:::info # 資訊自由與安全：我不是教你詐 講師：DEVCORE Loyo 時間：8/25 13:30~16:30 簡報: https://drive.google.com/file/d/1a3WyL4_hP9KqgTAN8tFjVT3wdIr7gtIn/view?usp=drive_link ::: ## 資訊自由是什麼 - 你的電腦就是我的電腦 - 全知全能 - 鐵口直說，神準預測 - 自由連線，想連到哪就到哪 - 免費上網 - ... ==自由存取、自主決策== ### 網路中立原則 收費少的人速度慢 -> 合理嗎？ **確保網路使用上的平等權利** 網路中立原則應該存在 or 廢除？ - 思考：生活中有沒有類似的狀況？e.g. 快速通關 - 不同時期、不同角色、不同觀點有不同想法 - 依照當下需求做出不同的決定 - ==共識、規範後取得平衡的結果== ### 資訊安全 CIA 三角模型 - 機密性 (Confidentiality) - 秘密不被別人知道 - 確保資料傳遞與儲存的隱密性 - 完整性 (Integrity) - 確保資料無論是在傳輸或儲存的生命週期中，保有其正確與一致性 - 資訊正確且完整傳達 - 可用性 (Availability) - 使用者進行操作時，資料與服務須保持可用狀況(能用)，並能滿足使用者需求(夠用) - 隨時隨地都能傳遞資料 - ex. 用對講機傳遞資料 -> 無法保證機密性 -> 用加密保護資料 ### 資訊自由 feat. CIA - 自由存取：可用、完整 - 自主決策：完整 - 責任和代價：可用、完整 - 安全和保護：機密 ## 資訊安全扮演的角色 ### 資訊是怎麼獲得的? - 新聞 - 社群平台 - AI - ... > AI 介入資安之後，人類要做什麼？ > -> 設計結構與流程，確保 AI 找出來的漏洞與修復是正確的 > e.g. 每層不同的工作、不同的 AI ### 如何判斷資訊真假 - metadata - 以信件為例 - 主體：信件內容 - metadata：寄件人地址、收件人地址、姓名、郵戳日期、郵局名稱 - 間接了解事情本質 - 透過用戶瀏覽紀錄推測他關心的東西 ## 淺談 HTTP、DNS 保護 - 網頁、網址本身是一種 metadata - 選可靠的 metadata 可以更快速的對資訊做出初步判斷！ - 何謂 可靠 ? 如何定義? - 參考 CIA: 機密性、完整性、可用性 ### HTTP - Hyper Test Transfer Protocol - 傳輸網頁的規定 - HTTP**S**？ - S：加密 - 增加對於機密性的保護 ### 自簽憑證 - 證明是網站擁有者 - 憑證有效性: 是否為有效的、公證的第三方簽發 ex.身分證是否是真的? - 有效的第三方憑證: PKI 架構 - 公開且公正的第三方機構 - 核對申請者的身分 - 嚴謹的信任架構 - 可信任(完整性)、可驗證(可用性)、可加密(機密性) ### HTTPS - 完整的機制可以做為判斷的參考 - 無法說明內容，但正常的服務/資訊提供者，都會擁有合法的憑證設定 - 有些大公司(例如: gooogle之類的)，會把相似的網域都買下來，避免有人打錯字而進入到惡意網站 ==HTTPS 一定安全？== ### DNS - Domain Name System - 用於網域與 ip 的對應服務 - 公開查詢(可用性) - ... ### WHOIS 服務 - 查詢網域名稱相關資訊 - 有公開網頁服務提供查詢 - domain 名稱的購買者是誰 - 由哪個 server 設定 - 可由此驗證該網域是否是官方的 - 若惡意網域連結是被塞在正常的網域之內的話就無法以網域、憑證判斷 ### CTF時間 製作: - 在憑證裡塞 flag: - 購買 domain 後在註冊人資訊寫 flag - 但不是每個 whois 都看得到塞 flag - ex. https://lookup.icann.org/en 可以 但 https://www.whois365.com/tw/ 看不到 - 網站聊天小助手: - 不論說什麼都固定回答 "不好意思我不知道您的意思，我們現在有一個很幫的信貸優惠，歡迎來電聯繫!" - 但如果有提到 "FLAG" 或 "flag"，就會噴 flag   ## 資安小故事 ## 結論 --- ###### tags: `2025 NISRA Enlightened` <style> .navbar-brand::after { content: " × NISRA"; } </style>