活動簡介:「資安人生 – 2020北區資安體驗營」
活動主題:資安人生 – No Information Security No Life
時間:2020年11月8日
地點:公務人力發展中心-福華國際文教 會館
主辦方:建國中學電子計算機研習社 / 北一女中資訊研習社
指導單位:教育部資訊安全人才培育計畫推動辦公室
技術協力:國立交通大學 解鎖實驗坊
贊助單位:中華資安國際
報到:
本次活動地點為台北,不過參與的學生來自全台灣各地,幾乎都是該高中的資安社團社長、代表幹部等等,包括南台灣的高雄中學、嘉義女中等等,他們都是搭乘高鐵北上來到會場的。
早上會有蔡英文總統出席,並親自授獎給台灣資安「HITCON X Balsn CTF 戰隊」,恭喜他們拿下美國拉斯維加斯全球資安競賽的第三名!
這次主辦單位為「建國中學電子計算機研習社 / 北一女中資訊研習社」,他們也派了大量人力到場,協助參與學生進行報到。
也因為如此,所以早上剛到會場時,還有大量的警員在偵查環境,維護我們總統的安全!實在是非常辛苦也非常盡責!
所有的人員在進入會場前,都必須進行偵測儀檢查,並且只能攜帶手機、錢包入場,以維護總統的安全。
全體參與人員陸續進場後,開幕、授獎儀式準備開始。
這次我代表自己的高中-中央大學附屬中壢高中,出席這場精彩的活動:)
(全桃園只有四名學生參加(武陵三位、壢中一位))
開幕+授獎儀式:
總統入場:
等到學員與工作人員都入場完畢後,總統便從後方進入會場。開始進行一連串的活動。
「HITCON X Balsn CTF 戰隊」分享心得:
接著,我們的獲獎戰隊「HITCON X Balsn CTF 戰隊」首先分享他們在資安這條路上的心路歷程。希望可以藉由「資安一代一代的傳承」,讓台灣在資安領域發光發熱!
同時,第一代HITCON戰隊的「創始領隊大Alan」也有說到一件很重要的事,「With great power comes great responsibility」,能力愈強、責任愈大,身為一位資安人士,也必須擔負起更多責任,比別人更有道德感!不碰觸到非法領域!
With great power comes great responsibility.
第一代HITCON戰隊領隊大Alan 2020/11/8
高中生請教總統關於資安的議題:
因為總統對於「資安」方面的議題十分關心、注重,所以活動也請了四位高中生,發表對於「108課綱」、「高中生X資安」的看法。
四位高中生分別是來自「嘉義女中」、「台南高工」、「北一女中」、「建國中學」,以下我簡短的敘述一下他們所分享的議題。
1.嘉義女中:現在台灣的教育體制,要求學生「全才」發展,必須花費很多時間與精力在自己不感興趣的科目上,如果能夠把這些時間空出來發展自己有興趣的專長,能夠幫助更多高中生增進自己的實力。
2.台南高工:由於南北發展速度的差異,太多資安相關的研討會、活動都辦在北部,導致許多南部的學生無法參與,希望能改善南部在「資安」弱勢的這一問題。
3.北一女中:身為北一女中資訊研習社的社長,發現一個問題就是,在女生的群體當中,多數人會害怕學習程式語言,因為學習曲線過於陡峭,怕投入無法獲得成果,因此不敢嘗試。
4.建國中學:
第一點:隨著108課綱的到來,原本的學習歷程卻淪為老師出作業的理由,例如學生被強迫撰寫「與自己興趣背道而馳的報告」,如果不寫就拿不到學分。導致學生無法參加「自己感興趣的活動」。例如他的學弟原本今天也要一同參與此資安活動,卻因為下禮拜必須交出報告而無法前來,實在可惜!
第二點:隨著108課綱的到來,雖然學術性社團人數看似增加,但卻都是「為了學習歷程」而來,多數社員參加資安社團,卻只在乎活動有沒有「研習時數」、「參加證明」,已經失去了參加資安活動的初衷,也無法在活動中獲得任何收穫。
這些問題,小英總統都有親自在接下來的演講中回答喔!代表小英總統真的很重視資安領域的議題,就算是學生提出的問題也一一回覆!
蔡英文總統發表對於資安領域的看法:
這裡我統整一下總統所分享的幾個重點:
1.參加這場活動非常高興,不是因為我很懂資安,而是我知道「資安很重要」!
2.做資安有一件事很重要,沒有一件不能挑戰的事情,有挑戰才有進步!
3.未來政府將更注重在資安方面的人才培育,因為「資安即國安」
與戰隊、學員交流時間:
「HITCON x Balsn CTF戰隊」
在開幕與授獎儀式結束後,來到了我們與戰隊交流的時間,讓我們可以與這些有經驗的大哥哥們交流,更了解資安領域的相關事情。
另外,也有很多點心放在外面,提供我們討論時可以享用。
我與這些駭客戰隊討論了一些有趣的事情,包括「DDOS阻斷式攻擊」與「如何入門資安領域的比賽」?
1.「DDOS阻斷式攻擊」:
因為我本身就有在架設網站,對於網站的攻防方面也比較有興趣,尤其是對於「阻斷式服務」方面,想要更加深入的了解,希望能為這方面的資安進一份心力,所以特地跑去問戰隊的成員們。
我詢問說:「DDOS(分散式阻斷服務)有沒有實際能夠解決的方法呢?」,得到的答案是有,但也不完全。
首先,簡單的DDOS可以把網站配合CDN節點,幫忙擋掉較小的流量,或者是惡作劇性質的流量,避免網站被小屁孩打掛~
再來,如果流量的程度不是玩玩而已,就要開始從網站頻寬著手,應該把網域的頻寬擴大,並且分析進入網站的流量,到底是不是真人瀏覽,還是只是惡意流量呢?
關於這方面,又可以從網路七層去分析,是屬於第幾層的流量等等,不過這又涉及更深入的領域了。
2.「如何入門資安領域的比賽」:
這個問題應該是有很多人想詢問的,假如對於「程式設計」有興趣的人,也想踏入資安領域嘗試看看,但網路上的資源好亂,感覺好多東西要學,到底該從哪裡學起呢?
資安戰隊的人是這樣回答的:想嘗試資安領域的話,最快速的方法就是直接參加資安競賽,因為實在太多東西要學了,不可能把所有東西學完再去參賽,而是應該「參賽後,知道哪方面不會,再去把他搞懂,接著再去參賽」。
我認為這個理論非常有道理,畢竟資安這條道路上的資源,是不斷推陳出新的,與其一直找過去的資料,不如先探索「需要用到什麼資料」,再去準備,就能獲得很多收穫!
武陵高中 資訊科技研究社:
另外,我也與武陵高中的資訊科技研究社社長,討論了關於社課的問題。最近正逢「108課綱」的熱潮,每個高中生都想要參加學術性社團,只為了學習歷程檔案可以更加豐富,不過卻對社團的本質毫無興趣,造成社團的學習風氣低迷。
我們討論的目標,就是想出一套「適合初學者」的社課,用來吸引這些學生專注力,引領他們踏入資安這塊領域。
以我過去經驗,如果剛開始接觸資安,就學習死板的語法、指令,就會造成社員覺得學習坡度過陡,要學很久才能接觸到「資安」這個議題,因此就輕易放棄。
為了改善這種狀況,社課的內容也許可以改為「教社員使用腳本」,讓他們先體驗何謂「資訊安全」相關的議題,並且讓他們實際操作一次,一定會大幅增加社員對於資安領域探索的意願!
舉例來說:Keylogger,鍵盤側錄器,就是一種腳本。他可以在電腦的背地裡不斷的偵測你進入哪一個網站,輸入了哪些密碼,並且記錄下來。如果能夠介紹這個軟體給社員,並且順帶提到資安議題,我猜學生應該會很感興趣的!
因為他們可以實際應用,只需要短短的時間,便可以把軟體帶回家,安裝在自己電腦裡面實際測試,這不就是資安的精神嗎?
藉由這次的討論,我認為我們都學到了如何在「108課綱的影響之下」,設計出吸引資安人才的一門社課,希望未來招募耕多對資訊安全有興趣的社員,一同踏入「Information Security」的領域。
駭客攻防戰-資安歷程講座:
資訊安全為何重要?
