Search
【鬥陣來關心】何謂電子簽章/數位簽章
作者: 簡心怡律師
傳統的紙本簽章,當事人必須親自在紙本文件上簽名,並保存紙本文件留作紀錄;然而在電子文件逐漸取代傳統紙本文件的現代社會,在電子文件上簽章已是不可避免的趨勢。為此,電子簽章法第4條規定,經相對人同意者,得以電子文件為表示方法,及第9條規定依法令規定應簽名或蓋章者,經相對人同意,得以電子簽章為之。意指在當事人自由合意下,電子簽章也能夠有相同於紙本簽章的效力。
其中電子簽章指依附於電子文件並與其相關連,用以辨識及確認電子文件簽署人身分、資格及電子文件真偽者,且並沒有任何形式之限制。而數位簽章則是以數學演算法或其他方式運算對其加密而形成的電子簽章,能以簽署人之私密金鑰與公開金鑰加以驗證,為一種用於鑑別數位訊息的技術方法。目前我國之數位簽章需使用經主管機關核定之憑證機構所簽發之憑證,即由公正的第三方機構來保證電子簽章之效力,例如自然人憑證、工商憑證等皆為由憑證機構所簽發之憑證。隨者虛擬化世代的來臨,電子簽章之應用亦會漸漸普及於我們的生活之中。
(本文之內容不代表本所之立場或法律意見)
#zoom資安七大漏洞的對應措施
上週四(9日)立法院國民黨團召開記者會,抨擊教育部無配套措施就禁止使用zoom,且未說明教學與資安疑慮的關係。更有國民黨籍立委表示「如果真的有陸方監控,真的有情資問題,那不是很好嗎?」,認為反而可利用zoom來「反反滲透」,讓中國了解台灣民主自由價值。
其實,遠在教育部上週二(7日)發布禁止各級學校使用有資安疑慮的聲明之前,我的臉書從三月開始就陸續有關於zoom的資安問題討論。這幾天更是沸沸揚揚,有認為基於對該公司背後的中資、大量中國境內工程師以及數據流往中國的不信任,支持教育部的決策、認為不該使用;也有不少朋友認為zoom的許多疑慮都來自於新創公司常犯的便宜行事,只要修正就好,視自己的資安需求斟酌要不要使用。
面對臉書上的各方見解,我決定來請教 #強者我朋友!這次請到的是台灣工程師的矽谷故事的Winston大大,目前正在做監控系統的新創(Startup),他為我整理了目前常見的七大疑慮,並提供對應的方法。
以下,給對zoom有疑慮和曾經下載過zoom的朋友,提供資訊安全的補強方法:
①#亂入的惡作劇攻擊(zoom bombing)
由於zoom的會議預設無密碼、會議 ID 過短而很好猜,所以容易讓有心人士亂入,發生下述②的問題。
➡︎預防的方法很簡單,就是 #所有的會議都要設定密碼!
②#公開會議裡的陌生人與不明訊息
第一點的 zoom bombing 讓有心人士可以直接加入沒有被邀請的會議,在會議中進行釣魚工作,最嚴重的狀況是邀請與會者下載安裝間諜軟體,導致電腦手機成為駭客可以遠端控制的殭屍網路(botnet)。
➡︎這事不限於在zoom發生,不管在哪裡,#都不要亂點來路不明的連結或是下載奇怪的東西,這是資訊安全的基本防護。
③#被駭客抓到你的密碼
zoom有一個安全漏洞可以讓駭客抓到你的 windows hash 過後的密碼。
➡︎ #讓他抓不到你的路徑 如下,請直接從 windows 作業系統中禁止: Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options -> Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers and set to "Deny all".
