Log for 網路攻防戰~資安閒聊群組

Core Security 安全研究員發現趨勢科技 Trend Micro Email Encryption Gateway 產品中存在數個郵件加密漏洞，其中包括風險級別為 critical 和 high 的漏洞。

這些漏洞到的 CVE 編號分別為 CVE-2018-6219 至 CVE-2018-6230。

原始資料：
http://securityaffairs.co/wordpress/69499/hacking/trendmicro-email-encryption-gateway-flaws.html

標題：開源Suricata入侵偵測，揪出網路攻擊與異常行為

摘要：
示範如何利用開源碼Suricata建置一套網路型入侵偵測系統，用來監控內部網段中是否存在異常的攻擊行為，以便及早防範，避免傷害擴大。

除了消極的記錄之外，如果入侵偵測系統具有入侵偵測防禦系統（Intrusion Prevention System，IPS）的功能，即可在發現惡意的攻擊行為當下，立即阻擋該惡意的攻擊行為。

在本文中，將介紹一套在開源碼社群中知名的入侵偵測系統Suricata（官方網址為http://suricata-ids.org/），用來建置網路型入侵偵測系統，以監控內部網段中是否有異常的攻擊行為正在進行。

引用來源：
http://www.netadmin.com.tw/article_content.aspx?sn=1802020008

1. 客戶的意見決定品質。
2. 客戶要找愚蠢的。
3. 客戶在接觸到產品之後，才會真正明白自己的需求。
4. 我的工作是欺騙客戶，而你的工作則是支持我。
5. 只要有充足的時間，所有安全防禦系統都將失敗。
6. 安全防禦是否失敗取決於及早規劃。
7. 將複雜的東西整理成簡單的很困難，但是要是把複雜的搞得更複雜，那就簡單了。
8. 永遠不要停止學習，一旦你停下來，技術的浪頭就會狠狠將你拍死在沙灘上。

https://buzzorange.com/techorange/2016/02/15/lessons-from-my-lifetime-of-being-a-programmer-during-30-years/

標題：你用的密碼安全嗎？新版密碼強度檢測工具Pwned Passwords出爐

摘要：
澳洲安全專家Troy Hunt發表了Pwned Passwords 2.0版，它蒐集了更多外洩的帳號與密碼，可讓使用者檢查自己所設定的密碼是否安全，密碼管理服務1Password本周即宣布將整合Pwned Passwords 2.0。

Pwned Passwords為Have I Been Pwned（HIBP）服務的功能之一，HIBP服務可讓使用者檢查自己的個人帳號是否在外洩名單中，Pwned Passwords即是該服務所使用的外洩密碼資料庫，去年發表的Pwned Passwords 1.0含有逾3.2億筆外洩密碼，最新的Pwned Passwords 2.0則增加到逾5億筆。

Pwned Passwords 2.0版：
https://haveibeenpwned.com/Passwords

原始資料：
https://www.troyhunt.com/ive-just-launched-pwned-passwords-version-2/

引用來源：
https://www.ithome.com.tw/news/121514

標題：新加坡國防部成功完成道德駭客計畫

摘要：
新加坡國防部(MINDEF)今天宣佈首次國防部漏洞獎勵挑戰賽(MINDEF Bug Bounty Challenge)的結果。該比賽是在主要駭客安全平臺HackerOne的協助下進行的。

HackerOne是排名第一的駭客安全平臺，致力於協助組織在關鍵漏洞被利用以前能先獲知和解決漏洞。

這項為期三週的計畫邀請了300名正派駭客滲透其系統，包括國防部的公共網站、NS入口網站和國防郵件系統。新加坡國防部漏洞獎勵挑戰賽是該部首個群眾外包式的安全措施，也是亞洲率先實施此類計畫的政府機構。

原始資料：
https://www.businesswire.com/news/home/20180221005507/en/

引用來源：
http://www.cna.com.tw/postwrite/Detail/229287.aspx