駭客攻擊 - Skype嚴重漏洞 只要Email就可入侵帳號

Skype 嚴重漏洞 只要 E-mail 就可入侵帳號

駭客攻擊網站、系統導致使用者帳號密碼外洩的事件時有所聞，然而，Skype日前被發現的安全漏洞，任何人只要取得使用者 E-mail 就可輕鬆入侵該帳號，用戶隱私輕易被攤在陽光下，令使用者不禁大嘆太過誇張。 

日前(11/13)俄國網路論壇上發佈一篇文章，說明如何透過Skype漏洞入侵帳號的步驟，該文章隨後也被如Reddit等論壇轉載和討論，並引起軒然大波。文章指出，只要在Skype密碼重設頁面，輸入使用者的E-mail帳號，並更改成新的帳號密碼，就能取代原有的帳號密碼，整個過程甚至沒有重新發送通知到email信箱進行認證，就可以完成。

敏感資料外洩 - 營業秘密保護法是在於防止對於企業有經濟價值的機密資訊被員工洩漏

【 JENNIFER GRANICK 『Ciscogate』系統洩漏訴訟案 】

今夏最熱門的話題非『Ciscogate』莫屬，一個前 ISS 研究人員Mike Lynn 與 Cisco 公司間藕斷絲連的故事，他在研究中發現網路設備IOS作業系統的漏洞，並且在 BlackHat 研討會中公佈如何研究IOS的技巧，引發一連串洩漏系統漏洞責任與法律問題的激情討論。

機密檔案 - NASA又傳員工筆電遭竊 至少萬筆個資外洩

日前美國NASA(美國國家航空暨太空總署)因為一名員工未加密的筆電遭竊，導致至少一萬筆個資外洩，為了避免類似情況再度發生，NASA下令內部所有筆電都必須加密，否則不准帶出NASA。

個資安全最熱門 資安稽核工具詢問高

一年一度的第11屆台北國際資訊安全展，已於南港展覽館圓滿結束，共計53場精采研討會議程。年年參加資安展的讀者們，是否觀察到例年來的資安趨勢變化？我們從資安展議題中或許可看出端倪，例如今年有66%的研討會場次談的是個資安全，13%談APT攻擊以及12%是雲端相關議題，後續有4篇相關深入報導，包括從雲端行動的新應用篇，因應個資保護法的管理制度、解決方案篇，以及最新的APT攻擊議題篇。

網路安全 - 人人都是資安人

傳統Layer 4控制已經過時，因為port不等於AP、IP Address不等於使用者、封包不等於內容，網路安全設備要能辨識AP才能管控風險。

惡意程式到底如何入侵,令人防不勝防的APT攻擊

資安攻防：一場進行中的不對稱戰爭

以往我們所聽到的多半是一些資安趨勢分析或是威脅攻擊的介紹，本文則是從宏碁位於龍潭 eDC 的 SOC 資安監控中心營運7年來的真實案例整理而來，首先來看APT ( Advanced Persist Threat )攻擊，相信大家對 APT 這種針對性的進階持續攻擊手法並不陌生，也知道其攻擊的特性，但也僅只於「知道」而已，以下的實際案例將讓大家對APT的攻擊手法有進一步的認識。

惡意程式散佈 - Google Docs被當攻擊代理伺服器 Win 8也不放過

資安專家發現一種新的惡意程式散佈方式。駭客利用Google Doc主機做為代理伺服器來規避偵測。它利用Google Doc的Viewer功能，讓使用者直接透過瀏覽器去檢視惡意檔案文件，藉此來與後端的命令控制伺服器(C&C)溝通，還因為Google Docs傳輸都有加密，因此不容易被阻擋。

賽門鐵克日前發現有木馬程式Backdoor.Makadocs藏身在RTF或Word文件當中，駭客先利用社交工程手法，以吸引人的主旨與內容誘騙使用者點擊文件，一旦點擊，木馬程式就會透過上述方式被下載到用戶端電腦中，而躲過偵測。以檔案的內容來看，目前主要以巴西的使用者為攻擊目標。

跨網頁攻擊 - 對企業網站所帶來的影響

Cross-site scripting又被簡稱為XSS1，而中文譯名則為跨網頁攻擊或是跨網站攻擊。大家可以從 OWASP2 網站的十大網站攻擊手法中發現到，跨網頁攻擊總是名列攻擊排行榜上的前五名，由此可見跨網頁攻擊的普遍性。另外，大家所熟知的釣魚攻擊（Phishing Attack），也是利用跨網頁攻擊的弱點所進行的攻擊。

而談到跨網頁攻擊是如何發生的，那得先從HTML開始說起。在最原始的HTML網頁，所有的HTML都是為靜態網頁，也就是說每一個網頁幾乎都有一個固定的URL相對應，所以相對來說，靜態網頁並不適合被用於資料庫的存取應用，因而進一步衍生發展成為現在被廣泛應用的動態網頁技術。相較於靜態網頁只是單純的顯示網頁內容，動態網頁可以讓網頁顯示動態的資訊，現在已被大部分的網站廣泛利用，例如網站購物、即時新聞…等。

