2014年11月27日 星期四

報導:Sony Pictures被駭有內鬼,疑是外聘人員爭工作平等所為

報導:Sony Pictures被駭有內鬼,疑是外聘人員爭工作平等所為


「我們要平等,Sony不肯,這是一場艱難的戰爭。」這名自稱為 lena 的駭客並未明確說明入侵方法,但表示,Sony 公司大門沒關,因此他們和其他有類似利害關係的員工合作而成功入侵。The Verge 認為,這些話暗示駭客可能和 Sony 有某種形式的僱用關係。

根據 The Verge 報導,一名自稱是駭客的人聲稱,日前發生的索尼影業(Sony Pictures)駭客入侵事件是在公司員工協助下完成,而入侵的目的是為爭取「平等」。

Sony Pictures 內部網路周一遭到署名 #GOP 的駭客入侵,當天公司內所有員工的電腦都出現一個聳動的畫面,威脅 Sony 如果不遵從其要求將公佈機密資料。該事件也迫使 Sony Pictures 公司所有電腦下線,全體員工改為在家上班。

先前 The Verge 報導時曾寫信向駭客組織提出問題,後來收到自稱是組織成員的人發出的電子郵件回信。他在郵件中表示:「我們要平等,Sony 不肯,這是一場艱難的戰爭。」這名自稱為 lena 的駭客並未明確說明入侵方法,但表示,Sony 公司大門沒關,因此他們和其他有類似利害關係的員工合作而成功入侵。駭客並表示,為了團隊的安全不能透露太多。The Verge 認為,這些話暗示駭客可能和 Sony 有某種形式的僱用關係。

Sony官方目前對此仍三緘其口,僅在昨日對率先報導該事件的 Dealline 說明公司正在調查這起「IT事件」,Sony 並對 Deadline 證實,Sony Pictures Entertainment 出現系統毁損,正在儘力回復當中。

轉載自《iThome

2014年11月23日 星期日

能源公司系統老舊資安薄弱,美國能源設施一年遭駭 79 次

能源公司系統老舊資安薄弱,美國能源設施一年遭駭 79 次

NSA-Main

隨著智慧電網的呼聲日高,很多人擔心電網若越來越智慧化,會不會讓科幻電影中駭客入侵能源網路的情節成真,不過,事實是,即使今日的「笨蛋」電網,也一天到晚受駭客入侵,據美國國土安全部(Department of Homeland Security,DHS)的計算機緊急應變小組(Computer Emergency Readiness Team)調查,2014 年度,美國能源設施遭駭客入侵 79 次,而 2013 年度更多達 145 次。

而根據 ThreatTrack Security 統計,2013 年 4 月到 2014 年 4 月,美國能源公司有 37% 遭駭客成功入侵。而根據 Verizon 於 2014 年的研究,在所有企業中,能源企業遭駭客入侵程度最為嚴重。

為何能源公司特別容易入侵?主要原因在於目前能源公司的系統老舊,幾乎都是 1970 年代的產物,由於更換系統必須暫停供電好一段時間,以進行更新與測試,為了避免電力中斷,於是能源公司抱著「能撐就撐」的心態,只要沒有太大問題,就傾向於一直使用舊系統,但是 1970 年代的設計,缺乏許多現代的資安觀念,因此漏洞百出,非常容易遭駭客入侵。

這問題之嚴重性不言可喻,為此,美國國土安全部與聯邦調查局(FBI)特別巡迴全美,向電力公司簡報,說明資安漏洞對電力網路的危險性,以免它們繼續因循苟且。

系統交錯雜亂,駭入接管難度高

既然如此,那麼為何至今尚未出現科幻電影中,駭客入侵癱瘓整個電力網路的事件呢?

