[資安小常識] Microsoft 資訊安全情報報告第 17 卷摘要

圖(一)、微軟資訊安全情報報告第 17 卷   在本期的Microsoft 資訊安全情報報告中提到,部分安全防護軟體提供使用者「免費試用」版本,並在有限的時效內更新惡意程式特徵碼-通常為三個月。試用期結束後,使用者可選擇付費訂閱產品,以持續接收各項防護的更新。然而試用期結束後,許多使用者可能認為若沒有選擇付費版本,過期的試用版本應該還是可以提供持續阻止並移除可偵測到之惡意程式的能力。不幸的是,缺乏更新的安全防護軟體,將會大大降低保護電腦的成效。 編寫惡意軟體的攻擊者為了避開安全防護軟體的偵測,會不斷找尋漏洞、增強惡意軟體的穿透力。提供即時安全防護的廠商會定期更新其特徵碼資料庫,提高對每一個威脅性軟體的防護能力。當一個安全程式停止接收更新,它將很快地失去其檢測資安威脅的能力。在Microsoft 資訊安全情報報告中指出,被「保護」的電腦一旦過期,其即時保護的成效只會比「未保護」的電腦稍微好一點。 圖(二)、加入網域的電腦及未加入網域的電腦使用安全防護軟體的狀態比例   由Malicious Software Removal Tool (MSRT)產生一份關於被感染的電腦是否屬於Active Directory Domain Service(AD DS)的遙測數據。加入網域中的電腦通常是在企業環境中使用,未加入網域的電腦則較可能在家裡或非企業環境中使用。由圖(二)所示,加入網域的電腦(左)有0.7%使用過期的安全防護軟體,未加入網域的電腦(右)則高達9.3%,兩者其餘安全防護軟體的狀態數據則大致相似。使用過期安全防護軟體的比例成為兩者之間主要的差異,這也解釋了為什麼未加入網域的電腦通常未受到足夠的保護,無法避免惡意軟體攻擊。 圖(三)、運行Windows 8 及 Windows 8.1系統之未加入網域的電腦,使用安全防護軟體的狀態及受惡意軟體感染比率。   使用過期的安全防護軟體能提供您多少保護呢?由圖(三)所示,未加入網域的電腦若使用過期的安全防護軟體,其保護電腦的感染率約為正常更新安全防護軟體的四倍之高。讓人驚訝的是,此比率更與直接關閉安全防護軟體的感染率相差不遠。唯有正常更新特徵碼的安全防護軟體,能夠有效的降低感染率,真正達到即時防護電腦的功效。 電腦使用者必須了解到,過期的安全防護軟體僅能提供非常少的保護。Windows 8和Windows 8.1的應用商店中,您可以找到一系列有信譽的廠商提供反惡意軟體解決方案,並進行購買或免費下載,其餘Windows版本的使用者則可以存取消費者安防護軟體提供者,尋求更多的幫助。使用者也可以免費下載Microsoft Security Essentials (Windows Vista和Windows 7版本)或Windows Defender (Windows 8和Windows 8.1版本),啟用即時反惡意軟體,有效防護您的電腦!                                                                                                      參考資料: 微軟資訊安全情報報告第17卷 消費者安全防護軟體提供者 Microsoft Security Essentials 使用 Windows Defender  


