Upload
others
View
3
Download
0
Embed Size (px)
Citation preview
科技與資安之衝突
李相臣 富邦金控資訊長、資安長 台北市政顧問 香港大學兼任講師 中央警察大學兼任教官 東吳大學兼任助理教授
1. 簡報愈多年紀愈大
2. 密碼愈多年紀愈輕
3. 手機APP愈多……
2
3
比特幣源自西方,卻在中國發揚光大,全球每日發行量2/3來自中國。
內蒙古達拉特旗達拉特經濟開發區內有座比特幣礦場,由8棟外牆寫著BITMAIN的藍色鐵皮屋頂平房組成,毫不起眼卻是全球最大礦場之一,其內近2.5萬台電腦24小時不停運轉,產量佔比特幣日發行量近1/20,換算價值超過30億美元(約902億台幣),為草原上挖煤、務農的居民帶來最新潮的工作機會。
全球比特幣 2/3來自中國
• 1:7000美金
4
瘋直播 全球用戶暴增千萬
5
全球瘋直播,不僅各大直播平台Live.me、Uplive、17全球註冊戶數成長逾千萬,有著掏金夢的直播主人數也跟著提升。 以台灣為例,光是簽約直播主就破萬人,在台也有外國人靠直播翻身,如Uplive的巴西直播主舞陽,月收就上看10萬元;而各國因應文化、政策相異,直播風氣也不同,多國特色在直播平台上讓在地使用者就可見,等於打破以往在《臉書》等社交平台的同溫層,落足台灣放眼全世界。
中東土豪多 美國聊天有禁忌 台灣自由多元
6
瘋直播 全球用戶暴增千萬
中東土豪多 美國聊天有禁忌 台灣自由多元(續)
7
政治假新聞操作六大步驟
8
深夜3、4點,先在知名社群平台爆卦穿鑿附會文章。
即時網路媒體率先引用報導,開啟第一波話題討論。
報紙、電視台跟進採訪。
鄉民將各種報導的網路連結放在版上,帶起第二波的討論與擴散效益。
再透過臉書、LINE轉發新聞,帶來更大的輿情討論。
晚間黃金時段,電視台政論性節目探討,假新聞的輿情方向大致底定。
資料來源:遠見雜誌第384期
內容農場生態系運作方式
9
資料來源:遠見雜誌第384期
經營者
撰文者 導流者
(臉書粉專)
讀者
內容農場
臉書、Google聯播網廣告
架設硬體、維運
供稿
供稿
分享
點讚、瀏覽
電玩界喬丹Faker 前進亞運為韓爭光
10
印尼2018.08將舉辦四年一次的亞洲運動會,電競將首次在這個場合亮相,象徵電競朝被視為真正的運動項目又更靠近了一步。
在南韓,「電競玩家」一直是孩童未來最想選擇的其中一個職業,該國教育部去年針對小學生進行的調查顯示,「電競玩家」在小學生未來最想從事的行業中排在第八名,名次比「科學家」還前面。
許多南韓大企業都有自己的電競隊伍,李相赫的贊助商是SK Telecom,據傳他的年薪至少達30億韓元(260萬美元)。
南韓目前有2,500萬名電競玩家,也就是說,該國有半數民眾都是遊戲玩家,南韓也因此成為全球第六大電玩市場。
布萊文斯直播戰況 月入3,000萬
11
年僅27歲的布萊文斯(Tyler Blevins)靠著「要塞英雄:大逃殺」(Fortnite Battle Royale)
電玩遊戲直播,成為遊戲直播平台Twitch上收入最高的網紅。
收看人數累計已突破2.3億, 也為他帶來百萬美元 (約新台幣3,097萬元)月薪, 並且入選時代雜誌最有影響力 的25位網紅。
12
Fyodor
5.5萬 抹黑一人 20萬 煽動街頭抗議活動
劍橋分析
65個讚 跟你朋友一樣認識你 300個讚 跟你配偶一樣認識你 尤其藥物使用、政治立場、健康
FB告你或加入
我們可以從臉書和劍橋分析事件中學到什麼?
13
三個新興技術的發展:
1. 從網路上可獲得大量個人資訊
2. 現代機器學習算法可使用這些資訊,來學習、建立複雜的人格檔案
3. 而社群平臺,能讓根據複雜人格檔案建立的客製化政治或行銷訊息,有效發送給對應的民眾
這些訊息引的效用非常大,原因:
1. 這些訊息是根據每個人的人格特質所發送的(客製化)
2. 這種行為很難審查,因為這些訊息是直接發送給個人,而不是公開在平臺上、讓第三方看得到
13
舊地圖找不到新大陸
鎖碼
指紋哪隻
人臉
聲紋 GOOGLE
圖形
永和外籍人士殺害案 S牌泡水2日
資安主管
FBI 助理主任18萬美元
私人企業30至60
銀行45至90 14
App隱私條款 個資賣身契
15
1
亞馬遜明文表示, 當用戶接受分享資訊給第三方廠商時, 同時可能也意味對第三方的規定表示同意!!
App隱私條款 個資賣身契
16
1
蘋果也會告知產品用戶, 所取得個資將與提供資料處理、信用展延等服務的公司分享, 以「評估您對我們產品和服務的使用興趣」。
App隱私條款 個資賣身契
17
2 搜尋歷史仍保留
臉書提供了刪除搜尋歷史記錄選項,讓用戶以為按下刪除後一切會清空。但根據臉書個資政策,用戶雖有權利隨時刪除搜尋記錄,但在刪除後的六個月內記錄仍存在。
App隱私條款 個資賣身契
18
即使沒登入或甚至未註冊, 臉書依然有辦法追蹤你。
臉書在政策條款中寫道,合作廣告商、App開發商和出版商可透過Facebook Business Tools,寄送「您在離開臉書時的線上活動」相關數據給臉書,包括你的裝置資訊、瀏覽的網站、採購的商品和你點閱的廣告等。
3 仍會被追蹤
App隱私條款 個資賣身契
LinkedIn在 隱私權政策中表明會使用「訊息自動掃描技術」, 目的是為防範惡意網站或垃圾訊息, 並提供自動回覆。
4 其實不太私人
19
App隱私條款 個資賣身契
20
! 網路公司有哪些爭議手段
• 即使未經允許,也能追蹤用戶所在位置 • 將用戶個資和關係企業分享 • 讓用戶無意中同意第三方規範 • 就算是用戶已經刪除的搜尋歷史,仍被網路業者保留
• 用戶未開啟App,依然會被追蹤 • 用戶的私人訊息其實沒那麼「私人」
Google移除上百款遭植入Windows鍵盤側錄程式的Android app
21
近日發現Google Play有145個感染Windows鍵盤側錄執行檔的app。而Google在獲報後也將之移除。
這145個app中的APK檔分別在不同地點感染不同名稱的Windows惡意可攜式執行檔(Portable Executable, PE)。
特性:
會進行Windows鍵盤側錄,藉此竊取用戶信用卡號、社會安全號碼及密碼。另外,它們也採用無害的檔案名稱來偽裝,像是Android.exe、my music.exe、gallery.exe、msn.exe、css.exe等等。
這些惡意PE檔在Windows機器上的行為包括:在Windows系統資料夾中建立隱藏的可執行檔,包括自我複製,然後將Windows registry改成重新開機後自動啟動,之後在Windows系統上蟄伏一長段時間,蒐集用戶資料。
這些感染惡意PE的APK並不會對Android 裝置本身產生影響,因為它們只能在Windows機器上執行。但如果不小心在Windows PC上開啟了這些APK,就會對用戶產生危害。
政府偷偷存取用戶資訊, Google將通知企業客戶
22
近期Google宣布一項新服務,一旦Google發現政府企圖存取G Suite企業用戶的員工資訊時,會立即通知該企業。
Google自2012年即會在政府支援的駭客駭入用戶Google帳號時直接通知用戶,這次則是將服務推向企業用戶。
它預設是關閉的,可由G Suite管理員開啟本功能,當Google判斷有政府資助的攻擊者試圖利用網釣郵件、惡意程式或其他方法存取某用戶的帳號或電腦時,就會觸發電子郵件通知企業管理員。
物聯網安全出頭,HP祭出全球首個印表機抓漏專案,懸賞1萬美元
23
HP提供全球首個針對印表機的抓漏專案,將視漏洞的嚴重程度提供500到1萬美元的獎金。 尋找這些印表機的韌體安全漏洞,
如:遠端程式攻擊、網站請求偽造(Cross-Site Request Forgery,CSRF)或跨站指令碼(Cross-site Scripting,XSS)攻擊等。
變種Magniber鎖定中文使用者
24
勒索軟體改版再度現身,針對亞洲國家採專屬惡意軟體攻擊,目標為採用中文、韓文、馬來西亞語電腦。
研究團隊發現它會檢查受害者電腦所採用的語系,首先依序偵測中文(澳門、中國、新加坡、臺灣),再者判別是否為韓文或馬來西亞語(汶萊、馬來西亞)。如果都不是上述語系版本的作業系統,這個勒索軟體就會終止執行。
實體隔離系統之省思(以台積電為例)
25
一.其實不完全實體隔絕(網路線、無線卡…)
二.以為實體隔離輕忽資安
三.新系統上線之掃毒(硬、軟體)
四.頻繁使用USB更新軟體、USB之掃毒
五.使用筆電進行更版,筆電之掃毒與連網
六.系統更換(增加)晶片之firmware掃毒
高科技 國防 金融 價值
.
