当前位置: > >资安一周[0117-0113]:FTC祭出2.5万美元徵求最佳IoT家庭安全方案

资安一周[0117-0113]:FTC祭出2.5万美元徵求最佳IoT家庭安全方案

03-12,IT资讯资安一周[0117-0113]:FTC祭出2.5万美元徵求最佳IoT家庭安全方案最新消息报导,口袋科技网(http://www.kotoo.com)IT资讯
图片来源: 

美国联邦交易委员会

重点新闻(01月17日-01月17日)
?

MongoDB攻击愈演愈烈, MongoDB祭安全查核表

在网路上供公开存取的开放源码资料库MongoDB在传出遭到骇客锁定、移除资料并进行勒索的疫情迅速蔓延,除了第一个展开行动的骇客之外,还加入了另外两个模仿犯,迄今攻击MongoDB公开资料库的骇客阵营已经超过了12个,而且还在持续成长当中,另外,受骇资料库的数量已突破1万个,且所勒索的金额从0.15个比特币(现值约137美元)到1个比特币(912美元)不等。揭露此一攻击行动是白帽骇客Victor Gevers,他在网路上搜寻了MongoDB的27017与28017等通讯埠,发现潜在受骇对象高达9.9万个,且随着加入的骇客阵营愈来愈多,受骇资料库的数量亦直线上升,估计已有超过2.7万个MongoDB资料库的内容遭到移除。而MongoDB背后的商业公司MongoDB. Inc则提供了安全查核表以协助MongoDB用户保障资料库安全。更多新闻

路由器、网路摄影机安全性不足,友讯遭美国政府告上法院

美国贸易委员会(FTC)控告路由器大厂友讯(D-Link)生产的无线路由器及IP摄影机安全防护不足可能遭骇,导致美国消费者资讯隐私受到侵害。FTC向加州北区法院提出告诉,友讯网站上虽然以标题为轻鬆防护及进阶网路安全性的行销文件标榜其路由器的产品安全性,但该公司的产品却有种种常见且防护也不难的安全瑕疵。如友讯相机软体整合写死(Hard-Coded)的登入验证资讯,可能导致未授权存取。指令注入(Command Injection)软体漏洞让远端攻击者可传送未授权指令而取得路由器控制权;D-Link软体的登入私有金钥码处置不当,像是暴露于公开网站上长达6个月;以及用户登入验证资料明明有免费防护软体而不用,却使其以可读取的明码形式留存行动装置的App上。更多新闻


图片来源:D-Link

电竞游戏社群ESEA遭骇,骇客勒索不成公开150万名会员的个人资料

电子竞技娱乐协会(ESEA)在去年12月底遭到骇客入侵,因拒绝支付骇客所提出的赎金,使得骇客于1月8日对外释出了ESEA网站中150万名用户的个人资料,如使用者的真实姓名、帐号名称、採用杂凑密码、电子邮件帐号、生日、电话、Steam ID、Xbox ID与PSN ID等。根据ESEA的描述,骇客是在去年的12月27日透过抓漏奖励专案与该组织联繫,宣称已经取得了该组织的使用者资料,并且向其勒索10万美元,否则就出售或公开相关资料。ESEA随后两天确认被攻陷的系统,将它隔离以进行修补。资安专家警告,即使使用者密码受加密保护,但骇客仍然可藉由详细的个人资料展开各式攻击,例如网钓攻击,特别是ESEA所提供用户填写的栏位超过了90个。更多新闻

美国中情局资料库遭骇,骇客公开中情局长等人个资遭判刑5年

据美国法务部检察官办公室近日公告,北卡罗莱纳州一名24岁男子Justin G. Liverman,承认于2015年11月入侵美国政府高级官员办公室,窃取并公开包括CIA局长John Brennan等人的网路帐号等个人资料,并电话骚扰与寄发威胁性简讯给受害者与其家人。此外,Liverman也入侵联邦执法资料库(Federal Law Enforcement Database),并在网站公开相关文件。当地地方法院宣判该男子违反侵入政府资料库和散布机密资讯,判处5年有期徒刑。更多资料

