WPA2 加密機制爆漏洞, 五招自保以防Wi-Fi 上網遭偷窺

最近,Wi-Fi 無線網路加密協定 WPA2 被揭露多項安全漏洞,據稱可能讓 Wi-Fi 無線裝置遭到所謂的「金鑰重新安裝攻擊」(Key Reinstallation AttaCK,簡稱 KRACK),是一種針對 WPA2 加密機制漏洞的概念驗證攻擊。KRACK 採用的是「篡改並重送加密交握訊息」的手法,也就是從系統和裝置在彼此通訊之前交換參數的流程下手。

 

WPA2 加密機制爆漏洞, 五招自保以防Wi-Fi 上網遭偷窺

 

WPA2 是藉由授權與加密機制來確保 Wi-Fi 裝置及硬體的通訊安全。KRACK 攻擊如果得逞,駭客就能偷窺裝置與 Wi-Fi 無線基地台之間的網路流量。

根據科技新聞網站 Ars Technica 表示,美國電腦緊急應變小組 (United States Computer Emergency Readiness Team,簡稱 US-CERT) 在針對某些機構發出的公告當中指出,這批漏洞是發生在雙方進行交握 (handshake) 以產生網路通訊加密金鑰的過程。此金鑰只要被重新傳送多次,未來就能重複使用,但該金鑰原本應該只能使用一次。

[延伸閱讀:公共 Wi-Fi 基地台安全嗎?]

根據 Ars Technica 的引述:「US-CERT 目前已掌握多個 WPA2 加密協定四向交握 (4-way handshake) 流程相關的金鑰管理漏洞。這些漏洞可能引發的問題包括:封包解密、封包轉遞、TCP 連線挾持、HTTP 內容注入…等等。請注意,由於這是通訊協定層次上的問題,因此所有或絕大部分正確實作該協定的裝置都受到影響。」

研究人員指出,有 41% 的 Android 裝置將受到 KRACK 攻擊手法的影響,而 Linux 系統也受到嚴重影響。此外 Apple、Windows、OpenBSD、MediaTek 以及 Linksys 的裝置也同樣受這批漏洞影響。以下是這批漏洞的 CVE 編號清單:

[延伸閱讀:BlueBorne:數十億裝置因藍牙漏洞而有遭駭客攻擊的危險]

發現這批漏洞的兩位研究員:Mathy Vanhoef 和 Frank Piessens 預定在 即將舉行的 ACM Conference on Computer and Communications Security (CCS) 研討會上發表其研究結果。此外,兩位研究員針對 WPA2 的安全性還有其他相關研究,目前正針對今年八月在 Black Hat Conference 駭客研討會上 展示 的成果做進一步的探討。該研究詳細說明 Wi-Fi 交握機制實作邏輯上的一些漏洞,以及可採取哪些應對措施。去年, 兩位研究員也曾發表一份研究報告指出 WPA2/802.11 群組金鑰可能如何遭到解密及濫用。

[資安指南:防範中間人 (MitM) 攻擊]

五招降低 Wi-Fi 網路與裝置遭到攻擊的危險

有鑑於這批漏洞的潛在影響,IT 系統管理員、資安人員及一般使用者最好採取一些最佳實務原則與並養成良好習慣來降低 Wi-Fi 網路與裝置遭到攻擊的危險: Continue reading “WPA2 加密機制爆漏洞, 五招自保以防Wi-Fi 上網遭偷窺”

監視器竟變成直播鏡頭?

監視器竟變成直播鏡頭?

監視器竟變成直播鏡頭?

監視器竟變成直播鏡頭?

監視器竟變成直播鏡頭?

如何避免智慧家電被惡意操控?

有家網站 收集了超過 73,000 支攝影機的錄影畫面 。這並不是高深的駭客所為,而是這些被偷窺者從頭到尾都沒有更改攝影機出廠時的初始密碼。相關報導:
駭到你家!73,000 支監視器遭「合法」偷窺,台灣 155 部影片無料觀賞

研究人員 Mike Olsen 提出警告,Amazon 上販賣的某些產品暗藏了惡意程式。根據 Olsen 的說法,他在調校一批向朋友購買的戶外型監視攝影機時發現攝影機暗藏了惡意程式。而販售的廠商 Urban Security Group (USG) 在網路上的評價大致良好,而且還針對了某款 Sony 攝影機提供特惠組合方案。 Continue reading “監視器竟變成直播鏡頭?”

