2016年趋势CTF攻防赛,台湾团队217打败79国夺冠
图片来源:Trend Micro
重点新闻(11月19日-11月25日)
2016年趋势CTF攻防赛,台湾团队217打败79国夺冠
资安公司趋势科技于本月在东京举办2016全球网路攻防抢旗赛( Capture the Flag ),21日举办总决赛,最终由台湾团队「217」打败来自79个国家的952支团队获得冠军,得到奖金100万日圆(约29万元新台币),并且取得12月台北举行的HITCON CTF 2016骇客大赛决赛资格。今年决赛採取的是「攻防战」( Attack and Defense ) 形式,以近年最常当作网路攻击的形式作为题目,包括物联网 ( IoT )、工业控制系统 ( ICS )、监控与资料撷取 ( SCADA ) 系统、针对性攻击等主题,考验参赛者对这些领域的技术掌握能力。
甲骨文买下遭大规模DDoS攻击DNS服务商Dyn
甲骨文公司在21日在官网发表声明,宣布他们已经跟DNS服务商Dyn签属协议,决定收购Dyn来扩展甲骨文云端运算平台服务,以及为企业提供IaaS和PaaS服务。甲骨文同时在声明表示,收购Dyn之后,双方还是维持独立运行型态,客户和合作伙伴都不会受到影响。然而,甲骨文并未在声明稿说明收购的价钱,无法得知先前Dyn在10月遭到DDoS大规模攻击,造成许多网站无法进入的情况,是否会因为此状况而压低收购价钱。
勒索软体Locky假冒ISP发电子邮件,专攻中小企业
资安研究者Derek Knight于21日发现,骇客会假冒来自ISP的电子邮件,内容是告知使用者最近出现大量的垃圾邮件,并且附上名为「logs_recipients name.zip」内含勒索软体Locky的压缩档,伪装成事件报告,诱拐使用者下载,许多文件被加密成副档名为.aesir,以及将C2格式档案文件更改为/information.cgi。Derek Knigh说明,这次勒索对象有很高的比例是中小企业,并且他也指出Locky的格式从过去的.locky、.zepto、.odin到.shit、.thor,现在又以.aesire格式出现,虽然一直不断地在变化,但这次不是提供新的勒索手法,只是单纯更改文件档案名。
硅谷供应商也加入抓漏奖励行列,高通打头阵
高通近日宣布旗下子公司Qualcomm Technologies已透过HackerOne平台,推出抓漏奖励计画,邀请白帽骇客协助寻找Snapdragon家族处理器、LTE数据机及相关技术的安全漏洞,单一漏洞的最高奖金为1.5万美元。继微软、Google及Facebook等软体或网路服务业者之后,高通是全球首家加入抓漏奖励计画的硅供应商。高通工程副总裁Alex Gantman表示,这几年来研究人员已经透过直接回报漏洞来协助他们改善产品的安全性,儘管多数的改善仍仰赖内部工程师,但此一计画彰显了该公司对安全的重视。
PlayStation Network突停止服务,骇客组织宣称要警告PSN安全不足
游戏服务平台PlayStation Network于23日突然暂停服务,美国与英国玩家无法进入平台登录PSN帐号,然而,这起事件疑似由骇客组织Phantom Squad发动攻击。Phantom Squad曾在去年攻击EA伺服器,以及今年11月初攻击Steam平台。Phantom Squad在Twitter坦言是发起攻击的组织,目的是要警告PlayStationNetwork的安全防护有漏洞。Phantom Squad还宣示,这次攻击PlayStation Network只是一系列攻击的开始,之后会在感恩节当天攻击XBOX的游戏平台。
Akamai:第三季全球破100Gpbs的DDoS攻击有19次
网路Akamai公布最新第三季报告显示,自去年第三季以来DDoS攻击次数增加了71%,其中有19次攻击流量超过100Gpbs,最大一波攻击流量为623Gbps,其次是555Gbps,这两起皆是藉由Mirai傀儡网路透过IoT装置发动的DDoS攻击。同时,Akamai在报告中证实,9月发生资安部落客Brian Krebs的网站「Krebs On Security」发生DDoS攻击事件时,Akamai主动决定将此网站移除在他们安全防护之外,但并未说明移除的原因。Akamai说明,由于IoT发展越来越蓬勃,未来骇客将会透过IoT装置製造下一个最大的DDoS攻击。
骇客假冒Facebook好友私讯,诱拐使用者植入勒索软体
资安研究人员Bart Blaze和Peter Kruse发现,骇客会假冒朋友的Facebook的帐号,透过私讯传送内藏特殊脚本程式的伪造svg图片档给勒索对象,这个伪造图片会打开一个假冒的Youtube网页,并跳出安装下载开启一个内藏有Nemucod恶意程式的Chrome外挂程式「One」的请求,若使用者点下同意安装外挂。Bart同事Peter Kruse进一步证实这个Nemucod程式会暗中下载Locky勒索软体植入受害者的电脑,来加密绑架档案,进而勒索赎金。Bart Blaze建议,如果受到感染后,儘速将扩充程式移除,并且更改Facebook密码,避免再次遭到勒索。
赛门铁克砸23亿美元买个资保护业者LifeLock,进军个资安全市场
赛门铁克于本月20日公布以23亿美元(约740亿元新台币),收购专门提供消费者个资保护业者LifeLock,将从过去仅有保护消费者免于遭到恶意程式感染的服务,转向消费者个人数位安全的保护,例如消费者在网路上的个人资料防护,扩大消费者对于个资安全的保障。赛门铁克在公告上指出,全球超过6.5亿的人曾经是网路犯罪的受害者,越来越多消费者开始重视网路安全,估计在这块市场会增长100亿美元的价值。因此,赛门铁克收购Lifelock也是让赛门铁克得以拓展消费者个资数位安全的市场的第一步。
Google Play service明年停止支援旧版Android系统
Google近期宣布用于更新Google Play App的Google Play services用户端函式库10.0.0版及云端开发平台Firebase Android版用户端函式库10.0.0版将是支援对应Android API Level 9-13的最后一个版本。预计自2017年初推出的下一代函式库(10.2.0)起,将把支援API Level 的底限,由Level 9拉高到Level 14。Google解释,Gingerbread平台推出即将满5年,许多Android App都已经不再支援。最新的支援变更有助于开发人员更有效应用Android平台的新功能,也让Google得以集中资源,提供Android 开发人员更强大、速度更快的工具。
中国锐嘉科的Android韧体遭爆有中间人攻击漏洞,280万安卓装置安全警报响起
AnubisNetworks近日揭露中国业者锐嘉科的Android韧体含有中间人攻击(MITM)漏洞,影响约280万台Android装置。根据卡内基美隆大学CERT的说明,由锐嘉科打造的Android韧体,含有一个特权二进位程式检查空中(OTA)更新。该韧体还有许多用以隐藏执行该二进位程式的技术,类似rootkit行径。由于此一OTA的通讯并未加密,将允许骇客取得根权限并执行任意程式。整理⊙黄泓瑜