Twitter(推特)公告他們系統內的一個臭蟲可能會讓使用者密碼曝光,並呼籲所有的使用者變更帳號密碼。他們還沒有透露受到影響的使用者數量,但該公司表示已經調查並且修復了此一漏洞。不過內部人士聲稱這個問題影響了大量的使用者,並且讓密碼暴露了“好幾個月”。
Twitter在聲明裡說明自己使用了 bcrypt 進行雜湊處理,這是種較強的雜湊演算法,可以在不洩露密碼的情況下驗證使用者帳號。但該公司沒有透露為什麼密碼會在雜湊處理之前先儲存在內部日誌。他們的調查結果表示並沒有遭受入侵或帳號受到濫用的跡象。不過聲明仍建議使用者要考慮變更帳號密碼以及所有使用相同密碼的服務密碼。
使用者在打開應用程式時也會跳出視窗來告知此問題。根據報導,Twitter到二月為止已經達到3.3億名使用者,且稱他們“正在進行計劃來以防止這漏洞再次發生。”
[延伸閱讀:如何防護你的社群網站帳號]
為了你的隱私和安全著想,以下是三個保護社群網站帳號的建議: 繼續閱讀
本文回顧威脅情勢發展上一些促使企業開始採取主動事件應變策略以強化其網路資安防禦的重大事件。
今日的威脅既複雜又猖獗,光靠防範似乎已經不夠。事實上,根據專家指出,威脅已經無可避免。除此之外,再加上網路資安技術上的缺口也使得資安威脅對企業的營運、獲利和商譽帶來龐大的風險。為了因應這樣的情況,企業開始改懸易轍,建置一些主動偵測技術與事件應變策略來強化其防禦。換句話說,企業或許無法完全避免所有的資料外洩或網路攻擊,但卻能夠針對這類可能帶來重大損失的事件做好更周全的準備,進而降低、控制損害並從中復原。
然而,是什麼樣的原因造成這樣的改變?促使企業在網路資安防禦當中加入主動偵測、回應及矯正技術的因素為何?讓我們來回顧威脅情勢發展上一些促使企業開始採取主動事件應變策略以強化其網路資安防禦的重大事件。
1987 年 10 月
Cascade (瀑布) 病毒現身 (德國稱為「Herbstlaub」),其名稱的由來是:當該病毒啟動時,螢幕畫面上的文字會像瀑布一樣往下墜落到畫面底部。Cascade 當初原本打算避開 IBM 電腦不加以感染,但卻因為一個程式錯誤而讓它幾乎擴散至比利時某個辦公室中的所有電腦。Cascade 病毒的出現,也促使了防毒軟體的問世。
1987 年 11 月
Lehigh (理海) 病毒 (或稱為「command.com」病毒) 感染了 DOS 作業系統開機所需的系統檔案。該病毒是以當初發現病毒的美國理海大學 (Lehigh University) 來命名,是第一個會將電腦資料清除的病毒。為了因應這個病毒,該大學的電腦中心還對全校學生和教職員發出了緊急通告。此外,病毒的作者也通知了其他大學有關該病毒可能帶來的影響。
1988 年
Morris 蠕蟲發動阻斷服務 (DoS) 攻擊並大量散布,根據報導,網際網路上約有 10% 的電腦因而當機。這是當時第一個對網際網路骨幹造成重大影響的病毒之一。這起事件也因而讓人意識到網路緊急事件聯合應變的必要性,促使專家們成立了後來的「電腦緊急應變小組」(CERT)。而 Morris 蠕蟲也為隨後數十年企業所遭遇的惡意程式打下重要基礎。 繼續閱讀
資安研究人員指出,在超過1,000個開放原始碼的無伺服器應用程式中,有21%具有嚴重漏洞或設定錯誤。他們還指出有6%將敏感資料(如API金鑰和帳號密碼)儲存在可公開存取的檔案庫中。
[專家見解:轉向無伺服器雲端應用程式]
“無伺服器”有點不精確。應用程式在第三方雲端基礎設施上運行(如Amazon Web Service(AWS)的Lambda,微軟的 Azure Functions和Google的Cloud Functions)。它們沒有使用專屬伺服器、虛擬機或容器(container);只有應用程式的程式碼在雲端伺服器上執行直到完成任務。
無伺服器應用程式體現了新興的功能即服務(FaaS)模型,將雲端運算轉變成一個平台,企業可以用來開發、部署和管理其應用程式,無需建立自己的基礎設施。
透過“無伺服器”,開發人員和企業受益於其靈活性和自動化能力。它也可以是推出應用程式的一種可擴展且高經濟效益的方式,因為不需要配置或維護專屬伺服器,安裝/管理軟體或運行環境。
[InfoSec指南:緩解Web注入攻擊]
安全研究人員指出,大多數漏洞和弱點是因為實際應用程式中所用的不安全程式碼等問題所造成。他們發現這些是開放原始碼無伺服器應用程式最常見的安全問題:
相信不少人都有被問過電腦相關的問題,不論是中毒解法、WiFi不會裝,還是碰到軟體操作問題都很讓人困擾。尤其是要讓你隔空抓藥幫對方解決問題,往往考驗你的經驗與電腦能力。現在如果有人碰到這種問題,你可以推薦他這個趨勢科技的旗艦服務,打通電話就能幫你搞定數位生活的大小事。從各種作業系統的問題、無法搞定上網設定,甚至是電腦運作越來越慢,開個網頁要好久(是不是很熟悉)該如何解決,各種數位難題都能打通電話解決。
▲對我們而言很小的事情,對於不懂科技產品的朋友可能就是件大事,現在不論大小事,都能透過旗艦服務幫你解決。
趨勢科技推出的旗艦服務可以說就是3C小幫手,是為了協助不熟悉電腦操作的長輩或是想節省時間的用戶。服務範圍十分廣泛,軟體面包括Windows、MacOS、Android、iOS等作業系統,以及各種瀏覽器、電子郵件、文書處理、多媒體等軟體,硬體面的設定像是螢幕、印表機、硬碟、無線基地台、投影機、電視盒等裝置的設定與安裝問題,全都能詢問你的小幫手。 繼續閱讀
趨勢科技研究人員的一項研究顯示下載的軟體檔案中有83%屬於未知或未經分類過的檔案,有些甚至已經出現超過兩年了。因為大多數惡意軟體威脅來自於下載事件,因此研究人員開發了具可讀性的機器學習系統,能夠成功地將未知檔案分類為正常或惡意。
這項研究利用在七個月內所收集的300萬份的網路下載事件作為資料集。這些事件利用多種趨勢科技內部系統及外部公開系統來標記以進行研究和分析。但只有不到17%的資料集能用傳統方法進行標記。
儘管這些未知檔案的普及率非常低,但研究結果發現有69%的電腦下載一個或多個可能為惡意軟體的未知軟體檔案。
利用機器學習來解開未知狀態
為了減少未知下載軟體的數量,趨勢科技研究人員開發了一套機器學習系統,這個系統會將對軟體檔案資訊和特徵的觀察結果自動產生出偵測規則。這套可據以行動的智慧系統分析下載軟體檔案的以下資訊: