Cybersecurity

資訊安全通識 @ 靜心高中
講者：Sean 韋詠祥

Note:
總時長：90 min (10:30 - 12:00)
10:30 開場
10:35 近期資安新聞
10:40 資安活動（研討會、競賽）
10:45 CTF 分類、Web 題目
11:00 Python 題目
11:10 中場休息
11:20 OSINT
11:25 生活中的資安
11:30 misc
11:35 資安常識、常見迷思
11:45 培訓計畫
11:50 延伸資源
11:55 QA

講者介紹

交大資工碩一 Sean 韋詠祥

SITCON 年會講者、議程組
SITCON 夏令營課程活動組
資安證照：CEH (Certified Ethical Hacker)、
　　　　　ISC2 CC (Certified in Cybersecurity)
近期經歷：行政院攻防演練攻擊手、
　　　　　教育部資安檢測員

近期資安新聞

7 所高中遭駭客入侵勒索
教育部：學習歷程有備份

cna

2024-03-30 cna.com.tw

近期資安新聞

上百間高中不需任何權限
即可上傳任意檔案

Dcard

2024-05-12 dcard.tw, ZD-2024-00143

近期資安新聞

華航上百萬筆客戶個資流出
被放上暗網出售

udn

2024-03-26 udn.com

近期資安新聞

德國總理蕭茲訪中高規格保密防諜
手機不離身回國報廢

cna

2024-04-16 cna.com.tw

近期資安新聞

國安局：520 前中共網路侵擾
每天逾 250 萬次

cna

2024-05-16 cna.com.tw

近期資安新聞

LINE 輔助驗證

storm

2024-04-08 storm.mg

近期資安新聞

Facebook 寵物投票

mygopen

2024-04-17 mygopen.com

今日演講規則

有疑惑歡迎提問
想到好奇的題目，可以先筆記起來

資安競賽分類

Jeopardy 解謎賽
King of the Hill 擂台賽
Attack and Defense 攻防賽
Bug Bounty 賞金獵人

Jeopardy 解謎賽

最常見的競賽類型，大家解同一套題組
通常各題分數與難度相關
尋找長得像 FLAG{printable} 的字串
大致可分為六大類：
網頁安全、密碼學、逆向工程、
執行檔滲透、數位鑑識、其他

King of the Hill (KoH) 擂台賽

主辦單位提供數個服務
看誰程式最短、撐得久、速度快、最接近完美
通常沒有標準解
KoH 題目舉例：
- 用最少步數解出 Wordle
- 植入後門，讓首頁出現自家隊伍名稱
- 執行任何指令，讓自己程式存活最久

