在網路資安軍備競賽當中,XDR 將成為企業對抗隱匿性威脅的新一代武器
真實的企業環境通常並非井然有序,一個很現實的情況是:企業無法將所有端點都全部列管。而我也在一位同事的聰明勸說下,將企業端點與伺服器的列管率視為一項重要的資安指標。
處於光譜這端的是像大學校園的這類環境,整個網路可能只有 10% 的端點是列管的。處於光譜另一端的則是像大型銀行與科技研發公司,端點的列管率約 98% 或 99%。那些投入數百萬美元資金試圖從 96% 提升至 98% 的金融服務機構,他們的想法是希望能藉此解決半數以上的資安問題,而非少少的 2% 而已。
所以,即使是最優秀的企業,也可能會有一些未列管的端點,這些端點將比已部署資安代理程式的端點更容易受到攻擊。這幾年來,我們一直在不斷推出新的進階防護,就是為了解決這項問題。
繼續閱讀最近趨勢科技在 3,126 個網路商店當中發現了 Magecart (亦稱 E-Skimming) 網路信用卡盜卡攻擊。 此次攻擊所用的程式碼與先前攻擊英國航空 (British Airways) 及 Newegg 所用的類似。盜卡程式碼會拷貝付款畫面上的所有資訊,包括受害者的姓名、住址、電話、電子郵件以及信用卡詳細資訊 (卡號、持卡人姓名、到期月份、到期年份、CVV 驗證碼)。專挑大型受害者下手的 Magecart Group 6 駭客集團會試圖註冊與受害者的網域名稱相近的網域來架設接收資料的伺服器。在此次的案例當中,歹徒接收資料的伺服器網域為「volusion-cdn.com」與受害者 Volusion 自家的網域「cdn3.volusion.com」非常相似。
趨勢科技解決方案皆能保護使用者和企業,有效攔截惡意腳本並防止使用者連上惡意網域 。一般用戶, 可免費下載試用 PC-cillin 雲端版 。
根據我們的資料顯示,這波攻擊始於 2019 年 9 月 7 日,所有受影響的網路商店都是架設在 Volusion這個知名電子商務平台上。事實上,這已經是我們第三次發現盜卡程式被注入電子商務廠商的雲端平台。今年已有另外兩家廠商受害:一家是校園電子商務平台,另一家是飯店電子商務平台。很明顯地,這些目標之所以會被網路犯罪集團盯上,原因就在於這些平台廣受許多網路商店青睞,例如這次受害的平台旗下有數千家商店。
繼續閱讀呼叫器是醫療機構維持院內通訊的一項重要工具,如此可以避免使用一些可能干擾重要儀器運作的技術,例如手機。但一起加拿大呼叫器系統洩漏病患個資事件告訴我們,呼叫器顯然並不安全。
非營利組織「開放隱私研究學會」(Open Privacy Research Society) 最近發布一份新聞稿指出,加拿大溫格華地區發生醫院呼叫器系統洩漏病患私密醫療資訊與個人身分識別資訊 (PII) 的情況。該學會表示,這些資料在傳輸時並未加密,因此很可能被歹徒所攔截。這引起了加拿大隱私專員公署 (Office of the Privacy Commissioner) 的注意並著手進行調查。
這起事件所外洩的病患資料包括:姓名、年齡、性別、診斷記錄、主治醫師以及病房號碼。開放隱私研究學會已將這些外洩的資訊與可公開取得的訃聞進行交叉比對,試圖了解這些外洩資訊是否為病患的真實資訊。
繼續閱讀
Jenkins是一套被廣泛使用的開源自動化伺服器,讓 DevOps 開發人員可以有效率且可靠地建構、測試和部署軟體。為了讓 Jenkins 的模組化架構發揮最大作用,開發人員會用外掛程式來擴充核心功能,好擴展建構時的腳本功能。在本文撰寫時,Jenkins的外掛程式索引裡有超過1,600個社群貢獻的外掛程式。其中有些外掛程式會儲存未加密的純文字帳密。一旦發生資料外洩,網路犯罪分子就可能在組織不知情下取得這些資料。
Jenkins在7月11日和8月7日發布了資安通報,其中就包括了用純文字儲存帳密的問題。我們會在本文裡討論此漏洞會怎麼被利用以及受到影響的外掛程式:
| CVE編號 | 外掛程式名稱 | 更新版本備註 |
| CVE-2019-10348 | Gogs | Gogs外掛程式版本1.0.15 |
| CVE-2019-10350 | Port Allocator | 當前版本可能不安全。外掛程式可以使用。主動安全警告:用純文字格式儲存帳密 |
| CVE-2019-10351 | Caliper CI | 主動安全警告:用純文字格式儲存帳密 |
| CVE-2019-10378 | TestLink | 目前版本跟舊版本可能都不安全。主動安全警告:用純文字格式儲存帳密 |
| CVE-2019-10385 | eggPlant | 外掛程式已停用 |
表1. Jenkins外掛程式出現的洩密漏洞
繼續閱讀今日的微處理器內部還有一層比所有軟體使用的機器碼更低階的程式在運作,那就是所謂的微指令 (microcode)。這些微指令通常隨處理器而異,不過當微處理器出現問題時,可透過修改微指令的方式來修正機器碼的錯誤。之前鬧得沸沸揚揚的 Spectre 和 Meltdown 處理器漏洞,就是透過修改微指令的方式來修正。不過,這樣的修改也存在著風險,因為如果沒有改好,很可能會讓微處理器徹底毀於一旦。由於伺服器通常不能任意重新開機,因為它們必須執行一些重要的企業流程,基於這一點,前述的修補絕不能等閒視之。
微指令既然可以修改,意味著就連微處理器晶片也可被視為軟體。且近來似乎更掀起了一股認識如何重新程式化微處理器的風潮。不僅如此,還有其他幾種類型的處理器也可被程式化,例如:可針對特定工作單次程式化的「特殊應用晶片」(ASIC)、可隨時重新程式化的「現場可程式化邏輯閘陣列」(FPGA),以及專門處理類比訊號的「數位訊號處理器」(DSP)。
FPGA 正逐漸被當成特化的協作處理器來使用,例如:影像處理、網路資料過濾,或是其他高效能運算。一些較單純的 CPU 也已經可以用 FPGA 來實做。雖然未來的裝置應該不會由一系列可重新程式化通用晶片所構成,但在某些應用上確實可行。除此之外,還有一種沒有太多人關注的特化 DSP。行動電話和某些裝置為了應付各種版本的無線射頻標準,都將其無線射頻模組設計成所謂的「軟體定義無線射頻」(SDR) 裝置,如此一來,只需單一模組就能透過程式的修改來應付各種不同標準。市面上有許多 DVB-T 電視訊號 USB 接收器都採用 Realtek 的晶片,事實上,這就是一種寬頻 SDR 裝置。許多專案也都利用這款極便宜的接收器來接收無線訊號,少了它,就得使用價格更昂貴的其他套件。
隨著這些不同的可程式化處理器逐漸廣為人知、日益普及,再加上人們對它們的興趣逐漸提高,這類處理器也越來越有可能被用於惡意攻擊。
下期待續:【 軟體無所不在 5-3】-擁有軟體存取權限的車廠等製造商,才知道的隱藏版功能