2014年8月31日 星期日

行動裝置上的 Activity Hijacking 攻擊竊取 APP 資料(含影片示範)

行動裝置上的 Activity Hijacking 攻擊竊取 APP 資料(含影片示範)

研究人員說明,圖像使用者介面(GUI)框架可能透過共享的記憶體而洩露每個使用者介面狀態的變更,這使得他們得以打造一個在背景執行的程式進行攻擊,並將其稱之為使用者介面狀態推論攻擊(UI state inference attack),並可因此取得使用者的登錄資料或照片。

Peeking into Your App without Actually Seeing It: UI State Inference and Novel Android Attacks 研究報告下載處:http://www.cs.ucr.edu/~zhiyunq/pub/sec14_android_activity_inference.pdf


轉載自《網路攻防戰》

2014年8月29日 星期五

路由器晶片廠揭秘:大部份路由器均存有 Backdoor!

路由器晶片廠揭秘:大部份路由器均存有 Backdoor!


現時市面上的多種路由器產品存在後門(Backdoor),可能被駭客控制導致個人資訊洩漏。近期也有網友表演了如何用駭客軟件1分鐘破解路由器WIFI密碼,5分鐘盜取微博帳號和網上銀行資訊。

C字頭路由器被發現存在“後門”,還有其他路由器存在後門。

報告稱,D-字頭、C 字頭、T 字頭、L 字頭、N 字頭等多家廠商的路由器產品存在後門,駭客可由此直接控制路由器,進一步發起DNS(網域名稱系統)劫持、竊取資訊、網路釣魚等攻擊,直接威脅使用者網上交易和資料存儲安全,使得相關產品變成隨時可被引爆的安全“地雷”。以D 字頭部分路由器產品為例,攻擊者利用後門,可取得路由器的完全控制權,分析指出發現受該後門影響的D-字頭路由器在互聯網上至少有1.2萬個,影響大量用戶。

因此及時向相關廠商報告威脅情況,向公眾發佈預防資訊,但截至2014年1月底,仍有部分廠商尚未提供安全解決方案或升級。路由器等網路設備作為網絡公共出口,往往不引人注意,但其安全不僅影響網路正常運行,而且可能導致企業和個人資訊洩漏。

所謂後門,一般是開發軟件的程式師為了某種目的,在軟件中保留的不為外人所知的程式,通過後門,可以繞過軟件的安全機制直接獲得控制許可權。有電信設備廠商內部人士表示,一些路由器廠家在研發成品時,為了日後測試和檢測更方便,會在產品上保留一個超級管理帳號,一般情況下,這個超級管理帳號是不容易被外人發現的,但一旦被駭客所發現並破解,就意味著駭客可以直接對路由器進行遠端控制。

網友表演:5分鐘控制社交帳號

近日,網友示範了一個劫持路由器的案例,利用網上免費下載的破解軟件,只用“喝一杯咖啡”的時間,便成功登錄鄰居家的WIFI網絡。

這位網友嘗試破解我家的路由器,他打開了自己電腦上的一款破解密碼軟件,在搜索到的33個無線網路中,他開啟記者家中的WIFI帳號,然後導入密碼字典,開始破解。約一分鐘後,該軟件下方顯示了一組標紅的文字,與記者所設置的WIFI密碼完全一致,隨後用自己手機與路由器完成連接。

連接後,他打開一款駭客軟件,由軟件進入路由器的WEB管理介面,所有連接了該WIFI的電子設備都被顯示出來。他對其中一台電腦上已登錄的微博進行“劫持”,其手機上的駭客軟件管理介面,就立即自動生成一個微博網址,他只需點擊,無需帳號、密碼,手機就自動登錄到了網頁版微博個人帳戶,並且可以自由發佈和刪改個人資訊。

經計時發現,整個過程不足5分鐘。網友這款駭客軟件還能自動記錄對方輸入的所有帳號密碼,其中包括個人網上銀行資訊。

後門或由廠商預留

“路由器劫持這種事年年都有,但各大廠家往往是等漏洞被發現出來,才去修復,平時也不會主動去請技術人員來檢測產品是否有漏洞,業內的安全防範意識不夠。” 一位路由器廠家說。

有專家指出,用戶沒有及時更改路由器的初始密碼固然有責任,但路由器廠商也有著無法推卸的責任:“廠商應該在產品出廠時給路由器分配一個隨機密碼,而不是簡單的設成12345這麼弱密碼。”

但更讓人擔心的則是產品本身。目前路由器廠家的名牌產品,均留有一個超級管理許可權,在安全防範措施較弱的情況下,這為駭客劫持路由器開啟了最大的方便之門。

“很多傳統廠商在產品的開發過程中,一般都會為了日後檢測、測試的需求,預留這個帳號。但這跟Android系統類似的是,一旦駭客利用漏洞拿到這個管理員帳號,所有的防護措施都如同虛設。”

知名廠商D-字頭在其多款出名路由器產品中,就留下了這樣一個嚴重的後門。“我們檢測出的漏洞是,用一個roodkcableo28840ybtide的關鍵密碼,就能通過遠端登入,輕鬆拿到大多數D-字頭路由器的管理帳號。D 字頭路由器的軟體是由其美國子公司AxxxxNxxxxxxx提供的,該公司的研發技術總監叫做Jxxl,而這個字串顛倒後恰好也是 edit by 0xx2 jxxl backdoor(Jxxl編輯的後門)。

這種廠家自己留的後門程式,居然是按照研發人員姓名來設置,太過明顯了,完全是廠家有意作出來的。

而一份來自ZoomEye資料顯示,全球使用這種有缺陷的D-字頭路由器用戶在63000名左右,遍佈中國、美國、加拿大、巴西等地。而在國內,有約十萬台TX-字頭路由器存有後門,受影響用戶達到百萬。

國外大廠多直接採購晶片 對安全重視不夠

D-字頭、C字頭、T字頭、L字頭、N字頭等國外名牌路由器擁有不少用戶,路由器存在安全性漏洞的消息令他們擔心。但是也有網友表示路由器存在安全性漏洞不是生產商的錯誤。網友表示:“雖然不太懂技術,但後門不是生產商留的,只是軟件漏洞被不良分子利用植入木馬等,升級軟件等可解決”。

業內人士透露,路由器軟體作為一種嵌入式的作業系統,在家庭閘道等家用設備上很少受到重視,各大路由器廠家都是從晶片廠商的軟體公司採購成熟的方案,在此基礎上進行開發。

“像TX-字頭、T字頭 等知名廠商,基本是從廠商公司買來的軟體,在晶片廠商提供的系統上做了第二次開發。MTK晶片廠商在提供產品時,本身也會提供一個較為初級的底層作業系統,目的是為了把晶片的所有功能完整地演示一遍,讓各家廠商拿回去自己做開發。但很多廠商為了省時,直接買回來一套系統,稍作修改後就推向市場。”某路由器廠商人士透露。

目前在各大廠家更加注重的是企業級高效能設備的安全防範,對出貨量巨大的家用閘道市場,往往掉以輕心:“但駭客從去年開始偏偏就盯上了這個小系統,這是各大廠商此前從未想到的。”

據該人士透露,這種路由器作業系統的成本價格較低,按照授權收費來計算,每台設備的系統成本在幾毫子以內,出貨量巨大的廠家甚至可以談到按分計算,“這個反倒成了問題的根源。因為大家用的都是那幾家公司的軟體方案,一旦出了漏洞誰都跑不掉。”

提醒:如何防止路由器被劫持?

日常生活中,市民該如何防範日益嚴重的路由器劫持安全問題呢?專家有如下見解:

1.路由器管理網頁登錄帳戶、密碼,不要使用預設的admin,可改為字母加數字的高強度密碼;
2.WIFI密碼選擇WPA2加密認證方式,密碼長度要在10位以上,最好是大小寫字母、數位、特殊符號的組合,這樣會大大提高駭客破解密碼的難度;
3.路由器預設的管理IP修改為自己指定的特殊IP;開啟路由器MAC位址過濾功能,只允許已知設備連入;
4.在設備中安裝具有ARP 防護功能的安全軟件,防止被駭客劫持;
5.常登錄路由器管理後台,看看有沒有不認識的設備連入了WIFI,如果有,及時將其清除;
6.不要隨便告訴不信任人士你的無線密碼;
7.移動設備不要“越獄”或 root,連接來歷不明的無線網路;
8.關閉路由器WPS/QSS功能。

轉載自《HKITBLOG

2014年8月27日 星期三

Cryptolocker 病毒說明、清除錄影檔

Cryptolocker 病毒說明、清除錄影檔

台灣地區不少企業紛紛遭受到Cryptolocker病毒侵襲,這隻病毒不同於過往病毒的模式,它發病後並不會將電腦資料摧毀,而是將重要的資料全都加密,並要求受害人在72小時內支付「贖金」,否則就再也無法解密電腦中的資料。

預防被Cryptolocker攻擊的方法:
1.建置並定期更新的垃圾郵件、電腦病毒過濾機制。
2.定時更新電腦與軟體的漏洞修補。
3.定期將PC資料往外部備份,且備份完成後,將PC與備份裝置離線。
4.啟用Windows的還原點系統保護,或第三方還原機制。
5.保持警覺,不隨意開啟不明郵件中的附件檔案。


轉載自《網路攻防戰》

用HTTPREF做網站壓力測試 將結果轉換為視覺圖表

用HTTPREF做網站壓力測試 將結果轉換為視覺圖表
測試網站伺服器抗壓性 掌握Web主機效能表現

一個網站管理員,日常的工作除了基本的維護服務正常運作外,另外一個重要的工作就是要保持順暢的服務,負責調校網站的效能,使其保持在最佳的狀態。網站伺服器如果使用的是Apache,將因為在開源碼社群中有許多可用的免費外掛模組,而可以外掛的方式來增加Apache伺服器的用途。但是,凡事有利就有弊,多增加一個模組,相對地就會多消耗資源來處理而影響服務的順暢度,此時就必須有一個適當的工具來客觀公正地測量效能表現。

本文將介紹一個在開源碼社群中相當有名的網站效能量測工具httpref,用來量測網站伺服器的效能,並利用autobench和gnuplot程式將量測的數據轉換成圖檔,以幫助管理者更直覺地解讀。

