Re: [新聞] 唐鳳提新招破解中國網攻

TonyQ 發表於 2022/8/8 上午9:03:56

看板Gossiping標題Re: [新聞] 唐鳳提新招破解中國網攻作者

(得理饒人)時間Aug 8 09:03:56 2022推噓爆推:122 噓:3 →:65

※ 引述《fur (英國研究真有趣)》之銘言：
: 出處：黨中央自由時報
: 標題：唐鳳提新招破解中國網攻
: 記者：李欣芳、徐子苓
: 內文：
: 以Web3為主的分散式架構排除阻斷性攻擊
: 記者李欣芳、徐子苓／專訪
: 近來政府機關與關鍵基礎設施網站再遭境外勢力發動阻斷式攻擊，行政院數位政委唐鳳接受
: 本報專訪時祭出新招破解！唐鳳透露，最新採用一個以Web3為主的分散式架構，透過數位發
: 展部試行上線的官網啟用新架構，完全排除阻斷性攻擊，數位部網站「一秒鐘都沒卡住過！
: 」若這項新技術撐得住所有攻擊，就可推廣到各部會。
: 行政院二○一九年訂定「各機關對危害國家資通安全產品限制使用原則」，要求公務機關不
: 要使用中國資通產品，因應這次網攻出現資安漏洞，即將轉任數位部首屆部長的唐鳳說，現
: 在的攻擊是之前制定這個規則時沒想到的，我們就來改規則因應。
: 傳統流量清洗就像打消耗戰
: 問：美國眾議院議長裴洛西這次訪台，我政府機關網站遭到資安攻擊，外界憂慮政府是否有
: 足夠的防護能量，或有新的因應作為？
: 答：這幾天政府網站有點像電話佔線，非常多人從國外跨境打電話到專線，就無法撥進去，
: 這技術上叫大量阻斷服務攻擊(DDoS)。電話線並沒有壞掉，政府資料也沒外洩。如果大家不
: 當一回事，就沒達到擾亂民心作用，如果當成是一件很荒謬讓大家睡不好的事，則攻擊就會
: 產生心理戰作用，大概就會常態化。
: 我們的因應措施，技術上叫流量清洗，就好像電話打不進去，多設專線就可撥通，這種流量
: 清洗的對應不斷在做，當然也要投入相應資源。從某個角度來看這有點像消耗戰，對抗境外
: 投入資源，我們投入相應資源去擋。
: 數位發展部網站一秒都沒卡過
: 在他們（共軍）演習開始當天中午，數位發展部的網站（moda.gov.tw）上線，目前為止一
: 秒鐘都沒卡住過。這個新網站是Web3的架構，其後端採用星際檔案系統，跟全球區塊鏈社群
: 或者Web2全球骨幹綁在一起，是個分散式網絡、不對稱防禦的架構，例如打電話過去，不需
: 有接線生，接的都是機器人或是語音答錄機，當他花了多少資源攻擊時，你不太需要花資源
: 防禦，這與傳統的流量清洗，跟對方互相消耗不一樣。
: 若都撐住攻擊就可推廣部會
: 問：這個新的分散式網絡架構，會鼓勵政府機關加入嗎？
: 答：現在讓各部會了解有這一新架構存在，這也是俄羅斯侵略烏克蘭之後，與很多國際朋友
: 討論出來比較現代的架構，我們先鼓勵大家「打打看」，看看這架構是否真的撐得住，如果
: 都沒問題再來推廣。
: 問：有資安專家認為政府預知會面臨大規模資安攻擊，為何還讓中國網軍達成目標？究竟要
: 如何避免阻斷式攻擊？
: 答：要徹底避免被阻斷式攻擊，就要切換到比較新的骨幹，或者分散式架構，不然就是要砸
: 錢，投入相應資源。這個新的分散式架構骨幹，不需額外花錢，其設計就是要避免遭阻斷式
: 攻擊。
: 很多資安漏洞來自人為失誤
: 問：蔡政府任內曾發生外交部領務電子信箱遭駭，導致國人出國的個資外洩、金融機構遭駭
: 被盜走鉅款等嚴重資安事件，問題究竟出在哪裡？
: 答：很多資安漏洞都來自人為操作失誤，例如很多人會將公共場所使用的密碼與公務密碼設
: 定為相同，一旦前者密碼被破解，就可破解公務電郵信箱。甚至有些密碼的設定讓人很好猜
: ，被破解也就不需花什麼時間。
: 最主要還是要培養良好資安習慣，未來數位發展部簽公文可能不會打入長串密碼，例如用自
: 己的手機經指紋解鎖，透過行動自然人憑證技術，完全不用輸入密碼就可完成公文簽核，密
: 碼就不會外洩，以後我們也會這樣切換，來解決這方面的問題，而不是硬要設定很長的密碼
: 。
: 看板遇駭事件主要是心理戰
: 問：中國資安攻擊問題嚴重，如何看待網軍頻繁發動對政府機關與關鍵基礎設施的攻擊？: 答：最近大家有看到看板（台鐵、統一超商廣告螢幕被駭）事件，這主要是心理戰。要讓大
: 家感覺恐慌，重點是我們有沒有自己嚇自己，若沒有，則攻擊造成的危害有限。
: 當時政府制定各機關對危害國家資通安全產品的限制使用原則，確實有些例外，沒有介接到
: 公務網路，又不是像無人機會移動而在固定場域的產品，當時認為對資安侵害有限，因此可
: 用到自然使用年限再淘汰。
: 修改使用原則政府資安補漏
: 如今情況有所不同，雖然不是透過網路傳播電腦病毒，但卻要引起恐慌，傳播心靈病毒，在
: 這種情況下，我也同意應該修改限制使用原則，例如除了介接到公務網路的問題之外，會讓
: 很多不特定的人看到，也算是一種風險，這種情況下也不可使用這些危害資通的產品，現在
: 發現受到的攻擊是之前制定規則時沒有想到的，我們就來改規則，因應這個攻擊。
: 我們的關鍵基礎設施，本來就有充足防護能量，守得很好，「如果那麼容易被打下來，早就
: 打下來了」，但這次是新的狀態，是心理戰，包括對政府機關與關鍵基礎設施的攻擊，是要
: 讓大家陷入恐慌。只要對外講清楚，就不會恐慌。如果你很淡定，他們就失敗了！
: 網址：https://tinyurl.com/2p97aa32
: 備註：1. 早說，你怎麼不早說？
: 2. 只要你不淡定，淡定的就是別人。

