《資安新聞周報》USB攻擊竟能騙過隔離網路的檢疫機制!/唐鳳談資安 口罩再多 不洗手也沒有用! /2020蘋果發表會懶人包

本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。

這張圖片的 alt 屬性值為空,它的檔案名稱為 NEWS-R-1024x738.png

資安趨勢部落格一周精選

媒體資安新聞精選

科技教育熱!花縣府舉辦論壇 探討AI新世代   中時電子報網

培養數位新實力 讓孩子比AI更搶手        新頭條

唐鳳談資安 口罩再多 不洗手也沒有用!        聯合新聞網

趨勢科技研究發現 39% 員工 會從個人裝置存取企業資料   MediaOutReach

【臺灣資安大會直擊】趨勢揭露一連串鎖定IIS網頁伺服器的無檔案攻擊手法,呼籲企業要加以防範    iThome

別出事才手忙腳亂!因應資安事件要超前部署 趨勢呼籲企業建立事故應變程序        iThome Weekly電腦報

USB攻擊竟能騙過隔離網路的檢疫機制!趨勢揭露鎖定菲律賓軍方的隨身碟竊密攻擊行動USBferry iThome

加群組免費看電影? 刑事局:詐騙個資       華視全球資訊網

4天內有近2千個Magento 1網站被植入側錄程式        iThome

美國土安全部示警,中國利用各大網路設備已知漏洞對政府部門發動攻擊        iThome

從租車業、手搖茶到賣牛肉麵都想做 台灣訂閱先鋒研華、和運 轉型如何不踩雷?        商業周刊

臉書、杜比和Garmin都加入Amazon為首的AI語音相容計畫     iThome

Zoom為企業用戶帳號加入雙因素驗證      iThome

Coalition:今年上半資安險有41%的索賠源自於勒索軟體     iThome

2020蘋果發表會懶人包:Apple Watch S6、Apple Watch SE、iPad 和 iPad Air     蘋果仁

快訊/入門款 iPad(第八代)登場,329 美元起   蘋果仁

快訊/新款 iPad Air 登場,五種顏色並改變 Touch ID 位置  蘋果仁

KB4576753/KB4576754更新將強制Windows 10用戶安裝Chromium版Edge        iThome

資安即國安!政院打造「資安卓越中心」 推動3大重點工作      自由時報電子報

別受傷了才懂!專家分析資安實戰痛點與技術解方,及早替 OT 系統的安全把關        科技報橘網

新身分證「防偽認證」遭爆疑造假 關鍵錄音揭廠商恐以不實證書得標      新頭殼

美退伍軍人事務部被駭,外洩4.6萬前官兵個資     iThome

Patch Tuesday更新造成WSL2無法啟動、注音無法輸入        iThome

副總統賴清德首度於HITCON 2020致詞,鼓勵駭客與政府合作,提高資安產值         iThome

臺資安研究員在HITCON全球首度公開,如何利用MDM裝置漏洞再度駭入臉書        iThome

微軟:中國、伊朗、俄羅斯國家級駭客干擾美國大選    iThome

和密碼說再見!Yubiky 推出從筆電到手機「一體適用」的 NFC 安全金鑰 科技新報網

微軟:偵測到俄羅斯、中國駭客加強網攻 破壞美國大選      經濟日報網

SK海力士、LG電子遭駭客攻擊 內部機密資料外洩        自由時報電子報

科技教育熱!花縣府舉辦論壇 探討AI新世代   中時電子報網

台灣跟上全球科技教育熱潮,108課綱重點之一就是科技領域,2020年開始全台國中小學生,都要學習程式設計。花蓮縣政府2019年成立智慧教育中心,從各方面導入資源,引入AI及創客教育,打造智慧校園、培育智慧科技人才,盼花蓮學生突破地理環境限制,與世界接軌面對挑戰。   

<回到新聞條列重點>

培養數位新實力 讓孩子比AI更搶手        新頭條

由花蓮縣政府主辦,花蓮縣政府教育處、遠見天下文化教育基金會、未來親子學習平台、未來Family雜誌,共同承辦的2020未來教育科技論壇「科技賦能 接軌未來」9/12日假花蓮新天堂樂園舉辦,邀請產官學界名人演講、與談,現場聚集500位關心臺灣教育、孩子未來的老師們、家長、教育工作者交流:面對AI時代,該如何以科技教育為孩子儲備競爭力!      

<回到新聞條列重點>

唐鳳談資安 口罩再多 不洗手也沒有用!        聯合新聞網

相較這次疫情迫使不少公司才施行遠距辦公及教學,早已進行遠距辦公逾二十年,經常在網路上即時回覆網友問題的數位行政委員唐鳳,辦公室內不乏VR眼鏡等高科技產物,但令人驚訝的是,唐鳳所使用的手機竟是Nokia的老舊機款8110;另外一台平常用來處理工作資料的iPad Pro則不含Sim卡,僅靠8110分享4G的訊號。 

<回到新聞條列重點>

趨勢科技研究發現 39% 員工 會從個人裝置存取企業資料   MediaOutReach

趨勢科技「Head in the Clouds」研究調查了 27 國共 13,000 多名遙距工作員工在疫情期間的生活與工作習慣。研究顯示,有 39% 的員工會使用個人裝置來存取企業資料,通常是經由雲端服務與雲端應用程式。這些屬於個人的智能手機、平板、筆記本電腦不僅在上網安全防護方面不如企業所配發的裝置,而且還暴露於家用網絡中各種 物聯網應用程式與裝置的資訊保安弱點。例如有超過三分之一(36%)受訪員工的個人裝置都沒有最基本的密碼保護

<回到新聞條列重點>

【臺灣資安大會直擊】趨勢揭露一連串鎖定IIS網頁伺服器的無檔案攻擊手法,呼籲企業要加以防範    iThome

駭客利用無檔案式攻擊(Fileless)手法,鎖定IIS建置的網頁伺服器下手,而且難以察覺。趨勢科技資深威脅研究員Dove Chiu與Tim Yeh,在2020臺灣資安大會的議程裡,揭露由他們率先發現的無檔案後門IIS-Share,並指出去年駭客又有新的攻擊行動。       

<回到新聞條列重點>

別出事才手忙腳亂!因應資安事件要超前部署 趨勢呼籲企業建立事故應變程序        iThome Weekly電腦報

針對火災等公安事故,許多企業都會定期進行相關演練,但對於資安事故,許多企業並沒有一套應變措施,往往直到事故發生之後,才把所有系統廠商找來緊急處理,在兵荒馬亂之際,可能就不小心破壞駭客入侵的跡證,或是無意之間透露公司受害,進而影響後續的事件調查與因應。在2020臺灣資安大會上,趨勢科技資安顧問劉大川就以他們經手處理的攻擊事件所看到的現象,呼籲企業要儘速建立有關的緊急應變機制,才能在真正發生資安事故時能夠按步就班處置。   

<回到新聞條列重點>

USB攻擊竟能騙過隔離網路的檢疫機制!趨勢揭露鎖定菲律賓軍方的隨身碟竊密攻擊行動USBferry iThome

實體隔離(Air-Gapped)是許多政府機關和企業存放重要機密系統的措施。但與外界網際網路隔離就真的安全嗎?恐怕不是,趨勢科技在HITCON揭露鎖定菲律賓軍方的USB隨身碟攻擊,呼籲相關人員必須留意有關手法。  

<回到新聞條列重點>

加群組免費看電影? 刑事局:詐騙個資       華視全球資訊網

很多人滑臉書時都會被免費看電影的貼文吸引,主打只要加入群組就有看不完的熱門片。我們實際查證,發現群組裡不僅沒有免費電影可以看,還都是空殼帳號。刑事局也出面呼籲,這可能是詐騙集團,要來盜用您的個資。最新的詐騙手法,都在今天的華視打假特攻隊!   

<回到新聞條列重點>

4天內有近2千個Magento 1網站被植入側錄程式        iThome

專門監控線上支付側錄犯罪行動的Sansec在本周指出,從上周五(9/11)到本周一(9/14),就有1,904家採用Magento 1的電子商務網站遭到駭客入侵,駭客攔截了這些網站的付款頁面,以搜括消費者的付款資訊,是該公司從2015年以來所發現的最大規模的線上側錄行動。       

<回到新聞條列重點>

美國土安全部示警,中國利用各大網路設備已知漏洞對政府部門發動攻擊        iThome

美國國土安全部提醒各政府單位盡快修補網路設備已知漏洞,過去一年來中國持續搜尋尚未修補Citrix、微軟Exchange Server、F5及Pulse VPN等漏洞的網路設備,以伺機發動攻擊。       

<回到新聞條列重點>

從租車業、手搖茶到賣牛肉麵都想做 台灣訂閱先鋒研華、和運 轉型如何不踩雷?        商業周刊

今年八月,六角推出套餐升級訂閱制,只要付訂閱金兩百元,六個月內可享旗下杏子豬排、段純貞牛肉麵的不限次數升級套餐。電子廠中,最重量級的投入者就是研華,它推出物聯網平台,讓VIP客戶用年費六十萬,可訂閱包含智慧工廠、智慧零售等各種服務,連潛在對手鴻海也跑來訂

<回到新聞條列重點>

臉書、杜比和Garmin都加入Amazon為首的AI語音相容計畫     iThome

由Amazon發起,在去年跟微軟、Salesforce、百度等多家廠商,一起推出的人工智慧語音相容計畫(Voice Interoperability Initiative),透過制定規範使裝置可支援多個語音服務,現在這項計畫的成員陣容越來越壯大,加入了臉書、杜比(Dolby)、Garmin和小米等廠商,目前成員數量已經超過70名。另外,Amazon還收集計畫成員的建議和最佳做法,發布了第1版多代理設計指南(Multi-Agent Design Guide)。   

<回到新聞條列重點>

Zoom為企業用戶帳號加入雙因素驗證      iThome

在年初因爆紅被揭發一連串隱私問題與資安漏洞,而承諾要提升自家雲端視訊產品安全的Zoom,本周宣布為企業用戶帳號加入雙因素驗證(2FA)支援。       

<回到新聞條列重點>

Coalition:今年上半資安險有41%的索賠源自於勒索軟體     iThome

北美資安險業者Coalition統計該公司內部以及外部數千個保險資料後發現,發現雖然今年上半年組織因遭勒索軟體攻擊而索賠的案例,比去年少了18%,但嚴重等級卻增加了,包括駭客要求更高的贖金,恢復正常運作的成本也增加。       

<回到新聞條列重點>

2020蘋果發表會懶人包:Apple Watch S6、Apple Watch SE、iPad 和 iPad Air     蘋果仁

2020 蘋果秋季發表會在凌晨結束,這次發表會如同先前外國爆料的一樣,僅有 Apple Watch 和 iPad,並沒有 iPhone 12 也沒有傳聞中的 AirTags 和 AirPower,發表會短短一個多小時就結束;雖然很多網友都表示失望,但這次的 Apple Watch 和 iPad 還是有一些亮點的,請見本篇懶人包的重點整理!    

<回到新聞條列重點>

快訊/入門款 iPad(第八代)登場,329 美元起   蘋果仁

第八代 10.2 吋 iPad 搭載 A12 仿生晶片,且根據蘋果發表會所說,性能上是最暢銷的 Windows 電腦的兩倍、Android平板的 3 倍以及 Chromebook 的 6 倍處理效能

<回到新聞條列重點>

快訊/新款 iPad Air 登場,五種顏色並改變 Touch ID 位置  蘋果仁

蘋果在發表會上推出了新版 iPad Air,新款的 iPad Air 搭載滿版螢幕(無 Home 鍵),不過並沒有搭載 Face ID 臉部辨識,而是將 Touch ID 的位置移動到了電源鍵,與發表會前的傳言一致。   

<回到新聞條列重點>

KB4576753/KB4576754更新將強制Windows 10用戶安裝Chromium版Edge        iThome

KB4576753是針對已終止維護的Windows 10 1803所進行的更新,至於KB4576754則是適用於Windows 10 1809/1903/1909/2004,而且它們都只更新了Microsoft Edge。微軟表示,新的Chromium版Edge對擴充程式及網站有更好的相容性,而且它支援最新的描繪能力、網頁應用程式,以及具備支援各作業系統的強大開發工具。   

<回到新聞條列重點>

資安即國安!政院打造「資安卓越中心」 推動3大重點工作      自由時報電子報

為強化國家的資安能量,視資安為國安的蔡政府,將推動設立「資安卓越中心」,發展台灣的資安前瞻研究與技術、培育包括警界與調查局等公私部門高階資安人才,以強化資安防護,為此,行政院將投入8.18億元經費,目前規劃將先設立資安卓越中心籌備處,並研議以法人的性質成立,將在後年正式成立這個中心。       

<回到新聞條列重點>

別受傷了才懂!專家分析資安實戰痛點與技術解方,及早替 OT 系統的安全把關        科技報橘網

2010 年,中東核電廠發生網路攻擊事件,國家最高等級的重要基礎建設被病毒攻擊,當下成為國際焦點,不過這個 OT 人的惡夢才剛開始。過去的十年間,幾乎每年都出現重大 OT 資安事件,像是台灣產業印象深刻的 2018 年的台灣史上最大資安事件,便造成 52 億元的損失。       

<回到新聞條列重點>

新身分證「防偽認證」遭爆疑造假 關鍵錄音揭廠商恐以不實證書得標      新頭殼

台灣新式數位身分證(New eID)原訂今年10月全面換發,中央印製廠為此將採購晶片身分證3,000萬張與印製設備系統,但過程卻一波三折,先是遇上武漢肺炎疫情,以近32.9億元得標的東元集團無法向外國廠商進貨製造晶片卡,內政部因此公告無限期暫緩實施;近期又傳出東元集團為了賺取價差,轉包給中國合作廠商代工,遭質疑恐造成台灣國安漏洞;如今再爆出疑似以不實的「防偽認證」證書取得標案

<回到新聞條列重點>

美退伍軍人事務部被駭,外洩4.6萬前官兵個資     iThome

事件起於由VA金融服務中心(Financial Services Center,FSC)管理一個和軍人健保有關的線上應用遭未授權人士存取,並竊走VA要支付給地區醫療機構的錢。經過初步調查,這名人士利用社交工程手法及驗證協定的漏洞,成功取得權限而存取應用系統,然後變更系統內的財務資訊,以便轉移錢的流向。   

<回到新聞條列重點>

Patch Tuesday更新造成WSL2無法啟動、注音無法輸入        iThome

微軟本月Patch Tuesday又有個版本出問題。編號KB4571756版本的Windows 10更新,造成部份用戶電腦的Windows Subsystems for Linux 2 (WSL2)無法啟動。 

<回到新聞條列重點>

副總統賴清德首度於HITCON 2020致詞,鼓勵駭客與政府合作,提高資安產值         iThome

HITCON 2020因應疫情,臺灣不只推出實體資安活動,也推線上資安會議給遠距和海外會眾;議程方面,首度結合社群場CMT和企業資安Pacific場次,曾經三次投稿美國黑帽大會和DEF CON的戴夫寇爾資深資安研究員Orange Tsai,則再度分享如何駭入臉書的漏洞挖掘駭客思維模式及漏洞利用方式。   

<回到新聞條列重點>

臺資安研究員在HITCON全球首度公開,如何利用MDM裝置漏洞再度駭入臉書        iThome

臺灣戴夫寇爾首席資安研究員Orange Tsai在HITCON 2020研討會中,全球首度公開知名MDM(行動裝置管理)軟體MobileIron的漏洞,除了分享找尋漏洞的駭客思維外,他也暨2016年首度入侵臉書並成功回報漏洞獎勵計畫後,於今年七月,採用MobileIron的漏洞,成功入侵採用MobileIron的臉書也同樣回報漏洞獎勵計畫。       

<回到新聞條列重點>

微軟:中國、伊朗、俄羅斯國家級駭客干擾美國大選    iThome

美國官方及民間不斷發現和外國政府有關的駭客攻擊介入美國政治。微軟昨(10)日表示,他們再度偵測到來自中國、俄羅斯及伊朗的駭客攻擊行動,企圖影響總統大選。   

<回到新聞條列重點>

和密碼說再見!Yubiky 推出從筆電到手機「一體適用」的 NFC 安全金鑰 科技新報網

Yubico 9 日發表售價 55 美元的全新硬體安全金鑰 YubiKey 5C NFC,為想在筆電和手機使用單一金鑰的使用者,提供全新的安全登錄功能與體驗。它可插入 PC / 手機的 USB-C 埠或透過 NFC(近場通訊)無線連接手機,被認為是目前最強大的身分驗證方式。       

<回到新聞條列重點>

微軟:偵測到俄羅斯、中國駭客加強網攻 破壞美國大選      經濟日報網

一份微軟公司的調查發現,俄羅斯、中國和伊朗駭客加緊對美國總統川普和民主黨總統候選人拜登的競選團隊進行網路攻擊,意圖破壞11月美國總統大選。根據負責客戶安全和信任的微軟公司企業部門副總裁Tom Burt周四部落格貼文,網路攻擊的目標包括政黨、倡議團體、學者和國際事務圈領導人物。   

<回到新聞條列重點>

SK海力士、LG電子遭駭客攻擊 內部機密資料外洩        自由時報電子報

韓國SK海力士和LG電子昨(9)日傳出遭到駭客攻擊,公司內部機密資料遭到大量外洩。SK海力士和LG電子隨後也證實公司遭駭客攻擊的消息,並表示已採取系統恢復措施。       

<回到新聞條列重點>