Loading [MathJax]/extensions/tex2jax.js

1

1
0

文字

分享

1
1
0

電腦支援 Windows 8,作業系統開機鑰匙不在你家 (「信任運算」 的真諦)

洪朝貴
・2011/10/10 ・3240字 ・閱讀時間約 6 分鐘 ・SR值 492 ・五年級

-----廣告,請繼續往下閱讀-----

電腦廠商將強迫你 '信任' windows 8, 禁止你用別的光碟/隨身碟開機
電腦廠商將強迫你 '信任' windows 8, 禁止你用別的光碟/隨身碟開機

Windows 8 測試版已釋出, 微軟歡迎大家免費下載。 不過先別急著下載 Windows 8 作業系統: 從不來恩大大所貼的快照看起來, 它的介面對於繁體中文的支援好像還不太完整。 但本文的重點既不是要推薦, 也不是要反推薦微軟的 Windows 8 產品, 而是要警告消費者別購買那些貼有 “Designed for Windows 8” 標籤的電腦。 這種電腦其實是詐騙你金錢又傷害你權利的黑心商品, 消基會應該出面調查。 你花錢所買到的硬體, 其實並不屬於你 — 因為作業系統開機鑰匙不在你家, 而在電腦硬體廠商那裡。 貼心的電腦硬體廠商, 為了你的安全著想, 已經幫你決定好了: 他們只准許你 “信任”微軟所提供的作業系統。

貼有 “Designed for Windows 8” 標籤的電腦, 必定支援 UEFI。 這是燒在主機板上, 即將取代 BIOS 的新軔體。 據稱 UEFI 有很多優點, 這些方面貴哥沒有研究, 也就不多談了。 但其中一個優點, 貴哥很確定是一個詐騙文宣: 根據 UEFI 官網的說法, “secure boot” 讓你的電腦更加安全, 免於不明安全更新、 不明開機程式的入侵。 (維基百科的中文頁面不知為什麼把最重要的 “criticism” 那一節以及談論 “secure boot” 的地方給省略掉了; 建議參考英文版。)

簡單地說, 每次電腦開機時, secure boot 機制會檢查是誰 (哪一個作業系統) 想要開機。 如果是 「官方認可的作業系統」, 就可以正常開機; 如果是阿貓阿狗拼裝出來的作業系統 (例如貴哥從網路上撿來 slax 或 simplymepis 所改裝出來的 百毒不侵救命碟, 或是其他 linux 開機光碟) 就禁止開機, 因為邪惡的阿貓阿狗阿貴沒得到硬體廠商官方的認可, 就妄想要啟動你的電腦, 這根本就是惡意入侵! 微軟大力鼓吹的 「信任運算」 (Trusted Computing; 中國翻譯 「可信計算」) 機制, 指定採用 UEFI 的 secure booting 功能; 也就是說: 有了 UEFI 的 secure booting 的機制, 你終於安全了、 終於可以信任你的電腦了。 嗎?

唯一的一個小問題是: 要信任誰, 並不是由你自己決定的, 而是由電腦廠商替你決定的。 表面上說的是: 消費者沒有能力自行判斷要信任誰 (“微軟或貴哥?”), 如果放任傻傻的消費者自己隨便用光碟或隨身碟開機, 有可能會被 rootkit 和其他惡意軟體入侵。 但真實的用意是: 如果允許消費者改用其他作業系統, 他可能會自行使用 (圖文影音) 替代播放軟體來破解 遙控數位枷鎖 所設下的黃金手銬、 鑽石腳鐐。 消費者可能會盜版影片音樂。 如果讓消費者自己決定要信任誰, 那麼資訊大廠將無法信任消費者。 所以由硬體廠商來決定誰值得消費者信任, 比較安全, 因為硬體廠商會聽命於資訊大廠。 換個方式說: 有了 UEFI 的 secure booting 的機制, 資訊大廠終於可以信任消費者, 你, 不會 “濫用” “你的” 電腦來閃躲大廠的監控了。 因為 “你的” 電腦其實已經不再替你服務, 而是在替資訊大廠服務。 因為 “你的” 電腦的開機鑰匙不在你家, 而在硬體廠商手中; 但是那一把錀匙, 很可能只替微軟及其共犯廠商的產品服務。

-----廣告,請繼續往下閱讀-----

影片: 信任運算 (Trusted Computing) 的真相

諷刺的是, 歷史告訴過我們: 用 rootkit 惡意入侵電腦的, 並不是貴哥或其他阿貓阿狗這類汲汲於 「以誠信建立網路聲譽」 的小咖, 而是跟微軟一樣強大、 即使重複做很多次壞事被抓包也不怕消費者停止購買它產品的資訊大廠 — Sony。 2005 年, Sony BMG 入侵消費者電腦。 消費者買了 Sony BMG 的音樂 CD, 如果放在 CD 播放器或 DVD 播放器裡聽, 是好聽的音樂。 但如果不小心放到 Windows 底下播放, 那麼這張音樂 CD 就會在消費者的 Windows 裡面暗植 rootkit 後門程式。 Sony 的目的正是想在 Windows 裡面種植 DRM 機制。 此事在網路上被揭發之後, Sony BMG 的全球數位部門總裁說: 「唉喲, 一般人又不懂 rootkit 是什麼, 幹嘛在乎那麼多?」 但最有趣的還不是 Sony 顢頇的自衛態度, 而是 微軟與防毒軟體公司避不過問的態度。 如果你是微軟, 你的產品被 Sony 入侵, 你的客戶權益遭到侵犯, 什麼才是合理的反應? 如果是我, 第一要務當然是推出安全更新, 保障客戶的安全。 然後, 如果客氣一點就警告大家別買這些 CD; 如果兇一點就對 Sony 提告。 但是微軟卻什麼也沒做。 好幾個月。 防毒軟體公司也是。 收你的錢、 信誓旦旦地說要保護你的安全/值得你信任的公司, 在你的權益受到侵犯的時候, 竟然有這樣的態度, 未免有點… 既有趣又費解? 這是默許還是預謀共犯?

更加諷刺的是, 在接下來的 2006 年 fairuse4wm 事件 當中, 微軟一百八十度大反轉, 改採非常積極的態度推出安全更新。 這次是因為微軟新推出的 windows media player 突然禁止用戶自行備份 (屬於 DRM 機制的一種)。 網友 viodentia 於是撰寫 fairuse4wm — 顧名思意, 把備份資料的合理使用權重新交還給 WiMP 用戶 — 並上網分享。 這次微軟動作倒是很快, 十天內就推出 「安全更新」, windows 用戶升級安全更新之後, 就 無法使用 fairuse4wm (怎麼可以講這麼白) … 應該是說, 咳咳, 不用擔心再被 「不安全」 的 fairuse4wm 「入侵」。 (???) (我聽見那些 「受到微軟貼心保護, 堅定不渝 信任 微軟善意」的用戶、 答不出來自己替僱主還是微軟服務的電算中心主任 或是 職業道德被出賣掉的 CIO 說: 「感謝微軟大恩大德! 謝主隆恩! 跪拜 orz! 這麼好的服務, 請多收我一點錢吧!」) Viodentia 很快地又推出新版繞過微軟的限制; 而微軟又推出安全更新阻止用戶使用 fairuse4wm; … 這樣來來回回很多次。 微軟這次如此積極地推出安全更新, 到底是在保護誰呢?

6 張圖認識老大哥: DRM、 信任運算、 DMCA 反規避條款
6 張圖認識老大哥: DRM、 信任運算、 DMCA 反規避條款

歷史告訴我們: 某些資訊大廠不僅決定 不信任你, 甚至聯手詐騙你, 入侵你的電腦。 那麼, 請問, 消費者, 你, 信任誰? 唔, 對不起, 我問錯人了。 信任誰, 不是由你, 消費者自行決定的。 我應該問那一家賣電腦給你的硬體廠商才對。 嗯, 他們說: 「我們很確定每一位消費者都信任微軟。 所以消費者買的電腦上面, 我們只允許微軟的作業系統執行。 這樣才安全。 『你信任誰, 我們說了算』 這就是信任運算的真諦。」 若想進一步深究信任運算, 請見 EFF 的文章; 若想進一步瞭解 DRM、 信任運算、 DMCA 反規避條款之間的關係, 以及老大哥如何用串聯這些機制來控制世界, 請參考貴哥在 2006 年左右所畫的一張六格圖示和所寫的短篇小說 「迎接資訊人權貴時代」。 (這也是 「資訊人權貴」 名號的由來。) 關於 secure boot 的新聞以及它所引發的爭議, 請搜尋 「windows 8 linux」。

