資訊安全 Tag

  • All
  • AI 人工智慧
  • APP開發設計
  • 專案開發
  • 程式設計
  • 網路行銷
  • 網頁設計
  • 資訊安全
  • 電子商務

【小心被剝兩次皮】為什麼駭客開始「放棄」加密攻擊,企業反而更需要提高警覺?[轉載自科技報橘]

在這個萬物皆聯網的世代,資安成為重要議題,從個人到企業甚至是國安都可能被影響。要做好資安,有許多重要的觀念思維和主動/被動防禦等不同的策略,而其中一個方法,就是透過「加密」將數據從可讀格式轉換為編碼格式。而網路攻擊者也常常反過來利用加密鎖定目標公司系統讓企業無法解密,以此勒索贖金。不過,網路攻擊者正在放棄這種透過加密數據以進行勒索的方法,而是選擇直接跳到竊取公司的重要數據以索取贖金這步。為什麼會出現這樣的新現象?企業又應該有什麼新思維以應對新的攻擊手法? 什麼是加密?當訊息或數據在網路上共享時,全球的網路設備會形成一個公共網路,當數據通過公共網路傳輸時,就有可能被駭客破壞或竊取。為防止這種情況,用戶可以安裝特定的軟體或硬體以確保數據或資訊的安全傳輸。這些過程就是所謂的加密。加密後的數據只有在解密後,才能進行讀取或處理,是確保電腦系統的數據與機密被惡意竊取後也無法輕易讀取的最簡單方法。許多個人用戶和大型企業都會透過使用數據加密來保護瀏覽器和服務器之間發送的用戶數據,包括支付數據到個人隱私等內容。加密後,原本人類可理解閱讀的文字就會轉換為無法理解的文本,又稱為密文。而加密需要使用加密密鑰,這是一組發件人和收件人都知道的數值,並由收件人使用密鑰解密數據,將其恢復為原本可以閱讀的文字。加密密鑰越複雜,加密就越安全,因為第三方很難透過暴力攻擊(也就是隨便亂試直到猜出正確的組合)對其進行解密。因此有一些密碼管理器也會用加密來保護用戶的密碼,讓駭客無法讀取。 為什麼加密攻擊變少了?過去的勒索軟體攻擊通常是駭客在組織網路上安裝了文件加密惡意軟體,然後在螢幕上顯示勒索訊息。但是隨著執法部門對勒索軟體的關注不斷增加,網路攻擊者開始尋找更為「有效率」的方法來繼續進行勒索攻擊。近年來,這些攻擊者轉變了手法:在對企業進行加密攻擊之前,他們會先偷偷竊取數據,接著在企業付錢解密後,便開始要求企業在期限內再次付款,否則他們將把「先前竊取到的數據資料」對外公開——言下之意:企業很有可能被剝兩次皮。外媒《Axios》報導指出,這種方式可以讓駭客更快速有效率地進行攻擊,並且降低對加密工具的依賴——這些工具有時會在攻擊中失效。勒索軟體談判公司 GroupSense 的執行長 Kurtis Minder 也指出,由於公司開始大量備份數據並開始積極防禦加密勒索軟體,因此攻擊者改用脅持機密數據進行威脅,導致越來越多的受害者支付贖金以防止數據被洩露。Abnormal Security...

Read More

Top 5瀏覽器【Chrome/Safari/Firefox/Edge/Opera 】[轉載自軟體玩家]

