作者:Cho-Han Wu
圖一、 使用 Windows Intune 管理各種裝置 (圖片來源)
Windows Intune 是一套行動裝置與個人電腦的整合性管理系統,功能上類似System Center 2012 Configuration Manager,但實際運作則是建立在雲端架構上,讓企業用戶可以更便利的使用。它除了可以在管理中心統一替所有的裝置進行應用程式的佈署外,也可以提供升級授權的資訊,讓您的裝置保持在最新的韌體版本,並定期接收更新,以保護裝置不會受到惡意軟體的侵入。本次資安小常識將介紹如何設定 Windows Intune 來管理您的行動裝置。
Windows Intune 所提供的管理和保護功能除了支援個人電腦外,也提供行動電話和平板電腦等裝置。下表列出支援每種裝置類型的作業系統:
表一、 Windows Intune 支援裝置類型作業系統 (圖片來源)
Windows Intune 最具安全指標的特色就是可以統一的佈署應用程式給企業內的使用者,使其裝置避免受到惡意程式的侵擾,也讓您可以更有效及更安全的管理行動裝置。若您的使用者使用的是Windows Phone 8 或是 Windows RT的裝置,可以參考以下的步驟來設定如何佈署應用程式:
1. 請先確認您的使用環境是否符合 Windows Phone 8 或 Windows RT 的行動裝置管理需求。其中包含要先在Windows Intune 的主控台設定行動裝置的授權,並且將裝置擁有者定義為受管理的使用者 等等。
2. 啟用Windows Intune 註冊伺服器的自動偵測,或是手動提供伺服器位置給使用者,若要選擇自動偵測,請完成以下步驟設定:
a. 在帳戶入口網站中驗證您的網域
b. 建立公用 DNS 中已驗證之網域的 CNAME 資源記錄。此 CNAME 資源記錄必須包含DNS別名以及DNS主機的完整網域名稱(FQDN)。詳細 CNAME 設定內容可以參考相關文件
3. 確認您是否正確地設定自動偵測 Windows Intune 註冊的伺服器。
a. 開啟主控台並點選系統管理
b. 選擇行動裝置種類
c. 輸入驗證網域名稱並按下測試自動偵測
4. 確認您是否已經完成佈署應用程式所需的步驟。
5. 在發佈應用程式給使用者之前,請先確保您的使用者都有安裝公司入口網站應用程式,您的應用程式和外部連結將會透過此應用程式傳給使用者進行安裝。
6. 確認您要上傳的應用程式已經取得憑證授權簽署,簽署應用程式的步驟如下:
b. 選擇下載應用程式檔案超連結
c. 透過 Symantec 網站 取得企業行動碼簽署憑證
d. 以PFX檔案匯出憑證
e. 下載 SDK 中的 XapSignTool 工具,並利用該工具編譯並簽署應用程式,可參考此說明
7. 將應用程式上傳至Windows Intune,您的佈署將自動開放給所有的使用者。
圖二、 利用Windows Intune統一管理及發佈應用程式 (圖片來源)
使用 Windows Intune 讓您企業的IT可以更輕易的管理許多不同種類的裝置,在企業 BYOD 的潮流之下,使用Windows Intune 的應用程式統一佈署功能,更可以讓您的行動裝置更安全地存取公司資源。想要了解更多 Windows Intune的功能,可以進一步至微軟網站了解。
參考資料
透過 Windows Intune 讓企業從雲端管理各式裝置https://www.microsoft.com/taiwan/systemcenter/devicemgmt/windowsintune.htm
Windows Intune 官方網站 (英文)http://www.microsoft.com/en-us/windows/windowsintune/explore.aspx
設定 Windows Phone 8 行動裝置的 Windows Intune 直接管理http://technet.microsoft.com/zh-tw/library/jj733640.aspx
如何利用XapSignTool來簽署憑證http://msdn.microsoft.com/en-us/library/windowsphone/develop/jj681686(v=vs.105).aspx
微軟資訊安全情報報告書 (Microsoft® Security Intelligence Report)呈現的是每半年一次的產業資安觀察,提供企業資安負責人更深入的見解。本期的資訊安全情報報告書主要觀察的時間是在2013年上半年(一月至六月),並歸納了全球Windows 使用者以及網際網路上所提供的一些熱門線上服務所收集到的資料。針對軟體公開弱點、惡意程式分佈以及軟體弱點攻擊程式碼趨勢提供深入的分析觀點。本期資安小常識將針對第十五期的資訊安全情報報告書的內容做一個重點整理及報導。
本報告主要以幾個主要分類進行探討:
1. 資訊安全漏洞 (Vunerabilities) 2. 入侵程式 (Exploit) 3. 惡意程式 (Malware) 4. 電子郵件威脅 (Email threats) 5. 惡意網站 (Malicious websites)
資訊安全漏洞 (Vunerabilities)
資訊安全漏洞是指某些軟體內的弱點,讓攻擊者有機可趁並在使用者不知情的情況下,藉由在軟體內放置惡意的程式碼,得以竊取資料庫內機密資料或是讓軟體崩壞。
上圖為2013年上半年度的資安漏洞外洩程度,根據共通弱點評估系統 (Common Vulnerability Scoring System, CVSS) 把嚴重的等級分為0~10 分作為評估的依據。可以看到有超過一半以上的比例(52.9%) 是屬於中等程度的外洩,並有 36.7% 的程度是屬於高嚴重程度的外洩。
以上系列圖為2010年下半年度到2013年上半年度的,依順時鐘順序為資安外洩嚴重程度、資安外洩複雜程度、外洩的類別以及微軟產品及非微軟產品的比較。從上圖中可以看到的在複雜度部分,高複雜度的外洩在這段期間內維持約 5%以下的比率,低複雜度的外洩從2011年上半年度以來就是維持著最高的比率,大約維持在50%左右。而在外洩類型的部份,則是以應用程式的外洩為大宗,其次為作業系統以及瀏覽器的外洩。另外,對於微軟產品和非微軟產品的比較部分,可以看到非微軟的產品所受到的外洩比率較高,而微軟產品所佔的比率大約為10%以下。
上圖為近兩年來全球受到資安攻擊的數目和感染率之比較,可以看到的是雖然每一季每一千台電腦大約有180台左右會受到資安攻擊事件,但是實際上真的受到感染的比例仍不高,大約為0.6%左右,顯示大部分的系統都有受到良好的保護。
入侵程式 (Exploit)
入侵程式是指一段惡意程式碼,在未經過使用者的同意下,擅自在軟體間尋找漏洞來感染、干擾和控制電腦。入侵的對象包含了作業系統、網頁瀏覽器、應用程式以及軟體套件等等。
上圖中顯示了在2012年第三季到2013年第二季之間,微軟防毒軟體所偵測到的各種入侵,並以單一電腦計次計算。可以看到以網頁為基礎的 (HTML/JavaScript) 威脅從2013年開始就是最高的比率,隨後是Java以及作業系統。另外,在下圖中可看到 HTML/IframeRef 是2013年最高比例的惡意入侵來源,其主要原因是在HTML中的Iframe 標籤容易讓使用者被誤導入惡意的網站中,下載到入侵程式,而造成系統危害。
惡意程式 (Malware)
這部份的資料收集自許多不同來源的遙測資料,包含了十幾億台電腦以及許多繁忙的伺服器資料。本部分的內容以遭遇率來計算惡意程式的普及率,下面兩圖呈現2013年第二季全世界的感染率和遭遇率。
上圖用每一千台被掃描的機器所發現的感染數來代表感染率,可以看到的是全世界感染最嚴重的地區包含了北非,中東以及南亞。而在下圖的遭遇率可以看到在整個亞洲遭遇到惡意程式的普遍程度是比北美洲和歐洲來得高。
而在下圖也可以看到各個國家惡意程式的盛行率,就2013年第二季來看,前三名的國家分別是俄羅斯、印度以及墨西哥。
如果根據作業系統來看,下圖顯示了2013年第二季 Windows 作業系統在不同版本或是 SP 下的感染率。此資料是經過正規化的,也就是雖然各版本的使用人數不同,但此圖表呈現的方式是以同樣的人數為基準 (皆以每一千人呈現的感染資料為主)。可以看到在各版本中,又以 Windows XP SP3的感染率最高,Windows Server 2012 RTM的感染率最低。
再把遭遇率拿出來比較的話,可以看到的反而是Windows 7 所遭遇到的攻擊比率較高,Windows XP SP3只落到第三名,但它卻是感染率最高的作業系統,這種情形可能會在延伸支援到期時更加嚴重。
若是分析了惡意程式的類別,可以看到前三名的惡意程式是 Win32/Obfuscator、 INF/Autorun、.JS/IframeRef,Autorun是最近一年來遭遇次數最多的惡意程式類別,雖然在Windows XP 和Windows Vista的改版已經使此項技術變得較無效率,但是攻擊者仍藉此當作攻擊的目標,並試圖逃避微軟防毒軟體的偵測和封鎖。第二項最常遭遇攻擊的類別是Obfuscator,Obfuscator 藉由一些加密、壓縮以及anti-debugging 和anti-emulation的技術,讓原始的程式的功能維持正常,但實際上卻是不同的編碼,實作惡意的行為。
電子郵件威脅 (Email threats)
本部分內容的資料來源是來自於微軟的Exchange Online Protection (EOP) 統計資料,EOP是一個雲端式的電子郵件篩選服務,它能協助組織抵禦垃圾郵件和惡意軟體,同時也包括預防組織發生訊息原則違規的功能。下圖一為2009年下半年到2013年上半年被EOP所阻擋的惡意訊息數目;下圖二則為阻擋訊息的類別,可以看到這些垃圾訊息又以藥物訊息為大宗,其次是圖片訊息,詐騙訊息為第三。
下圖看到的是傳送垃圾郵件的IP位置來源國家統計,可以看到寄送最多垃圾郵件的IP是來自美國,其次是中國以及英國。
針對如何防範email威脅的部分,本期的SIR也提出了相關的建議:例如除了使用郵件過濾服務如EOP等以外,自己也可以藉由實行email認證技術和觀察最好收發email的方式,想要更深入的了解如何防衛email威脅,可以詳閱本期SIR的Guarding Against Email Threat 章節。
惡意網站 (Malicious websites)
1. 釣魚網站釣魚網站是指內容常會誤導使用者進入非網頁主旨的網站,這些網站通常會放在免費的網頁伺服器空間,或是不安全的網域名稱下。下圖是2013年第二季全世界釣魚網站的分布圖,可以看到印尼、南非、及東歐部分地區為主要的釣魚網站來源地。
2. 惡意主機服務提供者惡意主機服務時常藉由提供免費的空間,藉以詐取使用者放在上面的資訊或資料等等。在2013年第二季當中,最多的惡意主機服務提供者是來自於中國、俄羅斯、以及巴西。
3. 偷渡式下載所謂的偷渡式下載主要是針對使用者的電腦未完整更新(包含作業系統或是電腦中的第三方軟體),來進行攻擊行為;通常攻擊者會先將惡意程式碼隱藏於網頁中,當使用者存取到該網頁時便會遭受惡意影響並轉址到真正含有惡意程式的網站,進行下一步的感染/植入或是相關的竊取個資等行為。在2013年第二季的分布圖中,可以看到外蒙古、加拿大、印度及歐洲等地是偷渡式下載的主要來源
微軟資訊安全情報報告第 15 卷http://www.microsoft.com/security/sir/default.aspx
編者:Cho-Han Wu
圖一、 Windows Azure Pack 讓您更輕易地管理網路服務 (圖片來源)
