資安一周[0412-0418]：中國微博遵照《網路安全法》開始掃蕩網路內容，同性戀內容首當其衝引發反彈，掃蕩急踩煞車

微博依《網路安全法》大力整頓，掃盪同性戀內容引發反彈，急踩煞車

中國最受歡迎的微網誌服務—微博4月13日宣布，為遵循《網路安全法》的要求，將展開為期3個月的清理行動，將清理該平臺上包括同性戀題材在內的違法內容，結果該公告被轉寄數十萬次，微博上的同性戀者也開始大規模地採用「我是同性戀」的標籤以示抗議，使得微博4月16日政策急轉彎，宣布清理對象將排除同性戀內容。更多內容

新版Gmail預計6月推出可禁止轉寄或列印、設定閱讀期限的機密郵件功能

日前Google才寄信通知G Suite用戶，表示旗下的Gmail服務即將進行大改版，新版Gmail還將提供可禁止轉寄、列印，並會自動過期的機密模式（Confidential Mode），預計會是在5月8日舉行的Google I/O會議上揭露，而正式版則可望於6月出爐。
當寄信者選擇機密模式時，收信方將無法轉寄、複製、下載或列印該郵件，同時寄信者也能設定郵件的到期日，例如一周、一個月或數年等，等時間一到，收信方將無法再檢視該郵件。此外，寄信者也可要求收信方必須透過密碼才能開啟該郵件。更多內容

蘋果嚴禁員工對外爆料，傳去年已抓到29人洩密

彭博報導，向來保守機密甚嚴的蘋果近日對內重申嚴禁員工對外爆料公司資訊，並稱去年已經逮到29名員工及供應商洩密，包括員工、約聘人員及一些蘋果供應鏈的員工，其中12人遭到逮捕。蘋果警告，入侵網路及竊取商業機密都是重罪，並引述律師說法表示洩密會成為前科，不但會讓這些人丟工作，未來想找其他工作也極為困難。
蘋果在對內的員工部落格表示，公司投入大量資源來找出洩密者，已經抓到爆料給媒體的例子，包括今年稍早蘋果軟體工程主管Craig Federighti，在內部會議上公佈iPhone某些軟體功能要延後推出；以及去年還未釋出的iOS 11軟體套件，洩露開發中的iPhone X、Apple Watch功能等。蘋果安全部門的數位鑑識工具，還抓到員工洩露iPhone X、iPad Pro及AirPods資訊給9to5Mac的部落客。此外蘋果也將檢查對象擴及上游供應商。更多內容
 

微軟IIS 6.0舊漏洞再被用來挖礦

資安公司F5日前發現，駭客利用微軟一個在一年多前被揭露的IIS 6.0伺服器漏洞，用來挖掘Electroneum加密貨幣，同樣的漏洞，去年也有資安公司ESET對外揭露，駭客利用同樣的IIS 6.0伺服器漏洞，用來挖掘門羅幣（Monerol），並有北韓政府幕後支持的駭客組織Lazarus，對外散布惡意程式。事實上，微軟的IIS 6.0伺服器早在三年前，就已經終止產品生命周期（End of Life，EOL），
最新的攻擊中，駭客使用名為Squiblydoo的手法，為躲避軟體白名單過濾，利用合法的Microsoft binary程式regsvr32.exe，下載並執行包含VBScript指令行的XML檔案。其中的執行檔，為32-bit的採礦程式XMRing，等它成功進入IIS伺服器後，駭客就利用源為中國聯通位於北京的某臺伺服器，鎖定中國及美國的Windows IIS伺服器下手。更多內容

資安研究：程式碼注入不稀奇，「早鳥」程式碼注入興起

資安業者Cyberbit日前揭露了一款新的程式碼注入方式，它能在許多防毒軟體還沒部署Hook機制運作前就載入惡意程式，能在不被偵測到的狀態下展開惡意行動，因而被命名為「早鳥」（Early Bird）程式碼注入技術。Cyberbit表示，目前已發現多款採用早鳥程式注入手法的惡意程式，包括伊朗駭客集團APT33所撰寫的TurnedUp後門程式，以及可用來執行阻斷服務攻擊或竊取密碼的通用惡意程式DorkBot。其中，去年9月才曝光的TurnedUp能夠竊取資料、建立反向Shell、拍攝螢幕畫面及收集系統訊息等。更多內容
 

路由器漸成為APT攻擊的最愛，防毒公司警告，威脅僅次於CPU漏洞

資安業者卡巴斯基（Kaspersky Lab）全球研究與分析團隊（GReAT）總監Costin Raiu指出，以路由器為目的的網路間諜活動或APT攻擊過去就發生過，而今年更廣為使用。卡巴斯基日前也發現名為LuckMouse的APT攻擊，是少數可被證實和網路間諜活動有關的路由器被駭事件。由於資訊掌握不足，無法判斷攻擊者為誰，或是硬體是否為主因，但本次行動卻造成一款知名路由器多臺同時重開機的現象。
去年美國US CERT也發佈警告，指出以路由器、防火牆等網路基礎架構硬體已經成為APT攻擊的新興管道。卡巴斯基也將路由器列為APT攻擊的新風險領域，僅次於Meltdown、Spectre、Chimera、RyzenFall等CPU漏洞之後。更多內容
 

美國商務部下令，禁止高通等晶片業者出口零件給中國手機業者中興通訊

美國商務部日前宣布一則禁令，在未來七年內，禁止包括美國高通等手機元件、晶片供應商等業者，出口相關零件給中國手機製造業者中興通訊（ZTE）。美國商務部指出，因為中興通訊去年承認，非法向伊朗以及北韓運送美國裝備後，沒有遵守後續認罪協議的內容，不但沒有譴責相關的高層與員工，反而給予相對應的獎勵措施。這樣的行為，也迫使美國商務部下達最後通牒。而中興通訊的認罪協議除了11.9億美元的罰款，以及暫停7年的出口特權，且不能違反任何出口管理條例。更多內容

俄羅斯下令封殺Telegram，創辦人堅持「拒絕出賣隱私」

俄羅斯政府日前宣布，將要求法院，全面禁止加密通訊App Telegram在俄羅斯境內使用。該國政府宣稱，Telegram是恐怖份子使用的工具，該App應該要提供相對應的解密金鑰給俄羅斯政府，以阻止更多恐怖攻擊行動。
不過，Telegram創辦人Pavel Durov持續拒絕上繳解密金鑰的要求，在超過俄羅斯政府提出的4月4日上繳金鑰的最後期限後，俄國政府則正式要求法院，下令俄國全面禁用Telegram。目前Telegram全球有2億名使用者，許多政府官員、律師、記者等，都是愛用者，創辦人Pavel Durov已經於2014年逃離俄羅斯，對此次事件他則對外宣稱：「在捍衛人權的立場上，拒絕出賣隱私（Privacy is not for sale）。」更多內容

美英澳發出聯合警報，有上百萬臺網路設備遭俄羅斯駭客鎖定

包含美國、英國以及澳洲政府日前都一致指控，俄羅斯政府背後支持的網軍，已經影響全球上百萬臺裝置，且除了鎖定路由器攻擊之外，還包含防火牆以及其他的網路設備。而美英澳提出的聯合警報中也提醒，這些受影響的路由器設備，未來可以有其他更進階的網路攻擊行為，必須要提高警覺。俄羅斯駐英國倫敦大使國則對外否認，上述一切的指控。
在美英兩國針對俄羅斯政府支持的駭客攻擊活動發表聯合警報指出，俄羅斯主要鎖定竊取重要的智慧財產權，以及進行其他惡意的活動，也可能發動進一步的攻擊。但是當美英政府發出警報的同時，莫斯科也正遭受一連串的網路攻擊。更多內容

微軟瞄準物聯網安全，推出基於Linux的物聯網安全晶片

微軟將推出基於Linux作業系統，結合軟體、硬體以及雲端安全的物聯網安全晶片Azure Sphere，未來物聯網裝置可以安裝並執行開源Linux核心，及內建微軟Windows安全組件與安全監控功能的Azure Sphere作業系統， 並由微控制單元（MCU）開發商在，相關的物聯網裝置上，提供計算、儲存和嵌入式作業系統，微軟也會對相關的MCU提供Azure Sphere認證，確保至少有10年的使用壽命。
物聯網裝置以往因為缺乏安全更新而飽受批評，聯發科將率先採用Azure Sphere晶片，使用手機常用的MT3260處理器。Azure Sphere目前正推出私人預覽版，預計在今年年中推出微軟Visual Studio開發套件，而基於Azure Sphere的設備將於2018年底前上架。更多內容