資安趨勢部落格 – 第 858 頁 – 手機病毒/電腦病毒防禦密技,不只守護網路安全,還提供各種實用3C實用小秘訣,由資安/防毒軟體領導品牌趨勢科技 Trend Micro 每日更新

如何更安全地使用PDF檔案

2013 年 02 月 19 日2013 年 02 月 21 日 Trend Labs 趨勢科技全球技術支援與研發中心

Adobe Reader最近出現新的零時差漏洞攻擊，不禁會讓人想知道，是否有更安全的方式來使用PDF檔案。答案是肯定的：你可以在使用PDF檔案時降低它的風險。以下是建議的作法:

保持PDF閱讀器在最新版本,使用內建的自動更新功能或直接從廠商網站下載。

首先是每次都必須重複強調的，保持PDF閱讀器在最新版本。許多受歡迎的PDF閱讀器都內建某種形式的自動更新功能，讓你更容易做到這一點。要小心從不知名網站下載來的「更新」，因為常常會出現惡意的版本。使用內建的自動更新功能或直接從廠商網站下載。

這裡先不提那些老生常談的建議，像是不要打開可疑檔案或網站等。現在讓我們假設攻擊已經出現，透過那些看似正常而無法輕易分辨的手法，像是黑洞垃圾郵件攻擊。

你可能會以很多種方式接觸到惡意PDF檔案，但大致來說，可以歸類為在瀏覽器內或不是兩種。瀏覽器內的攻擊是PDF檔案會在瀏覽器中打開，透過外掛程式或瀏覽器本身的功能。漏洞攻擊包就是個讓使用者經由瀏覽器接觸到PDF檔案的例子。

另外一種則是相反地，在瀏覽器以外的攻擊：檔案經由郵件程式或瀏覽器儲存到電腦上，然後用PDF閱讀器打開它。

在瀏覽器內的攻擊，你可以做的就是盡量不要使用外掛程式來開啟PDF檔案。Google Chrome和Mozilla Firefox都可以使用整合的PDF閱讀器而無需依賴於外部應用程式。（Chrome瀏覽器是內建的功能，Firefox則需要下載一個外掛程式）。想要使用這功能，可能需要先關閉PDF閱讀器所安裝到瀏覽器的外掛程式，不同瀏覽器可能有不同的作法。

至於瀏覽器以外的攻擊，經由PDF閱讀器去開啟PDF檔案。一個常見的建議是避免使用Adobe Reader，但這並不是萬靈丹。第三方閱讀器也不能倖免於漏洞攻擊。使用不同的PDF閱讀器只是治標而不治本的作法，並沒有真正提供太多保護。繼續閱讀

從青少年一天的作息,看廣告商如何蒐集孩子們的網路隱私

2013 年 02 月 18 日2013 年 02 月 18 日趨勢科技 TrendMicro

從青少年一天的數位生活作息,看廣告商如何蒐集孩子們的網路隱私 孩子們所貼出的資訊，甚至那些沒有貼出的資訊，像是他們在哪點入、他們喜歡什麼和他們搜尋的東西，對於想賣他們東西的企業來說都是非常有價值的資料。孩子們很容易被操弄，大多數都沒有意識到廣告商在追踪他們，或是他們的資訊會被用來向他們發送精準的廣告。

作者：Anne Livingston和Lynette Owens

孩子們花很多時間上網。他們在網路上找功課答案、一起合作學校專案、分享事物、玩遊戲和看影片。在網路上時，他們可能會覺得自己只跟家人和朋友分享，但許多企業也正在看著。網站和廣告網路透過追蹤工具來記錄孩子和大人們在網路上做些什麼。

華爾街日報發現廣告商收集這些資訊來建立消費者檔案。這些檔案並不包括真實姓名，但幾乎包括其它所有的一切：年齡、口味、愛好、購物習慣、種族、興趣和位置。孩子們所貼出的資訊，甚至那些沒有貼出的資訊，像是他們在哪點入、他們喜歡什麼和他們搜尋的東西，對於想賣他們東西的企業來說都是非常有價值的資料。

Pew研究中心發現，有81％的家長對於廣告商從他們的孩子身上收集多少資訊感到憂心。孩子們很容易被操弄，大多數都沒有意識到廣告商在追踪他們，或是他們的資訊會被用來向他們發送精準的廣告。這些廣告並不只是出現在螢幕上的橫幅。企業們正在開發互動式的廣告，讓孩子們的個人資訊成為廣告的一部分。

一個青少年的數位生活

想了解資料是如何被生成和利用，讓我們來看看一個典型青少年的一天：她在網路上作了什麼，企業們如何追蹤她的活動，以及他們如何使用這資訊以對她行銷：

起床了。檢查社群網路帳號。

在網路上所收集到最個人的資料是孩子自己所輸入的。當他們加入一個網路服務，他們會提供自己的電子郵件、姓名和其他個人資料。在這些服務裡，企業們可能會要求他們填寫問卷調查或是參加問答以收集更多的資訊。

