A. 手機病毒是誰發明的,作死的節奏
歷史上最早的手機病毒出現在 2000年,當時,手機公司Movistar收到大量由計算機發出的名為「Timofonica」的騷擾簡訊,該病毒通過西班牙電信公司 「Telefonica」的移動系統向系統內的用戶發送臟話等垃圾簡訊。事實上,該病毒最多隻能被算作簡訊炸彈。真正意義上的手機病毒直到2004年6月才出現,那就是「Cabir」蠕蟲病毒,這種病毒通過諾基亞s60系列手機復制,然後不斷尋找安裝了藍牙的手機。之後,手機病毒開始泛濫。手機病毒,受到PC病毒的啟發與影響,也有所謂混合式攻擊的手法出現。據IT安全廠商McAfee一個調查報告,在2006年全球手機用戶遭受過手機病毒襲擊的人數已達到83%左右,較2003年上升了5倍。
B. 英特爾晶元曝高危漏洞情形如何
1月4日,國外安全研究機構公布了兩組CPU漏洞:Meltdown(熔斷)和Spectre(幽靈)。
雖然目前全球還沒有發現利用漏洞進行的真實攻擊,但理論上,這次曝出的漏洞讓所有能訪問虛擬內存的CPU都可能被人惡意訪問,理應受保護的密碼、應用程序密匙等重要信息因此面臨風險。
從目前了解情況來看,1995年以來大部分量產的處理器均有可能受上述漏洞的影響,且涉及大部分通用操作系統。雖然是英特爾為主,但ARM、AMD等大部分主流處理器晶元也受到漏洞影響。相應的,採用這些晶元的Windows、Linux、macOS、Android等主流操作系統和電腦、平板電腦、手機、雲伺服器等終端設備都受上述漏洞的影響。
糟糕的是,英特爾公司本身無法採用固件升級的方式解決這一漏洞,導致微軟、蘋果等操作系統開發商各自尋求修補方法。
1月4日,中國國家信息安全漏洞共享平台(China National Vulnerability Database)收錄了這兩個漏洞,並對該漏洞的綜合評級為「高危」。
隨後各地網路安全部門發出安全提醒。1月5日,上海市網信辦向本市各關鍵信息基礎設施主管和運營單位發出預警通報,要求各單位啟動網路安全應急預案,並採取應對措施。
網路安全專家表示,雖然漏洞影響范圍廣泛,並引起全球關注,但受影響最大的主要是雲服務廠商,對於普通用戶來說,大可不必過於恐慌。
Q:漏洞是如何展開攻擊的?
通常情況下,正常程序無法讀取其他程序存儲的數據,但惡意程序可以利用Meltdown和Spectre來獲取存儲在其他運行程序內存中的私密信息。
具體而言,據騰訊電腦管家安全團隊的專家向澎湃新聞記者介紹:利用Meltdown漏洞,低許可權用戶可以訪問內核的內容,獲取本地操作系統底層的信息;當用戶通過瀏覽器訪問了包含Spectre惡意利用程序的網站時,用戶的如賬號、密碼、郵箱等個人隱私信息可能會被泄漏;在雲服務場景中,利用Spectre可以突破用戶間的隔離,竊取其他用戶的數據。
目前漏洞的驗證代碼(PoC)已經公布,技術細節在此不作贅述。騰訊安全團隊經過實際驗證,漏洞可在Windows、Linux、Mac OS等操作系統下,成功讀取任意指定內存地址的內容。
Q:漏洞的原理是什麼?
這兩組漏洞來源於晶元廠商為了提高CPU性能而引入的新特性。
現代CPU為了提高處理性能,會採用亂序執行(Out-of-Order Execution)和預測執行(Speculative Prediction)。亂序執行是指CPU並不是嚴格按照指令的順序串列執行,而是根據相關性對指令進行分組並行執行,最後匯總處理各組指令執行的結果。預測執行是CPU根據當前掌握的信息預測某個條件判斷的結果,然後選擇對應的分支提前執行。
亂序執行和預測執行在遇到異常或發現分支預測錯誤時,CPU會丟棄之前執行的結果,將 CPU的狀態恢復到亂序執行或預測執行前的正確狀態,然後選擇對應正確的指令繼續執行。這種異常處理機制保證了程序能夠正確的執行,但是問題在於,CPU恢復狀態時並不會恢復CPU緩存的內容,而這兩組漏洞正是利用了這一設計上的缺陷進行測信道攻擊。
Q:驚天漏洞為何隱藏這么久?
