讓13 歲以下孩子們用Facebook是件壞事嗎?

作者:趨勢科技Lynette Owens

有篇華爾街日報文章再次激起Facebook讓13歲以下孩童使用該網站的討論。臉書創辦人Mark Zuckerberg曾經在被問到時公開說明過一次。

讓我覺得奇怪的是,當Facebook的股票持續下跌時,這種文章又出現了。這種不辨真假的流言不知道要傳到什麼時候才會消失,或許要直到Facebook真的要開放給那些13歲以下孩童為止。因為Facebook可能真的需要更多使用者來支撐他們的股價。

爸爸小孩各自玩電腦
爸爸小孩各自玩電腦

但除了這篇文章發出的時機可疑之外,我也在想為什麼一個被國家法律強制規定的年齡限制,會被全球九億Facebook使用者中的少數所破壞,同時也有部份人覺得很緊張。

讓我們從底下的事實開始:

直到目前為止,Facebook還是沒有改變。他們仍然不容許13歲以下的任何人使用。

  • 沒有任何法律禁止他們讓13歲以下的人使用。在美國,兒童網路隱私保護法(COPPA)只要求如果有13歲以下的人使用你的網站,你需要收集、保護並驗證某些特定資訊。有很多事情要做(在趨勢科技的我們很了解這些要求,所以我們並不允許未滿13歲的人參加我們一年一度的線上影片競賽 – 你的故事)。但如果你選擇去做到這些要求,那就並不違法。
  • 有數以百萬的13歲以下孩童使用Facebook。而且他們的父母也允許,就像是常被引用的Consumer Reports Study內所指出的一樣(報告結果僅包含美國)。
  • 目前已經有許多社群媒體網站允許13歲以下孩童使用。當然,他們是為孩子所設計,但就跟其他網站一樣,在網路上沒有辦法真正確認人的年齡,在Club Penguin裡還是可能會有五十歲的變態裝成十二歲的小孩。而在線上遊戲社群(像Xbox Live)的狀況也是一樣,當你在上面跟陌生人對戰時,並無法確認對方的身分。

當我跟家長們談時,許多人告訴我他們允許自己未滿13歲的小孩使用Facebook。他們的理由從「我的兒子很乖」到「這可以幫她保持與家人聯繫」都有。無論理由是什麼,這些家長認為最終決定權是在於他們自己。他們都信任並陪同他們的小孩來使用新的科技。

但有些家長則對他們小孩的想法跟使用的新科技感到恐慌。13歲的年齡限制讓他們有理由去禁止小孩使用Facebook一段時間。這些父母自己通常並不是重度的社群媒體使用者,因此他們擔心陌生的事物是可以理解的。

這兩種觀點都很重要。也是為什麼教育會是關鍵因素。

但想深一層,我想這種恐慌也是因為將某些社會弊病歸咎於新科技的產生,比如具有威脅的陌生人、霸凌事件或是對孩子的積極行銷行為。但這些事情早在社群媒體之前就已經存在了。像Facebook這樣的地方,可能會有各種人的出現,也讓這些問題有機會出現。他們不會因為Facebook而產生、被處理或消除的。

如果你想要挑戰Facebook的年齡限制,你應該要提到整個科技產業。沒有其他地方有這樣的年齡限制,像是手機、iPod Touch或是電子書。它們都能連接網路,而且有許多小孩使用它們。為什麼就沒人感到恐慌?

而且誰能決定什麼年齡合適?或有什麼方法可以讓孩子真正在線上保持安全?

建議:

與其浪費時間和精力來恐慌,這裡有些建設性的作法:

 

  • 給父母一點信任和空間。
    • 他們是將新科技帶給孩子的第一線,所以請讓我們提供他們做決定所需的資訊,讓他們可以陪著孩子使用並在旁注意著。
    • 將年齡限制放在心上。
      • 雖然像美國電影協會(MPAA)和娛樂軟體分級委員會(ESRB)等團體會對電影或電動提出年齡分級,家長們還是會對這媒體適不適合自己的小孩做出最終決定。社群媒體也該如此。就好像什麼時候可以開始約會、化妝或是從學校走回家一樣。
      • 目前Facebook上還是有年齡限制,讓我們尊重這規定。
        • 我們並不會說想要Facebook帳號的孩子就去申請一個吧。因為現在還是有使用條款和社會規則在,我們應該鼓勵孩子遵守規定。如果你希望孩子今天就可以使用社群媒體,還是有其他選擇,像YourSphereClub PenguinFamily iBoardKidzVuzMoshi Monsters等。的希望自己的孩子可以開始使用社群媒體的家長,可以花幾分鐘研究這些網站,讓他們有個好的開始。

