2013年10月25日 星期五

日本7-11購物網遭入侵,15萬會員信用卡個資恐外洩

日本7-11購物網遭入侵,15萬會員信用卡個資恐外洩

這次入侵者嘗試非法登入的期間是由2013年4/17至7/26,最多有15萬165位會員登錄的姓名、信用卡號、信用卡有效期限、商品寄送地址等個資外洩,不含電話號碼與信用卡安全碼。

日本大型零售與流通事業控股公司 7&i 控股(Seven & i Holdings),今日(10/23)證實旗下購物網站7 Net Shopping遭非法登入攻擊,最多約有15萬會員個資外洩,包含信用卡號等資料。該購物網站目前約有156萬會員。

2013年6月起,7&i就持續接到發卡銀行聯繫,表示7&i會員信用卡可能遭盜刷,於是委託專業資安公司進行調查。調查結果已排除帳號密碼由內部伺服器流出的可能性,從網路存取log分析,第三者應是使用從其他網路服務取得的帳號密碼組合,嘗試假冒會員身分非法登入服務。目前相關金錢或個資濫用等損失狀況還未確認。

這次入侵者嘗試非法登入的期間是由2013年4/17至7/26,最多有15萬165位會員登錄的姓名、信用卡號、信用卡有效期限、商品寄送地址等個資外洩,不含電話號碼與信用卡安全碼。

7&i已於7/26將非法登入成功後可進一步瀏覽詳細個資的程式漏洞修補完畢,並導入新的資安措施,如密碼多次輸入錯誤即無法登入、除了帳密外還須輸入隨機圖像文字的認證方式,以強化相關防禦對策。此外也聯繫各發卡銀行,針對可能外洩的信用卡加強監控消費狀況,並成立專門客服小組回應會員相關問題。

轉載自《iThome》

2013年10月22日 星期二

賽門鐵克發現 中國技術最高超黑客團隊

賽門鐵克發現 中國技術最高超黑客團隊


賽門鐵克(Symantec)最新報告顯示,近幾年來入侵過谷歌、Adobe公司、RSA、Bit9和洛克希德馬丁公司(Lockheed Martin)的是中國技術最高超的黑客團隊,成員有50至100人。

中國黑客捲入了大部分網絡攻擊行動,其中一些是近期最著名的案件,賽門鐵克證實這些黑客的基地在中國。

這份28頁的報告首次公開把該團隊和數起網絡攻擊案聯繫起來,並提供有關攻擊手段的新技術細節。

報告還首次把中國與2012年Bit9遭攻擊案聯繫起來。

該團隊被賽門鐵克內部稱為“隱藏的山貓”(Hidden Lynx),該團隊至少從2009年起表現活躍,甚至很可能受到僱用。該團隊是中國幾個黑客組織之一,不過安全專家認為它的技術最高超。

2010年,谷歌指責中國黑客于2009年侵入其公司系統,稱黑客試圖進入中國人權活動人士的Gmail帳戶,但未能成功。

賽門鐵克指出,攻擊谷歌的這批黑客還設法侵入計算機安全公司RSA。

RSA以其灰色的SecurID令牌而著稱,通過進入RSA系統,中國就可以進入國防工業承包商洛克希德馬丁公司的網絡。

賽門鐵克是一家有著國際客戶的公開上市公司,行事謹慎,該公司僅指出,這些黑客活動中使用的攻擊設施和工具來自中國網絡設施。

轉載自《中國報新聞網》

賽門鐵克研究:全球網路犯罪年損失破三兆台幣

賽門鐵克研究:全球網路犯罪年損失破三兆台幣

賽門鐵克發表2013諾頓報告指出,全球因網路犯罪造成的損失一年高達三兆台幣以上,雖然成人受害人數降低,但平均每人的錢財損失卻提高了50%。其中,網路犯罪的新通道正是因為日漸普及的行動裝置。

賽門鐵克台灣暨香港消費性產品事業部總監許淑菁表示,行動裝置在人們的生活中日漸重要,用戶和手機、平板幾乎形影不離,睡覺也帶在身邊,但大部分用戶卻只注意到電腦安全防護,卻忘了行動裝置的安全。該調查顯示,有48%智慧型手機和平板電腦用戶並未採取防護措施。

諾頓報告指出,網路犯罪的受害者有64%為男性,上網比例最高的七、八年級生佔了66%,而全球每天有超過100萬人口遭到網路犯罪詐騙個人資料或金錢。詐騙金額日益增加,原因在於行動裝置上工作和娛樂的界線漸漸模糊,有一半受測者會使用個人裝置存取工作資訊,這也讓網路罪犯有機可乘。

另外,社群網站也是重要犯罪管道,諾頓指出,有12%使用者表示其社群網站帳號曾經遭駭,並盜用身分;有39%使用者使用社群網站後不會登出帳戶;25%使用者甚至會將個人社群網站的帳號密碼分享給其他人。

專門處理詐騙犯罪的刑事局165專線也指出,透過簡訊進行小額付款詐騙的案例近來有增加趨勢,且針對的是Android手機。民眾先是在手機上收到一封附有連結網址的簡訊,內容可能是「上次聚餐的照片」或是「被偷拍的是你嗎?」,藉此引起民眾好奇心進而點入連結。

一旦使用者點近連結後,手機就會暗中自動下載兩隻惡意程式App,這兩隻惡意程式能取得使用者門號系統商、開啟程式的執行時間、攔截簡訊、並將相關資訊回傳至網路伺服器,藉以冒用被害人身分申請小額付款。刑事局呼籲,不論在電腦或手機上,都不要點選不明的網頁連結,也不要安裝來源不明的應用程式,也呼籲電信業者強化小額付款的安全機制。

轉載自《數位時代》

Google 公布 DDoS 網路攻擊即時地圖

Google 公布 DDoS 網路攻擊即時地圖

Screen Shot 2013-10-22 at AM10.12.33

DDoS(分散式阻斷服務攻擊)是許多網路攻擊時常採用的模式,也是讓許多網路管理者頭疼的東西。而目前主要的 DDoS 攻擊來自何處,目地為何呢?Google 為此製作了一個即時的統計地圖,讓所有的人都可以看到目前的現況。




Google 最新公布的這個 Digital Attack Map 主要是針對全球的 DDoS(Distributed Denial of Service)做統計,除了即時呈現的資料外,還有相對的索引與條列資訊外,也有突發的事件記錄,如 2013 年 10 月 2 日針對菲律賓政府的網路攻擊、2013 年 8 月 8 日長達 6 天的針對美國的網路攻擊等。
另外,也有專門的影片來解釋何謂 DDoS 攻擊,呈現的方式與資訊都很值得各家網路管理者參考。


轉載自《Tech News 科技新報》

2013年10月21日 星期一

使用 APT 攻擊的手法越來越精緻化了(含影片說明)

使用 APT 攻擊的手法越來越精緻化了(含影片說明)

卡巴斯基實驗室發佈" Icefog "惡意程式的APT攻擊手法,顯示其至少從 2011年開始以來便針對政府機構、軍事承包商、海運和造船集團、電信商、工業及高科技公司與大眾媒體進行網路間諜活動。

特別的是除了我們所熟知的在 Windows 平台上進行目標針對式的攻擊以外,也還會對 Mac OS X 的使用者進行攻擊。

其主要攻擊手法為採用郵件社交工程

1.利用 Microsoft 的 Word 與 Excel 檔案的漏洞(例如:CVE-2012-1856、CVE-2012-0158)嵌入 Icefog 惡意程式,一段使用者點選打開這些檔案便會下載後門程式植入到 Windows 或 Mac OS X 的系統中。

2.其次則在網頁上利用 JAVA 的漏洞(例如:CVE-2013-0422 、 CVE-2012-1723) 與韓國特有的 HWP 與 HLP 文書處理檔案格式來進行入侵。

詳細的 Icefog 惡意程式的APT研究報告下載處:
http://www.securelist.com/en/downloads/vlpdfs/icefog.pdf


轉載自《網路攻防戰》

使用 Kali Linux 內的 Medusa 程式破解 SSH

使用 Kali Linux 內的 Medusa 程式破解 SSH

SSH為一項建立在應用層和傳輸層基礎上的安全協定,為電腦上的 Shell 提供安全的傳輸和使用環境。

從使用者端來看,SSH提供兩種級別的安全驗證:

第一種級別(基於密碼的安全驗證):知道帳號和密碼,就可以登入到遠端主機,並且所有傳輸的資料都會被加密。但是,可能會有別的伺服器在冒充真正的伺服器,無法避免被「中間人」攻擊。

第二種級別(基於密鑰的安全驗證。

此 DEMO 示範就是在表達雖然是使用 SSH 安全協定來傳輸,但登入的驗證機制沒做好一樣可以採用暴力破解法解開 root 的登入密碼!

示範過程中會使用一個名為 Medusa (希臘神話中的著名人物:蛇髮女妖梅杜莎)的程式,利用它來進行暴力破解,詳細的程式參數就請參閱官方網站或者於程式中參考 HELP 說明。

Medusa 官方網站介紹:http://foofus.net/goons/jmk/medusa/medusa.html

Medusa 下載網址:http://www.foofus.net/jmk/tools/medusa-2.1.1.tar.gz

而 Medusa 與 Hydra 及 Ncrack 這3大暴力破解神器,官方網站上有列表比較彼此之間的差異點。(說實在前2者差異不大,通常我都會建議一個不行就試另一個吧!)

差異比較表:http://foofus.net/goons/jmk/medusa/medusa-compare.html


轉載自《網路攻防戰》

研究:準備迎戰更強力的DDoS攻擊吧!

研究:準備迎戰更強力的DDoS攻擊吧!

根據DDoS安全防護商Arbor Networks指出,分散式阻斷服務(DDoS)攻擊的平均規模,正突破20Gbps速率大關,約當1年前4倍流量的水準,而持續不斷攀升之中。


比起2012年同時期的1.48Gbps流量,該公司2013年前3季的數據呈現出一個向上攀升的曲線,其平均攻擊規模可達3到3.5Gbps速率。就全年而言,目前的平均速率可達2.64Gbps。

雖然第3季中並沒有達到像是3月巨量300Gbps Spamhaus超級DDoS的空前極端規模,但該公司旗下「主動威脅層級分析系統」(Active Threat Level Analysis System, ATLAS)在8月間記錄到191Gbps流量規模的DDoS,這表示新的流量上限已從100Gbps,轉移至200 Gbps。

Arbor Networks表示,或許更重要的是,比起2012年,還剩3個月的今年,其20Gbps以上閾值的攻擊數量,將有超過4倍的提升。

撇開規模不談,其他趨勢如今已然形成,其中包括每秒封包(Packets per Second, PPS)大小,在經過前2年的主要成長之後,目前普遍呈現下降的趨勢;IP片段攻擊(IP fragmentation attack)出現頻率從1/10進展到1/4,而呈現大幅上揚的趨勢。

Arbor Networks同時也發現,即使較大型DDoS攻擊通常會持續較久的攻擊時間,但幾乎9/10的DDoS攻擊持續不到1小時。

Spamhaus並非唯一重大的安全事件,今年8月針對中國.cn國碼頂級網域之不明規模重大DDoS攻擊,便曾短暫地造成網際網路存取的中斷。

「雖然本季我們並沒有見證類似300Gbps Spamhaus等級的攻擊,但在ATLAS系統上所看到的最大攻擊規模,仍有讓人印象深刻的191Gbps,」Arbor Networks解決方案架構師Darren Anstee表示。

資料來源:PCWorld
轉載自《網路資訊雜誌》

使用 BT5 內的 Medusa 程式破解路由器的管理者密碼

使用 BT5 內的 Medusa 程式破解路由器的管理者密碼

此 DEMO 示範就是在表達採用 http 協定登入的路由器帳號及密碼,但登入的驗證機制沒做好一樣可以採用暴力破解法解開 admin 的登入密碼!

示範過程中會使用一個名為 Medusa (希臘神話中的著名人物:蛇髮女妖梅杜莎)的程式,利用它來進行暴力破解,詳細的程式參數就請參閱官方網站或者於程式中參考 HELP 說明。

Medusa 官方網站介紹:http://foofus.net/goons/jmk/medusa/medusa.html

影片中使用的相關檔案下載處:
Medusa 下載網址:http://www.foofus.net/jmk/tools/medusa-2.1.1.tar.gz


轉載自《網路攻防戰》

iOS 7.0.2 被踢爆 SIM卡 ByPass 的解鎖漏洞(含示範影片)

iOS 7.0.2 被踢爆 SIM卡 ByPass 的解鎖漏洞(含示範影片)

不同於之前被揭露的螢幕解鎖漏洞,這一次是被一位資安研究員 Benjamin Kunz Mejri 在 Vulnerability Laboratory 網站上所踢爆的。

根據這一個概念驗證影片(PoC)的示範,該漏洞會在 iOS v7.0.1 & v7.0.2 的環境中被觸發,有興趣研究的請照以下的步驟自行實驗!

備註:原作者的示範影片錄製的相當不好,請記得關掉音效,並直接跳過從 01:30 開始看起。

步驟如下:
1. Turn on your iPhone and ensure you have the iOS v7.0.1 or 7.0.2 installed and Sim Lock mode is activated.

2. You will see a black notification in the middle of the display - SIM Locked.

3. Open the Calendar, and scroll down to the two hyperlinks.

4. Press the Power button and wait 2 seconds and then press one of the two hyperlinks.

5. You will be redirected via hyperlink, because of the restriction to the passcode SIM lock.

6. Press Power button again for 3 seconds and then press the Home button

7. Click cancel again in the shutdown menu but hold the Home button.

8. Open up the Control center and go to the calculator. Now a message box appears automatically with the SIM lock

9. Press the shutdown button for 3 seconds + Unlock Key + Home button.

10. The Passcode screen will pop up, but you will be again redirected to Calculator.

11. Now again press the Power button for 3 seconds the  and then press Cancel, at last press the Home button one time.

12. The Restricted Sim Lock Screen will disappear.

資料引用來源:http://thehackernews.com/2013/10/iphone-ios-702-sim-lock-screen-bypass_8.html


轉載自《網路攻防戰》

國家等級的網路攻防軍事演習 ~ Locked Shields 2013 (含曝光影片)

國家等級的網路攻防軍事演習 ~ Locked Shields 2013 (含曝光影片)

Locked Shields 網絡攻防軍事演習,正是美國、北約和諸多西方國家聯合組織、聯合參與、聯合實施的一種"非傳統軍事演習",同時也是在網路空間的戰爭領域中舉行的一次"實戰演習"的戰役。

北約網絡防禦中心在 2013/10/11 發布了 Locked Shields 2013 網絡軍事演習的行動後報告。

報告下載處:http://www.ccdcoe.org/publications/LockedShields13_AAR.pdf

一、網絡演習背景介紹:
Locked Shields 是北約合作網絡防禦中心(NATO CCDCOE)舉行的一種年度網絡攻防實戰軍事演習。該演習由北約總部牽頭,愛沙尼亞國防部、愛沙尼亞網絡防禦聯盟、芬蘭國防部、北約聯軍部隊等數十個北約夥伴單位參與;思科 Cisco、Bytelife、Clarified Networks 等世界重量級基礎設施公司為其提供技術支援。

二、網絡演習的特點
1.這是一場紅藍軍攻防演習:參演的數十個藍軍部隊需要保衛自身的網絡不受網絡攻擊。
2.這是一場國際性的演習:來自15個不同國家的18個組織參與並準備演習。
3.演習的類型屬於遊戲性質:參與的各小組並不代表他們的組織和工作,所有角色都是虛擬的。演習在一個實驗室環境下進行。

三、參演單位的分工
藍軍:藍軍是主要參演對象。他們需要保護一個預先建立好的、含有漏洞的網絡。為了評估不同的戰略和戰術,將對藍軍進行自動化和手動的評分。

法律組:每組藍軍都會配備1-2名法律顧問。

紅軍:紅軍的任務主要是入侵或干擾藍軍手中的系統。紅軍預先知道藍軍手中系統的漏洞,並且在演習開始之前,紅軍可以掃描藍軍網絡的漏洞。

白軍:白軍負責整個演習的組織工作。他們制定演習目的、場景、與紅軍一起開展攻擊活動、編寫規則。

綠軍:綠軍負責準備演習的技術設備。

黃軍:黃軍負責蒐集、分析演習的信息,並向控制室傳遞最新的演習情況。


資料引用來源:http://www.ccdcoe.org/401.html
轉載自《網路攻防戰》

安全專家:蘋果要監聽 iMessage訊息不難

安全專家:蘋果要監聽 iMessage訊息不難

蘋果宣稱其iMessage的安全性連蘋果自己都無法解密使用者所傳輸的資料,資安研究員Cattiaux指出,蘋果的說法基本上是個謊言,只要蘋果願意,或是收到政府的命令,仍然能夠讀取iMessages通訊。

先前中情局前任員工Edward Snowden爆出美國國安局(NSA)的PRISM計畫,指出NSA透過各大科技業者存取使用者個資後,業者紛紛跳出自清,蘋果則曾宣稱其iMessage的安全性連蘋果自己都無法解密使用者所傳輸的資料。但資安研究人員Cyril Cattiaux在上周於吉隆坡舉行的Hack in the Box安全會議中指稱,蘋果是在說謊。

蘋果在今年6月公布了美國政府所提出的個資揭露請求數據,並強調蘋果對保護個人隱私的承諾,當時蘋果表示, iMessage通訊是採用端對端加密,因此除了發送人與接收方外,沒有其他人能夠讀取這些通訊內容,而且蘋果也無法解碼這些資料。

但Cattiaux指出,蘋果的說法基本上是個謊言。Cattiaux表示,他並不是說蘋果在讀取使用者的iMessage通訊,而是在說如果蘋果願意,或是收到政府的命令,仍然能夠讀取iMessages通訊。

Cattiaux表示,的確蘋果伺服器間的所有通訊都是透過SSL的加密通道,於是他試著使用偽造的憑證來執行中間人攻擊(Man-In-The-Middle,MITM),結果發現這非常的容易,並可直接檢視使用者蘋果ID與密碼的明文,意謂著任何人只要能夠利用偽造的憑證與代理伺服器就能取得蘋果用戶的ID與密碼,進而存取iCloud或各種蘋果服務。

他進一步描述了竊聽iMessages通訊的方式,指出當A要傳訊予B時,C攔截了A與B對蘋果伺器的請求,也攔截了雙方所傳輸的內容,利用A與B的金鑰加以解密,甚至可竄改A或B的內容。以上攻擊的基本要求為目標裝置的有效憑證、可將流量導向自己,以及得持有通訊金鑰。

Cattiaux說,蘋果不但擁有憑證,而且掌控了流量與金鑰伺服器,這代表如果蘋果願意,它仍然能監聽使用者的通訊。

不過,Cattiaux表示,對駭客而言,針對iMessage使用中間人攻擊不切實際,而且iMessage的安全性對一般人來說已足夠,只是不建議透過該服務傳遞不想讓政府監控的訊息。

蘋果回應指出,iMessage的架構並未允許蘋果讀取通訊內容,該研究討論的是理論上的漏洞,且蘋果必須要變更iMessage系統才能利用此漏洞,蘋果並無計畫或相關企圖來執行它。

轉載自《iThome》

2013年10月20日 星期日

「炒人」公開個資 雇主判罰2萬

「炒人」公開個資 雇主判罰2萬

新竹縣某公司鍾姓負責人不滿洪姓員工表現,去年十月底將他開除,並在店門口貼公告,寫出洪的姓名、身分證字號及開除原因,洪男認為雇主刻意讓他不名譽的事廣為周知,告老闆違反個資法。新竹地檢署昨將鍾姓負責人起訴,依違反個資法判處罰金2萬元。 這是去年個資法上路後,竹檢起訴第一例。

檢警調查,鍾男與洪姓員工因勞資糾紛,關係交惡,曾在新竹縣政府勞工處開過協調會,但未化解心結,鍾姓負責人去年十月底將洪「炒魷魚」。

去年十一月十四日傍晚,鍾姓負責人在店家門口鐵捲門兩側,張貼兩張公告,上頭有洪男姓名、身分證字號,寫著「洪在一○一年十月卅一日於公司內對公司員工發生公然傷害事件,自事發當日起,即刻予以開除」。

洪男被解雇已很不滿,發現鍾竟把開除他的事貼在店門口,氣炸了,認為前雇主作法絕情,故意讓他難看;他認為自己個人資料被雇主不當使用,且張貼公告前未經他同意,報警提告。

新竹地檢署主任檢察官陳佳秀表示,姓名、出生年月日、身分證字號、電話、地址、學歷、病歷、財務情況都屬個人資料;員工任職時,會留個人資料供雇主申辦勞健保,雇主要做其他使用用途,須得到當事人同意,否則違反個資法。

原文出處:聯合報
轉載自《UDN聯合新聞網》

房仲網洩個資 600人受害

房仲網洩個資 600人受害
交易資料看光光 「太沒安全保障」

不動產買賣交易為保障雙方權益,房仲業都會鼓勵民眾選擇履約保證,購屋款透過銀行或建經公司給付,但有讀者向《蘋果》投訴,透過房仲介業者買屋,也辦理履約保證,但交易資料卻出現在網路,任何人都可查到買賣屋資料。律師表示,業者恐違《個資法》,民眾可依法求償。

讀者陳先生向《蘋果》投訴,去年7月透過台灣房屋購屋,在網路搜尋自己名字和交易物件地址資料時,竟發現當初買賣的履約資料,全都公開在網路上,包括買賣雙方名字、身分證字號、交易標地物地址、交易金額等,感覺個資被洩露,還有600多名受害者。



推測遭到不當使用
民眾買賣房屋時,若選擇履約保證,通常由建經公司為買賣雙方做資金保管及流程控管,買方付款時,先交由建經公司代為保管款項,提供履約保證,擔任買賣雙方第三公證人。陳先生說,買屋時將資料都交給台灣房屋,並未直接接觸台灣房屋的履約公司第一建經。

台灣房屋集團表示,他們與第一建築經理公司為合作關係,客戶資料並非從公司資料流出,對客戶資料保護一向謹慎。第一建築經理法務周發學指,此次事件是公司內部連結資料出問題,現已移除網頁連結,推測可能是被不當人士使用,現正調查原因,對客戶深感抱歉,會主動聯繫客戶說明。

住商不動產行政處執行協理吳光華表示,現在仲介業者對客戶資料都是用電腦處理與管理,並對電腦系統做保護措施,如建立防火牆、不定期更新密碼等,保護客戶個資,並強調「不可能在網路上洩露客戶資料」。



業者恐違法可求償
天成律師事務所主持律師盧天成指出,業者恐違《個資法》,消費者若遇不動產交易資料遭外洩,先向所屬公司或房仲公司反映,若得走法律途徑,則可向金融監督管理委員會申訴或要求民事侵權行為損害賠償,「視影響程度不同,可處萬元到幾十萬元不等」。

盧天成提醒,消費者在與不動產業者簽約時,可先講好個資僅限履約公司或仲介辦理使用,若發生個資外洩,可要求違約賠償金

民眾Circle直呼誇張,委託房仲業者買房,若遇到個人資料全都被公開,「也太沒有安全保障了吧」。



轉載自《蘋果日報》

2013年10月17日 星期四

小心!史上最狠勒索軟體肆虐臺灣

小心!史上最狠勒索軟體肆虐臺灣

勒索軟體CryptoLocker大舉入侵臺灣,公司與個人陸續傳出災情,該軟體會將受害者電腦加密,導致檔案無法使用,更限期3天支付9,000元贖金,否則將毀損解密金鑰


