F-Secure 芬安全-資安部落格

2014年12月31日星期三

駭客魔手直闖物聯網系統綁架檔案勒索贖金恐遍及一般民眾

（2014年12月31日，台北訊）物聯網概念與裝置越趨成熟，駭客集團也越積極進攻新領域，已經可預見未來駭客魔掌將會更無遠弗屆，深入所有民眾的生活與工作。芬安全F-Secure大中華區總代理商翔偉資安科技營運長杜世鵬表示，駭客是最走在科技前端的趨勢觀察家，為了取得最高利潤，往往早先一步預知消費者使用行為，目前針對企業、組織最難纏的手法就是綁架重要資訊後加密，藉以勒索高額贖金賺取不當所得。隨著物聯網發展蓬勃，推測未來駭客集團將會沿用舊有的手法與詐騙邏輯，將勒索目標擴及到一般消費者，民眾除了應提高警覺外，物聯網裝置的開發商也應拉高防衛等級，避免駭客入侵單一用戶就能綁架所有資料的災情產生。

杜世鵬解釋對以獲利為目標的駭客集團來說，檯面下看不見的駭客攻擊才能拿到最高額的贖金。真正用「商業邏輯」在操作的駭客會避免用高調手法攻擊企業，因為唯有不造成企業商譽損害的前提下進行勒索，才不會讓企業「見笑轉生氣」，而拒付贖金來掩蓋資安防護不夠力的醜聞。但即便駭客總是用類似手法攻擊，也能一而再、再而三入侵企業竊取資料，索取高額贖金一事可發現，原本就是駭客眼中大肥羊的企業用戶都嚴重缺乏自覺與資安防護能力，更何況缺乏專業CIO把關的消費者，在面臨類似事件更會無法即時處理。

杜世鵬強調，在新科技運用普及的初期，駭客集團總是會利用設備未知漏洞進行大肆入侵，無論是網路普及帶來網路病毒擴散，或是行動上網裝置平價化帶來行動病毒的蓬勃發展都可見一斑。因此當各科技大廠致力於發展物聯網設備時，也應重視資安與隱私防護；消費者在挑選智慧型家電時除了功能導向外，更需要了解廠商對於所收集的個資保管及應用條款，避免自己的個資淪為廠商販售牟利的商品之一。

F-Secure(芬安全) – 重視並守護您無價的重要資產

F-Secure(芬安全)是全球電腦與行動裝置雲端安全領導品牌，無論您是使用電腦或智慧型手機，我們能確保您最重視的資料受到完整的安全保護。F-Secure(芬安全)於全球各地與超過200家電信業者合作提供服務，並擁有數億家庭與企業用戶的信任。F-Secure(芬安全)自1988年成立，總部設於芬蘭赫爾辛基市（Helsinki），已於1999年在NASDAQ OMX赫爾辛基證券交易所上市。

歡迎造訪F-Secure網頁：http://www.f-secure.com

關於翔偉資安科技 sunwai InfoSec Technologies, Ltd.

翔偉資安科技為芬蘭國際級防毒領導品牌F-Secure芬安全大中華區總代理，提供端點系統安全進階技術服務與顧問輔導。藉由長期培育的專業工程團隊及客服支援中心，已連年贏得廣大企業客戶、政府機關與學校的肯定，翔偉資安科技代理之F-Secure產品目前已第五年獲得台灣銀行（中信局）共同供應契約合作。翔偉資安科技是台灣最廣連鎖紙張供應商賢記紙業集團之關係企業。歡迎造訪翔偉資安科技網頁：http://www.sunwai.com

2014年12月25日星期四

政治駭客進攻娛樂領域恐怖攻擊轉型捍衛國家

（2014年12月25日，台北訊）政治駭客正式向影視媒體宣戰！上周最令人緊張也獲得全球關注的新聞莫過於美國索尼電影公司遭駭客攻擊，原定搶攻美國聖誕檔期電影「名嘴出任務《The Interview》」(前譯「刺殺金正恩」)，被來自北韓的駭客連番攻擊，除了入侵索尼電腦系統，公布高層資料、未上映電影、知名影星個人隱私、員工個資外，揚言將會突襲首映戲院，更暗示將重現911攻擊事件。索尼為了安全起見，只好宣布取消首映會，美國FBI等國安單位也介入調查這起史上最嚴重、且涉及敏感政治議題的企業受駭事件。

芬安全F-Secure大中華區總代理商翔偉資安科技營運長杜世鵬表示，這起事件起初僅被認定為另一起好萊塢駭客入侵事件，因為駭客組織用漸進式的方法釋放訊息，包括透露演員片酬、電影製作成本、外洩部分未上映影片以及製片人批評女星等的八卦新聞，直到自稱為Guardians of Peace（GoP）的駭客集團威脅索尼員工的信件曝光，才被媒體知悉這並非只是單純的娛樂性駭客事件，而是政治型駭客對索尼發出的「警告」。此一事件之所以引起好萊塢大恐慌以及全球關注，除了因為涉及名人隱私、商業利益之外，也彰顯出恐怖份子不只利用過去的炸彈式人身安全攻擊外，現在更透過利用網路攻擊，直接攻陷企業組織。雖然本次事件動機起源於該影片內容涉及北韓國家在意的領導人形象問題，而針對電影公司發出攻擊令，但隨著未來物聯網裝置越趨成熟，類似事件若再發生，影響範圍恐會難以想像。

杜世鵬進一步說明，過去在網路世界裡常見到的政治型駭客或是意識形態駭客，都採取插旗式的攻擊手法，例如入侵重要網站綁架首頁，或是盜取組織機密內容，以此要脅高額贖金等，但這次的索尼影業事件，卻凸顯實體的恐怖組織或是國家單位已經將網路駭客正式納入恐怖攻擊手法之一，虛實並進為達最終目的，相較於過去發動實體攻擊造成實質傷害會讓組織受到國際制裁與譴責，利用網路無國界難以追查來源的優勢，公布重要私密資料等雖然會受到關注卻難以遭受實際嚴懲，成為最新駭客「警告」的好手法。但需要相關產業一併思考的是，未來隨著物聯網裝置成熟與普及化，駭客若是用這種攻擊手法癱瘓物聯設備，影響層面可能不只是取消首映會就可以暫時躲過一劫，而是可能殃及全部民眾的安危與生活。

F-Secure(芬安全) – 重視並守護您無價的重要資產

歡迎造訪F-Secure網頁：http://www.f-secure.com

關於翔偉資安科技 sunwai InfoSec Technologies, Ltd.

