APT亂談

APT-進階持續性滲透攻擊(Advanced Persistent Threat, APT),像是迷般的事件:
魚叉式網路釣魚
驟雨計劃
極光行動
是的,就連名稱也像謎一般.

最近的新聞:
南韓遭大規模病毒攻擊 駭客來自歐美四國
透過更新下載、毀損MBR 攻擊南韓手法似曾相識?
拼出南韓攻擊事件原貌 HIT:ISP的DNS伺服器是關鍵
南韓大顆首爾( DarkSeoul) 大規模APT攻擊事件南韓大顆首爾( DarkSeoul) 大規模APT攻擊事件
More Insights on the Recent Korean Cyber Attacks (Trojan.Hastati)

遇到很多人都在問「怎防APT」?我的想法是:
1. 防不是重點,防是基本功
2. 應變處理很重要但也不是重點
3. 重點是時間,你會發現對方對你的內部環境非常熟悉

攻擊手法千奇百怪,很多時候已經無法完全歸納為何類攻擊或手法,只抓幾個關鍵:
1. direct in VS mass in VS social in
2. do something VS get something
3. one more again VS see you again
4. why

更多人在寄望「SIEM」應該要示警管理者發生了啥事,即便精準通知了,然後呢?

你,一直以來,每每購入設備時都認為能解決資安問題嗎?
還在寄望購入下一個資安救世主嗎?…(其實也買的差不多了@@ Continua a leggere

Pubblicato in Senza categoria

個人隱私:「我回不去了」‧‧‧(網路上裸奔

[行動裝置爆炸的年代]
前兩年大家都在講「雲」,講造雲,今年開始「端」終於正式成形了。

也許很多人會說,「PC & NB」不就是端點了嗎?不,我認為不是這樣的。如果它真的是端點,哪過去十年不也是雲端了嗎?這又有何不同呢?我想過去這兩年,大家也認為這樣的雲端只不過是舊瓶新裝罷了。況且,這樣的端點,除了運算能力,其他的就一無是處了。這樣的「端」太遜了。

哪究竟啥是「端」呢?是的,如果大家有去今年初的「台北國際資訊安全科技展暨亞太資訊安全論壇」,聽一兩場「新科技-行動安全」的場子,你就會發現「智慧型手機」與「平板電腦」站出來了。站出來還不夠,還得有硬功夫才行。

我們來看看有何硬功夫,先看看「端」與「PC & NB」有哪些相同的地方:運算能力、儲存空間、數位鏡頭、喇叭、麥克風;「智慧型手機」與「平板電腦」除了數位鏡頭較佳外,這些相同之處一點都不起眼,甚至遜色很多,尤其是運算能力及儲存空間,這些行動裝置是遠遠比不上的,但十年後也許就很難說了。

另外,那有哪些不同之處呢?這可就是「智慧型手機」與「平板電腦」的超強項目了,我們來看看:

  • 連線網路:包含 Bluetooth、Wi-Fi、3G、WiMax、4G…等各種連線能力,只要有訊號就能通聯。未來,我想會朝向強化端與端之間的互連上。
  • 數位鏡頭:至少應該都是200萬畫素以上,目前主流是500萬畫數,有的還能提供 1080P 的拍攝功能,以後拿來拍外星人的影片就不會這麼模糊了。
  • GPS 定位:就是可以找到行動裝置的功能,只是這行動裝置多半在你身上。所以衍生很多其他特別用途的功效。
  • 電子羅盤:指南針、指北針,隨時隨地都可以算風水。
  • 陀螺儀:這就是會讓螢幕自動轉來轉去的功能。
  • 氣壓計:這個功能好,配合地圖及GPS,這樣就有 3D的地圖了。
  • 光傳感器:這能讓螢幕自動配合光線來調整亮度,白天不會太暗、半夜不會太亮。
  • 加速傳感器:這…mmm…,也許行動裝置可以偵測是否在墜落中,並啟動安全氣囊之類的…嗯…幾乎啦。
  • 另外,別忘了還有一個麥克風的收音功能啊!!
  • 創意無限之APP:上述硬體加上雲服務,就能蹦出各種新花樣。甚至是從沒想過的創意功能出現。上述描述的功能說明,極可能只是九牛一毛,只要有創意就會有無限的雲服務;而端點只要有新硬體支援,雲服務就會有新創意。

一台手上的行動裝置,就有遠比「PC & NB」還要強大的硬體支援。你能想像一台「電腦」被植入惡意程式,與一台「行動」裝置被植入惡意程式,哪一個比較嚴重呢?這答案交給你決定。

我在意的是另一個問題 -「隱私權」。2010年初,Facebook創辦人提出了一個觀念,「隱私權的時代已經過去」,當時我也的確不能太能接受,但是否有思考這句話的涵義呢?也許今天看完這篇文,應該能讓你接受這句話。

根據 Gartner 的報告,2010年全球智慧型手機共1.2億支,有六分之一的人使用。今年「平板電腦」將會有爆發性的成長。預計到2015年都會有倍數成長,也預估2015年「行動裝置」上網總數會超過PC,我想「行動裝置」應該包含NB吧。目前數據有點混亂,我也不知該引用哪些數據,總之「智慧型手機」與「平板電腦」到2015年都會一直成長。

[不斷創新的雲服務]
新的端,將會造就新的雲。不斷創新的端,就會有源源不絕創意的雲服務。而端的持有者就是「人」。雖然「PC & NB」也是人在操作,但除了運算能力外「PC & NB」根本不是對手,況且,我還是會把「PC & NB」定義為商業用途。而「智慧型手機」與「平板電腦」將會透過以人為基礎的社群媒介連接至「雲服務」,而這也是為何端在前兩年的使用像斷線的風箏,少了雲服務,端點將不像端點,即便端點再智慧也沒用。

看看目前 Web2.0 的社群媒介發展狀況,如下圖。

(圖片來源:http://www.fredcavazza.net/2010/12/14/social-media-landscape-2011/)

這張圖應該可以很清出的描述 Web2.0 現況。每個小圈圈都出現領先者,其中 Facebook 又最龐大,已經吃掉許多外圍的圈圈了,只剩三、四個圈圈還沒有,也許 Facebook 推出打卡(Check-In)之後,下一個推出的可能是即時視訊或即時影音功能了。

如果你已經打算或已經購買「智慧型手機」或「平板電腦」,下列服務或功能是你務必要知道及了解的。

[適地性服務(Location Based Services, LBS)]
結合「GPS 定位」硬體所衍生出來的服務。這是目前最熱門的雲服務-打卡(Check-In),有兩個網站很熱門:「Foursquare」及「Gowalla」。Foursquare:融合遊戲概念與LBS的行動裝置應用,擁有勳章系統以刺激使用者持續發掘地點。Gowalla:與Foursquare相似,擁有更豐富的視覺設計以及將個別地點串成Trip行程任務的概念設計,另外還有虛擬寶物的概念。

我想大家應該也知道Facebook 推出打卡功能了,只能說它的功能還很簡單的,我想不久就會有以 Facebook 到店家打卡,可享受店家服務的促銷。簡單的說,結合社群的行銷手法才是王道。端點的「GPS 定位」結合雲服務還能玩出很多新花樣。加上端點的「氣壓計」硬體,又能增加更多趣味,同樣都是在 101 打卡,但是在頂樓打卡就是比較屌。

光這個硬底子功能,就讓你透露出多少個人隱私呢?

