PTT推薦

Re: [新聞] 唐鳳提新招 破解中國網攻

看板Gossiping標題Re: [新聞] 唐鳳提新招 破解中國網攻作者
TonyQ
(得理饒人)
時間推噓推:122 噓:3 →:65

※ 引述《fur (英國研究真有趣)》之銘言:
: 出處:黨中央自由時報
: 標題:唐鳳提新招 破解中國網攻
: 記者:李欣芳、徐子苓
: 內文:
: 以Web3為主的分散式架構 排除阻斷性攻擊
: 記者李欣芳、徐子苓/專訪
: 近來政府機關與關鍵基礎設施網站再遭境外勢力發動阻斷式攻擊,行政院數位政委唐鳳接受
: 本報專訪時祭出新招破解!唐鳳透露,最新採用一個以Web3為主的分散式架構,透過數位發
: 展部試行上線的官網啟用新架構,完全排除阻斷性攻擊,數位部網站「一秒鐘都沒卡住過!
: 」若這項新技術撐得住所有攻擊,就可推廣到各部會。
: 行政院二○一九年訂定「各機關對危害國家資通安全產品限制使用原則」,要求公務機關不
: 要使用中國資通產品,因應這次網攻出現資安漏洞,即將轉任數位部首屆部長的唐鳳說,現
: 在的攻擊是之前制定這個規則時沒想到的,我們就來改規則因應。
: 傳統流量清洗 就像打消耗戰
: 問:美國眾議院議長裴洛西這次訪台,我政府機關網站遭到資安攻擊,外界憂慮政府是否有
: 足夠的防護能量,或有新的因應作為?
: 答:這幾天政府網站有點像電話佔線,非常多人從國外跨境打電話到專線,就無法撥進去,
: 這技術上叫大量阻斷服務攻擊(DDoS)。電話線並沒有壞掉,政府資料也沒外洩。如果大家不
: 當一回事,就沒達到擾亂民心作用,如果當成是一件很荒謬讓大家睡不好的事,則攻擊就會
: 產生心理戰作用,大概就會常態化。
: 我們的因應措施,技術上叫流量清洗,就好像電話打不進去,多設專線就可撥通,這種流量
: 清洗的對應不斷在做,當然也要投入相應資源。從某個角度來看這有點像消耗戰,對抗境外
: 投入資源,我們投入相應資源去擋。
: 數位發展部網站 一秒都沒卡過
: 在他們(共軍)演習開始當天中午,數位發展部的網站(moda.gov.tw)上線,目前為止一
: 秒鐘都沒卡住過。這個新網站是Web3的架構,其後端採用星際檔案系統,跟全球區塊鏈社群
: 或者Web2全球骨幹綁在一起,是個分散式網絡、不對稱防禦的架構,例如打電話過去,不需
: 有接線生,接的都是機器人或是語音答錄機,當他花了多少資源攻擊時,你不太需要花資源
: 防禦,這與傳統的流量清洗,跟對方互相消耗不一樣。
: 若都撐住攻擊 就可推廣部會
: 問:這個新的分散式網絡架構,會鼓勵政府機關加入嗎?
: 答:現在讓各部會了解有這一新架構存在,這也是俄羅斯侵略烏克蘭之後,與很多國際朋友
