【SP-ISAC會員專屬限定】線上講座｜資安黑魔法-與駭客諜對諜
課程名稱：線上講座 - 資安黑魔法-與駭客諜對諜
直播時間：(上半場)：2021/10/20 (三) 13:30 - 16:30
(下半場)：2021/10/21 (四) 13:30 - 16:30
參與方式：預計以 Microsoft Teams 軟體進行線上直播
報名時間：2021/10/01 (五)中午12：00 - 10/15 (五)下午5：00
報名表單：https://forms.office.com/r/kyayj9LjKJ

歡迎園區廠商免費報名參加，請有意報名之園區廠商同仁於「報名時間」至「報名表單」連結網址報名登記，報名後將於10/20(一)前寄發課前通知信及提供視訊連結，敬請留意信件！並持續關注SP-ISAC網站『活動資訊』。
考量視訊品質與所使用之平台上線人數最大值，若報名人數達標時，報名連結將關閉。

課程介紹：
本次課程將透過今年的重大資安事件與指標，展開真實案例與環境的研究與討論，同時會於課程當中分享資安日常維運時可能遭遇到的潛在攻擊，找出駭客可能使用的攻擊魔法。
讓身為資訊與資安維運人員的我們，得以從中瞭解如何從防禦面進行剝絲抽繭、查看維運日誌，進一步識別資安威脅與緩解攻擊，亦可使攻擊轉換成有效的防禦助力。

課程內容安排：
1.2021重大資安事件｜2.識別駭客的攻擊魔法｜3.處理駭客攻擊｜4.以其人之道還治其人之身，主被動情資搜集。

物聯網的資安攻防大戰！臺灣該如何見招拆招？

110/09/22
曾繁安
科技大觀園特約編輯
資策會資安科技研究所王仁甫策略總監專訪

5G 科技讓萬物聯網的新紀元已經來臨，代表著機器與機器溝通，人類過上全自動化的超便捷生活不再是夢。但這同時也意味著科幻電影中，邪惡駭客組織攻占重要機關的主機系統，引發一連串資安問題，甚至攸關社會國家安危的重大事件，也可能在現實中發生！
科技帶來的便利與風險並存的這個世代，來聽聽資安專家——資策會資安科技研究所王仁甫策略總監的精彩分享，一起思考 5G 物聯網下面對的資安挑戰。

一起跟資安達人瞭解 5G 如何翻轉我們的生活！

「16 年前一個月黑風高的夜晚，博士班學姐的一通電話，讓我踏上資安這條不歸路……」

問起投入資安領域的契機，王總監用打趣的口吻開場。當時在學姐的建議下，他參與了設計國内第一個資安指標的工作，從此開啓與資安的不解之緣。自稱「資安界 56 哥」的王總監，雖非一般人熟悉的另一位仁甫兄，但他對科技資安研究的敏銳觀察與豐富經驗，肯定令人甘拜下風。

他談到，4G 網絡的發展令網紅經濟崛起，你我都不曾想像『點讚、訂閲、打開小鈴鐺』會變成一種常態。而接下來的 5G 物聯網，將帶來更大的轉變與衝擊。

為什麽比起 4G，5G 有「大頻寬、高速率、低延遲」的特性？這是因為目前 4G 所在電磁波區間（約 450 MHz ~ 3800 MHz）已塞滿用戶，讓網速變得越來越慢，因此人類便把腦筋動到頻率更高的毫米波頻段（約30 GHz ~ 300 GHz）。增加了 5G 的區段，就像從塞爆的車流中，移到空曠的新路上。而頻率越高，頻寬也越寬，這條道路不止空曠而且比原先的更寬闊，於是訊息的傳遞能暢行無阻，理論上可比 4G 快一百倍！

「5G 最重要的，就是可以達成邊緣運算（Edge Computing）。」

王總監舉例，自動駕駛和遠距醫療還未普及，是因為傳統仰賴的雲端運算（Cloud Computing），傳輸訊息的速度不夠快，且成本高。雲端運算可以比喻作中央集權制，凡事都要經過朝廷皇上批閲議決，效率自然較低；但邊緣運算就像地方分權，讓數據可以直接在收集端附近實時處理和分析，無需先上報到雲端進行存儲、管理和分析運算，節省了上傳等待運算的時間，也減輕網絡和服務器的負擔。

在高速公路和手術檯上，微秒之差就是生死關頭。而 5G 搭配邊緣運算，大大提高的數據傳輸速率與極低的延遲，讓自動車之間可以維持安全的相對距離，遠端控制的手術刀可以精準無差地落在正確的部位。

也有賴於 5G 科技，需要大量運算資源的人工智慧（Artificial Intelligence，AI）也可以實現。這些發展促成物聯網（Internet of Things, IOT）的建立，機器和機器之間可以達成溝通，整合各方數據資訊，迅速有效率地完成各種指令。小至個人智能家居，大至工廠機械、重要基礎設備如水壩、發電廠等等，都能踏入數位自動化的新境界。

越方便就越危險？機器與機器的連接也要小心

不過，5G 的特性也改變了用戶與網絡間的關係。傳統 4G 是直鏈狀的系統，由電信商自上而下提供網絡，再經由應用程式界面（Application Programming Interface，API）提供服務給用戶，存在一個封閉式的層級關係。但速率快、訊號覆蓋範圍較小的 5G（注1）， 則是由邊緣端、應用裝置及用戶組成，數據傳輸相互往來的三角形體系，不再有上下權限差別的限制。為了形成物聯網提供更多應用，5G 網絡也變得更對外開放，被駭入的風險也會提高。

研究專長為駭客行爲的王總監提到，如今網絡犯罪的作案手法越來越多元。過去搶匪洗劫銀行，還要擔心實體鈔票金條太重，扛不動。現在駭客只要動一動手指，就能利用惡意程式讓銀行的上億元瞬間消失；或使用勒索病毒，鎖定廠商的資料庫，再以巨額款項要挾，否則就把重要生產機密銷毀或公諸於世。

「5G 應用得越深，危害的情境就越高。」

未來 5G 物聯網可能面對的兩大資安威脅，包括用戶 IP 可能被駭入後，可能被用作惡意中繼站或跳板繼續攻擊另一方，讓受害者同時也成了加害者。再來，當物聯網涉及的層面越來越廣，假如被不法分子入侵掌控的是自駕車、基地台，甚至是重大國家基礎建設如水壩、發電廠等等，造成的損失傷害不堪設想！

網絡戰資訊戰開打，台灣如何接招還擊？

從個人角度，平時養成謹慎小心的習慣，不隨便亂點不明連接，隨時留意最新的網絡犯罪手法，是保護自己的不二法門。但在通訊科技發達的今時，第三次世界大戰很可能就在網路上發生，資安可是攸關國家安危的重大議題。

自 2016 年起，台灣便喊出「資安即國安」的口號，而王總監也參與在草擬「資安即國安」1.0 與 2.0 戰略的工作中。在1.0 戰略中，首要步驟就是將資安鐵三角（資訊安全、通訊安全、國家安全）正規化。政府也修訂相關法規，將資訊和網際空間延伸為國家主權的一環，並把駭客攻擊與竊取智慧財產，納入情報蒐集的工作，才能為網絡戰做好準備。

「守護要自己來，就需要有人才。沒有資安人才，就沒有基礎的資安；沒有錢投入，也不會有資安人才。」

王總監强調，一個國家的資安要做好，最重要的就是資源與人力的投入。如果國内資安產業沒有妥善發展，資安人才缺乏，就必須仰賴國外的產品。若系統程式都不是由自己人開發，而是假手於他人，便難以確保檢測過程的可靠性，往往等到資安事件發生後，才驚覺漏洞的存在。因此，政府也編組了多支專業團隊，培訓資通電軍與資安產業人才，為國内資安把關。

而「資安即國安 2.0」的重點，除了規劃新設數位發展部、成立專責的資通安全署，就是主動式防禦（注 2）——與其乖乖等著被人打，不如自己先請外部團隊攻擊自己，作資安測試，去找出資安漏洞和弱點！舉例來說，業界為了找出系統防禦上的漏洞盲點，常會委外進行紅隊演練（Red Teaming）。就像在進行軍事演習，紅隊扮演進攻方，以無所不用其極的方法嘗試入侵，同時驗證藍隊防守方的偵測與回應能力。這樣的演練成本可不低，一次就要三五百萬臺幣起跳。

但台灣不用付錢，就有免費的資安攻防演練！王總監如此笑言。這是因為，在全球最常受駭客攻擊的國家排行榜上，台灣可是位居前列。根據網路資安商 Fortinet 的報告，2021 年第一季台灣遭受到超過兩百萬次的駭客攻擊，平均每分鐘就會遭遇逾 15 次的攻擊！所謂危機就是轉機，這些源源不絕的攻擊，也讓台灣深具適合發展資安產業的龐大潛力。王總監認為，資安產業要像台灣未來的台積電，扮演護國神山般的角色。

想投身資安產業？不需要獻出心臟，只要有一顆熱忱的心

「投入資安產業不要限科系，但是要有一顆熱忱、學習的心。」對於有心想往資安領域發展的年青人，王總監給出這樣的建議。

雖非資訊科學出身，但大學的工程背景，讓王總監有了程式語言的基礎。後來他取得經濟學、法學雙碩士，前者使他瞭解產業界的趨勢走向，法學則令他知曉資安重合規性與合法性的重要。在科技管理與智慧財產權領域的博士論文中，他則從社會學、科技研究的方法分析駭客行為。他表示，跨領域的學習可以讓他從更廣濶的視角，釐清各方問題之後，找到痛點，來提供更好、更全面的科技與資安政策。

王總監指出，這一代除了要與人溝通，還要學會與機器溝通，所以掌握好程式語言的邏輯基礎是重要的，因此王總監所在的資策會資安所，除了研發研發資安監控平臺，將研發的成果技轉給業界，同時他也擔任台灣駭客協會(HITCON)理事和社團法人臺灣校園資訊安全推廣暨駭客培育協會(TDOH)理事，推展培育資安人才的各項活動，未來希望能舉辦小朋友駭客營，讓孩子在小學階段就能接觸和體會程式語言是有趣的。他也勉勵年輕人，能力好的可以負責找漏洞和抵禦攻擊，站在資安攻防戰最前線；即使程度不夠拔尖，也可肩負資安維運的工作，在各自的崗位上適才所用，都能為守護資安和國安，盡一份心力。

根據光速等於波長乘以頻率（c = f × λ）關係式，我們知道頻率越高的波段，波長越短，穿透能力強。所以 5G 電磁波訊號遇到障礙物時，會想强行穿越而非「繞」過，繞射能力弱，造成散失的能量大。因此 5G 雖然有著高速率、低延遲的優勢，弱點就是訊號覆蓋範圍小，故需要設置夠多的基地台方可實現，而電信服務商會提供用戶建設專網——既不同於覆蓋範圍大的公網，而是擁有特地目的、獨立運作的網絡系統。

此外，主動式防禦也包含三要素：歸因、阻斷、減災。歸因便是找出攻擊的背後原因，釐清駭客的犯案動機，才能對症下藥。再來，對惡意程式來源進行阻斷，往後才可以減少再次被入侵的風險。

附圖：王仁甫
和台灣知名藝人同名同姓的王總監，説話風趣幽默，整個採訪過程充滿笑聲。圖／台灣資安大會
邊緣運算架構
邊緣運算架構與傳統雲端架構不同的地方是，資料將改放在網際網路和本地網路之間的邊緣運算層作處理，等資料變少了，再將處理後的資料回傳雲端。
攻擊
台灣平均每分鐘就會遭遇逾 15 次的攻擊，源源不絕的攻擊讓台灣深具適合發展資安產業的龐大潛力。圖／pexels

資料來源：https://scitechvista.nat.gov.tw/Article/C000003/detail?ID=0853796d-0b42-4a72-a0cb-ed70ddad9f77&fbclid=IwAR2H03H3PtQ6JhtQIy6KpMaz78iFa7NBgfizoTzEbAGba_58W6guaSHYBkg

從 ProtonMail 事件，再談私隱與隱身

文：薯伯伯

最近 ProtonMail 涉及一宗引起極廣泛關注及討論的資訊安全事件，事緣一名法國社運人士被法國警方調查，法國警方透過歐洲刑警與瑞士警方交涉，瑞士警方向瑞士法院申請命令，要求 ProtonMail 監察涉事法國社運人士的 IP 地址，ProtonMail 如令執行。在法國警方提交給當地法庭的文件顯示，顯示了涉事者的 IP 地址。

這件事引起牽然大波的原因，是因為 ProtonMail 一直標榜安全及尊重私隱，而大多數用戶是真誠地相信該公司維持「零記錄政策」（no log policy），但 ProtonMail 的公司事後指出，在一般的情況下不會記錄用戶 IP，只有在收到瑞士法院的要求，才會開始記錄用戶的 IP 地址。

這件事引起不少香港人的關注及擔憂，我認為是好事，這顯示不少香港人早已脫離資安無明無知之心。正是因為了解資安對自己的重要，才會因資安事件而心生恐懼，從而作出相應的行動及策略，這是非常重大的進步。

我之前一直沒有評論 ProtonMail 事件，並非沒有看法，而是不願倉猝下結論，寧願多花一點時間去了解情況，以及等待各方回應，再給讀者建議。

我先說一下我的結論，然後再討論當中的細節及分析理據。

一，我的結論

我依然認為 Proton Technologies 是可靠的公司，而我仍然使用這家公司的 ProtonMail 及 ProtonVPN 作為自己最主要的電郵及 VPN 服務供應商。

（注：我以前多次介紹 ProtonMail 及 ProtonMail，每一次介紹都是用普通的連結，而非介紹人 referral 連結。讀者看完我的文章而選用該兩個服務，對我完全沒有利益，而我使用 ProtonMail 及 ProtonVPN 時，也是自己付費，沒有任何形式的贊助。）

二，不同場景

這宗案件最太的爭議，是當 Proton Technologies 公司收到瑞士法院的命令時，同意開始記錄客戶的 IP 地址。我們用五個不同的情況去逐一分析，當位於瑞士的 Proton 收到不同司法管轄區發出的法庭命令後，會如何應對。

Proton 公司主要有兩個服務，一是電郵，另一個是 VPN。目前涉事的是電郵的服務，但我也會討論一下他們對 VPN 的可能處理手法。

Case 1：在完全沒有法庭命令的情況下，ProtonMail 及 ProtonVPN 均不會記錄客戶的 IP 地址。但要留意這是不為，而非不能，也就是說在一般情況下，Proton 並不會記錄 ProtonMail 及 ProtonVPN 用戶的 IP 地址，但他們是有能力這樣做，只是在沒有命令的情況下，他們不會這樣做。

Case 2：假如瑞士警方拿到日內瓦州法院或瑞士聯邦最高法院的法院命令，由於 Proton 的註冊地是瑞士，法院的命令足以迫使 Proton 開始記錄 ProtonMail 的用戶 IP 地址。

Case 3：承上，值得留意的是，即使有日內瓦州法院或瑞士聯邦最高法院的法院命令，但該規定不能針對 VPN 供應商，也就是瑞士註冊的 VPN 供應商，在任何情況下也沒有法律責任去記錄客戶的 IP，而 Proton 對其 VPN 用戶，是一直保護他們原來的 IP，目前沒有向第三方交出過相關數據。這次上了新聞的人，是使用 ProtonMail 電郵用家戶，而該用戶沒有使用 VPN 連接郵件服務。

Case 4：當美國警方透過美國法院發出命令，要求位於瑞士的公司交出客戶資料，就必須要得到日內瓦州法院或瑞士聯邦最高法院的批準。而 Proton 不能單方面與美國的 FISA 法庭（外國情報監視法庭）合作，否則即屬違反瑞士法律。

Case 5：即使有瑞士法院的命令，ProtonMail 也只能記錄客戶的 IP 地址，而不能突破其 AES-256 加密，亦不能查看到客戶的電郵的主體文本內容，但要注意的是，電郵的 metadata，包括發送人的電郵地址、電郵主題，則不屬加密的部份。

Case 6：歐盟區內的法院向瑞士法院提出申請，獲批的機會較大。

Case 7：極權國家向瑞士法院提出批出命令，獲批的機會較小。

三，討論

當 ProtonMail 配合瑞士法院命令，記錄並交出法國社運人士的 IP 地址，有不少人來信，想我建議一些「更為安全」的電郵服務。但任何公司均會受其註冊地的司法管轄，例如另一間著名的安全郵箱服務供應商是 Tutanota，註冊地是德國，同樣會受德國法律規管。

承接 Case 3 的情況，如果用戶在連接 ProtonMail 服務時，有同時使用 ProtonVPN，即使瑞士法院同時向兩間公司發出命令要求記錄客戶 IP，但由於相關規定只適用於 Mail，而不能套用在 VPN 上，所以 Mail 要記錄 IP，但 VPN 則不會記錄，最終也就是無法得知使用者的 IP。

ProtonMail 本身亦有提供 TOR 版本的 ProtonMail（https://protonmail.com/tor），那就是連技術上也難以記錄用戶 IP 地址。

四，私隱與匿名

我發覺不少用戶混淆了私隱與匿名的概念，兩者看似相關，在實際執行時卻是兩個完全不同的事物。坊間經常有人把「保護私隱」及「隱藏身份」混為一談，這是錯誤的說法，也是危險的說法。要做到完全不留任何個人痕迹的「隱身」，不只牽涉極度複雜的操作，加上淵博的學識，還有非常考驗耐力及堅忍力。

舉個例子，有人頻密更換電話卡，以為使用「太空卡」就能隱藏自己身份，但卻把多張「太空卡」輪流放入同一部手提電話使用，當中也包括與自己有關連的電話卡，那麼其他電話卡就不算是匿名了。又或者用家本身很小心，把不同的太空卡放在不同手機，卻經常把太空機與自己常用的手機同時打開，出雙入對，那也做不到真正的匿名。

我曾經聽過有人跟我說買了「太空卡」，追問之下才知對方居然認為使用「沒有個人登記的八達通購買自由鳥」就當是「太空卡」，我就覺得非常不安。

我撰寫的資安文章，一直強調的是私隱，而非隱身。隱身是極為複雜的操作，對於大部份讀者而言，必須覺察自己不能輕易隱身的技術現實。有關隱身的討論，請參看：〈零基資安訓練營（九）：如果要完全隱藏網上身份〉
https://www.patreon.com/posts/38185283

五，防患

使用網上服務時，必須清楚明瞭自己的需要以及其服務的限制。以 ProtonMail 的為例，分三種情況去講：

A. 電郵內容文本：如果電郵用家只是想把電郵文本的內容加密，使用 ProtonMail 很合適。
B. 隱藏 IP：如果電郵用家想隱藏自己的 IP，每次連接 ProtonMail 時就應該使用 ProtonVPN，又或是使用 TOR 的登入點，但可能還是有其他蛛絲馬跡能查看到當時人的真實身份。
C. 電郵標題：這項資料未能加密，敏感資料不應寫在電郵標題。

六，尾聲

如果是要防止電郵內容被偷窺，收件及寄件雙方均使用 ProtonMail 是很合適的做法。以涉事法國社運人士的情況來看，ProtonMail 提供了其 IP 地址，卻沒有（亦不能）提交其加密的電郵文本內容。

收尾再重申我的結論：我目前仍然認為 ProtonMail 是安全的電郵供應商，而我的電郵地址上就是自己的名字，我清楚知道自己要求的是電郵文本內容加密，而非隱藏自己的身份。

如果要保持高度匿名，那就要使用 TOR、VPN，上網地點也要非常講究，必須經常轉換上網地點，像斯諾登在發佈 NSA 大規模監控公民的消息時，就是開車去搜尋 Wi-Fi 訊號，每次上網十多分鐘就要停下來。

ProtonMail 事件引起多人關注，而從不少讀者及朋友的反應來看，不只是關注，更引起不安。我很樂見這種不安，我相信這種不安其實是好事，這代表大眾更為注重資訊保安，早已脫離盲目相信安全無事的時代。不過在注意安全的同時，更要明白自己想保護的是甚麼類型的數據。遠離無知，保持警惕，但不過度恐慌，才能更掌握人民的科技優勢。

🔑 【超務實長清單整理：Do not make it easy!（2021年9月更新）】 https://www.patreon.com/posts/55578887

▶️ 請訂閱 Patreon 頻道，支持不受干預的獨立創作及評論 | www.patreon.com/pazu