圖片來源: 

iThome

政府首度明定資安預算比例,10億元計畫至少要投5千萬元在資安

政府在資安產業發展行動計畫中規定,經費10億元以上的計畫,5%預算用於資安;1億元~10億元經費的計畫,則6%預算用於資安;1億元以下經費的計畫,必須要有7%預算花在資安上。這也是政府第一次明定資安預算的最低占比。
從這次推出的「資安產業發展行動方案」中,可以觀察到,未來所有的政府專案都必須將資安列為必要條件,更首度針對5+2產業創新以及政府各個相關計畫,訂出資安經費應該投入的比例,目的就是希望各個政府專案都可以做到「Security By Default」以及「Privacy By Design」。他進一步指出,不只是5+2產業創新計畫,未來所有政府專案,也都會參考此次作法,規定資安預算的最低占比。更多內容

Debian與Ubuntu相繼修補Beep套件的權限擴張漏洞

Debian與Ubuntu兩大Linux版本日前相繼釋出更新,以修補所內建Beep套件的權限擴張漏洞。Beep套件的功能很簡單,就是讓作業系統在必要的時候發出嗶嗶聲,且完全透過命令列控制。安全研究人員發現,在設定setuid權限後,Beep套件就會產生競爭條件,進而允許本地權限擴張,可讓駭客取得系統的最高權限,探查、開啟或竄改系統上的任何檔案,從舊版到最新的1.3.4版本都受到波及,該漏洞編號為CVE-2018-0492,亦被稱為Holey Beep漏洞。更多內容

駭客濫用Cisco Smart Install協定,伊朗3500臺交換器遭駭

駭客於日前針對思科(Cisco)的Smart Install功能發動攻擊,目前主要傳出災情的是伊朗的ISP業者與資料中心,伊朗的通訊暨資訊部門即宣稱該國境內的3,500臺交換器遭到駭客攻擊,駭客在執行Smart Install的交換器配置檔中寫下「別來攪和我們的選舉」(Do not mess with our elections),並留下美國國旗的圖樣,接著交換器便無法運作。而根據Shodan的搜尋結果,全球因Smart Install而陷於被駭風暴中的思科裝置約為16.5萬臺,其中有4.6萬臺位於美國、1.2萬臺位於俄羅斯,還有1萬臺位於中國。更多內容

Intel Remote Keyboard含有權限擴張漏洞,英特爾:免修補直接移除!

英特爾(Intel)日前指出,該公司所開發的遠端鍵盤與滑鼠程式Intel Remote Keyboard,含有3個權限擴張漏洞,可讓在同一網路上的駭客假冒用戶執行輸入,或允許本地端駭客入侵其它遠端鍵盤,還可讓本地端駭客提高權限以執行任意程式,所有版本均受影響。英特爾是在今年3月接獲漏洞報告,不過,英特爾似乎沒有想要修補這些漏洞,只說已發布Intel Remote Keyboard的產品廢除通知,並建議使用者直接將它移除。更多內容

Google VirusTotal推出Android沙箱服務

Google的防毒掃瞄引擎VirusTotal部門日前宣佈,推出新的Android沙箱服務名為Droidy,用於取代VirusTotal 2013年並沿用至今的Android沙箱環境的升級版。它會在Android App安裝及開啟時執行,分析App行為後產出研究參考用的報告,包括網路通訊及簡訊相關活動、Java映射(Java Reflection)呼叫、檔案系統互動行為、SQLite資料庫使用情形、啟動或終止的服務,檢查App權限、註冊的接受者、加密活動等等。Droidy目前已經上線,並整合到VirusTotal的多沙箱專案,包含於合作的防毒業者服務中,像是騰訊的HABO病毒分析服務。更多內容
 
首開先例!密西根州通過新法:惡意持有勒索軟體最高將被判處3年監禁

密西根州州長Rick Snyder日前簽署了兩項法案,只要是持有勒索軟體且企圖駭進電腦或電腦網路的駭客最高可被判刑3年,意謂著在該州就算還沒採取行動的駭客都可能被關進大牢,開啟全美首例。根據美國聯邦調查局(FBI)的統計,這一年來就接獲該州1,300個相關的意外報告,贖金再加上所衍生的安全升級成本為250萬美元。
密西根州曾爆發多起勒索軟體綁架的重大災情,受駭者包括水電公司和醫院,讓Iden所提出的House Bill 5257法案順利地通過眾議院與參議院的審核,並成為密西根州的正式法令。更多內容

美國國土安全部鬆口證實華府遭國外間諜安裝通訊攔截裝置

美國國土安全部(DHS)日前對外證實,華盛頓特區(華府)的確遭國外間諜安裝了「國際移動用戶識別碼捕獲裝置」(IMSI Catcher),用以攔截手機流量並追蹤手機用戶位置。目前,國土安全部在華府發現了某些與IMSI Catcher一致的異常活動,雖尚未確認相關裝置的位置或背後的組織,但相信這些裝置是由惡意份子所操控,以追蹤及監控行動用戶,並可能危害美國的國家與經濟安全,也認為利用IMSI Catcher的間諜行為是真實存在且正在滋長中。不過,DHS現在並沒有可偵測IMSI Catcher裝置的技術能力,將爭取經費來建置或部署相關技術所需的硬體、軟體與人力。更多內容

Verizon資料外洩報告顯示,勒索軟體占所有惡意程式引發資安事件近4成

在Verizon日前公布最新的資料外洩調查報告指出,勒索軟體已經是企業和消費者面臨到最嚴重的資安威脅,更有甚者,這類威脅還開始鎖定關鍵基礎設施發動攻擊。Verizon在針對全球65各國家,所發生的53,000起資安事件以及2,200多起資料外洩事件所做的分析發現,如果上述資安事件是因為被植入惡意程式所引發的,勒索軟體占相關惡意軟體比例近4成(39%),更是去年報告中攻擊次數的兩倍。更多內容

英國政府斥資1350萬英鎊,打造全新網路新創中心扶植資安新創

英國政府日前宣佈,將投入1,350萬英鎊(約新臺幣5.6億元),在英國東倫敦奧林匹亞公園附近,打造一個全新的倫敦網路新創中心(London Cyber Innovation Centre ),主要的目的就是,提供資安新創業者相關的IT基礎架構、技術、研發資金與空間,對資安新創產業做育成,希望可以抵抗來自俄羅斯及北韓日益嚴重的網路資安威脅。英國政府也期待,這第一批育成的資安新創企業可以打入全球網路安全市場,預計,2018年資安產業的總產值高達69億英鎊(約新臺幣2,800億元)。更多內容

美國主要警報系統公司爆漏洞,駭客利用無線電頻率觸發假警報

資安威脅研究機構Bastille日前對外表示,美國最主要的警報系統供應商之一:ATI公司,駭客可以透過無線電頻率,利用警報系統的漏洞進行遠端操控,可以觸發假警報。而該公司最早是在舊金山發現這樣的漏洞,之後還在其他兩個美國地點,發現駭客可以同樣的漏洞引發假警報。ATI公司的客戶囊括美國和海外的軍事單位、政府機關、教育機構以及能源部門,一旦引發假警報,都可能會帶來社會不安。更多內容
 


Advertisement

更多 iThome相關內容