本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。
資安趨勢部落格一周精選
媒體資安新聞精選:
台灣成資安高危險群 4月造訪惡意連結次數排全球第三 經濟日報網
Google Home、Chromecast漏洞恐洩露用戶位置 iThome
區塊鏈公開透明 但場外交易難防弊端 虛擬貨幣易犯罪 法務部皮皮挫 中國時報
不再只會防守!五角大廈授權網路司令部 可對外國駭客攻擊進行報復行動 風傳媒
「川金會」後北韓發動駭客攻擊 專家警告危險更勝核武 ETtoday新聞雲
路透:中國改用搜尋引擎對台網攻 成功率上升 中央社即時新聞網
惡意挖礦程式入侵亞馬遜Fire TV!門羅幣成駭客最愛加密貨幣 匯流新聞網
多個知名加密函式庫存在ROHNP漏洞,駭客一分鐘就能猜出ECDSA私鑰 iThome
Okta發現macOS系統漏洞,有心人士可繞過核心安全機制放入惡意軟體盜取資料 電腦硬派月刊
洩「駭客工具」給維基 前CIA人員被控13罪 聯合新聞網
川普太空軍行不行 軍方、國會、專家都打問號 聯合新聞網
當美國取消了「網路中立命令」,台灣有可能也要迎向「流量收費制」? 科技報橘網
歐盟GDPR新法上路 高額罰款防個資外洩 台灣蘋果日報網
愛滋感染個資遭洩 疾管署願助提國賠 中央通訊社商情網
【產業趨勢|混合式交易所JOYSO】宣佈與硬體錢包庫幣科技(CoolBitX)合作,使手機交易更安全 BLOCKTEMPO
【中國|惡意挖礦】浙江超過 10 萬台網咖電腦被植入惡意挖礦程式,盜取價值2400萬台幣的Siacoin BLOCKTEMPO
韓虛擬貨幣交易所 又遭駭 工商時報
南韓Bithumb遇駭 價值約10億元虛擬貨幣遭竊 中央通訊社商情網
印度執政黨幹部培訓手冊 將中國視為主要威脅 自由時報電子報
趨勢科技 容器安全 趨勢科技容器安全產品釋出新API套件,可加速整合到DevOps流程 iThome電腦報周刊
Android裝置 BlueBorne KRACK趨勢科技:近6成Android裝置還有BlueBorne與KRACK漏洞 iThome電腦報周刊
台灣成「災區」!Android 裝置爆 Root 漏洞、中國手機最需擔心? 自由時報電子報
惡意程式MysteryBot直指Android而來,不只是金融木馬,還能側錄鍵盤、勒索 iThome
降低被破解風險,蘋果將限制iOS裝置的USB存取功能 iThome
澳洲插手羅門光纖電纜工程 擠走中資 新浪網(臺灣)
Nexusguard, NG Crossing 協力保護中東和北非 (MENA) 企業免受 DDoS 攻擊 Media OutReach
Cortana 可能是 Windows 10 電腦被駭的幫兇 Engadget中文版
Amazon Web Services 舉辦 AWS Summit 台北 2018 科技新報網
台灣成資安高危險群 4月造訪惡意連結次數排全球第三 經濟日報網
台灣成為資安管理的「高危險群」,根據資安大廠趨勢科技旗下的全球技術支援與研發中心(TREND LABS)最新發布的研究指出,今年4月台灣用戶造訪惡意連結的次數累計超過800萬次,排名全球第三,僅次於日本及美國。
<回到新聞條列重點>
Google Home、Chromecast漏洞恐洩露用戶位置 iThome
由於在本地網路上的HTTP伺服器向Google Home、Chromecast等裝置發出指令不需驗證機制,駭客可透過DNS重新綁定,將遠端的指令冒充為本地指令,接著再利用Google的位置服務定位裝置的實際位置。
<回到新聞條列重點>
區塊鏈公開透明 但場外交易難防弊端 虛擬貨幣易犯罪 法務部皮皮挫 中國時報
比特幣等加密貨幣因可在世界各地流通,加上價格曾飆升,不僅被歹徒用來做洗錢工具,也成為歹徒用來詐騙、覬覦強盜的標的,與加密貨幣相關的犯罪可說是層出不窮,令各國政府頭痛不已。因此,法務部相當緊張,不敢亂開綠燈。
<回到新聞條列重點>
拜先進的科技之賜,認證身分的方法愈來愈可靠,其中生物辨識已經成為頗為便利的一種方式,不僅許多電子裝置已經有這樣的功能,企業也逐漸將此視為強化連結安全性的解決方案,但若要做到更周密的防護,密碼也不可省略。
<回到新聞條列重點>
國際間重大資料外洩事件經常成為媒體頭版頭條,無論是人為疏失、遭受針對性攻擊、系統出錯或漏洞未修補更新等因素所導致,不僅企業商譽受損、影響市場競爭力、造成營業損失,甚至可能造成高階管理層動盪,例如美國消費者信用報告業者Equifax,去年(2017)因已知的主機漏洞未及時修補導致上億筆消費者個資外洩,最終使得資訊長、安全長、執行長因此下台。
<回到新聞條列重點>
據網路安全風險辨識及管理創新公司Outpost24最新調查顯示,在受訪的155位IT專業人士中,有71%受訪者表示,透過最常見的4種攻擊媒介,可成功駭入任何企業機構的網路,其中又以社交工程(social engineering)的攻擊為最多人選擇。
<回到新聞條列重點>
不再只會防守!五角大廈授權網路司令部 可對外國駭客攻擊進行報復行動 風傳媒
報導說,美國網路司令部此前一貫的做法是採取防禦姿態,在對手進入美國網路系統時進行攔截,而國防部此次提高網路司令部的作用,將可以讓美國的駭客幾乎每天都可以對外國網路系統進行刺探、在對手的網路武器得以使用前將其解除。
<回到新聞條列重點>
「川金會」後北韓發動駭客攻擊 專家警告危險更勝核武 ETtoday新聞雲
美國總統川普跟北韓領導人金正恩周二(12日) 在新加坡舉行「世紀川金會」兩天後,美國情報部門 周四發表報告,指偵測到北韓政府發動惡意的駭客攻擊 。網路安全專家發出警告:金正恩領導的一支 「全球最大的駭客軍團」,帶來的危險比核武更嚴重。
<回到新聞條列重點>
路透:中國改用搜尋引擎對台網攻 成功率上升 中央社即時新聞網
路透社引述消息來源指出,中國對台灣政府發動的網路攻擊,頻率雖在下降,但成功率卻在上升,且越來越不容易被查覺。因為中方更常使用搜尋引擎等網路平台,入侵其鎖定的台灣目標。
<回到新聞條列重點>
惡意挖礦程式入侵亞馬遜Fire TV!門羅幣成駭客最愛加密貨幣 匯流新聞網
隨著加密貨幣越來越火熱,植入惡意挖礦程式已成了2018年駭客的主要手段。亞馬遜(Amazon)的Fire TV和Fire TV Stick就在近期遭到挖礦病毒入侵。
<回到新聞條列重點>
多個知名加密函式庫存在ROHNP漏洞,駭客一分鐘就能猜出ECDSA私鑰 iThome
Nccgroup使用存在ROHNP漏洞的OpenSSL函式庫,實現了攻擊示範,一分鐘就能恢復256位元的ECDSA私鑰。
<回到新聞條列重點>
Okta發現macOS系統漏洞,有心人士可繞過核心安全機制放入惡意軟體盜取資料 電腦硬派月刊
近日Okta安全公司的研究人員針對Apple(蘋果),旗下macOS和OS X等作業系統進行安全性檢查,結果在macOS和OS X系統中找到了一個代碼漏洞,此漏洞會造成系統的防禦機制遭受破壞,該公司在部落格當中提到此漏洞所造成的影響與危機,這個漏洞到底是什麼呢?
<回到新聞條列重點>
洩「駭客工具」給維基 前CIA人員被控13罪 聯合新聞網
中央情報局(CIA)2017年大規模洩密案有後續進展,現年29歲的前網路監控部門員工舒特(Joshua Schulte)涉嫌洩漏CIA機密駭客工具給「維基解密」(WikiLeaks),18日被紐約南區聯邦檢察官辦公室以13項罪名起訴,罪名包括竊取與洩漏機密國防資料,以及持有兒童色情圖片等。
<回到新聞條列重點>
川普太空軍行不行 軍方、國會、專家都打問號 聯合新聞網
美國總統川普十八日宣布成立美軍第六大獨立軍種「太空軍」,重奪美國在太空的領先地位且確保太空優勢。此外,他還誓言重振美國的太空事業與重返月球,實現送人上火星使命。不過,Vox網站報導,川普簽署的這份成軍命令內容空洞,還面臨軍方高層和國會反對,未來美國太空軍究竟將如何組成、有多少兵力戰力,甚至是否真的能夠成軍,都是問號。
<回到新聞條列重點>
根據中文版《美國之音》(VOA)15日報導,美國矽谷科技業長期與美國軍方有著密切合作,但近期包括Google等越來越多美國科技公司卻開始拒絕與五角大樓分享技術,因為擔憂成為中國駭客攻擊標的。
<回到新聞條列重點>
當美國取消了「網路中立命令」,台灣有可能也要迎向「流量收費制」? 科技報橘網
美國聯邦傳播委員會(FCC)周一(6/11)表決通過,取消所謂「網路中立性」(Net neutrality)的規定。
這項規定意旨在確保網路自由與開放,讓消費者公平取得網路內容,不是被商業廣告、提供網路服務的電信業者(ISP)決定網路上哪些東西受歡迎。
<回到新聞條列重點>
歐盟GDPR新法上路 高額罰款防個資外洩 台灣蘋果日報網
被稱作史上最嚴格的個資保護法,今年5月開始歐盟各國開始正式執行「一般資料保護規則」(General Data Protection Regulation, GDPR),Canon為客戶考量適法性,Canon多功能複合機辦公室商用解決方案以ThereforeTM和uniFLOW解決客戶文件資訊安全管理問題。
<回到新聞條列重點>
面對危機四伏的網路叢林,使用者唯有自個人做起,從基本上網環境開始,徹底檢視網路連線、常用網站、習慣的瀏覽器及手機 APP 權限等有任何可能危害個人資料風險之處,進行全方位的資訊安全管理,所以說無論是電腦或手機,只要是儲存個資的科技工具,都應進行徹底檢視。
<回到新聞條列重點>
愛滋感染個資遭洩 疾管署願助提國賠 中央通訊社商情網
北市聯醫昆明防治中心遭爆外洩愛滋感染者個資,疾管署副署長羅一鈞今天說,事發後持續監測,網路已沒有相關個資,請感染者安心,且若權益受損,疾管署會協助提國賠。
<回到新聞條列重點>
日前提出最新動態資料保護(Dynamic Data Protection)技術的Forcepoint,現階段已整合資料外洩防護(DLP)方案,加強數位資產風險控管能力,緊接著將擴展到次世代防火牆,讓對外溝通管道可藉由人、行為、檔案內容相關的資料予以串接,全面地建立自動化的防禦措施來降低風險。
<回到新聞條列重點>
【產業趨勢|混合式交易所JOYSO】宣佈與硬體錢包庫幣科技(CoolBitX)合作,使手機交易更安全 BLOCKTEMPO
加密貨幣交易所遭駭事件頻傳,這衍生出一個重要的問題點:中心化交易所的安全性不足。多數的中心化交易所選擇將資金外包存放於冷錢包或保險庫中。
<回到新聞條列重點>
【中國|惡意挖礦】浙江超過 10 萬台網咖電腦被植入惡意挖礦程式,盜取價值2400萬台幣的Siacoin BLOCKTEMPO
據週六的當地新聞報導,浙江瑞安市警方逮捕了16名嫌疑人,聲稱自2007年7月以來已經在中國30個城市的網咖中入侵了超過10萬台電腦,自去年七月以來盜取金額達到500萬元人民幣(80萬美元)。
<回到新聞條列重點>
韓虛擬貨幣交易所 又遭駭 工商時報
韓國虛擬貨幣交易所Bithumb周三表示,交易所日前遭駭客入侵盜走價值350億韓元(約3,156萬美元)的虛擬貨幣,是韓國近兩周內第2起虛擬貨幣交易所被駭事件,再度打擊投資人信心。
<回到新聞條列重點>
南韓Bithumb遇駭 價值約10億元虛擬貨幣遭竊 中央通訊社商情網
南韓虛擬貨幣交易所Bithumb今天表示遭遇駭客侵襲,價值350億韓元(大約新台幣10億元)的虛擬貨幣不翼而飛。
<回到新聞條列重點>
印度執政黨幹部培訓手冊 將中國視為主要威脅 自由時報電子報
印度總理莫迪4月和中國領導人習近平會晤,似乎和緩了兩國的緊張關係,但近來執政黨印度人民黨(BJP)的幹部培訓手冊曝光,裡頭直指中國就是印度的主要威脅。
<回到新聞條列重點>
趨勢科技 容器安全 趨勢科技容器安全產品釋出新API套件,可加速整合到DevOps流程 iThome電腦報周刊
為了更有效偵測惡意程式及漏洞,趨勢科技開發 Deep Security Smart Check 提供容器映像部署前預先掃瞄,能在開發階段預先解決資安問題,而非等到應用程式推出之後才發現。
<回到新聞條列重點>
Android裝置 BlueBorne KRACK趨勢科技:近6成Android裝置還有BlueBorne與KRACK漏洞 iThome電腦報周刊
趨勢科技指出,涉及Wi-Fi與藍牙的BlueBorne及KRACK漏洞影響數十億裝置,根據研究,雖然Google與蘋果皆已修補漏洞,但Android仍有58%曝露於相關的攻擊風險中,iOS僅有12%。
<回到新聞條列重點>
台灣成「災區」!Android 裝置爆 Root 漏洞、中國手機最需擔心? 自由時報電子報
據「InfoSec」資安人員 Kevin Beaumont 的調查,由於資安把關不夠仔細,導致 Android 作業系統一個開發工具「Android Debug Bridge」(後稱 ADB),能成為駭客遠距獲得裝置權限的途徑,從而導致用戶個資外洩,或是可能在用戶不知悉的前提下,偷偷被安裝一些惡意軟體。
<回到新聞條列重點>
惡意程式MysteryBot直指Android而來,不只是金融木馬,還能側錄鍵盤、勒索 iThome
MysteryBot除了基本的金融木馬功能外,還可撥打電話到指定號碼、取得裝置的通訊錄資訊、轉接電話到指定號碼、複製裝置上的所有簡訊、側錄鍵盤、加密外接儲存裝置的所有資料或移除裝置上的通訊錄、傳送簡訊至裝置通訊錄名單、刪除裝置上的所有簡訊,或是傳送簡訊到指定號碼。
<回到新聞條列重點>
降低被破解風險,蘋果將限制iOS裝置的USB存取功能 iThome
蘋果將在iOS中加入「USB限制模式」,若iOS裝置在過去一小時內沒有解鎖,外接硬體便無法經由iOS裝置的Lightning介面存取資料。
<回到新聞條列重點>
澳洲插手羅門光纖電纜工程 擠走中資 新浪網(臺灣)
索羅門群島總理何瑞朗13號拜會澳洲總理滕博爾,雙方敲定由澳方負責大部分經費,興建太平洋海底,連接索國與澳洲的海底光纖電纜工程,改善網路與電話品質。
<回到新聞條列重點>
Nexusguard, NG Crossing 協力保護中東和北非 (MENA) 企業免受 DDoS 攻擊 Media OutReach
在全球具領導地位的分散式阻斷服務(DDoS)防禦廠商Nexusguard 在美國資訊安全大會 (RSA Conference 2018) 宣佈與扎根中東及北非 (MENA) 市場多年的電訊公司 NG Crossing 合作,共同協助企業防禦 DDoS 攻擊。
<回到新聞條列重點>
Cortana 可能是 Windows 10 電腦被駭的幫兇 Engadget中文版
在 Windows 10 裡的虛擬助手 Cortana 沒錯是能幫忙整理資料、提升生產力,可是最近卻被 McAfee 的研究人員發現它居然為駭客帶來一扇窗,報告中指出,在 Windows 10 的鎖定頁面上啟用 Cortana 的話,就可以打開進入執行代碼的功能表,讓駭客可以藉此載入惡意軟體,甚至重設 Windows 帳戶密碼。
<回到新聞條列重點>
人工智慧(Artificial Intelligence,下稱AI)來勢洶洶,但最近4項發展,如大咖科技業者(通稱Big Tech)涉及侵害隱私,反獨占思潮高漲,歐盟一般資訊保護規則(General Data Protection Regulation,下稱GDPR)施行,與個資付費的呼聲迭起,在在預示監管Big Tech的趨勢,甚或影響AI產業。
<回到新聞條列重點>
Amazon Web Services 舉辦 AWS Summit 台北 2018 科技新報網
Amazon Web Services(AWS)主辦的 AWS Summit 台北 2018 將於 6 月 27 日至 28 日在台北國際會議中心(TICC)舉行,邁向第三屆的 AWS Summit 台北今年將首次於台灣包括針對開發者的 AWS DevDay 及充滿樂趣的 AWS GameDay。
<回到新聞條列重點>