物聯網的資安攻防大戰!臺灣該如何見招拆招?
110/09/22
曾繁安
科技大觀園特約編輯
資策會資安科技研究所王仁甫策略總監專訪
5G 科技讓萬物聯網的新紀元已經來臨,代表著機器與機器溝通,人類過上全自動化的超便捷生活不再是夢。但這同時也意味著科幻電影中,邪惡駭客組織攻占重要機關的主機系統,引發一連串資安問題,甚至攸關社會國家安危的重大事件,也可能在現實中發生!
科技帶來的便利與風險並存的這個世代,來聽聽資安專家——資策會資安科技研究所王仁甫策略總監的精彩分享,一起思考 5G 物聯網下面對的資安挑戰。
一起跟資安達人瞭解 5G 如何翻轉我們的生活!
「16 年前一個月黑風高的夜晚,博士班學姐的一通電話,讓我踏上資安這條不歸路……」
問起投入資安領域的契機,王總監用打趣的口吻開場。當時在學姐的建議下,他參與了設計國内第一個資安指標的工作,從此開啓與資安的不解之緣。自稱「資安界 56 哥」的王總監,雖非一般人熟悉的另一位仁甫兄,但他對科技資安研究的敏銳觀察與豐富經驗,肯定令人甘拜下風。
他談到,4G 網絡的發展令網紅經濟崛起,你我都不曾想像『點讚、訂閲、打開小鈴鐺』會變成一種常態。而接下來的 5G 物聯網,將帶來更大的轉變與衝擊。
為什麽比起 4G,5G 有「大頻寬、高速率、低延遲」的特性?這是因為目前 4G 所在電磁波區間(約 450 MHz ~ 3800 MHz)已塞滿用戶,讓網速變得越來越慢,因此人類便把腦筋動到頻率更高的毫米波頻段(約30 GHz ~ 300 GHz)。增加了 5G 的區段,就像從塞爆的車流中,移到空曠的新路上。而頻率越高,頻寬也越寬,這條道路不止空曠而且比原先的更寬闊,於是訊息的傳遞能暢行無阻,理論上可比 4G 快一百倍!
「5G 最重要的,就是可以達成邊緣運算(Edge Computing)。」
王總監舉例,自動駕駛和遠距醫療還未普及,是因為傳統仰賴的雲端運算(Cloud Computing),傳輸訊息的速度不夠快,且成本高。雲端運算可以比喻作中央集權制,凡事都要經過朝廷皇上批閲議決,效率自然較低;但邊緣運算就像地方分權,讓數據可以直接在收集端附近實時處理和分析,無需先上報到雲端進行存儲、管理和分析運算,節省了上傳等待運算的時間,也減輕網絡和服務器的負擔。
在高速公路和手術檯上,微秒之差就是生死關頭。而 5G 搭配邊緣運算,大大提高的數據傳輸速率與極低的延遲,讓自動車之間可以維持安全的相對距離,遠端控制的手術刀可以精準無差地落在正確的部位。
也有賴於 5G 科技,需要大量運算資源的人工智慧(Artificial Intelligence,AI)也可以實現。這些發展促成物聯網(Internet of Things, IOT)的建立,機器和機器之間可以達成溝通,整合各方數據資訊,迅速有效率地完成各種指令。小至個人智能家居,大至工廠機械、重要基礎設備如水壩、發電廠等等,都能踏入數位自動化的新境界。
越方便就越危險?機器與機器的連接也要小心
不過,5G 的特性也改變了用戶與網絡間的關係。傳統 4G 是直鏈狀的系統,由電信商自上而下提供網絡,再經由應用程式界面(Application Programming Interface,API)提供服務給用戶,存在一個封閉式的層級關係。但速率快、訊號覆蓋範圍較小的 5G(注1), 則是由邊緣端、應用裝置及用戶組成,數據傳輸相互往來的三角形體系,不再有上下權限差別的限制。為了形成物聯網提供更多應用,5G 網絡也變得更對外開放,被駭入的風險也會提高。
研究專長為駭客行爲的王總監提到,如今網絡犯罪的作案手法越來越多元。過去搶匪洗劫銀行,還要擔心實體鈔票金條太重,扛不動。現在駭客只要動一動手指,就能利用惡意程式讓銀行的上億元瞬間消失;或使用勒索病毒,鎖定廠商的資料庫,再以巨額款項要挾,否則就把重要生產機密銷毀或公諸於世。
「5G 應用得越深,危害的情境就越高。」
未來 5G 物聯網可能面對的兩大資安威脅,包括用戶 IP 可能被駭入後,可能被用作惡意中繼站或跳板繼續攻擊另一方,讓受害者同時也成了加害者。再來,當物聯網涉及的層面越來越廣,假如被不法分子入侵掌控的是自駕車、基地台,甚至是重大國家基礎建設如水壩、發電廠等等,造成的損失傷害不堪設想!
