這是一個中文資安主題的Podcast,希望可以用最好理解的方式幫助大家更了解資訊安全,也更懂得保護自己。
資安解壓縮的各個連結:https://bit.ly/infoseczip
有任何問題或建議都歡迎私訊我們的社群平台或是寄信到contact@infosecdecompress.com
Powered by Firstory Hosting
這是一個中文資安主題的Podcast,希望可以用最好理解的方式幫助大家更了解資訊安全,也更懂得保護自己。
資安解壓縮的各個連結:https://bit.ly/infoseczip
有任何問題或建議都歡迎私訊我們的社群平台或是寄信到contact@infosecdecompress.com
Powered by Firstory Hosting
資安讀書會與NEX Foundation在HITCON的贊助下在六月中舉辦了一場訪談活動,活動邀請到在美國各大企業資安領域深耕多年的重量級前輩 YM Chen與大家分享海外工作二十年的資安職涯經驗。
我們覺得這次活動機會難得,因此決定也將他上架到Podcast上讓所有有興趣的人都可以聽到YM的經驗分享。
這次的內容同步上架在NEX Foundation的Podcast - NEX Wave未來知音上
這次我們邀請到在美國各大企業資安領域深耕多年的前輩 YM Chen,他將與大家分享海外工作二十年的職涯經驗。
本次主題除了 YM 本身的職涯經驗以外,也包含台美在資安上企業文化的差異、資安團隊對內外協作的技巧、美國資安法規相關經驗分享等等精彩豐富的內容。除了硬實力外,職場上的軟實力往往是成功職涯的關鍵,YM 將以自身經驗,告訴大家相關的技巧和他的觀察!
本集的內容整理: https://bit.ly/infoseczip_ep54
可以找到我們的各種方式:https://bit.ly/infoseczip
有任何的問題或是建議都歡迎到我們的網頁或是Firstory上(https://open.firstory.me/story/cl506694703p801t940hdbae5?m=comment)留言給我們
本集章節:
(00:00:00) 開場
(00:02:10) 如何踏入資安領域
(00:09:22) 不同公司在面對資安上的差異
(00:15:47) 自己建軟體還是買服務比較安全?
(00:19:46) 資安團隊如何與其他團隊合作並減少摩擦?
(00:31:01) 怎麼在資安與效率中找到平衡?
(00:36:24) 歐美與台灣在面對資安上的差別
(00:40:40) 我們能如何改變台灣的資安問題?
(00:45:01) 給對資安有興趣的人才/學生的建議
(00:49:02) Q&A - 身在台灣怎麼找到海外的第一份資安工作?
(00:53:29) Q&A - 如何改變公司內部整體對資安的態度?
(00:56:39) Q&A - 國外對開源軟體在資安上的態度?
(00:57:32) Q&A - 如何在眾多資安工具中找到學習的方向?
(00:59:35) Q&A - 想成為PM該如何準備?
(01:02:10) Q&A - 想去海外發展透過申請海外研究所是合適的嗎?
(01:03:28) Q&A - 大學不是念資安相關科系該如何入門?
(01:05:29) Q&A - 國外重視資安相關證照嗎?
(01:06:55) Q&A - 訪談中提到的資安小老師該如何挑選?
(01:07:48) Q&A - 如何在眾多資安的領域中調適?
(01:10:07) Q&A - 資安主管如何帶領員工一起成長?
(01:12:39) Q&A - 當公司內資安小老師淪為形式時該怎麼辦?
(01:14:47) 結語與YM想分享的話
!!! 抽獎囉 !!!
這次我們邀請到HITCON 2021的兩位總召Sean和Mars,帶大家認識一起來了解一下神秘的台灣駭客協會以及國際知名的HITCON研討會!
在疫情的考驗下,HITCON是如何結合線上與實體的活動,將台灣強大的資安能量推廣到國際?HITCON 2021如何將資安相關的議題帶入我們的日常生活和工作中?台灣駭客協會又是怎麼將資安的觀念和意識推廣到大眾的生活中?
這次HITCON也很熱心的提供了兩張HITCON 2021的票要給資安解壓縮的聽眾,我們將在Facebook和Instagram各抽出一張票哦!
抽獎辦法會公佈在我們的Facebook和Instagram上,我們會在台灣時間2021年9月11號抽出兩位幸運的聽眾,快去看看怎麼參加抽獎吧!
