eBay遭駭1億4千萬用戶個資恐外洩!五個問題請教 eBay…

這幾天的大新聞 eBay用戶帳密資料庫遭駭1億4千萬用戶個資恐外洩,eBay於5月21日在官方部落格緊急發布公告坦言:「該資料庫在二月底和三月初受駭,範圍包括 eBay的客戶姓名、加密過的密碼、電子郵件地址、實際地址、電話號碼和出生日期」這些用戶資料都有可能外洩,報導推測恐超過了去年12月美國第二大連鎖商店 Target 遭駭所影響的1.1億客戶,eBay遭駭事件將成為美國史上最大宗資料外洩事件。

eBay目前是說並沒有看到有詐騙事件出現。而且eBay也說此起資料外洩事件並不會影響到PayPal帳號:據他們所說,這些都儲存在分開的系統上。

如果你是eBay客戶,這首先代表的是你要變更密碼了。隨著像這樣的資料外洩事件接二連三的出現,很重要的一點是要在每個網站上都使用獨特的密碼。這也是像趨勢科技PC-cillin 2014雲端版內建的<密碼管理 e 指通>這樣的密碼管理工具可以幫上忙的地方。

密碼帳號

除了變更密碼,此一事件也再次顯示出你可能需要看看即時身份竊盜監控。跟其他我們見過的資料外洩事件不同,這次包括了實際地址、電話號碼和出生日期,能夠讓惡意份子更容易去竊取你的身份。只是變更密碼並無法保護你免於此種威脅。

在2014年初,趨勢科技的技術長Raimund Genes預測每個月都會出現一起大規模的資料外洩事件。這之後出現了Target和Nieman Marcus資料外洩事件,所以很不幸地,這預測看起來相當正確。

關於此事件的其他觀點,可以參考以下這篇文章提出了給eBay的五個問題,而且可以同樣地適用於任何廠商。

 

DLP1

——————————————————————————————

趨勢科技全球安全研究副總裁 Rik Ferguson

照片來自Richard Elzey,經由創用授權使用

如果你正在製作高知名度的資料外洩事件列表,你現在有個新名字可以加進列表裡了:eBay。在他們網站新聞中心的一篇文章裡,eBay在一定程度上確認了資料外洩的規模,雖然標題上看不出來。

該資料庫在二月底和三月初受駭,範圍包括eBay的客戶姓名、加密過的密碼、電子郵件地址、實際地址、電話號碼和出生日期

雖然調查還在進行中,目前的文章顯示eBay大致確認只有一個資料庫遭到未經授權的存取,至少文章內的用詞是這樣的意思。現在,如果你是個eBay使用者,你將會需要變更你的密碼。如果你在其他網站上也用了一樣的密碼,那你也要在那些網站上變更密碼(是的,再一次地)。不幸的是,變更名字或地址就沒那麼容易了,所以這些部分所受到的危害還是沒有改變。

eBay,我有一些問題要問你(是的,我很生氣,這些都是我託付給你的資料)

 

1 – 如果所有的敏感資料都存放在單一的資料庫上,為什麼沒有加密。事實上,為什麼沒有跨多個資料庫的加密?我有些惱怒的注意到,「所有的PayPal金融資料都是加密的」,還在執行兩層式的系統嗎?

2 – 如果你要告訴我,它是加密的,但攻擊者取得了資料庫的登入憑證,那為什麼這些重要的系統沒有使用雙因子身份認證?

3 – 為什麼只靠被駭的登入憑證就可以存取企業網路?再一次,多因子認證呢?

4 – 為什麼具備eBay這樣資源的組織需要花上三個月來發現資料被不當存取過,更不用說還被竊走?入侵外洩偵測系統在哪裡?

5 – 我的密碼是怎樣「加密」的?我想要細節。我想知道是用哪種演算法以及是如何加料(Salted)的。我想知道我的密碼會被暴力破解的實際機率,這樣我才能準確的評估我的受害程度,並提供實用的建議給別人。

額外的加分題

– 一開始的帳號被駭是怎麼發生的,你要如何確保這不會再發生?

有效的安全性已經不再是想要去設計出可以永久阻絕攻擊的架構了,這只是痴人說夢而已。如果他們想進入,他們就會做到。有效的安全性是接受可能被駭的現實,將系統和流程整合以讓你可以及時發現和反應,關鍵是,你要讓攻擊者極難帶走他們原本想要的目標。你又是怎麼做的呢?

