資訊自由與安全:資安人的見解 by Loyo === :::danger 請愛惜共筆,勿進行惡意刪減 ::: --- - 資訊自由是什麼 - 資訊安全扮演的角色 - 淺談HTTP、DNS保護 - 資安小故事 - 結論 --- ## 資訊自由是什麼 - 自由存取、自主決策 - 代價和責任、安全和保護 ### 財富自由 vs 資訊自由 - 自由存取 - 財富自由 : 能夠自由地使用、管理和投資自己的金錢, - 資訊自由 : 能夠自由的存取、使用和分享資訊,不受不合理的審查或限制 - 自主存取 - 財富自由: - 資訊自由:有權存取完整的資訊時,可以在生活中做出更好的選擇 - 責任和代價 - 財富自由:需要財務規劃、投資 - 資訊自由:需要資訊素養、批判性思考和辨別真偽能力,確保資訊的有效利用 - 安全和保護 - 財富自由: - 資訊自由:保護自己的資料和確保存取資訊的安全 :::warning 網路中立原則存在或廢除? ::: ## 資訊安全扮演的角色 ### 資訊安全可以幫助我們什麼? - 自由存取 - 自主決策 - 代價和責任 - 安全和保護 ### 資訊安全 CIA 三角模型 (CIA Triad) - 機密性 (Confidentiality) - 完整性 (Integrity) - 可用性 (Availability) ![The CIA Triad](https://hackmd.io/_uploads/Byatj3Y6h.jpg =200x) #### 機密性 確保資料傳遞與儲存的隱密性避免未經授權的使用者有意或無意地揭露資料內容 #### 完整性 確保資料無論在傳輸或儲存的生命週期中,保有其正確性與一致性 #### 可用性 使用者進行操作時,資料與服務須保持可用狀況(能用),並能滿足使用需求(夠用) - 自由存取 = 可用性 + 完整性 - 自主決策 = 完整性 - 代價和責任 = 可用性 + 完整性 - 安全和保護 = 機密性 ### 資訊是怎麼獲得的 - 各種社群軟體、口耳相傳... 該怎麼判斷真假 聊聊關於 Metadata 這件事 #### Metadata 中繼資料、元數據、詮釋資料、後設資料 - 「描述資料的資料」 ## 淺談 HTTP、DNS 保護 - 網頁、網址本身就是一種 ==Metadata== - 選擇**可靠**的==Metadata==可以更快速的對資訊做出初步判斷! - 何為**可靠**?如何訂? - 參考CIA:**機密性**、**完整性**、**可靠性** ![URL](https://hackmd.io/_uploads/SJTEIaKT3.jpg) ### HTTP **H**yper **T**ext **T**ransder **P**rotocol - 用途:通常瀏覽器使用,常用於顯示網頁內容 - 風險:正在瀏覽的內容有可能被隔壁同學知道 - 出現 HTTPS - 透過**憑證**與**加密**來解決此困擾 #### HTTPS一定安全嗎? HTTPS 加密傳輸 **憑證有效性**:是否為有效第三方簽證(身分證是否是真的?) Your connection is not private #### 有效的第三方憑證:PKI架構 ```mermaid graph CA[Certificate Authority] --> RC[Root Certificate] --> IC[Intermediate Certificate] --> Re[SSL Certificate, Server, Private key] ``` - 公開且公正的第三方機構 - 核對申請者的身分 - 嚴謹的信任架構 - 可信任、可驗證、可加密 #### HTTPS - 透過HTTPS完整的機制,可以做為判斷資訊的**一種參考** - 雖然無法說明網頁內容,但正常的服務/資訊提供者,都會擁有合法的憑證設定 ### DNS **D**omain **N**ame **S**ystem Domain → IP - 用途:用於網域與 IP 位置的對應服務 - 風險:可能被惡意偽造回應,拿到錯誤的IP結果 - 出現DNSSEC,用於確保IP結果正確 > TRANSACTION ID 類似驗證碼 [簽章結果][PORT NUM][TRANSACT ID] 能知道網域名稱是誰的嗎?(WHOIS 服務) - WHOIS服務 - 查詢網域名稱相關資訊 - 有公開網頁服務提供查詢 - 網域名稱的資訊與架構也能提供判斷資訊時的一種參考 <!--縮網址:https + 縮網址服務的憑證--> ## 資安小故事 ### 故事(1):這真是一個好密碼!:身分識別 - 是否使用過各式弱密碼?e.g. 123456, password ... - 長度和複雜度 ![](https://hackmd.io/_uploads/By5uT6F63.png) https://www.hivesystems.io/blog/are-your-passwords-in-the-green [';--have i been pwned?](https://haveibeenpwned.com/) - 使用好的密碼組合與足夠的長度 - 避免使用重複的密碼 - 二階段密碼驗證設定(2 Factor) - 使用密碼管理軟體 ### 故事(2):這個程式將取得以下資訊:授權存取 授權 - 最小權限原則 只賦予必要的權限 例如,如果您的日常帳戶不需要管理員權限,則不要為其賦予 - 定期檢查應用程式權限 常常檢查智慧型手機或電腦上的應用程式和服務的權限,確保他們只能存取他們真正需要的資訊 ### 故事(3):我們注意到你的帳號從與平常不同的地點登入:行為紀錄 檢查帳戶活動 定期檢查... 隨時更新 ### 資訊安全3A框架 Authentication 身分識別 Authorization 授權存取 Accounting 行為紀錄 ## 結論 - 資安較度看資訊自由 - CIA 的重要性,他是一個盤點的方式,可以幫助盤點與理解 - 從 HTTPS/ DNS 的說明,用不同面向去觀看網路獲得的資訊 - 三個小故事思考個人資訊的保護議題,延伸3A框架 - 資安人,用自己的方式理解與獲得的資訊跟守護自己,也成為好的網路公民