--- title: SITCON 2017 R0 共筆 tags: SITCON 2017 共筆, 2017 --- # SITCON 2017 R0 共筆 * 直播傳送門（已結束） {%youtube __w_1FyDzgQ %} * Markdown 標記語言語法參考：<http://markdown.tw> * 非官方 slideshot 上傳中，如講者或 SITCON 官方有疑慮請連繫Ｖ字龍 &lt;<Vdragon.Taiwan@gmail.com>&gt; (Telegram: @Vdragon) * 如果共筆內容已經涵蓋或是已有公開錄影 slideshot 就已經沒用了請將它移除 ## Cybersecurity and Internet Governance 網路安全與網路治理 ### 講者簡介  * 第一個華人 RFC 作者(RFC3743)  ### 問題 #### 1. Blind Trust: we trust parties we don't even know exist * Turktrust 第三方憑證出問題，導致連不上Google * 資料的所有權屬於網路供應商 #### 2. No ownership: The big companies, not users, own the data  ### 網路治理<br />Internet Governance  * 第1層：Infrastructure layer * 第2層：Logical layer * 第3層：Economic and societal layer (應用層) #### 網路治理定義 > The development and application by governments, the private sector and civil society, in their respective roles, of shared principles, norms, rules, decision-making procedures, and programmers that shape the evolution and use of the Internet. —IG Definition @ WSIS Tunis 2005  ### IG Concepts in ARPANET - Technology Track  * 臨時了50年的IETF * 第一個 RFC：郵件系統規範(?) (Steve Crocker) * 成立了許多 Working Group 後來促成 IETF Working Group * 1983 年推出 DNS 的規範(RFC 882/883) * 1969年 數位匯流   * TCP 3way handshaking * 近期 DDoS 主要的攻擊點 ### IG Concepts in ARPANET - Registry Track  ### IG Concepts for Architecture and Authority  * 管理在1998年由單一轉為分散 * ICANN 同年成立 ### Root System Model * 13 個 root DNS server（字母A-N） * 繼續維持 1 個 root 的模式，但是不歸單一政府管轄 ### IG Concepts for Number Community  * 合作備忘錄 * 尊重 ICANN * APNIC獨立運作並派ICANN董事 ### Critical Information Infrastructure (CII)  #### Internet Numbering Architecture #### Internet Naming Architecture ### Net Neutrality  * Netflix 事件  #### ISP blocking and tiering cases ### Degree of Enforcement  #### 完全中立 #### 資料類別特許的差別待遇 #### 非阻斷或非節留下的個別訊務排序 #### 不直接強制 #### ISP 市場競爭度 * 市場獨占性高的 ISP 負有維持中立性責任 ### UN IG Initiatives - Political Track  * 台灣網路治理論壇 ### IANA 管理權移轉<br>IANA Stewardship Transition  * 美國Gov不爽做，2016年退出? 你們好ㄑㄧㄤ ### Goals of Information Security   * 網路安全涵蓋範圍很廣 ### Main Targets of DDoS Attack   ### DDoS As A Service  * 補充鏈接 https://www.bleepingcomputer.com/news/security/you-can-now-rent-a-mirai-botnet-of-400-000-bots/ ### Operation of a DDoS attack  ### Protection: Technology & Insurance  * CyberSecurity 變成保險(CyberInsurance) ### Cyber War Case - Afghanistan  #### 攻擊能力 #### 防守能力 #### 對資訊（基礎建設）的依存度 * 阿富汗完全沒有資訊基礎建設，所以完全沒辦法攻擊 ### Cyber War Case - China  * 中國是個大的 Intranet <- 跟北韓一樣？ * Censorship ### DDoS VS. Cyberwar  * DMZ 隔離 ### graphy  ###  ### Public Key Infrastructure Architecture   ### Detour  * 中華電信 routing 費用太貴 ###     ### Why Bother Internet Governance  #### 國內法規 #### 國際法規 #### 網路治理 * 所有的安全都要取捨(Quality/Cost/Security) ### Code is Law  * 一個構面(?)妥協了會影響到其他的 ### ICANN DNSSEC vs. Cybersecurity   * ICANN 由7個人管理 * 有4個鑰匙就可以reboot internet ###  ### Cybersecurity Future Evolution * 不再考慮防守，考慮善後 ### Cybersecurity Phased Strategy * 防守 -> 分歧 -> 攻擊 ### Potential Cooperation of... * 案例：勒索軟體 ### Cybersecurity and IG ECO System ## 重拾數位時代的公民權  ### 集遊結社  #### 困難 * 時間和空間 * 網際網路的出現某種程度地解決的這種困難(Facebook etc.) ### 資訊自由  ### 通信...(?)  * 土耳其之春/318... ### open, free, cross border, FOR SURE?  * 網路是不是理所當然自由的？ ### 不一定要開放的網路  大部分的範例案件，都是觸犯著作權問題 造成原所有者的利益損害 #### 成大 MP3 事件 * [成功大學MP3事件 - 維基百科，自由的百科全書](https://zh.wikipedia.org/zh-tw/%E6%88%90%E5%8A%9F%E5%A4%A7%E5%AD%B8MP3%E4%BA%8B%E4%BB%B6) * 唱片業者不開心(#\`皿´ * 發現成大有學生架 server 進行傳輸 * 2001/4/11 搜查並扣押 13 台電腦，對 14 個學生起訴違反著作權法 * 涉案學生日後簽署認錯道歉書，台灣IFPI(財團法人國際唱片業交流基金會)則在學生登報道歉後正式撤回告訴。 #### Aaron Swartz  * 設計爬蟲程式，公開論文資料 * #### 以開放為名導致的封閉  * 既有的大型業者，在早期網路開放的時代壯大 * 企業讓使用者最容易取得資訊的方式 * 商場的運作邏輯 #### Filter Bubble 的形成  #### 全球最大的監控網  * Tim Berners-Lee(2017): 網際網路已成為全世界最大的監控網路 * 網路服務皆由許多的大型企業提供，間接控制了閱聽人可以接收到的訊息 ### 隱私權  * 公民與政治權利國際公約(ICCPR) 第17條 * 因為資料處理的改變，所以蒐集資料算不算侵犯隱私成為疑問 ### 資料處理的改變  * 過去處理資料是一件麻煩事，再蒐集及處理分析上成本十分昂貴(人力) * 現在因蒐集處理能力的進步，不再需要針對特定的人物來進行資料蒐集(大數據) * 運算能力的進步，使得資料處理變的更加的容易 ### 群體式圖像的生產與應用  * 大公司 與 國安局掛勾 蒐集建立用戶資料 ### 生產群體式圖像可能造成的傷害 #### I. PRISM 計劃 ![slideshot missing: 史諾登]()  * 我可能只是在網路上隨手搜尋的，則可能會因為辨識錯誤，造成誤解 * Ex.搜尋阿拉花瓜? #### II. Netflix  * Netflix釋出去識別化的資料庫數據 * 透過 IMDb 的帳號，有機會回推到Netflix的帳號 * Netflix 花了 900 萬美金和解 #### III. 台灣健保資料庫  * 在沒有經過用戶同意的情形下，將使用者資料交給第三方學術單位或是政府機關 * 雖然有經過去識別化，但透過內部的可能資料，可以簡單的還原出單一筆資料 * 健保資料庫:有所有人的資料 #### IV. ETC Data Base  * Open Data，任何人都可以使用 * 臺灣對於去識別化的規範並沒有一個標準 * 資料去識別化尚未經過驗證 ### 資訊自主權  * 大法官釋字第603號解釋 * 有權力控制資料在何時何地使用 ### 個人資料保護法  是否包括去識別化的資料? ### 聯合國特別程序 #### 隱私權特別報告員   ### 重新理解「隱私」  * 拒絕「被研究」的權利 ### 支持開放運動  精神： 自由 ### 善用工具  * [privacytools.io](privacytools.io) ### 監督企業 and 政府 建立 相關 隱私法規   ### 台灣網路透明報告 & The End  ### 台權會工商服務 * 歡迎贊助 ## 前端工程的過去、現在與未來 * <del>live</del> presentation 連結：http://slides.com/tz5514/deck-1-2 * Babel ## 論壇：同學，你這樣經營社群？學生資訊社群的藝術  * 助理主持人：PCC * 主持人：  ### 伙計 - NISRA  #### 為什麼想參加資訊組織？ ##### 為什麼對資訊有興趣？  ##### 參與資訊的初衷？ #### 每年想法都不一樣  #### 排課問題  #### 參與資訊社團遇到最大的困難 * 每年加入的學弟妹愈來愈少     ### Siri（陳育靜） - 踏入電資坑 * 家齊高中 第一屆資訊社社長 *   * 6/11 INFAS 2017 ### 論壇進行方式說明 * 非單向發言平台 * 到 <http://pd.sitcon.org> 或 sitcon app #### 提出發言申請  #### 發言點（？  現場發言需到發言點 網路發言請選「匿名」發言 ### DC（陳建鳴）（成大電腦網路愛好社(CCNS)）- ? * 問題 * 收不到人: 招不到成大的人 * 怎樣挖坑給別人跳 * 非本科系 * 兩個重點 * 資訊社群是分享的大平台 * 經營社群是推坑的藝術 ### 皮皮（潘昱仁） - 師大附中電子計算機研究社經驗分享  * 臺大開源社 * 同地區很多校際活動 * 校方通常注重成績，造成學術性社團招收不易 * 新鮮的肝 * 注重比賽(競賽結果)，不在意社團活動 ### 討論開始 #### 同學，你這樣經營社群？學生資訊社群的藝術                          #### 社團怎麼決定教學、招募目標？   ## 第一次做光劍就上手         * LED 6000mcd 以上亮度        * LED 60~80 顆         * 天使眼開關   * 劍柄整線要做好，裏面空間很小  ## 用 Electron 實踐跨平臺桌面程式 投影片網址： https://hackmd.io/p/HkV3GHrtl#/   ### 關於我  * <https://github.com/yukaii>  ### 桌面應用程式 * 相對於 WebApp   ### 跨平台<br>（妥協）  * Web Technology Rocks! ### Electron  #### Demo      #### 怎麼達成的    ##### 組成       ##### 多行程架構<br />Main Process & Renderer Process     ### 小結 ### 成果展示 #### 漫畫閱讀器   #### 噗浪桌面版 ## Unity x Git 之辛酸血淚史 ### 前情提要  ### 工具 #### Unity * 推薦的版本控制系統都是商業(?)的 *   * Unity YAML merge tool * 兩個 confict(?) 處理模式 * Premerge * Ask * Windows 沒有 merge(?)視窗問題 * Windows 須自行安裝且於 mergespecfile.txt 進行指派 *  * 素材檔太大被 remote repo 拒絕 * limiation * 1GB per repo/month for free * 100mb per file * Git LFS *  ## Inndy - No More Crypto Fails 現代密碼學入門 注意：此議程無開放直播QQ [可是有簡報 :D](https://speakerdeck.com/inndy/no-more-crypto-fails) ### 演講內容 * 介紹編碼 雜湊 加密 * 介紹常見的密碼學錯誤 ### 資料單位 ### 什麼不是加密 * 編碼絕對不是加密 * Encode * 編碼轉換，可以再轉回來 * Ex. HEX, Base64 * Base64 * 以 4 Bytes ASCII 來表示3Bytes 的資料 * 資料體積會膨脹 1/3 * Hash（雜湊） * 輸入任意長度的資料，將其壓縮成固定長度的資料 * 輸出資料代表輸入的摘要 * 同樣的輸入會得到相同的結果 * 不同的Hash值代表不同的輸入資料 * 亦即不會碰撞 * 用途 * 雜湊表 * 確保資料完整性 * 數位簽章 * Ex. CRC32, MD5, SHA-1, SHA256 * 雜湊碰撞(Hash Collision) * 當Hash值相同時，輸入資料真的一樣?(多對一) * 範例程式可以找到許多的碰撞值 * [Shattered](http://shattered.io/)(SHA-1 Collision)By Google and CWI * 數位簽章 * 確保訊息並非偽造(MITM) ### 密碼保存 * 彩虹表(Rainbow Table) * 直接使用專門為密碼設計的雜湊方式 * Angon2, PBKDF2, scrypt, bcrypt ### 長度延展攻擊 * 已知 * 工具hashpump * HMAC可避免 ### 什麼是加密 * 過程需要密鑰(key) * 即使加密演算法公開，密文依然無法還原 * 偽隨機數產生器(PRNG) * 1.