Loading [MathJax]/extensions/tex2jax.js

0

0
0

文字

分享

0
0
0

疾疾,護法現身! 資安管理系統全方位屏障企業資安

創新科技專案 X 解密科技寶藏_96
・2015/03/19 ・2377字 ・閱讀時間約 4 分鐘 ・SR值 564 ・九年級

-----廣告,請繼續往下閱讀-----

文/劉珈均

預防勝於治療  為資安體檢

行動載具與行動上網愈來愈普及,台灣網路資訊中心調查,台灣人行動上網比例近年大幅攀升,從2012年的25.91%成長為2014年的47.27%。除了追蹤社群動態、與親友通訊、線上購物,行動裝置也成為上班族公務往來的工具,讓工作更有效率。然而,這便利的科技隱含資安漏洞,工研院與資策會合作研發「終端資安合規管控解決方案」,幫助企業偵測、管理使用者設備資安狀態的系統,也協助各機構因應政府近年設立的資安標準。

以往駭客主要攻擊大公司的伺服器或知名網站,現在則漸漸轉向使用者的終端設備,如個人電腦或行動載具。技術強調「預防勝於治療」,為設備「健康檢查」,尋找有問題的軟體或電腦設定,檢測使用者終端設備的資安體質是否夠強壯。工研院巨資中心與資策會分工合作,巨資中心負責行動裝置端的安全管理,資策會則負責PC端。

系統的後端管理平台介面,可根據不同資安需求設定管控標準。
系統的後端管理平台介面,可根據不同資安需求設定管控標準。

行動裝置端

巨資中心技術經理林建宏說,企業若開放BYOD(Bring-Your-Own-Device),讓員工行動裝置連入內部網站可讓工作行事便捷許多,但行動裝置易藏有資安漏洞,使用者多半不會為手機或平板電腦裝設防毒軟體,而絕多數民眾喜歡下載社交和遊戲的免費APP,相當容易讓惡意程式或APP隱匿其中竊取個資。若行動裝置使用與公務重疊,便可能洩漏公司機密,如通訊錄、行事曆、簽核文件、客戶資訊等,因此需要導入管理措施,管控行動端設備。

-----廣告,請繼續往下閱讀-----
資策會資安科技研究所吳建興主任。
資策會資安科技研究所吳建興主任
工研院巨資中心技術經理林建宏
工研院巨資中心技術經理林建宏

管理對象可大致分為訪客與員工,例如位處敏感區域,系統會自動關閉訪客智慧型手機的拍照與GPS功能,當使用者拍照時,畫面顯示「找不到相機」;系統可將職員的行動裝置型號與門禁系統相連,當員工進入公司,系統便過濾員工自行安裝的APP是否符合公司的安全要求。系統可根據各產業需求「客製化」調整資安標準與管控方式,林建宏舉例,如台積電之類的製造業就可限制敏感區不得拍照;金融公司或政府機關則可以管控行動端的檔案下載。

一如小說《哈利波特》裡霍格華茲城堡限制不能使用特定咒語,此系統主要監控特定場域內的行動裝置裡是否藏有惡意軟體,並依需求限制特定功能。巨資中心工程師王邦傑說:「PC已經有在作這一塊了,像有的企業會禁止公司內使用MSN或Facebook。只是這些作法還沒延伸到行動裝置。」除了管控行動裝置的軟體是否安全,公司也可以遠端傳輸工作所需的APP到員工的行動裝置中。此管理模組整合了市占95%的iOS與Android平台,對想要引進行動裝置管理措施的企業相當實用。

企業也可直接遠端派送工作所需的APP至員工手機。
企業也可直接遠端派送工作所需的APP至員工手機。

PC端

一般認為,安裝防毒軟體就能讓電腦免於資安威脅,資策會的技術經理徐暐釗解釋:「其實更多問題出在電腦的設定!」例如裝了防毒軟體卻未啟用、未定期更新、防火牆關閉、使用未授權的軟體、為了方便而讓瀏覽器直接執行各網頁的軟體等等。相較於外部威脅,自身的設定疏忽問題更大,PC端的管理重點就在偵測機構內部電腦的各項設定是否安全,讓後端管理者掌握資安弱點。

