歐盟一般資料保護規範GDPR 與美國加州消費者隱私保護法CCPA之比較

1.      前言

歐盟在1995年制定了「個人資料保護指令」(Data Protection Directive),隨著數位經濟科技發展與全球化影響,個人資料保護議題帶來許多新的挑戰,2016年通過被稱為史上最嚴格個資法[1]的「一般資料保護規則」(General Data Protection Regulation,GDPR)取代了先前的法規,並在實際執行前給予歐盟兩年的緩衝期,於2018年5月25日正式實施[2]閱讀全文 “歐盟一般資料保護規範GDPR 與美國加州消費者隱私保護法CCPA之比較”

2019新型冠狀病毒的數位治理課題

關注全球網路治理公共政策議題的知識平臺——日內瓦網路平臺(Geneva Internet Platform,GIP)在今(2020)年2月底的電子報(Digital Watch Newsletter)中將全球2019新型冠狀病毒(2019-nCoV)列為當月焦點,提出其何以變成數位課題的問題。GIP提出了3項觀點,其一是數位科技(特別是人工智慧)在此全球流行病疫情中扮演的角色;其二是不實訊息流竄於各大跨國網路平臺與平臺業者的因應;其三則是惡意人士利用民眾對流行疾病的恐懼進行網路犯罪的事件。本文主要簡述這3項觀點的內容。 閱讀全文 “2019新型冠狀病毒的數位治理課題”

2020-2023年APNIC戰略計畫概覽

以每4年為期,APNIC執行委員會(Executive Council,EC)會在秘書處的協助下,建立未來4年的戰略計畫。這個戰略計畫集結社群及會員的建議與反饋,設立未來4年的戰略方向及各項活動規劃,不僅呈現APNIC的願景,也列出實際的目標、優先項目、重點原則,為未來4年APNIC的工作訂定明確的指標及方向。 閱讀全文 “2020-2023年APNIC戰略計畫概覽”

解讀柏林IGF(下):會議有成但政策影響力仍待提升

2019年11月25日至29日於德國柏林召開的第14屆聯合國網路治理論壇(Internet Governance Forum,IGF),從與會的量與質來看,可說是一次相當成功的會議,不但近3,700人的實地與會人數創下歷年新高紀錄,而且還建立各國國會議員參與IGF的新途徑,同時政策討論亦是更趨成熟,並且於會後發布討論重點,呈現IGF的具體成效。 閱讀全文 “解讀柏林IGF(下):會議有成但政策影響力仍待提升”

解讀柏林IGF(上):全球網路正面臨分裂挑戰

第14屆聯合國網路治理論壇(Internet Governance Forum,IGF)於2019年11月25日至29日於德國柏林召開,為期5天的論壇共有200場會議,吸引來自全球161國的近3,700人實地與會,遠端參與人數也有約3,000人,可說是盛況空前。 閱讀全文 “解讀柏林IGF(上):全球網路正面臨分裂挑戰”

IGF 2019 重點回顧

聯合國網路治理論壇(Internet Governance Forum, IGF)於2006年成立,主要討論網路治理的公共政策議題,以強化全球網路的持續運作、安全、穩定與永續發展,雖然會後並不會做成決策或發表談判結果,但是卻能促進多方社群的討論互動,以及最佳典範的分享交流。今年的IGF於11月25日至29日在德國柏林召開,主辦單位為德國政府,全球共有161國參加、超過6,000位實地和遠端參與者,各式會議約有200場。今年大會主題為「一個世界,一個網路,一個願景」(One World. One Net. One Vision),討論議題包含資料治理、數位包容,以及安全、保全、穩定及強韌等三大主題類別。 閱讀全文 “IGF 2019 重點回顧”

為什麼守護BGP安全這麼困難?

邊界閘道通訊協定(Border Gateway Protocol, BGP)已在網際網路中運行30多年,這期間我們經歷各式各樣的路由洩漏和路由劫持事件,但是我們仍無法在這豐富的經驗中學到如何管理BGP,使其更安全、穩定和準確。為什麼保護該協定是這麼的困難?APNIC首席科學家Geoff Huston撰文提出10大原因,解釋這項不可能的任務,本篇專題文章僅摘錄其重點。 閱讀全文 “為什麼守護BGP安全這麼困難?”

ICANN 2019年10月份域名濫用追蹤報告

本文將檢視分析ICANN 201910月份的域名濫用追蹤報告。ICANN域名濫用活動通報系統(Domain Abuse Activity Reporting System, 簡稱DAAR),是研究並通報所有註冊管理機構(registry)與受理註冊機構(registrar)受到安全威脅的頂級域名註冊,主要目的是利用開放社群將收集審查的域名資料匯入DAAR系統的方式,為ICANN社群提供可靠、持久和無偏見數據的域名濫用報告,以提供相關資訊幫助ICANN政策討論之用。有關DAAR概念,可參見過去的專題文章ICANN介紹文章 