該漏洞至少2016年年初就已經被安全研究人員發現,但英特爾直到今年年初才最終承認這一漏洞。華爾街日報援引安全專家的話直指,英特爾在事件的披露方面做得亂七八糟。
2016年8月,在美國拉斯維加斯的Black Hat網路安全大會上,兩位研究者安德斯·福格(Anders Fogh)和丹尼爾·格拉斯(Daniel Gruss)演示了漏洞的早期跡象。福格在去年7月還就此發表博文,鼓勵其他的研究者去展開調查。
與此同時,谷歌內部的安全研究團隊Project Zero的雅恩·霍恩(Jann Horn)早已揭開該問題,並通知了英特爾。最終,來自全球各地的三個其他的研究團隊就同樣的問題聯系英特爾,英特爾接著與他們一道交流和撰寫論文。
英特爾建議關注後續的晶元組更新、主板BIOS更新;針對Meltdown漏洞,Linux已經發布了KAISER;macOS從10.13.2予以了修復;谷歌稱已經修復;Win10 Insider去年底修復;Win10秋季創意者更新發布了KB4056892,將強制自動安裝;亞馬遜AWS隨後也公布了指導方案;對於難度更高的Spectre漏洞,各廠商目前也仍在攻堅中。
針對該漏洞,上海市網信辦採取了應急處置措施。一是密切跟蹤該漏洞的最新情況,及時評估漏洞對本單位系統的影響。二是對晶元廠商、操作系統廠商和安全廠商等發布的補丁及時跟蹤測試,在做好全面審慎的評估工作基礎上,制定修復工作計劃,及時安裝。三是進一步加強關鍵信息基礎設施網路安全防護工作,加強網路安全防護和威脅情報收集工作,發生網路安全事件及時向市網信辦報告。
Q:普通用戶如何防範漏洞?
目前,網民可以通過以下安全策略進行防護:
1、升級最新的操作系統和虛擬化軟體補丁:目前微軟、Linux、MacOSX、XEN等都推出了對應的系統補丁,升級後可以阻止這些漏洞被利用;
2、升級最新的瀏覽器補丁:目前微軟IE、Edge和Firefox都推出了瀏覽器補丁,升級後可以阻止這些漏洞被利用;
3、等待或要求你的雲服務商及時更新虛擬化系統補丁;
4、安裝安全軟體。
騰訊安全專家表示,漏洞可造成的主要危害在於用瀏覽器訪問了一個帶有漏洞利用代碼的網頁,導致敏感信息(賬號密碼等)泄露。只要養成良好的上網習慣,不輕易點擊陌生人發來的鏈接,基本不會受到漏洞影響。同時,瀏覽器針對漏洞發布的補丁和緩解措施簡單有效,而且不會造成性能下降或兼容性問題,用戶可以選擇將瀏覽器升級到最新版本,從而避免受到漏洞攻擊。
Q:「打補丁將導致CPU性能損耗30%」的說法是真的嗎?
修復程序本身的確存在諸多問題。
騰訊安全專家介紹,以Windows 10為例,微軟於北京時間1月4日凌晨緊急發布了1月份系統安全更新,但補丁存在明顯的性能和兼容性的問題:一方面,更新可能會讓受影響的系統性能下滑30%。另一方面,更新可能會導致部分軟體(安全軟體等)不兼容從而致使系統藍屏。
不過根據騰訊安全團隊的實際測試,性能問題對於普通用戶來說,影響並不大:只有在極端的測試下,才會出現明顯的性能問題;而正常的使用過程中一般不會出現。
360鄭文彬也表示,這種說法比較片面,30%的性能損失是在比較極端的專門測試情況下出現的。通常的用戶使用情況下,尤其在用戶的電腦硬體較新的情況下(例如絕大部分在售的Mac電腦和筆記本、32位X86操作系統),這些補丁的性能損失對用戶來說是幾乎可以忽略不計。接下來包括微軟、Intel在內的廠商還會進一步推出針對性的補丁,進一步降低補丁對性能的損耗。
但是騰訊安全團隊提醒,兼容性問題確實比較嚴重:在有安全軟體,以及一些游戲的電腦上,安裝補丁比較容易出現藍屏現象。這也使得眾多安全廠商採取了比較保守的策略,暫時不主動推送微軟的補丁,避免造成用戶電腦無法正常使用。
C. 勒索蠕蟲病毒的最新數據以及你不知道的幾個事實是什麼
5月15日,在眾所矚目的周一,在此次大規模勒索蠕蟲爆發事件中,響應很快的360公司在下午2點40分左右召開了勒索蠕蟲最新情況通報會,並接受了包括宅客頻道在內的多家媒體采訪。
其他重要數據和信息
1.歐洲今日災情可能更嚴重。
相比於國內的災情延緩,中新網5月15日指出,據外媒報道,歐洲刑警組織指出,至歐洲時間14日早上,多達150個國家的20萬台電腦遭「想哭」勒索病毒侵害。預料,到15日,人們回返公司上班,這一數字還會進一步增加。
2.變種樣本分析情況已出。
5月15日上午,綠盟科技給宅客頻道發送了一份最新改勒索蠕蟲最新樣本分析報告,該報告指出:
5月14日,卡巴斯基的研究人員宣稱他們發現了WannaCry的變種樣本,此變種沒有包含域名開關,同時修改了樣本執行過程中的某個跳轉,取消了開關域名的退出機制,無論開關域名是否可以訪問,都會執行後續惡意操作。我們對此次的變種事件高度關注,以最快速度拿到樣本並進行了分析。
通過初步的分析和與初代WannaCry樣本的對比分析,綠盟科技認為目前搜集到的兩個變種,應該都是在原有蠕蟲樣本上直接進行二進制修改而成的,不是基於源代碼編譯的。不排除有人同樣利用這種方式生成其他變種,以造成更大破壞。
從防護方面來看,變種樣本仍然利用了MS17-010漏洞和DOUBLEPLUSAR後門進行傳播,沒有新的傳播方式。
3.金山安全、騰訊等廠家在5月15日相繼也推出了針對該勒索蠕蟲的文件恢復工具。