2

18
2

文字

分享

2
18
2

用防疫心態,面對資安威脅——國立臺灣大學資訊工程學系蕭旭君專訪

科技大觀園_96
・2021/09/15 ・3636字 ・閱讀時間約 7 分鐘

COVID-19 疫情籠罩全球,台灣也在今年初首度迎來疫情高峰,在疫情影響下,人們的生活型態出現大幅改變,遠端網路服務需求攀升同時也促使相關資安威脅升溫,究竟疫情帶來的資安問題有哪些?人們又該如何預防呢?

遠距工作帶來的資安風險

談到資訊安全,許多人第一時間想到的可能是大企業面臨的問題,但其實個人生活中也可能隨時遭遇相關威脅不自知,連帶造成後續許多問題,而讓個人生活與工作更加密切的遠端作業則更加深化其中存在的風險。

臺灣大學資訊工程學副教授蕭旭君指出,原有工作型態下為了防止機密外洩,多數企業都會在網路邊界系統設有防火牆、偵測系統等多套措施,內部網路與系統也會部署偵測機制加以重兵防護,即使有惡意程式入侵也能夠迅速發現,或甚至內部網路根本不對外開放,但隨著遠距工作型態出現,迫使企業網路必須接受來自公開網路的連線,也導致原本的防線出現破口。

蕭旭君教授。圖/蕭旭君教授提供

由於必須開放內網給在外員工連接,許多企業會要求員工使用 VPN 連接到內網,儘管 VPN 確實能提供相對安全的連線環境,但這也讓 VPN 變成很明顯的目標,許多報告都顯示面向 VPN 的攻擊大幅增加,2020 前十大常被利用的資安漏洞幾乎都與和 VPN 有關。

遠端作業型態下,員工必須使用許多軟體協助工作,而個人電腦也多有其他用途,由外部連到企業內網的網路節點增加,這一切都使得遠距工作需要防護的面向變的更加廣泛。當企業原有的防護難以延伸到員工自己的網路和設備上,一旦員工在基礎資安防護上出現疏漏,如使用常用密碼登入 VPN,或個人電腦曾經下載過一些惡意軟體,便可能導致潛在的資安隱憂出現。

值得一提的是儘管更不常被視為目標,但國外許多研究都發現,與具有充足資源的大企業相比,疫情可能帶給中小企業更大的資安挑戰,蕭旭君解釋,中小企業可能被看做是容易得手的目標,或成為勒索軟體無差別攻擊下的受害者,或被當成攻擊其他客戶的破口或跳板,對於資源較有限的公司來說要避免受害,最好的方式就是確定自己至少有達到基本資安防護。

除了與大公司有業務往來的上游廠商被當成跳板的『供應鏈攻擊』較難以應對,多數中小企業面臨的攻擊都是來自簡單的地方,像是不要亂點釣魚信件、注意連線加密(HTTPS)、確保密碼不重複且注意洩露、軟體定期更新等,在攻擊者利益導向的目的下,只要不要讓攻擊能夠太簡單侵入,就可以做到有效防護。

「雖然這些都已經講了很多年,但因為容易疏忽還是可能被當成破口。建議企業在有限資源下從簡單地方入手比較容易達成,如果有額外資源還可以做額外防範。」

防疫生活重心轉變

在遠端工作上面臨的資安風險之外,防疫帶來的生活重心轉變也成為攻擊者關注焦點。以網路購物為例,過去數年網購詐騙就已經是 165 全民防騙網上的常客,在防疫提倡維持社交距離情況下,牽動的網購風潮更加推升了這種情況。

疫情之下,網路購物的人大量增加,資安風險也隨之增高。圖/pexels

蕭旭君解釋,網路購物的資安風險主要與個資洩露相關,當攻擊者拿到個資後為了轉換獲利,便可能透過詐騙電話與受害者聯繫,利用獲取的個資取信於人,進一步詐取相關財務,而台灣購物網站過去便經常傳出個資外洩的事例,更別提近期社群媒體上盛行的網路拍賣,在金流沒有受到控管下更加沒有保障。除此之外,疫情也促使許多實體店家展開線上販售服務,在上線時間匆促下,如果程式碼沒有妥當檢查,一旦被攻擊者加以利用,同樣也具有個資洩露風險。
 

至於經常被拿來討論的 QR Code 簡訊實聯制,雖然大幅提高便利性,但社會上仍有少數質疑可能遭濫用的聲浪存在。蕭旭君認為,從民眾角度來說,難免擔心足跡是否會被收集做為他用,但事實是各式做法都存在不同隱私隱憂,民間版本同樣也存在個資被作為廣宣用途的疑慮,然而實際情況是,所有開發者必須在安全性、民眾接受度跟資安上做出權衡,民眾可以基於公開資訊,自行選擇更傾向的追蹤方式來做好防疫並保障隱私。

因應防疫新興的遠端網路服務,攻擊者利用人們迫切想要吸收疫情相關資訊的心態,散佈假消息到處傳播,甚至假裝疫調騙取個資的情況都時有耳聞。蕭旭君提及,未來可能出國必備的疫苗護照、檢測證明也是國外熱門議題,除了牽涉個人隱私,是否會被偽造、如何防範被偽造也是國際焦點,顯見防疫下的資安議題仍不容小覷。

不存在沒有資安風險的網路服務

說了這麼多,許多人可能會好奇從資安的角度來說,有可能會存在完全沒有資安問題的網路服務嗎?針對這點,蕭旭君表示,以實務角度來說是沒有辦法做到這點,「除非你不上網,那當然就沒有網路資安的問題」。

蕭旭君解釋,在資安攻防中,需要對威脅做出具體假設並針對特定攻擊者進行重點防護,然而實際生活中有太多事情沒有辦法掌控,像是無法控制使用者如何使用系統,一旦行為與預期不同便可能出現意外漏洞。同時資安防護成本有限、對電腦的效能有較高需求前提下無法加上太強大防護,這些都會導致實務上無法防範所有攻擊。在具有太多假設不確定性下,無資安隱憂的網路服務基本上是不可能做到。

「資安攻防中有特定對手,在資訊安全進化的同時,攻擊者也會進化、會成長,就算能防範已知威脅,未來還是會有新攻擊出現。」

網路駭客的攻擊手段也會隨著時間不斷推陳出新,防不勝防。圖/pexels

當然,這並不意味著我們對資安攻擊便只能認份接受,就像生活中的大小意外一樣,只要做好足夠防範並保持靈活想法就能隨時應對處理問題。拿學校遠端教學來說,線上測驗同樣可能為教授們帶來代考問題。在保障考試公平性和學生隱私的權衡中,有些單位使用監考軟體,一些則取消考試改用其他方式評分,或像蕭旭君一樣選擇採取線上考試但讓同學可以翻書找答案。

如上所述,資安防護其實有許多手段可供選擇,蕭旭君強調,實務上資安防護就是風險管控,如何盤點自身弱點並利用手上有限資源進行最佳部署減少風險才是最重要的。只要做好基礎防護提升攻擊難度,在希望獲利的前提下當攻擊成本提高,攻擊者便可能打退堂鼓或轉換目標。

攻擊並不可怕,更令人擔憂的是被攻擊了還處在未知情況,「至少做到被打要覺得痛,才能更好做出接下來的反應。」

將資安防護當成防疫看待

即使未來疫情告一段落,可想見帶起的遠端風潮仍會持續,資安環境提升對未來的影響與重要性無言可喻。對於台灣資安環境,蕭旭君整體還是樂觀看待, 她表示隨著資安被拉升到國安層級,國際上對資安重視度越來越高,台灣產官學也越來越重視,整體投入的資源及人力都有顯著提升。

做為大學副教授,蕭旭君明顯感覺到近年來對資安有興趣的學生越來越多,在政府稽核標準要求提高下,企業方對資安人才的需求也持續升溫,近期教育部舉辦的資安暑期課程參與學生數明顯增加,參與媒合的廠商意願也提高,隨著台灣團隊參加國際資安競賽等正面報導傳出,人們對資安有更多正面應用的印象也提高相關興趣。

台灣由於地理位置特殊,潛在攻擊者特別強,出發點也並非僅出於利益導向,在政治意圖引領下防禦起來更為困難,近年針對關鍵基礎設施的攻擊、大企業的勒索也陸續傳出,蕭旭君認為,未來大家更需要謹慎因應並更重視資安,「資安不只是政府部門或企業的事情,對一般人來說也很重要。」

由於日常較少涉略,許多人對於談及『在個人生活中應對資安』可能會明顯卻步或感覺抗拒,但其實這並不是這麼困難的事情。在個人生活中就像前面提醒大家的一樣,確保網站密碼強度足夠且不重複,盡量減少留下個資機會、連線時注意保護加密、不要打開奇怪信件並關閉自動預覽,這些基礎原則就已經提供足夠的上網保障。

