保護信用卡個資,並非網路購物唯一要考慮的隱私問題

五個網路購物保護隱私和安全的小提醒

網路購物是現代科技帶給我們最大的方便之一。對於不喜歡人擠人或排隊等結帳的顧物者來說,網路購物是代替購物商場或其他公共場合最好的方案。而且今日的網路購物也因為行動支付技術而變得方便許多。但你正舒服的待在家中透過網路比價時,購物帳號和金融交易也可能被躲

上網 網路購物 信用卡

在暗處窺伺的惡意份子所侵害。因為電子商務的特性加上有著太多的網路商店,有時很難分辨你所面對的是合法或假冒的商家。

 

正如同消費者在實體店面時需要採取安全措施一樣,網路買家也要了解網路交易時可能存在的風險。一般來說我們都認為該保護好信用卡資料,這很正確。但它並非我們唯一要考慮的隱私問題。

網路威脅不再限於惡意軟體和詐騙。攻擊者知道你越多的線上活動,也就產生越多洩漏自己資料的風險。尤其是當你想購物的時候,搜尋想買的東西可能會將你從一個網站帶到另一個,這會增加遇上惡意網站的機會。

資料外洩和駭客入侵及身份竊盜事件越來越普遍,網路購物者應該要保護自己以避免這類可能危及自身隱私的攻擊。有許多不同方法會被用來侵犯使用者的隱私,而且遲早會出現沒有察覺的使用者落入網路釣魚、網路詐騙、垃圾郵件和惡意網址的陷阱。以下是當你進行線上購物時如何保護和維護自己隱私和安全的建議:  繼續閱讀

不要成為資料外洩的受害者:任命資訊安全長(CISO)以免太遲


CISO

沒有人知道未來會出現什麼,但我可以很有把握的說,2014將被稱為「資料外洩的一年」。不過除了相互指責、推卸責任及無可避免的媒體報導外,還可以看到另一個有趣的現象:幾間被駭的公司在當時都沒有資訊安全長(CISO)。

沒有辦法可以保證你不會出現在2015年的資料外洩事件頭條上,但有個專職的網路安全專家來直接向董事會報告已經成為認真看待安全防護的組織所必不可少的事情。對於仍然缺乏此一職位的公司來說,現在就該採取行動,在2015年過去之前。

代價高昂的錯誤

現實是今日我們所要面對的不再只是待在自己家裡開發惡意程式的壞份子 — 網路犯罪有組織、資源充足並且反應迅速。黑帽駭客知道我們的弱點,準備充分地去利用任何安全間隙,好竊取我們最敏感的資料 — 無論是客戶的個人識別資訊或敏感的智慧財產。

在過去一年,有許多成功的外洩事件利用複雜的針對性攻擊技術來感染零售商的端點銷售(PoS)系統,使用著新「記憶體擷取程式」變種,像是Soraya和Backoff。令人沮喪的是,許多外洩事件是可以避免的。

想想可能產生的龐大損失,組織應該要盡可能地去降低風險 — 透過專門的資訊安全長來集中運作。

Ponemon Institute的最新資料顯示,在2014年發生資料外洩事件的平均成本為350萬美元,比前一年高出15%。而且不只是這些公司們所必須面對的可能產業或監管機構罰款、法律訴訟、甚至是調查和補救處理的費用。更令人擔心的是潛在負面消息會迫使客戶切換到競爭對手,而且對名聲的打擊也會影響到股票價格。

輸入資訊安全長

在其報告中,Ponemon指出資訊安全長是除了事件回應和危機管理計畫等之外的重要預防措施。資訊安全長可以幫助識別資訊安全風險所在,並向董事會闡明以使它們了解,好讓關鍵投資可以順利進行。

零售商Target一直都缺少資訊安全長,一直到最近這起事件發生,他們也被建議如此做。在2013年的資料外洩事件是該產業有史以來最嚴重的一次,超過4000萬筆卡號和7000萬筆客戶記錄外洩。該公司現在已經委派了資訊安全長,但代價是什麼?

