資訊安全專欄

• 駭客暗網已售出超過50萬組Zoom雲端會議服務的帳號，只賣1美分，有些還免費贈送！趕快更改密碼！

  Zoom是一家位於美國加州聖荷西的科技公司，主要業務是提供雲端為主的視訊會議(Cloud Meeting)系統服務。不過前陣子被爆出有資安疑慮之後，不僅Google下令不准使用Zoom之外，就連我們行政院也下令各公務機關與各級學校都要禁用Zoom了！ 有人問，有那麼嚴重嗎？確實啊！因為在某些暗網與駭客論壇裡面，就有人在兜售Zoom的帳號了！資安公司發現裡面有不少是摩根大通、花旗銀行，或是一些大學的帳號，您說不嚴重嗎？ 由於暗網與駭客論壇裡面有超過50萬組Zoom帳號被售出，賣價低於一美分(不用新台幣1元)售出，甚至某些情況還免費大相送。這些帳號是透過憑證填充攻擊(credential stuffing attack)的方式取得，也就是以錯誤嘗試登入的方式瞎猜出密碼，在早期Zoom的登入機制還不是很完善時，駭客就是透過這樣的方式成功登入之後，將這些成功的帳號整理成表，再兜售給其他駭客！ 由於有些Zoom帳號是免費提供給駭客論壇，讓其他駭客可以使用Zoom-bombing (未受邀請的陌生人突然加入線上會議且大叫，以干擾會議)的惡作劇，或是其他惡意行為，擾亂既有的會議進行。要是會議是屬於NDA類型或是比較機密的會議，那麼就有機敏資料外洩的可能！ 資安公司表示，這些免費的Zoom帳戶大約是在2020年4月1日起在駭客論壇上看到的，由於有這些好料！因此也讓這些駭客論壇越來越受矚目！流量開始爆增！除了上述的帳號是免費供應的之外，其他有些帳號則是以不到一美分的價格售出！ 由於這些帳戶都是透過文字的方式來分享出去的！那些洩漏帳號者就大喇喇的直接在論壇裡面貼上一堆登入帳號(Email)和密碼。下圖中，就有超過290組帳號是免費提供的，主要都是學院的帳號。如佛蒙特大學、科羅拉多大學、達特茅斯學院、拉斐特大學、佛羅里達大學…等等。這些密碼中，有些是正確的，而有些則是舊密碼，表示當初就是用憑證填充攻擊的方式獲得！ (不過如今應該有不少單位已經更改密碼了，因此這些帳戶可能無法再登入) 由於駭客論壇大量拋售這些Zoom帳號，資安公司一口氣買下大量的帳戶，以便可以用來警告這些用戶們趕快去更改密碼。該公司以一美分買下53萬組帳號，平均一個帳號不到0.0020美元。這些被售出的帳戶，包括受害者的Email、密碼、個人會議URL以及HostKey (主持人鑰匙)。 由於Cyble買下來的Zoom帳戶中，有些也是他們的客戶，他們也確認了這些帳戶有些是有用的，他們也透過聯絡這些客戶趕緊去更改密碼。 由於所有公司都受到這種憑證填充攻擊的影響，且Zoom的密碼可以從電腦、平板或手機登入，因此建議趕快更改密碼，至於個人會議ID必須付費才能更改！要是若怕陌生人突然衝進會議來搗亂的話，可以設定要求輸入會議密碼，才准許進入。此外也可以並預設關閉電腦音訊，或是關閉電話登入，以免收到參與者的雜音。 另外，Cyble也將這次的資安事件，加入其的網站，使用者可以透過輸入自己的Email，來檢查自己的帳戶是否被流出去濫用！

• 速度、安全更進化，Samsung Portable T7 Touch行動固態硬碟開箱

  隨著資安問題日益嚴重，電腦、手機等裝置都開始設計了五花八門的防盜技術來避免資料外洩，想要避免資料一夕之間灰飛煙滅，資料備份就成了一個非常重要的習慣，但是光只是將資料備份到行動硬碟不做任何防護真的可以嗎？於是Samsung推出的Portable T7 Touch行動固態硬碟便針對這個疑慮所推出的產品。 Samsung Portable T7 Touch不論是從型號上還是外型上來看，都可以看出與不久前為玩家介紹過的是兄弟關係，兩者都採用纖薄時尚卻又不失其堅固特性的金屬機身，不過與T5主打多彩的機身選擇不同，T7更加注重安全性和速度的表現，所以在黑、銀兩色機身上都配置了一個指紋辨識器，在通電時會發出藍色的光芒，充滿了高科技的時尚感。 Samsung Portable T7 Touch在設計上一個最重要的出發點就是「安全性」，繼承了T5堅固的金屬外殼和無機械元件的設計，T7 Touch即使在2米的高度內墜落也不會損壞(但是誰捨得讓這麼漂亮的行動固態硬碟破相…)，也提供了3年保固，同時也保證內部的儲存顆粒都是Samsung「自產自銷」，不假他人之手，品質有保障的。 此外，T7 Touch最為重要的賣點就是它加入了「指紋辨識」功能，玩家可以透過程式設定指紋密碼，並將密碼資訊以AES 256位元技術進行加密，想要讀寫行動硬碟裡的資料，就必須像手機一樣必須先掃描指紋才行，讓資料安全提高到了一個全新境界，對行動商務族群或是辦公室裡遭小人的玩家，有這樣的一顆行動硬碟就可以確保自己的備份資料即使不小心忘在別的地方，也不用擔心會被有心人士給外洩了。 Samsung Portable T7 Touch在傳輸介面上，採用的是USB3.2 Gen2 Type C，由於市面上的電腦設備並不是都有USB Type C連接埠，Samsung也很貼心的在盒中附上USB Type C To A和USB Type C To C的線材，而且還個別為它們準備了獨立包裝，在小地方的用心上給人一種尊榮不凡的禮遇。 在傳輸速度方面USB3.2 Gen2理論速度可以跑到10Gbps，相當於1280MB/s，而Samsung在官網上也表示其讀寫的速度可以來到1000MB/s左右，考量到理論速度與現實速度存在著環境因素，T7 Touch可以說是要把USB 3.2 Gen2的傳輸極限給榨乾，不過是否真的有那麼厲害，小編自然要來驗證看看囉！ Samsung Portable T7 Touch除了超快的存取速度之外，另一個最為重要的賣點就是它具備了指紋辨識功能，玩家可以在安裝驅動程式之後，必須先打開安全模式，才能夠設定指紋。 指紋設定的方式與在智慧型手機上面設定指紋的方式一樣，用手指在感應器的範圍內可以連續按壓即可完成。此後每當電腦與T7 Touch連接，同步程式就會自動彈出要求輸入指紋，而在辨識速度方面相當靈敏快速，輕輕一壓可以立即完成辨識。 值得注意的是，由於指紋資料是寫入硬碟內的控制晶片，平時不需要另外安裝驅動程式也能進行指紋解鎖，Samsung特別將硬碟內部容量分為兩個一個區塊：一個是「公用區塊」，用來存放驅動程式與說明書；另一個就是「加密區塊」，也就是玩家儲存資料的區塊，必須透過指紋才能解鎖。前者是當您每次將T7 Touch連接至電腦或手機時，會出現的區塊，該區塊只能讀取，只有當您透過指紋解鎖之後，才能存取到後者的加密區塊。因此，Samsung T7 Touch在安全性方面，是絕對不用擔心會洩漏出去的！ 不過小編在體驗期間發現這個驅動程式有3個小問題：第一，驅動程式使用介面還沒最佳化，使得在高解析螢幕(如4K螢幕)下，程式畫面小到難以辨識；第二就是，驅動程式語言尚未支援繁體中文，目前僅先支援簡體中文，對於國內用戶可能不夠親和... 至於第三，也是小編認為比較嚴重的，就是T7 Touch在設定指紋時，需要輸入備用的安全密碼，但是程式完全不會建議或限制過於精簡的密碼，即使小編輸入0000，程式照樣放行，這樣子的話，似乎對於破解防護上有種做一半的感覺，小編希望Samsung可以透過推出更新版本的軟體，來補足這些小缺點。尤其是第三項，建議加入過於簡單密碼的審查機制，來要求使用者輸入複雜密碼，以確保硬碟的資料安全。 現代人不管做什麼事都離不開手機，很多重要的機敏資料、相片、影片也時常都是儲存在手機之中，雖然目前的手機都有設計指紋或人臉辨識，雖然竊取資料有難度，但手機畢竟是精密零件，一個意外可能就讓手機資料一去不復返，因此備份就很重要了。 提到備份，放在雲端空間中或許簡單方便，但對於機敏資料來說，就讓人覺得不是很心安，可是實體備份很多又缺乏防盜功能。為此Samsung Portable T7 Touch亦準備了手機版的APP，並且針對指紋辨識功能重新打造了Samsung Portable SSD 1.0應用程式，玩家不僅可以直接在手機上存取資料，還能夠設定指紋密碼，讓資料安全可以隨行動帶著走。 Samsung Portable T7 Touch行動固態硬碟針對了市場上少見的備份安全問題，利用指紋辨識做出了一個快速、簡便、有效的解決方案，並且在塞入更多零件的狀況下，不僅維持了纖薄有型的外觀，還進一步將傳輸速度提升到了趨近介面頻寬的極限，可以說是一個在各方面的都面面俱到的全方位儲存裝置，不管是對速度有要求的玩家，還是對安全很注重的玩家，Samsung Portable T7 Touch都會是相當優質的選擇喔！ 廠商名稱：SAMSUNG - 台灣三星電子股份有限公司 廠商電話：02-2656-8686 廠商網址：www.samsung.com 建議售價：500GB/4,990元 ; 1TB/7,590元 ; 2TB/13,990元 ------------------------------------------------------------- 【PCDIY!官方Telegram頻道正式開創！】 ★沒新聞心癢？加入PCDIY!官方Telegram頻道：https://t.me/PCDIY ☆「找嘸人」聊科技？加入PCDIY! Telegram討論群：https://t.me/PCDIY_Chat

