2024.06-Note #4

資安動態

1. 甲骨文抓Java盜版擴大稽核對象 : 甲骨文疑似因通膨壓力，除了自今年起調漲Java授權方案，也開始擴大Java授權稽核對象。甲骨文定義的員工為「任何支援內部公司營運的兼職、全職、臨時員工，以及約聘、外包人員」，而不只是使用Java軟體的開發人員。
2. 紐約時報GitHub憑證外洩致 270GB 資料被公布網上
3. 美國聯邦調查局（FBI）透露，他們擁有超過 7,000 把與 LockBit 勒索軟體操作相關的解密鑰匙，以協助受害者無償取回他們的資料
4. Microsoft makes Windows Recall opt-in, secures data with Windows Hello :日前被踢爆其日誌是儲存在未加密的 SQLite 之後，微軟現在更新了RECALL 安全性。預設將停用且使用者若要啟用還必須搭配Windows Hello 驗證
5. OpenSSH introduces options to penalize undesirable behavior: 內建阻擋模組，功能性上取代 fail2ban !?
6. Google 資安證照引進台灣，全英文授課、文組也能報名 :

漏洞

1. PyTorch存在重大漏洞，恐導致敏感的AI資料遭竊 : 重大層級漏洞CVE-2024-5480，CVSS風險評分達到10分，影響2.2.2版以前的PyTorch。對此，Huntr向通報者提供1,500美元予以獎勵，並於上週公布細節
2. PHP 遠端程式碼執行 (CVE-2024-4577) - PHP CGI 參數注入弱點 : PHP程式語言於6月6日修補的漏洞CVE-2024-4577提出警告，此為重大層級的遠端程式碼執行（RCE）漏洞，存在於CGI參數而有可能被用於注入攻擊。由於全球有近八成網站採用PHP，這項漏洞的影響範圍有可能會非常廣泛。 值得留意的是，研究人員提及這項漏洞影響所有Windows版本的PHP，PHP目前已發布8.3.8、8.2.20、8.1.29版予以修補
3. 兆勤針對生命週期已經結束的NAS設備發布緊急更新，修補重大層級漏洞 :網路儲存設備NAS326、NAS542發布資安公告，指出這些設備存在5項漏洞CVE-2024-29972、CVE-2024-29973、CVE-2024-29974、CVE-2024-29975、CVE-2024-29976，並指出有鑑於其中3項漏洞極為嚴重，即使這些設備生命週期已於去年底結束，他們還是決定破例提供新版韌體修補重大漏洞
4. Go 1.22.4: 包含  security fixes (the archive/zip and net/netip packages)- archive/zip : CVE-2024-24789 and Go issue https://go.dev/issue/66869- net/netip: CVE-2024-24790 and Go issue https://go.dev/issue/67680

程式工具

1. svgl : 是近期討論度頗高的 SVG icon 集合網站
2. libtree: ldd as a tree : 看起來比ldd強， 可以將執行檔使用到的 dependency=> Tree View
3. CodeWhisperer : 已在最近轉換成 Amazon Q Developer，前身CodeWhisperer是免費的
4. Amazon Q : AI 助理(CodeWhisperer 為 Amazon Q的一部分 )，目標在充分利用公司內部資料並加速軟體開發，具備測試、除錯以及多步驟規劃和推論能力