2014年12月18日星期四

學界接軌業界人才培育芬安全首屆獵駭行動遴選資安好手中央大學admin'-- 團隊脫穎而出勇奪十萬獎金

（2014年12月18日，台北訊）隨著大數據時代來臨所衍伸資安人才需求，反觀台灣網路技術雖成熟，但就資安人才培訓卻未與時俱進，為了推廣資安教育並能讓台灣學生累積實戰經驗，翔偉資安科技力邀芬安全移植芬蘭培養資安人才經驗，特地來台與台北醫學大學醫學資訊研究所共同合辦「獵駭行動」資安競賽，共計十組學生團體一同競賽角逐，最後由中央大學admin'-- 團隊在激烈競賽中脫穎而出，獲得十萬元獎金。

芬安全首屆「獵駭行動」盼帶動業界接軌學界資安培育風潮
為了讓參賽學生能夠確實體驗到業界的獵駭方式，本次比賽特地邀請芬安全的首席研究長米戈˙希伯能(Mikko Hyppönen)來台親自領軍病毒威脅實驗室出題，全程透過遊戲式資安攻防戰，以程式遊戲及機智問答的方式進行。芬安全的首席研究長米戈˙希伯能表示，芬安全長年在世界各地與當地教育單位深度合作資安教學，未來更希望透過經常性學生國際性競賽舉辦，以提升學生防駭層級與意識。

芬安全F-Secure大中華區總代理商翔偉資安科技營運長杜世鵬進一步指出「雖然台灣資安相關系所不少，且素質與對資安的敏銳度也不亞於世界其他國家，但資安攻防每日千變，若學生只躲在學校，缺乏實戰經驗，不只難與國際接軌，未來也難成為可以捍衛企業乃至國家的一流人才。台灣過去的資安競賽多由官方或學校舉辦，雖然具有象徵意義，可是在難度與即時性上卻難以與國際同步接軌。這次比賽原本預計招收10組參賽隊伍，在只有一週報名時間的情況下，吸引近四十組隊伍參賽，其中更不乏曾經參與過DEF CON CTF、台灣駭客年會CTF等大型資安競賽的隊伍，顯見台灣學生具有強烈企圖心，只是缺乏表現跟練習的舞台。」

此外杜世鵬也再次強調「我們希望透過本次『獵駭行動』，讓學生獲得實戰經驗，並藉此找尋優秀人才，未來也希望能夠持續性舉行資安競賽及駭客松，除了有助於創新與大數據的推廣應用外，也希望能在競賽的過程中挖掘合適的人才投入資安防護產業。同時，芬安全今年首次在台灣舉行「獵駭行動」，更是鎖定在學學生作為資安種子養成計畫的第一步，希望藉此能吸引更多資訊相關系所、或有志從事資安相關產業的學生能夠提早與順利業界接軌。」

F-Secure(芬安全) – 重視並守護您無價的重要資產

歡迎造訪F-Secure網頁：http://www.f-secure.com

關於翔偉資安科技 sunwai InfoSec Technologies, Ltd.

2014年12月11日星期四

芬安全F-Secure祭十萬大獎辦首屆獵駭行動高規格比賽吸引國際級人才參賽

（2014年12月11日，台北訊）台灣網路技術發展成熟，但對於資安人才的培訓卻屢見缺口，即使各大企業祭出高額薪水要招募資安專長人才，卻仍遍尋不著合適的人才，芬安全F-Secure為能協助發掘培養更多年輕資安好手，將於12月17日舉辦在台首場獵駭行動，祭出十萬高額獎金，高規格吸引國際級人才參與此次競賽，此次競賽原本預計招收10組參賽隊伍，然而在短短一週報名時間內，立即吸引近四十組隊伍參賽，其中包含曾參與過DEFCON CTF、台灣駭客年會CTF等大型資安競賽的隊伍報名參加；同時本次比賽也特地邀請芬安全的首席研究長米戈˙希伯能(Mikko Hyppönen)親自領軍病毒威脅實驗室進行出題，將以程式遊戲及機智問答的方式進行。

芬安全F-Secure大中華區總代理商翔偉資安科技營運長杜世鵬表示，翔偉資安科技積極致力於推廣資安教育，為了讓台灣學生累積實戰經驗，不只力邀芬安全來台舉辦資安競賽，更與台北醫學大學醫學資訊研究所共同舉辦「獵駭行動」，希望讓學生可以獲得更多實戰經驗，並藉此找尋優秀人才，且未來也希望可以每年持續性地舉行資安競賽及駭客松，除了有助於創新與大數據的推廣應用外，也希望能在競賽的過程中挖掘合適的人才投入資安防護產業。

杜世鵬強調本次比賽礙於名額有限，因此只能選出10組隊伍參與競賽，但未來芬安全也將會持續在台灣舉行比賽，希望可以為培養台灣資安人才貢獻一己之力。共同主辦本次比賽的北醫醫資所所長劉建財教授也發現，今年第一次派隊出國參加芬安全駭客松比賽，了解到國際學生的競爭力與企圖心；對醫療服務業來說除了服務品質與效率外，守護病人隱私的要求更為嚴謹，因此資訊安全就更形重要。這次與芬安全(F-Secure)共同舉辦獵駭行動比賽，一方面希望透過比賽傳達資訊安全教育，提升病人隱私的保障；另方面鼓勵醫學科技領域的同學參與比賽，藉此與同儕高手共同學習，培養國際觀與職場的競爭力。

F-Secure(芬安全) – 重視並守護您無價的重要資產

歡迎造訪F-Secure網頁：http://www.f-secure.com

關於翔偉資安科技 sunwai InfoSec Technologies, Ltd.

2014年12月4日星期四

迎接物聯網時代居家資安與個人隱私防護成駭客新戰場

（2014年12月4日，台北訊）在下班的車陣中，用手機遙控冷暖氣設備，將溫度調整到最合適的溫度，廚房家電也已經開始準備晚餐，一打開大門，家中重要動線的燈光都已經調整到最舒適的狀態，不需要任何走動或操控就可以坐在沙發上享受專屬的私人生活，這不是電影或是科幻小說裡的情節，而是物聯網串連後居家生活最便利的應用可能。隨著智慧型家電發展快速，家電已不再單純只接收指令，而是會代替主人思考甚至貼心準備的專屬僕人。科技家電透過網路控制、人工智慧等增加使用者的便利性，但在網路操作的同時也代表有漏洞出現的機會，倘若消費者開心迎接物聯時代卻忽略資安防護的重要性，物聯系統一但被駭客入侵，遠端遙控權掌握在有心人士手裡時，等同將居家安全拱手讓人，在享受科技便利前不得不審慎思考。

芬安全(F-Secure)大中華區總代理商翔偉資安科技營運長杜世鵬表示，科技進步雖然可以省去許多現代生活的瑣事，但就像是一把雙面刃般，帶來便利的同時其實也帶來居家安全的風險。試想這些智慧家電掌控著擁有者的所有資訊，哪時候出門、何時到家、家中有多少成員、一天喝多少水、看什麼電視等資訊，全都被這些智慧家電「收集」起來分析，目的雖然是為了要提供更便利的生活，但資料是否有被妥善的保管卻是廠商們避談的話題，每個設備若廠商不同是否資料就被拆散在不同地方，或是未來出現「居家雲」，統一保管在雲端時，誰又擁有存取權或是擁有權，這些問題勢必需要再多討論。撇開個資擁有權的問題，目前可以肯定的是，這些資料在駭客眼裡就是含金量極高的個資商品，不管是廠商保管或是雲端存取，只要駭客能入侵物聯系統，就可以擁有所有資訊，但類似的資安宣導卻很少甚至幾乎沒有，凸顯各家業者雖然投注心力研發新品卻以消極態度面對後續的資安與隱私守護問題。

杜世鵬強調就是因為科技來自於人性，人性難免有疏漏，享受科技的同時本來就不該忽略可能的風險與危機。民眾應該提高警覺，在決定使用相關服務時，也要同步思考資安與隱私防護，這些物聯設備可能就像是智慧型手機般，成為生活不可或缺的好幫手，可以掌控你的生活，也可能進一步造成實質損失。而各家廠商在推廣商品時，為了吸引購買，難免會避談可能帶來的危害，台灣個資法專家林鴻文律師建議廠商在未來面對個資法時，注意以下三要素就不易觸法：
1.明確告知資料「蒐集」的方式及目的。
2.清楚說明所蒐集資料的利用範圍。
3.設計資料儲存結構時，不要將資料儲存在多個位置，以免刪除資料時無法完整刪除。

F-Secure(芬安全) – 重視並守護您無價的重要資產

歡迎造訪F-Secure網頁：http://www.f-secure.com

關於翔偉資安科技 sunwai InfoSec Technologies, Ltd.

2014年11月27日星期四

旅遊使用半公開免費Wi-Fi 個資仍有遭駭危機

（2014年11月27日，台北訊）行動上網裝置的普及，再加上使用者對於網路的依賴性越來越重，許多民眾出國前最重要的準備工作就是解決上網的問題。除了使用租借的網路分享器之外，飯店、大型咖啡連鎖店提供免費Wi-Fi也已經成為國際級品牌的基本配備與趨勢，更成為許多背包客節省旅費的小密技。但芬安全(F-Secure)大中華區總代理商翔偉資安科技營運長杜世鵬卻提出警告，這些半公開的帳號密碼，在幾乎人人都可使用的情況下，上網行為可能全都暴露在未知者面前，甚至進一步遭竊取個資，民眾不可不慎。

杜世鵬表示，不只免費Wi-Fi可能造成資安疑慮，這些飯店或是咖啡廳提供的半公開帳號跟密碼，也已經成為國際駭客集團下手的目標，使用這類型的Wi-Fi商務客則成為駭客鎖定的對象。杜世鵬進一步說明，為了符合消費者使用習慣，多數飯店都會在入住時提供Wi-Fi帳號密碼供房客使用，但帳號密碼為了好記方便，都相當容易破解，最常使用的組合就是飯店名稱、樓層、房號等，有時候甚至不需要入住，只要多猜幾次也有機會成功。咖啡廳、百貨公司等場所更好猜，有八成的店家都會把密碼設定成電話。而且為了管理方便，多半不會定期更換密碼，因此給了國際駭客集團大好的入侵機會。尤其是商務旅館，旅客入住後多半會使用網路處理公事、來往商務信件等，甚至可能時常在他國處理金融交易，一旦伺服器被入侵，不只是旅客利用Wi-Fi傳輸的資料，甚至連旅館內部機密資料都成為駭客的囊中物。

杜世鵬表示，民眾急著在異國享受免費無線上網的服務，卻容易忽略這些帳號密碼只能控管消費者，卻無法防堵駭客。想要享受免費Wi-Fi服務要避免受駭，建議民眾及商務客在使用免費或半公開帳號的Wi-Fi時，應注意以下事項：
1.盡量不登入需要帳號密碼的網站或APP，若一定要使用需登入帳號密碼之網站則利用VPN程式，加密所有傳輸的資料，以免資料被從中擷取。
2.在未確保安全的情況下，不更新系統、應用程式或APP，避免更新檔案夾帶惡意程式。
3.關閉上網裝置的檔案分享功能，並開啟防火牆，攔截不明入侵。

F-Secure(芬安全) – 重視並守護您無價的重要資產

F-Secure(芬安全)是全球電腦與行動裝置雲端安全領導品牌，無論您是使用電腦或智慧型手機，我們能確保您最重視的資料受到完整的安全保護。F-Secure於全球各地與超過200家電信業者合作提供服務，並擁有數億家庭與企業用戶的信任。F-Secure自1988年成立，總部設於芬蘭赫爾辛基市（Helsinki），已於1999年在NASDAQ OMX赫爾辛基證券交易所上市。歡迎造訪F-Secure網頁：http://www.f-secure.com

關於翔偉資安科技 sunwai InfoSec Technologies, Ltd.

2014年11月20日星期四

國家意識形態駭客比例增各國指標企業宜加強戒備

（2014年11月20日，台北訊）今年可謂是亞洲地區的政治危機年，從中日關係緊張、到台灣服貿抗爭、香港佔中事件等，一連串政治敏感議題頻頻發生，加上許多重量級的國際級會議移往亞洲開會，亞洲各國重要網站頻傳被駭事件，各國角力戰已從實質上的經濟層面轉移到虛擬的網路世界。芬安全(F-Secure)大中華區總代理商翔偉資安科技營運長杜世鵬提醒，根據觀察近年意識形態型駭客或是政治型駭客比例大增，各指標性企業被波及的機率大幅提高，政府機關或是指標企業網站被駭，雖然看似沒有實質財務上的損失，但恐會失去民眾或是消費者對於企業資安防護能力的信賴感，建議在重要時刻各企業CIO應提高警覺，才能避免顏面掃地的窘境。

杜世鵬表示駭客行為模式可以分為幾種，除了以獲利為目的的駭客集團外，也有不少駭客帶有強烈的意識形態或是國家、種族主義，以捍衛國家尊嚴為攻擊動機，尤其今年國際間敏感政治事件不少，除了俄羅斯與烏克蘭的領土問題之外，光亞洲的政治事件就已經夠精彩，其中又以與中國有關的事件最受人注目。中國大陸的駭客比例跟功力也的確迅速追上歐美等先進國家，美國就屢次警告並抗議，中國大陸的駭客活動活躍，甚至高頻率攻擊美國重要網站，包括政府機關與重要企業，雖然無法證實是否為官方授權，但的確已成為中美幾次國際會議時關切的焦點。而受到近期香港佔中事件影響，某些立場鮮明的網站也屢次被駭客攻擊癱瘓。

杜世鵬表示，類似事件其實並不是只有在這些敏感時刻才發生，根據過去經驗，台灣不只政府機關被鎖定，有些國際級的學術研究單位每天遭受駭客攻擊的頻率也很驚人，雖然有時候駭客「插旗」意義大於實質傷害，只要被攻擊成功，對政府或是企業都是信用受損的負面影響。過去在中日關係最緊張的時刻，亦曾發生過日本企業網站被攻擊的事件。對企業而言，即使不針對類似事件表態，仍容易成為駭客攻擊的目標。撇開政治因素不談，對駭客來說，越大、越具有國際知名度的公司本來就像是挑戰的里程碑，駭客可能藉由公司提供廠商或洽公人員所使用的無線網路、員工私接之無線基地台、遭植入惡意程式的員工手機…等，這些企業易忽略的防護弱點，當作攻擊跳板進行滲透入侵竊取資料，建議資安管理者可參考ISO27001:2013規章，定期進行安全風險評估及改善，降低企業受駭機率。

F-Secure(芬安全) – 重視並守護您無價的重要資產

關於翔偉資安科技 sunwai InfoSec Technologies, Ltd.

