科技與資安之衝突

李相臣 富邦金控資訊長、資安長 台北市政顧問 香港大學兼任講師 中央警察大學兼任教官 東吳大學兼任助理教授

1. 簡報愈多年紀愈大

2. 密碼愈多年紀愈輕

3. 手機APP愈多……

2

3

比特幣源自西方，卻在中國發揚光大，全球每日發行量2/3來自中國。

內蒙古達拉特旗達拉特經濟開發區內有座比特幣礦場，由8棟外牆寫著BITMAIN的藍色鐵皮屋頂平房組成，毫不起眼卻是全球最大礦場之一，其內近2.5萬台電腦24小時不停運轉，產量佔比特幣日發行量近1/20，換算價值超過30億美元（約902億台幣），為草原上挖煤、務農的居民帶來最新潮的工作機會。

全球比特幣 2/3來自中國

• 1:7000美金

4

瘋直播 全球用戶暴增千萬

5

全球瘋直播，不僅各大直播平台Live.me、Uplive、17全球註冊戶數成長逾千萬，有著掏金夢的直播主人數也跟著提升。 以台灣為例，光是簽約直播主就破萬人，在台也有外國人靠直播翻身，如Uplive的巴西直播主舞陽，月收就上看10萬元；而各國因應文化、政策相異，直播風氣也不同，多國特色在直播平台上讓在地使用者就可見，等於打破以往在《臉書》等社交平台的同溫層，落足台灣放眼全世界。

中東土豪多 美國聊天有禁忌 台灣自由多元

6

瘋直播 全球用戶暴增千萬

中東土豪多 美國聊天有禁忌 台灣自由多元(續)

7

政治假新聞操作六大步驟

8

深夜3、4點，先在知名社群平台爆卦穿鑿附會文章。

即時網路媒體率先引用報導，開啟第一波話題討論。

報紙、電視台跟進採訪。

鄉民將各種報導的網路連結放在版上，帶起第二波的討論與擴散效益。

再透過臉書、LINE轉發新聞，帶來更大的輿情討論。

晚間黃金時段，電視台政論性節目探討，假新聞的輿情方向大致底定。

資料來源：遠見雜誌第384期

內容農場生態系運作方式

9

資料來源：遠見雜誌第384期

經營者

撰文者 導流者

(臉書粉專)

讀者

內容農場

臉書、Google聯播網廣告

架設硬體、維運

供稿

供稿

分享

點讚、瀏覽

電玩界喬丹Faker 前進亞運為韓爭光

10

印尼2018.08將舉辦四年一次的亞洲運動會，電競將首次在這個場合亮相，象徵電競朝被視為真正的運動項目又更靠近了一步。

在南韓，「電競玩家」一直是孩童未來最想選擇的其中一個職業，該國教育部去年針對小學生進行的調查顯示，「電競玩家」在小學生未來最想從事的行業中排在第八名，名次比「科學家」還前面。

許多南韓大企業都有自己的電競隊伍，李相赫的贊助商是SK Telecom，據傳他的年薪至少達30億韓元（260萬美元）。

南韓目前有2,500萬名電競玩家，也就是說，該國有半數民眾都是遊戲玩家，南韓也因此成為全球第六大電玩市場。

布萊文斯直播戰況 月入3,000萬

11

年僅27歲的布萊文斯（Tyler Blevins）靠著「要塞英雄：大逃殺」（Fortnite Battle Royale）

電玩遊戲直播，成為遊戲直播平台Twitch上收入最高的網紅。

收看人數累計已突破2.3億， 也為他帶來百萬美元 （約新台幣3,097萬元）月薪， 並且入選時代雜誌最有影響力 的25位網紅。

12

Fyodor

5.5萬 抹黑一人 20萬 煽動街頭抗議活動

劍橋分析

65個讚 跟你朋友一樣認識你 300個讚 跟你配偶一樣認識你 尤其藥物使用、政治立場、健康

FB告你或加入

我們可以從臉書和劍橋分析事件中學到什麼？

13

三個新興技術的發展：

1. 從網路上可獲得大量個人資訊

2. 現代機器學習算法可使用這些資訊，來學習、建立複雜的人格檔案

3. 而社群平臺，能讓根據複雜人格檔案建立的客製化政治或行銷訊息，有效發送給對應的民眾

這些訊息引的效用非常大，原因：

1. 這些訊息是根據每個人的人格特質所發送的(客製化)

2. 這種行為很難審查，因為這些訊息是直接發送給個人，而不是公開在平臺上、讓第三方看得到

13

舊地圖找不到新大陸

鎖碼

指紋哪隻

人臉

聲紋 GOOGLE

圖形

永和外籍人士殺害案 S牌泡水2日

資安主管

FBI 助理主任18萬美元

私人企業30至60

銀行45至90 14

App隱私條款 個資賣身契

15

1

亞馬遜明文表示， 當用戶接受分享資訊給第三方廠商時， 同時可能也意味對第三方的規定表示同意！！

App隱私條款 個資賣身契

16

1

蘋果也會告知產品用戶， 所取得個資將與提供資料處理、信用展延等服務的公司分享， 以「評估您對我們產品和服務的使用興趣」。

App隱私條款 個資賣身契

17

2 搜尋歷史仍保留

臉書提供了刪除搜尋歷史記錄選項，讓用戶以為按下刪除後一切會清空。但根據臉書個資政策，用戶雖有權利隨時刪除搜尋記錄，但在刪除後的六個月內記錄仍存在。

App隱私條款 個資賣身契

18

即使沒登入或甚至未註冊， 臉書依然有辦法追蹤你。

臉書在政策條款中寫道，合作廣告商、App開發商和出版商可透過Facebook Business Tools，寄送「您在離開臉書時的線上活動」相關數據給臉書，包括你的裝置資訊、瀏覽的網站、採購的商品和你點閱的廣告等。

3 仍會被追蹤

App隱私條款 個資賣身契

LinkedIn在 隱私權政策中表明會使用「訊息自動掃描技術」， 目的是為防範惡意網站或垃圾訊息， 並提供自動回覆。

4 其實不太私人

19

App隱私條款 個資賣身契

20

！ 網路公司有哪些爭議手段

• 即使未經允許，也能追蹤用戶所在位置 • 將用戶個資和關係企業分享 • 讓用戶無意中同意第三方規範 • 就算是用戶已經刪除的搜尋歷史，仍被網路業者保留

• 用戶未開啟App，依然會被追蹤 • 用戶的私人訊息其實沒那麼「私人」

Google移除上百款遭植入Windows鍵盤側錄程式的Android app

21

近日發現Google Play有145個感染Windows鍵盤側錄執行檔的app。而Google在獲報後也將之移除。

這145個app中的APK檔分別在不同地點感染不同名稱的Windows惡意可攜式執行檔（Portable Executable, PE）。

特性：

會進行Windows鍵盤側錄，藉此竊取用戶信用卡號、社會安全號碼及密碼。另外，它們也採用無害的檔案名稱來偽裝，像是Android.exe、my music.exe、gallery.exe、msn.exe、css.exe等等。

這些惡意PE檔在Windows機器上的行為包括：在Windows系統資料夾中建立隱藏的可執行檔，包括自我複製，然後將Windows registry改成重新開機後自動啟動，之後在Windows系統上蟄伏一長段時間，蒐集用戶資料。

這些感染惡意PE的APK並不會對Android 裝置本身產生影響，因為它們只能在Windows機器上執行。但如果不小心在Windows PC上開啟了這些APK，就會對用戶產生危害。

政府偷偷存取用戶資訊， Google將通知企業客戶

22

近期Google宣布一項新服務，一旦Google發現政府企圖存取G Suite企業用戶的員工資訊時，會立即通知該企業。

Google自2012年即會在政府支援的駭客駭入用戶Google帳號時直接通知用戶，這次則是將服務推向企業用戶。

它預設是關閉的，可由G Suite管理員開啟本功能，當Google判斷有政府資助的攻擊者試圖利用網釣郵件、惡意程式或其他方法存取某用戶的帳號或電腦時，就會觸發電子郵件通知企業管理員。

物聯網安全出頭，HP祭出全球首個印表機抓漏專案，懸賞1萬美元

23

HP提供全球首個針對印表機的抓漏專案，將視漏洞的嚴重程度提供500到1萬美元的獎金。 尋找這些印表機的韌體安全漏洞，

如：遠端程式攻擊、網站請求偽造（Cross-Site Request Forgery，CSRF）或跨站指令碼（Cross-site Scripting，XSS）攻擊等。

變種Magniber鎖定中文使用者

24

勒索軟體改版再度現身，針對亞洲國家採專屬惡意軟體攻擊，目標為採用中文、韓文、馬來西亞語電腦。

研究團隊發現它會檢查受害者電腦所採用的語系，首先依序偵測中文（澳門、中國、新加坡、臺灣），再者判別是否為韓文或馬來西亞語（汶萊、馬來西亞）。如果都不是上述語系版本的作業系統，這個勒索軟體就會終止執行。

實體隔離系統之省思(以台積電為例)

25

一.其實不完全實體隔絕(網路線、無線卡…)

二.以為實體隔離輕忽資安

三.新系統上線之掃毒(硬、軟體)

四.頻繁使用USB更新軟體、USB之掃毒

五.使用筆電進行更版，筆電之掃毒與連網

六.系統更換(增加)晶片之firmware掃毒

高科技 國防 金融 價值

.

