0

0
0

文字

分享

0
0
0

疾疾,護法現身! 資安管理系統全方位屏障企業資安

創新科技專案 X 解密科技寶藏_96
・2015/03/19 ・2377字 ・閱讀時間約 4 分鐘 ・SR值 564 ・九年級

文/劉珈均

預防勝於治療  為資安體檢

行動載具與行動上網愈來愈普及,台灣網路資訊中心調查,台灣人行動上網比例近年大幅攀升,從2012年的25.91%成長為2014年的47.27%。除了追蹤社群動態、與親友通訊、線上購物,行動裝置也成為上班族公務往來的工具,讓工作更有效率。然而,這便利的科技隱含資安漏洞,工研院與資策會合作研發「終端資安合規管控解決方案」,幫助企業偵測、管理使用者設備資安狀態的系統,也協助各機構因應政府近年設立的資安標準。

以往駭客主要攻擊大公司的伺服器或知名網站,現在則漸漸轉向使用者的終端設備,如個人電腦或行動載具。技術強調「預防勝於治療」,為設備「健康檢查」,尋找有問題的軟體或電腦設定,檢測使用者終端設備的資安體質是否夠強壯。工研院巨資中心與資策會分工合作,巨資中心負責行動裝置端的安全管理,資策會則負責PC端。

系統的後端管理平台介面,可根據不同資安需求設定管控標準。
系統的後端管理平台介面,可根據不同資安需求設定管控標準。

行動裝置端

巨資中心技術經理林建宏說,企業若開放BYOD(Bring-Your-Own-Device),讓員工行動裝置連入內部網站可讓工作行事便捷許多,但行動裝置易藏有資安漏洞,使用者多半不會為手機或平板電腦裝設防毒軟體,而絕多數民眾喜歡下載社交和遊戲的免費APP,相當容易讓惡意程式或APP隱匿其中竊取個資。若行動裝置使用與公務重疊,便可能洩漏公司機密,如通訊錄、行事曆、簽核文件、客戶資訊等,因此需要導入管理措施,管控行動端設備。

-----廣告,請繼續往下閱讀-----
資策會資安科技研究所吳建興主任。
資策會資安科技研究所吳建興主任
工研院巨資中心技術經理林建宏
工研院巨資中心技術經理林建宏

管理對象可大致分為訪客與員工,例如位處敏感區域,系統會自動關閉訪客智慧型手機的拍照與GPS功能,當使用者拍照時,畫面顯示「找不到相機」;系統可將職員的行動裝置型號與門禁系統相連,當員工進入公司,系統便過濾員工自行安裝的APP是否符合公司的安全要求。系統可根據各產業需求「客製化」調整資安標準與管控方式,林建宏舉例,如台積電之類的製造業就可限制敏感區不得拍照;金融公司或政府機關則可以管控行動端的檔案下載。

一如小說《哈利波特》裡霍格華茲城堡限制不能使用特定咒語,此系統主要監控特定場域內的行動裝置裡是否藏有惡意軟體,並依需求限制特定功能。巨資中心工程師王邦傑說:「PC已經有在作這一塊了,像有的企業會禁止公司內使用MSN或Facebook。只是這些作法還沒延伸到行動裝置。」除了管控行動裝置的軟體是否安全,公司也可以遠端傳輸工作所需的APP到員工的行動裝置中。此管理模組整合了市占95%的iOS與Android平台,對想要引進行動裝置管理措施的企業相當實用。

企業也可直接遠端派送工作所需的APP至員工手機。
企業也可直接遠端派送工作所需的APP至員工手機。

PC端

一般認為,安裝防毒軟體就能讓電腦免於資安威脅,資策會的技術經理徐暐釗解釋:「其實更多問題出在電腦的設定!」例如裝了防毒軟體卻未啟用、未定期更新、防火牆關閉、使用未授權的軟體、為了方便而讓瀏覽器直接執行各網頁的軟體等等。相較於外部威脅,自身的設定疏忽問題更大,PC端的管理重點就在偵測機構內部電腦的各項設定是否安全,讓後端管理者掌握資安弱點。

