談到網路犯罪，2005年是個令人無法忘記的一年。那年是網路犯罪從原本的惡意且有些複雜的運動，進階為以金錢、資訊與策略優勢為目標的事業。

那年一開始，喬治梅森大學(George Mason University)就爆發資料外洩事件，讓該校學生與三萬兩千名員工的成績與社會安全號碼全數曝光。

數月之後，鞋子品牌DSW Shoe Warehouse高達100萬名顧客資料也遭駭。這是史上第一個因駭客攻擊受影響人數高達百萬計的資料外洩事件。隨後，CardSystems Solutions公司檔案中，約計4,000萬組信用卡號碼也被流出。有鑑於資料外洩事件的速度越來越快，Privacy Rights Clearinghouse這個組織甚至開始為資料外洩事件製作大事記。

此外，儘管全世界在2010年以前可能還不太知道Stuxnet病毒，這隻病毒的開發，以及它持續對於破解像機器人與化學熔爐等製造系統的防衛功能帶來的衝擊，可能早在2005年就已開始。讓全球耗費200億美元的勒索病毒問題，其發展也有類似的軌跡。

網路犯罪的犯案手法

從制高點來看，網路犯罪可被分為三個種類：

• 資料竊取：這可能是最常見、也最有利可圖的網路犯罪形式。今年以竊取、侵吞、智慧財產權流失，與隨之產生的相關損害所產生的資料外洩，估計將讓全球付出6兆美元的昂貴代價。例如英國航空公司與萬豪酒店集團(Marriott_學到的教訓，這代價可能是數百萬美元的罰款。
• 篡改：揭露數位造假的研究，也從2005年開始加快發展。在那之後，假新聞與它們引起的問題已成為人們生活中的一環。美國海軍陸戰隊Vincent Stewart將軍表示，篡改的資料將構成第五代戰爭的基礎，在這場戰爭中，誰能讓對手戰士失去理性決策的能力，誰就能取得勝利。
• 武器化：勒索病毒專家已從劫取資料，多角化經營到把工具授權給新入行的犯罪份子使用，平均每一筆勒索金額也翻倍到17萬美元之多。專業資安公司Dragos表示，駭客入侵並突破公用事業與關鍵系統的情形，已經相當普遍。

企業與消費者對於最佳自我保護方式的不確定性與存疑，讓這些問題變得更加複雜。根據PSA Certified認證組織最近發表的一份報告，54%的受訪者表示無法確定投資報酬率，以及員工缺乏對安全性措施的參與，導致他們不願意持續對安全性措施進行投資。只有47%的受訪者表示，他們有針對新產品進行威脅分析(這個比例在較小的公司之間更低，降至33%)。

一套架構性的方法

Arm的目標是藉由將強大、智慧且普遍的安全性整合進裝置與系統架構中，以針對現有的與更多的攻擊提供防禦。部份的安全性創新已經整合至新推出的Armv9架構。其他則是透過類似PSA Certified認證等業界方案進行實作。以下是Arm為解決上述的問題，目前正在進行的一些想法。

機密領域

屬於Arm機密運算v9架構基礎功能的機密領域，可以讓消費者或可信任的應用程式廠商，有效地打造具備高度安全性的臨時區域，在分享關鍵資料的同時避免資料遭到竊取。它的目的是保護使用中的資料；反觀加密只能保護傳遞中的資料、或是存在儲存系統中靜止不用的資料。

例如，一位病人一方面想要與疾病研究人員分享病歷，但也合理的擔心進行研究的醫院可能不經意地讓病歷曝光。這位病人可能也不想讓他(她)的個人資料放在醫療檔案中。

有了機密領域這種技術，虛擬的安全領域(與作業系統及虛擬機管理器分離開)將會出現。病人可解密他/她自己的病歷，隨後研究人員可以分析資料、對結果進行加密，然後離開。機密領域接著就會消失。病人的病歷沒有離開主機，研究人員仍能取得所需要的資料。即使電腦遭到破解，駭客也不太可能重建來取得原始病歷。

機密領域的基本技術與概念是從TrustZone發展而來，而Arm在十多年前就開始在處理器中使用包含TrustZone的技術，機密領域則是擴展它的用途與使用場景。

PSA Certified認證

由Arm發起的PSA Certified認證方案，為晶片、軟體、感測器與智慧裝置訂定標準與認證流程，克服為了創造更安全的環境而產生的不確定性。PSA Certified認證為製造商與開發人員提供一個為產品打造基礎信任根的確定流程。此外，這個流程也為通常因為沒有時間或缺乏專業知識來進行風險評估的企業，提供一個明智抉擇的基礎。

內容真實性

由包括英國國家廣播公司、微軟與Adobe等組成的聯盟，試圖透過嵌入式機制與標準，來應對偽造影片、照片與內容的問題。想像有一種應用程式可以讓攝影師很確定地證實：(1)某張特定照片是用他或她的手機拍攝；(2)照片沒有被變造過，以及(3)如果照片已經被變造過，他可以知道變更的部份是什麼。它可以產生一連串的鑑別，讓人們對肉眼看到的事物回復信心。同樣的技術，也可能用來保護藝術家的智慧財產權。

Morello計劃

正由Arm與英國研究創新局(UK Research and Innovation)、Google與微軟(Microsoft)共同開發的Morello計劃，透過硬體與軟體的結合，在惡意軟體攻擊的進入點就進行隔離。試想有宵小之徒闖進你的車庫，但之後他們就無法再從車庫進入家中。細粒的象限化分割可以防止駭客透過資料竊取、病毒傳播與僵屍攻擊，把系統武器化。

Morello原型架構規格目前已開放下載。倘若Morello可符合Arm訂定的目標，到2025年左右，Arm將計畫將它內建到v9架構的處理器中。

類似共乘、電子銀行與電子商務等應用，都需要仰賴足以超前於網路犯罪份子的安全防護機制。像物聯網(IoT)這種在對抗氣候變遷中可能扮演重要角色的新興技術，很可能因為對安全性與隱私的顧慮而停滯。少了信任，數位系統就無法擴充。利用人們現有裝置原有的處理能力與功能優點的廣泛做法，將可成為遏止這波網路犯罪狂潮、並提升人們對運算的信心的最有效方式之一。

活動簡介

從無線連接、更快的處理和運算、網路安全機制、更複雜的虛擬實境(VR)到人工智慧(AI)等技術，都將在未來的每一個嵌入式系統中發揮更關鍵功能。「嵌入式系統設計研討會」將全面涵蓋在電子產業最受熱議的「智慧」、「互連」、「安全」與「運算」等系統之相關硬體和軟體設計。

會中將邀請來自嵌入式設計相關領域的研究人員、代表廠商以及專家，透過專題演講、產品展示與互動交流，從元件、模組到系統，從概念設計到開發工具，深入介紹嵌入式系統設計領域的最新趨勢、創新和關注重點，並深入分享關於嵌入式系統設計的經驗、成果以及遇到的實際挑戰及其解決方案。

贊助廠商

立即報名