資安一周[1022-1028]：英情報單位非法蒐集人民資料17年，美國安局則遭竊聽20年

重點新聞（10月22日-10月28日）

強化軍用網路安全不手軟，英國國防大臣宣布砸百億臺幣力推資安

英國國防大臣Michael Fallon於10月20日宣布，英國將投入2.65億英鎊（約104億元臺幣），要來根除英國軍用系統和相關系統的漏洞。這些資金將用來推動新的網路漏洞研究計畫（Cyber Vulnerability Investigations，CVI），以彌補先前成立的國家級網路安全維運中心CSOC的不足之處。英國未來也會與美國簽屬合作備忘錄（MOU），在網路安全議題有更緊密的合作，另外，英國跟法國確認將會在《蘭卡斯特宮協議》（Lancaster House Agreement）下共同防衛網路安全。更多新聞

美聯儲要求：大型銀行遭網攻，需2小時能恢復營運

美國聯儲系統（FRS）於10月19日公布網路風險管理規則草案，提出了5項網路安全標準，分別是網路風險治理、網路風險管理、內部依賴關係管理、外部依賴關係管理和網路事件回應、回復能力與情境感知等。另外，美聯儲也特別要求，總資本額超過500億美元（約1,587兆臺幣）或以上的銀行，未來幾個月內要做到，銀行遭遇網路攻擊時，能在兩小時內恢復金融業務的運作，此外，更要求網路安全必須作為銀行機構企業高層與董事會的首要任務。更多資料

甲骨文大舉修補253個安全漏洞，含15個重大漏洞

甲骨文（Oracle）在10月18日發表了本季重大修補更新，大舉修補涉及76項產品的253個安全漏洞，其中有15個被列為「重大」（critical）漏洞，安全風險超過9.0（最高為10）。此次修補最多漏洞的是Communications Applications，總計修補了36個安全漏洞， 居次的是MySQL的31個，第三名是Fusion Middleware的29個。雖然本季甲骨文只修補了7個Java漏洞， 但因所有漏洞都不需認證即可遠端開採， 被資安業者列為優先修補對象。更多新聞

St. Jude醫療設備發現技術漏洞，影響心臟病患者的生命安全

美國食品藥品管理局（FDA）於10月11日要求，St. Jude醫療設備公司回收遭人為送出錯誤警報而快速沒電的植入式心臟電擊器（ICD）和心臟再同步去顫器（CRT-D）等兩款心臟設備。原本電力可用3個月的設備，若接收到外部錯誤訊號，可能在24小時內就會耗盡電力而失效。美國已有一名患者因設備異常而死亡。St. Jude回應，已經成立網路安全醫療諮詢委員會處理，並且往後會加強網路安全防護，和防止更多的技術漏洞。先前遭資安公司踢爆St. Jude醫療設備公司的心臟相關醫療設備有漏洞，恐遭駭客入侵來操控。更多資料

美國國防部號召千名駭客測試自家網站，找出138個未知漏洞

美國國防部（DOD）於10月20日宣布，與資安公司HackerOne和Synack簽訂合約，允許超過1,400名註冊的網路駭客，對國防部網站進行滲透測試。這份合約是美國國防部向兩家公司發起的獎金挑戰行動，旨在引進私人公司的網路安全人才和網路安全技術的做法，改進國防部的網路安全技術。這項活動，總共發現138個過去未偵測到的安全漏洞，並且幾乎得以修復。更多資料

美國國安局遭竊聽20年，前承包商盜走50TB機密資料

美國巴爾的摩聯邦檢察官於10月20日以反間諜法，起訴美國國安局（NSA）前包商Harold T. Martin III，涉嫌曾竊聽國家機密資料長達20年，總共盜走高達50TB資料與6大箱的文件資料。美國政府指控，Martin是使用精細設計的軟體工具，不需要安裝到電腦上，也能夠提供匿名的網路連線，讓他在竊取資料的過程能夠避免留下數位痕跡。檢察官解釋，Martin行為不只對美國，也恐對部分人帶來人身安全的高風險。美國政府目前並未透露竊盜的資料內容，也無法證明是否將資料轉交其他國家。更多新聞

全球網站周末大癱瘓，知名DNS遭到DDoS攻擊

DNS服務商Dyn在10月21日遭到駭客大規模DDoS攻擊，於10月21日UTC時間11點10分（世界標準時間，臺灣時間傍晚19點10分）開始，直到22時（臺灣時間周六早上8點）才完全恢復。這起DDoS攻擊事件，總共發動兩次的大規模攻擊，與過去只進行一次攻擊的強度截然不同，使得網站當機的時間會比過去更延長，影響層面和時間會更廣，導致大多數知名網站，如Twitter、CNN、Github等網站，使用者都無法順利進入。更多新聞

英情報機構非法蒐集人民個資17年，秘密監控合法化惹爭議

英國調查權力法庭（Investigatory Powers Tribunal，IPT）近日判決，英國通訊總部GCHQ、MI5與MI6英國軍事情報局在1998年到2015年間，未通報國會，非法蒐集大量的民眾通訊與個人資料。然而，去年英國國會已允許英國情報機構可大量蒐集民眾資料，使秘密監控行動合法化，這判決的意義是讓情報機構祕密蒐集資料行動的事實公諸於世。「隱私國際」（Privacy International）國際組織則批評，這種秘密監控數百萬民眾的行動並非是必要且適當的。更多新聞

英特爾CPU驚爆漏洞，60毫秒就能破解ASLR保護

約州立大學賓漢姆頓分校與加州大學河濱分校的3名研究人員近日研究報告發現，英特爾處理器出現安全漏洞，60秒就能破解「位址空間配置隨機載入」（Address Space Layout Randomization，ASLR）記憶體保護機制。研究人員指出，英特爾處理器的分支目標緩衝區（Branch Target Buffer，BTB）含有一安全漏洞，藉由碰撞攻擊（collision attack）就能在處理器核心取得大量ASLR索引表，當可準確預測特定程式的執行位置後即可安排攻擊行動，而且只要60毫秒就能蒐集所需的資料。雖然，研究人員使用了Intel Haswell處理器與Linux平臺展示攻擊，但此攻擊理論上也可適用其他系統。更多新聞

微軟印度雲端步局在進一步，增設當地資安服務中心

繼去年在印度設立在地資料中心後，微軟近日在印度德里成立全球第7個網路安全促進中心，除了和印度政府合作打擊網路犯罪，也將提供微軟安全諮詢服務。為了擴大雲端市場，微軟積極祭出3大安全服務的布局，包括提供網路監控、網路威脅偵測和快速的回應與解決網路威脅。更多資料