”分享” 在 Facebook 上分享！

發表者：Justin Foster

趨勢科技趨勢科技 Deep Security 及OfficeScan Intrusion Defense Firewall軟體架構工程師

隨著新的應用程式開始以雲端模型為開發基礎，開發人員也開始希望透過平台服務化 (Platform-as-a-Service，簡稱 PaaS) 來簡化應用程式的開發與部署。畢竟，要照顧應用程式底層的作業系統、資料儲存、訊息佇列以及應用程式容器，是一件複雜而耗費成本的工作。PaaS 的承諾，就是要提供一個應用程式基礎架構，由供應商負責照顧底層的堆疊。

聽起來的確不錯，不過，您得先仔細思考量一下您將放棄的安全控管能力：

可見度：在一個 PaaS 環境中，使用者只負責部署應用程式與資料。從終端使用者的角度來看，這並沒有一種標準的方法可以了解修補程式版本、收集系統/伺服器記錄檔，或者執行漏洞評估 (遠端測試通常是不允許的)。您如何知道自己的基礎是否穩固？

可攜性/互通性：PaaS 與 IaaS 不同之處在於，IaaS 上的虛擬機器通常可以在不同服務供應商之間互通，但 PaaS 卻會用到客製化 API、特殊應用程式容器，有時甚至是程式語言延伸功能。您是否能夠在必要時移轉您的應用程式？

安全性：大部分的 PaaS 方案都無法讓客戶部署網路式或主機式 WAF、DAM、IPS、FIM、AV 或 DLP 等方案。某些平台服務廠商會提供一些內建的安全服務，但終端使用者卻無法掌握，也無從選擇。您是否真的能讓應用程式「暴露在外」？

這些問題並非無解，但需要由平台供應商來做。

Chris Hoff 是一位知名的雲端運算熱愛者，他目前正與一個工作小組合作，共同開發一套通用的安全 API 來提供漏洞掃瞄、稽核、組態管理、修補程式管理等等所需的資訊。如果 PaaS 供應商採納了這套名為 A6 的 API (涵蓋了稽核、斷定、評估、確保)，將可提供迫切需要的手動與自動化驗證方法。

趨勢科技榮獲 Everything Channel 的 CRN 線上媒體評選為

推動「雲端安全的核心領導廠商」

【2010 年 2 月 8 日台北訊】趨勢科技榮獲美國 Everything Channel 的 CRN 線上媒體評選為推動 2010 年雲端安全趨勢的 20 家最酷的雲端安全廠商之一。

Everything Channel 的 CRN 指出：「趨勢科技依然是 SaaS 領域的先驅，其 Smart Protection Network™ 主動式雲端截毒技術是今日雲端運算現象的推手之一。該公司最近發表了一套新的 Web Gateway Security 虛擬化網頁閘道安全產品，堂堂邁入虛擬化領域，此外，在進階伺服器安全方面也推出了 Deep Security 7.0，為伺服器的作業系統、網路與應用程式等層面提供全方位的保護，涵蓋實體與虛擬化平台。」

趨勢科技執行長陳怡樺（Eva Chen）表示：「隨著雲端社群不斷成長，趨勢科技也將重心放在雲端安全的創新與成長，讓企業安心地邁向雲端，確保資料安全無虞。我們很高興能成為這群備受尊崇的廠商之一。非常感謝提名我們的評審委員，也感謝 Everything Channel 的 CRN 頒給我們這項榮耀。」

這份名單是由解決方案供應商根據：技術、通路影響力、執行力與曝光率，以及業務與銷售能力等條件提名而來。最終名單則由 Everything Channel 編輯群所組成的評審團決定。

