資料外洩 - 資安趨勢部落格

《總經理看資安趨勢》個資法來了，怎麼辦？

2013 年 05 月 16 日2013 年 05 月 20 日 Trend Labs 趨勢科技全球技術支援與研發中心

作者:洪偉淦趨勢科技台灣暨香港區總經理

新版個資法對於企業蒐集、處理、利用、停止利用以及刪除個人資料之歷程，不僅都有嚴格規範，而且制定嚴厲罰則，對企業肯定是巨大挑戰。

眾所矚目的新版個人資料保護法，總算在今年10月1日正式施行。就條文來看，新版個資法對於企業蒐集、處理、利用、停止利用以及刪除個人資料之歷程，不僅都有嚴格規範，而且制定嚴厲罰則，對企業肯定是巨大挑戰。

按理說，企業一路「觀望」了兩年多，早該基於個資防護做好充分準備；但實則不然，特別是中小企業，迄今仍有許多人還抱持觀望態度，他們寧可「賭」自己不會這麼倒楣，凡事等到第一個違法判例成立再說。

持平而論，這些毫無動靜的企業，未必不遵循法規，說穿了就是因為「無所適從」。以往國人保護個資觀念堪稱薄弱，對於個資的蒐集與使用，總認為理所當然、無傷大雅，如今面對千頭萬緒的法條，還真不知該如何下手；再者，幾乎所有資訊安全廠商，都說自家產品可以防護個資，而且個個要價不菲，企業無力消化繁複的產品資訊，更難以負擔高昂的購置成本，所以索性按兵不動。

這群企業的苦衷，固然情有可原，但世事難測，面對最高可達兩億元的賠償金額，更是不可承受之重，因此絕不宜兩手空空賭運氣。企業必須先有一個觀念，要100%杜絕個資外洩，那是不可能的，但最起碼需要盡到良善保管的責任，所以當務之急，即是趕緊從法律條文中找出關鍵點，再配合資訊技術加以落實，才是明哲保身之道。

最值得企業謹記在心的法律關鍵點為何？無非就是設備安全、資料安全稽核、使用資料的軌跡記錄，為了迎合這些關鍵需求，企業必須做到三件事。第一，建立內容過濾機制，針對所有從PC或伺服器等設備向外傳送的資料，逐一加以監控，辨識其內容是否挾帶個資；不可諱言，傳送個資的行為，有些是出自商業行為，未必個個都是蓄意外洩，但倘若個資數量達到一定筆數，或即將觸及企業的規範底線，就需要加以警示、甚至攔阻，一來可以提醒無心人，二來更可遏阻有心人。繼續閱讀

資料竊取背後的商業模式

2013 年 04 月 08 日2013 年 03 月 25 日 Trend Labs 趨勢科技全球技術支援與研發中心

作者：Kyle Wilhoit（威脅研究員）

在這一篇文章裡，介紹了網路犯罪份子如何使用你被盜的資訊，以及為什麼這些犯罪份子想要你的資訊等等。那篇文章跟這篇都屬於同一個系列，主要是想介紹不斷擴大的網路犯罪經濟體，以及提供些事實和建議好幫助保護你的資料，防止資料竊取。

在這分成兩部的情報簡介文章的第一部分裡，我會闡述現存在地下網路犯罪世界的「信任模型」，以及針對出售商品的中介商/角色的一些分析。

資料竊取商業模式

這些詐騙份子能夠賺快錢並不是什麼秘密。但是人們不知道或是沒有討論到的是，他們如何進入市場去賣掉自己手上的商品。

這些詐騙份子首先需要將自己的商品放到市場上。他們通常會去Pastebin、地下論壇和其他一些可以兜售商品的網站。此外，他們也會用現在流行的作法，到合法論壇和網站上張貼「廣告」。這一步可以被視為「找尋客戶」。下一步則是在市場上建立定價模式。

價格歧視（Price Discrimination） VS. 滲透定價（Penetration Pricing）

在過去五年內，出現了一些事件描繪出地下論壇裡價格歧視的現象。當供應商因為許多原因而用不同價格來出售相同商品或服務時，就會存在價格歧視。實際上有四級的價格歧視，每種都有不同的作法。

然而，在過去兩年中出現了轉變，從價格歧視轉向了滲透定價模式。滲透定價是賣方用多種不同方式來吸引新買家的策略。

在滲透定價模式裡，詐騙份子進入市場並以低價出售商品以獲得更多的市佔率，再慢慢增加價格，直到符合跟其他賣家一樣的市場價值。許多賣家利用這種做法在市場上更加容易去賣出手上的贓物。利用這一點，可以讓銷量增加，存貨周轉率也較高。

