專家:太空飛行器也可能成為駭侵攻擊目標

資安專家指出,太空飛行器也將會是駭客入侵攻擊的對象;甚至過去就曾發生多起和太空飛行器有關的駭侵事件。

在全球各種資訊設備都難逃駭侵攻擊時,太空飛行器由於造價昂貴,同時肩負重任,更可能成為駭侵攻擊的目標。

《ID4 星際終結者》是 1996 年賣座大片,電影結局讓很多影迷感到意外:駭客專家利用一台 Mac 筆電將病毒上傳到外星人的母艦電腦,造成入侵外星船艦當機墜毀,因而拯救地球。

這樣的情節當然失之荒誔,但地球人類開發的太空飛行器,會成為人類自己駭侵攻擊的對象,資安專家對此多表同意。

2008 年就曾發生過俄羅斯太空人攜帶中毒 USB 隨身碟,造成太空站中多台 Windows XP 筆電中毒的事件;2014 年九月,美國氣象衛星的資料傳輸管道曾遭 DDoS 攻擊長達 48 小時。

1990 年代更有一個案例:巴西毒販勾結電信專家,入侵美國海軍通訊衛星,使用該衛星做為毒品運販與逃避檢警追緝的通訊管道。

資料來源:

https://www.deccanchronicle.com/nation/in-other-news/270519/space-new-cybercrime-battlefield.html

FBI 指出:2018 年各種網路犯罪造成損失高達 27 億美元

美國聯邦調查局(FBI)指出,2018 年各種網路犯罪案件,造成的損失估計高達 27 億美元。

FBI 轄下的「網路犯罪申訴中心」(IC3)於上個月發表 2018 年網路犯罪調查報告,去年一整年該單位受理超過 35 萬起各式網路犯罪申訴,合計財產損失高達 27 億美元。

在這些網路犯罪案件中,Email 帳號遭竊相關案件多達二萬起以上,造成財損約 12 億美元,是最大宗的網路犯罪型態;犯罪內容以轉帳支付詐騙為主,犯罪手法成熟。這類案件大多透過「社交工程」騙取郵件帳號存取權,進而發動攻擊。

FBI 在報告中也指出,技術支援詐騙的案件數量急速上升。去年這類案件的受理次數接近一萬五千件,較前一年大增 161%,損失額達近四千萬美元;受害者以六十歲以上老人為主。

資料來源:

參與亞太資安論壇 (InfoSecurity)

台灣電腦網路危機處理暨協調中心 (TWCERT/CC) 組長林志鴻參與亞太資安論壇,講授網路威脅新態勢與跨域聯防資訊。

隨著網際網路的蓬勃發展,因為網路犯罪造成之資料外洩的損失正快速成長,因此,資安的重要性越發被企業和使用者重視,根據亞太網路資訊中心 (APNIC) 的統計,企業最對資訊系統最為關心的就是資訊安全。而為了因應資通安全的需求,市面上之資安防禦設備供應商更是數不勝數。然而,即便有高強度之防禦系統,如何將「有做」轉為「有效」,是資安相當重要的一個議題。

對資通安全而言,要讓防禦真的「有效」,必須思考自己所建立之防禦系統究竟是「治標」還是「治本」?企業隨時都需要考慮自己要防禦何種類型的攻擊、攻擊樣態?攻擊樣態是否進行改變?偵測的規則為何、是否有效?以及最重要的是攻擊來源是否有透過相關單位進行處理。舉例而言,放大式DDoS攻擊是駭客透過殭屍網路的方式,大量偽冒目標受害者的IP去針對DNS、NTP伺服器等進行服務要求,導致IP遭偽冒主機會收到大量的要求回覆信息,使其伺服器或主機無法負荷如此大量的訊息而導致服務中斷。一般來說,此種攻擊手法都是以流量限制、流量清洗,以及阻擋透過網路情資所取得的可能為惡意的網域的封包。但這些方法均是治標而非治本,若要真正治本,應針對來源IP進行驗證,確定該IP是否真正屬於請求者,才不會遭受偽冒IP的惡意請求而導致此類偽冒IP的攻擊。另,BGP劫持,可以透過RPKI(Resource Public Key Infrastructure)驗證而大幅減少其威脅。此外,對於DNS劫持攻擊,可以透過將註冊資料鎖定、或隨時監控其網域而避免此攻擊手法的潛在威脅。