近日,一支名為CryptoLocker的勒索軟體(Ransomware)現蹤臺灣,企業陸續傳出受害災情,該軟體透過釣魚郵件入侵,會將受害者電腦的檔案全數加密,導致檔案無法存取,而且駭客採用高超的加密技術,讓受害者無法自行復原,並限期3天支付9,000元贖金,否則將毀損解密金鑰,受害者苦不堪言。

臺灣McAfee技術經理沈志明表示,被加密的檔案,因為私鑰(Private Key)掌握在駭客手裡,基本上使用者不可能自行破解。若是真的要暴力破解,需要運算資源等代價相當高。

CryptoLocker是透過釣魚郵件傳播,使用者若是誤擊CryptoLocker程式,電腦或是網路硬碟中若是存有CryptoLocker破壞的目標檔案類型,這些檔案就會全數被加密,CryptoLocker使用的2種加密方式,分別是2,048位元的RSA加密技術和AES加密技術。

綁架日常生活中常用的電腦檔案類型,贖金要價9千元 

該惡意軟體完成加密之後,使用者的電腦畫面,就會跳出支付贖金來換取檔案解密的倒數通知,CryptoLocker要求被害者在72小時之內,支付300美元贖金(約9,000臺幣)。否則,只要時間一到,就會銷毀能夠解密的金鑰。

之所以會被稱為最欠扁的惡意程式,除了CryptoLocker運作模式如勒索案之外,CryptoLocker一次綁架我們日常生活中,最常使用的檔案類型,像是微軟文件格式如Excel、Word、PPT,以及JPG圖檔、PDF等,設想一旦公司文件、自己的照片影片全數無法開啟,若是無法自行解密,又沒有定期備份,這些珍貴的檔案可說是一去不復返。

多數防毒軟體皆可攔阻,一旦受害立刻拔除網路

Sophos臺灣區技術經理詹鴻基表示,目前市面上多數的防毒軟體都已經可以偵測到這支勒索軟體,使用者無須過度擔憂,即便不慎點選惡意連結,防毒軟體也會偵測到,讓它無法安裝。

根據目前已經受害的案例,資安專家們建議,一旦使用者發現電腦受到CryptoLocker感染,第一個動作就是斷絕網路連線,盡早中斷加密程序,也可避免CryptoLocker對內網的其他電腦造成威脅。

被感染的電腦,若有定期備份,還可從備份中找到最新版的資料,若是沒有定期備份,可嘗試使用Shadow Explorer軟體復原檔案,不過,僅能回覆部分內容,而且過程相當繁瑣費工,這套軟體僅適用Windows XP SP2以上的版本。

為了回復檔案,受害者最後的選擇,就是支付贖金,使用者亦可從BIOS中將系統時間往前調整,為自己爭取最後一搏的機會。根據已經支付贖金的受害者指出,駭客會在3~4小時內確認款項,然後開始解密,解密過程則依據檔案大小、內容,所需的時間長短不一。

根據McAfee發布的2013年第二季安全威脅報告,可以發現勒索軟體在今年大量出現,2012年第四季被發現的勒索數量不到10萬支,今年第一季則增加至15萬支,第二季更是32萬支,沈志明表示,勒索軟體的數量一直都很多,但從今年開始,數量呈現倍數增長的幅度。

由此可見,使用者必須更謹慎提防釣魚信件中的檔案,平常也要養成資料定期備份的習慣。

轉載自《iThome》

入侵1237個網站 高二生被逮

入侵1237個網站 高二生被逮

新北市刑大日前接獲學校和民間網站報案,指出有電腦駭客入侵網站,而且從2月犯案至今,已經有1237個網站受害,高居全球駭客網站排名第19名,警方深入追查,赫然發現,這名駭客竟然是雲林一名高二學生,前往家中逮人時,這名學生正在入侵網站。

躲在遠端電腦前的駭客,透過指尖敲敲鍵盤,就能癱瘓聯邦調查局的監控系統,竊取機密資料,沒想到類似的電影情節,也在台灣真實上演。

點進網站,就出現震耳欲聾的音樂聲,還有這名穿著白色襯衫的男子,戴著V怪客的面具,伸手比出不雅姿勢,如果看到這個頁面,就代表網站被駭了,這個駭客,破解各大網站,取得管理權限的帳號密碼後,竄改網站內容,把商家的LOGO拿掉,放上自創的駭客標誌,彰顯入侵能力,今年2月犯案至今,駭進全球1237個網站,在全球被黑點統計,排名高達第19名,最讓警方吃驚的是,這個駭客竟是一名年僅17歲的高二學生。



警方查出,這名學生平時就用家中電腦,入侵他人網站,各科學業成績不理想,惟獨電腦科目表現突出,還曾在個人臉書網頁上說,我不喜歡上學,因為這樣就不能駭了。



高超的電腦技術,卻沒有用在正途,警方也覺得可惜,這名學生對於犯行坦承不諱,警方訊後依妨害電腦法使用函送法辦,最高可被判處三年以下刑期。



轉載自《Yahoo新聞》

2013年10月16日 星期三

D-Link 路由器遭爆有後門漏洞

D-Link 路由器遭爆有後門漏洞

研究人員在/dev/ttys0上揭露D-Link部份路由器產品所使用的韌體版本v1.13存在後門漏洞,駭客利用該漏洞可略過管理者帳號、密碼驗證,在未經授權下進入路由器管理頁面,控制路由器各項功能。 

Accessing the admin page of a DI-524UP

專門研究嵌入式裝置安全問題的/dev/ttys0揭露國內知名網通品牌友訊科技(D-Link)旗下部份路由器產品管理平台存在漏洞,可在未經過使用者授權下進入路由器管理介面,控制設定路由器功能。

根據/dev/ttys0所揭露的訊息,D-Link旗下部份路由器被發現安全漏洞,利用該漏洞跳過管理權限控制,受影響D-Link路由器機型包含DIR-100、DI-524、DI-524UP、DI-604S、DI-604UP、DI-604+及TM-G5240等。另外,日商Planex的兩款路由器BRL-04UR、BRL-04CW也因使用相同韌體存在同樣的安全風險。

正常情形下使用者需通過帳號、密碼驗證才能登入管理頁面,但被發現的漏洞可讓第三方不需經過驗證,就能直接控制路由器。該漏洞存在於路由器韌體v1.13版本,只要修改瀏覽器上的使用者代理字串(user agent string)為xmlset_roodkcableoj288409ybtide,就能略過登入程序直接進入管理頁面,控制路由器各項功能。

揭露該漏洞的Craig猜測該後門漏洞存在的原因可能因開發者為了讓某些程式、服務可以自動依需要修改路由器功能而設計,但是這個後門漏洞也允許其他人在使用者不知情、未授權情形下使用,存在安全管理上的風險。

Strings inside /bin/webs

記者向D-Link詢問路由器後門漏洞,但截至截稿為止,D-Link尚未針對旗下的路由器存在的後門風險作出回覆。

部份可能受影響的D-Link路由器推出已有一段時間,建議使用者更新路由器韌體版本,並將路由器的開放公開存取設定功能關閉,以避免他人存取路由器管理頁面。

轉載自《iThome》

2013年10月15日 星期二

中華電 Wi-Fi數據機洩個資 隱瞞型號P874可被攔截帳密「很瞎」

中華電 Wi-Fi數據機洩個資
隱瞞型號P874可被攔截帳密「很瞎」


華電信內建Wi-Fi數據機遭爆資安漏洞。有民眾投訴指中華電信部分P874型號數據機,可輕易查出個人的無線網路帳號密碼,造成個資外洩,甚至遭有心人士利用。中華電信坦言知此瑕疵,已在更新改善,但未公布影響範圍。消基會批業者隱匿;民眾也罵:「很瞎!至少該先通知、讓民眾可保護自己。」

該批出包的數據機是內建Wi-Fi的P874型號,以往多用在50M光世代用戶家中,估計現有用戶至少90萬戶,但中華電信昨稱僅少部分戶數受影響,未公布確切的受影響戶數。國家通訊傳播委員會(NCC)表示,會進一步調查。

恐成小額付款漏洞
任職外商科技公司的藍姓工程師向《蘋果》投訴指,近期發現有近100組以上的網路位址(IP)掃描他的防火牆漏洞,基於好奇,他也掃了同網段的IP,發現許多浮動IP都有漏洞,再輸入網路上可找到的數據機帳號和密碼,登入後竟看到他人的無線網路服務群組識別碼(SSID)名稱和Wi-Fi連線密碼。

藍姓工程師質疑,輕易就可知道鄰居的無線上網密碼,意味著他自己的資料也會被輕易查出,被發現後恐遭用做其他不當用途,相關資料外洩或會造成小額付款漏洞。

《蘋果》記者撥打投訴人查到一組疑為手機號碼組合的密碼,接電話的民眾蘇先生確為50M光世代用戶,且表示該組帳號是家中門牌號碼、密碼是手機號碼,獲悉此事批說:「很瞎!中華電信至少應通知,讓民眾懂得保護自己。」

辯稱:拿到也沒用
中華電信回應說,僅P874型號中的極少數數據機有瑕疵,都是光世代用戶且用中華電信贈送的家用Wi-Fi使用者,但需電腦網路高手使用專業軟體,才可進入截取少部分數據機的Wi-Fi SSID和密碼,且浮動IP並無地域性,「知道密碼也沒辦法做什麼動作」,但為免消費者疑慮,4月起已透過升速陸續進行遠端更新,只要用戶數據機有插電、就可被更新,但未統計影響用戶。

資安網站「大砲開講」站長邱春樹表示,此可能風險包括有心人可透過進入數據機取得相關資料,恐造成個資外洩、電腦中毒、被當殭屍電腦運用、遭詐騙等。

專家:應全面回收
東華大學資訊工程系教授張瑞雄也說,若有瑕疵,業者有責任告知受影響的使用者,「萬一在解決之前民眾有損失,該由誰負責?就像買東西有瑕疵,應全面回收處理。」

消基會秘書長雷立芬表示,涉及個資外洩,發現當下就應主動告知消費者,如汽車有瑕疵就召回,而非隱匿不通知,若真的有人利用資料做壞事,損失就應由業者負責。

中華電信數據機安全漏洞問題

◆原因
用戶使用內建Wi-Fi數據機的遠端管理介面,預設值為開啟,有心人士可能透過專業軟體,搜尋到使用浮動IP的家用Wi-Fi帳號、密碼,恐致個資外洩

◆影響對象
光世代用戶且使用中華電信贈送的家用Wi-Fi者,中華電信未透露影響戶數,強調僅少數數據機受影響

◆問題數據機型號
部分P874型號數據機受影響

◆因應
中華電信遠端更新,近期完成

◆申訴洽詢
中華電信:0800-080-123
NCC:0800-177-177

轉載自《蘋果日報》

2013年10月12日 星期六

美國安局前技術長:要防禦損失最大的資安攻擊,而不是最弱的環節

美國安局前技術長:要防禦損失最大的資安攻擊,而不是最弱的環節

前美國國家安全局技術長Prescott Winter認為,從企業盈虧衝擊程度來決定資安防禦策略才更有價值,而非只考量技術,防禦影響最大的攻擊,比修補最弱的環節更重要

前美國國家安全局技術長Prescott Winter認為,防禦影響最大的資安攻擊,比修補最弱的環節更重要

前美國國家安全局(NSA)技術長兼資訊長,也是Chertoff資安公司管理總監的Prescott Winter,在2013年Splunk使用者大會中提出了一個不一樣的企業資安防禦思維,他認為,企業的資訊長應該從企業高度思考:什麼樣的攻擊,對於企業營收的影響最為深重?哪一種攻擊又是相對可以承受的?對於某些企業來說,個資外洩可能是比系統停機還要嚴重的事,對於另一些企業則可能相反。因此,企業必須先釐清對企業營收影響最大的攻擊,而非從工程觀點出發,從最弱的資安環節開始補起

