owned this note changed 7 years ago
Linked with GitHub

SITCON 2017 R0 共筆

  • 直播傳送門(已結束)
    Image Not Showing Possible Reasons
    • The image file may be corrupted
    • The server hosting the image is unavailable
    • The image path is incorrect
    • The image format is not supported
    Learn More →
  • Markdown 標記語言語法參考:http://markdown.tw
  • 非官方 slideshot 上傳中,如講者或 SITCON 官方有疑慮請連繫V字龍 <Vdragon.Taiwan@gmail.com> (Telegram: @Vdragon)
    • 如果共筆內容已經涵蓋或是已有公開錄影 slideshot 就已經沒用了請將它移除

Cybersecurity and Internet Governance 網路安全與網路治理

講者簡介

Image Not Showing Possible Reasons
  • The image file may be corrupted
  • The server hosting the image is unavailable
  • The image path is incorrect
  • The image format is not supported
Learn More →

  • 第一個華人 RFC 作者(RFC3743)

Image Not Showing Possible Reasons
  • The image file may be corrupted
  • The server hosting the image is unavailable
  • The image path is incorrect
  • The image format is not supported
Learn More →

問題

1. Blind Trust: we trust parties we don't even know exist

  • Turktrust 第三方憑證出問題,導致連不上Google
  • 資料的所有權屬於網路供應商

2. No ownership: The big companies, not users, own the data

Image Not Showing Possible Reasons
  • The image file may be corrupted
  • The server hosting the image is unavailable
  • The image path is incorrect
  • The image format is not supported
Learn More →

網路治理
Internet Governance

Image Not Showing Possible Reasons
  • The image file may be corrupted
  • The server hosting the image is unavailable
  • The image path is incorrect
  • The image format is not supported
Learn More →

  • 第1層:Infrastructure layer

  • 第2層:Logical layer

  • 第3層:Economic and societal layer (應用層)

網路治理定義

The development and application by governments, the private sector and civil society, in their respective roles, of shared principles, norms, rules, decision-making procedures, and programmers that shape the evolution and use of the Internet. —IG Definition @ WSIS Tunis 2005

IG Concepts in ARPANET - Technology Track

  • 臨時了50年的IETF
  • 第一個 RFC:郵件系統規範(?) (Steve Crocker)
  • 成立了許多 Working Group 後來促成 IETF Working Group
  • 1983 年推出 DNS 的規範(RFC 882/883)
  • 1969年 數位匯流


  • TCP 3way handshaking
    • 近期 DDoS 主要的攻擊點

IG Concepts in ARPANET - Registry Track

IG Concepts for Architecture and Authority

  • 管理在1998年由單一轉為分散
  • ICANN 同年成立

Root System Model

  • 13 個 root DNS server(字母A-N)
  • 繼續維持 1 個 root 的模式,但是不歸單一政府管轄

IG Concepts for Number Community

  • 合作備忘錄
    • 尊重 ICANN
    • APNIC獨立運作並派ICANN董事

Critical Information Infrastructure (CII)

Internet Numbering Architecture

Internet Naming Architecture

Net Neutrality

  • Netflix 事件

ISP blocking and tiering cases

Degree of Enforcement

完全中立

資料類別特許的差別待遇

非阻斷或非節留下的個別訊務排序

不直接強制

ISP 市場競爭度

  • 市場獨占性高的 ISP 負有維持中立性責任

UN IG Initiatives - Political Track

簡報截圖

  • 台灣網路治理論壇

IANA 管理權移轉
IANA Stewardship Transition

  • 美國Gov不爽做,2016年退出?
    你們好ㄑㄧㄤ

Goals of Information Security

簡報截圖
簡報截圖

  • 網路安全涵蓋範圍很廣

Main Targets of DDoS Attack

簡報截圖
簡報截圖

DDoS As A Service

簡報截圖

Operation of a DDoS attack

簡報截圖

Protection: Technology & Insurance

簡報截圖

  • CyberSecurity 變成保險(CyberInsurance)

