『高中資安』2020北區資安體驗營 心得分享

活動簡介：「資安人生 – 2020北區資安體驗營」

活動主題：資安人生 – No Information Security No Life

時間：2020年11月8日

地點：公務人力發展中心-福華國際文教 會館

主辦方：建國中學電子計算機研習社 / 北一女中資訊研習社

指導單位：教育部資訊安全人才培育計畫推動辦公室

技術協力：國立交通大學 解鎖實驗坊

贊助單位：中華資安國際

報到：

本次活動地點為台北，不過參與的學生來自全台灣各地，幾乎都是該高中的資安社團社長、代表幹部等等，包括南台灣的高雄中學、嘉義女中等等，他們都是搭乘高鐵北上來到會場的。

早上會有蔡英文總統出席，並親自授獎給台灣資安「HITCON X Balsn CTF 戰隊」，恭喜他們拿下美國拉斯維加斯全球資安競賽的第三名！

這次主辦單位為「建國中學電子計算機研習社 / 北一女中資訊研習社」，他們也派了大量人力到場，協助參與學生進行報到。

也因為如此，所以早上剛到會場時，還有大量的警員在偵查環境，維護我們總統的安全！實在是非常辛苦也非常盡責！

所有的人員在進入會場前，都必須進行偵測儀檢查，並且只能攜帶手機、錢包入場，以維護總統的安全。

全體參與人員陸續進場後，開幕、授獎儀式準備開始。

這次我代表自己的高中-中央大學附屬中壢高中，出席這場精彩的活動：）

（全桃園只有四名學生參加（武陵三位、壢中一位））

開幕＋授獎儀式：

總統入場：

等到學員與工作人員都入場完畢後，總統便從後方進入會場。開始進行一連串的活動。

「HITCON X Balsn CTF 戰隊」分享心得：

接著，我們的獲獎戰隊「HITCON X Balsn CTF 戰隊」首先分享他們在資安這條路上的心路歷程。希望可以藉由「資安一代一代的傳承」，讓台灣在資安領域發光發熱！

同時，第一代HITCON戰隊的「創始領隊大Alan」也有說到一件很重要的事，「With great power comes great responsibility」，能力愈強、責任愈大，身為一位資安人士，也必須擔負起更多責任，比別人更有道德感！不碰觸到非法領域！

With great power comes great responsibility.

第一代HITCON戰隊領隊大Alan 2020/11/8

高中生請教總統關於資安的議題：

因為總統對於「資安」方面的議題十分關心、注重，所以活動也請了四位高中生，發表對於「108課綱」、「高中生Ｘ資安」的看法。

四位高中生分別是來自「嘉義女中」、「台南高工」、「北一女中」、「建國中學」，以下我簡短的敘述一下他們所分享的議題。

1.嘉義女中：現在台灣的教育體制，要求學生「全才」發展，必須花費很多時間與精力在自己不感興趣的科目上，如果能夠把這些時間空出來發展自己有興趣的專長，能夠幫助更多高中生增進自己的實力。

2.台南高工：由於南北發展速度的差異，太多資安相關的研討會、活動都辦在北部，導致許多南部的學生無法參與，希望能改善南部在「資安」弱勢的這一問題。

3.北一女中：身為北一女中資訊研習社的社長，發現一個問題就是，在女生的群體當中，多數人會害怕學習程式語言，因為學習曲線過於陡峭，怕投入無法獲得成果，因此不敢嘗試。

4.建國中學：

第一點：隨著108課綱的到來，原本的學習歷程卻淪為老師出作業的理由，例如學生被強迫撰寫「與自己興趣背道而馳的報告」，如果不寫就拿不到學分。導致學生無法參加「自己感興趣的活動」。例如他的學弟原本今天也要一同參與此資安活動，卻因為下禮拜必須交出報告而無法前來，實在可惜！

第二點：隨著108課綱的到來，雖然學術性社團人數看似增加，但卻都是「為了學習歷程」而來，多數社員參加資安社團，卻只在乎活動有沒有「研習時數」、「參加證明」，已經失去了參加資安活動的初衷，也無法在活動中獲得任何收穫。

這些問題，小英總統都有親自在接下來的演講中回答喔！代表小英總統真的很重視資安領域的議題，就算是學生提出的問題也一一回覆！

蔡英文總統發表對於資安領域的看法：

這裡我統整一下總統所分享的幾個重點：

1.參加這場活動非常高興，不是因為我很懂資安，而是我知道「資安很重要」！

2.做資安有一件事很重要，沒有一件不能挑戰的事情，有挑戰才有進步！

3.未來政府將更注重在資安方面的人才培育，因為「資安即國安」

與戰隊、學員交流時間：

「HITCON x Balsn CTF戰隊」

在開幕與授獎儀式結束後，來到了我們與戰隊交流的時間，讓我們可以與這些有經驗的大哥哥們交流，更了解資安領域的相關事情。

另外，也有很多點心放在外面，提供我們討論時可以享用。

我與這些駭客戰隊討論了一些有趣的事情，包括「DDOS阻斷式攻擊」與「如何入門資安領域的比賽」？

1.「DDOS阻斷式攻擊」：

因為我本身就有在架設網站，對於網站的攻防方面也比較有興趣，尤其是對於「阻斷式服務」方面，想要更加深入的了解，希望能為這方面的資安進一份心力，所以特地跑去問戰隊的成員們。

我詢問說：「DDOS（分散式阻斷服務）有沒有實際能夠解決的方法呢？」，得到的答案是有，但也不完全。

首先，簡單的DDOS可以把網站配合CDN節點，幫忙擋掉較小的流量，或者是惡作劇性質的流量，避免網站被小屁孩打掛～

再來，如果流量的程度不是玩玩而已，就要開始從網站頻寬著手，應該把網域的頻寬擴大，並且分析進入網站的流量，到底是不是真人瀏覽，還是只是惡意流量呢？

關於這方面，又可以從網路七層去分析，是屬於第幾層的流量等等，不過這又涉及更深入的領域了。

2.「如何入門資安領域的比賽」：

這個問題應該是有很多人想詢問的，假如對於「程式設計」有興趣的人，也想踏入資安領域嘗試看看，但網路上的資源好亂，感覺好多東西要學，到底該從哪裡學起呢？

資安戰隊的人是這樣回答的：想嘗試資安領域的話，最快速的方法就是直接參加資安競賽，因為實在太多東西要學了，不可能把所有東西學完再去參賽，而是應該「參賽後，知道哪方面不會，再去把他搞懂，接著再去參賽」。

我認為這個理論非常有道理，畢竟資安這條道路上的資源，是不斷推陳出新的，與其一直找過去的資料，不如先探索「需要用到什麼資料」，再去準備，就能獲得很多收穫！

武陵高中 資訊科技研究社：

另外，我也與武陵高中的資訊科技研究社社長，討論了關於社課的問題。最近正逢「108課綱」的熱潮，每個高中生都想要參加學術性社團，只為了學習歷程檔案可以更加豐富，不過卻對社團的本質毫無興趣，造成社團的學習風氣低迷。

我們討論的目標，就是想出一套「適合初學者」的社課，用來吸引這些學生專注力，引領他們踏入資安這塊領域。

以我過去經驗，如果剛開始接觸資安，就學習死板的語法、指令，就會造成社員覺得學習坡度過陡，要學很久才能接觸到「資安」這個議題，因此就輕易放棄。

為了改善這種狀況，社課的內容也許可以改為「教社員使用腳本」，讓他們先體驗何謂「資訊安全」相關的議題，並且讓他們實際操作一次，一定會大幅增加社員對於資安領域探索的意願！

舉例來說：Keylogger，鍵盤側錄器，就是一種腳本。他可以在電腦的背地裡不斷的偵測你進入哪一個網站，輸入了哪些密碼，並且記錄下來。如果能夠介紹這個軟體給社員，並且順帶提到資安議題，我猜學生應該會很感興趣的！

因為他們可以實際應用，只需要短短的時間，便可以把軟體帶回家，安裝在自己電腦裡面實際測試，這不就是資安的精神嗎？

藉由這次的討論，我認為我們都學到了如何在「108課綱的影響之下」，設計出吸引資安人才的一門社課，希望未來招募耕多對資訊安全有興趣的社員，一同踏入「Information Security」的領域。

