斯諾登不是耶穌，但是同樣以自己承受苦難換來世人的覺醒。

[[93245]]

斯諾登的圣誕祝詞

如果它(政府)真的想要知道我們的感受，詢問我們總是比監(jiān)控我們花費(fèi)少。

12月25日，英國(guó)“第四頻道”電視臺(tái)播放了斯諾登對(duì)全人類的一段圣誕祝詞視頻。與其說是祝詞，不如說是對(duì)全人類的警示和對(duì)某些群體的勸誡。1分43秒的視頻，他向我們描繪了一個(gè)異?？植赖奈磥恚?ldquo;今天的孩子長(zhǎng)大后，將無法知曉隱私為何物。他們將完全不知道擁有自己的隱私時(shí)刻是什么意思。” (A child born today will grow up with no conception of privacy at all. They’ll never know what it means to have a private moment to themselves)

[[93246]]

他提到，我們的一舉一動(dòng)都在接受監(jiān)視，口袋中的手機(jī)，就是一個(gè)追蹤我們動(dòng)向的傳感器(sensor)。這可能多少有些夸張，但是在斯諾登掌握的機(jī)密檔案公之于眾之前，我們?cè)趺茨苤滥菑垷o形的大網(wǎng)到底是何等的嚴(yán)密?也許，我們永遠(yuǎn)也不會(huì)知道。

有意思的是，在BBC播放斯諾登祝詞前，英國(guó)女王發(fā)表了圣誕祝詞，也提到了個(gè)人私有空間的重要性：很多人覺得安靜的個(gè)人反思可以獲得令人驚訝的回報(bào)，甚至發(fā)現(xiàn)了他們生活中更深層次的精神內(nèi)涵(Many have found the practice of quiet personal reflection surprisingly rewarding, even discovering greater spiritual depth to their lives)。

圣誕節(jié)是耶穌的生日。斯諾登不是基督耶穌，但是同樣以自己承受苦難換來世人的覺醒。他無法把死去的人喚醒，或讓兇惡的人放下屠刀，這絲毫不妨礙他成為一個(gè)無私和偉大的人。在斯諾登祝福全人類的時(shí)候，讓我們也一起祝福他：一切平安。

[[93247]]

下面是斯諾登在Channel 4的祝詞全文：

Hi, and merry Christmas.

大家好，圣誕快樂。

I’m honored to have a chance to speak with you and your family this year.

很榮幸今年能有機(jī)會(huì)向你們和你們的家人發(fā)出祝福。

Recently we learned that our governments, working in concert, have created a system of worldwide mass surveillance, watching everything we do. Great Britain’s George Orwell warned us of the danger of this kind of information. The types of collection in the book—microphones and video cameras, TVs that watch us—are nothing compared to what we have available today. We have sensors in our pockets that track us everywhere we go.

我們最近發(fā)現(xiàn)，我們的政府共同創(chuàng)建了一套覆蓋全球的龐大監(jiān)視系統(tǒng)，監(jiān)視著我們的一舉一動(dòng)。英國(guó)的喬治•奧威爾曾經(jīng)警告過我們這類信息的危險(xiǎn)性。他在書中提到的監(jiān)視行為主要是通過麥克風(fēng)、攝像頭、電視機(jī)來實(shí)現(xiàn)的，這與我們當(dāng)今的監(jiān)視手段完全不可同日而語。我們的口袋里現(xiàn)在都已經(jīng)有了傳感器，可以追蹤我們的所有動(dòng)向。

Think about what this means for the privacy of the average person. A child born today will grow up with no conception of privacy at all. They’ll never know what it means to have a private moment to themselves, an unrecorded, unanalyzed thought.

想一想，這對(duì)普通人的隱私意味著什么?，F(xiàn)代監(jiān)控遠(yuǎn)比奧威爾想象的更有入侵性。今天的孩子長(zhǎng)大后，將無法知曉隱私為何物。他們將完全不知道擁有自己的隱私時(shí)刻是什么意思，這意味著一個(gè)未被記錄、未被分析的想法。

And that’s a problem because privacy matters. Privacy is what allows us to determine who we are, and who we want to be.

這很成問題，因?yàn)殡[私很重要。正是隱私讓我們決定了自己是誰，以及想成為什么樣的人。

The conversation occurring today will determine the amount of trust we can place both in the technology that surrounds us, and the government that regulates it.

今天發(fā)生的對(duì)話將決定我們可以對(duì)周圍的各種技術(shù)，以及負(fù)責(zé)監(jiān)督它的政府給予多少信任。

Together, we can find a better balance, end mass surveillance, and remind the government that if it really wants to know how we feel, asking is always cheaper than spying.