快一點，找找地理作業的答案

當孩子們瀏覽網站，企業們會將稱為Cookie的小文件檔放在他們的電腦上。追蹤公司、資料中介商和廣告網路利用這些Cookie來收集他們在網上做什麼的資訊。柏克萊大學所做關於網站隱私普查的一項研究發現，最受歡迎的網站們平均會放50個第三方Cookie，有一個放了234個。華爾街日報還發現，兒童喜歡的網站會比大人上的網站放更多資料收集技術到電腦上。

寫封電子郵件給老師。

Google會掃描經由他們免費電子郵件服務Gmail所發送的電子郵件內容。他們這樣做的原因，有部分是為了提供垃圾郵件過濾和病毒偵測。他們還會搜尋電子郵件內的關鍵字，以期找出更多個人興趣，並將之加到網路個人檔案。他們現在可以在他們的Gmail服務裡，根據你所輸入或搜尋的事物來提供橫幅廣告。

送祝賀訊息給Facebook好友。

對Facebook訊息來說也是一樣。當孩子們發送訊息給Facebook上的朋友，Facebook會自動掃描他們的訊息來偵測病毒和關鍵字。當孩子們在訊息裡提到某個品牌或公司，就可以出現在他們Facebook的「喜好」上。

坐車上學，用智慧型手機上網。 針對性的廣告也出現在行動裝置上。當孩子們用他們的手機找東西時，資料像是他們的實體位置可以被自動的收集。廣告網路可以知道他們在哪裡，提供他們附近商店的廣告。

找到新的應用程序，並下載到自己的行動設備 行動應用程式會收集各種資料。有些應用程式會收集像是位置、電話號碼和聯絡人等資料。FTC審查了受兒童歡迎的兩百多個遊戲和應用程式，發現許多應用程式會將資料賣給不同的廣告網路。比方說，憤怒鳥應用程式會將資料分享給四家針對行動廣告的公司，兩家行動廣告網路，一家應用程式分析網站和一家廣告最佳化及回報公司。 晚餐後，登入Facebook和逛網頁。 當登錄到Facebook，Facebook會記錄使用者所瀏覽的每一個可以讓人按「讚」的網頁，不管他們有沒有真的按「讚」下去（許多網站都有這樣的功能）。

發送些推文。 Twitter會收集使用者所關注和轉發的資訊。Twitter利用這些資訊來找出使用者的個人興趣，並讓廣告商可以根據這些個人興趣來發送廣告給Twitter使用者。繼續閱讀

< APT 目標攻擊 >美國能源部成為受害者:14台伺服器和20台工作站入侵,數百名員工的個人資料被讀取

2013 年 02 月 06 日2013 年 02 月 06 日趨勢科技 TrendMicro

作者：Rik Ferguson

圖片來自Flickr上的IndigoValley

經過上週所發生針對「紐約時報」、「華爾街日報」和「華盛頓郵報」的攻擊之後。另一個令人震驚的新受害者出現了 – 「美國能源部」，負責美國核武軍火庫的美國國家核能安全管理局所屬的單位，也成為了被入侵的受害者。

根據美國華盛頓自由燈塔（Free Beacon）的一份報告，官員已經證實有十四台伺服器和廿台工作站在攻擊中被入侵。

在目前這早期階段，還沒有太多攻擊細節被官方所釋出，並沒有辦法去做出什麼結論，但就我們所知道的部分已經令人感到非常擔憂了。華盛頓自由燈塔（Free Beacon）的報告指出：「他們認為這起複雜的滲透攻擊並不只是竊取個人資料。有跡象顯示，攻擊者帶有其他目的，可能包括計劃進一步去存取機密和其他敏感資料。」這說明在這起攻擊中沒有機密資料被存取。已經被證實的是有數百名員工的個人資料被讀取。

APT攻擊/目標攻擊特質:用多次行動組成攻擊活動

如果這次攻擊的意圖和間諜活動有關，這也是目前最有可能的原因，那攻擊者是不大可能因為一次失敗就放棄的。現代攻擊的特質就是會用多次行動組成攻擊活動，而不會是單獨的攻擊。即使沒有機密資料被存取（而這是「仍在調查中」，我懷疑這結論為何可以如此肯定），已經確認被讀取過的資料還是非常的寶貴，可以用來建立未來的目標攻擊，去針對那些能源部和國家核能安全管理局等知名目標的員工。

許多國家都一直投資最先進的技術用作國際間諜目的，而且還會繼續下去，這應該並不奇怪。所以政府和企業也應該為自己的員工和國民公民利用類似的尖端科技去加密敏感資料，以及監控重要網路以即時掌握可疑的行為。攻擊一個如此高風險的組織不會只是次簡單的行動而已。

衡量傳統防毒技術的有效性:能否偵測客製化目標攻擊?