.

.

台積電為何遲遲不修補機臺Windows漏洞？不是不願意，其實是無能為力

26

機臺OS更新3大難題

01

許多老舊機臺設備往往使用多年，供應商早已不再提供支援，IT人員想要升級，會擔心發生問題無人可協助而不敢進行。

02

企業採購機臺設備時，往往是軟硬體整套購買，包括內部軟體、周邊硬體和OS。為了避免影響設備的效能或功能，供應商甚至不會開放OS權限或禁止企業IT人員安裝任何軟體或工具，除非供應商自行釋出更新，否則，科技業IT部門很難對這類機臺的OS自行升級。

許多機臺採用的不是標準OS，而是客製後的嵌入式Windows版本，但微軟釋出的更新往往以標準版為主，這類機臺也需要供應商才能處理，IT人員也不敢擔保升級後會不會造成機臺問題。

03

小心壞心AI的三大威脅！ AI專家聯名發表惡意AI報告來示警

27

來自14個不同組織的AI專家，近日發表了《AI的惡意使用：預測、預防與緩解》研究報告，採討AI對數位安全、實體安全和政治安全的威脅。

1. 在數位安全上，專家擔心自動化的網路攻擊行動將擴大現有攻擊的規模，預期會出現專門利用人為疏失、軟體漏洞與AI系統漏洞的新型態攻擊行動。

2. 另外，他們也預期，AI將藉無人機或其它系統所展開實體攻擊，如造成自駕車撞毀，或是遠端操控數千架無人機以展開攻擊等。

3. 此外，AI還能被用來破壞政治安全，以AI分析大量資料進行監控，建立特定目的的宣傳活動或欺騙行為，如進一步分析人類行為、情緒及信仰以發動攻擊。

美大學生安裝鍵盤側錄程式竊取教授憑證改成績，時間長達21個月

28

近日美國聯邦調查局（FBI）宣布逮捕一名19歲的愛荷華大學學生Trevor Graves，在多台學校電腦上安裝鍵盤側錄裝置，以取得教授的登入憑證，時間長達21個月，總計竄改逾90次成績，包括他自己以及其他5名同學，而且還會定期偷出考試卷與同學分享。

調查：感染勒索軟體時，近6成是員工自掏腰包付贖金

29

雲端商業應用供應商Intermedia近日公布一項調查報告，顯示當被勒索軟體攻擊時，有59%的員工表示曾自掏腰包付贖金，另有37%說贖金是老板付的。

根據估計，全球因勒索軟體所帶來的損失將從2015年的3.25億美元成長至今年的50億美元，且勒索軟體已被企業視為是造成資料流失的第二大殺手，第一名的硬體故障佔了30%，勒索軟體則佔29%。

智利最大銀行遭駭，疑癱瘓近萬台系統，再用SWIFT網路盜轉

30

智利最大銀行智利銀行（Banco de Chile）2018.05月遭到惡意程式入侵，據傳9,000台員工電腦及500台伺服器無法開機，駭客再企圖趁亂利用SWIFT網路盜轉銀行金錢。

該攻擊影響智利銀行的工作站、PC、分行及電話銀行服務無法運作。

傳中國駭進美國海軍承包商 竊取機密軍事資料

31

華盛頓郵報與CBS News最近引述美國官員報導，中國政府駭客曾於今(2018)年1月與2月兩度入侵美國海軍的承包商，竊取了多達614GB的機密資料。

美國FTC開始受理挖礦綁架投訴案件

32

FTC表示，駭客把使用者的電腦當成是自己的虛擬提款機，利用使用者裝置的處理器資源來挖礦，日益進步的挖礦綁架技術完全不需要使用者安裝任何軟體，只要誘導使用者造訪惡意網站或廣告就能感染裝置，使用者即會在不知情的狀況下幫駭客挖礦。 FTC受理的投訴類別涵蓋身分竊盜、詐騙、垃圾訊息、行動裝置、網路服務/購物/電腦、教育與工作、信用卡/記帳卡等等，挖礦綁架的受害者可選擇電腦類別投訴。

