< CTO 觀點 >從LinkedIn 逾一億資料外洩事件,看密碼設定等更多未解的問題

 

Raimund Genes (CTO)

 

 

作者:趨勢科技技術長CTO Raimund Genes

 

 

報導指出2012年的LinkedIn資料外洩事件和原本的認知有很大的差距:並非如當時所說的是650萬筆紀錄遭竊,事實上,有1.67億使用者受到影響。其中有1.17億筆的資料包含使用者的電子郵件地址和密碼。

linkedin

直到這些大量的外洩資料在黑暗網路社群上進行販賣,才讓所有人意識到這變得更加嚴重的問題。LinkedIn發表一篇文章確認了此外洩資料的真實性,並且要求受影響的使用者重設密碼。

我也是受影響的人之一,所以我研究了一下。如果我選擇Raimund_Genes作為密碼,系統會出現綠色並且說是可行的密碼。當我嘗試使用Linkedin_Raimund,它也會被標示為強密碼。但這些都不是我所認為的強密碼。你發生了受人注目的資料外洩事件,應該要利用這個機會來重新教育使用者來使用強密碼。

顯示或取得我的瀏覽器、作業系統和位置資訊可能也並非是個好主意:

 

除了「可笑」的密碼等級外,還有一些其他值得關注的地方。目前還不清楚為何會誤判資料外洩的規模大小,是什麼導致大家認為這起2012年的事件比真正的規模要小的多。LinkedIn的使用者有權知道發生了什麼事 – LinkedIn知道什麼,他們什麼時候知道的?到底有多少使用者受到影響,有哪些資料處在危險中? Continue reading “< CTO 觀點 >從LinkedIn 逾一億資料外洩事件,看密碼設定等更多未解的問題"

CTO 觀點:2016 年網路安全情勢是否好轉?先問自己三個問題

Raimund-Genes.jpg-624x531作者:Raimund Genes (趨勢科技技術長,CTO)

2015 年是網路安全情勢艱困的一年。許多大型企業發生了嚴重的資安事件,也登上了新聞版面。我們不禁要問,2016 年網路安全情勢是否會好轉?使用者和資安產業該如何做,才能讓 2016 年變得更好?

 

我們在 2016 年資安預測報告當中大膽提出了 2016 的發展趨勢。面對這些趨勢,我們可以坐以待斃,也可以事先做好防備。但請記住,網路的安全與否,取決於我們如何藉由預防來消彌駭客的攻擊力道。所以,每一個人都應積極參與。

面對勒索軟體,到底該不該支付贖金?

有件事是肯定的,資安產業必將面臨數量龐大的勒索軟體 Ransomware 。面對勒索軟體,大家經常會問,到底該不該支付贖金。其實,如果大家都有做好資料備份,這一點根本不是問題。所以,每個人都該學會如何妥善保管自己的個人資料。問題是,人們總是在出事之後才會真正學到教訓。

Protection 勒索軟體 保護 安全 一般

有多少聯網裝置真的令人放心?

此外,我們也預測,消費型智慧裝置的缺失,將帶來致命的嚴重後果。想像一下,有多少聯網裝置真的令人放心?當然,這對廠商來說是比較方便,但還有誰也因此受益?答案是:網路犯罪集團。大家應該切記,有些漏洞只有在發生事情之後才會浮上檯面。但不幸的是,到那時一切都已太晚。

我們已經有了 IT 部門,為何還要一位資料保護長? Continue reading “CTO 觀點:2016 年網路安全情勢是否好轉?先問自己三個問題"

CTO 技術長見解:加密技術有用 – 不要破壞它!

