< CTO 觀點 >防禦重要系統:它必須要「智慧化」嗎?

CTO

作者: Raimund Genes(趨勢科技技術長)

 

 

 

 

無論我到哪裡似乎都會聽到「重要」系統遭受攻擊。今年早些時候,人們在談論飛機是否可以被駭客攻破。我們也談過智慧化電網是否會被駭客攻擊。就在一周前LOT波蘭航空幾乎完全被分散式阻斷服務攻擊(DDoS)打趴。相關報導:LOT波蘭航空地面操作系統遭駭造成航班無法起飛

許多案例裡的重要系統都是用現成的開放原始碼軟體開發而成。我大約在十年前說過開放原始碼軟體比較安全。雖然這被證明在絕大部份時候是對的,但最近的問題(如HeartbleedShellshock)已經說明開放原始碼軟體也有其問題。

非技術人員可能會問:「為什麼之前沒有人注意到這些問題?難道我們軟體開發人員太懶了?難道開發人員忘記如何開發安全的應用程式?」基本上他們是想問軟體社群:我們為什麼會捅這麼大的婁子?

要開發安全的程式碼在大多數情況下都很困難,不幸的是許多開發人員都沒有將其視為優先。一個遊戲或瀏覽器並不安全是一回事,雖然已經夠糟糕的了。但如果電廠的部分SCADA設備出問題那就是另一回事了。而如果醫療設備被駭而危害到病人又是另外一回事。

隨著智慧型設備越來越普遍,而且被用在了重要用途上,軟體開發者必須明白他們對確保自己軟體安全負有更大的責任。或許相關產業的監管機構需要建立新法規來包含軟體安全!看看不良軟體會造成多嚴重的後果就知道了,這想法並不像聽起來那麼瘋狂。

同樣重要的是,我們需要決定什麼需要保護和什麼需要連網。比方說,人們不斷地說:智慧化電錶比較安全也對電力網有幫助。這可能沒錯,但會有什麼樣的後果?誰控制這些設備?誰有權存取這些數據?

如果真正重要的設備會被連上網路,就需要加以適當地防護。所用的軟體必須遵循最佳實作來開發,並且強化安全來防禦攻擊。也必須落實用「黑箱」方式加以測試,來確認這些重要系統可以對抗已知漏洞和攻擊。

越來越多重要系統會在不久的將來連上網路。軟體產業必須負責行事,確保我們不會重蹈過去的安全錯誤 – 帶給這世界大量的嚴重後果。


@原文出處:Defending Critical Systems: Does It Have To Be “Smart”?

 

想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚

《提醒》在粉絲頁橫幅,讚的右邊三角形選擇接收通知新增到興趣主題清單,重要通知與好康不漏接

Adobe Flash 就像煙癮一樣,難以戒掉?

上星期對 Adobe Flash 來說日子真是難過。 Hacking Team公司外洩的 440GB 電子郵件資料已成為駭客挖掘資安漏洞的寶藏。過去七天,光是 Flash 就被發現了三個不同的漏洞:

目前,只有第一個漏洞已經修正。Adobe 承諾會在本週之內修正另外兩個漏洞,但這仍難保未來不會有其他該平台的漏洞出現。因此我們不禁要問:我們是否要趁現在乾脆放棄使用 Adobe Flash?

Flash 一直是資訊安全的夢魘,多年來,趨勢科技在這部落格上已經報導過各種Flash 的漏洞。每一次,除了小心避開一些不良網站、停用 Flash 外掛程式、然後等待 Adobe 釋出更新之外,消費者能做的其實很有限。

 

漏洞 弱點攻擊

Hacking Team 外洩事件而曝光的三個零時差漏洞已經突顯出 Flash 多麼容易存在著漏洞。假使像 Hacking Team 這麼小的公司 (員工總共 40 人) 都能挖到這麼重大的漏洞,那想像一下其他一些由政府在背後資助的團體將有多大能耐。先前我們只能猜測情況大概多糟,但現在我們已經清楚看到它有多危險。

在理想的世界裡,就 Flash 現在的狀況來看,真的必須淘汰。不是改用新的網站技術 (如 HTML5),就是叫 Adobe 想辦法讓 Flash 變得安全。不過,這兩件事大概都不會發生。