這種滲透定價也可能會回升，因為會有許多新賣家進入這地下市場銷售商品。這些新賣家不遵守最高價格規則或是會針對特殊買方屬性。

這些詐騙份子也在這些市場上越加活躍，因為要隱藏自身的惡意活動已經變得更加容易。可以看看洋蔥路由（onion routing），這只是眾多隱藏自己蹤跡方法中的一種。

角色介紹

當我們看著這些詐騙（十個被分析的不同網站）裡的部份角色，我們可以推斷出這些角色間的一些共同之處。雖然這篇文章並不是想要分析這些角色，但是簡單的介紹有助於描繪出在這社群裡提供商品的賣家。了解這些資訊可以幫助你避免成為這些人所用伎倆下的獵物。

當分析這其中的網站時，似乎很多網站都銷售來自烏克蘭、荷蘭和俄羅斯的商品。而且明顯地，這些惡意份子喜歡像是Liberty Reserve、Ukash或西聯匯款等付款方式。在某些案例裡，也會允許或要求使用WebMoney。通常都會要求使用這些類型的付款方式，因為可以用幾乎匿名的方式來登錄帳戶，這些服務只需要簡訊和電子郵件確認來進行交易。某些服務，像是Ukash，會將現金轉成一個獨特的19位數字代碼。你只需找到櫃檯（線上或親自），就可以用這代碼換錢。這個獨特代碼可以用來確保付費安全。

幾乎所有的網域的註冊者都是用Gmail或Yahoo!作為註冊用的電子郵件。同樣地，許多貼文內容都偏好使用即時通來聯繫，首選是用Yahoo!和ICQ。

繼續閱讀

自帶應用程式（BYOD）：管理風險才能真正得到好處

2013 年 03 月 22 日2013 年 03 月 12 日 Trend Labs 趨勢科技全球技術支援與研發中心

作者：Erica Benton

在這些日子裡，當我們談論到消費化趨勢時，注重的往往是設備方面，就是自帶設備（BYOD）裡的「設備」。但企業員工已經在工作場合裡使用消費性產品很長一段時間了 – 只要想想過去超過五年間，來自Yahoo、Google或其他公司大受歡迎的即時通或電子郵件產品。感謝雲端運算和強大的智慧型手機、平板電腦普及，自帶應用程式（Bring Your Own Apps，BYOA）的趨勢真正往前邁出一大步，IT也要更加的了解和加以管理。

現在熱門的消費性線上應用程式有著巨大的服務需求，包括線上儲存和檔案共享（Dropbox）、部落格（WordPress和Blogger）、電話（Skype）、社群媒體和參與（Twitter、Facebook、HootSuite）和協同合作（Huddle和Yammer）。但問題跟自帶設備一樣，這些未經批准的工具基本上都是偷偷地進入企業專案，只是臨時性的解決方案。它們的確是可以節省許多時間，讓使用者可以在家工作，直觀而能夠提高生產力的工具，但同時也會對組織帶來額外的風險。

這些風險主要來自於一個事實，就是這些應用程式大多數並不是設計給企業環境所用，沒有提供相關的安全政策和控制。他們主要提供給一般消費者，這可能會帶來資料隱私問題，如果將企業敏感資料放在第三方伺服器上。

雖然許多網路公司會嚴格審查和控制自己資料中心的安全性，但是如何挑選這些供應商也該是IT主管一開始就必須參與的。而且還有些其他的風險可能產生，如果雲端供應商倒閉或是被買走，或有員工帶著他們的私人網路帳號離職，那麼這些企業資料會發生什麼事？

繼續閱讀

數以百萬的iOS 越獄，你怎麼知道執行長沒有一支被駭過的iPhone？

2013 年 03 月 11 日2013 年 03 月 11 日 Trend Labs 趨勢科技全球技術支援與研發中心

一個針對蘋果iOS的例子，FinFisher International的FinSpy Mobile，可以監視使用者位置、聯絡人清單、電話、網路歷史記錄、簡訊，甚至在特定位置打開iPhone麥克風來進行竊聽。

你怎麼知道執行長沒有一支被駭過的iPhone？你怎麼知道有多少「沉默的聽眾」參加最新一次的董事會議？在過去幾年裡，不僅僅是美國能源部（設計和製造核子武器的部門），還有美國聯邦儲備委員會和華爾街日報也都被駭客攻擊。你憑什麼認為你們的高階主管不會受到相同的待遇？

