臉書(Facebook)上周發表訂購餐點的服務,美國消費者可以在臉書上直接訂購餐點外帶或送到家。
臉書本地服務副總裁Alex Himel指出,用戶想要尋找吃點什麼時,都會上臉書查詢附近的餐廳,或是看看朋友的評價。現在臉書進一步,和數家網路訂/送餐服務如EatStreet、Delivery.com、DoorDash、ChowNow及Olo合作。
使用者只要在探索(Explore)選單中選擇訂餐(Order Food),就會看到一些已經加入合作的當地餐廳,選擇屬意的訂餐業者、餐廳及菜單,及外帶或外送的選項後結完帳即可。或是直接選擇和臉書簽約的餐廳,Papa John's、Wingstop、Panera、Jack in the Box、TGI Friday's、Denny's、El Pollo Loco、Chipotle、Five Guys和Jimmy John's等。(來源:Facebook)
這項服務自去年起進行測試,上周正式在美國推出,iOS、Android及桌機版app用戶都可開始用臉書訂餐。
安全軟體公司ESET發現一隻新的Android勒索軟體DoubleLocker,一旦不慎下載開啟,即會加密用戶手機所有檔案或是變更手機密碼要求支付贖金。
DoubleLocker源自銀行木馬程式,最常見的散佈方式是透過被駭網站冒充Adobe Flash Player更新,誘使用戶下載安裝。一旦啟動後,它會以啟動「Google Play Service」的無障礙功能為名,要求使用者許可。獲得許可後,它就會啟動裝置管理權限,在不經過使用者同意下讓自己成為Android手機Home主頁的應用程式。
ESET惡意軟體研究人員Lukáš Štefank解釋,透過成為手機預設Home主頁程式,當使用者點擊Home鍵時,這隻勒索軟體就會立刻啟動,鎖住手機。而因為動用了無障礙服務,使用者並不知道他們已啟動勒索軟體。
但是他們還是會看到常見的勒索訊息,要求受害者必須在24小時內支付0.0130比特幣(下圖,約54美元或1650台幣,視時價而定)。攻擊者並建議使用者不要移除或封鎖DoubleLocker,否則就無法救回檔案。(下圖,來源:ESET)
DoubleLocker之所以得名,是因為它使用了兩種方法鎖住Android裝置。首先它利用AES加密演算法將裝置裏主要目錄的所有檔案加密。被它加密的檔案都會多了副檔名.cryeye。它另一個方法是變更裝置的PIN碼。新的PIN碼是隨機取得,既未儲存在裝置,也未寄到其他地方,唯有攻擊者遠端重設PIN碼才能還手機自由。研究人員指出,這也是第一次出現擁有兩種封鎖技倆的Android平台惡意程式。用戶支付贖金後,才能解密檔案或是救回Android裝置。
研究人員指出,將手機回復出廠設定是唯一可清除DoubleLocker勒索軟體的方法。而刷過機的裝置還有另一招;使用者可以在未啟動勒索軟體之前,透過ADB (Android Debug Bridge)介面連接裝置進入除錯模式,移除儲存PIN的系統檔案,就能避免PIN碼變更鎖機的命運。最後使用者再回到安全模式,移除該惡意程式的裝置管理員權限後將之移除。
不過如果還想要回被加密的檔案,除了付錢別無他法。研究人員因而建議裝置最好安裝安全軟體,並定期備份資料。
可加密檔案、更換手機PIN碼的勒索軟體DoubleLocker:(來源:ESET)
專門管理外國信號情報與資訊安全的澳洲信號局(Australian Signals Directorate,ASD)經理Mitchell Clarke在上周三(10/11)於雪梨舉行的一場IT會議上透露,澳洲國防部的外包廠商遭到駭客入侵,並因此存取了國防部的30GB資料,包含F35戰機、P-8 Poseidon偵察機及C-130 Hercules戰術運輸機等國防武器的詳細資料。
其中的F35戰機為一國際性國防計畫《聯合攻擊戰鬥機計畫》的成果,成員包含美國、英國、土耳其、義大利、澳洲及荷蘭等,將用來取代各種西方的主力戰機,該計畫每年的經費高達125億美元。
澳洲網路安全中心(Australian Cyber Security Centre,ACSC)也在上周發行的《2017年威脅報告》中揭露了此一駭客事件。
ACSC於去年11月得知有一駭客集團成功駭進了一家與多項國防計畫有關的外包商,駭客開採了internet-facing伺服器以存取受害者網路,透過管理員憑證於網路中遊盪,並安裝了許多webshell以供遠端存取,藏匿時間長達5個月。
ACSC指出,有鑑於政府網路相對安全,因此駭客通常鎖定在安全性上較不嚴謹的外包商展開攻擊,這些外包商可能參與了國防能力的設計、製造或維護。
Clarke則說,這家擁有50名員工的航太工程公司只設有一名專職IT人員,駭客透過一個已存在12個月的安全漏洞入侵該公司的IT支援入口網站,進而存取其他內部伺服器上的資料。然而,調查顯示,駭客根本不必如此大費周章,因為該公司的網路伺服器採用預設的帳號與密碼,如admin::admin與guest::guest。
澳洲國防部已向路透社(Reuters)證實了該事件,但表示被盜走的資料為商業資料,並無軍事或機密資訊外洩。