國際非營利組織MITRE致力建立資安弱點偵測標準,此技術去年通過MITRE之OVAL Adoption認證。資安有許多採行標準,如美國政府的USGCB、微軟MS Baseline、ISO27001等,台灣前年也制定了TWGCB,首先要求政府機關部門必須達到此基準,現在行政院下的34個一線單位,已開始著手管理資安,漸進達成TWGCB標準。金融業也被要求建立資安政策(但不限採行TWGCB)。

-----廣告,請繼續往下閱讀-----

政府開始重視資安政策,不過,政策條文落實到電腦設定有太多細節有爭議、須詳加定義,例如怎樣才叫安全?標準訂得太高、太強硬可能造成使用者不方便。此管理系統另一個功能便是協助機構依據採行的標準,設定電腦各項參數值,例如根據TWGCB足足396條的規定,一一比對電腦的設定值是否符合,一些政府部會就向資策會引進此管理系統,「推行困難之一是條數太多了,一開始就全套設定的話,每台電腦幾十個錯誤,後端要幾十個錯誤乘以N台電腦,一項項的修。」

管理者可藉此系統掌握特定場域內的行動裝置端與PC端是否含惡意APP、電腦設定是否安全。
管理者可藉此系統掌握特定場域內的行動裝置端與PC端是否含惡意APP、電腦設定是否安全。

徐暐釗分享,剛開始在會內推廣技術時,大家心頭常常浮現資料可能被監控的疑慮,「但這系統的功能只是管控各部電腦『設定』是否安全,不會知道確切『內容』,也不會動到電腦裡的資料,沒有隱私問題。」徐瑋釗開玩笑說,即便不小心連上色情網站、執行網頁程式,後端管理系統也只是跳出提醒這樣不安全,並不知道那是什麼網站。王邦傑也說,行動裝置端的管理只是針對裝置功能與軟體,並不會存取裝置內的資料。

王邦傑說,國內廠商對於資安保護的敏感度普遍不高,抱持著若沒有出事,維持現狀即可的態度。然而一旦發生重大資安問題,損失往往難以回復。與其遭遇切身之痛後再補救,不如事先作好資安管理,提前阻止危害發生。

「終端資安合規管控解決方案」研發團隊,成員來自資策會與工研院巨資中心。
「終端資安合規管控解決方案」研發團隊,成員來自資策會與工研院巨資中心。

更多資訊請參考解密科技寶藏

-----廣告,請繼續往下閱讀-----

 

-----廣告,請繼續往下閱讀-----
文章難易度
創新科技專案 X 解密科技寶藏_96
81 篇文章 ・ 3 位粉絲
由 19 個國家級產業科技研發機構,聯手發表「創新科技專案」超過 80 項研發成果。手法結合狂想與探索,包括高度感官互動的主題式「奇想樂園」區,以及分享科技新知與願景的「解密寶藏」區。驚奇、專業與創新,激發您對未來的想像與憧憬!

0

1
0

文字

分享

0
1
0
純淨之水的追尋—濾水技術如何改變我們的生活?
鳥苷三磷酸 (PanSci Promo)_96
・2025/04/17 ・3142字 ・閱讀時間約 6 分鐘

-----廣告,請繼續往下閱讀-----

本文與 BRITA 合作,泛科學企劃執行。

你確定你喝的水真的乾淨嗎?

如果你回到兩百年前,試圖喝一口當時世界上最大城市的飲用水,可能會立刻放下杯子——那水的顏色帶點黃褐,氣味刺鼻,甚至還飄著肉眼可見的雜質。十九世紀倫敦泰晤士河的水,被戲稱為「流動的污水」,當時的人們雖然知道水不乾淨,但卻無力改變,導致霍亂和傷寒等疾病肆虐。

十九世紀倫敦泰晤士河的水,被戲稱為「流動的污水」(圖片來源 / freepik)

幸運的是,現代自來水處理系統已經讓我們喝不到這種「肉眼可見」的污染物,但問題可還沒徹底解決。面對 21 世紀的飲水挑戰,哪些技術真正有效?

