作者:趨勢科技雲端安全副總裁Dave Asprey
一次拜訪亞洲的旋風之旅裡,我在好幾個虛擬或面對面會議上發表演說,其中包括了Cloudsec2012。我拜訪了數十位代表雲端基礎架構安全的IT高階主管,他們來自日本、新加坡和其他許多亞洲國家。這次參訪讓我有機會去真正挖掘亞洲的雲端安全資訊,足以讓我寫出一份新報告 – 「亞洲的雲端運算安全現況」。
這份報告將會深入探討雲端運算的發展是如何影響亞太地區。具體來說,我們比較了日本、澳洲、新加坡、馬來西亞、印尼和印度,利用公開的資訊和我們自己所做的大型研究,我們對全球一千多家企業的五百多名員工進行調查,以了解雲端安全的做法。此外,這份新報告還包含了亞洲IT高階主管所強調的雲端運算四個主要領域:
這四個領域相當重要,因為它們驅動著雲端應用的普及,這可能會導致亞洲的經濟成長。但是,在亞太地區的公司擁抱雲端運算嗎?
幾乎沒有。 繼續閱讀
最近,我在赫芬頓郵報上讀到一篇關於某人在計程車上掉了iPhone的故事。
簡單地說,事情的經過是這樣的:一個年輕人Nadav Nirenberg將他的手機遺失在紐約的計程車上。當他發現手機掉了,他就一直撥打遺失手機的號碼。卻都沒有回應,但他發現他的線上約會帳號已經被人偷用了。很明顯地,是那個拿他手機的人做的。這個人冒用Nadav的名義在交友網站OKCupid上和別的女人互動,還貼了些不是很酷的東西。
所以Nadav很聰明地在OKCupid上建一個假女性帳號來誘騙這冒用他名義、偷他手機的人來他公寓約會。可以讀赫芬頓郵報的文章來了解Nadav是如何拿回手機的完整故事。
編按:
失主在Google搜尋一張露乳溝的金髮美女照片,並自稱為「布魯克林的珍妮佛」,好色竊賊果然上鉤了並約好見面時間。竊賊精心打扮帶著一瓶酒赴約,沒想到迎接他的卻是憤怒的男人及一把鐵鎚。到底是失主聰明還是竊賊笨呢?
遺失在飛機上的 iPad
Nirenberg的故事讓我想起了一個朋友Jen Burns,趨勢科技的前同事。她在加州到華盛頓特區的達美航空飛行上發現了一台iPad,就出現在她的座位和牆壁間。她思考著該怎麼做:
A) 將它交給航空公司 或B)打開它,看是否能夠找出失主還回去。
根據她在資安方面的背景,她覺得將iPad直接還給失主會比較好。因為交給航空公司可能會在哪個環節遺失了。當然,選項B取決於她是否能在iPad上找到資料。結果證明這iPad的主人並不是趨勢科技的粉絲,因為這設備沒有密碼保護。在這情況下,它很幸運,因為Jen可以打開iPad,找出使用者(這裡用假名Claire),還有她和她先生的電子郵件地址。
Jen隨即就發送電子郵件給這對夫婦,告知撿到了他們遺失的iPad,並會在過幾天,度假結束後寄回給他們。他們很高興收到Jen的通知,也很感謝她會寄回iPad的。他們鬆了一口氣,因為iPad上,他們兩歲大孩子的照片還沒有備份。
好心沒好報?!威脅報警
所以Jen繼續她的假期,並且很高興自己做了正確的事情。不過在幾天後,她還在度假的時候,Jen查看電話,發現四則語音留言,來自Claire和他丈夫越來越激動的留言,要求歸還還iPad。最後一個留言還威脅著要報警。 繼續閱讀
順帶一提,我想起當我跟鄰居提起我在資訊安全界工作時,他的下個問題就是:「這些詐騙份子為什麼想要我的資料?」越多人問我這個問題,也就越加明顯地,使用者資料是非常有價值的。
當你知道,只要花五美元就可以在地下論壇或網站購買你所有的個人資料,會感到很驚訝嗎?有些人可能還會驚訝地發現,被販賣的資訊還遠遠不止於你的姓名和地址。
在地下論壇被提到的「Fullz」所包含的不只是信用卡號碼、姓名和出生日期。「Fullz」通常透過幾種方式傳遞。首先,可能是文字檔或CSV檔案,一個包含所有資料,用逗號分隔的檔案。所有被蒐集來的個人細節都會包含在該檔案中,方便閱覽。此外,「Fullz」也可能透過可攜式資料庫格式來傳遞,像是MDF檔案,方便輸入本地端資料庫。你還可以找到註冊帳號時的個人問題,還有駕照資訊、社會安全號碼以及其他資料。
這些詐騙份子很邪惡,卻不代表沒有生意頭腦。如下圖,一個賣方提供折扣給大量購買的訂單。
這些詐騙份子還提供轉錄(Dumps)資料出售,這是來自你信用卡磁條的原始數據。除了轉錄(Dumps)資料,他們也賣塑片(Plastics),用來寫入轉錄(Dumps)資料的空白卡。
最後,為了讓詐騙活動更加容易,攻擊者也販賣銀行帳戶登錄資訊和高階電子產品。被賣的銀行帳戶可以直接用來存取錢,不再需要買轉錄(Dumps)資料和塑片(Plastics)了,只需要使用你的銀行登錄資訊,並且把錢轉走。
高階電子產品也可以用合理的價格在黑市上販賣。這些詐騙份子利用偷來的信用卡資料來以零售價購買設備,並且在網路上折扣價出售以換取現金。
詐騙份子可以用我的資料做些什麼?
