Java零時差漏洞再現,鎖定專門攻擊軍事單位,政府機關和國防機構

Pawn Storm:兩年來第一個 Java 零時差攻擊

趨勢科技的研究團隊在 Pawn Storm(典當風暴) 這個專門鎖定重要敏感機構的駭客集團攻擊行動當中發現了一項新的攻擊手法。我們經由趨勢科技主動式雲端截毒服務  Smart Protection Network情報網發現了一些專門針對北約 (NATO) 會員國和某個美國國防機構的攻擊電子郵件。

Attack 攻擊

Pawn Storm 行動這項最新攻擊之所以令人矚目的原因是它運用了一個全新、尚未修補的 Java 漏洞,這是自從 2013 年以來第一個被發現的 Java 零時差漏洞。此外,該攻擊還運用了一個已有三年歷史的 Microsoft Windows Common Controls (通用控制項) 漏洞 (CVE-2012-015),此漏洞已經在 MS12-027 安全公告當中解決。

趨勢科技的研究人員已將漏洞通報給 Oracle, Oracle已經在2015 年 7 月重大修補更新當中修正了這項漏洞。我們建議受影響的使用者盡快更新自己的 Java 軟體。此外,該漏洞也已列入 CVE 漏洞資料庫當中,編號:CVE-2015-2590。

零時差漏洞一直是進階持續性滲透攻擊 (APT) 的最愛工具,因為它們非常有效。這一切都是因為廠商還未釋出修補程式的緣故。在我們持續追蹤及監控 Pawn Storm 這個 APT 攻擊行動的過程中,我們發現了一些可疑的網址專門攻擊一項新發現的 Java 零時差漏洞。這是近兩年來第一次有新的 Java 零時差漏洞被發現。

值得注意的是,這個零時差漏洞與最近發生的 Hacking Team 資料外洩事件並無關聯。Pawn Storm 攻擊行動背後的團體目前正利用這項 Java 零時差漏洞來從事活動。

前述暗藏這個 Java 新零時差漏洞的網址與 Pawn Storm(典當風暴)  在 2015 年 4 月攻擊北約 (NATO) 會員國和美國白宮所使用的網址類似,不過當時的網址並未包含這次發現的漏洞。除此之外,Pawn Storm 還會攻擊其他政府機構,並利用一些政治事件和研討會為社交工程(social engineering )誘餌,如亞太經合會 (APEC) 以及 2014 年中東國土安全高峰會 (Middle East Homeland Security Summit 2014)。除了軍事單位和政府機關之外,媒體與國防工業也是這個 APT 攻擊行動鎖定的目標。 繼續閱讀

美國政府和維基百科都走向全HTTPS,網站所有者是否也該跟進?

六月中網路安全世界出現了一些有趣的消息。首先是美國政府宣布所有聯邦機構維護的網站到2016年底都必須使用HTTPS。接著是維基媒體基金會(最為人所知的是維基百科)宣布他們也會在網站上強制使用HTTPS,預計在「幾個禮拜內」會全面完成。

安全 通用

隨著大型組織轉向全HTTPS,而且瀏覽器廠商也跟著推波助瀾(有紀錄指出Mozilla最終只會將新功能使用在HTTPS網站上),較小網站的所有者也是時候跟進了嗎?一般使用者應該要強迫他們所喜愛的網站採用HTTPS嗎?它真的能夠有助於網路安全嗎?

簡短的回答是YES。網站所有者應該認真考慮為自己的網站啟用HTTPS。很清楚地是有許多人認為,從長遠來看,採用HTTPS可以增加網路安全性。網路巨頭如Google和Mozilla,再加上國際組織像是網際網路工程工作小組(IETF)和全球資訊網協會(W3C)都贊成此說法。現在在建立的網站應該一開始就使用HTTPS。這是今日資訊網的方向,而現在建立的網站應該要考慮到使用者的安全性和隱私。對於現行的網站,只要可能就盡快啟用HTTPS是網站所有者該認真思考的事情,特別是當需要處理敏感資料時。

