2010年6月13日 星期日

絕招4 先擋再修,以應用防火牆搶時間

http://www.ithome.com.tw/itadm/article.php?c=50860&s=6

絕招4 先擋再修,以應用防火牆搶時間

企業網站發生SQL Injection問題後,不論是添加檢查使用者輸入資料的程式碼,或者是調整資料庫權限架構等,都耗費數周,甚至數個月的時間,才能達到一定的防護效果。只有,透過網路端的防禦設備,才能用幾天時間建構出防護系統。

這也是為什麼,從去年開始,不少企業,紛紛開始關注應用程式防火牆(Web Application Firewall)相關產品的主因之一。尤其是從事電子商務的企業,莫不希望能在最短的時間內,先建立網站的防禦機制,再慢慢修補程式的漏洞。WAF也的 確能夠快速地在企業網站的前線,築出一道檢查網,過濾掉各種具有潛在威脅的資料。

不同於其他更低階的網通設備,WAF採用第七層網路協定的檢查技術,能夠檢查網頁程式所傳輸的使用者輸入資訊,可以針對不同的資訊類型和輸入源, 設定白名單或黑名單的過濾條件,例如限制使用者輸入資料的長度、型態、格式等,能夠彌補原本應用程式所疏漏的內容檢查。還可進行雙向過濾,檢查輸出的網頁 內容,避免將惡意資訊二度傳送給使用者。


用WAF確保網站服務不中斷,爭取修補程式的緩衝時間

網駭科技創辦人徐千洋表示,WAF雖然價格不斐,但的確可在最短時間內,幫企業架構出防護網,可以爭取一些修補網站程式的緩衝時間。

敦揚科技資安顧問楊伯瀚認為:「WAF的好處是能夠自動學習網站需要的防護特徵,採取白名單的作法,能一勞永逸的隔絕惡意資訊,不需要不斷更新過濾特 徵。」他進一步補充,透過資安顧問來協助安裝,只需半天就能完成,可以達到70%的防禦效果,「再經過1~2個月的自動學習,讓 WAF了解企業網站的使用特性,就能達到99.5%的防禦程度。」楊伯瀚說。

WAF的過濾功能雖然強大,但代價也相當昂貴,企業往往需投資數百萬元,甚至上千萬元,才能架構出不影響原來網站服務品質的WAF防護網。換句話說,企業等於用金錢來換取時間,用WAF擋住攻擊,確保網站運行,再進行程式修補。

但是,對於中小企業而言,WAF卻是高不可攀的產品。不少中小企業,全公司只有1~2個IT人員,連網站開發都需委外開發,更別說投入這麼多錢來防禦。這些中小企業的網站,也往往成為這一波自動化攻擊的主要受害者。

其實,坊間有一些免費的軟體WAF,例如有套開源WAF工具ModSecurity,可以安裝在PHP網站常用的Apache伺服器中,能協助過 濾Apache上網站程式的傳輸內容。微軟也針對ASP網頁的IIS伺服器環境,免費提供了一套軟體WAF工具UrlScan,連IIS 7都內建。

這類軟體防火牆,通常需耗用網站伺服器的硬體資源,來進行內容的檢查,當網站流量龐大時,很容易降低效能。不過,這的確是中小企業可負擔的SQL Injection防護工具。文⊙王宏仁

絕招3 縱深防禦,用隔離與監控來鞏固

http://www.ithome.com.tw/itadm/article.php?c=50860&s=5

絕招3 縱深防禦,用隔離與監控來鞏固

資料庫是SQL Injection攻擊的主要目標,理論上,採取徹底的隔離策略,就能有效降低潛在的入侵風險。但實務上,需針對不同的建置階段,採取不同的防範方式,串連成完整的防禦面,才能避免防護缺口。

一般常見的資料庫防護作法,是在網站開發階段,透過應用程式架構的調整,建立應用程式與資料庫間的中介層,來避免網頁程式直接接觸資料庫,即使開發人員疏於檢查輸入資料,也不易影響後端資料庫。

例如PayEasy採取的4層網站架構,讓網站應用程式,必須透過EJB(Enterprise Java Bean)的函式,用參數傳遞方式來與後端資料庫溝通。儘管後來出現各種SQL Injection威脅,PayEasy也無須修改太多前端網頁的程式,透過中介層的轉換,惡意程式的攻擊指令會自動被篩選掉,不易造成威脅。

像PayEasy這種運用應用程式架構將資料庫存取層抽離出來的作法,微軟TechNet MVP李明儒認為:「由有經驗的資深人員負責開發,不讓一般開發人員直接存取資料庫。除可確保資料庫安全性以外,還能避免無效率的SQL查詢語法拖垮資料庫效能。」

不過,企業必須在開發階段就進行應用程式架構的隔離,才能發揮效果,若等到網站完成後再變動架構,所需耗費的程式修改資源,幾乎等同重新開發,相當困難。

避免開放過高的資料庫權限
此外,還有另外一個常被忽略的防護關鍵,就是強化資料庫權限控管與清查。即使在網站建置初期忽略了這個作法,也可以事後補強。

透過資料庫權限的清查,可以更嚴格地管制資料庫的使用,對每一支應用程式,只開放所必須的最小權限。李明儒建議:「甚至可限制所有存取,都需透過事先寫好的預存程序進行,讓所有程式動作,都能在掌握中,可有效防止系統意外失控。」

不過,這種對資料庫權限的精準控管,需要有經驗的資料庫人員來處理。一般企業的開發人員,往往不熟悉資料庫的權限設定方式與指令,遇到資料庫讀取 權限不足時,便任意開放更大的使用權限,甚至直接使用最高權限的管理帳號,導致駭客能透過資料庫系統,間接控制了整個作業系統環境。

例如,許多ASP網頁開發人員,往往使用作業系統的管理員身分安裝MS SQL伺服器,當駭客取得MS SQL的控制權時,透過延伸預存程序,如xp_cmdshel\等指令,就能執行所有系統管理員才能使用的指令。

若能依據不同使用需求,降低資料庫使用權限,就能增加入侵難度,進而降低駭客入侵意願。即使,受限於網站功能需求,建置完成後不易調降太多權限, 數聯資安研發處副總經理張裕敏建議:「企業可以定期監控資料庫與系統的帳號狀態,若發現可疑帳號,或權限異常,趁早刪除,就能即時阻止更進一步的危害。」

透過預先設計的隔離架構與權限管制,能增加入侵門檻,產生資料庫防護效果。不過,在日常維護中,定期的監控和清查資料庫狀態,也有助於鞏固資料庫。文⊙王宏仁

絕招2 中途攔截,及時打斷攻擊路線

http://www.ithome.com.tw/itadm/article.php?c=50860&s=4

絕招2 中途攔截,及時打斷攻擊路線

從SQL Injection攻擊地圖來看,不論是MS SQL/ASP或是MySQL/PHP,從前端網頁入侵到後端資料庫的過程,是一連串的攻擊組合,必須一氣呵成,才能達到入侵的效果。數聯資安研發處副總經理張裕敏說:「只要打斷他的動作,就能阻止。」

之所以會發生SQL Injection的關鍵,是因為不少開發人員沒有檢查使用者輸入內容,就直接組合成SQL語法。微軟TechNet MVP李明儒說:「無形中等於賦予了使用者對資料庫直接下達SQL指令的權力。」如果,資料庫伺服器還被授與管理權限,使用者透過SQL指令,就幾乎能使 用所有管理者功能。

李明儒認為:「原則上,只要將使用者輸入的內容,一律採用參數傳遞給資料庫的方式,SQL Injection的風險就不存在。」因此,不少資安專家通常建議,企業在開發網站時,透過安全程式碼的開發規範,強化對使用者輸入資料的檢查,並避免使 用直接組合SQL語言的方式,來存取後端資料庫。

