資安名詞/什麼是?/ 何謂? - 資安趨勢部落格

< 雲端運算 >十大AWS亞馬遜網路服務安全祕訣：第一條，用IAM保護你的資源

2013 年 03 月 05 日2013 年 12 月 24 日 Trend Labs 趨勢科技全球技術支援與研發中心

在接下來的幾個星期，我們將會探討如何防護AWS（亞馬遜網路服務）環境的最佳做法。在我們深入到防護你的虛擬機器、應用程式和資料之前，讓我們從最頂端開始。

作為AWS共享責任安全模型的一部分，AWS消費者防護好自己的服務可以發揮重要的作用。早在二〇一二年十一月的AWS re:invent大會上，Max Ramsay就將AWS與CSIS廿個關鍵安全控制對應，作為進一步了解AWS和客戶端（你）之間共同責任的框架。關鍵控制的第十二項是控制管理權限使用，負起保護責任是身為AWS用戶的你所必須加以正視的。在接下來的幾個星期，我們會聚焦在你所需要負起責任的關鍵控制。

在虛擬化或雲端世界，管理權限就好比是作業系統上的管理者帳號。不過，現在你有更多組強大的身份需要管理，好存取AWS控制台和API。

收起你的AWS管理者（root）帳號，利用IAM（身份存取管理）來啟動存取權限

當你開始使用AWS，你會獲得一組帳號和密碼。這個帳號擁有存取你所有AWS資源和帳務資訊的權限。不要跟任何人分享！我知道有某個經理跟他的團隊共享帳號，他們很快就發現可以用經理的信用卡在Amazon.com上買東西！

確認該帳號安全後，接著進到控制台上的IAM 選項，開始定義群組和使用者。

一般情況下，你會需要兩種類型的使用者：

需要帳號密碼存取AWS控制台的人
使用存取密鑰帳號（Access Key Id）和秘密存取金鑰（Secret Access Key）來存取API的程式

在這兩種情況中，你會想透過群組來分配所需的最低權限給使用者。AWS會幫你提供一些策略範本。例如，你可能會想提供操作人員「Power User Access」權限，而給開發人員「EC2 Full Access」權限。繼續閱讀

以”你的照片”為餌的點擊劫持（clickjack）最常出現在Facebook、Twitter、Google+

2013 年 02 月 22 日2014 年 07 月 18 日 Trend Labs 趨勢科技全球技術支援與研發中心

Sherry在深夜裡收到一則從親密好友所傳來的Twitter私密訊息 – 「有沒有看過你的這張照片呀，哈哈」，還包含一個短網址。因為這位朋友是個攝影師，也有她的照片。所以收到這訊息並不奇怪。於是她點了進去,賓果!這個常用的社交工程陷阱( Social Engineering),讓她就此中了clickjacking點擊劫持。你猜到了嗎?這假造朋友發的訊息，裡面的網站連結導到一個會偷密碼的假Twitter網站。

註:點擊劫持（clickjacking）是一種將惡意程式隱藏在看似正常的網頁中,並誘使使用者點擊的手段。比如受害人收到一封包含一段影片的電子郵件，但按下「播放」按鈕並不會真正播放影片，反而是被誘騙到另一個購物網站。

假的 Twitter 登錄頁面,一直出現密碼錯誤訊息,其實密碼已經被偷了

當Sherry從iPad點入這私密訊息裡的網頁連結，行動瀏覽器帶她到看來像是Twitter的登錄頁面,，即使她覺得很奇怪，為什麼照片沒有出現在Twitter應用程式瀏覽器內。正在看電視影集的她心不在焉的，試了幾次輸入帳號密碼，「假Twitter網站」都顯示密碼錯誤。她很沮喪也放棄了，就上床睡覺了。但這錯誤的嚴重性一直到幾個小時之後就浮現了。

點擊劫持的後果

Sherry睡不著，看了看手機，凌晨四點半。手機出現訊息通知，有則來自朋友的Twitter私密訊息，問說：「你傳給我的是垃圾訊息嗎?還是你真的有我好笑的圖片？」”哦，不！我做了什麼？”Sherry 知道麻煩來了,只因為她點了那個連結。

一整天裡Sherry收到數十封簡訊、Twitter推文、電子郵件和Facebook留言，告訴她有人駭入她的Twitter帳號。

因為登錄到「假Twitter」網站，而給了非法份子Twitter帳號密碼。他們就可以登錄到Sherry真正的Twitter帳號，發送一樣的垃圾訊息跟惡意連結 – 「有沒有看過你的這張照片呀，哈哈」給所有關注我的人，讓這起犯罪攻擊繼續循環下去。這就是所謂的clickjacking點擊劫持。通常出現在社群媒體的動態消息、塗鴉牆和私密訊息（Facebook、Twitter、Google+等等），讓不知情的人點入會竊取密碼和資料的網站。

這結果可能很災難性，如果你的銀行帳號和社群媒體帳號使用相同密碼的話。網路犯罪份子可能會登錄到銀行帳戶，並在幾小時內偷走被害者的錢、身份認證以及盜刷信用卡。

如果你已經中了點擊劫持該怎麼辦?