2014年11月13日星期四

微軟漏洞補不齊系統快速淘汰駭客恐趁亂入侵

（2014年11月13日，台北訊）Win7、Win8還沒獲得使用者青睞，微軟就已經急著宣布將於近期發表新的作業系統，直接跳過9開發出Win10。市場分析恐是微軟為了搶攻市佔率，提供跨裝置一致性的使用者體驗而加速升級推出。但此舉恐怕不只對許多「舊」作業系統的使用者來說造成使用習慣上的困擾，也提供駭客趁亂入侵的大好機會。芬安全(F-Secure)大中華區總代理商翔偉資安科技營運長杜世鵬表示，對微軟來說積極且快速的開發新版本作業系統，是順應裝置改變之時勢，並提供更好的使用環境，但快速淘汰作業系統又沒有持續提供更新，卻也可能使得原先用戶暴露在駭客入侵的危機之下。

杜世鵬指出，根據過去數據顯示Win XP堪稱是微軟歷年來普及率最高的作業系統，在台灣甚至多半的金融機構仍使用XP版本運行銀行內部程式，但隨著微軟宣告不再更新後，等於強迫用戶更換新版作業系統，在微軟快速更新作業系統版本的情況下，即使宣告win7可以免費升級win8等優惠措施，但相關的應用程式若沒有跟著一起強迫升級或是推出更新版本，新舊系統交替之時，新系統裡的舊應用程式極有可能產生新的漏洞，導致駭客有機可趁。而且站在商業運作的角度，公司的精英主力勢必全面投入在新產品開發，對於舊系統的補強較容易有疏漏之處，所以才會產生近日出現微軟漏洞補修不全，導致駭客趁機利用Office漏洞的攻擊事件。

杜世鵬強調，更新是確保系統安全無疑最基本且有效的做法之一，做好漏洞更新是廠商的責任，系統漏洞造成的風險本來就不該由用戶承擔，對於軟體開發商而言，同時持續開發新產品並修正舊系統並非易事，所以難免會發生顧此失彼的事件。但對使用者來說，與其被動地仰賴系統商可以做到永遠零漏洞的資安守護，還是自身做好資安防護更為保險。無論是持續確保系統更新，或是避免使用已停止支援服務的作業版本是資安防護的基本功，想要提升防禦率建議還是為所有的裝置加裝資安軟體，並隨時提高警覺心，才能避免駭客趁亂入侵。

F-Secure(芬安全) – 重視並守護您無價的重要資產

關於翔偉資安科技 sunwai InfoSec Technologies, Ltd.

2014年11月6日星期四

手機定位功能是幫還是駭小心被遠端監控隱私全都露

（2014年11月6日，台北訊）對現代人來說，沒帶手機可能比忘記帶錢包出門還沒有安全感，手機已經不再只是通訊工具，智慧型手機成就了一機在手掌握天下事的新生活型態，甚至就像是個行動辦公室，可以讓用戶隨時跟親友聯繫甚至處理重要公事。也因為高功能性與依賴性，手機不見絕對可以被列入現代人噩夢排行榜的前幾名。為了避免手機遺失所造成的不便，許多手機商或是軟體開發商利用手機定位功能研發相關App，要把用戶不便降到最低，但這些軟體到底是幫你還是「駭」你，用戶可能還得三思後再決定是否要開始使用。

芬安全(F-Secure)大中華區總代理商翔偉資安科技營運長杜世鵬表示，現在手機功能五花八門，不只硬體設計符合使用習慣，也希望提供用戶更好的使用服務，各家廠商無不極力開發相關軟體服務。就像蘋果跟三星為了避免用戶遺失手機造成不便，使用內建定位功能讓用戶可以利用這項服務找到遺失的手機，或是透過遠端操控鎖住裝置避免被第三人惡意使用，許多軟體開發商也應用定位服務開發出許多延伸性的APP。但定位功能結合遠端操控卻可能暗藏資安隱憂，因為遠端操控雖然帶來便利性，只要被有心人士濫用也許會發生像好萊塢電影全面監控的可怕情節，不只手機往來資訊全被監控，還可能被遠端操控撥打電話或發送簡訊，甚至出現螢幕被鎖住無法使用的問題。

杜世鵬強調，水能載舟亦能覆舟，手機定位或是遠端監控在很多緊急時候可能會是救命關鍵，像在山區迷路時，只要打開定位就可以幫助搜救隊找到受困者。但也因為手機在現代人的生活當中扮演舉足輕重的重要角色，當手機遭到他人惡意使用遠端操控，一般民眾除了可能有個資外洩或財物損失的問題之外，受駭者若是政治、金融等相關領域人士，其行蹤被掌握、遭遠端開啟錄音或攝影等，所造成的影響可能不只是個人隱私問題，嚴重可能導致國安機密外洩等。民眾也不要以為類似事件是電影情節或是危言聳聽，因為當大眾對於科技產品的依賴度越高時，一但被駭客攻擊或系統癱瘓，造成的影響跟損失也許更加嚴重，提醒民眾若無法避免使用這類服務或應用程式時，應選擇信譽良好的App開發商、確保具有遠端監控權限的帳戶密碼與安全無虞，才能將受駭機率降到最低。市面上App選擇性眾多，大眾卻不一定知道如何挑選信譽良好的App開發商，在此提供大家一個諮詢管道，歡迎隨時至翔偉資安科技臉書粉絲專頁(https://www.facebook.com/sunwai.tw)詢問，我們將由專業人員為您解答。

F-Secure(芬安全) – 重視並守護您無價的重要資產

關於翔偉資安科技 sunwai InfoSec Technologies, Ltd.

2014年10月30日星期四

開啟簡訊轉接功能帳號卻外洩小心訊息被轉到強國信箱

（2014年10月30日，台北訊）為避免因為手機不在身邊或是沒電等各種狀況，電信商推出的「簡訊轉接」服務可以確保用戶時時刻刻都能掌握重要訊息。但當手機門號、電子信箱、金融交易帳戶等都綁在一起時，帶來便利的同時也增加了被駭機率與受駭後可能造成的損失。近期就有消費者發現自己申請了中華電信的簡訊轉接服務，不久後卻收到通知，指稱個人簡訊將同步轉發到另一個信箱，仔細一看卻發現指定信箱不但非自己所有，還是對岸使用最廣的QQ信箱，深怕帳戶交易訊息落到駭客手裡，急忙打電話取消轉接服務。芬安全(F-Secure)大中華區總代理商翔偉資安科技營運長杜世鵬表示，這類事件發生主因就是用戶帳號外洩，提醒民眾除了在第一時間取消服務外，應全面性的檢查所有上網裝置並更換帳戶密碼，才能確保個資安全避免金錢損失。

圖說：消費者接獲來自電信商提醒已申請「簡訊轉接」服務，將簡訊轉發至QQ信箱。

杜世鵬強調，現代通訊服務完整，為了避免用戶因忘記帶電話或是手機沒電、遺失等問題，許多電信商推出「簡訊轉接」的服務，只要申請轉接服務，確定簡訊轉發至指定裝置後，即使手機沒電，指定的行動電話門號或是電子信箱都可以即時收到訊息，相當於同步備份簡訊內容。再加上現在網路交易盛行，為了要確保線上交易的安全性，許多信用卡、網路銀行也會透過簡訊寄發驗證碼或是交易密碼做二次確認。更別提通訊軟體，包括Gmail、Facebook、Line等為了避免用戶帳號被盜後無法取回，也都鼓勵將私人手機設為備援電話號碼，就算被盜也能透過手機接收驗證碼拿回帳戶使用權。但若是簡訊轉接的指定信箱是駭客所有，不只駭客可以接受所有簡訊，恐怕連網路交易資訊也都一併被盜走，甚至入侵用戶網路金融帳戶、進行小額付款購買點卡等，可能造成的金融損失不容小覷。