然而,針對大多數的資安防禦,都會牽涉到跨域聯防,必須透過彼此之間的互助,方能達到最佳的防禦效果。而TWCERT/CC和國際上許多資安組織都有合作關係,因此,本中心可透過這些資安組織,掌握第一手的資通安全資訊,達到跨域聯防的重要效益。除此之外,若國內企業/組織遭到境外IP攻擊,亦可將相關資訊交予本中心,本中心會將此訊息去識別化後轉給可處理之相關單位,例如企業遭受某國家IP攻擊,本中心可通報該國之CERT組織,並交由該國CERT組織進行相關之處理。目前已有企業透過本中心進行通報後,遭受攻擊之行為有逐漸改善,因此本中心所收之情報量以及來源單位數量都逐漸上升。

除此之外,本中心藉由推動台灣CERT/CSIRT聯盟,整合國內資通安全相關企業,進行資安事件情資分享以及應變通報之交流,以強化國內資安防護能量。目前正持續擴大該聯盟之規模,任何有興趣之企業均可至本中心網站進行了解及聯繫。

在今 (2019) 年第一季,本中心已通報20餘萬筆的資安訊息通報,並且提供相關資安預警資訊。由於相當多的資安事件均來自於網路協定的不完備和網路協定之更新或改版,而本中心洽隸屬於台灣網路資訊中心 (TWNIC),可以透過TWNIC所擁有之網路協定第一手訊息進行資通安全相關預警和通報。例如今年二月份的EDNS事件預警,本中心於1/29便提前獲得情資並發布於聯盟、國內資安分享系統中,較其餘國家—例如美國MS-ISAC以及新加坡SingCERT—都較早通知所有相關單位,以減少此事件對國內所有企業及個人造成之影響。

而針對資安漏洞部分,本中心目前為Root CNA,亦即為MITRE組織認證之CVE編號授權及發放單位,可對資安漏洞進行審核並發放CVE編號。目前本中心已接獲數件由國內自主發現之系統漏洞,在接獲通報後協助發現人和廠商進行協處和漏洞修補後,發放並公告CVE漏洞編號以及發現人於本中心網站。因此,若未來有任何漏洞欲取得CVE編號者,不須透過美國MITRE進行通聯和審核,可通報本中心,經由本中心審核後,便可取得CVE編號並公告於網站中。

TWCERT/CC是台灣所有CERT的協調中心,若有任何資安訊息,歡迎透過官方網站(twcert.org.tw)、免付費電話(0800-885-066)以及電子信箱twcert@cert.org.tw進行資安通報。

2019年5月份事件通報概況

本中心每日透過官方網站、電郵、電話等方式接收資安情資通報,以下為各項統計數據,分別為通報地區統計圖及通報類型統計圖。

通報地區統計圖為本中心所接獲之通報中,針對通報事件責任所屬地區之通報次數比率,如圖1所示;通報類型統計圖則為本中心所接獲的通報中,各項攻擊類型之筆數比率,如圖2所示。

圖1、通報地區統計圖

 

圖2、通報類型統計圖

資安研討會及活動

TANET 2019 – 臺灣網際網路研討會 資訊展望 X 5新啟航

活動時間:2019/9/25 – 2019/9/27
活動地點:高雄國際會議中心
活動網站:https://tanet2019.nsysu.edu.tw/index.php
活動概要:TANET2019臺灣網際網路研討會以「資訊展望、5新起航」為主題。因科技的日新月異,使物聯網絡擴大成熟,經濟和生活將迎來重大變革,同時影響智慧校園的發展,也為教學形式上碰撞出新的火花。本次大會圍繞著五大主軸「物聯新通訊、智慧新生活、雲端新服務、資安新防護、軟體新應用」擴展,全方面探討物聯網絡時代帶來的關鍵課題。
5新議題延伸的子議題涵蓋5G網路通訊、人工智慧及其應用、前瞻資安研發、網路規劃建置、物聯網(IOT)、深度學習、網際網路技術、區塊鏈、軟體工程等多達55個領域,將徵求各方資訊從業人員於本次大會發表優質論文,進行深度探索,交流切磋。大會也將邀請產、官、學界資深專家進行精彩的專題演講,以及各類議題討論、論壇分享、資安體驗營、戶外參訪等活動,藉由不同交流形式,共覽學術面及實務面的最新技術發展,使與會者從5新啟航,激發創意思維,共同展望智能時代的美麗新境界。


2019 AWS 台北高峰會

活動時間:2019/6/12 – 6/13
活動地點:台北國際會議中心 (台灣台北市信義區信義路五段1號)
活動網站:https://amzn.to/2wDxiMc
活動概要:2019 AWS 台北高峰會聚集了各方雲端愛好者一同探討AWS的新技術。在這 2 天的議程裡,您可以深入了解我們的核心主題,也可以選擇參與入門課程來學習新技術。所有的主題將會由AWS技術專家和合作夥伴提供,您將會在現場聆聽他們的豐富經驗!


在 6 月 12 日的 AWS Dev Day,您將會參與一場專門設計給開發人員的半天免費技術活動。無論您是一位開發人員、數據分析師、app工程師或 IT Pro,這絕對是您不容錯過的內容!精彩的活動包括優質的技術課程、實機展示和工作坊,全都由AWS專家特別為您設計。
而 6 月 13 日的活動將會聚焦在 6 個關鍵主題上,全面概括AWS服務內容與其特色。您可以透過各種技術議程和實機展示找到您所需的解決方案,也可以把握機會與其他的雲端夥伴及AWS技術專家一同交流!
除了精彩的議程,現場還有全世界第一個開放給所有人參加的全球自動駕駛賽車聯盟及豐富的展覽。


2019 CipherTech Solution Day

活動時間:2019/6/19
活動地點:維多麗亞酒店-1F 大宴會廳 (台北市敬業四路168號)
活動網站:https://seminar.ithome.com.tw/live/20190619CT/index.html
活動概要:2019 年對資安管理人員來說,是關鍵的一年,極多關鍵的防護工作有待落實。
首先「資通安全管理法」在今年(2019)正式施行。若您的服務單位為公務機關、公營機構、八大關鍵基礎設施提供者或政府捐助之財團法人,即需警覺到資安防護的要求已提升至法令層級,若不合規,恐面臨懲處或罰鍰。
但「資通安全管理法」內含系統與資訊完整性、系統與通訊保護、識別與鑑別、稽核與可歸責性、資通安全防護等細膩要求,意謂您需要做大量功課,須趕緊研究 IDS/IPS、WAF、資料庫稽核、金鑰與資料保護等技術,還得儘速擇優導入,壓力確實不小。
假使您的服務單位正興致勃勃地投入數位轉型,也別忽略 2018 年是史上資料外洩最嚴重的一年,預期今年這些狀況只會繼續,不會轉為天下太平。為避免數位化過程導致資安門戶洞開、釀成機敏資料外洩,您需要認真思考威脅防禦、資料加密乃至金鑰管理的佈局之道。
隨著眾多議題同時發酵,您是否不知從何做起?身為企業資安好夥伴的亞利安科技,將於 6/19(三)舉辦「CipherTech Solution Day 2019」,不僅邀請陳勇君博士針對「資通安全管理法」進行合規要點說明,也將輪番介紹 Thales、Imperva、Netscout 等殺手級解決方案,讓您用適當的解決方案,有效解決接踵而來的資安難題;假使您高度關注資通安全管理法、資料庫加密與金鑰安全防護、威脅防禦等重大命題,這場活動將是您不可錯過的的知識饗宴!