當熱門媒體在提到有關入侵的故事時，都放大了安裝在受害者組織上的防毒解決方案並沒有找出攻擊者所使用的惡意檔案。而這也是問題之一，當組織遇到先進的目標攻擊時，還繼續依賴著單一層面的安全防護，往往是設計用來解決完全不同的問題。繼續閱讀

小心保護線上隱私

2013 年 02 月 05 日2014 年 06 月 17 日 Trend Labs 趨勢科技全球技術支援與研發中心

越來越多人會在網路上處理各種個人事務（像是網路購物和使用網路銀行）。你一定會想知道，到底有多少你的資訊可以在網路上被看到。網路跟我們的日常生活已經結合的如此緊密，網路犯罪份子也會用更新、更有創意的方式來打破我們在網路上的隱私。

一切都跟廣告有關

因為網際網路用途的大量增加，也讓網路公司很有興趣去追蹤大家都在網路上做些什麼。好讓這些公司可以據此來行銷產品和服務，多數人也都可以在社群網站、新聞部落格、線上娛樂頻道看到。事實上，網路廣告已經是大多數網站的金錢來源。

在2010年，Google披露了他們96%的收入來自廣告（放在自身網站或使用其廣告業務的網站上）。而社群網路巨頭Facebook的全球廣告收入也預估會在2011年上升104%，來到38億美元。

因為一些廣告服務供應商（像是Google AdSense和Yahoo! Advertising Solutions）都提供客製化廣告的服務，你應該會發現服務供應商和廣告商是可以追踪你的線上活動的。廣告商會想辦法去收集資訊，比方說從你去過的網站和你填寫的線上個人資料中得知。

客製化廣告：仙丹還是毒藥？

大部分網站的廣告需求都是經由第三方廣告網路來管理。線上廣告或是廣告網路是中介廣告商和希望提供廣告的網站所有者間的橋樑，廣告網路使用集中伺服器去提供對的廣告給對的網站訪客，也會在網路上監看著使用者的活動。

廣告網路還可以讓第三方公司透過使用者的網頁瀏覽記錄來觀察他們的線上活動，進而了解他們的喜好。雖然對某些人來說，將使用者與可能引起他們興趣的網路廣告做配對不是什麼問題，但也有些人覺得這是種對隱私的侵犯。對多數賣家來說是很方便跟有用，但對於他們所監看的人來說卻是在侵犯隱私。

要在瀏覽網頁時保護個人隱私，牢記下面的秘訣：

定期刪除Cookie：Cookies存放了網站相關資訊，所以有可能被網路犯罪分子所竊取利用。刪除Cookie有一個缺點，就是每當你再次訪問網站時，都會要求你重新輸入帳號名稱和密碼。

使用隱私瀏覽：瀏覽器提供這種特殊模式好讓你的網路活動得以保密，不被窺探。選擇隱私瀏覽會使用新的瀏覽器視窗，並且會在你關閉視窗時刪除所有的歷史記錄和cookie。但是要注意的是，如果你的視窗還是開著，並不保證可以保持匿名，會讓廣告商仍然可以追踪到你。

使用網路廣告促進會（NAI）的選擇退出（Opt-out）工具。這個工具讓你可以選擇退出客製化廣告的目標。身為促進網路廣告自我節制的組織，網路廣告促進會（Network Advertising Initiative，NAI）讓你可以選擇不接受其成員公司的廣告行銷。因此，你可以不再被這些會量身打造廣告，但被你所封鎖的廣告公司所打擾。

過度分享的陷阱

當廣告網路需要根據你的網站偏好和使用模式來猜測你會感興趣的內容時，社群媒體已經擁有了所有的資訊，他們只需要你自己不停的提供給他們。感謝社群媒體整合了多個網站，社群網站可以很簡單的找到你的好惡。

也因此，社群媒體「採礦」快速地成為業界的標準做法，尤其是對那些保險和人力資源（HR）公司來說。比方說，他們會監看社群媒體好找到可能的詐騙案子，特別是根據報導，這些詐騙案每年會讓保險業損失大約三千萬美元。

被貼到社群網站的內容，現在也會被拿來在法庭聽證會上作為證據。像是在離婚過程中，會利用上傳到Facebook的照片來證明丈夫的不忠。

重新定義「隱私」

大部分得歸功給今天的年輕人，在網路上保持使用者資料機密已經結束了。新一代的年輕社群媒體玩家對於保護和分享資訊有著不同的態度，他們樂意對各方提供個人資料。在短短幾年之內，具有隱私意識的人將成為少數。而這將是廣告業者，或者更糟的是 – 攻擊者的美好未來。

要將米蘭達宣告（Miranda Rights）的內容銘記在心 – 「你所說的一切，都可能成為對你不利的證據」，這代表你在網路上發表任何事情前都要先三思。避免分享太多，尤其是當你還不清楚如何設好你在社群網站上的隱私設定。想知道更多小技巧，來參考Facebook隱私設定：

Facebook 隱私設定-1(應用程式和廣告設定)

Facebook隱私設定-2(標籤,打卡與個人檔案能見度)

Facebook隱私設定-3(不是朋友也能”訂閱”及五個例外規則)

一個應用程式值得冒險嗎？

當越來越多使用者下載應用程式到他們的行動設備上時，安全和隱私也變成了更為嚴重的問題。智慧型手機已經成為駭客愛好的惡意軟體平台。