作者:Raimund Genes(趨勢科技技術長)

 

每隔一陣子,就會有搞不清楚狀況的政客站在麥克風前說著類似下列的話:加密技術會幫助到壞人(無論是恐怖分子,兒童色情或其他類似對象),因為執法單位不能看到壞人們在做些什麼,因為他們使用進階工具來加密。這麼說的政客會敦促科技產業「跟我們合作」來協助逮捕這些壞蛋。

不斷出現的加密技術後門要求已經不再令我感到驚訝。它來自對加密技術的一種誤解:它並非一組神奇程式碼讓程式開發者做任何想要它做的事情。這是有數學定義的工具:簡言之,只能做出數學上允許的事情。任何密碼學家都會告訴你:沒有什麼叫做安全而有後門的加密技術。

我很想找出能夠說服政客(跟自己)這種事情能夠做得到的人,可以用某種方式削弱安全性,只有讓好人才能破解加密。畢竟,世界各國的政府也都想要保持機密資料安全…哦,等等

我也想了解這樣建議背後的數據分析和邏輯。難道我們知道恐怖分子使用什麼樣的加密工具?有必要去削弱合法的服務?但恐怖份子卻很明顯地擁有自己的工具

我很確定有人會說好人沒什麼好隱瞞的,無須擔心。但事實並非如此,當然,只要看看每當一個重大資料外洩事件發生後會怎麼樣。最終每個人都還是需要擔心自己的資料。「沒什麼好隱瞞的」並非事實。

這些對加密的爭辯十分荒謬到要令人覺得好笑,如果不是人們是非常認真的提出加密後門,卻並不知道這種建議會產生什麼危害的話。

有許多辦法可以識別網路上的惡意分子,無論是網路犯罪份子或恐怖分子。這需要艱苦工作和訓練有素的研究人員,而且我們一直努力在提供世界各地執法機構這些的能力。

我們承認執法單位的工作也許因為加密技術而變得更加困難。但我們不能讓這樣的擔憂來破壞加密技術,這是強制後門會發生的事情。加密技術有用,而且是今日資料防護的基礎。不要破壞。

 

@原文出處:CTO Insights: Encryption Works – Don’t Break It!

▼ 歡迎加入趨勢科技社群網站▼

好友人數

 

「 行動惡意程式數量將成長至 2,000 萬」, PC花了 21 年才累計達到這個數字

獨立測試機構 AV-Test.org 還特地統計了 PC 領域從 1984 年以來的惡意程式累積樣本數量,發現 PC 領域花了 21 年的時間才累計達到 2,000 萬個惡意程式。單就行動裝置來看,2012 年底的時候我們才發現 35 萬個行動惡意程式,沒想到短短幾年之內將會成長到 2,000 萬。由此可見,歹徒開發行動惡意程式的速度遠遠超越 PC 領域。同時也讓我們見識到行動裝置對網路竊賊有多大的吸引力。

手機 行動裝置

在「趨勢科技 2016 年資安預測:細微的界線」報告當中,我們的技術長 Raimund Genes 預測:「截至 2016 年底,行動惡意程式數量將因中國而成長至 2,000 萬;至於全球,則是新的行動支付方式將受到攻擊。」讓我們來仔細看看這項預測,並且從幾個不同的觀點來協助您了解行動裝置威脅情勢的發展。

首先,惡意及高風險的行動裝置應用程式數量大幅成長,這一點是肯定的,尤其在 Android 系統。然而,2016 年底將達到 2,000 萬個?這可是一個相當驚人的數字。為了和 PC 領域做比較,獨立測試機構 AV-Test.org 還特地統計了 PC 領域從 1984 年以來的惡意程式累積樣本數量,發現 PC 領域花了 21 年的時間才累計達到 2,000 萬個惡意程式。單就行動裝置來看,2012 年底的時候我們才發現 35 萬個行動惡意程式,沒想到短短幾年將會成長到 2,000 萬。由此可見,歹徒開發行動惡意程式的速度遠遠超越 PC 領域。同時也讓我們見識到行動裝置對網路竊賊有多大的吸引力。