HITCON 2021 活動資訊
時間:2021/11/26(五) - 2021/11/27 (六)
地點:中央研究院 人文社會科學館 (115 台北市南港區研究院路二段128號)
活動網站:https://hitcon.org/2021/
購票連結:https://hitcon.kktix.cc/events/hitcon-2021
本集的內容整理: https://bit.ly/infoseczip_ep53
可以找到我們的各種方式:https://bit.ly/infoseczip
有任何的問題或是建議都歡迎到我們的網頁或是Firstory上(https://open.firstory.me/story/ckswpt7cgj6rq09566g9cefgc?m=comment)留言給我們
時間軸:
(00:00:00) 開場
(00:02:39) 接觸到HITCON的契機
(00:05:39) 身為HITCON總召的期望
(00:08:26) 今年HITCON的新活動
(00:12:26) 台灣駭客協會是怎麼樣的一個組織?
(00:17:53) 當興趣與工作結合
(00:20:13) 遠近馳名的HITCON CTF比賽和戰隊
(00:22:34) HITCON 2021的主題
(00:27:01) 今年有趣的議程
(00:32:22) 適合資安新手的活動
(00:38:06) HITCON 2021活動資訊
(00:40:02) 推薦給聽眾的資安小建議
之前做了不少集的訪談內容,但都沒有帶大家了解一下Jeff的工作,我們覺得在停更前的這集帶大家透過Jeff的工作了解一下在美國非科技公司的資安分析師都在做些什麼
非科技公司對於資安是怎麼處理的?在人力資源比較不足的狀況下又是怎麼兼顧紅隊和藍隊的全方位資安檢視?在美國有身分問題,資安這個領域是不是特別難找工作?社會小白想踏入資安圈可以怎麼起步?
本集的內容整理: https://bit.ly/infoseczip_ep52
可以找到我們的各種方式:https://bit.ly/infoseczip
有任何的問題或是建議都歡迎到我們的網頁或是Firstory上( https://open.firstory.me/story/ckq5o0rvlwcx00846ofgq50ih?m=comment)留言給我們
本集章節:
(00:00:00) 開場
(00:01:39) 資安分析師的工作內容
(00:06:28) 資安分析師與資安工程師的差別
(00:07:25) 工作上遇到的資安事件
(00:09:35) 在非科技公司內推動資安的難處
(00:15:29) 產業未來的狀況
(00:17:53) 工作上有趣的事情
(00:21:44) 在美國資安產業找工作的經歷
(00:24:19) 資安相關證照
(00:28:32) 資安職位面試會問什麼問題?
(00:31:02) 為什麼要做Podcast?
(00:34:01) 獲取資安新知的管道
(00:35:06) 資安解壓縮未來的計畫
如果遇到新的人事物,你會毫不保留的信任嗎?這樣的概念是不是也同樣應該被運用在網路上?上網的過程中,你會不會去思考每個網域和連線是不是值得被信任的?
疫情讓許多公司的工作型態有所調整,過去時常被各大公司作為無條件信任的內部網路也正在改變,居家辦公成為許多人面臨的狀況,檢視新型態的工作模式是一件很有必要的事,所以最近幾年「零信任」的概念也常常被拿出來討論
這集內容我們不只要和大家談談零信任的概念,也想帶大家一起看看我們可以怎麼把這個概念運用在日常生活中
本集的內容整理: https://bit.ly/infoseczip_ep51
可以找到我們的各種方式:https://bit.ly/infoseczip
有任何的問題或是建議都歡迎到我們的網頁或是Firstory上(https://open.firstory.me/story/ckpvotnar6cjc0882vfg8pqct?m=comment)留言給我們
這集內容我們邀請到資安研究員馬聖豪,聖豪的資安生涯其實是從遊戲外掛開始,到後來把技術轉而用在資安上,開始鑽研逆向工程並透過自己的技術和知識來研究Windows作業系統上的漏洞
一起來聽聽看聖豪的學習逆向工程的路程,看看遊戲外掛與資訊安全有什麼關聯?逆向工程到底是什麼?聖豪怎麼會想要自己寫書?要怎麼透過污點分析的技巧保護自己?
本集的內容整理: https://bit.ly/infoseczip_ep50
可以找到我們的各種方式:https://bit.ly/infoseczip
有任何的問題或是建議都歡迎到我們的網頁或是Firstory上( https://open.firstory.me/story/ckpkb0cne1ia00899uzbmdlao?m=comment)留言給我們
聖豪的聯絡資訊:
時間軸:
(00:00:32) 踏入資安圈的契機
(00:01:04) 從使用外掛到自己做外掛
(00:05:46) 遊戲外掛產業
(00:10:57) 外掛與資訊安全的關聯
(00:12:51) 什麼是逆向工程 Reverse Engineering
(00:15:25) 學習與邁向逆向工程大師之路
(00:19:52) 在各大資安研討會演講的經驗
(00:21:09) 資安研究員都在做什麼?