④#蒐集大量使用者個人資料
其實大部份人不太在意這件事情,有不少軟體、網站都有類似的行為。
➡︎最好的處理方式就是 #用一台沒有連接你任何社交帳戶的電腦/手機使用 zoom ,這樣他們什麼也抓不到。但是如果你之前已經使用過 facebook 、google 、或是 linkedin 登入的話,他們已經知道了⋯⋯來不及了。
⑤#各式軟體安全疑慮
zoom的程式中使用了一些常用於電腦病毒的方法和造成登錄憑證漏洞,在macOS跟Windows 系統中都產生了一些資訊安全問題。
➡︎要避免風險的方式是 #用一台專門的電腦/手機來進行 zoom 的會議,會議後立刻關機斷電,該機不能做任何其他用途。
⑥#謊騙加密等級
Zoom先前宣稱有做到全面的End-to-End (E2E) Encryption 點對點加密。事後卻被發現,他們只有「聊天室」有E2E,「視訊」是沒有的,而其安全防護也被資安專家認為有破口;作為一個標榜資訊安全的公司,用謊言欺騙信賴它的使用者,是違背其宣稱的核心價值的。
➡︎無解,不要用 zoom 來討論公司或國家機密!
⑦#加密的金鑰被送到北京
加密的金鑰被送到北京的機器去,可說是這次教育部禁用的關鍵因素,強者我朋友認為,這應該不是故意要做什麼攻擊,只是zoom便宜行事,這也表示標榜注重資訊安全的zoom其實沒有很重視資訊安全。
➡︎無解,在意就不要用 zoom!
👆綜觀上面七點,從 #資訊安全、#企業誠信 到 #中國因素,就看大家的選擇囉!關於zoom的資訊安全漏洞,一直都有許多討論,創辦人也一直都是中國人,教育部推翻先前推薦zoom的決策過程確實有點令人措手不及。
👊回到新竹市,因為擔心教師們重新適應新軟體可能帶來的教學與受教權益的衝擊,我也向教育處瞭解我們新竹市學校的目前狀況。
教育處表示,由於一開始就 #要求各校至少要採取兩種以上的方案來模擬演練,所以當zoom不能用時,備案的啟動都還算順利。
也歡迎老師同學們和我分享你的視訊軟體選擇,防疫期間有任何疑問和建議也都可以和我聯絡喔!
————
參考資料連結🔗
Zoom's Encryption Keys Are Sometimes Being Sent to China, Report Finds
https://reurl.cc/j7R0qD
Zoom security bug lets attackers steal Windows passwords
https://reurl.cc/xZ1q0V
————
大家還記得上次的「強者我朋友」是聊什麼嗎?😂
無所不在的物聯網設備,你我都需要正視所帶來的資安問題
在2017年資安大會中,Hitcon Girls共同創辦人賴婕芳與沈祈恩認為,目前物聯網裝置的應用會越來越普遍,但與其有關的資安事件頻傳,因此無論是製作的廠商,還是企業乃至於個人,都應該提高警覺,重視這些設備的安全性。
文/周峻佑 | 2017-03-18發表
周峻佑
Hitcon Girls共同創辦人賴婕芳與沈祈恩在2017年資安大會的議程中疾呼,物聯網(IoT)裝置所衍生的資安問題必須受到正視,因為比起電腦,這些裝置可能會接觸到更多個人隱私,或是影響人身安全與國家安全,一旦遭受駭客攻擊,後果便不堪設想。物聯網裝置的安全與我們息息相關,無論是製造者還是使用者,你我都必須暸解如何降低其資安風險。
物聯網裝置帶來不少便利性與創新應用,因此受到人們的歡迎。物聯網這個名詞,最早出現於1999年,但直到2013年之後,成為開始熱門討論的話題,然而,根據2015年AT&T所做的調查報告中指出,在受訪的5,000家企業中,有高達85%想要發展物聯網應用,卻只有10%的企業有信心能夠應付駭客的攻擊,顯示物聯網的資安問題,連企業普遍都沒有把握。
另一個面向,則是從Symantec、FireEye、趨勢科技、Intel Security、Kaspersky等資安大廠2017年的預測報告中,可看出端倪。這些報告不約而同指出,物聯網裝置會帶來嚴重的資安風險與網路攻擊。賴婕芳以2016年10月時,DNS供應商Dyn遭受大規模DDoS攻擊的事件為例,其中一部分是由Mirai控制的物聯網裝置僵屍網路所發動。這個事件造成採用的Dyn服務的知名網站,包含BBC與GitHub等受到波及。然而,駭客取得這些物聯網裝置控制權的方法,僅僅只是透過了測試60組常見的預設帳號與密碼就得手。