-----廣告,請繼續往下閱讀-----

OK, 最困難的部分解釋完了; 現在來修正一下標題, 補充一點細節。 更精確地說, 並不是每一部支援 Windows 8 的電腦都禁止你用別的作業系統。 如果電腦廠商願意替別的作業系統認證, 那麼這個幸運的作業系統也可以執行。 當然, 這個決定權還是在電腦廠商身上, 而不在你身上。 另外, 據說將來有些電腦會把 UEFI 的 secure boot 功能當做一個 「消費者可以自行決定 要開或要關」 的選項。 這種電腦把決定權還給消費者, 是正常的良心商品, 而不是綁架消費者的黃金手銬、 鑽石腳鐐; 這種電腦可以買。

不論你自己是否打算使用 linux 或其他作業系統, 不論你自己是否認同硬體廠商幫你做的決定 (“只准信任微軟”), 為了環保、 為了電腦回收時的下一位使用者, 請堅持只購買 「尊重消費者選擇權」 的電腦。 最簡單的方法, 就是在購買電腦之前, 先測試它是否支援隨身碟開機 — 不論是 「百毒不侵救命碟」、 其他類似的開機隨身碟、 或是各個版本的 linux 或 BSD 開機光碟都好。 最好用兩三個不同的冷門版本測試, 更能確定這部機器真的尊重你的選擇, 而不是只是正好允許你執行這個熱門版本的 linux。 (也順便測試它的音效/顯示等等硬體配備是否與一般標準配備相容。) 這也可以讓電腦賣場的員工知道: 「哇, 這傢伙居然會操作 linux! 連我都不敢碰的 linux! 這可不是一個好欺騙的電腦麻瓜。」 讓他們知道: 你懂得堅持自己保管開機鑰匙; 你主張 「誰值得信任」 這件事情, 應該由你自己決定, 而不是任由 (被微軟擺佈的) 硬體廠商替你決定。 購買新電腦時, 請堅持主張自己的消費者權益, 別讓電腦賣廠把你當傻瓜。

(轉載自 資訊人權貴ㄓ疑)

-----廣告,請繼續往下閱讀-----
文章難易度
所有討論 1
洪朝貴
47 篇文章 ・ 1 位粉絲

0

1
0

文字

分享

0
1
0
當心網路陷阱!從媒體識讀、防詐騙到個資保護的安全守則
鳥苷三磷酸 (PanSci Promo)_96
・2024/12/17 ・3006字 ・閱讀時間約 6 分鐘

-----廣告,請繼續往下閱讀-----

本文由 國家通訊傳播委員會 委託,泛科學企劃執行。 

網路已成為現代人生活中不可或缺的一部分,可伴隨著便利而來的,還有層出不窮的風險與威脅。從充斥網路的惡假害訊息,到日益精進的詐騙手法,再到個人隱私的安全隱憂,這些都是我們每天必須面對的潛在危機。2023 年網路購物詐欺案件達 4,600 起,較前一年多出 41%。這樣的數據背後,正反映出我們對網路安全意識的迫切需求⋯⋯

「第一手快訊」背後的騙局真相

在深入探討網路世界的風險之前,我們必須先理解「錯誤訊息」和「假訊息」的本質差異。錯誤訊息通常源於時效性考量下的查證不足或作業疏漏,屬於非刻意造假的不實資訊。相較之下,假訊息則帶有「惡、假、害」的特性,是出於惡意、虛偽假造且意圖造成危害的資訊。

2018 年的關西機場事件就是一個鮮明的例子。當時,燕子颱風重創日本關西機場,數千旅客受困其中。中國媒體隨即大肆宣傳他們的大使館如何派車前往營救中國旅客,這則未經證實的消息從微博開始蔓延,很快就擴散到各個內容農場。更令人遺憾的是,這則假訊息最終導致當時的外交部駐大阪辦事處處長蘇啟誠,因不堪輿論壓力而選擇結束生命。

-----廣告,請繼續往下閱讀-----

同年,另一則「5G 會抑制人體免疫系統」的不實訊息在網路上廣為流傳。這則訊息聲稱 5G 技術會影響人體免疫力、導致更容易感染疾病。儘管科學家多次出面澄清這完全是毫無根據的說法,但仍有許多人選擇相信並持續轉發。類似的例子還有 2018 年 2 月底 3 月初,因量販業者不當行銷與造謠漲價,加上媒體跟進報導,而導致民眾瘋狂搶購衛生紙的「安屎之亂」。這些案例都說明了假訊息對社會秩序的巨大衝擊。

