2015年6月29日 星期一

[網二] NPO 不可不知的駭客攻擊手法

6 月的網路星期二,邀請到老朋友同時也是駭客高手翁浩正(Allen),和我們分享最近常見的駭客手法,特別是 NGO 夥伴們也都會遭遇的網站、線上捐款或金流的資安問題。內容包括:
  • 資安教育及演習概念
  • 資安通報
  • 資安公司亂象?
  • 近期常見攻擊手法
  • Q&A 

資安是一個範圍很廣的題目。而其實駭客是一個中性名詞,有黑帽也有白帽,後者會利用駭客手法來做正派的事。

資安教育及演習概念

先預告今年駭客年會的主題是 Security of Things

因為現在是物聯網時代,只要有網路就有漏洞。而在網路世界的戰爭中,之前也提過,大家要留意「木桶理論」——也就是一個木桶如果由不同長短的木條圍成,那麼通常會從最短的木板開始漏水,同理可證,資安問題往往是人的問題,組織裡技術力較低的成員,往往成為漏洞、被攻擊的目標。因此對 NGO 來說,若能慢慢提升大家的能力,那麼被攻擊的成功率就會降低。

資安事件也可以像防災演練一樣,平常應該有「演習」的概念,並產生相對應的處理 SOP。簡報裡是我所整理出的九大重點,包括:教育訓練對能力的加強、應準備應變計畫(備份及還原資料的能力),以及了解受害的範圍,所以留存網站的紀錄檔(Log)很重要,一般駭客一旦駭入某個網站,第一步就會砍掉 Log,所以 Log 最好和網站的主資料分開,放在其他主機上。

資安通報

資安事件發生時,網站管理者負有向會員通知的責任及義務。譬如最近 LastPass 最近發生資料外洩的事件,就即刻發通知信給會員,是盡責的表現。


規劃一個成功資訊專案的九個步驟

作者:Kyle Andrei 發表日期:2014/4/22
原文:The Nine Steps of Planning a Successful Technology Project
譯者:陳丁寶 編校:Li-Yi, Shufang


科技應該用來幫助你的組織進步,而不是扯你後腿。但從與 Idealware 合作的非營利組織經驗裡,我們經常看到某些組織在科技應用上的掙扎,反限制了他們的發展。幸運的是,利用 TechSoup(指美國的科技濃湯)的資源和一些簡單規畫,可以幫忙解決現在的問題,並預防將來可能的問題。

如何才能將一個資訊行動計畫由概念進而實現,並讓這個計畫不是遙不可及、可付諸實行的呢?簡單來說,需要兩個步驟——首先規劃出你打算怎麼做,接著將之導入。規劃大約會花掉你一半的時間和精力,另一半力氣才是在執行上。

以下是我們針對這兩個步驟可能發生的過程概述:

2015年6月26日 星期五

[法律授權] 我可以在自己的網站上使用那支影片嗎?


iPad 2 as a Video Camera

作者:Jim Lynch 發表日期:2015/5/5 

原文:Can I Use That Video on My Website?
譯者:陳丁寶 編校:Li-Yi、Shufang

面對現實吧!現在網路上充斥著影片, 沒辦法,人們就是喜歡影片, 在未來兩三年裡, 影片將佔據全球消費者使用網路流量的百分之六十九

從網路上截取影片放在自己的網站或部落格上,總是比自己製作一段影片來的容易多了, 但這樣是合法的嗎?

針對使用 Youtube、Vimeo、Vine,以及 Instgram 的影片規定,我們研究了一番, 以下是整理摘要:

一般來說, 把自己製作的影片放在自己的網站上是沒問題的, 因為當你創作影片的同時,版權已經自動賦予在你身上, 除非影片上傳的網路分享平台有特別的規定。

如果你要使用的影片裡,包含未滿18 歲的人的影像, 你可能需要一份由其父母或監護人簽署的同意書, 請參考:〈你可以在自己的網站上使用自己拍攝的照片嗎?也許不可以!〉(英文)〈五種你不該上傳到 Facebook 的孩子照片〉

如果你想使用他人拍攝的影片,通常得先得到創作人的同意, 但還是有些例外規定: