密碼:不會很快就消失

 即使有其他認證方式出現,密碼仍會以輔助方式存在。不然當你的手機或認證裝置被竊時怎麼辦?我們根本沒有準備好面對沒有密碼的世界,不管我們多麼想擺脫它們。

password 密碼

作者:David Sancho(資深威脅研究員)

對於非系統管理者的使用者來說,Heartbleed心淌血漏洞所造成的最大影響是他們不得不去變更所有的密碼。這一點,再加上替代性身份驗證方法的改進(如旗艦智慧型手機現在已經內嵌了指紋辨識),讓我們開始聽到一些對密碼相當大膽的評論。

密碼已經過時了?我聽到一些人說短期內就會被淘汰?沒這麼快!雖然密碼的確不是身份驗證最便捷的方式,而且本質上較不安全,但我們不會這麼快就棄之不用。

密碼的主要優點是每個人都可以馬上使用它們。沒有必要將自己綁定在特定的認證裝置(「我可以發誓,今天早上還在我包包裡!」),位置(「我不能從酒店登入,我忘了自己啟用安全功能了!」)或智慧型手機(「我的手機沒電了!」)。這講法或許有點奇怪,不過強迫使用者擁有智慧型手機(或要求公司配發一個)可能還是過於昂貴。

即使有其他認證方式出現,密碼仍會以輔助方式存在。不然當你的手機或認證裝置被竊時怎麼辦?我們根本沒有準備好面對沒有密碼的世界,不管我們多麼想擺脫它們。

如果這樣,不妨就來學習如何正確地使用它們。這並不難:

首先,在每個網路服務使用不同的密碼,如果你想手動這樣做可能很難,所以最好的方式可能是密碼管理 e 指通。現在你有許多選擇,而且很多都是免費的。 Continue reading “密碼:不會很快就消失"

假 CNN 發佈 Heartbleed (心淌血) 漏洞事件警告

自從Heartbleed心淌血漏洞安全漏洞在本月稍早爆發以來,網路上就出現許許多多的更新程式以及相關討論和細節資訊,從資訊安全專家到網路名人,人人都在討論這個話題。網路犯罪者當然也不放過這樣的大好機會,報導指出其實在漏洞爆發隔天,就偵測到中國大陸1台電腦發動攻擊。趨勢科技也偵測到趁著Heartbleed心淌血漏洞的熱潮,大量散布的垃圾郵件攻擊

圖 1:Heartbleed 垃圾郵件

垃圾郵件(SPAM)而言,這算是一封很平凡的垃圾郵件。內容是一段單純的文字,告訴使用者有關這個 Heartbleed 「網際網路大漏洞」的問題,並提供一些建議和一個所謂CNN報導的連結。該郵件看似來自沙烏地阿拉伯利首都利雅得一位名為「Dexter」的民眾。

但此連結跟本就不是連上 CNN 網站或其網域下的任何網站。如同所有垃圾郵件一樣,它會連到別的網址,但該網址目前似乎已經遭下架而無法連上,因此推測很可能根本就是一個惡意網址。

網路犯罪者隨時都在等待任何可利用的議題來進行社交工程陷阱( Social Engineering)攻擊,例如重大的安全事件或災難。像Heartbleed心淌血漏洞這麼大、這麼嚴重的資安事件,它影響的不僅是今日最熱門的一些網站,就連行動 Aapp 程式也受到影響,因此使用者必須預期威脅很可能以意想不到的方式出現。