Windows Azure Pack 是一套 System Center 2012 R2 上的套件,讓您的資料中心可以提供類似 Windows Azure 的簡易管理網站、部屬虛擬機器或是 Service Bus 等服務的自助入口網站,並且同時可以整合 Windows Server 2012 R2 Hyper-V 和 System Center 2012 R2 的功能,讓您的私有雲也可以享受 Windows Azure 的操作體驗。
近幾年有許多網站接受到 阻斷攻擊 (Denial of Service, DoS),原因是因為主機的伺服器受到駭客大量且密集的封包請求而導致網站無法立即處理這些封包而被癱瘓,造成一定程度的損失。本次的資安小常識將會整理幾項設定方法讓您部屬於 Windows Azure Pack 的網站服務更加安全。
本篇文章提供您三種設定方法來防範阻斷服務 (Dos) 的攻擊:
1. 過濾來源IP (建立黑名單)
2. 設定系統資源配額
3. 設定不同的使用者角色
圖二、 Dos Attack (圖片來源)
過濾來源IP:
管理者可以藉由篩選某些區段的 IP 來避免網路服務受到攻擊。常見的阻斷攻擊方法是從 Service 的內部下手,例如藉由網頁呼叫Web farm 裡的其他服務,而有機會造成一個阻斷攻擊。所以在這個例子中,管理者可以選擇將Web farm牽涉到的子網路IP位置設為黑名單,避免承租戶使用此區段的IP而造成風險。您可以用兩種方式來進行設定:
1. 使用 Windows Azure Pack 管理入口網站
• 在入口網站左側的功能列表中,選取Web Site Clouds
• 選取您要設定的網站
• 選擇 Block List
• 在下方的指令列表中選取Add
• 在文字方愧內輸入過濾IP區段的起點和終點
• 點選確認即可完成
2. 使用 PowerShell
指令中的及請自行更換為欲過濾之IP
Add-pssnapin WebHostingSnapin Set-Hostingconfiguration -WorkerRegKeyRejectPrivateAddresses 1 Set-Hostingconfiguration –WorkerRegKeyPrivateAddressRange ,
接著需要重啟 Dynamic WAS Service
net stop dwassvc net start dwassvc
設定系統資源配額:
另外一種防範阻斷攻擊 (DoS) 的方法是設定系統資源的配額,管理者可以藉由設定CPU、記憶體、頻寬、硬碟等等的配額來限制攻擊者的行為。以致系統資源在接受到突如其來的大量請求時,會因為超過設定的配額而短暫關閉,進而可以達到保護系統資料的效果。有些攻擊者會利用重複嘗試的方法來破解密碼,如果遇到強度較高的密碼,則系統則有可能在攻擊者破解之前就關閉,讓攻擊者無法入侵。
設定不同的使用者角色:
在最安全的情況下是針對每個不同的開發者或使用者都給予不同的角色憑證,Windows Azure Pack 管理入口網站也可以讓您輕鬆地管理並編輯使用者的角色憑證。
• 以管理者權限登入,並選擇要管理的 Web Site Clouds
• 點選 Credentials,並選取要修改的使用者名稱
• 在下方指令列表中點選Edit,並設定新的名稱和密碼
• 重複步驟直到每一個角色憑證都是唯一的
在設定的過程中需要注意的是千萬不能將每個角色都設定為管理者,否則會造成資安上的問題。另外,除了密碼之外,角色名稱也應該在固定的週期內更換。在更換的過程中也要注意必須在新的角色憑證都可以使用後才將舊的角色憑證刪除,以確保系統可以正常登入。
Windows Azure Pack 除了提供一個良好的且便利的虛擬化平台外,也提供使用者一個可以安全地部屬網路服務的環境。本次資安小常識提供了三種在Windows Azure Pack 網站服務中避免遭受阻斷服務 (DoS) 的方法,希望您可以多加利用,讓您的網頁服務遠離可能遇到的資安風險,並可以永續不斷地提供優質的服務。
Windows Azure Pack 管理網站的資訊安全 (英文)http://technet.microsoft.com/en-us/library/dn469329.aspx
Server and Cloud Platform - Windows Azure 套件http://www.microsoft.com/zh-tw/server-cloud/products/windows-azure-pack/default.aspx#fbid=qchGZ3k2YSh
台灣微軟System Center 部落格http://blogs.technet.com/b/systemcentertw/archive/2013/09/17/windows-azure-pack.aspx
圖一、 Windows Azure Rights Management 服務讓您更輕易地管理雲端文件 (圖片來源)
Rights Management Services (RMS) 是一款提供企業在分享檔案和文件時,能夠同時保護機敏資訊安全的解決方案。最新的 RMS 讓企業組織能夠輕易的分享各種檔案類型的機敏性資料,同時也支援跨平台行動裝置的讀取。而新版 RMS 新增的 Azure RMS 功能,更簡化了舊版 RMS 繁瑣的分享步驟,讓使用者可以直接透過 Azure 雲端服務來進��權限的驗證,也讓 RMS 的建置成本大幅下降。本次的資安小常識,將提供您如何透過 Azure RMS 來管理雲端上的機敏文件。
不管在資料庫管理和伺服器管理,撰寫系統記錄 (logging) 都是保護及監控系統安全最簡單的好方法。系統記錄會記錄下管理者的動作以及文件讀取的歷史紀錄。因此監控系統記錄可以達到以下三個目的:
1. 監控資料是否被濫用
建議的系統記錄時間應該小於15分鐘,這樣可以提供一個針對您的 RMS 資料的連續性監控。若某特定對象在非業務時間大量的存取機敏資料,或是在同一個時間區段內 (15分鐘) 從不同的 IP 登入,抑或是在沒有辦公據點的 IP 位置登入,那這些舉動即可能被視為資料的濫用。
2. 分析資料讀取記錄,了解讀取背後的意義
您可以藉由讀取記錄了解某特定使用者的資料讀取記錄,以及讀取的地點訊息等等,這些資源方便您了解使用者的行為。
3. 當做事件發生的證物
當資安事件發生時,管理者可以藉由系統記錄來查詢最後存取系統的使用者,並了解他所讀取的東西。這些訊息方便管理者對機敏資料流向得掌控。
在開始設定之前
在設定Azure RMS 的系統記錄之前,有三件事必須要先準備好:
1. 您的企業必須是 Microsoft RMS 的訂戶使用免費的 RMS 個人帳戶將不提供系統記錄的功能。
2. 您必須是 Windows Azure 的訂戶因為系統記錄必須存放在 Azure 之中,所以您必須是 Azure 的用戶,尚未擁有 Azure 帳戶的可在此申請, 目前 Azure 一個月免費試用。
3. 您的系統必須安裝 Windows PowerShell for right management因為在設定和管理的過程需要用到 PowerShell 來設定,所以您的系統必須安裝 PowerShell,下載網址。
設定 Azure 儲存空間
開啟您的 Azure 入口網站,在左側的功能列表中點選 STORAGE -> NEW -> QUICK CREATE。
圖二、 在 Azure 中新增儲存空間 (圖片來源)
創建完成後,選取剛新增的實例,並按下下方的 MANAGE ACCESS KEYS 按鈕,來管理您的儲存空間存取金鑰。
圖三、 選取新增的儲存空間實例 (圖片來源)
圖四、 複製存取金鑰 (圖片來源)
設定儲存帳號和啟用系統記錄功能
在安裝完 PowerShell 後,就要利用一些Command 來開啟系統記錄的功能。1. 匯入 Microsoft RMS 模組並連接至 Azure RMS
PS C:\Windows\system32>Import-Module AADRM PS C:\Windows\system32>Connect-AadrmService -verbose
2. 當系統跳出認證請求時,輸入管理者的帳號和密碼加以認證。
3. 輸入 Command 告訴 Azure RMS 您的記錄在 Azure 上存放的位置,將剛剛的存取金鑰輸入在底下。
PS C:\Windows\system32> $accesskey = ConvertTo-SecureString"wUjKVV14XXUCrdpuLsIa8yQ5IgUmLSOLmlgS/CcHNZXiurEORjTItdtPf4OpCaIwGNyijjMPxvDEOG21HRKR7A==" –asplaintext –force PS C:\Windows\System32>Set-AadrmUsageLogStorageAccount -StorageAccount RMSBILogs -AccessKey $accesskey RMSBILogs was set as the storage account for the usage log feature for the Rights management service. PS C:\Windows\system32>
4. 開啟系統記錄的功能。
PS C:\Windows\system32> Enable-AadrmUsageLogFeature The usage log feature is enabled for the Rights management service. PS C:\Windows\system32>
如何使用和存取 RMS 系統記錄
您可以用以下三種方法存取 RMS 的系統記錄
1. 使用 Windows PowerShell Cmdlet使用Get-AadrmUsageLog cmdlet 能夠讓使用者下載每一筆區塊的資料到本機端。
2. 使用 Windows Azure Storage SDK利用 Azure Storage SDK 讓您能夠更彈性地使用Get-AadrmUsageLog 所提供的功能,Windows Azure Storage SDK 的介紹如下。
3. 使用 Microsoft Power BI使用 Microsoft Power BI 讓您能夠將使用的記錄下載成 Excel 使用。
如何解析 RMS 系統記錄
RMS 的系統記錄範例如下:
#Software: RMS #Version: 1.0 #Fields: date time row-id request-type user-id result correlation-id content-id c-info c-ip 2013-09-19 13:46:44 0d07036b-c66c-4e92-b887-f59ecd61dc96 AcquireLicense 'janet@corp-contoso.com' 'Success' ad18e935-bcf9-4b51-9d34-cf3391c451ef {9312A0DF-DA57-4854-9160- 603A1ED06CB3} 'MSIPC;version=1.0.622.36;AppName=WINWORD.EXE;AppVersion=15.0.4535.1000;AppArch=x86;OSName=Windows;OSVersion=6.2.9200;OSArch=x86' 94.245.87.113
表一、RMS 系統記錄欄位對照表
欄位名稱
W3C 資料型態
欄位描述
範例
Date
UTC Date when the request was served. The source is the local clock on the server that served the request.
2013-09-19
Time
UTC Time in 24H format when the request was served. The source is the local clock on the server that served the request.
13:46:44
row-id
Text
Unique GUID for this log record. This is useful for provenance when you aggregate logs or copy logs into another format.
0d07036b-c66c-4e92-b887-f59ecd61dc96
request-type
Name
Name of the RMS API that was requested
AcquireLicense
user-id
String
The user who made the request. The value is enclosed in single quotes. Some request types are anonymous, in which case this field is ‘’.
'janet@corp-contoso.com'
Result
‘Success’ if the request was served successfully. The error type in single quotes if the request failed.
‘Success’
correlation-id
GUID that is common between RMS client log and server log for a given request. This helps in troubleshooting client issues.
ad18e935-bcf9-4b51-9d34-cf3391c451ef
content-id
GUID, enclosed in curly braces, that identifies the protected content e.g. a document. This field has a value only if request-type is AcquireLicense, it is blank for all other request types.
{9312A0DF-DA57-4854-9160-603A1ED06CB3}
c-info
Information about the client platform making the request. The specific string varies depending on the application, OS, browser.
'MSIPC;version=1.0.622.36;...OSArch=x86'
c-ip
Address
IP address of the client making the request
94.245.87.113
表二、常見的請求對照表
Client is requesting a license for a specific piece of content, from a Windows computer.
FECreateEndUserLicenseV1
This is similar to the AcquireLicence request. This endpoint is for mobile clients.
Certify
Client is requesting a certificate (which is later used to get a license) from a Windows computer.
GetClientLicensorCert
Client is requesting a publishing certificate (which is later used to protect content) from a Windows computer.
FECreatePublishingLicenseV1
This is the same as the previous two combined, from mobile clients.
FindServiceLocationsForUser
This is sometimes anonymous, and sometimes with authenticated. This is an innocuous request that queries for the URLs to certify and acquire license from.
Decrypt
You will see this only if you brought in your own key (BYOK, see whitepaper http://technet.microsoft.com/en-us/library/dn440580.aspx). The Microsoft Rights Management service logs this when your key is used for decrypt – typically once per AcquireLicense and Certify.
Sign
You will see this only if you brought in your own key (BYOK). RMS logs this when your key is used for signing – typically once per one time per AcquireLicence (or FECreateEndUserLicenseV1), Certify, and GetClientLicensorCert (or FECreatePublishingLicenseV1).
透過 Azure RMS 的系統記錄功能,不但可以達到監控系統機敏文件存取記錄的功能,同時將記錄檔存放在雲端服務上,又可以減少企業維護系統的成本,可說是一舉數得。若您想要追蹤最新的RMS 技術,也歡迎到 RMS 的官方部落格 (英文) 來取得最新的資訊。
Microsoft RMS 已經上市 (英文)http://blogs.technet.com/b/rms/archive/2013/11/05/the-new-microsoft-rms-has-shipped.aspx
Azure Rights Management: 記錄和新功能 (英文)http://blogs.technet.com/b/rms/archive/2014/01/07/enabling-and-using-logging-in-azure-rms.aspx
Rights Management 服務白皮書 (英文)http://blogs.technet.com/b/rms/archive/2013/07/31/the-new-microsoft-rights-management-services-whitepaper.aspx
4. 微軟RMS最大改版!檔案保護可跨平台、跨格式、跨雲端http://www.netadmin.com.tw/article_content.aspx?sn=1312130003
圖一、 ”鹽”是一個特定的字串用以增加密碼複雜度 (圖片來源)
今年一月SplashData 公司公布了2013年最不安全的密碼排行榜,由「123456」取代「password」奪下最不安全密碼排行榜冠軍。其他不安全的密碼還包含了「qwerty」,「abc123」及「123456789」等等。在眾多網路平台興盛的時代,使用者往往必須記憶一組或多組密碼組合,而密碼的強度也是決定帳戶安全性的因素之一。
此外,對於平台提供者而言,提供安全的後台系統來儲存使用者的密碼也是相當重要的因素。然而隨著駭客破解密碼的技巧日益高明,使用傳統的加密方法已經不足以妥善保護了,所以利用一些加密的小技巧來提升密碼儲存的安全是很重要的。本次資安小常識將介紹一些密碼加密的種類以及方法。
圖二、 2013年最不安全密碼排行榜 (圖片來源)
網路平台提供者常見的儲存密碼的方法可大致分為下列幾種:
1. 明碼
儲存是將使用者輸入的密碼直接儲存於資料庫欄位之中,不經過任何修飾。利用這種方法儲存密碼是最不安全的,因為只要資料庫遭到入侵,使用者的密碼資訊即會被洩漏。
2. 簡易雜湊法 (Pure Hash)
簡易雜湊法是單只用一種雜湊演算法來保護明碼。 在傳統的情況下,當密碼經過雜湊演算法 (如 MD5) 加密後是很難透過特定演算法推回原始值的,但如果透過大型的對照表,即有可能對照出原始的明碼,所以安全性仍不夠高。
3. 加料式雜湊法 (Salted Hash)
加料式雜湊法是將欲加密之明碼加上固定的一段字串 (又稱為鹽) ,再經過簡易雜湊法而成。 例如:
明碼 1234 經過 MD5 雜湊後的結果是 81dc9bdb52d04dc20036dbd8313ed055
這段雜湊可能會經由大量的對照表而還原,但若是加鹽之後 例如:
明碼 1234 + 鹽saltsaltsalt 經過 MD5 雜湊後的結果是 e80bdfdab3f83500d6330c6068eeeef4
隨者鹽的複雜度增加,即使加了鹽後的原始密碼被破解,要得到真實密碼所需要的時間仍會大幅增加。
4. 複合式雜湊法
複合式雜湊法是利用兩種方法來增加雜湊的複雜度,利用這種方法即可以大幅提升密碼儲存的安全性。
例如:
雜湊方法2 ( 雜湊方法1 ( 明碼 + 鹽 ) )
鹽 + ( 雜湊方法1 ( 明碼 +鹽 )
隨著網路平台日益發達,本次資安小常識提供您在建構平台時,可以使用的安全地密碼儲存方法,以保障平台使用者的個資安全。此外,使用者在設計密碼時,也可以參考此篇文章來確保密碼強度的安全。
SplashData 年度最不安全密碼排行榜 (英文)http://splashdata.com/press/worstpasswords2013.htm
Best Practices for password protection http://blog.gcos.me/2012-01-08_best_practicing_for_password_protection.html
被竊取的 Email 帳號查詢清單http://dazzlepod.com/ahashare/?email=
[資安小常識] 駭客破解實驗結果出爐!您的密碼小於 16 字元嗎? http://blogs.technet.com/b/twsecurity/archive/2013/06/11/3578024.aspx