[資安小常識] 搶先預覽Windows 10為企業帶來的先進資安防護特色

2014年10月1日凌晨,台灣本地尚未日出,然微軟已準備迎接睽違兩年新一代作業系統的曙光到來;不是Windows 9、Windows Threshold或是Windows TH,而是「Windows 10」 (現為技術預覽版)。Windows 10不僅集結了Windows 7與Windows 8的各項優點,更有包含「身分安全認證」與「資料保護」等資安防護特色。 而就微軟新一代作業系統以資安防護為主打,不難從近日頻傳的資安攻擊事件體認到其必要性;紐約時報於八月份的報導指出,全球十八億網路人口中就有十二億筆使用者帳號密碼遭到竊取,而這高達六成以上的竊取率更突顯了傳統帳號密碼的認證方式已不足保護企業與消費者的資訊安全。 有鑑於此,Windows 10在安全認證方面,以多重驗證的方式帶領身分驗證進入新的層級;使用者可以利用手邊的移動裝置如智慧型手機進行多一重的認證。 換句話說,使用者只要先將智慧型手機透過Wi-Fi或藍芽連結到電腦,在手機端輸入PIN碼抑或按壓指紋認證後,即可登入他們搭載Windows 10的本機。此類似遠端智慧卡的雙重認證方式不但可以帶來企業級的便利性與安全性,也無須額外的硬體安全週邊設備,可說是作業系統在身分安全認證上革命性的解決方案。 圖一、多重認證方式(一) (註:此畫面可能不是最終版使用者體驗或登入流程) 圖二、多重認證方式(二) (註:此畫面可能不是最終版使用者體驗或登入流程) 圖三、多重認證方式(三) (註:此畫面可能不是最終版使用者體驗或登入流程) 然而,在使用者通過驗證後,其所取得的憑證 (user access tokens)安全也是個課題。攻擊者不僅常以Pass the Hash與Pass the ticket 等類型攻擊取得使用者憑證,也會一齊發動進階持續性滲透攻擊(APT)進一步地竊取個資 (關於APT請參照[資安小常識]認識進階持續性滲透攻擊)。因此,為因應上述憑證攻擊,Windows 10透過將使用者憑證存放在運行  Hyper-V的安全容器,防範憑證從裝置中被讀取出來,增強了憑證的安全。   圖四、認證方式   另一方面,在資訊保護上Windows 10也建立了相當的保護機制。Windows 10針對公司App、資料、電子郵件、網頁內容或其他進入公司的敏感資料開啟自動加密以保護企業資料。而即使受保護的文件需要在不同的裝置平台上開啟,微軟跨作業系統的能力也能讓他們在其他平台下被存取。最後,針對使用如BYOD裝置的遠端使用者,Windows 10建立App白名單與黑名單以定義哪些App被授權存取VPN,提供使用者安全的遠端資料存取解決方案。   圖五、佈建金鑰及政策   據統計,約有百分之八十七的主管會將工作檔案上傳至私人信箱或雲端空間,其中更有百分之五十八的比例曾將敏感資料寄給錯誤的收件者。因此在存取管理外,更需要防範使用者在操作上的疏忽而將資料外洩的問題。因此除了MDM (Mobile Device Management)機制外,Windows 10也以資料外洩防護 (DLP) (關於DLP可參照資料外洩防護)解決方案將公司與個人資料分開存放並使用防堵政策來協助保護資料。資料版權管理 (Information Rights Management)因使用者未主動啟動而易洩漏公司資料的盲點也會因DLP獲得補足。 淺白而言,Windows 10在身分驗證防護不僅增加了金鑰的數量、金鑰的獨特性,更加強了金鑰保管的強度。而不論是建立App信任名單與定義授權存取的VPN抑或DLP解決方案, Windows…

3

微軟認證考試限時 85 折優惠活動

IT 專家與開發人員們,2014 年進入最後一季了,今年取得微軟認證的目標是否已達成?! 為了幫助您順利取得認證,即日起到 2014/12/31,微軟提供報考 MCP 考試即享 85 折優惠的促銷代碼,助您考試一臂之力!立即用促銷代碼到 VUE 或是 Prometric 考場參加微軟認證專家考試就享有限時限量 85 折優惠! 一般考生身份促銷代碼:15OFF 學生身份(校園)促銷代碼:STU15OFF 台灣報考 MCP 考試費用 USD$100,促銷代碼打 85 折後約可省下 NTD$450 元,對想考 MCP 的人何樂不為呢! 任何疑問請看促銷代碼考試條款,祝您考試順利! 促銷代碼考試條款 促銷代碼效期為 2014/10/1-2014/12/31 或是領完為止。 個人必須於 2014/10/1-2014/12/31 於 Pearson VUE 或是 Prometric 考試中心註冊或是參加微軟認證專家 MCP 考試。 促銷代碼必須在 2014/12/31 前使用並參加考試。 當註冊參加考試時您必須輸入促銷代碼 15OFF 或 STU15OFF 即可享有折扣並於考試付款時抵免折扣費用。 此促銷代碼限用於微軟認證專家 MCP 考試,一般考生身份 (070) 與學生考生身份 (072, 073) 考試。 促銷代碼適用於台灣。…