Heart bleed 0101_n

您務必隨時保持警戒和懷疑,尤其對於電子郵件。垃圾郵件隨時可能出現在您眼前。一般來說,電子郵件中的連結最好不要點,較安全的作法是直接前往您要去的網站。

當然,只要是趨勢科技的客戶就不用擔心這個垃圾郵件攻擊,因為不論是郵件和所指的網址都會被封鎖。

至於 Heartbleed 漏洞本身,我們已釋出一些工具來讓您保護自身的安全,包括針對 Android 平台的趨勢科技安全達人」免費行動防護App (可在發現有漏洞的 App 時通知您並幫您解除安裝) 以及專為 Chrome 平台設計的Trend Micro OpenSSL Heartbleed Scanner App (可偵測某個網站是否有 Heartbleed 漏洞)。此外,我們也架設了一個專門的網站來協助您檢查某個網站是否含有這項漏洞:Trend Micro Heartbleed Detector 網站

@原文來源 Cybercriminals Take Advantage Of Heartbleed With Spam

作者:Fjordan Allego (垃圾郵件防護研究工程師)

 fHeart bleed  b851x315

Heartbleed漏洞提供了APT 攻擊者新武器!!

只要等待受影響的網站進行更新,接著變更再自己的密碼就沒事了 ?
錯了,Heartbleed漏洞比心血管疾病還要致命一千倍。

Heartblee 心淌血d漏洞提供了APT 攻擊者新武器

Heartbleed漏洞,這是個因為被廣泛使用OpenSSL加密程式庫內的編碼錯誤所造成的漏洞。該漏洞在過去幾天內佔領了所有新聞的頭條,這是理所當然的,因為其對消費者和企業的資訊安全都帶來巨大的風險。

因為它主要的涵蓋範圍可能會讓你認為,只要等待受影響的網站進行更新,接著變更再自己的密碼就沒事了。錯了,Heartbleed漏洞比心血管疾病還要致命一千倍。它的的確確是到目前為止影響最廣的立即風險,這是因為可能受到此漏洞影響的人數,因為受影響網頁伺服器所會暴露的敏感資料(可能包括了密碼和session cookie)。即便是第一波的修補完成,剩餘的風險還是相當巨大。

OpenSSL並不只限於網頁伺服器在用,電子郵件協定、聊天協定和安全虛擬私有網路服務也都有用到。它也可以在世界各地的大量網路和安全產品內找到,所以要解決的路還很長。許多廠商已經開始調查其產品和服務是否存在會受此漏洞影響的OpenSSL版本,而確認受到影響的產品列表還在持續成長中。這注定會是開放給針對性攻擊的季節。 Continue reading “Heartbleed漏洞提供了APT 攻擊者新武器!!"

< Heartbleed心淌血漏洞偵測工具 > 6000個行動應用App會讓你「心淌血」!趨勢科技「安全達人」替 Android 行動用戶把關

高風險App恐洩漏用戶個資      以「生活品味」與「娛樂」類為大宗 

heart bleed for install 0421     

【台北訊】繼上週揭露了會廣泛影響行動 App程式的 Heartbleed漏洞  、以及其可能造成的廣泛危害之後,趨勢科技今(17)日再度公布,目前全球已有高達6000 多種行動App受到波及,其中「生活品味」與「娛樂」App各佔13%,成為受害最嚴重的類別!此外,Android 4.1.1 版作業系統也會受到影響。趨勢科技表示,Heartbleed漏洞的危害遍及各類型的App,用戶應立即安裝可偵測Heartbleed漏洞的手機資安軟體,如趨勢科技安全達人」免費行動防護App等,並立即檢查已下載的App是否安全,才能避免個資或交易資訊被竊取。
heart bleed

趨勢科技資深技術顧問簡勝財表示:「 OpenSSL 加密軟體程式庫的 Heartbeat (心跳) 延伸功能被發現含有一個漏洞稱為Heartbleed漏洞) ,它存在於所有內含 Heartbeat 延伸功能的 OpenSSL 軟體。當伺服器遭此漏洞攻擊時,駭客就能讀取電腦記憶體當中的資料,而且完全不留任何痕跡。」Heartbleed漏洞對用戶造成的影響如下圖:

Heartbleed 500x1500-web_infographic

圖一、Heartbleed漏洞對用戶造成的影響

 

