臉部辨識裝置爆資安漏洞

為了進一步了解臉部辨識裝置的資安問題,趨勢科技分析了四款不同裝置,結果發現這些裝置都有可能遭駭客用於不法用途。

生物辨識保全設備,如指紋掃描機、虹膜掃描機、臉部辨識攝影機等等,已廣泛應用於各種場所的出入管制。但這些生物辨識驗證設備通常需仰賴大量的電腦運算,例如,傳統臉部辨識保安設備會透過外部服務來進行電腦運算,以辨識使用者。安裝在現場的攝影機只負責擷取影像,然後將影像傳送至雲端服務來進行運算。當部署在大規模環境時,使用者的身分驗證過程就可能發生延遲,此外,當有大量的影像資料必須傳送到驗證中心時,網路頻寬的消耗也會是個問題。 

為了解決這些問題,保全業者開始在臉部辨識門禁裝置中導入邊緣運算能力。在此一架構下,裝置本身就是一個邊緣運算節點,具備完整的運算能力直接可以對使用者的影像進行驗證。這些具備邊緣運算能力的裝置只有在一些協調和維護工作時才會需要用到外部服務。 

這樣的架構既可降低延遲,又不必占用網路頻寬,因為不需在網路上傳輸使用者的影像。然而,讓這些低功耗的「非智慧」裝置具備更強大的運算能力並承擔更多的認證責任,卻可能引起資安上的疑慮。

為了進一步深入了解臉部辨識裝置的資安問題,趨勢科技分析了四款不同裝置的安全性:ZKTeco FaceDepot-7B、Hikvision DS-K1T606MF、Telpo TPS980 與 Megvii Koala。

實驗環境 


這些裝置與後端伺服器 (若有的話) 都安裝在一個隔離的測試網路內。我們將模擬這些裝置在一般企業環境內的正常運作方式。如圖 1 所示,此環境包含三大元素: 

  • 門禁裝置:也就是我們實驗測試的對象。 
  • 中間人 (MitM) 裝置:此裝置用來擷取門禁裝置與後端伺服器之間的網路封包。 
  • 管理伺服器:門禁裝置在出廠時通常會搭配一套伺服器軟體,伺服器軟體就安裝在這台管理伺服器上。
A diagram of the setup we used to evaluate the security of the access control devices
圖 1:用來驗證門禁裝置安全性的測試環境。
繼續閱讀

勒索病毒捐贓款給慈善機構~電腦病毒史上的八個怪咖:逼打電玩、裝萌賣可愛、找名人代言、綁架檔案不要錢….

1988 年趨勢科技成立之初,你知道當年出現的病毒,是靠 5.25 英吋的磁碟片傳播的嗎?2018年趨勢科技成立滿 30 年,我們一同回顧 30年病毒演變史。本篇為大家介紹病毒史上的八個怪咖。
最新的一隻是專挑金融/國防產業勒索的 Darkside,近日在暗網公布兩張捐款收據,但旋即遭一家兒童機構拒收。

 

怪咖一:不忍殺生?這隻病毒請你自我刪除檔案?
怪咖二:他用防毒軟體,但為了__寧可中毒
怪咖三:不要錢的三隻勒索病毒
怪咖四:不加密檔案但裝萌討比特幣的勒索病毒
怪咖五:不屑邊緣人的勒索病毒
怪咖六:不給「代言」費的名人病毒
怪咖七:武漢肺炎期間,不攻擊醫療單位的勒索病毒 (2020/3/19 更新)
怪咖八:勒索病毒集團把部分贓款捐給慈善機構(2020/10/21更新) 

怪咖一:就是想中毒的防毒軟體用戶

【離奇客訴~】就算中毒 也要看庫妮可娃的真面目!?

當年紅極一時的安娜庫妮可娃 (Anna Kournikova) 病毒 在2001年 2月11 日發病,趨勢科技曾接獲使用者因電腦遭該病毒感染而打來客訴的電話。該名使用者非常生氣,但並不是因為中毒而生氣,而是我們的PC-cillin 防毒軟體移除了病毒,讓他頗為不悅。因為他還是很想看到庫妮可娃的照片。很顯然地,感染的問題已經是其次,客戶生氣的原因是因為最後沒有看到想看的照片。以下是該病毒的電子郵件訊息:

Subject line: “Here you have, :o)”
Message text: “Hi: Check this!”
Attachment: “AnnaKournikova.jpg.vbs”.