國際非營利組織MITRE致力建立資安弱點偵測標準,此技術去年通過MITRE之OVAL Adoption認證。資安有許多採行標準,如美國政府的USGCB、微軟MS Baseline、ISO27001等,台灣前年也制定了TWGCB,首先要求政府機關部門必須達到此基準,現在行政院下的34個一線單位,已開始著手管理資安,漸進達成TWGCB標準。金融業也被要求建立資安政策(但不限採行TWGCB)。

-----廣告,請繼續往下閱讀-----

政府開始重視資安政策,不過,政策條文落實到電腦設定有太多細節有爭議、須詳加定義,例如怎樣才叫安全?標準訂得太高、太強硬可能造成使用者不方便。此管理系統另一個功能便是協助機構依據採行的標準,設定電腦各項參數值,例如根據TWGCB足足396條的規定,一一比對電腦的設定值是否符合,一些政府部會就向資策會引進此管理系統,「推行困難之一是條數太多了,一開始就全套設定的話,每台電腦幾十個錯誤,後端要幾十個錯誤乘以N台電腦,一項項的修。」

管理者可藉此系統掌握特定場域內的行動裝置端與PC端是否含惡意APP、電腦設定是否安全。
管理者可藉此系統掌握特定場域內的行動裝置端與PC端是否含惡意APP、電腦設定是否安全。

徐暐釗分享,剛開始在會內推廣技術時,大家心頭常常浮現資料可能被監控的疑慮,「但這系統的功能只是管控各部電腦『設定』是否安全,不會知道確切『內容』,也不會動到電腦裡的資料,沒有隱私問題。」徐瑋釗開玩笑說,即便不小心連上色情網站、執行網頁程式,後端管理系統也只是跳出提醒這樣不安全,並不知道那是什麼網站。王邦傑也說,行動裝置端的管理只是針對裝置功能與軟體,並不會存取裝置內的資料。

王邦傑說,國內廠商對於資安保護的敏感度普遍不高,抱持著若沒有出事,維持現狀即可的態度。然而一旦發生重大資安問題,損失往往難以回復。與其遭遇切身之痛後再補救,不如事先作好資安管理,提前阻止危害發生。

「終端資安合規管控解決方案」研發團隊,成員來自資策會與工研院巨資中心。
「終端資安合規管控解決方案」研發團隊,成員來自資策會與工研院巨資中心。

更多資訊請參考解密科技寶藏

-----廣告,請繼續往下閱讀-----

 

文章難易度
創新科技專案 X 解密科技寶藏_96
81 篇文章 ・ 3 位粉絲
由 19 個國家級產業科技研發機構,聯手發表「創新科技專案」超過 80 項研發成果。手法結合狂想與探索,包括高度感官互動的主題式「奇想樂園」區,以及分享科技新知與願景的「解密寶藏」區。驚奇、專業與創新,激發您對未來的想像與憧憬!

0

5
1

文字

分享

0
5
1
快!還要更快!讓國家級地震警報更好用的「都會區強震預警精進計畫」
鳥苷三磷酸 (PanSci Promo)_96
・2024/01/21 ・2584字 ・閱讀時間約 5 分鐘

本文由 交通部中央氣象署 委託,泛科學企劃執行。

  • 文/陳儀珈

從地震儀感應到地震的震動,到我們的手機響起國家級警報,大約需要多少時間?

臺灣從 1991 年開始大量增建地震測站;1999 年臺灣爆發了 921 大地震,當時的地震速報系統約在震後 102 秒完成地震定位;2014 年正式對公眾推播強震即時警報;到了 2020 年 4 月,隨著技術不斷革新,當時交通部中央氣象局地震測報中心(以下簡稱為地震中心)僅需 10 秒,就可以發出地震預警訊息!

然而,地震中心並未因此而自滿,而是持續擴建地震觀測網,開發新技術。近年來,地震中心執行前瞻基礎建設 2.0「都會區強震預警精進計畫」,預計讓臺灣的地震預警系統邁入下一個新紀元!

-----廣告,請繼續往下閱讀-----

連上網路吧!用建設與技術,換取獲得地震資料的時間

「都會區強震預警精進計畫」起源於「民生公共物聯網數據應用及產業開展計畫」,該計畫致力於跨部會、跨單位合作,由 11 個執行單位共同策畫,致力於優化我國環境與防災治理,並建置資料開放平台。

看到這裡,或許你還沒反應過來地震預警系統跟物聯網(Internet of Things,IoT)有什麼關係,嘿嘿,那可大有關係啦!

