Log for 網路攻防戰~資安閒聊群組

標題：2016 年勒索軟體數量增加 752%

摘要：
根據趨勢的統計，2015年新增的勒索軟體家族數量只有29個，但去年卻增加了247個，成長了752%。在趨勢所攔截的勒索軟體中，有79%是透過垃圾郵件傳送。

趨勢科技指出，勒索是網路犯罪的本意，但沒有其他惡意軟體能夠超越勒索軟體，約在2005年現身的勒索軟體在去年的成長令人震驚，全副武裝的勒索軟體不但能加密個人電腦上的各種檔案格式，甚至還危及行動裝置與伺服器，從個人到企業皆受影響，控制勒索軟體的駭客們不只持續改善勒索軟體的能力，所要求的贖金也日益增加，且目前看來尚無止境。

迄今獲利最豐的勒索軟體則是Cerber，亦是藉由網釣郵件進行感染，但它同時發展出勒索即服務（ransomware-as-a-service）的經營架構，估計一個月便可進帳20萬美元。

原始資料：
https://blog.trendmicro.com/trendlabs-security-intelligence/ransomware-past-present-future/

引用來源：
http://www.ithome.com.tw/news/114520

主題：側錄「羅技無線鍵盤」的訊號(含影片示範)

影片示範：
http://youtu.be/P3zFq1y1KAE

說明：
說實在的側錄 27MHz 射頻 (無線電頻率) 的無線鍵盤訊號也不是什麼新聞了，早在好幾年前的美國駭客年會(BlackHat)上就已經示範過了。
只是當時主講者使用羅技的 Logitech 27 MHz Wireless Keyboards 所以後繼者也大多拿該公司的鍵盤做實驗。

本影片是由 Insight-Labs 的 Kevin2600 所錄製的，來重複驗證側錄無線的鍵盤訊號過程。


相關參考資料如下，就提供給有興趣深入研究的人探索！

滑鼠的相關規格介紹：
http://zh.wikipedia.org/wiki/%E9%BC%A0%E6%A0%87

駭客年會 BlackHat 研究報告下載處：
27Mhz Wireless keyboard Analysis Report aka "We know what you typed last summer"
http://www.blackhat.com/presentations/bh-dc-08/Moser/Whitepaper/bh-dc-08-moser-WP.pdf

實驗所使用的軟體：
1.Universal Software Radio Peripheral (USRP)
軟體說明：
http://en.wikipedia.org/wiki/Universal_Software_Radio_Peripheral

2.GNURadio Toolkit
軟體說明與具體安裝方法：
Transceiver for 27 MHz wireless keyboards from Logitech
https://www.cgran.org/wiki/Logitech27MHzTransceiver

3.KeyKeriki v1.0 - 27MHz 側錄工具下載處：
http://www.remote-exploit.org/articles/keykeriki_v1_0_-_27mhz/

4.KeyKeriki v2.0 – 2.4GHz 側錄工具下載處：
http://www.remote-exploit.org/articles/keykeriki_v2_0__8211_2_4ghz/index.html

你在google class中的東西都是寶呢

tg中的也是

都只是網路轉貼的東西啦

標題：Chrome有臭蟲!? 惡意網站可利用WebRTC暗中錄音錄影

測試網頁：
https://internet-israel.com/internet_files/webrtc/index.html

摘要：
WebRTC是讓網站即時串流影音內容的協定。透過WebRTC執行串流時，網站需先取得使用者同意以存取影、音內容，之後再執行JavaScript，經由MediaRecorder API錄下影音再送上網際網路給其他支援WebRTC串流的用戶端。

但研究人員發現，當網站取得使用者許可時，是取得了使用者整個網域的錄製權限，而不見得只是用戶開放錄製的內容。研究人員指出，Chrome在錄製時會在工具列顯示一個紅色圈內有個紅點的圖示，但是在跳出式網頁中由於不具有工具列，而不會顯示這個圖示。因此惡意網站可以先要求用戶准許進行WebRTC串流，再誘使用戶開啟JavaScript跳出視窗，這個視窗的JavaScript程式碼就能錄下用戶影像和聲音，而不必通知用戶。

這項臭蟲出現在Chrome 57.0.2987以前的版本。


原始資料：
https://www.bleepingcomputer.com/news/security/chrome-bug-allows-sites-to-record-audio-and-video-without-a-visual-indicator/


引用來源：
http://www.ithome.com.tw/news/114522

標題：天才駭客少年用一隻「熊」駭進全場藍芽：「物聯網沒有做好保護，就全是漏洞」

摘要：
美國一名綽號「網路忍者」的 11 歲電腦神童，今天在一場資安大會上實際示範駭入與會者的藍牙裝置，以操縱泰迪熊，證明只要是物聯網，智慧型玩具都能成為網攻武器。許多人也將這一幕拍下來傳到 twiiter 上。

魯賓使用他那隻毛茸茸的泰迪熊，透過無線上網連結雲端與藍牙，然後接收或傳遞訊息。他先將一個信用卡大小、名為「樹莓派」（raspberry pi）的電腦裝置插入筆電，然後掃描在場所有可用的藍牙裝置，在眾人驚呼下，載得包括在場許多高層官員的電話號碼。

然後魯賓再用一個電腦程式語言 Python，透過其中一組號碼駭入泰迪熊，開啟玩具熊的燈並從現場觀眾裡錄下一段簡訊。

被駭入的生活用品可用來竊取像密碼的私人資訊、當作遠端監控裝備監視小孩，或啟動 GPS 找出某人所在位置。

技術資料：
http://www.bbc.com/news/technology-32843518

影片：
https://www.youtube.com/watch?v=1v9_gn1N2ZU

原始資料：
https://www.theguardian.com/world/2017/may/17/boy-11-hacks-cyber-security-audience-to-give-lesson-on-weaponisation-of-toys

引用來源：
https://buzzorange.com/techorange/2017/05/26/teddy-bear-hack-u/

在台灣只會被當成是死小孩吧,然後被檢討為什麼會放11歲小童進會場參加活動

民情、教育方法不一樣