https://tinyurl.com/29hvuet8
上個月MSI被勒索軟體Money Message竊取1.5TB的資料，並要求400萬美元的贖金。
MSI拒絕支付結果部分MSI產品的韌體和Boot Guard密鑰就被公開在網路上了
Boot Guard是Intel CPU保護措施的一部分，主要用於防止裝置執行非系統供應商提供的
韌體，如果密鑰被洩漏的話駭客可以使用這些合法密鑰將惡意軟體偽裝成系統供應商提供
的更新來躲避Boot Guard的驗證。同時這些惡意程式碼是在系統啟動前就會載入所以可以
躲避防護軟體或是其他軟體檢測
不過目前公開的資料中有57個MSI產品的韌體密鑰被公開，有166個Boot Guard密鑰被公開
。但從清單來看受影響的裝置大部分都是筆電為主。不過受到波及的可能還有美超微和
聯想的產品
https://tinyurl.com/ydw3v2rb
有使用MSI產品的人最近要注意一下產品或是韌體/BIOS更新的檔案來源啊。不要找非官方
的載點應該就沒問題了吧?

MSI的MIS要被抓起來吊路燈惹嗎

跟MIS有什麼關係？

網管啊

資安防護通常是MIS的職責沒問題吧，不過有時候是被社交工程攻破MIS也無解

這樣BIOS modding會變得比較容易嗎..

5星7的密鑰（x）大家公共的密鑰（O）

https://ctee.com.tw/news/finance/664465.html金管會都要求資安要有專責人員了，還在MIS

可是seiya大上面貼的那篇新聞連結, 金管會規範的對象是 "主要經營電子商務媒介商品或服務" 的公司耶七星....算嗎? XDDDDD

你有看到第二階段其餘上市櫃公司嗎

雖然第二階段是有擴及到符合規定的其他上市上櫃公司但目前規定也只有說在2023年底前完成建置(不好意思打字比較慢, 所以剛剛後面還沒打完 XD)

七折資本額也沒百億阿...裡面列舉三個七折到底哪個有?

至於其他條件的部分, 因為我還沒去查過七星的公司資訊, 並不清楚, 所以就不知道士不是有符合法律規範的

MSI在2020年就成立資訊安全管理委員會了，詳見官網

金管會那條主要是對岸有人一直DDOS搞到網銀掛惹才出台的

七星有資訊安全管理委員會的部分, 感謝seiya大提供的

MIS就是什麼屎缺都有份才屎

資訊, 那如果他們有這樣的單位, 內部要扛鍋的就專責單位了 XDDDDD不過MIS在很多公司真的是只要跟電腦有關的東西都要兼我在想就算萬一將來法定規範擴大有效範圍, 很多公司應該會採取將MIS改個名稱變成資安啥啥啥的, 然後就繼續什麼相關的都要管 XDDD

MIS屎在講人話但他馬的沒一個人聽得懂，都說不要點還是手賤點下去在跟你說完惹，雞巴勒...

因為有些人鐵齒或賭性堅強, 有些人真的聽不懂, 然後手一滑就...(眼神死

更多狀況都說公司不是有買防毒，怎還會中毒。人家是防毒但不防蠢阿幹。

使用習慣不好也是個問題現在電腦真的很普及, 很多工作上也都會用到, 但有些能降低中標的基本(?)使用習慣其實出乎意料的, 並沒跟上 (抓腦袋

主要是社交工程就跟詐騙集團一樣，沒警覺的一般人很容易就被騙

現在還有雙重社交工程更難防 一堆YT網紅被盜都是因為這樣

被社交工程騙到的太多搞到公司內部自己偷偷做社交工程信件看哪個阿呆點到，中招的要跟老闆報告

有的時候，因為沒錢，內外網直接物理分割，內網的電腦受限規定無法更新又因為規定太腦殘，就有外面的usb甚至網路線插進去通外網

但是事實上，規定要有資安專責人員，很多公司依然都是MIS兼著做，資安委員會也只是走個形式兼著做的情況下能做到多完善，只能打一個大大的問號另外專責只是定義要有人負責做這件事情，並沒有全職投入的要求，所以除非管理階層很有決心不然都是兼任居多，兼任的人有沒有相關know how或受過教育訓練還很難講

https://i.imgur.com/EPgL3EQ.pngMSI有通過ISO27001認證，應該不會是MIS兼任吧

我可以給你講過iso 27001一樣可以兼任，因為條文沒有寫必須要全職投入，國際認證都是跟你講你必須要有什麼而不會告訴你必須要怎麼做實作指引是可以參考iso 27002，但那不是唯一最糟糕的情況是資訊單位必須要集行政 立法 司法 監察四位一體，整天被內部使用者靠北外功勞還都被上層有名無實的資安委員會搶走

BIOS又沒有加密，你只要能燒上去，隨你改

就算燒上去，也不能啟動，Intel me是比bios還早執行的東西，他會負責驗證韌體是否有效但不是所有主版都有把fuse打開，有的出廠時在manufacturer mode，就可以隨便你刷https://tinyurl.com/3z3kh7j9https://tinyurl.com/4mdbfezw