2014年6月21日 星期六

DDoS勒索不成,駭客最後讓一家靠雲端的公司關門大吉:Code Spaces的血淋淋教訓!

DDoS勒索不成,駭客最後讓一家靠雲端的公司關門大吉:Code Spaces的血淋淋教訓!


在這場與駭客的攻防戰中,DDoS攻擊只是個開始。後來駭客還取得了Code Spaces在亞馬遜 AWS EC2後台的控制權,並刪除公司在雲端上的全部資產與資料,含異地備份,最終讓Code Spaces公司無法營運而宣布關門大吉。

程式碼代管網站Code Spaces近來遭遇大規模的分散式阻斷服務(DDoS)攻擊,在未正面回應駭客的勒索並防禦失敗後,駭客轉而以取得的帳密,刪除了Code Spaces儲存於AWS的大多數客戶資料,使得Code Spaces只好宣布關門大吉。這是近來浮上檯面的DDoS攻擊事件中,第一個以結束營業收場的血淋淋案例。

Code Spaces伺服器是在本周二(6/17)遭受到經過精密策畫的阻斷式服務攻擊,原本DDoS攻擊對該公司而言是相當常見的事,而且通常都能夠應付得來。然而,這次駭客還取得了Code Spaces在AWS EC2雲端運算服務控制台的存取憑證,並留下了駭客的hotmail聯絡信箱,經聯繫後駭客提出了巨額的勒索金。

在發現EC2控制盤憑證外洩後,Code Spaces嘗試變更密碼,但駭客早已建立一批登入憑證備份,且在察覺Code Spaces的企圖之後開始刪除AWS儲存裝置(EBS)中的快照、AWS S3雲端儲存服務中的內容、所有的Amazon機器鏡像檔(Amazon Machine Images,AMI),以及部份EBS實例與機器實例。

在經歷12小時的奮戰後,駭客仍然成功刪除了Code Spaces儲存在AWS中絕大多數的資料、備份、機器配置,甚至是異地備份。

此波的攻擊幾乎完全摧毀Code Spaces所代管的資料,也嚴重打擊了Code Spaces的營運。Code Spaces表示,這樣的情況已讓該公司無法再繼續運作,解決此事的成本再加上償還客戶已支付的帳款,以及所衍生的財務與信用問題都讓Code Spaces完全失去轉圜的餘地。

Code Spaces指出,現在該公司唯一能做的就是停止交易,並協助客戶匯出僅剩的少許資料,並希望有朝一日能夠恢復Code Spaces曾有的服務及信譽。

過去比較有名的DDoS攻擊多數是基於政治目的而發動的報復性行動,這幾日來蘋果日報所遭受的DDoS攻擊就是一例。但近來有轉變為駭客謀財勒索工具的情況。

例如雲端記事本Evernot及RSS訂閱服務Feedly也在日前傳出遭受大規模的DDoS攻擊,就同時遭受駭客的金錢勒索。社交網站Meetup今年3月決定拒付300美元贖金並迎戰DDoS攻擊,市場分析軟體業者Moz也傳出遭到只要200美元贖金的DDoS攻擊勒索,但之後駭客將贖金提高到2000美元。多數業者認為駭客只是以少量的贖金來測試業者的付款意願,但並不會就此作罷,即使外界相信一定有業者選擇支付贖金來閃避攻擊,只是迄今尚無人現身說法。


轉載自《iThome

2014年6月20日 星期五

臉書掛點前 中國3波數位「導彈」襲美

臉書掛點前 中國3波數位「導彈」襲美


社群網站臉書(facebook)六月十九日下午近4時左右故障,造成全球網友哀號不斷,幸好30分鐘後修復完成,讓用戶鬆了一口氣。臉書故障是意外還是人為的?香港電台「D100」於事後在臉書專頁公布下午3點16分開始的全球網路攻擊紀錄,原本攻擊火力還相當零星、瑣碎,不料卻突然從中國連續射出3波大量、密集藍線,直往美國而去,看來猶如電影中的發射導彈畫面般,相當震撼。

「D100」電台使用網站Norse觀測到今天下午的全球網路攻擊活動,並稱「這是 facebook 被攻陷前一刻」,有網友質疑「臉書伺服器在芬蘭」,D100則貼出相關新聞回應「Facebook North Carolina data center」(臉書北卡羅來納州資料中心),暗指攻擊目標就是這裡。從影片中顯示的資訊得知,攻擊來源最多的為中國(5266)、其次為美國(3742)、紐西蘭(1293),被攻擊最多的目標則為美國(11644)、香港(408)、加拿大(342)。

再進一步細看的話,發現從中國而出的攻擊可粗略分為3波,第1波來源為南寧、第2波來自杭州、第3波則是從鄭州出發,當這3波密密麻麻的數位「導彈」落地後,美國的數據飆高、突破1萬2大關,與香港遭攻擊的數據差了足足有30倍,記者於晚間7時許上Norse觀測,發現美國雖還是被攻擊最多的國家,但數據已降低到2399,與下午比起,明顯少了許多。

有網友看了影片後留言「 大部份hackers都係來自亞洲,所以facebook down 左(故障)的原因嗎?」被其他網友指證說「中國就中國啦!亞洲咧?」、「都寫明中國南京了」、「是廣西南寧啦」似乎不想讓亞洲被誤會,更有人形容這影片看來「炸到美國佬體無完膚...」另也有網友「 強烈要求美國反擊大陸黑(駭)客!」


轉載自《蘋果日報》

日本LINE遭入侵 官方呼籲用戶修改密碼

日本LINE遭入侵 官方呼籲用戶修改密碼

新聞圖片

用戶超過4億人的通訊軟體LINE,今天證實日本地區有多個使用者帳戶遭到不明人士入侵,並造成財產損失;日本警方已介入調查,LINE官方也呼籲用戶修改密碼。

LINE發言人今天向媒體表示,從今年5月底到6月14日間,發生了303起使用者帳戶在未經授權下遭到登入的入侵事件,其中3起更造成使用者財產損失。LINE指出,此次遭入侵的帳戶都位在日本,發生原因可能是使用者分享資料到其他網路服務時,密碼不慎外洩。

LINE官方也呼籲使用者立即更換密碼,以降低被盜用的風險;不過隨著LINE的普及,LINE帳號遭盜用的事件在國內也層出不窮,用戶也時常在LINE收到詐騙訊息。防毒軟體公司趨勢科技今天就提醒,有詐諞集團傳送免費LINE貼圖的連結,引導使用者至偽造的臉書登入網站,以騙取帳號密碼,用戶若收到類似訊息應提高警覺。

轉載自《自由時報》

官員證實 中國網軍攻《蘋果》

官員證實 中國網軍攻《蘋果》


壹傳媒集團旗下台、港《蘋果日報》網站連續兩天遭大規模網路惡意攻擊,負責資訊安全監控的官員昨證實,經資安單位透過攻擊《蘋果》的駭客網路節點回測,多數確定前天攻擊壹傳媒網路是中國網軍所為,國安單位已將此攻擊列為國安層級的調查,美方也相當重視,近日將派專家來台協助調查。

官員並指,這次攻擊,「我們高度懷疑是中國網軍準備展開全世界的測試」,主因是昨下午3時23分台灣《蘋果日報》網路再次遭駭後,3時50分即發生臉書(facebook)全球大當機,造成臉書停擺的超大流量也大多從中國發出,很可能是中國網軍首次動用全世界部署的網路節點攻擊。

原文出處:蘋果日報(內含影音新聞)
轉載自《蘋果日報》

2014年6月18日 星期三

《蘋果》網站遭駭客攻擊,疑與挺香港普選有關

《蘋果》網站遭駭客攻擊,疑與挺香港普選有關

appledaily-ddos

今天凌晨三點半左右,壹傳媒旗下的香港與臺灣蘋果網站皆受到影響。蘋果的社交帳號聲稱遭到「國家級」尺度的攻擊。推測蘋果遭攻擊與蘋果挺普選改革有關,2017 年行政長官可能會用普選方式產生。

根據蘋果的說法,蘋果網站遭到 DDoS 阻斷服務攻擊手法,目前仍不清礎攻擊方為誰,但懷疑與中國有關。蘋果呼籲其支持者在各個社交平台如 Facebook、Instagram、噗浪等,張貼拍攝蘋果日報的相片,並且加上 #supportappledaily 的 hashtag。

最近香港發生很多事情,如這次事件的起因 2016 年及 2017 年香港政治制度改革,還有新界東北開發案,引發香港內部建制派與泛民派的衝突,更別說香港與中國之間的緊張關係。

318 期間的攻擊

先前 318 佔領立法院行動期間,也有類似駭客手法發生,像是維基百科與 318 相關條目,發生兩次的惡意修改事件,導致內文被隱藏無法閱讀。3 月 31 的惡意竄改讓相關頁面變成假的 404 頁面,4 月 2 日中午的惡意修改導致 318 相關條目內文變成空白。

▲ 與 318 抗爭活動相關的條目出現 404 畫面,實際上是被大圖遮住。圖片來源為 Google 庫存頁檔


▲ 4/2 日中午太陽花學運以及洪仲丘事件條目又遭到破壞,這次是變成一片空白。

延伸閱讀:
官員證實 中國網軍攻《蘋果》

轉載自《TechNews科技新報

2014年6月15日 星期日

美國人教你這樣用Google,你真的會變特務!

