test

●零日攻擊? 它不就是明年要開播的台灣電視劇嗎? 前幾個月在政治新聞版面常聽到《零日攻擊》的介紹。這部電視劇獲得大家的注目，主要是因為故事以中國人民解放軍對台採取軍事行動為架空背景，探討台海戰爭時台灣社會可能面臨的狀況。 其實零日攻擊（Zero-Day Attack），又常被翻作「零時差攻擊」，原本是在資訊安全領域上的名詞，指的是駭客利用尚未公開或未修補的軟體漏洞進行的攻擊，因此稱為「零日」。 意指受害者和原廠開發者幾乎沒有時間準備或防範。此狀況與電視劇所刻劃的情境非常類似，即大家每天過著平凡的日子，完全不知道生活環境的「漏洞」早就被敵軍(駭客)所掌握，而一旦發起攻擊時，往往都非常地致命。 這類攻擊通常非常危險，因為它具備下列特性： 未知性：漏洞尚未被公眾或軟體廠商發現。 高效率：攻擊成功率高，且可能造成重大損害。 難以防禦：傳統防毒軟體可能無法偵測到。 ●一般員工同仁(老百姓)能如何防範? 雖然該劇的名稱「零日攻擊」，和資訊安全的術語相同，但劇情似乎更側重於軍事與國際關係，而非單純聚焦於資訊戰或軟體漏洞。零日這個詞被用作象徵性的概念，代表一個「突如其來且難以防範的攻擊」，用來引出劇情中的衝突與緊張局勢。 就日常資安的領域來說，當原廠還未釋出漏洞修補套件前，我們其實能做的並不多。但是大家仍然必須了解，以目前AI與資訊如此發達的世界，以下的現況已是不爭的事實： 漏洞訊息一出，攻擊腳本即現 ： 一旦有人發現了漏洞，在駭客的群組或相關資訊網很快就可以看到攻擊此漏洞的POC(Prove of Concept，即攻擊概念的實作有效步驟)。因此我們必須要有危機意識，儘量安全地使用個人電腦，避免讓不明人士透過不明軟體掌握自己的公務電腦。 圖：在網路上只要搜尋 "CVE POC"，就可以看到許多漏洞複現影片 許多漏洞連原廠都不知悉 ： 近期資安界發的許多資安漏洞，都是透過熱心民眾提供的。這世界總是有一群人喜歡鑽研著名軟體的漏洞，而網路的世界讓他們的成果可以更快速地傳播。 但是，面對這種不明的威脅，是否完全無法防禦呢? 其實各位同仁只要保持下列使用電腦的習慣，就可以減少許多零日漏洞的威脅： 只在信任的網路連結Internet ：避免作業系統的漏洞遭到其他陌生人攻擊 只安裝需要用到的軟體 ：不讓陌生的軟體取得太多本機的權限。 儘快安裝系統更新 ：雖然零日漏洞在原廠發...

在11月號的月刊中，我們介紹了使用密碼管理軟體 這項新興服務，並舉了許多家目前坊間受歡迎且持續成長的品牌。其中有一家叫做LastPass的廠商，算是最早開發密碼管理服務的公司，無論是在跨平台支援或是效能服務上都有一定的水準。 但後來可能是該産品設計太注重方便性，用戶越來越多，名氣過大，常被駭客列入攻擊或是練功的對象。近年來更因為疏於資安防護，不斷發生遭到駭客攻擊造成客戶嚴重的損失。 請大家在選擇密碼管理服務時，謹選服務商，並且一定要設定夠強的 二次驗證措施(例如手機驗證APP等) ，確保除了自己之外，其他人都無法開啟密碼庫。 延伸閱讀(訊息來源)： 1. TechNews科技新報：方便又安全是不可能的任務？熱門LastPass密碼管理軟體半年內被駭兩次 � 2. IThome��：LastPass員工家中電腦被駭致外洩公司關鍵系統登入憑證 3. Binance：LastPass 駭客攻擊一天損失 440 萬美元

