老梗!!但就是能唬人!!(MSN Phishing)


看完這兩張圖,有啥感想呢?簡單的方式也能把帳密搞到手。
老梗!!但就是能唬人!!

再看看先前的文章:
騙取MSN帳密的釣魚網站…真多!!

再來看看 MSN 上面的網址:
www.checkchat.info
比較瀏覽器的 URL 網址:
chatreminder.com
你的警覺性呢?

比較好玩的是,這網站還有「常見問題」,來鬆懈瀏覽者的心防…XD
==摘錄一下==
是否安全?
當然可以。 chatreminder.com不保存您的郵件地址,您的密碼或聯繫人名單。您輸入的數據只是用於檢索所請求的信息,並立即丟棄。如果你還是覺得不安全臨時更改您的密碼才能使用此工具。

chatreminder.com 與 MSN Messenger®有關嗎?
chatreminder.com是不涉及任何方式與 MSN Messenger ®有關。

請問這個在線刪除檢查工具是怎樣工作的?
這個工具登錄到MSN Messenger ®的服務器,任何IM客戶一樣。
下面的MSN Messenger ®通信協議,它使用用戶驗證帳戶和密碼,他或她的檢索聯繫人名單,分析它,顯示在聯繫人中刪除用戶從聯繫人名單。

這個檢查工具可以告訴我我已經被阻止了嗎?
不,我們將會儘快實現這個功能。

chatreminder.com是在 釣魚(Phising)嗎?
絕對不是。這將是非法的。 chatreminder.com不會以任何方式儲存或登錄您的帳戶或密碼。

chatreminder.com是病毒嗎?
不是,它不會安裝任何東西在你的機器,也不會危害您的IM客戶端。

使用聯繫人檢查工具之後,我無法登陸MSN客戶端.
沒有技術層面上的原因。使用聯繫人刪除檢查器,也能暫時從另一台計算機暫時登錄到您的MSN帳戶。

聯繫人刪除檢查器是使用了Messenger® 的漏洞或後門來工作的嗎?
絕對不是。它只是登錄到MSN Messenger ®的服務器,任何IM客戶一樣。下面的MSN Messenger ®通信協議,它使用用戶驗證帳戶和密碼,他或她的檢索聯繫人名單,分析它,顯示在聯繫人中刪除用戶從聯繫人名單。

chatreminder.com是蠕蟲嗎?
定義:一種計算機蠕蟲病毒是一種自我複製的計算機程序。它使用一個網絡發送自己的副本到其他節點(計算機終端在網絡上),它可以這樣做沒有任何用戶干預。不同於病毒,它並不需要依附在現有的程式。網絡蠕蟲總是傷害(如果僅通過消耗帶寬),而病毒感染或損壞的文件總是在目標計算機上。
chatreminder.com不會發送自己的副本,沒有用戶的允許,它是不會工作的,它不會損害任何網絡或計算機。 chatreminder.com不是一種蠕蟲病毒。

為什麼我需要輸入我的帳戶和密碼?
聯繫人刪除檢查器需要登錄到MSN Messenger ®的服務器上,以自己的名義來檢索您的聯繫人名單。

使用工具后,我需要更改自己的密碼嗎?
沒有必要,因為在任何情況下chatreminder.com並不存儲密碼,但如果要安全些,請使用臨時密碼使用本工具。

chatreminder.com會改變任何關於我的MSN Messenger ®帳戶的信息嗎?
通過使用聯繫人刪除檢查器時 chatreminder.com暫時改變你的暱稱為“http://www.chatreminder.com:查找是誰把你從他/她的聯繫人名單”只作廣告用途。您可以更改尼克再次下一次您登錄到您的MSN Messenger ®客戶端常規。

chatreminder.com會發送即時消息給我在線聯繫人嗎? ?
通過使用聯繫人刪除檢查器時 chatreminder.com傳送即時訊息代表您接觸到您的在線廣告的網站。

因此,如果您不竊取帳戶,密碼或者損害 IM客戶或者計算機,你靠什麽盈利?
這很簡單。我們只是試圖通過更多的訪問量來賺取廣告費,除此之外,沒有任何見不得人的或者惡意的事情。
=====

… . … … ……. Continua a leggere

Pubblicato in Senza categoria

模擬實戰釣魚網站(Challenge to Phishing-II) Part-II

有個網站:
https://www.phish-no-phish.com/
上面有五題考題(同樣題目五題,但有兩種不同問法,所以是十題),測驗你對釣魚網站的識別能力。我覺得挺好的。
身為網路的一份子,你一定得要試試。這裡有中文的…cool
https://www.phish-no-phish.com/tw/default.aspx

這是 VeriSign 提供的一個測試網站。
我把心得寫在後面,建議大家測試完畢再看心得分析。
您有心得,也可以留下意見喔!

