圖片來源: 

美國國土安全部

重點新聞(02月18日-02月24日)

1,500套工業系統PLC網路全都露,駭客可任意控制供水系統勒索贖金

喬治亞理工學院博士生David Formby在RSA資安大會爆料,他發現了1,500套工業系統的PLC(可程式化邏輯控制器)暴露在網路上,沒有隔離在獨立網路環境中,其中多數還使用預設帳密或沒用高強度密碼保護。他認為,駭客可利用這些PLC,鎖定供應自來水、電力、天然氣等相關業者來發動勒索攻擊,因為駭客已經可以修改控制器讓水變得混濁或是供電系統變壓器故障,導致供應設施永久性損壞。Formby還當場示範,如何利用修改供水系統PLC控制進水量和濁度,來凸顯PLC漏洞的威脅。更多資料

 

勒索軟體CERBER出現新變種,能越過電腦安全軟體的偵測

趨勢科技資安人員2月中發現勒索軟體CERBER出現新變種。儘管新變種的攻擊行為和感染媒介,和其他CERBER變種類似,但新變種特別之處是,它會偵測電腦裡面所安裝的防火牆、防毒軟體和反間諜軟體等安全軟體的目錄,並建立一個排除用的白名單,不加密這些目錄內的檔案和執行檔。駭客可能想利用這種方式避免CERBER遭到發現。CERBER從去年初就開始出現,它經常利用惡意廣告、含有指令檔案的電子郵件或破解程式作為釣魚的方式。更多資料

 

美研究員研發出跨瀏覽器指紋技術,連無痕模式都能追蹤瀏覽行為

美國理海大學與聖路易斯華盛頓大學研究人員聯手開發了一個跨瀏覽器指紋技術,根據使用者在某一個瀏覽器上的擴充程式、外掛程式和時區,以及是否安裝阻擋廣告程式,準確地追蹤使用者在不同瀏覽器的瀏覽行為,也包括在無痕模式上的瀏覽行為。這項技術有助於廣告商更能在不同瀏覽器上,鎖定使用者興趣和瀏覽行為投放目標廣告。研究人員同時指出,這項技術未來可提供跨瀏覽器的多因素身分認證,檢查使用者是否使用相同的電腦登入特定網站,如網路銀行,確保使用者登入的合法性。更多資料

 

美國土安全部資助多項DDoS防禦研究,抵抗未來Tb級DDoS攻擊

美國國土安全部在16日宣布,國土安全部網路安全部門(Cyber Security Division )資助了多項DDoS防禦研究計畫(DDoSD),未來可協助受害者迅速轉移攻擊流量。這些計畫分為三大方向,分別是設計易實踐的防禦系統布署、開發適合中小型組織的協作工具抵抗Tb級攻擊,以及解決其他類型DoS攻擊的防禦策略。DDoSD計畫主持者Daniel Massey認為,去年10月下旬Dyn遭到DDoS攻擊,造成全球數家知名網站癱瘓,影響數百萬位使用者,目前的國家網路基礎設施可能無法承受更大規模DDoS攻擊,需要建立更有效和更容易實施的網路防禦。現今,DDoSD計畫已經有5個研究團隊開發出可抵抗250Gbps以上DDoS防禦策略,未來還在朝向可防禦Tb級的DDoS攻擊。更多資料

 

資安專家:Android for Work有漏洞,恐讓公司機密資料遭竊

資安公司Skycure創始人暨技術長Yair Amit警告,Android for Work(現名為Android at work)驚爆新漏洞,駭客可用來發動App中間人攻擊(App-in-the-Middle Attack),以存取企業內部資料。Android for Work是Google提供的獨立安全沙箱(Sandbox),使用者可以在自身裝置裡面分開安裝工作和私人需求使用的App資料。駭客利用社交工程,誘拐受害者安裝惡意軟體提高裝置使用權限,在透過Android for Work通知系統(notifications system)跟輔助服務(Accessibility service ),存取受害者使用Android for Work所有程式的資料。更多資料

 

用AI強化端點安全,IBM將Watson認知技術帶進端點保護

IBM在RSA 2017大會上發表了一款新的端點偵測與反應解決方案產品IBM BigFix Detect,利用Watson技術找出企業內部點設備的安全威脅,來加快發現惡意行為到完成修補間間的時間落差來降低風險,預計今年3月在臺推出。BM BigFix Detect利用行為分析,可偵測到已知和未知的攻擊,再確定攻擊的方式和範圍後,就會進行回應和補救(respond and remediate)計畫,防護使用者的終端裝置不會受到網路攻擊。此外,該技術不僅可以在已經發生的攻擊做出回應之外,還可主動設定攻擊的模式,為未來可能遭到的攻擊做準備。更多新聞

 

Gmail調查大揭密:攻擊企業信箱的惡意程式數量是個人信箱的4.3倍

Gmail安全團隊本周在RSA 2017資安會議上發表了針對Gmail上用於公務的信箱與個人信箱之惡意程式活動的分析報告,指出公務信箱所收到的惡意程式數量是個人信箱的4.3倍,公務信箱所收到的網釣攻擊數量是個人信箱的6.2倍,而公務信箱收到的垃圾郵件則只有個人信箱的0.4倍。最常成為垃圾郵件攻擊目標的產業別為娛樂業、資訊科技業與建築業;最常受到網釣攻擊郵件騷擾的則是金融保險業、娛樂業及資訊科技業;最常收到加密郵件的是娛樂業與公用事業;遭到最多惡意程式攻擊的產業為房地產。更多新聞

 

零幣程式碼存嚴重漏洞,多出一字元可竊走千萬臺幣

零幣(Zcoin、 Zerocoin或稱XYZ)專案小組指出,零幣程式碼多出一個字元引發的漏洞,使得駭客得以重覆利用有效的證明,建立多個交易帳號,將存提款行動分散好幾周,藉此隱匿其犯案手法,共盜走37萬零幣(約1,820萬新臺幣)。該團隊已先行通報各交易平臺要求協助調查,且已經於24小時找出漏洞所在,並緊急釋出修補程式,呼籲所有礦池或交易平臺在獲得修補程式後儘速更新。零幣是比特幣的一個擴展計畫,它實作零知識證明(Zero-Knowledge proof)來確保交易雙方完全的隱私與匿名性。零幣之後,提供較比特幣更具隱私的加密貨幣還有Zcash及Monero。更多新聞

 

研究人員利用JavaScript破解英特爾等22款CPU的ASLR保護

阿姆斯特丹自由大學的系統及網路安全小組研究人員近日揭露了一項攻擊技術,可繞過22款處理器的「位址空間配置隨機載入」(Address Space Layout Randomization,ASLR)保護,波及Intel、AMD、Nvidia及Samsung等處理器品牌。研究人員解釋,處理器中的記憶體管理單元(MMU)是藉由快取階層來改善搜尋頁表的效能,但它同時也會遭到其他應用程式利用,像是瀏覽器中所執行的JavaScript。於是他們打造了名為ASLR Cache(AnC)的旁路攻擊程式,可在MMU進行頁表搜尋時偵測頁表位置。他們開發了AnC的原生版本與JavaScript版本,透過原生版本來建立可在22款處理器上觀察到的MMU訊號,再以JavaScript版本找出Firefox及Chrome瀏覽器上的程式碼指標與堆積指標,計算出檔案的實際位址,最快只要25秒就能讓ASLR的保護消失無蹤。更多新聞

整理⊙黃泓瑜


Advertisement

更多 iThome相關內容