簡勝財進一步指出:「趨勢科技於上週揭露了Heartbleed漏洞後,一直持續監控中,我們發現目前有超過6000 多種 App 程式受到影響,而且遍及各種類型,尤其以『生活品味』和「娛樂」此兩種與消費者日常生活高度連結的App各佔13%為最大宗,為受波及的App類別中第一名!」

 

以下是前十名受波及的行動應用程式App類別:

 前十名受 heart bleed 漏洞波及的行動應用程式App類別

圖二:前十名受波及的行動應用程式 App類別

  Continue reading “< Heartbleed心淌血漏洞偵測工具 > 6000個行動應用App會讓你「心淌血」!趨勢科技「安全達人」替 Android 行動用戶把關"

大約有 6,000 個行動應用程式,仍然受到 Heartbleed 漏洞影響

大約有6,000個應用程式仍然受 Heartbleed漏洞到影響,我們看到有很大一部分生活類的應用程式受到 Heartbleed漏洞 影響,這些應用程式包括了點餐、雜貨、設備、看書、優惠券、服裝、家具等等。也就是說,如果使用者透過其中一個受影響應用程式來點餐或買東西,跟訂單相關的資訊,像是使用者憑證和家裡地址,或更糟的是信用卡資料,都有可能被外洩。

Heartbleed

內建的OpenSSL程式庫讓應用程式和Android 4.1.1也會受到Heartbleed影響

趨勢科技之前的文章裡提到,行動應用程式也會受到Heartbleed漏洞的影響。這是因為行動應用程式可能會連上受漏洞影響的伺服器。不過看起來行動應用程式本身可能也會因為內建的OpenSSL程式庫而受此漏洞影響。

OpenSSL程式庫出現在Android 4.1.1和某些行動應用程式

們所擁有的資料顯示,雖然OpenSSL整合在Android系統內,但只有Android 4.1.1會受到Heartbleed漏洞影響。在此版本的設備上,任何會使用OpenSSL來建立SSL/TLS連線的應用程式都可能會受到影響,可能會被惡意份子用來從設備記憶體內擷取使用者資料。

然而,即使設備不是使用受影響的版本,也有可能因為應用程式本身而造成問題。我們在Google Play上發現了273個內建受影響版本的獨立OpenSSL程式庫,意味著這些應用程式可以在任何設備上受到危害。

在這份名單中,我們看到了去年最受歡迎的遊戲、一些VPN客戶端、一個安全應用程式、一個流行的影片播放程式、一個即時通應用程式、一個VOIP電話應用程式和其他許多軟體。正如你可能已經知道,OpenSSL程式庫被應用程式用來做為安全通訊之用。許多應用程式都來自知名的開發者。我們還發現此漏洞存在於舊版本的Google應用程式。

圖一、容易受到Heartbleed影響的包括那些極受歡迎的應用程式

 

這些應用程式會用靜態連結到有漏洞的OpenSSL程式庫,如下圖所示:

圖二、有漏洞的OpenSSL程式庫

 

如果應用程式所連上的遠端伺服器被入侵,那麼反向客戶端Heartbleed攻擊是有可能的。反向Heartbleed攻擊就會讓設備記憶體內容洩漏給攻擊者。該記憶體內容可能包含這些應用程式儲存在本地端的任何敏感資料。如果你使用有漏洞的VPN客戶端或VOIP網路電話應用程式來連上一個惡意服務,你可能會失去你的私鑰或其他憑證資料,那麼駭客就可以開始用來偽造你的身份和做其他不好的事情。 Continue reading “大約有 6,000 個行動應用程式,仍然受到 Heartbleed 漏洞影響"

首位 Heartbleed漏洞駭客,竊取納稅人個資被捕!「你連上的網站會被Heartbleed漏洞影響嗎?」

根據法新社報導,加拿大聯邦警察逮捕1名19歲男子,並指控他利用Heartbleed漏洞,竊取900名加國納稅人的資料。加拿大國稅局因Heartbleed漏洞關閉多天。

Heartbleed 漏洞 – 一周了,心還在持續淌血嗎?