隨著Internet、「雲端技術」的普及,加上社群網站的推波助瀾,瀏覽器在電腦中所扮演的角色越來越重要,好的瀏覽器可以讓你更快速輕鬆地閱讀網站,甚至幫你在線上完成工作,因此造成了瀏覽器界群雄並起的時代。阿正老師今天就特別整理了目前市佔率最高的5款瀏覽器的下載點,包括了安裝及免安裝版,如果你想多多測試比較不同的瀏覽器,一定要來看看這篇瀏覽器下載懶人包喔!瀏覽器的戰國時代話說自從微軟將自家的IE瀏覽器「綁」在Windows作業系統之後,市佔率便狠狠甩開了Netscape,一躍成了瀏覽器界的龍頭。不過隨著後來Firefox的竄起,瀏覽器界成了IE與Firefox兩強爭霸的局面,直到後來Google在2008年加入戰局,隨著它的Chrome瀏覽器版本號不斷衝高(才16年已經衝到了第108版),市佔率也急起直追,終於在2012年中超越了IE與Firefox,成為第一大瀏覽器。下圖是StatCounter網站自2009年1月~2022年10月所調查的全球瀏覽器(電腦版)使用率的統計表,可看到原本排名第一的IE瀏覽器(藍色線)一路下滑,跟Firefox(橘色線)一樣被後起之秀Chrome(綠色線)及蘋果的Safari給超越了,第五名則是老牌的Opera。大家也可以觀賞這段瀏覽器市佔率消長的時間軸影片:下面就是阿正老師整理的五大瀏覽器下載懶人包,讓你下載瀏覽器時不必再去搜尋引擎搜尋囉!第一名、Google Chrome這個推出16年的Chrome瀏覽器,是目前效能最高、速度最快的瀏覽器,加上Chrome Web Store(Chrome應用程式商店)裡面有著各式各樣好玩的遊戲及應用軟體,更加吸引了使用者的目光,支援了Google帳號登入功能,可以讓你的書籤、應用程式、密碼、擴充功能、設定…等資料進行同步,無須另外安裝外掛套件,變得更加人性化、更加強悍!Chrome 從83.0版開始加入了「分頁群組」的功能,請參考本站文章:《喜歡開一堆分頁的人有福了,Chrome終於加入「分頁群組」功能!》Google瀏覽器預設為線上下載安裝,而且分為穩定版(stable)、測試版(beta)及開發版(dev)等三個頻道,你可以下載「頻道切換器」,自由地切換三種版本。阿正老師也蒐集了「離線安裝版本」,方便你快速地佈署在多台電腦中。另外我還列出了由「PortableApps.com」這個知名的免安裝版軟體網站所打包的Chrome免安裝版,大家也可以試試看! 第二名、Edge新的Edge瀏覽器是軟破釜沈舟,使用Chromium開源專案來打造全新版本,並在2020年1月釋出。新的Edge版本則已經到107版(版本號同Chromium),有興趣的讀者可以到「Microsoft Edge」網站來下載:最新的Edge 執行畫面如下,外觀上大致跟Chrome類似,不過網路資料的同步(我的最愛、擴充功能、設定、密碼…)則使用微軟自家的帳號,不會同步到Google帳戶。Edge從93版開始也跟進Chrome,推出了「分頁群組」的功能,不過因為Edge有「垂直索引標籤」,所以它的分頁群組比Chrome更好用喔!而古老的IE瀏覽器的版本停在11.0正式版,已不再更新,只支援Windows...

Read More

2023 資安防護的重中之重:70 萬資安生力軍仍填不了市場缺口,企業還能上哪找人?[轉載自科技報橘]

據《IBM 2022 年度資訊安全威脅報告》,2021 年全球製造業受駭客攻擊的次數,首次超越金融業。駭客攻擊防不勝防,尤其資安人才缺口至今還無法填平,企業在 2023 年資安防護上又該注意哪些新挑戰呢?2022 年全球政府、企業及各級組織,預計在網絡安全上花費...

Read More

Meta神不知鬼不覺,把你巧妙導進Marketplace!恐被罰年營業額10%罰款[轉載自數位時代]

繼英國競爭與市場管理局(CMA)8月份宣布準備對Meta提起訴訟後,歐盟委員會(European Commission)於本(12)月19日證實正在對Meta進行正式的反壟斷調查。初步調查顯示,Meta濫用其主導地位,讓社群平台與Facebook Marketplace相互連結,進而為線上分類廣告服務創造優勢,可能受到高達全球10%年營收的罰款。歐盟反壟斷專員在一份聲明中表示,Meta旗下的社群平台Facebook每個月擁有數十億的全球用戶及數百萬位的廣告商。他們擔心的是,Meta可以在神不知鬼不覺的情況下,將用戶引導至Marketplace,巧妙地將社群平台與分類廣告平台連結起來,讓用戶別無選擇,只能造訪Marketplace。Marketplace扭曲線上廣告市場的競爭,有壟斷嫌疑Meta自2016年推出Marketplace服務,讓任何用戶可以自由販售和銷售各種商品,舉凡衣服、書籍或是手機和家具都能在上面找到。不過歐盟委員會認為,該公司可能違反了歐盟的反壟斷規定,因為Meta將分類廣告與社群平台整合,從而扭曲線上廣告市場的競爭,此舉可能違反了《歐洲聯盟運作條約》(TFEU)的第102條。來源:Facebook截圖舉例來說,在Facebook搜尋欄中輸入想要尋找的商品,出現在最前面的搜尋結果即為Marketplace的內容。同時,歐盟也正在針對Meta的兩大社群平台Facebook及Instagram的分類廣告服務進行調查,其與廣告商間的條款是否有不合理及不成比例之處,允許公司使用廣告商無法取得的廣告服務後台資料。若違反壟斷,將裁罰全球年度營業額10%的罰款過去Meta的競爭對手就曾抱怨,Meta將社群平台與線上分類廣告服務整合起來是不公平的行為,並且正在使用非公開的廣告數據優化Marketplace,而歐盟委員會也從去(2021)年6月份開始著手調查。歐盟委員會也在19日表示,若有足夠證據證明Meta違反歐盟的規定,最高可以對該公司處以全球年度營業額10%的罰款。不過這是Meta第一次受到歐盟指控其濫用主導地位。5年前,Meta在收購WhatsApp的審查中,因為未能提供正確資訊而被歐盟開罰了1億歐元;2017年時則受到德國反壟斷監管機構發現公司濫用資料搜集辦法,並且遭下令停止追蹤用戶於社群網站以外的足跡網路,不過此案目前尚未定案。Meta發言人提姆·蘭布(Tim Lamb)透過聲明表示,歐盟委員會的說法毫無根據,不過Meta將繼續和監管機構合作,證明公司的產品創新是有利於消費者及競爭市場的。Meta的股價於19日紐約時間10點多時下跌了3%,該公司股價在過去一年內已經下跌了65%。除了Meta以外,許多科技公司都正受到歐盟進行監管方面的調查,例如Google、亞馬遜(Amazon)和蘋果(Apple)等公司,而其中另一件針對2018年Google和Meta的“Jedi Blue”進行的反壟斷調查,歐盟已在19日以無損害競爭事實的結果宣布結案。參考資料:European Commission、Bloomberg、Reuters、Tech Crunch、Politico、Engadget責任編輯:陳建鈞、林美欣原文出處:https://www.bnext.com.tw/article/73336/facebook-marketplace-take-advantage-of-meta-dominance...

Read More

Google開放大型企業及教育用戶測試Gmail用戶端加密[轉載自IThome]

Google宣布,擴大測試Web版Gmail用戶端(client-side encryption,CSE)加密,將開放企業及教育版授權用戶試用一個月期間,不過個人版並沒這項福利。Workspace Enterprise Plus、Education Plus、Education Standard客戶可在2023年1月20日前申請測試這項功能。Gmail使用用戶端加密可確保郵件主體和附件無法從Google伺服器解讀,用戶可保管加密金鑰,以及存取這些金鑰的身分服務。Google表示,Workspace已經使用最新的加密標準加密所有靜止,以及在Google設施之間傳輸的資料,用戶端加密則能強化用戶資料機密性,解決各種資料主權和法規遵循的需求。在Web版Gmail之外,用戶端加密可用於Web、桌機及行動版Google Drive、Google...