網絡戰資訊戰開打,台灣如何接招還擊?
從個人角度,平時養成謹慎小心的習慣,不隨便亂點不明連接,隨時留意最新的網絡犯罪手法,是保護自己的不二法門。但在通訊科技發達的今時,第三次世界大戰很可能就在網路上發生,資安可是攸關國家安危的重大議題。
自 2016 年起,台灣便喊出「資安即國安」的口號,而王總監也參與在草擬「資安即國安」1.0 與 2.0 戰略的工作中。在1.0 戰略中,首要步驟就是將資安鐵三角(資訊安全、通訊安全、國家安全)正規化。政府也修訂相關法規,將資訊和網際空間延伸為國家主權的一環,並把駭客攻擊與竊取智慧財產,納入情報蒐集的工作,才能為網絡戰做好準備。
「守護要自己來,就需要有人才。沒有資安人才,就沒有基礎的資安;沒有錢投入,也不會有資安人才。」
王總監强調,一個國家的資安要做好,最重要的就是資源與人力的投入。如果國内資安產業沒有妥善發展,資安人才缺乏,就必須仰賴國外的產品。若系統程式都不是由自己人開發,而是假手於他人,便難以確保檢測過程的可靠性,往往等到資安事件發生後,才驚覺漏洞的存在。因此,政府也編組了多支專業團隊,培訓資通電軍與資安產業人才,為國内資安把關。
而「資安即國安 2.0」的重點,除了規劃新設數位發展部、成立專責的資通安全署,就是主動式防禦(注 2)——與其乖乖等著被人打,不如自己先請外部團隊攻擊自己,作資安測試,去找出資安漏洞和弱點!舉例來說,業界為了找出系統防禦上的漏洞盲點,常會委外進行紅隊演練(Red Teaming)。就像在進行軍事演習,紅隊扮演進攻方,以無所不用其極的方法嘗試入侵,同時驗證藍隊防守方的偵測與回應能力。這樣的演練成本可不低,一次就要三五百萬臺幣起跳。
但台灣不用付錢,就有免費的資安攻防演練!王總監如此笑言。這是因為,在全球最常受駭客攻擊的國家排行榜上,台灣可是位居前列。根據網路資安商 Fortinet 的報告,2021 年第一季台灣遭受到超過兩百萬次的駭客攻擊,平均每分鐘就會遭遇逾 15 次的攻擊!所謂危機就是轉機,這些源源不絕的攻擊,也讓台灣深具適合發展資安產業的龐大潛力。王總監認為,資安產業要像台灣未來的台積電,扮演護國神山般的角色。
想投身資安產業?不需要獻出心臟,只要有一顆熱忱的心
「投入資安產業不要限科系,但是要有一顆熱忱、學習的心。」對於有心想往資安領域發展的年青人,王總監給出這樣的建議。
雖非資訊科學出身,但大學的工程背景,讓王總監有了程式語言的基礎。後來他取得經濟學、法學雙碩士,前者使他瞭解產業界的趨勢走向,法學則令他知曉資安重合規性與合法性的重要。在科技管理與智慧財產權領域的博士論文中,他則從社會學、科技研究的方法分析駭客行為。他表示,跨領域的學習可以讓他從更廣濶的視角,釐清各方問題之後,找到痛點,來提供更好、更全面的科技與資安政策。
王總監指出,這一代除了要與人溝通,還要學會與機器溝通,所以掌握好程式語言的邏輯基礎是重要的,因此王總監所在的資策會資安所,除了研發研發資安監控平臺,將研發的成果技轉給業界,同時他也擔任台灣駭客協會(HITCON)理事和社團法人臺灣校園資訊安全推廣暨駭客培育協會(TDOH)理事,推展培育資安人才的各項活動,未來希望能舉辦小朋友駭客營,讓孩子在小學階段就能接觸和體會程式語言是有趣的。他也勉勵年輕人,能力好的可以負責找漏洞和抵禦攻擊,站在資安攻防戰最前線;即使程度不夠拔尖,也可肩負資安維運的工作,在各自的崗位上適才所用,都能為守護資安和國安,盡一份心力。