由一個 * 密鑰產生與PRNG * 若亂數種子使用時間作為種子，在時間已知的情形下，有機會可以還原出密鑰 ### 密鑰產生 * 產生加密密鑰的時候要使用OS提供的安全亂數 * 我知道你用的是什麼PRNG ### 加密系統分類 * 對稱式 * 串流加密(Stream cipher) * 本質上是PRNG * 分組加密(Block cipher) * 可逆函數 * PKCS#5, PKCS#7 * 基本結構 * 分組加密工作模式 * 若每個block都有自己的IV(Initialization vector)，資料會成長兩倍 * CBC模式加密    ### Padding Oracle Attack * 什麼元素會影響明文 * Text, key, IV * 攻擊場景 * 破壞IV * 試著修改IV最後一個Byte產生出01結尾的填充 *  * 必要條件 * PKCS#7填充, CBC模式, Padding Error被使用者看到 ### 非對稱加密 * RSA, ECC * 公鑰加密只可以用私鑰解密，私鑰加密只可以用公鑰解密 * RSA需要Random Padding ## 開發學校雲端服務的奇技淫巧 簡報：[開發學校雲端服務的奇技淫巧（Tips for Building Third-Party School Service）](https://www.slideshare.net/MaHauo/tips-for-building-thirdparty-school-service) ### 關於講者  * SITCON 2016 有講過勒索軟體 ### 義守管家<http://isu.30cm.tw/> ### murmur   * 學校網頁設計超爛查資料頁面要拉來拉去 * 有沒有改進的空間？      * 「每個老師分數都是九十幾分要改一下」 * 沒有用 API * 都是爬蟲程式   ### HTTP網頁流量分析  #### 分析手段  #### 靜態  * 閱讀網頁原始碼   #### 動態  * 使用瀏覽器的動態分析（檢查）功能   #### （實務上）      #### 一般第三方服務 BOT（應用程式）        #### 建立一個第三方服務  #### 透過 Node.js + Express 建立雲端服務  #### HTTP Basic Zealan     #### Node.js + Request 模擬使用者瀏覽器行為   #### 連線身份資訊保存 由單一應用程式記憶   * 方法一： * 在伺服器上面保存使用者的Cookie * 問題: 大量佔用伺服器資源  * 方法二： * 將Cookie資料存於使用者端，伺服器不儲存，需要時重新自使用者端要求 #### Cheerio.js  #### [M00d1e.js](https://github.com/aaaddress1/m00d1e.js) * 可以存取 Moodle 上的資料 ### 學校的反制 #### 請求 header 分析  #### ? #### 檢查封包請求時間  #### 圖片驗證碼  * ASPRISE OCR 商業套件（可破解） * OLLYICE手拆OCR付費引擎 <http://30cm.tw/?p=512> * easyChptchaOCR  * 切直切橫線找交點破解更快  #### 跨域名登入 Moodle - Content Security Policy (CSP)  - 利用 iframe 並用 javascript 模擬登入動作模擬登入 ### 奇淫技巧（二） - 無痕模式下記憶帳密 - fingerprintjs ### 義守管家專案 [aaaddress1/isuMaster-NodeJS](https://github.com/aaaddress1/isuMaster-NodeJS) ## 閃電秀<br>Lightning Talk ### BlueT - [Just Go Open I've Got Your Back](https://docs.google.com/presentation/d/1wEp902ezt5LJeuKvPEkH0he0EC_j07Qw7HhBFkTjK9I/preview)   ### Inndy - 你再共用密碼啊 [簡報在此](https://speakerdeck.com/inndy/ni-zai-gong-yong-mi-ma-a)  pastebin.com * Dropbox 密碼被駭 * SHA-1 hashed，但（常見的 hash）可以輕易地被反推 * 怎麼取密碼才安全？ * 英文句子串接 * 密碼分級 * 重要的服務用獨立密碼 * 2FA * SMS ### Jeremy Yen/PCC - 論壇    https://github.com/jeremy5189/PDModerator https://docs.google.com/spreadsheets/d/1F1ZYaBI557UZrELjDtqSt_yKDm0UL7S5sF-iDK_BIdI/edit#gid=0 ### 愷開(@klanyei) - [sudo 四重奏](https://goo.gl/19Xea5)    * [mjml](https://mjml.io/documentation/#mjml): 簡化 email 排版 ### TDOH - 全台校園攻略大公開   * 首創 6 小時 buffet ### 不具名(?) - THU 選課天眼通   ### Zuan(PTT:john0312) - - 「今天我要來講一個，只看五天書臺大資工所正取一的故事   ### Denny Huang - SITCON Pass * 前身為 COSCUP Pass * 下載 720GB（比 COSCUP 還多） * 上載 680GB * CCIP-Admin-Bueno * 蘋果天殺的審查 * Orphan Branch 小心使用 * 12XX 裝置使用數 * 報到率 82.8%  ## Special Event - Clara Lin, Tony Yip - SITCON x HK(SITCON HK 成員來台分享心得)             ## 閉幕