Archive

Archive for July, 2012

微軟證實 : 黑客大賽技術應用於 EMET 之中

July 31st, 2012 No comments

每年都會有很多黑客大賽舉行,而很多網絡巨人都會借機會尋找高人,並希望高人將他們所研發到的技術帶到不同的產品之中。今天微軟向外公佈指已經正式在其Enhanced Mitigation Experience Toolkit(EMET)使用了黑客大賽其中一名參賽者所研發出來的技術。

該名黑客就是上年在拉欺維加斯舉辦的 BlueHat 大賽中,三位入圍決賽的其中之一,名為 Ivan Fratric。他當時研發的技術就是 ROP 攻擊 Return Oriented Programming,所謂的 ROP 就是利用不同的良性代碼,並將之混合起來及進行攻擊,這樣一來,即使是防毒軟件亦不能夠完全提供到防護;而現時微軟最新的 EMET 3.5 已經將 Ivan 的技術整合在內,相信將會有助於加強對 ROP 攻擊的防禦。

雖然 Ivan 的技術被應用於 EMET 之中,不過當年他在比賽之中卻與一等、二等獎無緣,由此可見即使並未得獎,只要擁有一定技術亦會被大公司所賞識。

以上資訊由www.hkitblog.com提供

微軟釋出更新、修復 16 個漏洞

July 27th, 2012 No comments

微軟釋出更新、修復 16 個漏洞
微軟今天正式向用戶推送 9 個安全性更新,並修正了 16 個漏洞,當中更修正了 3 個被列為「嚴重」的漏洞。今次的更新包括了 Office 2003、Office 2007、Office 2010、Windows 系統、Windows Server 系統,同時亦包括了 Mac 版本的 Office for Mac 2011。除了 Office 之外,在瀏覽器方面官方指最安全、最先進的 IE 9 亦包括在內,當中被列為「嚴重」漏洞的修復檔案分別有 MS12-043、MS12-044、MS12-045。

MS12-043 修正了 XML Core Services (MSXML) 的一個已被公開的漏洞,此漏洞主要透過 IE 進行攻擊,當用戶使用 IE 不幸地進入某些惡意網站時,黑客便可透過漏洞配合代碼執行攻擊。

而另一個被列為嚴重的修復檔 MS12-045 主要修復了 Data Access 中的一個漏洞,透過有關漏洞,當用戶瀏覽黑客製造出來的網站時,黑客可即時獲得與用戶相同的操控權限,從而對中招的電腦做成嚴重的後果。

最後一個被列為嚴重的修復檔 MS12-046 修復了 Visual Basic for Applications 漏洞,有關漏洞主要經 Office 文件發動攻擊,最嚴重的後果可令黑客於中招的電腦之中任意安裝軟件及刪除系統數據。

以上資訊由www.hkitblog.com提供

行動廣告收益趨勢 – iOS 廣告收益最高

July 24th, 2012 No comments

網絡普及加上智能手機大熱,很多傳統媒體例如是雜誌等的吸引力已大不如前;而且雜誌的印量、讀者人數等資料的不確定性,往往所收到的宣傳效果只屬一般,因此作為市務部門的員工,都紛紛找尋比雜誌更合適的宣傳平台。

最近有一份由 Opera 發表的全球行動廣告報告(State of Mobile Advertising report) 中便清楚顯示了現今全球行動廣告的關鍵性數據與趨勢。這份報告的數據來自於行動廣告領導平台,蒐集曝光量超過 350 億的行動廣告聯播網,在 2011 年已為網站內容業者帶來超過 2,400 萬美元的收益。

趨勢如下

iOS 平台的廣告收益最高 – 在 iPhone 上平均有效的每千人曝光成本(effective cost per thousand impressions,簡稱 eCPM)是 2.85 美元,Android是 2.10 美元,Windows 平台手機則是 0.20 美元。

與消費者互動,多媒體行動廣告(rich media)最有效 – 多媒體廣告可以幫助增加點擊次數(click-through rates)與更好的消費者互動,尤其是利用高階行動裝置上的功能進行互動,例如:影片播放、啟動照相鏡頭等。

商業與金融類商品提供較高的廣告收益 – 相較於其他產品類別,商業與金融類商品在平均每次曝光成本可以為業者產生較高的收益。

使用單一的廣告聯播網的效果有限 – 即使在很短的時間內,廣告效果也會相差很大。因此,沒有策略性的使用多個廣告聯播網的網站內容業者與廣告主,將無法擴大他們的收益與觸及率。

