趨勢專家談趨勢 - 資安趨勢部落格

資安攻擊為何一再發生? 剖析四個”過於暴露”的案例

2018 年 01 月 03 日2018 年 01 月 09 日趨勢科技 TrendMicro

趨勢科技資深威脅研究員Natasha Hellberg常被問到:”為什麼不關注在複雜的攻擊上？為什麼新漏洞出現時沒有發表深入地探討？”對此他的回答是“ 因為舊的攻擊仍然造成較大的傷害“。

我們不曾回頭去檢視這些舊協定跟程式碼有多脆弱，因為“我們一直在用它們，什麼事都沒有發生，所以我們一定是安全的”

如果我們不花時間來建立良好的網路習慣，不管是組織或個人，就會讓攻擊可以很容易的一再發生。

作者：Natasha Hellberg（趨勢科技資深威脅研究員）

我們有著撥接上網時代跟1983年電影” 戰爭遊戲(Wargames)”上映時就已經出現的協定和電腦程式碼，它們進入了更新的技術，然後包含在其他的技術中，我們不曾回頭去檢視這些舊協定跟程式碼有多脆弱，因為“我們一直在用它們，什麼事都沒有發生，所以我們一定是安全的”。

聽起來有點熟？我們總是拿到新東西就直接安裝，完全沒想到會有何風險。然而令人憂心的是,我們因為缺乏時間、缺乏資源、人力有限，就會有越多這樣的事情發生。

大部分人沒有想到的關鍵重點是暴露在網路上的設備,代表可以被攻擊的潛在目標。如果我們幸運，這些設備有加以防護，可以去面對駭客所進行的漏洞攻擊或暴力破解。但不幸的是，根據趨勢科技FTR團隊所做的研究，有幾十萬放在網際網路上的設備帶有漏洞（就是說可以被入侵）或完全沒有任何安全防護。

現在讓我們來進一步談談以下四個例子:

勒索病毒/Wannacry 類型攻擊 – 針對網路分享的攻擊。
資料外洩 – 通常的是人為疏忽造成的,並不需駭客介入。
設備/網頁竄改（defacement） – 不設防的網站就像敞開的大門, 駭客不需要大費周章入侵,就可以很輕易修改網站的內容。
DDoS殭屍網路和攻擊激增工具（Booter） – 系統和設備漏洞成為攻擊他人的跳板

繼續閱讀

PayPal 旗下支付服務 TIO 資料外洩,160 萬筆個資不保資料外洩事件後 , 注意3 件事

2017 年 12 月 11 日2017 年 12 月 11 日趨勢科技 TrendMicro

為了擴大版圖，PayPal Holdings, Inc. 於 2017 年 7 月以 2.38 億美元併購了 TIO Networks 這家擁有 1,600 萬用戶帳號的多通路支付平台。然而在 11 月 10 日，PayPal 突然宣布這家新併購的 TIO 公司將暫停營業，坦承是因為發生了資料外洩事件，但並未提供更多細節。

12 月 1 日，PayPal 發出一份新聞稿，詳細說明了整起事件。該公司在審查過程當中發現有 160 萬名客戶的個人身分識別資訊很可能已遭外洩。隨後更在進一步的調查當中發現負責儲存 TIO 客戶與 TIO 商家客戶資訊的網路遭到未經授權的存取。根據一位發言人指出，可能遭到存取的資料包括 TIO 支付平台使用者的姓名、住址、銀行帳號資料、社會安全號碼以及登入憑證。

目前， TIO 網站的內容已撤換成詳細的客戶說明，並特別強調該起事件的嚴重性。同時，PayPal 也通知了可能受影響的用戶，並提供免費信用監控服務給需要的人。

資料外洩事件後 ,要注意的 3 件事

這起事件繼今年稍早的 Equifax 大型資料外洩事件之後，又再度引起軒然大波。上一次 Equifax 信用評等機構外洩了數百萬筆資料，該公司被迫提醒所有客戶寧可小心一點也不要怕麻煩。儘管這次受影響的 TIO 客戶數量遠不及上次事件，但使用者同樣寧可小心注意以下三個狀況：繼續閱讀

