部落格

  • Whoscall 幫你過濾煩人的詐騙電話、推銷電話和垃圾訊息

    大家最近有覺得詐騙電話、推銷電話越來越多嗎?還有那種、甚至打來根本就是語音,每次都是講重複東西的電話,防不慎防。

    想要避免詐騙電話、推銷電話怎麼辦?現實生活中其實很難避免,只要我們曾經有在外面留過任何資料,都很容易被外流,甚至是被合法利用,如果真的不想接到、推銷電話,這裡推薦大家一個好工具,可以讓你在接電話之前,就知道這通電話是誰打來的。

    本篇內容

    Whoscall 是什麼?

    如果你已經知道 Whoscall 是什麼,可以跳過這一段介紹,直接看看 Whoscall 進階版又帶來了什麼好用的新功能。

    在文末我們也會提供 Whoscall 的載點,方便大家下載試用。

    接起電話前就讓你知道是誰打來的

    Whoscall 是一款可以在來電時,同步顯示電話是誰打來的、是不是垃圾電話或詐騙電話的一款軟體。

    你說他們怎麼知道電話是不是詐騙電話或推銷電話?因為他們有一個龐大的資料庫,搜集了全球各地超過 16 億筆電話號碼的來源,所以不要說台灣了,接到從中國大陸打來的詐騙電話說你的小孩在我手上的那種都可以在你接起電話前就讓你知道。

    Whoscall 過濾詐騙電話怎麼用?

    如果你沒用過,可能會好奇 Whoscall 要怎麼用?其實很簡單。

    App 裝好、設定打開、完成

    Whoscall 的使用方法真的「非常簡單」,App 下載好以後基本上就可以了,只是要注意,在「設定」的「電話」功能裡面,有一個「通話封鎖與識別」功能,把裡面跟 Whoscall 有關的選項通通打開,就完成了。

    記得開啟自動更新

    上面提到 Whoscall 擁有全球 16 億筆以上的垃圾電話資料庫,而這個資料庫不時會進行更新,所以大家要記得不時回來更新一下。

    但如果是進階版的訂閱者,就可以開啟自動更新功能,Whoscall 會在背景不定時進行垃圾電話號碼資料庫的更新。

    Whoscall 過濾詐騙電話、推銷電話功能介紹

    接著要來跟大家介紹一下 Whoscall 的幾個主要功能。

    來電辨識、告知

    這是 Whoscall 最基本的功能了,無論是進階版或付費版都可以享受同樣的功能,藉著全球 16 億筆電話的超大資料庫,只要有任何一筆在資料庫中的電話號碼打電話進來,在接聽之前,就可以從頁面上看到這個電話是來自哪裡,例如「XX 貸款」「響一聲就掛掉」、「詢問車貸」、「XX 詐騙」….等詐騙電話、推銷電話。

    就算是沒有接到的電話,在來電紀錄裡面,一樣會顯示這通電話是誰打的,讓你決定要不要回撥。

    反查號碼

    有時候我們可能從其他管道得知某一組電話號碼,如果想要確認這個電話號碼的真實性、是不是詐騙電話或推銷電話,其實也可以利用 Whoscall 內建的反查功能。

    下面這個就是反查號碼的畫面,裡面會紀錄之前查過的號碼,如果要查新的號碼,直接在上面的搜尋框輸入就可以了。

    就算這組電話在 Whoscall 的資料庫中沒有也不用擔心,Whoscall 會在網路上搜尋有沒有這組電話的資料,像下圖就可以看到這個電話曾經出現在 PTT 的租屋版,表示應該是一般人在使用的,那麼就可以安心回撥。

    封鎖垃圾電話

    在 Whoscall 內共有 3 種封鎖來電的方式,被封鎖詐騙電話、推銷電話號碼打來,就會直接轉進語音信箱,你也不會聽到有任何的響鈴,完全不會影響到你。

    第一種:手動封鎖

    利用「手動封鎖」功能,自行輸入要封鎖的詐騙、推銷電話號碼。

    第二種:反查時順便封鎖

    利用上述「反查號碼」功能顯示結果時,順便按下畫面「封鎖」符號來封鎖垃圾電話、詐騙電話,或是推銷電話。

    第三種:Whoscall 自動封鎖

    如果使用 Whoscall 進階版的話,甚至可以直接開啟「自動封鎖」功能就好了,不用一筆一筆查、一比一比輸入,只要在 Whoscall 資料庫內有紀錄的詐騙電話、推銷電話,都會自動幫你過濾掉。

    詐騙簡訊、垃圾簡訊過濾

    除了針對詐騙電話、垃圾電話封鎖和過濾以外,Whoscall 也可以針對詐騙簡訊、垃圾簡訊進行過濾。

    只要是使用進階版的 Whoscall 使用者,就可以開啟「簡訊過濾」功能,Whoscall 會根據訊息內容,看看有沒有包含敏感的「交易」、「促銷」之類的字樣去過濾訊息。

    或是你也可以自己加入敏感的關鍵字,例如加入「車貸」、「飆股」這類敏感字詞,這些都是詐騙集團最喜歡在詐騙簡訊內使用的誇大詞彙。

    推薦評價好的iphone維修中心

    擁有專業的維修技術團隊,同時聘請資深iphone手機維修專家,現場說明手機問題,快速修理,沒修好不收錢

    最熱情、專業有口碑的網頁設計公司讓您的網站改頭換面。

    想知道最厲害的網頁設計公司嚨底家!

    RWD(響應式網頁設計)是透過瀏覽器的解析度來判斷要給使用者看到的樣貌

    被系統判定的垃圾簡訊、詐騙簡訊會被丟在「訊息」的「垃圾訊息」、「交易訊息」、「促銷內榮」分類裡面,不會和一般的訊息混在一起。

    更新資料庫

    前面提到很多封鎖詐騙電話、推銷電話,或是過濾詐騙簡訊、垃圾簡訊的功能雖然很重要,但是更重要的,是要永遠保持最新的詐騙電話資料庫,Whoscall 每週都會更新詐騙電話資料庫內容,基本版的使用者可以手動更新詐騙電話資料庫,進階版的使用者更方便,Whoscall 會自動幫你更新,所以就算是新的詐騙電話,大部分都還是能夠成功攔截。

    使用過時的資料庫,Whoscall 的背景就會是橘紅色的,提醒你暴露在風險中要趕快更新資料庫。

    更新到最新的資料庫後,背景就會變紅色,代表你是受保護的、很安全。

    Whoscall 基本版 vs 進階版,差異比較

    看完上面的介紹,可能你會注意到有很多功能都是進階版才有的,或是使用進階版會比較方便,這邊我們就幫大家整理了 Whoscall 進階版與基本版在功能上有哪些差異,大家可以比較一下,看看升級進階版是不是比較有幫助。

      基本版 進階版
    來電辨識
    反查號碼
    簡訊過濾 𝖷
    手動封鎖電話
    自動封鎖電話 𝖷
    每週自動更新 𝖷
    廣告移除 𝖷
    價格 免費 600/年

     

    會建議花錢用 Whoscall 進階版嗎?

    先說結論,會。

    至於為什麼?這是我個人使用的 Whoscall 好長一段時間後的心得,提供給大家參考看看。

    電話辨識判斷準確

    主要是因為 Whoscall 在判斷詐騙電話、促銷電話、垃圾電話這部分上做得真的不錯,我曾經做過各種試驗,那段期間,每一次來電儘管顯示「車貸」、「推銷」我都還是接起來,然後電話的內容就真的跟 Whoscall 提醒的一樣,甚至「響一聲」都警告的很準,所以後來我就很放心的交給 Whoscall 去判斷。

    Whoscall App 不會天天開,容易忘記更新

    過去我也是覺得反正有提醒就好了,有需要更新的話再手動更新吧。

    但是後來工作一忙,很多時候你根本就會忘記要去更新,畢竟 Whoscall 不像 Line、Facebook、Instagram 一樣需要每天開啟。

    沒有更新資料庫的後果,就是日新月異的詐騙電話打來都不會在螢幕上出現提醒,下圖就是資料庫更新前後的差異,沒有最新的詐騙電話資料包,就失去了上面說的「辨識準確率高」這個 Whoscall 最大的優勢了。

    價格換算下來 CP 值還是高的

    Whoscall 進階版一年只要新台幣 600 元,等於一個月才 50 元,不到一個便當的價格,甚至比現在很多 60、70 元一杯的飲料還要便宜,就可以使用自動更新、自動封鎖、簡訊過濾這幾個好用的功能。

    Whoscall 能夠 100% 辨識出詐騙電話嗎?

    其實我自己在使用的時候,也發現 Whoscall 並非所有的詐騙電話、推銷電話都能夠辨識出來,後來查證了一下,發現主要的原因有 2 個。

    系統更新後出現的新詐騙電話

    詐騙活動無所不在,Whoscall 畢竟還是需要等到這些詐騙電話出來後,利用各種方式取得這些詐騙電話的資料後,加進 Whoscall 資料庫,當使用者更新後才有辦法辨識到這些詐騙電話。

    這中間的時間差,就可能讓使用者接到還沒有加入資料庫的新詐騙電話。

    Whoscall 自動篩選最需要的資料

    Whoscall 擁有超過 16 億筆的全球詐騙電話、垃圾電話資料庫,但並非是電話響的時候才連線到資料庫去比對,而是直接把詐騙電話的名單下載到手機裡,電話一來,不需要網路也可以馬上比對。

    只是考量到將這 16 億筆的資料通通下載到手機,未來資料量還會不斷的增加,很容易佔用太多手機的空間,因此 Whoscall 系統在每週更新的時候,會根據統計資料,判斷哪些電話是台灣人較容易接到的詐騙電話,然後將這些資料下載到手機裡面,這樣才能夠在電話來的時候立刻辨識,又不會佔用到太多手機上的空間。

    但如果是利用反查號碼的功能,就是直接利用網路比對 Whoscall 資料庫,可以完整搜尋、比對 16 億的資料庫內容,就像下面這個泰國的詐騙電話,你平常不太會接到,所以不會下載到你的手機裡,但是用電話反查功能還是查詢的到。

    Whoscall 總結

    Whoscall iOS 下載:
    Whoscall Android 下載:

    就功能面來說,Whoscall 提供了詐騙電話、垃圾訊息的過濾、辨識功能,而且相當符合我們的需求,但是能不能有毅力去手動更新是我覺得是使用 Whoscall 最重要的一件事,大家其實可以先用基本版試看看,看看你有沒有辦法連續一個月,每一週都至少手動更新 Whoscall 資料庫一次,如果你會因為忙碌而忘記,那麼我還是會建議大家花一點小錢使用進階版,讓 Whoscall 自動更新,提供你完整的詐騙電話資料庫防護。

          

     

    Whoscall 幫你過濾煩人的詐騙電話、推銷電話和垃圾訊息

    網頁設計公司推薦不同的風格,搶佔消費者視覺第一線

    透過選單樣式的調整、圖片的縮放比例、文字的放大及段落的排版對應來給使用者最佳的瀏覽體驗,所以不用擔心有手機版網站兩個後台的問題,而視覺效果也是透過我們前端設計師優秀的空間比例設計,不會因為畫面變大變小而影響到整體視覺的美感。

    如何讓商品強力曝光呢? 網頁設計公司幫您建置最吸引人的網站,提高曝光率!