提升媒體識讀能力,對抗錯假訊息

面對如此猖獗的假訊息,我們首要之務就是提升媒體識讀能力。每當接觸到訊息時,都應先評估發布該消息的媒體背景,包括其成立時間、背後所有者以及過往的報導記錄。知名度高、歷史悠久的主流媒體通常較為可靠,但仍然不能完全放下戒心。如果某則消息只出現在不知名的網站或社群媒體帳號上,而主流媒體卻未有相關報導,就更要多加留意了。

提升媒體識讀能力,檢視媒體背景,警惕來源不明的訊息。圖/envato

在實際的資訊查證過程中,我們還需要特別關注作者的身分背景。一篇可信的報導通常會具名,而且作者往往是該領域的資深記者或專家。我們可以搜索作者的其他作品,了解他們的專業背景和過往信譽。相對地,匿名或難以查證作者背景的文章,就需要更謹慎對待。同時,也要追溯消息的原始來源,確認報導是否明確指出消息從何而來,是一手資料還是二手轉述。留意發布日期也很重要,以免落入被重新包裝的舊聞陷阱。

這優惠好得太誇張?談網路詐騙與個資安全

除了假訊息的威脅,網路詐騙同樣令人憂心。從最基本的網路釣魚到複雜的身分盜用,詐騙手法不斷推陳出新。就拿網路釣魚來說,犯罪者通常會偽裝成合法機構的人員,透過電子郵件、電話或簡訊聯繫目標,企圖誘使當事人提供個人身分、銀行和信用卡詳細資料以及密碼等敏感資訊。這些資訊一旦落入歹徒手中,很可能被用來進行身分盜用和造成經濟損失。

-----廣告,請繼續往下閱讀-----
網路詐騙手法不斷進化,釣魚詐騙便常以偽裝合法機構誘取敏感資訊。圖/envato

資安業者趨勢科技的調查就發現,中國駭客組織「Earth Lusca」在 2023 年 12 月至隔年 1 月期間,利用談論兩岸地緣政治議題的文件,發起了一連串的網路釣魚攻擊。這些看似專業的政治分析文件,實際上是在臺灣總統大選投票日的兩天前才建立的誘餌,目的就是為了竊取資訊,企圖影響國家的政治情勢。

網路詐騙還有一些更常見的特徵。首先是那些好到令人難以置信的優惠,像是「中獎得到 iPhone 或其他奢侈品」的訊息。其次是製造緊迫感,這是詐騙集團最常用的策略之一,他們會要求受害者必須在極短時間內作出回應。此外,不尋常的寄件者與可疑的附件也都是警訊,一不小心可能就會點到含有勒索軟體或其他惡意程式的連結。

在個人隱私保護方面,社群媒體的普及更是帶來了新的挑戰。2020 年,一個發生在澳洲的案例就很具有警示意義。當時的澳洲前總理艾伯特在 Instagram 上分享了自己的登機證照片,結果一位網路安全服務公司主管僅憑這張圖片,就成功取得了艾伯特的電話與護照號碼等個人資料。雖然這位駭客最終選擇善意提醒而非惡意使用這些資訊,但這個事件仍然引發了對於在社群媒體上分享個人資訊安全性的廣泛討論。

安全防護一把罩!更新裝置、慎用 Wi-Fi、強化密碼管理

為了確保網路使用的安全,我們必須建立完整的防護網。首先是確保裝置和軟體都及時更新到最新版本,包括作業系統、瀏覽器、外掛程式和各類應用程式等。許多網路攻擊都是利用系統或軟體的既有弱點入侵,而這些更新往往包含了對已知安全漏洞的修補。

-----廣告,請繼續往下閱讀-----

在使用公共 Wi-Fi 時也要特別當心。許多公共 Wi-Fi 缺乏適當的加密和身分驗證機制,讓不法分子有機可乘,能夠輕易地攔截使用者的網路流量,竊取帳號密碼、信用卡資訊等敏感數據。因此,在咖啡廳、機場、車站等公共場所,都應該避免使用不明的免費 Wi-Fi 處理重要事務或進行線上購物。如果必須連上公用 Wi-Fi,也要記得停用裝置的檔案共享功能。

使用公共 Wi-Fi 時,避免處理敏感事務,因可能存在數據被攔截與盜取的風險。圖/envato

密碼管理同樣至關重要。我們應該為不同的帳戶設置獨特且具有高強度的密碼,結合大小寫字母、數字和符號,創造出難以被猜測的組合。密碼長度通常建議在 8~12 個字元之間,且要避免使用個人資訊相關的詞彙,如姓名、生日或電話號碼。定期更換密碼也是必要的,建議每 3~6 個月更換一次。研究顯示,在網路犯罪的受害者中,高達八成的案例都與密碼強度不足有關。