(00:22:32) 資安研究員與駭客的差異
(00:24:19) 台灣資安的現況
(00:29:20) 寫書的契機與目的
(00:32:39) 給聽眾的資安防護技巧
2020全球疫情延燒之時,許多企業就做出讓員工在家上班的決策,許多權限與責任也從公司企業轉移到員工本身身上!調查顯示在疫情爆發後,社交工程跟釣魚相關的攻擊成長了超過兩倍,也有很多打著Covid-19、肺炎和疫苗等名號來吸引大家上鉤的行為
對於公司來說,員工在家上班讓管理上變得相對困難,也多了很多必須建立的規則與防護措施;對於員工來說,多了更多責任也有很多該注意的小事項,不僅要小心不要成為公司的資安破口,也要小心注意自己的隱私
最近台灣的許多人也面臨WFH,趕快一起看看有什麼該注意的地方,讓自己安心防疫、安心保護資安吧~
本集的內容整理: https://bit.ly/infoseczip_ep49
EP03 - 設定密碼好複雜! https://open.firstory.me/story/ckavnopconjg808739za9bm1w/platforms
EP05 - 人性是最大的安全漏洞 https://open.firstory.me/story/ckbpjnbi16ly90873qwcimcow/platforms
EP12 - 路由器也會被駭嗎? https://open.firstory.me/story/ckdnp1che25o00862v1hvmb3n/platforms
EP13 - 物聯網的資安 https://open.firstory.me/story/ckdxm2gg02nbt0880850wtzgb/platforms
EP48 - 釣魚~釣魚~釣到什麼魚? https://open.firstory.me/story/ckp1njhqpg58s08751p945gh4/platforms
可以找到我們的各種方式:https://bit.ly/infoseczip
有任何的問題或是建議都歡迎到我們的網頁或是Firstory上( https://open.firstory.me/story/ckpbn7x775xre08293g4qcvnt?m=comment)留言給我們
上一則News Update燃油管道系統中勒索病毒的貼文中和大家提過隨著科技的進步,許多種不同的商業模式不停創新與轉換,勒索軟體服務成了交易的商品,而釣魚服務當然也不例外
買了這樣的服務,不需要任何技術背景或知識,隨便的有心人士都可以是天才小釣手
最近看到的幾篇報告都顯示出這些釣魚工具有多麼被廣泛的使用,所以我們強調了很多少次但還是要繼續提醒大家要多多注意,尤其最近大家都關在家裡,使用網路使用手機的時間都大幅度拉~~~長~~~
本集的內容整理:https://bit.ly/infoseczip_ep48
可以找到我們的各種方式:https://bit.ly/infoseczip
有任何的問題或是建議都歡迎到我們的網頁或是Firstory上( https://open.firstory.me/story/ckp1njhqpg58s08751p945gh4?m=comment)留言給我們
五月初的時候Google發表了一篇文章討論讓帳戶更安全的辦法,其中也提及未來將逐漸自動開啟用戶帳號的雙因素驗證
因此,儘管我們在EP.28中曾經帶大家了解過幾個雙因素驗證的方法,也和大家分析過為什麼手機簡訊驗證是一個蠻不推薦的方法,還是想藉著這個機會把Google帳戶中六種驗證方法介紹給大家,也另外介紹兩個可以增加帳戶安全的功能
每個人對於帳戶安全抱有不一樣的看法,這邊向大家介紹並不是要叫大家都用最高層級的資安膽戰心驚的使用自己的帳戶,畢竟安全性與便利性目前還是互相有點抵觸的,但還是想讓大家知道有什麼樣的資源可以選擇去應用,希望大家都能找到適合自己的好辦法~
本集的內容整理:https://bit.ly/infoseczip_ep47
EP28 - 你還在用手機收簡訊驗證碼嗎?:https://open.firstory.me/story/ckids2kknizuv0842usp0vqt4/platforms
可以找到我們的各種方式:https://bit.ly/infoseczip
有任何的問題或是建議都歡迎到我們的網頁或是Firstory上( https://open.firstory.me/story/ckorna1th80za08182p5slihq?m=comment)留言給我們
你知道Edward Snowden是誰嗎?Snowden是一個曾為美國中央情報局和國家安全局工作過的人,後來因為向媒體揭露國安局的監聽計畫而遭到通緝,為了確保安全性與避免走漏風聲,當年Snowden和媒體聯絡時就指定要使用一款叫Pretty Good Privacy(PGP)的加密工具!
今天的主角就是Pretty Good Privacy!先不要因為他白話到不行的名字而小看它,PGP可是能做到連國安局都無法破解的安全性!早在1991年就被開發出來的PGP到底是怎麼做到高規格的安全性、經過這麼多年還可以存活下來,而身為一般民眾又可以怎麼利用這份技術呢?
這集的內容會講到一點之前說過的密碼學、對稱式加密、非對稱式加密和數位簽章的概念,如果有需要不妨回去聽聽第20和21集的內容~
EP20 - 你有聽過密碼學嗎?:https://open.firstory.me/story/ckfvndfisznpw0800caru0w6g/platforms
EP21 - 公開金鑰|公開的金鑰還能用?!:https://open.firstory.me/story/ckgfjazm3g9yr08759lojzbvd/platforms
本集的內容整理:https://bit.ly/infoseczip_ep46
Mailvelope使用教學:http://bit.ly/infoseczip_mailvelope
可以找到我們的各種方式:https://bit.ly/infoseczip
你有沒有想過在社群媒體上按下檢舉之後到底都發生了什麼事?我的貼文是被AI還是某個人刪掉了?有了AI為什麼還需要動用到人力做審查?人工審查的參考準則是什麼?今天我們邀請到了身為社群媒體管理員的S和我們一起聊聊她的工作內容、審核機制和一般人對人工審查的誤解!
一起來聽聽看怎麼確保單一審核員的價值觀不偏頗地影響社群的平衡?為什麼佐助也在審查過程中被標示起來?判定裸露、露點和露毛的標準到底是什麼?大麻這類型因各國法規不同的關鍵字要怎麼衡量?公眾人物就活該被罵嗎?藏頭詩、隱喻和鄉民口中的夢境又該怎麼判定?
本集的內容整理:https://bit.ly/infoseczip_ep45
可以找到我們的各種方式:https://bit.ly/infoseczip
有任何的問題或是建議都歡迎到我們的網頁或是Firstory 上留言給我們
本集章節:
(00:00:51) 社群媒體管理員的工作內容
(00:02:59) 審核機制的運作
(00:05:19) 什麼是裁定審核員?
(00:06:58) 決策成績的監督機制
(00:09:03) AI與人工檢舉的比例
(00:10:20) 審核標準是什麼?
(00:12:32) 會做事實查核嗎?所謂事實是什麼?
(00:13:45) 價值觀和立場對於決策的判定
(00:14:40) 多人貼文審核達到最公正的結果
(00:16:26) 實例:台灣是個國家!
(00:18:10) 實例:隱喻?藏頭?夢到的啦~
(00:19:29) 實例:公眾人物就會被罵?
(00:21:25) 實例:裸露、露點還是露毛
(00:23:30) 實例:性暗示性騷擾
(00:26:25) 實例-大麻行不行?各國法規不同怎辦?
(00:28:51) 判定違規的後續動作與處理
(00:32:25) 打擊假帳號與詐騙帳號審查員
(00:36:06) 被審查的我們有多少隱私?
(00:37:55) 有趣經驗分享
(00:41:04) 反覆觀看負面內容的心態調適
(00:43:54) 面對社會期待與對社會的期待
(00:45:51) 我並不同意你的觀點,但是我捍衛你說話的權利?
(00:48:28) 給聽眾的建議:善用檢舉來救人!
不知不覺疫情也已經影響我們的生活超過一年的時間,為了盡可能讓這一波混亂趕快終止,Apple和Google共同研發了暴露通知系統供各國公衛單位與政府使用,希望能用最好的方式兼顧隱私與防疫!
接觸追蹤是可以阻止病毒傳播很有效的方法,如果可以精準的知道自己是不是真的有接觸到確診者的潛在危險,是不是就能更快速有效的應對,保護好自己也保護好身邊的人?
然而,即便確診者想要好好的通知所有與自己可能有接觸的人實在是一件不可能的事,搭乘同一班公車的人、逛過同一間店的人或是吃過同一間早餐店的人,太多的擦肩而過是我們無從追蹤與告知的
這個暴露通知系統就是為了解決這個問題而誕生的!不過這個系統的成功與否必須建立在許多人共同使用與信任之上,但如果不知道自己的資訊如何被這種追蹤導向的系統運用,就會引發很多隱私與資安疑慮,而對使用這個系統沒有信心...