國際資訊安全組織臺灣高峰會

活動時間:2019/7/9 – 7/11
活動地點:集思台大會議中心 (台北市大安區羅斯福路四段85號)
活動網站:http://2019.infosec.org.tw/
活動概要:智慧聯網的時代來臨,許多應用都與資訊安全相關,資訊安全的議題早已跨越了國境的邊界,近來幾次大型網路攻擊事件,不論國內外都引起了許多人的憂心,不論是近來經常發生的勒索攻擊威脅,或是網站遭到資料的竊取,這些都已成為全球性的資安問題,如何因應新興的資安問題所帶來的資安風險,成為我們所關注的話題。
國際資訊安全組織台灣高峰會,由Cloud Security Alliance台灣分會、The Honeynet Project台灣分會以及OWASP台灣分會共同主辦,同步接軌Cloud Security Alliance、The Honeynet Project與OWASP等國際資訊安全組織最新研究成果,提供與會人員掌握全球資訊安全發展脈動與趨勢,會議內容涵蓋雲端服務安全、誘捕資安技術、網站應用程式安全、事件掌握與應變等議題,接軌國際資安社群有助於掌握全球發展趨勢。

CSA Taiwan Summit 2019
雲端安全聯盟(CSA, Cloud Security Alliance)為全球非營利組織,CSA Taiwan Chapter自2011年底於台灣成立,在國內扮演雲端服務安全等新興資安議題的推動者,為了提高國內雲端服務供應商對於使用者信任,配合全球雲端服務安全證書CSA STAR的推動,累積到2017年底止已有七個單位取得此一殊榮,透過第三方驗證的實施,建立公正客觀的量測標準,提高使用者對於採用雲端服務平台的信賴,取得CSA STAR Level 2驗證的單位包括了國內主要電信服務供應商,中華電信、遠傳電信以及台灣大哥,國內最大的資料中心Acer eDC以及國家級研究單位-國家實驗研究院以及國家高速網路與計算中心,東海大學等,皆已獲得國際CSA STAR Level 2頂尖雲端服務安全驗證,投入雲端安全認證的單位亦陸續增加中,已成為全球一致的雲端安全服務標準。
Web:https://cloudsecurityalliance.org/

HoneyCon 2019
The Honeynet Project為誘捕技術與資安研究為主的非營利組織,由The Honeynet Project Taiwan Chapter在國內辦理的誘捕技術研討會,今年的HoneyCon已邁入第十年,自2013年之後成為每年超過400人參與的大型資安技術會議,在2017年更突破了550人次,每年同步辦理的資安實務課程(Workshop)頗受好評,透過實務的課程推廣誘捕技術的應用以及最新的資安技術;誘捕技術的運用,已成為目前應用在資安威脅偵測上的重要方法,針對不同的應用場景所部署的誘捕系統以及誘捕網路,可以搭配資安設備進行進階的預警與防禦,有效的提昇對於資安威脅的預警能力,近年來因應新興的資訊服務,例如:物聯網、關鍵基礎設施等,亦有相當多的誘捕技術發展,今年度的議題,將聚焦於這些新型態的誘捕技術運用,並接軌The Honeynet Project的最新發展。
Web:http://honeynet.org/

OWASP AppSec Taiwan 2019
OWASP(Open Web Application Security Project)為全球主要針對開放網頁應用程式安全進行研究的非營利組織,目前已有超過45,000名的志願參與者,針對頁應用程式相關的資安問題,進行關鍵的研究並發佈相關的研究成果,對於現今以網頁程式運作為主的資訊環境,更顯得OWASP正扮演著舉足輕重的角色;於2017年OWASP重新啟動台灣分會的運作,希望以更積極主動的方式,將國際間的熱闁資安議題,以及研究的成果,透過社群活動、大型會議等方式,分享給國內的參與者,OWASP台灣分會依循全球一致的原則,以中立的角色連結產管學研界,希望凝聚國內資安社群的能量,以接軌國際資安社群,能夠同步發佈全球已公開的研究資料,將有助於改善與提昇國內的資安防禦技能與產業環境。
Web:https://www.owasp.org/