一、威脅、利誘,甚至是恐嚇的字眼。
這類字眼確實很常出現,因為,效果真的很好,也很常出現在詐騙的電子郵件中,可以参考這篇。在大部分騙取帳密的手法中,這是很常出現的字眼,目的當然是要你乖乖把帳密交出來。

二、網址列(URL)中搞把戲。
這裡還有一些手法,不過,當瀏覽器吃進這些怪 URL 後,應該都會解碼回來,超連結是比較常利用這手法的。另外一種花樣就是利用相似字元,如 1-l, 0-O, V-U, …等,還有很多字元,甚至不同字型間也會有意想不到的效果,你有警覺嗎?想想,你連線的網站,確切是你要連往的嗎?
我想,URL 搞怪方事還很多,如何識別,我想窮舉不完。但是,你只要知道一種就好,啥是正常的…XD,學校沒講、老師沒教。下面這些 wiki 你一定得看:
http://zh.wikipedia.org/zh-tw/URL
http://zh.wikipedia.org/zh-tw/域名
同鞋,網路上都有,不能怪老師、學校啦。

三、這題很難,語意不順、文字不對。
這真得是挑錯字。只能說正式官網應該會經多重查核,才會進行上線,因此,”比較”不會出錯。但是,詐騙網站經常會出現語意不順或用詞錯誤,甚至是語系的問題。

四、網站加密圖示。
這題應該比較簡單,因為,”宣傳”夠多。你必須能正確識別「你的網頁瀏覽是否正處於加密的狀態」。每個瀏覽器還都會有些不同,甚至不同版本間還有些小差異。你務必花點時間了解。畢竟,該加密時,網站與瀏覽器之間就該處於加密的狀態。
另外一個進階問題:你會正確識別正確的加密簽章嗎?如果釣魚網站隨便用個簽章做加密呢?課後題。

五、這題也很難,關建在 URL 中,即便知道哪有問題,但又該如何判斷。
首先,多一個「-」符號,在數位世界它就是不一樣,且是完全不一樣。判斷得靠直覺,那個判斷點很重要。留給你仔細思考。
「提示:如果你是銀行單位你會申請哪一個網域」

最後,釣魚網站可以做到與真實網站一模一樣嗎?這通常還需要搭配其它攻擊手法,如 網址嫁接(Pharming),正因這類手法配合條件不易,這也是為何釣魚網站必須一直在 URL 處動手腳的原因。
網址嫁接攻擊有很多種手法,如DNS快取汙染(DNS cache poisoning)手法是一種。另外本機的 Hosts 檔案竄改也是其一手法。當然,還有其他的…XD。

本文亦張貼於「阿碼外傳」。 Continua a leggere

Pubblicato in Senza categoria

Facebook 出現點閱綁架(Clickjacking)之攻擊手法分析

參考新聞:
ZDNet Taiwan: Facebook出現惡意連結讓你說讚
ITHome: Sophos:點閱綁架侵襲Facebook
資安之眼:玩臉書喊「讚」 小心陷阱
Graham Cluley’s blog: Viral clickjacking ‘Like’ worm hits Facebook users

YouTube: hundreds of thousands of people over this hoilday weekend were infected by a clickjacking worm


來看看整個攻擊手法:
1.架設「釣魚網站」,內含點閱綁架(Clickjacking)手法,有很多個:
hxxp://disneyhiddenlike. blogspot.com/
hxxp://manpictureofhimselflike. blogspot.com/
hxxp://2006mindfreaklike. blogspot.com
hxxp://2006mindfreaklike2. blogspot.com
hxxp://girlownedbypolicelike. blogspot.com/
hxxp://girlownedbypolicelike2. blogspot.com/
hxxp://disneyhiddenlike. blogspot.com/
hxxp://disneyhiddenlike2. blogspot.com/
hxxp://thedatesafe. com/obama/
hxxp://www.thedatesafe. com/man
hxxp://www.thedatesafe. com/promdress/

還有很多的,不過畫面大致如下:

2.開始散播「Liked」(「讚」)的留言,並對應到相對之「釣魚網站」:
“The Hidden Body Part The Artists at Disney Didnt Want You To See.” -> http://disneyhiddenlike. blogspot.com/

“LOL This girl gets OWNED after a POLICE OFFICER reads her STATUS MESSAGE.” -> http://girlownedbypolicelike. blogspot.com/

“This man took a picture of his face every day for 8 years!!” -> http://manpictureofhimselflike. blogspot.com/