簡單想像一下,未來你的車子可以透過手機遙控,你的家電也是透過手機遙控,工作的資料全部存取網路中,有一天,黑帽駭客…擁有了這些控制、存取權…你能想像嗎?
這樣知道為何資安重要了嗎?
因為資安就是所有科技發展的基礎,沒有資安,就沒有接下來的一切!
要把科技實際應用在生活中,沒有資安是完全不可行的
講師介紹:
國立台灣大學 資訊工程學系 蕭旭君副教授
美國卡內經美隆大學 電機與電腦工程 博士
國立台灣大學 電機工程學系 學士/碩士
背景如此強大,有機會能聽到他的演講,實在是我們學員的榮幸!
在「資安歷程講座」章節中,所有的資訊都是由蕭旭君副教授提供的,再次感謝!
講座前言:
因為這次演講的時間使有一小時,非常緊迫,所以副教授說,這堂課雖然無法讓我們實際了解資安「技術」,但會透過解釋原理與範例,帶著大家進入「資安世界」!
接著就開始進入精彩的課程!
Security 101 – 什麼是資訊安全?
- Protect assets (e.g., data and communication) from unauthorized actions
- Attackers = entities attempt to do unauthorized actions
- Security Achievements = properties that the protection should achieve
Assets = 資產
unauthorized = 未經授權的
Entities = 實體的
Attempt = 嘗試
The CIA Triad 資訊安全三核心:
講到資訊安全,有三個重點一定要記住,分別為:
- Confidentiality 保密性
- Integrity 完整性
- Availability 可用性
只要與這三個點相關的,都可以說是涉及「資安領域」,那這三點究竟是什麼呢?講師有為我們做講解:
1.Confidentiality 保密性:今天助教把期中考題目傳給教授,不過被學生從中攔截,被偷看到題目,這種行為違反「保密性」。因為學生看到了他不應該看到的東西。
2.Integrity 完整性:某天,「Joey約Bobo出來吃飯」,結果Judy知道Joey沒約他一起吃飯後,他就把這段訊息修改成「Joey不想跟Bobo吃飯」,就違反了「完整性」,因為他把原本該傳送的訊息修改掉了!
3.Availability 可用性:這個案例十分常見,舉例來說:有點你想到學校網站看公告,卻發現學校網站進不去,因為被同學DDOS攻擊(分散式阻斷服務),這位同學就違反了「可用性」,因為它讓原本可以用的網站不能用了。
互動小問答:
講解完之後,講師便開始與我們進行互動,講師說一小段故事,讓我們選擇這件事是跟三個中的哪一個有關,也給讀者你們猜猜看喔!
故事1:台X電產線中毒-大當機(受到勒索病毒攻擊,導致產線癱瘓)
故事1,違反「可用性」。
故事2:The Visual Microphone:passive recovery of sound from video
藉由人類講話造成周圍事物的震動,進行偵測。接著把震動的訊號進行還原,就可以得到原本說話的資訊。
舉例來說:你在咖啡廳與朋友聊天,別人透過專業機器觀察你身旁的植物,就可以得知你大概在說什麼!
故事2,違反「保密性」。
故事3:頻X日報持續兩日受到DDOS攻擊
故事3,違反「可用性」。
故事4:大家的成績都變成87分,學生研究漏洞惹禍!台X大學CXIBA教學平台全部學生成績變成87分…
故事4,違反「完整性」。
模擬測試模型:
什麼是模擬測試模型?意思就是說我們必須猜測「攻擊者的行為」,假設攻擊者會利用A漏洞去侵入你系統,你就必須去看這個漏洞會不會被攻破,如果會,就必須找出解決方案。
- Assumptions about the adversary
- A well-defined threat model is a must to reason about security
Assumptions = 假設
Adversary = 對手,攻擊者
well-defined = 定義明確的
為什麼無法防範所有攻擊?
在資安領域,為什麼沒有百分百安全的系統呢?原因其實有很多個,首先可以分成三個大方向
- 「未知攻擊(Zero-day Attack)」
- 「預算有限、使用者(效能需求、方便)」
- 「預測失效」
未知攻擊(Zero-Day Attack):
每個程式一定都會有邏輯上的漏洞,只是看有沒有被發現且被突破而已!
預算有限、效能需求:
天下沒有白吃的午餐 Cost of Security如何讓防禦的機制更便宜,開發成本、維護成本更低,更讓別人接受?如何讓公司接受資安?
預測失效:
假設攻擊者的行為跟你假設的不依樣,會發生很嚴重的後果。
想像中的防禦系統跟實際不一樣,那防禦系統則失效。
想更深入了解「預測失效」的實際例子,可以繼續看下去。
銀行ATM攻擊模擬:
The system
Provides [Security Requirement]
against [Threat Model]
under [Assumption]
如果以ATM提款機來說,非配如下:
System = ATM提款系統 Security requirement = 身份認證 Threat Model =撿到提款卡並亂試pin碼 Assumption = 提款卡持有人沒把pin碼寫在卡片套上或是用生日當pin 碼
簡單解釋:
如果今天你的皮包掉在路上,被有心人士撿走了,他看到錢包內有張提款卡,因此打算去ATM提款機猜猜看密碼。
有兩種情況:
一:「你的密碼很安全,沒有寫在卡片上又或是用生日當密碼」,這樣代表「Assumption假設」成立。因為假設成立,所以ATM提款機會把有心人士「Attacker攻擊者」擋下來,不讓他用你的提款卡領錢。
二:「你的密碼直接寫在提款卡上,又或是用生日等容易被猜到的密碼」,這樣代表「Assumption假設」不成立。因為假設不成立,所以ATM提款機的防禦機制(要輸入密碼才能領錢)便失效,無法將「Attacker攻擊者」擋下來。
這就是為什麼資安界總有這麼一句話:
「資訊安全最大的漏洞,就是使用者」
預測失效實際例子:
前一個章節有說到,任何的防禦如果要成功,都不能違反「Assumption假設」,如果違反假設,那麼防禦直接被攻破!
合理的「Threat model」非常重要,以下舉幾個有趣的例子:
一:不知道大家去各大學校園時,有沒有看過類似這樣的場面:腳踏車只剩下前輪被鎖在停放處,剩下的車架整個被偷走了…
會發生這種原因,就是因為「Assumption假設」被打破了。原本的假設是「偷車賊會把整台車偷走」,所以只要把前輪所在停放處,就不會被偷走。
但實際上偷車賊只要偷車架,所以假設失效,防禦失效,車子就被偷走了QQ
二:這是一張「停車場」的圖片,大家有沒有覺得怪怪的?
沒錯,路旁的草皮,已經被各大不繳費的使用者開通了!因為原本的「Assumption假設」是「使用者只能通過一條路,那條路必須繳費完才能開啟」,但實際上旁邊也有可以通過的路,所以假設被打破了
為這個停車場的主人默哀…
防禦者vs.攻擊者:
安全性取決於最弱的環節。
對於攻擊者來說,他只需要找到眾多漏洞中的其中一個,就可以成功侵入系統。
反過來說,對於防禦者而言,防禦者必須修補所有漏洞,因為只要有一個漏洞,就有可能遭到駭客、攻擊者入侵。
那麼你覺得「安全性最弱的環節」是哪一個?
沒錯,就是前面文章中有提到的「使用者」!
網路攝影機Humans are often the weakest linkDefault Passwords預設密碼使很多人網路攝影機都被入侵!使用者就是最容易被攻破,最難修補的漏洞。
Example1:使用者不改網路攝影機的預設密碼。
Example2:使用者遇到點擊劫持(Clickjacking)
點擊劫持(Clickjacking)是一種非常可怕,且不容易防禦的攻擊手段,藉由一些圖片讓你點擊,但藏在背後的Code你沒有發現,一但你點擊過後,有可能「麥克風」、「網路攝影機」等等就會被強制開啟。
唯一能預防的就是:在不熟悉、不安全的網站上,不要亂點一些圖片,避免受到威脅。
密碼學討論:
你還在用注音文密碼嗎?!
你難道以為注音文密碼是只有你自己知道?!大錯特錯了哈哈
有外國人曾在Twitter上發文問:「為什麼ji32k7au4a83」這串字元,這麼常被用於密碼?明明就是亂數!
