2010-09-05T11:03:44Z Perry Liu peiwen5806@gmail.com Copyright 2010, Perry Liu SPHPBLOG
全球網際安全議程是由五個棟樑支柱所構成(詳見下圖)，這五個棟樑支柱包括：

1. 法律措施(Legal Measures)
2. 技術及程序措施(Technical and Procedural Measures)
3. 組織結構(Orgnizational Structures)
4. 能量建立(Capacity Building)
5. 國際合作(International Cooperation)

全球網際安全議程五個棟樑支柱構成之平台(資料來源)

而此五個棟樑支柱之建立旨在達成七項策略目標：

1. 詳細闡述網路犯罪立法模型之發展策略，且此模型可在全球適用，並與各國或區域現存之立法措施互通(Elaboration of strategies for the development of a model cybercrime legislation that is globally applicable and interoperable with existing national and regional legislative measures)
2. 詳細闡述建立國家層級與區域層級對抗網路犯罪組織架構與政策之全球策略(Elaboration of global strategies for the creation of appropriate national and regional organizational structures and policies on cybercrime)
3. 發展軟硬體應用系統全球可接受之最低安全準則與認證體系(Development of a strategy for the establishment of globally accepted minimum security criteria and accreditation schemes for hardware and software applications and systems)
4. 發展建立全球監控、預警及事故反應架構之策略，以確保跨境協調(Development of strategies for the creation of a global framework for watch, warning and incident response to ensure cross-border coordination between new and existing initiatives)
5. 發展全球策略以建立及支持一般普遍化之數位身分系統，及確保跨地理邊境時為達到身分識別所需之組織架構(Development of global strategies for the creation and endorsement of a generic and universal digital identity system and the necessary organizational structures to ensure the recognition of digital credentials across geographical boundaries)
6. 發展可促進人力及組織能量建立之全球策略，以強化跨領域及上述提及所有領域之知識及關鍵技術(Development of a global strategy to facilitate human and institutional capacity building to enhance knowledge and know-how across sectors and in all the above-mentioned areas)
7. 與上述提及所有領域有關之利害關係人，如何進行國際合作、對話及協調之架構建議(Proposals on a framework for a global multi-stakeholder strategy for international cooperation, dialogue and coordination in all the above-mentioned areas)

]]> http://pwl.idv.tw/sphpblog/index.php?entry=entry081104-190015 2008-11-04T00:00:00Z 2008-11-04T00:00:00Z
坦佩雷公約共有17個條款，除了描述通訊資源的緊急救援程序外，在條款中也承認簽約國家在其領土內具有指揮、控制及協調救援行動的權利。條款中要求簽署國必須建立救援用之通訊資源(包括人力及物料)清單目錄，並針對使用這些資源的程序建立計畫。而為了避免費用發生的爭議，條款中也明訂運送通訊資源抵達災難區域前，簽約國應指明其所希望收取之費用或能夠償還之金額。而為了避免超額收費，費用必須根據災害的性質、面臨之風險、開發中國家的特殊需求及事先議定好之付費及償還模式。此外此公約也針對參與救災之非政府組織(NGO, Non-governmental Organization)給與一定之特權及稅賦與義務之豁免權。最重要的是簽署此公約的國家，應致力於降低用於災難救援之通訊資源所所可能面臨的各類法規障礙。這些法規障礙可能造成的限制包括通訊設備的進出口、通訊設備及其無線頻譜的使用、操作通訊設備人員之活動及通訊設備資源之跨境運輸等。
]]> http://pwl.idv.tw/sphpblog/index.php?entry=entry081104-185609 2008-11-04T00:00:00Z 2008-11-04T00:00:00Z

• 評估整個國家之需要
• 透過地理資訊系統之相關技術取得可能發生風險區域的相關資訊及知識
• 建立資訊通訊基礎建設
• 發展標準作業程序
• 將資訊通訊技術整合進入早期預警系統

在緊急應變階段所參與的組織及單位眾多，下圖為國際電信聯盟認為將資通訊技術應用於災害管理時所可能會參與之單位。圖中同時顯示了這些參與的單位在緊急應變階段應協助達成的三項重要工作包括：

• 評估通信網路之破壞狀況
• 用於基本通訊及遠距醫療(Telemedicine)通訊設備之部署
• 提供衛星影像以顯示災害的範圍及等級

資通訊技術應用於災害管理參與之單位 (資料來源)