首先,能源公司還是有一些基本的防範,如辦公室電腦與實際控制重要設施的電腦在物理上分開,此外基本的防火牆也有幫助,但最主要的原因是,電力網路上連結的各種不同機電系統實在太多了,要一一駭入這些各自為政的機電系統,統一用一個駭客軟體操作,以達到癱瘓電網的目標,工程實在有點浩大,想不到因為系統繁雜反成了另類的保障。

與其如此,還不如利用集中式電網的輸配網路實體弱點,拿起槍去打壞變電箱,更有效率些。

這可不是開玩笑,2013 年 4 月 16 日,加州就發生一起攻擊事件,攻擊者持狙擊槍在變電所監視器監視範圍外,瞄準變電箱開槍, 20 分鐘內連開 150 槍,破爆了 17 個變電器,加州的太平洋瓦斯電力公司(Pacific Gas and Electric,PG&E)緊急調度,繞開受損電路,才有驚無險,否則將造成矽谷地區大停電。

硬體破壞威脅更大

這個事件讓美國政府警覺傳統集中式電力輸配網路在安全上的弱點。在台灣,雖然電力網路還沒有遭到恐怖攻擊破壞的經驗,但中台灣電塔因天災倒塌,就造成全台大停電,也顯示出集中式電網的易受攻擊,若是有人為故意破壞,用電安全難保。

專家認為,目前電網輸配硬體遭到破壞的風險,遠比駭客入侵來得大,對有意攻擊者來說,直接破壞硬體也比駭客入侵簡單得多。但是,當電網逐漸進入分散式時代,狀況就會大有不同,分散式系統下單純破壞輸配硬體,無法造成大規模停電,因為許多家戶、社區都有自有電力來源,還有微電網可互通有無,如此一來,要造成電力系統大癱瘓,就得透過駭客入侵電網的調控軟體,同時讓分散各處的所有系統一起當機。

因此,現在的駭客入侵,或許用意只在於「練兵」,所以至今仍未引起任何事故,但是能源安全與國防、經濟息息相關,美國已經開始注意能源系統的資安問題,以杜絕敵對勢力或單獨駭客破壞能源網路的可能性。

Hackers attacked the U.S. energy grid 79 times this year
(首圖來源:vocativ

轉載自《TechNews 科技新報

2014年11月21日 星期五

國安局證實 中共「網軍」多達18萬人

國安局證實 中共「網軍」多達18萬人


國安局長李翔宙今(20)日證實,中共「網軍」多達18萬人。對此,國防部次長高天忠對此表示,我國軍目前只進行電子防護,並以模擬紅軍方式對國軍進行攻擊與防護,未來將進行調整,讓敵人「進不來、進得來出不去」。

立院外交國防委員會今天邀請國安局、國防部等單位,報告中國網軍入侵我國政府機關情況,以及我方的資安防護、反擊能力。

國安局在報告中明白指出,中共解放軍負責網路戰的單位包括:解放軍總參謀部、7大軍區、國防科研機關、各級院校等,負責統合相關部會職能,平時主責網路竊密滲透,戰時負責網路攻擊,並且暗中扶植民間駭客組織,從旁協助網路間諜活動,據「美中經濟委員會」報告評估,人數高達18萬,還另成立「中央網絡安全及信息化領導小組」,以統合相關部會職能,藉由頂層設計、統籌規劃、創新發展等,將中共建設為網路強國。

國安局表示,該局網站在過去1年間,遭到網路侵擾事件總計722萬6600多次,其中惡意行為達23萬8700多次,不過,均遭防禦阻絕,未造成傷害。

至於中共「網軍」的攻擊手法,李翔宙表示,在「人員滲透」方面,先廣泛蒐集我政府部門、研究機構、黨團組織工作人員或政治幕僚的個資,例如電郵帳號、工作職務、聯絡電話等,之後再利用適當時機,散布容易令人誤會的電子郵件如新聞事件、首長行程等,目標對象一旦開啟信件,就可能被植入木馬病毒。另外,中共也會在惡意程式內崁入動態或特定網址,導向已部署完成中繼站後,再採遠端連線通道保護方式操控中繼站,遂行滲透竊密或實施毀癱攻擊。

李翔宙認為,現在各政府部門資訊系統、網防設備等,大多採委外方式研建或維管,中共利用這項漏洞,輾轉駭侵各機關委外廠商、軟體開發或服務供應商,盜用廠商維管人員遠端管理權限,迂迴遂行網路網路滲透陰謀,對我國的攻堅範圍有擴大情形。