團(tuán)結(jié)起來，我們可以找到更好的平衡，終結(jié)政府監(jiān)控，并提醒政府，如果它真的想要知道我們的感受，詢問我們總是比監(jiān)控我們花費(fèi)少。

For everyone out there listening, thank you and merry Christmas.

感謝所有聽眾，圣誕快樂。

美國(guó)零售業(yè)歷史上第二大用戶數(shù)據(jù)被盜案

4000萬Target卡用戶信息被盜，對(duì)于Target公司信用來說是一個(gè)沉重的打擊，同時(shí)帶給華爾街銀行業(yè)的則是一個(gè)巨大的陰霾。

[[93248]]

在上周發(fā)生的Target公司4000萬卡用戶信息被盜，其規(guī)模是美國(guó)零售業(yè)歷史上第二大的用戶數(shù)據(jù)被盜案。案件發(fā)生后，零售商Target強(qiáng)調(diào)雖然丟失了4千萬卡信息，但是PINs(personal identification numbers)一個(gè)也沒有丟，因此將不會(huì)造成事實(shí)上的個(gè)人財(cái)務(wù)損失。

不想，首先對(duì)Target上述說法報(bào)以懷疑態(tài)度的竟是美國(guó)第一大銀行——摩根大通(JPMorgan Chase & Co.)。大通銀行某執(zhí)行層高管認(rèn)為，在沒有得到明確的調(diào)查結(jié)果之前，他們很擔(dān)心攻擊者可以通過破解PIN密碼進(jìn)行銀行賬戶轉(zhuǎn)賬。

于是，摩根大通在事件發(fā)生后，在上周六宣布降低客戶借記卡的提現(xiàn)和支付額度：每日ATM只能提現(xiàn)100美金，購(gòu)物消費(fèi)500美金。雖然，摩根大通的反應(yīng)有點(diǎn)過于敏感和強(qiáng)烈(在本周一大通銀行又稍稍提升了額度)，但是足以體現(xiàn)摩根大通等銀行對(duì)PIN碼可能丟失的疑慮。

有意思的是，到現(xiàn)在都沒有人知道Target 4000萬用戶信息是怎么丟的?當(dāng)然，不排除Target公司存在難言之隱，畢竟是美國(guó)第三大零售商，損失4000萬美金都沒大礙，品牌和信譽(yù)可是花多少錢都買不來的。

除了銀行業(yè)的反應(yīng)，事件也引發(fā)了安全界對(duì)Target用戶信息失竊案的猜測(cè)。明尼蘇達(dá)大學(xué)安全技術(shù)專家認(rèn)為，此次事件實(shí)質(zhì)上是在用20世紀(jì)的觀念來防范21世紀(jì)的威脅。我們知道，Target信用卡采用磁條存儲(chǔ)用戶信息，很容易被拷貝。如果采用數(shù)字芯片，則難以復(fù)制。此外，也有專家認(rèn)為問題出在POS系統(tǒng)上，游離在防護(hù)體系之外的POS機(jī)成為最薄弱的環(huán)節(jié)。也有觀點(diǎn)認(rèn)為銀行系統(tǒng)的安全機(jī)制太過時(shí)，需要與時(shí)俱進(jìn)適應(yīng)攻擊的變化，對(duì)類似大量用戶信息讀取的異常行為設(shè)置告警，以及將數(shù)據(jù)碎片化并加密。還有觀點(diǎn)認(rèn)為，Target事件恰恰證明了該公司沒有做好PCI DSS的合規(guī)工作。

到底哪方觀點(diǎn)正確，現(xiàn)在還很難說。個(gè)人認(rèn)為，大家說的都是正確的。安全防護(hù)本來就應(yīng)該是點(diǎn)面結(jié)合，縱深防御。任何一個(gè)細(xì)節(jié)存在脆弱性，都可能成為黑客突破的點(diǎn)。沒有百分之百的安全，但是在設(shè)計(jì)安全防護(hù)體系的時(shí)候，需要考慮到盡可能多的可能性，然后基于自己的實(shí)際情況進(jìn)行細(xì)致的規(guī)劃，采取最適合的防護(hù)部署。

令人刮目相看的CryptoLocker

不用root權(quán)限，一樣讓你完蛋。

[[93249]]

在之前的回顧中，我們?cè)?jīng)提到了以2048位非對(duì)稱加密方式加密文件的勒索軟件——CryptoLocker。從營(yíng)收角度上講，CryptoLocker勒索軟件獲得了令人矚目的財(cái)務(wù)成功。據(jù)稱，CryptoLocker在100天內(nèi)成功敲詐了3千萬美金，平均每天入賬30萬美金，每個(gè)敲詐對(duì)象300美金。當(dāng)然，盜亦有道，敲詐者倒是信守承諾，但凡付了錢的，均歸還了數(shù)據(jù)的訪問權(quán)。

