Log for 網路攻防戰~資安閒聊群組

標題：只用5美元的 樹梅派Zero 就能在筆電植入後門(含示範影片)

示範影片：
https://www.youtube.com/watch?v=Aatp5gCskvk

摘要：
Kamkar在Raspberry Pi Zero上安裝了開源執行環境Node.js，利用軟體把Raspberry Pi Zero偽裝成乙太網路裝置，然後藉由USB或Thunderbolt介面連至受到密碼保護或被鎖住的電腦上。

這是因為不論是Windows、macOS或Linux等平台皆能辨識乙太裝置，且不管電腦是否處於受保護的狀態下皆會自動載入它，將其視為低優先順序的網路裝置並執行DHCP請求。

Kamkar把該改裝後的Raspberry Pi Zero命名為PoisonTap，它能挾持該電腦上的所有流量，汲取與儲存瀏覽器造訪全球前100萬個網站的HTTP cookie與期間，並曝露內部的路由器以供遠端存取。

此外，PoisonTap可於瀏覽器與路由器上植入後門程式，就算移除了PoisonTap，後門將會繼續存在且仍允許駭客遠端存取。

引用來源：
http://www.ithome.com.tw/news/109694

標題：利用 Arduino 破解 NFC 感應器，自動輸入你的密碼。(含示範影片)

示範影片：
https://www.youtube.com/watch?v=OMCHgVBabRE

摘要：
輸入密碼不正確快把你搞瘋了嗎？每次登入都要輸入20幾個落落長的密碼？這個專題將用Adafriut NFC（近距離無線通訊技術）擴充板偵測NFC感應器，並用Arduino Leonardo破解NFC感應器，自動輸入你的密碼。

製作步驟：
請參考引用來源網站！

引用來源：
http://www.makezine.com.tw/make2599131456/nfc

標題：網路隱私不再，VPN重新成為顯學

寫在前面：
原始文章描述的是美國的案例！

摘要：
上個月底，美國參議院投票否決FCC的法案，允許網路供應商自由分享用戶的網路瀏覽資料，此舉引來一陣譁然。

事實上，美國人根本沒有選擇網路供應商的權利。網路供應商全是同一副模樣，他們一邊賺你的錢，一邊試圖轉賣你的個資。無論是AT&T，Spring還是T-Mobile，他們的手機都有內建追蹤軟體。Verizon在手機內暗中安裝追蹤系統，讓別人可以飽覽你的網頁瀏覽紀錄。Comcast為了利益而口不擇言，認為自己有權處分用戶的網路瀏覽資料，宣稱此舉有助於經濟成長，簡直誇張至極。

在使用VPN的情況下，網路供應商只能取得加密後的資料（看起來是一堆亂碼），無法拿出去轉賣。供應商知道你有上網，卻不知道你上網做了哪些事情。

一旦VPN的需求增加，其爭議就會跟著膨脹。當你使用VPN的同時，你也把自己的網路瀏覽資料送到對方手上。假如VPN業者心懷不軌，或是內部保密不確實，你的個資就有洩漏的危險。

最糟的狀況是：VPN業者就是政府的眼線，專制國家最喜歡搞這種手段。

今年年初，以加州大學柏克萊分校為首的單位針對手機市場上的VPN進行調查，發現有將近18%的Android VPN根本沒有替用戶加密。

VPN就像一把雙面刃，它可以保護你的安全，也可以破壞你的隱私。然而這不代表VPN一無是處，只要小心使用，VPN仍是十分有用的工具。事實上，我們還有另一個絕招：自己擔任VPN供應者。美國那邊的Sovereign、OpenVPN與AutoVPN等公司都可以讓你租用他們的主機架設VPN伺服器，前提是得具備架設伺服器的知識，並支付必要的費用。

網路安全不會憑空而降，我們得自己去爭取，願意付出多少心血，就能夠獲得多少安全。


引用來源：
http://www.techbang.com/posts/50320-internet-privacy-is-no-longer-subject-vpn-back-into

標題：French Locker 每10 分鐘刪除一個檔案;專挑醫療機構下手的SAMSAM推出新版本

摘要：
French Locker (趨勢科技命名為 RANSOM_LELEOCK.A) 是一個典型的快打型勒索病毒。

此勒索病毒會在螢幕上顯示一個 10 分鐘的倒數計時器，每次 10 分鐘一到，就會刪除受害者一個被加密的檔案。

此病毒是經由惡意網站感染，或是由其他惡意程式植入系統當中，受害者可選擇英文或法文介面。首先，勒索病毒會將自己複製一份到系統上，然後在系統登錄當中增加一筆設定讓系統在重新開機時自動執行該病毒並觸發加密程序。被加密的檔案名稱末端會多了「.lelele」副檔名。

除此之外，French Locker 還會查看系統上是否有下列執行程序( Processhacker、Taskmgr、Wireshark、Chrome、Firefox、Skype )正在執行，如果有的話就自行終止。

從勒索病毒的不斷演進可以看出，網路犯罪集團一直在積極採納新的技術和技巧，藉此持續提升其惡意程式威力。也正因如此，所有使用者都應隨時保持警戒，並隨時關心威脅的最新發展。


引用來源：
https://blog.trendmicro.com.tw/?p=49157

標題：Bose 耳機被曝收集用戶隱私，還轉賣個資

摘要：
近日耳機製造廠商 Bose 遭遇了一起訴訟，Kyle Zak 購買了一款售價高達 350 美元的 Bose 無線耳機，他在官網上註冊這款產品，提交他的姓名、電郵和產品序號，在智慧型手機中安裝了搭配耳機使用的 Bose Connect 應用程式。

據法庭文件顯示，Bose 收集的資料超過了產品個人隱私條款規定的範圍，包括用戶聽的音樂文件名稱，也就是說耳機知道你每天在聽什麼。

Bose Connect 應用程式在沒有經過設置的狀況下，會持續記錄耳機和智慧型手機間傳輸的資訊，包括音樂名稱、歌手名稱和專輯資訊的播放列表，所有資訊都會列入相關產品序號。但 Bose 收集這些資訊並沒有經過用戶許可。用戶聽的內容是隱私個資，可能表現了用戶的政治傾向、健康狀況和興趣。

除此之外，代表Zak提出訴訟的律師事務所Edelson在進一步研究後還發現，Bose並非僅僅只是為了自己使用而收集這些資訊，該公司甚至還將資訊提供給另外一家名為Segment.io的數據分析公司。

原始資料：
Bose headphones have been spying on customers, lawsuit claims
http://www.sfgate.com/news/article/Bose-headphones-have-been-spying-on-customers-11086904.php

相關報導：
Bose耳機愛用者請注意：你可能已被竊聽了
https://tw.news.yahoo.com/bose%E8%80%B3%E6%A9%9F%E6%84%9B%E7%94%A8%E8%80%85%E8%AB%8B%E6%B3%A8%E6%84%8F-%E4%BD%A0%E5%8F%AF%E8%83%BD%E5%B7%B2%E8%A2%AB%E7%AB%8A%E8%81%BD%E4%BA%86-102002610.html

你聽音樂他聽你！Bose耳機遭控蒐集使用者個資
https://www.mirrormedia.mg/story/20170420int002/

Bose 耳機被曝收集用戶隱私，還轉賣個資
http://technews.tw/2017/04/21/bose-headphones-have-been-spying-on-customers-lawsuit-claims/

引用來源：
http://technews.tw/2017/04/21/bose-headphones-have-been-spying-on-customers-lawsuit-claims/

Facebook Lite 輕量版 APP 開放下載，省電、省流量並加速

http://www.playpcesor.com/2017/04/facebook-lite.html

標題：Facebook Lite 輕量版 APP 開放下載，省電、省流量並加速

摘要：
原本只在少數國家開放下載的 Facebook Lite ，也已經可以在台灣的 Google Play 商店直接下載使用了，想試試看的朋友不用另外去下載 APK 檔案安裝，直接在 Google 商店下載 Facebook 的官方正式版本即可。

「 Facebook Lite 」是 Android 專用 App ，台灣用戶也已經可以直接在 Android 的 Google Play 商店下載：「 Facebook Lite 」。

首先跟 Facebook 主程式相比，「 Facebook Lite 」體積確實小非常多，從下圖中可以看到光是已經被我停用的 Facebook 主程式，都是「 Facebook Lite 」的好幾倍大，更不用說實際使用後的佔用資源差距。

無論是記憶體的用量、手機儲存空間的用量，「 Facebook Lite 」確實是更輕省，而且輕省非常多，這也真的有益於手機的運作效能和空間。

「 Facebook Lite 」在捲動時會優先載入文字，然後才逐張載入圖片，如果還沒捲動到的地方圖片不會先載入，在滑動時可以非常滑順的不斷往下快速捲動，沒有什麼延遲的時間。

「 Facebook Lite 」在節省網路流量上，比 Facebook 主程式要節省更多數據用量，因為「 Facebook Lite 」的介面更精簡、更少動畫。

另外一個數據，也就是電力的消耗量，就發現「 Facebook Lite 」在看臉書這件事情上相對省電。

官方「 Facebook Lite 」 APP 下載：

Android 版(Play 商店)：https://play.google.com/store/apps/details?id=com.facebook.lite

引用來源：
http://www.playpcesor.com/2017/04/facebook-lite.html