[資安小常識] 揭露Microsoft Ignite 年度大會帶來的嶄新技術

上週的 Microsoft Ignite 年度技術大會是令人振奮的時刻,大會上發表許多新一代產品,包含新一代的混合雲 Windows Server 2016 Technical Preview 2、System Center 2016 Technical Preview 2、Microsoft Azure Stack (前身為 Windows Azure Pack ) & Microsoft Operations Management Suite (OMS) 以及 Enterprise Mobility 新家族成員 Microsoft Advanced Threat Analytics (ATA)。新一代產品不但帶來嶄新技術,也在各種方面保障使用者資訊安全: Windows Server 2016 Microsoft Ignite 2015 年度技術大會上發表了 Windows Server 2016 第二個技術預覽版,此一版本首度內含微軟全新設計的 Nano Server,這是一個針對雲端應用最佳化的極簡伺服器架構,僅配備各種必要元件。新版本的 Windows Server 2016 改善了運算與虛擬化、網路、儲存、安全及管理等。在運算及虛擬化上,更新了 Hyper-V…

1

[資安小常識] Windows 10 技術預覽版先進資安防護特色簡介 Part II

如「搶先預覽 Windows 10 為企業帶來的先進資安防護特色」一文所介紹, Windows 10 在安全認證方面,除了已介紹過的  APP 黑名單與 VPN 授權存取等資安保護機制外,Windows 10 技術預覽版也以 NGC (Next Generation Credentials)、FIDO  (Fast Identity Online Alliance) 和IE溢位旗幟「Canary」,帶領對使用者的資訊安全保護進入更高等級。 NGC解決方案方面,首先由使用者經PIN碼或生物辨識解開 TPM (Trusted Platform Module) 或KSP (Key Storage Provider) 保護的身分資訊 (Identity),將身分資訊以及金鑰提供給 IDP (Identity Provider),再由 IDP 頒布裝置憑證 (Token) 才方為完成。 圖1、NGC 而 FIDO 方面,Windows 10 技術預覽版也以符合 FIDO 2.0 規範的企業化安全認證;應用 Azure Active Directory 搭配 Windows 10…


[資安小常識] 應用MSRT防範Escad和Junipd的惡意攻擊

今年二月,Microsoft惡意軟體移除工具(MSRT)加入三個新項目:Win32/Escad、Win32/Jinupd和Win32/NukeSped來協助保護客戶。 首先,惡意駭客藉由Jinupd等銷售點惡意軟體竊取敏感性資料如信用卡資訊。而Escad和NukeSped的後門功能也被惡意軟體作為攻擊目標。 以上所述三項惡意軟體皆對使用者造成資安上的危害,然本篇將會多將重點放在Escad和NukeSped進行討論。   MMPC(Microsoft Malware Protection Center)藉由分析二進位資料,發現了Escad的許多惡意攻擊功能。它可以在受到攻擊的電腦中執行大量的常式,用來蒐集敏感的資料,其中包括: 設置為代理伺服器 複製檔案,並將它們發送到遠端的IP位址 將檔案遠端下載到受感染的系統 枚舉(enumerate)任何資料夾中的檔案 收集機器中的資訊,如電腦名稱、TCP連接和網路介面卡的資訊 修改防火牆設定 修改IP設定 以上常式(routine)將被感染的系統開放給其他遠端攻擊— 包括下載和運行其他惡意軟體。 Escad會將檔案偽裝成安裝服務,在系統啟動時運行。而下列便為已使用此手法進行攻擊的案例: ansi.nls dayipmr.tbl netmonsvc.dll pmsconfig.msi pmslog.msi rdmgr.dll remoteevtmanager.dll tmscompg.msi      因此,若任何這些檔案的存在都可能意味著受到Escad感染。 圖 1 和圖 2 顯示Escad 惡意軟體在最近幾個月的比例及其分佈特徵。 圖 1: 2014年 12 月以來Escad 檢測結果 圖 2: 感染Escad 的國家 最近,MMPC檢測到NukeSped的變種在受到Escad的針對性攻擊過程中被安裝。NukeSped 可能以下列程式名稱攻擊系統: comon32.exe diskpartmg16.exe dpnsvr16.exe expandmn32.exe hwrcompsvc64.exe mobsynclm64.exe rdpshellex32.exe recdiscm32.exe taskchg16.exe taskhosts64.exe…

1

[資安小常識] 更新瀏覽器替您帶來14 倍安全的假期 !

