在知名的特務電影《不可能的任務》系列中,大家總是看到帥氣的阿湯哥飛天遁地,使用各種不同的高科技裝備,潛入到各國政府機關中竊取重要的機密資料,令人嘆為觀止。不過其實在真實的生活中,這樣的情節基本上不太可能發生,真正技巧高超的駭客,無論在地球的任何一端,都有機會透過入侵電腦的漏洞來獲取你的個人資料-如果你完全沒有資安防護的意識,這樣的狀況就極有可能發生在你身上!
真正的資安防護並不是單純裝裝防毒程式和防火牆而已,個人的行為本身才是其中的關鍵!為了讓更多人具備資安防護的正確觀念,在經濟部工業局推動的「新興資安產業生態系推動計畫」中,便相當重視資訊安全教育,透過各種管道培養資安人才或提升社會大眾的資安意識,因此推出本活動,讓一般民眾也能了解到「駭客」這個神秘的角色是如何入侵大家的生活,不動聲色地竊取個人資料。
由經濟部工業局主辦、工業技術研究院執行的「駭客體驗營」活動在10月24日熱烈展開,吸引將近三十位的參加者加入「駭客實戰」的行列中,究竟當天的活動有哪些精采亮點?又為大家帶來哪些資訊安全的大補帖呢?接下來的活動直擊報導,趕緊看下去吧!
業界資安顧問親臨現場,擔任行動導師!
在正式展開駭客行動之前,主辦單位也沒忘了要為大家進行最基本的駭客概念與實務技術說明,畢竟來參與活動的朋友有不少是不具資安實務經驗的一般民眾,而擔任此次行動導師的 Joe,來自於資安公司「全景軟體」,同時也具備了 EC-Council 駭客技術認證與 ISO 27001:2013 Leader Autditor 國際標準資安管理規範的資歷,也擁有極為豐富的講師經驗。
一般人對於「駭客」這樣的角色,多半抱持著負面的評價,但 Joe 在課程中也提到,其實駭客這樣的行為無關於善惡,只在於應用的範疇與目的性的區別,當然,想要當駭客也是需要有一定的「人格特質」,包括善於觀察、細心分析,當然也需要有一定的技術能力,但更重要的是要有極高的耐心等候時機與完善的事前觀察!雖說現在已經有十分完善的資安防護機制,但其實資安最大的漏洞正是來自於「人」,以大家每天所使用的各類型服務的「密碼」來說,設計的思維是否正確,就將影響駭客動手破解的難度。
至於在駭客的「事前觀察」指的就是對於目標設備的網路架構進行分析,Joe 也在課程中介紹免費的「Nmap」網路掃描軟體,這是駭客經常使用的滲透工具,若是使用手機,也能找到「Netwrok Scanner」來協助。透過上述的工具,我們就能直接指定要掃描的 IP,來了解目標網路的架構、系統與已開放的網路服務,以藉此找到可利用的漏洞,像是可遠端連線取得電腦控制權限的「RDS, Remote Desktop Service」遠端桌面服務,預設就是以 3389 的埠號來開放連線,也等於是為駭客開放了一扇大門,只要登入帳密被破解,就能讓駭客長趨直入,予取予求。
至於大家設定的密碼會有這麼好破解嗎?Joe 也實際示範了駭客暴力破解密碼的方式,若是密碼的位元數不夠長,且組成太過於單純,其實只需要數十秒就能搞定,若是使用運算效能更高的獨立顯卡-以 NVIDIA 最新的 RTX 3090 為例,每秒可以嘗試高達 340 萬組密碼,也正因如此,Joe 會建議大家可以儘可能地將自己的密碼長度拉長,以避免被駭客暴力破解。
不僅坐而言,而是起而行!實境探索真的超有 Feel 啊!
此次的「駭客體驗營」也細心安排了一整套「實戰」活動,並設定出一個極為擬真的情境:為了找出某國家某軍方單位中,疑似向供應商收取回扣的「陳姓上校」的犯罪證據,該單位的委託了駭客軍團,試圖破解陳姓上校秘密雲端空間的帳號密碼,以獲得他的相關違法證據。
在經過駭客導師 Joe 的詳細指引之後,接下來就要輪到參與者們大展身手了!主辦單位也將大家區分為五組,並以小組行動的方式,由管家們帶領,在任務設定的五個場域進行探索,包括客廳、書房、工作室、儲藏室與遊戲室等地,利用實體資料所獲得的蛛絲螞跡,來拼湊出所有的線索!一整個就是實境探索的規模啊。也因為每一個房間的探索僅限時 5 分鐘,所以小組必須要密切配合才能有效率地讓大家分工合作記錄下所有的線索。
為了帶給大家「驚喜」,在任務過程中安排在不同場域會有隱藏的「提示道具」,只要找到就可以得到一些指引,讓小組可以更有頭緒找到正確的推理方向;如果經過探索後仍舊找不到正確的推理方向,小組們也可以向小組的管家申請「求救」,由於活動最終的成績會以完成任務的時間作為基準,因此何時該動用求救,也會是任務成敗的一大關鍵啊!
