資訊安全教育訓練從個人做起

講師：薛宇盛

2

講師簡介

姓名：薛宇盛現職：資訊安全顧問/講師ISO 27001/20000/BS10012主導稽核員現職：電腦圖書作者電話：0920275459

2

電話：0920275459

E-mail ：newsnort@gmail.com

課程大綱

重大資安事件

資通安全管理法及個人資料保護法案例宣導

資安威脅

3

資訊安全從個人做起

全球資安威脅趨勢及攻擊行為的演變

4

國家資通安全發展方案

5

「資安即國安」戰略，我國已將資安提升到國安層次，展現積極捍衛數位國土層次，針對建立國家層級資安聯防團隊之作法提出建議如下，各關鍵基礎設施：1. 建立資訊分享與分析中心 (Information Sharing and Analysis Center, ISAC)如金融界F-ISAC2.電腦緊急事故處理小組 (Computer Emergency Response Team, CERT) 等資安管理機制納入。

106-110

資資

資資安安法法規規

資安特別法(或條文)：• 刑法36章、電信法、電子簽章法• 國家機密保護法、個人資料保護法、• 金融控股公司法、銀行法、• 醫療法、人體生物資料庫管理條例等

與與

資安相案法案之立法目的

• 除規範公務機關外，亦規範關鍵基礎設施提供者等非公務機關

• 要求訂定安全維護計畫(透過細則要求以風險管理為核心訂定之)

資通安全管理法及子法

• 國家資通訊安全發展方案

6

參參考考指指引引

資資安安政政策策

• 安全控制措施參考指引• 無線網路安全參考指引• 資訊系統風險評鑑參考指引• 資訊作業委外安全參考指引……等18份

與與相相關關規規定定

• 國家資通訊安全發展方案• 資通安全通報應變作業機制• 行政院及所屬各機關資訊安全管理要點• 行政院及所屬各機關資訊安全管理規範• 政府機關（構）資安責任等級分級作業施行計畫• 資訊系統分級與防護基準作業規定

攻擊最為嚴重的前三大產業1.金融2.高科技3.醫療保健

各產業遭受攻擊次數

7

資料來源

8 月 6 日，台積電總裁魏哲家在記者會，將這起事件定調為「人為疏失」，強調「台積公司於 8 月 3 日安裝新機台時，並未將此機台於連結網路前隔離確保無病毒，造成病毒進入公司網路。」

這也是台積電在資訊安全的重要一課，只要有人貪圖方便，這些防護措施可能都完全起不了作用。

台積電產線中毒大當機，52億元的學費

8

基隆市政府官網中勒索病毒機密、個資未外洩

9

行政院資安處派員到市府取回病毒碼進一步鑑識，初步瞭解並無民眾個資外洩，至於受影響作業系統，主要是內部的公文系統及員工入口網受影響，改以紙本作業，市府已經加速重建各使用者帳號，在完成設定後即可恢復正常使用。

議長蔡旺璉最後做成決議：市政府應追究廠商責任，也要加強網路安全，記取教訓，並將編列預算及被駭情況，一週內提出報告。

台北市衛生局被駭298萬筆個資 IP來自中國

台北市衛生局網站去年遭駭客入侵，入侵台灣至少40個政府機關和學校等單位，其中包括知名醫院的病患資料，很可能被盜賣給詐騙集團。

10

各機關對危害國家資通安全產品限制使用原則（一）

該行政命令母法來自「資通安全管理法」

公務機關不遵守該使用原則，將依照資安法進行懲處依據資安法第19條的規定，針對公務機關所屬人員未遵守資安法規定者，依照情結輕重予以懲戒或懲處。

溯及既往優先盤點機關內已經採購的、來自危險地區的產品清

11

優先盤點機關內已經採購的、來自危險地區的產品清單送交行政院，行政院也會彙整一份正面表列、禁止採購品牌的產品清單，給受資安法規範的機關參考；該份使用，適用先前已經採購的資安產品。

不是中國或陸資就是危害資安產品「因為可能產生危害臺灣資安通安全產品的來源不一定只有中國，還有其他國家，不點名特定國家別，也可避免疏漏。」

各機關對危害國家資通安全產品限制使用原則（二）

產品範圍伺服器主機、網路攝影機、遙測定點設備、無人機、雲端服務、電信業的核心骨幹網路設備電腦軟體、防毒軟體、機關委外開發的軟體系統、委外通訊設備顧問，以及委外企業開發資訊系統等，都被視為資通安全產品。

採購危害資安產品需經主管機關核可並列冊管

12

採購危害資安產品需經主管機關核可並列冊管理，並遵守五項規定「指定特地區域及特定人員使用」

「不得與公務網路環境介接」

「不得處理或儲存機關公務資訊」

「測試或檢驗結果應產出報告」

「購置理由消失時，或使用年限界滿應立即銷毀」

亞洲區遭惡意程式潛伏的天數最高

√

√

歐洲區

美洲區亞洲區

13

全球被攻擊滲透潛伏的時間，平均值停留時間 是 101 天。 但實際的全球停留時間差異很大，從不到7天到超過 2,000 天不等。

資料來源

√

√

潛伏期越久代表單位對駭客入侵”感知能力不足”

電子郵件還是駭客的最愛

模擬CEO的Mail寄給員工+含病毒附件

14

90%郵件攻擊沒有惡意程式目的在試探

僅有10%郵件攻擊是有夾帶惡意程式

臺灣金融業歷年遭駭事件簿

15

第一銀行ATM事件遭駭流程示意圖

16

一銀ATM弱點

以為ATM封閉網路系統是比較安全的，使得一銀缺乏足夠的警覺性。1

一銀的ATM設備雖都有安裝防毒軟體，還需要白名單軟體2

ATM裝置上缺乏相關的預警系統(異常金錢提領、現鈔與帳務盤點不符時)3

社交工程郵件造成8千萬盜領事件

17

刑事局查緝專刊

18

警方在內湖區西湖公園找到一個破爛垃圾袋（最後那二千萬）

19

一銀盜領案駭客首腦西班牙落網

新北處調查，該犯罪集團足跡橫跨歐亞，受害國家逾40國，超過100家金融機構被駭，總計不法所得高

20

駭，總計不法所得高達10億歐元，折合新台幣約360億元。

查查自己的公務信箱是否遭駭客外洩

https://haveibeenpwned.com/

輸入e-mail即可知道

目前一共有50億個e-mail遭

21

50億個e-mail遭駭客外洩

PWNED：擊倒

紅色表示已外洩綠色表示安全

22

表示該郵件信箱因註冊於該網站，後因該網站遭駭客入侵，導致郵件信箱外洩

外洩原因二種有意:註冊；無意：中毒造成

因註冊造成

23

因中毒造成

遠銀SWIFT遭駭6000萬美金匯國外

24

遠銀SWIFT遭駭6000萬美金匯國外

25

SWIFT遭駭事件Top5

26

金管會列舉遠銀三大缺失

各單位也要從遠銀事件，內部Review重要系統，有無相同之缺失。

27

政院宣稱每月超過100則「假新聞」

行政院2017年5月成立的「即時新聞澄清專區」裡面包括了各部會的回應，其中像是回應世界球后戴資穎呼籲改善體育環境、回應踹慰安婦銅像的藤井實彥事件，都被列入當做是「假新聞」。

28

嚴打假新聞

行政院通過修正7個法案，嚴打假新聞，最高可處無期徒

29

可處無期徒刑

散佈假新聞，抓起來偵破臉書「正宗!鬼島狂新聞!」假新聞

30

資通安全管理法個人資料保護法案例宣導案例宣導

資料來源：行政院資通安全處

技術服務中心

法務部

公路總局○○監理站鄒○○洩漏車籍資料案

壹、案情摘要：公路總局○○監理站約僱操作員鄒○○於90年1月間，連續於同仁辦理車籍異動作業之際，找藉口或利用中午休息期間借用同事電腦，或以自己密碼進入，私自查詢車主資料，再迅速以紙張抄錄，提供屏東縣團管區約百餘份車號及

32

紙張抄錄，提供屏東縣團管區約百餘份車號及電話，另外查詢其丈夫的違規資料，或義務幫忙親戚朋友，未收取任何酬庸。

涉嫌違反刑法第132條「公務員洩漏或交付關於國防以外秘密之文書、圖畫、消息或物品者，處三年以下有期徒刑」及個人資料保護法第18條「未能防止個人資料被竊取、竄改、毀損、滅失或洩漏」。

公路總局○○監理站鄒○○洩漏車籍資料案

貳、查證情形：

該員因害怕以個人密碼開啟的視窗盜查資料，會留存紀錄、禍延己身，乃多次利用同仁於承辦民眾車籍異動作業之際，找藉口或利用中午休息期間借用同事電腦，形跡詭譎，為同仁發覺，案經政風人員發掘異常透過電腦作業紀錄查證逐一核對，鄒員坦承犯行，移送調查機關偵辦。

33

參、責任訴追：

一. 刑事責任：鄒員因違反洩漏車籍資料於他人，嚴重違反個人資料保護之相關規定，涉嫌刑事責任部分移送調查機關偵辦。

二. 個資法：致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者，負損害賠償責任。

三. 資安法：第19條~ 22條罰則及行政處份

四. 行政責任：經考績會審議記大過並調職，以昭迥戒。

34

公路總局○○監理站鄒○○洩漏車籍資料案

肆、弊端癥結：一. 未釐清或界定公務與個人私事需求區隔之法令規定，故若員工

意念不堅，易受外界利誘，形成管制上的漏洞。二. 鄒員只查詢不列印，再以抄寫方式外傳資料，電腦程式當時尚

無法全面紀錄違法證據，予可乘之機。伍、檢討策進：一. 立即解除該員電腦使用權限，也調離櫃台電腦操作工作。二. 依個資法第十二條，個人資料被竊取、洩漏、竄改或其他侵害

35

二. 依個資法第十二條，個人資料被竊取、洩漏、竄改或其他侵害者，應查明後以適當方式通知當事人。

三. 車籍資料之調借，為符保密規定，司法及治安機關須以正式公文書或緊急程序指派專人洽取，否則不得提供。

四. 對於員工平常辦理任何車籍資料異動，主管應主動管制勾稽，遇有不當操作行為癥候，即時勸阻處理，以防範洩漏禍患於未然。

五. 自93年9月1日起建立電腦程式，車籍資料查詢全面紀錄，倘有違法亦可據以追訴。

公路總局○○監理站鄒○○洩漏車籍資料案

螢幕保護程式+密碼 無法即時。

短暫離開座位，一定記得鎖住螢幕。Win鍵+L

如此其他人無法任意偷偷使用您的電腦。

36

歐盟一般資料保護規則(GDPR)事件通報72小時內

37

資安管理法精神

38

39

40

資安管理法架構

本法以資通安全管理為核心，分為5個章節，計24條

資通

第1章總則(§1~§8)

第2章 公務機關資通安全管理(§9~§14)

立法目的、名詞定義、資通安全產業之推動、行政院職責、幕僚任務委任或委託、資安責任等級分級、情資分享機制、資通委外監督

資通安全管理與維護計畫、資通安全⻑之設置、年度資通安全報告之提出、資通安全查核、通報應變措施、獎懲措施

41

通安全管理法

(§9~§14)

第3章 非公務機關資通安全管理(§15~§18)

第4章 罰則(§19~§22)

應變措施、獎懲措施

、關鍵基礎設施提供者資通安全維護之管理與監督、受指定之非公務機關所提供之產品或服務資通安全管理之管理與監督、資通安全事件通報應變、行政檢查

行政處分

第5章 附則(§23~§24) 施行細則授權、施行日期

資安法法規要點

−行政院、委託或委任單位、各公務機關−中央目的事業主管機關權責

− 資安責任等級分級

− 資安維護計畫之制定與實施

− 資安⻑設置− 年度資安報

− 資安責任等級分級− 中央目的事業主管機關得要求訂定與執行資安維護計畫，並進行查核

− 資安事件之通報應變− 行政檢查− 罰則

資通安全推動組織

公務機關資通安全管理

非公務機關資通安全管理

42

− 年度資安報告提出與資安查核

− 資安事件通報應變

− 獎懲制度

− 委託機關應監督受託者資安之維護

− 資通安全專業人才之培育。

− 資通安全科技之研發、整合、應用、產學合作及國際交流合作之推動。

− 資通安全產業發展及推動。

− 資通安全軟體、設備技術規範、資通安全相關服務及審驗機制之發展及推動。

⺠眾福祉產業發展國家安全

資通安全管理

資通服務之委外管理

帶動

資通安全產業

資通安全管理

資安威脅

囤積高危險弱點充當武器的邪惡單位

44

弱點發現到WannaCry_想哭勒索病毒流傳僅兩個月

45

各地想哭災情不斷-1

46

各地想哭災情不斷-2

47

各地想哭災情不斷-3

48

台電779台電腦中勒索病毒

台電779台電腦中毒，大林電廠的運轉資訊顯示幕跳出勒索病毒畫面。

49

8 月 6 日，台積電總裁魏哲家在記者會，將這起事件定調為「人為疏失」，強調「台積公司於 8 月 3 日安裝新機台時，並未將此機台於連結網路前隔離確保無病毒，造成病毒進入公司網路。」

這也是台積電在資訊安全的重要一課，只要有人貪圖方便，這些防護措施可能都完全起不了作用。

台積電產線中毒大當機，52億元的學費

50

勒索病毒三部曲(趨勢科技)勒索病毒四種管道(癮科技)

誘騙成功並植入惡意程式

加密硬碟所有資料

51

有資料

勒索贖金(比特幣)

(1) 郵件中的附檔及網址(2) 上網瀏覽網址中的廣告及附檔

勒索病毒-第一步誘騙成功並植入惡意程式

下圖是台北市某公司會計人員,誤點免費中獎iPhone 6S的釣魚詐騙,導致伺服器上的資料被勒索軟體CryptoLocker加密,結果當事人與主管調離現職。

此為APT攻擊常見之手法，如出一轍，但使

52

此為APT攻擊常見之手法，如出一轍，但使用者都太過大意，進而使公司遭受攻擊。

新的議題老手法-騙

53

https://www.tw-fun-offer.com/_static/_supload/pl/SB/optimized3/Nologos_PL/TW_Starbucks_G2-Optimized5_Safe/index.html#valid

新的議題老手法-騙

54

https://www.taiwan-best-gifts.com/_static/_supload/pl/G/TW_SB/index.html

www.virustotal.com查詢網址信評

55

勒索病毒-第二步加密硬碟所有資料

悲劇的開始，駭客從遠端下命令給惡意程式，進行非對稱加密(有兩把金鑰)，若無駭客給予的密鑰，所有加密檔案，將無法解密。

56

勒索病毒-第三步勒索贖金(比特幣)

有早鳥價，倒數計時超過時間後贖金加倍。

使用比特幣交易，可藉此躲避追查，故無法以金融帳戶找出駭客所在地。

57

全球首創！全家購買比特幣也可付贖金，不知是幸還是不幸

58

預防勒索病毒三不三要(趨勢科技)

59

WannaCry的表親挖礦病毒

Adylkuzz木馬病毒自今年4月至5月初起，利用Wannacry使用的相同漏洞入侵電腦，不為人知地在背後「挖礦」，可能已讓不法之徒大賺上百萬美元。

60

加密虛擬貨幣爆炸性成長挖礦惡意程式爆增（趨勢科技)

61

想哭勒索病毒

挖礦病毒

比特幣、挖礦、礦場的關係

先了解比特幣、挖礦、礦場及礦池1. 我手上現在有一張面值100元的新台幣。（比特幣）2. 誰能猜出這張錢的編號才行。（挖礦，隨機填充數值

求解），就有機會分享這100元3. 自己想盡辦法猜，猜中得100元——個人挖礦4. 出錢召集一些人來一起猜——礦場5. 召集認識不認識的人一起來猜，通過猜測的次數，按

62

5. 召集認識不認識的人一起來猜，通過猜測的次數，按比例分配這100元——礦池

挖礦病毒做什麼3. 偷用別人或一堆人的身份去猜，並納為己有——挖礦病毒

勒索？挖礦？

2018年最嚴重的資安威脅是非法挖礦

2017年最嚴重的資安威脅是勒索軟體您看得到畫面，知道自己被勒索了

63影片: 勒索病毒

因為挖礦病毒是暗地來沒有畫面您自己完全不知自己的電腦被駭客控制進行挖礦這才是挖礦病毒可怕之處

竊電情資，破獲虛擬貨幣「挖礦場」竊電集團案

64

進階持續性威脅概觀

進階持續性威脅的定義?Advanced Persistent Threats，簡稱 APT。

進階持續性威脅 (APT)，必須符合先進(Advanced)、持續(Persistent)、威脅(Threat)等3個要件。 Advanced

65

Advanced：意指精心策畫的先進攻擊手法。

Persistent：則是長期、持續性的潛伏。

Threat: 造成個人或企業有形或無形的資產損失。

APT攻擊重點在於低調且緩慢，利用各種複雜的工具與手法逐步掌握目標的人、事、物，不動聲色地竊取其鎖定的資料。所以能發動這種 APT 攻擊手法的駭客，都是以長期滲透特定組織為目標。

進階持續性威脅(APT)的典型特色

【鎖定特定目標】 針對特定政府或企業，長期間進行有計劃性、組織性竊取情資行

為,可能持續幾天，幾週，幾個月，甚至更長的時間。

【假冒信件】 針對被鎖定對象寄送幾可亂真的社交工程惡意郵件，如冒充長官

的來信,取得在電腦植入惡意程式的第一個機會。

【低調且緩慢】 為了進行長期潛伏,惡意程式入侵後,具有自我隱藏能力避免被偵測,

66

為了進行長期潛伏,惡意程式入侵後,具有自我隱藏能力避免被偵測,伺機竊取管理者帳號、密碼

【客製化惡意元件】 攻擊者除了使用現成的惡意程式外亦使用客制化的惡意元件。

【安裝遠端控制工具】 攻擊者建立一個類似殭屍網路/傀儡網路 Botnet 的遠端控制架構攻

擊者會定期傳送有潛在價值文件的副本給命令和控制伺服器（Command & Control Server）審查。

【傳送情資】 將過濾後的敏感機密資料，利用加密方式定期外傳

APT攻擊示意圖(趨勢科技)

67

進階持續性威脅攻擊的種類

APT攻擊主要是透過電子郵件社交工程手法，針對特定組織、人員、目標，寄送惡意電子郵件。

透過社交工程手法。

透過釣魚、詐騙網址。

68

透過釣魚、詐騙網址。

透過社群網站。

透過偽裝軟體。

透過零時差攻擊。

魚叉式釣魚(Spear phishing)攻擊。

水坑式(Watering Hole)攻擊。

魚叉式網路釣魚攻擊的例子

駭客會花時間研究目標(受駭端)的喜好 小張喜歡看小貓影片及照片，他在Facebook的貓咪粉絲

團按讚，在Facebook張貼喜歡的小貓相片，還在Facebook上推薦其它關於小貓的網站。

發動郵件攻擊 因此當小張收到來自他喜歡的一個小貓網站的郵件，要

他點擊嵌入的連結就可以優先觀看最新的有趣影片時，

69

他點擊嵌入的連結就可以優先觀看最新的有趣影片時，不知這是駭客佈下的惡意程式連結。

此時小張的電腦就被感染了，所有的個人和工作資料被傳送到駭客手中。

成功的魚叉式網路釣魚攻擊利用目標受害者天生的好奇心，有些更有效的企業攻擊則是在郵件的附件主旨下功夫，例如「2013薪資指南」、「第一季徵才計畫」和「會議時間更動」等，另外有些則是利用人們的恐懼心，例如法院傳票。

