資安研討會及活動

2019 CYBERSEC 101

活動時間:2019/9/6(五)、9/20(五)、10/25(五)、11/8(五)、11/29(五)
活動地點:台北市松山區敦化南路一段108號 B2
活動網站:https://cybersec101.ithome.com.tw/
活動概要:CYBERSEC 101 為全新系列研討會,藉由定期舉辦,持續對資安實務做更全面更深入的探討與交流,期能擴大 IT 與資安人員的資安視野,精進資安防禦技能,持續提升企業組織的資安防禦水平。
2019 年 CYBERSEC 101 資安實務研討會的第一場次,將以當前全球最受企業與政府矚目的「NIST Cybersecurity Framework」為主題,透過此一完整涵蓋企業五大防禦構面的資安藍圖,由資安專家帶領 IT 與資安人員,以每個月一個子題的節奏,依序探討NIST Cybersecurity Framework 的五大資安防禦功能(Identify、Protect、Detect、Respond、Recover),完整檢視企業資安防禦的全貌,為企業資安防禦奠定持續改善的基礎。


CDX2.0推廣活動

活動時間:2019/09/10(二) 13:00~16:00
活動地點:臺北市和平東路二段106號4樓
活動網站:https://nchc-cdx.kktix.cc/events/cdxactivity-0910
活動概要:雲端資安攻防平台(Cyber Defense Exercise,CDX)為科技部指導國家高速網路與計算中心(國網中心)執行「資訊安全開放資料平台研發與惡意程式知識庫維運(II)」計畫之一,平台採用雲端服務的架構進行規劃與設計,主要用以改善傳統攻防平台受限於軟硬體限制、管理與使用不易等問題,以虛擬化的架構實現攻防演練場景快速部署的可行性,提供多人多場景同時進行攻防演練之環境,並可提供模擬真實的網路環境用於攻防技術相關研究,讓參與者能夠熟悉與掌握以往曾經發生過的資訊安全事件,並從中學習資訊安全的檢測與分析技巧。


Cyber Attack Taipei Series 2019

活動時間:2019/09/17 (二) 8:00~17:00
活動地點:台北市中山區中山北路二段 39 巷 3 號
活動網站:https://www.eventbrite.com/e/cyber-attack-taipei-series-2019-tickets-68951581035
活動概要:
Threat Intelligence, Cybersecurity, Digital Investigation, Cyber Forensics, Artificial Intelligence, IoT, Machine Learning, BigData, Fintech
About this Event
WHO SHOULD ATTEND

  • Administrators
  • Chief Information Security Officers (CISO)
  • Chief Information Officers (CIO)
  • Chief Technology Officers (CTO)
  • IT Directors
  • Cyber Security Heads
  • Senior Executives in Security
  • Technology and Risk Officers

Network and Information Profiles


9月台北例會-物聯網時代的資安與隱私風險管理

活動時間:2019/09/24 (二) 14:30~16:30
活動地點:台北市信義區基隆路一段143號3樓
活動網站:https://www.caa.org.tw/newsdetail-15994.html
活動概要:
1.物聯網產品資安與隱私風險管理框架介紹
2.組織採用物聯網設備之風險與管理措施
3.組織物聯網設備管理成熟度評鑑方法介紹

主講講師:
姓名:李冠樟
機構:安侯企業管理股份有限公司
單位:資訊科技諮詢服務
職稱:經理
證照:CISA、CISM、CEH、ISO 27001 LA、BS 10012 LA、ISO 20000 LA、ISO 22301 LA、ITIL Foundation
專長:資訊安全管理、資訊系統稽核、個人資料與隱私保護、資訊服務管理、營業秘密保護


9月新竹例會-機敏資料管理實務講座

活動時間:2019/09/25 (三) 09:30~12:30
活動地點:新竹市光復路二段153號2樓
活動網站:https://www.caa.org.tw/newsdetail-15990.html
活動概要:
1.營業秘密與智慧財產的法制要件
2.新版營業秘密法對企業之影響
3.營業秘密的侵害與救濟
4.案例說明與企業應有之防護佈局

