全球網際安全議程(GCA, Global Cybersecurity Agenda)
Wednesday, November 5, 2008, 03:00 - 資訊電腦, 資訊安全
聯合國資訊社會世界高峰會(WSIS)2005年11月在突尼斯所召開的會議曾經做成決議,要求國際電信聯盟(ITU)應主導協調建立機制,以確保資通訊技術應用之信心與安全。國際電信聯盟的秘書長Dr Hamadoun I. Touré針對此要求,便在2007年聯合國資訊社會世界高峰會的社會日(Society Day)中提出了「全球網際安全議程」(GCA, Global Cybersecurity Agenda)。GCA代表了國際電信聯盟亟欲發展完整的國際合作架構之意圖,而為了建立此一架構,國際電信聯盟成立了由不同領域專家所組成之高階專家小組(HLEG, High Level Expert Group)。此高階專家小組於2007年10月5日首次在瑞士日內瓦集會,並根據組成全球網際安全議程的五個棟樑支柱(Five Pillars)或工作領域提出諮詢建議。國際電信聯盟秘書長則將根據高階專家小組提出之建議,規劃出全球策略報告(Global Strategic Report)中有關網際網路安全及對抗犯罪之策略建議。

全球網際安全議程是由五個棟樑支柱所構成(詳見下圖),這五個棟樑支柱包括:
  1. 法律措施(Legal Measures)
  2. 技術及程序措施(Technical and Procedural Measures)
  3. 組織結構(Orgnizational Structures)
  4. 能量建立(Capacity Building)
  5. 國際合作(International Cooperation)



全球網際安全議程五個棟樑支柱構成之平台(資料來源)


而此五個棟樑支柱之建立旨在達成七項策略目標:
  1. 詳細闡述網路犯罪立法模型之發展策略,且此模型可在全球適用,並與各國或區域現存之立法措施互通(Elaboration of strategies for the development of a model cybercrime legislation that is globally applicable and interoperable with existing national and regional legislative measures)
  2. 詳細闡述建立國家層級與區域層級對抗網路犯罪組織架構與政策之全球策略(Elaboration of global strategies for the creation of appropriate national and regional organizational structures and policies on cybercrime)
  3. 發展軟硬體應用系統全球可接受之最低安全準則與認證體系(Development of a strategy for the establishment of globally accepted minimum security criteria and accreditation schemes for hardware and software applications and systems)
  4. 發展建立全球監控、預警及事故反應架構之策略,以確保跨境協調(Development of strategies for the creation of a global framework for watch, warning and incident response to ensure cross-border coordination between new and existing initiatives)
  5. 發展全球策略以建立及支持一般普遍化之數位身分系統,及確保跨地理邊境時為達到身分識別所需之組織架構(Development of global strategies for the creation and endorsement of a generic and universal digital identity system and the necessary organizational structures to ensure the recognition of digital credentials across geographical boundaries)
  6. 發展可促進人力及組織能量建立之全球策略,以強化跨領域及上述提及所有領域之知識及關鍵技術(Development of a global strategy to facilitate human and institutional capacity building to enhance knowledge and know-how across sectors and in all the above-mentioned areas)
  7. 與上述提及所有領域有關之利害關係人,如何進行國際合作、對話及協調之架構建議(Proposals on a framework for a global multi-stakeholder strategy for international cooperation, dialogue and coordination in all the above-mentioned areas)


[ 發表回應 ]   |  permalink
坦佩雷公約(Tampere Convention)
Wednesday, November 5, 2008, 02:56 - 資訊電腦, 資訊安全
長久以來,電信事業經營者因為能夠掌握龐大之社會資源,因此電信事業一直都是一個特許的行業。各國政府為了電信事業的公平競爭‧多訂有完善的法規來規範經營執照的發放。但這樣的情況在發生緊急危難時,卻反而有可能對需要使用大量通訊資源的救援團隊造成許多困擾與障礙。有鑑於通訊資源是大規模災難發生時,跨國人道救援行動中不可或缺的重要物資,聯合國便著手制定公約以解決各國通訊法令對人道救援可能造成之限制。聯合國所制定的公約條文在1988年於芬蘭坦佩雷所舉行的「政府間緊急通訊會議」(Intergovernmental Conference on Emergency Telecommunications, ICET-98)中,由75個與會國家代表合議通過。到2005年的六月,全球終於有30個國家簽署了此公約,讓此公約超越了連署的門檻,於是聯合國便在 2005年6月18日正式宣布,用於規範災難救援通訊資源的「坦佩雷公約」開始生效。截至2007年9月,全球已有71個國家簽署加入了「坦佩雷公約」。

