圖片來源: 

擷取自The National Interest

1115-1121一定要看的資安新聞

 

#DDoS #新攻擊趨勢

Cloudflare:多面向放大攻擊漸成DDoS攻擊主流

根據Cloudflare的網路流量分析,DDoS攻擊者改變了他們的技術,其中多面向放大攻擊(multivector DDoS attacks)頻率及流量的流量正在上升,反觀一度盛行的SSDP和Memcached放大攻擊,則逐漸消退。

此外,在兩個月前,Cloudflare發現了一股新的攻擊趨勢逐漸形成,駭客並不使用SSDP或Memcached單一的放大類型,而是應用許多不同的放大類型,一次攻擊所有的ISP,雖然這個技術並不新穎,規模卻是前所未見的。Cloudflare舉出近期一個達到800Gbps的攻擊,當中總共使用了7種協定為例說明,其中攻擊流量第一名是Portmap的337Gbps,第二名為SSDP的177 Gbps,第三名為DNS的130Gbps,第四名為SNMP為115 Gbps。詳全文

圖片來源/Cloudflare

 

#網路犯罪偵辦 #國際刑警組織

打擊國際網路犯罪臺灣不應缺席,刑事警察局長投書美媒

圖片來源/翻攝自The National Interest

本月15日,內政部警政署刑事警察局長蔡蒼柏投書外交性雜誌The National Interest,指出近年網路犯罪興起與恐怖主義橫行,臺灣必須與全球執法機構合作,他呼籲,應讓臺灣加入國際刑警組織(INTERPOL)。

多年來,臺灣警方為打擊跨境犯罪,已經與其他國家的執法機構合作解決許多刑事案件。關於網路犯罪的問題,在他投書的內容當中提到,對於2017年10月遠東國際商業銀行電腦遭駭一事,臺灣依靠國際刑警組織成員國國家中央局提供的情報,攔截了超過6千萬美元的被盜資金,而這樣的成就也獲得國際上的肯定。蔡蒼柏認為,作為國際警界的一員,臺灣不應被排除於場外,導致關鍵訊息交流出現延誤與差異,進而在全球安全與反恐網路中形成重大缺口。詳全文

 

#公有雲配置不當防護機制 #Amazon 

Amazon S3阻擋公開存取功能上線,以帳戶層級措施防止儲存庫檔案意外洩漏

圖片來源/AWS

Amazon開始為S3服務,提供全新的阻擋公開存取(Block Public Access)功能,這是帳戶等級的保護措施,以提高儲存桶以及物件的安全性。由於S3資料因設定疏失而外洩資料的事件頻頻,這項機制將提供多一道保護,希望協助企業使用公有雲時,減少因為低級錯誤而讓資料可能被公開存取的風險。

Amazon提到,阻擋公開存取是帳戶等級的保護措施,適用各種包括未來創建的儲存桶。無論是由存取控制列表或是政策指定的存取權限,都低於阻擋公開存取的權限,使用者可以善用,確保新創建的專案不會對外曝光。

使用者可以從S3控制臺、CLI、S3 API和CloudFormation模板中設定阻擋公開存取功能。在帳戶公開存取設置當中,關於存取控制列表有兩個選項,另外還有兩個管理儲存桶的政策設定炫選項。詳全文

 

#硬體安全 #GPU旁路漏洞攻擊 #Nvidia

Nvidia遭爆GPU存在旁路攻擊漏洞,駭客能取得CUDA應用程式內部參數

近年CPU上的旁路攻擊漏洞鬧得沸沸揚揚,硬體安全成為焦點,現在又有研究人員也開始研究GPU旁路攻擊是否真的存在,結果還真的可行。

加州大學研究發現,在許多場景中,GPU運算資源允許被以精細的粒度在多個應用程式間分享,而間諜應用程式則能趁機監控旁路(Side Channel),並嘗試推測出受害者行為。研究人員表示,這是第一次GPU被發現存在旁路攻擊漏洞,而Nvidia將會釋出修補程式。

