天曉得聖誕老公公知道些什麼?

作者:趨勢科技全球安全研究副總裁Rik Ferguson

我們都知道,聖誕老公公和他快樂的小精靈們就在那裏密切的觀察著我們這一年的行為。所以我每一天都會認真的反省我做過的事情,確保我不會被放進聖誕老公公的壞孩子列表上呢。不得不說,到目前為止我都做得還不錯,這麼多年來,每年都會在聖誕樹下出現給我的禮物。

不幸的是,並非只有聖誕老公公和小精靈們會去收集你的資料,許多人都會出自更加邪惡的用心來進行這件事。也許應該去點入這裡來看看聖誕老公公究竟知道關於你那些事情…

Santa blog

有許多方式網路犯罪分子可以進入社群網路這個大遊戲場;偽造或淪陷的個人檔案、惡意應用程式、惡意廣告、域名搶註、垃圾郵件和網路釣魚詐騙偽裝的社群網路通知,弱點攻擊和私密訊息都只是開始。受害者陷於身份竊盜、詐騙、中毒感染的風險中,還可能變成感染或詐騙自己親朋好友的攻擊平台。

這些攻擊都利用了同一件事,也就是將社群網路結合在一起的東西:信任。因為來自親朋好友的攻擊、訊息和連結會比來自陌生人的尋常垃圾訊息要來得被接受。甚至Koobface蠕蟲與其死板的垃圾訊息範本像「你被偷拍的精彩照片」,當它來自你所認識的人時也變得比較可信一點。
繼續閱讀

臉書用戶,最怕媽媽在臉書公開碎碎念~媽媽讓兒女感到發冏的10大臉書行為排名

趨勢科技數位生活調查:過半網友會加媽媽臉書 最怕媽媽臉書公開碎碎念

亦怕媽媽不小心讓家人個資 隱私外洩  趨勢科技3步驟  臉書隱私一把罩

一年一度的母親節即將到來,除了挑選媽媽的母親節禮物外,親子關係更是兒女與媽媽都關心的議題。趨勢科技針對現今數位親子生活的趣味調查顯示,超過一半的網友表示會接受媽媽發出的臉書交友邀請;但有趣的是,兒女最怕媽媽在臉書上直接碎碎念,而不是用私下訊息傳達,若被媽媽在臉書上公佈糗照並且被標籤,或是公佈凌亂房間照片更是讓兒女害怕並且冏到不行。

mother day0506

媽媽在臉書上讓兒女感到發冏的10大行為排名:
1.在臉書上公開對小孩碎碎念
2.主動對兒女的臉書好友要求加朋友
3.張貼兒女的糗照還貼標籤
4.在臉書上暗示想要的母親節或生日禮物
5.把臉書當作心靈垃圾桶,實況公布與家人吵架的內心戲
6.在臉書上公佈凌亂房間照片
7.在臉書上幫忙物色合適的另一半
8.臉書中毒了,亂發色情連結也渾然不知
9.把塗鴉牆當榮譽榜,張貼家中成員參加各項競賽的照片,考試名列前矛獎狀等等
10.對廚藝充滿信心,公布家中餐桌菜色

母親節是一年度感謝媽媽的大日子,除了關注挑選母親喜歡的禮物外,趨勢科技PC-cillin數位生活調查小組更針對現今親子數位生活關係進行網路調查。調查結果顯示,超過五成以上的網友都會接受媽媽提出的臉書交友邀請,但有6%的網友表示會提供媽媽一個「媽媽專屬溝通用」的臉書帳號。而媽媽讓兒女感到發冏的臉書行為五花八門,其中若被媽媽「在臉書頁面上碎碎念」、「主動加自己的臉書好友」、「臉書上公佈凌亂房間照片或糗照」,或是「在臉書上幫忙物色合適的另一半」,則是會讓兒女冏到最高點,顯示個人隱私是現代人高度重視的問題。

2013050611442065001_500X

而有趣的現象是,兒女在害怕媽媽不小心讓自己在臉書上出糗的同時,也擔心媽媽「被盜帳號因而拉人進情色或購物社團卻不知」或是「中了病毒,亂發色情連結也沒察覺」,更有近半的網友表示,若是收到媽媽發出電腦或手機中毒求救訊息,會幫媽媽安裝防毒軟體。

SURVEY RESULT1

SURVEY RESULT

為協助保護Facebook隱私安全,趨勢科技PC-cillin數位生活調查小組提供3秘訣:

  • 上網 = 公開,透露個資前請三思
    使用者應有「任何訊息發布到網上都是公開的」的心理準備。使用者還應該避免通過社群網站的個人訊息或聊天室分享敏感的業務資訊,因為一旦帳戶被入侵就很容易導致資料洩漏。
  • 了解社交網路平台安全設定 使用安全連結功能
    使用者需了解所使用的社群網站安全設定。例如,Facebook允許用戶設定哪些人可以看到哪些類型的資訊,並在Facebook和 Twitter開啟使用安全連結(HTTPS)的選項,透過加密達到多一層的保護效果
  • 基本的網頁和電子郵件過濾措施
    使用者對假冒知名社群網站名義的假訊息需有所警覺。當瀏覽其他人的個人資訊或網頁時更須記住並非所有網頁都是安全的。駭客們正潛伏在虛擬角落等待機會攻擊。

繼續閱讀

對美國國家安全局和憤怒鳥感到憤怒嗎 ?

