2014年7月31日 星期四

這麼神! 拜完月老電話就來…是婚友社

這麼神! 拜完月老電話就來…是婚友社

七夕情人節快到了,未婚男女求姻緣,都會到寺廟拜月老,北港朝天宮的月老殿,還可以寫祈願卡,卡片上印有姓名跟電話地址欄,有人老老實實的填寫,結果沒多久就接到電話,竟然是婚友社打來問要不要報名徵婚,民眾質疑個資外洩,但寺廟強調,可能是婚友社偷抄電話。

月老前拜託再拜託,真命天子趕快出現,擲筊、上香,最後再寫一張祈願卡,留下想祈求的願望,有民眾拜完後沒多久,回家就接到電話,當然不是月老打的,而是婚友社,問他要不要報名參加。民眾:「只是拜而已,應該不會留個資。」

偷偷跟月老說的秘密,怎麼會被婚友社知道?問題就出在這些祈願卡裡,卡片上除了寫願望,還有幾行印著祈願者地址和電話,有人老老實實留下。廟方:「真的有人有留電話,所以還是有人有留電話。」

廟方懷疑,婚友社知道這裡是最大的「客戶專區」,所以偷偷跑來抄走個人資料,趕緊張貼公告,警告個資法,小心觸法。廟方:「許願的這些男女朋友,最好在寫資料時,不要將你的電話寫在上面。」

但最好的解決辦法,還是得修正祈願卡的寫法,否則渴望姻緣的民眾一定會想說,寫得越仔細,月老的紅線越會找到你,誰會想到寫得越仔細,紅線先牽到婚友社那裡去。

轉載自《Yahoo奇摩新聞

2014年7月30日 星期三

駭客有利可圖 手機比電腦更易中毒

駭客有利可圖 手機比電腦更易中毒

大部分的人都認為手機比電腦中毒機率還低,事實卻不是如此,因為現在智慧型手機擁有許多的使用者,這讓駭客覺得有利可圖,於是開始有很多駭客從駭PC轉往攻擊手機,科技新報整理出7項手機常會遇見的病毒,並教你如何降低中毒的風險。

新聞圖片

1、流氓程式
有些駭客會設計正規的APP程式,但其實是一套「流氓軟體」,會偷取你手機裡面的個人資料,或是植入一些惡意的程式到你的手機裡,所以在下載APP前,應該要先了解該APP的來源,確保它的安全性。

2、網路連結
現在手機也能從網路上下載內容、可以連結到另一個網站,不要以為網站的網址開啟連結,只有電腦會被傳到病毒,現在手機也可能會中標!由此可知,手機也需要安裝防毒軟體,再下載程式或開啟網站前,先過濾,並且再下載程式前先對下載的程式掃描一遍,降低中毒的危險。

3、連接到受感染的PC
如果本身電腦就中毒,當手機用USB與電腦連線病毒也會傳到手機上面,所以當手機以 USB連到電腦之前,需先確保防毒軟體能夠即時而完整掃描USB連線以及裝置與PC連線的資料傳輸。

4、訊息的附加檔案
現在駭客也常用一些附有網址的簡訊或是一些影音訊息騙取你點入,也可能用你朋友的LINE或其他通訊軟體傳送附件,所以若收到任何需要點開或影音訊息時最好先確認清楚,再進一步動作。

5、藍牙
只需利用特殊軟體和天線,駭客就能夠攔截藍牙所傳送的訊號,進一步存取你手機上的資訊,甚至還可以寄發簡訊或是撥打手機電話。

6、語音信箱
業者通常會提供使用者一個外部的號碼,讓使用者可以透過遠端存取自己的語音信箱,第一次使用這項服務時,業者會要求你使用預設的PIN碼,但其實業者所提共的預設PIN碼簡單、易猜,如果從未進入該語音信箱並更改PIN碼,那駭客很有可能取得你的私人訊息,所以最好更改掉預設的PIN碼。

7、不安全的Wifi網路
連上公共Wifi其實會讓你的手機曝露在不安全的狀態之下,可能會讓第三方竊取到你的資料,使用Wifi時最好不要使用電子信箱,或是銀行APP。

轉載自《自由時報

YouBike微笑單車洩很大!211萬會員個資恐外洩

YouBike微笑單車洩很大!211萬會員個資恐外洩

YouBike微笑單車受人歡迎,只要註冊成為會員就能租借、悠遊大台北,至今台北市共有163個租借站,註冊會員卡的數量更高達211萬。但台北市議員許淑華指出,即便交通局與捷安特公司在契約中明定「不得將台北公共自行車資料洩漏予第三人」,但會員服務條款中,卻允許捷安特公司將會員的個資用於「其他經營合於營業登記項目或組織章程所訂之業務」和「其他經營公共事業業務」,恐造成個資恐外洩問題。

YouBike_YouBike 臺北市公共自行車臉書
圖/翻攝自YouBike 臺北市公共自行車臉書

根據《中國時報》報導,交通局科長劉嘉祐表示,捷安特與悠遊卡公司、微程式公司共同籌組團隊,承攬公共自行車業務,強調會員資料只使用於發送會員通知、租借系統等;他也承諾將在1個月內檢討修正,規範個資的使用範圍。


轉載自《三立新聞台

2014年7月29日 星期二

3款手機個資外洩 需速更新軟體

3款手機個資外洩 需速更新軟體


3款手機的內建應用程式有缺陷,恐導致個資外洩。行政院消保處7日說,包括HTC New One、Samsung Note 3或Sony Xperia Z智慧型手機,出現程式問題,業者雖已全數改善,但未更新軟體的原廠新機仍不安全,建議消費者盡速更新並下載防毒軟體,以防護個資。

消保處去年10月與資策會合作,檢測安卓系統市占率排行榜前3名的旗艦型手機,12月底檢測完成並與廠商展開協調,至6月底陸續完成改善工作。處長劉清芳解釋,在廠商改善後才公告較符合國際慣例,否則形同昭告駭客還有哪些漏洞可鑽。

明文儲存容易洩資

資策會資深工程師洪光鈞說明,此次係參照民間常用的「行動裝置10大資安漏洞」進行檢測,發現HTC、Samsung和Sony等3款手機,各有4項、3項及6項資安缺失

3款手機共通的缺失為,內建的筆記本應用程式以明文方式儲存資料,加上儲存目錄權限設置不當,恐有資料外洩疑慮;此外,HTC New One的Wi-Fi熱點密碼以明文方式儲存,恐遭竊取;Samsung Note 3以SSL加密連線時,不會驗證憑證;Sony Xperia Z部分應用程式以明文記錄密碼,登入時恐遭竊取

洪光鈞指出,駭客必須先讓目標手機感染惡意程式,才能竊取其中資料,如點擊LINE上來路不明的訊息或郵件地址,就是最常見的管道;若遭感染,駭客即可透過惡意程式,取得手機內未加密登錄(即明文)的密碼或筆記本內資訊。另一常見的方式,則是架設未加密的無線熱點,一旦有人點擊連線,可能就會連線至駭客設計的釣魚和惡意網站。

注意更新廠商版本

記者向廠商查證回應。HTC表示,已解決上述資安疑慮,未來將持續與有關單位密切合作;Samsung表示,已在消保處提出前掌握疑慮,並給予消費者提醒,檢測後亦確認更新版本中無任何威脅;Sony方面則未取得回應。

至於手機資安問題應如何防範?消保官王德明呼籲,消費者應隨時更新為廠商釋出的最新版本;避免從谷歌或蘋果商店以外的平台下載應用程式;不點選來路不明的無線AP來源;未使用時,應關閉藍芽、無線或GPS功能;以及安裝手機專用的防毒軟體。

原文出處:台灣醒報
轉載自《Yahoo奇摩新聞

2014年7月20日 星期日

自行解釋法令 房仲:這些都是合法公開的個資!

自行解釋法令 房仲:這些都是合法公開的個資!

對於大多數的人,個資法還是一個遙遠而模糊的名詞,更何況很多企業,都還認為個資法與核心業務無關,也不會認真的考量這個議題,反正真的碰到相關議題,到時候再隨機應變就行了,這樣的案例最近又遇上了。

信箱裡有某家仲介公司寄來的業務拓展信,信件上面還寫著我的姓名和地址,裡面卻不斷介紹公司過往成交的業績。大概想一想就知道這些個人資料是從那裡來的,二話不說就直接打進了客服中心。

「小姐你好,我今天收到你們公司寄來的業務推展信,上面有我的姓名和電話,為什麼你們會知道我的個人資料?」

「不好意思,您方便告訴我們信上的內容嗎?我去看看信件的內容有沒有經過公司的審核,如果沒有經過公司的審核,那我們就會進行我們內部的懲處作業,也不好意思造成您的困擾。」

「小姐,對不起喔,你好像沒有弄懂我的問題,我是說你們怎麼會有我的個人資料,我才不管信件內容是講什麼。」

「那這樣您方便把那信件的地址給我嗎,我會進入系統將您的地址輸進去,以免您的地址以後再度收到類似的信件,至於說您的個人資料的部分,我們很抱歉,那我們就依照您提供的地址寄一份禮盒給您,表達我們的歉意,不知道這樣子您可不可以接受?」

「重點是依照個資法第九條,如果你們使用了我的個人資料,就必須要有告知,這和我以後再有沒有收到類似的信件是兩件事,似乎不應該把這兩件事相提並論。」

「有關您收到我們拓展信的部分,這部分我們真的非常抱歉,但我們也只是寄信而已,應該也還好吧,怎麼會有違法的情形呢?至於您說的個資法條文,這部分我真的不清楚,方便我把相關條文查好後再和您回報嗎?」

隔了一天,真的電話來了,對方劈頭就說:「您說的條文我看過了,上面不是有說嗎,只要是當事人自行公開或合法公開的個人資料,就可以拿來使用,我們的同仁也是從二代地政系統上面取得的,所以這些都是公開的資料啊,那我們當然可以拿來使用,這就應該不會牽涉到法律議題吧?」 「系統上面的資料是要確認交易是否真實,怎麼就變成你們推銷的工具,還說你們是合法利用呢?」

這絕對不是新的議題,但好像已經變成積非成是的想法,認為我只要拿得到個人資料,剩下的就是看個人的本事,已經完全忘掉當初為何要取得這些個人資料,甚至還可以自行解釋法令。以專業的說法,就是使用目的與利用目的是否相符。看來這些企業,除非是主管機關開始大刀闊斧的加以整頓,或是真的出了個資事故而有了巨額的賠償,不然這些企業,還是會抱持著多一事不如少一事的心態,個資保護作業,仍然是一個遙遠的夢想。

轉載自《資安人科技網

McAfee:惡意App盜領電子錢包、盜用權限

McAfee:惡意App盜領電子錢包、盜用權限

根據McAfee Labs最新公佈的2014威脅報告指出,行動應用程式app的盛行,讓許多行動裝置如智慧型手機使用者,一不小心就會安裝了被植入惡意程式的偽冒app,或是開放了過大的系統權限,很容易就會受到惡意人士的利用。 

McAfee表示,偽冒合法的行動app如手機遊戲,已是駭客用來散佈惡意程式的重要管道,只要使用者安裝了app並且開放權限,行動裝置上的通訊錄、定位資訊可能就會因此而外洩。另外,若讓惡意人士更進一步取得了管理者權限(root),更可以控制它用來偷偷錄音,以及傳送和接收SMS簡訊。

在這份威脅報告中的研究結果顯示,以下幾個行動惡意程式是目前最常被作為犯罪事件使用的,包括:

Android/BadInst.A – 這個惡意程式會濫用使用者的線上商店 (app store) 帳戶,並且在未經使用者同意之下,將權限開放給其他的app應用程式。

Android/Waller.A – 這隻特洛伊木馬會利用合法電子錢包的弱點,進而將錢偷偷轉入惡意人士的口袋之中。

Android/Balloonpopper.A – 這個木馬程式會利用訊息加密的弱點,將行動裝置上的文字訊息和照片,在使用者不知情的情況上分享出去。

藉由這份經由30個不同國家的研究者所產出的結果,McAfee強調,在2014年已有顯而易見的證據,顯示行動app的問題已經助長了更多犯罪事件的發生,因此所有的行動app開發者,必須小心自己所開發的app是否存在安全漏洞,以避免受到惡意人士的利用。而對一般使用者來說,在安裝app應用程式時也務必要提高警覺,以避免開放過多的權限,導致個人的隱私外洩。

轉載自《資安人科技網

TrapX:中國製產品掃描器內含惡意程式,殃及多家物流業者

TrapX:中國製產品掃描器內含惡意程式,殃及多家物流業者


TrapX並未揭露該掃描器製造商的名稱,僅透露該製造商位於山東,Zombie Zero惡意程式被安裝在採用嵌入式XP平台的手持掃描器中,並藉由銷售至全球的物流與運輸產業而滲透到這些業者的企業環境中。

資安業者TrapX發現有一中國業者所製造的手持式產品掃描器含有惡意程式,除了可將產品訊息傳送到遠端伺服器外,也能植入後門讓駭客存取企業的機密資訊。

TrapX在該掃描器中偵測到的惡意程式為Zombie Zero,該惡意程式屬於先進持續性威脅(Advanced Persistent Threat,APT)程式,TrapX懷疑這是一個由國家贊助的攻擊,鎖定的是物流與運輸產業。這是屬於武器型的惡意程式,被安裝在採用嵌入式XP平台的手持掃描器中,並藉由銷售至全球的物流與運輸產業而滲透到這些業者的企業環境中。

此一手持掃描器主要是用在運輸裝置上裝載或卸載商品時進行點收,所掃描的資訊包括商品來源、目的地、內容或價值等,而且可透過無線網路傳送到企業的ERP系統中,即使客戶在掃描器上安裝了安全認證機制以確保傳輸安全,但由於該惡意程式是在製造時便安裝,因此可直接繞過該認證機制。

TrapX說明,一旦掃描器連結到無線網路,它就開始利用SMB協定針對企業環境進行攻擊,其中有一名受害客戶總計部署了48台掃描器,其中有16台受到Zombie Zero的感染。此一惡意程式還會鎖定特定的伺服器進行攻擊,例如含有金融(finance)字眼的主機,它同時接收來自中國山東藍翔高級技工學院及北京殭屍網路的命令,可竊取企業伺服器上的各種資訊,包括其全球營運。

TrapX說明,此一惡意程式是被預裝在中國供應鏈業者的產品掃描器的軟/硬體中,然後提供給1家大型的製造商,以及7家物流與運輸業者。TrapX是在某家客戶的掃描器中發現該惡意程式,進而發現其他使用該掃描器的企業也受害。TrapX並未揭露該掃描器製造商的名稱,僅透露該製造商位於山東,該製造商亦否認知道產品中有惡意程式的存在。

轉載自《iThome

慘了!AD有洞不修不行但修了怕出事情!(含影片說明)

慘了!AD有洞不修不行但修了怕出事情!(含影片說明)

由微軟所提供廣泛被使用的目錄服務(Active Directory),近日被資安公司Aorato發現存在了安全弱點。

網址說明:http://www.aorato.com/

這項安全弱點是來自於微軟舊有的NTLM身分認證協定,它預設被使用在所有Windows XP SP3之後的作業系統,而在最新的作業系統中,使用的則是其繼任者Kerberos協定,但是它也可以相容於NTLM的認證方式。

根據資安專家在概念測試(PoC)的結果顯示,存在NTLM弱點的目錄服務伺服器,一旦遇上了被稱之為「pass-the-hash」的攻擊方式,就有可能因為攻擊者在某一用戶電腦中已獲得有效的登入憑證(hash),可以利用它來存取其他的應用系統或電腦。

微軟官方的漏洞說明與修正方式:
http://support.microsoft.com/kb/2871997


轉載自《網路攻防戰》

紅米 Note 暗地傳送資料至中國 機上盒、App 也藏木馬

紅米 Note 暗地傳送資料至中國 機上盒、App 也藏木馬

xiaominote china server

小米手機最近幾年無論在在中國或台灣市場的銷售都不錯,由於規格與價位相對划算,只要在網路上開放訂購,幾乎都以「秒殺」的速度被訂購一空。雖然小米機的有著高 CP 值的評價,不過最近在香港討論區中,使用者實測了小米推出的紅米 Note 手機,發現紅米 Note 居然會在背地裡傳送資料至中國伺服器,除此之外,多款中國推出的 Android 影音多媒體軟體也被報導內建木馬程式。

難以阻擋紅米 Note 背景傳送

香港手機討論區 IMA-Mobile 的使用者 Kenny Li 本身在測試紅米 Note 時意外發現,紅米 Note 會在沒知會使用者下,逕行與 IP 位於中國的伺服器連線,這連線資料傳送的動作多半是手機處於 Wi-Fi 連時發生的,而採用 3G 連線時則只會進行交握(handshake)連線,沒有明顯大量傳送資料。

為了解不同版本的差異,Kenny Li 還分別測試了中國本地發售的聯通版與在香港、台灣兩地販售的國際版,發現兩個版本同樣都會連線至中國伺服器,只不過前者情形更為明顯與誇張。除此之外,就算 root 把小米內建軟體移除並重刷其他版本 ,傳送的情形也依然存在,根據討論區的猜測,可能這部分的機制可能已寫在 firmware 中,無從改變。

至於紅米 Note 傳送了什麼東西呢?如果是韌體檢查等資料就算了,但從圖片來看,可以看到被指向中國伺服器是儲存照片的「Media Stroge」,這點就有點說不過去了,除此之外簡訊也同樣會經過中國伺服器,看來紅米 Note 會自行的幫使用者「審核」與「遠端備份」呢。

xiaomi-note-connect-to-china

xiaomi-note-connect-to-china-2

目前測試中只針對紅米 Note,尚不無其他小米手機是否有著類似的情形,因此本身對個人隱私較為敏感的人,恐怕是避開這些手機比較保險。

機上盒、影音 App 也有木馬

Unknown同樣也是來自香港的消息,《東周刊》也報導,透過網路安全公司 Nexusguard 的測試下發現,多款中國的影音機上盒與影音多媒體 App 都被內建了木馬。測試的四款機上盒有小米盒子第二代越獄版、英菲克 i9、英菲克 i6 和海美迪 H8 四部,結果發現小米、英菲克等三部都有名為「Android.Spy.origin.83」的木馬程式,英菲克那兩部更多了「Android.DDoS.origin.1」這個 DDoS 攻擊程式,海美迪則只有一個播廣告的木馬,算是危害較少的

影音軟體方面則發現 PPTV、PPS 影音、優酷視頻、風行視頻四個 Android 版的 App 均內建了「Android.Spy.origin.83」的木馬程式,而這幾個線上影音串流軟體又是普遍為使用者安裝使用的,而許多駭客則可透過這支木馬來安裝更具破壞力的惡意程式。

在一隻同時安裝了 PPS、PPTV 與優酷三個軟體的 Android,Nexusguard 的專家只要 5 分鐘就可以侵入手機,開啟手機的照片,甚至還可以啟用相機與麥克風功能,全程透過手機監看監聽,除了隱私受侵害之外,如果安裝其他的發送簡訊、盜打電話的功能,對使用者的直接傷害就更大了。

轉載自《科技新報

2014年7月18日 星期五

11 個強化 WordPress 網站安全的 .Htaccess 設定技巧

11 個強化 WordPress 網站安全的 .Htaccess 設定技巧

11 個強化 WordPress 網站安全的 .Htaccess 設定技巧

.htaccess 是一個設定檔,讓你可以控制該路徑下的檔案及資料夾,以及所有子目錄。這個檔案名稱是由 hypertext access 而來,能為大多數的伺服器環境使用。

對於許多 WordPress 使用者來說,他們第一次看到 .htaccess 檔案應該是在自定他們網站的固定網址時。為了使用更美觀的鏈結,而不是預設的鏈結格式(例如:http://free.com.tw/sample-post/ 而不是 http://free.com.tw/?p=123 ),我們必須將以下程式碼加入 .htaccess 檔案:

# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress

如果 .htaccess 不存在,你可以自己建立一個然後將它上傳。你需要做的只有建立一個空白的文字檔,將它儲存為 .htaccess 然後上傳到網站的根目錄。請確認在檔案的開頭有一個點,是不可漏掉的。

你也必須確認你的 .htaccess 檔案是伺服器可寫入的,WordPress 才能將適當的程式碼加入你的 .htaccess 。WordPress.org 建議把檔案權限設定為 644 。

.htaccess 檔案不僅用於固定網址,該檔案也能強化網站安全。數以百萬的 WordPress 用戶利用它來保護網站免於垃圾郵件發送者、黑客和其他已知的威脅。

在本文裡,我會分享一些用於 .htaccess 的程式碼片段,可以強化你的網站安全。相信你會找到一些對你有幫助的程式碼。

你可能也注意到上面固定網址的 .htaccess 程式碼是包覆於 #BEGIN WordPress 及 #END WordPress 裡。WordPress 可以更新這個標籤裡的程式碼,你必須把要新增的程式碼片段放置於你的 .htaccess 檔案的頂部或底部(在 #BEGIN WordPress 之前或 #END WordPress 之後)。

請注意…

.htaccess 是 WordPress 裡個性倔強的檔案,只要其中任何一個字符出錯,檔案就會出現錯誤。當錯誤發生時,它通常會影響到整個網站的運作,最重要的是你必須確保輸入 .htaccess 的程式碼沒有問題。

在開始前,備份一下你當前使用的 .htaccess 檔案吧!將它保存到你電腦裡安全的位置。如果可以,也能在雲端硬碟備份一份。

無論何時更新了你伺服器上的 .htaccess 檔案,記得回到網站重新整理一下,看看網站是不是還能正常運作。不要跳過這個步驟,因為確認網站運作正常是至關重要的一個步驟。如果你的網站給你一個白畫面,立即回復、還原 .htaccess 修改前的上個步驟。

如果你無法還原你的備份,那麼將伺服器上的 .htaccess 刪除,然後建立一個空白的 .htaccess 檔案並將它上傳。這將協助你使你的網站回復連線;當你的網站出現問題,這顯然是最重要的一步。

1. 保護 .htaccess
既然 .htaccess 擁有你整個網站的控制權,保護它遠離不相關人士就顯得很重要。以下的程式碼將讓黑客無法存取你的 .htaccess 檔,只需要透過 FTP 來修改 .htaccess 檔案(或是控制台的檔案管理)。

<files ~ "^.*\.([Hh][Tt][Aa])">
order allow,deny
deny from all
satisfy all
</files>

2. 保護 WP-Config.php
另一個重要的檔案是 wp-config.php。這個檔案裡包含資料庫的登入資訊,以及其他的系統設定。因此,明確的作法是禁止任何人訪問它。

<files wp-config.php>
order allow,deny
deny from all
</files>

3. 保護 /Wp-Content/
wp-content 資料夾也是 WordPress 相當重要的一部分,在這個資料夾裡包含了你的佈景主題、外掛、上傳的媒體檔案(圖片、影片)及快取檔案。

有鑑於此,這通常也是黑客下手的目標。當垃圾郵件發送者試圖破壞你的老網站,他必須將郵件程式傳到你的上傳資料夾。然後使用你的伺服器來寄送垃圾郵件;這麼做會使你的伺服器被列入垃圾郵件名單。

你可以透過創建一個獨立的 .htaccess 檔案來解決類似問題:

Order deny,allow
Deny from all
<Files ~ ".(xml|css|jpe?g|png|gif|js)$">
Allow from all
</Files>
你必須將 .htaccess 檔案獨立上傳到 wp-content 主目錄,例如 www.yourwebsite.com/wp-content/。這麼做只會允許 XML、CSS、JPG、JPEG、PNG、GIF 和 JavaScript 被上傳到媒體資料夾,其餘的檔案類型將被拒絕。

4. 保護 Include-Only 檔案
某些檔案是絕不用讓使用者存取的。你可以加入以下程式碼,來阻擋使用者存取這些檔案:

# Block the include-only files.
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]
</IfModule>

5. 限制存取 WordPress 控制台
另一個黑客覬覦的目標是 WordPress 控制台。如果他們獲取了存取該區域的權限,他們就可以在你的網站上為所欲為。

確保 WordPress 控制台更加安全,建立一個 .htaccess 檔案並加入以下程式碼:

# Limit logins and admin by IP
<Limit GET POST PUT>
order deny,allow
deny from all
allow from 12.34.56.78
</Limit>
請務必將 12.34.56.78 更改為你的 IP 位址(你可以在 What is My IP? 找到你的 IP Address),然後將它上傳到網站的 /wp-admin/ 路徑下,例如 www.yourwebsite.com/wp-admin/ 。

只有你能夠存取 WordPress 控制台,其他人將會被阻擋在外。

其他的管理員或作者的 IP 可以加在後面,你可以在 allow from 後面加入其他 IP,不同的 IP 間使用半形逗號來區隔,例如:

allow from 12.34.56.78, 98.76.54.32, 19.82.73.64

6. 封鎖某人進入你的網站
如果你知道某個來者不善的 IP 位址,你可以使用以下的程式碼將它拒於網站之外。舉例來說,你可以封鎖某些留下垃圾留言或是嘗試存取你 WordPress 控制台的使用者。

<Limit GET POST>
order allow,deny
deny from 123.456.78.9
deny from 987.654.32.1
allow from all
</Limit>

7. 將使用者傳送到維護頁面
一些維護外掛像是 Ultimate Maintenance Mode 和 Mainteance 相當實用,當你在維護網站時,可以顯示一個暫時的頁面給使用者,或是在你更新網站時。

