Please Rob Me!! XD ~~

有郭網站:「Please Rob Me」
http://pleaserobme.com/

這個 Blog 中有很詳細的相關說明。裡面有段話我很喜歡:
「…我們不是在嚇大家不要分享任何資訊,也不是告訴大家地理資訊的應用都是不好的,而只是做善意的提醒:在你分享之前,先想想會不會有什麼嚴重的後果!分享地理資訊不全然是件壞事,只是要用對場合與方式!…」
~~來源為 [Mr./Ms. Days (MMDays) – 網路, 資訊, 觀察, 生活]部落格網站~~

再回想一下我之前的一篇文:「誰在看我的噗」。

我只能說,你自己如果也不尊重自己的隱私,哪,將會沒有人在乎你的。也就是說你在網路上裸奔,大家也只能看戲。

請務必尊重與注意隱私問題Continua a leggere

Pubblicato in Senza categoria

Glossy or matt aluminum

If you like glossy materials, special aluminum of course, you should take a look at this blog http://achromaticphenomena.blogspot.com/ where Richard Karsten works on a book “Beyond Color: Achromatic Phenomena,” a book exploring the attributes that affect the way a surface or object appears, such as gloss, luster, transparency, luminosity and iridescence. You can share your ideas there and participate in the conversation about achromatic phenomena in design, art and nature.

Well, very interesting – this is a woman’s thoughts – glossy is definitely eye-catching, new and valuable, pure, untouched and clearly a reason for the diamonds and gold obsession you see.

In the aluminum world I see a trend towards the more matt surface again after 5 – 10 years with high gloss anodized surfaces. The reason – well, in my opinion, is the new simple living lifestyle where back to basic is good. So matt aluminum surface is probably more trendy now because it actually shows us the real world.

If you find this article useful and you would like to know more please contact me [email protected]
__________________________________________________ Continua a leggere

Pubblicato in Senza categoria

「高度精密與目標性」的攻擊事件

自從一月十三日起,各新聞媒體傳出 google 宣布要退出中國市場開始,這事件就像連續劇一樣,每天上演著不同的情節。一開始爆出是利用 Adobe 未修補的漏洞,後來又說是利用 IE 0 Day

極巧的是,消息一曝光開始,不到一天 Adobe 也推出更新版本到 V9.3.0 版,因為首波新聞內容提及 Adobe 漏洞問題,相關新聞在這還有這裡

後來攻擊漏洞也與微軟 IE 有關聯,IE 也在這兩天推出修補更新程式,相關新聞在這還有這裡。所有被爆出的漏洞紛紛修補完畢。

期間也傳出不只一家企業遭受攻擊,可以參考這新聞。攻擊來源據傳在這新聞,且還利用了台灣的中繼跳板,新聞在這還有這裡。整個新聞過程也充滿政治操作與行銷手法在裡面,因為,最後 google 又不打算退出中國市場了,新聞在這;況且,中國「上網人數」比「美國人口」還要多耶,要放棄…打死我也不相信,即便今天放棄,明天也能宣示重返。這整個過程也可以看出是「高度精密與目標性」的反擊,相關一系列文章可以參考雅虎專題新聞:「谷歌遭駭 槓上中國」。不過,這部分不是我要討論的重點。

這裡我比較關心的是:
1. 整個攻擊手法的運作方式。
2. 攻擊的目標、目的。
3. 思考可能造成的衝擊。

一、到底攻擊手法是啥呢?
從漏洞來看,是攻擊 adobe reader 以及 IE 瀏覽器漏洞;前者為檔案形式,後者為網站、網址(URL),但…還需要更主動的方式配合,才能攻擊到「特定」的目標,很顯然的應該是利用「電子郵件」,這樣就能精準的將 exploit 送到特定目標手中,靜待魚兒上鉤。
話說回來,如果只要是騙取特定人士的帳密,大可不用如此麻煩,先前這篇手法即可。詐騙郵件+釣魚網站就足夠了,且這好用太多了,也相對低調…XD。所以,攻擊一定會依據目標、目的不同,來配合不同手法的,這系列新聞中,也錯綜複雜著好幾件事的。
從手法來看相當接近「魚叉式網路釣魚」。這類攻擊手法,我們早已司空見慣了…XD。透過電子郵件將惡意的 pdf 檔案附件,或惡意的 URL 精準的送到攻擊目標信箱中,誘騙目標開啟附件或點選連結,透過 0 Day 漏洞,達成植入惡意程式的目的。
一旦惡意程式滲透內部網路,就可以進行下一階段的行動,搜尋特定資料、跳板再滲透…等,取得重要機密,或達成預設的攻擊目的。

二、攻擊的目標、目的?
由系列新聞來看,大概是兩個:特定人士的郵件帳密,以及特定公司的商業機密。

三、帶來哪些衝擊呢?
是否遭受相同手法攻擊?如何避免遭受類似手法攻擊?如何防禦類似攻擊手法?
這沒有標準答案的,每個資安事件都是可以成為防禦的強化作業,解法留給您思考吧!但往往想的人沒有決策權,有決策權的從來沒思考這些問題。

魚叉式網路釣魚」攻擊手法:
可以 google 看看這個查詢結果。其實,前幾年台灣發現不少 0 Day 漏洞,除了 Adobe, IE 外,包含 .rar, .doc, .xls, .ppt …等,每次的 0 Day 發現,也代表著一波波的攻擊發生,實現攻擊的目的。

說到這…你會不會想起了甚麼呢?是的,可能很多公司被打了還不知道痛的。

我相信台灣的資安技術能量絕對不輸國外的,但,缺的是甚麼呢?

補充資料:
1. WIKI:極光行動 (Operation Aurora) [2010/05/14新增] Continua a leggere

Pubblicato in Senza categoria