物聯網的資安攻防大戰！臺灣該如何見招拆招？

110/09/22
曾繁安
科技大觀園特約編輯
資策會資安科技研究所王仁甫策略總監專訪

5G 科技讓萬物聯網的新紀元已經來臨，代表著機器與機器溝通，人類過上全自動化的超便捷生活不再是夢。但這同時也意味著科幻電影中，邪惡駭客組織攻占重要機關的主機系統，引發一連串資安問題，甚至攸關社會國家安危的重大事件，也可能在現實中發生！
科技帶來的便利與風險並存的這個世代，來聽聽資安專家——資策會資安科技研究所王仁甫策略總監的精彩分享，一起思考 5G 物聯網下面對的資安挑戰。

一起跟資安達人瞭解 5G 如何翻轉我們的生活！

「16 年前一個月黑風高的夜晚，博士班學姐的一通電話，讓我踏上資安這條不歸路……」

問起投入資安領域的契機，王總監用打趣的口吻開場。當時在學姐的建議下，他參與了設計國内第一個資安指標的工作，從此開啓與資安的不解之緣。自稱「資安界 56 哥」的王總監，雖非一般人熟悉的另一位仁甫兄，但他對科技資安研究的敏銳觀察與豐富經驗，肯定令人甘拜下風。

他談到，4G 網絡的發展令網紅經濟崛起，你我都不曾想像『點讚、訂閲、打開小鈴鐺』會變成一種常態。而接下來的 5G 物聯網，將帶來更大的轉變與衝擊。

為什麽比起 4G，5G 有「大頻寬、高速率、低延遲」的特性？這是因為目前 4G 所在電磁波區間（約 450 MHz ~ 3800 MHz）已塞滿用戶，讓網速變得越來越慢，因此人類便把腦筋動到頻率更高的毫米波頻段（約30 GHz ~ 300 GHz）。增加了 5G 的區段，就像從塞爆的車流中，移到空曠的新路上。而頻率越高，頻寬也越寬，這條道路不止空曠而且比原先的更寬闊，於是訊息的傳遞能暢行無阻，理論上可比 4G 快一百倍！

「5G 最重要的，就是可以達成邊緣運算（Edge Computing）。」

王總監舉例，自動駕駛和遠距醫療還未普及，是因為傳統仰賴的雲端運算（Cloud Computing），傳輸訊息的速度不夠快，且成本高。雲端運算可以比喻作中央集權制，凡事都要經過朝廷皇上批閲議決，效率自然較低；但邊緣運算就像地方分權，讓數據可以直接在收集端附近實時處理和分析，無需先上報到雲端進行存儲、管理和分析運算，節省了上傳等待運算的時間，也減輕網絡和服務器的負擔。

在高速公路和手術檯上，微秒之差就是生死關頭。而 5G 搭配邊緣運算，大大提高的數據傳輸速率與極低的延遲，讓自動車之間可以維持安全的相對距離，遠端控制的手術刀可以精準無差地落在正確的部位。

也有賴於 5G 科技，需要大量運算資源的人工智慧（Artificial Intelligence，AI）也可以實現。這些發展促成物聯網（Internet of Things, IOT）的建立，機器和機器之間可以達成溝通，整合各方數據資訊，迅速有效率地完成各種指令。小至個人智能家居，大至工廠機械、重要基礎設備如水壩、發電廠等等，都能踏入數位自動化的新境界。

越方便就越危險？機器與機器的連接也要小心

不過，5G 的特性也改變了用戶與網絡間的關係。傳統 4G 是直鏈狀的系統，由電信商自上而下提供網絡，再經由應用程式界面（Application Programming Interface，API）提供服務給用戶，存在一個封閉式的層級關係。但速率快、訊號覆蓋範圍較小的 5G（注1）， 則是由邊緣端、應用裝置及用戶組成，數據傳輸相互往來的三角形體系，不再有上下權限差別的限制。為了形成物聯網提供更多應用，5G 網絡也變得更對外開放，被駭入的風險也會提高。

研究專長為駭客行爲的王總監提到，如今網絡犯罪的作案手法越來越多元。過去搶匪洗劫銀行，還要擔心實體鈔票金條太重，扛不動。現在駭客只要動一動手指，就能利用惡意程式讓銀行的上億元瞬間消失；或使用勒索病毒，鎖定廠商的資料庫，再以巨額款項要挾，否則就把重要生產機密銷毀或公諸於世。

「5G 應用得越深，危害的情境就越高。」

未來 5G 物聯網可能面對的兩大資安威脅，包括用戶 IP 可能被駭入後，可能被用作惡意中繼站或跳板繼續攻擊另一方，讓受害者同時也成了加害者。再來，當物聯網涉及的層面越來越廣，假如被不法分子入侵掌控的是自駕車、基地台，甚至是重大國家基礎建設如水壩、發電廠等等，造成的損失傷害不堪設想！

網絡戰資訊戰開打，台灣如何接招還擊？

從個人角度，平時養成謹慎小心的習慣，不隨便亂點不明連接，隨時留意最新的網絡犯罪手法，是保護自己的不二法門。但在通訊科技發達的今時，第三次世界大戰很可能就在網路上發生，資安可是攸關國家安危的重大議題。

自 2016 年起，台灣便喊出「資安即國安」的口號，而王總監也參與在草擬「資安即國安」1.0 與 2.0 戰略的工作中。在1.0 戰略中，首要步驟就是將資安鐵三角（資訊安全、通訊安全、國家安全）正規化。政府也修訂相關法規，將資訊和網際空間延伸為國家主權的一環，並把駭客攻擊與竊取智慧財產，納入情報蒐集的工作，才能為網絡戰做好準備。

「守護要自己來，就需要有人才。沒有資安人才，就沒有基礎的資安；沒有錢投入，也不會有資安人才。」

王總監强調，一個國家的資安要做好，最重要的就是資源與人力的投入。如果國内資安產業沒有妥善發展，資安人才缺乏，就必須仰賴國外的產品。若系統程式都不是由自己人開發，而是假手於他人，便難以確保檢測過程的可靠性，往往等到資安事件發生後，才驚覺漏洞的存在。因此，政府也編組了多支專業團隊，培訓資通電軍與資安產業人才，為國内資安把關。

而「資安即國安 2.0」的重點，除了規劃新設數位發展部、成立專責的資通安全署，就是主動式防禦（注 2）——與其乖乖等著被人打，不如自己先請外部團隊攻擊自己，作資安測試，去找出資安漏洞和弱點！舉例來說，業界為了找出系統防禦上的漏洞盲點，常會委外進行紅隊演練（Red Teaming）。就像在進行軍事演習，紅隊扮演進攻方，以無所不用其極的方法嘗試入侵，同時驗證藍隊防守方的偵測與回應能力。這樣的演練成本可不低，一次就要三五百萬臺幣起跳。

但台灣不用付錢，就有免費的資安攻防演練！王總監如此笑言。這是因為，在全球最常受駭客攻擊的國家排行榜上，台灣可是位居前列。根據網路資安商 Fortinet 的報告，2021 年第一季台灣遭受到超過兩百萬次的駭客攻擊，平均每分鐘就會遭遇逾 15 次的攻擊！所謂危機就是轉機，這些源源不絕的攻擊，也讓台灣深具適合發展資安產業的龐大潛力。王總監認為，資安產業要像台灣未來的台積電，扮演護國神山般的角色。

想投身資安產業？不需要獻出心臟，只要有一顆熱忱的心

「投入資安產業不要限科系，但是要有一顆熱忱、學習的心。」對於有心想往資安領域發展的年青人，王總監給出這樣的建議。

雖非資訊科學出身，但大學的工程背景，讓王總監有了程式語言的基礎。後來他取得經濟學、法學雙碩士，前者使他瞭解產業界的趨勢走向，法學則令他知曉資安重合規性與合法性的重要。在科技管理與智慧財產權領域的博士論文中，他則從社會學、科技研究的方法分析駭客行為。他表示，跨領域的學習可以讓他從更廣濶的視角，釐清各方問題之後，找到痛點，來提供更好、更全面的科技與資安政策。