然而,是否所有行動裝置使用者都因而陷入危險當中?這一點卻不盡然,因為絕大多數的行動惡意程式都是在中國製造,並且用於中國。這不令人意外,因為中國擁有最龐大的行動裝置用戶數,所以駭客也就擁有龐大的潛在受害者可攻擊。不僅如此,絕大多數的中國使用者都不透過 Google Play 商店來下載應用程式,而是經由非官方應用程式商店,或是直接從網站下載安裝檔案,因此更容易遭遇行動惡意程式,畢竟非官方來源的上架審查程序沒有官方 Google Play 商店來得嚴格。這讓中國以外的使用者學到了一點,那就是務必從官方 Google Play 商店下載應用程式。 Continue reading “「 行動惡意程式數量將成長至 2,000 萬」, PC花了 21 年才累計達到這個數字"

 < CTO 觀點 >針對性攻擊/鎖定目標攻擊(Targeted attack )與進階持續性滲透攻擊 (ATP) 有何差異?

作者:Raimund Genes (趨勢科技技術長,CTO)

前不久我上了由 Bill Murphy 主持的 RedZone Podcast 節目,談論到有關「 針對性攻擊/鎖定目標攻擊(Targeted attack )」和「進階持續性滲透攻擊」(Advanced Persistent Threat,以下簡稱APT攻擊)」之間有何差異 (當然還有其他主題)。這是一個過去我經常談到的一個話題,也是一個我經常在各種會議上被問到的問題。讓我來解釋一下我的意思。

APT攻擊一詞,大約是十年前從美國軍方流傳出來的一個用語。它有相當明確的定義,意指那些由國家所發動的攻擊。這些攻擊當然不會明確張揚其幕後的主使者。其程式碼也不會告訴你是哪個情報單位或國家所為。要追溯某項攻擊確切的幕後主使國家有其困難:畢竟,駭客很可能會透過重重的跳板來隱藏其真正的源頭。

攻擊,APT,目標攻擊

不過,在大多數情況下,當我們在檢視某個 APT攻擊所用的程式碼時可以發現,這些程式都擁有相當完整的設計。它們不像是由一小群個人所開發,反倒像背後有一整個開發團隊。此外,我們也無法在地下犯罪網路上找到這些程式的藍本,意思是:不論是誰所開發,這些都是他們自己的創作。

這一切所需的代價不斐。想想看您需要多少資源才能養得起這些開發人員。看看 Hacking Team 資料外洩 的例子,他們的產品在全球各國販售的價格在數十萬美元之譜。想像一下,若是一個國家要培養自己的「駭客團隊」要付出比這價格高出多少的代價。

然而,大多數人「並不」需要擔心 APT攻擊 的問題。除非您是某個政府機構或國防承包商的 IT 系統管理員,否則您大概不會需要擔心APT攻擊 威脅。您「真正」需要擔心的是資料外洩和 針對性目標攻擊(Target attack )。

針對性攻擊/鎖定目標攻擊(Targeted attack )」與 APT攻擊截然不同,它們不是由國家所發動,而是由全世界各個角落的駭客所為。他們的動機五花八門,包括:竊取資訊、從事信用卡詐騙、或者單純只是在您的企業內搞破壞。他們所用的工具基本上都能在地下市集上以合理的價格買到。其真正「精密」之處在於這些攻擊所用的社交工程技巧Continue reading " < CTO 觀點 >針對性攻擊/鎖定目標攻擊(Targeted attack )與進階持續性滲透攻擊 (ATP) 有何差異?"

< CTO 觀點 > 針對性目標攻擊:不是所有的攻擊都需要很複雜

通常我們都會說這一起攻擊有多麼先進和複雜,用了什麼新方法來隱藏伺服器或讓分析更加困難等等。卻很容易忘記並非所有的攻擊都是在技術上顯得很複雜;相對地,可能指的是其所用的社交工程(social engineering )或是其攻擊進行的方式。

比方說,我們在幾個月前談到Arid Viper攻擊活動,這是一起針對以色列使用者的複雜攻擊。然而,這起組織良好的攻擊和沒那麼複雜的Advtravel活動共享部分它的攻擊基礎設施。Arid Viper很先進;Advtravel則沒那麼先進。怎麼會這樣呢?針對性目標攻擊不是應該是受過良好訓練而精良的攻擊者所進行的嗎?這些攻擊者不是應該跟「一般」網路犯罪分子沒有任何共同點嗎?