• 漏洞未平、駭客又起！AMD大量GPU IP遭駭客偷竊

  AMD這陣子可以說是風波不斷，除了前陣子與Intel雙雙被爆出有之外，現在還遭到駭客入侵竊取了GPU IP (繪圖晶片智慧財產)，並且要求高額的贖金。 根據AMD自家的說法，他們晶片設計師發現他們有不少的晶片測試文件遭駭客竊取，其遭竊的內容包含現行的Navi 10架構GPU(如Raden RX 5700、5600系列)，以及即將上市Navi 21架構GPU，甚至就連微軟下一代遊戲主機Xbox Series X的Adren晶片之GPU IP，都在這次入侵事件中遭到偷竊。 雖然AMD在這件事情上不願意公開太多資訊，但是自稱執行這次入侵計畫、名叫Palesa的駭客倒是跳出來表示，AMD官方聲明自己在去年12月之前沒有任何相關數據遭竊是騙人的，因為駭客自己早在11月就已經入侵，把GPU IP相關資料弄到手了。 另外駭客相當狡猾的不直接向AMD索要贖金，因為駭客認為如果直接向AMD討要，不僅一毛都得不到，反而害自己被提告罷了。於是駭客選擇轉向告至國外媒體TorrentFreak，表示如果AMD不願意支付1億美元的贖金，那麼他或她就會把所有的晶片原始碼公布。 一般來說，晶片智財權遭竊可以說是非常嚴重的問題，因為這代表自家的大量的商業機密不僅有遭到公布的風險，同時在資安上面也幾乎就是赤裸裸的展示在有心人士面前。然而AMD對此倒是不擔心，官方表示其遭竊的原始碼並不涉及關鍵核心技術和資安疑慮，同時會對這件事展開刑事調查。看來AMD好像對於被偷走的智財還老神在在，認為你駭客這次偷的智財只是小咖，不影響大局，同時這是否意味著AMD其實早有更下世代的產品正在著手進行了呢？ 雖然目前還不確定究竟遭竊的GPU IP到底可能造成什麼樣的問題，但從失竊到現在已經過了這麼3個月，如果真如AMD所說的不是核心關鍵的話，很有可能早在AMD改不停的晶片設計，以及驅動程式更新中被替換掉了也說不定。 ------------------------------------------------------------- 【PCDIY!官方Telegram頻道正式開創！】 ★沒新聞心癢？加入PCDIY!官方Telegram頻道：https://t.me/PCDIY ☆「找嘸人」聊科技？加入PCDIY! Telegram討論群：https://t.me/PCDIY_Chat

• Intel CPU漏洞再修補一波，微軟推出Win10修補程式，玩家快下載！

  等~等~等~等！又到了微軟每星期二的修補日(Patch Tuesday)了！這次微軟為玩家們端出了什麼樣的菜單呢？哦！原來是先前漏洞補不完的Intel 「側道攻擊」漏洞啊！Intel的這個漏洞不是很久了嗎？怎麼還沒補完啊？看來漏洞應該是非常棘手的，不過，由於Intel上禮拜釋出新的微碼更新(Microcode Update)，因此在本週二的修補日，微軟(Microsoft)也，來防堵Intel CPU的漏洞，讓使用者不用擔心！趕快來安裝吧！ 由於Intel的處理器擁有許多安全性漏洞，該公司也忙著修補這些漏洞。最近則是完成了軟體驗證，並開始為多款CPU平台推出新的微碼，以因應下列威脅： ● CVE-2019-11091 – 微架構資料取樣無法快取記憶體 (MDSUM) ● CVE-2018-12126 – 微架構儲存緩衝區資料取樣 (MSBDS) ● CVE-2018-12127 – 微架構載入埠資料取樣 (MLPDS) ● CVE-2018-12130 – 微架構填入緩衝資料取樣 (MFBDS) 上述的漏洞有些是在2018年發現的，但Intel直到2019年初才發布了第一批修補程式，隨後在2019年8月秋季時，又再針對下列CPU推出新的修補程式： ● Apollo Lake (Pentium J/N, Celeron J/N, Atom A, E3900系列) ● Cherry View (Atom X Z8000系列) ● Gemini Lake (Pentium Silver J5000/N5000, Celeron J4000, N4000系列) ● Haswell Desktop (Core 4000, Pentium G3000系列) ● Haswell M (Core 4000M, Pentium 3560M, Celeron 2970M系列) ● Haswell Xeon E3 (Xeon v3 E3-1200系列) ● Valley View (Puma系列, 含桌上型/嵌入式/行動裝置) 除了上述的CPU之外，Intel後來還發現有不少新舊CPU也會受到上述的漏洞所影響，因此在2020年1月底又推出新的微碼更新，包含下列型號： ● Denverton (Atom C3000系列) ● Valleyview (Atom Z3000系列) ● Sandy Bridge, Sandy Bridge E/EP (2000與3000系列) ● Whiskey Lake U (4200U, 5000U與8000U系列) 這次微軟針對其Windows 10全部版本(包含1507至最新的1903、1909版本)推出了漏洞修補程式，可以修正上述Intel四大系列處理器的「側道攻擊」(side-channel exploit)與「預測執行」(speculative execution exploit)的漏洞。只要您的電腦處理器是上述項目者，請趕快去下載更新吧！ 不過，這些更新並無法透過Windows Update來自動更新，玩家只能透過手動下載安裝的方式來更新哦！ ● Windows 10 version 1903/1909: 修正檔下載處: ● Windows 10 version 1809: 修正檔下載處: ● Windows 10 version 1803: 修正檔下載處: ● Windows 10 version 1709: 修正檔下載處: ● Windows 10 version 1703: 修正檔下載處: ● Windows 10 Version 1607: 修正檔下載處: ● Windows 10 Version 1507: 修正檔下載處: 只是，上述的修補檔中，都是針對Windows 10所推出的。因此現階段還在使用Windows 7/8/8.1的玩家們，就跟這些修補檔無緣囉！至於AMD處理器的玩家，上述的修補檔就可裝可不裝囉！