王總監指出，這一代除了要與人溝通，還要學會與機器溝通，所以掌握好程式語言的邏輯基礎是重要的，因此王總監所在的資策會資安所，除了研發研發資安監控平臺，將研發的成果技轉給業界，同時他也擔任台灣駭客協會(HITCON)理事和社團法人臺灣校園資訊安全推廣暨駭客培育協會(TDOH)理事，推展培育資安人才的各項活動，未來希望能舉辦小朋友駭客營，讓孩子在小學階段就能接觸和體會程式語言是有趣的。他也勉勵年輕人，能力好的可以負責找漏洞和抵禦攻擊，站在資安攻防戰最前線；即使程度不夠拔尖，也可肩負資安維運的工作，在各自的崗位上適才所用，都能為守護資安和國安，盡一份心力。

根據光速等於波長乘以頻率（c = f × λ）關係式，我們知道頻率越高的波段，波長越短，穿透能力強。所以 5G 電磁波訊號遇到障礙物時，會想强行穿越而非「繞」過，繞射能力弱，造成散失的能量大。因此 5G 雖然有著高速率、低延遲的優勢，弱點就是訊號覆蓋範圍小，故需要設置夠多的基地台方可實現，而電信服務商會提供用戶建設專網——既不同於覆蓋範圍大的公網，而是擁有特地目的、獨立運作的網絡系統。

此外，主動式防禦也包含三要素：歸因、阻斷、減災。歸因便是找出攻擊的背後原因，釐清駭客的犯案動機，才能對症下藥。再來，對惡意程式來源進行阻斷，往後才可以減少再次被入侵的風險。

附圖：王仁甫
和台灣知名藝人同名同姓的王總監，説話風趣幽默，整個採訪過程充滿笑聲。圖／台灣資安大會
邊緣運算架構
邊緣運算架構與傳統雲端架構不同的地方是，資料將改放在網際網路和本地網路之間的邊緣運算層作處理，等資料變少了，再將處理後的資料回傳雲端。
攻擊
台灣平均每分鐘就會遭遇逾 15 次的攻擊，源源不絕的攻擊讓台灣深具適合發展資安產業的龐大潛力。圖／pexels

資料來源：https://scitechvista.nat.gov.tw/Article/C000003/detail?ID=0853796d-0b42-4a72-a0cb-ed70ddad9f77&fbclid=IwAR2H03H3PtQ6JhtQIy6KpMaz78iFa7NBgfizoTzEbAGba_58W6guaSHYBkg

智慧工廠網路攻擊造成生產停擺數日，趨勢科技研究指出 IT 與 OT 缺乏合作，導致資安計畫無法落實，調查報告指出，大多數的製造業者 (61%)，其智慧工廠皆曾經歷過網路資安事件，並且面臨挑戰尋求適宜的解決方案來有效管理網路風險。趨勢科技建議採用三步驟來保護智慧工廠並維持順暢營運：
🛡防範：在資料交換之處 (如網路和 DMZ) 降低駭客入侵的風險，包括：USB 隨身碟、外部人員攜入工廠的筆記型電腦，以及 IoT 閘道。
🛡偵測：偵測異常的網路行為，例如幕後操縱 (C&C) 通訊與重複登入失敗。越早偵測就越能及早攔截攻擊，並降低企業所遭受的衝擊。
🛡維韌：這一點對於防止智慧工廠遭到任何已越過防範及偵測階段的威脅危害至關重要。趨勢科技 TXOne Networks 的工業網路與端點防護解決方案是專為 OT 環境量身打造，能承受極大的作業溫度範圍，不僅容易使用，而且對效能的影響極微。

深入探討: https://reurl.cc/zbEN7V

【比特幣是什麼？挖礦又是什麼？】

上次說過今年回家過年時，發現家中有一位非常崇拜 Elon Musk 的親戚，

當時他問我什麼是固態電池？

我把當時對他的回答，大致整理在下面這篇貼文中：

-
固態電池相關內容，可以參考下面這篇貼文：👉 https://www.facebook.com/raysky.invest/posts/2753569058305634

-
除此之外，

這位親戚原本也相當認同巴菲特對比特幣的看法，

認為比特幣是個毫無產值的東西，

不過他的想法在 Elon Musk 出來喊聲之後似乎也出現變化了。

他開始詢問比特幣是什麼？挖礦又是什麼？

所以今天同樣把當時的回答簡略的整理出來，跟大家分享一下。

-
比特幣是由中本聰所發明的，是一種沒有實體的虛擬貨幣，

性質上屬於「同質化代幣」Fungible Token (FT) 的一種。

這代表比特幣是「可互相取代」且「可分割的」。

換句話說就是，你擁有的比特幣與我擁有的並沒有不同之處，

如果我們願意的話，都拿同樣數量的比特幣去買一片同樣價值的披薩。

-
既然比特幣是一種虛擬貨幣，那自然在交易後就會產生交易紀錄。

全世界所有的比特幣交易紀錄都會被「打包成資料塊」 (區塊)，然後記錄在「比特幣帳本」上。

每個區塊大約可以記錄 4000 筆交易，然後以「鏈結」將其相連，因此被稱為「區塊鏈」。

而這個記錄著全世界比特幣交易紀錄的「比特幣帳本」，是由全世界共同持有，也就是所謂的去中心化記帳系統。

（一般我們使用行動支付時，會由銀行來幫我們記帳，這就是中心化記帳系統）

-
【礦工要怎麼獲得比特幣呢？】

如果你是一位礦工的話，

你必須要獲得打包交易紀錄 (區塊) 的權利，才能獲得比特幣作為獎勵。

只要你成功將一個區塊打包上鏈，那麼你就可以獲得礦工獎勵金 (比特幣)。

-
【誰具有打包的權利？如何打包區塊上鏈？】

首先任何人都可以競爭這個打包的權利，

但只有在「猜數字」競賽中勝出的人才有資格打包區塊。

這個遊戲規則是這樣：

誰最先猜出符合「條件」的數字，就能獲得「接上最新一個區塊」的權利。

這裡的「條件」是由「比特幣交易紀錄」、「上一筆區塊的內容」、「時間」和「系統設定的困難度」所組成的。

（以上的過程就是所謂的挖礦）

不過實際上要猜中一個符合「猜數字」競賽的「數字」是極其困難的，

就算使用一般的電腦來猜，可能猜上幾十億次都不見得猜的到。

所以換句話說，

你可以把挖礦想成是一個全球性的「猜數字」競賽，

你的「運算能力」越強能猜的次數越多，猜中的機率就會越高，

因此全世界就出現了許多集合大量「運算能力」的「礦場」。

(「礦場」示意圖放在附圖當中)

-
所以全世界只要有一個人猜出了一個符合的「數字」，

就會產生出一個最新的「區塊」，

而在出現了一個最新的區塊後，新一輪的「猜數字」競賽就重新開始了。

(新出現的區塊會經過其他眾多礦工的檢驗)

重複以上的運作，就可以不斷的為整條區塊鏈接上新的區塊。

-
【鏈結是什麼？】

剛剛說過，

我們可以把整個挖礦個過程，想成是一個不斷重複的世界性「猜數字」競賽。

所有被猜出的數字都必須要符合「條件」，

而這個「條件」的組成中是會包含「上一筆區塊的內容」的；

同時最新猜出來的「數字」與「最新產出的區塊內容」，

也會成為下一次「猜數字」競賽的「條件」，

就這樣不斷的重複下去。

說的再白話一點就是，

每個猜出來的「數字」都會與「上一個區塊」有關聯，而下一個猜出來的「數字」又會與「剛產出的區塊」有關連。

如此重複下去，就能達到整連鏈上的區塊都塊塊有「關聯」。

-
【為什麼比特幣不容易被竄改？】

首先你要知道在比特幣中有個最長鏈原則，全世界的人都會往最長那條鏈的方向去接下一個區塊。

再加上「要猜出一個符合條件的數字」這件極其困難的事，

就算耗費全世界的運算能力，也要大約十分鐘才能產出一個新的區塊。

同時因為有「鏈結」的原因，區塊鏈上的區塊塊塊有「關聯」。

-
那麼假設有一位駭客想竄改鏈上某個區塊中的某筆交易紀錄，他必須怎麼做呢？

首先他在竄改交易紀錄後，必須按造這個區塊內的資訊，猜出一個符合「條件」的數字。

等到他猜出來後，這個「被竄改的區塊」才能獲得上鏈的資格。
(這個步驟本身是極其困難，耗盡全世界的算力 10 分鐘也才產生一個新區塊)

