Inside 硬塞的網路趨勢觀察

“「自然人憑證」的安全性遭受挑戰?” 與新的 4 篇文章 - Inside 網路趨勢行銷與開發

Link to Inside 硬塞的網路趨勢觀察

「自然人憑證」的安全性遭受挑戰?

Posted: 17 Sep 2013 04:07 AM PDT

此文編譯於美國知名科技媒體 Ars Technica 上的文章 Fatal crypto flaw in some government-certified smartcards makes forgery a snap ,文中以亞洲密碼年會上的一篇報告,進而討論「自然人憑證」的安全性。

對於美國國安局(NSA)日前因承包公司前雇員 Edward Snowden 所掀起的安全風暴,也帶起了「國家是否能掌握人民情資」的討論。在這個「個資至上」的年代,政府的「監聽」、攔截電子郵件等危害人民個資的行動皆會引起軒然大波,但日前在亞洲密碼年會有篇報告,似乎要在臺灣獲取個資,不需要像美國國安局一般大費周章。

於印度舉行的 Asiacrypt 2013 (亞洲密碼年會)中,有科學家發表了一項報告,其中對於臺灣政府所通用的「自然人憑證」提出嚴重的安全性警告。

citizen-digital-certificate-640x480

「自然人憑證」實體卡片

於 2003 年臺灣官方開始推行的「自然人憑證」,採用的是硬體亂數產生器( Hardware Random Number Generator )技術,簡稱 RNG ,以及 RSA (加密演算法),以形成難以破解的密碼。

在報告中研究人員則指出,在此種技術上發現了致命的錯誤( fatal flaw ),「隨機性」本是 RNG 中極為重要的要素,以確保他人無法攻破加密過的密碼,進而取得資訊。研究人員試驗了超過兩百萬個 RSA (加密演算法)密碼,其中有 184 個密碼可使用普通電腦,找出核心質數,再進行破解演算,甚至不需要用到超級電腦或是網路攻擊。

研究團隊在寫給 Ars 的電子郵件中這麼說:

「對於已經拿到缺陷卡片的民眾,這項發現非常重大,因為任何攻擊者都可以在網上假冒他們的身份。」

他們進一步表明:

「我們的研究應當暫緩了許多想推出此種服務的國家,這種得到國際安全標準認證的智慧型卡片,會產生有缺陷的密碼。但如果一個科技進步的政府在遵循規則、進而去實踐,仍出現問題,那誰能做的對呢?」

關於自然人憑證的安全問題,報導裡這麼闡述:

「目前沒辦法排除 NSA 或是其他國家的情報機構,事先不知道臺灣這個計畫的加密弱點,或是其他國家也面臨了相同問題。」

研究人員以 220 萬個 1024 位元加密的臺灣「自然人憑證」(新版使用 2048 位元)做試驗,他們很快的確認了 103 個密碼使用相同的質數( prime numbers )。

「200 萬中有 100 多個密碼共享一樣的質數,聽起來這百分比似乎很低,但以一個密碼專家的角度看來,代表致命的錯誤。」

研究者根據臺灣內政部、中華電信等機關的發卡記錄,提醒臺灣政府大約有一萬張的卡片有此類似缺陷。

研究人員表示:

「臺灣政府聲稱他們會追蹤並更換所有有瑕疵的卡片,但直到此時都還沒有動作。」

「所以拿到了以 RSA 1024 位元為底的卡片都很可能有缺陷。」

新版採取 RSA 2048 的卡片,目前經他們檢查過後沒有相同的問題,但基於之前 RSA 1024 位元密碼的經驗,他們仍不排除有瑕疵的可能性。
此研究的根源,是一個去年驚人的發現:在網上每 1000 個 1024 位元的密碼,其中就有 4 個沒有加密性。

其中一個研究團隊之後發表了一個詳細的分析,討論事情哪裡出了錯。原因出在臺灣使用的三種演算法的其中兩種,雖然知名但規則並不複雜,兩者分別是試除法( trial division )和最大公因數演算法( Binary Greatest Common Divisory Algorithm )。