如果你懷疑可能中了點擊劫持，馬上變更你的密碼。然後檢查是否有任何新應用程式有權限連到你的帳號，因為它們可能是惡意的，並且會竊取資料。（當你改變密碼時，Twitter會強迫你檢查所有有權限連到你帳號的應用程式。）
如果你有其他重要帳號使用已經被竊取的密碼，要馬上全部更換，而且不要使用相同的密碼。繼續閱讀

Tapjacking：一個尚未發展的Android威脅

2013 年 01 月 17 日2013 年 01 月 17 日趨勢科技 TrendMicro

使用社交工程陷阱( Social Engineering)技巧，開發者可以建立一個應用程式用來誘騙使用者去點一個特製的應用程式跳出視窗（稱為toast view”通知訊息視景”），讓它成為多種威脅的入口，這種攻擊被稱為tapjacking，會利用一個Android使用者互動（UI）組件內的特定漏洞。

這技術並不是很複雜，但會對Android使用者造成嚴重的安全問題。

在我們進入tapjacking的細節之前，讓我先簡單地解釋一下這個UI漏洞的出處。

簡介應用程式活動（Activity）

Android顯示UI元素是以活動（Activity）為單位。一個活動（Activity）是一個會佔據整個螢幕大小的系統組件，可以容納很多不同的視景（View），一個顯示在設備螢幕上的矩形區域。

下面是一個活動（Activity）的例子，它包含兩個視景（View），即（1）文字視景，這是使用者可以輸入文字的地方。還有（2）按鈕，讓使用者點（或輕觸）。如下所示，一個活動（Activity）可能會佔據整個螢幕，即使很大一部分是空的（或黑色）。下面是應用程式WarGames的一個活動（Activity）的擷圖（注：此擷圖並非來自惡意應用程式）：

一個應用程式有好幾個活動（Activity），每個活動（Activity）代表一個UI元素，可能會佔用整個螢幕。作業系統利用被稱為堆疊（Stack）的資料結構來管理不同的活動（Activity），最新的活動（Activity）會顯現在堆疊的頂端，而舊活動則會位在它下面。目前出現的活動始終都會顯現在頂端，是唯一可以回應使用者輕觸或滑動的活動（Activity）。

在大多數情況下，應用程式被設計成出現一個新活動（Activity）來顯示一個可能會佔據整個螢幕的新UI。不過也有例外。在某些情況下，一個應用程式可以只顯示視景（View），不需要將視景（View）放在一個活動（Activity）內部。這些例外就是對話框視景（Dialog View）和通知訊息視景（Toast View）。

對話框視景和通知訊息視景之間的不同

對話框視景主要是讓應用程式與使用者互動。這是個雙向的互動：對話框會顯示一些資訊給使用者，使用者可以透過輸入文字或點擊Widget元件，像是按鈕回應。而且，因為對話框視景是暫時出現，它被設計成盡可能的小，讓使用者仍然可以看到背後是什麼。使用者還是不能跟對話框背後的活動（Activity）互動。

至於通知訊息視景就更有趣了。根據Android，通知訊息（Toast）提供「關於在一個小的彈出視窗內的操作的簡單回應」。通常它只會佔據訊息所需的空間，而且使用者還是可以跟它背後的活動（Activity）互動。底下是一個範例：

取決於應用程式（和開發者），通知訊息視景可能會顯示一段簡短資訊（見上圖）。但它的大小並不是固定的。開發者可以自由設計自己的應用程式來顯示較大的通知訊息視景，甚至可以像下圖這樣包含圖片：

繼續閱讀

認識電腦病毒:什麼是木馬（Trojan）?遠端存取木馬（RAT）?

