2013年9月30日 星期一

網站管理基本功:避免網站遭入侵的5大技巧

網站管理基本功:避免網站遭入侵的5大技巧

今天我們以工程師的角度聊一下,管理網站平常應該注意什麼 ?

一個網站,從我們註冊網址開始,請人設計網頁,租一個網站空間,把網頁資料放上去,網站可以正常瀏覽了,那再來呢 ?

很多人都忽略了,網站建置好後,還是需要去關心它、維護它的。其實網站管理也應該像我們每天會收取 Email、上 FB 一樣,把它排在每天的例行事物上。

manage site and update

我們可以作什麼 :

定期查看網站存取記錄

這是什麼 ? 網站存取記錄就是存著網站被瀏覽、被下載、被上傳、被存取哪些連結的記錄。

舉例來說,假如你的網站是 PHP + MySQL,主機通常就是 Linux + Apache 的環境,會有 access_log (範例一)、error_log (範例二) 這兩個檔案

範例一、記錄著被瀏覽了什麼連結,那個來源 IP 瀏覽了網站

1.1.1.1 – - [08/Sep/2013:10:10:38 +0800] “GET / HTTP/1.1″ 200 341 “-" “Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"

網站如果有帳密登入的功能,想觀察是否有有心人士再 Try 帳密,我們可以從 access_log 這個記錄檔查來源 IP 是不是自己的,也可以因此做一些防範 (密碼設強一點、定期更換、鎖來源 IP(自己可以瀏覽就行) 等等)。

範例二、記錄著被瀏覽的連結可能會有的錯誤訊息

[Sun Sep 08 06:16:58 2013] [error] [client 2.2.2.2] File does not exist: /var/www/html/robots.txt

error_log 是記錄著哪個連結找不到,或者網站的錯誤訊息,可能是 NOTICE 或 ERROR,有 ERROR 就需要注意一下並且有要修正的可能,否則將可能影響網站的正常運作。

定期檢查網頁檔案及內容

一般網站都會有圖片,那圖片怎麼來的,一是從網頁程式中上傳,另一種是從 FTP 上傳,無論是用何種方式上傳的,存放網站圖片的目錄 (比方說 : /upload/image) 當它裡面出現一個檔案 xx.php,你覺得有沒有問題呢?肯定是要檢查一下!存放網站圖片的目錄裡會有 xx.php ?不是要存 xx.jpg 或 xx.png 等等的檔案類型嗎?

這裡要探討的是,如果是從網頁程式上傳上來的,主要原因就是程式沒有過濾上傳的檔案類型 ,比方說 xx.php 就不應該被上傳,如果 xx.php 是惡意程式,一旦被執行了可能網站裡所有的資料(包括會員、交易資料) 都可能被看光光,甚至破壞網站、刪除資料等,所以這是很嚴重的漏洞,必須小心、並定期檢查。

定期更新程式

不管網站是不是請人設計的,你我可能會用一些常見的套裝軟體,像 WordPress、phpBB、Joomla,比如說 phpBB 常會因為版本過舊沒有更新而被利用漏洞塞了很多垃圾留言,資料庫的資料量因此增大,影響程式和資料庫的存取,增加主機的負載,這時最明顯的情況就是網站會變得很慢,所以網站的程式(尤其是用免費的套裝軟體架站的)應該要定期檢查更新才行。

定期修改密碼

這也是我們一直在強調的,攻擊其實是不分時間, 一年365天、8760個小時網站都有可能隨時遭受攻擊,像是最常見的密碼暴力破解。所以就算覺得累、嫌麻煩也一定要定期改密碼、更新程式,這才是保命之道。

基本安全掃描

網路上有一些免費、基本的網站掃描工具,可以拿它來對網站作掃毒的動作,確認網站有沒有惡意程式,或釣魚程式等等。

結論

以上是管理網站的基本功,好好的關心我們所架好的網站,不放過任何的蛛絲馬跡或徵兆,就有可能可以避免掉網站被入侵、被破壞的機會。

轉載自《WIS匯智》

個資修法大追蹤,3爭議條文仍待立法院審議

個資修法大追蹤,3爭議條文仍待立法院審議

個資法上路將滿1年,但仍有3條爭議條文,仍停留在立法院審議中,此外,專家也對間接識別個資方式與委外監督條款,提出修法建議

個人資料保護法正式上路前,法務部匯整產官學界對法條的意見,針對爭議過多、窒礙難行的法條,提出個資法修正草案陳報行政院,行政院於2012年8月30日通過,同年9月6日已函送立法院審議。

不過,由於立法院尚未完成修法,所以,個資法在同年10月1日正式上路時,其中有2條條文先行凍結,總計56條法條僅54條正式施行。

法務部表示,立法院司法及法制委員會已於101年12月26日開會審查,進行修正草案的大體討論,尚未逐條審議完畢,法務部仍將積極與立法委員持續溝通,推動法案通過。

法務部提出的個資法修法的內容,分別是第6、41、54條。

個資法第6條,針對特種個人資料蒐集處理利用的條件要求過於嚴苛,修正草案擬新增「為維護公共利益所必要」及「經當事人書面同意」這兩項例外使用要件,並將「病歷」一併納入,成為特種個資所屬範圍。目前,特種個資仍比照一般個資規範

而第41條的部分,法務部表示,非意圖營利刑事責任涵蓋範圍過廣。為了符合比例原則,修正草案擬取消非意圖營利的刑事罰則,未來若是非意圖營利,而誤觸個資法者,將取消刑事責任,而以民事損害賠償與行政罰則求償

為了配合第41條的修正,第45條也會,將原本有關非意圖營利的文字,「第四十一條第二項」中的「第二項」直接刪除,但要注意的是,僅移除非意圖營利者的刑事責任,並非意圖營利者的刑事責任也連帶移除了

至於第54條,因為某些企業在個資法正式上路前,就擁有大量個資,若是要補行告知,所費成本過大,也很難在期限內完成。

達文西個資暨高科技法律事務所主持律師葉奇鑫舉例,證交所擁有600萬散戶的資料,假設通知每一位當事人所需成本50元,全數通知就需要3億元,並不符合比例原則。除了證交所之外,老牌雜誌業者、大型電子商務網站都會面臨這樣的問題。

所以,修正草案擬將修改為,企業間接取得的個資,只要在使用或處理前告知當事者即可,無須在施行後1年內完成當事人告知。

委外條款立意良好,但中小企業難以執行
除了這3條條文之外,多位個資法專家也提出,個資法特別設立委外監督條款,雖然立意良好,不過,企業在執行面上確實有其難處,葉奇鑫甚至直言,這部分的法律規範是有問題的,他舉例,假設一家規模不大的公司,向電信業者租用機房,在規模不對等的情形下,小企業幾乎不可能進入機房檢查各項防護設施是否完善,無法落實委外監督的責任。

葉奇鑫建議,委外監督可以搭配幾項條件限制,讓中小企業更容易執行,像是委託的個資量達到多少筆才需要監督、受委託的企業已有國際認證的個資或是資安證照,就無需檢查等等。

間接識別個資定義無遠弗屆,需更為明確精準
另外,葉奇鑫也建議法務部必須更精準的定義何謂間接識別的個人資料,就目前施行細則的定義來看,間接識別的個資定義範圍過廣。

葉奇鑫舉例,若是遺落在地上的頭髮,拿去做DNA檢測,再從DNA基因資料庫比對找到當事人,這樣算不算是間接識別的個資呢?

葉奇鑫也指出,在美國是以垃圾郵件法來管理電子郵件地址,不過臺灣並沒有相關的法條,若是依照目前間接識別個資的定義,電子郵件也算是個人資料的一種,然而,單純的電子郵外洩件,對於多數人來說,並不會造成太多的困擾。

個資法是要保護重要的個資,還是只要和當事人有相關的資料都納入保護的範圍,這部分仍有待商榷。

此外,臺灣個資法是針對OECD(經濟合作暨發展組織)和APEC(亞太經濟合作會)的隱私權綱領修正而來,當時參考的是1995年釋出的版本,不過,歐盟則在去年著手修法並釋出草案版本。

勤業眾信副總經理萬幼筠表示,為了因應社交網路、雲端科技等新興科技,歐盟的草案版本變動較大的部分是增設「被遺忘權」與「刪除權」,代表若當事人不希望個資在網路上流傳,可要求網站業者將其資料全數移除,徹底消失,讓其他人再也搜尋不到。

法務部函請外交部掌握歐盟修法進度,作為日後修法的參考
法務部表示,目前歐盟會員國針對「歐盟一般個人資料保護規則修正草案」內容尚有爭議,歐盟理事會迄今尚未決議通過,法務部也已函請外交部代為蒐集草案修法進度,以掌握歐盟有關個人資料保護法制之的法趨勢,做為未來個資法修法的參考。

法律條文的制定要一次到位,可說是天方夜譚,NII產業發展協進會執行長吳國維表示,法務部應多舉辦聽證會和產官學界溝通,吸取各界回饋,並參考國外的經驗與作法,並擬定宣導法條的配套措施,才能讓臺灣的社會文明更進步。

誰來負責監督公務機關落實個資法規範
2010年,個資法正式頒布之後,企業因為鉅額罰款,憂心忡忡,合盛法律事務所律師張紹斌表示,法務部當初修訂個資法時,是為了要喝止詐騙集團非法蒐集個資,所以,綜觀目前臺灣個資法法條規範,對於非公務機關的要求非常嚴格,反而沒有以相同的標準來要求公務機關落實個資保護。

張紹斌舉例,德國就設有德國聯邦資料保護官機構,全權負責監督公務機關與非公務機關資料保護工作,而臺灣卻沒有這樣的單位,和其它擁有個資法的國家作法大為不同。

目前,非公務機關有中央事業目地主管機關監督,但公務機關卻無人負責管理。各界多數的印象會認為法務部是個資法的主管機關,不過,法務部僅負責法條研擬與修正,以及回覆各界對於法條的疑問,除非獲得行政院授權,否則法務部並無權懲處未執行個資保護措施,或是濫用個資的公務機關,這也是臺灣個資法仍需努力之處。

轉載自《iThome》

2013年9月27日 星期五

竊取資訊惡意程式Solarbot及Napolar大爆發 讓資安廠商疲於奔命

竊取資訊惡意程式Solarbot及Napolar大爆發 讓資安廠商疲於奔命

一隻曾在今年稍早出現過的全新資訊竊取惡意程式,在過去幾週以來,正快速的進行繁衍,防毒廠商每日偵測到共數百件的感染攻擊。


該惡意程式稱為Solarbot,其作者曾在5月間首度向網路犯罪者進行宣傳廣告,防毒商Avast的安全研究人員於週三指出。透過該惡意程式所發動的感染攻擊數量,在過去幾週以來有明顯增加的趨勢,該研究人員表示。

防毒方案商ESET研究人員也展開對此惡意程式的追蹤。「自從7月底該殭屍變得活躍,同時在8月中旬開始四處感染後,我們已揭露關於該殭屍的諸多細節,」他們表示:「目前已有數千份感染案例之通報,而且大部分都在南美洲。」

Avast與ESET兩家防毒產品都偵測到以Napolar為名的惡意程式。

Solarbot/Napolar是透過外觀專業且公開可存取的網站進行廣告宣傳,該網站列出惡意程式功能,並以主動更新變更日誌(Chagelog)來進行開發進度的追蹤。該網站同時提供如何使用該惡意程式,以及如何為該惡意程式開發外掛程式等相關資訊的手冊。

根據ESET研究人員指出,購買可用來感染電腦的惡意程式二進位制檔案,約值200美元。

Solarbot能夠發動許多類型的分散式阻斷服務(DDoS)攻擊,能扮演SOCKS5反向代理的角色,進而從許多電子郵件與FTP用戶端上,竊取POP3與FTP登入憑證,同時可竊取受害者在IE、Mozilla Firefox或Google Chrome等瀏覽器上,輸進Web表單中的資訊。

資料來源:PCWorld
轉載自《網路資訊雜誌》

駭客得逞 美第一夫人個資外洩

駭客得逞 美第一夫人個資外洩

美國第一夫人蜜雪兒.歐巴馬和其他許多名人的詳細個人資料已外洩,原因是駭客攻擊全美各大資料仲介商網路,使得數百萬人的社會安全碼等個資曝光。

英國廣播公司新聞網(BBC News)報導,美國調查記者克瑞布斯(Brian Krebs)追蹤這些資料後發現,下手竊取的是一些經營線上機密資料市場的駭客。這些駭客透過入侵與資料仲介公司網路連線的電腦,而取得資料。

克瑞布斯以及聯邦調查局(FBI)和特勤局(US Secret Service)今年3月都針對「exposed.su」網站如何取得許多美國名人的社會安全碼等個資,著手進行調查。

現已關閉的這個神秘網站曾公布微軟公司老闆蓋茲(Bill Gates)、女歌手碧昂絲(Beyonce Knowles)、饒舌歌手傑斯(Jay─Z)和男星艾希頓庫奇(AshtonKutcher)等名人的機密資料。

調查發現,exposed.su的資料是向另1個網站「SSNDOB)購買,每筆售價低廉到50美分。如今外洩的大約400萬美國人個資,似乎就是來自這個販售網站。

克瑞布斯夏初在部落格寫道,SSNDOB遭到攻擊,資料庫被竊盜、拷貝和普遍分享。

他與電腦鑑識專家霍爾登(Alex Holden)針對SSNDOB資料庫進行的分析顯示,被出售的個資分別竊取自全美若干資料蒐集公司的內部網路,諸如LexisNexis、Dun & Bradstreet和Kroll等。

