2007-8-7 每一個產業中對於資料以及網路架構完整性保護的要求多多少少都有一些差異,所有的組織根據對於本身的了解制定對於組織中重要電子資訊的保護方式以防止入侵及損害。
Tripwire協助醫療機構達到HIPPA的標準,並加強資料及網路資訊的異動管理
每一個產業中對於資料以及網路架構完整性保護的要求多多少少都有一些差異,所有的組織根據對於本身的了解制定對於組織中重要電子資訊的保護方式以防止入侵及損害。醫學機構所面對是一個特別困難的挑戰,因為他們所負責保護的是牽涉自然界中各種生命的敏感資料。在他們的環境中,一個受損的資料有可能最後造成死亡的結果,在醫療機構中對於私密性和安全性特別的需要根據一套規範以確定所有的資料都保護在合理的狀態之下。根據這些考量的結果,特別制定了一套規範來定義如何保護所有健康資訊相關的電子資料,HIPAA是1996年美國前總統克林頓簽署的健康保險攜帶和責任法案(Health Insurance Portability and Accountability Act)的縮寫。該法案對多種醫療健康產業都具有規範作用,包括交易規則、醫療服務機構的識別、從業人員的識別、醫療資訊安全、醫療隱私、健康計畫識別、第一傷病報告、病人識別等,在規範中皆明確規定各級醫療機構對於資料和網路管理的工作需求說明。在美國所有涉及醫療保健的機構中,包括醫院、健康計畫部門、保健服務商、相關票據交換所、醫療資訊系統提供商、醫科大學、甚至只有一個內科醫生的辦公室等,對任何形式的個人健康保健資訊的存儲、維護和傳輸都必須遵循HIPAA的安全條例規定。對於違反HIPAA安全條例的行為,可以處以最高為25萬美元的罰款和最長為10年的監禁。在技術方面,HIPAA安全條例是中立的、可升級的。系統安全可在系統的建立、實現、監控、測試和管理過程中不斷提高,並且每個環節都可採用多種工具。該條例是一種開放的安全標準,每個醫療機構可以選擇適合自身的技術和解決方案。醫療機構必須保存HIPAA安全標準要求的相關文檔,並接受對這些資料和相關過程的定期復查。 幸運的是在現今已經有許多個工具和軟體可以提供對於這些敏感資料的保護,並且能夠提供協助幫助這些醫療機構來達到規範的要求。最基本提供的幫助就是能夠協助管理人員確認資料的完整性,確認資料未受到未授權的變更竄改或者在資料與系統變動時能夠提醒管理人員所有變動的狀況。在許多醫院中,病患的資料是儲存在伺服器、資料庫中,IT人員最基本的工作就是維護這些資料的私密和完整,這表示任何一個不能夠被接受的變動必須能夠很快提供提醒讓管理人員確實知道確實發生異動的是哪些資料哪些檔案以及是哪時候由誰造成的。除此之外,管理人員還必須監看重要的保護醫療系統的資訊安全工具像是防火牆或是入侵偵測系統,確保這些防禦設備也沒有遭到竄改破壞。醫療機構最需要的工具就是具備這種在根本上去協助追蹤並且確實紀錄所有來自外部或者內部變動的能力,能夠幫助使用者在根本上去幫助醫療機構建立安全的基礎。也是因為如此,大多數醫療機構的資訊管理人員選擇利用Tripwire能夠確實提供變動狀況提醒的功能來協助單位達到HIPAA對於私密和安全稽核的要求。 接下來將根據三個應用領域來討論HIPAA稽核要求上所需要提供的協助: 1. 入侵偵測 在這個領域中所需要應用的工具或軟體在根本上必須能擔任一個確實偵測入侵狀態的角色,這個因素主要在於確認沒有任何來自於外部或者內部的人可以私自變動重要系統的檔案或者設定。在HIPAA的四大主要規範中皆定義出需對於伺服器和工作站作入侵偵測。為了穩固組織機構的命脈,保護組織成資訊架構的伺服器、網路設備以及工作站,必須利用工具掃描每一部電腦或者設備,在最佳狀態時建立基準值,建立一個數位壓縮的快照。一旦建立了這個基準值管理員便可以在任何的時間點上去掃描檢查這個系統檔案的完整性,透過適當的工具針對目前系統的狀態與先前所建立之基準值作雜湊演算比較,如此在這個系統上所有的新增、異動與刪除皆可被偵測出且一目了然。如果這些變動是被允許的,管理人員可以更新最佳狀態基準值為未來比對之標準,如果這些變動是未經過合理授權的或者是惡意的攻擊,管理人員能夠透過這些提示迅速判定到底是哪些網路中的節點發生了狀況。透過這種從所有節點基礎上去檢查所有的變動是所有組織對於資訊安全方面最基本的要求。有許多的工具強調針對已知或者未知的入侵手法去偵測,但是這些工具往往只注重那些來自於外部穿過防火牆的攻擊,卻忽略了來自於原本系統中的一些問題。只有透過異動管理去了解所有系統中任何異常的狀況才是一個建立資訊安全環境最根本的基礎。針對系統變動作偵測才能夠符合HIPAA的稽核要求,能夠讓管理者確定系統和資料仍在預期的最佳狀態並未受到竄改。唯有透過具有彈性應變的入侵偵測工具以便了解所有系統資料的新增、異動和刪除,才能更有效率維護醫療機構的營運原則。 2. 損害評估與回復 就像許多系統管理員從痛苦的經驗中所發現的一樣,去偵測一個入侵的發生只是一個很初階的工作,當一個駭客已經突破叢叢包圍攻擊進來後,最麻煩的問題是:哪一個系統已經被影響到了?哪一個檔案已經被變動了?我們必須利用工具來幫助管理者去找到並且知道這些問題的答案。如果能夠迅速的去定義出哪些已經遭到了竄改,那麼管理者便可以很快根據這些異動的部分個別去復原,而不需要去重建整個系統。又或者利用Tripwire這種能夠與備份復存軟體整合的工具便能夠在系統當機或者遭到竄改之後能夠迅速的幫助醫療單位迅速將系統回復正常狀態。在此時不論是哪些地方發生了變動,Tripwire都可以提供快速的定義出有問題的地方、修復這些異常的狀況。這種災難應變以及重建便是HIPAA中相當重要的一個議題。另外一個在被入侵之後很重要的工作就是清除所有駭客所建立的後門,這些包括一些小小的執行檔、網路監看程式或者是惡意的程式碼,能夠讓有心人士能夠隨時進入單位中的網路得到他們所想要獲得的資訊。這些不正確的部分是絕對要能夠被發現並且移除的,但是駭客們總是能夠隱藏這些不正當的工具在一些很難被管理到的檔案系統中,因此如果能夠透過加密雜湊演算方式來掃描這些系統中的檔案內容,就算是駭客想要利用變更檔名或者存取時間來掩飾這些不正當的工具,管理者還是能夠準確的偵測出檔案是否已經遭到破壞,並且迅速的將狀態復原至完好的環境之下。對於所有致力於讓醫療機構能夠符合HIPAA規範的系統管理者而言,能夠很快的將系統從資訊安全意外事件之下回復至最佳狀態絕對是一項很基本的任務。利用能夠幫助管理的強大工具才能夠使得這些努力並且在乎的管理者有效率且順利的達到HIPAA的規範邀求。 3. 確實的執行 當一個組織在安裝新的系統、應用程式或者新的管理原則時,他們都需要一套工具來幫助確認工作是否確實執行以及管理目前工作的進度。HIPAA中定義出多項明確的規範要求對於所有的工作進度做確實的稽核紀錄。透過一個能夠確實提示目前已經變動狀況異動管理的工具,便能夠協助管理者在多個不同的作業系統以及網路設備中明確的看到目前已經執行的工作狀態或者仍等待執行的節點有哪些。像是醫療機構這種大型且保存許多重要敏感資料的資訊環境必須提出中央控管且具標準化的管理程序來了解並且偵測在各個層集中所有工作造成的變動以了解工作是否確實按照程序被執行。醫療機構中所有部門的管理者和技術人員在管理多種的系統和網路設備如能遵守HIPAA所定義出的工作程序稽核規範來確實執行工作任務便能大大提昇管理效率。利用工具來檢測哪些系統、應用程式或者新的原則是否已經被成功的執行,利用雜測檢測方式檢查工作中失敗的原因,利用集中管理標準程序在醫療機構大型環境之下透過遠端監控的方式提昇工作確實執行的效率。 結論 在要求醫療機構達到HIPAA規範要求的同時,國會議會也了解事實上目前的管理方式以及所使用的工具是不容易使得這些單位達到HIPAA的稽核要求,相對的對於目前的系統和資料並沒有做到非常嚴格的保護和管理。為了建立高品質的醫療健康管理保護機構,為了大眾的健康以及所有的健康管理資料,所有的醫療機構皆必須遵守HIPAA的安全以及私密管理規範。而達到此目的則需借助專業的團隊及有效的工具來協助所有醫療機構的管理人員提供更確實更有效率的幫助。