美國人教你這樣用Google,你真的會變特務!


大前提:英文Google→www.google.com

第一篇

在搜索框上輸入:「indexof/」inurl:lib

再按搜索你將進入許多圖書館,並且一定能下載自己喜歡的書籍。

在搜索框上輸入:「indexof/」cnki

再按搜索你就可以找到許多圖書館的CNKI、VIP、超星等入口!

在搜索框上輸入:「indexof/」ppt

再按搜索你就可以突破網站入口下載powerpint作品!

在搜索框上輸入:「indexof/」mp3

再按搜索你就可以突破網站入口下載mp3、rm等影視作品!

在搜索框上輸入:「indexof/」swf

再按搜索你就可以突破網站入口下載flash作品!

在搜索框上輸入:「indexof/」要下載的軟件名

再按搜索你就可以突破網站入口下載軟件!

注意引號應是英文的!

再透露一下,如果你輸入:

「indexof/」AVI

第二篇

用GOOgle看世界!!!只要你在GOOGLE裡輸入特殊的關鍵字,就可以搜到數千個攝像頭的IP地址!通過他你就可以看到其所攝的實時影像!!

在google裡輸入

inurl:"viewerframe?mode="

隨便打開一個,然後按提示裝一個插件,就可以看到了!!!

第三篇

三則駭客的Google搜索技巧簡介

大家都知道,Google毫無疑問是當今世界上最強大的搜索引擎。然而,在駭客手中,它也是一個秘密武器,它能搜索到一些你意想不到的信息。賽迪編者把他們進行了簡單的總結不是希望您利用他去攻擊別人的網站,而是利用這些技巧去在浩如煙海的網絡信息中,來個大海撈針,尋找到對您有用的信息。

如果您是一名普通網民,您可以使用駭客的技巧擴大自己的視野,提高自己的檢索效率;如果您是一名網管,請您趕快看看您的網站是否做好了對下面駭客探測手 段的防範措施,如果沒有就趕快來個亡羊補牢,畢竟隱患勝於明火,防範勝於救災;如果您是一名駭客,相信您早以在別的駭客站點上見過類似的方法,這篇文章對 您沒什麼用處,這裡的技巧對您是小兒科,菜鳥級!您可以節省寶貴的時間做更有意義的事情,這篇文章您不用看了,到別處去吧!

搜索URL

比如我們提交這種形式:passwd.txtsite:virtualave.net

看到了什麼?是不是覺得太不可思議了!有很多基於CGI/PHP/ASP類型的留言板存在這種問題。有時我們得到密碼甚至還是明碼的!管理員或許太不負 責了,或許安全防範的意識太差了,如果你是網絡管理員,趕快檢查一下不要讓惡意攻擊者撿了便宜。不要太相信DES加密,即使我們的密碼經過DES加密的密 碼,駭客們還是可以通過許多破解軟件來搞定。

這次我們能得到包含密碼的文件。「site:virtualave.net」意思是只搜索virutalave.net的URL。virutalave.net是一個網絡服務器提供商。

同樣,我們可以搜索一些頂級域名,比如:.net.org.jp.in.gr

config.txtsite:.jp

admin.txtsite:.tw

搜索首頁的目錄

首頁是非常有用的,它會提供給你許多有用的信息。

我們提交如下的形式:

"Indexof/admin"

"Indexof/secret"

"Indexof/cgi-bin"site:.edu

你可以自己定義搜索的首頁字符。這樣就可以獲得許多信息。

搜索特定的文件類型

比如你想指定一種文件的類型,可以提交如下形式:

filetype:.docsite:.milclassified

這個就是搜索軍方的資料,你可以自定義搜索。

第四篇

Google的特殊功能

1、查詢電話號碼

Google的搜索欄中最新加入了電話號碼和美國街區地址的查詢信息。

個人如想查找這些列表,只要填寫姓名,城市和省份。

如果該信息為眾人所知,你就會在搜索結果頁面的最上方看到搜索的電話和街區地址

你還可以通過以下任何一種方法找到該列表:

名字(或首位大寫字母),姓,電話地區號

名字(或首位大寫字母),姓,郵遞區號

名字(或首位大寫字母),姓,城市(可寫州)

名字(或首位大寫字母),姓,州

電話號碼,包括區號

名字,城市,州

名字,郵遞區號

2、查找PDF文件

現在GOOGLE的搜索結果中包括了PDF文件。儘管PDF文件不如HTML文件那麼多,但他們經常具備一些其他文件不具備的高質量信息

為了顯示一個搜索結果是PDF文件而不是網頁,PDF文件的標題開頭顯示藍色文本。

這就是讓你知道ACRTOBATREADER程序會啟動來閱讀文件

如果你的計算機沒裝有該程序,計算機會指導你去能免費下載該程序的網頁。

使用PDF文件時,相關的網頁快照會由「TEXTVERSION」代替,它是PDF文檔的複製文件,該文件除去了所有格式化命令。

如果你在沒有PDF鏈接的情況下想看一系列搜索結果,只要在搜索欄中打上-inurldf加上你的搜索條件。

3、股票報價

用Google查找股票和共有基金信息,只要輸入一個或多個NYSE,NASDAQ,AMEX或

共有基金的股票行情自動收錄機的代碼,也可以輸入在股市開戶的公司名字。

如果Google識別出你查詢的是股票或者共有基金,它回覆的鏈接會直接連到高質量的金融信息提供者提供的股票和共有基金信息。

在你搜索結果的開頭顯示的是你查詢的股市行情自動收錄器的代碼。如果你要查找一家公司的名字(比如,INTEL),請查看「股票報價」在Google搜索結果的金融欄裡會有那個公司的主頁的鏈接(比如, www. INTEL. COM)。

Google是以質量為基礎來選擇和決定金融信息提供者的,包括的因素有下載速度,用戶界面及其功能。

4、找找誰和你鏈接

有些單詞如果帶有冒號就會有特殊的意思。比如link:操作員。查詢link:siteURL,就會顯示所有指向那個URL的網頁。舉例來說,鏈接 www. Google. com會向你顯示所有指向GOOGLE主頁的網頁。但這種方法不能與關鍵字查詢聯合使用。

5、查找站點

單詞site後面如果接上冒號就能夠將你的搜索限定到某個網站。具體做法是:在c搜索欄中使用site:sampledomain.com這個語法結構。比如,在斯坦福找申請信息,輸入:

admissionsite: www. stanford. edu

6、查找字典釋意

查找字典釋意的方法是在搜索欄中輸入你要查詢的內容。在我們根據要求找到所有的字典釋意都會標有下劃線,位於搜索結果的上面,點擊鏈接你會找到字典提供者根據要求給出的相關定義。

7、用GOOLGE查找地圖

想用Google查找街區地圖,在Google搜索欄中輸入美國街區地址,包括郵遞區號或城市/州(比如165大學大街PALOALTOCA)。通常情況下,街區地址和城市的名字就足夠了。

當Google識別你的要求是查找地圖,它會反饋給你有高質量地圖提供者提供的鏈接,使你直接找到相關地圖。我們是以質量為基礎選擇這些地圖提供者。值得注意的是Google和使用的地圖信息提供者沒有任何關聯。

轉載自《LIFE

2014年6月14日 星期六

警告:你的手機已被鎖定!Android手機出現更多勒索軟體

警告:你的手機已被鎖定!Android手機出現更多勒索軟體

近日,根據國外Eset安全研究人員證實,發現另一款名為Simplocker的惡意木馬程式出現Android平臺上,一旦使用者安裝上此款惡意App後,會將儲存於手機內的各式文件、照片、影片加密,造成資料無法開啟使用,必須要求支付22美元贖金才能復原。


去年底一款被稱為史上最囂張的勒索軟體CryptoLocker,透過將電腦裡的檔案加密,藉此勒索使用者付費300美元,包括臺灣在內等多家國內外公司、企業都深受其害。不過近日,根據國外安全研究人員證實,現在就連Android手機也可能遭到勒索惡意程式的綁架,將儲存於手機內的文件、照片、影片加密,並要求贖金才能復原。

今年五月底,趨勢科技就提出警告,一款原在電腦流行的勒索軟體Roveton,開始轉移陣地出現在Android平臺上,透過入侵手機取得控制權後,並以此勒索300美元,要是使用者不支付,手機將會變成磚頭無法繼續使用。

不過近日國外Eset安全研究人員證實發現另一款Simplocker的惡意木馬,內含在一款名為“Sex xionix”App之中,但和Roveton不同是,它是針對將儲存於手機內的文件、照片、影片加以綁架而非直接變磚頭。

這個Simplocker勒索惡意程式,主要透過社交工程手法引用使用者受騙上當,而當安裝上此App後,它即會針對手機SD記憶卡內所存放的JPEG、JPG」PNG、BMP、GIF、PDF、DOC、DOCX、TXT、AVI、MKV、3GP、MP4副檔名文件,採用先進加密標準加密,並在手機螢幕上顯示:“警告:你的手機已因涉及非法色情活動被鎖定!”等字樣,要求使用者必須支付260烏克蘭格里夫納(UAH),大約是22美元才可獲得解鎖,不然就得做好資料隨時不見的心理準備。

儘管目前尚不清楚是否已有因支付贖金而解鎖的案例,但根據ESET惡意程式研究員Robert Lipovsky表示,這是少數在Android平臺,以勒索為目的的Android惡意程式,在它之前多基於小額付款的惡意程式為主。而目前該惡意程式主要是出現在俄羅斯、烏克蘭等東歐地區,但Lipovsky也提出隱憂,難保它未來不會發展成跟惡名昭彰的PC勒索軟體CryptoLocker一樣,在全球各地引起手機危害熱潮。

不過,面對被勒索的Android使用者,防毒軟體Sophos也建議,可以通過重啟動手機到安全模式下,再經由手動方式刪除此惡意程式,防止災情繼續擴大下去。而已加密完成的資料,則可經由破解惡意程式內的AES密鑰,恢復使用者的手機文件,不過該技術仍需要時間去完成。

Eset也提醒最好的預防方式就是避免點選來源不明的連結或非官方App應用,甚至是在Google Play上出現的非官方的開發人員帳戶,使用者也必須要小心警覺,此外也可經由安裝Android版的官方防毒軟體,提升手機安全的防護等級。

轉載自《iThome

透過 yahoo 工具列來針對其它網站進行 XSS 入侵(含影片示範)

透過 yahoo 工具列來針對其它網站進行 XSS 入侵(含影片示範)

yahoo 的工具列出現 XSS 漏洞,可利用該工具列漏洞將惡意語法"外掛"到 Yahoo, Flickr, Google, Twitter, Amazon, Youtube, Pinterest 等網站。

示範影片一:


示範影片二:

目前解決方式(針對國外的 yahoo 工具列):
1. 移除不要裝!
2. 等待更新版!

P.S:這個案例是採用國外 yahoo 工具列,台灣版的沒進行測試。

轉載自《網路攻防戰》

THC-Hydra v8.0 網路服務驗證密碼破解工具

THC-Hydra v8.0 網路服務驗證密碼破解工具

更新發佈日期:2014/05/12

THC-Hydra 是一個支援多種網絡服務的驗證密碼破解工具。
這個工具是一個驗證性質的軟體,主要目的的是為學術研究人員和資訊安全從業人員驗證遠端獲取一個系統與服務的認證權限的安全強度。

新版重要特色:
1.將原始碼搬到 GitHub :https://github.com/vanhauser-thc/thc-hydra
2.新增了 Redis 的模組
3.新增 SMB 模塊支源Unicode
4.為 SSH 添加初始交互式密碼驗證測試
5.增加暴力破解的圖形使用者界面
6.修正一些其他 Bug

適用作業系統環境:Linux, Windows/Cygwin, Solaris, FreeBSD,OSX

能掃描的網路服務
AFP, Cisco AAA, Cisco auth, Cisco enable, CVS, Firebird, FTP, HTTP-FORM-GET, HTTP-FORM-POST,
HTTP-GET, HTTP-HEAD, HTTP-PROXY, HTTPS-FORM-GET, HTTPS-FORM-POST, HTTPS-GET, HTTPS-HEAD,
HTTP-Proxy, ICQ, IMAP, IRC, LDAP, MS-SQL, MYSQL, NCP, NNTP, Oracle Listener, Oracle SID, Oracle,
PC-Anywhere, PCNFS, POP3, POSTGRES, RDP, Rexec, Rlogin, Rsh, SAP/R3, SIP, SMB, SMTP, SMTP Enum,
SNMP, SOCKS5, SSH (v1 and v2), Subversion, Teamspeak (TS2), Telnet, VMware-Auth, VNC and XMPP.

原文出處:THC-Hydra
轉載自《網路攻防戰》

俄國簡訊木馬Svpeng轉型為手機勒索程式

俄國簡訊木馬Svpeng轉型為手機勒索程式

在2013年現身的Svpeng最早是一支簡訊木馬,卡巴斯基在2013年11月發現Svpeng搖身一變成為網釣程式,能夠竊取使用者的金融憑證。今年初Svpeng還新增了勒索功能,要求使用者支付500美元以贖回被該木馬程式綁架的手機,卡巴斯基現在則提出警告,最新的Svpeng版本已經將目標從俄國轉向了美國使用者。


卡巴斯基實驗室(Kaspersky Lab)指出,原本鎖定俄國的行動木馬程式Svpeng最近的版本更新相準了美國用戶。

在2013年現身的Svpeng最早是一支簡訊木馬,它會自動撥打長途電話或傳遞高價簡訊以替駭客賺取收入。卡巴斯基在2013年11月發現Svpeng搖身一變成為網釣程式,能夠竊取使用者的金融憑證,當時該木馬的活動範圍囊括美國、德國、印度及俄國,但主要鎖定俄國的三大銀行。今年初Svpeng還新增了勒索功能,要求使用者支付500美元以贖回被該木馬程式綁架的手機,卡巴斯基更於本周提出警告,最新的Svpeng版本已經將目標從俄國轉向了美國使用者。

在作為憑證竊取木馬時,Svpeng會等待手機用戶開啟涉及金融的行動程式,並置換輸入金融憑證的頁面,以蒐集使用者的金融憑證,例如當使用者要透過Google Play程式購買程式或音樂等內容時,就會跳出一個偽造的金融資訊輸入視窗,以幾可亂真的介面欺騙使用者。

卡巴斯基研究人員Roman Unuchek表示,Svpeng既有的版本是鎖定俄國,但今年6月他們發現一個新版本,受到感染的使用者中有91%位於美國。

當手機開始執行新版Svpeng時,Svpeng會先進行掃描,之後假借FBI的名義宣稱使用者的手機內容違反美國法令因此被鎖住了,除了利用手機的攝影機拍下使用者的照片之外,還威脅要通知使用者的親友,要使用者以MoneyPak儲值券來支付200美元的罰款後方可解鎖。(↓圖片來源:卡巴斯基)


卡巴斯基指出,該木馬除了勒索功能,還會偵測手機上的各種金融程式,轉變成金融憑證竊取木馬程式應該只是早晚的事。

轉載自《iThome

2014年6月12日 星期四

資安業者揭露第二支中國網軍

資安業者揭露第二支中國網軍

除了發覺Putter Panda的間諜行動外,CrowdStrike更標識了惡意程式遠端控制伺服器的註冊人─陳平(Chen Ping),且註冊位置正是在61486部隊的上海總部。


繼美國司法部以網路間諜罪名起訴隸屬於中國61398部隊的5名中國軍官之後,資安業者CrowdStrike在本周公開一份報告,揭露另一個名為「推桿熊貓」(Putter Panda)的駭客集團,並指出該集團背後的推手也是中國軍方,鎖定美國政府、國防、研究及技術領域的太空、航太,與通訊資訊進行情報蒐集。

CrowdStrike指出,Putter Panda屬於中國人民解放軍參謀總部第三分部第十二局的61486部隊,而參謀總部第三分部則是中國軍方從事電子情報蒐集與分析的主要單位,第十二局的61486部隊位於上海,負責支援中國的太空監控網路。

Putter Panda從2007年就開始活動,對美國國防與歐洲的衛星及航太產業特別有興趣,透過電子郵件進行攻擊以於Adobe Reader或微軟Office等軟體部署客製化的惡意程式。

CrowdStrike執行長George Kurtz表示,他們相信Putter Panda駭進全球與衛星、航太及通訊相關的產業以竊取商業機密,雖然難以確定駭客究竟取得了多少資訊,但相關的間諜行動將能減少研究與開發的時間,並能了解競爭對手的策略及弱點。

除了發覺Putter Panda的間諜行動外,CrowdStrike更標識了惡意程式遠端控制伺服器的註冊人─陳平(Chen Ping),且註冊位置正是在61486部隊的上海總部。

