Log for 網路攻防戰~資安閒聊群組

標題：新版台灣總統府官網上線，來盤點一下缺點吧！

總統府全球資訊網全新改版，6月7日上午8時正式上線公告：
http://www.president.gov.tw/NEWS/21396

引用：
發言人說，總統府新版網站延續「人民的總統府」施政理念，希望成為一個讓所有國人共同關心國是的園地，也非常歡迎民眾針對新版網站提供寶貴建議。6/7 上線後至6/30，民眾可將新版網站的相關意見寄至 newweb@oop.gov.tw ，如經採納，總統府將致贈紀念小禮做為回饋，並做為新版網站精進的參考。

摘要：
左側的 Logo 實在不大協調，一個小小的位置就擠了「中華民國總統府+英文+國旗」，這算是第一眼見到的缺失。

再來的 bug 是由網友提供，點一下「寫信給總統府」畫面，Safari 會跳出無法識別網站憑證的訊息，Chrome 則是會出現全版的警告視窗。

再來，只要將滑鼠移過去頂端的按鈕，就會跳出選單。但「焦點議題」這四個字是不能按的，這也稍微違反了常理。

箭頭處多了六個迷樣的小點，本來以為是展開所有新聞之類的，但發現那個根本沒辦法按，肯定也不是裝飾用途，因此那些東西是怎麼跑出來的就不得而知了。

在頁面上也有各種社群的分享鈕，試圖分享到 Facebook，結果…沒有出現預覽圖，標題也只有網址…別人不仔細看還以為是病毒咧！

引用來源：
https://www.cool3c.com/article/125277

標題：iPhone用戶個資外洩!? 竟是中國蘋果經銷商員工搞鬼

摘要：
報導指出，浙江省蒼南縣警方今年1月發現有人在網上販售iPhone用戶個資，經過數個月的循線調查，最後獲破並逮捕涉案人士22人，其中20人為蘋果中國經銷商及蘋果外包商員工。中國警方查扣了相關電腦、手機、金融卡等作案工具。

警方發現，歹徒是利用蘋果內部系統，非法存取iPhone用戶的姓名、手機號碼、Apple ID等訊息，並以每則10到180元人民幣不等的代價在網路上販售，粗估他們因此獲利超過5000萬人民幣（約台幣2.2億元）。

原始資料：
http://news.xinhuanet.com/2017-06/07/c_1121101302.htm

引用來源：
http://www.ithome.com.tw/news/114803

標題：Google Interland 一款教孩子網路安全的遊戲，但你我都需要！

摘要：
Google 推出了一個全新的線上遊戲：「 Google Interland 」，他用遊戲化的方式，在冒險遊戲過程中，想要讓孩子們主動去理解、學會網路安全的幾個基本知識、技能。

事實上，在「 Google Interland 」這個線上冒險遊戲中， Google 用遊戲不只說明了安全與隱私的技巧，也解說了如何在網路上「成為一個善良的人」，或是「如何面對網路詐騙」的心法。

「 Google Interland 」並非只教網路安全技能，更傳達一些重要的網路上的信任、關懷觀念，例如在一個學會網路分享原則的遊戲中，他會透過遊戲，告訴你注意到那些可能侵犯隱私、傷害他人的分享。

「 Google Interland 」是一款有趣的線上冒險遊戲，而在遊戲中，透過互動解說，可以讓老師引導學生去認識網路安全與信任的態度，其實，也很適合身為大人的網路世代的我們，玩上一遍，看看自己是否漏了哪些重要的觀念。

「 Google Interland 」網站：
https://beinternetawesome.withgoogle.com/interland

引用來源：
http://www.playpcesor.com/2017/06/google-interland.html

標題：中國網路攝影機爆10多項安全漏洞，恐累及十多項品牌

摘要：
F-Secure研究人員檢視Foscam旗下Opticam i5 HD及Foscam C2二款產品線，在Opticam i5發現到18項安全漏洞，而C2也有其中多項漏洞。這些漏洞有的讓攻擊者讀取到影像、控制相機運作、或是從內建FTP伺服器下載檔案，輕則導致無法錄影，重則利用這些攝影機進行DDoS或其他惡意活動。