10月份報告資料來自1,200個通用頂級域名(gTLD)中的197,876,195個解析域名,並與930日報告的1,193gTLD中的196,409,631個域名進行比較。截至1031日為止,DAAR系統在1,200gTLD中,364個解析域名至少有一個具有安全威脅,與930日的報告相比,1,193gTLD中,381個解析域名至少有一個具有安全威脅。本文同時彙整20197月至10月的資料如表1所示。 

1. 20197月至10DAAR系統收集(含具安全威脅)之TLD及解析域名數量

如以目前資料蒐集的方式,大致上所蒐集之TLD及解析域名的數量變化不大,意即約1,200個 TLD中的1.94至1.98億個解析域名,其中超過1個以上安全威脅的TLD約在360至380個之間,而這些TLD的解析域名數量約為1.93至1.97億之間。從這些數據中可以約略看出,雖然有超過1個以上安全威脅的TLD僅約360至380個之間,但其域名解析數量與所有的1,200 個TLD的解析數量並無太大差異,即表示絕大部分的域名解析數量仍是落在此360至380個TLD中。

10月份的資料分析中顯示,大約88%的解析域名是2010年之前發布的gTLDLegacy gTLD,以下簡稱舊版gTLD)。在被確定為安全威脅的752,889個域名中,471,073個(或62.6%)屬於舊版gTLD,其他281,816(或37.4%)屬於新版gTLD。過去幾個月的統計趨勢如圖1所示,具安全威脅域名數量之百分比(左圖),新gTLD並未比舊版的gTLD多,且舊版的有些微上升趨勢,反而新版有下降趨勢,舊版TLD.com.net.org等雖然數量甚少,但仍為全球域名解析的主力,新開放的gTLD數量約略超過1,000個,但在ICANN持續強力監督下,其域名濫用情形並無想像中嚴重,其濫用域名總數目前比舊版gTLD少。

1. 新版(new)和舊版(Legacy)域名中,具安全威脅域名數量及百分比趨勢圖

DAAR使用DNS信譽供應商(DNS Reputation Providers)資料匯入的四種安全威脅包括垃圾域名(spam)、釣魚域名(phishing)、惡意域名(malware distribution)、以及殭屍域名(botnet command and control)。信譽供應商清單如表2

2. DAAR系統匯入威脅型態之信譽供應商清單

201910月份具安全威脅的752,889個域名中,其威脅形態屬於垃圾域名的佔78.2%,仍然最為大宗,其次為釣魚域名,佔11%,後面依序為殭屍域名6.1%,惡意域名4.7%,如圖2所示。

2. DAAR威脅型態分析

20192月至10 DAAR威脅型態分析趨勢,如圖3所示。舊版gTLD的垃圾域名有增加的趨勢,而在舊版gTLD中,垃圾域名、惡意域名和殭屍域名的數量,遠遠超過新gTLD

3. 20192月至10DAAR威脅型態分析趨勢圖 

由於被識別為具安全威脅的域名數量,不一定反映出該TLD在多大程度上成為具安全之威脅者,因為每個TLD具有不同的域名註冊數量,因此,可採正規化方式計算其機率,即濫用百分比(Pab)如下:

即某TLD的所有解析域名中,被確認為具有安全威脅的域名比率。在201910月之比率略約為0.35%,即1,000個域名中約有3.5個域名具安全威脅。20192月至10月具有安全威脅的域名比率分析趨勢圖,如圖4所示,大致上呈現下降趨勢。

4 . 20192月至10月具有安全威脅的域名比率分析趨勢圖 

再將安全威脅的域名依安全威脅型態區分,20192月至10月各安全威脅型態的域名比率分析趨勢圖,如圖5所示。新gTLD與舊版gTLD中以垃圾域名比率最高,但兩者皆呈現下降趨勢;接下來依序為釣魚域名、惡意域名和殭屍域名。新gTLD的惡意域名有些微上升的趨勢。

5. 20192月至10月各安全威脅型態的域名比率分析趨勢圖 

經過去幾個月監看DAAR資料發現,這些資料的收集如仍採現行方式,由既有的信譽供應商所提供,則整體資料大致變化不大。由於ICANN並未公布究竟是哪些域名具安全威脅、或具哪一類型的安全威脅等,而且其威脅形態僅有四大類,誠如過去之分析,或許ICANN有追蹤具安全威脅的個別域名的使用狀況,例如發信警告該域名之註冊管理機構或受理註冊機構,其被註冊的域名具有安全威脅,應要求註冊人予以改善等,但還是期盼ICANN DAAR系統蒐集的原始資料,未來能夠開放給社群使用,且其統計方式,亦可採開源方式,由社群創意呈現,進而能透過開放社群力量,共同監督註冊管理機構、受理註冊機構及註冊人域名的合法使用,以減少域名的濫用現象。 

有關DAAR相關訊息,包括DAAR各月的報告資料,可參考ICANN DAAR網站訊息 

註解:

[1] SURBL

[2] Spamhaus

[3] Spamhaus Domain Block ListDBL

[4] Anti-Phishing Working GroupAPWG

[5] PhishTank

[6] Malware Patrol

[7] Abuse.ch

[8] Abuse.ch Feodo Tracker.

[9] Abuse.ch Ransomware Tracker