[資安小常識] 揭露Microsoft Ignite 年度大會帶來的嶄新技術

上週的 Microsoft Ignite 年度技術大會是令人振奮的時刻,大會上發表許多新一代產品,包含新一代的混合雲 Windows Server 2016 Technical Preview 2、System Center 2016 Technical Preview 2、Microsoft Azure Stack (前身為 Windows Azure Pack ) & Microsoft Operations Management Suite (OMS) 以及 Enterprise Mobility 新家族成員 Microsoft Advanced Threat Analytics (ATA)。新一代產品不但帶來嶄新技術,也在各種方面保障使用者資訊安全: Windows Server 2016 Microsoft Ignite 2015 年度技術大會上發表了 Windows Server 2016 第二個技術預覽版,此一版本首度內含微軟全新設計的 Nano Server,這是一個針對雲端應用最佳化的極簡伺服器架構,僅配備各種必要元件。新版本的 Windows Server 2016 改善了運算與虛擬化、網路、儲存、安全及管理等。在運算及虛擬化上,更新了 Hyper-V…

1

[資安小常識] Windows 10 技術預覽版先進資安防護特色簡介 Part II

如「搶先預覽 Windows 10 為企業帶來的先進資安防護特色」一文所介紹, Windows 10 在安全認證方面,除了已介紹過的  APP 黑名單與 VPN 授權存取等資安保護機制外,Windows 10 技術預覽版也以 NGC (Next Generation Credentials)、FIDO  (Fast Identity Online Alliance) 和IE溢位旗幟「Canary」,帶領對使用者的資訊安全保護進入更高等級。 NGC解決方案方面,首先由使用者經PIN碼或生物辨識解開 TPM (Trusted Platform Module) 或KSP (Key Storage Provider) 保護的身分資訊 (Identity),將身分資訊以及金鑰提供給 IDP (Identity Provider),再由 IDP 頒布裝置憑證 (Token) 才方為完成。 圖1、NGC 而 FIDO 方面,Windows 10 技術預覽版也以符合 FIDO 2.0 規範的企業化安全認證;應用 Azure Active Directory 搭配 Windows 10…


[資安小常識] 應用MSRT防範Escad和Junipd的惡意攻擊

今年二月,Microsoft惡意軟體移除工具(MSRT)加入三個新項目:Win32/Escad、Win32/Jinupd和Win32/NukeSped來協助保護客戶。 首先,惡意駭客藉由Jinupd等銷售點惡意軟體竊取敏感性資料如信用卡資訊。而Escad和NukeSped的後門功能也被惡意軟體作為攻擊目標。 以上所述三項惡意軟體皆對使用者造成資安上的危害,然本篇將會多將重點放在Escad和NukeSped進行討論。   MMPC(Microsoft Malware Protection Center)藉由分析二進位資料,發現了Escad的許多惡意攻擊功能。它可以在受到攻擊的電腦中執行大量的常式,用來蒐集敏感的資料,其中包括: 設置為代理伺服器 複製檔案,並將它們發送到遠端的IP位址 將檔案遠端下載到受感染的系統 枚舉(enumerate)任何資料夾中的檔案 收集機器中的資訊,如電腦名稱、TCP連接和網路介面卡的資訊 修改防火牆設定 修改IP設定 以上常式(routine)將被感染的系統開放給其他遠端攻擊— 包括下載和運行其他惡意軟體。 Escad會將檔案偽裝成安裝服務,在系統啟動時運行。而下列便為已使用此手法進行攻擊的案例: ansi.nls dayipmr.tbl netmonsvc.dll pmsconfig.msi pmslog.msi rdmgr.dll remoteevtmanager.dll tmscompg.msi      因此,若任何這些檔案的存在都可能意味著受到Escad感染。 圖 1 和圖 2 顯示Escad 惡意軟體在最近幾個月的比例及其分佈特徵。 圖 1: 2014年 12 月以來Escad 檢測結果 圖 2: 感染Escad 的國家 最近,MMPC檢測到NukeSped的變種在受到Escad的針對性攻擊過程中被安裝。NukeSped 可能以下列程式名稱攻擊系統: comon32.exe diskpartmg16.exe dpnsvr16.exe expandmn32.exe hwrcompsvc64.exe mobsynclm64.exe rdpshellex32.exe recdiscm32.exe taskchg16.exe taskhosts64.exe…

