過去廿年他一直在販賣火車乘客資料; 1/5資料外洩事件來自內部

趨勢科技 TrendMicro

內部來的風險:美國國鐵資料外洩的教訓

最近由美國國鐵督察長辦公室所發表的一份報告顯示,這家鐵路大眾運輸公司的一名員工在過去廿年一直在販賣乘客資料。這份資料的買主不是別人,就是美國緝毒署,他們在過去支付了該員工854,460美元。愛荷華州的資深參議員Check Grassley致信緝毒署來表達對此事件的嚴重關切

內部來的風險:美國國鐵資料外洩的教訓

這起資安事件最誇張的地方是這名前員工可以從1995年就開始販賣美國國鐵乘客個人身份資料這件事。也就是說,這種不當行為在廿年來從沒有任何人發現。透過這樣未經授權的販賣客戶資料,這員工收到來自緝毒署總共854,460美元。

緝毒署應該是有權免費地要求有問題的客戶資料,只要透過美國國鐵和緝毒署的聯合工作小組。也就是說,美國納稅人付錢買了應該可以免費取得的資料。事件爆發後,為了不被懲罰,該名員工選擇了退休。

這起資料外洩事件一開始是如何被確認並沒有包含在國鐵的報告中。想到員工可以在這麼長的時間內一再地進行不當行為這件事,必須問一個嚴重的問題 –有進行內部控管和稽核嗎?有實施哪些安全措施來防止此類外洩事件嗎?

 

調查顯示:有五分之一受訪者的外洩事件來自內部

不管是來自網路攻擊或惡意員工,資料外洩事件持續地成為世界各地的頭條新聞。趨勢科技在2014年3月對1,175位日本IT安全專家和決策者所進行的調查顯示,有233(19.8%)在2013年經歷過內部系統的資料外洩事件。換句話說,有五分之一受訪者的外洩事件來自內部。

總共有778位受訪者(近三分之二)證實曾經歷過某種形式的安全入侵事件。有28名(3.6%)補充說,被竊的資料已經在某些地方被使用或運作。這些統計數據只代表在日本的資安入侵外洩問題,但在其他地方所得到的數據即便不一樣,可能也不會差太多。資料外洩已不再是「別人的問題」。 繼續閱讀

PGP:不完美,但仍值得依賴

趨勢科技 TrendMicro

在過去幾個禮拜,PGP 作為使用者電子郵件加密方法的效果成為備受爭議的話題。最新一波來自約翰霍普金斯大學的密碼學教授Matthew Green,他對  PGP 的批評主要在於金鑰管理的缺陷和缺乏遠期安全(Forward Secrecy)

對於這整個產業來說,做好加密是非常重要的。這是在21世紀確保網路生活安全的根本。PGP 在多年來都是防護電子郵件安全的重要組成部分,因此,如果是因為它被破解而需要修正的建議是必須被認真看待。

PGP

但 PGP 本身的加密功能被認為還是健全的,雖然它一直被視為不方便使用。不過它從未真正被認為是提供給一般使用者。一直都是有技術能力的使用者才會去依賴於PGP。這些使用者有能力去使用 PGP 客戶端,儘管它們不夠精良。

現在,事情改變了;可以想像人們可能有興趣去使用PGP,但不具備足夠的技術能力去使用現有的客戶端。這些使用者需要的是「點了就用」的軟體。在「安全」和「易用」之間有個不容易消彌的根本鴻溝。

PGP 有個的確值得批評的地方是它管理金鑰的方式。簡單來說,PGP 將管理金鑰的所有負擔都放在使用者身上。其他加密解決方案(如SSL/TLS)則恰恰相反,這些過程基本上對於最終使用者來說是不可見的。  繼續閱讀

《 IoT 物聯網安全趨勢》高科技家庭越來越有智慧

趨勢科技 TrendMicro
ioe 高科技家庭越來越有智慧
圖文解說:明日自動化家庭有多麼容易遭到網路犯罪攻擊? (點小圖看放大全圖)

