圖片來源: 

Defiant

1206-1212一定要看的資安新聞

 

#電信網路中斷 #設備憑證到期

Ericsson軟體的憑證到期,造成英國與日本的數千萬名行動用戶無法連網

知名通訊設備製造商Ericsson,在12月6日傳出因軟體瑕疵,讓許多國家的網路停擺,至少有數千萬名行動用戶無法使用數據服務,目前已確定的受害業者,包括英國的O2及日本的SoftBank,且服務中斷長達數小時。之後Ericsson坦言,是因為在不同國家所使用的兩種版本之SGSN–MME軟體的憑證過期導致。愛利信僅表示目前有許多國家被影響,但他們並未公布明確的數字,事實上,除了日本及英國之外,還有其他國家也蒙受其害傳出災情。詳全文

圖片來源/擷取自Ericsson官方網站

 

#網站安全 #殭屍網路

由2萬個WordPress網站組成的殭屍網路正在自相殘殺

圖片來源/Defiant

WordPress的安全外掛程式供應商Defiant上周指出,駭客集團透過4臺命令暨控制(C&C)伺服器,向接近1.5萬臺代理伺服器送出請求,以用來遮掩傳送命令的流量,再將這些命令,傳送到2萬個已被駭客控制的WordPress網站,之後這些WordPress網站,即會對網路上的其他WordPress網站發動暴力攻擊。據分析顯示,這兩萬個被控制的的WordPress網站,幾乎全都是由知名業者代管,而且所有的攻擊都是鎖定WordPress的遠端程序呼叫(XML-RPC)介面。對此,Defiant已向執法機構報案,也建議WordPress用戶最好限制登錄失敗的次數,以免受害。詳全文

 

#HITCON駭客年會 #模擬企業資安防禦

億元設備模擬企業網路環境,HITCON首度舉辦考驗企業資安防禦能力競賽

圖片來源/HITCON

今年12月14日、15日舉辦的HITCON Pacific駭客年會期間,主辦單位首度以企業攻防角度為出發點舉行HITCON Defense「企業資安攻防大賽」,從企業面對攻擊時該如何防禦的角度,並藉由模擬打造企業最真實的網路環境,邀請6個企業的資安團隊參賽,包括金融、電信、電子商務、政府、軍方、高科技製造業等產業。

現場也準備了6套完整的網路設備,讓參賽隊伍可以更真實面對各種網路攻擊,從DDoS攻擊、駭客入侵、蠕蟲擴散、資料外洩到APT攻擊等,參賽的資安隊伍必須在有限的時間內,運用自身能力與經驗,搭配各項資安設備,去找出問題癥結與解決之道。詳全文

 

#瀏覽器安全 #Chrome

Chrome 71出爐,加強封鎖不良廣告、修補43個安全漏洞

Google於12月4日釋出了Chrome 71,該版本主要封鎖了危害使用經驗的不良廣告,針對不明訂閱提出警告,也改善了跟聲音有關的服務,並修補43個安全漏洞。過去Google已曾採取多項措施,針對跳出式廣告或是將網頁重新定向的濫用行為,予以封鎖,但Google坦承仍有超過一半的濫用行為,可繞過Chrome的保護。

現在Google決定徹底阻擋這些經常播放濫用廣告的網站,讓Chrome 71封鎖這些網站上的所有廣告。此外,為了避免Chrome用戶因頁面所呈現的資訊不夠明確,而誤闖訂閱流程,例如要求使用者輸入電話號碼,以藉由電信帳單向使用者收費的服務,Chrome 71將會在使用者進入付費網頁時,跳出警告。詳全文

 

#惡意挖礦 #Mikrotik路由器漏洞

全球遭惡意挖礦程式感染的Mikrotik路由器數量,已激增到41.5萬臺

安全研究人員VriesHD上周透過Twitter宣布,全球已有41.5萬臺Mikrotik路由器遭到惡意挖礦程式感染,感染數量已達到今年8月的兩倍,而且被駭裝置從集中在巴西,到現在已擴散至全球各地,涵蓋歐洲、中東、亞太地區與拉丁美洲。

該研究人員並認為,ISP業者也應該肩負起修補這些路由器的責任,因為大多數的Mikrotik路由器,都是由ISP業者派送給客戶,更新權限仍在ISP手上,或者是客戶也不知該如何更新韌體,因此呼籲ISP業者應儘速採取行動以維護用戶的權益。詳全文

 

#國家通訊安全 #華為 #5G

英國電信業者BT將從現有3G/4G網路移除華為設備,5G網路也將排除華為

英國最大電信業者—英國電信(BT Group)本周宣布,將在兩年內移除現有3G及4G網路核心設備的華為產品,也將禁止華為競標5G網路的核心設備,等於跟上美國、澳洲及紐西蘭的腳步。由於今年中國修訂了國家情報法,英國的情報組織擔心,在核心網路中採用華為設備可能引發國家安全疑慮,再加上美國的警告,都讓BT更加謹慎。此外,本週還有日本政府表態,他們也決定將中國的華為和中興的產品,排除出政府採購清單。詳全文

 

#國家通訊安全 #網路設備後門

不只美國,歐盟也要各國小心華為及其它中國科技業者

根據歐洲媒體的報導,歐盟數位單一市場的副主席Andrus Ansip上周五(12/7)在一場公開記者會上表示,他認為歐盟各國應該小心華為或其他的中國業者。因為,中國制定了新的政策,要求境內的IT企業必須與中國情報部門合作,意謂著他們可能會被強制要求在產品中植入後門,而他一直是反對後門的。Ansip還表示,當企業必須要替某些祕密服務開啟系統時,大家當然應該要感到害怕。詳全文

 

#行動木馬 #點擊詐欺

手電筒等22款Android程式暗藏木馬,下載已破200萬

Sophos上周揭露22款Android程式含有木馬,可受到遠端C&C伺服器的操控,目前駭客主要的目的是利用他們來執行廣告的點擊詐欺(Click fraud),送出偽裝成其他程式及其他裝置的廣告請求,這些Android程式的總下載量已逾200萬次,當中光是Sparkle Flashlight手電筒程式的下載量,即超過100萬次。Google在接獲報告後已於11月底將它們自Google Play上移除。其中,19款是在今年6月上架,另外3款上架超過1年,是在今年6月才被注入惡意程式。詳全文

圖片來源/Sophos

 

#勒索軟體 #微信支付贖金

中國出現勒索軟體首度要求受害者用微信支付繳贖金

近年來勒索軟體攻擊可說是時有所聞,大部分都是在加密了使用者電腦的檔案之後,要求支付比特幣,駭客才願意還原資料。不過,最近在中國,卻出現了一個要求使用微信支付來繳交贖金的勒索軟體Bcrypt,資安業者火絨安全(Velvet Security)指出,自12月1日開始,他們陸續接獲許多用戶遭到攻擊,電腦大部分的檔案都被加密,初步估計約超過10萬臺電腦遇害。詳全文

 

#人臉辨識 #隱私問題 #法律規範

憂小說場景成真,微軟提出六大原則促各國政府立法,為人臉辨識定下遊戲規則

在1949年出版的反烏托邦小說《1984》中,英國作家George Orwell描繪了政府無所不用其極地監控與操縱民眾,微軟於12月6日警告,歐威爾在70年前所勾勒的場景,即將因為現代的技術能力而成真,他們呼籲各國政府明年就應採取行動,立法規範人臉辨識技術的應用,而微軟也列出內部針對該技術的六大原則,包括公平、透明、問責、非歧視、通知與同意,以及合法監督,預計2019年3月正式發表。

同一天,關注AI系統發展的AI Now Institute,也發布了AI的十大建議報告,同樣也要求政府規範及監控AI與人臉辨識技術的發展,特別是所謂的「影響識別」(Affect recognition),這是人臉辨識的一個子類,它能夠藉由照片或影像中的人臉,來偵測人們的個性、內心感受、心理健康或參與感等事物。另也強調大學的AI課程,不應只侷限在電腦科學及工程學科,隨著它持續被應用在社交領域,也應納入社會與人文科學,才能進一步關注潛在的危險。詳全文

 

更多資安動態

臉書內部文件曝光:被指以用戶個資當作籌碼
Google+再現危及逾5,000萬名用戶的隱私漏洞,消費者服務將提前在明年4月關閉
美共和黨眾議院全國委員會官員坦言,期中選舉遭駭,多名助理信箱受到監控
不顧科技業者的反對,澳洲通過反加密法案,賦予政府取得加密內容的權力
蘋果更新iOS及macOS以改善功能並修補漏洞
Adobe緊急修補Flash Player的零時差漏洞
針對GitHub用戶,WhiteSource推出專屬的免費開源軟體弱點管理工具
Google推出了ASPIRE計畫,廣邀外部人員參與Android安全研究
助企業強化資安管理,GCP雲端安全中心平臺開放公開測試


Advertisement

更多 iThome相關內容