Cymetrics Tech Blog

很高興可以在 CYBERSEC 2025 臺灣資安大會 分享一些自己考證照及學習的心路歷程。紅隊是模擬真實攻擊者行為的團隊，目標是在測試公司企業的防禦系統會不會被輕易入侵，幫助發現防守上的漏洞，提早修補，評估公司企業在實際遭受攻擊時的應對能力。像是 Cymetrics 提供的外部曝險、弱點掃描、滲透測試、紅隊演練，甚至是社交工程演練，這些都包含在紅隊的測試手法與範圍中。紅隊平常除了通靈，常常需要從意想不到的角度切入，找出不一樣的攻擊路徑和漏洞，還需要具備什麼條件呢？沒錯，就是證照！在紅隊演練招標說明文件中，通常都會明確列出檢測人員應該具備哪些證照。而在紅隊演練作業參考指引裡，也能看到像是 CPENT、CPSA 或是 OSCP 等等，這些證照被列為必要資格。

許多汽車車載系統提供 Apple CarPlay 與 Android Auto 的服務介接，無論是透過有線連接或是無線連接，它們的主要目的是在駕駛時，提供用戶更方便的使用行動裝置介面，同時提升駕駛的專注度與安全性。市面上有許多無線轉接 CarPlay 的產品。透過實體連接線插入 Dongle，這類設備可以將有線 CarPlay 轉換至無線模式，將 iOS 裝置的畫面同步到車載系統螢幕。然而這樣的設備有可能存在資訊安全弱點，並增加了車載資訊安全的攻擊面。

在2024年上半年，加密貨幣領域取得了重大進展，美國證券交易委員會（SEC）於1月批准了比特幣現貨ETF，隨後在7月批准了以太坊現貨ETF。與此同時，香港證券及期貨事務監察委員會（SFC）也於4月23日批准了三家資產管理公司(博時國際、華夏基金、嘉實國際)發行比特幣和以太坊現貨ETF，這些產品於4月30日正式在交易所上市。DeFi 項目隨之多元及活躍發展，隨著市場對政策的期待，比特幣甚至突破十萬美元大關，於2024 年 1 月 1 日的 DeFi 鎖倉價值為 541.62 億美元，截至當前DeFi 鎖倉價值也隨之水漲船高，於目前(2024.12) 已超過1000億美元。這些新變化象徵加密資產融入傳統金融市場，帶來更多元化的服務、投資機會以及潛在收益。

Solidity 中的隨機性經常應用在抽獎、NFT 生成、GameFi 等等，用來分配獎品或決定遊戲道具的稀有度和外觀等特徵，分散式應用中所使用的隨機性的真實與否會直接影響用戶權益，如果隨機的結果是可以被預測或操縱的，就削弱了分散式應用追求公平的宗旨，在Solidity中產生隨機數時使用可見資訊會導致偽隨機性相關的漏洞。本文將深入探討Solidity中的隨機性問題及其潛在風險，並提供有效的解決方案，幫助開發者保護智能合約免受此類漏洞的影響。

意即「誰可以做這件事」，這在智慧合約的世界中非常重要。合約的存取控制可能會影響哪些角色可以鑄造代幣、對提案進行投票、凍結轉帳以及許多其他關鍵的函數。如何正確的實行權限控制非常重要，方能避免未經授權的行為者進行操作。在 OpenZeppelin 中，主要有兩種方式來實現存取控制：Ownable 和 Role-Based Access Control。Ownable 使合約擁有者掌握控制權，適合較簡單的應用，但當涉及多個角色或權限層級時，RBAC 提供了更精細的控制，讓不同角色執行特定功能。

Solidity 中的 DoS（Denial of Service）是一種常見的漏洞型態，藉由耗盡資源或阻斷合約運作，使得功能無法如預期執行來達成。在區塊鏈的世界中程式碼就是資金流動或是內部邏輯的執行的實現，DoS 在嚴重的情境下，可能會直接導致資產或資金變磚，從而直接導致使用者或協議的損失。在本文將介紹幾種常見的 DoS 情境:Unbounded loopIntegration/Logical errorRefund failed

在當專案經理的這些時間裡，除了透過專案進行觀察到一些台灣企業對「資安」的看法與痛點之外，近期也有不少「政府採購預算需單獨編列資安費 」的新聞出現，內容重點大致分為三個：資安預算「獨立」、禁用陸資廠牌產品、陸資廠商不能參與標案，同時，政府也針對以往資安廠商投標的困境，做了制度上的改善，像是採用最有利標時不訂底價，及「創意」取代「回饋」項目，作為評選廠商的區隔。從這些政府的改變當中，不難看出資訊安全在台灣的重視程度是愈來愈高了。

想了解開發 OpenAI 會遇到哪一些坑嗎？想了解如何解鎖 Embeddings 和 Retrieval-Augmented Generation 讓 GPT 的模型就算沒有企業獨有的 knowhow，也能產生出有意義的內容嗎？那就快點手刀點進來吧，讓您滿載而歸！