攻擊,APT,目標攻擊

讓我們來想想這問題。進行針對性目標攻擊所需要的技能跟一般網路犯罪攻擊有那麼不同嗎?從根本來看並非如此。雖然網路犯罪分子通常從像信用卡詐騙等活動中獲利,但他們也不會吝於將自己的技能用來有計畫的攻擊特定目標。如果是這樣,他們何不重複使用現有的工具呢?他們何不重複使用現有的基礎設施呢?

即使是能夠影響現實世界的「大規模」攻擊有時也會用非常簡單的工具。想想看 TV5 Monde 的攻擊事件:是用一個 VBScript 工具包所製造的惡意軟體來進行。可以在YouTube上找到如何使用的說明。要讓這工具正常運作並非難事。

這些攻擊的複雜性在於如何使用工具。利用什麼樣的社交工程(social engineering )來說服目標打開惡意附件/連結?如果一個普通的遠端存取工具(RAT)可以運作正常,就不需要用複雜的「持續性威脅」。

這些攻擊是持續性的,對企業來說想要全部加以阻止是很困難的(即使不是不可能)。攻擊者也很少僅僅是因為被阻止了一次、兩次甚至更多次就打退堂鼓。沒有一個簡單而完美的防禦解決方案能停止所有攻擊。那企業可以做些什麼呢?

企業需要認識到自己無法阻止所有的攻擊。所能做的是發現正在進行的攻擊,讓來自任何攻擊的損害被大大降低。入侵偵測系統已經不再是奢侈品而是必需品。這不儘可以防禦一般的威脅像是RAT,還可以防禦複雜的針對性目標攻擊。今日的威脅並沒有特效藥可以解決;我們必須不斷地跟上當前及未來的技術 –  無論是為了進攻或防守的目的,了解不斷變化的威脅環境以及可用的防禦措施。

@原文出處:Targeted Attacks: Not All Attacks Need To Be Sophisticated |作者:Raimund Genes(技術長)

 

《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。


▼ 歡迎加入趨勢科技社群網站▼

好友人數

 


 

< CTO 觀點 >防禦重要系統:它必須要「智慧化」嗎?

CTO

作者: Raimund Genes(趨勢科技技術長)

 

 

 

 

無論我到哪裡似乎都會聽到「重要」系統遭受攻擊。今年早些時候,人們在談論飛機是否可以被駭客攻破。我們也談過智慧化電網是否會被駭客攻擊。就在一周前LOT波蘭航空幾乎完全被分散式阻斷服務攻擊(DDoS)打趴。相關報導:LOT波蘭航空地面操作系統遭駭造成航班無法起飛

許多案例裡的重要系統都是用現成的開放原始碼軟體開發而成。我大約在十年前說過開放原始碼軟體比較安全。雖然這被證明在絕大部份時候是對的,但最近的問題(如HeartbleedShellshock)已經說明開放原始碼軟體也有其問題。

非技術人員可能會問:「為什麼之前沒有人注意到這些問題?難道我們軟體開發人員太懶了?難道開發人員忘記如何開發安全的應用程式?」基本上他們是想問軟體社群:我們為什麼會捅這麼大的婁子?

要開發安全的程式碼在大多數情況下都很困難,不幸的是許多開發人員都沒有將其視為優先。一個遊戲或瀏覽器並不安全是一回事,雖然已經夠糟糕的了。但如果電廠的部分SCADA設備出問題那就是另一回事了。而如果醫療設備被駭而危害到病人又是另外一回事。

隨著智慧型設備越來越普遍,而且被用在了重要用途上,軟體開發者必須明白他們對確保自己軟體安全負有更大的責任。或許相關產業的監管機構需要建立新法規來包含軟體安全!看看不良軟體會造成多嚴重的後果就知道了,這想法並不像聽起來那麼瘋狂。

同樣重要的是,我們需要決定什麼需要保護和什麼需要連網。比方說,人們不斷地說:智慧化電錶比較安全也對電力網有幫助。這可能沒錯,但會有什麼樣的後果?誰控制這些設備?誰有權存取這些數據?

