【新聞】英特爾77億美元 併McAfee 強攻資安

其實真相是這樣的......

Intel總裁: "我要防毒, 幫我去買McAfee."
手下: "是, 老闆!"

隔幾天....

手下: "報告老闆, McAfee買好了!"
Intel總裁:"那等等幫我裝, 要付多少錢?"

⋯⋯

手下: "77億!"

如何進行個人資料盤點

　　《個人資料保護法》通過後，企業也必須回頭審視手邊擁有的個人資料，是否是當事人提供或間接蒐集而來，而這些個資使用目的是否已有變更，這些個資狀態都攸關企業未來在使用這些個資時，是否必須再取得當事人同意。

　　機關企業應該從業務流程的資訊流，去盤點企業目前所擁有的個資種類、數量和形式等，企業必須盤點到底有哪些個人資料，而這些個資來源是直接或者是間接蒐集而來的。要做個資盤點，蒲樹盛說，從資料的生命周期來看個資盤點是最適當的方式之一，從規畫、教育訓練、個資盤點並產生類別清單、個資流向、個資歷程等，就可以清楚掌握每一個資料的來龍去脈。

　　對於企業而言，這些個人資料盤點的流程，是最花時間也最需要人力的關卡。許多企業都在尋找自動化個資盤點的工具，但目前而言，仍須以半人工查驗的方式，才能盤點出企業內的個人資料有哪些資料類型和種類。

　　「除了要盤點電子化的個人資料外，企業還必須盤點紙本的資料。」若民眾到銀行開戶，會填寫很多書面申請表，銀行會掃描轉存成影像檔、PDF檔或其他電子化格式存檔，但這些紙本資料因為都有當事人的詳細個人資料，因此企業對紙本個人資料進行各種個資處理、利用、儲存甚至刪除等，都不可以忽略紙本個資這一個環節。

　　若您所服務的單位打算進行個人資料的盤點，各位可以參考K大俠所設計的「個人資料盤點調查表」，交由各部門負責人進行登記整理，以便作為下一個階段管理與保護個人資料的重要依據。（本文部份內容轉載於itHome）

立即檢查您的寬頻/AP分享器！

假如您的設備剛好是用 Web 頁面管理，採用 DD-WRT 或 OpenWRT Linux-based 的韌體，那麼快趁這僅存的幾天想好對策吧。因為 Seismic 的 Craig Heffner 宣稱他利用千年傳統．全新感受的入侵方法 - DNS rebinding，成功地入侵了許多台分享器，並且預計在下個星期於 Black Hat 2010 中發表這項研究成果，屆時地球上將會有數以百萬計的分享器生活在隨時被入侵的陰影之中。

目前 Heffner 嘗試攻擊了 30 種不同型號的分享器，一半以上都應聲而倒，裡頭還包括數款常見的分享器，如上圖的 Linksys WRT54G。雖然一般而言，換掉預設的密碼就可以預防大部份的駭客入侵。然而 Heffner 相信根本的解決之道還是得由廠商盡快推出修正程式，才能讓普羅大眾免受這場災難。延伸閱讀經測試過的分享器列表，各位不妨看看家裡使用的那台是否也在名單之中。