亞利安科技:
http://www.ciphertech.com.tw/
2007年9月13日
[亞利安科技]網路商店須符合PCI-DSS規範
2008-8-15 包括網路商店在內,凡接受信用卡刷卡付費的組織都須符合支付卡行業資料安全標準(Payment Card Industry Data Security Standard, PCI DSS)。適用對象包括發卡銀行、接受信用卡付款的商店。尤其每年的刷卡交易達6百萬筆以上者,還須接受經由認可的第三方單位稽核與安全檢測。
台灣企業對於資安的法規遵循需求不若歐美企業,僅金融業面臨較多金管會法令規範、上市櫃企業受證交所稽核或與美國企業有業務往來者,須配合一定的安全等級。現在包括網路商店在內,凡接受信用卡刷卡付費的組織都須符合支付卡行業資料安全標準(Payment Card Industry Data Security Standard, PCI DSS)。適用對象包括發卡銀行、接受信用卡付款的商店。尤其每年的刷卡交易達6百萬筆以上者,還須接受經由認可的第三方單位稽核與安全檢測。
在總計12條的安全標準當中,有些是一般性準則,例如安裝防火牆、安全設備避免使用出廠時的預設值等,但另外也有一些具體的規範,例如針對在開放公共網路上傳輸持卡人資料需使用加密設備;第6.6項條文更指出,為確保網頁應用程式能抵禦攻擊,需採用程式碼檢測(Code Review)或在網頁系統前端部署應用層防火牆。此項要求目前僅視為最佳實踐,但在2008年6月底之後將成為正式標準。
網路安全廠商F5 Networks安全產品經理Ido Breger表示,當Code Review找出程式碼弱點時,需要程式設計師去修正程式碼、再經過品質檢測等過程後,才能上線使用,但這樣往往無法應付已上線系統的運作時間壓力。透過網頁應用程式防火牆能在第一時間透過參數設定等方式先阻絕將近95%的安全威脅,剩下的5%則再透過更詳細的組態設定來達到。
Ido Breger進一步指出,產品整合性與流量檢測時的延遲性問題,是企業評選應用程式防火牆時需要考慮的重點。目前F5的Application Security Manager(ASM)已能透過TMOS中央控管軟體與應用程式傳輸產品Big IP整合,另外ASM採用反向代理伺服器的技術,因此能對Full session做檢查同時避免延遲性的問題。
PCI DSS的12項要求標準可分為以下6核心領域:
(一) 建立並維護安全的網路
要求1:安裝並維護防火牆,以保護持卡人資料。
要求2:不要使用供應商預設的系統密碼以及其他安全參數。
(二) 保護持卡人資料
要求3:保護儲存下來的持卡人資料。
要求4:持卡人資料在開放、公開的網路中傳輸時必須加密。
(三) 維護漏洞管理的計畫
要求5:使用定期更新的防毒軟體。
要求6:開發並維護安全的系統與應用程式。
(四) 實施強有力的安全存取控制措施
要求7:根據業務需要限制對持卡人資料的存取。
要求8:為每一個存取電腦的使用者分配唯一的ID。
要求9:限制持卡人資料的實體存取保護。
(五) 定期監視並測試網路
要求10:追蹤並監控網路資源與持卡人資料的所有存取。
要求11:定期測試安全系統與程序。
(六) 維護資訊安全政策
要求12:維護一個資訊安全政策。
『Information Security 資安人科技網 』 http://www.informationsecurity.com.tw
亞利安科技:
http://www.ciphertech.com.tw
台灣企業對於資安的法規遵循需求不若歐美企業,僅金融業面臨較多金管會法令規範、上市櫃企業受證交所稽核或與美國企業有業務往來者,須配合一定的安全等級。現在包括網路商店在內,凡接受信用卡刷卡付費的組織都須符合支付卡行業資料安全標準(Payment Card Industry Data Security Standard, PCI DSS)。適用對象包括發卡銀行、接受信用卡付款的商店。尤其每年的刷卡交易達6百萬筆以上者,還須接受經由認可的第三方單位稽核與安全檢測。
在總計12條的安全標準當中,有些是一般性準則,例如安裝防火牆、安全設備避免使用出廠時的預設值等,但另外也有一些具體的規範,例如針對在開放公共網路上傳輸持卡人資料需使用加密設備;第6.6項條文更指出,為確保網頁應用程式能抵禦攻擊,需採用程式碼檢測(Code Review)或在網頁系統前端部署應用層防火牆。此項要求目前僅視為最佳實踐,但在2008年6月底之後將成為正式標準。
網路安全廠商F5 Networks安全產品經理Ido Breger表示,當Code Review找出程式碼弱點時,需要程式設計師去修正程式碼、再經過品質檢測等過程後,才能上線使用,但這樣往往無法應付已上線系統的運作時間壓力。透過網頁應用程式防火牆能在第一時間透過參數設定等方式先阻絕將近95%的安全威脅,剩下的5%則再透過更詳細的組態設定來達到。
Ido Breger進一步指出,產品整合性與流量檢測時的延遲性問題,是企業評選應用程式防火牆時需要考慮的重點。目前F5的Application Security Manager(ASM)已能透過TMOS中央控管軟體與應用程式傳輸產品Big IP整合,另外ASM採用反向代理伺服器的技術,因此能對Full session做檢查同時避免延遲性的問題。
PCI DSS的12項要求標準可分為以下6核心領域:
(一) 建立並維護安全的網路
要求1:安裝並維護防火牆,以保護持卡人資料。
要求2:不要使用供應商預設的系統密碼以及其他安全參數。
(二) 保護持卡人資料
要求3:保護儲存下來的持卡人資料。
要求4:持卡人資料在開放、公開的網路中傳輸時必須加密。
(三) 維護漏洞管理的計畫
要求5:使用定期更新的防毒軟體。
要求6:開發並維護安全的系統與應用程式。
(四) 實施強有力的安全存取控制措施
要求7:根據業務需要限制對持卡人資料的存取。
要求8:為每一個存取電腦的使用者分配唯一的ID。
要求9:限制持卡人資料的實體存取保護。
(五) 定期監視並測試網路
要求10:追蹤並監控網路資源與持卡人資料的所有存取。
要求11:定期測試安全系統與程序。
(六) 維護資訊安全政策
要求12:維護一個資訊安全政策。
『Information Security 資安人科技網 』 http://www.informationsecurity.com.tw
亞利安科技:
http://www.ciphertech.com.tw
[亞利安科技]職業駭客販賣木馬程式圖利遭逮捕
業駭客販賣木馬程式圖利遭逮捕
刑事警察局偵9隊在網路巡邏中發現某一留言版上,張貼多篇駭客相關留言,其中有幾篇以『帳號密碼破解服務諮詢』為標題,稱其能遠端監控、破解msn、即時通、email及遠端監控管理教學等服務,該名自稱Greek駭客,留下greek1193_1184、hacker-999等帳號,供網友與渠聯絡;刑事警察局偵9隊幹員即佯裝求助之網友與其交談,駭客greek即主動告知,渠提供駭客(木馬)程式供網友購買,該程式能輕易通過市面上卡巴斯基等防毒程式,每份要價新台幣6千元(保固期間一個月);另不熟悉程式或電腦網路之網友,可代為破解,破解一組帳號密碼要價新台幣二萬,成功破解後,即相約網咖交易並親自講解,刑事警察局偵九隊發現本案嚴重影響網路安全,即著手查察。
