--- title: 駭客攻防戰 tags: AIS3 club language: zh-tw --- # 駭客攻防戰 > 台大資工系 網路安全實驗室 蕭旭君 副教授 ## Security 101－什麼是資訊安全？ - Protect assets from unauthorized actions - Attackers = entities attempt to do unauthorized actions - Security requirements = properties that the protection should achieve 資安事件主要是違反了 **CIA** 原則的事件 - Confidentiality 保密性 Alice & Bob - Integrity 完整性 不邀請就竄改訊息內容?@@ 好難 - Avaliablity 可用性 ### 真實世界例子 - 台積電產線中毒 (違反可用性) - 一般人也許根本不在意自己的檔案消失XD - 只要簡單備份過檔案，勒索病毒也許重灌就好ㄌ - 但是工業/醫療產業上，這些檔案都十分重要，危害性高 - 透過洋芋片 reverse 出聲音(違反保密性) [影片](https://www.youtube.com/watch?v=FKXOucXB4a8) - 蘋果日報造受到 DDOS 攻擊 (違反可用性) DDOS 使得伺服器無法做出回應 - 台大CEIBA教學平台成績全部變87分 (違反完整性) - 不能走偏路XD - 你的道德心呢??? XD - 87分好高 想要(X) ### 為何不能防禦**所有**攻擊? - 未知的攻擊 (zeroday) - 難以掌控的因素 像是使用者行為等等 - 實務上的考量，如 - 預算有限 - 效能需求 > 我就 XP 我2000 ```htmlembedded The system provides [Security Requirement] against [Threat Model] under [Assumption] ``` - 例子 - System = ATM提款系統 - threat model = 撿到提款卡亂試pin碼 - Assumption = 使用者沒有把pin碼寫在卡片套上或直接用生日當pin碼 ### 使用者行為跟假設的結果不同就會產生嚴重的後果 - 合理的 threat model 很重要 - 臺大奇蹟 - 獨輪車 XDDDD - 山不轉路轉 路不轉人轉 - 天下沒有白吃的午餐(Cost of Security) (這裡跟標題的關聯是什麼ouo) - 開發跟維護的成本 - 系統效能降低 - 使用者抱怨 - 安全性取決於最脆弱的環節 - 最脆弱的環節：使用者 - 蒐集別人沒有改密碼的攝影機的_畫面_(請填空XD) - EX：[Clickjacking](https://en.wikipedia.org/wiki/Clickjacking)(點擊劫持) - 想去看影片有撥放的按紐 但會被redirect到其他網站去 --- ## 身分認證－注音文密碼很安全？ > 假如有一天你穿越到了 20 年後的世界，你會怎麼跟親人相認ㄋ - 我就是這個人(生物特徵) > 生物特徵身分認證 - 優點 - 快速、方便 - 缺點 - 洩漏後無法替換 - 是否有足夠的安全性(極度公開) - 可能隨時間而改變 - 舉例 - 胎記、指紋、虹膜、聲音... - 只有我才有的東西(信物認證) - 只有我才知道的事(暗號認證) - 芝麻開門 暗號相認 密碼 pin... <!-- 只有我才有的東西8888? > 優點： > 缺點：可能改變且極度公開但無法修改或無法預防的修改 - 胎記、指紋、虹膜、聲音... > 這邊應該比較偏向是擁有的物件 --> - 密碼的問題 -強度高 很難記 -強度低 有安全疑慮 圖片: https://images.app.goo.gl/ujpTsZKXygKmaZ5V7 > ji32k7au4a83(我的密碼) > ej/4j06cl32u04(貢丸好電) > CSYrul ji3(CSY教我) > ji394z; z; wj3(我愛方方土) [Have I been pwned](https://haveibeenpwned.com/Passwords) Multi-factor authentication 多段認證 像是信用卡付款要輸入驗證碼 或是登入帳號需要手機驗證 ## 隱私與匿名－為什麼廣告都知道我喜歡什麼？ [panopticlick](https://panopticlick.eff.org/) ## 密碼貨幣 **skip ;(** ## 女性科學家在資安領域的發展經驗 - 職場性別歧視 #### tags: `AIS3`