• UL推出首款針對IoT裝置的安全評等，共5種認證等級標章，協助製造商與消費者為資安把關

  近年來，物聯網（IoT）發展越來越夯，IoT 裝置應用如智慧家庭、車聯網等產品紛紛出籠，當所有裝置都能連上網時，就可能成為駭客入侵的缺口，因此資訊安全顯得關鍵！當一般製造商普遍欠缺對資安威脅防範的能力，資安威脅會隨著新漏洞被挖掘而產生動態變化，產品如何在資安層面進行防範，並做到消費者保護，成為製造商面臨的最大難題。 目前UL正藉由IoT安全評等 (IoT Security Rating)，協助產業定義各種 IoT 產品的資安防護能力。到底 UL 是以什麼為基準來評估？當前產業面臨的資安危機有哪些？以下就是UL安全專題講座所推出的全新IoT裝置安全認證內容。此全新的認證標章，將協助製造商與消費者在IoT浪潮下，資安把關最前線！ 有關於這次講座的重點，請參考以下的現場直擊！ 從上面可以得知，由於連網裝置的「資訊安全」已是歐美各國所重視的議題，並祭出規範來要求製造商要遵循。而UL所推出的IoT Security Rating (IoT安全評等)，是世界第一個針對IoT裝置所設計的安全評等，提供7大類別40多種測試項目來嚴謹評估，幫產品打上五種安全等級，讓資安資訊更透明，也幫助消費者更容易選購到各種安全等級的IoT產品。 由於此安全評等仍在推廣中，加上製造商產品送驗證需要花時間，因此市面上要看到貼有上述UL的銅牌、銀牌、金牌、白金牌、鑽石牌等5種安全評等認證標章的產品，最快也是2020年了。消費者若想要讓自己買到的智慧裝置(包含IoT裝置、智慧連網裝置等等)有「可看得到的」資安等級，那麼就稍等等，2020年這些裝置就會與大家見面了！

• 最新Windows 10 1909累積更新包，仍可能導致開始選單失效，卸除後可解決

  微軟雖然在10月初發表全新Surface家族的平板電腦與手機，同時也推出最新針對雙螢幕筆電所打造的，嘗試為用戶帶來更多樣化的使用體驗。然而，以目前最多人在使用的Windows 10來說，其經常性推出的安全性更新，主要就是提升安全性，並修掉系統問題，但最近推出的一系列安全性修補包，或是累積更新包，都有可能導致「開始」選單出現問題，讓用戶覺得怎麼越補越大洞？ 微軟於9/10 Patch Day中，釋出了，主要修正一些安全性弱點，以及藍牙音訊裝置的錯誤，不過在更新之後，反而造成不少遊戲玩家發現，在特定遊戲中的音訊，比預期更安靜或不如預期，甚至不少用戶發現開始選單沒有作用，安裝更新之後問題更多。 微軟也終於 (請參考2019/9/10的說明)，決定「徹回」KB4515384這個更新包，讓使用者不會再去安裝到這個有問題的更新包！ 此外，微軟也同時表示，其於2019/9/26推出的，已經解決上述問題等問題。 然而先前釋出的更新包，似乎又導致出某些問題，包含印表機列印可能會出問題，因此微軟又再次於2019/10/3釋出，以嘗試解決上述這些哩哩扣扣的問題。當然這次的釋出，主要是以Windows 10 1903版為主，當然也包含先前1507～1809版本的更新一併釋出！讓這些版本的Windows 10，都能打上最新的2019-09累積更新！ ● ● ● ● ● ● ● 看起來，果然是很大陣仗的更新！看來這次應該可以把上述的各種問題都解決掉才是… 修完一個大漏洞，卻又引發新的漏洞，有，只能透過解除安裝該累積更新包，才能恢復。 當然上述的方式是解決辦法之一，其下方也有提供其他暫時的解決方式，就是以管理者權限來開啟PowerShell，然後將下述的指令複製起來，並貼至PowerShell指令列，然後按Enter，並重開機，就應該可以解決。該指令如下： Get-AppXPackage -Name Microsoft.Windows.ShellExperienceHost | Foreach {Add-AppxPackage -DisableDevelopmentMode -Register "$($_.InstallLocation)\AppXManifest.xml"} 若上述指令還是無法把您的Start Menu還原，那麼只能暫時選擇解除安裝KB4524147一途了！ 是的！微軟先前表示將於每半年推出一次重大更新，從最早的1507版本開始，到後來1511更新，然後1607年度更新之後，接下來就是1703創作者更新、1709秋季版創作者更新，然後就是1803、1809，以及最近的1903更新！想也知道若沒什麼問題的話，微軟應該是在近期正式推出1909版本重大更新！讓Windows 10的版本號，再次提升到1909的最新里程碑！ 在9至10月當中，Linux社群也有不少更新，包含CentOS更新到8.0版本，而Ubuntu也將推出1910版本，也因此，微軟除了發表最新的Surface家族產品之外，他們也積極在修正與強化Windows 10的各種問題，並推出更新包！只是，9月導致的一連串問題，像是CPU使用率莫名其妙飆高、有線網路卡失效，以及上述音效有問題、印表機無法正常工作，再加上10/4的累積更新包又可能導致開始選單無法正常使用等等！微軟真是風波不斷啊！看來最近想要更新的玩家們，只好暫時先緩緩囉！

• 傻眼貓咪? Intel Xeon處理器發現新漏洞，全新NetCAT快取漏洞可透過DDIO來竊取敏感資料!