（本文轉載於癮科技）

Vendor Model H/W Version F/W Version Successful

ActionTec MI424-WR Rev. C 4.0.16.1.56.0.10.11.6 YES

ActionTec MI424-WR Rev. D 4.0.16.1.56.0.10.11.6 YES

ActionTec GT704-WG N/A 3.20.3.3.5.0.9.2.9 YES

ActionTec GT701-WG E 3.60.2.0.6.3 YES

Asus WL-520gU N/A N/A YES

Belkin F5D7230-4 2000 4.05.03 YES

Belkin F5D7230-4 6000 N/A NO

Belkin F5D7234-4 N/A 5.00.12 NO

Belkin F5D8233-4v3 3000 3.01.10 NO

Belkin F5D6231-4 1 2.00.002 NO

D-Link DI-524 C1 3.23 NO

D-Link DI-624 N/A 2.50DDM NO

D-Link DIR-628 A2 1.22NA NO

D-Link DIR-320 A1 1 NO

D-Link DIR-655 A1 1.30EA NO

DD-WRT N/A N/A v24 YES

Dell TrueMobile 2300 N/A 5.1.1.6 YES

Linksys BEFW11S4 1 1.37.2 YES

Linksys BEFSR41 4.3 2.00.02 YES

Linksys WRT54G3G-ST N/A N/A YES

Linksys WRT54G2 N/A N/A NO

Linksys WRT160N 1.1 1.02.2 YES

Linksys WRT54G 3 3.03.9 YES

Linksys WRT54G 5 1.00.4 NO

Linksys WRT54GL N/A N/A YES

Netgear WGR614 9 N/A NO

Netgear WNR834B 2 2.1.13_2.1.13NA NO

OpenWRT N/A N/A Kamikaze r16206 YES

PFSense N/A N/A 1.2.3-RC3 YES

Thomson ST585 6sl 6.2.2.29.2 YES

請關掉電腦的Autoplay功能！

各位有在使用USB隨身碟的朋友請注意，微軟剛剛發布一個Zero-Day（零時差）的弱點，可能會讓受害者的電腦被遠端攻擊者控制，目前尚未有更新的Patch修補程式，微軟目前建議將Autoplay（自動執行/播放）的功能關掉，特別是針對USB這類可攜式的儲存設備。

至於如何做？如果您是Windows XP的用戶，這邊提供您一篇網文，請自行連過去參考。而Windows 7預設應該是關閉autoplay的。

重視家用網路設備資訊安全

使用D-Link（友訊）AP（無線路由器）的網友請注意，根據國外報導，D-Link DAP-1160這款無線路由器存在兩個弱點，可以被惡意的使用者跳過安全檢查機制，進一步取得該網路設備的控制權。

其實家用網路設備的安全性這個問題，K大俠早在今年2月所寫的一篇文章：「別讓你的寬頻分享器或AP變成駭客的跳板！ 」就有提到，最近因為工作的關係，與許多使用寬頻分享器或無線AP的客戶接觸，發現這些用戶家裡面的網路設備預設的管理密碼，沒有變更而使用原廠預設的比例竟然高達100%！

K大俠覺得既然消費者對於自家的網路設備安全性沒有警覺心，那麼廠商應該在這方面多給消費者一些協助，例如出廠預設的密碼在第一次設定時，應強迫消費者變更。同時，對於管理介面，應該一律預設僅限內部網段連接。

而像遇到D-Link這種因為韌體所產生的弱點，廠商也應該負起責任，除了儘快提供修補的韌體與更新方式外，也要積極對消費者盡告知的義務，就像汽車業者一般，召回或協助消費者把問題解決才是。

Adobe PDF Reader、Flash新漏洞之解決方法

最近不少朋友都轉寄這篇文章：「Adobe出現新零時漏洞　下載PDF檔要當心」給K大俠

http://tw.news.yahoo.com/article/url/d/a/100623/52/27y8r.html

我想這個問題應該有不少人關心，到底有沒有對策？

Adobe公司給了答案，主要的解法為：

1.針對Flash本體請安裝10.1版。

2.避免Adobe Reader受害的方式是暫時將authplay.dll這個檔案給更名或刪除。（路徑應該在 C:\Program Files\Adobe\Reader 9.0\Reader\authplay.dll）

但其實不論是什麼檔案，下載前最好都要確認來源是否值得信任。若是朋友寄來的，也最好先詢問一下本人最定不是自動轉寄的再開啟。

談個資法與電信法對電信業在資安上的新挑戰

隨著新版個人資料保護法的通過，企業對於客戶資料的保護，已不再侷限於特定產業，而是全面性的要求。其中電信業由於特殊的中介服務性質，掌握許許多多用戶的個人資料，自然成為個資法適用的主要目標。另一方面，電信業的主管機關NCC也積極推動業者強化資訊安全管理，在「電信事業資訊通訊安全管理作業要點」中希望各電信業者導入資安管理體系（ISMS），取得相關認證。未來並規劃於電信法修正條文中，將此作業要點的位階拉高，賦予對應罰則，以加強對業者的要求。因此電信業者除了要針對個資法的要求做因應外，也應把ISMS納入企業流程的一環，做好法規遵循的準備。

