圖1: 絕大部分的民眾經常使用智慧型手機中的App

圖片來源: Silicon Republic
http://www.siliconrepublic.com/digital-life/item/34214-more-than-half-of-irish-peo

相信您經常在您的智慧型手機內下載有趣、方便又實用的App。然而，不是所有App都是安全的。從2014年6月的McAfee實驗室威脅報告（McAfee Labs Threats Report）指出， 今年第一季統計智慧型手機惡意程式（Mobile Malware）總共已接近400萬隻（圖2），您從App Store上下載的App，也可能是惡意應用程式。

圖2: 智慧型手機惡意程式統計數據每年持續增長

圖片來源：McAfee Labs Threats Report, June 2014.

http://www.mcafee.com/us/resources/reports/rp-quarterly-threat-q1-2014.pdf

若您安裝夾帶惡意程式的App，此App可能做出以下未經您允許的行為：

• 恣意安裝其他的App
• 允許App監控您的SMS訊息，並記錄或處理這些資料
• 以您的名義寄出SMS訊息
• 擷取您的SMS訊息
• 追蹤您的GPS位置(經緯度位置)
• 讀取您的IMEI號碼、MAC地址，並傳輸這些資料到第三方（JSON）
• 寄出您的活動紀錄至第三方（例如：竊取您在智慧型手機內設定的帳戶及密碼）

圖3: 原版FloppyBird與惡意App易混淆

圖片來源：McAfee Labs Threats Report, June 2014.

http://www.mcafee.com/us/resources/reports/rp-quarterly-threat-q1-2014.pdf

最明顯的例子是紅極一時的Floppy Bird（其作者在今年二月關閉此App）。Floppy Bird的成名以及普及性，成為了網路攻擊者的首要目標。惡意軟體編寫者製作了數百種與Flappy Bird相似的App（圖3），如Fly Bird、Flappy Penguin等等，並夾帶智慧型手機惡意程式（Mobile Malware）。利用用戶對此遊戲的熱情，企圖誘惑使用者下載這些應用程序，藉此達到攻擊的效果。這些App也曾是被驗證過的應用程序。從報告指出，在抽取300份相似於Floppy Bird的上架遊戲中，高達238份樣本被歸類為惡意程式，意味著有高達80%的App是有資訊安全疑慮的。

圖4: 在Google Play商店安裝Outlook.com出現請求授予權限的畫面

App選擇包羅萬象，使用者要如何判斷App的安全性呢？資安小常識這裡提供了一些方法，讓您在安裝時可以參考：

• 安裝前仔細查看請求授予權限清單，判斷是否真的需要授權（如圖4）？
• App實際發揮的功能與請求授予權限項目是否吻合？若是地圖型App，大多都需要您授權存取GPS位置，然而，大部分的遊戲都不需要您的GPS位置。
• 事先查詢開發者/開發商的資訊，先行判斷此開發者/開發商可否信任？
• 事先參考使用者的評論，判斷此應用程式的安全性及可用性。
• 注意傳輸資料的方法及存取資料的位置是否安全？可以注意是否有將較為私人的資料（例如私人訊息、密碼等等）儲存在經過加密的檔案中；傳輸時是否使用加密通訊協定（HTTPS）或是其他加強性安全的協定。

越來越多的惡意程式藉由一般標準應用程式平台提供App，藉此來竊取私人資訊、執行未經允許的動作。使用者應該在下載與安裝App之前多留意App要求的權限是否合理，並且避免安裝來源不明的App，才能為自身資訊多添一層保障！

參考資料：

1. SecurityWeek - Mobile Malware Leveraging Trusted App and Service Vulnerabilities: McAfee

http://www.securityweek.com/mobile-malware-leveraging-trusted-app-and-service-vulnerabilities-mcafee

1. McAfee Labs Threats Report (June 2014)

http://www.mcafee.com/us/resources/reports/rp-quarterly-threat-q1-2014.pdf

1. MobileActive - Are Your Apps Trustworthy? 6 Questions to Ask

http://www.mobileactive.org/Are-your-apps-trustworthy

隨著世界足球賽邁入八強，賽程逐漸升溫，然在巴西本地破億觀眾熱情吶喊支持聲中，

另一股意想不到的熱潮也在意外蔓延─網路攻擊。

在一份由世足期間以保護巴西政府的科技設備為任務的義大利虎安全公司出爐的報告指出─“破壞政府基礎設施攻擊以指數增長至每天近2000個目標“。在這些逐步擴大攻擊範圍的數據之外，據信這些駭客攻擊大多數並非從本地，而是來自印度、土耳其、歐洲、墨西哥和美國等境外地區。

自直昇機上拍攝的里約熱內盧照片。（圖片來源：維基百科）

真正的猛烈病毒攻擊在比賽正式開始的前幾天開始，以魚叉式網路釣魚攻擊外交部員工的電子郵件帳戶。該駭客活動送出超過600電子郵件給有關人員，引誘他們在駭客架設的一個假網站輸入帳號密碼。正如其名，魚叉式網路釣魚旨在以魚叉般準確攻擊特定的目標進行網路釣魚攻擊，以寄送電子郵件的方式，藉著夾帶特洛伊病毒或其他間諜病毒攻擊受害者。

接著，他們會使用竊取來的帳號密碼來進一步竊取員工的電子郵件，盜取他們所有的郵件和地址簿。然而巴西政府外交部門的發言人聲稱沒有重要的資料被人偷走，並宣布他們已經解決了這個問題。駭客針對特定部門的攻擊行為雖不清楚意圖為何，但可推斷龐大的人潮湧入對於駭客而言可說是捕獲大群魚群的好時機。從以上驚人的數據可以看出，巴西在熱鬧的世足賽事外，其政府科技基礎也在經歷強烈的網路攻擊熱潮。

在享受四年一度的運動盛宴同時，一般民眾若想避免自己個人資料外洩，可以參考以下方式。在電子信箱方面，若不確定自已登入信箱網站的真偽，建議先刻意輸入不正確的密碼，當然真的信箱入口會因密碼錯誤而被要求重新輸入，然釣魚網站則會因無法判對而自然放行，網站的真偽便可揭曉。另一方面，建議使用者在造訪網站時，仔細檢查網址的拼字正確與否，許多駭客設立的釣魚網站在網址上多架設類似真正官方網址拼字，但易混淆的網址。最後，許多需要輸入信用卡號碼等敏感資訊的網站都為https保護的，建議使用者在網址列前端確認是在https保護下才輸入個人敏感資料。

��打開電腦抑或手機慶祝地球最大的足球慶典時，也別忘了維護、注意個人資訊安全！

參考資料:

• 魚叉式釣魚網站(維基百科)   http://zh.wikipedia.org/wiki/%E9%AD%9A%E5%8F%89%E5%BC%8F%E7%B6%B2%E8%B7%AF%E9%87%A3%E9%AD%9A

• 辨識虛假電子郵件和網路釣魚騙術(Microsoft)  http://office.microsoft.com/zh-tw/outlook-help/HA001140002.aspx

• 富比士(Forbes) Brazil’s World Cup Of Cyber Attacks: From Street Fighting To Online Protest

http://www.forbes.com/sites/federicoguerrini/2014/06/17/brazils-world-cup-of-cyber-attacks-from-street-fighting-to-online-protest/?ss=Security

編者：Cho-Han Wu

圖一、 微軟資訊安全情報報告第 16 卷  (圖片來源)

Microsoft 資訊安全情報報告第 16 卷 (SIRv16) 提供了有關 Microsoft 和協力廠商軟體中的軟體漏洞、攻擊和惡意程式碼威脅的深入研究。這些研究基於 Microsoft 過去多年的詳細趨勢分析，本期分析重點在於 2013 年下半年(7 月到 12 月) 的資料。針對資安漏洞、惡意軟體分佈以及軟體弱點攻擊程式碼趨勢提供深入的分析觀點。本次資安小常識擷自該報告的主要結論，提供您對資訊安全的趨勢的深入瞭解。

本報告主要以幾個主要分類進行探討：

1. 資訊安全漏洞 (Vunerabilities)

2. 攻擊 (Exploit)

3. 惡意軟體 (Malware)

4. 電子郵件威脅 (Email threats)

5. 惡意網站 (Malicious websites)

資訊安全漏洞 (Vunerabilities)

資訊安全漏洞是軟體的缺陷，攻擊者可以利用這些缺陷威脅軟體或軟體所處理的資料的完整性、可用性或機密性。某些最嚴重的漏洞使攻擊者可以讓受損的系統在使用者不知情的情況下運行惡意程式碼，進而攻擊該系統。

2013 年下半年，整個產業的資訊安全性漏洞披露比 2013 年上半年增加 6.5%，比 2012 年下半年增加 12.6%。應用程式漏洞披露的增加是這種增長的主要來源。但總體來說，漏洞披露仍然低於 2012 年上半年的高峰水準，遠遠低於 2009 之前的水準，當時，每半年的披露總數往往達到 3,500 或更多。

攻擊 (Exploits)

攻擊是指在未徵得用戶同意且通常在使用者不知情的情況下利用軟體漏洞來感染、中斷或控制電腦的惡意程式碼。攻擊以安裝在電腦上的作業系統、Web 瀏覽器、應用程式或軟體元件中漏洞為目標。

上圖顯示 Microsoft 反惡意軟體產品在 2013 年每個季度檢測到的不同攻擊類型的流行程度（按遭遇率）。遭遇率是指運行 Microsoft 即時安全產品的電腦當中，報告遭遇惡意軟體的電腦的百分比。整體而言，2013 年下半年，整個產業的漏洞披露有所增加，但是高嚴重級別的漏洞有所下降。

攻擊系列 (Exploits Families)

• 總體來說，2013 年下半年攻擊遭遇率明顯下降。

• CVE-2012-1723，Java 運行時環境 (JRE) 中的一個漏洞，儘管與 2013 年第一季度的高峰值相比已經明顯降低，但仍是 2013 年下半年最常見的目標漏洞

• CVE-2010-2568，2013 年下半年第二常見的目標漏洞，是 Windows Shell 中的漏洞。儘管一些其他惡意軟體系列也會嘗試利用該漏洞，但通常將檢測到的攻擊識別為 Win32/CplLnk 系列中的變體。Microsoft 於 2010 年 8 月發佈了安全公告 MS10-046以解決該問題。

• Blacole是所稱的“黑洞”式攻擊套件的元件的 Microsoft 檢測名稱，該套件通過受感染的網頁傳播惡意軟體。潛在攻擊者在駭客論壇上和通過其他非法途徑購買或租用 Blacole 套件。當攻擊者將 Blacole 套件載入到惡意或遭到入侵的 Web 伺服器上時，沒有安裝相應安全更新的訪問者將面臨偷渡式下載攻擊感染的風險。2013 年第一季度的所有報告電腦中，遭遇 Blacole 的比率為 0.88%，但此後急劇下降，2013 年第三季度和 2013 年第四季度的遭遇率僅為 0.17%。

惡意軟體 (Malware)

惡意軟體感染電腦的大多數嘗試不會成功。全球四分之三連接網路的個人電腦受即時安全軟體保護，這些軟體隨時監控電腦和網路流量中的威脅，並在這些威脅感染電腦之前阻止它們（如果可能）。因此，要全面瞭解惡意軟體情況，必須考慮被阻止的感染嘗試以及被刪除的感染。

如上圖所示，與預期的一樣，惡意軟體遭遇遠比惡意軟體感染更常見。在 2013 年每個季度中，全球平均約有 21.2% 的報告電腦遭遇惡意軟體。同時，MSRT 從每 1,000 台中的約 11.7 台，或 1.17% 的電腦中刪除了惡意軟體。通過從不同觀點提供對惡意軟體如何傳播和電腦如何被感染的認識，遭遇率和感染率資訊可共同説明人們更全面地瞭解惡意軟體情況。

全球惡意軟體流行程度 (Malware Prevalence Worldwide)

為提供對全球威脅模式的認識，下圖顯示了 2013 年第四季度全球各地的感 染率和遭遇率。

安全軟體使用 (Security Software Use)

如果電腦的管理員已選擇向 Microsoft 提供資料，MSRT 的新版本將收集並報告有關電腦上的即時反惡意軟體的詳細狀態資訊。這種遙測可用於分析全球的安全軟體使用模式，並將其與感染率關聯。下圖顯示 2013 年每個季度 MSRT 發現的受或不受即時安全軟體保護的全球電腦百分比。根據其結果可得知全球四分之三的電腦持續運行即時安全軟體。

