2014年12月19日 星期五

Sony Pictures被駭事件:好萊塢明星遭池魚之殃,個人資料被公布

Sony Pictures被駭事件:好萊塢明星遭池魚之殃,個人資料被公布

GoP在最新公開的文件中包含了許多電影界名人的聯絡方式,舉凡導演、製作人與明星的電話號碼及電子郵件都被公布,另還揭露了明星旅行時訂房或租車所使用的別名,例如湯姆漢克斯會使用Harry Lauder,娜塔莉波曼會用Laura Brown,裘德洛(Jude Law)會自稱Mr. Perry。


繼公布索尼員工個人資料後,駭進索尼影業(Sony Pictures)內部網路的Guardians of Peace(GoP)駭客集團現在又出招,不過這次倒霉的是好萊塢明星,他們的電話號碼以及他們在旅行時所使用的別名都被公布。受害者包括布萊德彼特(Brad Pitt)、丹尼爾克雷格(Daniel Craig)、茱莉亞羅勃茲(Julia Roberts)、湯娒漢克斯(Tom Hanks)與娜塔莉波曼(Natalie Portman)等。

GoP在最新公開的文件中包含了許多電影界名人的聯絡方式,舉凡導演、製作人與明星的電話號碼及電子郵件都被公布,另還揭露了明星旅行時訂房或租車所使用的別名,例如湯姆漢克斯會使用Harry Lauder,娜塔莉波曼會用Laura Brown,裘德洛(Jude Law)會自稱Mr. Perry。

另外,GoP在本周還表示,恐怖主義的電影會破壞和平且導致戰爭,還說索尼與FBI是找不到他們的。GoP這些說法與北韓政府譴責《名嘴出任務》(The Interview)電影的口號類似。

《名嘴出任務》是由索尼所製作、預計於聖誕節上映的喜劇片,但內容描寫了刺殺北韓領袖金正恩的情節,外界一直認為索尼很可能是因為此片而惹來北韓的報復。即使北韓政府已經否認他們主導此次鎖定索尼影業的攻擊,然而外界對此還是抱持著懷疑的態度,而索尼與FBI迄今仍未確認公布攻擊來源。

轉載自《iThome

ICANN遭魚叉式網釣攻擊,員工身份遭盜用

ICANN遭魚叉式網釣攻擊,員工身份遭盜用

ICANN說明,這起攻擊事件發生在今年的11月,駭客發出假冒來自ICANN的郵件,誘使ICANN員工填入他們的電子郵件憑證,並有多名員工受騙,所幸並未影響與網路位址分配組織(IANA)相關的系統。


全球網域名稱管理機構ICANN(International Corporation for Assigned Names and Numbers)遭到魚叉式網釣攻擊(spear phishing),駭客竊取了員工身份憑證並存取區域資料系統(Zone Data System)、GAC Wiki、WHOIS與ICANN部落格,可能有個人資料外洩,但並未影響與網路位址分配組織(Internet Assigned Numbers Authority,IANA)相關的系統。

ICANN說明,這起攻擊事件發生在今年的11月,駭客發出假冒來自ICANN的郵件,誘使ICANN員工填入他們的電子郵件憑證,並有多名員工受騙。

除了電子郵件系統外,駭客還使用這些偷來的憑證登入了其他系統,包括統一的區域資料系統(Centralized Zone Data System,CZDS),該系統儲存了各種頂級網域名稱所對應的IP位址及次網域名稱,駭客雖然無權修改這些資料,但可存取該系統用戶的姓名、地址、電子郵件、電話、使用者名稱與加密密碼等,ICANN暫時取消了該系統用戶的帳號登入權限,並要求他們重新設定密碼。

至於ICANN GAC Wiki儲存的則是公開的資訊與專供會員使用的索引頁面,並沒有太多非公開內容。駭客還取得了可登入ICANN部落格及用來查詢網域名稱與IP位址的ICANN WHOIS登入帳號,但並未帶來任何影響。

迄今ICANN尚未發現有上述以外的系統受到危害,也確定相關攻擊並未波及與網路位址分配組織(IANA)相關的系統。隸屬ICANN的IANA主要掌管全球IP位址及自治系統號碼的分配,以及網域名稱系統、媒體形式,或其他IP符碼的根區域管理。

ICANN表示,他們今年初便著手強化該組織各個系統的安全性,在此一意外發生後,也採取進一步的安全防禦機制,並已知會受影響的用戶,公布此次的駭客入侵事件除了履行開放及透明的承諾外,也希望資訊的分享能提醒或協助其他有關單位進行安全評估。

轉載自《iThome

2014年12月17日 星期三

侵犯用戶隱私權 Google 遭罰 1500 萬歐元天價罰金

侵犯用戶隱私權 Google 遭罰 1500 萬歐元天價罰金

荷蘭資料保護局(Data Protection Authority, DPA)表示,由於 Google(Google Inc.)涉及侵犯用戶的隱私權,恐面臨高達 1500 萬歐元(約5.74億元新台幣)的罰金。

由於Google(Google Inc.)涉及侵犯用戶的隱私權,恐面臨高達1500萬歐元(約5.74億元新台幣)的罰金。(法新社)

《路透》報導,荷蘭資料保護局聲稱,因Google公司將用戶在搜尋引擎上的詢問、電子郵件、第三方網站追蹤、鎖定用戶位置數據,以及影片瀏覽紀錄等,來向其提供定製廣告,而違反了國家資料保護法。

荷蘭資料保護局命 Google 必須在明年2月結束以前,改變處理對用戶收集個人資料的方式,否則將面臨最高1500萬歐元的罰款。


Google 於 2012 年推出新的隱私權用戶指導方針,以用來處理用戶資料,除了受荷蘭指控外,其他 5 個歐洲國家─法國、德國、英國、義大利,以及西班牙皆開始對 Google 的個人資料處理方式進行著手調查。

荷蘭資料保護局局長 Jacob Kohnstamm 表示,這件案子已經從 2012 年就開始審理至今,期望當局的耐心不會再受一次考驗。

荷蘭資料保護局表示,Google 未經用戶同意,以及發出使用通知,就擅自整合這些個人資料,這種做法已違反法律。

Google未經用戶同意,以及發出使用通知,就擅自整合這些個人資料,這種做法已違反法律。(路透)

Google 發言人尚未對此事發表正式評論。

轉載自《自由時報

金控子公司個資共同行銷 砍掉重練!

金控子公司個資共同行銷 砍掉重練!

▲金管會研擬金控子公司共同行銷管理辦法,未來金控子公司間共同行銷時,須先取得客戶個資使用的同意,且管理辦法將溯及既往。(圖╱資料照片)

金控個資共同行銷砍掉重練!因應金控法修法限制金控間子公司個資共同行銷,金管會研擬管理辦法,未來金控子公司間共同行銷時,須先取得客戶個資使用的同意,且管理辦法將溯及既往,即金控對客戶個資的使用必須重新取得授權

金管會今(16)日宣布已研訂《金融控股公司子公司間共同行銷管理辦法》部分條文修正草案,將依行政程序法規定,於近日內公告,徵詢各界意見。

金管會表示,《金控法》第43條於103年6月4日修正公布,對金控子公司間共同使用客戶資料應先經客戶書面同意的範圍,由原先的基本資料以外往來交易資料及其他相關資料,修正為「姓名」及「地址」以外的個資均應依《個人資料保護法》相關規定辦理

即金控法修法前,金控旗下子公司取得的客戶個資包含姓名、電話、身份證字號,出生年月日等,在獲客戶同意後,可作為金控旗下其他子公司行銷使用,金控法修法後,金控子公司獲客戶同意後,作為共同行銷的個資只限「姓名」及「地址」

修正草案重點包含:(一)除經客戶同意者外,金控子公司間共同行銷的個資不得含有客戶姓名或地址以外的其他資料;

(二)與客戶的往來契約,應訂定讓客戶選擇是否同意提供姓名或地址以外的其他資料作為行銷使用的欄位及簽名處,另為保留金融機構實務執行的彈性,該往來契約內應列名運用資料的子公司名稱部分,刪除「供客戶勾選」的規定,並增訂金控因其組織異動,而增減子公司時,應於金控及其子公司網站公告;

(三)金控子公司接獲客戶通知停止使用其資料,原則應「立即停止」所有子公司交互使用其資料,惟如客戶明確表示僅停止部分子公司交互使用其資料時,得依客戶通知的意旨辦理。官員說明,所謂的「立即停止」為合理期間內約3-5天,且客戶表達是否同意金控共同行銷的方式不只有電話。

轉載自《ETtoday財經新聞

2014年12月9日 星期二

如何避免大量寄送的郵件被ISP業者判定為垃圾郵件?

被歸類到垃圾郵件的因應
如何避免大量寄送的郵件被ISP業者判定為垃圾郵件?

電子郵件被歸類為垃圾信件,送進垃圾匣,主要是由收件者的郵件伺服器 (SMTP發信端寄送行為與信件內容主動作出判定,或是收件者自行將郵件歸類為垃圾郵件,導致郵件寄送失敗。

經與國內各大網際網路服務供應商(ISP)確認,業者無法要求系統將信件歸類至任一收件匣。信件歸類主要係由系統主動作出判定,系統經由大量資料累積分析並取得信件評比分數後,判斷是否將郵件歸類為垃圾郵件。倘若有非垃圾郵件被誤判為垃圾郵件時,我們建議兩種方式:
1.由收件者將寄件者 Email 加入通訊錄名單中
2.寄信者向郵件服務業者申請列入白名單,此舉將有效解決非垃圾郵件問題。

針對大量發送的郵件,如何避免被歸類為垃圾郵件,提高遞送成功率,針對各大ISP業者各別驗證機制,歸納相關變數說明如下:

Gmail
1.信件主旨應與內文相關
2.收件者的聯絡人清單有該寄件者位址
3.收件者點擊「非垃圾郵件」,告知Gmail想收到來自該位址的郵件
4.在郵件原始碼加入「Precedence:bulk」標頭,標記該郵件為大量郵件
5.發送端設定IP正反解、MX RecordSPF Record,並使用DKIMDomainKey金鑰簽署郵件
6.20137月建立收件匣分頁機制,收件者須手動點選頁籤,將促銷內容/最新快訊 關閉
7.收件者設定篩選器過濾條件
8.收件者設定白名單
Yahoo
1.收件者建立自動分類功能,避免被誤判垃圾信
2.收件者設定過濾器將寄件者加入帳戶名單
3.發送端申請Yahoo! Complaint Feedback Loop Service垃圾信件反饋機制,收取點選這是垃圾郵件的收件者名單
Hotmail
1.收件者調整垃圾郵件篩選設定
2.發送端加入垃圾郵件回饋計畫(JMRP
Hinet
發送端主動申請Hinet大量郵件發送,加入Hinet白名單
Pchome
發送端主動申請Pchome大量郵件發送,加入Pchome白名單

轉載自《繹宇數位科技

2014年12月8日 星期一

iOS出現假面攻擊漏洞 (含影片示範)

iOS出現假面攻擊漏洞 (含影片示範)

資安業者FireEye發現,iOS系統出現app的檢驗漏洞,駭客可藉以誘騙使用者下載假冒的app並偷偷取代從蘋果官方 App Store安裝的合法應用程式,讓使用者的app變成駭客的惡意程式,並可能藉以盜取手機內的敏感資訊。

FireEye將此類攻擊手法命名為「假面攻擊」(Masque Attack),其機制主要是利用iOS未針對bundle identifier相同的兩款應用執行憑證比對的系統漏洞,駭客可以透過無線網路或USB進行攻擊。目前安全研究人員在 iOS 7.1.1、7.1.2、8.0、8.1及8.1.1 beta中都發現這個漏洞,不論裝置是否有越獄(jailbreak)都可能受到攻擊。FireEye指出,已有證據顯示問題開始蔓延,而為了防患未然,決定有必要公佈這個漏洞。

這個漏洞主要存在於企業/ad-hoc供應機制(enterprise/ad-hoc provisioning),因而讓下載的冒牌iOS應用得以取代由App Store下載的合法應用,只要兩款應用都使用相同的bundle identifier,即iOS用以識別每一個開發者的軟體識別碼。冒牌應用可能使用任何名稱(如新版Flappy Bird)誘使用戶下載,安裝後並可能取代任何從App Store下載的合法應用,例如Gmail,只有預載的iOS 應用如Mobile Safari能夠免疫。

FireEye技術資料:
Masque Attack: All Your iOS Apps Belong to Us


轉載自《網路攻防戰》

2014年12月7日 星期日

2015全台跨年晚會懶人包

2015全台跨年晚會懶人包


邁入12月,也代表著2014年到了尾聲,迎接新的一年,你想好要去哪邊跨年了嗎?現在整理出全台灣的跨年資訊,包括全台各地跨年晚會、煙火地點、表演藝人、轉播媒體、官方網站、第一道曙光好去處,跟你一起High到2015年!

北部

2015 台北最HIGH新年城跨年晚會
地點:台北市政府前市民廣場
時間:2014年12月31日19:00~2015年1月1日01:00
轉播:TVBS歡樂台42頻道、TVBS ASIA、TVB8 Live直播、HitFM Live、台北107.7、台北廣播電台FM93.1/AM1134
主持人:浩角翔起、Ella、selina
表演藝人:SpeXial、左左右右、朱俐靜、李榮浩、李玉璽、林俊傑、周湯豪、韋禮安、陳彥允、蕭敬騰、羅志祥等
官方網站:http://www.wownews.tw/article.php?sn=21191

2015美麗華跨年晚會
地點:台北美麗華百樂園 1F水舞廣場 & 5F摩天廣場
時間:2014年12月31日20:00~2015年1月1日00:30
官方網站:http://www.miramar.com.tw/main.php

基隆市跨年晚會
地點:基隆港東三、東四碼頭
時間:2014年12月31日~2015年1月1日

2015桃園升格幸福無限跨年晚會
地點:桃園縣多功能藝文園區
時間:2014年12月31日18:00~2015年1月1日00:30
轉播:華視
主持人:徐乃麟、黃子佼、莊雨潔、謝忻
表演藝人:羅志祥(壓軸)
官方網站:http://travel-taoyuan.tycg.gov.tw/content/event/event02_in.aspx?sid=1239


2015新竹幸福喜洋洋跨年晚會
地點:新竹市政府前廣場
時間:2014年12月31日18:00~2015年1月1日00:30
表演藝人:周蕙、辰亦儒、動力火車、倪安東、周定緯等

中部

2015台中跨年晚會
地點:國立台灣體育大學體育場
時間:2014年12月31日20:00~2015年1月1日00:30
轉播:中天綜合台CH36
主持人:阿ken、陳漢典、黃嘉千、吳怡霈
表演藝人:郭靜、羅志祥等

2015跨年經貿文創觀光夜市村
地點:台中經貿文創觀光夜市村
時間:2014年12月31日19:00~2015年1月1日00:30
主持人:彭恰恰、許效舜
表演藝人:羅志祥、李千娜、世間情演員等
官方網站: https://www.facebook.com/SNECnightmarket


2015南投清境跨年晚會─星空電音派對
地點:清境農場
時間:2014年12月31日19:00~2015年1月1日00:30
官方網站: http://cjparty.mmhot.tw/

南部

劍湖山跨年煙火秀
地點:劍湖山世界主題樂園
時間:2014年12月31日19:30~2015年1月1日00:30
官方網站: http://www.janfusun.com.tw/

迎接2015年全嘉藝起來跨年晚會
地點:嘉義市政府北棟廣場
時間:2014年12月31日19:00~2015年1月1日01:00
轉播:三立財經台、三立台灣台
主持人:圓圓、楊程均
表演藝人:炎亞綸、八三夭、李唯楓、謝博安、陳詩妤、Uni4m、亮哲、舒子辰等
官方網站: https://www.facebook.com/2015chiayi


2015阿里山日出印象音樂會
地點:阿里山對高岳觀日坪
時間:2014年12月31日19:30~21:00/2015年1月1日05:50~12:00
官方網站: http://www.2015alisunrise.tw/


2015台南喜洋洋跨年晚會
地點:高鐵台南站廣場
時間:2014年12月31日18:00~2015年1月1日00:40
轉播:民視
主持人:胡瓜、侯怡君、Gino、白家綺
表演藝人:吳克群、黃小琥、安心亞、A-lin、畢書盡、MP魔幻力量、八三夭、陳乃榮、劉香慈、曹雅雯、滅火器、蔡佳麟、大支等
官方網站:http://www.2015tainan.com/


2015夢時代跨年晚會
地點:高雄市前鎮區時代大道
時間:2014年12月31日~2015年1月1日
轉播:三立
主持人:庹宗康、路嘉怡
表演藝人:A-Lin、蘇打綠、蕭煌奇、黃小琥、王識賢、楊培安、蘇打綠、張震嶽等
官方網站: http://www.dream-mall.com.tw/

2015 紫耀義大跨年晚會
地點:高雄義大世界
時間:2014年12月31日18:00~2015年1月1日
轉播:中視
主持人:曾國城、莎莎
表演藝人:蔡依林、田馥甄、安心亞、Dream Girls、Bii、陳勢安、Magic Power、JPM、柯有倫、八三夭、李佳薇、李千娜、潘嘉麗、謝金燕(邀請中)
官方網站: http://www.edaworld.com.tw/index.aspx

熱浪x青春高雄跨年電音派對
地點:高雄市左營區世運大道100號
時間:2014年12月31日~2015年1月1日
官方網站:http://on.fb.me/1y7naX1


東部

2015宜蘭市跨年晚會
地點:蘭城新月廣場
時間:2014年12月31日18:00~2015年1月1日

2015台東三仙迎曙光
地點:東縣成功鎮三仙台遊憩區
時間:2015年1月1日

原文出處:三立新聞
轉載自《卡提諾論壇

重新思考資料防外洩之內涵及選擇重點

重新思考資料防外洩之內涵及選擇重點

機密或敏感性資料一直以來都是企業、組織以至一個國家的重要資產,但是嚴格來說資料防外洩系統在國內還是直到新版個人資料保護法的制定與推行才開始漸漸受到重視,當時專家還曾預估個資法會帶來一波資安產業的商機,不過新版個資法公告實施兩年下來,似乎是雷聲大雨點小。

據觀察除了政府單位因配合政策所以優先導入資料防外洩產品(Data Loss Prevention,DLP)外,積極導入完整DLP的私人企業還是少數,且其中又有許多是採局部性、基礎功能導入,保守觀望意味仍濃。探究其原因,一來是目前為止幾起企業發生的個資事件並沒有引來集體訴訟和鉅額賠償,頂多是金融業被主管機關以銀行法第45條之1第1項:未妥適建立資訊作業管理之內部控制制度而處以數百萬元之罰金,其他行業並無相關的規定或是處罰先例,所以完整的防護措施看起來沒有那麼急迫,只要先求「有」就好,如同騎機車挑個最便宜的半罩式瓜皮安全帽可以不被警察開單,就已算是可滿足現階段的避險需求;二來是導入完整資料防外洩系統的金額及複雜度都不低,也聽聞有金融單位投入高額預算採用國際大廠產品但專案延宕許久遲遲無法驗收的案例,更何況是其他資源有限的企業,在規劃資料保護方案時難以拿捏該做到什麼程度,面對市面上眾多號稱可保護個資的產品而無所適從。

重新審視資料安全防護

也許現階段個資法還處於窒礙難行的階段,個資外洩所帶來的後果沒有當初想像的嚴重,但是可能被洩漏的資料不是只有民眾的個資,企業的營業秘密、智慧財產一旦外洩所造成的損失對企業來說是立即有感的,所以最近企業詢問DLP如何用來保護營業秘密的比例有增加的趨勢。

廣義地來看待「防範資料外洩」這件事,其實並不只是DLP產品的工作,其他許多資安軟硬體、管理制度都在其中扮演輕重不等的角色。在決定採用甚麼樣的資料安全防護手法之前,通常會建議先花一點時間審視目前對於資料保護的需求為何,畢竟每個單位的需求都不盡相同:

1.需要保護的資產對象 
個人資料檔案: 在檔案中最常出現的個資通常以文字資訊呈現,且都有特定模式,比方說:姓名、身分證字號、電話、地址等,所以最常見的偵測方式就是以正規表示式來判斷是否為個資,但此法精確度較低容易誤判,且無法分辨是否不屬於蒐集、處理範圍之公眾人物姓名、公司行號地址電話等。較佳的作法是直接對已蒐集之個資檔案或資料庫進行指紋碼學習,以特徵指紋碼來偵測的精確度高但較耗系統資源。

營業秘密:沒有一定的模式,可能是文字,可能是設計圖或影像圖片,也或許是程式碼,早期的做法是攏統的以檔案的格式種類或內容關鍵字來偵測,比較進階的方法則是對所有含營業秘密之檔案進行指紋碼學習。

2.威脅來源 
內部員工:包括於內部工作的外包人員,可能因無意的疏失或是惡意將資料外洩。

合作夥伴:上下游廠商,可能因無意的疏失或是惡意將資料外洩。

不友善第三者:競爭對手、職業駭客、敵對國家網軍,這就不用解釋了,來者不善一定鑽盡各種漏洞來竊取資訊。

3.弱點 
網路管道未加以管制:舉凡Email、Web、FTP傳檔、即時通訊、遠端桌面、雲端服務等等,尤其現在主流雲端服務都已採用HTTPS加 密通訊,更增加通訊管制的難度。

透過端點使用的實體資料載具未加以管制:像是USB移動儲存設備、光碟燒錄機、記憶卡、行動裝置,列表機也是。

儲存資料未加以妥善防護:例如資料庫、檔案伺服器未妥善進行存取控制,檔案未加密。

雖說一般的資安設備、管理制度、稽核紀錄都能從旁協助「防範資料外洩」,但真正第一線負責面對及處理進行中的資料外洩事件的還是資料防外洩產品,資料防外洩產品又大致分為三類:網路DLP、端點DLP、DRM。

網路DLP 於網路閘道端架設DLP閘道器,以In-line或Mirror方式過濾各種通訊協定上的聯外通訊內容是否含有受保護機敏資料,再加以阻擋。

端點DLP 於端點上安裝軟體監控使用者欲寫入周邊裝置的檔案是否含有受保護機敏資料,更進階一點的是可以在筆電離開公司網路後對該筆電上網的網路通訊作離線的網路DLP。

DRM檔案權限管理 底層採用密碼學技術將受保護檔案加密,再根據使用者授權範圍開發檔案的各種使用權限(開啟/存檔/列印/螢幕擷取/…),並可與外部人員進行檔案交換。

針對前段所歸納的資料種類、威脅及弱點來選擇控制項目時,有以下7點建議可供參考:

1. DLP產品最重要的功能就是能夠「發現傳輸或使用中的資料為受保護的機敏資料,然後依據政策進行放行、阻擋或紀錄」,若僅是保護個人資料檔案,使用正規表示式、關鍵字的簡易作法還算堪用,產品也都會事先說明有誤判的機率就看使用單位能否接受;但若保護對象是營業秘密的話,還是建議採用具有指紋特徵碼偵測技術的DLP產品才能支援各種檔案,而且即使檔案被分割、部分擷取、壓縮都還要能夠準確偵測出來。