資料隱私日(一月二十八日)這天,很多新聞討論最近被披露的美國國家安全局(NSA)收集資料的事件,特別是針對熱門遊戲憤怒鳥。資料隱私日這一天是為了致力於提高對於網路隱私和保護個人資料的意識。最近所披露的這事件肯定也提高了意識。不過雖然有很多談論重點放在美國國家安全局和憤怒鳥,但如果將重點放在它們身上,這不僅是個錯誤,還會錯失了良機。最近的這些爆料應該刺激出對行動世代隱私狀態更廣泛的討論,特別是行動設備和應用程式所收集的那些資料,被用來做什麼和是否提供清楚的告知。

隱私 個資外洩 FB

從最近這些爆料中所學到的教訓並非只是美國國家安全局是否做得太超過(這需要另一分開而關於政策的討論),或憤怒鳥廠商Rovio是否幫助了他們(這也在討論中)。真正該學到的是各式各樣的行動設備和應用程式收集了比自身所需還要更多的資料,透過不明確的方式使用,用來做些大多數我們(如果不是全部)都不了解的事情。更重要的是,我們應該更進一步,討論即將到來的物聯網(IoT),這些問題在那時將變得更加嚴重。

隱私的兩個關鍵原則是告知資料收集以及同意。好的隱私做法依賴這兩個原則來幫助使用者清楚地了解哪些資料被收集,被拿來做什麼(告知),並選擇是否接受該產品或服務(同意)。對於需要同意的告知,清楚而能夠理解的資訊是必須的。不然我們就會面臨我稱為「噢!該死」的一刻:就像是「噢!該死!當我同意時,我不知道你會將拿到的資料這樣使用。」

當我們讀到關於美國國家安全局從行動設備和應用程式(包括但不限於憤怒鳥)收集資料的消息,它就像是一個大大的「噢!該死!」。根據The Guardian的故事:

根據使用者所提供和文件所指示的個人檔案資料,該單位幾乎能夠收集使用者生活的每個關鍵細節:包括母國、當前位置(通過地理位置)、年齡、性別、郵政號碼、婚姻狀況(有「單身」、「已婚」、「離婚」、「可換偶」及其他更多選項)、收入、種族、性取向、教育程度和子女數量。

這份報告明確指出這些資料並非來自系統內的惡意軟體:它來自使用者自己願意安裝的這些表面上合法的應用程式。也就是說,這些使用者已經同意這樣的資料收集。然而,幾乎每個讀到這列表的人都感到衝擊和驚訝。為什麼呢?

這有兩個原因。首先,告知並不清楚。其次,很明顯地,行動設備和應用程式收集了比它們所需還要更多的資料。而且這次的事件顯示出這些資料並沒有被好好的保護,因為美國國家安全局聲稱收集到該資料是因為它被「外洩」了。

清楚告知是長久以來業界的一個問題。人們知道這是個問題:最近一項微軟的研究顯示,人們對於讀取隱私政策感到無奈。但到目前為止,人們還是會接受並不清楚的狀況,最後都會按下同意(只有25%的人在研究中表示自己會閱讀隱私聲明)。不過雖然明確告知的問題在過去的PC時代可能被接受,在行動時代,因為現在能夠收集到的資料數量和類型,讓這成為更加嚴重的問題。

行動設備將我們自身實體和網路結合的更加緊密。就其本質而言,它們可以收集比電腦還要更多關於我們是誰和我們正在做什麼的資料。而且行動設備和應用程式廠商對資料採取的做法是 – 「有問題時就收集它」,就如同現在這些事件所顯示的一樣。如果我們對於知道我們的行動設備和應用程式收集什麼資料而感到十分震驚,那它也代表告知的做法失敗。

應用程式所「外洩」資料的問題,就跟這裡所說的是非常普遍。在趨勢科技所分析的近600萬應用程式裡,有超過25%有某種形式的資料外洩。

 

 

當人們都專注在美國國家安全局是否應該去收集這些資料時,就忽略了更大的問題。不管他們有沒有或應不應該,還是會有其他機構,像政府機關、私人企業和非政府單位會為了自身目的而在我們一無所知下去收集資料。他們會這樣做是因為他們可以,是因為行動設備和應用程式廠商讓他們能夠這樣做。如果我們不喜歡聽到我們的資料被收集和使用,我們需要將討論這些資料收集放在第一位。 繼續閱讀

450萬名Snapchat用戶的使用者名稱和電話號碼被曝光

趨勢科技全球安全研究副總裁 Rik Ferguson

在舊時代,一切都還是黑白分明的時候,如果有陌生人在街上接近你,跟你要通訊錄副本的話,你肯定覺得他瘋了。如果有店員堅持要你用100名朋友的資料來換取優惠券也會是一樣奇怪的要求。不知什麼時候,資料本身數位化了,而且傳輸過程無形且無痛,讓這些成為完全可以接受的行為。與其繼續讓隱私被侵蝕,這類服務的使用者最好將手機用在其長期被忽略的原本目的上,或許打電話給那些朋友們,甚至安排見個面(!)好親自聊聊你所發現很棒的新應用程式,而不是一股腦地將你的朋友賣掉。