美國聯邦交易委員會（Federal Trade Commission，FTC）

當加密流量成為網路常態

33

根據Cisco的採樣，透過TLS加密連線進行通訊的惡意軟體，在2015年的比例是2.21％，到了2017年5月，增加到21.44％。

當整個網際網路在大力擁抱加密連線的作法時，有心搞破壞的人士、惡意軟體、網路入侵行為，也同樣受到這個機制的保護，而難以現形。

2.21％ 21.44％

傷你最深的其實是內部威脅

34

模擬USB鍵盤： 讓作業系統以為只是接上鍵盤，而迴避電腦周邊裝置控管

透過可側錄電腦螢幕、內建記憶卡儲存能力的轉接線： 在公司電腦受到公司監控的狀態下，透過這種方式，員工可將操作電腦畫面，透過這種方式擷取為圖檔，將不得外流的機密取出。

二

三

一 廠商代管

偽冒企業品牌LINE @帳號事件頻傳

35

從今年(2018) 3月20日至7月9日止，臺灣LINE@帳號累積了超過900個假冒帳號。 在散布的內容上，有高達一半的比例，是贈送假官方貼圖，也有1/4是贈送假優惠訊息。而目前臺灣知名品牌遭盜用的例子，則包括像是星巴克、王品、中油、全聯、7-ELEVEN與全家便利商店。

LINE @生活圈帳號

36

在LINE官方帳號的機制下，LINE@帳號分為3種級別，包括 （一）綠色盾牌的官方帳號、 （二）藍色盾牌的認證帳號、 （三）灰色盾牌的一般帳號。

前兩種需要經LINE@官方審查，但第三種則不會經過審核的程序，由於免申請費用，因此容易遭到濫用。

太方便的服務

• 只要我上中華電信網站 登入服務 (登入的帳號是手機號碼)

• 就可以申請了...超簡單..

• 這個服務的內容是...

• 如果有一天我忘了帶手機出門,可是又有重要的簡訊要收 (看中華電信多貼心)

• 就可以上網申請..申請時,可以設定另一支手機號碼或email

• 當有人發簡訊給我們時...被設定的手機及原來的手機 都會有簡訊出現..

37

• 這案子的被告都是利用手機號碼向MaiCoin申請帳戶後,開始進行援交詐騙

• 因為MaiCoin只要有交易就會發驗證碼

• 但這四個人都說 是有人冒用他們的資料 去申請簡訊轉接..

• 由於這簡訊轉接也會發送簡訊至 原手機上..這四個人辯稱...他們不知那是什麼就直接刪除了

• (這件案子不起訴)

• 我跟同事說..台灣電信的便利,讓定罪更難了

38

報告：個資外洩最多的產業是?

39

根據Verizon最近的一份報告顯示： • 政府機關所發生的資料外洩案件最多 (303 起)， • 其次是銀行 (277 起) 和 • 零售業 (164 起)。 相對的，Unisys表示，消費者認為最可能發生資料外洩的產業分別為： • 電信 (59%)、 • 政府 (49%) 及 • 銀行 (48%)。

在最近一項針對40家公司共25萬台端點裝置的分析發現，每一家公司的企業網路都有遭到「進階持續性滲透攻擊」（Advanced Persistent Threat，簡稱APT攻擊）入侵的跡象，但大多數仍未發展到最危險的資料外傳階段。

企業發現新型態的銀行惡意程式非常難以防範，而且其技術在 Zeus 出現之後更不斷精進，這類惡意程式專門暗中竊取使用者的網路銀行帳號登入資訊。

40

GDPR

公司治理之資訊運用與保護

內部(故意、疏忽、違規……專業不足)

外部(竊取、癱瘓、篡改……難以抵檔)

網路科技運用不當， 將對公司營運產生重大影響

營運成本 VS 違規罰款

Line 隱私同意爭議

資料來源：自由電子報 2011/01/06 41

聯發科工程師跳槽晨星

台積電高管遭南韓三星挖角

資料來源：商業週刊 2011/11/07 42

美國康寧機密被竊

資料來源：自由電子報 2005/10/23 43

資料來源：華夏經緯網 2008/04/11 44

富士康告比亞迪商業竊秘罪

友達揪內賊

資料來源：中國時報 2012/10/16 45

機密外洩來源

• 曾擔任、接觸或掌握重要資訊的業務、研發及資訊部門的員工 。

• 具下載公司機密文件權限。

• 未有偵測異常資料存取預警機制(如BIG DATA巨量、異常時間) 。

• 未防止員工接觸、存取非關自身業務之資料。

• 未對郵件外寄內容偵測。

46

其他可能原因

• 同仁的帳號、密碼易於猜測(同EIP密碼) 。

• 離職員工之離職生效日未讓其他員工、接洽單位及合作廠商等獲知。

• 帳號眾多分散於各系統，系統管理者未即時停用或刪除。

• 未變更共用帳號及密碼。

• 未有對可攜式儲存媒體下載內容偵測紀錄。

• 電腦硬碟未加密。

• 未防制P2P相關軟體安裝。 47