資安一周第22期：SQLite爆重大漏洞讓數百萬App和IoT裝置資料安全拉警報。臺物聯網資安標章首頒並有4家認可實驗室

1213-1219一定要看的資安新聞

＃SQLite　＃資料庫漏洞

SQLite爆重大漏洞! 數百萬App和IoT裝置資料安全拉警報

騰訊刀鋒安全團隊研究人員發現，廣泛為App、Chromium瀏覽器或IoT裝置使用的SQLite資料庫，存在一項重大漏洞，稱為Magellan，可能讓駭客遠端執行程式碼。Google及SQLite官方已緊急修補漏洞。

基於SQLite應用範圍之廣泛，該團隊目前並未透露漏洞的技術細節，但這個漏洞可以誘使用戶以瀏覽器造訪特定網頁而遠端觸發，導致程式碼執行、應用程式記憶體洩露或讓App當掉。更多內容

圖片來源／擷取自騰訊刀鋒安全團隊官方網站

＃IoT　＃網路攝影機　＃物聯網資安標章

物聯網資安標章首次頒發，並有4家認可實驗室正式上路

圖片來源／經濟部

由經濟部與NCC合作推行的物聯網資安標章制度，在本月12日正式啟動。由於資安防護不足的物聯網設備，廣為網路攻擊的跳板，去年開始，政府從網路攝影機切入，制定出相關資安規範與檢測制度，希望逐漸推廣相關資安標準，不僅可成為國內公部門優先採購的安全產品，也能是行銷國際的一大利器。目前，共有4家可認證物聯網資安標章的實驗室，包括了電信技術中心、安華聯網、台灣電子檢驗中心與勤業眾信，同時，政府也首次頒發了物聯網資安標章合格產品證書，由奇偶科技的兩款網路攝影機GV-BX2700-FD、GV-MD8710-FD取得認證。更多內容

＃自駕車　＃AI誤判

AI安全危機在臺上演，Tesla自駕卻衝撞警車

根據國內多家媒體報導，國道警方11日深夜在國道3號北向99.3公里處理交通事故時，在後方開著特斯拉Model S的林姓駕駛，因精神不濟，雖駕駛宣稱已開啟自動輔助駕駛功能，但仍以接近110公里時速撞上警車，車頭幾乎半毀，所幸無人受傷。這是臺灣發生首次Tesla電動汽車駛肇事的意外，值得關注的是，不只是駭客可能入侵汽車並控制，汽車本身內建AI的判斷一旦不夠精準，例如能否辨識我國的交通錐與警示閃燈等問題，同樣會有高度風險，面對系統資訊誤判所帶來的安全問題，亦成為議論焦點。更多內容

＃政府服務憑證外洩

駭客在黑市兜售全球逾30個國家的4萬個政府服務憑證

俄羅斯資安業者Group-IB本周指出，該公司發現駭客在黑市上，販售全球多個國家的政府服務憑證，而且是4萬名已上的大量員工憑證。關於這次發現的影響範圍，涉及的憑證可用來存取歐洲多個國家，包括法國、瑞士、波蘭、羅馬尼亞等等的政府入口網站，甚至還包括義大利與以色列的國防部網站。此外，根據研究人員分析，駭客的目的應是藉由網釣郵件，在受害者電腦上植入間諜程式或鍵盤側錄程式，例如Pony Formgrabber、AZORult與Qbo。更多內容

＃間諜活動

McAfee：大規模網路間諜行動已滲透全球24個國家的87個組織

資安業者McAfee本周揭露了一項名為神槍手行動（Operation Sharpshooter）的網路攻擊行動，該行動鎖定了各國的重大資產，從核子、國防、能源到金融組織，儘管是在今年10月底才發動攻擊，但迄今已於24個國家的87個組織，發現了駭客的蹤跡。

根據McAfee的分析，此活動採取多階段的攻擊步驟，先是利用Dropbox散布惡意的Word文件，一旦被下載及開啟，就會在Word記憶體中植入簡易木馬程式，它會蒐集電腦上的資訊並傳送至由駭客控制的C&C伺服器。更多內容

＃HITCON Pacific 2018　＃台灣駭客年會

2018台灣駭客年會登場，聚焦人工智慧、網路威脅情報、區塊鏈安全等多項主題

圖片來源／台灣駭客年會

由台灣駭客協會、CHROOT，以及 iThome電腦報週刊所主辦的HITCON Pacific大會，在12月13日登場，今年邀請了25位以上的國內外講者，暢談多種重要議題，涵蓋了網路安全韌性、物聯網、資安人才培育、威脅情報、硬體安全，以及人工智慧、區塊鏈安全、量子運算威脅。除此之外，今年的HITCON Pacific大會同時舉辦了多場不同形式的活動。例如，邀集金融從業人員參加的FINSEC金融安全閉門會議，商業等級的藍隊實戰攻防演練課程體驗、以及企業資安攻防競賽HITCON Defense等。同時，大會還別出心裁地舉辦了針對資安人員設計的桌遊活動，透過這套捷克國家網絡與資訊安全局開發的TTX桌遊，與會者可模擬和學習資安事件的應變。更多內容

＃資安人才培訓　＃高等教育

臺灣高等教育在資安培力，持續強化暑期與跨校課程，積極與國際接軌

面對資安人才不足問題，相關人才培育一直是近年產官學界關心重點，在今年HITCON Pacific 2018大會的議程上，特別針對高等教育的資安實務教育與培訓發展，揭露其最新發展近況與面臨挑戰。

其中，AIS3新型態資安暑期課程，以及臺大、交大與臺灣科大學的跨校資安實務課程，都在持續不斷調整課程內容，期望能夠建構出更滿足需求的體系，特別的是，在2019年，還將與日本、韓國、新加坡設立跨國的全球性人才養成計畫。此外，中山大學也將在108學年度設立全臺第一個資訊安全研究專門的碩士班。更多內容

＃Apache伺服器配置不當

又是配置錯誤惹的禍! 不當配置的Apache網頁伺服器讓1.2億筆巴西民眾個資全都露

專門提供身分、金融及隱私保護的資安業者InfoArmor，本周指出在今年3月，他們從網路上發現了一個配置錯誤的Apache網頁伺服器，曝露了1.2億名巴西民眾的詳細資料，一直到4月底才被修補，堪稱為全球最嚴重的資料外洩事件之一，足以與去年外洩1.4億名用戶資料的Equifax事件相提並論。研究人員指出，只要採取下列最基本的安全措施，就能避免此事發生，一是不要變更index.html名稱，二是禁用.htaccess配置存取，但該Apache網頁伺服器兩項都沒做到。更多內容

＃網釣攻擊　＃假冒系統通知信

注意！偽造的Office 365無法傳遞通知成為駭客網釣新手法

資安業者 ISC Handler上周公布了駭客的新手法，假冒來自Office 365的無法傳遞通知（Non Delivery Receipt，NDR）來吸引使用者上當。這波新的網釣活動，當中提供重新寄出的按鍵，會將使用者導至可登入微軟帳號憑證的頁面，而且已經自動填好了使用者的帳號名稱，僅要求使用者輸入密碼。一旦使用者填完憑證資訊，並按下登入，它就會將使用者的微軟憑證傳送到駭客伺服器上。更多內容

更多資安動態

●Windows Server 2019正式支援OpenSSH
●金融業不能忽視的國家級駭客威脅，FireEye：APT 38組織發展針對SWIFT的攻擊軟體
●伊朗駭客假冒Gmail和Yahoo Mail遭駭通知信來發送釣魚郵件，專門鎖定記者、社運人士和官員
●別上當！北美出現勒索比特幣的炸彈勒索信
●微軟12月安全更新修補38個漏洞，近1/4為重大漏洞、兩個零時差漏洞
●新款macOS惡意程式OSX.LamePyre會把螢幕畫面傳給駭客
●善用人工智慧，扭轉資安防護劣勢，現出一線希望曙光
●臺灣金融資安聯防剛起步，日本F-ISAC在臺分享近年實務經驗
●人工智慧非資安偵測萬靈丹，用對方法才能避開高誤判陷阱
●強韌的恢復能力已成為資安攻防的重要心法
●讓用戶自然而然操作才是正道，GNOME資安團隊從軟體開發強化作業系統安全
●【面對漏洞通報，企業與通報者要能互信】今年HITCON ZeroDay平臺已有14個組織推獎勵計畫
●第三方調查結果，Supermicro：我們的伺服器沒有被植入間諜晶片
●2018年密碼觀念最差者：五角大厦、Nutella榜上有名，Google意外拿下第八
●微軟網站登入系統有漏洞，用戶點選惡意連結帳號就被綁架
●臉書照片API臭蟲可能讓680萬用戶的照片曝光!
●人臉辨識真的安全嗎!? 3D列印頭像成功騙過Samsung S9，但iPhone X擋住了
●傳中國駭客已成功入侵美國海軍的承包商
●微軟祭出總獎金2.5萬美元舉辦AI競賽，要預測哪些機器染毒風險最高
●卡巴斯基：可連網的家用電動車充電器漏洞，可讓駭客隨意控制充電甚至引發火災
●趨勢科技：推特帳號淪為駭客攻擊幫兇，發送meme圖片下令惡意程式發動攻擊
●Android Pie加入Keystore新功能，安全金鑰導入有效預防金鑰遭攔截
●瀏覽網站老是回不到上一頁嗎？Google Chrome正設法幫你阻擋