雖然很多人可能會說,「如果犯罪份子拿了兩萬份Fullz,不會正好用到我那份。」這並不是真的。雖然偷你資料的網路犯罪份子可能不會用到所有的兩萬份轉錄(Dumps)資料,他們可能會用低價去拋售部分未使用到的資料。 繼續閱讀
引用維基百科:
皮提亞,古希臘的阿波羅神女祭司,服務於帕納塞斯山上的德爾斐神廟。她以傳達阿波羅神的神諭而聞名,被認為能夠預見到未來。
亞馬遜網路服務(AWS)在二〇一二年十一月的第一次使用者大會門票被超訂而且銷售一空。因為該公司提供所有公共雲所需的基礎設施:Linux和Windows虛擬主機、資料庫、儲存空間、彈性負載平衡器、訊息…很明顯地,基礎設施即服務(IaaS)已經吸引了廣大的注意。在二〇一二年也看到了Google運算雲的出現,還有類似的服務來自微軟,以及惠普基於OpenStack所推出的公共雲,提供客戶許多現有Terremark、Joyent、Rackspace、DELL和其他IaaS公司之外的選項。高唱著降低成本和商品化的服務,讓消費者可以有多種選擇。而私有雲看來就只有VMware的vCloud和微軟私有雲在彼此競爭,提供給尋求商業化產品的客戶。同時OpenStack在開放原始碼產品上成為CloudStack和Eucalyptus的強大對手。顯然地,企業使用IaaS的日子已經到來。
所以2013年保持的IaaS什麼?
並非一切都歸於雲端。開發人員應該要能夠掌握雲端API。就好像雲端並不是虛擬化,也非簡單的只是雲端代管服務。雲端內的應用程式需要適用於雲端,應用程式的開發必須要能最大化地利用雲端平台,使用新的功能。
我們確實在期待未來一年會是雲端服務成熟和鞏固的時候。你對於IaaS在二〇一三年有什麼期待呢?
@原文出處:What does the Oracle at Delphi say about IaaS cloud offerings? 作者:Jonathan Gershater
◎即刻加入趨勢科技社群網站,精彩不漏網
趨勢科技最近發現,當應用程式在Android設備上執行時,Android的除錯功能可以被用來竊取資訊。透過一些步驟,可以在Android上建立一個應用程式來除錯另一個執行中的應用程式。這除錯用的應用程式將有機會獲得被除錯應用程式的所有資訊,所以要偷像帳號、密碼等東西都是輕而易舉。
這漏洞只出現在Android 2.3(薑餅人)或更早的版本上。今日所有正在販售的Android設備都使用更新的版本,薑餅人最後一次更新是在於二〇一一年九月。然而根據Google自己的統計數字顯示,超過一半使用中的Android設備仍然執行這些較舊版本的Android。
在某種程度上,這問題是整個Android生態系統問題的縮影。讓我們將這生態系統分成三個部分:應用程式開發者,Google和電信業者以及最終使用者。各部分可以做些什麼?
應用程式開發者: 該要考慮安全性,而不僅僅是功能和易於使用而已
在這特定案例裡,一個應用程式如果被設定為可除錯就會有這漏洞。一般來說,可除錯版本的應用程式不該對外發布。(大概有5%的熱門免費應用程式是可除錯的,所以風險不小。)
然而在一般情況下,行動應用程式的「最佳實作」可能並不像桌面應用程式那樣固定。行動應用程式開發者還是應該要考慮他們應用程式的安全性,而不僅僅是功能和易於使用而已。
Google/電信業者:Google在設計Android時應該考慮提供一種方式讓舊設備仍然可以取得安全更新,獨立於電信業者和製造商之外
正如我們上面所提到的,新版本的Android並沒有這個問題。但是Android有更新上的問題,許多運作正常設備的使用者將不會收到更新,也讓他們暴露在風險中。 繼續閱讀