圖一、公有雲與私有雲之選擇 (圖片來源)
近年來雲端運算已經相當成熟且蓬勃發展,在資源愈來愈充沛且資訊相對透明的情況下,無論各個產業的公司都想在雲端上尋找長遠的解決方案。然而雲端運算的種類眾多,企業需要好好地評估最適合的雲端服務種類才有辦法達到將成本效益最大化。本次資安小常識,將從公有雲和私有雲的資安考量做切入,提供您在選擇雲端服務上的指引。
首先,先了解一下何謂公有雲以及私有雲:私有雲是企業自有或共有伺服器基礎架構,並利用虛擬化等方式來創造專屬企業本身的雲端服務。其資料僅能被企業本身管理,並能確保與其他企業區隔。
公有雲是雲端服務提供商或第三方服務提供者所提出的雲端服務,公有並不一定代表免費,也不一定代表使用者的資料可供其他人任意取用。
表一、公有雲與私有雲之優缺點比較
1. 可降低機房管理和硬體維護等成本。
2. 享有任何時間隨付即用的功能。
3. 服務選擇多樣,可快速取用資源。
1. 企業可以自行客製化伺服器軟硬體。
2. 可從底層自行設計防火牆以及機敏資料之存放機制。
1. 敏感性資料可能的隱私問題。
2. 企業需承擔服務中斷的風險。
1. 普遍來說維護成本較使用公有雲來得高。
無論是使用哪一項服務,都必須注意資料的安全。將重要的資料自己保管的確會比較安心, 但是也需要考慮到本身是否有能力來架設全面的防護機制來阻擋可能的資安攻擊。而對於使用公有雲的企業來說,若是不清楚雲端服務供應商維護資料安全的能力,則發生問題時很有可能會得不到應有的保障造成損失。
其實近年來公有雲也逐漸在加強認證以及加密服務,並強調資料的安全性。舉微軟推出的 Azure 公有雲服務為例,除了全天候管理以及監控異常的服務外,在防止 客戶資料外洩 的部份,也做了很好的控管。另外,Azure 也使用了相當好的 加密機制 來保障使用者金鑰的安全和資料的安全性。對於使用者帳戶管理的部份,Azure 也提供您 管理帳戶 的方法以增強您帳戶的安全性。
圖二、雲端服務的資安保障 (圖片來源)
選擇雲端服務就像是選擇保險箱一樣:是要放在自己家裡保險箱安全呢? 還是放在銀行保險庫安全呢? 這些都是使用者要審慎考慮的問題,本篇資安小常識分析了公有雲和私有雲的優缺點,希望能夠幫助您選擇到最適合您的雲端服務。
雲端運算http://zh.wikipedia.org/wiki/%E9%9B%B2%E7%AB%AF%E9%81%8B%E7%AE%97
簡單避免雲端使用的安全問題 http://www.informationsecurity.com.tw/article/article_detail.aspx?tv=13&aid=7758
評估雲端安全的五個關鍵問題http://www.informationsecurity.com.tw/article/article_detail.aspx?tv=11&aid=7778
Windows Azure 信任中心 http://www.windowsazure.com/zh-tw/support/trust-center/security/
圖一、Window XP 即將在 2014年4月8日終止支援 (圖片來源)
Windows XP 是微軟從2001 年就發行的作業系統,至今已經超過十個年頭了。微軟相當了解該產品的生命週期,也了解升級需要花上一段時間,所以提前在 2007年就宣布Windows XP 將在 2014年的四月八日終止支援。目前大部分的企業都已經將系統升級了,但是仍有部分客戶尚未升級。但由於使用過期的 Windows 版本可能會危害系統的安全,故本次資安小常識將介紹持續使用 Windows XP 可能造成的資安風險,並提供您最新版 Windows 8.1 所具備的資安特色以及升級指南。
Windows XP 的資安風險
根據微軟資訊安全情報報告書的內容,持續使用 Windows XP 會有以下幾點風險:
一、 瀏覽網頁 (Surfing the Internet)
在停止更新之後,新的 Windows XP入侵套件可能會在駭客之間被販賣和流通,進而被駭客所利用。而缺乏官方更新的Windows XP 會讓使用者在瀏覽網路時暴露在風險之中。
二、 開啟Email 和使用即時訊息 (Opening Email and Using Instant Messaging, IM)
許多的攻擊者會透過Email 來發送含有非法網址的 釣魚郵件,或是利用即時訊息來發送詐騙的網址。不小心下載到這些網址所夾帶的附件,可能會讓您的系統更加脆弱,讓攻擊者有機會控制您的系統。而這些情形將在支援終止更加嚴重。
三、 使用行動硬碟 (Using Removable Drives)
攻擊者會透過 USB 和其他種類的隨身硬碟來散佈惡意程式,並把Windows XP 所暴露的漏洞極大化來攻擊系統。
四、 最新發現的資安漏洞將會攻擊 Windows XP (Worms Will Use Any Newly Discovered Vulnerabilities to Attack Windows XP)
惡意軟體的傳播者將會整合 Windows XP 新公布的安全性弱點來攻擊Windows XP 的使用者。這些衝擊在那些尚未使用防火牆和 強式密碼 的企業當中,且在缺乏Windows 支援的情況下會更加危險。
五、 勒索惡意軟體 (Ransomware)
勒索惡意軟體是攻擊者將使用者的某些檔案惡意加密或是將其桌面鎖住,使用者必須要支付一筆贖金後才會被解開。這類的攻擊很有可能會癱瘓中小企業的營運,而當支援結束時,缺乏更新的Windows 也會讓這種情形更加嚴重。
Windows 8.1 的資安特色
在行動裝置的使用逐漸頻繁的情況下,公司採用 員工可攜自有設備上班 (BYOD) 的策略已經是不能抵擋的趨勢了。為了要管理公司內的各種行動裝置,微軟也透過了 Windows 8.1 和 Windows Server 2012 R2 的搭配,開發了專屬的管控方案。而導入行動裝置設計理念的 Windows 8.1 也同樣地將此概念加入至它的資安策略中,以下五點為Windows 8.1 主要的資安特色:
一、 遠端移除商業資料 (Remote Business Data Removal)
Windows 8.1 允許管理者從使用者的Windows 8.1 裝置上刪除公司的部分機敏性資料。
二、 加入工作地點 (Workplace Join)
在 BYOD 當道的情況下,公司員工或訪客只需將個人隨身攜帶的行動裝置加入企業架設的工作地點服務後,即可使用這種簡單、安全的方式,快速存取企業內部網路上的資源和服務,以提升工作效率。
三、 指定存取 (Assigned Access)
Windows 8.1 的指定存取功能可以針對某個使用者客製該使用者的使用權限,譬如說某應用程式的存取等等。
四、 提供生物辨識的加解密功能 (Biometric Folder and Authentication Security)
有了這項功能,使用者不只可以利用指紋來解鎖裝置,同時Windows 8.1 也讓您針對某些資料夾用指紋來進行加解密。
五、 Windows 8.1 裝置加密 (Windows 8.1 Device Encryption)
BitLocker 是簡易使用且相當安全的Windows 加密機制,從 Windows 8.1 開始,Windows將登入的使用者帳號自動加密。並也開放其他所有版本的Windows 都使用 BitLocker。
您可以參考 Windows 8.1 的升級指南 來將您的作業系統升級,建議您現在就使用最新版本的 Windows 吧!
Windows XP 即將受到的網路威脅以及中小企業和客戶的升級指南 (英文)http://blogs.technet.com/b/security/archive/2014/03/24/cyber-threats-to-windows-xp-and-guidance-for-small-businesses-and-individual-consumers.aspx
Windows 8.1 的資安五大特色 (英文) http://searchenterprisedesktop.techtarget.com/tip/Top-five-Windows-8-security-features-new-to-Windows-81
[資安小常識] 微軟資訊安全情報報告第15卷內容摘要 http://blogs.technet.com/b/twsecurity/archive/2013/11/12/microsoft-15.aspx
微軟伺服器平台搶攻 BYOD 應用 http://www.ithome.com.tw/node/83094
圖一、 微軟資訊安全情報報告第 16 卷 (圖片來源)
Microsoft 資訊安全情報報告第 16 卷 (SIRv16) 提供了有關 Microsoft 和協力廠商軟體中的軟體漏洞、攻擊和惡意程式碼威脅的深入研究。這些研究基於 Microsoft 過去多年的詳細趨勢分析,本期分析重點在於 2013 年下半年(7 月到 12 月) 的資料。針對資安漏洞、惡意軟體分佈以及軟體弱點攻擊程式碼趨勢提供深入的分析觀點。本次資安小常識擷自該報告的主要結論,提供您對資訊安全的趨勢的深入瞭解。
1. 資訊安全漏洞 (Vunerabilities)
2. 攻擊 (Exploit)
3. 惡意軟體 (Malware)
4. 電子郵件威脅 (Email threats)
5. 惡意網站 (Malicious websites)
資訊安全漏洞是軟體的缺陷,攻擊者可以利用這些缺陷威脅軟體或軟體所處理的資料的完整性、可用性或機密性。某些最嚴重的漏洞使攻擊者可以讓受損的系統在使用者不知情的情況下運行惡意程式碼,進而攻擊該系統。
2013 年下半年,整個產業的資訊安全性漏洞披露比 2013 年上半年增加 6.5%,比 2012 年下半年增加 12.6%。應用程式漏洞披露的增加是這種增長的主要來源。但總體來說,漏洞披露仍然低於 2012 年上半年的高峰水準,遠遠低於 2009 之前的水準,當時,每半年的披露總數往往達到 3,500 或更多。
攻擊 (Exploits)
攻擊是指在未徵得用戶同意且通常在使用者不知情的情況下利用軟體漏洞來感染、中斷或控制電腦的惡意程式碼。攻擊以安裝在電腦上的作業系統、Web 瀏覽器、應用程式或軟體元件中漏洞為目標。
上圖顯示 Microsoft 反惡意軟體產品在 2013 年每個季度檢測到的不同攻擊類型的流行程度(按遭遇率)。遭遇率是指運行 Microsoft 即時安全產品的電腦當中,報告遭遇惡意軟體的電腦的百分比。整體而言,2013 年下半年,整個產業的漏洞披露有所增加,但是高嚴重級別的漏洞有所下降。
攻擊系列 (Exploits Families)
總體來說,2013 年下半年攻擊遭遇率明顯下降。
CVE-2012-1723,Java 運行時環境 (JRE) 中的一個漏洞,儘管與 2013 年第一季度的高峰值相比已經明顯降低,但仍是 2013 年下半年最常見的目標漏洞