2. 因為越來越多的Web都採用SSL通訊加密保障網站訪客安全,所以解析HTTPS加密通訊內容已經算是網路DLP的必備功能,原理是透過內建的代理伺服器居中進行憑證置換,閘道器檢查過上傳內容不含機敏資料後再將資料透過第二段的HTTPS外傳。有些高檔的防火牆也可提供HTTPS解密(一樣透過Proxy技術),把中間解開的封包透過ICAP拋給DLP作資料過濾,但此功能也是要額外採購授權。SSL加解密相當耗費運算資源,所以在評估硬體規格的時候記得要考慮進去。

3. 加密是資安常用的手段,但同時也是資安的敵人,因為DLP系統無法看到事先經由其他加密系統所加密的檔案是否含有個資,所以如果在導入DLP之前已經導入了一般文件加密系統或DRM的話,不管是資料盤點工具或是網路DLP碰到這些加密檔案也是沒轍,一般建議作法是直接阻擋看不懂的加密檔案外傳,以避免員工規避DLP系統的檢查。

4. 那如果同時有DLP跟DRM的需求的話怎麼辦? 那就得考慮有跟DRM模組搭配的DLP產品,可以在資料盤點發現到機敏資料檔案時,設定自動套用DRM加密,而不是單純依賴檔案Owner手動將重要檔案加密。

5. 選購加密產品時記得要避開僅對檔案表頭加密的加密軟體,因為這樣其實只要把加密檔案用簡單工具以十六進位方式開啟,就可以直接看擷取到未加密的主體內容,完全不用高深的駭客技巧就能破解,所以還是請選擇對全檔案加密的軟體。

6. 若分階段實施,導入順序建議: 網路DLP > 端點DLP > DRM,原因是網路DLP導入較快速,可藉由觀察記錄來將資料政策調整成最佳的狀態;端點DLP和DRM對於使用者的日常操作的影響比較明顯一些,所以延後導入可以適度減少使用者的反彈。

7. 若分階段實施,請留意各模組間的整合程度,如果各模組都是不同廠牌自然不能強求,但若是同廠牌各模組之間也未對政策、事件、指紋特徵、報表等功能進行整合的話(併購自不同家的產品),寧可選擇性價比更好的不同產品來搭配。

結語 
說實在,功能較完整的資料防外洩產品的價格有一定門檻,企業在評估TCO的時候再把每年的維護費用(也有產品是每三年要負擔的維護金額等於原合約價,幾乎是每三年就重買一套)也算進去以後,真的不是國內多數中小企業可以負擔得起的,問題是根據經濟中小部企業處2013年的統計,國內136萬多家企業中,中小企業就佔了133萬多家,佔比97.6%,這麼多的中小企業還是有資料防外洩的需求存在,近期如果能有一套價格合理的雲端DLP的租用方案,提供必要的DLP功能又不必負擔設備建置、折舊,重點是能滿足管理安全性、服務可用性的高標準,相信會是中小企業的福音。

 (本文作者目前任職於叡廷股份有限公司 產品經理一職)

轉載自《Information Security 資安人科技網

2014年12月6日 星期六

身分證字號當帳號 學評個資恐外洩

身分證字號當帳號 學評個資恐外洩

新聞圖片

高市教育局設置「學生學習診斷與進展評量計畫科技化評量系統」,希望了解全部國中小學生的學習能力,進而補救,因系統要求學生以身分證字號當帳號,另有校名、年級、班級與姓名,教育團體擔心個資外洩,行文教育部、科技部、中研院及台南大學留意,禁止做為學術研究、利用及發表。

教育局籲南大加強防火牆

教育局解釋,該套系統原是教育部委託台南大學設計,提供各縣市使用,當時就是以學生的身分證字號當帳號,後來改由高市委託而沿用,但就算目前教育部委託雲林科大設計的補救教學系統,同樣也是以學生的身分證字號當帳號。

教育局強調,既然家長有此疑慮,將要求台南大學加強防火牆,或者研究改以其他資料當帳號,但目前並無違反個資法疑慮,台南大學若要以此資料當學術研究,也需經過教育局同意。高雄市教育產業工會理事長劉亞平表示,教育局實施「國民中小學學生學習診斷與進展評量實施計畫」,事先未向家長說明,也沒有徵得家長或監護人同意,就逕自「處理」及「利用」學生個資。

影響二、三十萬國中小學生

特別是該評量非法定職務範圍,高雄二、三十萬名國中小學生的姓名與身分證字號等個資,都匯入台南大學科技化評量中心系統,一旦駭客入侵或被「內神通外鬼」販賣給詐騙集團,後果不堪設想。

轉載自《自由時報

2014年12月5日 星期五

網上驚現密碼搜尋引擊、私密帳戶一分鐘擊破!

網上驚現密碼搜尋引擊、私密帳戶一分鐘擊破!

自從雲端服務興起以後,大家擁有的密碼可能多得連自己都記不起,於是很多人為了方便使用,便採用了一些簡單直接的字串組合成密碼,然而這樣很容易會被黑客擊破,安全風險亦變會比起採用複雜字串組合而成的密碼高得多。

如果你使用了簡單的組合組成密碼,那黑客要攻破你的帳户可能只需很短時間,事關黑客可通過採用所謂的密碼爆破器,並通過載入不同的文字來源,例如常用的詞典作為「撞密碼」動作的背後字串資料庫,然後通過軟件便可針對目標網站進行「試撞」。

一般來說,簡單的密碼不用十分鐘即可攻破。

那些密碼最多人使用?

早前有黑客便「好心地」利用多種手法從互聯網之中取得多達 200 萬個用户資料,當中他們亦針對用户使用的密碼進行統計,結果發現在 200 多萬個「取得」的帳户資料之中,仍有數以萬計的用户採用「123456」作為密碼,試問面對如此「吸引」的帳户,黑客又怎會放過呢?以下是統計後的結果。

密碼:123456 / 發現使用次數:15,820
密碼:123456789 / 發現使用次數:4,875
密碼:1234 / 發現使用次數:3,135
密碼:password / 發現使用次數:2,212
密碼:12345 / 發現使用次數:2,094
密碼:12345678 / 發現使用次數:2,045
密碼:admin / 發現使用次數:1,991
密碼:123 / 發現使用次數:1,453
密碼:1 / 發現使用次數:1,224
密碼:1234567 / 發現使用次數:1,170
密碼:111111 / 發現使用次數: 1,046

除了採用最傳統的字典式「撞密碼」之外,近期網絡上興起了一系列的「密碼搜尋引擊」。這類引擊的主要作用就是讓用户輕易地通過搜尋關鍵字從而獲相關系統的登入密碼。

如何使用?

當然,我們不會公開這些平台的名稱及連結;不過為令大家了解到現時獲取不同目標帳户的密碼方式,以下筆者便會說明一下這些平台的操作方法及背後的一些資料。

輸入目標網址、帳户資料一鍵獲取

首先這類型的平台與大家常用的搜尋引撃並沒有太大分別,都是提供直接的介面讓你即時搜尋目標帳户資料;而為了方便大家搜尋,部份平台更率先支援以「目標網站網址」作為搜尋條件,從而讓用户極速搜尋出屬於該網站的帳户資料。


輸入目標人物電話、姓名即時搜尋帳户資料

上述方法只針對目標網址,然而假如我們希望搜尋指定人物的帳户資料呢?簡單。有平台通過特殊方法取得千萬數據,更提供詳盡的搜尋條件分類,包括支援輸入目標人物的姓名、電郵、電話等,完成後一按,所有符合搜尋條件的帳户資料即時盡現,測試時我們似乎亦發現了一些熟悉的友人資料。


分門別類、以設備類型獲取機密資訊

最後一種方法真的十分恐佈,現時有些黑客專用的搜尋引撃能提供十分詳細的設備分類,當選取了一項設備例如想 Hack 入他人家中的 IP CAM 的話,這些搜尋引撃提供了以「入侵媒介」、「目標設備品牌」等進行分類,選好後更會結合不同黑客過往的成功攻擊方式及案例、注意地方等,從而令你輕易的一鍵 Hack 入他人的 IT 設備。


黑客專用社交網絡

其實這些搜尋引撃當中的資料均來自黑客每次成功的入侵行動,事關這類搜尋引擊依賴的是黑客之間所分享的帳户資訊,從而慢慢形成一個巨形的用户帳户資料庫;配合上專為黑客提供的內部交流平台以及入侵日誌等,我們已可見專為黑客而設的社交網絡正在慢慢成長之中。

如何建立安全密碼?

要避免自己的帳户資料被加進這些黑客搜尋引撃之內,大家需要注意每次登入時所使用時網絡安全、電腦安全,如果本身採用公用網絡以及電腦的話,建議不要進行任何登入行為,事關你不知道公用網絡、電腦的背後有甚麼人正在使用或收集資料。

另外在建立帳户密碼時,亦應採用一些組合較複雜的字串;我們建議密碼的組合應該要同時擁有數字、大小英文字、符號,而且在長度方面亦必須多於 8 個位,這樣要被攻破亦並非數十年可完成的事情,對於傳統的爆破式攻擊方法會有很強的防禦作用。

轉載自《HKITBLOG

2014年12月2日 星期二

男子告動物醫院敗訴 個資又被外洩

男子告動物醫院敗訴 個資又被外洩

新聞圖片

台中市清水區某動物醫院吳姓院長,因醫療過失被許姓民眾控告民事求償,法院判吳姓院長勝訴免賠,他在高興之餘竟將判決書正本,含原告之住址等資料拍照後,PO上臉書供不特定人瀏覽,又被許控告違反個人資料保護法,今被檢方起訴。

起訴書指出,101年元月許姓男子將一隻波斯貓送到該動物醫院治療,由吳姓院長主治,但事後衍生醫療糾紛,許某控告吳姓院長並要求賠償。

但此案事後在沙鹿簡易庭判決駁回,在判決書正本上有原告、被告之住址等資料,吳姓院長高興之餘,將正本7頁拍照後,PO上動物醫院之臉書,供不特定人瀏覽,以此方式洩漏許某個資。

許某又來告洩漏個資,吳姓院長坦承不諱,檢方起訴。此法條可判處2年以下有期徒刑,併科20萬元以下罰金。意圖營利者處5年以下有期徒刑,併科100萬下罰金

轉載自《自由時報

英國議會呼籲社群網站簡化隱私條款

英國議會呼籲社群網站簡化隱私條款

針對涉及個人隱私使用的社群網路服務,英國科學與技術委員會 (STC)呼籲各個社群網路服務應大幅簡化使用條款,讓使用者能更容易了解個人隱私資訊將如何被使用,未來也將攜手資訊委員會共同制定社群網路服務使用條款標準與規範。

Facebook_2

根據英國科學與技術委員會 (STC)報告指出,認為目前常見社群網路服務使用條款多半過於冗長,無法容易讓人理解個人隱私資訊在服務內容將如何被使用,因此呼籲各個社群網路服務應大幅簡化使用條款,讓使用者能輕易了解。由於許多社群網路服務使用條款為將隱私政策詳細說明,經常造成內篇幅過長,因此讓多數使用者失去閱讀耐性。

在進一步發展中,科學與技術委員會也將與資訊委員會共同制定社群網路服務使用條款標準與規範,藉此讓各類社群網路服務參考使用。但目前諸如Twitter、Facebook等市場常用社群網路服務總部均位於美國,因此英國政府單位可能較無法直接影響此類社群網路服務調整其使用條款內容。

不過,對於社群網路服務使用條款過於冗長的問題,其實在更早之前便已有反應,例如Facebook等服務都曾表態調整旗下服務使用條款,並且將在2015年1月初開始推行全新款內容。

轉載自《UDN聯合新聞網

Uber乘客隱私被侵犯, 資料存取使用權惹爭議!