【LINE常見問題】 3 步驟擺脫陌生好友、陌生訊息的糾纏

 

【LINE常見問題】 3 步驟擺脫陌生好友、陌生訊息的糾纏

【LINE常見問題】 3 步驟擺脫陌生好友、陌生訊息的糾纏

【LINE常見問題】 3 步驟擺脫陌生好友、陌生訊息的糾纏

【LINE常見問題】 3 步驟擺脫陌生好友、陌生訊息的糾纏

是不是覺得LINE的好友太多,但有許多卻是莫名其妙出現的陌生人呢?有時候雖然是認識的人,但也沒有很熟識,突然就被加入LINE了呢?有沒有常常被陌生人的訊息騷擾而覺得很煩呢?

這是因為LINE預設的設定的緣故,所以只要您的手機通訊錄有增加新的號碼,LINE就會去讀取並自動幫你新增好友,所以只要我們針對特定的設定進行調整,就不會再有這種狀況發生囉~

今天,讓趨勢科技3C好麻吉來教您怎麼把LINE掌握在自己手中吧,讓您再也不會遭受陌生人的騷擾。

 

1.將「阻擋訊息」打開 Continue reading “【LINE常見問題】 3 步驟擺脫陌生好友、陌生訊息的糾纏”

BlueBorne藍芽漏洞,恐讓數十億裝置暴露於遠端挾持風險 

你是否也在使用藍牙裝置?那麼你該檢查一下你的裝置是否隨時開啟藍牙連線。不論筆記型電腦、智慧型手機,或任何物聯網 (IoT) 裝置,只要是具備藍牙功能,就有可能遭到惡意程式攻擊,讓駭客從遠端挾持裝置,而且完全不假使用者之手。

BlueBorne藍芽漏洞,恐讓數十億裝置暴露於遠端挾持風險 

BlueBorne 是什麼?

「BlueBorne」是一群由 IoT 資安廠商 Armis 所命名的藍牙漏洞。根據該廠商所提供的詳盡說明,這群存在於藍牙實作上的漏洞遍及各種平台,包括:Android、Linux、iOS 以及 Windows。駭客一旦攻擊成功,就能從遠端挾持裝置。除此之外,駭客還有辦法從一個藍牙裝置跳到另一個藍牙裝置。BlueBorne 漏洞可讓駭客執行惡意程式碼、竊取資料以及發動中間人 (MitM) 攻擊。

BlueBorne 是一群漏洞的總稱,包括以下幾項:

  • CVE-2017-1000251:Linux 核心遠端程式碼執行 (RCE) 漏洞
  • CVE-2017-1000250:Linux 系統藍牙實作資料外洩漏洞 (BlueZ)
  • CVE-2017-0785:Android 系統資訊外洩漏洞
  • CVE-2017-0781:Android 系統 RCE 漏洞
  • CVE-2017-0782:Android 系統 RCE 漏洞
  • CVE-2017-0783:Android 系統藍牙 Pineapple 中間人 (MitM) 攻擊
  • CVE-2017-8628:Windows 系統藍牙實作 MitM 攻擊
  • CVE-2017-14315:Apple 低功耗音訊通訊協定 RCE 漏洞

BlueBorne 無線連線攻擊,可竊聽、攔截或重導兩個藍牙裝置之間的通訊

根據發現 BlueBorne 漏洞的資安研究人員估計,全球約有 53 億個藍牙裝置受到影響。藍牙是一種無線連線規格,今日幾乎無所不在,而且全球有超過 82 億個裝置皆內建藍牙功能,其用途包括多媒體串流、資料傳輸、電子裝置之間的資訊廣播等等。  Continue reading “BlueBorne藍芽漏洞,恐讓數十億裝置暴露於遠端挾持風險 “

行動裝置應用程式安全-六個開發人員須知

根據報導,2016 年有 69% 的企業部門使用兩至五種行動裝置應用程式,前一年增加 66%。

對企業而言,行動平台確實已經無所不在。它和許多新興的平台一樣,將會創造龐大的機會,尤其是以企業為目標的開發人員,

但這將對資料處理方式帶來何種影響?