Heartbleed 漏洞攻擊已經成真。

這個漏洞已經佔據了過去一週的新聞頭條(理所當然的)。此一問題影響到的規模很龐大。OpenSSL已經被整合到許多的開發專案內。它可能是最常被用到的安全程式庫。

Heartbleed

在上個禮拜五晚上(2014年4月11日),CloudFlare的挑戰成功的被Fedor Indutny和Ilkka Mattila所擊敗。

Capture

這挑戰很簡單。CloudFlare建立了一個有Heartbleed漏洞的伺服器。然後,他們要求社群利用這個漏洞來擷取該網站的SSL憑證私鑰。

就在一天之內,不只有一個,而是有兩個人成功地完成任務。

Megan Guess在Ars Technica提供了更多的資訊。不過你要知道的是,這對於Heartbleed會造成真正而實質性的風險提供了確切的證據。在此之前,我們(資訊安全社群)知道有可能從記憶體中擷取金鑰,但很難在沒有證據前說服別人。現在,我們已經有了。

 

我該怎麼辦?

我們已經建立這個簡短的(4分30秒)影片來解釋heartbleed和你可以做些什麼來保護自己和你的使用者。更多細節和連結如下。

 

我是個使用者;我可以做些什麼?

作為一個使用者,當連上一個網站或存取一個線上應用程式前要先問自己一個簡單的問題,「這個網站還會被Heartbleed漏洞影響嗎?」

如果答案是不會,立即修改你的密碼。請記得在你的每個帳號都使用獨特的密碼。如果你有許多的網路帳號,你可能會需要一個密碼管理程式,可以輕鬆地幫你管理每一個服務上的獨特密碼。

檢測工具:

想要線上購物或進行網路交易又怕怕的嗎?輸入網址,檢測網站是否有相關漏洞,到這邊安裝檢測工具

Heartbleed detector

 

Continue reading “首位 Heartbleed漏洞駭客,竊取納稅人個資被捕!「你連上的網站會被Heartbleed漏洞影響嗎?」"

心跳(Heartbeat)停止:Heartbleed OpenSSL漏洞分析

軟體會有漏洞是我們必須面對的現實,如果我們夠幸運且夠勤快,那就可以在網路犯罪份子攻擊它之前先加以修補。事實並不一定總是如此,但幸好那些算是例外,而不是常態。

Heartbleed

不過最近新聞爆出了一個關於 OpenSSL 的Heartbeat擴充程式漏洞,這是個開放原始碼工具包,用來幫助網站管理員和開發人員讓交易更加安全。而這個漏洞如果被利用的話(因為此漏洞的本質,所以沒辦法知道網路犯罪份子是否已經如此做),可能代表有許多使用OpenSSL的網站和應用程式上的交易已經被危及了。

什麼是Heartbeat OpenSSL擴充程式?

OpenSSL在2011年12月左右推出名為Heartbeat的擴充程式,隨著1.0.1編譯版本發佈,被定義在RFC 6520 TLS/DTLS Heartbeat擴充程式。這個擴充程式的功能是幫助避免重新建立會話,並允許一個讓SSL會話可以維持更久的機制。該 RFC 建議 HeartbeatRequest 必須用HeartbeatResponse訊息回答。這結果會保存網路資源,資源一般用在完整會話的重新協商。

這裡要指出的是,OpenSSL被用在許多網站和軟體上,從開放原始碼的伺服器(像Apache和Nginx),到電子郵件伺服器,聊天伺服器,虛擬私有網路(VPN),甚至是網絡設備。

因此,可以很合理的假設Hearbead擴充程式已經被大量地應用,也讓這漏洞的影響範圍真的相當廣泛。

 

了解Heartbleed臭蟲

該漏洞被稱為Heartbleed臭蟲,存在於所有實作Heartbeat擴充程式的OpenSSL。當攻擊一個有漏洞的伺服器時,可以讓攻擊者一次讀取部分(最多64KB)的電腦記憶體而不會留下任何痕跡。

這一小塊記憶體可能會包含使用者重要的個人資料 – 私鑰、使用者名稱、密碼(在很多情況下是以明文的形式)、信用卡資料以及機密文件等等。攻擊者可以一再地要求記憶體區塊以盡可能地獲取他們所想要的資訊。而且這個漏洞可以被任何人從網路上的任何地方加以攻擊。

一個主要的網路內容供應商也受到此漏洞影響,他們迅速努力地修復它。但在它修復之前,有些惡意份子可能已經竊取了敏感資料。 Continue reading “心跳(Heartbeat)停止:Heartbleed OpenSSL漏洞分析"

手機購物竟”心在淌血”!!Heartbleed臭蟲, 影響銀行,線上支付,網路購物等手機/行動應用程式

趨勢科技掃描了大約390,000個來自Google Play的應用程式,發現約有1,300個會連到有漏洞的伺服器。其中有15個銀行相關應用程式,39個和線上支付有關,10個和網路購物有關。

Heartbleed手機購物竟”心在淌血”!!Heartbleed臭蟲, 影響銀行,線上支付,網路購物等手機/行動應用程式 前不久,OpenSSL 加密軟體程式庫的 Heartbeat (心跳) 延伸功能被發現含有一個漏洞,此漏洞被戲稱為 Heartbleed (心在淌血) 臭蟲,它存在於所有內含 Heartbeat 延伸功能的 OpenSSL 軟體。當伺服器遭此漏洞攻擊時,駭客就能讀取電腦記憶體當中的資料 (每次最多 64KB),而且完全不留任何痕跡。

Heartbleed臭蟲的嚴重性已經讓無數的網站和伺服器急著去解決這問題。而且這是有理由的,一個由Github所進行的測試顯示,在前10,000名網站(根據Alexa排名)中,有600個受此弱點影響。在掃描的時候,受影響的網站包括了雅虎 、Flickr、OKCupid、Rolling Stone和Ars Technica。

延伸此一安全漏洞的涵蓋率帶出另一個問題,「行動設備也會受到影響嗎?」簡單的說:是的。

行動應用程式,不管我們喜不喜歡,也一樣地容易受到網站的Heartbleed臭蟲影響。因為應用程式通常會連到伺服器和網頁服務來完成各項功能。正如我們之前的文章所提到,有相當大數量的網域受到此漏洞影響。

手機購物竟”心在淌血”!!Heartbleed臭蟲, 影響銀行,線上支付,網路購物等手機/行動應用程式

假如你只是要進行應用程式內購買的動作,所以你需要輸入信用卡資訊。你做完之後,行動應用程式就會為你完成交易。當你拿到了你要的遊戲,你的信用卡資料也會儲存在行動應用程式所進行交易的伺服器上,並可能在那待上一段長度不等的時間。因此,網路犯罪分子可以利用Heartbleed漏洞來攻擊該伺服器以取得資料(如信用卡號碼)。就是這麼地簡單。

那如果應用程式不提供應用程式內購買呢?他們就安全於此漏洞嗎?也不是,只要它會連到網路伺服器,就還是會被此弱點影響,即便你的信用卡不會被影響到。例如,你的應用程式可能會要求你在社群網路上幫他們按「讚」或「關注」他們以拿到免費獎勵。

假設你決定這樣做,並且按下「確定」。你的應用程式有可能會自己去打開網頁,透過自己的應用程式內瀏覽器讓你去登入社群網路。我們並不是說你所連上的社群網路一定會被Heartbleed漏洞影響,但可能性是存在的,因此也就會有風險。 Continue reading “手機購物竟”心在淌血”!!Heartbleed臭蟲, 影響銀行,線上支付,網路購物等手機/行動應用程式"