各作業系統的感染率 (Infection Rates by Operating System)

隨不同的 Windows 作業系統版本提供的功能和更新以及人們和組織使用每個版本的不同方式會影響不同版本和服務包的感染率。下圖顯示每個當前受支援的 Windows 作業系統/服務包組合的感染率 (CCM)。

由於 Win32/Rotbrow 的影響，2013 年第四季度所有受支持的 Windows 用戶端平臺的感染率均比 2013 年第三季度高出許多倍。此現象源自於去年忽然轉變成惡意程式的Rotbrow，但隨著各個安全軟體開始阻擋該惡意程式，預期2014 年的 CCM 數字將回歸正常的水準。

威脅系列 (Treat Families)

下圖顯示過去四個季度明顯提高或降低的一些系列的檢測趨勢。

• 2013 年下半年最常遭遇的四個系列 — Win32/Rotbrow、Win32/Brantall、Win32/Wysotot 和 Win32/Sefnit — 為新系列或長期休眠後重新出現的系列。

• Wysotot 是特洛伊木馬的一個系列，它會更改使用者的 Web 流覽器的起始頁。它通常由打著免費軟體或遊戲的旗號的軟體捆綁程式進行安裝。

家庭和企業威脅 (Home and Enterprise Threats)

家庭使用者和企業使用者的使用模式往往差異很大。分析這些差異可深入洞察攻擊者針對企業和家庭用戶進行攻擊的各種不同方式，以及哪些威脅更可能在每種環境中成功。

企業環境通常會採取縱深防禦措施，如企業防火牆，可防止一定數量的惡意軟體入侵使用者的電腦。因而，企業電腦的惡意軟體遭遇率往往較消費者電腦低。如上圖所示，2013 年第三季度和第四季度消費者電腦的遭遇率約為企業電腦遭遇率的 2.2 倍。

電子郵件威脅 (Email threats)

在通過 Internet 發送的電子郵件中，有超過 75% 的垃圾郵件。這種垃圾郵件不僅佔用收件人的收件箱和電子郵件提供商的資源，還會形成擴散通過電子郵件發送的惡意軟體攻擊和釣魚嘗試的環境。

垃圾郵件攔截數量 (Spam messages blocked)

Microsoft 安全情報報告此部分中的資訊源自 Exchange Online Protection 提 供的遙測資料，Exchange Online Protection 提供垃圾郵件、釣魚和惡意軟體 過濾服務。每月都有成千上萬的 Microsoft 企業客戶使用 Exchange Online Protection 來處理上百億郵件。

如上圖所示，2013 年下半年阻止的郵件量與 2013 年上半年持平，且保持遠遠低於 2010 年年底前出現的水準 。隨著一些發送垃圾郵件的大型僵屍網路被成功摧毀（比較出名的有 2010 年 8 摧毀的 Cutwail 和 2011 年 3 月摧毀的 Rustock），2010 年以來，垃圾郵件顯著減少。2013 年下半年，Exchange Online Protection 確定，大約 1/4 的電子郵件不需要阻止或過濾，而 2010 年為 1/33。

下圖為 2013 年 7 月至 10 月 Exchange Online Protection 篩選器阻止的各類別的入站郵件。

惡意網站 (Malicious Websites)

攻擊者通常利用網站來執行網路釣魚攻擊或傳播惡意軟體。惡意網站通常看似完全合法，即使經驗豐富的電腦使用者也無法從外表看出其惡意性質。

網路釣魚網站的全球分佈 (Global Distribution of Phishing Sites)

網路釣魚網站託管於全球各地的免費主機網站、遭到入侵的 Web 伺服器，以及其他許多環境中。通過對報告的釣魚網站的資料庫中的 IP 位址執行地理查詢，可以創建顯示這些網站的地理分佈的地圖並分析其模式。

• 2013 年第四季度，SmartScreen 篩選器檢測到全球每 1,000 個網路主機上有 5.5 個網路釣魚網站。

• 網路釣魚網站密度高於平均水準的位置包括烏克蘭（2013 年第四季度每 1,000 個 Internet 主機中有 14.2 個）、印尼（12.8 個）和南非（12.5 個）。網路釣魚網站密度較低的位置包括臺灣（1.4 個）、日本（1.4 個）和韓國（1.6 個）。