.
.
台積電為何遲遲不修補機臺Windows漏洞?不是不願意,其實是無能為力
26
機臺OS更新3大難題
01
許多老舊機臺設備往往使用多年,供應商早已不再提供支援,IT人員想要升級,會擔心發生問題無人可協助而不敢進行。
02
企業採購機臺設備時,往往是軟硬體整套購買,包括內部軟體、周邊硬體和OS。為了避免影響設備的效能或功能,供應商甚至不會開放OS權限或禁止企業IT人員安裝任何軟體或工具,除非供應商自行釋出更新,否則,科技業IT部門很難對這類機臺的OS自行升級。
許多機臺採用的不是標準OS,而是客製後的嵌入式Windows版本,但微軟釋出的更新往往以標準版為主,這類機臺也需要供應商才能處理,IT人員也不敢擔保升級後會不會造成機臺問題。
03
小心壞心AI的三大威脅! AI專家聯名發表惡意AI報告來示警
27
來自14個不同組織的AI專家,近日發表了《AI的惡意使用:預測、預防與緩解》研究報告,採討AI對數位安全、實體安全和政治安全的威脅。
1. 在數位安全上,專家擔心自動化的網路攻擊行動將擴大現有攻擊的規模,預期會出現專門利用人為疏失、軟體漏洞與AI系統漏洞的新型態攻擊行動。
2. 另外,他們也預期,AI將藉無人機或其它系統所展開實體攻擊,如造成自駕車撞毀,或是遠端操控數千架無人機以展開攻擊等。
3. 此外,AI還能被用來破壞政治安全,以AI分析大量資料進行監控,建立特定目的的宣傳活動或欺騙行為,如進一步分析人類行為、情緒及信仰以發動攻擊。
美大學生安裝鍵盤側錄程式竊取教授憑證改成績,時間長達21個月
28
近日美國聯邦調查局(FBI)宣布逮捕一名19歲的愛荷華大學學生Trevor Graves,在多台學校電腦上安裝鍵盤側錄裝置,以取得教授的登入憑證,時間長達21個月,總計竄改逾90次成績,包括他自己以及其他5名同學,而且還會定期偷出考試卷與同學分享。
調查:感染勒索軟體時,近6成是員工自掏腰包付贖金
29
雲端商業應用供應商Intermedia近日公布一項調查報告,顯示當被勒索軟體攻擊時,有59%的員工表示曾自掏腰包付贖金,另有37%說贖金是老板付的。
根據估計,全球因勒索軟體所帶來的損失將從2015年的3.25億美元成長至今年的50億美元,且勒索軟體已被企業視為是造成資料流失的第二大殺手,第一名的硬體故障佔了30%,勒索軟體則佔29%。
智利最大銀行遭駭,疑癱瘓近萬台系統,再用SWIFT網路盜轉
30
智利最大銀行智利銀行(Banco de Chile)2018.05月遭到惡意程式入侵,據傳9,000台員工電腦及500台伺服器無法開機,駭客再企圖趁亂利用SWIFT網路盜轉銀行金錢。
該攻擊影響智利銀行的工作站、PC、分行及電話銀行服務無法運作。
傳中國駭進美國海軍承包商 竊取機密軍事資料
31
華盛頓郵報與CBS News最近引述美國官員報導,中國政府駭客曾於今(2018)年1月與2月兩度入侵美國海軍的承包商,竊取了多達614GB的機密資料。
美國FTC開始受理挖礦綁架投訴案件
32
FTC表示,駭客把使用者的電腦當成是自己的虛擬提款機,利用使用者裝置的處理器資源來挖礦,日益進步的挖礦綁架技術完全不需要使用者安裝任何軟體,只要誘導使用者造訪惡意網站或廣告就能感染裝置,使用者即會在不知情的狀況下幫駭客挖礦。 FTC受理的投訴類別涵蓋身分竊盜、詐騙、垃圾訊息、行動裝置、網路服務/購物/電腦、教育與工作、信用卡/記帳卡等等,挖礦綁架的受害者可選擇電腦類別投訴。
美國聯邦交易委員會(Federal Trade Commission,FTC)
當加密流量成為網路常態
33
根據Cisco的採樣,透過TLS加密連線進行通訊的惡意軟體,在2015年的比例是2.21%,到了2017年5月,增加到21.44%。
當整個網際網路在大力擁抱加密連線的作法時,有心搞破壞的人士、惡意軟體、網路入侵行為,也同樣受到這個機制的保護,而難以現形。
2.21% 21.44%
傷你最深的其實是內部威脅
34
模擬USB鍵盤: 讓作業系統以為只是接上鍵盤,而迴避電腦周邊裝置控管