新版個資法與電信法修訂這兩項遵法議題有一定的相關度，但其目標是完全不同的。業者在面對這兩項議題時，可以先單獨思考個別的要求，對企業現有服務與流程做差異分析。但在進行風險改善或處理計畫時，為了避免資源重複投入的浪費，宜將兩邊的需求加以整合。

例如：個資法第二十七條中，針對個人資料檔案安全維護計畫及業務終止處理方法，要求「非公務機關保有個人資料檔案者，應採行適當之安全措施，防止個人資料被竊取、竄改、毀損、滅失或洩漏。」這部份其實與許多ISO 27001附錄A的控制項有許多關聯。而且施行ISMS後，許多政策或程序都會被要求增加執行的紀錄或做有效性評估，這部份對於企業來說，在處理未來與客戶個資相關爭議時，可以藉由ISMS施行的相關紀錄，作為法律上責任歸屬的依據。

但是個資法與電信法也有許多不同的要求，例如個資法對於資料的生命週期與相關權利義務有非常詳細的陳述，企業必須認真檢視現行客戶與行銷名單的來源、內容與處理流程，在企業流程上做適當的因應。亦即為了保有行銷名單，可能要做好付出成本的準備。而電信法若修正後，可能會要求現有業者，需完成ISO 27001甚至是ISO 27011的國際管理標準驗證。其施行範圍，也可能擴大至「交換機房、交換中心匯集處」等，影響層面與範圍都可能加大許多，規模較大的電信業者必須及早做好準備。

K大俠在此要強調，針對個資保護或資安管理作業，要作到滴水不漏同時要兼顧業務進行順暢是絕對不可能的。然而企業必須體認到投資在資訊安全上的成本，隨著法令上責任的變更與罰則的加強，已不再是過往聊備一格的選擇。電信業除了面臨個資法外，未來還有新版電信法的挑戰，因此增加資安上的投資，或許也是提昇企業未來競爭力的一個重要方式。

Apache Axis2/Java 弱點

由於是Server端的軟體，特別在此做個警訊：使用Apeche Axis的夥伴請儘速更新到1.5.2或1.6以後的版本。

Apache Axis2/Java XML Document Type Declaration Processing Vulnerability

Release Date 2010-06-21

Criticality level Moderately critical

Impact Exposure of system information、Exposure of sensitive information、DoS

Where From remote

Authentication level Available in Customer Area

Report reliability Available in Customer Area

Solution Status Vendor Workaround

Systems affected Available in Customer Area

Approve distribution Available in Customer Area

Software:

Apache Axis2/Java 1.x

CVE Reference(s) CVE-2010-1632 CVSS available in Customer Area

Description

A vulnerability has been reported in Apache Axis2/Java, which can be exploited by malicious people to disclose system information or potentially sensitive information and cause a DoS (Denial of Service).

The vulnerability is caused due to Axis2 not properly restricting the processing of XML Document Type Declarations (DTD). This can be exploited to e.g. determine the existence or include contents of local and potentially external files by including them as a DTD reference or cause a DoS due to CPU or memory consumption by providing e.g. a heavily nested DTD.

The vulnerability is reported in version 1.4.1 and 1.5.1. Prior versions may also be affected.

Solution

Apply patch and update to version 1.5.2 or 1.6 as soon as available. See vendor's advisory for additional details.