李翔宙也強調,由於我政府及國人行動裝置包括智慧型手機、平板等持續攀升,去年就高達1053萬人,中共除了持續攻擊政府網通裝備外,研判將著手研製各類惡意行動APP應用程式,駭侵個人行動裝置,以從中竊取特定目標敏感資訊,如電郵帳密、通聯情形甚至通話內容等。

至於中共監聽台灣軍政單位通訊的能力,李翔宙說,由於中共大約每2、3個月就更換一次模式,「顯示我方防範應該有一定的效果」。

轉載自《Yahoo奇摩新聞

2014年11月18日 星期二

那一種更好?淺談 Hyper-V 與 VMware ESXi 架構不同之處

那一種更好?淺談 Hyper-V 與 VMware ESXi 架構不同之處


Hyper-V 與 VMware ESXi 對於 IT 人來說並不陌生,而要數不同之處有很多,其中最直接簡單,就連不懂 IT 的都知,就是 Hyper-V 要比 VMware 便宜(在大部份情況下);而較為深入一點的則可以說 Hyper-V 與 VMware ESXi 之間在架構上的大不同;然而很多虛擬化管理員並未意識到這些差異;而就我們所見,很多管理員對為甚麼 Hyper-V 直接於主機操作系統上運行而感到困惑。

有關微軟 Hyper-V 的一個常見誤解就是安裝 Hyper-V 需要使用 Windows 操作系統,Hyper-V 運行在主機操作系統之上而不是直接安裝在裸機上。有必要指出一旦 Hyper-V 角色通過 Server Manager 啟用,hypervisor 代碼實際上是被配置為在 Windows 核心空間之內。運行在核心空間的組件能夠直接與硬件溝通,這同樣適用於 Hyper-V。另一方面,VMware 的 ESXi 採用了完全不同的方式,ESXi hypervisor 被封裝成一個單獨的 ISO 文件,它實際上是一個 Linux 核心操作系統。

Hyper-V 和 ESXi 都是 Type 1 hypervisor。Type 1 hypervisor 直接運行在硬件之上,從設計上能夠將 Type 1 hypervisor 進一步劃分為兩類:microkernelized 和 monolithic。microkernelized 設計與 monolithic 設計有一些細微的分別,那就是設備驅動位置以及其控制功能。

Hyper-V 與 VMware ESXi 的不同之處

在 monolithic 設計中,驅動被作為 hypervisor 的一部分。VMware ESXi 使用 monolithic 設計落實所有虛擬化功能,包括虛擬化設備驅動。自從首次推出虛擬化產品以來,VMware 一直在使用 monolithic 設計。由於設備驅動包含在 hypervisor 層之中,在 hypervisor 代碼的幫助下,運行 ESXi 主機之上的虛擬機能夠與物理硬件直接溝通,不再依賴中間設備。

微軟 Hyper-V 架構使用了 microkernelized 設計,hypervisor 代碼運行時沒有包括設備驅動程序。設備驅動安裝在主機操作系統內,虛擬機與硬件設備連接的請求交由操作系統處理。換句話說由主機操作系統控制對硬件的連接。有兩種類型的設備驅動運行在主機操作系統內:合成與模擬。合成的設備驅動要比模擬的更快。只有在虛擬機上安裝了 Hyper-V 集成服務時虛擬機才能夠與合成設備驅動進行溝通。集成服務在虛擬機內採用了 VMBus/VSC 設計,使直接與硬件溝通已非不可能的任務。例如,為與實體網絡卡溝通、虛擬機內的網絡 VSC 驅動會與運行在主機操作系統內的網絡 VSP 驅動進行通信。網絡 VSC 與網絡 VSP 之間的通信發生在 VMBus 之上。網絡 VSP 驅動使用虛擬合成設備驅動庫直接與實體網絡卡溝通。運行在主機操作系統內的 VMBus,實際是在核心空間內運作的,而其目的就是改進虛擬機與硬件之間的通信問題。如果虛擬機沒有進行 VMBus/VSC 的設計,那麼只能依賴於設備模擬,性能會是如何不用多說。

無論虛擬化廠商選擇哪種設計,必須要有一個能控制 hypervisor 的功能。控制功能有助於建立虛擬環境。微軟 Hyper-V 架構在其 Windows 操作系統內進行控制。換句話說,主機操作系統控制直接運行在硬件之上的 hypervisor。在 VMware ESXi 中,控制功能在 ESXi 核心之中,並利用了 Linux shell 進行控制。

那一種設計更好?