“You’ll NEVER believe what OBAMA did on TV” -> http://thedatesafe. com/obama/

“The Prom Dress That Got This Girl Suspended From School.” -> http://www.thedatesafe. com/promdress/

3.FB 用戶點擊了這些留言,被誘騙到「釣魚網站」,若再點擊了「Click here to continue」之連結,就會在自己 FB 的「塗鴉牆」上留下「新的詐騙留言」,使其他人上當。如此周而復始。

馬後炮:
1.點閱綁架(Clickjacking)手法並不是出現在 Facebooks 網站上。
這意味著 FB 上的超連結還是可以信賴的,是連結的內容不可信賴。在看各新聞時,我以為 FB 網站受到攻擊的,但事實上並不是如此。

2.關鍵在於 FB 上的超連結,會誘騙使用者到「釣魚網站」,該網站中夾帶點閱綁架(Clickjacking)的攻擊手法。所以,最大的問題在這裡,您的警覺性呢?
模擬實戰點閱綁架手法(Challenge to Clickjacking)」你注意到了嗎?
不同的劇本利用,您就無法脫身嗎?

3.目前觀察只有在您的 FB 上做留言,使你的「好友」也受騙上當。
透過「釣魚網站」不斷的點擊留言,使更多人受騙上當,達到散播的目的。可以加以利用其他手法的,如最常見的「偷 cookie」、「網頁掛馬(Drive by Download)」、「XSS Worm」、「Click by Download」…等,其實玩的花樣還很多。我不是教你使詐…XD。

==2010/06/07 Update==
手法有些變化了,「Facebook “likejacking” targets World Cup, BP, Shrek, UFC, …」,SophosLabs blog 裡面提到,該「釣魚網站」出現好幾種不同的網頁內容了,不再是「Click here to continue」連結的單調內容,「劇本」有變化,您的警覺性呢?
====

4.Sophos 稱這個手法叫做「Likejacking」。
XD…如果利用撲浪或推特來散播留言,是不是手法又要改名了。 Continua a leggere

Pubblicato in Senza categoria

模擬實戰標籤綁架手法(Challenge to TabNapping)

暨「點閱綁架(Clickjacking)」手法之後,又出現「標籤綁架(TabNapping)」的新手法了。
直接來親身體驗吧!這裡有實作的體驗網站 (FireFox 確定可以被利用)。畫面如下:


實戰標籤綁架,主要利用欺瞞手法,當你瀏覽網站時,切換到不同索引標籤(或書籤、分頁),或切換到不同視窗後五秒鐘,該有問題的頁面就會被偷偷轉換成另外一個誘騙的瀏覽頁面,於是就出現「猥琐」的事件。目前已知可以成功的瀏覽器:
1.Firefox 3.6.3
2.Chrome 4.1.249.1064

手法剖析:
1.目前大多主流之瀏覽器都有索引標籤(IE & Safari 使用此稱呼)、標籤頁(Safari 亦有用此稱呼),或稱「分頁」(Chrome & FireFox 使用此稱呼)功能。
2.當大量使用上述功能於同一瀏覽器中,其中一頁面可以用此程式語法加以利用。
3.將頁面內容偷偷改變成為另一頁面內容,導致誘騙上當之情事。
4.可做為網路釣魚或詐騙的手法之一。

相關挑戰之系列文章:
模擬實戰點閱綁架手法
模擬實戰釣魚網站」(目前已被歸類為 Click by Download 手法)

參考資料:
Raskin 之個人部落格 PS:他是 Mozilla Firefox 瀏覽器的介面及創意負責人。在他的 Bolg 上亦展示了此手法。
相關新聞:
ITHome
資安之眼

本文同步張貼於「阿碼外傳」。 Continua a leggere

Pubblicato in Senza categoria

攻擊與防禦思維 II

有鑑於前一篇「攻擊與防禦思維」太過於消極,所以這邊平反一下,還是要正面思考…(丟筆…

一、「攻擊者積極,防守者消極」
1.防守士氣:這點是非常重要的。主官如何激勵士氣,為首要要務。如果沒有士氣,砸再多資安防護設備也是枉然。士氣有多重要,可以看看這個新聞,不過一般常見士氣不彰的結果,是會造成人員異動頻繁的。話說回來,不只是資安單位,整個公司的氛圍更重要,這不是多高薪水能禰補的,唯一不受影響的只有肥貓。且一旦士氣萎靡,要提升可不是短時間就可以達成的,務必多加留意。
2.內部該「一致」對駭客:很多狀況是,明明野生動物在門口拉的一坨屎,兩鄰居卻大打出手,終身不相往來。如何避免這種狀況,考驗主管們的 EQ 了。很多問題其是沒有對錯的。
3.資安未必是專責,資安至少要成為共同語言:這一點其實我也有點矛盾,到底是應該資安專責專才呢?還是要全民皆兵呢?我想了很久;應該要配合公司體質吧!我深深的覺得有時候「資安觀念就跟衛生觀念一樣,你的社區有個衛生習慣很差的人,往往整個社區烏煙瘴氣」。電腦技能目前已經成為職場必要技能了,我想資安觀念也該成為基本技能之一了。
4.培養 IT 人員的資安專才:這是持續長久的工作,也是計畫。甚至培養 IT 人員的資安第二專長,逐漸建立企業內部的資安專業人才。
5.建立資安人脈:有了技術,就該用技術出去交流了。企業的上下游、資安供應商…等,都該保持良好關係的。也可參考「我不是教你使詐」一文。

