虛擬貨幣湧現與你無關?不經意間你就成了駭客的挖礦工具!

阿根廷星巴克傳出發 Wi-Fi 暗藏惡意代碼,劫持用戶的電腦生成的虛擬幣,佔用用戶的電腦處理能力。虛擬幣不斷湧現之際,駭客看到了「挖礦」所帶來的巨大利益,各種手段防不勝防!
評論
評論

本篇來自合作媒體 極客公園 ,INSIDE 經授權轉載。

在未來,挖礦攻擊將越來越常見。

近日,比特幣再創新高,上週從每枚 1.1 萬美元飆升至 1.75 萬美元。隨著「炒幣」行為越來越熱門,基於區塊鏈技術的虛擬幣不斷湧現。黑客看到了「挖礦」所帶來的巨大利益,各種手段防不勝防。

防不勝防的挖礦手段

近日,據軟體公司 CEO Noah Dinkin 在推特爆料,他在阿根廷首都的一家星巴克喝咖啡時,發現店裡的公共 Wi-Fi 暗藏惡意代碼。它不會盜取用戶的個人資訊,也不會破壞電腦系統,而是劫持用戶的電腦生成一種名為「門羅幣」的虛擬幣。這種行為會佔用用戶的電腦處理能力,造成電腦卡頓。

星巴克調查表示,這次的問題在於服務提供商,而不是星巴克本身,這家店的 Wi-Fi 不是星巴克提供的,並表示將與服務提供商緊密合作。

這次事件似乎告一段落,看上去關閉瀏覽器就能解決問題,但實際上並非如此。近日,安全專家發現一個新技術,即使關閉瀏覽器,也依然不能解決問題。

這個技術的特別之處在於,雖然可見的瀏覽器窗口已經被關閉,但仍有一個保持打開狀態的隱藏窗口。這是因為惡意代碼會建立一個瀏覽器窗口,並將其隱藏在任務欄右下角後面的彈出式下拉選單裡。如果調整了 Windows 主題允許任務欄透明,就可以發現這個窗口了。

此外,這個應用降低了 CPU 的使用率。有些懂技術的用戶可能會打開任務管理器終止進程運行,但終止後任務欄仍然會顯示瀏覽器的圖標,並有一個不太明顯的突出顯示,這表明它仍在運行。

那麼,作為一個非常乖的用戶,不亂看網頁,不亂下載程式,也會中招嗎?答案是,是的。今年 5 月,勒索病毒 WannaCry 2.0 爆發席捲了全球,它利用了「永恆之藍」漏洞進行傳播。各大安全實驗室發現了很多挖礦木馬,和這個勒索病毒一樣,同樣使用「永恆之藍」漏洞傳播。

除了電腦,甚至連錄像機也不能倖免。SANS ISC 於 2014 年發表了一篇文章,介紹了這樣一件事:惡意軟體入侵了海康威視的數位綠影機。這個惡意軟體還試圖感染網路中的其它機器。此外,數位綠影機還被安裝了比特幣挖礦程式。值得注意的是,錄影機感染的是 ARM 二進製程序,顯然這個病毒專門針對 ARM 設備。

挖礦攻擊將越來越常見

在未來,攻擊者利用惡意軟體設備去挖礦會越來越常見。攻擊者會把精力集中在門羅幣(XMR)等匿名貨幣上。據極客公園了解,門羅幣受到駭客歡迎主要有以下兩點原因:一是門羅幣比比特幣更加匿名。二是不需要特定的設備就可以挖掘。

2015 年,Shen Noether 發表了一篇論文《RING CONFIDENTIAL TRANSACTIONS》,論文中提到了一種新的環形簽名加密技術,隱藏了交易金額、交易來源和交易目標。比特幣則不能隱藏加密金額。每筆比特幣交易都被記錄在案。任何人都能看見比特幣的去向。然而,如果任何交易所包含的地址能夠和一個身份相關聯,就有很大的可能性從該關聯出發,找出其他地址的所有者。這樣一來比特幣匿名性保護就岌岌可危了。所以,只要知道某人地址,既可以計算出他的比特幣資產餘額以及資金流動狀態。匿名幣對交易金額和交易雙方匿名(只有交易當事人能看到交易細節),從而徹底保護了參與者的隱私。

第二點,門羅幣利用了名為 CryptoNight 的 proof-of-work 的算法,不需要特定的挖掘硬體。今年 9 月 14 日,有作者發明了名為 Coinhive 的挖礦服務代碼,當用戶造訪了加載代碼的網頁時,就開始為所有者挖掘門羅幣,消耗的是用戶自己的計算資源。

Coinhive 宣稱,網站站長加載這套代碼就能實現盈利,它只消耗造訪用戶的部分 CPU,就能為網站所有者賺錢,維持網站發展,讓網站不用再添加廣告。如果站點每天保持 10-20 個活躍礦工,當前難度下,每月能產生 0.3 個門羅幣的收益。

這個想法得到了一些網站的支持和嘗試,全球知名的 BT 下載網站 The Pirate Bay 試運行後,發現這樣做損害了用戶的利益,選擇放棄。然而,許多網站發現有利可圖,紛紛加入到隊伍中。此外,也有很多駭客黑掉其他網站,加入這套惡意代碼,讓這些網站為自己「打工」。百度安全實驗室發布數據稱,2017 年 10 月以來,檢出的挖礦站點數量呈現上漲趨勢,越來越多的站點被發現植入了挖礦腳本,因為被黑而被動參與挖礦的站點也在增多。

外媒報導,據 Coinmarketcap 數據顯示,隨著以太幣和萊特幣在本週二創下歷史新高,加密貨幣的總市值達到了 5060 億美元的歷史最高水平,比億萬富巴菲特的伯克希爾•韋公司市值還要高。這是所有數位貨幣的總市值首次超過 5000 億美元大關。同時,這個數字也高於美國花旗集團和富國銀行的市值總和。

隨著虛擬幣價值的不斷攀升,駭客必然會為了利益,進行更多的攻擊。作為用戶唯一能做的,只有提高自己的安全意識,保護好自己,不要讓自己淪為駭客的工具。


如何善用原生雲服務,打造企業專屬數據中台?

資訊化起步較早的企業,最常見的問題莫過於系統整合。隨著企業發展,疊床架屋的系統加上IT人員和外包廠商的異動,所埋下的技術債與系統地雷也越來越多。究竟「數據中台」如何解決分散的系統、不統一的資料結構、有斷點的工作流程?專業雲服務商 Epic Cloud 聚上雲,帶您了解何謂數據中台,以及如何展開循序漸進的轉型之路。
評論
Photo Credit:Epic Cloud 聚上雲
評論

在環境快速變動的時代,企業的數位轉型已不僅是口號,而是一場競速的進行式。數位化、數位優化、數位轉型,分別是數位轉型的三階段。在數位化方面,包含從企業內部導入  ERP(Enterprise Resource Planning,企業資源規劃),也包含提供外部客戶的各種系統,舉凡供應商系統、會員系統、電商平台、行動 APP 等。隨著使用者規模不斷成長與多樣化,便衍生大量的數位優化議題。數位優化泛指使現有系統提供更多元、更完整的服務,或是提高資訊系統的穩定度與負載力。而企業在全力發展系統、進行數位優化時,想必也衍生不少問題。

資訊發展帶來哪些難題?

資訊化起步較早的企業,最常見的問題莫過於系統整合。通常導入某項特定系統是為了解決某項特定問題,然而隨著企業發展,在不同時期導入的不同系統,或是在既有系統上疊床架屋持續發展,再伴隨著企業的人員異動,以及外包廠商的更換,所埋下的技術債與系統地雷也越來越多。

根據調查,針對資訊系統,使用者最常有下列三大困擾:

  1. 系統太多,帳號密碼難以管理,人員搞不清楚什麼時候該用什麼系統。
  2. 系統部分功能重疊,但資料無法互通,產生更多問題與不必要的工作。
  3. 系統老舊跟不上變化,與實際需求不符。
Photo Credit:Epic Cloud 聚上雲

由此可見,分散的系統、不統一的資料結構、有斷點的工作流程,持續困擾著內外部的使用者。前述問題若不解決,遑論該如何導入近年火紅的大數據與人工智慧應用。導入這類需仰賴大量企業數據運行的數位轉型方案,往往直接卡關在第一道難題:「 我要的資料在哪裡?它能再利用嗎?它有效嗎?」

打造企業專屬的數據中台

正因如此,是時候將散落的系統與資料整合在一起了。「數據中台」是一種數據管理體系,根據企業特有的業務模式和組織架構,建構一套持續把數據變成資產、並服務於業務的機制。簡言之,數據中台就是將各種使用者介面、系統架構或是底層資料進行整合,讓業務面的應用程式更易於使用。然而,累積已久的各種系統,要如何開始整合呢?

Photo Credit:Epic Cloud 聚上雲

當今的資訊技術與商務模式日益複雜,企業很難透過單一的解決方案排除所有問題。除了要顧及商業流程之外,新打造的系統還必須兼顧資訊安全、高可用性、可擴展性、彈性,還需降低成本,甚至還得符合 ESG 指標 (環境保護 Environment、社會責任 Social、公司治理 Governance),具備一定的專業能力才能全盤兼顧上述需求。所幸,現今的主流公有雲如 AWS、Azure、GCP 均有提供各式 SaaS(Software as a Service)和 PaaS(Platform as a Service),讓企業可以「站在巨人的肩膀上」,降低新世代資訊系統的開發門檻,使企業可以專注於打造商務邏輯。當企業開始善用原生雲服務作為新系統架構,可節省高達 60% 的開發時間和 70% 的維運成本,使數位轉型更容易達成。工具既然已經齊全,那麼打造數據中台時,企業該如何運用雲端服務來快速達成目標?

Photo Credit:Epic Cloud 聚上雲
  1. 採用微服務架構:
    微服務架構的精神,就是將傳統大系統的業務流程,依照不同階段或功能,垂直切分為較小的單位,使單一功能可以獨立運作,並且有自己的應用程式與資料庫,使其他的應用程式易於使用。建議可搭配容器化技術,使微服務架構更易於實現。在雲端服務中, AWS 的 ECS(Amazon Elastic Container Service)、EKS(Amazon Elastic Kubernetes Service)與 GCP 的 GKE(Google Kubernetes Engine)均提供了託管的容器管理服務,讓企業在實現微服務架構的同時,也能一併解決因微服務化而產生大量容器管理的需求。由於採用了託管的雲端服務,在系統維運上,也為 IT 人員減輕了不少維護伺服器的負擔。
     
  2. 善用 SaaS 簡化開發與維運:
    除了主要的核心商務邏輯,數據中台還需要許多的周邊服務來完善系統。以使用者帳號管理功能為例,AWS 的 Amazon Cognito 提供了完整的身份帳號管理機制,還可串接企業內部的 Azure AD 或 Google Workspace 等帳號機制,替企業在資訊安全與使用者管理方面省下不少心力。其他諸如寄送 Email、發送簡訊、手機訊息推播、異質系統的資料串接、程式碼管理、系統監控、系統數據分析等,均有現成的 SaaS 服務可直接使用。企業在規劃數據中台時,應專注於實現自身的業務邏輯,而非每一件事都從零開始。
     
  3. 選用自由軟體與開源技術:
    過去企業的系統大致以 Oracle 與微軟的解決方案為主,時常因授權與維護費用的因素,使系統的改版與擴充窒礙難行。而在自由軟體技術成熟的當今,已可選用適合的軟體技術來滿足需求,雲端服務亦提供熱門技術的託管服務,例如資料庫類型的 Amazon Aurora (MySQL, PostgreSQL)、GCP AlloyDB (PostgreSQL)和 NoSQL 的  MongoDB Atlas, Amazon ElastiCache (Redis),以及可實現無伺服器化 (serverless)服務的 AWS Lambda (Node.js, Python, Java),再加上各種大數據與 AI/ML 的解決方案,企業可以挑選適合的技術來發展自己的資料中台。
     
  4. 關於資訊安全:
    「將企業的資訊放到雲端,到底安不安全?」是許多人心中的疑問。事實上,資訊安全並不是將資料鎖在自家機房就代表安全。所謂資訊安全,一般分為「資料儲存的安全」和「資料傳輸的安全」。在儲存安全的部分,雲端服務本身即提供了各種類型的儲存媒介,這些儲存媒介的底層,也設計了多份備份與異地備份的機制,而針對儲存的資料亦有額外的加密機制可選用;至於在資料傳輸的部分,有外部使用的傳輸加密與應用程式防火牆(WAF),也有內部使用的防火牆、VPN 與專線架構,這些都是雲端的基礎服務,加上雲端服務本身對於平台的操作都有完整的 log 機制,因此,將資訊中台建置在雲端,絕對可受到更好的資安防護。
Photo Credit:Epic Cloud 聚上雲

循序漸進的轉型之路

「我知道系統要改,但是不知從何改起。」這是許多企業經營者、企業高層與 IT 的心聲。觀察眾多正在進行數位轉型的企業,其成功不外乎有下列共同點:

  1. 由上而下推行:
    經營者與企業高層必需了解轉型所帶來的好處與長期價值,訂立 3 至 5 年的中短期目標,並指示相關的部門一同配合。數位轉型不是單純 IT 的工作,相關使用單位一同合作才會成功。
     
  2. 由外而內進行:
    一步到位的強硬轉型,幾乎都是慘烈的收尾。資訊系統的更換,往往牽涉使用者習慣、新舊商務邏輯的變更和異質系統的相依性,因此,在規劃新一代的系統架構和未來框架後,會選擇以新需求或是離核心業務較遠的系統起步,逐步實現更新,一方面降低轉型帶來的業務衝擊,一方面讓內部人員跟上轉型的腳步。
     
  3. 選擇合適的合作夥伴:
    資訊產業是一個快速發展和變化的產業。選擇合作夥伴時,除了要看核心人員的實戰經驗與成功案例外,也要觀察其案例技術是否與時俱進?團隊技能組成是否完整?團隊是否具備貴公司的產業經驗?合作夥伴為您規劃的藍圖是否為您量身打造?
Photo Credit:Epic Cloud 聚上雲

打造企業專屬的數據中台,是企業數位轉型的必經之路,專業雲服務商 Epic Cloud 聚上雲,是國內唯一同時具備 SAP、鼎新、Oracle 雲端服務經驗與雲端系統開發的專業團隊,擅長雲地整合、核心系統上雲與企業軟體開發等解決方案,代表客戶多為國內知名製造業、知名零售百貨與各類型新創企業,可協助客戶規劃未來 10 年的資訊架構,展開完善的數位轉型。

Photo Credit:Epic Cloud 聚上雲

本文章內容由「Epic Cloud 聚上雲 」提供,經關鍵評論網媒體集團廣編企劃編審。



作者簡介:許益晨 (Andy Hsu),現任 Epic Cloud 聚上雲技術長,雲端服務經驗十餘年,熟悉企業數位轉型過程,曾帶領大型電商進行 Oracle 平台搬遷、大型百貨電商軟體開發、大型製造業 SAP 系統上雲、鼎新系統上雲等,幫助企業客戶制定數位轉型計畫,輔導超過百間企業導入雲端服務。


關於 Epic Cloud 聚上雲 

Epic Cloud 聚上雲,以雲端服務驅動企業數位轉型的專業顧問團隊,提供「工廠製造雲地串聯」、「雲服務」、「雲應用」、「ESG 解決方案」等顧問諮詢和軟體開發解決方案,運用 Google Cloud 與 Amazon Web Service (AWS)的「大數據分析」和「機器學習」之服務,陪伴企業實現數位領先,是 Google Cloud 與 AWS 在台協助企業成功上雲的強大推手。 Epic Cloud 聚上雲團隊擁有 50 張以上的專業技術認證,涵蓋 Google Cloud、AWS、SAP、HubSpot、Infobip、Asana、Delinea、HelloSign、Litmus.io 等專業顧問服務認證。 

官方網站LINE 聯繫Facebook