瀏覽器是大多數人連結網路的方式,然隨著惡意軟體在網路上的擴散,瀏覽器可說是系統防禦的第一道防線。隨著寒假與春節假期的到來所帶來的攀升網路使用率,遭到攻擊的機率也隨之提高,瀏覽器的安全防護因此更顯重要。 電腦安全專業人員經常提醒使用者定期更新他們的軟體,且微軟產品更是能透過簡單步驟更新,如透過Microsoft 更新的Internet Explorer。 其他常用瀏覽器如Google Chrome 瀏覽器和 Mozilla Firefox,皆儘量讓使用者更新到最新版本。然而,就過去蒐集的安全情報報告所示,許多使用者並未將他們的瀏覽器和其他應用程式到升級到最新版本,以保護他們的電腦系統。 雖然我們被告知要更新,實際測試風險的數據卻一直很少。而就在Microsoft 安全要素和Windows Defender保護下,不同版本的瀏覽器所測得的數據,有助於分析電腦上瀏覽器的風險比率。 瀏覽器的新版本可以提供新的功能、保護及安全漏洞的修補程式。這意味著一個新的瀏覽器往往比其前身更安全。而Microsoft 惡意軟體保護中心(MMPC)所做出的資料分析更強化了這論點。 MMPC比較了在11 月份中,Windows上運行的不同版本預設瀏覽器的風險,而在總共 219筆 不同的瀏覽器檔案中,有其中的 34 筆運行在超過 10,000筆不同電腦上。然而最重要的是,資料顯示了較新版本的瀏覽器有著較低的被攻擊風險。 資料顯示,IE 11是測試結果中最安全的瀏覽器,它包括了到目前為止最先進的保護。上方圖表顯示了它如何有效的保護系統。你可以在此圖表中看出,從 Internet Explorer 6升級到 Internet Explorer 11 ,提高了14 倍的保護力,讓使用者遇到惡意軟體的風險更小。 風險比率是以惡意軟體遇到每個瀏覽器和其他瀏覽器之間的比率做為計算方式。若以使用者的平均風險 100%作為基準,則低於 100%代表比較安全,超過 100%意味著該瀏覽器很有可能被惡意軟體攻擊。 更重要的是,升級您的瀏覽器沒有成本。該分析結果更印證了運行最新瀏覽器的重要性。隨著假期的到來而攀升的網路使用率,我們強烈鼓勵使用者升級到最新的瀏覽器版本,以防止惡意軟體,帶給您更安全的假期。 下載最新版本的 Internet Explorer     參考資料: http://blogs.technet.com/b/mmpc/archive/2014/12/18/make-your-browsing-14x-safer-for-the-holidays.aspx

5

[資安小常識] 搶先預覽Windows 10為企業帶來的先進資安防護特色

2014年10月1日凌晨,台灣本地尚未日出,然微軟已準備迎接睽違兩年新一代作業系統的曙光到來;不是Windows 9、Windows Threshold或是Windows TH,而是「Windows 10」 (現為技術預覽版)。Windows 10不僅集結了Windows 7與Windows 8的各項優點,更有包含「身分安全認證」與「資料保護」等資安防護特色。 而就微軟新一代作業系統以資安防護為主打,不難從近日頻傳的資安攻擊事件體認到其必要性;紐約時報於八月份的報導指出,全球十八億網路人口中就有十二億筆使用者帳號密碼遭到竊取,而這高達六成以上的竊取率更突顯了傳統帳號密碼的認證方式已不足保護企業與消費者的資訊安全。 有鑑於此,Windows 10在安全認證方面,以多重驗證的方式帶領身分驗證進入新的層級;使用者可以利用手邊的移動裝置如智慧型手機進行多一重的認證。 換句話說,使用者只要先將智慧型手機透過Wi-Fi或藍芽連結到電腦,在手機端輸入PIN碼抑或按壓指紋認證後,即可登入他們搭載Windows 10的本機。此類似遠端智慧卡的雙重認證方式不但可以帶來企業級的便利性與安全性,也無須額外的硬體安全週邊設備,可說是作業系統在身分安全認證上革命性的解決方案。 圖一、多重認證方式(一) (註:此畫面可能不是最終版使用者體驗或登入流程) 圖二、多重認證方式(二) (註:此畫面可能不是最終版使用者體驗或登入流程) 圖三、多重認證方式(三) (註:此畫面可能不是最終版使用者體驗或登入流程) 然而,在使用者通過驗證後,其所取得的憑證 (user access tokens)安全也是個課題。攻擊者不僅常以Pass the Hash與Pass the ticket 等類型攻擊取得使用者憑證,也會一齊發動進階持續性滲透攻擊(APT)進一步地竊取個資 (關於APT請參照[資安小常識]認識進階持續性滲透攻擊)。因此,為因應上述憑證攻擊,Windows 10透過將使用者憑證存放在運行  Hyper-V的安全容器,防範憑證從裝置中被讀取出來,增強了憑證的安全。   圖四、認證方式   另一方面,在資訊保護上Windows 10也建立了相當的保護機制。Windows 10針對公司App、資料、電子郵件、網頁內容或其他進入公司的敏感資料開啟自動加密以保護企業資料。而即使受保護的文件需要在不同的裝置平台上開啟,微軟跨作業系統的能力也能讓他們在其他平台下被存取。最後,針對使用如BYOD裝置的遠端使用者,Windows 10建立App白名單與黑名單以定義哪些App被授權存取VPN,提供使用者安全的遠端資料存取解決方案。   圖五、佈建金鑰及政策   據統計,約有百分之八十七的主管會將工作檔案上傳至私人信箱或雲端空間,其中更有百分之五十八的比例曾將敏感資料寄給錯誤的收件者。因此在存取管理外,更需要防範使用者在操作上的疏忽而將資料外洩的問題。因此除了MDM (Mobile Device Management)機制外,Windows 10也以資料外洩防護 (DLP) (關於DLP可參照資料外洩防護)解決方案將公司與個人資料分開存放並使用防堵政策來協助保護資料。資料版權管理 (Information Rights Management)因使用者未主動啟動而易洩漏公司資料的盲點也會因DLP獲得補足。 淺白而言,Windows 10在身分驗證防護不僅增加了金鑰的數量、金鑰的獨特性,更加強了金鑰保管的強度。而不論是建立App信任名單與定義授權存取的VPN抑或DLP解決方案, Windows…

