2011年7月16日 星期六

【資安】行動病毒猖獗 兩年內1/20裝置受感染

0 意見


根據資安公司trusteer表示,如果詐欺集團將現有的漏洞整合一起發動,在十二到二十個月內超過二十分之一(5.6%)的Android手機與iPhone/iPad裝置可能遭受惡意軟體感染。
該公司表示Google 的Android平台是詐欺者的天堂,因為目前的資安架構並未完善,將很容易產生強力的詐欺應用程式,並且輕鬆散佈出去。同時也指出,目前缺乏有效控制應用程式上架發行的方式,導致Android Market上存在惡意軟體。
下面這段話是攻擊者提到的:「跟蘋果的App Store相比,Android Market 就像是蠻荒的大西部,使用者完全不能相信所下載的應用程式。」
而蘋果的iOS也難倖免於難,儘管該公司承認蘋果的App Store 因為採用的嚴格控管軟體上架程序而比Android Market要安全的多,但是逃獄行為會導致威脅,目前透過網頁就可以輕鬆逃獄的漏洞是一個嚴重的問題。其表示:「JailbreakMe.com 公佈了一個可以讓使用者透過網頁就自動逃獄的漏洞,該PDF的安全問題在之前就已經被公開過。即使只是點一下被竄改的PDF檔案,或是在網頁上所嵌入的PDF文件都會讓行動裝置感染惡意軟體。」
Trusteer公司提供四點建議在讓行動銀行應用更安全上:
1. 對每個下載的應用程式確認評價、使用報告與使用者意見,避免低評價、新出現與反應差的應用程式。
2. 針對Android程式所要求的權限小心確認,如果該應用程式要求存取簡訊或是其他敏感資訊,在下載之前就應該終止其運作並進一步研究其行為。
3. 在個人電腦上保存一個直接從銀行網佔下載的如Trusteer Rapport 安全網路銀行軟體,這些軟體可以透過阻止詐欺者控制網路管道,阻止MitMo攻擊。
4. 經常性的在行動裝置上安裝系統與軟體更新。 
(ZDNet Taiwan編輯部/Doger Lin譯)

【資訊】微軟與刑事警察局聯手提供Windows Live帳號被盜停權機制

0 意見

民眾現在只要發現Windows Live帳號被盜,可向各地警察局報案、填寫帳號停權申請書,由165專線統一轉交微軟在24小時內處理,降低駭客盜用帳號繼續詐騙的不法行為。
微軟與刑事警察局聯手推出Windows Live快速停權機制,使用者只發現帳號被盜可前往警局報案,由警方轉交微軟在24小時內停權處理,降低被駭帳號繼續利用詐騙的可能性。

這項機制的流程是民眾發現個人Windows Live帳號被盜用時,可前往各地方警察局報案,並填寫帳號緊急停權申請書,警察局會將報案單與申請書交由165專線統一處理,線上通知微軟在24小時內停權。事後使用者若要復權可進入Windows Live頁面經過身份驗證後,重設密碼取回帳號使用權

該機制將全國警政單位與微軟的帳號管理相結合,讓Windows Live帳號合法使用者發現帳號被盜用時,可以經由統一的帳號停權申請機制,停止個人帳號繼續被盜用,成為網路詐騙或攻擊他人的工具。

在此之前,民眾發現Windows Live帳號被盜若直接向微軟反映,需經過身份驗證確認合法使用者身份才能申請帳號停權,但因為帳號申請並非實名制,很多人可能是以假資料申請一個或多個帳號,因遺忘驗證資料無法通過身份驗證,使用者需向警察單位報案間接向微軟提出停權申請,但過去因為微軟與警察單位未建立統一機制,因不瞭解處理方式,延長帳號停權處理時間。

台灣微軟法務既公共事務部資深副總經理暨法務長施立成表示,雙方建立共同機制後,帳號合法使用者向警察單位報案,由警方確認使用者身份,由165專線統一以電子表單向微軟申請,在24小時內停止帳號使用,提供快速帳號停權機制。微軟成為第一家主動與警政單位合作提供快速停權機制的免費服務業者。