為了防止這種常見錯誤,由世界各地政府所資助的安全機構,已經制定了一系列嚴格經密的加密系統,只給予可信任的認證通過。在 RNG 規則下所產生的卡片很顯然的不符規定。

「這種失敗影響的不僅僅是臺灣公民,而是無處不在的國際加密認證技術。」研究人員表示。

這七名研究者分別是 Daniel J. Bernstein, Yun-An Chang, Chen-Mou Cheng, Li-Ping Chou, Nadia Heninger, Tanja Lange, and Nicko van Someren ,更多關於他們的資訊和報告資料於此

台大資工系助理教授洪士灝也於個人 Facebook 頁面上發表看法:

洪士灝留言

Netflix:盜版是我們購買電視劇的風向球

Posted: 17 Sep 2013 03:20 AM PDT

netflix

本文轉自虎嗅網〈 Netflix:艾美獎算什麼?盜版數據才更有意思! 〉。虎嗅注:據《赫芬頓郵報》報導,美國在線付費影片商透過觀察統計盜版影片網站來幫助決策購買版權劇。時代華納也曾有過如此表態,認為,這比艾美獎有用多了。原文如下。

Netflix初次在荷蘭開展業務,並在本週接受《The Netherlands》專訪時透露了一些如何在該國拓展業務的消息。

「除了購買系列劇集之外,我們還會看一下盜版網站上哪些內容受歡迎,」Netflix 內容採購副總裁(VP of Content Acquisition)Kelly Merryman 在接受採訪時表示。Netflix 決定買下電視劇《越獄》(Prison Break)在荷蘭的版權,因為這部電視劇在荷蘭的盜版非常猖獗,Kelly Merryman 介紹說。

Netflix CEO Reed Hastings 曾於另一次採訪中表示,他本人曉得 BT 下載這玩意兒——即透過網路分享諸如電視劇這樣的大型檔案,通常是違反當地法律的行為— —在全世界都很流行,但是也能夠為電視劇和電影創造需求,這兩種內容包含在 Netflix 提供的​​服務當中。「Netflix 要比 BT 下載容易多了。你不需要處理檔案,也不需要下載,挪來挪去。你只要點擊按鈕就可以觀賞了。」Reed Hastings 如是說。

五月,Netflix 的內容總監(Chief Content Officer)Ted Sarandos 在 Netflix 發表會的採訪中表示,「BT 下載流量伴隨 Netflix 流量的增加呈下降的趨勢。」不過 BitTorrent 的 Matt Mason 否定這種說法。Ted Sarandos 表示他堅信「人們都是誠實的」,並且崇尚一種積極的、便利的使用體驗。這就是他們從 Netflix 所得到的,而盜版網站卻沒有這些。

Netflix 並非唯一在觀察並利用盜版網站的內容提供商。時代華納 CEO Jeff Bewkes 最近表示他對 HBO 的《權力遊戲》(Game Of Thrones)成為 2012 年盜版最多電視劇感到愉快。「這可比艾美獎要好,」Jeff Bewkes 說到。同時他表示,更多的盜版出現也將帶來更多的內容訂戶。

2013 年 08 月台灣網路公司營收與累積

Posted: 16 Sep 2013 11:16 PM PDT

taipei

圖片來源:edwin.11

本統計的主要靈感來源為瑞克梅添涼的 「線上遊戲公司營收與累積」表格,由於網路公司的定義其實大略可以分成狹義與廣義的分法,以廣義來說,電信業者、營收主力轉變成從網路來者或者是其他的資通訊業者,都會是屬於這個定義,但主觀暫時先以狹義定,主要收錄的公司特色為:

  • 上市(興)櫃公司
  • 以網路服務(平台)起家的公司
  • 排除線上遊戲公司 (如前述,因為瑞克梅添涼已經整理)
  • 排除 SI 類型公司

說明事項

  • 台灣自 2013 年起全面更改財報制度為 IFRS,公司將不再揭露非合併月營收,強制公告合併月營收資訊,而 2012 年(含)以前本表統一採計非合併月營收
  • 目前納入本表格整理的公司以非常主觀的認為是就是、不是就不是,但歡迎留言討論新增或減少