二、「木桶理論」
1.建議重新檢視網路架構開始:只要網路架構有問題,結果應該跟 IT 團隊士氣潰散差不多,甚至更糟,它可是所有架構的根基啊。
2.在端點安全無法求的安全前,全面切割內部使用者,接觸核心系統的可能;反之,如果無法與核心系統切割,哪,使用者就必須與外部切割。舉個簡單的例子,你有看過銀行行員處理金融業務的電腦可以上網嗎?可以收 E-Mail 嗎?現實問題大多是使用者過於寬鬆的電腦使用權限,IT 部門收不回來。
3.參考「資訊安全-管理、制度」系列一文。
4.ISMS 已經提很多了,積極管理、有效落實吧。

三、「風險的變遷」
1.了解自己的系統架構:這是基本的,如果對於自己使用了哪些系統平台或架構不清楚,哪…「風險 = 資產價值 + 安全威脅 + 安全弱點」該如何評估呢?很明顯,風險變化跟資產、威脅、弱點都有極大關係的,而這裡面的每一點都跟你擁有的系統有關聯。
2.資安盟友:有時資安圈都有一手的小道消息,這時你就知道「意義是三小,我只知道義氣」道理了。
3.自我研習:嗯嗯啊啊!這點大家的問題應該都是「有空再說」。這點需要有誘因的,獎勵措施往往都是最有效的方法,否則,只能單靠個人的熱血或熱情支撐吧,難道,資安工作也靠個人的熱血或熱情支撐?
4.資訊吸收與分析:訂閱資安技術消息、資安通告、駭客技術發佈…等 RSS 文章。情蒐是很重要的,主要問題在於要消化卻是不容易的。

四、「商業邏輯問題」
1.對於「B to C」及「C to C」的業者,建議應該有「防詐騙官」的角色,來協助解決各種防詐騙的技倆,並加以防治。
2.「為何有人會造成這問題」:主要還是「當初設計時沒有想到」的問題。換句話說,在架構或機制設計時,只有考慮功能面,沒有資安或防詐騙的觀念融入。
3.「誰會利用這問題」:透過「防詐騙官」的角色,可以找出已經被利用的問題,並設法加以解決,企業衍生的社會問題,得要拿出企業社會責任。
4.其他比較一般性的問題,「滲透測試」大多可以發現,前提是「好的」滲透測試。
5.我比較贊成類似「Yahoo!奇摩 Open Hack Day」的方式,也許可以僅限公司內部、或企業對企業、或企業上下游…等方式來舉辦,同時還可以提升 IT 團隊的工作士氣,也能促進跨企業 IT 人員之間的互動。這點也是我寫「滲透測試之全民公測」的起因之一。要相信一點,人人都有功夫,網路上人人都是 Hacker,這真的無關太多技術,即使「誤用(Misuse)」也一種 Hacking。

五、「未知弱點」
這點跟「風險的變遷」有頗大的關聯。
1.對於目前使用的系統,接收相關漏洞揭漏的資訊來源。
2.思考如何掌握「未知」變成「已知」的關鍵時刻:這點是許多人不敢想的,說穿了,要不就沒人發現,不然,只能比駭客還早發現,但,你有哪些作為來掌握此關鍵時刻呢?滲透測試?你一定得要想些不用成本的,或好幾種措施才行。
3.資安或 IT 圈子之間的互通有無。
4.是不是也該有點內部的舉報獎勵措施呢?花錢請人找漏洞,怎不給自己人一點機會…XD。舉辦類似「Hacking Day」的活動也不錯。
5.對使用的技術、系統、架構、平台…等,持續保持研究的態度。如果 IT 是你的核心業務支助的話,絕對不能只會開車,而不會修車…這樣是不夠的;況且,很多企業是請一個人來開車、另一個來修車的,因為你很難確實掌握車況,結果卻是一天到晚「顧馬路」。