你在新聞聲明結尾中提到:「相同的密碼絕對不要在不同網站或帳號上使用」。我同意。我要以此來結束我的「聲明」。

敏感資料,尤其是你被信任而持有的資料,都應該要加密,沒有例外。

噢!還有,如果你送出提供連結來讓我點入以變更密碼的電子郵件。那你就永遠地從我進行聖誕購物的選擇中除名了。

 

@原文出處:Oy vey, eBay! Five questions for you…

該讓您的 XP 走了但為何難以分手?

管理您的老舊作業系統,Windows XP 終止支援之後,未來的日子將變得如何?

Microsoft 長達十多年的 WindowsR XP 支援在 2014 年 4 月 8 日劃下句點。使用者再也不會收到安全更新、非安全相關修正,以及免費或付費的支援,同時線上技術資訊也不再更新。

企業 商務 IT SMB Man

 

支援終止意味著仍在使用 Windows XP 的企業系統將面臨嚴重的後果。本文探討企業繼續使用這套作業系統所將面臨的威脅、潛在損失、法規遵循問題以及更高的使用者運算成本。

Windows XP 全球使用率在過去一年逐步下滑的趨勢。儘管該作業系統的市場占有率已經大幅滑落,但 Windows XP 在市場上仍占有一席之地。Microsoft 至今已雄霸用戶端作業系統市場長達二十多年。根據 IDC的調查,每十台 PC 就有一台是使用 Windows 作業系統。此外,根據Spiceworks 所作的一篇研究也發現,截至 2013 年 12 月為止,有 76% 的IT 人員仍得支援 Windows XP 作業系統。其中,97% 支援的是桌上型電腦,68% 支援的是筆記型電腦。 

「該讓您的 XP 走了但為何難以分手?」

儘管 Windows XP 作業系統即將終止支援,但其使用率仍非常普遍。Microsoft 過去也曾有許多 Windows 版本已終止支援,但沒有一個版本至今仍在普遍使用。Windows XP 之所以雄霸至今,原因之一可能是 2008 年的經濟危機造成許多企業資金短絀、裁員和撙節成本。此外,WindowsXP 和其後繼系統 Windows Vista 之間只有五年的間隔,也或許還不足以讓企業有升級的動機,導致桌上型電腦汰換週期遲緩。

Windows XP

「金融危機釋疑:為何我們還不曉得到底發生了什麼?」

為仍有一大部分的桌上型電腦市場將暴露在與日俱增的威脅當中。當年 Windows XP 在 2001 年上市時,行動使用者的數量非常稀少,而且都是透過有線網路連線。當時,使用者大多經由企業掌握的網路上網,遠端存取則通常透過撥號連線。當年的 PC 威脅大多只會讓使用者困擾或是浪費時間,而非竊取重要資料。簡單言之,今日之所以要淘汰 Windows XP,正因為它是針對當年的時空背景設計的產品。

儘管迫在眉睫,但更換作業系統並沒有想像中的容易。IT 人員需預先料到升級會遇到哪些問題。根據 Dell 的一項研究顯示,作業系統移轉總是會帶來一些頭痛問題,4 例如應用程式相容性 (41%) 及使用者教育訓練和支援 (33%) 等等都是受訪者所指出的問題。此外,升級也可能會需要採購新的硬體,讓轉換過程不如想像順利。

2013 年 2 月,當 Oracle 宣布 Java. 6 終止支援,不再提供安全更新來修補任何漏洞之後,駭客即開始強力鎖定該軟體未修補的版本。就在 Java 6 終止支援幾個月後,駭客便試圖攻擊 Java 的CVE-2013-2463 漏洞,影響的範圍包括 Java 6 在內的多個版本。

由於 Java 6 已不再獲得支援,Oracle 便不提供 (未來也不會提供) 安全更新給使用者。更糟的是,此漏洞攻擊已整合到 Neutrino 漏洞攻擊套件當中,未來將有更多同樣的攻擊得逞。

2014 年 4 月 8 日之後,Java 6 的情況同樣也將發生在 Windows XP 使用者身上,但 Windows XP 的威脅將遠勝於此。因為, Windows XP 和後繼 Windows 作業系統版本之間的共用程式碼,將成為駭客尋找待修補漏洞的「線索」。