最後,我們還要特別注意社群媒體上的隱私設定。許多人在初次設定後就不再關心,但實際上我們都必須定期檢查並調整這些設定,確保自己清楚瞭解「誰可以查看你的貼文」。同時,也要謹慎管理好友名單,適時移除一些不再聯繫或根本不認識的人。在安裝新的應用程式時,也要仔細審視其要求的權限,只給予必要的存取權限。

提升網路安全基於習慣培養。辨識假訊息的特徵、防範詐騙的警覺心、保護個人隱私的方法⋯⋯每一個環節都不容忽視。唯有這樣,我們才能在享受網路帶來便利的同時,也確保自身的安全!

-----廣告,請繼續往下閱讀-----

討論功能關閉中。

鳥苷三磷酸 (PanSci Promo)_96
222 篇文章 ・ 313 位粉絲
充滿能量的泛科學品牌合作帳號!相關行銷合作請洽:contact@pansci.asia

2

4
0

文字

分享

2
4
0
AI 戰警出動——抓出惡意程式,資訊安全有保障!
科技大觀園_96
・2022/02/27 ・3145字 ・閱讀時間約 6 分鐘

-----廣告,請繼續往下閱讀-----

數位戰警網路掃黑。圖/fatcat11 繪

網路數位世界黑影幢幢,美國有線電視新聞網 CNN 曾報導,全世界每天產生超過 100 萬個惡意程式;臺灣軟體聯盟也曾發布調查報告,全球企業因惡意程式攻擊,每年損失超過 10 兆新臺幣,相當於我國 109 年度政府總預算的 5 倍。駭客散播惡意程式橫行網路,不僅企業深受其害,各國政府也防不勝防。

行政院資通安全處偵測統計,我國各政府單位每月被攻擊次數高達 2,000 萬到 4,000 萬次。近期最受矚目的就是,總統府在蔡英文總統 520 連任就職前夕,驚傳遭駭客入侵電腦竊取資料;接著 5 月底美國資安公司「Cyble Inc」揭露駭客在暗網[1]兜售「臺灣全國戶政登記資料庫」超過 2,000 萬筆臺灣民眾個資,接連引發輿論譁然。

面對駭客無窮盡的闇黑攻擊,臺灣大學電機工程學系教授林宗男從 2018 年開始,帶領團隊利用資料科學處理分析,建立網路異常與攻擊預測模式,發展「AI Cyber Security」(人工智慧網路安全)系統,從偵測藏身於 Windows 與 Android 系統的惡意程式、暗網流量分類與網路惡意流量偵測等「四管齊下」,全面展開網路掃黑行動,防堵駭客散播惡意程式搞破壞。 

國立臺灣大學電機工程學系教授林宗男。圖/李宗祐攝

抓出惡意程式的 AI 網路安全系統

這項研究計畫今年邁進第 3 年,「我們做出來的技術,都是可以馬上用的真槍實彈!」林宗男透露,相關前瞻技術初步成果陸續發表後,「國家安全局就找上門,要跟我們技術合作。」隨著世界各國競相重點投資,引領 AI 成為國力象徵,研究團隊除了以建置臺灣國家級網路防禦系統為目標,更希望這套系統能夠推廣成為捍衛各國企業或組織的數位戰警。

-----廣告,請繼續往下閱讀-----

就如同 CNN 報導,全世界每天產生超過 100 萬個惡意程式,網路數位世界危機四伏;但值得注意的是,這個數據還是 2015 年的統計,現在恐怕有增無減。研究團隊以先發制人策略,杜絕惡意程式伸出魔爪,利用 CNN(Convolutional Neural Networks,卷積神經網路)模型[2]訓練 AI ,偵測是否有惡意程式潛伏在使用者電腦 Windows 或手機 Android 系統蠢蠢欲動。

Windows 與 Android 的惡意程式偵測

「我們的目標是在他還沒有執行之前,阻止惡意程式啟動。」面對五花八門的應用程式,研究團隊指出,使用者在下載執行前,「把程式的 exe 執行檔轉換成圖片檔,放進我們建立的模型,AI 就會告訴你這個程式是惡意程式的機率是多少。如果很高,就不要執行,避免系統被惡意程式感染。」林宗男強調,能夠辨認程式碼到底是惡意或者是正常,是確保網路安全最重要的基本功。

