關於 第 三方 滲透測試 ，我們在網路上蒐集到這些相關的討論、資訊與評價

昨天我在文章底下的留言，有粉絲說希望轉載、分享，所以我彙整一下，放在這裡。

■我們的國家台灣
已經進入了準戰爭狀態
檯面下的攻擊，嚴重程度如何？
大家可以去追蹤沈伯洋 puma 的臉書，他快要忙死了。

■中共對台灣進行「資訊戰」
紅色滲透的三大瞄準靶心：
媒體圈
學術圈
智庫圈

■新型態戰爭的特點：
難以預防
難以偵測
難以抵擋

■假新聞、假消息、假民調、偽科學、偽學術研究、假情報……

目的在「操控輿論」

這是利用「民主制度」的先天缺陷「言論自由」

從資訊戰、情報戰、混合統戰全面入侵，足以造成「民主國家的死亡」。

■謝謝大家的關心。

大叔的狀況必須長期服藥，而身心科藥物，會影響到大腦化學物質的分泌。我沮喪的主要原因，是我都已經不像是我自己了。

容我做個比喻，如同大提琴家突然發現自己的手抖個不停，或是影評人發現自己雙目失明，或是歌手發現自己聲音改變，或是畫家發現自己色弱、色盲。

我擔心自己被藥物剝奪、消滅了一些寫作能力，再也無法恢復。

我寫不出三個月前的文章，我的文筆、靈感、文采，發生了小規模的死亡。

很多素人在臉書自己經營的政治粉專（如同網路義勇軍），在總統大選結束後，就打烊了，回復正常生活。

原本大叔也已經準備要休息了，但因為我知道的資訊比較多，也比大家憂心，而不敢退出江湖。

因為捍衛台灣民主自由，影響力越大的人，責任也就越大。

特別是，中共對台灣發動的攻擊，已經來到前所未有的高峰，不只是軍演、文攻武嚇，還包括了「資訊戰」。

台灣是全世界「遭受網路攻擊」最嚴重的國家，九成的攻擊來自於中國大陸。

中國的黑客（hacker）首度在今年美國舉行的全球黑克大賽(DEFCON)奪冠，出乎意料打贏來自美、韓、台三國的選手，成為世界第一！

尤其中共所部署的網絡巨砲（Great Cannon），已經有能力攻擊全球任何一個主張言論和資訊自由的網站。

「資訊戰」牽涉到軍事、國防、資安、情報、外交、國際關係、通路、AI各個領域，其中，最方便的「惡意後門程式」可以直接滲透、蒐集、取得消費者的種種個資，所利用（欺騙）的就是使用者對於服務供應商的「信任」。

台灣法務部調查局資安工作站副主任劉家榮8月19日表示，最近偵辦幾宗政府機關遭（大陸駭客）黑客入侵案件，發現黑客攻擊範圍包括台北市政府在內的2個市政府，水資源局，國立大學等10個單位，4家資訊服務供應商；涉及多達6,000多個政府郵件帳號的5台郵件伺服器遭惡意植入後門程式，由於黑客會清除軌跡資料，故無法判斷是否有資料遭竊，但資訊安全方面仍面臨重大威脅，現已成立專案小組調查。

中國黑​客組織深知政府機關或企業為了便利，常提供遠端連線桌面、VPN登入等機制，給資訊服務廠商進行遠端操作與維護，由於台灣廠商大多缺乏資安意識，以及不想耗資投入資訊安全防護設備，亦沒有配置資安人員，從而造成資安破口。

具體來說，大陸黑客的攻擊都是透過政府機關委外承攬的、負責系統開發和維運的第三方資訊服務供應商，作為跳板，而且取得政府單位授與服務商的遠端VPN（虛擬網絡）授權，在有信任的基礎下、「以合法掩護非法」， 潛伏長達兩年，直到被查出源自中國。

大陸黑客通過損害VPN（虛擬網路）來獲得網路的初始訪問權限，然後使用滲透測試工具來掩飾他們所植入的惡意軟體，並使用託管在谷歌或微軟雲端服務上的命令和控制服務器，使其通訊更難被檢測為異常。

中共一支規模可能近3萬人的網軍分佈在包括國安和公安系統、以及中共解放軍新成立的戰略支援部隊等單位轄下，規模是台灣的100倍，中共黑客國家隊不僅攻擊台灣，多次試圖癱瘓政府機構和民間企業的網絡系統，這些黑客亦偏好攻擊美國、日本和韓國等，嚴重威脅這些國家的資安，甚至駭進印度的核子動力潛艇。

https://www.epochtimes.com/b5/20/8/22/n12349674.htm

根據路透社看到的電子郵件，黑客們在美國大選前加大攻擊川普競選和商業網站的力度。一家為競選活動工作的網路安全公司表示，黑客在測試川普競選網站的防禦性，可能為更大規模的網絡攻擊做準備。
https://www.epochtimes.com/b5/20/9/1/n12372975.htm

大叔也想休息啊！
就算我憂國憂民，也開始力不從心。

親愛的朋友們
你們過去支持的台派粉專
如果現在在冬眠狀態
你願意去喚醒他們
請他們現在就復活
一起協防台灣安全嗎？

中共這一波又一波的攻擊
串聯了在野黨，裡應外合

我們需要有更多、更強大的力量，去闢謠，去團結自己的國人。

大叔能力有限
而且才華日益消逝
我很生氣自己目前的狀態。
焦慮沮喪。

今後，我還有能力、腦力，寫得出這樣的長篇文章嗎？

https://m.facebook.com/story.php?story_fbid=454218181923903&id=298989300780126

[2017-11-09 Now新聞台] 討論縱橫遊事件，提及互聯網保安/風險及滲透測試對中小企的重要性:
(一) https://news.now.com/home/local/player…
(二) https://news.now.com/home/local/player…

//縱橫遊電腦系統被黑客入侵，勒索數以百萬計贖款，涉及20萬名顧客包括護照、身分證和信用卡號碼等資料？受事件影響的人會面對甚麼風險？有沒有方法預防？

資訊科技商會資訊保安召集人范健文認為，今次事件涉及的個人私隱問題，包括顧客是否知道個人資料的保存時間長達三年、數據庫保存包含信用卡保安編碼，以及個人資料以白紙黑字備份方式儲存。他認為縱橫遊對顧客資料保存太多以及方式奇怪，又指所有公司保存客戶資料的數據庫應定期檢驗，保障客戶私隱。

范健文又表示，翻查縱橫遊的上市文件發現，當中提及的資訊科技項目僅每年投資十六萬三千元，當中投資是指支付第三方服務及維護費，他認為投資金額太少，對保安工作是否有效存疑。//

物聯網雖好：只是連接越多 風險越大

时间：2016/2/7 23:17:23 来源：IT之家

　　物聯網（IoT）的發展可謂是風生水起。雖然早在幾年前人們對于物聯網的迅猛發展就已有預測，但是隨著物聯網的概念越來越熱，市面上出現了大量基于物聯網而開發的連接設備：從與人們生活密切相關的智能恒溫器、冰柜、洗衣機等家庭設備；到與人們生命密切相關的家庭安全攝像頭、嬰兒監視器、胰島素泵、心臟起搏器等安全與衛生設備；再到與人們健康密切相關的健身追蹤器、智能手表等可穿戴設備。每一種連接設備的出現，都為人們的生活增添了些許的智能。

　　然而，毫不令人驚訝的是，新技術的發明及公布往往伴隨著人們及市場對連接設備安全性的擔憂。就在最近，一場風波降臨在與互聯網相連接的嬰兒監視器的最新產品上，最終，該款產品被納入智能設備安全調查的名列中。究其因，這款產品在使用過程中會很容易地被黑客入侵及攻擊，這無疑惹惱了愛子的父母們，從而引發了激烈地抗議。　　

　　據一些報道稱，父母發現黑客會入侵嬰兒監視器，偷窺嬰兒的同時還會在深夜里對其大喊大叫。上周，紐約市消費事務局（The NYC Department of Consumer Affairs）發起了一項針對嬰兒監視器安全性的調查，并對4家生產嬰兒視訊監視器的廠商發出傳票，將他們所生產的設備作為安全漏洞調查的一部分。隨后，美國聯邦貿易委員會（Federal Trade Commission）在他們的網站首頁上也發出了相關警告。

　　然而，關于黑客入侵嬰兒監視器的報道已不是一件新鮮事。早在2013年，嬰兒監視器的安全性問題就已經被提出。值得注意的是，最新的報道劍指黑客專用搜索引擎「Shodan」，這個于2013年發布的搜索引擎，可以找到幾乎所有和互聯網相關聯的東西，當然包括物聯網中的智能設備。Shodan能夠在互聯網上搜索到使用實時流化協議（RTSP）的設備。通常情況下，這些設備都沒有基本的密碼保護或者只是簡單的設置了默認密碼，從而給Shodan搜索引擎提供了絕佳的機會，便于黑客的入侵。

　　但從歷史上來看，很多沒有配備攝像頭的智能設備，如豐田普銳斯（Toyota Prius）、胰島素泵以及無線電水壺iKettle都很容易受到攻擊。雖然大家得承認，有一些黑客發起入侵攻擊只是為了示威自己有這樣做的能力，而不存在任何的惡意，但是，這依然是一件發人深省的事情。

　　誰該為此「買單」：設備生產商還是消費者？

　　當你購買一臺連接設備，并按照生產商提供的說明書使用后，隨之而來的除了應享有的隱私和安全外，進出自由、時常發起攻擊的黑客也如期而至，這簡直太難以置信了。類似情況的出現或許是因為生產商對消費者產生了過多的期望，認為他們會及時地更新及安裝安全補丁。但是，請記住，當消費者使用公共區域內的免費WiFi下載安裝程式時，絕大多數的人是不會閱讀相關的條款和條件的，更別提在家中安裝家庭安全裝置或嬰兒監視器了。

　　在2015年初，美國聯邦貿易委員會發布了一份有關物聯網隱私與安全的報告，為研發物聯網相關連接設備的公司提出了一系列建議。其中包括：

　　1.從一開始就為連接設備安裝安全系統，而不是馬后炮；

　　2.在識別安全風險時，要深思熟慮并制定一個「縱深防御（Defense-in-Depth）」戰略，即使用多重防御策略來逐級管控安全威脅，用以抵御某一個特定的風險；

　　3.考慮并采取相關措施，以防止未經授權的用戶訪問消費者的設備、數據或存儲在互聯網上的個人資訊；

　　4.對預期生命周期內的連接設備實施監控，并在可行的情況下，提供安全補丁，以覆蓋已知的風險。

　　最后一點特別有趣，雖然添加了生產商監控連接設備的責任，但是監控多少、監控到什么程度依然是不明確的。

　　該報告還建議要對消費者進行相關的教育，包括視訊教程、在設備上粘貼QR碼以及在銷售網點提供不同設置向導的選擇。

　　然而，值得注意的是，這份報告收集的數據主要來源于18個月前的一次會議。技術發展如此飛快，即使所提出的建議值得稱贊，但依然缺乏可以改變這一行業所需要的不竭動力。

　　法律上的先例？

　　美國聯邦貿易委員會報告中所提及的這些原則在委員會涉及的第一起互聯網連接設備案件里得到了充分的闡釋說明。委員會針對安全攝像頭生產商TrendNet涉嫌虛報其軟體是「安全的」發起投訴并將其登記在案。在其投訴中，委員會聲稱：該公司不僅通過明文的方式在互聯網上載輸用戶的登錄憑據，還通過明文的方式在用戶的移動設備上儲存登錄憑據。與此同時，生產商未能就消費者的隱私設置進行測試，無法確保所拍攝的視訊能夠實現真正意義上的「私密」。

　　由于這些被指控內容的存在，使得黑客能夠很輕松地入侵及攻擊消費者家中的安全攝像頭，從而進行一系列未被授權的對嬰兒睡覺、孩子玩耍及成年人日常生活的監控。

　　案件起因：黑客攻擊了TrendNet的官方網站，并把700多位消費者使用家庭安全攝像頭拍攝的視訊發布在互聯網上。

　　案件結果：該案規定，在未來的20年內，TrendNet公司必須每兩年就獲得一次來自第三方安全項目的評估。同時，公司被要求訊息消費者有關攝像頭和軟體的更新來糾正他們在使用中存在的安全問題，并在接下來的兩年里，為客戶提供免費的技術支持，以幫助他們更新或者卸載相關的軟體。

　　制定與汽車安全和隱私漏洞相關的法律以保護駕駛員

　　2015年7月，參議員Ed Markey提出了一項名為「安全隱私在你車（Security and Privacy in Your Car，簡稱『SPY Car』）」的法案，該法案指導美國國家公路交通安全管理局（NHTSA）和聯邦貿易委員會制定相關的聯邦標準以確保汽車和駕駛員的安全和隱私。「SPY Car」法案還建立了一個合理的評分系統，為消費者了解車輛是如何保護駕駛員安全和隱私提供了最低標準。其中的一些細節包括：

　　1.要求車內的所有無線接入點都通過滲透測試的評估，以防止黑客的入侵與攻擊；

　　2.要求對收集到的所有資訊進行加密，以防止不必要的訪問；

　　3.要求生產商或第三方功能性供應商能夠檢測、報告及響應實時的黑客事件。

　　物聯網設備的安全性在迅速降低。對于物聯網設備的保護應當出現在其發展中的各個階段，新的安全漏洞會不斷的涌現，如果沒有足夠穩固的應對，那么消費者可能不會再信任任何的物聯網設備。但是，值得注意的是，安全問題一直是現代生活中的一部分。沒有強大的監管制度和來自消費者的巨大壓力，物聯網設備生產商是不可能為消費者帶來長期智能生活上的保護。

資料來源：http://www.haixiaol.com/n1281007.html