1

[資安小常識] 雲端MAPS對於企業的資安幫助

惡意軟體往往可以使得一個龐大的企業基礎設施陷入混亂。 然而,你可以藉由使用雲端MAPS服務,更有效地封鎖惡意軟體。 MAPS是什麼? Microsoft Active Protection Service(MAPS)的雲端服務具有以下功能: 當遙測事件和可疑惡意軟體使用雲端服務時,向用戶端回報相關訊息 雲端可即時向用戶端提供封鎖回應 MAPS可用於 Microsoft 的防毒產品和服務: Microsoft Forefront Endpoint Protection Microsoft Security Essentials System Center Endpoint Protection Windows Defender (Windows 8 及更高的版本) MAPS能為您的企業軟體安全做什麼? 在系統中使用MAPS可提供以下服務: 透過雲端提供更完整的惡意軟體封鎖決策,加強對惡意軟體的保護 啟用MAPS觸發雲端呼叫可疑事件,有助於確保裝置從 Microsoft 惡意軟體保護中心 (MMPC) 研究團隊、後端海量資料和機器學習邏輯,擁有最新的惡意軟體資訊。 聚合保護遙測(Aggregated protection telemetry)   透過雲端提供的最新全生態系統的檢測技術,微軟聚合保護遙測(Aggregated protection telemetry)已擁有超過10 億個客戶,並交叉分析他們的資料。 MMPC利用演算法來建構和管理生態系統(ecosystem)威脅的情形。當端點產品遇到可疑活動時,它可以在採取行動之前諮詢雲端且即時分析。 海量資料和雲端計算資源可促使多態性和新興威脅的快速檢測和先進的技術保護應用。 圖 1: 雲如何從端點和後端提供保護和遙測。 用戶端電腦選擇性地發送即時 (用於檢測)或定期遙測(安全檢查)到 Microsoft 惡意軟體保護中心(MMPC),其中包括: 威脅遙測 —…

2

[資安小常識] 更新瀏覽器替您帶來14 倍安全的假期 !

瀏覽器是大多數人連結網路的方式,然隨著惡意軟體在網路上的擴散,瀏覽器可說是系統防禦的第一道防線。隨著寒假與春節假期的到來所帶來的攀升網路使用率,遭到攻擊的機率也隨之提高,瀏覽器的安全防護因此更顯重要。 電腦安全專業人員經常提醒使用者定期更新他們的軟體,且微軟產品更是能透過簡單步驟更新,如透過Microsoft 更新的Internet Explorer。 其他常用瀏覽器如Google Chrome 瀏覽器和 Mozilla Firefox,皆儘量讓使用者更新到最新版本。然而,就過去蒐集的安全情報報告所示,許多使用者並未將他們的瀏覽器和其他應用程式到升級到最新版本,以保護他們的電腦系統。 雖然我們被告知要更新,實際測試風險的數據卻一直很少。而就在Microsoft 安全要素和Windows Defender保護下,不同版本的瀏覽器所測得的數據,有助於分析電腦上瀏覽器的風險比率。 瀏覽器的新版本可以提供新的功能、保護及安全漏洞的修補程式。這意味著一個新的瀏覽器往往比其前身更安全。而Microsoft 惡意軟體保護中心(MMPC)所做出的資料分析更強化了這論點。 MMPC比較了在11 月份中,Windows上運行的不同版本預設瀏覽器的風險,而在總共 219筆 不同的瀏覽器檔案中,有其中的 34 筆運行在超過 10,000筆不同電腦上。然而最重要的是,資料顯示了較新版本的瀏覽器有著較低的被攻擊風險。 資料顯示,IE 11是測試結果中最安全的瀏覽器,它包括了到目前為止最先進的保護。上方圖表顯示了它如何有效的保護系統。你可以在此圖表中看出,從 Internet Explorer 6升級到 Internet Explorer 11 ,提高了14 倍的保護力,讓使用者遇到惡意軟體的風險更小。 風險比率是以惡意軟體遇到每個瀏覽器和其他瀏覽器之間的比率做為計算方式。若以使用者的平均風險 100%作為基準,則低於 100%代表比較安全,超過 100%意味著該瀏覽器很有可能被惡意軟體攻擊。 更重要的是,升級您的瀏覽器沒有成本。該分析結果更印證了運行最新瀏覽器的重要性。隨著假期的到來而攀升的網路使用率,我們強烈鼓勵使用者升級到最新的瀏覽器版本,以防止惡意軟體,帶給您更安全的假期。 下載最新版本的 Internet Explorer     參考資料: http://blogs.technet.com/b/mmpc/archive/2014/12/18/make-your-browsing-14x-safer-for-the-holidays.aspx