另一件網站管理員要考慮的事情是,從長遠來看,搜索引擎可能會將使用HTTPS做為排名演算法的一部分。Google已經如此做了。雖然現在它還不是一個特別顯著的「信號」,但長久來說可能會大大的改變。對網站所有者來說,能夠領先於這潮流是件好事,而且也讓其使用者擁有更加安全和隱私的網路。

 

HTTPS:一個好的開始

但要注意的是,雖然強制採用HTTPS是提升網路安全非常重要的一步,但不應該只止於此。HTTPS絕對是種進步,但它並非完美,對網路安全來說也絕非萬靈丹。 繼續閱讀

成功的雲端運算管理必須建立穩固的防守

Cloud-shield 雲端

 

雲端運算正在改變全世界做IT的方式。有著降低成本、提高效率、更快開發應用程式並加以部署等吸引力,各地的使用者趨之若鶩的想轉移到這新的運算模式,不管有沒有得到IT的祝福。然而安全仍是首要的關注,因為會失去對實體基礎設施的控制。

想要平衡業務靈活性與安全風險同時又降低成本,這項挑戰並非容易的事。但它是雲端運算管理者想成功就得面對的事情。如同在足球賽事中,獲勝的策略必須建立在有穩固的防守上。

 

共享責任

為了要闡明雲端安全的挑戰,趨勢科技最近委託Forrester顧問公司訪談調查IT負責公共雲安全專案的專家。有70%的人認為公共雲是他們所提供給客戶的產品或服務的一部分。

而且毫不令人驚訝地,有四分之三(76%)的人對安全有疑慮。

在公共雲中,安全是共享責任。雲端服務供應商負責管理程序(包括資料中心和基礎設施),而客戶必須確保作業系統、應用程式、使用者和資料

安全。

繼續閱讀

「趨勢科技亞太區暨日本 CTF」網路攻防搶旗賽正式起跑

透過資安競賽加深實力,協同威脅防禦專家創造一個更安全的網路世界

【2015年7月15日台北訊】全球資安軟體及解決方案領導廠商趨勢科技(東京證券交易所股票代碼:4704) 今天宣布將舉辦一場以資安高手為對象的「趨勢科技亞太區暨日本 CTF」網路攻防搶旗賽」。趨勢科技一直致力創造更安全的網路世界,透過舉辦搶旗攻防賽,希望為提升區域網安技術層次盡一份心力,歡迎亞太區及日本的各路好手加入競賽,爭奪世界級的資安榮耀。

BNR-ctf-20150729-1200x627-v2

近年來,以商業機密和個人資訊為目標的網路攻擊不斷大幅成長,對政府機關以及大大小小的民間企業造成日益嚴重的威脅。今日的 IT 環境正朝向雲端、虛擬化和物聯網快速發展,然而新科技卻也帶來了日趨精密、複雜的網路犯罪;為了打造一個更安全的世界,我們益發需要更高階的資安知識和專業能力。身為網路安全領導廠商,趨勢科技希望能夠藉由這次邀請來自亞太區及日本的高手共同競賽較勁,共同提升整體網路社群的技術層次。

趨勢科技 CTF 將分兩階段進行,第一階段為線上預賽,預定8月舉行,第二階段的現場決賽則將於 2015 年 11 月在日本東京舉行。競賽內容將包括目標攻擊 (targeted attacks)、IoT 以及工業控制系統/監控與資料擷取系統 (ICS/SCADA) 等領域,與今日及未來的 IT 環境緊密。冠軍隊伍將獨得 1,000,000 日圓獎金,並自動取得 2015 年 12 月在台北舉行的 「HITCON CTF 2015 FINAL」(台灣駭客年會 2015 搶旗總決賽) 資格。

線上預賽:
報名開始日期:2015 年 7 月 15 日起
比賽日期:日本標準時間 2015 年 8 月 22 日 13:00 至 8 月 23 日 13:00 (為期 24 小時)
參賽資格:

  • 亞太區暨日本地區居民
  • 年滿 20 歲

比賽形式:解題模式 (Jeopardy-style)
比賽地點:線上 (需有網路連線)
報名網址:https://t.rend.tw/?i=Mzc5Nw

▍想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 ▍

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。

推薦】防毒軟體大評比: 惡意程式防禦力 PC- cillin雲端版榮獲第一名!
【推薦】PC-cillin 雲端版 榮獲世界著名防毒評鑑機構高度評比

540x90

 

