2013年7月31日 星期三

智慧型手機上的 Rootkits 探討

智慧型手機上的 Rootkits 探討

本文主要是介紹在 ARM TrustZone 之下如何隱藏 Rootkit。

幾隻著名的智慧型手機 Rootkit:
CarrierIQ:使用於記錄使用者的鍵盤紀錄、電話記錄、儲存簡訊、GPS位置跟踪。
FinFisher - FinSpy:使用於遠端監控程式。


手機鍵盤紀錄的範例:
http://forum.xda-developers.com/showpost.php?p=17612559&postcount=110

Rootkit 藏在手機哪裡?
在手機上比較容易可以成功隱藏 Rootkit 的地方:CPU 與 Baseband

Bootloader 參考資料:
http://omappedia.org/wiki/Bootloader_Project

Click to Enlarge


原文資料引用:infosecinstitute
轉載自《網路攻防戰》

世界網戰一級戰區:APT 攻擊一波波看似守也守不住!台灣受駭了嗎?

世界網戰一級戰區:APT 攻擊一波波看似守也守不住!台灣受駭了嗎?


「HITCON」,Hacks in Taiwan Conference  台灣駭客年會,是台灣最大的資安研討會。今年第 9 屆台灣駭客年會主題是「Cyber War」。因為這個這場戰爭愈打愈激烈,偏偏還有很多人還沒意識到烽火早已燃起,大多數的人更不知道自己身處一級戰區,成為「受駭者」。

我們曾在會前寫了一篇報導,試圖挑起大家的危機意識,請見:〈無聲的世界網戰正在開打,想了解全球戰情請看「2013 台灣駭客年會」〉。

第 9 屆屆台灣駭客年會上,來自全球資安領域的駭客專家齊聚一堂,全球 Cyber War 戰情究竟如何?無聲的世界網戰,在我們看不見也聽不到的狀況下,劇烈開打。剛結束的駭客年會上,來自全球的資安專家說,台灣就在一級戰區內,面對嚴厲的攻勢,台灣的防禦戰力如何?


從政府機關到一般企業全都受駭,台灣是 CyberWar 的前線戰區
來自盧森堡、一手打造 malware.lu 惡意軟體知識庫的知名資安研究者 Paul Rascagnere ,在本屆年會上分享他追蹤一個被稱為「APT1」駭客組織的研究結果,在眾多「APT1」的受駭名單中,赫見不少台灣公司。

在 Paul Rascagnere 公布的受駭名單上,「tecom.com.tw」、「ZyXEL.com」、「nkmu.edu.tw」……都上榜(見 HITCON 公開資料 P.39),眼尖的資安人員立刻發現,受駭名單上有許多是台灣電信設備商,其中一家公司甚至跟軍方有合約,一旦駭客竊取到他們公司的技術文件,就有可能找到漏洞,利用漏洞攻擊使用該設備的軍方單位。

不只 Paul Rascagnere 的研究,本土資安專家的研究資料也顯示,台灣政府確實曝露在 CyberWar 中最常見的 APT 攻擊之下。

由中研院計算機中心資安組組長和台灣資安研究公司 Xecure Lab 共同報告的「APT 網際飛梭:從自動化分析到拆解 APT 後台駭客活動」,也揭露了一個被稱為「APT 101」的駭客族群的活動,而台灣就是他們的主要攻擊目標。

根據這份研究,「APT 101」相當有組織,每個發出去的惡意程式都要經過「編碼」,也因此我們可以透過分析編碼,看出他們的目標對象。舉其中一個編碼為「UX-ZD1023-MXXXXXB」的惡意程式為例,ZD 是這個惡意程式的名稱、1023 是製造的時間、MXXXXXB 就是受害者的代號,而這正好是台灣一個政府部會的縮寫。(按:XXXXX 為馬賽克,因為不希望大家把重點放在該單位上,欲知詳情可洽其他參與活動的駭客們)

「APT 101」最早在 2007 年就有活動記錄,而根據 Xecure Lab 在近兩年內的蒐集到的資料,「APT 101」至少控制超過 5800 台電腦、分布在 30 幾個國家,光是台灣至少就有 3037 台 ,而美國有 225 台、南韓有 82 台,另外有 2038 台無法確定是不是台灣。

既然台灣是駭客鎖定的對象之一,我不禁擔心,「台灣守得住嗎?該不會我們的資料都被人家看光光了吧?」

連問幾個駭客、資安人員,有人笑而不答;有人神秘的笑了笑,反問「你說呢?」;有人保守的跟我說,「我們沒有證據,而被駭的人也不可能承認被駭,但依照我們的研究發現,應該是這樣啦。」

你不能不知道的 Cyber War 作戰手法:APT 攻擊
不過,政府機關和企業裡,多有自己的網管,電腦中也有安裝防毒軟體,小公司和個人的電腦中也有防毒軟體,為什麼還會被駭客入侵?

明槍易躲、暗箭難防。Cyber War 中最恐怖、最嚴重的攻擊手法,「APT」,就屬於暗箭的那一種。

APT,Advanced Persistent Threat,中文譯作「進階持續性滲透攻擊」。採用 APT 攻擊型態的駭客族群具有絕對的針對性,而他的目的通常都是偷走目標對象的資料。因此,駭客一旦鎖定了攻擊目標,就會無所不用其極的攻擊,而且是持久戰,一天、一個月、一年都跟你耗;他也會使用極為輕巧的手法,讓你很難察覺自己被攻擊,甚至被攻破了。

韓國數家銀行、保險公司及電視台被駭的 320 事件;年初 Evernote、Twitter、Facebook、Apple 以及 Microsoft 等多家知名科技公司被駭;5 月初台灣政府公務機關的電子公文交換系統(eClient)被駭,這幾起重大的駭客攻擊事件,駭客用的都是 APT 攻擊型態。

APT 攻擊型態三步驟:攻擊、控制、擴散
因為發動這類攻擊的駭客目的是偷取資料,所以攻擊模式不是大張旗鼓的打進來、癱瘓網站,相反地,APT 攻擊講究靜悄悄,躡手躡腳的偷取資料。常見的攻擊方式有這三種:

(1)釣魚網站。吸引你點進去夾帶惡意程式的網站,例如「清涼比基尼辣妹交友網站,18 禁!」、「真相揭露,被黑掉的影片還原了!」。

在你頭腦不清醒、受不了誘惑、好奇心過勝時,游標就會不由自主的移過去、點下,惡意程式也就不費吹灰之力的安裝進你的電腦裡。

(2)惡意社交郵件。這是 APT 攻擊型態中最常見的手法,駭客會分析你的背景和社交取向,量身訂做看起來就是要寄給你的郵件及附檔,但檔案中暗藏惡意程式。

暗藏惡意程式的附檔並不是我們早就知道該提防的 exe 檔,rar、PDF、word 檔都有可能,一位中研院研究員就分享他收到的「2013 國科會專題計畫補助合約書.pdf」,看到這封郵件、這份附檔,哪個研究員會不想點開?點開之後,真的會有一個看似正常的檔案被開啟,然而在此同時同時,惡意程式也就安裝進電腦裡。

(3)水坑式攻擊。公司防禦做得不錯,算你厲害,但駭客還能埋伏在你常去的網站,等你自己掉進來。

駭客會利用網站漏洞,在其伺服器植入惡意程式,等你連上該網站後,你照樣能瀏覽,但惡意程式已經自動下載並安裝進電腦裡了。這個作法最難防,今年初,Facebook 就因為員工去逛 iOS 開發者網站 iPhoneDevSDK 而受駭。

在駭客成功攻進電腦後,他會在電腦中植入惡意程式、後門程式,讓你的電腦連上駭客使用的命令與控制伺服器(C&C Server),以便能長期潛伏在你的電腦中,竊取你的資料;他也會竊取你的帳號密碼,輕鬆登入公司系統。到了這一步,他的耐心還沒用完,他還要透過內網,持續進攻、滲透其他台電腦,一步步取得最高權限、最機密的資料。

病毒會偽裝、會互相幫助,殺也殺不完
除了進攻的方法千奇百怪之外,惡意程式潛伏的功力和集團管理模式,也打趴多數防毒軟體。

發動 APT 攻擊型態的組織,也擅於把惡意程式偽裝得不讓人察覺,曾經有駭客利用 Adobe Flash 的弱點夾帶惡意程式,並夾在信件附檔中寄發出去,結果經資安公司測試,42 家防毒軟體業者中,只有 6、7 家偵測出來信件中的附檔帶有惡意程式

APT 攻擊難防的其中一原因是,當駭客攻進受駭者的網路之後,會在內網組成一個「集團」來管理,如果有一台電腦中的惡意程式因為執行不正常的動作,例如回傳檔案給 C&C Server 而被防毒軟體查殺,那麼集團內的其他電腦會再把惡意程式安裝到那台電腦裡;又或者,駭客會在一台電腦中安裝多個惡意軟體,當防毒軟體查殺其中一個,剩餘的惡意軟體會自己連上 C&C Server 下載、補齊。

手法不斷翻新,這種長久戰、心理戰,具有千變萬化手法的 APT 攻擊型態,真的防不勝防。駭客年會總召蔡松廷(駭客圈中人稱他「TT」)就說,「你現在都沒漏洞、打不進去沒關係,但我不放棄,因為你是我的目標,等到哪天你有了新的伺服器上線,或是有了新的人,那我就打新的伺服器、新的人,搞不好就會有新的漏洞出現。」

要發動長久戰,不是人人玩得起,通常 APT 攻擊型態都是政府所支持的。很多國家、大企業之間早已培養駭客軍團,防禦之外,也互相攻擊,以竊取國防機密、商業機密。

趨勢科技拍了一支影片介紹 APT 攻擊型態,短短五分鐘的影片,會讓你有種在看諜報片的錯覺,但這是真實案例。請看:〈APT 攻擊: 一場沒有中立國的戰爭 (真實案例模擬)〉:


發動戰爭的是誰?台灣是 Cyber War 的前線戰場嗎?
在追蹤「APT1」這個駭客組織時,Paul Rascagnere 有個有意思的發現。「APT1」 發動攻擊的時間通常在星期一到星期六、盧森堡時間凌晨 2 點到早上 10 點。盧森堡時間比中原標準時間晚 6 個小時,因此推算下來,APT1 的攻擊時間是中原標準時間早上 8 點到下午 4 點,也就是上班時間。

有群駭客在標準的「上班時間」發動攻擊,台灣資安研究人員很早以前就發現了,周一到周六,每天都會有很準時的攻擊行為,從早上 8、9 點開始,到了中午吃飯時間就逐漸減少,中午吃飯時間結束後攻擊又開始了,直至 4、5 點下班時間漸漸停歇。

這樣的攻擊行為,很難讓人不去懷疑是我們旁邊、跟我們有著同樣時區的「駭客公務員」,或著是人們常說的「中國網軍」,在發動攻擊。有不願具名的資安人員透露,中國放五一、十一連假時,這波準時的駭客攻擊也會跟著放假。

也有媒體報導,台灣是全球對抗網路攻擊的前線,是中國駭客攻擊美國前的練兵場。只要在台灣看到一個新的網路攻擊手法,六個月後,就會在美國看到同樣的攻擊。台灣受中國網軍攻擊的程度可見一斑。

不過 Paul Rascagnere 說,「APT1」這個駭客組織的 IP 位置確實是來自香港,但他不能肯定就是中國駭客,「也有可能是有人在香港買一個伺服器。」然而在簡報的最後,他加上一句前中共主席毛澤東說的話,「The only real defense is offensive defense.」,最好的防禦,就是進攻。

除了 Paul 看似意有所指的言論,這一屆駭客年會的開場演講,就由任職於美國智庫、國際認可的中國解放軍資訊戰專家 William  Hagestad II 大談中國、俄羅斯和伊朗三個共產國家的「網軍」。他提出許多駭客事件的報導及領導人的發言來證明,中國確實在發展網路國防、間諜及攻擊行為。

William 指出,中國在 1995 年開始打資訊戰,2010 年開始有官方的網路作戰指揮部;他也引用 IT 安全服務商 NCCGROUP 的報告,說明中國是全世界第二大的駭客活動發源地,佔 13.7%。

在另一場演講中,中國頗富盛名的資安專家萬濤則提出反駁看法,「中國駭客只是有心人士炒作下的神話」,那些源自中國的駭客攻擊,都是懷抱著民族主義的「憤怒青年」做出來的個人行為。

他更直咬最近遭爆料的美國國安局監聽通訊計畫,「PRISM」(稜鏡計畫),指美國才是最大的駭客,以為自己是網路的保護者、隨意監控他人。事實上,上述 NCCGROUP 做的駭客活動發源地調查中,第一大駭客活動發源地就是美國,佔 17.55 %。

一位不願具名的資安專家不以為然的表示,中國這麼一個集權主義的共產國家,有可能放任技術高超的駭客在路上滿街跑,不把他們抓來當軍隊用嗎?在美國、歐洲,政府要跟大企業競價,才能招募到優秀的駭客;但在中國不用,國家叫他來他就得來。

APT 世界大戰打得火熱,台灣的網路國防準備好了嗎?
面對暗箭難防的 APT 攻擊型態,Xecure Lab 首席資安研究員邱銘彰(駭客圈中人稱他「Birdman」)說,「APT 行動沒有尾聲,只有更深!APT 防護沒有撇步,只有更強!」

面對來勢洶洶的全球政府與企業單位所組成的網軍勢力,Cyber War 真的天天都在上演,而在戰爭中要比人家更強,是需要國家動員、需要國防戰備武器、需要有受過精實訓練的軍隊、也需要人民隨處於警戒狀態。

台灣準備好了嗎?

圖片來源:Hacks Taiwan 相簿
轉載自《科技橘報》

BYOD新安全威脅!USB隨身碟竟可偽裝成鍵盤 避開系統保護機制

BYOD新安全威脅!USB隨身碟竟可偽裝成鍵盤 避開系統保護機制

相信讀者早已知道USB隨身碟,可能會帶給公司資料竊取的潛在風險,即使看似微不足道的2GB隨身碟,仍可以裝下許多寶貴重要的資料,不僅如此,如今竟出現一個更危險的新威脅。

USB-virus.jpg安全專家 Dancho Danchev在安全方案商Webroot官方部落格上,貼文強調指出,目前出現一個以小型或大型企業,皆納入攻擊目標的新安全風險,該風險具備透過低價USB隨身碟,以避開Windows 7及Windows 8上之微軟自動執行(AutoRun)保護機制的能力。

該快閃記憶體隨身碟會唬弄作業系統,讓系統誤將隨身碟當作類似鍵盤的「人機介面裝置」,進而成功規避微軟安全機制。

只要在第一次將內含上述安全風險的隨身碟插入到電腦中,短短50秒之內,隨身碟中所包含的惡意描述語言(script)或檔案會隨即執行,系統接著便遭到劫持。

這使得隨後裝置掛載的載入時間大幅降低。若沒有實體裝置的檢查機制,想要分辨惡意與正常隨身碟的差異,宛如不可能的任務。


由於當前隨身碟價格非常便宜,這使得透過這類USB隨身碟滲透系統的門檻變低,企業必須瞭解如何找出這些風險的方法。其中,尤以採用自帶裝置上班(BYOD)政策的企業,更是高風險的所在地。目前並沒有任可針對該風險的安全修補方案。

由於這是當前安全工具軟體尚未做好防護準備的全新威脅,所以企業最好採行以下實體安全機制來面對,而這也是企業對抗低成本、高風險威脅的最佳自我防護之道:

●實體保護USB埠
●USB硬體的嚴格審查與稽核
●採用防竄改USB裝置
●將突檢未授權裝置加以没收,甚至銷毀

資料來源:ZDNet
轉載自《網路資訊雜誌》

惡意偽造的瀏覽器擴充功能(extensions & Add-ons)

惡意偽造的瀏覽器擴充功能(extensions & Add-ons)

通常我們使用"非IE"的瀏覽器,免不了會自行添加一些好用的瀏覽器擴充功能(extensions & Add-ons),但這些非官方製作的外掛如遭攻擊者濫用通常也會藏著一些惡意程式。
而這些偽造外掛劫持使用者的社交網站帳號來自動化散播惡意的貼文。
例如:自動按讚、自動分享貼文、加入購物社團、邀請朋友加入購物社團、偽冒即時聊天、散播惡意網址、更新使用者狀態等等。

目前被發現的偽造外掛有:
F-Secure Security Pack 6.1.0 (for Google Chrome)
F-Secure Security Pack 6.1 (for Mozilla Firefox)



原文出處:Trend Micro
轉載自《網路攻防戰》

賽門鐵克:Google Play上詐騙程式清不完 7個月超過1,200起

賽門鐵克:Google Play上詐騙程式清不完 7個月超過1,200起

根據賽門鐵克(Symantec)指出,專門針對Android裝置的可疑應用軟體,每日源源不絕地湧進商店。

Google_Play_詐騙在過去7個月以來,賽門鐵克已在Google Play上發現超過1,200支可疑應用軟體。Google在這些軟體發佈後,便隨即移除許多應用軟體,但仍有其他應用軟體持續留在App商店上好幾天。

「雖然這些應用軟體的生命週期不長,但由於沒有任何跡象顯示,其會停止新詐騙應用軟體的開發,所以應用軟體必須為詐騙者提供充足的獲利,」賽門鐵克Joji Hamada指出。

這類應用軟體很難被評定,並且會執行一連串演練與多層次攻擊手法,以嘗試詐騙使用者。

Hamada指出,某應用軟體專門慫恿使用者,以每年3,000美元的費用,訂閱線上成人影片網站。可見該應用軟體的唯一目的,在於建立一個成人網站連結。

該網站接下來會要求想要播放影片的使用者註冊。並且以電子郵件的形式註冊,使用者會被要求點擊發送。事實上,寄給使用者的電子郵件中,包含了一個可被導到不同網站之另一個服務上的連結。

同時,使用者會被提示輸入密碼。一旦點擊按鍵,會立即提供電話號碼。回撥後,會得到一組密碼。該使用者然後會收到註冊明細,並告知3天之內會開始收取的315,000日幣(3,200元美金、約96,000元台幣)年費。

「通常只會啟動連結的應用軟體,對於任何安全系統而言,幾乎不可能中確認出任何惡意的內容及行為,」Hamada表示。

資料來源:PCWorld
轉載自《網路資訊雜誌》

2013年7月30日 星期二

認識惡意威脅:病毒(Virus)、木馬(Trojan Horse)等11個網路威脅定義

認識惡意威脅:病毒(Virus)、木馬(Trojan Horse)等11個網路威脅定義

網路威脅是像間諜軟體、廣告軟體、木馬程式、殭屍網路、病毒或蠕蟲等等惡意軟體,它們會在未經你許可或知情下安裝到你的電腦上。這些程式透過網站來散播、隱藏、更新自己,並發送竊取資料給網路犯罪分子。它們也會結合起來進行犯罪行為,像是木馬程式可以下載間諜軟體或蠕蟲來將你的電腦變成殭屍網路的一部分。

Trojan 木馬

以下是一些網路威脅的基本定義和安全提示:
威脅
定義
惡意軟體(Malware
在你不知情或未授權下偷偷放入你電腦的軟體程式,卻總是在進行惡意的行為。
病毒(Virus
就跟現實世界的病毒一樣,會自我複製、可以快速蔓延的程式。病毒被設計來破壞你的電腦、顯示非預期的訊息或圖像、破壞檔案、重新格式化你的硬碟,或佔用你電腦的儲存空間和記憶體,而可能會讓電腦變慢。
蠕蟲(Worm
一個自行運作的程式,可以將自身的副本透過網路連線、電子郵件附件檔、即時通(透過檔案分享),或是和其他惡意軟體合作來散播到其他電腦系統上。蠕蟲程式可能會封鎖某些網站不讓你連上,或竊取你電腦上所安裝應用程式的認證資料。
木馬(Trojan Horse
會執行惡意行為但不會進行複製的程式。它可能會透過無害的檔案或應用程式進入,帶有隱藏自身和惡意行為的程式碼。當它執行時,你可能會遇到不必要的系統問題,有時可能會讓電腦失去資料。
垃圾郵件(Spam
任何透過電子郵件或即時通(IM)不請自來的訊息,是為了讓寄件者賺錢而設計。
網路釣魚(Phishing
任何企圖透過電話、電子郵件、即時通或傳真來獲得你個人資訊以竊取你的身份認證。大多數網路釣魚會企圖讓自己看起來像是一般行為,實際上卻是用於犯罪活動。
網址嫁接(Pharming
劫持一般正常網站地址或網址(例如「www.mybank.com」)的行為,將你重新導到一個看起來像原本網站的假網站。這偽造的網站會偷偷收集你所輸入的個人資料,然後用在其他可能的犯罪活動上。
間諜軟體(Spyware
在你的電腦上安裝或執行(你不知情下)監視、追蹤和回報你電子蹤跡給間諜軟體作者的軟體。它通常透過木馬程式或是成為你所選擇下載安裝軟體的一部分來安裝到電腦上。間諜軟體透過下列方式收集資訊:
●鍵盤側錄軟體會監視鍵盤敲擊以記錄使用者所訪問網站或記錄密碼的軟體
●螢幕擷取技術會定期擷取桌面螢幕並記錄登錄名稱等資訊的軟體
●事件記錄程式可以追踪使用者所訪問網站或其他線上行為的軟體。(這資訊通常用於給使用者的針對性廣告)。
廣告軟體(Adware
未經你許可下派送廣告給你(如彈跳式視窗或網路連結)的軟體。通常是透過木馬程式或是成為你所選擇下載安裝軟體的一部分來進入電腦。廣告軟件可以根據你電腦上間諜軟體追蹤你網路瀏覽習慣所收集來的資料來顯示高度針對性的廣告。
殭屍電腦和殭屍網路(BotBotnet
透過木馬程式秘密地放入你電腦的小程式。幕後黑手的「殭屍網路管理者」可以中央控管許多殭屍電腦,任何時候都能用來散播垃圾郵件、進行網路釣魚攻擊或執行阻斷服務(DoS)攻擊,讓網站無法被連上。殭屍網路是殭屍電腦所組成的網路。通常被用來派送垃圾郵件和網路釣魚攻擊。
勒索軟體(Ransomware
會加密文件以達到勒索目的的軟體。會為這些文件要求贖金,直到受害者購買解密金鑰,透過第三方服務來付款(如PayPal)或購買線上物品(裡面會包括金鑰)