來評論一下這件事情：

1. 基本上其他的提問跟回答我覺得都中規中矩，
除了看板那題的傷害有限，
我還是沒看到更具體的報告可以說明傷害有限。

2. ipfs 算是一種解法，但是只限於很少的使用場景，
理由是目前 ipfs 只支援純靜態的網站(有 js 效果但無外連也算靜態)。

所以拿 ipfs 說不卡，這個當玩笑可以，
但實際上來說，政府要應付的問題遠比這複雜多了。

我看起來比較算是個開玩笑。

另外 ipfs 因為速度不夠快跟穩定，
所以 cdn 會提供快取伺服器來服務，
這裡應該也隱含了會使用 cdn 的服務來使用的基礎。

(cdn 也會提供流量清洗的服務)

這裡的問題是，多數平台還是以 https 為主，
要切換到 ipns 基本上需要很長的教育時間，
且是不是有足夠的量能可以支撐國民使用也是問題。

所以，用 ipfs 解題，
我個人認為起碼在兩年內都是幹話。XD

然後提到 web3 大家可能會想到的是區塊鏈，

但 ipfs 其實沒有 block 哦，
他技術上比較接近 bt 或驢子的協議，是 p2p 的檔案協議，
所以一樣要有人當種子，要等供檔。XDDD

3. 安全習慣的不良很多來至於莫名其妙的規定，
比方說逼公務員取他們記不起來的規則的密碼，
但是又不鼓勵或提供密碼管理器之類的服務。

然後莫名其妙三個月還要更換一次，
換到大家都不知道自己在記什麼了。
各種矯枉過正違反人性的資安策略，本身就是傷害資安的做法。

安全是相對的，不是絕對的。

另外很多公務機關的服務都是以機關為帳號權限管理，
而不是以人為目標的權限管理，
導致很多單位一個單位只有一個帳號，大家得分批共用。

一旦帳號共用就很難談資安跟管理了。

4. 政府的公務員權限管理我還是呼籲應該回到「我的 e 政府」，

推動國家級的公務員 sso ，做好該做的 sdk ，
讓所有公務機關的權限管理可以慢慢標準化一致化。

一方面降低廠商介接成本，
另一方面讓公務員使用的服務單純化一致化。

這樣不管未來政府想改用什麼認證方式，
我們不用所有系統都翻一次。

行動自然人憑證只是最末端的問題，
我們的核心問題在結構。

筆者有 15年軟體工程師經驗，
曾開發基於 evm dapp 跟合約的應用系統。

有興趣的可以推文繼續討論。

時代力量三重蘆洲區議員參選人
王景弘 TonyQ

-----
Sent from JPTT on my Samsung SM-G9980.

網頁上拉近距離的幫手實現 GMail豐富應用的功臣

數也數不清的友善使用者體驗這就是ｊａｖａｓｃｒｉｐｔ

歡迎同好到 AJAX 板一同討論。

※ PTT留言評論

※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 42.70.188.253 (臺灣)

※ PTT 網址

推

iam0718 08/08 09:04置底有個說三重育幼院被騙一百多個到國外

→

iam0718 08/08 09:05要步要關心一下

我來看看

[email protected]

推

lin190ya 08/08 09:06推

推

kamichu 08/08 09:08政府做一個生物辨識認證服務就好啦看是

→

apple123773 08/08 09:08不知道耶100多個?育幼院的這麼有錢?

→

kamichu 08/08 09:08靜脈掃描還是視網膜

→

apple123773 08/08 09:08還是借錢出國的阿好奇

推

coffee112 08/08 09:08推

※ 編輯: TonyQ (42.70.188.253 臺灣), 08/08/2022 09:08:41

推

sheagia 08/08 09:09看你也是一表人才怎會跑去時力

說真的作為一個 323 的抗爭者，我覺得這還是比較適合我的地方。XD 而且時力也蠻自由的啊，起碼我不用擔心我談議題會打到誰。

推

Deathscythe 08/08 09:11推 IPFS 說明，昨天看就覺得怪

※ 編輯: TonyQ (42.70.188.253 臺灣), 08/08/2022 09:12:16

推

weltschmerz 08/08 09:12一表人才跑去時力wwww

噓

tomjanyan 08/08 09:12廢物外包仔，還真當他是神啊

※ 編輯: TonyQ (42.70.188.253 臺灣), 08/08/2022 09:16:01

推

kinki999 08/08 09:17一表人才難道要跑去其他三黨當狗嗎

噓

okichan 08/08 09:20感謝你的意見可惜你是時代力量

→

end81235 08/08 09:21可是e政府他們好像不想幹了耶

咦，真的嗎？ XD 我也不過一年沒更新這邊的資訊，我去問問。

推

steven085722 08/08 09:22加油加油

推

askey 08/08 09:27時力很好~但要堅持下去

推

horseface 08/08 09:29好吧給推

推

kamelot 08/08 09:29專業推

推

yamato75310 08/08 09:31時力推一個吧

推

g5637128 08/08 09:34推

※ 編輯: TonyQ (42.70.188.253 臺灣), 08/08/2022 09:35:17

推

Sacral 08/08 09:36推

推

ruokcnn 08/08 09:37推

推

marke18 08/08 09:38推見解分享

推

tomroy 08/08 09:39三重人推

推

sheagia 08/08 09:41某樓別笑死人了你以為時力不用當狗？

我沒當過狗就是了。

推

donation12 08/08 09:43核心問題在結構

推

bronx0807 08/08 09:43推時力

推

coffee112 08/08 09:43推推

推

swgun 08/08 09:43第三點真的是非常正確唐鳳進政府機關連這

→

swgun 08/08 09:43都沒有改的話我真的覺得不會有什麼作為資

→

swgun 08/08 09:43安策略完全反人類才是無法遵守的問題

推

ggttoo 08/08 09:43笑死蟑螂管人家去哪個黨

推

coffee112 08/08 09:44人家大概要回去當網軍大神了誰還理你

→

swgun 08/08 09:45連密碼規則的制訂者都說了那套大小寫各一

→

swgun 08/08 09:45英數混合是他應付美國政府的密碼長度越長

→

swgun 08/08 09:45就越安全記得住才有辦法不寫在紙上

推

after1 08/08 09:48完全同意第3點

→

loveadu 08/08 09:49推

→

vicious666 08/08 09:50談議題不用擔心打到誰是現在才有的吧

→

vicious666 08/08 09:50？某一票人退黨前應該有某個政黨是必

→

vicious666 08/08 09:50須擔心去打到的。

我剛好也是今年入黨，真巧。

推

tnnstriker 08/08 09:52推

推

shane8282 08/08 09:54推

推

clarafly 08/08 09:57推，原來是類似P2P的原理

推

yzpdal 08/08 09:57專業分析推

推

dobe 08/08 09:58推

推

rurara 08/08 09:58推

推

totoro35 08/08 10:00國家需要更多專業的人才，加油!

推

palapalanhu 08/08 10:01推

推

gulu2000 08/08 10:02認真給推

推

pjason 08/08 10:04推

推

jeylove 08/08 10:05隔壁版有個塔綠班竹科工程師說高中就開始

→

jeylove 08/08 10:05仰慕他，把他當神

推

s900527 08/08 10:05綠共會說他不需要人才越有才能越要打壓

推

eric466 08/08 10:06推!!

推

monkeyday 08/08 10:08推 3 4都是可行可推的也馬上有成效

→

monkeyday 08/08 10:10沒推太可惜 ipfs目前只是show

推

littleme1125 08/08 10:12一表人才只要不跑去垃圾藍綠都支持

推

lightbox 08/08 10:17推就事論事討論

推

appleball200 08/08 10:17時力推

推

tanby 08/08 10:17給推

推

foxey 08/08 10:22密碼我還真的有幾十套都不一樣

推

xessor 08/08 10:22加油，希望有天你位在高位的時候，還能記

我是為了改變這些事情來的。

※ 編輯: TonyQ (42.70.188.253 臺灣), 08/08/2022 10:22:49

→

foxey 08/08 10:23亂數的英數大小寫加符號根本不可能全背牢

推

iamtien 08/08 10:23時代力量只服黃國昌老師

※ 編輯: TonyQ (42.70.188.253 臺灣), 08/08/2022 10:24:42 ※ 編輯: TonyQ (42.70.188.253 臺灣), 08/08/2022 10:27:45

推

cc1plus 08/08 10:28實際上就是網路安全和網站安全還有認證

→

cc1plus 08/08 10:29全部混成一起, 靜態網頁根本就可以用

→

cc1plus 08/08 10:30mount -o ro, 但是網頁安全還是繞不過去

→

cc1plus 08/08 10:30使用者認證過了以後, 維修工程師也是洞

推

pili20934 08/08 10:31加油

推

leechiungyi 08/08 10:33Dpp Kmt 兩個垃圾都下去吧

推

ffxx 08/08 10:39加油推你一個

推

neo5277 08/08 10:42四其實國科會就可以做了

→

neo5277 08/08 10:42台北通也算是一種SSO只是被人臭啊

→

neo5277 08/08 10:43主要還是很多案子要包給誰的問題

台北通核心精神 sso 我覺得不是錯的。就跟新北也有推「我的新北市」app 一樣，都是市民 sso 。問題是太急著推到 opt-out，導致既有的服務被強迫要接上。這種核心服務通常都要六七年來慢慢過度整合，而且一定要給人民有不用的路。

推

potatobb 08/08 10:46耶真想投你

我這區很難選欸，有機會幫忙拉個三重的朋友吧，嗚嗚

推

qaz1051201aa 08/08 10:47哇靠有料

→

alan5 08/08 10:48某些人大概不清楚不外包要花多少錢養人

推

tonystart4 08/08 10:48有在公家單位服務過的都知道，整天資

→

tonystart4 08/08 10:48安資安，結果都做半套，不然就是像你

→

tonystart4 08/08 10:48說的矯枉過正，搞得廠商跟user都在唉

→

tonystart4 08/08 10:48唉叫，更慘的是連單位資訊承辦都沒有

所以我們要從政治跟民意來一起改變這些事情，這也是我長期以來的努力方向。

→

potatobb 08/08 10:48上面噓時力的蠻好笑的難到藍綠有比較高

→

potatobb 08/08 10:48尚？

→

tonystart4 08/08 10:48一點點基本的資訊素養，看到資安就高

→

tonystart4 08/08 10:48潮整天腦部一堆東西，自己平常連user

→

tonystart4 08/08 10:48維運都管不住了還在想資安，真他媽雞

→

tonystart4 08/08 10:49掰廢物公務員。

→

alan5 08/08 10:49外包廠商出包還有人可以叫來臭幹

推

simplelife97 08/08 10:50推

推

r5e97nk63 08/08 10:50我倒覺得IPFS蠻適合讓政府導入，畢竟

→

r5e97nk63 08/08 10:50有些政府頁面是不希望被竄改及誤導國

→

r5e97nk63 08/08 10:50民，而且也因為是政府，自己架server

→

r5e97nk63 08/08 10:50記address 即可，整套內容可以不假他

→

r5e97nk63 08/08 10:50人之手

看場景，官網會是不錯的場景。

※ 編輯: TonyQ (42.70.188.253 臺灣), 08/08/2022 10:52:23

推

notsmall 08/08 10:52推

※ 編輯: TonyQ (42.70.188.253 臺灣), 08/08/2022 10:53:03 ※ 編輯: TonyQ (42.70.188.253 臺灣), 08/08/2022 10:53:37

→

dragonne 08/08 10:53看有料沒料好過聽人吹噓天才吧

※ 編輯: TonyQ (42.70.188.253 臺灣), 08/08/2022 10:54:00

推

qscNERO 08/08 10:56希望未來你是都可以就事論事，不要跟某苦

→

qscNERO 08/08 10:56無一樣。

凡事可能不一定盡如人意，但是會努力推進社會共識。

推

meRscliche 08/08 10:57push

→

meRscliche 08/08 10:57高調起來

推

notneme159 08/08 11:01幫高調

推

tzongyao 08/08 11:02給讚

推

dlouder2655 08/08 11:03推文又有4%白粉來敗票

→

dlouder2655 08/08 11:04林北永遠不會忘記兩年前你們用蔡壁

→

dlouder2655 08/08 11:04爐這種咖小擠掉黃國昌

推

web6037 08/08 11:0599樓說得好

※ 編輯: TonyQ (42.70.188.253 臺灣), 08/08/2022 11:05:46

推

gnitiy 08/08 11:10推

推

r5e97nk63 08/08 11:12不過懂這些技術的人願意投入公部門運

→

r5e97nk63 08/08 11:12作，都一定要給個推，畢竟這些新技術

→

r5e97nk63 08/08 11:12都各有各的前(錢)景，公部門不夠有錢

→

r5e97nk63 08/08 11:12，又要搞這些不簡單的東西，投入的人

→

r5e97nk63 08/08 11:12真的都是在做功德= =

推

nalthax 08/08 11:12推

推

kurtw 08/08 11:14推，雖然沒看很懂

推

lightson 08/08 11:14推

推

zsquarez 08/08 11:20加油吧..希望人才有舞台能發揮

推

dx987321 08/08 11:23推

推

k078787878 08/08 11:24推一個專業

→

haver 08/08 11:27這才是真的有在聽基層公務的作法推

推

Xecver 08/08 11:33不加入時力不然是要去那兩個爛黨嗎？

推

diodio2222 08/08 11:33你那一區跟新莊區一樣啊都被綁死

→

diodio2222 08/08 11:33在地跟雲不是隨便說說的

努力囉。

→

diodio2222 08/08 11:34不過你提的真的是我覺得必要的因為

推

kasim65 08/08 11:34時力當狗的都退掉了吧現在反而乾淨很多

只是理念不同啦，我相信大家都有自己目標

→

diodio2222 08/08 11:34政府管理的那一套她把他拿過來金融

→

diodio2222 08/08 11:34稽核真的會想死

→

kasim65 08/08 11:35而且時力在怎樣也比藍綠好吧

→

kasim65 08/08 11:36看看我這選區年底只有藍綠超悲哀....

推

rengoku 08/08 11:37希望這樣的民代會越來越多

推

remaerd 08/08 11:40專業推

推

lonelygroup 08/08 11:49當狗的都退黨了呀上面想挑撥喔？

推

ioozar 08/08 11:54密碼三個月換一次真的低能到底誰想的

推

KhePri 08/08 11:55幹好強

推

wei115 08/08 12:00ipfs真的是講幹話明明有成熟方案可以緩解

推

c2288999 08/08 12:01推

→

wei115 08/08 12:01偏偏要拿出一個連會不會成為主流的方案來

→

wei115 08/08 12:01玩 ddos最簡單就加錢堆設備阿

現在 CDN 的流量清洗服務也是蠻成熟的了。

→

ssccg 08/08 12:02密碼規則是某些只從理論觀點出發的數學家在

→

ssccg 08/08 12:02沒實證經驗下提的方法，不幸的被一大堆機關

→

ssccg 08/08 12:02採用成SOP

→

ssccg 08/08 12:03新的資安標準已經改成建議沒有被破解就永遠

→

ssccg 08/08 12:04不需要換密碼，密碼單純長一點也比加一堆有

→

ssccg 08/08 12:05的沒的符號好，最好是允許空白直接用個句子

推

cmcmcmcm2 08/08 12:05時力就內奸都完成階段任務退黨了沒錯

※ 編輯: TonyQ (42.70.188.253 臺灣), 08/08/2022 12:10:21 ※ 編輯: TonyQ (42.70.188.253 臺灣), 08/08/2022 12:10:37 ※ 編輯: TonyQ (42.70.188.253 臺灣), 08/08/2022 12:11:18

推

howard302 08/08 12:13一表人才加入時力，一嘴狗毛笑時力

→

howard302 08/08 12:13藍綠白皆然

推

Belial1991 08/08 12:13加油

推

aliangh 08/08 12:15支持藍綠以外的第3勢力推

推

chosentwo 08/08 12:20推你

推

VischDonahue 08/08 12:23推