寬頻、自帶裝置和雲端 – 是時候使用虛擬桌面架構(VDI)了嗎?

作者:趨勢科技Aaron Lewis

 

這些年來,軟體產業一直將虛擬桌面架構(VDI)講成可以解決各式各樣問題,從資訊安全到遠端協同合作再到節省硬體成本。已經有很多使用案例被提出來了,但是過去幾年間真正轉換到虛擬桌面結架構的人一直不多,市場滲透率已經落後於原本的預測了。虛擬桌面架構沒辦法真正佔有市場有好幾個可能的原因,即便有許多人認為在兩三年前就該成功的。讓我們看看真正採用時會遇到的一些關鍵障礙:

 

  • 糟糕的效能。早期採用這技術的使用者會感到很沮喪,因為斷線問題和遲緩的螢幕反應會嚴重地影響他們的工作。而且許多原本在一般電腦上可以做的工作也都不能做了。購買和佈署虛擬桌面架構的資訊部門會被抱怨給淹沒,當他們強迫員工使用沒有辦法做到預期中效果的解決方案時。
  • 缺乏殺手級購買動機。虛擬桌面架構的問題在於各使用案例零碎的分散在各行業內。醫療產業希望虛擬桌面架構讓員工可以隨時隨地使用,金融單位希望讓遠距上班的客服中心員工可以使用虛擬桌面架構,大企業希望虛擬桌面架構可以降低硬體和管理成本。但是,沒有一個主要解決問題是橫跨各行業的。這讓想購買的人認為「我要先看看目前的虛擬桌面架構」。

繼續閱讀

企圖利用2012年倫敦奧運會的三種垃圾郵件類型

企圖利用2012年倫敦奧運會的三種垃圾郵件類型

網路犯罪分子是標準的機會主義者。他們會利用任何吸引人的運動賽事(像世足賽奧運)來放入他們的攻擊劇本。隨著2012倫敦奧運會開幕日子的接近,我們可以想見利用這活動的垃圾郵件也將大幅的增加。

 

下面是一些我們看過會利用2012年奧運作誘餌的垃圾郵件(SPAM),有電子郵件會偽裝成「中獎通知」,另一封則要求提供個人資料以換取獎品,還有一封則要求使用者去聯絡特定聯絡人。落入這些陷阱可能會洩漏個人資料,電腦會感染惡意軟體,有些垃圾郵件甚至會造成金錢上的損失。

1.      利用獎品或免費入場卷來交換你的個人資料

 

第一封和奧運有關的垃圾郵件會要求個人資料。為了讓使用者自願交出這些資料,這封郵件告知收件者贏得免費門票。但領獎需要個人資料,像是住家地址/位置、婚姻狀況甚至職業。這封信件還會更進一步的加碼,通知使用者贏得了現金大獎。

 

1.	企圖利用2012年倫敦奧運會的三種垃圾郵件類型:利用獎品或免費入場卷來交換你的個人資料
1. 企圖利用2012年倫敦奧運會的三種垃圾郵件類型:利用獎品或免費入場卷來交換你的個人資料

 

這垃圾郵件背後的攻擊者可能會將這些資料用在未來的惡意計劃裡。他們還可以將資料賣給其他網路犯罪集團。

2.     惡意軟體偽裝成中獎通知

趨勢科技也看了好幾封號稱跟2012倫敦奧運有關的郵件,夾帶著偽裝成「中獎通知」的附件檔,包含獎金內容。如果使用者好奇去下載並打開附件檔,其實就執行了惡意檔案。下面是一個電子郵件範例:

 

企圖利用2012年倫敦奧運會的三種垃圾郵件類型:惡意軟體偽裝成中獎通知
企圖利用2012年倫敦奧運會的三種垃圾郵件類型:惡意軟體偽裝成中獎通知

另外一起的垃圾郵件攻擊中,我們看到有個附加檔其實是個木馬(偵測為TROJ_ARTIEF.ZIGS),它會攻擊RTF堆疊緩衝區溢出漏洞(CVE-2010-3333)。一旦攻擊成功,惡意軟體會植入後門程式BKDR_CYSXL.A。根據我們的分析,這個後門程式會連接遠端使用者,讓他可以在中毒系統上執行命令。更令人擔心的是,這個感染後門的系統還會遭受其他攻擊,包括會竊取網路銀行憑證的惡意軟體(密碼、帳號名稱等等)。 繼續閱讀