表1中列出了本次實作所使用到的各個軟體。


httpref說明與使用 

httpref是一種可對網站伺服器做壓力測試的工具,可在短時間內模擬大量的連線數對受測的網站伺服器從事壓力測試,藉以找出網站伺服器服務效能的臨界點。安裝httpref步驟很簡單(在此筆者使用0.9.0版本),下載解壓縮後,以下列指令編譯即可:



編譯成功後,httpref提供了兩個主要的執行檔,其中httpref為主要執行檔,可利用此程式針對受測的網站伺服器進行壓力測試,另一個名稱為idleconn的執行檔,則主要用來保持受測網站伺服器固定的連接數。

以下先行說明httpref主程式,httpref提供的相關參數如表2所示。

表2 httpref使用參數


httpref程式可以模擬產生要求(Request)的方式來製造大量的連線,以測試網站伺服器的效能,其執行指令內容如下所示:



上述指令表示針對該受測網站伺服器(通訊埠為80)上的index.php發送5,000個連線數(Connection)且每個連線數內含1個要求,即表示總共要用5,000個要求來測試,並且測試的速率為每秒鐘要產生200個連線數(即每秒產生200個要求),並且設定每個要求送至受測網站伺服器時,如果該受測網站伺服器處理此要求並沒有在5秒內回覆(逾時),即視為失敗而列入統計。

在執行成功之後,會產生如下的回覆報告,如圖1所示。


▲圖1 成功執行後產生回覆報告。

接著,說明httpref報告各部分的代表意義:

1. 測試的整體數據,包含所建立的TCP連線總數 目,所測試的HTTP要求(request)總數目,以及得到HTTP回覆(reply)的總數目,如下即表示總共在25秒內(test-duration)建立了5,000個連線(connection)及5,000個要求,並收到受測網站伺服器回覆(replies)5,000個要求。



2. 個別TCP的連接數據,包含每秒發送多少個連線 和幾個連線以下,會用同時發送的方式發送到受測的網站伺服器上,以下就是表示每秒鐘產生199個連線數,而且最多會同時送出17個連線數至受測的網站伺服器上。



3. 每個連線所使用的存活週期(指的是從初始化產 生至整個連線數結束為止,單位為毫秒)統計,包含最少時間、最大時間、平均時間等等,以下例子表示連線的存活週期最小(min)用了25毫秒,最長用了99毫秒,平均(avg)花費40毫秒,其存活週期的中位數時間為36毫秒,標準差時間用了11毫秒。



4. 成功與受測的網站伺服器建立TCP連接所使用的平 均時間(單位為毫秒),以下範例顯示平均時間為0.2毫秒。



5. 顯示網站伺服器回覆的連線(connection)數與 測試程式送出的連線數間的比值,即網站的回覆率,下例表示比值為1,顯示受測的網站伺服器百分之百回覆。



6. 顯示送出的要求(request)的速率,下面的 範例顯示每秒送出199.8的request(接近所下達的參數--rate),一般如果此數據低於--rate參數所下達的參數,通常是因為受測的網站伺服器處理已經飽和,而無法有效處理httpref所產生的要求。另外一個可能性在於執行httpref所在的主機上,效能並不足於產生如此大量的要求數量。



7. 顯示每個要求的長度,單位為byte,如下例表示 每個要求的長度為80 bytes。



8. 顯示httpref每秒所接收到之網站伺服器回 覆(response)的連線數相關統計數據,包含每秒最少收到的連線數等等,以下範例顯示,每秒收到的回覆數最少為198,每秒收到的回覆數平均為199,每秒收到的回覆數最多為200,而每秒收到的回覆數標準差為1:



9. 顯示受測的網站伺服器平均的回覆時間(單位為毫秒),其中response指的是httpref送出request封包到受測網站伺服器至測試程式收到受測網站伺服器回覆完成的平均時間。transfer指的是httpref送出request封包的第一個byte到受測網站伺服器至測試程式收到受測網站伺服器回覆的第一個byte的平均時間。就下面的範例來說,顯示回覆時間為38毫秒,transfer時間是1.5毫秒。



10. 顯示受測網站伺服器回覆的資料平均長度(單位 為byte),其中header指的是回覆訊息的表頭資訊長度,content為訊息的內容長度,footer則是訊息的結尾長度。



11. 顯示受測網站伺服器回覆的HTTP狀態碼統計數 目:



其中,HTTP狀態碼意義如表3所示。

表3 HTTP狀態編號代表意義 


12. 顯示httpref程式所使用的CPU資源情況:



13. 顯示網路卡每秒實際的傳輸量,要特別注意是, 在此的單位為(kilobytes,位元組),而非一般的kilobits(bit):



14. 顯示發生錯誤的個數統計。其中client-timo指的是 從httpref發送測試要求至網站伺服器而網站伺服未在時限(由--timeout參數指定)內回覆的次數,這個數值通常可用來測試受測網站伺服器的最大連線數的門檻值。如果httpref發送了超過受測網站伺服器所能承受的連線量,那麼受測網站伺服器將無法即時處理。如此大量的連線而無法即時在時限內回覆測試程式,就會產生大量的client-timo錯誤,管理者可藉此評估受測網站伺服器的最大連線量的門檻值。



‧socket-timo:這是計算在與受測網站伺服器進行TCP連線的時候,所發生的SOCKET層級錯誤的次數。

‧Connrefused:表示計算httpref發出要求封包至受測網站伺服器,被網站伺服器拒絕(refuse)的次數。

‧Connreset:代表的是計算測試程式發出要求封包至受測網站伺服器,被網站伺服器重置(reset)的次數。

安裝並使用autobench 

由於httpref的指令模式過於繁雜,也因此又有人發展出autobench程式,這是一個將httpref包裝起來的程式,使用者可以利用這個程式輕易地控制httpref的測試功能。

autobench程式除了可以同時用相同的測試條件測試不同的網站伺服器的效能外,另外一個特色在於,可將測試結果輸出成圖檔所需的文字資訊後,再利用gnuplot將文字輸出的結果轉換圖檔,讓使用者能更直覺地查看。

autobench程式的安裝方式相當簡單,將原始檔下載並解壓縮後,然後下達下列指令即可(如下#為註解):



安裝成功後,autobench提供一個組態檔(名稱為autobench.conf)以及兩個主要執行檔(autobench和bench2graph),其中autobench為主要執行檔,用來下達測試的各項條件(條件可定義在autobench.conf或利用指令參數的方式下達,本文將僅討論以指令方式下達條件)。

另一個bench2graph程式,則是透過gnuplot將autobench所產生的圖形資訊製作成圖檔。autobench提供的參數如表4所示。

表4 autobench使用參數


以下面範例來說,僅測試單一個主機,且該主機的IP資訊為192.168.1.1,而測試的網頁檔案名稱是index.php。此外,每個連線數(connection)包含10個要求(request)。

設定開始測試的時候,先行採用每秒20個連線數,而後每次均累加20個連線數/秒,直到最高200連線數/秒,設定測試的總連線數不得超過5,000個。當中如果有要求在5秒內沒有收到回覆(即逾時),就視為錯誤。最後,將測試結果寫入results.tsv檔案內:



在執行完畢後,會產生一個內存測試結果,可用來產生圖檔的圖形資訊的檔案。產生測試結果檔後,利用autobench提供的另外一支程式(名稱為bench2graph)與gnuplot程式搭配,再依據上述所得到的results.tsv檔案來產生測試結果圖形檔案,讓使用者能夠更直覺地查看測試結果資料。

首先,安裝gnuplot程式。經測試後發現,發現只有gnuplot 4.2.0版本(其他的版本都有出現無法支援選項的問題)可以正常產生圖檔。

基於以上的理由,這裡採用gnuplot 4.2.0版本。下載並解壓縮後,直接用下列指令編譯(#為註解):



在測試過程中還發現到另外一個問題,亦即bench2graph也要需要修正,否則也會無法正常產生相關圖檔,因此利用sed程式來置換bench2graph的相關字元,指令如下(其中#為註解):



ff 最後,執行以下指令(會要求使用者輸入標題資訊,如圖2的標題資訊):



g 執行該指令之後,將利用results.tsv內的資訊產生一個測試結果圖形,如圖2所示,其中X軸資訊為要求的數目,Y軸資訊為連線數的數目。


▲圖2 利用results.tsv內的資訊所產生的測試結果圖形。

如此一來,使用者就可以利用此類圖形更加直覺地掌握網站伺服器的效能狀況了。

<本文作者:吳惠麟,多年資安經驗,喜好利用開源碼建構相關解決方案,著有「資訊安全原理與實驗」等書。> 

轉載自《網管人

2014年8月25日 星期一

從手機入侵 Gmail 有多難?成功率 92%

從手機入侵 Gmail 有多難?成功率 92%

20130607_Gmail_4.5_icons_001_meitu_1

關於手機安全性的討論並非一天兩天了,而近日的一項研究表明,三大主流作業系統存在漏洞,駭客入侵應用的成功率遠遠高於我們的想像。

上週五,在美國高等電腦系統協會(Usenix)的安全大會上,一份報告稱,Android 作業系統上存在一個漏洞,駭客可以通過這個漏洞入侵應用,其中入侵 Gmail 的成功率高達 92%。

這並不是 Gmail 應用的問題,而是三大作業系統的普遍問題。儘管這個研究僅僅針對 Android,研究人員表示 iOS 和 Windows Phone 都存在類似的漏洞。

使用者下載一個包含惡意程式碼的應用程式,比如桌布應用。安裝完成後,駭客可以利用該應用程式來訪問共用記憶體任意資訊,而不再需要任何其他特權。之後,駭客透過監控共用記憶體變化,關聯修改其他操作。這種特性會讓系統進程有效地分享資料,因為手機所下載的所有應用程式都是跟同一個作業系統進行交互。

加州大學河濱分校助理教授 Zhiyun Qian 在報告中說,「一直以來,我們認為手機上的這些應用無法輕易相互干擾。但我們發現,這一假設是不正確的,事實上,一個應用程式能夠顯著影響另一個應用程式,從而為使用者帶來危害性後果。」

除了 Gmail,研究者還測試了其他應用。從 Chase(大通銀行)應用程式竊取支票圖片的成功率是 83%,從布洛克稅務公司(H&R Block)盜取位址、社會保險號等個人資訊成功率達 92%,入侵 Newegg、WebMD、Hotels.com、亞馬遜等應用的成功率也分別達到 86%、95%、83% 和 48%。