  DDIO (Data-Direct I/O，資料直接存取) 是Intel伺服器處理器的獨有功能，允許NIC(網路卡)繞過慢速的系統記憶體，直接去存取處理器內快速的L3快取資料，這樣一來，就可以降低NIC的延遲，讓伺服器或HPC整體效能提升！這項立意其實是不錯的，但是這個功能卻被發現有嚴重的漏洞！ 來自荷蘭的Vrije Universiteit Amsterdam (阿姆斯特丹自由大學)以及瑞士的ETH Zurich (蘇黎世聯邦理工學院)的網路安全研究人員，在北美時間9/10(禮拜二)發表一份，其介紹了最新形態的NetCAT攻擊(這裡的NetCAT，跟Unix指令nc或netcat並沒有關係)，能透過DDIO的安全性漏洞，會允許網路中的受感染的伺服器，能夠從區域網路上的其他電腦來竊取資料！ 似乎每次有安全性漏洞問題，好像都是優先在Intel處理器上面發現，看來Intel處理器漏洞百出，好像也不太影響銷售量，一般桌上型處理器產品來說，會買的人還是照買。但是，這次NetCAT安全性漏洞，可是在伺服器處理器上揭露的，對於需要絕對安全性的伺服器使用環境來說，這次的漏洞則不可輕忽！ 主要是因為NetCAT漏洞，不僅可透過DDIO的方式竊取區域網路中的其他電腦資料外，還能竊取其他同樣遭受感染伺服器記憶體內的其他敏感資料，此外更可怕的是，可以「側錄」使用者輸入了哪些字(Keystroke)，這樣就有可能直接分析出打的是什麼字(可參考看下方影片示範)。簡單來說，只要其中一台伺服器受感染，就可能危害整個網路系統，就算有些伺服器不具備DDIO功能，其也能透過RDMA (Remote Direct Memory Access，遠端直接記憶體存取)的方式，讓整個網路陷入危險之中。 由於RDMA是HPC (高性能運算)與超級電腦環境常見的一種技術，也是提升效能的主要支柱。但既然NetCAT也會透過RDMA的方式來搞爛整個網路系統，那麼Intel就不得不重視這個議題！ 據了解，目前Intel已先初步得到這個訊息，在還沒釐清其影響多大之前，先要求其客戶先暫時關閉DDIO和RDMA功能，尤其在連接未受信任的網路時，先把這兩個功能給Disable，而Intel也在趕緊研製更新包，以修補這個全新漏洞！ 您說這是伺服器的事情，不關一般消費者的事情？那可不！NetCAT漏洞可能為虛擬主機網站(Web Hosting)的供應商帶來巨大的麻煩！因為駭客在有啟用RDMA和DDIO功能的數據中心租用了一台虛擬主機，這樣一來他就可能利用NetCAT漏洞來竊取其他客戶所租用虛擬主機內的敏感數據！您說這影響不大嗎？ ＃影片＝https://www.youtube.com/watch?v=QXut1XBymAk NetCAT漏洞影片示範：透過SSH來「側錄」受害者的鍵盤打字，並猜出是打了什麼字 研究人員表示，他們是基於很小的假設，來表達出NetCAT漏洞的影響甚巨！因為這種基於網路的快取攻擊方式，算是新型態的攻擊方式，未來他們認為會有更多類似NetCAT的攻擊方式被發掘出來！研究人員表示他們希望能努力去警告CPU廠商們，別在還沒有徹底安全設計的情況下，將CPU的微架構資訊曝露給周邊設備廠商，以防止被濫用！ 不過，這其實有點兩難，你不公佈微架構給周邊設備廠商(例如網路卡製造商)，這些廠商就無法利用該CPU的特性，來提升其產品效能，以增加賣點了。 至於AMD EPYC處理器方面，由於並不支援DDIO功能，因此不需要擔心上述的問題！看來AMD的標語「」，可能越來越讓IT網管們心有戚戚焉了！

