2014年10月1日凌晨,台灣本地尚未日出,然微軟已準備迎接睽違兩年新一代作業系統的曙光到來;不是Windows 9、Windows Threshold或是Windows TH,而是「Windows 10」 (現為技術預覽版)。Windows 10不僅集結了Windows 7與Windows 8的各項優點,更有包含「身分安全認證」與「資料保護」等資安防護特色。
而就微軟新一代作業系統以資安防護為主打,不難從近日頻傳的資安攻擊事件體認到其必要性;紐約時報於八月份的報導指出,全球十八億網路人口中就有十二億筆使用者帳號密碼遭到竊取,而這高達六成以上的竊取率更突顯了傳統帳號密碼的認證方式已不足保護企業與消費者的資訊安全。
有鑑於此,Windows 10在安全認證方面,以多重驗證的方式帶領身分驗證進入新的層級;使用者可以利用手邊的移動裝置如智慧型手機進行多一重的認證。 換句話說,使用者只要先將智慧型手機透過Wi-Fi或藍芽連結到電腦,在手機端輸入PIN碼抑或按壓指紋認證後,即可登入他們搭載Windows 10的本機。此類似遠端智慧卡的雙重認證方式不但可以帶來企業級的便利性與安全性,也無須額外的硬體安全週邊設備,可說是作業系統在身分安全認證上革命性的解決方案。
圖一、多重認證方式(一)
(註:此畫面可能不是最終版使用者體驗或登入流程)
圖二、多重認證方式(二)
圖三、多重認證方式(三)
然而,在使用者通過驗證後,其所取得的憑證 (user access tokens)安全也是個課題。攻擊者不僅常以Pass the Hash與Pass the ticket 等類型攻擊取得使用者憑證,也會一齊發動進階持續性滲透攻擊(APT)進一步地竊取個資 (關於APT請參照[資安小常識]認識進階持續性滲透攻擊)。因此,為因應上述憑證攻擊,Windows 10透過將使用者憑證存放在運行 Hyper-V的安全容器,防範憑證從裝置中被讀取出來,增強了憑證的安全。
圖四、認證方式
另一方面,在資訊保護上Windows 10也建立了相當的保護機制。Windows 10針對公司App、資料、電子郵件、網頁內容或其他進入公司的敏感資料開啟自動加密以保護企業資料。而即使受保護的文件需要在不同的裝置平台上開啟,微軟跨作業系統的能力也能讓他們在其他平台下被存取。最後,針對使用如BYOD裝置的遠端使用者,Windows 10建立App白名單與黑名單以定義哪些App被授權存取VPN,提供使用者安全的遠端資料存取解決方案。
圖五、佈建金鑰及政策
據統計,約有百分之八十七的主管會將工作檔案上傳至私人信箱或雲端空間,其中更有百分之五十八的比例曾將敏感資料寄給錯誤的收件者。因此在存取管理外,更需要防範使用者在操作上的疏忽而將資料外洩的問題。因此除了MDM (Mobile Device Management)機制外,Windows 10也以資料外洩防護 (DLP) (關於DLP可參照資料外洩防護)解決方案將公司與個人資料分開存放並使用防堵政策來協助保護資料。資料版權管理 (Information Rights Management)因使用者未主動啟動而易洩漏公司資料的盲點也會因DLP獲得補足。
淺白而言,Windows 10在身分驗證防護不僅增加了金鑰的數量、金鑰的獨特性,更加強了金鑰保管的強度。而不論是建立App信任名單與定義授權存取的VPN抑或DLP解決方案, Windows 10建立的層層機制都進一步加強了使用者在資訊安全方面的保障。雖Windows 10正式版本尚未發佈,但已讓人期待新一代作業系統帶來的嶄新資安保障。
參考資料:
近期上映的好萊塢電影描述男女主角將夫妻間的私密照片上傳到雲端後不小心分享給親朋好友,千方百計想要取回檔案的故事。而本月初近百位的知名女星也因雲端服務被入侵而致個人私密照外洩,電影情節不僅搬上現實舞台,這次駭客攻擊事件也名列智慧型手機雲端服務史上危害最廣的資安事件之一。
和電影男女主角意外將自己的私密照外洩情節不同的是,此次事件乃為駭客針對特定受害者的雲端帳號「集中攻擊」。根據該科技公司與FBI的調查,這場隱私風暴源於「手機協尋」服務身分登入介面的設計盲點;而駭客正是針對好萊塢女星的帳戶進行集中攻擊,以暴力法 (Brutal Force)破解密碼進而竊取私密照片。暴力破解法若以六個位元的密碼設定為例,其會由「aaaaaa」按照順序嘗試破解排列到「//////」的組合。而原登入介面便是由於密碼錯誤次數未設限制,才導致駭客利用此途徑,針對包括奧斯卡影后珍妮佛羅倫斯等人進行個人資料竊取。在此資安事件後,該登入介面也被更改設定為五次的密碼嘗試錯誤機會,以防堵類似的駭客攻擊。
(圖片來源:http://research.microsoft.com/en-us/UM/redmond/groups/ccs/ )
若要保護個人隱私,除了注意不將個人敏感資料上傳雲端外,也建議避免將個人密碼設定為出生年月日、身分證字號等不法人士可利用社群工具獲取的資料。另一方面,新一代資安軟體也可用來協助保護使用者的密碼被破解的可能。如近期由瑞典資安公司BehavioSec開發的軟體便可藉由比對使用者在輸入密碼時的方式,以輸入密碼的快慢節奏判斷輸入者的身份,區分駭客與使用者,以達到更紮實的資安保護。
在自家存放的錢財可能會被偷走,在銀行金庫的珠寶也可能被竊取,但若多加強認證手續、增加金庫的鑰匙,在享有雲端便利的同時也可擁有安心的保障。以下整理幾個要點做為參考:
參考資料
隨著世界足球賽邁入八強,賽程逐漸升溫,然在巴西本地破億觀眾熱情吶喊支持聲中,
另一股意想不到的熱潮也在意外蔓延─網路攻擊。
在一份由世足期間以保護巴西政府的科技設備為任務的義大利虎安全公司出爐的報告指出─“破壞政府基礎設施攻擊以指數增長至每天近2000個目標“。在這些逐步擴大攻擊範圍的數據之外,據信這些駭客攻擊大多數並非從本地,而是來自印度、土耳其、歐洲、墨西哥和美國等境外地區。
自直昇機上拍攝的里約熱內盧照片。(圖片來源:維基百科)
真正的猛烈病毒攻擊在比賽正式開始的前幾天開始,以魚叉式網路釣魚攻擊外交部員工的電子郵件帳戶。該駭客活動送出超過600電子郵件給有關人員,引誘他們在駭客架設的一個假網站輸入帳號密碼。正如其名,魚叉式網路釣魚旨在以魚叉般準確攻擊特定的目標進行網路釣魚攻擊,以寄送電子郵件的方式,藉著夾帶特洛伊病毒或其他間諜病毒攻擊受害者。
接著,他們會使用竊取來的帳號密碼來進一步竊取員工的電子郵件,盜取他們所有的郵件和地址簿。然而巴西政府外交部門的發言人聲稱沒有重要的資料被人偷走,並宣布他們已經解決了這個問題。駭客針對特定部門的攻擊行為雖不清楚意圖為何,但可推斷龐大的人潮湧入對於駭客而言可說是捕獲大群魚群的好時機。從以上驚人的數據可以看出,巴西在熱鬧的世足賽事外,其政府科技基礎也在經歷強烈的網路攻擊熱潮。
在享受四年一度的運動盛宴同時,一般民眾若想避免自己個人資料外洩,可以參考以下方式。在電子信箱方面,若不確定自已登入信箱網站的真偽,建議先刻意輸入不正確的密碼,當然真的信箱入口會因密碼錯誤而被要求重新輸入,然釣魚網站則會因無法判對而自然放行,網站的真偽便可揭曉。另一方面,建議使用者在造訪網站時,仔細檢查網址的拼字正確與否,許多駭客設立的釣魚網站在網址上多架設類似真正官方網址拼字,但易混淆的網址。最後,許多需要輸入信用卡號碼等敏感資訊的網站都為https保護的,建議使用者在網址列前端確認是在https保護下才輸入個人敏感資料。
在打開電腦抑或手機慶祝地球最大的足球慶典時,也別忘了維護、注意個人資訊安全!
參考資料:
http://www.forbes.com/sites/federicoguerrini/2014/06/17/brazils-world-cup-of-cyber-attacks-from-street-fighting-to-online-protest/?ss=Security
編者:Cho-Han Wu
圖一、 微軟資訊安全情報報告第 16 卷 (圖片來源)
Microsoft 資訊安全情報報告第 16 卷 (SIRv16) 提供了有關 Microsoft 和協力廠商軟體中的軟體漏洞、攻擊和惡意程式碼威脅的深入研究。這些研究基於 Microsoft 過去多年的詳細趨勢分析,本期分析重點在於 2013 年下半年(7 月到 12 月) 的資料。針對資安漏洞、惡意軟體分佈以及軟體弱點攻擊程式碼趨勢提供深入的分析觀點。本次資安小常識擷自該報告的主要結論,提供您對資訊安全的趨勢的深入瞭解。
本報告主要以幾個主要分類進行探討:
1. 資訊安全漏洞 (Vunerabilities)
2. 攻擊 (Exploit)
3. 惡意軟體 (Malware)
4. 電子郵件威脅 (Email threats)
5. 惡意網站 (Malicious websites)
資訊安全漏洞 (Vunerabilities)
資訊安全漏洞是軟體的缺陷,攻擊者可以利用這些缺陷威脅軟體或軟體所處理的資料的完整性、可用性或機密性。某些最嚴重的漏洞使攻擊者可以讓受損的系統在使用者不知情的情況下運行惡意程式碼,進而攻擊該系統。
2013 年下半年,整個產業的資訊安全性漏洞披露比 2013 年上半年增加 6.5%,比 2012 年下半年增加 12.6%。應用程式漏洞披露的增加是這種增長的主要來源。但總體來說,漏洞披露仍然低於 2012 年上半年的高峰水準,遠遠低於 2009 之前的水準,當時,每半年的披露總數往往達到 3,500 或更多。
攻擊 (Exploits)
攻擊是指在未徵得用戶同意且通常在使用者不知情的情況下利用軟體漏洞來感染、中斷或控制電腦的惡意程式碼。攻擊以安裝在電腦上的作業系統、Web 瀏覽器、應用程式或軟體元件中漏洞為目標。
上圖顯示 Microsoft 反惡意軟體產品在 2013 年每個季度檢測到的不同攻擊類型的流行程度(按遭遇率)。遭遇率是指運行 Microsoft 即時安全產品的電腦當中,報告遭遇惡意軟體的電腦的百分比。整體而言,2013 年下半年,整個產業的漏洞披露有��增加,但是高嚴重級別的漏洞有所下降。
攻擊系列 (Exploits Families)
總體來說,2013 年下半年攻擊遭遇率明顯下降。
CVE-2012-1723,Java 運行時環境 (JRE) 中的一個漏洞,儘管與 2013 年第一季度的高峰值相比已經明顯降低,但仍是 2013 年下半年最常見的目標漏洞
CVE-2010-2568,2013 年下半年第二常見的目標漏洞,是 Windows Shell 中的漏洞。儘管一些其他惡意軟體系列也會嘗試利用該漏洞,但通常將檢測到的攻擊識別為 Win32/CplLnk 系列中的變體。Microsoft 於 2010 年 8 月發佈了安全公告 MS10-046以解決該問題。
Blacole是所稱的“黑洞”式攻擊套件的元件的 Microsoft 檢測名稱,該套件通過受感染的網頁傳播惡意軟體。潛在攻擊者在駭客論壇上和通過其他非法途徑購買或租用 Blacole 套件。當攻擊者將 Blacole 套件載入到惡意或遭到入侵的 Web 伺服器上時,沒有安裝相應安全更新的訪問者將面臨偷渡式下載攻擊感染的風險。2013 年第一季度的所有報告電腦中,遭遇 Blacole 的比率為 0.88%,但此後急劇下降,2013 年第三季度和 2013 年第四季度的遭遇率僅為 0.17%。
惡意軟體 (Malware)
惡意軟體感染電腦的大多數嘗試不會成功。全球四分之三連接網路的個人電腦受即時安全軟體保護,這些軟體隨時監控電腦和網路流量中的威脅,並在這些威脅感染電腦之前阻止它們(如果可能)。因此,要全面瞭解惡意軟體情況,必須考慮被阻止的感染嘗試以及被刪除的感染。
如上圖所示,與預期的一樣,惡意軟體遭遇遠比惡意軟體感染更常見。在 2013 年每個季度中,全球平均約有 21.2% 的報告電腦遭遇惡意軟體。同時,MSRT 從每 1,000 台中的約 11.7 台,或 1.17% 的電腦中刪除了惡意軟體。通過從不同觀點提供對惡意軟體如何傳播和電腦如何被感染的認識,遭遇率和感染率資訊可共同説明人們更全面地瞭解惡意軟體情況。