Kurtz認為,美國政府基於證據所進行的指控證明了中國的電子間諜活動,但這只是冰山一角,不代表中國的駭客行動僅限於單一部隊的5名軍官,也不代表中國僅鎖定美國政府及企業,這十年來中國的間諜活不但廣泛而且積極,全球各地都存在著來自中國的威脅。

美國及中國則尚未針對此一報告提出正式回應。

轉載自《iThome》

2014年6月7日 星期六

15年OpenSSL漏洞影響Android版Chrome,Google發布緊急更新

15年OpenSSL漏洞影響Android版Chrome,Google發布緊急更新

伺服器端和用戶端必須同時都安裝了問題OpenSSL的軟體才會容易遭駭,被駭客發動CCS注入漏洞攻擊,Google於6月5日也緊急更新採用此問題OpenSSL版本的Android版Chrome瀏覽器


OpenSSL基金會日前公布修復6個安全漏洞,其中有一個編號CVE-2014-0224漏洞已經默默存在15年之久,駭客可以藉此發動一個中間人攻擊(MITM),來竊聽採用OpenSSL加密連線的封包,資安人員也將此一漏洞稱之為「CCS注入漏洞」(CCS Injection Vulnerability)。

臺灣戴夫寇爾共同創辦人徐念恩表示,伺服器端與用戶端都使用該OpenSSL漏洞的軟體時,才會發生被竊聽的風險,不像先前HeartBleed漏洞,只要伺服器端使用openSSL就會發生問題遭駭。徐念恩表示,例如Andrdoi版Chrome瀏覽器就使用了有此漏洞的OpenSSL程,因此,他建議改用其他手機瀏覽器來降低危險。Google也緊急更新Chrome for Android內建的OpenSSL程式版本,推出35.0.1916.141新版本,預計最近幾天會發布到各國Google Play市集。

CCS注入漏洞能降低伺服器加密嚴謹度,更容易發動中間人攻擊

根據發現此漏洞的日本資安研究公司Lepidum研究員Masashi Kikuchi通報資料,這個漏洞和先前OpenSSL的心臟淌血(Heartbleed)漏洞一樣,都將影響所有使用SSL/TLS的加密服務,包括:SMTPS、 FTPS以及HTTPS等。

Masashi Kikuchi也在說明文件上指出,OpenSSL用來更改密鑰規格的ChangeCiperSpec(簡稱CCS)處理上,出現一個漏洞,允許惡意中間節點攔截和解密已經加密的資料,也同時迫使SSL用戶端使用比較脆弱的金鑰,讓加密資料暴露在惡意的節點上。

徐念恩進一步解釋,這樣的攻擊手法就是在用戶端與伺服器端的通訊過程中,駭客會發送一個偽造的ChangeCipherSpec更改密鑰協定給伺服器,讓原本比較嚴謹的加密方式,變成比較低複雜度的加密方法,當駭客利用中間人攻擊(MITM)手法,監聽伺服器和用戶間的封包時,更容易破解加密的傳輸內容。包括使用SSL3.0、TLS1.0、TLS1.1及TLS1.2等加密協定的服務,都會受到這個CCS注入漏洞的影響。

不過,Masashi Kikuchi強調,這次CCS注入漏洞無法偷走網站的加密私鑰,所以企業不必和上次面臨Heartbleed漏洞一樣,必須重新產生SSL加密私鑰並將網站舊憑證撤銷以確保其安全性。但他說,駭客若利用這個CCS注入的漏洞竊聽各種加密封包與各種加密語音和視訊資訊時,同樣不會留下任何可被追蹤的痕跡。

修復Heartbleed漏洞的OpenSSL版本仍有問題

徐念恩表示,即使企業上次已經為了修補Heartbleed漏洞而將OpenSSL升級到OpenSSL 1.0.1g,但在面對這次CCS注入漏洞時,上次升級的版本一樣有資安風險,所以必須要將OpenSSL 1.0.1 ~1.0.1g版升級到安全的OpenSSL 1.0.1h版,將OpenSSL 1.0.0版升級到OpenSSL 1.0.0m版,以及所有OpenSSL 0.9.8y之前的版本都升級到OpenSSL 0.9.8za版。

這次CCS注入和Heartbleed漏洞不一樣的地方在於,駭客要啟動CCS注入漏洞時,包括用戶端和伺服器端,都必須是使用有問題OpenSSL版本的瀏覽器,中間的加密資訊才會被竊聽。

徐念恩表示,已知使用有漏洞OpenSSL的用戶端軟體,包括了Android版Chrome瀏覽器,及其他基於Chromium製作的瀏覽器,如Opera瀏覽器14版以上版本,但是,像是桌面版及iOS版的IE、Firefox、Chrome,以及Safari等瀏覽器,都沒有使用有問題OpenSSL,而不會受到CCS注入漏洞的影響。Google也已緊急釋出更新版本。

延伸閱讀:
OpenSSL又爆1998年就存在的嚴重漏洞,SSL加密通訊可能遭竊聽
IT產品Heartbleed災情大清查
OpenSSL傳重大漏洞 台灣知名網站修復龜速
OpenSSL Heartbleed 全球駭客的殺戮祭典,你參與了嗎?

轉載自《iThome》

駭客組織入侵百萬台電腦盜領30億 FBI通緝俄籍首腦

駭客組織入侵百萬台電腦盜領30億 FBI通緝俄籍首腦


美國司法部2日宣布,美國聯邦調查局(FBI)與國際組織和10多國政府通力合作,破獲一個在網路上散播惡意軟體「玩完宙斯」(Gameover Zeus)的駭客組織,並對該組織的俄籍首腦發出通緝。司法部說,該集團利用這種殭屍病毒竊取用戶銀行密碼,盜領超過1億美元(約30億台幣),全球約有50萬至100萬台電腦遭感染。

當局表示,「玩完宙斯」是至今破獲最大型的殭屍網路,用戶應立即採取防護措施,以免遭到攻擊。專家說,用戶一定要在2週內安裝防毒軟體,並升級作業系統到最新版本,否則銀行帳戶可能被駭客集團盜領一空。美國司法部已依侵駭、洗錢、詐欺等罪名,起訴組織首腦「駭客之王」博加切夫,並將他列入聯邦調查局通緝名單。30歲的博加切夫最後已知住所是俄國黑海旁一處城鎮,由於俄羅斯與美國並未簽署引渡協議,博加切夫也許永遠都不會被捕。

原文出處:GameOver Zeus: Removal, detection and how you can protect yourself
轉載自《The News Lens關鍵評論

OpenSSL又爆1998年就存在的嚴重漏洞,SSL加密通訊可能遭竊聽

OpenSSL又爆1998年就存在的嚴重漏洞,SSL加密通訊可能遭竊聽

CVE-2014-0195是屬於「DTLS無效片斷漏洞」,可能讓駭客得以遠端執行任意程式碼,因此被SANS列為重大漏洞。但這次公布的六個漏洞最受關注的是CVE-2014-0224,這項已存在超過15年的「SSL/TLS中間人攻擊漏洞」,可能讓駭客得以用來破解SSL及TLS流量,甚至修改其中內容


OpenSSL基金會發佈安全公告,修補6項安全漏洞,其中兩項SANS網路安全中心列為重大漏洞,一項可能導致遠端執行任意程式,另一項則可能讓駭客透過中間人攻擊(man-in-the-middle, MITM)竊聽SSL加密連線內容,該漏洞並已存在超過15年。

CVE-2014-0195是屬於「DTLS無效片斷漏洞」(DTLS invalid fragment),可能讓駭客得以傳送無效的DTLS片段到OpenSSL DTLS用戶端及伺服器,藉此發動緩衝溢位(buffer over)攻擊,並由遠端執行任意程式碼,因此被SANS列為重大漏洞。

但這次公布的六個漏洞中最引人注目的是由日本安全研究人員Masashi Kikuchi所通報的 CVE-2014-0224,這項「SSL/TLS中間人攻擊漏洞」(SSL/TLS MITM)可能導致OpenSSL在終端及伺服器進行TLS handshake時不當接受ChangeCiperSpec (CCS),使駭客得以用來破解SSL及TLS流量,甚至修改其中內容,因此安全研究人員也稱它為「CCS注入漏洞」。

Google安全研究人員Adam Langley 說明CVE-2014-0224指出,OpenSSL網站上最舊的程式碼是1998年12月28日的0.9.1c ,而受影響的程式碼幾乎都沒變更過,因此這個臭蟲可能已經存在超過15年。

不過在一些因緣巧合之下,除了伺服器端及用戶端都要同時存在漏洞之外,只有伺服器上的OpenSSL是1.01版之後才會受到中間人攻擊。Adam Langley分析整個攻擊模式指出,整個機制相當複雜,但主因在於當初他修補了1.01版的漏洞時修改了Finished值的計算方式。但他也表示,不曉得駭客還會找出一些如何利用該漏洞的創意方式。