這一結果令人不寒而慄,不過,也有專家說不必草木皆兵。Android Centra 總編輯 Phil Nickinson 在 Twitter 上表示,「理論上,這個研究很有趣,但真要實施入侵的話,駭客們要做的事情還很多。」ABI Research 分析師 Menting 認為,實施這種入侵的技術門檻很高,因而它可能無法大範圍的使用。

Zhiyun Qian 給出的建議是,不要安裝任何不可信的應用程式。Identity Theft 911 和 Credit.com 的創始人 Adam Levin 也說:「用戶應當保持警惕,熱門應用程式往往是駭客的重點攻擊目標。」

轉載自《科技新報

2014年8月22日 星期五

駭客毒信竊憑證 摩根大通遭殃

駭客毒信竊憑證 摩根大通遭殃

摩根大通集團客戶成為駭客以電子郵件「網路釣魚」目標,駭客不但搜集摩根大通的憑證資料,還會透過病毒入侵個人電腦竊取其他銀行機構密碼。


根據電郵供應商Proofpoint Inc.的資安專家,這個稱為「砸窗搶劫」(Smash and Grab)駭客活動19日發動,廣發電子郵件呼籲收信人點閱信中連結,讀取摩根大通集團(JPMorgan Chase & Co)訊息。

摩根大通集團證實,駭客濫發垃圾郵件發動網路釣魚活動。

摩根大通發言人韋克斯勒(Trish Wexler)說:「他們似乎是大量寄信給民眾,看看有沒有收信人是摩根大通客戶。」

她說,摩根大通認為大部分大型網路服務供應商已經過濾掉這些垃圾郵件,也說這些電郵似乎擷取摩根大通寄發的電郵頁面,因此看起來很真實。

Proofpoint說,使用者點選惡意連結後,會被要求鍵入憑證資料,連上摩根大通帳號。即使他們沒有照辦,網站會試圖在個人電腦中,自動植入名為Dyre的金融特洛伊木馬病毒。

根據電子郵件安全公司Phishme,Dyre是近期出現的一種新惡意程式,尋求竊取美國銀行(BofA)、花旗集團(Citigroup Inc)和蘇格蘭皇家銀行集團(RBSGroup)憑證資料。

轉載自《Yahoo奇摩新聞

2014年8月19日 星期二

提高憂患意識 方能降低APT得逞機率

提高憂患意識 方能降低APT得逞機率

放眼全球,台灣的處境堪稱奧妙,幾乎可謂舉世最為特殊的進階持續性滲透攻擊(APT)戰場,早在世人尚未聽聞APT名詞的2002年,便頻頻遭受此類攻擊,迄今甚至成為特定網軍的練兵場。顯見台灣企業機構面臨嚴峻考驗,必須嚴陣以待。

時序進入2014年,有幾件令人怵目驚心的資安事件,不禁凸顯APT攻擊之可怕。

第一樁大事,其實發生在2013年底,但其驚悚程度,至今依然讓人印象深刻,也屢屢成為各個資訊安全研討會的經典教材。

全美第二大零售業者Target慘遭APT攻擊,綜觀整個事件始末,蘊含諸多發人深省的教材。來源:Thsaerie.org

全美第二大零售業者Target,驚爆美國史上最大宗資料外洩事故,超過1.1億筆客戶資料慘遭駭客盜取,影響所及,其因而償付予客戶高達數百萬美元,此一巨大損失也導致股價應聲大跌,商譽隨之受損,被迫關掉至少8間店面,其前董事長兼執行長Gregg Steinhafel,亦因此下台一鞠躬。

近幾年間,隨著巨量資料(Big Data)話題火熱,Target靠著精準分析,締造了「比父親更早知道女兒懷孕」的傳奇故事,一時之間被廣為流傳,甚至喻為Big Data應用典範,原本讓人深覺此企業極具前瞻視野,營運前景不容看淡,惟如今過往事蹟已鮮少為人稱頌,取而代之的,竟是資安防護不力、罔顧顧客權益的醜陋形象,著實教人不勝唏噓。

另一樁事件,苦主的知名度未若Target響亮,但案件的驚悚程度,卻是有過之而無不及!一家名為Code Spaces的程式碼代管網站,在2014年6月遭受了駭客精心籌劃的大規模分散式阻斷服務(DDoS)攻擊,此一攻擊型態,相較於諸多「神不知、鬼不覺」的APT,看來不那麼難纏,理應可以應付無虞,殊不知此事只是前菜,早已鎖定Code Spaces的駭客,居然在同一時間,還取得了該公司在亞馬遜AWS EC2雲端運算服務控制台的存取憑證。

Code Spaces一夕垮台  震撼資安業界

自認勝券在握的駭客,於是獅子大開口,向Code Spaces提出鉅額勒索;此時Code Spaces仍想負隅頑抗,遂嘗試以變更EC2密碼的方式,意圖粉碎駭客的陰謀。然而經過雙方12小時的激戰,證實駭客確實技高一籌,憑藉著已經得手的存取憑證,決定給予對方致命一擊,大刀一揮,舉凡AWS EBS快照、AWS S3的儲存內容、Amazon虛擬機的鏡像檔,全遭徹底刪除,終至灰飛煙滅,甚至連異地備份也幾乎消除殆盡。

事已至此,Code Spaces苦心建立的事業基盤,可謂一夕瓦解,營運活動幾至無以為繼,寫下了因駭客攻擊而吹起熄燈號的首例。

其實惡意攻擊事件斑斑可考,絕不僅止於上述兩例,包括2013年Adobe遭駭客攻擊,導致290萬名客戶資料及部分產品程式碼被竊;2013年紐約時報遭駭客盜取重要資料與公司密碼;2012年中東國家因感染Flame病毒,導致機密資料遭駭客蒐集並逐步外流;2011年伊朗、蘇丹、敘利亞及古巴遭受Duqu攻擊,以致數位憑證遭竊;2011年資安公司RSA竟被駭客入侵得逞,造成SecurID失竊,而駭客於隔月就憑著得手的SecurID金鑰,成功潛入軍火製造商洛克希德馬丁(Lockheed Martin)網路,恣意竊取機密資料。

在這些事件之前,2010年時伊朗曾遭受Stuxnet蠕蟲攻擊,以致核電廠控制器淪為駭客禁臠,因而影響核能設施運作,險些釀成巨大災厄。

看到這裡,或許有些企業,自忖僅是中小型機構,並非赫赫有名的顯著目標,駭客理應看不上眼,暗自慶幸不會慘遭毒手;也有些企業,自承已經備妥了防毒、防火牆、垃圾郵件過濾、入侵防禦系統(IPS)、資料外洩防護(DLP)、網頁應用程式防火牆(WAF)、資料庫稽核等一干資安盾牌,足以抵擋駭客進犯,還不解問道,這些遭駭的企業或政府組織,為何不像自己勤於佈建防禦工事?

莫以為你有APT豁免權

事實上,如果有企業因為前述兩個理由,就認定自己可以安然無恙,鐵定大錯特錯!根據某資安廠商在2013年所做的調查,8成企業機構受到APT攻擊仍渾然不覺,其中更有高達逾7成的受駭單位,被形容像是癌末病人一般,已經讓惡意程式在內部大肆擴散,這些單位除了有政府機構,以及坐擁油水電等關鍵基礎設施的業者外,中小企業也赫然榜上有名,尤其是承包政府專案的業者,更是駭客覬覦之標的。

別的不說,許多人並不陌生的惡意簡訊,譬如「您好,您的汽機車有交通罰單逾期未繳納,查一查自己有無莫名其妙被照相或罰款的紀錄,查詢下載:http://goo.gl/eqhxtD」,即包藏了頗為惡毒的勒索軟體,並從2014年起大舉肆虐台灣,此雖非典型APT攻擊,但卻意謂你我身邊已環繞著大量惡意網站、惡意軟體,稍有不慎便會中招,絕不會因為你的服務單位毫不起眼,就可倖免於難。

另外,企業若以為擁有防火牆、次世代防火牆、入侵防禦系統、防毒軟體,抑或植基於關鍵字阻擋的防護系統,就能逼使駭客知難而退,也未免太過樂觀。

此乃由於,這些看似強勁的盾牌,其實各有各的盲點,如同防火牆,係透過網路控制抵禦惡意攻擊,但面對來自允許網路位置的惡意程式,只會任由通行無阻,起不了作用;如同IPS,防禦手段構築於網路規則之上,無法偵測到需要檔案分析的惡意程式;接著以防毒軟體而論,顯而易見的,其僅可防護已知攻擊,根本無從偵測未知惡意程式,而迄至今日,人們幾乎未聞「已知」APT攻擊,足見處在APT從未知變已知的空窗期,防毒軟體根本束手無策。

值得一提的,本文一開始提及的Target,不但絕非疏於防護,而且甚至稱得上資安模範生,仍難免百密中顯露一疏,釀成無可收拾的禍患。

Target究竟是怎麼一回事?該公司為了避免遭受APT,早先已斥資160萬美元引進知名防禦方案,建立了業界認定最為有效的沙箱模擬機制,並於印度設置一組安全團隊,負責監控Target的資訊安全,而包括原廠FireEye及印度安全團隊,事實上也相當盡責,已將蒐集的告警訊息,轉送予Target位在美國的安全監控中心(SOC)。

然而,這些可疑的惡意活動,畢竟僅佔每週所有網路活動紀錄的極小比例,這也意謂著,絕大多數網路流量並無異常,久而久之,Target的SOC團隊逐漸失去戒心,未能立即處理可疑癥兆,錯失了可提前遏止APT入侵的良機,殊為可惜。

另有業界人士解讀,Target遭駭事件,看似起因於輕忽可疑警訊,但未必真是如此。據悉,Target SOC當中一名備受倚賴的經理人,在事發前離職,後續接手的負責人員,似乎未具同等技術能力,遂在APT駭客攻防中落居下風。

也有專家分析,現今駭客泰半狡猾至極,很懂得規避攻擊目標既有的安全機制,因此若欲從一片矇矓晦暗的微量跡象中,探索駭客行跡,就必須善盡事件的檢測與分析,不能只把心力擺在警報的調查,舉例來說,每當有警報發生,重點並非追查其攻擊過程,而應探究這個警報對系統造成何等影響,包括IP位址做了哪些妥協,或是網路系統是否因而產生變化,但要想還原這些真相,不僅需要蒐集齊全的流量模式、系統設定與歷史紀錄等詳細資訊,亦需仰賴專業技術人員費神判讀;很顯然的,Target SOC團隊要嘛選擇捨難求易、避重就輕,要嘛即是缺乏足夠技能,以致遭駭客長驅直入。

一個曾被誇讚的資安優等生,做了看似完備的防禦工事,仍難免掛一漏萬,甚至隱隱顯露專業技術上的缺失,則多數台灣企業機構的資安整備度相對不足,又難以配置龐大專業人力,專門負責看管網路流量,因此盱衡一切條件,可知這些單位的防護實力,肯定遜於Target,既然如此,又怎能在敵人環伺下安枕無憂?

先撇開系統建置不談,至少,企業之中除了IT管理者外,下至基層員工、上至高階主管,個個都務先養成正確的防護觀念,不使用高危軟體,不造訪高危網站,不忽視系統更新事宜,先站穩趨吉避凶的第一步。

轉載自《DIGITIMES中文網

建立多層聯防架構 迫使駭客寸步難行

建立多層聯防架構 迫使駭客寸步難行

回顧APT話題延燒,始於2006~2007年,當時資安業界開始察覺,駭客已不再以癱瘓系統為目的,轉而以竊盜機敏資料以資謀利,且攻擊力道不斷增強,後續幾年又驚爆數起重大事件,足見APT已成為惡意攻擊主流,致使對應方案應運而生。

由於網路應用日益發達,故而有愈來愈多惡意程式,開始透過網際網路傳遞,且型態變得愈來愈複雜,能有效躲避傳統安全系統的偵測,於是APT便成為近來最讓人驚悚的夢魘。

業界普遍認為,善用沙箱模擬技術,有助於探索未知惡意攻擊,可望發揮一定防護功效。來源:Cuckoo

可以想見,當多數資安業者驚覺,過去賴以生財的利器,不管是防火牆、入侵防禦系統、防毒軟體、垃圾郵件過濾器等眾多安全產品,竟然無法阻止APT惡意程式的步步進逼,實在非同小可,當然會著手研究APT攻擊,試圖歸納相關惡意程式之樣貌,繼而研發可破解其攻勢的解決方案;發展至今,許多原本擅於不同領域的多數資安廠商,儘管各自定義APT的方式頗為分歧,但多已宣稱備妥APT防禦產品。

看到這裡,不少企業用戶紛紛對於資安業者「肅然起敬」。所謂台上1分鐘、台下10年功,綜觀APT駭客之攻城掠地、所向披靡,固然讓人咬牙切齒,卻不得不讓人佩服,他們確實深具巧思,懂得利用複雜的社交工程、非執行檔的文件漏洞、冒用合法數位簽章,乃至自我保護機制,繞過層層防禦,一步步取得受駭企業的有價資訊,足見這些駭客經過長期淬煉,已經摸透了絕大多數資安工具的偵測脈絡,才得以佔盡上風。

至於資安業者,居然可以在短短期間,從束手無策的疲弱身態,一下子猶如吃盡大補丸,足以戰勝惡意攻擊,進化速度未免太快,卻也不禁令人有所質疑,運用這些廠商提供的安全機制,真能擋得住APT攻勢?

持平而論,資安廠商長期與惡意程式鬥法,依據過去經驗,縱使一時之間難免失手,但通常不會讓駭客囂張太久,很快就能修補過往罩門,找出因應對策,足見這群業者理應具備一定研發實力,亡羊補牢的效率並不差,因此能夠將APT防禦解決方案端到檯面上,絕非滿口膨風,肯定所有憑據。

在此情況下,企業機構為了防範APT攻擊,自然有必要詳加研究相關防禦產品,並依據自身應用環境的弱點,選擇最契合實際需求的解決方案,儘速予以導入、佈建。

單靠沙箱  不足以萬無一失

但APT畢竟堪稱是史上最難對付的惡意攻擊,位居攻方的駭客歷經長時間布局,悉心研究守方可能乘隙而入的弱點,不斷研製最能突穿所有防線的攻擊行為,等於是在反覆試誤之中持續強化能量,因此當你架設起新的防禦工事,駭客並不會就此棄械投降,一定再接再勵翻新攻擊手法,靜待你可能犯錯的時機點(例如新的員工上線、新的應用服務啟動等),抓住瞬間契機給予致命一擊。因此,不管企業是否導入APT防護系統,仍舊不可掉以輕心,必須培養嚴謹的資安意識,無時無刻灌注在所有使用者的日常行為模式之中。

此外,如同前述論點,駭客會根據守方的防禦機制,持續研究新的突破點,因此一時有效的解決方案,也未必永遠有效。以資安業者公認最能有效防禦未知惡意攻擊的「沙箱」(Sandbox)模擬技術而論,便是很典型的例子。

隨著雲端沙箱產品或服務不斷出籠,駭客在長期冷眼旁觀之下,不斷嚐試修正其攻擊方式,時至今日,似乎也漸漸凸顯出沙箱的盲點。資安業者指出,以Target慘遭APT攻擊的事件為例,證明用重金打造的強大沙箱,雖然放諸整體防禦架構,必然有其功效,但如果僅想靠它抵擋一切威脅,未免寄望太高。

沙箱防護可能隱含的問題中,最明顯的一點,即是現今駭客愈來愈懂得運用「假動作」閃避沙箱偵測,當其意識到已被導向虛擬環境,便得知此時正在接受沙箱模擬,於是決定暫緩一切動作,使之看似為乾淨無害的檔案,爾後經由放行至Production運作環境,再伺機卸下假面具,開始觸發惡意行徑。

因此,在APT防禦業界夙有盛名的FireEye,便標榜其MVX虛擬分析引擎,完全是自行研發打造,並未採用一般常見的商用虛擬機,為的正是讓惡意程式不知自己進入沙箱環境,故而不會採取假動作,終至遭到一舉成擒。

值得一提的,有些時候,某些惡意程式甚至不必大費周章採取假動作,也可躲過沙箱偵測。比方說,假設一個埋藏惡意程式的PDF檔案,內含好幾頁內容,駭客通常不會選擇將惡意行為的觸發點,擺在第一頁,而是當使用者翻閱到第二、三或四頁時,才會開始動作,值此時刻,沙箱在進行模擬分析後,理應會判定為正常檔案,接著予以放行。

但也有若干廠商已意識到此一盲點,遂採取不同手段,力圖讓惡意程式浮出檯面。譬如來自南韓的AhnLab,其MDS自動化惡意程式防禦系統,特別在沙箱防護機制之後,添加了一道「整合式行為分析」防禦層,然後透過動態內容分析檢測技術(DICA),重新剖析PDF檔案的Shellcode,藉此過濾出可疑的惡意指令,避免APT矇混過關。

此外,不久前才被美商Verint Systems購併的艾斯酷博(Xecure Lab),則是運用DNA反解析之逆向工程專利技術,可從程式語法與行為合理性等角度,察覺依附在各個機碼或程式的惡意程式,甚至可一併揪出後門程式所夾雜的中繼站資訊。

緊盯APT攻擊步驟  從中找尋擊破點

再者,有些包藏惡意程式的檔案,並非運用了多麼高明的加密、或暫緩執行速度等方式,才得以成功閃躲沙箱防護,而是因為執行模擬的環境不匹配所致!沿用前述的PDF惡意檔案之例,單單以PDF而論,前後便有7、8、9、10或11等不同版本之區別,每個版本各有不同漏洞,有時駭客會刻意運用較舊版本的弱點撰寫惡意程式,倘若某些沙箱支援廣度不足,或基於效能考量,僅選擇以少數版本進行模擬測試,就容易產生漏網之魚,而當該惡意PDF檔案進入企業網路,又恰好有使用者透過被駭客預設觸發的版本工具開啟,即意謂駭客佈樁成功,可好整以暇伺機展開後續行動。

正因如此,包括FireEye等若干廠商,強調會在進行虛擬分析時,針對不同檔案格式的所有版本,執行完整測試,為的正是防堵漏網之魚。

總括而論,APT防禦是一個浩大工程,其實很難靠著單一或少數解決方案,便能克竟全功,因此不少專家一致建議,企業宜佈建多層次聯防架構,藉以朝向多個面向分頭進擊,進而墊高駭客入侵的門檻;在此一聯防機制,即便是部分單憑己力不足以防範APT攻擊的資安工具,譬如防火牆、入侵防禦系統、防毒軟體甚或資料外洩防護(DLP)等等產品,只要被擺對位置、各司其職,都可望發揮一定功效,這也證明,企業面對一些看似傳統的防護工具,絕不能因為它們「看似對APT無計可施」,就加以束之高閣。

為何多層次聯防機制如此重要?此乃由於,綜觀APT攻擊模式,通常都可區分為幾道步驟,不外是先行偵測用戶行為,然後透過郵件或Web佈放誘餌、設法引君入甕,誘使其下載特定程式,接著利用受害者電腦的系統漏洞,植入惡意檔案並預留後門,再試圖聯繫外部中繼站、接受下一步指令,最後透過SMB網路芳鄰等管道,於企業網路內部進行橫向擴散,逐步取得最高控制權,終至竊取資料。

凡走過必留痕跡,上述的每一步驟,其實都有可疑行跡,此途徑當中的任何一點,都有擊破的機會;一旦偵測出APT惡意程式,通報原廠的雲端實驗室,隨即製作相對應解藥,再派送至各端點防護系統,一方面阻止類似攻擊進犯,二方面清除並修復已遭感染的主機,即可化險為夷。

轉載自《DIGITIMES中文網

2014年8月18日 星期一

從閘道到端點 打造APT聯防陣線

從閘道到端點 打造APT聯防陣線

由於進階持續威脅(APT)攻擊無法被企業現有以特徵碼為技術的防禦平台所偵測,因此各家APT解決方案皆強調沙箱功能。然而擁有沙箱就足以應付APT嗎?研究機構Gartner發展出APT防禦架構5大技術,包括網路流量分析、網路鑑識、Payload分析、端點行為分析、端點鑑識,並建議企業應至少佈署其中兩種技術。本文將介紹各種防禦技術,並探討甚麼樣的企業適合甚麼樣組合的防禦技術。

