2010年9月28日 星期二

[news]開簡訊就中毒 專攻擊Android手機

0 意見

開簡訊就中毒 專攻擊Android手機


2010-09-28、中國時報、陳大任/台北報導


     智慧型手機日益普及,現在也成為駭客入侵的對象。趨勢科技最近發現第一個專門攻擊Android手機的惡意程式「TROJ_DROIDSMS.A.」,與上個月發現的Symbian惡意程式有類似的偽造行為,都會盜用個人資料。業者認為,未來手機遭到病毒攻擊的情況只會越來越多。

     科技業者表示,第一個衝著Android手機而來的TROJ_DROIDSMS.A.惡意程式,是利用簡訊的途徑散布,使用者只要打開程式就會中毒,雖然目前沒有造成很大的災情,但駭客很快又散布另一個叫做Tap Snake的應用程式,只要是按下同意該服務的「終端使用者授權合約」,駭客就會藉此取得個人所在的位置資料

     以往駭客散布病毒,多半是毀滅式的攻擊,被感染的電腦、手機經常因此掛點,無法繼續操作,不過,這種癱瘓主機「損人不利己」的手法已不流行,駭客轉為盜取個人資料還比較有賺頭。但是,這種手法更可怕,無論是電腦或手機,一旦受到病毒攻擊,使用者也不會感覺到有異常,等到個人資料被盜用,手機大量發送簡訊,使用者收到帳單才發現損失慘重

     趨勢科技技術總監戴燊表示,駭客的行為向來是往最熱門的地方鑽,現在使用手機上網的人多了,目標也變得明顯,iPhone上市這麼久,但很少傳出「疫情」是因為它還是較封閉的系統,而Android手機開放式平台的特性,使用者下載應用程式時就要更為小心。

     趨勢科技公關經理江婷說,手機的傳播力高,惡意程式散布的速度比電腦更快,資訊防護的觀念也應該注意到使用手機可能遇到的風險,目前電信業者都有提供類似防毒的服務,如中華電信即與趨勢科技合作,提供手機防護精靈的服務。使用智慧型手機的用戶可電詢客服人員,查看手機是否有受到防毒軟體的保護

新聞出處網址

[必看]你的 PC 安全嗎?零時弱點網站告訴你

0 意見

你的 PC 安全嗎?零時弱點網站告訴你
你認為自己的電腦有多安全?你可能只依賴微軟和蘋果等軟體商,不定時地通知你安裝更新。但在修補程式發佈前,已知漏洞(或稱零時差弱點)已讓你的電腦坐待攻擊。透過電郵和不經意瀏覽的網站,惡意程式即可潛入你的電腦。


EEye Digital Security日前成立一個列出已知零時差弱點,並提供既有修補程式資料庫的網站。 Zero Day Tracker集結了已公開之安全漏洞訊息,包括受影響的軟體、嚴重程度、潛在衝擊、替代方案和其他防護方法的建議

eEye共同創辦人兼技術長Marc Maiffret表示,這個免費網站提供零時差資訊的「一站式服務」。他說:「長期以來,唯一提供零時差訊息的公司就是微軟,Adobe則是最近才加入。但還有許多公司的零時差弱點都沒有被通報。」

目前使用最廣泛的軟體弱點資料庫,是美國國土安全部轄下國家網路安全部/US-CERT贊助、美國國家標準與科技協會負責管理的國家弱點資料庫(National Vulnerability Database)。但你必須自己搜尋資料,查看哪些弱點尚未修補。

Zero Day Tracker以時間順序,列出尚未修補的漏洞。目前有21個零時差漏洞,除了兩個分別出自2006年和2005年,其餘全是2010年才曝光的弱點。2005年11月曝光的漏洞,影響Windows 2000系統。Maiffret說:「一如預期,微軟是2010年未修補零時差弱點最多的公司。」前一年也是,但Adobe有急起直追之勢。

針對蘋果系統被列出的弱點稀少,Maiffret表示,那反映出蘋果的市場比Windows小很多,不代表Mac軟體較安全。他說:「與微軟和微軟相關的軟體相比,蘋果的零時差弱點少很多,但那絕不代表Mac沒有弱點。」攻擊者寧願把時間和精力花在90%的使用者身上。

Adobe最近剛修補一個Flash Player的零時差弱點,微軟也用緊急更新,防堵一個散播Stuxnet蠕蟲的漏洞。Stuxnet可利用三個Windows弱點散播,微軟上週解決了一個,還有兩個弱點未補。

Zero Day Tracker也將納入行動軟體的弱點資訊。Maiffret表示:「其中一種iPhone越獄技巧,就是利用一個PDF弱點。那只是行動平台零時差弱點的一個例子。」

