今日似乎已經開始走到一個人們對資料外洩事件逐漸麻木的時代。因為,新聞上三不五時就會有企業出面表示自己遭到駭客入侵,接著就是說明受害的影響範圍以及他們正在如何善後。其實,資料外洩是一項社會大眾應該仔細關心的問題。因為資料外洩很可能造成數百萬筆個人記錄和敏感資料外流,而且受影響的不光只有遭到入侵的企業而已,甚至包括每一個資料遭到外洩的人。
何謂資料外洩事件?
所謂資料外洩事件,是指駭客入侵某個資料來源並且偷走敏感資料的事件。竊取的方式包括直接進入企業內部然後偷走電腦或網路上的檔案,或者從遠端突破企業的網路安全防禦並進入其網路內部竊取資料。企業遭駭客攻擊的情況多半為後者,一般來說,資料外洩事件的攻擊過程如下:
遭竊的通常是何種資料?
駭客的動機直接決定了他們的攻擊目標,因為不同機構可竊取到的資料不同。以下是一些經常遭到攻擊的目標類型,以及五個知名的相關案例。
獨立測試機構 AV-Test.org 還特地統計了 PC 領域從 1984 年以來的惡意程式累積樣本數量,發現 PC 領域花了 21 年的時間才累計達到 2,000 萬個惡意程式。單就行動裝置來看,2012 年底的時候我們才發現 35 萬個行動惡意程式,沒想到短短幾年之內將會成長到 2,000 萬。由此可見,歹徒開發行動惡意程式的速度遠遠超越 PC 領域。同時也讓我們見識到行動裝置對網路竊賊有多大的吸引力。
在「趨勢科技 2016 年資安預測:細微的界線」報告當中,我們的技術長 Raimund Genes 預測:「截至 2016 年底,行動惡意程式數量將因中國而成長至 2,000 萬;至於全球,則是新的行動支付方式將受到攻擊。」讓我們來仔細看看這項預測,並且從幾個不同的觀點來協助您了解行動裝置威脅情勢的發展。
首先,惡意及高風險的行動裝置應用程式數量大幅成長,這一點是肯定的,尤其在 Android 系統。然而,2016 年底將達到 2,000 萬個?這可是一個相當驚人的數字。為了和 PC 領域做比較,獨立測試機構 AV-Test.org 還特地統計了 PC 領域從 1984 年以來的惡意程式累積樣本數量,發現 PC 領域花了 21 年的時間才累計達到 2,000 萬個惡意程式。單就行動裝置來看,2012 年底的時候我們才發現 35 萬個行動惡意程式,沒想到短短幾年將會成長到 2,000 萬。由此可見,歹徒開發行動惡意程式的速度遠遠超越 PC 領域。同時也讓我們見識到行動裝置對網路竊賊有多大的吸引力。
然而,是否所有行動裝置使用者都因而陷入危險當中?這一點卻不盡然,因為絕大多數的行動惡意程式都是在中國製造,並且用於中國。這不令人意外,因為中國擁有最龐大的行動裝置用戶數,所以駭客也就擁有龐大的潛在受害者可攻擊。不僅如此,絕大多數的中國使用者都不透過 Google Play 商店來下載應用程式,而是經由非官方應用程式商店,或是直接從網站下載安裝檔案,因此更容易遭遇行動惡意程式,畢竟非官方來源的上架審查程序沒有官方 Google Play 商店來得嚴格。這讓中國以外的使用者學到了一點,那就是務必從官方 Google Play 商店下載應用程式。 繼續閱讀
從各方面來看,2015 年都是網路安全產業相當有意思的一年。有許多事件登上新聞版面,讓資訊安全成為產業內外都在談論的議題,除此之外還有許多突破性的創新。儘管出現了一些不幸的消息,但在這個感恩的季節,還是有些發展趨勢值得我們感恩。
隨著支付系統的改良,非現金支付方式將來應該可以有效減少詐騙數量。美國境內的所有商家都必須在十月之前改用更安全的 EMV 晶片信用卡,這將有助於大幅降低卡片遺失或失竊所造成的盜刷情況。