延伸資料閱讀:
iPhone定位門事件
Apple針對iPhone記錄定位資訊一事發表的正式新聞稿「Apple Q&A on Location Data」全文翻譯
http://www.google.com.tw/search?q=iphone+定位

[人臉辨識(Face Recognition)]
結合「數位鏡頭」硬體所衍生出來的服務。這應該不算新,但發展無限。有些數位相機也提供這類功能,Facebook 也提供對上傳照片進行人臉辨識功能,不過還需要手動填寫人名;如果全自動做到比對好友大頭照呢?這將會是關鍵一步,這樣就能告訴你誰在照片中。我認為這技術應該已經成熟,只是何時適合推出?誰在用?如何用?

我想大家都知道街頭巷弄有錄影設備,目前還是以類比訊號居多。假設全台的街頭巷弄錄影訊號數位化後,並具備有人臉辨識功能,加上警局的連線,有這樣的一天會有多驚人。我並不反對,但誰在用?如何用?

即便人臉辨識已經有完整、成熟的技術,但最終,還是要具備有完整的「人臉圖片資料庫」,才能得以發揮,誰擁有最多的圖片資料庫,且能持續更新成長才是最大贏家。

這個硬底子功能,不但讓你的隱私不保,連帶周邊的親朋好友,甚至背景的路人甲都隱私不保。且很多時候,還是你自己上傳到雲服務上的,當然啦!!它用備份的名義來包裝。

延伸資料閱讀:
Google的以圖像進行搜尋
社交網站臉部辨識功能
Google買下PittPatt 準備強化人臉搜尋功能?
http://www.google.com.tw/search?q=臉部辨識

[物體辨識(Object Recognition, OR)]
結合「數位鏡頭」硬體所衍生出來的服務。科技的進步,不僅可以告訴你誰在照片中,還能告訴你他們在哪裡,靠的不是 GPS 定位,是靠圖片中的街景、建築物、景觀、地標…等線索。想想 google 的街景地圖是由成億上兆的圖片組成的,要是能比對你圖片中的背景呢?
換句話說,一張圖片除了洩漏你,還洩漏了你的地點。直接用一張圖來說明應該會比較快,如下圖:

(圖片來源:http://techorange.com/2011/03/01/schmidt-mobile-growth/)

[擴增實境(Augmented Reality, AR)]
這名詞其實已經不是太新的。可以查查維基百科,你會發現在1990年就已經有人提出這個概念了,過去沒聽過沒關係,但現在你不知不可。某種程度還需要上面兩個的技術為基礎才行,上面兩個的技術只做到「識別」,識別之後連結哪些資料,或輸出哪些關連資訊,這就是屬於擴增實境的範圍了。

現況來說,擴增實境的議題在前兩年已經有不少。但,新端點才是讓這功能得以發揮的關鍵因素。預估未來幾年,這概念實作的服務將會大放異彩,魚幫水水幫魚,這些雲服務也才能刺激更多人購買行動裝置,兩者相輔相成。

擴增實境的概念我可以想到這些雲服務,當然這列出的只是九牛一毛而以:

  • 你有興趣的商品拍個照,雲服務會告訴你哪裡買最便宜。
  • 將行動裝置對街頭掃描,就可以找到最優惠的餐廳,或網友最推薦的小吃…等等。
  • 真實世界加上虛擬的尋寶遊戲,以真實世界為背景,透過行動裝置來獲取雲服務線索並加以解答,最後找到真正的寶物。
  • 以上是往好的想,另外一方面想,就可能出現的是全自動化的人肉搜尋系統了。

如果要更加了解擴增實境的概念,可以參考「Mr./Ms. Days」的「虛擬與現實的結合:Augmented Reality初探」一文:
http://mmdays.com/2009/09/25/augmented-reality-for-dummies/

[問題來了]
我們先撇除一般性的資安問題,我們只看隱私權的部分。回到事件的根本:以人為基礎的社群媒介,傳遞的內容當然與當事人息息相關,因此也將大量曝露隱私資訊,這些訊息還都是當事人親至上傳到雲服務的,使用的越多,你就越沒有隱私權利。

無意中聽到的談話、拍照,雲服務會告訴我:who it is。

找到一張有興趣的圖片,雲服務會告訴我:who it is and where they are。

我想就直接以圖片來了解:

(圖片翻拍自:http://www.youtube.com/watch?v=tb0pMeg1UN0)

(圖片翻拍自:http://www.youtube.com/watch?v=tb0pMeg1UN0)

這是TAT公司的一個作品:Augmented ID。只要將行動裝置,對準你有興趣的人進行追蹤即可。當然,很快的就能查到你「公開」的個人資料。

對於社群媒介的使用越緊密,你在雲裡也留下越多的足跡。還記得傳說中的「中指蕭」事件嗎?三、五年之後再回頭看,你可能會對傳統「人肉搜尋」技術落後給予冷笑以對,很快的會有新科技、全自動化的系統來取代的。

[杯具]
那麼多的雲服務、APP,不管是好人還是壞人都在蒐集的你隱私資料。

延伸資料閱讀:
商業週刊第1228期的封面故事 – 新裸奔時代
http://www.google.com.tw/search?hl=zh-TW&q=惡意APP

參考資料:

  • 「虛擬與現實的結合:Augmented Reality初探」:(http://mmdays.com/2009/09/25/augmented-reality-for-dummies/)
  • 「Augmented Reality on Mobile 」:(http://blog.fihspec.com/idc/?p=28)
  • http://zh.wikipedia.org/wiki/擴增實境
  • Google施密特:行動應用成長速度,超過了所有人預期:(http://techorange.com/2011/03/01/schmidt-mobile-growth/)

亦投稿於「資安人雜誌,2011. 5.6.月號. No.75,社交網站 人肉搜索與隱私」 Continua a leggere

Pubblicato in Senza categoria

上網安全之邪惡短網址 (Surfing Secure for URL Shortening Services)

先利用 google 搜尋關鍵字:「短網址」,就可以知道何謂短網址。或者查詢維基百科(Wiki)也行。

常見短網址服務的網域有:
http://tinyurl.com/
http://0rz.tw/
http://0rz.com/
http://ppt.cc/
http://goo.gl/
http://bit.ly/
… … 其他好多!! 總之我用邪惡短網址稱呼。也許它全然不是壞的,但是幾百個短網址連結,出現一個問題,可能就很頭大;問題是如果要檢查幾百個短網址可能更頭大,你該如何自處呢?點還不點連結?

短網址在網路上使用越來越廣泛了,就連 google 也加入短網址服務,這類短網址還有很多並沒有在清單中。絕大部分的短網址有個特色,域名很短且域名之後為一串固定長度的英數字組成,對於短網址必須具有基本識別能力。對於網站中出現的短網址也必須加以注意,因為,它很容易被利用,做為隱藏惡意連結或惡意網域之用。

為了抓個圖,讓網友了解,等了許久這圖終於出現了:

這可是相當典型的「Likejacking」手法,而且還配合短網址做利用。相關資料可以參考 這裡 還有 這裡 。應該很多人已經點擊該連結了吧,問題是都沒感覺有發生過啥問題…XD。FB 現在還是很甜蜜的,再過段時日,就會有一堆垃圾、廣告、行銷的東東,甚至是惡意連結,出現在大家的牆上,沒辦法,別忘了 FB 可是要取代 EMail 的。

與短網址有異曲同工之妙的,如「OWASP Top 10 for 2010」中,A10: Unvalidated Redirects and Forwards(未驗證的轉址與轉送)。短網址都大辣辣的提供服務了,相較之下,Unvalidated Redirects and Forwards 的問題實在沒啥大不了的。話說回來,把這兩個搭在一起,再做點變形,還蠻好玩的哩,可以更隱密的隱藏惡意連結…@@。

對於網站上短網址的出現,需加以留意。若出現在即時通訊(MSN, Yahoo Messenger, google talk, skype …等),那就該更加小心。因為,你不知它會連結到哪個網頁上。

其他 Web 常見攻擊手法或衍生資安問題

  • 網頁掛馬手法
  • 魚叉式網路釣魚
  • 關鍵字查詢利用(SEO Poison)
  • 惡意程式的下載與執行
  • 網路個人資料外洩
  • 金融交易資料外洩
  • 網路交易詐騙
  • 詐騙網站、郵件
  • 偽防毒網站(流氓軟體)
  • 人肉搜尋
  • 社群網站的個資
  • 不當網路留言、不當上傳影音照片
  • 內部機敏資料的外洩

結論:
對於企業用戶而言,相信也擺脫不了瀏覽器,無論是存取內部網站或外部網頁,端點安全一直都是企業難以建全防護的地方。對於威脅而言,透過惡意網頁的滲透,很多時候也不需要高深的技術,只需要一個完美策劃的劇本,這將在在考驗企業的用戶。如何修正使用者上網觀念成為重要課題,也僅以此篇文章,與 IT 人員在推廣使用者教育訓練上,提供一些參考方向與觀念內容,強化使用者上網的觀念。

完整文章亦投稿於「資安人雜誌,2011. Jan/Feb. No.73,你的上網行為安全嗎?」
相關系列文章:
上網安全之HTTPS/SSL (Surfing Secure for HTTPS/SSL)
上網安全之Active X (Surfing Secure for Active X)
上網安全之Cookie/Session (Surfing Secure for Cookie/Session)Continua a leggere

Pubblicato in Senza categoria

上網安全之Cookie/Session (Surfing Secure for Cookie/Session)

Cookie/Session 不注意,無法確保網路身份遭到冒用或濫用。

這個議題很嚴重,但卻沒人注意問題的嚴重性。目前主流的瀏覽器都有所謂「Tab」功能,IE 稱為「索引標籤」、Chrome & FireFox稱為「分頁」、Safari還用到兩個名稱「索引標籤」與「標籤頁」。要特別注意,目前這些新版瀏覽器,只要是同類瀏覽器,不管你開啟幾個視窗或幾個「Tab」,預設來說都會擁有相同的 Cookie/Session 身份,因為對於系統來說,預設它們都處於一個相同的 Process上。這跟早期的瀏覽器運作很不一樣,早期一個瀏覽器視窗會有獨立的 Process,因此,Cookie/Session 身份很容易切割。

這會帶來甚麼問題呢?看看下圖。如果已經在一個「Tab」登入了 MSN,這時另外一個「Tab」登入 FB 之後,如果點擊了「尋友工具」,會有甚麼結果呢?


答案是:FB 會自動到把 MSN 的好友清單,匯出到 FB 的邀請朋友清單中,進行邀請朋友的動作,過程中並不需要輸入 MSN 的帳號密碼。問題就來了,你知道你目前正以哪一個身份瀏覽該網站嗎?這也是網友該了解的一個基本觀念,否則,無法確保身份遭到冒用或濫用。

如果要在同一瀏覽器下切割「視窗」或「Tab」使用不同身份,可以 google 搜尋關鍵字:「多重帳號同時登入」,可以找到一些方法,已經有很多網友提供意見,其中最方便使用的是 FireFox 的 CookiePie 套件,可以用「Tab」來切割,這點很重要,因為其它很多類似的 Cookie 管理工具並沒有「Tab」的概念存在;其他比較簡單的是 IE,只需在啟動捷徑上加入參數”-nomerge”,這樣Cookie/Session 身份可以限制在「同一個 IE視窗」。

最簡單的方式,就是不改預設狀況下,使用不同瀏覽器來切割,但我相信這方式應該無法滿足絕大多數的網友。現今來說,瀏覽器一開,登入五、六個帳號以上大概是基本動作了,而這兩年社群網站的興起,更增加許多網站的彼此互動性,如「推」、「讚」、「噗」、「分享」…等,如下圖,這些動作都與 Cookie/Session 身份有莫大的關係。當然,大部分的網站是不會惡意利用,但,遇到釣魚網站或惡意網站,可能結果就不會如網友預期的結果。

之前也有針對臉書的攻擊行動,可參考「Facebook 出現點閱綁架(Clickjacking)之攻擊手法分析」一文,其中攻擊過程就有使用到跨視窗 Cookie/Session 的。國外稱此為「Likejacking」攻擊手法。

最近,很多網站流行要按「讚」才看得到文章的網站。臉書上也有人發起「要按讚才能觀看嗎?拒絕強迫按讚」的活動,這類都是一種身份濫用的狀況,利用你的身份來推銷文章,很多時候這些文章一點意義也沒有…XD。預期未來這類狀況會越來越嚴重。

另外,分享對 FireFox 之 CookiePie 套件使用經驗,此套件在部分網站上會導致驗證不過的問題,或導致一些瀏覽瑕疵。所以我倒過來使用的,也就是說看到 CookiePie 運作下時,該瀏覽過程是沒有 Cookie/Session 身份在瀏覽器的「Tab」中,如下圖,先開啟空白的「Tab」,再開啟CookiePie 運作,使該「Tab」沒有 Cookie/Session 身份在其中,在此進行一般上網瀏覽的行為。

