關於本報

資策會 FIND科技報
報主:資策會 FIND科技報
創刊日期:2008-04-02
發報頻率:每週三出刊
訂閱人數:577
官網:
http://www.find.org.tw

近期電子報


訂閱便利貼


將貼紙語法置入您的網站或部落格當中, 訪客可以輸入mail取得認證信,並按下確認連結後, 快速訂閱您的報紙。
預覽圖
訂閱資策會 FIND科技報報
資策會 FIND科技報
-----------------------------------------------------------------------------------------------------
Plurk FaceBook Twitter 收進你的MyShare個人書籤 MyShare
  顯示內嵌語法

資策會 FIND科技報
發報時間: 2020-06-11 05:00:00 / 報主:資策會 FIND科技報
[公益聯播]支持目睹家庭暴力兒童的心靈重建工作
本期目錄
【寬緯水聚寶】 AI和大數據讓漁民智慧養殖
漏洞黑市:一種可評估資安漏洞影響程度的另類量化指標
弟弟寶讓您以租代買嬰兒用品免煩惱
MITRE ATT&CK;:一種從攻擊面探討的全新資安威脅模型
【寬緯水聚寶】 AI和大數據讓漁民智慧養殖

FIND研究員:劉禹彤

【導入背景】
寬緯科技將「AI人工智慧」與「魚塭」這兩個看似毫無交集的名詞,透過物聯網運用結合在一起,以科學化的數據管理,加上即時更新的大數據資料及即時AI演算,可幫助漁民快速發掘潛在風險,揮別以往傳統漁業隱憂,並且有效避免及減少養殖損失,為消費者、生產者與我們共同擁有的環境創造三贏。
【導入過程】
國內養殖漁業長期存在過度密集養殖問題,導致環境逐漸惡化、養殖物病變、用藥及飼料管理不當等情形時有所聞,因而造成許多消費者對於養殖魚肉的許多退卻,若遇上食品安全危機事件,養殖戶受到的影響將可能喪失對國外漁品的競爭力。寬緯科技公司針對養殖漁業面臨的問題與潛在隱憂,與臺南政府合作並在經濟部工業局的支持之下,研發升級水聚寶智慧養殖監測與控制系統,運用AI人工智慧在傳統漁業管理之上,為漁民、民眾以及政府打造更優質的智慧城市新前景。
【解決方案】
寬緯科技自2016年起便投入開發智慧養殖監測系統「水聚寶(Aquadlink)」智慧水產養殖物聯網服務,使用者只要透過水聚寶,便可遠端即時監控養殖池的生態與環境數值,以太陽能無線監控水質溫度、溶氧、鹽度、酸鹼值、氧化還原電位值(ORP)、總溶解固體(TDS)等資訊,並且藉由無線傳輸的技術以及雲端化的特性,系統能夠對周遭的設備進行全自動的操控,漁民不必再冒著狂風暴雨隨時待命於養殖池旁,隨時透過手機APP便能輕鬆掌握池中資訊,平時能將寶貴的時間使用在更為重要的事物上。另外,若有突發狀況也可透過系統異常示警得知,漁民能夠及時到場搶救或是透過系統直接處理,不僅能夠減少魚塭用藥提升漁獲的品質,更節省了能源以及人力成本。
另外為了響應環保能夠智慧節能省電60%以上,並且能夠無線遙控水車開關、無線遠端即時影像監控魚池現況、無線自動控制管理餵食投料量、自動建立雲端產銷履歷數據等多項智慧功能,更能減少未來漁業中人力資源的短缺問題。寬緯科技目前於全臺養殖池導入多達300池,每個養殖戶都能依照自己的養殖習慣,記錄養殖數據與養殖過程,還能選擇自行手動控制或由AI協助及時告警,更是國內未來發展漁電共生的優秀輔助。
【導入成果及今後展望】
「漁電共生」是未來發展趨勢,許多國際企業也紛紛來臺購買綠電,日前Google宣布亞洲第一筆綠電採購案,就選在臺南購買10MW,而今年政府開始推行漁電共生的政策,將太陽能板放在魚塭之上發電推動綠能,但要如何在漁塭上設置水上型光電系統,又不影響養殖品質,協助導入科技養殖的業者就扮演著關鍵角色。水聚寶的數據監控能夠確保水質狀況,解除外界對漁電共生會產生污染的隱憂。另外,政府也擔心假養魚真種電,而寬緯科技能提供數據保證,確保漁民以養殖為主、種電為輔。寬緯科技總經理蔡政勳表示,漁電共生可引入綠電投資者來改善漁塭基礎設施,加上科技養殖的智慧管理,比起傳統養殖更提升品質及產量,而且還能售電或租金收益同時響應綠能政策,可謂一舉數得。

 

此案例來自經濟部工業局智慧城鄉生活應用發展計畫

漏洞黑市:一種可評估資安漏洞影響程度的另類量化指標

FIND研究員:李啟榮

近年來隨著駭客發掘更多的零時差攻擊(Zero-day attack)漏洞,可讓駭客能乘人不備發動意料之外的攻擊,零時差攻擊不但防不勝防,而且對各項軟硬體服務、基礎設施造成難以挽回的傷害;駭客除了披露新漏洞來發動零時差攻擊之外,也將漏洞造成的損失以金錢衡量,成為所謂的「漏洞黑市(Exploit black market)」,類似於軍火交易的模式,使駭客能藉由漏洞災害規模的相對應黑市價格,購買針對該漏洞的攻擊工具,並成為另類的軟體漏洞量化衡量指標。

