有30天的免费试用)真的很棒,一个月只需付1.50美元就可以存储从一台计算机得到的10 GB的数据,一个月只需付3美元就可以存储从一台计算机得到的无限的数据,一个月只需付6美元就可以存储从10台计算机得到的无限的数据。
3、远程删除是不必要的,通过加密你的数据代替关掉“Find My Mac”
能够找到你丢失的设备听起来很棒。你付了很多钱在平板电脑、手机和笔记本电脑。如果它发生了什么,你就不想定位它吗?如果别人控制它,你难道就不想远程控制你的数据,删除它吗?
苹果公司想出一个更好的方法来防止别人擦拭你的数据(也许通过要求一个表单验证的远程删除手机上),你应该关掉Find My Mac。
原来有一个更好的安全系统比远程删除,这是称为全磁盘加密。它融入到Mac和一些版本的Windows。 整个磁盘加密工作的所有序出现在你的整个硬盘,通过输入一个密码是唯一的方式才获得数据(最好两种形式的身份验证要求)。加密之后会减缓一点电脑的速度,这根本没有影响。当你的电脑不见了,你可以确信你的数据是安全的,除非黑客知道你的密码,你的数据对他隐藏。
4、密码恢复是一个威胁,确保你的账户不和,算机在一起
你该怎么做呢?创建一个单一的、秘密、超安全的电子邮件地址。您指定的一个地方发送密码重置。你明白这是什么意思?我的意思是一个新的谷歌邮箱,人们热衷于betyoucantguessthis@gmail.com,一个非常强大的密码和双重身份验证打开。现在去你所有的其他帐户,让他们发送密码请求到这个秘密地址。重要的是你不要使用这个地址发送邮件,不要用它来注册时事通讯,不要让任何人知道它。只要这还是秘密,你的东西一定不会泄密。
本文由最科技方李鹃编译,转载请注明出处:http://www.zuitech.com/13708.html
你的苹果产品会被黑吗?
iPhone内置的安全防护在过去几年中已经有了很大的改善,这对于果粉们来说是件好事,然而,对于黑客们来说,更是件好事。
苹果很成功地使它的iPhone和iPad进入了财富500强的公司的手中,甚至许多政府机构,包括白宫和美国军事部都拥有苹果的产品。为了做成这些生意,苹果必须用最坚固的安全措施来更新它的iOS移动操作系统。但是那导致了一个意外的后果:许多苹果开发商不再在苹果产品中内置他们自己的防护设施,为了确保兼容性,他们就完全依赖于苹果自身的安全防护。
想想也知道,在iTune应用商店中,成千上万款应用都配备完全相同的安全防护设施,那么一个漏洞将会导致巨大的多米诺骨牌效应。
“现在安全对于许多苹果开发商来说是事后的想法。”viaForensics的高级刑事科学家(senior forensic scientist)Jonathan Zdziarski在星期四的黑帽网络安全会议(Black Hat cybersecurity conference)上说,“那意味着,如果你黑了一台苹果产品,你可以黑所有的苹果产品。”而苹果婉拒对此作出评论。
苹果今年第一次正式参加黑帽会议时以iOS的安全特性发表了讲话,但是这次枯燥的演讲只不过是在宣读苹果最近发布的白皮书。出席会议的苹果代表Dallas De Atley是苹果平台安全团队经理,他在演讲完后没有回答任何问题就马上从一个侧门逃了出来。而与此同时,相隔几个房间的一间办公室内,Zdziarski正在开一场研讨会,主题是“有关于iOS应用程序黑客技术的黑暗艺术”。事实上,Zdziarski所描述的场景虽然可怕,却也有牵强附会的嫌疑。
事实上,一个黑客要想黑你手机上的应用,他需要:
1.偷你的iPhone,这本身就是一件困难的事情。2.先于苹果发现iOS的弱点,事实证明,那也是很难的。不过这种情况以前也不是没发生过,最著名的一次是苹果的连环黑客Charlie Miller把流氓软件植入苹果戒备森严的iTunes应用商店里,而当他一公布自己的“成果”,苹果立马注销了他的开发者执照。但是这种情况毕竟是少数。
苹果应用被黑:眼皮底下的偷梁换柱
“这不是《小鸡总动员》(Chicken Little),也并没有天塌下来那么严重。”Zdziarski告诉CNNMoney说,“但是如果你不自己给应用装一个安全防护,你的手机极易被黑。”为了演示,Zdziarski现场证明了好几款非常流行的苹果应用在苹果防护之外没有另外加防护措施时的弱点。
比如说,在 PayPal中的一个插件,允许黑客在偷了手机后植入恶意代码,并且获得用户所有的登录信息,黑客几乎不需要20分钟就能把他做了手脚的手机还给机主,而这完全是可以避免的。
PayPal是eBay的一家子公司(eBay是财富五百强之一),它表明正在调查这件事情。“确保用户的安全是PayPal任务中的重中之重。”该公司在声明中说到,“在移动设备上用PayPal的一个很大的优点是用户的金融信息都储存在云中,而不是在她或他的设备中。因此,即使用户的设备被破坏,他们的金融信息也还是无法泄露的。”
苹果还有一个缺点就是任何时候用户返回他们之前登录过的应用时都不需要密码确认。在一个demo中,Zdziarski 修改了应用程序的代码并进入应用,出现了“用户已登录1”,这个“1”意味着这次是真实的,应用被“骗”了,它“误认为”用户之前已经合法登录了。
Zdziarski的最终目标并不是想专门唤起苹果、PayPal或其它公司的警觉,相反,他说,这只不过是为了警告开发商们对待iPhone应用的安全防护时别太懒。
本文由最科技曾靓晨编译,转载请注明出处:http://www.zuitech.com/12456.html|关注我们:腾讯微博@Zuitech
黑客并不都是与社会格格不入的,事实上,“黑客”一词原本是个褒义词,指的是那些对计算机网络知识有深入了解的人。直到后来传到好莱坞那里,就变成了“计算机犯罪专家”的代名词。而在这篇文章中,小编将带领大家跳回到黑客原本的定义,即“白帽黑客”,通俗点讲就是用黑客技术做好事的黑客们。你知道世界上最著名和最有影响力的五大白帽黑客吗?跟随小编一起来看一看吧。
Steve Wozniak
你听说过史蒂夫•乔布斯吗?Wozniak与前者在名字上很相似,同时他也是苹果公司的联合创始人。Wozniak不仅在公司创立上付出了巨大汗水,他也为后来苹果帝国的成功铺平了道路。
在苹果公司创立之前,Wozniak就开始创建一个名为“蓝匣子”的东西,它是一个可以绕过传统电话交换机机制,以便能拨打免费长途电话的装置,由此Wozniak展开了他的计算机生涯。Wozniak和乔布斯一起开发研究这些装置,并最终出售给了他们的大学同学。从那时开始,他们有了更好的想法并想取得更大的进步。
辍学之后,Wozniak发明了一台计算机,也就是苹果的第一代PC机,正如Wozniak和乔布斯所说的,这是个历史性的标志。后来,Wozniak在2000年9月入选全国发明家名人堂。
Linus Torvalds
Linus Torvalds是Linux的创造者,Linux在过去十年里不断发展,越来越受到人们的欢迎,有望成为代替Windows 和 Mac的操作系统。
Torvalds还是个孩子的时候,就开始了他的黑客行为。在1991年,他创建的lLinux内核的第一个版本采用Minix的文件操作系统。后来,许多年过去了,Linux开始风靡全球。
虽然他不是开源软件的第一倡导者,但是Linux的蔓延,必将有助于开源社区的发展。他已在计算机领域产生了重要影响。
Tim Berners-Lee
他是万维网的创造者。我们都通过浏览互联网来访问特定的文件、文件夹和网站。当他还是牛津大学的学生时,他使用焊烙铁、晶体管、一块Motorola 6800微处理器和一台旧电视机制作了一台计算机。后来,他在欧洲粒子物理研究所工作,开发出了一个内部系统,使研究人员得以共享和快速更新信息,并最终发展成为了万维网上的超文本协议。
Julian Assange
他是一位计算机程序员和维基解密网站的创始人。该网站是一个告密团体,主要是揭露有关政府部门涉嫌非法或不正当活动的人。维基解密在2006年首次推出。
16岁那年,Assange以Mendax为代号,开始了他的黑客行为。他的原则是不损害系统、不改变系统中的信息并且尽可能的共享信息,这在后来也成为了维基解密网站运行的理念。他使政府工作更加透明化,加大了公众的监督力度。
Tsutomu Shimomura
他的名气应该追溯到米特尼克事件,他被黑客米特尼克攻击,为了反击他,Shimomura决定帮助联邦调查局捕获他。他利用自己掌握的技术追踪到了米特尼克的公寓,于是米特尼克很快被捕获。后来这一事件被改编成电影,Shimomura也因此名声大噪。