蕭旭君表示,在疫情影響下,現在大家對疫情防護策略較為熟悉,隔離、篩檢、疫調、打疫苗…等,而在她看來,這些防疫概念其實都可以對應到資安防護上,只要簡單想像並比照辦理,做好『防疫』並『增強體魄』,就能做到基本資安防護。

「如何保護自己不受 COVID-19 的侵襲,你就用同樣的策略去確保面對個人資安保護。」

參考文獻

文章難易度
所有討論 2
科技大觀園_96
82 篇文章 ・ 1103 位粉絲
為妥善保存多年來此類科普活動產出的成果,並使一般大眾能透過網際網路分享科普資源,科技部於2007年完成「科技大觀園」科普網站的建置,並於2008年1月正式上線營運。 「科技大觀園」網站為一數位整合平台,累積了大量的科普影音、科技新知、科普文章、科普演講及各類科普活動訊息,期使科學能扎根於每個人的生活與文化中。

0

1
0

文字

分享

0
1
0
經歷了兩年多的新冠疫情,迎接疫後新世界——《從一個沒有名字的病開始》
商周出版_96
・2022/11/16 ・1580字 ・閱讀時間約 3 分鐘

歷經兩年多的新冠疫情,人類終於邁向戰役的終點。

過程中,全球有上百萬性命殞損,數千萬人遭遇重症生死關頭。若是聚焦人類為新冠病毒所付出的健康與生命的代價,很容易會下結論說:這是「物競天擇,適者生存」的實踐版。

若是這麼想,那就被誤導了。達爾文的進化論,指的是自然界基因的選殖與淘汰。而這場新冠疫情,從殺手病毒的出現,到高風險族群的高死亡率,無一不是人為所致。

更貼切地說:這場疫情比較像是顯影劑,顯現出的都是長期被人類疏忽的敗壞。也就是那些關乎環境與人類健康的敗壞,都成了新冠病毒危害人類生命的「幫手」。除了基因,新冠重症死亡的風險因子,都與人類的行為、生活模式息息相關。

息息相關的風險因子

首先是人類無限擴充的活動地域需求,接著是無可避免的自然生態破壞,這是引出新興病毒的主因。而全球人口日益趨向大都會的居住模式,以及全球化的交通運輸,都有助於新興病原爆發性的快速傳播。

圖/商周出版

人類社會長期的發展趨勢,更多非勞動為職業的就業取向、更多方便且便宜的加工食品等生活型態,加上更高比例肥胖及其相關的慢性病族群,就造成了疫情期間所呈現的健康風險族群。看看下表國家層次的分析[1]

這些高所得國家的高新冠死亡率,曾經令人不解;但若仔細分析,會發現高所得國家的過重/肥胖率也較高。各國新冠發病率及死亡率,與國內生產毛額(GDP)、過重/肥胖率、慢性病死亡率等呈正相關。

如果我們毫無作為,這樣的狀況只會愈來愈糟,除非我們刻意做出改變。

可能導致的原因。圖/商周出版

改變,從你我開始

現在,我們看見防治感染症與慢性病的交集,就是兩者都需要一個健康的生活模式。科學家還未有機會仔細數算,少了這些人類自己提供的新冠「幫手」,新冠疫情的死亡數字可以減少多少。也就是說,假如可以:

  • 有更多人過著健康飲食與定期運動的生活模式
  • 少一些長期營養不良與缺乏必要營養素的人
  • 少一些肥胖與隱形中樞肥胖者
  • 讓空氣中的污染物減少一點
  • 讓健康老化人口的比例多一點
圖/商周出版

當以上的每一個「假如」,都成為「實際」,那就是扭轉乾坤之時。本書最後篇章所提供的諸多科學證據,就是要探索如何讓疫情的終點,變成一個「過去」與「未來」有意義的介面時點。當我們迎接疫情終結的曙光之際,讓那終點,成為新的起點。

當然,我們很清楚這些改變不僅關乎個人意願,若沒有社會,甚至國家整體的配合與支撐,執行起來將會困難重重。舉例來說,對某些族群而言,健康的食物不是價錢太貴,就是商店太遠,而這一族群也最有可能是那些便宜加工食品的受害者;或是那龐大機車族,每日在外直接呼吸成千上萬燃油車的廢氣。

所以,無論如何,我們還是得回歸《渥太華健康促進憲章》五大行動綱領的脈絡。從個人、社會、國家各個層面,持續更新與加強。讓我們一步步將過去那些「敗壞」,轉化為更健康的「契機」。

圖/商周出版

參考資料

  1. Oshakbayev, et al. Association between COVID-19 morbidity, mortality, and gross domestic product, overweight/ obesity, non-communicable diseases, vaccination rate: A cross-sectional study. J Infect Public Health. 2022 Feb;15(2):255-260.