Payload分析至關重要 EDR新領域 

Gartner所定義的APT 5大防禦技術如下圖所示,企業在現有防火牆或入侵防禦系統IPS中,已具備部分Style 1網路流量分析技術,以及許多網管人員愛用的Opensource工具Wireshark也都可分析網路流量。網路流量分析有兩種,一種是針對網路流量去跑sFlow,知道正常的網路連線是怎樣,一旦出現異常流量就可以迅速發現。另一種是在被植入惡意程式後,能把後門對外連線抓出來的設備。

圖片來源:Gartner 網站

在去(2013)年已經提到次世代防火牆NG-FW及NG-IPS可以看到第七層封包內容,因此若與沙箱 (也就是Style 3 Payload分析的技術)搭配,就可在網路出口處過濾後門程式的對外連線行為。此外,文章也提到防禦APT必須從用戶端找出駭客在內網的擴散軌跡,這也就是上圖的Style 4端點行為分析及Style 5端點鑑識。只是當時文章中專家所建議的做法是「透過掃描工具將網路拓墣抓下來分析」,或「透過NG-IPS或網路封包側錄工具(Sniffer)進行分析」,都是屬於需要人工進行分析才能看到端點的問題,但是自去年開始此一領域已經有自動化工具,Gartner將它命名為端點偵測及回應解決方案(EDR, Endpoint Detection Response),屬於一塊新興的市場,代表產品如FireEye今年1月收購Mandiant後的產品HX,Xecure Lab(現為Verint的Cyber Security部門)的Xec Probe與Xec Ray,趨勢科技甫推出的Deep Discovery Endpoint Sensor(如下圖),今年2月McAfee與Tanium合作推出的McAfee Real Time Command,今年3月Palo Alto收購Cyvera而推出的Next-Generation Endpoint Protection等,後面將詳細說明EDR。

DDES記錄惡意程式行為與時間軸,管理者可清查所有電腦並找出問題電腦。當問題電腦回報會將所有惡意行為的脈絡畫出。(圖片來源:趨勢科技提供,2014/07)

FireEye技術經理林秉忠認為在APT 5大防禦技術中,Payload分析可說扮演重要角色,未知的惡意程式在經過沙箱分析之後,可將威脅情資丟給網路閘道(Style 1)來阻擋,如防火牆, Proxy, 或DNS設備;或者丟給端點攔阻(Style 4),因為沙箱分析後就可知道惡意程式在端點的行為,例如有檔案寫入/執行、registry key值的修改、端點對外的連線、或檔案系統上其他的行為如rootkit、或把檔案隱藏等行為。

Lastline資深安全技術顧問諶沛傑強調採用模擬器技術(Emulation)的沙箱相較於虛擬化技術沙箱有兩項優勢,他指出前者是透過底層硬體直接記錄以及分析,較不需在作業系統額外安裝許多系統分析工具,因此相較於虛擬化技術較不易被惡意程式偵測出沙箱環境。此外,模擬器技術的沙箱是藉由分析CPU指令集以及觀察記憶體的存取資訊,以判斷惡意程式與行為,因此不用準備眾多的應用程式以及不同的版本,能更精準地分析惡意程式。 

至於網路鑑識(Style 2)與端點鑑識(Style 5),主要是在事後進行事件調查與分析。網路鑑識是把網路封包全都錄,代表產品如Solera Networks(現已併入Blue Coat)的Deep See及Niksun。Blue Coat亞太區行銷副總裁Darryl Dickens曾指出,鑑識平台不只是要全都錄,重點是要能找出問題在哪。而林秉忠認為網路流量大且許多經過加密,尤其很多駭客使用特殊的加密演算法,要解密並不容易,往往很難找出東西,而且不知道是哪支AP做的,很難知道前因後果。台灣威瑞特(Verint)研發長邱銘彰也認為進行網路鑑識需要有一定的技術能力,因為網路鑑識要重組封包,且若只有重組卻沒有人能分析,也是白白浪費經費購買工具。此外,還需考慮網路鑑識產品可否完整保存log,可保存幾天的log?或是只能保存每個連線的前幾KB?這都是需注意的問題。 

林秉忠指出端點鑑識抓到問題的機率比網路鑑識高,但是有此技術能力的人不多,需要對作業系統很熟悉的人才會使用。端點鑑識是針對某一台電腦開始做鑑識分析,而進一步去找出其他有關的電腦則屬於事件調查(IR, Incident Response)。他建議網路鑑識與端點鑑識可以找服務或SOC廠商來做,資源多的企業才自己做。邱銘彰更指出對APT沒有做鑑識的必要,他認為鑑識是指要做到證據保存,以便於將來在法庭進行訴訟,但企業即使知道駭客是誰也不太可能與駭客對簿公堂,因此沒有做鑑識的必要,只要有分析調查的工具,知道駭客是誰即可。 

防毒軟體只看到檔案 EDR看攻擊行為 

「未來防禦APT必定決戰在端點,」前Xecure lab創辦人現為台灣威瑞特(Verint)研發長邱銘彰說。他指出,一開始防禦APT是在郵件閘道端做過濾,但是即使用沙箱偵測到惡意連線,往往在那台電腦上卻看不到東西。邱銘彰進一步指出,在端點上監看的只有掃毒軟體,即使是主機型入侵防禦系統(HIPS)也只能看到與惡意程式「檔案」相關的行為,而且只能刪除攻擊的「檔案」,但APT攻擊是駭客一連串很多檔案的行為,除非是靠資安專家才有辦法在端點找出入侵軌跡,但全台有此能力的資安專家也約只有10~20人。 

上述一連串檔案的行為指的就是駭客的攻擊戰術流程(TTP; Tactics, Techniques and Procedures),包括佈署後門程式、佈署密碼竊取工具等。同一個駭客團體/網軍會使用同樣的TTP,例如進到這台電腦後先判斷OS、使用者帳號是甚麼、是否在AD內、開始進行port scan,攻擊流程是固定的,只是每個時期會把使用的工具換掉而已,但不同團體所使用的攻擊流程就截然不同,而要觀察TTP就是在端點。 

許多防毒軟體也強調能進行惡意「行為分析」,邱銘彰認為,那只是惡意程式的payload分析而已,不是整個攻擊行為的分析。EDR是自動化鑑識的流程,是去分析軌跡而不只是去掃惡意程式。例如,某端點一掃,沒有發現病毒但事實上已被入侵,因為駭客不一定要安裝病毒或後門,只要新增一個帳號,就可以從外連線進來,放置可疑的檔案。即使駭客攻擊主程式變成已知的惡意程式後,就可被掃毒軟體刪掉,但駭客可以隨時再回來,再安裝新的後門。例如,駭客打SQL injection漏洞進到內網來,留web shell及後門程式,後門程式即使被掃掉了,但只要web shell還在就可以再回來。掃毒軟體沒有辦法根治這個問題,只要去掃就一直掃得到惡意程式。甚至駭客會先放10個後門,看看掃毒軟體掃了剩下幾支,入侵到內網後會靜待一個月看看有無被發現,試試攻擊目標的偵測防禦能力如何,再決定下一步攻擊策略,「一旦遇到這種APT攻擊,幾乎必死無疑」他說。 

林秉忠也指出,台灣許多企業採取沙箱搭配防毒軟體的方式來防禦APT,但其實防毒軟體不能做到端點行為分析的效果,沙箱把payload樣本丟給防毒軟體,防毒軟體只是抓到樣本update特徵碼,以後看到這個檔案知道是惡意,但相關的行為防毒軟體還是無法偵測。端點行為分析類似主機型IPS,看到這個MD5可以去攔截、阻擋端點的惡意行為不要讓它寫入,而沙箱丟情資給防毒軟體會有盲點,因為惡意程式會變形,現在看到的惡意程式特徵跟兩天後防毒軟體派下來的特徵碼可能已經不同,且駭客進來之後不見得只打這一台,擴散出去也會用別的工具程式,防毒軟體也抓不到、效果不好。他強調,對付APT,企業不能再用防毒軟體的思維來做。

有專職資安人力可採主動防禦策略

綜上所述,此5種APT防禦技術各有功能,林秉忠建議採取Style 1+3+4做主動的聯防,不建議企業用Style 3搭配防毒軟體,因為將來EDR甚至可能可以取代防毒軟體。企業大多已有網路流量分析的技術,若搭配網路鑑識的技術(Style 1+Style 2)是較為被動的防禦策略,主要是維持系統正常運作,透過網路鑑識到處錄影,事後再調出來做分析。至於Style 3+Style 5則適合資源足夠、有鑑識技術人力的企業採用。 

趨勢科技台灣區技術總監戴燊表示,APT往往不只埋伏單一暗樁,而是採用多點佈署的方式,所以如果企業僅採用部分或是單一端點分析與鑑識,往往沒辦法看到全貌。建議先以網路分析檢視內部是否產生不當連線,再進行問題電腦端點分析以找出問題程式,進而進行清除。因此監控與預防的方式可採Style 1網路流量分析>Style 2網路鑑識>Style 3 Payload分析;而問題電腦分析與處置的方式則是先Style 4端點分析再做Style 5端點鑑識。 

邱銘彰也建議Style 1+3+4,他進一步指出企業有專職資安人員、資安團隊的才需要去買專屬APT解決方案及沙箱工具,因為有資安人員才有能力讀分析報表做處理,若是沒有專職資安人員的企業,除了基本防毒、防火牆之外,可租設備、買SOC服務或監控服務就好。他先前受訪即曾指出「當企業投注成本到一定程度時,所能偵測到的威脅數量有限,與其繼續投注成本提高偵測率,不如用來加快對於受害電腦的事件處理速度,降低損害成本」。因此即使沒有專職資安人員,企業也應該制定一套事件處理程序,將惡意程式、攻擊行為有系統地記錄下來,以做為調查分析之用。 

威脅情資的整合 自動vs間接 

APT防禦的下個階段就是威脅情資(Intelligence)的整合,Intelligence是指各種資料進來的分析,包括資料正規化、儲存與關聯。每家有不同做法,例如McAfee的威脅情報交換平台(TIE)可彙整McAfee的全球威脅情報、來自第三方如VirusTotal的情報,以及企業本身各種端點、閘道端資安設備的情報,還能自己建立黑白名單的情報等。 