目前澳洲當局並不確定駭客源自何處,只發現駭客使用的遠端存取工具為China Chopper,因廣泛受到中國駭客的青睞而得名,但也有其他國家的駭客採用China Chopper。
行動程式開發平台Realm去年第四季針對行動開發人員所使用的語言進行研究,並於上周發表研究成果,顯示目前Android平台上最受歡迎的行動開發語言為Java,但Kotlin可望於明年底超越Java。
Realm指出,Kotlin於Android平台上的發展路線類似iOS上的Swift。蘋果在2014年6月發表了可用來撰寫支援macOS、iOS、watchOS、tvOS及Linux等平台的Swift語言,花了14個月便取代Objective-C成為iOS平台上最受歡迎的語言。
而Kotlin則是在今年5月被Google納入Android Studio,於Android平台上提供Kotlin的一級支援。有別於Swift是由蘋果自行開發,Kotlin則是源自俄國JetBrains開發團隊的開源專案,它是一個靜態程式語言,並能與Java程式碼互動,允許開發人員於既有的專案中增加Kotlin程式碼。
Realm表示,在被納入Android Studio之前,Kotlin就是一個頗受歡迎的語言,現在它更將改變整個Android生態體系,估計到明年12月採用Kotlin開發Android程式的比例就會超過Java。
Realm認為,Android平台上的Java將日益枯萎,不只是因為有愈來愈多的Kotlin開發人員,還因為有許多開發人員正把程式從Java改為Kotlin,在今年5月之前以Java所建置的Android程式中,現在已有20%改採Kotlin,那些缺乏Kotlin技能的開發人員很快就會被視為食古不化的恐龍。
知名BT網站海盜灣植入採礦程式並非特例!廣告過濾機制AdGuard近日掃瞄Alexa流量排行榜上的前10萬個網站,發現有220個網站暗藏Coinhive或JSEcoin採礦程式。
根據AdGuard的調查,這220個網站每月約可吸引5億名造訪者,站上所植入的採礦程式於3周內的獲利為4.3萬美元。有18.66%的網站位於美國,13.4%位於印度、12.44%在俄國,另有8.13%位於巴西。
當使用者造訪這些暗藏採礦程式的網站之後,這些採礦程式便能利用使用者的系統資源來挖掘加密貨幣,共通點是它們皆未知會使用者。
至於嵌入採礦程式的網站其實橫跨許多領域,佔比最高的是電視或電影網站,為22.27%,居次的是檔案分享網站(17.73%),成人網站以10%位居第三,新聞媒體網站亦佔了7.73%。(來源:AdGuard)
AdGuard指出,這220個網站中,大部份的名聲並不佳,且這類的網站通常很難藉由廣告獲利,因此只好實驗其他創新的獲利機制,而成人網站則經常身先士卒。
這類的營利手法明顯興起,Coinhive曾建議整合該採礦機制的網站應明白告知使用者,且內容遞送網路服務供應商Cloudflare也開始封鎖那些擅自利用使用者電腦資源採礦的帳號與服務,不少廣告過濾機制或防毒軟體亦開始攔阻採礦程式。
同為廣告過濾機制的AdGuard則選擇在察覺採礦程式時通知使用者,並讓使用者自行決定是要放行或封鎖採礦程式。
微軟在西雅圖總部的後院幫員工打造了3座樹屋,其中兩座已經完工的樹屋已可用來當作會議室,而第三座將是一個有庇護的休息區,亦將於今年完工。微軟期望融入大自然的工作環境可激發員工的靈感、創造力,並修復工作上的疲憊。
微軟表示,身處大自然將能帶來更多的創造力、專注與愉悅,在由原木及樹木搭建而成的樹屋區聞得到花草樹木的芬芳,聽得見蟲鳴鳥叫,也有廣泛覆蓋的Wi-Fi環境。
員工可在戶外工作:
融入大自然的樹屋工作區:
這兩個木屋會議室沒有視聽系統,也沒有溫度控制器,有的只是木造的桌椅,還有一個高聳的天窗,就像是薑餅屋一樣。
樹屋內會議室一景:
主導樹屋區專案的Bret Boulter表示,走進該區的第一個印象是大家都好安靜,人們停止說話,融入了這個環境,就只是存在著,也改變了人們對工作的看法與作法。
根據科學家的研究,曝露於大自然中會減輕人們的壓力反應,降低心率及血壓,也能改善免疫力,同時還會令人更樂觀,提昇創造力與專注力,也能讓精神從疲勞中恢復。已蓋好的兩個木屋會議室將開放給所有微軟員工使用。
樹屋辦公影片:
蘋果共同創辦人Steve Wozniak上周五(10/13)宣布創立線上科技大學Woz U,以培養全球的科技人才。
Woz U總部設於亞利桑那州的斯科茨代爾,除了線上教學外,亦打算於全球逾30個城市建立實體學校,目的在於培養科技人才,並協助這些人才快速進入職場。
Wozniak說,Woz U希望以企業所需的數位技術來進行教育及訓練,而且不讓學生負擔過重的學貸,人們害怕選擇科技職業通常是因為他們覺得自己辦不到,但其實他們可以,他將示範如何做到。
Woz U準備設計一個行動程式來媒合人們與最適合他們的科技職業,目前的課程以電腦支援專家及軟體開發人員為主,明年將加入資料科學、行動應用程式與網路安全課程。