——本文摘自《從一個沒有名字的病開始》,2022 年 11 月,商周出版,未經同意請勿轉載。

商周出版_96
101 篇文章 ・ 344 位粉絲
閱讀商周,一手掌握趨勢,感受愜意生活!商業出版為專業的商業書籍出版公司,期望為社會推動基礎商業知識和教育。

0

1
1

文字

分享

0
1
1
【水獺媽媽專欄:從日常學永續】每天出門都要戴口罩,用過的口罩都要堆成一座山了!
PanSci_96
・2022/11/03 ・744字 ・閱讀時間約 1 分鐘

疫情爆發後,這一樣東西不分男女老少、出門必備,甚至很多人會根據當天的穿著,搭配對應的顏色,成為穿搭的重要「配件神器」,你能猜到是什麼嗎?沒錯,就是你腦中的第一想法「口罩」!不過,你有想過嗎?那些我們用過的口罩都去哪裡了?上面可是充滿髒污和病菌呢!

口罩在這兩年以來,是我們外出的必需品,但全球每天產生高達數十億片的廢棄口罩,它們是不是可以被再利用?答案是,當然可以!

因為疫情每天產生數十億片的廢棄口罩,該怎麼辦呢?圖/水獺媽媽提供

一般非醫療使用的口罩經過適當處理,都能完美變身!

像是韓國大學生設立了口罩回收箱,經過消毒、拆解、高溫熔化後,廢棄口罩竟然能變身成凳子!義大利設計師和芬蘭的時裝設計學生,將口罩經過密封和臭氧消毒後,製成口罩羽絨外套!澳洲、美國、法國還有台灣都有團隊進行技術研發,將廢棄口罩轉製成鋪路材料、長凳、汽車踏墊等等用品。

口罩可以透過回收再利用變身成更多東西。圖/水獺媽媽提供

廢棄口罩變身記,正在世界各地出現!

變身廢棄口罩為的就是降低對地球環境的傷害,儘管目前仍然是高成本的工程,還沒有辦法大量普及,不過我們每個人,至少都可以做到不亂丟棄口罩,以免造成環境髒污、破壞自然生態。

適時更換卻不污染的永續行動,要靠大家一起來,我們都不想看到海龜戴著口罩吧!

適時更換卻不污染的永續行動,要靠大家一起來,我們都不想看到海龜戴著口罩吧!圖/水獺媽媽提供
PanSci_96
1011 篇文章 ・ 1112 位粉絲
PanSci的編輯部帳號,會發自產內容跟各種消息喔。

0

1
0

文字

分享

0
1
0
準備出國啦!Surfshark VPN 快趁黑五買起來,上網購物最安心
鳥苷三磷酸 (PanSci Promo)_96
・2022/11/01 ・2113字 ・閱讀時間約 4 分鐘

本文由 Surfshark VPN 贊助。

兩、三年以來的防疫生活,終於迎來全面 0+7 的這一天啦!返國之後不再需要隔離的一天來了,冰友們,你是不是已經收拾好心情、收拾好行李,在進行機+酒的比價了呢?除了規劃好出國行程、找好景點與美食店家,想要讓自己不可或缺的網路生活也更加安全,一定要趁即將到來了感恩節黑五期間,把超優惠的 Surfshark VPN 服務買起來,為自己的網路生活加買最平安的保險!

Surfshark 黑五限時 18 折折扣,額外加送兩個月
專屬連結:https://lihi2.cc/8XwRN

在疫情下,網購成為了更多人的日常。不僅各樣的在地購物節為網友帶來眾多優惠,全球化的購物活動,台灣當然也不會缺席!美國感恩節(Thanksgiving)都是 11 月第四個星期四,但是感恩節後的週五,便是聖誕節前的購物佳期啟動日,這一天通常都會業績超標(在收支表上呈現正向收入(顯示為黑色字體,而非赤字的紅色字體),各家的瘋狂優惠都會在黑五祭出!相信許多精打細算的朋友,對黑五購物節絕對不陌生(很可能還搶過很多優惠!!)

