漏洞攻擊 - 資安趨勢部落格

Heartbleed 心淌血漏洞：一個和孩子談論保護線上個人資料的機會

2014 年 05 月 01 日2014 年 04 月 28 日趨勢科技 TrendMicro

已經有許多的新聞圍繞著最近所發現的Heartbleed心淌血漏洞。這裡不提太多的技術細節，基本上它會讓許多網站有可能去洩漏出人們提交給這些網站的個人資料。這包括了購物網站、社群網路、電子郵件服務、音樂串流媒體服務以及遊戲網站，因為這世上有許多網站都同樣的使用被影響的技術。

每當有這樣的事件發生，都是個機會教育來和你的孩子談論如何分享和守護線上個人資料。首先要自己找出更多的相關訊息。然後和孩子分享你所知道的資訊。並且提醒他們，當我們在網上分享資訊時，總會有落入他人手裡的風險，有可能是因為他們做了什麼，或沒有盡可能地保護好它。

一些事實

我們所知道的是，這個漏洞已經存在了至少兩年，有66％的網站都使用了會受此漏洞影響的技術。但到2014年4月8日為止，根據我們的研究人員，並非所有網站都會受此漏洞影響。許多組織已經在檢查建置自己網站的伺服器是否會受此漏洞影響，並且嘗試加以修復。我們也知道，如果你使用的是已修復的網站，那應該就沒有問題。

我們所不知道是，某一特定網站可能已經曝露個人資料有多久了，像是使用者名稱、密碼、信用卡、電話號碼和家裡住址。我們也不知道有多少不良意圖的人，在出現漏洞的這段期間內拿走了那些資料。

第一起因為Heartbleed心淌血漏洞而被補的案件出現在加拿大。一人被捕並被指控駭客攻擊政府國稅局網站，竊取了900個社會保險號碼。這可能只是我們探索Heartbleed漏洞影響有多深遠的開始。

孩子的良好習慣

底下是一些可以幫你孩子培養的良好上網習慣：

只上少數的網站，這樣就可以好好管理並更常地加以檢查。過多網站意味著他們的電子郵件地址、密碼和其他個人資料會出現在網路上的太多地方。繼續閱讀

<更新版>第一個 Windows XP 系統終止支援後出現的重大IE漏洞

2014 年 04 月 30 日2014 年 05 月 03 日趨勢科技 TrendMicro

此篇文章的原始版本裡提到Windows XP不會有針對此弱點的修補程式。不過微軟已經發佈了針對此弱點的安全更新（MS14-021），其中也包含了Windows XP。本文也隨之更動相應段落。

在上週末，微軟發布了安全通報2963983，內容描述一個Internet Explorer的新零時差漏洞。（它被分配CVE編號為CVE-2014-1776）。

這個遠端執行程式碼漏洞讓攻擊者可以在受害者系統內執行程式碼，如果該使用者連上了攻擊者所控制的網站。雖然已知的攻擊針對了三個版本的IE（IE9到IE11），但是它相關的漏洞存在於今日還在使用中的所有IE瀏覽器版本（從IE6一直到IE11）。

這樣一個嚴重的漏洞並不完全只有壞消息。首先，該漏洞只會用系統登入使用者的相同權限來執行程式碼。因此，如果使用者帳號沒有系統管理者權限，惡意程式碼就不會以系統管理者權限執行，這部分地降低了風險。（當然，這僅僅是當使用者帳號沒有被設定為系統管理者時才成立。）

其次，一些解決方法已經被提供在微軟的通報內；其中以啟用增強地受保護模式（一個只存在於IE10和IE11的功能）最容易做到。漏洞攻擊碼需要使用Adobe Flash才能執行，因此停用或移除IE瀏覽器的Flash Player也會降低此漏洞的威脅。

更新於2014年4月28日，美西時間中午12:30

這是第一個會影響Windows XP而不會被修補的漏洞。停止了對軟體和作業系統的支援，讓使用者和和組織更容易受到威脅。不過，也有一些解決方案可以幫助解決或減輕此一困境。虛擬修補可以補足傳統的修補程式管理策略，因為它可以在實際修補程式可用前，先「虛擬修補」受影響的系統。另一個好處是，它可以「虛擬修補」支援終止的應用程式。例如，趨勢科技Deep Security就一直在支援Windows 2000上的漏洞問題，甚至在此作業系統支援終止之後。繼續閱讀

Windows XP系統轉移,Heartbleed漏洞持續淌血 ….IT人員你累了嗎?