杜世鵬推測這個狀況很有可能是帳密外洩造成的，但帳密外洩不見得是電信商的問題，因為凡涉及到網路金融服務的業者多半會拉高資安防護等級，但電信商合作的其他廠商卻未必會有同等的警覺心與措施。此外用戶本身的資安防護也需確實檢討，根據過往經驗，除了大規模帳密外洩外，絕大多數都是因為用戶自己的資安防護不及格，除了沒有為所有上網裝置加裝防護軟體外，疏於更換或使用過於簡單的密碼組合也成為駭客容易得手的原因，不管是手機、平板或是電腦，跨螢使用本來就已經使受駭機率提高，只要任一裝置被駭客植入側錄的木馬程式，就有可能隨時被監控，杜世鵬以多年資安經驗建議民眾應全面性的檢查所有上網裝置外，更需要重視密碼設置，定期更換且避免過於簡單的帳戶密碼，方能確保個資安全。

F-Secure(芬安全) – 重視並守護您無價的重要資產

關於翔偉資安科技 sunwai InfoSec Technologies, Ltd.

2014年10月23日星期四

內建軟體強奪個資企業良心怎有保障？

（2014年10月23日，台北訊）小米事件尚未完全落幕，國產品牌ASUS卻又傳出更新Android版本並在未經使用者同意下直接加裝內建大陸軟體，由於該軟體要求過多手機權限，系統一旦更新後，完全不需經由使用者同意與否，所有的權限馬上就交出去了，隨即引起使用者不滿與討論，更加深民眾對於更新系統的遲疑與不信任感。芬安全(F-Secure)大中華區總代理商翔偉資安科技營運長杜世鵬強調，用戶下載App無論軟體所要求的授權合理與否，起碼都給予使用者選擇的機會，但手機內建軟體卻隨著系統更新強制安裝，讓使用者連說「NO」的權利都沒有，更突顯民眾在使用3C產品時，對於守護個人隱私的無能為力，倘若僅仰賴企業良心，宣導不要外洩用戶個資，恐怕又是一個無解問題。

杜世鵬表示不管是電腦或是行動裝置的系統更新，對於資安維護來說都是重要且必要的，系統更新除了新增功能外，最重要的是可以修正舊版本的缺失與漏洞以圍堵駭客入侵。各手機廠商在進行系統更新時，或多或少會夾帶內建軟體，但這些內建軟體是否有要求過多權限等問題，也需由廠商自行進行把關。以這次ASUS開放更新 ZenFone至 Android 4.4的例子來說，版本更新是希望提供用戶更好的使用經驗，卻在系統更新時，同步內建軟體「觸寶號碼助手」，手機廠商希望透過版本更新強化手機功能，並藉由此APP協助進行來電辨識、攔截詐騙或是騷擾電話等，雖然立意良善，但該軟體幾乎要求所有手機權限，等同給該軟體公司全面監控用戶的權力，而且連選擇的機會都沒有給用戶，在更新進行時直接安裝。由此單一事件牽扯到個資法來看，若專業經理人在洽談異業合作案時，未具備完善相關法律知識，恐因疏失導致企業負責人連帶受罰，企業經營者該如何避免員工因一時不察觸及法律，是現階段企業面臨個資法上路的一大考驗。台灣個資法專家林鴻文律師也提醒企業應善盡告知義務，在未取得個人同意之下而安裝內建軟體，任由軟體廠商取得使用者手機權限，恐有觸犯我國刑法妨害秘密罪、妨害電腦使用罪等及個人資料保護法之虞，若再因保管不當造成資料外洩，負責人或管理者可能會遭受鉅額民事損害追償及行政罰鍰。

杜世鵬提醒，類似事件層出不窮，這只是再次突顯企業對於守護用戶資訊的敏感度與謹慎仍顯不足，以此事件來看，企業在前端談合作方案時並沒有全方位思考消費者權利，導致APP開發商可輕易透過更新系統奪取用戶權益，甚至因為網路、APP無國界的特性，讓這些可以偷渡用戶資訊的軟體游走在國家法律邊緣逃脫政府的管控範圍。企業為了增加購買意願，透過內建許多便利軟體來吸引消費者目光，但這些APP收集到的資料用途為何卻沒交代清楚，也沒有向用戶報告如何管理並避免個資外洩，難保企業以「研究」為名將用戶資訊挪為其他用途，甚至給其他單位使用。守護個人隱私實際上難靠抽象的企業良心，政府雖因為小米事件開始檢測手機廠商後台資料運用，遇到相關事件才一個個去檢視，這都是只治標不治本的被動作法，行動裝置所衍生的個資管理、權限授權等問題應仰賴國家直接立法規範，才能從根本解決問題，避免外來軟體鑽更新漏洞，竊取民眾個資。

F-Secure(芬安全) – 重視並守護您無價的重要資產

關於翔偉資安科技 sunwai InfoSec Technologies, Ltd.

2014年10月16日星期四

駭客進攻金融機構盜取VIP個資事件頻傳過度自信恐是銀行受損最大元凶

（2014年10月16日，台北訊）金融機構每天協助客戶管理財富相關事宜，手握大批高資產客戶個資，要是缺乏高敏銳度警覺心，不只會造成客戶個資外洩，恐吃上官司外，未妥善保管超VIP隱私更可能將重要客戶拱手讓人。近日美國華爾街金融機構人人自危，因全球知名的摩根大通公司（JPMorgan Chase & Co.）已經證實網路系統遭到駭客入侵，導致約8300萬用戶的個資外洩，這起事件成為目前美國史上最大規模的用戶資料洩漏事件之一。芬安全(F-Secure)大中華區總代理商翔偉資安科技營運長杜世鵬表示金融體系一直都是駭客集團眼中的大肥羊，但多數公司認為自己的系統安全無疑疏於警戒，恐才是造成個資外洩事件不斷的最主要原因。

杜世鵬強調，過去認為駭客入侵大多是在極短時間內高頻率攻擊單一網站或系統，這種手法尤其常見在涉及國安等級的研究機構或是有民族意識的網站，像是台灣的政府網站一年高達百萬次攻擊已是常態，更別提在敏感政治時間點，網站被駭客惡意癱瘓的事件也時有所聞，但這種高頻率的攻擊多半只是為了插旗子，粗暴到根本沒有手法可言。不過金融機構這種看似會為了保護客戶資料而加強資安系統的組織，駭客集團面對有守衛的金礦銀山，不但不會粗暴的直接破壞資安系統，反而願意拉長攻擊時間，透過各種手法，無論是釣魚網站、外部存取裝置等潛伏在公司系統，等待最佳入侵良機。

杜世鵬觀察本次駭客事件並引用外媒資料指出，其實今年6月駭客就已經開始入侵摩根大通的系統，但公司卻到7月底才發現駭客已取得內部逾90台伺服器的最高管理權限，等同於駭客化身公司最高管理階層，不只掌握客戶財務進出等敏感資訊，更完全知悉公司內部作業細節，包括獲利來源、往來資訊等，銀行卻任駭客悠遊系統長達近兩個月後才發現。其他金融體系也傳出遭同樣手法入侵，但即使FBI已要求這些金融機構清查，但仍有銀行不認為公司系統有遭受攻擊，顯見多數金融機構對於資安防護不只掉以輕心，更過度自信，認為公司防護系統足以對抗駭客，但卻忽略員工是企業受駭的途徑之一，因為BYOD的盛行，員工利用公司電腦充電、使用相同的USB存取資料、自攜上網裝置工作…等，當員工家中電腦若沒有完整的端點安全防護，即使公司設有重重關卡，也可能造成駭客藉此當跳板入侵企業的問題，提醒手握有大量敏感個資的公司與機構，即使設有資安防護系統，資安管理者應意識到要開始針對員工自有裝置與APP進行管理，才不會讓無心的內賊造成重大損失又壞了商譽。

F-Secure – 重視並守護您無價的重要資產

F-Secure芬安全是全球電腦與行動裝置雲端安全領導品牌，無論您是使用電腦或智慧型手機，我們能確保您最重視的資料受到完整的安全保護。F-Secure於全球各地與超過200家電信業者合作提供服務，並擁有數億家庭與企業用戶的信任。F-Secure自1988年成立，總部設於芬蘭赫爾辛基市（Helsinki），已於1999年在NASDAQ OMX赫爾辛基證券交易所上市。歡迎造訪F-Secure網頁：http://www.f-secure.com

關於翔偉資安科技 sunwai InfoSec Technologies, Ltd.

2014年10月8日星期三

多螢跨平台感染漸成主流個人行動裝置成資安防護缺口芬安全威脅報告指出：不法勒索軟體、殭屍網未來將成首要資安議題

【台北訊】隨著全球行動上網人口增加，有利可圖的行動裝置惡意程式呈現高度成長，根據芬安全統計，從2011年至今不到三年間，行動裝置惡意程式家族成長高達三倍。芬安全(F-Secure)大中華區總代理商翔偉資安科技營運長杜世鵬表示，在今年第一季時我們已經監測到Koler病毒威脅，首次在 Android 系統裝置上被發現的「多螢跨平台感染病毒」的現象，證實勒索從PC端跨足到行動裝置並會交互感染電腦及Android行動裝置，藉此竊取金融帳號；同時從報告中也進一步預測，「不法勒索軟體」以及「殭屍網」將成為接下來兩大行動資安議題。

台灣居「高額付費簡訊詐騙」全球排名前三卻僅不到5%消費者手機防駭
根據資策會最新調查顯示，台灣持有智慧型手機或平板電腦的民眾已經達1,330萬人，由於使用者仰賴度高，願意在裝置上進行金融交易或是授權個資權限，所以舉凡NB、智慧型手機、平板…等行動裝置，早成為駭客利用跨平台病毒的主要獲利來源，但根據觀察台灣卻僅不到5%的消費者懂得安裝行動安全程式，而在病毒威脅報告中也發現，台灣人遭受「高額簡訊詐騙」排名竟居全球前三名。

杜世鵬表示：「2012年全年行動裝置惡意程式家族數是301，經過不到二年的時間，今年僅上半年的統計家族就超過500，因此預估到2014年底應會有超過1000新的惡意程式的家族生成。急速增加的惡意程式數字及相對消費者資安意識低落，讓每次的wi-fi上網、下載程式、瀏覽影片..時都陷高度危機；此外近期不論是電信商或者是手機業者都在極力推動的NFC付費機制，雖然過去我們偵測到攻擊Apple平台的惡意程式不多，然而隨著對駭客的”商”機浮現，難保手持裝置在沒有防護下，讓駭客可能在傳輸間進行整個電子錢包的竊取！」

行動裝置已成駭客新”商’機不法勒索軟體、殭屍網未來將成首要資安課題
此外從芬安全病毒威脅報告也發現，台灣行動裝置上半年最常見的病毒三大類型為：發送高額付費簡訊(47%)、竊取個人資料(42%)、奪取裝置最大管理權(10%)，在駭客手法持續翻新，以及行動裝置數量的持續增加下，消費者未來將面對的是更嚴峻的「不法勒索軟體」與「殭屍網」兩大個人資安危機，行動裝置必定成為殭屍網的最佳溫床。

杜世鵬也呼籲：「在越來越多人習慣利用電腦替手機充電、將手機當成行動影音播放器使用時，已間接讓行動裝置成為感染跳板，增加病毒擴散範圍，因此呼籲消費者在享受科技所帶來的生活便利之餘，能夠養成正確的資安觀念更為重要，同時，在病毒變種多且不知如何防範時，不妨藉助第三方資安軟體進行防護，避免淪為駭客的待宰肥羊。」

F-Secure – 重視並守護您無價的重要資產

關於翔偉資安科技 sunwai InfoSec Technologies, Ltd.

2014年10月2日星期四

公務機密禁用Line 資安專家提醒涉及隱私與機密避免使用熱門軟體

（2014年10月2日，台北訊）日前行政院長江宜樺表示因通訊軟體如LINE等有資安上的疑慮，日前已經通令要求公務員不要使用，並表示個人手機、私人電腦雖不在此限，但近期也會確認小米機是否有資安上的問題。針對政府機關的資安通訊施行的新規定，芬安全(F-Secure)大中華區總代理商翔偉資安科技營運長杜世鵬表示，不論是否要限定某些通訊軟體禁用或是規定僅能使用由工研院自行開發的通訊軟體，工具本身沒有對錯或優劣，但一旦使用者多，受駭被盜的機率便大幅上升，尤其手機、電腦版交叉使用，更增加感染風險，與其限制單一軟體禁用，更應擴大到員工使用習慣跟資安知識才是根本之道。

杜世鵬表示國與國之間網路情資戰開打早就不是什麼新聞，不只小米有敏感的資訊回傳問題，連蘋果公司也正式承認的確可以透過後台監測使用者的訊息，而伺服器架設在第三國的通訊軟體，更是24小時可以收到用戶間互傳的資訊。以方便為使用基準，再輔以可愛貼圖等吸引用戶的LINE、WeChat等普及率高的通訊軟體，伺服器不是架在日、韓就是中國大陸，許多雜誌甚至還專刊教導上班族該如何用通訊軟體應對公事，顯見這些通訊軟體的使用範圍已經跨越到使用者的公、私領域。但為了使用上的便利，這些軟體都有推出電腦版方便用戶同步使用，在多螢幕切換下，被駭客入侵與攻擊的機率自然大幅提升。而且不只通訊軟體，所有應用程式與工具都有可能是駭客釣魚的跳板，很難逐一防護。但就通訊軟體來說，若僅是一般聊天對話被監測當然傷害較小，萬一是政府公務人員或是高層被駭客鎖定監控，在軟體內討論內容涉及商業機密，甚至是重要的國資情報時，輕則造成財務損失，重則可能洩漏國家機密。

杜世鵬提醒雖然政府單位有這樣警覺性，但一般人員若敏銳度不高很可能淪為防護做半套，建議除了進一步加強相關行政人員資安知識外，更應該從下到上，從上網裝置到使用行為都詳細規範才能達到較高的防護等級。尤其是習慣私人裝置接上公務電腦充電、硬碟交互存取檔案等，除了會增加單位內受駭機率外，難保駭客利用這些路徑當跳板，直接安裝間諜程式在公務電腦裡。此外，雖然政府的資安防護嚴密程度有分等級，涉及研究開發、國安層級的單位自然防護嚴謹度相對高，但駭客要是從防護相對不嚴謹的單位著手還是會中標，建議除了規定員工軟體使用規範外，也可因應不同部會的需求去加強資安防護的程度，因為LINE只是眾多工具裡使用率較高的軟體，應用程式的安全問題只是冰山的一角，但老舊作業系統的漏洞才是台灣遭受駭客入侵的原因，與其一一禁止造成使用不便，不如定期更新作業系統，並逐步拉高資安軟硬體的升級才是根本之道。

F-Secure – 重視並守護您無價的重要資產

關於翔偉資安科技 sunwai InfoSec Technologies, Ltd.

