【2017年3月3日,台北訊】行動化、雲端服務及無人車智慧物聯網等技術蓬勃發展,伴隨著上述新技術應用快速成長的即是資安產業。IDC 預期2017年台灣資安產業成長將接近兩成[1];資安產業並為全球目前成長最快且未來20年的五大關鍵產業之一[2]。全球網路資安解決方案領導廠商趨勢科技 (東京證券交易所股票代碼:4704) 持續深耕資安威脅防禦研究,並搶先佈局機器學習與物聯網等多項科技熱門領域,因應持續性的產業高成長,更邀請科技新生代人才加入世界級的資安英雄團隊,成為具備國際視野的專業資安人才。 繼續閱讀
趨勢科技 2016 年所攔截到6,500 萬行動裝置威脅,截至 2016 年 12 月為止,我們所蒐集和分析的非重複 Android 惡意程式樣本總數高達 1,920 萬,較 2015 年的 1,070 萬有著飛躍性成長。
就全球來看,目前最普遍的是漏洞攻擊和惡意的 Root 改機程式 。
根據趨勢科技 Mobile App Reputation Service (MARS) 行動裝置應用程式信譽評等服務,以及 Smart Protection Network™ 全球威脅情報網的統計,2016 年,我們發現了超過 30 個 Android 系統漏洞並通報給 Google 和 Qualcomm。這些資安漏洞分散在 Android 的系統架構、裝置驅動程式以及 Linux 核心。其中有五項是重大漏洞,可能讓駭客取得本地端系統權限 (root) 或者從遠端執行程式碼。在我們所發現的漏洞當中,有 10 個以上可用來駭入系統執行程序,或者用於駭入系統核心。例如,核心加密引擎重大漏洞 (CVE-2016-8418) 可能讓駭客從遠端執行程式碼 (遠端 root 權限)。此外我們也通報了一系列有關 Android 效能系統模組的重大漏洞,可能讓駭客入侵系統核心。而 Android 系統也因為我們和 Google 的合作而增加了一些額外的安全機制。
其他 2016 年揭露較大的 Android 漏洞與漏洞攻擊還有 Dirty COW (CVE-2016-5195)、Rowhammer (CVE-2016-6728)、Drammer 以及 Quadrooter,全都可能讓駭客取得裝置的系統管理 (root) 權限。
隨著更多資安漏洞被發現,Root 改機惡意程式與漏洞攻擊也因此擁有更多的攻擊管道。CVE-2015-1805 就是一個被收錄到 Kingroot 改機程式當中的漏洞,該程式的下載量已高達 2.9 億次。當該程式的原始碼在網路上公開之後,該程式即不斷出現在各種攻擊當中。至於 Godless (ANDROIDOS_GODLESS.HRX) 則是 使用一個開放原始碼 Root 改機套件,該套件收錄了多種漏洞攻擊程式碼。截至六月為止,已有超過 850,000 台 Android 裝置受害,目前已有超過 79,780 個變種在網路上流傳。
另外還有 Ghost Push,其漏洞攻擊程式碼經常暗藏在 Google Play 商店的一些應用程式當中,目前已有 4,383 個變種在網路上流傳。LibSkin (ANDROIDOS_LIBSKIN.A) 首次出現是在 2016 年 2 月,目前已有 1,163 個變種,它會對受害的裝置進行改機 (Root),並偷偷下載及安裝其他應用程式,同時竊取使用者的資料。
有關 2016 年最猖獗的 Android 行動惡意程式 (根據趨勢科技偵測數據) 以及趨勢科技 2016 年所揭露的完整 Android 和 iOS/macOS 漏洞清單,請參考這份文件的「附錄」一節。
原文出處:In Review: 2016’s Mobile Threat Landscape Brings Diversity, Scale, and Scope
作者: Mark Nunnikhoven (趨勢科技雲端研究副總裁)
SHA-1(全稱Secure Hash Algorithm-1) 雜湊碼被破解了,這早已不是新聞,令人訝異的是,有人真的展示實際攻擊。不過請記住,這裡所謂的「實際」是對於加密學研究人員而言,但這對您的日常資訊生活並不一定會造成實際影響。
儘管新聞吵得沸沸揚揚,但 IT部門、新聞記者及一般使用者卻仍搞不懂這有什麼潛在影響。這確實是一個很難理解的事,加密是一門很複雜的學問,就算是最簡單的新手入門還是很難讓人理解。
加密學是一門結合了電腦和數學的高深學問,但也是資訊安全的根基,所以是最具挑戰性的一環。
SHA-1 演算法是眾多雜湊碼計算函式之一。雜湊函式是一種單向的數學運算函式,可以從任何一組資料計算出一串固定長度的數字,我們稱之為「摘要值」或「雜湊碼」。這就好比用一個串 DNA 序列來代表一個人一樣,差不多就是這樣 (我說過這很複雜的)。
最主要的重點是,每一串雜湊碼,理論上都是獨一無二的。因此,只要是原始資料有任何一點點的變動,其計算出來的雜湊碼應該會截然不同。在這方面,SHA-1 演算法已被證明有漏洞。
這是一項重大的壞消息,因為雜湊碼的應用範圍非常廣泛,例如:
· 用來檢查您所下載的檔案是否遭到竄改
· 用來檢驗數位憑證是否正確 (例如所謂安全網站所用的憑證)
· 用來當成數位簽章
· 用來驗證密碼
簡而言之,雜湊碼是數位世界很重要的一環。而任何一個環節只要有安全上的疑慮,都是一件大事,不是嗎?