 

今天的Google可以讓我給女兒(13歲以下)有個用自己名字當寄件者的Gmail帳號,但是在我的帳號下建立並被管理著。我可以看到一切進入她信箱的東西。她並沒有收到太多信件(我的小孩有太多其他事情好忙了,不會花那麼多時間在網路上)。

如果Facebook也可以建立一個類似的環境,這就讓家長不需要去教他們的小孩說謊(或替他們說謊),可以讓家長帶領著小孩上手,一路陪伴著並教導他們,直到他們可以獨立自主為止。

這是我們自己的信念以及在數位文化和線上安全教育相關工作方面重要的基本前提。現在並不是擔心父母做太多的時候。(身為家長,我覺得自己做得很好,謝謝)。現在該做的是給予他們權力、幫助他們、告知他們。這樣他們可以做出對的決定去養育出健康、快樂、成功的小孩,包括幫他們精通數位科技。

一些關於安全使用社群網路的資源:

部落格:幫助兒童安全、負責任地使用社群網路

部落格:安全的建立、分享影片和視訊聊天

建議:社群網路的安全小秘訣

建議:給父母的Facebook指南 – 來自Connectsafely.org

產品:Trend Micro Online Guardian – 可以幫你讓小孩安全使用社群網路,讓你可以監控和指引他們,讓他們可以聰明的使用社群網路。

建議:建立Gmail別名,讓你的小孩可以在你的帳號底下擁有一個電子郵件地址

想知道更多關於數位文化和線上安全的資訊,在Twitter上關注Lynette @lynettetowens

@原文出處:Facebook for Kids: Is it That Alarming?

@延伸閱讀

·

 


【立即下載試用PC-clin 2012 雲端版 臉書地雷區 bye bye~

 

◎ 免費下載防毒軟體:歡迎即刻免費下載試用NSSLABS 最新防毒軟體測試第一名的防毒軟體PC-cillin 2012 即刻按這裡下載

 

@參考推文
雲端系!史上最強防毒軟體現身
看更多<PC-cillin真的不一樣>100字推文

◎ 歡迎加入趨勢科技社群網站
    

 

 

 

來自墨西哥、豬肉和雲端的陰謀 – 資料外洩防護和國土安全部

作者:作者:趨勢科技雲端安全副總裁Dave Asprey

趨勢科技雲端安全副總裁Dave Asprey

 

Mark Lemley,一個朋友同時也是史丹佛的法律教授,他有一篇很棒的部落格文章。

 

美國國土安全部最近因為情報自由法的訴訟而被迫公布用來監視社群網路和網路媒體以找出恐怖主義跡象或其他對美威脅的單字列表。

 

可笑的是,威脅單字包括了「pork(豬肉)」、「team(團隊)」、「Mexico(墨西哥)」,還有 – 你猜對了,cloud(雲端)。因為我 cloudywords.com 的工作緣故,我在雲端運算百大部落客榜上有名,所以我敢肯定我已經在政府的監視名單內了(嗨!各位)。還不提我曾經寫過 跟培根相關的內容,那也是種豬肉產品。

 

這個單字列表包含在國土安全部2011年分析師桌上手冊內,好讓全國營運中心內盡責的員工可以去「確認對國土安全部和反應活動不利的新聞報導。」

 

雖然遭受質疑,美國國土安全部堅持這樣的做法是好的,他們永遠不會找尋詆毀政府或一般的異議言論,因為他們只針對「潛在的威脅」。你知道的,就像是豬肉的威脅。一位國土安全部官員告訴赫芬頓郵報說,這份名單「是個起點,而不是終點」可以對人為威脅或自然災害保持警覺。

 

有趣的是,國土安全部在處理的問題,就跟企業在資料外洩資料外洩防護(DLP)上所面對的一樣。在一個企業內部,如果你不希望員工將機密資料送出公司。你會怎麼做?建立可能是外洩跡象的文字和數位簽章,再跟員工送到公司外部的資料做比對(像是Dropbox或是Google)。

 