: 討論出來比較現代的架構,我們先鼓勵大家「打打看」,看看這架構是否真的撐得住,如果
: 都沒問題再來推廣。
: 問:有資安專家認為政府預知會面臨大規模資安攻擊,為何還讓中國網軍達成目標?究竟要
: 如何避免阻斷式攻擊?
: 答:要徹底避免被阻斷式攻擊,就要切換到比較新的骨幹,或者分散式架構,不然就是要砸
: 錢,投入相應資源。這個新的分散式架構骨幹,不需額外花錢,其設計就是要避免遭阻斷式
: 攻擊。
: 很多資安漏洞 來自人為失誤
: 問:蔡政府任內曾發生外交部領務電子信箱遭駭,導致國人出國的個資外洩、金融機構遭駭
: 被盜走鉅款等嚴重資安事件,問題究竟出在哪裡?
: 答:很多資安漏洞都來自人為操作失誤,例如很多人會將公共場所使用的密碼與公務密碼設
: 定為相同,一旦前者密碼被破解,就可破解公務電郵信箱。甚至有些密碼的設定讓人很好猜
: ,被破解也就不需花什麼時間。
: 最主要還是要培養良好資安習慣,未來數位發展部簽公文可能不會打入長串密碼,例如用自
: 己的手機經指紋解鎖,透過行動自然人憑證技術,完全不用輸入密碼就可完成公文簽核,密
: 碼就不會外洩,以後我們也會這樣切換,來解決這方面的問題,而不是硬要設定很長的密碼
: 。
: 看板遇駭事件 主要是心理戰
: 問:中國資安攻擊問題嚴重,如何看待網軍頻繁發動對政府機關與關鍵基礎設施的攻擊?: 答:最近大家有看到看板(台鐵、統一超商廣告螢幕被駭)事件,這主要是心理戰。要讓大
: 家感覺恐慌,重點是我們有沒有自己嚇自己,若沒有,則攻擊造成的危害有限。
: 當時政府制定各機關對危害國家資通安全產品的限制使用原則,確實有些例外,沒有介接到
: 公務網路,又不是像無人機會移動而在固定場域的產品,當時認為對資安侵害有限,因此可
: 用到自然使用年限再淘汰。
: 修改使用原則 政府資安補漏
: 如今情況有所不同,雖然不是透過網路傳播電腦病毒,但卻要引起恐慌,傳播心靈病毒,在
: 這種情況下,我也同意應該修改限制使用原則,例如除了介接到公務網路的問題之外,會讓
: 很多不特定的人看到,也算是一種風險,這種情況下也不可使用這些危害資通的產品,現在
: 發現受到的攻擊是之前制定規則時沒有想到的,我們就來改規則,因應這個攻擊。
: 我們的關鍵基礎設施,本來就有充足防護能量,守得很好,「如果那麼容易被打下來,早就
: 打下來了」,但這次是新的狀態,是心理戰,包括對政府機關與關鍵基礎設施的攻擊,是要
: 讓大家陷入恐慌。只要對外講清楚,就不會恐慌。如果你很淡定,他們就失敗了!
: 網址:https://tinyurl.com/2p97aa32
: 備註:1. 早說,你怎麼不早說?
: 2. 只要你不淡定,淡定的就是別人。


來評論一下這件事情:


1. 基本上其他的提問跟回答我覺得都中規中矩,
除了看板那題的傷害有限,
我還是沒看到更具體的報告可以說明傷害有限。

2. ipfs 算是一種解法,但是只限於很少的使用場景,
理由是目前 ipfs 只支援純靜態的網站(有 js 效果但無外連也算靜態)。

所以拿 ipfs 說不卡,這個當玩笑可以,
但實際上來說,政府要應付的問題遠比這複雜多了 。

我看起來比較算是個開玩笑。


另外 ipfs 因為速度不夠快跟穩定,
所以 cdn 會提供快取伺服器來服務,
這裡應該也隱含了會使用 cdn 的服務來使用的基礎。

(cdn 也會提供流量清洗的服務)


這裡的問題是,多數平台還是以 https 為主,
要切換到 ipns 基本上需要很長的教育時間,
且是不是有足夠的量能可以支撐國民使用也是問題。

所以,用 ipfs 解題,
我個人認為起碼在兩年內都是幹話。XD


然後提到 web3 大家可能會想到的是區塊鏈,

但 ipfs 其實沒有 block 哦,
他技術上比較接近 bt 或驢子的協議,是 p2p 的檔案協議,
所以一樣要有人當種子,要等供檔。XDDD


3. 安全習慣的不良很多來至於莫名其妙的規定,
比方說逼公務員取他們記不起來的規則的密碼,
但是又不鼓勵或提供密碼管理器之類的服務。


然後莫名其妙三個月還要更換一次,
換到大家都不知道自己在記什麼了。
各種矯枉過正違反人性的資安策略,本身就是傷害資安的做法。

安全是相對的,不是絕對的。



另外很多公務機關的服務都是以機關為帳號權限管理,
而不是以人為目標的權限管理,
導致很多單位一個單位只有一個帳號,大家得分批共用。

一旦帳號共用就很難談資安跟管理了。


4. 政府的公務員權限管理我還是呼籲應該回到「我的 e 政府」,

推動國家級的公務員 sso ,做好該做的 sdk ,
讓所有公務機關的權限管理可以慢慢標準化一致化。

一方面降低廠商介接成本,
另一方面讓公務員使用的服務單純化一致化。

這樣不管未來政府想改用什麼認證方式,
我們不用所有系統都翻一次。

行動自然人憑證只是最末端的問題,
我們的核心問題在結構。



筆者有 15年軟體工程師經驗,
曾開發基於 evm dapp 跟合約的應用系統。

有興趣的可以推文繼續討論。


時代力量三重蘆洲區議員參選人
王景弘 TonyQ



-----
Sent from JPTT on my Samsung SM-G9980.

--

網頁上拉近距離的幫手 實現 GMail豐富應用的功臣

數也數不清的友善使用者體驗 這就是javascript

歡迎同好到 AJAX 板一同討論。

--

※ PTT留言評論
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 42.70.188.253 (臺灣)
PTT 網址

iam0718 08/08 09:04置底有個說三重育幼院被騙一百多個到國外

iam0718 08/08 09:05要步要關心一下

我來看看

[email protected]

@

lin190ya 08/08 09:06

kamichu 08/08 09:08政府做一個生物辨識認證服務就好啦 看是

apple123773 08/08 09:08不知道耶100多個?育幼院的這麼有錢?

kamichu 08/08 09:08靜脈掃描還是視網膜

apple123773 08/08 09:08還是借錢出國的阿 好奇

coffee112 08/08 09:08

※ 編輯: TonyQ (42.70.188.253 臺灣), 08/08/2022 09:08:41

sheagia 08/08 09:09看你也是一表人才怎會跑去時力

說真的作為一個 323 的抗爭者, 我覺得這還是比較適合我的地方。XD 而且時力也蠻自由的啊,起碼我不用擔心我談議題會打到誰。

Deathscythe 08/08 09:11推 IPFS 說明,昨天看就覺得怪

※ 編輯: TonyQ (42.70.188.253 臺灣), 08/08/2022 09:12:16

weltschmerz 08/08 09:12一表人才跑去時力wwww

tomjanyan 08/08 09:12廢物外包仔,還真當他是神啊

※ 編輯: TonyQ (42.70.188.253 臺灣), 08/08/2022 09:16:01

kinki999 08/08 09:17一表人才難道要跑去其他三黨當狗嗎

okichan 08/08 09:20感謝你的意見 可惜你是時代力量

end81235 08/08 09:21可是e政府他們好像不想幹了耶

咦,真的嗎? XD 我也不過一年沒更新這邊的資訊,我去問問。

steven085722 08/08 09:22加油加油

askey 08/08 09:27時力很好~但要堅持下去

horseface 08/08 09:29好吧給推

kamelot 08/08 09:29專業推

yamato75310 08/08 09:31時力推一個吧

g5637128 08/08 09:34

※ 編輯: TonyQ (42.70.188.253 臺灣), 08/08/2022 09:35:17

Sacral 08/08 09:36

ruokcnn 08/08 09:37

marke18 08/08 09:38推見解分享

tomroy 08/08 09:39三重人推

sheagia 08/08 09:41某樓別笑死人了 你以為時力不用當狗?

我沒當過狗就是了。

donation12 08/08 09:43核心問題在結構

bronx0807 08/08 09:43推時力

coffee112 08/08 09:43推推

swgun 08/08 09:43第三點真的是非常正確 唐鳳進政府機關連這

swgun 08/08 09:43都沒有改的話我真的覺得不會有什麼作為 資

swgun 08/08 09:43安策略完全反人類才是無法遵守的問題

ggttoo 08/08 09:43笑死蟑螂管人家去哪個黨

coffee112 08/08 09:44人家大概要回去當網軍大神了 誰還理你

swgun 08/08 09:45連密碼規則的制訂者都說了 那套大小寫各一

swgun 08/08 09:45英數混合是他應付美國政府的 密碼長度越長

swgun 08/08 09:45就越安全記得住才有辦法不寫在紙上

after1 08/08 09:48完全同意第3點

loveadu 08/08 09:49

vicious666 08/08 09:50談議題不用擔心打到誰是現在才有的吧

vicious666 08/08 09:50?某一票人退黨前應該有某個政黨是必

vicious666 08/08 09:50須擔心去打到的。

我剛好也是今年入黨,真巧。

tnnstriker 08/08 09:52

shane8282 08/08 09:54

clarafly 08/08 09:57推,原來是類似P2P的原理

yzpdal 08/08 09:57專業分析推

dobe 08/08 09:58

rurara 08/08 09:58

totoro35 08/08 10:00國家需要更多專業的人才,加油!

palapalanhu 08/08 10:01

gulu2000 08/08 10:02認真給推

pjason 08/08 10:04

jeylove 08/08 10:05隔壁版有個塔綠班竹科工程師說高中就開始

jeylove 08/08 10:05仰慕他,把他當神

s900527 08/08 10:05綠共會說他不需要人才越有才能越要打壓

eric466 08/08 10:06推!!

monkeyday 08/08 10:08推 3 4都是可行可推的 也馬上有成效

monkeyday 08/08 10:10沒推太可惜 ipfs目前只是show

littleme1125 08/08 10:12一表人才只要不跑去垃圾藍綠 都支持

lightbox 08/08 10:17推 就事論事討論

appleball200 08/08 10:17時力推

tanby 08/08 10:17給推

foxey 08/08 10:22密碼我還真的有幾十套都不一樣

xessor 08/08 10:22加油,希望有天你位在高位的時候,還能記

我是為了改變這些事情來的。

※ 編輯: TonyQ (42.70.188.253 臺灣), 08/08/2022 10:22:49

foxey 08/08 10:23亂數的英數大小寫加符號 根本不可能全背牢

iamtien 08/08 10:23時代力量只服黃國昌老師

※ 編輯: TonyQ (42.70.188.253 臺灣), 08/08/2022 10:24:42 ※ 編輯: TonyQ (42.70.188.253 臺灣), 08/08/2022 10:27:45

cc1plus 08/08 10:28實際上就是網路安全和網站安全還有認證

cc1plus 08/08 10:29全部混成一起, 靜態網頁根本就可以用

cc1plus 08/08 10:30mount -o ro, 但是網頁安全還是繞不過去

cc1plus 08/08 10:30使用者認證過了以後, 維修工程師也是洞

pili20934 08/08 10:31加油

leechiungyi 08/08 10:33Dpp Kmt 兩個垃圾 都下去吧

ffxx 08/08 10:39加油 推你一個

neo5277 08/08 10:42四其實國科會就可以做了

neo5277 08/08 10:42台北通也算是一種SSO只是被人臭啊

neo5277 08/08 10:43主要還是很多案子要包給誰的問題

台北通核心精神 sso 我覺得不是錯的。 就跟新北也有推「我的新北市」app 一樣,都是市民 sso 。 問題是太急著推到 opt-out, 導致既有的服務被強迫要接上。 這種核心服務通常都要六七年來慢慢過度整合, 而且一定要給人民有不用的路。

potatobb 08/08 10:46耶 真想投你

我這區很難選欸,有機會幫忙拉個三重的朋友吧,嗚嗚

qaz1051201aa 08/08 10:47哇靠 有料

alan5 08/08 10:48某些人大概不清楚不外包要花多少錢養人

tonystart4 08/08 10:48有在公家單位服務過的都知道,整天資

tonystart4 08/08 10:48安資安,結果都做半套,不然就是像你

tonystart4 08/08 10:48說的矯枉過正,搞得廠商跟user都在唉

tonystart4 08/08 10:48唉叫,更慘的是連單位資訊承辦都沒有

所以我們要從政治跟民意來一起改變這些事情, 這也是我長期以來的努力方向。

potatobb 08/08 10:48上面噓時力的蠻好笑的 難到藍綠有比較高

potatobb 08/08 10:48尚?

tonystart4 08/08 10:48一點點基本的資訊素養,看到資安就高

tonystart4 08/08 10:48潮整天腦部一堆東西,自己平常連user

tonystart4 08/08 10:48維運都管不住了還在想資安,真他媽雞

tonystart4 08/08 10:49掰廢物公務員。

alan5 08/08 10:49外包廠商出包還有人可以叫來臭幹

simplelife97 08/08 10:50

r5e97nk63 08/08 10:50我倒覺得IPFS蠻適合讓政府導入,畢竟

r5e97nk63 08/08 10:50有些政府頁面是不希望被竄改及誤導國

r5e97nk63 08/08 10:50民,而且也因為是政府,自己架server

r5e97nk63 08/08 10:50記address 即可,整套內容可以不假他

r5e97nk63 08/08 10:50人之手

看場景,官網會是不錯的場景。

※ 編輯: TonyQ (42.70.188.253 臺灣), 08/08/2022 10:52:23

notsmall 08/08 10:52

※ 編輯: TonyQ (42.70.188.253 臺灣), 08/08/2022 10:53:03 ※ 編輯: TonyQ (42.70.188.253 臺灣), 08/08/2022 10:53:37

dragonne 08/08 10:53看有料沒料好過聽人吹噓天才吧

※ 編輯: TonyQ (42.70.188.253 臺灣), 08/08/2022 10:54:00

qscNERO 08/08 10:56希望未來你是都可以就事論事,不要跟某苦

qscNERO 08/08 10:56無一樣。

凡事可能不一定盡如人意,但是會努力推進社會共識。

meRscliche 08/08 10:57push

meRscliche 08/08 10:57高調起來

notneme159 08/08 11:01幫高調

tzongyao 08/08 11:02給讚

dlouder2655 08/08 11:03推文又有4%白粉來敗票

dlouder2655 08/08 11:04林北永遠不會忘記兩年前你們用蔡壁

dlouder2655 08/08 11:04爐這種咖小擠掉黃國昌

web6037 08/08 11:0599樓說得好

※ 編輯: TonyQ (42.70.188.253 臺灣), 08/08/2022 11:05:46

gnitiy 08/08 11:10

r5e97nk63 08/08 11:12不過懂這些技術的人願意投入公部門運

r5e97nk63 08/08 11:12作,都一定要給個推,畢竟這些新技術

r5e97nk63 08/08 11:12都各有各的前(錢)景,公部門不夠有錢

r5e97nk63 08/08 11:12,又要搞這些不簡單的東西,投入的人

r5e97nk63 08/08 11:12真的都是在做功德= =

nalthax 08/08 11:12

kurtw 08/08 11:14推,雖然沒看很懂

lightson 08/08 11:14

zsquarez 08/08 11:20加油吧..希望人才有舞台能發揮

dx987321 08/08 11:23

k078787878 08/08 11:24推一個專業

haver 08/08 11:27這才是真的有在聽基層公務的作法 推

Xecver 08/08 11:33不加入時力 不然是要去那兩個爛黨嗎?

diodio2222 08/08 11:33你那一區 跟新莊區一樣啊 都被綁死

diodio2222 08/08 11:33在地跟雲不是隨便說說的

努力囉。

diodio2222 08/08 11:34不過你提的真的是我覺得必要的 因為

kasim65 08/08 11:34時力當狗的都退掉了吧 現在反而乾淨很多

只是理念不同啦,我相信大家都有自己目標

diodio2222 08/08 11:34政府管理的那一套 她把他拿過來金融

diodio2222 08/08 11:34稽核真的會想死

kasim65 08/08 11:35而且時力在怎樣也比藍綠好吧

kasim65 08/08 11:36看看我這選區年底只有藍綠 超悲哀....