CVE-2010-2568,2013 年下半年第二常見的目標漏洞,是 Windows Shell 中的漏洞。儘管一些其他惡意軟體系列也會嘗試利用該漏洞,但通常將檢測到的攻擊識別為 Win32/CplLnk 系列中的變體。Microsoft 於 2010 年 8 月發佈了安全公告 MS10-046以解決該問題。
Blacole是所稱的“黑洞”式攻擊套件的元件的 Microsoft 檢測名稱,該套件通過受感染的網頁傳播惡意軟體。潛在攻擊者在駭客論壇上和通過其他非法途徑購買或租用 Blacole 套件。當攻擊者將 Blacole 套件載入到惡意或遭到入侵的 Web 伺服器上時,沒有安裝相應安全更新的訪問者將面臨偷渡式下載攻擊感染的風險。2013 年第一季度的所有報告電腦中,遭遇 Blacole 的比率為 0.88%,但此後急劇下降,2013 年第三季度和 2013 年第四季度的遭遇率僅為 0.17%。
惡意軟體 (Malware)
惡意軟體感染電腦的大多數嘗試不會成功。全球四分之三連接網路的個人電腦受即時安全軟體保護,這些軟體隨時監控電腦和網路流量中的威脅,並在這些威脅感染電腦之前阻止它們(如果可能)。因此,要全面瞭解惡意軟體情況,必須考慮被阻止的感染嘗試以及被刪除的感染。
如上圖所示,與預期的一樣,惡意軟體遭遇遠比惡意軟體感染更常見。在 2013 年每個季度中,全球平均約有 21.2% 的報告電腦遭遇惡意軟體。同時,MSRT 從每 1,000 台中的約 11.7 台,或 1.17% 的電腦中刪除了惡意軟體。通過從不同觀點提供對惡意軟體如何傳播和電腦如何被感染的認識,遭遇率和感染率資訊可共同説明人們更全面地瞭解惡意軟體情況。
全球惡意軟體流行程度 (Malware Prevalence Worldwide)
為提供對全球威脅模式的認識,下圖顯示了 2013 年第四季度全球各地的感 染率和遭遇率。
安全軟體使用 (Security Software Use)
如果電腦的管理員已選擇向 Microsoft 提供資料,MSRT 的新版本將收集並報告有關電腦上的即時反惡意軟體的詳細狀態資訊。這種遙測可用於分析全球的安全軟體使用模式,並將其與感染率關聯。下圖顯示 2013 年每個季度 MSRT 發現的受或不受即時安全軟體保護的全球電腦百分比。根據其結果可得知全球四分之三的電腦持續運行即時安全軟體。
各作業系統的感染率 (Infection Rates by Operating System)
隨不同的 Windows 作業系統版本提供的功能和更新以及人們和組織使用每個版本的不同方式會影響不同版本和服務包的感染率。下圖顯示每個當前受支援的 Windows 作業系統/服務包組合的感染率 (CCM)。
由於 Win32/Rotbrow 的影響,2013 年第四季度所有受支持的 Windows 用戶端平臺的感染率均比 2013 年第三季度高出許多倍。此現象源自於去年忽然轉變成惡意程式的Rotbrow,但隨著各個安全軟體開始阻擋該惡意程式,預期2014 年的 CCM 數字將回歸正常的水準。
威脅系列 (Treat Families)
下圖顯示過去四個季度明顯提高或降低的一些系列的檢測趨勢。
2013 年下半年最常遭遇的四個系列 — Win32/Rotbrow、Win32/Brantall、Win32/Wysotot 和 Win32/Sefnit — 為新系列或長期休眠後重新出現的系列。
Wysotot 是特洛伊木馬的一個系列,它會更改使用者的 Web 流覽器的起始頁。它通常由打著免費軟體或遊戲的旗號的軟體捆綁程式進行安裝。
家庭和企業威脅 (Home and Enterprise Threats)
家庭使用者和企業使用者的使用模式往往差異很大。分析這些差異可深入洞察攻擊者針對企業和家庭用戶進行攻擊的各種不同方式,以及哪些威脅更可能在每種環境中成功。
企業環境通常會採取縱深防禦措施,如企業防火牆,可防止一定數量的惡意軟體入侵使用者的電腦。因而,企業電腦的惡意軟體遭遇率往往較消費者電腦低。如上圖所示,2013 年第三季度和第四季度消費者電腦的遭遇率約為企業電腦遭遇率的 2.2 倍。
在通過 Internet 發送的電子郵件中,有超過 75% 的垃圾郵件。這種垃圾郵件不僅佔用收件人的收件箱和電子郵件提供商的資源,還會形成擴散通過電子郵件發送的惡意軟體攻擊和釣魚嘗試的環境。
垃圾郵件攔截數量 (Spam messages blocked)
Microsoft 安全情報報告此部分中的資訊源自 Exchange Online Protection 提 供的遙測資料,Exchange Online Protection 提供垃圾郵件、釣魚和惡意軟體 過濾服務。每月都有成千上萬的 Microsoft 企業客戶使用 Exchange Online Protection 來處理上百億郵件。
如上圖所示,2013 年下半年阻止的郵件量與 2013 年上半年持平,且保持遠遠低於 2010 年年底前出現的水準 。隨著一些發送垃圾郵件的大型僵屍網路被成功摧毀(比較出名的有 2010 年 8 摧毀的 Cutwail 和 2011 年 3 月摧毀的 Rustock),2010 年以來,垃圾郵件顯著減少。2013 年下半年,Exchange Online Protection 確定,大約 1/4 的電子郵件不需要阻止或過濾,而 2010 年為 1/33。
下圖為 2013 年 7 月至 10 月 Exchange Online Protection 篩選器阻止的各類別的入站郵件。
惡意網站 (Malicious Websites)
攻擊者通常利用網站來執行網路釣魚攻擊或傳播惡意軟體。惡意網站通常看似完全合法,即使經驗豐富的電腦使用者也無法從外表看出其惡意性質。
網路釣魚網站的全球分佈 (Global Distribution of Phishing Sites)
網路釣魚網站託管於全球各地的免費主機網站、遭到入侵的 Web 伺服器,以及其他許多環境中。通過對報告的釣魚網站的資料庫中的 IP 位址執行地理查詢,可以創建顯示這些網站的地理分佈的地圖並分析其模式。
2013 年第四季度,SmartScreen 篩選器檢測到全球每 1,000 個網路主機上有 5.5 個網路釣魚網站。
網路釣魚網站密度高於平均水準的位置包括烏克蘭(2013 年第四季度每 1,000 個 Internet 主機中有 14.2 個)、印尼(12.8 個)和南非(12.5 個)。網路釣魚網站密度較低的位置包括臺灣(1.4 個)、日本(1.4 個)和韓國(1.6 個)。
惡意軟體主機網站 (Malware Hosting Sites)
除網路釣魚網站以外,Internet Explorer 中的 SmartScreen 篩選器還可説明保護已知託管惡意軟體的網站。SmartScreen 篩選器使用檔和 URL 信譽資料以及 Microsoft 反惡意軟體技術來確定網站是否會散佈不安全的內容。
惡意軟體主機網站的全球分佈 (Global Distribution of Malware Hosting Sites)
2013 年下半年,託管惡意軟體的網站比網路釣魚網站常見得多。2013 年第四季度,SmartScreen 篩選器在全球託管的每 1,000 個網路上檢測到 18.4 個惡意軟體主機網站。
中國的網路釣魚網站的密度低於平均水準(2013 年第四季度每 1,000 個 Internet 主機中有 2.3 個網路釣魚網站),但惡意主機網站的密度很高(2013 年第四季度每 1,000 個主機上有 35.8 個惡意軟體主機網站)。惡意軟體主機網站密度較高的其他位置包括烏克蘭(59.2 個)、羅馬尼亞(57.8 個)和俄羅斯(41.0 個)。惡意軟體主機網站密度較低的地區包括日本(6.7 個)、紐西蘭(7.6 個)和芬蘭(8.8 個)。
偷渡式下載網站 (Drive-by download sites )
偷渡式下載網站是託管針對 Web 流覽器和流覽器附加元件中的漏洞的一種或多種攻擊的網站。如果使用易受攻擊的電腦,使用者只要訪問此類網站(即便沒有嘗試下載任何內容)就可能感染惡意軟體
本文件摘要介紹了報告的主要結論。SIR 網站還包括了對全球 100 多個國家/ 地區的趨勢的深入分析,並且提供了一些建議,説明管理您的組織、軟體和 人員面臨的風險。 您可以從此網址下載 SIRv16。
Microsoft 資訊安全情報報告第 16 卷重點摘要http://download.microsoft.com/download/F/E/D/FEDF2A3B-B9D9-4B31-8EC3-712E3E4BD475/Microsoft_Security_Intelligence_Report_Volume_16_Key_Findings_Summary_Chinese Simplified.pdf
隨著世界足球賽邁入八強,賽程逐漸升溫,然在巴西本地破億觀眾熱情吶喊支持聲中,
另一股意想不到的熱潮也在意外蔓延─網路攻擊。
在一份由世足期間以保護巴西政府的科技設備為任務的義大利虎安全公司出爐的報告指出─“破壞政府基礎設施攻擊以指數增長至每天近2000個目標“。在這些逐步擴大攻擊範圍的數據之外,據信這些駭客攻擊大多數並非從本地,而是來自印度、土耳其、歐洲、墨西哥和美國等境外地區。
自直昇機上拍攝的里約熱內盧照片。(圖片來源:維基百科)
真正的猛烈病毒攻擊在比賽正式開始的前幾天開始,以魚叉式網路釣魚攻擊外交部員工的電子郵件帳戶。該駭客活動送出超過600電子郵件給有關人員,引誘他們在駭客架設的一個假網站輸入帳號密碼。正如其名,魚叉式網路釣魚旨在以魚叉般準確攻擊特定的目標進行網路釣魚攻擊,以寄送電子郵件的方式,藉著夾帶特洛伊病毒或其他間諜病毒攻擊受害者。
接著,他們會使用竊取來的帳號密碼來進一步竊取員工的電子郵件,盜取他們所有的郵件和地址簿。然而巴西政府外交部門的發言人聲稱沒有重要的資料被人偷走,並宣布他們已經解決了這個問題。駭客針對特定部門的攻擊行為雖不清楚意圖為何,但可推斷龐大的人潮湧入對於駭客而言可說是捕獲大群魚群的好時機。從以上驚人的數據可以看出,巴西在熱鬧的世足賽事外,其政府科技基礎也在經歷強烈的網路攻擊熱潮。
在享受四年一度的運動盛宴同時,一般民眾若想避免自己個人資料外洩,可以參考以下方式。在電子信箱方面,若不確定自已登入信箱網站的真偽,建議先刻意輸入不正確的密碼,當然真的信箱入口會因密碼錯誤而被要求重新輸入,然釣魚網站則會因無法判對而自然放行,網站的真偽便可揭曉。另一方面,建議使用者在造訪網站時,仔細檢查網址的拼字正確與否,許多駭客設立的釣魚網站在網址上多架設類似真正官方網址拼字,但易混淆的網址。最後,許多需要輸入信用卡號碼等敏感資訊的網站都為https保護的,建議使用者在網址列前端確認是在https保護下才輸入個人敏感資料。
在打開電腦抑或手機慶祝地球最大的足球慶典時,也別忘了維護、注意個人資訊安全!