駭客攻防戰-資安歷程講座：

資訊安全為何重要？

簡單想像一下，未來你的車子可以透過手機遙控，你的家電也是透過手機遙控，工作的資料全部存取網路中，有一天，黑帽駭客…擁有了這些控制、存取權…你能想像嗎？

這樣知道為何資安重要了嗎？

因為資安就是所有科技發展的基礎，沒有資安，就沒有接下來的一切！

要把科技實際應用在生活中，沒有資安是完全不可行的

講師介紹：

國立台灣大學 資訊工程學系 蕭旭君副教授

美國卡內經美隆大學 電機與電腦工程 博士

國立台灣大學 電機工程學系 學士/碩士

背景如此強大，有機會能聽到他的演講，實在是我們學員的榮幸！

在「資安歷程講座」章節中，所有的資訊都是由蕭旭君副教授提供的，再次感謝！

講座前言：

因為這次演講的時間使有一小時，非常緊迫，所以副教授說，這堂課雖然無法讓我們實際了解資安「技術」，但會透過解釋原理與範例，帶著大家進入「資安世界」！

接著就開始進入精彩的課程！

Security 101 – 什麼是資訊安全？

• Protect assets (e.g., data and communication) from unauthorized actions
• Attackers = entities attempt to do unauthorized actions
• Security Achievements = properties that the protection should achieve

Assets = 資產

unauthorized = 未經授權的

Entities = 實體的

Attempt = 嘗試

The CIA Triad 資訊安全三核心：

講到資訊安全，有三個重點一定要記住，分別為：

• Confidentiality 保密性
• Integrity 完整性
• Availability 可用性

只要與這三個點相關的，都可以說是涉及「資安領域」，那這三點究竟是什麼呢？講師有為我們做講解：

1.Confidentiality 保密性：今天助教把期中考題目傳給教授，不過被學生從中攔截，被偷看到題目，這種行為違反「保密性」。因為學生看到了他不應該看到的東西。

2.Integrity 完整性：某天，「Joey約Bobo出來吃飯」，結果Judy知道Joey沒約他一起吃飯後，他就把這段訊息修改成「Joey不想跟Bobo吃飯」，就違反了「完整性」，因為他把原本該傳送的訊息修改掉了！

3.Availability 可用性：這個案例十分常見，舉例來說：有點你想到學校網站看公告，卻發現學校網站進不去，因為被同學DDOS攻擊（分散式阻斷服務），這位同學就違反了「可用性」，因為它讓原本可以用的網站不能用了。

互動小問答：

講解完之後，講師便開始與我們進行互動，講師說一小段故事，讓我們選擇這件事是跟三個中的哪一個有關，也給讀者你們猜猜看喔！

故事1：台X電產線中毒-大當機（受到勒索病毒攻擊，導致產線癱瘓）

故事1，違反「可用性」。

故事2：The Visual Microphone:passive recovery of sound from video

藉由人類講話造成周圍事物的震動，進行偵測。接著把震動的訊號進行還原，就可以得到原本說話的資訊。

舉例來說：你在咖啡廳與朋友聊天，別人透過專業機器觀察你身旁的植物，就可以得知你大概在說什麼！

故事2，違反「保密性」。

故事3：頻X日報持續兩日受到DDOS攻擊

故事3，違反「可用性」。

故事4：大家的成績都變成87分，學生研究漏洞惹禍！台X大學CXIBA教學平台全部學生成績變成87分…

故事4，違反「完整性」。

模擬測試模型：

什麼是模擬測試模型？意思就是說我們必須猜測「攻擊者的行為」，假設攻擊者會利用A漏洞去侵入你系統，你就必須去看這個漏洞會不會被攻破，如果會，就必須找出解決方案。

• Assumptions about the adversary
• A well-defined threat model is a must to reason about security

Assumptions = 假設

Adversary = 對手，攻擊者

well-defined = 定義明確的

為什麼無法防範所有攻擊？

在資安領域，為什麼沒有百分百安全的系統呢？原因其實有很多個，首先可以分成三個大方向

• 「未知攻擊（Zero-day Attack）」
• 「預算有限、使用者（效能需求、方便）」
• 「預測失效」

未知攻擊（Zero-Day Attack）:

