資安趨勢部落格 - 手機病毒/電腦病毒防禦密技,不只守護網路安全,還提供各種實用3C實用小秘訣,由資安/防毒軟體領導品牌趨勢科技 Trend Micro 每日更新

BASHLITE C&C 和 Shellshock/Bash 漏洞攻擊出現在巴西

2014 年 09 月 26 日2014 年 09 月 30 日趨勢科技 TrendMicro

在前面的部落格文章中，我們提到Shellshock/ Bash 漏洞針對某些機構發動DDoS攻擊，可以看出此漏洞對於現實世界影響的嚴重性。 Shellshock/ Bash 漏洞攻擊程式所帶來的各種不同惡意程式（PERL_SHELLBOT.WZ、ELF_BASHLITE.A、ELF_BASHLET.A）會連到幾個相同的C&C伺服器。

對於那些剛剛加入的朋友，Shellshock/ Bash 漏洞是個 Bash shell上的漏洞，Bash是讓使用者透過命令列來存取系統服務的使用者介面。如果用在惡人之手，攻擊者可以利用Shellshock在線上系統和伺服器執行惡意腳本 – 危害一切連到這些地方的東西。而且別誤會，此漏洞是很有可能被廣泛地用在破壞上，因為它影響到Linux、BSD和Mac OS X的作業系統。

一個和 ELF_BASHLITE.SM 及 ELF_BASHLITE.A 相關的 C&C伺服器 – 89[點]238[點]150[點]154[冒號]5，我們發現它也被 ELF_BASHWOOP.A所使用，被用在進行「Botnet傀儡殭屍網路」網路攻擊的後門程式。唯一的區別是它連接的端口 – ELF_BASHWOOP.A連到端口9003，而ELF_BASHLITE.SM連到端口5。根據我們的研究結果，此一C&C伺服器位在英國。

另一個C&C伺服器 – 162[點]253[點]66[點]76[冒號]53被ELF_BASHLITE.A和ELF_BASHLITE.SM所用,此C&C伺服器位於美國。

下面是連到這些C&C伺服器的國家列表：

圖1&2、C&C伺服器的地圖和表格 繼續閱讀

《物聯網（IoT）安全趨勢》物聯網管理員（AoT） – 智慧化的副作用

2014 年 09 月 26 日2016 年 01 月 25 日趨勢科技 TrendMicro

在一篇之前的文章裡，我們談論到住家持續地智慧化–住家會隨著時間過去而累積更多智慧型設備是很自然的演變。雖然這有其好處，智慧型住家的居民也需要投入時間和精力來維護這些設備。隨著越來越多設備加入到一般消費者的家中，這樣的需求只會更增加。

管理一個充滿智慧型設備的家庭需要同時具備多使用者IT管理者和技工的能力。讓我們稱這角色為物聯網管理員（AoT）。一般使用者被要求擔任這樣的角色，儘管並沒有證據顯示他們已經準備好了。

這新的角色值得去探討，因為人們能否扮演好這角色會大大地影響其日常生活，這包括了他們的住家安全。這角色所需要做到的程度跟許多因素有關，包括了：

家中智慧型設備的數目
這些設備是否能夠自行運作
這些設備有多安全
這些設備有無使用消耗品，像是電池
有多少家庭成員使用這些設備
廠商多久會進行更新
它們多常會遭受攻擊–實體或虛擬

圖1、第二代Nest恆溫控制器的電池（圖片來源：iFixit.com）

想起家庭運算以前的主力：個人電腦。它是個令人印象深刻功能強大的機器，但同時也非常複雜。有多少人有親戚朋友有台裝滿老舊而不安全軟體的電腦？我敢說我們都認識這樣的人。

想想你最後一次解決家中智慧型設備的時候 –像是你的路由器或網路攝影機。試想一下：你是怎麼發現問題跟解決方法的，花了多久去修好。如果我們把這當作一份工作，它的描述會像是這樣子：