[資安小常識] Windows Server 2003 即將終止支援,企業須提早開始準備

  距離 Windows Server 2003 2015/7/14 終止支援,已經剩下不到9個月的時間,根據業界經驗,伺服器升級評估與移轉至少需要 200 至 350 天,台灣微軟建議企業現在就應及早開始準備。   Windows Server 2003 終止支援後,IT 人員需注意後續帶來的連鎖效應,包括 : 資安風險 : 終止支援後,微軟不再提供資訊安全修補程式和 Hotfix,伺服器和應用程式很容易遭受資訊安全威脅並造成停機時間。 成本提升 : 不再有任何付費或免費的協助支援選項,伺服器及應用程式維護費用將快速高漲。 法規風險 : 不符合法規與政策,可能導致信用評等降低、認證不通過,例如SSAE 16或ISO 27001等。   坊間所謂的補救方案,其實並無法完全解決問題,其迷思在於 : 把伺服器虛擬化就好了?使用虛擬機器一樣還是Windows Server 2003,一樣要面對終止支援問題。 靠資安軟體防護?第三方廠商的資安軟體並無法解決系統核心漏洞,一樣沒有Windows Update提供修補程式。   面對 Windows Server 2003終止支援,企業升級路徑有以下兩條: 升級 Windows Server 2012 R2。Windows Server 2012 R2 在擴充性、效能、安全性等方面都居於業界領先地位,升級 Windows Server 2012 R2 不只解決終止支援問題,更帶領企業走向現代化。並帶給企業以下優點: 更快:各項效能評比皆優於舊版,提升企業生產力 直接內建 Hyper-V 3.0…

1

[資安小常識] 雲端「照」得住?!─ 淺談使用智慧型手機存取雲端服務的潛在風險與防範方法

近期上映的好萊塢電影描述男女主角將夫妻間的私密照片上傳到雲端後不小心分享給親朋好友,千方百計想要取回檔案的故事。而本月初近百位的知名女星也因雲端服務被入侵而致個人私密照外洩,電影情節不僅搬上現實舞台,這次駭客攻擊事件也名列智慧型手機雲端服務史上危害最廣的資安事件之一。   和電影男女主角意外將自己的私密照外洩情節不同的是,此次事件乃為駭客針對特定受害者的雲端帳號「集中攻擊」。根據該科技公司與FBI的調查,這場隱私風暴源於「手機協尋」服務身分登入介面的設計盲點;而駭客正是針對好萊塢女星的帳戶進行集中攻擊,以暴力法 (Brutal Force)破解密碼進而竊取私密照片。暴力破解法若以六個位元的密碼設定為例,其會由「aaaaaa」按照順序嘗試破解排列到「//////」的組合。而原登入介面便是由於密碼錯誤次數未設限制,才導致駭客利用此途徑,針對包括奧斯卡影后珍妮佛羅倫斯等人進行個人資料竊取。在此資安事件後,該登入介面也被更改設定為五次的密碼嘗試錯誤機會,以防堵類似的駭客攻擊。 (圖片來源:http://research.microsoft.com/en-us/UM/redmond/groups/ccs/ )   若要保護個人隱私,除了注意不將個人敏感資料上傳雲端外,也建議避免將個人密碼設定為出生年月日、身分證字號等不法人士可利用社群工具獲取的資料。另一方面,新一代資安軟體也可用來協助保護使用者的密碼被破解的可能。如近期由瑞典資安公司BehavioSec開發的軟體便可藉由比對使用者在輸入密碼時的方式,以輸入密碼的快慢節奏判斷輸入者的身份,區分駭客與使用者,以達到更紮實的資安保護。 在自家存放的錢財可能會被偷走,在銀行金庫的珠寶也可能被竊取,但若多加強認證手續、增加金庫的鑰匙,在享有雲端便利的同時也可擁有安心的保障。以下整理幾個要點做為參考: 避免使用連續的阿拉伯數字或英文當作密碼 建議以中文注音輸入法的字母位置輸入英文密碼,如:密碼→au4(密)u83(碼) 避免使用「password」當作密碼 定期更換密碼 避免使用個人社群可得資料當作密碼,如出生年月日或身分證字號   參考資料 http://time.com/3247717/jennifer-lawrence-hacked-icloud-leaked http://www.nbcnews.com/tech/security/forget-passwords-future-logging-n188386 http://www.dailymail.co.uk/sciencetech/article-2739764/Did-iClouds-Find-My-iPhone-function-help-hackers-steal-celebrities-nude-photos-Flaw-exposed-hundreds-images.html http://en.wikipedia.org/wiki/Brute-force_attack

1

[資安小常識] 您下載的App真的安全嗎?請檢查您App的授權行為!