隱私與資安這個系統設計時最主要的考量,這集我們要帶大家認識一下這個系統是怎麼運作又是怎麼保護大家的資訊的,讓大家更有信心去盡自己所能,趕快回到正常生活吧~
臺灣社交距離App 下載連結
本集的內容整理:https://bit.ly/infoseczip_ep44
可以找到我們的各種方式:https://bit.ly/infoseczip
有任何的問題或是建議都歡迎到我們的網頁或是Firstory上(https://open.firstory.me/story/cknxo26mxx45l0805tubv7mae?m=comment)留言給我們
臉書在四月初的時候傳出發生資料外洩,事實上這件事並不太能算是一起資料外洩,但確確實實是因為臉書的漏洞所引起事件
這次事件所包含的五億筆資料都是用戶在臉書上舊的公開資訊,被人有意搜集整理而來,甚至被做成Telegram的Bot盈利
雖然你可能覺得只是本來就已經公開的資訊,但其實這次事件還是有很多值得我們去思考的事,也非常建議大家藉此機會去”Have I Been Pwned”網站查查自己的電話號碼,看看自己是不是也被影響了
Have I Been Pwned網站查詢自己是否受影響:https://haveibeenpwned.com
本集的內容整理:https://bit.ly/infoseczip_ep43
可以找到我們的各種方式:https://bit.ly/infoseczip
有任何的問題或是建議都歡迎到我們的網頁或是Firstory上(https://open.firstory.me/story/ckndnka46n9cp0a49o0sau7o0?m=comment)留言給我們
你知道什麼是網路攻擊鏈嗎?從資安角度代入軍事攻擊過程可以如何被運用?駭客攻擊真的像電影演的三兩下就可以入侵目標嗎?
Cyber Kill Chain網路攻擊鏈將駭客的攻擊拆解成七個步驟,透過這七個步驟我們可以對常見的駭客攻擊流程有一個基礎的認識。事實上Cyber Kill Chain除了可以幫助我們更了解駭客的攻擊以外,透過評斷攻擊到了Cyber Kill Chain的哪個步驟也是個評估自己該用什麼方法抗衡的好辦法。
本集的內容整理:https://bit.ly/infoseczip_ep42
可以找到我們的各種方式:https://bit.ly/infoseczip
有任何的問題或是建議都歡迎到我們的網頁或是Firstory上(https://open.firstory.me/story/ckn3lteeyz99e0823evu40upd?m=comment)留言給我們
帳號被盜真的是一件很~令人頭疼的事,很多時候帳號被盜不是直接創個新帳號就能解決的,在帳號被盜之後所帶來的併發症才是最麻煩的,除了要擔心裡面存有的資料與個資、擔心可能導致電腦中毒、擔心信用卡被盜刷或陷親朋好友於危險之中,還有更多千奇百怪值得擔心的事
最近注意到許多人的帳號被盜,也注意到我們的內容主要還是圍繞在預防,雖然最理想的狀況是永遠不要遇到這種事,但我們還是整理了九個比較通用的幾點,讓大家以備不時之需可以拿出來應急用!
本集的內容整理:https://bit.ly/infoseczip_ep41
可以找到我們的各種方式:https://bit.ly/infoseczip
有任何的問題或是建議都歡迎到我們的網頁或是Firstory上(https://open.firstory.me/story/ckmjn79lukw2w0846zx7op4q3?m=comment)留言給我們
為了提升效率也為了方便性,許多人都會借助瀏覽器擴充套件的力量讓事情事半功倍,但使用擴充套件的時候,我們也把許多權限交付到別人的手上,所以如果開發者意圖不軌,就非常危險了!
隨著使用者人數的增長,開發者在維護上需要花費的成本隨之增加,而擴充套件的開發者在將自己製作的工具變現上又很困難,所以當一些公司找上門想在開發者的擴充套件安插一些程式碼時,這樣的交易實在太難以拒絕了
惡意的擴充套件可能會竊取你的個人資料、安插有的沒的廣告或是更改你的搜尋引擎,很無奈的是現有的許多擴充套件都已經沒有再持續被維護與更新,身為使用者只能自己眼睛放亮、多做評估與觀察,也不要下載多餘的擴充套件增加風險!
勘誤:錄音時口誤,將超過兩年沒更新的擴充套件比例說成七成,正確資訊應為超過五成
本集的內容整理:https://bit.ly/infoseczip_ep40
可以找到我們的各種方式:https://bit.ly/infoseczip
有任何的問題或是建議都歡迎到我們的網頁或是Firstory上(https://open.firstory.me/story/ckm9m51tuzunk09492rxvfyac?m=comment )留言給我們