《 CTO 看趨勢》漏洞揭露 – 開放還是保密？

2013 年 07 月 08 日2013 年 07 月 02 日 Trend Labs 趨勢科技全球技術支援與研發中心

在五月底，兩個Google安全工程師宣布來自Google總部關於零時差漏洞和揭露的新政策。他們強烈建議，已經出現在外的零時差漏洞資訊，廠商應該要在被通知後不超過七天內公布出來。理想狀況下，公告或修補程式都應該由廠商提供，但他們也表示，如果廠商沒有動作，研究人員應該要自己公布詳細的資訊。

這是個非常積極的作法。以微軟為例，對於重要修補程式並沒有設定公布期限：這需要在品質和時效性間尋求一個平衡點。要平衡這兩者並不容易。一方面，仍在活躍中的可攻擊漏洞會讓惡意軟體作者知道廠商的漏洞。另一方面，快速推出的修補程式可能會對應用程式和整體系統有負面影響，讓其更加脆弱。

幾乎每個安全廠商都曾經因為不小心而出現誤報。我們有許多的安全措施，像是白名單比對，但總是會有莫非定律。讓我們的產業因此影響了使用者的電腦。作業系統廠商在進行修補時要更加小心。他們需要有適當的品質保證，因為修補程式將會影響到數百萬台的電腦。

在我看來，七天後揭露的作法是合理而可行的，但期待在這時間內推出修補程式就不合理了。讓我們來看看Google本身會怎麼做。目前，有一個Google Android木馬程式正在擴散，它可以在「設備管理程式」中隱藏自己，讓安全軟體無法看到或試圖去清除它。這有可能是因為Android內的一個安全漏洞造成。Google可以在七天內解決這個問題嗎？讓我們拭目以待…

繼續閱讀

自帶設備（BYOD）的三個黑暗面 – 隱私、個人資料遺失和設備遭竊

2013 年 07 月 05 日2020 年 06 月 16 日趨勢科技 TrendMicro

作者：Cesare Garlati

很多員工並不了解使用個人設備對工作的影響。很多企業也不明白他們事實上為其後果承擔了責任。這篇文章涵蓋了你對自帶設備計畫想知道卻不敢問的事情。

好消息：你的公司提供自帶設備（BYOD）計畫。你終於可以停止使用那無聊的公司配電話，而在工作中使用自己最炫的新iPhone。更棒的是，你現在可以在家裡邊用三星平板檢查公司電子郵件，同時看著YouTube影片。你的公司負擔了部分費用，甚至提供企業級的技術支援服務，來幫你使用這些新玩意。這些看來都是無法拒絕的好處。

壞消息：你加入了公司自帶設備計劃。有天早上你醒來，拿起你的iPad想要看信，但是卻打不開。你的iPad已經掛了，變成磚塊了。在家裡快速地調查了一下，你發現是因為家裡的小傢伙想要在你醒來前猜你的密碼，好去玩憤怒鳥。糟糕的是，企業郵件帳號的安全政策會強制讓iPad進行自我毀滅，以防止敏感的企業資料未經授權被存取。現在比那些有名的鳥們還憤怒了嗎？等一下之後你會發現設備本身還是可以救回來，企業資料也都可以回復。但你的照片、影片和歌曲都不見了。永遠消失。註：上述例子是個真實故事，我兒子的名字是Luca。

如果你已經被嚇到了，那就不要再看下去了。這些還並不是會發生在你資料、隱私和設備上最壞的狀況。用自己的個人設備來工作的員工大多會驚訝地發現，他們的智慧型手機、平板電腦和筆記型電腦可能牽扯進公司的訴訟案件。員工可能會被要求交出他們的個人設備（包括裡面的瀏覽記錄、個人資料和他們建立的文件），因為它們可能會在訴訟過程中受到第三方團體審查。

當你加入公司自帶設備的計畫時，如果你太過心急而沒有仔細閱讀使用政策就加以接受，或你那時根本也不想知道到底會遇到什麼，現在可能是個好時機去詳讀文件或聯絡你的IT/HR部門以確認詳情。這裡有三件關於公司自帶設備需要確認的事情，不要害怕問出口：

