| NSA | Shadow Brokers | EternalBlue | StripedFly

惡意軟體StripedFly利用永恆之藍漏洞,感染百萬臺電腦

在2017年被駭客組織影子掮客公布的漏洞「永恆之藍(EternalBlue)」,有研究人員發現早在2016年上旬就被用於散布惡意程式,起初這個惡意軟體的用途,一度被研究人員以為是挖礦,而忽略駭客背後真正的動機,輕忽其帶來的影響

2023-10-30

| CISA | NSA | 10大資安錯誤配置 | 不當配置 | 不當配置因應建議 | 軟體供應商 | 軟體供應鏈安全

【杜絕10大不當配置:軟體供應商篇】從源頭軟體製造商著手,NSA與CISA提出7項準則

近日美國NSA與CISA釋出最常見10大配置錯誤的資安報告,這不僅說明了許多大型企業組織的系統性通用弱點趨勢,更深的用意在於,強調軟體製造商採用設計安全原則的重要性,始能減輕藍隊防守負擔。由於近年臺灣也在推動打造可信供應鏈,因此這方面的內容也很值得我們參考借鏡

2023-10-15

| CISA | NSA | 10大錯誤配置 | 不當配置 | 不當配置因應建議

【因應10大不當配置:藍隊篇】面對常見錯誤配置引發的資安風險,網路防守者有因應之道可參考

美國CISA、NSA、DHS聯合公布最常見10大配置錯誤的資安風險報告,指出這些問題使駭客更容易發動攻擊,需要網路防禦者與軟體製造商共同正視,報告中並提供了如何應對的具體建議。

2023-10-15

| 美國國安局 | NSA | AI安全中心 | AI Security Center | 國家安全

美國國安局設立AI安全中心

基於AI在國家安全、國防與情報上的角色日益重要,美國國安局宣布成立AI安全研究中心,透過與國內外多方單位合作,讓美國國安系統能安全地導入AI應用

2023-10-02

| Memory Safety | 軟體記憶體安全 | C | C++ | Rust | non-memory-safe | 緩衝區溢位 | 記憶體洩漏 | 記憶體越界寫入 | 記憶體越界讀取 | Use After Free | Prossimo | NSA

從程式語言層級確保記憶體安全,不只美國NSA建議,今年Prossimo專案也在推動

近年微軟與Google都指出,有70%重大漏洞的根因都出記憶體問題,今年來,不只美國國家安全局(NSA)在11月10日鼓勵開發者可改用C#、Go、Java、Ruby與Swift等語言,來取代C與C++,事實上,在今年5月,開源社群、科技大廠與美政府商討提升開源軟體安全對策,就已經將換不具記憶體安全的語言列為重要工作

2022-11-22

| 美國國家安全局 | NSA | 軟體開發指南 | 記憶體安全 | 程式語言

美國NSA建議開發者多用可保障記憶體安全的程式語言

美國國家安全局(NSA)公布軟體開發指南,建議開發者改用C#、Rust、Go、Java、Ruby或Swift來取代C與C++

2022-11-14

| 史諾登 | Edward Snowden | 俄羅斯 | 稜鏡計畫 | 美國國安局 | NSA

俄羅斯授予前NSA爆料者史諾登公民身分

因揭露美國國安局(NSA)大規模監聽計畫而流亡俄羅斯多年的史諾登(Edward Snowden),如今獲得俄羅斯公民身分

2022-09-27

| AWS | 美國國安局 | NSA | 雲端合約 | WildandStormy

Amazon重新取得美國國安局價值100億美元的WildandStormy合約

美國國安局原本就把這項採購合約交給AWS,但微軟向美國政府審計辦公室提出抗議後,仍未能讓美國國安局重新評估該合約後改變心意

2022-04-29

| WatchGuard | 殭屍網路 | Cyclops Blink | 俄羅斯駭客 | Sandworm | NSA | 英國國家網路安全中心

美、英發現來自俄羅斯的新殭屍網路惡意程式Cyclops Blink

俄羅斯駭客自2019年起利用Cyclops Blink感染連網裝置,主要鎖定WatchGuard的防火牆設備,對此WatchGuard發布安全指引並建議所有用戶,不管有無受到Cyclops Blink感染,都應升級到最新的Fireware OS

2022-02-25

| 美國 | 俄羅斯 | 烏克蘭 | 國家駭客 | 國防 | FBI | NSA | CISA

美政府直指俄羅斯瞄準國防外包商竊取軍事機密

美國聯邦調查局、國安局及網路安全暨基礎架構安全管理署發布聯合安全公告,指控俄羅斯國家駭客長期攻擊並滲透美國國防及情報單位的IT供應鏈,以竊取美方軍事機密

2022-02-17

| GAO | NSA | 雲端服務 | 合約 | 微軟 | AWS

微軟抗議AWS獲得的100億美元NSA雲端合約,受到GAO支持

在微軟向美國政府審計辦公室(GAO)提出抗議後,GAO要求國家安全局(NSA)重新評估WildandStormy合約由AWS得標的合理性

2021-11-01

| NSA | Wildcard Certificate | ALPACA | ALPN

Wildcard憑證風險NSA示警!臺CERT組織指出國內不少網站將受影響,也該注意及早應對

近日美國國家安全局(NSA)提出警告,須正視對於ALPACA攻擊手法與Wildcard TLS憑證風險的問題,對此新興風險,臺灣TWCERT/CC指出國內有不少網站使用Wildcard憑證,因此國內企業的確也要了解並重視。

2021-10-22