每個程式一定都會有邏輯上的漏洞，只是看有沒有被發現且被突破而已！

預算有限、效能需求：

天下沒有白吃的午餐 Cost of Security如何讓防禦的機制更便宜，開發成本、維護成本更低，更讓別人接受？如何讓公司接受資安？

預測失效：

假設攻擊者的行為跟你假設的不依樣，會發生很嚴重的後果。

想像中的防禦系統跟實際不一樣，那防禦系統則失效。

想更深入了解「預測失效」的實際例子，可以繼續看下去。

銀行ATM攻擊模擬：

The system

Provides [Security Requirement]

against [Threat Model]

under [Assumption]

如果以ATM提款機來說，非配如下：

 System = ATM提款系統
 Security requirement = 身份認證
 Threat Model =撿到提款卡並亂試pin碼
 Assumption = 提款卡持有人沒把pin碼寫在卡片套上或是用生日當pin 碼 

簡單解釋：

如果今天你的皮包掉在路上，被有心人士撿走了，他看到錢包內有張提款卡，因此打算去ATM提款機猜猜看密碼。

有兩種情況：

一：「你的密碼很安全，沒有寫在卡片上又或是用生日當密碼」，這樣代表「Assumption假設」成立。因為假設成立，所以ATM提款機會把有心人士「Attacker攻擊者」擋下來，不讓他用你的提款卡領錢。

二：「你的密碼直接寫在提款卡上，又或是用生日等容易被猜到的密碼」，這樣代表「Assumption假設」不成立。因為假設不成立，所以ATM提款機的防禦機制（要輸入密碼才能領錢）便失效，無法將「Attacker攻擊者」擋下來。

這就是為什麼資安界總有這麼一句話：

「資訊安全最大的漏洞，就是使用者」

預測失效實際例子：

前一個章節有說到，任何的防禦如果要成功，都不能違反「Assumption假設」，如果違反假設，那麼防禦直接被攻破！

合理的「Threat model」非常重要，以下舉幾個有趣的例子：

一：不知道大家去各大學校園時，有沒有看過類似這樣的場面：腳踏車只剩下前輪被鎖在停放處，剩下的車架整個被偷走了…

會發生這種原因，就是因為「Assumption假設」被打破了。原本的假設是「偷車賊會把整台車偷走」，所以只要把前輪所在停放處，就不會被偷走。

但實際上偷車賊只要偷車架，所以假設失效，防禦失效，車子就被偷走了QQ

二：這是一張「停車場」的圖片，大家有沒有覺得怪怪的？

沒錯，路旁的草皮，已經被各大不繳費的使用者開通了！因為原本的「Assumption假設」是「使用者只能通過一條路，那條路必須繳費完才能開啟」，但實際上旁邊也有可以通過的路，所以假設被打破了

為這個停車場的主人默哀…

防禦者vs.攻擊者：

安全性取決於最弱的環節。

對於攻擊者來說，他只需要找到眾多漏洞中的其中一個，就可以成功侵入系統。

反過來說，對於防禦者而言，防禦者必須修補所有漏洞，因為只要有一個漏洞，就有可能遭到駭客、攻擊者入侵。

那麼你覺得「安全性最弱的環節」是哪一個？

沒錯，就是前面文章中有提到的「使用者」！

網路攝影機Humans are often the weakest linkDefault Passwords預設密碼使很多人網路攝影機都被入侵！使用者就是最容易被攻破，最難修補的漏洞。

Example1:使用者不改網路攝影機的預設密碼。

Example2:使用者遇到點擊劫持（Clickjacking）

點擊劫持（Clickjacking）是一種非常可怕，且不容易防禦的攻擊手段，藉由一些圖片讓你點擊，但藏在背後的Code你沒有發現，一但你點擊過後，有可能「麥克風」、「網路攝影機」等等就會被強制開啟。