該案經刑事警察局偵9隊幹員佯裝網友與其攀談,確認渠確實從事收費破解之工作,追查該相關帳號記錄後,循線追查出該名署名Greek之駭客,確有入侵多名網友電腦及帳號之紀錄,若非於網路上囂張張貼廣告留言,實難發現;再經本案被害人向本局提出妨害電腦使用告訴後,刑事警察局據以積極偵辦,經查該名駭客係任職於南部某上市公司工程師,為賺取不法利益,經網友之介紹向大陸駭客購買木馬程式,並以人頭帳戶為匯款帳戶供買主(購買木馬程式者)及委託人(委託破解)匯款;洪姓嫌犯於網路上找尋有需求之網友(如:懷疑另一半劈腿、分手之男女朋友或藉用得來之秘密進行勒贖恐嚇等),提供破解密碼服務,經查渠破解方式係將木馬程式以圖片檔、文件檔或螢幕保護程式檔包裹,使被害人執行後,電腦即遭駭客入侵,側錄所有電磁紀錄;委託人藉由該木馬亦可以輕易窺看對方之電子郵件、msn、Yahoo即時通等電磁記錄,由此賺取高額利益;經向臺灣高雄地方法院聲請搜索票,前往洪姓嫌犯藏匿地點,查扣電腦設備及週邊設備1組等相關不法贓證物全案依刑法妨害電腦使用、妨害秘密等罪嫌移送臺灣高雄地方法院檢察署偵辦。
網路安全議題在世界各國都相當重視,無不投入極大心血經營,我國刑法有妨害電腦使用一章加以規範,警方亦十分重視網路犯罪問題,對於網路犯罪掃蕩不遺餘力,網路使用者應有正確的使用觀念,凡未經授權入侵他人電腦、破解密碼、登入帳號、篡改資料皆會觸犯相關刑事法,千萬不要以身試法,勿因一時輕忽而造成終生遺憾得不償失;刑事警察局特別呼籲民眾勿以為在家中使用有線網路,不太可能會有人入侵盜用,大部分的電腦系統都可能被入侵,差別係由誰花多少時間、精力與金錢才能達成,犯罪者更利用網咖上網犯案,係不特定之人於固定之處所,令警方相當頭疼,警方呼籲一定要重視網路安全,使用網路,一定要設定加密金匙及相關保護措施,密碼也應該不定時更換,隨時注意自己網路使用情形,以確保本身資通安全。
『Information Security 資安人科技網 』 http://www.informationsecurity.com.tw
亞利安科技:
http://www.ciphertech.com.tw
刑事警察局偵9隊在網路巡邏中發現某一留言版上,張貼多篇駭客相關留言,其中有幾篇以『帳號密碼破解服務諮詢』為標題,稱其能遠端監控、破解msn、即時通、email及遠端監控管理教學等服務,該名自稱Greek駭客,留下greek1193_1184、hacker-999等帳號,供網友與渠聯絡;刑事警察局偵9隊幹員即佯裝求助之網友與其交談,駭客greek即主動告知,渠提供駭客(木馬)程式供網友購買,該程式能輕易通過市面上卡巴斯基等防毒程式,每份要價新台幣6千元(保固期間一個月);另不熟悉程式或電腦網路之網友,可代為破解,破解一組帳號密碼要價新台幣二萬,成功破解後,即相約網咖交易並親自講解,刑事警察局偵九隊發現本案嚴重影響網路安全,即著手查察。
該案經刑事警察局偵9隊幹員佯裝網友與其攀談,確認渠確實從事收費破解之工作,追查該相關帳號記錄後,循線追查出該名署名Greek之駭客,確有入侵多名網友電腦及帳號之紀錄,若非於網路上囂張張貼廣告留言,實難發現;再經本案被害人向本局提出妨害電腦使用告訴後,刑事警察局據以積極偵辦,經查該名駭客係任職於南部某上市公司工程師,為賺取不法利益,經網友之介紹向大陸駭客購買木馬程式,並以人頭帳戶為匯款帳戶供買主(購買木馬程式者)及委託人(委託破解)匯款;洪姓嫌犯於網路上找尋有需求之網友(如:懷疑另一半劈腿、分手之男女朋友或藉用得來之秘密進行勒贖恐嚇等),提供破解密碼服務,經查渠破解方式係將木馬程式以圖片檔、文件檔或螢幕保護程式檔包裹,使被害人執行後,電腦即遭駭客入侵,側錄所有電磁紀錄;委託人藉由該木馬亦可以輕易窺看對方之電子郵件、msn、Yahoo即時通等電磁記錄,由此賺取高額利益;經向臺灣高雄地方法院聲請搜索票,前往洪姓嫌犯藏匿地點,查扣電腦設備及週邊設備1組等相關不法贓證物全案依刑法妨害電腦使用、妨害秘密等罪嫌移送臺灣高雄地方法院檢察署偵辦。
網路安全議題在世界各國都相當重視,無不投入極大心血經營,我國刑法有妨害電腦使用一章加以規範,警方亦十分重視網路犯罪問題,對於網路犯罪掃蕩不遺餘力,網路使用者應有正確的使用觀念,凡未經授權入侵他人電腦、破解密碼、登入帳號、篡改資料皆會觸犯相關刑事法,千萬不要以身試法,勿因一時輕忽而造成終生遺憾得不償失;刑事警察局特別呼籲民眾勿以為在家中使用有線網路,不太可能會有人入侵盜用,大部分的電腦系統都可能被入侵,差別係由誰花多少時間、精力與金錢才能達成,犯罪者更利用網咖上網犯案,係不特定之人於固定之處所,令警方相當頭疼,警方呼籲一定要重視網路安全,使用網路,一定要設定加密金匙及相關保護措施,密碼也應該不定時更換,隨時注意自己網路使用情形,以確保本身資通安全。
『Information Security 資安人科技網 』 http://www.informationsecurity.com.tw
亞利安科技:
http://www.ciphertech.com.tw
[亞利安科技]VoIP有遭竊聽之虞 安全性頻遭質疑
VoIP有遭竊聽之虞 安全性頻遭質疑
日前漏洞研究人員Humberto Abdelnur、Radu State 與 Olivier Festor 表示,在Full Disclosure郵件列表上披露一個竊聽漏洞。研究人員表示,部分SIP堆疊引擎存在「嚴重的漏洞」,它使駭客能夠讓遠端電話接收電話。
Jericho Forum委員會成員Paul Simmonds表示,「我們認為VoIP不適宜在企業中應用。我們不能在企業網路上運行VoIP服 務,因為我們無法信賴網路上的所有設備。VoIP是不安全的。未來,人人都應當使用安全的協定。」並提到,安全軟體發展的守則應當得到遵守。向用戶推薦應當使用的協議不是我們的任務。用戶不應當在不安全的網路上傳輸資料。他建議,用戶在VoIP上午傳輸的資料應進行加密。
『Information Security 資安人科技網 』 http://www.informationsecurity.com.tw
亞利安科技:
http://www.ciphertech.com.tw
使用亞利安科技獨家引進之KoolSpan Layer2加密技術,讓您體會以最簡單的操作、管理方式,達到AES-256bit最高等級之加密技術,無論您是要使用在VoIP、Vedio Conference、remote access、WiFi、Intranet、Site-to-Site、Client-to-Site等應用,不需改變原有的系統架構及操作習慣。
日前漏洞研究人員Humberto Abdelnur、Radu State 與 Olivier Festor 表示,在Full Disclosure郵件列表上披露一個竊聽漏洞。研究人員表示,部分SIP堆疊引擎存在「嚴重的漏洞」,它使駭客能夠讓遠端電話接收電話。
Jericho Forum委員會成員Paul Simmonds表示,「我們認為VoIP不適宜在企業中應用。我們不能在企業網路上運行VoIP服 務,因為我們無法信賴網路上的所有設備。VoIP是不安全的。未來,人人都應當使用安全的協定。」並提到,安全軟體發展的守則應當得到遵守。向用戶推薦應當使用的協議不是我們的任務。用戶不應當在不安全的網路上傳輸資料。他建議,用戶在VoIP上午傳輸的資料應進行加密。
『Information Security 資安人科技網 』 http://www.informationsecurity.com.tw
亞利安科技:
http://www.ciphertech.com.tw
使用亞利安科技獨家引進之KoolSpan Layer2加密技術,讓您體會以最簡單的操作、管理方式,達到AES-256bit最高等級之加密技術,無論您是要使用在VoIP、Vedio Conference、remote access、WiFi、Intranet、Site-to-Site、Client-to-Site等應用,不需改變原有的系統架構及操作習慣。
