案例之一是一名年輕女性被一家宣稱是設立在紐約的投資公司所召募。這家公司透過電子郵件接觸這名女性,聲稱是從熱門的人力網站找到她的履歷,並提供她一份在家工作的“金融經理”職位。這位女性基於自己上一份職位是薪資經理而因此認為此工作是量身定做。
在回覆了召募電子郵件後,她被要求提供大量的個人與金融資料,包括駕駛執照和銀行帳戶的掃瞄影本。
投資公司通知這名女性在她的銀行帳戶會收到高達1萬元(美金)的金額,要她提領後留下8%的佣金,再將餘額經由西聯匯款(West Union)匯到投資公司戶頭。在存入第一筆轉帳後,女性使用的銀行發現詐騙手法並立即關閉她的帳戶。經過數日的審核後,銀行認定該名女性為空頭投資公司錢騾詐騙手法的受害者之一。 繼續閱讀
作者:Mark Nunnikhoven(趨勢科技首席工程師)
所有的影片都已經上傳到YouTube,有一大堆精彩的內容等著你去看。也正因為這樣,想看完全部幾乎是不可能的任務。
但別怕,我在這些講座裡潛水了好一段時間,選出了我最喜歡的幾段。下面是我心目中的前五名,加上我覺得你會感興趣的原因:
1. 由一到多:進化的VPC設計
VPC是個很大的題目。有許多種可能的設定。看看來自AWS的Robert Alexander介紹幾個真實環境的設計,從簡單到非常複雜都包含在內。這場講座是400等級(ARC401),可以預期有相當高的技術程度。
通過VPC服務來了解可用選項是成功部署的關鍵。學習到有哪些可能性,以及更重要的,現實世界裡有什麼可以幫你成功的跳到雲端部署。
最起碼要看完簡報資料。不過幫自己一個忙,花一個小時的時間來看看這段影片。
2. 利用Chef部署「英雄聯盟」資料流
這場架構主題區內的講座(ARC205)介紹Riot Games如何利用Chef來打造它們遊戲「英雄聯盟(LOL)」背後的資料流。裡面詳實的討論了他們為了達到目標而所做的一些決定。
3. 介紹Amazon Kinesis:即時串流處理
這場30分鐘的談話很好的介紹了Amazon Kinesis背後的概念和動力。這是場平易近人的講座(因此是100等級,BDT103)。
還有更多關於Amazon Kinesis的談話,但如果你想知道它到底是什麼,先從這影片或簡報資料開始。
順帶一提,我已經將Amazon Kinesis放在我的新手演出裡。Amazon Workspaces很棒(很快更多相關介紹),還有Amazon AppStream也是。兩者大幅超前同領域裡原本的解決方案,但是Amazon Kinesis將這類型的處理方式帶給全新的對象。
4. 掌握存取控制政策
通常沒有比要求花一個小時來觀看一場關於存取控制政策談話更快讓人睡著的方法了。但是Jeff Wierer在SEC302改變了這個狀況。這場關鍵的講座裡藉由清晰的談話提供了大量的資訊。
到處都是重點,可以說這份簡報資料裡藏著許多寶藏等待發掘。如果你正利用AWS做些什麼,花點時間看看Jeff的談話。
5. 搬遷企業應用程式到AWS:最佳實踐與技巧
在這300級(ENT303)的講座裡,來自AWS的Abdul Sathar Sait和Tom Laszewski詳細介紹了將傳統企業應用程式部署到AWS雲端環境所會面臨的挑戰。
這裡面包含了許多很棒的資料,不僅可以幫你瞭解該如何做,還有為什麼。你應該要來看看將「典型」企業工作負載搬遷到AWS上。
每年接近這個時候,就有許多人開始四處去拜訪朋友和家人,或是到世界各地的某個地方遊玩。不過這裡也有個新問題:「我在旅途中要如何上網?」
許多旅客現在都會預期無線網路是自己旅程的一部分 – 無論是在機場、空中、旅館還是旅遊景點。一份2013年的研究顯示,全世界有64%的旅館提供某種形式的免費無線網路。有些航空公司甚至提供全程的無線網路,確保你不會離線。
不幸的是,有一個很大的問題。提供給旅客的無線網路通常是開放的無線網路:這代表著它面對任何攻擊者時都不安全。對於攻擊者來說,想要從開放熱點截取網路甚至是做個假熱點來執行中間人攻擊都是輕而易舉的事。無線保護存取(WPA)可以防止別人看到你的流量,不過必須無線基地台做好設定才行。
即使有提供「安全」的網路,也不能保證就會安全:你可能會連到一個擁有跟真正網路相同名稱和密碼的惡意無線基地台。想要建立惡意無線基地台很容易:只要知道密碼,任何人都可以建立相同的無線基地台。即使你連到真正的網路,攻擊者可能和你在相同的網路內。跟你無法真正相信的人在同個網路內很難保證安全。
