裁員潮當心資料外洩

經濟不景氣導致企業紛紛緊縮編制，甚至採取裁員策略。針對這波正在陸續發生非自願離職潮，企業應平常即做好避免資料外洩準備。

離職員工導致資料外洩國內外案例

刑事警察局於今年（2008）3月接獲企業報案，某企業離職員工自行成立一家與舊公司性質雷同的電子商務公司，該離職員工盜用接任同仁的帳號、密碼，入侵公司資料庫，甚至取得舊公司國外競標的訂單，竊取資料值5百萬台幣。今年（2008）初某購物台離職經理將客戶資料存入個人硬碟中，並盜賣14萬筆個資取得不法獲利。

Check Point去年（2007）六月以「員工與資料安全」為題，向英國二百位高級資訊科技專業人士進行研究調查，結果顯示，接近半數英國人會把舊雇主資料帶到新公司使用。雖然有百分之七十四的受訪企業，規定員工不得攜帶公司資料離開辦公室，但仍有百分之八十五的員工承認可以輕易下載公司的商業競爭資料。

趨勢科技針對企業終端使用者進行問卷調查，也發現幾個有關資料外洩的事實：

◎獲得授權的員工是導致企業資料外洩主因。儘管大型企業已紛紛採用如虛擬私有網路 (VPN)、防火牆以及網路監控工具等保護措施，試圖防範未經授權的外部人士存取專屬資訊，但這些解決方案仍不足以因應內部使用者日益加劇的威脅。

◎許多員工都不清楚木馬程式與其他惡意程式可能出現在部落格的意見反應與網頁內嵌的其他程式碼中。

◎6% 的終端使用者承認曾經對外洩漏公司資訊，16% 相信其他員工曾導致資料外洩。

◎資料外洩成因包含刻意違反規定，例如竊取資料以換取金錢報酬，也可能是意外造成，例如員工隨處放置隨身碟或遺失內含客戶帳戶號碼的筆記型電腦等。


<小測試>貴公司有資料外洩風險嗎？

□是否在員工離職前，啟動資料保護與存取控制程序？
□是否有員工在離職前，已經將敏感資料「備份」在家中的電腦或未獲授權的儲存裝置？
□在員工違反公司安全政策，如將機密文件複製到 USB 時，有辦法立即察覺並阻止嗎？
□在監控與強制實施資安規定時，可兼顧員工生產力與避免「被監控」的反彈嗎？
□ 引進新的行動裝置或拓展遠端據點時，是否有相對防制資料外洩的對策？

如果你的答案多數不確定的，那麼建議你看以完以下文章。


十大避免資料外洩守則

根據世界著名會計事務所KPMG調查，全球有超過2.8億的人口在過去3年中，個人資料曾因防護不周而外洩；在2007~2008年間，駭客入侵造成資料遺失的受害人數，高達6,000萬人；46%的密碼未受妥善保存或加密保護，62%的人曾發生資料遺失。以下是趨勢科技提供的十個避免資料外洩守則：

1.防止員工將將機密資料複製到USB 隨身碟
員工離職前，可能會將資料複製留底，比如將機密文件複製到 USB 隨身碟時，企業最好採用可立即阻止員工的行為的 DLP資料外洩防護方案。另外，平日提高員工對於資料保護規定的認知，尤其是在「使用時」加以提醒，將有助於減少，甚至完全避免高比例的資料外洩問題，無論是刻意的行為或意外所造成的。

2.防止員工將敏感資料「備份」在家中
將公司帳戶清單轉售給競爭對手等許多行為很顯然應「嚴格禁止」，但是也有許多介於「灰色地帶」的違規行為，比如將敏感資料「備份」在家中的電腦或未獲授權的儲存裝置中。若未善加處理，可能將導致損害更嚴重的資料外洩問題。

3.偵測相關資料外洩事件，同時不會造成員工的不便與影響生產力
任何可能影響員工日常活動的新技術都必須聰明而精確地避免降低員工生產力及造成他們的挫折感。在監控與強制實施防範重要資料外洩的規定，以及讓員工與系統管理員能夠順利完成工作並推動業務成長之間，必須訂出一條明確的界線。

4.防止非必要的通訊協定進入公司網路。例如 P2P 通訊協定與 IRC 等。

5.限制所有網路使用者的權限。
舉例來說，核心層級的 Rootkit 會以裝置驅動程式的型態進行安裝；因此禁止使用者擁有「載入和釋放週邊設備驅動程式」權限將可大幅降低風險。

6.建議員工可以瀏覽及禁止瀏覽的網站。
許多員工都不清楚木馬程式與其他惡意程式可能出現在部落格的意見反應與網頁內嵌的其他程式碼中。制訂安全政策與網際網路使用方針，以便控管存取的資訊。還應該要求使用者避免安裝不明公司或組織所提供的檔案。

7.建議員工在接到電子郵件或電話時，勿透露任何敏感資訊。
銀行與其他組織絕不會透過電話或電子郵件要求提供帳戶資訊或身份證字號。

8.建議安裝採用多層架構策略的防護解決方案，以便在資料進入閘道之前，即可在網際網路層級確認其安全性。
另外在網際網路閘道，網際網路與企業網路或網際網路服務供應商網路的連接處保護資料。此外還應該在網路端點部署防護措施，以便在使用者的 PC 或伺服器上分析資料。

9.在網路上部署安全弱點掃瞄軟體
確保所有作業系統與其他軟體均已安裝最新的安全性修補程式，以更新及修補其中所含的安全弱點。所有使用者均應開啟作業系統、瀏覽器以及其他應用程式的「自動更新」功能。

10.持續定期更新所有系統。
為協助保護使用筆記電腦的行動化員工，請持續定期更新所有系統，並選擇具備網際網路層級 (in-the-cloud) 更新功能的安全防護產品

資料外洩防不勝防，企業主應更主動尋求防禦措施

由於不僅要抵禦外來入侵，還必須防禦內部有心人士竊取資訊，因此趨勢科技推出一套專門防止內部員工不小心或刻意將資料外洩的資料防洩防禦解決方案Trend Micro Leaf Prool (TMLP）。傳統的資料外洩解決方案，大多使用關鍵字規則來偵測機密資訊，有心人士只要改寫部分內容，很容易瞞騙過去，而有些解決方案則是建構在網路端，無法有效的鎖定每一臺用戶端的電腦的USB；此外，目前普遍所見的E- DRM解決方案，通常只針對某些特定的檔案格式，無法達到全面有效的資料外洩防護。

LeakProof利用多重比對引擎，為每一份文件製作獨一無二的DNA，也就是所謂的「指紋」，這些「指紋」能讓用戶端裝置在連線或離線時強制實行保護措施。就算是有心人將文件的某段重要文字剪下貼入電子郵件中，LeakProof仍能判別出來，並禁止文件寄出。LeakProof支援300多種檔案格式，電子郵件、Web- Mail、IM、FTTP、HTTP、SMTP等網路通訊協定，並包含用戶端裝置的輸入輸出管道，例如將檔案傳送到USB行動碟、光碟機等等，IT管理員能夠輕鬆停用某些裝置，有心人士很難用各種管道瞞騙過關。

LeakProof共有伺服器端與個人端軟體。IT管理員能自行編輯，顯示在使用者電腦畫面上互動式「警示」對話方塊內容，可藉此教育員工如何正確處理機密資訊。未獲授權的資料傳輸及複製會被阻擋，或是能要求員工在將資料複製到USB 裝置前，使用內建的資料加密模組將資料加密。趨勢科技強調：｢安裝LeakProof Client端軟體，可以避免使用者透過個人電腦或是利用USB將檔案偷偷Copy出去；在佈署資料防洩防禦系統時，必須考慮到如何才能不驚擾員工，也不應該影響工作生產力，管理人員可以設定讓使用者在完全不知不覺的情況下運作這套軟體，並維持管理運作的協調。｣

IE 7.0 零時差漏洞攻擊 會偷線上遊戲資料

IE 7.0 零時差漏洞攻擊 針對中國線上玩家而來
微軟剛於(12月9日)定期發布修補程式，但卻於第二天（12月10日）出現了最新的IE7.0零時差漏洞攻擊，也就是此弱點至今尚未修補，使用者即使更新了週二最新發佈的修補程式，還是有可能因為使用 IE7.0 而被入侵。駭客利用此漏洞植入有害的JavaScript，透過微軟Internet Explorer7.0網頁瀏覽器中SDHTML在處理XML時的弱點，對網頁瀏覽者進行攻擊。一旦被轉址到有害網頁，會下載以下惡意程式：
◎TSPY_ONLINEG.EJH
◎TSPY_ONLINEG.EJG
◎TSPY_ONLINEG.HAV
◎TSPY_ONLINEG.ADR

TSPY_ONLINEG variants 木馬家族以偷竊個人機密資料聞名，尤其是在中國受歡迎的線上遊戲。
相關報導A Very Convoluted Chinese Gaming-Info-Stealing Campaign
該惡意攻擊程式日前已被開發出所謂的網頁掛馬產生器，在數位地下黑市進行買賣，預計將會有更多惡意的相關攻擊在短期內出現。趨勢科技呼籲在微軟公布修補程式的空窗期間，建議採取以下防範措施：
1.除了瀏覽網頁可能被背景植入外，也要當心有心人士利用電子郵件或 IM 傳送相關連結。
2.嘗試使用 IE 之外的其他瀏覽器
3.停用 Java Script。但此舉會使得許多動態頁面無法正常瀏覽。
4.使用唯一採用雲端運算的線上大型掃毒引擎，可在使用者接觸到該惡意網址前，予以攔截的「WRS網頁信譽評等服務」。

免費下載：WTP Add-On 網頁威脅防禦工具  或免費下載30天試用版防毒軟體  。
微軟相關公告： www.microsoft.com/technet/security/advisory/961051.mspx
ShadowServer公布的被感染網站一覽表：  list of infected sites

最新微軟 Internet Explorer 7.0 零時差安全漏洞攻擊警訊通知

Internet Explorer 7.0在12/10被發現有安全性弱點，且已經陸續發生零時差攻擊事件。此弱點是利用JavaScript產生包含攻擊碼的資料陣列，讓IE無法正常處理XML內嵌的img src資料，而轉向執行駭客的惡意程式，進一步植入木馬或後門等病毒。
目前微軟尚未發布相關的修補程式，趨勢科技發現下列網址含有病毒，建議客戶啟用網頁信譽評等服務（WRS或WTP）可阻擋這些URL，或是使用HTTP閘道封鎖這些URL：
hxxp://cc4y7.cn/
hxxp://wwwwyyyyy.cn/
hxxp://qqqqttrr.cn/
hxxp://www-onlinedown.com/
hxxp://wieyou.com/iiee/explore.exe
hxxp://baidu.bbtu001.com
http://sllwrnm5.cn
相關參考資訊:
受影響的作業系統：Windows XP、Windows 2003
受影響的應用程式：Internet Explorer 7.0（7.0.5730.13）
目前已偵測相關病毒名稱：
OPR 5.699.00
TROJ_GAMETHI.BPF
TROJ_PATCH.KU
OPR 5.701.00
JS_DLOAD.MD
TSPY_ONLINEG.EJH
TSPY_ONLINEG.EJG
TSPY_ONLINEG.HAV
TSPY_ONLINEG.ADR
趨勢科技建議您：

• 使用WTP Add-on或OfficeScan 8.0內建之WRS來封鎖惡意程式網站
• Pc-cillin 2008/2009與WFBS，請啟用「禁止未授權的變更」功能，可預防Internet Explorer 7.0下載病毒檔案
• 更新掃瞄引擎與病毒碼至最新版本
• 暫時不使用Internet Explore 7.0，先使用他牌瀏覽器直到微軟釋出修正程式
• 停用JavaScript，但若瀏覽的網頁包含JavaScript將會無法正常顯示或執行。
• 啟用「資料防止執行」（DEP）。「資料防止執行」（DEP）是Windows XP SP2與Windows 2003系統上內建的功能，用來監督程式，以判斷程式是否安全地使用系統記憶體，將某些記憶體位置標示為不可執行。如果有程式嘗試執行惡意程式碼，或不是從受保護的位置執行，DEP會關閉該程式並通知使用者。啟用DEP可能會讓Internet Explorer上的某些應用程式插件不能執行。例如特定應用程式的工具列。

歲末網購送禮小心遭駭!!!

耶誕節即將到來，這個送禮的季節可能讓你付出不小的代價，因為駭客會利用各種社交工程手法與詐騙圈套來引誘無知的受害者。資安威脅研究人員表示，在公司或家中上網選購耶誕禮物的消費者，均可能因此而導致公司或家中的網路面臨 Web 資安威脅、病毒以及身分資訊竊賊等風險。
每年此時會有很多使用者上線搜尋、比價以及購買商品，作為耶誕佳節餽贈親友的禮物。而這也為駭客提供了一個作案的良機，因此使用者應提高警覺，防止美好的歲末假期受到如傀儡網路活動、買賣詐騙，或甚至是使用者身份識別資訊遭竊等令人掃興的事所破壞。趨勢科技提醒你，按下網址連結瀏覽網頁，或點選物件並在表單中填寫機密資訊，都可能讓假期攻擊者取得這些資訊並用以換取利益。

以下是趨勢科技列出的 2008 年歲末十大可能利用Web 進行詐騙的資安圈套：
歲末十大危險網路行為 1-「 歲末搶手商品驚爆價 不搶可惜？」假線上商店也有賣
歲末十大危險網路行為-2「寒冬送暖 施比受更有福？」假慈善機構網站經常熱情募捐
歲末十大危險網路行為-3「新年祝福電子賀卡 朋友真有心？」駭客比你朋友還熱情
歲末十大危險網路行為-4「送禮線上貨比三家不吃虧？」 駭客也會刊登超便宜廣告
歲末十大危險網路行為-5「哪裡最有聖誕節氣氛 搜尋引擎最知道？」耶誕節關鍵字曾被駭客利用
歲末十大危險網路行為-6「線上交易 知名網站較安心？」駭客最愛人潮匯集的線上購物網
歲末十大危險網路行為-7「填寫歲末滿意度調查問卷 可拿禮券 打敗不景氣？」駭客發問卷 轉賣個資
歲末十大危險網路行為-8「拍賣網站撿便宜 先看賣家評價 較安心？」評價有可能作假
歲末十大危險網路行為-9「網購禮物 還有快遞取貨通知 超貼心？」當心含有木馬程式
歲末十大危險網路行為-10「網購改送電子收據 廠商也為地球盡一份心？」病毒也會開購物收據

為保護上網採購歲末佳節禮品的消費者，防止存取惡意網站，以免不慎將個人資訊外洩，或下載專門竊取信用卡或其他寶貴資訊的惡意程式碼。
這裡有一些免費的工具與服務：
iClean解毒快手清毒工具
WTP Add-On 網頁威脅防禦工具(採用創新WRS網頁信譽評等服務技術)
免費下載30天試用版防毒軟體

IE 零時差攻擊繼續進行

趨勢科技 (Trend Micro) 研究員發現，惡意程式罪犯正迅速把握最近發現且尚未修補的 Internet Explorer 零時差弱點，發動 Mass SQL Injection 攻擊。整個業界的研究人員已對大眾提出警告，現在只不過是這項攻擊的前奏，其目的是用來準備更大範圍的攻擊。SANS Internet Storm Center (ISC) 的人員也針對此事提出報告。

趨勢科技指出到目前為止，受感染的網站數目約 6,000 個，而且正快速增加當中。他表示，至少有兩個網站感染了會洩漏零時差弱點的程式碼，其中一個在 .tw 網域，另一個在 .cn。第一個是台灣的搜尋引擎，但隨後已修復，這個網站被發現透過 SQL Injection 植入了惡意 JavaScript 程式碼。

第二個網站是流量將近 7 百萬的一個中國運動用品網站，此網站被發現含有 HTML 程式碼，會將使用者導向到內含相同惡意指令碼的遠端網站。

最後的結果是會碰到一個趨勢科技 (Trend Micro) 定義為 WORM_AUTORUN.BSE 的蠕蟲。其他的攻擊則會導向到下列蠕蟲：
HTML_IFRAME.ZM
JS_DLOADER.QGV
HTML_AGENT.CPZZ

在 HTML 網頁中的雜亂 JavaScript 也被定義為 JS_DLOAD.MD，與攻擊 IE7 零時差弱點的惡意指令碼是同一個。

Microsoft 在其安全通報中發佈修訂，以及有關此攻擊中的最新漏洞分析，該通報也表示，所有 Microsoft Windows 支援版本上的 Microsoft Internet Explorer 5.01 Service Pack 4、Microsoft Internet Explorer 6 Service Pack 1、Microsoft Internet Explorer 6 及 Windows Internet Explorer 8 Beta 2 都具有潛在弱點。

趨勢科技 (Trend Micro) Smart Protection Network 也已將該惡意指令碼定義為桌上電腦等級的 WORM_AUTORUN.BSE，並提供移除該蠕蟲的解決方案