DEF CON 27

活動時間:2019/8/8 – 8/11
活動地點:Paris Las Vegas (Las Vegas, NV 89109, US)
活動網站:https://www.defcon.org/
活動概要:The DEF CON 27 Theme: ‘Technology’s Promise’:
DEF CON 26 was about the inflection point between disorder and dystopia – the moment before the point of no return. The DEF CON 27 theme, in a way, responds to ‘1983’ with new questions. What does it look like when we make the better choice? What kind of world do we hack together in the sunniest timeline? How does our real best-case scenario compare to the future we’ve been dreaming of for generations?
Extra consideration will be granted for submissions that tie into this year’s theme. We want you to hear about your hacks and research, and how will it relate to the discussions below.

1) Cypherpunk and “engineering out of the problem”.:
Tim May was once quoted saying anonymity online would “alter completely the nature of government regulation, the ability to tax and control economic interactions, the ability to keep information secret.” At the time his manifesto was for “both a social and economic revolution” and so began the newly formed “Cypherpunks”. Cypherpunks invented cryptography with the aim of abolishing big brother, but 30 years later we have big corporations in their place. Large corporations have insured that the 21st century hasn’t come without compromises.
Crypto-anarchism is still alive and well today in well known examples like Tor, Freenet, cryptocurrencies, etc. Tell us what you’re doing now to circumvent the future we’re living in? Corporations are developing advanced facial recognition and becoming “the new big brother”. Social media is exchanging a false sense of freedom at the expense of a total removal of anonymity. The Cypherpunk ethos will have to adapt now that we have merged the “instagram-able” life, biometrics, ML, IOT, and micro-targeting. To build a future that doesn’t limit our love of modern technology and socialization at the expense of freedom will require decentralization and anonymity technology breakthroughs. What are you doing to engineer your way out of these problems?

2) “Keep InfoSec out of Hacking”:
DEF CON wants to support the culture of hacking. Between the TV interviews and the assessments we are still the same people with funny names threading the eye of the needle to make the next breakthrough. Hackers have become mainstream, seemingly to leave the underground to make a “legitimate” living. The industry has developed policies for ethical hacking, multimillion dollar pentesting orgs, bug bounty programs, and set the foundations of security for behemoth corporations. Being paid for hacking was the dream, but now it is an industry unto itself that focuses predominantly on enterprise.
DEF CON is a hacker con, not an InfoSec conference. Hackers are more focused on the joy of discovery, irreverence, novel if impractical approaches. InfoSec is more focused on enterprise, frameworks, and protecting the interests of share holders. There is great value in both types of content, but our con is a hacker con by design.
Activities that enable the hacker mindset and demonstrate how to master a certain technique are always going to be selected over a great enterprise InfoSec talk. DEF CON has always tried to provide a way to amplify the work of hackers, to create a venue for research that allows for others to grow. The idea that technology should be free was written into the subtext of “The Hacker Manifesto” and is just as valid today as it was 33 years ago.

3) We want the computer from Star Trek, what we’re getting is HAL 9000.:
At DEF CON 24 we hosted DARPA’s Grand Cyber Challenge, a challenge to the innovation community with a $2M prize to build a computer that can hack and patch software with no one at the keyboard. This was a lot of fun, and yet there were whispers among us of a future where artificial intelligence will render some human jobs irrelevant. We can see ourselves approaching an event horizon of automation. This technology is not without a price, but how do we get to the utopian world where we ask a computer to make us a cup of earl grey without landing ourselves in a black mirror dystopia? Engineers are developing smart home devices with disembodied voices, while hackers are quick to shout tropes of “NSA listening devices”. Is the reckless misuse of technology leading us to a dark future? What can hackers do to help achieve the sunniest timeline?
Above are some suggested topics that loosely align with the theme, we consider all talk subjects. If your talk doesn’t fit in one of these topics don’t worry, the suggested themes are just a starting point. We’ve dozens of speaking slots, the tracks will be filled with a clustering of subjects; hardware hacking, lock picking, mobile hacking, reverse engineering, legalities of hacking, and more.