他解釋,因為防禦需要成本,攻擊也同樣需要成本,若是攻擊所取得的效益(例如駭客竊取企業內員工的電子信箱名單)小於攻擊所需耗費的資源,則即使這些環節漏洞百出,也未必會遭到攻擊,相反地,企業若在這些環節上投入與其他關鍵環節相等的防禦資源,將是不智之舉。

更進一步說,企業內的資安決策者,必須更清楚的知道哪些資料、哪些系統建置跟公司的營收相關性最大。以往的資安建置只考慮到「攻防」問題,也就是,外部存在哪些威脅,而企業的防禦方式又是如何,在今日,資訊主管必須考慮的,還包括了企業的營運面考量。Prescott Winter認為,日後的資安決策者必須將自己從資料管理者(Data Management)的高度,提升到資料治理者(Data Goverance)。

此外,Prescott Winter也認為,為了資安考量,企業更要擁抱大資料分析技術,傳統的單點式防護已無法因應日新月異的駭客攻擊,在此情形下,大資料分析提供了一套出路。他認為,對於企業而言,大量資料除了代表了企業的訊息資本(Information Capital),更可以在分析後發揮實質的效益,企業若能將大資料分析所帶來的智慧,貫徹到每一個資安環節,比建設任何單一的資安系統,更加具有成本效益。

Prescott Winter表示,許多企業只看到大資料分析,如顧客行為統計,銷售預測等帶給企業的長期且緩慢的收益,但是,許多企業並不知道大資料分析也能用在資安領域,因此大資料對於企業來說,是一種進可攻、退可守的技術。

轉載自《iThome》

個資法上路一年 僅34%企業網站做好完整告知

個資法上路一年 僅34%企業網站做好完整告知

個人資料保護法自去(2012)年10月1日正式施行已屆滿一年,儘管目前違反個資法的判例大多為少數的個人行為,但企業組織仍不能掉以輕心,金融產業主管機關金管會已對違反個資法的某金控某人壽做出處罰。其實,企業是否違反個資法,不需主管機關進行調查,光是觀察其網站外顯資訊,即可得知其適法性如何。

資安顧問林政男統計50家知名網站上的「加入會員」、「人才招募」、「聯絡我們」及「行銷活動」等網站功能,對於個資法第八條要求之個資告知聲明的適法度(註)進行檢查,結果發現34%企業網站的「加入會員」適法狀態良好,而違法比例最高的則是「聯絡我們」功能,有76%受調查網站完全違法。若進一步以產業別來看,在「加入會員」的項目中,休憩旅遊業、出版零售業以及網路服務業為適法性較高的族群,而旅遊飯店業的違法比例最高。


(圖片來源:林政男提供)

林政男指出,許多企業在進行個資保護工作,往往會從個資含量最多、或風險最高的營運面開始執行,而忽略網頁上仍有沒注意到的個資進入點,因此建議企業應通盤考慮所有外顯個資進入點的可能性,除了確認符合個資法第八條免告知條件外,所有皆應進行適法性告知。且企業須知,完成網站外顯的法規告知只是因應個資法的其中一項工作,仍不代表滿足個資法所有要求。

(註):個資法第八條,直接蒐集需告知之六項要求:一、公務機關或非公務機關名稱。二、蒐集之目的。三、個人資料之類別。四、個人資料利用之期間、地區、對象及方式。五、當事人依第三條規定得行使之權利及方式。六、當事人得自由選擇提供個人資料時,不提供將對其權益之影響。

轉載自《資安人科技網》

觸個資法 保險公司判賠

觸個資法 保險公司判賠

【案例】誤A為B
「您好!我這邊是○○保險公司,我是服務人員張瓊琳,想找陳靜文小姐。」
 
「喔!我是她姐姐陳靜心,她嫁到台南去了。找她有甚麼事嗎?」
 
「我們公司現在有個專案,有些文件需要陳靜文小姐簽署,要和她連絡,方便給我她的聯絡方式嗎?」
在徵得妹妹陳靜文同意後,陳靜心便將妹妹陳靜文的電話提供給張瓊琳。經過張瓊琳的聯繫,陳靜文遠從台南北上,經保險公司承辦專員謝小萍受理,辦理保險契約取消密戶以及保單補發等事宜。
 
可萬萬沒想到,這裡頭有個天大的誤會。
 
原來,張瓊琳要通知的陳靜文住在台北,可是在資料處理時,錯誤點選到住在台北的陳靜心,剛巧,她的緊急聯絡人,也就是住在台南的妹妹,也叫做陳靜文,陰錯陽差,由住在台南的陳靜文前來辦理本次契約變更。
一連串的爭議,就從這裡開始。
 
回家後,陳靜文越想越不對勁,發現拿到的資料有許多問題,便隨即與保險公司聯絡,除了要求保險公司說明外,同時請求返還各項提供的資料。可是保險公司遲遲未做出正面回應,遑論返還資料。陳靜文乃向法院起訴,請求保險公司給付損害賠償。
 
【判決結果】賠償被害人八萬元 精神損害及交通費財損

第二審法院認為,保險公司業務員張瓊琳、承辦專員謝小萍業務處理有疏失,未經仔細核對,即通知住在台南的陳靜文北上辦理保險契約取消密戶及保單補發事宜,由陳靜文填寫保險契約內容變更申請書,書寫手機號碼後於要保人欄簽名,並交付身分證影本乙紙。

文●寰瀛法律事務所律師黃聖展

轉載自《現代保險健康理財雜誌-295期》

新版個資法 南山人壽首挨罰

新版個資法 南山人壽首挨罰

新版個資法上路後,昨(4)日出現首起壽險業遭罰案例!金管會表示,日前接獲有民眾檢舉,南山人壽有業務員在未經當事人同意下,將客戶個人資料,提供給其他業務員,明顯已構成違法情事,將對公司、公司負責人各處於5萬元,而這是去年新版個資法實施後的第1例裁罰案。

保險局官員指出,此案主要是南山人壽有一對夫妻搭擋的業務員,而太太的客戶有一天針對保單,提出進一步說明需求,原本以來是太太親自來講解,但最後卻是由她的丈夫前來處理,客戶認為自己個資遭到洩露。

保險局官員解釋,現在個資法規定更嚴格,業務員在提供客戶資料給其他人時,即便是自己熟悉的人,都要經過當事人同意,一時貪圖方便,其實都違反個資法。保險局官員強調,從此案來看,除經過當事人同意,若太太陪同先生向客戶講解保單,也不會構成違法情形。

據瞭解,雖然過去也有其他保險公司因違反個資法遭罰,但南山人壽此案,卻是新版個資法上路後首宗。

另外,國內銀行業者,過去也有因信用卡資料處理不當,客戶個人資訊外洩的情事,最終同樣遭受處罰。

保險局官員指出,新版個資法規定,無論產險、壽險業者,在使用各種資料前,必須告知當事人,原則雖很簡單,但業務員很可能因為貪圖方便,導致面臨違法。

轉載自《工商時報》

2013年10月11日 星期五

統一企業行銷委外的個資管理關鍵

統一企業行銷委外的個資管理關鍵

對統一企業而言,管理內部員工個資不難,難的是要管理散落在委外行銷廠商手上的大大小小抽獎行銷活動的消費者個資

統一企業因應個資時間表
》2011/12/19 成立個資安全管理中心
》2012/4 導入資訊安全管理系統
》2012/9 導入個資管理系統
》2012/10/1 公布個資保護政策
》2013/1 發行個資管理月刊
》2013/3 取得ISO 27001和BS 10012認證

對臺灣食品業者統一企業而言,內部員工個資的管理不是最大的難題,更困難的是管理由各式的抽獎行銷活動蒐集到的消費者個資,才是更大的挑戰,因為行銷活動委外廠商若發生個資外洩情況,也都視同是統一企業的責任。為了管理這些委外個資,統一企業採取了幾項關鍵管理措施,包括限縮委外廠商數量,來降低委外管理風險,搭配定期稽核來確保委外廠商個資保護的水準。


為降低風險,限縮合作廠商與定期稽核 
統一企業總經理辦公室經理方木星表示,該公司內部員工個資保護的問題不大,反而是股東資料以及因為各種抽獎行銷活動的消費者資料,成為統一企業最大宗的個資。

方木星說:「因為個資法強化企業對於外洩個資應該承擔的責任,不因為委外而有所減少,所以對於委外的個資保護作為,應該等同公司內部的資料保護作為。」但他表示,由於多數證券公司受主管機關的嚴格要求,必須落實相關的個資保護作為,問題相對不大,比較需要注意的反而是因為各種行銷活動所取得的消費者個資。

統一企業平時有許多的抽獎和行銷活動,原本都是委託不同家的行銷公司負責,但是各家行銷公司規模大小落差很大,不見得有能力可以配合統一企業的要求,對於相關行銷活動的消費者個資,進行妥善的個資保護。

方木星指出,在委外單位視同委託機關(企業主)的前提下,為了確保相關消費者個資的安全性,統一企業最後決定,只選定兩間規模大小足以配合統一企業要求的行銷公司長期合作,該公司除了要求兩間行銷公司必須取得相關的資安與個資保護的認證外,也必須允許統一企業,可以對該行銷公司進行定期稽核,藉此了解與掌握行銷公司如何確保消費者個資保護,是否有落實統一企業對於行銷委外的個資保護管理要求。

先制定個資稽核工作底稿才能落實稽核 
統一企業除了落實行銷委外的個資保護與稽核措施之外,在個資保護管理制度的建立上,由該公司成立的「個資保護管理中心」負責「一階文件:政策」和「二階文件:程序書」的制定,「三階文件:管理辦法、作業說明書」則由使用者單位負責,涉及全公司的例如通訊錄資料,才由個資保護中心負責;「四階文件:表單記錄」因為各個單位應用情境不一樣,各單位自行負責制定,重點是要建立記錄表單。

要落實個資保護制度與措施,方木星認為,嚴謹的內評與稽核是非常重要的關鍵。但問題在於,內評稽核部門在每年年初,都已經排定整年度的稽核排程,加上稽核人力相對吃緊時,如何讓個資稽核可以落實,考驗個資管理中心與稽核部門。

為了克服既有稽核人力不足的問題,他說,個資保護小組先從企業內部,找出稽核出身但輪調到其他單位具有稽核能力的同仁進入該小組擔任內評委員,由內評委員擬定個資稽核的工作底稿。當個資稽核的工作底稿確定後,就可以由個資小組內評委員及稽核部門的內評稽核人員,按照個資稽核工作底稿完成第一次的個資稽核後,稽核小組成員就知道應該如何進行個資稽核。

此外,為了降低稽核小組的工作負擔,也由不同部門內找出具有個資稽核能力的成員,進行跨部門的個資稽核,因為都是執行單位,很容易找出落實個資保護時的缺口,不僅達到落實個資保護的效果,也可以降低稽核單位的工作負擔。

轉載自《iThome》

個資保護經驗分享 統一與叡揚現身說法

個資保護經驗分享 統一與叡揚現身說法

新版個資法上路即將屆滿一年,對於個資管理的作法,有許多企業還是處於懵懵懂懂的階段,日前在經濟部工業局所主辦的「個中資味」研討會上,統一企業與叡揚資訊現身說法分享內部因應個資法的措施。

統一企業經理方木星表示,統一企業推動個資保護共有六大步驟,第一、成立組織;第二、進行個資盤點與繪製流程圖;第三、進行風險評鑑與實施改善對策;第四、建立管理制度;第五、建立內評稽核機制;第六、建置相關資訊安全管理措施,並於2013年3月取得BS 10012及ISMS認證

由於統一企業在推動個資保護之初,就已經將推動重點定位於「將法律要求轉化為企業內部日常管理工作的一環」,因此特別重視建立員工認知與內部稽核。以內部稽核來說,個資管理制度的稽核工作不是由內稽部門執行,而是培訓各部門所推派的個資委員擔任內部稽核員,並由這些個資委員進行跨部門交叉稽核,同時避免加重內稽部門工作負擔。