美國商界都知道,這3家公司專為企業提供可能合夥對象與客戶的資料,如今駭客既能進出其資料庫,就能自行經營個資提供服務。

克瑞布斯在部落格寫道:「這3家受害公司表示,正與聯邦當局和鑑識公司合作,就資料遭駭的程度,進行初期確認。」

不過LexisNexis已發表聲明,否認資料曝光。聯調局發言人則告訴記者,正就克瑞布斯指稱的資料失竊情事進行調查。

轉載自《中央通訊社》

Cisco發表Kvasir開放原始碼滲透測試工具 企業網路安全自我檢查

Cisco發表Kvasir開放原始碼滲透測試工具 企業網路安全自我檢查

思科(Cisco)對外開放Kvasir的存取,此舉將有助於全球滲透測試人員,能夠一目瞭然地進行電腦系統安全層級的評估作業。


Cisco安全實作進階服務團隊(Security Practice Advanced Services team)解決方案架構師Kurt Grutzmacher在部落格貼文指出,該工具可說是專為思科系統進階服務安全狀況評估小組(Cisco Systems Advanced Services Security Posture Assessment, SPA),首度打造用來持續追蹤公司滲透測試人員所蒐集的測試結果與資料。

所謂滲透測試(Penetration Test)是一種透過真實模擬網路攻擊,以測試系統安全水準與程度的方法。

在典型的網路安全評估作業期間,滲透測試人員會對2,000到1萬不等的電腦主機漏洞進行分析,同時實際執行諸如帳號列舉、密碼破解等各種不同漏洞攻擊手法,然後再蒐集、篩選並記錄結果。

這些測試必須使用到各種不同的工具,包括Nmap安全掃描器(Security Scanner)、Metasploit Pro、ShodanHQ、ImmunitySec CANVAS與Foofus Medusa等。這就是Kvasir可以展現優勢的地方,換言之,Kvasir可以作為將蒐集自安全威脅的資料,同質化至整合式資料庫結構中的方法,這對於身處大型資料集、全新資料型態,以及團隊間互動需求之實現的時代裡,特別重要。

「Kvasir是一個可讓使用者進行分析、整合、更新或忽略的開放原始碼工具。該工具可讓安全測試人員,能在下一個攻擊步驟中,正確地檢視資料並做出明智的決策,」Grutzmacher表示:「許多測試人員可以針對相同資料協同合作,並讓他們能彼此分享重要的蒐集資訊。最糟的事情莫過於發現一個帳號名稱,結果在兩天前早被同事破解,但卻沒有發現任何重要訊息,也未做好充分記錄。」

下載點

資料來源:ZDNet
轉載自《網路資訊雜誌》

2013年9月26日 星期四

防毒大廠麥考菲:2013 最具「中毒」吸引力明星排行榜

防毒大廠麥考菲:2013 最具「中毒」吸引力明星排行榜

1309250101

先前我們報過,有 3 成美國人會情不自禁的點閱垃圾郵件,不過全世界的網友,看到明星,往往也會失去抵抗力,為了一張明星圖片,就連上了釣魚網站,或是木馬網站,防毒大廠麥考菲(McAfee),每年統計最具有致命中毒吸引力的 10 大明星,今年的榜單已經出爐,到底是哪 10 大明星最讓人情不自禁的中毒呢?

以下揭曉:
第 10 名:艾瑪羅勃茲(Emma Roberts),9.8%
身為茱莉亞羅勃茲的甥女,果然也是一樣迷死人不償命,這位甜美的美國歌手與演員榮登第 10 名。

第 9 名:阿德黎安娜利瑪(Adriana Lima),9.9%
巴西名模,維多莉亞的秘密、媚比琳(Maybelline)代言人阿德黎安娜利瑪的「中毒率」高達 9.9%。

第 8 名:喬漢(Jon Hamm),10.0%
在《天龍特攻隊》電影版中飾演林區探員,在《殺客同萌》中飾眼動手術的醫師,喬漢總是跑龍套,但是在美國迷妹心中他的中毒率比維多莉亞的秘密名模還高。

第 7 名:布蘭妮(Britney Spears),10.1%
儘管負面新聞多到不行,而且也已經結婚生子成為人母,加上不定期的會變得爆肥,不過小甜甜布蘭妮還是力守第 7 名寶座。

第 6 名:凱蒂佩芮(Katy Perry),10.4%
青春洋溢,在告示牌熱門單曲排行榜擁有「一專五冠」成績的凱蒂佩芮拿下了第 6 名。

第 5 名:柔伊沙達納(Zoe Saldana),10.5%
《阿凡達》女主角的幕後演出者,新《星際爭霸戰》電影中年輕史巴克的情人,能文能武的黑人女星柔伊沙達納勇奪第 5 名。

第 4 名:凱西葛里芬(Kathy Griffin),10.6%
在一眾年輕貌美的女星──以及唯一的綠葉喬漢──之中,高齡 53 歲的諧星凱西葛里芬竟然能衝到第 4 名,真是薑是老的辣。

第 3 名:珊卓布拉克(Sandra Bullock),10.8%
從與基諾李維一起演出《捍衛戰警》以來,一路陪著我們長大,到《攻其不備》中已經改演媽媽,接下來又要在《地心引力》登場的珊卓布拉克,還是風韻猶存,拿下季軍。

第 2 名:艾薇兒(Avril Lavigne),12.7%
紅透半邊天的艾薇兒只拿亞軍,那到底是誰拿下冠軍?

第 1 名:莉莉柯林斯(Lily Collins),14.5%
名歌手菲爾柯林斯的女兒莉莉柯林斯,在《攻其不備》中飾演珊卓布拉克的女兒,如今已經《吾家有女初長成》,在《魔鏡,魔鏡》中扮演甜美的白雪公主讓人印象深刻,而《骸骨之城》雖然電影票房不佳,卻還是捧紅了身為女主角的她,眉毛再粗也沒關係,現在莉莉柯林斯可是最容易讓人中毒的危險女人呢!

◎cover photo:Trendhunter
2013 Most Dangerous Celebrities
轉載自《Tech News 科技新報》

2013年9月25日 星期三

歐洲駭客集團宣稱「破解」iPhone 5S指紋辨識機制

歐洲駭客集團宣稱「破解」iPhone 5S指紋辨識機制

Starbug利用碳粉與樹脂複製使用者的指紋,然後把它按在用來感應使用者指紋的iPhone Home鍵上,便成功解鎖了iPhone。CCC集團的作法嚴格說來並不算真正破解蘋果的指紋辨識系統,但該集團表示,大眾不應再被生物辨識業者的錯誤安全口號所愚弄。 


以德文為基礎、號稱是歐洲最大駭客集團的Chaos Computing Club(CCC)上周六(9/21)宣稱已成功繞過蘋果為iPhone 5S所設計的TouchID指紋辨識系統,展示如何利用偽造的指紋來開啟已被用戶以指紋鎖住的手機。

這是蘋果首次將指紋辨識技術應用在iOS裝置上,蘋果把TouchID感應器嵌在iPhone 5S的Home鍵裡,使用者只要按下Home鍵,系統便能掃描及比對指紋,它可作為解鎖iPhone或在iTunes上消費的簽章。蘋果並強調將指紋資訊鎖在A7晶片裡,沒有其他程式能存取。

匿稱為Starbug的CCC集團成員表示,基本上蘋果的指紋感應器只是在解析度上比其他的裝置好,不過就像他們一直認為的,指紋不應該被用來保護任何事物,因為使用者會到處留下自己的指紋,代表要偽造使用者的指紋非常容易。

Starbug利用碳粉與樹脂來複製使用者的指紋,然後把它按在用來感應使用者指紋的iPhone Home鍵上,便成功解鎖了iPhone。

雖然CCC集團的作法嚴格說來並不算真正破解蘋果的指紋辨識系統,但CCC發言人Frank Rieger認為,他們希望這項實驗能夠提醒相信指紋辨識的人,利用每天都會到處遺留的痕跡作為安全權杖真的是愚不可及,不應再被生物辨識業者的錯誤安全口號愚弄。生物辨識基本上是一項控管技術,而非用來保障裝置的每日存取安全。

Rieger還說,如果使用者被逮捕了,被迫以指紋開機比被迫以密碼開機容易多了。

對蘋果指紋辨識系統有興趣的還不只CCC集團,安全研究人員Nick DePetrillo與Robert David Graham共同設立了名為isTouchIDHackedYet的網站,邀請民眾募款以鼓勵駭客破解TouchID,迄今捐款額度已超過1.4萬美元。



轉載自《iThome》

iOS 7出現兩個安全漏洞,螢幕鎖住仍可看照片或撥打電話

iOS 7出現兩個安全漏洞,螢幕鎖住仍可看照片或撥打電話

第一個被揭露的漏洞是鎖住螢幕時可透過控制中心存取照片介面,能瀏覽使用者拍攝的所有照片並分享到Facebook。第二個漏洞是,就算鎖住螢幕,按下螢幕的緊急通話就能轉撥任何想撥出的號碼,並執行通話。 


蘋果甫於上周三(9/18)釋出iOS 7,用戶對該新平台的採用速度超越了前一代的iOS 6,不過,在短短的幾天內,安全研究人員就發現了此一平台的兩個安全漏洞,都是在螢幕鎖住的情況下允許使用者存取原本不應被存取的功能。

iOS 7上第一個被揭露的漏洞是鎖住螢幕時可透過控制中心存取照片介面,因此能瀏覽使用者拍攝的所有照片,而且還可利用內建的分享功能,將選取的照片透過Facebook與Twitter的社交網站進行分享。

而Forbes收到一則來自巴勒斯坦研究人員的影片,展示iOS 7上含有安全漏洞,即使是在鎖住的狀態下,使用者仍能利用iOS 7裝置撥打電話。

根據Forbes所揭露的影片,當取得了安裝iOS 7的iPhone時,就算鎖住螢幕,按下螢幕的緊急通話(Emergency)功能,轉到撥打電話的畫面後,即可輸入任何想撥出的號碼,並執行通話。

國外媒體在收到安全研究人員所提供的方法時,都成功複製了上述行為,在詢問蘋果時也都證實這兩個漏洞的存在,蘋果已承諾會進行修補,外界估計相關修補程式最快要兩周後才會出爐。

轉載自《iThome》

亞太內部討論區 洩客戶個資

亞太內部討論區 洩客戶個資

中市一名林姓男子年初續辦亞太手機門號,孰料,在網路搜尋其手機號碼,姓名、話費等全都曝光,他嚇得直呼:「個資外洩真是恐怖。」亞太電信數家門市證實,內部網路社群不慎公開,已緊急刪除資料,但留在google的暫存檔,仍曝光顧客個資,正設法聯繫。

連話資都可查到

林姓男子指出,他以母親名義申辦亞太「0985」門號,已使用四年多,年初到中市東山路的亞太門市續約。本月十四日,使用該支門號撥打電話給房仲業者,晚間業務員回電,竟直呼其母親姓名,令他嚇一大跳,業務員表示,在網路搜尋其門號,可找到電話號碼、姓名、話資等資訊。
《蘋果》昨早依樣搜尋,發現亞太東山、益民、塗城等門市的顧客資料,建立在社群「超可愛討論區」之下,約有千筆顧客資料包含行動電話號碼、姓名等資料一覽無遺。市議員謝志忠、蔡雅玲說,門市業者的作法很容易淪為詐騙集團竊取使用,應徹底解決。


轉載自《蘋果日報》

2013年9月24日 星期二

F-Secure:聯合Java的水坑式攻擊成為企業安全最大威脅

F-Secure:聯合Java的水坑式攻擊成為企業安全最大威脅

芬蘭赫爾辛基行動防毒商F-Secure,剛出爐一份2013年上半季安全威脅報告,其中有許多威脅狀況依舊:瀏覽器Java仍是攻擊PC的主要媒介、Android是首當其衝的行動攻擊目標、Mac惡意程式雖有成長但仍非常少。


不論如何,該公司表示:「2013年上半季最值得注意的資訊安全事件,無庸置疑的當屬包括Twitter、Facebook、Apple及Microsoft等許多網際網路巨頭,以及無數的矽谷公司,都遭到專門針對iPhone開發套件之「水坑式」(Watering hole)攻擊的入侵。」

水坑式攻擊是專門因應良好公司安全的一大隱憂。該攻擊並非透過直接發動的方式,其理念是以企業員工最常閒逛、瀏覽、進行聊天的第三方網站為入侵目標。其多半會藉由上述方式,並透過「行動開發人員網站之零時差Java漏洞入侵」的手法,來入侵Facebook及其他主要科技公司。

F-Secure的報告並指出:「該攻擊屬於目標式與必要性的人工作業,而非自動化的犯罪軟體,針對與Twitter、Facebook、Apple及Microsoft一樣有價值的目標,攻擊者很顯然地樂意投入工時。」

另一個重大趨勢發展,莫過於F-Secure所謂的進階持續威脅(Advanced Persistent Threat, APT)攻擊,其通常涉及一個精心製作的漏洞入侵文件,藉由某種形式的社交工程來傳送給目標組織或產業中的使用者。

APT攻擊經常透過PDF做為誘餌,然後再下載可做為植入惡意軟體的後門程式。F-Secure指出:「公司使用者最常被看起來很像是會議進程或報告的誘餌文件所鎖定。」

資料來源:ZDNet
轉載自《網路資訊雜誌》

2013年9月23日 星期一

賽門鐵克:中國出現專業的駭客出租服務

賽門鐵克:中國出現專業的駭客出租服務

安全方案商賽門鐵克(Symantec)聲稱,已發現比起近年來知名的APT1駭客集團,技術更加精緻複雜的中國專業駭客出租集團。


在駭客C&C主控伺服器通訊中發現了隱藏的字眼後,遂將該集團命名為「隱秘山貓」(Hidden Lynx) 的賽門鐵克表示,該集團很早就開始積極尋求零時差安全漏洞,而不是聚焦在單一目標上,其有時會在同一時間,對不同地區數以百計的不同組織發動攻擊。

「有鑑於目標與區域所涉及的廣度與數量,我們因此推斷出,該集團最有可能屬於為簽約顧客提供資訊的駭客出租行動。他們隨著客戶感興趣的任何標的竊取,也因為如此,其攻擊目標的種類及範圍很廣,」賽門鐵克於其官方部落格上貼文表示。

該公司相信傳言所說的,基於攻擊規模的跡象,該集團是由50到100位被劃分成至少2組小隊的網路間諜所組成。第一小組被認為是第一線的攻擊小組,會採用基本的攻擊技術並蒐集資訊,至於第二小組則更趨向會是精英特種行動單位。

在「隱秘山貓」攻擊目標的占比中,美國擁有壓倒性的份額,光美國企業組織淪為受害的比例便高達53%。台灣與中國分別以16%和9%的占比分居2、3名。

不論如何,就產業類別而言,金融服務業淪為最大攻擊目標。儘管遭受最猛烈的攻擊,但較大型銀行卻很大程度地被駭客集團所忽略。反而是投資銀行、資產管理機構與股票交易公司容易成為駭客鎖定的對象。

資料來源:ZDNet
轉載自《網路資訊雜誌》

2013年9月21日 星期六

財務個資保護牽涉複雜 金融機構須面對法律風險

除個資法及金融相關法規 美國政府肥咖條款亦需因應
財務個資保護牽涉複雜 金融機構須面對法律風險

美國《外國帳戶稅收遵循法》俗稱「肥咖條款」(FATCA),除要求美國公民申報海外帳戶與資產之外,另規定海外金融機構每年須向美國政府提供美國公民的帳戶資料,否則該不遵循的金融機構來自美國的投資收入將面臨30%懲罰性的就源扣繳。

新版個資法於去年(2012)10月1日生效施行,課與業者相當重的刑事、民事及行政責任。依個資法第2條對個資的定義,個人的財務情況屬於個資法所保護的個資,而銀行、保險公司、證券公司等金融機構則掌握了個人重要的財務個資。另依銀行法第48條規定,銀行對於客戶之存款、放款或匯款等有關資料,應保守秘密,其他金融機構的相關法規亦有類似的規定。

個資危安事件的預防與處理 

到金融機構開戶時種種繁複手續係為遵循包括個資法的各種法規,主要是基於防弊,避免詐騙集團冒用客戶身分竊取財產。

新版個資法施行後不久即於去年11月間傳出許多客戶申辦遠東銀行信用卡的個資大批流入廢紙回收商事件,遠東銀行經調查後聲明:該案係某離職員工私自影印所持有或竊取客戶的信用卡申請資料於離職後攜出,又因己身保管不當遭人竊取。遠東銀行除通報金管會外,另表示將對該名員工及另案之竊取者提出民事、刑事訴訟。遠東銀行在2010年間曾發生將其向聯徵中心查閱的客戶信用資料提供給車貸合作的車商,而遭到聯徵中心停權42天的處分。今年7月間另傳出台中市多位市民購買新車並付清款項,卻收到遠東銀行催繳車貸的通知,疑似監理站人員洩漏個資,再由詐騙集團偽造客戶證件冒名向銀行貸款。

由上可見,單一銀行可能因員工惡意竊取客戶個資、部門便宜行事、或是遭詐騙集團奇襲而捲入個資危安事件。其實許多銀行都面臨類似的問題,例如今年5月間傳出中信銀行的網路銀行繳費中心網頁竟出現眾多客戶的個資包括姓名、電話、身分證字號及信用卡號資料等,惟據中信銀行調查後表示僅限於客戶繳費項目及代號,至於客戶姓名、帳號等個資並未外洩,該事件可能係因程式設計錯誤所致,但已影響銀行商譽。

金融機構為符合個資法規定,須善盡告知義務以取得個人書面同意而蒐集或處理個資。然而書面同意之要件增加紙張及郵遞成本,雖得依電子簽章法之規定以電子文件為之,但仍相當麻煩,已有立委提出修正草案擬將同意之方式改為能舉證證明當事人「有同意」即可,以節省書面同意的成本。

此外,金融機構亦有必要建置「個資安全措施」以防範個資外洩。個資法第27條即規定:非公務機關保有個資檔案者,應採行適當之安全措施,防止個資被竊取、竄改、毀損、滅失或洩漏。金融機構就其採取之個資安全措施,亦應取得具公信力之認證機構所制發的個資安全標章以資舉證證明「無故意或過失」。一旦發生個資危安事件,金融機構應儘速採取防止損害擴大的行動並調查事件真相以正視聽,並及時通知可能受影響的用戶做適當的因應處理,以確保客戶財務個資的安全,俾維護商譽。

今年6月間媒體驚爆美國政府基於國家安全,以稜鏡計畫(Prism)透過Facebook、Google、蘋果、雅虎等公司秘密搜集海外外國人個資與通訊資料。類似以公益之名蒐集個資的行為還有美國政府為追討海外公民逃漏稅,於2010年制訂《外國帳戶稅收遵循法》俗稱「肥咖條款」(FATCA),除要求美國公民申報海外帳戶與資產之外,另規定海外金融機構每年須向美國政府提供美國公民的帳戶資料,否則該不遵循的金融機構來自美國的投資收入將面臨30%懲罰性的就源扣繳。這對於在美國設有分行或投資活動的我國金融機構來說,是一項不容忽視的立法,但我國金融機構也必須遵守我國個資法以及金融法規中保護客戶秘密的規定。

肥咖條款來勢洶洶 

美國制訂「肥咖條款」有兩個主要目的,一是增加政府稅收以降低預算赤字,二是為了有效取締逃漏稅以維護租稅公平,因為美國所得稅法係採「屬人主義」,包括持有綠卡或雙重國籍的美國公民無論居住或工作地點在世界何處,都必須向美國政府報稅,但卻有許多美國有錢人把錢藏在海外金融機構,沒有繳到山姆叔叔的口袋。「肥咖條款」原定2013年1月1日實施,後來延到2014年1月1日,今年7月間又宣佈延到2014年7月1日再實施,跟我國個資法一樣面臨延後施行的命運,同樣是因為實務運作確有困難。

「肥咖條款」規定兩種資訊提供模式,模式一是海外金融機構將美國公民的帳戶資料陳報給所屬政府,再由該國政府轉交資訊給美國政府,一般稱作「歐洲模式」。模式二是由海外金融機構直接將客戶同意提供之資料提供給美國政府,就不合作帳戶部分,另由金融機構所屬政府提供相關資訊,一般稱作「日本模式」。目前我國傾向採取日本模式,由國內金融機構將客戶同意提供的資料直接提報給美國政府,對於不同意提供資料的客戶,只需提報「總帳戶、總金額」,另由我國政府提供不合作帳戶的資料給美國。

對於國內金融機構來說,採取「日本模式」除了必須直接跟美國政府打交道之外,尚須向客戶取得同意,才能將客戶的財務個資提供給美國政府,增加行政作業的成本。至於客戶不同意提供的財務個資,應如何提供給我國政府再轉給美國政府則為一大難題。雖然個資法設有「公共利益」條款的例外,但增加美國稅收或維護其國內租稅公平,無論是對於我國公務機關或非公務機關而言,恐難認為與我國公共利益有關。如另需透過法律制定例外情事,則必須經立法院修法,更凸顯我國個資法制扭曲變形的奇特現象。

綜上,金融機構除了儲存眾多客戶的財產之外,也擁有龐大的客戶財務個資,該金庫與資料庫是白道(如美國政府)與黑道(如詐騙集團)虎視眈眈的大肥羊,金融機構應妥善處理個資保護議題,以免挨告受罰。

<本文作者:陳佑寰,目前為執業律師。國立台灣大學法學碩士,美國賓夕法尼亞大學法學碩士。專攻領域為智慧財產權法、高科技產業議題及資訊法等。>   

轉載自《網管人》

IP身分辨識與記錄 個資法規遵循不可輕忽

從網路層著手因應個資法 訴求舉證及控管
IP身分辨識與記錄 個資法規遵循不可輕忽

個資法上路後,的確讓企業開始意識到IP身分識別管理的重要性。目前市場上解決類似問題的方案,常見的有內建於L2交換器的IDM(Identity Manager)功能,以及以ARP(Address Resolution Protocol)技術為核心的專屬設備。

企業因應個資法時,最重要的議題之一,就是該如何對個資實施控管措施以避免資料外洩,並在發生訴訟案件時能夠舉證已善盡保管責任。就舉證的角度來看,最基本必須要有具備「人事時地物」描述的軌跡記錄資料,然而長期以來企業內部網路的Log記錄檔,根本難以辨識每個IP位址究竟屬於哪一個「人」所擁有,直到法規上路後,才凸顯出IP管理的重要性。

台眾電腦總經理李坤榮指出,IP位址不能直接對應到個人,而且很容易被竄改,若沒有妥善管理機制,上了法庭也無法擔保舉證資料的正確性。「其實個資法剛開始研擬時,由法務部提交的版本中,曾明確定義軌跡資料需要記錄IP、存取時間、設備代號、經過的路徑、身分識別等項目,只是在施行細則版本修訂後被取消。但事實上,不論是否有明文規定欄位資料,這些皆屬於必要資訊。像是金管會屬於較嚴謹的事業主管機關,近來也對銀行業者開始要求軌跡資料中必須加入IP的身分識別。」

法規促使正視IP管理

欲落實IP身分識別的作法,在電腦數不多的環境通常只須配置為固定IP,再以Excel表格人工記錄。但是當員工人數逐漸增多後,人工維護表格方式不僅沒效率,且出錯率高,Extreme Networks台灣暨菲律賓總經理錢旭光從客戶端觀察發現,「自個資法上路後,的確讓企業端開始意識到IP管理的重要性。而目前市場上目的性一樣的方案,常見的是像Extreme內建於交換器的IDM(Identity Manager),以及以ARP(Address Resolution Protocol)技術為核心的專屬設備。」

具有ARP專利技術的台眾電腦UPAS ARPScanner,堪稱是台灣唯一自主研發IP身分辨識與控管方案的廠商。「國內廠商自主研發的好處是會依照在地民情習慣以及法規規範來發展產品,」李坤榮說,例如以UPAS ARPScanner而言,產出的報表即是按照人事時地物排列呈現,清楚列出IP位址、MAC、電腦名稱、IP Type、交換器連接埠編號、Active Directory帳號名稱。若Active Directory夠詳盡,甚至可一併帶出姓名、電子郵件、所屬單位、分機號碼等屬性資料。如此一來,才能讓設備所產出那些有字天書般的記錄檔變得有價值。

以基本ARP達成控管 

其實UPAS ARPScanner並非新產品,在市場上已有六年的歷史,只是近年來個資法效益下才逐漸嶄露頭角。「六年前台眾電腦是以NetInsight網管軟體為主,從服務客戶多年的經驗發現,既然網路設備的Log都是以IP為記錄核心,IP的『不可否認性』未來勢必極為重要,否則網路中所有設備產出的記錄都只能僅供參考而已。」李坤榮說。


在這股理念驅動下,台眾電腦投入研發UPAS ARPScanner,從一開始推出市場被認為是可有可無的產品,直到三年前個資法準備研擬,才有大量客戶開始正視IP管理的重要性。「其實技術的選擇也很重要,要達到IP管理的方法有很多,多數外商是直接跟設備做整合,若發現用戶端違反控管政策,就會觸發指令發送到交換器將連接埠關閉,或是送出ACL指令把連線取消,諸如此類方式。但對於以Layer 2居多的台灣企業環境而言並不適用。」

於是李坤榮選用了TCP/IP內建的基本指令ARP為基礎,並且對封包格式方面做了許多研究。例如封包不能太大才不致影響交換器效能,也才不會觸發具有預防ARP Spoofing攻擊的防毒引擎,導致被判斷成惡意封包。「由於ARP Spoofing可說是駭客常見的攻擊手法之一,自然也有客戶詢問台眾電腦採用的ARP技術是否為ARP Spoofing,不可否認概念上的確類似,例如ARP Spoofing會改寫ARP Table,讓連線位址導向特定IP,這點我們當然也可以做到,只是實作上並沒有那麼單純。」

他進一步說明,UPAS ARPScanner主要在聆聽廣播封包(Broadcast),並且跟預設的控管政策加以比對,若發現違反政策,例如非法的設備、IP Type、交換器連接埠,就會自動發送指令將其隔離,讓那台電腦跟其他網路上的電腦無法連線;或者是因應個資法規範,要求員工必須登入Active Directory網域,同時必須是公司登記為合法的設備,兩者條件皆符合下才得以接入內網。「這種作法的好處是必定適用於所有客戶端的網路環境,不須依賴設備指令來執行工作,如此才能無痛導入。而客戶選用的意願高,其實跟技術本身有很大關係。」李坤榮強調。

交換器內建IDM機制

對Extreme而言,其實IDM機制本來就是Layer 2交換器中內建功能之一,只是多數企業不知道可以運用此方式來實作軌跡記錄。」錢旭光說,IDM機制並非是因為個資法才提出,本來就具備,只是因為個資法才變得更有意義。但當初發展的主要目的,其實是為了簡化故障排除(Troubleshooting)的複雜度。