參考資料:
http://www.forbes.com/sites/federicoguerrini/2014/06/17/brazils-world-cup-of-cyber-attacks-from-street-fighting-to-online-protest/?ss=Security
近期上映的好萊塢電影描述男女主角將夫妻間的私密照片上傳到雲端後不小心分享給親朋好友,千方百計想要取回檔案的故事。而本月初近百位的知名女星也因雲端服務被入侵而致個人私密照外洩,電影情節不僅搬上現實舞台,這次駭客攻擊事件也名列智慧型手機雲端服務史上危害最廣的資安事件之一。
和電影男女主角意外將自己的私密照外洩情節不同的是,此次事件乃為駭客針對特定受害者的雲端帳號「集中攻擊」。根據該科技公司與FBI的調查,這場隱私風暴源於「手機協尋」服務身分登入介面的設計盲點;而駭客正是針對好萊塢女星的帳戶進行集中攻擊,以暴力法 (Brutal Force)破解密碼進而竊取私密照片。暴力破解法若以六個位元的密碼設定為例,其會由「aaaaaa」按照順序嘗試破解排列到「//////」的組合。而原登入介面便是由於密碼錯誤次數未設限制,才導致駭客利用此途徑,針對包括奧斯卡影后珍妮佛羅倫斯等人進行個人資料竊取。在此資安事件後,該登入介面也被更改設定為五次的密碼嘗試錯誤機會,以防堵類似的駭客攻擊。
(圖片來源:http://research.microsoft.com/en-us/UM/redmond/groups/ccs/ )
若要保護個人隱私,除了注意不將個人敏感資料上傳雲端外,也建議避免將個人密碼設定為出生年月日、身分證字號等不法人士可利用社群工具獲取的資料。另一方面,新一代資安軟體也可用來協助保護使用者的密碼被破解的可能。如近期由瑞典資安公司BehavioSec開發的軟體便可藉由比對使用者在輸入密碼時的方式,以輸入密碼的快慢節奏判斷輸入者的身份,區分駭客與使用者,以達到更紮實的資安保護。
在自家存放的錢財可能會被偷走,在銀行金庫的珠寶也可能被竊取,但若多加強認證手續、增加金庫的鑰匙,在享有雲端便利的同時也可擁有安心的保障。以下整理幾個要點做為參考:
2014年10月1日凌晨,台灣本地尚未日出,然微軟已準備迎接睽違兩年新一代作業系統的曙光到來;不是Windows 9、Windows Threshold或是Windows TH,而是「Windows 10」 (現為技術預覽版)。Windows 10不僅集結了Windows 7與Windows 8的各項優點,更有包含「身分安全認證」與「資料保護」等資安防護特色。
而就微軟新一代作業系統以資安防護為主打,不難從近日頻傳的資安攻擊事件體認到其必要性;紐約時報於八月份的報導指出,全球十八億網路人口中就有十二億筆使用者帳號密碼遭到竊取,而這高達六成以上的竊取率更突顯了傳統帳號密碼的認證方式已不足保護企業與消費者的資訊安全。
有鑑於此,Windows 10在安全認證方面,以多重驗證的方式帶領身分驗證進入新的層級;使用者可以利用手邊的移動裝置如智慧型手機進行多一重的認證。 換句話說,使用者只要先將智慧型手機透過Wi-Fi或藍芽連結到電腦,在手機端輸入PIN碼抑或按壓指紋認證後,即可登入他們搭載Windows 10的本機。此類似遠端智慧卡的雙重認證方式不但可以帶來企業級的便利性與安全性,也無須額外的硬體安全週邊設備,可說是作業系統在身分安全認證上革命性的解決方案。
圖一、多重認證方式(一)
(註:此畫面可能不是最終版使用者體驗或登入流程)
圖二、多重認證方式(二)
圖三、多重認證方式(三)
然而,在使用者通過驗證後,其所取得的憑證 (user access tokens)安全也是個課題。攻擊者不僅常以Pass the Hash與Pass the ticket 等類型攻擊取得使用者憑證,也會一齊發動進階持續性滲透攻擊(APT)進一步地竊取個資 (關於APT請參照[資安小常識]認識進階持續性滲透攻擊)。因此,為因應上述憑證攻擊,Windows 10透過將使用者憑證存放在運行 Hyper-V的安全容器,防範憑證從裝置中被讀取出來,增強了憑證的安全。
圖四、認證方式
另一方面,在資訊保護上Windows 10也建立了相當的保護機制。Windows 10針對公司App、資料、電子郵件、網頁內容或其他進入公司的敏感資料開啟自動加密以保護企業資料。而即使受保護的文件需要在不同的裝置平台上開啟,微軟跨作業系統的能力也能讓他們在其他平台下被存取。最後,針對使用如BYOD裝置的遠端使用者,Windows 10建立App白名單與黑名單以定義哪些App被授權存取VPN,提供使用者安全的遠端資料存取解決方案。
圖五、佈建金鑰及政策
據統計,約有百分之八十七的主管會將工作檔案上傳至私人信箱或雲端空間,其中更有百分之五十八的比例曾將敏感資料寄給錯誤的收件者。因此在存取管理外,更需要防範使用者在操作上的疏忽而將資料外洩的問題。因此除了MDM (Mobile Device Management)機制外,Windows 10也以資料外洩防護 (DLP) (關於DLP可參照資料外洩防護)解決方案將公司與個人資料分開存放並使用防堵政策來協助保護資料。資料版權管理 (Information Rights Management)因使用者未主動啟動而易洩漏公司資料的盲點也會因DLP獲得補足。
淺白而言,Windows 10在身分驗證防護不僅增加了金鑰的數量、金鑰的獨特性,更加強了金鑰保管的強度。而不論是建立App信任名單與定義授權存取的VPN抑或DLP解決方案, Windows 10建立的層層機制都進一步加強了使用者在資訊安全方面的保障。雖Windows 10正式版本尚未發佈,但已讓人期待新一代作業系統帶來的嶄新資安保障。
參考資料:
什麼是流氓軟體?微軟安全應變中心(Microsoft Security Response Center,MSRC)發現越來越大量的流氓軟體在網路上流竄,造成使用者相當程度之損失。 到底甚麼是流氓軟體?基本上流氓軟體是一種介於正常軟體與惡意程式/病毒中間的一種程式,近期大量流行於網路上的流氓軟體外觀上大多 偽裝成防毒,反間諜軟體,誘騙使用者信賴安裝,甚至進一步透過其介面進行線上採購。然而實際上這些往往內含相當多的惡意行為,輕則從 持續性彈出廣告視窗,到嚴重如側錄鍵盤敲擊,遠端惡意程序下載、開啟後門允許駭客從遠端入侵,綁架瀏覽器存取固定頁面等給實質危害。 如何避免流氓軟體的為害?基本上流氓軟體的外觀,商標設計均模仿合法或知名品牌軟體;由於大多數的流氓軟體均會透過聳動的警示視窗或是不實的說明內容,來誘騙 使用者信任並安裝因此從網路下載,安裝程式如防毒,反間諜程式等請務必多方確認來源以確保安全性。
想獲得更多資訊?參考更多資安小常識
讓我們瞭解一下資安小常識對您的幫助,請按下面的星星評分。
跨網站指令碼XSS (Cross-site scripting)攻擊,是一種針對網站應用程式設計不夠嚴謹所導致的安全弱點攻擊行為;最原始的弱點是允許攻擊者將惡意程序植入網頁中,導致使用者瀏覽網頁時,受到不同程度的影響,如在背景中下載惡意程序,後門開啟或是密碼與個人資料之竊取。
近期新聞事件中常見之XSS攻擊,雖然是針對同樣的弱點進行攻擊,但採用了不同的運作方式;其原理是讓使用者存取經過特殊設計的網址(該網站本身具有XSS弱點);使用者存取時瀏覽器中除了原先正常網站的頁面會出現之外,也會出現設計惡意網址的作者預計呈現的物件(如影片,圖片,文字)或是希望達成的目標;這樣的運作模式對網站本身並不會造成影響,但是卻同樣可以利用使用者對某些知名網站的信任,而導致遭受感染,攻擊等相關事件。由於設計該類惡意位址之門檻不高,製作時間降低但效果卻更為顯著,因此已經逐漸成為惡意攻擊者的新寵。
目前使用者針對跨網站指令碼XSS (Cross-site scripting)攻擊最有效的自我保護之道,就是謹慎選擇使用瀏覽器進行網路存取;微軟的IE8是目前少數針對該類型攻擊,能夠主動提供相當程度保護並警告使用者所遇到風險的瀏覽器。
ARP 偽造攻擊
近來在許多安全案例中,不斷看到這種偽造手法出現,導致企業或使用者受到損失,到底甚麼是 ARP 偽造攻擊?
首先說明甚麼是 ARP,ARP (Address Resolution Protocol) 是負責將 IP 位址轉換成 MAC 位址的一種網路通訊協定,當你要連接另外一台電腦時,您的電腦就會先發出 ARP 封包,詢問網路上有哪台機器對應到這個 MAC 位址,才會進行後續的資料傳送;而這次所討論的 ARP 偽造攻擊就是使用者所連線的網路中,有蓄意的攻擊者發出偽造的 ARP 資訊,導致原本應該直接傳送的資訊,會轉向到攻擊者的機器,這樣的詐騙手法雖然已經出現很久,但是因為遭攻擊時特徵不明顯,且需要相當技術程度之管理者才會發現,因此仍持續受到惡意攻擊者的喜好。
圖中,電腦 B 要存取電腦 A 時,會先確認電腦 A 的 MAC 位置與 IP 訊息,當攻擊者比電腦A更早回應電腦 B 的連線申請時,攻擊者就可以搶劫連線,讓電腦 B 優先連到攻擊者電腦,才將資料回到電腦 A,也因此所有電腦 B 到電腦 A 的資訊就完全被截取。
想獲得更多資訊?參考更多資安小常識 讓我們瞭解一下資安小常識對您的幫助,請按下面的星星評分。
想獲得更多資訊?
隨著聖誕節的到來,越來越多使用者透過網路社群或是各式網站傳遞祝賀卡片與線上小禮物等社交活動;然而所存取的陌生網站是否安全?相信這是許多使用者心中一直以來的擔憂,根據MSRC的研究,發現在2009年上半年惡意程式碼散佈的網站數量與地理分佈狀態有以下的趨勢:
· 每天發現的惡意程式碼散佈網站都比網路釣魚網站多。
· 惡意程式碼的裝載通常比較穩定,在地理分佈上也有較為集中的傾向。
而這些惡意程式大部分透過所謂的SQL 插入式攻擊植入網站,在過往這類型的攻擊大多針對特定標的物(如下圖)進行,目前的研究發現大規模自動化的攻擊模式已趨成熟,以下是就針對該手法進行說明:
安全漏洞/惡意程式碼散佈的趨勢
· 1H09 透過安全漏洞所提報的資料遺失,仍然是以設備遭竊的類別居冠,例如膝上型電腦 (佔所提報全部資料遺失事件的 30.0%),達侵入事件的兩倍。
· 「入侵」或惡意程式碼事件造成的安全漏洞依舊不到總計的 15.0%。
· SmartScreen 篩選功能是從 Internet Explorer 8 引入,提供對網路釣魚和反惡意程式碼的防護。下圖詳細說明 SmartScreen 篩選功能於 1H09 期間偵測到的惡意程式碼散佈模式。
· 「其他潛在的垃圾軟體」類別的惡意程式碼,其次數從 2H08 的 35.0 % 提高到 1H09 的 44.5 %;該類別的清理電腦數百分比則從 22.8 % 降為 14.9 %。這意味 SmartScreen 與類似的技術似乎能在這類威脅下載到電腦之前順利加以攔截。
· 「其他潛在的垃圾軟體」格外可能透過 Web 散佈,反之蠕蟲卻鮮少由惡意網站散佈,與所清理電腦數 21.3 % 比率相比,僅佔 SmartScreen 次數的 1.2%。
偷渡式下載網頁的分析
· 偷渡式下載網頁大多裝載於受侵害的合法網站中。攻擊者得以存取合法網站,是藉由入侵的方式,或是在安全保護不佳的 Web 表單張貼惡意程式碼,例如部落格中的意見欄位。
· 作為弱點攻擊伺服器使用的受侵害伺服器,範圍非常廣大;一部弱點攻擊伺服器足以感染數十萬個網頁。
· 2009 年中的弱點攻擊伺服器能在短時間內感染數萬張網頁。
詳細《Microsoft® 安全性情報報告》分析請參閱 http://www.microsoft.com/sir 。
誰是2010年1月份爆紅的惡意程式?
