重點新聞(10月29日-11月04日)
英國未來5年將砸751億臺幣,推動國家網路安全戰略
英國財政大臣Philip Hammond最近宣布,未來5年將投資19億英鎊(約751億元臺幣)推動國家網路安全戰略計畫,藉此開始進行保護英國經濟和英國公民隱私的行動,同時也鼓勵企業加強網路攻擊的防禦。除此之外,英國國家安全局未來也將招募50位網路犯罪專家,對組織型網路攻擊行動,提供回應策略。還要建立一個網路安全研究機構,結合英國大學研究人力,共同促進智慧型手機、筆記本電腦和平板電腦的網路安全性,以及大力培養專業網路安全人才。更多資料
中國網路安全法草案三審修改,加重境外組織和個人駭客的懲罰
中國網路安全法草案近日進行三審修改,分別修改了四點,首先是界定重要資訊基礎設施範圍,涵蓋了公共通訊和資訊服務、能源、交通、水利、金融、公共服務、數位政府(中國稱為電子政務)等產業。其次,針對境外組織和個人增加懲罰條款,凡從事攻擊、干擾、破壞、侵入重要資訊基礎設施者造成嚴重後果者,可能遭凍結財產或是其他制裁,還有增加了懲罰網路詐騙等新型網路違法犯罪活動的規定。最後是加強網路安全的人才培養,保護未成年的上網安全。更多資料
Google緊急公開Windows零時差漏洞,但微軟還沒寫好修補程式
因Flash漏洞而衍生了一個Windows系統零時差漏洞,讓惡意程式可以在設定應用程式視窗樣式時,暗中調高權限繞過安全沙盒防護。Google在10月21日發現該漏洞並通報微軟,因開始出現實際攻擊事件,Google決定先公開不等微軟修補程式了。Google此舉也引發了微軟的不滿。但因此漏洞是Flash的衍生漏洞,若已更新了Adobe提供的修補程式也可減緩Windows漏洞的威脅。更多新聞
好萊塢iCloud裸照外洩案判決出爐,法院重判駭客18個月
美國一名叫Ryan Collins的男性,在2012年至2014年間透過網路釣魚的方式,竊取受害者的帳號與密碼,進一步藉由惡意軟體下載了受害者備份在Apple iCloud上的裸體照片和影片一案,賓州法院在10月27日判決此人犯了電腦詐欺和濫用法,判18個月有期徒刑。Ryan Collins首先向使用Apple、Google信箱的被害人寄發郵件,要求被害者提供帳號與密碼,被害者回答後,就可以直接透過電子郵件進入被害者的帳戶,並且竊取被害人的裸照和影片,其中大部分被害者是知名的好萊塢女明星。更多資料
新惡意程式注入技術Atom Bombing曝光,所有Windows版本都受影響
網路安全公司enSilo近日發現了,一個利用Windows作業系統底層機制,植入惡意程式的新方法,enSilo將其命名為AtomBombing。此方法可以讓駭客繞過檢查惡意程式的防護軟體,合法植入惡意程式。因為這項技術並非系統漏洞,而是利用OS機制的合法執行程序,恐無修補程式,也會影響所有Windows版本,資安公司實測Windows 10有效。目前,僅能藉由監控系統內部API呼叫,來追蹤出惡意行為。enSilo提醒,這類惡意程式植入技術恐將成為自動化攻擊工具的功能,而且網路攻擊者已經開始以不同的方式進行攻擊,一旦威脅已經造成,就必須建立起防禦機制,防止產生嚴重的後果。更多資料
捐血也捐個資!?澳洲55萬位捐血者個資外洩
澳洲紅十字會血液服務(Australian Red Cross Blood Service)坦承線上查詢備份資料庫內的55萬名捐血者資料,可能遭到他人擅自存取。執行長Shelly Park說明,被竊取的檔案是2010年至2016年間約55萬位捐血者的資訊,裡面包含姓名、地址、生日、血型,以及問卷調查中的個人資料。發現個資外洩的緣由是,有人提供微軟的技術代言人Troy Hunt一個1.74GB的個人資料檔案,才緊急通報澳洲電腦緊急回應中心(AusCERT),才將此事揭露出來。此一意外僅證實了相關檔案可隨意被存取,並未發現遭到濫用的證據。更多新聞
新加坡電信Star Hub遭DDoS攻擊,民眾3天難上網
新加坡電信業者Star Hub於10月22、24日兩天,遭到駭客針對DNS服務系統,進行大規模DDoS攻擊,導致民眾無法順利上網,24日晚上才完全恢復網路服務。根據Star Hub初步調查分析網路系統日誌的紀錄,發現到這兩次的問題,主要是有大量的資料流量進入DNS服務系統,進行有意圖的惡意DDoS攻擊,導致系統無法負荷,間接造成用戶無法順利進入網站。這場攻擊模式與21日美國Dyn遭遇的DDoS很類似,是否為同一群駭客組織所為,Star Hub正在與網路安全專家密切合作,進行徹底的調查,了解這兩次攻擊的攻擊企圖和攻擊來源。更多新聞
中國騰訊攻破Android和iPhone,抱走20萬美元駭客競賽獎金
趨勢科技於10月26日在日本舉行Mobile Pwn2Own駭客競賽,其中來自中國的騰訊科恩安全實驗室(Keen Security Lab)研究團隊,成功在Nexus 6P安裝了流氓程式,以及在iPhone 6s結合了「使用後釋放」(use-after-free)與記憶體毀損漏洞進行攻擊,成功取得iPhone上的照片。整場比賽結束,雖然在iPhone 6s上安裝流氓程式失敗,但是他們總共獲得21.5萬美元獎金,並且得到「破解大師」的稱號。更多新聞
明年10月起,Chrome將強制要求網站遵循憑證透明化政策
Google軟體工程師Ryan Sleevi宣布,在明年10月以後發行的網站憑證必須遵循Chrome的憑證透明化政策,才能為該瀏覽器所信賴。Google在2013年所發起的憑證透明化(Certificate Transparency,CT)專案改變了憑證的核發程序,要求CA必須將憑證寫入可公開驗證、無法竄改且僅供附加資料的紀錄中,以讓使用者的瀏覽器可承認其效力,在造訪HTTPS網站時,除非該站的憑證已寫入CT紀錄中,否則瀏覽器可能不會顯示安全連線的圖示。Google表示,此一開放的監控系統將讓網域所有人與CA藉以判斷相關憑證是否被濫用或遭到誤發。更多新聞
Adobe搶修已遭攻擊的Flash漏洞
Adobe於10/26緊急釋出Adobe Flash Player更新程式,以修補一個已遭攻擊的重大安全漏洞,該漏洞將允許駭客掌控使用者電腦。編號為CVE-2016-7855的漏洞屬於「釋放後使用」(use-after-free)漏洞,使用者只要檢視一個惡意的Flash媒體檔案就可能觸發該漏洞,並允許駭客遠端執行任意程式進而掌控使用者電腦。Adobe已收到針對該漏洞的攻擊報告,目前僅局限在Windows平臺用戶被攻擊。更多新聞