0411-0417一定要看的資安新聞

 

#電子郵件標準安全

SMTP不夠安全,Gmail開始採用MTA-STS標準以驗證連線

Google宣布Gmail開始採用新的MTA-STS以及SMTP TLS Reporting標準,強化電子郵件安全性,並在4月10日開始進行Beta測試。

以採用MTA-STS技術而言,郵件伺服器會要求外部郵件伺服器發送訊息,驗證SMTP連線是否使用有效的公共憑證,以及使用TLS 1.2或更高版本進行加密:而TLS Reporting將讓郵件伺服器可以向外部郵件伺服器請求報告,以了解外部郵件伺服器以MTA-STS政策發送信件,成功與否的資訊。不像只使用SMTP協定,則很容易遭受中間人攻擊,使用者電子郵件可能在未被發現的情況下,於兩個伺服器間傳輸被攔截,並且遭到竄改。更多內容

 

#資料外洩 #飯店業

賽門鐵克:近七成飯店網站洩露住客個資

圖片來源/賽門鐵克

賽門鐵克首席威脅研究員Candid Wueest在瀏覽飯店網站時,發現到一些問題可能導致住客的個資外洩,隨後他針對54個國家、超過1500間飯店網站進行測試,結果發現,當中有三分之二的飯店網站,不慎將住客訂房代碼,洩露給廣告商或分析公司等第三方網站。

至於個資外洩的原因,主要問題出在系統設計上。研究人員發現測試的網站中,有57%會傳送確認電子郵件給顧客,當中包含了可直接連回訂房記錄的網頁URL,而此靜態連結會將住客訂房代號和Email信箱附在URL後方成為函式值,其中,還有29%的飯店未加密郵件中的URL。這可能讓攻擊者攔截到郵件,或透過HTTP呼叫中的參照欄,間接分享給第三方網站。更多內容

 

#網站安全 #WordPress外掛程式漏洞 #責任揭露問題

不滿WordPress支援論壇版主的行為,安全研究人員連續公布3個WordPress外掛程式漏洞

有安全研究人員最近藉由Plugin Vulnerabilities平臺,連續對外公布3個WordPress外掛程式的零時差漏洞,陷逾10萬個WordPress網站於安全風險中。值得注意的是,此次研究人員不遵循責任揭露的漏洞公布事件,是為了抗議WordPress支援論壇版的版主行為而起,其中Social Warfare的漏洞公布後,開發人員已經及時修補,但有兩支Wordpress外掛程式──Yuzo Related Posts與Yellow Pencil Visual Theme Customizer的漏洞在公布後,已造成攻擊發生,因此在WordPress外掛程式商店下架,且開發人員還建議用戶應儘快將所安裝的版本移除。更多內容

 

#郵件安全 #網釣郵件

25%的網釣郵件可以躲過Office 365內建的安全機制

圖片來源/Avanan

雲端安全業者Avanan在最近公布的全球網釣郵件報告中指出,他們掃描了5,550萬封寄至Office 365及G Suite的電子郵件,平均每99封電子郵件中,就找到1封網釣郵件。而在他們偵測的65萬多封網釣郵件中,有高達50.7%的網釣郵件含有惡意程式,有40.9%是為了竊取使用者憑證,另有8%目的是勒索,0.4%為魚叉式網釣。

對於寄到Office 365的電子郵件,Avanan該公司也特別分析,他們發現有25%的網釣郵件,能夠躲過Office 365內建的Exchange Online Protection(EOP)安全機制,而採用的手法上,包過將惡意網址拆分,或者是以畸型的郵件形式及附加檔案,讓EOP無法識別。更多內容

 

#無線網路安全 #WPA3

研究人員揭露Wi-Fi WPA3標準的多個重大漏洞

Wi-Fi聯盟去年發表了WPA3的Wi-Fi無線網路加密通訊標準,最近,紐約大學阿布達比分校的Mathy Vanhoef與以色列台拉維夫大學的Eyal Ronen聯手,揭露WPA3的多個重大漏洞。根據他們的說明,WPA3的優點之一是以Dragonfly交握取代了WPA2的4向交握,讓駭客更難破解網路密碼,但他們發現鎖定Dragonfly密碼編碼方式的許多漏洞或攻擊型態,可以在一定距離內讓駭客取得Wi-Fi網路的密碼,因此,也被外界稱為Dragonblood漏洞。幸好目前WPA3尚未普及,且Wi-Fi聯盟也已釋出了修補程式。更多內容

 

#網站登入安全 #FIDO2 #Google

Google將讓Android 7以上手機當2FA安全金鑰

圖片來源/擷取自Google網站

Google在Cloud Next大會上宣布,凡是搭載Android 7.0以上作業系統的手機,在更新Google Play Services後,將可作為安全登入Google帳號或企業用Google Cloud帳號的雙因素驗證(2FA)安全金鑰。目前可預設以Android手機登入的服務是Google Account、Google Cloud、Gmail、G Suite等。另外,Google也建議使用者另外註冊備份用的硬體金鑰,以免手機遺失。更多內容

 

#VPN程式漏洞

多款企業等級的VPN應用允許駭客繞過身分認證

美國電腦網路危機處理暨協調中心(CERT/CC)指出,有多家業者所開發的VPN含有安全漏洞,將允許駭客繞過身分認證機制,存取使用者的應用服務,被點名的業者與產品包括Palo Alto Networks的GlobalProtect Agent、Pulse Secure的 Connect Secure、思科的AnyConnect,以及F5 Networks。而在kb.cert.org網站上,也列出四家業者的聲明或是相關資訊與參考更多內容

 

#網路治理 #ICANN

全球網路治理倡議多重利害關係人共同參與的概念,臺灣近年IPv6成長幅度第一亦成為焦點

圖片來源/TWNIC

由ICANN與TWNIC共同舉辦的合作交流論壇(ICANN APAC-TWNIC Engagement Forum),於本月16、17日在臺舉行,並邀請了NCC、APNIC的代表參與,讓臺灣與國際網路治理的專家,能共同討論全球網路議題。

在這次會議中,談及網路上可搜尋內容的管理,以及杜絕假消息、網路罷凌等,同時也指出捍衛言論自由的重要性,並強調需建立一個多利害關係人共同參與的安全、開放、全球互連網際網路環境。此外,歐盟GDPR的要求為WHOIS服務帶來的衝擊,但兩者精神背道而馳,需制訂新的政策因應,ICANN表示已啟動第一階段的討論。另外,還有像是IPv6、DNSSEC、中文網域與網路內容的管控,並提及臺灣在網路治理、DNS資安防護以及IPv6普及的推動,值得一提的是,TWNIC也指出臺灣在IPv6的成長速度是近年全球最快,排名已升至全球第11。更多內容

 

#工控資安 #開放實測場域

促進臺灣資安工控技術能量,公布第三次關鍵基礎設施資安防護場域實測計畫

為促進臺灣的關鍵基礎設施資安產業發展,協助國內資安廠商快速累積工控安全技術能量,由經濟部工業局委託資策會辦理的「關鍵基礎設施資安防護場域實測」廠商甄選,在4月15日,資策會正式對外發出公告。這樣的計畫在前兩年分別執行過一次,今年是第三次,將延續去年開放國營水、電、油廠的方式,在不影響服務正常運作、不直接接觸工控設備,以及蒐集之資料不外傳的3項原則下,徵選業者進行實測。較特別的是,今年這些場域的開放實測時間,要比去年更長,從一個星期變成一個月,便於業者蒐集更多例行與突發事件的資料變化。更多內容

 

更多資安動態
AdBlock Plus廣告過濾外掛漏洞可被執行惡意程式碼
微軟客服人員遭駭,致部份Outlook.com郵件用戶帳號資訊外洩
Google Chrome計畫封鎖HTTPS網頁下的不安全HTTP下載
Windows安全修補造成跑部份防毒軟體的Windows 7、Server 2012主機無法重開機
微軟Patch Tuesday修補兩個已被開採的Windows漏洞
Google新推出多種身份驗證與存取控制功能,助企業部署零信任安全架構
你的GPS裝置顯示時間正確嗎?如果一切正常,恭喜你安然渡過GPS的時間重置
【2019臺灣資安大會直擊】


Advertisement

更多 iThome相關內容