2012 年 12 月 05 日2020 年 05 月 21 日趨勢科技 TrendMicro

為什麼到處都是木馬，我要如何阻止他們？

想要在網路上保持安全、不受傷害可能是個艱難的任務。網絡上有許多很棒的東西，不過同樣地，對初學者來說也可能是個地雷區，充斥著網路釣魚（Phishing）詐騙、垃圾郵件(SPAM)和惡意軟體。

在資訊安全產業中，我們可能難以避免地去使用一些難懂的術語。你可能已經在一些新聞報導裡聽過木馬程式，如果他們詳細的介紹網路攻擊。因此，讓我們用白話來介紹，來看看最常見的威脅之一：木馬（Trojan）。

所以它跟蠕蟲（Worm）一樣嗎？或病毒（Virus）？嗯，不完全是

他們都是惡意軟體的一種，或說是惡意程式。但是和病毒或蠕蟲不同，木馬並不進行自我複製。簡單的說，它們是偽裝成無害軟體的惡意程式，這個詞源自於經典的特洛伊戰爭故事，一群希臘士兵藏在一個巨大的木馬以進入特洛伊城，然後跳出來大肆攻擊敵人。

而在電腦世界裡，木馬是種惡意軟體，透過電子郵件或惡意網頁來偷偷地進入並安裝在你的電腦上。一旦進入後，惡意軟體就可以做各種壞事了。

什麼是遠端存取木馬（RAT）？

有些木馬程式被稱為遠端存取木馬（RAT），設計用來遠端操縱使用者的電腦，讓駭客可以完全控制。有些則可能有不同的目的，像是竊取個人資料，側錄鍵盤，甚至將受害者電腦作為殭屍網路/傀儡網路 Botnet的一部分。

P2P和社群媒體攻擊

不幸的是，木馬攻擊已經變得越來越普遍。在網路上就可以買到工具包，像是黑洞漏洞攻擊包（Blackhole Exploit Kit），讓壞蛋們只需要具備有限的技術能力，就可以幫他們把製造和發動惡意軟體最難的部份做掉。通常木馬會偽裝成看似正常的檔案夾帶在不請自來的電子郵件中，不然就是被隱藏在被入侵的一般網站上，或偽裝成一般檔案放在P2P網站，甚至潛伏在社群網站上的連結裡。

繼續閱讀

密碼還原程式,專門偷線上服務和應用程式帳密,即使使用安全連線 HTTPS、SSL 也無法避免

2012 年 11 月 20 日2012 年 11 月 15 日趨勢科技 TrendMicro

密碼還原程式,專門偷線上服務和應用程式帳密,即使使用安全連線 HTTPS、SSL 也無法避免

使用者總以為使用了 HTTPS 和 SSL安全連線，就可以高枕無憂。但如果資訊在傳送之前就已遭到竊取，那麼這些安全連線就沒有機會可以保護您的資料。一個新型的密碼還原工具可讓 PASSTEAL 擷取瀏覽器儲存的所有網站密碼，即使是使用安全連線 (SSL 或 HTTPS) 的網站如 Facebook、Twitter、Pinterest、Tumblr、Google、Yahoo、Microsoft、Amazon、EBay、Dropbox 以及各種網路銀行也無法倖免。

由於資訊已成為一種新興貨幣，網路犯罪者時時刻刻都在思考如何竊取使用者的寶貴資料。而 PASSTEAL 正是歹徒最新的資料竊取工具，內含了一個密碼還原程式，可有效蒐集使用者的登入帳號密碼，即使是採用安全連線的網站也無法倖免。根據我們所分析到的資料，此惡意程式有某些變種是專門竊取 Google Chrome 和 Internet Explorer 當中所儲存的帳號密碼，使用的是類似「PasswordFox」的工具。

過去，趨勢科技已發現多個專門竊取資料的惡意程式，包括專門蒐集影像檔案並且上傳至遠端 FTP 伺服器的 TSPY_PIXSTEAL.A。PASSTEAL 有某些行為與 PIXSSTEAL 類似，但它竊取資訊的方式很不相同。

TSPY_PASSTEAL.A 專門蒐集儲存在瀏覽器內的資訊

趨勢科技偵測到 TSPY_PASSTEAL.A 會擷取多種不同線上服務和應用程式的帳號登入資訊，然後儲存在一個名為 {電腦名稱}.txt 的文字檔內。

有別於大多數透過鍵盤側錄來蒐集資料的惡意程式，PASSTEAL 使用的是密碼還原程式來擷取瀏覽器內所儲存的密碼。在趨勢科技所分析到的樣本當中有一些壓縮過的資料，這是一個專為 FireFox 瀏覽器設計的程式，叫做「PasswordFox」。

PASSTEAL 一旦蒐集到資料，就會執行命令列指令程式的「/sxml」選項，將竊取到的帳號密碼儲存成 .XML 檔案，然後再將它轉成 .TXT 檔案。接著，PASSTEAL 會連線至遠端 FTP 伺服器，將蒐集到的資訊上傳。

事實上，此密碼還原工具可讓 PASSTEAL 擷取瀏覽器儲存的所有網站密碼，即使是使用安全連線 (SSL 或 HTTPS) 的網站也無法倖免。使用這類連線的網站包括：Facebook、Twitter、Pinterest、Tumblr、Google、Yahoo、Microsoft、Amazon、EBay、Dropbox 以及各種網路銀行。繼續閱讀