此外,除了網路與實體學校之外,Woz U也會透過不同的平台進行教學與訓練,例如協助科技公司進行招募及訓練,甚至針對企業需求客製化課程,或是將數位工程概念帶給K-12的中小學生,以讓他們成為科技領域的潛在人才,也將在2019年推出可辨識與培養科技菁英的加速器計畫。
現年67歲的Wozniak是蘋果電腦的發明者,與Steve Jobs一同在1976年創立了蘋果,他的願望之一是成為一名小學老師,而他的確也曾在離開蘋果之後,跑去擔任5到9年級的電腦課老師。目前Woz U網站尚未公布學費。
CoinTelegraph本周引述俄國媒體報導,俄國總統普丁(Vladimir Putin)已於內部會議中宣布將發行官方的加密貨幣CryptoRuble。
俄國迄今尚未允許任何加密貨幣於當地流通,然而日前即有傳聞指出俄國將發行自己的加密貨幣,且同樣採用區塊鏈技術,著眼於專業、透明化與快速的區塊鏈特性。
根據報導,CryptoRuble將與市場上既有的加密貨幣不同,它無法透過採礦取得,而且也只能由官方控管與維護,但隨時能兌換俄國盧布。
今年6月Putin曾與以太坊(Ethereum)共同創辦人Vitalik Buterin會面,8月即傳出Buterin將協助俄國發展區塊鏈技術,外界則猜測雙方的合作也包含了對CryptoRuble的規畫。
全球連鎖飯店品牌凱悅(Hyatt)再傳駭客入侵事件,指出今年3月18日至7月2日間曾於櫃台刷卡的資料遭到駭客存取,總計有11個國家的41間飯店受到波及,其中有18家位於中國,而由凱悅負責管理的台北君悅則未在被駭名單內。
凱悅表示,遭到駭客竊取的資料包含持卡人姓名、卡號、到期日與驗證碼,只要是在櫃台手動輸入或刷卡的信用卡都可能受到波及,但只有少部份在該期間於特定飯店消費的客戶受到影響。
這是兩年來凱悅第二次遭到駭客攻擊,只是此次規模小了一些,2015年底凱悅在全球的250家飯店也曾被駭客入侵,駭客同樣取得了詳細的客戶信用卡資料。
由於凱悅也無法確認哪些信用卡受到影響,因而建議客戶查看自己是否曾於該期間於被駭飯店消費,若懷疑自己的信用卡資訊被竊或看到可疑帳單,請儘快聯繫發卡銀行。
凱悅在全球54個國家擁有679間飯店,在此次被入侵的41間飯店中,有18家位於中國,包括在廣州、倉山、貴陽、濟南、麗江、青島、上海、深圳與西安等地的凱悅飯店。其他受到波及的凱悅飯店則位於美國、南韓、巴西、哥倫比亞、關島、印度、印尼與日本等。
IBM於本周一(10/16)發布區塊鏈銀行業務網路(Blockchain Banking),協助金融機構處理跨境支付交易,以減少結帳時間,並降低企業和消費者全球支付的成本。
IBM與開源區塊鏈網路非營利組織Stellar.org、金融支付基礎建設廠商KlickEx Group合作,共同推出區塊鏈銀行業務網路,目的在於擴充全球支付類型和價值的資金流動,並且允許金融機構可以自行選擇結算網路(Settlement Network),來進行中央銀行發行的數位資產交換。
根據IBM的說明,現今不同貨幣的跨境支付交易不僅需要多個仲介,更需費時數天甚至數周才能完成。而區塊鏈銀行業務網路則採用IBM Blockchain平臺以及區塊鏈分散式帳本(Distributed Ledger)技術,來加強銀行在單一網路中,能夠以近乎即時的速度清算和結算付款交易記錄。
例如,未來新的IBM網路將能讓薩摩亞的農夫和印尼的買家簽訂貿易合約,而區塊鏈則將用來記錄合約條款以及管理交易文件,且允許農夫提供抵押品,以獲取信用,並立即支付,讓使用者以相對容易且透明度高的方式進行全球貿易。
IBM產業平臺資深副總裁Bridget van Kralingen表示,IBM正在探索新的方式,使支付網路能夠更有效率且更加透明化,讓銀行業務即使在偏遠地區,也能夠能即時處理交易。
另外,區塊鏈銀行業務網路目前已經在12個貨幣走廊(Currency Corridor)處理現場交易,範圍橫跨太平洋島嶼、澳洲、紐西蘭以及英國。
且IBM也已經號召一批銀行業者,進行區塊鏈銀行業務網路的部分開發和部署,包含了西班牙對外銀行(Banco Bilbao Vizcaya Argentaria)、印尼金融銀行(Bank Danamon Indonesia)、印尼曼迪利銀行(Bank Mandiri)、澳洲國民銀行(National Australia Bank)、泰華農民銀行(Kasikornbank Thailand)等金融機構。
全球數十億裝置採用的主流加密方式WPA2(Wi-Fi Protected Access II)驚爆有重大漏洞,稱為KRACKs攻擊(Key Reinstallation AttaCKs),可以破解Wi-Fi加密傳輸的機制,任何原本透過加密Wi-Fi傳輸的資料,都會因此而曝光而遭竊取,等於所有利用WPA2協定來加密的Wi-Fi網路上所有傳輸資料,全都曝光了。包括Windows、Linux,iOS和Android平臺的裝置全部受影響。我們也從資安公司賽門鐵克官網和漏洞發現者官網緊急整理了一份QA,讓大家快速了解什麼是KRACKs攻擊。
KRACKs(Key Reinstallation AttaCKs)是一系列WPA2協定漏洞的總稱。WPA2是現在最主流,最多裝置使用的Wi-Fi網路加密協定,如今證實成功遭破解。攻擊者可以攔截、竊取任何透過Wi-Fi網路傳輸的資料,甚至,特定情況下,攻擊者可以竄改、偽造傳輸的資料,例如竄改付款網頁內的轉帳帳號,讓消費者不知情地匯款到攻擊者植入的銀行帳號中,或在正常網頁中植入惡意連結。