• 又有新的SWAPGS漏洞攻擊揭露！影響到2012年以後的Intel處理器，趕快更新！

  資安業者Bitdefender公布CPU的最新，採用類似Spectre與Meltdown這種側道(Side-channel)攻擊的方式，讓先前忙於幫這兩大漏洞補破網的處理器業者，又得傷腦筋了！ 這次Bitdefender研究人員發現到並證明了有一種新的側通道(Side-channel)攻擊方法，此攻擊也是建立在先前Spectre與Meltdown的基礎而來，但這次是直接繞過各種已知的軟硬體修正與防堵機制，來突破作業系統核心，以達到竊取資料的目的！Bitdefender表示這次的SWAPGS攻擊，可能影響到2012年以後Intel推出的採用新款預測執行機制的處理器，並順便廣告一下說，使用他們的Bitdefender Hypervisor Introspection，可讓Windows系統不受此新攻擊的影響。 這次的SWAPGS攻擊，已列入，算是Spectre V1的變種，只要是以Intel 64位元處理器執行Windows與Linux作業系統環境，都會有影響。SWAPGS漏洞可繞過現有的Spectre修補程式，讓攻擊者能夠獲得記憶體讀取權限，以讀取特定記憶體內的資料。 以下就以Q&A方式來說明這次的影響。 Q: 作業系統內核中，儲存的最敏感的訊息是什麼？密碼？還是存取憑證？ A: 敏感訊息可以包含任何可讓攻擊者進一步發動攻擊的資訊。例如，可能允許攻擊者進一步執行權限提升的關鍵點或特定位址。攻擊者還可以洩露內核記憶體中可能存在的其他敏感訊息，像是密碼、加密金鑰、代碼或存取憑證。 Q: 這次的漏洞會洩露儲存在Google帳戶和瀏覽器中的信用卡詳細資訊嗎？ A: 如果使用者在不經意的情況下，不小心允許了網路犯罪分子獲得進一步發動攻擊的動作(例如使用權提升)，那麼，這是有可能的。 Q: 這次到底有哪些Intel處理器受到影響？是什麼系列，以及何時生產？ A: 所有支援SWAPGS和WRGSBASE指令集的Intel處理器，都會受到影響。簡單來說，從Ivy Bridge (2012年上市)開始，到現在市面上最新的CPU，都會受到影響。 Q: 哪些裝置會受到影響？只有伺服器嗎？筆電和桌機也是否存在風險？ A: 只要是搭載Intel第三代(代號Ivy Bridge)以後的Core處理器，不管是桌機、筆電、伺服器都會受到此影響。不限於企業用戶、一般家庭用戶也會受到影響。 Q: 若我用的是Apple的裝置，是否會有風險？ A: 目前Bitdefender預期Apple的裝置是不會遭受到攻擊的，然而未來是否會受到影響，還是得等Apple的官方消息發布！ Q: 這次只有Intel的CPU受到影響嗎? AMD或ARM的呢？ A: 已知AMD和ARM的處理器也會受到影響！，說明他們的建議方式，包括其中有兩種是完全不受到影響的！另一種則是建議採用現有的Spectre v1修補檔來修補，即可防堵SWAPGS攻擊！ ＃影片＝https://www.youtube.com/watch?v=S-m7XVBzusU Bitdefender展示其產品防堵SWAPGS Attack的漏洞攻擊! 由於Bitdefender是在約莫1年前就發現這種SWAPGS攻擊，Black Hat USA 2019會議正式將此漏洞公諸於世，而Bitdefender在其官網也正式發布這個漏洞！不過OS業者已經有各式防堵措施！目前已知微軟已經在7月9日發布了這個漏洞的更新，適用於Windows 10以及各種版本，，若您有開啟Windows Update機制的話，應該修補好這次的漏洞！不用擔心這次的SWAPGS漏洞攻擊！ 至於Linux Kernel的修補檔由於已經在Git公開，目前各Linux發行商也正在開發新的Kernel修補檔，來修補SWAPGS漏洞。值得說明的是，這次不需要動用到CPU的微碼(microcode)更新，即可修補掉這個漏洞。 此外，幸運的是SWAPGS這種理論式的側道攻擊方式，在實際使用案例中是很難竊取到資料的。然而，為了滴水不漏的資訊安全需求，建議還是將作業系統核心修補一下，來防堵這次的漏洞！當然這次的修補，是否會造成效能降低，就留待後續發布的效能測試了！

