雲端服務消失會怎樣?

越來越多使用者將數位生活的一部分放入雲端,他們也越常遇到一個問題:它不會永遠存在。更具體地說,人們所依賴的雲端服務就跟任何其他業務一樣:它們可能會關門。
人物Keep your data in check6

近日有些雲端服務關閉或徹底改變了產品內容:

 

 

但這些服務所帶來的變化也有著明顯的「陣痛」。以MySpace為例子,它已經推出新功能一段時間了,並且在六月重新推出新版。有些人讚賞這新版,但還是有些忠實的用戶感到沮喪,因為新版會刪掉他們的內容。

行動技術和雲端服務的快速創新腳步也代表了,如果不幸的無法成功並且快速地獲利,那就會被關閉,即使有許多使用者依賴它們的服務。那麼身為一個使用者,如果同樣的事情發生在你身上,你可以怎樣做來盡量減少風險?

如果服務本身所使用的資料並非屬於你(比方說影片和音樂串流服務),那你沒有什麼可以做的。不過,如果是屬於你自己的資料,像是文件、圖片和新聞來源列表,那有些步驟可以進行。

還記得傳統的3-2-1備份規則:至少有三個副本,存放在至少兩種不同的媒體,至少有一個是異地儲存。將你的資料存放在雲端可以符合最後的兩個要求,不過這些副本不能是存放在服務自己的封閉雲端內。

舉例來說,將你的電影和圖片存一份在你的設備上(甚或是另一個雲端服務)。對於不同的雲端服務來說,程序會有所不同,但概念是一樣的:確保你的資料以應用程式或服務自己的伺服器之外的形式存在。

為雲端服務離線狀況做好準備可能像是個極端的預防措施。但是除了服務徹底消失外,還有許多情況會讓你需要在雲端服務離線下存取資料:你處在無/不安全/昂貴網路的情況下,或服務因為維護或安全事件而離線。

至於雲端服務供應商,他們最好可以在重大變動(或關閉)前的幾個月就加以公告。最近Google閱讀器關閉就是有效公告的一個好例子,因為這可以讓使用者的影響變到最小(當然,除了必須尋找另一個替代服務之外)。MySpace的不幸失態,顯示了改變或增強可能會有反效果。

基準點:「放入雲端」並不是讓你可以不盡心管理資料的藉口。你還是需要為你的資料負責,並且避免將所有的雞蛋放在同一個籃子裡。想要知道如何保護你存放在雲端的資料,可以參考我們的以下數位生活電子指南:「保持你的雲端資料在掌握中」。

 

保持你的雲端資料在掌握中

人物 Keep your data in check1

建立密碼、安裝安全軟體、養成安全的上網習慣。這些典型的安全措施並不足以保護你儲存在雲端的資料。

有許多因素可能會危及到它。註1網路犯罪分子就是一例,他們可能會為了名氣或金錢而籌劃攻擊活動,入侵你的帳號來刪除或洩漏你的資料。你所使用的雲端服務可能會突然遭遇硬體問題,使得你所有的一切都被消除。你的網路連線可能會變得太慢而幾乎無法存取你的雲端服務。

為了避免不必要的悲劇發生,你需要有著安全意識,並採取額外的步驟來確保你資料未來幾年的安全。

人物 Keep your data in check2

確保只有你可以回復你的密碼。

當建立網路帳號時,選擇只有你自己可以回答的密碼回復問題。現在的雲端服務有比較不常見的安全問題可選,越獨特的安全問題越好。如果可以的話,建立屬於自己的問題。

接下來,要建立足夠強大和獨特的答案,就跟要恢復的密碼強度一樣。讓答案完全不可能在網路上查到就能夠做到這一點。

比方說,如果你的安全問題是 – 「誰是你最喜歡的卡通人物?」應該沒有人有辦法去嘗試每一個卡通人物名稱,查看你的社群網頁或檢查你在部落格裡提到的卡通來找到答案。答案應該就像你的密碼一樣,只和你有關。

將答案的字母混雜更好,或是將它變成一個縮寫詞組。利用你原本答案的每個字母當成一個字的第一個字母。再組合成一個隨機短句。為了讓它更加安全,可以選擇和問題本身完全不相干的答案。任何網路犯罪份子都會非常難去猜出這樣的安全答案。

下面是一個例子:

安全問題:你在哪裡遇見你的另一半?