[亞利安科技]奕瑞科技提供 Skype 病毒 Worm.Win32.Skipi.b 清除工具
【台北訊】針對日前利用 Skype 即時通訊軟體散佈的 Skype 病毒,國內知名資訊安全方案供應商奕瑞科技對於提供此病毒的說明與並提供清除工具。
此病毒利用已經於前陣子 MSN 傳訊軟體中大量流傳的手法,傳送一個訊息並提供一偽裝為圖片的惡意程式檔案,使用者在點擊此檔案之後,會在系統目錄C:\Windows\System32 資料夾下產生以下檔案以下檔案: wndrivs32.exe、mshtmldat32.exe 、winlgcvers.exe、sdrivew32.exe
mshtmldat32.exe , winlgcvers.exe, sdrivew32.exe 會以隱藏檔方式存在於系統中,在一般資料夾檢視的狀況下,將無法察覺這3個檔案。
wndrivs32.exe為主要的病毒檔案,會執行下列這些動作:
1. 寫入機碼於HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunOnce下,導致一般電腦開機登入後立即執行此病毒檔,若是暫時從工作管理員,停用此程序,不久後又會重新產生出來,也因此在正常模式中,無法順利刪除此檔案。而因為此機碼是為了支援安裝程式而執行。程式會變更系統組態資料,所以會造成使用者無法在重新設定系統期間使用該系統,因此Windows 檔案總管會在建立桌面和工作列之前等待 RunOnce 程式執行完畢,所以被感染的電腦將不能執行系統登錄編輯程式或像SKYPE、ProcessExplorer等應用程式的視窗(開啟視窗後就會立即被關閉)。
2. 病毒也會改寫系統中「hosts」這個檔案,將大部分防毒軟體的更新路徑,IP以亂數的方式來寫入至hosts這個檔案中,企圖造成防毒軟體無法正常更新的狀況。
3. 病毒會監控 mshtmldat32.exe , winlgcvers.exe, sdrivew32.exe 這3個檔案,若使用者在正常模式中,刪除這3個檔案,仍會再重新產生這三個檔案。
卡巴斯基實驗室已經於病毒爆發當日以最快速的反應時間將此病毒檔更新至防毒資料庫中,判定病毒名稱為:Worm.Win32.Skipi.b,使用者只要更新至最新狀態執行掃瞄即可偵測此病毒,若使用者使用卡巴斯基的免疫防護功能,也能夠在防毒資料庫尚未更新之前直接攔截此病毒的危險行為。( 下載 30 天免費卡巴斯基軟體 http://www.kaspersky.com.tw/KL-Downloads/ProductDownloads.htm ) 另外由於此病毒並沒有更改ftp://ftp.kaspersky.com的IP位置,所以也可以將卡巴斯基更新來源,設成此網址,並在安全模式中掃瞄,即可移除病毒檔,但機碼和hosts的檔案,仍須手動修復。
奕瑞科技也提供一手動移除此病毒的工具(清除工具請由此下載http://www.eraysecure.com.tw/attach/del-skipi_b.rar) 只要解壓縮後重新開機至安全模式中執行,即可刪除病毒,並還原機碼和hosts的檔案。
亞利安科技:
http://www.ciphertech.com.tw
此病毒利用已經於前陣子 MSN 傳訊軟體中大量流傳的手法,傳送一個訊息並提供一偽裝為圖片的惡意程式檔案,使用者在點擊此檔案之後,會在系統目錄C:\Windows\System32 資料夾下產生以下檔案以下檔案: wndrivs32.exe、mshtmldat32.exe 、winlgcvers.exe、sdrivew32.exe
mshtmldat32.exe , winlgcvers.exe, sdrivew32.exe 會以隱藏檔方式存在於系統中,在一般資料夾檢視的狀況下,將無法察覺這3個檔案。
wndrivs32.exe為主要的病毒檔案,會執行下列這些動作:
1. 寫入機碼於HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunOnce下,導致一般電腦開機登入後立即執行此病毒檔,若是暫時從工作管理員,停用此程序,不久後又會重新產生出來,也因此在正常模式中,無法順利刪除此檔案。而因為此機碼是為了支援安裝程式而執行。程式會變更系統組態資料,所以會造成使用者無法在重新設定系統期間使用該系統,因此Windows 檔案總管會在建立桌面和工作列之前等待 RunOnce 程式執行完畢,所以被感染的電腦將不能執行系統登錄編輯程式或像SKYPE、ProcessExplorer等應用程式的視窗(開啟視窗後就會立即被關閉)。
2. 病毒也會改寫系統中「hosts」這個檔案,將大部分防毒軟體的更新路徑,IP以亂數的方式來寫入至hosts這個檔案中,企圖造成防毒軟體無法正常更新的狀況。
3. 病毒會監控 mshtmldat32.exe , winlgcvers.exe, sdrivew32.exe 這3個檔案,若使用者在正常模式中,刪除這3個檔案,仍會再重新產生這三個檔案。
卡巴斯基實驗室已經於病毒爆發當日以最快速的反應時間將此病毒檔更新至防毒資料庫中,判定病毒名稱為:Worm.Win32.Skipi.b,使用者只要更新至最新狀態執行掃瞄即可偵測此病毒,若使用者使用卡巴斯基的免疫防護功能,也能夠在防毒資料庫尚未更新之前直接攔截此病毒的危險行為。( 下載 30 天免費卡巴斯基軟體 http://www.kaspersky.com.tw/KL-Downloads/ProductDownloads.htm ) 另外由於此病毒並沒有更改ftp://ftp.kaspersky.com的IP位置,所以也可以將卡巴斯基更新來源,設成此網址,並在安全模式中掃瞄,即可移除病毒檔,但機碼和hosts的檔案,仍須手動修復。
奕瑞科技也提供一手動移除此病毒的工具(清除工具請由此下載http://www.eraysecure.com.tw/attach/del-skipi_b.rar) 只要解壓縮後重新開機至安全模式中執行,即可刪除病毒,並還原機碼和hosts的檔案。
亞利安科技:
http://www.ciphertech.com.tw
[亞利安科技]東森購物疑個資外洩 凸顯資安控管問題
東森購物疑個資外洩 凸顯資安控管問題
記者馬培治/台北報導 2007/09/13
詐騙集團冒充東森購物詐財事件,受害者懷疑東森洩露個人資料,企業資料安全再成話題。
通路橫跨電視、型錄與網路的東森購物,近日遭詐騙集團冒用名義,向會員以傳統ATM操作方式詐財,根據媒體報導,由於受騙民眾反應詐騙集團能無誤說出其訂購商品之明細、購買時間等,才相信對方確為東森客服導致損失,並因而懷疑東森內部之客戶資料可能已經外洩。
媒體報導東森購物會員資料疑似外洩的事件,可能並非個案。
不願具名的東森員工表示,最近兩個星期,每天都會接到數通會員投訴類似事件的電話,並指出詐騙集團不但取得會員姓名與聯絡電話,且能說出所訂購的商品與消費時間,部分員工還懷疑公司系統可能遭駭客入侵。
客戶資料被詐騙集團取得的原因尚不明朗,不過東森購物發言人李傳偉以開會為由,並未接受CNET訪問,該公司公關人員亦表示不便代為回應,僅說已在進行內部調查,確認原因。
不過根據東森員工透露其內部系統設計與管理流程,的確可能存在資料外洩的漏洞。
東森員工透露,不論消費者有無主動打電話要求查詢資料或進行訂購服務,客服人員只要擁有客戶的身份證字號,便能夠進入系統中看到客戶的個人資料,從姓名、聯絡方式,乃至過去的所有消費記錄,全都一目瞭然。