5

[資安小常識] Microsoft 資訊安全情報報告第 17 卷摘要

圖(一)、微軟資訊安全情報報告第 17 卷   在本期的Microsoft 資訊安全情報報告中提到,部分安全防護軟體提供使用者「免費試用」版本,並在有限的時效內更新惡意程式特徵碼-通常為三個月。試用期結束後,使用者可選擇付費訂閱產品,以持續接收各項防護的更新。然而試用期結束後,許多使用者可能認為若沒有選擇付費版本,過期的試用版本應該還是可以提供持續阻止並移除可偵測到之惡意程式的能力。不幸的是,缺乏更新的安全防護軟體,將會大大降低保護電腦的成效。 編寫惡意軟體的攻擊者為了避開安全防護軟體的偵測,會不斷找尋漏洞、增強惡意軟體的穿透力。提供即時安全防護的廠商會定期更新其特徵碼資料庫,提高對每一個威脅性軟體的防護能力。當一個安全程式停止接收更新,它將很快地失去其檢測資安威脅的能力。在Microsoft 資訊安全情報報告中指出,被「保護」的電腦一旦過期,其即時保護的成效只會比「未保護」的電腦稍微好一點。 圖(二)、加入網域的電腦及未加入網域的電腦使用安全防護軟體的狀態比例   由Malicious Software Removal Tool (MSRT)產生一份關於被感染的電腦是否屬於Active Directory Domain Service(AD DS)的遙測數據。加入網域中的電腦通常是在企業環境中使用,未加入網域的電腦則較可能在家裡或非企業環境中使用。由圖(二)所示,加入網域的電腦(左)有0.7%使用過期的安全防護軟體,未加入網域的電腦(右)則高達9.3%,兩者其餘安全防護軟體的狀態數據則大致相似。使用過期安全防護軟體的比例成為兩者之間主要的差異,這也解釋了為什麼未加入網域的電腦通常未受到足夠的保護,無法避免惡意軟體攻擊。 圖(三)、運行Windows 8 及 Windows 8.1系統之未加入網域的電腦,使用安全防護軟體的狀態及受惡意軟體感染比率。   使用過期的安全防護軟體能提供您多少保護呢?由圖(三)所示,未加入網域的電腦若使用過期的安全防護軟體,其保護電腦的感染率約為正常更新安全防護軟體的四倍之高。讓人驚訝的是,此比率更與直接關閉安全防護軟體的感染率相差不遠。唯有正常更新特徵碼的安全防護軟體,能夠有效的降低感染率,真正達到即時防護電腦的功效。 電腦使用者必須了解到,過期的安全防護軟體僅能提供非常少的保護。Windows 8和Windows 8.1的應用商店中,您可以找到一系列有信譽的廠商提供反惡意軟體解決方案,並進行購買或免費下載,其餘Windows版本的使用者則可以存取消費者安防護軟體提供者,尋求更多的幫助。使用者也可以免費下載Microsoft Security Essentials (Windows Vista和Windows 7版本)或Windows Defender (Windows 8和Windows 8.1版本),啟用即時反惡意軟體,有效防護您的電腦!                                                                                                      參考資料: 微軟資訊安全情報報告第17卷 消費者安全防護軟體提供者 Microsoft Security Essentials 使用 Windows Defender  