透過可側錄電腦螢幕、內建記憶卡儲存能力的轉接線: 在公司電腦受到公司監控的狀態下,透過這種方式,員工可將操作電腦畫面,透過這種方式擷取為圖檔,將不得外流的機密取出。
二
三
一 廠商代管
偽冒企業品牌LINE @帳號事件頻傳
35
從今年(2018) 3月20日至7月9日止,臺灣LINE@帳號累積了超過900個假冒帳號。 在散布的內容上,有高達一半的比例,是贈送假官方貼圖,也有1/4是贈送假優惠訊息。而目前臺灣知名品牌遭盜用的例子,則包括像是星巴克、王品、中油、全聯、7-ELEVEN與全家便利商店。
LINE @生活圈帳號
36
在LINE官方帳號的機制下,LINE@帳號分為3種級別,包括 (一)綠色盾牌的官方帳號、 (二)藍色盾牌的認證帳號、 (三)灰色盾牌的一般帳號。
前兩種需要經LINE@官方審查,但第三種則不會經過審核的程序,由於免申請費用,因此容易遭到濫用。
太方便的服務
• 只要我上中華電信網站 登入服務 (登入的帳號是手機號碼)
• 就可以申請了...超簡單..
• 這個服務的內容是...
• 如果有一天我忘了帶手機出門,可是又有重要的簡訊要收 (看中華電信多貼心)
• 就可以上網申請..申請時,可以設定另一支手機號碼或email
• 當有人發簡訊給我們時...被設定的手機及原來的手機 都會有簡訊出現..
37
• 這案子的被告都是利用手機號碼向MaiCoin申請帳戶後,開始進行援交詐騙
• 因為MaiCoin只要有交易就會發驗證碼
• 但這四個人都說 是有人冒用他們的資料 去申請簡訊轉接..
• 由於這簡訊轉接也會發送簡訊至 原手機上..這四個人辯稱...他們不知那是什麼就直接刪除了
• (這件案子不起訴)
• 我跟同事說..台灣電信的便利,讓定罪更難了
38
報告:個資外洩最多的產業是?
39
根據Verizon最近的一份報告顯示: • 政府機關所發生的資料外洩案件最多 (303 起), • 其次是銀行 (277 起) 和 • 零售業 (164 起)。 相對的,Unisys表示,消費者認為最可能發生資料外洩的產業分別為: • 電信 (59%)、 • 政府 (49%) 及 • 銀行 (48%)。
在最近一項針對40家公司共25萬台端點裝置的分析發現,每一家公司的企業網路都有遭到「進階持續性滲透攻擊」(Advanced Persistent Threat,簡稱APT攻擊)入侵的跡象,但大多數仍未發展到最危險的資料外傳階段。
企業發現新型態的銀行惡意程式非常難以防範,而且其技術在 Zeus 出現之後更不斷精進,這類惡意程式專門暗中竊取使用者的網路銀行帳號登入資訊。
40
GDPR
公司治理之資訊運用與保護
內部(故意、疏忽、違規……專業不足)
外部(竊取、癱瘓、篡改……難以抵檔)
網路科技運用不當, 將對公司營運產生重大影響
營運成本 VS 違規罰款
Line 隱私同意爭議
資料來源:自由電子報 2011/01/06 41
聯發科工程師跳槽晨星
台積電高管遭南韓三星挖角
資料來源:商業週刊 2011/11/07 42
美國康寧機密被竊
資料來源:自由電子報 2005/10/23 43
資料來源:華夏經緯網 2008/04/11 44
富士康告比亞迪商業竊秘罪
友達揪內賊
資料來源:中國時報 2012/10/16 45
機密外洩來源
• 曾擔任、接觸或掌握重要資訊的業務、研發及資訊部門的員工 。
• 具下載公司機密文件權限。
• 未有偵測異常資料存取預警機制(如BIG DATA巨量、異常時間) 。
• 未防止員工接觸、存取非關自身業務之資料。
• 未對郵件外寄內容偵測。
46
其他可能原因
• 同仁的帳號、密碼易於猜測(同EIP密碼) 。
• 離職員工之離職生效日未讓其他員工、接洽單位及合作廠商等獲知。
• 帳號眾多分散於各系統,系統管理者未即時停用或刪除。
• 未變更共用帳號及密碼。
• 未有對可攜式儲存媒體下載內容偵測紀錄。
• 電腦硬碟未加密。
• 未防制P2P相關軟體安裝。 47