網購怎能漏掉「亞馬遜」!

雅虎奇摩之於台灣,就像是亞馬遜(Amazon.com)之於美國那麼的有名!絕對也是什麼都賣、什麼都不奇怪的最佳代表。

如果你平常就很喜愛一些美國品牌,趁著黑五的日子到亞馬遜清空購物車,覺對優惠不會讓你失望。這時候,透過 Surfshark 連線到亞馬遜美國站,絕對會顯示的價格絕對讓你眼睛為之一亮,這時候最新搭載 M2 晶片的 iPad Pro,獨家支援動態島顯示的 iPhone 14 Pro,絕對是最好入手的時機。除此之外,亞馬遜平台經典的 Kindle 閱讀器,也是超合適的禮物,送禮自用兩相宜啊!另外要特別留意,購買時可以確認商品有沒有幫忙送到台灣,如果還沒有,可以先跟美國的朋友確認一下,邀請他們回國時幫你一起帶回來!

跨國追劇最爽快

對於喜愛追劇的朋友,品味可能相當豐富且多元,畢竟欣賞優秀影視作品,不現語言,更是不限地區啊!只不過,若是你訂閱 Netflix 等跨國 OTT 服務,都會有各地不同的上架影視作品,可能會讓你無法在第一時間就能夠立即「追」到劇,讓你等得心癢癢!還好這一切只要連上 Surfshark VPN 都能解決,Surfshark 支援超過 100 國的 VPN 連線,無論你想看韓國、日本還是哪一國的最新戲劇,通通讓你一秒追到最新進度!

Surfshark 黑五限時 18 折折扣,額外加送兩個月

專屬連結:https://lihi2.cc/8XwRN

出差大陸翻牆超方便

在過往出國、返國都需要隔離的階段,肯定讓不少工作上需要經常往返多國之間的朋友,感到生活驟變。所幸,在防疫政策解封之後,一切都可逐漸恢復正常。對於經常有需要到中國大陸出差的朋友,肯定都會感受到網路斷聯的不方便,因為無論是 LINE、Facebook Messenger、YouTube、Gmail 等你可很能天天都在使用的網路服務,大陸都無法使用。這還不打緊,連跟家人、朋友報平安也很不便。這時候 Surfshark 連上,就可以幫助你輕鬆「翻牆」,跟台灣親人網路無距離!

 

上網不留痕跡,不被追蹤最自由

對於一個人來說,最私密的資料之一,除了你的個資,就屬我們每天耗費大量時間逗留的網路。我們所在網路上留下的痕跡,絕對是超真實的自己,當然你不會期待這樣的自己被「搜尋引擎」、「網路廣告」公司了解得太透徹,好像你在網路上的一言一行,都被監視著。

..0000000\0;也可隱藏IP位置,避免被廣告商追蹤;更可以為你我阻擋惡意程式、釣魚軟體等,讓你防止被攻擊,以及被網路充斥的廣告打擾,好處多又多!

如果對於 Surfshark 還覺得不夠熟悉的話,不得不告訴大家,今年 Surfshark 榮獲第六屆 CyberSecurity Breakthrough 頒發的「VPN 年度最佳解決方案」(VPN Solution of the Year),也就是成為今年最推薦的 VPN 方案。CyberSecurity Breakthrough 是全球領先的獨立市場情報組織,致力於表揚當今全球資訊安全市場上的頂尖企業、技術和產品。有了他們「掛保證」,代表 Surfshark 絕對是品質、信譽都讓你安心的VPN 服務。

講了這麼多,是不是讓你感到很心動了。如果你原本就是網路重度使用者,用來上網的設備是樣樣都有,Surfshark 一個帳號就能支援所有設備,CP 值超高!趁著年度超狂黑五購物節的到來,送給你自己兩年安心無虞的網路生活,肯定是送自己的最好禮物!

Surfshark 黑五限時 18 折折扣,額外加送兩個月
專屬連結:https://lihi2.cc/8XwRN

鳥苷三磷酸 (PanSci Promo)_96
155 篇文章 ・ 268 位粉絲
充滿能量的泛科學品牌合作帳號!相關行銷合作請洽:contact@pansci.asia