owned this note
owned this note
Published
Linked with GitHub
---
title: SITCON 2017 R0 共筆
tags: SITCON 2017 共筆, 2017
---
# SITCON 2017 R0 共筆
* 直播傳送門(已結束)
{%youtube __w_1FyDzgQ %}
* Markdown 標記語言語法參考:<http://markdown.tw>
* 非官方 slideshot 上傳中,如講者或 SITCON 官方有疑慮請連繫V字龍 <<Vdragon.Taiwan@gmail.com>> (Telegram: @Vdragon)
* 如果共筆內容已經涵蓋或是已有公開錄影 slideshot 就已經沒用了請將它移除
## Cybersecurity and Internet Governance 網路安全與網路治理
### 講者簡介
* 第一個華人 RFC 作者(RFC3743)
### 問題
#### 1. Blind Trust: we trust parties we don't even know exist
* Turktrust 第三方憑證出問題,導致連不上Google
* 資料的所有權屬於網路供應商
#### 2. No ownership: The big companies, not users, own the data
### 網路治理<br />Internet Governance
* 第1層:Infrastructure layer
* 第2層:Logical layer
* 第3層:Economic and societal layer (應用層)
#### 網路治理定義
> The development and application by governments, the private sector and civil society, in their respective roles, of shared principles, norms, rules, decision-making procedures, and programmers that shape the evolution and use of the Internet. —IG Definition @ WSIS Tunis 2005
### IG Concepts in ARPANET - Technology Track
* 臨時了50年的IETF
* 第一個 RFC:郵件系統規範(?) (Steve Crocker)
* 成立了許多 Working Group 後來促成 IETF Working Group
* 1983 年推出 DNS 的規範(RFC 882/883)
* 1969年 數位匯流
* TCP 3way handshaking
* 近期 DDoS 主要的攻擊點
### IG Concepts in ARPANET - Registry Track
### IG Concepts for Architecture and Authority
* 管理在1998年由單一轉為分散
* ICANN 同年成立
### Root System Model
* 13 個 root DNS server(字母A-N)
* 繼續維持 1 個 root 的模式,但是不歸單一政府管轄
### IG Concepts for Number Community
* 合作備忘錄
* 尊重 ICANN
* APNIC獨立運作並派ICANN董事
### Critical Information Infrastructure (CII)
#### Internet Numbering Architecture
#### Internet Naming Architecture
### Net Neutrality
* Netflix 事件
#### ISP blocking and tiering cases
### Degree of Enforcement
#### 完全中立
#### 資料類別特許的差別待遇
#### 非阻斷或非節留下的個別訊務排序
#### 不直接強制
#### ISP 市場競爭度
* 市場獨占性高的 ISP 負有維持中立性責任
### UN IG Initiatives - Political Track
* 台灣網路治理論壇
### IANA 管理權移轉<br>IANA Stewardship Transition
* 美國Gov不爽做,2016年退出?
你們好ㄑㄧㄤ
### Goals of Information Security
* 網路安全涵蓋範圍很廣
### Main Targets of DDoS Attack
### DDoS As A Service
* 補充鏈接
https://www.bleepingcomputer.com/news/security/you-can-now-rent-a-mirai-botnet-of-400-000-bots/
### Operation of a DDoS attack
### Protection: Technology & Insurance
* CyberSecurity 變成保險(CyberInsurance)
### Cyber War Case - Afghanistan
#### 攻擊能力
#### 防守能力
#### 對資訊(基礎建設)的依存度
* 阿富汗完全沒有資訊基礎建設,所以完全沒辦法攻擊
### Cyber War Case - China
* 中國是個大的 Intranet <- 跟北韓一樣?
* Censorship
### DDoS VS. Cyberwar
* DMZ 隔離
###
graphy
###
### Public Key Infrastructure Architecture
### Detour
* 中華電信 routing 費用太貴
###
### Why Bother Internet Governance
#### 國內法規
#### 國際法規
#### 網路治理
* 所有的安全都要取捨(Quality/Cost/Security)
### Code is Law
* 一個構面(?)妥協了會影響到其他的
### ICANN DNSSEC vs. Cybersecurity
* ICANN 由7個人管理
* 有4個鑰匙就可以reboot internet
###
### Cybersecurity Future Evolution
* 不再考慮防守,考慮善後
### Cybersecurity Phased Strategy
* 防守 -> 分歧 -> 攻擊
### Potential Cooperation of...
* 案例:勒索軟體
### Cybersecurity and IG ECO System
## 重拾數位時代的公民權
### 集遊結社
#### 困難
* 時間和空間
* 網際網路的出現某種程度地解決的這種困難(Facebook etc.)
