Citibank Phish Spoofs 2-Factor Authentication
Saturday, September 9, 2006, 16:55 - 資訊電腦, 資訊安全
網路釣魚 (phishing)是因為網際網路興起後被發明新英文單字,是取phreak(偷接電話線的人)的前兩個字母ph取代fishing(釣魚)的f。網路釣魚的方式是以社交工程學(也就是騙術)結合電腦科技的新犯罪手法。通常網路釣魚目的是騙取受害人的網站上的帳號密碼(網路銀行或線上遊戲)、信用卡資料以及個人資料,進行例如線上轉帳、偷取遊戲虛擬寶物、窺伺別人的email以及盜刷等違法行為。根據國際反詐騙組織(Anti-Phishing Working Group, APWG 網址:http://www.antiphishing.org/)統計,約有5%的人會對網路釣魚電子郵件中的內容有反應。
未了遏止類似這類網路釣魚線上詐騙的盛行,這幾年資訊安全專家紛紛向金融機構的網站推銷所謂的「雙重驗證(two-factor Authentication)」機制,也就是讓消費者在進入網路銀行時,除了消費者記得的帳號與密碼之外,還必須向網站證明他擁有銀行核發的一個硬體憑證才能夠登入網站進行交易。這樣的措施在美國是由美國聯邦財政機構檢測委員會—包括聯邦儲備(Federal Reserve)和聯邦存款保險公司(Federal Deposit Insurance Corp.,FDIC)等管理者在內,要求銀行2006年底皆必須加強網上身份驗證措施,給每個顧客一份加密的憑證,這些憑證會向銀行證明用戶的真實身份。
這樣的機制對於想要利用網路釣魚來詐騙帳號與密碼的歹徒來說,是會構成詐騙上困難度。因為對於比較精明或了解網路的消費者來說,除了查看瀏覽器上顯示的網址外,也可以從網站驗證的結果來判斷這是否是一個網路釣魚的網站。不過最近國外一家從事安全技術研究的公司Secure Science Corp在網路上發現了一個針對Citibank設計的精密釣魚網站。由於Citibank已經配發給消費者一個動態密碼的token,因此這個釣魚網站為了不被消費者發現,在要求使用者輸入帳號、密碼以及由動態密碼token產生的通行碼之後,會把這些資料傳給Citibank的網站,然後把Citibank網站傳回的訊息一五一十的傳回到使用者的瀏覽器上,讓即便是通曉網際網路技術的使用者都可能被騙過。
[ 發表回應 ] | permalink
未來兩年入境美國的新待遇
Saturday, September 9, 2006, 15:24 - 資訊電腦, 資訊安全
幾年前台北市啟用的指紋及臉譜辨識系統,引起了隱私與人權很大的爭議。台北市推行這項便民機制,是依據「個人電腦資料保護法」,在民眾自願、知情下,採納左右手中指指紋及臉型建檔,在特定的戶政業務項目上,利用指紋、臉型辨識通關,不必攜帶任何身分證件。但在大法官宣告內政部身分證換發須按捺指紋規定違憲,同時傳出這套系統已經發生無法維護的新聞後,這方面的議題在台灣似乎又沉寂下來了。
不過美國因為911的關係,美國政府以反恐的理由,利用生物辨識收集隱私資料的措施卻越來越嚴格。根據美國國土安全部部長Michael Chertoff最近在喬治城大學的演講中指出,美國政府將會擴大收集持非移民類簽證人的所有指紋。過去兩年入境美國的人只被要求在掃瞄裝置上留下兩個食指的指紋並當場拍攝一張數位相片。而這所有收集來的指紋未來將會與美國在全球各地收集來的恐怖份子的指紋資料庫進行比對。
這個措施是美國國土安全部在911事件以後,從2004年1月開始所推動的來訪者出入境身份識別技術(US-VISIT)的新修正。國土安全部將會在兩年內,在海關安裝新的10指指紋掃瞄器,以便修正目前收集的指紋資料無法與FBI的10指指紋資料庫相容的問題。Chertoff表示收集更多的指紋將能夠嚇阻想進入美國進行攻擊的恐怖份子。
[ 發表回應 ] | permalink
你能分的清『必要的』工作與『重要的』工作嗎?