唯一能預防的就是：在不熟悉、不安全的網站上，不要亂點一些圖片，避免受到威脅。

密碼學討論：

你還在用注音文密碼嗎？！

你難道以為注音文密碼是只有你自己知道？！大錯特錯了哈哈

有外國人曾在Twitter上發文問：「為什麼ji32k7au4a83」這串字元，這麼常被用於密碼？明明就是亂數！

但實際上，不知道你有沒有發現，「ji32k7au4a83」就是「我的密碼」改過來的！

過去也有研究過「注音文」的相關應用，研究注音文一班常用的詞彙：

第一種密碼文：示愛詞

第二種密碼文：名字

第三種密碼文：失憶症？

那該如何密碼遭暴力破解呢？二步驗證可以增加破解難度！

弱勢族群？！

Diversifying, not labelling（非標籤化）

女性科學家在資安領域的發展經驗：有意識、無意識都是真實存在的過了最好的一週與最壞的一週。

不要以為只有女性，只要是非典型（Typically），例如亞洲人，都有可能受到歧視。

Diversifying（多元）, not labelling（非標籤化）性別、種族、年齡、性向、北中南東、國家如果你是標籤的多數，你不會有任何感覺但相對如果你是少數，你就會感受到很大的差異！

e.g.,台灣被寫錯國家。（寫信去更正，卻被駁回。）

資訊領域比較開放，樂於去接受多元性。在網路的世界，相對更容易，並不會有人對你抱有任何偏見，不帶有任何標籤，所以可以共同探討更多東西！

午餐：

這次活動的午餐超級豪華的，是雞腿餐盒，菜色十分多樣，色香味俱全！

在吃午餐的期間，也有許多高中生到前方來拍照，包括北一女、建中主辦都是。這場活動真的辦得很好，辛苦他們了！

在吃飯的期間，剛好可以與各學校之間的代表做交流，討論關於「資安領域」的議題，這次我旁邊的參與學員是「武陵高中 資訊科技研究社 社長」，繼續延續早上的討論話題「社課如何引起社員對資安的興趣？」

實境解謎遊戲：

介紹：

在吃完午餐後，最好玩、最刺激的活動準備要開始了！實境解謎遊戲為「交通大學 解鎖實驗坊 與 建北資安社團」共同討論、研發出的一款遊戲。

結合「台大校園」進行「資安解題」，題目內容包括基礎的「數字進位轉換」、「ASCII CODE轉換」與「Port基礎知識」等等，內容十分豐富！

首先，每3~6人分為一小組，以小組為單位進行競賽。每一小組領取一組解題箱，裡面裝了所有關卡的提示資訊。

這次的活動是透過Line Bot結合解題，活動時間為1:30～4:30，地點為台灣大學校園。

不過…也許你會想說：接下來可以看到精彩、有趣的「CTF」又或是「資安解謎」，但我必須告訴你，遺憾的是，因為解謎內容太過複雜，所以我把這個主題獨立出來了，在未來有時間我會把它寫出來的，敬請期待！

閉幕：

實境解謎遊戲完成後，個隊伍陸續返回閉幕式場地，準備進行頒獎。

這次前四名快達成的隊伍，都有主辦單位的獎勵，第三、四名獲得「HITCON絕版衣服紀念」，第一、二名則是獲得「1500元的HITCON密室逃脫折價卷」，十分吸引人！

心得總結：

在參加這次資安活動之前，我個人並沒有參與任何有關資安的比賽，像是「CTF」等等。不過，因為我對程式設計的熱情，與資訊領域方面的興趣，我毅然決然地想挑戰自己，希望能在高中時期，也嘗試看看資安領域，畢竟資安在未來可是不可或缺的一環！

雖然在整場活動中，我的能力遠遠輸給許多參加比賽，甚至已經進入決賽的選手，但我相信，如果以他們為目標，慢慢去學習都還來得及。因為現在才高中，只要願意花時間學習、探索，一切都還能翻盤！

所以我也在最後勉勵大家，在國中、高中時期，有的是時間、本錢，想要學習什麼技能、興趣就要趁現在，因為如果不現在探索，未來就沒有時間了！別再猶豫，為自己的夢想跨出第一步吧！

也因為這場活動，我決定報名BALSN舉辦的CTF資安競賽，因為我相信，就算自己能力還不足，還是能夠在這種資安競賽中，學到寶貴的經驗，並且在資安的領域中跨出一大步。

BALSN CTF奪旗 線上競賽

網址：https://balsnctf.com/

開放時間：11/14 10:00~11/16 10:00