趨勢專家談趨勢 - 資安趨勢部落格

PGP：不完美，但仍值得依賴

2014 年 09 月 10 日2014 年 09 月 10 日趨勢科技 TrendMicro

在過去幾個禮拜，PGP 作為使用者電子郵件加密方法的效果成為備受爭議的話題。最新一波來自約翰霍普金斯大學的密碼學教授Matthew Green，他對 PGP 的批評主要在於金鑰管理的缺陷和缺乏遠期安全（Forward Secrecy）。

對於這整個產業來說，做好加密是非常重要的。這是在21世紀確保網路生活安全的根本。PGP 在多年來都是防護電子郵件安全的重要組成部分，因此，如果是因為它被破解而需要修正的建議是必須被認真看待。

但 PGP 本身的加密功能被認為還是健全的，雖然它一直被視為不方便使用。不過它從未真正被認為是提供給一般使用者。一直都是有技術能力的使用者才會去依賴於PGP。這些使用者有能力去使用 PGP 客戶端，儘管它們不夠精良。

現在，事情改變了；可以想像人們可能有興趣去使用PGP，但不具備足夠的技術能力去使用現有的客戶端。這些使用者需要的是「點了就用」的軟體。在「安全」和「易用」之間有個不容易消彌的根本鴻溝。

PGP 有個的確值得批評的地方是它管理金鑰的方式。簡單來說，PGP 將管理金鑰的所有負擔都放在使用者身上。其他加密解決方案（如SSL/TLS）則恰恰相反，這些過程基本上對於最終使用者來說是不可見的。繼續閱讀

《CTO專欄》比特幣會消失嗎？

2014 年 09 月 10 日2014 年 09 月 10 日趨勢科技 TrendMicro

作者：Raimund Genes（趨勢科技技術長）

當你在安全公司工作，有時會讓人覺得你必須知道一切和技術相關的事情。所以，有時我會功嗎？」

不幸的是，我是個工程師，不是經濟學家。我沒辦法說像美國的美聯儲、德國的德國央行或英國的英國央行等大型中央銀行會如何做出回應。也許他們會試著對其進行規範。也許他們會試著加以禁止。誰知道呢？應該去問經濟學家或銀行家；他們可能會更清楚。

我所知道的是，越來越多廠商接受電子貨幣付款。比方說在美國，線上的科技商家如Dell和Newegg都已經開始接受比特幣。你不僅可以用比特幣購買電子玩意，你也可以用它們來度假 – 線上旅行社如Expedia.com和航空公司如airBaltic也都接受比特幣。

然而，他們不是唯一接受比特幣的人。網路犯罪分子也接受。如果你中了勒索軟體 Ransomware，你可以用比特幣（Bitcoin）支付贖金。網路犯罪分子也使用它來彼此購買商品和服務,近日好萊塢 A 咖女星裸照外流事件的駭客就是要求以女星裸照換比特幣（Bitcoin）。

為什麼這些不法份子使用比特幣（Bitcoin）？其中一個原因可能是他們認為這既安全且匿名。當然，它的許多大支持者也說相同的話。然而，這並不是百分之百的正確。沒錯，你的比特幣地址不會直接提到關於你的事情，但所有的交易都是區塊鏈的一部分 – 這代表任何人都可以看到它。

任何有能力處理巨量資料和可以從各種來源收集資料的組織都可以（如果他們想）除去比特幣交易的匿名性。這並不像人們想像中的那樣安全。我們甚至還沒提到惡意軟體是如何地試圖從使用者錢包偷走比特幣。

所以，比特幣會是電子貨幣的未來嗎？我所知道的是，網路犯罪分子喜歡它就跟喜歡真實世界的貨幣一樣，它也有自己的地位和風險。從某些方面看，新的數位貨幣跟舊貨幣沒有兩樣。

想了解更多我對比特幣和其他電子貨幣的想法，請看下面的影片 – ？

@原文出處：Will Bitcoin Succeed?