水坑式攻擊的例子

駭客會花時間研究目標(受駭端)的喜好

小張喜歡看小貓影片及照片，他在Facebook的貓咪粉絲團按讚，在Facebook張貼喜歡的小貓相片，還在Facebook上推薦其它關於小貓的網站。

70

站。

攻擊目標(受駭端)喜好網站

攻擊者會針對小張常瀏覽的小貓網站，並植入偽裝成小貓影片或照片的惡意程式，引誘小張來下載並執行這些惡意程式。

此時小張的電腦就被感染了，所有的個人和工作資料被傳送到駭客手中。

駭客皆會花時間研究目標(受駭端)的喜好

魚叉式網路釣魚攻擊，主要使用郵件進行誘騙攻擊

水坑式攻擊則是攻擊(受駭端)的喜好的網站，再誘騙(受駭端)使其感染到惡意程式

魚叉式網路釣魚攻擊 V.S.水坑式攻擊

71

，再誘騙(受駭端)使其感染到惡意程式

資料來源RSA 2014大會

魚叉式釣魚攻擊文件(xls)

雖然工作與施工業務相關，但主要窗口為當地縣市政府，非行政院主計總處。

72

魚叉式釣魚攻擊文件(xls)開啟攻擊文件(xls)畫面

如果有同仁誤開啟含惡意文件檔，將會啟動文件中之惡意程式，後果不堪設想。

73

式，後果不堪設想。

駭客偽冒健保局名義寄發惡意電子郵件盜取1萬多筆個資(魚叉式釣魚攻擊)

74

駭客偽冒健保局名義寄發惡意電子郵件盜取1萬多筆個資(魚叉式釣魚攻擊)

75

駭客偽冒健保局名義寄發惡意電子郵件盜取1萬多筆個資(魚叉式釣魚攻擊)

下載的文件檔是假冒的副檔名(doc)，但真正的副檔名為exe(執行檔)

下圖中的…是一大串空格，但最後的副檔名是exe，若使用者沒有察覺到而誤執行到病毒執行檔，電腦就中毒了並外洩民眾個資。

76

檔名中加入大量的空格

偽裝成文件檔(doc)假造的副檔名

真正的副檔名執行檔(EXE)

新隱憂~IOT

77

指具網路連線功能並連線於Internet或Intranet之崁入式系統(具有小型作業系統)設備（以下簡稱設備），包含自動化辦公設備(如數位錄影機、電話交換機、傳真機、錄音設備、影印機等)及不具備遠端操控介面功能之感測器。

手持設備(手機平板 )時代下的新威脅

短訊夾病毒

假免費好康

假冒朋友到處借錢

78

短訊夾病毒

來源

電信短訊

Line、 Facebook、We chat…

解法

安裝防毒APP

79

安裝防毒APP

Android平台，至Google play搜索avast，安裝免費防毒APP

iOS平台，歹勢！平台太嚴謹，無真正的防毒APP，仍要小心iOS 惡意程式，日益增加中

假免費好康一生貪念，臉書帳號密碼被盜

80

警察局中山分局破獲酒店Call客機房詐欺案件

2018年5破獲酒店Call客機房詐欺案件，該機房利用LINE通訊軟體假扮酒店小姐，誘騙被害人到酒店消費，再由小姐以「爸死、母病、兄受傷」、「家裡需要錢」等各種名目詐騙金錢。該機房遭警方搜索後，仍有民眾持續在LINE上收到酒店攬客訊息，

許多民眾都曾在LINE收到假冒官方帳號的訊息，「全○福利中心響應父親節活動領取500元禮券」、「西○牛排禮券五人份」、「你分享我請客陶○屋雙人份精選套餐券」、「中○加油金500元」及「點此下載-反應過激的貓貼圖」，聲稱只要加入LINE@帳號為好友即可領取禮券、加油金、免費貼圖等優惠。

81

LINE@帳號為好友即可領取禮券、加油金、免費貼圖等優惠。 這些假帳號都是盜用商標LOGO做為大頭貼照片以假亂真，由於

是免費的優惠訊息，再搭配母親節、父親節等節慶活動，在短時間內就會有數千甚至上萬人受騙加入好友。

犯嫌詹嫌等4人，透過假的官方LINE@帳號詐騙民眾加入好友，再將這些帳號更換大頭貼及暱稱，以直播主或酒店小姐的身分，每天向民眾噓寒問暖及分享生活，再聲稱工作受委屈、家庭困難等說詞，要求民眾前往酒店消費或在直播平臺購買禮物贈送，讓不知情的民眾陷入愛情陷阱，藉以賺取不法利益。

各式Line的詐騙手法- TechNews提供重點-別起貪念啊

82

看看自己Facebook的隱私設定

83

隱私預設值最怕看到「公開」及「所有人」

84

唉！

不是好友也可看到全部

不就被看光光了

動手來修改隱私預設值吧點選「編輯」並進行修改

85

逐項依自己的意願設定不要是「第一項」及預設值

86

我自己的設定(參考)

87

如果不是朋友，什麼都看不到

88

資訊安全從個人做起

公務家辦及家務公辦資安問題

90

希拉蕊電子郵件駭客叫價50萬美元

2015-09-05 世界日報編譯孫梁

民主黨總統參選人希拉蕊．柯林頓任國務卿期間的部分電子郵件如今在網路出售，娛樂網站Radar Online公司9月3日表示，一個自稱電腦專家的人與他們接洽，說掌握希拉蕊3

91

電腦專家的人與他們接洽，說掌握希拉蕊3萬2000封以前從未公布過的電子郵件，索價50萬美元。

該事件不僅使她的白宮夢碎，還可能危害美國國家安全。

偷情網(Ashley Madison) 不向駭客低頭於是用戶資料被公開了！

2015-08-19自由時報譚偉晟

在 7 月中遭駭客入侵，竊取大量用戶資料的偷情網站「Ashley Madison」，直到駭客要求的最後期限，依舊沒有關閉旗下網站。

於是乎駭客將網站會員的資料全部放上網了！

92

由於內容包含大量用戶個資和交易資料，整個檔案大小竟高達 9.7GB！

從資料中可以看到許多虛構的女性用戶，同時有高達 90%~95% 的男性用戶，其中更有 1 萬5000 名用戶，是使用政府單位的信箱註冊會員！

偷情網站個資外洩驚見百筆「台灣公務員」電郵帳號

2015-08-24 聯合新聞網

世界最大偷情網站「Ashley Madison」日前驚傳遭駭，高達3700萬筆的個資外洩並且被公布在網路上，包括上百筆的台灣信箱帳號，其中甚至還有用政府信箱註冊的資料。

其中驚見不少政府單位的電子郵件帳號，包括美國

93

其中驚見不少政府單位的電子郵件帳號，包括美國、香港、中國大陸都有，台灣信箱帳號「.tw」的也有上百筆，當有還有「.gov」的字串，隸屬於各縣市政府，共有132筆，被人質疑公務員也上網偷情？

使用政府信箱註冊的國家中，前三名分別為美國、巴西與澳洲，台灣則排行第七。

偷情網站個資外洩驚見百筆「台灣公務員」電郵帳號

94

偷情網網災(2015年)

08/19 高達3700萬筆的個資外洩並且被公布在網路上

08/24 來自加拿大警方的消息，在駭客公布偷情網站Ashley Madison的用戶個資後，有兩位該網站的用戶自殺。

08/25 美國德州警察局長葛爾罕（Michael Gorhum）在名單內，受不了壓力而自殺。

95

名單內，受不了壓力而自殺。

08/26 此事被媒體曝光後，多名律師發起了一起集體訴訟，希望代表受害加拿大人向Ashley Madison索賠7.6億美元。

09/30 廉政署隨即接獲一位高雄市議員舉報，指國內共有104個政府單位（.gov.tw）與1,396個教育單位（.edu.tw）的電郵也在偷情客名單之列；因事涉政府資安與個人操守，廉政署正循線釐清。

96

偷情網站最多人用的弱密碼

97

一切都從註冊開始線上食衣住行娛樂都要註冊

98

信箱帳號及密碼要留那個?

這是一個提供下載各式影片的大陸網站註冊網頁。

註冊資料中以信箱帳號為唯一識別資訊。

A.

