標籤: 網路安全

五個常見的家庭網路威脅

趨勢科技 TrendMicro

對於一般的使用者來說,要保護好電腦幾乎可以說是不可能的任務。光是要搞清楚得注意什麼可能就是個大挑戰。什麼樣的威脅對一般的使用者來說很重要,又該如何避免?

1.勒索病毒: 遇到「Drive by download路過式下載,瀏覽惡意網頁就會中毒

勒索病毒 Ransomware (勒索軟體/綁架病毒)目前對普通的使用者來說是最大的威脅。這種惡意軟體會加密使用者的資料,並威脅受駭者,除非付出相當於數百美元的比特幣(Bitcoin)贖金,不然就會永久鎖住或刪除檔案。

有網友在論壇上求助,說想利用連假在網路上看電影,電影看完了,電腦裡所有檔案卻都打不開了,原來是中了惡名昭彰的 Cerber勒索軟體 Ransomware,並被要求支付約台幣1.7 萬的比特幣(Bitcoin)才可解鎖,更慘的是用公司的電腦 !

Cerber 病毒並沒有銷聲匿跡,近日有許多網友在臉書上求救的幾乎都是 Cerber,一堆”覺得悲傷”哭哭的表情符號”疫”發不可收拾。

還有網友自我解嘲說:

“我發誓! 我真的只有看《師任堂》,難道是李英愛傳染給我的?”

提醒您:如果電腦有軟體的修補程式沒有更新的話,遇到「Drive by download」路過式下載(隱藏式下載、偷渡式下載、強迫下載,網頁掛馬)攻擊,瀏覽惡意網頁就會中毒。

另外,駭客也可能將夾帶勒索病毒的壓縮檔放在非官方的影片下載網站上,除了養成平時備份檔案的習慣,使用防毒軟體 可以未雨綢繆,避免檔案成肉票。

繼續閱讀

2016年十大重大網路資安事件

趨勢科技 TrendMicro

最麻煩的惡意程式:Mirai

分散式阻斷服務 (DDoS) 攻擊是2016年最受矚目的焦點,因為2016年出現了多起大型攻擊案例,而其幕後的幫兇就是 Mirai 惡意程式。這個 ELF 惡意程式會將受害裝置變成可用來發動 DDoS 攻擊的殭屍裝置。ELF 是 Linux 與 UNIX 系統共通的一種檔案格式,也就是說今日許多物聯網 (IoT) 裝置都有可能成為受害者。

在 Mirai 殭屍病毒原始程式碼在去年公開流傳之後,沒多久就被駭客用來刺探各種智慧家庭裝置,並且以預設的帳號密碼登入這些裝置,使得成千上萬的智慧裝置淪為殭屍網路的成員,幫助駭客發動多起史上最大規模的分散式阻斷服務攻擊 (DDoS)攻擊。其中一起攻擊據說曾經一度中斷了非洲國家利比亞的網路。不過,最受矚目的受害案例是 Dyn 這家DNS 服務廠商,該公司一些知名客戶的網站因而無法瀏覽,例如: Twitter、Reddit、Spotify 以及 SoundCloud。


繼續閱讀

六個降低家用網路陷入安全風險的小秘訣

趨勢科技 TrendMicro

我們生活的世界越來越數位化,根據統計,今日每十個人就有九個是從網路接收新聞訊息,半數的人從網路收聽音樂,60% 的美國人在 Netflix 上觀賞影片,大約每天花費兩個小時收發訊息或上社群媒體。然而,儘管我們的生活習慣越來越仰賴行動裝置,但我們有大部分時間仍是透過家用網路上網。這看似美好的一切其實暗藏著危機:歹徒早已洞悉上述發展,因此也早已盯上我們。

再安全的系統,遇到脆弱的環節也可能不堪一擊,家用網路也不例外。因此,你該如何確保家中不熟悉科技產品的成員不會引狼入室?趨勢科技根據 27 年來保障客戶的經驗,在此整理了一些最佳安全實務原則供你參考。

FAMILY

威脅從何而來?

今日網路威脅無孔不入:電子郵件、網站、甚至行動裝置。若你對這問題的嚴重性還存疑的話,請參閱趨勢科技最新的「2016 上半年資訊安全總評」。根據該報告指出,趨勢科技光是今年上半年就攔截了 290 億個威脅。這數量已超越 2015 年一整年數量的一半以上,顯示威脅正急速成長。 繼續閱讀

Fun 暑假,這十件事跟防曬係數一樣也值得你關心

趨勢科技 TrendMicro

放暑假囉!全家計畫出遠門旅行度假時,大多數人都會花點時間去確認房子是安全的。我們可能會請鄰居過來幫忙收信、開關窗簾,並且會全部巡過一遍。我們會鎖好所有的門窗,甚至可能會設定計時器來定時開關燈,讓別人以為房子內還是有人在的。但是當我們旅行時,我們會同樣精明地去維護我們數位生活的安全嗎?

同場加映:放暑假宅在家的孩子們,都在網路上做些什麼事呢?忙碌的父母們該如何確認孩子們不會掉入網路陷阱?

以下是十個小測驗,如果你無法明確知道答案,請按連結看詳細說明:

  1. 使用公共的手機充電器安全嗎?
  2. 借用別人的 Wi-Fi 上網安全嗎?
  3. 付費的公共無線網路安全無虞?
  4. 著名景點如迪士尼樂園,紐約時代廣場,Wi-Fi相對安全?
  5. 分享照片在社群網站(如 Instagram)有可能洩漏居家位置嗎?
  6. 在五星級飯店刷卡會發生個資外洩嗎?
  7. 旅途中打卡拍照上傳要注意哪些事?
  8. 上飛機前一定要來個自拍上傳 FB ?
  9. 吃大餐時一定也要拍照上傳?
  10. 家有宅童,忙碌的父母該如何確保兒童上網安全?

繼續閱讀

加速SHA-1憑證棄用時間?

趨勢科技 TrendMicro

作者:Chris Bailey(趨勢科技SSL總經理)

 

SHA-1憑證更換成SHA-2憑證的期限可能會提早到2016年6月1,而非原先的2016年12月31日。

在2013年,微軟宣稱SHA-1憑證會在接下來幾年出現顯著的安全問題,因此在2016年1月1日過後不能再簽發。大多數瀏覽器在微軟的帶動下也表示將會在2017年1月1日停止支援SHA-1憑證,要求伺服器所有者在期限前升級到SHA-2憑證。Google Chrome已經在瀏覽器介面上對於會在2016年到期的SHA-1憑證顯示警告標誌(圖A),以及2016年後過期的SHA-1憑證顯示不安全標示(圖B)。

 

圖A

圖B

最近的發展

你可能在最近看過一篇學術研究表示SHA-1憑證易受駭客攻擊,所以憑證並不如之前所想的那樣安全。報導也舉用了這項研究。

因為此一對網站管理者的新安全風險,各大瀏覽器都在考慮要立即變更計劃。例如,Mozilla可能在2016年7月1日在其瀏覽器介面和應用程式棄用SHA-1憑證,而非2016底。微軟正在考慮提前緊急棄用日期到2016年6月1日。

Mozilla部落格:https://blog.mozilla.org/security/2015/10/20/continuing-to-phase-out-sha-1-certificates/

微軟部落格:https://blogs.windows.com/msedgedev/2015/11/04/sha-1-deprecation-update/

如果這些提前棄用日期被確認,你所使用的SHA-1憑證在2016年6月1日可能會導致使用者訪問你網頁在瀏覽器介面上出現安全警示。這些瀏覽器廠商甚至可能會要求憑證中心(CA)如趨勢科技在2016年6月1日的提早棄用日期撤銷所有SHA-1憑證。

 

給你的強烈安全建議

因為這些發展,如果你的伺服器仍在使用SHA-1憑證,趨勢科技強烈建議你在2016年5月31日前更換為SHA-2憑證。可以的話越早越好。

此外,當你確認已經安裝了新的SHA-2憑證,我們建議你接著要撤銷舊的SHA-1憑證。

在更換SHA-1憑證前,必須先檢查你的伺服器和系統軟體是否支援SHA-2憑證。以下是CA Security Council在2014年所列出支援SHA-2的部分系統:

 

https://casecurity.org/wp-content/uploads/2014/09/SHA256-Support-List.pdf

 

我們了解此一建議可能對產生額外的負擔,但我們相信對於你的系統安全會有顯著的改善。

 

Chris Bailey的自介:

Chris Bailey是趨勢科技SSL的總經理。在此之前,Bailey擔任憑證中心(CA) – AffirmTrust的執行長兼共同創辦人,於2011年被趨勢科技所收購。他同時也是GeoTrust的共同創辦人兼技術長,這是VeriSign在2006年所併購的世界主要憑證中心(CA)。Bailey也是CA/Browser論壇CA Security Council的創始會員之一。

 

@原文出處:Accelerated Deprecation Date for SHA-1 Certificates?