10. 畢業創業經驗分享 - 無所不在的資訊安全 - Jeff小胖

畢業創業經驗分享 - 無所不在的資訊安全

- Jeff小胖, 13 Dec 2016

廖傑明 黃志華 李德韋 黃彥霖 

經歷:

台灣特賣會- app

fortinet - Forti-innovation Team

口袋商圈

 

 

輔大時期:

.系學會

- 投票系統( 3rd party帳號登入 – 謠言報 )

- 灌票 -> 反灌票

.思考如何反灌票

- 記名(申請會員)

- Captcha

- IP / 網卡位置

 

.NIRSRA

- 比賽 - Wargame (不斷想要變強)

- 講課 

 

.助教

- 學習組織事情

- 傳承所學知識

 

.研究生

- 開發潛能
- 培養專注度

 

 

台灣特賣會App:

.功能:列出哪裡有特賣會正在舉行

.平台: Android、IOS、Web

.里程碑:與Yahoo、Samsung、LG、家樂福、博客來 ...等多家廠商合作,獲中天新聞採訪

 

.嘗試玩Google App Engine

.學習就像摸著石頭過河

.把握時機,不要小看自己正在做的事情

 

.面對議題:如何保護API

- 初階:限制來源 <-> 難以防範所有來源,容易繞過

- 使用加密HTTPS傳輸資料

- 使用者記名制,會員制 <-> 增加使用者使用的難度

- 使用hash加密資料 <-> 仍會被逆向破解

- 改變想法? 與小偷合作

風險 - 內容正確性、安全性:與合作廠商協議的廣告,小偷的版本不一定會顯示,或有可能更改相關內容,造成合作廠商權益受損(eg. 小偷擺放相同類型的廠商廣告,影響合作廠商的廣告效果)

 

.邪惡實驗:存取行事曆、通訊錄,取得過多的權限

- 使用者都不會注意

- 資安問題:平常使用App的時候,我們是否有注意它所請求的權限呢?

 

 

進入職場:

.Fortinet - B2B的資安公司,全球資安領導品牌

- innovation team

- 出國工作的機會

- 員工資安素養不一,並不是每個人都懂資安(別太早放棄資安這領域)

- 重點是內部管理方式

 

.Fortinet - FortiFlow

- 一磚一瓦堆疊起來

- 加速辨識

- protocol - IP -port

- 探索 - 大公司用別人小公司去做,以免被懷疑

 

.Fortinet - FortiPlanner

- 如何設辦公室的wireless AP

- 默默的追蹤(rogue - https://en.m.wikipedia.org/wiki/Rogue_access_point) - 手機有開wifi 的,都知道位置 (eg. 在賣場內哪區停留)

- 監視器

 

.在美國的工作經驗得到什麼,知道什麼:

- 跟台灣企業差不多的膳食

- 不是每個都天才,門檻沒想像中那麼高

- 英文不好還是有機會,會慢慢進步

- 面試題目不難

- 拿到綠卡

 

.如何擁有在美國工作的機會:

- 唸書,拿到工作簽證

- 在台灣拿到offer (工作後機會比較多,剛畢業後比較少)

- 在台灣工作後被轉出去

 

.總結:

- 有人會把事情做好就滿足,但自己覺得不夠,覺得要做好

- 也有嘗試在美國創業,但時間都不足,想專心一意

- 美國的工程師價碼太高,難請到好的工程師

- 回台灣創業。

    

 

創業:

.口袋商圈有限公司 - 把商品,放進口袋

 

.該研發怎麼樣的產品?

- 平台類 <-> 市面上已經很多相關的產品,很難做的好

- 分析、評估類

- 解決大家會碰到的問題

.經過分析:

- 決定做解決找東西需求的App

- 找什麼東西?找附近的,優惠的商家

- App Name: Gulu

.為什麼有那麼多相同類型的App還要做?

- 因為對現有的App還不滿意,目標是做一個懶人包,一個真正想要的,認真解答的App。

    

.遇到問題1 - 資料從哪裡來?

- 爬蟲 / 偷串別人API

Burp Suite https://portswigger.net/burp

Curl / Postman

 

爬資料遇到的問題:

HTTP request Header -> User-Agent

防機器式搜尋 -> 爬蟲程式得盡量擬真、像個人

限制瀏覽頻率 -> Tor 洋蔥瀏覽器(the Onion Router)

<-> 各地使用者的意向不同,數據分析太過耗費成本,且偷人家資料遊走法律灰色地帶

- 合法做法:

請工讀生到各地調查

.遇到問題2 - 開始得面對資安問題

- 傳輸保護機制:

HTTPS

Protocol buffers (by Google)

簽章 Certificate pinning(小問題:怎麼把簽章放在App裡面)

限制request頻率

 

好的示範:愛評網

 

- 程式架構與維護上:

Ubuntu 16.04 @ (GCE)

自動更新 unattended upgrades

Fail2Ban 錯誤過多次

設定好防火牆

不要用預設的資料、Port

Monitor – newrelic

紀錄log 備份log

MySQL

SQL Injection的問題

Redis

Rails(RoR) project * 4

IOS

 

- 認識弱點在哪裡?

輸入的欄位

SQL Injection

XSS 跨站式攻擊

CSRF

IOS上的 0-day攻擊

...各式不同的惡搞

 

- 其他要解決的資安難題:

Server密碼的分享控制、銀行帳戶的密碼設定(方法之一:OnePassword)

員工的素養

員工權限的管理

現實的問題、理由 (藉口?)

 

 

面對資安:

.得在資安防護與付出成本之間做出取捨

.不喜歡還是無法逃避,盡力去做