又假設這個符合「條件」的數字真的被他給猜出來了，但這樣也還不夠，為什麼呢？

因為比特幣還有最長鏈原則，

如果這個「被竄改的區塊」所在的鏈不是最長的鏈，是無法取得全世界信任的，所以他必須繼續往下猜。

直到「被竄改的區塊」所在的那條鏈比全世界所猜出來的鏈還要長，

那麼這個「被竄改的區塊」才會被眾人所承認。

但要達成以上條件幾乎是不可能的，

除非你一個人掌握了全世界超過 50% 以上的算力。

過去我有寫過一篇關於「區塊鏈常見的駭客攻擊有哪些」的文章，

感興趣的朋友連結放在這邊：

👉 https://rayskyinvest.org.in/區塊鏈常見的駭客攻擊有哪些

-
【比特幣可以避險嗎？】

市場上似乎有不少的聲音將比特幣視為虛擬黃金，認為比特幣具有避險作用，但這是真的嗎？

我認為「比特幣可以避險」這個說法並不正確。

近年來比特幣與 納斯達克 100 指數 (NDX) 的相關係數，其實是越來越高的，

與 SP500 (SPX) 的相關係數稍微低一點，但大多數時間仍屬於中度相關，

而大多數人的投資標又都是以股市為主，

所以我認為應該把比特幣同樣視為一種風險性資產比較恰當。

-
【比特幣與美元指數的關係？】

就過去的資料顯示，比特幣似乎與美元有一定的負相關性。

如圖所示。

-
【量子電腦會對比特幣產生威脅嗎？】

結論：10 年內不會。

就目前的資訊顯示，

理論上量子電腦確實會對比特幣的安全性產生威脅，甚至對整個網路安全都會產生威脅。

但目前量子電腦能有許多物理上的限制需要突破。

因此就連量子電腦的專家也認為，

至少還要 10 年以上的時間，也就是 2030 年，

量子電腦的發展才有可能對現行的加密系統產生威脅。

所以目前視為天邊遙遠的一朵烏雲就好，不用過度煩惱。

同時在維護比特幣和以太幣的那群頂級工程師們，

是有注意到這項潛在威脅的，未來也有計劃針對此事對系統做升級。

-
讀完以上的內容後，

還想多加了解加密貨幣的朋友，可以參考下面的文章內容。

-
第一張圖片是由 Beeple 所創作名為《BULL RUN》的作品。

「Beeple NFT 作品在佳士得拍賣創紀錄」貼文：
👉 https://www.facebook.com/raysky.invest/posts/2769957640000109

圖片來源：https://twitter.com/beeple/status/1329639429900787714/photo/1

-
【幣安美元買加密貨幣流程教學】：
👉 https://rayskyinvest.org.in/幣安電匯美金換比特幣教學

【FTX 現貨交易教學】：
👉 https://rayskyinvest.org.in/TX現貨交易教學-錢包快速兌換和一般下單買賣

【核心理念是「不會讓本金出現波動」的交易機器人？】：
👉 https://rayskyinvest.org.in/期現套利基本觀念教學
👉 https://rayskyinvest.org.in/派網期現套利操作教學

-
【加入Telegram 與 Line 群】
LINE：漫談加密貨幣討論群
👉 https://rayskyinvest.org.in/漫談加密貨幣LINE群
TG：漫談美股吃鮪魚
👉 https://t.me/joinchat/L9lTJRvlVybefGlNDHDd3w
TG：雷司紀小道投資免費訂閱
👉 https://t.me/rayskyinvestment

🕹 天菜傳說：激戰!!人類乳突病毒 🕹
⚔️ 你是拯救世界的那個人嗎？HPV 肆虐的世界正在等待著你！！🦠🦠🦠
👉🏼 戰場傳送門：https://bit.ly/3eVWnGD

✔︎ 成為七七會員（幫助我們繼續日更，並享有會員專屬福利）：https://bit.ly/3eYdLKp
✔︎ 訂閱志祺七七頻道： http://bit.ly/shasha77_subscribe
✔︎ 追蹤志祺IG ：https://www.instagram.com/shasha77.daily
✔︎ 來看志祺七七粉專 ：http://bit.ly/shasha77_fb
✔︎ 如果不便加入會員，也可從這裡贊助我們：https://bit.ly/support-shasha77
（請記得在贊助頁面留下您的email，以便我們寄送發票。若遇到金流問題，麻煩請聯繫：service@simpleinfo.cc）

＃網路釣魚 ＃兩階段驗證
各節重點：
00:00 前導
01:33 駭客是怎麼入侵的？
03:36 防不勝防的釣魚攻擊
05:24 每個人都可以做到的三件事
07:18 感覺越重要的資訊 越要提高警覺
08:32 該如何避免被釣魚？
09:47 我們的觀點
11:49 結尾

【 製作團隊 】

｜企劃：冰鱸、志祺
｜腳本：冰鱸、志祺
｜編輯：土龍
｜剪輯後製：絲繡
｜剪輯助理：歆雅
｜演出：志祺

——

【 本集參考資料 】

→你好我們是擁有26萬訂閱的Youtuber, 近期我們的頻道被駭客盜了，現在頻道已經被停權....：https://bit.ly/31bbrvP
→26萬頻道被偷 請大家幫幫我...... 【秀煜的臨時頻道】：https://bit.ly/31VrRqY
→突獲27億遺產！蔡阿嘎曝光身世之謎　爽喊：不用買威力彩：https://bit.ly/2Q4Y2is
→26萬YouTuber頻道遭駭！3年影片心血空空如也：台灣Google無法處理：https://bit.ly/320pDqx
→駭客冒充 SpaceX 頻道詐騙，2 天獲利 150 萬美元的比特幣：https://bit.ly/326DYBE
→YouTube 大量用戶帳號遭劫持，創作者哀鴻遍野：https://bit.ly/3hdUNRO
→Massive wave of account hijacks hits YouTube creators：https://zd.net/3kSjKEl
→使用個人電腦應注意事項為何?：https://bit.ly/2E9Wzon

Google跟YouTube官方的教學說明
→YouTube 帳戶遭駭客攻擊時的因應方式：https://bit.ly/34a8tJJ
→確保 YouTube 帳戶安全性：https://bit.ly/2CByeXY
→防範及檢舉詐騙電子郵件：https://bit.ly/3gbUjKh
→利用完整標頭追蹤電子郵件：https://bit.ly/3kSk2uV

Google帳戶
→進一步確保帳戶安全的各個步驟：https://bit.ly/34djOZs

開啟兩階段驗證的介紹
→你的帳號安全嗎？開啟雙步驟驗證和備份粉專教學：https://bit.ly/2E9kKDg
→雙重驗證/兩步驟驗證是什麼？對於網路安全的重要性為何？：https://bit.ly/2Q4Yv3Y
→Google 兩步驟驗證：https://bit.ly/3iS5Lgc

關於網路釣魚與社交工程的防護
→辨識及防範網路釣魚訊息、假的支援電話和其他詐騙：https://apple.co/313iIO2
→如何辨識網路釣魚並保護自己：https://bit.ly/3iNYXju
→網路釣魚的常見誘導手法－電子郵件網路詐欺：https://bit.ly/2E6aOL9
→網路釣魚攻擊進化 最常仿冒蘋果品牌：https://bit.ly/2PZS5mT
→什麼是社交工程（social engineering ）陷阱/詐騙？：https://bit.ly/3h8WS14
→常見的社交工程攻擊方式有哪些?應如何防範?：https://bit.ly/3iS1HfL


＼每週７天，每天７點，每次７分鐘，和我們一起了解更多有趣的生活議題吧！／

🥁七七仔們如果想寄東西關懷七七團隊與志祺，傳送門如下：
106台北市大安區羅斯福路二段111號8樓

🟢如有業務需求，請洽：hi77@simpleinfo.cc
🔴如果影片內容有誤，歡迎來信勘誤：hey77@simpleinfo.cc