另外,在建立員工認知上,除了推動初期的教育訓練外,每個月皆發行個資管理電子月刊至員工電子郵件信箱,內容包括法令宣導、新聞事件…等,藉此持續強化員工對個資法的認知。

方木星指出,統一集團內有很多個子公司,每個子公司對應到不同主管機關,因此在個資管理上採取各個子公司各自獨立管理。不過統一企業本身會分享經驗,像是培訓12位個資管理種子講師,輔導關係企業,希望能帶動整個集團做好個資保護。

叡揚資訊副總經理黃順昭則表示,為了因應個資法而推動以下7大措施: 
1. 制定與公佈企業內部個人資料管理辦法 
2. 指定召集人及成立個資保護工作小組 
3. 清查現有之個人資料 
4. 建立個資作業SOP,從蒐集、處理、儲存、到銷毀的流程 
5. 教育訓練與宣導 
6. 內部稽核與法規遵循 
7. 處理客訴及抱怨非常重要,可以降低訴訟風險。

對於握有大量個資的企業來說,因應個資法是刻不容緩,除了建立管理制度,徹底保護好個資,提昇客服人員素質與回應態度,在發生個資事件時,讓權益受損的當事人降低心中不滿情緒,不失為一個避免個資爭議的好方法。

轉載自《資安人科技網》

從ISO 27000指引及新版ISO 27001:2013看資安管理未來發展

從ISO 27000指引及新版ISO 27001:2013看資安管理未來發展

近年來全球及台灣發生了多起重大的資安事故,如南韓所遭遇的大規模病毒攻擊 (癱瘓將近3萬2千台電腦)、個資外洩 (Sony PSN, LinkedIn, Dropbox, Evernote等)、關鍵網路機房因電力中斷導致全臺對外網路服務遭受到嚴重影響…等事故,均對企業組織的營運及其客戶或使用者造成了重大的衝擊。這些事故的發生也代表著企業組織不可再忽視資訊安全的重要性,尤其是近年來資訊安全的威脅與過去相比不管在議題的複雜性、管理的難度及範圍的涵蓋面上已經產生了不小的轉變,如: 網路安全 (Cyber security)、智慧型設備 (BYOD),社群媒體 (Social Media)、巨量資料 (Big Data)、雲端 (Cloud)、ICT供應鏈的安全管理等都是不小的挑戰。未來如何有效地展現企業組織在資訊安全面向的有效治理將會扮演著越來越重要的角色。

通過驗證只是開始,參考ISO 27000指引繼續強化ISMS
國際標準組織也為了因應企業組織的需求及面臨的挑戰,陸續在資訊安全的各個面向制定相關的指引提供參考(如圖1)。舉例來說,在ISO/IEC 27000系列中已針對電信業、金融服務、雲端安全、網路安全 (Cyber security)、應用系統安全、事故管理、供應商關係之資訊安全、數位鑑識等面向陸續訂定出相關的指引。這些指引不僅可提供企業組織有效強化既有的資訊安全管理系統,更可協助企業組織藉由這些指引中的要求提升在該面向的成熟度。筆者將針對幾個重要的指引先進行介紹,以協助讀者可以更加瞭解相關的內容並作為持續強化的依據。

圖1 ISO 27000系列指引

* ISO/IEC 27013 –資訊安全及資訊服務管理系統的整合指引
資訊服務的資訊安全管理與服務品質/ 績效管理一直都是密切相關的 (如應用程式有重大漏洞是資安議題,也是服務品質議題),組織可藉由這個指引的要求強化資訊安全控制措施的有效性。企業組織在導入資訊安全的控制措施時常僅會以控制點的角度實施,以容量管理為例,在導入資訊安全時許多資訊部門僅會對系統、資訊基礎設施進行日常的監控及容量調校,但是對於未來容量的預測、分析及規劃機制卻是相對薄弱。所以常導致資訊系統或服務一旦遭遇到未預期的異常流量、或是法規變化而發生服務異常,造成營運面的重大衝擊。但透過與資訊服務管理要求的結合,企業組織可以藉由擬定年度或季度容量計畫,對未來資訊服務可能產生的變化及對容量的衝擊進行分析,再藉由財務管理流程進行預算的有效規劃及編列。其他可以強化的活動舉例如圖2。

圖2 ISO 27013資安與資訊服務管理整合,強化資安控制措施有效性
圖2 ISO 27013資安與資訊服務管理整合,強化資安控制措施有效性

* ISO/IEC 27014 – 資訊安全治理
許多企業組織導入資訊安全管理系統已有多年,但資訊安全總是侷限在資訊部門、資訊安全的績效無法有效地被展現、資訊安全的要求未能融入到日常文化、所需的資源無法有效地被提供等都是常見的問題。ISO/IEC 27014中明確提供了一個框架及6個原則供企業組織遵循及參考,ISO/IEC 27014所提出的六大原則(如圖3),都是台灣目前很多企業組織在導入資訊安全後常面臨的議題及挑戰,以第一個Principle - Establish organization-wide security舉例來說,社交工程在政府機關已經宣導了多年,所以政府機關內的業務同仁可能並不陌生。但在企業中,由於資訊安全大部分都是侷限在資訊部門,所以業務單位同仁可能非常陌生。如果沒有以整個企業或組織的角度實施或考量資訊安全的管制要求,資訊安全有效性的展現一定會是個重大的挑戰。

圖3 ISO 27014 以全組織角度進行資安治理

* ISO/IEC 27036 –供應商關係之資訊安全 (制定中)
在資訊活動高度分工的今天,如何管理供應商甚至是ICT供應鏈已是一個不可忽視的重要課題。當供應商所提供的服務或活動無法滿足或違反企業組織的要求時,所造成的衝擊及後果是無法被轉移的。越來越多的企業組織發現如果無法建立完善的機制對供應商進行管理,將來發生資訊安全事故時是無法證明有盡良善監督管理之責的 (不論是業務委外或是資訊委外)。ISO/IEC 27036系列指引中(如圖4)提供了不同類型的供應商關係的資訊安全管理指引 (產品/ 服務供應商安全、ICT供應鏈安全、雲端服務供應商安全等)。筆者將於後續針對相關指引撰文介紹。

圖4

快速了解新版ISO 27001 三大主要改變
至於ISO/IEC 27000系列中最重要的ISO/IEC 27001驗證標準,ISO組織已經於7月3日發布FDIS版本 (國際標準最終草稿本)。FDIS版本的發布也代表距離新版的正式版本頒布又更近了一步 (依ISO組織的標準制定的流程,FDIS的下一個階段就是正式版本的頒布)。這次的標準改版,不論在管理系統面或是控制措施面的要求,都有著不小的改變。雖然FDIS的內容與正式版本一定會有些差異,但企業組織可以先從FDIS中的要求了解將來可能需要因應的改變及調整之處。

以下概述管理系統面的要求之主要改變 (PDCA的要求部分):

改變1:與其他國際管理系統的整合更加容易
此次管理系統面的要求採用新的架構進行制定(如圖5),此為依據ISO組織的 Annex SL要求- High level structure。許多企業組織常會基於不同的考量及要求導入一個以上的管理系統,如資訊安全管理系統、資訊服務管理系統、營運持續管理系統、品質管理系統….等,過去常為了如何進行系統間的整合產生困擾。雖然各個國際標準間有諸多要求都是雷同的 (如須訂定高階管理政策、目標、內部稽核、管理審查等),但由於各個國際標準間在相關要求上並沒有完全一致的陳述或要求,所以常會導致在整合上增加額外的難度。ISO Annex SL是ISO組織為了解決這個議題所訂定,後續ISO所制定出的驗證標準皆會參考Annex SL中的架構要求進行管理系統面的制定,後續應可以降低企業組織整合時因標準本身所造成的議題。

圖5

改變2:管理系統面的要求更為明確並更符合實際需求:
●管理系統面的要求 (PDCA) 的要求更加明確及符合現狀,尤其是規劃階段 (Plan) 的要求有大幅度的增加 (此次的條款由2005年版的條款4-8調整成條款4-10 - 增加了額外的條款要求) ;
●與其他國際標準,如ISO 31000 風險管理 及 ISO/IEC 27000系列指引的要求進行更密切的結合;
●在制定ISMS的範圍前,必須先了解企業組織的情況或背景 (如所面臨的內部及外部議題,利害相關者對資訊安全的要求等)。選定資訊安全管理系統的範圍時必須根據上述議題進行評估。過去許多企業組織僅以資訊部門作為導入的範圍,新版要求須以企業組織的整體面向進行考慮 例如在醫療產業、高科技、人力仲介、資訊服務業、政府機關中,最重要的不會單單只有資訊部門的活動而已,很多資安事故可能會與業務單位有關;
●最高管理階層需透過相關的活動更積極地展現出領導力及承諾 (Leadership)。此次改版要求最高管理階層透過訂定符合企業組織目的的資安政策目標,整合資安要求與組織既有流程,支持其他相關的管理角色,角色、責任和職權的指派及溝通等活動展現支持及承諾;
風險評鑑與風險處理的要求參照ISO 31000風險管理要求;
●強調績效評估 – 包含安全目標的量化,及資訊安全的績效及ISMS的有效性的評估 (考慮5W & 1H,如圖6);
●將能力、認知、溝通等活動獨立成不同的條款–強調上述活動的重要性;
●文件及記錄的要求改成文件化資訊 (Documented information)等。

圖6

改變3:安全控制措施要求之主要改變:
在FDIS版中安全控制措施的改變摘要如下:

●控制措施的數量減少:由2005年版中的11個控制措施章節,39個控制措施目標,133個控制措施調整成14個控制措施章節,35個控制目標,114個控制措施。
●調整控制措施章節之編號: 控制措施的章節編號由原來的A.5~A.15 (11個章節),增加成A.5~A.18 (14個章節),如圖7。此外,部分控制措施章節的編號也進行重新的調整,如:
> 人力資源安全 (由原來的A.8調整成A.7);
> 資產管理 (由原來的A.7調整成A.8);
> 通訊及作業管理 (由原來的A.10調整成兩個獨立章節– A.12 作業管理安全及A.13 通訊管理安全)。

圖7

●移除部分既有的控制措施: 刪除部分有重疊要求的控制措施,如: 在管理系統面及控制措施面同時有要求的控制措施,或是將部分控制措施之要求整合至其他的控制措施中,如:
> 移除A.6 資訊安全的組織章節中;
* A.6.1.1 管理階層對資訊安全的承諾
* A.6.1.2 資訊安全的協調工作
* A.6.1.4 資訊處理設施的授權過程
> 移除A.10通訊及作業管理章節中;
* A.10.7.4 系統文件的安全
* A.10.8.5 營運資訊系統
* A.10.10.5 失誤存錄

●新增控制措施: FDIS中增加了多個控制措施以反映目前企業組織所面臨的風險,筆者認為這些控制措施的新增除了可以協助企業組織提升資安的有效性之外,也同時驅使企業組織必須重視相關議題,如:
> 要求企業組織強化在專案管理過程中的資訊安全;
> 要求企業組織必須要正視智慧型設備的風險及管理;
> 針對軟體安裝進行必要的管制以避免造成惡意軟體的攻擊或是違反智慧財產權;
> 系統開發及維護相關的流程強化 (開發及維護的程序,安全的開發環境等) –過去發生的國內外多起資安事故多與資訊系統/ 應用系統的bug有關;
> 要求針對資訊處理設施的可用性進行強化 (redundancy)。
●重新群組部分的控制措施 (Regroup) 及修訂既有控制措施的要求 (Refined/ Revised control statement): 此次所有的控制措施不論在相關的要求或是在ISO/IEC 27002的實施指引內容中都做了更完善及更符合實際的要求及建議。

結語
資訊安全已是企業組織日常維運不可忽視的議題,不論是從政府主管機關要求、法令法規、客戶要求或自身要求等面向,未來對資訊安全治理的要求一定會愈趨嚴謹。企業組織也必須正視相關資訊安全威脅趨勢的變化而造成的潛在衝擊及挑戰 (威脅態勢的變遷: 善意的內部人員/ 駭客攻擊/ 針對特定目標的攻擊等)。許多企業組織常在管理面及技術面中間掙扎,不知該先以哪個面向進行強化。依照筆者過去的稽核經驗及國內外資安事故的分析,許多資安事故的發生都與人員落實度不足及便宜行事有關。航空界有個不飛行安全的理論稱為海恩法則: 每個嚴重航空事故的背後,必定有29次輕微事故,300個瀕臨事故徵兆,以及超過1000個潛在問題。資訊安全管理也是雷同的觀念,如果先透過國際標準及相關指引的要求進行制度的訂定及強化,再透過技術面進行強化,一定可以達到相輔相成之效。但最重要的是企業組織所訂定出來的制度或程序規範,一定要”Fit for use”、”Fit for purpose”。
  
本文作者現任職BSI 英國標準協會驗證部協理及ISO/IEC 27001產品經理/主導稽核員/資深主任講師

轉載自《資安人科技網》

BYOD蔚為風潮 企業資安挑戰更多

BYOD蔚為風潮 企業資安挑戰更多

隨著法規日趨完備、網路建設與應用漸趨成熟,以及軟硬體技術的不斷精進,企業資訊安全的重要性,但也面臨更為嚴峻的挑戰。尤其是近年來,因為智慧手持裝置的興起,愈來愈多的員工,希望能使用自己熟悉的智慧型手機或平板工作,BYOD(Bring Your Owe Device)的風潮也已經漸漸被企業所接受,但也因此衍生過去從未發生過的資安議題。

BYOD已成趨勢 Shadow IT成資安缺口

NTT Communications Corporation BYOD專案副總三隅浩之(Hiroyuki Misumi)指出,由於智慧型手機及平板電腦的規格及效能,已經接近個人電腦,攜帶又更為方面,尤其在行進間、零碎的等待時間或是小型會議或辦公室的使用,智慧手持裝置顯然更能實現隨時隨地工作的目標,也讓BYOD風潮蔚為風尚。

DIGITIMES舉辦2013年度企業資安日論壇,主題為「BYOD潮流下的企業資安管理新戰場」。活動邀請三陽工業、勤業眾信規劃專輯演講,現場並匯聚趨勢科技、精品科技、台灣二版、F5 Networks、NTT Communications、NEC、嘉航科技等七家廠商現場分享專業解決方案。

但在BYOD大行其道之際,三隅浩之也指出,「Shadow IT」的問題也開始延燒,因為許多自行攜帶智慧手裝置的員工,其實並沒有得到公司的認可。NTT發現,超過50%以上的員工會自行攜帶智慧型手機上班,但只有20%左右是真正得到企業正式同意,在企業默許狀態下使用的比例則為12%,值得注意的是,20%的使用者表示,所屬企業根本沒有任何的管制措施

NEC資深副總裁山口昌信(Masanobu Yamaguchi)指出:企業必須正視BYOD的趨勢已經成形,即早因應準備,才不會讓「Shadow IT」蔓延,成為企業IT管理的陰暗死角。他認為智慧手持裝置將成為企業IT系統的核心,這只是時間早晚的問題。「行動化優先」(Mobile First)的時代已經來臨,我們正處在此一潮流當中。

山口昌信強調:「行動化優先」可協助企業員工在工作現場與企業IT系統迅速直接地連接,這將掀起企業IT系統的革命。而NEC Cloud Smartphone是實現「行動化優先」,同時又保證可以實現生產效率最大化的解決方案。

BYOD成攻擊對象 企業應了解攻擊模式

三陽工業經理陳春明指出,企業要導入BYOD,一定要做好事前準備,以及詳盡的資訊藍圖,才能在最短的時間,完成資訊管理建設,企業也才能加快營運拓展的腳步,企業資訊策略與架構,必須與企業策略相結合。

企業資訊安全的防護措施,也應該要跟著企業發展及環境的需要與時俱進,不斷調整。尤其在企業的業務流程,已經與網際網路難以切割,資料文件也已經大量數位化的趨勢下,來自於網路的惡意攻擊威脅,所造成的危害也變得更加嚴重。

值得注意的是,駭客的攻擊對象已經開始從過去以政府單位為主,轉而開始攻擊企業。趨勢科技資深技術顧問黃源慶指出,隨著愈來愈多的企業導入BYOD,這些手持智慧裝置,也已經成為進階持續性滲透攻擊(Advanced Persistent Threat;APT),非常喜歡鎖定的對象。

F5 Networks技術經理紀文智指出,企業要讓資訊安全做得更好,一定要了解攻擊行為的模式。目前常見的資安攻擊手法,首先是從網路方面的攻擊,主要是設法取得存取權限;其次是針對應用層次的攻擊,主要目的是進行資料竊取,遇到這類攻擊,資料本身是否做好就相當重要;最後是DDoS,主要目的則是讓網站服務停擺。

紀文智指出,這些攻擊方式,其實都有跡可循,企業也可藉此判斷,應該採取的防護措施。大多數真正有威脅的攻擊,其實是針對應用層次的攻擊。紀文智表示,因為應用軟體才是接近資料的大門,一旦資料被竊取,就可進行詐騙或財務轉帳等動作,企業不可不慎。

注意內部控管 小心設備失竊

黃源慶進一步指出, BYOD因為使用範圍非常大,很容易形成資安漏洞,讓駭客有機可乘,也就成為商業駭客鎖定的對象。台灣各界不管是政府或企業,作為都不夠,防禦能力都不夠強。如夾帶附件的社交工程電子郵件,是APT最主要的攻擊方式,比例超過90%以上,而且發信單位常常會冒充政府單位或資訊部門,用戶可說是防不勝防

事實上,許多企業營業機密,可能就會在員工不經意的狀況下流出。根據商業管理協會(Institute of Commercial Management)研究報告指出,白領工作者平均每周處理11份機密營業文件,而且這些機密文件常常會在不必要的情況下曝光。報告指出,39%的工作者曾經將客戶資料寄出公司,52%的員工曾在離職時,將工作資料帶走;86%的員工坦承習慣性將郵件轉寄其他人;26%的員工甚至會使用免費信箱寄送工作資料

精品科技資安顧問許祐福指出,根據國際電腦安全協會報告(ICSA Security Report),60%的洩密事件,其實是來自企業內部,只有15%是來自外部入侵,這也代表企業對於企業內部資訊機密的保護,還不是很周全。

除了內部員工因為調動或離職,沒有做好交接或不慎遺失外,也有員工是因為對公司不滿,而竊取資料,商業間諜也是資料外洩的原因之一。此外,員工出差及外派人員也可能會不慎將機敏檔案外流,就連委外或合作廠商,也可能因為作業疏失、文件交換分享等因素,導致機敏檔案處理風險發生。

雖然BYOD可以讓員工使用自己熟悉的設備,提高工作效率,而且對企業主而言,還可以節省軟硬體設備支出,以及另外花時間和金錢安排教育訓練,但台灣二版高級產品經理盧惠光指出,在這些優勢及便利下,相對的也隱藏了一系列的企業資料外洩跟安全性的問題。

盧惠光認為,BYOD資料控管的議題中,電腦遭竊是最嚴重的資安問題,因為裝置一旦遺失,企業就無法作太多的控制,為了防患未然,防毒軟體加入防盜功能有其必要。如利用手機中信任的sim卡名單,傳送簡訊指令保護行動裝置的手機防盜功能,或是在公司電腦遺失時,可以登入網站利用筆記型電腦上的webcam即時監控正在使用筆記型電腦的人。

盧惠光更強調,愈來愈多的攻擊,不但變得更加專業,病毒的隱密性也變得更高,不但不容易被防毒軟體發現,這些病毒也會設法增加停留時間,以便有更多突破防毒軟體屏障的可能,即使是已經注意到BYOD有安全隱憂的員工,也不代表就能高枕無憂。

協同作業要注意 法律規定要熟悉

除了從技術面設法克服BYOD可能衍生的資安問題外,企業也需要注意管理面的問題。嘉航科技工程技術副總經理陳威宏指出,企業擁有的數位檔案數量愈來愈多,有如洪水一般滾滾而來,位檔案的管理就像治水一樣,一旦控管不當就會氾濫成災。

陳威宏指出,數位檔案不但無所不在,而且會透過各種系統或裝置分享,而在使用或分享的過程中,就可能發生數位檔案遭竊的可能。陳威宏認為,權限管理變得非常重要。

以產品開發為例,由於產品在開發過程中,常常需要與不同的部門交換資訊,也讓資料控管變得更加複雜,因此在不同的階段,需要不同的權限控管,考量事項包括使用者的角色及群組設定、資料庫的存放位置、物件的類別及狀態。

值得注意的是,因為營業秘密的成立要件非常嚴格,許多企業認定非常重要的營業祕密,可能在進入訴訟程序時,卻不見得能得到法院認可。勤業眾信聯合會計師事務所協理曾韵指出,企業如果要確保營業秘密能夠受到法律保障,對於營業秘密的意義,尤其是法律上的定義,一定要有相當程度的了解。

●「DAF 2013 企業資安日」影片欣賞:點擊

轉載自《DIGITIMES中文網》

2013年10月10日 星期四

活用加解密提升營業秘密和個資保護力

活用加解密提升營業秘密和個資保護力

當前的企業資安正面臨非常嚴峻的挑戰,尤其是愈來愈多的企業機密,被更多資訊部門以外的人員掌握時,企業資安問題更形複雜。精品科技資安顧問許祐福指出,資訊部門人員其實在對抗外界威脅的表現還不錯,但對於內部營業秘密的保護,可能要更為用心,才能避免更嚴重的資安事故發生。

根據商業管理協會(Institute of Commercial Management)研究報告指出,白領工作者平均每周處理11份機密營業文件,而且這些機密文件常常會在不必要的情況下曝光。報告指出,39%的工作者曾經將客戶資料寄出公司,52%的員工曾在離職時,將工作資料帶走;86%的員工坦承習慣性將郵件轉寄其他人;26%的員工甚至會使用免費信箱寄送工作資料

精品科技股份有限公司資安顧問 許祐福

從前述統計可以發現,許多企業營業機密,可能就會在員工不經意的狀況下流出。許祐福指出,根據國際電腦安全協會報告(ICSA Security Report),60%的洩密事件,其實是來自企業內部,只有15%是來自外部入侵,這也代表企業對於企業內部資訊機密的保護,還不是很周全。

除了內部員工因為調動職務或離職,沒有做好交接或不慎遺失外,也有員工是因為對公司不滿,而竊取資料,商業間諜也是資料外洩的原因之一。此外,員工出差及外派人員也可能會不慎將機敏檔案外流,就連委外或合作廠商,也可能因為作業疏失、文件交換分享等因素,導致機敏檔案處理風險發生。

而新版個資法上路10個月以來,許多個資外洩事件上了新聞,也讓不少企業因此更加重視個資法的資安問題,新版營業秘密法也提高洩漏營業秘密者的刑事責任與罰金,最高可處10年以下有期徒刑,得最高處5,000萬元罰金,相當於傷害罪,但許祐福表示,企業不能因此就覺得高枕無憂。

因此,企業有那些營業秘密真正受到保護,不是老闆說了就算,而是需要符合法律要件,如法律認定的機密資料,包括生產、銷售及營運資訊,但成立要件並不是很明確,檢驗原則包括秘密性、合理保密性及價值性,企業必須善盡舉證責任,才能在法庭上有效主張自己的權益

許祐福表示,為了避免資訊外洩,企業可以著手採取的行為,包括與員工訂定保密契約,也可以透過保密技術,保護敏感的業務資訊,或是透過管理的手段,不斷的監控及稽核,讓企業資料能夠一直處於保護的狀況。

事實上,企業針對機密資料,是否有採取合理的保護措施,往往正是法律訴訟時的主要爭議點,也是營業秘密保護的核心原則。許祐福強調,唯有先了解法治的保護規定,才能真正延伸實務的技術防護。

而面對行動裝置的盛行,企業機密資料也面對更為複雜的威脅。許祐福表示,設備遺失、透過惡意程式竊取資訊、APP資安威脅、設備弱點、通訊資安威脅、管理功能不足,都是企業必須防護的重點。

許祐福強調,相較於企業過去使用的科技設備,多半由企業配發,使用地點也比較固定,可以針對硬體做好防護,而現在的行動裝置,不但使用時間及地點不固定,而且還可能是員工自行攜帶,資料外洩的可能性,也比過去更高。

事實上,從法律成立要件的角度來看,企業如果沒有針對行動裝置或上面的資料,積極加以保護,一旦發生資訊外洩事故,可能在舉證方面,也會碰到問題。因此行動裝置上的機密資料保護措施,不能只是著重硬體,資料本身的加密,也一樣重要。

許祐福建議企業,首先要針對BYOD訂定一套合理的管理政策,那些裝置可以帶、可以使用哪些資料,可以使用到哪個程度,都需要訂定出來,讓員工能夠有所依循。

為了有效落實資訊安全防護,許祐福認為,數位檔案及紙本檔案都要管理,紙本檔案要設法數位化,才方便加密。技術面的落實,則是可以尋求資安解決方案,如DLP/DRM等

DLP的防護特性,是以裝置、AP為主體。許祐福指出,如果與實體世界對照,端點式DLP就像監視器。他除了可以在不改變使用者的使用下,透過記錄的方式,將所有的行為記錄起來。此外,也可以透過控管的方式,禁用或開放特定裝置,達到防止資料外洩的效果。

DRM保護則是以文件為主體,如果與實體世界對造,控管就像保險箱。主要透過透明加解密技術,如文件存檔時,以及上傳到WEB網站或檔案伺服器時,就會自動加密。透過與Mail Server的搭配讓接受到的E-mail只要含有附件,也會自動加密,藉由各種使用管道的自動加密,提升使用者對於文件加密技術的接受度。

許祐福強調,文件的整個生命週期都需要被保護,包括建立、更名、列印、修改、複製、回收、銷毀等,必須要完整記錄使用過程,日後才能作為稽核追蹤的依據

除了不同的加密應用方式外,建立DEC資料加密中心的架構,也非常重要。除了文件使用記錄、統計外,還可對文件追蹤稽核,更可提供定期報表與風險警示。以履歷處理為例,人資可將履歷另存進DEC中,DEC就自動加密保護,用人單位只能唯讀,面試有需要時,由人資列印,並列印時會加上列印人員姓名浮水印,整個面試流程結束後,使用權也會自動回收,以確實達成新版個資法要求企業善盡文件保管的責任。

許祐福最後強調,藉由自動加密及通知的設計,不會增加使用者的工作負擔,企業機密營運資料的保護,也更能落實,確保企業營運的資訊安全。

●「DAF 2013 企業資安日」影片欣賞:點擊

轉載自《DIGITIMES中文網》

APT攻擊頻傳 客製化防禦策略日漸重要

APT攻擊頻傳 客製化防禦策略日漸重要

進階持續性滲透攻擊(Advanced Persistent Threat;APT)近年來事件頻傳,已經引起各界高度重視,值得注意的是,駭客的攻擊對象已經開始從過去以政府單位為主,轉而開始攻擊企業。趨勢科技資深技術顧問黃源慶指出,最近已經有不少企業遭遇目標攻擊或網路詐騙,損失金額從幾千美元到幾十萬美元之間,受害企業不但遍及各種產業,更重要的是,即使是中小企業也難以倖免。

黃源慶指出,駭客的能力與技術與日俱進,即使是技職體系,都可能出現相當厲害的駭客。中小企業缺乏資訊人員,許多資訊系統也都委外處理,遭遇APT時往往會不知所措,因此平日就得小心在意,學習如何面對各種資安威脅。

趨勢科技資深技術顧問 黃源慶

一般而言,政府單位比較容易碰到網路軍隊,企業則是比較容易碰到商業間諜駭客或駭客組織。黃源慶指出,商業間諜駭客的犯案手法,針對鎖定對象多半都有固定模式,如針對金融單位,主要是設法取得客戶資料,再透過盜刷等手法取得不法利益。

商業駭客攻擊事件,可說是遍及海內外。如南韓320事件,就有南韓多家媒體與金融業約48,000台電腦與伺服器受到APT攻擊,影響所及,不僅銀行、媒體的業務運行中斷,受感染機器上的資料也無法回復,損失難以估計。

而隨著愈來愈多的企業導入BYOD(Bring Your Own Device),這些手持智慧裝置,也已經成為APT攻擊非常喜歡鎖定的對象。黃源慶表示,APT攻擊的形式其實非常多樣,可以透過各種工具達成,BYOD因為使用範圍非常大,很容易形成資安漏洞,讓駭客有機可乘,也就成為商業駭客鎖定的對象。

如很多人拿到手機或平板後,喜歡執行的Root或JB,就可能造成資安漏洞。黃源慶指出,不管是Root或JB都需要修改工具,這些工具其實都是利用類似駭客的手法,讓使用者取得使用權限,但由於並非所有修改工具都是安全的,如果使用者自行安裝,等於是自己將相關威脅直接放到自己的裝置上,如同自廢武功,引狼入室。

但就算企業或個人積極管理,不會在行動裝置上安裝來源不明的軟體,也不代表就可高枕無憂。黃源慶指出,甚至有駭客會利用偽造的Google Play網站,讓使用者不知不覺安裝駭客軟體,可見針對BYOD的資安威脅,可說是層出不窮。

此外,趨勢科技在今年四月發現,國內有駭客組織假冒健保局發送信件給中小企業的負責人、人資或財務部門,相關人員不察,就會點選信件連結,打開Word檔案,電腦就因此中毒了,也導致超過一萬多筆中小企業個資外洩。

但台灣雖然早在十幾年前就遭遇駭客攻擊,APT攻擊最近更是盛況空前,但黃源慶指出,台灣各界不管是政府或企業,作為都不夠,防禦能力都不夠強。如夾帶附件的社交工程電子郵件,是APT最主要的攻擊方式,比例超過90%以上,而且發信單位常常會冒充政府單位或資訊部門,用戶可說是防不勝防。

為了對抗APT,黃源慶建議企業要建立APT防禦概念,如提高社交防禦的門檻,加強威脅事件的偵測與感知,強化鑑識的回應與清除,鑑識成果還可作為社交防禦門檻進一步的設計參考。

如針對惡意社交郵件,必須先進行偵測及攔阻,再即時分析惡意程式,並找出可利用資訊,用來偵測網路可疑行為,找出受害電腦,並阻斷惡意的連線行為,最後清除利用其他方式進入或早已存在的惡意程式,以建立APT縱深防禦策略架構。

綜上所述,駭客的攻擊模式,可說是變化萬千,企業如果只是被動的防禦,擋得了一時,擋不了一世。黃源慶認為,企業一旦碰到APT,其實應該尋求資安事件調查(Incident Response:IR)團隊的協助,找出導致資安事件發生的相關資訊,如發生什麼事情、造成什麼影響損害、受害範圍及駭客的行為模式,甚至進一步分析攻擊的時間長短、來源及如何擴散等資訊,並做好資安健診,包括主機、網路封包及網路架構安全性的檢視,才能有效防止APT造成企業資安事故的發生。

●「DAF 2013 企業資安日」影片欣賞:點擊

轉載自《DIGITIMES中文網》

2013年10月8日 星期二

趨勢科技:Android惡意程式數量已突破100萬門檻

趨勢科技:Android惡意程式數量已突破100萬門檻

趨勢原本根據成長速度估計今年底Android平台上的惡意程式數量會超過100萬個,但此一預測於9月提前達成。


資安業者趨勢科技(Trend Micro)表示,鎖定Android平台的惡意程式數量已在今年9月突破100萬門檻。

趨勢在8月公布的第二季行動安全報告(2Q Security Roundup)中指出,過去3年鎖定Android的惡意程式數量為35萬個,但今年上半年的惡意程式數量已增長至71.8萬,當時趨勢根據此一成長速度估計今年底Android平台上的惡意程式數量便會超過100萬個,但此一預測已於9月提前到達。

現在市場上已有100萬種行動惡意程式,其中約有75%屬於真正的惡意程式,另有25%則是包含廣告程式在內的高風險程式。趨勢表示,在惡意程式的類別中,佔最大比例的是Fakeinst(34%)與Opfake(30%)家族,Fakeinst會偽裝成合法程式,然後傳遞簡訊到高費率的號碼或是訂閱昂貴的服務。Opfake與Fakeinst的手法類似,另還會要求使用者下載其他的惡意程式。

在高風險程式中最普及的則是Arpush(33%)與Leadblt(27%),他們都會竊取使用者的資料,諸如作業系統版本、GPS位置或是IMEI等,然後傳遞廣告。

趨勢科技並建議使用者對待行動裝置要像對待個人電腦一樣,特別是在安全議題上,對所下載的程式保持警覺,並閱讀程式的評論與開發人員資訊等。

轉載自《iThome》

美國起訴13名Anonymous駭客

美國起訴13名Anonymous駭客


這13名駭客在2010年9月到2011年1月間,共同參與了名為Operation Payback的Anonymous駭客行動,針對全球的多個網站展開目標式DoS攻擊,攻擊對象涵蓋了政府機關、貿易協會、個人、法律事務所跟金融機構等反對資訊免費的組織。

美國聯邦大陪審團(Grand Jury)上周起訴駭客組織Anonymous中的13名成員在全球進行阻斷式服務攻擊,指控這些駭客同謀以故意危害受保護的電腦。

根據該份起訴書,這13名駭客在2010年9月到2011年1月間,共同參與了名為「Operation Payback」的Anonymous駭客行動,針對全球的多個網站展開目標式DoS攻擊,攻擊對象涵蓋了政府機關、貿易協會、個人、法律事務所跟金融機構等反對資訊免費的組織。他們攻擊了美國唱片協會(RIAA)、美國電影協會(MPAA)、美國版權局(United States Copyright Office)、Visa、MasterCard、美國銀行(Bank of America),而使這些組織蒙受巨大的損失。

Operation Payback主要是用來支持專門揭露各種機密資訊的WikiLeaks網站,因而鎖定目標攻擊那些反對WikiLeaks的業者,包括終止WikiLeaks捐款服務的金融業者,Anonymous甚至鼓勵一般使用者下載LOIC開放源碼攻擊以參與由他們所發動的阻斷式服務攻擊,擴大攻擊規模。

該起訴書並列出了4個月期間Operation Payback所進行的近百項攻擊行動。

轉載自《iThome》

2013年10月5日 星期六

時空膠囊─琥珀特展

時空膠囊─琥珀特展

展覽海報圖片展覽地點:臺灣博物館 GG02
展覽類型:特展
展覽時間:2013/4/22 ~ 2014/3/2
展覽說明:為國內首次之大型琥珀特展,展品總數多達五百餘件(組),展示內容涵蓋古生物奧秘與東、西方文明歷史,融合科學、人文和藝術等面向,除可對比生活在數千萬年前的古老生物和現生的動、植物之間的差異外,各式東、西方琥珀文物亦充滿人文藝術價值。
指導單位:文化部
主辦單位:國立臺灣博物館
合辦單位:國立臺灣大學昆蟲學系暨研究所、臺灣昆蟲學會
協辦單位:中華民國自然生態保育協會、中華玩石家地科協會、中華民國化石礦物協會
開館時間:週二至週日:上午9點30分到下午5點,國定假日及連續假期則照常開館。
休館時間:除夕及春節初一休館,週一休館。




2013年10月4日 星期五

駭客組織「匿名者」:美國政府以 iPhone 5s 來蒐集指紋

駭客組織「匿名者」:美國政府以 iPhone 5s 來蒐集指紋

國際性的駭客組織「匿名者」(Anonymous)宣稱,Apple 最新發行配備有指紋辨識的 iPhone 5s,是為了幫助美國政府建立龐大的生物辨識資料庫,他們也公布相關影片,來支持他們對此的指控。

13100301-1

這些駭客聲稱找到美國政府與承包商兩者間的「邪惡結盟」證據,他們特別強調蘋果指紋辨識技術的研發商 AuthenTec,與「史上最強大且腐敗的國防部與情報單位承包商」有緊密的關係。

而「匿名者」對此的指控主要是根據 AuthenTec 的董事 Robert E Grady,他在布希執政時似乎扮演很重要的角色,此外他也與凱雷集團(The Carlyle Group)有密切的聯繫,「匿名者」認為凱雷集團就是深喉嚨愛德華·斯諾登當時服務的承包商的主要股東。

這個組織還宣稱 AuthenTec 強烈希望 Apple 能收購他們,因為如果 Apple 使用了生物辨識技術,其他手機公司也會馬上跟進。但相關的報導提到這不完全正確,因為要讓 Apple 對其他公司作技術授權是不太可能的事,比較有可能的是別人模仿 Apple 的指紋辨識技術。

但因為「匿名者」組織的特性,如果外界要驗證這些指控將有難度。而「匿名者」所提供的影片,其內容主要是根據記者 Barrett Brown 之前所做的調查。


轉載自《Tech News 科技新報》

Adobe被駭,290萬客戶資料及產品程式碼外洩

Adobe被駭,290萬客戶資料及產品程式碼外洩

駭客存取了Adobe系統上所存放的客戶帳號及加密密碼,偷走290萬名Adobe客戶資料,包含客戶名稱、加密的信用卡號碼、到期日,以及其他有關客戶訂單的資料。駭客亦存取了許多Adobe產品的程式碼,包括Acrobat、ColdFusion與ColdFusion Builder等。 

Adobe周四(10/3)對線上服務客戶發出警報,表示該站持續遭到駭客攻擊,駭客存取了該站伺服器的客戶資料,以及若干Adobe產品程式碼,並相信這兩項攻擊之間具有關聯性,已與執法機關合作展開調查。

Adobe調查多起針對該站的攻擊事件後發現,駭客存取了Adobe系統上所存放的客戶帳號及加密密碼,偷走290萬名Adobe客戶資料,包含客戶名稱、加密的信用卡號碼、到期日,以及其他有關客戶訂單的資料。

為了避免客戶身份遭到濫用,Adobe已寄出郵件要求受到影響的使用者更改密碼,另也提供1年的信用卡監控服務,並知會處理Adobe交易的合作銀行。


另一方面,駭客亦存取了許多Adobe產品的程式碼,包括Adobe Acrobat、ColdFusion與ColdFusion Builder等,但Adobe強調,此意外應不會對客戶帶來額外的風險,因為目前並沒有發現任何鎖定Adobe產品的零時差攻擊程式。

資安業者KrebsOnSecurity則說,他們在一周前認為Adobe遭駭並通知Adobe,因為他們在駭客集團的伺服器上發現大量的Adobe產品程式碼,雖然Adobe數月前修補了已被駭客利用的多個ColdFusion漏洞,不過現在仍有許多網站採用舊版軟體,亦懷疑駭客是利用ColdFusion漏洞入侵Adobe。

轉載自《iThome》

2013年10月2日 星期三

日本BANDAI NAMCO遭非法登入攻擊,3萬會員個資曝風險

日本BANDAI NAMCO遭非法登入攻擊,3萬會員個資曝風險

BANDAI NAMCO指出,9/24網站伺服器發現大量的異常存取錯誤履歷,因此開始詳細調查,最後查出9/23~9/26間總共被嘗試登入100萬3198次,3萬4069個會員個資曝風險。


日本遊戲軟體商BANDAI NAMCO週五(9/27)證實,旗下會員登錄制BANDAI NAMCO ID Portal Site確實在近期遭非法登入攻擊,總計被嘗試登入超過100萬次,3萬個以上的會員ID被成功登入。

從攻擊模式來看,BANDAI NAMCO推測攻擊者應是利用從其他服務取得的帳號密碼組合不斷重複嘗試登入。目前已發出密碼修改信件給受影響的會員,必須修改密碼才能重新登入服務。另外也架設可查詢帳號密碼是否曾遭非法登入的網頁,供會員查詢。

BANDAI NAMCO指出,9/24網站伺服器發現大量的異常存取錯誤履歷,因此開始詳細調查,最後查出9/23~9/26間總共被嘗試登入100萬3198次,3萬4069個會員個資曝風險。成功登入後,攻擊者就可進入個人資料頁面瀏覽該帳號相關內容,包括性別、居住國家與地區、備用信箱、會員暱稱與Sony PSN線上ID等等。由於系統並不儲存信用卡資料,因此沒有被盜刷信用卡的風險,目前也沒有接到關於個人資料遭竄改或不法營利的回報。

今後BANDAI NAMCO預定於會員個資頁面引進OTP一次性密碼,以提升資安等級,屆時若再次遭受相同攻擊,攻擊者登入後也無法瀏覽會員個資。當然,BANDAI NAMCO也呼籲所有會員,不論這次會員帳密是否列入強制更換密碼清單中,平時也應養成定期更換密碼、不同網路服務使用不同密碼的習慣,以策安全。

轉載自《iThome》

駭客盯上LINE山寨訊息別開

駭客盯上LINE山寨訊息別開

全球用戶達2.5億的LINE,近來成為不肖業者鎖定的目標,透過傳送山寨版的更新連結訊息給使用者,用戶一不小心連結到偽裝的釣魚網站後,不但手機裡的個資外洩,還會自動散發垃圾訊息或病毒給朋友。


芬安全大中華區總代理翔偉資安科技營運長杜世鵬表示,駭客跟著潮流走是訊息萬變的科技世界裡不變的趨勢,從過去的MSN、現在的臉書或LINE,都是鎖定使用者高度依賴的社交程式或網站,因為使用頻率高,越會失去警覺心。

以APP來說,使用者依賴度越高、越會鎖定更新訊息,LINE每次更新都會新增使用功能或可愛貼圖,讓民眾對相關訊息習以為常,收到更新要求便迫不急待點開連結,忘記注意連結是否為官方下載平台,而成為受駭戶。

前幾周就有不少LINE的用戶收到一則附有連結網址的購物資訊:「多種品牌的衣服、鞋子、包包、手錶、飾品,感興趣的大大水水們請進相薄查看喔:http://photh.xuite.net/k1252480804有喜觀的商品可以直接加客服的Line詢問訂購喔!Line ID:www.198692【一律採用貨到付款,請安心購物】」上述連結卻是釣魚網站。

杜世鵬建議,想避開老手法的受駭招數,除了不要亂點連結,安裝安全防毒軟體也是方法之一,千萬不要以為使用智慧型手機就沒有中毒的顧慮。

原文出處:中國時報
轉載自《Yahoo奇摩新聞》

Android 上的 Firefox APP 爆發安全漏洞請盡速更新(含影片示範)

Android 上的 Firefox APP 爆發安全漏洞請盡速更新(含影片示範)

行動裝置安全分析研究員 Sebastián Guerrero 於 2013/9/30 在其 Twitter (https://twitter.com/0xroot) 上指出,新發現在 Android 的 Firefox 漏洞,這個漏洞將允許攻擊者可以自由瀏覽 SD 卡的內容和瀏覽器內隱私資料。

當攻擊生效時,被駭的使用者可能被偷裝一些惡意APP或者開啟具有惡意 Javascript 的HTML檔案。

該漏洞已經提交給 Mozilla 並且在最新的一次更新(v24)已經修復漏洞。

所以還未將 Android 上的 Firefox APP 更新至 v24 版的使用者動作要加快了。


轉載自《網路攻防戰》

2013年10月1日 星期二

個資法的第1年

個資法的第1年

在人民對個資保護的意識逐步提升後,個資訴訟案件也會跟著越來越多。個資法是少數與全國的人民、產業皆有關係的法律,在社會變動越來越快的局面下,更應該及早檢討與調整。

個人資料保護法上路滿1年了,對我們的社會到底帶來什麼改變呢?本期封面故事就檢視個資法上路1年的成績。

就個人生活的感受來看,近來我接到詐騙電話的數量有變少的傾向,顯然個資法祭出刑責與2億元的天價罰款後,對遏止詐騙已發揮了一些效果;同時,生活周遭也不斷出現各種個資使用宣告,許多希望我們提供個人資料的表格文件,也都加上個資蒐集、處理與利用的聲明,個資意識也是明顯提高了。

當然,新法上路總會出現適應不良的亂象,在個資法上路這1年中,個資法亂象也是層出不窮。擔心觸法者,如法務部下屬的地檢署,大概是因為過度害怕公務人員觸法要面臨加倍的處罰,竟把判決書的當事人姓名以姓氏加上兩個圈圈來代表,雖然此舉保證完全不會觸法,但卻明顯忽略了人民知的權利,判決書只有法官、檢查官與當事人看得懂,哪還需要公告判決呢?

擁有大量個人資料的學校與教育機構也很擔心觸法,學校把網站榮譽榜上的學生姓名予以部分遮罩,大學指考榜單也只列準考證號碼,這般遮掩反像是見不得人似的,完全沒有半點榮譽的感覺。

有人怕觸法,也有人把個資法無限上綱,阻繞警察與檢察官辦案,甚至是利用人們擔心觸法的弱點,濫用個資法來詐騙的也有。不過,在各單位陸續推廣個資法觀念之後,這些亂象終究會逐漸消失。

在人民對個資保護的意識逐步提升後,個資訴訟案件也會跟著越來越多。個資法上路第1年,相關訴訟不多,而且多數案件皆為個人間的糾紛。例如其中的兩起違反個資法而被起訴的刑事判決,情節頗為類似,皆是社區事務問題,因為停車、漏水起了糾紛,而在網路上張貼當事人的個資。這兩件案子皆涉及誹謗,分別被判了拘役40天與2個月,法律專家指出,法官採取與誹謗罪幾乎同等嚴重的裁決,提醒民眾要特別小心個資觸法行為,不只是會有刑事罰責,處罰不算輕,而且日後就是有案在身了。

另一個大家關心的,是企業違反個資法的判例。不過,在個資法上路這一年雖然發生了幾起大型的企業個資外洩事件,但至今尚未有訴訟結果。究其原因,個資法在保障人民權益的一大突破上──團訟機制,雖立意良好,但在目前的實務上卻難以發揮功能。一來是臺灣人民普遍不熟悉團訟機制,對於主張自己的權利不太積極;再者是,對於能提出團訟的財團法人或公益社團法人的規定嚴格,在個資法才剛上路的第1年,能符合資格的團體很少,而且,專家指出更關鍵的問題在於,個資法規定賠償金額扣除必要的訴訟費用,其他必須交付授與訟訴的當事人,也就是說,代打團訟不能要求報酬。

至於各個產業面對個資法的態度如何呢?據專家們的觀察,大型企業、或是主管機關的監管較為嚴格的產業,都已積極因應個資法,但是在整備度上仍未及完全。而大多數企業目前又回復至觀望的狀態,因此第一起大型個資外洩事件,或是第一宗企業違法案件的判例,將會決定企業的腳步

其實去年Nokia會員網路外洩大量個資的事件,早已是臺灣第一起大型個資外洩事件了,但是至今卻未有任何團訟,也未見主管機關行政檢查的進展。這種情形反映出臺灣個資法上路的一個重大問題:缺乏專責的個資法機關。在目前由法務部負責法規制定、各事業目的主管機關負責推動與監督的架構下,所呈現的就是人力、資源不足,各單位步調不統一,人民無所適從的局面。

法規的制定不可能一開始就是完美的,尤其是個資法這種牽涉層面廣闊,且與社會生活習習相關的法律,在社會變動越來越快的局面下,更應該及早檢討與調整,畢竟個資法是少數與全國的人民、產業皆有關係的法律,不得不慎。

轉載自《iThome》