Flash 就像煙癮一樣:即使我們知道它不好,但還是難以戒掉。儘管有風險,人們還是會繼續使用,因為光是安全的理由還不足以讓人放棄它。就網站的觀點,他們還是會繼續使用 Adobe Flash,因為成本較低,使用者體驗也較優。對使用者來說,因為他們經常上的網站仍在使用 Flash,所以還是少不了它。不論開發人員和使用者都得依賴 Flash,因此可以確定 Adobe Flash 還會繼續存活一段時間。

那麼,我們可以做些什麼? 繼續閱讀

Hacking Team 使用 UEFI BIOS Rootkit 遠端遙控代理程式,重灌或換硬碟也沒用!

 Hacking Team 資料外洩事件曝光的資料經過解析之後,目前又有重大發現:Hacking Team 會使用 UEFI BIOS Rootkit 來讓其遠端遙控系統 (Remote Control System,簡稱 RCS) 代理程式常駐在受害者的系統。也就是說,就算使用者將硬碟格式化並重灌作業系統,甚至再買一顆新的硬碟,其代理程式還是會在進到 Microsoft Windows之後自行重新安裝,允許客戶自遠端監控或掌控目標裝置。

駭客 攻擊 通用

他們甚至針對 Insyde BIOS (一個知名的 BIOS 廠商) 撰寫了一套專用程序。不過,同樣的程式碼在 AMI BIOS 上或許也能運作。

 Hacking Team 資料外洩 的一份簡報投影片當中宣稱,要成功感染目標系統必須實際接觸到目標系統,但我們還是不排除有遠端安裝的可能性。一種可能的攻擊情況是:駭客想辦法趁機操作目標電腦,將電腦重新開機以進入 UEFI BIOS 介面,然後將 BIOS 複製出來並且在 BIOS 中裝入 Rootkit,接著將 BIOS 更新回去,最後再將系統重新開機。

趨勢科技發現 Hacking Team 還針對其 BIOS Rootkit 的使用者開發了一套輔助工具,甚至當使用者遇到不相容的 BIOS 時還提供技術支援。


圖 1:Hacking Team 還提供技術支援。

Rootkit 的安裝過程如下:首先將外部的三個模組複製到已修改的 UEFI BIOS 中的一個檔案磁卷 (file volume,簡稱 FV),例如在 UEFI 介面下從 USB 隨身碟複製。第一個模組是 Ntfs.mod,可讓 UEFI BIOS 讀/寫 NTFS 檔案。第二個模組是 Rkloader.mod,用來攔截 UEFI 的事件並且在系統開機時呼叫檔案植入模組 (dropper) 的函式。第三個模組是 dropper.mod,含有實際的代理程式,檔名為 scout.exesoldier.exe繼續閱讀

[新弱點通知] Adobe Flash與Oracle Java零時差漏洞

Hacking Team資料外洩與新的Flash漏洞更新

上週趨勢科技曾經提醒用戶一個新的零時差Adobe Flash漏洞(CVE-2015-5119),起因於  Hacking Team 資料外洩事件。雖然Adobe很快在最新釋出的版本修補了這個漏洞(18.0.0.203),但從Hacking Team握有的資料中又發現了兩個新的Flash漏洞。

hacker 駭客

關於新發現的Flash漏洞資訊,您可參考:

這兩個新的Adobe Flash漏洞(CVE-2015-5122、CVE-2015-5123)已經證實但目前尚未修補。Adobe承諾會在本周修補這兩個漏洞。

此外我們也觀察到已經有部分台灣網站遭受駭客入侵,利用CVE-2015-5122漏洞植入後門程式,趨勢科技用戶只要啟用網頁信譽評等服務,即可攔截這些受駭網站。

 

Pawn Storm攻擊與Java零時差漏洞

負責Pawn Storm目標式攻擊活動的趨勢科技威脅研究專家,在此攻擊活動中發現了一個新的Oracle Java零時差漏洞遭受到攻擊。根據趨勢科技主動式雲端截毒服務  Smart Protection Network分析,這些攻擊是透過魚叉式網路釣魚網路釣魚(Phishing)信件進行,在信件中含有惡意URL指向惡意伺服器,進而攻擊未修補的Java漏洞。

這些行動同時會攻擊一個三年前已揭露的微軟Windows Common Controls漏洞CVE-2012-015(MS12-027)。

Oracle 2015年七月緊急更新建議

防護措施
趨勢科技已有解決方案防護用戶免遭此漏洞攻擊:

  • 趨勢科技Deep Security及Vulnerability Protection(原OfficeScan中的IDF模組):請將防護規則保持更新,即可提供多一層的防護。尤其趨勢科技更釋出最新主動式防護規則:
    • Deep Packet Inspection (DPI) rule1006824 – Adobe Flash ActionScript3 ByteArray Use After Free Vulnerability (addresses the already resolved CVE-2015-5119)
    • Deep Packet Inspection (DPI) rule1006858 – Adobe Flash ActionScript3 opaqueBackground Use After Free Vulnerability (CVE-2015-5122)
    • Deep Packet Inspection (DPI) rule1006859 – Adobe Flash Player BitmapData Remote Code Execution Vulnerability (CVE-2015-5123)
    • Deep Packet Inspection (DPI) rule1006857 – Oracle Java SE Remote Code Execution Vulnerability

 

趨勢科技強烈建議您儘速安裝原廠所釋出的安全性更新或修補程式。如果您有其他問題或是需要進一步協助,請您聯絡趨勢科技技術支援部。

延伸閱讀:

 

 

 

想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚

《提醒》將滑鼠游標移動到右上方的「已說讚」欄位,勾選「搶先看」選項。建議也可同時選擇接收通知新增到興趣主題清單,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。

找上你的是獵人頭公司,還是….如何看穿商務社群網站上的詐騙?

全球擁有 3 億 6,400 萬活躍用戶的 LinkedIn 已是今日最受歡迎的商務社群網站服務。另一個法國的類似服務 Viadeo 也有 6,500 萬用戶,並且穩定成長中。有這麼多人將自己的履歷發布在網路上,自然會吸引歹徒的覬覦,因為這些資料真是不可多得的寶藏。一旦這些資料落入不肖分子手中,您和貴公司就很可能陷入危險當中。

在此,我們提供了一些實用的技巧來協助您判斷是否有人試圖誘騙您提供一些敏感的公司資訊。

HR

誰會想在專業社群網路上騙人?

有三種人會這麼做:

  1. 駭客 / APT攻擊

這類攻擊者會盡可能蒐集有關您的任何資訊,以便滲透您的公司網路。他們會使用社交工程(social engineering )來引誘您加他們好友,也會透過電子郵件讓您點選惡意附件檔案或連結,兩者都會讓您電腦感染惡意程式。這些惡意程式一旦進入您的系統,就等於在您的系統開了後門,駭客可以自由進出您的系統和公司網路。接下來,他們幾乎就能為所欲為,包括:竊取公司機密、破壞資訊基礎架構以及其他等等。

  1. 競爭對手

您的競爭對手有可能利用假的身分或公司名稱在社群網路上和您接觸,甚至和您成為真正的好友,慢慢取得您的信任。一旦獲得您的信任,他們就會開始向您探聽一些想要的資訊,或者要您透露工作上的內容或公司的內部訊息。有了這些資訊,競爭對手就能超越您的公司。

  1. 積極的獵人頭公司 / 人力資源公司

他們會盡可能蒐集更多人才資訊,他們需要這些資訊來建立資料庫,詳細記錄有關貴公司及員工的資訊,以及各員工負責的專案,他們利用這些資料庫來幫助客戶尋找合適的挖角對象。

儘管他們的動機不同,但目標是一致的,那就是透過接觸來蒐集情報。一般來說,他們會先發一則交友邀請給您。他們會假裝是您的同事、客戶或是老闆。若您接受,他們就會看到您的完整個人檔案以及您的聯絡人。他們會想加您好友,或者加入您的私人社團當中,盡可能知道有關貴公司的資訊。

真實案例

有一個同事收到一波 Viadeo 社群網站(全球最大的非英語國家職業社交網站)的交友邀請,有該名人士假裝曾在同一集團澳洲分公司擔任 18 年的 IT 主管。其社群網站上的個人檔案資料相當稀少,而且只有四個聯絡人。 繼續閱讀