邱銘彰表示,Payload分析出威脅情報,而不同設備想看的情報不同,防火牆要的是黑名單,沙箱吐中繼站資料如IP、domain給防火牆,可增強防禦黑名單;當沙箱了解惡意程式對端點造成哪些危害,可提供MD5給端點,以強化端點處理防禦。

林秉忠指出,情資的整合可分為兩種,一種是產品之間自動化的整合,另一種是用API來間接整合,自動化整合直接傳送情報很快,而API整合比較需要注意各種狀況,例如遇到網路斷線,或者不斷提供黑名單情資給防火牆,結果讓它爆掉反而影響系統可用性等問題。林秉忠建議,對Proxy、SIEM或IPS建議可以直接自動整合,對會影響系統可用性的防火牆則不要自動整合。目前FireEye可以自動整合的產品包括Imperva、Infoblox、ForeScout等閘道設備以及HP ArcSight、IBM QRadar、RSA 等SIEM平台,其他則是透過API方式整合。 

邱銘彰認為沙箱做的是惡意程式行為的剖析描繪,若做自動化整合可能需考慮誤判率的問題,因此是透過提供Syslog、CEF格式給SIEM平台,建議企業自己做整合。下表整理代表性APT解決方案廠商所具備的技術以及已完成第三方資安產品自動整合的列表清單,除表列自動整合的產品,以及透過API間接整合之外,廠商大多透過提供syslog方式與SIEM平台整合。 

資料來源:廠商提供,資安人整理(2014/07)
*表示所採取的非端點偵測回應(EDR)技術而是白名單方式限制應用程式執行 

結論
隨著APT攻擊的時代來臨,新的資安防禦技術如沙箱、端點偵測回應(EDR)將讓資安產業版圖重新洗牌。在這篇文章提到,企業資安策略勢必面臨重新調整,過往只強調防禦(prevention)而現在應在防禦與偵測(detection)間重新平衡,但其實企業也不需太過追求新的偵測技術,在資安產品之間找到可以彼此整合運作良好的技術,或許也是一種解決之道。

轉載自《資安人科技網

ISO 27001:2013轉版常見3大問題

ISO 27001:2013轉版常見3大問題

去年10月ISO組織正式公告資訊安全管理系統新版本ISO27001:2013。於是全台灣超過800個企業或組織都將面臨如何因應的問題。高階主管先問:要多少預算?效益在那裡?IT主管先想:又要多少時間和人力投入?這次要怎麼做才會比較容易過關?IT人員心想:兵來將擋,水來土掩,先看別人怎麼做再說。那麼資安顧問又常被問到那些問題呢?

其實大部分問題包含兩種要素,一是觀念,一是做法。當觀念對了,做法自然會浮現。

新版ISO27001其中一個重大改變是提高對管理階層的要求,在新版ISO27001本文5.1「領導與承諾」章節中,具體說明高階管理階層應該要(shall)做到的事項,包括「確保資訊安全管理系統要求事項整合入組織之日常作業」。也就是說資訊安全不僅是資訊單位的責任,同時應該是組織全員的責任。在實務上,這也是所有資安推動人員遇到的難題,許多主管的觀念仍然以通過驗證,取得證書為專案目標。對於協調組織內各業務單位落實資訊安全相關規範,或是全面建立資訊風險管理共識,總有些不知要做到什麼程度才足夠的疑問。要符合新版ISO27001的觀念,除了參加一年一次的管理審查會議外,高階主管是否適時或定期參加資訊安全管理重要會議,將會是一個展現領導及承諾的重要指標,因為風險及安全議題經常都在發生,以最近而言,幾乎每個月都有資安事件發生,高階主管是否都已經注意到相關事件,並且知道組織的因應對策?

在ISO27001轉版的過程中最常見的問題至少有下列3項:風險評鑑方法是否可以簡化?新版的營運持續計畫涵蓋範圍為何?行動裝置如何控管?其次常見問題則有:系統開發一定要做源碼檢測嗎?一定要有密碼控制措施嗎?A9.3.1的 secret authentication information是什麼?

問題1. 風險評鑑方法是否可以簡化?

對於這些問題首先應該要確認的是,到目前為止,ISO27001對組織的效益是什麼?是負擔還是幫助?從踏入資訊安全這個領域開始,第一句相信的格言是Bruce Schneier所說的”Security is a process, not a product.”,如同風險管理一樣,都是持續不斷的過程。資訊風險只會因為科技進步快速提升而未減少,新版ISO27001要表達的是風險評鑑應該比以前更全面思考,所以本文4.1建議參考ISO31000中5.3的風險管理架構,在進行風險管理時應該要先建立風險全景,辨識組織內外風險相關的事物。但是實際如何執行風險評估的方法在ISO31000並未詳述,還是要以ISO27005的資訊安全風險管理步驟來進行,才能得到可用的風險值。如果覺得原有的風險評鑑方法太過繁複,那麼應該要做的是調整威脅、弱點的適切性,而不是省略盤點資訊資產這項基本作業,太過簡單的風險管理等於沒有風險管理。

問題2. 新版的營運持續計畫涵蓋範圍為何?

在建立風險全景的實作指引已明確說明「營運持續計畫之準備」為其重要目的之一,所以對於新版ISO27001附錄A17.1所稱的「Information security continuity」,常有人問是不是只要做ISMS的營運持續計畫?資訊系統的可用性本來就在資訊安全的C.I.A.原則中,沒有資訊系統營運持續計畫的管理機制,如何能說我已做好資訊安全?在舊版的ISO27001中把IT的營運持續計畫寫得像是全組織的營運持續管理,所以新版ISO27001只是把過去寫太多,無法做到的部份,回歸到資訊系統持續運作的基本原則而已,絕無不建立營運持續計畫的道理。

問題3. 行動裝置如何控管?

行動裝置的使用在短短數年間形成無法阻擋的科技趨勢,雖然明知風險不低,但是IT人員只能在尚未準備好的情況下逐步退守,這個問題在談技術解決方案前,其實應該先思考前文所說「領導與承諾」應該展現的資訊安全觀念。高階主管在要求開放使用行動裝置前,是否已評估過風險?開放使用行動裝置時,是否已提供足夠資源或預算讓IT人員有所準備?開放使用行動裝置後,是否已有如果發生資安事件的應對方法?以目前現有的技術解決方案,行動裝置並不難管理,難管理的是思考模式與習慣。

對於其次常見的幾個問題,要先回歸資訊安全管理的基礎──風險管理,ISO27001會要求「產出適用性聲明」就是讓組織可以選擇風險管理的做法,不論是源碼檢測或是密碼控制,每個組織應考慮現有資源、業務需求、法規要求及風險評估的結果,來決定是否採用成本效益相符的控制措施。至於新版ISO27001用了一個我們不熟悉的名詞「secret authentication information」,是因為我們已經太習慣用ID, Password來做驗證身份的機制,而在不久的未來,驗證身分的方法將會更多樣化,圖形、指紋、虹膜、聲音…都是可能出現在資訊安全管理的驗證機制。 

新版ISO27001已經用自己的改變來實踐「持續改善」的信念,已通過ISO27001的企業或組織也應該從「獨善其身」進一步到「推己及人」,從利害相關團體、上下游供應商到委外廠商,從現在彼此網路密切相連的觀點而言,任何一個人的資訊不安全,都有可能造成組織或個人的不安全,從通訊錄好友傳來Line的惡意連結只是風險的開始而已。 

所以已經通過ISO27001的企業或組織,不論是覺得有氣無力、因循苟且,或是上有政策、下有對策,不妨將這一次的轉版當成是轉機,趁此機會重新檢視這些年來,有那些文件多年來從來沒有修訂過,有那些管理措施根本是多此一舉,有那些平常視而不見或心知肚明的風險沒有被提出,有那些該被宣導落實的教育訓練沒做。如果能善用組織因為維持證書而投資的時間與金錢,順便強化可以保護自己的資訊安全知識,何樂而不為?對於要考量預算的主管,建議以整體重新檢視並且調整制度的視野來編列預算,完整執行PDCA的時間仍然以8~10個月的時間較為充裕。資訊安全之內無君王之路,唯有不離不棄才是王道。 

本文作者為資誠聯合會計師事務所風險及控制服務部協理 ,擅長資訊治理、資訊科技風險管理

轉載自《資安人科技網

以駭客思維做正規防禦 擋網站漏洞確保商務安全

定期掃描搭配因應策略 防止網站遭滲透不二法門
以駭客思維做正規防禦 擋網站漏洞確保商務安全

其實網站的攻擊行為並非強悍不可敵,更多事件發生是因為管理面的疏忽所導致。若僅是網站元件的缺失,可以透過程式撰寫讓駭客誤判;或是採用開放原始碼架設網頁服務,則後台管理資料夾預設路徑與命名務必要修改。從管理面著手,簡單的注意事項只要確實執行,即可降低風險,並非得仰賴自動化工具才能防禦。

跨網站指令碼(Cross-site Scripting)、SQL Injection等網頁型態的攻擊技術已行之有年,至今始終無法根除,且仍常見為駭客用來滲透的管道。美麗島雲端安全科技(FormosaAuditor)研發顧問蔡銘桔指出,駭客工具持續更新可說是攻擊行為始終存在的因素之一,像是滲透測試軟體套組Kali Linux就常遭駭客利用,只要新漏洞發布,駭客即可藉由工具之力快速地找到攻擊目標。

從OWASP(Open Web Application Security Project)每年公布的十大網頁安全風險不難發現,攻擊手法大多存在已久,只是駭客利用類似Kali Linux內包含的工具時,其行為並非大規模掃描,而是依照特定漏洞試探攻擊標的,以致於一般管理機制難以察覺是一起攻擊行為。

但最終無法有效控制攻擊事件的主因,多數仍是網站漏洞的檢查動作不夠確實,以及缺少積極的因應策略所致。HP資訊安全事業部北亞區資深技術協理蕭松瀛亦認為,從幾起重大資料外洩事件來看,其實駭客採用的攻擊手法大同小異,約有七成是利用應用程式漏洞滲透後進行竊取。

