每日安全简讯(20161227)

1、勒索软件DeriaLock既能锁屏又加密
2、勒索软件Koolova强迫受害者读文章
3、奥巴马敦促美国网络司令部脱离NSA
4、研究人员称智能玩具可泄露儿童信息
5、谷歌内研可取代短信的二步认证设备
6、媒体总结2016年国内信息安全大事件

【安天】搜集整理（来源：bleepingcomputer、bleepingcomputer、securityaffairs、cbslocal、arstechnica、easyaq）

1、勒索软件DeriaLock既能锁屏又加密
标题：New DeriaLock Ransomware Active on Christmas, Includes An 'Unlock All' Command

作者信息：December 24, 2016 09:46 AM  By Catalin Cimpanu

//BEGIN
Today, on Christmas Eve, G Data malware analyst Karsten Hahn has come across a new ransomware family named DeriaLock, which locks your screen and requests a payment of $30.
勒索软件没过圣诞节的意思：一个新的变种DeriaLock出现了，其主要特点是既锁屏又加密用户的文件。通常的勒索软件只做这两项中的一项。DeriaLock看来是从锁屏演变而来的。
赎金是30美金。另外从分析其代码看，应该其作者还计划含有西班牙文版本的，但是目前源码中看不出有这种文字。目前有的英文和德文勒索文字均有多处拼写错误，同时含有一个Unlock All（解密所有的加密文档）选项。

//END
The good news is that DeriaLock requires the .NET Framework 4.5 to be installed, which means it won't work on Windows XP machines.
另外由于设计原因，该勒索软件不能在Windows XP系统下运行。DeriaLock勒索软件的命名来由是加密后其文件扩展名被增加字符串deria。

点评：对付勒索软件，建议采用备份备份再备份的3B原则：Backup、Backup、Backup（Beifen、Beifen、Beifen）。

2、勒索软件Koolova强迫受害者读文章
标题：Koolova Ransomware Decrypts for Free if you Read Two Articles about Ransomware

作者信息：December 23, 2016 08:43 AM By Lawrence Abrams

//BEGIN
There have been a lot of strange twists and turns when it comes to ransomware this month. First, we had Popcorn Time that gave you the option of screwing over people by infecting them to possibly get a free decryption key.  Now, we have a new in-development variant of the Koolova Ransomware that will decrypt your files for free if you educate yourself about ransomware by reading two articles.
勒索软件届又出弯弯绕了：一旦你中了这个名为Koolova的勒索软件，不要着急，只要你按照提示读完指定的两篇文章后，就能自动获得解密秘钥。这两篇文章中的一篇就是本文的作者以前编写的一个关于另外一种勒索软件Jigsaw的预防文章，想来也有些意思。
不读？
可以。倒计时开始，如果时间到了（好像10分钟？），还没读完，那么他也不给你啥恢复文件的机会，直接全部将加密过的文件删除。真的删除了！
还好，这个勒索软件看样子还在研发阶段，并未完全准备好。
这种逼迫感染用户读技术文章的做法倒是别出心裁（怎么以前就没人想到这个点子捏？），与以前的那个损招（必须感染另外2个不同用户才给你解密秘钥）相比还是显得“仁慈”一些。

//END
All in all, Koolova is a very strange ransomware and one that I personally find a little creepy as it uses one of the articles I wrote as a method to gain a free decryption.  As all of the Koolova ransomware variants I have seen have been in development, there is a good chance that this one will never actually make it to the wild. Then again, I have been wrong before.
逼迫用户读的另外一篇文章是关于Google的一篇博客技术文章：如何安全使用浏览器（没读过的还真得读读吧）。这个勒索软件看起来像是受到了Jigsaw的某种启发。

点评：对付勒索软件，建议采用备份备份再备份的3B原则：Backup、Backup、Backup（Beifen、Beifen、Beifen）。

3、奥巴马敦促美国网络司令部脱离NSA
标题：Obama moves to end dual-hat arrangement separating Cybercom from NSA

作者信息：December 26, 2016  By Pierluigi Paganini

//BEGIN
President Obama urges to the end the dual-hat arrangement to separate the heads of the U.S. Cyber Command from National Security Agency.
NSA和美国网络司令部要分家了！
其实这个想法从2013年底就由明年元月即将离任的总统提出过，不过当时网络司令部等部门的头警告说：网络司令部刚成立，各方面还需要国家安全局NSA的强力支持，特别是情报方面。最近情况有所改变了，特别是在明年即将于意大利召开的G7安全峰会，可能将网络安全作为一个最重要的议题提出，并提倡加强政府间的沟通和合作。
当前这2个部门是由一个军事指挥官担任领导。
分家的决定凸显了美国网络司令部的重要性，一位不愿意透露姓名的官员声称网络安全将是美国国家安全战略的最重要的部分之一，过去是，现在是，将来会更是。
网络司令部CyberCom和国家安全局NSA这两个部门有着不同的使命，前者的主要职责是感染或者摧毁敌方的网络基础设施，同时还要想办法阻止针对美国发起的网络攻击。
而国家安全局NSA的主要职责则是以收集敌方或者外国政府的各类情报为主的部门。  


//END
The transition will not be instantaneous, the Pentagon and the Office of the Director of National Intelligence have planned a period during which the NSA can continue to “provide vital operational support” to Cybercom.
分家不会马上见效和完成，可能有一个过渡期，这个期限内NSA还将继续给Cybercom提供至关重要的情报支援。

点评：2017年，看得见和看不见的网战将持续上演.....

4、研究人员称智能玩具可泄露儿童信息
标题：‘Smart Toys’ May Make Your Children A Target For Hackers

作者信息：December 25, 2016 10:34 PM By CBSMIAMI

//BEGIN
MIAMI (CBSMiami) — While smart toys were at the top of many parents Christmas lists, there is growing concern the users – children- may become targets for hackers and identity thieves.
声称为智能玩具的圣诞礼物，正在热卖。不过热闹的背后也可能隐藏着危机：这些智能玩具可能成为危害儿童安全的定时炸弹。因为这些智能玩具会收集儿童甚至家长的一些个人隐私信息：包括家庭住址、电话号码、姓名、信用卡号等等。

//END
For parents looking to buy these smart toys, the report has recommendations to safeguard their information.
Learn what personal information the toy will collect and how it will be used. Check the toy’s privacy policy.
Find out if the toy’s manufacturer has previously been the subject of a data breach.
Once you’ve bought the toy, change default passwords and the default privacy settings to limit the amount of personal information that is shared.
作为父母的如果要购买这些玩具，至少需要注意：
首先应该确认哪些个人信息被收集以及收集作何用途，同时仔细阅读厂家的隐私策略；
其次：上网查查该厂家的用户个人信息是否曾经泄露过；
最后：一旦决定购买，至少要修改默认的密码，并严格限制上传的个人隐私信息。

//下载： 12.14.16_Ranking_Member_Nelson_Report_on_Connected_Toys.pdf (1.91 MB, 下载次数: 34)

2016-12-27 20:45 上传

点击文件名下载附件

文件名：12.14.16_Ranking_Member_Nelson_Report_on_Connected_Toys.pdf
文件大小：2，000，036 bytes
MD5     : DAA60785F922BB018E38F4276EA8D52E

点评：一些所谓的智能儿童玩具本来是用来看护儿童，如果滥用，反而会对儿童造成伤害！慎之！

5、谷歌内研可取代短信的二步认证设备
标题：This low-cost device may be the world’s best hope against account takeovers
Privacy-preserving “cryptographic assertions” are impossible to guess or phish.
作者信息：12/23/2016, 10:26 PM By DAN GOODIN

//BEGIN
The past five years have witnessed a seemingly unending series of high-profile account take-overs. A growing consensus has emerged among security practitioners: even long, randomly generated passwords aren't sufficient for locking down e-mail and other types of online assets. According to the consensus, these assets need to be augmented with a second factor of authentication.
经过谷歌公司的近5万名员工历时近2年的试用表明，名为Security Keys的小小硬件设备被证实能确保用户登录账户安全。它是一个可以插到USB接口的、廉价（100元人民币以下）的设备。采用的原理就是双因子验证的思路，但是比普通的通过智能手机的双因子验证使用简单、无盲区、更易用、更安全等等优点。
这也许为近来越来越猖獗的数据泄露提供了一个较好的解决方案。
当下普遍的观点都认为：对于一个意志坚定、有时间和肯投入资源的黑客来说，单一的那怕是非常复杂的密码都不能阻止黑客的进攻，这些都在邮件以及在线的一些交易数据泄露中得到了验证和体现。因此尽管存在一些不如意，但是双因子认证依然被公认是较为有效的解决方案。

//END
Following the compromise of Hillary Clinton Campaign Chairman John Podesta's Gmail account through a simple phishing ploy, a growing number of people have realized the crucial importance of two-factor authentication. While there are a variety of ways to put it into place, the research paper makes a convincing case that Security Keys based on the U2F standard are the best approach.
美国大选的邮件门事件给很多人上了一课！
为了不至于落入普通的钓鱼邮件的陷阱，很多人都已经意识到了采用双因子验证的重要性了。虽然当下已经有各种不同的实现方案，但是这里介绍Security Keys方案貌似看上去很美！

//下载： Security Keys Practical Cryptographic Second Factors for the Modern Web.pdf (484.73 KB, 下载次数: 29)

2016-12-27 20:47 上传

点击文件名下载附件

文件名：Security Keys Practical Cryptographic Second Factors for the Modern Web.pdf
文件大小：496，362 bytes
MD5     : 11B1573592E3FDB50224BC0B392D35D4

点评：这是个广告贴。该产品的后台管理、整体运转体系描述不详，但是附件的文档可以参阅一下。

6、媒体总结2016年国内信息安全大事件
{CHN}
标题：回看2016国内信息安全大事件

作者信息：2016-12-26 11:57 By E安全

//BEGIN
2016年，各国围绕网络信息空间安全的角逐愈发激烈，工业控制系统、智能技术应用、云计算、移动支付领域面临的信息安全风险不断加大，各种网络攻击泄露事件层出不穷，我国网络安全治理工作也步入新台阶。下面E安全就为大家盘点下2016年国内信息安全行业的大事件。
TOP1 《中华人民共和国网络安全法》正式出台
2016年11月7日，第十二届全国人大会常务委员会第二十四次会议通过《中华人民共和国网络安全法》，习近平主席签署第五十三号主席令，予以正式公布。《网络安全法》进一步界定关键信息基础设施范围；对攻击、破坏我国关键信息基础设施的境外组织和个人规定相应的惩治措施；增加惩治网络诈骗等新型网络违法犯罪活动的规定等。《网络安全法》自2017年6月1日起施行。在我国境内建设、运营、维护和使用网络，以及网络安全的监督管理，适用该法。立法的推进标志着我国网络空间法制化进程的实质性展开。

//END
TOP10 南都记者700元买到同事行踪等11项记录
12月8日，南方都市报记者以了解亲戚结婚对象为由，联系上一家名叫“ 商贸”的服务商，仅提供身份证号码，即获得包括开房记录、列车记录、航班记录、网吧记录、出境记录、入境记录、犯罪记录、住房记录、租房记录、银行记录、驾驶证记录等11个项目在内的材料。南都记者检索发现，在微博、QQ群、腾讯微商店、淘宝等平台皆有大量提供查阅个人信息的服务商，有的服务商还会单独开发官网，以“商务专业调查”、“防人肉搜索”等为名提供“人肉搜索”服务。针对个人隐私被贩卖一事，南都记者已向有关部门反映。

点评：网络安全了，信息才能安全。