    以設計的實用美學觀點,規劃出舒適、美觀的視覺畫面,有效提昇使用者的心理期待,營造出輕鬆、愉悅的網站瀏覽體驗。

    網頁設計公司推薦不同的風格,搶佔消費者視覺第一線

    透過選單樣式的調整、圖片的縮放比例、文字的放大及段落的排版對應來給使用者最佳的瀏覽體驗,所以不用擔心有手機版網站兩個後台的問題,而視覺效果也是透過我們前端設計師優秀的空間比例設計,不會因為畫面變大變小而影響到整體視覺的美感。

  • Google 聖誕節特別活動,26 個小遊戲 + 4 則小短片陪你一起過節

    今天(24 日)晚上就是平安夜了, 特別在首頁放上今年的聖誕節特別活動,裡面共包含一則小故事、26 個小遊戲與 4 則小短片,主題都與聖誕節相關,讓 Google 陪你一起迎接一年一度的聖誕佳節。

    Google 聖誕節特別活動

    Google 聖誕節特別活動,目前已經更新至 Google 的首頁當中,不管是用手機還是電腦,都能使用。活動內容包含:短篇故事、小遊戲、小短片與各式各樣的知識型內容,非常適合孩童使用,爸爸媽媽們可以與孩子一同玩樂。

    仔細觀察也可以發現,Google 這次的聖誕節活動也搭上時事,像是在讀取畫面中的聖誕老人是戴著口罩的,電動雪橇等等。

    產品缺大量曝光嗎?你需要的是一流包裝設計

    窩窩觸角包含自媒體、自有平台及其他國家營銷業務等,多角化經營並具有國際觀的永續理念。

    網頁設計最專業,超強功能平台可客製化

    窩窩以「數位行銷」「品牌經營」「網站與應用程式」「印刷品設計」等四大主軸,為每一位客戶客製建立行銷脈絡及洞燭市場先機。

    • Google 聖誕節特別活動

    不只小遊戲,還有許多知識型內容

    能互動的內容除了小遊戲以外,也有許多知識型內容,像是:全球各地聖誕節習俗、節慶名詞翻譯。小遊戲中也有許多可以邊玩邊學習的類型,對於孩童來說可以達到寓教於樂的效果。

     

    Google 聖誕節特別活動,26 個小遊戲 + 4 則小短片陪你一起過節

    推薦評價好的iphone維修中心

    擁有專業的維修技術團隊,同時聘請資深iphone手機維修專家,現場說明手機問題,快速修理,沒修好不收錢

    產品缺大量曝光嗎?你需要的是一流包裝設計

    窩窩觸角包含自媒體、自有平台及其他國家營銷業務等,多角化經營並具有國際觀的永續理念。

  • LINE 聖誕節動畫來了!輸入關鍵字就有聖誕特效,沒有特效、看不到解決辦法

    聖誕節特效來了!每次有重大節慶時,都可以看到 LINE 推出關鍵字隱藏特效,打出特定字詞就可以啟用特殊的專屬動畫,這次聖誕節也不例外!這次的彩蛋已經可以先啟動,有些特效動畫則要等到聖誕節當天才有,一起來看看如何啟用!

    LINE 聖誕節特效:留言叫出熊大兔兔動畫

    即日起只要在 LINE 送出「快樂」、「聖誕」、「Xmas」 (大小寫不限),就可以叫出聖誕兔兔和花圈熊大、莎莉等 LINE 明星動畫!(題外話,下圖是用一人群組測試的,)

    這次的特效時間為 2021/12/21(二)10:00 – 2021 / 12 / 27(一)10:00,這次的 LINE 聖誕節特效電腦版、 iOS 版,Android 安卓用戶都可以看到,直接在對話框輸入就會出現了唷!趕快來試試看聖誕節特效動畫吧!

    聖誕特效適用版本:LINE iOS 9.15.0以上、LINE Android 10.2.0以上(且Android OS 7.1以上)、LINE電腦版 5.19.0以上

    LINE 耶誕效果:飄雪動畫特效增加氣氛

    LINE 往年在聖誕節(12/25)前後,LINE 的聊天室會緩緩飄下雪花!另外也可以更換 LINE 聊天室背景,讓飄雪的特效動畫變的更好看,只要在電腦版 LINE 的對話視窗點右鍵,並選「背景設定」即可更換,可以到這篇下載更有氣氛的圖片,或是搭配自己的風景照也很適合!

    聊天室下雪特效限定期間

    手機版LINE:2021 / 12 / 25(六)00:00 – 23:59,聖誕節當天下雪才有感!
    電腦版LINE:2021 / 12 / 23(四)10:00 – 2021 / 12 / 24(五)18:00,下雪結束就下班啦,去過聖誕節囉!

    往年下雪特效不需要任何啟用方式,在 12/25 當天就會自動下雪了!如果到時候沒有看到,只要記得重新開啟 LINE(或是更新),就可以看到聖誕特效自動出現。

    聊天室下雪特效適用版本

    LINE iOS 9.15.0以上
    LINE Android 10.2.0以上(且Android OS 7.1以上)
    LINE電腦版 4.8.0以上

    LINE 聖誕特效沒有出現?

    如果 LINE的版本都有符合,但特效都沒有出現,可以試試兩個方式:

    網頁設計一頭霧水該從何著手呢?

    當全世界的人們隨著網路時代而改變向上時您還停留在『網站美醜不重要』的舊有思維嗎?機會是留給努力改變現況的人們,別再浪費一分一秒可以接觸商機的寶貴時間!

    廣告預算用在刀口上,台北網頁設計公司幫您達到更多曝光效益

    有別於一般網頁架設公司,除了模組化的架站軟體,我們的營業主軸還包含:資料庫程式開發、網站建置、網頁設計、電子商務專案開發、系統整合、APP設計建置、專業網路行銷。

    推薦評價好的iphone維修中心

    擁有專業的維修技術團隊,同時聘請資深iphone手機維修專家,現場說明手機問題,快速修理,沒修好不收錢

    1. 關閉再重新開啟LINE應用程式,
    2. 另一個方式就是在手機的LINE設定中,確認「聊天室背景特效」這個設定是否有打開,或是試著關閉、再打開

    聊天室背景特效路徑:LINE主頁[設定] > [聊天] > [聊天室背景特效]

    如果不想看到特效動畫,也可以使用此種方式關閉 LINE 動畫特效。

    最後,祝大家聖誕節快樂!

     

    更多 LINE 使用技巧》

          

     

    LINE 聖誕節動畫來了!輸入關鍵字就有聖誕特效,沒有特效、看不到解決辦法

    自行創業缺乏曝光? 網頁設計幫您第一時間規劃公司的形象門面

    網站的第一印象網頁設計,決定了客戶是否繼續瀏覽的意願。台北網動廣告製作的RWD網頁設計,採用精簡與質感的CSS語法,提升企業的專業形象與簡約舒適的瀏覽體驗,讓瀏覽者第一眼就愛上它。

    台北網頁設計公司這麼多該如何選擇?

    網動是一群專業、熱情、向前行的工作團隊,我們擁有靈活的組織與溝通的能力,能傾聽客戶聲音,激發創意的火花,呈現完美的作品

    推薦評價好的iphone維修中心

    擁有專業的維修技術團隊,同時聘請資深iphone手機維修專家,現場說明手機問題,快速修理,沒修好不收錢

  • 提升軟體供應鏈安全,提升開發者帳號保護將是不可或缺的關鍵

    傳統密碼安全性不足引發諸多問題,帳號遭盜用的事件亦層出不窮,啟用雙因素認證、兩步驟驗證的機制,已是近年最常呼籲的資安觀念之一,這股風潮,陸續開始吹向軟體開發界。

    最近就有一項消息引發關注,那就是全球知名程式碼共享與版本協作平臺,2023年底前在GitHub.com貢獻程式碼的所有使用者,都必須啟用一種或多種形式的雙因素驗證(2 factor authentication,2FA)。

    很多人可能會認為這不是新議題,畢竟啟用雙因素認證、兩步驟驗證(2-Step Verification,2SV),這樣的保護帳號安全觀念早已呼籲多年,然而,對於一般使用者、企業與組織而言,最近才開始重視這項議題,而攸關程式碼安全的開發者,按理來說,應該會有更清楚的認知,事實卻不然。

    根據GitHub公布的最新統計數據顯示,以活躍用戶而言,僅有16.5%啟用2FA,而NPM用戶啟用2FA的比例更低,只有6.44%,這樣的結果令人憂心。

    畢竟,程式開發者常用的雲端平臺與工具並不少,包括程式碼管理的GitHub、Bitbucket、GitLab,程式碼建構的Jenkins、Bamboo,以及專案追蹤與協同管理的 Jira、Confluence,這些僅是一小部分,如今GitHub在此議題抱持的態度最積極,率先採取更多行動。

    保護軟體供應鏈最源頭的帳號安全,GitHub將強制啟用MFA

    無庸置疑,軟體供應鏈是現今最受關注的資安議題之一,除了資安界早已提倡安全軟體開發生命週期(SSDLC),近年也強調需改善漏洞發現與修補,以及推動軟體物料清單(SBOM)等,當中有更多關注是放在開放原始碼軟體,畢竟絕大多數開發人員不會從頭開始建構軟體,而是站在巨人的肩膀上,活用這些成果。

    然而,從軟體供應鏈源頭來看,所有人都很清楚程式碼的安全性會是關鍵,但撰寫、保管、發布程式碼的「開發人員」,更是不能忽略的重要環節。儘管大多數開發者知道要保護自己的電腦,注意上網安全,但對於程式撰寫、協作使用的工具與平臺,以及開發人員本身帳號的安全性,可能並未清楚認知對於軟體安全帶來的衝擊,這些部分若出現資安問題將會帶來嚴重影響,事實上,我們甚至可以說,這是軟體供應鏈最前面的一道防護。

    面對軟體供應鏈的帳號安全議題,不只是軟體業者、企業、政府擔憂,因而決心採取更積極的防範措施,與程式開發者密切相關的公用平臺也展開行動。如前所述,GitHub在這方面的動作頻頻,他們是全球最大開源程式碼平臺,自然也背負著眾人期望。GitHub安全長Mike Hanley指出,軟體供應鏈安全需從開發者做起,為防範開發者帳號遭社交工程與帳號劫持,避免此類攻擊將是確保供應鏈安全的第一步,也是最關鍵的一步。

    事實上,為了提升用戶帳號安全,GitHub在近年已經祭出不少新政策。例如,2019年7月,GitHub已提供裝置驗證機制,要求未啟用雙因素驗證的GitHub用戶,一旦透過陌生裝置進行存取,需要額外的驗證,也就是以電子郵件提供驗證碼的方式來確認使用者身分;到了2020年11月,GitHub又強制要求所有Git操作及API呼叫,都需經由基於Token的身分驗證方式連線。

    然後,僅憑這些措施來保護還不夠,雙因素驗證將是下一道重要的防線,而且將逐漸轉變成強制所有使用者配合。

    開發者帳戶被劫持導致套件被植入惡意程式,已有多起事件

    為何各大開發平臺現在更關注此一問題?這要從近年的實際威脅事件看起。

    2018年7月,有位代號為pronebird開發者指出,駭客入侵JavaScript程式碼檢查工具ESLint,並在NPM平臺,發布包含惡意程式的ESLint 3.7.2版,一旦用戶安裝此版本套件,惡意程式碼將執行竊取開發者的NPM帳戶或其他資訊。

    這樣的事件,到了最近半年仍持續傳出,並且是接二連三發生。例如,在2021年10月22日,熱門NPM套件UAParser.js的作者表示,疑似有駭客劫持他的NPM帳號,並發布3個可能被植入惡意程式的UAParser.js版本,分別是0.7.29、0.8.0與1.0.0版,而且,他無法取消發布這些版本,只能緊急通報NPM support,並透過警告訊息提醒其他開發人員,後續,GitHub也對這起植入惡意程式的事件發布資安公告,並標示為重大級別。

    接著,2021年11月,又有兩起類似的事件。首先,名為COA(Command-Option-Argument)的熱門NPM套件,傳出遭植入惡意程式;接著相隔數小時,又傳出另一個名為RC的NPM套件也發生類似情形。GitHub在11月4日,也緊急公告這些套件遭植入惡意程式。

    上述這些事件,引發整個軟體開發界的關注。最主要原因,開源軟體安全所帶來的牽連與影響極大,以上述COA的NPM套件為例,該套件是提供開發者以命令列下達指令的解析器,概估GitHub上面有5百萬個開源專案採用,且每週下載量超過9百萬次,而RC的NPM套件,是1款組態下載器,它本身的每週下載量更是超過1400萬次。

    這顯示出,一旦開源專案的開發者帳號被駭客劫持,不僅取而代之,還冒名替其發布已植入惡意程式的開源套件,這樣的供應鏈攻擊方式,很可能使其他開發者,在不知情的情況去下載安裝或使用。而且,越熱門的開源套件,相關的牽連越廣,就算該套件很冷門,還是有可能造成壞影響,而且,很有可能導致眾人越晚發現異狀。

    一般而言,開源軟體安全的防護環節很多,像是去年底被揭露的Log4J漏洞,突顯出改善漏洞的發現與修補及因應,就是一大挑戰,因此不論是掃描能力的強化、程式碼稽核、漏洞修補應變,以及透過SBOM掌握採用的關鍵開源元件,確保開源軟體的安全生產也同樣重要,不只從軟體設計的層面著手,並要解決惡意假冒的問題,以及確保上游軟體元件確實是真正的開發者所打造。

    基本上,光是改善漏洞發現與縮短修補應變,就已經令各界應接不暇,若再因為開發者帳號自身的防護不周,使得上游套件發生被植入惡意程式的情況,將使確保軟體供應鏈安全這事更添動盪與麻煩。因此,如何降低這類問題的發生,雙因素驗證的啟用至關重要,現在正逐漸從「有它可以更好」,轉變成「必備」的要求。

    多起駭客接管開發者帳號事件,新版套件被嵌入惡意程式
    近期開發者帳號被劫持的資安事件接二連三傳出,根據GitHub資安公告顯示,在2021年10月與11月有3起事件,包括UAParser.js、COA、RC的NPM套件,因為開發者的帳號遭到劫持而遭植入惡意程式,這也促使平臺業者祭出新政策,例如,GitHub今年2月開始針對前100大NPM套件的所有維護者,強制要求啟用雙因素認證(2FA)。

    宣導啟用雙因素驗證不是新鮮事,現在陸續已成強制要求

    啟用MFA保護自身帳號安全,並非新議題,我們關注的是,過去各界已不斷呼籲,為了使用者自身帳戶安全,避免遭密碼暴力破解或網釣攻擊,應啟用雙因素驗證,然而,各種應用系統背後的程式開發人員,對於所用的開發環境帳號卻沒這麼做,不免讓人覺得很失望。

    回顧這幾年,為了強化線上服務帳號安全,雙因素驗證是關鍵,許多線上服務已提供兩步驟驗證或雙因素驗證,並且持續提升驗證機制的強度,例如從手機接收簡訊OTP,轉向使用App驗證,或是支援FIDO無密碼的驗證機制。

    只是,這些年來,上述這些保護手段都只是讓使用者自行選擇啟用,並非強制,於是,我們還是經常看到許多資安專家向大眾呼籲:為了使用者個人自身的帳戶安全,應啟用雙因素驗證。

    但在相關威脅日益嚴重之下,不論是設定弱密碼或相同密碼的情形,以及帳密被竊取的狀況,相當氾濫,而這些問題與導致的各種資安事件一再發生,促使許多平臺業者在強化帳號安全的面相上,開始轉為更嚴格要求的態度,設法解決僅依賴單一密碼造成的各式問題。

    例如,微軟在2018年,開始宣告密碼時代即將終結,強調Password less以及更安全的多因素驗證,儘管那時還沒邁向強制啟用,但已打響無密碼登入的聲勢。近年該公司也陸續開放更多系統的身分,支援這種作法,例如,所有的Microsoft Account、Azure用戶帳號,現在都可以利用無密碼方式登入,而且,到2021年為止,已有1.5億用戶及所有微軟員工,都選擇這樣的登入方式。

    另一家科技大廠Google在2021年5月宣布,將強制用戶啟動帳號兩步驟驗證(2SV),關於推動的情形,2022年2月Google指出已讓1.5億用戶預設啟用,未來將陸續擴及所有Google帳號用戶。畢竟,以雲端郵件雲端硬碟等服務而言,帳密被盜用的風險帶來的衝擊非常大,不僅是用戶資料被竊取、被看光,甚至不小心重要敏感個資也包含在內,並且也是許多雲端服務忘記密碼時,接收認證碼的管道之一。

    換言之,隨著現今的威脅態勢,近年最大的改變就是,更多的平臺業者開始陸續改變政策,積極推動無密碼登入,以及宣布將強制啟用雙因素驗證。

    當然,或許這樣的措施也與實際的資安威脅態勢有關,畢竟,一般線上服務身分冒用與資料竊取資安事件,在前幾年就已日益嚴峻,而軟體供應鏈的資安事件面向廣泛,相較之下,與帳號安全有關的事件雖然持續發生,但可能不易一開始就聚焦於此,但也不應被漠視。

    換言之,除了一般使用者持續面臨帳號遭盜用接管的威脅,引發各界注目,開發人員對於帳號被劫持的威脅,卻似乎一直都太輕忽。

    輕忽的是什麼?輕忽的是開發人員帳號若欠缺保護,對軟體供應鏈安全的影響極大。

    規範上架應用程式開發者保護帳戶,蘋果與Google已展開行動

    對於開發人員帳號安全的強化,其實近年,IT業界已趨向積極推動的態度。

    以應用程式的發布平臺的層面而言,近年兩大智慧型手機體系已有動作,像是蘋果在2019年,針對開發人員的Apple ID帳號做出硬性規範,要求他們必須啟用雙因素認證,一般的Apple ID用戶則依然可選擇是否採用;針對Android開發人員,Google在2020年第三季末也祭出新政策,針對登入Google Play控制臺的開發者,強制要求須啟用雙因素驗證。

    這些政策的目的,無疑是要讓開發者或開發商進行嚴謹的身分驗證,避免帳號遭盜用造成的資安風險,甚至防止匿名或假帳戶上架App。因為之前就發生多起事件,是駭客劫持開發者帳號後,將成功上架的App改變原有用途,或是透過更新加入惡意功能,以此規避應用程式市集在App上架時的審查機制。

    更進一步來看,應用程式及系統的發布與維運,已屬於軟體供應鏈的末端,而其本身都是由程式碼建構而成,因此像是程式碼開發協作與分享平臺的開發者帳號安全,同樣至關重要。

    針對上游程式碼開發者,GitHub祭出一連串強化措施

    如何讓商品強力曝光呢? 網頁設計公司幫您建置最吸引人的網站,提高曝光率!

    以設計的實用美學觀點,規劃出舒適、美觀的視覺畫面,有效提昇使用者的心理期待,營造出輕鬆、愉悅的網站瀏覽體驗。

    想知道最厲害的網頁設計公司嚨底家!

    RWD(響應式網頁設計)是透過瀏覽器的解析度來判斷要給使用者看到的樣貌

    推薦評價好的iphone維修中心

    擁有專業的維修技術團隊,同時聘請資深iphone手機維修專家,現場說明手機問題,快速修理,沒修好不收錢

    時至今日,隨著GitHub的表態,更是具體點出一件事,那就是:軟體供應鏈的安全需從開發者做起,以此帶動整個軟體開發生態系的安全提升。

    以GitHub最近一連串的行動而言,為強化平臺帳號安全,正逐步將2FA成為必要防護措施。

    首先,針對已收購旗下的NPM,GitHub在2021年底時宣布,將因應前述去年11月開發者帳號未啟用2FA遭冒用,而造成NPM套件被置換的狀況,並在今年2月1日提新要求,強制前100大NPM套件的所有維護者啟用2FA,接著又在3月1日將所有NPM帳戶納入強化登入驗證,也就是針對未啟用2FA的用戶,當由npmjs.com網站或npm CLI驗證身分時,需以電子郵件傳送驗證碼的方式來核對身分的真實性。

    同時,為了讓NPM平臺用戶可以更廣泛採用2FA,他們增加多項安全機制,包括:因啟用2FA的用戶也可能常在CI/CD持續整合工具使用自動化Token,所以簡化套件自動發布等流程與任務;新增Token命名機制,幫助用戶更容易管理Token;在NPM組織層面,現在也可強制所有成員啟用2FA;提供專屬介面,稽核組織成員是否啟用2FA。他們還預告NPM接下來將支援WebAuthn,也就是支援FIDO實體安全金鑰與生物識別方式,提供更強身分驗證。

    不只是針對NPM平臺,近年GitHub平臺的帳號安全強化上,除了提供雙因素驗證、登入警示、驗證裝置等機制,在2021年還有幾項重要措施,包括透過SSH協定使用Git操作的身分驗證,將不再支援帳號密碼的驗證方式,必須以Token來驗證,並且新增可利用FIDO實體安全金鑰來產生SSH金鑰。

    到了2022年5月,GitHub再次祭出新政策──將在2023年底之前,針對所有提交程式碼的平臺用戶,強制啟用雙因素驗證。在此項宣布中,說明了大多數的安全漏洞並非是零時差攻擊造成,而是透過攻擊成本低的方式進行,像是社交工程、帳密竊取或外洩及其他管道,使攻擊者能夠廣泛地存取受害帳戶及其資源,並特別點出一大關鍵:開發人員應該要了解帳號被挾持及盜用的風險與影響:不只是私有程式碼面臨被竊取的狀況,也有可能是程式碼遭惡意竄改,隨後將影響與此程式碼有關的任何人,而且這樣的供應鏈安全威脅並非空想,已是實際存在的狀況。

    換個角度設想,身為開發人員,自然也希望下載或使用的程式碼或套件,應該依循標準程序發布,不是被駭客劫持的開發者帳號所發布。

    面對這樣無人能置身事外的局面,每個開發人員都必須該有所行動,將啟用MFA視為必要防護手段。事實上,不僅是GitHub,在今年3月,開源軟體套件管理系統,自3月8日開始將強制要求帳戶都需啟用雙因素驗證。

    畢竟,基礎資訊安全認知人人該有,若連啟用MFA都沒有徹底實施,更何況現今還要提倡種種安全軟體開發教育,推動廣大開發人員接受安全程式設計實務訓練,避免因為開發時程緊迫,人力有限,以及未考慮到使用情境,而撰寫出有漏洞的程式。尤其是開源程式碼及套件的貢獻者,自己在帳號安全上的輕忽,可能衝擊的是軟體生態系統與供應鏈下游。

    軟體供應鏈安全始於開發人員帳號保護
    對於軟體供應鏈安全,GitHub安全長Mike Hanley指出,程式開發者帳號的保護是最源頭的一步。一旦有人遭受社交工程的攻擊,或面臨其他身分憑證竊取及外洩的事故,有可能導致所用的各種開發平臺帳戶蒙受遭到入侵的後果,而這將會牽連與此程式碼有關的任何人,影響整個軟體開發與交付流程的生態系。圖片來源/GitHub

    提高開發者本身帳號安全要求,其實也是保護整個軟體生態系的安全

    廣泛來看,不只在GitHub上該重視身分安全,同性質的GitLab、Bitbucket,甚至開發者常使用的其他平臺與工具亦然。

    除了一般使用者要有自覺,服務平臺及工具業者也應設備提高安全性要求。對於使用這些平臺的企業帳號管理者而言,在安全政策上,也應思考是否該強制成員啟用2FA,當然自身也要檢視對於現行環境的影響,像是相關自動化工具是否與2FA相容等種種情況。無論如何,已有不少重視資安的企業,早已規範需強制啟用MFA或2FA,或是導入企業集中式的身分存取管理,但還有更高比例的企業與開發者尚未採取行動。

    當然,開源程式碼及套件的貢獻者更是要注意,不要以為自己只是軟體供應鏈中的一個小小的螺絲,但這個螺絲的鬆動,可能衝擊軟體生態系統與供應鏈下游。無論如何,強制啟用2FA的趨勢已成,而在GitHub的帶動之下,未來也可能在整個軟體開發界開始發酵。

    強化平臺帳號安全,還要注意不同層面風險

    對於密碼安全性不足導致開發者帳號冒用的資安事故頻傳的問題之外,不只是企業程式與開源開發人員需要重視,提供服務的平臺業者同樣至關重要。

    對於平臺業者而言,不只是妥善提供強式雙因素驗證機制,或是將相關政策轉為強制啟用,關於帳號安全,其實還有不同層面的問題需防範,如身分驗證被繞過及串接風險等,而從近期出現的資安公告與事件,也可看出有不同挑戰需要因應。

    舉例來說,3月底GitLab修補CVE-2022-1162漏洞,這是其內部團隊發現的漏洞,將導致基於OmniAuth的GitLab社群版與企業版(CE/EE)在註冊過程中,無意間設定為靜態固定密碼,若被駭客發現將導致用戶帳號被駭客接管。

    另外,3月GitHub發現駭客利用該公司授予雲端應用程式服務Heroku、程式碼持續整合服務Travis-CI的部分OAuth憑證的部分憑證,進而存取GitHub私有儲存庫的情況。

    1個月之後,Heroku公布調查結果,說明問題出在Heroku機器帳號遭駭客盜用,這不僅導致Heroku資料庫被存取,對方還下載整合GitHub與OAuth的客戶Token,使得Heroku與其客戶置放於GitHub的儲存庫都被存取,這其實也反應出機器身分的保護與管理,同樣需要重視。

    美國白宮下令推動軟體供應鏈安全,並強調MFA的重要性

    美國白宮於2022年1月26日舉行開源軟體高峰會議,邀請相關業者共同商討這個特殊的安全挑戰,今年5月初,由Linun基金會與開源安全基金會二度舉辦峰會,達成多項共識,並發布了開源軟體安全動員計畫白皮書。

    關於啟用多因素驗證(MFA)的重要性,近期美國推動加快改善網路安全之際,也特別提及。今年3月,該國總統拜登曾呼籲民間企業與關鍵基礎設施業者,需趕緊提升資安水準,並,其中導入多因素驗證(MFA)居於第一項,當中指出,在組織系統上使用多因素驗證,現在必須是強制執行,才能讓攻擊者入侵系統更加困難。

