SilenceWolf

杀毒厂商麦咖啡（McAfee）在4月做了一个有些“变态”的试验，它招募了来自全球10个国家的50名志愿者，为他们每人配备了一台不带任何防护措施的电脑，和一个全新的email地址，并且鼓励他们大胆的回复那些垃圾邮件，点击邮件当中的链接，去“看个究竟”。志愿者们被要求每天写日志，记录下每天的遭遇。这里是全部日志。

当然，麦咖啡搞这个试验并不是为了好玩。今年是垃圾邮件诞生30周年，麦咖啡想通过这个试验来获得关于垃圾邮件的一些感性的数字。比如，这50名志愿者平均每天收到的垃圾邮件超过70封，男性比女性平均每天多收到15封。30天的时间，50人收到的垃圾邮件数超过12万。

下图是收到的垃圾邮件类别的top 10排行榜。

前10位分别是金融、广告、健康和药品、成人内容、免费商品、信用卡、教育、挣钱及致富主题、IT相关、尼日利亚骗局。这第10位的尼日利亚骗局你是否注意过？一般是说，你会得到一份尼日利亚政府的捐赠 的遗产。

这些垃圾邮件当中很多是钓鱼邮件（Phishing e-mail）。以意大利人收到的最多，占到总垃圾邮件数量的22%，美国人以18%居第二位。

以上提到的仅是很少部分的数据分析，完整的报告可以在这里下载。

（消息来源：cnBeta）

Tags: 安全,Security by sawyer
No Comments »

这则广告……？是的，你没有看错（尽管最开始我也不相信自己的眼睛），Hello Kitty牌杀毒软件+防火墙。这个号称最卡哇依的产品已经在台湾“神气上市了”。它的用户群很明显就是那些喜欢kitty的少女们（及部分少男），已经有了kitty水杯、kitty手机的她们，是否放心把电脑安全交给这只可爱的小猫呢？

不得不叹服kitty的影响力和产品的个性化程度，或许杀毒软件也能成为少男少女之间互赠的礼物呢。这个页面有销售和咨询信息。不过在送礼之前，最好先试用一下，它有30天的免费试用期；不要光为了制造惊喜，让病毒有机可乘。

Tags: 安全,Security by sawyer
No Comments »

美国洛杉矶联邦地方法院宣判，依据CAN-SPAM（Controlling the Assault of Non-Solicited Pornography And Marketing Act of 2003）法案，两名臭名昭著的垃圾邮件制造者Sanford Wallace和Walter Rines，须向MySpace支付近2.34亿美元的法定损害赔偿；另外根据加利福尼亚州反钓鱼法令（California anti-phishing statute），两名被告需赔偿150万美元。这是美国自2003年针对垃圾邮件（包括手机）颁布CAN-SPAM法案以来，赔偿金额最大的一宗案例。排在第二位的是今年3月宣判的，ValueClick须向FTC（Federal Trade Commission，联邦贸易委员会）支付290万美元赔偿金。

这两个臭名昭著的垃圾邮件制造者在1990年代，每天发送3000万封垃圾信息。Wallace还获得了“垃圾邮件大王”的绰号。Myspace说，这两个人在网站上创建了自己的帐号并窃取别人密码，每天发送垃圾信息达到将近73.6万次。

不过这很可能只是一场象征性的胜利，对垃圾邮件制造者起到震慑作用，因为现在还不知道两个人躲在哪里，法院作出的是缺席宣判。

MySpace Wins Largest Anti-Spam Award in History

(via TechCrunch) MySpace has informed us that on Monday it was awarded $234 million in statutory damages, the largest anti-spam sum ever made under CAN-SPAM and apparently ever under any law. This is also the first time damages have been awarded under the California Anti Phishing Act. Read more.

Tags: 安全,Security by sawyer
No Comments »

指纹识别作为一种安全技术在日常生活中已经不难看到了，但是脸部识别的安全技术似乎还只能在电影中看到。XID Technologies公司开发了一种名为Face LogOn Xpress的技术，可以用于电脑的安全设置，也就是在登入电脑之前，先得通过脸部扫描认证。

首先需要一个摄像头，拍摄一张你的快照，然后它会自动分析出你的头部、眼睛、鼻子、嘴、下颌的轮廓，你可以把每个部位的轮廓调得更精确些。确认以后，下次登录电脑时，就需要先通过脸部认证了。这里有一个视频，是对这个技术的详细介绍。

这种技术除了用于安全方面以外，还可以用到娱乐当中，像我们介绍过的制作动态个人形象的gizmoz，和令人咂舌的“换脸” 技术的oddcast。

Scan Your Face, Not your Thumb, for PC Security 

(via Mashable) …XID Technologies has recently made a new option available for protecting your own computer: a biometric PC access application called Face LogOn Xpress. In plain English, that’s a face scan. Now, instead of limiting your PC security to a password (or a fingerprint scan, for some devices), you can install a program that scans your face in order to provide security clearance for logging on to your computer. Read more.