[請參閱:行動裝置應用程式如何成為下一波網路犯罪的邊境]

根據報導,光是 2017 年 6 月,就有超過 1,000 個 Android 及 iOS 企業應用程式在應用程式與後端系統之間有不安全的通訊,暴露的資料量大約有 43 TB,至少有 39 個受影響的應用程式洩漏了 2.8 億筆個人身分資訊 (PII)。2016 年的一項研究發現,醫療保健及金融相關的行動裝置應用程式中,有 90% 含有重大的安全漏洞。

這些資訊呼應了「開放網路軟體安全計畫」(Open Web Application Security Project,OWASP) 最新版的常見行動裝置風險列表,這些風險包括多餘的功能、不安全的資料儲存方式及網路,有些應用程式幾乎完全沒有驗證及加密機制,無法阻止駭客進行逆向工程,重新封裝、欺騙或修改應用程式。

舉例來說,這些應用程式秘密允許存取裝置功能 (例如相機或錄音程式) 及各種個人身分資訊 (例如相片、聯絡人、簡訊、行事暦、位置及瀏覽記錄)。這些應用程式如果落入網路犯罪者的手中,顯然會帶來嚴重的後果。

無論是企業,或是一般使用者,隱私也是行動裝置應用程式重要的議題,行動裝置應用程式必須徹底檢查安全性,以免資料遭到濫用及感染惡意程式。最近發生在 UberBrightest FlashlightPathKim Kardashian: Hollywood 行動裝置應用程式,以及小米的智慧型手機等事件,都是最佳的案例。

[請參閱:2016 年行動裝置威脅概況]

由於職場自攜設備 (BYOD) 工作方式的盛行,各種應用程式使用相同的網路,存取相同的資料,行動裝置生態系統讓工作與個人用途之間的界線更加模糊。儘管有各種挑戰,行動裝置應用程式開發人員仍有一些對策可提供企業資源,同時不犧牲企業的安全性與個人隱私。

六個開發人員須知:

1.    強制實施最小權限原則

將您應用程式執行時的權限要求,限制在必要的資訊或裝置元件範圍內。安全漏洞及惡意程式會利用使用者提升的權限。行動裝置並無不同。瞭解您所收集的資料,讓您可以清楚地定義您應用程式的信任邊界。確保您的應用程式設計介面 (API) 在其工作流程中實行此原則。

[趨勢科技白皮書:虛假應用程式:假冒真實性]

2.    實行堅實授權及多要素驗證

應用程序的驗證及授權中的缺陷,是行動裝置威脅常見的攻擊途徑,這些管道讓駭客透過中間人攻擊冒充其他使用者,或者存取裝置或應用程式的功能 (繞過 PIN 碼、將惡意程式碼注入應用程式等)。這些都是網路銀行應用程式的致命傷,例如取得一般使用者的銀行帳戶並竊取金融記錄,即可藉此獲利。開發人員應保護各項功能的安全,例如驗證員工的使用者身分,或判斷消費者可在應用程式中存取或執行哪些資源。 Continue reading “行動裝置應用程式安全-六個開發人員須知”

下載應用程式至業務用手機,沒關係嗎?

 

下載應用程式至業務用手機,沒關係嗎?

下載應用程式至業務用手機,沒關係嗎?

下載應用程式至業務用手機,沒關係嗎?

下載應用程式至業務用手機,沒關係嗎?

是否曾經下載應用軟體至公司所配給的手機上?一般而言只要智慧型手機一到手,任何人都會想要下載自己喜歡的應用軟體吧。但是,公司所配給的智慧型手機未經過公司同意是嚴禁擅自下載應用軟體。

一般人透過第三方應用程式商店和分享網站下載時,往往不會檢查所下載應用程式的真實性,不瞭解這些應用程式中有很大量是惡意的。網路犯罪分子經常會偽裝成新或受歡迎應用程式的合法下載來誘騙使用者,如Super Mario Run(超級瑪利歐酷跑)。讓某些應用程式特別危險的是,它們運作起來看似很像真正的應用程式,但會包含其他的惡意程式碼,如垃圾廣告,甚至是惡意軟體。 Continue reading “下載應用程式至業務用手機,沒關係嗎?”

