2011年3月13日 星期日

【news】Pwn2Own瀏覽器駭客競賽,Apple Safari遭秒殺

0 意見


年度駭客競賽Pwn2Own,本週在加拿大溫哥華舉行。來自全球各地的駭客齊聚一堂,分組向主辦單位指定的Microsoft IEAppple SafariMozilla FirefoxGoogle Chrome四種瀏覽器展開進攻。
以往被評價為安全性最差的IE,今年在淘汰區有伴了。來自法國的資訊安全研究事務所VUPEN,從競賽開始只花五秒鐘,就宣布攻破Safari,為Apple的軟體安全評價留下了一筆難堪的紀錄。

Pwn2Own
駭客競賽從2007年起,每年以上萬美元的獎金,號召全世界駭客和安全專家共襄盛舉。駭客們在賽前選擇好目標軟體,鑽研其中的安全漏洞。比賽時,每一組必須於30分鐘之內,在主辦單位提供的電腦上攻破目標軟體,成功者將獲贈一到兩萬美元不等的獎金。比賽結束之後,主辦單位會彙整這些安全漏洞,交由各家軟體公司參考補救。

Pwn2Own
競賽的目的,是為了提高業者和大眾對於軟體安全的警覺,同時,也希望藉此防範真正的駭客,利用這些安全漏洞來進行網路犯罪。
這項競賽不僅受到媒體關注,業者也相當看重這個改善軟體安全的機會。對Safari安全性十分有自知之明的Apple,趕在競賽公佈之前發佈新版Safari 5.0.4,修補了62個安全漏洞。另一方面,Google則對Chrome信心滿滿,特別和Pwn2Own主辦單位合作,宣布每組攻破Chrome的駭客,都可以獲得Google五千塊美元加碼。
最後,報名挑戰Google Chrome的兩組安全專家,都選擇了臨陣脫逃,讓Chrome從競賽當中全身而退。而Firefox則通過了駭客考驗,在競賽當中倖存。

2011年3月4日 星期五

【news】F-Secure:臉書垃圾訊息日益嚴重,應用程式與假帳號為源頭

0 意見

芬蘭資安業者F-Secure公布了一項針對臉書(Facebook)垃圾訊息問題的調查,調查結果顯示*,78%的臉書用戶已意識到臉書垃圾訊息問題的嚴重性,49%的人已常常見到臉書上留有垃圾訊息,另更有超過30%的用戶,每天都必須花時間去清除那些垃圾訊息!


臉書已成長為世界上最大的網路社交平台,時至今日,現在網友每天花在社群網站上的時間,已經超越了收發電子郵件**。社群網站將取代電子郵件,成為新一代網路釣魚詐欺行為及個資收集的犯罪平台,並且同時成為網頁惡意程式散播的管道。當網友每日瀏覽眾多網頁內容時,很有可能會因為不經意或者因誘惑而點擊了不當連結,而就此陷入了詐欺設局。如何讓台灣網友能夠輕鬆上網,又不用步步為營地擔心上網安全問題,將是SUNWAI翔偉資安科技與F-Secure 芬安全持續在雲端安全領域的服務宗旨。

F-Secure安全顧問蘇利文(Sean Sullivan)則指出,「早期的垃圾廣告訊息多半是廠商直接對消費者,例如透過惡意廣告軟體感染用戶,以不斷彈出的廣告視窗達到廣告宣傳目的;但現在廠商已逐漸改變方式,改以社群網站作為媒介,讓垃圾廣告訊息能夠透過網友傳遞,擴散效果更為快速。

目前臉書上可見的垃圾訊息來源為「應用程式」以及「假帳號」,F-Secure提供以下分析:

垃圾訊息來源一:應用程式

臉書平台所提供的應用程式,是病毒垃圾訊息興起的來源。只要有一名用戶使用了暗藏垃圾訊息的應用程式,將其發送給朋友,很快地這個應用程式就會蔓延開來。例如標榜能夠增加「不喜歡(Dislike)」按鈕的應用程式就成功欺騙了12%的臉書用戶;而標榜能顯示「誰來我家」的應用程式也使了20%的臉書用戶受騙上當

垃圾訊息來源二:假帳號

這些假帳號多半使用面貌身材姣好的「正妹照」當作自己大頭貼以博取好感,他們會很刻意地在短時間加入大量的用戶做為好友,等到幾個月後好友人數到達一定的量之後,就開始散步垃圾廣告訊息,例如成人網站廣告等。「他們真的認真地蒐集了4,000多個好友。」F-Secure安全顧問蘇利文說。

雖然垃圾訊息會帶給用戶不好的感受,但大部分的使用者還是可以接受。針對社群網站的資安問題,77%的臉書用戶仍表示大部分的時間都是感到安全的,但若真的發生資安問題時,他們也還是會擔心財務資料等隱私是否安全;29%的人則是最擔心個人資料被竊取的問題,另外28%的人最擔心帳號遭到駭客入侵盜用。

臉書已經開始著手對抗垃圾訊息問題,包刮對於散播者採取法律行動、加強垃圾訊息檢舉系統以及加強企業頁面的垃圾訊息過濾機制等。但實際上臉書還可以做更多,例如加強假帳號的查驗機制,蘇利文表示,「只透過檢舉回報可能不太夠,如果能夠利用大頭貼相片自動比對的話,那麼查驗效果應該會更好,因為很明顯地,那些照片已經被人使用好多次了。」F-Secure建議,若要真正做到杜絕臉書垃圾訊息,就不要隨便同意陌生人加入好友,盡量只和你真實生活認識的人互動,在登入臉書首頁前,也須查看清楚是否為假的釣魚網頁,如此才可確保您的個人的資訊安全。

*此項調查是由F-Secure公司委託SurveyGizmo市調中心在2010年10月和11月間所做的調查。F-Secure詢問363名來自「F-Secure’s Safe and Savvy」部落格上所徵求的受訪者一系列問題,並請教他們如何在日常生活中使用Facebook。
**資料來源:「Digital Life」,2010年10月10日,http://discoverdigitallife.com/

新聞原始出處連結