量子運算讓傳統加密出現危機,而量子加密通訊則以量子力學原理,而非數學複雜度,來安全產生密碼或金鑰。近日,清大前瞻量子科技研究中心團隊公布初步研究成果,並徹底解說其運作。(攝影/羅正漢)

1128-1204一定要看的資安新聞

 

#GDPR

臺灣有望2020年獲得GDPR適足性認定

圖片來源/李靜宜

在去年5月歐盟GDPR上路後,國家發展委員會(國發會)在行政院指示下,已經成立個人資料保護專案辦公室,並成為個人資料保護法的法律主政機關,且在參考歐盟相關文件後,完成歐盟GDPR適足性評估報告,並於同年12月,將評估報告送交歐盟。近日,國發會副主委鄭貞茂在一場論壇中,透露了申請GDPR適足性認定的進展順利,將有望在2020年獲得GDPR適足性認定,一旦臺灣通過,將可讓臺灣境內企業自由與歐盟間進行個資跨境傳輸。鄭貞茂並表示,這對臺灣企業來說,可以不用各別與歐盟申請符合GDPR規範,降低許多企業的成本。更多內容

 

#Docker安全 #挖礦程式

駭客掃描網路Docker植入挖礦程式,還會修改設定與留下後門

圖片來源/擷取自Bad packets's Twitter

愈來愈多關鍵應用搬上Docker,因此這樣的容器環境成為駭客下手的目標。Bad Packets近日偵測到,駭客正在網路上掃描曝露出的API,利用工具Zmap掃描TCP 2375埠、2376埠、2377埠與4243埠,一旦找到受害系統的API,就會利用API端點啟用Alpine Linux容器,執行指令,進而安裝Monero挖礦程式XMRig,並且還會企圖關閉已知的防火牆及其他安全防護。而另一家資安業者SandflySecurity公布的分析則顯示,駭客還會留下後門帳號、SSH金鑰,以及變更主機設定,以便未來更方便控制及存取主機。資安業者建議,用戶應儘速關閉Docker API傳輸埠,並刪除掉所有不認識的容器。更多內容

 

通用弱點列表

CWE公布2019年最危險的25個軟體錯誤

圖片來源/CWE

由美國國土安全部旗下的科學暨技術局(S&T)負責管理,並交由非營利的研發機構MITRE經營的「通用弱點列表」(Common Weakness Enumeration,CWE),當中彙整了最常見、也最嚴重的軟體錯誤,可能導致軟體出現重大安全漏洞,被視為改善網路安全彈性的重要工具。今年,CWE首度把過去兩年來約2.5萬個安全漏洞的分析結果,也納入評估,共有25個2019年最危險的軟體錯誤(2019 CWE Top 25)。其中,第一名為記憶體緩衝區界限內操作的不當限制(CW-119),第二名為網頁生成過程出現不當的中和輸入,衍生各種跨站程式攻擊漏洞(CWE-79),第三名則是不當的輸入驗證(CWE-20)。更多內容

 

#網釣攻擊 #木馬程式 #飯店業

鎖定飯店POS竊取客戶信用卡個資,駭客發動網釣攻擊以植入木馬程式

圖片來源/卡巴斯基

卡巴斯基揭露駭客發動網釣郵件攻擊,專挑飯店POS系統與知名訂房網站植入木馬程式,以竊取消費者資訊及信用卡資料,最新的一波攻擊中,全球已有20家飯店遭到毒手,其中8家位於巴西,其他則散見於歐洲、南美等10國。

卡巴斯基GReAT研究小組指出,他們在2015年首次發現的木馬程式RevengeHotels,在2019年有活動升高趨勢,入侵手法主要是透過電子郵件散布假造的Word、Excel或PDF文件,像是報價單。一經員工開啟,附件中的惡意程式即利用微軟Office舊有的CVE-2017-0199漏洞,透過VBS和PowerShell scripts載入POS系統,並安裝惡意程式。更多內容

 

#勒索軟體 #服務供應商 #醫療領域

提供110家療養院服務的IT業者VCP遭遇勒索軟體

醫療服務供應商已成為勒索軟體攻擊最大宗受害族群,資安部落客Brian Krebs近日專訪了一家正遭遇勒索軟體的業者,名為Virtual Care Provider(VCP),他們是美國110家療養院的IT服務供應商,負責維護8萬臺電腦與伺服器。根據VCP負責人暨執行長Karen Christianson表示,該公司在11月17日被駭客植入Ryuk勒索軟體,導致VCP代管的所有客戶資料被加密,並且幾乎影響VCP所有核心服務,從網路服務、電子郵件、病患資料存取、客戶帳單系統、電話系統,連自家的薪資系統都被牽連。由於勒索贖金高達1,400萬美元的比特幣,該公司無力支付,正在盡全力恢復系統,否則不只自己可能倒閉,還可能連累客戶關門大吉,甚至危及療養院的病患。更多內容

 

#假新聞

臉書遵循新加坡的假新聞法,標註被政府視為假新聞的貼文

新加坡政府在11月下旬,指稱政治評論網站States Times Review對該國政府的報導不實,因而要求該網站更正,但對方拒絕在臉書粉絲頁上更正此一消息,使得新加坡政府轉而要求臉書處理,而臉書則是依照當地《線上虛假與操縱法案》(Online Falsehoods and Manipulation Act ,POFMA)的規定,在該文章的下方作了註解,而這樣的作法也讓外界議論紛紛。

對此,臉書表示,該站是受到POFMA的正式要求,必須讓當地民眾知道新加坡政府認為這是個不實資訊。新加坡政府也透過官方的事實查核網站澄清了該新聞,解釋了文章中的不實指控。而該網站創辦人曾是新加坡居民,現為澳洲公民,他認為,新加坡政府會繼續濫用POFMA法案。更多內容

 

#資安標準

BSI揭露2019下半年最新國際資安動態

圖片來源/BSI

今年的英國標準協會(BSI)舉辦的國際資安標準年會上,他們揭露了2019年的國際資安現況觀察,以及資安隱私標準的新趨勢。其中,BSI臺灣總經理蒲樹盛指出,根據今年道瓊永續指數(DJSI)年度調查,增加網路安全和系統穩定性,以及隱私保護兩個題組,這也意謂著,評比機構對資安管理與隱私保護的重視程度,將變得明確。對於隱私保護的管理,BSI指出新版BS 10012最具參考的指標,而今年新公布的隱私保護管理ISO/IEC 27701標準也是重點,結合了參考與驗證要求,他們並說明了企業導入時需注意的重點。更多內容

 

#資安意識推廣

政府透過4大競賽活動向學生與全民推廣資安概念,今年一系列活動吸引破萬人參與

圖片來源/擷取自2019資安系列競賽網站

為推廣全民資安意識,以及加強大專校院學生資訊安全技術能力,並藉由活動宣導資安訊息,由行政院資通安全處與教育部指導,行政院國家資通安全會報技術服務中心主辦的「108年資安系列競賽」,近日宣布正式落幕。今年舉辦的一系列活動,包含資安技能的金盾獎、資安影片的故事微電影、資安畫作的海報,以及資安知識競賽「CS資安防衛戰」。其中,金盾獎首度開放國高中學生報名,本屆共有131隊參賽,資安知識競賽則是今年首度舉辦,藉由PaGamO平臺進行線上知識問答,期望透過遊戲的方式,增加民眾參與活動的興趣,並提升資通安全意識。而這次舉辦的各項競賽活動,總共吸引了14,082人報名參與,其中新推出的資安知識競賽,就有10,111人報名,大幅提升這一系列活動的參與規模。更多內容

 

#光子 #量子加密通訊

臺灣量子加密通訊技術新突破,專家深入剖析其系統設計與原理

攝影/羅正漢

隨著運算能力遠超現代電腦的量子運算技術出現,現在看似安全的密碼,將能在極短時間內被破解,資安出現新的隱憂,而量子技術的另一發展道路──量子通訊加密,則是實現密碼安全的作法。

目前國際上,對於量子電腦、量子通訊都已研發相當多年,為了讓臺灣可以跟上國際在量子技術的發展,去年開始,科技部將量子技術列為優先補助的項目之一,並協同教育部共同成立前瞻量子科技研究中心。最近,該研究中心的清華大學團隊宣布,已經打造出量子加密通設備原型,在今年7月,已經成功測試25公里室內光纖量子加密通訊,今年9月,更是實現4公里的戶外光纖量子加密通訊。這也意味著,臺灣現在也能自主掌握此一領域的關鍵技術。在該團隊打造的這套系統中,主要利用雷射衰減到一顆顆「光子」,也就是光的最小組成粒子,來傳遞加密所需要的密碼,並配合差分移相協議,做到絕對安全的密碼產生與傳輸。更多內容
 

更多資安動態
Android漏洞可讓合法app被冒充執行,已有30多款惡意程式開採作亂
簡訊服務供應商TrueDialog的雲端資料庫沒遮攔,帳號、密碼、簡訊內容全曝光
Google揭露多個由政府資助的攻擊與虛假訊息行動
研究人員假冒美國鎮長取得.gov網址

 

熱門新聞

Advertisement