close
Blogtrottr
T客邦
T客邦 - 全站文章 
2013 Ski and Snowboard gear is on sale now.

Get ready for Spring with new arrivals and wake gear. Shop today.
From our sponsors
搶先了解未來安全趨勢,F-Secure 首席研究長 Mikko Mypponen 的前瞻性思維
Dec 21st 2013, 01:24, by R.F.

1ad00975827fc4383081048fe9e6a78d 前些日子F-Secure的首席研究長Mikko Mypponen應翔偉資安科技之邀,來台進行為期兩天的資安論壇。在會議的空檔編輯很高興訪問到這位傳奇性人物,並提出一些疑問請Mikko Mypponen回答,他本人也對目前資安防護的未來趨勢提出一些看法。

比特幣的機會與威脅

從來沒有一種貨幣能夠像比特幣(Bitcoin)一樣,在一年內達到7600%的漲幅(現在匯率掉了一些,但依然驚人),當初率先投入的礦工們早已享受一夜致富的爽快感。比特幣是一種虛擬貨幣,具有去中心化,脫離一般金融體制控制的特性,但也是這種跳脫一般人為或政府監控的特性,讓比特幣成為有心者攻擊的對象。

比特幣的原始設計就是以強大的數學演算法,確保貨幣產生或是交易過程萬無一失,引進的加密系統也相當複雜;但雞蛋再密也有縫,「人」這種極度不可靠的生物便是最大的漏洞。雖然比特幣的加密系統複雜,但是程式產生的wallet.dat檔為電子錢包的私鑰,有心人士只需在使用者的電腦裡安裝遙控軟體,竊取此檔之後就極有可能存取電子錢包。同時,比特幣的交易匿名性也讓竊取之後的追蹤變得無計可施(比特幣的交易紀錄公開在網路上,但卻沒有辦法知道誰做了此筆交易)。

Mikko Hypponen以CryptoLocker這個惡意木馬軟體作為例子,此軟體會加密Windows作業系統中特定的檔案,要求使用者支付一定的金額後才可獲得解密金鑰,其中包含以比特幣支付的形式,可見比特幣的高度匿名性已被有心人士注意且利用。

Mikko Hypponen提出一點可供追查的方法,由於目前直接接受比特幣支付的商家還算少數,有心人士須將其轉換為國際上通用的貨幣才可以使用,因此可要求最終將比特幣換為真實貨幣的交易紀錄。

▲左為F-Secure首席研究長Mikko Hypponen,右為翔偉資安科技營運長杜世鵬。

穿戴裝置的安全問題

受到行動裝置興起的影響,手機平板的裝置與人們生活越趨密切,更為個人化的智慧型穿戴裝置也即將席捲市場,像是智慧型手表,智慧型眼鏡等。Mikko Hypponen也預測未來有心人士可能會攻擊這個部分,但因目前市場基數還不夠大,問題尚未發生。

未來發生的時間點主要還是以經濟效益為主,如果市場上對於此類的智慧型穿戴裝置的需求急速增加,那麼發生的時間點就有可能提早來臨。有心人的犯罪方式有可能是讓此類裝置的功能發生問題不易使用,或是直接側錄使用者的隱私並上傳,再勒索求支付贖金。

逐水草而居的攻擊者

Mikko Hypponen談到,現今的Windows作業系統在微軟的努力之下,可遠端遙控或入侵的漏洞已減少許多,因此有心人士將攻擊目標轉為安全性相對來說較不完善的地方,諸如Adobe Flash、.pdf檔或是Oracle Java,特別是網頁瀏覽器的外掛部分。

注意App的權限

針對目前的智慧型手機或是平板,與會中特別提到,因為手機這種裝置相對電腦來說,容易儲存更為隱私的資料,因此在談論到行動安全這一塊,我們反而要聚焦在如何防範App們將我們的資料洩漏出去。

大部分的App都是免費的,但這些開發者們也需要獲利來源,他們的獲利方式就是收集使用者的資料,將這些資料再轉賣給行銷公司或是其他的人。於是我們在使用免費App前要有個認知,免費的背後你可能要付出更大的代價,Mikko Hypponen並說了一句很重要的話:「There’s no free lunch!」。

Mikko Hypponen還舉了個Android App為例子,「Brightest Flashlight」僅是個手電筒軟體,讓手機的LED補光燈發亮而已,但是他卻要求GPS定位的權限,收集用戶資訊的意圖相當明顯。

▲Mikko Hypponen帶來了在台灣難得一見的比特幣實體硬幣(中間下方)。

雙手奉上資料-雲端空間

最近因為中國許多服務供應商的雲端空間大戰,使得此議題浮上檯面:「使用者放上去的資料安全嗎?」

當然,這些公司再三保證使用者上傳的資料絕對安全,有些甚至具有加密功能,確保只有資料的擁有者可以存取。這些當然保證都沒有問題,問題是這些資料並不直接為雲端空間供應商所存取,而是經由類似資料探勘、掃描的方式分析,再根據這些資料直接推送廣告,或是將其販賣給第三方廠商。

另外一點,當刪除這些檔案時,你真的確定他真的從伺服器裡消失了嗎?再者,一堆資料集中在伺服器上,若是業者的安全措施不完善,相當容易成為有心人士的目標。Mikko Hypponen確信這些雲端服務提供使用者相當便利的服務,但重要的資料還是必須由自己所了解並確信其安全的方式儲存。

DNS攻擊頻傳

最後小編問到了前陣子影響許多安全軟體供應商的DNS劫持事件,Mikko Hypponen則是以自身實際參與的DNSChanger事件作為例子。我們一般上網觀看網頁,網頁旁會有一部分的廣告,網站生計大多仰賴此廣告收入,而越受歡迎的網站,其廣告版面價值越高。DNSChanger可將這些廣告內容替換掉,指向此木馬開發者的廣告伺服器,開發者就可以此獲利。

在過去較難定義這類行為犯罪,後來在Mikko Hypponen協助的調查之中,查出約有7人涉案逮捕,希望藉由實際上的判刑或是付出代價,嚇阻其他的類似行為。

延伸閱讀:

2013 年8 大免費防毒軟體評比,防護特色、測試成績報你知

Facebook 隱私保護、防毒、防詐自保11招

5大防毒防駭重要須知,新手必學靠自己、老手複習做好人

Facebook

馬上按讚 加入T客邦粉絲團

標籤:f-secure, 新聞, 芬安全, mikko hypponen

更多3C新消息,快來加入T客邦粉絲團

This entry passed through the Full-Text RSS service — if this is your content and you're reading it on someone else's site, please read the FAQ at fivefilters.org/content-only/faq.php#publishers.
You are receiving this email because you subscribed to this feed at blogtrottr.com.

If you no longer wish to receive these emails, you can unsubscribe from this feed, or manage all your subscriptions
arrow
arrow
    全站熱搜
    創作者介紹
    創作者 xals2q 的頭像
    xals2q

    2015花千骨線上看tv 2016花千骨 花千骨線上看drama q 花千骨線上看drama 仙俠奇緣之花千骨線上看 花千骨線上看tv543 電視劇花千骨線上看 花千骨線上看第一集

    xals2q 發表在 痞客邦 留言(0) 人氣()

    E-mail轉寄