Uber乘客隱私被侵犯, 資料存取使用權惹爭議!


前些日子,外媒BuzzFeed記者爆出Uber的紐約高階主管,在沒經過這位記者允許下,透過Uber車輛追蹤搭乘者的所在地,因而引起Uber隱私爭議,也讓Uber首度在自己官方部落格上公布其隱私政策

這位BuzzFeed記者於今年11月初,搭乘Uber車輛到Uber的紐約總部與其經理進行採訪,但當這個記者腳剛踏出Uber車輛時,Uber的經理早就在門口等候,並且同時拿著手機說:「你終於到了!我剛剛才在追蹤你的位置。」

而據Uber前任員工表示,在Uber內部,要追蹤使用者的位置相當容易,只要使用一個稱作「God View」的工具就可以,God View可以顯示Uber車輛的所在地、以及每個人的叫車紀錄。Uber內部員工幾乎都可以看到這些資料,但是Uber司機無法使用God View。

Uber出面表示,他們對員工拿到乘客或司機的資料存取權,有嚴謹的政策,唯一的例外,就只有用在合法的商業目的上而已,例如解決司機與乘客的問題、監控詐欺帳號行為、與司機間的交易行為等。

目前Uber在全球46個國家提供服務,公司市值達180億美元。然而,隱私爭議卻不斷。

一位創業家兼作家Peter Sims表示,早在2011年的芝加哥Uber首乘派對上,Uber就未經同意下,同步顯示他的行蹤給在場所有觀眾,是一個他認識的好友也在派對上,傳封簡訊告知,他才知道自己的隱私被侵犯了。

華盛頓計程車工會主席就曾表示,Uber正在透過「資料」與傳統計程車司機進行不公平的競爭,Uber計畫之一,就是取得世界上從未見過的消費者搭乘習慣行為資料。

轉載自《Business Next數位時代

廚藝非機密 大廚開店免賠原餐廳

廚藝非機密 大廚開店免賠原餐廳



離職後遭控違反競業禁止條款,是勞工最不喜歡碰到的狀況,但最近類似官司卻不少。廖姓房仲離職廿四天後在原店家旁成立不動產公司,被判賠十萬元;兩名日籍廚師離開知名餐廳後,也遭控求償,但法院判他們的前東家敗訴。

廖姓男子在某知名連鎖房屋仲介公司任職八年,去年十月升任店長,十二月離職後不久,在他當店長的店家附近開店仲介不動產,還加盟到競爭對手體系,房仲公司懷疑,廖在受雇期間參與新公司設立工作,而新公司刊登的物件有多筆與他們房仲公司的內容相同,認為廖在職時洩漏營業秘密,提告索賠四百萬元。

廖則稱在職時未籌策新公司,離職前的業績也正常,索償違約金太高。法官認定廖違反公司規定拷貝資料,但沒洩密證據;若依雙方勞動契約約定洩漏營業秘密要罰「新台幣五百萬整」金額過高,且若為懲戒受雇人違約而重罰恐變成社會問題,判廖賠十萬元,讓他經濟上有剝奪感,以達懲戒目的

另外,台北一家知名日本料理餐廳聘雇兩名日本人擔任大廚與師傅,大廚不願重簽條件更嚴格的合約而離職、自行開店,師傅也在約滿後到大廚開的店工作,日本料理餐廳認為,當初簽約明定合約結束三年內不得從事相同性質的工作,違約就得賠償公司資本額三倍違約金,因此求償。

兩名日本人主張廚藝在來台前就已具備,並非前東家所教授,也不屬營業秘密,契約內容不公平。士林地院認為日本料理餐廳無法舉證有值得保護的利益存在,也無適當的補償措施,競業禁止條款不當限制工作自由,合約無效,兩名日本人不用賠。

轉載自《UDN聯合新聞網

2014年12月1日 星期一

運用Android官方開發除錯工具 還原LINE通訊證據 - 數位鑑識on LINE 萃取手機即時訊息跡證

運用Android官方開發除錯工具 還原LINE通訊證據
數位鑑識on LINE 萃取手機即時訊息跡證

近年通訊類軟體搭載智慧型行動裝置的列車發展快速,從初期只能用文字圖片傳遞訊息,到現行設計能夠視訊通話並且可組織聊天群組,溝通暢行無阻,這足以說明通訊的重要及被重視程度。通訊紀錄是了解使用者通訊活動的重要依據,是以本篇文章透過萃取LINE數位跡證的討論,讓大家了解目前行動裝置的鑑識工作與證據取證作業。

為什麼通訊軟體會如此蓬勃發展?從以前的MSN、Skype,到現行行動裝置上的App,如LINE、WeChat、KakaoTalk,風行原因其來有致,這類通訊軟體無非是呼應了一般人的需求——社交溝通。

以往只能用口述的方式來描述身邊的人事物,但這樣口述效果總是有限,看不到畫面、受限距離。而現在通訊軟體成熟地發展,傳送照片、語音、位置訊息都是容易辦到,甚至交友也包含其中。行動網路的應用服務調查結果顯示,擁有手機的使用者花費在手機的時間有21%是在社交通訊上,排行首位,其次才是娛樂、瀏覽網頁。

社交通訊軟體中,LINE是廣被人知悉且使用,甫推行半年,就有千萬的下載次數,豐富的卡通貼圖、簡單對話方式及貼心的訊息功能,讓人愛不釋手。正當大家為其瘋狂之際,面對LINE所產生的通訊紀錄,將是鑑識人員眼前的議題。

在LINE時,犯罪正悄悄地靠近,犯罪者利用LINE通訊功能易於組織群組的特性,進行犯罪合作並且散播犯罪或詐騙訊息,以獲取不法利益。在這樣情況下,萃取出犯罪者所使用行動裝置內的數位跡證便成了首要工作,鑑識人員可從數位跡證中證實犯罪者行為是否違法。

另外,近期BYOD(Bring Your Own Device)的概念逐漸興起,將行動裝置隨身攜至工作,代表除了犯罪者外,也說明了一般人越來越依賴行動裝置,靠著它完成更多有價值性的作業。

有此可見,行動鑑識是刻不容緩的工作,在通訊或其他軟體作業過程中所產生的紀錄,將是鑑識未來的重點,鑑識人員如同偵探般的角色,抽絲剝繭,層層蒐集數位跡證,從蒐集的數位跡證還原使用者的活動,證實違法行為。

國際市調機構IDC調查,Android系統的行動裝置市占率高達78.6%,遠高於其他的作業系統(iOS、Windows)。以下將探討LINE在Android行動裝置上產生數位跡證的萃取方法。

在此課題下,得先了解存在Android系統內的數位跡證是不同於電腦的數位資料,它不會顯示資料格式,且它的證據屬數位微證據(Small Scale Digital Device),行動裝置鑑識非同於電腦鑑識,不再是大容量資料的鑑識。以下開始介紹相關鑑識方法,如何萃取數位跡證,方能確保其證據能力。

相關知識說明 

相關背景介紹,可從隱藏的數位跡證及鑑識原則的遵守兩方面來加以說明。

隱藏的數位跡證

LINE的通訊功能讓人們的社交變得容易,但是這個被大家所喜愛的通訊軟體,正被犯罪人士利用來進行非法的活動,如販毒、色情交易、詐騙,獲取非法利益。

一旦這些非法活動發生時,所產生的數位跡證就是鑑識人員的目標。因為要還原犯罪活動,關鍵就藏在這些便利的通訊功能下所產生的資料,好比傳送好友資料時會產生通訊錄紀錄、聊天時所傳送的圖文訊息。

從以前GSM系統到現在Android、iOS等多種系統,抑或萃取跡證從簡單的文字資料(如簡訊、聯絡人通訊紀錄)到較為複雜App軟體所產生的數位跡證,行動裝置的鑑識與時俱進。

行動裝置一系列的進步,造成數位跡證的改變。以往使用GSM通訊,鑑識人員多從SIM卡萃取資料,如用戶的聯絡簿、訊息、通話紀錄等,但隨智慧型手機的發展,要滿足鑑識需求,萃取行動裝置所產生的資料已不能侷限於文字或資料存放的位置只在於SIM卡。這一波智慧型手機的資訊革命,鑑識技術是絕對需要持續地發展,如此才有辦法應付科技的進步。

鑑識方法中有兩種態樣作法,包括「非破壞性鑑識」與「破壞性鑑識」,從表1中可以看出,破壞性的萃取方法,有可能會存取到原始資料,影響到證據力,但卻可獲取較詳盡的資料,而邏輯性萃取則恰巧相反。

哪一種方式是最適當,並無絕對答案,因為鑑識方法的選擇端看鑑識人員須取得多詳細的資料以及評估行動裝置的情況而定。暫時先撇開鑑識方法不談,說明一下鑑識的過程,有效的過程是影響數位跡證的證據力,其重要性不亞於鑑識方法。

表1 鑑識方法的比較 


鑑識原則的遵守

從前述中了解到,當使用LINE的某一項功能時,都會產生一筆紀錄。從這些紀錄檔中可以知道使用者曾經於LINE進行的通訊活動。探究鑑識的重要性,無非是鑑識人員可以從萃取出來的數位跡證內還原事件。但數位跡證的萃取方式如何才是有效的,或者能保有證據力,皆是鑑識的竅門所在,以下列出五項鑑識原則來檢視鑑識過程是否合乎合理的程序:

1. 數位跡證的儲存位置
鑑識人員在知道調查內容下,如通訊紀錄、媒體檔案,要確切知道這些數位跡證的儲存路徑,以便萃取出數位跡證。一般情形下,App軟體會依檔案性質分類儲存,而這些儲存路徑也是初步簡單判斷紀錄檔內容的依據,如「/data/data/jp.naver.line.android/databases/」路徑下的檔案則可初步判斷為LINE所產生的檔案。但可惜的是,這些路徑常會因Android系統開發廠商的不同而有變動。

2. 蒐集方法
鑑識人員得視現場狀況來決定蒐集方法,如行動裝置有無開機的情況。在無開機的情形,通常會透過鑑識工具直接做Bit-by-Bit的複製工作,隨後再行分析。而若是在開機的情況下,為避免存取紀錄影響證據力,鑑識人員會選擇凍結存取後再行萃取複製資料。至此,蒐集工作還尚未完成,萃取出的紀錄檔還得傳輸至實驗室,實體傳輸(如USB)或網路傳輸(TCP、無線)可就與實驗室的長短距離或事件的急迫性來做選擇。

3. 正確性
鑑識人員萃取的檔案與原始的檔案必須相同,因此在完成前兩項的鑑識作業後,必須再確認數位跡證的完整性。

4. 一致性
為了確保萃取出的數位跡證的可信度,在同樣的鑑識過程/方法下,鑑識的結果要求一樣,都要屏除人為因素,萃取結果不會因人而異。

5. 實用性
隨著科技的快速發展,各類型的行動裝置也如雨後春筍般被推展出來。在這波趨勢中,希望鑑識流程/方法能套用各種裝置,否則假如每個裝置就有一種鑑識方法實為複雜,相對地鑑識人員也會消化不了。

LINE鑑識介紹

關於LINE的鑑識方式,以下從獲取LINE的備份、ADB工具的內涵兩個面向來加以探討。

獲取LINE的備份 

一連貫介紹下來,對於行動裝置的鑑識萃取應該已經有了基本上的認識。但面對LINE通訊紀錄的萃取,可以選擇哪些方法呢?底下先介紹在基於Root與否的狀況下如何進行鑑識。