該名員工亦表示,東森雖禁止客服人員抄寫會員資料,但若要處理投訴或特別案例,員工仍是得用紙筆抄下會員資料、填寫制式表單,再轉送主管處理,「雖然事後會銷毀,但也難保有人不會私下抄寫資料。」
此外,雖然東森禁止客服人員使用如MSN Messenger等即時通訊軟體,但由於客服仍有查詢資料需要,並未限制員工使用網際網路,也可能成為企業資料外洩的後門。
專家:擁個資企業應加倍重視安全
資安專家則提醒,不論原因為何,擁有大筆客戶資料的業者,對於資料安全的控管,必須加倍重視,「類似東森這種擁有數百萬會員的企業,其資料安全控管標準應比照金融業辦理,」CA(組合國際)技術顧問林宏嘉說。
林宏嘉說,對於擁有大量機密資料的企業來說,分層授權是IT系統必備的功能,「不能讓一個人的手上有太多資料,否則任一個客服人員的權限都與資料庫人員相同,風險太高,」他說。
此外,他亦建議此類企業必須要有完善的監控系統,且應要能留下記錄以供日後追查。他舉例道,客服人員無可避免地會接觸到客戶的個人資料,除了權限控管,也應要把員工使用系統的存取記錄留下以供稽核,「至少未來出事了能夠回推有哪些人看過這些外流的資料,」林宏嘉說。
「營運系統本身的設計亦很重要,」他表示,從資料能否被複製,到Web-based系統本身有無管制不合法連線,乃至員工使用時的登入認證機制等,都需要層層把關,此外,企業有以軟體或直接封死的方式,禁止如隨身碟等外接設備的使用,都應該留意。
林宏嘉認為,單純以工作流程或行為規範的方式控管資料外洩,「只能防君子,卻防不了小人,」他認為,導入更嚴謹的控管方案,對於握有大量客戶資料的組織或企業來說,十分重要,「重要性不亞於銀行業,不能只用一般的控管標準,」他說。
CNET.com 原文連結
http://www.taiwan.cnet.com/enterprise/topic/0,2000062938,20123687,00.htm
亞利安科技:
http://www.ciphertech.com.tw
記者馬培治/台北報導 2007/09/13
詐騙集團冒充東森購物詐財事件,受害者懷疑東森洩露個人資料,企業資料安全再成話題。
通路橫跨電視、型錄與網路的東森購物,近日遭詐騙集團冒用名義,向會員以傳統ATM操作方式詐財,根據媒體報導,由於受騙民眾反應詐騙集團能無誤說出其訂購商品之明細、購買時間等,才相信對方確為東森客服導致損失,並因而懷疑東森內部之客戶資料可能已經外洩。
媒體報導東森購物會員資料疑似外洩的事件,可能並非個案。
不願具名的東森員工表示,最近兩個星期,每天都會接到數通會員投訴類似事件的電話,並指出詐騙集團不但取得會員姓名與聯絡電話,且能說出所訂購的商品與消費時間,部分員工還懷疑公司系統可能遭駭客入侵。
客戶資料被詐騙集團取得的原因尚不明朗,不過東森購物發言人李傳偉以開會為由,並未接受CNET訪問,該公司公關人員亦表示不便代為回應,僅說已在進行內部調查,確認原因。
不過根據東森員工透露其內部系統設計與管理流程,的確可能存在資料外洩的漏洞。
東森員工透露,不論消費者有無主動打電話要求查詢資料或進行訂購服務,客服人員只要擁有客戶的身份證字號,便能夠進入系統中看到客戶的個人資料,從姓名、聯絡方式,乃至過去的所有消費記錄,全都一目瞭然。
該名員工亦表示,東森雖禁止客服人員抄寫會員資料,但若要處理投訴或特別案例,員工仍是得用紙筆抄下會員資料、填寫制式表單,再轉送主管處理,「雖然事後會銷毀,但也難保有人不會私下抄寫資料。」
此外,雖然東森禁止客服人員使用如MSN Messenger等即時通訊軟體,但由於客服仍有查詢資料需要,並未限制員工使用網際網路,也可能成為企業資料外洩的後門。
專家:擁個資企業應加倍重視安全
資安專家則提醒,不論原因為何,擁有大筆客戶資料的業者,對於資料安全的控管,必須加倍重視,「類似東森這種擁有數百萬會員的企業,其資料安全控管標準應比照金融業辦理,」CA(組合國際)技術顧問林宏嘉說。
林宏嘉說,對於擁有大量機密資料的企業來說,分層授權是IT系統必備的功能,「不能讓一個人的手上有太多資料,否則任一個客服人員的權限都與資料庫人員相同,風險太高,」他說。
此外,他亦建議此類企業必須要有完善的監控系統,且應要能留下記錄以供日後追查。他舉例道,客服人員無可避免地會接觸到客戶的個人資料,除了權限控管,也應要把員工使用系統的存取記錄留下以供稽核,「至少未來出事了能夠回推有哪些人看過這些外流的資料,」林宏嘉說。
「營運系統本身的設計亦很重要,」他表示,從資料能否被複製,到Web-based系統本身有無管制不合法連線,乃至員工使用時的登入認證機制等,都需要層層把關,此外,企業有以軟體或直接封死的方式,禁止如隨身碟等外接設備的使用,都應該留意。
林宏嘉認為,單純以工作流程或行為規範的方式控管資料外洩,「只能防君子,卻防不了小人,」他認為,導入更嚴謹的控管方案,對於握有大量客戶資料的組織或企業來說,十分重要,「重要性不亞於銀行業,不能只用一般的控管標準,」他說。
CNET.com 原文連結
http://www.taiwan.cnet.com/enterprise/topic/0,2000062938,20123687,00.htm
亞利安科技:
http://www.ciphertech.com.tw
[亞利安科技]Monster求職網:數百萬用戶資料可能遭竊
2007-9-13 求職網站Monster Worldwide的執行長Sal Iannuzzi 29日承認,本月稍早自該網站資料庫外洩的求職者通訊資料筆數,可能遠超過先前估計的130萬筆,實際數字「可能在數百萬筆之譜」。
網站資料庫安全已日益嚴重,所造成的商業信譽及財務損失遠超過企業主原本能夠想像的程度,如何提高自身資料保護方式,嚴然成為資料安全最重要的議題,請參考Protegrity資料加密安控,以及iMPERVA網站及資料庫安全技術。
求職網站Monster Worldwide的執行長Sal Iannuzzi 29日承認,本月稍早自該網站資料庫外洩的求職者通訊資料筆數,可能遠超過先前估計的130萬筆,實際數字「可能在數百萬筆之譜」。
Monster在調查最近這起資料失竊案時,發現自家網站先前也曾經遭駭客入侵。
Iannuzzi接受路透社訪問時說:「我們的假設是,失竊的資料筆數比原先估計更多,可能在數百萬筆之譜。」
他說,為了安全起見,Monster.com的使用者都應該有心理準備,假定自己的通訊資料已經外流。
該公司先前曾表示,使用者私密資料失竊,並止是孤立的個案,而這起非法入侵活動的影響範圍難以精確評估。
Monster正加強監控網站流量、增派安全監控人手,並告知使用者如何保護自己的隱私。
Iannuzzi說:「我希望坦白表明:我們不保障能有萬全的解決之道。我但願能保證Monster網站不會被駭客入侵。但我無法做這種承諾。沒有任一家網際網路公司能拍胸脯做這種保證。」
他說,目前為止,Monster尚未發現資料竊賊染指財務資料的跡象。
此外,他指出,大約兩、三百名求職者已基於這次的安全問題,而取消帳號,但與此同時,仍有新的使用者開立帳號。
Monster上個月已宣布,未來18個月內,將投資8,000萬美元到1億美元改良技術。Iannuzzi說,其中「一大部分的錢」將用來解決安全問題。
Monster股價29日在那斯達克市場上漲1.24美元,漲富達3.8%,以每股34.15美元收盤。盤後交易的股價變動不大。(唐慧文/譯)
閱讀原文,請至http://taiwan.cnet.com/enterprise/topic/0,2000062938,20122906,00.htm
亞利安科技:http://www.ciphertech.com.tw