不幸的是,維護外掛只有在你的網站運作正常時才起得了作用。

如果你想未雨稠繆,我建議你建立一個基本的 .html 頁面,將它命名為 maintenance.html 來提醒使用者目前網站遭遇一些問題,但會在短時間內恢復連線。當你的網站掛掉時,只要將以下程式碼加入你的 .htaccess 檔案,就能將所有流量引導至維護畫面。

RewriteEngine on
RewriteCond %{REQUEST_URI} !/maintenance.html$
RewriteCond %{REMOTE_ADDR} !^123\.123\.123\.123
RewriteRule $ /maintenance.html [R=302,L]
你必須要為你的網站來自定上方程式碼。變更上方的檔案名稱,來符合你的維護頁面路徑,你也必須加入你的 IP 位址,以便在維護狀態時不會被引導至維護頁面(讓你可以繼續調整網站),以上代碼使用 302 轉址確保維護頁面不會被搜尋引擎索引。

8. 禁止瀏覽目錄
讓未經授權的使用者瀏覽目錄下的檔案或資料夾是相當危險的一件事情。如要禁止訪問你網站的目錄,只要在你的 .htaccess 加入以下程式碼即可:

# disable directory browsing
Options All -Indexes

9. 允許瀏覽器快取
當啟動瀏覽器快取功能後,將允許使用者從你的網站儲存元件,而無須重新下載。

它用於設計元素,例如 CSS 樣式表和其它媒體內容,例如圖片。這是一個實用的技巧,因為當圖片上傳到網站後,很少會再次更新。瀏覽器快取能讓訪客直接讀取儲存在他們電腦裡的圖片,而不用從你的伺服器下載,節省頻寬、也提升了頁面載入速度。

啟用瀏覽器快取,你需要做的就是把以下程式碼加入 .htaccess 檔案:

## EXPIRES CACHING ##
<IfModule mod_expires.c>
ExpiresActive On
ExpiresByType image/jpg "access 1 year"
ExpiresByType image/jpeg "access 1 year"
ExpiresByType image/gif "access 1 year"
ExpiresByType image/png "access 1 year"
ExpiresByType text/css "access 1 month"
ExpiresByType application/pdf "access 1 month"
ExpiresByType text/x-javascript "access 1 month"
ExpiresByType application/x-shockwave-flash "access 1 month"
ExpiresByType image/x-icon "access 1 year"
ExpiresDefault "access 2 days"
</IfModule>
 ## EXPIRES CACHING ##

10. 重新導向一個網址
301 重新導向讓你可以通知搜尋引擎該鏈結已經重新移到新的路徑。它可以被用來重新導向一個網址、資料夾,甚至是一整個網站。

因此,它常被用於網址發生變化時,例如變更網域名稱、變更固定網址結構,或是變更頁面名稱(例如將頁面名稱從 my-news 變成 mygreatnews)。

要重新導向某個路徑,你需要做的就是加入以下程式碼:

Redirect 301 /oldpage.html http://www.yourwebsite.com/newpage.html
Redirect 301 /oldfolder/page2.html /folder3/page7.html
Redirect 301 / http://www.mynewwebsite.com/

11. 禁止直接連結圖片
直接連結的意思是某人直接取用你的圖片鏈結,然後將它分享到其他網頁上。這常發生在討論區,但大多數的網站擁有者仍然會這麼做。直接連結可能對你的網站帶來負面影響,包括使你的網站變慢,也會讓你的頻寬費用增加。

你可以禁止除了你的網站外的網站直接連結圖片,將以下程式碼加入即可。請確認將以下網址更改為你的網址。

RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?yourwebsite.com [NC]
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?yourotherwebsite.com [NC]
RewriteRule \.(jpg|jpeg|png|gif)$ http://i.imgur.com/g7ptdBB.png [NC,R,L]

當其他人試圖從其他網址瀏覽你的圖片時,他們將會看到禁止圖片,而這圖片可以變更為任何你想要的圖(在上面的最後一行設定圖片路徑)。

禁止直接連結可能導致一些 RSS 閱讀器無法顯示你 RSS Feed 裡的圖片。

希望以上的 .htaccess 檔案技巧對你有所助益。如你所見,它是一個可以完成許多工作的設定檔。如你是 apache 2.2 才可以服用本篇的寫法,2.4 部分語法改了,直接服用可能會噴了~~

本文參考資料為 WordPress Htaccess Tips And Tricks,原作者 Kevin Muldoon。
轉載自《台灣免費資源網站

報告:2014年上半年DDoS大型攻擊更頻繁

報告:2014年上半年DDoS大型攻擊更頻繁

2014年第二季超過100Gbps流量的攻擊規模共發生111次,今年上半年超過20Gbps流量的攻擊次數多達5733次,為2013年全年2573次的兩倍。


網路安全公司Arbor Networks發佈報告,顯示至今為止,今年上半年全球DDoS大型攻擊次數較過去更頻繁。

根據Arbor Networks安全報告ATLAS的數據,2014年光是第二季共發生111次流量超過100Gbps的攻擊,而今年上半年,流量超過20Gbps的攻擊次數更多達5733次,是2013年全年2573次的兩倍有餘。

該公司指出,2014年上年的DDoS的主題,就是「量」。這也是報告首度出現100次以上的100Gbps規模的攻擊。

今年上半年,該研究中心測得流量最大的攻擊規模為154.69Gbps,較上季的325Gbps來得小,平均攻擊規模也減少47%,然而若從10Gbps等級的攻擊時間來看,則從上季的54分鐘增加為本季的98分鐘。

以主要攻擊來源國來看,韓國佔15.1%,較前季增加2.6%,其次為美國,佔14.8%(較上一季增加3.8%),中國則佔了6.7%(較上季成長2.8%)。

安全公司並觀察到,本季的NTP放大攻擊(NTP amplification attack)平均及大流量攻擊次數皆較上一季為低,但卻較2013年全年來得高。研究人員指出,由於NTP的放大率接近1000倍,且攻擊工具愈來愈多,使利用NTP協定進行的網路攻擊較過去更容易。

研究人員表示,由於大流量攻擊整體而言更為普及,使得網路基礎架構寬裕的公司也會感受到頻寬不足的問題,企業也必須建構多層次防禦來確保安全。

轉載自《iThome》

2014年7月16日 星期三

新北市政府警察局導入ISO 29100 確保民眾監錄影像個資安全

新北市政府警察局導入ISO 29100 確保民眾監錄影像個資安全

新北市政府警察局是台灣第一個通過 ISO 29100:2011 認證的公務機關,然而他們認為導入ISO 29100標準的目的,不是在取得證書,而是藉由ISO流程與管理辦法,讓警局同仁了解什麼是個資,並將個資保護的觀念烙印在腦海中。

個資法上路至今將近2年,在這段時間中,雖然還沒有出現因為個資外洩而受主管機關(或是法律)懲處的案例,但是許多機關組織仍不敢掉以輕心,持續強化組織內個資保護的工作,新北市政府警察局便是其一。

新北市政府警察局於2013年導入ISO 29100:2011個資保護規範,以「刑案監視器影像查詢系統」影像審核管理流程為主要範圍,並於同年10月通過TUV NORD稽核認證,成為台灣第一個通過 ISO 29100:2011 認證的公務機關,有效管理這些含有民眾個資的監錄影像,確保其完整性與安全性。

新北市政府警察局資訊室主任蘇清偉表示,刑案監視器影像查詢系統主要提供轄下4個直屬大隊、16個分局、158個分駐(派出)所使用,以利偵辦各類刑事案件,由於使用規模龐大,因此採分階段方式取得驗證,2013年的驗證範圍以海山分局、刑大、少年隊、婦幼隊為主。


新增稽核程序 確保監錄影像不任意流竄
在ISO 29100導入作業開始前,新北市政府警察局舉辦多場個資教育訓練,先建立內部同仁對於個資法的認知,希望他們在使用各項作業系統時,均能符合個資法規範,另外也要求各科室派出一位個資代表,負責個資盤點作業,最後再由法制室人員協助檢視個資盤點結果,確認手中所保存個資的適法性,並公告在網站上。

蘇清偉認為,這是建構個資管理制度中最困難的過程,個資盤點作業非常繁瑣且耗時,許多同仁因為感到麻煩而出現抗拒心理,可能不願意提供資料或認為自己手中沒有任何含有個人資料的檔案,資訊室只能再三勸說,並請導入顧問協助到各科室再一次說明何謂個資,逐一確認紙本與系統個資文件的操作傳遞流程,並繪製個資處理流程圖,以利後續每年定期個資盤點作業的進行。