### 資訊自由
### 通信...(?)
* 土耳其之春/318...
### open, free, cross border, FOR SURE?
* 網路是不是理所當然自由的?
### 不一定要開放的網路
大部分的範例案件,都是觸犯著作權問題
造成原所有者的利益損害
#### 成大 MP3 事件
* [成功大學MP3事件 - 維基百科,自由的百科全書](https://zh.wikipedia.org/zh-tw/%E6%88%90%E5%8A%9F%E5%A4%A7%E5%AD%B8MP3%E4%BA%8B%E4%BB%B6)
* 唱片業者不開心(#\`皿´
* 發現成大有學生架 server 進行傳輸
* 2001/4/11 搜查並扣押 13 台電腦,對 14 個學生起訴違反著作權法
* 涉案學生日後簽署認錯道歉書,台灣IFPI(財團法人國際唱片業交流基金會)則在學生登報道歉後正式撤回告訴。
#### Aaron Swartz
* 設計爬蟲程式,公開論文資料
*
#### 以開放為名導致的封閉
* 既有的大型業者,在早期網路開放的時代壯大
* 企業讓使用者最容易取得資訊的方式
* 商場的運作邏輯
#### Filter Bubble 的形成
#### 全球最大的監控網
* Tim Berners-Lee(2017): 網際網路已成為全世界最大的監控網路
* 網路服務皆由許多的大型企業提供,間接控制了閱聽人可以接收到的訊息
### 隱私權
* 公民與政治權利國際公約(ICCPR) 第17條
* 因為資料處理的改變,所以蒐集資料算不算侵犯隱私成為疑問
### 資料處理的改變
* 過去處理資料是一件麻煩事,再蒐集及處理分析上成本十分昂貴(人力)
* 現在因蒐集處理能力的進步,不再需要針對特定的人物來進行資料蒐集(大數據)
* 運算能力的進步,使得資料處理變的更加的容易
### 群體式圖像的生產與應用
* 大公司 與 國安局掛勾 蒐集建立用戶資料
### 生產群體式圖像可能造成的傷害
#### I. PRISM 計劃
![slideshot missing: 史諾登]()
* 我可能只是在網路上隨手搜尋的,則可能會因為辨識錯誤,造成誤解
* Ex.搜尋阿拉花瓜?
#### II. Netflix
* Netflix釋出去識別化的資料庫數據
* 透過 IMDb 的帳號,有機會回推到Netflix的帳號
* Netflix 花了 900 萬美金和解
#### III. 台灣健保資料庫
* 在沒有經過用戶同意的情形下,將使用者資料交給第三方學術單位或是政府機關
* 雖然有經過去識別化,但透過內部的可能資料,可以簡單的還原出單一筆資料
* 健保資料庫:有所有人的資料
#### IV. ETC Data Base
* Open Data,任何人都可以使用
* 臺灣對於去識別化的規範並沒有一個標準
* 資料去識別化尚未經過驗證
### 資訊自主權
* 大法官釋字第603號解釋
* 有權力控制資料在何時何地使用
### 個人資料保護法
是否包括去識別化的資料?
### 聯合國特別程序
#### 隱私權特別報告員
### 重新理解「隱私」
* 拒絕「被研究」的權利
### 支持開放運動
精神: 自由
### 善用工具
* [privacytools.io](privacytools.io)
### 監督企業 and 政府
建立 相關 隱私法規
### 台灣網路透明報告 & The End
### 台權會工商服務
* 歡迎贊助
## 前端工程的過去、現在與未來
* <del>live</del> presentation 連結:http://slides.com/tz5514/deck-1-2
* Babel
## 論壇:同學,你這樣經營社群?學生資訊社群的藝術
* 助理主持人:PCC
* 主持人:
### 伙計 - NISRA
#### 為什麼想參加資訊組織?
##### 為什麼對資訊有興趣?
##### 參與資訊的初衷?
#### 每年想法都不一樣
#### 排課問題
#### 參與資訊社團遇到最大的困難
* 每年加入的學弟妹愈來愈少
### Siri(陳育靜) - 踏入電資坑
* 家齊高中 第一屆資訊社社長
*
* 6/11 INFAS 2017
### 論壇進行方式說明
* 非單向發言平台
* 到 <http://pd.sitcon.org> 或 sitcon app
#### 提出發言申請
#### 發言點(?
現場發言需到發言點
網路發言請選「匿名」發言
### DC(陳建鳴)(成大電腦網路愛好社(CCNS))- ?
* 問題
* 收不到人: 招不到成大的人
* 怎樣挖坑給別人跳
* 非本科系
* 兩個重點
* 資訊社群是分享的大平台
* 經營社群是推坑的藝術
### 皮皮(潘昱仁) - 師大附中電子計算機研究社經驗分享
* 臺大開源社
* 同地區很多校際活動
* 校方通常注重成績,造成學術性社團招收不易
* 新鮮的肝
* 注重比賽(競賽結果),不在意社團活動
### 討論開始
#### 同學,你這樣經營社群?學生資訊社群的藝術
#### 社團怎麼決定教學、招募目標?
## 第一次做光劍就上手
* LED 6000mcd 以上亮度
* LED 60~80 顆
* 天使眼開關
* 劍柄整線要做好,裏面空間很小
## 用 Electron 實踐跨平臺桌面程式
投影片網址: https://hackmd.io/p/HkV3GHrtl#/
### 關於我
* <https://github.com/yukaii>
### 桌面應用程式
* 相對於 WebApp
### 跨平台<br>(妥協)
* Web Technology Rocks!
### Electron
#### Demo
#### 怎麼達成的
##### 組成
##### 多行程架構<br />Main Process & Renderer Process
### 小結
### 成果展示
#### 漫畫閱讀器
#### 噗浪桌面版
## Unity x Git 之辛酸血淚史
### 前情提要
### 工具
#### Unity
* 推薦的版本控制系統都是商業(?)的
*
* Unity YAML merge tool
* 兩個 confict(?) 處理模式
* Premerge
* Ask
* Windows 沒有 merge(?)視窗問題
* Windows 須自行安裝且於 mergespecfile.txt 進行指派
* 
* 素材檔太大被 remote repo 拒絕
* limiation
* 1GB per repo/month for free
* 100mb per file
* Git LFS
* 
## Inndy - No More Crypto Fails 現代密碼學入門
注意:此議程無開放直播QQ
[可是有簡報 :D](https://speakerdeck.com/inndy/no-more-crypto-fails)
### 演講內容
* 介紹編碼 雜湊 加密
* 介紹常見的密碼學錯誤
### 資料單位
### 什麼不是加密
* 編碼絕對不是加密
* Encode
* 編碼轉換,可以再轉回來
* Ex. HEX, Base64
* Base64
* 以 4 Bytes ASCII 來表示3Bytes 的資料
* 資料體積會膨脹 1/3
* Hash(雜湊)
* 輸入任意長度的資料,將其壓縮成固定長度的資料
* 輸出資料代表輸入的摘要
* 同樣的輸入會得到相同的結果
* 不同的Hash值代表不同的輸入資料
* 亦即不會碰撞
* 用途
* 雜湊表
* 確保資料完整性
* 數位簽章
* Ex. CRC32, MD5, SHA-1, SHA256
* 雜湊碰撞(Hash Collision)
* 當Hash值相同時,輸入資料真的一樣?(多對一)
* 範例程式可以找到許多的碰撞值
* [Shattered](http://shattered.io/)(SHA-1 Collision)By Google and CWI
* 數位簽章
* 確保訊息並非偽造(MITM)
### 密碼保存
* 彩虹表(Rainbow Table)
* 直接使用專門為密碼設計的雜湊方式
* Angon2, PBKDF2, scrypt, bcrypt
### 長度延展攻擊
* 已知
* 工具hashpump
* HMAC可避免
### 什麼是加密
* 過程需要密鑰(key)
* 即使加密演算法公開,密文依然無法還原
* 偽隨機數產生器(PRNG)
* 1.由一個
* 密鑰產生與PRNG
* 若亂數種子使用時間作為種子,在時間已知的情形下,有機會可以還原出密鑰
### 密鑰產生
* 產生加密密鑰的時候要使用OS提供的安全亂數
* 我知道你用的是什麼PRNG
### 加密系統分類
* 對稱式
* 串流加密(Stream cipher)
* 本質上是PRNG
* 分組加密(Block cipher)
* 可逆函數
* PKCS#5, PKCS#7
* 基本結構
* 分組加密工作模式
* 若每個block都有自己的IV(Initialization vector),資料會成長兩倍
* CBC模式加密
### Padding Oracle Attack
* 什麼元素會影響明文
* Text, key, IV
* 攻擊場景
* 破壞IV
* 試著修改IV最後一個Byte產生出01結尾的填充
* 
* 必要條件
* PKCS#7填充, CBC模式, Padding Error被使用者看到
### 非對稱加密
* RSA, ECC
* 公鑰加密只可以用私鑰解密,私鑰加密只可以用公鑰解密
* RSA需要Random Padding
## 開發學校雲端服務的奇技淫巧
簡報:[開發學校雲端服務的奇技淫巧(Tips for Building Third-Party School Service)](https://www.slideshare.net/MaHauo/tips-for-building-thirdparty-school-service)
### 關於講者
* SITCON 2016 有講過勒索軟體
### 義守管家<http://isu.30cm.tw/>
### murmur
* 學校網頁設計超爛查資料頁面要拉來拉去
* 有沒有改進的空間?