不好的答案:At work(在工作中)。

好答案:Aliens That Want Only Rocket Kits(外星人只需要火箭套件)。

【這是個很好的答案,因為它隨機,而且縮寫讓你足夠容易記住。】

最佳答案:開心果冰淇淋頂部帶有酸味

【這答案和安全問題完全無關,所以網路犯罪份子很難去猜到。】 繼續閱讀

雲端安全懶人包(含 2013 下半年相關活動)

趨勢科技雲端安全部落格上線以來,在這四年間有許多事情改變了。主要是因為資安產業的進化。我們不再有著「雲端混淆」,這是我們過去討論基於雲端運算的安全性來自雲端的威脅時所會大量提到的主題。

Cloud6

「雲端技術」和它的安全性已經有了相當的發展,出現了許多的活動,大量的資源,甚或是雲端安全相關的認證。原本因為全球網路的雲端安全所產生的大量資料而造成的混亂,現在都變得清晰許多。好好享受以下這份列表,如果你有任何疑問也請讓我們知道。

活動

2013年已經過了一半。但是還有許多很棒的活動可以參加:

 

 

認證

用來證明你對於雲端安全瞭解多少的好方法:

 

 

組織

 

許多產業界的組織和團體可以幫你加速對雲端運算的了解,提供最佳實作方式跟實踐標準:

 

  • 雲端安全聯盟(CSA)是個非營利性組織,為了推廣最佳實作以確保雲端運算的安全,並提供雲端運算的教育,以幫助保護所有其他形式的運算。他們在LinkedIn上有個活躍的社團,你可以在那裡提出問題或是看看其他IT人員所面臨的問題。可以在Twitter上關注他們@CloudSA

繼續閱讀

如何保護你的多個網路帳號

你會在網路上擁有多個帳號,不管你是一般的網路玩家,社群網路專家還是精通技術的網站站長。趨勢科技做過一項研究,結果發現每個使用者平均會有至少十個網路帳號。這其實並不令人驚訝,因為網路提供許多的便利服務,像是電子郵件、網路購物、網路銀行,以及其它更多服務。

如何保護你的多個網路帳號how-to-secure-your-multiple-online-accounts1

 但是有著十個或以上的帳號,使用者要如何確保每個帳號都是安全的?隨著越來越多基於網頁的服務出現,這些使用者要如何管理自己的帳號安全?

這份電子指南會幫助使用者了解如何維護多個網路帳號,不管到底有多少個。

我為什麼要關心?

如何保護你的多個網路帳號

 如果有什麼是網友所必須關心的,那就是個人資料會交到錯的人手上的風險。這裡提到了一些個人所可能會遭受的風險:

 

  • 身份竊盜。網路犯罪份子可能將你的身份資料用在自己的交易上。這可能會造成非預期的產品或服務費用。身份竊盜非常普遍,每三秒鐘就發生一次。此外,根據我們的最新研究,每三個人就有一個人認識身份竊盜的受害者。

 

  • 財務竊取。網路犯罪分子會滲透並搾乾受害者的銀行帳戶。僅僅在二〇一〇年,美國就有超過810萬個成年人遭受電子竊盜,損失超過370億美元。
  • 真實世界內的竊盜。你的線上資訊也會讓現實住家面臨竊盜的風險。網路犯罪份子可以利用網路資訊所帶來的脈絡線索,來判斷你和你的家人是否不在家。一項研究顯示,有80%的劫匪會檢查受害者的社群網路帳號來規劃劫案1
  • 信譽受損。當其他人進入你的網路帳號時,可能會導致不好的後果。他們會發送惡意郵件給你的聯絡人,或在你的社群網路上張貼不適當的內容。而且其他連結的帳號也很有可能會一起淪陷。

我要如何保護我的網路帳號?