好消息是,這些攻擊除了需要找到中間人模式的位置,而且不具有OpenSSL的用戶端都不會受到影響,例如桌面版及iOS版的IE、Firefox、Chrome,以及Safari等瀏覽器。

這項漏洞已經透過更新修補。OpenSSL基金會建議不管是伺服器端或是使用者端的使用者,都應將OpenSSL 0.9.8 SSL/TLS升級到0.9.8za, OpenSSL 1.0.0 SSL/TLS升級到 1.0.0m,而OpenSSL 1.0.1 SSL/TLS則應升級至1.0.1h。這些更新也同時修補了OpenSSL函式庫中三項可能導致DLS 連線DoS攻擊及遠端執行程式碼的漏洞。

OpenSSL安全公告指出,只有在用戶端及伺服器端同時都安裝有瑕疵的軟體時才會發生上述攻擊。這項漏洞影響所有OpenSSL用戶端,以及安裝OpenSSL 1.0.1及1.0.20 beta1版的伺服器。OpenSSL 1.0.1.釋出時間為2012年3月。但安全人員建議OpenSSL1.0.1之前版本用戶最好也升級到最新版本。

轉載自《iThome

2014年6月6日 星期五

讓自己的相關資料不被搜尋! Google 發佈「 Forgotten 」首日,收到 12,000 條刪除請求

讓自己的相關資料不被搜尋! Google 發佈「 Forgotten 」首日,收到 12,000 條刪除請求


歐洲人對於隱私的重視,可能比我們想像得更強烈。據 Mashable 的報導,應歐盟裁決,在 Google 發佈了允許刪除個人搜尋結果的「 Forgotten 」線上工具後的 24 小時內,Google 就收到了來自 12,000 條請求,平均每分鐘收到 8.3 條。

歐洲法院最近作出裁決,用戶可以要求搜尋引擎公司刪除與自己的名字或者相關歷史結果,所謂「被遺忘的權利」(Right to be Forgotten)。根據這項裁決,Google 發佈了一個線上工具供使用者申請,填寫的資訊包括含有侵犯性內容的網頁的位址、所在的國家以及刪除這些連結的願意。

403712aea706a7eec7fcf608809656df不過,Google 只會刪除從其歐洲網站上刪除連結,並不會從 Google.com 上刪除。連結被移除後,使用者在搜尋時會得到相應提示。不過,提示不包含資訊具體內容,也不包含任何網址。如果 Google 不批准請求或無法決定是否批准請求,申請者只能向國家層面的資料保護機構投訴。

在收到裁決結果後,Google 曾公開聲稱「令人失望」。在接受金融時報的採訪時,公司 CEO賴利·佩吉(Larry Page)認為,此舉可能「破壞創新」,他同時表達了對自己無法進一步參與辯論的遺憾。

外界認為,這項裁決可能讓搜尋引擎和網路空間自由度減少,但是判決也指出,用戶只能要求搜尋引擎刪除過時資料或可能損害到自己公眾形象的資訊。

原文出處:T客邦
轉載自《菜鳥數位行銷企劃學習筆記

2014年6月5日 星期四

google推郵件加密 急壞情治單位

google推郵件加密 急壞情治單位


自從史諾登踢爆美國國家安全局利用高科技遂行無所不在的監控後,網路隱私岌岌可危。對此,google公布新開發的Chrome流覽器外掛原始碼,讓網友隨時對email加密,也讓美國國家安全局之類的情治單位監控難度大增。

這款名為End-to-End的加密工具使用OpenPGP原始碼加密程式撰寫,不過,發送和接受郵件的雙方都需要使用End-to-End或其他加密工具,才能令該系統真正發揮作用。雖然情治單位使用最新進的技術進行監控,不過類似PGP和GnuPG等點對點郵件加密技術仍然需要投入大量人力解碼。

目前點對點加密技術雖然不能保證絕對安全,但是仍然屬於相對安全的保護隱私技術,不過以往google之類的網路巨擘,擔心這類技術會破壞對用戶傳送客製化的廣告訊息,所以消極應對這類技術的推廣。

如今,網路隱私已經是使用者最關切的問題,google也順水推舟將email加密以符合用戶的需要。雖然google已經從自家伺服器向外發送資訊時加密,但如果另外一端的網路供應商不支援,一切仍是枉然。

轉載自《中時電子報》

2014年6月3日 星期二

Kali Linux 發佈 1.0.7 版

Kali Linux 發佈 1.0.7 版

Kali 1.0.7 Released

知名滲透測試工具光碟 Kali Linux 於 2014/5/27 發佈 1.0.7版。

新特色:
1.更新 Linux kernel 到 3.14 ,修正 Bug 與支援更多硬體。
2.多了一個新模式" Kali Linux Live USB with LUKS Encrypted Persistence "
3.更新工具,例如:metasploit、Armitage 、w3af、wpscan、Grabber、dnsenum、nfspy、Hydra password cracker、Burp Suite Free Edition、hashID tool、social network engineering tool 等。

使用 GNOME 的桌面環境、並支援 x86、AMD64、ARM 架構。

有舊版的更新語法:
apt-get update
apt-get dist-upgrade

下載處:http://www.kali.org/downloads/
原文出處《KAIL LINUX

2014年6月2日 星期一

以手機鑑識工具XRY 實體萃取臉書即時對話資料 蒐集即時訊息App跡證 FB Messenger記錄現蹤

以手機鑑識工具XRY 實體萃取臉書即時對話資料
蒐集即時訊息App跡證 FB Messenger記錄現蹤

隨著手機等行動裝置不斷推陳出新,非法行為的手法不斷地改變,為了因應這些新的非法行為型態,使人們不再受到新型的詐騙手法危害,證據的蒐集方法也要不斷地改進。本文即針對Android智慧型手機Facebook Messenger App對話紀錄的萃取,分析留存在手機的數位證據來證明非法者的非法行為。

根據Google於2013年最新的統計數據,台灣地區的智慧型手機普及率為51%,占了台灣總人口的一半以上,因此逐漸有人將行動裝置應用在非法行為的進行上,例如毒販與買家間互相聯絡訊息、詐騙者用於進行金錢的騙取。

再加上行動裝置與社交網路的結合,使得社交網路已經漸漸從電腦延伸到手機上,智慧型手機使用者每日使用手機上社交網站的比例,已經從2011年的38%、2012年的55%,上升到2013年的61%,可見透過智慧型手機使用社交網站有越來越流行的趨勢。

由此,非法行為的類型也跟著拓展到手機上的社交通訊媒體,如LINE、Facebook訊息詐騙、惡意程式申請小額付費,即利用吸引人點選的簡訊,讓被害人點選網址,然後將木馬程式植入手機,進而發生金錢上的損失。

警政署的統計數據顯示,從2013年的8月開始出現,三個月內有674人被騙了177萬元。可見手機通訊軟體詐騙的影響力及威力相當大。

根據Facebook公布的台灣地區使用數據,每日使用手機等行動裝置上Facebook的活躍用戶高達710萬人,由此可見,台灣地區用手機等行動裝置上Facebook的比例相當高。另外,從Google於2013年的統計中,可以發現在各個智慧型手機上的社交網路平台中,使用Facebook的比例最高,如圖1所示。


▲圖1 Facebook使用比例最高。

由於使用人口居高不下,被詐騙對象將相當多了,因此對於延伸出來的非法行為類型也要有所因應。Facebook Messenger App即為Facebook所開發單獨傳送訊息的App,由於Facebook的使用率如此之高,Facebook Messenger App的龐大使用數量不言可喻。

本文所介紹的便是將智慧型手機中的Facebook Messenger App對話訊息萃取出來,以輔佐鑑識人員進行調查。

相關背景說明

以下分別介紹Facebook Messenger這個App的運作方式,以及何謂行動裝置鑑識與其使用的工具。

Facebook Messenger App 

Facebook Messenger App是Facebook推出的一款免費傳訊應用程式,目前主要支援iOS和Android平台。以往Facebook的應用程式就有傳送訊息的功能,而現在將傳送訊息的功能另外獨立出來成為一款新的應用程式「Facebook Messenger App」,為的就是要和手機的通訊錄相結合,並且簡化通訊軟體的使用。

Facebook Messenger App不但能夠與手機上的通訊錄同步,更可以用手機登錄、新增好友,也能直接透過Facebook Messenger App撥打電話,而且與Facebook上的好友進行通訊也更加方便,圖2~5為使用Facebook Messenger App時的圖示及流程。


▲圖2 Facebook Messenger App圖示。

Facebook Messenger App具有以下幾個特性,分別加以說明:

1. 定位服務功能
當使用Facebook Messenger App發送訊息時,會同時將自己的位置發送給對方,而此位置資訊只會傳送給對話的另一方知道,若不想讓對方得知自己的位置,也可以將此定位功能關閉。

2. 刪除訊息
只能單方面刪除自己的訊息,而對方所擁有的訊息,包含傳送給對方或從對方發送的,都不可能自行刪除。

3. 聊天大頭貼
當有新訊息傳來時,會在手機桌面彈出聊天大頭貼,並以小方框顯示傳來的訊息數目,若同時與多人進行對話,則只會顯示一個聊天大頭貼,但點開聊天大頭貼後,就會出現多個大頭貼並列,此時就可點選欲對話的大頭貼來開啟對話視窗(圖3)。


▲圖3 聊天訊息視窗。

4. 在線狀況
開啟Facebook Messenger App後,可以從各個朋友的大頭貼右下角找到一個上線狀況的小圖示,從中可以了解對方是使用電腦版的Facebook或手機版的Facebook Messenger App。

另外,若對方已有一段時間未使用Facebook Messenger App,則會在上線方式後方顯示出對方前次使用的時間為多久以前,若對方正在使用,在同樣的位置就會顯示「現在」。從圖4的兩張圖中可以比較出不同上線方式,以及是否正在使用Facebook Messenger App的差異。


▲圖4 對方登入Messenger方式。

由於Facebook Messenger App結合了電腦社交網路和通訊和定位,因此會如圖5般顯示出Facebook Messenger App關於定位服務的設定,若能萃取出其中的資料,對於非法行為的分析來說將有莫大的幫助。


▲圖5 定位服務會在傳訊的同時傳送自己位置。

行動裝置鑑識 

本文中的鑑識行為著眼於Facebook Messenger App對話訊息的萃取,因此以下針對手機等行動裝置資料的採集進行介紹。

行動裝置的類型包含智慧型手機、個人數位助理(PDA)、電子書以及平板電腦等等,每種類型又有各種各樣的製造品牌,使得資料的萃取也會因此有些微的不同。而在資料的萃取中,根據所收集的檔案資料類型不同,大致上可以分為實體萃取(Physical Acquisition)及邏輯萃取(Logical Acquisition)兩大類。

實體萃取 
實體萃取是針對儲存在裝置硬體中的資料進行採集,這部分的資料無法透過命令提示字元來取得,一般需要利用專屬通訊協定,直接將裝置中的所有記憶體以「bit by bit」的方式複製出來,才能進行分析。

實體萃取的資料通常雜亂而不易解讀,但因為其中包含了未配置空間等容易被忽略的區域,因此經常能夠從中復原出被刪除而未被覆蓋的資料,尤其是當為了掩蓋非法行為而刻意將資料刪除時,就能利用實體萃取來修復證據,因此實體萃取對於調查非法情事的幫助相當大。

邏輯萃取 
邏輯萃取的資料,為對裝置進行操作時即可獲得的資料。而其資料來源包含日誌檔和資料庫,是可以透過命令提示字元來取得的資料,其方法包含直接用連接線連接、讀取SD卡等。

邏輯萃取的資料較有條理且容易解讀,包含手機通訊錄、手機簡訊、通話紀錄、GPS等等。然而,邏輯萃取無法取得被刪除的資料。

實體萃取與邏輯萃取差異
實體萃取與邏輯萃取最大的區別,在於能不能還原出被刪除的資料,以及取出的資料是否有條理,而兩者的資料萃取方式也相當不同,如表1所示。

表1 實體萃取與邏輯萃取的差異 


實體萃取是直接將記憶體全部複製萃取,因而會包含未配置空間等可能還原出被刪除資料的區域;而邏輯萃取是透過作業系統API讀取檔案或資料,因此不能還原被刪除的資料。

在本次主題中,由於Facebook Messenger App的對話資料內容不屬於邏輯萃取的部分,因此要透過實體萃取才能找出目標的對話訊息。接下來的進行方式是利用實體萃取的方法,萃取出Facebook Messenger App的對話訊息。

使用工具 

本次實驗所用的工具為手機鑑識專用軟體XRY,以及Android的智慧型手機。

XRY 
XRY為一專為手機鑑識的開發軟體,其功能包含實體萃取、邏輯萃取,並可用於還原應用程式上的數據,如圖6所示。其支援的行動裝置包含行動電話、智慧型手機、平板電腦等等,而支援的手機型號種類更是超過了1,400種。


▲圖6 XRY的使用介面。

Android智慧型手機 
本次使用的Android智慧型手機版本為2.2的作業系統版本,手機製造之品牌為三星(Samsung)。相較於iOS作業系統有其官方提供的軟體iTunes可以進行iPhone手機的備份,Android作業系統的手機並無開發專門的備份軟體。因此本次主題即以Android智慧型手機為工具,進行Facebook Messenger App的對話訊息萃取。

鑑識與分析

進行手機鑑識時,若直接操作手機,有可能讓證據能力遭受質疑,因為有些人認為操作手機會影響手機內的一些資料,進而質疑證據是否有可能受到影響而改變。

因此,若能透過鑑識工具將手機中的對話訊息萃取出來,不但無須為獲得證據手動操作手機而讓證據遭受質疑,更可以針對萃取後的資料進行分析,以獲得更進一步的證據,並且幫助調查人員對案情的研判。

本次主題以XRY進行實體萃取,以獲得對話訊息及其他相關證據。進行實體萃取的流程如下所述。

首先,在進行實體萃取前,電腦上除了必須安裝XRY的軟體外,也要備有手機的驅動程式,一般狀況下,在連接傳輸線時電腦就會自動安裝驅動程式。在此環境下,即可利用XRY的金鑰USB和手機連接線連接電腦,開始進行鑑識流程。

接著,利用XRY進行手機鑑識時,依據以下介紹的XRY操作步驟,即可將對話訊息萃取出來。

使用XRY時,由於是從裝置中的資料進行萃取,因此要先點選頁面中的「Extract data from device」,之後XRY會從金鑰USB中確認使用權限,便可開始操作。

開始進行實體萃取前,必須先依序篩選出要進行鑑識的目標,有下列數個項目進行篩選:

●裝置種類:包含手機、SIM卡、Disk、GPS、Mobile Modem、媒體裝置。
●找尋鑑識裝置的方式:有自動搜尋、依據型號尋找、利用TAC碼、使用名稱搜索、利用歷史紀錄。
●該手機的製造商品牌名稱:選取該手機的品牌,XRY同時支援多種手機品牌。
●手機的種類:選取手機種類,包含折疊、滑蓋、旋轉、觸控等樣式。
●型號名稱:XRY會依據篩選結果顯示出其支援的手機型號,此時可能會出現許多手機型號提供選擇,依據圖片和型號名稱即可找到目標手機。若未出現在這些選項中,表示XRY不支援該型號的手機鑑識。

如此一一篩選後,即可找到要鑑識的目標智慧型手機。此次主題是針對Samsung智慧型手機進行實體萃取,因此篩選時的裝置種類將選擇手機,找尋鑑識裝置的方式則為依據型號尋找,製造商品牌為Samsung,而手機種類為觸控式,最後再依據手機型號名稱就可以找到目標。

點選手機型號後,就會顯示出XRY萃取目標手機資料的程度及條件,而萃取方式分為邏輯萃取和實體萃取兩部分。

如圖7及圖8所示,在邏輯萃取的部分,連接方式限用USB連接線連接,能夠萃取的資料包含電話紀錄、簡訊、E-mail等;而無法萃取的資料包括相片、影片、音訊、檔案等,都無法萃取出其內容。


▲圖7 XRY支援Samsung GALAXY Gio GT-S5660邏輯萃取的內容及限制。


▲圖8 XRY支援Samsung GALAXY Gio GT-S5660實體萃取的內容及限制。

至於實體萃取的部分,同樣地連接方式限用USB連接線連接,除此之外,Android的版本必須為2.2.1以下才能進行實體萃取,而能夠萃取的內容也只有檔案一項,其餘諸如簡訊、E-mail、通話紀錄等,都無法經由實體萃取而獲得。

確認型號後,即可選擇要進行邏輯萃取或是實體萃取,本次要萃取Facebook Messenger App對話訊息,因此選擇實體萃取,之後選擇要儲存萃取結果的位置,並將該檔案命名。

儲存之後,該檔案會有「.xry」的副檔名,表示這個檔案為XRY程式專用的檔案,只能利用XRY程式開啟。

等待萃取流程結束後,就可以開始進行分析資料的工作。此步驟須注意的是,完成實體萃取後,會再回到選擇實體萃取和邏輯萃取時的畫面,但會多出一個Finish選項,如圖9所示。


