Crown Copyright
重点新闻(10月22日-10月28日)
强化军用网路安全不手软,英国国防大臣宣布砸百亿台币力推资安
英国国防大臣Michael Fallon于10月20日宣布,英国将投入2.65亿英镑(约104亿元台币),要来根除英国军用系统和相关系统的漏洞。这些资金将用来推动新的网路漏洞研究计画(Cyber Vulnerability Investigations,CVI),以弥补先前成立的国家级网路安全维运中心CSOC的不足之处。英国未来也会与美国签属合作备忘录(MOU),在网路安全议题有更紧密的合作,另外,英国跟法国确认将会在《兰卡斯特宫协议》(Lancaster House Agreement)下共同防卫网路安全。更多新闻
美联储要求:大型银行遭网攻,需2小时能恢复营运
美国联储系统(FRS)于10月19日公布网路风险管理规则草案,提出了5项网路安全标準,分别是网路风险治理、网路风险管理、内部依赖关係管理、外部依赖关係管理和网路事件回应、回复能力与情境感知等。另外,美联储也特别要求,总资本额超过500亿美元(约1,587兆台币)或以上的银行,未来几个月内要做到,银行遭遇网路攻击时,能在两小时内恢复金融业务的运作,此外,更要求网路安全必须作为银行机构企业高层与董事会的首要任务。更多资料
甲骨文大举修补253个安全漏洞,含15个重大漏洞
甲骨文(Oracle)在10月18日发表了本季重大修补更新,大举修补涉及76项产品的253个安全漏洞,其中有15个被列为「重大」(critical)漏洞,安全风险超过9.0(最高为10)。此次修补最多漏洞的是Communications Applications,总计修补了36个安全漏洞, 居次的是MySQL的31个,第三名是Fusion Middleware的29个。虽然本季甲骨文只修补了7个Java漏洞, 但因所有漏洞都不需认证即可远端开採, 被资安业者列为优先修补对象。更多新闻
St. Jude医疗设备发现技术漏洞,影响心脏病患者的生命安全
美国食品药品管理局(FDA)于10月11日要求,St. Jude医疗设备公司回收遭人为送出错误警报而快速没电的植入式心脏电击器(ICD)和心脏再同步去颤器(CRT-D)等两款心脏设备。原本电力可用3个月的设备,若接收到外部错误讯号,可能在24小时内就会耗尽电力而失效。美国已有一名患者因设备异常而死亡。St. Jude回应,已经成立网路安全医疗谘询委员会处理,并且往后会加强网路安全防护,和防止更多的技术漏洞。先前遭资安公司踢爆St. Jude医疗设备公司的心脏相关医疗设备有漏洞,恐遭骇客入侵来操控。更多资料
美国国防部号召千名骇客测试自家网站,找出138个未知漏洞
美国国防部(DOD)于10月20日宣布,与资安公司HackerOne和Synack签订合约,允许超过1,400名注册的网路骇客,对国防部网站进行渗透测试。这份合约是美国国防部向两家公司发起的奖金挑战行动,旨在引进私人公司的网路安全人才和网路安全技术的做法,改进国防部的网路安全技术。这项活动,总共发现138个过去未侦测到的安全漏洞,并且几乎得以修复。更多资料
美国国安局遭窃听20年,前承包商盗走50TB机密资料
美国巴尔的摩联邦检察官于10月20日以反间谍法,起诉美国国安局(NSA)前包商Harold T. Martin III,涉嫌曾窃听国家机密资料长达20年,总共盗走高达50TB资料与6大箱的文件资料。美国政府指控,Martin是使用精细设计的软体工具,不需要安装到电脑上,也能够提供匿名的网路连线,让他在窃取资料的过程能够避免留下数位痕迹。检察官解释,Martin行为不只对美国,也恐对部分人带来人身安全的高风险。美国政府目前并未透露窃盗的资料内容,也无法证明是否将资料转交其他国家。更多新闻
全球网站周末大瘫痪,知名DNS遭到DDoS攻击
DNS服务商Dyn在10月21日遭到骇客大规模DDoS攻击,于10月21日UTC时间11点10分(世界标準时间,台湾时间傍晚19点10分)开始,直到22时(台湾时间周六早上8点)才完全恢复。这起DDoS攻击事件,总共发动两次的大规模攻击,与过去只进行一次攻击的强度截然不同,使得网站当机的时间会比过去更延长,影响层面和时间会更广,导致大多数知名网站,如Twitter、CNN、Github等网站,使用者都无法顺利进入。更多新闻
英情报机构非法蒐集人民个资17年,秘密监控合法化惹争议
英国调查权力法庭(Investigatory Powers Tribunal,IPT)近日判决,英国通讯总部GCHQ、MI5与MI6英国军事情报局在1998年到2015年间,未通报国会,非法蒐集大量的民众通讯与个人资料。然而,去年英国国会已允许英国情报机构可大量蒐集民众资料,使秘密监控行动合法化,这判决的意义是让情报机构祕密蒐集资料行动的事实公诸于世。「隐私国际」(Privacy International)国际组织则批评,这种秘密监控数百万民众的行动并非是必要且适当的。更多新闻
英特尔CPU惊爆漏洞,60毫秒就能破解ASLR保护
约州立大学宾汉姆顿分校与加州大学河滨分校的3名研究人员近日研究报告发现,英特尔处理器出现安全漏洞,60秒就能破解「位址空间配置随机载入」(Address Space Layout Randomization,ASLR)记忆体保护机制。研究人员指出,英特尔处理器的分支目标缓冲区(Branch Target Buffer,BTB)含有一安全漏洞,藉由碰撞攻击(collision attack)就能在处理器核心取得大量ASLR索引表,当可準确预测特定程式的执行位置后即可安排攻击行动,而且只要60毫秒就能蒐集所需的资料。虽然,研究人员使用了Intel Haswell处理器与Linux平台展示攻击,但此攻击理论上也可适用其他系统。更多新闻
微软印度云端步局在进一步,增设当地资安服务中心
继去年在印度设立在地资料中心后,微软近日在印度德里成立全球第7个网路安全促进中心,除了和印度政府合作打击网路犯罪,也将提供微软安全谘询服务。为了扩大云端市场,微软积极祭出3大安全服务的布局,包括提供网路监控、网路威胁侦测和快速的回应与解决网路威胁。更多资料