網站資料庫安全已日益嚴重,所造成的商業信譽及財務損失遠超過企業主原本能夠想像的程度,如何提高自身資料保護方式,嚴然成為資料安全最重要的議題,請參考Protegrity資料加密安控,以及iMPERVA網站及資料庫安全技術。
求職網站Monster Worldwide的執行長Sal Iannuzzi 29日承認,本月稍早自該網站資料庫外洩的求職者通訊資料筆數,可能遠超過先前估計的130萬筆,實際數字「可能在數百萬筆之譜」。
Monster在調查最近這起資料失竊案時,發現自家網站先前也曾經遭駭客入侵。
Iannuzzi接受路透社訪問時說:「我們的假設是,失竊的資料筆數比原先估計更多,可能在數百萬筆之譜。」
他說,為了安全起見,Monster.com的使用者都應該有心理準備,假定自己的通訊資料已經外流。
該公司先前曾表示,使用者私密資料失竊,並止是孤立的個案,而這起非法入侵活動的影響範圍難以精確評估。
Monster正加強監控網站流量、增派安全監控人手,並告知使用者如何保護自己的隱私。
Iannuzzi說:「我希望坦白表明:我們不保障能有萬全的解決之道。我但願能保證Monster網站不會被駭客入侵。但我無法做這種承諾。沒有任一家網際網路公司能拍胸脯做這種保證。」
他說,目前為止,Monster尚未發現資料竊賊染指財務資料的跡象。
此外,他指出,大約兩、三百名求職者已基於這次的安全問題,而取消帳號,但與此同時,仍有新的使用者開立帳號。
Monster上個月已宣布,未來18個月內,將投資8,000萬美元到1億美元改良技術。Iannuzzi說,其中「一大部分的錢」將用來解決安全問題。
Monster股價29日在那斯達克市場上漲1.24美元,漲富達3.8%,以每股34.15美元收盤。盤後交易的股價變動不大。(唐慧文/譯)
閱讀原文,請至http://taiwan.cnet.com/enterprise/topic/0,2000062938,20122906,00.htm
亞利安科技:http://www.ciphertech.com.tw
[亞利安科技]木馬竄改DNS設定 誘用戶上色情網站,使用Tripwire保護您所有資訊設備的安全
2007-9-14 DNS問題又添一樁。MSN首頁遭轉址事件才平息,資安廠商隨即發現一隻會盜改DNS伺服器設定的木馬,會讓搜尋龍頭Google變身色情網站。
上週傳出因DNS(網域名稱系統)設定錯誤,導致台灣區首頁遭轉址的微軟MSN事件才剛平息,趨勢科技又警告用戶注意一個會竄改電腦DNS伺服器設定的木馬程式家族TROJ_DNSCHANG,感染後電腦將會向惡意DNS伺服器發送需求,使用者便可能被導引到錯誤的網站,「使用者將會被導引向釣魚和色情網站,騙取個人資訊或網站流量,」趨勢科技技術顧問簡勝財說。
DNS問題又添一樁。MSN首頁遭轉址事件才平息,資安廠商隨即發現一隻會盜改DNS伺服器設定的木馬,會讓搜尋龍頭Google變身色情網站。
上週傳出因DNS(網域名稱系統)設定錯誤,導致台灣區首頁遭轉址的微軟MSN事件才剛平息,趨勢科技又警告用戶注意一個會竄改電腦DNS伺服器設定的木馬程式家族TROJ_DNSCHANG,感染後電腦將會向惡意DNS伺服器發送需求,使用者便可能被導引到錯誤的網站,「使用者將會被導引向釣魚和色情網站,騙取個人資訊或網站流量,」趨勢科技技術顧問簡勝財說。
DNS為一將網域名稱與IP位置扣連的服務,由於IP位址為四組三位數字,不利使用者記憶,且IP位址未必永遠相同,因此一般電腦需要透過ISP業者或網域名稱維運機構設置的DNS伺服器,來取得與網域名稱扣連的IP位址,再藉由IP位址連上正確網頁。
簡勝財說,一般使用者多半不需要自行設定DNS伺服器,而是透過自動尋找功能使用ISP提供的DNS服務。但木馬在更動過電腦的DNS伺服器設定後,電腦將不再連向ISP的DNS,反而會向駭客維運的惡意DNS伺服器要資料,導致使用者上網時可能在網址正確的情況下,仍被導向惡意網頁。
簡勝財說,該木馬家族在今年初被發現後,至今已發現有115台惡意DNS伺服器在進行惡意轉址行為,並發展出數十隻不同變種,行為各自不同,與初發現時的單純轉址已不盡相同。
他舉例道,新發現的變種在一般情況下,都會正確處理使用者的連線需求,亦即導引到正確的網站,但若使用者鍵錯網址,例如把www.google.com中的www錯打成wwe,一般情況下因為網頁並不存在,瀏覽器應會顯示錯誤訊息,但惡意DNS伺服器卻會把這些打錯的網頁轉引到色情網站上。
此外,某些變種則不論有無打錯網址,只要使用者欲連向某些特定網址,都會被導引到設計好的釣魚網站,意圖騙取使用者的個人資料。
簡勝財表示,一般使用者多半無從判斷DNS是否正常,且綁架DNS伺服器也不易被察覺,他建議使用者一定要留意作業系統與資安軟體有無做好更新、避免感染類似惡意程式。至於企業用戶,他則建議採用閘道端URL過濾等產品以減低風險。
MSN遭轉址亦肇因DNS
而遭轉址的MSN台灣首頁,雖亦肇因於DNS問題,但卻是因未做好變更管理導致,與上述DNS木馬因資安漏動而鑽進使用者電腦不同。
專家表示,微軟MSN遭轉址事件反應出組態設定與變更管理的重要性,「即便是更改DNS這麼簡單的事,都可能產生龐大影響,」惠普軟體事業處資深顧問王秉慎說。
他表示,組態設定與變更管理的規範必須確實落實到企業的營運流程中,而且不可因為事件本身單純便加以輕忽,「即便是修改DNS,都得需要遵循流程規定,並有專責人士比對,以免憾事再次發生,」他說。
王秉慎亦建議企業在某些人為介入容易出錯的流程,採用自動化工具,減低因打錯字、操作失當等因素造成錯誤發生的可能性。
微軟線上服務副總經理林燕表示,DNS設定錯誤在事發當日(9/6)便已修復,但由於ISP業者DNS系統及快取並非即時更新,導致直到隔日(9/7)使用者的抱怨才停止。
閱讀原文,請至http://taiwan.cnet.com/enterprise/topic/0,2000062938,20123483,00.htm
亞利安科技:http://www.ciphertech.com.tw
上週傳出因DNS(網域名稱系統)設定錯誤,導致台灣區首頁遭轉址的微軟MSN事件才剛平息,趨勢科技又警告用戶注意一個會竄改電腦DNS伺服器設定的木馬程式家族TROJ_DNSCHANG,感染後電腦將會向惡意DNS伺服器發送需求,使用者便可能被導引到錯誤的網站,「使用者將會被導引向釣魚和色情網站,騙取個人資訊或網站流量,」趨勢科技技術顧問簡勝財說。
DNS問題又添一樁。MSN首頁遭轉址事件才平息,資安廠商隨即發現一隻會盜改DNS伺服器設定的木馬,會讓搜尋龍頭Google變身色情網站。
上週傳出因DNS(網域名稱系統)設定錯誤,導致台灣區首頁遭轉址的微軟MSN事件才剛平息,趨勢科技又警告用戶注意一個會竄改電腦DNS伺服器設定的木馬程式家族TROJ_DNSCHANG,感染後電腦將會向惡意DNS伺服器發送需求,使用者便可能被導引到錯誤的網站,「使用者將會被導引向釣魚和色情網站,騙取個人資訊或網站流量,」趨勢科技技術顧問簡勝財說。
DNS為一將網域名稱與IP位置扣連的服務,由於IP位址為四組三位數字,不利使用者記憶,且IP位址未必永遠相同,因此一般電腦需要透過ISP業者或網域名稱維運機構設置的DNS伺服器,來取得與網域名稱扣連的IP位址,再藉由IP位址連上正確網頁。
簡勝財說,一般使用者多半不需要自行設定DNS伺服器,而是透過自動尋找功能使用ISP提供的DNS服務。但木馬在更動過電腦的DNS伺服器設定後,電腦將不再連向ISP的DNS,反而會向駭客維運的惡意DNS伺服器要資料,導致使用者上網時可能在網址正確的情況下,仍被導向惡意網頁。
簡勝財說,該木馬家族在今年初被發現後,至今已發現有115台惡意DNS伺服器在進行惡意轉址行為,並發展出數十隻不同變種,行為各自不同,與初發現時的單純轉址已不盡相同。