Wi-Fi裝置使用者需立刻更新Wi-Fi設備的修補程式。
沒有,更換密碼無濟於事,因為這是通訊協定漏洞,只有更新修補軟體才能預防。
會,不論是個人消費性無線產品或企業級產品,包括WPA1和WPA2,或是使用了WPA-TKIP, AES-CCMP和GCMP加密方式的產品都會受到影響,所有使用者或企業都需要更新來預防遭駭。
所有Wi-Fi路由設備和基地臺都需要修補KRACKs漏洞,因為這個漏洞攻擊WPA2使用裝置的連線授權過程,因此,凡是連線到路由器的設備都會受到影響。必須趕快詢問路由器廠商來取得更新軟體。
有,所有使用WPA2的設備都會受影響,但有一些設備特別容易遭入侵。發現漏洞的研究者警告,凡是使用wpa_supplicant加密元件2.4版以上的裝置,特別容易受影響,甚至他以悲慘來形容這類裝置容易遭入侵的程度。wpa_supplicant加密元件是Linux系統常用的Wi-Fi加密協定元件。
因為wpa_supplicant會將加密金鑰儲存在記憶體中,不會移除,可讓攻擊者可以多次嘗試來破解。不只Linux系統,Android 6.0版本以上,也採用了這個wpa_supplicant加密元件,等於全球過半Android裝置都是WPA2容易遭破解的裝置。
不用,WPA2只需要更新修補軟體,即可解決這個問題。
目前資安研究員發現的攻擊手法,是針對訊號交握過程(4-way Handshake),也就是資料傳輸過程的攔截和破解,而非直接入侵端點裝置。如果沒有更新程式,有一些可以緩解攻擊的作法,例如中繼用的Wi-Fi設備可以關閉用戶連線功能,或關閉802.11r(fast roaming)來減少遭駭的機率。
比利時KU Leuven大學一位資安研究員Mathy Vanhoef今年5月就發現了這一系列漏洞,並於10月16日揭露更多細節,以及發表概念驗證,證實可以成功破解加密來竊取資料。他還成立了一個網站來說明漏洞細節。https://www.krackattacks.com/
Mathy Vanhoef研究團隊已經在macOS和OpenBSD上驗證成功。攻擊示範影片如下
根據賽門鐵克追蹤到10月17日為止,還沒有發現任何攻擊者利用此漏洞的通報,不過,賽門鐵克警告,儘管這是一個最新發現的漏洞,但可以因應的時間很短,攻擊者很快就會開始利用。
KRACKs攻擊相關的CVE多達10個,相關CVE連結如下(賽門鐵克對這批CVE的簡介)
CVE-2017-13077: Reinstallation of the pairwise encryption key (PTK-TK) in the 4-way handshake.
CVE-2017-13078: Reinstallation of the group key (GTK) in the 4-way handshake.
CVE-2017-13079: Reinstallation of the integrity group key (IGTK) in the 4-way handshake.
CVE-2017-13080: Reinstallation of the group key (GTK) in the group key handshake.
CVE-2017-13081: Reinstallation of the integrity group key (IGTK) in the group key handshake.
CVE-2017-13082: Accepting a retransmitted Fast BSS Transition (FT) Reassociation Request and reinstalling the pairwise encryption key (PTK-TK) while processing it.
CVE-2017-13084: Reinstallation of the STK key in the PeerKey handshake.
CVE-2017-13086: reinstallation of the Tunneled Direct-Link Setup (TDLS) PeerKey (TPK) key in the TDLS handshake.
CVE-2017-13087: reinstallation of the group key (GTK) when processing a Wireless Network Management (WNM) Sleep Mode Response frame.
CVE-2017-13088: reinstallation of the integrity group key (IGTK) when processing a Wireless Network Management (WNM) Sleep Mode Response frame.