偵測惡意程式效率明顯提升 7.2%。把執行檔圖形化的方法更為安全,只看圖的結構,不會啟動執行檔,可以避免在偵測過程被感染。圖/林宗男實驗室提供

經過測試驗證,Windows 偵惡系統成功率與準確率達 88.9%,超越全球圖形處理器領導廠商 NVIDIA 發表的 AI 偵惡技術 7.2%。林宗男指出,很多軟體公司都競相投入研究,就過去已公開發表的研究論文,NVIDIA 抓駭效率暫時領先群雄;臺大團隊與擁有雄厚資源的 NVIDIA 研究團隊相較,就像是小蝦米與大鯨魚,能夠超越他們很不容易。「但這僅是初步研究結果,我們還在持續精進中。」 

相對於 Windows 偵惡系統獨立開發,Android 偵惡系統則是與日本 NICT(情報通信研究機構)合作研發,利用臺大團隊提出的新演算法,把 NICT 研發的 AI 偵惡系統抓駭效率從 92% 提升到 96.2%,青出於藍而勝於藍,讓日本團隊印象深刻。 

-----廣告,請繼續往下閱讀-----
Android 惡意程式偵測:研究團隊透過取出已知惡意程式的可執行檔特徵,並利用反混淆技術加入新的特徵,再透過 AI 演算法處理特徵,判斷是否為惡意 Android 程式。圖/林宗男實驗室提供

透過機器學習,分析暗網流量

雖然無法做到百分之百滴水不漏,但為了知已知彼,研究團隊更直搗黃龍,「潛水」暗網蒐集情資,分析駭客行為特徵。林宗男表示,駭客為了躲避追蹤,都在暗網活動,因為透過 TOR 瀏覽器加密,網管人員無法辨識使用者到底是在上網聊天、傳資料、發送 Email,還是看 YouTube 聽音樂或追劇等。對追蹤技術研究者而言,到暗網觀察駭客「水面下」的活動,是很重要的情資來源。 

研究團隊透過 AI 研究分析已知惡意程式的網路行為特徵,再側錄蒐集暗網不同使用者上傳流量與行為模式,找出「壞人經常走的路徑」,把暗網流量做善惡分類,研判哪些是正常上網行為,哪些是惡意程式發動攻擊。林宗男舉例,就像防疫期間每個人都戴著口罩,但年紀大的和年紀輕的行為就是不一樣,「我們就是利用 AI 從行為特徵分辨使用者上網行為是否正常。」 

研究成果經與美國 IBM 和中華電信合作驗證測試,辨識率高達 99.6%,遠超過加拿大研究團隊的 81.6%。對 ISP(網路服務供應商)而言,若能明確辨識暗網流量分類,就不必把看影片或聽音樂等受到惡意攻擊可能性極低的影音串流,全部導入 IDS(入侵檢測系統)資安偵測,大幅節省資源。

暗網流量類型分類:臺大研究團隊利用 AI 演算法分析網路流量特徵,把經過匿名加密的流量分門別類,協助網管人員有效而安全的管理網路。圖/林宗男實驗室提供

惡意流量偵測,鞏固第 2 道防線

研究團隊也利用最近 3 年眾所周知的 10 種惡意程式,包括 2017 年肆虐全球的勒索軟體 WannaCry(想哭)進行惡意流量偵測「實兵演練」。畢竟惡意程式偵測不可能做到百分之百,漏網之魚在所難免。根據資安調查顯示,惡意程式滲透入侵電腦系統之後,平均長達 56 天才會被發現。 

-----廣告,請繼續往下閱讀-----

「惡意流量偵測其實是第 2 道防線!發生惡意流量代表電腦已經中毒了,我們的目標是在最短時間偵測出惡意流量。」林宗男透露,跨國網路科技公司 CISCO 現有商用偵測系統精確度已達 97.7%,「我們做得再好,也僅能微幅提升到 98.2%。」研究團隊再發揮 3 個臭皮匠勝過 1 個諸葛亮的精神,把 2 套系統截長補短,將精確度再向上提升 0.3%,堅持沒有最好、只有更好的信念,鍥而不捨地挑戰不可能的任務。