其實,我們早就知道遲早會出問題,只是時間早晚而已。歹徒可用的其中一種攻擊方式就是所謂的暴力破解 (也就是嘗試所有的可能組合,直到找到為止)。但由於這花的時間太長 (若使用單一 GPU 來運算需要 1,200 萬年以上) 因此過去一直被視為顯不可能。
然而,Google 和 CWI 的團隊最近展示了一項快 10 萬倍的全新攻擊方式。這使得整體攻擊時間縮短至9,223,372,036,854,775,808-超過900 萬兆次, (若以單一 GPU 整天不停運算約需 110 年的時間)。 繼續閱讀
全球最大型網路服務公司的程式碼出現嚴重缺陷,導致敏感資料會被外洩到網路上。在部落格的事後檢討文章中,CloudFlare詳細說明了其邊際伺服器如何受到緩衝區溢出的影響,導致對使用CloudFlare服務的網站所發出的請求會返回隨機資料位元,這可能包含了私密資訊如API金鑰、使用者憑證、cookies甚至是私人訊息。外洩資料也被搜尋引擎所暫存,增加了被用在惡意用途的可能性。這個漏洞已經被非正式地稱為「CloudBleed」,因為它跟早期的HeartBleed漏洞有相似之處。
「CloudBleed」一開始是由Google研究人員Travis Omandy所發現,他在觀察到對使用CloudFlare服務的網站所發出HTTP請求的異常行為時回報了此一問題。經過分析,CloudFlare將問題追查至其新的cf-html HTML解析程式。具體地說,這個問題跟存在其舊Ragel解析程式內多年的程式碼錯誤有關,不過問題會浮現是因為切換到新解析程式改變了緩衝機制,導致資料外洩的發生。
CloudFlare的即時回應是停用使用有資料外洩問題HTML解析程式的相關功能。此外,也組成了一個團隊來找出和修復解析程式內的錯誤,他們會設法在短時間內完成任務,在資料被更廣泛擴散前將潛在的傷害最小化。
網路使用者應該擔心嗎?
考量到使用CloudFlare服務的網站數量和資料可能遭到外洩的有效時間長度(最早可能從2016年9月),這似乎是件應該擔心的事情,特別是對經常使用CloudFlare相關網站的使用者來說。不過該公司也說明了資料外洩所造成的影響並沒有那麼大。據估計,在2月13日至18日期間所造成的資料外洩影響最大,透過CloudFlare所進行的3,300,300個HTTP請求中有約1個(0.00003%)可能會導致記憶體資料外洩。
這一點再加上CloudFlare對此事件的快速回應,顯示出資料外洩的影響應該很小。不過這起事件還是提醒了所有網路使用者必須要做好準備來保護自己最重要的數位資產 – 特別是包含敏感資料的部分。
因為主要問題並非使用者所能夠控制,所以使用者能做的最佳行動是變更使用CloudFlare基礎設施網站上的密碼。除了變更密碼,這或許也是個好時機讓使用者去採用更有效的驗證方法,如雙因子身份認證。
如果你是網路世代的孩子,你會相信自己已經探索過或至少知道可能在網路上出現的一切事物。但是網際網路也隨著時間的不斷改變。雖然你還是能從中得到許多東西,但它也會以各種方式從新使用者或不知情者身上取得些什麼。年輕網友和年長使用者在隱私和安全意識間的差距可能需要有個橋樑連結。
你是否有過以下的經驗:
☑ 一次意外的點擊,從此卻接二連三跑出充滿性和暴力的網站?
☑ 喜歡發文打卡,在家要發,搭公車要發,外出用餐要發,出遠門旅遊更要發?
☑ 「不要理他就好了 。」孩子遇到網路霸凌(bully) 時,你也講過這句話嗎?
網際網路在本質上是公開的,但這並不代表你該放棄自己在隱私和安全方面的權利。孩子們在五歲就已經知道如何下載和玩遊戲,而且今日你可以在社群網路上找到幾乎每個人,從你的姨媽到你表哥的兩歲孩子(甚至是你鄰居的狗)。而他們大多數仍然認為網際網路是個遊樂場,可以自由取用資訊、娛樂和其他類型的內容而不會有任何後果。事實是,當我們不去思考的享受網際網路時,網路犯罪分子也在不斷地尋找新受害者,特別是那些容易被巧妙偽裝騙局所誘騙的對象。
無論我們是否喜歡,每個網路使用者都經常會在網路上遇到危險。只要能了解這些威脅,要保持安全在線並非難事。年輕的孩子、新使用者和不知情的成年人都需要關於這些威脅的教育。這裡有個簡短的列表:
惡意和不當內容 – 雖然網際網路為孩子們提供了一個有趣和學習的世界,但它也充斥著含有性、暴力和不當內容的網站。一次意外的點擊就可能導致成千上萬這樣的網站跑出來。
解決方法:為避免意外暴露於這些網站,家長應制定電腦及網際網路的使用規則。家長還可以通過瀏覽器內建的內容過濾器及提供家長監護功能的安全軟體來防止連到成人或不當的網站。
在網路上搜尋最平凡的詞彙卻產生令人不堪入目的結果,其中不僅充斥各類色情網頁,更有夾帶惡意程式的色情圖片在其中。趨勢科技發現不僅造訪賭博網站或成人網站會受到網頁威脅攻擊,輸入一般性查尋的詞彙,所出現的連結更有出現令人傻眼的內容,例如輸入「 milk(牛奶)」這個字眼,竟出現「 Sex(性)」、Porn(色情)」等兒童不宜字眼。一旦好奇點選,更有被潛藏其中的惡意程式入侵之危險。》看更多
據《每日郵報》報導,專家指出,美國麻省理工學院和英國牛津大學專家指出,每天8則的發文,即便是沒有任何技術和相關知識,也可以精確的指出發文者的工作地點甚至住家。研究報告指出, 65%測試者可以大致知道使用者住家位置,而70%能推算出工作位置,甚至能有85%的能夠精準掌握其公司所在地。