為期五天的府會資安週展示各部會過去一年來,落實「資安即國安」的政策成果,但在現場展示的綿羊牆展示區中,卻有相關工作人員因為連上不安全的無線網路,個人使用的帳號密碼以部分馬賽克的方式,顯示在現場綿羊牆螢幕上。

iThome 文/黃彥棻 | 2017-12-11發表

總統蔡英文表示,臺灣應該要釋放這股資安創新與創業的能量。臺灣駭客協會HITCON已經在臺灣連續舉辦13年的資安會議,總統也特別肯定這些人過往在資安推廣與教育訓練的努力。

 

美國前總統歐巴馬上任一年後,首度舉辦資安月的活動,強化全民的資安意識,總統府也借鏡美國,於今年12月11日~15日,首度舉辦為期五天的「府會資安週」活動,希望可以提升民眾與企業的資安意識。

總統蔡英文指出,數位科技帶來便利性也帶來新挑戰,當網路攻擊、勒索和詐騙成為數位生活中常見的資安威脅時,小英政府從去年就任以來,就率先確立「資安等於國安」的政策層級,並透過各個相關部會在資安週的展示,讓更多人理解過去一年的政策成果。

政府從三面向,落實資安即國安政策

蔡英文表示,為了落實「資安等於國安」,政府除了打造國家級的資安機制,並建立國家級的資安團隊以確保數位國土的安全外,更希望可以做到推動國防資安技術的自主研發,進而落實資安產業的發展。

她進一步說明,政府相對應的政策因應措施則包括行政院制訂四年期的資通安全發展方案,結合國防戰力的整備,成立資通電軍指揮部;並藉由資安旗艦計畫和前瞻計畫,強化關鍵基礎設施資安能力,並且將地方政府納入國家的資安防護網,讓臺灣各個城市邁向智慧城市的過程中,能夠培養出相應的能力進而面對資安的挑戰。「政府的責任就是不斷調整過時的法規,釋放充滿創新和創意的能力,精進法規政策,」蔡英文說道。

點開一封惡意郵件,就足以外洩個人重要隱私

由臺灣駭客協會展示的是常見的惡意文件的攻擊手法,臺灣駭客協會發言人李倫銓表示,駭客很常利用與個人工作或生活相關的電子郵件標題,甚至利用相關節日慶典的標題等,就是為了吸引使用者點開郵件的附加檔案,一個內容夾帶圖檔的Word文件,一般人點開看一看笑一笑不會覺得有害,但事實上,當使用者點開郵件附檔文件的同時,駭客就已經遠端啟動使用者電腦的網路攝影機,在使用者不知情的情況下被拍照。

蔡英文在參觀展覽的同時,也打開該封惡意郵件的附加檔案,筆記型電腦的攝影機就順利拍下總統參觀時的容貌。駭客可以遠端操控使用者電腦的攝影機的同時,使用者的隱私也在無預期的情況下遭到駭客外洩。

連上不安全的無線網路,工作人員帳密部分馬賽克顯示在螢幕上

除此之外,許多人在使用無線網路時候,經常沒有任何戒心,往往不會意識到,「使用沒有加密的網路上網是不安全的,」不論是任何提供的無線網路服務沒有做好加密,或者是沒有連上HTTPS的網站瀏覽,現場就會將監聽到的帳號和密碼以部分馬賽克的方式,投射到現場的電腦螢幕上或牆面上,這就是所謂的綿羊牆。

據了解,臺灣駭客協會透過設置常見的無線網路的名稱,吸引使用者連上這些不安全的無線網路,從綿羊牆的資訊中也觀察到,有「府會資安週」的工作人員因為連上不安全的無線網路AP,個人的帳號密碼也以部分馬賽克的方式被投射在綿羊牆中,光是如何正確且安全使用無線網路,應該就是包括總統府在內所有府會資安週工作同仁,必須要修的第一門課。

 

 

iThome 最新新聞
  • Google雲端服務更新帳號管理政策,避免再次錯停用戶帳號
    在6月時,有GCP用戶在部落格抱怨,他們建構在Google雲端平臺的服務被無預警關閉,Google工程支援區域負責人Brian Bender出面道歉,並且承諾改善帳戶審查機制。而今GCP公開了更新後的帳戶管理政策,其中包括不會以自動偵測機制暫停離線付款的既存客戶,即便是線上客戶,也會延遲暫停帳戶的時程,另外,還增加7x24的對話客服服務。
  • AWS S3配置不當又一樁,數十萬美國選民的個資曝光
    Kromtech Security的安全研究人員Bob Diachenko本周再度發現配置不當的AWS S3儲存貯體,這次的始作俑者是美國專門提供政治競選活動電話語音行銷服務的Robocent,Diachenko在Robocent的AWS S3儲存貯體中找到了數十萬筆的美國選民資料。
  • 量子技術即將進入青黃不接的階段,Google釋出NISQ演算法框架Cirq適應過渡期
    Google人工智慧量子團隊在第一屆量子軟體和量子機器學習國際研討會(QSML)上,發表了Cirq公開測試版,這是一個用於雜訊中等規模量子(Noisy Intermediate Scale Quantum,NISQ)電腦的開源框架,Cirq能讓研究人員在特定的量子處理器上開發量子演算法。該團隊也將Cirq用在Google的Bristlecone處理器上,而接下來他們還計畫在雲端提供該處理器。
  • P2P行動支付程式Venmo預設公開用戶行為,致2億筆交易資訊曝光
    一名27歲的德國程式設計師與隱私研究人員Do Thi Duc在本周踢爆,PayPal旗下的行動支付程式Venmo將用戶行為的預設值設為「公開」(Public),導致任何人都能查詢用戶的交易紀錄,Duc則利用Public Venmo API下載了2017年的所有交易紀錄,總數超過2億筆。 2009年發表的Venmo是個Peer to Peer的行動支付工具,利用手機上的程式就能轉帳給友人,雖然只在美國市場推出,但每月也有700萬用戶數。
  • 大數據即服務公司BlueData推出Bluek8s開源專案,加速Stateful應用程式部署
    雲端原生運算基金會成員之一的大數據即服務廠商BlueData,近日也加碼押寶Kubernetes,推出了開源專案BlueK8s。而在此專案中第一個即將釋出的專案是KubeDirector,讓有態應用(Stateful)在Kubernetes平臺運作時,能更容易部署、管理。
  • IBM更新公有雲服務,SAP HANA裸機伺服器可用Intel Xeon Scalable處理器
    在2017年時,IBM推出經SAP認證的HANA伺服器,讓企業用戶可在IBM公有雲上執行SAP工作負載,最高可以擴充至8TB記憶體、192個處理器核心。不過IBM表示,部分企業用戶的應用規模,不需這些規格的伺服器就能應付,因此在近日,該雲端服務的SAP HANA裸機伺服器服務,開始支援Intel Xeon Scalable處理器,並且搭配3種新記憶體規格,讓使用者有更多部署選擇。
Copyright (C) 2005 - 2016 Cyberhunter.com.tw. All rights reserved.