惡意流量偵測:研究團隊透過 AI 研究分析已知惡意程式的網路行為特徵,加速偵測發現網路異常流量,並揪出潛伏在網海裡面興風作浪的惡意程式。圖/林宗男實驗室提供

eID 的潛在風險

然而,林宗男也深知,資安不可能做到百分之百的絕對安全。當內政部決定在明年全面換發 new eID 數位身分證,建置 T-Road(政府資料傳輸平臺),打造跨政府機關資料通道網路,推動「一卡多用」串聯戶籍資料、健保資料庫、汽機車駕照交通監理資料、國民年金與勞保勞退年金等,同時政府也將讓 new eID 擁有線上交易完整性與不可否認性,做為電子商務交易憑證。林宗男對此呼籲政府應正視 new eID 缺乏法源依據的問題,更要從資訊安全的角度,重新審慎評估全面換發數位身分證的必要性。 

「透過 new eID 建置 T-Road 聽起來好像很方便、很進步,但對駭客而言,要偷取全國 2,300 萬人的資料,也非常方便。一旦出現資安破口,整個系統就會因單點失效而全面瓦解。」林宗男說,「new eID 把國人從出生到死亡所有資料全部放在 T-Road,我們都知道網路沒有絕對安全,還要把所有的東西全部放在一個籃子裡面嗎?」政府應該要有分散風險的危機意識,數位身分證絕對不能「一卡多用」。  

註解

  1. 利用 TOR(The Onion Router 洋蔥路由器)瀏覽器遮蔽使用者真實位址,避開網管系統追蹤的匿名網路。
  2. 參考人類大腦視覺組織建立的深度學習模型。
-----廣告,請繼續往下閱讀-----
所有討論 2
科技大觀園_96
82 篇文章 ・ 1126 位粉絲
為妥善保存多年來此類科普活動產出的成果,並使一般大眾能透過網際網路分享科普資源,科技部於2007年完成「科技大觀園」科普網站的建置,並於2008年1月正式上線營運。 「科技大觀園」網站為一數位整合平台,累積了大量的科普影音、科技新知、科普文章、科普演講及各類科普活動訊息,期使科學能扎根於每個人的生活與文化中。

1

20
4

文字

分享

1
20
4
大資訊時代也是大駭客時代!——你該認識的駭客新興手法
科技大觀園_96
・2022/01/21 ・2496字 ・閱讀時間約 5 分鐘

-----廣告,請繼續往下閱讀-----

正在瀏覽這篇文章的你,很可能正被看不見的腥風血雨所籠罩——這不是危言聳聽,因為第三次世界大戰的戰場,極有可能就發生在網路上。網路與數位化的浪潮勢不可擋,面對資安環境高速變遷帶來的新興風險,我們又該如何自保防身?來聽聽資安專家——中山大學資訊管理系陳嘉玫教授怎麽說!

方便與安全,兩者不可兼得也

註冊或登入會員、設定和輸入密碼、提供各種個資如網頁瀏覽記錄,來換取和生活大小事離不了關係的線上服務,已經是數位原住民的日常。而在高度依賴網路、講求高效率的今日,我們都希望電腦軟體和手機 APP 的使用能越方便越好,但一味追求便捷,卻可能讓自己露出資安破綻,叫不法分子有機可乘。

陳嘉玫
陳嘉玫教授。圖/中山大學管理學系

「越安全的東西,越不方便使用。」陳嘉玫教授指出,安全與方便自古兩難全,如何找到兩者之間的平衡就是關鍵。

資工系出身、喜歡寫程式的陳教授,曾在美國花旗銀行全球資訊網路研究總部擔任要職。該企業内部一切開發需求重視安全遠勝於方便的嚴謹文化,成為她日後投身資安領域的契機。

客制化誘餌與駭客聯盟,讓威脅更升級

科技的進步,也見證駭客攻擊手法的進化錄。研究網路安全多年的陳教授指出,每個時期的使用者都有不同的使用習慣,從早期的電子郵件,到現在的臉書和 Line 群組,都是心懷不軌者潛伏之處。他們長期觀察和收集目標攻擊對象相關資訊、和刺探目標網路,利用人性的弱點,客製化各種引人上鈎的「誘餌」,來獲得他們想要的機密資訊。這就是網路犯罪最常見的社交工程(Social engineering)攻擊和釣魚式攻擊。

-----廣告,請繼續往下閱讀-----
社交軟體
駭客會利用社交軟體散播許多客製化的釣魚攻擊。圖/pixabay

過去駭客都單打獨鬥,但現在也出現分工明確、系統化的「駭客聯盟」。目前的攻擊趨勢,也演變成更危險的進階持續性威脅攻擊(Advanced Persistent Threats,簡稱 APT)。APT 是針對一個特定組織,長期滲透、客製化且多階段的網路攻擊。為了全方面瞭解目標攻擊對象、擬定有效戰略,駭客除了進行技術面的研究,會對目標組織做身家調查,包括員工名單、財務狀況、社交活動、社群網路留言。APT 棘手之處在於,如果一個戰術行不通,駭客會持之以恆,不斷嘗試直到找出破口。

