作者:趨勢科技雲端安全副總裁Dave Asprey.Dave Asprey
這是五篇系列文章的第二篇(第一篇在此),因為我有著和大型企業還有服務運營商合作進行虛擬化超過十年的經驗,加上曾經長時間的在最大的兩家虛擬技術廠商之一負責策略與規劃。我會在這系列文章中提出十種你需要考慮是否不要去虛擬化應用程式的可能狀況。
一、當它就是無法正常運作
有些應用程式會因為各種原因就是無法在虛擬環境下運作。雖然虛擬技術廠商對於這些特殊情況的支援已經越來越好了,而且一些新出現的技術像是I/O虛擬化也可以改善這種狀況。不過也請特別注意具有以下特點的應用程式:
高I/O的應用程式,像是資料庫或是其他需要經過調整以直接和底層硬體溝通的程式
台北資訊展-防毒軟體這裡最超值【趨勢科技 PC-cillin 展場: D420、B812、B634)】,抽酷炫迷你喇叭
資訊展這家的show girl 超正口條又好,先睹為快facebook.com/pccillin.tw
【趨勢科技PC-cillin 防毒軟體史上最優惠】瞄一下好康: https://bit.ly/t6VPiR
出門前看地圖:https://bit.ly/tdxzDF
PC-cillin 2012雲端版資訊月促銷,1年3機版售價1990元、2年3機版售價2990元,會員升級價分別可享1290元、2190元。上網登錄送500元 7-11禮券,現場再送趨勢科技行動安全防護1年版、吊掛式旅行包。該產品完整掃描病毒花費時間比一般省12%,記憶體最大節省度達58%。
【台北訊】 為期九天的台北資訊月(12月3日~12月11日)即將於台北世貿展覽館盛大展開。全球網路安全領導品牌-趨勢科技早已蓄勢待發,將為廣大消費者獻上許多超值獨家優惠!在第三方公正機構及消費者市場調查兩大報告中都榮獲第一的最新PC-cillin 2012 雲端版防毒軟體,不僅在完整掃描病毒花費時間上比一般電腦最多節省12%,記憶體使用量上最大節省度更是高達58%,可說是同級產品中最快、最省時間的嚴選逸品!趨勢科技為符合資訊月「科技 觸動我心」的主題,並幫廣大消費者HOLD住自己的荷包,將推出史上最超值的各項方案,讓新購用戶與會員升級用戶都可輕鬆帶走專屬趨勢科技的獨家優惠贈品,徹底觸動消費者的心!(趨勢科技攤位號碼:世貿一館D420、B812、B634)
趨勢科技產品行銷經理朱芳薇表示:「最新PC-cillin 2012 雲端版採全球獨家『主動式雲端截毒服務 Smart Protection Network』,透過雲端資料庫掃描並阻擋來自網路的各種惡意程式威脅,讓電腦隨時保持在最新的防護狀態;另外PC-cillin 2012 雲端版將原本儲存在電腦上80%的病毒碼檔案,改存至雲端截毒伺服器,進而提高電腦效能,減輕電腦負擔。最新版的PC-cillin 2012 雲端版更搭載了『社群網路安全防護』、『即時通訊防護』、『網頁安全分級』、『私密資料保全』以及『遠端檔案保險箱』等五大防毒法寶,讓消費者不論是上網聊天、分享資訊等皆不用擔心個人私密資料外洩。
另外,趨勢科技針對Android系統手機及平板電腦等行動通訊設備推出趨勢科技行動安全防護for Android中文版Trend Micro Mobile Security for Android軟體,在消費者使用行動裝置上網時能主動封鎖含有惡意程式的網頁,避免個人資料外洩,讓消費者在使用時下最 in 的雲端技術與服務時能無後顧之憂。
為讓廣大消費者的心能確實被趨勢科技所觸動,本次資訊月活動中將祭出史上絕無僅有之超值好禮。不論新購用戶或老會員升級,凡購買標準盒裝,趨勢科技現場馬上大方送行動安全防護一年版、7-11禮券以及實用吊掛式旅行包,資訊月來趨勢科技,可一次輕鬆備齊電腦與手機的萬全防護。最觸動你心的趨勢科技,將用不間斷的優惠好康,不中斷的縝密防護,讓每位消費者驚喜連連!
@PC-cillin 2012 雲端版輕快上市,祭出史上最優惠方案只在台北資訊月!