以上資訊由www.hkitblog.com提供

奧運成駭客垃圾郵件攻擊新寵

July 20th, 2012 No comments

黑客一直以來都喜歡利用熱門話題發動各式各樣的攻擊,而隨著 2012 倫敦奧運會開幕日子的接近,駭客已開始大量發送以倫敦奧運為主址的垃圾郵件。郵件內容誘騙使用者填寫個人資料以換取抽獎或是倫敦免費入場券等機會,使用者一旦填寫後將造成個人資料外洩。請各位使用者應審慎注意這輪利用倫敦奧運熱門話題為誘餌的垃圾郵件攻擊。

四年一度奧運盛會 駭客垃圾郵件攻擊騙取個人資料

熱門時令節慶議題總成為駭客發動攻擊的誘餌首選,四年一度的奧運盛會自然成為駭客加以利用的攻擊素材!繼 2008 年北京奧運後,即將開幕的倫敦奧運再度成為駭客垃圾郵件竊取個人資料的誘餌。有安全機構「趨勢科技」亦於近日發現了三種以倫敦奧運為主題的垃圾郵件攻擊手法。

利用獎品或免費入場券交換使用者個人資料

這輪垃圾郵件攻擊的手法,是通知收件者已經贏得了倫敦奧運免費入場門票,需要得獎者的個人資料,方能完成領獎手續。專家推測其為藉此騙取使用者個人資料,以轉手賣出牟利。

郵件夾帶惡意軟體,偽裝成得獎通知信件

駭客透過大量發出附上名為「中獎通知」附件檔的郵件,收件者一旦好奇下載並開啓該附件檔,電腦便會自動執行一個名為 TROJ_ARTIEF.ZIGS 的木馬程式,該木馬會攻擊 RTF 堆疊緩衝區的漏洞(CVE-2010-3333) 並植入後門程式,以取得受感染電腦的遠端控制權。一旦遭此後門程式感染,系統門戶大開,將陸續遭受其他攻擊,造成使用者網上銀行密碼等機密個人資料外洩。

郵件偽裝成知名單位發送, 要求收件者發信聯絡指定人士以獲取獎品

駭客將郵件內容與主旨竄改成由 Visa 發出的活動信件,要求收件者發信給指定聯絡人,以參與抽獎活動。收件者一旦寄出信件後,將收到駭客回信要求其提供個人資料、帳號資料等,甚至有使用者被要求到指定的銀行帳戶匯款,才能進行後續領取獎金的手續。

運用熱門話題作為垃圾郵件攻擊釣餌已經是相當常見的駭客手法。這樣的社交工程攻擊手法之所以一再被運用,主要是因為仍有網民不斷受騙上當,讓駭客可以從轉手販賣個人資料以得到利潤。

以上資訊由www.hkitblog.com提供

調查指用戶對 Facebook 滿意度低於 Google+

July 18th, 2012 No comments

雖然網絡上有很多社交網站的出現,例如有 Google+、Facebook 以及 LinkedIn 等等,但總的來說,社交網絡的一哥都是 Facebook。不過今天有一份由 ForeSee 進行的用戶滿意度調查便顯示用戶對於 Google+ 的滿意度遠比 Facebook 高。

根據調查,用戶對 Facebook 的滿意度於過去一年下跌了 8%,以 100 分為滿分計算,Facebook 亦只得 61 分,對比其他社交網絡來說,雖然用戶對 Facebook 的滿意度並非最低,但以 Google+ 面世一年即勝過 Facebook,這點的確值得 Facebook 深思!而早前力併 Facebook 的 Google+,雖然用戶人數沒法與 Facebook 相比,但在調查之中用戶給予 Google+ 78 分,可見用戶對 Google+ 的滿意度遠高於 Facebook。

有分析指,出現這個結果實屬正常。事關 Facebook 已成為不可不註冊使用的社交網絡,反觀 Google+ 的用戶大部份都是自願去註冊成為會員的,所以 Google+ 的評分比 Facebook 高亦不足為奇。

有 Facebook 用戶指使用 Facebook 的原因只是身邊太多朋友、親戚使用,假如身邊朋友或親戚主要使用 Google+,他們亦會選擇先使用 Google+。該用戶解釋這是因為 Google+ 的功能完善及實用,沒有 Facebook 般混亂。

今次調查訪問了 230 家公司對社交網絡的評價,得出的結果是 69 分,整體來說這個分數並不算好。

至於其他的社交網站得分如下。Pinterest 得分為 69 分、LinkedIn 得分為 63 分、Twitter 得分為 64 分,而 WikiPedia 則與 Google+ 取得同樣分數 – 78 分,Youtube 則取得 73 分。從上述結果所見,Twitter 以及 LinkedIn 是得分較低的社交網絡,而 Google 的 Google+ 以及 Youtube 可說是大獲全勝,至於 Facebook 嘛,我認為是時候反思一下為什麼用戶對你的評分會比起 Google+ 低得多!

以上資訊由www.hkitblog.com提供