最後在回復與重建階段，國際電信聯盟認為重建通訊網路的重要工作除了根據地理資訊系統所提供之資訊，消除通訊網路可能存在之弱點外，也需要確保通訊網路之冗餘(redundancy)及回復性(resiliency)。除了上述方法論的建立，國際電信聯盟在實際提供災害救援上，則是成立了由技術 (Technology)、財務(Finance)及後勤(Logistics)等三個集團(cluster)構成之成國際電信聯盟緊急合作體制 (IFCE, ITU Framework for Cooperation in Emergencies)。該體制是由技術、財務及後勤等三個集團組成。此體制之運作目標除了在災害管理的各階段提供資通訊技術及資源外，也負責在災害發生時協調有足夠資源之國家挹注資源及在48小時內抵達災害現場。不過要達成上述目標，不僅僅是技術及資源協調之問題必須解決，各國在通訊法規上之限制也必須配合。
]]> http://pwl.idv.tw/sphpblog/index.php?entry=entry081104-185334 2008-11-04T00:00:00Z 2008-11-04T00:00:00Z
過去幾年內，我們在面對網路經濟罪犯及駭客對全球資安與金融的威脅所採取的對抗作法，似乎也慢慢成為孫子兵法所言「大敵之擒也」的狀況。以早期駭客常採取的網路釣魚(phishing)來說，駭客先透過網路或非法購買電子郵件帳號，再利用垃圾郵件的管道發送仿效知名網站的電子郵件，引誘無知的使用者進入偽裝的知名網站，藉此騙取使用者帳號、密碼或姓名、地址、電話及信用卡資料，然後再利用這些資料獲取不當利益。而針對這類釣魚網站攻擊的防護，一般常採取的多是堅固防守的策略：廣泛收集釣魚網站的黑名單，再透過瀏覽器的過濾避免使用者受騙上當。不過根據反網釣工作小組 (Anti-Phishing Working Group)的統計，釣魚網站增加的速度驚人。2004年1月該小組僅辨識出了174個釣魚網站，同年12月便暴增超過1,000個。到了去年(2007 年)，全球已有約51,989個網域名稱被用在網路釣魚的攻擊。這讓收集釣魚網站的速度似乎已經跟不上釣魚網站增加的速度了。更何況近期駭客也已經開始採用網頁掛馬的方式，大量將木馬程式注入合法的網站中，讓黑名單的作法無用武之地。

在這種敵眾我寡的情況下，孫子兵法有什麼可以值得借鏡的嗎？有的，孫子兵法說，利用間諜通常可以收到奇襲的效果。孫子說：「故用間有五：有鄉間，有內間，有反間，有死間，有生間。…死間者，為誑事於外，令吾間知之，而得於敵者也。生間者，返報者也。」這裡所謂的「死間」是指在外面散佈假情報，讓我方間諜得知，再讓我方間諜被敵人抓去，從而讓敵人上當受騙。而所謂的「生間」是指，可以活著回來報告敵情的人。金融業在面對釣魚網站的問題上，有個作法倒蠻像「生間」的作法頗值得參考。這個idea其實相當簡單：銀行可以建立一些虛擬的網路銀行帳號，這些帳號都可以正常的登入網路銀行，但所有的行為都特別被監控。銀行可以到歹徒所建的釣魚網站上，把這些虛擬帳號登錄進去，然後追蹤調查歹徒在網路上的一舉一動。由於監控的對象明確，因此要抓到歹徒的機率就因此而大增了。這種誘騙歹徒的做法，通常都會冠以HoneyXXX之名，例如網路防護的HoneyPot與HoneyNet機制，前些時候警察也把裝了GPS 追蹤裝置的誘捕汽車(HoneyCar)放在大馬路上故意讓偷車賊偷，再來個甕中捉鱉。這個用虛擬銀行帳號來逮捕網路金融犯罪的做法也許可以叫 HoneyToken吧。 ]]> http://pwl.idv.tw/sphpblog/index.php?entry=entry080623-144707 2008-06-23T00:00:00Z 2008-06-23T00:00:00Z
Turing test是不是真能判斷程式具有「智慧」仍有爭議，不過對壞人來說這種學理的探討完全是多餘的。蘇聯的駭客已經開始利用可以和人進行自由對話的chatbot程式來竊取個人隱私身分資料。這樣的方式威力何在？我們先回過頭來看看目前電腦上個人資料遭竊取的主要過程：對一個有心要透過網路竊取個資的駭客來說，目前主要都是利用惡意網站或電子郵件當作媒介，將木馬程式及鍵盤側錄程式安裝在被害人的電腦上。當被害人在網路銀行或電子商務網站進行交易時，這些惡意側錄程式便會竊取網路銀行的帳號密碼或信用卡卡號。只是目前越來越多使用者已經被教育不要隨便點選電子郵件或即時通訊軟體中的可疑連結，因此駭客要安裝木馬程式的困難度是提高了不少。

此外，對貪心的經濟罪犯來說，光只有網路帳號密碼或信用卡卡號也許還不夠，如果能夠把其他的個人資料(例如身分字號、電話、生日及住址等)與信用卡卡號再整合起來，那所能夠創造的"經濟效益"將會更大。不過要將個人資料與信用卡卡號資訊整合起來，通常還需要在被害人的電腦上面做進一步的資料分析，這還是會耗費相當多的人力成本。

針對上面提到的兩個問題，蘇聯的駭客開發了一套叫做CyberLover的chatbot來提高安裝木馬程式的機率，與降低竊取個人資料的成本。這個CyberLover能夠進入聊天室內，在30分鐘內與10個人建立對談關係。由於CyberLover能與被害人建立一個完整的對話情境，而進入聊天室的人大多也習慣會透露出個人的背景資料，以便能夠與交談的對象建立後續的關係，因此CyberLover就能夠在被害人不知覺的情況下獲得個人資料。CyberLover還能夠進一步導引被害人到含有木馬程式的Social Network網站中，以便在被害人網站上安裝木馬程式及鍵盤側錄程式。CyberLover最後會將對談的過程匯整成為一份報告，將其中個人資料的部分萃取出來。雖然報導中並沒有提及與CyberLover對談被發現是chatbot的機率有多高，但可以預見的是趨勢是，未來網路詐騙勢與社交工程入侵勢必將結合更多的人工智慧技術在內。
]]> http://pwl.idv.tw/sphpblog/index.php?entry=entry071213-053858 2007-12-13T00:00:00Z 2007-12-13T00:00:00Z