PGP:不完美,但仍值得依賴

趨勢科技 TrendMicro

在過去幾個禮拜,PGP 作為使用者電子郵件加密方法的效果成為備受爭議的話題。最新一波來自約翰霍普金斯大學的密碼學教授Matthew Green,他對  PGP 的批評主要在於金鑰管理的缺陷和缺乏遠期安全(Forward Secrecy)

對於這整個產業來說,做好加密是非常重要的。這是在21世紀確保網路生活安全的根本。PGP 在多年來都是防護電子郵件安全的重要組成部分,因此,如果是因為它被破解而需要修正的建議是必須被認真看待。

PGP

但 PGP 本身的加密功能被認為還是健全的,雖然它一直被視為不方便使用。不過它從未真正被認為是提供給一般使用者。一直都是有技術能力的使用者才會去依賴於PGP。這些使用者有能力去使用 PGP 客戶端,儘管它們不夠精良。

現在,事情改變了;可以想像人們可能有興趣去使用PGP,但不具備足夠的技術能力去使用現有的客戶端。這些使用者需要的是「點了就用」的軟體。在「安全」和「易用」之間有個不容易消彌的根本鴻溝。

PGP 有個的確值得批評的地方是它管理金鑰的方式。簡單來說,PGP 將管理金鑰的所有負擔都放在使用者身上。其他加密解決方案(如SSL/TLS)則恰恰相反,這些過程基本上對於最終使用者來說是不可見的。  繼續閱讀

《 IoT 物聯網安全趨勢》高科技家庭越來越有智慧

趨勢科技 TrendMicro
ioe 高科技家庭越來越有智慧
圖文解說:明日自動化家庭有多麼容易遭到網路犯罪攻擊? (點小圖看放大全圖)

明日的連網自動化家庭時代已經來臨,遲早,數以百萬計的家庭都將習慣這樣的生活方式。

未來不久,人們一回到家就會聽到門口監視攝影機作動的聲音,隨時監視著門口的狀況。很快地,智慧型門鎖與動作感應裝置就會成為家庭保全的標準配備。智慧型電視將讓您輕鬆錄製節目或拍攝照片,並直接上傳至網際網路。智慧型冰箱可幫助一些注重養生的人們控制飲食,甚至幫忙訂購需要補充的日用品。

雖然連網的家庭與家電將帶來輕鬆和便利,但卻也製造了各式各樣的網路犯罪機會,因為歹徒總是會往「錢」和「人」最多的地方聚集。

連網自動化裝置數量不斷增加,對於目前最夯的萬物聯網概念固然是件好事,但安全漏洞的數量也會隨之增加,這樣的情況已經發生在桌上型電腦與行動裝置。安全的問題可能來自家電本身、來自安全問題修補的程序,或是來自人為的錯誤和安全情況的誤判。

大家務必仔細評估家庭自動化的優、缺點。使用監視攝影機、動作感應器、智慧型門鎖以及其他保全裝置,或許能輕易地增加安全性,但也它們也可能成為駭客用來觀察您是否有人在家的工具。

內建視訊攝影機和麥克風的智慧型電視或許能為使用者提供便利的個人化設定,但也能讓網路犯罪者挾持這些設備而暗中監視使用者。安裝車用電腦或許能讓車主輕鬆地更新一些重要但繁瑣的設定,但也可能引來駭客入侵的風險。就連具備上網購物功能的智慧型冰箱,也可能成為歹徒竊取銀行帳號資訊的途徑。

了解智慧型家庭可能遭到駭客攻擊的各種情境,是您安全地探索及使用明日自動化家庭裝置的關鍵。
◎原文出處:https://about-threats.trendmicro.com/us/threat-intelligence/internet-of-everything/understanding-ioe/high-tech-homes-get-smarter

《CTO專欄》比特幣會消失嗎?