個人資料遺失。當你將個人的智慧型手機、筆記型電腦或平板電腦用在工作上（像存取公司電子郵件、行事曆或企業目錄），公司很有可能會用內建功能和額外的軟體工具來保護和管理你設備內的資料。作為第一道防線，很多公司都會強制執行ActiveSync策略，這被預裝在大多數消費性行動設備內，來強制密碼保護、遠端刪除和鎖定。更先進的IT部門可能會要求安裝另外的行動設備管理軟體，好讓企業IT可以將管控延長到你設備上的應用程式和功能。雖然安全性和可管理性是公司所該關心的事，大多數自帶設備計畫所用的工具並不會明確地區隔開個人和企業的資料與應用程式。結果就是，當未經授權存取事件發生時（真正發生或推測），設備內的內容或多或少會被自動刪除，設備本身也會變得無法使用。如果你不害怕答案，你應該要問下列問題：我在設備上的資料很容易就被自動或遠端刪除嗎？什麼事件會觸發自動刪除？遠端刪除是標準離職步驟的一部分嗎？遠端刪除會告知我或需要我同意嗎？在自動或遠端刪除後，我的個人資料還會保留嗎？公司有提供恢復已刪除個人資料的方法嗎？我可以要求因為個人內容，像是歌曲、影片或應用程式刪除所造成損失賠償嗎？
隱私。從法律角度來看，你擁有個人設備這件事和訴訟本身無關。為了要發掘和保存證據，法院可能需要鑑識審查訴訟中所有相關的設備。自帶設備計劃的參與員工可能會被要求交出個人設備給第三方團體檢查。你將被迫讓所有儲存在你設備上的個人資料被存取。這包括網站瀏覽記錄、下載和播放過的歌曲和影片、金融交易副本、你的個人聯絡人以及你和他們之間的電子通訊（包括個人電子郵件、個人電話、簡訊和各種社群媒體活動，包括Facebook、Twitter和VoIP服務，像是Skype等等）。這會延伸到任何共用該設備的其他家庭成員或第三方人士的個人資料。儲存在設備中的個人資料並不是唯一要擔心的隱私問題。你的位置和網路活動也可能會透漏給你雇主所知。繼續閱讀

甲骨文加強JAVA安全 – 這對一般使用者來說代表什麼

2013 年 07 月 04 日2013 年 07 月 08 日 Trend Labs 趨勢科技全球技術支援與研發中心

作者：Pawan Kinger（弱點研究經理）

甲骨文發表一篇部落格文章敘述（及希望）會提高Java的安全性。從那之後，我問過了幾次：這指的究竟是什麼和這對一般使用者來說代表什麼？

首先，甲骨文談到他們現在如何處理安全修補程式。他們指出最近的修補程式有些什麼，事實上，它們比以前的修補程式解決更多安全漏洞。更重要的是，Java的更新時間表已經和其他Oracle產品線一致：每三個月就會推出一次修補程式，從今年十月開始。這應該有助於讓潛在問題被攻擊者利用前，能夠得到更迅速的解決。當然，甲骨文也會繼續替關鍵漏洞提供時間表外的更新。

Java也已經被納入甲骨文的軟體安全保障政策。一旦被納入，舉例來說，甲骨文現在就會使用自動化安全測試工具，來防止修正錯誤時出現回歸和新的問題。這是個好消息，因為它意味著未來將可以更快速的修補問題。

接下來，他們談論自己是如何地努力在提高Java的安全性，因為它會被用在瀏覽器中。比談論過去做過什麼更重要的是，甲骨文將會盡快推行的是什麼：未來版本的Java將不再允許未經簽章或自行簽章的應用程式執行。目前尚不清楚會何時發生，但如果這麼做，將會讓Java的安全性有顯著的增加。這代表攻擊者將不得不購買或是盜用簽章金鑰，好讓他們的Java程式可以執行：雖然這沒辦法阻止一個真正堅持的攻擊者，但對於不是那麼針對性的攻擊將會減少。此外，Oracle還致力於改善Java如何處理被撤銷的簽章，所以這程序可以在以後被預設打開。

繼續閱讀

行動隱私的4W和1H

2013 年 07 月 03 日2014 年 02 月 10 日趨勢科技 TrendMicro

這篇下載APP軟體　信用卡遭盜刷16筆報導指出台北市1名30歲陳姓男子，凌晨接獲信用卡刷卡通知，在10分鐘內遭盜刷16筆，共6869元的消費金額，陳先生嚇的立即報案。
以下這篇文章教你如何保護行動隱私

你已經玩了手上的新玩意好幾天了，發送電子郵件、下載應用程式、瀏覽Facebook等一些諸如此類的事情。突然間，那些討厭的彈跳視窗就佔領了你的畫面。

這是個和你現在所做事情完全不相干的產品網頁。但你記得之前看到這頁面。可能是因為你曾經搜尋過它，但為什麼突然間它會自動幫你搜尋？

這只是個隱私被侵犯的例子，即便你只是在用行動設備。你會做些什麼來保護自己的隱私，對抗這類的行動威脅？

Who？

你和你的權力之於行動隱私

聯合國認為隱私是每個人的固有權利。^註1每當有人試圖存取你的個人資訊，就會侵犯到這權利，不管是任何形式或平台，只要未經法律程序或你的同意。比方說，如果有朋友借用你的智慧型手機來偷看你的Facebook帳號，他或她就侵犯了你的隱私。

網路犯罪份子對於侵犯行動隱私已經是惡名在外了。他們開發類似資料竊取程式的惡意應用程式，將目標放在你的個人和財務資訊。免費而高風險的應用程式也造成了些隱私問題，因為它們所收集資訊的數量和類型。比方說，一些德國熱門的Android應用程式可能會洩漏你的位置，設備認證資訊和通訊錄。^註2

What？
要注意的重點區域

你設備的連線功能

你設備的連線功能讓網路犯罪分子能夠從你身上獲取資訊。這些功能就像是個鎖上的門，他們要想辦法打開進去。像藍牙和無線網路這兩個例子，它們的目的都是為了讓通訊更加方便，但它們也可能被用在惡意用途上。網路犯罪分子已經在Mac電腦上利用INQTANA蠕蟲做到這一點，它可以發送惡意檔案到接受的藍牙設備上。這個蠕蟲程式會讓電腦面臨更多的惡意後果，像是惡意軟體和資訊竊取。

越來越多製造商也正在將近距離無線通訊（NFC）標準加到設備上。這項技術可以讓你分享內容、進行付費動作或是輕觸一個掃描器來執行其他外部交易。就像聽起來那樣的方便，讓它也可能成為惡意行為的入口。^註3

你的設備設定

對於預設系統設定的強烈建議就是，你可以進一步最佳化它以增強保護。這代表你可以改變行動設備的安全設定，確保不會有人可以輕易地去存取它。

你的行動行為

有了行動設備會讓你更頻繁地逛網路，但當它牽涉到安全性時，它有改變你的行為嗎？請記住，你面對行動威脅時會變得更加脆弱，當你沉浸在手機活動，像是社群網路、購物和銀行時。過分分享、不檢查應用程式權限和點擊惡意連結都是在對網路犯罪份子的邀請。

提到使用應用程式，你必須要小心行動廣告軟體。雖然大多數廣告網路是完全合法的，但有一些已知會收集個人資訊和將廣告以通知的方式派送，往往都沒有經過使用者的同意。^註4

至少有7000個免費應用程式使用了侵略性廣告模組，直到2012年10月為止，被下載了超過100萬次。

How？

「隱私陷入危險」的情境

免費應用程式

誰不喜歡免費的東西？有數以千計的免費應用程式來自合法和第三方應用程式供應商讓你選擇。但是，免費下載應用程式往往有個要考量的地方：免費服務換取你的個人資訊。^註5

令人驚訝的是，大多數的消費者（73％）願意用個人資訊交換一些回報（比方說免費的行動服務）。請記住，即使你只給出最小程度的資訊，像地址或生日，網路犯罪份子也可以拿來利用。

設備遺失或被竊

在2012年9月所做的調查顯示，將近三分之一的手機使用者遺失或被偷了手機^註6。即使你想要保護你的應用程式和設備設定，當你遺失了手機，上面的資料還是會讓你陷入棘手的局面。更何況被竊手機和裡面所包含的資訊現有可以在市場上獲取豐厚的利潤。^註7

一再變更的最終使用者許可協議（EULA）

你之前也遇過，那些網路服務會要求你同意他們可以隨時變更他們的最終使用者許可協議而不另行通知。家庭電影供應商 – Blockbuster.com曾在法庭上被拒絕將該行加入到他們的隱私政策內。^註8

但這似乎沒有阻止熱門的服務將那些值得注意而可能會不利於使用者隱私的條款放入最終使用者許可協議內^註9。如果沒有詳讀最終使用者許可協議，你可能已經允許開發商去販賣自己的照片、追蹤你的網路活動或交出個人資料給有關當局。

自帶設備（BYOD）

有四分之三的企業允許員工使用自己的個人設備（像筆記型電腦、小筆電、智慧型手機和平板電腦）去處理與工作相關的事情^註10。隨著自帶設備的趨勢繼續發展，網路犯罪份子也有了動機去越過你的防禦，可以同時存取到你的個人和工作資訊。

而且不只是網路犯罪分子。你們公司的IT部門也可能透過一組不會區分個人和工作資料的協定，讓他們可以存取你的資訊。

你的設備也可能被用在法庭當做證據。你可能會被要求提交設備以進行調查，包含裡面所有的資料，即使只有工作相關資訊和案件有關。^註11

Why？

一切都是為了錢

網路犯罪份子只有一個目的：錢。你的行動設備對於網路犯罪份子來說，只是一個可以攻擊的點。他們可以竊取你智慧型手機和平板電腦上儲存的資料，然後想辦法利用它們來獲利。

而就跟你的資料一樣，你的聲譽也是危在旦夕，如果網路犯罪分子找到什麼把柄可以對付你或你所代表的組織。有些惡意軟體，像Android上的簡訊間諜工具，可以竊取私人簡訊並上傳到遠端伺服器上。

當侵犯隱私的事件發生時，你會損失什麼就取決於你是如何使用你的行動設備。

Ｗhat Now？

加強你的隱私

想到我們所討論的這些問題，侵犯行動隱私對網路犯罪份子來說可能是非常容易。然而，你還是可以做些什麼來防止成為類似情境的受害者。

遵照這個檢查列表：

變更隱私和瀏覽器設定來控制你的行動設備會分享多少資訊。你可以在這裡調整位置和網路分享設定。
啟動螢幕鎖定，並且每三個月變更一次密碼以盡量減少被駭客攻擊的機會。
從你的行動設備裡刪除會讓你覺得不妥的照片、影片和檔案。繼續閱讀

< APT目標攻擊 >冒用健保局名義,攻擊中小企業案,使用惡名昭彰的Gh0st遠端存取木馬

2013 年 07 月 02 日2013 年 07 月 04 日趨勢科技 TrendMicro

作者：Maharlito Aquino（威脅研究員）

從逮捕勒索軟體集團的首腦之一，到成功打下Rove Digital(請參考:趨勢科技協助 FBI 破獲史上最大殭屍網路始末)，我們可以時常地看到執法單位和安全廠商間的合作行動，並且有著豐碩的成果。這一次，台灣刑事單位和趨勢科技合作偵破駭客假冒健保局,盜取萬筆中小企業個資案件，解決利用知名的Ghost遠端存取木馬家族所進行的APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)目標攻擊。執法單位也逮捕了一名對象。

BKDR_GHOST（又名Gh0st遠端存取木馬或TROJ_GHOST），是有名的遠端存取木馬（RAT），常常被用在目標攻擊，也被資安威脅份子和網路犯罪分子廣泛的使用。

在這起目標攻擊內，攻擊者透過特製的魚叉式網路釣魚（Phishing）電子郵件將BKDR_GHOST派送給不知情的目標。上述郵件包含一個會去自動下載該惡意軟體的連結。而且它會偽裝成健保局的來信，好產生足夠的說服力來吸引目標點入並執行這惡意軟體。

為了避免被偵測，攻擊者將這些電子郵件設計成為包含一個連結，將使用者導到一特定網站，並自動下載看起來是官方檔案的RAR壓縮檔。此外，為了進一步讓使用者願意去打開壓縮檔內的檔案，攻擊者利用了一個舊卻有效的文件命名詭計，將多個空格加到文件副檔名（在這案例內是DOC）和可執行副檔名（在這案例內是EXE）之間。這方法還是很有效，多個空格會將真正的副檔名隱藏起來，因為壓縮檔視窗並不大。趨勢科技的威脅解決方案可以利用ATSE 9.740.1046來將利用這種伎倆的惡意軟體偵測為HEUR_NAMETRICK.A。

BKDR_GH0ST感染鏈

一旦使用者打開偽裝的惡意軟體，它實際上是個可執行壓縮檔，就會產生下列的檔案並執行：

%WINDIR%\addins\ACORPORATION.VBS（偵測為VBS_GHOST）– 執行Gh0st遠端存取木馬安裝腳本（AMICROSOFT.VBS）
%WINDIR%addins\AMICROSOFT.VBS（偵測為VBS_GHOST） – 解壓縮有密碼保護的Gh0st遠端存取木馬壓縮檔（f2o.zip）
%WINDIR%\addins\Atask.bat（偵測為BAT_GHOST） – 搜尋以下檔案並用解開的Gh0st遠端存取木馬組件來加以覆蓋：
- AdobeARM.exe
- jusched.exe
- Reader_sl.exe
- %WINDIR%\addins\f2o.zip – 包含兩個BKDR_GHOST變種，執行類似的惡意行為：
  - put.exe（偵測為BKDR_GHOST）
  - cd.exe（偵測為BKDR_GHOST）

一個較不被注意的行為是BKDR_GHOST會將最終檔案儲存在有密碼保護的壓縮檔（f2o.zip）內，它的密碼可以在安裝腳本AMICROSOFT.VBS內找到。一旦執行這些BKDR_GHOST惡意檔案，攻擊者就對這些受感染電腦有完全的控制能力，可以執行他們惡意的計畫，存取整個系統，並擷取珍貴的資料，像是個人檔案。