根據光速等於波長乘以頻率(c = f × λ)關係式,我們知道頻率越高的波段,波長越短,穿透能力強。所以 5G 電磁波訊號遇到障礙物時,會想强行穿越而非「繞」過,繞射能力弱,造成散失的能量大。因此 5G 雖然有著高速率、低延遲的優勢,弱點就是訊號覆蓋範圍小,故需要設置夠多的基地台方可實現,而電信服務商會提供用戶建設專網——既不同於覆蓋範圍大的公網,而是擁有特地目的、獨立運作的網絡系統。
此外,主動式防禦也包含三要素:歸因、阻斷、減災。歸因便是找出攻擊的背後原因,釐清駭客的犯案動機,才能對症下藥。再來,對惡意程式來源進行阻斷,往後才可以減少再次被入侵的風險。
附圖:王仁甫
和台灣知名藝人同名同姓的王總監,説話風趣幽默,整個採訪過程充滿笑聲。圖/台灣資安大會
邊緣運算架構
邊緣運算架構與傳統雲端架構不同的地方是,資料將改放在網際網路和本地網路之間的邊緣運算層作處理,等資料變少了,再將處理後的資料回傳雲端。
攻擊
台灣平均每分鐘就會遭遇逾 15 次的攻擊,源源不絕的攻擊讓台灣深具適合發展資安產業的龐大潛力。圖/pexels
資料來源:https://scitechvista.nat.gov.tw/Article/C000003/detail?ID=0853796d-0b42-4a72-a0cb-ed70ddad9f77&fbclid=IwAR2H03H3PtQ6JhtQIy6KpMaz78iFa7NBgfizoTzEbAGba_58W6guaSHYBkg
同時也有2部Youtube影片,追蹤數超過3萬的網紅MEeeep More,也在其Youtube影片中提到,呢排上Facebook,唔多唔少在Timeline見到有朋友玩下測字算命,睇下乜嘢顏色岩自己咁。有時都會心動自己玩埋一份,你可能會覺得都係一個遊戲,唔駛咁上心。就係因為大家唔上心,呢類遊戲就可以「為所欲為」,隨時會惹來麻煩呢? 呢類小遊戲,其實在技術上,係Facebook入面第三方提供嘅「小程式」...
移 除 惡意程式 在 Baby View 嚴選布布童鞋 Facebook 的精選貼文
大家好,我是布布童鞋的創辦人布布爸,
在布布堅守了八年的零資料外流的努力後,
看來還是面臨道高一尺,魔高一丈的狀況,
之前已經有駭客透過跳板從荷蘭試圖竊圖公司官網個資的狀況已經被擋下過,
但這次還是用惡意程式偷渡進入布布竊取部分資料,
當初最終的底線是避免駭客將布布所有個人的資料全數打包進行詐騙
已經將個資分割成數個部分存放,在部分資料庫加密被駭客破解後,
負責資安的工程師已經發覺異常並啟用安全性最高級的資安防護計畫,
確認可能外流的資料僅是一部份,並將其他未被竊取的資料進行轉移.
但部分外流的資料確實可能導致您被騷擾,在這邊布布爸致上最深的歉意
就像是許多大型公司,布布童鞋在防火牆,個資分割,網站加密等
防駭客的手段都盡可能做的情況下,還是面臨跟其他公司資料被盜取的狀況
對於個資產生外流也讓整個團隊備感痛心.
不過事情發生了,除了悲憤,現在我們更要將重心放在不讓詐騙集團得逞
也希望若您被詐騙集團騷擾可以在粉絲團跟我們回報,
但請不要謾罵任何一位客服or門市人員,
畢竟這不是任何一位客服or門市人員可以處理的
如果對於個資外流有任何不滿想要發洩,
我身為創辦人我願意接受大家的責難.
