2013年11月29日 星期五

資料外洩事故後安全資料分析的5項重要考量

資料外洩事故後安全資料分析的5項重要考量

發生資料外洩事故後,安全分析資料的檢查工作不但講究時效,也需要不同的蒐集和處置方法。

專家建議的 5 項考量事項包括:

1) 蒐集相關資料
時間迫在眉睫,要迅速調查出事原因以防止傷害擴大並一一補救。公開充分的資訊可減少外洩事故的影響範圍。蒐集所有系統日誌、資料庫日誌和網路日誌,並保持隨時可用的狀態以利分析

2) 讓資料蒐集成為可能
事先設置資料蒐集的機制,才能在發生事故時第一時間掌握狀況。進行災難預演以及各種情境測試,做好未雨綢繆的工作。

3) 延長資料保存期限,以備不時之需
資料保存夠久,在必要時能回溯至最初被入侵的時候。專家建議至少保留一年。發生事故後,相關資料之保存應再酌予延長。調查結束後資料應封存,既是方便法律訴訟所需,萬一發現入侵危險未徹底解除時也能派上用場。

4) 建立證物監管鏈 (chain of custody)
鑑識資料是物證,必須妥善保管,尤其是進入法律程序後。資料之獲取、由誰取得、何時取得等都要做書面記錄,而且要保持資料之完整性 ,保證未被竄改

5 ) 深入調查但抓緊目標
資料很多,牽涉很廣,由於時間緊迫必須抓緊搜查目標。由發現問題的證據著手,在必要時擴大範圍。入侵的徵兆可作為調查之蛛絲馬跡。

原文出處:5 Considerations for post breach security analytics
轉載自《Chalet Taiwan Support Forum》

臉書上被罵要提告 個資不給查警沒輒

臉書上被罵要提告 個資不給查警沒輒

警察也難為!網友HTCdesire今天凌晨在批踢踢上發文,抱怨遭人在臉書上辱罵,但向警方報案控訴遭人妨害名譽時,卻被警方回函告知美國臉書公司無法提供該臉書使用人個資,因目前美國臉書公司僅就殺人、擄人勒贖、毒品、違反組織犯罪防制條例、違反兒少法及違反電腦使用等6項案件提供會員個資。此類臉書上妨害名譽案件屢見不鮮,但礙於臉書公司不給查,讓受理案件的警方也相當難為。

面對許多網友的指責與挖苦,新北警刑 大科偵組組長呂岳城表示:目前依照刑事局發函的公文確僅能先就上述6項案類查詢個資,但新北警也在日前對刑事局的建議事項中希望臉書公司能放寬案類查詢, 並加速公文往返速度,以利案件的偵辦。另外呂岳城也希望被害人能提供更多的具體事證連結,讓警方可以有更多偵查的依據。新北警呼籲網友切勿任意在網路世界 謾罵、詆毀或妨害他人名譽,雖臉書目前查緝不易,但只要有確切事證,仍能將其法辦


轉載自《蘋果日報》

研究:巨量資料技術發展間接促使APT攻擊危害更烈

研究:巨量資料技術發展間接促使APT攻擊危害更烈

bigdata_large.jpg

一份新報告顯示,巨量資料的展開,使得企業隨著產生、蒐集與分析更多的資訊,而更容易招致競爭對手與惡意攻擊者的攻擊。

《經濟學人智庫》於上週發表的《資訊風險:新科技風貌中的數位資產管理》研究報告發現,諸如雲端運算、巨量資料與自帶裝置上班(BYOD)等新科技的導入,會導致企業必須保護更大量的資料。

資訊安全論壇全球副總裁Steve Durbin指出:「我們再也無法控管網路邊界,而像過去只要丟個安全防護套,然後就認為網路所有一切盡皆安全並受控管。」

「我們如今運行在一個全然網路主導的環境中:我們一直保持掛網,始終保持連線,同時也高度行動化。」

一共對341位資深企業領導者進行調查的該份報告,同時也闡述當前常見的風險,多半是因為員工的粗心大意所致,但有時則與安全教育訓練的不足有關。例如,公司筆電的遺失,隨後可能招致基於金融利益的資訊竊取。

一些像是聯邦快遞(FedEx)包裹遞送服務供應商之類的公司,便將目標放在教育員工如何善盡保護公司資訊之責。目前聯邦快遞的確開始要求員工選修「資訊安全101」與「企業安全意識」等課程。

「整體課程的關鍵策略在於,教育員工如何面對當前威脅,並提供可同時適用在工作場合與家庭環境中的實用安全技巧,」聯邦快遞資訊安全長Denise Wood表示。

資料來源:CSO
轉載自《網路資訊雜誌》

2013年11月28日 星期四

報導:美國政府多個組織遭 Anonymous 入侵

報導:美國政府多個組織遭 Anonymous 入侵


路透社報導宣稱取得來自FBI的備忘錄,顯示駭客組織Anonymous在去年底便利用Adobe ColdFusion的軟體漏洞入侵了美國政府不同部門的電腦,且透過植入的木馬持續竊取政府資訊。 

路透社報導宣稱取得來自FBI的備忘錄,顯示駭客組織Anonymous在去年底便利用Adobe ColdFusion的軟體漏洞入侵了美國政府不同部門的電腦,且透過植入的木馬持續竊取政府資訊。

根據該備忘錄,Anonymous組織入侵了美國陸軍、能源部、美國衛生及公共服務部,也可能入侵了其他政府組織,FBI認為Anonymous針對美國政府的駭客行動仍然持續進行中,同時警告美國政府的電腦系統管理員必須注意系統的完整性。

路透社還取得了美國能源部部長Ernest Moniz所發出的內部郵件,表示駭客竊取了逾10.4萬筆的員工、承包商與其他相關的個人資料,還有約2萬筆的銀行帳號。

文件中FBI表示,大多數的入侵行為都尚未曝光,目前尚不確定受到危害的系統數量,但這是一個應該被解決的普遍問題。

轉載自《iThome》

美國法院判Anonymous駭客10年徒刑

美國法院判Anonymous駭客10年徒刑


Hammond在19歲時就曾因參與駭客攻擊而入獄,之後仍繼續參與LulzSec與Anonymous組織的駭客行動,並於去年3月遭到逮捕。即使有超過250名的民眾寫信支持Hammond,但法官認為他是累犯,且具備惡意的企圖。 

一名Anonymous駭客組織成員Jeremy Hammond上周因違反了美國電腦詐欺與濫用法令(Computer Fraud and Abuse Act),被美國法官Loretta Preska判處10年的監禁。

現年28歲的Hammond入侵了情報分析機構Stratfor的系統,竊取存於伺服器上逾85萬名用戶的電子郵件、客戶資料及信用卡資訊,而這些信用卡與個人資訊在外洩後被用來盜刷了70萬美元。

Hammond在19歲時就曾因參與駭客攻擊而入獄,之後仍繼續參與LulzSec與Anonymous組織的駭客行動,並於去年3月遭到逮捕。

Hammond自詡為揭密者(whistleblower),宣稱自己的攻擊行為是為了揭露政府的機密與監控行為,除了坦承入侵執法機構的伺服器外,也攻陷了與政府合作進行監控的私人組織或企業。

他還說自己的攻擊行為只是為了抗議政府過度的監控,並無意傷害任何人,然而美國政府則認為Hammond的行為已造成企業的損失,還洩露了政府員工的資訊,弊大於利。

即使有超過250名的民眾寫信支持Hammond,但Preska認為Hammond已有犯罪先例,再犯展現了完全不尊重法律的態度,Preska還引用了Hammond在網路上聊天的內容,認定Hammond具備惡意的企圖。

轉載自《iThome》

雅虎宣布:旗下服務將全面加密以防政府監控

雅虎宣布:旗下服務將全面加密以防政府監控

在2014年第一季之前,雅虎將為旗下所有服務提供加密,包含各個資料中心間傳輸的所有資訊,用戶任何傳送給雅虎或由雅虎而來的資訊也都將提供加密的選項。 

雅虎(Yahoo!)CEO Marissa Mayer宣佈,2014年第一季之前,將為雅虎旗下所有服務裡的資訊、資料提供加密防護。

Mayer指出,過去六個月以來,許多報導顯示,美國政府在未告知科技公司包括雅虎的情況下,暗中存取使用者資訊。她重申雅虎絕對未曾允許美國國家安全局(National Security Agency, NSA)或其他政府部門存取該公司資料中心的資料。

她強調,雅虎視用戶隱私為最高目標。在2014年第一季之前,雅虎將為旗下所有服務提供加密,包含各個資料中心間傳輸的所有資訊,用戶任何傳送給雅虎或由雅虎而來的資訊也都將提供加密的選項。同時,雅虎也將和國外的聯名信箱服務夥伴合作,以確保郵件服務也支援Https加密。

在此之前,十月中雅虎宣佈自2014年1月8日起,https傳輸將成為所有Yahoo!Mail用戶的預設功能,同時也將把SSL加密提升為2048-bit技術

美國政府非法監控通訊的情況近來引起國際間的關注,九月間還傳出NSA和英國政府通訊總部(GCHQ)在網路及IT廠商的協力下合作監控Tor網路流量,且破解用來保護使用者通訊的加密機制。十月中,又被發現監聽德國總理梅克爾電話。十月底中情局前僱員Edward Snowden再爆料英美也合作透過MUSCULAR 專案破解了Yahoo與Google在全球資料中心的主要訊息傳輸,可能蒐集數百萬的使用者帳號

轉載自《iThome》

vBulletin 遭駭,用戶資料被竊

vBulletin 遭駭,用戶資料被竊

駭客組織Inj3ct0r Team利用vBulletin最新版本的漏洞攻陷了Macrumors.com與vBulletin.com,而且自vBulletin伺服器下載了資料庫。

macrumorslogo來自歐洲的駭客組織Inj3ct0r Team上周五(11/15)透過Facebook表示,他們利用vBulletin最新版本的漏洞攻陷了Macrumors.com與vBulletin.com,而且自vBulletin伺服器下載了資料庫,vBulletin則證實被入侵、客戶資料外洩,因而呼籲用戶更新密碼。

vBulletin是由Internet Brands所開發的內容管理系統,一般被歸類為論壇管理系統。vBulletin是以PHP撰寫並使用MySQL資料庫,最新的版本是今年9月24日釋出的vBulletin 5.0.5版。

根據Inj3ct0r的說法,他們是透過vBulletin的零時差漏洞進行攻擊,這是個重大漏洞,使他們得以存取介面、資料庫,與根伺服器,而且影響vBulletin 4.x.x與5.x.x的所有版本。被駭的知名網站Macrumors.com剛好是採用vBulletin的內容管理系統,他們竊取了86萬名的用戶資訊,包含用戶名稱、電子郵件與加密的密碼。Macrumers也發表了道歉聲明

vBulletin在同一天發表聲明,表示該站的安全團隊發現針對該站網路的複雜攻擊,有駭客非法入侵使用者資料庫,初步調查顯示駭客存取了客戶的名稱與加密的密碼,因此呼籲用戶重新設定密碼。

轉載自《iThome》

Hyper-v 3.0 R2虛擬硬碟介紹及利用虛擬硬碟快速建立測試環境

Hyper-v 3.0 R2虛擬硬碟介紹及利用虛擬硬碟快速建立測試環境

這次來介紹虛擬硬碟相關知識,也利用虛擬硬碟來快速建立測試環境。

在hyper-v 2.0 的格式是vhd 最大的容量支援到2TB
在hyper-v 3.0 (R2) 的格式是vhdx最大容量支援到64TB,新版vhdx還有一個功能是可以避免電源中斷時發生一致性問題。



虛擬硬碟分為三種類型

1.固定大小 : 虛擬硬碟建立完畢後,容量大小以固定,效能較好。

2.動態擴充 : 虛擬硬碟建立完畢後,只會佔用少許實體硬碟空間,有資料寫入時才會慢慢增加,預設虛擬機器建立時採用動態擴充。

3.差異 : 此類硬碟有父子系硬碟關係,比較適用於測試環境, 且佔用空間較少。

建立[固定大小]及[動態擴充]虛擬硬碟

開啟Hyper-V管理工具 > 新增 > 硬碟



出現[新增虛擬硬碟精靈]畫面 > 點選 [下一步]



選擇硬碟格式VHDX(除非環境中有舊版Hyper-v,盡量使用新版格式效能較好)



選擇虛擬硬碟類型: (固定 或 動態)



設定存放位置及檔案名稱



指定虛擬硬碟容量



確認設定



虛擬機器建立完畢後(如下圖)可以看見,固定大小磁碟佔用容量就是在建立過程中指定的大小,而動態擴充磁碟在建立完畢後實際的空間會是非常小,當資料寫入後才會慢慢增加。



利用差異式磁碟建立測試環境

多數的IT人會使用虛擬軟體來建立測試環境,但是往往建立時可能需要重新安裝作業系統且佔用硬碟空間,所以可以事先將不同的windows作業系統安裝完畢且做好sysperp,日後需要用到該系統,只需要建立差異硬碟就可以快速建立測試環境。

建立步驟
安裝一台Windows Server 2012 虛擬機器當作範本



進行Sysperp
執行C:\windows\system32\sysprep\目錄下 sysperp.exe.



選擇 OOBE 及勾選 [一般化]並選擇關機選項



執行完 sysperp後虛擬機器就會關機,此時請不要在將他啟動,可以將此虛擬硬碟複製到其他地方存放並更改檔名為 [WS2012Templates]



虛擬機器範本建立完畢後,可以利用前面建立虛擬硬碟步驟將差異式磁碟建立起來



指定檔名及存放位置



選擇父系硬碟,也就是前面步驟建立的WS2012範本虛擬硬碟



點選[完成]後即開始建立差異式磁碟



當差異式磁碟建立完畢後,日後如果要使用Windows Server 2012 虛擬機器來做測試環境在建立虛擬機器過程中虛擬硬碟部分就只要指定到這一個差異式磁碟即可(如下圖),如此就不需要重新安裝一次系統,且如果該系統會需要加入網域SID也就不會重複。



當使用差異式磁碟可以明顯看到磁碟使用量會比起範本磁碟少了許多。



原文出處:MIS的背影
轉載自《iThome Download》

2013年11月27日 星期三

全新Neverquest木馬程式 緊盯銀行與線上支付網站伺機盜款

全新Neverquest木馬程式 緊盯銀行與線上支付網站伺機盜款

cybersecurity_cybercrime_danger-100034560-large.jpg

安全研究人員指出,一支專門鎖定線上金融服務使用戶的特洛伊木馬,在接下來的幾個月內,具有散播速度非常快速的潛力與可能性。

該惡意程式首先在7月時於某隱秘網路犯罪論壇上發布,根據安全方案商卡巴斯基(Kaspersky Lab)惡意程式研究人員指出,該研究人員並將這支惡意程式稱之為「Trojan-Banker.Win32/64.Neverquest」。

「直到11月中旬前,卡巴斯基記錄了數千支企圖在全世界各地進行感染的Neverquest木馬,」卡巴斯基惡意程式安全研究人員Sergey Golovanov於週二官方部落格上貼文指出:「這是支相當新的安全威脅,所以網路犯罪者使用上並未充份發揮其能耐。有鑑於Neverquest擁有自我複製的能力,所以遭攻擊的使用者數量,有可能會在極短的時間內爆增。」

Neverquest具備其它金融惡意程式身上常見的部分功能。例如它能篡改在IE或Firefox等瀏覽器內開啟的網站內容,並將惡意表格植入其中,並且竊取網站上受害者所輸入的使用者名稱及密碼,同時允許攻擊者透過VNC(Virtual Network Computing)來遠端操控受感染的電腦

然而,該木馬程式也具備一些使其在眾惡意程式中脫穎而出的獨門功夫。

該木馬預設組態定義了28個隸屬於大型國際銀行,以及熱門線上支付服務的目標網站。然而,除了這些預先定義的網站,該惡意程式並且會識別出受害者所到訪網站網頁上,諸如餘額、支票帳戶與帳戶摘要在內等關鍵字,並將這些內容發送回攻擊者手上。