他們展示了漏洞的這兩種應用,其中一個可以讓CUDA間諜程式竊取其他CUDA應用程式的漏洞,將可能威脅到共用雲端環境中執行的CUDA程式,致使資料被惡意程式偷走。詳全文

圖片來源/加州大學

 

#銀行木馬 #研究報告

銀行木馬Emotet已在全球建立了721個C&C伺服器

圖片來源/趨勢科技

勢科技上周公布了知名銀行木馬Emotet的蹤跡,發現它在今年6月1日到9月15日之間,已在全球建立了721個C&C伺服器,採用8,528個獨立的URL,使用5,849個文件Dropper以及571個執行檔案。

Emotet通常透過垃圾電子郵件進行散布及感染,例如於假冒來源的電子郵件中嵌入惡意的附加檔案或連結,只要受害者開啟或下載惡意的PDF或Word檔案,Emotet就能常駐於受害者的電腦上,進而下載其它的惡意模組,或是伺機感染網路上的其它裝置。US-CERT也曾在今年中把Emotet列為最具破壞力及成本最高的惡意程式之一,並表示每次的Emotet感染事件平均要花費100萬美元來擺平。詳全文

 

#物聯網安全

感恩節將至,Mozilla發布電子產品隱私採購指南

為了迎接即將來臨的感恩節及聖誕節購物旺季,Mozilla檢驗市場上70款熱門電子產品,檢視它們的隱私保護及安全性,但只有不到一半的產品,符合Mozilla所制定的最低安全標準。

Mozilla表示,就算外界開始重視物聯網(IoT)裝置的安全及隱私問題,但企業仍持續開發不安全的連網裝置,同時這些企業亦未被要求必須維護裝置的安全性,因此,Mozilla、國際消費者協會及網際網路協會相信,應該要替這些產品設定「底線」,進而提出了5大最低安全準則。

這5大準則包括網路通訊須加密、產品須支援自動更新、須要求強密碼、業者應制定漏洞管理政策,以及須設立容易存取及閱讀的隱私政策。詳全文

 

#身犯驗證安全 #指紋辨識 #AI

指紋辨識就安全了嗎?研究:AI能產生以假亂真的假指紋

採用指紋辨識的安全設備需要使用者的指紋,因此被認為比設密碼安全,並廣泛用於安全防護的身分驗證,包括門禁系統、電子支付與手機解鎖。但研究人員現在已發展人工智慧繪製而成的假指紋,在一定條件下,像是小面積的指紋辨識,以及辨識解析度低,將將可騙過指紋辨識系統,可能解鎖上述裝置。而這項研究的結果,將用於指紋辨識系統安全的強化。詳全文

 

#BGP流量錯誤設定 #電信網路流量綁架

奈及利亞ISP網路配置出包,Google流量因路由洩露而被導至中國

包括Google搜尋、Google Analytics及G Suite等Google雲端服務,在太平洋時間12日上午發生74分鐘的中斷,主因為流量被導至中國電信,而使得外界一度質疑Google流量遭到挾持。然而,Google指出,是因其他ISP業者公告錯誤的Google Cloud IP位址所造成。奈及利亞的ISP業者MainOne也出面認錯,坦承是在執行預訂的網路升級計畫時,不當配置了邊界閘道協定(BGP),而將屬於Google的前綴(Prefixes)對外公告。詳全文

 

#網釣攻擊 #金融業 #研究報告

Group-IB:俄羅斯銀行正遭遇網釣攻擊

俄羅斯資安業者Group-IB上周指出,俄羅斯的金融組織正面臨兩大駭客集團──MoneyTaker及Silence,發動的大規模網釣攻擊,駭客所寄出的郵件,假冒為俄羅斯央行及俄羅斯的金融電腦緊急應變中心FinCERT,企圖引誘收信方點選附件,以植入惡意程式。值得注意的是,這些郵件的內文與呈現方式都非常類似官方的標準格式,使得Group-IB不由得猜測駭客可能先前受雇於相關組織,並曾入侵銀行員工的電子郵件信箱,才會如此熟悉銀行系統及金融領域的運作,還能仿冒官方的內容格式。

