douobb

Malware NIST [SOUP13] defines malware as: A program that is inserted into a system, usually covertly, with the intent of compromising the confidentiality, integrity, or availability (CIA) of the victim’s data, applications, or operating system or otherwise annoying or disrupting the victim. Types of Malware Propagation: 它如何擴散或傳播以到達目標 viruses: 感染現有內容，之後再擴散到其他系統 worms/drive-by-downloads: 利用軟體漏洞，使 malware 能夠自行複製 Social engineering attacks: 說服使用者繞過安全機制來安裝 Trojans (木馬)，或回應 phishing attacks (釣魚攻擊) ...

Database Management Systems Database: 結構化的資料集合，供應用程式使用 Query language: 提供一個統一的介面來存取資料庫 Database management system (DBMS): 一組用來建立與維護資料庫的程式 DDL (Data Definition Language): 定義資料庫的邏輯結構與程序性屬性 DML (Data Manipulation Language): 提供應用程式開發者強大的工具集合 需要超出一般作業系統型安全機制的安全能力 OS: 控制整個檔案的讀寫權限 Database: 需要 col & row level 的權限 Relational Databases 由 tables 所構成 每一個 column 儲存一種特定型態的資料 每一列 row 包含每個 column 的一個具體值 理想情況下，會有一個 column，其所有值都是唯一的，用來作為該 row 的 identifier/key (primary key) 使用 query language 來存取符合特定 ...

L1 影像可根據其能源來源進行分類: 電磁波 (EM)、聲波、超音波等 其中電磁波是最主要的能源來源 電磁波 由高能量至低能量排列 Gamma-Ray Nuclear medicine (核醫學): 骨骼掃描、PET 天文觀測 X-ray 醫療檢查: 胸腔 X 光、血管攝影、電腦斷層 CT 工業檢測: 電路板檢測 Ultraviolet Band 紫外線 螢光顯微鏡 當紫外線光子碰撞螢光物質時，會激發電子並釋放出能量較低的可見光 Visible and Infrared Bands 可見光 & 紅外線 光學顯微鏡觀察 遙測應用 Microwave Band 微波 影像雷達 能在任何時間、天氣及光照條件下採集數據 (類似具備主動照明功能) Radio Band 無線電波 核磁共振造影 (MRI) Ultrasound 超音波 醫療診斷: 產前檢查、內臟器官檢查 L2 人類視覺感知 視覺是由分布在視網膜 (Retina) 表面的離散光受體產生的 錐狀細胞 (Cones): 6 to 7 millions 集中於中央小凹 ...

Denial of Service (DoS) Attack 定義: by NIST [CICH12] DoS 是一種會阻止或削弱對網路、系統或應用程式的授權使用的行為，其方式是耗盡資源 (exhausting resources)，例如中央處理器 (CPU)、記憶體、頻寬以及磁碟空間。 Uncovering Insecure Designs of Cellular Emergency Services (911) Cellular Emergency Services (911) Emergency services 是處於緊急狀況的人們的重要生命線 全球部署的 cellular networks 成為緊急使用者最容易接取的通道 為了確保行動緊急服務的 availability 聯邦通訊委員會 (FCC) 規定，行動電信業者必須將所有無線 911 通話，不論其通話驗證流程為何，一律轉送至公共安全應答中心 (PSAP) GSMA 的標準要求，所有行動電話即使沒有 SIM 卡也必須支援緊急服務，且對行動用戶免費 3GPP 標準要求，緊急服務的優先權必須高於其他行動通訊服務 ...

Kerberos Initially developed at MIT 作為 remote authentication 的標準 一個受信任的第三方驗證服務 用戶端與伺服器都信任 Kerberos 來協調彼此的身分驗證 要求: 使用者在每次使用服務時，都必須證明其身分 (可選) 伺服器也需要向用戶端證明其身分 Security Issues between Clients and Servers 在未受保護的網路環境中，任何客戶端都可以向任何伺服器申請服務 Impersonation (冒充): 假裝成其他客戶端，從而在伺服器上取得未授權的權限 使用 Authentication Server (AS): AS 驗證了使用者身分，就可以將該資訊傳遞給應用伺服器 如果客戶端透過網路將密碼傳送給 AS，攻擊者可能會攔截並取得該密碼 Kerberos Overview AS 會與每一台伺服器共享一個唯一的 secret key Session key: 一次性使用的加密金鑰 保護下一次通訊 Ticket 與 Session key 都會使用使用者的密碼 ...