▲圖9 完成實體萃取後的畫面

若將此視窗直接關掉,會造成資料萃取失敗,應該要先點選Finish選項後才算真正完成。完成之後,會直接跳出實體萃取的資料。

實體萃取完成後,就可以開始分析實體萃取的結果,XRY將實體萃取的結果區分為DEVICE、FILES、XRY SYSTEM三大項,如圖10所示。


▲圖10 實體萃取結果畫面。

關於圖10中的專有名詞,說明如下:
●DEVICE:對於本次進行萃取的目標手機進行一般性介紹。
●FILES:本次範例中的實體萃取因為只支援FILES一項,所以真正包含萃取結果的就只有這一項。又再分為圖片、文件、檔案、未配置區域四個小項目,在「圖片」項目中包含網路上瀏覽過的圖片,以及Facebook Messenger App對話雙方使用的圖像。其中本次首要萃取的Facebook Messenger App對話內容即在「未配置區域」的項目中。
●XRY SYSTEM:記錄了本次進行XRY資料萃取的標的,以及對其萃取的限制與內容,還有萃取的流程紀錄。

本次分析的目標,即Facebook Messenger App中的對話內容,其資料就在「FILES/UNRECOGNIZED/threads_db2」資料夾中,此資料夾包含Facebook Messenger App的許多內容。

在「messages」的子項目中可以找到對話內容、訊息來源方、傳訊類別、時間戳等,其中從對話內容和訊息來源方對照可以清楚得知交談內容,如圖11所示可以發現確實有詳細的對話內容紀錄。


▲圖11 「messages」的子項目中可以找到對話內容、訊息來源方以及時間戳。

從傳訊類別可知該訊息傳送時使用的程式,例如該欄位顯示messenger表示使用Facebook Messenger App,chat表示使用電腦版的Facebook聊天室,而mobile代表使用行動裝置上的Facebook進行對話。此外,利用時間戳的對照,即可了解對話進行的順序。

除此之外,在「thread_users」的子項目也能找到對話雙方的姓名,如圖12所示。


▲圖12 在「thread_users」的子項目能找到對話雙方的姓名。

另外,在「FILES/PICTURES」資料夾,即實體萃取的圖片項目中,可以找到對話雙方的大頭貼圖像,而每傳送訊息一次就會萃取到一次圖像內容,因此萃取出來的圖像與訊息傳送的數量相同,如圖13所示。


▲圖13 圖片萃取結果。

實例演練 

在本例中,加害人Alice(A)偽裝為被害者「林OO」之好友「王OO」,要求其協助接收團購認證碼以進行詐騙,為證實加害人Alice確實利用Facebook Messenger App進行詐騙,針對加害人Alice之手機進行Facebook Messenger App對話之萃取,以獲取證據,其關係如圖14所示。


▲圖14 詐騙行為之關係。

情境背景 

加害人Alice所使用的手機為Android智慧型手機,而進行鑑識所使用的工具軟體是XRY。加害人Alice使用Facebook的手機傳訊應用程式Facebook Messenger App進行犯案,先偽裝成被害人的好友,再誘使被害人提供身分證字號並配合提供認證碼,使得被害人遭到金錢詐騙,其對話內容如圖15所示。


▲圖15 加害人Alice偽裝被害人好友進行詐騙之內容。

鑑識與分析

利用XRY對Alice所使用之Android智慧型手機進行實體萃取以及邏輯萃取。在實體萃取的部分,如圖16~17所示,確實可以從threads_db2中的messages找到Alice與被害者之間的明確對話內容,而在thread_users可以找到對話時雙方使用的身分名稱。


▲圖16 實體萃取結果之明確對話內容。


▲圖17 對話時雙方使用的身分名稱。

此外,實體萃取後也可以發現雙方對話時使用的圖像,而由其中的對話內容可以得知Alice對被害人的詐騙行為,而從對話時的身分能夠確定Alice確實冒用被害人好友身分,以上皆可用於證實Alice之非法行為。

在邏輯萃取中,除了可以了解Alice的手機中使用了那些軟體外,也能夠透過曾經連上的網路掌握其蹤跡,另外還有電子郵件、位置的歷史紀錄等,都可用於進一步的調查,如圖18所示。


▲圖18 邏輯萃取的結果。

證據推論 

從以上的資料分析結果推論,可以從Alice的手機中得知Alice偽裝「王OO」此一名稱,與被害者「林OO」利用Facebook Messenger App進行對談,而從對話訊息的內容之中了解到,加害者Alice確實有對被害者「林OO」進行詐騙的行為,如此一來,調查人員就可以利用這些資料作為證實犯罪者Alice犯行的其中一項證據。

結語

非法行為總是隨著最新科技發展而不斷更新,因此數位證據的取得也必須跟著日新月異。Facebook Messenger App是Facebook新開發的應用程式,而非法者已經開始將其作為非法工具進行非法行為,使得許多Facebook Messenger App的使用者一不小心就成了被害者,因此對於Facebook Messenger App的鑑識有其必要。

<本文作者:中央警察大學資訊密碼暨建構實驗室(ICCL),民國87年12月成立,目前由王旭正教授領軍,實驗室成員共有20名,並致力於資訊安全、資料隱藏與資料快速搜尋之研究,以確保人們於網際網路世界的安全。(http://hera.im.cpu.edu.tw)> 

轉載自《網管人》

超危險iBanking變種手機惡意程式 黑市只賣5千美元 恐促成大感染災情

超危險iBanking變種手機惡意程式 黑市只賣5千美元 恐促成大感染災情

近日,知名防毒軟體賽門鐵克發現,iBanking木馬已進化成更具危險性Android惡意程式,不但可輕易竊取使用者的手機資訊、電話內容、SMS訊息和GPS位置等,而且在黑市兜售只賣5000美元,未來恐發生Android裝置大感染災情


近日,根據知名防毒軟體賽門鐵克分析發現,過去專門鎖定網路銀行帳戶攻擊的iBanking木馬,已被駭客改造為更具危險性Android惡意程式。除了會竊取使用者手機資訊,包括像是手機號碼、型號以及作業系統資訊,還可竊聽電話、錄音內容並攔截各種SMS收發訊息和取得GPS位置,還會將竊取資料即時上傳至該控制服務端,而當使用者逕行刪除或干擾時,該惡意程式還會防止其刪除或恢復成手機原廠設定。


這個iBanking惡意程式主要經由社交工程手法引誘使用者受騙上當,先透過已被感染金融木馬的PC電腦作跳板,當使用者開啟銀行或社交網站時,隨即會跳出頁面訊息框,要求使用者也在Android手機安裝APP(APK格式)以提供額外防護,由於偽裝成就像是真正社交或銀行網頁,使用者往往不經意就將惡意程式下載至Android裝置上。

不過更令人驚訝的是,賽門鐵克研究員分析後也發現,該惡意程式本身也加入AES加密與代碼混淆(code obfuscation)保護,並且當偵測正開啟於逆向工程的虛擬主機上時,該惡意程式也不會「正常」啟動,來防止資安人員取得更多有關該惡意程式訊息,或遭其他駭客同業竊取程式。

另外,該惡意程式也可經由黑市取得,儘管售價達5,000美元,但已成為網路犯罪集團擴大對金融機構的攻擊手段。而隨著其來源碼外流,賽門鐵克也表示,近日發現iBanking攻擊有逐漸增長趨勢,未來恐將成為駭客竊取他人手機資料之用。

儘管目前尚不清楚多少Android行動裝置,曾遭受到iBanking惡意程式的攻擊受害,不過自從去年8月發現此惡意程式迄今至少也經過10個月。去年底也曾發生過一名駭客以此惡意程式從周遭朋友竊取65,000比特幣的實際案例。

轉載自《iThome》

立院個資法修法方向引臺權會爭議

立院個資法修法方向引臺權會爭議

立法院進行個資法草案修正,臺灣人權促進會批評修法方向形同放寬敏感性個資的使用,將使民眾不易理解敏感性個資的價值


立法院日前在司法及法制委員會進行個資法草案修正,修法方向包括:原本書面同意要項放寬為只要表達同意即可,也將病歷視為敏感性個資,並允許只要當事人書面同意就可以使用敏感性個資。不過,臺灣人權促進會(簡稱臺權會)執行秘書邱伊翎批評開放敏感性個資的修法方向,她認為,許多民眾不見得體認到敏感性個資的價值,開放讓個人同意就可以使用敏感性個資,反而讓敏感性個資的使用與一般個資的使用沒有差別,缺乏對敏感性個資的嚴謹保護。