完整文章亦投稿於「資安人雜誌,2011. Jan/Feb. No.73,你的上網行為安全嗎?」 Continua a leggere

Pubblicato in Senza categoria

上網安全之Active X (Surfing Secure for Active X)

當心遭惡意利用 Active X 元件軟體。

這問題經常發生於早期首頁綁架、彈出式廣告視窗…等,瀏覽器異常狀況的問題起因。

Active X 是 IE 瀏覽器上,很特別的一個功能,也僅能在 IE 瀏覽器上使用,其他瀏覽器如 FireFox、Chrome 等,並未支援 Active X 功能。首先,你一定得要先看看微軟對 Active X 的說明:「在電腦上安裝 ActiveX 控制項是否安全?」
網址為:http://www.microsoft.com/taiwan/protect/yourself/downloads/activex.mspx

Active X 翻譯中文,很多人用「附加元件」的名稱,但要注意,FireFox 也有所謂的「附加元件」,不過英文是「Add-on」,其兩者功能與作用上很類似,但實際上是不一樣的,所以,還是以英文來稱呼,比較不容易搞混。至於 Chrome 也有類似的功能,稱為「Google Chrome Extensions (Google 瀏覽器擴充功能)」。這些所謂的套件或元件並不能跨瀏覽器使用的,目前 FireFox 與 Chrome 的附加元件或擴充功能,有進行一些機制的控管,但是也要注意使用到惡意的附加元件或擴充功能,導致瀏覽器的異常。建議由下列網址抓取附加元件或擴充功能會比較安全:
FireFox:https://addons.mozilla.org/
Chrome:https://chrome.google.com/extensions
至於,Active X 就沒有統一的管控機制,因此也比較容易被利用,這也是對此特別說明的原因。

Active X 出現畫面:


有些比較舊的 IE 版本有可能出現畫面:

尤其是後面這個畫面也有很多瀏覽者有網路誤解,以為可以提高瀏覽的安全性,所以閉著眼睛點擊,這是不對的;話又說回來,這畫面跟 Active X 看起來一點關係也沒有,難怪使用者會誤會。若出現上面兩張圖,它代表「目前瀏覽的網站,要在瀏覽器(IE)上安裝附加元件,你是否同意?」,這個動作有相當程度的危險性。

早期很多惡意程式都會利用 Active X 方式,安裝到使用者的電腦中,導致首頁被綁架或不斷跳出廣告視窗…等,都是因為這個原因。來看一下一個有問題的「安全性警告」:

所以,哪時該點「是」?哪時又該點「否」呢?很重要的一個觀念:「你是否信任目前瀏覽的網站,如果有疑慮避免點擊是或同意的選項」。以目前來說,瀏覽網際網路很多時候取決於你是否信任該網站,很多端點防護軟體或資安設備都類似這樣的觀念在運作,像「網站信譽評等軟體(Web Reputation Services-WRS)」的運作就幾乎一樣,而這將會是你在上網警覺性上,很重要的一個基礎觀念。

假設,你目前正在瀏覽網路銀行或 WebATM 網頁,這些網站的運作也都會使用到 Active X 元件,在確認你瀏覽的網站確實是銀行的網址,並非釣魚網頁後,也都安裝Active X 元件才能正常使用網路銀行或 WebATM 功能。

假設,你正在瀏覽賭博或色情網站,網頁出現需要安裝 Active X 元件,這時,你還進行安裝動作,這時,你的風險相對增加很多,很可能就安裝了惡意的元件,導致瀏覽器的異常發生。

對於各瀏覽器的「附加元件」,網友都要小心安裝使用,這就跟目前很流行的 APP 概念(iPhone的APP、Fackbook 的APP)類似,要是不小心使用遭惡意利用的 APP 哪就麻煩了。

完整文章亦投稿於「資安人雜誌,2011. Jan/Feb. No.73,你的上網行為安全嗎?」 Continua a leggere

Pubblicato in Senza categoria

上網安全之HTTPS/SSL (Surfing Secure for HTTPS/SSL)

上網安全這是個很大的議題,尤其在電子郵件的用戶端程式 Web 化後,網友只要以瀏覽器就能完成所有事情,不過還是有部分網友習慣使用特定的收信軟體,如Outlook…等,主要原因還是用於同步周邊裝置,如早期的 PDA、智慧型手機…等。但,大部分的網友,多半只要有瀏覽器就可以完成上網作業以及所需工作。
當使用者對瀏覽器的依賴持續加深,成為不可或缺的工具,相對的,對瀏覽器的操作使用就必須更加深入了解才行,善用工具、正確使用、建立防護觀念,將會是網友持續努力的一個課題。

這邊將針對 SSL (Secure Sockets Layer) 、 Active X、Cookie/Session 身份管控、短網址…等各部分來說明,為了灌水使網友充分了解,這裡將分文說明:

首先是 SSL,它並不代表這個網站是很安全、不會被入侵的。

SSL 是一種加密技術,主要用於網際網路的傳輸加密,指的是「瀏覽器」與「網站」之間,透過網際網路時,會使用加密技術傳遞資料,避免他人在中間竊取網路封包,窺探網友的瀏覽網頁內容資訊;一般大多實作為 HTTPS 方式,也就是說瀏覽網站的網址開頭會是「https://xxx.xxx/」,但要注意的是並非「https」開頭,就表示有加密,必須要多識別一個圖示:

(圖片來源:http://www.microsoft.com/hk/athome/chinese/security/images/online/74349_https_F.jpg)


對,就是一個「安全鎖」的圖案,這個圖案在各瀏覽器呈現的位置會不太一樣,且一定要出現在該出現的位置才正確。沒錯!!問題又來了。誰知道該出現在哪裡呀?很抱歉這是網路生存的基本技巧,只要網路使用者,你就必須了解,就跟吃飯呼吸一樣。

很多網站會把「HTTPS」與「網站安全」劃上等號,這是網路誤解。這不能怪網友,很多網站是刻意把這等號劃上的,詳細原因這就不多說了在這裡可以砲用力一點,因為,這個網站能做的資訊安全就這麼多了,要更多的資訊安全也沒有了,如果還有問題,哪…一定是網友的問題…XD,所以消毒先。網友一定要知道,「HTTPS」只保障「瀏覽器」與「網站」之間的網路傳輸安全;另外還有端點的問題,也就是說,網站主機或瀏覽器主機還是可能遭植入惡意程式,而遭受攻擊。

回到先前話題,如何知道「HTTPS」的加密功能正在運作呢?不同瀏覽器「安全鎖」的圖案該出現在哪裡呢?你可以試著以瀏覽器連結下列網址:「https://encrypted.google.com/」,找到「安全鎖」的圖案,如下圖:

在了解「安全鎖」的圖案的位置之後,接下來就是要確定這些「安全鎖」必須經得起考驗了,這也是瀏覽者可以驗證圖示的正確性。可以點擊這些「安全鎖」圖案,去查詢所謂「憑證」的內容,如下圖:

「憑證」的內容中包含許多資訊,其中詳細資訊包含的加密使用的相關技術,關係著這是否有機會破密的可能性,對瀏覽使用者來說只能被動性的接受;但,瀏覽使用者必須了解一點,上圖中「發給」(有的瀏覽器會用「網站」)的網域,必須與瀏覽器「瀏覽的網域(或稱網址名稱)」要契合,且這個網站的網址是沒有問題(確實是你要瀏覽的網站)的。在瀏覽的過程中,看到「安全鎖」圖案正常的運作,就表示網路通訊是有在加密保護下的。

這是識別釣魚網站的技巧之一,其他識別釣魚網站方式可以本部落格,例如「模擬實戰釣魚網站(Challenge to Phishing-II) Part-II」。了解以上幾個動作之後,接下來就是了解其應用了,你必須了解何謂「全程加密」與「登入加密」,簡單的說,「全程加密」是自帳號登入開始,到帳號登出的過程都是在加密的狀態;而「登入加密」只有在帳號登入的動作進行加密。所以「登入加密」只保護了使用者帳號密碼,「全程加密」保護了更多資料內容。若您使用網路銀行時,應該是「全程加密」還是「登入加密」呢?

另外,您使用網頁存取電子郵件時,是「全程加密」還是「登入加密」呢?Gmail已經在2010年初就使用「全程加密」了,Hotmail於2010年11月出也推出「全程加密」功能,不過,還需要使用者手動開啟「全程加密」的功能;Yahoo信箱目前還只有「登入加密」的功能。對於瀏覽者經常使用的電子郵件信箱,提供哪些保護,也是網友應該去加以了解的。

Facebook也開始提供「全程加密」功能了,就在2011年一月底,可以參考這裡。它也是需要手動開啟的喔!!

另外,「全程加密」也會有假貨…lol。

來看這張圖顯示的訊息:

這是 IE 8 才有的特別功能,預設狀況下是會跳出此視窗的。來看看微軟的說法:「為何當使用 IE 8 瀏覽網站時,總會跳出安全性警告視窗?」中「問題的來龍去脈」。這是在說啥呢?即便是「全程加密」,但過程中仍有部分網頁內容是沒有經過加密的。哪些網頁內容有加密哪些沒加密呢?這也不是使用者能選擇的,也許重要的網頁內容資訊是沒有加密的哩。目前國內還有許多證券網站、網路銀行還是會跳出這訊息視窗的,網友可得多加注意呀!!

講白一點好了。出現上面的警告視窗,即便有 HTTPS 但可能一點用也沒有,純唬你的… …哀哉。啊… …沒看到這警告視窗,借問可是用 IE 8。

~~問世間資安為何物,直叫鄉民出生入死~~

完整文章亦投稿於「資安人雜誌,2011 Jan/Feb. No.73,你的上網行為安全嗎?」 Continua a leggere

Pubblicato in Senza categoria

當個資都不個資了

社群浪潮席捲網路後,接續,有的入口網站也玩起了無生意、山寨文化、一窩蜂的把戲。

還記得你的 MSN 及 Yahoo 帳號嗎?還記得上面填寫了哪些個資呢?你的交友資訊呢?它們可能都一一被公開了。

如果這舉動在兩三年以前做,可能會被網路鄉民公嗶到嗶(礙於網路善良風氣,部分已消音處理)。但,物轉星移,竟…一…片…寂…靜…,鄉民聚眾裸奔。

看看畫面如何:

MSN-所有朋友

Yahoo-關係列表


兩者都不約而同的,把交友資訊公開了,其中,MSN 部分偶找了半天,還是找無類似「關閉社群」的功能…XDDDDDD。Yahoo 則找不到「關閉部落格」的功能。另外,這些「被公開」的資料,何時公開?怎公開的?偶都沒映像了…@@。

雖然,MSN 上「檢視個人檔案」的功能一直存在,但,目前預設開放了更多資訊,尤其是「朋友清單」。所以,鄉民還是檢視一下自己的個人檔案,把相關資訊關閉吧!!

人肉搜尋新武器:

怎感覺 MSN 是在採取報復手段呀[email protected]@

當個資都不個資了,還個資麼。

後註:
剛看到一則新聞-「MSN又強迫更新 網友怨新版爛還要更新」。
原來,所謂安全性修補,防範用戶上社群網站時,被盜取資料。做法就是「公開它」,這樣沒有竊取與外洩問題了。
如何閃避個資法呢?哈~~微軟提供非常有創意的解法…XD,看起來,確實是招奇招。

原本按耐心中怒火,可是…實在…我嗶他嗶個嗶,嗶嗶嗶嗶嗶嗶嗶嗶嗶嗶…。
唉~~想不到百年首發,不能大過年說好話。 Continua a leggere

Pubblicato in Senza categoria

MSN-Phishing on Christmas Eve

注意看網址:www.log1nlive.net
看到這邊應該就知在幹啥了吧!!…不會帳密又掉了吧~~~XD

整個詐騙風格有點變化了,劇本有更細膩了。
看看真的吧:https://login.live.com/

相似字元又現江湖了。
還有哪些特徵呢?之前都有講了喔~~就留給大家整理了。

依慣例還是要查一下 WHOIS 留個記錄:
=====
WHOIS – log1nlive.net
Registrar: XIN NET TECHNOLOGY CORPORATION
Status: ok
Dates: Created 13-dec-2010 Updated 13-dec-2010 Expires 13-dec-2011
DNS Servers: NS5.MYHOSTADMIN.NET NS6.MYHOSTADMIN.NET

Domain Name : log1nlive.net
PunnyCode : log1nlive.net
Creation Date : 2010-12-13 17:56:11
Updated Date : 2010-12-13 17:56:11
Expiration Date : 2011-12-13 17:56:11

Registrant:
Organization : wu feng
Name : wu feng
Address : sheng yu lin shi
City : cheng du
Province/State : GX
Country : cn
Postal Code : 610031

Administrative Contact:
Name : wu feng
Organization : wu feng
Address : sheng yu lin shi
City : cheng du
Province/State : GX
Country : cheng du
Postal Code : 610031
Phone Number : 86-0775-7232124
Fax : 86-0775-7232124
Email : *********@qq.com

Technical Contact:
Name : wu feng
Organization : wu feng
Address : sheng yu lin shi
City : cheng du
Province/State : GX
Country : cheng du
Postal Code : 610031
Phone Number : 86-0775-7232124
Fax : 86-0775-7232124
Email : *********@qq.com

Billing Contact:
Name : wu feng
Organization : wu feng
Address : sheng yu lin shi
City : cheng du
Province/State : GX
Country : cheng du
Postal Code : 610031
Phone Number : 86-0775-7232124
Fax : 86-0775-7232124
Email : *********@qq.com
=====