    更大的挑戰在於,軟體供應鏈安全不只基本的開發者帳號安全。目前開源軟體安全基金會(OpenSSF)持續推動此議題,產業界中,Google最為積極,在過去兩三年來,他們不只釋出OSS-Fuzz及連續模糊測試解決方案ClusterFuzzLite專案,希望模糊測試能真正與開發流程結合,而不是額外採取的行動,還有推動軟體供應鏈安全框架SLSA,並與OpenSFF社群合作,發布開源專案軟體安全掃描工具Scorecards,將能評估專案的安全性,檢驗開源專案是否採用程式碼審查工具,以及CI/CD系統的配置等,目前已更新到第四版,幫助整個軟體生態系變得更安全。

    但面對整個軟體供應鏈的資安議題,尤其是最上游的開源軟體安全,單靠一方之力無法解決,在今年1月底,美國白宮舉辦高峰會議邀集科技大廠商討對策,到了5月初,由LinuX基金會與開源安全基金會二度舉辦峰會,並發布了。

    當中決議將解決10大問題,包括推動安全軟體開發水準教育,建立開源軟體風險評估儀表板,推動數位簽章增強信任,替換不具記憶體安全的程式語言,成立OpenSSF開源安全事件應變小組,加快新漏洞的挖掘與修復,實施第三方稽核及程式碼審核與修復,資料共享以確定關鍵項目,推動軟體物料清單並提供安全範例與工具,以及改善供應鏈需強化開源軟體開發系統、套件管理器與部署系統。

    帳號劫持攻擊普遍,資訊及開發人員都輕忽此類威脅

    關於啟用多因素驗證(MFA)或雙因素驗證(2FA)的現況,近期有兩項統計數據受關注,透露出開發及資訊人員對此重視程度的不足。

    ●數據1:在2022年5月初,GitHub安全長Mike Hanley宣布平臺將在2023年強制啟用雙因素驗證(2FA),同時指出目前GitHub活躍用戶中,僅有16.5%啟用2FA,而NPM用戶的比例更低,只有6.44%啟用2FA。

    ●數據2:在2022年2月初,微軟新發布《網路訊號》(Cyber Signals)報告,首先以身分識別為主題,當中指出微軟Azure服務用戶中,採用高強度的身分驗證機制僅有22%,顯示多數用戶在身分認證上仍有待強化。

    關於身分安全威脅的態勢,以這類劫持用戶帳號的攻擊而言,微軟亦提供2021年的現況說明。例如,微軟在Azure AD上,偵測並封鎖了256億次透過暴力破解的攻擊,以及透過Microsoft Defender for Office 365攔截了357億封的網釣郵件與惡意郵件,這當中其實也意味著駭客無所不用其極地企圖劫持用戶帳號。

    因此微軟建議,各大企業組織應提高安全水準來降低風險,至少做到幾項基本的網路安全,將能防範絕大多數的資安攻擊,微軟認為這至少防範98%的資安攻擊。具體而言,包括啟用多因素身分認證(及持續稽核帳號權限,檢查與監控所有管理者帳號)、保持系統最新版本與落實安全性更新、執行最小存取權限原則,以及進行資料保護等。

    對於上述威脅態勢,其他資安業者也有類似觀察。例如,資安業者CyberArk根據MITRE ATT&CK for Enterprise所列的攻擊手法,對企業IT人員進行調查,結果顯示:排名第一的風險領域是身分存取(40%),其次是躲避防禦(31%)、執行(31%)、初期存取(29%)、提高權限(27%)。而且,CyberArk強調,在加速數位化的局勢之下,使身分數量爆發性成長,根據他們統計,在每個組織中,人類與機器身分數量已高達10萬個以上。

    從上述種種調查結果來看,駭客入侵企業取得身分識別及橫向攻擊,已是當今駭客攻擊手段的一大主要手段,甚至從軟體供應鏈源頭的開發者用戶帳號下手,這已在在突顯身份識別安全的重要性。

    來源鏈接:https://www.ithome.com.tw/news/151263

    最熱情、專業有口碑的網頁設計公司讓您的網站改頭換面。

    網頁設計公司推薦不同的風格,搶佔消費者視覺第一線

    透過選單樣式的調整、圖片的縮放比例、文字的放大及段落的排版對應來給使用者最佳的瀏覽體驗,所以不用擔心有手機版網站兩個後台的問題,而視覺效果也是透過我們前端設計師優秀的空間比例設計,不會因為畫面變大變小而影響到整體視覺的美感。

    如何讓商品強力曝光呢? 網頁設計公司幫您建置最吸引人的網站,提高曝光率!

    以設計的實用美學觀點,規劃出舒適、美觀的視覺畫面,有效提昇使用者的心理期待,營造出輕鬆、愉悅的網站瀏覽體驗。

  • 提升開發者帳戶安全,企業應強制全面啟用2FA或建置集中管控

    突顯了程式開發人員使用關鍵服務之際,在身分安全層面上的輕忽,已經到了所有用戶都必須改變的時刻。

    對於MFA的重要性,以及開發人員的輕忽情形,我們詢問國內的身分安全相關業者,包括數位身分(Authme)、歐生全科技(AuthenTrend),以及偉康科技(WebComm),從他們的角度,幫助我們了解更多現況,以及業者自身開發人員的帳號安全是如何保護。

    不僅應強制啟用MFA,同時須要求使用密碼管理工具

    對於開發人員輕忽帳號防護的問題,2019年成立的新創業者Authme說明他們的觀察,該公司共同創辦人暨執行長李紀廣表示,現在很難有企業在開發專案時,能完全不用到開源的程式碼或套件,因此,企業對於開源軟體的維護與安全性需多加留意,儘管這些開發人員默默為開源貢獻,但有些人可能因這並非產生收入的主要來源,所以對這方面的帳號安全較不重視。但現在資安威脅情勢日益嚴峻,開發者須轉變心態。

    而從國內許多金融業客戶來看,由於受到金管會要求,因此在身分識別管理上,在內稽內控之下都會達到一定程度, 但以一般開發人員來看,從他們面試求職者的經驗中,發現有很大落差。

    李紀廣表示,由於數位身分驗證服務是資安第一道防線,因此他們特別重視開發者資安意識。他們過去面對求職者時,曾問及以往是用何種方式管理這些開發者工具,不論使用GitHub雲端服務,或經過VPN及自建GitLab的存取,也會談到網路安全零信任的議題。根據他過往與數十個面試者洽談狀況,結果是多數都沒有啟用2FA或MFA的經驗。

    以自家公司而言,李紀廣表示,內部使用以雲端服務應用居多,在公司政策上,他們從成立隔年2020年,就開始規範開發者要強制啟用2FA,一開始,公司會先公告這件事,讓大家有所準備後就開始啟用,同時,他們也會要求員工務必使用密碼管理工具。

    畢竟,不只是開發人員使用的程式碼協作工具要支援2FA,實務上,還要考慮必須讓所有系統都支援2FA,才有意義,但由於有些平臺還無法支援,因此,密碼管理工具就是很重要的配套。

    對於國內企業不重視開發者帳號安全的問題,李紀廣在接觸多家企業的經驗中,他發現,有些企業會因為資安維護花費屬於額外成本,因此讓多人使用同一帳號,而這其實突顯了,企業未重視資安因此輕忽維護基礎建設。

    而企業在啟用2FA時,也有幾點需要注意,例如,雖然許多雲端服務或工具可以強制啟用2FA,或是稽核成員是否啟用,但有些服務需要中、高級的方案才具備這樣的功能,如果有些企業只選用最入門的方案,將無法做到管控。他認為,平臺業者若能讓基礎方案都提供這樣的能力,會更理想。

    李紀廣認為,因應遠端工作普及,企業與使用者都應想到需要更多保護,而2FA只是基本措施。即便企業缺乏身分存取管控解決方案,仍可透過Google帳戶登入其他應用程式,並在Google帳號啟用兩步驟驗證(2SV),也是可行。

    當然,許多企業不全然都是使用雲端環境,因此,遠端存取時需做到層層把關,像是有些企業客戶在使用VPN時需使用2FA,連至公司後,內部系統本身也還是要有2FA來保障,前後兩段都需要經過雙因素身分驗證。

    關於啟用2FA時的注意事項,專注身分驗證硬體製造的業者歐生全,該公司副總經理黃啟峰也指出,以瀏覽器登入的狀況而言,他們使用GitLab會強制內部群組使用者全面開啟2FA。但2FA的管控細度,將視平臺端的機制而定。

    舉例來說,GitLab雖提供TOTP與FIDO2實體安全金鑰的驗證方式,但設定上不夠彈性,像是無法限定擇一啟用,再者,對於跨組織協作的群組,也無法強制開啟2FA,需要建立另外的子群組才能做到,只是一旦搬遷專案又會造成路徑改變的問題。此外,目前並未看到強制短時間內要重複進行2FA驗證的設定,而且使用者也可使用跳過2FA認證的Access Token,或是單一登入(SSO),因此,離最嚴格的零信任要求環境,還有一段路要走。

    強化資通安全管理政策,從組織帳號安全要求做起

    為了強化企業內部開發人員帳號安全,以為例,企業管理者帳戶可要求所有組織成員啟用2FA,使網路攻擊者更難存取組織的儲存庫與管理設定。

    可運用基於FIDO的身分存取管控解決方案,進行集中納管

    對於開發者帳號安全的防護,另一家專注金融業相關應用的偉康科技,也提供了他們的觀察與做法。

    產品缺大量曝光嗎?你需要的是一流包裝設計

    窩窩觸角包含自媒體、自有平台及其他國家營銷業務等,多角化經營並具有國際觀的永續理念。

    網頁設計最專業,超強功能平台可客製化

    窩窩以「數位行銷」「品牌經營」「網站與應用程式」「印刷品設計」等四大主軸,為每一位客戶客製建立行銷脈絡及洞燭市場先機。

    該公司副總經理陳怡良表示,身分驗證是一切數位應用服務的源頭,除了平臺業者要求開發者啟用的角度外,若是能讓開發者從根本的邏輯轉換,具備身分驗證的資安意識,那就會變成開發者要求平臺的基本條件,就應該具備相關機制,否則他們可以選用更安全更有保障的平臺。

    對於GitHub現今推動的雙因素驗證,他認為,與Google、Apple與微軟推動的「無密碼驗證」仍有落差,原因是雙因素是雙重的驗證,但密碼依舊存在;FIDO除了滿足多因素驗證,核心精神是做到無密碼驗證。他認為,用一個認證方式就具備MFA的元素,最為理想。

    對於開發者帳號安全防護,陳怡良表示,以自家公司經驗而言,偉康公司員工近200人,其中150人是工程師,內部也有自建Gitea環境,而他們近年已經從帳號密碼的認證方式,朝向無密碼的環境。

    原本,他們在身分認證的內部控管策略上,與多數公司一樣,主要遵循ISO 27001資訊安全管理系統國際標準,當中即強調人員身分、帳號密碼原則的設定等,但在2020年第四季時,他們開始思考一件事:由於偉康自身要推廣FIDO解決方案,若公司本身都未做到無密碼,並不合理。

    因此,當時他們除了打算推出一套不只金融業適用,各產業都通用的雲端身分認證服務。同時,在他們公司發展藍圖中,其一目標就是無論如何都要在短時間內,將FIDO導入公司內部。

    後續,他們在2021年第三季施行,在公司內部先應用自家開發的產品,不僅開始在內部環境推動無密碼登入,同時也測試產品體驗與穩定性。如此一來,當自家開發人員使用Gitea服務,員工只要透過手機上的「OETH」App掃描QRCode,並經過人臉識別,就能直接登入,而且公司內全系統都能經由同樣方式登入。

    現在不論公司高層或開發人員,每天工作,從收發公司電子郵件、請假,到Check In/Check Out程式碼、開發分支或整合分支、執行CI/CD到發佈,都經過雲端身分認證存取服務,透過手機進行生物辨識的FIDO認證。即便員工手機條件不足、沒有生物辨識機制,也可以圖形鎖方式認證。

    事實上,以身分識別與存取管理(IAM)而言,國內外已有不少這類解決方案,陳怡良指出,國外這類產品大多支援雲端方案,儘管有提供API供企業客製化,但國內缺乏專業人士服務,而臺灣企業還有很多不能上雲,因此客製化能力將是需要看重的部分。

