桌面系統應用程式商店對使用者的意義為何 ?

最近,科技媒體上充斥著關於新一代桌上型/筆記型電腦作業系統即將於今年下半年上市的消息。幾個月來,微軟不斷持續透過Building Windows 8 部落格透露有關 Windows 8 的消息,最近一次就是 Windows on ARM (WoA) 與 Windows 8 消費者預覽版 (Consumer Preview) 發表的消息。此外,蘋果也發表了 OS X 10.8 Mountain Lion 的開發人員預覽版。

儘管這些新的作業系統都各自主打一些最新的功能,但有些功能卻可能徹底改變消費者使用及保護其系統的方式。這些系統都有一個共通的主題:他們正逐漸對使用者「設限」,使用者將來要下載和執行應用程式,非得受到廠商(微軟或蘋果)某種程度的管制不可。

Windows 8/Windows on ARM:WinRT Windows App Store

媒體對 Windows 8 的報導大多圍繞在新的使用者介面,也就是目前 Windows PhoneXbox 360 Dashboard 所使用的 Metro 設計風格。然而,Metro 應用程式不僅外觀大不相同,其開發方式也截然不同。

Metro 應用程式是採用完全不同的一套 API 來開發,也就是大家所知的 WinRT。這與目前所有 Windows 應用程式 (及惡意程式) 所用的 Windows API 涇渭分明。從安全的角度來看,WinRT 有兩項重要改變:首先,所有的 WinRT 應用程式都已沙盒化 (sandboxed)。雖然某些開發人員會覺得這樣不好,但這卻有助於降低應用程式漏洞所造成的衝擊。

第二項改變則更重要。WinRT 應用程式「只能」透過微軟核准的 Windows 商店下載。這一點早在2011 年 9 月的 BUILD 開發人員大會上就已闡明。開發人員仍可執行或下載應用程式商店以外來源的應用程式 (或許企業使用者將來也可以)。但是,一般的消費者將只能從微軟所保護的應用商店下載應用程式。

這項改變對未來新的 Windows 不同版本的影響不一。桌上型和筆記型電腦的使用者二種 (WinRT 和 Win32) 應用程式都能使用。不過,微軟已經挑明了,他們認為 WinRT 是 Windows 未來的方向。購買採用 ARM 處理器 Windows 平板電腦的使用者將只有 WinRT 應用程式可選。

結果,桌上型和筆記型電腦使用者的使用環境大致上和今日下載執行的情況差不多。如果有大量的開發人員都改用 WinRT,那這群使用者也將移轉至一種更受到管制的環境,也就是 ARM 版本 Windows 使用者一開始所處的狀況。雖然 Windows 也曾加入了一些較為明顯的改變,例如整合防毒與信譽評等技術,但是,對於應用程式環境設限,並且「強烈」鼓吹這樣的作法,將是使用者未來要面臨的真正挑戰。

Mac OS X Mountain Lion: Gatekeeper

從安全的觀點來看,新版 Mac OS X 作業系統最具意義的改變就是 Gatekeeper (守門人)。這是第一次有消費型作業系統有意義嘗試建立一套以應用程式來源為基礎的白名單列表。

Gatekeeper 正如其名,會根據應用程式的下載來源決定是否允許應用程式執行。它有三種設定:

Mac App Store:此選項只允許從蘋果 Mac App Store 下載的應用程式執行。

Mac App Store 與經過識別的開發人員:此選項可允許來自 Mac App Store 以及 Mac 開發人員計劃 (年費 $99 美元) 開發廠商的應用程式執行。

不限地點:Gatekeeper 將不對應用程式設限。

Gatekeeper 在預設情況下為第二選項。這至少讓蘋果看起來像是柔性「鼓勵」開發人員與他們建立正式的關係。只不過,這樣情況是否會持續到 2013 年 (也就是 Mountain Lion 之後的作業系統發表之時) 就不得而知了。

這一切對使用者的意義為何?

不論 Windows 或 Mac 平台都開始轉向一種管制更嚴的使用模式 (如智慧型手機和平板電腦)。這樣對使用者是好事嗎?不盡然。

現有的應用程式商店也曾經遭到駭客入侵。Android Market 在這方面的案例層出不窮,我們在「惡意程式部落格」(Malware Blog) 上已經多次討論。雖然 iOS App Store 從未出現像 Android Market 遭遇到的問題,但也出現過一些假應用程式

此外,只針對惡意應用程式將忽略了一項事實,那就是許多使用者所面臨的威脅其實跟惡意程式根本沒有關係。社交網路無時無刻不受到詐騙與垃圾郵件的攻擊,其手段包括假應用程式和問卷調查詐騙在內。HTML5 對駭客來說一樣是一項強大的工具。即使正常的應用程式加上完全正常的使用方式,也能讓駭客取得珍貴的使用者資訊。