很難說哪種設計更好。然而,每種設計都有各自的優勢與不足。由於設備驅動被編碼為 ESXi 核心的一部分,所以只能夠在被 VMware 支援的硬件上安裝 ESXi。而微軟 Hyper-V 架構不存在這種限制,能夠在任何硬件上運行 hypervisor 代碼。這降低了維護設備驅動方面的支出。使用 microkernelized 設計的另一個優勢在於不需要在每台虛擬機上安裝單一設備驅動。毫無疑問 ESXi 也部署了直接與硬件溝通的虛擬化組件,但你無法增加其他角色或服務。儘管不建議在 hypervisor 上安裝任何其他角色及功能,但運行 Hyper-V 的主機還可以被配置為具有其他角色,例如常見的 DNS 以及故障轉移集群等,這就是常說的 IT 靈活性;至於是否於 hypervisor 上安裝種種不同的東西,那則要視乎管理人員的技術及能力,並非官方或坊間不建議而不做,而是評估能力及形勢後,再想想是否可行;想清楚、對艱難的事下決定,IT 人價值高低,由此區分。

轉載自《HKITBLOG

2014年11月13日 星期四

雲端儲存資料安全嗎?5 大劣勢逐個捉

雲端儲存資料安全嗎?5 大劣勢逐個捉


在過去幾年,使用雲端資料保護的方式流行起來。但即使如此,基於雲端的資料保護也並非盡如人意。以下就是它的五大劣勢:

1.資料安全
人們提出首要的異議大概就是雲端存儲的漏洞了。如果資料存儲在雲端中,在你的DataCenter之外,你並沒有對資料保護的直接控制權。這些都增加了安全性漏洞導致的雲端資料外洩可能性。

2.隱私
另外一個拒絕使用雲端的原因就是對於私隱資料的重視。畢竟,無法證實供應商是否會讀取、甚至利用你的資料。不過卻曾被揭開過有雲端存儲供應商會收集客戶電子郵寄地址資料。

3.持續的成本
還必須考慮的一個重要因素就是持續上升的成本。雲端服務供應商一般基於消費空間大小,客戶產生的I/O Workload計算收費。這些費用將沒有終結。如果一個組織將一份檔案複制到雲端,雲端供應商就會為檔案所占用的空間計算費用。

4.長久的恢復時間
另外一個基於雲端的災難復原時間問題。平心而論,確實有供應商提供即時恢復能力。許多組織都採用混合雲,用設備恢復雲端資料的方式來實現快速恢復。然而,如果恢復行動不得不從雲端中進行,Bandwidth 限制帶來的結果將緩慢無比。

5.雲端供應商潛在故障
如果雲端供應商故障的話,雲端的資料保護就並不理想。雲端供應商很有可能使用Redundancy硬件來保護資料,一但供應商服務中斷會發生什麼事情?如果你依賴採用雲端進行主要的資料保護作用,建議你還是三思而後行。

轉載自《HKITBLOG

釣魚電郵資安測驗 考試院連續被當

釣魚電郵資安測驗 考試院連續被當

大陸駭客屢屢攻擊我政府部門,為加強我公務人員資安意識,考試院最近舉辦「社交工程演練」,模擬駭客寄發電子郵件,結果竟有一成五的受測者受騙上當、開啟郵件,其中近一半還點閱了郵件連結或者檔案,以考試委員和助理最多。

圖/聯合報提供

行政院資安會報將考試院列為資安的A級(重要核心)單位,測試信的開信率應低於百分之十,點閱率應低於百分之六才及格。但考試院今年兩次測試,平均開信率達百分之十五,點閱連結比率達百分之七點三,雙雙不及格。

考試院秘書長李繼玄說,對此測試結果「嚇一跳」,若「累犯」禁不起誘惑,一個人不慎,可能就害了整個機關。考試院十一月會再測試,再度亂點不明電子郵件的「累犯」,就要參加講習,之後若再受騙被「釣」,就要公布姓名。

