資安新知

抵抗變革是一種自然的反應

改變是不舒服的，需要新的思考和行動方式。人們很難在變革的形成之前，預知未來面對的實際狀況。因此，易於傾向於堅持已知而不是擁抱未知。當IT 或 資安團隊推行資訊安全制度、資訊安全系統，多少會遇上來自各部門的阻礙。相較於人的問題，技術細節與施作程序反而是最容易克服的問題。

Read more …

關注Hardware Hacking原因

在Insider風險問題上，特別關注Hardware Hacking的問題，其主要原因是Insider內部竊取與Hacker外部入侵，有著截然不同的差異。Insider十分熟悉企業組織內部的資通安全與檔案資料庫環境，且通常具有一定的權限可以閱覽或是編輯相關檔案，又因屬於內部人員，通常還具備資料交換的必要性；反觀外部的Hacker可能需要搭配層層的分析與滲透，在掌握企業組織環境後，再進行必要資料竊取，所費時間較長。但是Hacker或spy卻有機會買通內部人員(Insider)，達到資料竊取的目的，這時候風險角色有回到Insider身上。

Read more …

最近幾個新聞都跟洩漏公司秘密給競爭對手有關；洩漏的內容五花八門，從20nm DRAM 製程、公司開發的程式、藍圖、設計圖等。一家機械設備設計廠商，交付設計圖給三家設備製造廠商，各自製造一部分組件，最後原公司將產品組立。沒想到，這三家不知為何恰巧聯合起來，交付設計圖ODM的次日，就有仿製的機器出現。由於製造一定要原始設計圖，給了對方之後就失去控制，僅僅依靠保密條款，即便事發之後也無法舉證。

Read more …

參與多場GDPR的會議與論壇，也研讀完數百頁GDPR法規後，再參考國內四大會計律師事務所相關文件，與看過國內外媒體相關評論與見解，仍認為有模糊的解釋空間，尤其是面對「屬地」或「屬人」觀點上，各家觀點多有堅持。但是不容否認GDPR是歐盟在個人資料與隱私保護至今最為嚴格的法律，附帶空前巨大懲罰性賠償，從全球對歐盟的商業及金融電信服務都必須繃緊神經。

法令本身有著其他外溢效果與感受：(1) 似有似無感受GDPR隱藏著某些程度保護主義色彩；(2)項莊舞劍有其針對性，對於已經遵守重視個資因保護的經濟體，沒有太大影響，對於不重視個資隱私保護的經濟體，有其傷害；(3)台灣及中國…等亞太經濟體(日韓已經積極與歐盟協商中)，許多都不在歐盟允許個資收集交換的特許國家清單。

Read more …

李宗翰 / iThome電腦報周刊副總編輯 / 2018-03-24發表

今年臺灣資安大會規模更勝以往，在這次活動裡面，我對其中一個議題感受最為深刻，那就是內部威脅管控。在最後一天，有兩場課程著重在此，分別是由精品科技資安顧問陳伯榆的「資安是攻守交替後的完美結合」，以及國際產業安全協會台灣分會會長楊博裕的「外賊易擋、內賊難防：從史諾登案看內部威脅管理的盲點」。

在陳伯榆的分析裡面，他先從內部威脅的影響與來源談起，接著，透過三個層面來實際示範侵入狀況。首先是針對在內部環境可用來竊取與入侵的各種裝置，做了簡單的介紹，然後將測試的電腦接上Teensy這套USB開發板，來模擬USB鍵盤，讓作業系統以為只是接上鍵盤，而迴避電腦周邊裝置控管（如果單是禁用USB儲存裝置），但實際上，我們可從這裡執行指令，像是PowerShell、WMIC（WMI command-line）。

Read more …

在企業組織環境內，內部人員威脅(以下通稱Insider)與外部入侵竊取，雖然都是Hacking與竊取智慧資產行為，兩者卻有著很大的不同。其差異在於，外部入侵者，需要較長時間的資訊環境嗅探分析或是社交工程操作後，漸漸勾勒出入侵標的的環境資訊，進行入侵竊取，甚至不斷選定目標再次重複上述作業，直到達成預計成果。
反之以Insider角度，本就涉入其中，且熟悉內部資訊狀態與管制環境，甚至掌握某些渠道繞過管制的手段，在資料竊取上，Insider有著「天之驕子」所具備的便捷與資訊，雖不具備企業組織MIS內控的超級權限，也足以在企業環境中，有機會順利竊取資料，並攪起「一池春水」。所以企業內部「披著羊皮的狼」，將帶給企業組織重大的損失。更遑論若涉及國安軍事外交科技…等高度敏感的組織，應更加關注相關管控。

Read more …

Google雲端列印最為大家所熟悉，除了Google之外在台灣，ibon便利生活站亦提供雲端列印服務；Apple Air Print 是 Apple 的另一項技術，而印表機公司亦推出類似服務。服務背後，總透著美好事物另外一面的問題。本文將以Google Cloud Print服務為基礎，來與大家分享雲端列印對企業管控的潛在風險問題。

Read more …

即將在今年5月25日正式施行的歐盟個人資料保護規則（General Data Protection Regulation，GDPR），因其適用對象可能擴及非歐盟境內的企業或組織、同時提高了資料保護設計的安全性要求、訂定鉅額的違規罰鍰等，即便大多數的台灣企業於民國101年10月01日台灣個人資料保護法正式施行之前，已投入大量的人力、物力，訂定詳細的個資維護、管理等相關辦法，建立個資控管流程等，但是如果可以確定會落入GDPR的適用範圍，台灣企業先前因應台灣個人資料保護法所為的準備恐怕都不足夠，千萬不可掉以輕心。

Read more …

「智慧」二字無非是最近十分熱門話題，智慧城市、智慧家庭、智慧載具、智慧工廠…等。再混搭IoT應用，更是未來智慧生活的代表詞彙。在政府民間都費很大資源在推動與進行，令人十分期待那科技帶來的生活變化。把「安全」與「智慧」再次融合，這需要嚴肅面對，用中國用語，這可不能是「牛X式」未來。

Read more …

Google Project Zero安全團隊在一月三日，揭露了所發現的CPU推測執行(Speculative Execution)的漏洞。影響範圍以Intel為主、AMD 受影響較小(官方說法)。其受影響的OS涵蓋：Windows、Linux、macOS、Android 等。在Cloud Service 則是Amazon AWS、Microsoft Azure、Google Cloud、Tencent Cloud、Alibaba Cloud以及其他私有雲環境，舉凡：VMWare …都需要加以安全檢視。

Read more …

在許多間諜電影，看到插入USB就將資料複製或電腦破壞…，其實在現實世界默默上演著。USB防守已經是太一般，此次介紹的特殊裝置，可以用在內部人員或外部間諜資料竊取，更可以是駭客攻擊入侵的工具。

本篇將不介紹相關特殊裝置技術指令與程序設定，將從特殊裝置認識的角度著手，提醒稽核、資訊安全及IT部門，重新審視現在的管控是否有效，並足以面對這樣的竊取攻擊手法。

Read more …

回顧2016年，驚傳雅虎(Yahoo)有大量用戶個資外洩，使當年攀上近年資料外洩筆數的高峰；同樣在2016年，不少駭客鎖定POS與ATM植入惡意程式，以竊取信用卡資料，外加勒索軟體威脅一波波來襲，這些不同類型的惡意活動，共通目標皆是謀求經濟利益，資安廠商據此推測2017年勢必充斥三高威脅。

Read more …

不久前，一家已被美國集團購併的台灣DRAM廠，有5名主管取走機密投靠對岸公司，因而遭地檢署提起公訴。可以預見，今後台灣員工圖謀竊取技術文件或智慧財產，進而跳槽大陸競爭同業之例，恐屢見不鮮；尤其台灣目前在於工業4.0、工業控制系統(ICS)或機器手臂等新興技術議題的發展，均有值得對岸取經之處，相關營業秘密的保護，顯得格外重要。

Read more …

CMD 與 PowerShell 已是微軟OS預設的基本功能，卻也是企業資安應用的雙面刃。即便PowerShell 在預設狀態下將限制執行權限。PowerShell在系統管理員權限下執行Set-ExecutionPolicy RemoteSigned 就可以啟動，更何況在駭客入侵提權後，CMD 與 PowerShell變成一個隱性企業資安漏洞。以下就舉幾個入侵竊取應用實例，來與大家分享，也藉此機會檢視企業與政府相關資安防守是否充足。