我們在工作中，多少都會遇到需要處理PDF檔案的狀況，大到發表調查報告，小到整理支出報核單時的發票憑證，只是為了合併、分割、改幾個小錯字，轉方向等小小的需求，就必須下載「Adobe Acrobat Pro」試用版來使用七天，然後就不能用了。 處理PDF的工作，常常都來得又快又急， 因此許多同仁會想使用線上 PDF 轉檔合併服務 ，才能及早地把報表交出去。但是，各位真的知道文件上傳出去之後，這些提供PDF服務的網站真的會如實地把暫存檔清除嗎? PDFOnlie 是一個大約10年前(2013-2015年間)流行的免費 PDF 線上轉檔服務，使用者可以將檔案上傳到平台進行轉換編輯合併等動作。然而，PDFOnlie 的預設設定是公開檔案，這表示任何人都可以在網上搜尋到這些檔案，包含一些機密文件。許多使用者沒有注意到這個設定，使得任何人都可以在Google 搜尋中打入 XXXX sharepdf， 就可以看到一堆被上傳轉檔的PDF文件。例如： 「履歷表 sharepdf」、「薪資單 sharepdf」等等，驚動了當時的網路界。為此 各政府單位還緊急發送資安宣導 。 線上轉PDF並分享的服務(PDF Online)，解決緊急的PDF轉檔需求， 但沒想到許多人上傳檔案後，忘記把檔案設成保密。 這個案例說明了使用線上轉檔服務時需要注意的資安風險。 因為 一旦未加密的機敏檔案交到別人手中，就等於幾乎失去了對這個檔案的控制力。該服務的管理者，要做任何違法侵害的事，都是無法避免的。 另外，根據 台灣電腦網路危機處理暨協調中心(twcert.cc)轉述相關報告 ，PDF本身的加密技術也不完善，主要是市面上的PDF檢視軟體與瀏覽器插件(Plug-in)常被駭客破解。因此若同仁們需要寄送加密的資料，目前最好的方式還是透過其他方式打包加密(如ZIP檔使用AES256加密法) 若真的有常使用處理PDF檔的需求，可申請安裝免費版的離線PDF檔案處理軟體，以避免將資料檔案傳給陌生人。我們會在近期開始宣導並列入管理規範，禁止使用外部的PDF服務網站處理公務，敬請各位同仁協助宣導配合，若有任何需求或諮詢，歡迎隨時與分機88583連繫。 延伸閱讀： 台北市政府資訊局發布之資安宣導 PDF 檔案加密標準發現安全漏洞，常見 PDF 檢視軟體均不安全

在這個社群媒體圍繞的時代，每天點開手機，難免都會習慣性地分享生活片段，可能是一杯咖啡、一場旅行，或者自拍中的燦爛笑容。然而，這些看似無害的行為，是否會讓我們的個人隱私暴露在不知名的風險中呢？ 前一陣子新聞話題就曾出現「高解析度照片可能洩漏的生物特徵」，引發隱私外洩的討論。到底我們拍照時對鏡頭比YA，手指的指紋是否真的會被駭客擷取用來破解認證?高解析度照片可能又有哪些潛藏的隱私危機? 一、就先來聊聊指紋： 高解析照片若拍攝到手部特寫，指紋資訊的確可能被有心人士放大擷取。有關這一點， 台灣科技媒體中心（SMC）曾發表了一篇文章 ，詳述為什麼從照片中擷取指紋並破解系統的難度仍然很高： 超高解晰相片 ： 要擷取可用於辨識的指紋，需要極高解析度的相機和清晰的影像。目前市面上主流相機的像素仍遠低於所需規格。 特定指紋機型 ： 目前被成功破解的指紋辨識系統多為電容式或光學式的機種，若是使用超音波取得指紋的3D結構的技術，必須實際按壓才能辨識。所以從照片中取得的指紋資訊難以模擬真實按壓。 實驗室環境 ： 目前成功從照片擷取指紋的案例多是在實驗室環境下，搭配特殊材料和設備才得以實現。 因此，在一般情境下，從照片中成功破解指紋的風險極低，但這並不代表我們可以完全忽視其潛在威脅，以下我們繼續來看看其他生物辨識科技的後續。      二、虹膜辨識—照片與假眼睛，駭客破解的故事： 數年前，韓國手機大廠三星，就在他們的S8旗艦機種配置了號稱最完美的虹膜身分辨識系統，結果就是： 只要一張照片加一片隱形眼鏡所打造的「假眼睛」，就可以輕鬆解鎖 。成功破解虹膜辨識系統的駭客組織表示，由於「眼睛」比起指紋更容易曝露在外，因此理論上會比指紋辨識不安全些。因此，在手機提供的種種解鎖工具裡，他們還是相信傳統的密碼比較安全。 後來，三星在S10以後的手機就不再配置虹膜系統了。 三星曾在S8旗艦手機配置紅膜辨識系統(圖片連結:TechNews 資安快報) 三、再來就是臉部與耳朵形狀： 若照片中虹膜資訊可被擷取，那麼大家常用的Face ID,是否也將面臨這種被破解的威脅? 高解析度的臉部照片「的確可能」被用來建立 3D 模型，用於製作深偽 (Deepfake) 影片進行詐騙。那...歹徒會不會將它們用於破解iPhone的手機鎖呢?  其實，要成功建立高精度的 3D 模型仍需要克...