THE GOOD, THE BAD AND THE UGLY IN CYBERSECURITY – WEEK 6

The Good
Open Bug Bounty 漏洞回報計畫大進展！
在上週好消息！我們注意到近幾個月，漏洞回報賞金計劃有些值得嘉許的進展。
在 Open Bug Bounty 專案上，已修復 272,388 個漏洞並持續增加中，對網站業主及開發工程師是一大利多。 
特別一提Open Bug Bounty這獨特的漏洞回報計畫。
一方面，這非營利計劃使網站業主不用成本獲得網站防護。
回饋獎勵可以是網站公司的有趣產品、一箱提神飲料、或簡單的一句謝謝、甚至只是義務幫忙不用回饋任何東西。
另一方面，資安研究人員可以更輕易了解開發漏洞，並贏得各種 “徽章”。
感謝並嘉許設置該漏洞回報計畫有關人員及參與該計畫的資安研究人員，打造一個更安全網路世界。

更多的好消息：破壞Nintendo年輕駭客，RyanRocks落網入獄服刑

對網路安全防禦者來說，本週有另一個好消息。但對有才華年輕卻濫用聰明技能損害他人利益的 “駭客” 來說，卻是壞消息。
這周RyanRocks 又名 Ryan Hernandez 對駭客指控表示認罪。

​他在 17 歲時開始濫用技術，利用網路釣魚，釣取一名任天堂員工，並在該員主機上安裝惡意程式。

Hernandez 從受害者獲得憑證，進一步破壞 Nintendo Developer Portal，並竊取遊戲機製造商IP。

聯邦調查局於 2017 年第一次抓到他，但由於是未成年人犯案，所以僅警告他謹慎行事。

不幸的，RyanRocks 並沒長一智，沒意識到自己是如此僥倖。再回到濫用技術、偷取數據的路上，成為更高階駭客。

第二次被抓後，聯邦調查局（FBI）保證他這次入獄服刑。網路上會暫時少了一個駭客。

除了面臨刑期外，Hernandez 還被處以 25 萬美元的罰款。

如果他只將自己的時間和才華花在 Open Bug Bounty 之類事上，前途不可限量。

他將在2020四月開使服刑。

The Bad
Window7 EOL? 小心成為駭客攻擊標的！
 
大家可能對 Windows 7 的逝去有不同的看法。
 
但可以肯定的是，駭客們對這有十年歷史的OS 停止更新及安全性修正發布，感到非常滿意。
 
目前全球大約有 2 億台設備仍使用 EOL 版本的 Windows 系統（Win7, WinXP），這些設備成了駭客有利可圖的目標。
 
最近一項駭客行動，使用 Lemon Duck Powershell 惡意程式 針對使用Windows 7作業系統的IoT 設備製造廠攻擊，入侵並取得控制IoT連網設備。（例如：內網印表機，連網電視及自動化車輛）

另外有小道消息指出，與俄羅斯軍事情報部門有關的外圍組織 Gamaredon APT 最近幾個月一直在 “加強” 駭客行動，改善入侵工具並製定入侵戰術。
有研究指出，Gamaredon 的活動可能只針對烏克蘭相關電腦資產設備。但該組織如何進行網路作戰經驗，可能會被其他親附組織所吸收學習。並提供親附組織一種包含戰術、戰技、戰略 TTP（Tactics, Techniques and Procedures） 的 “戰地訓練”。很快就有機會看到針對其他目標的攻擊。

The Ugly
小心你的服務外包商！
 
本周再次叮嚀， 組織企業要注意某些意外情況。
駭客攻擊不僅只通過網路、魚叉式釣魚來入侵企業網路和設備。
 
警告組織企業近來得注意某些不尋常出現的服務外包商（例如：清潔人員），進入組織內部並進行實體入侵。
 
一旦入侵，偽裝駭客可插入帶有惡意程式的USB到設備內，直接刪除檔案或感染無人看管的硬體。
除了清潔工，油漆工和裝潢工，都有可能被利誘來進行此類攻擊。

在這周我們要再次友善提醒，公司企業要注意一些意外情況，有時駭客們不一定是通過網路或魚叉式釣魚攻擊來入侵你的網路和設備。 現在，公司企業被告知要警惕那些將 cleaner 植入並進行實際破壞的網絡罪犯。 一旦進入，這些變相的駭客可以放入惡意 USB 到設備上，直接刪除檔案或感染無人看管的硬體。 清潔工，油漆工和裝潢工，都有可能被小錢招募來進行這類的攻擊。

本週最後，繼續華為的傳奇。
 
這家中國電信公司要求美國聯邦通信委員會(FCC) 移除該公司為國家安全威脅 (national security threat)。
 
儘管華為是全球最大的手機設備製造商之一，同時還生產其他電信設備，並準備在今年向英國全國推廣其 5G電信基礎設施。
 
此舉，在2019年5月令美國政府十分惱火，也因擔心與華為合作可能積極協助中國進行網路間諜活動。
 
導致於11月華為被美國聯邦通信委員會(FCC)認定該公司對國家安全造成威脅。
 
然而，這家中國科技巨頭在本週提交的長達 200 頁的文件中聲稱，美國聯邦通信委員會(FCC)的舉動是 “非法的”，“誤導” 和 “違背憲法”。

原文