3

[資安小常識] 雲端「照」得住?!─ 淺談使用智慧型手機存取雲端服務的潛在風險與防範方法

近期上映的好萊塢電影描述男女主角將夫妻間的私密照片上傳到雲端後不小心分享給親朋好友,千方百計想要取回檔案的故事。而本月初近百位的知名女星也因雲端服務被入侵而致個人私密照外洩,電影情節不僅搬上現實舞台,這次駭客攻擊事件也名列智慧型手機雲端服務史上危害最廣的資安事件之一。   和電影男女主角意外將自己的私密照外洩情節不同的是,此次事件乃為駭客針對特定受害者的雲端帳號「集中攻擊」。根據該科技公司與FBI的調查,這場隱私風暴源於「手機協尋」服務身分登入介面的設計盲點;而駭客正是針對好萊塢女星的帳戶進行集中攻擊,以暴力法 (Brutal Force)破解密碼進而竊取私密照片。暴力破解法若以六個位元的密碼設定為例,其會由「aaaaaa」按照順序嘗試破解排列到「//////」的組合。而原登入介面便是由於密碼錯誤次數未設限制,才導致駭客利用此途徑,針對包括奧斯卡影后珍妮佛羅倫斯等人進行個人資料竊取。在此資安事件後,該登入介面也被更改設定為五次的密碼嘗試錯誤機會,以防堵類似的駭客攻擊。 (圖片來源:http://research.microsoft.com/en-us/UM/redmond/groups/ccs/ )   若要保護個人隱私,除了注意不將個人敏感資料上傳雲端外,也建議避免將個人密碼設定為出生年月日、身分證字號等不法人士可利用社群工具獲取的資料。另一方面,新一代資安軟體也可用來協助保護使用者的密碼被破解的可能。如近期由瑞典資安公司BehavioSec開發的軟體便可藉由比對使用者在輸入密碼時的方式,以輸入密碼的快慢節奏判斷輸入者的身份,區分駭客與使用者,以達到更紮實的資安保護。 在自家存放的錢財可能會被偷走,在銀行金庫的珠寶也可能被竊取,但若多加強認證手續、增加金庫的鑰匙,在享有雲端便利的同時也可擁有安心的保障。以下整理幾個要點做為參考: 避免使用連續的阿拉伯數字或英文當作密碼 建議以中文注音輸入法的字母位置輸入英文密碼,如:密碼→au4(密)u83(碼) 避免使用「password」當作密碼 定期更換密碼 避免使用個人社群可得資料當作密碼,如出生年月日或身分證字號   參考資料 http://time.com/3247717/jennifer-lawrence-hacked-icloud-leaked http://www.nbcnews.com/tech/security/forget-passwords-future-logging-n188386 http://www.dailymail.co.uk/sciencetech/article-2739764/Did-iClouds-Find-My-iPhone-function-help-hackers-steal-celebrities-nude-photos-Flaw-exposed-hundreds-images.html http://en.wikipedia.org/wiki/Brute-force_attack

1

[資安小常識] 世足意外掀起的網路攻擊熱

隨著世界足球賽邁入八強,賽程逐漸升溫,然在巴西本地破億觀眾熱情吶喊支持聲中, 另一股意想不到的熱潮也在意外蔓延─網路攻擊。   在一份由世足期間以保護巴西政府的科技設備為任務的義大利虎安全公司出爐的報告指出─“破壞政府基礎設施攻擊以指數增長至每天近2000個目標“。在這些逐步擴大攻擊範圍的數據之外,據信這些駭客攻擊大多數並非從本地,而是來自印度、土耳其、歐洲、墨西哥和美國等境外地區。 自直昇機上拍攝的里約熱內盧照片。(圖片來源:維基百科) 真正的猛烈病毒攻擊在比賽正式開始的前幾天開始,以魚叉式網路釣魚攻擊外交部員工的電子郵件帳戶。該駭客活動送出超過600電子郵件給有關人員,引誘他們在駭客架設的一個假網站輸入帳號密碼。正如其名,魚叉式網路釣魚旨在以魚叉般準確攻擊特定的目標進行網路釣魚攻擊,以寄送電子郵件的方式,藉著夾帶特洛伊病毒或其他間諜病毒攻擊受害者。 接著,他們會使用竊取來的帳號密碼來進一步竊取員工的電子郵件,盜取他們所有的郵件和地址簿。然而巴西政府外交部門的發言人聲稱沒有重要的資料被人偷走,並宣布他們已經解決了這個問題。駭客針對特定部門的攻擊行為雖不清楚意圖為何,但可推斷龐大的人潮湧入對於駭客而言可說是捕獲大群魚群的好時機。從以上驚人的數據可以看出,巴西在熱鬧的世足賽事外,其政府科技基礎也在經歷強烈的網路攻擊熱潮。   在享受四年一度的運動盛宴同時,一般民眾若想避免自己個人資料外洩,可以參考以下方式。在電子信箱方面,若不確定自已登入信箱網站的真偽,建議先刻意輸入不正確的密碼,當然真的信箱入口會因密碼錯誤而被要求重新輸入,然釣魚網站則會因無法判對而自然放行,網站的真偽便可揭曉。另一方面,建議使用者在造訪網站時,仔細檢查網址的拼字正確與否,許多駭客設立的釣魚網站在網址上多架設類似真正官方網址拼字,但易混淆的網址。最後,許多需要輸入信用卡號碼等敏感資訊的網站都為https保護的,建議使用者在網址列前端確認是在https保護下才輸入個人敏感資料。   在打開電腦抑或手機慶祝地球最大的足球慶典時,也別忘了維護、注意個人資訊安全! 參考資料: 魚叉式釣魚網站(維基百科)   http://zh.wikipedia.org/wiki/%E9%AD%9A%E5%8F%89%E5%BC%8F%E7%B6%B2%E8%B7%AF%E9%87%A3%E9%AD%9A 辨識虛假電子郵件和網路釣魚騙術(Microsoft)  http://office.microsoft.com/zh-tw/outlook-help/HA001140002.aspx 富比士(Forbes) Brazil’s World Cup Of Cyber Attacks: From Street Fighting To Online Protest http://www.forbes.com/sites/federicoguerrini/2014/06/17/brazils-world-cup-of-cyber-attacks-from-street-fighting-to-online-protest/?ss=Security


[資安小常識] Microsoft 資訊安全情報報告第 16 卷內容摘要

編者:Cho-Han Wu   圖一、 微軟資訊安全情報報告第 16 卷  (圖片來源)   Microsoft 資訊安全情報報告第 16 卷 (SIRv16) 提供了有關 Microsoft 和協力廠商軟體中的軟體漏洞、攻擊和惡意程式碼威脅的深入研究。這些研究基於 Microsoft 過去多年的詳細趨勢分析,本期分析重點在於 2013 年下半年(7 月到 12 月) 的資料。針對資安漏洞、惡意軟體分佈以及軟體弱點攻擊程式碼趨勢提供深入的分析觀點。本次資安小常識擷自該報告的主要結論,提供您對資訊安全的趨勢的深入瞭解。   本報告主要以幾個主要分類進行探討: 1. 資訊安全漏洞 (Vunerabilities) 2. 攻擊 (Exploit) 3. 惡意軟體 (Malware) 4. 電子郵件威脅 (Email threats) 5. 惡意網站 (Malicious websites)   資訊安全漏洞 (Vunerabilities) 資訊安全漏洞是軟體的缺陷,攻擊者可以利用這些缺陷威脅軟體或軟體所處理的資料的完整性、可用性或機密性。某些最嚴重的漏洞使攻擊者可以讓受損的系統在使用者不知情的情況下運行惡意程式碼,進而攻擊該系統。 2013 年下半年,整個產業的資訊安全性漏洞披露比 2013 年上半年增加 6.5%,比 2012 年下半年增加…


[資安小常識] 持續使用 Windows XP 可能會造成的資安風險

編者:Cho-Han Wu   圖一、Window XP 即將在 2014年4月8日終止支援  (圖片來源)   Windows XP 是微軟從2001 年就發行的作業系統,至今已經超過十個年頭了。微軟相當了解該產品的生命週期,也了解升級需要花上一段時間,所以提前在 2007年就宣布Windows XP 將在 2014年的四月八日終止支援。目前大部分的企業都已經將系統升級了,但是仍有部分客戶尚未升級。但由於使用過期的 Windows 版本可能會危害系統的安全,故本次資安小常識將介紹持續使用 Windows XP 可能造成的資安風險,並提供您最新版 Windows 8.1 所具備的資安特色以及升級指南。   Windows XP 的資安風險 根據微軟資訊安全情報報告書的內容,持續使用 Windows XP 會有以下幾點風險: 一、 瀏覽網頁 (Surfing the Internet) 在停止更新之後,新的 Windows XP入侵套件可能會在駭客之間被販賣和流通,進而被駭客所利用。而缺乏官方更新的Windows XP 會讓使用者在瀏覽網路時暴露在風險之中。   二、 開啟Email 和使用即時訊息 (Opening Email and Using Instant Messaging, IM) 許多的攻擊者會透過Email…


[資安小常識] 淺談公有雲和私有雲的資安考量

編者:Cho-Han Wu   圖一、公有雲與私有雲之選擇  (圖片來源)   近年來雲端運算已經相當成熟且蓬勃發展,在資源愈來愈充沛且資訊相對透明的情況下,無論各個產業的公司都想在雲端上尋找長遠的解決方案。然而雲端運算的種類眾多,企業需要好好地評估最適合的雲端服務種類才有辦法達到將成本效益最大化。本次資安小常識,將從公有雲和私有雲的資安考量做切入,提供您在選擇雲端服務上的指引。   首先,先了解一下何謂公有雲以及私有雲:私有雲是企業自有或共有伺服器基礎架構,並利用虛擬化等方式來創造專屬企業本身的雲端服務。其資料僅能被企業本身管理,並能確保與其他企業區隔。   公有雲是雲端服務提供商或第三方服務提供者所提出的雲端服務,公有並不一定代表免費,也不一定代表使用者的資料可供其他人任意取用。   表一、公有雲與私有雲之優缺點比較     公有雲 私有雲 優點 1.  可降低機房管理和硬體維護等成本。 2.  享有任何時間隨付即用的功能。  3.  服務選擇多樣,可快速取用資源。 1.  企業可以自行客製化伺服器軟硬體。 2.  可從底層自行設計防火牆以及機敏資料之存放機制。 缺點 1.  敏感性資料可能的隱私問題。 2.  企業需承擔服務中斷的風險。 1.  普遍來說維護成本較使用公有雲來得高。   無論是使用哪一項服務,都必須注意資料的安全。將重要的資料自己保管的確會比較安心, 但是也需要考慮到本身是否有能力來架設全面的防護機制來阻擋可能的資安攻擊。而對於使用公有雲的企業來說,若是不清楚雲端服務供應商維護資料安全的能力,則發生問題時很有可能會得不到應有的保障造成損失。   其實近年來公有雲也逐漸在加強認證以及加密服務,並強調資料的安全性。舉微軟推出的 Azure 公有雲服務為例,除了全天候管理以及監控異常的服務外,在防止 客戶資料外洩 的部份,也做了很好的控管。另外,Azure 也使用了相當好的 加密機制 來保障使用者金鑰的安全和資料的安全性。對於使用者帳戶管理的部份,Azure 也提供您 管理帳戶 的方法以增強您帳戶的安全性。   圖二、雲端服務的資安保障  (圖片來源)   選擇雲端服務就像是選擇保險箱一樣:是要放在自己家裡保險箱安全呢? 還是放在銀行保險庫安全呢? 這些都是使用者要審慎考慮的問題,本篇資安小常識分析了公有雲和私有雲的優缺點,希望能夠幫助您選擇到最適合您的雲端服務。     參考資料   雲端運算http://zh.wikipedia.org/wiki/%E9%9B%B2%E7%AB%AF%E9%81%8B%E7%AE%97 簡單避免雲端使用的安全問題…