2024.08-Note #7

資安動態

1. 駭客公開1,500萬名Trello用戶個資
2. Google 最終決定不對 Chrome 內的第三方 cookie 開鍘: 2020 放風聲要取消第三方cookie搞半天，這個不確定因子這麼久，結果現在不放棄cookie了
3. Let's Encrypt 想嘗試停止 OCSP 服務，以CRL 為主 : 主因是效能與privacy (洩漏Visitor 的IP) ?
4. CrowdStrike大當機的省思，臺灣大型醫院學到這2件事: 開始評估雙備援機制的原主機和備援主機，是否應採用不同廠商的防護服務，以免廠商出事、備援主機仍無法作業
   a. 臺灣資安長將視CrowdStrike災後應變態度，作為是否採用的參考
   b. CrowdStrike 主張「Falcon」軟體條款將責任限制在「已支付的費用」範圍內，故若本條款具強制力，至多向受影響的公司退還已支付的費用
   c. 達美航空據稱就網絡中斷向微軟和CrowdStrike索賠
   d. 大馬數位部長向微軟、CrowdStrike「索賠」
5. PKfail安全啟動繞過漏洞恐衝擊數百萬設備，影響技嘉、Supermicro、Dell等9大業者: Secure Boot的主金鑰（在UEFI領域稱為平臺金鑰PK）竟然在不同廠商間發生大量共用的情況，影響將近900款產品，平臺金鑰應由裝置廠商自己產生與管理，並使用最高加密技術保護，並且遵循最佳實踐，但他們研究後發現，實際情形卻是：BIOS廠商在他們提供的參考程式碼，嵌入一把金鑰，並期望OEM或設備廠商會換掉它，但很多廠商沒有這樣做(PKFail是一個影響數百萬設備的韌體供應鏈問題，而且x86與ARM架構的裝置都受影響)
6. 企業導入SBOM軟體物料清單有六大常見迷思 : SBOM常用的軟體資料交換格式包括SPDX、CycloneDX 和 SWIDX 三種。其中，SPDX由Linux基金會推動，也是ISO 5962的標準，是目前最多人使用的格式，並且支援多種資料格式，包含Tag/value、RDF/XML、JSON、yml、xls等。其次是由OWASP力擁的CycloneDX的格式。他也列出這三大SBOM格式　對應到美國NTIA的SBOM表的名稱。
7. NIST CSF 2.0的7大重要改變

AI 動態

1. 台新銀行與台灣人工智慧實驗室開發金融GPT「台新腦」: 「台新腦」是專為金融服務設計的FedGPT系統，匯集台新銀行內部的資料與知識庫，如金融法規與知識，進行訓練與驗證，是全球第一個以繁體中文因應全球法規對人工智慧於金融業高度監管下，建立可信任且負責任的大型語言模型
2. 一個AI 搜尋引擎，EXA Search : 最近獲得了 1700 萬美元的 A 輪融資，類似的產品最近有 OpenAI 7/26發布的 SearchGPT、Perplexity、Felo Search，而這些產品的回應都會明確標註資訊來源，看來解決可靠性這一點，漸漸明朗了
3. 微軟、Nvidia、英特爾及Google共創安全AI聯盟CoSAI ：安全AI聯盟（Coalition for Secure AI，CoSAI），這是一個開源倡議，計畫建立一個協作生態體系，以分享與AI安全設計有關的方法、標準化框架及工具
4. 美國釋出用來評估AI安全的Dioptra平臺 iThome : NIST 上周釋出Dioptra 1.0，這是一個用來評估AI安全及可靠性的軟體測試平臺，它支援AI風險管理框架（AI RMF）的測量功能，可評估、分析及追蹤AI風險
5. Mem0 開源專案爆紅，AI 將擁有超強記憶力 : 就是User 的個人活歷史，在對答中具備長短期記憶能力的技術，而 User曾輸入的文字、語音、圖片、檔案，它都是形成記憶的一部分，User 日後可要求回答任何回憶/偏好。有別於 ChatGPT需User主動。

程式語言/工具

1. Do Not Upgrade to Any Version of MySQL After 8.0.37 : 如果建立大量的資料表(例如1萬個)，MySQL 會在重新啟動時當機
2. govulncheck release v1.1.3
3. Docker揭露嚴重度高達10分資安漏洞，問題出在外掛程式AuthZ的身分驗證，而且經過5年才發覺 iThome : Docker揭露嚴重度高達10分資安漏洞，問題出在外掛程式AuthZ的身分驗證 (官網)

漏洞

1. CVE-2024-41110 : Moby authz zero length regression(Docker AuthZ)
2. Fixed in Apache v2.4.62 : 對 Apache HTTP Server 2.4.61 版核心中的 CVE-2024-39884 進行部分修復時，會忽略某些基於舊版內容類型的處置程式設定的使用。在間接要求檔案的某些情況下，AddType 和類似設定會導致本機內容的原始程式碼洩漏。例如，可能會提供而非解譯 PHP 指令碼。建議使用者升級至已修正此問題 2.4.62 版CVE-2024-40725

資安事件/公司被駭

1. 環球晶6月遭駭 駭客本周宣告6天後公開被竊資料 : 駭客組織7月22日在暗網中公布，將於6天後公開環球晶被竊資料，這些資料容量大約1TB，內容涵括了財務、商業機密、人資、研發與工程師、員工以及客戶等6大類資料
2. 宏盛:代重要子公司助群營造公告說明本公司發生網路資安事件
3. 燦坤、燦星網 系統遭駭
4. 光寶科伺服器遭駭客攻擊 將提升資安防護能力
5. 內部通訊錄遭上網販售　移民署：不排除「離職員工」涉案 - 民視新聞網
6. 駭客鎖定CrowdStrike Falcon全球大當機事故，佯稱提供自動復原工具來散布惡意軟體 iThome

科技動態

1. Apple Maps 開放地圖網頁版 : 現在是 Beta 版，也有開放 JavaScript SDK: MapKit JS Apple Developer Documentation
2. Google 宣布將在 2025 年 8 月 25 日全面終止 goo.gl 縮網址服務