rengoku 08/08 11:37希望這樣的民代會越來越多

remaerd 08/08 11:40專業推

lonelygroup 08/08 11:49當狗的都退黨了呀 上面想挑撥喔?

ioozar 08/08 11:54密碼三個月換一次真的低能 到底誰想的

KhePri 08/08 11:55幹 好強

wei115 08/08 12:00ipfs真的是講幹話 明明有成熟方案可以緩解

c2288999 08/08 12:01

wei115 08/08 12:01偏偏要拿出一個連會不會成為主流的方案來

wei115 08/08 12:01玩 ddos最簡單就加錢堆設備阿

現在 CDN 的流量清洗服務也是蠻成熟的了。

ssccg 08/08 12:02密碼規則是某些只從理論觀點出發的數學家在

ssccg 08/08 12:02沒實證經驗下提的方法,不幸的被一大堆機關

ssccg 08/08 12:02採用成SOP

ssccg 08/08 12:03新的資安標準已經改成建議沒有被破解就永遠

ssccg 08/08 12:04不需要換密碼,密碼單純長一點也比加一堆有

ssccg 08/08 12:05的沒的符號好,最好是允許空白直接用個句子

cmcmcmcm2 08/08 12:05時力就內奸都完成階段任務退黨了沒錯

※ 編輯: TonyQ (42.70.188.253 臺灣), 08/08/2022 12:10:21 ※ 編輯: TonyQ (42.70.188.253 臺灣), 08/08/2022 12:10:37 ※ 編輯: TonyQ (42.70.188.253 臺灣), 08/08/2022 12:11:18

howard302 08/08 12:13一表人才加入時力,一嘴狗毛笑時力

howard302 08/08 12:13藍綠白皆然

Belial1991 08/08 12:13加油

aliangh 08/08 12:15支持藍綠以外的第3勢力推

chosentwo 08/08 12:20推你

VischDonahue 08/08 12:23

FannWang 08/08 12:25

Kylol 08/08 12:30

yybear 08/08 12:30

KYH520 08/08 12:31

CRYM 08/08 12:39推!

cytochrome 08/08 12:41推廣公務員把密碼寫在桌面的便條紙上

cytochrome 08/08 12:41

SourireMask 08/08 12:42推專業 推時力

f26724309 08/08 12:53

mutiger 08/08 13:02

alubaGG 08/08 13:09推一個

john0312 08/08 13:12專業推

clone29 08/08 13:20竟然提到e政府,講到帳號重點

Mesa5566 08/08 13:32原來有鄉民要選喔 可惜沒住三盧

xhung 08/08 14:02推TonyQ

iversona 08/08 14:21非三重人,幫推

aigret 08/08 14:29時力也是走狗 碰到綠就縮了

planetstar 08/08 14:32

chichi84 08/08 14:33

johnlin35 08/08 14:58

UnifiedField 08/08 15:19清楚,推

Llingjing 08/08 15:43推解說

Lydia66 08/08 15:50想說看到好文,原來是TonyQ啊

MGEDTA 08/08 16:27推 祝你選上

SaChiAgrass 08/08 16:36

lmf770410 08/08 17:42感謝說明

Lachdanan 08/08 18:07講蔡壁如擠掉黃國昌盛會不會太好笑

Lachdanan 08/08 18:07當初如果蔡沒上

Lachdanan 08/08 18:07上的是民進黨的不分區好嗎

k5a 08/08 18:10

tnav 08/08 18:11推違反人性又矯枉過正的資安策略… 白癡

kantantantan 08/08 18:13

blueballer 08/08 19:44

Rudoly 08/08 22:04

adminc 08/09 00:42塔綠班 造垃圾神,你還認真回文?

pulululu 08/09 10:10幫推

chulen 08/09 12:30推Y

zero1000 08/31 08:16推個