工作簡介

實作和維護住家內智慧型設備（物聯網設備）的持續部署和操作。需要每天24小時，每禮拜七天的待命。

能力期望

具備智慧型設備和家電的管理知識，包括：

o 安全和監控設備 –保全和嬰兒監控攝影機，智慧型門鎖

o 智慧型集線器 –包括智慧型集線器和連接的周邊

o 家電 –包括智慧型冰箱/洗衣機/乾衣機

o 穿戴式裝置 –包括運動偵測器和智慧型眼鏡

o 安全感測器 –包括煙霧探測器/二氧化碳感測器/溫度控制器

o 智慧型影音設備 –包括環繞立體聲接收器，遊戲機，智慧型電視，智慧型音響，智慧型收音機繼續閱讀

趨勢科技榮獲「最佳軟體即服務-資訊安全大獎」

2014 年 09 月 25 日2014 年 09 月 25 日趨勢科技 TrendMicro

【台北訊】趨勢科技(TSE: 4704)今天宣佈榮獲 2014 Asia Cloud Awards 中的「最佳軟體即服務—資訊安全大獎」(Best Software-as-a-Service – Security Award)。該獎項對趨勢科技Deep Security給予肯定，肯定趨勢科技在雲端資安領域內的努力及領導地位。

趨勢科技香港及台灣區總經理洪偉淦表示：「能夠獲頒此雲端運算服務的獎項我們感到十分榮幸。我們竭誠協助客戶在雲端及虛擬環境中對抗瞬息萬變的威脅，務求保護其機構安全，這個獎項正是對我們這份努力的認同，實在令人鼓舞。」

第二屆Asia Cloud Awards 2014致力於表揚亞太區內領先的雲端技術供應商，專家評審團成員包括企業資訊長、研究分析家及業界協會。Deep Security在以下四個範疇表現卓越，為趨勢科技贏得「最佳軟體即服務—資訊安全大獎」的殊榮。

服務獨特性及創新
服務穩健性及資訊安全
服務能力及綜合特性
市場接受度及競爭力

許多企業兼具實體及虛擬環境，並日益依賴私有雲及公共雲來提升效率。Deep Security 保護實體、虛擬與雲端伺服器免受惡意攻擊，防護機密資料與重要應用程式，協助預防資料竄改，並且讓企業遵循重要的標準與法規，例如：PCI、FISMA 與 HIPAA。此外協助企業發掘可疑的活動和行為，主動採取預防措施來確保資料中心安全。

查詢更多關於趨勢科技Deep Security平台的資訊，請瀏覽

https://www.trendmicro.tw/tw/enterprise/cloud-solutions/deep-security/index.html

《 IoT 物聯網安全趨勢》防範萬物聯網遭到監視與攻擊

2014 年 09 月 25 日2016 年 01 月 25 日趨勢科技 TrendMicro

物聯網（IoT ,Internet of Things）的興起勢必加重裝置軟、硬體廠商以及許許多多仰賴連網智慧型裝置來營運及服務客戶的企業在安全方面的負擔。雖然消費及商用領域目前是平板與智慧型手機當道，但健康手環、連網恆溫系統以及連網汽車等等，卻也開拓出全新的科技疆土。

連網端點裝置大量普及，意味著網路犯罪者將有許多全新的攻擊目標。抬頭顯示器、監視攝影機或冰箱等裝置遭到駭客入侵的事情，目前似乎仍只是科幻情節，但其最終卻比入侵一台 PC 更能造成立竿見影的效果，因為這類新式連網裝置更深入使用者的生活，而且通常安裝在家庭內部。

儘管如此，物聯網（IoT ,Internet of Things）裝置所蒐集、儲存的龐大個人資料反而潛藏著更大的風險，例如像 Jawbone Up 這類健康手環能追蹤您的睡眠、運動、飲食攝取等個人資訊，並同步到雲端。

隨著越來越多裝置循此模式發展，使用者 (以及資訊安全專家) 未來有必要清楚掌握網際網路涉入其生活的深度，並了解 IoE 將如何帶來一個截然不同卻更貼近使用者的運算體驗。那些原本只出現在大型主機、PC 及智慧型手機的威脅，未來將進一步演化並進入全新的連網世界，而資訊安全產業也必須準備協助使用者和企業思考如何面對這些威脅。