需ROOT,非LINE自建備份的機制
不像iOS系統,當連接電腦時,部分Android系統會自動備份的資料多屬於通訊錄、影音照片、行事曆等,無法針對特定App中的資料進行自動備份。為此,App軟體市集中出現了能夠備份Android系統行動裝置的程式,如Titanium Backup、Root Explorer。但這些App必須經過Root程序取得最高權限後,才能運行。而更換手機時,就能藉由這些備份軟體將LINE的紀錄檔備份出來,並轉移到新手機。

以RootExplorer為例,如圖1所示,使用者在選擇所要備份的目標後即可將紀錄匯出。以LINE為例,在開啟RootExplorer時,會要求欲備份App的路徑,而路徑「/data/data/jp.naver.line.android/databases/」下便是為LINE的紀錄檔儲存位置,找到該位置後就能將LINE對話紀錄進行備份。


▲圖1 RootExplorer的備份功能。

無需ROOT,LINE的備份機制
除了利用上述兩種App軟體進行備份外,其實LINE本身也有針對聊天訊息設計了備份的功能。使用者可對單一聊天視窗進行訊息備份,並且能夠選擇以電子郵件方式傳送備份檔。LINE的備份機制共分為「文字檔.txt」、「LINE的檔案格式」兩類:

·文字檔.txt:選擇此方法儲存訊息者,無法將聊天訊息中的貼圖進行備份,只能就文字部分儲存。

·LINE的檔案格式:此方式下的備份,將前述文字檔無法備份貼圖的部分給補足了起來。但因檔案格式屬於LINE自家所設計,使用者唯有再透過LINE軟體才有辦法解讀訊息內容,若透過其他軟體(如WinHex)開啟,則為亂碼是無法查看LINE的通訊紀錄。如圖2所示,備份出來的資料名稱帶有唯一的序號名稱,當使用者開啟LINE時再選擇匯入即可還原。


▲圖2 LINE的訊息備份。

若使用者選擇以手機為儲存位置,如圖3所示,LINE會將備份訊息儲存至LINE_Backup的資料夾中。


▲圖3 以本機裝置儲存LINE的對話紀錄。

如表2所示,以上這兩種備份方式各有所長,但能不能結合所長取得更好的鑑識結果,亦即免Root也可取得完整的備份資料。答案是肯定的,可透過ADB(Android Debug Bridge)來進行LINE訊息的萃取備份。

表2 LINE有無Root所獲取備份訊息的優缺點


ADB工具的內涵 

關於ADB工具的內涵,接著就由使用環境及使用指令兩方面來加以探討。

使用環境
顧名思義,ADB是常被Android程式開發者所使用,方便檢測程式有無執行錯誤並進行除錯。ADB其實是屬於Android SDK(Software Development Kit)內的一項工具。

可這樣去想像,在Windows中為探查硬體設備與系統的執行狀況,會執行「CMD(命令提示字元)」並輸入一系列的DOS指令查看詳細狀況。同樣地,程式開發者為了解Android系統與行動裝置間運行狀況,則透過了API(Application Programming Interface)介面來執行ADB指令操作或管理Android系統。

使用指令
那麼如何使用ADB指令讓鑑識人員能夠將儲存在行動裝置內的LINE通訊紀錄匯出呢?先介紹一下備份/還原訊息的指令及其所產生的備份檔,如下所示:



備份LINE App紀錄時,可先檢測是否正確連接上裝置,請執行「adb device」指令。若成功連接,則會顯示連接裝置的名稱(圖4),若無則除了可能連接不良外,也須確認行動裝置是否有開啟「USB debug mode(USB偵錯模式)」。確認後,上述的參數意義如表3所述。


▲圖4 執行adb指令,偵測連接行動裝置的型號。

表3 ADB各參數意義說明 


透過執行ADB指令,可以對Android行動裝置進行操作與管理,以本文探討的LINE為例,當鑑識人員面對所要萃取行動裝置內LINE的通訊活動紀錄時,就不需要透過Root(取得最高權限)的程序,只要執行相關ADB指令就可以獲取詳細的資料,避免了破懷數位跡證的疑慮。

實例演練

隨著犯罪走向智慧化及組織化後,調查犯罪案件已不是單打獨鬥所能夠應付的。現有,調查人員掌握一門犯罪組織販售毒品的消息,其中該組織內甲員進行毒品交易時被調查人員發現隨即逮捕。

但嫌犯甲聲稱販售毒品乃個人行為,非有其他犯罪組織支持,在未證實嫌犯甲所述事實前,調查人員遂將嫌犯甲平日所使用平板電腦進行查扣,並交於鑑識單位。調查分工中,鑑識人員負責將平板電腦內的數位跡證進行萃取備份的動作。在平板電腦中,鑑識人員發現嫌犯甲有使用LINE通訊的習慣,懷疑販毒集團是以LINE為通訊方式作為犯罪溝通,於是鑑識人員著手進行LINE數位跡證的萃取工作:

1. 確定行動裝置

嫌犯甲所使用的平板電腦屬於Android系統,在考慮數位跡證的證據力情況下,鑑識人員開啟USB Debug Mode(USB偵錯模式)並執行ADB指令,萃取LINE的通訊紀錄。

2. 執行ADB指令 

不需Root情況下,執行ADB指令能將LINE通訊紀錄備份至指定儲放位置,鑑識人員執行備份指令「adb -d backup -apk jp.naver.line.android -f backup.ab」,將儲存在平板電腦中的數位跡證(LINE)備份出來,如圖5所示。


▲圖5 執行ADB指令,備份LINE通訊紀錄。

3. 還原備份檔

調查分工中,鑑識人員將儲存於嫌犯甲平板電腦內LINE紀錄備份出後,便將該平板電腦交於其他調查單位進行其他偵查活動。

針對所備份的LINE紀錄(backup.ab),鑑識人員準備一台乾淨未有其他數位紀錄的Android手機進行還原。執行「adb -d restore backup.ab」將LINE紀錄備份檔還原至另一裝置中,如圖6所示。


▲圖6 嫌犯甲LINE紀錄備份成功還原至另一手機。

還原成功後,在手機執行LINE,鑑識人員發現嫌犯甲販賣毒品的紀錄及其他疑為嫌犯甲犯罪集團內的其他成員名稱,如圖7所示。


▲圖7 嫌犯甲LINE的通訊紀錄及成員名稱。

結語 

科技來自於人性,通訊軟體的發展是人們對於社交的需求。Anytime/Anywhere的通訊已然是趨勢,但在享受便利之餘,也必須考慮它帶來的負面影響——「通訊犯罪」。

如本例中所述,非法人士可以透過通訊軟體LINE進行犯罪活動,如販毒或組織犯罪團體,甚或進行更複雜及有效率的非法活動。所以,當有這類的情事發生時,鑑識人員該如何萃取通訊軟體所產生的跡證就非常重要了。另外,關於BYOD概念的推行,可預想鑑識趨勢將會在於行動裝置上的微證據萃取分析。

本文以台灣下載率很高的LINE作為探討對象,當非法人士透過Android行動裝置進行非法活動通訊時,鑑識人員可以萃取相關的數位跡證,取得關鍵訊息/對象,得以證實非法人士的活動。

<本文作者:中央警察大學資訊密碼暨建構實驗室(ICCL),民國87年12月成立,目前由王旭正教授領軍,實驗室成員共有20名,並致力於資訊安全、資料隱藏與資料快速搜尋之研究,以確保人們於網際網路世界的安全。(http://hera.im.cpu.edu.tw)>

轉載自《網管人

2014年11月27日 星期四

報導:Sony Pictures被駭有內鬼,疑是外聘人員爭工作平等所為

報導:Sony Pictures被駭有內鬼,疑是外聘人員爭工作平等所為


「我們要平等,Sony不肯,這是一場艱難的戰爭。」這名自稱為 lena 的駭客並未明確說明入侵方法,但表示,Sony 公司大門沒關,因此他們和其他有類似利害關係的員工合作而成功入侵。The Verge 認為,這些話暗示駭客可能和 Sony 有某種形式的僱用關係。

根據 The Verge 報導,一名自稱是駭客的人聲稱,日前發生的索尼影業(Sony Pictures)駭客入侵事件是在公司員工協助下完成,而入侵的目的是為爭取「平等」。

Sony Pictures 內部網路周一遭到署名 #GOP 的駭客入侵,當天公司內所有員工的電腦都出現一個聳動的畫面,威脅 Sony 如果不遵從其要求將公佈機密資料。該事件也迫使 Sony Pictures 公司所有電腦下線,全體員工改為在家上班。

先前 The Verge 報導時曾寫信向駭客組織提出問題,後來收到自稱是組織成員的人發出的電子郵件回信。他在郵件中表示:「我們要平等,Sony 不肯,這是一場艱難的戰爭。」這名自稱為 lena 的駭客並未明確說明入侵方法,但表示,Sony 公司大門沒關,因此他們和其他有類似利害關係的員工合作而成功入侵。駭客並表示,為了團隊的安全不能透露太多。The Verge 認為,這些話暗示駭客可能和 Sony 有某種形式的僱用關係。

Sony官方目前對此仍三緘其口,僅在昨日對率先報導該事件的 Dealline 說明公司正在調查這起「IT事件」,Sony 並對 Deadline 證實,Sony Pictures Entertainment 出現系統毁損,正在儘力回復當中。

轉載自《iThome

2014年11月23日 星期日

能源公司系統老舊資安薄弱,美國能源設施一年遭駭 79 次

能源公司系統老舊資安薄弱,美國能源設施一年遭駭 79 次

NSA-Main

隨著智慧電網的呼聲日高,很多人擔心電網若越來越智慧化,會不會讓科幻電影中駭客入侵能源網路的情節成真,不過,事實是,即使今日的「笨蛋」電網,也一天到晚受駭客入侵,據美國國土安全部(Department of Homeland Security,DHS)的計算機緊急應變小組(Computer Emergency Readiness Team)調查,2014 年度,美國能源設施遭駭客入侵 79 次,而 2013 年度更多達 145 次。

而根據 ThreatTrack Security 統計,2013 年 4 月到 2014 年 4 月,美國能源公司有 37% 遭駭客成功入侵。而根據 Verizon 於 2014 年的研究,在所有企業中,能源企業遭駭客入侵程度最為嚴重。

為何能源公司特別容易入侵?主要原因在於目前能源公司的系統老舊,幾乎都是 1970 年代的產物,由於更換系統必須暫停供電好一段時間,以進行更新與測試,為了避免電力中斷,於是能源公司抱著「能撐就撐」的心態,只要沒有太大問題,就傾向於一直使用舊系統,但是 1970 年代的設計,缺乏許多現代的資安觀念,因此漏洞百出,非常容易遭駭客入侵。

這問題之嚴重性不言可喻,為此,美國國土安全部與聯邦調查局(FBI)特別巡迴全美,向電力公司簡報,說明資安漏洞對電力網路的危險性,以免它們繼續因循苟且。

系統交錯雜亂,駭入接管難度高

既然如此,那麼為何至今尚未出現科幻電影中,駭客入侵癱瘓整個電力網路的事件呢?

