跨域資安強化產業推動計畫網站 ACW

[2019/11/01~30]
本計畫整理, edited by Su Yu Tsai

01 印度核電廠證實遭北韓惡意程式入侵網路
攻擊事件遭到揭露的經過，最初是因為推特一名用戶上傳DTrack惡意程式樣本，並顯示是從印度庫丹庫拉姆核電廠（Kudankulam Nuclear Power Plant）網路竊取資料，包括網路上系統的IP位址、MAC位址、作業系統類型、瀏覽器上網紀錄、ipconfig， 以及netstat等組態資訊等。該電廠所屬的印度核電公司起初否認，不過後來坦承確有此事。據俄羅斯安全公司卡巴斯基研究，Dtrack迄今廣被用於感染金融機構和研究中心。 它主要的目的是利用鍵盤側錄、網路掃瞄及程式活動監控，進行感染系統的資料蒐集及環境偵察。核電廠作為重要基礎架構已成為駭客眼中的好目標。 此前著名的例子包括攻擊伊朗核電廠的Stuxnet，以及攻擊車諾比電廠的NotPetya等

新聞來源：iThome | 20191101
======
02 美國盟邦的政府官員都是WhatsApp惡意程式的攻擊目標
臉書在今年5月緊急修補了WhatsApp安全漏洞，並且控告相關攻擊行動的始作俑者NSO Group，而最近路透社的報導進一步指出，受害者中有相當比例為知名的政府及軍方官員，有許多人是美國的盟友。 此安全漏洞編號為CVE-2019-3568，當受害裝置接收到顯示為視訊的電話時，無論接聽與否，駭客都能傳遞惡意程式Pegasus到手機上。臉書與WhatsApp的調查顯示，打造Pegasus的以色列駭客公司NSO Group，就是幕後推手。 Pegasus被譽為史上最高明的間諜程式，它可監控受害者的行動，也能蒐集裝置上的各式資訊，從語音通訊、相機、電子郵件、訊息、定位、密碼與通訊錄等。

新聞來源：iThome | 20191101
======
03 詐騙駭客開採Firefox臭蟲，讓使用者誤以為系統被駭了
駭客利用Firefox的瀏覽器鎖住漏洞，讓受害者無法關閉瀏覽器，再跳出謊稱技術支援的詐騙視窗，接著要求使用者撥打電話之後，使用者可能會允許駭客自遠端控制系統，駭客就能向使用者收取服務費用，也可能造成個資外洩。來解決駭客捏造的系統問題。事實上，使用者的系統並無任何的不妥，不管是在Windows或macOS上，其實只要叫出工作管理員或強制關閉的功能，把Firefox關閉就沒事了。 目前Mozilla已經著手修補該漏洞，打算藉由之後的Firefox版本更新。

新聞來源：iThome | 20191107
======

04 資安即國安 總統提新戰略
為強化國家安全，蔡英文總統除強調台美關係的重要，也對資安給予高度關注。蔡總統昨說，政府會持續進行各項資安工作，並加速研擬二○二一年到二○二五年的「資安即國安2.0戰略」，提高資安研訓院人才培訓能量，開發資安產業創新技術，鞏固資訊安全，打造台灣成為堅韌資安之國。 總統強調，資安就是國安，絕對不會是一個口號而已，去年已通過了「資安管理法」，今年九月國安會更提出了首部「資安戰略報告」。政府也擴大投入「資安旗艦計畫」、前瞻計畫及資安人才培育計畫，去年底，也啟用了國家通訊暨網際安全中心，成為固守國家的第一道防線。

新聞來源：自由時報 | 20191112
======
05 資安問題又一樁！亞馬遜智慧門鈴「Ring」傳有重大漏洞
消息指出，安全研究人員發現Ring存在著重大漏洞，駭客只要侵入Wi-Fi，就可以知道密碼跟其他所有智慧裝置。防毒軟體Bitdefender表示，當Ring連上家中網路時，會將使用者的Wi-Fi密碼用明文(Plaintext)的方式進行發送，這讓有心人士可能因此獲得密碼，藉此進行大規模的網路攻擊或非法監控。亞馬遜雖然在9月快速的修復了Ring的安全漏洞，但直至近日這項消息才走漏，這也讓智慧家居再度蒙上資安陰影，即使智慧家居的出現是為了讓生活更加方便，並提供家中安全性，但資安問題卻層出不窮，讓不少使用者卻步。