Read More

Chat GPT是什麼?會寫小說、寫code…三大QA一次看懂它[轉載自Cheers]

寫歌、寫小說、寫code,Chat GPT 還有什麼做不到?Chat GPT是什麼?是誰做的?Chat GPT是一款聊天機器人,它能理解大多數的人類語言,並根據情境生成一個合適的問答。若你想打發時間,可和它聊天;若有疑問,它也會在符合道德倫理的情況下,知無不言。該機器人由人工智慧實驗室Open AI推出,而推特CEO伊隆・馬斯克(Elon Musk)也是實驗室的創辦人之一。上市一週後,Chat...

Read More

AI 網路釣魚開信率比人工詐騙更高!AI 讓資安防護升級,如何讓駭客也超進化[轉載自科技報橘]

近年來,AI 在網路安全領域扮演的角色越來越重要,一般公司和個人可以利用 AI 工具來檢測威脅、保護系統和數據;但駭客和不肖份子也可以利用同樣的技術,來發動更複雜的攻擊。如今,DDOS 攻擊(阻斷服務攻擊)、數據洩漏等網路攻擊方式會讓組織付出極高的代價,另一方面,疫情帶來遠程工作趨勢,也讓不少公司更加關注網路安全和相關的 AI 工具。這種種需求,都大幅拓展了...

Read More

OpenSSL釋出3.0.7,修補兩個高度風險漏洞[轉載自IThome]

OpenSSL 3.0.7修補的CVE-2022-3602,是一個任意4位元組的堆疊溢位漏洞,原本OpenSSL專案判定這項漏洞很可能導致遠端程式攻擊,但正式修補時已調降了這項漏洞的嚴重性文/陳曉莉 | 2022-11-02發表 OpenSSL專案於本周二(11/1)釋出了OpenSSL 3.0.7,修補CVE-2022-3602與CVE-2022-3786兩個安全漏洞,原本CVE-2022-3602被列為重大(Critical)風險漏洞,但在本周正式修補時已被降級成高度(High)風險漏洞。OpenSSL為一開源程式碼庫,主要提供網路上的安全通訊,當使用者瀏覽網路時,所瀏覽的網站或服務底層都使用了OpenSSL,可見其影響性。根據資安業者Check Point的說明,CVE-2022-3602漏洞是在OpenSSL檢查X.509憑證時,因對Punycode的不當處理而被觸發,可能造成遠端程式攻擊。OpenSSL專案指出,有鑑於CVE-2022-3602是一個任意4位元組的堆疊溢位漏洞,這類的漏洞很可能導致遠端程式攻擊,因而一開始將它列為重大漏洞,但這一周以來,許多組織相繼針對該漏洞展開測試,顯示出某些Linux版本的堆疊布局,使得4位元組覆蓋一個未被使用的相鄰緩衝區,因而不會當掉或形成遠端程式攻擊,其次則是有不少現代平臺都導入了堆疊溢位保護機制,而能降低遠端程式攻擊的風險。總而言之,OpenSSL專案判斷重大漏洞的依據,是遠端程式攻擊是否會在常見狀況下發現,上述分析顯示並非如此,因而調降了CVE-2022-3602漏洞的嚴重性。另一個安全漏洞CVE-2022-3786則屬於X.509電子郵件位址可變長度緩衝區溢位漏洞,可造成服務阻斷,但不會引發遠端程式攻擊,亦被列為高度風險漏洞。這兩個漏洞主要影響OpenSSL 3.0.0~3.0.6,並未波及先前的版本。OpenSSL專案建議,任何驗證來自不可靠來源之X.509憑證的OpenSSL 3.0應用,都應被視為受到相關漏洞的影響,包含那些使用TLS客戶端身分認證的TLS客戶端與伺服器,若無法立即更新系統,可考慮暫時關閉TLS伺服器上的客戶端認證。原文出處:https://www.ithome.com.tw/news/153969...

Read More
})(jQuery)