新年是重新開始的時節，對你和電腦皆如是。對新一年的新計劃，像戒掉吃冰淇淋的習慣，或是一週上兩次健身房等，用意皆好但很難長時間保持下去。下面這些新計劃不會縮減你的腰圍或讓你的體格健壯，但這些計劃很容易維持，不用花很多時間，可以讓你家中的電腦在新的一年中運用起來更安全更有效。

防衛個人電腦最重要的步驟是安裝最新的防毒和防間諜軟體，並隨時加以更新，以防禦網路犯罪犯子，病毒及任何在其中的各式威脅，提供詳盡周全的保護。

操作系統的更新，像網路瀏覽器和媒體應用程式—就是那些你一直找不到時間來下載更新的項目？它們是對攻擊的最佳防禦，所以在駭客發現之前，花個幾分鐘來修補程式的漏洞吧。.

備份檔案永遠是個好主意。現在是在硬碟當機，竊盜或任何實質的災害等慘痛經驗提醒你之前，養成定期備份檔案的好時機。

如果你還有點空餘時間，何不幫你的電腦提早做個春季掃除。如果你的檔案四處分散，或許你自己都會感到有點“失落”，你的電腦也會因為檔案片斷分散的處理負擔而變得行動遲緩。花個幾分鐘把不用的程式移除，刪掉不需要的暫存檔及舊郵件中的附加檔，然後重新整理硬碟。

當你完成更新系統，備份檔案，清理電腦後，就準備好過一個安全無憂的新年啦！

＠瞭解與試用NSSLABS 最新防毒軟體測試第一名的防毒軟體的PC-cillin 2010 即刻 免費試用 

年終超值回饋NT 500元

＠相關報導：旗艦級防毒軟體+雲端運算防毒技術， 網路安全一指搞定

＠欲第一手取得中英文版最新網路安全資安訊息，請找崔嘻一起噗浪

布蘭妮墨菲，好奇心，與你

作者：趨勢科技 兒童青少年上網安全網站 主筆Lynette T. Owens

隨著2009年即將到盡頭，我們很多人都被迎新送舊的準備工作弄得忙碌不堪。孩子們對即將到來的長假感到興奮不已（而父母則否！），購物採買，烹煮，清洗，請客，我們有些人還需要剷雪，這些工作佔據了我們的注意了也耗盡了我們的精力。不過三不五時總是會有事發生來暫時打斷一切，讓我們暫停下來看看剛剛發生了什麼。

本週又看到另一個名人的悲劇刊登在新聞媒體中。享年32歲的女星Brittany Murphy布蘭妮．墨菲之死，提醒我們生命總會無預警的轉折，讓我們為一個年輕的生命，特別是在年終之際離開世界，而感到悲傷。

身為在年輕觀眾間非常受歡迎的年輕電影明星，布蘭妮可能是你孩子搜尋引擎中的首選主題。不管你知不知道她是誰，或是否覺得她很有才華，很多人都在網際網路間尋找關於她的資料及導致她死亡的原因。

由於將想法公佈給媒體大眾幾乎是隨時可行，事件的發生與相關事件之完整資訊發佈的時間空檔已被拉大。好奇的大眾用理論，控訴，預言及事實填補此空檔，也使得所有資訊極難受區隔與分辨。這些大眾，你的孩子，甚至你自己都想知道，到底發生了什麼事？老虎伍茲（Tiger Woods）的私生活，一個選情熱烈的總統大選，一場重要的體育活動，無論主題為何，我們都需要知道。

我們也需要表達出我們的想法。當搜尋布蘭妮墨菲之死的資料時，搜尋結果出現的是刊登在新聞網站，部落格意見，社交網路個人檔案上致哀的訊息，推特Twitter的推文，及YouTube的影片致意上的相關故事。

在這一團混亂中，我們沒在看也沒在找的是任何會傷害我們的東西。但犯罪份子往往隱匿其中以利用我們的好奇心。

趨勢科技 研究人員本週在Google以布蘭妮的故事所進行的搜尋中，發現了號稱可提供相關她死亡資料的詐騙網站的連結。（參考文章：搜尋布蘭妮墨菲Brittany Murphy 驟逝新聞，竟被置入假防毒軟體）如果你在沒有察覺的狀況下點擊這些連結，就會看到一則跳窗訊息告知你的電腦已遭感染，需要立刻進行掃瞄（見圖1）。