最終結果?除非你非常有計畫的部署DLP軟體,並且在部署時先做好資料分類。不然你所會得到的就是像美國國土安全部這樣可笑的單字列表。

 

更糟的是,資料保護法跟廣為人知的外洩事件,加上BYOD(自帶設備)和BYOC(使用自己的雲端),這些都會讓你需要有真正好的DLP,即使它通常不會有立即明顯的投資報酬率。

 

也就是說,好的DLP是可行的。事實上,在最近的一項調查,產業分析公司 Canalys預測,2012年在歐洲和亞太地區,DLP會是IT投資在企業安全成長最快速的部分,比郵件、網頁安全或是加密還要多三倍。

 

如果你在IT工作,下列的單字盡量不要用在社群網路上,除非你想要觸發觀察列表:

 

Mitigation, Response, Recovery, Security, Threat, Screening, Crash, Incident, Cloud, Leak, Infection, Computer Infrastructure, Telecommunications, Critical Infrastructure, Grid, Power, Electric, Attack, Target, Flood, Warning, Phishing, Rootkit, Phreaking, Brute Forcing, Mysql injection, Cyber terror, hacker, China, Worm, Scammers還有我的最愛… social media。

繼續閱讀

《雲端運 算與網路安全 》愛國者法案研究顯示,你的資料在任何國家都不安全

雲端運 算與網路安全 愛國者法案研究顯示,你的資料在任何國家都不安全

作者: 趨勢科技雲端安全副總裁Dave Asprey

趨勢科技雲端安全副總裁Dave Asprey

 

全球資料隱私法律事務所Hogan Lovells發表一份白皮書,概述關於政府存取雲端資料的研究結果。這份報告是由Hogan Lovells的隱私和資訊管理實務主任 – Christopher Wolf和巴黎辦事處的合夥人 – Wiston Maxwell所撰寫。Hogan Lovells的新聞稿在這裡,而完整的白皮書在這裡

 

全世界的IT媒體都提到了這份研究報告,包括ComputerworldPC WorldIT World和IDG新聞。不幸的是,一般都是說「美國的愛國者法案沒有賦予美國特殊權利在資料上」,淡化了美國和其他十個國家法律間的差異。

 

的確,在大多數國家,如果政府想要貴公司的資料,那他們都有方法可以取得。也的確,如果西方政府想要放在其他西方國家雲端伺服器內的資料,他們也都有方法來取得。

 

我在一個資安研討會上親自跟某位聯邦調查局副主任確認了後者。我問說:「如果妳需要一家德國公司放在德國雲端服務供應商的資料以供美國調查,那妳會怎麼做呢?妳有權取得嗎?」她笑著說出類似以下的回答:「我們只要聯絡我們在德國情報單位的同伴們並要求該資料。他們會提供給我們,因為我們也會在他們下次調查時做出一樣的幫助。」當然也有共同法律互助協定(MLAT)來提供法律上的框架以解決這類問題。

 

這項研究也指出,只有德國和美國有禁制令規定來防止雲端服務供應商提出所交出的資料是客戶付錢要求保護的事實。這是「愛國者法案」傷害到美國雲端服務供應商的部分。

  繼續閱讀

APT 攻擊文章懶人包

影片說明:APT 攻擊駭客攻擊手法模擬~社交工程攻擊(Social Engineer)過程重現

 

影片說明:APT 攻擊真實案例改編

★看更多APT 攻擊相關影片

什麼是 APT進階持續性威脅 (Advanced Persistent Threat, APT)?

淺談APT進階持續性威脅 (Advanced Persistent Threat, APT)~含中文社交工程郵件案例

《APT 攻擊》南韓爆發史上最大駭客攻擊 企業及個人用戶電腦皆停擺

《APT 攻擊》韓國網路攻擊事件 FAQ
《APT 攻擊》趨勢科技Deep Discovery 成功協助南韓客戶抵抗駭客多重攻擊
APT 攻擊者偏好的DDOS 分散式阻斷服務攻擊與密碼擷取工具,自我更新更厲”駭”

《APT進階持續性威脅~主要目標攻擊侵入點:eMail》63%產品規劃藍圖 ,76%預算計畫經由 email 傳送

木馬專門竊取圖檔/影像檔案,得手資料傳送遠端 FTP,可能為APT 攻擊布局

「李宗瑞影片,趕快下載呦!」從公僕誤開測試信,看好奇心所付出的資安代價(含APT 目標式電子郵件攻擊實際案例)

