線上開會怕私隱外洩?一文學識多個網絡安全對策 – Yan Law
早在新冠肺炎疫情爆發初期,為降低病毒在社區內傳播的風險,不少負責任的企業鼓勵或允許員工Home Office,沒想到竟然令網上會議軟件Zoom突然爆紅,用戶數量由去年12月的一千萬激增至今年3月的兩億!偏偏這時Zoom被連環爆出私隱外洩、駭客入侵、保安漏洞等醜聞,引起公眾關注網絡安全問題,隨後美國、英國、德國、加拿大、台灣、新加坡等地的政商界亦以「資安漏洞」為由宣布停用使用此軟件,促使更多人聞Zoom色變。
在眾多網上會議軟件中,Zoom因為操作容易、功能多樣而大受歡迎(只要透過邀請網址或查詢會議ID的方式即可以電腦、手機或平板來進行視訊會議,還能錄下視訊過程、共享螢幕畫面、進行即時文字對話等);現在卻因資安設計不良而被棄?上周三(4月8日)Zoom創辦人兼行政總裁袁征舉行YouTube直播,親自就私隱漏洞問題向用戶公開致歉、承諾將全力修正問題,並介紹軟件的私隱更新。究竟Zoom還安全與否?如果平日有需要用Zoom或其他視像會議軟件,又該如何保護自己?
編者想,絕大多數人擔心的是「Zoom-Bombing」騷擾現象,皆因駭客能夠透過會議ID自動產生器來破解Zoom會議 ID(甚至取得沒有密碼保護的Zoom連結),在不驚動主持人的情況下滲入會議,然後惡意發放色情、暴力或令人反感的影音和圖片;甚至可以透過這種方式竊取 Zoom 用戶的 Windows登入密碼,從而注入程式來存取裝置上的攝影機與麥克風。雖然香港暫時未有發生「暗網洩露Zoom帳號資料事件」,但早前宣道國際學校就有Zoom課堂遭駭客入侵,實在令人憂心。據悉,校方回覆查詢時稱「畫面短暫播了一些令人反感的內容」,已向警方報案,並決定即時將網上教學暫停兩天,為防止同類型事件再次發生。
在一連串的資安問題爆出後,Zoom馬上推出緊急更新版本,表示已修補漏洞並強化安全性與隱密性,更新內容包括:
1. 預先啟用會議密碼設定,並新增了防止用隨機掃描會議ID 的方法來加入會議的措施。
2. 用戶可為會議設置「等候室」,任何人想加入會議,都必須通過會議主持人的允許才可加入。
3. 不在會議視窗的狀況列上顯示(原本會直接出現的)用戶ID。
4. 加入「保安」按鈕,主持人可在所有人加入會議後鎖住會議,不讓其他人再加入;參與會議者中途無法隨意改名,聯絡人的資料也不會再自動顯示。
5. 在Zoom解除安裝程序中,加入完全移除本地主機網頁伺服器的選項,還會連帶一併刪除使用者儲存的設定。
至於有不少人提出的伺服器問題,Zoom為此新增了一項新功能:付費用戶可自行選擇服務連接的伺服器,務求可加強用戶在資料傳送路徑的選擇上的控制權。據了解,目前Zoom的資料中心以群分為以下區域:美國、加拿大、歐洲、印度、澳州、中國大陸、拉丁美洲、日本/香港。要留意的是,當用戶選擇不使用特定區域的資料中心時,該區域之Zoom會議室連接器(CRC)亦將不允許連接到個人會議或網路研討會,同時電話撥入功能亦無法使用。
有些謹慎為上的用戶,或許早已因信任感大打折扣而轉用其他通訊軟件,例如 Google Hangouts Meet、Skype、Microsoft Teams、CyberLink U Metting、Cisco WebEx 等。但如果是慣常或因工作/學習需要而必須使用Zoom呢?用戶最基本可以先做好以下幾點:
1. 使用最新版本的 Zoom 軟件和保安軟件
2. 提防任何不明的 UNC 連結
3. 切勿在會議期間分享機密資訊
4. 使用有意義的顯示名稱,別使用網上暱稱
5. 小心保護你的 Zoom 帳戶及留心可疑的帳戶活動
詳細保安貼士和主持會議者的安全建議,可以參考香港電腦保安事故協調中心(HKCERT)的建議 。
其實,不只Zoom,不同的通訊工具或會議軟件都有機會出現資料保安漏洞,想盡可能保障自己,可以做好以下4點:
1. 使用正版軟件:使用由軟件開發商提供的程式來更新軟件;安裝並開啟防火牆和入侵檢測系統;更新電腦病毒和間諜軟件的定義檔,以及定期使用防病毒軟件來掃描電腦。
