資安趨勢部落格 - 手機病毒/電腦病毒防禦密技,不只守護網路安全,還提供各種實用3C實用小秘訣,由資安/防毒軟體領導品牌趨勢科技 Trend Micro 每日更新

《 IoT 物聯網安全趨勢》面對萬物聯網所帶來的風險與效益 (上篇)

2014 年 07 月 25 日2016 年 01 月 25 日趨勢科技 TrendMicro

近來，似乎所有主要大廠都在密切關注物聯網（IoT ,Internet of Things）的議題。IoT 有時亦稱為萬物聯網 (Internet of Everything)，只不過概念上或許有些微差異。隨著智慧型手機、平板和超輕薄筆電革命性改變了人們上網的方式、時機和地點，一些感應器及網路端點裝置製造商正試圖發展出一套更複雜的裝置生態體系來將這場革命帶向另一個高峰。

解讀 IoT：基本概念與技術
最近在舊金山舉行的 Cisco Live U.S. 2014 大會上，Cisco 副總裁 Mala Anand 表示 IoE 是「企業大規模轉型」的典範，並指出該公司預測 IoE 相關技術最終將創造出一個 19 兆美元的市場。

然而，IoE 到底是什麼？儘管它或許和今日數十億 IP 連網裝置遍布全球的情況沒有太大差異，但望文生義，它通常意味著更大的規模以及裝置和人之間更密切的互動。IoE 涵蓋的一些核心領域包括：

裝置對裝置：智慧型感應器、機器人與伺服器之間可彼此通訊，實現流程的簡化與自動化，如：庫存管理、即時監控基礎建設與工廠生產線。
裝置對人：有時亦稱為「機器對機器對人」，此領域包括一些越來越熱門的裝置和服務，如醫療監控。Jawbone Up 和 Fitbit Flex 等穿戴式裝置已經將資料蒐集與 IP 連網功能拓展到 PC 和其他具備螢幕的裝置之外。讓我們來感受一下這件事的規模：去年 Jawbone 表示，他們每晚可蒐集到 60 年的睡眠資料。
人對人：這聽起來有點怪，但這對許多入來說已稀鬆平常，那就是社群網路。全球網路規模的基礎架構與高效率演算法，是這類平台背後運作的基礎，但人與人之間的連結才是關鍵。

在一個較為技術的層次上，物聯網（IoT ,Internet of Things）涵蓋了各式各樣的連網裝置。可連上網際網路的牙刷和冰箱或許還在剛問市的階段，仍未成為大眾接受的主流，但 Nest Labs 之類的公司卻已引起不少關注。Google 今年稍早即以超過 3 兆美元的天價併購了這家智慧型可程式化恆溫控制系統與煙霧感應器製造商。

物聯網（IoT ,Internet of Things）的潛在效益無窮。某些產業提倡者 (如 Salesforce.com 的 JP Rangaswami) 指出，IoE 將為科技領域帶來的效應，就如同全面電氣化對於電力的影響一樣，它將成為日常生活當中無所不在、看不見卻隨時存在的重要元素。

《eWeek》引述 Rangaswami 的話表示：「[萬物聯網]的最終效益將是全面減少浪費：就實體物流來說為人員與商品的移動，在邏輯物流方面則是創意與資訊的移動。決策將變得更快、更好，擁有更準確的資訊為基礎。並且可更有效消除先前假設和規劃上的錯誤。」

萬物聯網存在著什麼風險？
與物聯網（IoT ,Internet of Things）的商業效益同樣令人關注的是 IoE 衍生出來的網路安全與隱私權問題。一些以網際網路為命脈的知名廠商，從 eBay 到 Adobe，在保管使用者私人資訊方面已經捉襟見肘，因而導致一些大規模的資料外洩事件，進一步讓網路犯罪更加猖狂，因為駭客取得了入侵其他帳戶所需的資訊。未來一旦連網變得更加普及，情況將變得如何？

Pew Research 與 Elon University 的 Imagining the Internet Center 所做的研究報告「物聯網將在 2025 年蓬勃發展」(The Internet of Things Will Thrive by 2025) 一文，深入探討了IoE 全面普及的風險與潛在效益。在負面影響方面，作者預料 IoE 的演進，就像電腦運算能力的進步一樣，將帶來一場資訊安全廠商與網路犯罪者之間的軍備競賽。

毫無疑問，當大量的端點裝置具備 Wi-Fi、藍牙和/或行動電話網路功能時，將有助於改善某些情況，如：監控設備故障情形並將狀況回報給伺服器。但問題是，這些新增加的資料傳輸應該如何 (以及由誰負責) 保障安全。

負起 IoE 安全的責任
一般個人和企業之所以擔心誰該負起物聯網（IoT ,Internet of Things）的安全責任不是沒有原因的。正如Heartbleed心淌血漏洞告訴我們，即使是一些關鍵的技術，例如用來保障網路銀行交易及付款安全的加密技術，也可能出現漏洞，因此那些受益的眾多廠商應該投入更多的經費來支持其研發。有鑑於 IoE 的規模龐大，網路安全的重要性只會越來越高。

《The Inquirer》引述 Intel 企業行銷總長 Stuart Dommet 的話指出：「您將必須保護裝置或感應器，您將必須保護資料，而且您將必須在一個開放的網路上做好這些保護，這的確是一項超大規模的變革。取得個人資料很可能是未來最大的一項改變，而光這一點就能摧毀您的企業。很重要的一點是，我們必須了解資訊安全將變成什麼樣貌，因為我們沒有架設私人網路的成本。」繼續閱讀

廣告程式成為行動裝置惡意程式毒王

2014 年 07 月 25 日2014 年 07 月 11 日趨勢科技 TrendMicro

過去幾季以來，高費率服務盜用程式幾乎主宰了整個行動裝置威脅情勢。但今年前三個月卻改由越權廣告程式取得龍頭地位，受害者數量占全部的 47%。儘管情勢出現變化，但高費率服務盜用程式依然緊追在後，囊括 35% 的受害者。

這樣的轉變有可能是兩股行動威脅反制行動的結果。首先，高費率服務盜用程式的減少很可能是因為行動網路業者為了打擊行動詐騙而調降了服務費率。其次，儘管一些廣告網路試圖「清理」其廣告程式庫，但廣告惡意程式家族依然不斷推陳出新。

我們當然歡迎這類清理行動，但是，保護行動裝置及使用者以防範詐騙，並非全是廠商、行動網路業者或 App 開發者的責任。每一個人都有責任維護自己的數位生活安全，盡可能遠離威脅，因為網路犯罪者會隨時開發新的手法來達成目的。

萬物聯網時代，企業必要掌握的資安四大面向

萬物聯網資訊安全中心　　多層次的資訊安全中心控管
萬物聯網駭客攻防手法　　深度分析APT攻擊，建立完整的防禦架構
萬物聯網雲端防護架構　　私有雲、公有雲、混合雲的資訊安全
萬物聯網行動安全機制　　企業行動裝置安全策略

當萬物聯網IoE(Internet of Everything)正待崛起，美國著名研究機構更看到比現今經濟大上30倍的發展契機；引領企業資安布局的您，該如何預見具前瞻價值的資安趨勢，為「萬物可聯網‧無處不資安」的時代及早準備？【即刻報名!!CLOUDSEC 2014企業資安高峰論壇】

從三個跨平台行動威脅例子,看網路犯罪趨勢

2014 年 07 月 24 日2014 年 07 月 23 日趨勢科技 TrendMicro

跨平台的威脅不管攻擊範圍是否包含手機都很危險，因為它們可以從一個平台「跳」到另一個平台，讓它們可能造成更多傷害。它們不僅可以影響到原本的受害者，還包括受害者的其它設備，甚或是它們所連接的網路（接著讓網路中其他系統也成為受害者）。如果任其發展，傷害將會是三級跳的成長。

除了有針對這大量擴張用戶群的特製惡意軟體之外，還有另一跡象顯示行動設備將會很快地接管運算環境 – 行動設備被包含在跨平台的威脅內。

什麼是跨平台的威脅？

跨平台威脅是指攻擊模式或行為涉及多個平台的惡意攻擊。跨平台威脅包括（但不限於）：

以同樣方式攻擊不同平台的威脅
針對不同平台有不同惡意後續行為的攻擊
具備能夠執行在不同平台之不同組件的威脅
從一平台上展開攻擊，而在另一個平台上導致更多惡意行為的威脅

根據定義，如果一特定威脅的攻擊包括了多個平台，那它就是跨平台的威脅。而隨著手機熱潮蔓延，網路犯罪分子也開始將行動設備包含（有時甚至集中）在這類攻擊中。

最近一些著名的跨平台行動威脅例子包括：

跨平台攻擊案例1:偽裝成Android系統清掃工具的惡意程式

ANDROIDOS_USBATTACK.A，這是個偽裝成Android系統清掃工具的惡意程式。它會進行資料竊取，還會下載一自動執行惡意程式到受感染行動設備的記憶卡上。如果使用者將行動設備連到Windows電腦上，惡意軟體便會自動執行而將其感染。惡意軟體會用電腦的麥克風功能來記錄使用者的語音資訊。