下圖的 Google Docs 版可以<<在這裡看得到>>。

2013 stock

相關新聞

與七月份相較起來,在八月易飛網與網路家庭的變動較大,網路家庭的異業結盟可能是營收上揚的亮點(註一)。而易飛網的八月營收下滑,預估是與學生的開學季有關(註二)。特別令人注意的是,今年六月上櫃的尚凡科技,是網路服務公司第二季獲利季減幅度最大的公司(註五),以及易飛網已於 9 月 14 日申請上櫃(註三),後續效應值得觀察(註四)。

 

網路家庭

(註一)ESET與PChome購物打造行動裝置防護網

易飛

(註二)《旅行社》7月營收多增逾20%,唯鳳凰衰10%
易飛網更名換發新股自8/5起開始興櫃買賣
易飛網總經理改由李克敬擔任
(註三)易飛網旅行社 申請上櫃

一零四
(註四)《網服》一零四/商店街Q2費用率降、獲利增幅大

尚凡資訊

(註五)尚凡Q2獲利季減逾4成;今起實施庫藏股

歐買尬
歐買尬旗下歐付寶通過跨境網路交易評鑑審核

離職面談是一座寶藏,而我是這樣來挖它的

Posted: 16 Sep 2013 08:35 PM PDT

c22c11fdc3118d4172c1070fe364177c

本文作者為知名創投 Fred Wilson,載於其個人部落格 avc.com

我個人很重視離職面談。相對於其它管理技巧,我從離職面談中收穫的東西要更多一些。離開公司之際的員工不會再害怕吐槽,抓住這個機會,你就會獲得大量寶貴訊息。

由投資人來做離職面談並不常見。我通常只在我投資的公司出現了嚴重問題、而我又急切想知道原因的時候來主持離職面談。但如果你是公司的 CEO,你應該盡可能地和每一位離開公司的員工坐下來談談,除非情況使這變得不再現實。即便如此,你也要保證高層團隊幫你完成這一點。

以下是我慣常的做法。

首先,從管理人員處初步了解一下員工離職的原因,獲得他/她的看法。這種情況下,掌握多方訊息是非常重要的。

其次,不要把離職面談變成興師問罪。以平等的對話形式來暢談組織、工作和人事等方面的好與壞。對話的氣氛越輕鬆,你獲得的訊息就越多。

最後,不可盡信受訪者的話。任何事情都有兩面性,我傾向於從不同的角度觀察它們。尤其是在這種情況下,大家看待問題時都有各自的侷限性。

做離職面談就像是讀一本參考書。從多個面談中浮現出的某些共有特徵是最為寶貴的資源,同時也就是你所尋找的關鍵訊息。離職面談是暴露潛在問題的有效手段。

SOURCE: avc.com

要下好決策,先衡量四個「人為」因素

Posted: 16 Sep 2013 06:44 PM PDT

100d17f

本文作者為 Deepak Chopra ,被譽為當代最具原創力及最有深度的思想家之一, 著有 70 本以上著作,1999 年獲 Time 雜誌選為「 20 世紀頂尖的一百位偶像與英雄之一」,為 Chopra Foundation 的創辦人,於 YouTube 擁有頻道 The Chopra Well,原文載於 LinkedIn 。

在邁向成功的路途上,「下決策」是必經之路,有些決策甚至會舉足輕重。好決策可能會流芳百世,但壞決策卻會遺臭萬年,所以許多商學院、學校以及政府機關,都會研讀「決策下定」的課程,也因此產生了許多偽科學(pseudo-science),他們盡可能的減少人為因素( 主觀性),以理性因素(客觀性)為主要考量。

這個技巧忽略了一件事,事實上,所有的決策都來自於人──沒有機器會助我們下決策,且歷史教了我們,最佳決策通常都與人類自身的天才、熱情、決心,甚至是怪癖有關。而參雜了情緒的決策,有好也有壞。事實上,假如您去研究歷史,您會越來越對其中的戲劇性著迷──您很有可能會說:歷史也不過是一場戲罷了。