資料來源:CSO
轉載自《網路資訊雜誌》

2013年11月25日 星期一

報導:美國國安局以惡意程式滲透全球5萬個網路

報導:美國國安局以惡意程式滲透全球5萬個網路

NSA headquarters at Fort Meade, MD where TAO's main team reportedly works (Wikipedia)

華盛頓郵報在今年8月揭露,NSA旗下有一個秘密的 TAO 部門,該部門主要是由上千名駭客所組成,專門用來攔截全球網路及行動網路所傳輸的內容,估計在2008年便滲透了全球2萬個網路。nrc則引用文件內容指出,TAO在2012年中所滲透的網路數量已達5萬個。 

荷蘭媒體nrc.nl引用前美國中情局技術人員Edward Snowden所提供的文件報導,美國國安局(NSA)利用電腦網路開發(Computer Network Exploitation)技術,植入惡意程式來監控全球5萬個網路。

美國國安局監控全球網路的行徑持續曝光中,華盛頓郵報在今年8月揭露,NSA旗下有一個秘密的特定存取行動(Tailored Access Operations,TAO)部門,該部門主要是由上千名駭客所組成,專門用來攔截全球網路及行動網路所傳輸的內容,估計在2008年便滲透了全球2萬個網路。

nrc則引用文件內容指出,TAO在2012年中所滲透的網路數量已達5萬個。他們把惡意程式植入不同的國家及網路中,這些惡意程式可以遠端遙控,而且隨時可以切換開關,有有程式在某些網路已秘密活動多年而未被察覺。

不過,美國應該不是唯一想利用科技技術來監控全球網路的國家,例如比利時電信業者Belgacom便曾發現遭到英國情報機關「英國政府通信總部」(GCHQ)在其網路中植入惡意程式;荷蘭也曾嘗試設立「聯合情報網路部門」(JSCU)以聘請IT技術專家以自網路蒐集情報,但因不符當地法令而暫時作罷。

自Snowden在今年6月公布有關美國國安局監控美國網路的PRISM專案後,隨後曝光的文件所造成的影響如滾雪球般地愈滾愈大,包括NSA可直接存取行動裝置資料、蒐集美國人的社交紀錄,NSA還與英國聯手監聽Google與Yahoo的資料中心。

此外,華爾街日報則報導,Snowden竊取並公布國安局機密文件一事不但在國安局內部投下了震撼彈,也是造成國安局局長Keith Alexander即將於明年初離職的主因,機密外洩的規模是當局成立62年來最嚴重的一次,可說是某種程度動搖了國安局的根基。



轉載自《iThome》

10秒查出手機號碼是否已被駭客取得?被利用了幾次?

10秒查出手機號碼是否已被駭客取得?被利用了幾次?

隨著行動通訊軟體的流行,手機電話號碼已經成為僅次於email註冊帳號的認證方式。正因為取得方式簡單,讓網路犯罪集團很容易就能透過簡訊、通訊軟體來對使用者進行詐騙。想知道自己的手機號碼是否已經被駭客取得?甚至是被利用了幾次嗎?



服務名稱:AegisLab手機簡訊病毒個資外洩查詢系統
服務網址:http://www.aegislab.com/phone/
服務性質:免費

前陣子不管是臉書、簡訊或是Line都紛紛傳出詐騙災情。網路犯罪集團會先用你被偷拍了,或是以朋友的小孩、寵物正在參加比賽為理由,要求幫忙投票並附上一個網址,只要用戶點擊該連結,就會下載一個惡意APK到手機裡。根據AegisLab掌握到的資訊,網路犯罪集團手上握有一份超過40萬人的名單(截至10月的統計),駭客會透過這些清單去發送簡訊,簡訊內容一定會有你的名字和一段吸引你去點擊的文字和超連結。如果不幸執行了該惡意程式,就會被暗地裡啟用中華電信emome裡的「簡訊轉接」服務,並透過小額付費方式盜刷,致使用戶的電話費用暴增。


最近手機不斷收到由不認識的號碼傳來的簡訊,內容不外乎都是:「這是上次聚會的照片,你好好笑喔」、「幾天前我在墾丁拍的照片,你覺得哪張最好看」、「這是那天我和你一起拍的照片,你笑的好難看哦」…等等簡短文字,然後後面肯定會接上一段超連結。


一旦點選該網址,一個惡意應用程式就會被下載到手機裡;如果一時不查又點擊安裝,那麼手機就會「中毒」。於是該惡意程式會將手機資訊傳送給C&C Server,這時網路罪犯除了能竊取存放在手機裡的機敏資料外,還能進一步將該電話申請「小額付費」服務,讓受駭者的電話帳單費用暴增。


想知道自己的手機號碼有沒有被駭客所盜用,只要連上AegisLab手機簡訊病毒個資外洩查詢系統,即可與其蒐集到的40萬筆資料庫進行查詢、比對,看看自己的手機號碼是否已經成為網路罪犯的囊中之物。


查詢方式很簡單,只要在該網站輸入欲查詢的手機號碼和圖形驗證碼後,點擊「開始搜尋」鈕,即可立即與資料庫進行比對(放心,該網頁僅做為查詢之用,並不會留存手機與查詢紀錄)。


天阿!原來筆者的電話早就被該網路犯罪集團給盜用,並在8月31的時候被利用了1次。


如果出現的畫面是「查無記錄!」字樣。恭喜你,表示你的手機號碼「可能還未」落入網站罪犯集團手裡,或是還未被使用而已。因為AegisLab資料庫採每工作日更新一次的方式,並無法即時取得網站罪犯集團手上的資料,大約會有1到2天的時間差,所以最好的做法就是定期進行查詢。

由於AegisLab網站僅提供「查詢」功能,並無法替手機進行掃毒或解毒的動作,最保險的方法,還是儘快幫手機安裝一套安全有保障的行動防護軟體,並養成不亂點擊超連結、不在非官方網站外的地方下載應用程式、定期對手機裡的軟體進行掃毒、隨時保持應用程式處在最新版本的狀態,才能確保自己不會成為下一個「受駭者」。

轉載自《網路資訊雜誌》

CryptoLocker與殭屍網路駭客共組勒索攻擊團隊 用戶被迫中獎機率大幅提高

CryptoLocker與殭屍網路駭客共組勒索攻擊團隊 用戶被迫中獎機率大幅提高


專門透過CryptoLocker進行網路勒索的網路黑幫,將壓榨受害者贖金中的大部分比例,分享給緊密合作的犯罪殭屍網路擁有者。安全方案商賽門鐵克(Symantec)表示,該安全公司正監控這個地下世界在網路上的一舉一動。

CryptoLocker黑幫被認為是以俄語為主的駭客組織,其專門開發出可透過強力加密技術將受害者電子檔案鎖住,並直到受害者支付贖金為止的惡意程式,至於可解開被加密檔案金鑰的最低價碼,通常是從150美元起跳。

黑幫付錢給專門運行大量遭劫持電腦之主控系統的犯罪殭屍網路擁有者,便能以垃圾郵件惡意附檔形式,發送CryptoLocker勒索軟體,Symantec安全機制應變中心經理Liam O’Murchu指出。

除了需依賴受害者自行開啟惡意附檔,才能散播CryptoLocker的垃圾郵件發送方式外,若殭屍網路擁有者將CryptoLocker軟體,直接植入到其已劫持的電腦裡,那麼該黑幫也願意支付駭客75%從受害者身上獲得的勒索金額。

如此一來能讓CryptoLocker直接命中的機率大增,但對於殭屍網路擁有者而言,則被視為是旗下受劫持電腦的一大損失,也因為如此,才會願意分享如此高比例之受害者身上賺得的金錢利益,O’Murchu表示:「他們因此賺了很多錢,」所以,未來受害者預期會以比特幣(Bitcoin)或MoneyPak支付系統來繳付贖金。

資料來源:PCWorld
轉載自《網路資訊雜誌》

2013年11月24日 星期日

Facebook APP 漏洞(含影片示範)

Facebook APP 漏洞(含影片示範)

原始文章蠻精彩的,如果看影片不了解的話,看文末的參考網址會比較清楚。

這2個漏洞原作者有通報FB官方並獲得獎金( 2500+3500 美元),所以應該算官方已證實吧!