除此之外,新北市政府警察局在導入ISO29100:2011認證過程中,還遇到了以下二個困難,第一是因應任務需求,人員異動頻繁,必須靠持續性教育訓練,才能維持同仁對使用「刑案監視器影像查詢系統」的熟悉度;第二則是在使用「刑案監視器影像查詢系統」作業過程中,需調整系統作業流程,確保符合個資法規範。

新北市政府警察局資訊室主任蘇清偉表示,導入ISO 29100標準的目的,不是在取得證書,而是藉由ISO流程與管理辦法,讓警局同仁了解什麼是個資,並將個資保護的觀念烙印在腦海中。

新北市政府警察局資訊室股長林宏成指出,調閱監視器影像幾乎是新北市每位員警每天必做的事情,如今取得ISO 29100認證後,既有監視器影像查詢及調閱程序中,也就多增加一個稽核的動作。

過往民眾報案後,派出所往上遞交案件至分局偵察隊,承辦人員會先確認程序是否合法、案件該由何人來負責,例如:肇事逃逸就要由交通大隊、刑事案件則交給刑大,負責偵辦案件的同仁就進入系統調閱資料。在導入ISO 29100前,同仁可以隨意儲存影像資料,甚至為了辦案方便,直接拿隨身碟或光碟複製影像,如今當影像資料儲存至系統後就不能輕易下載至個人的辦公電腦,負責偵辦案件的同仁如果要調閱甚至複製影像資料,必須向主管提出申請經過同意後才能進行,且系統會留存Log檔記錄同仁的操作行為,同時會讓同仁明白自身必須依照個資法規定妥善保管調閱後的影像,確保資料安全不外洩,並非調閱後就可任意儲存。

組織制度與文件 與ISO 27001整併 
現行與個資保護有關的作業標準相當多,新北市政府警察局為何選擇ISO29100:2011?對此,林宏成指出,一來是因為ISO 29100為國際標準,二來則是新北市警察局原先就導入了ISO27001:2005,警局同仁已經習慣ISO標準的作業模式(即PDCA),個資保護若也選擇ISO標準的話,導入速度會比較快,兩個制度也比較容易整併。

林宏成進一步表示,兩個標準可以整併的部份為組織制度與文件。先就制度面來看,整合了既有的資訊安全管理作業程序、資訊系統存取作業、資料庫管理、事件通報及內部稽核等各項制度,並調整原有資安管理審查機制,納入個資管理委員會所需成員,包括各科室的個資代表、法制與政風人員、媒體處理人員及資安小組,使資安及個資管理審查會合而為一。

至於文件部份,檢視ISO 29100所需要的四階文件及表單記錄格式,倘若該文件與資訊安全管理制度具有共通性,則予以整合,至於其他沒有共通性的作業例如:個資蒐集、處理、利用是否符合法律規範,則另外建置文件及程序書,一般來說,第二階以後的手冊、文件多半得重新建置,只有一階文件中的資安政策比較容易整併。

透過ISO流程與管理辦法 建構個資保護氛圍 
蘇清偉認為,導入ISO 29100標準的目的,不是在取得證書,而是藉由ISO流程與管理辦法,讓警局同仁了解什麼是個資,並將個資保護的觀念烙印在腦海中,之後無論使用任何系統只要牽涉到民眾個資,都會自然而然地用ISO作業程序來處理。

因此,主導者的態度要軟硬兼施,先說明為何要建立個資保護管理制度的原因,再強調如果不配合同仁自身要擔負的責任與風險,最後則是搭配獎懲制度,督促同仁做好個資保護。蘇清偉進一步指出,由於警察局不同於一般企業組織,對上級長官的服從度很高,因此資訊室利用每週由局長主持的週報,提報各單位在個資管理作業上的缺失,並提醒同仁該如何做好個資保護,此外,資訊室還會利用1個月4次的督導機會,巡迴各個分局檢視個資保護作業上還有哪些需要改進的地方,並提交督導報告,藉此形成一股壓力與氛圍,讓各單位主管積極監督下屬做好個資保護。

導入至今,對新北市警察局最顯著的效益是,提升全體同仁個資保護的觀念與作業安全防護;以前同仁拿來墊便當的回收紙,背面可能就是個資,又或者將個資的公文放在桌子上,如今已不會有這些作為,另外因為重新檢視個資安全防護措施並整併至資安管理制度中,無形中也強化了資安防護。

總結來看,新北市政府警察局導入ISO 29100的過程,第一步是要同仁接受個資保護的觀念,接著建立行政管理程序,第三經由業務督導程序確認同仁在執行公務的過程中有沒有違規或是其他問題,舉例來說,之前資訊室在進行實際稽核時,發現有部份同仁直接將實體公文書放在桌上,稽核人員先確認取得程序是否符合個資法規範,接著再提醒同仁應將資料放在個人公務櫃並上鎖,也因此進一步思索電子公文的保存安全性,最後採購加密軟體,加密存放電子公文,最後透過實際模擬情境演練,假設儲存設備不當遺失、紙本資料外洩...等不同資料外洩的狀況,再一一模擬相對應的處理方式,藉此強化危機處理能力。

新北市警察局局長陳國恩認為,以資訊科技推動警政業務是未來發展趨勢,尤其在偵辦各類案件上,若能善用資訊科技,將可有效提升整體刑案破案率,而隨著對IT的依賴日益加深,加強資安防禦也變得越來越重要,因此未來在個資防護上,將持續宣導個資保護的重要性,避免同仁因處理不當而違反法律規範,另外也將持續擴大驗證範圍,2014年預計將案件量比較大的分局,像是新莊、三重、中和、永和、板橋…等,納入驗證範圍裡,之後則視經費預算,逐步將各個應用系統導入ISO 29100:2011標準規範,持續強化自身所管理之個資保護作業安全。

轉載自《資安人科技網

IT產品有後門?中國政府為國安把關,台灣自由選用雲端服務

IT產品有後門?中國政府為國安把關,台灣自由選用雲端服務

暨今(2014)年5月Windows 8被大陸中央政府禁止採購之後,日前又傳出中國公安部發布通知禁止採購與使用賽門鐵克DLP,理由是內藏竊密後門與漏洞,並進一步呼籲改用中國國產軟體。大陸政府對於涉及國安與公共利益的系統所採用的技術已制訂安全審查機制,而台灣卻仍各機關各自決定,無一套標準,相當民主自由。 

媒體報導之後,中國賽門鐵克隨之發表聲明,表示該產品絕無後門,且其DLP產品於2011年已取得產品銷售許可證。根據熟悉DLP的業界人士指出,DLP產品中應該沒有任何程式會將資料回傳原廠,亦不會有錯誤通報功能的程式。不論如何,可以確定的是美國IT產品在中國市場遇到了極大的阻礙。根據大陸媒體報導,在5月下旬中國國家互聯網信息辦公室亦規定凡涉及國家安全和公共利益的系统所使用的信息技術產品和服務,都將進行安全審查,而這些措施也都有利於中國國產廠商。

反觀台灣在上(6)個月傳出環保署導入Gmail系統做為公務使用,引起專家學者對於國安外洩的隱憂,儘管環保署回應表示,在合約中已要求承商需盡保密義務,且對機密文件另訂有管控流程。但兩相比較之下,台灣政府對於外商IT產品/雲端服務相對地「公平、公正、公開」。

對於公務機關採用Gmail服務,某政府機關資訊長A先生直言此舉十分不妥。他指出,存在Google雲端服務裡的資料擺在哪裡沒人知道,同一份資料會複製三份,且在台灣沒有司法管轄權,資料即使被拿走也不能怎樣。除了Gmail之外,A先生提醒,伺服器存放在國外的Line也更是近期公務機關應慎防資料外洩的管道。

本土Webmail廠商網擎資訊執行長廖長健也強調司法管轄權的問題,一旦有國土安全議題或相關訴訟事件發生時,國外雲端服務供應商勢必會遵循該國法令要求,而調閱資料,客戶可能完全不知情,或者也無能阻止,這等於是將管理權交給別人。再加上,一旦發生資安事件,雲端服務供應商能否配合提供log作為調查?儘管可以在合約上要求,但在實務技術層面可能會有難度。因此,凡是與民眾福祉相關的公務機關或金融單位都應審慎評估採用此類服務的影響。

對此,掌管金融機構的金管會對於金融業採取雲端服務就有嚴格要求,由於銀行存有民眾帳戶、存款等重要資料,因此規定金融業的雲端服務供應商資料中心必須設立在台灣。廖長健進一步指出,網擎的Web mail雲端服務亦有日本政府採用,是因為網擎在日本也直接設立資料中心,且維運人員也是日籍工程師,符合日本法規。