    整體而言,保障企業內部開發人員帳號安全這件事,並不是沒有人再做,還沒因應的企業,應積極採取行動,而不是等到使用的平臺開始要求才做準備。
     

    為了保障開發者帳號,企業可在GitHub等平臺強制啟用2FA

    開發者個人也可在GitHub帳號的設定介面中,將雙因素驗證機制開啟,當中提供了簡訊、TOTP與實體安全金鑰的驗證方式。

    不只獨立開發者要懂得啟用雙因素驗證自保,企業為了強化內部開發人員帳號的安全,不論是使用GitHub、GitLab或Bitbucket等平臺或工具,要求組織成員啟用2FA,已成至關重要且基本的防護策略。

    以GitHub為例,目前GitHub網站支援的雙因素驗證有三種,包括:SMS簡訊驗證、透過手機App的TOTP驗證,以及實體安全金鑰驗證。

    現階段,以TOTP驗證受到最廣泛使用,開發者不只可用GitHub App接受驗證碼,其他包括:Authy、1Password、以及Microsoft Authenticator、Google Authenticator,也都適用。

    而在實體安全金鑰的應用上,目前的趨勢是期望帶有生物識別的實體金鑰,最安全與便利,也能符合NIST 800-63-3並滿足IAL3/AAL3/FAL2或FAL3的所有要求。但相對來說,現階段透過每個人都時刻不離身的手機,會是更容易普及的應用方式。

    無論如何,企業若要積極落實,就應設法在平臺強制之前,要求組織成員強制啟用,並檢視不同平臺環境能否同樣做到。

    來源鏈接:https://www.ithome.com.tw/news/151265

    推薦評價好的iphone維修中心

    擁有專業的維修技術團隊,同時聘請資深iphone手機維修專家,現場說明手機問題,快速修理,沒修好不收錢

    產品缺大量曝光嗎?你需要的是一流包裝設計

    窩窩觸角包含自媒體、自有平台及其他國家營銷業務等,多角化經營並具有國際觀的永續理念。

  • Exchange Server下一版延到2025年、現有版本同年10月終止支援

    本地部署適用的Exchange Server下一版本將延遲到2025年推出。而現今主流的Exchange Server 2013、2016和2019版也將在同年10月終止支援。

    微軟於2020年9月宣布Exchange Server會在隔年,即2021年下半推出下一重大更新版,以訂閱模式提供包括產品更新、技術支援、安全更新及時區更新。但是。

    而在忙著做出回應,包括釋出例外安全更新、、增加多因素驗證(MFA)等措施後,也耽誤新版本的推出計畫;微軟宣布新的Exchange Server推出時程為2025年下半。新版需要伺服器及用戶端存取使用權(CAL),一如SharePoint Server和Project Server訂閱版,新Exchange Server的客戶必須購買軟體保證(Software Assurance)。而進一步的命名、需求和價格等細節會在2024年上半公布。

    除了新版本時程外,微軟也計畫2025年10月14日以後,將不再支援市場上的Exchange Server 2013、2016和2019。微軟說下一代Exchange Server將會加入「現代生命周期政策(Modern Lifecycle Policy)」中,這將不會有支援終止日期,只要有足夠的市場需求就會持續支援。

    過去,每一次新一代Exchange Server的硬體需求會高於以前版本,而且客戶都必須把郵件信箱從舊版搬到新版本,十分麻煩。這一次,微軟提供2019版就地升級,以免除升級的成本及額外工夫。

    推薦評價好的iphone維修中心

    擁有專業的維修技術團隊,同時聘請資深iphone手機維修專家,現場說明手機問題,快速修理,沒修好不收錢

    網頁設計一頭霧水該從何著手呢?

    當全世界的人們隨著網路時代而改變向上時您還停留在『網站美醜不重要』的舊有思維嗎?機會是留給努力改變現況的人們,別再浪費一分一秒可以接觸商機的寶貴時間!

    廣告預算用在刀口上,台北網頁設計公司幫您達到更多曝光效益

    有別於一般網頁架設公司,除了模組化的架站軟體,我們的營業主軸還包含:資料庫程式開發、網站建置、網頁設計、電子商務專案開發、系統整合、APP設計建置、專業網路行銷。

    微軟也藉此推銷,建議較舊版的產品用戶升級到Exchange Server 2019,表示後者不但改善OWA、可整合SharePoint、OneDrive、效能及擴充性更佳等,也透過2022 年上半的累積更新加入了新安全功能如OAuth 2.0支援。

    在OAuth 2.0安全功能方面,今年10月1日微軟將關閉Exchange Online特定協定的基礎驗證,而改為OAuth 2.0驗證,微軟稱之為「現代驗證」。現代驗證提供多因素驗證(MFA)、智慧卡、憑證驗證及第三方身份驗證方案。本來2019年微軟宣布本地部署版本Exchange Server不會支援現代驗證,只會在涵括本地部署及雲端版Exchange的混合環境下,支援混合現代驗證(Hybrid Modern Authentication)。但上周微軟改變心意,Exchange Server也將支援OAuth 2.0為基礎的現代驗證。此外,Exchange Server今年下半將加入新的軟體更新儀表板,以告知哪臺Exchange Server該更新軟體授權。

    圖片來源/微軟

    微軟也預告2023年Exchange Server 2019的新功能,包括正式支援TLS 1.3、加入以PowerShell指令將暫時的漏洞緩解程式碼移除、可保留用戶自訂組態、新增混合組態精靈(Hybrid Configuration Wizard)方便設定Exchange Server及Exchange Online的端點及郵件政策、聯邦信任及OAuth等。

    來源鏈接:https://www.ithome.com.tw/news/151283

    自行創業缺乏曝光? 網頁設計幫您第一時間規劃公司的形象門面

    網站的第一印象網頁設計,決定了客戶是否繼續瀏覽的意願。台北網動廣告製作的RWD網頁設計,採用精簡與質感的CSS語法,提升企業的專業形象與簡約舒適的瀏覽體驗,讓瀏覽者第一眼就愛上它。

    台北網頁設計公司這麼多該如何選擇?

    網動是一群專業、熱情、向前行的工作團隊,我們擁有靈活的組織與溝通的能力,能傾聽客戶聲音,激發創意的火花,呈現完美的作品

    台北網頁設計公司這麼多該如何選擇?

    網動是一群專業、熱情、向前行的工作團隊,我們擁有靈活的組織與溝通的能力,能傾聽客戶聲音,激發創意的火花,呈現完美的作品

  • 【資安週報】2022年5月30日至6月2日

    在5月底到6月初這週的資安新聞裡,與Office有關的零時差漏洞CVE-2022-30190,引起許多資安人員關注,因為這項漏洞很可能讓攻擊者有機會繞過Office本身的防護機制,使用Windows檔案總管的預覽功能就能觸發。且公布不久已經開始有人用於攻擊行動。

    而這項漏洞在微軟的資安通告裡,指出與Windows支援診斷工具(MSDT)有關,他們也提出緩解措施,建議IT人員停用電腦的ms-msdt的URI協定來予以防範。

    但這種與URI有關的漏洞,接下來也有研究人員發現類似的弱點。攻擊者可透過惡意Office檔案,搭配Windows搜尋的URI協定search-ms,列出共享資料夾的內容。

    另一個與漏洞有關的攻擊行動則是殭屍網路EnemyBot。駭客運用了VMware Workspace ONE漏洞CVE-2022-22954、F5 BIG-IP漏洞CVE-2022-1388、Java框架Spring漏洞SpringShell等應用系統的重大漏洞,在受害組織植入殭屍網路病毒。

    與資料庫有關的資安事故也相當值得一提。其中又以駭客針對1,200個Elasticsearch資料庫進行勒索的情況最值得注意。雖然駭客勒索的金錢並不高,但很有可能付了贖金也無法復原。

    【攻擊與威脅】

    去年9月微軟的Office軟體出現MSHTML重大漏洞CVE-2021-40444,而可能讓攻擊者透過內含ActiveX元件的Office檔案觸發漏洞,最近有研究人員找到類似的RCE漏洞,即使用戶關閉巨集也難以防範駭客的攻擊。

    資安研究團隊Nao_sec在調查上述的MSHTML漏洞時,意外在惡意軟體分析平臺VirusTotal看到惡意Word檔案,一旦使用者開啟,該檔案就會經由外部連結載入HTML檔案,並使用MSProtocol URI Scheme(ms-msdt)架構載入程式碼,進而執行PowerShell。資安專家Kevin Beaumont指出,Nao_sec的發現揭露了未知的Office漏洞,雖然使用者可透過受保護的檢視(Protected View)機制,來防止惡意檔案在開啟時就執行巨集,但若是駭客改用RTF格式的文件檔案發動攻擊,則因為Windows的檔案總管就能預覽內容,有可能在不需受害者開啟檔案就能利用漏洞發動攻擊。

    Kevin Beaumont將這項漏洞稱為Follina,並指出Office 2013至2021版都可能受到影響。微軟於5月30日將其登錄為CVE-2022-30190列管,並指出該漏洞與Windows支援診斷工具(MSDT)有關,CVSS評分為7.8分。目前尚未有修補程式,但微軟提出了停用相關通訊協定的緩解措施。

    微軟Office的零時差漏洞Follina(CVE-2022-30190)引起資安人員高度關注,也很快有駭客運用於攻擊行動。資安業者Proofpoint、資安研究團隊MalwareHunterTeam發現已有駭客將上述漏洞用於攻擊行動。Proofpoint的研究人員於5月30日發現,中國駭客組織TA413假冒西藏流亡政府的婦女權益服務處(WED),利用ZIP壓縮檔挾帶利用上述漏洞的Word檔案,一旦對方開啟,駭客就能在受害電腦上執行惡意程式碼。MalwareHunterTeam則是看到有人使用含有簡體中文檔名的Word檔案,發動Follina漏洞攻擊。

    最近幾天,有研究人員揭露與Windows支援診斷工具(MSDT)有關的零時差漏洞CVE-2022-30190,駭客一旦利用這項漏洞,可藉由惡意的Word檔案啟動ms-msdt的通訊協定,進而執行PowerShell命令,但現在又有人發現其他Windows元件的通訊協定可被濫用。

    根據資安新聞網站Bleeping Computer的報導,資安教育訓練業者Hacker House發現新的攻擊手法,能結合新發現的微軟Office元件OLEObject漏洞,以及search-ms通訊協定,受害者只要開啟駭客為此手法而特製的的Word檔案,就可能中招。

    研究人員錄製概念性驗證攻擊(PoC)影片,當使用者開啟駭客提供的Word檔案,該檔案就會執行search-ms通訊協定的命令,開啟Windows搜尋視窗,當中列出共享資料夾上的內容。研究人員呼籲,使用者應考慮刪除相關機碼來因應。

    WordPress惡意外掛程式氾濫,經過研究人員長期分析,他們發現就算從官方市集取得這些軟體,仍可能會買到有問題的外掛程式。喬治亞理工學院旗下的網路鑑識發展實驗室(CyFI Lab)近日發表論文,他們耗費長達8年的時間,針對WordPress市集進行大規模調查,並利用他們製作的檢測工具Yoda對外掛程式進行與網站進行調查。

    結果發現,他們在410,122個網站伺服器裡,找到24,931個網站存在惡意外掛程式,它們總共被部署了47,337個有問題的元件,且其中有3,685個外掛程式還在合法市集上銷售。

    研究人員指出,他們看到WordPress的惡意外掛程式不斷增加,並於2020年3月達到最高峰,令他們意外的是,8年來這些受害網站上部署的惡意外掛程式,94%迄今仍非常活躍。

     

    駭客鎖定配置較不安全的Elasticsearch資料庫下手,並向所有者勒索的情況,最近再度出現事故。資安業者Secureworks指出,他們看到有人針對超過1,200個Elasticsearch資料庫發動攻擊,清空內容並留下勒索訊息,要求對方一個星期內支付0.012個比特幣(約620美元)來復原資料,若是沒有在期限內付錢,贖金將會加倍。

    研究人員確認至少有450筆付款請求(相當於28萬美元),但駭客的兩個錢包目前似乎沒有收到任何贖金。雖然上述攻擊行動似乎不算成功,駭客拿不到錢,但對於受害組織來說,即使向對方支付贖金,可能仍無法恢復Elasticsearch資料庫的狀態,因為,存放1,200個資料庫資料所需的成本相當可觀,駭客極有可能不會備份。研究人員呼籲,用戶應對於資料庫做好相關防護。

    資料庫曝露於網際網路上,很有可能成為駭客攻擊的目標,但採取這種配置的資料庫有多氾濫?根據網路安全研究機構Shadow Server基金會的檢測,他們找到360萬臺MySQL伺服器,不只能在網際網路上公開存取,同時管理者保留預設連接埠TCP的3306埠配置,而很有可能成為駭客鎖定的目標。這些公開在網際網路上的MySQL伺服器,還會向來源請求發出伺服器問候(Server Greeting)回應。