明日的連網自動化家庭時代已經來臨,遲早,數以百萬計的家庭都將習慣這樣的生活方式。

未來不久,人們一回到家就會聽到門口監視攝影機作動的聲音,隨時監視著門口的狀況。很快地,智慧型門鎖與動作感應裝置就會成為家庭保全的標準配備。智慧型電視將讓您輕鬆錄製節目或拍攝照片,並直接上傳至網際網路。智慧型冰箱可幫助一些注重養生的人們控制飲食,甚至幫忙訂購需要補充的日用品。

雖然連網的家庭與家電將帶來輕鬆和便利,但卻也製造了各式各樣的網路犯罪機會,因為歹徒總是會往「錢」和「人」最多的地方聚集。

連網自動化裝置數量不斷增加,對於目前最夯的萬物聯網概念固然是件好事,但安全漏洞的數量也會隨之增加,這樣的情況已經發生在桌上型電腦與行動裝置。安全的問題可能來自家電本身、來自安全問題修補的程序,或是來自人為的錯誤和安全情況的誤判。

大家務必仔細評估家庭自動化的優、缺點。使用監視攝影機、動作感應器、智慧型門鎖以及其他保全裝置,或許能輕易地增加安全性,但也它們也可能成為駭客用來觀察您是否有人在家的工具。

內建視訊攝影機和麥克風的智慧型電視或許能為使用者提供便利的個人化設定,但也能讓網路犯罪者挾持這些設備而暗中監視使用者。安裝車用電腦或許能讓車主輕鬆地更新一些重要但繁瑣的設定,但也可能引來駭客入侵的風險。就連具備上網購物功能的智慧型冰箱,也可能成為歹徒竊取銀行帳號資訊的途徑。

了解智慧型家庭可能遭到駭客攻擊的各種情境,是您安全地探索及使用明日自動化家庭裝置的關鍵。
◎原文出處:https://about-threats.trendmicro.com/us/threat-intelligence/internet-of-everything/understanding-ioe/high-tech-homes-get-smarter

《CTO專欄》比特幣會消失嗎?

趨勢科技 TrendMicro

作者:Raimund Genes(趨勢科技技術長)

當你在安全公司工作,有時會讓人覺得你必須知道一切和技術相關的事情。所以,有時我會功嗎?」

不幸的是,我是個工程師,不是經濟學家。我沒辦法說像美國的美聯儲、德國的德國央行或英國的英國央行等大型中央銀行會如何做出回應。也許他們會試著對其進行規範。也許他們會試著加以禁止。誰知道呢?應該去問經濟學家或銀行家;他們可能會更清楚。

我所知道的是,越來越多廠商接受電子貨幣付款。比方說在美國,線上的科技商家如DellNewegg都已經開始接受比特幣。你不僅可以用比特幣購買電子玩意,你也可以用它們來度假 – 線上旅行社如Expedia.com和航空公司如airBaltic也都接受比特幣。

然而,他們不是唯一接受比特幣的人。網路犯罪分子也接受。如果你中了勒索軟體 Ransomware,你可以用比特幣Bitcoin支付贖金。網路犯罪分子也使用它來彼此購買商品和服務,近日好萊塢 A 咖女星裸照外流事件 的駭客就是要求以女星裸照換比特幣Bitcoin

為什麼這些不法份子使用比特幣Bitcoin?其中一個原因可能是他們認為這既安全且匿名。當然,它的許多大支持者也說相同的話。然而,這並不是百分之百的正確。沒錯,你的比特幣地址不會直接提到關於你的事情,但所有的交易都是區塊鏈的一部分 – 這代表任何人都可以看到它。

任何有能力處理巨量資料和可以從各種來源收集資料的組織都可以(如果他們想)除去比特幣交易的匿名性。這並不像人們想像中的那樣安全。我們甚至還沒提到惡意軟體是如何地試圖從使用者錢包偷走比特幣。

所以,比特幣會是電子貨幣的未來嗎?我所知道的是,網路犯罪分子喜歡它就跟喜歡真實世界的貨幣一樣,它也有自己的地位和風險。從某些方面看,新的數位貨幣跟舊貨幣沒有兩樣。

想了解更多我對比特幣和其他電子貨幣的想法,請看下面的影片 –

  

@原文出處:Will Bitcoin Succeed?