Cyber War Case - Afghanistan

簡報截圖

攻擊能力

防守能力

對資訊(基礎建設)的依存度

  • 阿富汗完全沒有資訊基礎建設,所以完全沒辦法攻擊

Cyber War Case - China

簡報截圖

  • 中國是個大的 Intranet <- 跟北韓一樣?
  • Censorship

DDoS VS. Cyberwar

簡報截圖

  • DMZ 隔離

graphy
簡報截圖

簡報截圖

Public Key Infrastructure Architecture

簡報截圖
簡報截圖

Detour

  • 中華電信 routing 費用太貴

簡報截圖
簡報截圖
簡報截圖
簡報截圖

Why Bother Internet Governance

簡報截圖

國內法規

國際法規

網路治理

  • 所有的安全都要取捨(Quality/Cost/Security)

Code is Law

簡報截圖

  • 一個構面(?)妥協了會影響到其他的

ICANN DNSSEC vs. Cybersecurity

簡報截圖
簡報截圖

  • ICANN 由7個人管理
    • 有4個鑰匙就可以reboot internet

簡報截圖

Cybersecurity Future Evolution

  • 不再考慮防守,考慮善後

Cybersecurity Phased Strategy

  • 防守 -> 分歧 -> 攻擊

Potential Cooperation of

  • 案例:勒索軟體

Cybersecurity and IG ECO System

重拾數位時代的公民權

簡報截圖

集遊結社

簡報截圖

困難

  • 時間和空間
    • 網際網路的出現某種程度地解決的這種困難(Facebook etc.)

資訊自由

簡報截圖

通信(?)

簡報截圖

  • 土耳其之春/318

open, free, cross border, FOR SURE?

簡報截圖

  • 網路是不是理所當然自由的?

不一定要開放的網路

簡報截圖
大部分的範例案件,都是觸犯著作權問題
造成原所有者的利益損害

成大 MP3 事件

  • 成功大學MP3事件 - 維基百科,自由的百科全書
  • 唱片業者不開心(#`皿´
  • 發現成大有學生架 server 進行傳輸
  • 2001/4/11 搜查並扣押 13 台電腦,對 14 個學生起訴違反著作權法
  • 涉案學生日後簽署認錯道歉書,台灣IFPI(財團法人國際唱片業交流基金會)則在學生登報道歉後正式撤回告訴。

Aaron Swartz

簡報截圖

  • 設計爬蟲程式,公開論文資料

以開放為名導致的封閉

簡報截圖

  • 既有的大型業者,在早期網路開放的時代壯大
  • 企業讓使用者最容易取得資訊的方式
  • 商場的運作邏輯

Filter Bubble 的形成

全球最大的監控網

  • Tim Berners-Lee(2017): 網際網路已成為全世界最大的監控網路
  • 網路服務皆由許多的大型企業提供,間接控制了閱聽人可以接收到的訊息

隱私權

  • 公民與政治權利國際公約(ICCPR) 第17條
  • 因為資料處理的改變,所以蒐集資料算不算侵犯隱私成為疑問

資料處理的改變

  • 過去處理資料是一件麻煩事,再蒐集及處理分析上成本十分昂貴(人力)
  • 現在因蒐集處理能力的進步,不再需要針對特定的人物來進行資料蒐集(大數據)
  • 運算能力的進步,使得資料處理變的更加的容易

群體式圖像的生產與應用

  • 大公司 與 國安局掛勾 蒐集建立用戶資料

生產群體式圖像可能造成的傷害

I. PRISM 計劃

Image Not Showing Possible Reasons
  • The image file may be corrupted
  • The server hosting the image is unavailable
  • The image path is incorrect
  • The image format is not supported
Learn More →

  • 我可能只是在網路上隨手搜尋的,則可能會因為辨識錯誤,造成誤解
  • Ex.搜尋阿拉花瓜?

II. Netflix

  • Netflix釋出去識別化的資料庫數據
  • 透過 IMDb 的帳號,有機會回推到Netflix的帳號
  • Netflix 花了 900 萬美金和解

III. 台灣健保資料庫

  • 在沒有經過用戶同意的情形下,將使用者資料交給第三方學術單位或是政府機關
  • 雖然有經過去識別化,但透過內部的可能資料,可以簡單的還原出單一筆資料
  • 健保資料庫:有所有人的資料

IV. ETC Data Base

  • Open Data,任何人都可以使用
  • 臺灣對於去識別化的規範並沒有一個標準
  • 資料去識別化尚未經過驗證

資訊自主權

  • 大法官釋字第603號解釋
  • 有權力控制資料在何時何地使用

個人資料保護法

是否包括去識別化的資料?

聯合國特別程序

隱私權特別報告員


重新理解「隱私」

  • 拒絕「被研究」的權利

支持開放運動


精神: 自由

善用工具

監督企業 and 政府

建立 相關 隱私法規

台灣網路透明報告 & The End

台權會工商服務

  • 歡迎贊助

前端工程的過去、現在與未來

論壇:同學,你這樣經營社群?學生資訊社群的藝術

  • 助理主持人:PCC
  • 主持人:

伙計 - NISRA

為什麼想參加資訊組織?

為什麼對資訊有興趣?

參與資訊的初衷?

每年想法都不一樣

排課問題

參與資訊社團遇到最大的困難

  • 每年加入的學弟妹愈來愈少



Siri(陳育靜) - 踏入電資坑

  • 家齊高中 第一屆資訊社社長

  • 6/11 INFAS 2017

論壇進行方式說明

提出發言申請

發言點(?


現場發言需到發言點
網路發言請選「匿名」發言

DC(陳建鳴)(成大電腦網路愛好社(CCNS))- ?

  • 問題
    • 收不到人: 招不到成大的人
    • 怎樣挖坑給別人跳
    • 非本科系
  • 兩個重點
    • 資訊社群是分享的大平台
    • 經營社群是推坑的藝術

皮皮(潘昱仁) - 師大附中電子計算機研究社經驗分享

  • 臺大開源社
  • 同地區很多校際活動
  • 校方通常注重成績,造成學術性社團招收不易
  • 新鮮的肝
  • 注重比賽(競賽結果),不在意社團活動

討論開始

同學,你這樣經營社群?學生資訊社群的藝術

























社團怎麼決定教學、招募目標?


第一次做光劍就上手








  • LED 6000mcd 以上亮度






  • LED 60~80 顆







  • 天使眼開關

  • 劍柄整線要做好,裏面空間很小

用 Electron 實踐跨平臺桌面程式

投影片網址: https://hackmd.io/p/HkV3GHrtl#/


關於我

桌面應用程式

  • 相對於 WebApp

跨平台
(妥協)

  • Web Technology Rocks!

Electron

Demo


Atom
Slack
VS Code
Hyper

怎麼達成的



組成






多行程架構
Main Process & Renderer Process



小結

成果展示

漫畫閱讀器


噗浪桌面版

Unity x Git 之辛酸血淚史

前情提要

工具

Unity

  • 推薦的版本控制系統都是商業(?)的

  • Unity YAML merge tool

    • 兩個 confict(?) 處理模式
      • Premerge
      • Ask
    • Windows 沒有 merge(?)視窗問題
      • Windows 須自行安裝且於 mergespecfile.txt 進行指派

  • 素材檔太大被 remote repo 拒絕

    • limiation
      • 1GB per repo/month for free
      • 100mb per file
    • Git LFS

Inndy - No More Crypto Fails 現代密碼學入門

注意:此議程無開放直播QQ

可是有簡報 :D

演講內容

  • 介紹編碼 雜湊 加密
  • 介紹常見的密碼學錯誤

資料單位

什麼不是加密

  • 編碼絕對不是加密
  • Encode
    • 編碼轉換,可以再轉回來
      • Ex. HEX, Base64
    • Base64
      • 以 4 Bytes ASCII 來表示3Bytes 的資料
      • 資料體積會膨脹 1/3
  • Hash(雜湊)
    • 輸入任意長度的資料,將其壓縮成固定長度的資料
    • 輸出資料代表輸入的摘要
    • 同樣的輸入會得到相同的結果
    • 不同的Hash值代表不同的輸入資料
      • 亦即不會碰撞
    • 用途
      • 雜湊表
      • 確保資料完整性
      • 數位簽章
    • Ex. CRC32, MD5, SHA-1, SHA256
    • 雜湊碰撞(Hash Collision)
      • 當Hash值相同時,輸入資料真的一樣?(多對一)
      • 範例程式可以找到許多的碰撞值
      • Shattered(SHA-1 Collision)By Google and CWI
    • 數位簽章
      • 確保訊息並非偽造(MITM)

密碼保存

  • 彩虹表(Rainbow Table)
  • 直接使用專門為密碼設計的雜湊方式
    • Angon2, PBKDF2, scrypt, bcrypt

長度延展攻擊

  • 已知
  • 工具hashpump
  • HMAC可避免

什麼是加密

  • 過程需要密鑰(key)
  • 即使加密演算法公開,密文依然無法還原
  • 偽隨機數產生器(PRNG)
    • 1.由一個
  • 密鑰產生與PRNG
    • 若亂數種子使用時間作為種子,在時間已知的情形下,有機會可以還原出密鑰

密鑰產生

  • 產生加密密鑰的時候要使用OS提供的安全亂數

    • 我知道你用的是什麼PRNG

加密系統分類

  • 對稱式
    • 串流加密(Stream cipher)
      • 本質上是PRNG
    • 分組加密(Block cipher)
      • 可逆函數
      • PKCS#5, PKCS#7
    • 基本結構
    • 分組加密工作模式
      • 若每個block都有自己的IV(Initialization vector),資料會成長兩倍
      • CBC模式加密


Padding Oracle Attack

  • 什麼元素會影響明文

    • Text, key, IV

  • 攻擊場景

    • 破壞IV
      • 試著修改IV最後一個Byte產生出01結尾的填充

  • 必要條件

    • PKCS#7填充, CBC模式, Padding Error被使用者看到

非對稱加密

  • RSA, ECC
  • 公鑰加密只可以用私鑰解密,私鑰加密只可以用公鑰解密
  • RSA需要Random Padding

開發學校雲端服務的奇技淫巧

簡報:開發學校雲端服務的奇技淫巧(Tips for Building Third-Party School Service)

關於講者

  • SITCON 2016 有講過勒索軟體

義守管家http://isu.30cm.tw/

murmur


  • 學校網頁設計超爛查資料頁面要拉來拉去
    • 有沒有改進的空間?




  • 「每個老師分數都是九十幾分要改一下」
  • 沒有用 API
  • 都是爬蟲程式


HTTP網頁流量分析

分析手段

靜態

  • 閱讀網頁原始碼


動態

  • 使用瀏覽器的動態分析(檢查)功能


(實務上)





一般第三方服務 BOT(應用程式)







建立一個第三方服務

透過 Node.js + Express 建立雲端服務

HTTP Basic

Zealan



Node.js + Request 模擬使用者瀏覽器行為


連線身份資訊保存 由單一應用程式記憶


  • 方法一:
    • 在伺服器上面保存使用者的Cookie
    • 問題: 大量佔用伺服器資源
  • 方法二:
    • 將Cookie資料存於使用者端,伺服器不儲存,需要時重新自使用者端要求

Cheerio.js

M00d1e.js

  • 可以存取 Moodle 上的資料

學校的反制

請求 header 分析

?

檢查封包請求時間

圖片驗證碼

  • ASPRISE OCR 商業套件(可破解)
  • easyChptchaOCR

  • 切直切橫線找交點破解更快

跨域名登入 Moodle

  • Content Security Policy (CSP)

  • 利用 iframe 並用 javascript 模擬登入動作模擬登入

奇淫技巧(二) - 無痕模式下記憶帳密

  • fingerprintjs

義守管家專案

aaaddress1/isuMaster-NodeJS

閃電秀
Lightning Talk

BlueT - Just Go Open I've Got Your Back


Inndy - 你再共用密碼啊

簡報在此

pastebin.com

  • Dropbox 密碼被駭
    • SHA-1 hashed,但(常見的 hash)可以輕易地被反推
  • 怎麼取密碼才安全?
    • 英文句子串接
    • 密碼分級
    • 重要的服務用獨立密碼
    • 2FA
    • SMS

Jeremy Yen/PCC - 論壇



https://github.com/jeremy5189/PDModerator
https://docs.google.com/spreadsheets/d/1F1ZYaBI557UZrELjDtqSt_yKDm0UL7S5sF-iDK_BIdI/edit#gid=0

愷開(@klanyei) - sudo 四重奏



  • mjml: 簡化 email 排版

TDOH - 全台校園攻略大公開


  • 首創 6 小時 buffet

不具名(?) - THU 選課天眼通


Zuan(PTT:john0312) -

  • 「今天我要來講一個,只看五天書臺大資工所正取一的故事

Denny Huang - SITCON Pass

  • 前身為 COSCUP Pass
  • 下載 720GB(比 COSCUP 還多)
  • 上載 680GB
  • CCIP-Admin-Bueno
  • 蘋果天殺的審查
  • Orphan Branch 小心使用
  • 12XX 裝置使用數
  • 報到率 82.8%

Special Event - Clara Lin, Tony Yip - SITCON x HK(SITCON HK 成員來台分享心得)












閉幕



Select a repo