Facebook 3個 APP 在 Android 裝置上的2個新漏洞:
1. 在 Android 裝置上的 Facebook APP 與 FB 手機即時通,允許任何應用程序在設備上讀取及擷取你的 Facebook Access Tokens 並同時劫持你的FB帳號隱藏。

2. FB 專頁小助手的漏洞則是,允許在 Android 裝置上的任何應用程序在設備上讀取及擷取你的 Facebook Access Tokens 並同時劫持你的FB帳號隱藏。

聽起來似乎很複雜,簡單講就是現在於 Android 裝置上 Facebook 所推出的3個APP(Facebook APP、手機即時通、專頁小助手),"全部"都有漏洞可以劫持資料。

關鍵處就是當使用者用 Facebook  APP 並從塗鴉牆上下載圖片、文件等資料時會產生一個名為 Facebook Access Tokens 識別,而該屬於使用者的識別資料會被儲存在Android 裝置上的 Android logcat 中,使得第三者可用 adb shell 等軟體讀取出來該識別的隱私資料。

那麼這個 Facebook Access Tokens 識別資料外洩對使用者有甚麼影響?
假設使用者從 Android 裝置上下載免費/付費的第三方 APP,如果該 APP 具有讀取 logcat 功能並輸出的話,就可以將該資料送到該第三方APP的伺服器中。有了這些識別資料就等同於知道該使用者的身分,可以依此接管(控制)其FB的帳號。


參考網址:http://attack-secure.com/2013/10/all-your-facebook-access-tokens-are-belong-to-us/
轉載自《網路攻防戰》

透過Wi-Fi攻擊你的手機!移動裝置要小心

透過Wi-Fi攻擊你的手機!移動裝置要小心

ss (2013-10-29 at 04.40.04)

即使許多人都知道公用Wi-Fi並不安全,但現在以色列的手機資安公司 Skycure 則提出了一個新的 Wi-Fi 潛在威脅,該威脅被稱為「劫持HTTP 請求」(HTTP Request Hijacking,簡寫為HRH),駭客可以藉由攻擊手機上的應用程式,然後在其中種植自己的連結,使用者即使使用正版的應用程式,也可能被駭客入侵,接收錯誤資訊甚至各種木馬連結。

Skycure資安人員在接受紐約時報的採訪時,同時展示了這個漏洞造成的問題:他們利用 iOS 應用程式中的漏洞,讓攻擊者改變伺服器讀取的位置,使用者在不知情的情況下,就會在正版的應用程式中,被導入駭客想要你讀取的資訊或是連結的位址。由於許多應用程式都會不斷跟伺服器交換資料、甚至讀取網址,只要在這部分的安全沒做好,就很容易遭到有心人士利用

根據該公司指出,這個漏洞可以讓使用者在使用公用 Wi-Fi 的時候,被同一個區域中的中間攻擊者導向至另一個位址,根據該公司指出,影響將會相當多樣化,少則被導向木馬連結,多則會讓使用者接收到相關的錯誤資訊:比如說是駭客自製的新聞網站,導致使用者接收了錯誤資訊。一般HTTP網址被重新導向時,我們至少還會看到網址,但經過應用程式導向看不到網址,導致我們被連到哪裡自己也不知道。

Skycure偵測了數百種在 App Store 上排名的應用程式,發現許多公司的應用程式都比想像中容易受到攻擊,這種可以利用 HRH 攻擊的應用程式多到不可勝數,原本打算要一間一間提醒該公司的Skycure立即放棄,轉而直接在部落格上公布該項發現,並提醒應用程式開發者使用兩個步驟防堵此漏洞:

●放棄 HTTP 採用 HTTPS 協定
●按照此網頁中的設定重新撰寫程式碼 (搜尋 Remediation)
資料來源:New Vulnerability Found in Apps Using Wi-Fi

資安專家建議:別用公用Wi-Fi

根據科技新報採訪國內資安專家 Zero 表示:只要是透過HTTP封包傳遞的情況,其實透過Wi-Fi環境下竊聽攻擊的方式非常多,甚至竊取你帳號密碼的手法也不算少見。

一般如果透過IE、Firefox、Chrome、Safari等瀏覽器連到 HTTPS 的網頁會針對網頁提供的憑證做合法驗證措施,不過透過Wi-Fi攻擊的中間人也可以在這時候製作一張假的憑證出來讓應用程式讀取,通常在這個時間點瀏覽器都會有一個警告跳出,說明這個未經第三方驗證單位(CA)核發的憑證(Certificate)是無效的,使用者如果機警一點就會察覺有問題,但許多人都會看都不看就按下一步而導致問題叢生,

而從瀏覽器換到應用程式後,狀況會完全不同,如果手機應用程式使用 HTTPS 傳輸資料不見得就如瀏覽器般安全,如果開發人員忘了訂寫憑證檢驗流程,就算應用程式使用 HTTPS 協定傳遞機敏資訊,使用者也可能在應用程式無提供警示的情況下完全無法發現這個攻擊。

Zero也建議如果手機中以許多貴重資料的人盡量不要使用公用Wi-Fi,雖然沒有百分百的安全網路,與公用Wi-Fi相比,至少透過3G/3.5G以及私有Wi-Fi連線較不易受到攻擊。

補充:俄國發現中國製熨斗藏 Wi-Fi 攻擊晶片

就在這篇文章撰寫的同時,BBC報導俄國公有電視台公布了一段畫面:該公司的技術員拆解了一台來自中國的熨斗,裡面藏有一組精密的間諜晶片,該組晶片會攻擊200公尺範圍內沒有加密的 Wi-Fi 網路,並藉由這些 Wi-Fi 傳播病毒,據報導指出,不只該組熨斗中藏有這種晶片,同時手機與行車紀錄器也有發現類似晶片的蹤跡。

目前俄羅斯官方已經拒絕該系列產品進口,但據報已經有30組類似的裝置被送到聖彼得堡的零售商手中。

_70755176_iron

原文出處:Russia: Hidden chips ‘launch spam attacks from irons’
轉載自《Tech News 科技新報》

思科:Port 0出現不尋常流量高峰 疑駭客進行偵察攻擊

思科:Port 0出現不尋常流量高峰 疑駭客進行偵察攻擊


根據思科系統(Cisco System)安全研究人員指出,上週末在通訊埠0(Port 0)上所偵測到的TCP(Transmission Control Protocol)封包激增現象,很有可能是駭客為重大攻擊做準備的前置偵察作業之一。

系統上通常不會存在監聽啟用通訊埠0的服務存在,因為根據國際網路位址分配機構(Internet Assigned Numbers Authority, IANA)發佈的「傳輸通訊協定通訊埠指派」的內容顯示,通訊埠0是個「保留通訊埠」,所以不會被啟用。因此,在通訊埠0上接收到TCP封包,是很不尋常的事情。

「一般而言,通訊埠0上發現流量,很有可能是遭到偵察攻擊的跡象,同時也可能是更多重大滲透攻擊的前兆,」思科安全威脅研究團隊技術負責人Craig Williams於週一的部落格上貼文指出。

惡意攻擊者可以透過這類異常封包,來對作業系統與網路安全裝置進行偵蒐,因為不同的作業系統與網路設備,對於通訊埠流量會有不同回應,該安全人員表示:「如此一來,可讓攻擊者透過更精準的嘗試來劫持網路。」

上星期六,隨著流量以及偵測到該惡意活動之感測器的數量增加,思科在通訊埠0上看到很大的TCP流量高峰。由感測器所觀察到的流量幅度,比平常高出5倍之多,Williams表示。