作者：Cesare Garlati

Apple iOS被越獄的紀錄大概就跟它本身的歷史一樣長，但是IT主管們依然低估了這個問題．以及它對企業資料和網路所帶來的安全風險。

最新的iOS 6.1越獄程式在二月四日被釋出。根據將最新破解程式公布在evasi0n.com的作者 – Cyril（又稱pod2g）所提供的網站統計數字，僅僅在前四十八小時就有高達五百萬次下載。在這頭兩天，這些網站出現四千萬次的點閱率。其中有超過一半不重複訪客（約兩百五十萬）來自美國。

這個和我在數月前，在舊金山JailbreakCon 2012（全世界越獄界的代表大會。沒錯，的確有這大會）上遇到Jay Freeman（又稱Saurik）時所得到的數字相符合。Jay Freeman是Cydia的創始者，這是個完全合法而獨立的應用程式商店，以滿足那些解放他們Apple設備的使用者。Jay向我說明，根據他的網站統計資料，無論在什麼時候，都有約5%到10%的Apple iOS是越獄過的。

這有什麼好擔心的呢？因為這代表這些設備很脆弱。Apple如此有名的安全措施可以在短短幾天內就被破解 – iOS 6.1是在一月廿八日正式發表：只花了Cyril和他的朋友們不到一個禮拜的時間就打了Apple一巴掌。即使越獄社群並不是為了金錢目的而這樣做，但我們可以確信壞傢伙們（有組織的犯罪集團和商業間諜軟體廠商）都準備好要加以利用了 – 事實上，可能已經這樣做了。

從根本來說，越獄是當你太過限制使用者時會發生什麼事情的典型例子。他們會加以反抗。我們在許多其他消費性電子產品上都看到類似的模式，從電視遊樂器到電視機上盒都有。蘋果的問題在於它想要完全控制這生態系統的每個環節，從印表機到使用者可以下載的應用程式。這些使用者喜歡他們的Apple設備，但他們卻被當成小孩子對待。有了Android，使用者被當成大人對待：他們被允許下載任何應用程式，從任何自己信任的來源下載。Android作業系統的安全功能和權限模型固然並不完美，使用者被要求透過彈跳視窗來授權應用程式去存取使用者的行事曆、電話簿等。而Apple會事前審閱所有的應用程式，所以沒有這樣的彈跳視窗。但我們將在後面了解到，這會因為越獄過的設備而出現不好的後果。

順帶一提，不要將越獄和解鎖搞混了，解鎖是因為行動設備有綁約特定電信商，為了讓它可以使用其他電信商的網路而作。在另一方面，越獄則是去破壞或繞過iOS設備的安全措施。它可以跟下載一樣地簡單，今天的越獄數量也在不斷地成長，因為有專門的越獄社群會在最新iOS版本出來時，盡快地合作加以破解。

所以使用者因為被當成小朋友對待，被告知可以安裝和下載什麼應用程式，而採取極端手段來反抗，但這有什麼壞處呢？在法律上，因為數位化千禧年著作權法案的關係，越獄智慧型手機是完全合法的（Android上的越獄被稱為Root），但在平板電腦上是違法的。蘋果顯然強烈地反對使用者（還有開發商）透過這方式來掙脫其控制，也警告這會帶來縮短電池壽命、資料不穩和其他不好的後果。而在其中百分百正確的是，越獄的確會帶來不可接受的安全風險。

繼續閱讀

詐騙份子會想用我的資料做些什麼?

2013 年 01 月 30 日2013 年 07 月 03 日 Trend Labs 趨勢科技全球技術支援與研發中心

作者：Kyle Wilhoit（威脅研究員）

順帶一提，我想起當我跟鄰居提起我在資訊安全界工作時，他的下個問題就是：「這些詐騙份子為什麼想要我的資料？」越多人問我這個問題，也就越加明顯地，使用者資料是非常有價值的。

當你知道，只要花五美元就可以在地下論壇或網站購買你所有的個人資料，會感到很驚訝嗎？有些人可能還會驚訝地發現，被販賣的資訊還遠遠不止於你的姓名和地址。

在地下論壇被提到的「Fullz」所包含的不只是信用卡號碼、姓名和出生日期。「Fullz」通常透過幾種方式傳遞。首先，可能是文字檔或CSV檔案，一個包含所有資料，用逗號分隔的檔案。所有被蒐集來的個人細節都會包含在該檔案中，方便閱覽。此外，「Fullz」也可能透過可攜式資料庫格式來傳遞，像是MDF檔案，方便輸入本地端資料庫。你還可以找到註冊帳號時的個人問題，還有駕照資訊、社會安全號碼以及其他資料。