    上述的伺服器裡,有230萬臺透過IPv4連接網際網路,130萬臺則是透過IPv6。從MySQL伺服器所在的國家分布來看,美國超過120萬臺最多,中國、德國、新加坡、荷欄、波蘭次之。研究人員表示,雖然他們沒有針對個別MySQL伺服器調查資料庫曝露的程度,但這種以預設連接埠曝露於網際網路的組態,將可能成為組織潛在的攻擊面,他們呼籲組織應避免將資料庫曝露於網際網路,並應該調整存取的連接埠,以及進行相關的狀態監控,來保護資料庫的安全。

    研究人員發現航空公司因AWS儲存桶配置不當,而使得機組人員的個人資料與航班文件曝光,有可能影響飛行安全。防毒軟體評測網站SafetyDetectives研究人員發現,土耳其廉價航空公司Pegasus Airlines的AWS儲存桶,約自2月28日公開,內有近2,300萬個檔案,大小約6.5 TB。

    這些資料包超逾300萬個與飛行資料有關的檔案、160萬個機組人員的個資檔案。其中,引起研究人員高度關注的是,內有該公司開發的電子飛行文件包(Electronic Flight Bag,EFB)系統的原始碼,並包含明文密碼等機密資料。研究人員指出,一旦攻擊者從儲存桶取得相關密碼,就有可能用來航班資料而影響飛行安全。在3月1日通報後,該公司約在3星期後修復儲存桶相關配置。

    殭屍網路EnemyBot在3月被發現,,如今駭客更進一步針對應用系統的重大漏洞下手。

    電信業者AT&T的資安團隊近期找到EnemyBot變種,該殭屍網路病毒共針對24種漏洞下手,但與過往EnmeyBot不同的之處,在於駭客利用的漏洞裡,多半為應用系統的重大漏洞,包含了VMware Workspace ONE漏洞CVE-2022-22954(CVSS風險評分9.8分)、F5 BIG-IP漏洞CVE-2022-1388(CVSS風險評分9.8分)、Java框架Spring漏洞SpringShell,除此之外還有部分是沒有CVE編號的漏洞,這使得IT人員更難防範EnemyBot的威脅。

    而對於部署該殭屍網路的攻擊者身分,研究人員指出是Keksec,該組織過往曾散布Tsunami、Gafgyt、DarkHTTP、DarkIRC、Necro等惡意軟體。

    最近針對Linux主機而來的攻擊行動不時傳出,但也有人鎖定Windows作業系統提供的Linux子系統(Windows Subsystem for Linux,WSL)而來。資安業者Lumen於去年秋季開始,發現駭客針對WSL下手,迄今已散布逾100種惡意程式。

    在這些惡意程式當中,有些特別引起研究人員注意。例如,他們發現以程式語言Python開發的鍵盤側錄工具Keyjeek,攻擊者透過Windows的機碼使其常駐受害電腦,並將收集到的帳密資料回傳到特定的Gmail信箱,研究人員將其上傳到惡意軟體分析平臺VirusTotal,結果60個防毒引擎僅有1個識別有害。

    另一個該公司特別提到的惡意程式,則是會從遠端下載Shell Code,並在受害電腦注入與執行,研究人員指出,這種能夠下載惡意程式並完全在記憶體內(In-Memory)執行的工具,很有可能日後駭客會用於投放更為複雜的軟體,如Cobalt Strike或是其他滲透測試框架。再者,研究人員也看到能同時於Windows與Linux作業系統執行的代理程式Lee,攻擊者不只能透過該代理程式上傳或下載檔案,還能執行任意命令。

    除此之外,研究人員也發現多個會利用即時通訊軟體Discord的惡意軟體,像是木馬程式DiscordRAT、竊密程式Discord Token Grabber、Discord-Keylogger等,再者,也有濫用加密通訊軟體Telegram木馬程式Telegram-RAT。該公司建議採用WSL的使用者,應透過Sysmon等系統監控工具進行監控,來找出WSL環境是否出現異常。

    推薦評價好的iphone維修中心

    擁有專業的維修技術團隊,同時聘請資深iphone手機維修專家,現場說明手機問題,快速修理,沒修好不收錢

    最熱情、專業有口碑的網頁設計公司讓您的網站改頭換面。

    網頁設計公司推薦不同的風格,搶佔消費者視覺第一線

    透過選單樣式的調整、圖片的縮放比例、文字的放大及段落的排版對應來給使用者最佳的瀏覽體驗,所以不用擔心有手機版網站兩個後台的問題,而視覺效果也是透過我們前端設計師優秀的空間比例設計,不會因為畫面變大變小而影響到整體視覺的美感。

    隨著武漢肺炎疫情延燒,許多人必須居家隔離,透過餐點外送平臺取得三餐所需,有駭客假借這樣的名義來散布惡意軟體。、指出,他們看到有人佯稱是Blot Food的餐點外送業者,製作冒牌網站來散布安卓竊密軟體Ermac 2.0,一旦使用者從該網站下載檔案並進行安裝,該冒牌App將會要用戶開放43項權限,進而竊取467種應用程式的帳密,當中包含全球各地的銀行機構、加密貨幣錢包,以及資產管理應用程式。研究人員呼籲用戶,應從從Google Play市集下載App。

    隨著疫情升溫與烏克蘭戰爭的進行,弱勢民眾很可能更加倚賴食物銀行才能溫飽,但這類組織如今也遭到網路攻擊波及。根據英國廣播公司(BBC)的報導,一家位於英國基德明斯特鎮的食物銀行近日被騙走5萬歐元(相當於新臺幣156.6萬元),所幸銀行及時將款項追回。

    針對這起事故,資安業者Malwarebytes進一步公布細節。他們看到駭客先是佯稱英國衛生局(NHS)的名義,向食物銀行的經營者透過網釣簡訊與釣魚郵件發動攻擊,宣稱受害者曾與確認者接觸,必須付錢進行PCR檢測。對方線上付款後驚覺有異,正打算打電話給銀行,但這些駭客竟假冒銀行行員,向受害者打電話,藉此取得對方的銀行帳戶詳細資料,進而將存款轉走。

    研究人員警告,英國取消免費的PCR後,民眾可能收到需要進行相關檢測並進行付費的通知時,難以辨別是來自政府還是駭客,而有可能落入駭客的圈套。他們呼籲在接到銀行打來的電話時,不要透露任何個人資料,並透過網站上的電話號碼回撥。

    勒索軟體駭客REvil似乎再度發動攻擊,但並非透過加密檔案的方式進行,而是以DDoS攻擊來癱瘓受害組織網路。雲端服務業者Akamai於5月12日接獲客戶通報,他們發現聲稱是REvil的駭客進行DDoS攻擊,駭客要脅受害組織必須移轉指定數量的比特幣(BTC),並暫停特定國家的業務,來換取駭客停止發動DDoS攻擊,駭客揚言若是不從,他們將會讓該組織的全球業務受到衝擊。

    研究人員指出,這起DDoS攻擊背後似乎存在政治動機,與REvil的行事風格完全不同,他們認為很有可能是他人假借REvil的名號對受害組織進行勒索。

    過往惡名昭彰的勒索軟體駭客組織,在沉寂一段時間幾乎沒有活動後,再度大舉發動攻擊的情況,近期時有所聞。例如,資安業者NCC Group揭露他們針對2022年4月勒索軟體攻擊的態勢,當中特別提及勒索軟體Clop(亦稱Cl0p)的攻擊行動,在整個月出現了21個受害組織,主要目標是工業,占45%,其次是IT產業,占27%。

    但為何突然出現這麼多攻擊行動?資安新聞網站Bleeping Computer認為,這些駭客很有可能像Conti,目的是避免關閉Clop基礎設施的時候,成員後續受到執行單位追捕,因此,刻意發動這些攻擊來掩人耳目。

    自勒索軟體駭客組織Conti於4月中旬對哥斯大黎加發動攻擊後,該國政府機關再度成為勒索軟體的目標。哥斯大黎加衛生服務部(亦稱哥斯大黎加社會安全基金,CCCS)於5月31日晚間證實,他們在當天凌晨遭到駭客攻擊,目前正在恢復關鍵服務與受影響的系統,但無法確定何時能恢復運作。而針對受影響的範圍,該單位表示,數位健康統合系統(EDUS)、稅務集中統合系統(SICERE),以及該單位員工的薪資與退休金資料庫等,沒有遭到入侵,除此之外沒有透露更多細節。

    根據資安新聞網站Bleeping Computer的報導,CCCS員工在攻擊發生的時候,發現內部網路的印表機開始印出許多ASCII亂碼,他們接收到關閉電腦並拔除網路線的命令。至於攻擊者的身分,有人向Bleeping Computer提供勒索訊息的螢幕截圖,該新聞網站從而得知攻擊者使用的工具是勒索軟體Hive。Bleeping Computer認為,攻擊者很有可能是從Conti跳槽Hive的駭客。

    臺灣高科技產業海外工廠遭到勒索軟體攻擊的事故,最近再添一例。根據資安新聞網站SecurityWeek的報導,鴻海集團在美墨邊境設立的液晶電視生產工廠,傳出遭到勒索軟體LockBit攻擊,駭客揚言:若未在6月11日前付錢,他們將會公布竊得的資料。

    ,本次受攻擊廠區目前正逐漸恢復正常中,所受影響預計可由後續產能調整因應,對集團整體營運影響不大。

    企業面臨的資安威脅不只是來自外部,別有居心的內部員工、離職員工因為了解公司業務流程運作方式,或已經或曾經被授予高權限,也可能因故而傷害目前或先前任職的公司。

    根據中央社報導,三立電視臺吳姓、曾姓工程師皆曾擔任網路影音平臺Vidol網站程式設計、部署業務,離職後於民國106年2月,使用洋蔥網路(Tor)隱匿真實IP位址,登入公司系統並刪除該網路影音平臺部分帳號,關閉存放於AWS的網頁程式,然後刪除會員資料。一審判2人各10月徒刑,5月31日二審結果出爐,法官考量2人已履行賠償110萬元,改判6個月徒刑。

    微軟於5月24日發布Windows 11、Windows Server 2022的預覽版更新程式,但很可能導致防毒軟體無法正常運作。趨勢科技於5月26日發布資安通告指出,使用者若是在執行Windows 11與Windows Server 2022的電腦上,安裝微軟近日發布的KB5014019更新套件,將會導致該公司旗下多項企業端點防護產品的User Mode Hooking(UMH)元件失效,而使得勒索軟體防護等進階功能無法發揮作用。

    受到影響的產品包括Apex One 2019、Apex One as a Service 2019、Worry-Free Business Security Services 6.7、Worry-Free Business Security Advanced 10.0,以及Deep Security 20.0。由於上述Windows更新套件改善多項使用者操作流程,趨勢科技正著手調查,並在微軟向所有用戶推送相關更新前解決上述問題。若是用戶已安裝上述預覽版更新套件,趨勢科技建議用戶應先移除,以免防護層級降低。

     

    【漏洞與修補】

    電信業者為了在手機上提供專屬服務,很可能會運用廠商提供的軟體框架,對旗下品牌手機進行客製化,一旦這種框架系統出現漏洞,很可能影響相當廣泛。微軟於5月27日公布在去年9月發現的數個漏洞──CVE-2021-42598、CVE-2021-42599、CVE-2021-42600,以及CVE-2021-42601,這些漏洞存在於mce Systems推出的行動裝置應用程式框架,CVSS風險評分從7.0分至8.9分,一旦攻擊者加以利用,就有可能從這些透過上述行動裝置應用程式框架製作的App,藉由其提供可瀏覽功能(Browsable)的服務,進而在受害裝置植入後門程式並取得控制權,安卓與iOS版應用程式都有可能受到影響。研究人員通報後,mce Systems與相關電信業者已著手修補漏洞,目前尚未出現利用相關漏洞的攻擊行動。

    隨著遠距工作、線上學習的情況越來越常見,能存取電腦視訊鏡頭的軟體也變得熱門,但在此同時這類軟體一旦出現漏洞,很有可能會被攻擊者用來擷取視訊鏡頭的影像。研究人員Wladimir Palant在2月中旬,通報名為Screencastify的Chrome外掛程式存在漏洞,但該名研究人員指出,當時開發者僅修補了部分跨網站指令碼(XSS)漏洞,其他漏洞仍未獲得修補,使得使用者面臨與Screencastify合作的其他平臺曝露相關風險。