講師:
張紹斌 中華民國電腦稽核協會理事長/合盛法律事務所主持律師
證照-中華民國律師、司法官、BS 10012

2019年8月份事件通報概況

本中心每日透過官方網站、電郵、電話等方式接收資安情資通報,以下為各項統計數據,分別為通報地區統計圖及通報類型統計圖。

通報地區統計圖為本中心所接獲之通報中,針對通報事件責任所屬地區之通報次數比率,如圖1所示;通報類型統計圖則為本中心所接獲的通報中,各項攻擊類型之筆數比率,如圖2所示。

圖1、通報地區統計圖

 

圖2、通報類型統計圖

Apple iPhone 的 AirDrop 功能可能洩漏手機門號等資訊

資安研究單位證實,透過低功率藍牙協定進行廣播連線的 Apple iPhone AirDrop 功能,可能洩漏包括手機門號在內的各種資訊。

據資安研究單位 Hexway 的報告指出,非常方便的 iPhone AirDrop 功能,可能洩露包括手機門號、電池容量、裝置名稱、無線網路連線狀況、iOS 版本號碼等資訊。

蘋果的 Mac 和 iPhone、iPad 等產品,有極為方便的「接續互通」功能,讓用戶可以簡單地透過無線方式傳送檔案,或在另一台設備上完成工作;這些功能係透過低功率藍牙和 Wi-Fi 無線連結完成,特別是低功率藍牙的廣播功能。

Hexway 分析 iPhone 發出的低功率藍牙資料封包,發現手機門號資訊係以 SHA256 進行加密傳送;然而駭客只要針對某一區域的所有手機門號預先以 SHA256 加密,得到一個對照表後,再用 iPhone 發出的門號 SHA256 雜湊值查表比對,即可找出你的門號。

Hexway 的報告中,也分析了運用 SHA256 查表法取得用戶 Wi-Fi 密碼或其他資訊的可能手法。

資料來源:

  1. https://hexway.io/blog/apple-bleee/
  2. https://arstechnica.com/information-technology/2019/08/apples-airdrop-and-password-sharing-features-can-leak-iphone-numbers/

駭客公開最新 iOS 12.4 越獄破解資訊

由於 Apple 未在最新版 iOS 12.4 中修補過去已經修補過的漏洞,致使駭客得以發布針對 iOS 12.4 的越獄(Jailbreak)方法。

針對最新版 iOS 的越獄方法,已經很久沒有在網路上公開發表過;這次駭客之所以能對最新版 iOS 發表越獄方法,其實是因為 Apple 未在 iOS 12.4 修補一個已在 iOS 12.3 中解決的安全漏洞。

不少用戶照著公開的方法,也成功破解安裝了 iOS 12.4 的 iPhone。

資安專家指出,過去資安研究者甚少發表 iOS 的破解方法,是因為這些破解方法非常值錢,往往可以賣到幾百萬美元之譜;一旦公布,Apple 很快就會推出更新軟體修補漏洞,讓破解方法失效。

用戶破解 iPhone 主要是希望能讓手機更加個人化(例如使用自定系統字體)、破解系統限制,或是執行某些未在 App Store 中發行的應用軟體;然而這可能帶來相當大的資安風險。

資料來源:

  1. https://www.vice.com/en_us/article/qvgp77/hacker-releases-first-public-iphone-jailbreak-in-years

英國爆發生物辨識資安事件,百萬人指紋、面孔與帳密未加密存放

英國爆發有史以來最嚴重生物辨識資訊資安事件,計有超過一百萬人的臉部、指紋圖像資料、登入帳密等個資,存放在未經加密的公開資料庫中,可任人隨意取用。

以色列資安專家 Noam Rotem 和 Ran Locar 日前發現,英國保全公司 Suprema 旗下的 Biostar 2 生物辨識門禁系統,將其辨識資料庫放在網路上,而且未經加密;只要針對其 Web 管理界面的 URL 略經修改,即可進入資料庫中。