六、「資安打手」
no comment…

七、「有發生啥事嗎」
唯有正面面對一途。

最後,提一點,企業對資安的設備(或技術)、人才、管理上,三方面的投資比重是多少?比例該多少才合理呢?我不知道,也沒有答案。我也希望有人提供資料給我參考哩!但我想,如果花在資安的設備(或技術)達八九成以上,是不合理的。 Continua a leggere

Pubblicato in Senza categoria

攻擊與防禦思維

看完 Roamer 大大的「駭客想得和你不一樣!」一文,有頗深的感觸。

「為什麼這麼多單位通過了資安認證後,卻還是被黑得很慘。」
首先「通過資安認證」跟「被黑得很慘」沒有太大關係,沒有通過驗證的單位也有沒被黑過的。怎解釋呢?我想得從資安認證的目地說起了。絕大部分資安認證的目的是為了「絕對安全」嗎?是真的為了把「資安做好」嗎?但是,通過認證後卻都異口同聲的說:我們的資安防護很安全。

突然想起馬雲的一句話:「西方人的智慧,是看見別人看不見的東西;東方人的智慧,是看見當作沒看見。」

這邊大概整理一下 Roamer 大大的:

一、「攻擊者積極,防守者消極」
這點是極重要的一環,也是非常貼近現實的。在「我不是教你使詐」一文中就提及了,每年攻方都有大補丸,較於防守方或 IT 人員默默不聞或遮耳閉眼,兩相比拼,一漲一消,高下立判。
況且,消極攻擊者只要學會一、兩招,就能吃遍天下了,掛馬的還是玩掛馬、DDoS的還是慣用DDoS、偷資料的還是默默協助異地備援、惡意郵件攻擊的仍舊發著釣魚郵件、竄改網頁的仍舊樂此不彼地爭奪排名。
對於防守者來說,就得承受玲瑯滿目、五花八門的招數,充斥了各種威脅與損失。
消極的攻擊,就要積極的防守。攻擊者若積極,哪防守的該如何呢?

二、「木桶理論
這是個很爛的理論,坦白說我不太喜歡,且它會讓人有誤解。或許「木桶比喻」、「木桶概念」比較恰當。因為用「理論」是必須很嚴謹的,木桶的容器根本是不可能把水保護好的,水還會蒸發掉,木片有毛細孔,即便木板密封,水還是會不見,當把水放到木桶中保護,根本就是個錯誤,也讓許多人對其有誤解。做資安第一件事就是要慎選容器,否則,疊床架屋的結果會很慘,再多的緩和、補救、強化、防禦措施都沒有用的。聽說,現在很多人還希望大家把水放到雲端裡,當然不是不行,但是不是所有的水都要放到雲端呢?慎思。

三、「風險的變遷」
這跟第一點是大致相同的,正因為不積極,當然也就更不會注意風險的變化,還有的甚至存在防火牆無敵論、入侵防護神化論,直到被打到痛處。
外在風險變化,通常也是防禦調整重點,如何掌握花三分力氣,得到七分功效,在於你的敏感與即時防禦調整。
另外,區分不同輕重緩急等級的安全區域也是很重要的一個防禦觀念。把七分的力氣花在重點區域上,來求得九分九的安全性,這是快速有效率的一個方式。上軌道後再慢慢增強防護力道。
重點防禦絕對不是資安速成,否則,一不小心留下其他路或通道,哪,後果不堪設想。

四、「商業邏輯問題」
這類問題主要是「人」疏忽造成的問題,也得靠「人」來發現問題。所以主要的問題就是「為何有人會造成這問題」、「誰會利用這問題」,從這兩方面著手通常可以獲得解決。
但是,要徹底解決確不太容易,像是一些交易平台(B2C、C2C)衍生的詐騙問題,光靠資料流的層面是無法解決的,還需要金流、物流方面的配合,但這已經橫跨好幾家公司了。或許,還得要法令的配合才行。

五、「未知弱點」

這點,不可否認是很艱困的一點。重點在於「未知弱點揭漏」的時刻,相關單位是否有足夠的敏感度能夠知悉,或收到一手訊息。有時即使知道問題,也無法予以關閉系統,因為有營運或其他考量,畢竟 IT 往往是支援單位,IT 也只能@*%#&。
關閉系統或停用該功能,通常可以達到有效的因應。否則,IT 往往也只能先施以緩和、修補措施,設法最終再完成強化、防禦作業了。

這裡再殘酷的補上兩腳:

六、「資安打手」
有些單位的資安工作從來不是應付外來攻擊者的,是用來對付內部異己人士、砸自己人腳、凸顯自我官威的…資安亂象,族繁不及備載。或許前面一句話寫得太重,應該說七分對內三分對外吧。政治角力介入凌駕專業之上,這邊就不敘述太多,打開電視就一堆了。

七、「有發生啥事嗎」
我不認為都是以上的原因,通常一再被黑跟這篇文講得差不多。甚至,根本也沒探究問題的成因,只把問題的表象做到復原工作;外面可能全世界都知道他們家出事了,可是他們家可能無人知悉,或只有該系統管理者知道;系統管理者怕究責就自我進行復原,但,根本問題仍然沒解決。最後,發生啥事了嗎?