轉載自《雲端運算與網路安全趨勢部落格》

研究人員駭進汽車系統,操控引擎與剎車

研究人員駭進汽車系統,操控引擎與剎車

駭客用來實驗的汽車包括Ford Escape與Toyota Prius。Ford表示,駭客要執行上述攻擊時,必須自己位於車內,應該不會對大眾造成太大的威脅。然而,Miller與Valasek卻說,由於已有其他資安人員進行遠端攻擊的研究。


兩名資訊安全研究人員Charlie Miller與Chris Valasek準備在本周三(8/1)展開的Def Con 21駭客會議上公開揭露汽車系統的安全漏洞,他們將展示如何駭進車內電腦系統操控汽車,以讓時速達128公里的汽車緊急剎車、或是加速、讓喇叭自動響起,還能使剎車失靈。

Miller為Twitter的安全工程師,Valasek則是IOActive的安全總監,他們所攻陷的是汽車內建的電腦系統,在Forbes報導的影片中,他們兩個人坐在車後座,以筆電連結汽車內部的電腦網路,並可自由地操控引擎、剎車、喇叭及車燈等,用來實驗的汽車包括Ford Escape與Toyota Prius。


市場分析指出,只要是電腦,幾乎就有機會被攻陷,汽車系統也不例外,只是以往這些資訊被嚴密控管。

Miller與Valasek在美國國防高等研究計畫局(Defense Advanced Research Projects Agency,DARPA)的許可下分析汽車電腦系統,而且準備在Def Con上發表多達100頁的白皮書。Miller透過Twitter表示,他們本來想在黑帽會議上發表該研究,沒想到被拒絕,只得藉由Def Con上施展全力。

Ford汽車回應媒體詢問表示,駭客要執行上述攻擊時,必須自己位於車內,應該不會對大眾造成太大的威脅。然而,Miller與Valasek卻說,由於已有其他資安人員進行遠端攻擊的研究,所以他們才未對此多所著墨。

總之,這兩名研究人員的用意是在拋磚引玉,期望吸引更多研究人員尋找汽車電腦系統的漏洞,並提交給汽車業者進行修補與改善。

轉載自《iThome》

車廠客服員 擅用個資抽獎

車廠客服員 擅用個資抽獎
稱測App程式忘記刪 「太扯」


TOYOTA推出可查車輛保修履歷、行車服務資訊的「驅動城市」App,車主登入可參加抽獎,不過新北市一名車主何小姐投訴,經銷商國都汽車北市濱江服務廠陳姓專員擅用她的個資登入App參加抽獎,還留專員電話作為聯繫方式,怒斥:「太扯了!」國都汽車總公司表示,陳姓專員測試程式是否故障,卻忘了刪除,已懲處。律師指出,此舉違反《個資法》,當事人可求償。


車主何小姐說,丈夫日前駕駛她的TOYOTA轎車發生車禍,前往離上班地點較近的濱江服務廠維修,由陳姓服務專員負責接待,並在廠內維修完畢。


原僅供辦理賠

因何小姐是車主,陳姓專員幫忙申請保險理賠時,請她填寫申請表格,因對個資較為謹慎,當時她還特別在表格註明僅供申請理賠使用。

何小姐說, 6月22日又因另起交通事故到離家較近的TOYOTA新北市維修廠評估修繕,服務人員請她考慮下載行動App軟體,可查閱車輛保修履歷,她考量便利性,登入還可參加抽獎,便下載輸入個資登入軟體。

國都:已懲處

不料,系統卻顯示此個資已曾登入參加過抽獎,聯絡電話為0921開頭,經查發現是濱江廠陳姓專員擅用她個資登入,手機號碼為陳姓專員私人使用,何小姐批:「太扯了!我又沒有授權他使用我的個資參加抽獎!」

國都汽車總公司顧客關懷部主任邱東銘說,當天陳姓專員替何小姐申請保險後,另一名顧客反映此App程式似乎有問題,為了協助顧客,才會暫時使用何小姐的資料輸入測試,卻忘記刪除,已懲處。

陳姓專員則說,非故意使用何小姐的個資,會親自向何小姐致歉。


可求償2萬元

律師廖芳萱表示,此案客戶已指定個資的授權使用範疇,僅能申請保險理賠,就不得挪為他用,陳姓專員已違反《個資法》,依法即使何小姐不易或不能證明其實際損害額,仍可向法院依侵害情節求償每人每一事件500元以上、2萬元以下賠償,而業者應加強內部管理,避免損及企業誠信。

【防個資外洩須知】
1.申請各類服務或簽約,註明個資僅限特定使用範疇
2.避免用公眾電腦或無線上網使用網路銀行服務
3.完成操作後立即登出帳號
4.設定密碼不宜使用生日、身分證號碼等資料
5.少在網路上提供生日及身分證號碼等個資

轉載自《蘋果日報》

免費「怪獸大學」影音 駭客釣個資誘餌

免費「怪獸大學」影音 駭客釣個資誘餌

強檔電影猛吸金,駭客也藉散布非法強檔電影當作誘餌,趁機竊取網友個資,趨勢科技表示在今年4月下旬到6月間發現張貼在各社群網站超過1500個號稱《鋼鐵英雄》、《怪獸大學》等強檔電影的影音連結與搜尋結果,內含惡意連結可騙取使用者個資。


趨勢科技表示,《鋼鐵英雄》、《玩命關頭》最受駭客青睞,其他如暑期動畫《怪獸大學》和殭屍片《末日之戰》也榜上有名,而駭客主要透過在Facebook,Google+,YouTube和LinkedIn等社群網站張貼內含連結的貼文,透過分享增加曝光度與點閱率。

另外也會透過搜尋引擎毒化技巧,讓惡意網站於搜尋結果中名列前茅,再搭配「觀看」、「線上」、「免費」,以及熱門片名等關鍵字吸引使用者點選。

網友點選後被迫下載內含惡意程式的影音播放軟體、或被導向影音網站註冊或填寫問卷,前者可取得電腦內資訊或掌控權,後兩者則是騙取個資。

趨勢科技資深技術顧問簡勝財表示:「熱門電影或新上映電影總是駭客最愛的釣餌,網友大都因為好奇而點選這類盜版或外流影片,建議民眾不要貪圖便宜與方便而因小失大。」。

轉載自《自由時報 電子報》

2013年7月29日 星期一

賽門鐵克首次發現6款因「主密鑰漏洞」 均來自大陸

賽門鐵克首次發現6款因「主密鑰漏洞」 均來自大陸

安全公司賽門鐵克在自己的官方博客上發表文章,稱首度發現6款因為Android『主密鑰』漏洞而受到感染的應用,均來自大陸,且為同一攻擊者,但是博客並未透露具體是在哪個應用市場發現的。


根據36氪報導,這種所謂的『主密鑰』漏洞即是本月早些時候移動安全公司 Bluebox披露的一個威脅99%Android設備的漏洞。該漏洞可令駭客在不改變應用密鑰簽名的情況下篡改 APK(安裝包)代碼,從而讀取設備上任意手機應用的資料(電子郵件、短信、文檔等),獲取保存在手機上的所有賬號和密碼,接管並控制手機的正常功能。

雖然此後Google已向OEM提供威脅99%Android設備安全的漏洞補丁,但是由於 Android 的碎片化,Android 設備製造商和移動運營商不是很經常進行更新,以及眾多第三方應用市場對應用上架的鑒權工作不到位,給Android設備帶來很多安全隱患。

賽門鐵克在博客中稱惡意代碼是由Norton Mobile Insight發現的。Norton Mobile Insight是賽門鐵克的一款自動從各個應用商店收集和分析Android應用的工具。迄今為止,Norton Mobile Insight共發現了6款被感染的Android應用,均為大陸應用市場上發現,且攻擊者為同一人,被發現的受感染應用被命名為Android.Skullkey。

從賽門鐵克博客提供的截圖來看,這6款受感染應用的其中兩款為『醫生預約』、『我的工作站』,隨後博客又更新了4款受感染應用,但並未給出應用名稱,只說是分別為一款流行的新聞應用、一款街機遊戲、一款紙牌遊戲以及博彩應用。

賽門鐵克稱,攻擊者對上述應用注入了惡意代碼(具體是哪些應用市場上的未透露),可令其遠端控制設備,盜取諸如手機串號(IMEI)、電話號碼等資訊,並會向手機通信錄的所有人發送指向hldc.com(目前該網站域名為待售狀態)的鏈結,此外如果用戶手機安裝了國內的殺毒軟件,惡意代碼還會利用根權限遮罩這些殺毒軟件。

賽門鐵克稱攻擊者利用此漏洞各增加了兩個與原安裝包內含文件同名的文件,分別為classes.dex(包含有應用代碼)和AndroidManifest.xml(指定權限),以此來篡改應用。

受感染應用截圖

程式碼片段


對於此類病毒的防範,賽門鐵克建議只從出名的Android應用市場下載應用,並利用殺毒軟件掃描安裝應用保護安全。

轉載自《今日新聞網》

Ubuntu論壇遭駭,180萬用戶資料外洩

Ubuntu論壇遭駭,180萬用戶資料外洩

駭客已經自Ubuntu Forums的資料庫取得所有用戶的名稱、密碼,與郵件位址,雖然密碼採用雜湊加密,但Canonical仍強烈建議在其他網站使用同樣密碼的用戶儘快更新其他服務的密碼。 


專供Ubuntu開發人員交流的官方論壇Ubuntuforums.org在周六(7/20)宣布被駭客入侵並關站進行維修。

2004年設立的Ubuntuforums.org現有超過180萬的註冊會員,一開始是由Ryan Troy所建立,一直到2006年才交由Canonical代管,Canonical並在2007年取得Ubuntuforums.org的網域名稱、授權與其他相關資產。

現在連至Ubuntuforums.org仍出現該站正在進行維護的訊息,同時也坦承受到駭客入侵。該站表示,駭客已經自Ubuntu Forums的資料庫取得所有用戶的名稱、密碼,與郵件位址,雖然密碼採用雜湊加密,但Canonical仍強烈建議在其他網站使用同樣密碼的用戶儘快更新其他服務的密碼。

