資安周報

資安周報, IT報告

資安一周[0426-0502]:上百萬臺路由器爆發RCE漏洞,一行指令就可繞過驗證機制;資安專家發現Volkswagen及Audi兩款車可以遠端駭入的漏洞

資安公司vpnMentor日前針對大量GPON(Gigabit Passive Optical Network)家用路由器進行分析,發現存在兩個嚴重漏洞,都可讓相關裝置淪為被駭客操控的傀儡網路;資安公司Computest研究人員發現,兩款德國車Volkswagen及Audi有多處漏洞,駭客可以透過漏洞,遠端操控麥克風、揚聲器以及GPS導航系統。

2018-05-02

資安周報, 臺灣資安大會, 機器人遭駭, 資安大調查

資安一週(0310~0316):第一屆臺灣資安館正式開幕,38家國產業者大秀資安軟實力

臺灣資安館展區,共集結了38家廠商,涵蓋人工智慧、威脅情資、大數據、數位金融、滲透攻防、威脅防護、機密保護、資安服務8個面向,展現國內資安產業的自主研發實力,同時展現我國資安產業的蓬勃發展

2018-03-20

IT報告, 資安周報, 資安法, 行政檢查

【資安周報第78期】資安法草案對行政檢查定義不清,引發諸多疑慮

《資安管理法草案》雖然大幅參考個資法架構,卻因行政檢查應有的程序和作法不足,引發立委審查法案時的質疑

2017-11-09

俄羅斯 | 國家漏洞資料庫 | 新聞 | 資安

研究:俄羅斯國家漏洞資料庫所列出的漏洞數量只有已知的10%

根據Recorded Future的調查,截至今年3月底為止,NVD公布10.8萬個CVEs漏洞資訊,但俄羅斯國家漏洞資料庫BDU只公布了1.1萬個漏洞資訊,僅佔全球已知漏洞的10%左右。

2018-07-17

Inbanta | Magecart | RiskIQ | Tickermaster | 新聞 | 資安

售票網站Ticketmaster第三方通訊軟體遭駭,僅是大量竊取信用卡和銀行帳號的冰山一角

傳出資料外洩的售票網站Ticketmaster,6月底宣稱僅有5%用戶受到影響。不過根據美國威脅鑑識公司RiskIQ的研究,這起攻擊事件是專門竊取大量交易資料的駭客團隊Magecart發動,而且影響的程度與範圍,遠超過過Ticketmaster公布的範圍。

2018-07-16

GitHub | Python | 安全通知 | 新聞 | 資安

GitHub將安全通知服務擴大至Python

去年11月,GitHub首先針對JavaScript及Ruby的專案提供安全通知服務,一旦相關專案出現安全漏洞,便會向使用者發出通知敦促修補,現在安全通知服務擴充到Python。

2018-07-16

Azure | SD-WAN | 公有雲 | 新聞 | 網路服務 | Cloud | 資安

微軟加強SDWAN布局,推出Azure Virtual WAN及Azure防火牆公開預覽版

微軟這次釋出的兩個新服務互相輔助,企業可使用Azure Virtual WAN簡化大規模網路部署,並且搭配Azure防火牆實行統一管理政策。

2018-07-16

俄羅斯 | 新聞 | 比特幣 | 美國大選 | 資安

美國起訴12名企圖干預美國大選的俄羅斯人,透露比特幣其實沒那麼匿名

美國指控12名俄羅斯情報局官員,指他們在2016年對希拉蕊及民主黨陣營進行網釣攻擊,再以挖礦取得的加密貨幣支付各項費用,以美國駭客的名義於第三方網站發表竊取的電子郵件等資料,以干預美國大選。

2018-07-16

新聞 | 資安法 | e政府 | 資安

【行政院預告資安法6大子法草案】適法機關落實法遵的參考指引(上)

7月9日展開為期60天的預告後,再將子法送交立法院備查,資安處也會提供子法規定相關的文件範本給機關參考,暫定2019年元旦正式實行資安法

2018-07-16

新聞 | 資安法 | e政府 | 資安

【行政院預告資安法6大子法草案】適法機關落實法遵的參考指引(下)

資安法最重要的子法之一「資通安全責任等級分級辦法」,分成5個等級,依照業務機密程度以及牽涉民眾範圍而制定相關的標準,這是相關單位面對資安事件時,「事前」應完成的任務目標之一

2018-07-16

專題故事 | e政府 | 資安

資安法六大子法草案出爐:翻新責任分級架構,全套法遵執行要求曝光

總統府在今年6月6日正式公布《資通安全管理法》後,行政院資安處快馬加鞭,在7月9日對外預告包括《資通安全管理法施行細則草案》等6個子法草案,依法預告60天,未來包括公務機關以及特定公務機關對於該法的適用,將有更明確的作法外,資安處也會公布相關範本

2018-07-16

StormShield | 次世代防火牆 | 產品評測 | 資安設備 | 資安

【次世代防火牆:StormShield SN510】提供端點設備弱點管理功能,同時可呈現防護政策運作績效

藉由網路流量分析端點電腦潛藏的漏洞,並納入網頁惡意內容防護能力,強化上網安全

2018-07-14

ESLint Scope | JavaScript | npm令牌 | 新聞 | 資安

駭客入侵JavaScript套件ESLint Scope以竊取npm存取令牌

駭客盜用了ESLint的維護人員npm帳號,上傳含有惡意程式的版本,以竊取使用者的npm憑證,使4500個帳號的存取令牌遭竊,已緊急撤銷昨天以前建立的令牌。

2018-07-13

App | IBM X-Force | 新聞 | 木馬 | 資安

IBM:10款惡意程式暗藏木馬,成功潛入Google Play

駭客會先在Google Play商店上傳惡意軟體下載器,待受害者安裝了該下載器後,才將木馬本體載入系統,並以鍵盤側錄的方式,在各應用程式中偷取被害者帳密,接著進行金融詐騙。

2018-07-13

新聞 | 暗網 | 駭客工具 | 資安

暗網販售RDP非法存取IT系統名單,只要10美元就能駭入國際機場

暗網中銷售的RDP非法存取,可能受害的IT系統名單中,涵蓋物聯網裝置、政府機構、醫院及國際機場,只要花費極小的成本就能取得。

2018-07-13

Symantec | 全景軟體 | 憑證外洩 | 新聞 | 資安

面對駭客組織濫用憑證,全景表明已註銷並停用

最近ESET資安團隊指出,早在1年前,全景軟體(Changing Information Technology Inc.)註銷的憑證,竟遭駭客組織BlackTech用來簽署惡意軟體至今。全景軟體發出聲明表示,這個憑證並未用於自家軟體中,至於為何已經撤銷的憑證被遭到洩漏與濫用,經我們後續向全景了解,他們會協同Symantec著手進行調查。

2018-07-13

資安法 | e政府 | 編者的話 | 資安

臺灣資安管理的新標準

資通安全管理法子法草案提出了全新的資通安全責任等級,將遵循機關按照各自業務內容需負起的資安責任分成5級,責任越大者,要求越高

2018-07-13

Chrome | Spectre | 新聞 | 網站隔離 | 資安

Chrome啟動網站隔離機制以防止Spectre攻擊

5月釋出的Chrome 67已預設開啟「網站隔離」機制,以防止利用處理器推測執行漏洞發動的Spectre攻擊,藉由惡意網站竊取其他網站資訊,目前該機制已覆蓋99%的Chrome 67桌面用戶。

2018-07-12