根據MSRT(惡意軟體移除工具)在2010年1月份更新程式派送後三天內的清除狀況中發現,「Win32/Rimecud」 打敗長期占據前三名的「Win32/Hamweq」(內含針對可移除式的儲存設備感染,並具有能透過IRC遠端控制的惡意程式)、「Win32/Taterf」(內含針對可移除式/網路型儲存設備感染,並具有竊取online遊戲密碼)以及曾經長期占據榜首的「Conficker」。由於成長與感染速度驚人,因此在短短半個月內造成全球488,090台機器感染,甚至在台灣,該惡意程式曾經感染了約19,000台的電腦,數量佔全球總數的4%。
到底甚麼原因助長
MSRT (惡意軟體移除工具) 連結:
Microsoft 最近發現,在部分的新手機所內含配備的 microSD 卡,受到惡意程式碼的感染。惡意程式碼本身不會在手機上執行,但會嘗試感染您的電腦。其中一個可能的感染原因,推測是用來製造第一版 SD 卡影像的電腦受到了感染,進而將感染散播到客戶電腦。
這個惡意軟體似乎只散發給少數客戶,而影響範圍限定為西班牙東部到波蘭西部這塊特定地理區域。
我們偵測到這個惡意程式碼為 Worm:Win32/Verst.A。
除了形成蠕蟲以外,Verst.A 還會搜尋各種應用程式的認證和軟體註冊詳細資料,其中包括 Miranda ICQ、WebMoney、QIP Infium 和 Multi Password Recovery。有趣的是,我們發現這個威脅會從其他密碼復原工具搜尋已儲存的認證。如需詳細資訊,請參閱我們的詳細分析,網址為:http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Worm:Win32/Verst.A
Verst.A 利用 Windows 中的自動執行功能進行散佈。如果執行,蠕蟲就會發佈威脅,持續地嘗試將它自己複製到所有磁碟機 (從 A 到 Z)。幸好 Windows 7 在叫用自動執行之前會先提示使用者。此外,您也可以依照這裡的指示來更新其他 Windows 版本的自動播放功能。
如果您懷疑自己的電腦已受到感染,建議您使用 Microsoft Security Essentials 等可靠的掃描程式掃描您的系統,以偵測是否存在惡意程式碼。
我們經常從重大新聞事件中讀到處心積慮的惡意人士如何強行徵用搜尋引擊,在我們尋找新聞事件的詳細資訊時,結果把我們導向提供某些惡意程式碼的頁面,那些通常是假造的防毒程式。但是,壞人是如何欺騙搜尋引擎,使他們的網站在搜尋中的排名如此之高,進而說服人們按一下連結呢?這邊將以濫發訊息的鞋子賣家做為此技巧的範例進行說明。
首先,我們設立一個 Twitter 帳戶,並透過這個帳戶發送資訊安全相關新聞。為了尋找這類新聞作為Twitter的訊息來源,我們設定了幾個網頁通知(Alert),來幫忙尋找網路上的資安相關新聞,發現其中一個網頁如下:
這則新聞看起來像真的。它是一個部落格,說明零售業的員工如何從信用卡獲得詳細資料,進而製作一樣的卡片來盜刷。唯一會令人感到奇怪的是,裡面提到知名品牌運動鞋的名字。
但是當您進去閱讀文章時,它看起來如下:
文章來源不明,因為網際網路上的搜尋是根據其他採用這篇文章做為 SEO 定位且有利於其他網站的案例而彙集的。
不過,您還是會注意到 (上面紅框的部分),這個文章版本分佈著許多販售鞋子的網站連結(您可以在螢幕擷取的左下角看到部分 URL)。
那麼 SEO 如何運作呢?
網路行銷的人,為了賺取更多的獲利,會努力盡量讓產品曝光,將他們的商品呈現在您眼前。現今最佳的方式之一就是提高他們網站的知名度,以名列於您在搜尋他們所販售之項目時會出現的網站清單中。因此,他們了解到無論如何都要在搜尋引擎計分公式中得到高分。職業道德較低者,如您所見,甚至會嘗試劫持與他們所販售之項目無關的熱門主題,就為了要得到高分以名列於搜尋結果中。
在這個範例中,我們看到:
從受歡迎的主題開始:信用卡詐騙。人們會選讀這類文章,進而提高這些頁面的價值 (於是,很不幸地,當我們按一下並閱讀這些頁面就會提高它們的價值)。
在該頁面上,有一些可連到販售他們鞋子的網站連結。由於這個頁面如此有趣,而且多次指向他們的銷售頁面,所以,那個銷售頁面也一定非常有趣,搜尋引擎當然也會這麼認為。
搜尋 Nike 的人很可能也會搜尋 Puma,因此,若內容同時包含兩者,那麼這個頁面甚至會變得更加引人注目。
以上的結果就是,販售他們鞋子的頁面得到很好的分數。
現在,當您搜尋 “puma shoes” 會出現什麼呢?
許多熱門搜尋引擎顯示的第一個結果是一組贊助的網站、已付錢給搜尋引擎以便名列第一的公司,接著是 Puma 的官方網站。其餘是誰排第一?就是它啦!就是剛才說明與 SEO 有關的網站 (上述結果的擷取時間為 2010 年 7 月 8 日清晨)。在另一個搜尋引擎上,第一和第二結果相同 (不出所料),而這個網站是其餘中的第二個。
我們試過使用 Bing 進行相同搜尋��發現定位的結果降到第 6 頁才出現。雖然在這個特定情況中未與 Bing 團隊配合,但是我們會確實與他們合作,並通知他們任何發現惡意程式碼的情形,所以,他們不會將那些網站提供給他們的客戶,就如同我們與 SmartScreen 人員合作,協助 Internet Explorer 封鎖惡意程式碼網站一樣。
剛才示範的 SEO 範例不是導向惡意程式碼的範例,但技巧是相同的。若要和目前熱門主題相關而達到高得分的搜尋結果排名,要散佈的詞彙就要和目前的熱門關鍵字相同 (也可以從搜尋引擎趨勢來尋找可能的片語) ,這些實際上都是以相同方式達成的。
在近期的安全事件追蹤中,微軟發現了駭客透過蓄意偽造之惡意連結圖示(LNK),導致使用者電腦遭感染後自動下載木馬等相關攻擊程序感染之手法;在持續追蹤中,繼 Stuxnet、眾多的 .LNK惡意程式等之後,在近期又出現影響層面最為廣泛且破壞性最高的 Sality引起Microsoft 惡意程式碼防護中心 (Microsoft Malware Protection Center,MMPC),以及其他 MAPP (Microsoft Active Protection Program) 計畫夥伴高度關切;這些惡意程式從原先透過USB等外接設備對使用者進行感染之外,也透過多種其他管道譬如混雜在影音,壓縮檔案中誘騙使用者點選導致觸發感染程序.
針對這些相關攻擊行為,微軟已經在2010年8月2日公佈了 CVE-2010-2568 (於 Microsoft 知識庫文件編號 (2286198) 中說明) 的非例行性更新解決辦法發佈計畫。Microsoft 惡意程式碼防護中心 (Microsoft Malware Protection Center,MMPC),以及其他 MAPP (Microsoft Active Protection Program) 計畫夥伴一直在密切注意這個利用此風險進行惡意攻擊的 .LNK 檔案。正如許多新的攻擊技術,後起的攻擊者都可以快速地將新的技術整合在一起。雖然已有許多種病毒都使用這種傳播方式,但是在本週,其中一種叫做 Sality 的病毒特別引起了我們的注意,尤其是 Sality.AT。Sality 是一種具有高度破壞性的病毒;目前已知此種病毒會感染其他檔案 (感染後即完全移除)、自行複製至卸除式媒體、停用安全防護功能,然後下載其他惡意程式。同時,這也是一種非常大型的病毒種類,可以說是今年最廣泛的種類之一。加入 .LNK 的傳播方式後,受到惡意 .LNK 和 Sality.AT 結合病毒攻擊的電腦數目很快就超過了受到 Stuxnet 病毒攻擊的電腦數目。不久之後,一定會有更多病毒種類利用這種技術方式進行散佈傳播。下列 *圖表可以說明這個趨勢:
這些數字顯示出我們保護的系統 (Microsoft Security Essentials、Microsoft Forefront Client Security、Windows Live OneCare、Forefront Threat Management Gateway 以及 Windows Live Safety Platform) 中遭受的感染攻擊次數 (Infection Attempt)。雖然這些數字並不代表實際的病毒感染數量,卻也警告了我們威脅有擴大的趨勢。 而病毒攻擊的地理位置 (Geolocation) 變更,也是其他病毒種類開始利用這個風險的另一個警訊。在發現 Stuxnet 的初期,巴西 (Brazil) 僅有少數病毒攻擊的案例;但是在 CVE-2010-2568 病毒攻擊的地理位置分析報告中顯示,巴西及其他國家 (Others) 現在也出現了更多病毒活動。在巴西,更是不斷地有 Sality 的攻擊案例。
這些數字顯示出我們保護的系統 (Microsoft Security Essentials、Microsoft Forefront Client Security、Windows Live OneCare、Forefront Threat Management Gateway 以及 Windows Live Safety Platform) 中遭受的感染攻擊次數 (Infection Attempt)。雖然這些數字並不代表實際的病毒感染數量,卻也警告了我們威脅有擴大的趨勢。
而病毒攻擊的地理位置 (Geolocation) 變更,也是其他病毒種類開始利用這個風險的另一個警訊。在發現 Stuxnet 的初期,巴西 (Brazil) 僅有少數病毒攻擊的案例;但是在 CVE-2010-2568 病毒攻擊的地理位置分析報告中顯示,巴西及其他國家 (Others) 現在也出現了更多病毒活動。在巴西,更是不斷地有 Sality 的攻擊案例。
目前Microsoft Security Essentials、Microsoft Forefront、Windows Live OneCare、以及 Windows Live Safety Platform 的使用者均可以有效攔阻/過濾這些惡意程序。另外在本月釋出的MSRT中也已經針對下列惡意程序進行清除程序:
提醒使用者除了盡快完成安全性更新程序之外,還可以透過以下的鏈結下載微軟惡意軟體移除工具(MSRT)進行掃描與清除,以維護您電腦使用時的安全性。http://www.microsoft.com/taiwan/security/malwareremove/default.mspx http://www.microsoft.com/taiwan/security/malwareremove/families.mspx
一種新的流氓軟體出現了,目前命名為:流氓軟體:MSIL/Zeven。我們在收到這個程式的樣本和 URL 之後,即開始進行相關調查。
設計出這種流氓軟體的人,「非常」喜歡抄襲。他們一開始先自動偵測使用者正在使用的瀏覽器,如果是 Internet Explorer、Chrome 或 Firefox,就假造出惡意程式警告的頁面。這是一種利用社交工程的詐欺手法,目的是要利用使用者對於其常用瀏覽器的信任,誘騙使用者下載並安裝該流氓軟體。這些假造的頁面看起來幾可亂真,甚至還可以矇騙專業技術人員。舉例來說,在 Firefox 的頁面中,您會發現這並不是真正的警告頁面,因為頁面中的英文「out」拼錯了,寫成「Get me our of here」。
但是就上述三種瀏覽器而言,一般來說您不會注意到的是,在真正的瀏覽器警告中並不會提供所謂的「更新」或是「解決方案」。所有此類「更新」連結都指向保證提供「能偵測最新惡意程序的防護程式」。一般正常狀況中任何一種瀏覽器如Internet Explorer、Firefox 和 Chrome 在封鎖一個網站時,並不會提供此類解決方案。
安裝 MSIL/Zeven 後,產品看起來幾可亂真:讓您可以掃描檔案、通知您更新在背景中仍繼續執行,並且讓您可以自行更改安全性和隱私設定。在許多合法的防毒解決方案中也通常都會有這些功能可以使用,但是在 MSIL/Zeven 中,這些功能完全沒有作用;一切都只是假象而已,也不會提供任何防護的功能(就像其他流氓軟體防毒程式一樣)。
當然,當這個程式掃描過您的電腦以後,就會宣稱已在您的電腦中找到恐怖的惡意程式,如下圖所示:
依照慣例,流氓軟體掃描器就算是「找到」惡意檔案,程式也會宣稱除非您進行更新,否則就無法刪除這些惡意檔案。這也就表示,您必須付費購買完整版本的程式,才可以下載更新。但是,這些掃描器所找到的惡意檔案其實是假的;在使用者的電腦裡根本沒有這些檔案。
如果您決定要購買此產品,這個 流氓軟體 就會開啟一個啟用「安全瀏覽模式」和高強度加密功能的 HTML 視窗,在您購買產品時「協助」及「保護」您。當然,這些功能一點用處也沒有,而且無法保護您信用卡詳細資料的安全。
流氓軟體 防毒程式的首頁外觀也與 Microsoft Security Essentials (MSE) 網頁十分相似 – 這也是這些罪犯仿造的手法。設計出這個流氓軟體的人甚至還剽竊 Microsoft Security Essentials 獲得的認證以及與 Microsoft 惡意程式碼防護中心 (MMPC) 的連結 - 非常狡猾。
這是此流氓軟體首頁的螢幕擷取畫面:
以下才是真正的 Microsoft Security Essentials 網頁螢幕擷取畫面,提供您比對:
看起來這些人似乎是想要利用 Microsoft Security Essentials 的名聲和成功獲利 - 但是我們會提醒我們的客戶,Microsoft Security Essentials 下載完全免費,而且可以真正保護您的電腦,不受惡意程式危害!
附註:此種流氓軟體下載器和流氓軟體均偵測為流氓軟體:MSIL/Zeven。
如果您是《最後一戰》的玩家,那麼您大概就會知道,限量版「火焰盔甲」是非常稀有的盔甲裝備,只有《最後一戰》的製作群、Bungie 公司,還有已經完成這款遊戲過去幾個版本中所有電玩大師挑戰的玩家才可以取得。在最新的《最後一戰:瑞曲之戰》中,有許多玩家想盡各種辦法要破解程式以取得這一套裝備。很明顯的,惡意程式編寫者也抓住這個機會,藉機四處散發包裝成火焰偵查頭盔以及《最後一戰:瑞曲之戰》遊戲程式碼產生器的惡意程式。
圖片 1 - 偵查盔甲
我們遇到兩個案例,分別為偵測出 PWS:Win32/Fignotok.A 的 Mod V3xD.exe (Sha1:1855974d848568968f4c97871a70fa42aff8fbc8) 以及 Halo Reach Flaming Recon.exe (Sha1:775c62aa8530eb616ff5444298d3dc4cff5c823e)。這兩個執行檔都會開啟一個名稱為 haloreachflamingrecon.exe 的檔案,宣稱可以產生火焰盔甲的程式碼。但是,這個檔案不但無法產生程式碼,還會利用詢問使用者的登入詳細資料 (請參閱下圖 2)、然後將資料透過電子郵件傳送至遠端攻擊者的方式,進而竊取使用者的 Xbox Live 遊戲資料。這個檔案還會連線至一個遠端位置 (目前已無法存取),並從這個位置取得其他設定檔案。
圖 2 - 輸入您的 XBox Live 帳號詳細資料以啟用您的火焰盔甲!但是實際上卻是,您只能眼睜睜地看著您的帳號資料被盜。
另外一種利用《最後一戰》來獲利的惡意程式種類中,有一個叫做 Halo Reach Generator.exe 的檔案 (Sha1:7ab2f6cbacd967aa72360af76e666e3c6cbf56ec) 已偵測出有 Worm:Win32/Rebhip.A。這種蠕蟲病毒會透過卸除式磁碟機四處散佈,並且也會竊取機密資訊。
所以,在您利用程式碼產生器來提升遊戲主角裝備等級的同時,請務必三思,因為換來的可能是帳號被盜。沒有人喜歡作弊的人,公平地進行遊戲才是真正的高手。
Facebook 一直是惡意程式作者偏好的熱門目標,然而我們發現有另一項惡意程式種類也使用此熱門社交網路進行傳播。我們偵測到的惡意程式主要元件為 Trojan:Java/Boonana,它是以 Java 編寫而成,因此具有跨平台的感染能力,可感染 Windows、Mac 和 Linux 使用者。
Trojan:Java/Boonana 是透過視訊連結傳送給 Facebook 使用者。藉由按一下連結,使用者將會收到執行 "JPhotoAlbum" 應用程式的提示,這是一個在 JAR 檔案內的 Java 類別 (JPhotoAlbum.jar SHA1:159e6bc0616dec2062c92a7dd918c8179b2de640)。如果是在獨立的瀏覽器或平台上,透過按一下滑鼠允許執行此應用程式,剩餘檔案將會被下載並在電腦上執行。
隨後下載的元件為:
值得注意的是,此威脅種類也包含攻擊目標為 Macintosh 作業系統多種元件之 MacOS X. Boonana 更新的惡意檔案,會提供攻擊者根層級的權限。我們偵測到這些威脅為 Trojan:MacOS_X/Boonana。我們可偵測到 1.93.1067.0 (含) 以上的此類威脅。
不論您是在線上查看銀行帳戶餘額、繳納帳單費用、付款、購物或銷售商品,以下 6 大法則可協助您將風險降至最低。
1. 協助電腦抵禦來自網際網路的威脅
使用防火牆、防毒及反間諜軟體來協助保護您的線上交易。將家用的無線連線加密。透過自動更新,讓所有軟體 (包括網頁瀏覽器) 保持在最新狀態。如需詳細資訊,請參閱協助保護您電腦的 4 步驟 (英文)。
2. 建立「強式密碼」
「強式密碼」是指您自己容易記住但別人很難猜中的密碼。強式密碼的長度至少需有 14 個字元 (建議密碼長度越長越好),並需包括數字、符號及大小寫的英文字母。如需詳細資訊,請參閱了解如何建立強式密碼 (英文)。如果您已有想用的密碼,可以透過此網站檢查您的密碼強度 (英文)。
3. 自行尋找所需的網址
電子郵件訊息、簡訊、立即訊息或快顯廣告中所含的連結,可能會將您導向至看起來合法但其實不然的網站。若要瀏覽網站,請自行輸入網址,或使用您自己的書籤或 [我的最愛] 以連結至該網站。
4. 尋找能證明您資訊安全的標誌
您在網頁上輸入機密資料之前,請先確認:
5. 僅在您的家用電腦進行金融交易
切勿在公用或共用的電腦或在使用公用無線網路的裝置上 (例如筆記型電腦或行動電話),繳納帳單費用、進行網路銀行操作或進行其他金融交易。這些方式的安全性並不可靠。
6. 運用常識進行判斷
若要保護自己避免遭到詐欺,請留意詐騙郵件。例如,對於下列情形必須特別小心:聽起來過於有利的交易;從您的「銀行」發出的提醒,指出除非您採取一些立即行動,否則您的帳戶將被關閉;通知您已中了樂透彩;或是對方拒絕親自見面進行本地交易。
不論是透過電腦或電話傳送,這類訊息的目的通常都是要引誘您瀏覽虛構的網站,犯罪者則會透過該網站收集您的財務資料 (如果您懷疑該訊息的真實性,請透過普通市內電話之查號台,查詢該公司正確電話號碼後,以電話與該公司聯繫確認。)。了解如何偵察與防禦網路釣魚詐騙 (英文)。
故意散布惡意程式碼的人,一定不會錯過能讓他們傳播惡意程式碼的各種機會。而新年度的來臨,更是能讓他們大顯身手,將創意發揮在不知情使用者電腦上的好機會。我們也已經看到有人惡意濫用這個全球都在歡慶跨年節日的時間。在大多數情況下,這些垃圾電子郵件看起來像是正常的「新年快樂祝賀郵件」或以「新年」為主題的問候。
以下是最近發生的一個案例:
正如您所看到,影片必須使用假冒的Adobe Flash Player 版本,才能夠播放。您可能已經意識到,這只是誘騙您下載惡意程式的一個技巧,這個案例就是著名密碼偷竊程式 Win32/Zbot (SHA1:6C5B80A73B4B728D7DF8BFBB142E10A6A29A0950) 的變種。這個程式一旦執行,會將本身投射到 Explorer.exe 位址空間,企圖繞過資訊安全防護。當程式與網際網路連線時,會觸發類似如下的資訊安全警報:
另一個利用新年的惡意程式碼案例,與另一篇稍早的網路文章 (英文) 有關。Exploit:Win32/CVE-2010-3333 (00d9af54c5465c28b8c7a917c9a1b1c797b284ab) 其中一個會植入惡意程式碼的樣本,偵測為 TrojanDropper:Win32/Meciv.A 和 Backdoor:Win32/Meciv.A。為了隱藏植入惡意程式碼的活動,它還會放入乾淨的 DOC 檔案,裡面包含下列新年賀詞:
這段文字是俄文,意思是:「親愛的同事和朋友!新年快樂!」
雖然這不是新的技術,但是所採行的社交工程,實際上可能會欺騙使用者執行這些惡意程式碼,因為人們認為迎接新的一年是喜事,通常寧願認為他們看到的是祝福,而不是欺騙。
我們一如往常的建議您保持警覺,並仔細檢查包含問候和以節日為主題電子賀卡的所有連結和電子郵件,尤其是您從未接觸過的陌生人或企業的來信。
非常感謝反垃圾郵件團隊同事 Kai Yu 為我們提供樣本。我們誠摯地祝您「新年快樂!」,並且享受一個沒有惡意程式碼騷擾的新年!
Andrei Saygo、Patrik Vicol 與 Rodel Finones(本篇文章原文)