最近几周,美国知名泄密网站“维基解密”披露9万多份美军机密文件,美军袭击伊平民视频、关塔那摩监狱管理指导手册、基督教科学会内部教义、气候学家擅自更改数据、佩林私人邮件账号以及50万条9?11短信等众多鲜为人知的阿富汗战争内幕泄漏在互联网上,一时间,“维基解密”网站成为网民关注的重点对象。很多网友认为发生在太平洋彼岸的维基解密事件与其没有太大关系,但是越来越多的员工正在使用Android、iPhone等智能手机,这给企业管理人员带来的压力将越来越严重。
Android、iPhone等智能手机泄密个人隐私
随着企业信息化水平的提高,信息安全已成为企业发展中一项必不可或缺的话题。在企业中,看到这篇文章的每一位读者都扮演着不同身份的角色,我们既是一名普通的员工,也是一名普通的消费者。而作为一名普通的消费者,对智能手机功能和售价的考虑往往多过对安全性能的考虑。而对于企业而言,智能手机的操作系统和手机应用的安全都至关重要。谷歌最新推出的手机操作系统Android 2.2就是要打消企业安管人员对手机操作系统的安全顾虑,使之放心访问公司数据。在这里,我们将对Android操作系统的优缺点进行评估,还要列出一些使用指南,帮助大家更好地保护移动手机数据。
对于初使用者而言,微软Exchange管理员现在可以在设备中强制执行密码策略。他们还可以通过远程方式另外设置一个Android手机,使其以默认状态保护数据安全,以防手机丢失带来的数据安全隐患。不过,摄像头和蓝牙功能无法通过远程控制来禁用,所以可能增加数据泄漏的风险。
图片说明:维基解密电报都从哪里来?维基解密数据并非该时期内美方所有电文,但也并非一般的筛选。这张图展示出此次泄密电文的大致分布:
某些企业还可能存在服从性的问题,如Outlook同步联系以及Android手机和电脑之间的信息需要用户首先与谷歌的云服务进行同步。大量PIN码和文数字结合的密码可以用来解锁设备,只是其短暂而部署欠妥的解锁期让人使用起来无法得心应手。
智能手机安全将面临严峻挑战
现在还没有有效的数字加密技术,当iPhone的芯片已经实现加密的时候,Android设备仍不得不依赖于javax.crypto 软件包。这意味着,它们信任那些正确使用加密软件包的程序员:而这又是一个新的威胁。据说iPhone和黑莓的加密方式已经被破解,如果Android想要成功打开企业级市场,其产品应该在安全性能上比对手更胜一筹。
尽管如此,该系统允许用户将应用下载到智能手机上的功能对很多网络犯罪分子而言极具吸引力,而这样也使其成为企业网络的潜在威胁。Android依靠基于Linux的操作系统将安全级别定义在应用和系统之间,以防止破坏波及整个系统。但是有发现指出,Android应用会向用户发送私人信息,包括在用户毫不知情的情况下,向远程服务器发送定位数据。
Android、iPhone等智能手机安全将面临严峻挑战
之所以会发生这种情况是因为应用在安装过程中被认为是理所当然的,这就等于赋予了应用进行访问的特权。尽管如此,我们却无法阻止应用的功能被滥用。由于合法的应用有可能将恶意功能以合法方式使用,所以用户很难评估潜在风险。
与苹果相比,这种差异很明显。尽管二者对所有应用都平等对待,且这些应用都可以访问大量资源,但是默认情况下,苹果要求对应用进行检测后才准许使用。这些检查的彻底程度尚不清楚,而且首先依靠人力审查似乎不比系统限制应用仅使用安装过程中所列功能来得安全。
一旦应用获得许可,企业需要了解应用使用功能的方式。外界批评谷歌没有采取有效措施禁用一些违反许可证条约的应用,对此谷歌已经做出回应。直到第三方应用出具详细的数据使用信息后,才会提供不受信任要素。
打算使用Android设备的企业并不希望对自己的移动设备策略做出全局性调整。没有哪个移动平台具备完美的安全性能,因此可在使用策略规定:用户在使用公司的设备时,只能安装公司IT部门许可的应用,而且在不明白文件来源的情况下,要避免使用开放型文件,邮件,SMS信息和即时通讯。(如果用户使用自己的设备保存公司数据,这就会出现管理上的灰色地带,因为我们很难将公司的策略强制推行到员工自己的设备上。)
无论是哪种操作系统,管理员都应该遵循厂商的警告,以保持设备的安全;此外还要在手机上安装反病毒软件数据包。McAfee公司为Android开发的VirusScan 移动版对现有客户免费,而赛门铁克公司的诺顿智能手机安全软件也是免费的,它能提供反盗窃和数据威胁防护功能。
年关马上到来,如果要给今年的IT产品颁奖,乔帮主手中的苹果系列算是一个不可或缺的产品与玩物。从时尚女人到商务男人、从总统先生到刚懂事的孩子……顷刻之间貌似整个人类的十指与钱包都被乔帮主的苹果系列所控制。
树大招风 苹果大了招黑客
近日,据国外媒体报道,美国投资公司Wedge Partners分析师Brian Blair发表投资者报告称,预计苹果iPhone手机在2011年的出货量将达到1亿部,iPad平板电脑的出货量将达到4800万台。该分析师还指出,预计明年全球手机出货总量将达到11亿部,而平板电脑市场仍属于襁褓阶段,由于拥有iPad和iPhone两大核心产品,2011年苹果将继续在智能手机和平板电脑市场获得高速发展。
面对苹果如此大的出货量,不管是苹果的投资商还是销售上来说都是一条悦耳的消息,曾经不起眼的苹果产品,在黑客眼中,苹果不只是水果,更成为一顿不错的美餐。苹果曾经借助较小的市场份额而免受安全问题困扰的日子一去不复返,中国黑客寻找苹果软件漏洞,盈利已超25万美元,美国《福布斯》杂志网络版在2010年7月撰文称,中国安全研究员吴石发现的浏览器漏洞中,有半数都来自苹果Safari浏览器。
微软十年来一直在与网络攻击做斗争,也因此而变得坚固。例如“红色代码”蠕虫病毒曾于2001年感染了数万台电脑,还有很多网站因此被黑,并被挂上了“Hacked By Chinese!”(被中国人黑了)的标语。而苹果则因为多年以来一直被网络犯罪分子忽略而变得有些自满。在吴石看来,这种安逸的状况不会延续下去。随着有针对性的攻击越来越多,苹果无法再因为市场份额较小而免受安全问题的困扰。他说:“iPhone和Mac OS比Windows 7更容易攻击。我认为,未来将有很多针对苹果软件的攻击。”#p#
苹果iOS新漏洞 黑客可控制iPad和iPhone
2010年08月,根据赛门铁克以及私营企业Lookout和Vupen这三家安全公司称,苹果iPad、iPhone和iPod touch等产品中使用的iOS操作系统软件中发现一个新安全漏洞,这个安全漏洞能够让黑客完全控制这些设备。
苹果iOS操作系统中的安全漏洞是在苹果移动设备中发现的一系列安全漏洞中比较新的安全漏洞。在今年的黑客大会上,安全专家发现在谷歌用于手机和平板电脑的Android移动操作系统中就存在一些安全漏洞。移动设备越来越容易受到攻击,因为在移动设备上运行的软件在过去的几年来越来越复杂,给移动设备提供了许多类似于PC的能力。
苹果iPhone漏洞百出
移动安全公司Lookout的首席技术官Kevin Mahaffey称,“我们在非常复杂的软件中发现安全漏洞不应该感到意外。在感染iPad平板电脑或者iPhone手机之前,攻击者需要欺骗用户访问一个植入被感染PDF文件的网站。”Mahaffey并不知道犯罪分子利用这个安全漏洞控制苹果设备的事件。但是,电子厂商要提供一个补救措施防止这种攻击。
黑客越狱苹果iOS4.1系统 自由读取信息
在苹果iOS4.1系统发布几个小时后,著名黑客团队pod2g表示,他们已经发现了ios4.1的漏洞,利用此漏洞可“越狱”运行iphone手机。黑客们说,由于修补此漏洞需要对操作系统的底层代码做出重大改变,苹果公司将难以修补此漏洞。
黑客们建议使用“越狱”iphone的用户不要更新iOS,这有可能会使那些越狱运行的软件失效。而苹果公司表示,越狱会使iPhone的保修失效。苹果iOS4.1新增的功能包括Game Center游戏中心,HDR高动态范围拍照,iTunes商店电视剧集出租、Ping社交网络和高清视频上传等。
目前,一款新的iPhone漏洞刚刚被黑客Bernd Marienfeldt和Jim Herbeck发现。它可以让入侵者自由读取iPhone手机内记载的信息,并且最新固件3.1.3也受影响,用PIN来锁定电话在这个漏洞面前失效。
这种漏洞很有可能导致iPhone iRickRoll'd蠕虫等病毒再度爆发,特别是后台运行SSH,却没有修改默认密码的用户尤其容易受到影响。
安全专家称iPhone漏洞可泄露用户信息
据国外媒体报道,安全专家Bernard Marienfeldt的最新报告显示,苹果iPhone存在一个安全漏洞。不法分子可以借此获取用户信息。玛瑞恩菲尔表示,把iPhone与Windows或Mac OS X设备连接时,只会显示DCIM文件夹。但是如果与最新版的Ubuntu Lucid Lynx系统连接,便可获得iPhone的全部数据读取权限。即使用PIN锁定该手机也无济于事。
要利用这一漏洞无需对iPhone进行特别配置。为了方便数据同步,用户无需使用任何软件即可与电脑进行数据交换。另外一个引发这一漏洞的问题在于,iPhone缺乏数据加密措施。
玛瑞恩菲尔特说,通过进一步研究,还有可能获得iPhone的全部写入权限。倘若果真如此,未经授权的团体便有可能获取用户的电话和短信内容。而这也有可能导致企业用户在使用iPhone时产生更多顾虑。
iPhone漏洞或致手机受钓鱼攻击
据国外媒体报道,苹果iPhone在执行思科简单证书系统协议(以下简称为“SCEP”)时的漏洞会导致手机遭受黑客的钓鱼攻击。黑客将能通过提供假的移动配置文件诱使iPhone手机访问恶意服务器。
据悉,苹果推出iPhone OS系统并对思科SCEP协议提供支持,目的是增强使用iPhone进行移动企业管理时的安全性。苹果使用SCEP协议登录证书服务器,以检查移动配置文件是否由可信任的来源颁发,但问题是,这一过程并不总是能顺利进行。
一位不愿具名的安全专家表示,问题的根源来自于苹果执行SCEP协议所采用的方法,SCEP是一种用来管理封闭系统公钥基础结构的协议。比如,它能用来管理企业IT部门为iPhone部署的安全证书和安全策略等。然而糟糕的是,iPhone使用Safari浏览器的证书授权方列表来认证移动配置文件。具体而言就是,iPhone只要求颁发移动配置文件的证书具备签名,而不会限制该证书只能进行哪些操作。
一位业内人士演示了如何用假证书攻击iPhone。首先,他从VeriSign公司获得了一个临时且只有签名的测试证书,该证书签名为“苹果公司”。随后,他使用该证书创建了一个假的移动配置文件,看上去似乎的确是由苹果公司提供。凡是下载了该配置文件的用户都会相信文件来自苹果,并进行安装。这正是噩梦的开始。
移动配置文件能更改iPhone上的许多设置,有些仅仅是带来些麻烦,比如阻止iPhone访问应用商店或是使用移动Safari浏览器。有些则会产生严重后果,比如更改虚拟专用网VPN的设置,从而让iPhone连接上黑客的服务器。此外,iPhone的邮件设定还有可能被更改,所有外发邮件都将通过黑客架设的恶意服务器转发,而用户却一无所知。
【编辑推荐】
