资安一周第71期：台湾在获得GDPR适足性认定方面，以及发展国内量子加密通讯技术面向，均有新进展

1128-1204一定要看的资安新闻

 

＃GDPR

台湾有望2020年获得GDPR适足性认定

图片来源／李静宜

在去年5月欧盟GDPR上路后，国家发展委员会（国发会）在行政院指示下，已经成立个人资料保护专案办公室，并成为个人资料保护法的法律主政机关，且在参考欧盟相关文件后，完成欧盟GDPR适足性评估报告，并于同年12月，将评估报告送交欧盟。近日，国发会副主委郑贞茂在一场论坛中，透露了申请GDPR适足性认定的进展顺利，将有望在2020年获得GDPR适足性认定，一旦台湾通过，将可让台湾境内企业自由与欧盟间进行个资跨境传输。郑贞茂并表示，这对台湾企业来说，可以不用各别与欧盟申请符合GDPR规范，降低许多企业的成本。更多内容

 

＃Docker安全　＃挖矿程式

骇客扫描网络Docker植入挖矿程式，还会修改设定与留下后门

图片来源／撷取自Bad packets\'s Twitter

愈来愈多关键应用搬上Docker，因此这样的容器环境成为骇客下手的目标。Bad Packets近日侦测到，骇客正在网络上扫描曝露出的API，利用工具Zmap扫描TCP 2375埠、2376埠、2377埠与4243埠，一旦找到受害系统的API，就会利用API端点启用Alpine Linux容器，执行指令，进而安装Monero挖矿程式XMRig，并且还会企图关闭已知的防火墙及其他安全防护。而另一家资安业者SandflySecurity公布的分析则显示，骇客还会留下后门账号、SSH金钥，以及变更主机设定，以便未来更方便控制及存取主机。资安业者建议，用户应尽速关闭Docker API传输埠，并删除掉所有不认识的容器。更多内容

 

＃通用弱点列表

CWE公布2019年最危险的25个软件错误

图片来源／CWE

由美国国土安全部旗下的科学暨技术局（S&T）负责管理，并交由非营利的研发机构MITRE经营的“通用弱点列表”（Common Weakness Enumeration，CWE），当中汇整了最常见、也最严重的软件错误，可能导致软件出现重大安全漏洞，被视为改善网络安全弹性的重要工具。今年，CWE首度把过去两年来约2.5万个安全漏洞的分析结果，也纳入评估，共有25个2019年最危险的软件错误（2019 CWE Top 25）。其中，第一名为内存缓冲区界限内操作的不当限制（CW-119），第二名为网页生成过程出现不当的中和输入，衍生各种跨站程式攻击漏洞（CWE-79），第三名则是不当的输入验证（CWE-20）。更多内容

 

＃网钓攻击　＃木马程式　＃饭店业

锁定饭店POS窃取客户信用卡个资，骇客发动网钓攻击以植入木马程式

图片来源／卡巴斯基

卡巴斯基揭露骇客发动网钓邮件攻击，专挑饭店POS系统与知名订房网站植入木马程式，以窃取消费者资讯及信用卡资料，最新的一波攻击中，全球已有20家饭店遭到毒手，其中8家位于巴西，其他则散见于欧洲、南美等10国。

卡巴斯基GReAT研究小组指出，他们在2015年首次发现的木马程式RevengeHotels，在2019年有活动升高趋势，入侵手法主要是透过电子邮件散布假造的Word、Excel或PDF文件，像是报价单。一经员工开启，附件中的恶意程式即利用微软Office旧有的CVE-2017-0199漏洞，透过VBS和PowerShell scripts载入POS系统，并安装恶意程式。更多内容

 

＃勒索软件　＃服务供应商　＃医疗领域

提供110家疗养院服务的IT业者VCP遭遇勒索软件

医疗服务供应商已成为勒索软件攻击最大宗受害族群，资安部落客Brian Krebs近日专访了一家正遭遇勒索软件的业者，名为Virtual Care Provider（VCP），他们是美国110家疗养院的IT服务供应商，负责维护8万台电脑与服务器。根据VCP负责人暨首席执行官Karen Christianson表示，该公司在11月17日被骇客植入Ryuk勒索软件，导致VCP代管的所有客户资料被加密，并且几乎影响VCP所有核心服务，从网络服务、电子邮件、病患资料存取、客户账单系统、电话系统，连自家的薪资系统都被牵连。由于勒索赎金高达1,400万美元的比特币，该公司无力支付，正在尽全力恢复系统，否则不只自己可能倒闭，还可能连累客户关门大吉，甚至危及疗养院的病患。更多内容