這就是社交工程 ( Social Engineering )陷阱活生生的案例! 2008 年一封以安潔莉娜裘莉為名標題為:「安潔莉娜裘莉的裸體影片」(「Angelina Jolie nude movie」)郵件,也因為一直有人在 Google 上搜尋安潔莉娜裘莉的照片和影片,進而使得趨勢科技有關該文章相關報導創下史上點閱率最高的文章。
Angelina

怪咖二:專找名人代言但不給代言費的病毒

繼續閱讀

《BEC詐騙》冒充稅務單位, 鎖定73 家不同產業法國公司

網路的高度匿名以及通常隱密的性質導致有更多針對個人或組織金錢的詐騙活動擴散。趨勢科技一直以來都在追踪這些詐騙活動,並且看到許多從簡單詐騙演變成更為複雜的攻擊活動。而如今最危險的詐騙活動之一就是企業電子郵件入侵(變臉詐騙攻擊或稱為商務電子郵件入侵,簡稱 BEC)),在2019年造成企業總合達17億美元的損失

趨勢科技發表過許多跟BEC詐騙有關的文章。但在本文中,我們介紹一種新的BEC詐騙手法,主要針對法國多家不同產業發動攻擊。

圖1. 顯示BEC詐騙如何進行的圖表

註冊冒用公司相似網域,並冒用員工身分, 要求更換銀行帳號


在調查各種BEC詐騙攻擊時,趨勢科技發現了一起獨立事件是駭客冒用法國一家金屬加工公司的身份,這家公司提供服務給許多不同的公司。

繼續閱讀

《勒索病毒》專挑金融國防產業,偷極敏感資訊的Ryuk,為何總能取得巨額贖金?

有別於其他勒索病毒集團「亂槍打鳥」的方式,Ryuk 勒索病毒集團會鎖定特定目標,並索取較高的贖金。由於 Ryuk 犯罪集團的目標通常是一些 極為敏感的資訊,並且專門鎖定金融和國防之類的產業,因此受害機構通常會在不得已的情況下支付一筆巨額贖金。

隨著資安情勢的發展,今日的威脅經常會同時衝擊企業營運基礎架構的多重層面。為了偵測及回應像這樣的攻擊,企業通常會採用各種專為個別層面而非整體系統而設計的資安工具。

有些企業會導入資安事件管理 (SIEM) 平台來協助他們彙整每天遭遇到的各種威脅。這樣的作法雖然有效,但 SIEM 系統的價格和營運成本卻很高。此外,企業還得靠資安營運中心 (SOC) 來過濾大量的資料以進行交叉關聯分析。至於一些其他的資安解決方案,雖然各個都具備強大的偵測及回應能力,但卻缺乏完整的監測資料來看到威脅的全貌。

為了讓大家了解今日 SOC 所面臨的威脅,以及他們需要什麼樣的資安解決方案好應付這類威脅,以下此提供一個真實案例來說明。

繼續閱讀

《資安漫畫》監視器竟變成直播鏡頭?超過5萬個被駭攝影鏡頭,私生活畫面全都露

日前有報導指出新加坡爆發一起嚴重的家用網路攝影機被偷拍並拿到網路上販售的資安事件,受害民眾在家中更衣、出浴,甚至房事全都遭到側錄。
這些大量偷拍影片中,除了新加坡外,還有疑似來自南韓、泰國和歐美等地的照片或短片報導指出估計駭客早自2018年就開始入侵不同家庭的攝影鏡頭。

民眾要如何避免智慧家電被惡意操控? 有一個基本動作一定要做。

如何避免智慧家電被惡意操控?


有家網站 收集了超過 73,000 支攝影機的錄影畫面 。這並不是高深的駭客所為,而是這些被偷窺者從頭到尾都沒有更改攝影機出廠時的初始密碼。

相關報導:
駭到你家!73,000 支監視器遭「合法」偷窺,台灣 155 部影片無料觀賞


研究人員 Mike Olsen 提出警告,Amazon 上販賣的某些產品暗藏了惡意程式。根據 Olsen 的說法,他在調校一批向朋友購買的戶外型監視攝影機時發現攝影機暗藏了惡意程式。而販售的廠商 Urban Security Group (USG) 在網路上的評價大致良好,而且還針對了某款 Sony 攝影機提供特惠組合方案。

繼續閱讀