他舉例,以往IT部門一旦接到使用者來電抱怨網路不通,標準動作都是必須到現場查看線路及其連接埠編號,再到管線間查找所屬交換器,以釐清網路問題。而內建於交換器內的IDM機制,會去學習封包內帶有使用者登入Active Directory的相關資訊,取得使用者名稱、電腦名稱等屬性值,再結合IP與MAC記錄,傳送到指定的網管系統集中統合企業內部所有資訊。因此IT人員只要詢問使用者名稱,就可查找出相關網路資訊,進而直接在該使用者連接的交換器上收取連線封包,查看即時的Log狀態。這才是當初設計此機制的目的。

由於IDM是網路層的軌跡資料管理,因此會比較著重在記錄方面。至於執行控制行為,則是以角色為基礎的存取控制(Role-based Access Control List)。「也就是從Active Directory取得使用者名稱及其屬性值後,即可據此分類,以定義控制政策,而且只要制定一套,可同時套用在Extreme的有線與無線環境,不論員工從哪一種設備登入網域,存取權限皆一致。」

雖然IP管理在整個個資法因應項目中只是小細節,其身分辨識與記錄卻是軌跡資料中不可或缺的一環,必要的保存期限同樣不可忽視,才能在萬一面臨訴訟案件時,降低可能帶來的損失。

轉載自《網管人》

從iOS社交App 找出互動數位跡證

網路犯罪難追蹤 鑑識通訊過程還原證據
從iOS社交App 找出互動數位跡證

社交App(Social Networking App)是在App商店中被大家搜尋下載的熱門軟體。隨著行動網路的發展,已越來越多人選擇使用社交App來進行通訊,然而在資訊分享變得方便之餘,但卻有非法人士利用通訊軟體來進行非法活動,將通訊軟體作為犯罪訊息的傳遞工具,因此當有通訊犯罪的情事發生時,其通訊紀錄就會成為重要的數位跡證。

行動裝置鑑識將是未來的趨勢,Apple i系列的行動裝置是一個很完整的產品設計,它依據不同使用需求而推出,所以當使用者透過社交App進行通訊時,就可以視情況選擇iDevice(iPhone、iPad、iPod touch)進行訊息的傳遞。

如圖1所示,根據Onavo Insights針對社交App在各國的使用狀況調查,很直觀地指出社交App使用上是有區域性的現象。


▲圖1 Social Networking在全球使用的狀況。

在亞洲地區,LINE、WeChat、KakaoTalk有很高的市占率,在台灣這三項社交App也是備受喜愛。所以本文即選擇這三項社交App進行鑑識研究。

當非法人士在iDevice上,透過社交App來進行犯罪交易時,所傳遞的文字訊息、語音訊息或者通訊雙方的資料,就是鑑識的關鍵跡證。但是對iDevice進行鑑識並不簡單,因為iDevice上的iOS系統屬於封閉性的系統。

為了保護系統安全,安裝至系統上的軟體皆必須經過Apple授權認證,所以鑑識工具軟體(第三方軟體)是無法安裝到iOS上。假如要強制安裝,必須經過一道越獄(Jailbreak)程序,取得最高權限後方能執行鑑識程序。

鑑識人員要從iDevice上萃取出數位跡證,除了有一定的限制外,鑑識方法也會隨著系統更新或是設備更換而有不同,所以必須採取一個合法的鑑識方法,將社交App在iDevice中所產生的數位跡證萃取出來,以協助鑑識人員還原使用者在Social Networking上進行的活動。

相關背景介紹

在進入正題之前,先介紹有關的背景發展源由,以下分別說明社交App通訊功能及行動裝置的鑑識方法。

社交App通訊功能 

由於智慧型行動裝置的普及,許多方便性的App前仆後繼地被推出。其中社交App在App Store中更是熱門排行的前段班。以LINE、WeChat、KakaoTalk為介面,從這三項通訊軟體的命名就很容易讓人聯想到朋友之間無話不談的情境,LINE—熱線上的談話、WeChat—當我們聊在一起、KakaoTalk—Talk,聊吧。

這些社交App會被大家所喜愛,原因不外乎它們擺脫了以往一般人對通訊軟體固有的框架,活潑逗趣的表情動畫、即時語音與文字的對講及新穎的交友方式,很難不被它所吸引,通訊不再只是一個在對話視窗下的聊天,而是能夠聯繫感情、組織社團、心情分享,如圖2所示為社交App的基本通訊功能。


▲圖2 社交App(LINE、WeChat、KakaoTalk)。

社交App的進一步說明,如下所列:

1. 系統的支援度 
現行的智慧型行動裝置市場可謂多雄群立,每家設計廠商為擄獲使用者的心,都經心地設計自家的獨特系統,如Android、Windows Phone、iOS等。

但在智慧型行動裝置蓬勃發展的情況下,經常發生的情況是,使用者會擁有兩台以上的智慧型行動裝置且版本不同的情形,在智慧型手機為Windows Phone及平板電腦為iOS版本的使用習慣下,就產生App無法支援兩種版本系統以上的問題。

針對這樣的問題,社交App的設計廠商也考慮到了,為留住使用者的心,設計廠商也致力地開發不同版本的App環境,符合大家擁有多台智慧型行動裝置的習慣。

2. 簡單化的註冊 
以往若要使用通訊軟體,除了需要下載軟體安裝外,還要耗費一番功夫填寫一大堆的註冊資料才能進行通訊,真是相當的麻煩。

但目前LINE、WeChat、KakaoTalk針對繁瑣的註冊程序都已進行改善,現在只要以手機號碼的方式向Social Networking送出註冊需求之後,Social Networking就回傳一份含有通訊識別碼的簡訊至手機上,待輸入識別碼後就完成整個通訊註冊,真的省事多了。

另外,除了電話註冊外,也有其他註冊方式供使用者選擇,例如可以將既有的Facebook和Twitter帳號申請註冊,不用再耗費心力去想一個新的帳號。

3. 加入朋友 
社交App是一種社群的概念,單一個人是無法進行對話。所以在社群交友方面,社交App設計出一套方法讓使用者方便地建立起屬於自己的社群,以下就來介紹社交App是如何設計出一套完整的交友模式,包括ID方式和以位置資訊加入朋友。

先說明ID方式的部分。社交App(LINE、WeChat、KakaoTalk)在新增朋友的功能中,除了一般透過帳戶ID將朋友加入通訊錄外,還有其他快速搜尋…自動加入朋友的選項,譬如掃描QR Code、自動搜尋手機通訊錄。

如圖3所示,QR Code是二維條碼的一種,社交App利用QR Code能夠儲存訊息的特性,將使用者個人的訊息放入QR Code內,當QR Code經掃描器讀取後,他人就能獲取其中的訊息並且加入朋友。


▲圖3 WeChat的個人QR Code名片。

因此,若將這一組QR Code透過Facebook分享出去,當有人想把你加入Social Networking時,只要藉由掃描QR Code就可以完成。而手機通訊錄則是當使用者成功註冊登入時,社交App就會自動配對與你同時使用相同通訊軟體的朋友,這樣可省去不少的步驟和時間。

接著,介紹如何以位置資訊加入朋友。地理資訊也可以成為交友的資訊,社交App將會以使用者的位置為中心,偵測附近同樣使用相同通訊軟體的使用者,例如App某項交友功能「搖一搖」,當雙方在附近同時間搖動手機時,通訊軟體就會抓取對方的資訊並顯示加入朋友的選項鍵。

而範圍更大的,如圖4所示,WeChat是以清單方式列出其他使用者的暱稱、大頭照、個人簽名及與使用者相距的距離,LINE、KakaoTalk則沒有這樣的功能服務。


▲圖4 WeChat搜尋朋友的功能。

4. 提供多樣化的通訊方式 
除了強調社群交往的功能外,社交App也在對話溝通上加入很豐富的內容,如動畫圖案、媒體檔案、視訊通話等等。值得一提的是,WeChat 4.5版推出的「即時對講」功能,對話的人只要按住對講鈕,聲音就會自動地送出,不同於語音訊息,它不需要先把聲音錄製好才能發送。

行動裝置的鑑識方法

針對行動裝置的鑑識步驟,為保護行動裝置內數位跡證的完整性,必須定義出一套標準流程,包括鑑識目的的確認、鑑識的方法、鑑識的內容及證據的呈現,每個階段都有需要確認的內容。

之所以會有這樣的鑑識流程,無非是行動裝置比起電腦,其所儲存的資料更有隱私及生活化,因為使用者會隨手攜帶著行動裝置,但不會隨手拿著電腦撥打電話或照相。

在這樣的現象下,如果要獲取行動裝置內的訊息,相對於電腦將繁雜許多,因為數位跡證的萃取需要有制度,且行動裝置上的系統也不像電腦系統,它屬於封閉的系統環境,例如iDevice的iOS系統,其App都需要經過Apple授權認證後才能安裝使用,因此第三方的鑑識軟體就無法安裝到iDevice來進行數位跡證的萃取。

行動裝置鑑識方法大致分為三類:邏輯萃取、實體萃取以及拆開設備。邏輯萃取是目前能被執法機關所接受的鑑識方法,它的鑑識方法有兩種,一是鑑識工具,如XRY、Universal Forensic Extraction Device(UFED),第二是iTunes Backup(備份檔),此一方法所萃取出的資料是依照檔案系統的邏輯儲存架構,所以無法透過邏輯萃取的方式來還原已遭到使用者刪除的資料。

假如鑑識人員要將刪除的資料萃取出來,則需要透過實體萃取及拆開設備的方式來達成,兩者皆可對行動裝置內的實體檔案狀態進行Bit-by-Bit的複製及備份,但前者的鑑識方法必須先經過越獄的預處理,所謂的越獄即是取得iDevice最高權限的程序,後者拆開設備,如使用JTAG(Joint Test Action Group)以探針方式對行動裝置進行Flash Memory Dump。

雖然這兩種方法可以完整地萃取出檔案,但因為在萃取數位證據的過程中,有存取及破壞到數位跡證的可能性,而不被執法機關所採納。

從上述的內容可以了解到,若要保全數位證據的證據力,目前能被接受的鑑識方法是邏輯萃取。但是,其中的鑑識工具會因為系統更新或是設備更換,而產生無法支援的問題。

因此,採用iTunes Backup的鑑識方法是較為適當的,透過分析iDevice備份檔來查看使用者在社交App上所進行的活動。

社交App數位跡證

如圖5所示,當iDevice連接iTunes時,iTunes就會自動備份,產生一份備份檔儲存在電腦內。所以當鑑識人員遇到iDevice被破壞的情況時,就可透過解析電腦中iDevice備份檔,萃取出重要的關鍵跡證。


▲圖5 iTunes的備份作業。

本文選擇LINE(3.7.0版)、WeChat(4.5.1版)、KakaoTalk(3.7.2版)為通訊軟體,安裝在iOS版本為6.1.3的iDevice(iPhone、iPad 2、iPod touch)上並模擬社交App使用者的通訊活動。

如表1所示,在確定備份檔的位置後,即透過iTools來查看iTunes備份檔的內容,而iTools的功能讓使用者可以直覺化管理iDevice,以模擬裝置連結的方式進行管理備份檔案。

表1 iTunes備份檔案儲存路徑 


接著介紹iDevice(iPhone、iPad 2 、iPod touch)備份檔中社交App的訊息跡證。以下分別說明LINE、WeChat、KakaoTalk三個App各自的對應方法。

LINE 
先說明iPhone的部分。以圖片及影音來說,在「/var/mobile/Applications/jp.naver.line/Library/Application Support/Message Attachments/」路徑下會發現一個資料夾,名為「/u12076474020f65a314c04a05e9ab1c4b」。在這個資料夾下,有.mp4檔案格式的聲音檔、.jpg檔案格式的圖片,皆是對話過程中所傳送的訊息。

而對話紀錄,到「/var/mobile/Applications/jp.naver.line/Documents」路徑下,就可看到以talk命名的sqlite檔,可以使用sqlitebrowser將其打開。sqlitebrowser是可以查看sqlite檔內容的檢視器。

talk.sqlite儲存了許多對話表格,每一個表格內皆儲存不同的資料,分別說明如下:

.ZCHAT、Z_1MEMBERS 
使用者在LINE中所開啟的對話視窗會被記錄至ZCHAT表格內,而對話者的資訊是記錄在Z_1MEMBERS中。

如圖6所示,表格Z_1MEMBERS內欄位Z_1CHATS的數值,說明了對話者在哪個對話視窗進行活動,如Z-1CHATS的值是2,對照表格ZCHAT的Z_PK值,就知道對話者是在第2個對話視窗內與大家進行對話。知道這樣關係後,就明白對話視窗內有哪些對話者參與其中。


▲圖6 Z_1MEMBERS與ZCHAT的表格內容。

.ZGROUP、Z_3MEMBERS 
在LINE的通訊功能中,使用者可設立對話群組,如研究所討論群組、籃球討論群組,在這個群組內的人就可以在同一對話視窗中進行討論。表格ZGROUP則記錄使用者加入了哪些群組,而表格Z_3MEMBERS說明此群組內有幾名的組員及其個人資訊,如圖7所示。


▲圖7 ZGROUP與Z_3MEMBERS的表格內容。

.ZUSER
LINE在社群交友方面擁有很好的能力,當用戶註冊為LINE的使用者時,它會自動地搜尋使用者電話簿內有誰也正在使用LINE,並列出供使用者參考,而表格ZUSER便是記錄這些內容。