鎖定網站漏洞攻擊 六種常見模式 

蔡銘桔指出,針對網站漏洞發動的攻擊,大致可區分為六種方式:

1. 作業系統服務層的漏洞。駭客使 用SSH(Secure Shell)或遠端桌面漏洞略過驗證程序,或是使用字典攻擊,暴力破解帳號密碼獲得系統的主控權。

2. 網頁伺服器的漏洞。此類攻擊 例如IIS的WebDav(Web-Based Distributed Authoring and Versioning),以及Apache的延伸模組(mod_rewrite等),伺服器組態啟用危險的PUT Method,恐將成為駭客上傳程式、Shell Script的管道,在網頁伺服器上任意執行。

3. 網頁服務元件的漏洞。利用 PHP、Tomcat、OpenSSL等常用元件的漏洞進行攻擊,可略過安全限制取得敏感資訊以及網站存取權。

4. 網頁應用程式的漏洞。常見是駭 客利用跨網站指令碼盜取帳號與認證資訊,及利用SQL Injection獲取資料庫的內容與權限,或略過認證程序取得管理權。

5. 開放原始碼網頁應用程式碼的漏 洞。包含WordPress、Joomla、phpMyAdmin、FCKeditor等受歡迎的開放原始碼應用套件,常出現零時差(Zero-day)攻擊,不論漏洞的新舊,駭客利用工具即可探尋尚未修補的網站,成為攻擊標的。

6. 網站管理後台的漏洞。駭客會猜 測預設的路徑安裝名稱,常見的網站管理後台路徑如admin、administrator。

蔡銘桔進一步提到,其實網站的攻擊行為並非強悍不可敵,更多事件發生是因為管理面的疏忽所導致。若僅是網站元件的缺失,可以透過程式撰寫讓駭客誤判;或是採用開放原始碼架設網頁服務,則後台管理資料夾預設路徑與命名務必要修改。要避免漏洞成為攻擊目標,從管理面著手,簡單的注意事項只要確實執行,即可降低風險,並非得仰賴自動化工具才能防禦。

近期較知名的事件即是4月期間OpenSSL被揭露內含Heartbleed安全漏洞,國外資安業者估計當時全球約有60萬個網站受到波及,並呼籲需盡快更新修補程式。但經過一個月後,仍然有32萬個網站含有此安全漏洞,顯示許多網站管理員對於網站安全漏洞並沒有積極的因應策略,才讓駭客有機可乘。

▲美麗島雲端安全弱點管理機制,可同時掃描配置IPv4、IPv6位址的主機及設備。(資料來源:www.formosaauditor.com

黑箱與白箱測試 揪出程式碼弱點位址 

針對應用程式漏洞,市場上不乏因應的技術與解決方案,只是蕭松瀛觀察,實務上要落實並不容易。其實在台灣已有許多提供漏洞掃描技術的方案與服務,可執行的深度與詳細程度皆不同,但通常為了避免耽誤專案交付時程,掃描的機制不會設計得太過複雜。如此的情況下交付的應用程式,八成以上都有潛在漏洞,只是還沒有被駭客發現並入侵,或者是早已被駭客利用滲入而不自知。

「大家都知道,建置了入侵偵測防禦系統,不代表漏洞可全數修補,一定還會有更新的零時差攻擊出現,因此必須持續不斷地更新特徵碼,才能及時發現、攔阻。對於應用程式,當然也該定期檢視與更新。」蕭松瀛說。

像是OpenSSL漏洞,即可透過HP WebInspect進行檢測,即便是通訊協定層的漏洞,亦可被察覺。蕭松瀛說明,至於SQL Injection等網頁漏洞,往往跟研發人員撰寫程式的風格有關,一旦掃描結果中發現漏洞,會直接在客戶面前展示攻擊該漏洞的方式,如此一來才能取得重視進而改善程式撰寫習慣。

當然有不少企業仰賴WAF(應用程式防火牆)來防禦,但是他指出,若漏洞問題發生在程式碼內容,則必須由HP WebInspect與HP Fortify SCA(Static Code Analyzer)整合運行後精準地指出程式碼位置。也就是經WebInspect掃描發現SQL Injection等漏洞後,Fortify SCA找到呼叫的路徑,藉此研發人員即可有效率地進行調整。

分散式弱點管理架構 借鏡駭客原理邏輯

國內資安技術人員自主研發的「美麗島雲端安全弱點管理」解決方案,較特殊之處可說是分散式弱點管理的部署架構。蔡銘桔說明,分散式弱點管理是因應不動產仲介業等類型的客戶,在全台有幾千個營業據點,實在難以親自到每個據點執行掃描檢測而設計的作法。只有在第一次安裝時需要到現場,完成後即可由遠端控制、配置掃描排程,並自動將掃描完成後的資料經過加密回傳管理中心,以確實掌握每部主機的弱點稽核狀況及其弱點管理工作的進度。

「市場上類似的解決方案是提供統一管理中心,各地據點的資料必須透過Public IP或VPN連線溝通傳遞;但是分散式弱點管理並非如此設計,而是類似於殭屍網路(Botnet)的概念,由各據點安裝的代理程式主動回傳資料至管理中心。」蔡銘桔強調。該代理程式的運行設計原理,即是仿照殭屍電腦運作,但並非由擔任中繼站C&C伺服器角色的管理中心直接操控,而是各據點的代理程式定時會回報與詢問是否有最新指令。他不諱言,目前市場上的產品設計都是在正規軟體開發思維下發展,而美麗島雲端安全卻是借用了駭客的邏輯,來有效解決客戶實際面臨的問題,並且該管理中心不論是建置在公有雲或私有雲皆可,正可符合雲端服務應用趨勢。

當然,對於不同的漏洞型態,除了定期的弱點掃描以外,一旦有網站相關的重大漏洞被揭露時,仍需要不定期的檢測漏洞的更新,且盡速採取因應措施,才能防止駭客利用漏洞發動的攻擊。

轉載自《網管人

支付寶 Android 應用程式出現漏洞

支付寶 Android 應用程式出現漏洞

支付寶是中國主流的第三方支付平台,來自中國最大的網路公司 – 阿里巴巴。趨勢科技最近發現他們的Android應用程式上有兩個漏洞可被攻擊者用來進行網路釣魚(Phishing)攻擊以竊取支付寶認證。

Alipay Android App

第一個漏洞:輸出活動

Android應用程式有幾個重要的部分,其中之一是活動(Activity)。這有一個重要的屬性,android:exported。如果此屬性設定為「true」時,安裝在同一設備上的每個應用程式都可以調用這個活動(Activity)。開發者應該要小心,讓自己輸出的活動(Activity)不被濫用。

趨勢科技發現支付寶的官方Android應用程式正有此種漏洞。這特定活動(Activity)可被用來增加一個支付寶護照(稱為Alipass)。使用一特別建立Alipass的攻擊者可以用此活動(Activity)來建立一個Alipass登錄顯示。這可以用來將使用者導到網路釣魚(Phishing)網頁或顯示QR碼。在該活動(Activity)啟動前,使用者會被要求輸入支付寶解鎖密碼,這讓使用者相信該登錄畫面確實來自支付寶。


圖1、活動(Activity)所提供的網路釣魚網址

第二個漏洞:惡意的權限

前面我們討論過如何透過權限搶佔來取得權限。在此攻擊中,惡意應用程式在目標應用程式前安裝,取得目標應用程式的客製化權限和能存取該權限所保護的組件。

支付寶應用程式定義了權限com.alipay.mobile.push.permission.PUSHSERVICE來保護組件com.alipay.mobile.push.integration.RecvMsgIntentService。支付寶應用程式利用該組件接收來自支付寶伺服器的郵件。一種訊息是通知使用者應用程式有更新可用。

當一個惡意應用程式被給予PUSHSERVICE權限,攻擊者可以輕易地假造此一訊息,並將其送到RecvMsgIntentService以推送更新通知給使用者。


圖2、攻擊漏洞的測試通知


圖3、要求安裝惡意程式的通知。

一旦使用者接受了更新,就會下載和安裝另一個應用程式。這下載應用程式的網址也是經由攻擊者控制。結合最近所發現的Android啟動漏洞,可以劫持支付寶的捷徑和啟動偽支付寶應用程式以取得使用者帳號。

Android的輸出活動(Activity)並非最後一個被認為有安全隱憂的作業系統功能。像 iOS 涉嫌含有後門 – 後來說這只是個診斷工具。不管是真是假,如果開發者不用安全的方式使用,這些行動作業系統功能都可能成為一種安全威脅。

趨勢科技已經披露上述漏洞給支付寶;他們承認有此問題並提供更新給他們的使用者以解決此漏洞。版本8.2以及更新的支付寶應用程式不再含有此漏洞。我們敦促支付寶應用程式的所有使用者都檢查自己是否仍然使用有漏洞的版本,並更新到最新版本(如果需要的話)。

原文出處:Vulnerabilities in Alipay Android App Fixed 作者:Weichao Sun(行動威脅分析師)
轉載自《網路安全趨勢

2014年8月11日 星期一

竊104數萬筆履歷,1111判賠211萬定讞

竊104數萬筆履歷,1111判賠211萬定讞


2002 年國內求職網站 1111 人力銀行前竊取對手 104 人力銀行 8 萬筆求職者資料,遭到 104 求償 1488 萬元,本案纏訟 12 年,今天最高法院認定經營 1111 的全球華人公司構成不當得利,判賠 104 資訊科技 211 萬 7800 元定讞。104 發表三點聲明:

1.對於最高法院上述判決,彰顯我國司法制度維護企業公平競爭環境的決心與努力,104 資訊科技深感欣慰與肯定。
2.104 資訊科技身為人力銀行龍頭企業,期盼相關同業記取本件案例,未來皆能在公平交易的環境中良性競爭與發展。
3.104 人力銀行目前擁有逾 562 萬筆求職者資料,我們將持續履行對求職者的承諾,提供多元就業服務,並保障求職者的權益。