在 2020 年來臨之前，連網裝置數量將突破 500 億
IoE 的規模將有多大？截至 2012 年為止，連網裝置數量已經超越全球人口，但到了 2020 年，這數字將更加驚人。

Cisco 預估屆時連網裝置將突破 500 億，其中絕大部分都將是最後三年才新增的裝置。Morgan Stanley 對 IoE 的成長甚至還更樂觀，該機構預測 2020 年的連網裝置將達到 750 億台，等於屆時全球 80 億人口每個人平均擁有 9.4 台。繼續閱讀

iPhone 刪除的照片,竟還留在 iCloud ? 再談女星雲端裸照外流事件

2014 年 09 月 24 日2016 年 05 月 19 日趨勢科技 TrendMicro

從 iCloud 疑遭入侵,好萊塢 A 咖女星裸照外流事件,學到的五件事的文章中,提到刪除並不一定真的代表刪除，如同下圖受害者所發現的一樣。如果你還以為從自己的手機刪除照片就可以了，那麼推薦你看這一篇文章。

作者：Vic Hargrave (趨勢科技資料分析軟體架構師)

當我聽到有明星因 iCloud 帳號被駭客入侵而使得自己的裸照被上傳到匿名分享網站 AnonIB 時，我其實一點也不覺得意外。不過，雖然將這麼私密的資料儲存在雲端原本就是一項冒險行為，但對於這些明星的尷尬處境我也深表同情。畢竟，照片是因遭人竊取才會外流，並非個人意願。就我來看，行動運算與雲端儲存的便利性在這件事上也要負擔部分責任。你很容易就可能建立一個密碼強度不足的雲端儲存帳號。視你的行動 App 程式而異，有時照片、音樂、文件或任何其他資料會在背後自動上傳至雲端，而你並不會留意。

一旦你的檔案上傳到雲端，你手機上的相簿就不一定會和你雲端上的相簿同步。我覺得許多使用者並不了解他們的資料到了雲端會怎樣，甚至是資料怎麼上傳到雲端的。

單純只是另一個雲端破解案例

就目前看來，應該是有一名叫作「OriginalGuy」的駭客入侵了明星的 iCloud 帳號並竊取照片。駭客攻擊的第一步是利用蘋果「我的 Apple ID – 建立一個 Apple ID」這個用來建立新帳號的網頁，在網頁上輸入一些可能的電子郵件來猜測受害者 iCloud 帳號的電子郵件地址。

如果某個電子郵件地址已有人使用，該頁面就會請使用者輸入其他可用的電子郵件地址。如此一來，駭客就知道某個電子郵件地址是否有人使用。接著，他就試圖用這個電子郵件地址來登入，不論是用猜測的密碼或是使用密碼破解程式。假使帳號的密碼強度不足，歹徒就不難猜到。這項技巧不光只適用於 iCloud 服務，也適用於 Box.com、DropBox 以及其他任何在建立帳號時能讓駭客知道某個電子郵件是否有人使用的服務。

行動資料分享或許太過容易

我所見過的大多數行動雲端儲存 App 程式都能讓你將智慧型手機中的照片自動上傳到雲端儲存。若你有多個這類帳號，你就很容易不知道哪些相片在何時被上傳到哪個雲端儲存。

最近我發現，當我用 iPhone 拍照時，照片會透過 WiFi 連線或是在我手機接上筆電的 USB 連接埠時自動上傳到我的 DropBox 帳號。我不記得自己曾經在 DropBox App 上做過這樣的設定，這樣的現象似乎是某一天自己突然開始。有可能是我某一次更新 DropBox 之後才開始，也可能是我不小心開啟了這項功能。不過每當它發生時，不論是我的動作結果或是軟體的運作結果我都不曉得。

這才是重點：身為一個每天都要接觸電腦科技、行動裝置等等的軟體工程師，我自認是個相當熟悉科技的人。但我竟不曉得自己的智慧型手機是如何開啟這項照片自動上傳至 DropBox 的功能。

我必須自己到手機應用程式設定當中手動關閉這項「功能」，就連我們這種熟悉技術的人都還如此，也難怪那些生活忙碌的電影明星會不知到自己的照片被上傳到雲端。繼續閱讀