臺灣網路防護協會樊國楨教授也表示,政府機關資訊系統委外的政策應謹慎考量國際法相關規定,根據北大西洋公約組織邀各國專家制訂的塔林手冊(Tallinn Manual on the International Law Applicable to Cyber Warfare),已使用數位基礎設施(Cyber Infrastructure)的名稱將關鍵基礎設施列為國家主權標的中,然而Gmail此類雲端郵件服務在戰爭時的國家主權卻可能不屬於我國。再加上此類郵件服務不屬於核電廠等禁止發動「資訊戰」之CI,卻是APT攻擊常見的標的,因此政府將電子郵件系統委外的資訊政策應該再審慎研議。

除了司法管轄權、國家安全/國家主權等議題之外,站在產業發展的角度,A先生認為扶植廠商有其必要,尤其是有資安國安疑慮的產品應該以國產為優先,例如email或手機。他認為,政府應該出來制訂一套統一的採購標準,哪些是採購國產產品為宜,哪些不受限制。而對於外國產品,也不應獨排中國,不論中國或美國都應一視同仁。


轉載自《資安人科技網

2014年7月15日 星期二

WordPress存在重大弱點 部落客請提高警覺

WordPress存在重大弱點 部落客請提高警覺

知名的WordPress是許多使用者用來架設部落格(blog)的好工具,但是最近被發現存在了重大弱點,可能讓已經下載超過170萬次被用來架站的部落格,受到駭客的入侵而導致失去網站的控制權。


根據網站安全業者Sucuri指出,這項弱點是存在於它所附加的電子報程式MailPoet Newsletters plug-in之中,因為程式中所隱含的安全漏洞(bug),可能讓攻擊者很容易地獲得網站的管理權限。

資安專家表示,在WordPress中的「Admin_init」是部落格管理人員用來設定使用者是否可上傳檔案的功能元件,通常只能在部落格後台的管理介面中使用,但是存在的程式問題,卻可以讓未經授權的攻擊者上傳任何的PHP檔案。換句話說,惡意人士可以利用藉此來取得網站控制權,進而用來散佈垃圾郵件、存放惡意程式,或是作為跳板來感染其他的網路使用者。

目前,WordPress是許多駭客喜歡用來作為釣魚網站或存放惡意程式的目標,因為透過合法部落格網站的掩護,很容易可以讓一些不知情的使用者掉入陷阱之中,而造成更多網路犯罪事件的發生。

針對這項安全弱點,WordPress已經發佈了更新檔案MailPoet version 2.6.7,呼籲所有使用WordPress的部落格管理人員,應盡快地進行修補,以避免淪為惡意人士的犯罪工具。

轉載自《資安人科技網》

500萬筆個資外洩? 104程式邏輯設計漏洞

500萬筆個資外洩? 104程式邏輯設計漏洞

日前中視新聞報導,104人力銀行系統有漏洞,500萬筆會員個資恐外洩。投訴人表示利用Chrome開發者工具Advanced REST client,「輸入一段遭破解的程式碼」,就可取得所有會員的履歷資料。在媒體報導前,此一問題已經修復。

DEVCORE執行長翁浩正表示,此一問題不在所使用的Advanced REST client,利用其他軟體也可以做到。主要是網站程式邏輯設計有問題,開發者沒有足夠的資安思維,沒有思考到表單上的資訊是可以被竄改的,例如說在 form 裡面的 hidden input(隱藏欄位)。

翁浩正指出,這類問題也是OWASP常見的程式安全問題,只要有找專業的資安服務廠商做滲透測試,應該可以馬上找出此類漏洞。


轉載自《資安人科技網》

2014年7月14日 星期一

微軟修補24個IE漏洞!

微軟修補24個IE漏洞!

最嚴重的可能讓IE用戶在瀏覽被植入惡意程式的網頁時遭遠端執行程式碼攻擊,受影響版本包括Windows及Windows Server的IE6到IE11,在Windows終端上風險為重大,不過在伺服器端上為中度風險。微軟並呼籲,Windows 7到8.1的用戶最好升級到安全性最高的IE 11。


微軟在本月的定期安全更新中發佈六項安全公告,修補IE及Windows產品共29項漏洞,其中包含24項IE安全漏洞。

六項安全公告中有二項為重大、三項為重要,另一項則為中度。二項重大安全更新中,MS14-037修補了IE一項已公開的安全漏洞及23項未公開的漏洞,全部都和IE記憶體損毀有關。微軟指出,最嚴重的可讓IE用戶在瀏覽被植入惡意程式的網頁時遭遠端執行程式碼攻擊,受影響版本包括Windows及Windows Server的IE6到IE11,在Windows終端上風險為重大,不過在伺服器端上為中度風險。微軟並呼籲,Windows 7到8.1的用戶最好升級到安全性最高的IE 11。

MS14-038則修補了Windows Journal中一項未公開的漏洞,如果使用者不慎開啟蓄意製作的筆記本檔案,可能使駭客得以遠端執行程式碼。受影響版本為Windows Vista到8.1等所有支援版本。

三項重要安全公告則全與Windows權限提高有關。MS14-039修補存在於多個版本的Windows漏洞,駭客可利用低完整性程序中的這項漏洞執行螢幕小鍵盤,並上傳惡意程式到受害電腦,進而提升權限等級。MS14-040修補Windows及Windows Server一項附屬功能驅動程式(AFD)漏洞,駭客若能登入電腦,即可利用本漏洞在核心模式下執行任意程式碼並安裝程式、修改資料,取得管理員權限。MS14-041修補的漏洞則來自Windows串流軟體DirectShow處理系統記憶體內物件不當。但駭客需先攻擊另一項低完整性程序中的漏洞,才能利用本漏洞執行特製程式碼,並提高權限。

轉載自《iThome》

Unisys:全球近7成的公用事業機構曾發生資安意外

Unisys:全球近7成的公用事業機構曾發生資安意外

Unisys調查599名來自13個國家從事石油、瓦斯、能源與製造業等公用服務的資安高層,發現有67%的受訪者表示他們的公司在最近12月至少發生過一次資安意外,另有24%表示受駭原因是來自於內部的攻擊或是人為疏失。


專門提供資訊科技服務的Unisys發表一份調查報告指出,在過去12個月以來,全球有近7成的公用事業服務供應商曾因安全漏洞而遭受營運中斷或資料外洩等意外,涵蓋電力、水,或其他重要服務的供應商。

Unisys的調查對象是599名來自13個國家從事石油、瓦斯、能源與製造業等公用服務的資安高層,發現有67%的受訪者表示他們的公司在最近12月至少發生過一次資安意外,另有24%表示受駭原因是來自於內部的攻擊或是人為疏失。

Unisys公布該報告的用意在於彰顯大多數的公用事業都曾面臨資安意外,然而將資安列為五大優先政策的公用事業供應商卻只有28%。

負責該調查的Ponemon Institute創辦人Dr. Larry Ponemon表示,這些產業都是全球經濟的骨幹,承受不起瓦解,然而相關企業對於安全保護的欲望卻不足以捍衛這些重大基礎設施免於遭受攻擊。

根據調查,只有17%的受訪者表示他們已部署並執行大部份的IT安全專案,有43%宣稱已有安全規畫但只有部署一部份,另有7%則是完全沒有安全規畫與部署,還有34%的受訪者表示企業並無即時警示或威脅分析等能夠阻止或減輕網路攻擊災難的機制

轉載自《iThome》

2014年7月13日 星期日

聯發科晶片智慧手機爆安全漏洞!收簡訊就會重開機

聯發科晶片智慧手機爆安全漏洞!收簡訊就會重開機

mtk-chiprender2

國外部落客發現,內建聯發科(MTK)晶片組的部分智慧型手機藏有安全漏洞,只要傳送特定簡訊就可在未經用戶同意的情況下將裝置重開機。Neowin 24日報導,法國部落客 Korben 指出,部分內建聯發科晶片組的智慧型手機,只要收到內容是「=」符號的簡訊時,就會重新開機。

這雖不會讓資料遭竊、並非嚴重的安全性漏洞,但大量垃圾簡訊卻會導致重複開關機、讓手機無法使用,而用戶在通話時若收到這種簡訊也會讓電話被迫中斷。


以下是受影響聯發科晶片智慧機的部份機型:
Img401296150

不過,Korben 指出,用戶只要停用手機原本內建的簡訊軟體、從 Google Play 線上商店下載其他替代用的即時通程式來處理簡訊,就能解決這項問題。

NDTV Gadgets 24 日也報導,Korben 指出,在聯發科的晶片組語言當中,「=」符號是「關機並重新啟動裝置」的代碼。值得注意的是,就算用戶並未打開訊息、或甚至還在通話當中,收到這種簡訊還是會導致手機重開機。