根據《蘋果日報》報導,本案源於 2002 年,時任 1111 工程師的鄭姓男子等四人因高層要求增加 1111 高學歷求職者履歷數量,侵入 104 人力銀行 VIP 客戶專屬付費查詢頁面,自該年 8 月到 12 月下載 104 資料庫內 8 萬筆求職履歷。法官指出,1111 盜走的其中 6 萬筆於 104 與 1111 同時登錄,因此認定 104 損失僅有 20270 萬筆資料,經專業機構鑑價,資料總值 283 萬 7800 元,又鄭男等四人已各賠償 104 十八萬元達成和解,因此 1111 僅需賠償餘下的 211 萬 7800 元。

轉載自《Inside網摘

日倍樂生洩個資案 男嫌落網

日倍樂生洩個資案 男嫌落網

日本通訊教育知名企業倍樂生控股公司大量顧客個資外洩案,警方今天以涉嫌違反防止不當競爭法,逮捕1名由外部公司派到倍樂生相關公司擔任系統工程師的男子。

倍樂生(Benesse Holdings Inc.)外洩的顧客個資,包括使用「孩童巧連智」、「進研小學講座」等通訊教育服務的孩童及家長姓名、住址、電話號碼、性別、生日。件數可能達760萬至2070萬件不等。

倍樂生的顧客資料庫委託1家公司管理,家住東京都府中市39歲的松崎正臣被1家IT人才派遣公司派到倍樂生旗下的公司Synform(總社位於岡山市)東京分社擔任系統工程師,負責顧客資料管理及軟體開發。

警方調查得知,松崎在Synform東京分社,將顧客名簿資料下載到記憶體。因這些顧客個資屬於營業秘密,因此他今天以涉嫌違反防止不當競爭法(複製營業祕密),遭到警方逮捕。

警方在他住家及Synform東京分社他的辦公桌進行搜索,查出以他專用的ID複製資訊的痕跡,也從他所持有的記憶體、他住家的電腦等發現大量個資,經過比對,是倍樂生外洩的個資。

有日本媒體報導,松崎到案後對警方坦承,主動將資料出售給名冊業者,售價為數百萬日圓。他因賭博、缺生活費,欠債約數十萬日圓,去年年底到今年6月之間,用同樣手法多次竊取資訊,賣給名冊業者。

警方還在調查,名冊業者後來將這些個資轉售給哪些公司。

倍樂生的會長兼社長(董事長兼總經理)原田泳幸今天傍晚在東京召開記者會致歉並表示,針對顧客資訊外洩,將提供總額200億日圓的補償。

原田說:「造成許多人的困擾,再度致上深深的歉意。」他表示,等釐清受害對象之後,會以發送商品、減免學費等各種方式補償。

此案是6月下旬,有許多倍樂生的顧客致電倍樂生說接獲其他公司的推銷電話和郵件,倍樂生才著手調查。此事引起許多學童家長不安,委託倍樂生進行部分授課的學校也有學生個資外洩。

日本經濟產業省相當重視此事,要求倍樂生提出檢討報告,以防止重蹈覆轍。原田今天向經產大臣茂木敏充提出報告。

轉載自《聯合新聞網

2014年8月10日 星期日

垃圾郵件數量爆增6成 大肆攻擊XP系統漏洞

垃圾郵件數量爆增6成 大肆攻擊XP系統漏洞

  電腦病毒與惡意程式不斷進化,透過各種管道入侵使用者電腦,竊取重要資料。現有一支名為「DOWNAD」的惡意程式,利用散布垃圾郵件方式,攻擊使用Windows XP作業系統的電腦,造成上半年垃圾郵件快速增加。更有惡意程式偽裝成熱門新聞連結,或入侵雲端儲存空間造成電腦中毒,導致使用者個資外洩。

  根據趨勢科技資料,今(2014)年上半年垃圾郵件數量,較去(2013)年同期成長60%,原因在於名為「DOWNAD」的惡意程式盛行,主要是利用電子郵件散發病毒檔案,導致垃圾郵件快速成長。尤其是以使用Windows XP系統的電腦,最容易遭受攻擊,讓尚未更換電腦作業系統的企業或個人的資料外洩,損失慘重。

  「DOWNAD」透過系統漏洞、網路芳鄰及可卸除式裝置,在Windows系統中自動散布,並專門針對MS08-067伺服器服務漏洞進行攻擊。以趨勢科技資料統計,今年第2季就有40%的惡意程式郵件,是由感染DOWNAD的電腦所發送,居今年3大惡意程式之首。此外,「ZBOT」及「CUTWAIL (Pushdo)」程式也專門利用垃圾郵件散播病毒,而「ZBOT」近期更出現變種,透過點對點(P2P)通訊功能傳輸病毒。

  趨勢科技資深技術顧問簡勝財表示,由於Microsoft已終止支援Windows XP系統,讓使用XP系統的電腦無法透過更新防止病毒入侵,成為最容易受攻擊的目標。觀察上半年垃圾郵件的攻擊手法,一為利用非英文郵件吸引使用者開啟;二為偽裝熱門新聞,加入許多話題性的圖片和訊息,躲避過濾軟體掃描;三為利用雲端儲存空間連結,散布垃圾郵件,弭除使用者戒心。一旦誤開郵件,可能導致電腦遭木馬入侵,成為散播轉介點。

  簡勝財進一步提醒,Windows XP伺服器漏洞讓DOWNAD程式肆無忌憚地攻擊,企業資安將成隱憂,預計下半年垃圾郵件數量還將會繼續成長,可能透過重大新聞的發生,或歲末年節寄送祝賀郵件時肆虐,使用者應盡早升級Windows作業系統,並且使用防護軟體偵測檔案,才能避免遭受病毒威脅。

轉載自《Yahoo新聞

2014年8月4日 星期一

14款知名防毒軟體引擎安全性堪慮,多數存在安全性漏洞

14款知名防毒軟體引擎安全性堪慮,多數存在安全性漏洞


新加坡資安公司 COSEINC 研究人員 Joxean Koret 於日前才舉辦過的 Syscan 2014 的 Breaking Antivirus Software 議題中指出針對17種主要防病毒引擎進行了一系列的研究後, 發現其中14種存在本地或者遠端可以利用的漏洞。
COSEINC 建議企業在部署防病毒產品前一定要經過嚴格的安全測試。

其中遭到點名的防毒軟體有:
Avast: Heap overflow in RPM (reported, fixed and Bug Bounty paid)
Avg: Heap overflow with Cpio (fixed...)/Multiple vulnerabilities with packers
Avira: Multiple remote vulnerabilities
BitDefender: Multiple remote vulnerabilities
ClamAV: Infinite loop with a malformed PE (reported & fixed, patch available soon)
Comodo: Heap overflow with Chm
DrWeb: Multiple remote vulnerabilities
ESET: Integer overflow with PDF/Multiple vulnerabilities with packers
F-Prot: Heap overflows with multiple packers
F-Secure: Multiple remote vulnerabilities (contacted, amazingly collaborative)
Ikarus: Memory corruption with ZOO (reported)
Panda: Multiple local privilege escalations (reported and partially fixed)
eScan: Remote command injection

原文出處:Serious security issues affect 14 of 17 major antivirus engines
轉載自《網路攻防戰》

火狐洩7.6萬個資 開發商急補救

火狐洩7.6萬個資 開發商急補救

開發火狐瀏覽器的Mozilla表示,正在調查一起資料外洩意外,該意外導致7.6萬名使用者的電子郵件、及4000名使用者的密碼外洩。


《iThome》報導,大約在兩周前,一名Mozilla開發人員在公開的伺服器上發現這些外洩資料,促使Mozilla展開調查。Mozilla表示,開發者網路(Mozilla Developer Network,MDN)的網站資料庫,自6月23日展開的資料消毒(data sanitization)程序錯誤,導致7.6萬名使用者地址與4000筆密碼曝露在公開的伺服器上30天。

事後Mozilla立即移除伺服器的資料庫轉存檔(database dump file),並關閉相關程序,Mozilla表示,未偵測到任何惡意行為,不過也無法確定是否遭到駭客入侵。Mozilla提醒使用者,若在其他網站與火狐瀏覽器使用相同密碼,建議更改密碼以策安全。

轉載自《蘋果即時

北市府法務局公布有風險購物網站,露天拍賣上榜

北市府法務局公布有風險購物網站,露天拍賣上榜


  臺北市政府法務局今天(4日)發布消費警訊指出,近來不僅網路購物詐騙案件層出不窮,還有民眾在網站購買產品,發生糾紛,賣家不出席協商會議,或因網站沒有聯絡資訊如出賣人姓名、聯絡電話、地址等,找不到業者而求助無門,為提醒消費者注意,爰將業者名單公布,供消費大眾參考。

  法務局主任消保官陳信誠表示,露天拍賣從今年1月1日至7月31日有20件被消費者申訴網購詐騙案件、雅虎也有2件。常見的詐騙類型有付款後未收到貨品、收到的貨品與訂購的不符,甚至有收到空盒的情況;此時,若再遇到賣家被停權,消費者就無法從賣場找到賣家聯絡資訊,再加上平臺業者往往不願介入處理,導致消費者無法換貨、退款;另外,露天拍賣從今年1月1日至7月31日有12位賣家未出席消保官協商會議,為所有平臺業者中賣家不出席次數最多。主任消保官陳信誠呼籲消費者應慎選賣家及平臺業者,且平臺業者也應為交易安全把關,積極管理賣家行為,避免成為製造消費糾紛的溫床。

  陳信誠進一步表示,某些賣家會用多個網址來販售產品,如魔聲耳機專賣店的網址有www.twmonster.com.tw(賣家已移除網頁)、www.monsterbeatss.com.tw 、SOGI生活館的網址有sjsogi.com、www.newsogi.com、sogi.co;另手機頻道(網址:www.sogilife.com)的網站名稱雖與SOGI生活館不同,但實際上是同一賣家經營,還有紐巴倫官方旗艦店(網址:www.newbalance-3.com.tw)與紐巴倫(台灣)官方網站(網址:www.newbalance2014.com.tw)也有相同情形,相關網站頁面詳如附件,而這些賣家出售的產品往往是假貨或瑕疵品,且對消費者的申訴都不予處理,加上此類網站多在外國註冊,臺灣並無公司登記,消費爭議發生時,無法通知處理,所以提醒消費者若看到類似頁面,可能就是這些賣家經營的網站,建議消費者在這些網站購物前,要斟酌相關風險。




有風險購物網站名單
魔聲耳機及Sogi生活館新聞稿畫面

轉載自《台北市政府-法務局