原來,這才是最高智慧。 Continua a leggere

Pubblicato in Senza categoria

Please Rob Me!! XD ~~

有郭網站:「Please Rob Me」
http://pleaserobme.com/

這個 Blog 中有很詳細的相關說明。裡面有段話我很喜歡:
「…我們不是在嚇大家不要分享任何資訊,也不是告訴大家地理資訊的應用都是不好的,而只是做善意的提醒:在你分享之前,先想想會不會有什麼嚴重的後果!分享地理資訊不全然是件壞事,只是要用對場合與方式!…」
~~來源為 [Mr./Ms. Days (MMDays) – 網路, 資訊, 觀察, 生活]部落格網站~~

再回想一下我之前的一篇文:「誰在看我的噗」。

我只能說,你自己如果也不尊重自己的隱私,哪,將會沒有人在乎你的。也就是說你在網路上裸奔,大家也只能看戲。

請務必尊重與注意隱私問題Continua a leggere

Pubblicato in Senza categoria

「高度精密與目標性」的攻擊事件

自從一月十三日起,各新聞媒體傳出 google 宣布要退出中國市場開始,這事件就像連續劇一樣,每天上演著不同的情節。一開始爆出是利用 Adobe 未修補的漏洞,後來又說是利用 IE 0 Day

極巧的是,消息一曝光開始,不到一天 Adobe 也推出更新版本到 V9.3.0 版,因為首波新聞內容提及 Adobe 漏洞問題,相關新聞在這還有這裡

後來攻擊漏洞也與微軟 IE 有關聯,IE 也在這兩天推出修補更新程式,相關新聞在這還有這裡。所有被爆出的漏洞紛紛修補完畢。

期間也傳出不只一家企業遭受攻擊,可以參考這新聞。攻擊來源據傳在這新聞,且還利用了台灣的中繼跳板,新聞在這還有這裡。整個新聞過程也充滿政治操作與行銷手法在裡面,因為,最後 google 又不打算退出中國市場了,新聞在這;況且,中國「上網人數」比「美國人口」還要多耶,要放棄…打死我也不相信,即便今天放棄,明天也能宣示重返。這整個過程也可以看出是「高度精密與目標性」的反擊,相關一系列文章可以參考雅虎專題新聞:「谷歌遭駭 槓上中國」。不過,這部分不是我要討論的重點。

這裡我比較關心的是:
1. 整個攻擊手法的運作方式。
2. 攻擊的目標、目的。
3. 思考可能造成的衝擊。

一、到底攻擊手法是啥呢?
從漏洞來看,是攻擊 adobe reader 以及 IE 瀏覽器漏洞;前者為檔案形式,後者為網站、網址(URL),但…還需要更主動的方式配合,才能攻擊到「特定」的目標,很顯然的應該是利用「電子郵件」,這樣就能精準的將 exploit 送到特定目標手中,靜待魚兒上鉤。
話說回來,如果只要是騙取特定人士的帳密,大可不用如此麻煩,先前這篇手法即可。詐騙郵件+釣魚網站就足夠了,且這好用太多了,也相對低調…XD。所以,攻擊一定會依據目標、目的不同,來配合不同手法的,這系列新聞中,也錯綜複雜著好幾件事的。
從手法來看相當接近「魚叉式網路釣魚」。這類攻擊手法,我們早已司空見慣了…XD。透過電子郵件將惡意的 pdf 檔案附件,或惡意的 URL 精準的送到攻擊目標信箱中,誘騙目標開啟附件或點選連結,透過 0 Day 漏洞,達成植入惡意程式的目的。
一旦惡意程式滲透內部網路,就可以進行下一階段的行動,搜尋特定資料、跳板再滲透…等,取得重要機密,或達成預設的攻擊目的。

二、攻擊的目標、目的?
由系列新聞來看,大概是兩個:特定人士的郵件帳密,以及特定公司的商業機密。

三、帶來哪些衝擊呢?
是否遭受相同手法攻擊?如何避免遭受類似手法攻擊?如何防禦類似攻擊手法?
這沒有標準答案的,每個資安事件都是可以成為防禦的強化作業,解法留給您思考吧!但往往想的人沒有決策權,有決策權的從來沒思考這些問題。

魚叉式網路釣魚」攻擊手法:
可以 google 看看這個查詢結果。其實,前幾年台灣發現不少 0 Day 漏洞,除了 Adobe, IE 外,包含 .rar, .doc, .xls, .ppt …等,每次的 0 Day 發現,也代表著一波波的攻擊發生,實現攻擊的目的。

說到這…你會不會想起了甚麼呢?是的,可能很多公司被打了還不知道痛的。

我相信台灣的資安技術能量絕對不輸國外的,但,缺的是甚麼呢?

