圖片來源: 

經濟部

1213-1219一定要看的資安新聞

 

#SQLite #資料庫漏洞

SQLite爆重大漏洞! 數百萬App和IoT裝置資料安全拉警報

騰訊刀鋒安全團隊研究人員發現,廣泛為App、Chromium瀏覽器或IoT裝置使用的SQLite資料庫,存在一項重大漏洞,稱為Magellan,可能讓駭客遠端執行程式碼。Google及SQLite官方已緊急修補漏洞。

基於SQLite應用範圍之廣泛,該團隊目前並未透露漏洞的技術細節,但這個漏洞可以誘使用戶以瀏覽器造訪特定網頁而遠端觸發,導致程式碼執行、應用程式記憶體洩露或讓App當掉。更多內容

圖片來源/擷取自騰訊刀鋒安全團隊官方網站

 

#IoT #網路攝影機 #物聯網資安標章

物聯網資安標章首次頒發,並有4家認可實驗室正式上路

圖片來源/經濟部

由經濟部與NCC合作推行的物聯網資安標章制度,在本月12日正式啟動。由於資安防護不足的物聯網設備,廣為網路攻擊的跳板,去年開始,政府從網路攝影機切入,制定出相關資安規範與檢測制度,希望逐漸推廣相關資安標準,不僅可成為國內公部門優先採購的安全產品,也能是行銷國際的一大利器。目前,共有4家可認證物聯網資安標章的實驗室,包括了電信技術中心、安華聯網、台灣電子檢驗中心與勤業眾信,同時,政府也首次頒發了物聯網資安標章合格產品證書,由奇偶科技的兩款網路攝影機GV-BX2700-FD、GV-MD8710-FD取得認證。更多內容

 

#自駕車 #AI誤判

AI安全危機在臺上演,Tesla自駕卻衝撞警車

根據國內多家媒體報導,國道警方11日深夜在國道3號北向99.3公里處理交通事故時,在後方開著特斯拉Model S的林姓駕駛,因精神不濟,雖駕駛宣稱已開啟自動輔助駕駛功能,但仍以接近110公里時速撞上警車,車頭幾乎半毀,所幸無人受傷。這是臺灣發生首次Tesla電動汽車駛肇事的意外,值得關注的是,不只是駭客可能入侵汽車並控制,汽車本身內建AI的判斷一旦不夠精準,例如能否辨識我國的交通錐與警示閃燈等問題,同樣會有高度風險,面對系統資訊誤判所帶來的安全問題,亦成為議論焦點。更多內容

 

#政府服務憑證外洩

駭客在黑市兜售全球逾30個國家的4萬個政府服務憑證

俄羅斯資安業者Group-IB本周指出,該公司發現駭客在黑市上,販售全球多個國家的政府服務憑證,而且是4萬名已上的大量員工憑證。關於這次發現的影響範圍,涉及的憑證可用來存取歐洲多個國家,包括法國、瑞士、波蘭、羅馬尼亞等等的政府入口網站,甚至還包括義大利與以色列的國防部網站。此外,根據研究人員分析,駭客的目的應是藉由網釣郵件,在受害者電腦上植入間諜程式或鍵盤側錄程式,例如Pony Formgrabber、AZORult與Qbo。更多內容

 

#間諜活動

McAfee:大規模網路間諜行動已滲透全球24個國家的87個組織

資安業者McAfee本周揭露了一項名為神槍手行動(Operation Sharpshooter)的網路攻擊行動,該行動鎖定了各國的重大資產,從核子、國防、能源到金融組織,儘管是在今年10月底才發動攻擊,但迄今已於24個國家的87個組織,發現了駭客的蹤跡。

根據McAfee的分析,此活動採取多階段的攻擊步驟,先是利用Dropbox散布惡意的Word文件,一旦被下載及開啟,就會在Word記憶體中植入簡易木馬程式,它會蒐集電腦上的資訊並傳送至由駭客控制的C&C伺服器。更多內容

 

#HITCON Pacific 2018 #台灣駭客年會

2018台灣駭客年會登場,聚焦人工智慧、網路威脅情報、區塊鏈安全等多項主題

圖片來源/台灣駭客年會

由台灣駭客協會、CHROOT,以及 iThome電腦報週刊所主辦的HITCON Pacific大會,在12月13日登場,今年邀請了25位以上的國內外講者,暢談多種重要議題,涵蓋了網路安全韌性、物聯網、資安人才培育、威脅情報、硬體安全,以及人工智慧、區塊鏈安全、量子運算威脅。除此之外,今年的HITCON Pacific大會同時舉辦了多場不同形式的活動。例如,邀集金融從業人員參加的FINSEC金融安全閉門會議,商業等級的藍隊實戰攻防演練課程體驗、以及企業資安攻防競賽HITCON Defense等。同時,大會還別出心裁地舉辦了針對資安人員設計的桌遊活動,透過這套捷克國家網絡與資訊安全局開發的TTX桌遊,與會者可模擬和學習資安事件的應變。更多內容

 

#資安人才培訓 #高等教育

臺灣高等教育在資安培力,持續強化暑期與跨校課程,積極與國際接軌

面對資安人才不足問題,相關人才培育一直是近年產官學界關心重點,在今年HITCON Pacific 2018大會的議程上,特別針對高等教育的資安實務教育與培訓發展,揭露其最新發展近況與面臨挑戰。

其中,AIS3新型態資安暑期課程,以及臺大、交大與臺灣科大學的跨校資安實務課程,都在持續不斷調整課程內容,期望能夠建構出更滿足需求的體系,特別的是,在2019年,還將與日本、韓國、新加坡設立跨國的全球性人才養成計畫。此外,中山大學也將在108學年度設立全臺第一個資訊安全研究專門的碩士班。更多內容

 

#Apache伺服器配置不當

又是配置錯誤惹的禍! 不當配置的Apache網頁伺服器讓1.2億筆巴西民眾個資全都露

專門提供身分、金融及隱私保護的資安業者InfoArmor,本周指出在今年3月,他們從網路上發現了一個配置錯誤的Apache網頁伺服器,曝露了1.2億名巴西民眾的詳細資料,一直到4月底才被修補,堪稱為全球最嚴重的資料外洩事件之一,足以與去年外洩1.4億名用戶資料的Equifax事件相提並論。研究人員指出,只要採取下列最基本的安全措施,就能避免此事發生,一是不要變更index.html名稱,二是禁用.htaccess配置存取,但該Apache網頁伺服器兩項都沒做到。更多內容

 

#網釣攻擊 #假冒系統通知信

注意!偽造的Office 365無法傳遞通知成為駭客網釣新手法

資安業者 ISC Handler上周公布了駭客的新手法,假冒來自Office 365的無法傳遞通知(Non Delivery Receipt,NDR)來吸引使用者上當。這波新的網釣活動,當中提供重新寄出的按鍵,會將使用者導至可登入微軟帳號憑證的頁面,而且已經自動填好了使用者的帳號名稱,僅要求使用者輸入密碼。一旦使用者填完憑證資訊,並按下登入,它就會將使用者的微軟憑證傳送到駭客伺服器上。更多內容

 

更多資安動態

Windows Server 2019正式支援OpenSSH
金融業不能忽視的國家級駭客威脅,FireEye:APT 38組織發展針對SWIFT的攻擊軟體
伊朗駭客假冒Gmail和Yahoo Mail遭駭通知信來發送釣魚郵件,專門鎖定記者、社運人士和官員
別上當!北美出現勒索比特幣的炸彈勒索信
微軟12月安全更新修補38個漏洞,近1/4為重大漏洞、兩個零時差漏洞
新款macOS惡意程式OSX.LamePyre會把螢幕畫面傳給駭客
善用人工智慧,扭轉資安防護劣勢,現出一線希望曙光
臺灣金融資安聯防剛起步,日本F-ISAC在臺分享近年實務經驗
人工智慧非資安偵測萬靈丹,用對方法才能避開高誤判陷阱
強韌的恢復能力已成為資安攻防的重要心法
讓用戶自然而然操作才是正道,GNOME資安團隊從軟體開發強化作業系統安全
【面對漏洞通報,企業與通報者要能互信】今年HITCON ZeroDay平臺已有14個組織推獎勵計畫
第三方調查結果,Supermicro:我們的伺服器沒有被植入間諜晶片
2018年密碼觀念最差者:五角大厦、Nutella榜上有名,Google意外拿下第八
微軟網站登入系統有漏洞,用戶點選惡意連結帳號就被綁架
臉書照片API臭蟲可能讓680萬用戶的照片曝光!
人臉辨識真的安全嗎!? 3D列印頭像成功騙過Samsung S9,但iPhone X擋住了
傳中國駭客已成功入侵美國海軍的承包商
微軟祭出總獎金2.5萬美元舉辦AI競賽,要預測哪些機器染毒風險最高
卡巴斯基:可連網的家用電動車充電器漏洞,可讓駭客隨意控制充電甚至引發火災
趨勢科技:推特帳號淪為駭客攻擊幫兇,發送meme圖片下令惡意程式發動攻擊
Android Pie加入Keystore新功能,安全金鑰導入有效預防金鑰遭攔截
瀏覽網站老是回不到上一頁嗎?Google Chrome正設法幫你阻擋

熱門新聞

Advertisement