圖1、警告遭感染之惡意跳窗訊息範例

作者：Det Caraig （趨勢科技 技術通訊）

誘騙使用者下載假防毒軟體是行之有年至今仍然有效的網路犯罪招術。因此假防毒軟體的數量持續增加，到今天仍持續誘騙不知情的受害者。事實上，聯邦調查局（Federal Bureau of Investigation，簡稱FBI）最近就對假防毒軟體所形成的威脅提出警告，表示該威脅已對受害者造成了超過美金1億5千萬元的損失（US$150 million in losses to victims）。

圖1、最早的假防毒軟體利用恐嚇軟體scareware tactics 手法

圖2、今天他們使用SEO搜尋引擎最佳化 Black_Hat SEO手法

散發假防毒軟體

幾天前 Twitter推特被宣稱是伊朗的駭客入侵 ，本文包含趨勢科技資深安全分析師Rik Ferguson接受英國的第四頻道訪談的內容。

影音專訪內容在這裡：

http://link.brightcove.com/services/player/bcpid1184614595?bctid=58082549001

Twitter (not) hacked by Iranian Cyber Army 

作者：Rik Ferguson 趨勢科技資深分析師

___________________________________________________________________________

被駭網站的橫幅

大約在格林威治時間12月18 日上午6點時，Twitter的網域名伺服服務（Domain Name Service，簡稱DNS）淪為挾持型攻擊的受害者，發動攻擊的團體自稱是“伊朗網路大軍（Iranian Cyber Army）”（我懷疑他們自己有沒看出名字跟CIA^＊*的異同處？）。Twitter網站受影響達1小時之久。 

Raimund Genes 趨勢科技 CTO         (趨勢專家看雲端運算專欄每週一出刊）

文章來源：http://cloudsecurity.trendmicro.com/paas-and-the-dark-side/

公共雲在降低計算成本和增加適應性這些優勢方面有著極大的潛能，但是這個領域的陰暗勢力也一直準備好要占雲端運算發佈模組如“平臺及服務”（PaaS）的便宜。Arbor Networks 最近監測到一個Google AppEngine Paas應用軟體被一個僵屍網路指揮控制（CnC）（這裏即那則新聞）。Google迅速卸下這個軟體，但這次事件還是引發一些有趣的話題。

在惡意軟體領域，這種事情不是什麼新話題，之前也已經被稱為“惡意軟體即服務” “Malware as a Service”.。正如合法的公司因為以上提到的好處進入雲端運算領域，網路罪犯也將他們的一些惡意軟體移入“共用的基礎設施”站點以使它們更難被減弱、封鎖或卸載。稍微有些新意的是以Google應用軟體（如Google Reader, Blogger,等等）為宿主惡意軟體的增加。

引起我注意的是那些壞人很快就學會了利用PaaS基礎設施為惡意軟體CnC服務。不需要豐富想像力就可以預見壞人們從利用PaaS控制他們的惡意軟體繼而轉向新目標IaaS應用軟體。公共雲（SaaS/PaaS/IaaS）在成本方面有一個很能說服人的價值定位，但“盒子之外的”IaaS只提供了最基本的安全保護（週邊防火牆，負載均衡，等等），進入公共雲的應用軟體需要來自主機的像Trend Micro Deep Security 7.0這樣的更高級別的防護。這些對策可以減少壞人攻擊IaaS主機或接管其作為僵屍網路樞杻的可能性。

如果一個居心不良的人購買了IaaS的主機，我認為服務供應商應該監測並當作對Service Provider Service Level Agreement (SLA)的違背阻止這一行為。不過，服務供應商怎麼能評估他們的IaaS/PaaS被怎樣使用而又不違反應用軟體的保密條約？如果他們不監測其用途，他們可能要驗證客戶的身份？還有要是服務是用被盜的個人資訊（PII）和信用卡號碼購買的呢？