數據洩露事件皆與帳密被盜用有關,如何設置正確的帳密?
在各組都陸續完成任務之後,在主辦單位統計最終成績的空檔,駭客導師 Joe 再度登場,為大家帶來關於資安防護的相關趨勢,而他也點出,目前全球一整年發生的數據外洩事件有超過 8 成都與「帳號密碼被盜用」有關,而絕大多數的使用者都會使用非常多種不同的網路服務,但帳號密碼往往都只會設定一組,若是不小心發生帳密外洩的狀況,最後的結果通常是「全軍覆沒」。也因為單一密碼並非 100% 可靠,因此近幾年有愈來愈多網站會採用所謂「二步驗證」的機制,也就是在輸入帳密之後,還需要再透過電話簡訊或是專屬 App 的方式來驗證登入者的身份。
此外,Joe 也提到,未來的身份認證趨勢將會採用「生物特徵」作為主軸,除了可以方便使用者免記憶密碼且不會有數據洩漏的風險,目前相關技術也十分成熟;此外,目前市面上也有許多透過硬體進行防護的機制,透過像是「FIDO Key」這樣的硬體將身份驗證的資訊只保存於硬體本身;或是每次登入的密碼皆為一次性的OTP,因為使用過一次即失效,也能降低駭客暴力破解的可能性。
以「實戰」學習更有樂趣!參與者無不期待未來能有更多同類活動!
相較於一般以講座為形式的資安活動,此次「駭客體驗營」改以遊戲的形式,讓參與者可以「從做中學」,而且活動本身的情境設定非常完善,讓大家可以在極具代入感的情境下發揮敏銳的觀察力,並與小組成員集思廣益,才能從眾多線索中拼湊出最終的解答,整個過程有一定的挑戰性,但同時也提到供了「提示道具」與「求救卡」…等機制,讓小組有機會加速推理的效率,但由於「提示道具」一個場所只有一個,而且是需要透過搜尋獲得,所以比較憑運氣;而「求救卡」相較之下就比較彈性,小組成員可以決定何時要使用,但使用也需要付出「任務加時」的代價。
以此次活動最終取得第一名的 E組為例,他們就是所有組別使用求救次數最少的一組,再加上任務原本解謎的時間就是最快,因此最後也能守住戰果!
此次獲得第一名的 E 組組員蕭先生提到,他覺得此次活動的形式十分有趣,整個過程都很生動活潑,尤其是在團隊合作的過程真的非常重要,也因為有小組成員的通力配合,讓他們能從其他組別中脫穎而出。A 組的吳先生也對於此次活動的「實體任務」印象深刻,尤其是一群人在各個不同房間探索的感覺雖然有點手忙腳亂,但還是能感受到大家齊心協力過程的熱情,也很感謝主辦單位精心策劃了這樣有意義的活動。C 組的張先生也認為此次活動規劃的內容非常用心,尤其是謎題的內容可以看得出來主辦單位細膩的心思,而他也是第一次接觸到這樣的活動,覺得也許下一次還有機會參加,應該可以有更好的表現!D 組的黃先生認為此次的「駭客體驗營」內容非常有趣,也建議或許未來可以規劃成為如同「密室逃脫」這樣的的大型活動,讓更多人可以組隊來挑戰,也能進一步增進大家對於資安防護的意識。
最後小編來總結一下此次「駭客體驗營」的觀察心得吧!雖說整個活動的形式蠻像是以前流行的「大地遊戲」,但實際上主辦單位在謎題的設計下了不少苦心,也在各個不同房間的線索中加入了一般人經常在生活中會選擇使用生日、紀念日、電話…等個資當作密碼的習慣,也讓參與者們能透過解謎的過程,親身體驗到原來這樣的密碼設定一點也不安全,再搭配駭客導師 Joe 的指引,相信每一個參與活動的人都能夠進一步認知道帳號密碼應該要多花一點心思來設計,才不會讓駭客有可趁之機!
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!