但實際上,不知道你有沒有發現,「ji32k7au4a83」就是「我的密碼」改過來的!
過去也有研究過「注音文」的相關應用,研究注音文一班常用的詞彙:
第一種密碼文:示愛詞
第二種密碼文:名字
第三種密碼文:失憶症?
那該如何密碼遭暴力破解呢?二步驗證可以增加破解難度!
弱勢族群?!
Diversifying, not labelling(非標籤化)
女性科學家在資安領域的發展經驗:有意識、無意識都是真實存在的過了最好的一週與最壞的一週。
不要以為只有女性,只要是非典型(Typically),例如亞洲人,都有可能受到歧視。
Diversifying(多元), not labelling(非標籤化)性別、種族、年齡、性向、北中南東、國家如果你是標籤的多數,你不會有任何感覺但相對如果你是少數,你就會感受到很大的差異!
e.g.,台灣被寫錯國家。(寫信去更正,卻被駁回。)
資訊領域比較開放,樂於去接受多元性。在網路的世界,相對更容易,並不會有人對你抱有任何偏見,不帶有任何標籤,所以可以共同探討更多東西!
午餐:
這次活動的午餐超級豪華的,是雞腿餐盒,菜色十分多樣,色香味俱全!
在吃午餐的期間,也有許多高中生到前方來拍照,包括北一女、建中主辦都是。這場活動真的辦得很好,辛苦他們了!
在吃飯的期間,剛好可以與各學校之間的代表做交流,討論關於「資安領域」的議題,這次我旁邊的參與學員是「武陵高中 資訊科技研究社 社長」,繼續延續早上的討論話題「社課如何引起社員對資安的興趣?」
實境解謎遊戲:
介紹:
在吃完午餐後,最好玩、最刺激的活動準備要開始了!實境解謎遊戲為「交通大學 解鎖實驗坊 與 建北資安社團」共同討論、研發出的一款遊戲。
結合「台大校園」進行「資安解題」,題目內容包括基礎的「數字進位轉換」、「ASCII CODE轉換」與「Port基礎知識」等等,內容十分豐富!
首先,每3~6人分為一小組,以小組為單位進行競賽。每一小組領取一組解題箱,裡面裝了所有關卡的提示資訊。
這次的活動是透過Line Bot結合解題,活動時間為1:30~4:30,地點為台灣大學校園。
不過…也許你會想說:接下來可以看到精彩、有趣的「CTF」又或是「資安解謎」,但我必須告訴你,遺憾的是,因為解謎內容太過複雜,所以我把這個主題獨立出來了,在未來有時間我會把它寫出來的,敬請期待!
閉幕:
實境解謎遊戲完成後,個隊伍陸續返回閉幕式場地,準備進行頒獎。
這次前四名快達成的隊伍,都有主辦單位的獎勵,第三、四名獲得「HITCON絕版衣服紀念」,第一、二名則是獲得「1500元的HITCON密室逃脫折價卷」,十分吸引人!
心得總結:
在參加這次資安活動之前,我個人並沒有參與任何有關資安的比賽,像是「CTF」等等。不過,因為我對程式設計的熱情,與資訊領域方面的興趣,我毅然決然地想挑戰自己,希望能在高中時期,也嘗試看看資安領域,畢竟資安在未來可是不可或缺的一環!
雖然在整場活動中,我的能力遠遠輸給許多參加比賽,甚至已經進入決賽的選手,但我相信,如果以他們為目標,慢慢去學習都還來得及。因為現在才高中,只要願意花時間學習、探索,一切都還能翻盤!
所以我也在最後勉勵大家,在國中、高中時期,有的是時間、本錢,想要學習什麼技能、興趣就要趁現在,因為如果不現在探索,未來就沒有時間了!別再猶豫,為自己的夢想跨出第一步吧!
也因為這場活動,我決定報名BALSN舉辦的CTF資安競賽,因為我相信,就算自己能力還不足,還是能夠在這種資安競賽中,學到寶貴的經驗,並且在資安的領域中跨出一大步。
BALSN CTF奪旗 線上競賽
開放時間:11/14 10:00~11/16 10:00