害怕下一波勒索病毒找上你?六招未雨綢繆

網路犯罪者把勒索病毒當作金雞母,近期 Google 研究顯示,在過去兩年內,網路勒索者想方設法從受害者身上撈到超過 2,500 萬美元。其他估值則顯示企業和網民單在 2016 年內就繳出了 10 億美元。

無論最終數值為何,從五月在全球各地爆發的 WannaCry(想哭)勒索蠕蟲 可看出,如今勒索病毒的威脅已是防不勝防。

那我們又該如何讓最珍貴的資料維持安全無虞?

新型的勒索病毒2016年出現 752%大幅成長

勒索病毒 Ransomware (勒索軟體/綁架病毒)是一種惡意軟體,會鎖住電腦讓受害者無法使用,或許會凍結螢幕畫面,但更常見的是將所有檔案加密,讓檔案變得無法讀取或存取。這種所謂的「加密勒索病毒」會要求使用者以比特幣或其他類似的貨幣來支付贖金,以獲得解密金鑰,重新取回檔案的存取權限。此金鑰所需的費用可能為幾百美元不等,但也有可能竄高到將近 1,000 美元,而且無法保證付款後就能取回資料。

勒索病毒的威脅其實早已存在約有十年之久,只是近幾年才開始爆發。趨勢科技發現,新型的勒索病毒單是去年就出現 752% 的大幅成長。壞消息是,在網路犯罪黑市販售的現成套件讓罪犯輕輕鬆鬆就能下手,無需專業技術知識也可以犯罪。以往他們的犯罪範圍鎖定在醫院學校廣播電台上,甚至舊金山城市鐵路也曾淪為目標。每個人都有可能遭受威脅。

試想,假如明天要登入電腦的時候,卻發現駭客迅雷不及掩耳地鎖住了您的電腦,還把鑰匙拿走了,會是什麼景況?最珍貴的家人照片、影片、工作文件、稅務資料和其他財務資訊可能就此永遠消失。

幸運的是,只需採取幾個謹慎步驟,就能大幅降低遭到攻擊的機會。

勒索病毒防不勝防:該如何保護我的資料?六招未雨綢繆!

有好幾種方式會致使電腦暴露在勒索病毒的威脅之下。若造訪遭入侵的網站,便可能會意外下載到勒索病毒,網站或許看起來合法正派,在廣告之中卻可能潛藏著惡意軟體。勒索病毒也會躲在其他惡意軟體背後一起入侵,或是藏在網路釣魚郵件和垃圾郵件的附件、連結裡。

預防是最好的應對方式,因為一旦勒索病毒本身感染了裝置,可能會無法移除。大家都知道,沒有一種「萬靈丹」能保證 100% 免受這類威脅影響。因此趨勢科技採取的做法是,以跨世代的多層防護作為基礎,提供豐富的安全控制功能,專為遏止經由漏洞潛入的惡意攻擊所設計。最新的強化功能在於機器學習,能在未知的惡意軟體變種造成任何傷害前,先發現其蹤跡並加以封鎖。

以下為必須牢記的六個關鍵要點: Continue reading “害怕下一波勒索病毒找上你?六招未雨綢繆”

資料外洩:Equifax被竊走1.43億個資,消費者該做的五件事!

Equifax是替金融及保險機構計算信用評分的主要信用報告公司之一,該公司在2017年9月7日據報出現大規模的資料外洩事件,被竊走1.43億人包括社會安全號碼、出生日期和住家地址的客戶資料,還包含一些駕照號碼、信用卡號碼和爭議文件。雖然數量可能不若之前的一些巨型資料外洩事件,但遭竊的資料類型會給受影響用戶帶來多種風險。這些資料可以被用在身份竊盜詐騙、退稅詐騙、社會保險詐騙及其他許多嚴重的攻擊中。

為了回應這起資料外洩事件,Equifax已經架設一個包含此事件相關資訊的網站供有疑慮的人檢查自己是否受到影響,只要點擊“Potential Impact(可能受到影響)”的選項。想確認的人應該要確保自己進行時使用的是安全的電腦和安全連線。Equifax還提供一年份免費的TrustedID服務,它提供了信用資料監控和身份竊盜保護。一開始,使用條款上包含了申請TrustedID服務的客戶要放棄對Equifax公司採取法律行動,但這條已經從網站上移除。

現在該做什麼?