活動方案
新購用戶:
送
送
繼續閱讀作者:趨勢科技David Sancho(資深威脅研究員)
上個月,Google宣布他們讓使用者的搜尋變得更加安全。他們宣稱登入Google服務的使用者會有更安全的搜尋體驗。這代表兩件事:第一,現在搜尋的查詢和結果都是透過HTTPS傳遞。這可以保護使用者,當他們所使用的是不安全的網路環境時,比如大多數的無線網路環境。
第二部分則有趣的多。根據趨勢科技的測試,Google在HTTP參照位址標頭(HTTP referrer header)內不再包含用來連到網站的搜尋字串。下圖是Google現在所送出的參照位址一部分:
請注意,在「&q=」後面的部分,並沒有出現指定的搜尋字串。相對的,使用標準的搜尋會出現的參照位址像這樣:
作者:趨勢科技雲端安全副總裁Dave Asprey.
利用虛擬化和私有雲的技術可以將伺服器進行整合,建立更靈活的運作環境,同時也能幫公司省下不少錢。
所以虛擬化是件好事 。
但它並不是萬能的。趨勢科技最近對1200家擁有五百名員工以上的企業進行調查。結果顯示有59%的公司有虛擬伺服器在運作或進行測試中。不過,因為我有著和大型企業和服務運營商合作進行虛擬化超過十年的經驗,加上曾經長時間的在最大的兩家虛擬技術廠商之一負責策略和規劃,我會在這系列文章中提出十種你需要考慮是否不要虛擬化應用程式的可能狀況。
為了易於閱讀,我將透過五篇文章來完成這個系列。
一、當你有固定和可預期的運算需求
在這種情況下,你的系統可能已經在穩定的運作中了。所以進行虛擬化的好處大概不多,卻會帶來更多的複雜性和停機的時間……除非你這穩定的運作環境使用的是老舊而快被放棄支援的作業系統。如果真是如此,你也就沒有太多選擇,只能進行虛擬化,然後接受轉移的成本還有之後帶來的複雜性。 繼續閱讀
Applidium的研究人員最近發表了一個有趣的報告,是關於Siri使用的通訊協定。每一次使用者對Siri發出指令,iPhone 4都會將這指令的語音壓縮後送回Apple的伺服器來轉換成文字。然後,對應成iPhone可以理解的命令再送回手機。
這個通訊協定以HTTPS為基礎,想要攔截或是欺騙它需要有一個有效的SSL憑證給 guzzoni.apple.com或是想辦法讓設備認為你的憑證是有效的。然後還必須劫持DNS,讓手機認為那個你所控制的IP位址就是guzzoni.apple.com。這篇Applidium的文章解釋的非常清楚,所以就讓我們來談談可以做些什麼。
我先從正面、有創造性的事情開始。理論上,如果你有一個有效的iPhone 4S ID,那應該可以很容易的將Siri移植到任何設備。只要這個設備可以錄音,而且又裝了可和網路連線的應用程式就行了。這包括了筆記型電腦、平板電腦、智慧型手機、甚至冰箱和洗衣機。
你甚至可以建立自己的Siri伺服器來和已啟動Siri的設備交談。就可以應用在日常生活上,像是執行「開燈」、「關車庫門」等指令。這也可以跟工作整合:想像一下,將這系統和你的例行工作結合,可以讓你的工作流程照你的語音命令來執行。任何可以寫成腳本的事情都可以用Siri來執行。
不幸的是,也有可能拿來做一些不那麼善良的事情。比方說,我們假設攻擊者已經成功地在設備內加入了自己的憑證,而且也用某種方法控制了DNS的回應,而這二者都是要攔截Siri通訊的必要條件。
最可能出現的就是中間人攻擊(man-in-the-middle),可以截獲所有Siri接收的指令和回應。單單這麼做可能沒有用,但是你發給Siri的指令可能會得到違背你原意的動作。很快的,我們就可以很輕易的變更該有的回應,像是改變股市行情,或是想要打給某個聯絡簿上的同事,卻被置換了指令。所以可以將通話先接到不同的號碼,再轉發給原本你想聯絡的對象,然後記錄談話內容。這需要先能了解受害人的地址簿,但是對一個真正想要攻擊的人來說還是能做到的。
Apple有許多方法可以解決這個問題。最完整的作法就是使用一個盤問與回應(Challenge-Response)認證系統。要求伺服器的 SSL金鑰要能對應給定的金鑰ID,或是比較可行的,使用帶有編號的金鑰。無論是哪種方式,如果真的出問題的時候,只有Apple有能力去解決它。
@原文出處:Siri, Don’t Lie To Me
◎ 歡迎加入趨勢科技社群網站
