資安趨勢部落格 – 第 890 頁 – 手機病毒/電腦病毒防禦密技,不只守護網路安全,還提供各種實用3C實用小秘訣,由資安/防毒軟體領導品牌趨勢科技 Trend Micro 每日更新

【圖表】LinkedIn被盜帳號的前30大常用密碼(F開頭髒話和 ILOVEOU 都不是好主意)

2012 年 06 月 19 日2019 年 01 月 26 日趨勢科技 TrendMicro

來自滲透測試軟體公司 – Rapid7所做的超棒資料圖表，證明了有些使用者是如何地忽略密碼安全。像我們這些內行的安全專家都了解強密碼的重要性，但你如果不做密碼強度檢查，你會發現使用者的行為其實很有趣。

而且有另外一個常見的問題是，現在足夠「安全」的密碼已經難記到需要寫下來，或是存在某處的檔案內。比較好的做法是用兩三個以上無關的單字加上間隔用的字母混合成一個長密碼。這也很難破解，而且比較容易記住，你就不用將它寫下來而造成另一個安全上的漏洞。

或者是用更好的方法，你可以用我們的密碼管理程式來徹底解決這問題！

LINKEDIN密碼解譯

發生什麼事了？

646萬筆被盜的LINKEDIN密碼被貼到俄羅斯的駭客論壇上

16.5萬筆密碼雜湊值（Hash）已經被破解

學到的教訓

糟糕的密碼

我們看到網友漸漸都在使用過度簡單的密碼。事實上是許多人都直接用單字當密碼，而這早已證明是種糟糕的密碼。密碼破解演算法早已收錄了這些糟糕的密碼了

前卅大被破解的密碼

* 部分是經過修改的單字，不過你可以猜出原本的單字

設定密碼常見的問題

髒話密碼

使用髒話當密碼有加倍的壞處，不僅因為這是種弱密碼，而且當密碼外流時也會讓使用者丟臉。你不會想用罵老闆的話當成密碼的，這種密碼可能會讓你需要用LinkedIn去找另一份工作！而且罵人的話也通常都在暴力破解字典的前端

繼續閱讀

趨勢科技防止用戶遭到最新的 Internet Explorer 主動式內容漏洞攻擊

2012 年 06 月 18 日2012 年 06 月 19 日趨勢科技 TrendMicro

上週Microsoft 發表了定期的每月修補程式更新，修正了許多 Internet Explorer 的漏洞 (MS12-037 更新程式)，除此之外，Microsoft 也公布了另一個目前仍無修補程式的 IE 漏洞。Microsoft 安全性摘要報告 (2719615) 明確指出 Microsoft XML (MSXML) Core Services 含有漏洞。MSXML 負責提供一組符合 W3C 標準的 XML API，讓使用者能使用 JScript、VBScript 及 Microsoft 開發工具來開發 XML 1.0 標準的應用程式。

Microsoft XML Core Services 當中有一個遠端程式碼執行漏洞，因為它可能會存取一個位於未初始化記憶體內的 COM 物件。當駭客攻擊此漏洞得逞時，就能以目前登入使用者的身分執行任何程式碼。繼續閱讀

移動中的資料：雲端加密的另一面

2012 年 06 月 18 日2012 年 06 月 04 日趨勢科技 TrendMicro

作者：趨勢科技雲端安全副總裁Dave Asprey

移動中的資料：雲端加密的另一面

你可能已經從我的部落格文章裡了解到加密儲存在雲端服務或傳統資料中心伺服器上資料的重要性了，但我很少討論到關於加密移動中資料的問題，許多人會認為「只要我們有用SSL / TLS和IPSec，就可以解決這問題。」事實上這只解決了部分問題。在雲端環境下使用這些技術並不夠完整，因為這些技術通常只保護網路流量到雲端網路的邊界，而在雲端網路內部伺服器間的流量就未受保護了。