最高流量來自於8個指派給荷蘭分散式伺服器代管暨內容遞送服務供應商Ecatel的IP位址,Williams表示。

「我們不清楚這些封包的意圖為何,」該安全研究人員指出:「其有可能只是透過作業系統與服務包(service pack),繪製部分網際網路分佈圖的單純研究計畫,也有可能是攻擊者邪惡之舉的準備工作。」

資料來源:CSO
轉載自《網路資訊雜誌》

重新啟動就不見!狡猾IE零時差攻擊採用「記憶體內」惡意程式

重新啟動就不見!狡猾IE零時差攻擊採用「記憶體內」惡意程式


駭客多半會盡可能地讓惡意程式緊緊依附在受害者電腦中,但在最近一起IE未修補漏洞之攻擊事件中,其背後的駭客團體,卻採用重啟系統後就會消失不見的惡意程式,無異是當前阻繞安全鑑識調查人員策略中的一大轉變。

本週「週二修補日」,微軟提供客戶一組有趣的更新程式,並專門鎖定Windows,以及從IE6到IE11所有版本IE中8個重大安全漏洞。

微軟上週承認Office、Windows及Lync中存在其並未修補的安全弱點,但它沒有指出,不論是否已在IE中修補的漏洞,皆已遭到攻擊。

安全公司FireEye上週通報指出,某個被用在水坑式攻擊(Watering Hole Attack)上的IE漏洞,是由某美國網站所操控的。根據該公司指出,該攻擊透過一個前所未知的「越界記憶體存取弱點」(out-of-bounds memory access vulnerability),來攻擊Windows XP與Windows 7上IE7、8、9及10的不同組態檔。

FireEye上週通報指出,該IE零時差攻擊是由「遭劫持的美國網站」所主導,並且在週日詳細闡述了其研究結果,其指出,該攻擊目標鎖定在美國國防部門工作的人。

「攻擊者將零時差漏洞攻擊程式,嵌入至某個極具重大戰略意義的網站中,進而吸引對國家與國際安全政策有興趣的拜訪者,」FireEye研究人員Ned Moran、Sai Omkar Vashisht、Mike Scott及Thoufique Haq於週日撰文指出。但這些研究人員並沒有說出該網站的名稱。

然而,他們指出,隱身在這起攻擊事件背後駭客所採用的基礎設施,與今年稍早發生的安全公司Bit9入侵事件,以及9月間針對日本目標發起攻擊事件的背後駭客所採用的一模一樣,而且皆是透過IE零時差漏洞。

資料來源:CSO
轉載自《網路資訊雜誌》

Google 帳戶救援功能的漏洞(含影片示範)

Google 帳戶救援功能的漏洞(含影片示範)

1.選擇一個測試用的Gmail,本案例中使用的是 hatechnion@gmail.com當作測試!

2.發送裡面內含客製化網址的釣魚郵件。

3.該連結實際上是連到攻擊者的網站,例如:http://www.orenh.com/test.html#Email=hatechnion@gmail.com

4.該客製化的電子郵件所內含的攻擊者網址一旦使用者點選就會觸發 CSRF 的攻擊手法。

5.將 OnError處理程序現在重新轉址到 XSS網址。

6.最後當使用者點選"重設密碼",接下來就完成整個詐騙程序了。

原作者網址說明:
http://www.orenh.com/2013/11/google-account-recovery-vulnerability.html


轉載自《網路攻防戰》

2013年11月23日 星期六

銀行木馬感染創新高,針對蘋果用戶的釣魚網站激增

銀行木馬感染創新高,針對蘋果用戶的釣魚網站激增

根據趨勢科技(Trend Micro)最新的安全報告顯示,專門鎖定網路銀行的惡意程式越來越猖獗,其感染率於今年第三季更大幅成長,達到自2002年以來的高峰。

趨勢科技日前(11/11)發布2013年第三季資訊安全總評季報(TrendLabs 3Q 2013 Security Roundup)指出,銀行木馬病毒從七月到九月,出現了20萬個以上的感染案例,相較於第二季的14.6萬,增加了約38%,比起去年同期則增加了50%以上。

若以感染的地區來看,感染率最高的為美國,占整體感染案例的23%,其次為巴西的16%和日本的12%,此三大國家就囊括了整體感染案例的一半。其他主要受銀行病毒感染的國家還包括印度、澳洲、法國、德國、越南、台灣和墨西哥等。

趨勢科技特別指出,感染案例不只是侷限在歐美地區,而是分布於全球各地,由此也可以顯示,網路罪犯鎖定的銀行用戶目標越來越分散。

在病毒類型方面,最常使用的依舊為自2006年就開始活躍的宙斯(ZeuS)病毒,又稱ZBOT。網路罪犯通常會將ZeuS病毒植入在網站上,一旦使用者瀏覽該網頁且其電腦存在某些漏洞,就會受到感染和下載此病毒。ZeuS病毒可用來竊取網路銀行帳號與相關訊息,然後再將這些資訊傳回遠端伺服器。

除了ZeuS之外,甫在今年七月被偵測到的新一代金融木馬程式KINS,也快速的感染了許多執行Windows 8及x64系統的平台,由於KINS深植在系統中,使它更難被偵測與移除。而另一款同樣用來竊取銀行憑證的網路病毒Citadel,也在日本等國家被廣泛使用。

此外,該報告中也特別指出,有越來越多釣魚網站鎖定蘋果用戶,而針對蘋果用戶所設計的釣魚網站在9月份也達到2,500個。另外,針對Android平台的惡意程式日益猖獗,於第三季正式突破100萬大關,其中以付費服務盜用軟體 (premium service abuser)為大宗。

此外,社群平台依然是駭客騙取個資的最佳管道之一,在第三季也出現了許多新手法,包括惡意程式偽裝成影音播放程式更新,一旦安裝該軟體,用戶的社交媒體帳號就會被冒用;以及以假冒的Twitter帳號宣稱提供可駭入Facebook和Twitter的工具,但實際上是將用戶導入線上問卷騙局,以獲取個人資料。

轉載自《資安人》

2013年11月22日 星期五

打造黑暗網路的惡意程式i2Ninja竟然在犯罪論壇開賣了!

打造黑暗網路的惡意程式i2Ninja竟然在犯罪論壇開賣了!


透過I2P(Invisible Internet Project)匿名網路以利攻擊者之間溝通的全新金融惡意程式,已在俄羅斯網路犯罪論壇上開賣。

該惡意程式名為i2Ninja,並透過I2P網路作為主控(command-and-control, C&C)通道,根據端點網路犯罪防護方案商Trusteer安全研究人員指出,他們宣稱有看到該銷售公告。

I2P是一個分散式點對點(P2P)網路,該網路透過多層次加密,提供安全與匿名的通訊,並可在網際網路之中建立一個獨立分離的網路,亦即所謂的「黑暗網路」(darknet)。如同Tor這個相似但更受歡迎的黑暗網路,I2P的各類服務被設計只能從網路本身之中加以運行與存取。

運行在.i2p假冒網域的匿名網站,只能從EepProxy上存取,EepProxy是一個連接瀏覽器到I2P網路上的代理程式。

根據i2Ninja惡意程式撰寫者所發布的公告指出,該惡意程式擁有其他金融惡意程式的大部分功能。例如,它可以竊取輸入至Web表單上的資訊,並且將惡意內容植入到IE、Firefox與Chrome等瀏覽器內的HTTP與HTTPS連線封包中。其亦可從33埠的FTP用戶端軟體及當前一些最流行線上撲克用戶端軟體上,竊走登入憑證。

對於殭屍網路駭客而言,運用Tor或I2P之類的黑暗網路,能帶來相當顯著的效益。尤其是,惡意程式與主控伺服器之間的流量,因為加密之故,所以不會輕易地被入侵防禦系統或防火牆攔截,防毒方案商卡巴斯基(Kaspersky Lab)惡意程式研究人員Dmitry Tarakanov於週四透過電子郵件表示。

資料來源:CSO
轉載自《網路資訊雜誌》

Google超前進度完成2048位元憑證升級 專家鼓掌叫好

Google超前進度完成2048位元憑證升級 專家鼓掌叫好


專家指出,Google速度超出預期地,將所有SSL憑證全面升級至2048位元長度的RSA金鑰,如此一來,可在不影響效能的情況下,讓存取公司網路服務的連線破解難度提高。