《APT 威脅》神不知鬼不覺的APT攻擊 — 多則APT 真實案件分享(含網路釣魚信件樣本)
[圖表] APT攻擊的 5 個迷思與挑戰惡意PowerPoint文件夾帶漏洞攻擊及後門程式

進階持續性威脅LURID: 入侵了61個國家1465台電腦,包含外交等單位

《 APT 進階持續性滲透攻擊》BKDR_POISON 未來將出現更多挑戰

APT 進階持續性滲透攻擊研究報告10個懶人包

<APT進階持續性威脅>經由Email 發送的"員工滿意度調查"PDF檔案含SYKIPOT,展開目標攻擊行動

< APT 目標攻擊 >知名韓國企業收到量身訂製的社交工程信件,員工開啟後遭遠端控制竊取個資

《APT攻擊 》另一起電子郵件目標攻擊利用研究單位做掩護

《APT 攻擊》下載藏文輸入法至Apple iOS,竟引狼入室

《APT /MAC 攻擊》另一起和西藏相關的攻擊活動針對Windows和Mac系統

微軟控告殭屍網路ZeuS、SpyEye和Ice IX幕後黑手

時代變了 Mac使用者現在也會遭受目標攻擊

雲端安全和APT防禦是同一件事嗎?

一週十大熱門文章排行榜:<影音> 防毒小學堂: 躲在社交網路/社群網路後面的威脅 Social Media Threats

《 APT 進階持續性滲透攻擊》16 封不能點的目標攻擊信件

傳統安全策略已經不再足以保護企業

《 APT 進階持續性滲透攻擊》病毒也愛林來瘋!!目標攻擊以林書豪傳奇故事為餌,安裝後門程式

《 APT 進階持續性滲透攻擊》BKDR_POISON 未來將出現更多挑戰

《木馬專偷 Word, Excel 文件檔,得手後放雲端》受駭IP 遍佈150 國,含政府、學術界和企業網路

APT 進階持續性滲透攻擊研究報告10個懶人包

後門程式針對國際人權組織

趨勢科技發表2012資安關鍵十二大預測

2011 金毒獎【得獎名單】與【得獎理由】

<APT進階持續性威脅>經由Email 發送的"員工滿意度調查"PDF檔案含SYKIPOT,展開目標攻擊行動

 

什麼是 APT?簡單的說就是針對特定組織所作的複雜且多方位的網路攻擊。

認識 APT

以往駭客發動的APT攻擊雖然以政府為主,但從2010年開始企業成為駭客鎖定竊取情資的受駭者越來越多,2011年幾個世界性的組織在目標攻擊下淪陷,付出了昂貴的成本。RSA和Sony是 2011年最大的兩個APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)的目標。幾個世界性的組織在目標攻擊下淪陷,付出了昂貴的成本。他們失去了數百萬客戶的資料,光是完成修復就花費了鉅資。

APT 攻擊的特色:

【鎖定特定目標】針對特定政府或企業,長期間進行有計劃性、組織性竊取情資行為,可能持續幾天,幾週,幾個月,甚至更長的時間。

【假冒信件】針對被鎖定對象寄送幾可亂真的社交工程惡意郵件,如冒充長官的來信,取得在電腦植入惡意程式的第一個機會。

【低調且緩慢】為了進行長期潛伏,惡意程式入侵後,具有自我隱藏能力避免被偵測,伺機竊取管理者帳號、密碼。

客製化惡意元件】攻擊者除了使用現成的惡意程式外亦使用客制化的惡意元件。

安裝遠端控制工具】攻擊者建立一個類似殭屍網路/傀儡網路 Botnet 的遠端控制架構攻擊者會定期傳送有潛在價值文件的副本給命令和控制伺服器(C&C Server)審查。

傳送情資】將過濾後的敏感機密資料,利用加密方式外傳

APT 進階持續性滲透攻擊 (Advanced Persistent Threat, APT)可能持續幾天,幾週,幾個月,甚至更長的時間。APT攻擊可以從蒐集情報開始,這可能會持續一段時間。它可能包含技術和人員情報蒐集。情報收集工作可以塑造出後期的攻擊,這可能很快速或持續一段時間。

例如,試圖竊取商業機密可能需要幾個月有關安全協定,應用程式弱點和文件位置的情報收集,但當計畫完成之後,只需要一次幾分鐘的執行時間就可以了。在其他情況下,攻擊可能會持續較長的時間。例如,成功部署Rootkit在伺服器後,攻擊者可能會定期傳送有潛在價值文件的副本給命令和控制伺服器(C&C Server)進行審查。

【如何避免APT 進階性持續威脅攻擊?