趨勢科技董事長張明正：AlphaGo Zero讓人類看到自身盲點,企業應更謙卑

2017 年 12 月 01 日2022 年 04 月 11 日趨勢科技TrendMicro

從2016年AlphaGo打敗人類棋士後，「人工智慧」(AI)一詞彷彿成了企業對外行銷利器。企業推出產品或宣布未來布局策略，一定得跟AI掛勾，就連政府機構在審核補助計畫時，這個詞彙也彷彿成了通關密語。

其實，在AlphaGo吸引眾人目光前，台灣本土軟體業者趨勢科技內部也一直都有類似的圍棋程式計畫，而2017年4月，趨勢科技也與國研院合作打造機器學習交流平台T-Brain，期望打造台灣版的Google Kaggle。

張明正認為，AlphaGo Zero反映人類在經驗和知識領域上都存在盲點，未來企業必須更謙卑、不斷學習，並拋開既存的各種框架。

DIGITIMES專程赴花蓮，獨家專訪趨勢科技創辦人暨董事長張明正。這位早已從自己一手創立的公司中退位超過10年，現在隱居於花蓮海邊的台灣本土科技老將，在採訪過程中數次以「我的媽呀！」表達他對AlphaGo Zero技術進展的讚嘆之情。

欽佩之餘，他也不諱言目前有危機感，更直言若AlphaGo Zero發展到極致，諸如趨勢科技這類過去掌握大量數據的中大型企業，將不再具有優勢，企業必須居安思危。

他反覆講著，「人類知識有太多盲點了。」張明正彷彿也在努力跳脫自己的盲點和框架，包括過去習得的技術、市場競爭等經驗，嘗試從科技哲學角度，給予產業一個不同的思考路徑。繼續閱讀

Uber：資料外洩處理的負面教材

2017 年 11 月 28 日2017 年 11 月 27 日趨勢科技 TrendMicro

Uber 真是一家在各方面備受爭議的公司，從已公開浮上檯面的權力較勁到勞資爭議、法規挑戰以及看似惡質的文化，Uber 的地位似乎顯得岌岌可危。

近日，該公司又爆發一件醜聞：Uber 曾於 2016 年遭駭客入侵，使得 5,700 萬名客戶和司機資料遭到外洩 (姓名、電子郵件、電話)。相關報導: Uber：駭客竊走全球5700萬乘客.駕駛個資

此外，另有 60 萬名司機的執照也在該事件中外流。

令人悲哀的是，這類事件總是不斷發生。因為，沒有任何防禦是完美的，駭客總有辦法、而且早晚會想出辦法，就連最安全的系統也無法免於淪陷。資安措施必須接受這項事實，而且當遇到像這樣的事件要迅速因應才能降低衝擊，以便從資料外洩當中盡速復原。

Uber 採取了最糟的做法:試圖掩蓋

但這次的案例，Uber 卻採取了最糟的做法。他們選擇不公開資料外洩的事實，而且還支付歹徒 10 萬美元的封口費。不但如此，他們還刻意讓這筆款項看起來像是臭蟲懸賞計畫的獎金，讓場面更加難看。

付款給歹徒絕對是不明智的作法，而試圖掩蓋一起影響數千萬人的事件更是讓人無法容忍。

沒人能夠證明歹徒在收到款項之後會確實將資料刪除，這不是數位世界的運作法則。Uber 在聲明中表示他們「相信這些資料從未被拿來使用」，但事實上這說法毫無根據可言，這樣的話根本不值得採信。沒有人可以追蹤這些失竊的資訊最後被賣到哪裡或用到哪裡。難道 Uber 能監控所有的地下論壇、非法交易、或者聊天室？或者檢查每一個網站看看有沒有任何受害的使用者遭到冒名詐騙？

此外，想藉由付款給歹徒來掩蓋資料外洩的事實，只會鼓勵歹徒和其他駭客未來從事更多犯罪活動。數位勒索是我們預料 2018 年將大幅成長的網路犯罪領域，而我們也正與執法機關合作密切進行這方面的研究。

網路犯罪根本就是一種行業，因此當歹徒得手的金額越多，未來就越有本錢開發更多工具來攻擊更多目標。