.ZMESSAGE 
如圖8所示,在對話過程中,會有發話者、對話時間、對話的類型(視訊、語音對講)及對話內容,這些紀錄資訊皆在ZMESSAGE內。紀錄的時間值中,LINE則是屬於13位的UNIX時間格式,經時間公式轉換後就能知道對話訊息是何時傳送,如圖9所示。


▲圖8 ZMESSAGE的表格內容。


▲圖9 LINE的時間格式轉換說明。

欄位ZCHAT數值代表訊息是在哪一個對話視窗傳送,而ZSENDER和ZMESSAGETYPE則說明訊息是由誰發出及接受。欄位ZTEXT則是使用者對話的內容,「影音」、「聲音訊息」或「圖片」則是對話過程中傳送的媒體檔案。圖片及聲音訊息會被儲存在設備內,但影片部分若使用者無主動選擇儲存,則LINE不會主動下載儲存。

至於使用者資料,在「/var/mobile/Applications/jp.naver.line/Library/Preferences/」下的jp.naver.line.plist檔案,經plist Editor檢視後,可以搜尋出使用者在LINE中所使用的ID帳號及註冊時所用的電話號碼。

若使用的iDevice為iPad 2或iPod touch,則與iPhone相同,在iPad 2及iPod touch上安裝同樣的版本LINE及操作相同的步驟時,並未發現LINE的對話紀錄、媒體檔案有何差異。

WeChat 
先說明iPhone的部分。就以圖片與影音而言,在「 /var/mobile/Applications/com.tencent.xin/Documents/」路徑下有以Hash值命名的資料夾,如圖10所示,這些資料夾內分別存放了使用者通訊時所傳送的影片、圖片及音訊。WeChat的語音是屬於.aud的聲音格式,影片為.mp4格式,圖片則是JFIF格式。


▲圖10 WeChat備份檔中Audio、Video及Img的紀錄情形。

至於對話紀錄,在「/var/mobile/Applications/com.tencent.xin/Documents/58c8c76f39096665ed7e474304de0fe6/DB」路徑下的MM.sqlite,則是記錄用戶通訊紀錄的資料庫,分別說明如下:

.Friend_Ext與Friend 
表格Friend列出使用者在WeChat上的朋友清單,而Friend_Ext則更詳細說明了使用者社群朋友的個人資訊,如WeChat註冊的ID、居住地及暱稱。

.sqlite_sequence 
使用者在WeChat中與誰對話,及對話了幾則訊息,都清楚地被記錄至此表格內。

.以Chat_開頭的表格 
WeChat會為每一位對話者產生表格,且表格名稱是WeChat依個人去做命名,所以每個對話視窗都有屬於自己的表格紀錄。特別的是,在群組對話中屬於群組的表格,只會記錄使用者在WeChat上所發表過的文字,其他人所傳送的訊息不會再記錄。在圖11中,MM.sqlite的MesSvrID顯示了兩人對話的順序,但可以發現此順序並不連貫。

這是因為同時間內,如果對話者不只一位的話,MesSvrID的順序會依著前一位對話者的MesSvrID延續下去,而不是再額外產生MesSvrID。Status顯示出不同對話者的代號,可辨別訊息是由誰發出,如數值2則代表是使用者所發,而數值4則是對方。

從欄位Message中也可以看出訊息的類別,如果是文字訊息將以明文顯示、訊息語音則顯示、圖片則顯示等。而WeChat的通訊時間是屬於10位UNIX的時間格式。


▲圖11 在MM.sqlite中,兩人的對話紀錄。

至於使用者資料,以plist Editor打開「/var/mobile/Applications/com.tencent.xin/Documents/58c8c76f39096665ed7e474304de0fe6/」路徑下的mmsetting.archive,便可以找到使用者在WeChat中所使用的ID帳號及註冊的手機號碼。

若使用的是iPad 2、iPod touch,在iPad 2及iPod touch上安裝與iPhone同樣版本的WeChat時,其操作步驟完全相同。

KakaoTalk 
如果使用的是iPhone,KaokoTalk並不會將使用者通訊時所傳輸的照片、影片、音訊檔儲存在iTunes備份檔內。

至於對話紀錄,在「/var/mobile/Applications/com.iwilab.KakaoTalk/Library/PrivateDocuments」路徑下可以發現副檔名為sqlite資料檔案,可使用sqlitebrowser開啟Talk.sqlite,其內容為使用者在KakaoTalk上的對話,相關檔案說明如下:

˙ ZCHAT與Z-1MEMBERS 
表格ZCHAT記錄使用者在KakaoTalk上開設了幾個對話視窗,而這些對話視窗皆有一組唯一的ID值。表格Z_1MEMBERS則說明每個對話視窗中有哪些對話者。

˙ ZUSER 
表格ZUSER中記錄了使用者KaKaoTalk社群的資訊。在表格資訊中,明白地指出與使用者進行對話的朋友是在哪個對話視窗及使用什麼ID與暱稱,這樣的好處是能夠明白使用者在KaKaoTalk上的交友狀態。

˙ ZMESSAGE 
使用者在KakaoTalk上進行的對話會記錄在表格ZMESSAGE內,有文字訊息、語音、地理位置。如圖12所示,欄位Z_ENT的數值在表格中Z_PRIMARYKEY可以找到說明,例如Z_ENT值為33,即代表文字訊息,數值29即是相片。

比較特別的是,音訊檔及影片檔可以透過KakaoTalk的伺服端下載和觀看,而這些檔案的網址會顯示在ZMESSAGE中,關於這一點,KakaoTalk與LINE和WeChat將檔案儲存於備份檔的做法有所不同,它是將檔案存放在遠端的空間內。


▲圖12 KakaoTalk中訊息的代號。

而使用者資料,以plist Editor檢視「/var/mobile/Applications/com.iwilab.KakaoTalk/Library/Preferences/」路徑下的com.iwilab.KakaoTalk.plist檔,可以搜尋到使用者註冊的電話號碼。

如果使用的是iPad 2及iPod touch,那麼安裝與iPhone相同版本的KakaoTalk及操作相同的步驟時,其對話紀錄、媒體檔案都是一樣的。

從上述的結果中,可以得知各社交App處理媒體檔案、對話紀錄及使用者訊息皆有不同。LINE在媒體檔案中,只有對方所傳送的影音檔才會由iTunes備份至電腦中,而自己所傳送的影音則會儲存在設備內,不會經由iTunes備份至電腦。

WeChat的影音檔則會由iTunes備份至電腦中,另外需要進一步說明的是,WeChat的訊息紀錄MM.sqlite資料庫中以Chat_開頭後接一串Hash值命名的表格名稱,同樣用於語音檔及圖片檔的資料夾命名,知道這樣的命名規則後,可幫助鑑識人員在蒐集數位跡證時 明瞭訊息是由誰產生,進而還原對話的歷史過程。

KakaoTalk的iTunes備份檔中不會儲存傳輸時的影音檔及相片,不過從Talk.sqlite中的表格ZMESSAGE發現,在傳輸影音相關檔案時,KakaoTalk會產生一則網址訊息,透過瀏覽器輸入這一段網址後,KakaoTalk伺服端會自動撥放通訊時的影音檔案。

這些影音檔及紀錄檔在iTunes備份檔內是沒有副檔名,所以若要正確地開啟這些檔案就必須確認檔案格式,透過16進位編輯器WinHex打開iTunes的備份檔後,會發現開啟的檔案中,表頭將帶有檔名特徵的字串。這些字串就是檔案的格式,這裡將其整理成表2。

表2 iTunes備份檔的特徵字串


最後,社交App備份檔在iDevice間並沒有差異,對話記錄的方式、儲存圖檔與語音檔路徑都是一樣。所以當鑑識人員在未知iTunes備份檔是由iPhone、iPad 2或iPod touch所產生的情況下,都可以用同樣的鑑識步驟來萃取數位跡證。

實例演練 

使用iPhone通訊的A君,利用WeChat通訊功能來散播暗示性的販毒消息。如圖13所示,A君透過WeChat的交友功能「附近的人」,將販毒暗語寫入個性簽名中,吸引同樣使用WeChat通訊B君的注意。見此「販毒暗語」的B君即進一步使用WeChat傳遞訊息給A君,表達購買的意願。

而更早之前,執法人員已獲得A君進行多宗毒品交易的消息,遂前往A君住處進行搜索。在A君的住處,當執法人員要進行搜尋時,卻遭A君強烈的阻撓,並將一台iPhone、iPad 2摔壞。執法人員見A君破壞東西的行為,便懷疑A君有銷毀犯罪跡證的用心,避免被掌握到犯罪跡證。在執法人員質詢A君時,A君卻聲稱,自己並無販賣毒品的意圖,摔東西只是因為心情不好。


▲圖13 A君利用WeChat散播販毒的訊息。

在無直接證據下,相關人員即扣押現場被摔壞的iPhone、iPad 2及一台關機的電腦,並交給鑑識人員做進一步的分析。在iPhone與iPad 2被損毀的情況下,鑑識人員即從電腦著手。面對電腦關機狀態,鑑識人員為保全數位證據的證據力,得需要按部就班去分析,謹慎地完成鑑識工作。這裡以三個部分內容說明鑑識的過程:

證據保存,確認電腦狀態 

A君的電腦處於關機狀態,所以鑑識人員可直接對硬碟進行位元流製作映像檔備份。這樣的備份工作能將電腦的狀態完整複製,包含刪除的檔案。備份結束後的鑑識工作,亦即使用硬碟映像檔進行資料分析而不更改原本的資料。

數位證據的調查 

從A君毀損iPhone、iPad 2的動作觀察,鑑識人員初步判斷A君應該是在iPhone、iPad 2中從事犯罪行為。從此點著手,鑑識人員就以iTunes備份檔進行鑑識,而A君所使用的電腦作業系統為32位元的Windows 7家用版。在確認iTunes備份檔路徑後,鑑識人員以iTools開啟iTunes備份檔。

從iTools中,鑑識人員發現A君有使用社交App的習慣,在iPhone及iPad 2上,A君皆安裝WeChat、LINE,於是鑑識人員便著手搜尋iTunes備份檔內WeChat及LINE的對話紀錄。

發現犯罪訊息,還原事件 

iTunes備份檔存有A君在iPhone、iPad 2上所進行活動的紀錄,因此鑑識人員分為兩部分來鑑識:

WeChat在iPhone上的紀錄 

經由iTunes產生的備份檔是沒有檔案格式的顯示,所以為確定檔案格式,鑑識人員即透過WinHex打開iTunes備份檔,其中檔名為72d86cadc845426a1ea134c793bcb400772a56fb的備份檔,其標頭字串為SQLite format 3,是資料庫檔。

因此,鑑識人員透過SQLite Browser打開此備份檔,發現這個sqlite資料檔儲存了A君與人毒品交易的對話紀錄。與「/var/mobile/Applications/com.tencent.xin/Documents/58c8c76f39096665ed7e474304de0fe6/DB」下的MM.sqlite內容,是屬於同一個資料庫。

如圖14所示,MM.sqlite記錄A君與B君交易毒品的訊息。在訊息中,欄位CreateTime是屬於10位的UNIX時間格式,於是鑑識人員確定時間格式後,便透過Excel進行時間的解譯,如圖15所示。而欄位Meesage中A君也向B君傳送交貨地點的GPS,因此從解譯的時間及訊息欄中,鑑識人員就能夠清楚地掌握A君與B君交易時間及地點。


▲圖14 WeChat的表格MM.sqlite,記錄A君與B君的對話紀錄。


▲圖15 A君與B君的通訊時間。

LINE在iPad 2上的紀錄 

在iTunes備份檔中,有一檔名為534a7099b474f4fb3f2cd006f8e59578d58fb44a,與WeChat相同,以WinHex打開後,在標頭字串中發現有SQLite format 3的字串,鑑識人員以SQLite Browser開啟檔案,發現這是A君的對話紀錄檔。

表格ZUSER記錄了A君在LINE的交友狀態,其中暱稱為「豪雨快報」的C君引起鑑識人員的注意,認為這是販毒集團所使用暗語。

如圖16所示,表格ZMESSAGE記錄A君與C君在進行製毒和販毒的對話內容。而這一份對話紀錄檔,與iTools路徑「/var/mobile/Applications/jp.naver.line/Documents/」下的talk.sqlite所記錄的內容,是屬於同一樣的紀錄。


▲圖16 LINE表格ZMESSGAE,記錄A君與C君的對話紀錄。

而欄位ZTIMESTAMP是A君與C君對話時間的紀錄,是13位的UNIX時間格式。經Excel轉換後,A君與C君的對話時間即被鑑識人員清楚地知悉了。

在社交App的販毒案例中,A君雖然破壞了iPhone與iPad 2,使鑑識人員無法直接從iDevice上萃取資料。但因iTunes的自動備份設定,讓iDevice內的社交App通訊訊息經由iTunes備份作業儲存至電腦中。

鑑識人員從iTunes備份檔中萃取出A君與B君在進行毒品交易的對話紀錄,也從對話紀錄中意外發現另一名提供A君毒品的犯罪者C君。雖然A君宣稱自己無販毒的意圖,但從社交App的數位跡證中,鑑識人員證明了A君的確利用社交App進行毒品交易的可能性,並企圖獲取不法利益。

結語

智慧型行動裝置的普及化及行動網路逐漸的發展,讓使用者擺脫了地點及時間限制,可以隨性地透過智慧型行動裝置來上網,並且取得相關的資訊服務。其中智慧型行動裝置上社交App的設計,更是受到大家的喜愛。