 我要如何保護我的網路帳號?how-to-secure-your-multiple-online-accounts4

幸運的是,你的帳號在建立之初就開始就受到保護,這要歸功於那不起眼的密碼。就跟數位世界的鑰匙一樣,密碼從早期的電腦世界就開始保護著使用者。由於他們是由使用者所建立,所以本該萬無一失。註2

繼續閱讀

台灣中小企業遭受阻斷服務攻擊案例分析

 許多台灣的中小企業會在自己的網路內架設網頁伺服器,卻對如何防護伺服器沒有太多了解。他們所關心的是自己的業務,使得他們不安全的伺服器成為攻擊的主要目標。

當有企業被攻擊的新聞出現,內容通常都把目標放在最終使用者或大型企業本身。不過有許多網路犯罪的目標是中小企業。在這篇文章裡,我們要來看看台灣的中小企業是如何遭受到攻擊,以及人們可以從這些事件裡學到什麼樣的教訓。

駭客 蒙面

許多台灣的中小企業會在自己的網路內架設網頁伺服器,卻對如何防護伺服器沒有太多了解。他們所關心的是自己的業務,使得他們不安全的伺服器成為攻擊的主要目標。

讓我們來看看最近的一起案例,可以很好的說明這些攻擊如何進行。在五月卅日,我們收到一家不明公司(我們稱之為A公司)的支援請求,因為他們遭受到阻斷服務攻擊,讓他們的伺服器無法被連上。

但我們所看到的完全是另外一個問題。趨勢科技發現他們的網頁伺服器已經被入侵,利用的是伺服器的漏洞。而且就如前所述,這網頁伺服器也可以存取公司的內部網路,所以攻擊者也拿下了公司Active Directory伺服器的控制權。我們還確認至少有兩批攻擊者存在:一個是在四月廿四日前運作,另外一個出現在這日期之後。

台灣中小企業遭受阻斷服務攻擊案例分析

 

圖一、攻擊時間表

這起威脅的行為並沒有特別不尋常,一旦網路被入侵,這些都是常見的後果。此外,攻擊者會不斷地透過自己的後門來放入新的工具。

許多企業只是重新安裝和重建系統,好可以馬上回復運作,但這樣並沒有解決問題。因為問題的根源是脆弱而不安全的網頁伺服器,而這部分並沒有被解決,攻擊者可以一再重複地入侵,重新佈置後門到目標網路內。

 

台灣中小企業遭受阻斷服務攻擊案例分析

圖二:持續地攻擊

繼續閱讀

Google Play 出現假的植物大戰殭屍2( Plants vs. Zombies 2)

當 PopCap 在二〇一〇年推出了 iOS 版的植物大戰殭屍( Plants vs. Zombies ),接著在二〇一一年推出 Andorid 版本時,這款遊戲聚集了大量的人氣。現在,隨著它的下一代即將發佈(在澳洲和紐西蘭搶先上架),網路犯罪分子也已經開始在利用這股熱潮。

趨勢科技發現了一個問卷調查詐騙網站,代管在Blogger上,並且連結到YouTube視頻網頁。這個網站被認為是典型的問卷調查詐騙網站,而沒有用到惡意軟體。

 

之後,趨勢科技發現了更多和植物大戰僵屍2( Plants vs. Zombies 2)有關的威脅。趨勢科技光在Google Play上就發現了超過七個相關威脅(假應用程式,或號稱可以下載這軟體的下載軟體)。其中一個被偵測出會派送惡意廣告給使用者的假應用程式。它被偵測為ANDROIDOS_FAKEZOMB.A趨勢科技預計在未來幾天內會發現更多威脅。

 Google一直以快速處理Google Play內所發現的威脅而受到好評,但直到寫這篇文章為止,所有的這些假應用程式都自己從網站上移除,假「開發者」停止提供下載。類似的詐騙活動也都在應用程式出現在商店後廿四小時內暫時停止了。

這些威脅的存在和它們背後的社交工程陷阱( Social Engineering)並非是什麼新東西,我們在過去已經報導過許多類似的事件,像是之前曾經被針對的遊戲 – Candy Crush壞蛋豬Temple Run。但這裡要注意的是,我們所看到的假應用程式都出現在Google Play上的這股新模式。像是:

  • 利用已經出現在iOS App Store上而尚未出現在Google Play的受歡迎或即將推出的熱門遊戲應用程式續集
  • 假應用程式會要求先給予五星級評等和評論後才可以「玩」
  • 假應用程式都是免費的,相反地,合法應用程式會收費 繼續閱讀