除了提供資訊和好用的資源,Maiffret希望公開這些弱點,能促使軟體商儘速修補。他說:「我們要對軟體商施壓。」該公司的資料來源包括軟體商、安全公司,和自行監看地下與海外論壇。Maiffret表示:「我們的消息根據之一,是某個中文討論區的對話。」

軟體商在公布安全漏洞時,通常會宣稱尚未發生大規模攻擊,藉此安撫顧客。但針對Windows、Adobe Reader或IE這類廣泛使用的軟體,攻擊程式的出現和散佈,通常就在弱點曝光的一天之內。

例如上週五,微軟警告其用來製作網站的ASP.NET架構有一嚴重漏洞,但尚未有任何相關攻擊。到週一(20日),微軟便更新其安全公告,表示已發生「有限、主動的攻擊」。

這類攻擊也可能隱藏甚久不被發現。例如透過某個IE漏洞,鎖定Google和數十家公司的Operation Aurora攻擊。Google在2010年1月公佈時,宣稱前一個月才發現,但另一個分析顯示,該攻擊行動在5個月前被初次偵測到,但當時可能鎖定不同的公司。Maiffret說:「這項弱點在業者發現之前就被利用。有大量的攻擊是我們不知道的,而我們通常是意外發現它們的存在。」(陳智文/譯)

eEye Digital Security(零時弱點網站)
新聞出處網址

2010年9月23日 星期四

[知識]釣魚網站測驗

0 意見

釣魚網站:

通常是指偽裝成銀行及電子商務等網站,主要危害是竊取用戶提交的銀行帳號、密碼等私密信息。

你自認為可以完全認出哪個是釣魚網站?哪個不是嗎?那麼就來做個測驗:「網釣或非網釣?」
前面五題是真正的測驗,後面則是告知一個辨別方式

而這個辨別方式必須是IE7以上的版本,所以還在用XP的人要多多注意,如果你沒有在更新瀏覽器版本的話(內建為IE 6),很有可能你就辨別不出來釣魚網站,進而掉入陷阱。

這網站主要還是告訴我們,釣魚網站防不慎防,除了安裝防毒軟體,將瀏覽器升級至新版本方便協助我們判斷是否為惡意網站...還要隨時注意自己所瀏覽的網站,尤其是要輸入帳密的網站..

[news]資安漏洞大開,Twitter又遭駭

0 意見

《國際產業》資安漏洞大開,Twitter又遭駭

  • 時報資訊
微網誌Twitter日前遭到病毒攻擊,駭客利用安全漏洞對Twitter大搞破壞,Twitter周二向數以百萬計的使用者致歉。
 
Twitter的資安團隊表示,用戶的帳號資訊並沒有因為這起攻擊事件而外流。使用者只要將滑鼠移動至受感染的連結,病毒即在使用者間流傳。

病毒會在網路瀏覽器開啟彈跳式視窗,將使用者連結至色情網站,或是從使用者的Twitter帳號自動發出訊息,大約有數千名使用者受到影響


受到病毒攻擊的使用者包括白宮新聞秘書吉布斯(Robert Gibbs),以及英國前首相布朗的妻子莎拉,他們在Twitter的追隨者分別達9.7萬名和110萬名。莎拉表示,「我不知道別人收到什麼訊息,但我收到一份減重計畫!」

公司總部設於舊金山的Twitter表示,這起病毒攻擊事件發生於加州時間周二上午2點30分,公司大約在4個半小時後將情況穩住。 (新聞來源:工商時報─記者顏嘉南/綜合外電報導)

新聞出處網址

[news]HDCP主密鑰外洩,DVD、藍光防盜拷機制全面瓦解

0 意見

HDCP主密鑰外洩,DVD、藍光防盜拷機制全面瓦解

撰文者:戴佳慧發表日期:2010/09/20

用以防止非法拷貝DVD、藍光數位內容的HDCP規格,上周傳出已遭駭客破解。制定HDCP的Intel也向媒體承認,網路上流傳的破解屬實。換言之,市面上所有高畫質DVD、藍光光碟在技術上都已能夠被解碼、拷貝,高畫質數位內容的保護機制全面瓦解

HDCP(High Bandwidth Digital Content Protection)是Intel開發用來防止高畫質影音資料遭到非法拷貝的機制。生產DVD或藍光播放設備的廠商,必須獲得HDCP委員會許可,支付權利金,並且生產符合HDCP的規定的商品。