2013 年,美國Target資料外洩連鎖超市發生史上最大的資料外洩事件,而罪魁禍首就是 PoS 記憶體擷取程式。改用 EMV 信用卡能讓網路犯罪集團更難利用偷來的資料製作偽卡,而且,改良的驗證機制也有助於防範不肖人士使用偷來或拷貝的卡片。隨著歲末購物季即將來臨,消費者今年在刷卡購物時應該可以更放心。
[延伸閱讀:新一代支付交易處理技術:技術及原理 (Next-gen payment processing technologies: what they are, and how they work)]
今年,我們已經多次看到執法機關、民間企業以及資安研究機構的聯合打擊行動。這些聯合行動使得多名網路犯罪份子遭到逮捕,並且建立了討論機制,讓三方面交流該如何制訂更好的法律來確保科技的合理使用與限制。
多年前,企業大多傾向於自己處理資訊安全的問題,此外,執法機關亦不具備所需的能力來對付網路犯罪集團。但現在,三方合作破獲重大威脅和網路犯罪集團的情況,已成了司空見慣。
Internet Explorer (簡稱 IE) 的漏洞一直是歹徒最愛的攻擊目標之一。光是去年就有超過 200 個記憶體毀損漏洞被發現及修補。隨著最新版作業系統的發表,使用者終於可以揮別 IE,因為 Microsoft 推出了全新的 Microsoft Edge 瀏覽器,大大改進了之前的缺失。最值得注意的其中一項改進就是所謂的 MemGC 功能,此功能採用「標記之後再清除」的記憶體回收機制,能有效防止記憶體「釋放後再利用」(use-after-free,簡稱 UAF) 的漏洞,而這正是 IE 不斷發生的問題。
未來,瀏覽器開發廠商將花費更多心思來防止使用者遭到網站威脅。
[延伸閱讀:Windows 10 推出 Microsoft Edge 來強化瀏覽器安全性 (Windows 10 sharpens browser security with Microsoft Edge)]
今年,我們看到政府部門通過並實施了一些更能有效保障企業及客戶一般福祉的法律。其中之一就是「歐盟資料保護法」(EU Data Protection Law),該法已於今年稍早在 28 個歐盟會員國開始實施。最重要的是,該法當中包含了有關個人資料的定義、資料外洩的罰則以及「被遺忘權」(the right to be forgotten) 等等。歐盟資料保護法當中一項重要的規定就是:當企業發生資料外洩時,必須在事發的 24 小時內告知社會大眾。這有助於客戶採取更主動的資料防護措施,並且更快做出因應,而非當資料被偷、被賣了之後還被蒙在鼓裡。
[延伸閱讀:法規遵循之路:一次看懂歐盟資料保護法 (The Road to Compliance: A Visual Guide to the EU Data Protection Law)]
MR.ROBOT《駭客軍團》無疑是今年秋季最熱門的美國電視影集之一。這是目前為止對網路犯罪集團及其作為刻劃最真實的影集。有別於大多數的好萊塢駭客電影或影片,這一系列的影集清楚描繪了網路犯罪集團如何運作,以及他們所帶來的不良後果。此外,也點出在資訊安全領域當中,「人」才是最脆弱的環節。 繼續閱讀
網路犯罪其實並不是新鮮的玩意:它只是用新的工具來進行犯罪。而書本上最古老的犯罪形式之一就是勒索。勒索其實只是種簡單的計算:
對你來說,X是有害或痛苦的事情,而Y則是更加有害或痛苦的事情。而X對我來說是有好處的事情。
勒索並非新的網路犯罪。至少自2000年初就開始存在了,攻擊者會向網站勒索金錢,如果沒有付錢就威脅對網站發動分散式拒斷服務(DDoS)攻擊。
但是在2016年的完整預測中,我們說「2016將會是網路勒索年」。這是什麼意思呢,勒索又不是什麼新事物? 繼續閱讀