-----廣告,請繼續往下閱讀-----

19 世紀的歐洲因為城市人口膨脹與工業發展,面臨了前所未有的水污染挑戰。當時多數城市的供水系統仍然依賴河流、湖泊,甚至未經處理的地下水,導致傳染病肆虐。

1854 年,英國醫生約翰·斯諾(John Snow)透過流行病學調查,發現倫敦某口公共水井與霍亂爆發直接相關,這是歷史上首次確立「飲水與疾病傳播的關聯」。這項發現徹底改變了各國政府對供水系統的態度,促使公衛政策改革,加速了濾水與消毒技術的發展。到了 20 世紀初,英國、美國等國開始在自來水中加入氯消毒,成功降低霍亂、傷寒等水媒傳染病的發生率,這一技術迅速普及,成為現代供水安全的基石。    

 19 世紀末的台灣同樣深受傳染病困擾,尤其是鼠疫肆虐。1895 年割讓給日本後,惡劣的衛生條件成為殖民政府最棘手的問題之一。1896 年,後藤新平出任民政長官,他本人曾參與東京自來水與下水道系統的規劃建設,對公共衛生系統有深厚理解。為改善台灣水源與防疫問題,他邀請了曾參與東京水道工程的英籍技師 W.K. 巴爾頓(William Kinnimond Burton) 來台,規劃現代化的供水設施。在雙方合作下,台灣陸續建立起結合過濾、消毒、儲水與送水功能的設施。到 1917 年,全台已有 16 座現代水廠,有效改善公共衛生,為台灣城市化奠定關鍵基礎。

-----廣告,請繼續往下閱讀-----
圖片來源/BRITA

進入 20 世紀,人們已經可以喝到看起來乾淨的水,但問題真的解決了嗎? 科學家如今發現,水裡仍然可能殘留奈米塑膠、重金屬、農藥、藥物代謝物,甚至微量的內分泌干擾物,這些看不見、嚐不出的隱形污染,正在成為21世紀的飲水挑戰。也因此,濾水技術迎來了一波科技革新,活性碳吸附、離子交換樹脂、微濾、逆滲透(RO)等技術相繼問世,各有其專長:

活性碳吸附:去除氯氣、異味與部分有機污染物

離子交換樹脂:軟化水質,去除鈣鎂離子,減少水垢

微濾技術逆滲透(RO)技術:攔截細菌與部分微生物,過濾重金屬與污染物等

-----廣告,請繼續往下閱讀-----

這些技術相互搭配,能夠大幅提升飲水安全,然而,無論技術如何進步,濾芯始終是濾水設備的核心。一個設計優良的濾芯,決定了水質能否真正被淨化,而現代濾水器的競爭,正是圍繞著「如何打造更高效、更耐用、更智能的濾芯」展開的。於是,最關鍵的問題就在於到底該如何確保濾芯的效能?

濾芯的壽命與更換頻率:濾水效能的關鍵時刻濾芯,雖然是濾水器中看不見的內部構件,卻是決定水質純淨度的核心。以德國濾水品牌 BRITA 為例,其濾芯技術結合椰殼活性碳和離子交換樹脂,能有效去除水中的氯、除草劑、殺蟲劑及藥物殘留等化學物質,並過濾鉛、銅等重金屬,同時軟化水質,提升口感。

然而,隨著市場需求的增長,非原廠濾芯也悄然湧現,這不僅影響濾水效果,更可能帶來健康風險。據消費者反映,同一網路賣場內便可輕易購得真假 BRITA 濾芯,顯示問題日益嚴重。為確保飲水安全,建議消費者僅在實體官方授權通路或網路官方直營旗艦店購買濾芯,避免誤用來路不明的濾芯產品讓自己的身體當過濾器。

辨識濾芯其實並不難——正品 BRITA 濾芯的紙盒下方應有「台灣碧然德」的進口商貼紙,正面則可看到 BRITA 商標,以及「4週換放芯喝」的標誌。塑膠袋外包裝上同樣印有 BRITA 商標。濾芯本體的上方會有兩個浮雕的 BRITA 字樣,並且沒有拉環設計,底部則標示著創新科技過濾結構。購買時仔細留意這些細節,才能確保濾芯發揮最佳過濾效果,讓每一口水都能保證潔淨安全。

-----廣告,請繼續往下閱讀-----
濾芯本體的上方會有兩個浮雕的 BRITA 字樣,並且沒有拉環設計 (圖片來源 / BRITA)

不過,即便是正品濾芯,其效能也非永久不變。隨著使用時間增加,濾芯的孔隙會逐漸被污染物堵塞,導致過濾效果減弱,濾水速度也可能變慢。而且,濾芯在拆封後便接觸到空氣,潮濕的環境可能會成為細菌滋生的溫床。如果長期不更換濾芯,不僅會影響過濾效能,還可能讓積累的微小污染物反過來影響水質,形成「過濾器悖論」(Filter Paradox):本應淨化水質的裝置,反而成為污染源。為此,BRITA 建議每四週更換一次濾芯,以維持穩定的濾水效果。

為了解決使用者容易忽略更換時機的問題,BRITA 推出了三大智慧提醒機制,確保濾芯不會因過期使用而影響水質:

1. Memo 或 LED 智慧濾芯指示燈:即時監測濾芯狀況,顯示剩餘效能,讓使用者掌握最佳更換時間。

2. QR Code 掃碼電子日曆提醒:掃描包裝外盒上的 QR Code 記錄濾芯的使用時間,自動提醒何時該更換,減少遺漏。

-----廣告,請繼續往下閱讀-----

3. LINE 官方帳號自動通知:透過 LINE 推送更換提醒,確保用戶不會因忙碌而錯過更換時機。

在濾水技術日新月異的今天,濾芯已不僅僅是過濾裝置,更是智慧監控的一部分。如何挑選最適合自己需求的濾水設備,成為了健康生活的關鍵。

人類對潔淨飲用水的追求,從未停止。19世紀,隨著城市化與工業化發展,水污染問題加劇並引發霍亂等疾病,促使濾水技術迅速發展。20世紀,氯消毒技術普及,進一步保障了水質安全。隨著科技進步,現代濾水技術透過活性碳、離子交換等技術,去除水中的污染物,讓每一口水更加潔淨與安全。

-----廣告,請繼續往下閱讀-----
(圖片來源 / BRITA)

今天,消費者不再單純依賴公共供水系統,而是能根據自身需求選擇適合的濾水設備。例如,BRITA 提供的「純淨全效型濾芯」與「去水垢專家濾芯」可針對不同需求,從去除餘氯、過濾重金屬到改善水質硬度等問題,去水垢專家濾芯的去水垢能力較純淨全效型濾芯提升50%,並通過 SGS 檢測,通過國家標準水質檢測「可生飲」,讓消費者能安心直飲。

然而,隨著環境污染問題的加劇,真正的挑戰在於如何減少水污染,並確保每個人都能擁有乾淨水源。科技不僅是解決問題的工具,更應該成為守護未來的承諾。濾水器不僅是家用設備,它象徵著人類與自然的對話,提醒我們水的純淨不僅是技術的勝利,更是社會的責任和對未來世代的承諾。

*符合濾(淨)水器飲用水水質檢測技術規範所列9項「金屬元素」及15項「揮發性有機物」測試
*僅限使用合格自來水源,且住宅之儲水設備至少每6-12個月標準清洗且無受汙染之虞