相關優勝者名單請參考 www.Channelweb.com，並且在 1 月 25 日的一期 CRN 有專題報導。

”分享” 在 Facebook 上分享！

情人節就要來了，就如往常一般，垃圾郵件發送者必然會大肆宣揚他們的惡意活動。進入這個所謂“愛的月份” 才剛開始，趨勢科技就已經看到至少兩種垃圾郵件，利人們湧入推銷禮品的網站來為心愛的人挑選禮物的這個特殊日子。

 (點小圖可放大)

圖片文字內容說明：

寄件人：情人節­_調查

主旨：維多利亞的秘密情人節精選

情人節禮物，

免費的面額$1,000

維多利亞的秘密

禮品卡

需參與活動才能取得，請參閱詳細內容

點擊此處

取得你的維多利亞的秘密禮品卡

本廣告者並非上述品牌之附屬機構

本廣告為第三者廣告，由名單持有者直接寄送。如果你不希望再收到此廣告商所傳送之郵件，請寄送通知至【廣告商地址】或點擊此處移除電子郵件。

如果你不希望再收到任何來自名單管理者所傳送的訊息，你需要到名單管理者處進行取消訂閱的步驟，以將名單移除。

你是因為訂閱credithealthchechup.com的新聞郵件服務而收到本訊息。如果不希望再收到從credithealthchechup.com所來的新聞郵件服務，點擊停止寄送。如果是以一般信件通知，請附原先登記的寄送地址，將通知寄至【credithealthchechup.com的收件地址】

   農曆年長假應該是休息與放鬆的時候，計畫出外旅遊的人上網購買機票，既省事又不必離開舒適的家。然而，便利卻不一定保證安全。趨勢科技提醒為避免成為這類詐騙案的受害者，首先在進行線上交易時務必提高警覺，尤其是在購買如機票這類高價商品時。使用者在線上訂購機票前，最好先透過電話與航空公司連繫，確認航空公司網站的真偽。不過，事實上，潛在的危機從你搜尋旅遊景點時就開始了，趨勢科技提供了以下幾則與旅遊相關的線上詐欺真實事件，有意出國度假正在找景點、飯店、比價、下單買機票的網友，不可不未雨綢繆。

義大利4500家旅遊相關網站遭木馬入侵

線上訂票之前，多數人會利用網站收尋相關旅遊網站，尋找合適的景點。以下這個案例，可給準備採取相同行動的你一個事前的預警。前年暑假旅遊旺季展開之前，4500家義大利旅遊網站遭入侵，使得登錄這些網站的用戶電腦資料包含身份證和銀行帳號密碼被駭客盜竊。

寮國航空公司網站被發現暗藏惡意程式

2007年11 月時，為東南亞旅遊的旅客提供線上訂位服務的寮國航空公司網站被發現暗藏惡意程式。根據趨勢科技事件應變小組 (TMIRT) 主管 Ryan Flores 的分析，這個遭入侵的網站會將使用者轉向暗藏 JS_AGENT.WLN、JS_PSYME.ACK 及 TROJ_DLOADER.BZQ 等惡意程式的網站。寮國航空網站遭入侵的案例說明了即使是官方網站也不見得百分之百安全。消費者與業者均應採取防範措施，才能確保安全。

Google 線上廣告：「便宜線上機票這裡買 」原來是駭客刊登的廣告

據 iAfrica 一份報告指出，網路釣客曾向 Google 購買廣告，謊稱供應便宜線上機票，等待不知情的使用者上門購買。當然，當使用者按下廣告之後，會出現一個表單要求使用者輸入他們的詳細個人資料，包括信用卡資訊在內。可想而知，使用者並不會佔到任何便宜，反而會被大敲一筆，造成他們的財務損失。隨後會出現一個錯誤訊息告訴使用者交易未成功，並指示使用者如何透過郵局匯票付款。