專家指出,資料庫中一共有兩千七百八十萬筆資料,檔案大小高達 23GB,內含資料欄位包括指紋和面部掃瞄資料、面部相片、用戶帳號與密碼、進出記錄、安全控管權限層級等個資,影響人數超過一百萬人。

Biostar 2 與其相關系統的用戶遍布全球,共有 83 國、超過五千七百家公私單位採用該系統。受影響單位包括英國倫敦警察廳、英國各國防相關單位等。

資安專家進一步指出,這個資料庫不但完全未經加密,甚至連基本的權限控管也付之闕如;他們可以任意在資料庫中新增用戶或更改資料。

資料來源:

https://www.theguardian.com/technology/2019/aug/14/major-breach-found-in-biometrics-system-used-by-banks-uk-police-and-defence-firms

第二個 Steam 0-day 漏洞,對近億 Windows 平台玩家造成資安威脅

俄羅斯資安研究員連續公布兩個遊戲平台 Steam 的 Windows 0-day 漏洞,其中第二個漏洞對近一億名 Windows 平台遊戲玩構成嚴重威脅。

被俄羅斯資安研究員 Vasily Kravets 公布的 Steam Windoes 0-day 漏洞,不但能夠提升執行權限,也可用來執行任意程式碼,對該平台上九千六百萬名 Windows 玩家的資安造成嚴重威脅。

Kravets 和另一名資安研究員,日前發現一個 Steam 平台的 0-day 漏洞,同樣可以用來執行任意程式碼,但 Steam 無意修補,兩人於是公開該漏洞資訊。Steam 平台隨即將兩人自其 HacketOne 資安漏洞獎金計畫中除名;Keavets 隨即公布第二個 0-day 漏洞。

Steam 表示,這兩個 0-day 漏洞都必須實際在受害者用戶電腦上進行實體操作,無法遠端進行駭侵操控,這也是 Steam 認為兩位研究者不符 HackerOne 參賽資格的主因;這兩個資安漏洞也已透過更新修補完成。

資料來源:

  1. https://amonitoring.ru/article/onemore_steam_eop_0day/
  2. https://www.bleepingcomputer.com/news/security/second-steam-zero-day-impacts-over-96-million-windows-users/

企業內的 IoT 裝置,是俄羅斯大規模攻擊的目標

微軟發表研究報告,指出該公司發現俄羅斯支持的 APT28 駭侵團體,以企業內的 IoT 裝置做為攻擊跳板。

微軟的資安研究單位 Microsoft Threat Intelligence Center 日前指出,該單位觀測到來自俄羅斯支持的 APT28 駭侵團體(又名 Strontium 或 Fancy Bear),近來對企業的駭侵攻擊,係以企業內的各種連線裝置為目標。

被列入攻擊目標的企業連網裝置,包括 VoIP 電話、網路印表機、網路影音解碼器等。

微軟說,許多企業要不是沒有更新這些裝置的韌體,以修補資安漏洞,就是連這些裝置的預設登入帳密都沒有改掉,給了駭侵團體可乘之機。

一旦駭侵團體透過這些裝置侵入企業內網,就有可能進行更進一步的駭侵行為,鎖定電腦或伺服器進行正規攻擊。

資料來源:

  1. https://msrc-blog.microsoft.com/2019/08/05/corporate-iot-a-path-to-intrusion/
  2. https://www.bleepingcomputer.com/news/security/russian-apt-abuses-iot-devices-to-infiltrate-corporate-targets/

跨國共享工作空間 WeWork, 全球各地使用相同的易猜測 Wi-Fi 密碼

資安專家指出,WeWork 共用工作空間提供的 Wi-Fi 十分不安全,不但使用非常容易猜到的密碼,這套密碼竟然在全球各地的 WeWork 辦公空間均可使用。

WeWork 是最近聲量很高的跨國共享工作空間服務商,最近高調申請股票掛牌上市,然而被資安專家指出其辦公空間提供的無線網路,存有各種安全問題。

首先,在美國與全球各處一共 528 個 WeWork 辦公空間提供的 Wi-Fi,竟然使用非常容易猜測的密碼來進行保護,而且各辦公空間的 Wi-Fi SSID 名稱與密碼都完全相同。