全球惡意軟體流行程度 (Malware Prevalence Worldwide)
為提供對全球威脅模式的認識,下圖顯示了 2013 年第四季度全球各地的感 染率和遭遇率。
安全軟體使用 (Security Software Use)
如果電腦的管理員已選擇向 Microsoft 提供資料,MSRT 的新版本將收集並報告有關電腦上的即時反惡意軟體的詳細狀態資訊。這種遙測可用於分析全球的安全軟體使用模式,並將其與感染率關聯。下圖顯示 2013 年每個季度 MSRT 發現的受或不受即時安全軟體保護的全球電腦百分比。根據其結果可得知全球四分之三的電腦持續運行即時安全軟體。
各作業系統的感染率 (Infection Rates by Operating System)
隨不同的 Windows 作業系統版本提供的功能和更新以及人們和組織使用每個版本的不同方式會影響不同版本和服務包的感染率。下圖顯示每個當前受支援的 Windows 作業系統/服務包組合的感染率 (CCM)。
由於 Win32/Rotbrow 的影響,2013 年第四季度所有受支持的 Windows 用戶端平臺的感染率均比 2013 年第三季度高出許多倍。此現象源自於去年忽然轉變成惡意程式的Rotbrow,但隨著各個安全軟體開始阻擋該惡意程式,預期2014 年的 CCM 數字將回歸正常的水準。
威脅系列 (Treat Families)
下圖顯示過去四個季度明顯提高或降低的一些系列的檢測趨勢。
2013 年下半年最常遭遇的四個系列 — Win32/Rotbrow、Win32/Brantall、Win32/Wysotot 和 Win32/Sefnit — 為新系列或長期休眠後重新出現的系列。
Wysotot 是特洛伊木馬的一個系列,它會更改使用者的 Web 流覽器的起始頁。它通常由打著免費軟體或遊戲的旗號的軟體捆綁程式進行安裝。
家庭和企業威脅 (Home and Enterprise Threats)
家庭使用者和企業使用者的使用模式往往差異很大。分析這些差異可深入洞察攻擊者針對企業和家庭用戶進行攻擊的各種不同方式,以及哪些威脅更可能在每種環境中成功。
企業環境通常會採取縱深防禦措施,如企業防火牆,可防止一定數量的惡意軟體入侵使用者的電腦。因而,企業電腦的惡意軟體遭遇率往往較消費者電腦低。如上圖所示,2013 年第三季度和第四季度消費者電腦的遭遇率約為企業電腦遭遇率的 2.2 倍。
電子郵件威脅 (Email threats)
在通過 Internet 發送的電子郵件中,有超過 75% 的垃圾郵件。這種垃圾郵件不僅佔用收件人的收件箱和電子郵件提供商的資源,還會形成擴散通過電子郵件發送的惡意軟體攻擊和釣魚嘗試的環境。
垃圾郵件攔截數量 (Spam messages blocked)
Microsoft 安全情報報告此部分中的資訊源自 Exchange Online Protection 提 供的遙測資料,Exchange Online Protection 提供垃圾郵件、釣魚和惡意軟體 過濾服務。每月都有成千上萬的 Microsoft 企業客戶使用 Exchange Online Protection 來處理上百億郵件。
如上圖所示,2013 年下半年阻止的郵件量與 2013 年上半年持平,且保持遠遠低於 2010 年年底前出現的水準 。隨著一些發送垃圾郵件的大型僵屍網路被成功摧毀(比較出名的有 2010 年 8 摧毀的 Cutwail 和 2011 年 3 月摧毀的 Rustock),2010 年以來,垃圾郵件顯著減少。2013 年下半年,Exchange Online Protection 確定,大約 1/4 的電子郵件不需要阻止或過濾,而 2010 年為 1/33。
下圖為 2013 年 7 月至 10 月 Exchange Online Protection 篩選器阻止的各類別的入站郵件。
惡意網站 (Malicious Websites)
攻擊者通常利用網站來執行網路釣魚攻擊或傳播惡意軟體。惡意網站通常看似完全合法,即使經驗豐富的電腦使用者也無法從外表看出其惡意性質。
網路釣魚網站的全球分佈 (Global Distribution of Phishing Sites)
網路釣魚網站託管於全球各地的免費主機網站、遭到入侵的 Web 伺服器,以及其他許多環境中。通過對報告的釣魚網站的資料庫中的 IP 位址執行地理查詢,可以創建顯示這些網站的地理分佈的地圖並分析其模式。
2013 年第四季度,SmartScreen 篩選器檢測到全球每 1,000 個網路主機上有 5.5 個網路釣魚網站。
網路釣魚網站密度高於平均水準的位置包括烏克蘭(2013 年第四季度每 1,000 個 Internet 主機中有 14.2 個)、印尼(12.8 個)和南非(12.5 個)。網路釣魚網站密度較低的位置包括臺灣(1.4 個)、日本(1.4 個)和韓國(1.6 個)。
惡意軟體主機網站 (Malware Hosting Sites)
除網路釣魚網站以外,Internet Explorer 中的 SmartScreen 篩選器還可説明保護已知託管惡意軟體的網站。SmartScreen 篩選器使用檔和 URL 信譽資料以及 Microsoft 反惡意軟體技術來確定網站是否會散佈不安全的內容。
惡意軟體主機網站的全球分佈 (Global Distribution of Malware Hosting Sites)
2013 年下半年,託管惡意軟體的網站比網路釣魚網站常見得多。2013 年第四季度,SmartScreen 篩選器在全球託管的每 1,000 個網路上檢測到 18.4 個惡意軟體主機網站。
中國的網路釣魚網站的密度低於平均水準(2013 年第四季度每 1,000 個 Internet 主機中有 2.3 個網路釣魚網站),但惡意主機網站的密度很高(2013 年第四季度每 1,000 個主機上有 35.8 個惡意軟體主機網站)。惡意軟體主機網站密度較高的其他位置包括烏克蘭(59.2 個)、羅馬尼亞(57.8 個)和俄羅斯(41.0 個)。惡意軟體主機網站密度較低的地區包括日本(6.7 個)、紐西蘭(7.6 個)和芬蘭(8.8 個)。
偷渡式下載網站 (Drive-by download sites )
偷渡式下載網站是託管針對 Web 流覽器和流覽器附加元件中的漏洞的一種或多種攻擊的網站。如果使用易受攻擊的電腦,使用者只要訪問此類網站(即便沒有嘗試下載任何內容)就可能感染惡意軟體
本文件摘要介紹了報告的主要結論。SIR 網站還包括了對全球 100 多個國家/ 地區的趨勢的深入分析,並且提供了一些建議,説明管理您的組織、軟體和 人員面臨的風險。 您可以從此網址下載 SIRv16。
Microsoft 資訊安全情報報告第 16 卷重點摘要http://download.microsoft.com/download/F/E/D/FEDF2A3B-B9D9-4B31-8EC3-712E3E4BD475/Microsoft_Security_Intelligence_Report_Volume_16_Key_Findings_Summary_Chinese Simplified.pdf
圖一、Window XP 即將在 2014年4月8日終止支援 (圖片來源)
Windows XP 是微軟從2001 年就發行的作業系統,至今已經超過十個年頭了。微軟相當了解該產品的生命週期,也了解升級需要花上一段時間,所以提前在 2007年就宣布Windows XP 將在 2014年的四月八日終止支援。目前大部分的企業都已經將系統升級了,但是仍有部分客戶尚未升級。但由於使用過期的 Windows 版本可能會危害系統的安全,故本次資安小常識將介紹持續使用 Windows XP 可能造成的資安風險,並提供您最新版 Windows 8.1 所具備的資安特色以及升級指南。
Windows XP 的資安風險
根據微軟資訊安全情報報告書的內容,持續使用 Windows XP 會有以下幾點風險:
一、 瀏覽網頁 (Surfing the Internet)
在停止更新之後,新的 Windows XP入侵套件可能會在駭客之間被販賣和流通,進而被駭客所利用。而缺乏官方更新的Windows XP 會讓使用者在瀏覽網路時暴露在風險之中。
二、 開啟Email 和使用即時訊息 (Opening Email and Using Instant Messaging, IM)
許多的攻擊者會透過Email 來發送含有非法網址的 釣魚郵件,或是利用即時訊息來發送詐騙的網址。不小心下載到這些網址所夾帶的附件,可能會讓您的系統更加脆弱,讓攻擊者有機會控制您的系統。而這些情形將在支援終止更加嚴重。
三、 使用行動硬碟 (Using Removable Drives)
攻擊者會透過 USB 和其他種類的隨身硬碟來散佈惡意程式,並把Windows XP 所暴露的漏洞極大化來攻擊系統。
四、 最新發現的資安漏洞將會攻擊 Windows XP (Worms Will Use Any Newly Discovered Vulnerabilities to Attack Windows XP)
惡意軟體的傳播者將會整合 Windows XP 新公布的安全性弱點來攻擊Windows XP 的使用者。這些衝擊在那些尚未使用防火牆和 強式密碼 的企業當中,且在缺乏Windows 支援的情況下會更加危險。
五、 勒索惡意軟體 (Ransomware)
勒索惡意軟體是攻擊者將使用者的某些檔案惡意加密或是將其桌面鎖住,使用者必須要支付一筆贖金後才會被解開。這類的攻擊很有可能會癱瘓中小企業的營運,而當支援結束時,缺乏更新的Windows 也會讓這種情形更加嚴重。
Windows 8.1 的資安特色
在行動裝置的使用逐漸頻繁的情況下,公司採用 員工可攜自有設備上班 (BYOD) 的策略已經是不能抵擋的趨勢了。為了要管理公司內的各種行動裝置,微軟也透過了 Windows 8.1 和 Windows Server 2012 R2 的搭配,開發了專屬的管控方案。而導入行動裝置設計理念的 Windows 8.1 也同樣地將此概念加入至它的資安策略中,以下五點為Windows 8.1 主要的資安特色:
一、 遠端移除商業資料 (Remote Business Data Removal)
Windows 8.1 允許管理者從使用者的Windows 8.1 裝置上刪除公司的部分機敏性資料。
二、 加入工作地點 (Workplace Join)
在 BYOD 當道的情況下,公司員工或訪客只需將個人隨身攜帶的行動裝置加入企業架設的工作地點服務後,即可使用這種簡單、安全的方式,快速存取企業內部網路上的資源和服務,以提升工作效率。
三、 指定存取 (Assigned Access)
Windows 8.1 的指定存取功能可以針對某個使用者客製該使用者的使用權限,譬如說某應用程式的存取等等。
四、 提供生物辨識的加解密功能 (Biometric Folder and Authentication Security)
有了這項功能,使用者不只可以利用指紋來解鎖裝置,同時Windows 8.1 也讓您針對某些資料夾用指紋來進行加解密。
五、 Windows 8.1 裝置加密 (Windows 8.1 Device Encryption)
BitLocker 是簡易使用且相當安全的Windows 加密機制,從 Windows 8.1 開始,Windows將登入的使用者帳號自動加密。並也開放其他所有版本的Windows 都使用 BitLocker。
您可以參考 Windows 8.1 的升級指南 來將您的作業系統升級,建議您現在就使用最新版本的 Windows 吧!