  擴大招募200位科技菁英 開放雲端研發新星計劃廣納人才

【2010 年 2月4日台北訊】全球網路安全領導廠商趨勢科技今日宣布子公司騰雲計算 (TCloud Computing) 正式成立，由趨勢科技全球研發長暨亞太區執行副總裁張偉欽擔任董事長，前趨勢科技全球產品管理副總經理郭登翔擔任執行長。這家由為趨勢科技百分之百持股的子公司將提供建置公有雲 (Public Cloud) 與私有雲 (Private Cloud) 所需的技術開發、系統整合、技術支援、教育訓練、與專業顧問等服務。初期業務範圍將著眼於亞洲電信業者及分布於台灣、大陸、韓國、日本、與東南亞的亞洲區企業用戶，預計兩年內總營收將上看新台幣一億二千萬元。人才招募部分，騰雲計算所需的雲端技術研發人員，將由母公司趨勢科技統籌招募與辦理教育訓練，為此，趨勢科技今年在台灣預計召募200位研發人才，有志投入雲端的技術菁英可得把握。

趨勢科技董事長張明正針對騰雲計算的成立初衷分享道：「雲端科技所帶來的產業革命與效益已開始為歐美諸國架構起下一世代的國家資訊競爭優勢，但反觀包含台灣在內的亞洲地區，在雲端科技上的發展相對落後，若繼續視若無睹，將無法擠入下一輪的資訊國力競技場。因此希望藉由騰雲計算的成立，能夠打破歐美公司在雲端技術的壟斷，借助全球開放原始碼社群的力量，加上自主的研發資源，創造領先的開放性雲端平台，普及雲端科技應用、分享資訊與知識，造福亞洲社會與人群。」

針對騰雲計算的公司定位，騰雲計算執行長郭登翔表示：「騰雲計算將專注扮演雲端科技推動者 (Cloud Technology Enabler ) 的角色， 無論是基礎架構服務化 (IaaS, Infrastructure-as-a-services)、平台服務化 (PaaS, Platform-as-a-services) 、或是軟體服務化 (SaaS, Software-as-a-services)，騰雲計算都會針對目標客戶，提供相對應的技術支援、教育訓練、與專業顧問服務。而未來在事業開發、業務推廣上，騰雲計算則採用以策略客戶為中心的扁平式責任制，並佈署於主要客戶所在的各亞洲中心城市。」

  ”分享” 在 Facebook 上分享！

本部落格(雲端運算與網路安全趨勢）曾介紹過兩則跟微網誌人氣暴增有關的社交工程 ( Social Engineering ) 手法：

•         加入Twittertrain保證 Twitter跟隨者暴增?! 當心帳號被冒用發垃圾訊息
•         Twitter人氣製造機，一天可暴增千名跟隨者？別上鉤！

最近又出現一則聲稱不花一毛錢，就可以讓你擁有上頓的粉絲，前提是指要加入會員，你會因此心動嗎？看看以下這則報導，再做決定。

Twitterbuilding.com—Stealing Your Passwords One Tweet at a Time

趨勢科技 TrendLabs 資深分析師 Robert McArdle

我在今天稍早時看到下列這則推文：

這個網站真讚！！！—http://TwitterBuilding.com
API約2小時前發送

按照該連結，我進入下面這個網頁：

           圖片文字由上往下

擴充你的Twitter跟隨者－不花一毛免費加入，現在就登入！

VIP會員可以得到成噸的每天在網上的跟隨者。

成為VIP會員

Twitter使用者名稱                                                  VIP會員：5

Twitter密碼                                                                        一般會員：6567

登入                                                                                     會員總計：6572

我同意規則                                                                         聯絡我們

牽涉到名人死訊（celebrity deaths）（無論真或假）的新聞習慣性地會在網際網路上如野火般漫延，以煽情的片斷訊息來引誘閱讀者的注意。也不難瞭解為何惡作劇份子和網路犯罪份子會利用人們喜好八卦的特性。請參考 最毒名人錄 。