坦佩雷公約共有17個條款,除了描述通訊資源的緊急救援程序外,在條款中也承認簽約國家在其領土內具有指揮、控制及協調救援行動的權利。條款中要求簽署國必須建立救援用之通訊資源(包括人力及物料)清單目錄,並針對使用這些資源的程序建立計畫。而為了避免費用發生的爭議,條款中也明訂運送通訊資源抵達災難區域前,簽約國應指明其所希望收取之費用或能夠償還之金額。而為了避免超額收費,費用必須根據災害的性質、面臨之風險、開發中國家的特殊需求及事先議定好之付費及償還模式。此外此公約也針對參與救災之非政府組織(NGO, Non-governmental Organization)給與一定之特權及稅賦與義務之豁免權。最重要的是簽署此公約的國家,應致力於降低用於災難救援之通訊資源所所可能面臨的各類法規障礙。這些法規障礙可能造成的限制包括通訊設備的進出口、通訊設備及其無線頻譜的使用、操作通訊設備人員之活動及通訊設備資源之跨境運輸等。


[ 發表回應 ]   |  permalink
應用資通訊技術於災害管理
Wednesday, November 5, 2008, 02:53 - 資訊電腦, 資訊安全
國際電信聯盟(International Telecommunication Union)將資通訊技術應用於災害管理分為準備(Preparedness)階段、緊急應變(Emergency Response)階段及回復與重建(Recovery & Rehabilitation)階段。準備階段是在預期緊急狀況可能會發生的假設前提下,所採取的準備行動、安排及程序,以確保在緊急狀況發生時能夠快速有效且適當地挽救無辜的生命及民眾的生計。為了協助世界各國達成災害整備(readiness),國際電信聯盟在資通訊技術應用於災害管理之推廣上,除了在世界各國舉辦教訓訓練及研討會等各項活動外,也編撰有Best Practice on Emergency Telecommunications、Handbook on Emergency Telecommunications - Edition 2005及Handbook on Disaster Communications - Edition 2001等指引可供參考。國際電信聯盟建議進行災害管理準備的國家所應採行之技術框架包括
  • 評估整個國家之需要
  • 透過地理資訊系統之相關技術取得可能發生風險區域的相關資訊及知識
  • 建立資訊通訊基礎建設
  • 發展標準作業程序
  • 將資訊通訊技術整合進入早期預警系統
在緊急應變階段所參與的組織及單位眾多,下圖為國際電信聯盟認為將資通訊技術應用於災害管理時所可能會參與之單位。圖中同時顯示了這些參與的單位在緊急應變階段應協助達成的三項重要工作包括:
  • 評估通信網路之破壞狀況
  • 用於基本通訊及遠距醫療(Telemedicine)通訊設備之部署
  • 提供衛星影像以顯示災害的範圍及等級


資通訊技術應用於災害管理參與之單位 (資料來源)


最後在回復與重建階段,國際電信聯盟認為重建通訊網路的重要工作除了根據地理資訊系統所提供之資訊,消除通訊網路可能存在之弱點外,也需要確保通訊網路之冗餘(redundancy)及回復性(resiliency)。除了上述方法論的建立,國際電信聯盟在實際提供災害救援上,則是成立了由技術 (Technology)、財務(Finance)及後勤(Logistics)等三個集團(cluster)構成之成國際電信聯盟緊急合作體制 (IFCE, ITU Framework for Cooperation in Emergencies)。該體制是由技術、財務及後勤等三個集團組成。此體制之運作目標除了在災害管理的各階段提供資通訊技術及資源外,也負責在災害發生時協調有足夠資源之國家挹注資源及在48小時內抵達災害現場。不過要達成上述目標,不僅僅是技術及資源協調之問題必須解決,各國在通訊法規上之限制也必須配合。


[ 發表回應 ]   |  permalink
孫子兵法與資訊安全
Monday, June 23, 2008, 22:47 - 資訊電腦, 資訊安全
孫子兵法說:「用兵之法:十則圍之,五則攻之,倍則分之,敵則能戰之,少則能守之,不若則能避之。故小敵之堅,大敵之擒也。」意思是說,用兵的方法是當我們兵力十倍於敵人時就包圍敵人,五倍於敵人就進攻之,一倍於敵人就分散敵人的兵力,兵力略少需能逃離,遠少於敵就避免開戰。弱小一方的固執,必成強敵之虜。

過去幾年內,我們在面對網路經濟罪犯及駭客對全球資安與金融的威脅所採取的對抗作法,似乎也慢慢成為孫子兵法所言「大敵之擒也」的狀況。以早期駭客常採取的網路釣魚(phishing)來說,駭客先透過網路或非法購買電子郵件帳號,再利用垃圾郵件的管道發送仿效知名網站的電子郵件,引誘無知的使用者進入偽裝的知名網站,藉此騙取使用者帳號、密碼或姓名、地址、電話及信用卡資料,然後再利用這些資料獲取不當利益。而針對這類釣魚網站攻擊的防護,一般常採取的多是堅固防守的策略:廣泛收集釣魚網站的黑名單,再透過瀏覽器的過濾避免使用者受騙上當。不過根據反網釣工作小組 (Anti-Phishing Working Group)的統計,釣魚網站增加的速度驚人。2004年1月該小組僅辨識出了174個釣魚網站,同年12月便暴增超過1,000個。到了去年(2007 年),全球已有約51,989個網域名稱被用在網路釣魚的攻擊。這讓收集釣魚網站的速度似乎已經跟不上釣魚網站增加的速度了。更何況近期駭客也已經開始採用網頁掛馬的方式,大量將木馬程式注入合法的網站中,讓黑名單的作法無用武之地。

在這種敵眾我寡的情況下,孫子兵法有什麼可以值得借鏡的嗎?有的,孫子兵法說,利用間諜通常可以收到奇襲的效果。孫子說:「故用間有五:有鄉間,有內間,有反間,有死間,有生間。…死間者,為誑事於外,令吾間知之,而得於敵者也。生間者,返報者也。」這裡所謂的「死間」是指在外面散佈假情報,讓我方間諜得知,再讓我方間諜被敵人抓去,從而讓敵人上當受騙。而所謂的「生間」是指,可以活著回來報告敵情的人。金融業在面對釣魚網站的問題上,有個作法倒蠻像「生間」的作法頗值得參考。這個idea其實相當簡單:銀行可以建立一些虛擬的網路銀行帳號,這些帳號都可以正常的登入網路銀行,但所有的行為都特別被監控。銀行可以到歹徒所建的釣魚網站上,把這些虛擬帳號登錄進去,然後追蹤調查歹徒在網路上的一舉一動。由於監控的對象明確,因此要抓到歹徒的機率就因此而大增了。這種誘騙歹徒的做法,通常都會冠以HoneyXXX之名,例如網路防護的HoneyPot與HoneyNet機制,前些時候警察也把裝了GPS 追蹤裝置的誘捕汽車(HoneyCar)放在大馬路上故意讓偷車賊偷,再來個甕中捉鱉。這個用虛擬銀行帳號來逮捕網路金融犯罪的做法也許可以叫 HoneyToken吧。

[ 3 回應 ] ( 41預覽 )   |  permalink
當社交工程結合了人工智慧
Thursday, December 13, 2007, 13:38 - 資訊安全
創造出具有人工智慧,能夠與人自由對談的程式或機器人,一直是科學界與工程界努力的目標。有上過計算機概論或人工智慧課程的人應該都聽過Turing Test,這是Alan Turing早在1950年的論文"Computing machinery and intelligence"所提出的概念。Alan Turing認為要判斷一部機器是否具有智慧,應該要有一個放諸四海皆準的測試方法。他所提出的方法是由一個擔任裁判的人類,分別與要測試的機器及另一個人類對談。如果擔任裁判的人類,無法很有把握的分別出他所交談的對象那個是機器,那個是人類,那麼這部機器就算是通過了Turing Test。為了將這個測試限縮在機器的語言智慧能力,而不是在其他功能(例如text-to-speech),擔任裁判的人類只能利用純文字對談管道與接受測試的對象溝通(例如文字終端機介面)。

Turing test是不是真能判斷程式具有「智慧」仍有爭議,不過對壞人來說這種學理的探討完全是多餘的。蘇聯的駭客已經開始利用可以和人進行自由對話的chatbot程式來竊取個人隱私身分資料。這樣的方式威力何在?我們先回過頭來看看目前電腦上個人資料遭竊取的主要過程:對一個有心要透過網路竊取個資的駭客來說,目前主要都是利用惡意網站或電子郵件當作媒介,將木馬程式及鍵盤側錄程式安裝在被害人的電腦上。當被害人在網路銀行或電子商務網站進行交易時,這些惡意側錄程式便會竊取網路銀行的帳號密碼或信用卡卡號。只是目前越來越多使用者已經被教育不要隨便點選電子郵件或即時通訊軟體中的可疑連結,因此駭客要安裝木馬程式的困難度是提高了不少。

此外,對貪心的經濟罪犯來說,光只有網路帳號密碼或信用卡卡號也許還不夠,如果能夠把其他的個人資料(例如身分字號、電話、生日及住址等)與信用卡卡號再整合起來,那所能夠創造的"經濟效益"將會更大。不過要將個人資料與信用卡卡號資訊整合起來,通常還需要在被害人的電腦上面做進一步的資料分析,這還是會耗費相當多的人力成本。

針對上面提到的兩個問題,蘇聯的駭客開發了一套叫做CyberLover的chatbot來提高安裝木馬程式的機率,與降低竊取個人資料的成本。這個CyberLover能夠進入聊天室內,在30分鐘內與10個人建立對談關係。由於CyberLover能與被害人建立一個完整的對話情境,而進入聊天室的人大多也習慣會透露出個人的背景資料,以便能夠與交談的對象建立後續的關係,因此CyberLover就能夠在被害人不知覺的情況下獲得個人資料。CyberLover還能夠進一步導引被害人到含有木馬程式的Social Network網站中,以便在被害人網站上安裝木馬程式及鍵盤側錄程式。CyberLover最後會將對談的過程匯整成為一份報告,將其中個人資料的部分萃取出來。雖然報導中並沒有提及與CyberLover對談被發現是chatbot的機率有多高,但可以預見的是趨勢是,未來網路詐騙勢與社交工程入侵勢必將結合更多的人工智慧技術在內。


[ 1 回應 ] ( 6預覽 )   |  permalink

下一頁