總而言之,今日的威脅已和以往大不相同。事實上 Windows XP 的漏洞很可能讓整體企業及企業資料陷入危險當中。要防範這類已不再釋出修補程式的軟體漏洞,我們建議企業採用一套像趨勢科技 OfficeScan. Intrusion Defense Firewall 入侵防禦防火牆這類的漏洞防護方案。漏洞防護技術的運作原理是,漏洞攻擊都會透過特定的網路途徑來攻擊應用程式。因此,我們可以藉由一些網路層的控管規則來管制進出目標軟體的通訊。

2013 年 10 月 Microsoft 公布一項消息表示 Windows XP 終止支援之後,該系統的感染情況將增加 66%,顯示駭客很可能會利用這段感染空窗期。6 駭客將試圖利用後續新版作業的安全更新來進行反向工程,藉此尋找Windows XP 的漏洞。網路犯罪者甚至將「囤積」各種漏洞攻擊,待Windows XP 支援終止時全面傾巢而出。

一旦 Windows XP 支援終止,Internet ExplorerR (IE) 也將成為另一個風險因素。該瀏覽器從 IE 8 之後的版本就不再支援舊版作業系統,這表示舊版作業系統的使用者將被打入冷宮。當然,使用者也可改用其他瀏覽器,不過,光更換瀏覽器仍不能 100% 防止瀏覽器漏洞。

另一項可能的技術風險是含有漏洞的端點裝置很可能被當成新一代惡意程式的攻擊跳板,因為舊系統很難對抗這些新的威脅。鎖定目標攻擊即經常利用軟體漏洞來入侵系統,讓企業暴露在資料竊盜和商業間諜的風險中,此外,任何使用 Windows XP 的 PC 對駭客來說都是一個明顯的弱點。

老舊的系統和軟體若不淘汰,將帶來嚴重的企業風險,包括一些不可預期的潛在成本和後果。然而,也有人認為繼續使用 Windows XP 可以讓使用者不必再學一套新的作業系統,因為他們已經很熟悉系統的使用介面,而開發人員也對其瞭若指掌,這樣的主張看起來也很合理。

那麼,為何一定要更換系統?首先,IT 系統管理員應考量一下在終止支援之後繼續維護 Windows XP 的財務成本。決定繼續使用該系統的企業很可能必須加入客製化支援服務,也就是必須成為 Microsoft Premier Online 線上服務的會員。

看完整文章請下載白皮書 :Windows XP 終止支援之後 未來的日子將變得如何?

Windows XP 終止服務後,如何管理就系統?

 

< APT 攻擊 > 利用微軟Word零時差漏洞,鎖定台灣政府機構發動攻擊(含社交工程信件樣本)

漏洞,特別是零時差漏洞,經常會被惡意份子用作目標攻擊的起始點。影響微軟Word的零時差(在當時)漏洞CVE-2014-1761)就是一個例子。在三月所發佈的資安通報裡,微軟自己承認該漏洞被用在「有限的目標攻擊」裡。微軟因此在其四月的週二修補程式裡修補了此一漏洞。

漏洞 弱點攻擊

然而,出現修補程式並不會嚇阻惡意份子去利用此漏洞。趨勢科技還是看到有APT攻擊-進階持續性滲透攻擊 (Advanced Persistent Threat, APT) /目標攻擊在他們的攻擊活動裡利用此一漏洞。

Taidoor連線:偽裝台灣政府部門和教育單位發出全國民調, 服貿議題被操作

我們看到了兩起針對台灣政府部門和一個教育單位的攻擊。第一起攻擊使用夾帶惡意附件檔的電子郵件,此郵件偽裝成來自政府員工。附件檔標題偽裝成一份全國性民調來增加說服力。此附件其實是被偵測為TROJ_ARTIEF.ZTBD-R的漏洞攻擊程式。它會產生被偵測為BKDR_SIMBOTDRP.ZTBD-R的檔案,接著再產生兩個檔案 – TROJ_SIMBOTLDR.ZTBD-R和TROJ_SIMBOTENC.ZTBD-R。這兩個檔案最後會導致被偵測為BKDR_SIMBOT.SMC的最終結果。