不過這對您下重要決策有什麼助益呢?這代表了如果你想下好決策,你必須整個人投身其中,全神貫注的去執行。相反的,如果你對「下決策」敬而遠之,成天做合理盤算,你會錯過下「好決策」的機會。

話說回來,怎麼樣能造就好決策呢?以下有四個「人為」因素。

  1. 情緒──您必須在擁有正面情緒時做決定,尤其避免負面情緒。
  2. 自我──您的決策得和您的人相符。
  3. 洞察力──您的決策必須與您的遠期目標有所連接。
  4. 環境──您的決策勢必要考量您的現況。

這些都是偉大領導人擁有的特質,諷刺的是,這些特質也最常被忽視,因為大家只重視成功案例的風險、利潤、流程圖、統計趨勢、市場走勢等等,也就是那些可以,或者說該由電腦計算的數據。通常只有商學院或政府機關,在研究重大錯誤決定時,才會考量到人為因素,例如,經濟大蕭條。然後這類因素會變得很明顯,那些貪婪、互不相讓、固執、否認、驕傲,和最重要的:缺乏警覺性。

而其中最明顯的──是濫用人為因素,反正在現實世界中不能完全消除人為的可能性。但如果您本身很有警覺性,且將警覺性表現出來,您下的決策就會造就雙贏。您會做出明智之舉,又或者如果出錯,您也會從錯誤中吸取教訓,並在未來做出更好的決策,這是成功者所採取的態度。

培養以下四個「人為因素」,您就會具備自我意識、自我警惕以及靈活性。

1aa9855

情緒:

好決策會給人樂觀的感覺,好決策的背景不是恐懼、較勁、憤怒、貪婪,而一個糟糕的決定則和當下的情緒有關,它代表著被放大的壞情緒。一旦周遭充斥緊張氣息,就會很難下決定,但即便如此,還是有人能夠無懼向前、能夠專心致意、能夠找出最佳的解決方法。

自我:

所謂的成功大多奠基在「你是什麼樣的人」,而不是「你做了什麼」。如果您持續自我經營,穩紮穩打的走向成熟、自信、自立,並且明白自己的真理,你會做出更好、更明智的決策。自我跟自大不同,您知道「自己是誰」,且心中充滿安全感和平靜,自大則是一種自我驅動,驅動自己以滿足需求,心中只有自己( I, me, and mine. )。我們每個人都有自尊心,但成功者懂得怎麼扮演「真我」。

洞察力:

每個人都有過情緒轉移、思想轉換和欲望處理的經驗。他們造成日常生活上的混亂,進而佔據我們的心思,且大多時候,他們會主宰我們的行動。洞察力可以用來整理混亂,將雜亂無章化為井然有序。「我知道我是誰」伴隨著「我知道我該往哪去」,洞察力是人生這條船上的船長,你於此採集你的道德意識與責任感,你明白你的熱情在哪,你跟隨你至高無上的抱負。當成功者從巨大的危機和挑戰中倖存下來,拯救他們的是,他們的洞察力。

環境:

所有的決策背後都有他決定的過程。很多人會想以一決策打天下,但這是不可能的,要不就是持續向前,不然就是退後妥協;不是擁抱風險,就是盡量去避免它,只能二選一,而最後如同諺語說的:「即使停擺的鐘一天也有兩次時間是對的。」( stopped clock that is right two times a day ),如果你僅循一個固定公式去下決策,你不會遭遇失敗,但你會缺少靈活度以及適應性。好的決策需要您評估身邊情況,如同收集資訊一樣,在這個領域,只要有道理就會占優勢。您得研究各種變化,並進行深入分析。在此處,好決策的意思,會讓人感覺到方向,而不是完全仰賴數據。

簡而言之,如果您認為自己可以為人類做出正確決策,你得運用大多人都忽視的秘方──你就會得利,而他們則會損失。
arrow
arrow
    全站熱搜

    投機客的行銷世界 發表在 痞客邦 留言(0) 人氣()

    E-mail轉寄