今日電腦作業系統的發展趨勢 (如 Windows 和 OS X 目前的態勢) 似乎是要讓使用者無法自行掌握可執行的應用程式。有別於讓使用者自行決定,這些系統將由廠商 (如蘋果和微軟) 來幫您決定。廠商的口號基本上是:相信我們。我們會照顧您。Bruce Schneier 稱這樣的安全模式為封建安全制度 (seudal security)

這樣的問題是,個人使用者的安全在廠商心中不一定是優先要務。例如,開發人員就非常想要取得使用者的資訊,因為這樣應用程式要賺錢就更容易。但使用者對這樣的情作法可能放心或不放心。同樣地,大型企業可能受到一些獨立小型開發廠商不會遇到的政府壓力;凡是經營應用程式商店的廠商,都必然受到政府的壓力,但小型開發廠商則不然。

此外,應用程式商店會讓開發人員有一種錯誤的安全感,認為有管制的行動裝置作業系統已內建「安全網」,因此反而可能在撰寫程式時容易缺乏嚴謹。例如,研究人員發現,許多 Android 應用程式都有嚴重的安全缺陷。其他研究也發現,某些應用程式會透過無線方式傳送重要的使用者資訊,例如使用者名稱和密碼,卻毫無任何加密保護。如果這種輕忽安全的作法延伸到未來受管制的桌上型作業系統,使用者的資料就危險了。

微軟和蘋果推動應用程式商店模式的決策,將使得消費者所面臨的威脅情勢發生劇烈變化。雖然這樣的模式可以抑制某些資安威脅,但卻讓使用者失去絕大部分的選擇彈性,並且將決定權交給了應用程式商店經營者。此外,一切都轉型成應用程式商店模式也將對使用者的安全和隱私權帶來巨大影響。這個問題現在先討論總比以後再討論來得好。

@原文來源:Desktop App Stores – What It Means For Users)

◎ 歡迎加入趨勢科技社群網站
 

《 APT 進階持續性滲透攻擊》16 封不能點的目標攻擊信件

惡意郵件利用西藏事件作誘餌來進行目標攻擊

 就是這些信,讓日印藏被駭
1.印度軍事企業收到1封關於導彈防衛系統
2.西藏運動組織收到有關自焚的新聞
3.日本企業在311地震後收到關於輻射觀測報告。
相關報導:日印藏網諜活動 陸駭客有關聯
趨勢科技最近分析了一連串利用熱門社會政治議題來發送給特定使用者的電子郵件。其中一個跟德國總理對在西藏拉薩的抗議活動所做的發言有關。寄件者欄位顯示這封信來自澳洲西藏委員會(ATC,Australian Tibet Council)裡的重要人物。不過這封電子郵件當然是偽造的,電子郵件地址也是剛剛才建立用來假冒ATC人員。它還包含了一份聲稱跟發言相關的DOC檔案。一旦下載這個被偵測為TROJ_ARTIEF.AE的檔案,它會攻擊微軟Word的一個漏洞(CVE-2010-3333),接著產生被偵測為TSPY_MARADE.AA的檔案。一旦TSPY_MARADE.AA被執行起來,就會收集網路和系統資訊,再將這些偷來的資料上傳到惡意網站。 

惡意郵件利用西藏事件作誘餌來進行目標攻擊

  繼續閱讀

《漏洞攻擊》荷蘭新聞網 nu.nl 遭入侵,專挑午餐播報時段啟動病毒,蒐集系統資訊

荷蘭使用者最近被一個受入侵網站當做目標,一個在荷蘭相當受歡迎的新聞網站nu.nl。這個網站被入侵淪陷之後,被修改成會加入一個惡意框架,進而讓訪問者的電腦感染一個SINOWAL的變種。

趨勢科技的研究員Feike Hacquebord指出,考慮到這次攻擊的各種特點,它似乎就是特別設計來感染荷蘭的使用者。除了因為遭入侵網站是他們國家最流行的網站外,插入在網站的腳本正好在荷蘭的午餐時間前被啟動,而這時間通常是荷蘭使用者在辦公室裡用來看看新聞或其他網站的時候。

跟據nu.nl所發表的聲明,他們認為攻擊者攻擊了新聞群組內容管理系統(CMS)的一個漏洞,讓他們插入了2個腳本(g.js和gs.js)到nu.nl的子網域內。

 

《漏洞攻擊》荷蘭新聞網nu.nl遭入侵,專挑午餐播報時段啟動病毒

 

《漏洞攻擊》荷蘭新聞網nu.nl遭入侵,專挑午餐播報時段啟動病毒

 

調查結果顯示,這個被趨勢科技偵測為JS_IFRAME.HBA的腳本是高度加密的腳本,一旦執行就會將使用者帶到另一個帶有各種漏洞攻擊碼的腳本。

這個漏洞攻擊包被偵測為JS_BLACOLE.HBA,就是Nuclear漏洞攻擊包。一旦執行之後,它會檢查系統上是否有任何有漏洞的軟體,然後下載適用的漏洞攻擊碼來進行攻擊。

 

根據對這攻擊包程式碼所做的分析,帶有下列未經修補應用程式版本的電腦可能會被這種威脅感染成功:

 

  • Adobe Reader版本在8和9.3之間
  • Java版本在5和6之間,還有5.0.23和6.0.27之間 繼續閱讀

BBC 遭伊朗發動蓋台攻擊?

作者:趨勢科技資深分析師Rik Ferguson

 在BBC總裁 – Mark Thompson的部落格文章,還有BBC新聞首頁上的後續文章裡,該公司控訴伊朗當局騷擾並恐嚇他們在國內的員工,並且利用技術行動來做言論箝制。

 文章裡提到,BBC的波斯語廣播訊號被蓋台,而且在同一天裡,阻斷服務還攻擊了該廣播服務的倫敦辦事處,透過自動撥號來癱瘓他們的電話總機。

 由BBC所提供的攻擊細節裡,很快的就可以得出結論,就是伊朗需要為這些攻擊負責。透過自動撥號對語音服務做阻斷式攻擊是比較簡單的事情,事實上,這類型的服務在地下黑市裡都有提供,但我還沒有看過有人宣傳可以提供廣播入侵能力或訊號干擾,特別是在伊朗境內。

 用電話作分散式阻斷攻擊,就跟比較為人所知的網路分散式阻斷式攻擊一樣,最有效的解決方案是在服務供應商這層。在傳統市話線路POTS的設定下,撥入的電話是可以加以過濾的,比方說利用發號人或是頻率來過濾。但如果是VoIP,訊號和媒介速率都可以在供應商端和本地端利用VoIP防火牆來加以限制。但是,就跟許多網站所有人所面對的問題一樣,DDoS攻擊雖然已經是老舊的技術了,但仍然有效而難以對付。受害者的資源是有限的,攻擊者只要有足夠的能力跟堅持,就可以去癱瘓他們。想解決對電話系統的DDoS攻擊,就跟面對其他類型的DDoS攻擊一樣,需要持續不斷的努力。外部系統需要加以強化,停掉所有不必要的服務,也需要加強認證機制以減少被濫用的機會。當然,防火牆和服務供應商端的安全措施也都很重要。

 至於發射訊號做出干擾,將發射機調到跟接收設備相同調頻,只要夠強力跟夠近,就可以蓋掉任何接收信號。衛星干擾在伊朗並不是什麼新鮮事,在其他地方或許也是。

 自從第二次世界大戰以來,多數需要將內容發送到「不友好」地區的傳媒機構都已經對訊號干擾很熟悉了,但在這方面,可以解決的方法還是不多。而且每個國家也都被認為有權力控制在自己的領空內所收到的信號,就像英國政府在70年代封鎖海盜電台廣播一樣。

 而這個事件也提醒了我們,雖然世界因為各種基礎建設(像是網路)變得更加緊密,更像一個整體。但國家和犯罪集團也會繼續投入大量資源來研究如何攻擊它們的弱點,而且往往都會有顯著的效果。

 @原文出處:BBC attacked by Iran?

 

 
◎ 歡迎加入趨勢科技社群網站

遭入侵的WordPress網站,引發Blackhole漏洞攻擊

趨勢科技收到報告通知說有大量淪陷的WordPress網站會導致CRIDEX中毒。為了引誘使用者連到這些惡意網站,網路犯罪份子假冒成知名寄件者(像是美國商業促進局LinkedIn等等)來發送垃圾郵件(SPAM)。這些垃圾郵件會利用社交工程陷阱( Social Engineering)攻擊來誘使不知情的使用者點擊電子郵件中的連結。

 

遭入侵的WordPress網站,引發Blackhole漏洞攻擊

 

遭入侵的WordPress網站,引發Blackhole漏洞攻擊

 

點下這個連結會被導到一連串淪陷的WordPress網站,最終會出現在使用者前的是Blackhole漏洞攻擊包,它會針對CVE-2010-0188CVE-2010-1885的漏洞攻擊。趨勢科技將之偵測為JS_BLACOLE.IC

 

遭入侵的WordPress網站,引發Blackhole漏洞攻擊

繼續閱讀