雙方希望這項共同合作可以產生拋磚引玉的效果,其他即時通訊平台、社群網站、線上遊戲業者也能效法該機制,擴大防止帳號被盜用的可能。

根據刑事警察局165專線的統計,盜用即時通訊、社交網路、線上遊戲帳號,併裝為帳號使用人向他人詐騙代購遊戲點數、電信小額付費驗證碼的情形增加,從今年一月到目前為止約有1600多件,說明這類詐騙行為相當盛行。

原始資料來源:iThome:微軟與刑事警察局聯手提供Windows Live帳號被盜停權機制

2011年7月2日 星期六

【資訊】如何徹底消滅你的Facebook帳號

0 意見

撰文者:李宜穆編譯發表日期:2011-06-30

    
儘管這對近來剛達到7.5億用戶大關的Facebook而言,用戶想要刪除帳戶可能並不是他們最擔心的事,但一旦你真的鐵了心想徹底刪除自己在Facebook上的所有足跡,你就會發現一件事實:Facebook真的真的很不希望用戶離開它,儘管你能在Facebook上找到「停用帳號」的按鍵,但你在成功擊敗Facebook用美好回憶照片與「某某家人或朋友會想念你捏」的情感攻勢後,你按下的卻僅只是「停用」按鍵,你的個人資料仍安然儲存在Facebook主機上,等待你某天回心轉意重新登入後「再次啟用帳號」。所以,到底該如何徹底消滅自己在Facebook上的所有足跡? 
1.    先備份所有個人資料 儘管你真的狠得下心刪除Facebook上的所有足跡,你應該也不能否認好幾年下來,你的狀態、照片、影片與個人訊息還是有不小的保留價值,因此Facebook提供簡單方式讓你把個人帳號上的所有內容下載成壓縮檔以及HTML檔案,供你能在日後用網頁瀏覽器觀看個人回憶: 
點選「帳號」-「帳號設定」-來到最下方的「下載你的資料」
2.    永久刪除所有個人資料 如上所述,一般帳號設定中找不到刪除帳號的按鍵,你得來到網站的「使用者說明中心」中才找得到相關刪除資訊,或者你可以透過點選這個連結直接來到「刪除我的帳號」。不過千萬注意,如同Facebook所述,一旦真的按下去,「您將不能重新啟動帳號或擷取任何已新增的內容或資訊。」
 
出自ReadWriteWeb  

【資安】人性,才是最大的資安漏洞

0 意見

最可怕的資安漏洞是人類的好奇心與無知

最近資安事件頻傳,其實如果運用全球最頂尖的防火牆和網路安全軟體,也許可以擋掉部分駭客攻擊,但是根據美國聯邦國土安全部最近針對政府員工進行的一個實驗,顯示人性中的好奇與無知,才是最大的資安漏洞。 這個測試是這樣的,電腦光碟及USB隨身碟被散落在政府建築物及私人停車場中,結果竟然有60%撿起的人,都把裝置插進了辦公室的電腦中,而如果驅動程式或CD上印有正式logo,更有90%的人都會安裝(完整報告將在今年稍晚釋出)。試想如果這些裝置和媒介被有心駭客利用,那根本也不必連到目標對象網絡,就可以輕易入侵電腦系統了。例如去年針對特定工業生產系統進行攻擊的超級電腦蠕蟲Stuxnet,就可能是經由被感染的USB隨身碟等硬體大肆蔓延,才會使得缺乏外部網路連結的電腦也同樣中標。 科技始終來自於人性,同樣地,資安災難的根源,似乎也不在電腦本身,而是和人性脫不了關係,因此駭客組織LulzSec雖然已經宣布退出江湖,我們就因此變得比較安全了嗎?好像也不見得。 
出自The Next Web

此篇文章出處網址