《資安新聞周報》駭客只靠閃爍的硬碟指示燈就能隔空偷資料/連網布偶傳語音資料外洩遭勒贖/Google 攻破 SHA-1 加密技術

本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。

趨勢科技 TippingPoint 導入 XGen 防護技術,率先將機器學習能力納入新一代入侵防護    iThome Weekly電腦報

每秒可檢測高達100Gb網路流量,趨勢推出高階次世代IPS設備 趨勢Tippingpoint NX系列   iThome Weekly電腦報

電腦沒連網就不用怕駭嗎?研究:駭客只靠閃爍的硬碟指示燈就能隔空偷資料 iThome

《經濟學人》物聯網報告顯示 眾多企業正投身物聯網  電腦硬派月刊

連網布偶玩具商不設防,公開的MongoDB外洩逾200萬筆語音資料遭勒贖  iThome

16歲少年自學駭客技術 破浙公司APP盜20萬       東網 (台灣版)

供地部署薩德 樂天中國官網遭駭癱瘓      中央社即時新聞網

洗澡時網路攝影機常有怪聲 女發現真相嚇得拔插頭      中時電子報網

大學網路快又穩 智慧型電器成駭客新目標      台灣蘋果日報網

孫正義:電腦AI將大幅超越人腦 安謀重視連網裝置安全     電子時報

勒索比特幣 國際駭客大舉侵台 今年以來券商、學校都遭攻擊    聯合報

 

星官員個資遭駭客竊取 國防部稱沒有洩漏軍事機密      中時電子報網

英駭客攻擊德國電信 倫敦機場被逮  中央廣播電臺

台籍駭客攔截台灣公司電郵 偽造詐騙國外客戶      聯合新聞網

Linux專案修補可能存在11年之久的權限擴張漏洞   iThome

9 兆次演算碰撞達成!Google 攻破 SHA-1 加密技術     科技新報網

SHA-1: 9,223,372,036,854,775,808 個不需擔心的理由 資安趨勢

CloudFlare 遭「滴血攻擊」:如果你註冊這些網站,請立即修改密碼! INSIDE

全球最大垃圾郵件殭屍網路Necurs增DDoS功能,恐推升DDoS攻擊流量  iThome

極度容易誤墮陷阱!Chrome 新型病毒「找不到字型」肆瘧!     流動日報

 

 

 

Firefox快取中間憑證的方式可能讓機密資訊全都露          HiNet

不一樣的美術作業 小學生帶你聽見集集在地生活  臺灣導報網

趨勢科技攜手趨勢教育基金會推動偏鄉教育第三部曲    iThome

 

釣魚者使用PDF附件發起簡單但有效的社工攻擊    每日頭條

近半數網站存漏洞:大學生成「堵漏」主力「白帽子」        新浪網(臺灣)

Google公布涉及IE與Edge的微軟漏洞     iThome

百度旗下網站暗藏惡意代碼 劫持用戶電腦瘋狂「收割」流量      新浪網(臺灣)

仿冒+竊密 美年損18兆 中國是首惡      自由時報

台灣隊搶下世界駭客大賽門票    自由時報

資安趨勢部落格一周精選:

 

 

趨勢科技 TippingPoint 導入 XGen 防護技術,率先將機器學習能力納入新一代入侵防護        iThome Weekly電腦報

全球網路資安解決方案領導廠商趨勢科技 (東京證券交易所股票代碼:4704) 今天宣布其網路防禦解決方案將導入強大的 XGen™ 防護技術,進一步將智慧並環環相扣的最佳化防禦策略延伸至網路防護,讓專利申請中的機器學習能力導入趨勢科技 TippingPoint 新一代入侵防護 (NGIPS) 解決方案當中,成為第一個將機器學習應用於透通模式 (in-line) 即時網路攻擊偵測與攔截的獨立式 NGIPS 廠商。

<回到新聞條列重點>

每秒可檢測高達100Gb網路流量,趨勢推出高階次世代IPS設備 趨勢Tippingpoint NX系列   iThome Weekly電腦報

過去幾年,趨勢科技陸續併購幾家網路入侵防禦系統(IPS)大廠,例如,他們在2013年併購威播科技,接著在2015年向HP買下TippingPoint,取得這些公司的產品與技術之餘,也擁有更強大的全球威脅情報能力,例如,由TippingPoint所發起的零時差漏洞研究計畫Zero Day Initiative(ZDI),以及他們所成立的數位疫苗實驗室Digital Vaccine Labs(DVLabs)。

<回到新聞條列重點>

16歲少年自學駭客技術 破浙公司APP盜20萬       東網 (台灣版)

浙江杭州一間公司上月發現旗下APP有107萬元(人民幣‧下同)被盜走後報警,警方調查後,上周一鎖定其中一筆贓款被轉到夏某的帳戶之中,而取款的則是江西19歲姜姓青年。湖北崇陽警方受邀協助調查後,於翌日在縣城網吧內發現藏匿該處的姜姓青年和其16歲同黨小趙。

<回到新聞條列重點>

供地部署薩德 樂天中國官網遭駭癱瘓      中央社即時新聞網

南韓樂天集團供地部署薩德後,狀況不斷,樂天中國官網(lotte.cn)昨天下午起即陷入癱瘓,無法開啟網頁。樂天表示,經專家研判,應該是駭客發起病毒攻擊,導致官網癱瘓。

<回到新聞條列重點>

《經濟學人》物聯網報告顯示 眾多企業正投身物聯網  電腦硬派月刊

我認為經濟學人智庫(EIU) 的2017年物聯網(IoT)商業指數(www.arm.com/iot17 )是我們目前看過最具可信度的研究報告,該報告忠實反映全球產業在物聯網方面的進展。經濟學人智庫在2013年開始發表年度物聯網商業指數,最新的研究顯示物聯網商業模式在過去三年逐漸成熟,廠商從研究與規劃階段轉入先期部署。此外該報告亦指出超過半數的企業主管已將物聯網視為攸關企業長期成功的關鍵力量。

<回到新聞條列重點>

連網布偶玩具商不設防,公開的MongoDB外洩逾200萬筆語音資料遭勒贖   iThome

CloudPet是一款連網布偶,具備麥克風及喇叭,可讓父母透過App及布偶,和兒童雙向傳送語音訊息。安全人員發現CloudPet超過82萬名註用戶、近220萬筆語音資料儲存於公開的MongoDB,資料庫遭惡意組織存取並刪除,要求支付比特幣贖金。

<回到新聞條列重點>

洗澡時網路攝影機常有怪聲 女發現真相嚇得拔插頭      中時電子報網

隨著科技的發達也帶來暗藏的隱私危險。在中國大陸有一名吳姓女子近日在洗澡時,常聽見連接電腦的網路攝影機發出詭異的聲音,不僅如此,網路攝影機還會依身體的去向而移動,吳姓女子事後透過手機監控程式,才發現原來有人正用遠端偷看她洗澡,嚇得她直接拔掉插頭。

<回到新聞條列重點>

大學網路快又穩 智慧型電器成駭客新目標      台灣蘋果日報網

網絡科技大幅改變日常生活,周遭設備的保安設置也需謹慎嚴防,以免被操控利用。香港資訊科技顧問公司「Verizon」發表最新一份數據失竊摘要,揭露有大學校園的自動販賣機網絡因保安設定欠佳遭到入侵,成為「殭屍網絡」一部份,大幅佔用頻寬令學校網絡緩慢。

<回到新聞條列重點>

孫正義:電腦AI將大幅超越人腦 安謀重視連網裝置安全     電子時報

日本軟銀(Softbank)創辦人暨執行長孫正義在2017年全球行動通訊大會(MWC 2017)發表主題演講時表示,未來30年內電腦人工智慧(AI)將會超越人類。在此一期間內,將會開發出智商為人類平均智商1,000倍的電腦系統。

<回到新聞條列重點>

釣魚者使用PDF附件發起簡單但有效的社工攻擊    每日頭條

通過Gmail網絡釣魚攻擊是如此有效,甚至欺騙了技術用戶,但它可能只是冰山一角。我們看到越來越多類似的簡單但聰明的使用PDF附件發起的社工攻擊。

與其他垃圾郵件廣告系列不同,我們在這些網絡釣魚攻擊中看到的PDF附件不包含惡意軟體或漏洞利用代碼。

<回到新聞條列重點>

近半數網站存漏洞:大學生成「堵漏」主力「白帽子」        新浪網(臺灣)

