影響傳輸層安全協議/安全通訊協定(TLS/SSL)的漏洞新聞,這是用在無數網站和瀏覽器的身分認證協定,包括了大約10%的頂級網域及 Android和 Safari瀏覽器,其根本原因要回溯到90年代。
一份三月初發布的聲明中,大學和產業研究人員發表SSL/TLS漏洞(嚴重程度等級為中等,編號為CVE-2015-0204)如何遭受攻擊。證明了此漏洞真實存在並且可被攻擊,他們安排執行了FREAK攻擊(來自Factoring RSA Export Keys的縮寫)。
結果會造成中間人攻擊能夠強制安全的加密網站改用有缺陷的加密方式 — 1990年代被強制使用的出口等級加密,在今天已經不安全,但仍可以在許多網站見到 — 攻擊者可以輕易地解密以窺視安全通訊。 繼續閱讀
我們在巴賽隆納的世界行動通訊大會Mobile World Congress),簡稱MWC,和業界領袖、先驅及創新者一同討論行動科技的未來。能夠看到革命性的想法以及物聯網(IoT ,Internet of Things)產品很令人興奮。不過重要的是要記住,在一切變得更加方便及舒適時,我們也要準備好面對它們可能帶來的網路風險。我們對於網路安全的熱情驅使著我們提醒出席者記住:
智慧型設備廠商必須將網路安全列為優先。開發人員和廠商能夠認識到自己的產品可能成為網路犯罪目標是很重要的。趨勢科技不停地去創新、開發和改善我們的安全產品及服務以保護使用者,而智慧型設備能夠盡可能地將安全放在第一位也是同樣的重要。我們提醒所有的行動裝置廠商在開發產品時要將良好的安全實作放在心上,同時要定期地加以測試和更新,以確保它們在面對新威脅時一樣安全。
為防護物聯網建立政策是關鍵。聯邦貿易委員會主席Edith Ramirez一月在消費性電子展上談到要為公司建立政策「以增強消費者的隱私和安全,從而讓消費者能夠信賴物聯網設備」。她建議的三個步驟包括:
採用安全的設計
我們相信,透過建立書面政策及加以堅持,將開始讓網路安全融入公司文化,成為開發新技術時的首要考量點。 繼續閱讀
作業系統廠商都會持續地加強漏洞防護技術,就像微軟在Windows 10和Windows 8.1 Update 3(於去年11月發布)引入的新技術。這項技術被稱為執行流保護(CFG)。
之前的防護技術像「位址空間隨機載入(ASLR)」和「資料執行防止(DEP)」都成功地讓漏洞攻擊變得更加困難,雖然這些技術還不完美。ASLR讓駭客開發了Head-Spray攻擊方式,DEP讓「返回指標程式設計(ROP)」技術出現在漏洞攻擊碼裡。
為了探索此一新技術,我使用Windows 10技術預覽版(build 6.4.9841)測試,用Visual Studio 2015預覽版來製作測試用程式。因為最新的Windows 10技術預覽版(10.0.9926)內的CFG實作方式有些許變化,我會指出其不同之處。
若要完全實現CFG,編譯程式和作業系統都必須正確地加以支援。因為是系統層級的漏洞防護措施,要實現CFG必須靠編譯程式、作業系統使用者模式程式庫和核心模式組件間共同合作。MSDN上的一篇部落格文章概述了開發人員支援CFG所需要的步驟。
微軟實作CFG的重點在於間接呼叫保護。看看我所建立測試用程式的程式碼:
圖1、測試用程式的程式碼
讓我們看看如果不啟用CFG,紅圈內的程式碼會編譯成什麼樣子。
圖2、測試用程式的組合語言程式碼
與通用移動攜手合作打造Go2Reach Total Solution 行動服務體驗再升級
全球行動裝置出貨量持續攀升,據IDC研究指出,2014年起新興市場手機出貨量成長率高達 32.4%,持續攀升的新興市場商機成為全球行動裝置品牌投資的新目標。全球資安軟體及解決方案領導廠商趨勢科技 (東京證券交易所股票代碼:4704) 宣布,與軟體更新服務商通用移動攜手合作,於MWC大會首度展示雙方共同開發整合的「 Go2Reach Total Solution」,將趨勢科技的「安全達人App」、「「加速達人」App完美結合於行動裝置,並結合由台灣新創公司VMFive研發之「AdPlay」互動遊戲試玩的內容服務。透過「 Go2Reach Total Solution」,趨勢科技可協助全球行動裝置品牌強化手機加值服務,有效降低開發成本,共同拓展行動加值應用商機,讓全球使用者享有更多元、新穎、便利的一站式行動服務體驗,共創多贏局面!
一站式平台x 優質行動服務 x內容行銷 趨勢科技與通用移動共創行動整合服務生態圈
面對競爭激烈的手機市場,手機品牌如何強化產品競爭力、有效節省成本,創造最大獲利,為全球手機製造商共同面臨的嚴峻挑戰。趨勢科技執行長陳怡樺表示:「身為全球資安專家,趨勢科技不斷研發更安全、順暢、便利的行動體驗。我們很開心宣布與軟體更新服務商通用移動合作,結合趨勢科技的行動資安專業力,搭配通用移動的整合性更新服務,從軟體技術到平台的無縫縝密結合,為行動裝置發揮軟硬整合升級的加乘效能。我們將共同協助手機製造商提升產品價值,定期更新適時導入加值服務,有效降低整體營運開發成本,為手機品牌打造最完整的行動資安與優質行動服務,在競爭激烈的新興市場創造全新商機!」
通用移動執行長吳柏儀表示:「通用移動專注研發全方位的行動網路服務,提供一站式整合解決方案平台,幫助全球超過 60 家手機品牌商及電信商打造一站式行動加值服務,多年來已在新興市場奠定了良好基礎。相信與趨勢科技的策略合作,整合尖端資安防護技術與流暢的裝置使用體驗,能為更多行動業界合作夥伴提供更豐富的加值服務內容,擴大品牌影響力!」
趨勢科技與通用移動攜手合作 共同開發整合 Go2Reach Total Solution
趨勢科技多年來秉持創新精神,藉由策略合作持續提供使用者更優質的用戶體驗,並投資台灣潛力新創公司一同提升台灣軟實力!今年趨勢科技於MWC大會,首度展示與通用移動共同開發整合的「Go2Reach Total Solution」,透過與通用移動 Mobile Care 的深度整合,趨勢科技「行動裝置應用程式信譽評等」服務為通用移動旗下Go2Reach既有的雲端管理系統、App 市集、用戶行為報表與金流服務提供強大的資安防護,更將趨勢科技「安全達人App」、「加速達人」App」整合於Go2Reach Total Solution,為行動裝置提供專業資安防護、流暢的手機遊戲速度及更大的使用容量。此外,Go2Reach Total Solution也整合台灣新創公司VMFive所研發之「AdPlay」服務,讓使用者點擊下載App 之前就能搶先試玩。「Go2Reach Total Solution」可透過以預裝或下載等多樣化形式,為手機製造商擴充軟體服務內容,減少研發與宣傳成本,在快速發展的行動網路時代強化品牌競爭力,於新興市場佈局奪得先機!
趨勢科技達人系列App全面進化
趨勢科技於今年MWC大會展示達人系列App嶄新功能。最專業的行動資安防護「安全達人App」新增 Wi-Fi 無線網路安全檢測功能,在高速網路風氣已臻成熟的環境中,協助用戶在不安全的網路連線下自動將重要資料的傳輸加密,以確保網路交易安全;專為手遊玩家打造的「加速達人App」則整合 VMFive 的 「AdPlay」 遊戲試玩服務,成為全球首創提供遊戲試玩專區的遊戲加速 APP,讓遊戲玩家們可以免去耗時的遊戲下載與繁瑣的帳密登入,搶先於線上優先試玩。此外,在會場首度亮相的「清理達人App」,透過簡潔細膩的介面操作,手機用戶可一次享有系統優化,空間釋放,效能提升,電量續航及流量節費等五大高端必備功能。
想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚
◎ 歡迎加入趨勢科技社群網站
從報導中得知有8000萬筆Anthem保險公司客戶和員工的個人資料被竊。初步報告顯示外洩資料包括姓名、出生日期、社會安全號碼、地址和包含收入在內的工作資料。
這些都是可以被用來進行身份竊盜的有用資料。
確切外洩的數量還在統計中,不過Anthem也說可能遠超過數百萬筆。
從造成身份竊盜風險的角度來看,這起事件潛在的外洩數量及被竊資料類型已經讓它成為美國有史以上最嚴重的資料外洩事件。
但有兩點讓這件事件顯得更加嚴重,讓我們必須更加提高警覺。
在近一年前,美國聯邦調查局警告說醫療保健產業也岌岌可危。看到今日這起事件,我們可以了解這警告是有原因的。我們也知道攻擊成功後會產生什麼後果。更重要的是,我們看到了這是整個產業所要面對的風險 — 跟大小或複雜度無關。
醫療保健機構在去年就該聽從美國聯邦調查局的警告,並且要建置能夠偵測入侵發生跡象的對應方案,而不只是防止入侵的防護方案。在我們撰寫這篇文章時,很有可能還有其他醫療保健機構的網路遭受入侵,資料被取走。而真正的問題是,我們需要過多久才會知道。
醫療保健產業可以從去年零售業的資料外洩事件中所學到的教訓是要能夠廣泛而快速的協同合作以及共享資訊。我們知道攻擊者會共享資訊。而當醫療保健產業也有資訊分享和分析中心時,可以做到更多的事情。
歐巴馬政府最近呼籲要進行更多立法來提高網路安全防禦系統和資料外洩事件通知。由於醫療保健是個監管嚴格的產業,這起最新事件顯示出針對醫療保健資料加強安全性的行動有多麼重要。
這可能是第一起的大規模醫療資料外洩事件。但它不會是最後一次。我們有機會避免重蹈零售業的覆轍,只要醫療保健產業可以快速地行動,並且和政府及私人單位共同合作。想瞭解更多資訊,請點入這裡。
@原文出處:Healthcare Data in the Cross-Hairs作者:Christopher Budd
想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚
◎ 歡迎加入趨勢科技社群網站