[資安小常識] 搶先預覽Windows 10為企業帶來的先進資安防護特色

2014年10月1日凌晨,台灣本地尚未日出,然微軟已準備迎接睽違兩年新一代作業系統的曙光到來;不是Windows 9、Windows Threshold或是Windows TH,而是「Windows 10」 (現為技術預覽版)。Windows 10不僅集結了Windows 7與Windows 8的各項優點,更有包含「身分安全認證」與「資料保護」等資安防護特色。 而就微軟新一代作業系統以資安防護為主打,不難從近日頻傳的資安攻擊事件體認到其必要性;紐約時報於八月份的報導指出,全球十八億網路人口中就有十二億筆使用者帳號密碼遭到竊取,而這高達六成以上的竊取率更突顯了傳統帳號密碼的認證方式已不足保護企業與消費者的資訊安全。 有鑑於此,Windows 10在安全認證方面,以多重驗證的方式帶領身分驗證進入新的層級;使用者可以利用手邊的移動裝置如智慧型手機進行多一重的認證。 換句話說,使用者只要先將智慧型手機透過Wi-Fi或藍芽連結到電腦,在手機端輸入PIN碼抑或按壓指紋認證後,即可登入他們搭載Windows 10的本機。此類似遠端智慧卡的雙重認證方式不但可以帶來企業級的便利性與安全性,也無須額外的硬體安全週邊設備,可說是作業系統在身分安全認證上革命性的解決方案。 圖一、多重認證方式(一) (註:此畫面可能不是最終版使用者體驗或登入流程) 圖二、多重認證方式(二) (註:此畫面可能不是最終版使用者體驗或登入流程) 圖三、多重認證方式(三) (註:此畫面可能不是最終版使用者體驗或登入流程) 然而,在使用者通過驗證後,其所取得的憑證 (user access tokens)安全也是個課題。攻擊者不僅常以Pass the Hash與Pass the ticket 等類型攻擊取得使用者憑證,也會一齊發動進階持續性滲透攻擊(APT)進一步地竊取個資 (關於APT請參照[資安小常識]認識進階持續性滲透攻擊)。因此,為因應上述憑證攻擊,Windows 10透過將使用者憑證存放在運行  Hyper-V的安全容器,防範憑證從裝置中被讀取出來,增強了憑證的安全。   圖四、認證方式   另一方面,在資訊保護上Windows 10也建立了相當的保護機制。Windows 10針對公司App、資料、電子郵件、網頁內容或其他進入公司的敏感資料開啟自動加密以保護企業資料。而即使受保護的文件需要在不同的裝置平台上開啟,微軟跨作業系統的能力也能讓他們在其他平台下被存取。最後,針對使用如BYOD裝置的遠端使用者,Windows 10建立App白名單與黑名單以定義哪些App被授權存取VPN,提供使用者安全的遠端資料存取解決方案。   圖五、佈建金鑰及政策   據統計,約有百分之八十七的主管會將工作檔案上傳至私人信箱或雲端空間,其中更有百分之五十八的比例曾將敏感資料寄給錯誤的收件者。因此在存取管理外,更需要防範使用者在操作上的疏忽而將資料外洩的問題。因此除了MDM (Mobile Device Management)機制外,Windows 10也以資料外洩防護 (DLP) (關於DLP可參照資料外洩防護)解決方案將公司與個人資料分開存放並使用防堵政策來協助保護資料。資料版權管理 (Information Rights Management)因使用者未主動啟動而易洩漏公司資料的盲點也會因DLP獲得補足。 淺白而言,Windows 10在身分驗證防護不僅增加了金鑰的數量、金鑰的獨特性,更加強了金鑰保管的強度。而不論是建立App信任名單與定義授權存取的VPN抑或DLP解決方案, Windows…

3

微軟認證考試限時 85 折優惠活動

IT 專家與開發人員們,2014 年進入最後一季了,今年取得微軟認證的目標是否已達成?! 為了幫助您順利取得認證,即日起到 2014/12/31,微軟提供報考 MCP 考試即享 85 折優惠的促銷代碼,助您考試一臂之力!立即用促銷代碼到 VUE 或是 Prometric 考場參加微軟認證專家考試就享有限時限量 85 折優惠! 一般考生身份促銷代碼:15OFF 學生身份(校園)促銷代碼:STU15OFF 台灣報考 MCP 考試費用 USD$100,促銷代碼打 85 折後約可省下 NTD$450 元,對想考 MCP 的人何樂不為呢! 任何疑問請看促銷代碼考試條款,祝您考試順利! 促銷代碼考試條款 促銷代碼效期為 2014/10/1-2014/12/31 或是領完為止。 個人必須於 2014/10/1-2014/12/31 於 Pearson VUE 或是 Prometric 考試中心註冊或是參加微軟認證專家 MCP 考試。 促銷代碼必須在 2014/12/31 前使用並參加考試。 當註冊參加考試時您必須輸入促銷代碼 15OFF 或 STU15OFF 即可享有折扣並於考試付款時抵免折扣費用。 此促銷代碼限用於微軟認證專家 MCP 考試,一般考生身份 (070) 與學生考生身份 (072, 073) 考試。 促銷代碼適用於台灣。…