Read more …

自從USB問世以來，小巧方便用途廣泛，相容性高，深受使用者歡迎。也馬上成為資安管理上的頭號目標。除了應用在儲存裝置外，輸入裝置、輸出裝置、電風扇，照明裝置、網路連接，甚至保護鎖都有。隨著科技進步，USB儲存裝置越趨小巧，而容量卻爆炸性成長。我的第一支USB 隨身碟式16 MB，現在的低消恐怕是32GB了。因為這些特性，在資安管理上就屬高風險、高衝擊的標的。

Read more …

大家都知道安全很重要，買房子內部使用防火門，逃生梯要有兩個，滅火設施明顯好操作，高樓層要安裝灑水設備，這都是現在大樓的標準安全配備。而資安其實是個令人頭痛的議題，因為現在電子資料關乎企業命脈，但卻技術門檻高，是個不容易理解的一個企業課題。企業要擔心外面的駭客，駭客高手這麼多，但駭客要鑽漏洞才拿的走資料；而內部人員電子檔案隨手可得，不用鑽洞就可以把資料帶走，那麼企業安全在哪裡？精品科技X-FORT電子資料監控系統幫您把關。

Read more …

您願意花多少成本在安全配備上？

消費者買車時，考量的因素五花八門，需求各異。在經濟能力可以負擔狀況下，安全配備愈高規愈保險。有些車款就算昂貴，但為了保護心愛的家人，值得分期付款來購買。就像資安系統一樣，配備愈完備安全效果愈好。

假設你的車價是1百萬，煞車系統佔10%，似乎還合理。除了車身結構不計，如果剎車系統佔價格到30%，應該就會猶豫了。也許有其他堅強的理由，例如車主認為生命無價、或者操控餘裕等，這時就會覺得物有所值。資安系統也是類似，不可能買個1萬元的保險箱，只為了保護100元價值的物品。保險箱所放置的物品，不論價值高低，都必須要有好的防禦效果，而所謂的價值，是該企業所重視的精神與克盡職守的規範。不同行業別所認定的資訊資產價值也各以差異。所以，很多人會認為高風險的最要緊，事實上非全然如此。

Read more …

勒索軟體「強」發展

針對「檔案型加密勒索軟體」，將被感染者電腦中相關文件檔案加密，讓使用者電腦可以正常開機，保有OS基本運作，讓被感染者可上網去支付高額比特幣贖金，來取得檔案解密金鑰。進階版勒索軟體則是結合某些漏洞或國家型網路攻擊「武器」，透過網段掃瞄；或是採行無檔案模式運行，持續感染至其他電腦，甚至變更MBR boot 0磁區相關資訊；或透過郵件聯絡人廣發蠕蟲郵件持續蔓延…等，所以造成被感染者電腦中的近百種檔案類型都被加密。

Read more …

以色列是個對台灣人而言是個有點遙遠又陌生的國度，一般對以色列的印象大概就是三大宗教的聖地耶路撒冷、以及中世紀因為搶奪聖地而持續二百年的十字軍東征，還有二戰期間納粹對猶太人的迫害、二戰結束猶太人宣佈以色列建國後引發的中東戰爭、一連串的以阿衝突和以巴衝突。當親友聽說到以色列的反應都是：那裡不是有戰爭嗎？會不會有危險？要好好保重啊！但在參加經濟部主辦的2017以色列網路創新及資安團的行前準備收集資料過程中，以及實際參訪時的所見所聞，大大顛覆了我對以色列的印象。

Read more …

回顧2016年至今，資安事件屢見不鮮，持續在全球各地上演。若要在眾多事件中，挑選出讓國人有感的，則包括有發生在2016年7月一銀ATM盜領案、2017年3月13家券商遭DDoS攻擊勒索案，及5月鬧得沸沸揚揚的WannaCry勒索蠕蟲事件。

資安事件屢見不鮮，繼一銀ATM盜領案、券商遭DDoS攻擊勒索案，及WannaCry勒索蠕蟲事件等資安問題層出不窮，有鑑於此，DIGITIMES日前在舉辦2017雲端資安論壇台中場，吸引超過100多名學員參與，共同探討如何在有限資源下做好全面性的防護。

Read more …