勒索软体FireCrypt不仅会加密资料,还能够发动DDoS攻击

专门蒐罗恶意程式的MalwareHunterTeam发现,一支名为FireCrypt的勒索软体,不仅会加密电脑里的资料,还能够利用受骇的电脑,发动DDoS攻击。MalwareHunterTeam经过分析发现,製作这一支程式的骇客,能够透过命令列程式自动将多个FireCrypt样本集合在一起,让骇客可以一次调整多个勒索软体的基本设定,不过,骇客能否成功骇进使用者电脑,取决于用户是否点击含有恶意程式的EXE档案,一旦用户成功点击之后,FireCrypt会使用AES-256加密法加密文件,并要求用户支付赎金500美元,另外,该勒索软体也会持续远端连线到巴基斯坦电信管理局,并下载大量垃圾档案,以储存在用户硬碟中的暂存文件夹里面。更多资料

微软、高通与花旗加入资安育成公司Team8的全球联盟

位于以色列的资安育成公司Team8宣布,Microsoft Ventures、Qualcomm Ventures与花旗集团(Citigroup)都将加入该公司的全球网路联盟,以协助Team8发展可解决现今各种网路安全问题的新创公司。而Team8全球网路联盟的成员则可共同参与建立一家资安公司所需的研究、理念的形成与验证阶段。Team8表示,在正式展开商业化经营的2016年,旗下公司已创造超过2,200万美元的营收,而所募集资金亦突破9,200万美元,目前全球员工数为180名,而且,预计于今年扩大Team8的规模,再招募100名新员工。更多新闻

赛门铁克推出家庭物联网装置专用的Wi-Fi路由器Norton Core

赛门铁克(Symantec)发表了专为家用物联网装置所设计的Wi-Fi路由器Norton Core,它内建资料加密、安全DNS、病毒扫瞄功能,可自动更新韧体,并具备家长控制功能,最多可支援20个连网装置。支援Wave 2 Wi-Fi的Norton Core搭载1.7GHz的双核心处理器,并有充足的记忆体及Flash储存空间以确保Wi-Fi与安全功能的最佳效能,2.5Gbps的传输速率可支撑4K串流与游戏应用。此外,Norton Core内建了安全机制,可扫瞄家用网路进出数据是否藏有恶意程式、病毒、垃圾讯息或遭到入侵,一旦察觉连网装置含有任何漏洞或威胁,Norton Core即会将该装置隔离,并且通知使用者。更多新闻

图片来源:赛门铁克

Google一口气修补逾90个Android安全漏洞,近三分之一为重大漏洞

Google分别在今年1月1日与1月5日释出Android平台的安全更新,总计修补了逾90个安全漏洞。当中有29个属于重大(Critical)风险漏洞,其中,最严重的漏洞为藏匿在Mediaserver的CVE-2017-0381,将可带来远端程式攻击。Google指出,该漏洞允许骇客藉由电子邮件、网路浏览或多媒体简讯促使系统处理多媒体档案时,执行远端程式攻击。除了CVE-2017-0381之外的28个重大风险漏洞中,有10个与Nvidia的GPU驱动程式有关,皆属权限扩张漏洞,另有10个与高通的多个元件有关。虽然修补的漏洞数量众多,不过,Google表示尚未收到任何漏洞遭到开採的通报。更多新闻

强化物联网家庭安全,FTC祭出2.5万美元徵求最佳的资安方案

美国联邦交易委员会(FTC)在今年1月4日发起物联网家庭资安检查挑战赛(IoT Home Inspector Challenge),祭出了2.5万美元的奖金给予提供解决物联网装置安全问题的最佳技术解决方案。此一活动邀请参赛者透过打造一项工具,来检察与解决物联网装置,因为软体老旧等所造成的安全漏洞。不过,FTC并没有限制相关技术的规格,因此该工具可以是个实体装置,简单地加进家中网路就能够替所有IoT装置进行检查及安装更新,也能是行动程式或云端服务,或者只是仪表板或其他的使用者介面,此外,参赛者也可以增添解决方案的功能,像是替使用者变更物联网装置所内建、出厂预设或任何简单的密码。更多新闻
整理⊙胡玮佳

声明:

·凡注明为其他媒体来源的信息,均为转载自其他媒体,转载并不代表本网赞同其观点,也不代表本网对其真实性负责。如系原创文章,转载请注明出处。

·您若对该稿件内容有任何疑问或质疑,请即联系,本网将迅速给您回应并做处理。

邮箱:mail@kotoo.com

+1 已赞
已有8人赞过
上一篇:没有了 下一篇:没有了
评论13

发表评论请 登录
  • 最新
  • 最热
评论举报

请选择举报理由

17 13

已收藏
去我的收藏夹 >

已取消收藏
去我的收藏夹 >