比利時研究人員發現WPA2 (Wi-Fi Protected Access 2 )中有批重大漏洞,可讓攻擊者發動攻擊,破解Wi-Fi網路的加密機制,進而攔截原本以加密傳送的資訊,包括電子郵件、密碼等, 而幾乎所有使用WPA2的裝置都有被駭風險。
這批漏洞是由比利時魯汶大學IMEC-DistriNet教授Mathy Vanhoef及Frank Piessens發現,他們在美國國土安全部旗下ICS- CERT對超過百家廠商產品發出警示後公佈這項研究。
被發現的漏洞包括CVE-2017-13077、13078、13079、13080、13081、13082、13084、13086、13087、13088。在終端接入Wi-Fi時進行四向交握(four-way handshake)的過程,只要操弄傳送流量,使nonce及session金鑰重覆使用,迫使無線AP及終端重新安裝金鑰,最後造成加密機制被破解。駭客只要在有漏洞的AP或終端Wi-Fi網路範圍內就可發動攻擊,進行解密或注入封包、注入HTTP內容、綁架TCP連線,或重送unicast或群體位址(group-addressed)訊框等,讓攻擊者得以竊取信用卡、 密碼、聊天訊息、電子郵件、相片等資訊,理論上任何在Wi-Fi 網路上的內容都會被看光甚至竄改。
研究人員表示,由於漏洞出現在Wi-Fi標準WPA2本身,因此任何正確的WPA2實作都會受影響,而支援Wi-Fi的裝置風險更大,這意謂著幾乎所有現代手機、電腦、平板、甚至連網家電或醫療器材都可能被駭,裝置必須及早升級到安全版本才能免於受害。
研究人員並設計了密鑰重安裝攻擊(key reinstallation attack, KRACK)的概念驗證攻擊程式。根據示範影片(下), 研究人員針對一台Android手機傳送全部為0的加密金鑰, 而非真正金鑰,最後破解進而取得手機上的資料。他們指出, 這類攻擊對Linux及Android 6.0以上版本威脅尤其大,因為這兩類平台比其他作業系統(如i OS及Windows)更可能被騙而安裝假金鑰。
即便網站或App具有HTTPS加密也難保安全, 因為有多項非瀏覽器軟體、iOS、Android、OSX app、行動銀行及VPN app的攻擊成功繞過HTTPS防護的案例。
初步研究發現Android、Linux、iOS、mac OS、openBSD、MediaTek、Linksys及Windows等都可能遭到類似攻擊。根據CERT列出的名單, 上百家受影響廠商已經在8月底到10月中陸續接獲通知,包括Cisco、Aruba、Fortinet、Intel、Juniper、F5、RedHat、SUSE、華碩、合勤、友訊、華為、微軟、三星、Google、蘋果、小米等。
微軟周一發出公告指出Windows已經在上周二的安全更新中修補了漏洞。ZDNET則列出其他已修補漏的廠商包括Intel、FreeBSD、OpenBSD、Fortinet、Wi-Fi聯盟 。Google則對媒體表示已經著手修補,但要再幾周才能釋出給其Android裝置。
蘋果上周五在一場纏訟5年的專利官司中敗訴,遭德州東部地區法院判決應賠償4.4億美金。
這項官司是蘋果和內華達州一家網路安全軟體公司VirnetX自2012年11月糾纏的結果。當時VirnetX針對iPhone中FaceTime及iMessage中與建立VPN及網域名稱等較次要功能的4項專利,對蘋果提出侵權訴訟。
事實上,這家公司被視為專利蟑螂,它在2010年就曾經因為同樣的專利告上蘋果,結果蘋果敗訴、被判賠3.68億。兩者差別在於,前一樁案子針對舊版iPhone,2012年提出的告訴則涵括iPhone 5、iPad及Mac電腦。這樁官司後來在2014年遭法院駁回。
不過VirnetX在2016年再度興訟,當時蘋果再度被德州地方法院判賠史上最高的6.25億美元。同年又經過法官駁回、VirnetX再提告的過程,蘋果又輸一城,被判賠3億美元。最後,在上周的判決中,德州東部地區法院將原本VirnetX的專利權利金由每支iPhone 1.2美元提高為1.8美元,使蘋果賠款上調到4.39億美元。
去年美國專利商標局已註銷VirnetX涉及本案的4項專利。蘋果對本次判決結果自然不滿,對媒體表示會再上訴。
遠東銀行遭駭盜轉18億元案發至今,雖然超過9成9的款項都已追回,但對企業IT部門、銀行CIO或資安圈而言,更重要的是找出駭客入侵銀行的手法,才能從中學到教訓,避免自己成為下一家的受害企業。但是,駭客如何入侵遠銀的細節,刑事警察局遲遲沒有透露更多細節,而臺灣參與調查的資安公司也因保密協定,而拒絕透露更多處理過程。
倒是,國外資安公司McAfee兩名資安研究人員,在12日發表了一篇「偽勒索軟體在台灣銀行搶案中的角色分析」一文,詳細透露了,他們分析遠東銀行一支惡意程式木馬後的結果,從程式碼中找到了2個遠東銀行的網管帳密,這正是駭客可以進一步入侵SWIFT系統的關鍵之一。
發表這篇分析的是McAfeeg首席工程師和科學家Christiaan Beek,以及McAfee網路安全部門院士兼總科學家Raj Samani。因為有位參與了遠銀入侵事件調查的不明人士,將一支惡意程式樣本上傳到了線上掃毒服務Virustotal,也讓這個惡意程式樣本曝光。McAfee正是取得了這個惡意程式樣本才能進行這次的分析。
刑事警察局早在在10月5日傍晚接獲遠銀報案後,就查扣了SWIFT系統、電腦主機等,13日時透露,已經從11個可疑程式中找出了6個惡意程式,但刑事警察局只有簡單描述這批惡意程式的功能,包括了散布、加密及遠端遙控功能,除了感染遠銀內部電腦,也會蒐集相關情資進行回報,並且加密部分電腦的檔案資料。刑事警察局以偵察不公開為由,只有簡單幾句話的說明,沒有透露更多細節,對於駭客如何入侵遠東銀行的管道也三緘其口。
反倒是根據McAfee最初接獲的消息(另一個McAfee沒有說明的來源),駭客入侵的起點,是一封附件藏有後門的釣魚郵件。McAfee也展示了這些釣魚信件的2張截圖,一張是釣魚郵件要求受害者打開一個偽造的「Docusign文件」存取網頁,另一個則是偽裝成一個加密PDF線上文件的開啟連結,但這些附件連結都是假冒的,只要受害者點選連結來開啟文件,都會轉向到一個惡意程式網站,來下載一個不明檔案到受害者的電腦中。McAfee透露了這個惡意網址是hxxps://jobsbankbd.com/maliciousfilename.exe (資安公司已經將惡意程式檔名隱匿)。
資安公司McAfee公開了2張遠銀遭駭中關鍵釣魚信件附檔畫面。
若透過全球WHOIS查詢這個網址,註冊這個網址是位於孟加拉國首都達卡的一家公司,也就是2016年2月知名SWIFT遭駭事件案主孟加拉央行的所在地。不過,McAfee沒有透露這個網址是駭客所有,或者又是駭客所入侵的另一個跳板網站,不過,若瀏覽這個網站,就會看到一個偽造的Yahoo登入畫面,反映出這個網站可能目前還是一個釣魚網站。
回到駭客入侵手法上,當遠銀受害員工點選惡意附件,將惡意木馬下載到電腦後,這個惡意網站還另外藏了一個後門機制,可以讓犯罪者存取銀行內受害者的電腦系統。兩者結合下,讓攻擊者得以進入銀行的內部電腦,進一步取得系統的帳號密碼。McAfee研究員更從惡意程式樣本的程式碼分析中,找到了攻擊者手上的2組遠銀管理者帳密資料。
日前iThome從第三方取得6支惡意程式中的5支惡意程式的檔名,包括了bitsran.exe和RSW72CE內有加密勒索木馬RANSOM_HERMS.A之外,另外三支程式的檔名分別是msmpeng.exe(BKDR_KLIPOD.ZTEJ-A病毒)、splwow32.exe(BKDR_KLIPOD.ZTEJ-B病毒)和FileTokenBroker.dll(TROJ_BINLODR.ZTEJ-A病毒)。而McAfee分析的這支惡意程式樣本則是bitsran.exe。
McAfee反組譯這個惡意程式,還原程式碼後發現,遠銀事件攻擊者取得兩個帳號密碼,FEIB\SPUSER14和FEIB\scomadmin,惡意程式會在遭駭電腦中,建立了一個排程任務,並且監視電腦內建防毒軟體服務的運作。資安軟體一般不會將此視為惡意行為,但這卻是攻擊者用來找出銀行內部防毒軟體的部署情況,才能進一步刪除系統防毒服務,瓦解系統資安預警機制。
McAfee從反組譯惡意程式所找到的2組遠銀系統管理帳密,也反映出,駭客為了入侵遠銀內部系統而量身打造了這個專用惡意程式,還不斷利用這兩組帳號密碼來測試遠銀的其他系統,是否可以用同一組密碼入侵。
上周金管會也公布了派員進駐遠銀的初步調查結果,發現在權限管理上,遠銀沒有符合最小授權原則,而是給予最高權限。再加上遠銀的SWIFT伺服器也沒有落實實體隔離,可能基於作業方便與其他的電腦連結,雖然負責個人電文放行的工作站有隔離,但因主機沒有做好實體隔離,成為駭客入侵的管道。
綜合金管會和McAfee的分析,可以推測,正因駭客取得最高權限的帳密,又能連線到沒有採取實體隔離的SWIFT伺服器,攻擊者才能進一步控制SWIFT系統。這2組帳號正是這次遠銀遭駭盜轉事件的關鍵。
這支惡意程式還特別會排除三種語系,俄羅斯語系、烏克蘭語系和白俄羅斯語系,遇到這三種語系的系統就不會入侵,但這也可能是駭客故佈疑陣。另外McAfee發現,駭客所用的Hermes勒索加密軟體還只是一個開發中的版本,而不是原始的Hermes軟體。
比利時研究人員在周一(10/16)揭露了WPA2 (Wi-Fi Protected Access 2)Wi-Fi安全協定中的10個漏洞,將允許駭客存取或干預裝置與無線網路之間的通訊內容,並祭出了KRACK概念性驗證攻擊,儘管尚未傳出災情,但漏洞一公開威脅便大增,除了仰賴業者的修補行動之外,使用者亦應作好安全措施以求自保。
一、更新所有的裝置與作業系統
使用者應儘可能升級任何具備Wi-Fi功能的裝置韌體或作業系統,從路由器、IoT裝置到桌面作業系統與行動作業系統等。其中,微軟已於今年10月10日的例行性更新中修補了相關漏洞,思科與Netgear亦正陸續部署更新,Google則是準備在未來幾周修補受到波及的裝置。根據估計,有41%的Android裝置受到漏洞影響。
二、安裝HTTPS擴充程式
KRACK主要攻陷裝置與無線網路之間的安全傳輸,但因HTTPS可帶來端對端的加密傳輸,理論上能夠減輕KRACK攻擊所帶來的威脅。
若不確定所造訪的網站是否採用HTTPS加密通訊協定,使用者可安裝由電子前線基金會(EFF)所開發的 HTTPS Everywhere 瀏覽器擴充程式,該擴充程式支援Chrome、Firefox與Opera。
三、採用VPN服務
虛擬私有網路(Virtual Private Network,VPN)能夠加密所有的網路流量,因此也受到不少資安研究人員的推薦,以用來對抗KRACK攻擊。