企業對消費性產品的期望:從iOS6不支援第一代的iPad說起

企業對消費性產品的期望:從iOS6不支援第一代的iPad說起

作者:趨勢科技資深分析師Rik Ferguson

 自從第一代的iPad問世,改變了平板電腦的遊戲規則以來,僅僅過了兩年,Apple就已經宣布即將到來的作業系統 iOS6不會支援第一代的iPad。

 Apple的iOS上有漏洞並不是什麼新鮮事,所以自作業系統問世以來也釋出了許多修補程式。有些漏洞非常嚴重,可以讓未簽章過的程式碼遠端執行在Apple裝置上。簡單地說,就是讓攻擊者可以在你的iPad上遠端執行他想跑的程式,這很不好。如果說Apple結束對一代iPad的支援,代表未來作業系統更新將不相容於舊設備。那這肯定有安全上的風險。

 一般業界實作會支援目前版本跟減一的版本,讓客戶有時間調適和升級,這種作法是跨行業和跨科技的。Windows XP則有點異常,可能是因為Windows Vista相對來說不受歡迎。但是隨著最新版本的推出,我期待看到微軟會回到「目前版本跟減一」的做法。對Apple來說,這成了另外一個問題,他們有個長壽的作業系統跑在每年都會更新的硬體上。某些時候舊的硬體需要被放棄支援。但如果這情況發生得太頻繁,那麼這並不會讓使用者想升級,反而會讓他們放棄買Apple的產品…… 繼續閱讀

銀行詐騙軟體再進化:自動轉帳系統

銀行和其他的金融機構提出更嚴格的管控,企圖將網路釣魚(Phishing)攻擊所造成的損失降到最低。網路犯罪分子並沒有因此而收手,而是開始利用新的工具來自動化網路銀行詐騙 – 自動轉帳系統(Automatic Transfer Systen,ATS)。

在之前,像ZeuSSpyEye這些惡意軟體家族會利用Webinject檔案來修改目標公司的網站(像是銀行)。Webinject文件基本上是帶有JavaScript和HTML程式碼的文字檔,裡面包含了攻擊者想要插入到目標網站的程式碼。

但是有了自動轉帳系統,攻擊已經提升到了另一層次。不僅僅是被動地竊取資訊,自動轉帳系統讓網路犯罪分子可以在使用者不知情下立刻進行金融交易,直接搜刮使用者的銀行帳戶。不再需要使用者去輸入帳號和密碼,自動轉帳系統可以讓網路犯罪分子從受害者的銀行帳戶不留痕跡的自動將錢轉到自己的帳戶底下。

這份研究報告包含了趨勢科技對自動轉帳系統的初步研究。在研究的過程中,我們找到自動轉帳系統的關鍵部分,確定某些已知的目標,並且更加深入地下世界去找出生產和銷售自動轉帳系統的黑幕。

完整的內容可以參考我們的研究報告 – 「自動化網路銀行詐騙」,你可以點選下列圖檔來下載:

http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp_automating_online_banking_fraud.pdf

趨勢科技「自動化網路銀行詐騙」研究報告

以下是說明這種攻擊的資料圖表:

自動化網路銀行詐騙
自動化網路銀行詐騙

自動化網路銀行詐騙
狡猾的網路犯罪份子不會停止去覬覦你的資料。一種新興的威脅稱為自動轉帳系統,可以讓詐騙份子在你不知情下從你的帳號提錢,甚至可以不留痕跡。

它是什麼?
自動轉帳系統是網路犯罪份子所使用的新工具,結合已知的SpyEye和ZeuS銀行木馬軟體。

它有多陰險?攻擊者完全不需要現身,而且使用者也完全毫無察覺。

它如何運作?
它如何運作?

它如何運作?
受害者電腦會在背景執行一個腳本,它會初始化提款交易,並將錢轉到錢騾帳戶。

銀行網站
銀行網站 使用者看到或沒看到什麼?

繼續閱讀