# Cybersecurity 資訊安全通識 @ 靜心高中 講者：Sean 韋詠祥 Note: 總時長：90 min (10:30 - 12:00) 10:30 開場 10:35 近期資安新聞 10:40 資安活動（研討會、競賽） 10:45 CTF 分類、Web 題目 11:00 Python 題目 11:10 中場休息 11:20 OSINT 11:25 生活中的資安 11:30 misc 11:35 資安常識、常見迷思 11:45 培訓計畫 11:50 延伸資源 11:55 QA ---- ## 講者介紹 交大資工碩一 Sean 韋詠祥 - SITCON 年會 講者、議程組 - SITCON 夏令營 課程活動組 - 資安證照：CEH (Certified Ethical Hacker)、 　　　　　ISC2 CC (Certified in Cybersecurity) - 近期經歷：行政院攻防演練攻擊手、 　　　　　教育部資安檢測員 ---- ## 近期資安新聞 7 所高中遭駭客入侵勒索 教育部：學習歷程有備份  2024-03-30 [cna.com.tw](https://www.cna.com.tw/news/ahel/202403300149.aspx) ---- ## 近期資安新聞 上百間高中 不需任何權限 即可上傳任意檔案  2024-05-12 [dcard.tw](https://www.dcard.tw/f/talk/p/255525133), [ZD-2024-00143](https://zeroday.hitcon.org/vulnerability/ZD-2024-00143) ---- ## 近期資安新聞 華航上百萬筆客戶個資流出 被放上暗網出售  2024-03-26 [udn.com](https://udn.com/news/story/7266/7857497) ---- ## 近期資安新聞 德國總理蕭茲 訪中高規格保密防諜 手機不離身 回國報廢  2024-04-16 [cna.com.tw](https://www.cna.com.tw/news/aopl/202404160105.aspx) ---- ## 近期資安新聞 國安局：520 前中共網路侵擾 每天逾 250 萬次  2024-05-16 [cna.com.tw](https://www.cna.com.tw/news/aipl/202405160070.aspx) <!-- 震撼整個IT界的XZ程式庫遭植入後門事件，之所以浮上檯面純屬意外！快速了解這項危機的三大關鍵 2024-04-04 https://www.ithome.com.tw/news/162130 --> ---- ## 近期資安新聞 LINE 輔助驗證  2024-04-08 [storm.mg](https://www.storm.mg/lifestyle/4469037) ---- ## 近期資安新聞 Facebook 寵物投票  2024-04-17 [mygopen.com](https://www.mygopen.com/2024/04/pet-vote.html) ---- ## 今日演講規則 - 有疑惑歡迎提問 - 想到好奇的題目，可以先筆記起來 --- ## 資安競賽分類 - Jeopardy 解謎賽 - King of the Hill 擂台賽 - Attack and Defense 攻防賽 - Bug Bounty 賞金獵人 ---- ## Jeopardy 解謎賽 - 最常見的競賽類型，大家解同一套題組 - 通常各題分數與難度相關 - 尋找長得像 `FLAG{printable}` 的字串 - 大致可分為六大類： 網頁安全、密碼學、逆向工程、 執行檔滲透、數位鑑識、其他 ---- ## King of the Hill (KoH) 擂台賽 - 主辦單位提供數個服務 - 看誰程式最短、撐得久、速度快、最接近完美 - 通常沒有標準解 - KoH 題目舉例： - 用最少步數解出 Wordle - 植入後門，讓首頁出現自家隊伍名稱 - 執行任何指令，讓自己程式存活最久 ---- ## Attack and Defense (A&D) 攻防賽 - 主辦單位提供機器/服務 - 自行研究漏洞 - 幫自己的服務上 patch（補丁） - 利用漏洞攻擊他人伺服器 ---- ## Jeopardy 基本分類 - Web 網頁安全 - Crypto 密碼學 - Reverse 逆向工程 - Binary 執行檔滲透 - Forensic 數位鑑識 - Misc 其他通靈題型 ---- ## Welcome to CTF 請開啟 https://ctf.sean.cat/ 