目前外媒尚未整理出受影響聯發科晶片智慧機的完整名單,但印度應該有很大一部分的手機都有上述問題。

轉載自《科技新報

Adobe Flash Player重大安全漏洞,可能洩露網站登入資訊

Adobe Flash Player重大安全漏洞,可能洩露網站登入資訊

三項安全漏洞中,CVE-2014-4671漏洞風險程度高過其他二個。Google安全工程師Michele Spagnuolo 指出,這是一個跨站偽造請求漏洞,可能讓攻擊者竊取網站登入資訊。


Adobe發佈Flash Player所有平台的安全更新,修補包括一項可讓駭客竊取使用者網站登入資訊在內的三項漏洞。

該安全更新旨在修補包括 CVE-2014-0537、CVE-2014-0539及CVE-2014-4671三項漏洞,受影響的產品包括Windows及Mac平台的Adobe Flash Player 14.0.0.125,以及Linux平台的Adobe Flash Player 11.2.202.378。Adobe建議使用者應儘速更新,以防駭客取得受害系統控制權限。

三項安全漏洞中,CVE-2014-4671漏洞風險程度高過其他二個。Google安全工程師Michele Spagnuolo 指出,這是一個跨站偽造請求漏洞(cross-site request forgery, CSRF),可能讓攻擊者竊取網站登入資訊。

Spagnuolo並對此製作名為Rosetta Flash的概念驗證攻擊工具,可以將包含惡意指令碼的Adobe Shockwave Flash檔案轉成只以英文字母及數字組成的檔案,以攻擊使用JSONP的網站。一旦這類網站的端點具有這項漏洞,即可透過Flash應用針對網站執行任意網域呼叫,繞過名為Same Origin Policy的防範政策,藉此攔截網站的cookie、取得敏感資料,再傳送到攻擊者控制的網站。

他指出,除了Google 帳號管理(accounts.google.com)、Books、Maps等服務網站及大型網站如eBay、Instagram或Tumblr等都受到該項漏洞影響。Google及Tumblr先後完成修補。

Adobe指出,Adobe Flash Player 14.0.0.125用戶應升級到14.0.0.145,而Adobe Flash Player 11.2.202.378版本則應升級到11.2.202.394版。

受影響的瀏覽器遍及Internet Explorer、Google Chrome、Firefox、Apple的Safari及Opera。但Internet Explorer 10 (IE10) 、IE11瀏覽器則會自動更新到最新Windows版,各自包含Windows 8.0及8.1版的最新Flash Player,而Google Chrome也會自動更新到最新Windows、Mac及Linux版Flash Player。

這表示IE 10之前的版本、Firefox、Safari及Opera用戶應該立即到Adobe Flash Player下載中心下載安裝最新版Adobe Flash Player。

Adobe表示,其他受影響的產品還包括Adobe AIR 14.0.0.110 及之前版本SDK、Adobe AIR 14.0.0.110 及之前版本SDK and Complier,和Android平台上的Adobe AIR 14.0.0.110及之前版本。三項產品用戶都需升級到Adobe AIR 14.0.0.137的對應版本。

轉載自《iThome

2014年7月11日 星期五

離職帶走營業秘密…觸法

離職帶走營業秘密…觸法

知名科技大廠聯發科在員工袁帝文離職後,調取袁帝文離職當日電腦使用紀錄,發現他從公司配發電腦中重製2,053筆資料,其中有208筆是聯發科擁有著作財產權的資料。 


圖╱經濟日報

袁帝文因為將這些資料存在行動硬碟帶離公司,被聯發科以洩露營業秘密等罪提告。

袁帝文回應,離職時他應主管要求把資料下載至公司行動硬碟中,下載完後也把硬碟交給主管,帶離公司的是用個人隨身碟備份的個人資料。

最後新竹地檢署裁定袁帝文不起訴,認為袁已將備份資料的行動硬碟交給主管,不能推論備份資料的行為有洩漏營業秘密。且後來檢調搜索袁的住處電腦,也沒有發現可疑的資料,犯罪嫌疑不足。

達文西個資暨高科技法律事務所主持律師葉奇鑫表示,員工離職時,只能帶走屬於自己的專利及著作權產物。相較之下,營業秘密既不屬於專利、又非著作權,如果員工在離職時涉嫌竊取營業秘密,就會被依違反「營業秘密法」處以刑事責任。若營業秘密流向中國大陸、港澳地區,更可能被加重處罰。

葉奇鑫解釋,營業秘密是指方法、技術、製程、配方等可用於生產、銷售及經營的資訊,其中關鍵的成立要件是「非一般人或同行會知道的事」。也就是說,若一項秘密能創造實際的經濟價值,且秘密所有人採取保密措施,就屬於營業秘密。

為了防堵離職員工和自家公司「打對台」,即使員工帶走的文件不符合營業秘密定義,雇主也有可能以違反「著作權法」對員工提告。葉奇鑫說,員工在工作時完成的著作,在聘雇契約中多會簽定著作財產權歸公司所有,因此公司也可以依盜用著作權的罪名對員工提告。

葉奇鑫指出,科技業或軟體業的關鍵技術影響公司競爭力極大,因此公司都會密切注意離職員工的動向,只要員工在新公司推出類似的產品,就會以營業秘密、著作權、背信罪等事由提告,且多要求員工負擔刑事責任,員工不可不慎。

員工離職時究竟能帶走什麼?葉奇鑫建議「實體東西最好都不要帶」。曾有一名員工將客戶資料印出後帶走,就被公司依違反竊盜罪提告,員工在離職時盡量不要攜出與工作相關的文件。

此外,多數工作者也多會習慣把平常做的簡報檔、程式或技術文件備份,離職時可能把這些備份文件存在隨身碟裡帶走,然而因為這些檔案的著作權是公司所有,公司也常因此控告員工竊取營業秘密。

葉奇鑫坦言,現今九成工作者離職的時候還是會習慣把資料帶走,但部分因對公司沒有特別威脅而沒有被告。員工若離職後要從事的工作和原公司有競爭關係,在整理、攜帶資料時就要特別小心。

在新公司後任職推出新產品,若不希望被舊東家控告竊取營業秘密,員工可儘可能提出程式或產品重新設計的證明,或是在工作時製作工作日誌,載明何時及如何發想產品功能等,法官也會視情況採納。

轉載自《中華人事主管協會

2014年7月10日 星期四

消保處點名三星、HTC、Sony三款手機具資安風險:資料以明碼儲存、權限控管寬鬆

消保處點名三星、HTC、Sony三款手機具資安風險:資料以明碼儲存、權限控管寬鬆

行政院消保處委託資策會資安所依國際資安研究單位標準檢測 HTC New One、Samsung Galaxy Note3 及 Sony Xperia Z 三款手機,發現存在13項可能的潛在資安風險,較多的風險為手機以明碼儲存資料,權限控管不夠嚴謹。


行政院消費者保護處(簡稱消保處)公佈三星(Samsung)、HTC、Sony三款智慧型手機資安風險檢測結果,發現三款手機存在資料外洩風險,包括以明碼儲存、應用程式權限控管寬鬆等問題,目前業者已改善完畢。基於手機逐漸成為國人生活中仰賴的重要資訊裝置,政府也研擬未來對手機訂定資安檢測規範。

消保處是在去年10月委託資安科技研究所,抽檢市佔率最大的Android手機前三大廠牌Samsung、HTC、Sony三款當時的旗艦手機 HTC New One(M7)、Samsung Galaxy Note 3、Sony Xperia Z。由於國內缺乏檢測標準,資策會依照國際知名資安組織「OWASP Top 10 Mobile Risks」與「SANS: CWE/SANS TOP 25 Most Dangerous Software Errors」標準作測試。

經過檢測發現三款手機共有13項資安風險,8項與不安全加密有關,4項為權限控管,1項為安全連網。其中HTC共有4項風險,Samsung有3項,Sony則有6項,詳細風險可參考文件。

以HTC New One為例,手機筆記程式內容以明碼方式儲存,若使用者紀錄重要資料,可能有資料外洩的風險。另外,Wi-Fi熱點及導航應用程式密碼以明碼儲存、傳輸也可能被竊取。

Samsung Galaxy Note 3也有筆記程式資料以明碼儲存的問題,但還有應用程式網路加密連線制缺乏驗證,可能連線到釣魚網站受到攻擊。Sony Xperia Z也有筆記程式以明碼儲存內容,程式密碼及使用者資料以明碼儲存傳輸容易被竊取、下拉式訊息列包含部份或完整的資料(個資或即時通訊內容)、車用模式權限控管不當等。

行政院消保處消保官王德明表示,由於行動裝置普及,若透過手機進行交易,資安風險可能影響到消費者權益,因此消保處委託資策會進行檢測,這是國內首次對手機軟體安全進行資安檢測。檢測結果已向手機廠商反映,三家業者已陸續在今年6月底針對缺失修補。