近日,個人的信息安全越來越受關注,近日發佈的《2016年中國網站安全漏洞形勢分析報告》披露,近一半的網站存在漏洞。記者了解到,目前大學生已經成網路安全漏洞提交領域的主力。漏洞提交工作也被業內稱為「白帽子」。所謂白帽子,是指正面的黑客,他可以識別計算機系統或網路系統中的安全漏洞,但並不會惡意去利用,而是公佈其漏洞。這樣,系統可以在被其他人利用之前來修補漏洞。

<回到新聞條列重點>

Google公布涉及IE與Edge的微軟漏洞     iThome

Google旗下的網路抓蟲小組Project Zero(Zero專案)上周再公布了一個涉及微軟IE及Edge等瀏覽器的安全漏洞,雖然微軟尚未修補該漏洞,但因時間點已到了Zero專案通知供應商後的90天期限,因此又被自動揭露。

<回到新聞條列重點>

百度旗下網站暗藏惡意代碼 劫持用戶電腦瘋狂「收割」流量      新浪網(臺灣)

經火絨安全實驗室截獲、分析、追蹤並驗證,當用戶從 百度 旗下的https://www.skycn.net/和 https://soft.hao123.com/這兩個網站下載任何軟體時,都會被植入惡意代碼。該惡意代碼進入電腦後,會通過載入驅動等各種手段防止被卸載,進而長期潛伏,並隨時可以被「雲端」遠程操控,用來劫持導航站、電商網站、廣告聯盟等各種流量。

<回到新聞條列重點>

仿冒+竊密 美年損18兆 中國是首惡      自由時報

非官方的「美國智財權竊盜委員會」發布最新報告指出,包括仿冒、盜版及竊取商業機密等行為,每年導致美國經濟損失最多達六千億美元(約新台幣十八.六兆);其中中國是首惡,中國政府甚至鼓勵竊取智慧財產權。

<回到新聞條列重點>

勒索比特幣 國際駭客大舉侵台 今年以來券商、學校都遭攻擊    聯合報

勒索比特幣的國際駭客,大舉入侵台灣!近來國內多家證券商、學校都遭駭客攻擊,威脅癱瘓網站或毀損資料,並要求以比特幣支付贖金,刑事局展開調查,但駭客藏身隱密網路世界,甚至使用成千上萬個國外IP,追查難度極高,幾乎是「不可能的任務」,警方提醒被害人不要付款,「守住第一道防線!」

<回到新聞條列重點>

電腦沒連網就不用怕駭嗎?研究:駭客只靠閃爍的硬碟指示燈就能隔空偷資料 iThome

以色列的內蓋夫本-古里安大學發表一項研究,證明即使電腦沒有連接網路,仍可能透過植入惡意程式控制電腦上的硬碟指示燈號閃爍,搭配攝影機就能讀取轉譯出電腦內的資料,儘管最高傳速只有每秒4kb,仍足以竊取金鑰、文字或二進位檔案。

<回到新聞條列重點>

星官員個資遭駭客竊取 國防部稱沒有洩漏軍事機密      中時電子報網

據《路透社》(Reuters)報導,新加坡國防部這個月在I-net系統檢測時發現,網路駭客透過國防部和武裝部隊專用的系統終端機違規瀏覽大量資料。

<回到新聞條列重點>

英駭客攻擊德國電信 倫敦機場被逮  中央廣播電臺

德國聯邦警察今天(23日)表示,一名29歲英國男子涉嫌對德國電信(Deutsche Telekom)發動網路攻擊,已被依歐洲逮捕令(European arrest warrant)緝拿歸案。

<回到新聞條列重點>

台籍駭客攔截台灣公司電郵 偽造詐騙國外客戶      聯合新聞網

新北市吳姓及湯姓男子2人共組詐騙集團,自104年6月起攔截台灣公司與外國公司往來貿易電子郵件,再假冒被害台灣公司名義與斯洛伐克、英國、德國、伊朗等外國公司進行交易,表示要更改匯款銀行帳戶,導致外國公司誤認是與台灣原客戶進行交易而匯款,涉詐騙20多萬元美金,因外國公司所填寫帳戶收款人,與吳、湯2人偽造的銀行帳戶名稱不符,被台灣的銀行經辦人員察覺有異才東窗事發。新北檢認為涉違反洗錢防制法,今天依詐欺、偽造文書罪起訴吳、湯2人。

<回到新聞條列重點>

Linux專案修補可能存在11年之久的權限擴張漏洞   iThome

該漏洞是由Google的實習生Andrey Konovalov利用Google所建立的安全稽核工具syzkaller找到的,現身於Linux核心中的數據壅塞控制協議(Datagram Congestion Control Protocol,DCCP)中,而且可能早在Linux於2005年開始支援DCCP時就有了。

<回到新聞條列重點>

9 兆次演算碰撞達成!Google 攻破 SHA-1 加密技術     科技新報網

實驗的關鍵研究者是來自荷蘭 CWI 研究機構的馬克‧史蒂文斯(Marc Stevens),他在安全雜湊演算法發表過大量優秀的研究成果。他從 2013 年起展現出攻克 SHA-1 的決心,之後陸續發表了一系列新成果和改進方法。透過和 Google 合作,他獲得了本次攻破的關鍵資源:強大的計算能力。

<回到新聞條列重點>

CloudFlare 遭「滴血攻擊」:如果你註冊這些網站,請立即修改密碼! INSIDE

國外著名的網頁防火牆及代理伺服器 CloudFlare 近期被曝光存在重大「滴血攻擊」漏洞,200 多萬網站受此影響,其中不乏 Uber、Medium、4Chan、Yelp、海盜灣、feedly 等巨量使用者數的網站。據初步統計,至少 2 億使用者被此事波及,需要及時修改密碼。2015 年時,CloudFlare 曾獲微軟、Google、高通高達 1.1 億美元的投資。

<回到新聞條列重點>

全球最大垃圾郵件殭屍網路Necurs增DDoS功能,恐推升DDoS攻擊流量   iThome

威脅情報業者Anubis Networks於近日指出,全球最大殭屍網路Necurs在最近新增了分散式阻斷服務(Distributed Denial of Service,DDoS)模組,意謂著它除了用來傳送大量的垃圾郵件,並且夾帶惡意軟體之外,還具備了發動DDoS攻擊的能力。

<回到新聞條列重點>

極度容易誤墮陷阱!Chrome 新型病毒「找不到字型」肆瘧!     流動日報

Chrome 雖然可為用戶帶來更高速及穩定的使用體驗,安全性亦十分之高,但是也並非萬無一失,因為 Chrome 的高使用率,近來黑客針對 Chrome 製作的病毒亦越來越多,令人防不勝防。

<回到新聞條列重點>

Firefox快取中間憑證的方式可能讓機密資訊全都露          HiNet

德國資安研究人員Alexander Klink於本周揭露,Firefox快取中間憑證(intermediate CA)的方式可能會導致使用者的機密資訊外洩,像是所在的地區及瀏覽喜好等,而Mozilla則已動手修補該臭蟲。

<回到新聞條列重點>

台灣隊搶下世界駭客大賽門票    自由時報

台灣駭客戰隊(HITCON)連續第二年取得2017波士頓駭客賽(Boston Key Party,BKP)冠軍,同時也拿下今年世界駭客大賽(DEFCON CTF2017)門票,將於今年7月27日前往拉斯維加斯與世界頂尖駭客一決高下。

<回到新聞條列重點>

不一樣的美術作業 小學生帶你聽見集集在地生活  臺灣導報網

今年春天,民眾搭火車到集集,映入眼簾的是一座色彩繽紛的「聲音樹」!這座造型獨特的「聲音樹」是集集在地學童與當代藝術家的共同創作,以水管作為創作材料相互串接而成的聲音裝置藝術,勾起小時候玩傳聲筒的趣味回憶,這座「聲音樹」目前正於集集火車站登場的「《火車進站,請駐藝!》集集孩子的創作記錄展」中駐站展出,於2月23日至5月7日期間與民眾見面!

<回到新聞條列重點>

趨勢科技攜手趨勢教育基金會推動偏鄉教育第三部曲    iThome

以「全球公民計畫」在全球科技志工領域著稱的趨勢科技,近年來積極投入推動台灣偏鄉教育。除了科技教育之外,也共同協力支持趨勢教育基金會推行之公益行動。自2016年起,趨勢教育基金會於全台灣最美的綠色小鎮:南投縣集集鎮,進行「趨勢青春藝動」計畫,將藝術帶進孩子們的生活之中。

<回到新聞條列重點>