跳到主要內容區塊

ACW

[資安報報] 201911




[2019/11/01~30]
本計畫整理, edited by Su Yu Tsai

01
 印度核電廠證實遭北韓惡意程式入侵網路
攻擊事件遭到揭露的經過,最初是因為推特一名用戶上傳DTrack惡意程式樣本,並顯示是從印度庫丹庫拉姆核電廠(Kudankulam Nuclear Power Plant)網路竊取資料,包括網路上系統的IP位址、MAC位址、作業系統類型、瀏覽器上網紀錄、ipconfig, 以及netstat等組態資訊等。該電廠所屬的印度核電公司起初否認,不過後來坦承確有此事。據俄羅斯安全公司卡巴斯基研究,Dtrack迄今廣被用於感染金融機構和研究中心。 它主要的目的是利用鍵盤側錄、網路掃瞄及程式活動監控,進行感染系統的資料蒐集及環境偵察。核電廠作為重要基礎架構已成為駭客眼中的好目標。 此前著名的例子包括攻擊伊朗核電廠的Stuxnet,以及攻擊車諾比電廠的NotPetya等

新聞來源:iThome | 20191101
======
02 美國盟邦的政府官員都是WhatsApp惡意程式的攻擊目標
臉書在今年5月緊急修補了WhatsApp安全漏洞,並且控告相關攻擊行動的始作俑者NSO Group,而最近路透社的報導進一步指出,受害者中有相當比例為知名的政府及軍方官員,有許多人是美國的盟友。 此安全漏洞編號為CVE-2019-3568,當受害裝置接收到顯示為視訊的電話時,無論接聽與否,駭客都能傳遞惡意程式Pegasus到手機上。臉書與WhatsApp的調查顯示,打造Pegasus的以色列駭客公司NSO Group,就是幕後推手。 Pegasus被譽為史上最高明的間諜程式,它可監控受害者的行動,也能蒐集裝置上的各式資訊,從語音通訊、相機、電子郵件、訊息、定位、密碼與通訊錄等。

新聞來源:iThome | 20191101
======
03 詐騙駭客開採Firefox臭蟲,讓使用者誤以為系統被駭了
駭客利用Firefox的瀏覽器鎖住漏洞,讓受害者無法關閉瀏覽器,再跳出謊稱技術支援的詐騙視窗,接著要求使用者撥打電話之後,使用者可能會允許駭客自遠端控制系統,駭客就能向使用者收取服務費用,也可能造成個資外洩。來解決駭客捏造的系統問題。事實上,使用者的系統並無任何的不妥,不管是在Windows或macOS上,其實只要叫出工作管理員或強制關閉的功能,把Firefox關閉就沒事了。 目前Mozilla已經著手修補該漏洞,打算藉由之後的Firefox版本更新。

新聞來源:iThome | 20191107
======

04 資安即國安 總統提新戰略
為強化國家安全,蔡英文總統除強調台美關係的重要,也對資安給予高度關注。蔡總統昨說,政府會持續進行各項資安工作,並加速研擬二○二一年到二○二五年的「資安即國安2.0戰略」,提高資安研訓院人才培訓能量,開發資安產業創新技術,鞏固資訊安全,打造台灣成為堅韌資安之國。 總統強調,資安就是國安,絕對不會是一個口號而已,去年已通過了「資安管理法」,今年九月國安會更提出了首部「資安戰略報告」。政府也擴大投入「資安旗艦計畫」、前瞻計畫及資安人才培育計畫,去年底,也啟用了國家通訊暨網際安全中心,成為固守國家的第一道防線。

新聞來源:自由時報 | 20191112
======
05 資安問題又一樁!亞馬遜智慧門鈴「Ring」傳有重大漏洞
消息指出,安全研究人員發現Ring存在著重大漏洞,駭客只要侵入Wi-Fi,就可以知道密碼跟其他所有智慧裝置。防毒軟體Bitdefender表示,當Ring連上家中網路時,會將使用者的Wi-Fi密碼用明文(Plaintext)的方式進行發送,這讓有心人士可能因此獲得密碼,藉此進行大規模的網路攻擊或非法監控。亞馬遜雖然在9月快速的修復了Ring的安全漏洞,但直至近日這項消息才走漏,這也讓智慧家居再度蒙上資安陰影,即使智慧家居的出現是為了讓生活更加方便,並提供家中安全性,但資安問題卻層出不窮,讓不少使用者卻步。

