隱私權與安全的決擇:雲端廠商能在兩者之間取得平衡嗎?

趨勢科技 TrendMicro

趨勢科技2013 年預測當中預測了網路犯罪者將會濫用合法的雲端服務來從事非法活動。很不幸的,這件事已經成真,而且就今日的局勢來看,情況不太可能好轉。

例如,我們看到一波垃圾郵件(SPAM)行動將 Dropbox 當成惡意程式的集散地。這並非合法雲端服務遭到惡意濫用的唯一個案,只是最近較引人注意的案例而已。

Cloud2

此問題並不僅限於單一熱門服務而已,其他諸如 EvernoteSendspace 等網站也都曾經遭人濫用。我們不禁要問,這些服務是否能夠防止同樣的事件再度發生。不過,我們也聽到了另一種要求的聲音:隱私權。

今日的人比以往更在意自己的資料是否被政府看到,或者被服務供應商用於牟利。因此,人們會要求更多的隱私權。例如,對於雲端儲存服務廠商,人們可能會要求廠商不能知道他們在伺服器上存放了什麼檔案。對廠商來說,客戶的資料將只是一堆無法解開的機器碼,毫無意義。

但資料隱私與資料安全基本上存在著一些衝突。舉例來說,儲存服務廠商希望能防止其服務遭歹徒用於散布惡意程式,所以就採用了一些強大的軟體解決方案,如:檔案掃瞄、沙盒 (Sandbox) 模擬測試等等,來檢查所有上傳的檔案。先不論成本和伺服器規格必須因而提高,這樣的作法「還」可能被許多使用者視為一種監視行為。(在今日的氛圍下,這樣的指控很容易就能摧毀一家公司。)

另一種相反的情況是:廠商提供完全私密的儲存空間,「所有的」加密都在使用者裝置上執行,廠商對其網站上所儲存的內容全然不知。這樣服務肯定會被歹徒所利用,雖然雲端廠商必須滿足合法客戶對於安全與隱私權的要求,但卻會造就一套無法偵查使用者非法行為的系統。

當然,前述兩者都是極端的情況,不過卻也點出所有雲端供應商皆必須面臨的決擇。廠商必須找到一個符合其策略和商業模式的平衡點。然而,這就意謂其服務不可避免地會遭到某種程度的濫用,而且很可能被視為做生意的必然代價。 繼續閱讀

錯誤的資料外洩通知個案:Ubisoft 資料外洩通知信件

趨勢科技 TrendMicro

倘若您的企業不幸必須通知客戶有關資料外洩的情況,千萬不要在密碼重設通知信件當中提供連結,這等於鼓勵客戶養成不安全的習慣,使得他們很容易在這類事件發生之後遭到網路釣魚(Phishing)攻擊。請務必建議客戶自行前往您的網站,然後依照畫面上很容易找到的指示操作。

phishing pssword2

Rik Ferguson | 趨勢科技全球安全研究副總

我收到一封來自遊戲出版商 Ubisoft 的資料外洩通知信件,信件內容表示:

「最近我們發現駭客入侵了我們其中一個網站,並且擅自存取了我們的線上系統。我們立即採取了必要措施來阻止存取,同時亦著手調查此次事件,並且復原遭入侵的系統。

 

在這過程當中,我們發現我們的帳號資料庫已遭非法存取,包括:使用者名稱、電子郵件地址,還有已加密的密碼。請注意,Ubisoft 並未儲存任何個人付款資訊,因此您的扣款卡/信用卡資料並未受到此次入侵影響。

 

有鑑於此,我們建議您修改下列帳號的密碼:<帳號名稱>。」

此外,Ubisoft 部落格上的進一步說明指出,駭客使用了偷來的帳號密碼來非法存取該公司的系統。
接著,通知郵件表示:「為了謹慎起見,我們也建議您至任何您使用相同或類似密碼的網站上修改密碼。」這一點在這類情況之下確實是一項良好建議,但若仔細推敲 Ubisoft 的部落格內容就會發現,其情況可能比「為了謹慎起見」更加危急。

該公司的部落格文章表示:「密碼並非以純文字方式儲存,而是以編碼過的數值儲存。這些數值無法逆向解開,但卻可以強行破解,尤其是當密碼強度不足時。這就是為何我們建議使用者修改密碼。繼續閱讀

三個良好的近距離無線通訊(NFC)使用習慣

趨勢科技 TrendMicro

作者:Ben April(資深威脅研究員)

我在瑞士的hashdays安全會議上談論了關於近距離無線通訊(NFC)的安全性。具體來說,是關於個人和企業可以如何安全地使用它。

雖然NFC技術還沒有被廣泛的使用,但早期採用者(像是這部落格的許多讀者)已經在生活裡開始使用。有些手機製造商也開始宣傳著他們的行動設備有加入NFC技術。在我的談話裡,我討論了哪些NFC應用可以被視為安全,而哪些還只是「方便」而已,以及企業可以做些什麼來保護他們的客戶安全。和哪些NFC功能應該被設計實現或完全避免。