超過450萬名Snapchat用戶的使用者名稱和電話號碼被發佈在名為SnapchatDB.info的網站上。根據TechCrunch,SnapchatDB表示攻擊者是利用一個在2013年12月23日所披露的漏洞。

DLP

 「我們這次發佈背後的動機是為了提高公眾意識在解決該問題上,也將公眾壓力帶給Snapchat,好讓此漏洞獲得修復。高科技初創公司的資源有限是可以理解的,但安全和隱私不該是次要目標。安全的重要性就跟使用者體驗一樣」

當然,這並非第一次在 Snapchat 服務或應用程式上發現漏洞。在最近幾個月內,各種偷偷儲存照片或恢復已刪除照片的方法已經成為好幾次的頭條,這些都是應用程式本身的漏洞,在使用者設備上攻擊漏洞。最新的這次攻擊是利用Snapchat自己伺服器上API的弱點,該API用來讓 Snapchat伺服器和 Snapchat客戶端進行通訊。

這些弱點可以讓自動化系統在短時間內對 Snapchat伺服器進行大量的查詢,發掘特定號碼是否存在 Snapchat 的資料庫內,並檢索與該號碼相關聯的其它資料,當然這號碼就是行動電話號碼。這次攻擊,再加上進一步的資料採礦(像透過社群媒體),可以輕易地建立出非常巨大的個人資料庫,用在各種進一步的攻擊或用來轉售。雖然Snapchat在幾個月前就意識到這些漏洞,GibsonSec – 概念證明漏洞攻擊碼的公布者聲稱他們仍然可以輕易地加以攻擊,而Snapchat DB證明了這一點。 繼續閱讀

全世界關注著資料隱私需要新的道德指導

最近有幾起事件敲起了警鐘,像是稜鏡計畫外洩,Healthcare.Gov上線時的問題,還有Adobe Creative Cloud遭受攻擊。網路安全社群可能需要對IT的職業道德有全面性的新指引。雖然像雲端運算這樣的技術可以讓企業、政府機構和安全專家用來收集和處理前所未有的資料量,好幫助保護資產和提供更好的服務,但這力量的使用需要更合乎道德,更謹慎小心。

另外,對於清楚、明確道德要求的擔憂也越來越高。比方說,對於雲端儲存資料的隱私擔憂已經在全球引發朝向隔離、國有化電信基礎設施的趨勢。從巴西到瑞士,政府官員要求他們自己國家的網路和雲端服務不能被外國組織所存取。

對於在過去廿年間,習慣進行全球化、統一性質網路溝通的人們來說,因為全世界越來越對主事者能夠有道德地處理使用者資料失去信心,所造成的損失將會是非常慘痛。此外,這樣子的狀況不僅僅會發生在國際舞台上,也可能發生在個人、雲端服務供應商和組織(像是學校單位)之間。IT道德必須為這新的情勢加以更新,努力地朝向讓公共和私有機構可以恢復信心。

 

缺乏信任可能會導致全球網際網路概念的終止

最近國際對於網路隱私的爭議,是對IT供應商和網路安全社群信任度下降的最明顯證明。巴西和德國最近提出一項聯合國決議案,將延伸保障隱私權利到網路通訊

這舉動沒有指明任何特定國家,也不具有法律效力。然而,它的出現表示對資料收集超出界線的擔憂,已經從正當行使到毫無理由的侵犯。

「在今日,對於存取、儲存或結合個人資料似乎沒有任何技術限制。但是否只要技術上可行都該被允許?」德國駐聯合國大使Peter Witting這樣問到。「我們在對於合理的安全關切和個人隱私權利間的界線在哪裡?」

有些國家已經出現更具體的努力來確保本國公民的資料。路透社報導說,巴西的立法單位已經起草了一項法案,將迫使像Facebook和Google這樣的網路服務巨擘將所有巴西使用者的資料保留在國內

網路公司都會反對這項措施,認為這會破壞網際網路的本質,同時也可能會讓雲端運算服務的成本上升。該法案可能對目前的線上通訊形式造成致命一擊,因為危害了原本沒有侷限的全球運作範圍,以及所支援的開放式技術標準。

雲端服務關係到隱私和信任問題

雲端運算的平地拔起,幾乎也保證組織將有一天必須要解決隱私問題,即使沒有政府監視問題帶來這樣強勁的動力。比方說,瑞士的電信業者(Swisscom)一直致力在將資料保持在國境之內的雲端解決方案,這件事就不是因為美國國安局帶來的影響。

根據Help Net Security,這項動作基本上是由國家支持的,因為瑞士政府擁有絕大部分的瑞士電信股權。新的雲端設計是為了確保資料隱私,並提供具有成本效益的替代方案來提供服務,其中有些很巧的,可能是在其他國家。 繼續閱讀