然而,也有人擔心採用VPN服務可能衍生隱私問題,因為也許駭客看不見使用者在Wi-Fi網路上的傳輸內容,但VPN業者卻可能紀錄使用者的網路流量。
四、使用乙太網路或行動數據
假使不確定Wi-Fi裝置或網路是否安全,使用者可以關閉裝置上的Wi-Fi功能,並轉而使用有線的乙太網路或是電信業者所提供的行動網路。
在上述方式中,最有效的仍是完善修補WPA2中的10個安全漏洞,但這同時需要業者與使用者的配合,資安業者呼籲製造商應加速修補的腳步,而使用者則需密切注意業者的更新。
目前看來KRACK攻擊最大的限制是駭客必須處於目標對象的Wi-Fi網路範圍中,市場普遍認為一般使用者不容易成為駭客的攻擊目標,反倒是企業或是較具價值的商用網路風險較高,此外,現階段亦尚無攻擊工具問世。
位於捷克的密碼暨安全研究中心(Centre for Research on Cryptography and Security,CRoCS)本周揭露了德國半導體業者英飛凌(Infineon)所生產的TPM(Trusted Platform Module,可信賴平台模組)含有安全漏洞,將允許駭客計算出私鑰,並用來執行各種攻擊。
TPM為一安全加密處理器的標準,用來儲存諸如密碼、憑證與加密金鑰等重要資料,以專用微控制器的形式於裝置上嵌入加密金鑰來保障硬體的安全,它通常被安裝在筆電、路由器或IoT裝置的主機板上。
CRoCS發現,英飛凌的TPM韌體含有一演算法漏洞,使得它會產生脆弱的RSA金鑰,一旦駭客得知公鑰,就能計算出私鑰,且該漏洞影響英飛凌自2012年以來所推出的TPM晶片。有鑑於此類威脅與形容密碼攻擊的Coppersmith's attack有關,使得研究人員將它稱之為The Return of Coppersmith's Attack(ROCA)。
計算私鑰需要運算資源,CRoCS估計,若要破解512位元長度的RSA金鑰只需花費CPU兩小時,成本只要0.6美元,而破解1024位元則需要97天,成本介於40到80美元之間,破解2048位元的RSA金鑰則需140.8年的CPU,成本最高,需要花費2萬至4萬美元。
CRoCS以AWS執行攻擊為例,顯示計算出1024位元RSA私鑰的價格為76美元,算出2048位元私鑰則需4萬美元。
取得私鑰的駭客能夠偽裝成合法用戶、解密機密訊息,或是偽造軟體簽章,波及了眾多的硬體裝置業者,除了英飛凌、Google、微軟、聯想、HP與富士通(Fujitsu)皆已展開修補之外,愛沙尼亞(Estonia)的身分證系統亦遭到池魚之殃,估計有75萬名民眾的身分資料有外洩之虞。
其中,Google列出了受到相關TPM漏洞波及的Chrome裝置,顯示Chrome筆電或桌機幾乎無一倖免,名單上有上百款型號。不過,Google認為,由於計算私鑰的所費不貲,推測駭客的攻擊應以目標式為主,不容易釀成大規模的攻擊行動。微軟亦已於今年10月的例行性更新中修補了相關漏洞。
至於愛沙尼亞政府則說,只有在2014年10月之後發行的75萬張身分證可能被駭,因為更早之前的身分證採用不同的晶片。為了確保民眾的身分隱私,該國政府嚴加管控了了身分證公鑰資料庫的存取權限。
才說今年10月沒有漏洞可補,Adobe本周一(10/16)就釋出了緊急安全更新, 修補已被開採的Flash Player零時差漏洞。
此一安全漏洞的編號為CVE-2017-11292,是由卡巴斯基實驗室(Kaspersky Lab)所提報。該實驗室是在調查駭客集團BlackOasis 利用惡意Word文件來散布FinSpy間諜程式時發現了利用該漏洞的零時差攻擊程式。
根據Adobe的說明,該漏洞將允許駭客執行程式,已被用來發動目標式攻擊,並鎖定Windows作業系統。不過該漏洞顯然影響了眾多的作業系統,因為Adobe周一的更新涵蓋了Windows、macOS、Linux與Chrome OS上的Flash Player。
由英國業者Gamma打造的FinSpy專門出售給全球的政府機關,以用來監控特定對象,通常侷限在該國境內;然而,卡巴斯基實驗室自去年就開始追蹤的BlackOasis卻是個例外,它針對全球的目標發動攻擊以蒐集情報。
卡巴斯基實驗室表示,BlackOasis採用最新版的FinSpy,備有各種反分析技術以躲避偵測,安裝在受害者電腦上的FinSpy會連結位於瑞士、保加利亞與荷蘭的C&C伺服器,以傳送資料或等待進一步的指令,受害者則分布在俄國、伊拉克、伊朗 、阿富汗、沙烏地阿拉伯、荷蘭及英國等。
此外,這已是FinSpy今年以來第三次利用零時差漏洞展開攻擊 ,該實驗室相信這樣的搭配將會愈來愈盛行。
搭上金融科技浪潮,金融集團摩根大通(J.P. Morgan & Chase)周一宣佈推出區塊鏈為基礎的支付服務Interbank Information Network(IIN),以確保客戶的支付安全性。
跨境支付是極複雜的事,為符合法規,需要參與支付的單位多層通訊來驗證及處理支付,導致拖慢支付時間。藉由區塊鏈技術,IIN可以大幅減少因合規與資料查詢之需的參與單位,因而加快作業流程。
摩根大通表示,IIN的使用可讓跨境支付的時間由數周縮短為幾小時,也能減少因時間延宕衍生的成本。
IIN底層為摩根大通以以太坊區塊鏈(Ethereum)核准開發的Quorum平台,強調Quorum的隱私防護技術可確保在IIN上資料共享的安全性。