趨勢科技建議民眾應:

  • · 養成良好的電腦使用習慣,避免開啟來路不明的郵件附件檔
  • · 安裝具有信譽的資訊安全軟體,並定期進行系統更新與掃毒

另一方面,為預防員工成為駭客攻擊企業內部的跳板,建議企業也應:

  • · 建立早期預警系統,監控可疑連線及電腦
  • · 佈建多層次的資安防禦機制,以達到縱深防禦效果
  • · 對企業內部敏感資料建立監控與存取政策
  • · 企業內部應定期執行社交工程攻擊演練

趨勢科技PC-cillin 雲端版採用最新雲端截毒掃描功能,能隨時蒐集最新威脅資訊,隨時協助電腦於最新最佳防護病毒與惡意程式的狀態,30天免費試用版下載,即刻免費下載

◎ 歡迎加入趨勢科技社群網站

分享:

安裝這個可以拿到別人的 facebook 臉書密碼?!是詐騙!

駭客工具和利用SOPA的問卷調查詐騙以Facebook使用者做為目標

 

在監測趨勢科技主動式雲端截毒服務  Smart Protection Network技術內的資料時,我們注意到一個可疑檔案來自https://{BLOCKED}bookhacking.com/FacebookHackerPro_Install.exe。從網域名稱來看,這是針對社群網站 – Facebook臉書的駭客工具。

 

這工具看起來是用來擷取Facebook密碼。根據趨勢科技對這安裝程式的分析

,它就像是個普通的安裝程式會顯示使用者授權合約(EULA),並讓使用者選擇要安裝的資料夾。安裝過程中會產生惡意檔案「Toolbar.exe」,並且在使用者不知情下放入暫存目錄。

 

一旦安裝完畢,它會顯示一個視窗來要求使用者輸入目標Facebook帳號的電子郵件地址或是Facebook ID:

一旦安裝完畢,它會顯示一個視窗來要求使用者輸入目標Facebook帳號的電子郵件地址或是Facebook ID
一旦安裝完畢,它會顯示一個視窗來要求使用者輸入目標Facebook帳號的電子郵件地址或是Facebook ID

為了要看起來正常,這程式甚至會出現一個視窗表示要求正在進行中。二到五分鐘過後,它會通知使用者已經找到所要的密碼:

為了要看起來正常,這程式甚至會出現一個視窗表示要求正在進行中。二到五分鐘過後,它會通知使用者已經找到所要的密碼
為了要看起來正常,這程式甚至會出現一個視窗表示要求正在進行中。二到五分鐘過後,它會通知使用者已經找到所要的密碼

有趣的地方來了:想要獲得密碼,使用者必須購買產品金鑰,售價29.99美金。如果使用者選擇購買產品金鑰,會被導到網站https://{BLOCKED}bookhacking.com/p/unlock

一旦購買之後,使用者需要再次輸入電子郵件地址或Facebook ID。既然已經有了金鑰,就會出現以下內容:

一旦購買之後,使用者需要再次輸入電子郵件地址或Facebook ID。既然已經有了金鑰,就會出現以上內容
一旦購買之後,使用者需要再次輸入電子郵件地址或Facebook ID。既然已經有了金鑰,就會出現以上內容

但是這工具怎麼取得這些呢?簡單:這個程式會下載並使用一個免費的第三方應用程式,用來恢復並顯示使用者本地瀏覽器暫存區內保存的密碼。所以只有在使用者電腦中有儲存過的密碼才會有用。上述的第三方應用程式是個正常的密碼恢復程式,只是被惡意的用在這次攻擊中。也就是說是指受害者被騙去付錢了 但其實只能看到儲存在自己電腦上的密碼而已 沒辦法找到別人的密碼。

如果駭客工具無法下載第三方應用程式,就會出現以下錯誤訊息:

如果駭客工具無法下載第三方應用程式,就會出現以上下錯誤訊息
如果駭客工具無法下載第三方應用程式,就會出現以上下錯誤訊息

 

繼續閱讀