-----廣告,請繼續往下閱讀-----
文章難易度

討論功能關閉中。

鳥苷三磷酸 (PanSci Promo)_96
225 篇文章 ・ 313 位粉絲
充滿能量的泛科學品牌合作帳號!相關行銷合作請洽:contact@pansci.asia

0

4
0

文字

分享

0
4
0
物聯網世代資安保護的熱門選擇——新型「加密金鑰」PUF 技術
科技大觀園_96
・2022/02/06 ・1831字 ・閱讀時間約 3 分鐘

-----廣告,請繼續往下閱讀-----

隨著萬物聯網時代到來,越來越多數據以數位化方式儲存共享,架構安全性也越來越受到重視。就在今年 5 月,美國賓州大學研究團隊開發出一種基於石墨烯的 PUF(Physically Unclonable Function),能夠有效防範利用 AI 模型的新型攻擊,使加密金鑰更難以被破解。

石墨烯是一種由碳原子以 sp2 混成軌域組成六角型呈蜂巢晶格的平面薄膜,只有一個碳原子厚度的二維材料。圖/pixabay

什麼是 PUF?

要解釋什麼是 PUF,就得先理解物聯網(Internet of Things , IoT)的概念。簡單來說,物聯網就是讓設備裝上感測器、軟體及技術來相互連接傳輸資料所形成的網路,是很多產業智慧化的基礎,然而很容易就可以想像這種便利性同時也帶來更高的資安風險,由於物聯網設備涵蓋的領域相當廣泛,駭客從許多層面都可以發動攻擊。

物聯網是讓設備相互連接傳輸資料所形成的網路。圖/pixabay

過去談到物聯網的資訊安全,許多人都會先想到軟體及網路加密連線,但其實除了網路層面的安全防護,實體設備同樣存在著威脅。一旦出現仿冒晶片或其他問題,駭客就可能透過網路遠端控制設備獲得金鑰和其他敏感資訊,進而造成企業損失。以軟體為主的資安設計已不再足以提供全面保障,這也是為什麼基於硬體的安全技術開始逐年受到青睞。

全名為「物理不可仿製功能」 的 PUF 就是這樣一種硬體安全技術。透過半導體製程中引入的隨機變數,讓晶片在微觀結構上產生些許差異,在變數無法預測及控制的情況下,複製該晶片成為幾乎不可能的事,減少遭人逆向工程或操作的擔憂。這樣的隨機性、唯一性及不可複製性,讓 PUF 彷彿成為一種「晶片指紋」的存在,因此自然也變成新世代資安「零信任」(Zero Trust)架構下的熱門選擇。

-----廣告,請繼續往下閱讀-----

不同於傳統資訊加密技術將密鑰儲存在設備的方式,PUF 技術主要使用一個客製應用積體電路(Application Specific Integrated Circuit , ASIC)或現場可程式閘陣列(Field Programmable Gate Array , FPGA)就可以完成,透過製造時挑戰/反應數據庫(Challenge/Response)的建立,便能在無須加密認證演算法的情況下對設備進行驗證,防止身分被竊取、竄改的同時,也免除了將私鑰儲存在設備的額外成本以及金鑰遺失的風險。

自 2013 年開始,PUF 已經開始逐漸受到重視,只是就像所有的密碼學應用一樣,儘管 PUF 技術存在著這些驚人特性,駭客攻擊手法也仍在持續演化中。國外一些研究已經證明,透過機器學習,AI 技術還是可能預測出密鑰並獲取數據,因此針對 PUF 技術的改良研發也仍在持續進步中。

以賓州大學團隊 5 月公布在《 Nature Electronics 》的最新研究為例,工程科學與力學助理教授 Saptarshi Das 就進一步結合了石墨烯(Graphene)的諸多特性,開發出一種新型低功耗、可擴展及可重構的 PUF,在面對 AI 攻擊時也能保持顯著彈性不易被入侵。