【漏洞黑市之發展,與資安因應之道】

零時差攻擊無所不在、無時不刻的發生,當駭客發現漏洞的的時候,就等待時機發動出其不意的突襲,令受害對象措手不及而遭受駭客重創。根據美國智庫蘭德公司於2014年的一份報告指出,駭客所揭露的零時差攻擊漏洞,可以在受害軟體釋出更新檔補救之前,在駭客之間的「黑市」進行秘密交易;蘭德公司又在報告中指出,2014年的漏洞黑市價格可高達20至30萬美金,甚至曾有喊價達100萬美金的大型漏洞,可見漏洞黑市對資安的影響甚鉅。

另一方面,有鑑於零時差漏洞成為無聲無息的資安威脅,部分軟體業者也發現零時差漏洞帶來的可觀損失,藉由舉辦抓漏洞大賽來發放獎金,也同樣吸引駭客與資安專家躍躍欲試;資安專家協助廠商揪出零時差漏洞的獎金,就如同漏洞黑市一般價值連城,可看出廠商對零時差漏洞的危害,絲毫不敢怠慢,以免駭客藉由漏洞攻破系統,造成比獎金更慘重的損失。

【漏洞黑市代表案例:Zoom】

為進一步探討零時差漏洞在黑市上被揭露後,對資安帶來的衝擊規模,故在此引用零時差漏洞黑市案例,同時探討漏洞預防補救之道,來減少未來更嚴重的漏洞披露與危害。近期以視訊軟體Zoom為較具代表性的漏洞黑市案例,並進一步介紹案例經過與預防之道。

今年四月Zoom視訊軟體爆發零時差漏洞,允許駭客能藉此發動遠端攻擊;但由於該漏洞為全新漏洞,且攻擊技術門檻較高,需要藉由其他攻擊程式才能發動攻擊,故黑市價格一度預估50萬美元;由於此一影響涉及各項產業界、學術機構與政府機關,因此被各國資安主管機關紛紛下令停用Zoom,並改用其他同類視訊軟體。

後來,Zoom又被爆出資料外洩事件,將近50萬筆個資在黑市上被流出盜賣,每個帳號甚至被不到0.01美元賤賣,如此駭客可利用盜來的帳號密碼,對Zoom與使用相同帳號密碼的其他軟體發動攻擊;依據資安專家之建議,除了要儘快修改密碼以外,也應避免在不同網站上使用相同的帳號密碼,同時以密碼管理員將不同網站個別的帳號密碼集中管理。

【小結】

零時差漏洞就是最關鍵的要害,在發作之前是無聲無息,不為人所知的隱患,一旦發作時也無從預測其攻擊方式和受害規模;另由於新的高危險零時差漏洞在黑市內價值連城、一旦被通報修補將會讓漏洞貶值,令駭客攻擊力道下降而減少近一步危害,使得漏洞黑市的攻防成為爭分奪秒的挑戰。

資安專家除了藉由補救漏洞與駭客賽跑外,還要仰賴使用者的舉手之勞,養成備份資料、變更帳號密碼、減少惡意程式接觸等良好習慣,除減少資安專家逐一揪出零時差漏洞的負擔外,也能提升使用者自身的隱私防護,避免駭客經由漏洞來重創網站並盜賣個資。


資料來源:
1.Ablon, L., Libicki, M. C., & Golay, A. A. (2014). Zero-Day Vulnerabilities in the Black and Gray Markets. In L. Ablon, M. C. Libicki, & A. A. Golay, Markets for Cybercrime Tools and Stolen Data: Hackers' Bazaar (pp. 25-28). Santa Monica, CA: RAND Corporation. Retrieved May 25, 2020, from https://www.jstor.org/stable/10.7249/j.ctt6wq7z6.11
2.Abrams, L. (2020, April 13). Over 500,000 Zoom accounts sold on hacker forums, the dark web. Retrieved May 27, 2020, from Bleeping Computer: https://www.bleepingcomputer.com/news/security/over-500-000-zoom-accounts-sold-on-hacker-forums-the-dark-web/
3.Franceschi-Bicchierai, L. (2020, April 15). Hackers Are Selling a Critical Zoom Zero-Day Exploit for $500,000. Retrieved May 27, 2020, from Vice.com: https://www.vice.com/en_us/article/qjdqgv/hackers-selling-critical-zoom-zero-day-exploit-for-500000
4.Liberatore, S. (2020, April 14). More than 500,000 Zoom user credentials have been stolen and sold on the dark web for less than a PENNY each. Retrieved May 27, 2020, from Daily Mail: https://www.dailymail.co.uk/sciencetech/article-8218723/More-500-000-Zoom-user-credentials-sold-dark-web-PENNY-each.html

弟弟寶讓您以租代買嬰兒用品免煩惱

創辦人陳曉蓉以自身經驗出發去探索出一個新的共享商機,緣起於家中新生兒生長速度快,過渡時期的嬰幼兒用品越積越多,在出租囤積的用品時,發覺品況佳的歐美產品比起特價的二手品,更能獲得媽媽們的青睞。之後逐步添購評價佳的新品和二手品,漸漸擴大規模並拓展觸角。<<詳全文>>

MITRE ATT&CK;:一種從攻擊面探討的全新資安威脅模型

而美國聯邦非營利組織MITRE(即CVE、CWE威脅指標的管理機構)對此做出反向思考,從駭客攻擊的動機、目的、技術、方法,建立駭客威脅模型並做出因應對策,進而對駭客威脅實施主動反擊,削弱駭客的攻擊力道以減少駭客的預期危害。<<詳全文>>

推薦訂閱
《數位之牆》共享經濟:以人民的名義爭奪流量入口@【數位之牆】
真的很抱歉!我不得不宣佈停稿了@【網頁研習室【網頁製作系列報導】】
轉寄『【寬緯水聚寶】 AI和大數據讓漁民智慧養殖』這期電子報

寄信人暱稱  寄信人email
收信人暱稱  收信人email

  • 社群留言
  • 留言報主