99

A. 公務信箱帳號公務電郵密碼

B. 私人信箱帳號(本尊)私人電郵密碼

C.私人信箱帳號(替身)弱密碼(如12345678)

網站註冊_要想一想用那個信箱帳號註冊

惡意的網站會先誘騙你註冊，就是要取得你常使用的信箱帳號，如果你又使用「相同」的密碼，那你不就外洩信箱帳號及密碼了。

最佳做法 C.私人信箱帳號(替身)+弱密碼(如12345678)

100

如12345678)

人人應該要有三個信箱帳號狡兔三窟

公務信箱帳號 私人信箱帳號(本尊) 私人信箱帳號(替身)

用途說明 公務使用 與金流、物流、購物、訂票、拍賣網、社群(Facebook)有關

用於註冊大陸網站、提供免費好康網站、來路不明網站

資安強度 高 高 低

密碼規則 依資安政策 比照公務信箱帳號， 密碼採弱密碼如

101

密碼規則 依資安政策定期更改密碼密碼強度(長度、英數、大小寫及特殊符號)

比照公務信箱帳號，建議申請GMail

密碼採弱密碼如12345678

註冊其它網站

最好不要拿來註冊

與金流、物流、購物、訂票、拍賣網、社群(Facebook)有關才使用該信箱帳號註冊

對付心懷不軌的網站，即以其人之道，還治其人之身

檢查自己Gmail 的使用紀錄

102

檢查異常設定(例如轉寄所有信件到其它不知名的信箱)

103

都被轉寄出去了

Google安全告警-若非本人請立即採取行動

104

如果出現非本人（地點不對、設備不對….

105

若有異常情況發生，馬上”變更密碼”

106

密碼暴力破解及強度實驗

以手機號碼_0920275459為密碼

暴力破解壓縮檔工具_Advanced Archive Password Recovery

107

Password Recovery

加密壓縮檔_zip

密碼長度：十碼

密碼複雜度：數字(0-9)

破解時間：54秒

純數字密碼升級版

以數字採象形文字進行變形，可自行發揮

適用各平台鍵盤(Windows、 Android、 iOS)

數字 象形

0 O(大寫O)

1 !

2 z

3 B

108

、 iOS)

可以使用三組電話做為密碼來源，以符合資安政策_密碼不與前三代相同

升級密碼複雜度

3 B

4 A

5 s

6 b

7 7

8 &

9 q

0920275459 OqzOz7sAsq

純數字密碼升級版密碼暴力破解及強度實驗

升級後的密碼，需要耗費一年以上的時間才能破解該密碼。

109

結論

資訊安全人人有責(很重要)

資通安全管理法已實施，一旦發生資安事件1小時通報，1~2級72小時；3~4級36小時內完成事件處理，一個月內提出改善報告。（很硬）

處理機關事務，應以公務信箱帳號為主；私人信箱帳號為備援。

私人信箱帳號(本尊)密碼請比照公務信箱帳號等級，定期更改及密碼強度(長度、複雜度及三代不可相同)。

處理私人事務，應以私人信箱帳號為主；請勿使用公務信箱帳號進行註

110

處理私人事務，應以私人信箱帳號為主；請勿使用公務信箱帳號進行註冊。

上班時間都不能處理私人事務嗎?(家務公辦)

「該做」的先做；再做「想做」的

下班後都不能處理機關事務嗎?(公務家辦)

依機關資安政策規範

注意家中電腦及智慧型手機安全問題

慈母心資安情

「是不是小孩使用電腦，還要戴口罩戴手套，以免小孩也中毒」

20年前的一通電話，一位母親的來電，被我當成笑話講了20年。

現在的我回想起來，我要向這位母親致歉，這位慈母的心，擔心小孩可能使用電腦中毒的擔憂，不正是長官及資安人員的擔憂嗎

111

長官及資安人員的擔憂嗎擔心同仁缺乏資安意義，可能導致重大資安事件，不

僅是組織名譽受損，接下來內部的裁罰，同仁那內心的壓力及恐懼，不正母親的擔憂嗎! 這種煎熬不正是一種因電腦病毒傳染到人體的毒害嗎!

多麼希望同仁都能多聽聽資安人員的苦口婆心，資安意識及資安政策如同慈母口中的手套及口罩！

Q & A

感謝長官蒞臨指導