圖1: 絕大部分的民眾經常使用智慧型手機中的App 圖片來源: Silicon Republic http://www.siliconrepublic.com/digital-life/item/34214-more-than-half-of-irish-peo   相信您經常在您的智慧型手機內下載有趣、方便又實用的App。然而,不是所有App都是安全的。從2014年6月的McAfee實驗室威脅報告(McAfee Labs Threats Report)指出, 今年第一季統計智慧型手機惡意程式(Mobile Malware)總共已接近400萬隻(圖2),您從App Store上下載的App,也可能是惡意應用程式。 圖2: 智慧型手機惡意程式統計數據每年持續增長 圖片來源:McAfee Labs Threats Report, June 2014. http://www.mcafee.com/us/resources/reports/rp-quarterly-threat-q1-2014.pdf   若您安裝夾帶惡意程式的App,此App可能做出以下未經您允許的行為: 恣意安裝其他的App 允許App監控您的SMS訊息,並記錄或處理這些資料 以您的名義寄出SMS訊息 擷取您的SMS訊息 追蹤您的GPS位置(經緯度位置) 讀取您的IMEI號碼、MAC地址,並傳輸這些資料到第三方(JSON) 寄出您的活動紀錄至第三方(例如:竊取您在智慧型手機內設定的帳戶及密碼) 圖3: 原版FloppyBird與惡意App易混淆 圖片來源:McAfee Labs Threats Report, June 2014. http://www.mcafee.com/us/resources/reports/rp-quarterly-threat-q1-2014.pdf   最明顯的例子是紅極一時的Floppy Bird(其作者在今年二月關閉此App)。Floppy Bird的成名以及普及性,成為了網路攻擊者的首要目標。惡意軟體編寫者製作了數百種與Flappy Bird相似的App(圖3),如Fly Bird、Flappy Penguin等等,並夾帶智慧型手機惡意程式(Mobile Malware)。利用用戶對此遊戲的熱情,企圖誘惑使用者下載這些應用程序,藉此達到攻擊的效果。這些App也曾是被驗證過的應用程序。從報告指出,在抽取300份相似於Floppy Bird的上架遊戲中,高達238份樣本被歸類為惡意程式,意味著有高達80%的App是有資訊安全疑慮的。 圖4: 在Google Play商店安裝Outlook.com出現請求授予權限的畫面   App選擇包羅萬象,使用者要如何判斷App的安全性呢?資安小常識這裡提供了一些方法,讓您在安裝時可以參考:…


[資安小常識] 世足意外掀起的網路攻擊熱

隨著世界足球賽邁入八強,賽程逐漸升溫,然在巴西本地破億觀眾熱情吶喊支持聲中, 另一股意想不到的熱潮也在意外蔓延─網路攻擊。   在一份由世足期間以保護巴西政府的科技設備為任務的義大利虎安全公司出爐的報告指出─“破壞政府基礎設施攻擊以指數增長至每天近2000個目標“。在這些逐步擴大攻擊範圍的數據之外,據信這些駭客攻擊大多數並非從本地,而是來自印度、土耳其、歐洲、墨西哥和美國等境外地區。 自直昇機上拍攝的里約熱內盧照片。(圖片來源:維基百科) 真正的猛烈病毒攻擊在比賽正式開始的前幾天開始,以魚叉式網路釣魚攻擊外交部員工的電子郵件帳戶。該駭客活動送出超過600電子郵件給有關人員,引誘他們在駭客架設的一個假網站輸入帳號密碼。正如其名,魚叉式網路釣魚旨在以魚叉般準確攻擊特定的目標進行網路釣魚攻擊,以寄送電子郵件的方式,藉著夾帶特洛伊病毒或其他間諜病毒攻擊受害者。 接著,他們會使用竊取來的帳號密碼來進一步竊取員工的電子郵件,盜取他們所有的郵件和地址簿。然而巴西政府外交部門的發言人聲稱沒有重要的資料被人偷走,並宣布他們已經解決了這個問題。駭客針對特定部門的攻擊行為雖不清楚意圖為何,但可推斷龐大的人潮湧入對於駭客而言可說是捕獲大群魚群的好時機。從以上驚人的數據可以看出,巴西在熱鬧的世足賽事外,其政府科技基礎也在經歷強烈的網路攻擊熱潮。   在享受四年一度的運動盛宴同時,一般民眾若想避免自己個人資料外洩,可以參考以下方式。在電子信箱方面,若不確定自已登入信箱網站的真偽,建議先刻意輸入不正確的密碼,當然真的信箱入口會因密碼錯誤而被要求重新輸入,然釣魚網站則會因無法判對而自然放行,網站的真偽便可揭曉。另一方面,建議使用者在造訪網站時,仔細檢查網址的拼字正確與否,許多駭客設立的釣魚網站在網址上多架設類似真正官方網址拼字,但易混淆的網址。最後,許多需要輸入信用卡號碼等敏感資訊的網站都為https保護的,建議使用者在網址列前端確認是在https保護下才輸入個人敏感資料。   在打開電腦抑或手機慶祝地球最大的足球慶典時,也別忘了維護、注意個人資訊安全! 參考資料: 魚叉式釣魚網站(維基百科)   http://zh.wikipedia.org/wiki/%E9%AD%9A%E5%8F%89%E5%BC%8F%E7%B6%B2%E8%B7%AF%E9%87%A3%E9%AD%9A 辨識虛假電子郵件和網路釣魚騙術(Microsoft)  http://office.microsoft.com/zh-tw/outlook-help/HA001140002.aspx 富比士(Forbes) Brazil’s World Cup Of Cyber Attacks: From Street Fighting To Online Protest http://www.forbes.com/sites/federicoguerrini/2014/06/17/brazils-world-cup-of-cyber-attacks-from-street-fighting-to-online-protest/?ss=Security


