1ad00975827fc4383081048fe9e6a78d 前些日子F-Secure的首席研究長Mikko Hypponen應翔偉資安科技之邀,來台進行為期兩天的資安論壇。在會議的空檔編輯很高興訪問到這位傳奇性人物,並提出一些疑問請Mikko Hypponen回答,他本人也對目前資安防護的未來趨勢提出一些看法。

比特幣的機會與威脅

從來沒有一種貨幣能夠像比特幣(Bitcoin)一樣,在一年內達到7600%的漲幅(現在匯率掉了一些,但依然驚人),當初率先投入的礦工們早已享受一夜致富的爽快感。比特幣是一種虛擬貨幣,具有去中心化,脫離一般金融體制控制的特性,但也是這種跳脫一般人為或政府監控的特性,讓比特幣成為有心者攻擊的對象。

比特幣的原始設計就是以強大的數學演算法,確保貨幣產生或是交易過程萬無一失,引進的加密系統也相當複雜;但雞蛋再密也有縫,「人」這種極度不可靠的生物便是最大的漏洞。雖然比特幣的加密系統複雜,但是程式產生的wallet.dat檔為電子錢包的私鑰,有心人士只需在使用者的電腦裡安裝遙控軟體,竊取此檔之後就極有可能存取電子錢包。同時,比特幣的交易匿名性也讓竊取之後的追蹤變得無計可施(比特幣的交易紀錄公開在網路上,但卻沒有辦法知道誰做了此筆交易)。

Mikko Hypponen以CryptoLocker這個惡意木馬軟體作為例子,此軟體會加密Windows作業系統中特定的檔案,要求使用者支付一定的金額後才可獲得解密金鑰,其中包含以比特幣支付的形式,可見比特幣的高度匿名性已被有心人士注意且利用。

Mikko Hypponen提出一點可供追查的方法,由於目前直接接受比特幣支付的商家還算少數,有心人士須將其轉換為國際上通用的貨幣才可以使用,因此可要求最終將比特幣換為真實貨幣的交易紀錄。

▲左為F-Secure首席研究長Mikko Hypponen,右為翔偉資安科技營運長杜世鵬。

穿戴裝置的安全問題

受到行動裝置興起的影響,手機平板的裝置與人們生活越趨密切,更為個人化的智慧型穿戴裝置也即將席捲市場,像是智慧型手表,智慧型眼鏡等。Mikko Hypponen也預測未來有心人士可能會攻擊這個部分,但因目前市場基數還不夠大,問題尚未發生。

未來發生的時間點主要還是以經濟效益為主,如果市場上對於此類的智慧型穿戴裝置的需求急速增加,那麼發生的時間點就有可能提早來臨。有心人的犯罪方式有可能是讓此類裝置的功能發生問題不易使用,或是直接側錄使用者的隱私並上傳,再勒索求支付贖金。

逐水草而居的攻擊者

Mikko Hypponen談到,現今的Windows作業系統在微軟的努力之下,可遠端遙控或入侵的漏洞已減少許多,因此有心人士將攻擊目標轉為安全性相對來說較不完善的地方,諸如Adobe Flash、.pdf檔或是Oracle Java,特別是網頁瀏覽器的外掛部分。

注意App的權限

針對目前的智慧型手機或是平板,與會中特別提到,因為手機這種裝置相對電腦來說,容易儲存更為隱私的資料,因此在談論到行動安全這一塊,我們反而要聚焦在如何防範App們將我們的資料洩漏出去。

大部分的App都是免費的,但這些開發者們也需要獲利來源,他們的獲利方式就是收集使用者的資料,將這些資料再轉賣給行銷公司或是其他的人。於是我們在使用免費App前要有個認知,免費的背後你可能要付出更大的代價,Mikko Hypponen並說了一句很重要的話:「There’s no free lunch!」。

Mikko Hypponen還舉了個Android App為例子,「Brightest Flashlight」僅是個手電筒軟體,讓手機的LED補光燈發亮而已,但是他卻要求GPS定位的權限,收集用戶資訊的意圖相當明顯。

▲Mikko Hypponen帶來了在台灣難得一見的比特幣實體硬幣(中間下方)。

雙手奉上資料-雲端空間

最近因為中國許多服務供應商的雲端空間大戰,使得此議題浮上檯面:「使用者放上去的資料安全嗎?」

當然,這些公司再三保證使用者上傳的資料絕對安全,有些甚至具有加密功能,確保只有資料的擁有者可以存取。這些當然保證都沒有問題,問題是這些資料並不直接為雲端空間供應商所存取,而是經由類似資料探勘、掃描的方式分析,再根據這些資料直接推送廣告,或是將其販賣給第三方廠商。

另外一點,當刪除這些檔案時,你真的確定他真的從伺服器裡消失了嗎?再者,一堆資料集中在伺服器上,若是業者的安全措施不完善,相當容易成為有心人士的目標。Mikko Hypponen確信這些雲端服務提供使用者相當便利的服務,但重要的資料還是必須由自己所了解並確信其安全的方式儲存。

DNS攻擊頻傳

最後小編問到了前陣子影響許多安全軟體供應商的DNS劫持事件,Mikko Hypponen則是以自身實際參與的DNSChanger事件作為例子。我們一般上網觀看網頁,網頁旁會有一部分的廣告,網站生計大多仰賴此廣告收入,而越受歡迎的網站,其廣告版面價值越高。DNSChanger可將這些廣告內容替換掉,指向此木馬開發者的廣告伺服器,開發者就可以此獲利。

在過去較難定義這類行為犯罪,後來在Mikko Hypponen協助的調查之中,查出約有7人涉案逮捕,希望藉由實際上的判刑或是付出代價,嚇阻其他的類似行為。

 

延伸閱讀:

2013 年8 大免費防毒軟體評比,防護特色、測試成績報你知

Facebook 隱私保護、防毒、防詐自保11招

5大防毒防駭重要須知,新手必學靠自己、老手複習做好人

使用 Facebook 留言

發表回應

謹慎發言,尊重彼此。按此展開留言規則