但也希望大家能想想,詐騙集團這個階段最想要做的就是造成店家的混亂,
讓店家無法專注處理,這樣他們就可以盡可能詐騙產生更多的受騙.
如果大家面對詐騙能立刻認清,不被影響,就是對於詐騙集團最好的懲罰
希望大家能跟著布布一起對抗垃圾至極的詐騙集團!
布布童鞋積極處理的動作如下
1. 針對已知外洩的資料庫訊息,發送簡訊通知客戶,提前阻斷詐騙集團的伎倆
2. 將尚未外洩的個資移轉到其他加密資料庫
3. 通報政府防詐騙專責單位,將消費者影響降到最低.
4. 提升公司資安強度到最高,徹底杜絕二次資料外流
【以下訊息在請大家特別留意,只要簡單幾步驟,就能確保不被騙】
第一:
布布童鞋從不分期/也沒有買多次經銷,更不會要求ATM匯款,
只要有任何要求你進行匯款的動作都請不要執行.
第二:
只要連絡電話是不是
0972-460711 / 0965-250-025
/02-2987-7700 / 02-2254-0648其餘自稱是布布童鞋的都是詐騙電話
第三來自警政署的提醒:
請特別注意
不!接「+」來電電話,這是詐騙
不!提供自己的金融資料
不!至ATM操作匯款
不!去便利商店買點數
目前正全面加班清查可能存在的風險並做到最嚴格的對應.謝謝!
若您受到詐騙集團的騷擾,在這邊也致上最深的歉意
移 除 惡意程式 在 趨勢科技 Trend Micro Facebook 的最佳貼文
趨勢科技接過一通客訴電話,📞 用戶非常生氣,原因並不是因為感染了病毒,而是我們的防毒軟體移除了一隻病毒 。
原來這封信附件有當年「網球場上的最美風景」之稱的安娜庫妮可娃照片。🎾
😞客戶不在意這個病毒會對他的電腦造成什麼危害,反而對於沒有滿足好奇心看到想看的照片而生氣。
😥已經有防毒軟體把關了,還是擋不住強烈的好奇心,可真符合了這句話:
#人,#才是最大的安全漏洞
這就是 #社交工程 ( #SocialEngineering )陷阱活生生的案例!
近日有名正妹電玩實況主「視訊鏡頭被駭」,導致私密片外流。
以下這兩件事,你會做哪一項?
◻1.用關鍵字蒐尋找外流影片
◻ 2.先把鏡頭遮蓋住
選擇 ✅1.的人,請先緩緩,請先看看那些年的女星裸照外流事件發生了什麼事:😪
當年百位好萊塢 A 咖女星裸照外流事件,因為很多好奇的網友,搜尋這些明星裸照,而讓 #網路釣魚( #Phishing)有機可乘。
選擇✅ 2.的人想必很重視個人隱私,因為從好萊塢巨星到台灣電玩實況主;從女大生到餵母乳的媽媽,都有被偷窺案例,遮住鏡頭確實是最簡單有效的方法之一。
美國聯邦調查局長康梅在一場演講時表示,他會把筆電上的視訊鏡頭用不透明膠帶貼起來,以防電腦被駭客入侵、行蹤被偷窺。
其實你有更安心的選擇✅ 3.如果你不確定是否有瀏覽過惡意網站,在不知情的情況下被偷偷安裝木馬程式,建議你用防毒軟體掃描你的手機和電腦。
因為這些惡意程式能操作受害者的螢幕、攝影機、和麥克風以及檔案。
🔴PC-cillin 雲端版,搶先攔截詐騙網址,防止誤上惡意網站,被安裝遠端偷窺木馬程式
》即刻免費下載掃描 https://t.rend.tw/?i=MTA3NDQ
防止被偷拍請這麼做:
🔴1.當您不使用時,隨時蓋住鏡頭。
🔴2.電腦不用時請關電源(防偷窺又環保)
🔴3.勿開啟不明連結或檔案
🔴4.下載免費分享軟體應當心(這類偷窺惡意程式常常夾帶在網路分享軟體)
🔴5.使用可即時防禦網頁惡意連結、 ✓手機✓電腦✓平板 跨平台防護的 PC-cillin 雲端版。
》即刻免費下載試用 https://t.rend.tw/?i=MTA3NDQ
✅四招防網路釣魚
📍1.假消息充斥,只相信可信任網站發布的內容
-駭客/詐騙集團跟你一樣喜歡熱門新聞事件
📍2.不搜尋或下載非法的外流私密照片或破解軟體
-夾毒山寨網頁搶搜尋排名,當心勒索病毒「找」上門
📍3.不要以為只有 A 咖會被偷拍,遮住鏡頭最簡單有效
-從好萊塢巨星到台灣電玩實況主,甚至女大生都有被偷窺案例
📍4.安裝有先進的網路釣魚防範技術的防毒軟體
-PC-cillin 雲端版,防毒防詐再升級,防止瞬間爆衝誤點詐騙陷阱,並增加勒索病毒加密行為的防護機制!