先前資料參考:
騙取MSN帳密的釣魚網站…真多!!
老梗!!但就是能唬人!!(MSN Phishing)
模擬實戰釣魚網站(Challenge to Phishing-II) Part-IIContinua a leggere

Pubblicato in Senza categoria

對於預測2010年的資安威脅報告(Security Threat Report:Trends for 2010)

時序歲末,又將是新的一年即將來到。這個時節,也正是年度資安威脅報告統計分析成果公佈的時節,對於來年也會做些趨勢的推估、預測。這邊特別蒐集了一些有公佈安威脅報告的資料,大多為一年前所公佈的,個人反到偏愛以回顧的方式來看這些威脅報告,經過一年的風風雨雨,回顧起來更有感觸。如果再多看一些陳年的年度報告,也許會覺得當時做資安算是簡單的哩!!怎當年也是搞得暈頭轉向咧~~XD

應該看的理由:
1. 找到資安防禦方向或重點,對資安廠商來說掌握趨勢,也掌握先機。
2. 年度威脅報告,乃資安廠商投資、建置、蒐集、統計、分析而來的,有的是資安廠商蒐集相關網路資訊而來的,要寫出一份好的報告,說簡單也不簡單,但要寫出一份切中未來趨勢,就有其難處,由這也可以看出其對威脅報告用心。
3. 驗證目前防禦現況,是否符合內部的威脅分析報告或數據。
4. 我要打十個。
5. 將部分主題內容,作為一般教育訓練教材之方向,並加強宣導資安觀念。很多攻擊手法都是針對「人」來著,需要修正的是「人」的觀念。

不該看的理由:
1. 夾帶置入性行銷內容。
2. 威脅報告內容不夠全面性,不夠客觀,容易陷入迷思。這點確實如此,看威脅報告時,還要注意公佈資安廠商的屬性,畢竟分析內容還是在其專業領域中。
3. 沒有內部威脅分析報告,也沒關心外在風雨,無從驗證。
4. 不知道內容都在講啥。
5. 該做的都做都做不完了,哪還有時間管新的問題。

無論是啥理由,對於 2010 年度的報告或預測,這裡整理一些網路上蒐集到的,可以快速檢視一下,也許會有些不同防禦想法或創意發想的:
(依據資料公佈時間排序)

McAfee Lab: 2010 年資安威脅預測

  1. 在使用者不斷成長的同時,社交網路(如 Facebook)將會面臨更多複雜的資安威脅。
  2. Facebook 及其他網路服務應用程式的爆發式成長將會成為網路罪犯的理想目標所在,這些攻擊將會利用好友信任關係去點選一般使用者可能會小心防範的網路連結。
  3. HTML 5 將會弭平桌上型及網路應用程式的界限。這也會讓像是 Google Chrome OS 作業系統成為惡意程式作者「獵殺」一般使用者的新潛在危機。
  4. 電子郵件的附件成為傳送惡意程式途徑已行之有年,但它仍然持續增加;不斷地愚弄著企業、媒體記者及一般使用者,下載木馬及其他惡意程式。
  5. 由於微軟產品的普及,網路罪犯長久以來都是挑它們下手。但在 2010 年,可以預期的是 Adobe 軟體將成為矚目焦點,特別是 Acrobat Reader 和 Flash 兩項。
  6. 針對銀行設計的木馬程式將會變得更聰明,可能會攔截合法的交易而進行未經授權的提款。
  7. 僵屍網路 (Botnet) 是網路罪犯的先進基礎架構,常被罪犯利用盜用身來分發送垃圾郵件。近來成功關閉了一些僵屍網路,已迫使這些主事者另尋替代方案;包含點對點傳輸設定 (peer-to-peer setups) 在內,能用來下指令的資訊安全漏洞已愈來愈少。
  8. 雖然僵屍網路遍布全球,但我們預測仍能在 2010 年在與網路罪犯的爭鬥中取得一定程度的勝利。

資料來源:McAfee 2010 威脅預測 @2009/12/xx

M86 Security™ 發佈2010年資安威脅報告:

  1. 殭屍網路(Botnet)將更形複雜
  2. 假冒安全軟體(Scareware)持續增加
  3. 中毒的搜尋引擎結果
  4. 網站感染的進化
  5. SaaS及雲端服務的定位前景
  6. 運用協力廠商應用程式
  7. 國際網域名稱濫用
  8. 攻擊應用程式開發介面
  9. 網址縮短服務隱藏邪惡手段

資料來源:M86 Security 新聞 @2009/12/04

趨勢科技2010年資安威脅預測報告:

  1. 網際網路基礎架構的變遷為網路犯罪者開啟了更多的機會。
  2. 網路犯罪者將利用社交媒體與社交網路混入使用者的「信賴圈」。
  3. 全球性疫情將逐漸絕跡,地區性或鎖定特定對象的攻擊將成長。
  4. 以下是2010年以及未來的一些主要預測
  • 「錢」是一切的誘因,網路犯罪不可能消失。
  • Windows 7 將會帶來一些影響,因為,其預設的安全等級比 Vista 稍低。
  • 就算使用非主流的瀏覽器或作業系統也無法避免風險。
  • 惡意程式每幾個小時就會變形一次。
  • 強制性感染已經成為常態,只要瀏覽到惡意網站就會感染。
  • 未來將出現針對虛擬化與雲端運算環境的攻擊方式。
  • Bot 程式將永遠存在,無法根除。
  • 企業網路/社交網路的資料外洩事件仍將持續發生。

資料來源:網路資訊雜誌 @2009/12/16

卡巴斯基實驗室發佈2010網路威脅預測報告:

  1. 來自檔案共享網路的攻擊增加
  2. 透過P2P網路,散播流行性的惡意程式將大規模的增加
  3. 來自網路罪犯的流量持續競爭
  4. 偽防毒軟體的詐欺程式衰退
  5. 針對Google Wave的攻擊
  6. 針對iPhone與Android移動裝置平台的攻擊將有所增加

「在2010年,特定的惡意軟體開發者將越漸成熟,並需要更大量的資源,以對抗防毒軟體公司。應用程式的弱點,仍會是網路罪犯的首要目標。而最終,我相信即時搜尋引擎、黑帽搜尋引擎最佳化技術(Black Hat Search Engine Optimization)與社交網路將會成為網路犯罪的重點。」
資料來源:卡巴斯基 新聞 @2009/12/22