「韓國黑暗日」(Dark Korea),就是著名的 APT 攻擊事件之一。這場韓國史上最大駭客攻擊,推論是由北韓主導,至少歷經八個月的精心策劃。駭客偷渡惡意程式到多家電視媒體與金融服務的電腦與伺服器,進行破壞性攻擊,造成各項服務停擺多日,韓國將這次攻擊視為國家級的戰爭行為。

如今「資訊即權力」當道,國家勢力著手培養駭客已不是新聞,不少國家也紛紛成立不需要一槍一彈的「第四軍種」——資通電軍 (俗稱網軍)。比起傳統軍武,發起資訊戰,無需花費一槍一彈,卻對社會經濟產業造成極大的衝擊。

資通電軍
許多國家成立資通電軍來發起或是抵禦資訊戰。圖/pixabay

零時差漏洞,得之可得天下?

提到駭客攻擊,就不得不談談號稱可一秒癱瘓世界的零時差漏洞(zero-day vulnerability)。零時差漏洞是可謂資安界最害怕的威脅,是指當漏洞被發現,而軟體開發商尚未發布修補程式 (patch) 之前,在這段時間,任何使用該軟體的主機,都有此安全漏洞,都有可能遭受駭客攻擊。

-----廣告,請繼續往下閱讀-----

不過,要取得零時差漏洞也非易事。陳教授以武俠小説作比喻,零時差漏洞就像壓箱底的最後法寶,除非遇到最難纏的對手,否則駭客也不會輕易使出這一殺手鐧。這些高利用價值的漏洞,在黑市可是千金難換。一個小小的零時差漏可能掌握著一國民生基礎架構的命脈,是要挾國安的重要籌碼,可得也可毀滅天下。

為了避免讓自身弱點落入他人手中,很多公司重金懸賞發現該公司產品的安全漏洞的駭客。而就像江湖上同時存在邪道與正派,除了進行不法勾當、謀取利益的黑帽(Black Hat)駭客,也有著用意良善的白帽(White Hat)駭客。這個典故源自美國西部電影中,正派戴著白帽,而反派往往著黑帽的形象。

白帽駭客維護精益求精的駭客文化,以「提升安全性」為目的,挖掘程式漏洞,提供開發商漏洞資訊,以改善該系統的安全性,稱得上是駭客武林中的俠義心腸的一群。

駭客
駭客也可以區分為以不法途徑牟取利益的黑帽駭客,與幫助開發商提升安全性的白帽駭客。

守護資安,人人有責

雖然武俠故事的鎂光燈往往都聚焦在少數幾個武林高手身上,但江湖其實更大部分是由你我這樣平凡老百姓組成。陳教授坦言,很多人誤以為資安都是 IT(Information Technology)或 MI((Manager Information System)部門的責任,但守護資安,應是所有使用者的責任。

-----廣告,請繼續往下閱讀-----

「資安其實就是攻與防。知己知彼,才能百戰百勝。」

陳教授一再強調,要打造良好的資安環境,從小教育年輕一代正確使用手機、電腦等電子設備的資安知識,才是最有效的方式。根據調查,管理層級的主管越重視資安,透過資安教育訓練和宣導提高員工資安意識,才能在組織中形塑健全的資安文化。

除了管理好個人資訊和帳號密碼外,在上網時多存一份疑問,才能在第一時間發現不對勁、主動通報,越資訊化的時代,我們也越沒有隱私,駭客攻擊防不勝防。因此在江湖上行走時,常常更新資安資訊,隨時保持警惕,是避免遭受攻擊的不二法門。

-----廣告,請繼續往下閱讀-----
所有討論 1
科技大觀園_96
82 篇文章 ・ 1126 位粉絲
為妥善保存多年來此類科普活動產出的成果,並使一般大眾能透過網際網路分享科普資源,科技部於2007年完成「科技大觀園」科普網站的建置,並於2008年1月正式上線營運。 「科技大觀園」網站為一數位整合平台,累積了大量的科普影音、科技新知、科普文章、科普演講及各類科普活動訊息,期使科學能扎根於每個人的生活與文化中。