資安一周重點(0310~0316)

臺灣資安館開幕,副總統陳建仁期許讓世界看見臺灣的資安實力

今年臺灣資安大會活動首次設立了臺灣資安館展區,共集結了38家廠商,涵蓋人工智慧、威脅情資、大數據、數位金融、滲透攻防、威脅防護、機密保護、資安服務8個面向,展現國內資安產業的自主研發實力,同時展現我國資安產業的蓬勃發展。副總統陳建仁也和國安會、國發會、國部、經濟部、工研院等代表參加開幕儀式,

陳建仁以這次臺灣資安館以資安國家隊為號招,對外展現臺灣資安產業的實力,期許未來建立國際拓銷平台讓臺灣的資安產業邁向全球市場,以資安優先、臺灣領先,讓全世界都看得到。更多內容

首份臺灣企業資安調查:今年資安投資大增73%,6成金融業急需資安人才

iThome公布首份反應臺灣企業資安現況的資安調查-「iThome 2018企業資安大調查」,針對超過300位臺灣資訊與資安最高主管的調查結果顯示,臺灣企業對資訊安全的重視度大幅提升,不僅2018年企業資安投資金額成長率達73%,也有高達六成以上企業優先重視強化資安,而資安人才也變得搶手,62.5%金融業都開出資安職缺。

根據這次調查,2018年企業資安投資平均金額達到763萬元,是2017年的1.73倍。其中有2.2%企業的資安預算超過了5千萬元以上,更有企業一舉投入上億元強化資安。更多內容

臺灣第一份「資安即國安」戰略報告書將於5月出爐

第四屆臺灣資安大會於3月14日正式開幕,並連續兩天於臺北國際會議中心舉辦。國家安全會議諮詢委員李德財以及經濟部部長沈榮津到場致詞。李德財針對「資安即國安」政策推動進度報告時指出,預計今年五月會公布第一本「資安即國安戰略報告書」,並強調,政府面對資安的議題,就必須做到「超前部署、預置兵力」的目標。
李德財表示,未來政府面對資安戰略的重要工作有三項,分別是:強化基礎整備工作;協助行政院落實資安旗艦計畫;並強化臺灣與國際資安聯防的工作。更多內容

以色列資安業者公布13個晶片安全漏洞,讓AMD猝不及防

來自以色列的資安業者CTS Labs在3月13日對外揭露了13個涉及AMD伺服器、工作站與筆電系列處理器的安全漏洞,而且只提前一天通知AMD,措手不及的AMD至截稿為止,仍未發布公開聲明,但面對媒體詢問,AMD則表達不滿,抗議CTS Labs未提供充分調查與解決的時間。
CTS Labs在AMD處理器漏洞白皮書中指出,該實驗於半年前開始研究基於AMD Zen架構的處理器安全性,涵蓋EPYC伺服器、Ryzen工作站、 Ryzen Pro及Ryzen Mobile等系列,並發現了13個安全漏洞。更多內容

3月例行更新發布,微軟終於修補所有Windows 版本的Meltdown漏洞

微軟在3月的例行周二更新中,修補所有現行Windows的Meltdown漏洞,同時取消Windows 10更新對第三方防毒軟體的相容性檢查。此外還發布新版英特爾處理器微程式碼。

最新的Meltdown修補程式延伸涵蓋到了x86版Windows 7及8.1版。在此之前只有64-bit及32-bit(x86)版Windows 10 PC依序獲得修補。更多內容

Let's Encrypt通用憑證上線了

免費憑證服務Let's Encrypt近日發表了通用憑證(Wildcard certificates)服務,以及相容於通用憑證的ACMEv2協定。

通用憑證允許網站以單一憑證保障所有的子網域,例如當以 *.example.com申請通用憑證時,不管是www.example.com、payment.example.com或login.example.com都在該憑證的保障下;儘管Let's Encrypt建議絕大多數的網站都應採用非通用憑證,但為了推動100%的HTTPS加密傳輸,Let's Encrypt仍然替少數需求提供了通用憑證服務。更多內容

2月最活躍的前4名惡意程式有3個是採礦程式

資安業者Check Point近日公布了今年2月全球最活躍的十大惡意程式,發現前4名中就有3名是採礦程式,包括Coinhive、Cryptoloot與JSEcoin,分佔排行榜上的第一名、第二名與第四名。

根據Check Point的統計,今年2月全球有20%的組織受到Coinhive影響,有16%組織受到Cryptoloot影響,還有6%的組織受到JSEcoin影響,意謂著採礦程式總計波及了42%的組織。更多內容

3款知名VPN竟有漏洞,可能洩露用戶IP

安全部落格VPN Mentor近日聘請了三名白帽駭客針對Hotspot Shield、PureVPN及 Zenmate VPN產品進行獨立研究。結果發現上述三款產品都出現會洩露用戶IP位址的漏洞,可能讓政府、惡意組織或駭客辨識出用戶的真實IP。
研究人員將結果通知了所有廠商,但只有Hotspot Shield回覆,已修補三項漏洞,手機及桌機版App則未受影響。其餘兩家PureVPN及 Zenmate則沒有回應修補的情況。更多內容

機器人也可能遭駭,研究人員示範如何綁架機器人索賠贖金還爆粗

有鑑於未來的機器人服務可能愈來愈普及,資安業者IOActive針對機器人的安全性展開研究,並打造出概念性驗證攻擊程式,且適用於知名的NAO與Pepper機器人上。

研究人員先開採了機器人系統上的遠端執行漏洞,變更機器的預設操作,關閉管理員功能,挾持機器人的影音能力,再自遠端伺服器傳送指令,在攻擊示範的影片中,研究人員讓機器人說出自己被駭了,需要比特幣,還爆粗口。更多內容

微軟誤發Windows功能更新,部份用戶遭強迫安裝

微軟坦承近日誤發Windows功能更新,使部份用戶被迫安裝到最新的秋季創作者更新(Fall Creators Update)。

一名用戶近日在Askwoody論壇反映,他的Windows 10 Dell電腦已經更新到1703版Windows更新,但3月7日Windows忽然跳出訊息視窗,表示已有最新安全更新,半小時後就逕行安裝起來。在他來不及阻止下Windows 就完成安裝1709版,即秋季創作者更新(Fall Creators Update),但卻是沒有聲音、全部黑白的Windows,還顯示部份捷徑無法使用的錯誤通知訊息。更多內容


Advertisement

更多 iThome相關內容