民 國107年5月
最新消息與公告
教學魔法師功能擴充 籌備視聽館電腦教室設備更換
為完善教學魔法師教學平台之功能並使其可獨立運作,本中心今年度將執行教學魔法師系統功能擴充案,擴充功能包含:教師跨課程教材庫、Google雲端教材庫、校務系統整合、系統管理者後台功能等,目前已經成立評選委員會與工作小組,預計將於5月初舉辦第一次評選委員會。 規劃視聽館F503電腦教室暑假汰換,評估蘋果電腦及Windows電腦2種方案之可行性、平面圖與建置成本…等相關作業,並針對蘋果電腦教室詢問北部鄰近學校的建置經驗做為參考。
NTUE行動學習APP 辦理資安教育訓練
配 合政府推動行動化服務資安檢測之規定,開發商屬於本校之APP皆需每年進行資安檢測並取得資安檢測合格證書,若未取得者皆需下架處理,本中心已將教學魔法 師APP進行送檢,目前兩個版本皆已檢測通過,另外NTUE行動學習APP安裝檔已放置於智慧大師教學平台入口頁面供本校師生下載。 依教育部資通安全責任分級作業規定,本中心4、5月辦理多場次資訊專業人員教育訓練,課程包含「備援技術理論與實作應用」、「系統安全理論與應用」等,同仁收益良多。
本校對外網路流量分析

本校個人電腦維修統計

電腦專欄
科技新聞
  Google:微軟Edge瀏覽器的ACG安全功能有缺陷
文/陳曉莉  | 2018-05-14發表 資料來源:iThome
Google Project Zero安全團隊指出微軟在Microsoft Edge瀏覽器所使用的ACG安全機制無法有效防範駭客突破沙箱防護,讓駭客可能繞過安全機制展開攻擊,微軟已修補部份漏洞



Google Project Zero團隊上周發表一研究報告,指出微軟於Windows 10 Creators Update中替Microsoft Edge所部署的「任意程式碼防護」(Arbitrary Code Guard, ACG)機制並不足以防範高明的駭客突破瀏覽器的沙箱,駭客得以透過攻擊Edge中的JIT伺服器而繞過各種安全機制。

當ACG被應用在Edge的內容程序(Content Process)時,便無法於程序中分配新的可執行記憶體或變更現有的可執行記憶體,讓已取得瀏覽器內容程序某些能力的駭客更難展開程式攻擊。Edge中 另有一個「代碼完整性防護」( Code Integrity Guard,CIG)機制,規定所有進入內容程序的DLL檔案都必須通過驗證,以及Windows中用來限制應用程式所執行之程式碼來源的「內容流防衛」 (Content Flow Guard,CFG)機制,它們共同保障了Edge的安全性。

另一方面,現代瀏覽器仰賴了JavaScript的即時(Just-In-Time,JIT)編譯引擎以達到更好的效能,然而,JIT中的程式碼編譯卻不 相容於ACG,因此,當一個客製化解決方案需要啟用Edge中的ACG時,JIT引擎會自Edge內容程序中隔離,自成JIT程序(JIT Process)。

Project Zero團隊在分析了Edge的安全機制之後指出,ACG最脆弱的部份在於JIT伺服器的實現,當中含有許多問題,儘管這類的實現還在襁褓階段,原本就可 能出現問題,但更大的問題在於內容程序與JIT程序之間的安全界線並未被充份執行,JIT伺服器在記憶體毀壞與邏輯問題上必須要加強。

此外,ACG的確能夠避免執行記憶體的竄改或分配,但有鑑於ACG、CIG與CFG之間的相依性,再加上CFG的缺陷,光是ACG並無法充份防範高明駭客突破瀏覽器沙箱並執行其它攻擊。

該團隊已釋出相關的檢驗工具與概念性驗證程式,同時強調雖然此一研究是針對Microsoft Edge,但相信其它企圖部署程序外JIT的應用都會遇到類似的問題,至於微軟也已修補了報告中所揭露的部份漏洞。

今年2月Google即曾揭露ACG的安全漏洞,該漏洞允許駭客繞過ACG,將未獲簽章的惡意程式藉由Edge載入Windows。
資訊安全
所有E-mail使用者注意!!EFAIL漏洞使加密郵件以明文曝光,專家建議不要讀信
文 /李建興 | 2018-05-15發表 資料來源:iThome
EFAIL濫用HTML電子郵件的活動內容,像是外部載入的圖像或是樣式,通過請求URL來滲透郵件明文。

