作者: 趨勢科技 TrendMicro

小型企業的雲端之路,到頭來還是回到原點

趨勢科技 TrendMicro

作者:Greg Boyle 趨勢科技全球產品行銷經理

許多小型企業到目前依然對雲端運算抱持著懷疑的態度。他們懷疑雲端運算是否能在不招來嚴重風險的情況下提升他們的獲利能力。首先,讓我們來定義一下小型企業所謂的雲端運算。一般大家所認知的雲端運算有兩種:其一是軟體服務 (software-as-a-service),其二是基礎架構服務 (infrastructure-as-a-service)。
所謂的軟體服務 (簡稱 SaaS),就是將您平常辦公室所安裝的軟體改從網際網路來供應。有時候也稱為「代管」。

你已經進入了雲端世界

最常見的就是客戶關係管理 (簡稱 CRM) 系統。去年,全球有 26% 的 CRM 支出已經移轉到 SaaS 上,而且此一比例預計在 2015 年將成長至 33%
而基礎架構服務 (簡稱 IaaS) 則是您向廠商租用資料中心的伺服器來執行您的 IT 環境,而不需自己購買硬體設備。最常見的 IaaS 範例就是網站代管服務。
此外,您可能還會聽到「公共雲端」或「私人雲端」這兩個名詞,簡單來說,公共運端就是將共用的運算資源放在您的企業外部,透過網際網路來存取。而私人雲端則是在您自己的公司內部建立一個資源共用基礎架構,然後透過內部網路服務公司內的所有使用者,而不在每一台使用者電腦上安裝軟體。

近十年內成立的小型企業一開始就是雲端的使用者

許多近十年內成立的小型企業,其實一開始就是雲端的使用者,只是企業並未意識到這點而已。這麼說並非故弄玄虛。我指的就是電子郵件和網站。
當新公司成立時,老闆採購了電腦之後的第一個想法,通常都是「設定一個電子郵件信箱」,再來就是「架設一個公司網站」,至於「購買一台伺服器」,則不是最優先的考量。事實上,90% 的小型企業都沒有自己的伺服器。
那麼,小型企業的電子郵件和網站由誰代管? 一般來說是他們的網際網路服務供應商 (ISP),這通常都隨附在寬頻網路連線套餐之內。基本上,這類由公共雲端所提供的應用程式與共用資源,就成了小型企業的 IT 基礎。 繼續閱讀

趨勢科技SafeSyncfor Enterprise企業私有雲 便利安全雙把罩 受核研所青睞採用

趨勢科技 TrendMicro

趨勢科技SafeSync  for Enterprise企業私有雲 便利安全雙把罩 受核研所青睞採用   

隸屬於行政院原子能委員會的核能研究所(以下簡稱核研所)是政府針對原子能研究與應用設立的國家級研究機構,隨著近年來各種新興再生能源技術的發展,也不斷擴張研究領域。核研所的國家級研究資料,是眾多專家學者累積的心血結晶,更是國家未來能源發展之方向,而如何安全地保存這些資料,同時還要能夠確保資料安全且快速的在研究計畫的專家學者間分享與流通,成為核研所資訊人員的重大挑戰。

核研所綜計組副組長王培智博士表示,核研所過去檔案分享的主要管道為檔案伺服器、FTP,以及個別電子郵件。但運用這類管道會遇到的效能瓶頸為檔案過大不易傳輸與管理不易等問題。經由email附加檔案寄送電子郵件,是研究員每天再熟悉不過的流程,但卻對核研所的儲存系統帶來很大的負擔。王培智表示:「所內1,000多名使用者在一天之內會產生高達5萬封電子郵件,其中許多郵件均夾帶大型檔案。經年累月產生的資料量便得耗費不少儲存空間,每天傳輸這些夾檔郵件佔用的網路頻寬,還會排擠其他需使用網路的應用效能。所以一直希望能夠有一套安全、方便管理的檔案分享機制。」

 

趨勢科技SafeSync for Enterprise 企業私有雲 促進企業團隊協同合作能力 受核研所青睞

「研究了市面上相關產品,最後選擇最符合本所需求的趨勢科技SafeSync for Enterprise企業私有雲。」

王培智表示,市面上許多雲端儲存或群組儲存軟體,多半僅能提供資料的共享備份、跨裝置資料同步等功能。趨勢科技SafeSync除了這些功能之外,更俱備資料同步功能,增進核研所內協同合作的能力。

所內研究計畫主持人可以依需求自行開設專屬虛擬資料夾,並設定資料夾共享與存取權限群組,毋須資訊人員代為設定,減輕IT部門負擔。SafeSync的同步更新特質增快所內研究計畫成員間的溝通效能。資料上傳與下載都經由SafeSync自動執行,完全不影響使用者的工作流程,並解除伺服器傳送大量檔案複本造成的負擔。更重要的是,專案負責人能夠自行設定可存取資料的成員,