《CTO 觀點》資料蒐集是一把雙面刃

2014 年 08 月 07 日2014 年 07 月 31 日趨勢科技 TrendMicro

作者：Raimund Genes（趨勢科技技術長）

今日的科技真是日新月異，才一、二十年前，我們還在使用像磚塊般大小的行動電話，而網際網路的速度也只不過今日的百分之幾。現在，我們口袋裡就帶著一台強大的電腦，連手錶都是電腦，而且只需一點時間，就能將整套圖書下載到電腦上。

然而這些好處是要付出代價的。其中之一就是這些方便服務背後的廠商將如何透過這些服務蒐集關於客戶的資料：客戶使用服務的方式、時機、地點、對象及動機。事實上，廠商從不透露他們這些行為，通常是靠著某個用心的使用者才得揭發，因此經常轟動一時，甚至演變成醜聞。

資料蒐集是否真的那麼讓人不安？每家公司都會這麼做。例如，Amazon 會記住您的購買、瀏覽和搜尋記錄，然後在您登入時提供一些建議，節省您的時間和力氣。甚至咖啡店也會記住客人的點餐習慣，並且親切地詢問客人是否要和「平常」一樣。如果他們所蒐集的資訊有助於改善服務，而非用於其他祕密或不法用途，那麼，資料蒐集真的對我們不利嗎？

坦白說，我並不覺得，只要在適當的條件下即可。請參考我探討這項敏感議題的影片。

若您喜歡這篇文章，請訂閱我的 RSS 頻道！

◎原文來源:資料蒐集是一把雙面刃 (Data Gathering Is a Two-Way Street)

資訊安全長的偏頭痛：痛處和解決方法

2014 年 08 月 01 日2017 年 06 月 16 日趨勢科技 TrendMicro

做一位資訊安全長（CISO）並不容易。一方面要無時無刻的面對董事會的難題 – 要求著不存在的額外預算，試圖對「非技術」對象闡明商業方面的安全威脅。然而當資訊安全長的資源保持不變時，威脅環境本身卻是千變萬化，日新月異，由日益靈活彈性、資金雄厚且進階的敵人來執行。在這些角度來看，資訊安全長可能是現代企業中最具挑戰性的角色之一。

只要漏掉了一次，你的組織就可能出現在明天全國媒體的頭條

在2014年問任何一位資訊安全長關於他們持續的關鍵挑戰是什麼，大多數會提到技能短缺。根據去年對ISC2的年度全球資訊安全從業人員研究顯示，有大約56％的受訪者認為這產業有人力短缺的問題。技能差距也是個長期的問題，特別是在新的領域，例如自帶裝置（BYOD）和雲端運算。即使有出現熟練的專業人士，CISO們也經常抱怨並沒有足夠資源來吸引這些人才。

還有管理問題。CISO們經常發現自己跟他們的資訊長（CIO）意見分歧，CIO想要推動更廣泛的資料存取，更好的效率，彈性和財務報表。然而，這些都可能會增加IT風險。想要滿足這些要求而又同時繼續阻止風險是場持久戰，而且常有人會低估資訊安全長在確保組織開展業務的安全上所做的努力。

安全主管們一次又一次遇到的問題是，跟其他IT領域不同，現在他們所做的事情根本沒有投資報酬率。這一方面讓他們很難說服董事會需要額外資源。同時也和壞人們有著顯著的對比，壞人們可以從投資網路犯罪上獲得巨大的回報。他們只需要成功一次，但是資訊安全長必須要在100％的時間都正確。只要漏掉了一次，你的組織就可能出現在明天全國媒體的頭條。

來自雲端和行動運算的額外風險

雪上加霜的是來自雲端和行動運算的額外風險。在同樣一份ISC2調查中，全球有超過12000名安全專業人士認為自帶裝置和雲端都是主要擔心的事情。在工作場所使用員工自有設備和雲端服務不僅會增加組織受攻擊的面向，也限制了資訊安全長發展深入防禦策略的能力。行動應用程式的風險尤其高。無論是公司內部購買或開發，往往都沒有經過小心的編寫，也沒有充分進行 OWASP Top 20 的測試來消除漏洞。

另一個增加攻擊面向的因素是第三方合作夥伴，像是管理服務供應商和律師事務所。跟他們的通訊是業務上必不可少的事情，但他們往往是最脆弱的環節，如果被攻擊者當作目標，就可以成為踏腳石進到更大的組織。繼續閱讀