    研究人員指出,該外掛程式會向用戶要求Google Drive的永久OAuth憑證,以便該外掛程式能自動上傳、下載影片檔案,一旦攻擊者搭配上述修補不完全的XSS漏洞,就有機會透過上述的OAuth憑證來存取受害者Google Drive其他檔案。研究人員透過概念性驗證攻擊來啟動受害電腦的視訊鏡頭,過程無須使用者互動。對此,該開發者表示,他們將透過更為嚴謹的內容安全政策,來防堵用戶可能曝險的情況。

     

    【資安產業動態】

    隨著疫情趨緩、各國邊境陸續解封,預計在今年8月11日至14日於美國拉斯維加斯舉辦的DEF CON CTF(駭客搶旗攻防賽)即將重新以實體比賽的方式進行。而在5月28日至5月30日舉辦的CTF線上資格賽,臺灣聯隊戰隊最終順利取得預賽第二名的資格,而這個結果也等於確認該隊可以參加8月的DEF CON CTF,和資格賽前十五名,以及去年DEF CON CTF第一名隊伍Katzebin,總計16隊網路好手現場較勁。

    值得一提的是,從2018年起,本項搶旗攻防賽都是由主辦單位O.O.O.(Order-of-the-Overflow)負責出題,今年適逢DEF CON屆滿30週年,命題的工作將交由新團隊Nautilus Institute負責。

    美國晶片製造商博通(Broadcom)於5月26日宣布,將斥資610億美元買下VMware,該公司將以現金及股票支付上述金額,並預計在2023年10月31日前完成。在併購完成後,博通的軟體部門Broadcom Software Group將更名為VMware,並納入該公司現有的基礎設施與安全軟體解決方案。

    根據VMware於5月20日收盤價95.71美元來推估,博通約溢價44%買下VMware。自併購的消息傳出後,VMware股價一路上漲,至26日收盤價來到120.54美元。博通指出,本交易案將讓該公司日後能提供企業更為兼具效通與安全的解決方案。

     

    【資安防禦措施】

    安卓惡意軟體FluBot自2020年底,多次大肆透過網釣簡訊(Smiphing)散播,這樣的情況使得歐美多個國家聯手,阻斷其基礎設施。歐洲刑警組織(Europol)於6月1日宣布,他們與荷蘭、瑞士、瑞典、西班牙、芬蘭等11個國家的執法單位聯手,切斷FluBot的攻擊行動,並指出荷蘭警方於5月初切斷其基礎設施。荷蘭警方表示,他們將一萬名受害者斷開與FluBot的網路連結,並阻止逾650萬個用來發動攻擊的網釣簡訊。

    來源鏈接:https://www.ithome.com.tw/news/151282

    如何讓商品強力曝光呢? 網頁設計公司幫您建置最吸引人的網站,提高曝光率!

    以設計的實用美學觀點,規劃出舒適、美觀的視覺畫面,有效提昇使用者的心理期待,營造出輕鬆、愉悅的網站瀏覽體驗。

    想知道最厲害的網頁設計公司嚨底家!

    RWD(響應式網頁設計)是透過瀏覽器的解析度來判斷要給使用者看到的樣貌

    網頁設計公司推薦不同的風格,搶佔消費者視覺第一線

    透過選單樣式的調整、圖片的縮放比例、文字的放大及段落的排版對應來給使用者最佳的瀏覽體驗,所以不用擔心有手機版網站兩個後台的問題,而視覺效果也是透過我們前端設計師優秀的空間比例設計,不會因為畫面變大變小而影響到整體視覺的美感。

  • 5G趨勢月報第31期:聯發科推出首款支援5G毫米波晶片,高通新旗艦級行動平臺登場

    聯發科在今年Computex電腦展展示多項無線通訊產品,包括Wi-Fi 7通訊晶片,以及首款可支援5G毫米波的行動平臺天璣1050,將5G市場從Sub-6GHz擴大到mmWave毫米波頻段,支援現今全球5G全頻段,聯發科預告晶片將在下半年量產。

    作為聯發科首款5G毫米波行動平臺,天璣1050採用台積電6奈米製程,內建8核心CPU,包括2個Cortex-A78大核心,搭配Arm GPU Mali-G610。內建的5G數據機可支援Sub-6GHz與mmWave毫米波頻段,其中毫米波更支援4載波聚合以提高網速。

    在高速、低延遲的網路通訊趨勢下,聯發科也開始布局最新的Wi-Fi 7,在Computex展示兩款Wi-Fi 7晶片Filogic 880與380,其中Filogic 880主要用於無線路由器或閘道器,速度最快可達36Gbps,Filogic 380則用於筆電、手機、電視、平板等終端產品,速度最快可達6.5Gbps。聯發科預期搭載其Wi-Fi 7晶片的產品將在2023年上市。

    台灣大哥大 諾基亞

    台灣大哥大與諾基亞強化合作,導入節能5G設備

    迎合節能減碳的趨勢,台灣大哥大近期宣布和諾基亞強化雙方合作關係,以節能減排為5G設備採購的優先考量,引進諾基亞的5G節能設備,以實現該公司2040年100%使用再生能源的目標。

    相較於4G網路使用較低的無線頻段,有較高的網路覆蓋,5G因使用較高的無線頻率,容易受地形及建物所影響,因此需建設更密集的基地臺,因此使用節能設備,對電信營運商而言,能減少能源的使用,迎合全球淨零碳排的趨勢。

    台灣大哥大也採用優化網路技術,引進4G與5G動態頻譜共享技術,以利用該公司在700MHz與2100MHz頻段的價值。其他還包括5G SA獨立組網、邊緣雲平臺、VoNR(Voice over New Radio)等。

    高通 Snapdragon

    高通推出新一代旗艦及高階行動平臺

    繼聯發科之後,高通在高階手機市場也不落人後,該公司近期發表新一代旗艦及高階行動平臺,Snapdragon 8+Gen 1及Snapdragon 7 Gen 1。其中的Snapdragon 8+Gen 1採用Kryo CPU並提升Adreno GPU,宣稱效能提升10%,功耗降低30%,相機功能可支援8K HDR錄影,AI每瓦效能提升20%。高通預告將在第三季看到採用該平臺的商品。

    至於Snapdragon 7 Gen 1則將高階功能或技術帶到7系列,包括採用新的Adreno圖像運動引擎,在相同功耗下提供兩倍的幀率;相機支援4K HDR錄影,透過新的三重影像處理器,支援2億畫素拍攝,搭配AI引擎,高通表示,可支援300個面部特徵的深度學習臉部辨識,即使戴著口罩也能準確自動對焦,AI效能也提升30%。

    另外,該公司也發表新的延展實境Snapdragon XR 2平臺的無線AR智慧裝置參考設計,這款參考設計採用手機與AR裝置間的分工運算,強調手機與AR裝置間的延遲小於3毫秒;內建Fastconnect 6900系統及XR軟體套件,支援Wi-Fi 6/6E及藍牙,其設計外型變薄40%,雙眼顯示器提供每眼1920×1080。高通已開始提供參考設計給業者。

    中華電信 高通

    中華電信與高通聯手測試5G毫米波4K雲端遊戲應用

    看好毫米波高速傳輸的特性,中華電信近期和高通聯手,以支援mmWave毫米波頻段的華碩5G手機,執行雲端遊戲開發商Gamestream的兩款4K畫質Hami遊戲,完成毫米波4K雲端遊戲應用測試。

    對於更高傳輸速度、低延遲的28GHz毫米波頻段,中華電信已取得600MHz頻寬,該公司指出,下載速度理論值可達到3Gbps,雙向延遲可達到5到6毫秒,適合高速傳輸的應用,例如AR/VR視訊直播、高畫質視訊及雲端遊戲。這次測試,展現 5G毫米波頻段對遊戲產業的應用潛力,並提供行動裝置用戶桌機等級的遊戲體驗。

    NCC 頻譜

    NCC通過中華、遠傳、亞太三家電信業者頻率改配共用案,優化頻譜使用效益

    推薦評價好的iphone維修中心

    擁有專業的維修技術團隊,同時聘請資深iphone手機維修專家,現場說明手機問題,快速修理,沒修好不收錢

    網頁設計最專業,超強功能平台可客製化

    窩窩以「數位行銷」「品牌經營」「網站與應用程式」「印刷品設計」等四大主軸,為每一位客戶客製建立行銷脈絡及洞燭市場先機。

    NCC日前通過中華電信、遠傳電信、亞太電信三家業者頻率改配及共用申請案。亞太電信旗下的900MHz頻段(905-915 MHz與950-960 MHz)改配中華電信使用,使中華電信擁有更多900MHz連續頻寬資源,亞太電信共用中華電信2100MHz,使用其3G行動語音,在偏遠地區得以漫遊中華電信網路。

    另外,遠傳電信旗下的2600MHz將和亞太電信的700MHz頻段相互改配,兩家公司將於該頻段取得更多連續頻寬,得以提升頻譜使用、優化網路。

    三家電信業者也提出承諾,包括中華、遠傳電信規畫於2024年第2季關閉3G網路,且將建置2,700座基地臺,以提升訊號涵蓋。

    KDDI Beyond 5G

    日本KDDI揭露Beyond 5G/6G網路技術研究,建構以用戶為中心的網路

    隨著全球進入5G時代,不少業者已開始投入Beyond 5G或下一代的6G技術研究。日本KDDI最近揭露其部分研究成果,透過網路通訊技術,如何讓實體與虛擬更加融合,為人們帶來新的生活方式。

    在技術研究方面,KDDI正研究如何建構以用戶為中心的網路,具體實現此一目標的是,以用戶為中心的RAN,核心技術為Cell-Free massive MIMO,將大量的基地臺連結,成為專屬用戶的通訊機制,而由於無線訊號處理的大量增加,KDDI也研究IFOF(Intermediate Frequency over Fiber),以一條光纖承載更多無線電信號。

    其他研究中的技術包括用以提升涵蓋的超表面反射器,以及手機與穿戴裝置使用的天線協同通訊技術,以進一步提高上行通訊速度,還有利用100GHz以上頻率,實現終端間的高速大容量連接技術。

    遠傳電信 專網

    遠傳電信推出只有登機箱大小的行動5G專網方案

    企業架構5G專網有新選擇。遠傳電信與美超微電腦、樂達創意、英菲達、光寶科技等業者合作,展示一款外型只有登機箱大小,可隨插即用、快速部署的5G專網方案,這套方案整合上述業者的軟硬體設備,通過遠傳實驗室測試驗證,為企業建置5G專網的創新模式。

    這項5G專網方案包含小型5G核網、小型基地臺(RAN),以一站式One box方式,將專網所需的組件整合至登機箱大小的One Box中,搭配拉把及底部的輪子,如同旅行箱般拖著走,不同於固定地點建置的傳統專網,企業可視需要,彈性移動以建置5G專網。不過,目前遠傳並沒有進一步公布這項專網建置方案的內部組件,小型基地臺射頻功率等資訊。

    遠傳電信表示,透過此一新的專網建置商業模式,隨插即用,讓5G專網的部署更快速、便捷,除了企業用於場域的快速驗證,也可以成為實際部署專網的方案。

     

    圖片來源/遠傳電信、臺灣港務公司、仁寶、蘋果、Counterpoint

    更多5G動態 

    1.愛立信發布報告,揭5G網路切片的10大應用市場

    2.微軟與AT&T聯手,展示Azure邊緣運算結合5G的智慧交通應用

    3.中華電信5G應用大賽開跑,鎖定智慧巡檢、交通、製造、醫療等6大主題

    資料來源:iThome整理,2022年5月

    來源鏈接:https://www.ithome.com.tw/news/151269

    產品缺大量曝光嗎?你需要的是一流包裝設計

    窩窩觸角包含自媒體、自有平台及其他國家營銷業務等,多角化經營並具有國際觀的永續理念。

    產品缺大量曝光嗎?你需要的是一流包裝設計

    窩窩觸角包含自媒體、自有平台及其他國家營銷業務等,多角化經營並具有國際觀的永續理念。

  • 研究人員在WordPress網站上發現逾4.7萬個惡意外掛程式、上千個Elasticsearch資料庫遭到勒索

    在今天的資安新聞裡,我們想要特別提及惡意外掛程式對於WordPress網站的威脅。有資安研究團隊近期發布報告指出,他們在長達8年的研究中,發現了超過4.7萬個惡意外掛程式,這些元件被部署於2.4萬個網站上,且大部分仍相當活躍。