 

＃假新闻

脸书遵循新加坡的假新闻法，标注被-视为假新闻的贴文

新加坡-在11月下旬，指称政治评论网站States Times Review对该国-的报导不实，因而要求该网站更正，但对方拒绝在脸书粉丝页上更正此一消息，使得新加坡-转而要求脸书处理，而脸书则是依照当地《线上虚假与操纵法案》（Online Falsehoods and Manipulation Act ，POFMA）的规定，在该文章的下方作了注解，而这样的作法也让外界议论纷纷。

对此，脸书表示，该站是受到POFMA的正式要求，必须让当地民众知道新加坡-认为这是个不实资讯。新加坡-也透过官方的事实查核网站澄清了该新闻，解释了文章中的不实指控。而该网站创办人曾是新加坡居民，现为澳洲公民，他认为，新加坡-会继续滥用POFMA法案。更多内容

 

＃资安标准

BSI揭露2019下半年最新国际资安动态

图片来源／BSI

今年的英国标准协会（BSI）举办的国际资安标准年会上，他们揭露了2019年的国际资安现况观察，以及资安隐私标准的新趋势。其中，BSI台湾总经理蒲树盛指出，根据今年道琼永续指数（DJSI）年度调查，增加网络安全和系统稳定性，以及隐私保护两个题组，这也意谓著，评比机构对资安管理与隐私保护的重视程度，将变得明确。对于隐私保护的管理，BSI指出新版BS 10012最具参考的指标，而今年新公布的隐私保护管理ISO/IEC 27701标准也是重点，结合了参考与验证要求，他们并说明了企业导入时需注意的重点。更多内容

 

＃资安意识推广

-透过4大竞赛活动向学生与全民推广资安概念，今年一系列活动吸引破万人参与

图片来源／撷取自2019资安系列竞赛网站

为推广全民资安意识，以及加强大专校院学生资讯安全技术能力，并借由活动宣导资安讯息，由行政院资通安全处与教育部指导，行政院国家资通安全会报技术服务中心主办的“108年资安系列竞赛”，近日宣布正式落幕。今年举办的一系列活动，包含资安技能的金盾奖、资安影片的故事微电影、资安画作的海报，以及资安知识竞赛“CS资安防卫战”。其中，金盾奖首度开放国高中学生报名，本届共有131队参赛，资安知识竞赛则是今年首度举办，借由PaGamO平台进行线上知识问答，期望透过游戏的方式，增加民众参与活动的兴趣，并提升资通安全意识。而这次举办的各项竞赛活动，总共吸引了14,082人报名参与，其中新推出的资安知识竞赛，就有10,111人报名，大幅提升这一系列活动的参与规模。更多内容

 

＃光子　＃量子加密通讯

台湾量子加密通讯技术新突破，专家深入剖析其系统设计与原理

摄影／罗正汉

随着运算能力远超现代电脑的量子运算技术出现，现在看似安全的密码，将能在极短时间内被破解，资安出现新的隐忧，而量子技术的另一发展道路──量子通讯加密，则是实现密码安全的作法。

目前国际上，对于量子电脑、量子通讯都已研发相当多年，为了让台湾可以跟上国际在量子技术的发展，去年开始，科技部将量子技术列为优先补助的项目之一，并协同教育部共同成立前瞻量子科技研究中心。最近，该研究中心的清华大学团队宣布，已经打造出量子加密通设备原型，在今年7月，已经成功测试25公里室内光纤量子加密通讯，今年9月，更是实现4公里的户外光纤量子加密通讯。这也意味着，台湾现在也能自主掌握此一领域的关键技术。在该团队打造的这套系统中，主要利用激光衰减到一颗颗“光子”，也就是光的最小组成粒子，来传递加密所需要的密码，并配合差分移相协议，做到绝对安全的密码产生与传输。更多内容
 

更多资安动态
Android漏洞可让合法app被冒充执行，已有30多款恶意程式开采作乱
简讯服务供应商TrueDialog的云端数据库没遮拦，账号、密码、简讯内容全曝光
Google揭露多个由-资助的攻击与虚假讯息行动
研究人员假冒美国镇长取得.gov网址