考試院秘書處昨天在考試院會報告指出,十月就受到七萬多次網路攻擊。「社交工程」利用人性弱點,用簡單溝通和欺騙技倆,獲取帳號及機密資料,是近年電腦駭客慣用入侵手法。

考試院上月寄發全體人員測試郵件,包括技工工友、職員到考試委員,主旨包括「土豪最愛!六大名流最愛度假勝地」、「遊泰國免簽證費,網路訂房特惠只要二五折」、「黑心餿水油導致男性不孕」等,測試資安意識。結果全院二三三人當中,有卅二人開啟郵件,十五人點進郵件內附加連結或檔案。

宣導後再複測,寄件主旨包括「日本七大城市飯店下殺四五折」、「長照費用將跟著健保費一起收費」及「台灣之星4G開台月繳五九九元吃到飽」等,開啟郵件的人更多,有卅八人,點閱附加連結有十九人。

昨天有考委在院會指出,測試結果顯示,上當被「釣」的人數考委最多,考委應自我反省。

原文出處:聯合報
轉載自《UDN聯合新聞網

2014年11月6日 星期四

iWorm為Mac安全防護敲響警鐘?新蠕蟲感染1.7萬台蘋果Mac電腦

iWorm為Mac安全防護敲響警鐘?新蠕蟲感染1.7萬台蘋果Mac電腦


一個新發現的蠕蟲病毒已經感染了全球超過1.7萬台Mac電腦。這種名為 “iWorm”的惡意軟體專門針對運行Mac OS X的蘋果電腦,能在被感染的Mac電腦上執行多種命令,竊取使用者資料、遠端遙控系統。目前,蘋果已經針對該惡意軟體更新了防病毒碼庫。

iWorm侵入系統後,會創建一個系統檔,並打開一個埠來請求控制伺服器以獲得駭客的下一步指示。這一惡意軟體的特別之處在於,其能調用Reddit的搜尋服務,以獲得「Botnet傀儡殭屍網路」的伺服器清單。目前,Reddit已經阻止了惡意軟體對搜索服務的請求,但駭客仍可能利用其它搜尋服務來獲得伺服器清單。

該惡意軟體在使用者系統上留存的後門可被用於接收、執行各種任務,例如竊取使用者敏感資訊,執行惡意軟體指令,它也可以更改軟體配置或使Mac處於休眠狀態。當駭客控制這些Mac電腦之後,還可以利用其發送垃圾郵件,發動DDoS攻擊。

雖然大多數的惡意軟體針對Windows系統,但這並不表示Mac系統的使用者就可以高枕無憂。實際上,隨著Mac電腦用戶的逐漸增多,針對Mac系統的惡意軟體正有不斷增多的趨勢,用戶萬不可掉以輕心。

Mac系統的使用者如果想確定是否被該惡意軟體感染,最簡單的方法是輸入資料夾路徑“/Library/Application Support/JavaW”,如果系統找不到該資料夾,就說明電腦就是安全的。如果找到了該資料夾,就說明電腦有很大可能已感染此惡意軟體。

企業該注意什麼?

當有許多新聞報導全世界出現數以萬計的 iWorm 受害者時,你的企業是否有著良好的 Mac 安全防護計畫?當 iWorm 感染一台Mac電腦時,惡意軟體會和網路上的命令與控制(C&C)伺服器建立連線。這和C&C伺服器的連線可以在之後用來進行更多惡意任務,包括竊取個人或公司資料、安裝其他惡意軟體,變更設定和其他更多動作。iWorm甚至展示出一些有意思的創意,會透過在受歡迎的Reddit網站論壇來和其命令與控制網路通訊。

也許你的Mac或企業沒有受到影響,但這起事件再次地提醒了Mac電腦並非免疫於惡意軟體這件事實。事實上,在過去幾年內,我們的研究結果也顯示Mac越來越被當作為攻擊的目標,不僅是出現在針對性攻擊,甚至也受到最近的Shellshock影響。這裡有一些例子:

Shellshock:攻擊針對Mac
●針對性攻擊也針對Mac:一起和西藏相關的攻擊活動針對Windows和Mac系統
OSX_FLASHBCK打破Mac OS不易中毒的說法
一般的Mac威脅