Windows XP 即將受到的網路威脅以及中小企業和客戶的升級指南 (英文)http://blogs.technet.com/b/security/archive/2014/03/24/cyber-threats-to-windows-xp-and-guidance-for-small-businesses-and-individual-consumers.aspx
Windows 8.1 的資安五大特色 (英文) http://searchenterprisedesktop.techtarget.com/tip/Top-five-Windows-8-security-features-new-to-Windows-81
[資安小常識] 微軟資訊安全情報報告第15卷內容摘要 http://blogs.technet.com/b/twsecurity/archive/2013/11/12/microsoft-15.aspx
微軟伺服器平台搶攻 BYOD 應用 http://www.ithome.com.tw/node/83094
圖一、公有雲與私有雲之選擇 (圖片來源)
近年來雲端運算已經相當成熟且蓬勃發展,在資源愈來愈充沛且資訊相對透明的情況下,無論各個產業的公司都想在雲端上尋找長遠的解決方案。然而雲端運算的種類眾多,企業需要好好地評估最適合的雲端服務種類才有辦法達到將成本效益最大化。本次資安小常識,將從公有雲和私有雲的資安考量做切入,提供您在選擇雲端服務上的指引。
首先,先了解一下何謂公有雲以及私有雲:私有雲是企業自有或共有伺服器基礎架構,並利用虛擬化等方式來創造專屬企業本身的雲端服務。其資料僅能被企業本身管理,並能確保與其他企業區隔。
公有雲是雲端服務提供商或第三方服務提供者所提出的雲端服務,公有並不一定代表免費,也不一定代表使用者的資料可供其他人任意取用。
表一、公有雲與私有雲之優缺點比較
1. 可降低機房管理和硬體維護等成本。
2. 享有任何時間隨付即用的功能。
3. 服務選擇多樣,可快速取用資源。
1. 企業可以自行客製化伺服器軟硬體。
2. 可從底層自行設計防火牆以及機敏資料之存放機制。
1. 敏感性資料可能的隱私問題。
2. 企業需承擔服務中斷的風險。
1. 普遍來說維護成本較使用公有雲來得高。
無論是使用哪一項服務,都必須注意資料的安全。將重要的資料自己保管的確會比較安心, 但是也需要考慮到本身是否有能力來架設全面的防護機制來阻擋可能的資安攻擊。而對於使用公有雲的企業來說,若是不清楚雲端服務供應商維護資料安全的能力,則發生問題時很有可能會得不到應有的保障造成損失。
其實近年來公有雲也逐漸在加強認證以及加密服務,並強調資料的安全性。舉微軟推出的 Azure 公有雲服務為例,除了全天候管理以及監控異常的服務外,在防止 客戶資料外洩 的部份,也做了很好的控管。另外,Azure 也使用了相當好的 加密機制 來保障使用者金鑰的安全和資料的安全性。對於使用者帳戶管理的部份,Azure 也提供您 管理帳戶 的方法以增強您帳戶的安全性。
圖二、雲端服務的資安保障 (圖片來源)
選擇雲端服務就像是選擇保險箱一樣:是要放在自己家裡保險箱安全呢? 還是放在銀行保險庫安全呢? 這些都是使用者要審慎考慮的問題,本篇資安小常識分析了公有雲和私有雲的優缺點,希望能夠幫助您選擇到最適合您的雲端服務。
雲端運算http://zh.wikipedia.org/wiki/%E9%9B%B2%E7%AB%AF%E9%81%8B%E7%AE%97
簡單避免雲端使用的安全問題 http://www.informationsecurity.com.tw/article/article_detail.aspx?tv=13&aid=7758
評估雲端安全的五個關鍵問題http://www.informationsecurity.com.tw/article/article_detail.aspx?tv=11&aid=7778
Windows Azure 信任中心 http://www.windowsazure.com/zh-tw/support/trust-center/security/
圖一、 ”鹽”是一個特定的字串用以增加密碼複雜度 (圖片來源)
今年一月SplashData 公司公布了2013年最不安全的密碼排行榜,由「123456」取代「password」奪下最不安全密碼排行榜冠軍。其他不安全的密碼還包含了「qwerty」,「abc123」及「123456789」等等。在眾多網路平台興盛的時代,使用者往往必須記憶一組或多組密碼組合,而密碼的強度也是決定帳戶安全性的因素之一。
此外,對於平台提供者而言,提供安全的後台系統來儲存使用者的密碼也是相當重要的因素。然而隨著駭客破解密碼的技巧日益高明,使用傳統的加密方法已經不足以妥善保護了,所以利用一些加密的小技巧來提升密碼儲存的安全是很重要的。本次資安小常識將介紹一些密碼加密的種類以及方法。
圖二、 2013年最不安全密碼排行榜 (圖片來源)
網路平台提供者常見的儲存密碼的方法可大致分為下列幾種:
1. 明碼
儲存是將使用者輸入的密碼直接儲存於資料庫欄位之中,不經過任何修飾。利用這種方法儲存密碼是最不安全的,因為只要資料庫遭到入侵,使用者的密碼資訊即會被洩漏。
2. 簡易雜湊法 (Pure Hash)
簡易雜湊法是單只用一種雜湊演算法來保護明碼。 在傳統的情況下,當密碼經過雜湊演算法 (如 MD5) 加密後是很難透過特定演算法推回原始值的,但如果透過大型的對照表,即有可能對照出原始的明碼,所以安全性仍不夠高。
3. 加料式雜湊法 (Salted Hash)
加料式雜湊法是將欲加密之明碼加上固定的一段字串 (又稱為鹽) ,再經過簡易雜湊法而成。 例如:
明碼 1234 經過 MD5 雜湊後的結果是 81dc9bdb52d04dc20036dbd8313ed055
這段雜湊可能會經由大量的對照表而還原,但若是加鹽之後 例如:
明碼 1234 + 鹽saltsaltsalt 經過 MD5 雜湊後的結果是 e80bdfdab3f83500d6330c6068eeeef4
隨者鹽的複雜度增加,即使加了鹽後的原始密碼被破解,要得到真實密碼所需要的時間仍會大幅增加。
4. 複合式雜湊法
複合式雜湊法是利用兩種方法來增加雜湊的複雜度,利用這種方法即可以大幅提升密碼儲存的安全性。
例如:
雜湊方法2 ( 雜湊方法1 ( 明碼 + 鹽 ) )
鹽 + ( 雜湊方法1 ( 明碼 +鹽 )
隨著網路平台日益發達,本次資安小常識提供您在建構平台時,可以使用的安全地密碼儲存方法,以保障平台使用者的個資安全。此外,使用者在設計密碼時,也可以參考此篇文章來確保密碼強度的安全。
SplashData 年度最不安全密碼排行榜 (英文)http://splashdata.com/press/worstpasswords2013.htm
Best Practices for password protection http://blog.gcos.me/2012-01-08_best_practicing_for_password_protection.html
被竊取的 Email 帳號查詢清單http://dazzlepod.com/ahashare/?email=
[資安小常識] 駭客破解實驗結果出爐!您的密碼小於 16 字元嗎? http://blogs.technet.com/b/twsecurity/archive/2013/06/11/3578024.aspx
圖一、 Windows Azure Rights Management 服務讓您更輕易地管理雲端文件 (圖片來源)
Rights Management Services (RMS) 是一款提供企業在分享檔案和文件時,能夠同時保護機敏資訊安全的解決方案。最新的 RMS 讓企業組織能夠輕易的分享各種檔案類型的機敏性資料,同時也支援跨平台行動裝置的讀取。而新版 RMS 新增的 Azure RMS 功能,更簡化了舊版 RMS 繁瑣的分享步驟,讓使用者可以直接透過 Azure 雲端服務來進行權限的驗證,也讓 RMS 的建置成本大幅下降。本次的資安小常識,將提供您如何透過 Azure RMS 來管理雲端上的機敏文件。
不管在資料庫管理和伺服器管理,撰寫系統記錄 (logging) 都是保護及監控系統安全最簡單的好方法。系統記錄會記錄下管理者的動作以及文件讀取的歷史紀錄。因此監控系統記錄可以達到以下三個目的:
1. 監控資料是否被濫用
建議的系統記錄時間應該小於15分鐘,這樣可以提供一個針對您的 RMS 資料的連續性監控。若某特定對象在非業務時間大量的存取機敏資料,或是在同一個時間區段內 (15分鐘) 從不同的 IP 登入,抑或是在沒有辦公據點的 IP 位置登入,那這些舉動即可能被視為資料的濫用。
2. 分析資料讀取記錄,了解讀取背後的意義
您可以藉由讀取記錄了解某特定使用者的資料讀取記錄,以及讀取的地點訊息等等,這些資源方便您了解使用者的行為。
3. 當做事件發生的證物
當資安事件發生時,管理者可以藉由系統記錄來查詢最後存取系統的使用者,並了解他所讀取的東西。這些訊息方便管理者對機敏資料流向得掌控。
在開始設定之前
在設定Azure RMS 的系統記錄之前,有三件事必須要先準備好:
1. 您的企業必須是 Microsoft RMS 的訂戶使用免費的 RMS 個人帳戶將不提供系統記錄的功能。
2. 您必須是 Windows Azure 的訂戶因為系統記錄必須存放在 Azure 之中,所以您必須是 Azure 的用戶,尚未擁有 Azure 帳戶的可在此申請, 目前 Azure 一個月免費試用。
3. 您的系統必須安裝 Windows PowerShell for right management因為在設定和管理的過程需要用到 PowerShell 來設定,所以您的系統必須安裝 PowerShell,下載網址。
設定 Azure 儲存空間
開啟您的 Azure 入口網站,在左側的功能列表中點選 STORAGE -> NEW -> QUICK CREATE。
圖二、 在 Azure 中新增儲存空間 (圖片來源)
創建完成後,選取剛新增的實例,並按下下方的 MANAGE ACCESS KEYS 按鈕,來管理您的儲存空間存取金鑰。
圖三、 選取新增的儲存空間實例 (圖片來源)
圖四、 複製存取金鑰 (圖片來源)
設定儲存帳號和啟用系統記錄功能
在安裝完 PowerShell 後,就要利用一些Command 來開啟系統記錄的功能。1. 匯入 Microsoft RMS 模組並連接至 Azure RMS
PS C:\Windows\system32>Import-Module AADRM PS C:\Windows\system32>Connect-AadrmService -verbose
2. 當系統跳出認證請求時,輸入管理者的帳號和密碼加以認證。
3. 輸入 Command 告訴 Azure RMS 您的記錄在 Azure 上存放的位置,將剛剛的存取金鑰輸入在底下。
PS C:\Windows\system32> $accesskey = ConvertTo-SecureString"wUjKVV14XXUCrdpuLsIa8yQ5IgUmLSOLmlgS/CcHNZXiurEORjTItdtPf4OpCaIwGNyijjMPxvDEOG21HRKR7A==" –asplaintext –force PS C:\Windows\System32>Set-AadrmUsageLogStorageAccount -StorageAccount RMSBILogs -AccessKey $accesskey RMSBILogs was set as the storage account for the usage log feature for the Rights management service. PS C:\Windows\system32>
4. 開啟系統記錄的功能。
PS C:\Windows\system32> Enable-AadrmUsageLogFeature The usage log feature is enabled for the Rights management service. PS C:\Windows\system32>
如何使用和存取 RMS 系統記錄
您可以用以下三種方法存取 RMS 的系統記錄
1. 使用 Windows PowerShell Cmdlet使用Get-AadrmUsageLog cmdlet 能夠讓使用者下載每一筆區塊的資料到本機端。
2. 使用 Windows Azure Storage SDK利用 Azure Storage SDK 讓您能夠更彈性地使用Get-AadrmUsageLog 所提供的功能,Windows Azure Storage SDK 的介紹如下。
3. 使用 Microsoft Power BI使用 Microsoft Power BI 讓您能夠將使用的記錄下載成 Excel 使用。
如何解析 RMS 系統記錄
RMS 的系統記錄範例如下:
#Software: RMS #Version: 1.0 #Fields: date time row-id request-type user-id result correlation-id content-id c-info c-ip 2013-09-19 13:46:44 0d07036b-c66c-4e92-b887-f59ecd61dc96 AcquireLicense 'janet@corp-contoso.com' 'Success' ad18e935-bcf9-4b51-9d34-cf3391c451ef {9312A0DF-DA57-4854-9160- 603A1ED06CB3} 'MSIPC;version=1.0.622.36;AppName=WINWORD.EXE;AppVersion=15.0.4535.1000;AppArch=x86;OSName=Windows;OSVersion=6.2.9200;OSArch=x86' 94.245.87.113
表一、RMS 系統記錄欄位對照表
欄位名稱
W3C 資料型態
欄位描述
範例
Date
UTC Date when the request was served. The source is the local clock on the server that served the request.
2013-09-19
Time
UTC Time in 24H format when the request was served. The source is the local clock on the server that served the request.
13:46:44
row-id
Text
Unique GUID for this log record. This is useful for provenance when you aggregate logs or copy logs into another format.
0d07036b-c66c-4e92-b887-f59ecd61dc96
request-type
Name
Name of the RMS API that was requested
AcquireLicense
user-id
String
The user who made the request. The value is enclosed in single quotes. Some request types are anonymous, in which case this field is ‘’.
'janet@corp-contoso.com'
Result
‘Success’ if the request was served successfully. The error type in single quotes if the request failed.
‘Success’
correlation-id
GUID that is common between RMS client log and server log for a given request. This helps in troubleshooting client issues.
ad18e935-bcf9-4b51-9d34-cf3391c451ef
content-id
GUID, enclosed in curly braces, that identifies the protected content e.g. a document. This field has a value only if request-type is AcquireLicense, it is blank for all other request types.
{9312A0DF-DA57-4854-9160-603A1ED06CB3}
c-info
Information about the client platform making the request. The specific string varies depending on the application, OS, browser.
'MSIPC;version=1.0.622.36;...OSArch=x86'
c-ip
Address
IP address of the client making the request
94.245.87.113
表二、常見的請求對照表
Client is requesting a license for a specific piece of content, from a Windows computer.
FECreateEndUserLicenseV1
This is similar to the AcquireLicence request. This endpoint is for mobile clients.
Certify
Client is requesting a certificate (which is later used to get a license) from a Windows computer.
GetClientLicensorCert
Client is requesting a publishing certificate (which is later used to protect content) from a Windows computer.
FECreatePublishingLicenseV1
This is the same as the previous two combined, from mobile clients.
FindServiceLocationsForUser
This is sometimes anonymous, and sometimes with authenticated. This is an innocuous request that queries for the URLs to certify and acquire license from.
Decrypt
You will see this only if you brought in your own key (BYOK, see whitepaper http://technet.microsoft.com/en-us/library/dn440580.aspx). The Microsoft Rights Management service logs this when your key is used for decrypt – typically once per AcquireLicense and Certify.
Sign
You will see this only if you brought in your own key (BYOK). RMS logs this when your key is used for signing – typically once per one time per AcquireLicence (or FECreateEndUserLicenseV1), Certify, and GetClientLicensorCert (or FECreatePublishingLicenseV1).
透過 Azure RMS 的系統記錄功能,不但可以達到監控系統機敏文件存取記錄的功能,同時將記錄檔存放在雲端服務上,又可以減少企業維護系統的成本,可說是一舉數得。若您想要追蹤最新的RMS 技術,也歡迎到 RMS 的官方部落格 (英文) 來取得最新的資訊。
Microsoft RMS 已經上市 (英文)http://blogs.technet.com/b/rms/archive/2013/11/05/the-new-microsoft-rms-has-shipped.aspx
Azure Rights Management: 記錄和新功能 (英文)http://blogs.technet.com/b/rms/archive/2014/01/07/enabling-and-using-logging-in-azure-rms.aspx
Rights Management 服務白皮書 (英文)http://blogs.technet.com/b/rms/archive/2013/07/31/the-new-microsoft-rights-management-services-whitepaper.aspx
4. 微軟RMS最大改版!檔案保護可跨平台、跨格式、跨雲端http://www.netadmin.com.tw/article_content.aspx?sn=1312130003
圖一、 Windows Azure Pack 讓您更輕易地管理網路服務 (圖片來源)
Windows Azure Pack 是一套 System Center 2012 R2 上的套件,讓您的資料中心可以提供類似 Windows Azure 的簡易管理網站、部屬虛擬機器或是 Service Bus 等服務的自助入口網站,並且同時可以整合 Windows Server 2012 R2 Hyper-V 和 System Center 2012 R2 的功能,讓您的私有雲也可以享受 Windows Azure 的操作體驗。
近幾年有許多網站接受到 阻斷攻擊 (Denial of Service, DoS),原因是因為主機的伺服器受到駭客大量且密集的封包請求而導致網站無法立即處理這些封包而被癱瘓,造成一定程度的損失。本次的資安小常識將會整理幾項設定方法讓您部屬於 Windows Azure Pack 的網站服務更加安全。
本篇文章提供您三種設定方法來防範阻斷服務 (Dos) 的攻擊:
1. 過濾來源IP (建立黑名單)
2. 設定系統資源配額
3. 設定不同的使用者角色
圖二、 Dos Attack (圖片來源)
過濾來源IP:
管理者可以藉由篩選某些區段的 IP 來避免網路服務受到攻擊。常見的阻斷攻擊方法是從 Service 的內部下手,例如藉由網頁呼叫Web farm 裡的其他服務,而有機會造成一個阻斷攻擊。所以在這個例子中,管理者可以選擇將Web farm牽涉到的子網路IP位置設為黑名單,避免承租戶使用此區段的IP而造成風險。您可以用兩種方式來進行設定:
1. 使用 Windows Azure Pack 管理入口網站
• 在入口網站左側的功能列表中,選取Web Site Clouds
• 選取您要設定的網站
• 選擇 Block List
• 在下方的指令列表中選取Add
• 在文字方愧內輸入過濾IP區段的起點和終點
• 點選確認即可完成
2. 使用 PowerShell
指令中的及請自行更換為欲過濾之IP
Add-pssnapin WebHostingSnapin Set-Hostingconfiguration -WorkerRegKeyRejectPrivateAddresses 1 Set-Hostingconfiguration –WorkerRegKeyPrivateAddressRange ,
接著需要重啟 Dynamic WAS Service
net stop dwassvc net start dwassvc
設定系統資源配額:
另外一種防範阻斷攻擊 (DoS) 的方法是設定系統資源的配額,管理者可以藉由設定CPU、記憶體、頻寬、硬碟等等的配額來限制攻擊者的行為。以致系統資源在接受到突如其來的大量請求時,會因為超過設定的配額而短暫關閉,進而可以達到保護系統資料的效果。有些攻擊者會利用重複嘗試的方法來破解密碼,如果遇到強度較高的密碼,則系統則有可能在攻擊者破解之前就關閉,讓攻擊者無法入侵。
設定不同的使用者角色:
在最安全的情況下是針對每個不同的開發者或使用者都給予不同的角色憑證,Windows Azure Pack 管理入口網站也可以讓您輕鬆地管理並編輯使用者的角色憑證。
• 以管理者權限登入,並選擇要管理的 Web Site Clouds
• 點選 Credentials,並選取要修改的使用者名稱
• 在下方指令列表中點選Edit,並設定新的名稱和密碼
• 重複步驟直到每一個角色憑證都是唯一的
在設定的過程中需要注意的是千萬不能將每個角色都設定為管理者,否則會造成資安上的問題。另外,除了密碼之外,角色名稱也應該在固定的週期內更換。在更換的過程中也要注意必須在新的角色憑證都可以使用後才將舊的角色憑證刪除,以確保系統可以正常登入。
Windows Azure Pack 除了提供一個良好的且便利的虛擬化平台外,也提供使用者一個可以安全地部屬網路服務的環境。本次資安小常識提供了三種在Windows Azure Pack 網站服務中避免遭受阻斷服務 (DoS) 的方法,希望您可以多加利用,讓您的網頁服務遠離可能遇到的資安風險,並可以永續不斷地提供優質的服務。
Windows Azure Pack 管理網站的資訊安全 (英文)http://technet.microsoft.com/en-us/library/dn469329.aspx
Server and Cloud Platform - Windows Azure 套件http://www.microsoft.com/zh-tw/server-cloud/products/windows-azure-pack/default.aspx#fbid=qchGZ3k2YSh
台灣微軟System Center 部落格http://blogs.technet.com/b/systemcentertw/archive/2013/09/17/windows-azure-pack.aspx
作者:Cho-Han Wu
微軟資訊安全情報報告書 (Microsoft® Security Intelligence Report)呈現的是每半年一次的產業資安觀察,提供企業資安負責人更深入的見解。本期的資訊安全情報報告書主要觀察的時間是在2013年上半年(一月至六月),並歸納了全球Windows 使用者以及網際網路上所提供的一些熱門線上服務所收集到的資料。針對軟體公開弱點、惡意程式分佈以及軟體弱點攻擊程式碼趨勢提供深入的分析觀點。本期資安小常識將針對第十五期的資訊安全情報報告書的內容做一個重點整理及報導。
1. 資訊安全漏洞 (Vunerabilities) 2. 入侵程式 (Exploit) 3. 惡意程式 (Malware) 4. 電子郵件威脅 (Email threats) 5. 惡意網站 (Malicious websites)
資訊安全漏洞是指某些軟體內的弱點,讓攻擊者有機可趁並在使用者不知情的情況下,藉由在軟體內放置惡意的程式碼,得以竊取資料庫內機密資料或是讓軟體崩壞。
上圖為2013年上半年度的資安漏洞外洩程度,根據共通弱點評估系統 (Common Vulnerability Scoring System, CVSS) 把嚴重的等級分為0~10 分作為評估的依據。可以看到有超過一半以上的比例(52.9%) 是屬於中等程度的外洩,並有 36.7% 的程度是屬於高嚴重程度的外洩。
以上系列圖為2010年下半年度到2013年上半年度的,依順時鐘順序為資安外洩嚴重程度、資安外洩複雜程度、外洩的類別以及微軟產品及非微軟產品的比較。從上圖中可以看到的在複雜度部分,高複雜度的外洩在這段期間內維持約 5%以下的比率,低複雜度的外洩從2011年上半年度以來就是維持著最高的比率,大約維持在50%左右。而在外洩類型的部份,則是以應用程式的外洩為大宗,其次為作業系統以及瀏覽器的外洩。另外,對於微軟產品和非微軟產品的比較部分,可以看到非微軟的產品所受到的外洩比率較高,而微軟產品所佔的比率大約為10%以下。
上圖為近兩年來全球受到資安攻擊的數目和感染率之比較,可以看到的是雖然每一季每一千台電腦大約有180台左右會受到資安攻擊事件,但是實際上真的受到感染的比例仍不高,大約為0.6%左右,顯示大部分的系統都有受到良好的保護。
入侵程式 (Exploit)
入侵程式是指一段惡意程式碼,在未經過使用者的同意下,擅自在軟體間尋找漏洞來感染、干擾和控制電腦。入侵的對象包含了作業系統、網頁瀏覽器、應用程式以及軟體套件等等。
上圖中顯示了在2012年第三季到2013年第二季之間,微軟防毒軟體所偵測到的各種入侵,並以單一電腦計次計算。可以看到以網頁為基礎的 (HTML/JavaScript) 威脅從2013年開始就是最高的比率,隨後是Java以及作業系統。另外,在下圖中可看到 HTML/IframeRef 是2013年最高比例的惡意入侵來源,其主要原因是在HTML中的Iframe 標籤容易讓使用者被誤導入惡意的網站中,下載到入侵程式,而造成系統危害。
惡意程式 (Malware)
這部份的資料收集自許多不同來源的遙測資料,包含了十幾億台電腦以及許多繁忙的伺服器資料。本部分的內容以遭遇率來計算惡意程式的普及率,下面兩圖呈現2013年第二季全世界的感染率和遭遇率。
上圖用每一千台被掃描的機器所發現的感染數來代表感染率,可以看到的是全世界感染最嚴重的地區包含了北非,中東以及南亞。而在下圖的遭遇率可以看到在整個亞洲遭遇到惡意程式的普遍程度是比北美洲和歐洲來得高。
而在下圖也可以看到各個國家惡意程式的盛行率,就2013年第二季來看,前三名的國家分別是俄羅斯、印度以及墨西哥。
如果根據作業系統來看,下圖顯示了2013年第二季 Windows 作業系統在不同版本或是 SP 下的感染率。此資料是經過正規化的,也就是雖然各版本的使用人數不同,但此圖表呈現的方式是以同樣的人數為基準 (皆以每一千人呈現的感染資料為主)。可以看到在各版本中,又以 Windows XP SP3的感染率最高,Windows Server 2012 RTM的感染率最低。
再把遭遇率拿出來比較的話,可以看到的反而是Windows 7 所遭遇到的攻擊比率較高,Windows XP SP3只落到第三名,但它卻是感染率最高的作業系統,這種情形可能會在延伸支援到期時更加嚴重。
若是分析了惡意程式的類別,可以看到前三名的惡意程式是 Win32/Obfuscator、 INF/Autorun、.JS/IframeRef,Autorun是最近一年來遭遇次數最多的惡意程式類別,雖然在Windows XP 和Windows Vista的改版已經使此項技術變得較無效率,但是攻擊者仍藉此當作攻擊的目標,並試圖逃避微軟防毒軟體的偵測和封鎖。第二項最常遭遇攻擊的類別是Obfuscator,Obfuscator 藉由一些加密、壓縮以及anti-debugging 和anti-emulation的技術,讓原始的程式的功能維持正常,但實際上卻是不同的編碼,實作惡意的行為。
本部分內容的資料來源是來自於微軟的Exchange Online Protection (EOP) 統計資料,EOP是一個雲端式的電子郵件篩選服務,它能協助組織抵禦垃圾郵件和惡意軟體,同時也包括預防組織發生訊息原則違規的功能。下圖一為2009年下半年到2013年上半年被EOP所阻擋的惡意訊息數目;下圖二則為阻擋訊息的類別,可以看到這些垃圾訊息又以藥物訊息為大宗,其次是圖片訊息,詐騙訊息為第三。
下圖看到的是傳送垃圾郵件的IP位置來源國家統���,可以看到寄送最多垃圾郵件的IP是來自美國,其次是中國以及英國。
針對如何防範email威脅的部分,本期的SIR也提出了相關的建議:例如除了使用郵件過濾服務如EOP等以外,自己也可以藉由實行email認證技術和觀察最好收發email的方式,想要更深入的了解如何防衛email威脅,可以詳閱本期SIR的Guarding Against Email Threat 章節。
惡意網站 (Malicious websites)
1. 釣魚網站釣魚網站是指內容常會誤導使用者進入非網頁主旨的網站,這些網站通常會放在免費的網頁伺服器空間,或是不安全的網域名稱下。下圖是2013年第二季全世界釣魚網站的分布圖,可以看到印尼、南非、及東歐部分地區為主要的釣魚網站來源地。
2. 惡意主機服務提供者惡意主機服務時常藉由提供免費的空間,藉以詐取使用者放在上面的資訊或資料等等。在2013年第二季當中,最多的惡意主機服務提供者是來自於中國、俄羅斯、以及巴西。
3. 偷渡式下載所謂的偷渡式下載主要是針對使用者的電腦未完整更新(包含作業系統或是電腦中的第三方軟體),來進行攻擊行為;通常攻擊者會先將惡意程式碼隱藏於網頁中,當使用者存取到該網頁時便會遭受惡意影響並轉址到真正含有惡意程式的網站,進行下一步的感染/植入或是相關的竊取個資等行為。在2013年第二季的分布圖中,可以看到外蒙古、加拿大、印度及歐洲等地是偷渡式下載的主要來源
微軟資訊安全情報報告第 15 卷http://www.microsoft.com/security/sir/default.aspx
圖一、 使用 Windows Intune 管理各種裝置 (圖片來源)
Windows Intune 是一套行動裝置與個人電腦的整合性管理系統,功能上類似System Center 2012 Configuration Manager,但實際運作則是建立在雲端架構上,讓企業用戶可以更便利的使用。它除了可以在管理中心統一替所有的裝置進行應用程式的佈署外,也可以提供升級授權的資訊,讓您的裝置保持在最新的韌體版本,並定期接收更新,以保護裝置不會受到惡意軟體的侵入。本次資安小常識將介紹如何設定 Windows Intune 來管理您的行動裝置。
Windows Intune 所提供的管理和保護功能除了支援個人電腦外,也提供行動電話和平板電腦等裝置。下表列出支援每種裝置類型的作業系統:
表一、 Windows Intune 支援裝置類型作業系統 (圖片來源)
Windows Intune 最具安全指標的特色就是可以統一的佈署應用程式給企業內的使用者,使其裝置避免受到惡意程式的侵擾,也讓您可以更有效及更安全的管理行動裝置。若您的使用者使用的是Windows Phone 8 或是 Windows RT的裝置,可以參考以下的步驟來設定如何佈署應用程式:
1. 請先確認您的使用環境是否符合 Windows Phone 8 或 Windows RT 的行動裝置管理需求。其中包含要先在Windows Intune 的主控台設定行動裝置的授權,並且將裝置擁有者定義為受管理的使用者 等等。
2. 啟用Windows Intune 註冊伺服器的自動偵測,或是手動提供伺服器位置給使用者,若要選擇自動偵測,請完成以下步驟設定:
a. 在帳戶入口網站中驗證您的網域
b. 建立公用 DNS 中已驗證之網域的 CNAME 資源記錄。此 CNAME 資源記錄必須包含DNS別名以及DNS主機的完整網域名稱(FQDN)。詳細 CNAME 設定內容可以參考相關文件
3. 確認您是否正確地設定自動偵測 Windows Intune 註冊的伺服器。
a. 開啟主控台並點選系統管理
b. 選擇行動裝置種類
c. 輸入驗證網域名稱並按下測試自動偵測
4. 確認您是否已經完成佈署應用程式所需的步驟。
5. 在發佈應用程式給使用者之前,請先確保您的使用者都有安裝公司入口網站應用程式,您的應用程式和外部連結將會透過此應用程式傳給使用者進行安裝。
6. 確認您要上傳的應用程式已經取得憑證授權簽署,簽署應用程式的步驟如下:
b. 選擇下載應用程式檔案超連結
c. 透過 Symantec 網站 取得企業行動碼簽署憑證
d. 以PFX檔案匯出憑證
e. 下載 SDK 中的 XapSignTool 工具,並利用該工具編譯並簽署應用程式,可參考此說明
7. 將應用程式上傳至Windows Intune,您的佈署將自動開放給所有的使用者。
圖二、 利用Windows Intune統一管理及發佈應用程式 (圖片來源)
使用 Windows Intune 讓您企業的IT可以更輕易的管理許多不同種類的裝置,在企業 BYOD 的潮流之下,使用Windows Intune 的應用程式統一佈署功能,更可以讓您的行動裝置更安全地存取公司資源。想要了解更多 Windows Intune的功能,可以進一步至微軟網站了解。
透過 Windows Intune 讓企業從雲端管理各式裝置https://www.microsoft.com/taiwan/systemcenter/devicemgmt/windowsintune.htm
Windows Intune 官方網站 (英文)http://www.microsoft.com/en-us/windows/windowsintune/explore.aspx
設定 Windows Phone 8 行動裝置的 Windows Intune 直接管理http://technet.microsoft.com/zh-tw/library/jj733640.aspx
如何利用XapSignTool來簽署憑證http://msdn.microsoft.com/en-us/library/windowsphone/develop/jj681686(v=vs.105).aspx
圖一、 使用第三方支付進行網路購物 (圖片來源)
所謂的第三方支付就是指在進行網路交易時,消費者將應付的款項匯入一個線上的帳號並透過第三方的仲介交給商家,而非直接的將錢轉到商家戶頭。此種型態的付款方式對於使用者來說除了可以加速付款流程,同時也可以避免因為將信用卡或是個人帳戶資訊暴露給商家而造成個人隱私的損失。
台灣已經在今年的8/7正式拍板定案了第三方支付的業務開放問題,將全面開放銀行、非銀行業者經營第三方支付服務,也將訂定專門的法條來規範。消費者在未來也將會面臨許多選擇,本期的資安小常識將提供您如何安全的使用這項服務。
如何選擇安全的付款服務和商家:
1. 在創立帳號之前請先調查這個服務提供者是否有不良的紀錄。在美國有類似的網站會對服務提供者加以認證,消費者可以將欲前往的網域名稱加以搜尋來查看認證狀態。台灣目前還沒有相關的認證服務,但消費者也可以選用較多人評價的服務,或是使用與大型商家配合的支付服務,較有保障。
2. 在瀏覽網站前應先看該服務網站是否有經過加密認證,有經過加密的網站,在瀏覽器的網域名稱前會包含 https 並且在瀏覽器的右側或是右下側會有一個鎖頭的標誌,如此一來,消費者在傳送敏感資料如信用卡卡號和地址時就會得到更多的保障。
圖二、通過安全憑證的加密網站
3. 由於網路購物無法親自看到貨品,所以在挑選商家時更要注意挑選評價較高的賣家或是商場,才可避免買到不實或是昂貴的商品,損失自己的權益。
如何安全地使用第三方支付:
1. 在網路購物後不要隨意回覆不明的 e-mail 。有些惡意的釣魚軟體會隨機寄信給消費者要求索取帳號密碼或是信用卡資訊,這些很有可能是詐騙,要確認資訊前請先和服務提供者確認,若想更了解釣魚的手法,請參考資安部落格-最新的釣魚攻擊。
2.設定安全的密碼。安全的強式密碼應有14位數以上並包含大小寫,針對如何設定不易被破解的密碼可以參考此篇資安部落格文章。
3.不要使用公共電腦進行網路購物。公共電腦由於無法確認是否有被植入惡意程式,而且網路也無法確定有無被監聽,所以較不安全。
4. 使用IE 提供的SmartScreen篩選工具來過濾掉惡意的釣魚網站。在瀏覽商場或網頁時,有時會有不知名的網頁跳出,並冒充成商場確認系統,此時消費者可能會誤認而受騙,使用微軟 IE 內建的篩選工具可以減少此事件的發生。
5.隨時將瀏覽器更新成最新版本。微軟的最新瀏覽器提供您更全面的保護,定期更新將讓您使用網路購物起來更安心。
圖三、第三方支付示意圖 (圖片來源)
如何選擇安全的支付服務 (英文)http://www.microsoft.com/security/online-privacy/online-paying.aspx
如何安全地使用第三方支付服務 (英文)http://www.bullguard.com/zh-tw/bullguard-security-center/pc-security/computer-security-resources/safe-payment-services.aspx
第三方支付服務爭議行政院拍板定案http://www.ithome.com.tw/itadm/article.php?c=81932
第三方支付服務起跑 安全是最大隱憂http://www.informationsecurity.com.tw/article/article_detail.aspx?aid=7608
圖一、 使用微軟SDL的比例統計 (圖片來源)
根據最新的 Trust in Computing 報告 (註1)指出, 42% 的開發者在開發軟體或是應用程式時並非把資訊安全當成最優先考慮的因素。且雖然使用安全的軟體發展過程被視為是減少軟體遭受攻擊的有效方法,仍有 44% 的開發者並不使用。不使用的原因包括了:1) 花費 (34%)。 2)缺乏技術資源 (33%)。 3) 缺乏主管的同意 (24%) 等等。
在安全的軟體開發過程的使用者中,又以使用安全性開發生命週期(Security Development Lifecycle, SDL) 的比例最多(47%),故本期資安小常識將針對微軟的 SDL 做一個統整性的介紹。
圖二、微軟安全性開發生命週期(SDL) (圖片來源)
微軟提出的安全性開發生命週期 (SDL)主要分成七個階段:
1. 訓練階段
在這個階段需要建立一些基礎的概念,微軟建議相關的開發人員每一年都應接受一次的資安訓練課程。以下提供了一些各階段的相關參考資料:包括了SDL 模式的緒論(英文)、軟體的安全性設計(英文)、將可能的威脅模式化(英文)、撰寫及測試安全的程式碼(英文)、並找出維護隱私的實作方法(英文)。
2. 建立需求階段
在執行計畫之前需要先定義並整合此應用程式的資安和隱私最基本的需求,確立一個清楚的目標或里程碑,以減少執行計畫時的可能被分散的風險。並且建立一套資安漏洞的追蹤系統,並指派專門的資安專員來處理。
針對需求的建立方法,可以參考以下資料:資安需求問卷(英文)、Visual Studio Team System的SDL模版、如何區分資安漏洞的強度(英文)、資安風險評估(英文)。
3. 設計階段
確認需求之後,必須要設計一套完整且結構性的途徑,此設計必須避免系統潛在的資安漏洞暴露於攻擊者之中,或是將可能的危害減為最低。完成此階段的設計之後,可使得往後的開發更有效率並減少不必要的花費。針對此階段的建立方法,可以參考以下資料:避免將程式碼暴露於不信任的使用者中(英文)、減少可能的攻擊(英文)、利用STRIDE方法設計更好的資安模組(英文)、防火牆的設定及需求(英文)。
4. 實行階段
此階段主要的目的是讓開發者可以在安全的環境下開發應用程式,避免資安漏洞的產生。透過限制並篩選開發者使用的工具、編譯器、及API等,可以用較少的成本塑造安全的開發環境。另外,定期的分析、檢查原始碼中是否有不安全的片段,也可達到開發環境安全的目的。以下是實行本階段可參考的資料:安全的編譯器及開發工具(英文)、SDL禁止使用的函式(英文)、介紹Strsafe.h(英文)、C/C++的程式碼品質分析器(英文)、.NET程式碼分析工具(英文)。
5. 確認階段
此階段主要是確認完成的程式碼是否符合先前訂定的需求,並利用一些工具來進行執行階段 (run-time) 的分析及模糊測試(Fuzz testing)來確保程式在使用時不會出現重大資安問題。另外,使用微軟提供的弱點分析軟體 (Attack Surface Analyzer) (英文) 也可減少系統可能遭受到的威脅。以下工具可以協助您完成此階段的目的:微軟應用程式驗證工具(英文)、Visual Studio Team System 測試介面提供者、規則運算式拒絕服務攻擊與防禦。
6. 發行階段
此階段主要是進行發行前的最後準備。其中又包括了研擬資安事件回應計畫(Incident response plan),如建立資安的緊急聯絡窗口以及提供資安維修服務等。此外,還需進行最終的資安回顧Final Security Review (FSR) 來檢查先前在需求階段定義的工具及威脅模組表現得如何。最後,必須確認資安及隱私的需求皆有達成。同時,發行的檔案必須包含規範和說明書、原始碼、特殊符號、威脅模組、緊急反應計畫和授權等。
此階段可以參考的文件如下:SDL 隱私問卷(英文)、SDL隱私提升回應框架範例(英文)、SDL資安分級(英文)
7. 回應階段
發行之後的回應階段主要是回應任何有關軟體威脅和漏洞的回報,並且執行在發行階段策畫的資安事件回應計畫(Incident response plan)。同時在此階段還須定期發布資安更新以及官方授權的資安指導文件等。關於此階段的範例可以參考微軟資安應對中心Microsoft Security Response Center(MSRC) ,此中心即是以此模式營運來監控並解決資安事件。
圖三、(圖片來源)
使用安全性開發生命週期(SDL)可以讓您用更少的成本和時間,有效率地開發出更安全的軟體或應用程式,想要了解更多的SDL資訊以及取得免費的資安監測工具,歡迎前往微軟Security Development Lifecycle (SDL) 網站,或是微軟SDL的官方部落格(英文)。
註一、 Trust in Computing是由微軟委託 comScore 公司訪問了九個國家超過 4,500 位消費者,IT 專業人員以及開發者後,針對受測者對於科技產品、服務、資安以及隱私的信任程度的分析報告。
Trust in Computing調查 (英文)http://download.microsoft.com/download/5/B/B/5BB044A3-897B-4FDA-A827-69240B9E1837/TiC-Dev-July-2013.pdf
低於一半以下的開發者使用安全開發過程 (英文)http://blogs.technet.com/b/security/archive/2013/07/12/trust-in-computing-survey-part-2-less-than-half-of-developers-use-a-security-development-process.aspx
微軟軟體開發生命週期如何幫助重大產業確保資訊安全 (英文)http://aka.ms/a6offt
微軟的安全性開發生命週期 (SDL) (英文)http://www.microsoft.com/security/sdl/default.aspx
作者:Chohan Wu
圖一、認識進階持續性滲透攻擊 (APT) (圖片來源)
進階持續性滲透攻擊 (Advanced Persistent Threat, APT) 是一種最近常見的網路攻擊型態,攻擊者往往都是相當龐大且有組織的駭客集團,而並非像一般的駭客事件可由單一駭客所為。駭客集團會針對特定的攻擊對象設計一套專屬的攻擊策略,攻擊的手法除了以電腦入侵方式外,也會透過其他的傳統的手法達到竊取資料的目的(如電話竊聽等)。
APT 的攻擊者往往都會透過長時間且持續性的潛伏及監控,趁使用者稍有疏忽時撈取其所需要的資訊。在一篇網路報導ADT 攻擊如何癱瘓您的網路安全(英文)中可以窺見 APT 攻擊的手法和策略。
根據美國資訊網路公司 Mandiant 在2013年所提出的 調查報告(英文) 中可將 APT 攻擊歸類成以下的生命週期來進行:
1) 初步的入侵:利用一些釣魚網站或電子郵件來做為入侵的媒介。
2) 建立立足點:植入 Rootkit 等惡意程式以掌握使用者系統。
3) 取得管理者權限:利用破解密碼等方式取得該電腦管理者權限。
4) 內部偵查與平行擴散:找尋該主機附近的其他主機或伺服器,並伺機取得其內部資料庫儲存之機密資料。
5) 持續監控並完成任務:持續掌控資料庫伺服器或是主機,並將資料匯出達到竊取機密的目的。
圖二、 APT 攻擊的生命週期(圖片來源)
APT 攻擊為一種相當有策略性且多面相的入侵,且其入侵的通常都是長時間且持續性的,並非單一事件,也因此其防範方法也必須在各種細節中嚴加堤防注意,並不能因為單一危機解除後就掉以輕心,必須要從養成良好的資訊操作習慣開始做起。
在面對釣魚網站或是電子郵件的防治部分可以參考本部落格文章 [資安小常識] 最新的釣魚攻擊 以及 [資安小常識] 玩線上遊戲也要小心釣魚攻擊 ,以了解最新的釣魚形式。而關於惡意程式的入侵,也可以參考本站文章 [資安小常識] 惡意程式Rootkit的認識及防範 來處理。
圖三、圖片來源
對於資訊管理的人員來說, APT 的防禦模型 顯得更加的重要,基本上面對如此有組織的滲透攻擊,管理人員能做的就是勤加監控網站或是資料庫的存取記錄,以便能從記錄中辨識出攻擊的事件,並阻擋該來源的讀取權限。常說知己知彼、百戰百勝,能夠知道駭客組織的常用攻擊模式之後,就能夠將對方入侵的企圖瓦解,維護資訊安全。
維基百科 – 進階持續性滲透攻擊(英文)http://en.wikipedia.org/wiki/Advanced_persistent_threat
2013 年Mandiant 的資安調查報告(英文)http://intelreport.mandiant.com/
ADT 攻擊如何癱瘓您的網路安全(英文)http://www.infoworld.com/d/security-central/how-advanced-persistent-threats-bypass-your-network-security-048
從APT攻擊談網路資安防禦新觀念http://www.netadmin.com.tw/article_content.aspx?sn=1110050003
[資安小常識] 最新的釣魚攻擊http://blogs.technet.com/b/twsecurity/archive/2013/02/18/bouncer-list-phishing.aspx
[資安小常識] 玩線上遊戲也要小心釣魚攻擊http://blogs.technet.com/b/twsecurity/archive/2012/07/10/3508231.aspx
[資安小常識] 惡意程式Rootkit的認識及防範http://blogs.technet.com/b/twsecurity/archive/2013/01/07/rootkit.aspx
APT 的防禦模型http://www.informationsecurity.com.tw/article/article_detail.aspx?tv=12&aid=7538
作者:Vavrin Chen
圖一、顯示一小部分被破解的雜湊密碼 (圖片來源)
美國科技網站 Ars Technica 實驗發現就算密碼以加密的雜湊碼形式呈現 (例如實際為 arstechnica 的密碼經雜湊處理後會變成 c915e95033e8c69ada58eb784a98b2ed),駭客仍能在 1 小時內破解逾 1 萬筆密碼,其中還包含長達 16 字元、夾雜英文與數字的密碼。
駭客主要利用字典 (以某本字典的字庫進行攻擊。) 及暴力破解法 (以鍵盤上的所有字元組合進行攻擊。),愈短的密碼愈容易破解、只有英文字母或只有數字的密碼都很容易被破解,想了解詳細內容請參考『我如何成為一名駭客 (英文)』。
Microsoft Online Safety 是微軟的一個線上免費檢查密碼強度的網站,只要將密碼輸入進去,就會即時的告訴你該組密碼的安全性,除此之外,還提供資訊建議如何建立一組不易被破解的密碼。
圖二、測試密碼為: VavrinChen@MicrosoftSecurity 的強度為最佳
另外 Intel 也提供 評估密碼強度 的網頁,使用者輸入欲測試的密碼後,便會計算以暴力破解該密碼所需的時間。
圖三、測試密碼為: VavrinChen@MicrosoftSecurity 被破解所需花費的時間
若想創建一組安全密碼,可參考 Microsoft 網站所提供的『建立強式密碼與複雜密碼的提示』,或者 國外網站 簡明的圖文教學,教您如何建立安全密碼。
破解密碼兩點對策,除了上述的提高密碼安全強度之外,便是採用雙因素認證,想了解更多雙因素認證的詳細內容請參考 [資安小常識] 設好身分認證關卡,保護您的行動上網安全。
隨著網路的普及,許多與生活息息相關的流程作業,像是銀行、繳款、購物等等,也逐漸的被搬上網路,而這些服務,都必須要有帳號及密碼來支撐,但網路資料被竊,尤其是在社交平台或提供相片上傳服務的網站時常發生,因此除了需要熟記帳號及密碼外,為自己的帳號選擇一組強有力且不易被有心人士破解的密碼更顯重要。
還認為您的密碼安全嗎?駭客只需花一小時即破解 (英文)http://www.dailymail.co.uk/sciencetech/article-2331984/Think-strong-password-Hackers-crack-16-character-passwords-hour.html
密碼安全指南 (英文影片) http://howto.cnet.com/8301-11310_39-57431102-285/the-guide-to-password-security-and-why-you-should-care/
駭客如何破解雜湊密碼 (英文)http://arstechnica.com/security/2013/05/how-crackers-make-minced-meat-out-of-your-passwords/
我如何成為一名駭客 (英文)http://arstechnica.com/security/2013/03/how-i-became-a-password-cracker/
Microsoft Online Safety 微軟線上免費檢查密碼強度 (英文)https://www.microsoft.com/security/pc-security/password-checker.aspx?WT.mc_id=Site_Link
建立最好的密碼 (英文)http://xkcd.com/936/
看我如何破解多數人使用的弱密碼 (英文)http://lifehacker.com/5505400/how-id-hack-your-weak-passwords
隨著行動裝置大量普及、上網人數遽增的同時,伴隨而來的是網路病毒、惡意程式的威脅,哪些惡意程式需要使用者特別留意?根據微軟安全反應中心 (MSRC) 的研究,發現在 2012 年下半年惡意程式碼及釣魚網站在台灣的分佈有以下四個重點:
1. 台灣在 2012 Q4 平均每千台電腦掃描出感染惡意程式的電腦數量為 5.3 台,相較於全球平均 6.0 台稍低。
圖一、台灣平均每千台電腦掃描出感染惡意程式的電腦數量
2. 台灣 2012 Q4 從感染惡意程式的電腦中所分析出的惡意程式類別前三名分別為 Potentially Unwanted Software (不必要的軟體,44.4%)、Trojans (木馬程式,32.9%) 、Worms (蠕蟲,,21.0%)。其中『不必要的軟體』和『木馬程式』與 Q3 相比都呈現上升趨勢。
圖二、台灣 2012 Q4 惡意程式類別與所佔百分比
3. 台灣 2012 Q4 TOP 10 惡意程式排名的前 3 名分別為 Win32/Keygen (序號產生器,22.5%)、INF/Autorun (將自己複製到受感染電腦的其他磁碟機、隨身碟或網路硬碟,21%) 、 JS/IframeRef (將網際網路連線導向到惡意網站,6.5%)。
圖三、台灣 2012 Q4 TOP 10 惡意程式排名
4. 台灣在 2012 Q4 釣魚網站以及提供惡意程式下載的惡意程式網站數量與 2012 Q3 相比有增加的趨勢,其中提供惡意程式下載的惡意程式網站數量與全球相比高出許多。
圖四、台灣 2012 Q3 和 Q4 釣魚網站與惡意網站數量統計
絕大多數始用者對於網路安全還沒有整體性的認知,透過此次資訊安全情報報告提醒您:在享用便利的網路生活之餘,也要處理它所帶來的副作用,以減少個人資料暴露在網路的風險,降低惡意程式攻擊對個人隱私資訊的危害!
若客戶想取得完整報告,可以直接到 Microsoft Download Center 下載: http://www.microsoft.com/en-au/download/details.aspx?id=38433
想獲得更多資訊? 參考更多資安小常識
[資安小常識] 惡意程式 Rootkit 的認識及防範http://blogs.technet.com/b/twsecurity/archive/2013/01/07/rootkit.aspx
[資安小常識] 最新的釣魚攻擊 - Bouncer List Phishinghttp://blogs.technet.com/b/twsecurity/archive/2013/02/18/bouncer-list-phishing.aspx
圖一、日前造成全球網路大塞車的 DDoS 攻擊(圖片來源)
您是否常常被網路的『龜速』弄得不耐煩呢?有時候上網路速度變慢,並不是單純的網路塞車,或共用線路的其他使用者在大量下載,而是 DDoS (分散式阻斷服務) 網路攻擊!日前,歐洲一家反垃圾郵件的非營利組織 Spamhaus 遭受流量 高達 300Gbps 的 DDoS 攻擊 (DDoS 是 DoS 的一種變形,因為它是透過網路分散來源的技巧,所以將之稱作分散式 DoS, Distributed DoS ,簡稱 DDoS 攻擊),此網路攻擊是史上最大規模,主要是歐洲地區遭受攻擊,但衝擊層面相當廣,全球都出現網路塞車的情形。
一般 DDoS 攻擊流量平均小於 10Gbps,為何這次 Spamhaus 所受攻擊的流量會如此高呢?進一步探討此次 DDoS 攻擊手法,是採用 DNS reflection 攻擊,意即攻擊者假裝從 Spamhaus 對數萬台的 DNS resolvers 發出請求,而這些 resolvers 會給 Spamhaus ,因此造成大量的網路流量;與一般透過殭屍電腦產生大量網路流量的方式不同 (傳統的 DDoS 手法為,利用分散於不同地方的多部電腦主機,發送大量偽造地址的封包,癱瘓受害者所在的網路主機伺服器,使得正常的接通率降到 1% 以下) 。
一般來說,DNS 伺服器應有設定只支援來自一個特定的網域或範圍的 IP 位址的請求,不過全球網路中大部分的 DNS 伺服器,其初始設定值並未有如上的限制,而是設為對外開放,因此受到有心人士的利用,將此開放式 DNS 伺服器用來回應除了其支援網域名以外的需求。 DDoS 攻擊方式在於它是網路上的多台主機同時發動類似 DoS 的攻擊行為,被攻擊者所面臨的敵人是數百台來自不同網域的主機,因此 DDoS 攻擊不一定要終止受害者主機的系統程式,只需要同時送出遠超過受害者主機網路負荷的資料,就能達到癱瘓網站目的。
由 DDoS 攻擊方式得知,其運用數以千計遭到自動化方法控制的殭屍電腦形成的分散式網路,目前已有許多偵測攻擊程式的工具,Windows系統可以利用 Microsoft Safety Scanner 程式來進行掃描。能有效地檢查出 Tribe Flood Network (英文) 的常駐攻擊程式,避免該網站成為駭客進行 DDoS 攻擊的幫凶,進而阻止駭客啟動 DDoS 攻擊。
目前許多網路安全漏洞或駭客攻擊都有其防範之道,不過從此次 Spamhaus 受到攻擊的事件來看,駭客攻擊技術也是日新月異的。因此為了能夠建立一個安全的網路環境,使用者有必要了解系統可能面臨的各種攻擊,並遵守一些 防護要點 ,進而完備一套健全的防禦機制。
Spamhaus 的 DDoS 攻擊流量急遽上升 (英文)http://arstechnica.com/security/2013/03/spamhaus-ddos-grows-to-internet-threatening-size/
Spamhaus 所面臨的 DDoS 攻擊象徵 DNS 伺服器的資安受到挑戰 (英文)http://www.darkreading.com/advanced-threats/167901091/security/attacks-breaches/240152167/spamhaus-ddos-spotlights-dns-server-security-challenge.html
Microsoft Safety Scanner - 針對電腦健康情況和安全的免費線上工具http://www.microsoft.com/security/scanner/zh-tw/
維基百科 – Tribe Flood Network (英文)http://en.wikipedia.org/wiki/Tribe_Flood_Network
分散式阻斷服務攻擊http://technet.microsoft.com/zh-tw/library/cc722931.aspx
DDoS 攻擊Spamhaus,防護重點在於將開啟的 DNS resolvers 設為關閉 (英文)http://www.techrepublic.com/blog/security/ddos-strike-on-spamhaus-highlights-need-to-close-dns-open-resolvers/9296
Dynamic IP Restrictions: 保護 IIS 網站的流量守門員http://www.microsoft.com/taiwan/technet/iis/expand/DynamicIPRestrictions.aspx
圖一、圖片來源:http://www.eweek.com/security/phishers-use-bouncer-list-to-fix-scope-on-targets/
傳統的釣魚攻擊分為兩類,一類是假冒知名網站的假網頁,例如最近聲稱留下個人 LINE ID 就免費贈送付費貼圖的網站或網路銀行的登入網頁,這些都是為了竊取用戶資訊 (使用者名稱、密碼),並從這些資訊中獲利;另一類釣魚攻擊則是誘騙使用者點進植入惡意程式碼的網站,點進後會啟動 ActiveX、Java 指令,自動將木馬程式安裝到您的電腦中,如 Tabnabbing 手法,透過瀏覽器的頁籤功能,當您切換至其它頁籤時,指令會將原先頁籤的內容導到另外一個假冒的網頁,且要求你輸入帳號密碼。
圖二、Line 免費貼圖詐騙
圖三、IE 偵測到含有惡意程式碼的網站
傳統的網路釣魚攻擊沒有鎖定目標,越多人受到攻擊,駭客就能獲得越多的資料。不過,最近出現“Bouncer List Phishing 新型釣魚攻擊顛覆了這種模式。“Bouncer list phishing”手法的差別在於,只有被列為攻擊目標的人才能看到該釣魚網站。由於只有特定的人可以看到釣魚網站,這意味著它能避免或延後被防釣工具偵測到的時間,它的攻擊方式為:用戶透過 Email 收到不同的連結,若點擊進入該連結,會先經過身分驗證,如果該用戶在攻擊名單內,就會載入釣魚網頁,若用戶不在釣魚名單內,則只會出現『找不到該網頁』的訊息。就像宴會的 VIP,只有在邀請名單上的貴賓才被允許參加。
全球每天新增的網頁連結有數百萬個,加上 Bouncer List Phishing 限制只有某些人能流覽該釣魚網站,因此安全公司要發現這樣的攻擊就像是大海撈針一樣。此外這種攻擊方式若結合 魚叉式網路釣魚(Spear phishing)、 高級持續性滲透攻擊(Advanced Persistent Threat,APT)之類的攻擊行為,對用戶來說會是相當大的威脅,不可不慎!因此,當一位精明的使用者,識別出可疑電子郵件的跡象,並作出適當的反應,相信無論是傳統的網絡釣魚或是最新的 Bouncer List Phishing 都無法竊取到您的個人資訊。
新的“Bouncer List Phishing”入侵 ─ 網絡釣魚俱樂部 (英文)http://www.darkreading.com/advanced-threats/167901091/security/attacks-breaches/240146356/new-bouncer-list-exploits-turn-phishing-into-clubbing.html
更精確的釣魚攻擊 - 你今天在名單上了嗎? (英文)http://blogs.rsa.com/laser-precision-phishing-are-you-on-the-bouncers-list-today/
網絡釣魚者使用 Bouncer List 改變攻擊目標範圍 (英文)http://www.eweek.com/security/phishers-use-bouncer-list-to-fix-scope-on-targets/
精密的 Bouncer List 網絡釣魚工具包鎖定目標 (英文)http://threatpost.com/en_us/blogs/precision-bouncer-list-phishing-kits-keep-targets-inside-ropes-011613
維基百科 - 魚叉式網路釣魚http://zh.wikipedia.org/wiki/%E9%AD%9A%E5%8F%89%E5%BC%8F%E7%B6%B2%E8%B7%AF%E9%87%A3%E9%AD%9A
從 APT 攻擊談網路資安防禦新觀念http://www.netadmin.com.tw/article_content.aspx?sn=1110050003
圖一:常見 Rootkit 攻擊方式 (圖片出處:http://download.microsoft.com/download/D/2/C/D2C47748-0310-4D6F-AC72-3D298BE58108/Microsoft%20Malware%20Protection%20Center%20Threat%20Report%20Rootkits_English.pdf)
什麼是 Rootkit?
從字面上來看, root-kit 就是攻擊者偽裝成『根』目錄的使用者,它源自於 UNIX 系統,指『獲得電腦 root 權限的 kit (軟體工具組)』,故稱為 Rootkit, Rootkit 會改變作業系統中的一些設定,好讓攻擊者變成受害者電腦中的『系統管理者』,麻煩的是,Rootkit 這個惡意程式本身的設計,令防毒軟體要判定系統中有否存在 Rootkit 及哪些內容受到 Rootkit 的竄改變的相對困難。
常見的 Rootkit 破壞如圖一中所示,Rootkit 在核心層 (Kernel) 竄改了原本應該是『00000000』的資料,使得應用程式或使用者在接受檔案時,收到『11111111』的錯誤資料,而此種在核心層的 Rootkit 通常也比在應用層 (User mode) 的 Rootkit 更難偵測,目前偵測 Rootkit 程式的方法分成『特徵辨識』(signature-based)和『行為辨識』(behavior-based)兩大類。詳細 Rootkit 分類請參考: 維基百科- Rootkit (英文)。
當您為電腦掃毒時偵測到有 Rootkit 的建議處理方式:
首先删掉這個被偵測到的檔案,並且再掃一次毒,若發現有很多被感染的檔案,則需要重新安裝您的作業系統才能完全解決 Rootkit 帶來的傷害,Rootkit 具有高感染力,因此建議您重新安裝作業系統之後要立刻把防毒軟體裝上去。 此外,若以前所保留的安裝檔 (如:setup.exe) 若沒有經過壓縮成 rar 或 zip,或燒錄在光碟中的話,一律不能使用,因為這些檔案可能含有已被感染的風險。
如果確認中毒,則有兩個好用的工具建議給您使用: Microsoft Diagnostics and Recovery Toolset (MS DaRT) 和 Windows Defender Offline。其中,若您需要較為全方位的防護,則會推薦您使用 MS DaRT,因為它不只能修復 Rootkit,還能修復其它病毒及惡意程式,且 MS DaRT 內含離線式的 Windows Defender,因此 MS DaRT 可以離線開機修復系統,這樣一來 Rootkit 亦不會被啟動,使得 MS DaRT 能進入系統核心層修復。
了解 Rootkit 基本面和攻擊者的攻擊方式之後。重要的是,如何對 Rootkit 加以防範、避免威脅,建議您不妨試試本期資安小常識介紹的 MS DaRT 工具,做好系統的弱點評估及預防隔離,在了解 Rootkit 帶來的風險後,採取最佳措施保護自己!
了解您的敵人,保護您的資訊安全 (英文)http://blogs.technet.com/b/mmpc/archive/2012/10/19/know-your-enemy-protect-yourself.aspx
微軟警告:Necurs Rootkit 正快速蔓延 (英文)http://www.darkreading.com/risk-management/167901115/security/attacks-breaches/240144203/necurs-rootkit-spreading-quickly-microsoft-warns.html
新的 Linux Rootkit 將惡意網頁植入伺服器中 (英文)http://arstechnica.com/security/2012/11/new-linux-rootkit-exploits-web-servers-to-attack-visitors/
Microsoft Diagnostics and Recovery Toolset (MS DaRT) 介紹 (英文)http://www.microsoft.com/zh-tw/windows/enterprise/products-and-technologies/mdop/dart.aspx
Windows Defender Offline 介紹 (英文)http://windows.microsoft.com/zh-TW/windows/windows-defender-offline-system-requirements
微軟惡意程式碼防護中心 2012 Rootkit 風險報告 (英文 PDF)http://download.microsoft.com/download/D/2/C/D2C47748-0310-4D6F-AC72-3D298BE58108/Microsoft%20Malware%20Protection%20Center%20Threat%20Report%20Rootkits_English.pdf
SonyBMG Rootkit 介紹 (英文投影片)http://www.slideshare.net/snizz/sonybmg-rootkit-presentation
NSS 實驗室不久前發表了一份關於瀏覽器攔截惡意程式的 評估報告 (英文) 。在這個報告中可以看出最安全的瀏覽器是 Internet Explorer 10 。 IE10 可以攔截 99.1% 的已知惡意程式。日常生活中在網路上進行的社交活動、購物、工作等皆有可能會將您的個人資訊透露給其他人。Microsoft 資訊安全情報報告第 13 卷 (英文) 中指出,2012 年上半年,通過 HTML 或 JavaScript 傳遞惡意程式碼的電腦數目仍然居高不下,主要是受到“黑洞 (Blacole)”持續肆虐影響。“黑洞”是 2012 年上半年統計最多的入侵程式,該攻擊與過去其他 Web 攻擊手法雷同,先鎖定有 HTML 或 JavaSript 漏洞的網站,製造惡意 iframe ,讓使用者在不知情下被轉到惡意網站,並被植入惡意程式。
支援 Html5 沙箱
沙箱是基於安全考量的一種隔離機制,定義一塊封閉區域,執行未受信任或是有安全疑慮的程式,這些限制能夠防止不受信任的內容執行惡意動作,藉此增強安全性。這會讓網站停止執行 JavaScript。在大多數情況下,這是比較安全的設定,IE10 新增了此安全功能,不但支援加強的記憶體保護與 HTML5 沙箱屬性,也支援加強的受保護模式 (Enhanced Protected Mode , EPM)。如需 HTML5 沙箱使用方法的實機操作示範,請參閱 IE Test Drive 上的 深度防衛:HTML5 沙箱 (英文) 。
保障您瀏覽網頁時的隱私
InPrivate 私密瀏覽:當您使用 InPrivate 瀏覽網際網路時,在您關閉此索引標籤後,密碼、搜尋歷程記錄和網頁歷程記錄等資料都會跟著刪除,避免個人資料遺留在公用電腦上。
安心地瀏覽
「不要追蹤」功能:「不要追蹤」功能會讓瀏覽器可以傳送「不要追蹤」(Do Not Track, DNT) 標頭給所瀏覽的網站,可以防止網站收集您的瀏覽資訊、追蹤您的網路瀏覽。您造訪的網站針對「不要追蹤」要求所選擇的回應或解譯方式,會視該網站的隱私權聲明而定。
SmartScreen 篩選工具
可幫助您辨識冒充的網站及包含惡意程式碼的網站,避免受到這類網站騙取使用者名稱、密碼和帳單資料。並且針對高風險下載顯示嚴重警告。更詳細的 IE10 隱私權設定請參考 在 Internet Explorer 中變更安全性與隱私權設定。
IE10 安全功能除了包含從 IE9 就開始引入的 SmartScreen 篩選工具、跨網站指令碼 (XSS) 篩選器、 InPrivate 瀏覽,還新增了加強的受保護模式 (EPM)、HTML5 沙箱以及強化的記憶體保護,將網站內容隔離在每個索引標籤中,讓保護您安全性與隱私權的方式更為簡便。
IE10 為 Windows 8 作業系統預設的瀏覽器,微軟於今年 11 月也推出了 Windows 7 版本的 Internet Explorer 10 Preview,讓 Windows 7 使用者也可以享受到新版 IE10 對於 HTML 5 和 CSS 3 的支援,想了解更多請至 有什麼新功能:HTML 5 、Javascript 和 CSS 3 (英文影片)。IE10 以更好的幕後安全設定及對隱私權更大的控管能力,讓您在網際網路瀏覽時的安全更有保障。
IE10 加強的受保護模式 (EPM) 介紹 (英文)http://blogs.msdn.com/b/ie/archive/2012/03/14/enhanced-protected-mode.aspx
IE10 帶來的附加安全 (英文)http://www.technewsdaily.com/8139-ie10-security-windows-8.html
微軟執行副總裁兼總法律顧問 Brad Smith:隱私權與科技的平衡 (英文)http://blogs.technet.com/b/microsoft_on_the_issues/archive/2012/10/26/privacy-and-technology-in-balance.aspx
「不要追蹤」功能在 Apache 的挑戰 (英文)http://www.securityweek.com/do-not-track-settings-internet-explorer-10-challenged-apache
IE10 的新增的安全功能包含記憶體的保護 (英文)http://www.technize.net/internet-explorer-10-security-enhancements-including-memory-protection/
微軟推出「IE Sucks」反諷影片宣傳 IE10 (英文影片)http://www.digitaltrends.com/computing/microsoft-internet-explorer-10-ad-painfully-honest/
微軟 IE10 預設開啟 DNT 功能 引起線上廣告商反彈http://news.networkmagazine.com.tw/classification/security/2012/06/04/40028/
圖片出處:http://www.pageonce.com/blog/2010/11/12/beef-up-your-passwords/
處於網路時代,使用者時常利用網路來交換資訊,譬如登錄網站、論壇、電子信箱、行動銀行等等,這些登錄動作常需要帳戶及密碼的身份認證,前一陣子專門提供密碼管理軟體的 SplashData 公司 公布 (英文) 2012 年最爛密碼 – 『 password 』,由於身份鑑別已經成為建立安全行動網路環境的關鍵,本期的資安小常識將告訴您如何設置相對安全的帳戶密碼。
網站的登入系統分為單因素認證與雙因素認證,以下將提供您對不同登入系統設置密碼的小技巧:
大部分的入口網站採用單因素認證,譬如電子郵件、線上遊戲登入機制都是屬於這個範疇,當使用者需要取得資源或登入系統時,網站會提示用戶輸入帳號和密碼。系統採用加密方式,將帳號和密碼傳送到伺服器端進行比對。而『帳號』用於辨識身分,『密碼』就是所謂的單因素認證。要保障單因素認證的密碼安全,您可以使用:
1.強式密碼:請參考 [資安小常識] 三大準則確保網路密碼的安全。
2.將句子拆解設為密碼: 例如 『 I am one of the group. 』 可變成 『I_a_1_o_t_g』(密碼中可以使用底線和空格)。
雙因素認證是結合使用者所知道的內容 (例如密碼和身份證號碼等)、所擁有的物品 (例如動態密碼卡, IC 卡,磁卡) 這兩種因素來做為識別。當使用者通過此兩種因素認證時,就能登入應用程式或網站。日常生活中最常見的雙因素認證即是 ATM 提款機:使用者必須利用提款卡 (所擁有的物品),再輸入個人識別號碼 (所知道的內容),才能存取帳戶款項。 PKI 和 OTP 為雙因素認證最常見的兩種應用,此兩種機制的比較如下表:
名稱
PKI (Public-key Infrastructure)
OTP (One-Time Password)
使用方式
使用晶片讀卡機與晶片卡進行資料簽章加密
使用讀卡機產生動態安全密碼,有分成:
Time Based (一段時間自動變換碼) 還有 Event Based (按一次按鈕產生新的密碼)
安全
有分軟體式的 PKI Token 和硬體式的 PKI Token。後者硬體式的 Token 相對上是比較安全的。 PKI 利用卡片產生資料,即使被駭客攔截竄改資料內容無法驗證成功。
只能用於認證用途,無法攜帶任何憑證於其上,所以不容易做到數位簽章、加密。 OTP 屬一次性密碼,使用後立即無效,即使被駭客竊取也無法使用。
安裝驅動程式
要
不用
需要與電腦連接
不用 (可攜性最廣泛)
使用地點
只能在固定地點、特定電腦
不限 (家裡、辦公室、網咖..)
安裝憑證
安裝軟體
客戶使用成本
貴
便宜
使用業者
遊戲橘子 Playsafe 數位安全卡、內政部自然人憑證、金融卡...等。
遊戲橘子 OTP 動態密碼安全卡、中國信託簡訊 OTP 網路銀行、華南銀行 OTP 密碼保鏢 ...等。
雙因素認證的風險是認證過程中若系統有缺陷則可能有中間人介入,或使用者遺失了自己的 Token ,而被第三方取得權限。為了讓您使用雙因素認證更安全,若您的 Token 遺失,需要立即掛失 (將您的 Token 看待成信用卡或提款卡一樣),以便管理者將該 Token 的權限移除。
整體來說,個人密碼安全需要符合兩個簡單的要求:
1.對於不同的網路系統使用不同的密碼,您可以將網站分類為大型網站、小型網站、重要網站、普通網站,對於重要的系統使用更為安全的密碼。對於偶爾登錄的討論區,可以設置簡單的密碼;而重要網站像是電子郵件、行動銀行,則必須設置較為複雜的密碼。
2.分散風險, 絕對不要將所有系統皆使用同一組密碼。
保護個人密碼其實只要幾個小步驟,別忘了依照本期資安小常識提供的方法,固定更新並設定高強度的密碼才能保護您的裝置安全喔!
防駭的 RSA 密碼 (英文) http://www.networkworld.com/news/2012/100912-rsa-password-protection-263027.html
保護自己遠離駭客威脅 (英文)http://www.stuff.co.nz/technology/digital-living/7862942/How-to-protect-yourself-from-hackers
RSA 遭駭被竊,雙因素認證產品安全性受質疑http://www.ithome.com.tw/itadm/article.php?c=66769
微軟收購手機認證商 PhoneFactorhttp://www.bqjournal.com/%E5%BE%AE%E8%BB%9F%E6%94%B6%E8%B3%BC%E6%89%8B%E6%A9%9F%E8%BA%AB%E4%BB%BD%E8%AA%8D%E8%AD%89%E5%95%86phonefactor
防個資外洩有招!動態密碼把關http://www.xinmedia.com/n/news_article.aspx?newsid=166500&type=0
Microsoft Online Safety 微軟線上免費檢查密碼強度https://www.microsoft.com/security/pc-security/password-checker.aspx?WT.mc_id=Site_Link
身分驗證關卡 確保行動網路安全無虞http://www.digitimes.com.tw/tw/dt/n/shwnws.asp?CnlID=13&cat=150&id=0000305669_FEP52CWM7893HK8WK6LL5&ct=1
隨著智慧型裝置普及率繼續上升,今後行動裝置上的惡意程式很有可能會加速 發展,目前在行動裝置的攻擊在 Android 、 iOS 系統都有案例,也有的駭客試圖在 App 商店上傳惡意程式,甚至是假 App 程式,詐騙使用者下載後感染外,使用手機不小心瀏覽到惡意的網站也會被感染,也有不少使用者會使用手機為他們的旅途支付賬單、檢查銀行賬戶的餘額,立即掌握資金流動並留下紀錄,方便進行後續記帳追蹤等等…。
本期資安小常識列出幾個簡單的步驟及您可以採取的預防措施,確保您的銀行訊息不外洩,用得更放心:
1.始終將您的手機帶在身邊,並在不使用時,保持手機鎖定狀態。 ( Windows Phone 設定方式請參考: 操作說明 - 鎖定螢幕常見問題集)
2.當您遺失手機時,請聯絡您的銀行,以更改您的帳戶密碼或停止您的銀行 手機應用程式。 ( Windows Phone 遺失請參考:用 Find my phone 功能找回遺失的手機)
3.仔細選擇你的銀行密碼和個人驗證問題,並且不透漏給第二人,甚至家人或 朋友。
4.不要將您的銀行密碼或私密訊息儲存在您的手機中,如果您的手機被盜,這 些資訊都可能被有心人士利用。
5.不要透過電子郵件或簡訊傳送您的銀行憑證,可能會被竊取。
6.經常檢查您的銀行帳目報表,並在發現任何問題時及時回報。
7.在您的手機上安裝防毒軟體,並遠離不明網站。
8.聰明地選擇您手機上的應用程式。依據您手機的型號從官方網站上下載合 適的應用程式,因為不法之徒可能利用這些惡意的應用程式,透過 E-mail 發送連結,且在未經授權的情況下存取您的資料。
9.不要點擊任何在電子郵件中的連結,特別是那些自稱是金融機構的連結。 直接到您的銀行網站,確保您的理財是安全的。
微軟最新的行動作業系統 Windows Phone 8 (WP8) 與即將問世的 Windows 8 採用相同的核心技術。因此能擁有共同的網路、安全系統、媒體與網頁瀏覽技術 。這讓 PC 、平板與智慧型手機之間能互相完全融合。和 Android 不同,微軟 WP8 是封閉式的作業系統環境,相對而言較安全,自然也比較不容易遭受攻擊或資料外洩。
不論您使用的是哪種工具上網 (作業系統或行動裝置),為了有效預防駭客的 地下經濟行為得逞,建議您做好個人資料防護與裝置使用安全,想要做到全面性防範,最好還是要在所有行動上網設備安裝防毒軟體,並且隨時更新安全軟體的病毒碼,才是保護自己的不二法門。
網絡竊賊利用手機詐騙現金 (英文) http://www.bbc.co.uk/news/technology-19519065
手機詐騙偵測軟體提高您的帳戶安全 (英文) http://www.americanbanker.com/issues/177_143/mobile-fraud-detection-software-analyzes-users-behavior-1051254-1.html
研究指出: 行動裝置上 40% 的廣告點擊含有詐欺 (英文) http://gigaom.com/2012/08/31/report-40-percent-of-mobile-clicks-are-fraud-or-accidents/
欺詐行為可能會對行動銀行 App 造成重大影響 (英文影片)http://www.americanbanker.com/video/1040085-1.html
隨時隨地可用的行動銀行服務正在起飛 (英文影片)http://www.theglobeandmail.com/globe-investor/personal-finance/financial-road-map/video-on-the-go-banking-takes-off/article4105974/
詐騙盜刷新招 臉書騙手機碼http://mag.udn.com/mag/digital/storypage.jsp?f_ART_ID=409253
網購手機詐騙多,請多留意!http://165.gov.tw/news.aspx?id=874
微軟近期推出一全新線上整合服務平台Outlook.com,其涵蓋了『郵件』、『社群』、『行事曆』、『SkyDrive』等四大項服務,讓您使用起來更方便、更直覺,不過更重要的是它帶給我們更多的安全性。
Outlook.com多樣化的隱私設定是其中的ㄧ大特點,在設定選項中提供了 自訂隱私權限、修改個人帳戶資料、阻擋垃圾郵件 (英文) 、訊息歷程紀錄、篩選工具等功能讓使用者可自行定義個人隱私及防護的線上郵件服務。
圖一、 Outlook.com 讓您保有隱私,您可以控制資料和個人交談不被用於廣告用途,不受到垃圾郵件的打擾。
Outlook.com在隱私方面提供了建立 電子郵件別名 (英文) 的服務,讓您可針對不同用途來使用多個郵件地址,此服務的推出使您的郵件安全更有保障。
圖二、 如果您要把您的電子郵件位址共用給不太值得信任的網站,可以使用Outlook.com創建您臨時的電子郵件位址,這樣就不會顯示您經常使用的郵件位址。
結合社群 (英文) (像是Facebook, Twitter, LinkedIn, Google,未來還會加入Skype) 的 Outlook.com 也十分替使用者著想,簡單的介面讓您輕鬆設定想與朋友分享的訊息,使用者透過Outlook.com就能安心存取社交媒體的內容和更新通知。
<
圖三、Outlook.com 可以根據『誰可以用你提供的電子郵件地址搜尋到你』的 Facebook 設定,將您的 Facebook 帳戶與您針對該帳戶所提供的電子郵件地址產生關聯。
另外 Outlook.com 裡的『訊息歷程紀錄』,也是線上郵件服務中讓許多使用者期待的功能。該功能預設是關閉的,用戶可至右上的設定中開啟。將訊息資料放到雲端,您不必擔心硬碟故障、資料夾空間不足或遺失筆電等問題而損失重要的信件資料、為您的資料提供保護。相較於其他國際雲端供應商,微軟投入許多資源確保客戶的資訊安全與隱私權,同時也已通過多項國際資安與隱私權保護的認證與標準。
圖四、設定 Outlook.com 中的訊息歷程紀錄。
垃圾郵件寄件者有時會使用自動化程式來建立 Microsoft Outlook 或其他電子郵件帳戶,然後將垃圾郵件寄給其他人。 Outlook.com 具備業界最佳的防堵、 反垃圾郵件及密碼防護 功能,讓您只看到真正重要且需要的郵件。
圖五、 垃圾郵件會造成網路的負擔、阻塞郵件伺服器,透過篩選工具減輕了這個負擔。
圖六、使用 『安全寄件者清單』、『封鎖的寄件者清單』 和 『安全收件者清單』 篩選郵件。
配置Outlook.com最大的安全性和隱私 (英文) http://www.ghacks.net/2012/08/12/configuring-outlook-com-for-maximum-security-and-privacy/
自行管理Outlook.com安全功能 (英文) http://office.microsoft.com/en-us/office-xp-resource-kit/customizing-the-outlook-security-features-administrative-package-HA001136447.aspx
微軟的Outlook.com為遠程辦公的理想工具 (英文) http://gcn.com/articles/2012/08/03/outlook-com-tools-for-teleworking.aspx
Outlook.com:全新Metro風格的Hotmail與Skype通話 (英文)http://www.theverge.com/2012/7/31/3201345/outlook-com-hotmail-preview-features-screenshots
微軟 Outlook.com email (英文影片)http://reviews.cnet.com/e-mail/microsoft-outlook-com-e/4505-3536_7-35404526.html
Outlook 說明與作法http://windows.microsoft.com/zh-TW/windows/outlook/help-center
將Outlook Express/Windows Mail的郵件上傳到Outlook.com的步驟http://jdev.tw/blog/2708/outlook-express-upload-to-outlook-com
Outlook.com 將取代 Hotmail ,成為微軟新一代免費信箱服務http://www.freegroup.org/2012/08/outlook-com/
大部分使用者都希望自己在網路上的隱私資訊能被完善的保護,本期資安小常識將教您如何確保個人 Facebook 帳戶的安全。以前,如果使用者懷疑電腦上有惡意軟體時,您可能會透過防毒軟體來掃描電腦的安全;
現在, Facebook 提供的惡意軟體檢查站 (英文),讓您多了一個選擇。 它的工作原理是這樣的:如果您覺得您的 Facebook 帳戶已被盜用 - 可能是由於電腦上的惡意軟體感染,您可以到惡意軟體檢查站,為您的電腦進行免費的掃描。
當然,您也可以執行自己的掃毒軟體和使用任何其他的解決方案,可是 Facebook 的惡意軟體檢查站使得這項工作更容易。
圖一、確認是否進行帳號保安程序的畫面。
首先連接會指向 Facebook 的資訊安全的頁面,您需要輸入目前的 Facebook 帳號的密碼,然後您會看到如圖一的畫面。在這個步驟中,您可以取消該操作回到您的 Facebook 首頁,或點選『繼續』進行檢查工作。
圖二、帳號被鎖定的畫面。
您的帳戶將被暫時鎖定,如圖二。 ( 若您在鎖定帳戶後的短時間內有瀏覽 Facebook 的需求,您可以使用其它瀏覽器登錄該帳戶。 )
圖三、Microsoft Security Essentials下載的畫面。
點選『繼續』後,將提供 Microsoft Security Essentials (MSE) 下載 ,點擊『下載並開始掃描』。
圖四、Microsoft Security Essentials更新和掃毒的畫面。
Microsoft Security Essentials 是微軟所提供的免費防毒軟體,它的安裝流程非常簡單,照著一般軟體的安裝步驟即可。順利安裝後,我們接著進行病毒碼資料庫升級、進行本機掃毒,如圖四。
Microsoft Security Essentials 不僅執行順暢,功能設定也很容易,對一般用戶來說,要理解與上手絕非難事,其掃毒能力從 VB100 及 AV-Comparatives的測試報告來看都名列前茅。
圖五、向 Facebook 回報掃描結果的畫面。
掃描完成後可以將結果回報給 Facebook 。
圖六、將帳戶解除鎖定的畫面。
最後點選『完成』,把您的帳戶從 Facebook 掃描系統中解除鎖定。順帶一提的是,如果您已經嘗試過此功能,但發現自己的 Facebook 帳戶未解除鎖定 (英文),導致無法登入。這種情況下,建議可以清空您的Cookies資料夾,應該可以幫助您順利登入。
Facebook Security Group發表惡意軟體檢查站 (英文) https://www.facebook.com/notes/facebook-security/malware-checkpoint-for-facebook/10150902333195766
Facebook 用戶表示惡意軟體檢查站鎖定了他們的帳戶 (英文) http://allfacebook.com/malware-checkpoint-locked-accounts_b94434
安裝 Microsoft Security Essentials (英文) http://www.microsoft.com/security/portal/definitions/howtomse.aspx
Apple 及Facebook 管理安全威脅 (英文影片) http://www.youtube.com/watch?v=D5Gb93Qo0Mc
Facebook 惡意軟體檢查站 http://on.fb.me/infectedMSE
關於Microsoft Security Essentials http://windows.microsoft.com/zh-tw/windows/products/security-essentials
作者:Leo Yeh、Vavrin Chen
最近暑假到了,小朋友們開始玩線上遊戲,想必您不會想辛辛苦苦賺來的遊戲幣和取得的裝備被竊取,所以本期的資安小常識將教您如何識別釣魚網站進行有效的預防。 ( 註:原文請參考 釣魚不只針對銀行 (英文) 之文章 )
當人們想到釣魚 (這是欺騙使用者分享他們機敏資訊給第三方的攻擊手法) ,經常會想到釣魚是與銀行相關或與電子郵件相關,請參考 [資安小常識] 四大重點, 教您如何辨識可疑的釣魚郵件內容。
根據微軟最新第十二期資訊安全情報報告 (英文) 中在探討釣魚網站的統計圖表中可以得知釣魚網站基本上分成五大領域,分別是財經網站、社群網路、線上服務、遊戲和電子化商業行銷進行分析,如圖一。
圖一、釣魚網站百分比統計圖表 ( 2011年8月 ~ 2011年12月 )。
案例探討
一般來說線上遊戲釣魚網站經常會承諾遊戲是免費的,因為他們不須交付所承諾的任何內容,如圖二,此線上遊戲釣魚網站就承諾提供兩個免費的遊戲。
圖二、遊戲網站類似交付承諾的釣魚攻擊手法會被偵測為 PWS:HTML/Phish.BF. 。
釣魚網站也可能會告訴使用者他們的帳號已經被暫停,或者存在潛在威脅,然後會儲存驗證相關的資訊,像是 Facebook 的遊戲開發商 Zynga 也曾出現過類似的釣魚攻擊手法,如圖三和圖四,釣魚網站就告知使用者他們需要提供所需內容才能符合該網站的服務條款。
圖三、類似於遊戲商威脅帳號的釣魚攻擊手法網站會被偵測為 PWS:HTML/Phish.BC.。
圖四、類似於遊戲商威脅帳號的釣魚攻擊手法網站會被偵測為 PWS:HTML/Phish.BE. 。
線上遊戲釣魚網站也會嘗試製作成很看起來跟真的一樣的登入頁面,誘騙使用者很自然的輸入他們的個人資訊,如圖五。
圖五、類似仿冒登入頁面釣魚攻擊手法的遊戲網站會被偵測為 PWS:HTML/Phish.BB or .BD. 。
此外,除了上述所提到的三種不同類型的釣魚網站包含:
事實上還有更多網站會直接提供現成的釣魚攻擊手法,如圖六。
圖六、提供進行釣魚攻擊服務的網站 惡意使用者會利用該網站散佈釣魚網頁的 URL 給受害者。
當受害者輸入相關個人資訊後,所儲存的個人資訊就會被盜取,接著惡意使用者就可以登錄網站查看他們已經收集到的個人資訊,更進一步,惡意使用者還能透過收集到的個人資訊,用受害者者的身份登入該遊戲,此時受害者辛辛苦苦賺來的遊戲幣和取得的裝備就會被竊取了。
如何自我保護
首先可以透過 IE9 瀏覽器的SmartScreen 篩選工具保護使用者遠離釣魚網站攻擊,相關的內容請參考 SmartScreen 篩選工具:常見問題集 。
圖七、SmartScreen 篩選工具影片。
您也可以透過幾個簡單步驟來識別釣魚網站:
更多詳細資訊請參考電子郵件和網絡詐騙:如何保護自己 (英文) 。
結論
由於現在的網路或線上遊戲大多是採取會員制,因此類似的釣魚案例真的層出不窮,所以要如何找到安全可信賴的網站,再提供遊戲帳號相關的機敏資訊防止被釣魚,除了有效使用瀏覽器的保護工具之外,在瀏覽網站時要更加的小心,避免在來路不明的網站中提供遊戲帳號相關的機敏資訊,導致辛辛苦苦賺來的遊戲幣和取得的裝備被竊取啦。
釣魚不只針對銀行 (英文) http://blogs.technet.com/b/privacyimperative/archive/2012/06/22/phishing-not-just-for-banks.aspx
取得更多有關釣魚的相關資訊 (英文) http://www.microsoft.com/security/online-privacy/default.aspx#Fraud
[資安小常識] 四大重點, 教您如何辨識可疑的釣魚郵件內容 http://blogs.technet.com/b/twsecurity/archive/2011/12/12/3470270.aspx
SmartScreen 篩選工具:常見問題集http://windows.microsoft.com/zh-TW/windows7/SmartScreen-Filter-frequently-asked-questions-IE9
SmartScreen 篩選工具影片 http://windows.microsoft.com/zh-TW/internet-explorer/products/ie-9/features/smartscreen-filter