圖片來源:EFF

一 群歐洲的資安研究人員發布了一系列E-mail端到端加密技術OpenPGP和S/MIME的漏洞警告,這個漏洞被稱為EFAIL,能使加密的電子郵件以 明文的形式曝露給駭客,這個漏洞確認會對使用E-mail的用戶造成直接威脅,而且歷史郵件也存在暴露的風險。EFF與資安專家警告,應立刻在客戶端禁用 OpenPGP和S/MIME自動解密功能,暫時停止發送,也不要閱讀以PGP加密的郵件,並暫時以加密通訊軟體如Signal代替。

電子前線基金會(Electronic Frontier Foundation,EFF)在星期一的時候揭露了這個訊息,EFF表示,他們為了降低風險,與資安研究人員溝通了延後漏洞揭露的時間,並先行告知了更 廣泛的PGP用戶群。簡單來說,EFAIL濫用HTML電子郵件的活動內容,像是外部載入的圖像或是樣式,通過請求URL來滲透郵件明文。

而要建立這些滲透通道,駭客需要先存取這些加密信件,通常是以竊聽網路流量或是入侵E-mail帳號、E-mail伺服器、備份系統以及客戶端電腦,而這 些系統可能存有數年的歷史郵件。駭客能以特殊的方式更改加密郵件,並將更改後的加密郵件發送給受害者,受害者在客戶端解密郵件且載入外部HTML內容後, 這些郵件內容便會隨即以明文洩漏給駭客。

EFAIL的攻擊手法有兩種,第一種是直接滲透攻擊,利用Apple郵件、iOS郵件以及Mozilla Thunderbird等客戶端中的漏洞,直接洩露加密電子郵件的明文。第一種攻擊方法,可以在E-mail客戶端應用程式直接修補。第二種則是 CBC/CFB小工具攻擊,透過濫用OpenPGP和S/MIME規範中的漏洞來洩漏明文。

這兩個方法的差異,資安專家指出,任何使用標準加密規範的客戶端都會受到攻擊,各供應商也都可以提供自家的解決方案,有些方案有效有些反之,以長遠來看,終究還是需要有新的規範來徹底解決漏洞造成的原因。

資安專家指出,雖然CBC/CFB小工具攻擊對PGP和S/MIME攻擊方式非常相近,但成功機率有差。要攻破S/MIME非常簡單,以他們的測試,駭客 只要對受害者發送一個精心製作的S/MIME郵件,就能直接開啟500封受害者的其他郵件,但是以當前他們的研究狀況,因為PGP在加密前壓縮了明文,使 得解密工作變得比較複雜,PGP的CFB小工具攻擊大約只有三分之一的成功率。

資安專家提供了短中長期的安全建議。短期上,使用者不要進行任何E-mail客戶端信件的解密,最佳防範EFAIL的方法,就是在E-mail客戶端外獨 立進行解密動作。使用者可以在E-mail客戶端中刪除S/MIME和PGP私鑰,然後將密文複製到單獨的應用程式中進行解密。如此E-mail客戶端便 無法開啟滲透通道,資安專家認為,這是目前最安全的方法,缺點就是手續繁瑣。

另外,E-mail客戶端也可以透過禁用HTML的功能來降低危害,資安專家表示,EFAIL主要透過濫用活動內容,像是HTML圖像或是樣式等形式。禁 用HTML在E-mail中顯示,將能直接關閉EFAIL的主要攻擊手段,但其中仍然存在與HTML無關的反向通道,但這些通道相對較難以被利用。

中期解決方案,當然是依靠供應商修補EFAIL的漏洞,而長期上,資安專家仍然認為,應該更新OpenPGP和S/MIME標準,因為該攻擊直接利用了標準中的缺陷以及未定義的行為。不過標準更新需要的時間較長,E-mail使用者應該先採取相對應的方式減緩危機。
 
計中資訊
電 腦教室 校園無線網路
 計 網中心電腦教室課表  無 線網路使用說明
電子郵件 網頁空間
 電 子郵件信箱使用說明
  教 職員個人網頁空間使用說明
資 訊相關規範
 教 育部校園網路使用規範  國 立臺北教育大學校園網路使用規定
 國 立臺北教育大學宿舍網路管理要點  國 立臺北教育大學電腦使用及管理辦法
  資訊安全小組組織結構圖
計 算機與網路中心電子報
電 話:02-6639-6688 分機83461
地 址:臺北市和平東路2段134號
計算機與網路中心 版權所有