英国财政大臣Philip Hammond未来5年将砸751亿台币,推动国家网路安全战略
图片来源:Philip Hammond’s Twitter
重点新闻(10月29日-11月04日)
英国未来5年将砸751亿台币,推动国家网路安全战略
英国财政大臣Philip Hammond最近宣布,未来5年将投资19亿英镑(约751亿元台币)推动国家网路安全战略计画,藉此开始进行保护英国经济和英国公民隐私的行动,同时也鼓励企业加强网路攻击的防御。除此之外,英国国家安全局未来也将招募50位网路犯罪专家,对组织型网路攻击行动,提供回应策略。还要建立一个网路安全研究机构,结合英国大学研究人力,共同促进智慧型手机、笔记本电脑和平板电脑的网路安全性,以及大力培养专业网路安全人才。更多资料
?
中国网路安全法草案三审修改,加重境外组织和个人骇客的惩罚
中国网路安全法草案近日进行三审修改,分别修改了四点,首先是界定重要资讯基础设施範围,涵盖了公共通讯和资讯服务、能源、交通、水利、金融、公共服务、数位政府(中国称为电子政务)等产业。其次,针对境外组织和个人增加惩罚条款,凡从事攻击、干扰、破坏、侵入重要资讯基础设施者造成严重后果者,可能遭冻结财产或是其他制裁,还有增加了惩罚网路诈骗等新型网路违法犯罪活动的规定。最后是加强网路安全的人才培养,保护未成年的上网安全。更多资料
?
Google紧急公开Windows零时差漏洞,但微软还没写好修补程式
因Flash漏洞而衍生了一个Windows系统零时差漏洞,让恶意程式可以在设定应用程式视窗样式时,暗中调高权限绕过安全沙盒防护。Google在10月21日发现该漏洞并通报微软,因开始出现实际攻击事件,Google决定先公开不等微软修补程式了。Google此举也引发了微软的不满。但因此漏洞是Flash的衍生漏洞,若已更新了Adobe提供的修补程式也可减缓Windows漏洞的威胁。更多新闻
?
好莱坞iCloud裸照外洩案判决出炉,法院重判骇客18个月
美国一名叫Ryan Collins的男性,在2012年至2014年间透过网路钓鱼的方式,窃取受害者的帐号与密码,进一步藉由恶意软体下载了受害者备份在Apple iCloud上的裸体照片和影片一案,宾州法院在10月27日判决此人犯了电脑诈欺和滥用法,判18个月有期徒刑。Ryan Collins首先向使用Apple、Google信箱的被害人寄发邮件,要求被害者提供帐号与密码,被害者回答后,就可以直接透过电子邮件进入被害者的帐户,并且窃取被害人的裸照和影片,其中大部分被害者是知名的好莱坞女明星。更多资料
?
新恶意程式注入技术Atom Bombing曝光,所有Windows版本都受影响
网路安全公司enSilo近日发现了,一个利用Windows作业系统底层机制,植入恶意程式的新方法,enSilo将其命名为AtomBombing。此方法可以让骇客绕过检查恶意程式的防护软体,合法植入恶意程式。因为这项技术并非系统漏洞,而是利用OS机制的合法执行程序,恐无修补程式,也会影响所有Windows版本,资安公司实测Windows 10有效。目前,仅能藉由监控系统内部API呼叫,来追蹤出恶意行为。enSilo提醒,这类恶意程式植入技术恐将成为自动化攻击工具的功能,而且网路攻击者已经开始以不同的方式进行攻击,一旦威胁已经造成,就必须建立起防御机制,防止产生严重的后果。更多资料
?
捐血也捐个资!?澳洲55万位捐血者个资外洩
澳洲红十字会血液服务(Australian Red Cross Blood Service)坦承线上查询备份资料库内的55万名捐血者资料,可能遭到他人擅自存取。执行长Shelly Park说明,被窃取的档案是2010年至2016年间约55万位捐血者的资讯,里面包含姓名、地址、生日、血型,以及问卷调查中的个人资料。发现个资外洩的缘由是,有人提供微软的技术代言人Troy Hunt一个1.74GB的个人资料档案,才紧急通报澳洲电脑紧急回应中心(AusCERT),才将此事揭露出来。此一意外仅证实了相关档案可随意被存取,并未发现遭到滥用的证据。更多新闻
?
新加坡电信Star Hub遭DDoS攻击,民众3天难上网
新加坡电信业者Star Hub于10月22、24日两天,遭到骇客针对DNS服务系统,进行大规模DDoS攻击,导致民众无法顺利上网,24日晚上才完全恢复网路服务。根据Star Hub初步调查分析网路系统日誌的纪录,发现到这两次的问题,主要是有大量的资料流量进入DNS服务系统,进行有意图的恶意DDoS攻击,导致系统无法负荷,间接造成用户无法顺利进入网站。这场攻击模式与21日美国Dyn遭遇的DDoS很类似,是否为同一群骇客组织所为,Star Hub正在与网路安全专家密切合作,进行彻底的调查,了解这两次攻击的攻击企图和攻击来源。更多新闻
?
中国腾讯攻破Android和iPhone,抱走20万美元骇客竞赛奖金
趋势科技于10月26日在日本举行Mobile Pwn2Own骇客竞赛,其中来自中国的腾讯科恩安全实验室(Keen Security Lab)研究团队,成功在Nexus 6P安装了流氓程式,以及在iPhone 6s结合了「使用后释放」(use-after-free)与记忆体毁损漏洞进行攻击,成功取得iPhone上的照片。整场比赛结束,虽然在iPhone 6s上安装流氓程式失败,但是他们总共获得21.5万美元奖金,并且得到「破解大师」的称号。更多新闻
?
明年10月起,Chrome将强制要求网站遵循凭证透明化政策
Google软体工程师Ryan Sleevi宣布,在明年10月以后发行的网站凭证必须遵循Chrome的凭证透明化政策,才能为该浏览器所信赖。Google在2013年所发起的凭证透明化(Certificate Transparency,CT)专案改变了凭证的核发程序,要求CA必须将凭证写入可公开验证、无法窜改且仅供附加资料的纪录中,以让使用者的浏览器可承认其效力,在造访HTTPS网站时,除非该站的凭证已写入CT纪录中,否则浏览器可能不会显示安全连线的图示。Google表示,此一开放的监控系统将让网域所有人与CA藉以判断相关凭证是否被滥用或遭到误发。更多新闻
?
Adobe抢修已遭攻击的Flash漏洞
Adobe于10/26紧急释出Adobe Flash Player更新程式,以修补一个已遭攻击的重大安全漏洞,该漏洞将允许骇客掌控使用者电脑。编号为CVE-2016-7855的漏洞属于「释放后使用」(use-after-free)漏洞,使用者只要检视一个恶意的Flash媒体档案就可能触发该漏洞,并允许骇客远端执行任意程式进而掌控使用者电脑。Adobe已收到针对该漏洞的攻击报告,目前仅局限在Windows平台用户被攻击。更多新闻
?
?