其次,WeWork 的 Wi-Fi 沒有使用更嚴密的加密協定,僅使用非常容易破解的 WPA2 個人版;密碼更是長久未曾更換。這使得任何曾經租用過 WeWork 空間或知道密碼的人,都能輕鬆進入其無線網路,對網路中的其他電腦發動中間人攻擊,或是以相同的 SSID 與密碼誘拐用戶連進其自行設定的無線網路。

資料來源:

  1. https://www.fastcompany.com/90391748/weworks-wi-fi-network-is-easy-to-hack
  2. https://twitter.com/seancaptain/status/1164184574148120581

台灣資安公司揭露多家企業級 VPN 服務漏洞後,駭客用來攔截流量

台灣資安廠商戴夫寇爾(DevCore)公布若干大型企業 VPN 服務商的資安漏洞後,隨即傳出有駭客利用這些已公開的漏洞,駭入兩家 VPN 服務。

台灣著名的資安廠商戴夫寇爾(DevCore),日前在 Black Hat 國際資安研討會上發表研究報告,公開了數家大型企業級 VPN 服務廠商的多項資安漏洞與駭侵測試報告;被點名的其中兩家 VPN 服務商 Pulse Secure VPN 與 FortiGate VPN 隨即傳出被駭的消息。

據報,駭客利用了 DevCore 發表的部分技術細節與概念實作方法,先在 Internet 上掃瞄具有資安漏洞的主機,駭入之後隨即取得這兩家 VPN 的系統相關檔案。

利用取得的檔案資料,駭客即可偽裝成受信任的連線裝置,連入其 VPN 網路。

資料來源:

  1. https://devco.re/blog/2019/08/28/Pulse-Secure-SSL-VPN-advisory/
  2. https://devco.re/blog/2019/08/09/Fortigate-SSL-VPN-advisory/
  3. https://www.zdnet.com/article/hackers-mount-attacks-on-webmin-servers-pulse-secure-and-fortinet-vpns/

近期發生多起假檢警「境外匯款」鉅額詐騙,請小心勿上當

 

近期多件假檢警「境外匯款」鉅額詐騙,被害人年齡大多在50歲以上,事業有成、富有積蓄。接獲歹徒電話後,未加以查證即依照歹徒指示交付現金或(境外)匯款,造成財產損失也增加對自身生活環境之惶恐。

  • 近期案例
    吳女士(58歲)家中經營紅外線機具生意,5月份在家中接獲假銀行行員來電佯稱吳女士證件遭盜用被冒名開戶,表示將協助吳女士轉接檢察官處理,隨後假檢察官謊稱吳女士涉及香港洗錢案、多次傳喚皆未到案,要求被害人提領帳戶存款,交付公證以示清白,被害人信以為真,於108年5月20日至6月25日期間,分別於四家銀行臨櫃匯款21筆至香港(匯豐銀行)帳戶,金額合計美金244萬8,170元及歐元70萬7,000元(初估約新臺幣1億187萬8,270元)。
  • 詐騙手法
    1. 歹徒先隨機撥打市內電話或手機門號,假冒醫療院所、電信局或銀行人員名義,以個人資料遭冒用,再轉接假冒警察、檢察官,佯稱被害人涉及刑案、多次傳喚未到,要求配合辦案、監管帳戶、交付現金或(境外)匯款以證明清白,不配合就要收押等。
    2. 歹徒為避免銀行發現可疑情形,還會以「偵查不公開」為由,引導被害人若有行員詢問領款用途,要以公司購置機具、投資、子女結婚、家中買房子等理由搪塞行員。
    3. 因民眾對司法程序不甚瞭解,待匯款多筆後,聯繫不到假檢察官,始知受騙。

請民眾不要隨便輕信『假檢警』的詐騙,收到訊息請先查證165或相關單位,不要受騙上當