另一方面,也有很好的理由使用免費的無線網路。許多使用者不是有封包量的上限,就是漫遊費用太貴。當你出國旅遊時,想要進行資料存取總是很難既輕鬆又便宜。旅行應用程式在旅途中很有用 – 比方說,它們可以在不熟的地方指點方向,或是告訴你會特別想看或想吃的地方。
那怎樣才能讓使用者安全的使用免費無線網路呢?慢慢地,可以發現只有一種作法可行:使用虛擬專用網路(VPN)。
VPN通常是為了想要安全地連上公司網路的商務旅客而出現。不過現在,它們也代表在無線網路攻擊風險下能夠安全使用無線網路而又相對便宜的作法。有許多有信譽的VPN服務供應商提供免費和付費的服務,而且付費的服務也並不是很貴。跟帳號被入侵的可能後果比起來(在開放的無線網路下很有可能),這樣的服務非常值得。
這些服務並不難使用。iOS和Android都內建支援VPN,而且所有有信譽的服務都會提供指南介紹如何設定你的行動設備。
圖一和二、iOS和Android的VPN設定位置
有鑑於我們現在的數位生活有很大程度依賴我們的行動設備,可以盡量地加以保護是個正確的想法。因為免費無線網路從根本上就缺乏安全性,也越來越常受到攻擊,關心自己隱私和安全的使用者,可以的話應該使用VPN來保護他們的網路流量。 繼續閱讀
最近有幾起事件敲起了警鐘,像是稜鏡計畫外洩,Healthcare.Gov上線時的問題,還有Adobe Creative Cloud遭受攻擊。網路安全社群可能需要對IT的職業道德有全面性的新指引。雖然像雲端運算這樣的技術可以讓企業、政府機構和安全專家用來收集和處理前所未有的資料量,好幫助保護資產和提供更好的服務,但這力量的使用需要更合乎道德,更謹慎小心。
另外,對於清楚、明確道德要求的擔憂也越來越高。比方說,對於雲端儲存資料的隱私擔憂已經在全球引發朝向隔離、國有化電信基礎設施的趨勢。從巴西到瑞士,政府官員要求他們自己國家的網路和雲端服務不能被外國組織所存取。
對於在過去廿年間,習慣進行全球化、統一性質網路溝通的人們來說,因為全世界越來越對主事者能夠有道德地處理使用者資料失去信心,所造成的損失將會是非常慘痛。此外,這樣子的狀況不僅僅會發生在國際舞台上,也可能發生在個人、雲端服務供應商和組織(像是學校單位)之間。IT道德必須為這新的情勢加以更新,努力地朝向讓公共和私有機構可以恢復信心。
缺乏信任可能會導致全球網際網路概念的終止
最近國際對於網路隱私的爭議,是對IT供應商和網路安全社群信任度下降的最明顯證明。巴西和德國最近提出一項聯合國決議案,將延伸保障隱私權利到網路通訊。
這舉動沒有指明任何特定國家,也不具有法律效力。然而,它的出現表示對資料收集超出界線的擔憂,已經從正當行使到毫無理由的侵犯。
「在今日,對於存取、儲存或結合個人資料似乎沒有任何技術限制。但是否只要技術上可行都該被允許?」德國駐聯合國大使Peter Witting這樣問到。「我們在對於合理的安全關切和個人隱私權利間的界線在哪裡?」
有些國家已經出現更具體的努力來確保本國公民的資料。路透社報導說,巴西的立法單位已經起草了一項法案,將迫使像Facebook和Google這樣的網路服務巨擘將所有巴西使用者的資料保留在國內。
網路公司都會反對這項措施,認為這會破壞網際網路的本質,同時也可能會讓雲端運算服務的成本上升。該法案可能對目前的線上通訊形式造成致命一擊,因為危害了原本沒有侷限的全球運作範圍,以及所支援的開放式技術標準。
雲端服務關係到隱私和信任問題
雲端運算的平地拔起,幾乎也保證組織將有一天必須要解決隱私問題,即使沒有政府監視問題帶來這樣強勁的動力。比方說,瑞士的電信業者(Swisscom)一直致力在將資料保持在國境之內的雲端解決方案,這件事就不是因為美國國安局帶來的影響。
根據Help Net Security,這項動作基本上是由國家支持的,因為瑞士政府擁有絕大部分的瑞士電信股權。新的雲端設計是為了確保資料隱私,並提供具有成本效益的替代方案來提供服務,其中有些很巧的,可能是在其他國家。 繼續閱讀
2013年11月代表著第七代電視遊樂器到第八代主機間的最後過渡期。雖然任天堂的Wii U客廳遊戲主機和3DS攜帶式主機都已經出現在市場上好一段日子了,現在Sony和微軟也各自推出了PlayStation 4和Xbox One,這兩台的頂尖規格也都引起了許多注目。