✅ PC-cillin 搶先攔截詐騙網址,防止誤上惡意網站,被安裝遠端偷窺木馬程式,即刻免費下載 https://t.rend.tw/?i=MTA3NDQ
移 除 惡意程式 在 MEeeep More Youtube 的最佳解答
呢排上Facebook,唔多唔少在Timeline見到有朋友玩下測字算命,睇下乜嘢顏色岩自己咁。有時都會心動自己玩埋一份,你可能會覺得都係一個遊戲,唔駛咁上心。就係因為大家唔上心,呢類遊戲就可以「為所欲為」,隨時會惹來麻煩呢?
呢類小遊戲,其實在技術上,係Facebook入面第三方提供嘅「小程式」。原意係希望俾唔同嘅專頁可以自己透過程式,加入Facebook本身無嘅功能,增加社交媒體嘅趣味性同互動性。不過,因為呢類程式唔多唔少都會用到你嘅朋友名單同埋個人資料,所以你參與前都會問你係唔係授權,不過好多朋友都會輕視咗呢個授權,之後就後患無窮! 針對今次OMG呢個小程式,大部份玩過嘅朋友都話收到好多廣告通知,同時佢哋嘅朋友亦會因為「被邀請」出現連鎖式中招,網上更加有人懷疑因為呢個程式嘅關係,在無通知嘅情況下購買咗付費嘅程式。
如果你玩過OMG,我就建議你盡快同佢「劃清界線」。要點做?好簡單,你只要去「設定」、「即時遊戲」、「使用中」揀番 OMG、拉到最底後按「移除即時遊戲」、記得揀埋刪除遊戲紀錄、防止你嘅朋友睇到之後再次中招,最後按「移除」就攪掂!其實用呢個方法,你仲可以搵到你授權咗乜嘢程式去用你嘅資料,如果已經好耐無玩,我都建議你移除咗先!
《Z世代達人》
麥卓華
移 除 惡意程式 在 3cTim哥生活日常 Youtube 的精選貼文
今天趕緊出了這一則影片就是怕大家誤觸了OMG內建的廣告而亂按後導致在google play商店錯誤訂閱了不是自己要的app而付了錢,還無法取消訂閱,所有手機都可以適用ios系統或android系統皆可
訂閱3cTim哥頻道⬇︎
http://bit.ly/2MgPy4H
觀看3cTim哥系列影片⬇︎
【3cTim哥Apple蘋果開箱】http://bit.ly/2LE4M6R
【3cTim哥高階旗艦機開箱】http://bit.ly/2LDGSZx
【3cTim哥中、低階旗艦機開箱】http://bit.ly/2mXcSsv
【3cTim哥Apple蘋果小技巧】http://bit.ly/2NXsIyP
【3cTim哥Android安卓小技巧】http://bit.ly/2LE4kWy
追蹤3cTim哥即時動態⬇︎
instagram☛http://bit.ly/2HCZ52j
facebook☛http://bit.ly/2JyOGGK
TIM X OLI 🛍️ 3C購物
官方網站▶️ https://goo.gl/jW7cny
App Store▶️ https://goo.gl/67foDK
Google PlayStore▶️ https://goo.gl/l6B5Zp
*圖片內容截取自Google搜尋網站
**音樂與音效取自Youtube及Youtube音樂庫
#facebook#OMG#取消訂閱