由於這些鎖定金融組織的駭客集團,通常是在尋找金融系統的網路架構漏洞,一旦成功進駐,就可執行攻擊,並藉由ATM、金融卡交易或是銀行間的轉帳盜走金錢,必須注意。詳全文

 

#資安生態圈 #BlackBerry

BlackBerry砸14億美元併購資安公司Cylance

逐漸淡出手機市場的BlackBerry,近年開始往企業商用市場布局,像是商務行動化、物聯網安全等領域。而近期該公司宣布,以14億美元現金併購網路安全公司Cylance。

BlackBerry這次併購Cylance主要有二大目標,首先是整合該家公司的機器學習技術至BlackBerry現有產品線,強化行動端點裝置的安全。第二個目標,則是以該Cylance的嵌入式AI技術為基礎,加速BlackBerry Spark企業物聯網平臺(EoT Platform)的開發。詳全文

 

更多資安動態

安裝再等等!Windows 10十月更新再傳不相容問題,連線網路磁碟機、趨勢防毒都受影響

重新釋出後,一天內又傳出包括連線網路磁碟受影響、趨勢科技防毒軟體不相容,AMD舊版顯示卡的機器無法正常運作等,但微軟已及時著手處理...

日本資安戰略大臣櫻田義孝:我從未用過電腦

櫻田在議會上表示,自從他在25歲建立自己的事業後,都是下指令給助理或秘書,所以他自己不用電腦...

川普簽署法案設立網路及基礎架構安全署,將網路安全事務拉高到聯邦層級

CISA的權責仍同過去一樣負責美國網路和基礎架構安全,但現在升級為和美國特勤局同級的聯邦政府單位,擁有更多預算及更高職權...

國家級駭客橫行,研究:中國、伊朗及北韓駭客最活躍

東南亞是國家級駭客攻擊最猖獗的地區,近年約有20組駭客集團鎖定該區攻擊,國家級駭客不只瞄準關鍵基礎設施,還企圖入侵各國官員的家中運算裝置...

Firefox Monitor整合至瀏覽器,將告知你該網站最近是否被駭

每次用戶到第一次瀏覽的網頁,Firefox會在網址列上顯示,這個網站是否在12個月內是否被通報發生資料外洩...

指紋辨識就安全了嗎?研究:AI能產生以假亂真的假指紋

用AI繪製而成的假指紋,在一定條件下,像是小面積的指紋辨識及低解析度,將可騙過指紋辨識系統。而這項研究的結果,將用於指紋辨識系統安全的強化...

使用者資安意識倒退嚕!75%會在多個應用系統配置相同密碼

身分驗證解決方案業者SailPoint的調查,使用者在多項應用系統中採用相同密碼的情況,比起4年之前還要糟糕,平均每4個人就有3個這麼做...

13款假遊戲登上Google Play,實際上是下載廣告的惡意程式 

這13款遊戲,多以模擬賽車為主,但其實遊戲根本無法執行,還會出現廣告強迫用戶觀看,且居然有超過56萬的安裝次數...

Mobile Pwn2Own駭客競賽第一天,研究人員就把iPhone X給「宰」了

這次競賽共送出32.5萬美元的獎金,得到18個零時差攻擊程式,競賽首日就有團隊透過Wi-Fi攻陷了iPhone X,利用Safari的JIT漏洞與另一個越界寫入漏洞...

11月週二更新來了,微軟這次修補了63個漏洞,13個是重大漏洞

13個重大漏洞中,其中CVE-2018-8589是個藏匿在Windows核心的權限擴張漏洞,可讓駭客在本地端執行任何程式...

臉書報告顯示政府要求的用戶資料大量增加,臺灣政府今年上半也申請了493次

德州醫院遭勒索軟體Dharma攻陷

Windows 10 十月更新不相容於iCloud軟體,蘋果、微軟急修復

研究人員揭露7個Magecart隊伍的攻擊手法,突顯電子購物網站安全性岌岌可危

臉書修補了洩漏使用者和朋友個資風險的漏洞

Google合併DeepMind健康部門引發隱私關切


Advertisement

更多 iThome相關內容