個資生命周期的管理 - 紙本資料或報廢儲存媒體的控管-用較少做較多資安投資回歸基本面

個資 法上路一個月，以個資法因應為主題的活動在這個月當中如火如荼地展開。然而多數人所關注談論的是電子資料的個資保護，如防制資料外洩、加密等解決方案，卻 忽略紙本資料或報廢儲存媒體的控管，甚至在個資法施行細則當中對於紙本資料的管理也較少著墨。

個資法已正式上路，企業對於個人資料的蒐集、處理、利用等個資生命周期各階段必須做到更完善的管理

個資法已正式上路，企業對於個人資料的蒐集、處理、利用等個資生命周期各階段必須做到更完善的管理。然而，許多單位卻忽略了資料生命週期的最後階段──資料銷毀的重要性。根據消磁服務廠商潘朵拉科技的預估，全台3千家中大型企業及政府機關中，僅有約3%開始重視資料銷毀工作。

面對個資訴訟風險 積極監控外洩行為更重要

個資法已經上路，有些企業還是不知道該如何因應，有些則是做了初步規劃，不過，Splunk亞太及日本區域副總裁劉文熙認為，台灣企業都會把因應個資法的重點放在舉證，或是證據如何保存，雖說是考量到日後訴訟風險而做的準備，但企業應該有更積極的作法，主動監控、即時挖掘企業內部不當存取的行為，用更積極的作法避開訴訟風險。 

目標式攻擊 - 資安委外服務、安全閘道器、資安事件管理成為2012最快速成長的前三名安全領域

目標式攻擊無所不用其極。
2012年，不管是無孔不入的APT進階持續威脅，或新型態的DDoS攻擊，這種鎖定目標發動攻擊的方式，挑戰企業原有的資安防禦。使企業朝向資安專業服務公司尋求協助，資安委外服務、安全閘道器、資安事件管理(SIEM)成為2012最快速成長的前三名安全領域。

鍵盤懶人碼,小心駭客找上你 - 美國一家密碼管理應用公司近日總結出了2012年度最差的25個密碼

美國一家密碼管理應用公司近日總結出了2012年度最差的25個密碼，網路專家表示，大陸互聯網用戶使用的密碼與這份榜單部分重合，但也有中國特點。陸人愛用吉利數字「666666」和「888888」，最弱密碼則是「5201314」（我愛你一生一世）。

員工跳槽 - 別讓員工成為公司網路安全最大的漏洞

日前報導指出台灣科技史上最大的跳槽事件，科技大廠員工跳槽至中國大陸，並且還將重要技術拷貝至中國企業集團，震撼台灣科技產業。

雲端架構安全驗證 - 雲端App安全三部曲：將安全融入應用程式設計中

雲端架構喊了幾年，目前看到的多是伺服器虛擬化的商業模式，以及將軟體搬上網路後，用掛羊頭賣狗肉的方式搭了雲端便車，除Google、Facebook等超級網路原生大廠之外，少有廠商能從雲端API層層疊疊地架起可大可久的服務，僅能以大廠的服務為基礎，試著產出讓人眼睛一亮之外的應用，到底是怎麼回事？ 究竟是路途上不大平安，還是路途遙遠，難以一步登雲？

個資法產業準備度調查：企業因應措施或多或少 但缺乏完整規劃

新版個資法正式上路雖然才短短1個月時間，但是從公告至今卻已長達2年以上，在這段期間內，企業因應個資法的準備究竟做了多少？日前 KPMG台灣所發表「個人資料保護法現況調查報告」，以問卷調查結合祕密客匿名探訪的方式，調查產業因應個資法之成效。

美國最大連鎖書店遭駭 門市結帳設備成為最大安全缺口

美國最大零售連鎖書店邦諾(Barnes & Noble)共有63家門市的晶片讀卡機(PIN pad devices)遭駭客植入病毒，導致用戶的信用卡、簽帳卡(Debit card)等資料被竊，雖然受影響門市比例不到1%，Barnes & Noble仍舊在9/14宣佈暫時停用700家門市的讀卡機裝置。 

銀行業逾6成已個資盤點 應注意業務自行管理的設備

新版個資法自2010年4月通過以來，歷經長達2年半的時間終於正式上路，在這段期間內，企業的法規遵循究竟做到什麼程度？

個資保護議題 - 每個單位人員重視個資保護,一起下定決心做好整個體質上的調整

空喊口號卻不調整體質 個資保護只是半吊子

隨著傳聞中10月1日個資法正式實施的日子越來越近，業務單位開始緊張起來，甚至一狀告到總經理那，說資訊單位不積極，將來觸法了都不知道。這真是啞巴吃黃蓮，有苦說不出，當初做個資盤點的時候找了業務單位，他們覺得這些作業都沒辦法提升業績，只要列席會議就好了；當要討論作業流程時，又說要衝刺業績，沒時間參與，結果現在卻來一記回馬槍。話雖如此，該做的還是要做，於是找了時間和業務單位討論接下來的作法。