2. 加強電子郵件和密碼保安:設置嚴謹的密碼(最好包含大小寫英文、數字及符號),並最少每90天定期更改;不要使用容易受到黑客攻擊的電腦登入電子郵件帳戶、電子銀行服務或進行涉及敏感資料的操作。
3. 加強電腦系統保安:避免瀏覽任何可疑網站、開啓可疑的電郵及即時短訊;不要下載來源或性質不明的附件;將涉及個人資料的電腦檔案加密處理。
4. 避免使用公共無線網絡服務:日常將無線網絡功能關閉;如有必要使用公共無線網絡時,不要發送敏感/個人資料,過後亦應刪除網絡首選列表的相關記錄;確保無線網絡卡驅動程式為最新版本。
身處互聯網時代,每個人在互聯網上的一舉一動,都會留下「數碼足印」,建構成「大數據」。所以,無論有沒有發生這次「Zoom事件」,我們都必須要認清一個事實:維持網絡安全、保護個人資料是「修不完的功課」。
原文:經濟通
#科技 #生活 #商業 #社會
「windows檔案加密破解」的推薦目錄:
- 關於windows檔案加密破解 在 BennyLeung.com Facebook 的最佳貼文
- 關於windows檔案加密破解 在 iThome Security Facebook 的最佳貼文
- 關於windows檔案加密破解 在 方保僑 Francis Fong Facebook 的最讚貼文
- 關於windows檔案加密破解 在 [請益] 檔案加密防盜的方法- 看板Soft_Job 的評價
- 關於windows檔案加密破解 在 檔案被加密- [成功的] 解密及移除的方法(請分享) - Mobile01 的評價
- 關於windows檔案加密破解 在 密码保护Windows上的文件夹| 批处理文件| 无软件安装 - YouTube 的評價
- 關於windows檔案加密破解 在 03 檔案加密 - YouTube 的評價
- 關於windows檔案加密破解 在 QNAP - 【QENC Decrypter: 敏感檔案解密工具黎喇!】 同朋友 ... 的評價
windows檔案加密破解 在 iThome Security Facebook 的最佳貼文
【11/08~11/14】 #一周資安新聞回顧
1⃣不滿業者態度,俄羅斯研究人員直接揭露VirtualBox零時差漏洞
2⃣花旗銀行系統邏輯錯誤,導致民眾利用其機制盜刷近6300萬
3⃣匯豐銀行傳出網銀帳戶資料外洩事件
4⃣BCMUPnP_Hunter殭屍網路已收服10萬臺路由器
5⃣供應鏈攻擊又一例:駭客以StatCounter為跳板入侵加密貨幣交易中心Gate.io
6⃣研究人員揭露DJI漏洞,恐讓駭客偷走無人機拍攝的機密影像
7⃣美國六千萬張支付卡資訊遭竊的元兇?75%資料外洩起是POS
8⃣總統接見HITCON和BFS資安戰隊,蔡英文:資安人才培育不間斷
9⃣特定Apache Struts 2版本含有陳年漏洞,曝遠端執行程式攻擊風險
🔟WordPress外掛WooCommerce爆遠端程式攻擊漏洞,逾400萬網站受累
1⃣1⃣荷蘭警方破解端對端加密傳訊程式IronChat攔截25.8萬則訊息,成功破獲洗錢集團
●GDPR戰火延燒,英國隱私保護組織PI投訴甲骨文等7業者違反
●Windows 10臭蟲讓用戶無法變更預設檔案關聯格式
●臉部辨識還不夠,傳中國警方開始用步態識別工具
●Chrome 71將警告用戶有不當電信代扣服務的網站
●Cloudflare推出支援行動裝置的1.1.1.1公共DNS程式
●法官要求Amazon交出與命案有關的Echo錄音資料
●Google第一份Android生態系安全性報告出爐
●很會躲!研究人員發現一木馬程式竟在Google Play存活了11個月才遭禁
windows檔案加密破解 在 方保僑 Francis Fong Facebook 的最讚貼文
WiFi漏洞有得救
上星期有比利時研究員發表報告指出,我們用了多年的WiFi加密技術WPA2其實有多個漏洞。該研究員試驗了一種概念攻擊的技術,稱為KRACK(Key Reinstallation Attacks),可以在WPA2的4次握手(Handshake)過程中,重新安裝加密金鑰,直接破解WPA2,黑客便能在WiFi傳送檔案過程當中,攔截未有加密的任何檔案。
用戶宜即時更新軟件
