Log for 網路攻防戰~資安閒聊群組
標題:無線路由器資安問題大檢討!
摘要:
過去長期忽視的網路設備安全問題,我們應該以更高的要求來看待。儘管目前各式IoT方案與平臺也不斷在發展,但由於無線路由器提供對外連線的能力,因此,是否具備足夠安全性成為現在的一大重要課題。
先從一些簡單的問題來看,像是在無線路由器的設定管理時,後臺管理介面預設的帳號和密碼都是admin,或是管理者帳號是Admin,密碼預設為0000或空白,這對於設定過一些無線路由器產品的使用者來說,可能並不陌生。
更嚴重的問題在於,設備廠商是否積極維護產品的韌體,像是你知道你的無線路由器廠商,多久提供一次韌體更新嗎?
換一個角度來看,像是寬頻業者提供的數據機,現在也結合Wi-Fi路由器功能,但這類設備的安全防護性也令人感到憂心。
回到使用者的角度來看,對於無線網路安全的漠視,也是普遍常見的問題。以過去經驗來看,通常只要設備的網路能夠通,使用者多半就不會管路由器有沒有問題。這也導致路由器的安全漏洞被曝光後,很難得到及時的修復,因此存在巨大的安全隱患。
引用來源:
http://www.ithome.com.tw/news/112667
摘要:
過去長期忽視的網路設備安全問題,我們應該以更高的要求來看待。儘管目前各式IoT方案與平臺也不斷在發展,但由於無線路由器提供對外連線的能力,因此,是否具備足夠安全性成為現在的一大重要課題。
先從一些簡單的問題來看,像是在無線路由器的設定管理時,後臺管理介面預設的帳號和密碼都是admin,或是管理者帳號是Admin,密碼預設為0000或空白,這對於設定過一些無線路由器產品的使用者來說,可能並不陌生。
更嚴重的問題在於,設備廠商是否積極維護產品的韌體,像是你知道你的無線路由器廠商,多久提供一次韌體更新嗎?
換一個角度來看,像是寬頻業者提供的數據機,現在也結合Wi-Fi路由器功能,但這類設備的安全防護性也令人感到憂心。
回到使用者的角度來看,對於無線網路安全的漠視,也是普遍常見的問題。以過去經驗來看,通常只要設備的網路能夠通,使用者多半就不會管路由器有沒有問題。這也導致路由器的安全漏洞被曝光後,很難得到及時的修復,因此存在巨大的安全隱患。
引用來源:
http://www.ithome.com.tw/news/112667
標題:避免家用Wi-Fi路由器遭駭,你該知道的大小事
摘要:
根據OpenWrt開源組織在2016年9月的調查報告顯示,使用者對於保護家庭網路安全的作為,相當不足。而且只有1成7的人採取了更多防護措施,像是有去修改設備管理介面的密碼,甚至啟用Mac過濾、建立訪客連線或是禁用UPnP等。
改善無線網路安全的事項:
1. 需妥善設定SSID。
2. 請將無線網路設定為WPA2加密。
3. 切記Wi-Fi密碼設定不可過於簡單。
4. 管理介面的密碼修改也很重要。
5. 注意韌體更新,減少設備漏洞威脅。
6. 藉助其他工具或服務。
7. 利用更多進階管理功能。
更多Wi-Fi使用上的問題,用戶必須要瞭解其風險:
1. 提防免費Wi-Fi服務帶來的風險。
2. 使用破解Wi-Fi密碼的App也有風險。
引用來源:
http://www.ithome.com.tw/news/112668
摘要:
根據OpenWrt開源組織在2016年9月的調查報告顯示,使用者對於保護家庭網路安全的作為,相當不足。而且只有1成7的人採取了更多防護措施,像是有去修改設備管理介面的密碼,甚至啟用Mac過濾、建立訪客連線或是禁用UPnP等。
改善無線網路安全的事項:
1. 需妥善設定SSID。
2. 請將無線網路設定為WPA2加密。
3. 切記Wi-Fi密碼設定不可過於簡單。
4. 管理介面的密碼修改也很重要。
5. 注意韌體更新,減少設備漏洞威脅。
6. 藉助其他工具或服務。
7. 利用更多進階管理功能。
更多Wi-Fi使用上的問題,用戶必須要瞭解其風險:
1. 提防免費Wi-Fi服務帶來的風險。
2. 使用破解Wi-Fi密碼的App也有風險。
引用來源:
http://www.ithome.com.tw/news/112668
行政院擬大增資安人力、力推資安管理法今年上路,有人有資源才能真正落實資安業務
http://www.ithome.com.tw/news/112839
來除了現有的公務機關,依照資安管理法的規定,一旦爆發資安事件,必須強制通報給行政院以及上級機關之外;非公務機關包含的關鍵基礎設施提供者,以及適用資安責任等級分級及受指定之非公務機關的產品或服務,在該法中也規定,將強制通報給中央目的事業主管機關。
「不僅要資安通報,更要做到資安資訊分享,才有機會做到資安預警。」簡宏偉表示,未來資安處也會建立一個國家層級的資安情資分享單位,包括國家級的SOC(資安監控中心)、國家級的ISAC(資訊分享與分析中心)和國家級的CERT(電腦緊急應變小組),讓所有的資安情資可以共享。
http://www.ithome.com.tw/news/112839
來除了現有的公務機關,依照資安管理法的規定,一旦爆發資安事件,必須強制通報給行政院以及上級機關之外;非公務機關包含的關鍵基礎設施提供者,以及適用資安責任等級分級及受指定之非公務機關的產品或服務,在該法中也規定,將強制通報給中央目的事業主管機關。
「不僅要資安通報,更要做到資安資訊分享,才有機會做到資安預警。」簡宏偉表示,未來資安處也會建立一個國家層級的資安情資分享單位,包括國家級的SOC(資安監控中心)、國家級的ISAC(資訊分享與分析中心)和國家級的CERT(電腦緊急應變小組),讓所有的資安情資可以共享。
工業局:政府資安採購新原則,要以臺灣研發優先
http://www.ithome.com.tw/news/112977
在政府資安採購上,工業局將從政府資訊採購的軟體共同供應契約著手,包括軟體和雲端服務都納入,將優先採購臺灣自主研發的資安軟體,或是軟硬整合的軟體產品和服務,簡單來說,就是政府採購上要以「臺灣研發優先」原則,來促進內需成長。
臺灣研發優先原則開始將先適用於政府資安採購上,但「不會只限於此,還會將非資安產品納入,將要求政府採購任何ICT產品時,也要納入資安能力的考量,」尤其是軟硬體整合的ICT產品,像是IP監視攝影機,這類需具備資安能力的資訊產品採購,也將採取臺灣研發優先原則。
中小企業研發抵減重點是,企業需設立「研究發展單位」來負責研發,而且不能只是改進現有產品或服務的生產流程,還有一定程度的創新。中小企業只要將MIS部門改名為研發部門,就可以具備申請資格,再來開發一些解決內部資安問題的新系統,就機會通過申請來抵稅。「這是要鼓勵中小企業將IT部門變成企業的研發部門。」
http://www.ithome.com.tw/news/112977
在政府資安採購上,工業局將從政府資訊採購的軟體共同供應契約著手,包括軟體和雲端服務都納入,將優先採購臺灣自主研發的資安軟體,或是軟硬整合的軟體產品和服務,簡單來說,就是政府採購上要以「臺灣研發優先」原則,來促進內需成長。
臺灣研發優先原則開始將先適用於政府資安採購上,但「不會只限於此,還會將非資安產品納入,將要求政府採購任何ICT產品時,也要納入資安能力的考量,」尤其是軟硬體整合的ICT產品,像是IP監視攝影機,這類需具備資安能力的資訊產品採購,也將採取臺灣研發優先原則。
中小企業研發抵減重點是,企業需設立「研究發展單位」來負責研發,而且不能只是改進現有產品或服務的生產流程,還有一定程度的創新。中小企業只要將MIS部門改名為研發部門,就可以具備申請資格,再來開發一些解決內部資安問題的新系統,就機會通過申請來抵稅。「這是要鼓勵中小企業將IT部門變成企業的研發部門。」
標題:加密專家指 Let's Encrypt 發了近1.5萬張憑證予 PayPal 網釣網站
摘要:
Let's Encrypt的用意在於推動網路的加密傳輸,然而,免費且快速的憑證發行流程同樣也降低了駭客取得憑證的門檻。Lynch說,這原本就是Let's Encrypt當初最受質疑的部份,但Let's Encrypt卻認為扼止惡意網站並非憑證機構的責任。
Lynch是利用crt.sh搜尋引擎查找使用內含PayPal字樣的憑證,指出PayPal網釣網站泛濫的程度比原先以為的更嚴重。
除了PayPal之外,Lynch亦發現Let's Encrypt還發行了大量內含美國銀行(Bank of America)、Apple ID與Google等字樣的憑證。
引用來源:
http://www.ithome.com.tw/news/113008
摘要:
Let's Encrypt的用意在於推動網路的加密傳輸,然而,免費且快速的憑證發行流程同樣也降低了駭客取得憑證的門檻。Lynch說,這原本就是Let's Encrypt當初最受質疑的部份,但Let's Encrypt卻認為扼止惡意網站並非憑證機構的責任。
Lynch是利用crt.sh搜尋引擎查找使用內含PayPal字樣的憑證,指出PayPal網釣網站泛濫的程度比原先以為的更嚴重。
除了PayPal之外,Lynch亦發現Let's Encrypt還發行了大量內含美國銀行(Bank of America)、Apple ID與Google等字樣的憑證。
引用來源:
http://www.ithome.com.tw/news/113008