惡意軟體威脅是老問題，但是雲端運算又提出了新挑戰。

 更多本系列文章，請<按這裡>  

*雲端趨勢* 當資料在雲裏被攻破，誰來收拾殘局？
*雲端趨勢* 雲端運算標準，夢想vs. 現實
* 雲端趨勢 * 你相信他們說的“相信我們”嗎？談私人資料在公共雲端的安全 * 雲端趨勢* DDoS 和雲端運算：沮喪，但卻是真的

＠欲第一手取得中英文版最新網路安全資安訊息，請找崔嘻一起噗浪

作者：趨勢科技資深威脅研究人員David Sancho

 社交網站是設計用來做為人類互動的網站。它們讓使用者互相認識，與其他使用者保持聯絡，分享經驗，感情與意見。這些網站皆是依據一個共同的基礎而設立的，即根據互信的元素來建構聯絡網路。使用者接著為朋友們製作內容，並取得朋友們製作的內容。內容涵括了如節慶家庭照片，趣味的聯結，最新的新聞，意見，評論及現況的狀態更新。

當其中一到多個聯絡人破壞的這個互信的小圈子時就產生了潛在的不詭和惡意活動。當這樣的情形發生時會產生很多不良的結果，如

   你的聯絡人帳戶遭入侵被受其他人使用。

   你將某個你以為認識的人加入網路中，而事實上你並不認識這個人。

   你將某個你以為可以相信的人加入網路中，而事實上這個人並不能被相信。

   未使用足夠的隱私管控造成你的資料和你無意與他們分享的人做分享。

本系列文章將概括是使用社交網路最常見的攻擊，並建議降低風險的方法。報告的目的不在阻止你使用，而是讓你能更安全地去運用社交網路。

社交網路蘊含了豐富的個人資料。人們在其中分享了他們的生日，電子郵件帳號，住家地址，家庭關係與照片。這些資料本身或許沒有什麼價值，但會清楚地提供關於一個人的一切，讓攻擊者取得進行如信用卡詐欺或身份竊盜等攻擊所需要的資訊。任何以真人為受害者對象的攻擊皆會因此類額外資訊的取得而更加有效。

除此之外，地下論壇也販賣個人資料。你的資料會被收藏儲存在網路中某個陰暗的角落，等著罪犯們付費收購。罪犯可利用這些資料來取得出生證明、護照及其它文件來捏造出真實身份。有些國家這部份的管控比其他國家鬆散，但整體而言，身份盜竊已是常態發生的事件了。

犯罪份子們感到興趣的資料包括電子郵件帳號位址，實體地址（住家或通訊地址），生日和有關組織：

l          電子郵件帳號會被輸入至資料庫中，以便日後運用在垃圾郵件的散發。從社交網路處取得的電子郵件帳號會被更進一步的分類，如人種，年齡，國別或其它可做為篩選標準的資料以增進攻擊的衝擊度，使售出價格比一般電子郵件帳號更高。電子郵件帳號對魚叉型釣魚攻擊尤其有價值，常被用來做為發送郵件的寄件者。魚叉型釣魚攻擊是一種目標集中的釣魚攻擊，因此使用“好友”名單會增加惡意郵件的可信度從而為罪犯提高成功機率。

l          實體地址通常會在社交網站上分享，這些同樣也會被累積到郵寄資料庫中，以與上述相似的手法做為廣告用途使用。

l          TrendLabs研究人員曾報導，個人資料的售價範圍從每筆銀行帳戶憑證叫價美金50元到每百萬筆電子郵件帳號只要美金8元不等。 後者這個金額有可能更高，只要這些郵件是來自社交網站的最新郵件帳號[1] 。

今天就是聖誕夜了，崔嘻在這裡先跟大家說一聲聖誕快樂。說不定你的信箱裡也塞滿了來自各方好友的祝福，但在開啟前得先注意其中是否有詐，免得今天的平安夜反而讓電腦不平安。

 有一封來自電子賀卡網站 123greeting.com 的聖誕節賀卡，標題是” You have received a Christmas Greeting Card” ，並附上一個名為 Christmas Card.zip 的附件，根據123greetings.com 的說法 該公司提供的賀卡寄送服務，並不會以附件方式提供下載。趨勢科技提醒收件者得提高警覺，因為幾乎每年都有以聖誕賀卡當病毒散播媒介的案例。下載檔案前最好用防毒軟體掃瞄。

該信件內容說：「如果想知道誰寄卡片給你，請打開附件( To see your custom card and who sent it, please check the attachment.)以下是信件樣本：   

趨勢科技發現一旦使用者開啟附件的壓縮檔，並不會看見所謂的祝福賀卡，反而是一個.exe 的執行檔。目前趨勢科技正在分析當中，極有可能是病毒。

駭客總是用自己的方式哀悼驟逝的名人，2009年從麥可．傑克森到艾奎諾夫人 ，皆被假防毒軟體大做文章。現在又多了前幾日猝死的布蘭妮墨菲Brittany Murphy新聞被駭客利用來促銷假防毒軟體FAKEAV。 當好奇的網友在 Google 輸入關鍵字，比如“brittany murphy’s death”時可能會不小心點選到早已埋伏在搜尋結果排行前幾名的惡意頁面，內含假防毒軟體的惡意網頁會跳出警告視窗說發現病毒，必須即刻掃瞄。這個聲稱免費的掃瞄會在使用者按下OK 同意鍵後，顯示目前掃瞄到的病毒情形，最後還是警告你 "電腦仍有餘毒殘留"，還裝鎮定的建議為了個人資料不外流、檔案不毀損，請使用者儘速下載包藏禍心的” System Security”。

 圖片來源：http://z.about.com/d/movies/1/0/I/2/O/happyfeetprem5.jpg

目前趨勢科技發現在搜尋結果中有兩筆被發現會引導入含有假防毒軟體的頁面:

• http://{BLOCKED}erracing.net/vwb.php?sell=brittany%20murphy%20death
• http://{BLOCKED}x.net/icd.php?go=brittany%20murphy%20death

這種手法稱為blackhat search engine optimization (Black_Hat SEO)攻擊,目前趨勢科技已經在上述頁面偵測到名為 HTML_FAKEAV.WAF 的病毒。一旦使用者點選連結會出現以下的中毒警告訊息：

趨勢科技財務長Mahendra Negi 在Computerworld 的這篇專訪A CFO's view on how to get your IT security budget approved ，以財務長的角度，給IT經理 5個確保預算通過的竅門。

IT預算極有可能在未來緊縮， IT 主管要如何從你的財務主管這邊爭取更多的預算呢？以下是Mahednra在該文的建議：

1.     同理心： IT經理基本上是要將IT預算賣給財物長，所以如果IT經理能夠將IT預算針對財務長的憂慮來做解決，那麼該筆預算就比較有可能過關。

2.     安全即為風險：惡意軟體會被財務長視為是IT經理的責任，但如果IT經理能對財務長提出報告或評估，說明惡意軟體對公司造成的風險，那麼你就會得到財務長的注意。

3.     建立信任：不要讓財務長會覺得IT經理只不過是想要搶先使用最新技術，如果財務長覺得IT經理懂得企業的優先順序，那麼在預算的討論上就會容易許多。財務長自然是反對風險，所以如果你將預算的問題調整成：“我們有一套共同同意的安全政策而這邊是我們有差異之處，你要我們冒這個風險…”，那麼或許財務長會坐下來，跟你一起把風險評估完成，而之後或許會願意花錢來應付這個風險。

4.     一物換一物：所以如果你要在安全上增加預算，那麼就在別的東西上省錢。一個好的例子就是將省錢的部份放在基礎架構上，如此有來有往會讓財務長感覺比較好。

5.          安心保證：只要你能展示投資的回本，財務長就不會覺得IT經理推銷了商品就帶著錢跑路了，IT經理不但進行了後續的處理和帶回了更多預算的回本。

本文參考來源：http://www.computerworld.com.au/article/324759/cfo_view_how_get_your_it_security_budget_approved

＠欲第一手取得中英文版最新網路安全資安訊息，請找崔嘻一起噗浪

瞭解 NSS Labs 防毒軟體排名測試報告(中文版)  

@延伸閱讀：Forbes 期刊建議:CISO 評估防毒軟體時該問的問題