原文出處:Is iWorm a Wake-Up Call for Mac Security? 作者:Andrew Stevens
轉載自《網路安全趨勢

八種駭客用來竊取企業資料的後門程式技巧(內有白皮書)

八種駭客用來竊取企業資料的後門程式技巧(內有白皮書)


後門程式可讓駭客從任何網路遙控缺乏防護的電腦,包括公共網路、家用網路或辦公室網路。透過一些所謂的後門程式技巧 (也就是後門程式所做的工作),駭客就能暗中下令電腦竊聽使用者線上聊天內容、連上受感染的網站、複製密碼等等。

當 IT 系統管理員在電腦系統上發現後門程式時,很可能歹徒早已暗中蒐集有關其網路的重要資訊。此外,也代表駭客早已準備進入鎖定目標攻擊流程的第三階段,也就是建立其幕後操縱 (C&C) 通訊。若照這樣繼續發展下去,駭客最後將偷到一些可讓他們販賣或用於其他惡意用途的資訊。

下載完整的研究報告:鎖定目標攻擊所使用的後門程式技巧 (Backdoor Use in Targeted Attacks)

為此,趨勢科技研究人員特別觀察駭客使用後門程式來操控目標網路的方式,截至目前為止,我們發現駭客最常使用的後門程式技巧有八項:

1.將後門程式綁定某個通訊埠。
若網路上沒有架設防火牆,駭客就能輕易透過電腦的某個通訊埠來進行後門通訊,也就是連接埠綁定。一旦後門程式綁定某個連接埠,駭客就能自由地與該電腦通訊,進而輕易加以掌控。

2.透過後門程式穿越防火牆。
若網路上架設了防火牆,駭客可利用反向連線的技巧來通訊。駭客會修改後門程式來檢查可用及沒有保護的連接埠以進行通訊。如此,後門程式就能穿越防火牆和防護軟體的封鎖。一旦後門程式找到一個可用的連接埠,就能連回駭客的幕後操縱 (C&C) 伺服器。

3.後門程式檢查可用的連線以傳輸檔案。
通常,駭客還會利用後門程式來搜尋可用的連線,以躲避入侵防護系統 (IDS) 的偵測。駭客一旦找到可用連線,就能經由後門程式暫時連上系統並進行其他惡意活動,例如傳輸檔案。

4.後門程式透過社群網路連上幕後操縱伺服器。
在這個案例當中,駭客會讓後門程式利用一般合法的社群網站。駭客會將幕後操縱的指令存放在某些部落格網頁或網路硬碟空間,然後讓後門程式連上這些服務。

5.後門程式透過常見的網站服務與駭客通訊。
有些後門程式會利用一些常見的服務通訊協定來將資訊回傳給駭客,例如:Gmail、Windows Live Messenger 或 AJAX 即時通訊。

6.後門程式可能變換通訊協定。
為了躲避偵測,後門程式會變換與幕後操縱伺服器連線的通訊協定。例如,我們的研究人員就發現 PlugX 的變種使用的是 UDP 通訊協定,而非一般常用的 TCP 通訊協定。

7.透過後門程式使用自訂的 DNS 查詢以躲避偵測。
駭客避免被列為黑名單的方式之一,就是利用後門程式向外部網站服務發出自訂 DNS 查詢,透過這項技巧就能查詢到幕後操縱伺服器真正的 IP 位址。

8.後門程式重複使用已開啟的連接埠來監聽網路。
能夠取得作業系統各種權限的後門程式,可讓駭客重複使用目標電腦上已開啟的連接埠。

正因駭客口袋裡有這麼多的後門程式技巧,IT 系統管理員應小心注意其網路是否潛藏任何漏洞。要達到這項目標,系統管理員必須仰賴必要的解決方案和專業技能來監控網路並且偵測惡意活動。

原文出處:Using 8 Backdoor Techniques, Attackers Steal Company Data
轉載自《網路安全趨勢

2014年11月2日 星期日

HITCON 資安技術論壇 - 駭客角度講資安系列

HITCON 資安技術論壇 - 駭客角度講資安系列

HITCON 團隊針對近日較嚴重之資安事件進行研究及探討舉辦一個 Free Talk論壇,將同步直播到網路上歡迎大家一同參與。

投影片網址:http://blog.hitcon.org