Google週一指出,今年5月宣布從原有1024位元RSA金鑰升級到2048位元之舉,比預定完成進度提前1個月,該公司隨即開始全面簽發較長的金鑰。

在美國國家安全局(NSA)約聘人員Edward Snowden洩漏國安局於反恐計畫中對美國境內進行監控,而引發舉國震驚之前,SSL憑證升級行動早已展開。儘管如此,Google指稱,政府仍對該公司升級完成的對外宣布進行偵察。

Google安全工程師Dan Dulay於官方部落格指出:「棄用1024位元的RSA,是我們大力支持全業界的共同努力成果;也是對過於泛濫的政府監控,及普遍擔憂其他形式惡意入侵的一種回應。」

10月間,據報導指出,在看到華盛頓郵報一篇關於,國安局發現如何規避Google與Yahoo安全機制,以蒐集使用者資料方法的報導後,Google大為光火。Google與其他公司在壓力之下證明,他們極盡所能地合法抑制積極過頭的政府監控。

Google最新安全措施,可說是全業界針對提供SSL,亦即在網址中以HTTPS表示安全協定之網站計畫的一部分。

安全顧問公司Bishop Fox分析師Chris Grayson表示,美國國家標準技術局(National Institute of Standards and Technology, NIST),以及由全球主要憑證管理中心與Web瀏覽器廠商所組成的志願性組織CA/Browser Forum共同宣布,2014年1月1日,1024位元RSA憑證將不再有效。

資料來源:CSO
轉載自《網路資訊雜誌》

MSF漏洞攻擊練習系統 – Metasploitable2

MSF漏洞攻擊練習系統 – Metasploitable2

Metasploitable2 是Metasploit團隊維護的一個集成了各種漏洞弱點的Linux主機(ubuntu)鏡像,方便廣大黑擴跟安全人員進行MSF漏洞測試跟學習,免去搭建各種測試環境。

VMware:直接打開Metasploitable.vmdk即可使用。
Vbox:需要添加一個新的虛擬主機,然後把硬盤鏡像指向Metasploitable.vmdk鏡像文件即可使用。

預設登入帳號:msfadmin:msfadmin



下載地址:http://sourceforge.net/projects/metasploitable/files/Metasploitable2/

轉載自《FreebuF.COM》

2013年11月21日 星期四

資安專家警告:HTTPS弱點浮現 終遭駭客攻陷!

資安專家警告:HTTPS弱點浮現 終遭駭客攻陷!

https不是網路安全的保證

資安專家Rohit Sethi於《今日美國》撰文指出,HTTPS 很脆弱,可以預期情況會在未來更為惡化。從現在開始的2-5年間,網路系統的安全結構將更輕易的被擊破,而且以犯罪的層級層出不窮的出現。

這並不意味著HTTPS已經徹底的被攻破─它仍舊可以應對許多網路威脅。然而,對於企業或是個人來說,這裡的教訓應該是資安防護不應該只靠HTTPS

電子商務、線上銀行,或是單純的帳號登入,這些事情沒有 HTTPS 就無法完成。同樣的,這些也適用在新崛起的雲端、行動支付、連網裝置等。

但這也凸顯了許多事情,那就是許多事情皆仰賴著它。但 HTTPS 面對「日新月益」的駭客技術,以及可能造成的廣大影響,未免有力有未逮之感。

而史諾登揭露的資料中,更顯示了美國國安局有能力去變更 HTTPS 有關安全的協定,也能夠去忽略它。

但關於HTTPS的二三事,也不是只有國安的問題而已,也還與一班普羅大眾有關。

其中一個例證,就是近來由美國國土安全部有提出來討論。這種攻擊能夠繞過 HTTPS 的加密,比方說你網路銀行的帳戶,讓駭客能夠在30秒內竊取你的資訊。過去幾年也有 3 起類似的攻擊事件發生,也有其他許許多多利用HTTPS缺陷來攻擊的情形發生。

與此同時,駭客也找出了如何欺騙、冒充、或是癱瘓整個網站─藉由侵入憑證的方式。近來也出現了攻擊RSA加密演算法的方法,這項極其複雜的加密技術,竟也出現了間隙,可謂不可不慎。

對於個人來說,人們應該利用更加保護自己的個資。最重要的一步包括使用 VPN ,來多加一道除了HTTPS之外的防護。而Wi-Fi的使用上,就是上上網看看臉書就好,如果要使用網路銀行的話,還是用寬頻連線較佳。或許可以考慮買一台便宜的筆墊單純拿來使用網路銀行,並且使用單一特定的信用卡來網路購物。

企業也必須全方位照顧好自己的資安,並且隨時升級維護,畢竟與客戶有關的事情可不能馬虎。

至於HTTPS的下一步要怎麼走,也必須好好考量。研究員相信,RSA加密演算法將在未來2-5年間被徹底攻略,因此資安業界必須想出替代方案才行。

現在有個方法,稱做橢圓曲線密碼學(Elliptic Curve Cryptography),問題在於它尚未普及,且許多憑證單位也尚未接受。未來幾年,企業應該要強迫資安界接受RSA之外的加密法,自身也必須開始加以應對。

轉載自《鉅亨網》

MyBB 論壇套件 SQL injection 攻擊

MyBB 論壇套件 SQL injection 攻擊

如同其它知名套件一樣,MyBB也被挖出來利用 SQL Injection 的方法。
在 Kali Linux 的環境下使用 sqlmap 與 Havij 等工具便可以挖掘出來。
所以也請使用該論壇的管理者盡速更新套件!



轉載自《網路攻防戰》

2013年11月19日 星期二

近期簡訊詐騙小額付款攻擊事件之省思

近期簡訊詐騙小額付款攻擊事件之省思

時間回到八月底,幾個公開的論壇開始出現一些發文,使用者上來抱怨收到奇怪的簡訊內容,例如:“XXX,這是那天我們遊玩的照片,都在相簿裡”。我們深入追蹤,發現這一波簡訊是經過縝密的設計,利用使用者對於訊息內容的好奇,誘使手機使用者安裝帶有連接遠端伺服器的木馬應用程式,最後達成利用小額付費方式盜取金錢或遊戲卡點數的目的。

在很多付費或是網路購物的系統,為了增加安全性,除了使用傳統帳號密碼的形式,還會加入其他方式用來驗證是否為使用者本人,這樣的做法稱之為兩階段認證或雙因素認證(Two factor authentication) 。在兩階段認證的實際應用上,使用簡訊來當作認證的第二步驟,是非常普遍的做法。這個機制的假設基礎為門號於申請時已經跟個人身分綁定,手機也幾乎是每個使用者會隨身攜帶,而簡訊為低廉的訊息發送管道而且可達性(reachability)也比其他網路好。另外基於安全的假設是,簡訊是透過電訊網路傳遞,安全性一般說來比IP網路較高;而且簡訊也僅限於能接觸到手機的使用者才能看到。然而這樣的假設在傳統手機上還蠻成立的,但是在智慧型手機時代,其實事情有了許多變化,尤其是 Android 手機。

簡訊詐騙小額付款案件攻擊模式
經分析後,本次的攻擊運作流程如下:

簡訊病毒關係圖
圖1、簡訊病毒關係圖(圖片來源:義集思安全實驗室提供,2013/11)