不過,開發人員難免會出錯,加上慣於重複利用舊有程式碼,問題程式碼的影響很容易繼續蔓延。對已完成建置的網站,也很難在短時間內完成所有的程式修補,尤其臺灣常用疊床架屋的系統開發方式,讓修補工作難上加難。

但是,若分析SQL Injection攻擊地圖,上述防護方法只是瞄準其中一個關鍵過程(攻擊地圖中的防護對策2、防護對策3),其實還有很多企業可以著力的防護點。針對不同的防護點,企業還有很多可以採取的防護措施。

隨著資料庫功能不同,SQL Injection的攻擊方式,從攻擊進入資料庫以後,也有所不同。

監控不明帳號與資料表,防止駭客取得更高權限
以臺灣常見的MS SQL Server搭配的ASP環境為例,防護重點是要注意可疑帳號。只要事先做好資料庫權限的管制,同時移除不必要的延伸預存程序(Extended Stored Procedure)和系統預存程序(System Stored Procedure),就可避免駭客使用這些預存程序,來提高自己的執行權限,或間接執行作業系統功能。

平時維護時,需注意作業系統中突然出現的不明帳號,那可能就是駭客試圖擴張控制範圍的線索,及時查核這些帳號,刪除可疑帳號,同時變更其他帳號的密碼,就能阻止駭客繼續入侵。

然而,在MySQL/PHP環境中,沒有類似MS SQL Server的延伸預存程序。駭客攻擊重點轉為透過MySQL資料表讀取外部檔案,再將惡意程式寫入系統中執行。因此,強化檔案目錄的權限控管,嚴格限制 可存取系統目錄和網站目錄的帳號,就能降低駭客入侵的機會。不少自動化攻擊工具,還會留下攻擊用資料表的記錄,留意不明資料表的出現,也能發現入侵的徵 兆。

只看Log記錄,不一定能及時發現
還要注意的是,入侵手法不斷翻新, MIS要小心過時的錯誤認知,避免搜尋入侵徵兆時,浪費時間。李明儒提醒, 有些MIS會誤以為SQL Injection攻擊時,會在網站Log記錄中,留下一連串明顯的入侵指令記錄。

但是,李明儒指出,幾個月前發生的Mass SQL Injection攻擊事件,駭客透過自動化工具進行盲目攻擊,攻擊指令只有短短幾行,不容易在Log記錄中發現。攻擊成功,甚至不會觸發HTTP Status 500 Error的錯誤訊息。只是依賴Log記錄,不一定能及時發現網站遭遇SQL Injection攻擊的痕跡,需組合不同的監控方式,發現駭客入侵的過程,並適時阻止,才能防止災情繼續擴大。

文⊙王宏仁


絕招1 借力使力,從攻擊手法學防守

http://www.ithome.com.tw/itadm/article.php?c=50860&s=3

絕招1 借力使力,從攻擊手法學防守 資安專家一致認為SQL Injection攻擊手法其實是老問題,但企業網站遭受SQL Injection攻擊的事件卻層出不窮。導致這類攻擊無法遏止的關鍵,其實,並非企業缺乏一套防禦SQL Injection攻擊的解決手法,而是,企業權衡防護成本與潛在風險後,往往選擇了長期改善的方式,來攤平高額的開發成本和人力資源。

然而,駭客不斷發展出新的自動化攻擊工具,加快SQL Injection攻擊的進化速度。慢步調的防護,遇上快速進化的攻擊,相較之下,企業網站被入侵的災情,依舊持續蔓延。

因此,若要有效建立防護機制,企業必須借力使力,善用各種可用資源,甚至懂得利用駭客的攻擊資訊,來建構網站的防禦系統,讓防護人力發揮最大的效果。

實際上,目前SQL Injection攻擊手法的相關資訊相當透明,也很容易取得。只要透過搜尋引擎,檢索SQL Injection,就能找到大量SQL Injection攻擊手法的參考資訊。

甚至還有SQL Injection指令的速查表(cheat sheet),上面提供了數千種SQL Injection的攻擊方式,詳盡地涵蓋了各種資料庫的潛在問題,以及各種入侵的指令,還提供了完整的攻擊範例,讓不懂技術原理的駭客,也能直接複製指 令,來進行攻擊。

利用攻擊資訊鎖定修補程式的重點
但是,這些攻擊資訊並非只是駭客用來分享資訊而已,對企業來說,這也是最佳的防禦指引。企業可以從這些SQL Injection攻擊資訊中,找出自己所用的網站環境,可能會遇到的攻擊手法。再將這些攻擊程序與入侵指令整理成檢核清單,就可以用來逐一清查網路功 能,讓開發人力直接針對需要補強的地方,進行修改。而不須曠日廢時地逐條檢視數萬行的原始程式碼。

從SQL Injection攻擊地圖來看,前期防禦的重點之一是要檢查使用者輸入的資訊,過濾掉不合理的可疑訊息。企業開發人員除了自行撰寫資料檢查條件外,還可以參考攻擊資訊,將攻擊指令的特徵,作為篩選程式的過濾條件。

現在已有一些開源社群,將這些過濾規則開發成一套現成的檢查函式庫,例如大陸白帽駭客對ASP語言開發的通用注入過濾器,企業可考慮採用或參考,以縮短自行開發的時間。

此外,軟體大廠也紛紛提供了各種防護資訊,像微軟早已在MSDN網站上,提供了上百頁的網站安全防護資訊 (www.microsoft.com/taiwan/msdn/security/guidance/),而且全部都已翻譯成中文,並且列出具體的改善 程序,甚至是針對不同防護需求下,提供了可用的安全檢核清單。

微軟已在MSDN網站上,提供了數百頁的中文網站安全防護資訊(www.microsoft.com/taiwan/msdn/security/guidance/)。


數聯資安研發處副總經理張裕敏建議:「若能按照微軟建議,逐步實施,的確能有效阻止SQL Injection攻擊,可惜很少有人全部看完。」

除了善用參考資訊,鎖定修補網頁程式的重點外,進一步,企業還可以採用自動化源碼檢測工具,提高發現程式問題的速度。阿碼科技執行長黃耀文表示:「用自動化工具進行源碼檢測,可以讓開發團隊專注在需要修改的地方,可節省人力。」

市面上,有許多源碼檢測工具,涵蓋了多數主流開發語言,例如Java、PHP、ASP、.NET等,付費產品例如阿碼科技的CodeSecure或Fortify的SCA。微軟和HP也釋出了免費的SQL Injection檢測工具Scrawlr等。

不怕沒有工具,只怕放錯力氣。對開發人員而言,將攻擊資訊轉換成防禦重點、善用自動化源碼檢測工具,就能減輕繁重的程式碼修補負擔,這才能有效提高企業對抗自動化攻擊的能力。
文⊙王宏仁


從駭客經濟學看SQL Injection攻防

http://www.ithome.com.tw/itadm/article.php?c=50860&s=2

從駭客經濟學看SQL Injection攻防 你相信嗎?只要花100元人民幣就可以買到SQL Injection自動化攻擊工具,而且這片光碟還附有教學影片,教導如何攻擊與竄改資料庫。

SQL Injection是一個有10年歷史的老問題了,這個攻擊手法是利用網路程式存取資料庫的漏洞,將惡意指令嵌入資料庫SQL查詢語言,藉此欺騙資料庫的邏輯判斷,進而取得能夠執行資料庫指令的權限。

追查網路犯罪十多年的內政部警政署資訊室主任李相臣說:「有8成以上的企業資料庫資料外洩案件,都是被駭客以SQL Injection攻擊手法得逞的。」然而,現在只要花400元,不論是否懂駭客攻防原理、原則,幾乎人人可搖身一變為SQL Injection駭客,這個問題就不再只是個老問題,而是嚴重的新問題了。

SQL Injection十年野火燒不盡
從2005年開始,就有人在中國販售SQL Injection自動化攻擊工具,數聯資安研發處副總經理張裕敏指出,黑帽駭客只要花點錢,就可以買到整套的SQL Injection攻擊工具。而且,這些販售攻擊工具的中國黑客網站,甚至還提供攻擊手法教學影片,以及後續的升級與客製化等售後服務,儼然是企業化經 營。

張裕敏說:「網路上找得到的P牌自動攻擊工具,已經針對Oracle、DB2、Informix、MySQL、SQL Server等企業常用的資料庫設計,只要按個滑鼠鍵,就可以啟動自動化的SQL Injection攻擊。」有了這種自動攻擊工具,即使攻擊者不懂得SQL Injection攻擊的原理、原則,也能像是操作玩具一般發動攻擊。張裕敏指出,在這種情況下,企業網站的監控、維護或設定,只要稍不注意,黑帽駭客就 有機會趁虛而入。

在自動化攻擊工具出現後,SQL Injection的攻擊手法也就跟以往不同。今年上半年,臺灣與歐洲等地陸續發生大規模的SQL Injection攻擊事件(Mass SQL Injection),這一波攻擊的相同特點是攻擊數量龐大,據資安廠商估計,在這波攻擊中,臺灣起碼有超過10萬個網站被攻擊過。

阿碼科技資安顧問丁性佃追查這次攻擊手法發現,黑帽駭客事先掌控了大量的傀儡電腦,利用這些電腦執行自動化程式,以Google搜尋引擎找出有 SQL Injection漏洞的網站,一旦找到了有漏洞的網站,就會將惡意網站的連結直接寫入網站資料庫中,讓這些網站的網頁都有惡意連結,一旦使用者連上受害 的網站,就會連到惡意連結。

駭客一開始是藉由SQL Injection攻擊手法來大量散播惡意網站的連結。第二步就是等到Adobe Flash公布新的漏洞,駭客馬上寫出一個可利用這個漏洞來掌控電腦的木馬程式,並將木馬程式放到先前散播的惡意網站連結,藉此對大量的電腦發動零時差攻 擊。這樣的複合式自動化攻擊手法,可以讓駭客在更短的時間內攻陷更多的電腦。

駭客的投資報酬率
這是截至目前為止最新的SQL Injection攻擊手法,而且,這個老掉牙的問題還會再衍生出更多新的攻擊手法,資安專家都認為,這將會是一場沒有終點的網路攻防戰,要持續打贏這場戰役,就一定要從「駭客經濟學」的角度來思考戰略。

阿碼科技艾克索夫資安實驗室首席資安顧問邱銘彰說:「這是一場成本戰爭。」現在的駭客不像以前一樣專挑難攻的網站下手,只為了證實自己的能力。現 在的駭客像是在經營生意,要創造出規模經濟,唯有掌控更大量的電腦,才能隨心所欲地發動大規模的分散式攻擊,或是竊取更大量的個人資料。因此駭客所思考的 策略是如何以最少的金錢、最少的心力,在最短的時間內攻陷最多的電腦。所以,多數的駭客都會尋求投資報酬率最好的攻擊手法,一旦投資報酬率不佳,就會選擇 放棄。

依駭客經濟學的態勢來看,企業必須要從風險管控的角度來規畫防禦策略。如果企業可以增加駭客入侵的難度,駭客衡量投資報酬率之後可能就會尋找其他 目標了。網駭科技總經理徐千洋表示,企業在思考與駭客攻防的戰略時,不能追求完美的防禦,要從追求絕對安全轉為相對安全,思考如何在公司可承擔的成本下, 增加駭客入侵網站的困難度。他指出,從Web程式開發、改變網路資料庫架構,這些做法都可以增加駭客入侵的困難度。

電子商務網站PayEasy(康迅數位)去年在面對中國駭客與詐騙集團攻擊時,就採取相同的思維,PayEasy總經理林坤正表 示,PayEasy主動告知網站被詐騙集團鎖定,讓會員提高警覺,目的就是要讓詐騙集團的難度增加。他說:「駭客和詐騙集團都是企業化經營,也要講求投資 報酬率,如果可以花更短的時間,輕易入侵A網站取得資料,就不需要花更長的時間,去入侵B網站了。」

駭客思維已經轉變,企業不能不變。面對不斷翻新手法的SQL Injection攻擊,企業其實很難找到一勞永逸的防禦工具,必須先認清現今駭客的生態,掌握駭客經濟學的特性,從相對安全的角度思考,才能找到有效的縱深防禦策略。文⊙黃彥棻



SQL Injection新威脅大剖析

http://www.ithome.com.tw/itadm/article.php?c=50860&s=1

文/iThome (記者) 2008-09-15


你相信嗎?只要花100元人民幣就可以買到SQL Injection自動化攻擊工具,而且這片光碟還附有教學影片,教導如何攻擊與竄改資料庫。當人人都可搖身一變為SQL Injection駭客,這就不再只是個老問題,而是嚴重的新威脅。


現在只要花400元,不論是否懂駭客攻防原理、原則,幾乎人人可變成SQL Injection駭客,而面對這些不斷翻新手法的SQL Injection攻擊,企業必須掌握駭客經濟學的特性,才能找到有效的縱深防禦策略。


從駭客經濟學看SQL Injection攻防
SQL Injection是一個有10年歷史的老問題了,而駭客的攻擊手法隨著時間的演進也不斷的推陳出新,企業必須要站在駭客的角度思考,從駭客經濟學的角度來思考戰略,才能持續打贏這場沒有終點的網路攻防戰。


4大SQL Injection防護絕招

絕招1 借力使力,從攻擊手法學防守
資 安專家一致認為SQL Injection攻擊手法其實是老問題,但企業網站遭受SQL Injection攻擊的事件卻層出不窮,若要有效建立防護機制,企業必須借力使力,善用各種可用資源,甚至懂得利用駭客的攻擊資訊,來建構網站的防禦系 統,讓防護人力發揮最大的效果。

絕招2 中途攔截,及時打斷攻擊路線
從SQL Injection攻擊地圖來看,不論是MS SQL/ASP或是MySQL/PHP,從前端網頁入侵到後端資料庫的過程,是一連串的攻擊組合,必須一氣呵成,才能達到入侵的效果。因此只要監控SQL Injection攻擊路線,及時打斷駭客入侵的連續程序,就能達到防禦效果。

絕招3 縱深防禦,用隔離與監控來鞏固
資料庫是SQL Injection攻擊的主要目標,理論上,採取徹底的隔離策略,就能有效降低潛在的入侵風險。若能清查資料庫帳號權限,只允許有經驗的資料庫人員接觸,就能有效預防潛在風險。

絕招4 先擋再修,以應用防火牆搶時間
企業網站發生SQL Injection問題後,不論是添加檢查使用者輸入資料的程式碼,或者是調整資料庫權限架構等,都需耗費數周時間才能達到一定的防護效果。而應用程式防火牆雖然要價百萬,卻可快速建立網站基本防護,爭取修補程式的緩衝時間,也是一個不錯的防護方法。

撰文⊙王宏仁、黃彥棻 攝影⊙楊易達、賴基能

新款小筆電開始支援DDR3記憶體

http://www.ithome.com.tw/itadm/article.php?c=61780
文/蘇文彬 (記者) 2010-06-11

東芝搶先推出新款小筆電,採用Atom N455處理器支援主流的DDR3記憶體,之後華碩、宏碁也將陸續推出產品。


隨著英特爾推出新款Atom N455、N475處理器,小筆電也跟隨主流PC市場腳步,開始採用較DDR2更省電的DDR3記憶體。

目前小筆電採用的Atom 處理器,包括N270、N280、N450、N470都只能使用DDR2 667記憶體,並未跟上主流PC市場腳步採用DDR3。但在今年Computex上英特爾宣佈新款Atom處理器N455、N475在6月開始供貨後,小 筆電也能開始採用DDR3。

例如Toshiba的新款10吋小筆電NB250已開始採用Atom N455(1.66GHz),內部即使用DDR3 667記憶體,配備250GB硬碟,搭載Windows 7 Starter系統,售價不到2萬元。

Toshiba NB250之後,宏碁則是計劃推出新款10吋小筆電AO533,可採用Atom N455或雙核心N475處理器,支援DDR3記憶體,根據Computex展示規格,AO533配備250GB硬碟,續航力約10小時。台灣市場將先推 出Atom N455機種,暑假計劃再推出採用Atom N475的雙核心小筆電。

華碩也在接下來推出新款Eee PC,包括1015P及針對商務人士多工需要設計的Eee PC 1016P及輕薄設計、10小時續航力的1018P上採用新處理器,搭配DDR3記憶體。

和DDR2相比,DDR3因為具有省電、資料傳輸更快的特色,目前主流PC市場包括桌上型與筆電都支援DDR3記憶體,在高階桌上型電腦支援更高頻率的DDR 1333,而筆電則以DDR3 1066為主。

雖然新款小筆電使用的DDR3記憶體頻率只有667MHz,與前代平台支援的DDR 2頻率相同,速度上沒有太大提昇,但DDR3使用的電壓只有1.5V,還是比1.8V的DDR2低,功耗上節省約20%,降低部份小筆電元件耗電。此外, 在PC主流記憶體規格已從DDR2移至DDR3下,採用DDR3可望避免舊規格成本攀昇的問題。

Win7 降級至XP期限到2011/10/12。XP3支援終止為2014/04

http://www.ithome.com.tw/itadm/article.php?c=62227
文/陳曉莉 (編譯) 2010-07-13

新聞:Win7 降級至XP期限到2011/10/12。XP3支援終止為2014/04

另外XP用戶應該注意的是,微軟在今日(7/13)終止對XP SP2的支援,用戶應儘快升級到XP SP3,XP SP3的支援終止期限為2014年4月


微軟周一(7/12)表示將把允許Windows 7使用者降級到XP的期限從明年4月延後到明年10月22日。

根據微軟原本的規畫,購買內建Windows 7專業版(Windows 7 Professional)或旗鑑版(Windows 7 Ultimate)個人電腦的使用者可以選擇降級到Windows Vista對應的版本或是Windows XP專業版,期限為Windows 7上市後的18個月或是Windows 7 SP1正式版的出爐時間,以最先到達的時間為準。

由於Windows 7是在2009年10月22日上市,因此降級的期限原訂為2011年的4月21日,至於Windows 7 SP1正式版的出爐時間則是明年上半年。

不過,微軟視窗通訊經理Brandon LeBlanc表示,雖然多數客戶都積極轉至Windows 7,且PC製造商亦聚焦在提供預載Windows 7的個人電腦與裝置,但企業客戶仍表示移除使用者降級到Windows 7專業版的權限可能造成混亂,因為根據購買日期會有不同的權限造成企業必須管理異質的環境。因此,維持簡單的政策可協助那些仰賴降級權限以進行移轉計畫的 客戶,特別是在新興市場,以及無法利用微軟大量授權計畫的客戶。

所以微軟決定要延後XP專業版的降級權限,讓OEM版本的Windows 7專業版與旗鑑版可持續降級到Windows XP或Vista,企業仍可購買新電腦並擁有降級權限直到他們準備好移轉至Windows 7。

XP用戶應該注意的是,微軟在今日(7/13)終止對XP SP2的支援,用戶應儘快升級到XP SP3,XP SP3的支援終止期限為2014年4月。

微軟的降級策略使得XP成為微軟歷史上最長壽的視窗作業系統,其壽命長達110個月。Windows 95總計發行了76個月,Windows 98為68個月,Windows 2000則為61個月。

LeBlanc亦澄清微軟將維持一貫的視窗作業系統生命周期政策,在新作業系統問世的一年內仍會允許零售商銷售前一代作業系統,OEM業者則可在 新作業系統問世的兩年內於電腦中安裝前一代作業系統。這代表零售商直到今年10月仍可銷售Windows Vista,OEM業者預載Vista的期限則是到明年的10月。(編譯/陳曉莉)



****************************************************************************
舊聞:Windows 7 降級使用Windows XP,最後期限2011/04

http://www.ithome.com.tw/itadm/article.php?c=61426

文/林文彬 (記者) 2010-06-01

微軟在Windows 7發布後的18個月內或是當Windows 7 SP1發布前,將終止使用者降級至Windows XP的權力


重 點
● 微軟可能在明年4月發布Windows 7 SP1
● 微軟將於2014年4月8日終止Windows XP的延伸支援

目前購買Windows 7的企業用戶,仍可要求電腦廠商降級至Windows XP,微軟日前宣布,最慢將於明年4月終止Windows 7降級至Windows XP的權力。屆時,購買Windows 7作業系統就只能降級到Windows Vista。

微軟將終止的XP降級權
原本微軟只讓電腦廠商在Windows 7發布後6個月內,銷售降級至Windows XP的個人電腦,但這項政策遭受批評,因為許多企業都是跳過Windows Vista,直接從Windows XP升級至Windows 7,由於作業系統核心架構不同,部分應用程式必須面臨改寫。由於工程浩大,許多企業不可能在短時間內完成應用系統的升級,最後,微軟延長了作業系統降級至 Windows XP的時間。

臺灣微軟前端平臺事業部產品行銷經理賴建宇表示,在Windows 7發布後的18個月內或是當Windows 7 SP1發布前,Windows 7 Business與Ultimate版本都可降級到Windows XP Professional。

微軟於去年10月22日推出Windows 7,18個月的期限意味著企業用戶只能在2011年4月21日前買到搭載Windows XP的個人電腦,不過,根據微軟的政策,如果在這段期間微軟推出Windows 7 SP1,那麼就會提前截止使用者降級至Windows XP的權力。不過,目前微軟並未公布Windows 7 SP1推出的時間。

微軟建議用戶提早升級OS
賴建宇表示,微軟將於2014年4月8日終止Windows XP的延伸支援,延伸支援階段結束後,微軟就不再提供系統的安全更新,只會提供客製化的服務,針對部分企業需求,去開發出符合該企業所需求的安全更新。 「2014年4月停止支援後,還在使用Windows XP的企業用戶可能會面臨資訊安全的問題,建議用戶提早升級至Windows 7。」他說。

為了提升臺灣企業用戶升級的意願,微軟公布臺灣中小企業前100支最常使用的軟體皆與Windows 7相容,包括正航系統人薪管理7號、繪聲繪影與自然輸入法等。賴建宇表示,從去年開始如趨勢科技、廣達電腦等大型企業就陸續將作業系統升級至 Windows 7,到今年則有越來越多的中小企業,如製造業的旭光箔膜、遊戲業的鈊象電子與電子科技業的萬吉達科技等都開始使用Windows 7,建議企業用戶提早升級,才能提早克服作業系統升級的挑戰。文⊙林文彬

雲的另一端,真實的世界?

http://www.informationsecurity.com.tw/article/article_detail.aspx?tv=13&aid=5691

作者:李柏逸 -05/03/2010




  筆者最近參加許多IT研討會,發現很多產品或技術總是想盡辦法要跟雲端運算扯上那麼一點關係,坦白說,這種情況已經熱門到有點泛濫的境界了!不禁讓人想起前幾年的奈米熱潮,不管甚麼商品只要在商品名稱前面冠上「奈米」兩個字,就變成了不同層次的高檔貨,實際上卻並不一定能夠獲得預期的效益。



◆ 雲端大法好!?


  雲端到底有甚麼優勢呢?Google一下應該都可以找到許多資料,包含:有效降低成本、降低管理複雜度、擴充延展性、強化業務表現、可攜性與互用性等眾多優點。在這邊就不再贅述了,我們改由另一個角度來探討雲端運算發展的瓶頸:




一、規模經濟


  雲端運算最大的優勢與瓶頸其實都在於規模經濟,而非技術的實現;可惜許多人都誤將技術當成雲端運算的瓶頸,以為只要能夠達成技術上的實作,就能搭上雲端議題的便車而功成名就。事實上,雲端運算在技術面上的實現並不困難,很多地下經濟體也早就實作出各種有用的雲端技術。一旦缺乏規模經濟的優勢,就很難有效發揮雲端運算的真正效益,而缺乏規模優勢,常常也意謂著資源的不足,在資源不足的情況下勉強提供雲端運算服務,接下來往往才是災難的開始。若想單純仰賴技術在雲端市場闖出一片天,除非能夠發展出具突破性的技術,否則能帶來的效益終究十分有限。



二、穩定的頻寬

  企業要將原本在企業內部處理的工作移轉到雲端服務執行,首要的考量就是企業本身與服務供應商都必須要有穩定的頻寬,來確保服務不會因為網路品質的不穩定而大打折扣,而為了避免網路的故障導致服務的中斷,備援網路的建置也將成為必要的成本支出。



三、廝殺中的紅海

  近來許多廠商大打雲端牌,彷彿以自己也能夠提供雲端服務為榮;還有部分廠商則是由於競爭對手提供了雲端服務,而不得不跟上腳步,也推出了對應的雲端服務,導致市場上「人雲亦雲」,競爭越來越激烈,相對地也稀釋了利潤的空間,這對雲端服務提供商而言,也是在踏入市場前所必須審慎評估的要素之一。



四、可攜性與互用性

  前面提到過雲端的可攜性與互用性優勢,從另一個角度來看,卻也成為了雲端發展的瓶頸,由於移轉門檻較低,用戶可輕易移轉到其他服務供應廠商,加上競爭者眾,使競爭優勢的維持越來越為困難;雲端服務將變成一場無止盡的競逐,後進的廠商,為了在日益飽和的市場分一杯羹,往往會提供各種相容的功能來吸納原有廠商的客群,而原有競爭對手也會競相提供各種推陳出新的優質服務,唯有提供優質的服務品質與持續更新的服務內容,才能確保在市場上的優勢。未來這種變遷的速度恐怕會越來越快,可能會快得超出你我的想像,而在不斷競逐以維持優勢的過程中快速追加的成本與預算,恐怕也將成為雲端發展所無法擺脫的一個包袱。



五、核心業務宜遠離雲端

  企業的核心業務,尤其是攸關企業營運或包含機敏性資訊的業務,是不適合放置於雲端(尤其是公雲);在雲端中,用戶本身有許多無法掌控的技術環節,加上一些管理面的安全議題,導致風險控管變得困難,因此應盡量避免將核心業務移轉到雲端,以免讓眾多無法掌控的風險因子影響企業資訊環境的正常營運。




◆ 雲的另一端,真實的世界

  首先,我想先問個問題-「誰最早開始玩雲端運算?」,事實上,這個問題的答案已不可考,唯一可以肯定的是,除了眾多正派經營的廠商外,其實駭客也很早就開始利用雲端運算的概念了!早在雲端運算概念形成的初期,就有資訊安全專家提出對應的Malware as a Service與crimeware as a service等概念,雲端運算服務的興起,對駭客而言,無異是提供了一個更快速更穩定的運作模式,駭客甚至可光明正大地將過去需要耐心佈建的「烏雲」,偷偷地甚至是光明正大地架構在更快速更穩定的公用雲端服務上,而所謂集中儲存控管的成本優勢,更可能讓駭客畢其功於一役,一口氣拿下所有他想要的資訊。因此,當我們在進行雲端技術評估的時候,將雲端威脅納入評估是絕對不可省略的重要步驟。


  雲端運算服務提供了更為龐大的服務範圍,但相對地也牽涉到了更多的網路架構與環節,而在這各個環節中,彼此環環相扣,形成一種微妙而恐怖的平衡,任何一個部分遭受攻擊或破壞,都可能導致整個雲端服務的崩壞。以下我們試著列舉一些雲端存在可能遭到攻擊破壞與利用的環節:


一. 攻擊雲端使用者

  許多IT人員可能都會誤以為把業務交給雲端後,也等於是將整個安全責任與風險轉嫁到了雲端服務供應商手上,事實上雲端服務使用者本身的安全性問題仍舊是存在的,一旦雲端的使用者遭受攻擊的話,仍可能造成服務的中斷,甚至是透過合法使用者與雲端服務間的信任關係,進一步從雲端中取得更多的可用資源與資訊。


  近期Google在中國大陸所遭受的攻擊,據聞就是透過IE瀏覽器的弱點,針對民運人士的Gmail帳號發動攻擊,攻擊的目標為使用者而非Google本身。



二. 攻擊使用者與雲端之間的連線

  攻擊者可能透過中間人攻擊(Man-In-The-Middle)的方式,操控使用者雲端服務間的連線,攔截或竄改連線之間所傳輸的資訊,或是藉由破壞兩者間的連線,來達到阻斷服務的攻擊效果。


  在2010年初時,Firefox3.6置入過去曾經惡名昭彰的某管理單位的CA憑證,該單位並取得 Entrust.net 所發布的次級憑證,連帶地使未來SSL劫持攻擊的隱憂也大幅昇高。



三. 攻擊雲端本身

  雲端本身的安全性也是一大問題,一旦雲端本身遭受破壞,所有架構在其上的服務與其關聯客戶都會遭受影響。在傳統常見的網路攻擊中,駭客可能經由各種外部的惡意攻擊行為來破壞雲端的機密性、完整性與可用性;但事實上,透過內部發動的惡意或非惡意攻擊行為所造成的後果往往更為可怕,內部的惡意作業人員可以輕易跳過各種外部的防護措施從內部直接對雲端發動更有效率的攻擊,而非惡意的作業人員也可能因為作業的疏忽或個人的怠惰,而對雲端環境造成嚴重的破壞。



四. 攻擊雲端周邊

  縱使上述環節都已經受到妥善的防護,駭客仍然可以藉由攻擊其他的標的來達到攻擊效果,如近兩年備受關注的DNS安全議題,駭客只要攻擊上層或相關的DNS服務,便可輕易影響到雲端服務的運作;其他還有許多廣域網路上的節點或協議上的瑕疵(Ex:BGP的錯誤廣播)都可能影響到雲端服務的運作。


  在2008年初時,巴基斯坦電信局(Pakistan Telecom)為了管制YouTube上某些被當局視為褻瀆的影片內容,向全世界ISP廣播了它自己代管YouTube IP位址的訊息,導致YouTube斷線了將近兩個小時。



五. 利用合法管道發動攻擊

  攻擊者除了透過未經授權的管道發動攻擊外,近年來我們也發現了一個現象,犯罪集團甚至可能編列預算採購合法服務,再藉由合法的管道來進行非法利用,如2007年間流行的犯罪集團購買關鍵字廣告進行利用的案例;近期則有駭客利用Amazon EC2與Google App Engine服務傳遞殭屍網路指令的案例,在網路犯罪逐漸集團化後,這類透過合法管道發動的攻擊恐怕會越來越常見。




  在駭客的眼中,雲端運算在攻擊上又有哪些可能利用的攻擊手法呢?底下我們簡單列舉幾個常見的利用手法:



一、殭屍網路

  殭屍網路的運作模式其實就是一種典型的雲端技術利用,透過分散在各地受到操控的殭屍電腦(俗稱肉雞)的運算能力,協助攻擊者發動各種攻擊與執行各種需要大量運算能力的任務,包含了發動DDoS攻擊與分散式密碼破解運算等,危害網路安全頗大。而透過雲端服務的提供,駭客等於找到了一個更穩定的傳輸與利用管道。2009年底時Amazon的EC2服務與Google App Engine皆被利用來傳遞殭屍網路指令,不但使得肉雞運算的品質更為穩定,也有效隱匿了駭客的行蹤。



二、阻斷服務攻擊

  攻擊者可以針對雲端服務環境發動阻斷攻擊,藉由阻斷雲端服務來影響雲端的可用性。若使用者將關係公司營運的重要任務放置在雲端上運作,如E-mail,將會受到連帶的影響,甚至造成公司營運的中斷。



三、資料竊取

  攻擊者可直接對雲端發動攻擊,一旦成功取得權限,可能竊取的資料量可能遠高過我們過去所能夠想像的。過去從傳統紙本資料過渡到媒體儲存的電子資料時,我們已經見識過了資料外洩影響範圍急遽擴張的巨大轉變,未來若類似的情形發生在存有大量機敏資訊的雲端服務提供商時,所爆發的災情恐怕又要再次顛覆我們的想像空間。



四、側面攻擊

  國際頭號駭客Kevin Mitnick的個人網站過去曾經多次遭受駭客入侵竄改頁面,並留下挑釁的字眼;據聞,駭客利用的是俗稱旁注的攻擊手法,由於Mitnick的網站過去是放置於友人提供的網站代管空間,駭客藉由攻擊代管廠商與同一主機上的其他網站,取得權限後再逕行竄改Mitnick的網站內容,類似的攻擊已發生過許多次,甚至連代管廠商都因不堪其擾而要求Mitnick搬遷到其他代管空間。同樣的側面攻擊手法套用在雲端服務環境上,勢必也將造成一定程度的威脅。




  當然還有更多更多可能衍生的攻擊手法,搭配社交工程後更可能產生許多靈活且難以防範的利用。我想這些手法就留給對岸的駭客雜誌披露吧,我相信他們在攻擊技術的部份一定會激盪出更多的創意與想像力。而站在資訊安全管理的角度,我們該思考的是佈署雲端服務衍生的安全性議題,並分析所造成的風險層級,將之納入未來的導入評估之中。底下我們整理了雲端運算服務所衍生的安全性議題:



一. 風險集中

  將所有重要資料與服務放置在可能透過外部存取的環境,固然能夠提昇資料的可用性與更高的存取彈性,但相對地也等於是讓它暴露在更多風險因子之中。一旦服務提供商遭受攻擊或運作發生異常時,連帶地也可能會影響到所有用戶的正常營運,甚至造成重要資料遭竊取或破壞的嚴重後果。


  2009年10月微軟子公司Danger發生嚴重的資料毀損事件,導致許多T-Mobile Sidekick用戶儲存在雲端的通訊錄、行事曆與數位照片等重要個人資訊永久遺失。



二. 稽核的困難

  雲端的另一個隱憂是稽核的困難,一般企業內部的資訊環境,都有配合單位資訊管理政策的稽核流程,但若將作業環境移轉到雲端呢?由於雲端提供了大部分的基礎架構,甚至是服務與應用程式,用戶自己能夠掌控的範圍相對有限,對重要的資訊系統而言,將之託付給雲端運算服務廠商其實充滿了許多未知的風險;加上目前各家雲端服務廠商間的技術能力差異頗大,缺乏一個標準化的規範與作業流程,也尚未出現針對雲端服務的驗證制度與標準,導致服務品質良莠不齊,難以掌控。



三. 並非風險轉嫁

  就筆者過去接觸的經驗,有部分使用者認為採用雲端的服務模式就能夠將風險轉嫁給雲端服務提供商,減輕自己所需承擔的責任。但事實上,許多雲端服務提供商在授權上也老早就載明了安全性相關的權利與義務,如Amazon在提供的Web Services Customer Agreement http://aws.amazon.com/agreement/#7)最後部分就註明了「我們將不為您的任何未經授權的訪問或使用,破壞,刪除,毀壞或喪失您的任何內容或應用程序承擔任何責任。」即使用戶基於單位安全政策要求服務供應商訂定罰則與保障條款,服務供應商也不見得就願意配合簽署。因此用戶在考量將資訊系統移轉至雲端時,也必須要先深入了解授權協議的內容,並據以評估未來移轉的計畫。



四. 端點防護

  攻擊者可能透過攻擊脆弱的端點,取得合法的權限對雲端服務進行操作;雖然過去企業已在內部IT環境中佈署了大量的安全設備,但針對使用者的端點防護卻相對薄弱,尤其許多對雲端服務(尤其是SaaS)有迫切需求的企業都是因為擁有大量的行動工作者,這也使得端點的安全性更難以掌控,端點防護議題勢必也將在雲端安全議題的熱潮中再度受到重視。



五. 事件追蹤的困難

  對於駭客而言,透過雲端發動的攻擊,等於提供了更多一層的隱蔽性,加上雲端服務廠商未必會提供對應的事件追蹤程序與證物留存等服務,未來勢必也將使資安事件的追蹤變得更加艱辛困難;即便雲端服務廠商願意配合資安事件處理的程序協助處理,在程序一來一往間可能也耗費掉不少時間,讓駭客有足夠的作業時間來隱匿抹除自己的蹤跡。



六. 價格競爭

  雲端議題的過度被炒熱其實也是隱憂之一。根據過去的歷史經驗,當市場被過度炒作時,伴隨而來的往往是演變成嚴重cost down的競爭情形;一旦在雲端服務上出現了價格的競爭,而非在安全性與其他技術面的競爭時,可以預見的是服務品質與水準的降低,在安全性上也將更加難以兼顧。



◆ 誰該搞雲端?

  事實上,雲端仍將會是未來的主要發展趨勢,不會因為安全性上的疑慮而減緩發展的速度,只是我們希望雲端服務模式在蓬勃發展的同時,也能夠將安全性納入考量,並列入成本效益的評估中。綜觀前面所述,並非所有的廠商都適合踏足雲端服務產業,個人建議提供雲端服務的廠商至少應該具備下列特點:



一. 規模經濟

  在雲端服務的眾多優勢中,最為顯著的優勢在於規模經濟。因此,提供雲端服務的廠商最好能夠具備一定程度的規模(如Google、IBM與HP等知名企業),或具有特定領域上的戰略優勢(如各大ISP穩定的頻寬優勢),方能有效提供並掌握各種資源的利用效率,以達到最大的投資效益。



二. 品牌優勢

  品牌的價值往往也代表了一定程度的品質保證,可以提供高水準的服務品質與負責任的處理態度(至少對企業客戶而言)。加上有品牌價值的背書,即使發生了不預期的異常狀況,廠商也不至於會將用戶棄之不顧,而會負起應盡的善後責任。



三. 技術能力

  嚴格來說優越的IT技術能力與整合能力其實只能算是最基本的必備條件,優秀的雲端服務廠商必須要具備創新思考的能力,持續研發出各種具突破性的應用技術並跟上市場的腳步,還得兼顧安全性的需求,才能在雲端服務市場持續經營並保持競爭優勢。



四. 安全驗證

  雲端安全聯盟在2009年12月公布了雲端安全參考指引第二版,針對與雲端相關的13個領域安全議題做了分析與評選建議,但目前仍未出現針對雲端運算服務量身規劃的安全驗證,許多服務提供商在資訊上的揭露也十分有限,使用者往往僅能透過間接的資訊來做評比。在這種情形下,服務提供商可以藉由通過一般通用性的安全驗證(如ISO 27001),至少保證了具有一定程度的安全控制措施;更為積極的,甚至可以考慮如Salesforce.com一般,尋求相關政府單位的認可,藉由相關單位的背書來佐證服務的可靠度。



五. 標準化流程

  在雲端服務的競爭進入白熱化之後,標準化流程的建立極可能也會成為重要的指標,未來可能會由代表性廠商或第三方公正團體建立起這個標準,藉由標準化以提昇可攜性與互用性,來促使讓雲端服務的發展更趨成熟。當然針對雲端服務是否該標準化這點,各方見解不同,個人贊同前一期雜誌中Google台灣雲端運算計畫主持人葉平先生所說的,過一、兩年後再來看也還不遲。



◆ 結論

  要踏入雲端市場前,該評估的應該是持續強化與彰顯本身獨到的優勢,而非將「擁有雲端」這件事當做目標,否則大概也會像幾年前的奈米熱潮一樣,一眨眼就消逝在一片茫茫的奈米__中。而雲端集中處理的特性,也讓安全性的考量變得格外重要,如何快速掌握商機,又能有效維繫客戶的安全性,也將成為雲端服務提供商重要的思考與發展方向。


資料參考來源:

趨勢科技雲端運算安全趨勢部落格

http://www.goodman-lai.idv.tw/2009/09/blog-post.html

http://zh.wikipedia.org/wiki/雲端運算

http://cloudsecurityalliance.org/

本文作者為系統整合商顧問,擅長駭客技術攻防、網頁安全。

資料外洩新管道 端點型DLP方案有解

http://www.informationsecurity.com.tw/article/article_detail.aspx?tv=12&aid=5763
作者:張維君 -06/03/2010


持智慧型手機或用3G/3.5G網卡搭配筆電行動上網的使用人口越來越多,企業資訊安全受到嚴厲的考驗。尤其是無需透過USB介面傳輸的無線3.5G網卡上市後更讓網管、資安人員傷腦筋。

由於此類產品不需透過USB介面傳遞訊號,因此各種管制USB埠的方式或一般資產管理軟體可能起不了作用。一般來說常見的防範之道,包括直接透過資訊安全政策來規範,違反規定自行攜帶此類傳輸工具到公司者就依辦法懲處,有些企業還會佈署訊號遮斷器,或擾頻器來阻擾訊號傳輸。

對此,熱門的防制資料外洩解決方案或許有解。達友科技副總經理林皇興表示,對付此類產品可透過Endpoint端的DLP產品來達到防制資料外洩,由於其攔阻是做在作業系統的網路Socket層,因此不需要死守筆電周邊各種傳輸介面。他進一步表示,除了此類無線行動網卡外,包括智慧型手機藍芽傳輸也可透過Endpoint端的DLP產品防範。

一通電話 觸發Android攻擊

http://www.informationsecurity.com.tw/article/article_detail.aspx?tv=11&aid=5767

作者:吳依恂 -06/07/2010



採用Android平台的手機數量如今可說是直線上升,不僅頂著Google光環,且方便使用、資源多,所以目前有很多手機廠都投入製造。前幾年在多場資安會議中,多半是示範使用Rootkit去利用Windows Mobile的漏洞進行入侵。

然 而今年7月將在Las Vegas舉辦的Defcon資安會議,卻是首次要由來自資安公司Trustwave的研究員Nicholas Percoco、Christian Papathanasiou示範,如何運用Rootkit針對Android平台的手機進行一些攻擊,主要是Rootkit作為一個模組,可運行在 Linux的kernal之上,擁有最高級別的權限就能夠進行很多攻擊。包括可以透過GPS知道手機所在位置、更改119撥出的號碼等。

其主要攻擊模式是先透過市售的軟體或是新漏洞,先將惡意程式植入到手機內,攻擊者再撥打一組號碼觸發,將手機的shell程式傳送給攻擊者利用,簡單來說就是給使用者操控的一個介面,能夠直接下達指令。

目 前Android平台是使用”Sandboxing”技術防止人們透過Rootkit取得完整的控制權,如果Rootkit是從Android Market散播的話,Google也可以跟受害者聯繫,協助處理。亞特蘭大資安公司Errata Security 的CEO Robert Graham則是認為,至少在短短的數年之內,這種Rootkit應該不會對手機使用者造成太大的影響。

Facebook 點閱綁架之攻擊分析與防範

http://www.informationsecurity.com.tw/article/article_detail.aspx?tv=11&aid=5771

作者:Crane -06/11/2010


5月底6月初,Facebook社群網站遭受點閱綁架(Clickjacking)之攻擊手法利用,乍看之下,會以為是Facebook社群網站上的「超連結」受點閱綁架手法影響,事實上並非如此。

它是利用Facebook社群網站「Liked ()」中的超連結,讓網友連結到釣魚網站,在釣魚網站上利用點閱綁架攻擊之手法,使網友點擊(Click)之後,在自己Facebook的「塗鴉牆」上,留下「新的詐騙訊息」,再透過你的社交網絡出現在好友的「動態消息」中,使好友一一淪陷。



來看看整個攻擊手法:

1.首先架設釣魚網站,內含點閱綁架手法,以下就是「釣餌」,有很多個,並持續增加中:

hxxp://disneyhiddenlike. blogspot.com/

hxxp://manpictureofhimselflike. blogspot.com/

hxxp://2006mindfreaklike. blogspot.com

hxxp://2006mindfreaklike2. blogspot.com

hxxp://girlownedbypolicelike. blogspot.com/

hxxp://girlownedbypolicelike2. blogspot.com/

hxxp://disneyhiddenlike. blogspot.com/

hxxp://disneyhiddenlike2. blogspot.com/

hxxp://thedatesafe. com/obama/

hxxp://www.thedatesafe. com/man

hxxp://www.thedatesafe. com/promdress/

第一階段(6/3日之前)的釣魚畫面只有一個,顯示「Click here to continue」;第二階段(6/3日之後)的釣魚畫面,就很豐富了,畫面請參考這裡

2.開始手動散播「Liked(「讚」)的留言訊息,並對應到相對之釣魚網站,當然留言訊息也在演變中:

The Hidden Body Part The Artists at Disney Didnt Want You To See.” -> hxxp://disneyhiddenlike. blogspot.com/

LOL This girl gets OWNED after a POLICE OFFICER reads her STATUS MESSAGE.” -> hxxp://girlownedbypolicelike. blogspot.com/

This man took a picture of his face every day for 8 years!!” -> hxxp://manpictureofhimselflike. blogspot.com/

You''ll NEVER believe what OBAMA did on TV” -> hxxp://thedatesafe. com/obama/

The Prom Dress That Got This Girl Suspended From School.” -> hxxp://www.thedatesafe. com/promdress/

3. Facebook用戶點擊了這些留言訊息,被誘騙到釣魚網站,若再點擊了「Click here to continue」之連結,或釣魚網站之畫面連結,就會在自己 Facebook 的「塗鴉牆」上留下「新的詐騙訊息」,再透過你的社交網絡出現在好友的「動態消息」中,使其好友上當。如此周而復始,擴大事端。

目前,Facebook也持續清除這些不當的留言訊息,但是,總是被動的,只要手法持續改變,就會一直延續下去的。



網友該如何避免呢?