新增病歷為敏感性個資,獲當事人書面同意則可使用

為了避免個人隱私遭到濫用,敏感性個資除特定情況外,一般都不能蒐集、處理和利用。個資法正式施行時,便暫緩實施關於敏感性個資(第六條)的規定,過去1年多的時間,包括醫療、基因、性生活、健康檢查及犯罪前科的個人資料,都視為一般個人資料。也就是說,只要符合現行個資使用告知特定目的,再加上當事人書面同意後,公務及非公務機關就可以針對敏感性個資進行蒐集、處理和利用

此次立法院司法及法制委員會進行個資法修法時,將原本第6條規定的敏感性個資:醫療、基因、性生活、健康檢查及犯罪前科,新增加「病歷」做為敏感性個資。法務部政務次長陳明堂表示,由於一般人對於醫療、病歷和健康檢查之間的差異並不清楚,為了落實對民眾敏感性個資的保護,委員會修法時,便增加病歷為敏感性個資。

雖然敏感性個資原則上都不得蒐集、處理和利用,除了保留原本「法律明文規定」、「公務機關執行法定職務或非公務機關履行法定義務所必要,且有適當安全維護措施」、「當事人自行公開或其他已合法公開之個人資料」及「公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的,為統計或學術研究而有必要,且資料經統計或學術研究者依其揭露方式無從識別特定之當事人」等規定,可以例外使用敏感性個資外,此次進行委員會修法時,更新增加「為協助公務機關執行法定職務或非公務機關履行法定義務所必要」及「經當事人書面同意」就可以使用敏感性個資的條款。

對於犯罪資料的使用,往往很難獲得當事人的書面同意,所以此次委員會修法時,特別將犯罪資料的使用獨立出來,除了上述6種的例外使用原則外,若是為了「維護社會秩序」或「增進公共利益」,就可以蒐集、處理和利用犯罪資料。

陳明堂便舉例,若是為了確認在幼稚園和國中小任職的老師是否為狼師,聘任前,就可以參照「維護社會秩序」或「增進公共利益」的精神,向有關單位確認聘任教師的消極資格,就不需要徵得當事人的書面同意。不過,該法修訂時也強調,「犯罪前科的蒐集、處理或利用的範圍、程序及其他應遵行事項,則需由中央目的事業主管機關會同法務部訂定。」

個資法屬於普通法,若有其他專法屬於特別法,在法律的適用上,視「特別法優於普通法」。邱伊翎認為,在敏感性個資的使用上,除了原先規範外,新增經「當事人書面同意」後就可以使用敏感性個資的規定,和現行一般個資使用除了告知特定目的並徵得當事人書面同意的規定是一樣的,「這樣的修法,形同放寬敏感性個資的使用。」她說。

對於犯罪記錄的敏感性個資使用應該更嚴謹,邱伊翎認為,雖然不用經過當事人同意,但也不應該是公務機關與非公務機關都有權可以查詢使用。她希望,未來在朝野協商時,應該對此做更細部的討論,對於一般更生人或性侵犯的個資使用方式,也應該有所不同。

表示同意不一定要書面,但蒐集者仍須負舉證責任

現行個資法規定,個資的使用都必須徵得當事人的書面同意,不過在實務操作上,經常有許多窒礙難行之處。因此,此次委員會修法時,便明定「當事人如果沒有表示拒絕,並且已經提供其個人資料時,可以推定當事人同意提供個資給個資蒐集單位使用。」

但是,為了避免個資蒐集單位因為放寬規定而濫用當事人個資,陳明堂說:「個資使用有疑慮時,個資蒐集單位必須負起舉證責任,證明當事人確實同意並提供個資,供個資蒐集單位使用。」

此外,這次的委員會修法也規定,只有意圖販售個資謀利的行為才需要負刑責,其餘都以民事責任為主

邱伊翎表示,臺權會基本上同意,不是所有違反個資法的行為都需要有刑責,但是,公務機關外洩個資通常不為營利,可能是基於某些不當行為,卻沒有任何懲罰條款,只能進行漫長的國賠。她認為,對公務機關的規範不應該比對非公務機關的規範鬆散。

個資法正式施行時,也暫緩一年內對間接蒐集個資補行告知的條文(第54條),委員會修法時也附帶決議,要求行政院在通過此次委員會修法版本後,必須在3個月內實施,也要求相關主管機關應該要求所轄非公務機關,完成補告知的義務,不應該無限暫緩補行告知的條文。

轉載自《iThome》

殭屍網路感染全球POS系統,台灣也受害

殭屍網路感染全球POS系統,台灣也受害


Nemanja殭屍網路一開始是在被害系統上嵌入鍵盤側錄軟體,以攔截進入後端系統及資料庫的憑證,並藉以存取付款或個入身份資料。該殭屍網路影響了包括台灣在內36個國家的1478個POS裝置、會計系統及雜貨管理平台。

專門調查有關零售資訊系統(Point-of-Sale)網路威脅的資安業者IntelCrawler指出,他們偵測到一個名為Nemanja的殭屍網路,影響了包括台灣在內36個國家的1478個POS裝置、會計系統及雜貨管理平台。

根據IntelCrawler的分析,多數被危害的POS終端、會計系統或雜貨管理平台都安裝了防毒軟體,但此一發現顯示這對現代的POS惡意程式來說是不夠的。Nemanja一開始是在被害系統上嵌入鍵盤側錄軟體,以攔截進入後端系統及資料庫的憑證,並藉以存取付款或個入身份資料。

此外,不同業者所推出的POS軟體或會計/雜貨管理系統都有可能成為目標,IntelCrawler統計出至少有超過20種軟體受害,涵蓋BEpoz Point of Sale System、FuturePOS、IGManager、QuickBooks Pro Accounting Software、RetailIQ POS或WinSen Electronic Manager等。

IntelCrawler說明,他們在這些軟體中發現了Nemanja的足跡,這並不代表這些軟體含有安全漏洞,而是為了揭露在不同國家所使用的零售、會計或雜貨管理系統已受到POS惡意程式的波及。

IntelCrawler認為Nemanja是來自塞爾維亞的駭客集團,該集團利用Nemanja從這些受到感染的裝置及系統中取得消費者的信用卡資訊,然後透過黑市販售。

去年美國第二大零售連鎖商店Target的POS系統遭到駭客入侵,潛在外洩資料高達1.1億筆,美國精品百貨Neiman Marcus與美國工藝美術連鎖商店Michaels Stores亦相繼傳出類似的災情。當時美國特勤局的調查即顯示,針對POS的惡意程式可能已經感染大量的零售資訊系統。Verizon去年的資料外洩調查報告亦指出,網路應用攻擊、網路間諜,與POS入侵是2013年企業資料外洩的三大主因,所佔比重分別是35%、22%及14%。

轉載自《iThome》

紐西蘭國家研究組織NIWA超級電腦被駭

紐西蘭國家研究組織NIWA超級電腦被駭


根據外電報導,NIWA所使用的超級電腦為造價1270萬美元、由IBM開發的FitzRoy,來自中國的駭客在上周四企圖存取FitzRoy,NIWA採取緊急措施,切斷FitzRoy的聯外網路,並把FitzRoy的任務移到備用的設備上。

紐西蘭的水和大氣國家研究組織(National Institute of Water and Atmospheric Research,NIWA)周一(5/26)證實,上周有駭客嘗試入侵該組織所使用的超級電腦,他們緊急將系統下線,讓駭客未能得逞。

根據外電報導,NIWA所使用的超級電腦為造價1270萬美元、由IBM開發的FitzRoy,來自中國的駭客在上周四企圖存取FitzRoy,NIWA採取緊急措施,切斷FitzRoy的聯外網路,並把FitzRoy的任務移到備用的設備上。

NIWA則說,駭客並未成功存取FitzRoy,此外,該台超級電腦主要用來執行科學模型及服務,因此並無儲存任何機密的個人或客戶資料;他們與IBM聯手進行一系列的測試,確定無礙後已於周六(5/24)讓FitzRoy重新上線。

日本東京大學Kavli宇宙數學物理研究所也在今年2月傳出超級電腦遭非法存取的消息,該台超級電腦主要用來分析自各地蒐集而來的天文、數學,與物理資訊,駭客竊取了該超級電腦所儲存的研究人員憑證,並企圖使用這些憑證登入日本其他研究所的伺服器,Kavli發現此事後也是立即切斷聯外網路來因應。

雖然NIWA於官方新聞稿中沒有公布攻擊來源,但當地媒體宣稱該攻擊源自中國。

美國甫於日前以網路間諜罪起訴隸屬於中國61398部隊的5名軍官,指控這些軍官駭客位於美國的6家私人企業,產業別橫跨電力、鋁業、鋼鐵與太陽能。61398部隊曾被資安業者Mandiant點名為專門從事網路間諜活動的中國部隊,可能編列數百至數千名人力,受害的單位亦遍布全球,而中國則反駁說,這是美國所捏造、無中生有的事。

轉載自《iThome》