補充資料:
1. WIKI:極光行動 (Operation Aurora) [2010/05/14新增] Continua a leggere

Pubblicato in Senza categoria

請務必尊重與注意隱私問題 !!

很抱歉我得下重話!真的是非死不可~~

Google大神的開釋資安之眼連結

這是官方說法:Facebook新版隱私設定功能上線

===================================================
新聞來源: ITHOME

Facebook表示,該站不斷提供更多的設定以讓用戶能夠控制存取權限,但隨著該站的進化及新功能的推出,這些設定愈來愈複雜,因此才會發表更簡單的隱私設定首頁。文/陳曉莉 (編譯)

Facebook於近日開始針對全球3.5億的用戶部署新的隱私權功能,使用者在登入Facebook後會跳出一個要求重新設定隱私的視窗。新版隱私設定除了簡化設計網頁外,也提供可管理所有使用者所建立內容的工具。

進入新的隱私設定畫面,可直接看到五大類別的隱私設定,分別是個人檔案資料、聯絡資料、應用程式與網站、搜尋及封鎖黑名單等。每個類別中有各種可供設定的項目。在特定項目瀏覽權限的設定中,選項涵蓋所有人、朋友的朋友、只限朋友或是個人化設定。在個人化設定中能夠指定瀏覽該項目內容的對象,或是隱藏特定對象。

此外,Facebook亦發表一新的出版者隱私控制工具,可以管理用戶所張貼的任何內容,包括照片、影片及狀態更新等,當使用者每次上傳新內容時,皆能設定可存取的對象。

Facebook表示,該站不斷提供更多的設定以讓用戶能夠控制存取權限,但隨著該站的進化及新功能的推出,這些設定愈來愈複雜,因此才會發表更簡單的隱私設定首頁。

另外,由於許多Facebook用戶詢問能否隱藏友人名單,為此,該站自搜尋結果中移除了「檢視友人」的連結,降低用戶友人在該站的曝光度,用戶亦可進一步關閉在個人檔案中顯示友人列表的功能。

Facebook亦強化了對青少年的保護,即使青少年在內容選項中選擇與所有人分享,但最多也只能與友人、友人的友人,以及該名青少年所參與的學校或工作網,同時,青少年的資訊分享也被排除在搜尋引擎搜索之外。(編譯/陳曉莉)
===================================================

我相信九成九的人還是搞不清楚發生了啥事。因為大家都是辛苦種菜的農夫,忙著在冷氣房裡偷菜。這裡就說明一下,希望大家保護自己,也可以保護朋友。

下圖是先前的「搜尋隱私」設定畫面:

下圖是目前的「搜尋隱私」設定畫面:

當然還有一些其他的,但這「搜尋隱私」是我最關心的。以下是整理其差異:
1.先前版本可以直接關閉「我的朋友名單」,只要非朋友都看不到你的人際關係。即便搜尋到你,只要控管嚴謹也沒啥個資可看。新版卻不是這樣的,「所有人」都可以看到你的人際關係,包含沒有註冊的帳號,這是很嚴重的問題,但,我們似乎沒人關心這議題…XD。
[目前已經修改,可不對外開放;這點也就是被嚴重批判的原因]
2.先前版本還可以微調哪些項目進行開放。設定上還算是很彈性。
3.新版多了「我的個人檔案預覽」,這是好的,可以查看自己開放了哪些資訊。這大概是這部分唯一有進步的地方,大家一定要多利用這功能。
4.新版只能選擇關閉或開放「公開搜尋的結果」,也就是說要不要讓人家可以搜尋到你。但這樣是不夠的。
5.要找到一個人,還可以透過朋友的「人際關係」找到你。於是任何人就可以看到你所有的「人際關係」,加上(1.)的問題這就非常糟糕了。