圖一、ANDROIDOS_USBATTACK.A偽裝成工具軟體

跨平台攻擊案例2:搜尋受感染行動設備上的網路銀行應用程式

TROJ_DROIDPAK.A，這是一個會下載和安裝惡意APK檔案到連接受感染電腦上之任何Android行動設備的電腦木馬程式。這惡意APK檔案接著會搜尋受感染行動設備上的網路銀行應用程式，如果發現，就會提示使用者來將其更換成惡意版本。

跨平台攻擊案例3:WhatsApp語音留言,一聽取就下載惡意檔案繼續閱讀

網路犯罪者鎖定豐厚黑心錢的新目標：數位貨幣

2014 年 07 月 24 日2014 年 07 月 11 日趨勢科技 TrendMicro

網路犯罪者已經找到了最新且獲利豐厚的賺錢來源，那就是：數位貨幣。

一家總部位於日本東京的比特幣 (Bitcoin) 交易所因遭到漏洞攻擊而損失將近 550,000 個比特幣 (價值 4 億 7,300 萬美元) 因而宣告破產。

比特幣生態體系因缺乏監理機制而大起大落，也暴露出該貨幣的眾多風險。此外，網路上也出現了專門竊取比特幣的惡意程式與專門以比特幣錢包為目標的「快速致富」詐騙。

然而，比特幣相關威脅並不只侷限於 PC 領域。我們同樣也發現了數以千計的行動裝置感染了數位貨幣採礦程式，歹徒利用這些程式來開採狗幣 (Dogecoin) 和萊特幣 (Litecoin)。

此外，由於比特幣在使用上提供了匿名性，因此網路犯罪者也利用它來作為銷售惡意工具及提供惡意服務時所接受的付款方式。例如，BlackOS 軟體套件的作者就偏好接受虛擬貨幣為付款方式。

「網路犯罪者之所以對比特幣感到興趣，主要是因為它最有可能廣氾流通，也因而成為採礦和盜取的主要對象。」

—Martin Rösler (威脅研究部門資深總監)

萬物聯網時代，企業必要掌握的資安四大面向

萬物聯網資訊安全中心　　多層次的資訊安全中心控管
萬物聯網駭客攻防手法　　深度分析APT攻擊，建立完整的防禦架構
萬物聯網雲端防護架構　　私有雲、公有雲、混合雲的資訊安全
萬物聯網行動安全機制　　企業行動裝置安全策略

網路銀行惡意程式新手法:使用 Tor 洋蔥路由器來隱藏幕後操縱 (C&C) 通訊，並躲避偵測

2014 年 07 月 23 日2014 年 07 月 11 日趨勢科技 TrendMicro

網路銀行惡意程式作者又再度創新，在原本的技巧之外又增加了許多手法。最值得注意的是新的 ZeuS/ZBOT 變種出現了 64 位元版本，會使用 Tor 洋蔥路由器來隱藏幕後操縱 (C&C) 通訊，並且躲避惡意程式防護軟體的偵測。此外，我們也看到一個只能在特定日期執行但其他時候會當掉的 ZeuS/ZBOT 垃圾郵件附件。

在控制台 (CPL) 惡意程式方面，我們發現一個只會影響拉丁美洲使用者的 BANLOAD 變種，其判斷方式是透過使用者防護軟體的外掛程式。此外，還有另一個變種會利用根本不存在的 WhatsApp 桌面用戶端程式來引誘使用者，進而散布。更糟的是，當它執行時還會下載一個 BANKER 變種到已受感染的電腦上。

儘管出現新的手法，網路銀行惡意程式基本上仍沒有改變。他們在某些國家依然非常普遍，如美國 (23%)、日本 (10%) 和印度 (9%)，而且隨著網際網路使用者與線上交易的穩定成長，這些程式也越來越多。事實上，網路銀行惡意程式的數量在第一季成長了 3%，從 2013 年第一季的 113,000 個成長至 116,000 個。

「隨著線上竊盜的執法行動日益嚴格，網路犯罪者已開始增加額外的匿名化措施來保障其身分安全以避免遭到逮捕。因此，Tor 和幕後操縱 (C&C) 通道的運用，可讓他們擁有更大的匿名性，更不易被資訊安全軟體所偵測及破獲。」