趨勢專家談趨勢 - 資安趨勢部落格

若您讀過不少犯罪小說，或者看過不少動作影片，您對這樣的情節應該不會感到陌生：一位內部人員因為多年前所受到的屈辱而對企業展開報復，導致企業蒙受重大損失。企業內部人員通常站在正義的一方，但有時也會站在邪惡的一方。

這道理不難理解，因為內部人員非常清楚企業的做事方法、寶貴資料，以及遭受攻擊時的因應方式。誰能比內部人員更知道該如何攻擊企業本身？

然而這是假設「內部人員的威脅」無可避免。所幸，大多數人都不會想要毀掉自己所任職的企業。大多數人都希望自己所屬的機構能夠成長、茁壯。因此，除非您待的是國防單位，否則這點通常不是您要擔心的問題。

不過問題是，並非所有「內部人員的威脅」都是來自蓄意。內部人員也有可能因為不小心而造成資料外洩。社群網站為人們提供了許多新鮮有趣的溝通方式，但不幸的是，有時候也會讓一些「不該」透露的機密資訊外流。

若人們已經將資訊洩漏在網路上，那麼您還能利用社交工程（social engineering ）從別人身上套出什麼更多資料？所謂的社交工程技巧，就是利用一些人際之間手段來讓別人照著您的意思去做。這是數千年來流傳已久的一門藝術，因此歹徒擅長這門藝術也就不令人訝異。

幾乎所有「進階持續性滲透攻擊」（Advanced Persistent Threat，以下簡稱APT攻擊）一開始都是利用某種形態的社交工程技巧。因此，儘管不易，您應該盡可能防範這類攻擊。繼續閱讀

惡意廣告：安靜卻致命

2015 年 06 月 23 日2015 年 09 月 09 日趨勢科技 TrendMicro

作者：趨勢科技全球安全研究副總裁Rik Ferguson

惡意廣告並非新的產物；它是已經存在了十多年的犯罪手法。早在 2004年，就出現當訪客連到科技網站「The Register」被流氓廣告攻擊的事情，它利用一個Internet Explorer中的零時差漏洞來植入BOFRA惡意軟體。在過去十年間，許多高知名度的網站因為他們的廣告網路在不知情下成為網路犯罪市場的幫兇。受害者包括紐約時報、Google和赫芬頓郵報等數不清的例子。

多年來，惡意廣告已經成為犯罪分子利用合法框架來散播惡意攻擊和賺取非法收入這越來越常見作法的代表例子。線上廣告生態系統的模糊性質讓攻擊者可以輕易地利用真正的廣告商來派送攻擊，而大型廣告網路的全球覆蓋率可以將任何攻擊的的潛在受害者以倍數的放大，遠遠超出犯罪份子原本預期的程度。

根據Online Trust Alliance所公佈的數據顯示，在2012年有將近100億的廣告曝光數受到惡意廣告影響，而接著在2012年到2013年間出現了225%的成長，發生209,000次的事件，產生超過124億的惡意廣告曝光數。

使用者已經漸漸地不想看到出現在網路或傳統媒體上的廣告曝光。如果濫用廣告網路的趨勢繼續下去，那麼我們可以期待看到瀏覽器廠商直接加入廣告封鎖功能，這在今日只能用第三方外掛程式做到。這將會毀掉線上廣告的商業模式。想避免這巨大改變唯一可能的做法是廣告網路正視這個問題，要確認自己所提供的內容，比方說推出前先用沙箱測試，並且要確認基礎設施的安全性，防護可能會被犯罪分子用來將自身融入這生態系的弱點，不管是在技術上和程序上，比方說，對他們所服務的客戶進行有效的身份驗證。

想了解更多關於惡意廣告在2015年所造成的影響，可以參考我們2015年第一季的資安綜合報告，「惡意廣告和零時差漏洞：重新崛起的的威脅挑戰對供應鏈和最佳實作的信任」。

[延伸閱讀：當線上廣告出現惡意攻擊行為]

他在社群網路的推文,為何讓他登機遭拒?

2015 年 05 月 27 日2019 年 08 月 16 日趨勢科技 TrendMicro

空中駭客：你該擔心嗎？

作者：Martin Roesler

在過去幾天裡，資安界一直在討論透過機上娛樂系統（IFE）來入侵商用客機的說法。這件事會被公開是因為媒體揭露聯邦調查局申請對一名研究飛機安全研究員Chris Roberts的搜索令。搜索令上指稱 Roberts可以侵入各種商用客機的IFE系統，並發出他所謂的「CLB」或爬升指令。

整起事件起源於4月15日,Roberts 當天從搭機飛往紐約，一上飛機就在推特（Twitter）推文開玩笑暗示可以駭入機上電腦系統，讓氧氣面罩全數掉落。飛機降落後，Roberts 就遭美國聯邦調查局（FBI）盤問4小時。

以下是其推文內容:

Find myself on a 737/800, lets see Box-IFE-ICE-SATCOM, ? Shall we start playing with EICAS messages? “PASS OXYGEN ON” Anyone ? 🙂

— Chris Roberts (@Sidragon1) 2015 4月 15日

三天後 Roberts準備從科羅拉多州登上聯航班機，不料在登機門遭攔下，還被查封各種電子設備（包括他的iPad、筆記型電腦和各種USB設備）。

Roberts事後接受媒體訪問時聲稱可以在不驚動駕駛艙任何警示燈情況下，在3萬5000英尺高空熄掉發動機。甚至能透過連結座位底下的盒子，查看飛機發動機數據、油料和飛航管理系統。

資安和航空界的反應很快速。有些人認為Roberts的行為並不道德。許多人對於Roberts選擇在真實航班上進行飛機「攻擊」感到不滿。也有很多人對於他所聲稱的真實性感到懷疑，而這是許多航空界人士共同的反應。繼續閱讀

數位憑證：你能相信誰？

2015 年 05 月 14 日2015 年 05 月 19 日趨勢科技 TrendMicro

數位憑證是公開金鑰基礎設施（PKI）的骨幹，也是建立網路信任的基礎。數位憑證通常會跟簽名相比；我們能夠信任一份文件是因為它有簽名，或是擁有我們所信任人士的保證。簡單地說，數位憑證是現實世界模型的重現。

牽涉到數位憑證的事件最近一直出現在新聞上。對一般使用者來說，並不會很清楚或注意環繞在數位憑證或憑證管理機構（certificate authority -CA）的問題。然而，IT經理、軟體開發人員及安全專家需要了解這些問題，才能適當地管理風險。

那麼，我們在網路上可以信任誰或什麼？

每台連到網路的電腦都包含可信任的根CA列表。這些根CA簽發的憑證可以用來為其他CA或伺服器簽章憑證。任何憑證都需有一個「信任鏈」，讓系統看到它所信任的任何一個根憑證。

「可信任」是什麼意思？

如果一個安全連線或簽章過的檔案是「可信任」的，這通常代表沒有出現警告訊息。數位憑證被用在使用SSL/TLS的安全網站，用程式碼簽章識別和驗證可執行檔以及透過安全/多用途網際網路郵件擴展（S/MIME）的安全電子郵件。如果瀏覽器存取的HTTPS伺服器具備不被信任的伺服器憑證就會出現警告訊息。如果一個未簽章或未受信任的執行檔被執行，也可能會產生警告訊息。使用者可能會看到這些警告訊息並避免有危險的行為。

HTTPS被廣泛的利用來確保使用者所連到的是正確的網站。很多使用者會檢視瀏覽器用來標示HTTPS地址的綠色符號作為連線安全的記號。繼續閱讀