CryptoLocker在一定程度上影響了傳統(tǒng)的安全理念。傳統(tǒng)安全理念認(rèn)為，提權(quán)是至關(guān)重要的，拿不到root，很多事情就辦不到。但是CryptoLocker給予安全人員的警示在于——不用root權(quán)限，一樣讓你完蛋。

安全研究人員預(yù)測(cè)，在2014年，CryptoLocker威脅將向移動(dòng)終端擴(kuò)展。只有不到一半的移動(dòng)終端安裝了防護(hù)軟件。拋開CryptoLocker這一個(gè)例，從來自諸多研究機(jī)構(gòu)的預(yù)測(cè)來看，移動(dòng)終端安全的黑白市場(chǎng)均將在2014年取得爆發(fā)式增長(zhǎng)。

其他

悲催的“Destroy Obama Care” 工具。這款專門為攻擊奧巴馬醫(yī)保網(wǎng)站開發(fā)的DDoS工具工作機(jī)制簡(jiǎn)單，由于指定了攻擊對(duì)象(奧巴馬醫(yī)保網(wǎng)站)，工具會(huì)持續(xù)和輪流打開網(wǎng)站上的各個(gè)網(wǎng)頁。技術(shù)點(diǎn)講，就是不斷地向不同的網(wǎng)頁發(fā)送http get請(qǐng)求。在一臺(tái)計(jì)算機(jī)上可以運(yùn)行多個(gè)工具進(jìn)程。但是，該工具并沒有得到廣泛應(yīng)用，因此也沒有對(duì)醫(yī)保網(wǎng)站造成太大影響。

Mariposa作者進(jìn)監(jiān)獄。感染190個(gè)國(guó)家1300萬臺(tái)計(jì)算機(jī)并造成嚴(yán)重金融機(jī)構(gòu)損失的全球最大的僵尸網(wǎng)絡(luò)之一——Mariposa作者，27歲的Skorjanc在斯洛文尼亞被宣判。Sk在2010年被捕，此次宣判為58個(gè)月牢獄，4000歐元罰款和沒收包括車房在內(nèi)的個(gè)人資產(chǎn)。Mariposa可以感染W(wǎng)indow和Linux系統(tǒng)，通過IM、P2P和USB傳播，Bot和CC之間采用VPN通信，很難發(fā)現(xiàn)。

支持阿薩德和反對(duì)阿薩德勢(shì)力間的網(wǎng)絡(luò)戰(zhàn)升級(jí)。研究報(bào)告顯示，支持阿薩德的黑客向反對(duì)派人士發(fā)起電子郵件進(jìn)攻。郵件帶有抗議阿薩德政府暴行的標(biāo)題和文字內(nèi)容。郵件標(biāo)題為：“恐怖視頻-邪惡的阿薩德軍隊(duì)”，同時(shí)還有一段文字：“爆料!非常非常非常嚴(yán)重的畫面!看看發(fā)生了什么針對(duì)民眾的事件和民眾說了什么”。文字附有一個(gè)視頻的鏈接。當(dāng)接收者點(diǎn)擊鏈接觀看視頻時(shí)，將同時(shí)運(yùn)行一段惡意代碼。惡意代碼可以記錄鍵盤輸入以及進(jìn)行截屏操作。

參考

1、Edward Snowden'sChristmas message: a child born today will have no conception of privacy，http://www.pcworld.com/article/2083060/edward-snowdens-christmas-message-a-child-born-today-will-have-no-conception-of-privacy.html

2、斯諾登圣誕賀詞全文，http://news.hexun.com/2013-12-26/160912602.html

3、Experts warn of persistent cyberthreat，http://www.kare11.com/story/news/2013/12/22/experts-warn-of-persistent-cyber-threat/4172771/

4、Target Breach Should Spur POSSecurity, PCI 3.0 Awareness，http://www.darkreading.com/risk/target-breach-should-spur-pos-security-p/240164960

5、Exclusive: Target hackers stoleencrypted bank PINs – source，http://www.reuters.com/article/2013/12/25/us-target-databreach-idUSBRE9BN0L220131225

6、Why 2013 was the year of the personaldata breach，http://www.pcworld.com/article/2082961/why-2013-was-the-year-of-the-personal-data-breach.html

7、Hackers Threaten Destruction OfObamacare Website，http://www.informationweek.com/security/vulnerabilities-and-threats/hackers-threaten-destruction-of-obamacare-website/d/d-id/1112207?piddl_msgid=193451#msg_193451

8、Creator of Mariposa botnet jailed inSlovenia，http://www.allvoices.com/contributed-news/16230749-mariposa-botnet-creator-jailed-in-slovenia

9、Cyber War in Syria Is Accelerating,Study Says，http://mashable.com/2013/12/26/syria-cyber-war/