2014年9月30日星期二

【杜世鵬資安專欄】駭客利用Google的安全檢測工具來改善惡意程式，使用者要慎選資安軟體

各種軟體要上市發表之前都會經過反覆的測試，以防止軟體出現臭蟲或是漏洞。但是，不止是國際大廠這麼做，就連駭客的惡意軟體要散播之前，他們也會這麼做，而且利用的還是本來應該要幫助民眾的檢測工具。

VirusTotal 是一間安全檢測公司，後來被Google收購，該公司的網站集合了目前市面上各種有名的資安軟體，使用者只要覺得有可疑的檔案，就可以上傳到網站，使用各家防毒引擎來做檢測，該公司也提供即時的檢測結果，看看使用者上傳的是不是惡意程式。只不過，這本來應該是為消費者把關的工具，反而被駭客用來檢測自己的惡意程式是不是能夠通過這些測試，惡意程式上傳後如果被檢測出來，駭客就會根據這些回饋再做修改，一直到惡意程式不會觸發相關的反應，才會將這支惡意程式散布到網路上。

駭客的這種做法，的確可以讓惡意程式更精進，也創造出更多未知的新型態病毒，所以如果使用者還使用過於依賴病毒特徵碼的防毒軟體，在這種病毒面前，就有可能會束手無策。也因為這類惡意程式能夠有效的躲避病毒特徵的檢查，因此，如果只單純使用病毒特徵碼線上掃描的防毒軟體，其實是很難發現這類的惡意程式。

線上版防護不足，安裝版才能完整保護

電腦安裝版的端點安全軟體和線上版最大的不同，在於線上版的掃毒程式，只能在你執行程式當下，透過比對病毒資料庫中的病毒特徵碼來檢測是不是有惡意程式潛藏在電腦當中，這種方式雖然方便，但是對於新型態未知的病毒，或是上面提到的這種刻意避開病毒特徵碼檢測的惡意程式，這種線上掃毒，就沒法發揮太大的功能。

而本機安裝版本，因為常駐在電腦中，所以可以針對惡意程式的行為做即時的監控，並且能守護記憶體不被植入rootkit，且在沒有病毒特徵碼比對的情形之下，仍然可以使用行為式分析的方式來偵測到惡意程式，只要這支程式的作為超出應用程式該有的合理使用範圍，都可以馬上加以阻擋，比起線上版，更能強化了使用者電腦的安全，提供更好的防護。

30秒教你如何選擇好的防毒軟體

對於這場正邪大戰的戲碼，未來還會持續下去，駭客仍然會利用各種可用的工具，創造出更厲害的病毒，而資安公司，也得不斷的開發各種新技術，來進行防堵。最後，提供幾個選擇端點安全軟體(防毒軟體)的技巧給大家做參考：

1、具備行為式分析的能力：你每天早上起床張開眼睛，就有3~30支新病毒產生，現在太多零時差的病毒攻擊已不能再靠傳統特徵碼防堵，必須要有好的行為式分析能力，才能真正防禦未知的病毒。

2、在無網路的情況下，仍須具備偵測零時差病毒的能力：現在許多的防毒軟體雖然都號稱具備行為式分析的能力，但有些竟是必須仰賴雲端防毒資料庫，它們一定要在有網路支援的情形下才能發揮防護功能。但是若是狠一點的新型態未知病毒在開始毒害你的電腦前先讓電腦斷網再執行毒害動作，這時你電腦中的防毒軟體卻因為無雲端資料庫的支援不能及時阻擋，等到有網路連通時一切都來不及了。

3、專注在防毒防駭的核心技術：好的防毒軟體真的不需要太多和資安沒有關係的附加功能，這些小工具除了會拖慢電腦的執行速度，也分散了廠商專心開發核心能力的時間和資源。

4、參考第三方公正組織的評測：有些組織專門在做資安軟體的評測，例如：AV-Comparatives、AV-TEST…等，利用各種新型態的方式測量防毒軟體的保護力，給予公平公正的建議，消費者若不知如何選購時，專家建議可以多方參考這些評測公司的數據。

2014年9月25日星期四

保全系統保安不保隱私？駭客入侵監視器讓隱私全都露

（2014年9月25日，台北訊）隨著現代人越來越注重居住安全，不少民眾或是店家都會裝設保全系統，除了可確保自身財產安全外，也開始將監視器運用在確認家中嬰幼兒或是老人安全，只要將監視系統接上雲端，即使不在家也可以隨時用行動上網裝置確保家中成員的一舉一動。但根據國外媒體報導，監視器影像可能在使用者不知情的狀況下被駭客攔截，甚至在網路上免費直播，適逢美國駭客二度公布好萊塢艷照，不只名人們要小心帳戶被駭，一般民眾也應提高警覺，避免自己的隱私在網路上任人瀏覽。

芬安全(F-Secure)大中華區總代理商翔偉資安科技營運長杜世鵬表示，很多網路上充斥著提供來源未知的偷拍影像，除了民眾偷拍之外，有些是監視器的畫面，而且這些網站往往沒有存取或瀏覽限制，影像更來自於世界各地，從中國城市商場裡的畫面，到路邊有人互相毆打叫罵、美國某家庭的嬰兒床畫面，或是私密的臥室都可以在網站上輕易找到影像，有些甚至是24小時的網路直播。杜世鵬進一步解釋現在監測系統運用範圍相當廣泛，不僅用在傳統的防盜、監視功能外，很多民眾會裝在家裡監測家中成員的安全，而且會誤以為只有自己才看得到，卻忽略了這些隨看隨播影像是透過雲端存取或網路傳輸，即時監看的功能也讓這些影像隨時暴露在隱私外洩的風險之中，一旦保全公司因疏忽而遭到駭客入侵，或是使用者自己帳號被盜取，這些監視畫面就落在駭客手裡，尤其是媒體名人，為了確保自身安全加裝監視系統，若是私密畫面流出，恐怕傷害比起私密照更大。

杜世鵬說明要預防駭客入侵，除了確保自己選擇的保全監視公司具備高度資安專業外，使用者自己也應該提高警覺，在加裝系統後應立即更改每台攝影機的原廠設定密碼，且最好定期更換、也不要使用容易被破解的密碼。此外為了確保監測畫面保存完整以及民眾可隨時監看，現在不只使用雲端存取，也有程式可以直接在手機或是平板上播放，為避免帳戶被駭、畫面外洩，建議透過網路查看監視器畫面的使用者除了在行動上網裝置全面加裝資安防護軟體外，也應養成定期更換密碼，且多組密碼交叉輪用，才能避免因帳號被盜而私生活曝光。

F-Secure – 重視並守護您無價的重要資產

關於翔偉資安科技 sunwai InfoSec Technologies, Ltd.