以下是如果你有受到影響可以採取的建議作法: Continue reading “資料外洩:Equifax被竊走1.43億個資,消費者該做的五件事!”

手機上LINE 通知聲擾人清夢,如何暫時停止 LINE 的通知?

不曉得大家有沒有過這樣的經驗?每天被群組訊息傳來的通知聲吵到想砸爛手機、朋友瘋狂上傳照片導致叮咚聲不間斷、半夜睡覺時聽到LINE傳來無數個的訊息提示音……等等。尤其是在會議、聊天或是睡眠時,這些叮咚聲的干擾很大,讓人煩躁到想把手機摔爛。那麼究竟該怎麼將提示音給關閉呢?

我睡覺時不要 LINE 我啦
我睡覺時不想被 LINE 吵醒

Continue reading “手機上LINE 通知聲擾人清夢,如何暫時停止 LINE 的通知?”

【常見資安問題】分享照片在社群網站(如 Instagram)有可能洩漏居家位置嗎?/防毒軟體就像門鎖,越多越安全?/上飛機前一定要來個自拍上傳 FB ?

q4


 

  1. 使用公共的手機充電器安全嗎?
  2. 借用別人的 Wi-Fi 上網安全嗎?
  3. 付費的公共無線網路安全無虞?
  4. 著名景點如迪士尼樂園, 紐約時代廣場,Wi-Fi相對安全?
  5. 分享照片在社群網站(如 Instagram)有可能洩漏居家位置嗎?
  6. 在五星級飯店刷卡會發生個資外洩嗎?
  7. 防毒軟體就像門鎖,越多越安全
  8. 朋友邀請我安裝 FB 官方不讚(dislike)按鈕,既然是官方版應該沒問題
  9. 尋找廠商技術支援,找 Google 大神最安全?
  10. Facebook帳號被盜,也會波及其他帳號安全?
  11. “好久沒來了吧,有人想你了..” 明知道是詐騙訊息,故意裝傻跟她玩一玩不會有損失
  12. 上飛機前一定要來個自拍上傳 FB ?
  13. 吃大餐時一定也要拍照上傳?
    1. 使用公共的手機充電器安全嗎?

      q2
      目前這類手法仍屬於驗證性質,並未發現實際的病毒程式在外流竄。 另外iPhone具有較高的安全性,Apple一旦發現新漏洞也都會主動釋出更新程式。若Apple釋出更新程式,建議進行更新以取的最佳的安全性。延伸閱讀這篇文章作者提到一種新型態的駭客能將資料經由公用充電站從行動設備(像智慧型手機或平板)擷取出來。作者提到「在熱門公共區域設置假的充電區或入侵現有的充電站都相當容易,只需要價值約50到60元澳幣的電子元件和幾個小時在家準備。」

