[原文連結]https://www.ithome.com.tw/news/148058

在國內疫情趨緩之下,今年臺灣駭客年會HITCON 2021於11月26日至27日舉行,與去年同樣採實體會議與線上方式同步進行,總統蔡英文今日(26日)也首次在HITCON企業場與社群場合一的大會致詞,除了鼓勵駭客社群與政府的合作,同時也揭露近期國內重要資安工作。

原訂8月底舉行的HITCON 2021,隨著國內5月中下旬疫情警戒至第三級,延至11月底,在國內疫苗施打與疫情控制下,這場年度重量級資安活動,仍能維持實體舉行,特別是在近期國際疫情又竄起的時局之下,相當難得。

HITCON 2021總召陳伯堯(Sean Chen)與鄭仲倫 (Mars Cheng)表示,本屆實體會議超過1,100人報名,報到率達9成,再次突破千人參與,並有更大規模國際合作,成為年底壓軸的全球實體資安大會。而且,這次活動不乏各國的資安研究人員參與,也有美國、日本、韓國等8國的政府與教育單位,介紹資安政策與技術,國內資安專家也暢談參與國際資安漏洞競賽,以及通報國際大廠產品漏洞的經驗。

政府推動上市櫃公司落實資安,與社群及產業協力孕育人才

臺灣駭客年會除了向外拓展國際與亞太的關係,社群本身與政府的鏈結深化也是焦點。事實上,近年來,在全球資安攻防競賽的表現,HITCON成員屢創佳績,總統蔡英文曾接見並表揚,表示需加強臺灣頂尖資安人才培育,之前也曾出席HITCON企業場給予鼓勵。

26日上午,總統蔡英文在HITCON 2021現身致詞,在這次大會中,多位重要的國家資安官員也發表演說,如國家安全會議諮詢委員李漢銘、金管會資訊服務處處長蔡福隆,以及行政院資安處處長簡宏偉,都有專題演講,目的是促進資安社群、產業與政府合作關係。

在首日大會開場致詞中,蔡英文指出, 這些年政府推動「資安即國安」的政策目標,持續精進各項資安防護工作,現在邁向資安即國安2.0戰略

過去的資安即國安1.0戰略中,已經奠定了我國推動資安的基礎環境,包括制定與通過資安法,成立行政院資安處與資安電軍,而在2.0戰略中,強調資安防護的落實,以及公私協力,同時也著重於資安產業發展與資安人才培育。

蔡英文也說明最近政府一系列推動的資安相關工作內容,包括:正規畫成立專責機構負責數位發展,也就是,在2022年即將成立的數位發展部,並且,將轉為以資安產業貫穿六大核心戰略產業,讓每個重要產業都要導入資安。

對此,政府已逐步要求上市櫃公司揭露重大資安事件,必須在年報說明資安治理作為,同時將擴大要求,促使達到一定規模的上市櫃公司,需設置資安長或資安專責單位。

審視這些最新施行政策,目的是讓上市櫃公司為落實資安做好準備,其中的資安事件重大訊息揭露,已於今年4月正式施行,在年報中揭露資通訊安全管理的資訊,到了今年10月初,已經發布條文修正預告,預估2到3個月後將成正式規範,而一定規模公司設置資安長或資安專責單位,草案昨日才剛剛通過進入預告期

蔡英文強調,這些政策目標已很清楚,希望讓臺灣成為受到世界信賴的資安系統與產業鏈,如此一來,不僅可以保護國家資通訊安全,也能符合國際對乾淨供應鏈的要求,強化民主盟友的防衛機制。

另外,在資安人才培育也是重要議題,政府除了從校園、產業來強化人才培育工作,預計在數位發展部下新設置資安卓越中心,將培養頂尖實戰資安人才。

對於HITCON社群的發展,蔡英文也深表認同,她表示,政府資安工作的推動,台灣駭客協會這樣的社群是重要的一股力量,也是推手,十幾年來持續致力於技術人才的專業發展,未來政府也強持續強化與民間合作的力量。

在大會首日上午的一場主題演講,國家安全會議諮詢委員李漢銘也談到國家資安政策,以及人才的議題。他表示,25日公布的上市公司新要求中,預計明年底就有數十個破百億的上市公司,需設置資安長與兩個資安專職人力,而這其實是討論已久的議題,隨著各項基礎政策的逐步推動, 現在開始變成實際的要求,他還提到,2023年有賺錢的上市公司也都要設置資安專職人力,如此算來,預計市場上會需要2千個資安人力。

然而,落實資安非易事,隨著人力需求創造出來,人才如何擴大供給,仍是國內環境面臨的重大挑戰,畢竟,在資安法的要求下,現在公務機關的資安人力的達成率,雖然還在提升,卻仍有3成以上缺口,而未來國內半導體的人才缺口也大,因此要與教育部、經濟部等部會通力來因應,同時也必須結合產業與社群方面的合作,培訓更多資安人才。

他在這場演講中也透露,政府將推動資安產品的投資體檢等新政策,經濟部很快就會公布。

加深國際合作,探討更多元、豐富的資安議題

這次大會活動,除了與去年一樣,維持線上活動、線上觀看,讓海外關心資安的人士也可連線參與,HITCON 2021總召陳伯堯表示,這次大規模的國際合作是最主要特色,有美、日、韓等8國政府與教育單位,介紹資安政策與技術。

例如,上午首場主題演講,就是美國國土安全部網路安全暨基礎安全局(CISA)資深顧問Thomas R. Millar的演說,說明近期美國的資安推動經驗,包括如何對抗與打擊勒索軟體,成立StopRansomware.gov網站,以及提供資安不良實踐(Bad Practices)計畫,從負面教材提醒組織,勿犯相同的錯誤;他也談到持續發布的示警資安公告,以及在網路安全評估工具(CSET)中新增的勒索軟體攻擊自評模組等,並介紹亞太區域安全的協同合作;日本經產省IT計畫辦公室主任Toshikazu OKUYA也談到現在的Society 5.0政策,以及Cyber-Physical System(CPS)框架的推動與開發。

特別的是,此場遠距視訊現場演講的時間,是活動首日早上的第一場主題演講,也就是臺灣時間是在26日早上,當時正逢美國感恩節夜晚,也是當地民眾舉家團圓之際,卻特地透過網路視訊來發表演說,顯示美方對臺灣舉辦的這項國際性社群活動的重視。

HITCON今年的分場演講,涵蓋的資安議題相當豐富,而且能縱觀全局,大會區分出多種資安當前發展的重要主題,像是:國際聯防、軟體漏洞研究、新資安威脅趨勢、惡意程式技巧、資安教育、COVID-19、威脅分析與APT研究、金融資安,還有隱私、工控ICS、Car Hacking與IoT等面向,每類都有2到3場的專家主講。

同時,這次大會活動上,重頭戲不只多場資安技術議程,還有資安高層策略分享,陳伯堯表示,這樣資安高層圓桌論壇,多年前的HITCON大會也曾經舉辦,今年再次舉行並涵蓋3大主題,包括金融科技、CISO及智慧製造領域,促進更多經驗分享。

另外值得關注的是,這次大會還有幾個全新特色,也創造了更多與會者的互動。例如,本次大會與104人力銀行合作新創媒合平臺,增進求職者與企業在資安領域的接觸。

現場還有產業面的合作,聯發科技與科技部前瞻資安計畫合作,舉辦硬體解析的工作坊,讓大會現場參與者能實際動手學習,探索韌體的資安問題,以及瞭解軟體自動化安全檢測技術。在兩年前HITCON社群場上,當時的電路板識別證挑戰活動,就隱含注意TrustZone實作的概念,今年則透過工作坊形式,讓大家接觸更多硬體安全議題;鴻海研究院也舉辦車聯網相關論壇,並講座探討車聯網安全。

此外,除了延續去年的煉蠱大會、HITCON Village活動,HITCON Online虛擬會場也再次登場,並有駭客貓歷險記,以及駭客喵喵&駭客貓行動的互動遊戲,讓一些參與者也能從樂趣中接觸資安。

[原文連結]https://www.ithome.com.tw/news/147113

在臺北時間10月5日清晨,臉書發生了這幾年最嚴重的當機事件,全球的臉書服務在同一時間斷線,涵蓋Facebook、Instagram與WhatsApp,影響全球逾35億用戶,且持續近7小時,負責工程與基礎架構的臉書副總裁Santosh Janardhan隨後公布了詳細的肇事原因,而一切都是從例行性維護出錯所引發的骨牌效應。

Janardhan解釋,這次的故障是由一個管理臉書全球骨幹網路能力的系統引起的。臉書透過骨幹網路來連結所有的運算設備,它是由橫跨全球之數十萬英里長的光纖網路所組成,負責連結臉書的所有資料中心。

臉書的資料中心有著不同的形式,有些是安置數百萬臺機器的建築物,這些機器用來存放資料,以及負責執行讓臉書平臺得以運作的運算任務,有些資料中心則是相對小型的設施,以將臉書的骨幹網路連至全球網路及使用者。

因此,當使用者開啟任一臉書家族的應用時,該應用程式會向最近的臉書設施請求資料,再藉由骨幹網路傳送到大型資料中心,而這些資料流量的傳遞即是由路由器管理。

可想而知,臉書工程師的日常任務之一就是維護此一基礎架構,而且經常要把骨幹網路的一小部份移出網路,以修護光纖、新增能力,或者是更新路由器韌體。

在5日凌晨時,臉書工程師展開了例行性維護,發布了一個命令來評估全球骨幹網路能力的可得性,卻不小心切斷了骨幹網路的所有連結,等於是讓臉書全球的資料中心同時斷網。其實臉書的系統具備稽核命令的功能,以預防類似的錯誤命令,但稽核工具中的臭蟲卻讓它沒能阻止此一錯誤命令。

接下來就發生了Cloudflare看到的事情了。Janardhan指出,雖然臉書的骨幹網路斷了,但它們的DNS伺服器還是正常運作的,相關伺服器負責回應DNS查詢,也負責透過邊界閘道協定(Border Gateway Protocol)向全球網路宣告自己的存在。

然而,為了確保可靠的運作,臉書的DNS伺服器有一項設定,就是當它無法連結臉書的資料中心時,就會關閉BGP的宣告,於是,不管是Cloudflare的1.1.1.1、Google的8.8.8.8或是其它公共的DNS解析器,都無法在網路上發現Facebook、Instagram或WhatsApp的蹤跡。

Janardhan說,一切都發生的太快了,且工程師在查明原因時又遇到了兩項障礙:一是因為網路都斷了而無法使用日常工具來存取資料中心,二是喪失了DNS也讓原本用來調查及解決故障的內部工具失效。

於是臉書只好派出工程師到資料中心,企圖手動解決問題並重啟系統,但資料中心不管是實體或系統都嵌入了安全機制,一來不容易進入,二來就算進入了,其硬體與路由器原本的設計就提高了變更的門檻,因此又花了一點時間來啟用安全存取規則,以讓這些工程師能夠修改資料中心裡的伺服器。

在臉書成功恢復骨幹網路之後,另一個關鍵則是重啟資料中心,瞬間重啟所有服務可能會因流量與電力使用的驟增,而讓系統再度崩潰。但臉書之前即曾進行多次的「風暴」(Storm)演習,模擬系統故障的場景,關閉服務、資料中心或整個區域的系統來進行壓力測試,有了這些演習經驗,讓臉書在回復所有服務的環節上沒有遭遇太多的問題。

在處理這個意外的時候,Janardhan也察覺了一件事,過去臉書不斷地強化系統來防止未經授權的存取,但這些機制卻也拖慢了臉書自己修復的腳步,即便如此,他依然相信這個取捨是值得的

[原文連結]https://www.sentinelone.com/blog/when-apple-admits-macos-malware-is-a-problem-its-time-to-take-notice/

You could almost hear the collective sigh of relief across the macOS security research community last week when Craig Federighi, Apple’s Senior VP of Software Engineering, finally spoke up about the problem that many of us have been voicing for several years now: Macs get malware, and Apple are…

[原文連結]https://technews.tw/2021/09/14/apple-iphone-software/

以色列網路情報公司 NSO Group 傳出利用間諜軟體 Pegasus 監控世界各地記者、維權人士的手機,震驚全球。網路安全監督組織 Citizen Lab 週一揭露,NSO Group 開發一種新工具,允許駭客使用間諜軟體 Pegasus 入侵 iPhone,且至少自 2 月起就一直使用,打敗了蘋果近年的安全系統。

Citizen Lab 指出,它在一名不願透露姓名的沙烏地阿拉伯活動家的手機中發現這種惡意軟體,而且間諜軟體已在 2 月份入侵至手機。目前不清楚還有多少用戶也遭到入侵。

iPhone 的漏洞在於 iMessage 自動呈現圖像的方式。蘋果公司表示,如果有易受攻擊的設備用戶收到惡意製作的 PDF 檔,就可以利用這個漏洞入侵。目前影響的所有版本包括 iOS、macOS 和 watchOS,除了週一最新的更新版本。

值得注意的是,預定目標不需要點擊任何東西,攻擊就能奏效。研究人員認為,也不會有任何明顯的跡象顯示正在發生駭客攻擊。

不過,蘋果發言人拒絕回應駭客技術是否來自 NSO Group。然而,在 iPhone 13 系列新機亮相的前一天,蘋果已經先釋出 iOS 14.8,稱是提供「重要的安全更新」,也建議所有的使用者都應該安裝。據悉,此次的版本更新當中並沒有加入新功能,不難排除跟上述案件有所關聯。

iMessage 多次成為 NSO Group 和其他網路軍火商的目標,促使蘋果更新其架構,但這次升級並沒有完全保護系統。

蘋果安全工程和架構負責人 Ivan Krstić 在聲明中表示,在辨識到 iMessage 的漏洞後,蘋果迅速在 iOS 14.8 中開發並部署了修復程式,目前漏洞已經修復完畢。

Citizen Lab 資深研究員 John Scott-Railton 認為,聊天 App 是設備安全的「軟肋」,由於這些 App 無處不在,成為駭客常見的攻擊目標,因此保護這一部分變得更加重要,縮小駭客對 App 的攻擊範圍也有助於讓設備更加安全。

[原文連結]https://www.sentinelone.com/blog/the-good-the-bad-and-the-ugly-in-cybersecurity-week-40-3/

The Good

This week, CISA (the United States Cybersecurity and Infrastructure Security Agency) unveiled a new utility aimed at helping organizations understand their exposure to motivated insider threats.

This new utility (the Insider Risk Mitigation Self-Assessment Tool) can be used to guide organizations through the process of understanding the core needs…

[原文連結]https://www.sentinelone.com/blog/peeking-into-cve-2021-40444-ms-office-zero-day-vulnerability-exploited-in-the-wild/

Microsoft Office has long been a common attack vector, with abuse of its macro functionality a firm favorite of phishing and malspam attacks. These typically attempt to infect users through maliciously crafted Word or Excel files received as an attachment or as a download link via email. Macro-based attacks…

[原文連結]https://newtalk.tw/news/view/2021-09-25/641702

台灣資安產業發展協會今(25)日於台中市正式成立,由 ZUSO 如梭世代創辦人洪睿荃高票當選首任理事長,立法院副院長蔡其昌、立委張廖萬堅、莊競程及高虹安等人應邀出席,理事長洪睿荃表示,台灣資安產業發展協會將以「深耕台灣,拓展全球」為宗旨,期許將產官學界的能量相互連結串連,一同引領台灣資安產業於未來成為台灣的第二座護國神山!

台灣資安產業發展協會指出,從蔡總統推出「資安即國安」的國家發展藍圖至今,台灣資安產業迎來了睽違多年的蓬勃發展。而今年初國發基金預計投資30億台幣在資安新創產業,這意謂著資安產業成長與起飛的重要時刻已來臨。資安產業並非是一人打天下獨來獨往的環境,更需要身處在資安產業的大家齊心協力,各自在擅長專精的領域,彼此合作。

為了促進台灣資訊安全產業的合作與發展,台灣資安產業發展協會由 30 多位國內眾多優秀資安公司(安華聯網、盧氪賽忒、三甲科技、安創資訊及資策會資安鑄造廠等)及資安社群(臺灣校園資訊安全推廣暨駭客培育協會、台灣數位安全聯盟、台灣資訊安全聯合發展協會等)的創辦人或核心成員共同籌組。

台灣資安產業發展協會由 ZUSO 如梭世代創辦人洪睿荃當選首任理事長,資策會資安鑄造廠總經理毛敬豪擔任副理事長。協會秘書長則由盧氪賽忒股份有限公司執行長沈家生擔任。

理事長洪睿荃表示,台灣資安產業發展協會將以「深耕台灣,拓展全球」為協會宗旨,以促進台灣資安產業高速發展為目標,將帶領理監事們投入「發展創新技術」、「培訓資安人才」、「促進新創交流」、「引領產業突破」四大方向來推動產業發展。協會也將和學界先進們合作,進行資安技術的研究與資安人才培育。並進一步往海外拓展,將我們台灣優秀的產品和服務,以台灣的品牌走到國際,為台灣爭光。

Auriga Security

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store