2014年9月18日星期四

迎戰駭客全面入侵資安長(CISO)你做好準備了嗎？

（2014年9月18日，台北訊）隨著行動裝置價格越趨親民，雲端科技成熟，駭客集團成為軟體人才眼中的高薪工作時，企業內的資安長是否已經準備好迎戰駭客全面入侵的時代來臨？芬安全(F-Secure)大中華區總代理商翔偉資安科技營運長杜世鵬表示過去企業內部的IT人才工作主要在維護運作軟體以及提供員工高效率的工具選擇，但面對現在來自四面八方的網路攻擊，卻需要花費大量心力在對抗外敵，甚至是確保員工沒有將敏感資料上傳雲端，不只需要耗費大把金錢與人力避免企業受駭，內部資安訓練也成為重點工作項目。

杜世鵬表示許多國際性重量級雜誌會針對職場趨勢提出未來可能會消失的職業，雖然很多選項都是預測性，但他敢百分之百斷言說未來擁有資安專業的人才絕對是市場上炙手可熱的新星。杜世鵬說明資安長(CISO)是因應網路時代來臨而出現的新職務，且重要性更與日俱增，不只需要善於危機處理和溝通，更要掌握最新的科技與駭客手法；資安長就像是足球門將一樣，平時做好基礎訓練沒人知，但在關鍵時刻要是被進一球，就瞬間成為千古罪人，萬一企業受駭造成嚴重損失，更會讓資安長的經歷背上嚴重恥辱，可以說吃力不討好，難怪即使各家企業開出高薪尋求資安長，仍有許多公司重金遍尋不著。

杜世鵬說明，大部分的公司不見得有配置資安長，若有配置資安長通常須同時兼顧資安防護與IT管理，但相關部門的人力配置與資源支持不見得完善，更別提資源有限的中小企業，與其用公司內部有限資源對抗隨時進化變形的駭客集團，不如尋求外部資源幫助，適時引入專業協助，透過國際級資安防護大廠助公司一臂之力，不僅可以有效利用公司資源，更有助於提升公司管理效率，避免因為對資安領域的不熟悉或是資源有限，造成資安防護不足使公司受損。

F-Secure – 重視並守護您無價的重要資產

關於翔偉資安科技 sunwai InfoSec Technologies, Ltd.

2014年9月11日星期四

好萊塢艷照門事件凸顯雲端資料被入侵主因為用戶使用習慣不佳

（2014年9月11日，台北訊）艷照門事件幾乎年年一爆，今年更搭上蘋果概念跟雲端科技，出現2.0版的好萊塢私密照外洩事件，受害女星名單洋洋灑灑，包括出演多部賣座影片的奧斯卡影后小珍妮佛勞倫斯、前蜘蛛女克絲汀鄧斯特、知名歌手蕾哈娜以及超模凱特阿普頓，推測這些照片是駭客入侵名人的iCloud帳戶得來，此一事件發生不只讓好萊塢女星們人人自危，連美國聯邦調查局FBI也大動作宣布已接手調查。適逢蘋果iPhone6以及大尺寸手機上市前夕，名人私密照外流事件，也掀起大眾對於雲端存取安全性的疑慮以及對於蘋果iCloud的不信任感。

芬安全(F-Secure)大中華區總代理商翔偉資安科技營運長杜世鵬表示，近年類似事件層出不窮，雖然民眾將矛頭指向蘋果系統的漏洞，甚至考慮停用雲端存取，以維護隱私安全，但其實資料外洩或遭受入侵，大部分是因為用戶習慣不良導致，尤其是不定期更換密碼、多設備登入帳號卻忘記登出、開啟自動上傳更新等，這些最基礎卻最容易被忽略的資安動作，就可能提供駭客絕佳的入侵時機。杜世鵬進一步說明，如果個資都可以標上價錢，那名人個資勢必價值更高，不難推測有駭客為了牟利或成名，針對名人帳號利用密碼測試程式透過不斷嘗試藉此找出密碼，且蘋果帳號可通全部系統，一旦破解成功就可以收集所有相關資訊，再加上好萊塢名人愛使用蘋果，更加深駭客攻擊動機。

杜世鵬強調此一事件並非表示雲端存取不安全，而是提醒大眾重視個資防禦，無論這些照片取得管道為何，都已經侵犯個人隱私涉及法律問題，就算不是名人也非私密照，但任誰也不想自己的生活被網民瘋傳。在此提醒民眾勿點閱、下載以這批照片為誘餌的網站、檔案，因為駭客集團會利用這批私密照暗藏惡意檔案；就好萊塢私密照曝光事件而言，除了做好基本資安防護，如為所有上網裝置加裝資安防護軟體外，更需要重視密碼設置，專家針對密碼安全性提出以下幾點建議：

(1)定期更換密碼：建議最少每季應更換一次以提高安全性

(2)密碼應分類分級：依照不同網路使用範圍與重要性將密碼難度分級，與網路金融服務相關的難度應最高，並與一般網站會員分開，避免因單一網站被破解，全部個資都被盜取的慘狀。例如金融、網路購物平台應與社交通訊軟體使用不同帳號密碼。

(3)使用高強度又容易記憶的密碼：避免使用身分證字號或出生年月日作為密碼，最好是英文大小寫、數字交雜使用，且密碼長度越高越難被破解，例如：中文輸入密碼法，利用中文鍵盤加上中文的輸入方式（如注音、嘸蝦米），刻意不要切換到中文輸入法，但是用中文輸入法的輸入次序，這樣就會是很強大的密碼，且是不容易被破解，像翔偉資安就是『vu;6jo3y0』看似很難記，但是其實就只要知道密碼是翔偉資安就對了。

圖說：利用中文輸入密碼法輸入翔偉資安，就會出現『vu;6jo3y0』，符合高強度密碼規則。

F-Secure – 重視並守護您無價的重要資產

關於翔偉資安科技 sunwai InfoSec Technologies, Ltd.

訂閱：文章 (Atom)

2014年12月31日 星期三

2014年12月25日 星期四

2014年12月18日 星期四

2014年12月11日 星期四

2014年12月4日 星期四

2014年11月27日 星期四

2014年11月20日 星期四

2014年11月13日 星期四

2014年11月6日 星期四

2014年10月30日 星期四

2014年10月23日 星期四

2014年10月16日 星期四

2014年10月8日 星期三

2014年10月2日 星期四

2014年9月30日 星期二

2014年9月25日 星期四

2014年9月18日 星期四

2014年9月11日 星期四

2014年12月31日星期三

2014年12月25日星期四

2014年12月18日星期四

2014年12月11日星期四

2014年12月4日星期四

2014年11月27日星期四

2014年11月20日星期四

2014年11月13日星期四

2014年11月6日星期四

2014年10月30日星期四

2014年10月23日星期四

2014年10月16日星期四

2014年10月8日星期三

2014年10月2日星期四

2014年9月30日星期二

2014年9月25日星期四

2014年9月18日星期四

2014年9月11日星期四