當我們將各種實體物品透過網路連結起來,建立彼此與裝置的通訊後,成為了所謂的物聯網。在我國的地震預警系統中,即是透過將地震儀的資料即時傳輸到聯網系統,並進行運算,實現了對地震活動的即時監測和預警。

地震中心在臺灣架設了 700 多個強震監測站,但能夠和地震中心即時連線的,只有其中 500 個,藉由這項計畫,地震中心將致力增加可連線的強震監測站數量,並優化原有強震監測站的聯網品質。

-----廣告,請繼續往下閱讀-----

在地震中心的評估中,可以連線的強震監測站大約可在 113 年時,從原有的 500 個增加至 600 個,並且更新現有監測站的軟體與硬體設備,藉此提升地震預警系統的效能。

由此可知,倘若地震儀沒有了聯網的功能,我們也形同完全失去了地震預警系統的一切。

把地震儀放到井下後,有什麼好處?

除了加強地震儀的聯網功能外,把地震儀「放到地下」,也是提升地震預警系統效能的關鍵做法。

為什麼要把地震儀放到地底下?用日常生活來比喻的話,就像是買屋子時,要選擇鬧中取靜的社區,才不會讓吵雜的環境影響自己在房間聆聽優美的音樂;看星星時,要選擇光害比較不嚴重的山區,才能看清楚一閃又一閃的美麗星空。

-----廣告,請繼續往下閱讀-----

地表有太多、太多的環境雜訊了,因此當地震儀被安裝在地表時,想要從混亂的「噪音」之中找出關鍵的地震波,就像是在搖滾演唱會裡聽電話一樣困難,無論是電腦或研究人員,都需要花費比較多的時間,才能判讀來自地震的波形。

這些環境雜訊都是從哪裡來的?基本上,只要是你想得到的人為震動,對地震儀來說,都有可能是「噪音」!

當地震儀靠近工地或馬路時,一輛輛大卡車框啷、框啷地經過測站,是噪音;大稻埕夏日節放起絢麗的煙火,隨著煙花在天空上一個一個的炸開,也是噪音;台北捷運行經軌道的摩擦與震動,那也是噪音;有好奇的路人經過測站,推了推踢了下測站時,那也是不可忽視的噪音。

因此,井下地震儀(Borehole seismometer)的主要目的,就是盡量讓地震儀「遠離塵囂」,記錄到更清楚、雜訊更少的地震波!​無論是微震、強震,還是來自遠方的地震,井下地震儀都能提供遠比地表地震儀更高品質的訊號。

-----廣告,請繼續往下閱讀-----

地震中心於 2008 年展開建置井下地震儀觀測站的行動,根據不同測站底下的地質條件,​將井下地震儀放置在深達 30~500 公尺的乾井深處。​除了地震儀外,站房內也會備有資料收錄器、網路傳輸設備、不斷電設備與電池,讓測站可以儲存、傳送資料。

既然井下地震儀這麼強大,為什麼無法大規模建造測站呢?簡單來說,這一切可以歸咎於技術和成本問題。

安裝井下地震儀需要鑽井,然而鑽井的深度、難度均會提高時間、技術與金錢成本,因此,即使井下地震儀的訊號再好,若非有國家建設計畫的支援,也難以大量建置。

人口聚集,震災好嚴重?建立「客製化」的地震預警系統!

臺灣人口主要聚集於西半部,然而此區的震源深度較淺,再加上密集的人口與建築,容易造成相當重大的災害。

-----廣告,請繼續往下閱讀-----

許多都會區的建築老舊且密集,當屋齡超過 50 歲時,它很有可能是在沒有耐震規範的背景下建造而成的的,若是超過 25 年左右的房屋,也有可能不符合最新的耐震規範,並未具備現今標準下足夠的耐震能力。 

延伸閱讀:

在地震界有句名言「地震不會殺人,但建築物會」,因此,若建築物的結構不符合地震規範,地震發生時,在同一面積下越密集的老屋,有可能造成越多的傷亡。

因此,對於發生在都會區的直下型地震,預警時間的要求更高,需求也更迫切。

-----廣告,請繼續往下閱讀-----

地震中心著手於人口密集之都會區開發「客製化」的強震預警系統,目標針對都會區直下型淺層地震,可以在「震後 7 秒內」發布地震警報,將地震預警盲區縮小為 25 公里。

111 年起,地震中心已先後完成大臺北地區、桃園市客製化作業模組,並開始上線測試,當前正致力於臺南市的模組,未來的目標為高雄市與臺中市。

永不停歇的防災宣導行動、地震預警技術研發

地震預警系統僅能在地震來臨時警示民眾避難,無法主動保護民眾的生命安全,若人民沒有搭配正確的防震防災觀念,即使地震警報再快,也無法達到有效的防災效果。

因此除了不斷革新地震預警系統的技術,地震中心也積極投入於地震的宣導活動和教育管道,經營 Facebook 粉絲專頁「報地震 – 中央氣象署」、跨部會舉辦《地震島大冒險》特展、《震守家園 — 民生公共物聯網主題展》,讓民眾了解正確的避難行為與應變作為,充分發揮地震警報的效果。

-----廣告,請繼續往下閱讀-----

此外,雖然地震中心預計於 114 年將都會區的預警費時縮減為 7 秒,研發新技術的腳步不會停止;未來,他們將應用 AI 技術,持續強化地震預警系統的效能,降低地震對臺灣人民的威脅程度,保障你我生命財產安全。

文章難易度

討論功能關閉中。

鳥苷三磷酸 (PanSci Promo)_96
194 篇文章 ・ 297 位粉絲
充滿能量的泛科學品牌合作帳號!相關行銷合作請洽:contact@pansci.asia

0

4
0

文字

分享

0
4
0
物聯網世代資安保護的熱門選擇——新型「加密金鑰」PUF 技術
科技大觀園_96
・2022/02/06 ・1831字 ・閱讀時間約 3 分鐘

隨著萬物聯網時代到來,越來越多數據以數位化方式儲存共享,架構安全性也越來越受到重視。就在今年 5 月,美國賓州大學研究團隊開發出一種基於石墨烯的 PUF(Physically Unclonable Function),能夠有效防範利用 AI 模型的新型攻擊,使加密金鑰更難以被破解。

石墨烯是一種由碳原子以 sp2 混成軌域組成六角型呈蜂巢晶格的平面薄膜,只有一個碳原子厚度的二維材料。圖/pixabay

什麼是 PUF?

要解釋什麼是 PUF,就得先理解物聯網(Internet of Things , IoT)的概念。簡單來說,物聯網就是讓設備裝上感測器、軟體及技術來相互連接傳輸資料所形成的網路,是很多產業智慧化的基礎,然而很容易就可以想像這種便利性同時也帶來更高的資安風險,由於物聯網設備涵蓋的領域相當廣泛,駭客從許多層面都可以發動攻擊。

物聯網是讓設備相互連接傳輸資料所形成的網路。圖/pixabay

過去談到物聯網的資訊安全,許多人都會先想到軟體及網路加密連線,但其實除了網路層面的安全防護,實體設備同樣存在著威脅。一旦出現仿冒晶片或其他問題,駭客就可能透過網路遠端控制設備獲得金鑰和其他敏感資訊,進而造成企業損失。以軟體為主的資安設計已不再足以提供全面保障,這也是為什麼基於硬體的安全技術開始逐年受到青睞。

全名為「物理不可仿製功能」 的 PUF 就是這樣一種硬體安全技術。透過半導體製程中引入的隨機變數,讓晶片在微觀結構上產生些許差異,在變數無法預測及控制的情況下,複製該晶片成為幾乎不可能的事,減少遭人逆向工程或操作的擔憂。這樣的隨機性、唯一性及不可複製性,讓 PUF 彷彿成為一種「晶片指紋」的存在,因此自然也變成新世代資安「零信任」(Zero Trust)架構下的熱門選擇。

-----廣告,請繼續往下閱讀-----

不同於傳統資訊加密技術將密鑰儲存在設備的方式,PUF 技術主要使用一個客製應用積體電路(Application Specific Integrated Circuit , ASIC)或現場可程式閘陣列(Field Programmable Gate Array , FPGA)就可以完成,透過製造時挑戰/反應數據庫(Challenge/Response)的建立,便能在無須加密認證演算法的情況下對設備進行驗證,防止身分被竊取、竄改的同時,也免除了將私鑰儲存在設備的額外成本以及金鑰遺失的風險。

自 2013 年開始,PUF 已經開始逐漸受到重視,只是就像所有的密碼學應用一樣,儘管 PUF 技術存在著這些驚人特性,駭客攻擊手法也仍在持續演化中。國外一些研究已經證明,透過機器學習,AI 技術還是可能預測出密鑰並獲取數據,因此針對 PUF 技術的改良研發也仍在持續進步中。

以賓州大學團隊 5 月公布在《 Nature Electronics 》的最新研究為例,工程科學與力學助理教授 Saptarshi Das 就進一步結合了石墨烯(Graphene)的諸多特性,開發出一種新型低功耗、可擴展及可重構的 PUF,在面對 AI 攻擊時也能保持顯著彈性不易被入侵。

據研究人員表示,透過石墨烯獨特的物理和電學性質,新型 PUF 更加節能、可延展,即使受到 AI 攻擊試圖預測金鑰,受損的系統也可以在不需要額外硬體或更換元件的情況下重新配置過程並生成新密鑰,藉此有效抵抗對傳統矽製 PUF 構成威脅的 AI 攻擊。

-----廣告,請繼續往下閱讀-----

隨著物聯網走入各大產業、設備數量大規模增長,可想見更嚴峻的資安挑戰也即將到來。目前國內廠商及研究團隊許多針對 PUF 的努力正在進行,除了矽智財知名大廠力旺開發的 NeoPUF 技術,成功大學電機系張順志教授進行的研究也是其中之一。

在「具高安全性且低耗能之物聯網晶片電路及系統之分析、設計及實作」整合型計劃中,張教授希望透過超低功耗之類比數位轉換器設計技術及內建物理密鑰技術、 AI 輔助訊號轉換電路設計技術的研發,來提升物聯網晶片的安全性與穩定性。據了解,該項目已經進入後期階段,將基於先前的經驗嘗試完成整個物聯網系統的實體整合與量測驗證。

資料來源

  1. 初探物聯網安全趨勢下PUF晶片安全發展機會|跨域資安強化產業推動計畫網站 ACW
  2. 具高安全性且低耗能之物聯網晶片電路及系統之分析、設計及實作-子計畫三:應用於高安全性且低耗能物聯網系統的類比至數位轉換器之研製( I )
  3. Stabilization in Physically Unclonable Constants
  4. Graphene key for novel hardware security | Penn State University

科技大觀園_96
82 篇文章 ・ 1123 位粉絲
為妥善保存多年來此類科普活動產出的成果,並使一般大眾能透過網際網路分享科普資源,科技部於2007年完成「科技大觀園」科普網站的建置,並於2008年1月正式上線營運。 「科技大觀園」網站為一數位整合平台,累積了大量的科普影音、科技新知、科普文章、科普演講及各類科普活動訊息,期使科學能扎根於每個人的生活與文化中。

0

5
0

文字

分享

0
5
0
新技術 PGPP 問世,將能保障通訊網路的資安問題與個資隱私性
科技大觀園_96
・2022/01/30 ・3139字 ・閱讀時間約 6 分鐘

-----廣告,請繼續往下閱讀-----

新冠肺炎疫情在國際間蔓延接近兩年,疫情前期政府推出「電子圍籬」系統,透過手機監測居家隔離者是否違規外出,卻也衍生出人民隱私遭到侵犯的討論。但事實上,早在疫情前電信商就能取得使用者身分與手機位置的資料。即使關閉 GPS,日常手機在與周邊基地台交換數據的過程中,就需要提供裝置身分識別與位置資訊。當電信公司將相關資訊販賣給資料仲介(data broker)等第三方,或是資訊傳輸過程被駭客竊取,便可能造成潛在的資安問題。

因此,南加州大學(University of Southern California)研究團隊便提出一項新技術-Pretty Good Phone Privacy (PGPP),嘗試在確保服務品質的情況下,保護裝置使用者位置的隱私性。

