本文目录一览:
WiFi安全漏洞严重吗?
美国时间10月16日,一家安全研究机构发表的报告指出,用于保护Wi-Fi网络安全的防护机制WPA2出现漏洞,黑客可以利用这一漏洞监听到任何联网设备的通讯内容。谷歌的安卓、苹果的iOS和微软的Windows等操作系统均可能受到影响。
比利时鲁汶大学Mathy Vanhoef解释称,WPA2是用于保护现代Wi-Fi网络的安全协议,而黑客已经找到一种操纵该安全协议背后加密要素的途径。
报告称,Wi-Fi安全漏洞源于安全标准本身,而非个体设备问题,但它会影响连接到Wi-Fi网络的设备。
Vanhoef称,谷歌公司的安卓系统、苹果公司的iOS系统以及微软的Windows操作系统都有可能受到影响。原理是什么
前述的WPA2协议使用所谓的“四路握手”。“握手”的初始动作发生在用户输入正确的密码访问Wi-Fi网络时,第二个动作发生在用来加密后续流量的新加密密钥生成之时。
黑客能够通过所谓的“重新安装攻击”(简称KRACK)方法,来操纵这一过程。
研究人员写道:“这是通过操纵和重播加密握手信息来实现的。”但研究报告也指出,攻击者与受害者之间的距离需要在一定范围内才能实现这种攻击。
谁可能受影响
理论上说,任何连接到Wi-Fi网络的设备都可能受到影响。但研究人员指出,这个安全漏洞对一个特定版本的Linux而言是“灾难性的”,对于运行Android 6.0及更高版本的设备来说,也是“极具破坏性”的。根据谷歌的数据,有一半的安卓设备正在运行此版本。
报道称,大型企业受此次漏洞的影响或将大于普通消费者。
Vanhoef表示,他不确定这个漏洞目前是否正在被黑客使用。
受到影响产品的销售商早在今年7月14日左右就已经接到通知。Vanhoef随后又向美国计算机应急准备小组(CERT)报告了这一漏洞,后者于8月28日向设备供应商发出通知。
该如何应对
Vanhoef表示,目前不需要修改Wi-Fi密码,而是要确保对所有的终端设备和路由器的固件都进行更新。
他还表示,人们应该继续使用WPA2协议。
美国国土安全部计算机应急响应小组建议,在受影响的产品(如由Cisco Systems或瞻博网络提供的路由器)上安装供应商提供的更新。
微软回复科技网站The Verge称,它已经发布了一个解决该问题的安全更新程序, 谷歌发言人在推特上称,2017年11月6日或之后的安全补丁程序级别的安卓设备受到保护。苹果公司确认它已经有了修复方法,目前处于测试状态,软件即将推出。
在使用wifi时要更注意安全,使用安全的wifi。
安卓秘密收集用户信息给谷歌是真的吗?
安装了安卓系统的智能手机,会利用无线通讯基站的定位功能,秘密收集用户的位置数据并发送给谷歌公司。
安卓系统由谷歌公司研发,是世界上使用最为广泛的智能手机操作系统。
11月21日,美国网站Quartz发布文章称,自2017年初起,只要你的安卓手机使用上网功能,系统就会收集周边无线通讯基站的地址,并将基站位置的加密数据发送给谷歌公司。通过这种方法,即使是在定位功能没有打开的情况下,不使用任何智能手机APP,甚至不装SIM卡也无法避免自己的个人位置信息泄露。
谷歌当天给科技网站The Verge的声明中对此进行了确认。谷歌发言人称,现行所有安卓手机使用的网络同步系统,都需要手机的国家代码和移动通讯网络代码,所以无线信号基站的“蜂窝ID”信息,被认为是一项“改进信息推送速度和表现的辅助数据”。
谷歌还表示,公司截至今年11月底就会停止收集这种基站数据。
无线通信基站,又叫蜂窝站,是用于移动电话使用的蜂窝网络。利用基站定位特定手机虽然不如GPS精确,但可以得到该基站信号覆盖的区域范围。如果一部手机位于多个基站信号的覆盖范围之内,就能获得相对准确的位置信息。在美国,绝大多数蜂窝电话都支持这一定位功能,拨打紧急电话时会使用到手机的位置数据,这被当地称为“增强型911”。
The Verge报道中称,信号基站的数据一般由通信服务运营商掌握,只在特殊情况下才与外界分享。谷歌公司今年通过获取基站数据了解普通用户的位置的做法,对用户的个人信息安全是一个重大的隐患,也为黑客入侵获取个人信息创造了更大的可能。
区块链安全问题应该怎么解决?
区块链项目(尤其是公有链)的一个特点是开源。通过开放源代码,来提高项目的可信性,也使更多的人可以参与进来。但源代码的开放也使得攻击者对于区块链系统的攻击变得更加容易。近两年就发生多起黑客攻击事件,近日就有匿名币Verge(XVG)再次遭到攻击,攻击者锁定了XVG代码中的某个漏洞,该漏洞允许恶意矿工在区块上添加虚假的时间戳,随后快速挖出新块,短短的几个小时内谋取了近价值175万美元的数字货币。虽然随后攻击就被成功制止,然而没人能够保证未来攻击者是否会再次出击。
当然,区块链开发者们也可以采取一些措施
一是使用专业的代码审计服务,
二是了解安全编码规范,防患于未然。
密码算法的安全性
随着量子计算机的发展将会给现在使用的密码体系带来重大的安全威胁。区块链主要依赖椭圆曲线公钥加密算法生成数字签名来安全地交易,目前最常用的ECDSA、RSA、DSA 等在理论上都不能承受量子攻击,将会存在较大的风险,越来越多的研究人员开始关注能够抵抗量子攻击的密码算法。
当然,除了改变算法,还有一个方法可以提升一定的安全性:
参考比特币对于公钥地址的处理方式,降低公钥泄露所带来的潜在的风险。作为用户,尤其是比特币用户,每次交易后的余额都采用新的地址进行存储,确保有比特币资金存储的地址的公钥不外泄。
共识机制的安全性
当前的共识机制有工作量证明(Proof of Work,PoW)、权益证明(Proof of Stake,PoS)、授权权益证明(Delegated Proof of Stake,DPoS)、实用拜占庭容错(Practical Byzantine Fault Tolerance,PBFT)等。
PoW 面临51%攻击问题。由于PoW 依赖于算力,当攻击者具备算力优势时,找到新的区块的概率将会大于其他节点,这时其具备了撤销已经发生的交易的能力。需要说明的是,即便在这种情况下,攻击者也只能修改自己的交易而不能修改其他用户的交易(攻击者没有其他用户的私钥)。
在PoS 中,攻击者在持有超过51%的Token 量时才能够攻击成功,这相对于PoW 中的51%算力来说,更加困难。
在PBFT 中,恶意节点小于总节点的1/3 时系统是安全的。总的来说,任何共识机制都有其成立的条件,作为攻击者,还需要考虑的是,一旦攻击成功,将会造成该系统的价值归零,这时攻击者除了破坏之外,并没有得到其他有价值的回报。
对于区块链项目的设计者而言,应该了解清楚各个共识机制的优劣,从而选择出合适的共识机制或者根据场景需要,设计新的共识机制。
智能合约的安全性
智能合约具备运行成本低、人为干预风险小等优势,但如果智能合约的设计存在问题,将有可能带来较大的损失。2016 年6 月,以太坊最大众筹项目The DAO 被攻击,黑客获得超过350 万个以太币,后来导致以太坊分叉为ETH 和ETC。
对此提出的措施有两个方面:
一是对智能合约进行安全审计,
二是遵循智能合约安全开发原则。
智能合约的安全开发原则有:对可能的错误有所准备,确保代码能够正确的处理出现的bug 和漏洞;谨慎发布智能合约,做好功能测试与安全测试,充分考虑边界;保持智能合约的简洁;关注区块链威胁情报,并及时检查更新;清楚区块链的特性,如谨慎调用外部合约等。
数字钱包的安全性
数字钱包主要存在三方面的安全隐患:第一,设计缺陷。2014 年底,某签报因一个严重的随机数问题(R 值重复)造成用户丢失数百枚数字资产。第二,数字钱包中包含恶意代码。第三,电脑、手机丢失或损坏导致的丢失资产。
应对措施主要有四个方面:
一是确保私钥的随机性;
二是在软件安装前进行散列值校验,确保数字钱包软件没有被篡改过;
三是使用冷钱包;
四是对私钥进行备份。