新聞來源:匯流新聞網 | 20191113
======
06 年輕駭客超進化 學校資安87分
台大網路教學平台Ceiba本月初遭資工系學生入侵,所有學生歷年分數都被改成「87分」,雖未影響真實成績登錄,但也暴露台大的資安,沒想像中的牢不可破,也讓人詫異校園資安防護竟如此輕忽。 台灣駭客人才濟濟,政府部門、企業的資安防護卻仍頻傳漏洞,校園網路較開放,不能不設防;尤其校園網路儲存的資料繁雜,除個資外,還有分數、考題被竄改外洩風險,學校資安機房要符合國家標準,也要定期請業者測試,甚至舉辦防駭演練,加強資安。

新聞來源:中時電子報 | 20191114
======
07 iPhone史上最大的資安漏洞!14款機型受災 3分鐘即可能被入侵
不久前,蘋果iPhone被發現根本性的硬體漏洞Checkm8,讓搭載A5至A11處理晶片的蘋果設備進行越獄,且蘋果無法透過更新軟體阻止,Checkm8也被稱為「iPhone 史上最大資安危機」。受影響的機型高達14款,甚至對方只要拿到你的手機,3分鐘就可以植入惡意軟體,或獲得部分的重要資料。專家提出4個建議,一,設備盡速升級;二,盡量別讓手機離開身邊,若離開身邊變成「重新開機後必須解鎖密碼」,請直接重新開機,手機可能已經被破解;三,確保App檔名不包含敏感資訊;四,連接充電器裝置時,謹慎按下「信任」按鈕。唯一不受到影響的只有 iPhone XR、iPhone XS、iPhone 11、iPhone 11 Pro。因此也有專家呼籲,如果各界重要人士擁有相關的手機,應該立即更換手機。

新聞來源:ETtoday新聞雲 | 20191117
======
08 資安風險高! 推特將取消以電話啟用雙因素驗證
由於簡訊或電話號碼造成的資安事件日益氾濫,推特(Twitter)周四宣佈要簡化雙因素驗證(Two-Factor Authentication, 2FA)的設定,不再需要電話號碼即可啟用2FA。以簡訊傳送驗證密碼的方式近年被證實可能因為發生中間人(man-in-the-middle)攻擊,駭客劫持簡訊進而竄改用戶如電子信箱或網銀帳密。 此外,還有愈來愈多SIM卡交換(SIM Swapping)詐騙案件,SIM卡交換詐騙是一種歹徒利用網路上蒐集到的姓名、電子郵件等資料,再向電信業者謊稱手機遺失或換手機,騙取電信業者將電話號碼轉到新的SIM卡上,藉由劫持此一號碼登入受害者社交網站、電子郵件或網銀帳號。

新聞來源:iThome | 20191121
======
09 OnePlus手機用戶個資外洩! 官方證實遭駭...兩年內第二度爆發資安問題
OnePlus爆發用戶資料遭駭客入侵而洩露!該公司發出警告「未經授權的一方駭進了一些客戶的訂單信息,可能已經暴露了一些客戶的姓名、聯繫電話、電子郵件和地址,受影響的用戶可能會收到垃圾郵件和網路釣魚電子郵件」。 OnePlus表示,此一漏洞是在上週發現,但用戶所有的付款信息、密碼和帳戶都是安全的,已經立刻採取措施,阻止入侵者並加強安全,已經透過電子郵件,通知受影響的用戶,目前正與相關單位合作進一步調查此事。

新聞來源:ETtoday新聞雲 | 20191125
======
10 公開的Elasticsearch伺服器曝露12億名民眾資料
威脅情報平台Data Viper上周揭露,Google Cloud上有一個公開的Elasticsearch伺服器上,存放了12億名用戶的資料,該伺服器不需密碼或認證就能直接存取並下載所有資料,堪稱是史上最大宗的資料外洩事件。
Data Viper其實是在4TB資料、40億使用者帳號中找到這12億名不重覆的民眾資料,外洩的資料包括姓名、電子郵件、電話號碼、以及LinkedIN與臉書的個人檔案,研究人員相信該Elasticsearch伺服器上的資料,分別來自People Data Labs與OxyData.Io兩家資料豐富公司,然而,不管是People Data Labs或OxyData.Io都說該曝光的伺服器與它們無關,使得Data Viper猜測此一伺服器也許屬於它們的客戶,只是無從證實其所有人身分。

新聞來源:iThome | 20191126

[資安報報] 201910