他舉例道,新發現的變種在一般情況下,都會正確處理使用者的連線需求,亦即導引到正確的網站,但若使用者鍵錯網址,例如把www.google.com中的www錯打成wwe,一般情況下因為網頁並不存在,瀏覽器應會顯示錯誤訊息,但惡意DNS伺服器卻會把這些打錯的網頁轉引到色情網站上。
此外,某些變種則不論有無打錯網址,只要使用者欲連向某些特定網址,都會被導引到設計好的釣魚網站,意圖騙取使用者的個人資料。
簡勝財表示,一般使用者多半無從判斷DNS是否正常,且綁架DNS伺服器也不易被察覺,他建議使用者一定要留意作業系統與資安軟體有無做好更新、避免感染類似惡意程式。至於企業用戶,他則建議採用閘道端URL過濾等產品以減低風險。
MSN遭轉址亦肇因DNS
而遭轉址的MSN台灣首頁,雖亦肇因於DNS問題,但卻是因未做好變更管理導致,與上述DNS木馬因資安漏動而鑽進使用者電腦不同。
專家表示,微軟MSN遭轉址事件反應出組態設定與變更管理的重要性,「即便是更改DNS這麼簡單的事,都可能產生龐大影響,」惠普軟體事業處資深顧問王秉慎說。
他表示,組態設定與變更管理的規範必須確實落實到企業的營運流程中,而且不可因為事件本身單純便加以輕忽,「即便是修改DNS,都得需要遵循流程規定,並有專責人士比對,以免憾事再次發生,」他說。
王秉慎亦建議企業在某些人為介入容易出錯的流程,採用自動化工具,減低因打錯字、操作失當等因素造成錯誤發生的可能性。
微軟線上服務副總經理林燕表示,DNS設定錯誤在事發當日(9/6)便已修復,但由於ISP業者DNS系統及快取並非即時更新,導致直到隔日(9/7)使用者的抱怨才停止。
閱讀原文,請至http://taiwan.cnet.com/enterprise/topic/0,2000062938,20123483,00.htm
亞利安科技:http://www.ciphertech.com.tw
[亞利安科技]服務業下一功課:客戶隱私資料保護
2007-9-14 對企業而言,隱私權的議題愈來愈被關注。妥善的資料保護管理及嚴謹的監督機制已逐漸成為企業的差異化策略。過去,企業僅僅從資料安全、網路存取及資料備份的角度,來審視個人隱私的問題,但在目前全球化環境中,網路無國界,企業必須能展現社會責任,將對人權的尊重做為企業使命,並推展到內部機制管理流程,這是這個世紀及未來十年,企業發展核心及永續生存的不二法門。
近年來資訊安全觀念,已從單純防範網路入侵行為,進步至如何真正防範資料被竊取或濫用, 網路資源對企業而言是工具,但是商業資料卻是經營的命脈,企業主也逐漸發現,保護命脈的重要性,遠超過企業工具的管理議題,資料安全才是真正資訊安全管理的中心議題。如何保護您的不同資料管理,請與亞利安科技連繫。
隱私保護與每個人息息相關,特別是近年來,大眾為了生活便利,常在各處留下個人資料,如:申辦信用卡及行動電話、上網拍賣或購物、參與抽獎等活動,使個人資料嚴重曝露而處於弱勢;歷年來,更多次傳出電信業、金融業內部員工發生有意或無意的疏失,造成客戶資料洩漏。
尤其隨著網際網路的發達,有心人士很容易透過管道取得個人資料,並利用統計方法進行比對、組合,形成完整的背景資料,清楚掌握一個人的過往、現在及未來,使個人隱私遭受破壞,人身自由被干預,生命安全受到威脅。
舉例來說,今(2007)年3月底,美國發生史上規模最大的資料竊案,知名零售商TJX集團遭電腦駭客入侵,至少有4570萬筆顧客消費資料外洩,許多受害者的簽帳卡在全球各地被盜刷,損害難以估計。在國內,則有竊車集團不法流出個人車籍資料,受害者被跟監或遭到勒索;而猖獗的詐騙電話及手機簡訊,也造成許多民眾上當受騙,特別是對詐騙手法疏於防範的老人家們。
事實上,個人隱私的範疇相當廣泛,除了個人的身體、居所等實體空間與書信往來等個人思想空間,另外在資訊社會裡,各類資訊系統或機制也都牽涉到個人隱私權的問題,如:銀行自動提款機的隱藏式錄影、國道超速拍照、重要場所的監視攝影。雖然眾多機制的最初立意著眼於發生事故時可調閱及檢索影片,但被攝入的民眾,其隱私都遭到曝露,有時甚至會引發糾紛;此外,被錄製的個人影像若與身份證明等其它資料結合,個人幾乎沒有任何隱私可言。
企業主不可不知
對企業而言,隱私權的議題愈來愈被關注。妥善的資料保護管理及嚴謹的監督機制已逐漸成為企業的差異化策略。過去,企業僅僅從資料安全、網路存取及資料備份的角度,來審視個人隱私的問題,但在目前全球化環境中,網路無國界,企業必須能展現社會責任,將對人權的尊重做為企業使命,並推展到內部機制管理流程,這是這個世紀及未來十年,企業發展核心及永續生存的不二法門。
根據我們的研究,各產業的企業,最容易遭竊的機密資料共有五個種類,包括:顧客資料、財務資料、企業核心資料、員工資料及資訊科技(IT)安全資料。由於每項資料皆有其重要價值,企業應該依照本身核心業務性質及產業特性,按資料機密性訂定優先順序,進行管理。企業愈能正確的掌握策略及投注資源,資料損害的機會愈小。
我們從多個產業中挑選出在資料保護上表現優越的領導公司,進行分析後歸納出五項具備競爭力的策略:一、定期監督與衡量資料保護的管控流程;二、提供員工必要的訓練;三、適時修正IT安全控管及流程;四、適時修正資料保護的政策標準及流程;五、督促員工盡力維護與遵守資料保護的政策及流程。
從實際執行面來看,建議企業可立即採取的行動為: 一、衡量已發生的資料損失;二、辨識出企業組織內最關鍵的敏感資料為何;三、不要忽略保護關鍵的IT安全與稽核資料;四、減低人為疏失與錯誤;五、將相關的IT控管予以盤點,特別是有關桌上型個人電腦、手提電腦、行動裝置、電子郵件、網頁、網際網路、應用程式與資料庫;六、至少每週定期監督與報導資料保護控管程序的有效性。
必須強調的是,資料保護的成功執行,最關鍵要素並非是機制,而是人,即員工本身。企業主在規劃訓練課程時,一定要將道德教育納入,因為員工僅僅知道要執行那些步驟並不足夠,而要在員工心中樹立道德尺度,以避免道德感低落的員工,鑽取法律漏洞。換言之,人性弱點無法完全移除,但可透過道德教育,提升道德認知,再搭配科技稽核技術來輔助。世界級企業的存在是尊重人權,以人為本,這才是實質的客戶導向,而非口號。
當每個人對隱私保護有了基本意識及主張,企業亦有相同認知後,政府機關更應該為個人資料保護創造良好的環境。台灣於1995年通過「電腦處理個人資料保護法」,但當時規範的主體有行業類別限制,僅限於徵信業、醫院、學校、電信業、金融業、證券業、保險業及大眾傳播業等八行業,其餘行業及個人不受規範,且保護客體只限於經電腦處理之個人資料。有鑑於規範不足,法務部及行政院於2005年將其修正為「個人資料保護法」,擴大適用主體與保護之客體。
他山之石
在國外,國際組織及歐美先進國家皆針對個人資料保護做出決議或立法,足為國內借鏡。歐盟於1995年即通過個人資料保護指令,1998年正式實施後,要求歐盟15個國家都要立法管理個人資料。歐盟資料保權指令的嚴謹程度高,任何第三國,即非歐盟國家,若未符合指令標準,往來對象可以拒絕提供資料,這對於政府往來及商業行為造成相當大之壓力,影響深遠。許多國家也設置了專責的個人資料保護委員會(Personal Data Protection Commission),除了監督個人資料保護法或指令的執行,亦會主動與相關機關結盟,對公家或私人機關進行稽核,並接受各界的查詢及投訴。
目前國內大眾對個人資料遭洩漏一事,經常缺乏警覺及主張,許多人直到遭受侵害時,才驚覺必須採取行動,不過也僅僅是追究加害者,向其請求損害賠償。對於個人資料從何處流出,經由何人或何單位流出,卻總是被忽視,加上查證困難,真正得以向洩漏單位求償的案件,更是屈指可數。