安全 safty first

對於一般使用者,我談話裡最重要的一部分是他們可以如何保護自己的安全。養成良好的NFC使用習慣是從來不嫌早的。哪些習慣可以讓你保持安全呢?它們就是:

 

  1. 將行動設備上鎖。一般來說,設備必須要開啟或解鎖時才可以讀取NFC標籤。只要簡單地將螢幕上鎖(即使沒有設定密碼)就可以保護使用者免於這些威脅。
  2. 至於被動標籤,可以利用RFID/NFC阻斷裝置(像是錢包)。被動標籤會在NFC範圍下發射固定的訊息,這代表如果隨身攜帶這些設備而沒有使用阻斷裝置會有些微的隱私風險(防靜電袋也可以阻斷RFID設備)。對於行動設備來說,因為設備上鎖時將會自動關閉NFC讀取器,所以就沒必要進行這項預防措施。
  3. 在行動設備上使用NFC讀取應用程式。在預設狀況下,如果有在NFC標籤內偵測到網址的話,大多數行動設備就會去打開它。如果你無法確認這標籤的話,就不應該盲目地打開它。可以利用像NFC TagInfoNFC TagInfo by NXP的應用程式來預先讀取標籤。這應用程式可以告訴你標籤上有什麼資訊。可以幫助你判斷是不是要去掃描它。 繼續閱讀

< 網路危機 > 從臉書的社交圖表搜尋(Graph Search),再談網路隱私

趨勢科技 TrendMicro

Facebook擁有超過一億的活躍使用者,這些人每個月至少會登入一次。不管我們喜不喜歡,這世界已經因為Facebook社交圖表搜尋(Graph Search)的出現而變得更加緊密。簡單地說,它讓你可以利用社交工程在Facebook內進行詳細的搜尋。這新搜尋引擎的可能結果就跟它字面上一樣令人興奮。

FB 臉書交友邀請

只要簡單地在搜尋欄中輸入查詢字串就可以完成社交圖表搜尋:

 

如果你的放大鏡已經改變了,代表你現在使用的是社交圖表搜尋。

試著輸入「我的朋友的朋友的朋友」,你會很驚訝地發現可以看到什麼。

這裡可以使用到三度分離。你也可以輸入「不是我朋友的人」來看看誰可能是潛在的朋友。

右手邊會出現一個新的「加強搜尋」對話框:

 

 

 

這正是最有趣的地方

突然間就有了全新的選項。現在,為了避免我太太想跟我離婚前先聲明,這次搜尋只是為了實驗目的,真的!

我有個朋友剛剛抵達墨爾本,他想要找個理想的對象:我現在可以細化搜尋結果,比方說「我朋友的朋友的朋友」,並且具備以下條件:

  1. 女性
  2. 單身
  3. 23-29歲之間
  4. 住在澳州墨爾本

 

突然間,我的朋友有了超過100個可能的約會對象,只要透過Facebook的社交圖表搜尋!

社交圖表搜尋的危險在於,你所喜歡或不喜歡的任何事物、宗教或政治觀點,現在都可以用來識別你。

繼續閱讀

間諜軟體利用偷來的Opera電子憑證來隱藏自己

趨勢科技 TrendMicro

作者:Alvin Bacani

Opera 表示有攻擊者入侵了他們的網路,並且偷走了至少一個的過期Opera程式碼簽章用憑證。攻擊者再拿這個憑證來簽章自己的惡意軟體,以騙過目標系統,甚或是安全軟體去認為這檔案是合法的。

hacker with mask2

 趨勢科技取得了上述惡意軟體的樣本,這個惡意軟體(被偵測為TSPY_FAREIT.ACU)帶有過期的Opera電子憑證(見下面的截圖)。就跟Opera所報告的類似,我們所收到的樣本會偽裝成Opera的更新程式。

一旦執行,TSPY_FAREIT.ACU會從特定FTP客戶端程式或檔案管理程式竊取重要資訊,包括使用者名稱、密碼和伺服器名稱。

圖一、被竊的舊Opera電子憑證截圖

 

除了FTP客戶端程式外,TSPY_FAREIT.ACU還會從瀏覽器收集更多儲存

在這些瀏覽器內的資料(包括Mozilla Firefox、Google Chrome還有Opera)。這些資料通常是社群網站、銀行和電子商務網站等的登錄憑證。有了這些資料,這惡意軟體的幕後黑手就可以掌握你的各種網路帳戶,甚至進行未經授權的交易。他們也可以將這些偷來的資料賣給地下市場以賺取利潤。 繼續閱讀