Intel 處理器再被發現嚴重資安漏洞「ZombieLoad」,用戶請速更新系統,以防機密資料外洩

ZombieLoad 一共由四個和預測執行的安全漏洞有關。利用這些漏洞的惡意程式,可從緩衝區中取得其他程式正在處理的資料;Intel 內部與外部研究人員已經成功利用這些漏洞編寫出攻擊軟體,但目前尚未發現任何駭侵攻擊事件。

Intel 各型處理器再度發現嚴重資安漏洞。和去年發現的「Meltdown-Spectre」資安漏相同,這個稱為「ZombieLoad」的資安危機,同樣發生在 Intel 處理器用以預測執行的指令微碼,駭客可透過「旁路攻擊」取得機密資訊與金鑰。

Intel 2011 年以降的處理器,不論是個人級、企業級或伺服器處理器產品,都有這個漏洞,因此影響的範圍極大;從一般個人桌機、筆電,到服務商的雲端伺服器,只要是採用 Intel 的處理器,都可能成為被攻擊的對象。

Intel 在公布這個漏洞之前,已經和其生態系中的多家廠商共同合作,在第一時間推出修補程式;包括微軟、蘋果、Google、Amazon、RedHat 都已經釋出作業系統修補或更新程式;但如同先前的 Meltdown-Spectre 修補程式一樣,此次的修補程式同樣會降低處理器效能。

據蘋果的實驗結果,如果要達到最佳防護效果,就必須關閉 Intel 處理器的多執行序功能,但這會讓處理器效能大降40%。

  • 影響產品:
    • 2011年後推出的所有 Intel 處理器
  • 解決辦法:
    • 立即安裝各作業系統推出之最新修補程式

資料來源:

  • https://www.intel.com/content/www/us/en/architecture-and-technology/mds.html
  • https://threatpost.com/intel-cpus-impacted-by-new-class-of-spectre-like-attacks/144728/
  • https://techcrunch.com/2019/05/14/zombieload-flaw-intel-processors/

京晨科技網路監控錄影系統存在安全漏洞,允許攻擊者遠端執行系統指令,請儘速確認並進行韌體版本升級

NUUO NVR是一個以嵌入式Linux為基礎的網路監控錄影系統,可同時管理多個網路攝影機,並將影像回傳至儲存媒體或設備。研究團隊發現多款NUUO NVR產品系統存在安全漏洞 (CVE-2019-9653),攻擊者可繞過身分驗證於目標系統上執行任意程式碼。由於NVR系統之handle_load_config.php頁面缺少驗證與檢查機制,攻擊者可透過發送客製化惡意請求,利用此漏洞以管理者權限 (root) 遠端執行系統指令。

  • CVE編號:CVE-2019-9653
  • 影響產品:NUUO NVR相關產品 韌體版本為1.7.x 至 3.3.x版本
  • 解決辦法:
    目前京晨科技官方已有較新版本的韌體釋出,建議將韌體版本升級至最新版本:
  1. 使用官方提供之新版本韌體進行更新,下載連結:https://www.nuuo.com/DownloadMainpage.php
  2. 針對無法更新之NVR系統,請透過防護設備或系統內部設定限制存取來源,嚴格限制僅管理人員能夠存取系統之php頁面,並禁止對該頁面發送任何系統指令與傳入特殊字元。

資料來源:

微軟 SharePoint 漏洞現正遭大規模攻擊

這個漏洞是在今年二月被微軟公開,目前包括沙烏地阿拉伯和加拿大情治單位均已發布受害報告,有政府與私人企業遭到「中國絞肉機」(China Chopper) web shell 攻擊。

美國電信業者 AT&T 的資安研究室指出,該單位觀察到透過微軟 SharePoint 已知水漏洞的大規模攻擊事件。

該單位指出,這些攻擊事件主要利用微軟 SharePoint 的漏洞 CVE-2019-0604。在微軟關於本漏洞的資安報告中指出,駭客可利用這個漏洞執行任意程式碼並上傳、下載檔案。

  • CVE編號:CVE-2019-0604
  • 影響產品:
    • Microsoft SharePoint 各版本
  • 解決辦法:
    • 安裝最新安全更新以修補漏洞。

資料來源:

  • https://www.alienvault.com/blogs/labs-research/sharepoint-vulnerability-exploited-in-the-wild/
  • https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0604
  • https://cyber.gc.ca/en/alerts/china-chopper-malware-affecting-sharepoint-servers

微軟Windows遠端桌面服務存在安全漏洞,允許攻擊者遠端執行任意程式碼,請儘速確認並進行更新

微軟Windows遠端桌面服務(Remote Desktop Services),在Windows Server 2008前之作業系統中稱為終端服務(Terminal Services),該服務允許使用者透過網路連線進行遠端操作電腦。 研究人員發現遠端桌面服務存在安全漏洞 (CVE-2019-0708),遠端攻擊者可對目標系統之遠端桌面服務發送特製請求,利用此漏洞進而遠端執行任意程式碼。

  • CVE編號:CVE-2019-0708
  • 影響產品:
    • Windows XP
    • Windows 7
    • Windows Server 2003
    • Windows Server 2008
    • Windows Server 2008 R2
  • 解決辦法:
    目前微軟官方已針對此弱點釋出更新程式,請儘速進行更新:
  1. Windows XP與Windows Server 2003作業系統雖已停止支援安全性更新,但微軟仍針對此漏洞釋出更新程式,請至下列連結進行更新:https://support.microsof t.com/en-us/help/4500705/custom er-guidance-for-cve-2019-0708
  2. 作業系統如為Windows 7、Windows Server 2008及Windows Server 2008 R2,請至下列連結進行更新:https://porta l.msrc.microsoft.com/en-US/secur ity-guidance/advisory/CVE-2019-0708

資料來源:

  • https://papers.mathyvanhoef.com/dragonblood.pdf
  • https://www.computing.co.uk/ctg/news/3074010/security-flaws-in-wpa3-allow-attackers-to-hack-passwords

提防「殺手USB」破壞電腦設備

資安專家指出,會對電腦設備造成直接破壞的「殺手USB」,可能造成嚴重資安威脅,不可不防。

資安界長久以來就對各種 USB 裝置帶來的資安威脅提出警告,因為 USB 裝置可用以儲存並竊取機密資訊,也可以夾帶惡意軟體安裝到受害電腦上;最近又出現一種能直接破壞電腦設備的「殺手USB」。

據資安媒體 Security Boulevard 報導,最近發生在美國紐約聖羅斯學院 (College of St. Rose) 的攻擊事件中,一名畢業於該校的 27 歲男子將「殺手USB」插入多達 66 台電腦、螢幕和教室的智慧講台,造成設備嚴重損毀,估計損失金額達 58,000 美元以上。

這種「殺手USB」外觀與一般 USB 儲存裝置無異,但插入電腦設備後,就會讓設備電路板上的電容器急速充放電,造成設備損壞。

資安界不斷呼籲用戶注意 USB 造成的資安威脅,但由 Honeywell 發表的統計資料指出, 90% 以上的維修工程師,在維修電腦設備時仍習於使用 USB 裝置;對駭客來說,透過 USB 進行攻擊,遠比透過複雜手法繞過各種網路防毒防駭機制要容易得多。

資料來源: