資安人員
」 駭客搶資安人才…公部門受限規範與待遇低 留才不易
不僅公私部門互搶資安人才,還要面對外國拉力,全世界資安人力缺口約為476萬人,較2023年增加19.1%,政府要如何留住人才,成為一大考驗。國民黨立委葛如鈞說,自己認識很多資安專才願意幫忙,還是咬牙留在台灣,但政府如果無法好好照顧產業,確實外移風險會逐步增加。依據國際資訊系統安全認證協會(ISC2)最新資安人力研究報告,全世界資安人力缺口約為476萬人,較2023年增加19.1%。此外,依據iThome於2024年調查,台灣整體資安人力不足比率為24.1%,顯見公、私部門都有資安人力不足情況。為攬才、留才,資安署已簽奉行政院核定資安增支專業加給,自去年起試辦,並持續規畫績效獎金等。葛如鈞提及,AI人才在美國剛畢業起薪就是一年450萬台幣,政府部會找數位方面專才,受限於公務人員相關人事規範,顯得有點綁手綁腳、跟不上時代,過去數發部向所有部會吸IT人才,導致數發部數位能力與市場有落差,政府聲稱要AI內閣、資安即國安,應帶頭做資安人員從優待遇。在育才方面,綠委林楚茵說,每年僅有11%的學生進入資安相關產業,教育與實際操作面有斷點,呼籲教育與產業面應銜接。不過,近來多所國立頂大電資科系招生名額下降,在於教育部調整行政院在109學年推出的「精進資通訊數位人才培育策略」,接下來國立大學以培育高階碩博士為主,學士交由辦學績優的私立大學負責,並將國立大學學士班資通訊擴充名額從113學年度的5%,到114學年度減至3%,導致明年不少國立頂大電機、資工系招生名額少於今年,供需影響尚待觀察。
起薪優!8大公股銀開3000職缺 高薪吸優秀人才捧「金飯碗」
8大公股銀向攬才年輕人招手,今年開出近3000多個職缺,除了一般的金融專業人才,還包含儲備幹部等職缺,部分職缺起薪直達5萬元以上,公股銀主管表示,如果是特殊專業人才如資安人員等,甚至起薪還可以有7萬元,希望藉由高薪吸納優秀人才捧「金飯碗」。公股銀表示,隨著公務員2024年調薪4%,公股銀行今年也多有調薪4%,新進人員也因此受惠,起薪均較往年成長。公股銀紛紛開出職缺向年輕人招手,希望藉以招募到菁英人才。公股銀龍頭台銀今年預計徵才400位人才,不過目前尚未明確。土銀則今年也大舉徵才,開出100到200位職缺,分上下年招考,新進行員大約5職等以上,起薪大約3萬8000元,同時土銀今年同時加碼行員的育兒津貼每胎6,000元,希望以福利政策帶動生育率。一銀大約也開出300多位職缺,包含60位MA,值得注意的是,有別於MA需要碩士學位,這次一銀針對大學生開出菁英職缺,搶攻策略計劃人才,而一銀徵才起薪3萬9738元,將近快4萬元;MA起薪則有5萬4800元,若滿一年還可以加薪數千元。華銀將釋出300到400位職缺,華銀主打招攬科技、資安人才,華銀主管表示,隨著金融科技發展,銀行對科技人才求才若渴,所以如果有特殊專長像是資訊安全等,起薪有機會可以上看7萬元。彰銀目前則開出196個職缺,除了招攬有經驗行員,也有程式設計師、建築電機工程專員等職缺,以建築電機工程專員來說,最高可到8職等,起薪可達6萬6000 元。合庫因應金融數位轉型,今年合庫金旗下合庫資產招募金融科技、資訊與資安等專業人員;而銀行方面為拉攏年輕人也釋出326個職缺,所需要的人才包含一般行員、儲備菁英、金融科技;授信外匯與理財人員等。合庫表示,儲備菁英及一般金融人員不限所學科系,希望可以吸引具跨領域專長、優秀外語能力的畢業生或金融菁英加入金融業。兆豐銀則有300到400個職缺,所需人才風險管理、信託業務、股權投資業務、洗防系統專案管理、業務分析人員及電話行銷主管等;同時持續招募理財人員、電銷業務人員以及資訊人員等。台企銀則是公股銀招募計畫中,預計徵才最多人的銀行,今年開出500個職缺,所需人才包含MA、資訊人員、資訊儲備人員、資安人員、法務儲備人員、防制洗錢交易監控人員、一般金融業務人員等,起薪大約3萬8800元到5萬3500元左右。公股銀表示,新進人員起薪除較往年成長,加計員工持股信託、津貼及健檢補助等,希望透過高薪、好福利能延攬更多金融生力軍加入。
38款App暗藏惡意廣告軟體 隱密作業讓手機「又慢又當」全球3500萬民眾受害
防毒軟體大廠McAfee近日曝光Google Play上面有38款App暗藏大型惡意廣告軟體,這些軟體所暗藏的廣告軟體會在手機背景模式下隱密執行,讓用戶的手機速度下降、發燙,甚至還會引發當機的可能,目前全球約有3500萬名使用者受害。根據McAfee一篇最新的公告指出,McAfee的資安人員在Google Play發現有38款App內暗藏了一套名為「HiddenAds」的惡意廣告軟體。這個惡意軟體是被打包成各類型的手機App上架Google Play後,打著「破解遊戲」,喬裝成知名遊戲,打著免費遊玩旗幟來吸引使用者下載,其中甚至有幾套打著MineCraft的App的下載量達到千萬之多。公告中也指出,這個惡意廣告軟體最常與遊戲打包結合,因為當用戶在用手機進行遊戲的時候,是完全不會注意到HiddenAds在手機背景模式下偷偷執行,並且生成大量的廣告資料。而且HiddenAds會完全隱藏這些生成的廣告資訊,使用者從手機螢幕上根本無法發現任何端倪。根據資安人員的追蹤,他們發現HiddenAds已經在美國、加拿大、韓國與巴西造成嚴重的災情,在全球估計有3500萬人受害。而這些暗藏HiddenAds的軟體在執行後,由於會在手機背景生成大量廣告資料,雖然用戶的個資並不會因此外洩,但大量的廣告卻是會拖慢手機的運作速度,甚至發生降速、發燙、閃退、當機等情況。McAfee也公布了這38套問題軟體清單,呼籲使用者應該在第一時間刪除這些軟體:Block Box Master DiamondCraft Sword Mini FunBlock Box Skyland SwordCraft Monster Crazy SwordBlock Pro Forrest DiamondBlock Game Skyland ForrestBlock Rainbow Sword DragonCraft Rainbow Mini BuilderBlock Forrest Tree CrazyCraft Clever Monster CastleBlock Monster Diamond DragonCraft World Fun RoboBlock Pixelart Tree ProCraft Mini Lucky FunBlock Earth Skyland WorldBlock Rainbow Monster CastleBlock Fun Rainbow BuilderCraft Dragon Diamond RoboBlock World Tree MonsterBlock Diamond Boy ProBlock Lucky Master EarthCraft Forrest Mini FunCraft Sword City ProBlock Loki Monster BuilderBlock Boy Earth MiniBlock Crazy Builder CityCraft Sword Vip PixelartBlock City Fun DiamondCraft City Loki RainbowCraft Boy Clever SunBlock City Dragon SunCraft Loki Forrest MonsterLokicraft: Forrest Survival 3DCraft Castle Sun RainCraft Game Earth WorldCraft Lucky Castle BuilderCraftsman: Building City 2022Craft Rainbow Pro Rain
App Store、Google Play藏85款惡意App 下載量飆破1300萬人次...資安人員揭「手機2跡象」恐中招
廣告詐騙App又偷偷流竄在App Store、Google Play等平台中,安全研究人員指出,有10款惡意程式藏匿在App Store,另有75款則埋伏在Google Play,已有多達1300萬人下載,呼籲用戶若不慎安裝,請盡速移除避免受害。據外媒《9to5mac》、《Bleeping Computer》報導,安全研究人員發現App Store及Google Play上共藏有85個惡意軟體,不僅透過假冒合法App趁機收取高額訂閱費用,更向用戶投放可見和隱藏式廣告,企圖藉此謀利。報導指出,研究人員已通知蘋果和谷歌公司,將這些非法應用程式從官方Android和iOS商店中刪除,並提醒用戶若不慎下載惡意App須盡速移除,以防遭到廣告襲擾。有分析師指出,這些詐騙廣告背後是集團式犯罪,而且這已是自2019年8月首次被發現以來,第三波非法行動。以下是App Store提供的10款應用程式,分別為Loot the Castle、Run Bridge、Shinning Gun、Racing Legend 3D、Rope Runner、Wood Sculptor、Fire-Wall、Ninja Critical Hit、Tony Runs。此外,安全研究人員提醒,用戶若發現某些特定的應用程式消耗電力過快、行動網路使用量增加,或有不熟悉的安裝程式,都有可能是不小心下載了此類詐騙App。
7款惡意軟體偽裝成生產力APP 資安人員籲:盡快刪除
蘋果推出的Mac相關產品一直深受影片剪輯、設計等生產力工作者的信任,不過近日國外資安人員發現,大陸開發商推出多款惡意訂閱的生產力APP,用戶在收到帳單才知道被盜刷,其中1款還在美國教育類APP,下載量排名第1。資安人員Privacy1St近日發現,Mac的App Store中藏有7款偽裝成生產力APP的惡意軟體,其中有「PDF Reader」、「PDF Reader for Adobe PDF Files」 、「Word Writer Pro」、「Screen Recorder」 、「Webcam Expert」 、「Streaming Browser Video Player」 、「PDF Editor for Adobe Files」。而「PDF Reader」在Windows作業系統相當常見,因此Mac用戶在App Store下載時也不疑有他地使用,在美國APP Store教育類APP中排名第1,用戶直到帳單寄來時,才發現該APP擅自高額服務。Privacy1St指出,這類的惡意APP可以透過伺服器接收指令,一旦被批准安裝到MAC上,惡意代碼就會被啟動,而這7款APP的明面上開發者帳戶都不同,但都採用Cloudflare隱藏託管服務提供商,並透過相同的付款方式。因此Privacy1St認為7款惡意APP都是來自同個開發者,還會利用假帳號留下體驗極佳的評語,以取信不知情的用戶下載,呼籲Mac用戶如果有下載上述APP,應該盡快刪除。
駭客不手軟1/2021年贖金增5倍 資源庫斥2,900萬懸賞首腦
受到新冠肺炎疫情影響,幾乎全球民眾的工作型態、生活習慣都被迫改變,各大企業開始遠端工作,也讓勒索軟體有機可趁,一直到2022年,相關資安攻擊持續發生,除了鴻海墨西哥廠傳出被攻擊外,國內IC設計大廠鈺創也在受害者名單內。根據Sophos發布的《2022年勒索軟體現況》報告指出,在2021年有66%的受訪組織遭到勒索軟體攻擊,高於2020年的37%,且支付的贖金增加500%,其中還有11%的組織承認支付100萬美元或以上的贖金給駭客。英國資安業者NCC Group日前公布的勒索軟體威脅報告顯示,曾經相當猖獗的LockBit,在2021年中以LockBit 2.0重新出現,可以在3小時內加密25台伺服器及225台電腦,光是在2022年4月全球就有103個企業受害。其中鴻海集團旗下位於墨西哥Tijuana的工廠,也在5月底遭LockBit 2.0入侵,鴻海6月3日出面證實,表示對集團營運影響不大,該廠是鴻海在2009年自Sony手中取得,原先是生產液晶電視的工廠,目前主要用於零件集散、貿易。不過在6月28日傳出LockBit已經進化到3.0,全球最大惡意程式原始碼、樣本及研究報告資源庫的vx-underground,特別發出抓漏專案,鼓勵駭客、資安人員找尋LockBit 3.0的官網、工具以及安全漏洞,如果能辨識出該組織首腦身份,更可以獲得100萬美元(約新台幣2,900萬元)獎勵。除了鴻海墨西哥提華納廠遭攻擊外,受惠於遠距教學、在家辦公議題以及歐盟統一USB Type-C傳輸規格的IC設計廠鈺創(5351),在疫情期間股價屢創新高,也傳出遭到Cuba ransomware攻擊,駭客組織在6月24日釋出其內部檔案。
台灣資安新秀成軍3年 被國際漏洞揭露計畫招為No.1管理者
主要維護通用弱點揭露計畫(Common Vulnerabilities and Exposures, CVE)的國際非營利組織MITRE Corporation,近日授權台灣資安公司ZUSO如梭世代成為CNA(CVE Numbering Authority)編號管理者之一,是目前台灣第1間被認可的資安團隊。目前全球有217個單位組織加入CNA,而如梭世代是台灣第1個申請通過弱點研究者(Vulnerability Researchers)的資訊安全團隊(全球共 43 個單位組織)外,也是亞太地區第5個核可的團隊。通用弱點揭露(Common Vulnerabilities and Exposures, CVE)是專門收集資安弱點,並給予編號的資安資料庫,可以協助全球資安人員查閱現有已知弱點,辨識軟硬體產品的安全弱點,由CNA負責分配弱點編號。長期專注於資安技術研究的如梭世代有10年以上駭客攻擊手法與威脅分析經驗,擁有完善的弱點通報規範與分析弱點的通報能力。特別是在弱點揭露方面,堅持公開透明準則與道德規範,一旦發現未公開的弱點,即與廠商溝通弱點技術細節並預期於90天修補,修補與揭露時程可依情況彈性調整,力求與產品原廠進行技術和良性交流,讓產品弱點有足夠時間執行修復。創辦人洪睿荃指出,公司自成立以來一直深耕於資訊安全技術領域,持續充實資安研究量能,此次成為Vulnerability Researchers類型的CNA夥伴證明如梭的 資安能力備受國際認可。
華視跑馬燈出大包稱「共軍襲台」 調查局緊急約談「2關鍵人物」查出失誤原因
華視新聞昨(20)日晨間新聞下方跑馬燈,突然出現共軍開戰的訊息,引發外界譁然,經媒體報導後事件曝光,也讓華視緊急發出聲明,隔離中的代理總經理主播陳雅琳也緊急錄製影片道歉,並自請處分。而調查局也展開調查,約談當時當班的導播與字幕人員,確認當時並未受到外力入侵,而兩人也無刻意散播假訊息,最後訊後請回。華視新聞出大包,跑馬燈竟出現新北市遭共軍導彈擊中的荒謬訊息。(圖/翻攝自華視新聞YT)華視新聞的跑馬燈出現共軍打來的聳動字句,讓不少觀眾一頭霧水,如「中共備戰頻繁,總統發布緊急命令」、「受戰爭影響各地爆發民生用品搶購潮」、「新北市遭共軍導彈擊中」,引發民眾的恐慌,更挑起兩岸議題敏感神經,讓不少觀眾都相當吃驚。華視也在事件爆發後,緊急發出道歉聲明,表示因相關工作人員誤將新聞快訊內容,誤植為新北市消防局委託提供的防災演練訊息文字,該防災影片由新北消防局委託華視錄製。而調查局資安人員,則在第一時間掌握消息後展開調查,連同台北市調查處通知相關2名工作人員,通知蔣姓導播與劉姓字幕人員到案,了解有無刻意散播假訊息的意圖,最後發現兩人是單純失誤,訊後請回。主播陳雅琳身為代理總經理也自請處分。(圖/翻攝自陳雅琳臉書)代理總經理陳雅琳也透過影片鞠躬道歉,她表示華視在第一時間已經緊急向觀眾澄清並致歉,「因原本是新北市消防委託防災宣導的內容,應該在防災宣導錄影結束後,刪除不再使用,但當時導播錄影結束後,沒有將連結路徑恢復,導致隔天新聞播出時,出現了錯誤內容」,針對此事必定會深切反省與檢討,相關失職的人員、主管、經理會進行最嚴厲的處分,同時也會配合NCC的調查,身為華視代理總經理的她也自請處分,為此事件負責。
Windwos新漏洞「涵蓋全版本」 駭客短時間「搶走你電腦」
微軟旗下的作業系統Windows近期爆出最新的零時差漏洞,只要駭客取得擁有部分登入全的用戶帳號,就可以透過這個漏洞將自己升級為電腦管理員,進而在短時間內掌控目標電腦。而這個漏洞涵蓋所有版本的Windwos作業系統,其中也包含現行熱門的Windwos 11、Windows 10與Windows Server 2022。綜合外媒報導指出,資安人員Abdelhamid Naceri先前發現微軟作業系統中存在有Windows Installer的權限擴張漏洞「CVE-2021-41379」,經過研究後認為,透過CVE-2021-41379可以更新的方式,讓有心人士取得電腦的最高管理權限。Abdelhamid Naceri在發現後就依照慣例提交給微軟,而微軟也在11月9日發布相關修補程式。但後來Abdelhamid Naceri研究後,發現微軟所發布的CVE-2021-41379漏洞修補程式並沒有妥善修補,事實上,在11月9日發布的更新程式中總共修補了55個安全漏洞,CVE-2021-41379僅被列為「重要漏洞」而非「重大漏洞」或是「零時漏洞」。再加上微軟降低了給予Abdelhamid Naceri的抓漏獎金。認為自己的發現沒有受到微軟重視的Abdelhamid Naceri,就在22日釋出了概念性驗證攻擊程式。Abdelhamid Naceri所發布的軟體,可以繞過9日微軟發布的更新,依循同樣的漏洞對電腦展開攻擊。國外媒體實際測試的情況下,也證實只需要幾秒鐘的時間,就可以將手上僅有訪問權限的使用者帳號,提升至擁有系統管理員權限的管理者帳號。而對於Abdelhamid Naceri的行為,其實也有不少資安人員有所共鳴,他們也紛紛抱怨微軟對於抓漏獎金的隨意調整,甚至大幅度的降低獎金金額。而隨著Abdelhamid Naceri的概念性攻擊軟體釋出後,思科Talos資安團隊就在23日發現已經有駭客使用該漏洞打造的攻擊程式樣本。思科Talos資安團隊表示,目前看到的軟體偏向是實驗性質,推測應該是有駭客團體打算在測試與調整後,進行大規模的攻擊。
使用者行走坐臥「臉書、IG全知道」 資安人員建議「趕快刪除」
雖然在新版的iOS協定中,使用者可以禁止App追蹤與收集數據,但是近日有資安人員發現,iOS版的Facebook還是在「秘密」收集用戶的敏感數據,甚至還會透過手機加速計(Accelerometer)來監控使用者行走坐臥等行為,甚至可以以此掌握用戶在特定時間、地點所做出的特定行為,嚴重侵犯用戶隱私,資安人員也呼籲使用者最好趕快移除Facebook App。根據《富比世》報導指出,資訊安全人員巴克里(Talal Haj Bakry)與邁斯克(Tommy Mysk)日前提出警告,內容中即便使用者透過新版iOS協議來禁止App蒐集、追蹤用戶資料與數據。但是Meta(原名Facebook)旗下軟體Facebook、Instagram和WhatsApp還是一直在讀取加速度計的資料,而他們可以透過讀取這些資料,再加上將同類型結果的用戶進行分組,就可以判斷使用者現在的行為。巴克里與邁斯克還針對TikTok、WeChat、iMessage與Telegram等軟體,均沒有發現類似的情形,只有Facebook與Instagram在資料蒐集方面相當突出。報導中指出,與其說Meta正在打造一個元宇宙,還不如說他們正在打造一個「數據宇宙」,考量先前Meta就曾因為多次過度收集用戶隱私作為廣告投放用途,兩位資安人員相信,Meta會廣泛的收集這些資料一定是有其目標存在。至於要如何遏止Meta旗下軟體過度的資料收集,兩位資安人員表示,目前為止看起來只能建議使用者移除相關軟體、改採用網頁版服務。或是等到新版作業系統針對這一系列鑽漏洞的行為進行規範與限制。
大頭症?蘋果不理會安全漏洞回報 資安人員怒揭3處缺失
國外資安人員在今年3至5月時先後向蘋果通報4處關於iOS15的漏洞,根據資安界慣例,蘋果應該要承認漏洞並且公開資安人員的回報且提供對應獎金,但蘋果僅處理其中1項漏洞,且沒有公開其貢獻,甚至另3處漏洞遲遲未修正,該名資安人員對此不滿,直接公開剩餘3處漏洞。暱稱「IllusionOfChaos」的資安人員指出,在2021年3至5月間向蘋果回報4處關於iOS 15的安全漏洞,其中1處名為「Analyticsd」,主要關於App在未經用戶同意下可以自行存取iPhone的隱私iOS分析資訊。雖然蘋果已經在7月的更新中修正,但在公告中並未提及他的貢獻,因此向蘋果反應,蘋果承諾在下次更新會補上資訊,但蘋果在接下來3次更新都沒有履行。且剩餘3處安全漏洞也未見蘋果進行處理,根據資安界回報安全漏洞的緘默期慣例,Google為90天、ZDI(Zero Day Initative)為120天,但從回報至今已經超過上述的時限。其中1個名為「Gamed 0-Day」的漏洞,甚至可以允許App Store下載非經授權的Apple ID、信箱、帳號、驗證以及聯絡人資料庫等,讓iPhone的隱私全都被擷取。因此「IllusionOfChaos」就在上週公開漏洞,蘋果一直到週日才聯繫,表示內部已經在處理漏洞,並對於遲未回應感到抱歉,將會妥善處裡;不過資安社群有用戶透露,蘋果此舉已經不是第一次,常會選擇性忽略安全漏洞回報。
綁定五倍券小心被駭 資安專家:「三不三要」保荷包
五倍券在22日已經開始數位綁定,許多民眾在尋找優惠的綁定端的同時,容易忽略資安問題,還沒拿到五倍券銀行帳密就被駭客盜用,橘子集團旗下果核數位資安團隊,提供「三不、三要」原則保護民眾荷包。果核數位資安團隊6月時針對國內前20大金融單位以及Google Play架上金融APP進行實際白帽Debugger測試統計(白帽駭客意指透過技術發掘漏洞,並進行補強的資安人員),發現有高達6成業者的「防記憶被偵測」功能是失效的,而這可能成為駭客入侵的一大隱憂。在過去三倍券推出時,相同的手段已是詐騙或駭客常用的手法,因此,振興五倍數位券綁定時可能衍生的潛在資安問題也必須重視;果核數位顧問林玄紹提出「三不、三要」原則,來提醒消費者在上網、進入APP數位綁定前,務必多加注意。三要1. 要確認要下載的APP真實存在,不隨意進入2. 要確認APP擁有MAS認證(經濟部通訊產業發展推動小組行動應用資安聯盟,通過認證機構可透過官網查詢)3. 要做好研究,了解曾被破解的APP訊息與案例,避免受害三不1. 不貪圖優惠-不貪圖方便,於不明平台下載APP2. 不輕易存取-對APP要有敏感度、不輕易輸入、存取3. 不鬆懈警覺-提高警覺、隨時更新最新的軟體系統與資安防護林玄紹解釋,在進入網頁或者APP時,民眾如果發現介面過於簡單、粗糙或者需要填寫過多詳細資料時,很可能就是駭客組織製作的釣魚網頁、APP,必須再次確認是否為官方通道。
網路釣魚和勒索病毒攻擊頻傳 84%企業過去1年曾遭殃
根據最新的調查,隨著疫情帶來的遠距工作模式普及,加重了網路釣魚和勒索病毒威脅的力道,研究也顯示,半數的美國企業機構皆無法有效對抗網路釣魚和勒索病毒威脅,更有超過84%的企業過去一年曾遭遇網路釣魚和勒索病毒威脅。趨勢科技委託Osterman Research的研究調查中,專訪了130家北美中大型企業機構的網路資安人員,針對勒索病毒及網路釣魚相關的17項關鍵項目,從最佳實務領域防止端點感染惡意程式,到確保所有系統迅速套用修補更新等來加以評分,並發現84%的受訪資安人員表示,至少曾經歷過其中一種攻擊。這份報告最後得到有50%的受訪者認為他們無法有效全面防護網路釣魚和勒索病毒、72%認為他們無法有效防止家用網路成為駭客攻擊企業網路的管道、僅有37%認為他們能落實研究中所列的11項最佳實務原則。趨勢科技指出,網路釣魚依然是駭客攻擊的首要管道,雖然網路釣魚可能只是勒索病毒攻擊的第一階段,但也可能是變臉詐騙,或者導致受害者感染各種惡意程式,如:資訊竊取程式、銀行木馬程式、間諜程式、挖礦程式等。勒索病毒已成為一種現代流行病,不論政府機關、醫院、學校、私人企業或任何組織存在著可被勒索的弱點,並且有能力支付贖金,都可能成為目標而遭殃。勒索病毒攻擊最常見的結果就是資料損失,並伴隨著嚴重的IT服務中斷。隨著網路釣魚和勒索病毒攻擊的高成功率,意味著這兩項問題在未來幾年將更加嚴重。
遭駭不重訊4/製造業資安太脆弱 立委:國家隊要動起來
台灣最重大的資安事件發生在二○一八年八月,受害者還是「護國神山」台積電。當時由於一名操作人員未依照SOP掃毒新進機台,導致名為「WannaCry」的勒索軟體趁隙侵入,造成三大廠區部分機台停擺三天,損失高達新台幣五十二億元。台積電二〇一八年發生新機台被勒索軟體入侵危機,所幸在四十五小時內就處理妥當。(中)台積電總裁魏哲家(圖/報系資料庫)一名資安人員感嘆,許多製造業大喊「工業四.○」口號的同時,卻仍把老舊設備系統連上網,這就是悲劇的開始,「因為這些老舊的設備系統,真的很脆弱,相當容易被發現資安漏洞。很多台灣企業只顧著賺錢,而罔顧建置資安設備,維護資安對他們來說,就是成本的額外支出。」立委高虹安指出,自去年新冠疫情爆發後,線上購物、宅經濟、雲端等服務倍增,卻也讓駭客有了可乘之機,甚至有駭客組織提供「勒索軟體即服務」(RaaS)的攻擊服務,大肆招攬生意。2018年,台積電的新進機台中藏有WannaCry勒索軟體(圖),導致3大廠區停擺,損失52億元。(圖/讀者提供)高虹安呼籲,行政院既然在去年底已成立「資安國家隊」,就應該盡速針對勒索軟體氾濫的問題,提出解決方案,如果不快點動起來,勢必嚴重影響高科技產業的發展,駭客攻擊除了會損害企業商譽而失去訂單,也會造成股價波動,影響民生經濟。
蘋果被要求應用程式不得出現「台獨」 中國用戶資料存入國營企業
近日《紐約時報》推出一篇調查報告,內容指稱美國科技巨頭蘋果正在對中國政府低頭,除了被要求應用程式中不得出現「台獨」等資訊外,同時也要求將中國用戶的資料存放在國營企業中的資料管理中心,紐約時報認為此舉根本就是將用戶資料交給中國政府。根據《紐約時報》報導指出,大中華地區的銷售,大概佔蘋果整年度五分之一的營收,但中國政府疑似以此作為談判籌碼,逼迫蘋果同意中國政府違反自由隱私的要求。但由於這方面一直沒有直接明顯的證據,所以《紐約時報》訪問了17名現任與前任的蘋果在職員工,以及4名專家資安專家,透過拼湊的方式,還原蘋果執行長庫克為了業績而屈服中國政府的要求。報導中指出,在中國於2017年開始實施「網路安全法」之後,庫克已經同意將中國用戶的個人資訊存入中國國營企業管理的資料中心中,這個伺服器位於貴州省貴陽市,預計在6月完工。同時,這個資料中心是由中國政府所控制,蘋果也同意將能解鎖中國用戶個資的金鑰存放在資料中心內,同時放棄原有的加密技術。就有資安人員表示,此舉形同蘋果幾乎無法阻止中國政府存取中國用戶的相關個資。除此之外,從2009年至2016年掌管App Store的舒梅克(Phillip Shoemaker)表示,蘋果在中國的律師,曾經列了一份「議題清單」給他們,要求在應用程式中不得出現相關資訊,其中包含了天安門、台獨、藏獨,而蘋果方面也承諾,只要律師認定涉及中國敏感議題,蘋果方面就會下架。舒梅克也回憶說到,他多次因此在半夜遭人喚醒,要求移除特定的應用程式。曾在美國國家安全局(NSA)任職的資安專家沃德爾(Patrick Wardle)表示,蘋果也曾協助中國政府宣揚他們的世界觀,過去曾有段時間,在iPhone上輸入台獨會造成手機閃退。而根據紐約時報的追蹤分析,發現在蘋果中國的App Store上有5.5萬款應用程式無故失蹤,但是在其他國家的App Store上還可以找尋到。
台企淪肥羊2/你找漏洞他勒贖 駭客分組夾殺展開「世上最瘋狂攻擊組織」
市值1.66兆元的鴻海、筆電代工一哥廣達、筆電大廠宏碁、全球最大半導體封測廠日月光等電子大廠,半年來陸續遭駭客組織REvil入侵、勒贖近45億元台幣。資安人員判斷,REvil旗下應該主要有兩組駭客團體共同合作,鎖定廠商後再分組夾殺,REvil攻擊廣達的行動,竟自詡是「有史以來最瘋狂的攻擊」,囂張程度令檢調及資安人員咬牙切齒。資安人員指出,REvil攻擊廣達時,先由一組駭客團隊負責找出資安漏洞,並且釋放 REvil 勒索軟體,另一組駭客團隊在開啟惡意軟體後,順便「拿貨」和進行後續勒索。這次攻擊廣達後,REvil 駭客發言人還以「UNKN」為名,在駭客論壇上宣稱這是一場「有史以來最瘋狂的攻擊」行動,自我標榜無堅不摧、無孔不入。廣達電子傳出遭REvil駭入偷走蘋果電腦設計圖,且圖片還放上網公開,引發譁然。(圖/翻攝自網路)過去REvil利用勒索軟體,也對宏碁等公司進行駭客攻擊,但REvil上月攻擊廣達的行動時間,剛好遇上蘋果新品發表會,外界認為很有可能是一場精心策劃的活動。廣達拒絕支付任何贖款,強調交由外部IT資安共同合作進行修補與防護。REvil組織過去接受俄羅斯一個YouTube頻道訪問時表示,集團成員透過勒索軟件,年均收入可超過一億美元。雖然不知是否膨風,但從他們近兩年來層出不窮的駭客任務來看,證明苦主確實不少。檢調機關正深入追查,為何REvil一再鎖定台灣電子業攻擊,是否有內賊替REvil助攻,檢調考慮透過國際司法互助方式,進行跨國合作,希望盡快遏止REvil的瘋狂攻擊。REvil組織過去接受俄羅斯一個YouTube頻道訪問時表示,集團成員年均收入可超過一億美元。(圖/翻攝自網路)
誰有本事不給錢1/全台資安出問題?駭客入侵逾10大企業 仁寶研華慘遭勒索10億
根據國際資安公司「BlackFog」最新報告,截至今年11月,全球政府及企業遭駭客組織攻擊勒索的案件,高達228件,其中,台灣光是近3個月,就有逾10家上市櫃企業遭駭,最新的受害者是筆電大廠「仁寶電腦」(2324)及工業電腦大廠「研華科技」(2395),兩大廠被勒索的贖金,一共高達新台幣10億元!全球新冠疫情死亡人數即將飆破一百五十萬,愈來愈多企業開啟在家工作模式,然而,住家資安環境不比公司內部,部分民眾非但不是使用正版作業系統,還透過「虛擬私人網路」(VPN,Virtual Private Network)連回公司網路,於是給了駭客可趁之機。本刊調查,今年10月中旬以來,台灣逾10間上市公司遭駭客使用勒索軟體攻擊,並以每週2至3間的數量增加;受害公司的股價落在70元至350元區間,行業別包括建築、生技、傳產與汽車零件等,部分被害公司已支付新台幣200萬元至500萬元的贖金,換取遭駭資料的解密密鑰。最新的受災戶則是筆電大廠仁寶電腦(仁寶)及工業電腦市占龍頭研華科技(研華)。仁寶專為DELL、HP、Lenovo、Apple及Google等品牌代工筆電,是全球第二大筆電代工廠。受惠疫情帶來的遠距商機,仁寶前三季每股稅後盈餘達1.1元,今年的筆電出貨量可望超越去年的4,390萬台。據悉仁寶被駭客入侵後,資安人員一早都到董事長許勝雄的辦公室開會,討論解決辦法。左圖為許勝雄出席今年中華民國三三企業交流會。(圖/王永泰攝、讀者提供)就在營收大好之際,11月8日,仁寶竟傳出遭勒索程式入侵!「內部員工開啟電腦後,出現藍屏畫面顯示『Your network was hacked.』(你的網路已經被駭),並警告禁止關閉電腦以及刪除任何檔案。」1名知情人士透露,仁寶IT(資訊科技)部門為此十萬火急發出通知:「伺服器遭勒索病毒攻擊,員工不要連回公司內網,即使在公司使用電腦也不要連上網路。」該人士表示,「攻擊仁寶的駭客組職,正是近幾個月相當猖獗的『DoppelPaymer』(外界以該組織使用的勒索軟體DoppelPaymer稱之),對方要求在72小時內支付1,000比特幣,若不趕緊支付,贖金就會提升至1,100百枚比特幣(約新台幣6億元)。」
偽掃毒軟體真監控!他在家爽看「772女生」裸體+激戰 受害者遍布39國
美國一名57歲的駭客涉嫌從2012年開始,將監控程式「Cammy」偽裝成掃毒軟體,吸引網路用戶下載後,就可以直接入侵對方的電腦操控鏡頭,3年內一共駭進全球39國、至少772名女性的電腦,將受害者的私密照全部看光光。據悉,該名駭客後來在英國遭逮,當地法院日前開庭審理,他竟哭求法官不要將其遣送回國。《太陽報》(The Sun)報導,美國亞特蘭大喬治亞理工大學(Georgia Institute of Technology)一名學生當時下載了假的掃毒程式,被校方資安人員發現有異,趕緊通知相關單位;聯邦調查局(FBI)介入後,發現該軟體表面上是可以掃描電腦病毒的應用程式,內容卻被掉包成了監視器軟體「Cammy」。FBI深入追查後,發現57歲的男子泰勒(Christopher Taylor)涉有重嫌,另透過追蹤IP位置,確定他人在英國,最後和英國警方合作將其逮捕,並在犯嫌的電腦起出大量女性的不雅照及影片,疑似都是他透過間諜軟體竊取而來的不法個資,經清點後估計受害者遍布全球39個國家,人數高達772人。泰勒遭逮後坦承,他將「Cammy」包裝成掃毒軟體,再透過投放廣告的方式誘使用戶下載,如此一來,自己就能侵入對方的電腦操作視訊鏡頭,趁機偷拍被害人的隱私。英國法院近日開庭,泰勒當庭哭求法官不要將自己遣送回美,甚至透露他一直有輕生念頭,如果真的被引渡回美,「就會以棺材的方式回去」。
一鍵鎖鳥!陸製智能貞操帶爆安全漏洞 穿戴者遠端被鎖無法拿下
隨著科技的發達,坊間早已有透過遠端或藍牙科技操控的情趣用品或玩具,但也因為「可以玩這麼大」,也跟著引爆資安問題。根據《techcrunch.com》的報導,大陸有一款男性專用的智慧型貞操帶,主打可以透過遠端搖控來「一鍵鎖鳥」,但經海外資安人員實測後卻發現,這款產品似乎有著嚴重的安全性漏洞。報導引述英國資安公司《 Pen Test Partners 》人員實測結果發現,這款由大陸設計、製造,生產商為廣州佛山的「囚愛 QIUI」的智慧型貞操帶,具有高度資安問題;其實早在被證實會被駭客攻擊之前,這款貞操帶的APP評價就已慘不忍睹,因為會經常當機導致無法順利「解放你的鳥」。大陸製「男性貞操帶」有漏洞,可被駭客遠程「鎖鳥」。(圖/QIUI)這款名為「Cellmate Chastity Cage」是由「囚愛 QIUI」所推出的 BDSM 情趣用品,外部設計是堅固的橡膠塗層聚碳酸酯材質,廠商宣稱產品帶有金屬卡環可扣住男性陰部,具有遠程搖控一鍵鎖鳥功能,還附有 APP 監測系統,讓「主人」可以隨時監控調教「穿戴者」,產品還強調就單身玩家也能更親身體驗「自鎖 Play」的快感。大陸製「男性貞操帶」有漏洞,可被駭客遠程「鎖鳥」。(圖/QIUI)不過經資安公司人員檢測發現,這款情趣用品設計有非常多缺陷,導致駭客可以很輕易的駭進APP 裡,從遠端把貞操帶永久性鎖起來!不只如此,駭客還可以輕易的獲得使用者的私人訊息和定位資訊。資安人員也表示,他們在4月就發現了漏洞並且跟囚愛回報,雖然囚愛在 6 月份更新了貞操帶的APP,但還是有非常多的使用者未更新;此外,囚愛曾向外界保證8月份會全面更新一次,但至今並未有任何動作。由於貞操帶只能透過手機APP解鎖,裝置上並沒有提供實體鑰匙或手動按鈕的解鎖方法,所以一旦無法用手機解鎖,就需要使用切割機、螺栓鉗,或是讓電路板短路等極端手段來「救鳥」。Panty buster也傳出輕易就被被駭客入侵。(圖/翻攝自Amazon )其實過去幾年也傳出許多具有遠端搖控功能的情趣用品,像是「Panty buster」輕易就被被駭客入侵,在智慧型裝置滿街跑的時代,情趣用品的產品技術也走向高端應用發展,但這畢竟是事關「命根子」的玩具,在使用上還是先該考量到人身安全為主。
10政府機關遭「駭」 調查局公布11個惡意網域籲封鎖
經濟部投審會等10個政府機關,從2018年起陸續發生駭客入侵攻擊案,調查局19日表示,經長時間溯源調查,攻擊政府機關的駭客來自大陸,利用政府機關提供遠端連線桌面、虛擬私人網路(VPN)登入等機制,植入惡意程式進行攻擊,調查局並公布manage.lutengtw.com等11個惡意網域,供國內機關檢查、封鎖,呼籲機關要加強資安防護。外包浮濫 省成本輕忽防護調查局資安站分析被攻擊的政府機關,發現一個共同特點,機關內的資訊工作,包括軟體開發或網站維護等,都委外承包,雖然節省了預算,但廠商將本求利,在節省成本的考量下,輕忽了資安維護,給了駭客可乘之機,找到漏洞進行攻擊。駭客組織很清楚政府機關為求便利,常提供遠端連線桌面、VPN登入等機制,提供給委外資訊服務廠商進行遠端操作與維運,且國內廠商大多缺乏資安意識與吝於投入資安防護設備,也沒有配置資安人員,所以形成資安破口,讓駭客有機可乘,最後「毀屍滅跡」,清除掉所有入侵的相關軌跡。資安站副主任劉家榮表示,溯源追查發現攻擊來自大陸的駭客,包括MustangPanda、APT40及Blacktech、Taidoor等4個駭客組織,手法大致可分為2類,MustangPanda、APT40主要是竊取VPN帳密,入侵機關內部主機或伺服器,植入SoftEtherVPN等惡意程式「鳩佔鵲巢」成為具有管理權限的帳號,再攻擊資訊廠商代管政府機關的網站、郵件伺服器。Blacktech、Taidoor的攻擊手法更惡劣,先鎖定台灣還沒修補CVE漏洞的網路路由器設備,利用家用路由器資安防護微弱,取得路由器控制權作為惡意程式中繼站,再攻擊國內資訊服務供應商或政府機關的對外服務網站,成功滲透內部網路後大量竊取資料傳輸到駭客組織。溯源調查 追出4個攻擊組織調查局強調,目前已經查獲的惡意網域,包括manage.lutengtw.com、dccpulic.lutengtw.com等11個。資安站將這些惡意網域公布,供國內機關自我檢查並加以封鎖避免進入惡意網域。