第一題  Flag 格式為 `FLAG{Print@b1e}` --- ## OSINT 公開來源情報 - 全名：Open Source INTelligence - 透過網路上公開的資訊，蒐集資訊情報 ---- ## OSINT 案例：解放軍地圖  Source: [cna.com.tw](https://www.cna.com.tw/news/aipl/202206210002.aspx) ---- ## OSINT 案例：晚安小雞  Source: [udn.com](https://udn.com/news/story/123693/7768389) ---- ## 生活中的資安：登機證條碼  關鍵字：PDF417 Online Reader ---- ## 生活中的資安：台電圖號座標  ---- ## OSINT 練習：找出拍攝地點  Image: https://tg.pe/sa2.jpg ---- ## OSINT 練習：找出拍攝地點  關鍵字：EXIF 地理資訊 ---- ## Prompt injection 提示詞注入  Ref: https://gandalf.lakera.ai/ ---- ## 中場休息 --- ## 資安迷思 - 有 IP 位址怎麼肉搜人 - VPN 安全嗎 - Tor 是什麼 ---- ## IP 位址肉搜 - 公開資訊：國家、電信商 - IP 地理資料庫 - 準確度？ ---- ## 公共 Wi-Fi 安全嗎 - Open / WPA2 / 帳密登入 - 流量竊聽 ---- ## VPN - 跨國流量 - 加密保護 - 相關風險 ---- ## DNS 是什麼 - 從網域名稱查詢 IP 位址的協定 - 明文、沒加密 - 遞歸式查詢 vs 公用解析器 - DNS over HTTPS - 隱私中繼器（Oblivious DoH） ---- ## Tor 原理 - Onion Route 洋蔥路由 - 一般節點、入口節點、出口節點 - 封包層層加密 - 出口 IP 也變不一樣 - FBI 怎麼查水表？ ---- ## 區塊鏈是什麼 - 分散式帳本 - 匿名性、「不可追蹤性」 ---- ## 創意私房 金流追蹤 - 區塊勢找出 4 個錢包地址 - XREX 交易所追蹤金流 - 交易所 KYC Ref: [xrex.io](https://xrex.io/zh/xrex-report-taiwan-nth-room-analysis/) <!-- CVE、CVSS OWASP 滲透測試 檢測目標 紅隊演練 攻擊鏈 HTTPS 鎖頭 台灣 攻擊輸出第一 小米路由器 教育部 資安通報 DDoS 種類 .git 洩漏、token 推上 GitHub、注入類型漏洞 瀏覽器指紋 病毒形式 防毒軟體 病毒碼 王義川 手機追蹤 消防局 專線 加密 安全度 台北市警局監視器 --> --- ## 後續參與 - 資安研討會 - 國內資安競賽 - 資安培訓計畫 - 練習網站 - 延伸資源 ---- ## 資安研討會：HITCON  Ref: [hitcon.org](https://hitcon.org/2023/CMT/) ---- ## HITCON 學生免費專案  Ref: [blog.hitcon.org](https://blog.hitcon.org/2024/05/hitcon-community-2024.html) ---- ## 資安研討會：Cybersec  Ref: [cybersec.ithome.com.tw](https://cybersec.ithome.com.tw/2024/) ---- ## 資安競賽：AIS3  Ref: [ais3.org](https://ais3.org/) ---- ## 資安競賽：My First CTF  Ref: [mfctf](https://ais3.org/mfctf/) ---- ## 道德駭客精神 - 在攻擊前，取得同意 - 幫助弱勢、避免破壞 - 責任感與使命感 ---- ## 培訓計畫：台灣好厲駭 Ref: https://isip.moe.edu.tw/wordpress/?p=2564 ---- ## 培訓計畫：資安人蔘 Ref: [facebook.com](https://www.facebook.com/te.nics.tw/) ---- ## 練習網站：Hackme CTF  Ref: https://ctf.hackme.quest/ ---- ## 練習網站：PicoCTF  Ref: https://play.picoctf.org/ ---- ## 延伸資源：HITCON ZeroDay ---- ## 課後 QA