我們認為,國內個人資料保護法的落實仍存有很大的改善空間,嚴謹度也必須再加強。建議我國政府未來可效法歐盟採取下列措施:
針對修正之「電腦處理個人資料保護法」定期進行實施成效與遵循情形評估調查,邀請政府與學術研究機構、民間企業、律師與消費者團體參與,供部調查結果並作為修法與執行細節參考之依據。
加強宣導資料主體對於本身隱私權的認知、主張與權力
提倡並表揚業者與業者同業間主動進行自律所採取的措施
鼓勵IT廠商開發促進資料保存與隱私權保護之技術與解決方案
成立專責之個人資料保護主管機關,並建立正式通報、申訴管道與管理機制
積極與歐洲先進國家之個人資料保護委員會進行交流與案例分享
最後,呼籲應從個人本身、企業與政府共同著手營造以誠信為核心價值之社會體系,強調以人為本,進而促使個人隱私保護與尊重的意識抬頭。
作者為賽門鐵克大中華區資訊科技治理與風險管理資深首席顧問。曾在 KPMG 擔任相關顧問諮詢服務職務達八年的時間,具有多年IT 風險控管方面的相關經驗。
閱讀原文,請至http://taiwan.cnet.com/enterprise/topic/0,2000062938,20117870,00.htm
http://www.ciphertech.com.tw
近年來資訊安全觀念,已從單純防範網路入侵行為,進步至如何真正防範資料被竊取或濫用, 網路資源對企業而言是工具,但是商業資料卻是經營的命脈,企業主也逐漸發現,保護命脈的重要性,遠超過企業工具的管理議題,資料安全才是真正資訊安全管理的中心議題。如何保護您的不同資料管理,請與亞利安科技連繫。
隱私保護與每個人息息相關,特別是近年來,大眾為了生活便利,常在各處留下個人資料,如:申辦信用卡及行動電話、上網拍賣或購物、參與抽獎等活動,使個人資料嚴重曝露而處於弱勢;歷年來,更多次傳出電信業、金融業內部員工發生有意或無意的疏失,造成客戶資料洩漏。
尤其隨著網際網路的發達,有心人士很容易透過管道取得個人資料,並利用統計方法進行比對、組合,形成完整的背景資料,清楚掌握一個人的過往、現在及未來,使個人隱私遭受破壞,人身自由被干預,生命安全受到威脅。
舉例來說,今(2007)年3月底,美國發生史上規模最大的資料竊案,知名零售商TJX集團遭電腦駭客入侵,至少有4570萬筆顧客消費資料外洩,許多受害者的簽帳卡在全球各地被盜刷,損害難以估計。在國內,則有竊車集團不法流出個人車籍資料,受害者被跟監或遭到勒索;而猖獗的詐騙電話及手機簡訊,也造成許多民眾上當受騙,特別是對詐騙手法疏於防範的老人家們。
事實上,個人隱私的範疇相當廣泛,除了個人的身體、居所等實體空間與書信往來等個人思想空間,另外在資訊社會裡,各類資訊系統或機制也都牽涉到個人隱私權的問題,如:銀行自動提款機的隱藏式錄影、國道超速拍照、重要場所的監視攝影。雖然眾多機制的最初立意著眼於發生事故時可調閱及檢索影片,但被攝入的民眾,其隱私都遭到曝露,有時甚至會引發糾紛;此外,被錄製的個人影像若與身份證明等其它資料結合,個人幾乎沒有任何隱私可言。
企業主不可不知
對企業而言,隱私權的議題愈來愈被關注。妥善的資料保護管理及嚴謹的監督機制已逐漸成為企業的差異化策略。過去,企業僅僅從資料安全、網路存取及資料備份的角度,來審視個人隱私的問題,但在目前全球化環境中,網路無國界,企業必須能展現社會責任,將對人權的尊重做為企業使命,並推展到內部機制管理流程,這是這個世紀及未來十年,企業發展核心及永續生存的不二法門。
根據我們的研究,各產業的企業,最容易遭竊的機密資料共有五個種類,包括:顧客資料、財務資料、企業核心資料、員工資料及資訊科技(IT)安全資料。由於每項資料皆有其重要價值,企業應該依照本身核心業務性質及產業特性,按資料機密性訂定優先順序,進行管理。企業愈能正確的掌握策略及投注資源,資料損害的機會愈小。
我們從多個產業中挑選出在資料保護上表現優越的領導公司,進行分析後歸納出五項具備競爭力的策略:一、定期監督與衡量資料保護的管控流程;二、提供員工必要的訓練;三、適時修正IT安全控管及流程;四、適時修正資料保護的政策標準及流程;五、督促員工盡力維護與遵守資料保護的政策及流程。
從實際執行面來看,建議企業可立即採取的行動為: 一、衡量已發生的資料損失;二、辨識出企業組織內最關鍵的敏感資料為何;三、不要忽略保護關鍵的IT安全與稽核資料;四、減低人為疏失與錯誤;五、將相關的IT控管予以盤點,特別是有關桌上型個人電腦、手提電腦、行動裝置、電子郵件、網頁、網際網路、應用程式與資料庫;六、至少每週定期監督與報導資料保護控管程序的有效性。
必須強調的是,資料保護的成功執行,最關鍵要素並非是機制,而是人,即員工本身。企業主在規劃訓練課程時,一定要將道德教育納入,因為員工僅僅知道要執行那些步驟並不足夠,而要在員工心中樹立道德尺度,以避免道德感低落的員工,鑽取法律漏洞。換言之,人性弱點無法完全移除,但可透過道德教育,提升道德認知,再搭配科技稽核技術來輔助。世界級企業的存在是尊重人權,以人為本,這才是實質的客戶導向,而非口號。
當每個人對隱私保護有了基本意識及主張,企業亦有相同認知後,政府機關更應該為個人資料保護創造良好的環境。台灣於1995年通過「電腦處理個人資料保護法」,但當時規範的主體有行業類別限制,僅限於徵信業、醫院、學校、電信業、金融業、證券業、保險業及大眾傳播業等八行業,其餘行業及個人不受規範,且保護客體只限於經電腦處理之個人資料。有鑑於規範不足,法務部及行政院於2005年將其修正為「個人資料保護法」,擴大適用主體與保護之客體。
他山之石
在國外,國際組織及歐美先進國家皆針對個人資料保護做出決議或立法,足為國內借鏡。歐盟於1995年即通過個人資料保護指令,1998年正式實施後,要求歐盟15個國家都要立法管理個人資料。歐盟資料保權指令的嚴謹程度高,任何第三國,即非歐盟國家,若未符合指令標準,往來對象可以拒絕提供資料,這對於政府往來及商業行為造成相當大之壓力,影響深遠。許多國家也設置了專責的個人資料保護委員會(Personal Data Protection Commission),除了監督個人資料保護法或指令的執行,亦會主動與相關機關結盟,對公家或私人機關進行稽核,並接受各界的查詢及投訴。
目前國內大眾對個人資料遭洩漏一事,經常缺乏警覺及主張,許多人直到遭受侵害時,才驚覺必須採取行動,不過也僅僅是追究加害者,向其請求損害賠償。對於個人資料從何處流出,經由何人或何單位流出,卻總是被忽視,加上查證困難,真正得以向洩漏單位求償的案件,更是屈指可數。
我們認為,國內個人資料保護法的落實仍存有很大的改善空間,嚴謹度也必須再加強。建議我國政府未來可效法歐盟採取下列措施:
針對修正之「電腦處理個人資料保護法」定期進行實施成效與遵循情形評估調查,邀請政府與學術研究機構、民間企業、律師與消費者團體參與,供部調查結果並作為修法與執行細節參考之依據。
加強宣導資料主體對於本身隱私權的認知、主張與權力
提倡並表揚業者與業者同業間主動進行自律所採取的措施
鼓勵IT廠商開發促進資料保存與隱私權保護之技術與解決方案
成立專責之個人資料保護主管機關,並建立正式通報、申訴管道與管理機制
積極與歐洲先進國家之個人資料保護委員會進行交流與案例分享
最後,呼籲應從個人本身、企業與政府共同著手營造以誠信為核心價值之社會體系,強調以人為本,進而促使個人隱私保護與尊重的意識抬頭。
作者為賽門鐵克大中華區資訊科技治理與風險管理資深首席顧問。曾在 KPMG 擔任相關顧問諮詢服務職務達八年的時間,具有多年IT 風險控管方面的相關經驗。
閱讀原文,請至http://taiwan.cnet.com/enterprise/topic/0,2000062938,20117870,00.htm
http://www.ciphertech.com.tw
訂閱:
文章 (Atom)