Original Advisory

https://svn.apache.org/repos/asf/axis/axis2/java/core/security/CVE-2010-1632.pdf

https://issues.apache.org/jira/browse/AXIS2-4450

Facebook存在安全漏洞

廢話不多說，看看這篇弱點公告。

我想說的是，即便是Facebook這麼大的公司，寫出來的程式還是有可能會造成被利用的漏洞，導致使用者受害。

這是因為全世界的程式設計人員，都是先求有，再求好的觀念來完成專案（老闆）的要求，這是不可能被改變的觀念。

也就是說，要避免自己不會遭到網路詐騙或駭客攻擊而受害，最基本的方式除了儘量不留完整真實資料外，對任何訊息都要小心再小心，別隨便按下任何按鈕。

免費資安工具軟體介紹

這兩天測試了一些免費的資安工具，大多是透過大陸的網站OSChina看到，然後測試過成功的項目，在此分享一下:

1. Nesus：老牌的弱點掃描工具，許久未使用，新的版本實在令人驚豔！不但支援Windows平台，內部家用網路掃描免費註冊使用，而且從專屬的Client端程式換成Browser+Flash，實在非常方便。

下載位置：http://www.nessus.org/download/

2. RatProxy：Google推出的網頁程式弱點檢查工具，雖然在Windows下要使用它有點麻煩，得先裝Cgywin這個模擬Linux的程式，然後要改Browser的Proxy設定，而且得手動連接要掃描的網頁，但是檢查的功力卻是十分不錯。

下載位置：http://code.google.com/p/ratproxy/

教學：Windows平台下的安裝使用

3. OSSEC：主機型IDS攻擊偵測系統，免費且Agent支援各樣的平台。

下載：http://www.ossec.net/main/downloads/

教學：http://www.netadmin.com.tw/article_content.asp?sn=0810030005

個人資料保護法三讀通過

立法院於今（27）日三讀通過「個人資料保護法」。本法在保障個人資料隱私並兼顧新聞自由平衡下邁向新的里程碑。相關重點如下：

●保護客體與適用主體的擴大

個資法修正主軸在於擴大保護客體為所有個人資料（包含電腦處理及人工紙本的個人資料），以及打破行業別限制，包括所有的法人、團體及個人對個人資料之蒐集、處理與利用均受規範。

● 民、刑事及行政責任的加重及提高

修法的另一個重點，在於調整民事、刑事與行政罰責任內涵，同一事件民事損害賠償最高總額提高至新臺幣2億元，被害人不易或不能證明其實際損害額時，得請求法院依侵害情節以新臺幣5百元以上2萬元以下計算。

● 為方便當事人提起救濟，新法增加團體訴訟機制

● 刑事責任主要對於意圖營利之違法行為，提高刑責至5年以下有期徒刑得併科新臺幣1百萬元以下罰金，並改為非告訴乃論。行政裁罰部分，則提高罰鍰額度。

● 有關醫療、基因、犯罪前科等個人資料之保護上，必須在符合法律明文規定的嚴格要件下，始得蒐集、處理或利用該等敏感性資料。

● 新法對於當事人之書面同意，有明確之定義，且未來直接或間接蒐集個人資料前，原則上須盡到對當事人之「告知義務」。個人資料一旦外洩，資料保有者依法須查明後通知當事人，以防止損害擴大。