繼續閱讀

密碼還原程式,專門偷線上服務和應用程式帳密,即使使用安全連線 HTTPS、SSL 也無法避免

趨勢科技 TrendMicro

密碼還原程式,專門偷線上服務和應用程式帳密,即使使用安全連線 HTTPS、SSL 也無法避免

使用者總以為使用了 HTTPS 和 SSL安全連線,就可以高枕無憂。但如果資訊在傳送之前就已遭到竊取,那麼這些安全連線就沒有機會可以保護您的資料。一個新型的密碼還原工具可讓 PASSTEAL 擷取瀏覽器儲存的所有網站密碼,即使是使用安全連線 (SSL 或 HTTPS) 的網站 如 FacebookTwitterPinterestTumblrGoogleYahooMicrosoftAmazonEBayDropbox 以及各種網路銀行也無法倖免。

由於資訊已成為一種新興貨幣,網路犯罪者時時刻刻都在思考如何竊取使用者的寶貴資料。而 PASSTEAL 正是歹徒最新的資料竊取工具,內含了一個密碼還原程式,可有效蒐集使用者的登入帳號密碼,即使是採用安全連線的網站也無法倖免。根據我們所分析到的資料,此惡意程式有某些變種是專門竊取 Google Chrome 和 Internet Explorer 當中所儲存的帳號密碼,使用的是類似「PasswordFox」的工具。

過去,趨勢科技已發現多個專門竊取資料的惡意程式,包括專門蒐集影像檔案並且上傳至遠端 FTP 伺服器的 TSPY_PIXSTEAL.A。PASSTEAL 有某些行為與 PIXSSTEAL 類似,但它竊取資訊的方式很不相同。

TSPY_PASSTEAL.A 專門蒐集儲存在瀏覽器內的資訊

趨勢科技偵測到 TSPY_PASSTEAL.A 會擷取多種不同線上服務和應用程式的帳號登入資訊,然後儲存在一個名為 {電腦名稱}.txt  的文字檔內。

有別於大多數透過鍵盤側錄來蒐集資料的惡意程式,PASSTEAL 使用的是密碼還原程式來擷取瀏覽器內所儲存的密碼。在趨勢科技所分析到的樣本當中有一些壓縮過的資料,這是一個專為 FireFox 瀏覽器設計的程式,叫做「PasswordFox」。

 

PASSTEAL 一旦蒐集到資料,就會執行命令列指令程式的「/sxml」選項,將竊取到的帳號密碼儲存成 .XML 檔案,然後再將它轉成 .TXT 檔案。接著,PASSTEAL 會連線至遠端 FTP 伺服器,將蒐集到的資訊上傳。

事實上,此密碼還原工具可讓 PASSTEAL 擷取瀏覽器儲存的所有網站密碼,即使是使用安全連線 (SSL 或 HTTPS) 的網站也無法倖免。使用這類連線的網站包括:FacebookTwitterPinterestTumblrGoogleYahooMicrosoftAmazonEBayDropbox 以及各種網路銀行。 繼續閱讀

Skype出現帳號大漏洞!連小孩都能駭入帳號

趨勢科技 TrendMicro

作者:趨勢科技資深分析師Rik Ferguson

 

一個Skype嚴重的漏洞已經浮上水面了。這個漏洞讓你只要在知道對方電子郵件地址的情況下,就可以取得任何使用者的Skype帳號。

對於這問題的概念驗證文章大約在三個月前被貼到俄羅斯的論壇上。原本的作者在昨天又再貼到另一個網站上。作者還指出,這漏洞已經被廣泛的濫用了,影響到許多他聯絡人列表上的使用者。

基本上,整個過程非常的容易,就算是最沒經驗的電腦使用者也可以做到。需要作的只是用別人的電子郵件地址註冊一個新的Skype帳號,一旦完成這個步驟,密碼重設程序的一個漏洞就可以讓攻擊者利用線上密碼重設網頁來取得受害者的帳號。這會將受害者鎖在他們的Skype帳號之外,讓攻擊者可以接受並回應所有發給受害者的訊息。我測試了這個漏洞,整個過程只需要花幾分鐘的時間。

這問題已經回報給微軟(去年收購了Skype),在深入調查這漏洞的同時,他們先移除線上密碼重設網頁以作為預防措施。

在重設密碼網頁被禁用前,唯一可以保護自己的作法,就是註冊一個完全獨立而不為人知的電子郵件地址給Skype帳號使用。不過這作法有點不切實際,而且理論上這樣做會讓你更容易被攻擊,因為你不太可能定期調查很少用到的收件夾。

這個故事讓我們學到什麼?即使你只是發信給別人,這資訊也可以用來對付你,盡力維護隱私總是不會錯的。

@原文出處:Skype vulnerability makes hijack child’s play.

趨勢科技建議使用者應選取具有主動偵測並封鎖惡意程式與網頁的資訊防護軟體,如:趨勢科技PC-cillin 2013 雲端版

PC-cillin 2013 雲端版跨平台同時支援Win、Mac及Android手機與平板,立即下載試用
PC-cillin 2013雲端版跨平台同時支援Win、Mac及Android手機與平板,立即下載
◎即刻加入趨勢科技社群網站,精彩不漏網