利用通道（Tunnel）的作法在雲端網路上並無法真正發揮作用，由於這類技術是端點對端點的作法。而「端點」在雲端內的流動非常快，所以利用端點對端點的技術很可能會導致雲端網路內擴展、管理和性能上的問題。

我對Certes Networks要如何解決這問題非常好奇。他們剛剛發表vCEP（Virtual Certes Enforcement Point）。根據他們所公布的資料「vCEP是一款虛擬設備，可以讓企業保護敏感的網路資料在虛擬伺服器間以及雲端間流動，而不需要使用通道技術。它可以加密網路流量，不管是從IaaS雲端基礎架構經由廣域網路到資料中心，還是在雲端網路內部伺服器間的流量。」

什麼？加密網路流量而不需要用到通道技術？OSI模型是不是在發抖了。

雖然他們並不是家喻戶曉的名字，Cetres Networks的確是網路加密方面的領導者，他們在幾年前就有了第一個群組加密解決方案。基於群組的加密就不需要用到點對點金鑰交換，所以也不需要通道技術，讓加密移動中資料構變得具備擴展性和通透性。既然雲端網路上的設定會一直變動，可通透的加密變得非常重要。繼續閱讀

假身體年齡測驗真騙個資!! Pinterest網頁的好康陷阱,以問卷調查為餌

2012 年 06 月 14 日2012 年 06 月 14 日趨勢科技 TrendMicro

Pinterest網站日益爬升的訪客量也是它變成網路犯罪份子覬覦目標的原因。三月時，趨勢科技發現網路詐騙會利用知名網站假貼文來誘騙使用者連到問卷調查詐騙網站(星巴克、奢華名牌COACH免費送!新社群網站Pinterest真慷慨? )。而最近發現的問卷調查詐騙則是利用了「pinterest」。

最近發現的問卷調查詐騙利用「pinterest」,曾經轉釘過上面這些相片的使用者，很可能也在無意間幫助散播了這貼文。

曾經轉釘過上面這些相片的使用者，很可能也在無意間幫助散播了這貼文。

另外，趨勢科技還發現貼文利用像是bit.ly和goo.gl.的縮網址服務。一旦點擊了這些短網址，就會被導到下列網址：

https://pinterest.co{BLOCKED}t.info/?419
https://pinterest.com-{BLOCKED}key.info/Thank-You/fb/
https://pinterest.co{BLOCKED}s.info
https://pinterest.{BLOCKED}one.info
https://pinterestgift.{BLOCKED}hing.info
https://pinterests.{BLOCKED}onus.info

一旦點選了連結，使用者會被導到一個偽Pinterest網頁，上面號稱提供獎品、優惠券、禮品卡和其他好處：

這假網頁作的就像是真的Pinterest網頁一樣，假網站上有搜尋欄位、Add+和About，不過還有些是純粹的圖檔，並無法點選。可供點選的連結會導向問卷調查詐騙網頁，像是身體年齡測驗。

繼續閱讀

VMware收購Wanova – 虛擬桌面出現了有趣的變化

2012 年 06 月 12 日2012 年 06 月 04 日趨勢科技 TrendMicro

VMware收購Wanova – 虛擬桌面出現了有趣的變化

作者：趨勢科技雲端安全副總裁Dave Asprey

兩年的時間會帶來怎樣的改變！幾年前，Wanova還在透過Sand Hill那些創投公司來籌措資金。身為Trinity Ventures的雲端和虛擬化駐點創業家（EIR），我曾經聽過Wanova動人的演說，卻也不禁讓我想到Wanova就好像是Mozy加上Acronis。很顯然地，不論是哪一個都不是很吸引人，也許只是我沒有真正了解它。兩年過後，VMware已經收購了Wanova。

