“用手機把專家放在你的口袋”這個創新案例是如何做到的?
受邀擔任商周奇點大賽的總評審長的趨勢科技創辦人張明正,分享他對創新的看法、印象最深刻的創新案例、對入圍者的提醒,希望所有參加的朋友可以有更多的獲得與啟發。
『(孔子)學而篇「學而時習之,不亦說乎?有朋自遠方來,不亦樂乎?人不知而不慍,不亦君子乎?」在整個參賽過程中,透過自我的覺醒,做你自己!做你最喜歡的自己!最好的自己!還沒有決賽,你已經贏了!恭喜你!』
-頂尖評審團評審長-趨勢科技創辦人 張明正
延伸閱讀:
「菜刀+試紙」救食安 青年創意發想爭獎金
想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚
《提醒》在粉絲頁橫幅,讚的右邊三角形選擇接收通知和新增到興趣主題清單,重要通知與好康不漏接
沒有人知道未來會出現什麼,但我可以很有把握的說,2014將被稱為「資料外洩的一年」。不過除了相互指責、推卸責任及無可避免的媒體報導外,還可以看到另一個有趣的現象:幾間被駭的公司在當時都沒有資訊安全長(CISO)。
沒有辦法可以保證你不會出現在2015年的資料外洩事件頭條上,但有個專職的網路安全專家來直接向董事會報告已經成為認真看待安全防護的組織所必不可少的事情。對於仍然缺乏此一職位的公司來說,現在就該採取行動,在2015年過去之前。
代價高昂的錯誤
現實是今日我們所要面對的不再只是待在自己家裡開發惡意程式的壞份子 — 網路犯罪有組織、資源充足並且反應迅速。黑帽駭客知道我們的弱點,準備充分地去利用任何安全間隙,好竊取我們最敏感的資料 — 無論是客戶的個人識別資訊或敏感的智慧財產。
在過去一年,有許多成功的外洩事件利用複雜的針對性攻擊技術來感染零售商的端點銷售(PoS)系統,使用著新「記憶體擷取程式」變種,像是Soraya和Backoff。令人沮喪的是,許多外洩事件是可以避免的。
想想可能產生的龐大損失,組織應該要盡可能地去降低風險 — 透過專門的資訊安全長來集中運作。
Ponemon Institute的最新資料顯示,在2014年發生資料外洩事件的平均成本為350萬美元,比前一年高出15%。而且不只是這些公司們所必須面對的可能產業或監管機構罰款、法律訴訟、甚至是調查和補救處理的費用。更令人擔心的是潛在負面消息會迫使客戶切換到競爭對手,而且對名聲的打擊也會影響到股票價格。
輸入資訊安全長
在其報告中,Ponemon指出資訊安全長是除了事件回應和危機管理計畫等之外的重要預防措施。資訊安全長可以幫助識別資訊安全風險所在,並向董事會闡明以使它們了解,好讓關鍵投資可以順利進行。
零售商Target一直都缺少資訊安全長,一直到最近這起事件發生,他們也被建議如此做。在2013年的資料外洩事件是該產業有史以來最嚴重的一次,超過4000萬筆卡號和7000萬筆客戶記錄外洩。該公司現在已經委派了資訊安全長,但代價是什麼?
下面是一些發生資料外洩事件卻沒有資訊安全長的主要組織: 繼續閱讀
我們在巴賽隆納的世界行動通訊大會Mobile World Congress),簡稱MWC,和業界領袖、先驅及創新者一同討論行動科技的未來。能夠看到革命性的想法以及物聯網(IoT ,Internet of Things)產品很令人興奮。不過重要的是要記住,在一切變得更加方便及舒適時,我們也要準備好面對它們可能帶來的網路風險。我們對於網路安全的熱情驅使著我們提醒出席者記住:
智慧型設備廠商必須將網路安全列為優先。開發人員和廠商能夠認識到自己的產品可能成為網路犯罪目標是很重要的。趨勢科技不停地去創新、開發和改善我們的安全產品及服務以保護使用者,而智慧型設備能夠盡可能地將安全放在第一位也是同樣的重要。我們提醒所有的行動裝置廠商在開發產品時要將良好的安全實作放在心上,同時要定期地加以測試和更新,以確保它們在面對新威脅時一樣安全。
為防護物聯網建立政策是關鍵。聯邦貿易委員會主席Edith Ramirez一月在消費性電子展上談到要為公司建立政策「以增強消費者的隱私和安全,從而讓消費者能夠信賴物聯網設備」。她建議的三個步驟包括:
採用安全的設計
我們相信,透過建立書面政策及加以堅持,將開始讓網路安全融入公司文化,成為開發新技術時的首要考量點。 繼續閱讀
作業系統廠商都會持續地加強漏洞防護技術,就像微軟在Windows 10和Windows 8.1 Update 3(於去年11月發布)引入的新技術。這項技術被稱為執行流保護(CFG)。
之前的防護技術像「位址空間隨機載入(ASLR)」和「資料執行防止(DEP)」都成功地讓漏洞攻擊變得更加困難,雖然這些技術還不完美。ASLR讓駭客開發了Head-Spray攻擊方式,DEP讓「返回指標程式設計(ROP)」技術出現在漏洞攻擊碼裡。
為了探索此一新技術,我使用Windows 10技術預覽版(build 6.4.9841)測試,用Visual Studio 2015預覽版來製作測試用程式。因為最新的Windows 10技術預覽版(10.0.9926)內的CFG實作方式有些許變化,我會指出其不同之處。
若要完全實現CFG,編譯程式和作業系統都必須正確地加以支援。因為是系統層級的漏洞防護措施,要實現CFG必須靠編譯程式、作業系統使用者模式程式庫和核心模式組件間共同合作。MSDN上的一篇部落格文章概述了開發人員支援CFG所需要的步驟。
微軟實作CFG的重點在於間接呼叫保護。看看我所建立測試用程式的程式碼:
圖1、測試用程式的程式碼
讓我們看看如果不啟用CFG,紅圈內的程式碼會編譯成什麼樣子。
圖2、測試用程式的組合語言程式碼
趨勢科技全球安全研究副總裁Rik Ferguson
更新:可以讓第三方(即攻擊者)進行中間人攻擊的私密金鑰和相關密碼已經被成功取出。這意味著和受攻擊電腦位在相同網路的攻擊者將能夠攔截任何SSL加密流量。
更新二:趨勢科技將相關檔案偵測為ADW_LOADSHOP及ADW_SUPERFISH。受害電腦一但出現偵測,仍需照文章結尾所列出的手動步驟來移除憑證。
更新三:聯想現在已經發佈自己的「Superfish漏洞」公告,內容包含受影響的機型和移除應用程式及相關憑證的說明。
更新四:聯想已經推出支援工具來移除應用程式和憑證
______________________________________________________________
一旦壞傢伙進入生產線就真的是件壞消息。趨勢科技已經看過帶有預先安裝惡意軟體的電子香菸充電器、數位相框及許多其他的故事。但如果製造商自己也開始做起跟壞傢伙一樣事情的時候呢,無論是出於惡意或無知?
使用者回報在網路上湧現,聯想所販賣的某些款筆記型電腦在出廠時預裝了名稱頗諷刺的「Superfish Visual Discovery」。該軟體具備的能力遠遠超過你預期廠商可能會安裝的一般「廣告軟體」。
這個間諜軟體(我們很快就會講到為何用這個詞)已經隨著聯想筆記型電腦一起出貨好一段時間了。事實上,聯想的一名社群媒體專案經理在一月時就確認了聯想即將因為「一些問題」而暫時停止出貨此間諜軟體。當然,這並不會阻止生產線上預裝好的潛在受害電腦出貨。
Superfish做了什麼令人如此擔憂?
除了一般廣告軟體常有的伎倆之外,Superfish還會安裝它自我簽章的根憑證授權單位。用一般人的語言,這就是說Superfish可以產生任何它想要的憑證,而你的瀏覽器將會完全地相信它是合法的,讓它可以假冒網路上的任何地方。這些網站通常會為了你的安全而具備強大的加密保護,通常只有通訊的另一方 – 你的銀行、Facebook、電子郵件帳號或網路商店等可以解密這私密的內容。
通過產生自我簽章的憑證,Superfish可以進行中間人攻擊,偽裝成任何這些加密的安全網站,截取私密的通訊。而且完全不會讓你的電腦或瀏覽器出現任何警示聲或視覺化警訊,它已經是「受信任」的根憑證授權單位。更糟的是,他們安裝的憑證使用SHA-1(在2011年停用)和1024位元的RSA金鑰(在2013年就過時),而且它在「每台」聯想筆記型電腦上都使用相同的根憑證授權單位私密金鑰,所以就可能去攻擊憑證本身好濫用來進行大範圍的犯罪行為。
放到Twitter上的圖檔已經顯示出此功能的潛在影響。
糟糕的是,只移除Superfish並不會移除其關聯根憑證,讓電腦可能會因為有人惡意使用憑證私密金鑰而進一步的受到竊聽或網路釣魚所害。
受影響使用者需要先手動移除Superfish應用程式,隨後撤銷並移除Superfish根憑證,這裡是Windows所必需的根憑證列表,以及憑證移除說明的連結。
長遠來說,我相信製造商應該有義務提供電腦購買者裸機的選項,即沒有預裝的作業系統。這樣不只可以降低成本給使用者,還會增加選擇作業系統的自由,並且將完全控制權交還給該設備的擁有者。
@原文出處:Superfish (and chips) or Super Phish?
想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚
《提醒》在粉絲頁橫幅,讚的右邊三角形選擇接收通知和新增到興趣主題清單,重要通知與好康不漏接
◎ 歡迎加入趨勢科技社群網站
趨勢科技PC-cillin 2015雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載