Panda實驗室:2010年度的電腦威脅預測

  1. 更多防毒廠商高舉雲端防護的旗幟-雲端運算的風暴即將來襲。
  2. 排山倒海襲來的惡意軟體-現行流通的惡意軟體數量將會持續成長。
  3. 社交陷阱-透過搜尋引擎(比方說搜尋引擎優化的欺騙手段)和社群網站上,以網頁強迫下載的方式來讓使用者受到感染。
  4. Windows 7作業系統-Windows 7在未來兩年內勢必會掀起更多的惡意攻擊浪潮。
  5. 手機-如果幾年以後只剩下2~3家比較知名的手機平台,並且人們開始使用手機轉帳服務的話,到時我們再來談手機平台上的網路犯罪潛力也還不遲。
  6. 蘋果電腦-預計2010年將有更多設計專屬的惡意軟體去攻擊該平台的作業系統。
  7. 雲端運算服務-針對雲端基礎設備或服務的攻擊方式將越來越有可能實現。
  8. 網路戰爭-政治動機的網路攻擊,可能影響經濟或關鍵設施。

資料來源:Panda新聞 @2009/12/23

SophosLabs 安全威脅報告:2010年
(此報告乃回顧2009)

  1. Social networking:社群網路勢不可檔,做好衝擊因應。
  2. Data loss and encryption:第一步如何在資料遺失前對其進行加密,第二步如何控制使用者處理資料。
  3. Web threats:Web仍是惡意程式最大散播媒介,而偽防毒軟件與SEO惡意軟件興風作浪。
  4. Email threats:惡意郵件不死,透過郵件附件與嵌入連結方式散播從未停歇。
  5. Spam:受控制的殭屍電腦仍是最大發信來源。IM及社群網路散播居次。論壇與部落格的留言要注意。
  6. Malware trends:有著巨大的地下經濟利益。Adobe Reader(PDF)成為攻擊目標。知名蠕蟲-Conficker。
  7. Windows 7:提供一個更加安全的環境,但仍有改善的地方。
  8. Apple Macs:調查有69%的 Mac 使用者並未安裝防毒軟體。但跨平台的 PDF 漏洞卻充斥著。
  9. Mobile devices:智慧型手機帶來惡意程式的隱憂。
  10. Cybercrime:經過十年已經發展成巨大的地下經濟體,而個資與信用卡資料是黑市熱買商品。
  11. Cyberwar and cyberterror:民生重大基礎建設(如水力、電力…等)可能透過網路遭受遠端攻擊、控制或破壞等。此亦為未來一大隱憂。

資料來源:SophosLabs @2010/1/xx

Cellopoint對2010年郵件威脅預測:

  1. 僵屍網路與惡意程式持續增加
  2. 社交網路安全威脅急遽攀升
  3. 第三方遊戲與應用程式威脅猶如不定時炸彈
  4. 短網址服務成為駭客的最愛工具
  5. 中文及東亞語系垃圾郵件量比例升高
  6. 雲端運算的安全議題

資料來源:Cellopoint 新聞 @2010/1/4

Websense安全實驗室提出2010年八大威脅預警:

  1. 隨Web 2.0而衍生的攻擊將更趨成熟而普及。
  2. 殭屍病毒橫行且相互搶占地盤、火藥味濃厚。
  3. “假借熟識者的偽Email”因攻擊成功率高,再度成為駭客使用媒介首選。
  4. 針對微軟為目標的攻擊事件,目前預測鎖定Windows 7和IE 8。
  5. 小心點選搜尋結果。
  6. 駭客也花錢下廣告?!假廣告隱藏真危機,網友要小心!。
  7. Mac作業系統能夠一如既往面對威脅卻全身而退嗎?2010年會證明,「不可能!」。

資料來源:Websense安全實驗室 新聞資料室 @2010/1/11

賽門鐵克資安儲存趨勢2009年回顧暨2010年觀察
2010年值得觀察的網路安全趨勢:

  1. 防毒已經不夠了
  2. 社交工程 (Social Engineering) 將成為主要的攻擊媒介
  3. 流氓安全軟體廠商將變本加厲
  4. 社群網路第三方應用程式將成為詐欺的目標
  5. Windows 7將成為攻擊者鎖定的對象
  6. 即融殭屍網路(Fast Flux Botnets)將增加
  7. 網址縮短服務將成為網路釣魚者的幫兇
  8. Mac 和手機惡意軟體將會增加
  9. 垃圾郵件作者不再墨守陳規
  10. 隨著垃圾郵件作者對環境的適應度,垃圾郵件的數量將持續波動起伏
  11. 專業化的惡意軟體
  12. CAPTCHA技術將有所改進
  13. 即時通訊垃圾郵件
  14. 非英文的垃圾郵件數量將持續增加

2010年值得觀察的儲存趨勢:

  1. 2010是「刪除年」
  2. 2010是終止累積備分磁帶作長期保留之用的一年
  3. 無所不在的重複資料刪除
  4. 產業競爭將推動標準化軟體的發展
  5. 移轉的一年
  6. 虛擬化的腳步將超越x86的範圍
  7. 雲端儲存迎頭趕上
  8. 雲端儲存推動資料管理
  9. 企業組織已經無法拖延「綠色」運動

資料來源:賽門鐵克 新聞 @2010/2/25

CSA (Cloud Security Alliance):Top Threats to Cloud Computing V1.0

  1. Abuse and Nefarious Use of Cloud Computing(濫用或非法使用雲端運算)
  2. Insecure Interface and APIs(不安全的介面與 API)
  3. Malicious Insiders(惡意的內部人員)
  4. Shared Technology Issues(共享技術產生的議題)
  5. Data Loss or Leakage(資料遺失或外洩)
  6. Account or Service Hijacking(帳號或服務劫持)
  7. Unknown Risk Profile(未知的風險):使用者無法了解雲端所使用的網路架構、系統架構、軟體版本等重要資訊,亦無法進行安全評估。

資料來源:Top Threats to Cloud Computing @2010/3/xx

安天(ANTIY)實驗室信息安全威脅綜合報告
信息安全威脅\趨勢預測:

  1. 隨著0Day漏洞的增加,網站掛馬依然是黑客入侵的主要方式,可以預見2010年下半年網站掛馬的數量將會大量增加。
  2. 第三方軟件漏洞將成為黑客利用的主要途徑,近年來頻頻發生的第三方軟件安全漏洞多為黑客所利用,也造成了巨大的影響,
  3. 無線攻擊將會成為黑客攻擊的新目標,目前已經出現的無線破解技術,可以讓攻擊者免費蹭網。 今後無線攻擊將會給用戶帶來更大的威脅。
  4. 病毒將越來越頑固,2010年上半年出現了大量的惡意IE圖標病毒,因其為註冊鍵值,所以傳統的殺毒軟件將病毒清除後並不能刪除惡意的IE圖標。
  5. 修改主引導記錄的病毒將增多,病毒利用此技術可以先加載病毒文件再啟動操作系統,使反病毒軟件難以查殺。

反病毒技術發展趨勢分析:

  1. 反病毒廠商將根據計算機病毒整體的變化來修改雲計算的算法,用以更快的發現小範圍內傳播的計算機病毒,使雲計算更加合理。
  2. 反病毒產品將加強自身及用戶系統的保護,防止主引導記錄被修改等,以弱化惡意代碼取得系統控制權的能力。
  3. 反病毒產品將提升綜合處理能力,盡量全面的清除病毒並將系統恢復到正常工作狀態。