Friday, September 8, 2006, 00:38 - 管理自修筆記
上個禮拜有談到績效指標,我把我的想法跟同仁討論時,還是有同仁不認同。有位同仁提出說他把他被指派的日常工作做的好好的,不出一點錯,讓老闆不用擔任何心,那這樣不能夠叫績效嗎?他當時問我,這些日常工作難道不重要嗎?我脫口而出:不重要。這樣的答案讓他很驚訝。我回問他,我們常要應付老闆交代下來,許多不在當初績效目標裡的瑣事,你說那重不重要?在場的很多人都點頭說很重要。我說,在我的定義那些事不重要,但是,我還是會把這些事情做好,因為這些瑣事3,5年後我大概都記不得了。但今年的年度績效,如果是很輝煌的績效,我想我不只會記得,也會寫在自己的履歷裡,那這才是重要的事。
晚上回家後,我自己試著再整理把這個論點再講的更清楚點。我的想法是這樣:我相信大家都聽過80/20理論,一個常被舉出的例子是通常一家企業80%的業績是來自20%的產品。而對個人來說,這個理論也可以適用:我們日常工作所花的80%心力,只產生老闆對你績效表現印象的20%。為什麼會這樣?
我認為這要從工作的必要性、重要性及優先序來區分。我們每天被指派的日常工作,你把這些工作做好,是『必要的』,因為老闆已經每個月付了你的薪水來處理這些狗屁倒灶的事。但是你要讓你的老闆記得你、獲得比別人多的績效獎金、爬的比別人快,甚至跳槽時讓新公司印象深刻,那很抱歉,你就要做一些能夠表現出績效的事,也就是「重要的」事。當然能夠表現出績效的事,通常需要花較長的時間醞釀,困難度也比較高,短時間做不好,但老闆的容忍度會比較高。因此在訂定優先順序上,還是要優先處理平日『必要的』瑣事,這些事情通常老闆的容忍度會比較低,不先處理,你就等著找罵挨吧。
因此千萬切記,不要永遠只做『必要的』瑣事,並且拿這些來當藉口說自己多忙多忙,而不做「重要的」大事,因為這樣的員工,在老闆的心目中,永遠都會是「可被取代」名單上的第一位。另外還有一種員工也是很不討喜的,就是只做「重要的」大事,不屑做「必要的」瑣事,這樣的員工恐怕在短時間都還看不到任何績效之前,就已經被同事唾棄,或是被老闆認為是不敬業而先被fire了。
[ 發表回應 ] | permalink
工作上的必要性、重要性與優先序
Thursday, September 7, 2006, 11:51
最近因為跟同仁談論工作績效的問題,讓我進一步思考工作與績效的定義。在我跟同仁討論的過程裡面,我發現同仁一再提出的是
[ 發表回應 ] | permalink
澳洲ATO解雇洩密員工
Monday, September 4, 2006, 12:27 - 資訊電腦, 資訊安全
上週我提到一則有關澳洲隱私外洩的新聞,將近八百位的澳洲Centrelink員工因為不當的查閱的客戶隱私資料而被逞處。隔了一天又傳出澳洲的稅捐辦公室(Australian Taxation Office)逞處了27個私下查看納稅人資料的員工。這27名員工中有的在被抓到後便辭職了,有的則面臨被解雇、罰款、減薪或降級的命運,比較嚴重的兩名員工被以妨礙稅務法(Tax Administration Act)被起訴。看來澳洲政府在防止員工洩漏隱私與機密這件事情上是玩真的。
這則新聞是在前澳洲演員及製作人John Cornell指控ATO向媒體洩漏他與Paul Hogan被ATO追究未誠實申報4千萬美金瑞士基金及境外公司這件事的一個禮拜後被揭露。ATO目前正在進行一個兩年的計畫,利用電腦系統來監看對所有高知名度納稅人資料的存取記錄。如果有任何的可疑存取記錄,ATO便會專案調查是否有隱私外洩的情況發生。澳洲其他的政府單位包括Medicare Australia與Child Support Agency都在考慮引進類似的資訊系統來防止內部員工洩密的狀況發生。
[新聞來源: Australian IT]
[ 發表回應 ] | permalink
前一頁 下一頁