2014 年 04 月 29 日2014 年 04 月 25 日趨勢科技 TrendMicro

到目前為止，今年都是讓企業IT人員特別緊張的一年。年初的時候，關於資料外洩的擔憂和端點銷售系統POS惡意軟體讓零售業者大操其心。

Windows XP系統轉移這長久以來的頭痛問題也到達了臨界點，因為四月就要結束對這古早操作系統的支援。通常每個月都會有個關於資安的頭條新聞，但是一個被稱為Heartbleed心淌血漏洞OpenSSL卻是絕對的不受歡迎。

因為這發生的一切，所以如果IT安全人員累了，或是疲於修補漏洞是有點說得過去的。希望這些團隊可以在這些緊張的時刻得到適當的休息，因為訓練有素且有能力安全人員的重要性是不可低估的。

雖然技術解決方案所扮演的角色得到更多的關注（較頻繁也更多資金），這些解決方案如果沒有知道該如何用的專家就會變得毫無價值。面對今日的攻擊環境，並不只是需要更加複雜的工具；還需要訓練有素的IT安全人員來做決策，利用工具所提供的最佳資訊以及威脅情報來進行處理。

不幸的是在許多組織中，這些團隊都被冷落和視為成本中心。這聽起來不錯，直到發生了重大的外洩事件或其他安全問題 – 結果讓組織付出了更多的成本。

那麼究竟組織要如何對待他們的資訊安全人員？有四個地方是組織可以加以協助的。

給予他們所需的工具 – 並且讓他們試驗。

首先，資訊安全團隊必須有他們所需要的資源。這可能包括硬體、軟體以及人員。團隊應該要專心做好自己的工作，而不必擔心沒有足夠資源來做到這一點。是的，這可能要花錢，但是攻擊和資料外洩會更花錢。

此外，企業應該讓團隊有一定空間來進行試驗。如果他們想嘗試新的工具或使用新的方法來收集和分析威脅資訊 – 讓他們進行實驗。這些想法不一定會馬上產出有用的東西，所需要的只是進行概念證明，以確認想法會奏效。

讓他們學習和犯錯。

新的威脅和問題總是不斷地出現。正如我們今年剛剛聽到的驚人消息，有些我們認為安全的事物，可能並不是。學習已成為團隊目標的重要部分。好在威脅前線完成每日的工作。

有關威脅的資訊並不總是精確；看來似乎是威脅的事情可能結果是完全無害，反之亦然。總是會有錯誤發生；試圖減少絕對是正確的，但不應該讓你的安全團隊變得過於畏縮，而不敢去指出一個明顯的攻擊。

確保資料可以被自由存取

這和我們的第一條相呼應。如果組織真的希望自己的團隊進行試驗，就應該確保日誌和資料庫方便存取和使用開放格式。被歸檔的所有檔案都該被儲存成純文字檔，像是CSV檔，而非專有的二進位格式。純文字檔可以被許多檢視器和腳本語言輕易地加以處理。

為什麼這很重要？這讓搜尋可以用相對快速和有效的方式進行。提供組織內的安全專家最佳方式去存取潛在威脅資訊。根據組織所記錄和歸檔的資訊，它也提供了進行資料關聯的可能性。可用的威脅情報最終能夠改善組織防禦。繼續閱讀

假 CNN 發佈 Heartbleed (心淌血) 漏洞事件警告

2014 年 04 月 25 日2014 年 04 月 25 日趨勢科技 TrendMicro

自從Heartbleed心淌血漏洞安全漏洞在本月稍早爆發以來，網路上就出現許許多多的更新程式以及相關討論和細節資訊，從資訊安全專家到網路名人，人人都在討論這個話題。網路犯罪者當然也不放過這樣的大好機會，報導指出其實在漏洞爆發隔天，就偵測到中國大陸1台電腦發動攻擊。趨勢科技也偵測到趁著Heartbleed心淌血漏洞的熱潮,大量散布的垃圾郵件攻擊。

圖 1：Heartbleed 垃圾郵件

就垃圾郵件(SPAM)而言，這算是一封很平凡的垃圾郵件。內容是一段單純的文字，告訴使用者有關這個 Heartbleed 「網際網路大漏洞」的問題，並提供一些建議和一個所謂CNN報導的連結。該郵件看似來自沙烏地阿拉伯利首都利雅得一位名為「Dexter」的民眾。

但此連結跟本就不是連上 CNN 網站或其網域下的任何網站。如同所有垃圾郵件一樣，它會連到別的網址，但該網址目前似乎已經遭下架而無法連上，因此推測很可能根本就是一個惡意網址。

網路犯罪者隨時都在等待任何可利用的議題來進行社交工程陷阱( Social Engineering)攻擊，例如重大的安全事件或災難。像Heartbleed心淌血漏洞這麼大、這麼嚴重的資安事件，它影響的不僅是今日最熱門的一些網站，就連行動 Aapp 程式也受到影響，因此使用者必須預期威脅很可能以意想不到的方式出現。

您務必隨時保持警戒和懷疑，尤其對於電子郵件。垃圾郵件隨時可能出現在您眼前。一般來說，電子郵件中的連結最好不要點，較安全的作法是直接前往您要去的網站。

當然，只要是趨勢科技的客戶就不用擔心這個垃圾郵件攻擊，因為不論是郵件和所指的網址都會被封鎖。

至於 Heartbleed 漏洞本身，我們已釋出一些工具來讓您保護自身的安全，包括針對 Android 平台的趨勢科技「安全達人」免費行動防護App (可在發現有漏洞的 App 時通知您並幫您解除安裝) 以及專為 Chrome 平台設計的Trend Micro OpenSSL Heartbleed Scanner App (可偵測某個網站是否有 Heartbleed 漏洞)。此外，我們也架設了一個專門的網站來協助您檢查某個網站是否含有這項漏洞：Trend Micro Heartbleed Detector 網站。

@原文來源 Cybercriminals Take Advantage Of Heartbleed With Spam

作者：Fjordan Allego (垃圾郵件防護研究工程師)

Heartbleed漏洞提供了APT 攻擊者新武器!!

2014 年 04 月 25 日2014 年 04 月 24 日趨勢科技 TrendMicro

只要等待受影響的網站進行更新，接著變更再自己的密碼就沒事了 ?
錯了，Heartbleed漏洞比心血管疾病還要致命一千倍。

Heartbleed漏洞，這是個因為被廣泛使用OpenSSL加密程式庫內的編碼錯誤所造成的漏洞。該漏洞在過去幾天內佔領了所有新聞的頭條，這是理所當然的，因為其對消費者和企業的資訊安全都帶來巨大的風險。

因為它主要的涵蓋範圍可能會讓你認為，只要等待受影響的網站進行更新，接著變更再自己的密碼就沒事了。錯了，Heartbleed漏洞比心血管疾病還要致命一千倍。它的的確確是到目前為止影響最廣的立即風險，這是因為可能受到此漏洞影響的人數，因為受影響網頁伺服器所會暴露的敏感資料（可能包括了密碼和session cookie）。即便是第一波的修補完成，剩餘的風險還是相當巨大。

OpenSSL並不只限於網頁伺服器在用，電子郵件協定、聊天協定和安全虛擬私有網路服務也都有用到。它也可以在世界各地的大量網路和安全產品內找到，所以要解決的路還很長。許多廠商已經開始調查其產品和服務是否存在會受此漏洞影響的OpenSSL版本，而確認受到影響的產品列表還在持續成長中。這注定會是開放給針對性攻擊的季節。繼續閱讀