惡意軟體主機網站 (Malware Hosting Sites)

除網路釣魚網站以外，Internet Explorer 中的 SmartScreen 篩選器還可説明保護已知託管惡意軟體的網站。SmartScreen 篩選器使用檔和 URL 信譽資料以及 Microsoft 反惡意軟體技術來確定網站是否會散佈不安全的內容。

惡意軟體主機網站的全球分佈 (Global Distribution of Malware Hosting Sites)

• 2013 年下半年，託管惡意軟體的網站比網路釣魚網站常見得多。2013 年第四季度，SmartScreen 篩選器在全球託管的每 1,000 個網路上檢測到 18.4 個惡意軟體主機網站。

• 中國的網路釣魚網站的密度低於平均水準（2013 年第四季度每 1,000 個 Internet 主機中有 2.3 個網路釣魚網站），但惡意主機網站的密度很高（2013 年第四季度每 1,000 個主機上有 35.8 個惡意軟體主機網站）。惡意軟體主機網站密度較高的其他位置包括烏克蘭（59.2 個）、羅馬尼亞（57.8 個）和俄羅斯（41.0 個）。惡意軟體主機網站密度較低的地區包括日本（6.7 個）、紐西蘭（7.6 個）和芬蘭（8.8 個）。

偷渡式下載網站 (Drive-by download sites )

偷渡式下載網站是託管針對 Web 流覽器和流覽器附加元件中的漏洞的一種或多種攻擊的網站。如果使用易受攻擊的電腦，使用者只要訪問此類網站（即便沒有嘗試下載任何內容）就可能感染惡意軟體

本文件摘要介紹了報告的主要結論。SIR 網站還包括了對全球 100 多個國家/ 地區的趨勢的深入分析，並且提供了一些建議，説明管理您的組織、軟體和 人員面臨的風險。 您可以從此網址下載 SIRv16。

參考資料

• Microsoft 資訊安全情報報告第 16 卷重點摘要
  http://download.microsoft.com/download/F/E/D/FEDF2A3B-B9D9-4B31-8EC3-712E3E4BD475/Microsoft_Security_Intelligence_Report_Volume_16_Key_Findings_Summary_Chinese Simplified.pdf

編者：Cho-Han Wu

根據 Microsoft 資訊安全摘要報告 2963983 指出， Internet Explorer 的資訊安全風險可能會允許攻擊者遠端執行程式碼。 而且此資訊安全風險將包含 Internet Explorer 的所有版本 ( Internet Explorer 6、Internet Explorer 7、Internet Explorer 8、Internet Explorer 9、Internet Explorer 10 及 Internet Explorer 11)

微軟已於 5/1 發行了資訊安全更新 MS14-021 針對此項安全風險進行修正。本文章提供您兩種更新的方法來更新您的 IE ，建議您盡快下載更新，遠離風險。

第一種方法為使用 Windows 自動更新

1. 開啟「控制台」

2. 點選「 Windows Update 更新」

3. 查看更新項目

4. 勾選「Security Update For Internet Explorer」

5. 點選「安裝」

6. 點選「重新啟動」，完成更新

第二種方法為手動下載更新

請選擇您作業系統對應的更新套件並下載安裝即可。

[1] 此更新可於 Windows Update 下載
[2] 當您的系統已安裝過 2961851 更新，請下載此檔案。
[3] 當您的系統已安裝過 2919355 更新，請下載此檔案。

編者：Cho-Han Wu

圖一、Window XP 即將在 2014年4月8日終止支援  (圖片來源)

Windows XP 是微軟從2001 年就發行的作業系統，至今已經超過十個年頭了。微軟相當了解該產品的生命週期，也了解升級需要花上一段時間，所以提前在 2007年就宣布Windows XP 將在 2014年的四月八日終止支援。目前大部分的企業都已經將系統升級了，但是仍有部分客戶尚未升級。但由於使用過期的 Windows 版本可能會危害系統的安全，故本次資安小常識將介紹持續使用 Windows XP 可能造成的資安風險，並提供您最新版 Windows 8.1 所具備的資安特色以及升級指南。

Windows XP 的資安風險

根據微軟資訊安全情報報告書的內容，持續使用 Windows XP 會有以下幾點風險：

一、 瀏覽網頁 (Surfing the Internet)