HDCP會將通過DVI和HDMI介面的影音資料加密,加密過程是以串流的方式進行,因此每個畫面都會產生不同的金鑰。影音播放器(或電腦顯示卡)和顯示器雙方都必須內建HDCP晶片才能夠解密,以高畫質正常播放影音內容,否則只會出現雜訊或480p以下的低解析度畫面

由於HDCP使用的是線性密鑰,密碼學家早在2001年就對HDCP的安全性提出質疑,但HDCP還是在2004年通過美國聯邦通訊委員會FCC的審查正式上路,成為數位內容保護的標準。直到上星期Pastebin網站出現一篇不具名的文章,內容包含HDCP完整主密鑰和破解方法,引起媒體和大眾熱烈討論,Intel才正式承認HDCP已遭到破解。

HDCP的主密鑰外洩,對數位影音版權將產生莫大衝擊。Intel一方面展開調查,一方面提醒大眾,拷貝高畫質DVD和藍光屬非法行為,且HDCP仍受專利權法保護,Intel將會對非法使用HDCP密鑰的廠商採取法律行動。

新聞出處網址

2010年9月22日 星期三

[news]兩段式密碼 Google提昇帳戶安全性

0 意見

兩段式密碼 Google提昇帳戶安全性
ZDNet新聞專區:Elinor Mills


Google推出新兩階段認證新功能,除了原有的密碼保護之外,新增一項把安全登入密碼傳至智慧手機的功能,讓駭客更難侵入Gmail和其他Google Apps帳戶。

Google產品經理表示,新功能自周一起對Google Apps加值版(premier)、教育版(education)和政府版(government)用戶提供,未來數月也將陸續對數千萬名個別的Google用戶提供,作為Google免費服務的內建功能選項。

之前,Google帳戶只以密碼保護,容易遭到網路釣魚(phishing)和其他社交工程攻擊( social-engineering attacks)。

採用兩階段式認證功能,可增加網路歹徒入侵帳戶的難度。系統將產生一個一次性的六位數安全碼(security code),並傳給帳戶所有人,以便成功登入。這個安全碼將在用戶輸入密碼後傳出

這種兩階段式認證類似智慧卡(smart cards)和電子代幣(tokens),不同點在於安全碼是透過可攜帶的硬體來存取。

Google用戶可透過Settings網頁設定加入這項服務,並指明希望讓安全碼透過簡訊或自動語音信箱傳送,或是透過Google Authenticator應用程式下載到自己的Android手機、 黑莓機(BlackBerry)或iPhone。安全碼是隨機產生,每隔幾分鐘就會改變。

每次要收Gmail郵件,必須查閱手機並輸入額外的安全碼,可能令許多人覺得不便。Google為解決這個問題,已讓使用同一台電腦存取帳戶者,可勾選「記住這台電腦的認證」方塊,一個月內使用這台電腦登入帳戶就不必再輸入安全碼。

使用者若是覺得自己的帳戶有密碼保護已經夠安全了,就不必選擇加入這項新功能。
(唐慧文譯)

新聞出處網址

2010年9月8日 星期三

[news]封鎖PC要求贖金 勒索軟體技術升級又來了

0 意見

封鎖PC要求贖金 勒索軟體技術升級又來了

記者蘇湘雲/台北報導 

防毒軟體已無法確保電腦系統不被惡意軟體感染,最新型態的駭客攻擊出現一種勒索軟體,可藉由封鎖個人電腦程式與資料,接著再要求贖金,網路安全專家提醒,在今年3月出現一波攻擊後,8月再度出現,而且採用伺服端變形技術,來達到擴大散佈目的。

網路安全商Fortinet最新網路威脅概況月報顯示,勒索軟體TotalSecurity載入程式W32/FakeAlert.LU為今年8月份偵測活動量第一的惡意軟體。

專案經理Derek Manky說,勒索軟體已經走向伺服端多形態,也就是載入程式雖然連結一個伺服器來取得檔案,但程式碼卻是每個小時都在變化,藉此逃避偵測;這項技術常見於殭屍網路病毒例如Waledac,但現在被TotalSecurity開發者採用,再次說明了僅依賴防毒軟體,已無法確保系統不被惡意軟體感染。

Fortinet報告也指出,除了勒索軟體外,8月另一個高偵測量的惡意軟體為Zeus/ZBot,是一個自助式的殭屍網路病毒開發工具,能提供惡意軟體製造者所有開發與管理殭屍網路所需的工具。

報告說,雖然目前Zeus主要設計用來竊取銀行資訊,但它們依然可以輕易地竊取其它種類的資料;它具備一個控制程式能維護與更新殭屍網路,並取回和管理已盜取的資訊;此外它擁有一個組態式開發工具,能讓製造者建立執行檔來感染使用者的電腦。