Canonical現在仍在調查此次的意外事件,但未說明論壇重新上線時間。不過,包括Ubuntu One、Launchpad或其他Ubuntu/Canonical服務並未受到此一安全威脅的影響。此外,用戶也可透過其他服務進行Ubuntu的交流,包括Ubuntu subreddit、Ubuntu Discourse及Google+上的Ubuntu Community等。

轉載自《iThome》

美國起訴5名竊取1.6億張信用卡資訊的駭客

美國起訴5名竊取1.6億張信用卡資訊的駭客

5名駭客被控共謀入侵電腦網路,並竊取個人身份及金融資訊,估計已藉此蒐集了逾1.6億個信用卡或簽帳卡號碼,然後透過黑市銷售。


美國聯邦檢察官本周起訴5名駭客,這些駭客竊取了超過1.6億張的信用卡與簽帳卡資訊,並透過黑市銷售,這也是美國史上遭到起訴的最大宗資料外洩詐騙案。

5名駭客被控共謀入侵電腦網路,並竊取個人身份及金融資訊,估計已藉此蒐集了逾1.6億個信用卡或簽帳卡號碼,然後透過黑市銷售。一組美國信用卡號碼要價10美元,歐洲信用卡號碼要價50美元,加拿大信用卡號碼則要價15美元。一旦被定罪,這些駭客都將面臨數十年的牢獄之災。

這5名駭客有4名俄國人及1名烏克蘭人,他們從2005年到2012年間鎖定了支付款交易業者、零售商,與金融機構進行攻擊,涵蓋NASDAQ、7-Eleven、JCP、Wet Seal、JetBlue、Dow Jones與Global Payment等十多家企業,以取得這些企業的客戶金融資訊。

這5名駭客各司其職,有人負責滲透網路安全機制以存取進入被駭系統的權限,或尋找資料庫中的珍貴資訊,有人負責提供匿名的網路代管服務,也有人負責銷售偷來的資訊。其中有兩名被告去年6月在荷蘭旅行的時候遭到逮捕,其他則仍逍遙法外。

紐澤西州檢察官Paul Fishman表示,這類犯罪相當高明,他們擁有破解電腦網路的專長與企圖,威脅到經濟發展、個人隱私,甚至是國家安全,而且讓美國零售商增加了營業成本。

轉載自《iThome》

微軟重申Windows Server 2012 R2支援Linux決心

微軟重申Windows Server 2012 R2支援Linux決心

微軟表示,為了提供客戶單一雲端基礎架構、單一組系統管理工具,我們知道必須確保Windows是「執行Linux作業的最佳基礎架構」。 


微軟昨日在TechED大會上重申伺服器軟體包括Windows Server 2012 R2、虛擬化軟體Hyper-V及系統管理軟體如System Center 2012 R2等對Linux作業系統的支援決心。

最新一代Windows Server OS及相關伺服器軟體產品,明顯是環繞著雲端運算而設計。Windows Server及System Center事業群的夥伴部門專案經理Eric Chapple指出,為了提供客戶單一雲端基礎架構、單一組系統管理工具,我們知道必須確保Windows是「執行Linux作業的最佳基礎架構」。


Windows Server 2012中的Hyper-V加入名為Linux integration services(LIS)乃是最新版伺服器作業系統的關鍵所在。Chapple指出,Hyper-V中的LIS內含包括Linux VM的即時備份和即時搬移等功能,使微軟虛擬化軟體能像跑Windows VM一樣來跑Linux VM。配合System Center 2012 R2,讓部署在Windows Server 2012 R2的雲端環境得以同時執行及管理Windows及Linux客端虛擬機器 (guest virtual machine)。

雲端運算成為主流,企業環境包括各種平台的機器。為了順應潮流,避免因過於封閉被邊緣化,支援多元作業系統乃是必然。微軟希望藉Windows Server 2012 R2及Hyper-V能吸引Linux的愛好者上門,而非轉向對手VMware。不過其實早在Windows Server 2008 R2時代,Hyper-V已初步支援SUSE及Red Hat Linux。

微軟表示,LIS為微軟加入Linux社群後的開發成果。而LIS的驅動程式也都經過Linux社群的檢視。現在Red Hat Enterprise Linux、SUSE Linux、Ubuntu、CentOS及Oracle Linux、Debian GPU都內建LIS。

因應Server OS對Linux的支援,管理軟體Microsoft System Center 2012 R2 SP1某些元件,包括Operations Manager、Configuration Manager、Virtual Machine Manager 及Data Protection Manager等也都將支援Linux。

Windows Server 2012 R2與System Center 2012 R2正式版都預計會在今年底出爐。

去年Windows Azure開始支援Linux。日前並宣佈旗下子公司Microsoft Open Technologies(MS Open Tech)與Java執行環境供應商Azul Systems共同開發可於Windows Azure雲端平台上Windows Server使用的免費Java(OpenJDK)。

轉載自《iThome》

2013年7月28日 星期日

汽車病毒來了!下次做汽車保養時,記得也要掃毒

汽車病毒來了!下次做汽車保養時,記得也要掃毒

越聰明代表越危險


現代的汽車雖然能夠跟行動裝置溝通,但目前的風險還算不大,因為行動裝置能夠接觸到的系統,只是車用的多媒體裝置;如果病毒想要破壞車用裝置,也頂多就是讓多媒體系統故障而已。

就算是透過網路防盜系統,如同之前德州汽車中心的防盜系統事件,這也頂多是讓車輛無法上路的故障問題,沒辦法控制汽車在行進間的「加速、轉向、或制動系統」;因為行車電腦、跟多媒體電腦是兩套不同的電腦系統,它們目前的設計都是各自獨立的。

不過,IT產業 Bazic Blue公司的工程人員 Cas Mollien表示:「未來這兩套系統被駭客跨平台侵入,是遲早的事情。然後,那時我們就麻煩了。」

而又由於車用電腦的彼此溝通能力會逐漸提升,所以這類病毒傳染事件也會越演越烈。例如現在有些汽車製造商都在發展自主偵測、或是車輛聯網溝通的技術,未來就有可能導致一車中毒、傳染給其他車輛的可能。

例如車與車之間互相溝通車況訊息、路況訊息,這就替病毒打開了一個傳播的管道;但就汽車製造商的角度而言,他們都一致表示這是不容易發生、而且他們也會努力防範的一環。可是,就 IT人員的角度來看,他們(汽車製造商)並沒有真的提供一個有效的解決方案來給大家參考。

目前電腦軟體製造商,如微軟(Microsoft)、蘋果(Apple),也都已經和某些汽車製造商合作,開發智能的車用多媒體系統,這已經是一條回不去的設計趨勢。未來,他們也會開始真正開發出行車電腦的防毒系統。

就 ESET防毒軟體公司的研究員 Goretsky表示:「就算是有電腦病毒、或是汽車病毒,這也不會讓我擔心到睡不著覺,而且這樣的風險,也不會讓我打消買車的念頭。」

看來是兵來將擋、水來土掩,就算有汽車病毒的出現,也會有防毒軟體來對應;只是,若干年以後,「掃毒作業」可能就是車輛定期保養時,跟換機油一樣、一定要執行的項目了。

▲Apple iPad平板電腦進入汽車,取代傳統座艙按鍵的 17吋觸控螢幕。

轉載自《T客邦》

Tor洋蔥網路天生匿名 遭駭客利用控管殭屍網路

Tor洋蔥網路天生匿名 遭駭客利用控管殭屍網路

根據安全方案商ESET安全研究人員指出,當前有愈來愈多的惡意程式作者,開始考慮將Tor匿名網路當做隱藏其C&C主控伺服器實際位置的做法與選項。

botnet-100034898-gallery

ESET安全研究人員最近偶然發現兩隻殭屍網路型態的惡意程式 ── Win32/Atrax與Win32/Agent.PTA,這兩隻惡意程式所採用的C&C主控伺服器會以Tor「隱藏服務」的樣貌運行。

Tor隱藏服務協定允許使用者設定服務(多半是Web伺服器),而且該服務只能從Tor網路之內,透過以.onion假頂層網域做為結尾的隨機主機名稱來存取。

該協定被設計用來專門隱藏用戶端「隱藏服務」的真實IP位址,同時也會隱藏該服務的用戶端IP位址,這使得任何一方幾乎都不可能確認出彼此的真實位置及身分。

Tor用戶端與Tor隱藏服務之間的流量會被加密,同時會透過一系列參與網路並扮演中繼角色的電腦來隨機路由。

透過Tor來控管殭屍C&C主控伺服器並非什麼新的想法。該攻擊手法的優勢與弱點,早在2010年DefCon 18安全大會上便已展示討論過。

該概念的實際攻擊展現也曾在過去出現過。

去年12月,安全方案商Rapid7 的安全研究人員辨識發現,擁有12,000到15,000台遭劫持電腦所組成的Skynet殭屍網路,這些殭屍電腦會接收來自以Tor隱藏服務樣貌運行之IRC伺服器的命令。安全研究人員在當時便警示,也有其他惡意程式作者採用同樣的攻擊手法。

資料來源:PCWorld
轉載自《網路資訊雜誌》

2013年7月27日 星期六

資安業者發現新型金融木馬程式KINS

資安業者發現新型金融木馬程式KINS

RSA從今年2月起就開始追蹤KINS,當時是在論壇中發現有人討論此一新的金融木馬,但一直到7月,KINS才在俄國的駭客圈公開銷售,售價為5000美元。

EMC旗下資安部門RSA表示,繼Zeus、SpyEye及Citadel之後,他們最近發現了名為KINS的新一代金融木馬程式。

RSA從今年2月起就開始追蹤KINS,當時是在論壇中發現有人討論此一新的金融木馬,但一直到7月,KINS才在俄國的駭客圈公開銷售。

根據作者的聲明,KINS並未翻修其他程式,而是一個全新打造的木馬程式,它有Dropper及DLLs兩個主要元件,除了備有技術支援外,也會繼續研發新功能,支援Windows 8作業系統,售價為5000美元。

RSA分析,KINS具備許多類似Zeus及SpyEye的功能,例如架構、網路注射及Anti-Rapport外掛,而不會感染蘇聯共和國地區的設計則與Citadel木馬一致,另也強調不必具備太多技術背景即可使用。

金融木馬程式主要是用來竊取使用者的金融帳號資訊以牟利,RSA表示,KINS很容易就能感染執行Windows 8及x64系統的平台,而且深植在系統中,使之更難偵測與移除。

轉載自《iThome》

2013年7月26日 星期五

首批瑣定Android 數位簽章漏洞的惡意程式現身

首批瑣定Android 數位簽章漏洞的惡意程式現身

此一被稱為「主密鑰」或「萬能金鑰」(Master Key)的漏洞允許駭客繞過數位簽章在合法的程式中藏匿惡意程式碼,還可使用既有的許可來執行機密任務。 

受感染程式畫面。(圖片來源:Symantec)

行動安全業者Bluebox Security在7月初揭露Android安全模組中的一項漏洞,讓駭客可以繞過數位簽章篡改合法程式,並宣稱有99%的Android裝置都受到影響。另一資安業者Symantec則在周三(7/24)表示,已在中國的Android程式市集中發現6款利用該漏洞的惡意程式。

Android應用程式都必須經過數位簽署程序,除了確保程式未被篡改,也可證明程式是出自於原有的發佈商。此外,Android平台也採用一個程式等級的審核系統,要執行機密任務時必須先獲得許可,而數位簽章的目的即是為了避免程式及所附帶的許可被挾持。

此一被稱為「主密鑰」或「萬能金鑰」(Master Key)的漏洞允許駭客繞過數位簽章在合法的程式中藏匿惡意程式碼,還可使用既有的許可來執行機密任務。

Symantec先是在中國的Android程式市集中發現兩款已被感染的程式,這兩款程式皆屬醫藥程式,但被注射了惡意碼,讓駭客能夠遠端控制使用者的裝置,竊取諸如IMEI或電話號碼的機密資料,還能傳送高價的簡訊,以及透過最高命令關閉某些中國行動安全軟體。

同一天Symantec再發現由同一名駭客操縱的其他4款被感染的程式,包含一個受歡迎的新聞程式,以及電玩遊戲程式、紙牌遊戲程式與抽獎程式等。

Symantec將這類已被感染的程式統稱為Android.Skullkey,而且迄今所發現的6款Android.Skullkey都是針對中國市場所設計,還會傳送簡訊給使用者所有的聯絡人,在簡訊中邀請友人一起玩遊戲,並附上一個行動遊戲網站的連結。

Symantec預期駭客會繼續利用此一漏洞來感染使用者的裝置,建議使用者僅透過有聲譽的Android程式市集下載程式。

轉載自《iThome》

防毒軟體的末日!?

防毒軟體的末日!?

antivirus-logo

曾經,我們以為防毒軟體可以阻擋所有網路上可能出現的惡意病毒,並解決一切的問題,但隨著時代改變,各大防毒軟體公開承認,他們已經無法有效為用戶電腦隔絕病毒侵襲,為什麼!?

答案就是:「錢」。

由於當前網路空間容納太多個人資料,包括信用卡、身分證號、聯絡人資訊以及喜好等,因此有越來越多的駭客以竊取個人資訊為獲利目標,在這樣的情況下,必然竭盡所能,誓言挖到所有的個人資訊。

如此一來,防毒軟體公司改寫程式的速度永遠趕不上駭客破壞的速度,防毒軟體必將無效,調查更顯示,新出現的82種病毒中,能有效被偵測到的只有五種,而且木馬病毒有可能潛藏許久、一周、數月,甚至數年都有可能,讓用戶們防不勝防。

原文出處:Epyk
轉載自《LIFE》

政府開始正視駭客社群,研擬臺灣白帽駭客培育計畫

政府開始正視駭客社群,研擬臺灣白帽駭客培育計畫

過往向來低調的臺灣駭客年會,今年首度由行政院科技會報辦公室副執行秘書黃彥男開場致詞。政府不只積極參與這類駭客人才聚會,也開始討論有制度性的白帽駭客培育計畫 

行政院科技會報辦公室副執行秘書黃彥男表示,是否有像韓國一樣的(駭客人才培育)計畫,現在還在討論中。希望不久的將來,會有明確的做法。

過往向來低調的臺灣駭客年會(HITCON),今年首度由行政院科技會報辦公室副執行秘書黃彥男開場致詞。黃彥男認為,駭客攻擊行為越來越多,像韓國320事件只是個開始,駭客攻擊行動已經從商業活動提升至國家安全等級,所以政府才會積極參與這類駭客人才聚會。

政府不只是正式派官員參與駭客活動,也開始討論更有制度性的培育計畫。黃彥男表示,政府相當重視資訊安全,也會重視資安人材的培育,「是否有像韓國一樣的(駭客人才培育)計畫,現在還在討論中。希望不久的將來,會有明確的做法。」在此次駭客年會中,就有韓國知名駭客Lee SeungJin前來分享韓國政府培育駭客的做法。

韓國從產官學和社群,計畫性培育白帽駭客人才
Lee SeungJin表示,大約在90年代末期,韓國開始有駭客的活動,到了2000年,有4個地下駭客社群開始訓練與培育下一代,至今,韓國駭客的培育,可分為4個部份探討,分別是政府、產業、社群以及學術界

韓國政府因為和北韓存有緊張關係,因此韓國政府開始在2000年開始尋找優秀的駭客,援助駭客社群,推動資安產業成長。

韓國政府也有數個和資安相關的機構,像是KISA、Cyber command、BoB等。KISA像是網路危機處裡中心,從去年9月開始並舉辦漏洞賞金專案;Cyber command如同美國的網戰司令部,負責制定網路攻擊、開發網路安全技術等等;BoB則是去年成立的計畫,旨在培育年輕人成為資安專家,共有8個月的課程,採淘汰制,最後僅挑選出最優秀的10位人才,可得到1萬7千美元,並獲得海外留學的機會。

而韓國的資安產業與企業則開始體認到駭客攻擊是真正的威脅,並且,韓國嚴格的法律規範,如果韓國企業受駭,該企業必須賠償其客戶,也讓他們必須更加重視自身的資訊安全。目前在韓國有超過200家資安廠商,資安產業支持任何的駭客活動與會議。而韓國也有法律讓優秀的資安人才可至資安廠商服資安替代役。

至於韓國駭客社群的經營,在1999年就開始有駭客競賽,並將舉世聞名的Defcon大賽視為挑戰的目標,後來韓國的隊伍甚至闖進Defcon決賽過。韓國每年有超過10場的駭客研討會或是競賽,是由企業贊助,駭客社群協助舉辦。

這些駭客社群平時致力於教育下一代年輕人,強調駭客的道德觀,並會提供教材讓有興趣的人可從網站上學習,像是名為hackerschool的網站,裡面就以卡通的方式呈現駭客所需的觀念;或是1~2個月舉辦讀書會,經驗分享,更曾邀請過國外知名的資安人士前來指導,像是曾贏得Pwn2Own駭客競賽,並被譽為iPhone專家的著名的資安研究員Charlie Miller就曾參與過。

至於學術界方面,韓國有超過10所大學設有和資訊安全相關的科系,像是首爾大學、首爾女子大學、世宗大學等。以首爾大學來說,僅SAT成績在前面1%,或是曾經在駭客競賽中得名的學生才可以入學,並享有全額獎學金,所有課程皆是保密的。

轉載自《iThome》

2013年7月25日 星期四

知名滲透測試工具 Metasploit 發佈 4.7 新版

知名滲透測試工具 Metasploit 發佈 4.7 新版

相較於偵測系統是否存在已知安全漏洞的弱點評估作業,滲透測試是一種更積極驗證系統安全性的方法,透過模擬惡意攻擊行為,以便找出目前IT系統中不安全的部份,而要執行這樣的工作,除了請人工的方式來測試之外,也可搭配專用的工具軟體協助,而2009年被Rapid7公司併購的Metasploit也是其中一種工具。

這套Framework,僅具備命令列的操作介面與基本的滲透測試功能,但已經包括近期針對不同平臺的數百種遠端漏洞利用行為模組,可讓IT人員混合運用,以便執行指定的滲透任務。至於社群版,已提供了簡單的網頁操作介面,具備管理資料、網路探勘(Discovery)與匯入第三方安全系統的能力,可進行基本的滲透測試。

參考資料:
官方網站:http://www.metasploit.com/

更新項目:
1.SSH Key Testing。
2.Single Password Testing。
3.Pass the Hash。
4.Passive Network Discovery。
5.Firewall Egress Testing。
6.Known Credentials Intrusion。

下載處:
http://www.rapid7.com/products/metasploit/download.jsp

註1:Metasploit 在許多安全檢測光碟(例如:BackTrack、Kali Linux)套件中都有內建,如用套件請記得更新!

註2:影片為使用舊版的示範,提供給不知道這是個什麼靈異鬼東西的人參考!


轉載自《網路攻防戰》

白帽駭客認證 提昇攻防技術力

白帽駭客認證 提昇攻防技術力

近年來駭客攻擊事件不斷,不管是為了政治威脅,或是竊取資料獲利,不難發現駭客攻擊策略、技術程度皆已超越既有的資安防護技術。 EC-Council(國際電子商務顧問局)副總裁Sean Lim即指出,企業為了降低資安風險,所需投入的成本越來越高,卻仍舊防不勝防。一方面駭客工具太容易取得,連購物網站都可以買到含有駭客程式的隨身碟;另一方面是基於人性使然,畢竟資訊犯罪仍相當有利可圖。

他在實際承接顧問專案時就常發現,企業端雖建置了防火牆、IPS、WAF等資安設備且持續穩定運作,也從未發現過攻擊事件,但實際上駭客卻早已入侵,只是透過隱匿的手法避開安全防護偵測,正在背景執行情資蒐集,或把機密資料打包加密上傳。

「IT人往往會迷思在鑽研設備端的知識與技能,而忽視該如何善加運用來巡邏檢視、抵擋駭客的攻擊行為。其實要對抗駭客攻擊最好的辦法,就是讓自己成為一名不做壞事的道德駭客。」Sean Lim強調。

懂得理論基礎之後,必須透過實際演練駭客攻擊行為,才能懂得駭客的思維,這也就是EC-Council CEH(Certified Ethical Hacker)駭客技術專家認證課程的宗旨。EC-Council CEH認證在台灣也常被資安界稱為「白帽駭客認證」或「駭客殺手認證」,其課程內容會以真實發生的攻擊事件為範本,不僅教導學員當時駭客運用的手法,且讓學員自己實作,在測試環境中實際演練,才得以從中理解駭客攻擊行為邏輯,進而運用到實務環境。


其實EC-Council在台灣推廣教育已有近五年時間,可提供認證課程的類別相當多,還包括資安鑑識調查、資安危機處理、安全程式設計師等方面。Sean Lim發現,台灣不僅在IT基礎建設與技術研發人才方面皆有一定的成熟度,並且是一個高度證照化的環境,尤其是MCSE與CCNA認證資格,往往是企業招募IT人員時重要的參考依據。但是在基本證照過度普及的年代,若能同時具備資安方面的能力,更容易吸引企業關注,擁有可證明的相關證照,亦可在競爭對手中突顯出差異性。

EC-Council相較於在台灣較知名、也較多人取得的CISSP(資安系統專家認證),精誠資訊知識產品事業部資深處長周惠卿認為,CISSP較著重在發展資安管理政策的技能,較偏向管理階層的訓練。而EC-Council強調的是實務面運用,因此藉由國際間資安領域相當認同的CEH認證課程,將有助於IT人員提昇駭客攻防的專業知識與能力。

轉載自《網管人》

土耳其資安研究員表示:蘋果開發者中心是我駭的

土耳其資安研究員表示:蘋果開發者中心是我駭的


昨天 Apple 才針對開發者中心被駭入的情況作了解釋,今天土耳其資安研究員 Ibrahim Balic 就跳出來表示網站是他駭入的。按照他的說法,透過漏洞,可以輕易獲得開發者的姓名、Email 地址還有相對應的帳號,為了證明自己不是空口說白話,Ibrahim Balic​ 甚至還在 Youtube 上展示他如何做到的。雖然 Ibrahim Balic​ 聲稱他的用意只是希望蘋果能重視漏洞這個問題,並且在得到資料後立刻稟報蘋果,並將資料全數刪除,不過向來以保護自己產品和權益出名的蘋果,會不會向 Ibrahim Balic​ 提告就很難說了。當然蘋果沒有承認或是向任何媒體回答這樣的一個問題,畢竟家醜不外揚,誰都不願意多提的說。

原文出處:The Guardian, NTV/MSNBC, Ibrahim Balic (Twitter)
轉載自《Engadget》

2013年7月24日 星期三

側錄羅技無線鍵盤的訊號

側錄羅技無線鍵盤的訊號
Sniffing Logitech 27Mhz wireless keyboard

說實在的側錄 27MHz 射頻 (無線電頻率) 的無線鍵盤訊號也不是什麼新聞了,早在好幾年前的美國駭客年會(BlackHat)上就已經示範過了。只是當時主講者使用羅技的 Logitech 27 MHz Wireless Keyboards 所以後繼者也大多拿該公司的鍵盤做實驗。

本影片是由 Insight-Labs 的 Kevin2600 所錄製的,來重複驗證側錄無線的鍵盤訊號過程。

相關參考資料如下,就提供給有興趣深入研究的人探索!