首先,能源公司還是有一些基本的防範,如辦公室電腦與實際控制重要設施的電腦在物理上分開,此外基本的防火牆也有幫助,但最主要的原因是,電力網路上連結的各種不同機電系統實在太多了,要一一駭入這些各自為政的機電系統,統一用一個駭客軟體操作,以達到癱瘓電網的目標,工程實在有點浩大,想不到因為系統繁雜反成了另類的保障。

與其如此,還不如利用集中式電網的輸配網路實體弱點,拿起槍去打壞變電箱,更有效率些。

這可不是開玩笑,2013 年 4 月 16 日,加州就發生一起攻擊事件,攻擊者持狙擊槍在變電所監視器監視範圍外,瞄準變電箱開槍, 20 分鐘內連開 150 槍,破爆了 17 個變電器,加州的太平洋瓦斯電力公司(Pacific Gas and Electric,PG&E)緊急調度,繞開受損電路,才有驚無險,否則將造成矽谷地區大停電。

硬體破壞威脅更大

這個事件讓美國政府警覺傳統集中式電力輸配網路在安全上的弱點。在台灣,雖然電力網路還沒有遭到恐怖攻擊破壞的經驗,但中台灣電塔因天災倒塌,就造成全台大停電,也顯示出集中式電網的易受攻擊,若是有人為故意破壞,用電安全難保。

專家認為,目前電網輸配硬體遭到破壞的風險,遠比駭客入侵來得大,對有意攻擊者來說,直接破壞硬體也比駭客入侵簡單得多。但是,當電網逐漸進入分散式時代,狀況就會大有不同,分散式系統下單純破壞輸配硬體,無法造成大規模停電,因為許多家戶、社區都有自有電力來源,還有微電網可互通有無,如此一來,要造成電力系統大癱瘓,就得透過駭客入侵電網的調控軟體,同時讓分散各處的所有系統一起當機。

因此,現在的駭客入侵,或許用意只在於「練兵」,所以至今仍未引起任何事故,但是能源安全與國防、經濟息息相關,美國已經開始注意能源系統的資安問題,以杜絕敵對勢力或單獨駭客破壞能源網路的可能性。

Hackers attacked the U.S. energy grid 79 times this year
(首圖來源:vocativ

轉載自《TechNews 科技新報

2014年11月21日 星期五

國安局證實 中共「網軍」多達18萬人

國安局證實 中共「網軍」多達18萬人


國安局長李翔宙今(20)日證實,中共「網軍」多達18萬人。對此,國防部次長高天忠對此表示,我國軍目前只進行電子防護,並以模擬紅軍方式對國軍進行攻擊與防護,未來將進行調整,讓敵人「進不來、進得來出不去」。

立院外交國防委員會今天邀請國安局、國防部等單位,報告中國網軍入侵我國政府機關情況,以及我方的資安防護、反擊能力。

國安局在報告中明白指出,中共解放軍負責網路戰的單位包括:解放軍總參謀部、7大軍區、國防科研機關、各級院校等,負責統合相關部會職能,平時主責網路竊密滲透,戰時負責網路攻擊,並且暗中扶植民間駭客組織,從旁協助網路間諜活動,據「美中經濟委員會」報告評估,人數高達18萬,還另成立「中央網絡安全及信息化領導小組」,以統合相關部會職能,藉由頂層設計、統籌規劃、創新發展等,將中共建設為網路強國。

國安局表示,該局網站在過去1年間,遭到網路侵擾事件總計722萬6600多次,其中惡意行為達23萬8700多次,不過,均遭防禦阻絕,未造成傷害。

至於中共「網軍」的攻擊手法,李翔宙表示,在「人員滲透」方面,先廣泛蒐集我政府部門、研究機構、黨團組織工作人員或政治幕僚的個資,例如電郵帳號、工作職務、聯絡電話等,之後再利用適當時機,散布容易令人誤會的電子郵件如新聞事件、首長行程等,目標對象一旦開啟信件,就可能被植入木馬病毒。另外,中共也會在惡意程式內崁入動態或特定網址,導向已部署完成中繼站後,再採遠端連線通道保護方式操控中繼站,遂行滲透竊密或實施毀癱攻擊。

李翔宙認為,現在各政府部門資訊系統、網防設備等,大多採委外方式研建或維管,中共利用這項漏洞,輾轉駭侵各機關委外廠商、軟體開發或服務供應商,盜用廠商維管人員遠端管理權限,迂迴遂行網路網路滲透陰謀,對我國的攻堅範圍有擴大情形。

李翔宙也強調,由於我政府及國人行動裝置包括智慧型手機、平板等持續攀升,去年就高達1053萬人,中共除了持續攻擊政府網通裝備外,研判將著手研製各類惡意行動APP應用程式,駭侵個人行動裝置,以從中竊取特定目標敏感資訊,如電郵帳密、通聯情形甚至通話內容等。

至於中共監聽台灣軍政單位通訊的能力,李翔宙說,由於中共大約每2、3個月就更換一次模式,「顯示我方防範應該有一定的效果」。

轉載自《Yahoo奇摩新聞

2014年11月18日 星期二

那一種更好?淺談 Hyper-V 與 VMware ESXi 架構不同之處

那一種更好?淺談 Hyper-V 與 VMware ESXi 架構不同之處


Hyper-V 與 VMware ESXi 對於 IT 人來說並不陌生,而要數不同之處有很多,其中最直接簡單,就連不懂 IT 的都知,就是 Hyper-V 要比 VMware 便宜(在大部份情況下);而較為深入一點的則可以說 Hyper-V 與 VMware ESXi 之間在架構上的大不同;然而很多虛擬化管理員並未意識到這些差異;而就我們所見,很多管理員對為甚麼 Hyper-V 直接於主機操作系統上運行而感到困惑。

有關微軟 Hyper-V 的一個常見誤解就是安裝 Hyper-V 需要使用 Windows 操作系統,Hyper-V 運行在主機操作系統之上而不是直接安裝在裸機上。有必要指出一旦 Hyper-V 角色通過 Server Manager 啟用,hypervisor 代碼實際上是被配置為在 Windows 核心空間之內。運行在核心空間的組件能夠直接與硬件溝通,這同樣適用於 Hyper-V。另一方面,VMware 的 ESXi 採用了完全不同的方式,ESXi hypervisor 被封裝成一個單獨的 ISO 文件,它實際上是一個 Linux 核心操作系統。

Hyper-V 和 ESXi 都是 Type 1 hypervisor。Type 1 hypervisor 直接運行在硬件之上,從設計上能夠將 Type 1 hypervisor 進一步劃分為兩類:microkernelized 和 monolithic。microkernelized 設計與 monolithic 設計有一些細微的分別,那就是設備驅動位置以及其控制功能。

Hyper-V 與 VMware ESXi 的不同之處

在 monolithic 設計中,驅動被作為 hypervisor 的一部分。VMware ESXi 使用 monolithic 設計落實所有虛擬化功能,包括虛擬化設備驅動。自從首次推出虛擬化產品以來,VMware 一直在使用 monolithic 設計。由於設備驅動包含在 hypervisor 層之中,在 hypervisor 代碼的幫助下,運行 ESXi 主機之上的虛擬機能夠與物理硬件直接溝通,不再依賴中間設備。

微軟 Hyper-V 架構使用了 microkernelized 設計,hypervisor 代碼運行時沒有包括設備驅動程序。設備驅動安裝在主機操作系統內,虛擬機與硬件設備連接的請求交由操作系統處理。換句話說由主機操作系統控制對硬件的連接。有兩種類型的設備驅動運行在主機操作系統內:合成與模擬。合成的設備驅動要比模擬的更快。只有在虛擬機上安裝了 Hyper-V 集成服務時虛擬機才能夠與合成設備驅動進行溝通。集成服務在虛擬機內採用了 VMBus/VSC 設計,使直接與硬件溝通已非不可能的任務。例如,為與實體網絡卡溝通、虛擬機內的網絡 VSC 驅動會與運行在主機操作系統內的網絡 VSP 驅動進行通信。網絡 VSC 與網絡 VSP 之間的通信發生在 VMBus 之上。網絡 VSP 驅動使用虛擬合成設備驅動庫直接與實體網絡卡溝通。運行在主機操作系統內的 VMBus,實際是在核心空間內運作的,而其目的就是改進虛擬機與硬件之間的通信問題。如果虛擬機沒有進行 VMBus/VSC 的設計,那麼只能依賴於設備模擬,性能會是如何不用多說。

無論虛擬化廠商選擇哪種設計,必須要有一個能控制 hypervisor 的功能。控制功能有助於建立虛擬環境。微軟 Hyper-V 架構在其 Windows 操作系統內進行控制。換句話說,主機操作系統控制直接運行在硬件之上的 hypervisor。在 VMware ESXi 中,控制功能在 ESXi 核心之中,並利用了 Linux shell 進行控制。

那一種設計更好?

很難說哪種設計更好。然而,每種設計都有各自的優勢與不足。由於設備驅動被編碼為 ESXi 核心的一部分,所以只能夠在被 VMware 支援的硬件上安裝 ESXi。而微軟 Hyper-V 架構不存在這種限制,能夠在任何硬件上運行 hypervisor 代碼。這降低了維護設備驅動方面的支出。使用 microkernelized 設計的另一個優勢在於不需要在每台虛擬機上安裝單一設備驅動。毫無疑問 ESXi 也部署了直接與硬件溝通的虛擬化組件,但你無法增加其他角色或服務。儘管不建議在 hypervisor 上安裝任何其他角色及功能,但運行 Hyper-V 的主機還可以被配置為具有其他角色,例如常見的 DNS 以及故障轉移集群等,這就是常說的 IT 靈活性;至於是否於 hypervisor 上安裝種種不同的東西,那則要視乎管理人員的技術及能力,並非官方或坊間不建議而不做,而是評估能力及形勢後,再想想是否可行;想清楚、對艱難的事下決定,IT 人價值高低,由此區分。

轉載自《HKITBLOG

2014年11月13日 星期四

雲端儲存資料安全嗎?5 大劣勢逐個捉

雲端儲存資料安全嗎?5 大劣勢逐個捉


在過去幾年,使用雲端資料保護的方式流行起來。但即使如此,基於雲端的資料保護也並非盡如人意。以下就是它的五大劣勢:

1.資料安全
人們提出首要的異議大概就是雲端存儲的漏洞了。如果資料存儲在雲端中,在你的DataCenter之外,你並沒有對資料保護的直接控制權。這些都增加了安全性漏洞導致的雲端資料外洩可能性。

2.隱私
另外一個拒絕使用雲端的原因就是對於私隱資料的重視。畢竟,無法證實供應商是否會讀取、甚至利用你的資料。不過卻曾被揭開過有雲端存儲供應商會收集客戶電子郵寄地址資料。

3.持續的成本
還必須考慮的一個重要因素就是持續上升的成本。雲端服務供應商一般基於消費空間大小,客戶產生的I/O Workload計算收費。這些費用將沒有終結。如果一個組織將一份檔案複制到雲端,雲端供應商就會為檔案所占用的空間計算費用。

4.長久的恢復時間
另外一個基於雲端的災難復原時間問題。平心而論,確實有供應商提供即時恢復能力。許多組織都採用混合雲,用設備恢復雲端資料的方式來實現快速恢復。然而,如果恢復行動不得不從雲端中進行,Bandwidth 限制帶來的結果將緩慢無比。

5.雲端供應商潛在故障
如果雲端供應商故障的話,雲端的資料保護就並不理想。雲端供應商很有可能使用Redundancy硬件來保護資料,一但供應商服務中斷會發生什麼事情?如果你依賴採用雲端進行主要的資料保護作用,建議你還是三思而後行。

轉載自《HKITBLOG

釣魚電郵資安測驗 考試院連續被當

釣魚電郵資安測驗 考試院連續被當

大陸駭客屢屢攻擊我政府部門,為加強我公務人員資安意識,考試院最近舉辦「社交工程演練」,模擬駭客寄發電子郵件,結果竟有一成五的受測者受騙上當、開啟郵件,其中近一半還點閱了郵件連結或者檔案,以考試委員和助理最多。