所以當Johnny Depp強尼．戴普因車禍身亡的謠言產生時，沒過多久就遭網路犯罪份子利用透過一般的黑帽搜尋引擎最佳化（blackhat search engine optimization，簡稱 Black_Hat SEO）伎倆來散播惡意軟體。

圖1、“戴普死訊”之惡意搜尋結果

多數的惡作劇騙局是利用垃圾訊息散佈，這次的詐騙則涉及數個惡意網站的製作，由被以不法手段操縱的搜尋結果重導進入，感染好奇讀者的系統，而非閱讀到更多相關Depp戴普死訊傳言的內容。

圖2、夾帶有宣稱是強尼戴普車禍影片惡意聯結的部落格

發表者：趨勢科技資料外洩防護小組資深協理 Todd Thiemann

當「Google 攻擊」(一般稱為 Aurora、Google 攻擊或 Hydraq) 和 Gmail 帳號遭到入侵的事件首次爆發時，某些觀察家認為這些新聞有可能將衝擊雲端運算。然而隨著事件的後續進展，大家發現原來只是單純的端點漏洞問題。此處並非要淡化這項攻擊的重要性，只是希望釐清這次的事件並非特殊的雲端安全問題，而是典型的端點安全問題。

趨勢科技已發表了一些實用而且可採取行動的資訊，還有關於 Google 攻擊的細節。我在趨勢科技 TrendLabs 威脅研究團隊的同事已經在其部落格中公佈了許多有關這項漏洞的詳細內容。Microsoft針對這項公開的漏洞以及其他七項私下通報的漏洞發佈了一份緊急修補程式。

如果您是一家企業，並且擔心自己是否正處於危險當中，建議您可以考慮看看趨勢科技提供的 Threat Management Services (TMS) 威脅管理服務。

不論您是否要採用趨勢科技的企業資訊安全產品，TMS 評估服務都能消除您心中的疑惑。如果您是一般消費者，並且擔心家中的個人電腦是否遭到感染，您可以免費下載完整功能的防毒軟體 PC-cillin 2010 試用版，請到這裡費下載，來檢查您的系統。

數分鐘前，我注意到一位朋友在她的Facebook臉書個人檔案上張貼了以下的狀態：

Facebook臉書狀態

我直覺事有蹊蹺，所以決定一探究竟。

就你的Facebook臉書來說是沒有什麼好擔憂的，這看來並非是真正的惡意app應用程式，事實上在Yahoo雅虎的回答中討論串中，說明“Un named App”(無名應用程式)”就和你Facebook臉書個人檔案頁面中的訊息顯示按鍵沒有什麼兩樣。

但是要小心的是隨著這個傳聞而來的真正風險。罪犯們接收到Facebook臉書使用者的關切（或許謠言也就是這些罪犯散發的？），也開始毒化Black_Hat SEO Google的搜尋結果。

Google搜尋結果

對許多孩子來說，線上遊戲就和日常生活中的手機和臉書 Facebook 一樣尋常。不幸的是，線上遊戲的不具名特色所吸引的不只是天真的孩子。你要如何保護孩子們不受網路霸凌bully 和身份盜竊者的傷害？

首先，確保你的孩子們知道如何保護個人隱私資料。他們在網路上的暱名不應反應出他們的真實姓名，所在位置，年齡，性別，或學校的名稱。他們也應該避免在交談時談及這些個人資料細節；也永遠不該將密碼或帳戶資料提供給任何人，包括他們的好友在內。

第二，良好的運動風範原則也適用於線上。霸凌的行為不該被容忍，無論你的孩子是受害者或是加害者都一樣。而因為資料一旦被公開在網際網路上就很難被消除，你不會願意在論壇或遊戲中看到你孩子的不良行徑或毫無運動家精神的行為。有些家長很早便開始建立線上聲譽，因為將近半數的美國雇主會利用Facebook等社群網站，過濾謀職者的背景資...45%的受訪雇主表示，會利用社群網站查核應徵者的背景，去年調查時的比率只有22%。