    駭客針對不設防的資料庫發動攻擊的情況,最近再添一起事故。研究人員發現有人鎖定1,200個Elasticsearch資料庫下手,刪除內容並留下勒索訊息。

    這兩天有資安人員揭露與Windows支援診斷工具(MSDT)有關的零時差漏洞CVE-2022-30190,類似可被濫用的Windows元件通訊協定漏洞再被揭露,這次是和Windows搜尋協定search-ms有關。

    【攻擊與威脅】

    WordPress惡意外掛程式氾濫,經過研究人員長期分析,他們發現就算從官方市集取得這些軟體,仍可能會買到有問題的外掛程式。喬治亞理工學院旗下的網路鑑識發展實驗室(CyFI Lab)近日發表論文,他們耗費長達8年的時間,針對WordPress市集進行大規模調查,並利用他們製作的檢測工具Yoda對外掛程式進行與網站進行調查。

    結果發現,他們在410,122個網站伺服器裡,找到24,931個網站存在惡意外掛程式,它們總共被部署了47,337個有問題的元件,且其中有3,685個外掛程式還在合法市集上銷售。

    研究人員指出,他們看到WordPress的惡意外掛程式不斷增加,並於2020年3月達到最高峰,令他們意外的是,8年來這些受害網站上部署的惡意外掛程式,94%迄今仍非常活躍。

    駭客鎖定配置較不安全的Elasticsearch資料庫下手,並向所有者勒索的情況,最近再度出現事故。資安業者Secureworks指出,他們看到有人針對超過1,200個Elasticsearch資料庫發動攻擊,清空內容並留下勒索訊息,要求對方一個星期內支付0.012個比特幣(約620美元)來復原資料,若是沒有在期限內付錢,贖金將會加倍。

    研究人員確認至少有450筆付款請求(相當於28萬美元),但駭客的兩個錢包目前似乎沒有收到任何贖金。雖然上述攻擊行動似乎不算成功,駭客拿不到錢,但對於受害組織來說,即使向對方支付贖金,可能仍無法恢復Elasticsearch資料庫的狀態,因為,存放1,200個資料庫資料所需的成本相當可觀,駭客極有可能不會備份。研究人員呼籲,用戶應對於資料庫做好相關防護。

    最近幾天,有研究人員揭露與Windows支援診斷工具(MSDT)有關的零時差漏洞CVE-2022-30190,駭客一旦利用這項漏洞,可藉由惡意的Word檔案啟動ms-msdt的通訊協定,進而執行PowerShell命令,但現在又有人發現其他Windows元件的通訊協定可被濫用。

    根據資安新聞網站Bleeping Computer的報導,資安教育訓練業者Hacker House發現新的攻擊手法,能結合新發現的微軟Office元件OLEObject漏洞,以及search-ms通訊協定,受害者只要開啟駭客為此手法而特製的的Word檔案,就可能中招。

    研究人員錄製概念性驗證攻擊(PoC)影片,當使用者開啟駭客提供的Word檔案,該檔案就會執行search-ms通訊協定的命令,開啟Windows搜尋視窗,當中列出共享資料夾上的內容。研究人員呼籲,使用者應考慮刪除相關機碼來因應。

    駭客濫用Telegram服務進行攻擊行動的情況,不時有事故傳出,但近期有人也運用該公司旗下的匿名部落格服務Telegraph出手。郵件安全業者Inky指出,他們看到駭客今年大肆利用Telegraph來進行網路釣魚攻擊,根據該公司的資料,他們在2019年至2022年5月偵測到的攻擊行動,有9成出現在2022年。這些駭客可能來自多個組織,使用已被挾持的電子郵件帳號發送郵件,企圖進行加密貨幣詐騙,或是竊取對方的網路服務帳密。

    其中,在針對收信人的加密貨幣詐騙中,駭客聲稱已經竊得對方電子郵件帳號的密碼,並下載了所有信件,要求支付價值1,700美元的比特幣,換取資料不被外流,而這樣的狀況有多嚴重?根據研究人員的觀察與統計,駭客至少收到2,578.71美元贖金。

    臺灣高科技產業海外工廠遭到勒索軟體攻擊的事故,最近再添一例。根據資安新聞網站SecurityWeek的報導,鴻海集團在美墨邊境設立的液晶電視生產工廠,傳出遭到勒索軟體LockBit攻擊,駭客揚言:若未在6月11日前付錢,他們將會公布竊得的資料。

    ,本次受攻擊廠區目前正逐漸恢復正常中,所受影響預計可由後續產能調整因應,對集團整體營運影響不大。

    企業面臨的資安威脅不只是來自外部,別有居心的內部員工、離職員工因為了解公司業務流程運作方式,或已經或曾經被授予高權限,也可能因故而傷害目前或先前任職的公司。

    根據中央社報導,三立電視臺吳姓、曾姓工程師皆曾擔任網路影音平臺Vidol網站程式設計、部署業務,離職後於民國106年2月,使用洋蔥網路(Tor)隱匿真實IP位址,登入公司系統並刪除該網路影音平臺部分帳號,關閉存放於AWS的網頁程式,然後刪除會員資料。一審判2人各10月徒刑,5月31日二審結果出爐,法官考量2人已履行賠償110萬元,改判6個月徒刑。

     

    【資安防禦措施】

    安卓惡意軟體FluBot自2020年底,多次大肆透過網釣簡訊(Smiphing)散播,這樣的情況使得歐美多個國家聯手,阻斷其基礎設施。歐洲刑警組織(Europol)於6月1日宣布,他們與荷蘭、瑞士、瑞典、西班牙、芬蘭等11個國家的執法單位聯手,切斷FluBot的攻擊行動,並指出荷蘭警方於5月初切斷其基礎設施。荷蘭警方表示,他們將一萬名受害者斷開與FluBot的網路連結,並阻止逾650萬個用來發動攻擊的網釣簡訊。

     

    推薦評價好的iphone維修中心

    擁有專業的維修技術團隊,同時聘請資深iphone手機維修專家,現場說明手機問題,快速修理,沒修好不收錢

    台北網頁設計公司這麼多該如何選擇?

    網動是一群專業、熱情、向前行的工作團隊,我們擁有靈活的組織與溝通的能力,能傾聽客戶聲音,激發創意的火花,呈現完美的作品

    自行創業缺乏曝光? 網頁設計幫您第一時間規劃公司的形象門面

    網站的第一印象網頁設計,決定了客戶是否繼續瀏覽的意願。台北網動廣告製作的RWD網頁設計,採用精簡與質感的CSS語法,提升企業的專業形象與簡約舒適的瀏覽體驗,讓瀏覽者第一眼就愛上它。

    來源鏈接:https://www.ithome.com.tw/news/151273

    網頁設計一頭霧水該從何著手呢?

    當全世界的人們隨著網路時代而改變向上時您還停留在『網站美醜不重要』的舊有思維嗎?機會是留給努力改變現況的人們,別再浪費一分一秒可以接觸商機的寶貴時間!

    廣告預算用在刀口上,台北網頁設計公司幫您達到更多曝光效益

    有別於一般網頁架設公司,除了模組化的架站軟體,我們的營業主軸還包含:資料庫程式開發、網站建置、網頁設計、電子商務專案開發、系統整合、APP設計建置、專業網路行銷。

    廣告預算用在刀口上,台北網頁設計公司幫您達到更多曝光效益

    有別於一般網頁架設公司,除了模組化的架站軟體,我們的營業主軸還包含:資料庫程式開發、網站建置、網頁設計、電子商務專案開發、系統整合、APP設計建置、專業網路行銷。

  • 【全家悠遊卡寄杯】怎麼用?綁定、寄杯步驟超簡單的隨買跨店取

    於去年年末推出 改版升級,今年初又推出「悠遊卡寄杯」的加碼服務囉!這項寄杯服務怎麼用?其實功能好比全家隨買跨店取,適合每天會使用到的朋友,只要拿出悠遊卡,就可以儲值、兌換寄杯的咖啡,非常方便,一起來看看下方超簡單的綁定與使用流程吧!

    全家悠遊卡寄杯、隨買跨店取怎麼用?

    若想使用全家悠遊卡寄杯服務,雖然與全家全買跨店取的功能相似,但須先完成悠遊卡與全家會員的綁定,步驟如下給大家參考:

    全家悠遊卡寄杯怎麼用?簡單4步驟完成綁定

    1. 持悠遊卡於全家門市櫃檯靠卡。
    2. 提供全家會員編號或電話完成綁定。
    3. 告知全家門市人員想購買的品項。
    4. 完成支付,即完成寄杯。
    5. 支付方式比照全家隨買跨店取,可於全家門市結帳,或在隨買跨店取 APP 內選擇「Fami 錢包支付」。


    (全家悠遊卡寄杯怎麼用?支付方式比照隨買跨店取,來源:翻攝自全家)

    全家悠遊卡兌杯怎麼用?簡單3步驟

    1. 確認完成會員綁定後,持悠遊卡於全家門市櫃檯靠卡。
    2. 確認品項已完成支付後,告知全家門市人員想兌換的品項。
    3. 領取商品。


    (完成綁定後悠遊卡兌杯步驟,來源:翻攝自全家)

    全家悠遊卡寄杯、轉贈服務

    若完成悠遊卡綁定、寄杯與支付後,想將寄杯品項轉贈給親友也是可以的!但須留意的是,寄杯轉贈的受贈者也須是「全家會員」,才有辦法轉贈喔。

    想知道最厲害的網頁設計公司嚨底家!

    RWD(響應式網頁設計)是透過瀏覽器的解析度來判斷要給使用者看到的樣貌

    最熱情、專業有口碑的網頁設計公司讓您的網站改頭換面。

    網頁設計公司推薦不同的風格,搶佔消費者視覺第一線

    透過選單樣式的調整、圖片的縮放比例、文字的放大及段落的排版對應來給使用者最佳的瀏覽體驗,所以不用擔心有手機版網站兩個後台的問題,而視覺效果也是透過我們前端設計師優秀的空間比例設計,不會因為畫面變大變小而影響到整體視覺的美感。

    全家悠遊卡寄杯轉贈怎麼用?3步驟完成

    1. 於全家 APP 內點選想轉贈的寄杯品項(系統會顯示悠遊卡圖示,表示此品項為悠遊卡寄杯)。
    2. 點選轉贈,輸入受贈者的會員手機。
    3. 若受贈者尚未成為全家會員,可使用「序號轉贈」功能給非全家會員的朋友,並於  APP 登入序號取得贈送商品。


    (全家悠遊卡寄杯也可轉贈,來源:翻攝自全家)

    全家悠遊卡寄杯,悠遊卡遺失怎麼辦?

    遺失寄杯悠遊卡,4方法解決

    1. 進線全家客服確認身分後,可將 A 卡內商品移轉至 B 卡。
    2. 全家 APP 內卡片移轉步驟:於全家 APP 內點選隨買跨店取 > 功能 > 票卡跨店取 > 移轉至其他卡片。
    3. 全家 APP 內刪除悠遊卡步驟:會員電子票證綁定集點 > 刪除 > 商品將自動轉到會員內,可直接以全家 APP 進行寄杯領取。
    4. 全家實體門市的 FamiPort 機台操作步驟:點選會員 > 隨買跨店取 > 票卡寄杯 > 票卡移轉,接著將寄杯商品移轉到其他卡片即可。

    (全家官網、全家 APP:、 )

    先前已使用過全家隨買跨店取的朋友,對新推出的悠遊卡寄杯功能應該非常熟悉怎麼用,只要完成會員綁定步驟、確認品項支付後即完成寄杯,往後只要拿出悠遊卡,就可以兌換寄杯商品,同時也可以在全家 APP 內查看寄杯情形,非常方便!若想進一步了解全家 APP 如何操作,也歡迎參考下方文章喔。

    更多全家相關》

     

    【全家悠遊卡寄杯】怎麼用?綁定、寄杯步驟超簡單的隨買跨店取

    推薦評價好的iphone維修中心

    擁有專業的維修技術團隊,同時聘請資深iphone手機維修專家,現場說明手機問題,快速修理,沒修好不收錢

    如何讓商品強力曝光呢? 網頁設計公司幫您建置最吸引人的網站,提高曝光率!

    以設計的實用美學觀點,規劃出舒適、美觀的視覺畫面,有效提昇使用者的心理期待,營造出輕鬆、愉悅的網站瀏覽體驗。

    如何讓商品強力曝光呢? 網頁設計公司幫您建置最吸引人的網站,提高曝光率!

    以設計的實用美學觀點,規劃出舒適、美觀的視覺畫面,有效提昇使用者的心理期待,營造出輕鬆、愉悅的網站瀏覽體驗。