交通大學亥客書院 亥客論壇與展示

公開資料的隱私 − 以一張電子發票為例
資安事件處理與鑑識 − 以駭客入侵事件為例
自動脅迫(Exploit)生成系統
4G 網路之潛在安全風險 − 數據傳輸免付費
Android 智慧行動裝置之安全管控機制

公開資料的隱私-以一張電子發票為例
主持人:謝續平 (交通大學資訊工程學系特聘教授、美國電機電子學會會士)
系統簡介:
近年隨著e化政府與資料公開透明化,為了公益,許多的公開資料可以方便民眾查詢。但這些資料在公開時有可能會間接透露某些隱私資料。在這個簡短的展示中,我們將會從一張電子發票為起點,來找出圍繞在電子發票上的隱私資料。
藉由著公開資訊查詢系統,我們可以列舉其他相鄰序列的發票與其發票金額,經由數據分析,進一步獲得商家的營運資訊,例如月營業額、年營業額。這些營業資訊其實並未公開在網路上,但是利用公開資訊,一般民眾也可以透過自動化的查詢來拼湊出商家的營收隱私。希望能夠透過此案例,提醒資訊公開時必須要考慮到公益與隱私兩者之間的平衡。

 

資安事件處理與鑑識-以駭客入侵事件為例
主持人:謝續平 (交通大學資訊工程學系特聘教授、美國電機電子學會會士)
系統簡介:
現今資安事件頻傳,其中又以駭客入侵為大宗,然而事件爆發時資安人員往往缺乏系統化之工具以快速進行事件回應與處理,令資安威脅持續存在於系統中乃至傷害擴大。有鑑於此,本展示結合網頁弱點掃描、數位磁碟鑑識、惡意程式行為分析等系統以提供系統化之資安事件回應與處理方法。
存在弱點之對外網站與網頁往往是駭客首選之入侵源,透過網頁弱點掃描工具可揭露駭客可能之入侵途徑。同時,數位磁碟鑑識嘗試揭露潛藏在受駭系統磁碟中、做為駭客後門使用之惡意程式。最後透過行為分析系統深入剖析惡意程式感染系統之手法,以供資安人員發展解毒程式或強化入侵偵測,防範駭客再次之入侵。

 

自動脅迫生成系統
主持人:黃世昆 (交通大學資訊工程學系教授)
系統簡介:
脅迫生成(exploit generation) 是軟體攻防的重要技術。給定一個執行程式,藉由我們開發的軟體脅迫框架,可產生一個可靠且強健的測試資料,藉此執行任意程式碼。此雛形框架是藉由符號執行的概念,自動化整個脅迫過程。
展示情境如下: 給予一個微軟的 Office Word 文件檔案,我們將自動生成與置換任意的攻擊碼,在開啟文件檔案後,我們將攔截、與脅迫 Office Word 的執行,概念地變成小算盤、彈珠台或任何惡意程式。

 

4G網路之潛在安全風險 − 數據傳輸免付費
主持人:李奇育 (交通大學資訊工程學系助理教授)
系統簡介:
隨著4G網路的到來,行動上網速度大幅提升,促使了更豐富和多元的行動應用,行動上網也因而愈趨普及。但是,4G網路卻可能有潛在安全風險,此風險不僅可能對電信商造成危害,也有可能使得行動用戶暴露於被攻擊的威脅中。
我們將示範本資安團隊所開發的多媒體檔案免費分享APP,此APP利用4G網路安全漏洞,使得兩支手機可互傳多媒體檔案,行動數據量卻不會因而增加。
此研究結果已發表於資訊安全領域的頂級國際會議、受美國網路媒體報導、並協助美國兩大電信商解決此4G行動網路安全問題。本團隊也將對台灣行動網路進行安全性檢測。

 

Android 智慧行動裝置之安全管控機制
主持人:吳育松 (交通大學資訊工程學系副教授)
系統簡介:
智慧型手機在現代已經是生活上不可或缺的裝置,使用智慧型手機能夠讓使用者生活更加便利,然而在管制區中(如軍營),卻因為諸多安全隱憂必須禁止受管制人員將智慧型手機帶入,造成了受管制人員的諸多不便與門禁管理上的困擾。本計畫開發了一套Mobile Device Management (MDM)系統,藉由MDM Server和MDM Client互相的溝通配合來達到完善的手機功能管控,我們能成功地管控包括GPS, 照相、錄音、連網…等可能會造成機密洩漏的系統功能,且對於MDM Client Agent系統防護機制也深入探討並且提供解決之道。