圖/聯合報提供

行政院資安會報將考試院列為資安的A級(重要核心)單位,測試信的開信率應低於百分之十,點閱率應低於百分之六才及格。但考試院今年兩次測試,平均開信率達百分之十五,點閱連結比率達百分之七點三,雙雙不及格。

考試院秘書長李繼玄說,對此測試結果「嚇一跳」,若「累犯」禁不起誘惑,一個人不慎,可能就害了整個機關。考試院十一月會再測試,再度亂點不明電子郵件的「累犯」,就要參加講習,之後若再受騙被「釣」,就要公布姓名。

考試院秘書處昨天在考試院會報告指出,十月就受到七萬多次網路攻擊。「社交工程」利用人性弱點,用簡單溝通和欺騙技倆,獲取帳號及機密資料,是近年電腦駭客慣用入侵手法。

考試院上月寄發全體人員測試郵件,包括技工工友、職員到考試委員,主旨包括「土豪最愛!六大名流最愛度假勝地」、「遊泰國免簽證費,網路訂房特惠只要二五折」、「黑心餿水油導致男性不孕」等,測試資安意識。結果全院二三三人當中,有卅二人開啟郵件,十五人點進郵件內附加連結或檔案。

宣導後再複測,寄件主旨包括「日本七大城市飯店下殺四五折」、「長照費用將跟著健保費一起收費」及「台灣之星4G開台月繳五九九元吃到飽」等,開啟郵件的人更多,有卅八人,點閱附加連結有十九人。

昨天有考委在院會指出,測試結果顯示,上當被「釣」的人數考委最多,考委應自我反省。

原文出處:聯合報
轉載自《UDN聯合新聞網

2014年11月6日 星期四

iWorm為Mac安全防護敲響警鐘?新蠕蟲感染1.7萬台蘋果Mac電腦

iWorm為Mac安全防護敲響警鐘?新蠕蟲感染1.7萬台蘋果Mac電腦


一個新發現的蠕蟲病毒已經感染了全球超過1.7萬台Mac電腦。這種名為 “iWorm”的惡意軟體專門針對運行Mac OS X的蘋果電腦,能在被感染的Mac電腦上執行多種命令,竊取使用者資料、遠端遙控系統。目前,蘋果已經針對該惡意軟體更新了防病毒碼庫。

iWorm侵入系統後,會創建一個系統檔,並打開一個埠來請求控制伺服器以獲得駭客的下一步指示。這一惡意軟體的特別之處在於,其能調用Reddit的搜尋服務,以獲得「Botnet傀儡殭屍網路」的伺服器清單。目前,Reddit已經阻止了惡意軟體對搜索服務的請求,但駭客仍可能利用其它搜尋服務來獲得伺服器清單。

該惡意軟體在使用者系統上留存的後門可被用於接收、執行各種任務,例如竊取使用者敏感資訊,執行惡意軟體指令,它也可以更改軟體配置或使Mac處於休眠狀態。當駭客控制這些Mac電腦之後,還可以利用其發送垃圾郵件,發動DDoS攻擊。

雖然大多數的惡意軟體針對Windows系統,但這並不表示Mac系統的使用者就可以高枕無憂。實際上,隨著Mac電腦用戶的逐漸增多,針對Mac系統的惡意軟體正有不斷增多的趨勢,用戶萬不可掉以輕心。

Mac系統的使用者如果想確定是否被該惡意軟體感染,最簡單的方法是輸入資料夾路徑“/Library/Application Support/JavaW”,如果系統找不到該資料夾,就說明電腦就是安全的。如果找到了該資料夾,就說明電腦有很大可能已感染此惡意軟體。

企業該注意什麼?

當有許多新聞報導全世界出現數以萬計的 iWorm 受害者時,你的企業是否有著良好的 Mac 安全防護計畫?當 iWorm 感染一台Mac電腦時,惡意軟體會和網路上的命令與控制(C&C)伺服器建立連線。這和C&C伺服器的連線可以在之後用來進行更多惡意任務,包括竊取個人或公司資料、安裝其他惡意軟體,變更設定和其他更多動作。iWorm甚至展示出一些有意思的創意,會透過在受歡迎的Reddit網站論壇來和其命令與控制網路通訊。

也許你的Mac或企業沒有受到影響,但這起事件再次地提醒了Mac電腦並非免疫於惡意軟體這件事實。事實上,在過去幾年內,我們的研究結果也顯示Mac越來越被當作為攻擊的目標,不僅是出現在針對性攻擊,甚至也受到最近的Shellshock影響。這裡有一些例子:

Shellshock:攻擊針對Mac
●針對性攻擊也針對Mac:一起和西藏相關的攻擊活動針對Windows和Mac系統
OSX_FLASHBCK打破Mac OS不易中毒的說法
一般的Mac威脅

原文出處:Is iWorm a Wake-Up Call for Mac Security? 作者:Andrew Stevens
轉載自《網路安全趨勢

八種駭客用來竊取企業資料的後門程式技巧(內有白皮書)

八種駭客用來竊取企業資料的後門程式技巧(內有白皮書)


後門程式可讓駭客從任何網路遙控缺乏防護的電腦,包括公共網路、家用網路或辦公室網路。透過一些所謂的後門程式技巧 (也就是後門程式所做的工作),駭客就能暗中下令電腦竊聽使用者線上聊天內容、連上受感染的網站、複製密碼等等。

當 IT 系統管理員在電腦系統上發現後門程式時,很可能歹徒早已暗中蒐集有關其網路的重要資訊。此外,也代表駭客早已準備進入鎖定目標攻擊流程的第三階段,也就是建立其幕後操縱 (C&C) 通訊。若照這樣繼續發展下去,駭客最後將偷到一些可讓他們販賣或用於其他惡意用途的資訊。

下載完整的研究報告:鎖定目標攻擊所使用的後門程式技巧 (Backdoor Use in Targeted Attacks)

為此,趨勢科技研究人員特別觀察駭客使用後門程式來操控目標網路的方式,截至目前為止,我們發現駭客最常使用的後門程式技巧有八項:

1.將後門程式綁定某個通訊埠。
若網路上沒有架設防火牆,駭客就能輕易透過電腦的某個通訊埠來進行後門通訊,也就是連接埠綁定。一旦後門程式綁定某個連接埠,駭客就能自由地與該電腦通訊,進而輕易加以掌控。

2.透過後門程式穿越防火牆。
若網路上架設了防火牆,駭客可利用反向連線的技巧來通訊。駭客會修改後門程式來檢查可用及沒有保護的連接埠以進行通訊。如此,後門程式就能穿越防火牆和防護軟體的封鎖。一旦後門程式找到一個可用的連接埠,就能連回駭客的幕後操縱 (C&C) 伺服器。

3.後門程式檢查可用的連線以傳輸檔案。
通常,駭客還會利用後門程式來搜尋可用的連線,以躲避入侵防護系統 (IDS) 的偵測。駭客一旦找到可用連線,就能經由後門程式暫時連上系統並進行其他惡意活動,例如傳輸檔案。

4.後門程式透過社群網路連上幕後操縱伺服器。
在這個案例當中,駭客會讓後門程式利用一般合法的社群網站。駭客會將幕後操縱的指令存放在某些部落格網頁或網路硬碟空間,然後讓後門程式連上這些服務。

5.後門程式透過常見的網站服務與駭客通訊。
有些後門程式會利用一些常見的服務通訊協定來將資訊回傳給駭客,例如:Gmail、Windows Live Messenger 或 AJAX 即時通訊。

6.後門程式可能變換通訊協定。
為了躲避偵測,後門程式會變換與幕後操縱伺服器連線的通訊協定。例如,我們的研究人員就發現 PlugX 的變種使用的是 UDP 通訊協定,而非一般常用的 TCP 通訊協定。

7.透過後門程式使用自訂的 DNS 查詢以躲避偵測。
駭客避免被列為黑名單的方式之一,就是利用後門程式向外部網站服務發出自訂 DNS 查詢,透過這項技巧就能查詢到幕後操縱伺服器真正的 IP 位址。

8.後門程式重複使用已開啟的連接埠來監聽網路。
能夠取得作業系統各種權限的後門程式,可讓駭客重複使用目標電腦上已開啟的連接埠。

正因駭客口袋裡有這麼多的後門程式技巧,IT 系統管理員應小心注意其網路是否潛藏任何漏洞。要達到這項目標,系統管理員必須仰賴必要的解決方案和專業技能來監控網路並且偵測惡意活動。

原文出處:Using 8 Backdoor Techniques, Attackers Steal Company Data
轉載自《網路安全趨勢

2014年11月2日 星期日

HITCON 資安技術論壇 - 駭客角度講資安系列

HITCON 資安技術論壇 - 駭客角度講資安系列

HITCON 團隊針對近日較嚴重之資安事件進行研究及探討舉辦一個 Free Talk論壇,將同步直播到網路上歡迎大家一同參與。

投影片網址:http://blog.hitcon.org

2014年10月28日 星期二

安卓手電筒App 竊GPS個資

安卓手電筒App 竊GPS個資


不少智慧型手機用戶會下載免費手電筒App,除可夜間照明,還能在演唱會製造手機燈海。但美國專家警告,部分安卓系統手電筒App會趁機竊取使用者資料,提供給第三方廣告商、市調機構,甚至被罪犯利用。

英國《每日郵報》前天報導,美國網路安全公司SnoopWall日前調查前10名熱門安卓系統免費手電筒App,發現這些App竟存取用戶GPS定位與Wi-Fi連線紀錄等,甚至會刪除手機內USB儲存內容。

鏡頭貼膠帶防偷拍

其中以「Super-Bright LED Flashlight」存取項目最多,「Brightest Flashlight Free」、「High-Powered Flashlight」、「Brightest LED Flashlight」等也有隱私疑慮,約數百萬安卓用戶受影響。

報告稱,這10款手電筒App全都存取拍攝錄影功能,其中3款可追蹤GPS紀錄、4款可刪除手機USB儲存內容。對此Google回應,會移除違規App。SnoopWall建議,下載App前詳閱存取說明,非必要時可關閉GPS及藍牙、在鏡頭及麥克風貼紙膠帶防偷拍、竊聽。SnoopWall也開發安全手電筒App「Privacy Flashlight」供下載。

轉載自《蘋果日報

2014年10月27日 星期一

顯示電信業者別 M+判違個資法

顯示電信業者別 M+判違個資法

台灣大哥大公司利用手機可攜碼資料庫,開發名為M+Messenger的APP通訊軟體,交由關係企業酷樂公司推廣,消費者下載後,手機通訊錄會顯示朋友手機是哪家電信公司,有民眾主張違反個人資料保護法,起訴索賠五百元;台北地方法院認定台哥大違法利用資料庫內容,侵害人格權,應與酷樂公司連帶賠償五百元

據了解,另有其他手機用戶陸續向台北地院起訴M+違反個資法,除索賠外,並要求刪除資料。根據管理資料庫的電信技術中心官網揭示,資料庫有約二千八百萬筆手機號碼資料,扣除公司門號,潛在求償群十分可觀,若後續有其他消費者跟進訴訟,將衍生為個資法實施以來最大宗的賠償案。

台哥大及酷樂否認違法,委由律師主張,M+是為讓消費者判斷朋友的門號屬網內或網外,以節省話費支出的合理使用,符合公共利益;且電信業者別是公開資訊,無關個人資料,NCC也要求業者提供「57016」專線供消費者查詢。

國家通訊傳播委員會(NCC)開放手機可攜碼服務後,各家電信業者依管理辦法共同建置資料庫,並通報、提供、查詢、交換攜碼用戶資料,再授權電信技術中心匯整管理提供給各業者。

台灣隱私權顧問協會前秘書長劉佐國前年將手機攜碼由中華電信轉到遠傳,後因朋友下載M+的APP程式,他從朋友手機上看到顯示他的手機是哪一家電信公司。劉認為,各電信公司不能將資料庫用於商業行銷,開發程式供民眾下載營利;且依管理辦法規定,資料庫適用個資法,並應保密

劉提告主張,手機門號的業者別足以間接識別其個人資料,台哥大及酷樂共同不法蒐集、利用,侵害他人格權,兩家公司應連帶賠償五百元。

法官朱耀平指出,電話門號與身分證號碼、姓名及其他社會資料相互比對、組合、連結、勾稽,可間接識別出特定人。門號所屬的電信業者別,同樣可間接識別個人的社會活動,也受個資法,若任意蒐集、利用,藉以間接識別特定個人,會有使當事人遭不當窺探、侵擾或行銷的危險

判決指出,台哥大未經劉同意,將劉的電話業者別資料傳給他人,已逾越合理利用資料庫範圍,侵害劉的人格權。至於「57016」專線,只供查詢網內或網外,與M+揭露那家業者不同。

台灣大:將提上訴

台灣大哥大表示,M+Messenger設計時,基於服務消費者,透過標示電信業者的功能設計,希望用戶可以利用網內互打,控制通話費;對於用戶有認知上的不同,表示遺憾,對法院判賠將會提出上訴。

延伸閱讀:

電信業者別 重要嗎?

「我爭的是個人資料的尊嚴」,起訴要求台哥大賠償的劉佐國指出,企業應該更尊重個人資料、尊嚴及個人感受。

劉佐國說,很多人可能會想,手機號碼的業者別有什麼重要?但的確有人因此受到影響。例如,曾有一位女子向台灣隱私權顧問協會投訴,指上司有意追求,每天打電話給她。她不好拒絕,就換電信公司,並委婉告知上司,別花費太多錢打電話。不料上司說,沒關係,他下載了M+,他的門號已轉至與她同家電信公司。女子氣炸了,打電話反映,但酷樂公司表示「一切合法」。

他指出,在訴訟前,他曾向台哥大及國家通訊傳播委員會反映M+違反個資法的情形,但沒有受到重視;起訴後第一次調解庭,他也向對方律師建議,如果台哥大願意改正,他就撤告,但律師堅持台哥大沒有錯,官司只好打到底。

劉佐國曾任職法務部,參與個人資料保護法的研修,已退休,目前是台灣隱私權顧問協會的義務顧問。

轉載自《UDN聯合新聞網

2014年10月23日 星期四

以sagan解析網站Log 即時監控惡意存取行為

把網站伺服器CLF通用記錄格式 轉為syslog比對規則
以sagan解析網站Log 即時監控惡意存取行為

檢視系統紀錄,透過異常的狀況找出惡意存取的行為,看似簡單其實非常複雜,若沒有相關工具輔助,猶如大海撈針。對此,本文將網站紀錄轉換成syslog格式,並傳遞給sagan比對,善用sagan所定義的規則來找出惡意的網站存取行為。

身為系統管理者,應該沒有人會忽視系統紀錄(Log)的重要性,隨時檢視系統紀錄來查看是否有異常的紀錄,相信也是系統管理者每天常態的工作項目之一,但原始的系統紀錄過於繁雜,如果沒有工具的輔助,是很難從中看出任何端倪,也因此有了sagan之類的工具。

sagan是一套利用即時監控系統Log紀錄來與所設定的規則(Rule)比對,並記錄符合規則樣式的主機型入侵偵測系統,但其美中不足的地方在於,sagan僅支援syslog格式的紀錄,對網站的紀錄格式則有力有未逮之憾,因此本文將介紹如何將網站紀錄轉換成syslog格式,並傳遞給sagan做為比對,利用sagan所定義的規則來辨識出惡意的網站存取行為。表1所示為本次所使用到軟體。

表1 實作所需軟體 


syslog說明

syslog是一種應用在網路中傳遞紀錄檔訊息的標準,採用主從式(Client-Server)的架構,其中用戶端(Client)利用UDP或TCP的通訊協定傳送出一個標準的文字訊息(小於1,024位元組)到伺服器端(Server)來進行儲存。

由於其採用主從式架構,所以可以很容易地實現遠端儲存的功能(將個別主機上的相關syslog資訊儲存到遠端的syslog伺服器上)。基本上,除非有做特殊的處理,不然相關syslog的日誌資料都是以明碼型態來傳送。

syslog將資訊分成四個欄位,如圖1所示。其中的「時間」欄位為記錄此syslog事件發生的日期與時間,「主機」欄位記錄發生此事件的主機名稱,如圖1中的spampc,「程式名稱」欄位則記錄發生此事件的服務名稱,如圖1內的sshd,而最後的「內文」欄位,則記錄訊息的實際描述資料內容。


▲圖1 syslog資訊內容格式。

在說明完syslog的格式後,接著介紹Linux常用的紀錄檔案名稱與說明,如表2所示,建議讀者平時就要多留意這些檔案的內容,以便能更詳盡地了解系統的情況。

表2 Linux常用紀錄檔案名稱與說明


一般描述事件時,通常都會描述兩種資料,一個是「這是什麼種類的事件」,另一個則是「這個事件有多麼的嚴重」,syslog也不例外,它利用facility(用來描述此事件是由那些種類的服務所產生的),而level是用來定義此事件的嚴重等級,支援的facility(事件類型)如表3所示。

表3 syslog相關事件類型 


而另一個level則是用來描述事件嚴重的程度,可區分下列嚴重級別,如表4所示是由嚴重程度最低至最高排序。

表4 level嚴重程度說明與排序 


在談完syslog的格式後,接下來說明網站紀錄的相關格式。

網站紀錄格式介紹

市面上林林總總的網站伺服器,如果都各自採用個別的紀錄格式,將會造成極大的不便,也因此有了共同紀錄格式(Common Log Format,CLF)的概念產生。

如此一來,不管是那一家廠商開發的網站伺服器,只要有支援「共同紀錄格式」的功能,就會產生標準化的紀錄格式,以方便管理。

本文所使用的Apache網站伺服器就有支援「共同紀錄格式」的功能。

共同紀錄格式的檔案內容如下所述,若該欄位沒有任何資訊,就會以「-」符號來代替。圖2為一個實際的網站紀錄範例。


▲圖2 網站紀錄實例。

共同紀錄格式(CLF)將相關的網站紀錄以空白為分界劃分成為下面的欄位,其相關欄位的說明如下所示:



Host:記錄客戶端的IP或主機位置。
Ident:如果允許執行indentityCHECK指令,而且在 客戶端機器執行identd的情況下,此欄位會記錄客戶端報告的身分資訊,否則即顯示「-」符號。
Authuser:如果HTTP的請求需要基礎的HTTP認證, 此欄位內容即為用戶名稱,否則即顯示「-」符號。
Date:HTTP客戶端瀏覽網頁的日期與時間。
Request:客戶端所發出的HTTP請求(圖2內即是 以http/1.1的通訊協定來存取test.php的網路),此欄位會以雙引號括起來。
Status:此欄位儲存的是網站伺服器處理完客戶端的 要求後所產生的HTTP狀態碼,例如常見的找不到網頁,狀態碼為404,而圖2中的200則表示存取成功。
Bytes:這個欄位儲存網站伺服器傳回給客戶端的位 元組數。

了解相關的網站紀錄格式後,接下來說明Apache(組態檔名為httpd.conf)所提供的常用的相關Log紀錄的設定,如表5所示。

表5 httpd.conf組態檔內Log紀錄的設定 


系統安裝實作 

接下來的實作環境將預設讀者已經完成安裝Apache網站伺服器,並且安裝在「/usr/local/apache2」目錄下,另外也已安裝了rsyslog程式,而安裝的系統架構圖如圖3所示,相關流程如下所述:


▲圖3 實作系統架構圖。

(1) 使用者瀏覽網站後,網站以mod_log_syslog模組 將網站伺服器的紀錄轉換成syslog格式,並傳遞給rsyslog程式。
(2)及(3) rsyslog將所接受到的資料,利用FIFO裝置 將資料傳遞給sagan後進行比對。
(4) sagan利用規則(Rule)來比對是否有符合的紀 錄。
(5) 如果符合即將相關的資訊寫入檔案中。

在了解整個運作流程後,先來安裝sagan,執行如下指令(其中#為註解): 


由於sagan僅支援liblognorm 1.0.0以上的版本,所以必須至官方網站下載liblognorm 1.0.0以上的版本。 

下載並解壓縮後,以如下的指令開始編譯及安裝: 


在安裝完相關所需要的程式庫之後,接著安裝sagan: 


由於sagan是使用規則樣式(Rule)的方式來比對相關的惡意行為,所以必須先行至sagan的官方網站上取得最新版的規則檔案,並且解壓縮後將相關的檔案放置至規則目錄內,本文放置規則的目錄所在為「/usr/local/sagan2/rules」。 

sagan提供一個主程式(檔名為sagan)及單一的組態檔(sagan.conf)來提供服務,表6說明了組態檔中主要組態的意義。 

表6 sagan組態檔內主要組態說明 

安裝成功並結束安裝sagan後,繼續安裝可將網站伺服器的Log紀錄轉換成syslog格式的模組(mod_log_syslog)。 

mod_log_syslog是一個Apache的模組程式,可外掛在Apache中,將網站紀錄轉成syslog格式,所以必須使用apxs程式來編譯該模組。 

先至mod_log_syslog的官方網站下載最新版本,解壓縮後,再利用「make」及「make install」指令即可安裝該模組。 

在編譯成功後,可至Apache存放模組的目錄內(本文中為「/usr/local/apache2/modules/」)檢查是否有mod_log_syslog.so的檔案。如果安裝順利,在該目錄下將會有該檔案的產生。 

mod_log_syslog模組僅提供一個設定Log選項設定,如下所示: 


其中,是設定要轉換那些種類的事件。mod_log_syslog模組提供了local[0-7]及user選項,即為設定欲記錄的嚴重程度,符合此程度以上就記錄下來,而為記錄的格式,mod_log_syslog模組提供了combined與common兩個選項。 

在完成所需程式的安裝後,接下來設定相關的系統設定,執行如下指令(#為註解): 


接著設定rsyslog的組態(其組態檔的名稱為rsyslog.conf),設定如下的組態(#後為註解): 


再來設定sagan程式的組態(組態檔名為sagan.conf,更改下列選項,而其餘的選項使用預設的設定即可): 


最後,再設定Apache的組態檔(組態檔名稱為httpd.conf),請設定下列選項: 


在設定完成後,可依序啟動相關的程式: 


所有的服務全部啟動之後,官方所下載的規則檔案(檔名為apache.rules),會在來源端有存取phpinfo的動作且存取成功時即記錄該動作。 

▲圖4 出現警示資訊。

可利用連結網址「http://<網站伺服器位置>/phpinfo.php」的方式來測試。如果一切正常,sagan在「/var/log/sagan2/alert」檔案內將會記錄如圖4所示的警示資訊,記錄下曾經存取過phpinfo的網頁。 

至此,一個可監控惡意網站存取行為的主機型入侵偵測系統即告完成! 

<本文作者:吳惠麟,多年資安經驗,喜好利用開源碼建構相關解決方案,著有「資訊安全原理與實驗」等書。> 

轉載自《網管人