資安一週（0310～0316）：第一屆臺灣資安館正式開幕，38家國產業者大秀資安軟實力

資安一周重點（0310～0316）

臺灣資安館開幕，副總統陳建仁期許讓世界看見臺灣的資安實力

今年臺灣資安大會活動首次設立了臺灣資安館展區，共集結了38家廠商，涵蓋人工智慧、威脅情資、大數據、數位金融、滲透攻防、威脅防護、機密保護、資安服務8個面向，展現國內資安產業的自主研發實力，同時展現我國資安產業的蓬勃發展。副總統陳建仁也和國安會、國發會、國部、經濟部、工研院等代表參加開幕儀式，

陳建仁以這次臺灣資安館以資安國家隊為號招，對外展現臺灣資安產業的實力，期許未來建立國際拓銷平台讓臺灣的資安產業邁向全球市場，以資安優先、臺灣領先，讓全世界都看得到。更多內容

首份臺灣企業資安調查：今年資安投資大增73％，6成金融業急需資安人才

iThome公布首份反應臺灣企業資安現況的資安調查－「iThome 2018企業資安大調查」，針對超過300位臺灣資訊與資安最高主管的調查結果顯示，臺灣企業對資訊安全的重視度大幅提升，不僅2018年企業資安投資金額成長率達73％，也有高達六成以上企業優先重視強化資安，而資安人才也變得搶手，62.5%金融業都開出資安職缺。

根據這次調查，2018年企業資安投資平均金額達到763萬元，是2017年的1.73倍。其中有2.2%企業的資安預算超過了5千萬元以上，更有企業一舉投入上億元強化資安。更多內容

臺灣第一份「資安即國安」戰略報告書將於5月出爐

第四屆臺灣資安大會於3月14日正式開幕，並連續兩天於臺北國際會議中心舉辦。國家安全會議諮詢委員李德財以及經濟部部長沈榮津到場致詞。李德財針對「資安即國安」政策推動進度報告時指出，預計今年五月會公布第一本「資安即國安戰略報告書」，並強調，政府面對資安的議題，就必須做到「超前部署、預置兵力」的目標。
李德財表示，未來政府面對資安戰略的重要工作有三項，分別是：強化基礎整備工作；協助行政院落實資安旗艦計畫；並強化臺灣與國際資安聯防的工作。更多內容

以色列資安業者公布13個晶片安全漏洞，讓AMD猝不及防

來自以色列的資安業者CTS Labs在3月13日對外揭露了13個涉及AMD伺服器、工作站與筆電系列處理器的安全漏洞，而且只提前一天通知AMD，措手不及的AMD至截稿為止，仍未發布公開聲明，但面對媒體詢問，AMD則表達不滿，抗議CTS Labs未提供充分調查與解決的時間。
CTS Labs在AMD處理器漏洞白皮書中指出，該實驗於半年前開始研究基於AMD Zen架構的處理器安全性，涵蓋EPYC伺服器、Ryzen工作站、 Ryzen Pro及Ryzen Mobile等系列，並發現了13個安全漏洞。更多內容

3月例行更新發布，微軟終於修補所有Windows 版本的Meltdown漏洞

微軟在3月的例行周二更新中，修補所有現行Windows的Meltdown漏洞，同時取消Windows 10更新對第三方防毒軟體的相容性檢查。此外還發布新版英特爾處理器微程式碼。

最新的Meltdown修補程式延伸涵蓋到了x86版Windows 7及8.1版。在此之前只有64-bit及32-bit（x86）版Windows 10 PC依序獲得修補。更多內容

Let's Encrypt通用憑證上線了

免費憑證服務Let's Encrypt近日發表了通用憑證（Wildcard certificates）服務，以及相容於通用憑證的ACMEv2協定。

通用憑證允許網站以單一憑證保障所有的子網域，例如當以 *.example.com申請通用憑證時，不管是www.example.com、payment.example.com或login.example.com都在該憑證的保障下；儘管Let's Encrypt建議絕大多數的網站都應採用非通用憑證，但為了推動100%的HTTPS加密傳輸，Let's Encrypt仍然替少數需求提供了通用憑證服務。更多內容

2月最活躍的前4名惡意程式有3個是採礦程式

資安業者Check Point近日公布了今年2月全球最活躍的十大惡意程式，發現前4名中就有3名是採礦程式，包括Coinhive、Cryptoloot與JSEcoin，分佔排行榜上的第一名、第二名與第四名。

根據Check Point的統計，今年2月全球有20%的組織受到Coinhive影響，有16%組織受到Cryptoloot影響，還有6%的組織受到JSEcoin影響，意謂著採礦程式總計波及了42%的組織。更多內容

3款知名VPN竟有漏洞，可能洩露用戶IP

安全部落格VPN Mentor近日聘請了三名白帽駭客針對Hotspot Shield、PureVPN及 Zenmate VPN產品進行獨立研究。結果發現上述三款產品都出現會洩露用戶IP位址的漏洞，可能讓政府、惡意組織或駭客辨識出用戶的真實IP。
研究人員將結果通知了所有廠商，但只有Hotspot Shield回覆，已修補三項漏洞，手機及桌機版App則未受影響。其餘兩家PureVPN及 Zenmate則沒有回應修補的情況。更多內容

機器人也可能遭駭，研究人員示範如何綁架機器人索賠贖金還爆粗

有鑑於未來的機器人服務可能愈來愈普及，資安業者IOActive針對機器人的安全性展開研究，並打造出概念性驗證攻擊程式，且適用於知名的NAO與Pepper機器人上。

研究人員先開採了機器人系統上的遠端執行漏洞，變更機器的預設操作，關閉管理員功能，挾持機器人的影音能力，再自遠端伺服器傳送指令，在攻擊示範的影片中，研究人員讓機器人說出自己被駭了，需要比特幣，還爆粗口。更多內容

微軟誤發Windows功能更新，部份用戶遭強迫安裝

微軟坦承近日誤發Windows功能更新，使部份用戶被迫安裝到最新的秋季創作者更新（Fall Creators Update）。

一名用戶近日在Askwoody論壇反映，他的Windows 10 Dell電腦已經更新到1703版Windows更新，但3月7日Windows忽然跳出訊息視窗，表示已有最新安全更新，半小時後就逕行安裝起來。在他來不及阻止下Windows 就完成安裝1709版，即秋季創作者更新（Fall Creators Update），但卻是沒有聲音、全部黑白的Windows，還顯示部份捷徑無法使用的錯誤通知訊息。更多內容