| GitHub | CodeQL | 程式碼掃描 | 漏洞

GitHub公開儲存庫現可免費啟用程式碼掃描服務

程式碼掃描服務使用CodeQL程式碼分析引擎,能夠發現程式碼中的安全性風險,找出諸如遠端程式碼執行和SQL注入等漏洞

2020-10-01

| WSL2 | VPN | Linux

WSL2網路流量在部分情況不受VPN保護,直接洩漏至網際網路

Mullvad發現在WSL2上,即便用戶設定所有流量皆需經VPN保護,但在部分情況下,還是會直接流入網際網路

2020-10-01

| 網釣 | 多因素認證 | 多因素驗證 | 新式釣魚手法

研究人員揭露以回信當誘餌的新釣魚手法

駭客搜尋受害者信箱的郵件對話串再以回覆信件方式發送釣魚信以隱藏身分,讓收件人不疑有他點選惡意連結

2020-10-01

| QNAP | 勒索軟體 | AgeLocker | QTS 4.4.1

Qnap裝置遭AgeLocker勒索軟體鎖定攻擊

攻擊者針對採用舊版作業系統及應用程式的Qnap NAS系統及Linux、macOS裝置發動勒索軟體攻擊,Qnap官方呼籲用戶儘速升級到QTS 4.4.1版

2020-10-01

| 數位身分證 | New eID | 李德財 | 李育杰 | 王仁甫 | 何明諠

一場狗吠火車的數位身分證New eID風險論壇

內政部推動換發兼具自然人憑證功能的數位身分證New eID,主管機關對於政策溝通抱持保留態度,與會者則從資訊科技風險、法律與政策風險以及隱私保護風險等層面做分析

2020-09-30

| 資安成熟度評級服務 | SecPaas | 經濟部工業局 | 工研院 | 智慧製造 | 資安成熟度 | SEMICON | 製造業

助臺製造業找出資安的精進方向,工研院新推資安成熟度自評工具

在今年SEMICON Taiwan國際半導體展的展場中,工研院資安服務整合平臺SecPaaS新推「資安成熟度評級服務」,希望透過成熟度的概念,促進國內製造業在提升資安時能有方向,並媒合製造業與資安專家顧問服務。

2020-09-30

| 網路間諜攻擊 | Palmerworm | BlackTech | 兩用工具 | dual-use tools | 離地攻擊

賽門鐵克:駭客組織對東亞企業發動間諜攻擊,臺灣公司也受害

又名BlackTech的駭客組織Palmerworm,運用Putty、PSExec、SNScan、WinRAR這類兩用工具(dual use tools)進行離地攻擊

2020-09-30

| 資安一周 | 資安周報 | IT周報

資安一周第113期:Windows伺服器Zerologon漏洞已出現實際攻擊。美國公部門最大軟體供應商慘遭勒索軟體RansomExx毒手

0924-0930 一定要看的資安新聞

 

2020-09-29

| CMA CGM | 勒索軟體 | Ragnar Locker

全球第四大貨櫃船運業者CMA CGM遭Ragnar Locker勒索軟體攻擊

Ragnar Locker犯罪組織主要對大型企業發動攻擊,並且會在加密前先行下載取走檔案,以迫使受害單位支付贖金

2020-09-29

| 新加坡政府科技局 | GovTech | iProov | 生物認證 | 人臉辨識 | 臉部辨識

新加坡成為全球首個將人臉辨識納入國民身分認證的國家

持有新加坡數位身分證SingPass的民眾,可透過人臉認證機制來取代密碼,以存取政府或商用組織提供的數位服務

2020-09-29

| Universal Health Systems | UHS | 勒索軟體 | 醫院

美國最大連鎖醫院UHS遭勒索軟體襲擊,病患被迫轉院

Universal Health Systems(UHS)上周末遭到勒索軟體攻擊IT系統,這間財星500大在美、英等地設有超過4百家醫院

2020-09-29

| Zerologon漏洞 | 微軟 | 奧義智慧 | Windows AD | MS-NRPC

Zerologon漏洞風險有多大?臺資安業者警示駭客可輕易在3秒入侵AD主機,微軟也已偵測到實際攻擊活動

對於Zerologon漏洞即將可能帶來的危害,臺灣政府與企業必須重視,美國官方都已要求機關要在兩天內完成修補並回報,近日臺灣資安業者奧義智慧也發出警示,說明該漏洞已有自動化攻擊程式,可讓駭客非常快地駭入AD伺服器,而微軟也指出他們正在追蹤相關攻擊活動。

2020-09-28