[資安筆記] 小心這個.mov.zip |熟悉的新資安風險?
閱讀時間約 6 分鐘
文前碎碎唸
相信在座的朋友們,大家對於『.zip』以及『.mov』這兩個結尾都不陌生吧?
這兩個結尾,都是我們在使用電腦的時候十分常見的副檔名,其中『.zip』應該不大需要解釋,是在檔案傳送、打包的時候,經常使用的壓縮檔代表。
而『.mov』則是在 Mac 或 IOS 等 Apple 生態系的系統上 Quicktime 使用的一種影片格式。
除了在電腦上使用之外,多虧了他們壓縮的便利性,讓這兩種格式在網路世界也十分的普遍,因此也常可以看到人們以這些格式來做檔案的分享。
不過且慢,在你看到他們後,千萬不要手癢點下去了。
我的老估狗啊
其實關於下載來路不明壓縮檔後就中毒的事件並不少,對於資安稍有注重的朋友們,應該也會在下載之前再三確認,以避免自己中標。
不過就在不久前 Google 宣布開始提供
『.dad、.phd、.prof、.esq、.foo、.nexus、.zip、.mov』
等 8 種新的網域名的申請,而其中正好包括了前面所提到的
『.mov』及『.zip』
兩個極為常見的結尾名稱。
也就是說,如果有人以這兩個網域來註冊的話,我們確實有機會看到這些常見檔名,在未來的某一天,會直接變成可以在瀏覽器中對應網站,或是實際檔案的網址連結。
這對於一般使用者來說,或許不是一件會讓人多注意的事,畢竟有多少人真的會去注意瀏覽器網址列的內容,也不大會有人直接把檔名貼到網址列中吧?
但對於有心的駭客來說,可能就不是那麼一回事了,甚至可以說這是天上掉下來的大好禮物。
認知與信任災難
不過,這些網域究竟會帶來什麼樣的風險呢?
首先,在某些軟體或是網頁服務中,當使用者輸入了一串長得像網址的文字時,編輯器會自動的將這串文字轉換成可點擊的超連結,讓使用者在點擊時可以直接進到對應的網站中。
然而,以大部分的使用者對於這兩個結尾的認知,大多數使用者都會直接將他們視為普通的電腦檔案,因此在看到網頁或是郵件中,若是看到像是
- download.zip
- sharedphoto.zip
這種文字,並帶有超連結的話,通常也會自然地認定為檔案下載的捷徑。
當然如果那個網址還沒被使用的話,那自然也不會有真正的影響,但萬一有人刻意將一些常見名稱註冊下來,並直接連結到一個包含病毒的對應壓縮檔下載的話,那使用者很可能就因此中鏢了。
尤其是如果這個「網址」是來自於一個信任的對象,那不論對方是否真的有意要陷害,接收者也都可能因此放下戒心而點下連結。
相對的,如果是以發送者的角度來看的話,可能今天只是單純想要提到附件中有某個要給對方的檔案,或單純只是在發文中提到某個個定名稱的話,就有可能意外觸發連結,進而讓接受方意外陷入風險中。
另外,部分瀏覽器或防毒軟體具有回報連結的功能,雖然可以快速的更新或封鎖相關的惡意網址,但萬一這些網址,就這麼剛好的跟發送時提到的名稱相同,那麼接收者也可能會因為點進去後所跳出的惡意網址警告,進而失去對發送方的信任。
方便的面具
看到這裡,或許有人會覺得,既然這麼危險,那我就不去點任何 XXX.zip 的連結不就好了嗎,但駭客們也不會是省油的燈,明處無法戰鬥的話,那麼就來點陰的,既然這樣連結上不了當,那就套上一層皮來騙吧。
這裡我們先來看看下面這個網址
https://github.com/kubernetes/kubernetes/archive/refs/tags/v1.27.1.zip
直接解讀的話,就是從前面的路徑中去下載 v1.27.1.zip 這個檔案,而如果真的將網址貼到瀏覽器中的話,也確實是如此,很直接明瞭對吧?
那麼,我們再來看看下一個
https://github.com∕kubernetes∕kubernetes∕archive∕refs∕tags∕@v1.27.1.zip
看出差別了嗎?
如果你將這個網址貼到瀏覽器中的話,就會發現網頁自動被帶到 v1.27.1.zip 這個網址去,究竟是怎麼回事呢?
這種寫法,其實是過去將登入資料傳給「@」之後的網址來瀏覽受保護資料的常見方法,一般是以
「http://user:[email protected]」
的格式來輸入。
如果我們以這種格式來解析第二段網址的話,其實就是將前面那串都當成登入的資料,所以最後使用者實際連到的其實是「@」後面的那個路徑。
另外如果仔細觀察兩個網址,會發現後者為了避免瀏覽器對前面那串偽裝網址的正確解析,刻意的將網址中分隔的「/」符號,置換成看起來相似的「∕」以混淆視聽。
這時若駭客故意將這個網址指向實際檔案的話,就可以輕易在不讓使用者起疑心的情況下,散佈惡意程式了。
結語
現代科技變化快速,只要一有新的資源出現,接踵而來的就是新的風險。
雖然我本身並非資訊安全專業,但還是想藉此機會提醒在座的讀者,面對資安威脅逐漸險峻的網路時代,要多多了解現行的趨勢,並且對於不明確的東西保持一定戒心,並多方查證,才能免於受「駭」。
順帶一提,我先前因為好奇,而實際去查了一下後發現,在 Google Domain 上面以『.zip』結尾的網域,居然入門價只要每年 15 美元,難怪會被說是未來駭客的新寵之一。
另外,應該也有人會好奇,真的會有人用『download.zip』或『sharedphoto.zip』這種奇怪的網址嗎?
嗯⋯我只能說,還真的有 download.zip 這個網站的存在,至於 sharedphoto.zip 目前就還是空的了。
參考資料
- Google 新推出的域名 .zip 與 .mov 可能是下一個安全隱患
- Google 新推出域名 .zip 和 .mov!但為何遭到資安專家反對?
- What is happening with Google's .zip Domain?
- Can you ever (safely) include credentials in a URL?
- Google Did Something REALLY Stupid - Protect Yourself!
- Why security professionals are seething over Google’s new .zip domain
《全文。終了》
為什麼會看到廣告
留言0
查看全部
你可能也想看
Google News 追蹤
接下來第二部分我們持續討論美國總統大選如何佈局, 以及選前一週到年底的操作策略建議
分析兩位候選人政策利多/ 利空的板塊和股票
🤔為什麼團長的能力是死亡筆記本?
🤔為什麼像是死亡筆記本呢?
🤨作者巧思-讓妮翁死亡合理的幾個伏筆
分享回娘家生活、旅遊觀念、家庭規劃,以及帶寵物出國的經驗和心得。
分析輝達財報對股市的影響,以及對投資者的建議。
回顧Fortinet股票操作經歷,並分享對資安股市場的看法。
分析公司營運與股價表現,以及資安硬體的發展與變化。
探討AI時代的資安挑戰與機遇。
幣安Launchpool新代幣$ALT 明天1月25日早上8點挖幣截止,當日晚上6點就會上幣安交易市場了,今晚參與了 $ALT幣安上幣前的AMA。除了前晚和大家分享關於AltLayer,今天再加碼分享濃縮1小時AMA的內容。
本次〈幣安〉x〈鏈習生〉合作講座《⚡從零開始投資區塊鏈》,主講者為鏈習生研究員 Bao,如果大家剛好錯過,可以看重播連結唷~
感謝 意小鹿 Sikadeer🌸 的友情筆記,為群友們彙整這次主題〈三步驟!快速從零投資加密貨幣〉的五大重點,讓我們一窺究竟吧😄
今日主題:實戰!穩健幣圈投資策略ㄧ
感謝 意小鹿 Sikadeer🌸 的友情筆記,為群友們彙整這次主題〈三步驟!快速從零投資加密貨幣〉的五大重點,讓我們一窺究竟吧😄
今日主題:快速從零投資加密貨幣
第一個:註冊交易所、入金。
第二個:幣種的選擇
第三個:買幣
本次〈幣安〉x〈鏈習生〉合作講座《⚡從零開始投資區塊鏈》,感謝 意小鹿🌸 的友情筆記,為群友們彙整這次主題〈投資加密貨幣前的五大須知〉的五大重點,讓我們一窺究竟吧😄
自由系統近年來面對新冠肺炎的打擊,加上工業4.0時代來臨,工控場域導入愈來愈多物聯網與自動化設備。國際與政府更注意到資安對於產業衝擊與社會安全的嚴重性,紛紛立法督促企業採取作為。因此,轉型與資安雙軌落實已經成為製造業資安的必要之務。
一、傳統OT裝置的資安隱患
可視性相當有限
大量IoT/OT設備增
過去一些成果是不是表示台灣是否已經成功培養出能提升其資安國力所需的資安產業人才?其實答案是否定的。真正能開發資安工具自動化的人才對系統軟體(如作業系統、編譯器、虛擬機監視器)、資安攻防手法、人工智慧技術通常有多年浸淫的實戰經驗,也將是台灣資安產業能否破繭而出的關鍵研發力量。
在第七藝術的歷史上,有幾部故事片都以電影為共同主線,以電影為背景的電影,例如弗朗索瓦·特呂弗的《美國之夜》或最新的《剪輯!邁克爾·哈扎納維修斯(Michael Hazanavicius)。西班牙作品“官方比賽”將於 6 月 1 日星期三上映,它以一種憤世嫉俗的方式嘗試了這項運動。
什麼譫妄!
今年三月科技成長股大調整時,我寫過一篇文章推介CRWD,至今其股價已漲了七成。上周,雲端安全板塊好消息連發,包括CRWD被納入成為Nasdaq-100成份股和白宮會議等,帶動CRWD和ZS齊創新高。本篇文章會介紹「下一代資安」的三大面向、不同公司的競爭與合作狀況,以及我投資這板塊雲端安全公司的策略。
觀察這九間台灣主要的資安公司,會發現絕大多數都還是以硬體為主。分享一下自己的觀點與適合的投資方式
資安大廠代理商: 零壹(3029)、敦陽科(2480)、聚碩(6112)、凌群(2453)、精誠資訊(6214)。
偏硬體相關: 立端(6245)、是方(6561)、瑞祺電通(6416)。
接下來第二部分我們持續討論美國總統大選如何佈局, 以及選前一週到年底的操作策略建議
分析兩位候選人政策利多/ 利空的板塊和股票
🤔為什麼團長的能力是死亡筆記本?
🤔為什麼像是死亡筆記本呢?
🤨作者巧思-讓妮翁死亡合理的幾個伏筆
分享回娘家生活、旅遊觀念、家庭規劃,以及帶寵物出國的經驗和心得。
分析輝達財報對股市的影響,以及對投資者的建議。
回顧Fortinet股票操作經歷,並分享對資安股市場的看法。
分析公司營運與股價表現,以及資安硬體的發展與變化。
探討AI時代的資安挑戰與機遇。
幣安Launchpool新代幣$ALT 明天1月25日早上8點挖幣截止,當日晚上6點就會上幣安交易市場了,今晚參與了 $ALT幣安上幣前的AMA。除了前晚和大家分享關於AltLayer,今天再加碼分享濃縮1小時AMA的內容。
本次〈幣安〉x〈鏈習生〉合作講座《⚡從零開始投資區塊鏈》,主講者為鏈習生研究員 Bao,如果大家剛好錯過,可以看重播連結唷~
感謝 意小鹿 Sikadeer🌸 的友情筆記,為群友們彙整這次主題〈三步驟!快速從零投資加密貨幣〉的五大重點,讓我們一窺究竟吧😄
今日主題:實戰!穩健幣圈投資策略ㄧ
感謝 意小鹿 Sikadeer🌸 的友情筆記,為群友們彙整這次主題〈三步驟!快速從零投資加密貨幣〉的五大重點,讓我們一窺究竟吧😄
今日主題:快速從零投資加密貨幣
第一個:註冊交易所、入金。
第二個:幣種的選擇
第三個:買幣
本次〈幣安〉x〈鏈習生〉合作講座《⚡從零開始投資區塊鏈》,感謝 意小鹿🌸 的友情筆記,為群友們彙整這次主題〈投資加密貨幣前的五大須知〉的五大重點,讓我們一窺究竟吧😄
自由系統近年來面對新冠肺炎的打擊,加上工業4.0時代來臨,工控場域導入愈來愈多物聯網與自動化設備。國際與政府更注意到資安對於產業衝擊與社會安全的嚴重性,紛紛立法督促企業採取作為。因此,轉型與資安雙軌落實已經成為製造業資安的必要之務。
一、傳統OT裝置的資安隱患
可視性相當有限
大量IoT/OT設備增
過去一些成果是不是表示台灣是否已經成功培養出能提升其資安國力所需的資安產業人才?其實答案是否定的。真正能開發資安工具自動化的人才對系統軟體(如作業系統、編譯器、虛擬機監視器)、資安攻防手法、人工智慧技術通常有多年浸淫的實戰經驗,也將是台灣資安產業能否破繭而出的關鍵研發力量。
在第七藝術的歷史上,有幾部故事片都以電影為共同主線,以電影為背景的電影,例如弗朗索瓦·特呂弗的《美國之夜》或最新的《剪輯!邁克爾·哈扎納維修斯(Michael Hazanavicius)。西班牙作品“官方比賽”將於 6 月 1 日星期三上映,它以一種憤世嫉俗的方式嘗試了這項運動。
什麼譫妄!
今年三月科技成長股大調整時,我寫過一篇文章推介CRWD,至今其股價已漲了七成。上周,雲端安全板塊好消息連發,包括CRWD被納入成為Nasdaq-100成份股和白宮會議等,帶動CRWD和ZS齊創新高。本篇文章會介紹「下一代資安」的三大面向、不同公司的競爭與合作狀況,以及我投資這板塊雲端安全公司的策略。
觀察這九間台灣主要的資安公司,會發現絕大多數都還是以硬體為主。分享一下自己的觀點與適合的投資方式
資安大廠代理商: 零壹(3029)、敦陽科(2480)、聚碩(6112)、凌群(2453)、精誠資訊(6214)。
偏硬體相關: 立端(6245)、是方(6561)、瑞祺電通(6416)。