1.當受害者接收到一個陌生電話傳來的簡訊,像是“XXX,這是那天我們遊玩的照片,都在相簿裡http://buf0.xxxxx.net/img.php“,開頭就是受害者的名字,受害者可能就會認為應該是認識的人傳來的簡訊,不疑有他的按下那個連結。
2.當受害者點了連結之後,手機會下載一個APP並要求受害者安裝,因為受害者認為是認識的人傳來的簡訊,所以就接受並且安裝APP,其實這個APP是駭客製作的惡意APP。當使用者執行這個惡意APP的時候,雖然還是可以看到相簿,但是相簿根本就是別人的照片。
3.當受害者此時發覺不對勁的時候已經來不及了,因為當受害者執行惡意APP之後,惡意APP其實已經將使用者手機的資訊(例如:系統資訊、簡訊等)傳回到C&C 伺服器,並將此惡意APP隱藏起來當作後門APP方便之後對受害者手機的控制。
4.當受害者發覺不對想打電話至165求證時,會發現怎麼打電話就是會被掛斷,這是因為當受害者瀏覽相簿的同時,其實惡意的APP已經跟C&C 伺服器連接,並從C&C 伺服器取得了幾組的電話號碼存在惡意APP中,當惡意APP發現受害者想打電話給這幾組電話的時候,會自動的將電話掛斷,讓受害者無法透過手機來打電話求證或是報警。
5.and 6.在受害者瀏覽相簿的同時,除了無法打電話求證之外,惡意APP也從C&C 伺服器那取得了下一個受害者的電話及簡訊內容,並且透過使用者的手機傳送此封簡訊,讓下一個受害者也可以上當受騙,成為駭客的殭屍手機以利駭客控制。
當受害者發現相簿不是如簡訊所說的是出去遊玩的照片時,或是會覺得可能是誰惡做劇而不以為意,但是當受害者收到手機帳單時就會發現這並不是一個惡做劇,因為在帳單上多了幾千元小額付款的費用,此時才會發現原來那個APP是一個有問題的APP(當然也有可能受害者不會連想到是那個APP的問題)。

惡意APP除了會做上面的事之外,其實駭客還可以透過惡意APP攔截簡訊。駭客可以從他架設的C&C 伺服器得知有哪些受害者的手機安裝了惡意APP,因為惡意APP會將受害者的手機資訊傳回到C&C 伺服器中,所以駭客只要從C&C 伺服器中就可以拿到受害者的資料,去購買小額付費的遊戲點數卡或是其他產品,當駭客用受害者的資料去購買小額付費的產品時,小額付費服務的系統會傳送一個認證的簡訊給受害者,但是因為惡意APP可以攔截簡訊,所以駭客可以透過惡意APP將小額付費服務系統傳送的簡訊攔截並傳回C&C 伺服器,而駭客只要從C&C 伺服器中就可以得到認證碼而完成小額付費的流程。然而此時的受害者因為簡訊被惡意APP攔截傳回C&C 伺服器而沒有收到小額付費認證簡訊,因此受害者根本就不知道駭客利用他的資料去購買小額付費的產品,所以受害者只有在收到帳單的時候才會發現,自己的資料被拿去購買小額付費的產品。

簡訊攻擊事件帶來的啟示
從這次的案例分析結果來看,我們可以得到一些啟示:

一、個資外洩的影響比一般人所知的更為嚴重
個資外洩的傷害與一般攻擊不同,具有流傳性與累加性,一般的攻擊多為一次性,例如資料被竄改、系統被入侵破壞,被盜刷等;但個資一旦流出,就會在各個不法集團手中,透過黑市販賣或其他的交換模式,不斷流傳與累加。有受害者跟我們反應,收到的是七、八年前的舊名字,或是該號碼過戶前的姓名,也有受害者反應,接連收到多次的攻擊簡訊。由此可知,個資一旦外洩,再被利用的機率相當高,非常難以杜絕。


圖2、本案例駭客掌握個資數目統計(資料來源:義集思安全實驗室提供,2013/11)

二、切勿輕忽社交工程攻擊
這次的社交工程攻擊結合了真實姓名與時事,據義集思安全實驗室統計,在中秋節後發送的:「我們中秋烤肉的照片,好多人喔」,以及之後「看著這些照片,好懷念以前的日子喔」的成功率,相較其他的而言高出許多,很多人因為簡訊內容有自己的名字,加上就是最近發生的事情,或想說是老友或同學聯絡就不疑有他,很立即地點擊網址,並安裝手機應用程式,結果中毒。早期詐騙常用的:「你還記得我嗎」則不易成功,可見民眾已較有戒心。這次的病毒只是按照駭客手上的名單發送,若是結合竊取通訊錄,依照通訊錄發送給親友的話,災情可能會更加嚴重。


圖3、駭客簡訊內容截圖(圖片來源:眾多網友提供,義集思實驗室整理,2013/11)

病毒簡訊內容:
[真實姓名] 上次同學聚會的照片,大家都有來,好熱鬧喔
[真實姓名] 你還記得我嗎
[真實姓名] 前幾天我在墾丁拍的照片,你覺得哪張最好看
[真實姓名] 忘記把照片發你了,好多你的
[真實姓名] 我們中秋烤肉的照片,好多人喔
[真實姓名] 我和表妹一起旅行的照片,好想再去一次哦
[真實姓名] 我和表妹的旅行照片,好想再去一次哦
[真實姓名] 我生日那天的照片,人好多好開心喔
[真實姓名] 這個被偷拍的是你ㄇ
[真實姓名] 這是上次我們去拍照的地方,你沒來好可惜喔
[真實姓名] 這是上次我們去的神秘地方,你沒來可惜喔
[真實姓名] 這是上次聚會的照片,你好好笑哦
[真實姓名] 這是上次聚餐的照片,你不在好可惜喔
[真實姓名] 這是我和表妹一起旅遊的照片,好想在去一次哦
[真實姓名] 這是我和表妹的旅行照片,好想再去一次
[真實姓名] 這是我和表妹的旅行照片,好想再去一次哦
[真實姓名] 這是我朋友的結婚照,太搞笑了
[真實姓名] 這是我爸新交的女朋友,是你同學
[真實姓名] 這是表姐在日本的留學生活,變了好多呢
[真實姓名] 這是那天你沒來的照片,我被整慘了
[真實姓名] 這是那天大家一起玩的照片,大家玩的好開心哦
[真實姓名] 這是那天我們遊玩的照片,都在相簿裏
[真實姓名] 這是那天我和你一起拍的照片,你笑的好難看哦
[真實姓名] 這是那晚你沒來的照片,我被整慘了
[真實姓名] 那天你沒來我們玩的好瘋,我被整慘了
[真實姓名] 看這這些照片,好還念以前的日子喔
[真實姓名] 這是我去泰國的照片,好懷念哦
[真實姓名] 我前幾天去宜蘭,拍了好多照片,都在相簿裏
[真實姓名] 著這些照片,好懷念以前的日子喔
[真實姓名] 看著這些照片,好懷念以前的日子喔
[真實姓名] 看看我現在的照片能想起來老同學我是誰嗎猜不對就別聯絡我^^.智慧手機點這裡
[真實姓名] 我挑選了幾張相片,你看下哪張好看
[真實姓名] 我挑選了幾張相片,你看下好看嗎
[真實姓名] 我挑選了幾張相片,哪一張比較好看呢
[真實姓名] 我挑選了幾張相片,哪一張比較好看
[真實姓名] 超搞笑的動圖,如果你笑了記得給我贊喔
[真實姓名] 超搞笑的動圖,我都笑翻了,給你看一下
[真實姓名] 超搞笑的動圖,笑了記得給我贊喔
[真實姓名] 上次唱歌的照片,你的都好搞笑喔

三、手機病毒比電腦病毒更危險
對一般家庭使用者而言,家中的電腦可能只用來上網,既沒有敏感或機密資訊,系統壞了也沒差,少一項娛樂而已,但手機病毒就不是那麼一回事了,通常智慧型手機的通訊錄內,會有家人及親友的姓名、電話、地址甚至生日,皆屬敏感資料,也是駭客很喜歡盜取的目標,目前已有不少手機病毒,會依照通訊錄內的資料傳送病毒訊息,一旦中毒將同時成為受害者與加害者,加害的還是自己的親友!有些手機病毒則是會在背景錄音、錄影,或是偷取GPS定位資訊,侵犯個人隱私;抑或盜發付費簡訊、盜播付費電話,或利用盜取簡訊的方式,進行小額付費功能,對受害者造成實質的金錢損失。這次的案例中,中毒的受害者會發送大量簡訊給其他人,很多人收到不認識的號碼發送簡訊,簡訊內容又直接寫明自己的名字,使得不少人都回撥或回傳簡訊給中毒的受害者,結果直接騷擾到受害者,甚至有受害者反應,整個晚上簡訊及手機響個不停,最後都不敢接,因為不知怎麼跟對方解釋.....變成了直接對人攻擊的另類DDoS。若是發送的簡訊內容,包含了毀謗或謠言等不當資訊,甚至還可能讓受害者吃上官司。