 

 

趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載

 

◎ 歡迎加入趨勢科技社群網站

【 IOT】監視器成網路直播鏡頭!! 了解物聯網(IoT ,Internet of Things)

報導指出單身OL遭偷窺 套房監視器成網路直播鏡頭,台中市一名單身女子在套房內裝設購自對岸的網路攝影機,藉此透過手機觀看寵物的動態,未料竟意外發現,攝影機的鏡頭竟會跟著她轉動,app顯示同時間有兩位使用者登入瀏覽畫面,懷疑攝影機遭他人入侵。專家建議民眾慎選有口碑的業者購買產品,使用網路攝影機最好設定不容易被猜到的強密碼,不使用時最好關機。美國也傳出駭客入侵了嬰兒監視器,遠端驚嚇小孩的案例。無獨有偶台灣有一名女網友購買一台網路攝影機,用來觀看小孩在房間內的動靜,某日監視器突然傳出陌生男子聲音:「我沒出聲音,妳都不知道我在看妳餵奶嗎?」。相關報導:「不知道我在看妳餵奶?」女裝監視器遭陌生男子偷窺


趨勢科技資深顧問簡勝財接受訪問時表示,用戶端通常的情形是沒有修改密碼,使駭客只要以原廠的預設密碼就能登入監看畫面,另外,用戶所設定的密碼太簡單也容易被猜到,例如12345、abcde等等。

————————————————————————–

 

物聯網(IOT或萬物聯網IOE)是近年最盛行的科技流行語之一,從Google搜尋趨勢就可以看得出來。這名詞指的是日常物品數位化的增加 – 任何新科技產品在設計時都會考慮到連接性,不管是智慧型電視、智慧型烤麵包機、汽車、計步器、嬰兒監視器和電器設備。隨著越來越多設備連上網路,防護這些設備也成為資安的下一個大挑戰。

IOE

然而,這些設備的網路連接和運算能力 – 讓它們變「聰明」的原因 – 也會帶來安全風險。例如,智慧型電視的臉部和語音辨識會有隱私方面的問題;自動駕駛汽車可能會被駭客攻擊和傷害到使用者或路人;無所不在的穿戴式技術可以幫助它們的主人,也可能造成旁人的隱私威脅。

美國Fox News報導,有一對家長發現,駭客入侵了他們為10個月女兒所準備的嬰兒監視器(baby monitor)。該駭客除了遠端操控該監視器的錄影角度,還大聲對著小孩喊叫。嬰兒的爸爸衝進女兒房間後,發現房內並無他人,但看到嬰兒監控器的鏡頭在轉動,嚇到直接把監視器的插頭拔掉。據使用者論譠上披露,該款無線IP攝影機所使用的韌體含有安全漏洞,該款攝影機最多可支援8個帳號,一旦有帳號留白,那麼不用輸入帳號或密碼就能存取該攝影機所拍攝的內容。

本部落格談論過會影響居家智慧型設備普及的各種因素。這些因素包括市場壓力、地方市場供給和文化認同。智慧型家居設備已經開始推廣也確實可以買到,無論是在實體商家或網路上。此外,一些寬頻服務供應商也會銷售這些設備給他們現有的客戶,將居家自動化加入現有的網路和有線電視專案。

網路犯罪份子會緊盯著受使用者歡迎的平台和設備。然而,儘管智慧型設備可能是「下一件大事情」,它們還沒有被廣泛的採用。在我們的2014年預測中曾經提過,沒有讓大部分使用者將其視為必要產品的「殺手級應用」;這樣的「殺手級應用」可以導致大規模的採納智慧型設備。

然而,人們採用智慧型設備的數量有增無減。這些早期採用者必須了解這些設備的各種安全風險 – 不僅是為了個人資料和隱私,也為了他們的安全和福祉著想。

更多安全風險以及如何保護智慧型設備的相關資訊,請參考或我們的物聯網資訊站,裏面有著我們討論此一新興領域的相關資料。

相關中文報導,請看這裡

@原文出處:Understanding the Internet of Everything作者:Bernadette Irinco(技術交流)