另外政府也計劃訂定手機資安規範,行政院國家資通安全會報先前已決定有關電信設備(手機)內軟體由NCC主管,手機與PC的應用程式、App資安規範由經濟部主管。兩個主管機關未來將訂定軟體資安檢測標準、測試認證、自主驗證等相關管理辦法。

轉載自《iThome》

中國批准聯想收購IBM x86伺服器業務

中國批准聯想收購IBM x86伺服器業務

中國商務部反壟斷局已於上周批准聯想準備以23億美元買下IBM x86伺服器業務的併購案。不過,這項交易的主要障礙恐怕在於美國政府。


根據外電報導,中國商務部反壟斷局已於上周批准聯想(Lenovo)準備以23億美元買下IBM x86伺服器業務的併購案。不過,這項交易的主要障礙恐怕在於美國政府。

聯想是在今年1月宣布已與IBM達成最終協議,計畫以23億美元收購IBM的x86伺服器。身為全球伺服器市場龍頭的IBM在低階x86伺服器市佔率排名全球第三,次於HP及Dell。該交易一方面可讓IBM切割獲利較低的業務,另一方面則可協助聯想進軍全球伺服器市場。

即使聯想執行長楊元慶曾表達期望在今年底完成交易,不過,華爾街日報近日報導,美國政府仍在調查此一併購案,且主導機關並非反壟斷機構,而是美國的外國投資委員會與安全官員,擔心該交易會危及美國的國家安全。

目前聯想正在進行兩項大規模併購,包括IBM的x86伺服器業務,以及向Google買下的摩托羅拉(Motorola Mobility)手機業務,楊元慶於上周表示,各國政府對這兩項併購案的審核進度不錯,仍期望於年底前完成相關交易。

然而,華爾街日報報導指出,美國外國投資委員會及安全官員正仔細研究此一交易對美國國家安全可能造成的影響,擔心中國間諜或駭客在此交易後將能藉由維護的藉口遠端存取這些伺服器。

其實聯想在2004年以12.5億美元買下IBM個人電腦部門時在美國也曾因類似的原因經歷嚴格的審理,但美國最後還是放行。

轉載自《iThome》

研究:2013年美國簽帳卡有14% 資料外洩

研究:2013年美國簽帳卡有14% 資料外洩

去年外洩資料比例如此之高主因在於僅次於Walmart的第二大連鎖商店Target 12月遭到駭客入侵,被竊的資料包括達1.1億筆客戶姓名、地址、電話號碼與電子郵件帳號,成為史上最大宗資料外洩案。


一項由金融網路業者發表的研究報告指出,2013年美國簽帳卡約有14%資料外洩。

去年外洩資料比例如此之高主因在於僅次於Walmart的第二大連鎖商店Target 12月遭到駭客入侵,被竊的資料包括達1.1億筆客戶姓名、地址、電話號碼與電子郵件帳號,成為史上最大宗資料外洩案。

由Discover Financial Services旗下Pulse ATM network發表的「簽帳卡發行研究」報告指出,Target資料外洩影響到這次研究中的所有金融業,2013年全美共有14%的簽帳卡資料外洩,較2012年增加5個百分點,同期盜刷損失率雖然維持不變為每筆交易0.3美分,但簽名簽帳卡的每筆平均盜刷金額則從2.0美分成長為2.2美分。

報告表示,Target事件也促使發卡公司重新評估信用卡安全性,其中金融業開始強化安全,並開始導入EMV晶片簽帳卡取代磁條卡。

該研究發現,2013年利用電子支付的消費者平均每張信用卡的每月電子交易次數由前一年19.4次成長為20.1 次。前年只有29% 的銀行因資料外洩而重新發卡, Target事件後金融業重新發卡的比例成長到84%。另外,有86%的金融業計畫兩年內開始發出EMV卡,這個比例較前一年成長50%。

研究人員指出,2015年初美國金融業將展開轉移到晶片卡的計畫,並一路持續三年,趕在美國簽帳卡交易責任法實行之前完成。2015 年10月1日起,之前完成晶片卡轉移的發卡公司及零售業者才能獲得簽帳卡交易損失保障。

該研究樣本涵括的金融業成員共發出近1.42億張簽帳卡,佔美國簽帳卡交易約45%。

轉載自《iThome》

在明年一月終止主要支援 Microsoft 將對 Windows 7 畫下休止符

在明年一月終止主要支援 Microsoft 將對 Windows 7 畫下休止符

微軟公佈了將在 2014 年下半年終止主要支援的軟體服務,除了早先知道的 Windows Phone 7.8 之外,目前仍然占有極高比例的 Windows 7 也赫然在列,將在明年(2015)1 月 13 日終止主要支援。

圖片來源:路透社

終止了主要支援後,Windows 7 的使用者雖然仍可使用電腦,但就少了來自微軟的免費更新與強化支援服務,雖然在安全性上仍有來自『延伸支援』服務的更新提供,但是卻必須跟微軟簽訂延伸支援協議。

微軟官方網站顯示,WIndows 7 將在 2015 年 1 月 13 日終止主要支援,圖片擷取自微軟官網

在目前 Windows 7 仍保有 5 成市場佔有率的狀況下,微軟此舉是否能促使原有的 Windows 7 用戶轉向 Windows 8,我們並不樂觀,或許要等到下一代 Windows 9 出現,才會吸引現有 Windows 7 用戶進行升級。

轉載自《自由時報

2014年7月4日 星期五

中國政府擴建防火長城,香港佔中普選成箭靶

中國政府擴建防火長城,香港佔中普選成箭靶

greatwallofchina-test2

最近中國的網民可能很悶,許多原先可以正常連線的網站或服務,都沒辦法連。甚至對中國政府採取合作態度的 Line 也慘遭封鎖的對待。推測原因是香港七一遊行,這些被封網站成為資訊傳播的管道,大量充斥中國政府不希望人民看到的內容。

香港七一遊行行動大量用到不少科技網站,像是用 Flickr 傳遞遊行的照片,Line 傳送行動消息及現場狀況,這大概是這些網站遭到封鎖的原因。

目前 Google 的所有網站遭中國封鎖,Yahoo 旗下的 Flickr 也被封,微軟的線上硬碟等都被封鎖。雖然中國網民可以靠 VPN 連線等手段連上被封鎖的網站,但有些人就會嫌麻煩而改用其他中國國內的服務。這種情況也導致國際上流行的服務,在中國會有山寨版本,自成一系統而且會配合中國政府的網路審查。

除了網站被封,不少關鍵詞也因為指涉中國政府不想讓你知道的事情,或者暗諷時事,而列入封鎖的關鍵詞名單上。其中「天线宝宝大战­康师傅」,意指「温家宝大战周永康」,「轮胎(胡锦涛)紧握迷彩涂装(军权)不放,狠摔方便面(周永康)」!講得是 2012 年中國的政治鬥爭,利用諧音躲避程式檢查,但人工檢核時被抓出來。

自由奔放的網路遭到封鎖不奇怪,當然中國也有對出版品動手腳。希拉蕊的新書中、英文版本都不能在中國販售,因為這本自傳裡有不少批評中國政府的地方。

2014-07-03 15_18_52-Hard Choices_ Hillary Rodham Clinton_ 9781476751443_ Amazon

對於臺灣人來說可能有聽聞中國政府有在封鎖網路,但具體做了什麼可能不是很清礎。在中文維基百科上有個條目叫「中華人民共和國審查辭彙列表」、「被中華人民共和國封鎖的網站列表」,記載被封鎖的網站和關鍵字。隨著中國政府持續不斷監控網路,這些條目的內容會持續更新和加長。網站 Block in China 則可以即時測那些網站被封鎖。

2014-07-03 Test if any website is Blocked in China in real-time

封面圖片來源:Ishikawa Ken
轉載自《科技新報

2014年7月3日 星期四

中國政府如何控制網路資訊?

中國政府如何控制網路資訊?
報告者:沃草專案經理。自由軟體工作者林雨蒼


簡報下載
轉載自《網路攻防戰》

網路爭戰中政府的角色—以美國偵辦中國網軍經驗為例

網路爭戰中政府的角色—以美國偵辦中國網軍經驗為例
講者:交大資訊系特聘教授 IEEE fellow 林盈達


簡報下載
轉載自《網路攻防戰》

在蘋果被駭之後-台灣資安現狀及潛在危機

在蘋果被駭之後-台灣資安現狀及潛在危機
講者:DEVCORE CEO 資安專家翁浩正(Allen Own)


轉載自《網路攻防戰》