趨勢科技 TrendMicro

作者:Raimund Genes(趨勢科技技術長)

當你在安全公司工作,有時會讓人覺得你必須知道一切和技術相關的事情。所以,有時我會功嗎?」

不幸的是,我是個工程師,不是經濟學家。我沒辦法說像美國的美聯儲、德國的德國央行或英國的英國央行等大型中央銀行會如何做出回應。也許他們會試著對其進行規範。也許他們會試著加以禁止。誰知道呢?應該去問經濟學家或銀行家;他們可能會更清楚。

我所知道的是,越來越多廠商接受電子貨幣付款。比方說在美國,線上的科技商家如DellNewegg都已經開始接受比特幣。你不僅可以用比特幣購買電子玩意,你也可以用它們來度假 – 線上旅行社如Expedia.com和航空公司如airBaltic也都接受比特幣。

然而,他們不是唯一接受比特幣的人。網路犯罪分子也接受。如果你中了勒索軟體 Ransomware,你可以用比特幣Bitcoin支付贖金。網路犯罪分子也使用它來彼此購買商品和服務,近日好萊塢 A 咖女星裸照外流事件 的駭客就是要求以女星裸照換比特幣Bitcoin

為什麼這些不法份子使用比特幣Bitcoin?其中一個原因可能是他們認為這既安全且匿名。當然,它的許多大支持者也說相同的話。然而,這並不是百分之百的正確。沒錯,你的比特幣地址不會直接提到關於你的事情,但所有的交易都是區塊鏈的一部分 – 這代表任何人都可以看到它。

任何有能力處理巨量資料和可以從各種來源收集資料的組織都可以(如果他們想)除去比特幣交易的匿名性。這並不像人們想像中的那樣安全。我們甚至還沒提到惡意軟體是如何地試圖從使用者錢包偷走比特幣。

所以,比特幣會是電子貨幣的未來嗎?我所知道的是,網路犯罪分子喜歡它就跟喜歡真實世界的貨幣一樣,它也有自己的地位和風險。從某些方面看,新的數位貨幣跟舊貨幣沒有兩樣。

想了解更多我對比特幣和其他電子貨幣的想法,請看下面的影片 –

  

@原文出處:Will Bitcoin Succeed?

【 IoT 物聯網新趨勢】穿戴式裝置的潛在安全問題:上篇

趨勢科技 TrendMicro

由於萬物聯網 Internet of Everything (有時亦稱「物聯網」Internet of Things) 的風潮使然,每一家電子產品商店都開始出現全新類型的電子產品。智慧型穿戴式裝置正以您意想不到的速度蔓延開來。雖然不是每個人都會購買 Google Glass,但可以確定很多人都會購買健身記錄器,甚至是智慧型手錶。

所謂「穿戴式裝置」,就是人們日常生活上會穿戴在身上的一些設備。這些設備的作用通常是記錄身體的活動機能,或者顯示其他裝置輸出的內容,兩種用途還可以加乘,讓使用者的生活更多采多姿。

在接下來的一系列文章當中,我們將探討穿戴式裝置可能潛藏的攻擊和風險。但請記住,這只是理論上或概念上的推測,而非已經發生的事實,因此未來有可能發生、也可能不會發生,還得看未來電子產品市場將如何演變,以及歹徒是否有其他更有利可圖的目標。在這兒,我們的目的並非要嚇唬使用者,讓使用者避開這類新式產品,而是要鼓勵廠商從一開始就在產品當中融入安全性。

IOE 智慧型手錶 applewatch

三大裝置類型

穿戴式裝置基本上可分為三大類型:

1.「輸入型」裝置:這些是無時不刻都在記錄使用者資料的感應裝置,例如,幫使用者記錄步伐、距離、能量消耗、卡路里、心跳、GPS 定位等等的健身記錄器。這類裝置通常會先將資料儲存在裝置上,然後再上傳到手機或 PC,然後再同步到使用者的雲端帳號以保留歷史記錄與顯示統計圖表。未來還會出現一些可監控健康狀況 (如體溫、血氧濃度等等) 的醫療裝置。

2.「輸出型」裝置:這些是接收其他裝置 (如手機) 輸出資料的裝置,如智慧型手錶。這些裝置可顯示文字和其他應用程式資料來提升便利性,其顯示的資料通常來自網際網路,並且透過中介裝置傳遞。 繼續閱讀