這些漏洞包括：不安全的預設密碼，像是採用非隨機或空白密碼；將FTP伺服器或網頁登入資料寫死而無法為用戶變更；隱藏的Telnet功能給予攻擊者入侵裝置或區域網路；指令碼注入漏洞；防火牆存取控制不當，使攝影機所在IP位址能仍為telnet、RTSP、FTP、ONVIF等協定存取；堆疊緩衝溢位漏洞；跨站指令碼(XSS)漏洞。另外，還有多項漏洞與網站資源的存取驗證不足或不當有關。

研究人員舉例，藉由FTP空白密碼的漏洞，任何人都可以發動指令碼注入攻擊，為裝置加入一名根目錄使用者，並啟用標準遠端登入服務（Telnet），最後只要攻擊者利用Telnet遠端登入，即可獲取裝置的管理員權限。


原始資料：
http://images.news.f-secure.com/Web/FSecure/%7B43df9e0d-20a8-404a-86d0-70dcca00b6e5%7D_vulnerabilities-in-foscam-IP-cameras_report.pdf

引用來源：
http://www.ithome.com.tw/news/114811

標題：防信用卡、悠遊卡被感應盜刷，Moshi新包包內建RFID防盜刷功能

摘要：
信用卡、悠遊卡、一卡通等感應支付票卡的普及，每個人出門錢包裡可能放著各種信用卡、交通票卡，雖然以信用卡、悠遊卡感應付費很方便，但也面臨被感應盜刷的風險，看準有些疑慮的消費者需要，Moshi 推出的新包包採用RFID防盜刷的功能。

在兩款包包的內部特別設計一個附有拉鏈的口袋，這個口袋專門為RFID防盜刷設計，消費者可以將放有悠遊卡或信用卡的錢包放入口袋中拉上拉鏈，就能夠降低有心人士利用RFID感應器盜刷的風險。


引用來源：
http://www.ithome.com.tw/news/114819

標題：Zscaler發現惡意程式會藉廣告自動下載到Android裝置

摘要：
雲端資安業者Zscaler本周發現一潛藏在廣告中的Android惡意程式，當Android用戶瀏覽到嵌入該惡意程式的廣告時，即會自動下載。

而使用者所下載的Android檔案為kskas.apk，程式名稱為Ks Clean（下圖，來源：Zscaler），偽裝成Android的系統清理工具。安裝後它馬上會出現一個更新訊息，宣稱Android手機上含有安全風險，督促使用者進行更新，若使用者順從地按下更新，它便會安裝另一個假冒為更新檔案的apk，隨之要求使用者賦予管理權限。

取得管理權限的Ks Clean把自己登記成一個Android接收器（Android receiver），禁止使用者關閉它的裝置管理權限，自此，使用者再無移除它的能力。

Zscaler指出，Ks Clean可執行各種惡意行為，諸如載入或卸載文件系統、讀寫書籤歷史紀錄、覆蓋系統視窗、變更裝置設定，或是逕自下載其他檔案等。目前該惡意程式的主要功能為不論何時何地都能跳出廣告視窗，就算在使用其他程式時也一樣。

原始資料：
https://www.zscaler.com/blogs/research/malicious-android-ads-leading-drive-downloads

引用來源：
http://www.ithome.com.tw/news/114816

標題：惡意程式鎖定Raspberry Pi，讓裝置成挖礦工具

摘要：
俄國資安業者Dr.Web本周揭露了一款鎖定Raspberry Pi單板電腦的惡意程式Linux.MulDrop.14，該惡意程式的主要目的是把Raspberry Pi裝置變成虛擬貨幣的採礦工具。

Linux.MulDrop.14是藉由開放的SSH傳輸埠（Port 22）感染Raspberry Pi，它以Raspberry Pi的預設帳號pi及密碼raspberry進入被駭裝置，變更裝置的密碼，安裝虛擬貨幣採礦程式，還可以搜尋網路上公開的Port 22，依照同樣的程序感染其他Raspberry Pi裝置。

由於Linux.MulDrop.14只使用pi及raspberry這組憑證，顯示它現階段只針對Raspberry Pi，但惡意程式作者仍然可添增其他物聯網裝置的預設憑證，以擴大感染範圍。

原始資料：
https://news.drweb.com/show/?i=11320&lng=en&c=14

引用來源：
http://www.ithome.com.tw/news/114815