也許很多人覺得,這些資訊沒什麼,即便「人際關係」公布在網路上又有啥關係呢?但真的是這樣嗎?絕對不是這樣的。因為,網路另一端的人是會有很多不同思路與意圖,是你意想不到的。
劇本A:「人肉搜尋」希望這種網路暴力不致於發生在你我身上。啥~~不知道人肉搜尋,希望你不至於已經都把祖宗八代都E化了…
劇本B:不能講太多…但可以參考這則新聞:Facebook上露餡 保險公司拒絕憂鬱症理賠
劇本C:不能講太多…但你有想到個人與工作之間的某種關聯呢?[2010/01/26新增參考連結]
劇本D:真的不能講太多…[2010/03/17新增參考連結,比我想像中來的快]
劇本E:壞心的 APP …[玩心理遊戲收到大筆帳單,2010/03/22新增參考連結]

很多事情就是這樣,講不清楚又怕人被騙,講清楚了又會拿去騙人。有些事你得深思啊~~

再看看這則新聞[連結為資安之眼]:
===================================================
Facebook創辦人:網路隱私權已非潮流
新聞來源:中央社

社群網站facebook共同創辦人查克柏格 (Mark Zuckerburg)日前針對facebook上的隱私權爭議表示,人們習慣於網上分享各種資訊,保有用戶隱私權反倒是過時觀念。

Facebook是全球最大社群網站,會員人數高達3.5億人;過去幾年間,欲檢視他人的資料,必須先註冊,並獲得好友認證,才得進入他人檔案,如今卻開放給一般用戶,引來不少網友對隱私權疑慮。

查克柏格表示,當年在哈佛求學期間成立facebook,常被質疑:「為何會有人想把所有個人資料放在網路上?」但隨著部落格等網路應用興起,網友越來越習慣與他人分享資訊,可謂「社會常規逐漸產生改變」。

他說:「我們的角色,就是持續創新這個系統,以反映目前的社會常規。」他表示,網站擁有3.5億會員,做出這項改變,相當不容易,但卻十分重要,因為他相信「開放」將是潮流,也決定跟隨這個潮流。

Facebook隱私權爭議,已讓不少用戶感到困擾,查克柏格這回親上火線,解釋這項政策,至於能否平息反對聲浪,尚不得而知;但有國外媒體質疑,這極可能與廣告營收有關,也使facebook未來動向更值得關注。
===================================================

重要的是「你」認為呢? Continua a leggere

Pubblicato in Senza categoria

歷久不衰的詐騙郵件-騙取帳密


出現在信箱裡的一封郵件。還記得「電子郵件警覺性之觀念」嗎?應該很容易分辯吧!但是…我還是點選了連結,才發覺不對勁的。這就是人性的弱點,同樣一個動作做一百次,總是會有一次失誤~~

先看看 Mail Header…

IP Information – 211.239.151.232
IP address: 211.239.151.232
Reverse DNS: [Unknown]
Reverse DNS authenticity: [Unknown]
ASN: 9848
ASN Name: GNGAS (Enterprise Networks)
IP range connectivity: 1
Registrar (per ASN): APNIC
Country (per IP registrar): KR [Korea-KR]
Country Currency: KRW [Korea (South) Won]
Country IP Range: 211.192.0.0 to 211.255.255.255
Country fraud profile: Normal
City (per outside source): Unknown
Country (per outside source): — []
Private (internal) IP? No
IP address registrar: whois.apnic.net
Known Proxy? No
Link for WHOIS: 211.239.151.232
嗯嗯,發信 IP 是 KR 來著。更加確認是釣魚郵件。

Phishing Mail 裡的連結聯到哪裡呢?畫面是不是相當熟悉呢?

但千萬要注意,它是一個釣魚網站,專門騙帳號密碼來著的,這個當然是騙取 gmail 的帳密。注意到它的網址嗎?「mail-google.dontexist.com」這跟 google 差很大吧!是個動態網域來著。目前對應的IP:

IP Information – 60.190.222.142
IP address: 60.190.222.142
Reverse DNS: [No reverse DNS entry per ns.zjnbptt.net.cn.]
Reverse DNS authenticity: [Unknown]
ASN: 4134
ASN Name: CHINANET-BACKBONE (No.31,Jin-rong Street)
IP range connectivity: 20
Registrar (per ASN): APNIC
Country (per IP registrar): CN [China]
Country Currency: CNY [China Yuan Renminbi]
Country IP Range: 60.160.0.0 to 60.191.255.255
Country fraud profile: Normal
City (per outside source): Beijing, Beijing
Country (per outside source): CN [China]
Private (internal) IP? No
IP address registrar: whois.apnic.net
Known Proxy? No
Link for WHOIS: 60.190.222.142
這應該就知道帳密會騙到哪了吧!

如要山寨各大入口網站的登入畫面,這不會太難的,況且還有現成的工具包幫你做呢?
只要手法細緻一點,往往能騙倒一堆人。

你分辨出來了嗎? Continua a leggere

Pubblicato in Senza categoria