* 「每個老師分數都是九十幾分要改一下」
* 沒有用 API
* 都是爬蟲程式
### HTTP網頁流量分析
#### 分析手段
#### 靜態
* 閱讀網頁原始碼
#### 動態
* 使用瀏覽器的動態分析(檢查)功能
#### (實務上)
#### 一般第三方服務 BOT(應用程式)
#### 建立一個第三方服務
#### 透過 Node.js + Express 建立雲端服務
#### HTTP Basic
Zealan
#### Node.js + Request 模擬使用者瀏覽器行為
#### 連線身份資訊保存 由單一應用程式記憶
* 方法一:
* 在伺服器上面保存使用者的Cookie
* 問題: 大量佔用伺服器資源
* 方法二:
* 將Cookie資料存於使用者端,伺服器不儲存,需要時重新自使用者端要求
#### Cheerio.js
#### [M00d1e.js](https://github.com/aaaddress1/m00d1e.js)
* 可以存取 Moodle 上的資料
### 學校的反制
#### 請求 header 分析
#### ?
#### 檢查封包請求時間
#### 圖片驗證碼
* ASPRISE OCR 商業套件(可破解)
* OLLYICE手拆OCR付費引擎
<http://30cm.tw/?p=512>
* easyChptchaOCR
* 切直切橫線找交點破解更快
#### 跨域名登入 Moodle
- Content Security Policy (CSP)
- 利用 iframe 並用 javascript 模擬登入動作模擬登入
### 奇淫技巧(二) - 無痕模式下記憶帳密
- fingerprintjs
### 義守管家專案
[aaaddress1/isuMaster-NodeJS](https://github.com/aaaddress1/isuMaster-NodeJS)
## 閃電秀<br>Lightning Talk
### BlueT - [Just Go Open I've Got Your Back](https://docs.google.com/presentation/d/1wEp902ezt5LJeuKvPEkH0he0EC_j07Qw7HhBFkTjK9I/preview)
### Inndy - 你再共用密碼啊
[簡報在此](https://speakerdeck.com/inndy/ni-zai-gong-yong-mi-ma-a)
pastebin.com
* Dropbox 密碼被駭
* SHA-1 hashed,但(常見的 hash)可以輕易地被反推
* 怎麼取密碼才安全?
* 英文句子串接
* 密碼分級
* 重要的服務用獨立密碼
* 2FA
* SMS
### Jeremy Yen/PCC - 論壇
https://github.com/jeremy5189/PDModerator
https://docs.google.com/spreadsheets/d/1F1ZYaBI557UZrELjDtqSt_yKDm0UL7S5sF-iDK_BIdI/edit#gid=0
### 愷開(@klanyei) - [sudo 四重奏](https://goo.gl/19Xea5)
* [mjml](https://mjml.io/documentation/#mjml): 簡化 email 排版
### TDOH - 全台校園攻略大公開
* 首創 6 小時 buffet
### 不具名(?) - THU 選課天眼通
### Zuan(PTT:john0312) -
- 「今天我要來講一個,只看五天書臺大資工所正取一的故事
### Denny Huang - SITCON Pass
* 前身為 COSCUP Pass
* 下載 720GB(比 COSCUP 還多)
* 上載 680GB
* CCIP-Admin-Bueno
* 蘋果天殺的審查
* Orphan Branch 小心使用
* 12XX 裝置使用數
* 報到率 82.8%
## Special Event - Clara Lin, Tony Yip - SITCON x HK(SITCON HK 成員來台分享心得)
## 閉幕
Sign in with Wallet