資料來源：法務部新聞稿

哪個防毒軟體最優？來看最新VB100測試

基本上K大俠覺得正確的使用網路、電腦檔案的習慣，比花時間選出最厲害的防毒軟體來的重要。但是防毒軟體的選擇也不能太隨便，如果偵測率不到八成的那肯定很糟糕。

VB100是老牌的防毒軟體測試廠商，提供的資料可以列為選擇防毒軟體參考的指標之一。2010年的測試報告剛出爐，大家不妨瞭解一下。

下圖是主動偵測與被動偵測已知病毒的偵測率，越往右上方的防毒軟體是偵測率越好的：

以下是用XP平台，通過或未通過VB100檢驗的清單（打X的就代表失敗）：

Windows XP - April 2010

Agnitum Status: PASS Result history: Agnitum Product name: Agnitum Outpost Security Suite Pro Details: Only available to subscribers. AhnLab Status: PASS Result history: AhnLab Product name: AhnLab V3 Internet Security Details: Only available to subscribers. Alwil Status: PASS Result history: Alwil Product name: Alwil avast! free antivirus Details: Only available to subscribers. ArcaBit Status: FAIL Failure reason: 1 wildlist miss, 6 false positives Result history: ArcaBit Product name: Arcabit ArcaVir 2010 Details: Only available to subscribers. Authentium Status: FAIL Failure reason: 4 false positives Result history: Authentium Product name: Authentium Command Anti-Malware Details: Only available to subscribers. Avanquest Status: FAIL Failure reason: 1 false positive Result history: Avanquest Product name: Avanquest Double Anti-Spy Professional Details: Only available to subscribers. AVG Status: PASS Result history: AVG Product name: AVG Internet Security Network Edition Details: Only available to subscribers. Avira Personal Status: PASS Result history: Avira Personal Product name: Avira AntiVir Personal Details: Only available to subscribers. Avira Status: PASS Result history: Avira Product name: Avira AntiVir Professional Details: Only available to subscribers. BitDefender Status: PASS Result history: BitDefender Product name: BitDefender Antivirus 2010 Details: Only available to subscribers. Bkis Gateway Status: FAIL Failure reason: 3 wildlist misses Result history: Bkis Gateway Product name: Bkav Gateway Scan Details: Only available to subscribers. Bkis Home Status: FAIL Failure reason: 18 wildlist misses Result history: Bkis Home Product name: Bkav Home Edition Details: Only available to subscribers. Bullguard Status: PASS Result history: Bullguard Product name: Bullguard Antivirus Details: Only available to subscribers. CA Consumer Status: PASS Result history: CA Consumer Product name: CA Internet Security Suite Plus Details: Only available to subscribers. CA Business Status: PASS Result history: CA Business Product name: CA Threat Manager Details: Only available to subscribers. Central Command Status: PASS Result history: Central Command Product name: Central Command Vexira Antivirus Professional Details: Only available to subscribers. Check Point Status: FAIL Failure reason: 1 wildlist miss Result history: Check Point Product name: Check Point Zone Alarm Suite Details: Only available to subscribers. Defenx Status: PASS Result history: Defenx Product name: Defenx Security Suite 2010 Details: Only available to subscribers. Digital Defender Status: PASS Result history: Digital Defender Product name: Digital Defender Antivirus Details: Only available to subscribers. eEye Status: FAIL Failure reason: 123 wildlist misses, 3 false positives Result history: eEye Product name: eEye Digital Security Blink Professional Details: Only available to subscribers. EmsiSoft Status: FAIL Failure reason: 974 wildlist misses, 1 false positive Result history: EmsiSoft Product name: Emsisoft a-squared Anti-Malware Details: Only available to subscribers. eScan Status: PASS Result history: eScan Product name: eScan Internet Security for Windows Details: Only available to subscribers. Eset Status: PASS Result history: Eset Product name: ESET NOD32 Antivirus Details: Only available to subscribers. Filseclab Status: FAIL Failure reason: 2595 wildlist misses, 5 false positives Result history: Filseclab Product name: Filseclab Twister Anti-TrojanVirus Details: Only available to subscribers. Fortinet Status: FAIL Failure reason: 1 false positive Result history: Fortinet Product name: Fortinet FortiClient Details: Only available to subscribers. FRISK Status: FAIL Failure reason: 1 false positive Result history: FRISK Product name: Frisk F-PROT Details: Only available to subscribers. F-Secure Status: PASS Result history: F-Secure Product name: F-Secure Client Security Details: Only available to subscribers. F-Secure Protection Services Status: PASS Result history: F-Secure Protection Services Product name: F-Secure PSB Workstation Security Details: Only available to subscribers. GDATA Status: PASS Result history: GDATA Product name: G DATA Antivirus 2010 Details: Only available to subscribers. Ikarus Status: FAIL Failure reason: 973 wildlist misses Result history: Ikarus Product name: Ikarus virus.utilities Details: Only available to subscribers.