四、手機殭屍網路將日益猖獗
本次案例中,駭客透過 C&C 伺服器統一控制受害手機的一舉一動,包含發送哪些簡訊、阻擋哪些電話,與進行小額付費等,透過殭屍網路,駭客行蹤將難以追查,由於發送簡訊的多為一般民眾、其他受害者,撥打165反詐騙專線查詢也沒用,也由於此攻擊模式同時利用電信網路、電腦網路與遊戲網路,橫跨不同領域甚至國家,需要電信業者、網路業者與遊戲業者多方合作追蹤,使得調查變得十分困難。

五、兩階段認證(Two factor authentication) 需謹慎規劃
兩階段認證的其中一個重點就是在於,兩種驗證之獨立性,前文已提過,智慧型手機的出現,改變了IP網路與電訊網路之獨立性,現行智慧型手機已經集E-mail、簡訊與各種通訊軟體於一身,因此,不論對於網路服務業者、電信商以及企業本身,必須謹慎思考,目前依賴簡訊作兩階段認證的把關,是否太過於脆弱,容易造成資安的風險。也許加上一些能辨別真人和機器的圖靈測試方法(Turing Test),會增強系統安全性,避免被木馬病毒偷取Token就得逞。目前實驗和研究中的方法,如利用聲紋加上互動性問答辨識等等。

Gartner於今年中發佈的全球手機市場報告指出,智慧型手機的出貨量已超越傳統功能型手機,但目前大眾對智慧型手機的風險,並不是太了解,其實對個人用戶而言,養成良好習慣,不隨意安裝非官方軟體,並於手機上安裝至少一家防毒軟體,都有助於避免陷入這樣的風險。對企業而言,則應立即檢視現行兩階段認證的強度,並定期重新審視,科技的進步是否使既有的機制出現新的風險。而近期義集思安全實驗室已觀察到,有數個針對性的手機病毒,除了會躲避模擬器與沙盒(sandbox)的偵測外,還會判斷手機的所在地區、手機廠牌及有無安裝特定的APP或防毒軟體,因此對政府單位而言,應加緊腳步,強化民眾對資安的認知,並整合國內各個單位與資源,建立有效的追查與防禦機制。

對於此次大規模的簡訊病毒,鴻璟科技旗下之義集思安全實驗室掌握了駭客後台的部份手機號碼資料,特別製作了一個簡單的網站,供大家查詢手機號碼是否已遭駭客掌握。

本文作者為義集思安全實驗室 簡士偉(技術長) / 李文平(網安服務部主管) / 鄭奇政(網安工程師),義集思安全實驗室致力於Android安全研究,與針對Android 平台設計的資安保護軟體。

轉載自《資安人》

2013年11月18日 星期一

資料外洩風險:企業常犯的十種錯誤

資料外洩風險:企業常犯的十種錯誤

0-Data Breaches: 10 Common Mistakes That Put Enterprises at Risk

1.未進行專業的法律諮詢:個資安全法律規範有若干種,執法機關不同,適用對象和範圍亦各有差異,應向法律顧問機構尋求專業的建議。

2.沒有協力應變的合作夥伴:在發生資料外洩以前就必須與外部的鑑識或危機應變服務供應者建立合作關係,事件發生時才能以最快時間協同處理。

3.決策者過多:安全事件應變小組雖然牽涉組織內多個不同單位,但必須由一位領導者做決策,同時負責與外部機構溝通聯絡。

4.溝通不良:事件應變小組應有明確的負責人,務必持續向企業內的利益關係人及外部合作夥伴報告事件處理的進度。

5.等獲得全部資訊後再行動:一旦確定系統被入侵就應該馬上處理,透過安全鑑識調查會不斷獲得更多的資訊,再跟據相關資訊靈活應變,不宜一昧等待。

6.負責人管太多:外洩事件之應變需要多個部門和團隊的支援與合作,應變小組負責人應該信任屬下和夥伴,避免事事干涉,拖累應變工作之成效。

7.與媒體應對失當:資料外洩事件的新聞報導可能傷害企業形象。企業應建立書面的、經過檢驗的媒體應對計劃及聲明草稿等資料,及時應對可避免報導過於渲染。

8.缺乏事件後處理計劃:在外洩事件初步解決之後,企業應考慮如何增加預防措施、補強安全防護、重建企業信譽與恢復客戶信任,才能未雨綢繆。

9.未提供給客戶補救方法:事件發生後,客戶是最重要的保護對象,企業應提供某種形式的補救方案,協助客戶處理。

10.反覆實行:任何計劃都必須由全體成員反覆實行,並不斷更新和修改,才能更臻完備。

原文出處:Data Breaches: 10 Common Mistakes That Put Enterprises at Risk
轉載自《Chalet Taiwan Support Forum》

千呼萬喚始出來 金融業個資檔案安全辦法正式公告

千呼萬喚始出來 金融業個資檔案安全辦法正式公告

人力仲介業、不動產經紀業、多層次傳銷業與票據交換所之後,金管會也已於11/8正式公告「金融監督管理委員會指定非公務機關個人資料檔案安全維護辦法」,並於公佈日起施行。舉凡金控、銀行、證券、期貨、保險、電子票證、金融服務業、金管會主管之財團法人等受金管會管轄不同規模之非公務機關,均一體適用。

自從去(2012)年個資法上路後,許多企業便遲遲等待所屬主管機關發布個資管理辦法以便下一步因應動作,金管會的個資檔案安全維護計畫尤其備受矚目。從一開始銀行、證券、保險各自訂定個資檔案安全維護計畫(草案),經過一年多歷經多次版本修訂,到最後此一最終版本涵蓋所有金融業。其中幾項於後期版本新增的條文,值得特別注意:

1.重大個資外洩事故的通知:在第六條要求「非公務機關為因應個人資料之竊取、竄改、毀損、滅失或洩漏等安全事故,應訂定下列應變、通報及預防機制…(略)非公務機關遇有重大個人資料安全事故者,應即通報本會;其所研議之矯正預防措施,並應經公正、獨立且取得相關公認認證資格之專家,進行整體診斷及檢視。前項所稱重大個人資料安全事故,係指個人資料遭竊取、竄改、毀損、滅失或洩漏,將危及非公務機關正常營運或大量當事人權益之情形。」
此項條文要求一旦發生「重大個人資料安全事故」將危及營運或影響大量當事人權益時,應通報金管會,然而卻未具體定義何謂「大量」當事人權益,如個資洩露筆數或所洩漏資料欄位等,企業對於何時該通報可能會有不同認知。

2.第十條,針對有提供電子商務服務系統者,應採取下列資訊安全措施,包括身分認證、個資隱碼、資料傳輸加密、應用系統軟體驗證、個資存取控制保護監控、防止外部入侵、異常行為監控等七項
3.第十四條,各項個資保護機制、程序及措施應留存軌跡資料或相關證據,相關證據及記錄應至少留存五年,法令另有規定者不在此限
儘管這項個資檔案安全辦法終於出爐,資安顧問謝持恆仍呼籲,此項個資辦法僅是針對個資法第27條第三項所訂定。對於民眾而言,金融業是否能落實對民眾個資的保護,仍有賴主管機關制訂相關行政檢查辦法,並徹底執行。否則個資法上路後,民眾個資意識逐漸抬頭,民眾對金融業提出的檢舉陳情案件也不在少數,但至今已做出裁決的僅有中國信託、南山人壽等少數案件。

除了主管機關的執行度,也許就如同行政院張善政政委所言,個資法只是最低門檻,各家業者對民眾個資保護所投入的努力,應被視為業者服務品質、競爭條件的一部份。民眾應該睜大眼睛,慎選重視客戶個資的往來業者。

轉載自《資安人》