下面是一些發生資料外洩事件卻沒有資訊安全長的主要組織:  繼續閱讀

FREAK 攻擊 TLS/SSL 漏洞,影響了熱門網域和瀏覽器

影響傳輸層安全協議/安全通訊協定(TLS/SSL)的漏洞新聞,這是用在無數網站和瀏覽器的身分認證協定,包括了大約10%的頂級網域及 Android和 Safari瀏覽器,其根本原因要回溯到90年代。

SSL

一份三月初發布的聲明中,大學和產業研究人員發表SSL/TLS漏洞(嚴重程度等級為中等,編號為CVE-2015-0204)如何遭受攻擊。證明了此漏洞真實存在並且可被攻擊,他們安排執行了FREAK攻擊(來自Factoring RSA Export Keys的縮寫)。

結果會造成中間人攻擊能夠強制安全的加密網站改用有缺陷的加密方式 — 1990年代被強制使用的出口等級加密,在今天已經不安全,但仍可以在許多網站見到 — 攻擊者可以輕易地解密以窺視安全通訊。 繼續閱讀

創新和網路安全攜手並進

我們在巴賽隆納的世界行動通訊大會Mobile World Congress),簡稱MWC,和業界領袖、先驅及創新者一同討論行動科技的未來。能夠看到革命性的想法以及物聯網(IoT ,Internet of Things)產品很令人興奮。不過重要的是要記住,在一切變得更加方便及舒適時,我們也要準備好面對它們可能帶來的網路風險。我們對於網路安全的熱情驅使著我們提醒出席者記住:

智慧型設備廠商必須將網路安全列為優先。開發人員和廠商能夠認識到自己的產品可能成為網路犯罪目標是很重要的。趨勢科技不停地去創新、開發和改善我們的安全產品及服務以保護使用者,而智慧型設備能夠盡可能地將安全放在第一位也是同樣的重要。我們提醒所有的行動裝置廠商在開發產品時要將良好的安全實作放在心上,同時要定期地加以測試和更新,以確保它們在面對新威脅時一樣安全。

為防護物聯網建立政策是關鍵。聯邦貿易委員會主席Edith Ramirez一月在消費性電子展上談到要為公司建立政策「以增強消費者的隱私和安全,從而讓消費者能夠信賴物聯網設備」。她建議的三個步驟包括:

採用安全的設計

  • 最小化使用資料
  • 增加透明度,在處理非預期資料用途時,提供消費者通知和選擇能力

我們相信,透過建立書面政策及加以堅持,將開始讓網路安全融入公司文化,成為開發新技術時的首要考量點。 繼續閱讀

探索 Windows 10的執行流保護

作業系統廠商都會持續地加強漏洞防護技術,就像微軟在Windows 10和Windows 8.1 Update 3(於去年11月發布)引入的新技術。這項技術被稱為執行流保護(CFG)。

之前的防護技術像「位址空間隨機載入(ASLR)」和「資料執行防止(DEP)」都成功地讓漏洞攻擊變得更加困難,雖然這些技術還不完美。ASLR讓駭客開發了Head-Spray攻擊方式,DEP讓「返回指標程式設計(ROP)」技術出現在漏洞攻擊碼裡。

為了探索此一新技術,我使用Windows 10技術預覽版(build 6.4.9841)測試,用Visual Studio 2015預覽版來製作測試用程式。因為最新的Windows 10技術預覽版(10.0.9926)內的CFG實作方式有些許變化,我會指出其不同之處。

若要完全實現CFG,編譯程式和作業系統都必須正確地加以支援。因為是系統層級的漏洞防護措施,要實現CFG必須靠編譯程式、作業系統使用者模式程式庫和核心模式組件間共同合作。MSDN上的一篇部落格文章概述了開發人員支援CFG所需要的步驟。

微軟實作CFG的重點在於間接呼叫保護。看看我所建立測試用程式的程式碼:

圖1、測試用程式的程式碼

 

讓我們看看如果不啟用CFG,紅圈內的程式碼會編譯成什麼樣子。

 

圖2、測試用程式的組合語言程式碼

繼續閱讀