如果真正重要的設備會被連上網路,就需要加以適當地防護。所用的軟體必須遵循最佳實作來開發,並且強化安全來防禦攻擊。也必須落實用「黑箱」方式加以測試,來確認這些重要系統可以對抗已知漏洞和攻擊。

越來越多重要系統會在不久的將來連上網路。軟體產業必須負責行事,確保我們不會重蹈過去的安全錯誤 – 帶給這世界大量的嚴重後果。


@原文出處:Defending Critical Systems: Does It Have To Be “Smart”?

 

想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚

《提醒》在粉絲頁橫幅,讚的右邊三角形選擇接收通知新增到興趣主題清單,重要通知與好康不漏接

技術長觀點:防範來自企業內部人員的攻擊

Raimund Genes (趨勢科技技術長,CTO)

若您讀過不少犯罪小說,或者看過不少動作影片,您對這樣的情節應該不會感到陌生:一位內部人員因為多年前所受到的屈辱而對企業展開報復,導致企業蒙受重大損失。企業內部人員通常站在正義的一方,但有時也會站在邪惡的一方。

這道理不難理解,因為內部人員非常清楚企業的做事方法、寶貴資料,以及遭受攻擊時的因應方式。誰能比內部人員更知道該如何攻擊企業本身?

上網 攻擊 駭客 一般

 

然而這是假設「內部人員的威脅」無可避免。所幸,大多數人都不會想要毀掉自己所任職的企業。大多數人都希望自己所屬的機構能夠成長、茁壯。因此,除非您待的是國防單位,否則這點通常不是您要擔心的問題。

不過問題是,並非所有「內部人員的威脅」都是來自蓄意。內部人員也有可能因為不小心而造成資料外洩。社群網站為人們提供了許多新鮮有趣的溝通方式,但不幸的是,有時候也會讓一些「不該」透露的機密資訊外流。

若人們已經將資訊洩漏在網路上,那麼您還能利用社交工程(social engineering 從別人身上套出什麼更多資料?所謂的社交工程技巧,就是利用一些人際之間手段來讓別人照著您的意思去做。這是數千年來流傳已久的一門藝術,因此歹徒擅長這門藝術也就不令人訝異。

幾乎所有「進階持續性滲透攻擊」(Advanced Persistent Threat,以下簡稱APT攻擊)一開始都是利用某種形態的社交工程技巧。因此,儘管不易,您應該盡可能防範這類攻擊。 Continue reading “技術長觀點:防範來自企業內部人員的攻擊"

技術長見解:漏洞出售中

作者:Raimund Genes(趨勢科技技術長)

2014年顯示了漏洞可以在所有的應用程式中發現 — Heartbleed心淌血漏洞Shellshock都讓系統管理者出乎意料,顯示出開放原始碼伺服器應用程式也可能出現嚴重的安全性漏洞。

 

現實是,要讓軟體完全沒有漏洞是困難且代價高昂的,即便並非完全不可能。每一千行程式碼中,你可以預期找出15到50個某種錯誤。這錯誤率在真正關鍵的應用程式(像是太空探險用)上可能會較低,但這需要軟體開發成本付出額外的時間和金錢。

儘管這樣很耗費成本,開發人員還是需要更好地去建立安全的產品。軟體漏洞如何被發現和披露的變化意味著使用者因為安全性漏洞所面對的風險都比以往都還要大。

在過去,被發現的漏洞會回報給開發人員,好讓他們可以修復以盡可能地保護更多的使用者。然而,有越來越多發現安全性漏洞的公司將這些資訊賣給出價最高者。這無法幫助任何人 — 除了從事買賣這些漏洞的公司。開發人員無法修復他們的產品,使用者遺留在風險中,安全社群的大多數人都還一無所悉。整體來說,網路是更加不安全的。