Attack and Defense (A&D) 攻防賽

主辦單位提供機器/服務
自行研究漏洞
幫自己的服務上 patch（補丁）
利用漏洞攻擊他人伺服器

Jeopardy 基本分類

Web 網頁安全
Crypto 密碼學
Reverse 逆向工程
Binary 執行檔滲透
Forensic 數位鑑識
Misc 其他通靈題型

Welcome to CTF

請開啟 https://ctf.sean.cat/ 第一題

Flag 格式為 FLAG{Print@b1e}

OSINT 公開來源情報

全名：Open Source INTelligence
透過網路上公開的資訊，蒐集資訊情報

OSINT 案例：解放軍地圖

cna

Source: cna.com.tw

OSINT 案例：晚安小雞

udn

Source: udn.com

生活中的資安：登機證條碼

關鍵字：PDF417 Online Reader

生活中的資安：台電圖號座標

OSINT 練習：找出拍攝地點

B4321GE80

Image: https://tg.pe/sa2.jpg

OSINT 練習：找出拍攝地點

關鍵字：EXIF 地理資訊

Prompt injection 提示詞注入

gandalf

Ref: https://gandalf.lakera.ai/

中場休息

資安迷思

有 IP 位址怎麼肉搜人
VPN 安全嗎
Tor 是什麼

IP 位址肉搜

公開資訊：國家、電信商
IP 地理資料庫
準確度？

公共 Wi-Fi 安全嗎

Open / WPA2 / 帳密登入
流量竊聽

VPN

跨國流量
加密保護
相關風險

DNS 是什麼

從網域名稱查詢 IP 位址的協定
明文、沒加密
遞歸式查詢 vs 公用解析器
DNS over HTTPS
隱私中繼器（Oblivious DoH）

Tor 原理

Onion Route 洋蔥路由
一般節點、入口節點、出口節點
封包層層加密
出口 IP 也變不一樣
FBI 怎麼查水表？

區塊鏈是什麼

分散式帳本
匿名性、「不可追蹤性」

創意私房金流追蹤

區塊勢找出 4 個錢包地址
XREX 交易所追蹤金流
交易所 KYC

Ref: xrex.io

後續參與

資安研討會
國內資安競賽
資安培訓計畫
練習網站
延伸資源

資安研討會：HITCON

HITCON

Ref: hitcon.org

HITCON 學生免費專案

Screen Shot 2024-06-01 at 10.24.55

Ref: blog.hitcon.org

資安研討會：Cybersec

cybersec

Ref: cybersec.ithome.com.tw

資安競賽：AIS3

ais3

Ref: ais3.org

資安競賽：My First CTF

Screen Shot 2024-06-01 at 10.28.00

Ref: mfctf

道德駭客精神

在攻擊前，取得同意
幫助弱勢、避免破壞
責任感與使命感

培訓計畫：台灣好厲駭

Ref: https://isip.moe.edu.tw/wordpress/?p=2564

培訓計畫：資安人蔘

Ref: facebook.com

練習網站：Hackme CTF

Ref: https://ctf.hackme.quest/

練習網站：PicoCTF

Ref: https://play.picoctf.org/

Syntax	Example	Reference
# Header	Header	基本排版
- Unordered List	Unordered List
1. Ordered List	Ordered List
- [ ] Todo List	Todo List
> Blockquote	Blockquote
Bold font	Bold font
Italics font	Italics font
~~Strikethrough~~	~~Strikethrough~~
19^th^	19^th
H~2~O	H₂O
++Inserted text++	Inserted text
==Marked text==	Marked text
[link text](https:// "title")	Link
![image alt](https:// "title")	Image
`Code`	`Code`	在筆記中貼入程式碼
```javascript var i = 0; ```	`var i = 0;`	在筆記中貼入程式碼
:smile:		Emoji list
{%youtube youtube_id %}	Externals
$L^aT_eX$	L^aT_eX
:::info This is a alert area. :::	This is a alert area.

Cybersecurity

講者介紹

近期資安新聞

近期資安新聞

近期資安新聞

近期資安新聞

近期資安新聞

近期資安新聞

近期資安新聞

今日演講規則

資安競賽分類

Jeopardy 解謎賽

King of the Hill (KoH) 擂台賽

Attack and Defense (A&D) 攻防賽

Jeopardy 基本分類

Welcome to CTF

OSINT 公開來源情報

OSINT 案例：解放軍地圖

OSINT 案例：晚安小雞

生活中的資安：登機證條碼

生活中的資安：台電圖號座標

OSINT 練習：找出拍攝地點

OSINT 練習：找出拍攝地點

Prompt injection 提示詞注入

中場休息

資安迷思

IP 位址肉搜

公共 Wi-Fi 安全嗎

VPN

DNS 是什麼

Tor 原理

區塊鏈是什麼

創意私房 金流追蹤

後續參與

資安研討會：HITCON

HITCON 學生免費專案

資安研討會：Cybersec

資安競賽：AIS3

資安競賽：My First CTF

道德駭客精神

培訓計畫：台灣好厲駭

培訓計畫：資安人蔘

練習網站：Hackme CTF

練習網站：PicoCTF

延伸資源：HITCON ZeroDay

課後 QA

創意私房金流追蹤