資安入門 Cybersecurity - 靜心高中 2024

# Cybersecurity 資訊安全通識 @ 靜心高中講者：Sean 韋詠祥 Note: 總時長：90 min (10:30 - 12:00) 10:30 開場 10:35 近期資安新聞 10:40 資安活動（研討會、競賽） 10:45 CTF 分類、Web 題目 11:00 Python 題目 11:10 中場休息 11:20 OSINT 11:25 生活中的資安 11:30 misc 11:35 資安常識、常見迷思 11:45 培訓計畫 11:50 延伸資源 11:55 QA ---- ## 講者介紹交大資工碩一 Sean 韋詠祥 - SITCON 年會講者、議程組 - SITCON 夏令營課程活動組 - 資安證照：CEH (Certified Ethical Hacker)、　　　　　ISC2 CC (Certified in Cybersecurity) - 近期經歷：行政院攻防演練攻擊手、　　　　　教育部資安檢測員 ---- ## 近期資安新聞 7 所高中遭駭客入侵勒索教育部：學習歷程有備份 ![cna](https://hackmd.io/_uploads/HyQ5x1dN0.png =x320) 2024-03-30 [cna.com.tw](https://www.cna.com.tw/news/ahel/202403300149.aspx) ---- ## 近期資安新聞上百間高中不需任何權限即可上傳任意檔案 ![Dcard](https://hackmd.io/_uploads/HJ_TwxQ4A.jpg =x320) 2024-05-12 [dcard.tw](https://www.dcard.tw/f/talk/p/255525133), [ZD-2024-00143](https://zeroday.hitcon.org/vulnerability/ZD-2024-00143) ---- ## 近期資安新聞華航上百萬筆客戶個資流出被放上暗網出售 ![udn](https://hackmd.io/_uploads/B1rhy1_4A.png =x320) 2024-03-26 [udn.com](https://udn.com/news/story/7266/7857497) ---- ## 近期資安新聞德國總理蕭茲訪中高規格保密防諜手機不離身回國報廢 ![cna](https://hackmd.io/_uploads/S1Od0RvNA.png =x320) 2024-04-16 [cna.com.tw](https://www.cna.com.tw/news/aopl/202404160105.aspx) ---- ## 近期資安新聞國安局：520 前中共網路侵擾每天逾 250 萬次 ![cna](https://hackmd.io/_uploads/HJzrX1u4R.png =x320) 2024-05-16 [cna.com.tw](https://www.cna.com.tw/news/aipl/202405160070.aspx)  ---- ## 近期資安新聞 LINE 輔助驗證 ![storm](https://hackmd.io/_uploads/SJaNVJ_4R.png =x320) 2024-04-08 [storm.mg](https://www.storm.mg/lifestyle/4469037) ---- ## 近期資安新聞 Facebook 寵物投票 ![mygopen](https://hackmd.io/_uploads/Hyl_EyuVR.png =x320) 2024-04-17 [mygopen.com](https://www.mygopen.com/2024/04/pet-vote.html) ---- ## 今日演講規則 - 有疑惑歡迎提問 - 想到好奇的題目，可以先筆記起來 --- ## 資安競賽分類 - Jeopardy 解謎賽 - King of the Hill 擂台賽 - Attack and Defense 攻防賽 - Bug Bounty 賞金獵人 ---- ## Jeopardy 解謎賽 - 最常見的競賽類型，大家解同一套題組 - 通常各題分數與難度相關 - 尋找長得像 `FLAG{printable}` 的字串 - 大致可分為六大類：網頁安全、密碼學、逆向工程、執行檔滲透、數位鑑識、其他 ---- ## King of the Hill (KoH) 擂台賽 - 主辦單位提供數個服務 - 看誰程式最短、撐得久、速度快、最接近完美 - 通常沒有標準解 - KoH 題目舉例： - 用最少步數解出 Wordle - 植入後門，讓首頁出現自家隊伍名稱 - 執行任何指令，讓自己程式存活最久 ---- ## Attack and Defense (A&D) 攻防賽 - 主辦單位提供機器/服務 - 自行研究漏洞 - 幫自己的服務上 patch（補丁） - 利用漏洞攻擊他人伺服器 ---- ## Jeopardy 基本分類 - Web 網頁安全 - Crypto 密碼學 - Reverse 逆向工程 - Binary 執行檔滲透 - Forensic 數位鑑識 - Misc 其他通靈題型 ---- ## Welcome to CTF 請開啟 https://ctf.sean.cat/ 第一題 ![](https://i.imgur.com/SPwstTz.png) Flag 格式為 `FLAG{Print@b1e}` --- ## OSINT 公開來源情報 - 全名：Open Source INTelligence - 透過網路上公開的資訊，蒐集資訊情報 ---- ## OSINT 案例：解放軍地圖 ![cna](https://hackmd.io/_uploads/rkzRQgdVA.png =x400) Source: [cna.com.tw](https://www.cna.com.tw/news/aipl/202206210002.aspx) ---- ## OSINT 案例：晚安小雞 ![udn](https://hackmd.io/_uploads/B1utIeuEC.png =x400) Source: [udn.com](https://udn.com/news/story/123693/7768389) ---- ## 生活中的資安：登機證條碼 ![](https://i.imgur.com/4KVs4kU.jpg =x400) 關鍵字：PDF417 Online Reader ---- ## 生活中的資安：台電圖號座標 ![](https://hackmd.io/_uploads/BypzKx_VR.jpg =x460) ---- ## OSINT 練習：找出拍攝地點 ![B4321GE80](https://hackmd.io/_uploads/Hyo9Kgu4A.jpg =x400) Image: https://tg.pe/sa2.jpg ---- ## OSINT 練習：找出拍攝地點 ![](https://ctf.sean.cat/assets/img/stego.png =x400) 關鍵字：EXIF 地理資訊 ---- ## Prompt injection 提示詞注入 ![gandalf](https://hackmd.io/_uploads/SyFEsgOER.png =x400) Ref: https://gandalf.lakera.ai/ ---- ## 中場休息 --- ## 資安迷思 - 有 IP 位址怎麼肉搜人 - VPN 安全嗎 - Tor 是什麼 ---- ## IP 位址肉搜 - 公開資訊：國家、電信商 - IP 地理資料庫 - 準確度？ ---- ## 公共 Wi-Fi 安全嗎 - Open / WPA2 / 帳密登入 - 流量竊聽 ---- ## VPN - 跨國流量 - 加密保護 - 相關風險 ---- ## DNS 是什麼 - 從網域名稱查詢 IP 位址的協定 - 明文、沒加密 - 遞歸式查詢 vs 公用解析器 - DNS over HTTPS - 隱私中繼器（Oblivious DoH） ---- ## Tor 原理 - Onion Route 洋蔥路由 - 一般節點、入口節點、出口節點 - 封包層層加密 - 出口 IP 也變不一樣 - FBI 怎麼查水表？ ---- ## 區塊鏈是什麼 - 分散式帳本 - 匿名性、「不可追蹤性」 ---- ## 創意私房金流追蹤 - 區塊勢找出 4 個錢包地址 - XREX 交易所追蹤金流 - 交易所 KYC Ref: [xrex.io](https://xrex.io/zh/xrex-report-taiwan-nth-room-analysis/)  --- ## 後續參與 - 資安研討會 - 國內資安競賽 - 資安培訓計畫 - 練習網站 - 延伸資源 ---- ## 資安研討會：HITCON ![HITCON](https://hackmd.io/_uploads/ByYV8bd4R.png =x400) Ref: [hitcon.org](https://hitcon.org/2023/CMT/) ---- ## HITCON 學生免費專案 ![Screen Shot 2024-06-01 at 10.24.55](https://hackmd.io/_uploads/BkBK8buV0.png =x400) Ref: [blog.hitcon.org](https://blog.hitcon.org/2024/05/hitcon-community-2024.html) ---- ## 資安研討會：Cybersec ![cybersec](https://hackmd.io/_uploads/ry8eUZu40.png =x400) Ref: [cybersec.ithome.com.tw](https://cybersec.ithome.com.tw/2024/) ---- ## 資安競賽：AIS3 ![ais3](https://hackmd.io/_uploads/BkNMwZdNC.png =x400) Ref: [ais3.org](https://ais3.org/) ---- ## 資安競賽：My First CTF ![Screen Shot 2024-06-01 at 10.28.00](https://hackmd.io/_uploads/Hk6NPbONA.png =x400) Ref: [mfctf](https://ais3.org/mfctf/) ---- ## 道德駭客精神 - 在攻擊前，取得同意 - 幫助弱勢、避免破壞 - 責任感與使命感 ---- ## 培訓計畫：台灣好厲駭 Ref: https://isip.moe.edu.tw/wordpress/?p=2564 ---- ## 培訓計畫：資安人蔘 Ref: [facebook.com](https://www.facebook.com/te.nics.tw/) ---- ## 練習網站：Hackme CTF ![](https://i.imgur.com/fpbUGG2.png =x400) Ref: https://ctf.hackme.quest/ ---- ## 練習網站：PicoCTF ![](https://i.imgur.com/AyUjnux.png =x400) Ref: https://play.picoctf.org/ ---- ## 延伸資源：HITCON ZeroDay ---- ## 課後 QA

Syntax	Example	Reference
# Header	Header	基本排版
- Unordered List	Unordered List
1. Ordered List	Ordered List
- [ ] Todo List	Todo List
> Blockquote	Blockquote
Bold font	Bold font
Italics font	Italics font
~~Strikethrough~~	~~Strikethrough~~
19^th^	19^th
H~2~O	H₂O
++Inserted text++	Inserted text
==Marked text==	Marked text
[link text](https:// "title")	Link
![image alt](https:// "title")	Image
`Code`	`Code`	在筆記中貼入程式碼
```javascript var i = 0; ```	`var i = 0;`
:smile:		Emoji list
{%youtube youtube_id %}	Externals
$L^aT_eX$	L^aT_eX
:::info This is a alert area. :::	This is a alert area.