    2. 借用別人的 Wi-Fi 上網安全嗎?
      q3
      當您使用開放的 Wi-Fi 網路時,任何心懷不軌的人,都能透過一些網路上現成的工具來查看您的瀏覽階段內容。幾年前,某位資訊安全研究人員甚至將這類「窺探」工具做成知名瀏覽器 FireFox 的外掛程式 (並取名為:Firesheep)。歹徒甚至可以連上相同的網路,然後在您渾然不覺的情況下取得您的電子郵件或銀行帳號登入資訊,或是其他資訊。這可不是件好玩的事。
      》到這裡看更多
    3. 付費的公共無線網路安全無虞?
      可別以為,您向親切的吧台人員、飯店櫃台、咖啡店老闆索取到店內的網路密碼,您就安全無虞,因為,歹徒也可能跟你一樣擁有密碼。就算是付費的開放 Wi-Fi 熱點也不會比較安全。
      》到這裡看更多
    4. 著名景點如迪士尼樂園, 紐約時代廣場,Wi-Fi相對安全?
      一項報告指出公共wifi可能會因保全人力不足,而容易遭入侵,竊取個人資料,其公布的全球15個最不安全Wifi地點,包含:
      .紐約時代廣場
      .巴黎聖母院
      .巴黎迪士尼樂園
      .舊金山金門公園
      .香港海洋公園
      一份研究顯示,全世界有64%的旅館提供某種形式的免費無線網路,一般而言,提供給旅客的上網服務通常是開放的無線網路,這表示它面對任何攻擊時都不安全。對於攻擊者來說,從開放熱點截取網路、甚至是做個假熱點來執行中間人攻擊,都是輕而易舉的事。
      》到這裡看更多
    5. 分享照片在社群網站(如 Instagram)有可能洩漏居家位置嗎?
      社群網站雖然方便有趣,公開資訊時還是必須留意,免得像小明一樣,不小心將自己的體重洩漏給大家知道了,提醒大家除了貼文本身的內容外, 也要當心上傳照片時,GPS公開你的拍攝位置。以廣受歡迎的照片分享社群網站Instagram為例,其「照片地圖」功能,可將位置資訊加入照片中,然後顯示在地圖上。旅遊時,開啟「新增照片地圖」並張貼照片,即可在地圖上回顧旅途的點點滴滴。必須注意的是,在不自覺的情況下新增含有個人位置資訊的照片。一旦在Instagram網站中開啟「新增照片地圖」功能,下一次張貼照片時將會記住上次的設定而自動設為開啟。若未仔細查看設定而張貼在家裡拍攝的照片,其他人就能推測出使用者住家的位置。為了不讓使用社群網站的快樂分享變成尷尬的回憶,公開資訊時請特別留意。
      》到這裡看更多
    6. 在五星級飯店刷卡會發生個資外洩嗎?quiz HD 1026近年有住過希爾頓飯店嗎? 相關的駭客入侵活動可能在2014年11月開始,至今仍持續.
      》到這裡看更多
    7. 防毒軟體就像門鎖,越多越安全
      一台電腦中僅能安裝一套防毒軟體,同時使用兩種以上的防毒軟體,不但沒辦法達到雙重防護的效果,反而更容易使得電腦門戶大開,嚴重受到病毒威脅,連帶還會影響電腦的執行效能。所以在安裝新版防毒軟體之前,記得一定要先移除舊版
    8. 朋友邀請我安裝 FB 官方不讚(dislike)按鈕,既然是官方版應該沒問題
      自從Facebook宣布即將推出”不讚” 或“同情”按鈕之後,已經陸續出現相關鼓勵受害者“立即下載官方不讚按鈕”詐騙,一旦安裝後,該惡意應用程式會用受害人的名義發文,第一則貼文就是要引誘更多朋友上當
    9. 尋找廠商技術支援,找 Google 大神最安全?
      雅虎信箱被盜,搜尋解決方案,竟”找”到麻煩:假技術支援中心,藏身搜尋結果,伺機詐財
      》看更多
    10. Facebook帳號被盜,也會波及其他帳號安全?
      犯罪分子可以用竊來的Facebook帳號存取其他要求Facebook登錄的網站。從那裡,犯罪分子可以竊取可能在另一個網站上找到的敏感資料。再拿乘車共享應用程式Uber做例子,犯罪分子可以用竊來的帳號叫車,然後讓真正的帳號擁有者付車資。
      看更多
    11. “好久沒來了吧,有人想你了..” 明知道是詐騙訊息,故意裝傻跟她玩一玩不會有損失
      一些騙人的約會程式會顯示「親切的」問候訊息,但這些自動回應的罐頭訊息一旦使用者若信以為真而想要回覆這些訊息的話,程式就會要求使用者支付大約 16 美元的月費。》看更多:看片神器?! 以色情為號召的惡意程式威脅中國、台灣及日本 Android 使用者
    12. 上飛機前一定要來個自拍上傳 FB ?
      如果上傳照片內含登機證請小心,美國資深記者柯瑞(Brian Krebs)在部落格裡解釋,為什麼將登機證照片分享出去,可能洩漏個資,因為他發現一個網站,可以將登機證上的條碼進行解碼,除了能查到旅客的姓名以外,還包括班機號碼、出發地、目的地以及未來的每一個航班,甚至可以隨意竄改裡面的個人資料,也許要更改裡面的資料要先通過安全提問,但對於駭客而言,要獲取這些資料不需花費太多心力,特別是在社群網站上總能快速得找到那些需要提問的解答。相關報導

Continue reading “【常見資安問題】分享照片在社群網站(如 Instagram)有可能洩漏居家位置嗎?/防毒軟體就像門鎖,越多越安全?/上飛機前一定要來個自拍上傳 FB ?”