跟WannaCry事件一樣,雖然大家都知道有這樣的保安風險,但目前可以做的不多。不過幸運的是,今次的WiFi漏洞是由研究員發現,所以他一早已經通知了各大廠商,Microsoft第一時間推出了更新檔修補漏洞(包括Windows 7、Windows 8.1、Windows 10、Windows Server 2008、Windows Server 2012及Windows Server 2016)。Apple及Google亦已知悉該WiFi保安缺陷,並承諾盡快推出修補檔案。
至於一般Android手機,可能要根據相關廠商推出修補檔案的時間,用戶才知道是否能夠更新及修補該漏洞。WiFi路由器廠商方面,將陸續推出更新檔案。
在未有修補檔案之前,一般用戶是否無法自救?首先,今次的攻擊是一個模擬示範,而且黑客需要在你的WiFi路由器範圍內才可作出截擊,所以各位暫時毋須過分恐慌。在這段時間,敏感的檔案及資料可加密後才傳送,而且你亦可以利用4G、有線網絡(LAN)或者啟動VPN上網以減低風險。
大家用https網站進入網上銀行及瀏覽其他加密網站,以及利用一些已經有加密的通訊軟件(例如WhatsApp、LINE),理論上是不會遇上KRACK截擊的。
最後,大家記得在手機及電腦推出更新檔之後第一時間安裝,以防萬一。
方保僑_香港互動市務商會會長
windows檔案加密破解 在 檔案被加密- [成功的] 解密及移除的方法(請分享) - Mobile01 的推薦與評價
將電腦及外接硬碟內的檔案加密無法打開,迫使受害人付錢拿解藥. ... HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run ... <看更多>
windows檔案加密破解 在 密码保护Windows上的文件夹| 批处理文件| 无软件安装 - YouTube 的推薦與評價
在没有任何软件的情况下,密码保护 Windows 上的任何文件夹。这个视频将向您展示如何在没有任何软件的情况下使用密码锁定和隐藏 Windows 10 或 Windows ... ... <看更多>
windows檔案加密破解 在 [請益] 檔案加密防盜的方法- 看板Soft_Job 的推薦與評價
各位大大您們好,最近工作的案子都在大陸,所以有很嚴重的盜版問題。
想請教怎麼要防護自己產品不被盜用呢?
軟體的話可以寫一些序號密碼來啟用,小成本也不擔心別人特地去破。
但是我軟體常會用到一些AVI等等的影片媒體檔案,
這些多媒體檔案的成本其實還超過我寫的軟體成本,不希望能被輕易拿走。
且我在軟體裡面讀取使用媒體檔案的方式都是靠預設或是第三方元件,
比如C#的撥放媒體 windowsPlayer套件、aforge的影片撥放套件,
加上為了速度效能考量,所以好像也不行將媒體檔案隨意加密?
我自己想過的方法是:
1. 拿掉副檔名,祈禱對方君子不會看出這其實是影片檔。
2. 我先將媒體檔案分割成兩個,使用的時候再合成且讀取。
但是速度有點慢,因為媒體檔案高畫質都好幾G。
3. 媒體藏在C槽系統資料夾的深處,用絕對路徑去讀。
這邊想請教前輩們實務上是怎麼保密防扣的呢,感謝感謝 m(_ _)m 。
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 58.115.186.148
所以:
1. 先將媒體檔案某byte位址內容改掉或是加密。
2. 使用時再復原寫入整個檔案再讀取運作。
以下是猜想到的問題(可能錯很大):
1.改寫不夠徹底的話,現在有些影片播放器可以直接撥放能播的地方,
這樣殘破的檔案可能被撈走,所以可能還是得完整加密。
2.復原時是要臨時創一個新的正確檔案,
或是只是改一兩個byte復原原本檔案(非完整加密)。
一個臨時新的正確檔案,就是軟體花時間重作一個大型檔案,
不知道會不會有記憶體相關問題。
純粹復原一兩個byte錯誤的檔案,再去讀取感覺比較省空間效能。
可是又擔心程式沒正常關閉,沒有去把檔案再弄壞。
※ 編輯: KanoLoa 來自: 58.115.186.148 (02/04 13:08)
... <看更多>