iolo Status: FAIL Failure reason: 1 false positive Result history: iolo Product name: iolo System Mechanic Professional Details: Only available to subscribers. K7 Computing Status: PASS Result history: K7 Computing Product name: K7 Total Security Details: Only available to subscribers. Kaspersky AntiVirus 2010 Status: PASS Result history: Kaspersky AntiVirus 2010 Product name: Kaspersky Anti-Virus 2010 Details: Only available to subscribers. Kaspersky Status: FAIL Failure reason: 1 wildlist miss Result history: Kaspersky Product name: Kaspersky Anti-Virus 6 for Windows Workstations Details: Only available to subscribers. Kingsoft Advanced Status: PASS Result history: Kingsoft Advanced Product name: Kingsoft Internet Security 2010 Advanced Edition Details: Only available to subscribers. Kingsoft Standard Status: PASS Result history: Kingsoft Standard Product name: Kingsoft Internet Security 2010 Standard Edition Details: Only available to subscribers. Kingsoft Swinstar Status: FAIL Failure reason: 6 wildlist misses, 1 false positive Result history: Kingsoft Swinstar Product name: Kingsoft Internet Security 2010 Swinstar Edition Details: Only available to subscribers. Lavasoft Status: FAIL Failure reason: 2 wildlist misses, 2 false positives Result history: Lavasoft Product name: Lavasoft Ad-Aware Professional Internet Security Details: Only available to subscribers. McAfee Total Protection Status: PASS Result history: McAfee Total Protection Product name: McAfee Total Protection Details: Only available to subscribers. McAfee Status: PASS Result history: McAfee Product name: McAfee VirusScan Enterprise Details: Only available to subscribers. Microsoft Security Essentials Status: FAIL Failure reason: 1 wildlist miss Result history: Microsoft Security Essentials Product name: Microsoft Security Essentials Details: Only available to subscribers. Nifty Status: FAIL Failure reason: 1 wildlist miss Result history: Nifty Product name: Nifty Corp. Security 24 Details: Only available to subscribers. Norman Status: FAIL Failure reason: 110 wildlist misses, 3 false positives Result history: Norman Product name: Norman Security Suite Details: Only available to subscribers. PC Tools Internet Security Status: PASS Result history: PC Tools Internet Security Product name: PC Tools Internet Security 2010 Details: Only available to subscribers. PC Tools Spyware Doctor Status: PASS Result history: PC Tools Spyware Doctor Product name: PC Tools Spyware Doctor Details: Only available to subscribers. Preventon Status: PASS Result history: Preventon Product name: Preventon AntiVirus Details: Only available to subscribers. Proland Software Status: PASS Result history: Proland Software Product name: Proland Protector Plus Professional Details: Only available to subscribers. Qihoo Status: PASS Result history: Qihoo Product name: Qihoo 360 Security Details: Only available to subscribers. Quick Heal Status: PASS Result history: Quick Heal Product name: Quick Heal AntiVirus 2010 Details: Only available to subscribers. Rising Status: PASS Result history: Rising Product name: Rising Internet Security 2010 Details: Only available to subscribers. SGA Status: PASS Result history: SGA Product name: SGA Corp. SGA-VC Details: Only available to subscribers. Sophos Status: PASS Result history: Sophos Product name: Sophos Endpoint Security and Control Details: Only available to subscribers. VIRUSfighter Plus Status: PASS Result history: VIRUSfighter Plus Product name: SPAMfighter VIRUSfighter Plus Details: Only available to subscribers. VIRUSfighter Pro Status: PASS Result history: VIRUSfighter Pro Product name: SPAMfighter VIRUSfighter Pro Details: Only available to subscribers. Sunbelt Status: FAIL Failure reason: 2 false positives Result history: Sunbelt Product name: Sunbelt VIPRE AntiVirus Premium Details: Only available to subscribers. Symantec Status: PASS Result history: Symantec Product name: Symantec Endpoint Protection Details: Only available to subscribers. Symantec Norton Status: PASS Result history: Symantec Norton Product name: Symantec Norton Antivirus Details: Only available to subscribers. Trustport Status: PASS Result history: Trustport Product name: Trustport Antivirus 2010 Details: Only available to subscribers. VirusBuster Status: PASS Result history: VirusBuster Product name: VirusBuster Professional Details: Only available to subscribers. Webroot Status: PASS Result history: Webroot Product name: Webroot AntiVirus with SpySweeper Details: Only available to subscribers.