Log for 網路攻防戰~資安閒聊群組

標題：Spectre新攻擊手法可突破Intel SGX防護機制竊取程式機密資訊(含影片示範)

摘要：
俄亥俄州大學安全研究人員發現一項新式Spectre攻擊手法，可突破英特爾軟體防護擴充指令集（Software Guard Extension，SGX）機制而竊取用戶資訊。

名為SgxPectre的攻擊手法鎖定英特爾為新式Core處理器加入的安全功能SGX。SGX可讓應用程式跑在處理器記憶體內隔離的環境，稱為執行環境（enclave）中，確保應用執行極機密的程式碼或隱私資料，像是加密金鑰、密碼、使用者資訊等。

引用來源：
https://www.ithome.com.tw/news/121615

影片示範：
SgxPectre demo - Reading register values
https://www.youtube.com/watch?v=dOJgPNovFZo

[討論] 我做了飛機杯盲測 - 看板 LGBT_SEX - 批踢踢實業坊
https://www.ptt.cc/bbs/LGBT_SEX/M.1520233000.A.107.html

標題：人權組織指控中國用大數據監控新疆人民

摘要：
中國政府已在新疆利用大數據分析技術建立及部署治安預測專案，該專案將大量蒐集當地民眾的資料，並標註那些可能對官方造成威脅的個人。

HRW的中國研究人員王松蓮則說，中國不但公然地以大數據及治安預測侵犯了民眾的隱私，還讓公安得以任意拘留民眾，新疆民眾根本不知道此一黑盒子專案或運作原理，亦無從抵抗這些入侵他們生活的審查制度。

原始資料：
https://www.hrw.org/news/2018/02/26/china-big-data-fuels-crackdown-minority-region

引用來源：
https://www.ithome.com.tw/news/121622

標題：研究人員發現4G LTE網絡協議漏洞，可用來監聽用戶和追踪

摘要：
近期，四名美國大學的研究人員發現了4G LTE 協議中的問題，利用這個漏洞可以進行虛假信息的編造，還可以監聽用戶和地址追踪。

研究員在其論文中描述了一款名為LTEInspector的漏洞攻擊工具，其中可以運行10種全新的攻擊方法。

更讓人擔心的是，研究員在論文中也表達了對於漏洞修復可行性的懷疑：在現有協議的基礎上額外增加安全性能修復會很難實現。

原始資料：
https://www.theregister.co.uk/2018/03/05/4g_lte_protocol_vulnerabilities/

引用來源：
http://www.freebuf.com/news/164109.html

研究論文下載處：
LTEInspector: A Systematic Approach for Adversarial Testing of 4G LTE
http://wp.internetsociety.org/ndss/wp-content/uploads/sites/25/2018/02/ndss2018_02A-3_Hussain_paper.pdf