在停止更新之後，新的 Windows XP入侵套件可能會在駭客之間被販賣和流通，進而被駭客所利用。而缺乏官方更新的Windows XP 會讓使用者在瀏覽網路時暴露在風險之中。

二、 開啟Email 和使用即時訊息 (Opening Email and Using Instant Messaging, IM)

許多的攻擊者會透過Email 來發送含有非法網址的 釣魚郵件，或是利用即時訊息來發送詐騙的網址。不小心下載到這些網址所夾帶的附件，可能會讓您的系統更加脆弱，讓攻擊者有機會控制您的系統。而這些情形將在支援終止更加嚴重。

三、 使用行動硬碟 (Using Removable Drives)

攻擊者會透過 USB 和其他種類的隨身硬碟來散佈惡意程式，並把Windows XP 所暴露的漏洞極大化來攻擊系統。

四、 最新發現的資安漏洞將會攻擊 Windows XP (Worms Will Use Any Newly Discovered Vulnerabilities to Attack Windows XP)

惡意軟體的傳播者將會整合 Windows XP 新公布的安全性弱點來攻擊Windows XP 的使用者。這些衝擊在那些尚未使用防火牆和 強式密碼 的企業當中，且在缺乏Windows 支援的情況下會更加危險。

五、 勒索惡意軟體 (Ransomware)

勒索惡意軟體是攻擊者將使用者的某些檔案惡意加密或是將其桌面鎖住，使用者必須要支付一筆贖金後才會被解開。這類的攻擊很有可能會癱瘓中小企業的營運，而當支援結束時，缺乏更新的Windows 也會讓這種情形更加嚴重。

Windows 8.1 的資安特色

在行動裝置的使用逐漸頻繁的情況下，公司採用 員工可攜自有設備上班 (BYOD) 的策略已經是不能抵擋的趨勢了。為了要管理公司內的各種行動裝置，微軟也透過了 Windows 8.1 和 Windows Server 2012 R2 的搭配，開發了專屬的管控方案。而導入行動裝置設計理念的 Windows 8.1 也同樣地將此概念加入至它的資安策略中，以下五點為Windows 8.1 主要的資安特色：

一、 遠端移除商業資料 (Remote Business Data Removal)

Windows 8.1 允許管理者從使用者的Windows 8.1 裝置上刪除公司的部分機敏性資料。

二、 加入工作地點 (Workplace Join)

在 BYOD 當道的情況下，公司員工或訪客只需將個人隨身攜帶的行動裝置加入企業架設的工作地點服務後，即可使用這種簡單、安全的方式，快速存取企業內部網路上的資源和服務，以提升工作效率。

三、 指定存取 (Assigned Access)

Windows 8.1 的指定存取功能可以針對某個使用者客製該使用者的使用權限，譬如說某應用程式的存取等等。

四、 提供生物辨識的加解密功能 (Biometric Folder and Authentication Security)

有了這項功能，使用者不只可以利用指紋來解鎖裝置，同時Windows 8.1 也讓您針對某些資料夾用指紋來進行加解密。

五、 Windows 8.1 裝置加密 (Windows 8.1 Device Encryption)

BitLocker 是簡易使用且相當安全的Windows 加密機制，從 Windows 8.1 開始，Windows將登入的使用者帳號自動加密。並也開放其他所有版本的Windows 都使用 BitLocker。

您可以參考 Windows 8.1 的升級指南 來將您的作業系統升級，建議您現在就使用最新版本的 Windows 吧！

參考資料

• Windows XP 即將受到的網路威脅以及中小企業和客戶的升級指南 (英文)
  http://blogs.technet.com/b/security/archive/2014/03/24/cyber-threats-to-windows-xp-and-guidance-for-small-businesses-and-individual-consumers.aspx

• Windows 8.1 的資安五大特色 (英文)
  http://searchenterprisedesktop.techtarget.com/tip/Top-five-Windows-8-security-features-new-to-Windows-81

• [資安小常識] 微軟資訊安全情報報告第15卷內容摘要
  http://blogs.technet.com/b/twsecurity/archive/2013/11/12/microsoft-15.aspx

• 微軟伺服器平台搶攻 BYOD 應用
  http://www.ithome.com.tw/node/83094