趨勢專家談趨勢 - 資安趨勢部落格

什麼能真正推動雲端運算大規模的成長？

2014 年 01 月 28 日2014 年 01 月 23 日趨勢科技 TrendMicro

當大多數IT專家談論到雲端運算，他們會想到基礎設施即服務（IaaS）或平台即服務（PaaS）。不太容易去想到的是，有很大比例的IaaS是用來推動軟體即服務（SaaS）產品，而SaaS本身占了雲端運算市場的最大部分。

Ｄavid Linthicum在InfoWorld上引用了一篇Capgemini的報告，顯示雲端運算市場規模從2009年的174億增長到2013年的442億。而有趣的是，SaaS的市佔率也從69 ％降低到58％，歸因是由於IaaS的成長。

我並不同意。現在越來越難去將一個應用程式歸類到一個特定類別。如果它依賴其他幾種雲端技術，那它是軟體即服務，還會變成混合雲？如果它被銷售為基礎設施即服務產品，但管理是靠軟體即服務呢？你的內容傳遞網路（CDN）是基礎設施即服務產品或軟體即服務產品？我也不知道。

而我馬上浮現到腦海裡的是趨勢科技的Deep Security產品。它非常的具有彈性，讓你能夠從自己的私有雲、公共雲或趨勢科技所代管的服務上來執行管理主控台。它可以管理橫跨實體伺服器、虛擬機器、私有雲和公共雲上的安全性。你可以基於使用量（即SaaS）來計費，或是實行企業合約。

你告訴我 – 這是SaaS產品？或是IaaS？不管是什麼，它都有一定的規模，而且越來越成長，而且它並不是簡單的SaaS/PaaS/IaaS，這我們在2006年所發明的層次架構，用來解釋我們自從代管和應用服務供應商（ASP）在1997年崛起後所做的事情。

你雲端策略所該做的是不要太關心某個東西是否在這三個類別之中。相反地，要注意你該如何進行管理，以及你要如何付費。這將會讓你從戰術決定前進到戰略規劃和實施。

＠原文出處：What is really driving the massive growth of cloud computing?

450萬名Snapchat用戶的使用者名稱和電話號碼被曝光

2014 年 01 月 14 日2014 年 01 月 10 日趨勢科技 TrendMicro

趨勢科技全球安全研究副總裁 Rik Ferguson

在舊時代，一切都還是黑白分明的時候，如果有陌生人在街上接近你，跟你要通訊錄副本的話，你肯定覺得他瘋了。如果有店員堅持要你用100名朋友的資料來換取優惠券也會是一樣奇怪的要求。不知什麼時候，資料本身數位化了，而且傳輸過程無形且無痛，讓這些成為完全可以接受的行為。與其繼續讓隱私被侵蝕，這類服務的使用者最好將手機用在其長期被忽略的原本目的上，或許打電話給那些朋友們，甚至安排見個面（！）好親自聊聊你所發現很棒的新應用程式，而不是一股腦地將你的朋友賣掉。

超過450萬名Snapchat用戶的使用者名稱和電話號碼被發佈在名為SnapchatDB.info的網站上。根據TechCrunch，SnapchatDB表示攻擊者是利用一個在2013年12月23日所披露的漏洞。

「我們這次發佈背後的動機是為了提高公眾意識在解決該問題上，也將公眾壓力帶給Snapchat，好讓此漏洞獲得修復。高科技初創公司的資源有限是可以理解的，但安全和隱私不該是次要目標。安全的重要性就跟使用者體驗一樣」

當然，這並非第一次在 Snapchat 服務或應用程式上發現漏洞。在最近幾個月內，各種偷偷儲存照片或恢復已刪除照片的方法已經成為好幾次的頭條，這些都是應用程式本身的漏洞，在使用者設備上攻擊漏洞。最新的這次攻擊是利用Snapchat自己伺服器上API的弱點，該API用來讓 Snapchat伺服器和 Snapchat客戶端進行通訊。

這些弱點可以讓自動化系統在短時間內對 Snapchat伺服器進行大量的查詢，發掘特定號碼是否存在 Snapchat 的資料庫內，並檢索與該號碼相關聯的其它資料，當然這號碼就是行動電話號碼。這次攻擊，再加上進一步的資料採礦（像透過社群媒體），可以輕易地建立出非常巨大的個人資料庫，用在各種進一步的攻擊或用來轉售。雖然Snapchat在幾個月前就意識到這些漏洞，GibsonSec – 概念證明漏洞攻擊碼的公布者聲稱他們仍然可以輕易地加以攻擊，而Snapchat DB證明了這一點。繼續閱讀

物聯網（IOT或萬物聯網IOE）會遭受攻擊嗎？

2014 年 01 月 13 日2016 年 01 月 25 日趨勢科技 TrendMicro

物聯網（IOT或萬物聯網IOE）是2013年最盛行的科技流行語之一，從Google搜尋趨勢就可以看得出來。這名詞指的是日常物品數位化的增加 – 任何新科技產品在設計時都會考慮到連接性，不管是智慧型電視、或是智慧型烤麵包機。隨著越來越多設備連上網路，防護這些設備也成為資安的下一個大挑戰。

