本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。
資安趨勢部落格一周精選媒體資安新聞精選:
- 「Mosquito 蚊子」發動攻擊, 電腦喇叭洩漏資料
- 新挖礦攻擊利用 EternalBlue(永恆之藍) 漏洞攻擊技巧,入侵伺服器
- 利用 CPU 效能計數器來偵測 Meltdown 和 Spectre 漏洞攻擊
媒體資安精選
Google搜尋結果頁竟出現詐騙Amazon網站廣告 iThome
趨勢科技2017年度資安總評報告以獲利為主的駭客攻擊稱王 iThome Weekly電腦報
Panasonic與趨勢科技合作開發連網汽車安全解決方案 PC DIY!電腦硬派
《科技》2017年台灣挖礦惡意程式全球第三高 中時電子報網
台灣挖礦惡意程式全球第三多 去年逾3.6萬個 中央通訊社商情網
【臺灣資安大會直擊】HITCON創辦人徐千洋:一封釣魚信偷走日本交易所百億營收,如何挑選安全的加密貨幣交易所,靠這9項原則 iThome
【有恆為 AI 成功之本】AIoT 服務沒有資安,會出這三個大問題 INSIDE
【臺灣資安大會直擊】企業強化使用者身分驗證措施是大勢所趨,Hitcon成員鼓吹遵循標準開發 iThome
【臺灣資安大會直擊】趨勢資安專家揭露汽車車載OBD存有安全漏洞,利用App輕鬆就能控制汽車門窗開啟 iThome
完備資安架構 防駭從發想源頭追蹤 TVBS
國際/美軍指揮官參院報告 稱應加強網路攻防 中央日報網路報
AMD證實CTS Labs提報的漏洞確實存在,正著手修補 iThome
國際美國知名訂票網站「Orbitz」個資外洩,80萬筆個資(含財務資料)遭竊 Twcert
中國滲透行徑囂張 富豪塞錢干涉澳洲內政 臺灣英文新聞
Nexusguard:第四季度DDoS擴大攻擊飆升 Ctimes
把電腦斷網、隔離也沒用,駭客用「超音波」照樣輕鬆偷資料! 科技報橘網
主張強硬反制俄國散播假新聞 臉書資安長走人 台灣蘋果日報網
印度陸軍:中國駭客欲入侵WhatsApp 中央社即時新聞網
區塊鏈遭駭客攻擊頻傳:6 招自保守則,拯救你的身家財產 科技報橘網
微軟公布3月安全更新,尤其注意遠端桌面連線高度風險 Twcert
Meltdown及Spectre餘波盪漾,微軟懸賞25萬美元請高手找出類似漏洞 iThome
「全世界最討厭駭客」37歲驟逝 曾檢舉美國最大軍機洩密案 ETtoday新聞雲
歐美爆災情!Nintendo Switch使用副廠底座恐變磚 ETtoday新聞雲
美國國防部需要人工智慧,向矽谷科技公司求援 科技新報網
駭客遠端即時遙控 掌握電腦一舉一動 自由時報
我駭客最大威脅 來自中國 自由時報
干擾大選 美出手制裁俄國 鎖定5機構 19人凍結資產限制旅遊 台灣蘋果日報
美國指控俄羅斯鎖定電廠等重大基礎建設發動網路攻擊,凍結駭客組織資產 iThome
駭客攻擊沙烏地石化工廠 險釀致命爆炸 中央社即時新聞網
美國知名醫療組織因雲端儲存配置錯誤,3萬多名病患個資恐外洩 iThome
俄駭客染指美航空業 所幸影響有限 中央通訊社商情網
俄中選委網站遭到黑客攻擊 攻擊源來自15個國家 新浪網(臺灣)
醫師李偉文:面對退休最好的方式,就是忘掉退休! LineToday
Google搜尋結果頁竟出現詐騙Amazon網站廣告 iThome
ZDNet上周發現在Google搜尋輸入「Amazon」,搜尋結果頁的最上方竟出現冒充Amazon的詐騙網站廣告,若點選進入該連結將會被導到假冒的蘋果或微軟技術支援網站,聲稱用戶遭到間諜軟體感染,並要使用者撥打網頁上的技術支援電話。