新聞來源：匯流新聞網 | 20191113
======
06 年輕駭客超進化 學校資安87分
台大網路教學平台Ceiba本月初遭資工系學生入侵，所有學生歷年分數都被改成「87分」，雖未影響真實成績登錄，但也暴露台大的資安，沒想像中的牢不可破，也讓人詫異校園資安防護竟如此輕忽。 台灣駭客人才濟濟，政府部門、企業的資安防護卻仍頻傳漏洞，校園網路較開放，不能不設防；尤其校園網路儲存的資料繁雜，除個資外，還有分數、考題被竄改外洩風險，學校資安機房要符合國家標準，也要定期請業者測試，甚至舉辦防駭演練，加強資安。

新聞來源：中時電子報 | 20191114
======
07 iPhone史上最大的資安漏洞！14款機型受災　3分鐘即可能被入侵
不久前，蘋果iPhone被發現根本性的硬體漏洞Checkm8，讓搭載A5至A11處理晶片的蘋果設備進行越獄，且蘋果無法透過更新軟體阻止，Checkm8也被稱為「iPhone 史上最大資安危機」。受影響的機型高達14款，甚至對方只要拿到你的手機，3分鐘就可以植入惡意軟體，或獲得部分的重要資料。專家提出4個建議，一，設備盡速升級；二，盡量別讓手機離開身邊，若離開身邊變成「重新開機後必須解鎖密碼」，請直接重新開機，手機可能已經被破解；三，確保App檔名不包含敏感資訊；四，連接充電器裝置時，謹慎按下「信任」按鈕。唯一不受到影響的只有 iPhone XR、iPhone XS、iPhone 11、iPhone 11 Pro。因此也有專家呼籲，如果各界重要人士擁有相關的手機，應該立即更換手機。

新聞來源：ETtoday新聞雲 | 20191117
======
08 資安風險高! 推特將取消以電話啟用雙因素驗證
由於簡訊或電話號碼造成的資安事件日益氾濫，推特（Twitter）周四宣佈要簡化雙因素驗證（Two-Factor Authentication, 2FA）的設定，不再需要電話號碼即可啟用2FA。以簡訊傳送驗證密碼的方式近年被證實可能因為發生中間人（man-in-the-middle）攻擊，駭客劫持簡訊進而竄改用戶如電子信箱或網銀帳密。 此外，還有愈來愈多SIM卡交換（SIM Swapping）詐騙案件，SIM卡交換詐騙是一種歹徒利用網路上蒐集到的姓名、電子郵件等資料，再向電信業者謊稱手機遺失或換手機，騙取電信業者將電話號碼轉到新的SIM卡上，藉由劫持此一號碼登入受害者社交網站、電子郵件或網銀帳號。

新聞來源：iThome | 20191121
======
09 OnePlus手機用戶個資外洩！　官方證實遭駭...兩年內第二度爆發資安問題
OnePlus爆發用戶資料遭駭客入侵而洩露！該公司發出警告「未經授權的一方駭進了一些客戶的訂單信息，可能已經暴露了一些客戶的姓名、聯繫電話、電子郵件和地址，受影響的用戶可能會收到垃圾郵件和網路釣魚電子郵件」。 OnePlus表示，此一漏洞是在上週發現，但用戶所有的付款信息、密碼和帳戶都是安全的，已經立刻採取措施，阻止入侵者並加強安全，已經透過電子郵件，通知受影響的用戶，目前正與相關單位合作進一步調查此事。

新聞來源：ETtoday新聞雲 | 20191125
======
10 公開的Elasticsearch伺服器曝露12億名民眾資料

新聞來源：iThome | 20191126

[資安報報] 201910