所以某些國家的政府已經在設法控制這些市場並不令人驚訝。在去年,瓦聖納協定(Wassenaar Arrangement)考慮將漏洞攻擊程式碼列入新的「入侵軟體」領域;此協定所涵蓋的項目被認為是「雙重用途」(即軍事和民間應用)。這表示協定的41個成員國可能對這些項目進行出口管制。事實上,今年Pwn2Own的準出席者被要求與其律師確認他們是否需要出口授權或政府通知才能參加。

當然,發現漏洞的研究人員也想為自己的努力獲取回報。這有許多方式可以達成,無須將漏洞賣到公開市場上。主要網站和廠商都提供漏洞獎金給在他們產品找出漏洞的研究人員。有許多方法能夠讓研究人員得到報酬,而無須將漏洞放在公開市場上。

我們不能強迫公司或個人停止買進或賣出漏洞,我們所能做的就是減少貨源。通過建立更加安全的產品,包含更少的漏洞及更好的解決那些已知問題,我們讓網際網路對每個人來說都更加安全。

 

@原文出處:CTO Insights: Vulnerabilities for Sale
《提醒》在粉絲頁橫幅,讚的右邊三角形選擇接收通知新增到興趣主題清單,重要通知與好康不漏接

◎ 歡迎加入趨勢科技社群網站

【CTO 觀點 】行動虛擬化 – 解決自帶裝置(BYOD)問題

作者:趨勢科技 技術長  Raimund Genes

對許多今日的使用者來說,他們使用科技的方式是由行動裝置來決定。他們的主要設備不是桌上型電腦,甚至不是筆記型電腦,而是一款平板電腦或智慧型手機。而資料也不儲存在硬碟或隨身碟上,企業資料現在是儲存在雲端,使用者在需要時才加以存取。如果我們檢視個人電腦與智慧型手機的銷售數量就能夠看出明顯的趨勢。在2014年第三季,分析師估計總共售出了7,940萬台電腦,而同一時期則售出了3億100萬支智慧型手機
手機 指紋 mobile2

這改變了IT人員和最終使用者的關係。在過去,他們提供使用者能夠集中管控的電腦。然而對許多組織來說,這項政策已不再適用:被認為是「個人」裝置的是行動裝置,而非一般電腦。

結果就是自帶設備(BYOD)的興起。使用者購買自己的設備且自行負責,但公司負擔部分費用。理論上來說,大家都高興:使用者拿到自己想要的設備,公司可以看到成本降低及更有效率的新IT系統使用率增加。會有什麼問題呢?

不幸的是,自帶設備可能帶來的不是美夢而是噩夢。公司資料最終會和個人資料混在一起,造成較高的資料外洩風險。設備也可能被入侵,用來攻擊組織內的其他目標。自帶設備結果可能變成自帶災難。

已經有人嘗試去解決這個問題,但並非做得很好。他們設法分開設備上個人和工作的部分,但對使用者和公司來說都很難使用。

那麼有什麼好方法來解決這看似棘手的問題?我們可以到一般電腦的世界來尋求可行的解決辦法。在虛擬桌面基礎架構(VDI)中,使用者存取伺服器上的虛擬機器。為什麼我們不能在行動裝置上做一樣的事情?

讓我們稱之為行動虛擬基礎架構或VMI。手機上的用戶端不用做特別的事情,只要連上一個在公司伺服器上運行的虛擬行動作業系統。因為它本質上跟在設備上所習慣的作業系統相同,所以使用者的接受度應該是高的。

而更重要的是,正確實作VMI解決方案不會讓使用者設備上的資料出現風險。這對許多產業來說將很有用:例如在醫學環境,不會出現讓敏感醫療資料真的離開醫院伺服器的風險。對於有法規去嚴格限制資料該如何或在何處存取的行業來說,這帶給員工更加靈活的工作方式。

VMI是考慮實行自帶設備政策的企業所該認真思考的選項。自帶設備對公司帶來許多好處,但也帶來風險。VMI可以幫助管理這些風險,讓公司在充分享受自帶設備好處的同時也減少任何潛在問題。

你可以觀看下面影片來獲得更加詳細的資訊。

@原文出處:Mobile Virtualization – Solving the BYOD Problem