[資安小常識] Windows Server 2003 即將終止支援,企業須提早開始準備

  距離 Windows Server 2003 2015/7/14 終止支援,已經剩下不到9個月的時間,根據業界經驗,伺服器升級評估與移轉至少需要 200 至 350 天,台灣微軟建議企業現在就應及早開始準備。   Windows Server 2003 終止支援後,IT 人員需注意後續帶來的連鎖效應,包括 : 資安風險 : 終止支援後,微軟不再提供資訊安全修補程式和 Hotfix,伺服器和應用程式很容易遭受資訊安全威脅並造成停機時間。 成本提升 : 不再有任何付費或免費的協助支援選項,伺服器及應用程式維護費用將快速高漲。 法規風險 : 不符合法規與政策,可能導致信用評等降低、認證不通過,例如SSAE 16或ISO 27001等。   坊間所謂的補救方案,其實並無法完全解決問題,其迷思在於 : 把伺服器虛擬化就好了?使用虛擬機器一樣還是Windows Server 2003,一樣要面對終止支援問題。 靠資安軟體防護?第三方廠商的資安軟體並無法解決系統核心漏洞,一樣沒有Windows Update提供修補程式。   面對 Windows Server 2003終止支援,企業升級路徑有以下兩條: 升級 Windows Server 2012 R2。Windows Server 2012 R2 在擴充性、效能、安全性等方面都居於業界領先地位,升級 Windows Server 2012 R2 不只解決終止支援問題,更帶領企業走向現代化。並帶給企業以下優點: 更快:各項效能評比皆優於舊版,提升企業生產力 直接內建 Hyper-V 3.0…

1

[資安小常識] 雲端「照」得住?!─ 淺談使用智慧型手機存取雲端服務的潛在風險與防範方法

近期上映的好萊塢電影描述男女主角將夫妻間的私密照片上傳到雲端後不小心分享給親朋好友,千方百計想要取回檔案的故事。而本月初近百位的知名女星也因雲端服務被入侵而致個人私密照外洩,電影情節不僅搬上現實舞台,這次駭客攻擊事件也名列智慧型手機雲端服務史上危害最廣的資安事件之一。   和電影男女主角意外將自己的私密照外洩情節不同的是,此次事件乃為駭客針對特定受害者的雲端帳號「集中攻擊」。根據該科技公司與FBI的調查,這場隱私風暴源於「手機協尋」服務身分登入介面的設計盲點;而駭客正是針對好萊塢女星的帳戶進行集中攻擊,以暴力法 (Brutal Force)破解密碼進而竊取私密照片。暴力破解法若以六個位元的密碼設定為例,其會由「aaaaaa」按照順序嘗試破解排列到「//////」的組合。而原登入介面便是由於密碼錯誤次數未設限制,才導致駭客利用此途徑,針對包括奧斯卡影后珍妮佛羅倫斯等人進行個人資料竊取。在此資安事件後,該登入介面也被更改設定為五次的密碼嘗試錯誤機會,以防堵類似的駭客攻擊。 (圖片來源:http://research.microsoft.com/en-us/UM/redmond/groups/ccs/ )   若要保護個人隱私,除了注意不將個人敏感資料上傳雲端外,也建議避免將個人密碼設定為出生年月日、身分證字號等不法人士可利用社群工具獲取的資料。另一方面,新一代資安軟體也可用來協助保護使用者的密碼被破解的可能。如近期由瑞典資安公司BehavioSec開發的軟體便可藉由比對使用者在輸入密碼時的方式,以輸入密碼的快慢節奏判斷輸入者的身份,區分駭客與使用者,以達到更紮實的資安保護。 在自家存放的錢財可能會被偷走,在銀行金庫的珠寶也可能被竊取,但若多加強認證手續、增加金庫的鑰匙,在享有雲端便利的同時也可擁有安心的保障。以下整理幾個要點做為參考: 避免使用連續的阿拉伯數字或英文當作密碼 建議以中文注音輸入法的字母位置輸入英文密碼,如:密碼→au4(密)u83(碼) 避免使用「password」當作密碼 定期更換密碼 避免使用個人社群可得資料當作密碼,如出生年月日或身分證字號   參考資料 http://time.com/3247717/jennifer-lawrence-hacked-icloud-leaked http://www.nbcnews.com/tech/security/forget-passwords-future-logging-n188386 http://www.dailymail.co.uk/sciencetech/article-2739764/Did-iClouds-Find-My-iPhone-function-help-hackers-steal-celebrities-nude-photos-Flaw-exposed-hundreds-images.html http://en.wikipedia.org/wiki/Brute-force_attack

1