LINE、WeChat及KakaoTalk在推出不久後,其註冊人數就已經上億。它們優秀的通訊功能讓通訊活動變得便利,但水可載舟亦可覆舟,在使用iDevice習慣下的非法人士,也透過社交App來散布犯罪訊息,如詐騙訊息、販毒暗語、色情圖片。

面對這樣的通訊犯罪,萃取出iDevice上的社交App紀錄就變得重要,因為通訊紀錄是證明非法人士有罪或無罪的依據,透過iTunes的鑑識方法,鑑識人員可以成功萃取出iDevice內的社交App紀錄,經解讀社交App各項紀錄表格後,即能還原非法者的活動過程。

〈本文作者:中央警察大學資訊密碼暨建構實驗室(ICCL),民國87年12月成立,目前由王旭正教授領軍,實驗室成員共有20名,並致力於資訊安全、資料隱藏與資料快速搜尋之研究,以確保人們於網際網路世界的安全。〉

轉載自《網管人》

Android WebView exploit 的漏洞示範

Android WebView exploit 的漏洞示範

在 Android 的 SDK 中封裝了 WebView 控制項。在程序中載入 WebView 控制項,主要用於設置屬性(顏色,字體等)。

而在 WebView 下有一個非常特殊的函數 addJavascriptInterface (Object object, String name) method 能實現 Java 和 JavaScript 之間的交互作用,因此可以利用 addJavascriptInterface 這個函數來實做透過 WebView 安裝惡意程式藉此控制 Android 手持式裝置。

在原文的範例中使用具有漏洞的應用程式,需具有 SMS 權限(android.permission.SEND_SMS),並利用惡意的 JavaScript 來發送詐騙的SMS簡訊。







原文出處:http://blogs.avg.com/mobile-2/analyzing-android-webview-exploit/
轉載自《網路攻防戰》

使用 Metasploit 來入侵 Android 裝置(影片示範)

使用 Metasploit 來入侵 Android 裝置(影片示範)

這個影片如果不把它當作 Android 環境,其實與製作一個入侵 Windows 環境(例:Win 8)的惡意程式概念相同。

1.首先利用 msfpayload 製作出 evil.apk 的惡意程式,並設定植入後傳出資料的接收端 IP 與 port 號。
2.接著在 Metasploit 中設定接收被感染的 Android 裝置其 IP 與 port 號。
3.將 evil.apk 散播出去,(可使用詐騙簡訊、LINE等誘使不知情使用者下載apk裝載),影片中是拿三星手機直接複製apk檔案來實驗。
4.Metasploit 接收到 Android 裝置的 IP 與 port 號之後,執行 sysinfo 確認對方手機的版本,若不熟悉語法可使用 help 查看。
5.其中可使用 Webcam 指令開啟對方手機的鏡頭。(註:原作者這功能就沒示範了)

補充:
這個手法不是利用 Android 的手機漏洞,而是利用惡意的apk檔案,來開啟對外傳輸通道進而竊取資料。


轉載自《網路攻防戰》

WeChat 幹的"好事"被抓包了吧!

WeChat 幹的"好事"被抓包了吧!

原作者( Roberto Paleari )於 2013/9/17 指出,使用 Wireshark 來側錄 WeChat 的封包,一開始發現疑似是走標準的 HTTPS (port tcp/443),但卻出現了無法解析的 payload。

進一步解析發現這似乎是 WeChat 所開發的自定義的獨家通訊協定,所以前面所出現無法解析的 payload 實際上不是  HTTP/HTTPS sessions,而是使用自定方式將封包內容進行RSA與AES加密。

接下來詳細的 Debug 與驗證就請有興趣的粉絲自行參考原作者的研究。

結論:
該網站表示,任何安裝在 Android 裝置上的 APP 都可以透過 WeChat 來發送使用者密碼的 hash 到遠端或被控制的伺服器上。


宣導:
從資訊安全的角度來說盡量不要在行動裝置上安裝這些所謂的免費簡訊通訊軟體,畢竟行動裝置上的安全強度不如桌上型電腦。再加上一般使用者不會特別留意行動裝置的安全性,更增加成為詐騙集團進行騙術的新管道。



轉載自《網路攻防戰》

iOS7 的螢幕鎖定漏洞(含影片示範)

iOS7 的螢幕鎖定漏洞(含影片示範)

每次 iOS 改版都會發生解鎖漏洞,這一次當然也不例外。

Rodriguez 在今年6月的時候就已經發現 iOS 7 Beta 的解鎖漏洞,不過於 9/18 發布正式版的時候就已經修正掉了。

但現在 Rodriguez 又發現了另一種可以在正式版中繞過其鎖定螢幕密碼的方法,在成功實驗以後,使用者將可以進入系統內的照片 App,接著還能進一步掌握手機中的電子郵件或社群網站的帳戶資訊。

除此之外,你還能透過控制中心進入鬧鐘,然後瀏覽多工任務選單、相機等。

防範方式:
目前最保險的做法就是在設定中關閉在鎖定螢幕下可進入控制中心的選項。

註:原作者錄影的節奏有點緩慢,請耐心一步一步跟著做!

國外媒體相關報導:
IOS 7 PLAGUED BY YET ANOTHER LOCKSCREEN BYPASS FLAW
http://threatpost.com/ios-7-plagued-by-yet-another-lockscreen-bypass-flaw/102375

Passcode Flaw Found in iOS 7 (That Was Quick!)
http://www.intego.com/mac-security-blog/passcode-flaw-found-in-ios-7-that-was-quick/


轉載自《網路攻防戰》

日本IT系統商COMTEC伺服器遭入侵,2萬信用卡個資外洩

日本IT系統商COMTEC伺服器遭入侵,2萬信用卡個資外洩

今年6月COMTEC監測到購物網站「MC訂購中心」伺服器內有夾帶病毒的檔案,於是開始進行深入調查,發現包含買家姓名、地址、電話、電子郵件、購買商品名、購買金額、各項信用卡資訊等均有外洩風險,其中含信用卡的個資就有2萬3153件。


日本IT系統商COMTEC對外表示,旗下線上交易系統伺服器因資安漏洞遭非法入侵,調查報告結果有2萬多份信用卡個資外洩,而該交易網站已於6月底事發當時關閉,至今仍為未開放。

今年6月27日上午,COMTEC伺服器監控團隊在檢查每日存取履歷時,監測到購物網站「MC訂購中心」伺服器內有夾帶病毒的檔案,於是開始進行深入調查。在無法確認侵入路徑與是否受到其他攻擊的情形下,當天中午系統管理者決定在隔離環境下進行伺服器還原與分析調查。

隔天上午,雖然沒檢查到不正常的存取記錄,但由於可能潛伏未知的後門工具,所以決定關閉網站服務,並將資料洩漏問題交由第三方機關介入調查。8/8兩家第三方機關送回調查結果,指出網站未關閉前確實可經由資安漏洞瀏覽未經授權的網頁,範圍涵蓋2006年3/6到2013年6/26為止的交易資訊,內容包含買家姓名、地址、電話、電子郵件、購買商品名、購買金額、各項信用卡資訊等均有外洩風險,其中含信用卡的個資就有2萬3153件。

截至目前為止COMTEC所實施的對策為6/28發現病毒當天立即關閉交易網站,8/13則是與信用卡發卡單位聯繫,請發卡單位加強監視特定信用卡是否出現異常交易行為。調查報告出爐後,便透過發送電子郵件與發布新聞稿的方式,就伺服器沒有做好資安防護導致有心人士有可乘之機,向社會大眾致歉,並請該期間內曾在該交易平台使用信用卡消費的民眾確認信用卡帳單內是否有自己完全沒印象的消費款項,可能的話最好換掉現有的信用卡,也設立了專門客服部門加以應對。

轉載自《iThome》

百人駭客傭兵團Hidden Lynx曝光,臺灣機構受駭數量全球第二高

百人駭客傭兵團Hidden Lynx曝光,臺灣機構受駭數量全球第二高

賽門鐵克揭露了一個專門提供駭客入侵服務的國際駭客傭兵團,規模約50~100人,接受委託來攻擊金融業、政府機關、教育機構以及私人企業。據賽門鐵克統計,2011年來受駭機構數百家,其中有15.08%是臺灣企業或政府機構,數量全球第2多,僅次於美國 

賽門鐵克調查發現,Hidden Lynx的攻擊目標以美國地區的企業或政府機構為主,占了一半以上,其次是有15.53%的受害對象來自臺灣,而中國大陸也有9%。

在賽門鐵克在9月17日發布了一份國際駭客組織的調查報告,揭露了一個職業化的駭客傭兵組織,提供駭客雇用服務(Hackers for hire),接受委託對受駭企業進行高精準、差異化攻擊。從2011年至今,已有數百家企業或政府機構受駭,其中有15.08%的被駭機構位於臺灣。賽門鐵克發現駭客操控C&C控制伺服器的通訊內容中經常出現Hidden Lynx(隱形山貓)這個詞,而以此來稱呼該組織。

從受害組織的規模來看,賽門鐵克推估,此駭客團隊最少有50到100人左右,而且高度專業和分工精細,能夠同時以不同手法攻擊各種類型的企業、機構,他們所使用的攻擊工具和攻擊指令,使用到不少中文工具。所以,賽門鐵克推測,這個駭客組織,很可能就來自中國境內。

根據這份報告,從2011年至今以有數百家受駭機構,包括政府單位和民間企業,以數量來看,美國地區的受駭機構有52.78%,美國成為最大的攻擊目標,而臺灣則以15.53%的比例居於第2,接著是中國大陸,以9.00%位居第3,受害目標則以金融服務機構為主,包括投資銀行(Investment Bank)、資產管理機構等,都是Hidden Lynx的主要目標,然而某些金融服務機構,例如普通的商業銀行(Commercial Bank)則完全不在攻擊目標之列,顯見,他們的攻擊具有高度針對性。

賽門鐵克推測,Hidden Lynx接受企業私下委託,攻擊敵對陣營企業,竊取企業營運與用戶機密資料。賽門鐵克分析攻擊行為發現,Hidden Lynx的動機並非以竊取私人金融資訊,來直接進行詐財、牟利,而是接受願意付出高額費用的委託人,以高度客製化的工具,針對特定目標進行攻擊。

此外,政府機構也是Hidden Lynx的主要攻擊目標之一,來竊取如航太技術資訊等政府內部的機密資訊,賽門鐵克推測,背後的委託者可能達到國家層級,試圖以獲取他國的航太資訊,來拉近兩國的技術差距。賽門鐵克也同時發現,Hidden Lynx就是日前入侵Bit9資安公司的極光行動(Operation Aurora)幕後組織。

轉載自《iThome》

自然人憑證被爆有安全漏洞!內政部:已解決

自然人憑證被爆有安全漏洞!內政部:已解決

國外科技媒體報導,台灣使用的1024位元舊版自然人憑證部份使用的金鑰存在安全風險,導致駭客可能破解金鑰後冒用他人的網路身份。內政部表示,已在一兩年前就已通知這些卡片用戶更換新版卡片。

↑ 該漏洞存在於少數的綠色舊卡。新式自然人憑證為粉紅色。

國外知名科技媒體Ars Technica引用一份國際研究指出,台灣使用的1024位元自然人憑證公開金鑰存在安全風險,可能被駭客破解並冒用持卡人網路身份。該報導一出,在網路上引發關注與討論。對此,內政部澄清,該問題已解決,有風險的用戶現在都已換發新卡。

由台大電機工程系助理教授鄭振牟、文化大學資工系教授周立平與國外研究人員共同發表的這一份資通安全研究,揭露台灣使用的部份1024位元舊版自然人憑證的亂數產生器(Random Number Generator,RNG)產生金鑰存在潛在風險,在某些條件下可能被破解。

該研究驗證比對200多萬的自然人憑證公開金錀資料庫發現,其中184個金鑰「有跡可循」,有103個金鑰驗證出共用質數,可利用數學算式及電腦分析出來,剩下81個可以其他方式解析。

Ars Technica引用該研究團隊的回覆指出,這些自然人憑證會對使用者帶來影響,攻擊者可能破解金鑰後在網路上冒用他人身份,這份研究可供其他想要建置PKI(Public Key Infrastructure)的國家作為參考。這些憑證通過國際安全標準,但仍不能避免因為錯誤導致的安全風險,如果高科技政府都可能出錯,誰能做好?

據Ars Technica報導,該團隊表示已向台灣官方反映該問題,但內部估計約有1萬張卡片可能有相同的弱點,官方回應會追踨且更換卡片,但撰寫研究論文時台灣政府仍未有動作。

記者向參與共同研究的鄭振牟詢問,他以電子郵件回覆表示人目前正在國外,但該研究風險已和中華電信、內政部管證管理中心共同合作處理。他指出憑證雖通過國際驗證但卻還是有安全風險,這顯示驗證上有嚴重問題,也是Ars Technica報導的重點。

自然人憑證被視為網路身份證,使用者可當作身份識別在網路上使用各項政府網路服務,例如個人綜所稅結算申報、電子發票整合服務、地政及戶政線上申辦系統、勞保局線上服務等等。

對研究揭露的風險,內政部資訊中心主任沈金祥澄清,這些問題在一兩年前就與鄭教授、中華電信合作處理,經過檢查約有100多張自然人憑證使用弱金鑰,弱金鑰區自然人憑證被破解的風險較高,已主動通知這些用戶換發新卡。民國100年後全面換發新版自然人憑證智慧卡,長度從1024位元提高到2048位元,演算法也從SHA-1改為更嚴密的SHA-2。

目前我國頒發的自然人憑證總數約有374萬張,新卡約100多萬。舊卡約有200多萬張,約佔自然人憑證卡數的三分之二,沈金祥表示,使用弱金鑰的舊版自然人憑證佔所有舊卡用戶不到萬分之一,比率要比國外低,其他在期間內的舊卡經過檢查安全風險低,最晚於民國107年也將更換新卡。

負責憑證管理維護的中華電信數據分公司則表示,當初和台大教授合作,發現是日本引進的卡片上亂數產生器有瑕疵,因使用質數問題而可能被破解,後續以更嚴謹的方式又發現71張卡有問題,這些此卡片現在都已更換新的憑證處理,不再有原來的安全風險。

對於該研究揭露國內自然人憑證安全風險引發關注,台灣科技大學資管所教授暨資通安全研究與教學中心主任吳宗成表示,理論上RSA金鑰應該選用不同的質數,產生金鑰後需經過比對是否使用相同質數,但實務作法上驗證過程會花費較多時間、成本而略過,這項研究結果證實了部份金鑰確實存在風險,但實務上還在可接受範圍,這是理論安全和實務安全兩者間的落差,技術上的問題仍可從管理層面上克服。

至於憑證通過美國IFPS、歐洲Common Criteria標準,他指出研究團隊是以取得的公開金鑰資料庫比對,所以能驗證出不同金鑰共用質數,而國外標準單位應該沒有取得大量金鑰資料,所以無法驗證出安全風險,這並非標準驗證單位的問題,但通過國際標準不代表就一定安全。

轉載自《iThome》

2013年9月16日 星期一

9月更新陷安裝迴圈,微軟撤下更新程式

9月更新陷安裝迴圈,微軟撤下更新程式

受到影響的是採用大量授權的Office 2013標準版與專業進階版的MSI安裝版,若用戶設定自動更新,系統還會不斷重複安裝同一個更新。 


微軟於上周二(9/10)釋出每月的定期更新,卻有用戶反映系統不斷要求他們重覆安裝已安裝過的更新,微軟當天緊急撤下該更新,並坦承是當中的KB2817630更新程式出了問題。

微軟表示,在釋出更新後,即收到通知指出,在安裝非安全性的KB2817630更新後,用戶的Outlook 2013便會出現狀況。

微軟在上周二釋出了13個安全公告,其中只有MS13-068修補與Outlook相關的安全漏洞,不過微軟特別聲明,此一有問題的更新程式與MS13-068無關。

根據微軟Office團隊的說明,outlook.exe與Office XP的mso.dll元件有版本相容性的問題,某些版本的outlook.exe與特定版本的mso.dll並不相容,使用者如果安裝了9月的更新,或者是安裝了8月的累積更新,就會造成版本的衝突,導致Outlook將視窗最小化的功能無法正常運作。

受到影響的是採用大量授權的Office 2013標準版與專業進階版(Professional Plus)的MSI安裝版,若用戶設定自動更新,系統還會不斷地重複安裝同一個更新。

該問題只有在單獨安裝9月更新或單獨安裝8月累積更新時才會出現,若同時安裝兩個更新則不會產生問題,用戶可以手動移除9月更新中的KB2817630或是8月累積更新中的KB2817347即可解決。

此外,微軟也已著手打造內含相容的outlook.exe與mso.dll版本的新更新程式。

轉載自《iThome》

海力士大火DRAM瘋漲27% 復原恐需3到6個月

海力士大火DRAM瘋漲27% 復原恐需3到6個月

hynix

南韓SK海力士(Hynix)位於中國無錫的DRAM廠上週發生大火,造成電力中斷、無塵室受到污染。報告指出,這起火災將使得近期DRAM供應出現問題。

最迫切的是,這起火災損害了海力士用來生產PC DRAM的設備,這使得記憶體價格上週飆漲了超過27%。

TrendForce旗下的研究機構DRAMeXchange指出,海力士無錫廠的大火,是發生在無塵室裡的化學氣象沈跡(Chemical Vapor Deposition)儀器。DRAMeXchange在報告中指出,「除了機器嚴重受損,這場大火造成的濃煙與電力中斷,都使得無塵室受到污染,損害了晶圓生產線。」

DRAMeXchange表示,這場火可能損毀了6萬片晶圓。所幸,海力士無錫廠採用一種特殊的「雙子星」(Gemini)架構,讓無塵室與其它重要的設施獨立運作。「在這樣的設計之下,當某個地區發生重大災害時,整座工廠至少仍能保存50%的產能。」

DRAMeXchange提到,該廠的其它地區主要是受到濃煙影響,「熟知半導體設備的消息人士指出,如果要恢復正常運作,可能需要3至6個月的時間。」為了加快復原腳步,SK海力士已經派出數百名專家與工程師前往該區,仔細評估現場狀況。

PC製造商現在正努力尋求一線DRAM模組廠與台灣DRAM製造商的協助,確保未來的DRAM供應無虞。最快在第四季,DRAM庫存就會吃緊。

同時,DRAM市場的價格飛漲,恐怕難以避免。「TrendForce相信,三星(Samsung)與美光(Micron)是最大的受益者,三大主要DRAM製造商也將在接下來出現洗牌。」

SK海力士在聲明稿中指出,為了讓受損廠區恢復生產,「公司正與中國當局進行安全檢查;不過,我們計畫在10月份完成檢查,並恢復通風系統,以恢復正常生產。」公司還表示,「我們會盡可能在11月恢復正常的生產水準。」在此同時,SK海力士將提高南韓總部的DRAM生產量。

資料來源:COMPUTERWORLD
轉載自《網路資訊雜誌》

2013年9月10日 星期二

台駭客 刪薩克柏fb貼文

台駭客 刪薩克柏fb貼文
19歲休學生揪臉書漏洞 刪文恐觸法

Initial Image

網路近日瘋傳一則「有人刪了fb創辦人留言」的文章,還附上示範影片;《蘋果》昨找到這名年僅十九歲的駭客張啟元,上周他無意間發現臉書安全漏洞,還刪了臉書創辦人薩克柏的數篇發文和分享連結,昨他當場示範,不到三十秒就能刪除臉書任何網友的貼文。

台大PTT的「八卦板」前晚出現一篇《[爆卦] 有人刪了fb創辦人的文章》,附上影片示範刪除臉書創辦人薩克柏(Mark Zuckerberg)一年多前的貼文,引發大批網友討論。

記者實測直發毛

《蘋果》找到這名駭客張啟元,兩年前他考上雲林科技大學工業設計系,但家境不佳二度休學,目前在台灣愛迪生創意科技公司擔任工程師。

他透露,前陣子在臉書被檢舉張貼照片不雅,官方通知刪除,他好奇察看「刪除」鍵的程式碼,進一步輸入其他網友的發文序號,竟能刪除別人發文。發現漏洞後他向臉書官方反映,未被重視,上周六他拿創辦人薩克柏臉書「開刀」,又刪了薩克柏二、三篇發文和分享連結,果然立即獲回信,承認看起來是嚴重問題,感謝他回報。

有網友覺得他很帥,會被臉書高薪挖角,也有人要他小心法律責任。《蘋果》昨以多個臉書帳號測試,他不到三十秒就能刪除貼文,記者的臉書發文在測試後真的被刪,覺得實在很毛,「臉書是一個留下自己喜怒哀樂的地方,竟能輕易被刪文,臉書安全有很大漏洞。」

鼓勵抓漏發獎金朝

朝陽科技大學資訊管理系副教援唐元亮說:「這位年輕人未接受專業資訊網路及安全課程,卻能找到漏洞,臉書管理團隊實在該打屁股。」上個月也有一名巴勒斯坦男子,發現臉書維安漏洞後通報官方未獲重視,一怒之下入侵薩克柏臉書,更動其塗鴉牆。
臉書官方回應,是否為程式漏洞有待確認,他們鼓勵網友反映狀況,若確認有程式漏洞,除了盡快修補,也會發給當事人五百美金以上的獎金。

實務上少見提告

台中市刑警大隊組長張承瑞指出,破解或盜用他人帳號密碼,進而增減他人網路資料,都觸犯妨害電腦使用罪。律師呂勝賢認為,網路文章消失,牽涉到被人刪文或系統出錯,雖然實務上幾乎沒有提告案例,但都屬於犯法行為。




張啟元上周成功刪除臉書創辦人薩克柏(圖)的發文。資料照片

駭客刑責一覽

◎以他人帳號密碼、破解或系統漏洞,入侵他人部落格或電腦相關設備
刑責:3年以下徒刑、拘役或科或併科10萬元以下罰金
◎無故取得、刪除或變更他人網路貼文等電腦相關設備紀錄
刑責:處5年以下徒刑、拘役或科或併科20萬元以下罰金


資料來源:《蘋果》採訪整理
轉載自《蘋果日報》

2013年9月9日 星期一

駭客遙控電腦 偷拍正妹洗澡

駭客遙控電腦 偷拍正妹洗澡

各位姐姐妹妹注意,最近偷拍猖獗,要小心自己成為不雅照的影中人!根據英國《每日郵報》報導,英國有利用遙控管理工具(remote administration tool,簡稱RAT)的「鼠輩駭客」,他們入侵受害者筆電,然後擅自打開電腦內置鏡頭,監察你的一舉一動甚至錄影,讓你的隱私全無。

英國一名大學生海恩德曼(Rachel Hyndman),日前在浴室洗澡時,開著筆電看電影,但竟然發現電腦鏡頭自動開啟,把她嚇了一大跳,認為遭到駭客入侵,擔心更衣和洗澡過程,全被偷拍。但最後海恩德曼(Rachel Hyndman)並未報警處理,因為她擔心警方會取笑。

另外,英國廣播公司(BBC)的調查指出,這群「鼠輩黑客」通常是寄出電子郵件,讓不知情的被害者點擊有毒連結或廣告,並下載附帶RAT的電腦病毒,找到時機打開中毒電腦的鏡頭,偷拍電腦前的女性,然後將影片上傳至網站,甚至還有非法的地下組織,將被害人的影片販售圖利。

對此,不論男性、女性在收到不知名的電郵時,不要隨意點閱,以以確保自己電腦的個人資料的安全。

英國這名大學生海恩德曼(Rachel Hyndman),還疑自己的電腦遭駭客入侵,並被偷拍。圖片取自英國《每日郵報》
英國這名大學生海恩德曼(Rachel Hyndman),還疑自己的電腦遭駭客入侵,並被偷拍。圖片取自英國《每日郵報》

轉載自《中時電子報》

刑事局:23%詐欺事件起於個資外洩

刑事局:23%詐欺事件起於個資外洩

根據165防詐騙統計,2013年上半年,光是個資外洩所產生的假冒機構詐財事件,占所有詐欺事件5分之1 

根據刑事局165防詐騙統計,在2013年上半年所有詐欺數據,光是B2C和C2C個資外洩所產生假冒機構的詐財事件,就占了全體詐欺案件中的23%。刑事警察局科技犯罪防制中心組長莊明雄表示,從這些統計數據來看,臺灣許多具有客戶規模的中小型電子商務業者,其所掌握的客戶個人資料,已經成為駭客覬覦的對象。

許多中小型電子商務業者為了吸引客戶上門,最常使用的方式就是在入口網站購買網路廣告,吸引消費者點選。但莊明雄認為,這些業者為了盡快讓電子商務服務上線,往往使用現有的套裝架站軟體建置,但又缺乏足夠的資安防護能力,一旦發生駭客利用該套裝軟體的漏洞發動攻擊,業者幾乎難以倖免。


莊明雄進一步分析臺灣各種規模電子商務業者營運網站的差異,其中的小型業者仍透過電子郵件的方式進行網路交易,為了節省成本,包括軟體和硬體都自行維護,但資安防護措施最多只有防毒軟體而已,一旦發生個資外洩事件,這些小型電子商務業者也只能消極地要求消費者掃毒和更換密碼而已。

目前駭客都是利用木馬程式,取得小型電子商務業者使用者的帳號及密碼,莊明雄說,一旦發生個資外洩事件,該起個資被駭客多次利用的時間最少半年,有時候甚至高達一年。

由於駭客針對這些小型電子商務業者的入侵方式,大都利用網路釣魚手法植入木馬程式後,再破解電子商務業者的密碼並取得管理者的權限後,要進一步利用相關客戶個資,就如同探囊取物般的容易。

莊明雄分析近幾年駭客的攻擊手法,在2010年主要的方式是在正常網頁的某個頁面,例如廣告的位置,放入假網頁連結,並騙取民眾點擊假網頁連結後,取得該使用者輸入的帳號密碼;到2011年則是偽造一個仿真度極高的假網頁,來騙取使用者的帳號密碼後,再轉址到真實的網站,讓使用者順利登入而不會察覺有異;2012年則開始利用各種社交網站,包括臉書和Line等,騙取使用者同意使用電話認證並藉此透過小額付費方式詐財。

但到了2013年,莊明雄發現,駭客的手法又回到C2C電子商務業者的網站使用行為,利用問與答的欄位,植入惡意連結後並吸引使用者點選,藉此竊取大型賣家的帳號、密碼,可以登入該賣家的網路賣場並取得相關的交易個資,最後將這些個資提供給詐騙集團,進行ATM解除分期付款的詐欺事件。這類手法中,最常見的方式就是利用境外(例如中國)撥打有臺灣+886國碼的電話,藉此偽裝成臺灣的網路賣家,或者是假冒銀行客服人員的名義撥打電話詐騙。

轉載自《iThome》

2013年9月6日 星期五

網路加密協定在美國國安局前幾乎都是無效的

網路加密協定在美國國安局前幾乎都是無效的

1309060101

根據美國中央情報局前僱員愛德華·史諾頓(Edward Snowden)最新流出的資料,美國國家安全局(NSA)有能力破解或者避開一般的網路加密技術,以獲取通過電子郵件往來的商業合作機密與金融交易訊息。

新聞來源出自《紐約時報》和《衛報》,文中詳細描述 NSA 已進行十年的破解計畫「Sigint Enabling Project」。此計畫一年耗費約 2.5 億美元,從而使得美國政府與其國外IT企業能夠秘密地或者公開地「影響」其商業產品,使得這些產品能夠為有些部門所利用。

NSA 使用不同破解技術:包括研發超級電腦與建立數據處理中心,以暴力破解法(brute-force decryption)獲取加密代碼,或利用惡意軟體在訊息還未加密前攔截,並與其他科技產業合作以便規避甚至掌控加密標準。2006 年,NSA 甚至是唯一的加密標準編撰者,能夠隨心所欲的在大眾技術產品與服務中植入「後門」(back doors),以及通過國際程序建立加密技術標準等。

因此 2010 年英國政府通訊總部(Government Communications Headquarters)的備忘錄指出:「那些目前為止數量龐大、似乎已被遺棄的加密網路資料其實仍然是可利用的。」而這些解密的方式對英國政府在監控上特別有幫助,它讓英國政府從開拓海底電纜,所蒐集到如洪流般的資訊看起來合理多了,如果沒有資料解碼的方式,這些資訊就無用。

另外一個流出的資訊顯示NSA的金鑰開通服務(NSA’s Key Provisioning Service)正在蒐集與儲存解密金鑰,能夠將訊息徹底解開,雖然報導說這些金鑰是透過法律和法律外的手段收集,但跟據一些專家的說法,可能很多金鑰是直接駭入各公司的伺服器取得。

Most common encryption protocols are useless against NSA surveillance, new leak reveals
N.S.A. Foils Much Internet Encryption
NSA and GCHQ unlock privacy and security on the internet

轉載自《Tech News科技新報》

微軟預計下週二修補IE與SharePoint重大安全漏洞

微軟預計下週二修補IE與SharePoint重大安全漏洞

微軟下週二預計發佈修補程式,包括14項安全公告,以修補所有版本IE瀏覽器內可能導致遠端執行程式碼的弱點。


另有3個是修補SharePoint、Windows XP、Outlook 2007及2010內可能導致駭客取得主機執行程式碼權限的弱點。

CORE Security工程部門總監Ken Pickering指出,IE的安全公告最為重要,因為它牽涉最廣泛的應用程式,且需要重新啟動。他建議管理員應立即安裝修補程式。

被列為「1號安全公告」的SharePoint Server軟體漏洞則是伺服器管理員第一要務,Qualys CTO Wolfgang Kandek表示,不只是因為這項弱點屬於重大風險,也因為必須先測試修補程式的安裝會不會影響到其他關鍵應用。

CORE Security技術支援工程師Tommy Chin也認為,由於伺服器儲存的資料超過一般工作站,而且攻擊者利用Google很容易找到SharePoint所在,率先展開攻擊。

「2號安全公告」也很重要,因為使用者不用開啟,只需預覽Outlook中的郵件,就可能遭到攻擊,Kandek指出。受影響的版本包括Office 2007與Office 2010。

最後一項安全公告影響到Windows XP及Windows Server 2003。Kandek指出,由於這兩項軟體都將在2年內終止技術支援,因此會開始累積未修補的弱點,而成為攻擊者最佳目標。

資料來源:NETWORKWORLD
轉載自《網路資訊雜誌》

全球首例:經由行動殭屍網路散播的Android木馬出現

全球首例:經由行動殭屍網路散播的Android木馬出現

防毒方案商卡巴斯基(Kaspersky Lab)研究報告指出:「首度出現透過殭屍網路來散播的惡意程式,而且是透過與以往截然不同之行動惡意程式所產生的殭屍網路來散播。」


卡巴斯基將這次惡意程式的主角「Backdoor.AndroidOS.Obad.a」形容為「迄今最精緻複雜的Android木馬」。

該俄羅斯防毒軟體公司同時表示,光就複雜度與其採用之零時差安全漏洞的數量而言,Obad.a比起其他Android木馬,更趨近像是Windows惡意程式。

卡巴斯基安全專家Roman Unuchek撰文指出,雖然Obad.a採用一般Android木馬的感染途徑,像是簡訊(又稱為短信、垃圾訊息)、偽照的Google Play商店,抑或遭破解或其他不可信的Android軟體下載網站等,但其最新攻擊手法,仍比一般Android木馬更具感染性。

可能的情況會是,Obad.a會連同像是「SMS.AndroidOS.Opfake.a」之類的其他行動木馬來加以散播。其通常會假伴成其它受歡迎的程式,如此一來,便能透過一般的途徑來感染Android裝置。

一旦就緒,Opfake.a會透過Google雲端通訊(Google Cloud Messaging, GCM)服務,將文字訊息發送給使用者,訊息內容及連結如下:MMS message has been delivered, download from www.otkroi.com.(多媒體簡訊已發送,請至www.otkroi.com下載)

一旦使用者點取該連結,名為mms.apk並內含Opfake.a木馬的檔案,會自動載入至智慧型手機或平板電腦中。接著,使用者必須夠白目地執行該下載檔。如果真的執行了,殭屍網路C&C主控伺服器便會指示木馬將以下訊息,發送給受害者通訊錄中的所有連絡人:You have a new MMS message, download at – http://otkroi.net/12.(你有新的多媒體簡訊,請至http://otkroi.net/12下載)

如果使用者點取該連結,在Obad.a木馬自動下載後又加以執行的話,那麼就會淪為這起攻擊事件的受害者。

資料來源:ZDNet
轉載自《網路資訊雜誌》

GPU密碼破解工具oclHashcat-plus V0.15

GPU密碼破解工具oclHashcat-plus V0.15


oclHashcat-plus是目前最快的md5、phppass、mscash2和wpa/wpa2破解工具,也是世界上唯一一個有基於GPGPU引擎的破解工具。用十幾兆的字典破MSSQL密碼,真的是秒破,v0.15版本研發時間超過6個月,修改了總共618473行代碼,修改的內容如下:

1、破解長度超過15個字符
2、新增mask-files
3、新增多字典匹配模式
4、任務調度重寫
5、內核調度重寫

新增加的支持破解算法如下:
TrueCrypt 5.0+
1Password
Lastpass
OpenLDAP {SSHA512}
AIX {SMD5} and {SSHA*}
SHA256(Unix) aka sha256crypt
MacOSX v10.8
Microsoft SQL Server 2012
Microsoft EPi Server v4+
Samsung Android Password/PIN
GRUB2
RipeMD160, Whirlpool, sha256-unicode, sha512-unicode, ...

新支持的GPU:
NVidia:
All sm_35-based GPUs
GTX Titan
GTX 7xx
Tesla K20

AMD:
All Caicos, Oland, Bonaire, Kalindi and Hainan -based GPU/APU
hd77xx
hd8xxx

下載地址

轉載自《FREEBUF》

微軟即將取消大師級認證服務

微軟即將取消大師級認證服務

即將於10月1日取消各種大師級認證考試,包括 Microsoft Certified Master、Microsoft Certified Solutions Master,與Microsoft Certified Architect等認證。

微軟近日宣布即將於10月1日取消各種大師級認證考試,包括 Microsoft Certified Master、Microsoft Certified Solutions Master與Microsoft Certified Architect等認證。

微軟長期以來提供各種該公司產品或解決方案的訓練課程與認證服務,而認證的等級從助理(Associate)、專家(Expert)、開發人員(Developer)到大師(Master)及最高等級的架構師(Architect)。其中的大師與架構師都已是微軟認證的頂尖層級,估計最近每年只有數百人取得相關認證。


不過,微軟表示,將不再提供任何大師與架構師等級的訓練,而且會自今年10月1日起取消大師級的認證考試。

微軟說明,該公司的認證隨著科技的改變而變動,由於IT產業變動劇烈,微軟將會繼續評估產業對訓練與認證的需求,以判別是否有最高等級的其他認證需求。

已經擁有上述三種大師或架構師等級認證的專業人士仍能繼續持有這些證書,而且未來不會再被要求要重新認證,亦可繼續存取相關的標誌,或是展示自己的憑證。

有IT專家批評,這不過是微軟想把外界對微軟產品的目光從套裝轉移到雲端的伎倆,因為若所有的服務都在雲端進行,的確不再需要有就地部署專長的頂尖人士。

但微軟學習總監Tim Sneath說明,參與大師或架構師等級課程或認證的人數不及微軟的預期,微軟的確想要創造一個菁英社群,但相關認證需要2萬美元的費用,形成了一個非技術的門檻,再加上微軟無法更新所有認證,導致許多舊版產品的認證還在持續進行,這些都是微軟喊停的原因。

Sneath還說,微軟也在尋找另一個不會喪失技術焦點且可打造頂尖社群的方法,雖然已有一些計畫,但還不到能夠分享的時刻。

轉載自《iThome》

2013年9月2日 星期一

《APT 目標攻擊》中國地下市場出現了攻擊Apache Struts漏洞的工具,可讓攻擊者在目標伺服器上執行任意指令

《APT 目標攻擊》中國地下市場出現了攻擊Apache Struts漏洞的工具,可讓攻擊者在目標伺服器上執行任意指令

大約在一個月前,Apache軟體基金會發佈了Struts 2.3.15.1,這是受歡迎的Java Web應用程式開發框架的更新版本。此修補程式的推出是因為舊版本Struts內的漏洞可以讓攻擊者在有漏洞的伺服器上執行任意程式碼。

趨勢科技已經發現中國的地下駭客開發了自動化工具去攻擊這些舊版本Struts的漏洞。我們首先在七月十九日確認了這些工具的存在,這是漏洞被披露的僅僅三天之後。


圖一、駭客工具的廣告

像這樣的駭客工具可以在APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)目標攻擊裡提供多種用途,例如:

◎獲取目標的相關資訊
◎取得和維護通往目標系統和網路的存取控制
◎竊取資料
◎清除攻擊證據

趨勢科技已經觀察到這特定駭客工具被用在對亞洲目標的攻擊上,表示這些Struts漏洞已經在被真實世界裡被用在攻擊上。

駭客工具本身

這個駭客工具針對了幾個Struts不同的漏洞。可以用Apache發行公告編號和CVE編號來確認:

◎S2-016(CVE-2013-2251)
◎S2-013(CVE-2013-1966)
◎S2-009(CVE-2011-3923)
◎S2-005(CVE-2010-1870)

如果這些漏洞遭受到攻擊,就可以讓攻擊者在目標伺服器上執行任意指令。為了證明這工具的能力,我們在測試環境內對一個有漏洞的Struts進行測試。


圖二、駭客工具的使用介面

在目標伺服器執行此工具時會自動進行某些指令。其中一個預先設定的指令是whoami,可以顯示出目標伺服器目前帳號的資訊。


圖三、產生的網路流量內容

底下是可執行指令的完整列表:


表一、內建指令

建立一個後門

攻擊者對於有漏洞伺服器的目標之一是建立起後門。這些後門讓攻擊者可以取得和保持對伺服器的存取控制,可以在需要時加以利用。而這工具可以讓攻擊者輕鬆地做到這一點。

駭客工具包含了一個「WebShell」功能,讓攻擊者可以很容易就在目標系統內植入後門程式和Web Shell。這些Web Shell讓下指令到後門更加容易,因為可以直接用瀏覽器介面做到。

有各種Web Shell提供給使用不同框架的伺服器(例如PHP和ASP.NET),不過在這起案例中,因為Struts本身是支援Java的應用程式框架,攻擊者可以安裝JspWebShell,這是一個用JavaServer Pages(JSP)編寫兼具web shell和後門功能的程式。


圖四、提供WebShell功能的駭客工具

底下截圖顯示JspWebShell存取伺服器的檔案系統


圖五、JspWebShell的使用介面

在地下市場裡可以很容易就找到具有更強功能的Web Shell,像是從放置後門的伺服器上搜尋和偷竊資料。

總結

綜合上面所述,我們對於這駭客工具知道些什麼?

◎它在漏洞披露後三天就推出了。
◎它可以輕易地在目標伺服器上執行作業系統指令。
◎只要點幾下滑鼠就可能在目標伺服器上建立一個後門/Web Shell,以取得和維持存取能力。
◎Web Shell在不斷發展中,會繼續加入些必要功能。

正如我們前面所提到,這個漏洞已經被修補,並且發布了新版本的Struts(2.13.15.1)。有些應用程式可能會無法使用,因為去除掉一些現今版本上有漏洞的功能。儘管如此,Apache已經「強力建議」佈署這更新。一個可能會被攻擊成功的風險要大於修改已部署應用程式帶來的不便。

我們提供了多種解決方案來對抗這威脅。趨勢科技Deep Security的使用者有多個規則可以封鎖攻擊Struts的漏洞程式碼,並且過濾相關的惡意封包。此外,我們會將植入受影響網站的後門程式偵測為HKTL_ACTREDIR JS_SPRAT.SM。

駭客工具樣本的雜湊值如下:
MD5:4674D39C5DD6D96DFB9FF1CF1388CE69
SHA1:9C6D1700CF4A503993F2292CB5A254E4494F5240

原文出處:Chinese Underground Creates Tool Exploiting Apache Struts Vulnerability
作者:Noriaki Hayashi(資深威脅研究員)

轉載自《雲端運算與網路安全趨勢部落格》