資料來源:安天實驗室 病毒预警 @2010/7/6

IBM X-Force 2010 年中趨勢與風險報告:

  1. 攻擊者逐漸使用諸如 Javascript Obfuscation 與其他的轉換技術,這讓 IT 安全專業人員備感頭痛。Obfuscation 是一種供軟體開發人員與攻擊者之類用來隱藏或遮蔽所開發應用程式碼的技術。
  2. 向來不勝枚舉的安全漏洞舉報增加了 36%。在 2010 年,我們看到大量的安全漏洞揭露,這是因為公開漏洞利用發佈數目大量增加,以及多家大型軟體公司致力於識別及降低安全漏洞。
  3. PDF 攻擊持續增加,因為攻擊者找到新方法詐騙使用者。要瞭解 PDF 為何成為攻擊目標,您可以思考一下,在企業組織中端點通常是最弱的鏈結,而攻擊者當然知道這個事實。例如,在特定端點上可能沒有機密資料,但該端點可能會存取具有機密資料的端點,或者,該端點可以作為特定的彈跳點,以啟動對其他電腦的攻擊。
  4. Zeus BotNet 工具箱持續嚴重摧殘組織,Zeus BotNet 套件在 2010 年初發行更新版 Zeus 2.0,此版本中的主要新功能為攻擊者提供更新功能

資料來源:IBM X-Force 威脅報告 @2010/8/xx

最後,一些心得與想法:

  • 地下經濟(Botnet、黑市交易…)已然成型,正視它吧。
  • 有意圖(政治、經濟、商業、機密資料…等目的)的攻擊行動,這才是比較棘手的。
  • 新技術(新作業系統、智慧型手機、雲端…等)的出現,永遠都是新戰場,黑白兩道都想插旗子。
  • 電子郵件與 Web 一直都是惡意程式散播的超強媒介,但目前都看到電子郵件與 Web 有開始轉型的跡象。(fb 可能推出的新世代電子郵件,Web 有另類 APP 或雲端的轉型概念)
  • 熟悉使用各瀏覽器特性,培養建全資安意識,點滴打造安全瀏覽環境,將是網路使用者持續努力的長久課題。
  • 企業對於機敏資料的保護,同樣是持續努力的長久課題。
  • 漏洞永遠存在,如何在惡意利用前找到或發現,如何在惡意利用當下阻擋或發掘,如何在惡意利用後察覺、反應、應變,沒有解決方案,只有「面對它、接受它、處理它、放下它」。
  • 社群網路將使攻擊手法更貼切、平易近人,形成特定、細膩化的攻擊。若使用者無法在社群網路上控管好個人隱私,哪又如何寄望使用者能對企業機敏資料善盡保管之責呢?

Continua a leggere

Pubblicato in Senza categoria

《社群網戰》(The Social Network):朋友背叛與背叛朋友


此篇暨
你!出賣朋友嗎?
誰在看我的噗 (About Micro-Blogging)?
帳號密碼妙關聯,一般會員知多少
請務必尊重與注意隱私問題!!
Please Rob Me!! XD ~~
相關社群網站系列之延伸。這篇應該是完結篇了吧!!

看完相關文章後,在連結到上圖,不知「你」有何想法?
沒有~~XD
再看一篇新聞:「Facebook承認應用開發者販賣使用者資料」。
還沒有想法嗎?

請注意圖片中此兩段內容:
允許此程式取得包括姓名、大頭貼照片、性別、所屬網絡、用戶 ID、朋友名單等基本資料,以及其他我同意和所有人分享的內容。

一旦點擊「同意」,你將開啓開放平台應用程式功能,你的「經由朋友存取你的資料」的隱私設定將會被重設為預設值。
=====
又有多少人了解上述兩段話的內容呢?這兩段話術哪個比較嚴重呢?

乍看之下,似乎前段比較嚴重。但事實是第二段話比第一段嚴重十倍以上。幾乎所有人都閉著眼睛點擊吧。

PS: 第二段話會出現是「你已經關閉了所有Facebook平台的應用程式、遊戲和網站。」,在關閉此功能狀況下才會出現的;若無出現此段話,表示你已經允許應用程式(APP),讀取你的資料,至於是哪些資料,可以參考下圖中有勾選項目的資料。

來看看「隱私設定將會被重設為預設值」這句話是何意義?別跟我說意義是三小…XD,如下圖:

這張圖看完,「你」知道代表甚麼意義嗎?

這是隱私設定的預設值,它代表應用程式(APP)可以透過「你的朋友」,去讀取「你」的相關隱私資料。也就是說,「你的朋友」點擊「同意」,「你」的資料也跟著被搜集。如果是「你」點擊「同意」,哪應用程式(APP)就會一併去蒐集「你的朋友」資料。有哪些資料?就在圖片中的選項。換句話說,在點擊第一張圖的「同意」時,表示應用程式(APP)可以讀取「你」的個人資料外,連帶開放個人資料讀取的預設值,除了蒐集「你」的資料,也蒐集「你的朋友」的資料。

你一定得要知道這功能設定的意義,這設定畫面變來變去的…XD,其中「可以透過你的朋友取得的資料」這內容你要特別去了解,透過「社交」權限讀取你的資料,該說蒜你很,還是薑你軍咧。我只想說陰險。當初開放這些資料,「你」應該直覺是「僅僅」給「你的朋友」查看吧!

另外,是不是該縮限應用程式(APP)能讀取資料的範圍呢?即便全部不勾選,還有「(以及其他你對「所有人」開放的資料)」這句話喔!我想應該是說,不給應用程式(APP)讀取資料的話只有「關閉所有Facebook平台的應用程式、遊戲和網站」一途。否則,應用程式(APP)還是能透過「你」公開的資料進行讀取,甩都甩不掉。也就是說一旦你使用的某個「應用程式、遊戲和網站」,它能取得「你」的資料外,還有「你的朋友」的資料。

這時想起偷菜的回憶了嗎?

[思考]在社群網路沒出現以前,也就是所謂 Web1.0 的時代,這些想取得個人資料的人,要如何做?
建立一個網站,吸收會員,會員登錄資料,取得個人資料。
或者,舉辦一個網站活動,以「贈獎」為名,吸引網友登錄個人資料,來取得相關資訊。
… …想想,多麼緩不濟急呀。 Web2.0 時代,輕鬆透過一個 APP,在加上社群的推介、宣傳,點擊之間瞬間秒殺「一群人」。

你了解隱私權設定嗎?你又在乎你的朋友隱私資料嗎?朋友又在乎你的隱私資料嗎?下圖,它將不斷的考驗「你」及「你的朋友」:

彈指之間,個人資料飄入雲端,想取回,可難了。 Continua a leggere

Pubblicato in Senza categoria