應用層面廣泛,無論是小朋友的玩具,還是學校的路燈,全都是物聯網裝置
其實物聯網涉及的領域相當廣泛,無論是金融、公共服務、製造業、零售業,乃至於與人身安全有關的醫療、國家安全有關的能源設施,都有相關的應用。還有,近年來常見的智慧家庭,也使用了大量的物聯網裝置。
賴婕芳舉出許多案例,像是互動式芭比娃娃,透過了像是Siri的機制,就能和小朋友對話,然而卻被發現,其網路通訊可能會被有心人士攔截,讓芭比說出指定的內容,如果這個駭客是個戀童癖,很可能會讓小孩與家長飽受驚嚇。
此外,美國有間大學受到DDoS攻擊,經調查卻來是自校內的路燈、販賣機等物聯網設備,但學校並未想到這些校內設施,都是屬於這類設備的一部分。
物聯網設備甚至會造成人身威脅,例如駭客可控制汽車的自動駕駛系統,透過槍枝的管控系統,駭客可執行射擊。
物聯網安全是一整個生態圈的事情
基本上,許多人想到物聯網的資安問題,可能會以為主要是對於裝置加密,消除漏洞等防護措施。但事實上,我們手上的物聯網設備,只是傳感器(Sensors),背後擁有一個生態圈,還包含網路與應用程式等。但從駭客攻擊的面向來看,則略有不同:大致上可分成硬體設備、連接性(Connectivity),以及應用程式3塊。
硬體指的不只是物聯網設備本身,還包含整個生態圈設施,像是閘道設備,或是執行應用程式的手機等,駭客可透過這些裝置發動攻擊。
連接性指的是任何連接的階段、過程,包含網路流量、生態圈通訊,以及設備之間的連接,或是應用程式之間的API等。
應用程式則包含物聯網裝置本身的軟體、雲端網頁介面或管理者介面等。
在物聯網硬體出現的問題中,賴婕芳舉了RFID卡Mifare Classic為例,這種卡片遭到逆向工程解析後,被發現金鑰只有48 bits,極容易破解,她說,以現在的角度來看,只要在淘寶花5美元,就能取得相關的修改工具。
而對於連接性的問題,像低功耗藍芽通訊(BLE)來說,在需要溝通的兩個設備之間,由於像手環一類的設備沒有螢幕,只能使用配對機制中的Just Work驗證方法(無密鑰),在這種情況下就很容易遭受中間人攻擊。
但其實另外一層隱憂,則是更多裝置的BLE通訊過程完全沒有加密,以賴婕芳他們測試過的小米手環與體重計來說,他們發現只是對手機程式進行配對,沒有對資料做保護,因此可將手環或是體重計的通訊內容,傳送到非綁定的行動裝置。換言之,有心人士可將小米體重計得到某個人的重量資訊,同時傳送到多臺裝置中呈現。
相較於上述兩者,應用程式是駭客最常使用的攻擊標的,像Hitcon在2015年舉辦的大會中,就展示駭入Gogoro App並取得憑證,然後將電動機車成功發動。然而這是應用程式在設計上的問題,將憑證存放在手機不夠安全的區域導致。
迎向2017年,物聯網安全是全民都要面對的問題
面臨物聯網裝置層出不窮的資安事件,我們必須有所體認。針對不同的角色,賴婕芳提出以下建議措施:
製造商:開始設計必須將資安納入考量,並且開發者需要有安全開發經驗、訓練,最好產品在上市前滲透測試。
企業用戶:需將物聯網設備盤點並列管,若是無法修補的設備,應考慮隔絕於主要網路之外。此外,防護措施需將整個網路架構納入資安考量。並在採購時,要求廠商確保設備安全性。
終端使用者:了解使用裝置的風險,如果不確定設備的功能,最好就不要使用。使用時,要將預設密碼更換成高度複雜的密碼。
資料來源:http://www.ithome.com.tw/news/112848
憑證 金鑰 使用 方法 在 SSL憑證基本知識 - YouTube 的推薦與評價
https://reurl.cc/3Lyv39 SSL 憑證 教學文件? https://reurl.cc/5qba57 SSL 憑證 常見問題 https://reurl.cc/q8KXN3. SSL 憑證 基本知識. 4.1K views ... ... <看更多>