據研究人員表示,透過石墨烯獨特的物理和電學性質,新型 PUF 更加節能、可延展,即使受到 AI 攻擊試圖預測金鑰,受損的系統也可以在不需要額外硬體或更換元件的情況下重新配置過程並生成新密鑰,藉此有效抵抗對傳統矽製 PUF 構成威脅的 AI 攻擊。

-----廣告,請繼續往下閱讀-----

隨著物聯網走入各大產業、設備數量大規模增長,可想見更嚴峻的資安挑戰也即將到來。目前國內廠商及研究團隊許多針對 PUF 的努力正在進行,除了矽智財知名大廠力旺開發的 NeoPUF 技術,成功大學電機系張順志教授進行的研究也是其中之一。

在「具高安全性且低耗能之物聯網晶片電路及系統之分析、設計及實作」整合型計劃中,張教授希望透過超低功耗之類比數位轉換器設計技術及內建物理密鑰技術、 AI 輔助訊號轉換電路設計技術的研發,來提升物聯網晶片的安全性與穩定性。據了解,該項目已經進入後期階段,將基於先前的經驗嘗試完成整個物聯網系統的實體整合與量測驗證。

資料來源

  1. 初探物聯網安全趨勢下PUF晶片安全發展機會|跨域資安強化產業推動計畫網站 ACW
  2. 具高安全性且低耗能之物聯網晶片電路及系統之分析、設計及實作-子計畫三:應用於高安全性且低耗能物聯網系統的類比至數位轉換器之研製( I )
  3. Stabilization in Physically Unclonable Constants
  4. Graphene key for novel hardware security | Penn State University

-----廣告,請繼續往下閱讀-----
科技大觀園_96
82 篇文章 ・ 1126 位粉絲
為妥善保存多年來此類科普活動產出的成果,並使一般大眾能透過網際網路分享科普資源,科技部於2007年完成「科技大觀園」科普網站的建置,並於2008年1月正式上線營運。 「科技大觀園」網站為一數位整合平台,累積了大量的科普影音、科技新知、科普文章、科普演講及各類科普活動訊息,期使科學能扎根於每個人的生活與文化中。

0

5
0

文字

分享

0
5
0
新技術 PGPP 問世,將能保障通訊網路的資安問題與個資隱私性
科技大觀園_96
・2022/01/30 ・3139字 ・閱讀時間約 6 分鐘

-----廣告,請繼續往下閱讀-----

新冠肺炎疫情在國際間蔓延接近兩年,疫情前期政府推出「電子圍籬」系統,透過手機監測居家隔離者是否違規外出,卻也衍生出人民隱私遭到侵犯的討論。但事實上,早在疫情前電信商就能取得使用者身分與手機位置的資料。即使關閉 GPS,日常手機在與周邊基地台交換數據的過程中,就需要提供裝置身分識別與位置資訊。當電信公司將相關資訊販賣給資料仲介(data broker)等第三方,或是資訊傳輸過程被駭客竊取,便可能造成潛在的資安問題。

因此,南加州大學(University of Southern California)研究團隊便提出一項新技術-Pretty Good Phone Privacy (PGPP),嘗試在確保服務品質的情況下,保護裝置使用者位置的隱私性。

手機在與周邊基地台交換數據的過程中,就會洩漏裝置身分識別與位置資訊,有機會造成資安問題。圖/pixabay

身分驗證:通訊網路如何識別用戶與提供服務

「我們在不知不覺間同意讓手機變相成為行蹤跟監裝置,但直到今天我們對現況仍然沒有其他選擇-使用手機等於同意接受跟監。」PGPP 研究者 Barath Raghavan 表示。另一位研究者 Paul Schmitt 則進一步指出,現有通訊網絡的問題在於身分驗證與提供通訊服務使用的透過相同的管道進行。不僅讓電信商能利用這些敏感資訊尋求商業利益,也讓駭客有機會從外部透過技術取得使用者的敏感資訊。

不過,想了解使用者訊息是如何在環環相扣的網絡中被蒐集,甚至面臨被竊取的風險,必須先從手機如何取得通訊服務講起。

-----廣告,請繼續往下閱讀-----

日常生活中,手機在接收資訊時,需要與遍布周遭的基地台與通訊網路取得聯繫,由各個基地台以六角形的方式構成的通訊網絡,也稱作蜂巢式網絡(Cellular network)。為了提供收發資訊的服務,手機需要藉由無線電波與網絡中的基地台驗證身分,確認裝置為付費用戶後通訊網絡便可以開始提供其他服務。

進一步以 5G 服務為例,5G 架構可以分為 NG-RAN(Next Generation Radio Access Network)與 NGC(Next Generation Core)兩部分(如圖一):(1)NG-RAN 由手機(UE)與基地台(gNodeB)組成,手機可以透過基地台手機連接到NGC。(2)NGC 則提供身分驗證、計費、簡訊和資料連接等服務,包含 AMF(Access and Mobility Management Function)、AUSF(Authentication Server Function)、SMF(Session Management Function)和 UPF(User Plane Function)五個部分。其中 AMF 主要負責與手機溝通、AUSF 負責驗證、SMF 和 UPF 則提供 IP 位置與連線服務。

連網過程中,手機會透過最鄰近的基地台將儲存於 SIM 卡中的身分識別碼-SUPI(Subscription Permanent Identifier)在 4G 中稱作 IMSI(International Mobile Subscriber Identity)傳送給 AMF,此時 AUSF 會對 SUPI 進行驗證確保此手機是有效用戶。通過驗證後,SMF 與 UPF 便會提供 IP 位置與開放網路服務。而在驗證過程中,電信商的 AUSF 資料庫會記錄所有透過它取得網服務的 SUPI 以及其他註冊資訊。由於每個 SUPI 都是全球唯一且永久的識別碼,因此除了電信商,對有意監控手機用戶的人而言,SUPI 也成為一個極具價值的目標。

(圖一)現有通訊網絡運作時,身分驗證與網路服務由同一管道完成。圖/usenix

基地台定位系統可能成為駭客攻擊的跳板

此外,敏感資訊在前面提到的層層傳輸過程中也面臨駭客的威脅,駭客可以透過被動擷取與主動蒐集兩種方式,掌握用戶的 SUPI/IMSI 與位置資訊,並進行一連串後續的侵權行為。

-----廣告,請繼續往下閱讀-----

被動擷取是利用手機與基地台溝通之間的漏洞來達成目的。例如,近年基地台模擬器-IMSI 擷取器(IMSI catchers)或俗稱魟魚逐漸興起,利用手機會自動連接到鄰近最強訊號源(通常是基地台),並提供自身 SUPI/IMSI 以供驗證的特性。IMSI 擷取器發送強於周圍合法基地台的訊號,藉此取得用戶的識別碼,讓監控者可以辨識與監聽未加密的用戶通訊內容,其實這種作法早已在情報單位與極權國家被廣泛地利用。

雖然現有通訊網路嘗試提供暫時性驗證碼-如 GUTI(Globally Unique Temporary UE Identity)來代替 SUPI。只要手機成功連到網路,便會用 GUTI 代替 SUPI,成為該手機的臨時標籤,減少 SUPI 暴露在網絡傳輸過程的次數。但就算 GUTI 會由 AMF 定期更換,實務經驗指出 GUTI 對於使用者隱私的保護有限,駭客仍可以透過技術將 GUTI 去匿名化,進而掌握特定個人的行蹤。

除了被動擷取資訊,駭客還可以利用基地台呼叫(paging)定位的原理主動地發動攻擊。為了能快速定位用戶位置以確保通訊服務能被送達,電信商會將數個基地台覆蓋區域組成一個追蹤區域(tracking area),並且如果有訊息傳送到閒置中的手機時,基地台會要求手機回傳臨時識別碼。駭客在不知道用戶位置與身分識別碼的情況下,可以頻繁地撥打電話給鄰近追蹤區域內的裝置再迅速掛斷。用戶手機可能根本不會跳出通知,但駭客卻可以利用追蹤區域的基地台呼叫訊息,在短時間內定位出用戶的大略位置,甚至進一步可以癱瘓與綁架目標用戶手機服務。

值得一提的是,儘管 5G 技術在保護隱私上做了許多改進。但 5G 訊號使用更高的頻段,提供高傳輸速率與低延遲服務的同時,也伴隨通訊距離、覆蓋範圍較 4G 小的限制。為了確保通訊服務便需要提高基地台密度,等於變相讓電信商與駭客能更準確定位使用者的位置。

-----廣告,請繼續往下閱讀-----

PGPP:將身分識別驗證與網路服務分開進行

雖然個人行蹤隱私與手機識別訊息洩漏會造成龐大的社會成本,但要透過改變現有通訊網絡硬體設計,達到保護個資的目的,也需面臨設備更新成本巨大的挑戰。因此 PGPP 嘗試從軟體的角度解決問題,讓用戶可以透過 PGPP 保護自己的行蹤隱私。

「解決問題的關鍵在於,如果要希望保持匿名性,又要怎麼讓通訊網絡驗證你是合法的使用者?」Barath Raghavan 說。為了將身分驗證與網路服務的過程拆開,PGPP 使用了加密標記(Token)與代理伺服器的概念。在 PGPP 的協定中,付費用戶可以從電信商取得一個加密標記。而所有用戶第一次連接到基地台時,使用的是一樣的 SUPI/IMSI,讓使用者連結到代理伺服器的驗證畫面(PGPP-GW),並以加密代幣進行驗證。過程中電信商與駭客只能看到所有用戶都使用同樣的 SUPI/IMSI 與 IP 位置進行連網,如此一來,身分識別資訊與基地台資訊就能夠完成分離(圖二)。

(圖二)PGPP 將用戶去識別化。圖/usenix

此外,為了解決駭客利用追蹤區域基地台呼叫訊息來定位用戶,PGPP 為每個手機隨機客製不同的追蹤區域,而非傳統地由電信商定義出追蹤區域。如此一來,駭客即便取得追蹤區域編號也無法得知用戶實際所處的位置在哪裡(圖三)。

(圖三)相較傳統通訊網絡由電信商設定劃定追蹤區域(tracking area),PGPP 為每個用戶隨機劃分追蹤區域,不易被駭客追蹤。圖/usenix

為了能真實測試 PGPP,Barath Raghavan 與 Paul Schmitt 甚至成立了一家新創公司-Invisv。結果顯示 PGPP 在保護個資的同時,也幾乎不會有延遲增加、流量過載,以及其他匿名網路會遇到的延展性問題。由於 PGPP 只是停止讓手機向基地台傳送自己的身分,因此其他定位功能還是可以正常使用。

-----廣告,請繼續往下閱讀-----

最後,Barath Raghavan 也指出現在是人類有史以來第一次,幾乎每個人無時無刻的行蹤都能及時地被掌握。但人們常常默許地將關於自身資訊的控制權交給大公司與政府,PGPP 的發明就是希望在這樣的洪流中取回一些對自身隱私的控制權。

資料來源

  1. Pretty Good Phone Privacy
  2. Is Your Mobile Provider Tracking Your Location? This New Technology Could Stop It.
  3. 4G、5G技術漏洞可讓駭客追蹤用戶地點、癱瘓手機、攔截通話內容
-----廣告,請繼續往下閱讀-----
科技大觀園_96
82 篇文章 ・ 1126 位粉絲
為妥善保存多年來此類科普活動產出的成果,並使一般大眾能透過網際網路分享科普資源,科技部於2007年完成「科技大觀園」科普網站的建置,並於2008年1月正式上線營運。 「科技大觀園」網站為一數位整合平台,累積了大量的科普影音、科技新知、科普文章、科普演講及各類科普活動訊息,期使科學能扎根於每個人的生活與文化中。