手機在與周邊基地台交換數據的過程中,就會洩漏裝置身分識別與位置資訊,有機會造成資安問題。圖/pixabay

身分驗證:通訊網路如何識別用戶與提供服務

「我們在不知不覺間同意讓手機變相成為行蹤跟監裝置,但直到今天我們對現況仍然沒有其他選擇-使用手機等於同意接受跟監。」PGPP 研究者 Barath Raghavan 表示。另一位研究者 Paul Schmitt 則進一步指出,現有通訊網絡的問題在於身分驗證與提供通訊服務使用的透過相同的管道進行。不僅讓電信商能利用這些敏感資訊尋求商業利益,也讓駭客有機會從外部透過技術取得使用者的敏感資訊。

不過,想了解使用者訊息是如何在環環相扣的網絡中被蒐集,甚至面臨被竊取的風險,必須先從手機如何取得通訊服務講起。

-----廣告,請繼續往下閱讀-----

日常生活中,手機在接收資訊時,需要與遍布周遭的基地台與通訊網路取得聯繫,由各個基地台以六角形的方式構成的通訊網絡,也稱作蜂巢式網絡(Cellular network)。為了提供收發資訊的服務,手機需要藉由無線電波與網絡中的基地台驗證身分,確認裝置為付費用戶後通訊網絡便可以開始提供其他服務。

進一步以 5G 服務為例,5G 架構可以分為 NG-RAN(Next Generation Radio Access Network)與 NGC(Next Generation Core)兩部分(如圖一):(1)NG-RAN 由手機(UE)與基地台(gNodeB)組成,手機可以透過基地台手機連接到NGC。(2)NGC 則提供身分驗證、計費、簡訊和資料連接等服務,包含 AMF(Access and Mobility Management Function)、AUSF(Authentication Server Function)、SMF(Session Management Function)和 UPF(User Plane Function)五個部分。其中 AMF 主要負責與手機溝通、AUSF 負責驗證、SMF 和 UPF 則提供 IP 位置與連線服務。

連網過程中,手機會透過最鄰近的基地台將儲存於 SIM 卡中的身分識別碼-SUPI(Subscription Permanent Identifier)在 4G 中稱作 IMSI(International Mobile Subscriber Identity)傳送給 AMF,此時 AUSF 會對 SUPI 進行驗證確保此手機是有效用戶。通過驗證後,SMF 與 UPF 便會提供 IP 位置與開放網路服務。而在驗證過程中,電信商的 AUSF 資料庫會記錄所有透過它取得網服務的 SUPI 以及其他註冊資訊。由於每個 SUPI 都是全球唯一且永久的識別碼,因此除了電信商,對有意監控手機用戶的人而言,SUPI 也成為一個極具價值的目標。

(圖一)現有通訊網絡運作時,身分驗證與網路服務由同一管道完成。圖/usenix

基地台定位系統可能成為駭客攻擊的跳板

此外,敏感資訊在前面提到的層層傳輸過程中也面臨駭客的威脅,駭客可以透過被動擷取與主動蒐集兩種方式,掌握用戶的 SUPI/IMSI 與位置資訊,並進行一連串後續的侵權行為。

-----廣告,請繼續往下閱讀-----

被動擷取是利用手機與基地台溝通之間的漏洞來達成目的。例如,近年基地台模擬器-IMSI 擷取器(IMSI catchers)或俗稱魟魚逐漸興起,利用手機會自動連接到鄰近最強訊號源(通常是基地台),並提供自身 SUPI/IMSI 以供驗證的特性。IMSI 擷取器發送強於周圍合法基地台的訊號,藉此取得用戶的識別碼,讓監控者可以辨識與監聽未加密的用戶通訊內容,其實這種作法早已在情報單位與極權國家被廣泛地利用。

雖然現有通訊網路嘗試提供暫時性驗證碼-如 GUTI(Globally Unique Temporary UE Identity)來代替 SUPI。只要手機成功連到網路,便會用 GUTI 代替 SUPI,成為該手機的臨時標籤,減少 SUPI 暴露在網絡傳輸過程的次數。但就算 GUTI 會由 AMF 定期更換,實務經驗指出 GUTI 對於使用者隱私的保護有限,駭客仍可以透過技術將 GUTI 去匿名化,進而掌握特定個人的行蹤。

除了被動擷取資訊,駭客還可以利用基地台呼叫(paging)定位的原理主動地發動攻擊。為了能快速定位用戶位置以確保通訊服務能被送達,電信商會將數個基地台覆蓋區域組成一個追蹤區域(tracking area),並且如果有訊息傳送到閒置中的手機時,基地台會要求手機回傳臨時識別碼。駭客在不知道用戶位置與身分識別碼的情況下,可以頻繁地撥打電話給鄰近追蹤區域內的裝置再迅速掛斷。用戶手機可能根本不會跳出通知,但駭客卻可以利用追蹤區域的基地台呼叫訊息,在短時間內定位出用戶的大略位置,甚至進一步可以癱瘓與綁架目標用戶手機服務。

值得一提的是,儘管 5G 技術在保護隱私上做了許多改進。但 5G 訊號使用更高的頻段,提供高傳輸速率與低延遲服務的同時,也伴隨通訊距離、覆蓋範圍較 4G 小的限制。為了確保通訊服務便需要提高基地台密度,等於變相讓電信商與駭客能更準確定位使用者的位置。

-----廣告,請繼續往下閱讀-----

PGPP:將身分識別驗證與網路服務分開進行

雖然個人行蹤隱私與手機識別訊息洩漏會造成龐大的社會成本,但要透過改變現有通訊網絡硬體設計,達到保護個資的目的,也需面臨設備更新成本巨大的挑戰。因此 PGPP 嘗試從軟體的角度解決問題,讓用戶可以透過 PGPP 保護自己的行蹤隱私。

「解決問題的關鍵在於,如果要希望保持匿名性,又要怎麼讓通訊網絡驗證你是合法的使用者?」Barath Raghavan 說。為了將身分驗證與網路服務的過程拆開,PGPP 使用了加密標記(Token)與代理伺服器的概念。在 PGPP 的協定中,付費用戶可以從電信商取得一個加密標記。而所有用戶第一次連接到基地台時,使用的是一樣的 SUPI/IMSI,讓使用者連結到代理伺服器的驗證畫面(PGPP-GW),並以加密代幣進行驗證。過程中電信商與駭客只能看到所有用戶都使用同樣的 SUPI/IMSI 與 IP 位置進行連網,如此一來,身分識別資訊與基地台資訊就能夠完成分離(圖二)。

(圖二)PGPP 將用戶去識別化。圖/usenix

此外,為了解決駭客利用追蹤區域基地台呼叫訊息來定位用戶,PGPP 為每個手機隨機客製不同的追蹤區域,而非傳統地由電信商定義出追蹤區域。如此一來,駭客即便取得追蹤區域編號也無法得知用戶實際所處的位置在哪裡(圖三)。

(圖三)相較傳統通訊網絡由電信商設定劃定追蹤區域(tracking area),PGPP 為每個用戶隨機劃分追蹤區域,不易被駭客追蹤。圖/usenix

為了能真實測試 PGPP,Barath Raghavan 與 Paul Schmitt 甚至成立了一家新創公司-Invisv。結果顯示 PGPP 在保護個資的同時,也幾乎不會有延遲增加、流量過載,以及其他匿名網路會遇到的延展性問題。由於 PGPP 只是停止讓手機向基地台傳送自己的身分,因此其他定位功能還是可以正常使用。

-----廣告,請繼續往下閱讀-----

最後,Barath Raghavan 也指出現在是人類有史以來第一次,幾乎每個人無時無刻的行蹤都能及時地被掌握。但人們常常默許地將關於自身資訊的控制權交給大公司與政府,PGPP 的發明就是希望在這樣的洪流中取回一些對自身隱私的控制權。

資料來源

  1. Pretty Good Phone Privacy
  2. Is Your Mobile Provider Tracking Your Location? This New Technology Could Stop It.
  3. 4G、5G技術漏洞可讓駭客追蹤用戶地點、癱瘓手機、攔截通話內容
科技大觀園_96
82 篇文章 ・ 1123 位粉絲
為妥善保存多年來此類科普活動產出的成果,並使一般大眾能透過網際網路分享科普資源,科技部於2007年完成「科技大觀園」科普網站的建置,並於2008年1月正式上線營運。 「科技大觀園」網站為一數位整合平台,累積了大量的科普影音、科技新知、科普文章、科普演講及各類科普活動訊息,期使科學能扎根於每個人的生活與文化中。