 

第二起APT攻擊的教育單位也是在台灣。此波攻擊利用電子郵件附加檔案來取得對收件者電腦和網路的存取能力。這封電子郵件討論了服貿議題,而附件檔和一個工作專案有些關係。跟第一個案例類似,此附件檔也是被偵測為TROJ_ARTIEF.ZTBD-PB的漏洞攻擊程式。它會產生一個被偵測為BKDR_SIMBOT.ZTBD-PB的後門程式。一旦執行,此一惡意軟體可以執行指令來搜尋欲竊取的檔案、取出檔案以獲利以及進行橫向移動。

我們已經確定這兩個攻擊跟Taidoor有關(一個自2009年就開始活躍的攻擊活動),因為網路流量結構類似。上述攻擊和之前的攻擊活動有著相同的特性,不管是目標、社交工程(social engineering 誘餌以及使用(零時差漏洞)的技術。

後續的PlugX:偽裝成來自台灣某出版社的新書列表

另一起我們看到利用CVE-2014-1761的攻擊針對在台灣的郵件服務。就跟其他攻擊一樣,此一攻擊利用電子郵件附加檔案來進入網路。電子郵件附加檔案偽裝成來自一出版社的新書列表。這樣做是為了引起收件者的興趣。

此附件檔其實是偵測為TROJ_ARTIEF.ZTBD-A的漏洞攻擊程式,會產生被偵測為TROJ_PLUGXDRP.ZTBD的PlugX惡意軟體。它會產生被偵測為BKDR_PLUGX.ZTBD的惡意程式,此程式可以進行廣泛的資料竊取行為,包括:

  • 複製,移動,重新命名,刪除檔案
  • 建立目錄
  • 建立文件
  • 列舉檔案
  • 執行檔案
  • 取得磁碟資訊
  • 取得檔案資訊
  • 打開和修改檔案
  • 記錄鍵盤活動和執行中視窗
  • 列舉TCP和UDP連線
  • 列舉網路資源
  • 設定TCP連線狀態
  • 鎖住工作站
  • 登出使用者 繼續閱讀

不給錢就讓手機變磚塊!勒索集團威脅瀏覽色情網站 Android手機用戶

一個過去鎖定電腦散播勒索軟體 Ransomware 的惡意集團Reveton ,現在將要求贖金的目標改為Android手機 – 通常是會瀏覽色情網站的訪客。

Reveton是純粹的勒索軟體,它具有系統層級的存取能力,能導致受害者的手機無法運作。被害者為了讓手機恢復原狀,必須透過歹徒指定的付款機制支付300美元贖金,才能取回手機使用權。

1200 627 ransom  Android  blog

勒索軟體 Ransomware出現在行動世界只是個風暴的開始。「這將會變得非常的嚴重,」趨勢科技副總JD Sherry在Ransomware Gang Targets Android Phones這篇報導中說道:「我們將會在這一年看到大量的惡意軟體對手機進行攻擊,我不認為消費者和組織在轉移到行動設備時,已經準備好來面對這些攻擊。」

手機裝了這個惡意apk, 被綁架,會出現以下完全空白的畫面或是警察單位的警告信

ramsom勒索軟體 Android 手機
機裝了這個惡意apk, 被綁架,會出現以下完全空白的畫面或是警察單位的警告信(如下)

繼續閱讀

Azure的安全性

不管是用哪種公共雲,安全性都是雲端服務供應商和你(服務使用者)的共同責任。對於IaaS產品來說,這通常意味著以下的責任分工:

 

雲端服務供應商
設備

實體安全

網路

基礎設施

虛擬層

作業系統

應用程式

資料

 

如果你曾經使用過AWS雲端服務,那你可能已經熟悉於這種模式。AWS一直在努力推廣此一模式給社群,所以現在其他服務供應商(以及像趨勢科技這樣的合作夥伴)就能夠利用這教育成果來幫助提高每個人在公共雲內的標準。

共同責任模式的成功關鍵在於確保你確認服務供應商的工作,然後集中精力在防護你責任範圍內的部分。

微軟的責任

微軟已經替Azure建立一個集中的安全性中心。微軟的Azure信任中心是個很棒的地方讓你可以確認微軟如何履行其對安全性的責任。 繼續閱讀