[資安小常識] Microsoft 資訊安全情報報告第 16 卷內容摘要

編者:Cho-Han Wu   圖一、 微軟資訊安全情報報告第 16 卷  (圖片來源)   Microsoft 資訊安全情報報告第 16 卷 (SIRv16) 提供了有關 Microsoft 和協力廠商軟體中的軟體漏洞、攻擊和惡意程式碼威脅的深入研究。這些研究基於 Microsoft 過去多年的詳細趨勢分析,本期分析重點在於 2013 年下半年(7 月到 12 月) 的資料。針對資安漏洞、惡意軟體分佈以及軟體弱點攻擊程式碼趨勢提供深入的分析觀點。本次資安小常識擷自該報告的主要結論,提供您對資訊安全的趨勢的深入瞭解。   本報告主要以幾個主要分類進行探討: 1. 資訊安全漏洞 (Vunerabilities) 2. 攻擊 (Exploit) 3. 惡意軟體 (Malware) 4. 電子郵件威脅 (Email threats) 5. 惡意網站 (Malicious websites)   資訊安全漏洞 (Vunerabilities) 資訊安全漏洞是軟體的缺陷,攻擊者可以利用這些缺陷威脅軟體或軟體所處理的資料的完整性、可用性或機密性。某些最嚴重的漏洞使攻擊者可以讓受損的系統在使用者不知情的情況下運行惡意程式碼,進而攻擊該系統。 2013 年下半年,整個產業的資訊安全性漏洞披露比 2013 年上半年增加 6.5%,比 2012 年下半年增加…


請盡速更新您的 Internet Explorer 瀏覽器

編者:Cho-Han Wu 根據 Microsoft 資訊安全摘要報告 2963983 指出, Internet Explorer 的資訊安全風險可能會允許攻擊者遠端執行程式碼。 而且此資訊安全風險將包含 Internet Explorer 的所有版本 ( Internet Explorer 6、Internet Explorer 7、Internet Explorer 8、Internet Explorer 9、Internet Explorer 10 及 Internet Explorer 11) 微軟已於 5/1 發行了資訊安全更新 MS14-021 針對此項安全風險進行修正。本文章提供您兩種更新的方法來更新您的 IE ,建議您盡快下載更新,遠離風險。 第一種方法為使用 Windows 自動更新 1. 開啟「控制台」   2. 點選「 Windows Update 更新」   3. 查看更新項目   4. 勾選「Security Update…


[資安小常識] 持續使用 Windows XP 可能會造成的資安風險

編者:Cho-Han Wu   圖一、Window XP 即將在 2014年4月8日終止支援  (圖片來源)   Windows XP 是微軟從2001 年就發行的作業系統,至今已經超過十個年頭了。微軟相當了解該產品的生命週期,也了解升級需要花上一段時間,所以提前在 2007年就宣布Windows XP 將在 2014年的四月八日終止支援。目前大部分的企業都已經將系統升級了,但是仍有部分客戶尚未升級。但由於使用過期的 Windows 版本可能會危害系統的安全,故本次資安小常識將介紹持續使用 Windows XP 可能造成的資安風險,並提供您最新版 Windows 8.1 所具備的資安特色以及升級指南。   Windows XP 的資安風險 根據微軟資訊安全情報報告書的內容,持續使用 Windows XP 會有以下幾點風險: 一、 瀏覽網頁 (Surfing the Internet) 在停止更新之後,新的 Windows XP入侵套件可能會在駭客之間被販賣和流通,進而被駭客所利用。而缺乏官方更新的Windows XP 會讓使用者在瀏覽網路時暴露在風險之中。   二、 開啟Email 和使用即時訊息 (Opening Email and Using Instant Messaging, IM) 許多的攻擊者會透過Email…