資安事件 | 公司被駭

1. 環球晶遭駭客攻擊 部分廠區產線受影響: 少數廠區部分產線受到影響，將會先使用庫存出貨因應，若有部分來不及，可能延遲至第3季初出貨。
   (印象中，是極少數遇到資安事件還老實說對產線有影響。比日本製的壓縮機還稀少! )
2. 永信藥品部份資訊系統遭受駭客攻擊 : 目前評估對公司營運無重大影響(永信藥品仍只是公開發行公司，沒有成為上市櫃公司，也主動利用證交所的公開資訊觀測站申報系統)
3. XF 新聞 Synology 隱瞞黑客入侵盜取 51GB 資料 陸續有受害人被釣魚網站勒索攻擊 - XFastest Hong Kong : 有不少向官方反映，收到來自疑似 Synology 官方發出的電郵，電郵內容會誘導受害人開啟附件或者是點擊釣魚網站連結。當受害者點擊或開啟有關檔案後，黑客就會乘機對受害者電腦或系統進行攻擊，盜取當中的檔案並進行勒索。當有受害人向 Synology 查詢後，官方才於官方網站及網上社交平台承認 2023 年 4 月時其中一個分公司的部份電腦被黑客攻擊並盜取 51GB 資料的事件
4. 我國知名資訊業者遭竊取營業秘密調查局呼籲提升資安防護 : 經調查發現受害公司前協理陳員於離職後自行成立同為資訊業之競業公司，竟夥同前資深員工田員、胡員及丘員等3人利用受害公司資訊管理漏洞，於離職後仍持續登入前公司系統，以不正方式取得專案內容、工作成果、合約內容等內部營業秘密，因而取得既有業務上之競爭優勢，嚴重侵害前公司權益。
5. 華邦電發布重訊說明疑似發生資料外洩，起因是合作廠商遭駭 : 6月以來，目前已有3家上市公司揭露發生資安事件，除了華邦電，還包括防詐公司Gogolook（走著瞧-創），以及老牌筆電廠藍天電腦
6. RANSOMHUB 聲稱入侵老牌筆電製造廠藍天電腦 : 勒索軟體駭客組織RansomHub宣稱竊得200 GB資料，並公布10份屬於該公司的文件，另也表示他們是透過網路釣魚手法入侵
   RansomHub駭客組織在他們的洩密網站上表示，已將該公司「所有網路與備份全部加密」，並聲稱已滲透Clevo公司網路多時，甚至進一步威嚇表示，他們有足夠的時間分析製造商的產品、客戶與合作，並且下載了最重要與最敏感的資料。另也列出他們竊取的文件類型多達18種，包含pdf、pptx、ppt、dwg、dxf、prt、sldprt、asm、sldasm、sdcpc、sdac、sdcc、sdwc、doc、dwt、dws、prt、sdp
7. 傳出台灣某上市光纖網路設備大廠 遭仙人掌勒索軟體加密 - 竣盟科技 :
   - 仙人掌是雙重勒索軟體變種的一個例子，除了結合使用 RSA 和 AES 來加密資料外，惡意軟體還嘗試竊取資料。據觀察，仙人掌可以使用 Rclone 來實現此目的，它將被盜的文件移動到雲端儲存。一旦加密和洩漏完成，仙人掌就會在使用者的電腦上發布勒索資訊
   - 康聯訊，93GB，已盜得該業者的公司機敏資料，包括工程檔案、財務資料、客戶資訊、個人身份文件，資料庫備份
8. 防詐公司Gogolook發布資安事件重訊，網站部分服務遭非法存取 iThome : 部落格專欄的網站服務，發生未經授權存取的情況

科技動態

1. Ai Pin 開發商有意出售公司，傳逾 10 億美元賣給惠普 : 無視 Ai Pin 功耗不佳和電池壽命的警告，更不喜歡負面批評聲音，令員工們感到沮喪。Humane 正在解決 Ai Pin 的問題，計劃添加更多語音功能和音效，整合 OpenAI GPT-4o 模型更易於使用，將回應時間縮短至 2 秒，電池壽命則延長 25%。Humane 也與電信商簽署協議，將 Ai Pin 拓展至韓國和日本市場
2. Google 宣布收購 Cameyo，助 ChromeOS 執行 Windows 應用程式 : 虛擬化工具使 ChromeOS 裝置可執行 Windows 應用程式，使用者無需擔心複雜的安裝或麻煩的更新，以鼓勵企業採用 ChromeOS 裝置
3. Spacetop - Meet The AR Laptop for Work : 使用 AR 眼鏡+Space OS 就可以看到100吋超大螢幕的筆電，而且螢幕只有自己看得到
4. IKEA 在Roblox的虛擬商店中聘請真人員工 : 6/24 將在這個遊戲中的商店頻請10個真人做遠端服務，薪水跟實體商店一樣，工作內也是相似替顧客挑選傢俱。實體與虛擬世界的對應 !
5. Sam Altman wants AI to create a one-person unicorn with a billion-dollar valuation Fortune: 奧特曼認為將要出現一間只有創始者一個人的獨角獸公司，原因在於 AI，所以不需要任何員工。
6.  WWDC 2024 : Apple 定義 AI 的縮寫 ? Apple Intelligence，不上雲，全部在本地端(Local)運算，主要有 GenMoji, Writing Tools (摘要, 校對, Mail,拼字重寫,資訊整合,錄音生成摘要/相片分類). -> 好的客戶體驗才能討論技術，目前看起來市場非常買單