滑鼠的相關規格介紹:
http://zh.wikipedia.org/wiki/鼠标

駭客年會 BlackHat 研究報告下載處:
27Mhz Wireless keyboard Analysis Report aka "We know what you typed last summer"

實驗所使用的軟體:
1.Universal Software Radio Peripheral (USRP)
軟體說明:
http://en.wikipedia.org/wiki/Universal_Software_Radio_Peripheral

2.GNURadio Toolkit
軟體說明與具體安裝方法:
Transceiver for 27 MHz wireless keyboards from Logitech
https://www.cgran.org/wiki/Logitech27MHzTransceiver

3.KeyKeriki v1.0 - 27MHz 側錄工具下載處:
http://www.remote-exploit.org/articles/keykeriki_v1_0_-_27mhz/

4.KeyKeriki v2.0 – 2.4GHz 側錄工具下載處:
http://www.remote-exploit.org/articles/keykeriki_v2_0__8211_2_4ghz/index.html


轉載自《網路攻防戰》

2013年7月23日 星期二

日本LINE伺服器遭非法存取,169萬NAVER會員個資外洩

日本LINE伺服器遭非法存取,169萬NAVER會員個資外洩

日本LINE伺服器遭不明人士非法存取,旗下NAVER入口網站各項服務會員帳號個資總計超過169萬筆可能外流,可能流出的個資包括帳號ID、電子郵件信箱、Hash加密的密碼與帳號暱稱。 

日本LINE週五(7/19)證實伺服器遭不明人士非法存取,旗下NAVER入口網站各項服務會員帳號個資總計約169萬2496筆可能外流,但不含日本國內外LINE用戶帳密與個資。

上周四(7/18)上午,日本LINE系統部發現管理NAVER帳號資料庫的伺服器有疑似非法存取的跡象,立刻會同相關部門展開調查,約1小時後發現非法存取路徑並將其切斷,但這段時間內伺服器已被植入帳號密碼抓取程式,確認有個資外洩的風險。於同日晚間開始執行各項系統詳細檢測,NAVER服務全部切換為安全模式暫停使用者登入服務,至周五晚間起才依序恢復服務。


詳細調查後發現,7/17晚間至7/18上午這段期間內均有從外部非法存取伺服器的跡象,導致在日本提供的5項NAVER服務帳號陷入個資外洩風險,可能流出的個資包括帳號ID、電子郵件信箱、Hash加密的密碼與帳號暱稱。

截至目前為止日本LINE並未接獲關於帳號遭竄改或個資被不當使用的回報,7/19晚間也陸續針對有個資外洩風險的客戶寄發修改密碼信件,敦促用戶及早更換新密碼以免遭第三者濫用。日本LINE說明,今後將舉全社之力強化網路監控體制,以防止有心人士繼續竊取用戶個資。

轉載自《iThome》

病毒攜手合作 互相下載變種以免遭移除

病毒攜手合作 互相下載變種以免遭移除

在這個講求專業分工、互相合作的年代,就連病毒攻擊也不例外,Vobfus和Beebone兩款病毒最近被發現可以交替下載對方的變種程式,彷彿在電腦內創造一個無限循環的感染模式,大幅降低被移除的可能性。

Vobfus為一個下載程式(downloader),在2009年9月首度被發現,曾經利用代號MS10-046的漏洞進行大規模擴散,日前,微軟惡意軟體防護中心(MMPC; Microsoft Malware Protection Center)發現,最新的Vobfus變種為了避免被移除,找上Beebone病毒合作,而且,Vobfus還具備複製到外接式儲存裝置的能力,微軟病毒防護中心的主管Hyun Choi表示,此能力讓Vobfus在外接式儲存裝置上的感染成功率相當高。

當電腦感染Vobfus後,會從C&C伺服器下載Beebone,而Beebone同樣具有下載Vobfus的能力,這兩個病毒藉由不斷下載對方變種程式的合作模式,讓防毒軟體無法立即偵測到最新的變種,即使一方病毒遭移除,只要另一個病毒存在,依舊可以再幫它下載新的變種。


過往,病毒/惡意程式躲避防毒軟體偵測的方式是定期自動更新,缺點是只要使用者更新病毒碼,該隻病毒/惡意程式就有可能被偵測與移除,而Vobfus和Beebone的合作模式讓他們成為彼此的最佳掩護,不僅讓防毒軟體難以捉摸,也為企業資安增添了幾分挑戰。

轉載自《資安人科技網》

利用手機 USB 連接電腦充電竊取資料

利用手機 USB 連接電腦充電竊取資料

一個名叫「USB Cleaver」的 Android App。這個App 的特別之處,是能夠在安裝後,透過 USB 連接電腦,拿取儲存於電腦內的重要密碼,包括瀏覽器儲存的社交網絡、電郵等帳戶和網站登入密碼,甚至是 Wi-Fi 密碼。

Android Hack-tool, USBCleaver
一些惡意軟件開發商,未來也可能會使用類似方法,把拿取電腦檔案的編碼植入其他Android Apps,並自動上載這些偷取的檔案到網上。

這個程式的感染步驟如下:

1. 安裝後,Android 介面會看到USB Cleaver 的圖示,打開後程式會引領用戶下載另一個約3MB 的檔案。

2. Android 用戶可以 USB 接駁電腦,再選擇要拿取的資料和密碼。

原文出處:F-Secure
轉載自《網路攻防戰》

2013年7月22日 星期一

19種 Google Chrome 瀏覽器的滲透測試擴充工具

19種 Google Chrome 瀏覽器的滲透測試擴充工具

01.Web Developer
02.Firebug Lite for Google Chrome
03.d3coder
04.Site Spider
05.Form Fuzzer
06.Session Manager
07.Request Maker
08.Proxy SwitchySharp
09.Cookie Editor
10.Cache Killer
11.XSS Rays
12.WebSecurify
13.Port Scanner
14.XSS chef
15.HPP Finder
16.The Exploit Database
17.GHDB
18.iMacros for Chrome
19.IP Address and Domain Information

原文出處:INFOSEC
轉載自《網路攻防戰》

蘋果開發人員網站被駭,系統全面翻新中

蘋果開發人員網站被駭,系統全面翻新中

駭客於上周四嘗試存取該站的開發人員資料,雖然這些資料無法被存取且是加密的,但仍無法排除開發人員的姓名、地址或郵件位址外洩的可能性,因此蘋果在周四立即關閉該站以進行搶修。 


開發人員上周四(7/18)發現無法存取蘋果專為開發人員設計的網站,周日(7/21)蘋果證實該站遭到駭客入侵,因而進行全面翻修,迄今尚在搶修中。

蘋果開發人員網站是專供已註冊的蘋果開發人員下載各種工具、文件與存取各種開發資源的網站,上周四開發人員除了發現無法存取該站外,也收到蘋果要求重設密碼的郵件,蘋果周日再發信予開發人員,證實該站遭到駭客入侵。

現在的蘋果開發人員網站從外觀看來仍是完好的,但當要登人會員中心時便會看到蘋果的聲明。蘋果說明,駭客於上周四嘗試存取該站的開發人員資料,雖然這些資料無法被存取且是加密的,但仍無法排除開發人員的姓名、地址或郵件位址外洩的可能性,因此蘋果在周四立即關閉該站以進行搶修。

蘋果表示,為了避免同樣的安全威脅再發生,重新翻修了開發人員系統,更新了伺服器軟體,同時也重建整個資料庫,很快就會恢復正常,若有會員資格在此期間到期,蘋果將會延長會員的有效期限,也不會移除App Store架上的程式。

延伸閱讀:
蘋果開發者網站被駭,6百萬開發者個資有外洩風險

轉載自《iThome》

蘋果開發者網站被駭,6百萬開發者個資有外洩風險

蘋果開發者網站被駭,6百萬開發者個資有外洩風險

蘋果開發者網站上週四發現遭駭客入侵,而緊急關站,600萬名開發者有部分用戶姓名、通訊地址或Email可能遭竊外洩,目前蘋果蘋果正在搶修中,尚未公布重新開站的時間


蘋果開發者網站被駭而緊急關閉,蘋果也在關站公告上坦言,有1名入侵者試圖存取註冊用戶的資料,蘋果在公告上表示,所有用戶資料均有加密,但不排除,部分開發者的姓名、電子郵件或實體通訊地址可能遭外洩。目前蘋果正在清查系統,以及更新伺服器軟體,也重建內部資料庫。目前,蘋果還未宣布何時重新開放開發者網站。

蘋果開發者網站成長速度飛快,註冊人數已超過6百萬名開發者,光是去年就有150萬名開發者註冊。剛滿5歲的App Store已有90萬種App,蘋果付給開發者的款項5年來累計超過100億美元。開發者可在這個開發者網站上存取各種iOS和OS X的開發資源,也能透過網站測試或發布App程式。

這600萬名開發帳號的個資,如開發者姓名,通訊地址、Email等,可能都因這次被駭事件而面臨個資外洩的風險。

後續追蹤:
蘋果開發人員網站被駭,系統全面翻新中

轉載自《iThome》

技術有瑕疵 5億手機恐遭駭

技術有瑕疵 5億手機恐遭駭

聯合國國際電信聯盟告訴路透社,計劃發函警告世界各國和業者,手機技術發現嚴重缺陷,可能讓駭客能夠從遠端攻擊或控制至少5億支行動電話。

SIM card signature

柏林的安全研究實驗室(Security Research Labs)發現,這個程式錯誤(bug)能使駭客從遠端控制並複製某些手機的SIM卡。

安全研究實驗室表示,駭客能用被駭的SIM卡從事金融犯罪或電子偵監。安全研究實驗室將於7月31日在拉斯維加斯舉行的黑帽(Black Hat)駭客會議上說明問題所在。

設在日內瓦的國際電信聯盟(InternationalTelecommunication Union)說,這項研究「非常重要。這些發現展示出,在網路安全的風險上我們可能遭遇的狀況」。

國際電信聯盟秘書長托赫(Hamadoun Toure)告訴路透社,將會通知全球將近200個國家的電信監管機構等政府單位,告知相關潛在威脅,也會通報數以百計手機公司、學術界人士和業界專家。

原文出處:中央通訊社
轉載自《Yahoo奇摩新聞》

2013年7月21日 星期日

Apache Struts 2高風險漏洞釀災,基金會呼籲盡快安裝安全更新

Apache Struts 2高風險漏洞釀災,基金會呼籲盡快安裝安全更新

這些漏洞已在中國釀成災難。新浪網報導,包括百度、阿里巴巴、騰訊等大型網站及政府、金融機構都受到影響。其中百度更為此針對百度站長平台的使用者發出緊急安全通告。

Apache Software基金會針對Apache Struts2 二項可讓駭客取得企業網站伺服器控制權的高風險漏洞發出安全更新,由於駭客已經針對漏洞發動攻擊,基金會強烈建議使用者迅速下載並安裝更新。

Java Web應用的開發框架Struts 2.3.15.1公眾版安全更新旨在修復Struts2中兩項和DefaultActionMapper class及其Action有關的兩項安全漏洞。安全專家表示,漏洞出在縮寫的導航和重定向前綴 (short-circuit navigation parameter prefix) 三個Actions:「action:」、 「redirect:」、 「redirectAction:」上,由於這些參數前綴的內容沒有被正確過濾,讓駭客可以透過漏洞執行命令,存取受害伺服器的訊息,進一步取得最高控制權限。

根據Apache軟體基金會的公告,兩項漏洞中,S2-016會導致系統遭到駭客遠端執行程式碼,Apache軟體基金會將它列為高風險 (highly critical) 。S2-017則會給駭客開啟重導引 (redirect) 的機會。

這些漏洞已在中國釀成災難,新浪網報導,包括百度、阿里巴巴、騰訊等大型網站及政府、金融機構都受到影響。其中百度在周四(7/18)更針對百度站長平台的使用者發出安全通告:「昨日,互聯網遭受了一場漏洞風波——Apache Struts2高危漏洞,影響到Struts 2.0.0 - Struts 2.3.15的所有版本。全球千萬網站及國內各大網站均受到不同程度的影響。攻擊者可以利用該漏洞執行惡意java代碼,最終導致網站資料被竊取、網頁被篡改等嚴重後果。為了避免站長們的損失,百度站長平臺現發出安全風險通告,請您排查網站是否使用Struts2框架,如使用請您及時診斷自己網站是否存在該漏洞。」


Apache基金會強烈建議使用者迅速下載並安裝更新。Struts開發人員已在更新中加入可過濾「action: 」前綴資訊的程式碼,且移除「redirect: 」及「redirectAction: 」前綴的支援。由於使用舊版前綴的應用無法使用最新版的Struts 2.3.15.1,因此Apache基金會也建議企業以修改過的導航規則取代之。

轉載自《iThome》

研究人員揭露 Java 7 新漏洞,10年前的手法就可攻陷

研究人員揭露 Java 7 新漏洞,10年前的手法就可攻陷

Gowdiak並批評,如果甲骨文的Java SE有採用任何的軟體安全保證程序,就應該在Java SE 7發表前便解決Reflection API的缺陷,也應能杜絕10年前的攻擊手法,從該漏洞可合理懷疑要不是甲骨文的安全政策與程序不值一提,就是執行層面有問題。 

波蘭資安業者Security Explorations周四(7/18)透過Full Disclosure揭露了Java SE 7中的安全漏洞,宣稱這雖然是個新發現的漏洞,但以10年前的技術就能攻陷。

Security Explorations執行長Adam Gowdiak表示,該漏洞允許駭客利用10年前便廣為人知的手法來攻擊Java虛擬機器,此類的威脅應該是在添增新功能至核心的虛擬機器時便應在第一時間防止的,更令人訝異的是在Java SE 7中的Reflection API並未採取應有的保護機制來防堵該攻擊。

Reflection API為一在包含Java等高階虛擬機器語言中非常普遍的技術,可用來檢查與修改物件在運行時的架構及行為。


Security Explorations已經打造出該漏洞的概念性攻擊程式,並證實可執行於Java SE 7 Update 25及之前的版本,將可入侵Java虛擬機器的基本功能。

Gowdiak並批評,如果甲骨文的Java SE有採用任何的軟體安全保證程序,就應該在Java SE 7發表前便解決Reflection API的缺陷,也應能杜絕10年前的攻擊手法,從該漏洞可合理懷疑要不是甲骨文的安全政策與程序不值一提,就是執行層面有問題。

從去年底開始,資安研究人員便不斷披露Java的安全漏洞,Facebook、蘋果及微軟都成為Java漏洞的受害者,還有不少業者建議使用者暫時關閉瀏覽器中的Java功能以避免受到影響,雖然甲骨文今年以來已多次釋出Java更新,然而Java的安全問題似乎仍未解決。

轉載自《iThome》

2013年7月20日 星期六

日網路公司NIFTY遭非法登入攻擊,2萬會員個資外洩

日網路公司NIFTY遭非法登入攻擊,2萬會員個資外洩

NIFTY曾在本月11日發出帳號密碼安全教學訊息週知會員,特別針對最近日本這種經常發生的非法登入事件,請會員不要在多種網路服務中使用相同帳密登入,結果在短短幾天便陷入大量ID遭非法登入,會員個資外洩的窘境。 

日本大型網路公司NIFTY週三(7/17)證實遭非法登入攻擊,旗下@nifty會員21184筆ID有個資外洩風險。

ニフティオフィシャルブログ周二(7/16)上午NIFTY伺服器出現客戶個人資料頁面登入量異常增加的現象,追查後發現是來自日本國內特定IP嘗試大量登入所導致,帳號密碼研判是經由某種手段從其他服務取得。在特定時間重複嘗試下,估計有21184筆ID被成功登入。

客戶個人資料頁面中顯示的資料包括姓名、地址、電話、出生年月日、性別,與服務租用狀態等各種詳細資料,信用卡資料則是以部分遮蔽的方式顯示,因此初步排除被竊取進行網路盜刷的可能性。

NIFTY在事發當下採取的防範措施為立刻切斷該IP的存取權限、以郵件通知所有會員重新設定密碼,並設立專頁讓會員查詢自己的ID是否在本次被害範圍內。

NIFTY曾在本月11日發出帳號密碼安全教學訊息週知會員,特別針對最近日本這種經常發生的非法登入事件,請會員不要在多種網路服務中使用相同帳密登入,結果在短短幾天便陷入大量ID遭非法登入,會員個資外洩的窘境,由此也能看出部分日本民眾對網路個資保護仍不夠細心。

轉載自《iThome》

2013年7月19日 星期五

不動產個資管理法上路 房仲皮繃緊

不動產個資管理法上路 房仲皮繃緊

房仲業因業務需求,搜集持有大量個人資料,若主管機關未善加管控,民眾可能三天兩頭就被仲介打擾,內政部訂定《個人資料保護法》後,仲介「擾民」的行為少了,不動產仲介經紀公會全聯會理事長李同榮直說,只要能保障客戶權益,公會必定全力配合。

個資法上路後,房仲業對顧客資料須有更嚴格的管控與保護。(好房資料中心)


不動產個人資料安全維護管理辦法規定,仲介應訂定個人資料檔案安全維護計畫,送縣市主管機關備查,並配置人員、資源、擬訂資料保護政策,同時,因業務需要清查個資時,仲介必須做好風險分析與管控,還要定期或不定期對公司業務人員進行教育宣導。

最重要的是,仲介在蒐集個資前,應告知當事人,並尊重當事人拒絕接受行銷的權利;當委託期滿後,仲介也必須主動刪除或銷毀當初簽訂的委託書,以保障屋主權益。

對於政府規範,著有《良心房仲的告白》的李同榮表示,客戶不論委託買賣,或上門帶看,都會留下諸如身分證字號等重要個資,若遭洩漏或不當利用後果將不堪設想。各房仲公司近期已提送計畫至內政部審查,下個月就會開始以範本對第一線業務人員宣導,未遵守規定的業者,將來會面臨相關罰則。

轉載自《好房News》

2013年7月17日 星期三

Android 系統暗藏美國稜鏡計畫 PRISM 的監控後門?

Android 系統暗藏美國稜鏡計畫 PRISM 的監控後門?

nsa android

Google 號稱開放原始碼的 Android 系統中,其實也同樣為 NSA 撰寫了專用的程式碼在 Android 所有版本中,Google 發言人 Gina Scigliano 也證實了此事,不過她卻也表示由於 Google 是一個開放原始碼的系統,因此任何人都可為其附加程式碼,因此 Google 無法評論此事。

雖然 Android 是一個開放的系統,不過 Google 的確也把 NSA 的程式碼整合進 Android 中,而且是從 2011 年釋出到之後的版本都包含這個程式碼,也就是無論是三星、HTC 還是 SONY 的 Android 裝置都包含這些程式。

NSA 發言人 Vanee Vines 在聲明中稱,幾乎所有搭載 Android 的手機、平板電話以及其他設備,都含有 NSA 所編寫的代碼。但是 Vines 並沒有說明整合進 Android 中的程式碼,是否就是美國監聽計畫 PRISM(稜鏡計畫)的一部分。

美國國家安全局 (NSA) 官方說明:
http://www.nsa.gov/research/selinux/related.shtml

相關參考資料與報導:
Google 在 Android 也暗藏供美國政府後門?
http://technews.tw/2013/07/11/nsa-code-in-android/

Android 系統被指植入 PRISM 監控,Samsung、HTC、Sony 也不例外
http://www.hk-android.info/archives/62198

Why you shouldn't worry that the NSA is inside Android's code
http://www.zdnet.com/why-you-shouldnt-worry-that-the-nsa-is-inside-androids-code-7000018040/

Security Enhancements for Android
http://selinuxproject.org/page/SEAndroid

Yes, the NSA contributed code to Android. No, you don’t have to freak out about it
http://www.androidauthority.com/nsa-android-code-239118/

原文出處:androidauthority
轉載自《網路攻防戰》

2013年7月16日 星期二

科大生駭校改成績 緩起訴罰勞務

科大生駭校改成績 緩起訴罰勞務


景文科技大學陳姓學生想轉到資管系,居然駭入學校資料庫改自己成績及曠課紀錄,還一舉奪下第一名,卻因偽造系主任簽名而露餡;台北地檢署昨依妨害電腦使用等罪名緩起訴兩年,罰他勞動服務六十小時。

檢方查出,陳姓學生去年就讀景文科大電子工程學系一年級,他十一月扮駭客,在住處及網咖攻入學校電腦,竄改自己去年度的缺曠課紀錄,輕鬆將上學期的三十八筆缺曠課紀錄改成十筆,下學期從三十一筆改為零筆。

他發現當駭客真棒,今年二月又侵入學校網路,竄改去年度期中、期末成績。檢方查出,期中成績全部被他改掉,他不但將物理科目從四十一分拉高到七十二分,本國文學更從四十六分改成九十分等,有三科勇奪九十分;期末成績更扯,有三科被他從七十多分改成九十六分,拿下四十分的英文則被改為七十六分。

不過,由於他改太大,讓他一舉拿下第一名,他改完分數後沒多久,就在轉系申請書上偽造系主任、老師的簽名,表示兩人都同意他轉系。景文審查後,發覺學校資料庫的成績和老師輸入的原始檔不符,才揪出此事。

檢方調查時,陳男坦承為了轉系才犯錯,為了彌補錯誤,他甚至願意幫學校找出資訊漏洞。檢方考量他沒前科,學校又原諒他,昨緩起訴兩年,但要求他勞動服務六十小時。據了解,案發後陳被記一大過,景文已加裝資訊安全軟體防堵漏洞。

轉載自《自由時報》

勞工局搞烏龍 寄錯公文洩個資

勞工局搞烏龍 寄錯公文洩個資


高雄陳先生於6月初向高雄市政府勞工局申請勞資爭議調解,事後他卻收到一名陌生女子寄來信件告知,指勞工局把要寄給資方的開會通知,誤寄到女子住處,特原信寄還,他痛批:「勞工局搞烏龍,洩露我的個資。」對此,高雄市勞工局坦承疏失,會懲處失職人員。律師葉奇鑫表示,勞工局已違反《個資法》,當事人可依法請求賠償。

陳先生表示,因有勞資糾紛,6月初到勞工局申請調解,6月中他突然收到兩封信件,一封是勞工局寄給他的開會通知,另一封是一名他不認識的鍾小姐寄來的平信,信中指勞工局搞錯了,把陳先生的資料誤寄給她,因涉及個資問題,特將資料寄還陳先生。

查看信件內容後陳先生發現,勞工局竟將他的調解申請書、應寄給資方的開會通知,都寄給鍾小姐這名無關第3人,他反映後,才得知鍾小姐是另一勞資調解案當事人的女友,他抱怨「真烏龍」!

坦承疏失懲處職員

對此,高雄市勞工局勞資關係科科長許文瓊表示,經查是承辦人員疏失,誤將陳先生調解案資料,連同另一調解案申請人的資料,一併錯寄至該名申請人地址,已親向陳先生致歉,也會懲處失職人員。

達文西個資暨高科技法律事務所律師葉奇鑫表示,勞工局人員疏失確實已涉及個資外洩,除勞工局須檢討改善外,當事人也可依《個資法》請求500元至2萬元賠償,或依實際損失具體求償

轉載自《蘋果日報》

2013年7月15日 星期一

登出 Facebook 帳號密碼的漏洞(含影片示範)

登出 Facebook 帳號密碼的漏洞(含影片示範)

經網友葉同學告知發現這個漏洞,搜尋後發現 Dan Melamed 於 7/14 發佈這個"登出 Facebook 帳號密碼的漏洞"。

該漏洞並允許入侵者可以獲得任何 Facebook 帳號的完整控制權,而只要讓被害人點選一個會自動轉址的網址,就可以觸發該漏洞。

原作者已經通報 Facebook 但至 7/15 21:00為止尚未修正。


↓警語分隔線,以下連結有害健康,請勿點選。
-----------------------------------------------
範例:
點選:http://goo.gl/TwPBP
會導向到:
https://www.facebook.com/photo.php?fbid=409257275849671&set=a.112249595550442.17398.110164882425580&type=1&theater
然後就會被登出。

你也可以變化一下,加上其它網頁漏洞手法:
<img src="https://www.facebook.com/support/openid/accept_hotmail.php?appdata=%7B%22fbid%22%3A%22AQ3Tcly2XEfbzuCqyhZXfb8_hYHTnHPPd-CDsvdrLzDnWLpsKTMcaXtIzV0qywEwbPs%22%7D&code=a6893043-cf19-942b-c686-1aadb8b21026" width="0" height="0"/>
-----------------------------------------------


原文出處:Dan Melamed Security Blog
轉載自《網路攻防戰》

駭客銷售電腦程式碼弱點的大買家:各國政府

駭客銷售電腦程式碼弱點的大買家:各國政府

user name password

位於地中海的小島國馬爾他島上,兩位義大利駭客正在尋找「臭蟲」,他們並非在尋找該島上各類品種的甲蟲,而是政府願意付上數十萬美元代價,以深入了解並善加利用的電腦程式碼潛藏漏洞。

現年32歲的Luigi Auriemma,以及28歲的Donato Ferrante,這兩位駭客將漏洞技術細節銷售給意欲入侵敵對國家電腦系統的政府。該兩名駭客不願透露其所屬公司ReVuln的顧客背景,但其服務中的大買家,事實上包括美國國家安全局(NSA),美國安全局透過他們來找出美國自身,以及美國敵對國伊朗革命衛隊(Revolutionary Guards)不斷蓬勃成長之網路軍工廠的安全漏洞。

從南非到北韓,當前駭客口中的全球「零時差」業務可說生意興隆,尤其像是微軟(Microsoft)Windows之類軟體的編碼漏洞,可以讓買家無拘無束地長驅直入至一台漏洞電腦中,或將攻擊觸角延伸至任何企業、機構或所屬的個人電腦中。

沒多少年前,像Auriemma及Ferrante之類的駭客,便曾將編碼漏洞技術細節賣給想要用來修補漏洞的微軟及蘋果(Apple)。上個月,微軟甚至大幅提高他們所願意支付的漏洞數量,並將出價上限提高到15萬美元。

隨著許多國家透過漏洞入侵目標的達成,來尋求某種程度的成功(儘管是暫時性),益使得漏洞銷售的業務,因為這些國家的高價購買而更形蓬勃。三年前的夏天裡,當美國與以色列透過所謂「Stuxnet」超級電腦蠕蟲,成功對伊朗核濃縮計畫發動攻擊時,其購買編碼漏洞的初始目標算是達成了。

資料來源:NYTimes
轉載自《網路資訊雜誌》

駭客向全球政府兜售資安漏洞

駭客向全球政府兜售資安漏洞


近來外洩的美國國安局機密文件與美國戰略與國際研究中心的資料顯示,包括美國、以色列、英國、俄國、印度、巴西、北韓、中東、馬來西亞與新加坡等政府都是資安漏洞的買家。 

紐約時報於本周揭露,駭客兜售資安漏洞的對象已從過去的產品供應商轉至各國政府,除了透露此類商機正在萌芽外,也意味著全球網路戰爭可能愈演愈烈。

根據紐約時報的報導,兩名義大利駭客─32歲的Luigi Auriemma與28歲的Donato Ferrante專門搜尋各種程式碼的零時差漏洞,並銷售給各國政府,價碼可能高達數十萬美元,而這些買家所購買的多是敵對國家電腦系統上的安全漏洞。

資訊安全領域持續演變中,最早這些資安人員願意免費提交漏洞給業者,只為了換取聲譽或紀念品。之後包括微軟及Google等業者開始支付獎金予發現系統漏洞的資安研究人員,業者取得漏洞資訊後可盡快修補漏洞,而各國政府取得漏洞後則很可能是用來開發攻擊程式。

紐約時報引述前白宮網路安全協調人Howard Schmidt的看法指出,現在的政府除了認為必須保護自己的國家外,也得知道其他國家的安全漏洞,導致大家都變得愈來愈不安全。

讓資安漏洞變成金礦的主要原因之一來自於買家,Auriemma與Ferrante並沒有透露客戶名稱,但近來外洩的美國國安局機密文件與美國戰略與國際研究中心的資料顯示,包括美國、以色列、英國、俄國、印度、巴西、北韓、中東、馬來西亞與新加坡等政府都是資安漏洞的買家。

市場分析指出,這樣的趨勢有好有壞,零時差漏洞的價格愈來愈貴,代表業者修補的頻率與速度會愈來愈快,漏洞會愈來愈少,但另一方面,這些少數的漏洞轉變成攻擊漏洞的機率也將愈來愈高。

轉載自《iThome》

Android特大漏洞解藥釋出,馬上查詢你的手機漏洞補起來了沒!

Android特大漏洞解藥釋出,馬上查詢你的手機漏洞補起來了沒!

E597cabb0293309935d4577b9fd571b2在月初曾經被爆出Android系統四年來都存在一個Master Key的特大安全漏洞,然後在10號的時候,Google表示已經推出了解藥分送給各大OEM廠商,交由各廠商進行安全性的更新。不過,你怎麼知道你的手機是不是已經透過更新,補好這個安全漏洞?現在有個很方便的免費App,可以馬上檢查你手機的安全漏洞補起來了沒。

這是由當初揭露這個安全漏洞的Bluebox Security公司,所推出的Android裝置安全性檢測程式,只要下載這個 Bluebox Security Scanner app,就可以立即檢測你的系統安全性。


你只要下載並且安裝好這個App在你的手機或是平板上,它就會自動檢測你的系統安全。一共會有三個項目:

▲一開始執行,就會自動依序往下檢查。

1)Patch Status:檢查你的裝置的廠商是不是已經把批次更新檔發到你的裝置上了,如果你的裝置還沒有更新,則可能就會存在有之前公佈的Master Key安全漏洞。

2)Non-Google Market installs:檢查你手機中安裝的App,看看是不是有未知來源(透過非Google Play管道安裝的)的App裝在手機上。

3)Malicious App Scan:掃瞄所有已經安裝的App,檢視是否有包含惡意程式的App安裝在裡面,如果有的話就會列出相關的App,讓你可以檢視該如何找出對策或是移除。

第三項要注意的是,這個Scan無法去掃描一些因為系統限制而受到保護的資料夾,例如/mnt/asec/ 這個資料夾就受到Android系統的限制。

▲在第三項下方勾選,會顯示出一些因為系統限制的因素而沒有掃描的App。

總體而言,當你第一項顯示你的裝置已經更新過的話,其實你基本上就可以安心下來,這顯示你的系統是安全的。如果顯示是沒有更新,那麼建議你透過客服管道去向你的裝置廠商施壓一下,而且接下來要安裝新的App就要特別小心,特別是如果你想要去非Google Play的其他來源安全性不明的市場安裝App的話。

看完之後,你也馬上測試一下自己的手機漏洞補了沒吧!也請你在下面留言告知我們,你使用哪一款手機型號,以及這款手機的Master Key漏洞是否更新。讓我們一起了解各家廠商的更新狀況。如果有動作比較慢的廠商,也好提醒其他網友,在這段時間注意自己手機的安全狀況。

轉載自《T客邦》