這裡是我為什麼會覺得這交易會為未來的虛擬桌面做出根本上改變的原因。這領域不僅是我個人的興趣，我曾實際為Citrix虛擬化業務作策略規劃，推出Citrix第一個虛擬桌面的業務（在Xen之前），同時也是Startforce的顧問（透過併購的模式來幫忙），這是一家以網頁為基礎的虛擬桌面架構（VDI）代管服務。唉，我第一次Citrix展示用伺服器還是測試版的Windows NT 3.51。我真想把虛擬桌面標誌紋在身上，要不是它長得很像PowerPoint圖示的話。

對於某些需要高度安全的工作者來說，虛擬桌面是可以有效提供有用桌面環境的唯一辦法。不過這產業都只用低成本和易於管理來行銷虛擬桌面。用技術行話來說，就是完全在胡扯。每一天你都必須保護和管理那些使用虛擬桌面的各種設備，你也必須保護和管理虛擬桌面本身。對某些人來說，使用精簡型電腦（Thin Client）會容易一些，因為可以減少管理虛擬桌面的部份負擔，但沒有解決多數使用者的問題。

這裡有個關於虛擬桌面架構的小秘密（在Wanova之前）：大多數使用者都不想要虛擬桌面。

我必須說也是有例外。如果是坐辦公桌的，不需要把工作帶回家，也不用平板電腦的人，那就很容易去說服他們接受虛擬桌面架構。只要提供他們更好的鍵盤，更大的螢幕，他們就會喜歡虛擬桌面架構了。問題是，大多數企業只有部分的人屬於這類角色。虛擬化產業會找出各種形容詞來描述這些人，像是「任務導向工作者」、「生產線工作者」、「鐘點工作者」。在Citrix，我們曾經討論過一整天，如何用最政治正確的術語來形容沒有能力去阻止使用虛擬桌面架構的使用者。我當時是選「咕噥的人」。

如果你正在看這個部落格，而且不替Citrix或VMware工作，那我敢說你曾經想辦法阻止自己的桌面被虛擬化和集中化。並不是因為你不想有可以用各種設備都能享受有連續備份和高度安全桌面的好處。誰不想呢。但你不想要的是，這只在網路夠快時才能用，或是會被鎖住太多功能的桌面。一直到今天，你還是沒有多少選擇。

結合Wanova和VMware將會改變這一切。因為我們都真的希望可以做到有連續備份、高安全性，還能從iPad來使用桌面電腦的好處，卻又想要在無法連線的時候還是可以繼續工作。而Wanova可以做到。

簡單的說，它會維護在你筆記型電腦上執行的虛擬機器和雲端伺服器內的一致性。所以你在筆記型電腦上所做的任何改變，最後也會更新到雲端上那一份。如果你用平板電腦來使用雲端上的虛擬機器，它也會將改變更新到你筆記型電腦上的虛擬機器，只要你將筆記型電腦連上網路就可以了。你根本不需要去想你是在用什麼設備，用的是雲端或本地的虛擬機器。它就是自然而然的完成這一切。

這是虛擬桌面架構的最終目標 – 可以享有虛擬桌面的所有好處，還加上筆記型電腦的所有好處。

幹得好，VMware。現在我迫不急待地想要虛擬化我的筆記型電腦了，因為它會讓我更有效率，而不是降低！我願意付錢來買這樣的功能，這對於現在的虛擬機器管理程式市場來說很重要。這是一種可以防止微軟利用提供免費虛擬化程式來獨佔市場的戰略。

＠原文出處：VMware Acquires Wanova – an Interesting Twist in Virtual Desktops

@延伸閱讀

Apple Store提供「優惠禮物卡」作為「長期客戶獎勵」?網路釣客提供的!

全球市場佔有率報告：趨勢科技獲得雲端安全第一名

雲端安全和APT防禦是同一件事嗎？

趨勢科技在RSA 2012 所見所聞

《雲端運算安全》雲端的消費化

< 雲端運算 > Cloudscaling測驗題 – 企業雲還是開放雲?

《趨勢專家看雲端運算》網格雲端儲存：更便宜，更可靠，但是安全性如何？

《趨勢專家看雲端運算》巨量資料如何到來還缺少什麼