• 中了勒索病毒！駭客要求比幣特幣交付贖金！資料救援專家名世科技，教你怎麼跟勒索病毒駭客斡旋解密救資料！

  勒索病毒又來了！你做好萬全準備了嗎？萬一中了勒索病毒！駭客要求付比特幣贖金！你會怎麼處理呢？ 受害者 來電：「請問是林淵博先生嗎？你3月29日是不是有匯款？0.2比特幣出去一個帳號？啊你匯款過去的原因是你被加密了嗎？你中加密勒索病毒付贖金嗎？應該是幫客戶解吧！0.2！喔！0.2！因為我幫客戶處理好幾筆，所以你在講哪一筆我不知道，我是電腦公司啦！喔！所以你們應該也是受害的廠商對了是不是？是這樣嗎？是幫客戶去付贖金，是幫客戶處理這件事情，那我理解了！」 「那你們一樣是收到勒索信嗎？喔！那沒有，一般中毒他都會留下他的Mail，對！我就幫客戶處理，那你就跟幣託公司買比特幣，然後再幫公司寄，然後他就寄解鎖的給你們，對！這很常見啊！電腦公司幾乎都遇到吧！因為我是想要找，不確定你的身分是怎樣，我們是想要找匯款的帳戶人到底是誰，你也是其中一家受害廠商就對？沒有，是我的客戶不是我，對呀！你的客戶也是其中之一就是，可是這幾年，我已經處理到快要爛了，因為這種事情也不是什麼新聞！」 「而且，我記得我遇到好幾個都俄國人，因為他回信就會帶出那個，就是會有時間戳記，IP來源是俄國，寄信的也是來自俄國，我看幾乎都是俄國信，因為他們回信雖然都用英文寫，可是手機簽名檔是跑不掉的，都會帶出來，我看都是帶俄文，所以我看都是俄國那邊的，那種俄國那種國家你也不曉得該怎麼辦。好！那我知道了，謝謝你！」 這是一通受害者來電，起因是查出名世科技執行長林淵博先生，向虛擬貨幣交易平台幣託BitoEX，購買了比特幣，匯款出去到一個帳號。 受害者也很厲害，透過機關逆向查出匯款人是林淵博，進而聯絡到林淵博先生。 從一個線索，找到蛛絲馬跡，再來從中抽絲剝繭，來找出答案。經過受害者得知，才得知已經有不少中了勒索病毒的被害人，特別是存有重要資料被加密的企業用戶，選擇付比特幣贖金，委託名世科技這邊，來跟駭客斡旋解密救資料。 然而，也因為時常收到受害者的來電，詢問中了勒索病毒怎麼解救，加上擁有約兩、三年時間數十件中了勒索病毒的資料救援經驗，讓「名世科技」在玩家圈爆紅，成為玩家圈熟知的「勒索病毒 資料救援專家。」 名世科技執行長林淵博先生，擁有約兩、三年時間數十件中了勒索病毒的資料救援經驗 這是一個好問題，中了勒索病毒該怎麼辦？ 中了勒索病毒，每個人遇到的處理方式都不同，每個人心中都有自己的答案。就好像遇到歹徒綁票一樣，小孩遭到歹徒綁架。這時候，你是要報警求助？還是交付贖金，以求歹徒保釋放回自己的小孩呢？或者是，乾脆不管了，被綁票的小孩子，就讓他去死一死呢？ 一般遇到歹徒綁架的話，不少人會報警求助，進而交付贖金，以求自己的小孩可以安全回家。 不過，電腦中了勒索病毒，可就沒有那麼簡單。這是因為歹徒是國外駭客，是我們俗稱的歪國人。而既然是外國人的話，報警又有什麼用處呢？難道警察可以包生小孩，保證儲存在電腦裡面的資料，可以不付贖金解密嗎？答案是否定的。 尤其，我們呆丸是個小島。台灣，可是個國際社會孤立的地方，邦交國還不斷被挖角，警察也很難施力，並不是像美國的FBI一樣夠。況且，敵暗我明，怎麼有辦法去跟國外的駭客來交手呢？加上被綁的是重要資料，你說該怎麼辦呢？ 目前，有推出勒索病毒解碼工具的防毒軟體資安業者，總共有Trend Micro、Kaspersky Lab、Avast、Emsisoft、Bitdefender、CERT-PL、Check Point、Elevenpaths與Intel Security，各大資安軟體業者相繼投入勒索軟體解碼工具的開發。 不過，以現在的電腦用戶來說，電腦裡面通常儲存了重要的照片、影片，公司行號的話，甚至是儲存會計報表，設計圖等重要文件，一旦中了勒索病毒慘遭加密，勢必是一定得要救回來才行，目前解決方案的話，可以先試試各大防毒軟體業者，所針對舊版勒索病毒所推出的萬用解密工具，新版勒索病毒的話，目前則是完全沒救，等於是要救回資料，一定要以比幣特幣交付贖金，才能拿到對應的解密金鑰，將資料進行解密救回來。 針對電腦中了勒索病毒的話，一般用戶都會相當緊張，即便是玩家，也有可能出現措手不及，不知道該怎麼辦的狀況，企業用戶的話，甚至可能發生雞飛夠跳的狀況，主要是因為公司的重要檔案資料遭到加密，甚至可能出現公司營運整個停擺的情形。 資料救援專家名世科技林淵博，提醒掌握「停看聽」三個原則。存在電腦硬碟裡的重要資料，或者是存在NAS裡的公司資料，中了勒索病毒的話，可能整個資料都慘遭加密。 中了勒索病毒的話，這時候務必不要慌張，得要先「停」下腳步。 千萬不要一慌就使用硬碟格式化，得要保持硬碟資料的完整性，不要亂刪除資料或進行格式化動作。 再來，就要「看」清楚駭客的要求。 一般中了勒索病毒，電腦一開機，就會出現一個倒數計時的畫面，而且還是一個多國語言顯示的警告畫面，告訴你電腦中了勒索病毒。這時候，務必要看清楚，是中了哪一款勒索病毒，要求的贖金是多少比特幣，倒數計時的時間也要看清楚，原因是時間到了之後，要求的贖金還會加倍，就等於問題更難解決了。所以，一定要趕赴在倒數計時完畢之前，決定做什麼樣的後置處理作業。 最後，不是每個電腦用戶，都會處理中了勒索病毒，也因此這邊會建議大家，先「聽」取專家意見。 所謂的專家，就是通常親朋好友裡面，都會有所謂的玩家，或者是意見領袖，是比較懂電腦的人，可以先詢問他們的意見。或者，也可以詢問當初買電腦的店家，一般來說，電腦公司比較有這方面的知識，比較不會弄巧成拙。 公司行號的話，被加密的資料，大多是商業資料等級。公司行號的商業資料，嚴重的話，資料壞了就連公司生意都不用做了，你說嚴不嚴重？中小企業或大公司，遇到中了勒索病毒，處理方式則更要小心，千萬不要不懂裝懂，自己亂搞是相當危險的，萬一沒處理好的話，後果將會非常嚴重的。 商業資料中了勒索病毒的資料救援，這邊，則會建議洽詢有實務經驗的資料救援業者，像是洽詢名世科技（名世科技有限公司，台中市東區進化路199-5號，04-2360-7713， ），找到這樣有充足勒索病毒處理經驗的專家。相對來說，也可以減少在解密救資料的時間浪費。 林淵博這邊也要提醒大家，若被加密資料真得很重要，一定得要解密救資料的話，那麼先試試各大防毒軟體業者，所針對舊版勒索病毒所推出的萬用解密工具，運氣好的話，還是可以救得出資料，等於是好運壞運，就得看你的命運。 不過，以實務經驗的話，新版勒索病毒的話，目前則是完全沒救，等於是要救回資料，一定要以比幣特幣交付贖金，才能拿到對應的解密金鑰，將資料進行解密救回來。 值得注意的，萬一中了勒索病毒，也不要傻傻的就直接交付贖金，還是去試試各大防毒軟體業者，所針對舊版勒索病毒所推出的萬用解密工具再說。萬一真的沒救的話，再來考慮是否交付贖金。這等於是說，交付贖金，則是最後不得已的解決方式！ 購買比特幣，也要精打細算 根據林淵博跟駭客交手的經驗，基本上付了比特幣贖金，還沒有遇過撕票的狀況。也就是說，都有提供解密金鑰，而解密金鑰也能都解開加密的檔案。 值得注意的，駭客也能討價還價。比方駭客要求的贖金是0.3個比特幣，一般可以殺到3～5折，等於可以在0.2個比特幣成交。更厲害的，則可以在0.1個比特幣成交。中了勒索病毒的話，之前的交付贖金行情，則是在1.2～1.5個比特幣，不過因為比特幣的行情上衝下洗，市況已經不一樣了，目前比特幣交付贖金的行情，已經跌到0.3～0.5個比特幣之間。 等於是說，中了勒索病毒交付贖金，是可以斡旋殺價討便宜！千萬不要傻傻的，沒殺價就交付贖金，反而當了冤大頭。 隨著科技日新月異，駭客的攻防戰，也可以說是越來越艱難，這可是一場正與邪的戰爭，善與惡的對抗。 在這場仙拼仙的大戰裡，可以說是道高一尺魔高一丈，這乃是因為作業系統、應用程式原先就有不少漏洞，而且新的漏洞還一直被找出來，也因為勒索病毒這有錢可賺，讓駭客絞盡腦汁去設法突破去搞鬼。正因如此，最後要提醒大家，務必得要定時更新作業系統、應用程式，並安裝防毒軟體。 若有使用NAS的話，則務必不要使用連線網路磁碟機功能，並使用快照功能，而且盡量避免電腦24H開機，減少中了勒索病毒，延緩被資料加密的時間。 最重要的，事前的預防，勝過事後的治療。事前的預防，花的只是小錢，事後的治療，花的可是大錢，而且，還不保證可以一定救回。 而所謂的完整資料備份，簡單來說，就是雞蛋不要放在同一個籃子裡，重要資料不要只放在同一個地方，要做資料備份，這樣才能確保硬碟裡的資料萬無一失。然而，NAS裡面的資料，也是需要再備份，可以使用快照功能，做一個安全防護的機制。或者，再使用第2台NAS，來進行分時備份，做更完整的資料備份措施。 然而，雖然事前的預防，勝過事後的治療，不過，整體來說，完整的資料備份，才是真正的上策！ 公司名稱：名世科技有限公司 公司地址：台中市東區進化路199-5號 公司電話：04-2360-7713 公司網址： →更多的【PCDIY!八卦】： →更多的【PCDIY!洋垃圾】： →更多的【PCDIY!歪國貨】： →更多的【PCDIY!賣場情報】： →更多的【PCDIY!玩家話題】：