遊戲玩家和擴增實境

在2014年，有一大列有趣的技術正在排隊等待出發。玩家也相當的期待：不僅最新一代的主機大戰開始，Valve也利用Steam主機帶出Linux遊戲，Oculus Rift可能會讓互動遊戲產生革命性的變化。遊戲已經成為不法份子有利可圖的目標，遊戲帳號經常在地下論壇進行交易。如果Steam主機可以普及，Linux惡意軟體的增加也成為可能。

2014也可能是擴增實境（AR）的一年，開始在日常生活中變得常見。現在在智慧型手機上已經有許多你可以玩的AR應用程式，但手機並不太適合AR。你需要把它從口袋裡拿出來、解鎖、打開一個應用程式、瞄準你感興趣的對象 – 更別提你用的是4或5吋的較小螢幕。

充分沈浸才能讓AR有最好的效果 – 而這也正是Google眼鏡或SpaceGlasses等穿戴式技術發揮的地方。有許多有趣的技術，甚或是心理攻擊可以攻擊這類的裝置。比方說，這些設備的使用者（白話地說）在頭上連著攝影機走來走去。不法份子去特製銀行惡意程式來擷取銀行密碼並不是件很難的事情。

火線下的SCADA（資料採集和監控系統）

自從Stuxnet蠕蟲出現，ICS/SCADA社群受到資安產業的嚴格審查。大多數安全大會現在都至少會有一個主題談論SCADA系統的安全性。趨勢科技的前瞻性威脅研究團隊在2013年發表了一系列相關主題的報告，並且證明了SCADA系統攻擊並不只是個理論，而是正在發生的現實。

這在2014年肯定會繼續下去，特別是目標攻擊、或是勒索性攻擊。對於安全研究人員和駭客來說，這真的是一個開始熱起來的領域 – 關於無線電通訊的整個領域。因為無線電沒有線而在空中進行傳輸，所以很多人認為（錯誤地）它是安全的。

在今年，趨勢科技秀出用於船舶追蹤的AIS標準有許多問題 – 其他研究人員也發現類似的問題出現在ADS-B（用於航空）上。我們預期在2014年會看到更多此類研究的發表。有更多技術在設計時並沒有考慮到安全性，或可以輕易地從遠端存取 – 突然就連到網路上，讓它們的安全漏洞顯現給大家看。繼續閱讀

你聽到我所聽到的東西嗎？

2014 年 01 月 08 日2014 年 01 月 02 日趨勢科技 TrendMicro

這一篇最近被發表在通訊雜誌上的文章，替 BadBIOS 這把大火又添了些新柴。在 BadBIOS 的案例裡，已經指出各項設備是透過一般電腦的音效裝置來進行無線的溝通。這份報告明確地說明了這樣溝通的可行作法。即使這最終和BadBIOS沒有關係，它也有很好的潛力來作為一種資料外洩的方法。

首先，我要明確指出，這僅僅是一個通訊管道，並不是像某些文章可能會讓你聯想到能夠作為感染載體。在現在這時間點，沒有已公開的技術可以僅僅依靠聲音來超越距離的感染系統（你可能會想從現在起開始對Siri多尊重一點）。

這方法的工作原理跟一種用來進行水底通訊的舊系統一樣，利用接近人耳聽覺的音頻上限。人類聽覺所能接收到的頻率範圍通常是從20Hz到20KHz。為了做個比較，狗可以聽到高達60KHz的範圍。我們聽到高頻的能力會隨著年齡增加而變差。也因為如此，一般電腦硬體的設計規格（例如20Hz到20KHz）跟大多數使用者可以聽到的範圍（比方說此篇討論所設定的17KHz）之間就會自然地出現一個空間來。

經過一些初步的測試，我們發現，在我們20人的樣本裡，約有兩個可以聽到17.5KHz的鈴聲。到目前為止，我們的測試裡沒有人聽到18.5KHz。任何可以使用音效硬體的應用程式都能夠用這種方式交談。注意到，Mac和Linux系統可能需要不同的軟體做法。所有使用的硬體都是現成而且未改過。還有一點很有用，在我們的測試中，18.5KHz的音頻沒有辦法透過電話或視訊會議傳輸。

Hack-a-day用GNU Radio做出一段關於此作法很棒的示範。雖然可能很難將GNU Radio運行在它不屬於的系統上。在我們接下來的測試裡，我們要專注在範圍、可靠性和使用一般軟體的可能性。我們可以用一個簡單的Perl腳本將文字訊息轉換成18.5KHz的摩斯密碼音頻。在一個沒有特別準備過的環境下（例如有風扇聲、機器噪音、音樂等），我們可以很輕易地在超過6公尺或20英尺外，利用些簡單的頻譜分析軟體來進行解碼。