<回到新聞條列重點>
趨勢科技2017年度資安總評報告以獲利為主的駭客攻擊稱王 iThome Weekly電腦報
指出2017年勒索病毒、加密虛擬貨幣挖礦程式,以及變臉詐騙(BEC)數量持續攀升,成為網路犯罪集團的主要攻擊手法。其中勒索病毒造成全球企業損失金額較2016年狂增4倍達50 億美元,而台灣受勒索病毒的攻擊全球排名更上升兩名,在2017年遭攻擊千萬次以上。
<回到新聞條列重點>
Panasonic與趨勢科技合作開發連網汽車安全解決方案 PC DIY!電腦硬派
Panasonic Corporation 與全球網路資安解決方案領導廠商趨勢科技(東京證券交易所股票代碼:4704)今天正式宣布將合作開發可偵測並防範自動駕駛與連網汽車遭到駭客攻擊的安全解決方案。這項合作案的目標是要開發一套解決方案來提升自動駕駛與連網汽車的安全,偵測並預防汽車電子控制元件(Electronic Control Units , ECU) 與車輛資訊娛樂系統 (in-vehicle infotainment , IVI)遭駭客入侵,前者負責控制油門、方向盤、煞車等系統,後者包括車用導航及車載資通訊系統 (Telematics)等裝置。
<回到新聞條列重點>
《科技》2017年台灣挖礦惡意程式全球第三高 中時電子報網
隨著全球越來越多投資人趨之若鶩地投奔加密貨幣風潮,其巨幅的價格波動也吸引網路犯罪分子紛紛加入利用挖礦程式來增加獲利。根據全球網路資安解決方案領導品牌趨勢科技(東京證券交易所股票代碼:4704)Smart Protection Network全球威脅情報網研究指出,加密虛擬貨幣挖礦活動是2017年家用路由器所連接裝置,最常偵測到的網路事件。其中,偵測數量最多的依次分別是日本、印度、台灣、美國和澳洲。
<回到新聞條列重點>
台灣挖礦惡意程式全球第三多 去年逾3.6萬個 中央通訊社商情網
資安業者趨勢科技指出,加密虛擬貨幣挖礦活動是2017年家用路由器所連接裝置最常偵測到的網路事件,偵測數量最多的國家分別是日本、印度、台灣、美國和澳洲,台灣數量逾3.6萬個、排名全球第三。
<回到新聞條列重點>
關貿網路日前獲邀於經濟部工業局主辦的2018台灣資安大會─台灣資安館中展出,關貿在資訊安全領域累積的紮實研發能量及服務經驗讓觀展人士印象深刻,其運用嶄新生態系與人工智慧概念,結合鑑識調查、保險等所提供的完整企業資安保全服務,吸引多家企業進行洽談。
<回到新聞條列重點>
【臺灣資安大會直擊】HITCON創辦人徐千洋:一封釣魚信偷走日本交易所百億營收,如何挑選安全的加密貨幣交易所,靠這9項原則 iThome
想成立加密貨幣交易所?HITCON創辦人、臺灣駭客協會理事長徐千洋在臺灣資安大會提醒,成立交易所後會面臨的資安風險,更進一步分享如何正確評估加密貨幣交易所的安全性。
<回到新聞條列重點>
【有恆為 AI 成功之本】AIoT 服務沒有資安,會出這三個大問題 INSIDE
人工智慧中的深度學習,近年屢創佳績,首先是 Alpha Zero 在三大棋類(圍棋、西洋棋及日本將棋)成為世界第一,不但打敗人類,還遠遠把人類棋手拋在後面,更打敗其他的人工智慧棋手(包括自家兄弟 AlphaGo Zero)。此外,在視覺辨識與語音辨識更是超出人類辨識的水準,就連微軟最近也宣布中翻英的語意辨識(自然語言處理)能力也達成跟人類能力接近的水準,而這些佳績大大的震驚了人類,人工智慧近幾年被大量重視。
<回到新聞條列重點>
【臺灣資安大會直擊】企業強化使用者身分驗證措施是大勢所趨,Hitcon成員鼓吹遵循標準開發 iThome
由於必須考量安全性與使用者操作流程順暢度等因素,身分驗證業界以往都是各自為政,安全性等級不一,使用者也難以管理各式憑證與密碼,HITCON成員吳忠憲(JS)認為,網站與服務的供應者,應考慮採取通用二次驗證措施(U2F)標準,提供多因素驗證,藉此做到更加嚴謹的使用者身分保護。
<回到新聞條列重點>
【臺灣資安大會直擊】渣打銀行風險控管部副總:除了落實資安,資訊風險管理更能讓企業趨吉避凶,IT可以先從四面向做起 iThome
國際產業安全協會(ASIS)台灣分會會長楊博裕在臺灣資安大會上,強調企業應該導入資訊風險管理架構,以及進行自行查核與風險註冊。
<回到新聞條列重點>
KPMG:企業防駭 資安預算不能省 工商時報
針對近日司法院網路遭駭,KPMG安侯建業數位科技安全負責人謝昀澤表示,一般組織常將資安預算視為無法創造價值的花費,編列預算時,常被優先檢討減列或緩列,讓組織處於愈來愈高的資安風險。
<回到新聞條列重點>
【臺灣資安大會直擊】趨勢資安專家揭露汽車車載OBD存有安全漏洞,利用App輕鬆就能控制汽車門窗開啟 iThome
趨勢科技核心研究開發部技術經理謝起昌在2018臺灣資安大會上,首次揭露他們最近在一款VW GOLF汽車配備的OBD裝置上發現存有安全漏洞,可能導致駭客利用有問題App發送指令,就能成功控制車中的汽車門窗開啟,輕鬆就能竊取車上的財物。整個犯案過程不到兩分鐘就完成。
<回到新聞條列重點>
完備資安架構 防駭從發想源頭追蹤 TVBS
趨勢科技資深協理張裕敏:「很多網路設備或IOT設備,其實它之前的設計是沒有考慮到資安的,例如說攝錄影機或者是IP CAM(無線監控),這部分已經有很多被入侵的案例,民眾去報案說家裡他發現,他家裡那個所謂的IP CAM它會轉,它會跟著他轉,他以為它那個是智慧型的,其實不是,其實駭客在裡面。」
<回到新聞條列重點>
國際/美軍指揮官參院報告 稱應加強網路攻防 中央日報網路報
法新社華盛頓20日報導,隨著俄羅斯駭客攻擊不斷被揭露,美軍戰略司令部(STRATCOM)司令海頓(John Hyten)今天警告,美國在網路攻防行動的努力還不夠。
<回到新聞條列重點>
AMD證實CTS Labs提報的漏洞確實存在,正著手修補 iThome
AMD證實了CTS Labs公布的安全漏洞,並指這些漏洞與嵌入式安全處理器的韌體管理,以及某些Socket AM4及Socket TR4桌面平台有關,並未涉及AMD Zen架構。
<回到新聞條列重點>
國際美國知名訂票網站「Orbitz」個資外洩,80萬筆個資(含財務資料)遭竊 Twcert
在向媒體發表聲明中,Orbitz表示於2018年3月1日經過該公司深入調查後確定,事件發生在2017年10月1日至2017年12月,當時駭客訪問了舊的旅遊預訂平台,並竊走從2016年1月和2017年12月兩年的資料。此外,在2016年1月1日至6月22日期間曾經透過平台進行交易的客戶的個人資料也可能被駭客存取。
<回到新聞條列重點>
中國滲透行徑囂張 富豪塞錢干涉澳洲內政 臺灣英文新聞
中國除了積極在印度洋佈局,幾乎把馬爾地夫和斯里蘭卡等小國,變成自己的殖民地。不過,日媒報導,中國侵略的魔掌,不僅止於政經實力薄弱的島國:現在連澳洲,都開始擔心中國移民的滲透行動。
<回到新聞條列重點>
Nexusguard:第四季度DDoS擴大攻擊飆升 Ctimes
根據 Nexusguard 的「2017年第四季度威脅報告」,2017年第四季度惡意使用域名伺務器(DNS)反射和放大分散式阻斷服務(DDoS)攻擊次數,比2016年第四季度增長了357% 以上。在分析全球數以千計的攻擊紀錄後,Nexusguard在報告中指出,攻擊次數飆升是因為域名系統安全擴展(DNSSEC)配置不當,若情況未能改善,將引發重大風險。
<回到新聞條列重點>
把電腦斷網、隔離也沒用,駭客用「超音波」照樣輕鬆偷資料! 科技報橘網
政府、軍方等單位要保護機密資料時,會將之儲存在永不連接網路的「氣隙電腦」(air-gapped computer),避免遭駭客入侵,竊走珍貴數據;但在駭客技術日新月異的現在,即使不連網路,駭客仍有辦法隔空偷走電腦內的資料。
<回到新聞條列重點>
主張強硬反制俄國散播假新聞 臉書資安長走人 台灣蘋果日報網
臉書近年因助長假新聞散播飽受抨擊,近日陷入資安風暴,恐多達5千萬名用戶的個資外洩。《紐約時報》報導,對於如何因應不實訊息散播,臉書高層意見分歧,因此資訊安全長史塔莫斯(Alex Stamos)將於8月離職。
<回到新聞條列重點>
應用程式和使用者帳密是網路攻擊者的首要目標,駭客藉此取得入侵系統之鑰,發動改變我們網路安全觀的資料攻擊,F5 Labs研究27國37個行業跨越12年的433件資料外洩案例,找出導致資料外洩的初始攻擊型態。
<回到新聞條列重點>
印度陸軍:中國駭客欲入侵WhatsApp 中央社即時新聞網
印度陸軍昨天在推特(Twitter)帳號上發出警訊與影片,指稱中國駭客試圖入侵即時通訊軟體WhatsApp竊取印度用戶的資料,呼籲用戶保持警覺。
<回到新聞條列重點>
區塊鏈遭駭客攻擊頻傳:6 招自保守則,拯救你的身家財產 科技報橘網
日前,IDC 國際數據資訊也發表 2018 年十大產業趨勢 ,預測至 2021 年台灣將有 85% 的金融業採行區塊鏈技術,顯示未來將有更多周邊應用產生,其可能帶來的高獲利也將持續被犯罪分子關注。
<回到新聞條列重點>
微軟公布3月安全更新,尤其注意遠端桌面連線高度風險 Twcert
Microsoft本月修補多款軟體70餘項漏洞,主流作業系統因Windows Installer過濾機制欠佳,駭客載入有害函式庫後得以擴權,cng.sys異常運作使重要訊息被越級取得,Storage Services、Video Control、GDI因Kernel記憶體處理錯誤而經特製應用程式觸發。
<回到新聞條列重點>
Meltdown及Spectre餘波盪漾,微軟懸賞25萬美元請高手找出類似漏洞 iThome
新的獎勵措施到今年的12月31日截止,目的在找出新型態的推測執行漏洞,獎勵方案分為4級,找出新型態的推測執行旁路攻擊漏洞將可獲得25萬美元獎金,找出可繞過緩解的攻擊漏洞也可獲得20萬美元。
<回到新聞條列重點>
「全世界最討厭駭客」37歲驟逝 曾檢舉美國最大軍機洩密案 ETtoday新聞雲
據《衛報》報導,拉摩又被外界稱為「全世界最令人討厭的駭客」,他2010年在網路上遇見跨性別美軍士兵曼寧(Chelsea Manning),隨後檢舉她洩漏阿富汗與伊拉克的軍事外交機密資料給予維基解密(WikiLeaks)。
<回到新聞條列重點>
歐美爆災情!Nintendo Switch使用副廠底座恐變磚 ETtoday新聞雲
任天堂最新主機Nintendo Switch同時保有了家用主機的特色與攜帶的便利性,在這一年成為玩家的新寵兒,許多副廠的周邊商品也應運而生,但近期主機更新5.0.0版本後,爆出大量變磚的災情。
<回到新聞條列重點>
美國國防部需要人工智慧,向矽谷科技公司求援 科技新報網
人工智慧技術越來越多應用到資訊安全、軍事國防領域,科技公司與國防部門的合作也越來越多,美國國防部在人工智慧技術的研發和應用同樣需要科技公司的幫助,特別是矽谷知名的科技公司,需要面對的問題是 Google、蘋果、Facebook 等公司是否願意與國防部合作。
<回到新聞條列重點>
駭客遠端即時遙控 掌握電腦一舉一動 自由時報
本次駭入司法院主機與法院電腦的病毒分為兩個群組,各有7隻跟8隻病毒,屬零時差攻擊(Zero-day attack),意即中毒電腦可讓駭客遠端即時遙控,瞬間成為殭屍,任其擺布。
<回到新聞條列重點>
我駭客最大威脅 來自中國 自由時報
資安專家指出,駭客攻擊目的約可分情資秘密、勒索金錢、證明能力等3種,第一種多攻擊政府機關與商業組織,第二種則針對公司行號與個人,第三種屬無差別攻擊,而我國政府面臨最大的駭客威脅,絕大比例來自中國。
<回到新聞條列重點>
干擾大選 美出手制裁俄國 鎖定5機構 19人凍結資產限制旅遊 台灣蘋果日報
美國總統川普前天終於針對俄羅斯介入前年總統大選祭出制裁。美國財政部指出,俄羅斯不只干涉選舉,還對美國發動兩波網路攻擊,目標包括核能水電等公共設施,為此將俄羅斯5機構及19人列入制裁名單,但與俄總統普丁親近的官員大亨均未上榜。朝野兩黨議員齊聲批評,制裁力道太薄弱。
<回到新聞條列重點>
美國指控俄羅斯鎖定電廠等重大基礎建設發動網路攻擊,凍結駭客組織資產 iThome
根據美國國土安全部與FBI的調查分析,俄羅斯政府鎖定美國的電廠、核子、航太等重大基礎設施發動目標性的網路攻擊,這些攻擊針對目標精心設計,目前已知已存取發電廠控制系統相關資料。
<回到新聞條列重點>
駭客攻擊沙烏地石化工廠 險釀致命爆炸 中央社即時新聞網
美國「紐約時報」報導,網路駭客於去年8月,試圖想讓沙烏地阿拉伯一間石化工廠引發致命爆炸,但因為駭客的攻擊程式碼有瑕疵而以失敗告終。
<回到新聞條列重點>
美國知名醫療組織因雲端儲存配置錯誤,3萬多名病患個資恐外洩 iThome
美國一家位於密蘇里州聖路易斯的知名非營利醫療組織BJC,近日傳出超過3萬名病患的個資恐外洩,且起因不是受到駭客攻擊,而是因為雲端儲存配置錯誤而導致,該醫療組織近期執行內部安全掃描時發現,2017年5月9日到2018年1月23日的期間,在沒有適當的安全控制下,可以透過網路直接儲存醫院病患的檔案,在發現後,BJC馬上重新配置伺服器,也調查了這個問題。
<回到新聞條列重點>
俄駭客染指美航空業 所幸影響有限 中央通訊社商情網
美國政府指控俄羅斯駭客,針對美國敏感基礎建設進行大範圍攻擊。網路資安監測機構今天表示,2017年初俄羅斯駭客試圖滲透美國民用航空業。
<回到新聞條列重點>
俄中選委網站遭到黑客攻擊 攻擊源來自15個國家 新浪網(臺灣)
俄羅斯衛星通訊社莫斯科3月18日報導稱,當地迎來俄羅斯總統選舉日,莫斯科市及莫斯科州的所有投票站於當地時間8點開放。
<回到新聞條列重點>
醫師李偉文:面對退休最好的方式,就是忘掉退休! LineToday
一九八○年前出生的人大概都習慣有一份正職工作,不管是不是換過不同公司或轉換不同的產業,多數人多半都會從某個機構退休,而退休前內心的惶恐與準備,自然成為中年後期的人生課題之一。不論到時候是自願申請退休,或是屆齡被迫退休,都是可以預期的,因此能夠提前規劃,以便無縫接軌退休後的另一個新人生階段。
<回到新聞條列重點>
參與FIE舉辦的A級賽並且搶下好成績,可以得到一倍的國際排名積分,也因此龐蕙儀為了登上2020東京奧運舞台的大目標,在2018年開始就積極準備挑戰國際賽事,除了逐漸適應國際大賽的強度之外,更為接下來的奧運資格進行準備。
<回到新聞條列重點>