• 微軟還是在意Win XP/7用戶的權利，本周二修補日推出安全性更新，以防堵類WannaCry的系統漏洞

  每個禮拜二是微軟的修補日(Patch Day)，這天會把一些產品進行各種更新。例如本週就在公布了最新發現的CVE-2019-0708系統漏洞，屬於遠端桌面服務的系統漏洞。 根據微軟網站的解釋，就是攻擊者可以透過RDP連線到受害者電腦，並傳送蓄意製作的要求時，「遠端桌面服務」即存在遠端執行程式碼弱點。此弱點是預先驗證，不需要使用者互動。成功利用此弱點的攻擊者可能會在目標系統上執行任意程式碼，讓攻擊者接下來能夠透過遠端來安裝程式、檢視、變更或刪除受害者的資料，甚至建立具有完整使用者權限的新帳戶，讓你的電腦讓攻擊者恣意使用。雖說目前暫時還沒發現有攻擊的案例，但趕快更新總是比較令人放心！ 這次受影響的作業系統大多是Windows 7以前的版本，至於Windows 8與Windows 10則不受影響。因此微軟提供KB4500331的安全性更新，來修補這次受影響作業系統的漏洞！此更新會更正「遠端桌面服務」處理連線要求的方式，藉此解決弱點，讓你不用擔心類似WannaCry這類的勒索病毒，會透過遠端的方式來登入你的電腦，以進行遠端控制或檔案加密。 值得注意的是，原先說好不再提供Windows XP用戶的更新包，這次微軟反倒「佛心」起來了，這次也提供了安全性更新。在微軟的中，可以看到Windows XP各版本與Windows Server 2003的更新包，讓還在使用XP的企業或個人，得以補破網，讓XP電腦不會受到這次的遠端攻擊！ 此外，在中，也可以發現有Windows XP SP3的修補包，無論從哪裡去下載，都記得趕快更新就是了。 至於Windows 7的用戶，微軟也推出KB4499175的安全性更新，讓使用者可以透過Windows Update的方式來自動補破網。要是您想要手動安裝的話，記得先確認有安裝最新的服務堆疊更新 (SSU)，這部份可參考的說明。 確認好SSU安裝好之後，再去。這樣就能搞定了！ 以下幫使用者整理好要下載的檔案，懶得看上面的步驟，看以下的就好了！更新好之後，就能讓您的Windows XP或Windows 7再戰10年！ ● Windows XP用戶： (一般請況都是下載「KB4500331：Windows XP SP3 安全性更新」這個520KB的更新包) ● Windows 7用戶： (一般情況Win7 x64用戶請下載「2019-03 適用於 x64 系統 Windows 7 的服務堆疊更新 (KB4490628)」這個9.1MB的更新包) (一般情況Win7 x64用戶請下載「2019-05 適用於 Windows 7，x64 架構系統的僅限安全性品質更新 (KB4499175)」這個100.5MB的更新包)

• «
• 1
• 2
• 3
• 4
• »