首家加入IIN的是加拿大皇家銀行及紐西蘭銀行。未來還會有其他銀行宣佈加入。
區塊鏈資料不可逆轉、不可竄改特性使其廣受金融業的青睞。去年有美國銀行、渣打銀行及加國皇家銀行籌組區塊鏈技術為基礎的支付產業組織,IBM也在昨日宣佈發表區塊鏈銀行業務,獲得印尼、西班牙及澳洲等國銀行加入。
全球無線網路基地臺(AP)都面臨WPA2的加密漏洞風險,稱之為KRACKs攻擊。面臨這個已經經過全球無線網路(Wi-Fi)認證聯盟確認的漏洞後,主管臺灣所有電子設備驗證和網路通訊服務業者主管機關的國家通訊傳播委員會(NCC),也立即要求臺灣所有無線基地臺製造商,應該儘速提供軟體或韌體更新服務,也會主動追蹤後更新進度;也會要求相關的公共無線網路服務提供者,主動更新無線基地臺修補程式。
NCC基礎設施事務處處長羅金賢表示,目前NCC在八月底掌握臺灣主要提供公共無線網路服務的無線基地臺數量,全臺將近9萬臺,以中華電信提供給4G網路作為網路壅塞時分流之用的無線基地臺數量最多,高達62,961個;遠傳電信提供的無線網路基地臺數量為7,612個,臺灣大哥大提供的無線網路基地臺數量為7,036個,光是三大電信業者提供的無線網路基地臺數量就將近8萬個。另外,他也說,由政府機關提供的公眾無線網路服務iTaiwan,截至八月底的統計,無線基地臺的數量高達10,129個,也包含高鐵車站276個和高鐵列車的408個無線基地臺。
羅金賢進一步指出,全臺灣提供公眾網路服務的無線基地臺數量將近9萬個,針對這次的WPA2漏洞,NCC將率先要求臺灣無線基地臺製造業者和送設備經過NCC驗證的業者,都應該立即與全球無線網路聯盟合作,並針對WPA2漏洞回報最新的軟體或韌體更新進度,NCC也會追蹤相關業者的更新進度,並公布於NCC官網中。
除了公共無線基地臺之外,羅金賢坦言,更多數量其實是私人或企業自家使用的無線基地臺,但這類的更新往往只能由使用者自身做起,NCC只能督促製造商儘速發佈相關的更新程式。針對提供公眾無線網路服務的業者,他指出,NCC也會督促電信業者主動且儘速更新相關無線基地臺的修補程式外,因為iTaiwan有一個遠端的網路控制中心,也會遠端更新相關軟體或韌體安全性。
但他也提醒,WPA2的漏洞目前是在無線網路傳輸的過程中,加密的憑證可能會被駭客取得重複使用而有資安風險,對此,他建議,使用者應該要習慣性瀏覽採用HTTPS的加密網站,確保使用者瀏覽網頁時的安全性;而在相關WPA2漏洞還沒有完成修補前,使用者也應該避免在使用無線網路時,傳送相關的機敏資料。
NCC主委詹婷怡表示,使用無線網路原本就存在許多風險,使用者必須要有警覺,對於包括電腦、手機作業系統的安全性更新,都應該主動更新到最新版本外,唯有建立良好的資安觀念與意識,使用者培養良好的使用習慣,才有辦法因應各種層出不窮的資安風險。文⊙黃彥棻
比利時研究人員揭露Wi-Fi所使用的WPA2加密機制有漏洞,駭客在存取Wi-Fi網路服務下,可攔載加密資料,引爆Wi-Fi上網的資安威脅,早在2011年即提供民眾免費Wi-Fi上網服務Taipei Free台北市政府回應在得到消息後,已要求Taipei Free兩家合作廠商,安源通訊、全林實業密切注意,儘快提出修補漏洞。
台北市免費無線上網服務Taipei Free由於開放免費使用,國內民眾只要憑手機門號就能註冊,國外旅客也可在機場或旅客服務中心取得上網帳號,因此自推出以來吸引不少人次使用,Taipei Free累計上網人次已超過1億次。台北市AP數量曾達4000個以上,包括北市聯合醫院、區公所、市圖、捷運站等公共場所,甚至在北市公車提供乘客免費無線上網。
對於此次WPA2爆發漏洞,台北市資訊局表示,Wi-Fi的WPA2加密機制出現漏洞,資訊局已在本周獲得消息,基於重視資訊安全,已要求Taipei Free兩家合作廠商提出解決之道。
其中在台北市Taipei Free服務上線之初即與市府合作的安源,目前提供北市公共區域的Taipei free公共免費無線上網服務,與台北市政府合作數年之久,一直是Taipei Free背後的營運商,除了北市公共無線網路,安源也是7-ELEVEN無線網路服務的兩家營運商之一。
對於WPA2漏洞引發的資安威脅,安源通訊表示,旗下公共無線上網服務因採用Open System,以HTTPS點對點加密予以保護,並非使用WPA2的加密方式,因此沒有受到KRACKs攻擊的影響,但基於資訊安全考量,未來仍會和設備商密切聯絡,確保裝置的韌體更新。
雖然對旗下設備沒有影響,但安源通訊提醒,漏洞對使用WPA2的個人、家庭或企業影響較大,除了上網局端設備修補,用戶的終端上網裝置也需要更新才能避免KRACK攻擊的危害。呼籲用戶也需要密切注意作業系統更新。
安源目前為北市公共區域提供Taipei Free免費無線上網服務,AP規模約有1500台,包括Aruba的無線AP,由於較早佈署的關係,北市計畫在年底前升級至新的AP規格。
今年北市推動Taipei Free服務革新,將台北捷運Taipei Free公共無線網路服務委託給全林實業維運,在台北捷運站內、捷運車廂內將TPE Free改為.TPE-Free AD WiFi,現在已在紅橘兩條捷運路線開放車廂內Wi-Fi免費上網,年底前北捷將全線開放.TPE-Free AD WiFi免費無線上網服務,預計將佈署1300到1700個AP。至截稿為止,尚無法取得全林實業的回應。