此外,後面這兩台遊戲主機和任天堂第八代產品最大的差異是它們對於整體網路服務的注重以及使用產業界的硬體標準。比方說,PS4和Xbox One都使用跟個人電腦或Mac電腦類似架構的x86處理器。雖然這些晶片會帶來比上一代產品顯著的效能提升,卻也可能替那些熟知x86漏洞攻擊的網路犯罪份子開啟許多新的攻擊面。
但更迫切的問題應該是這些遊戲主機的連線程度,尤其是Xbox One。消費者已經對始終連線的Kinect表示無法接受,這在前一代Xbox 360外加的動作感應網路攝影機,到了Xbox One已經變成內建、開箱即用的功能了。
另外,這三個第八代客廳遊戲主機都比之前產品更大程度的利用網路服務,不僅僅是遊戲,還包括媒體消費。它們已經變成了電腦,只是用了另外一個名字,但卻有幾乎相同的網路安全包袱。關鍵是專家們必須要認識到這一點,緊密和廠商合作好將使用者的風險降到最低。
2013年5月Wii U被駭,開啟第八代遊戲主機漏洞的前奏
雖然比PS4或Xbox One所受到的關注少,不過Wii U也成為網路安全的焦點。在2013年初,一群駭客聲稱已經針對遊戲主機用來確保只執行來自信任來源的加密金鑰和磁碟驗證進行了逆向工程。
WebProNew說明,這起攻擊可能只是針對Wii U眾多安全機制的第一波,可以從任天堂舊款Wii的經驗中學習到。Wii從2006年推出開始就經常成為盜版的目標,想透過其他方法來載入遊戲,因此常常需要進行強制更新。
同樣地,最近的Wii U破解事件讓使用者可以透過USB磁碟來載入遊戲,繞過系統要求遊戲必須來自光碟或購買自任天堂網路商店的限制。雖然有些使用者可能會因為帶來更大的靈活度而受益,但失去保護措施也可能讓其他人陷入資料遺失給惡意、盜版軟體的風險。
Kinect、PSN和次世代主機的隱私問題
不過,Wii U事件跟它可能有眾多漏洞的競爭對手比起來是小咖了些。當Xbox One在今年初亮相時,因為它包含一個內建、永遠連線的高畫質攝影機 – Kinect而引起了一番爭議。
一開始,新Kinect被當作是系統的必要規格 – 使用者沒辦法將其關閉,不然遊戲主機也無法運作。經過消費者和媒體表這樣設定所可能造成的隱私問題表示擔憂後,微軟收回成見,宣布Kinect可以被拔除,而非必須。
儘管如此,Kinect的演變(從一開始僅只是週邊設備),顯示了遊戲主機是如何日漸完備,成為網路社群必須認真研究安全問題的一個端點。根據NBC新聞,Xbox One Kinect非常的先進,甚至可以讀到使用者的心跳速率。在這方面,它幾乎是獨一無二的,讓第八代遊戲主機可以透過如此進步的影像和生物辨識技術來驗證使用者。
「電視遊戲主機所帶來的問題和行動電話類似,因為使用者對這些設備在做什麼僅有很少的能見度,也很難去控制這些設備上運行的軟體」,電子前線基金會的技術專家Seth Schoen這樣告訴NBC新聞。「他們增加了聲音和影像感應器,可以知道人們的客廳裡發生什麼事。我們也都知道,政府多年來都一直想要能從遊戲通訊中發掘出東西,這符合他們一貫試圖發展監聽各種通訊媒介能力的模式。」
在這同時,一個客廳設備的監視能力可以經由新遊戲主機利用雲端運算支援線上播放、消費媒體和遊戲內聊天來加強。Xbox One使用雲端架構來建置專用的伺服器,但更令人擔心的可能是最近Sony PlayStation網路訊息服務的變化。
SiliconANGLE的Saroj Kar指出,PS4的條款和條件要求使用者同意Sony可能會監視他們的通訊。同樣地,合約表明,Sony可能會收集敏感資料,像是姓名、甚至IP地址,並且根據Sony政策的要求可以提供給其他團體使用,該公司表示這是為了監控和處理盜版和惡意使用問題。
遊戲主機的網路服務有義務去保護使用者和防止入侵
當網路服務對電視遊戲體驗變得不可或缺時,使用者也面臨網路犯罪活動增加的風險。在2011年,PlayStation Network停擺了將近三個禮拜,因為駭客入侵了Sony的系統,並可能拿走數百萬使用者的資料。放眼未來,這樣的攻擊可能會變得更加普遍,因為遊戲主機整合了更多的服務。
在一篇Polygon的文章裡,Emily Gera說明微軟和Sony如何採取行動來保護線上使用者帳號被未經授權的存取。Sony在PSN被駭後建立了新的資料中心,微軟也已經採取行動來提高其Xbox Live訂閱服務的安全性,還包括微軟和其合作夥伴(如Netflix公司,提供連結Xbox的應用程式)之間的資料交換流程。 繼續閱讀