Tags: 安全,Security by sawyer
No Comments »

看看上面这花花绿绿的杀毒软件的图标，如果有一个东西说，它能同时提供这20种杀毒软件的查毒能力，你会相信吗？Jotti’s malware scan说它能做到。上传一个文件，它会用这20种武器来检查，然后告诉你结果。

它只是一个针对的查毒工具，不具有实时监测功能和杀毒功能。不过对于一些急于“验明正身”的文件来说，特别是那些重要的玩意，Jotti’s malware scan也许还用得着。

Jotti’s Malware Scan: Online virus scanner

(via downloadsquad) Nothing really beats a good firewall or anti-malware program that offers real-time protection. But if something was going to come close, we’d say a tool that lets you check files against 20 different antivirus might come close. Jotti’s Malware Scan is an online tool that lets you upload a file and scan it with 20 different antivirus tools including Avast, ClamAV, and Kaspersky. Read more.

Tags: 安全,Security by sawyer
No Comments »

上图是注册Gmail时随机出现的一个图片验证码，英文叫captcha，为的是防止机器注册垃圾邮件地址，这也被认为是目前最有效的方法之一。但是gmail captcha在最近的一轮垃圾邮箱注册中，被识别并攻破的几率达到了大约20%。

这个比例比我们一个月前介绍雅虎邮箱captcha被攻破的几率（30%以上）要低的多。 这得益于gmail captcha系统由两台主机运行，并且程序略有差别。而只在一台主机上运行的windows live邮件，在月初的一波攻击中被攻破的几率大约在33%。

至此，世界三大邮件服务防线均被攻破。这些邮件服务用户众多，垃圾邮件不容易被识别，不容易被加入黑名单。再引述一下前文提到过的俄罗斯黑客的一番话：

15%的准确率对于攻击邮件应经足够了，攻击者每天可以尝试10万次攻击，而每攻破一个captcha就相当于得到1美分的收入。

Spammers crack Gmail Captcha

(via The Register) Spammers, fresh from the success of cracking the Windows Live captcha used by Hotmail, have broken the equivalent system at Gmail.

Internet security firm Websense reports that miscreants have created bots which are capable of signing up and creating random Gmail accounts for spamming purposes, defeating Captcha-based defences in the process. It reckons the same group of spammers are behind both attacks. Read more.

Tags: 安全,Security by sawyer
2 Comments »

Gmail有很强的反垃圾邮件功能，但是我们通过一些小伎俩可以让它变得更好，下面介绍3种方法，都是在Gmail的用户名上做文章。拿我的信箱mr.silencewolf@gmail.com来举例。

1.  mr.silencewolf@gmail.com和mr.silencewolf@googlemail.com实际上是一个地址，发送到mr.silencewolf@googlemail.com的邮件，其实就是发给mr.silencewolf@gmail.com的。

2. mr.silencewolf@gmail.com和mr.silence.wolf@gmail.com实际是一个地址，发送到mr.silence.wolf@gmail.com的邮件，其实就是发给mr.silencewolf@gmail.com的。

3. mr.silencewolf@gmail.com和mr.silencewolf+blog@gmail.com实际是一个地址，发送到mr.silencewolf+blog@gmail.com的邮件，其实就是发给mr.silencewolf@gmail.com的。

这样，我们就可以在gmail里设置一个专门的文件夹或者标签，来接收一个专门的邮件地址，只要在设置——过滤器里设置一下就可以了。比如，我可以把mr.silence.wolf@gmail.com这个地址告诉给我的同学，那么我的同学的邮件就自动转到一个独立的邮件夹里了。

另外，像加“.” 、加“+内容”这种方式都很灵活，“.”加在哪里都可以，加号后面的内容加什么都可以。

Wow! All Gmail Users Are Given Two Separate Email Addresses

(via Digital Inspiration) ……When you create a Gmail account, you actually get two email addresses - one is the regular @gmail.com while the second email address has @googlemail.com in the domain.Read more.

Tags: 安全,Security by sawyer
No Comments »

据新科学家网站报道，微软研究室的科学家们正在研究一种类似蠕虫病毒传播的方式，这种方式可使软件补丁升级更有效。Milan Vojnović是项目的主要负责人。

蠕虫病毒通过自身复制进行传播，当感染一台电脑以后，病毒自动探测工作组(group)或者子网（subnet）中的其他主机并传播。Milan所做的工作是利用类似的方式，让“有益的信息”自动在子网中传播，比如软件的升级补丁。这样做的最大好处是，不需要一个中央服务器提供补丁下载，补丁在电脑之间自动传播，速度更快，而且能够减轻子网内部的流量负担。

这种“友好蠕虫”比一般的蠕虫传播更有效率，它可以在一定时间内自动探测，并选择未被感染电脑最多的子网进行传播。友好蠕虫甚至可以预测蠕虫病毒将来怎样传播，提前进行防范。当然，这还有许多工作要做。

这一研究论文将在4月召开的第27界计算机通信大会（27th Conference on Computer Communications）上发表。

Friendly ‘worms’ could spread software fixes

(via newscientist.com) Microsoft researchers are hoping to use “information epidemics” to distribute software patches more efficiently.

Milan Vojnović and colleagues from Microsoft Research in Cambridge, UK, want to make useful pieces of information such as software updates behave more like computer worms: spreading between computers instead of being downloaded from central servers. Read more.

(pic via ubergizmo.com)

Tags: 安全,Security, 软件,software by sawyer
No Comments »

上边这幅图大家看着都眼熟吧，很多邮件、论坛注册都有，是验证码的一种，主要是防止机器恶意注册。这个东西的英文名字叫Captcha，2000年诞生于卡耐基梅隆学院，并被世界上最大的电子邮件服务商雅虎率先使用，上图就是一个雅虎captcha。

这个雅虎邮件的坚强防线可能被攻破了。一个俄罗斯博客（此链接国内需代理）发表声明说，他们研发的注册系统识别captcha的准确率达到了35%。这些“研究人员”在几个月前开始这项研发工作，起因是他们收到一封电子邮件，另一些人声称他们的系统对captcha的识别率达到了30%。

这意味着一旦这样的captch识别技术被用来注册垃圾信箱、发送垃圾邮件，垃圾邮件的数量将成N倍增长。

这些“研究人员”说，其实没有必要做到这么高的准确率，15%的准确率对于攻击邮件应经足够了，攻击者每天可以尝试10万次攻击，而每攻破一个captcha就相当于得到1美分的收入。

这是这个研究团体的邮件地址：NetworkSecurityResearch@gmail.com

Russian researchers alleged that “Yahoo!Captcha is broken”

A  Russian research group has alleged that Yahoo!Captcha is broken. The system they created to recognize the yahoo captcha is 35% in accuracy.

“Few months ago we received information that yahoo CAPTCHA recognition system exists in the wild with the recognition rate about 30%. So we decided to conduct few experiments. We explored yahoo CAPTCHA and designed a similar system with even better recognition rate (about 35%). “

Read more what they said.

Tags: 安全,Security by sawyer
1 Comment »

“Hacker Safe”是ScanAlert公司（已被McAfee收购）为电子商务网站提供的一种安全认证，声称“经Hacker Safe认证的网站足以预防99%以上的骇客犯罪”。但事实似乎并没有如此乐观。

一家专门从事“跨站脚本攻击”（cross-site scripting vulnerabilities）跟踪的网站 XSSed.com就发布了一个62个存在跨站脚本攻击的网站名单，这些网站全部获得了hacker safe的认证。

“跨站脚本攻击”是一项对客户威胁非常大的网站安全漏洞，指的是骇客在网站的某些网页中插入html代码或者客户端脚本，当客户浏览这些网页时，这些代码会自动运行，把客户的网页cookies自动发送给骇客。因此，对于电子商务网站来说，跨站脚本攻击是一种很大的威胁，因为它会窃取客户的银行帐号、信用卡密码等重要信息。

一些博客也报道了经过hacker safe认证的网站存在跨站脚本攻击的问题，请看这里和这里（这两个链接国内需代理）。

ScanAlert公司对这些报道并没有给出正面回应，而只是强调跨站脚本攻击不在hacker safe的认证范围内，而且这种攻击对电子商务网站的服务器不构成威胁，威胁主要是对客户的。

Many ‘Hacker Safe’ Web Sites Found Vulnerable

(via InformationWeek) More than 60 Web sites certified to be “Hacker Safe” by McAfee’s ScanAlert service have been vulnerable to cross-site scripting (XSS) attacks over the past year, including the ScanAlert Web site itself. While the XSS hole in the ScanAlert site and others have been addressed, some apparently have not been, leaving visitors potentially vulnerable to client-side attacks.

Joseph Pierini, director of enterprise services for the ScanAlert “Hacker Safe” program, maintains that XSS vulnerabilities can’t be used to hack a server.Read more.

Tags: 安全,Security by sawyer
No Comments »