1.安全的瀏覽環境,FireFox+NoScript是不錯的選擇,但前提是你得學會正確使用NoScript,可以避免點閱綁架手法。

2.上網的警覺性,為何到了釣魚網站還隨便點擊裡面的連結呢?這跟電子郵件中夾帶釣魚網站的超連結,有異曲同工之妙,你能成功脫身嗎?可以清楚辨認「餌」在哪嗎?

3.清查自己Facebook上的「塗鴉牆」及「動態消息」是否有可疑的留言訊息,予以刪除,或告知好友予以刪除。

4.社交網站正處於流行的高峰期,必定會遭有心人利用,你得多加注意,並留意新的攻擊手法。

5.同樣的手法,利用「翻新的詐騙劇本」同樣可以在其他社群網站,如撲浪(Plurk)或推特(Twitter)…等進行攻擊,務必多加留意。



企業或單位的網管人員該如何因應呢?

所幸目前並未發現惡意的攻擊利用,導致企業或單位受害或遭受損失。但需持續注意攻擊手法的演變,很有可能變成夾帶「Click by Download」的社交攻擊手法。

對同仁進行資安意識宣導,使同仁了解相關手法的利用。同時,加強同仁對於釣魚網站應有的認知,除了點閱綁架手法外,還有標籤綁架(Tabnapping)之新手法。

可以考慮封鎖相關社群網站。或當出現重大威脅手法時,立即進行封鎖動作,避免企業或單位蒙受損失。

持續注意手法演變至其他社群網站之可能,如撲浪(Plurk)或推特(Twitter)…等,並預先做好因應措施,如封鎖社群網站等。

本文作者為資安技術顧問

Linux基金會來台 推動硬體廠商採用MeeGo

來源

Linux基金會來台 推動硬體廠商採用MeeGo

ZDNet記者曠文溱 /台北報導 2010/05/11 19:47:01

推動Linux發展的國際非營利組織「Linux基金會(Linux Foundation)」,宣布首任台灣區營運總監,推動本地OEM/ODM業者,乃至於Linux社群參與MeeGo計畫。

Linux基金會今(11)日宣布,將由達維飛碼(DeviceVM)業務開發資深副總裁盧育充,出任首度派任台灣營運總監,協助Linux在個人電腦、 行動和嵌入式運算設備在大中華區的發展。盧育充表示,將從兩個方向來推動Linux:一者是借重公協會的力量,例如電腦公會和資策會,拉攏Linux社 群。

另外一點則更為具體,即是將先前英特爾和諾基亞推動的MeeGo計畫,帶入台灣市場。例如協助本地硬體廠商推出MeeGo裝置,幫助開發者瞭解MeeGo架構,將雙方意見納入MeeGo的標準。

盧育充說明何以看中MeeGo,表示雖然以往也有許多Linux陣營,例如Linpux、Ubuntu和SUSE等,在本地市場活躍;但是前者多半是因應 特殊需求,開發出不同的Linux嵌入式裝置。他認為Linux市場要真正坐大,必須要有一個單一標準架構,將苗頭對準行動上網裝置。

這是英特爾和諾基亞最初的構想:MeeGo以Moblin核心作業系統為基礎,支援多種處理器架構。由於MeeGo可在多種裝置類型上執行,用戶更換裝置後仍能繼續使用自己熟悉的應用程式,不受限於單一裝置類型或特定廠商。因此,開發者只需要撰寫一次應用。

外電報導,MeeGo第一版可望於 2010 年第二季發表,相關裝置也將於今年稍晚問世。

「Android和Chrome都有具體的硬體規格限制,例如前者就規定要用ARM架構的處理器。MeeGo有英特爾和諾基亞的參與,介於x86和ARM架構之間,更為開放,」盧育充說。

不過由於Linux基金會才剛把注意力放在大中華區,因此在六月的Computex展上,將不會看到前者有動作。

【Computex】台廠展示MeeGo平板、小筆電

http://taiwan.cnet.com/crave/0,2000088746,20145785,00.htm

【Computex】台廠展示MeeGo平板、小筆電
2010年06月01日

先前曾傳出宏碁(Acer)將在Computex展出採用Google Chrome OS的平板或小筆電,遭官方否認後,結果今天公布的正確答案是--MeeGo。

宏碁執行長蔣凡可蘭奇今(01)日出席英特爾主題演說,並親自展示一款將採用MeeGo作業系統的平板裝置。蘭奇表示,MeeGo讓廠商可以更快速度推出產品,並提供用戶更友善的介面,該公司未來會陸續推出採用MeeGo的產品,預定明年就會有小筆電與平板上市。

英特爾個人電腦用戶端事業群總經理Mooly Eden在下午另一場演說中,展示了另外兩款MeeGo平板裝置,分別來自台灣代工廠英業達與偉創。英特爾表示,宏碁、華碩、戴爾、諾基亞、惠普(儘管已 擁有自己的WebOS)等品牌廠商,都已加入發展MeeGo平板的計畫,並有多家OSV、ISV與服務提供廠商來共同建構此生態鏈。

英特爾表示,MeeGo是一款可跨裝置的行動作業系統,將用在手持裝置、小筆電、平板裝置、車用裝置或電視上,此作業系統是基於Linux的開源碼計畫,並獲Linux基金會贊助,目前正由英特爾、諾基亞與開發者社群合作推動。

英特爾表示,除了Atom處理器與MeeGo作業系統之外,他們瞭解還需要眾多的應用軟體來配合,所以正推動名為AppUp Center線上軟體商店方案。華碩昨天發表的asus app store即是第一個採用案例,秋季起會內建在小筆電中,初期是搭配Windows作業系統,之後將擴展至搭載MeeGo的產品中。

該作業系統的第一個公開版本MeeGo 1.0,甫於上周(5/27)正式推出,目前可安裝在基於Atom的小筆電、車用裝置與ARM架構的諾基亞N900手機上。Novell亦在今日宣布將針對小筆電和行動裝置推出SUSE MeeGo作業系統


只是驚鴻一瞥的宏碁MeeGo平板


英業達的MeeGo平板原型機


緯創的MeeGo平板原型機


華碩展示的MeeGo小筆電

Google Chrome OS核爆震憾 英特爾將比微軟受更大衝擊

http://www.digitimes.com.tw/tw/rpt/rpt_show.asp?cnlid=3&v=20090713-227

2009/07/13-行動通訊-20090713-227-林俊吉




傳 言數年Google將推出自家PC作業系統,終於在美國時間2009年7月7日成真-Google宣布將推出以Linux kernel整合Chrome瀏覽器為應用開發平台的Google Chrome OS(以下簡稱Chrome OS),預計在2010年下半,便會有搭載該作業系統的Netbook上市。

當2008年9 月Google推出Chrome瀏覽器時,因其架構及部分功能設計實已超出一般瀏覽器所需,反而比較像是一套先進作業系統的雛型,遂有不少人預測 Google推出Chrome瀏覽器乃「項莊舞劍,意在沛公」,真正目的不在於搶奪微軟(Microsoft) Internet Explorer瀏覽器市佔,而是要以Web Application執行環境之姿,挑戰微軟Windows作業系統獨霸地位。

Google發布此消息後,第一時間大多數看法都認為對微軟衝擊最大,誇張一點的說法是:Google此舉形同朝微軟帝國投下那枚「意料之中但不知何時會來臨」的核彈。

對以Wintel架構為馬首是瞻的PC產業來說,後續效應複雜許多,其中之一是,Chrome OS的出現,乃Netbook區隔(7~10吋)、以Web Application為核心應用的行動連網裝置發展契機。

Google Chrome OS布局