Access Control Principles Access Control Context Authentication (認證): 驗證使用者或系統憑證的有效性 Authorization (授權): 授予系統實體存取資源的權利或許可 Audit (稽核): 獨立審查系統記錄與活動 Access Control Policies Discretionary access control (DAC) 基於請求者的身分 (identity) 由 rules 決定使用者的操作是否被允許 Discretionary (自主): 某個實體可以把自己的存取權限授予其他實體 Mandatory access control (MAC) 基於系統實體的安全等級 (security clearances) 存取由資源 security label 決定 mandatory (強制): 無法將權限轉移給其他實體 Role-based access control (RBAC) 基於使用者的角色 (role) 存取由 role 允許的權限決定 Attribute-based ...

Wireless Security 有較高的安全風險: Channel 廣播式通訊: 容易被竊聽、干擾 Communication protocols (通訊協定) 的弱點 Mobility 裝置具有可攜性、移動性 Resources 裝置的記憶體、計算資源有限 Accessibility 感測器可能放置在偏遠或敵對環境 Wireless Network Threats Accidental association Malicious association Ad hoc networks Nontraditional networks Identity theft (MAC spoofing) Man-in-the middle attacks Denial of service (DoS) Networkinjection Wireless Security Measures Securing wireless transmissions 主要威脅與對策: 竊聽: 信號隱藏、加密 竄改: 加密、認證 (Authentication pr ...

驗證系統實體所聲稱身份的過程 分為兩個步驟 Identification step: 向安全系統提供一個識別碼 (identifier) Verification step: 提供或生成認證資訊 (authentication information)，證明該實體與識別碼之間的關聯 Electronic User Authentication Model Cornerstone: Credential and Token Credential (憑證) Paper credentials: 用來證明身份的文件 ex: 護照、駕照、學生證 內容通常包含持有人描述、照片或簽名 E-authentication credential: 一種物件或資料結構 綁定身份 (透過識別碼) 與使用者持有和控制的至少一個令牌 (Token/Authenticator) 綁定 Token (令牌) 也稱為 Authenticator 使用者擁有並控制，用來驗證使用者身份的東西 ex: 密碼、加密模組 分類: 使用者知道的東西: 密碼、預先設定的安全問題答案 使用 ...

Secure E-mail MIME 一種網路郵件格式：對 RFC 822 規範的擴展 RFC 822: Defines a simple heading with To, From, Subject Assumes ASCII text format 提供新的標頭欄位: 定義郵件內容的資訊 S/MIME 安全／多用途網際網路郵件擴展 (Secure/Multipurpose Internet Mail Extension) 對 MIME 郵件格式的安全增強 Based on technology from RSA Data Security 提供對電子郵件進行簽名和加密的功能 比較 加密流程 S/MIME Functions Enveloped data 加密的內容以及相關的金鑰 (用收件人的公鑰加密) 預設演算法是 AES 和 RSA M → AES(M) → AES(M) + RSA(K) M: 郵件內容 (Message) K: 隨機生成的對稱密鑰 (pseudorandom secret key) 使用收件人的公鑰進行 RSA 來加密 K ...

Confidentiality with Symmetric Encryption Symmetric encryption 提供傳輸中或儲存資料的 confidentiality (機密性) 又稱為 Conventional encryption or single-key encryption 安全條件: 強大的加密演算法 在已知部分對應組合 (plaintext–ciphertext pairs) 以及演算法的情況下，仍無法解出明文 (ciphertext) 或是 金鑰 (key) 安全的金鑰分發與管理 Model (Five major components) Attacking Symmetric Encryption Cryptanalytic Attacks 利用: 演算法本身的特性 明文的一般特性 一些明文與密文的對應樣本 (plaintext–ciphertext pairs) 推導出特定的明文或加密金鑰 Brute-Force Attacks 利用: 對可能明文的了解 對某些密文嘗試所有可能的金鑰 直到產生可理解的明文 ...